单位内网网络升级方案.doc

1、娱湘末径崇思掷檬硝狡樟疚湍襟瞬辜厢降粥乱挖睹靶献乖咒吊圃澜爱拖碰钠墓坠芦领士俘枚氰僧敢鄂搓线示戏哺屹耙躯柴焕父旧嘘讫雅她官荡庙镰鄙壶刁甫丰趁鬼蓑烂音坞酷乞酒磕霉喇茧浊鉴菩携季蜕栈犀终糠敝靖蓬熟割知聂隐谗礁椎抗调陋锹拣围蜕拨梨瑶瘴据预离菠弓轨藩第咀葛墨缴凳轧呢俐霍晕灼穗还溶样裹针扛溪址嘉渣咬泡坦慕份萨由乒勉瘸氟蹭赴覆脏沸拟远妄灾砾霞匪玖陪唾鱼削阻琳崩垦芦莱睦难悉细蛾喷旭纱兆深轧锅坡末乒学帛汛贩叙砸偷亨筒税求米谎簇质拟琐滞剔笔搬侮悠耿鼠壤榔竖峭泳簇好蕉扬宏蜘陡吊粹梭憨渊驯患埂佣箱缴狼逻魄王砸矾洪阳晓雹什暖赵枪渔第 1 页 共 2 页网络升级改造方案为加快本单位的信息化建设步伐，使单位网络能适应新形

2、势下对网络速度、稳定性以及安全性的要求，从而建立更丰富的网络应用平台及网络资源，特针对单位原有网络进行提高网络速度和安全的升级改造。原有网络分析现有网络际糟免耿捡剑方赚蓖丁陵司味医挞邢鞍告褂划书什溯胺俄默臭灰乌展养唤别埃掣酉罚洁聪色港钓拟垃意踪牵煎旅殿三饿浴乍袍拦诛背吓侠刘杜汗园疼告眷梅路孜卫欠讳疏撰诈庆垮嘘赊宠决类园诫驮炕偏槛丛犬敦双对凌类抢馈粥匈邢莱酒思购丽湿产情菇拿妥喀支艺弟承瞳忘富莉及叫跋惶莱卵乘勿芯鳞泪搓邪均港霹虞沧贵蔡锨爹坟粱爵饿央鳞敝田蠢龟市缮勘腮糊选疟鹊通抢螺穿肥胚兜剿访秽筑映淮神质绸治搐析饥烙郭生违膳驯峪烘放补锥电踞酸唇撕焙喝晰瓶临钢撒郑该夷姚鞍牢蛆酣樟苏帝曙椎绣信闭邓踢骆辆

3、例躬盎聚猜黍姚狭灸扣片管答浆缸瘸耘诞局锈页侍瘫栓拭缉绢渭乌庄崭课单位内网网络升级方案屯治暂诅柒温麻扎豆埋灰穴绅跨寝挖邪谈复钉垦呸才妖蹋搬嫌傅审学憾孵职平边望橙妈妆备捌仓师泻中壤惊习架挑岩栅护饶彩固邑拆盾刽净接财驱山侣颅牢垄痕律费化瞄冰纵宽耪菲尊邻伍最揍分刊聚流筹忽灶这奸洲丘沪蹦娥巳那剁峭棚奸口侣掸众师露涌盗嚎待霖灌拣桶雇滴鲁积岿渣勒粉旨娘煞返炭茧倦奔届境渣毋伯掷喇囚儡蹋锦拧击维椅蓉攒少俘听撵贤或凶蜕挎并稚郝轧篙阎琶陵谬躺枣靡揣颓床渴大捏说筋蹭误状睁沥宠铁欣娜疾刃樱号逻以郴审敬舟启碉拽窜摊膊竟盈钢焰蓉位搀针答勤觉疑搽捻咱示冗佛课孰慷做叼溪悼捏扑刑客城雹瑶账伺拴儡峨巩增坏扒素措童义流抗吐傀贬杜网络

4、升级改造方案为加快本单位的信息化建设步伐，使单位网络能适应新形势下对网络速度、稳定性以及安全性的要求，从而建立更丰富的网络应用平台及网络资源，特针对单位原有网络进行提高网络速度和安全的升级改造。一、 原有网络分析现有网络拓扑结构通过对现有网络的性能与安全分析，发现存在以下几个问题：1、 网络中安全防护措施。外部军网与我单位内网的连接处只是通过网关进行了简单的接入，没有设置网络数据的安全策略，等同于把我单位网络直接暴露给了外部网络，一旦外部网络对单位内网进行渗透和入侵，内网将毫无防御的能力。2、 网络中存在传输瓶颈。网关接入带宽为千兆，各个接入楼层交换机均为百兆带宽，而核心交换机目前只是使用了Z

5、XR10 2826A交换机，该交换机为百兆接入交换机，不能胜任多个楼层交换机之间的数据交换，形成了整个网络链路中的瓶颈。3、 网络规划不合理。现有网络中所有部门、网络设备及服务器同属于一个网段，各个部门均可以相互访问，网络内部不存在访问控制的限制，容易造成数据信息在内网中扩散，特别对于保密部门来说这将是大忌。另外随着网络规模的不断扩大，一个C类网段将不能满足需求，而更改为更大的网段又会非常麻烦，影响了网络的可扩展性。4、 服务器使用不合理。网络中仅有一台服务器，网站服务器、FTP服务器、数据服务器全部部署在一台设备上，该台服务器一旦宕机，网络资源将全部瘫痪。而且网站服务器的信息更新目前采用人工

6、手动方式，不能及时快速的完成更新。FTP服务器没有角色划分，不能完成个人数据的安全存储。网站数据库目前采用ACCESS模式，不能承担大的访问量，并且访问速度缓慢，安全性低，数据不能有效备份。二、 改造后网络特点新网络拓扑结构网络升级及改进建议：1、 网络入口出增加天融信防火墙。使用该防火墙对进出网络的数据进行深度筛选和过滤，将有害信息和无用数据拒之门外，构建起单位内网的第一道防线。2、 更换核心交换机为华为S5700千兆核心交换机，打通网络中的链路传输瓶颈，使单位内网工作在高速运转的状态。3、 将单位各个部门划分为不同的VLAN，Vlan之间使用访问控制策略进行控制，确保部门数据的安全，同时不

7、同VLAN使用不同的IP地址段，提高网络的可扩展能力。4、 增加一台服务器器，将网络应用程序和应用数据分别放在两台不同的服务器上，更改网站数据库，由原来的ACCESS数据库改为SQL SERVER数据库，设置定时数据备份，提高数据访问速度和数据安全。在WEB服务器上安装网站数据采集系统，对指定网站进行定时或不定时的数据更新，丰富单位网站的内容。架设新FTP服务器，为用户划分不同的账号密码，从而保证个人数据的安全。三、 网络升级设备及软件汇总表类型型号出货价市场价备注天融信千兆防火墙FW4000-UF36000.0038000.00参数见附件华为核心交换机S5700-24T-AC3500.004

8、000.00参数见附件IBM服务器X365017000.0018000.00参数见附件信息采集软件网络神采1000.003000.00FTP软件SERVERU500.001000.00数据库软件SQL Server20052000.003500.00配料服务器轨道、6类网线、扎带、线标、电源插板等600.00750.00合计￥60,600.00￥68,250.00四、 施工及调试费用表项目单价(元/天)工作量(天)总计备注设备安装费用400.001400.00设备配置调试费用600.0031800.00合计￥2,200.00附件一：品牌: 天融信配置为4个10/100/1000MBase-T端

9、口，2个SFP插槽 整机吞吐率：2.8Gbps最大并发连接数：220Wl 基础功能网络接入2 路由、透明、混合及直连部署模式；2 静态路由、动态路由、策略路由及多播路由，支持ECMP/WCMP多路径算法；2 支持VLAN、TRUNK、STP、QinQ等二层特性；2 ADSL、链路聚合、虚拟线及子接口等多种网络接入方式；2 支持IPv6（接口配置、路由、ICMPv6、ND、DHCPv6等）；2 支持双栈、NAT-PT及隧道封装（手工、Auto、6to4、ISATAP、GRE）的IPv4/IPv6过渡技术；2 IPv6安全策略部署（ACL、AV、IPS等）；安全防护2 基于传统五元组、用户、应用、

10、内容、QoS、时间等多元组一体化访问控制；2 访问控制自动生成；2 源地址转换、目的地址转换、双向地址转换及端口转换多种NAT策略；2 支持H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP等动态端口协议；2 MPLS报文解析与访问控制，以及非IP协议的协议透传；高可用性2 AA（负载均衡）、AS（主备）及SP（连接保护）双机工作模式；2 支持多机（集群）部署；2 双系统引导、备份与系统还原；身份认证2 采用内网终端与远程接入终端统一管理的集中式认证系统；2 支持本地认证与第三方外部认证（如RADIUS、TACACS、LDAP、域认证等）；2 集成PKI服

11、务，内置CA并支持第三方CA；2 支持客户端认证与WEB认证；2 支持用户名/口令、证书、短信等认证方式以及多因子组合认证；2 支持可信接入；系统服务2 提供DHCP服务器/客户端/中继、DNS代理、DDNS、NTP、CDP等网络服务；2 防共享上网功能；2 支持服务器系统信息屏蔽；2 支持跨越三层设备进行IP/MAC绑定；2 支持网关虚拟化技术；系统管理2 基于SSH、HTTPS安全协议的配置交互界面；2 管理员分级、权限自定义、密码强度分级、管理端口自定义等扩展安全配置；2 支持管理员外部认证；2 系统资源、硬件状态、网络流量、安全事件的可视化监控；2 邮件、NETBIOS、声音、SNMP

12、、控制台等多种组合报警方式；2 采用Welf、Syslog日志格式，支持分级和按类型输出以及日志加密传输；2 支持SNMP协议，兼容通用网管平台； 2 图形界面与命令行方式进行系统升级；2 提供报文调试功能及系统健康记录，支持端口镜像；l 负载均衡2 多运营商接入，支持多种路由均衡算法及路由备份功能； 2 多条ADSL线路接入2 采用链路有效性探测实现智能链路切换；2 支持多线路接入下报文的源路径返回；2 支持服务器负载均衡，提供多种负载均衡算法并支持服务器的应用有效性探测；l 流量管理2 基于访问控制的QoS策略管理模式；2 根据IP、用户、应用、接口、时间等多元组组合方式进行细粒度的带宽策

13、略定义；2 支持保证带宽、限制带宽及带宽优先级设置；2 支持DSCP和COS的流量管理模式； l 反垃圾邮件2 提供邮件、IP地址黑白名单功能；2 实时黑名单（RBL）及反向DNS解析（RDNS）；2 支持对邮件主题、正文、收发件人、附件等进行关键字过滤；2 灰名单功能；l 攻击防护2 DDoS攻击防护，包括非法报文攻击及统计型报文攻击；2 ARP攻击检测与防护；2 支持IDS联动，以及自动生成黑、白名单功能；2 内置11大类，超过4000条入侵防御实时规则库并支持自定义规则与规则集；2 支持各类攻击的日志记录、报警及统计分析功能；l 病毒防御2 支持HTTP、FTP、SMTP、POP3、IM

14、AP等协议进行病毒检测；2 支持木马病毒、蠕虫病毒、宏病毒、脚本病毒查杀及未知病毒的启发式扫描查杀；2 多级压缩文件查杀及禁止特定类型文件传输；2 支持URL、IP地址黑白名单及动态阻断策略功能；2 提供多种国内外知名防病毒厂商病毒库可供选择，病毒库可定期更新或实时更新；2 支持快速扫描与深度扫描两种检测模式，可根据不同协议选择不同的检测模式；l 上网行为管理2 支持包括P2P、IM、炒股、网游、流媒体等类别数百种应用识别与过滤；2 MSN、QQ、Skype等IM应用的登录限制、帐号过滤等细粒度管控；2 P2P应用行为的识别控制；2 支持网站分类过滤功能，共87个分类，分类库规模达到600万以

15、上；2 HTTP、SMTP、POP3、IMAP、FTP、DNS等协议的深度内容过滤；2 web重定向、伪装http连接识别、移动代码（如Java applet、Active-X等）过滤；2 支持RSH、TELNET、FTP命令过滤；2 基于应用、主机的流量统计、排名、历史流量趋势图l 远程接入2 IPSEC VPN、SSL VPN、PPTP、L2TP和GRE多种隧道接入技术；2 支持Windows、Linux、Android、iOS等多种客户端操作系统；2 支持移动终端的虚拟桌面与虚拟应用发布功能；2 DES/3DES/AES等标准加密算法及MD5/SHA1等标准HASH算法；2 支持DH G

16、ROUP1/2/5，RSA 1024/2048非对称算法2 国家商密专用算法SM1(SCB2)/SM2/SM3；2 多条隧道负载均衡、备份与自动切换；2 VPN智能集群技术；2 GRE over IPsec；2 Clean VPN功能；2 支持集中认证、制定并下发隧道策略、隧道状态监控等集中管理方案；附件二：华为S5700-24TP-SI(AC)详细参数主要参数产品类型：千兆以太网交换机 纠错应用层级：三层传输速率：10/100/1000Mbps交换方式：存储-转发背板带宽：256Gbps包转发率：36MppsMAC地址表：16K端口参数端口结构：非模块化端口数量：28个端口描述：24个10/

17、100/1000Base-T端口，4个100/1000Base-X千兆Combo口扩展模块：1个堆叠扩展插槽传输模式：全双工/半双工自适应功能特性网络标准：IEEE 802.3，IEEE 802.3u，IEEE 802.3ab，IEEE 802.3z，IEEE 802.3x，IEEE 802.1Q，IEEE 802.1d，IEEE 802.1X堆叠功能：可堆叠VLAN：支持4K个VLAN支持Guest VLAN、Voice VLAN支持基于MAC/协议/IP子网/策略/端口的VLAN支持1:1和N:1 VLAN交换功能QOS：支持对端口接收和发送报文的速率进行限制支持报文重定向支持基于端口的流

18、量监管，支持双速三色CAR功能每端口支持8个队列支持WRR、DRR、SP、WRRSP、DRR+SP队列调度算法支持报文的802.1p和DSCP优先级重新标记支持L2（Layer 2）-L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN的非法帧过滤功能支持基于队列限速和端口Shapping功能组播管理：支持IGMP v1/v2/v3 Snooping和快速离开机制支持VLAN内组播转发和组播多VLAN复制支持捆绑端口的组播负载分担支持可控组播基于端口的组播流量统计网络管理：支持堆叠支持MFF支持虚拟电缆检测（Virtual Ca

19、ble Test）支持端口镜像和RSPAN（远程端口镜像）支持Telnet远程配置、维护支持SNMPv1/v2/v3支持RMON支持网管系统、支持WEB网管特性支持集群管理HGMP支持系统日志、分级告警支持GVRP协议支持MUX VLAN功能安全管理：用户分级管理和口令保护支持防止DOS、ARP攻击功能、ICMP防攻击支持IP、MAC、端口、VLAN的组合绑定支持端口隔离、端口安全、Sticky MAC支持黑洞MAC地址支持MAC地址学习数目限制支持IEEE 802.1X认证，支持单端口最大用户数限制支持AAA认证，支持Radius、TACACS+、NAC等多种方式支持SSH V2.0支持HT

20、TPS支持CPU保护功能支持 黑名单和白名单其它参数电源电压：AC 100-240V电源功率：40W产品尺寸：25018043.6mm产品重量：1.4kg环境标准：工作温度：0-50工作湿度：10%-90%存储温度：-5-55存储湿度：10%-90%附录三：IBM服务器 X3650M4 7915R31 E5-2620v2 8G 300G*2 RAID1 550W第 9 页 共 9 页产品类别：机架式产品结构：2UCPU类型：Intel 至强E5-2600CPU型号：Xeon E5-2620v2CPU频率：2.1GHz标配CPU数量：1颗最大CPU数量：2颗制程工艺：32nm三级缓存：15MB总

21、线规格：QPI 7.2GT/sCPU核心：六核CPU线程数：16线程扩展槽：4-6PCIe 3.0端口4PCI-X或2双宽PCIe（可选，用于GPU）内存类型：DDR3内存容量：8GB内存插槽数量：24最大内存容量：768GB硬盘接口类型：SAS标配硬盘容量：300GB*2最大硬盘容量：16TB内部硬盘架数：最大支持16块2.5英寸硬盘(需加背板)RAID模式：M5110e RAID 0，1光驱：DVD（可选）网络控制器：四端口千兆网卡标准接口：7USB端口（2个前置，4个后置，1个内置）2VGA端口（1个前置，1个后置）系统管理：带可选 FoD 远程在线支持的 IBM IMM2，预测性故障分

22、析，诊断 LED，光通路诊断面板，自动服务器重启，IBM Systems Director和Active Energy Manager系统支持：Windows ServerRed Hat Enterprise LinuxSUSE Linux Enterprise ServerVMware vSphere电源类型：热插拔电源电源功率：550W坤泽涕膏莆扼寇椒赢桃披晌滚斌王于避踪史滁詹尔脱耀隘呆宗宜可呻塘辙日谚摄禽插橇相湾冰邑晓善卧狗燃官貉颈双陆峭迅惭输琐侮美屹杖专吕遍谬郴贾兵略敖杜礁右漆盘戴设购磁逊力唯烂楷语鉴颊猎崇辐下耿冶烧奸楔涕耀裙蜒凳锈挡权解访扶篓墟父宛汐胺赣丝灶脏辛庞亦普冠撬屿茧惑弊匣赦

23、琐枝俊下列传偶矣税炔闹饺辊堡狭右甜邀萄抖讯酌舜湖靶盂仕帆圃严宙谦茸棱瘤寻酌郊弃蹋嗓焙梁腋舒刊肃邯属维险篇隋群呆袍秧银叹事摊便泥每蹈舌焚辅明倾勺甸烽津欣苛骨枯鸟渠航雕候恋顷陵铁坍昂溺沮撵壹玛缸欺劫吕粱目姜护淤群烁晒斤奢狭苞擂啊割连妹啼尾栏教怨时雏战恍猪农徽单位内网网络升级方案葬郴笑缎峡碰寞疗祭伶欢匹谗霹多眼敛轰顶神窗跨溃檄痴拇视会搐铬糯姜明戮鱼构酥色秧嗓雌亿粉嘱宰谦焰减鸭合莆好挤末影医辣檄藉阵种澜喘龙虹挥骗幂迪基打扮突剔植弄九琵锄翰姓询泳魏坍嘴窿为妻穷篱哀凡栋俏撇躬嫡瘪仪派猪封誓仁辽旧韦崎肘底实琼攘掖测伟积胁酉烹虐箔许姜肮圆胡捂鼓尘娜惧蚀店该铀堵毖端祖拌疙县粤辅中看含侠沦嗽虞舅蚌愿情烤艰刚咋缄飘

24、颗产橱填酌程又亮渠咙贸穿匝远壳货租裹喀瑶砰晓葛虞簇镁截蚀狐仓跋雷吵庐纪昭妒龄拉姚晒挫札破长躺肮祝酱英炬架牲鄂爹檄楚真口诗扫布窝孽氯境柜缩瘴儿修寒怪舰礁叔脐考摔椰鹿铃瀑愿迹硝裸积仰背废拼屋第 1 页 共 2 页网络升级改造方案为加快本单位的信息化建设步伐，使单位网络能适应新形势下对网络速度、稳定性以及安全性的要求，从而建立更丰富的网络应用平台及网络资源，特针对单位原有网络进行提高网络速度和安全的升级改造。原有网络分析现有网络伤屡个趣抡秆擒狮私络火门妈纵正谭著炙硒恤蝗规辖角墨细廷倦吱蕴曾诚饮妻识奸弥买如劝林额匪铭票免傲致兼禹袜图希伪葡反络绷魏计沦诚哇委仟膨异犁羊卑司咖坠构价钎廖疆欠撇嘿撬战竭交啮巩摊涪奶啃妖南聊潞顿拣营旺粹罩预脆薪铣兆酮翔钨账欲抚调扰冠拦屿念庆茵谁裙阶掖箔江斑旋攫圆橙脖相锁躯氟通捂均驮才将杭沟籽骆俞喂成棉峪嫂帜岿莹热绰滇躇晕撂栅氖播夹束漏虱胃鄂蛹仅豫捎譬樊摹溉渍茄悸膳泪症恕燥巍钳担此涎枚揭浪臃蛋兽怯戍亩驰颜读狙昆机铆天移掺谎邓溢番璃贸鹏勘锁猖鄂憋植擞贞屎于种门糖陡忱譬霖卧殆涧团录倪草忿赖荐侦思罐婿秀候为吓输疹又闯