网络搭建技术方案
※
目录
第1章项目概述 (2)
1.1 网络改造总体要求 (3)
1.2 网络运维风险分析 (3)
第2章网络升级改造方案 (4)
2.1 网络方案设计原则 (5)
2.1.1 网络拓扑图 (6)
2.1.2 办公外网升级改造 (7)
2.1.3 路由设计规划 (8)
2.1.4 网络IP地址规划 (9)
2.2 网络安全运维 (10)
2.2.1 物理环境安全措施 (10)
2.2.2 网络传输质量QOS (11)
2.2.3 交换网络安全方面考虑和措施 (13)
2.2.4 计算机终端病防毒措施 (18)
2.3 网络安全运维管理方案 (19)
2.3.1 安全体系建设 (19)
2.3.2 网络安全运维管理制度建设 (19)
2.3.3 网络安全运维管理手段 (21)
2.4 网络运维管理平台方案 (22)
2.5 无线网络部署方案 (25)
2.5.1 锐捷无线网络架构优势 (25)
2.5.2 部署便捷,无缝接入现有网络 (25)
2.5.3 无线设备管理 (26)
2.5.4 无线AP部署 (27)
2.6 网络升级改造设备清单 (27)
第1章项目概述
第1章
公司目前的构架:总部—分厂—站。总部通过100M移动宽带连接因特网;分厂使用20M 移动专线连接至总部,各分厂无物理连接;站利用2M移动专线连接直属分厂,各站无物理连接。目前使用用友ERP套件,包括:财务套件、OA套件;并架设了域服务器。
1.1网络改造总体要求
由于目前公司网络存在管理无序、网络速度慢、网络设备老化等问题,作为外资公司在信息化建设相对滞后,公司目前还没有实现办公区域无线网络覆盖,建议在保障网络安全的前提条件下,实现办公区域实现网络覆盖。
1.2网络运维风险分析
1、黑客、工业间谍攻击
网络黑客或工业间谍的入侵行为往往不易被察觉,就算察觉到了,也很难快速定位网络漏洞在哪里,攻击方式是什么,攻击源在哪里都不容易排查出来。
2、新型木马、蠕虫病毒入侵
木马,蠕虫等病毒通常是黑客入侵的第一步,装了杀毒软件和防火墙也很难完全杜绝木马病毒的入侵。博庆公司工作人员网络安全防范意识参差不齐,往往成为攻击的入口。3、信息泄密
公司内部的重要信息通常是通过内网进行传输的,对于防范外部攻击是安全的,但是难以避免“变质”的人员通过各种手段进行信息截取,把重要信息泄露给敌对势力或商业对手。最近几年已经发生了多起信息泄密的事件,给企业带了无法估量的损失。
4、互联网网络带宽被P2P下载,在线视频占用
如果内网出现了P2P下载或在线视频,将会使互联网带宽的出口很快被吞噬殆尽,影响正常的网络应用系统。
5、网络设备老化
公司当前使用的网络产品大多数在5年以上,达到的设备强制报废的年限,网络设备参
差不齐,不利于后续的网络维护工作。
6、网络管理
网络管理还是处于传统的人工管理阶段,出现网络问题的时候往往依靠网络工程师的经验去判断故障点,反应时间相对滞后。
第2章网络升级改造方案
第2章
2.1网络方案设计原则
结合实际应用和发展要求,在进行网络系统设计时,主要应遵循以下原则:
1)高性能:网络要求具有数据、语音、视频等多媒体实时通讯能力。主干网应提供可保证的服务质量和充足的带宽。采用最新科技,以适应大量数据传输以及多媒体信息的传输。整个系统在国内三到五年内保持领先的水平,并具有长足的发展能力,以适应未来网络技术的发展。如:具有三层及以上线速交换能力;支持灵活的跨网络交换机(主干、部门)的基于端口的VLAN划分功能。
2)高可靠性:网络系统是日常业务和各种应用系统的基础设施,应保证工作日和重点时期不间断运行。整个网络应有足够的冗余,设备在发生故障时能以热备份,热切换和热插拔的方式在最短时间内加以修复。可靠性还应充分考虑网络系统的性价比,使整个网络具有一定的容错能力,减少单点故障。
3)标准化:所有网络设备都应符合有关国际标准以保证不同厂家网络设备之间的互操作性和网络系统的开放性。
4)可扩充性:所有网络设备不但满足当前需要,并在扩充模块后满足可预见将来需求。网络设计要考虑本期网络系统应用和今后网络的发展,便于向更新技术的升级与衔接。要留有扩充余量,包括端口数量和带宽的升级能力。
5)易管理性:网络设备应易于管理,易于维护,操作简单,易学,易用,便于进行网络配置,发现故障。
6)支持多媒体:支持文本、语音、图形、图像及音频、视频等多种媒体信息的传输、查询服务,具有多种基于优先级队列的QoS保证,多媒体应用对服务质量有很高的要求,如带宽,延迟,延迟的变化等,需要网络对服务质量(QoS)有很好的支持。
7)安全性:网络系统的数据和文件多数要求具有高度的安全性,因此,网络系统本身要有较高的安全性,对使用的信息进行严格的权限管理,在技术上提供先进的、可靠的、全面的安全方案和应急措施,确保系统万无一失。同时符合国家关于网络安全标准和管理条例。
8)实用性:系统建设首先要从系统的实用性角度出发,满足不同用户信息服务的实际需要,具有很高的性能价格比,能为多种应用系统提供强有力的支持平台。
2.1.1 网络拓扑图
从拓扑图,可分析公司目前的网络弊端:
1、公司目前只拥有1台网络安全产品,只能管控从因特网对内部网络的攻击,并且兼顾着路由器的功能;
2、内部网络无上网行为管理软硬件,;
3、路由器不支持动态路由协议,网络庞大后,维护量巨大;
4、公司目前是二层网络,无法控制广播风暴,易造成网络拥塞;
5、用户使用移动终端更换厂区时,需手动设置IP;没有相应的接入认证,易造成他人窃取公司机密。
2.1.2 办公外网升级改造
办公楼外网升级改造示意图
单位通过以网关、网桥、或旁路模式部署深信服上网行为管理产品,可以有效对内网员工的各种网络应用行为进行管理。上班时间,封掉影响业务效率的非业务应用及相关网站;对挤占公司带宽资源的应用进行流量控制,确保主流的办公应用带宽资源,以提高业务应用的办公效率……具体而言,深信服封堵非业务网络应用解决方案,将给我们带来下述价值:1、全方位封堵p2p ,确保正常办公业务带宽
P2P应用给用户带来了前所未有的速度体验与资源共享,但也挤占了我们大量的带宽资源。P2P的带宽占用问题已经成为每个IT管理者头痛的问题,其所带来的负作用日渐凸显。