篇一:网络改造是什么篇二:网络改造是什么
网络改造方案建议书
目
录
一.
网络状态分析………………………………………….
二.
网络建设目标…………………………………………..三.
网络改造总体设计……………………………………..四.
网络改造结……………………………......................
1/1文档可自由编辑
总
一、网络状况分析
我公司大致网络状况如下:
公司约有70台用户电脑,服务器数量目前为两台。
现有一条4MADSL线路,负责设备、品质部用于外联公网。一条4MADSL线路,负责采购部用于外联公网,另外一条4MADSL线路,负责技术部和其它有权限上网的部门用于外联公网。外线负载极不平衡,利用率很低。
没有专门的机房或地方存放网络设备及服务器,设备无法统一集中管理。
网路出现故障不能第一时间通知电脑使用人员,需电话联系
缺少维护和管理,公司内部线路连接混乱、标识缺失,一旦出现故障时难以快速解决问题。
二、网络建设目标
尽量保留现有网络中的设备,在确保公司正常业务使用的前提下减少公司投资。
各计算机等终端设备之间良好的连通性是需要满足的基本条件,网络环境就是提供需要通信的计算机设备之间互通的环境,以实现网络应用。
许多现有网络在初始建设时不仅要考虑到如何实现数据传输,还要充分考虑网络的冗余与可靠,否则一旦运行过程网络发生故障,系统又不能很快恢复工作,所带来的后果便是企业的经济损失。
网络建设为未来的发展提供良好的扩展接口是非常理智的选择。随着公司1/1文档可自由编辑
规模的扩大、业务的增长,网络的扩展和升级是不可避免的问题。
三、网络改造总体设计
1.机房建设
检查设备安装场地是否符合电气和环境标准;
输入电压允许范围:100V~240VAC50/60Hz或
–40V~-60VDC;
工作温度:0C~40C;
储存温度:-30C~60C;
相对湿度:5~95%无凝结;
配线架内外网段及接口标识清晰,线路整理顺畅;
将服务器、交换机等设备合理放置到机柜上,便利操作;
UPS等设备安装到位,进行断电测试。
2.网络布线及网络设备规范
线路整理顺畅;
网线标识清晰;
综合布线成端清晰;
交换机设备的放置位置与UPS的安装合理。
3.网络改造后建议拓扑图
1/1文档可自由编辑
4.网络改造总结
为节约改造成本,尽量保留现有网络设备与布线,在现的基础上进行优化改造。
三条4MADSL外线搬迁到机房,需要购买多功能路由器WQR-945+进行统一集中管理。
为了大家访问共享文件方便,需购买一块2T硬盘合一硬盘盒
1/1文档可自由编辑
服务器跟网络设备统一搬迁到机房,进行统一集中管理。
为加强内部网络安全,是否考虑购买硬件防火墙,形成一个完整的网络架构。
为加强内部网络安全,是否考虑购买网络版杀毒软件。
制档人:宋星茂______________
审核人:1/1文档可自由编辑
____________
日期:日期:
篇三:网络改造是什么
网络改造方案
一、现状
1、现状路由器(华为
SRG2200)
2、现状汇聚交换机(华为
S5300系列24口poe交换机)
3、民用无线路由器
4、各楼层非网管交换机
5、电信外网带宽专线30M二、改造目的1、提高有线、无线网络访问速度。
2、优化网络架构,VLAN划分各业务网络相互隔离。
3、升级核心设备与无线网络,兼容原有有线网络,优化网络流量。
4、实现基本的用户行为管理和数据分析。
三、方案拓扑
四、方案优势
1、整网状态数据可视化
2、网络状态可视化,自动发现拓扑结构,自动识别设备。
3、用户状态可视化,有线无线均可区分
4、故障快速定位,绿色为正常链路,橙色为故障链路。
5、设备端口状态可视化
6、网络风险发现
7、防环路
(RLDP),支持全网防环路,将避免出现环路导致的网络拥塞、连接中断等情况,发生环路后接入交换机环路的端口将被自动关闭。
8、防私接
(DHCPSnooping),开启防私接后,将避免出现“原网络中的上网终端获取到私自接入路由器分配的IP地址”,以保障网络的稳定性。
9、行为管理,开启的禁止应用,在对应网段将不可访问
你可根据需要,设置控制和管理访问用户对互联网的使用。
10、业务vlan划分,有线二层接入、无线三层接入
11、业务访问控制(ACL),通过将业务网按需拖到【互通区】或【隔离区】,来设置网段之间的访问权限,从而保障网络安全。
12、无线网络调优,支持黑白名单与负载均衡
五、产品选型
1、千兆多WAN口中大企业安全网关RG-NBR6135-E(带机量350,带宽1000M,机架式,6个千兆口,VPN,5WAN,防火墙,行为管理)
2、汇聚24口千兆接入万兆上联三层网管交换机
RG-NBS5200-24GT4XS
(24千兆电口,上联4万兆光口,三层网管)
3、24口千兆接入三层接入网管POE交换机RG-NBS5710-24GT4SFP-E-P(24个千兆POE电口;4个千兆光口;三层网管)
4、AX1800双频Wi-Fi6室内吸顶APRG-RAP2260(G)(支持Wi-Fi6,2个千兆电口,整机无线接入速率高达1775Mbps)
5、AX1800双频Wi-Fi6室内墙面AP
RG-EAP162(G)(支持Wi-Fi6,整机高达1775Mbps无线接入速率)
六、设备清单
序号
设备名称
型号
品牌
功能参数
6个千兆电口,1个千兆光口,2个USB口,一个
Console口;可带机350终端,支数量
单位
单价(元)
合计
备注
1网关
RG-NBR6135-E锐捷
持1000M带宽;集成AC(无线控制器),可管理32个AP或64个WALLAP,可选配1T硬盘配件。
三层网管交换机,交换容量336Gbps,包转发率108Mpps,24个10/100/1000Mbps自适应电口交换1台
¥2,400.0¥2,400.02三层核心交换机
RG-NBS5200-24GT4XS锐捷
机,固化4个SFP+万兆光口,支持静态路由、三层聚合口、ACL、端口镜像等功能,支持睿易APP和MACC云平台统一管理。
三层交换机,交换容量336Gbps,包转发率51Mpps;24个10/100/1000M自1台
¥1,400.0¥1,400.0RG-3三层POE交换机
NBS5710-24GT4SFP-E-P锐捷
适应电口,支持PoE/PoE+,4个SFP光口,PoE总功率370W;支持RIP,OSPF等路由协议;支持1台
¥2,600.0¥2,600.0DHCPserver;支持虚拟化;支持MACC云平台统一管理。
1775M双频千兆吸顶AP,双千兆LAN口上联,内置天线,支持2.4GHz/5GHz双频通信,支持802.11a/b/g/n/acWave1/Wave2/ax协议。支持AP4无线吸顶APRG-RAP2260(G)锐捷
与路由两种工作模式,支持二、三层漫游,支持睿易一体化组网,支持“睿易”APP管理。支持802.3atPoE供电和本地供电(PoE+供电设备和DC适配器需单独采购)
5UPS套装
C3KS山特
2400瓦供电一小时,1台
¥7,738¥7,738.09台
¥1,300.0¥11,700.067施工费用及网线配件
合计
1项
¥8,000.0¥8,000.0¥35538.0七、施工方案
1、安装AP设备,敷设线缆,预计工期1天完成。
2、更换网络设备,调试网络,加装UPS设备,预计工期1天完成。
八、改造成果
改造核心成果,解决现有带宽慢且时常中断现象,解决因停电对机房设备造成的损坏。
1、替换原有民用路由器,采用企业级AP管理,无缝覆盖且不间断切换无线。
2、优化带宽,对下载及大流量行为进行管控,将带宽用于办公。
3、对业务服务器进行带宽分割,保障业务服务器有充足的带宽资源。
4、采用一小时ups对机房设备进行保障,降低突发断电造成的设备损坏。
篇四:网络改造是什么
XXXXXX网络改造方案
计
划
书
网络现状与不足
现XX单位采用代理服务接二层交换机的方式共享上网,整个网络无核心转发设备,主要靠服务器替代路由器进行数据交换。这种方式已经成为限制网络带宽的瓶颈,极大的限制了用户的上网速度;并且无法实行网络限制和上网行为管理,同时无法抵御来自外界对服务器的攻击。因此,计算机之间互通无安全保障,更重要的是造成网络资源的严重浪费,影响了内部网络办公环境。
硬件方面,XX单位与分部采用的是二层交换机接入用户。此部分设备参数不高,性能方面也不能满足现有用户的需求。XX单位机房共有8台交换机,其中6台为外网交换机,2台为路网交换机。交换机提供端口总数(含外网和路网)为178个,已用端口总数(含外网和路网)为173个。各房间累计的端口总数为306个,因此交换机的数量严重不足。分部共有6台交换机,均为外网使用,交换机提供端口总数为133个,各房间累计端口总数为172个。所有可用端口都已占满,无空闲端口。如需新增端口,则暂无法实现。如下表:
XX单位本部
代理服务器
二层交换机数
交换机已用端口数/端口总数数
交换机剩余端口数
各房间网络端口总数
各房间已用端口总数
外网
1台
6台
131/1332306173路网
2台
42/453分部有限公司
代理服务器
二层交换机数
交换机已用端口数/端口总数
交换机剩余端口数
各房间网络端口总数
各房间已用端口总数
1台
6台
133/1330172133XX单位目前采用代理服务器上网的方式,暂时无法进行网络管理,只能查看当前网络状态的累计总流量。无法实时的监测网络状态、数据流量和网络资源的使用情况;同时也无法实现网络流量的分配、限制以及上网行为的管理。
分部与XX单位采用了相同的上网方式。不同的是,分部的在代理服务器上安装了CCPROXY代理软件,有效地对网络进行监控与资源的定向分配,但在无硬件设备支持的软件环境下,网络资源的使用也受到了一定的限制。
总体来说,两地网络体系相对独立,主要依靠互联网进行通信;硬件上不支持远程网管功能,因此无法做到统一的规划与管理。
网络改造方案
网络结构的改造
网络结构改造将采用“光纤-防火墙-核心交换机-接入交换机-终端用户”的方式代替原有代理服务器的共享上网,并通过搭建VPN虚拟网络将XX单位本部与分部有限公司进行连接,实现数据传输与资源共享。如图所示:
网络改造中,原有的代理服务器将被防火墙替换,利用企业级VPN防火墙作为连接外网的设备。VPN防火墙可以抵御外部攻击,保证网络内部环境的安全;同时又可以实现VPN虚拟连接的功能,从而实现两地通信;并且支持用户
在任何有网络的地方接入企业局域网,实现在现场和家里办公。VPN防火墙直接接入核心交换机,核心交换机负责所有用户内外网的数据交换与转发。通过核心交换机,可以大大提高网络资源的利用率,实现网络资源合理分配与使用。核心交换机下连接多个二层交换机,根据用户的数量进行配置,二层交换机直接连接用户,起到扩展端口的作用。
无线网络覆盖:
无线网络覆盖方式,可搭建无线控制器连接多个AP来扩展无线信号覆盖区域。根据XX单位房间分布情况,每层至少需架设3个AP点,共13个AP点(一楼1个AP点,六楼不设)方可覆盖楼层大部分办公区域,同时每个AP点可支持20个终端用户。此方式可以将整个XX单位覆盖在统一的无线网络内,实现无缝网络覆盖。但架设成本高,性价比低;并需要对每个楼层进行重新布线,不但施工量大,还可能对楼体造成破坏。
方案一:
思科设备方案
设备清单如下:
无线网络设备清单
设备名称
设备型号
主要参数
24口1000Base-TX4口SFP(Combo)
D-Link无线控制器
DWS-3024L机架式(PoE兼容802.3af标准)支持24个AP支持AP型号:DWL-3500AP/DWL-8500AP网络标准:IEEE802.11b、IEEED-Link无线接入器
DWL-3500AP数据传输率:108mbps频率范围:2.4GHz-2.4835GHz
天线:带反向SMA连接器
数量
参考报价
总价
1¥17,000¥17,00013¥1,500¥19,500合计
¥36,500备注
由供货商提供AP点架设的网线布置,施工费500元/天
网络设备的改造
设备需求包含防火墙、核心交换机和接入交换机。其中防火墙与核心交换机各2台,分别置于XX单位与分部有限公司;根据需要的网络端口,XX单位需二层接入交换机10台(不包含路网用户),分部需8台二层交换机。网络设备清
单如下:
设备名称
设备型号
主要参数
网络吞吐量:450Mbps数量
参考报价
总价
防火墙
思科ASA5520-BUN-K9并发连接数:280000网络端口:千兆以太网端口*4入侵检测:DoS
安全过滤带宽:225Mbps传输速率:2¥26,000¥52,000三层核心交换机
10/100/1000Mbps端口数思科WS-C3560-24TS-S量:28个
背板带宽:32Gbps
网络管理:网管SNMP,CLI包转发率:38.7Mpps
接口数目:24口
2¥13,000¥26,000二层接入交换机
合计
备注
思科SF200E-24传输速率:10M/100M/1000Mbps
网管功能:智能Web网管
18¥1,500¥27,00¥105,00由供货商检测现有网络设备的参数及性能,如现有设备与新购置设备参数匹配,则可代替新购置设备继续使用。(300元/天服务费另算)
所需设备购置清单如下表:
购置设备清单
网
络
核
心
设
备
防火墙
设备名称
设备型号
思科ASA5520-BUN-K9数量
参考报价
总价
备注
2¥26,000¥52,00三层核心交换机
思科WS-C3560-24TS-S2¥13,000¥26,000二层接入交换机
无
线
接
入
设
备
思科SF200E-2418¥1,500¥27,00D-Link无线控制器
DWS-3024L1¥17,000¥17,00D-Link无线接入器
DWL-3500AP13¥1,500¥19,500技
术
支
持
施
工
搭建、调设备服务费用
5天
¥300/天
¥1,500试硬件设备
网络布线费用
2天
¥500/天
¥1,000各楼层AP点的布线
合计
¥144,00方案二:
神州数码设备方案
关于分部和XX单位的办公网络情况的汇报
经过了解,现在将分部以及XX单位的办公网络现状以及解决方法向领导进行汇报说明,请领导审阅。
我们现在的网络现状及主要问题表现
公司和XX单位的办公网络,统一建设的时间是5年前,陆续为了满足接入端口数量的需求,只是零星采购了简单的交换机,满足端口数量的需求。现在主要表现的问题如下:
1、公司和XX单位的网络,都没有可以进行有效管理的核心交换机设备。XX单位使用的是一台普通的24口,千兆交换机,通过级联的方式连接,只是满足了接入端口数量的需求,没有管理和规划;
2、公司和XX单位形成各自独立的网络体系,双方不能互联,只能通过邮件的方式进行应用数据的交换,降低了工作效率;
3、网络出口没有可以控制的管理手段和工具。现在XX单位的网络带宽已经提高到了50兆,威克公司方面的带宽也已经提高到了10兆。但对于内部的上网行为缺乏有效的管理,就类似于我们修了一个双向12车道的公路,但是没有交通规则,什么车都在上面走,而且没有规矩,必然会造成正常的网路应用速度缓慢;
4、我们现在的上网代理,使用的是Windows2003搭建的ISA代理服务器,软件的代理在管理几十个或者十几个用户的时候,不会有问题,但是当用户数量增多,同时内部人员上网没有很好的控制的情况下,必然将代理服务器“拖死”;
5、公司、XX单位的中心机房,机架上面的交换机过于陈旧,按照正常的网络设备淘汰时间是5年进行一次升级,一般的企业,计算机类设备的固定资产折旧年限就是5年,而且,我们的交换机“不可管理、不可配置、不可控制,带宽小”,最小的连接带
宽只有10M,网络设备搭配不合理;
6、XX单位和公司之间,没有形成很好的信息共享,不能提高公司和XX单位内部之间的办公效率,办公还是停留在E-mail、QQ等原始手段,表格传来传去,出错概率大,而且不可追溯。
以上6个方面是我们公司和XX单位方面的网络现状。
建议的解决方法
鉴于上述的网络现状和问题,我们的解决方法是,首先,对现有的网络情况进行改造,改造集中在中心机房内部,对于连接各办公室间的布线系统,不做大规模调整,以最小的减少影响员工办公的时间,对于特殊不能满足的办公室,做局部调整和改造。对于公司和XX单位方向网络中心的改造,我们可以分步进行,按照先后顺序为:
1、首先建设XX单位和威克公司之间的VPN通道,数据中心的位置我们投入一个性能高一点的VPN防火墙设备,另外一个办公地点,使用一个能够满足需求的VPN防火墙设备。原因是,这种一个办公区域到另外一个办公区域的VPN联网(就是网络界里面说的网关到网关)对于内部办公人员,没有感觉,只要按照自己的需要访问需要的目标服务器就可以了。例如:OA办公,就是直接在客户端上面登陆,就能进入公司和XX单位的内部办公网络;
2、将现有的代理服务器取消,使用VPN防火墙做地址转换,承载公司内部的用户上网;
3、通过防火墙网关的管理,能够实现上网行为的控制,避免内部员工大量使用BT类下载软件占用网络带宽,也能大大提高内部网络的应用效率;
4、将公司、XX单位的中心机房,各增加一台核心交换机,同时升级现有的接入层交换机,改变现有网络不能管理的局面;
5、将来随着公司业务的开展,也可以将京天威公司通过VPN通道接入到整个网络里面,解决数据的远程传递困难,不能数据共享,办公效率低下的问题;
6、第一步,改变现有的网络出口+VPN连接+内部网络上网管理是关键,如果投资有限,应该首先实施这一部分;
7、XX单位的无线网络,现在可以通过布设在走廊上的无线接入点,进行接入,通过认证技术,可以实现只有授权的人员能够接入无线网络,没有授权的人员不能接入网络的安全需求。
改造以后的网络结构如下:
改造后能够带来的好处
通过改造,能够实现给我们的工作带来的改善如下:
1、提高公司和XX单位,上网访问速度;
2、实现上网行为的有效管理,由原来“交通秩序混乱”的状态,变为“可以控制的交通行为”;
3、可以实现公司与XX单位之间通过安全加密的VPN通道进行连接,达到异地的“虚拟局域网络“连接,为实现内部OA系统,以及将来的全面ERP系统奠定网路基础;
4、提高公司、XX单位内部办公网络的连接带宽,变为不可管理的网络,为可以管理的网络;
5、外出公出的同事,可以借助架设在公司中心机房内的SSLVPN功能,实现可授权管理的远程接入访问,提高接入的安全性,对接入行为可以控制和追溯;
设备改造清单如下:
哈尔滨分部股份有限公司网络改造设备清单
(XX单位部分+VPN连接)名称
型号
产品描述
单价
数量
金额
备注
XX单¥11,002¥22,00位和公司各一台
全千兆三层交换机,24口10/100/1000Base-T+4口核心交换机
DCRS-5750-28T千兆SFP(Combo)接口+2个万兆插槽,基于ASIC的硬件线速
IPv6,220VAC。新外观,黑色机箱
DCN802.11n室内增强型无线接入点AP(2.4GHz单无线AP无线接入控制系统
无线控制器
DCWS-6028DCWL-7942AP(R3)路单频,3x3MIMO,胖/瘦模式自动切换、天线可拆卸,PoE和本地供电)DCN有线无线一体化智能控制器,含24口10/100/1000Base-T+4口千兆SFP(Combo)接口+2个万兆(XFP/SFP+)扩展插槽,默认含32台AP管理许可,最多可支持256台AP,64台AC集群,1+1,N+1,N+N冗余备份
中小型企业级安全网关,物理端口8个10/100/1000M以太网电口,1U机架式,带网络行为应用特征库,具备VPN网关+防火墙
DCFW-1800S-V2按照网络行为特征进行行为管控。最大并发连接数600000,每秒新建连接数13000个,网络吞吐量600Mbps,IPSEC隧道数量10000个,支持10000个策略数。
+系列(无铅工艺,高品质),24端口10/100M+2口10/100/1000Base-T机架式交换机
¥24,602XX单位一¥49,20台,威克公司一台
¥37,801¥37,80¥2,5210¥25,20布置在XX单位
DCS-1026+(R4)接入交换机
DCS-1064(R2)¥953¥2,8548端口10/100M+2口10/100/1000Base-T¥1,4510¥14,50合
计:
¥151,55方案对比
方案一:思科设备方案:
优点:核心设备采用了思科的品牌;能保证网络运行状态的高效、稳定与安全;国际一流品牌,品牌效应强。
缺点:无网络实时的监测和上网行为管理功能(思科、华为及H3C等品牌均不支持此功能,部分国产防火墙支持)。如需此部分功能,需另添加专业的上网行为管理设备,如:深信服行为管理设备(约15000元/台)。
方案二:神州数码设备方案:
优点:核心设备采用神州数码品牌;管理功能强大,具有较多形式的上网行为管理功能,支持网络实时监控。
缺点:不具备品牌优势。
篇五:网络改造是什么
有限公司网络改造方案
设
计
方
案
批准
审核:
校对:
编写:
二○一七年十月九日
目录
一、改造需求................................................................................................................................3二、网络现况................................................................................................................................31、现场现况:
..........................................................................................................................32、存在问题:
..........................................................................................................................3三、网络建设目标
........................................................................................................................3四、无线设计................................................................................................................................31、结构设计
..............................................................................................................................32、AP选型
................................................................................................................................43、射频设计
..............................................................................................................................4五、网络架构设计
........................................................................................................................41、拓扑结构
..............................................................................................................................42、软件:..................................................................................................................................4六、设备拓扑图............................................................................................................................5七、设备清单................................................................................................................................6八、产品介绍................................................................................................................................61、防火墙..................................................................................................................................62、交换机..................................................................................................................................3、行为管理器
..........................................................................................................................4、无线......................................................................................................................................一、改造需求
对办公网络进行整体升级改造,升级改造分为三部分:
1、硬件升级改造,更换现在办公网络所有的硬件设备,包括交换机、路由器等网络设备。
2、网络升级优化,在硬件升级改造完毕后对网络进行整体的升级优化。
1)
对IP地址重新规划。
2)
对网络内所有客户端进行流量限制以及行为管理等。
3)
对网络按部门进行划分。
3、对新建仓库以及现有办公室、会议室建设WiFi覆盖。
二、网络现况
1、现场现况:
经过现场调研了解,在办公大楼已具备一定规模的网络,接入客户端大约有100多个,整体网络的核心为一台二层H3C交换机,在较大的两个办公室的接入层为H3C100M二层交换机,而其他较小的办公室则使用普通的100M8口交换机等,交换机摆放位置不恰当,线路凌乱,维护难度大等,无线方面则使用普通家用无线路由器。
2、存在问题:
1)目前所使用的网络设备虽然满足目前办公需求,但功能单一无法满足随着公司人数以及业务增长和发展的需求。
2)IP网段划分单一,且只有一个地址池可用IP数量越来越紧张。
3)整体网络均在同一Vlan下,若发生广播风暴或者ARP病毒等所有客户端均会受到影响。
4)无线方面使用的是普通家用路由器,在使用前均需要网管手动设置好方可接入,若员工私下接入则会对整个网络造成影响,且家用无线路由器的信号干扰大,稳定性差等问题。
三、网络建设目标
在系统设计时充分考虑到系统的先进性、实用性、可扩充性和可维护性,给用户提供最佳的产品和解决方案,建立一个可靠性高、运行速度快、扩展性强、安装维护简单、成本较低的办公网络。
在解决现有问题的同时还必须考虑到日后的扩展,此项目将采用华为公司的产品构建高速办公网络,为了更贴合使用环境和需求,核心层以骨干链路均使用千兆连接、而无线产品将使用2.4GHz、5GHz的双频产品。
四、无线设计
1、结构设计
使用AC+AP方式设计,AC以旁路形式接入到核心交换机对AP统一进行控制,AP则分散接入到各个接入层交换机当中。
2、AP选型
为了达到更好的体验效果此方案将使用双频段的802.11a/b/g/n室内型AP。
3、射频设计
1)频率
主要采用2.4G频段进行覆盖,而5G频段则进行近距离高速接入。
2)SSID按照用户需求可以配置多个SSID。
3)加密方式
支持WPA(TKIP)、WPA2(AES)、WPA-PSK、WEP(64/128位)数据加密,可由用户自行选择加密方式。
4)信道
信道采用手动模式部署,由于2.4G和5G的特性不一样,2.4G使用1、6、11信道进行部署,5G则采用自动模式部署。
五、网络架构设计
1、拓扑结构
整体网络采用两层结构,核心层和接入层
核心层:包括核心交换机、防火墙、行为管理器、无线控制器、原有VPN等设备
接入层:包括接入层交换机、无线接入点。
2、软件:
1)vlan划分:按部门划分,每个部门一个vlan。
2)IP地址分配:由部门vlan进行自动分配。
3)IP地址规划:每个部门一段C类IP地址,每个部门的前10个IP地址均保留给设备使用,如网关等。
4)访问控制:部门与部门之间不能互相访问,但可以访问服务器和打印机,总经理则不受限制。
隆基电子有限公司网络升级改造方案IP\VLAN规划部门总经理办公室服务器\网络设备工程部物控部QCPE报关仓库生产办公室设备保留\备用无线
VLAN88100110120130140150160170180190200IP段192.168.88.10-254/24192.168.100.10-254/24192.168.110.10-254/24192.168.120.10-254/24192.168.130.10-254/24192.168.140.10-254/24192.168.150.10-254/24192.168.160.10-254/24192.168.170.10-254/24192.168.180.10-254/24192.168.190.10-254/24192.168.200.10-207.254/21网关192.168.88.1192.168.100.1192.168.110.1192.168.120.1192.168.130.1192.168.140.1192.168.150.1192.168.160.1192.168.170.1192.168.180.1192.168.190.1192.168.200.1六、设备拓扑图
防火墙原有VPN行为管理器核心交换机无线控制器接入层交换机客户端
AP
七、设备清单
设备品牌型号产品描述SSG140System,512MBmemory,0PIMcards,ACpowerEX3200,48个10/100/1000BaseT(8POE接口)+320WACPS?EX3200,24-port10/100/1000BaseT(8-portsPoE)+320WACPSEX3200,48个10/100/1000BaseT(8POE接口)+320WACPS?千兆无线控制器,默认管理8个NAP,2个千兆电口无线控制器增加管理1台AP的授权支持802.11b/g/n,最大接入速率300Mbps,胖瘦一体化;支持POE和本地供电AP外置电源适配器12V2A适用于NAP-3600本地供电并发会话数120000、4千兆RJ45数量防火墙接入层接入层核心层AC管理AP数量授权APPOE供电模块上网行为管理器机柜安装调试费用JuniperJuniperJuniperJuniper信锐信锐信锐信锐深信服图腾SSG-140-SBEX3200-48TEX3200-24TEX3200-48TNAC-6100NAC-License-1APNAP-2400-S12V,2A电源适配器AC-1220挂壁、12U1231121010171八、产品介绍
1、防火墙
安全业务网关是专用安全产品为中等规模的分支办公机构和企业部署提供完善的安全、路由和局域网/广域网连接能力。通过状态防火墙、IPsecVPN、IPS、防病毒包括防间谍软件、防广告软件、防钓鱼、防垃圾邮件和网页过滤等全套统一威胁管理安全特性可保护进出分支办公机构或企业的流量不受蠕虫、间谍软件、木马和恶意软件的侵袭
瞻博网络
XXXX安全业务网关是一款适用于分支办公机构或中小规模的独立企业的高性能安全平台能够帮助企业免受内外攻击并阻止未授权的访问从而满足法规遵从性要求。XXXX是一个模块化平台能够提供超过
350Mbps的状态防火墙吞吐量和
100Mbps的IPsecVPN吞吐量。
安全性
由一流合作伙伴提供支持的经实践检验的统一威胁管理
(UTM)安全特性能够提供防御蠕虫、病毒、木马、垃圾邮件和不断出现的恶意软件的能力。为了满足内部安全和法规遵从性要XXXX系列支持一整套高级网络防护特性例如安全域、虚拟路由器和虚拟局域网使管理员能够把网络分割为不同的安全域每个域都运行自己独特的安全策略。保护每个安全域的策略包含了接入控制规则以及任意
UTM安全功能所提供的检测规则。
连接和路由
XXXX支持
10个板载接口8个
10/100和
2个
10/100/1000并有4个辅助
I/O扩展槽适用于额外的LAN和WAN接口T1、E1、ADSL2/2+、G.SHDSL、ISDNBRIS/T、串口和10/100/1000使
XXXX成为该级别产品中扩展能力最强的安全平台。灵活的I/O选件加上其路由引擎中的广域网协议和封装支持使
XXXX平台能够被作为路由器或集成的安全与路由设备轻松部署在传统的分支机构中从而降低资本支出和运营成本。
接入控制实施
在瞻博网络统一接入控制部署方案中通过简单地增加
IC系列UAC产品XXXX系列网关便可作为接入控制实施点。IC系列产品与
XXXX系列交互通过充当中央策略管理引擎来扩充或替换基于防火墙的接入控制。为了适应攻击场景和用户特征的不断变化XXXX基于更多的细粒度标准包括端点状态和用户识别来允许或拒绝接入。
世界级支持
从简单的实验室试验到大型网络部署瞻博网络的专业服务人员都将竭诚与您的团队进行协作以确定目标、定义部署流程、创建或验证网络设计并管理部署工作直至成功完成
2、交换机
2.1核心交换机&接入层交换机
系列以太网交换机提供第2层和第3层交换功能,可满足高绩效企业的配线间连接要求。交换机支持4种平台配置模式,为部分或全部的24个和48个10/100/1000BASE-T端口提供以太网供电(PoE)。24和48端口XXXX系列交换机的基本机型支持第3类PoE,在前8个端口上提供15.4瓦的电力,用于在融合网络中支持电话、摄像机和无线局域网(WLAN)接入点等基于IP的产品。XXXX系列交换机还提供在全部24或48个端口上都提供15.4瓦电力的PoE选项,适用于高密度IP电话和其他的融合网络环境。
架构和主要组件
XXXX系列交换机为1RU高的标准机柜,能够为空间和电力都十分宝贵的拥挤的配线间和接入交换机房提供小巧的解决方案。
每个XXXX系列交换机都支持可选的前端面板上行链路模块,可提供4个千兆以太网端口或2个万兆以太网端口,用于通过可插拔的光接口在配线间与上游汇聚交换机之间建立高速骨干或链路汇聚连接。用户在安装上行链路模块时无需给交换机断电,因此能够随时添加高速连接或从千兆以太网迁移到万兆以太网上行链路,以便实现极为灵活的高性能互连。
XXXX系列交换机还提供前端面板LCD显示器,以便作为灵活的界面来执行产品启动、配置回退、报警和指示交换机状态、或者将交换机恢复为默认设置等任务。
XXXX系列交换机的后端面板提供1个专用于带外管理的RJ-45以太网端口,同时后端面板还提供1个用于轻松加载JUNOSTM软件和配置文件USB端口。
特性和优势
高可用性特性
现场可替换的电源:XXXX系列交换机支持现场可替换的AC电源,从而缩短了MTTR。如果部署了可选的外部冗余电源,则EX3200系列交换机上的内部可替换电源将变成热插拔电源。
可热插拔的风扇托架:固定配置的XXXX系列交换机包括可热插拔的现场可替换风扇托架,从而缩短了MTTR。
运营商级硬件:固定配置的XXXX系列交换机利用基于ASIC的专用数据包转发引擎EX-PFE,该引擎集成了瞻博网络运营商级路由器所提供的大多数技术。因此,XXXX系列交换机能够像部署在全球最大型网络中的瞻博网络路由器一样,提供相同级别的可预测的、可扩展的功能。
冗余中继组(RTG):为了避免生成树协议(STP)的复杂性并且不影响网络永续性,XXXX系列交换机使用冗余中继组来提供必要的端口冗余并简化交换机配置。
3、行为管理器
技术的变革带来用户环境的变革,从而带动用户需求的变革
●
无线网络的迅猛发展,给网络环境带来巨大的变革,企业的有线办公正逐步向无线办公转变
●
移动智能终端已经超过PC成为第一终端,对移动终端的管理成为企业IT部门关注的问题
●
移动应用多种多样,不但占用带宽还占用员工上班时间,对移动应用的管控将成为企业必须面对的问题
●
无线硬件成本低廉,用户私接随身Wi-Fi给移动终端上网,不但占用网络资源,还给企业造成管理漏洞
全网全终端统一管控、管理无漏洞
●
能够管理有线网络、无线网络,同时能管理移动终端、PC/笔记本,让管理毫无漏洞
●
能够对移动应用进行有效的识别和精细管控(如微信传文件、微信聊天、微信朋友圈)
●
对非法无线热点能够及时发现和精准控制,秒级识别非法热点
●
能够基于位置、应用、终端、用户四维一体的进行识别与权限控制
上网行为管控更有效:上网应用识别更有效、管控更精细
●
应用识别种类更多(近600种移动应用)、时效性更强(2周更新及时淘汰)、准确度更高(迅雷、PPStream、风行等全流量识别)
●
应用控制更精细,区分动作(如社交网站的浏览、发帖回帖、上传)、区分方向(如网盘的上传,下载)
●
应用行为标签化管理,策略部署更简单、无遗漏
上网行为管控更有效:流量管理更精准、控制保障两不误
●
精确控制P2P上下行流量,带宽利用率提高30%●
流量管理策略更灵活,呈现更直观(能够针对URL类型、文件类型做流控,通道流量实时可视化以及细粒度的可视化报表)
●
动态流控,突破限制上限,不浪费带宽
上网行为管控更有效:外发数据识别更精确,真正防泄密
●
多种外发途径的有效管控(网盘上传附件控制、论坛上传附件控制、邮件外发附件审计与控制、IM外发文件控制等)
●
SSL加密内容识别与控制(邮件客户端收发加密邮件、加密论坛审计等)
4、无线
4.1无线接入点
XXXX是XXXX自主研发的802.11n无线接入点。XXXX内置全向天线,支持802.11b/g/n协议,最大无线接入速率达300Mbps,可提供更快的无线上网和更大的无线覆盖范围。
XXXXXXXX支持本地供电与PoE远程供电,可根据客户现场供电环境进行灵活选择。配合XXXXNAC系列控制器,为用户带来前所未有的快速体验和更安全的业务接入。
该系列产品基于室内放装型设计,外观美观大方,安装方便,适用于桌面放装以及挂壁。
11n高速接入
XXXXXXXX遵从11b/g/n协议标准,采用
2x2MIMO技术,最大传输速率可达300Mbps,可以有效地从覆盖范围、接入密度、稳定运行等方面提供更高性能的无线接入服务。
服务质量保证
XXXXXXXX支持丰富的服务质量保证(QoS),支持基于应用/SSID/STA多种模式的无线空口资源管理,保证无线带宽资源合理分配,保障重要SSID和重要应用的数据优先传输;支持802.11e/WMM,可对不同业务数据定义传输优先级等,真正实现顺畅无线办公。
二三层无缝漫游
XXXXXXXX结合XXXX无线控制器实现二三层无缝无感知漫游,当无线用户漫游时,保持IP地址与认证状态不变;并提供防终端粘滞功能,智能引导STA接入最佳AP上,提高漫游速度。
防终端拖滞,保证全网用户高速上网体验
防终端拖滞,采用时间公平算法,让不同协商速率的终端占用相等的无线信道时间,有效的解决某些终端接入速率过低导致无线上网卡、延时大、整个网络性能低下的问题。
智能负载均衡
在高密度无线用户的情况下,XXXXXXXX结合XXXX无线控制器通过基于用户数、流量的智能负载均衡,提高带宽利用率,保证用户的无线上网高速体验。
智能射频,全面降低无线干扰
自动调节无线接入点的工作信道及发射功率,并对周围环境干扰进行实时检测,全面降低无线干扰,提高无线网络的整体服务质量。
全面的安全防护
多种易用、安全的认证方式
提供多种灵活、易用、安全的用户认证方式,结合XXXX无线控制器实现802.1x、Portal、短信、微信、二维码授权、WAPI等认证方式,很好的满足了企业、学校、商场、酒店、金融等环境下的网络部署。
VPN远程访问
AP搭配XXXX无线控制器建立VPN加密通道,实现接入AP的无线用户访问企业内网资源共享,访问公网或本地资源时直接走本地转发。AP自带VPN功能,小型办事处无需部署VPN设备,节省了客户的网络部署成本
全面的无线安全防护
配合XXXX无线控制器,XXXX具备WIDS(无线入侵检测)/WIPS(无线入侵防御)、非法接入点的检测及反制、防ARP欺骗、DOS攻击防御等一系列无线安全防护功能,从根本上为用户构建真正安全可靠的无线网络。
射频定时关闭,保护网络安全,绿色环保
支持基于时间段定时关闭和开启射频,在夜晚或周末放假休息的时候可以自动关闭无线网络,防止不良分子利用深夜入侵网络,同时达到减少设备能耗的目的。
灵活网络部署
网关功能,跨公网远程部署
XXXXXXXX支持NAT网关功能,并具备DHCPserver和DNS代理功能,分支机构或门店在远程部署无线网络时,可以通过XXXX提供的PPPoE拨号功能直接连入互联网,降低网络建设成本。
胖瘦一体化
AP支持胖瘦一体化(支持胖和瘦两种工作模式),可以根据不同的组网需要,随时灵活的进行切换。当网络建设前期没有配置无线控制器时,AP可工作在胖模式,胖模式下的AP可自行独立组网使用;当后期AP规模较大并配置了无线控制器时,可将AP切换成瘦模式,由XXXX无线控制器统一集中管理,实现全网集中管控、安全认证、流量管理、行为控制、行为审计等。
本地转发
XXXX通过本地转发技术可以将传输要求实时性高、延迟敏感、数据量大的数据直接通过有线网络转发,无需再经过无线控制器,这样可以极大缓解无线控制器的流量压力,突破无线控制器的流量瓶颈限制。
虚拟AP技术
通过虚拟无线接入点(VirtualAP)技术,最多可提供16个ESSID,不同的SSID使用不同的认证接入方式和上网访问权限,不同SSID之间互相隔离的,可以对使用相同SSID的子网或同一个VLAN下进行终端二层隔离,保证用户数据安全。
中文SSID支持中文SSID,可指定最长包含32个字符的SSID,也可以使用中英文混合的SSID,为商场或企业提供个性化的SSID,提高识别度。
4.2无线控制器
XXXXNAC-6100无线控制器是XXXX技术自主研发的多元化、高性能的无线控制器设备,集无线控制器、用户认证、营销推送、客流分析、用户画像、上网行为管理、流量控制、上网行为审计、VPN、防火墙、Portal服务器、网络管理系统于一体。NAC-6100无线控制器可管理XXXX全系列AP,并具有二三层无缝无感知漫游、智能射频、多元化的认证方式、O2O增值营销、精细化的用户行为管理、灵活的QoS控制、无线协议优化、有线无线一体化等功能。
无线控制器支持集中转发和本地转发,可部署在任何2层或3层网络结构中,可减少企业无线部署复杂度;同时还支持网关路由模式,降低无线网络部署成本。XXXXNAC-6100无线控制器打造更安全、会营销的无线网络。
配合XXXX无线AP系列,定位于中型WLAN接入业务,如:企业、商超连锁、校园、酒店、医院、政府、金融、景区等高速的WIFI应用场景。
二三层无缝无感知漫游
XXXX无线控制器支持集中转发和本地转发,可部署在任意二、三网络结构中,跨越三层网络结构部署,简化部署环节。当无线用户漫游时,保持IP地址与认证状态不变,从而提供全网无缝无感知三层漫游。
智能射频,全面降低无线干扰
自动调节无线接入点的工作信道及发射功率,并对周围环境干扰进行实时检测,全面降低无线干扰,提高无线网络的整体服务质量。
防终端拖滞,终端公平访问
防终端拖滞,采用时间公平算法,让不同协商速率的终端占用相等的无线信道时间,有效的解决某些终端接入速率过低导致无线上网卡、延时大、整个网络性能低下的问题。
APP和文件缓存
无线控制器内置硬盘,支持APP和文件的缓存,方便用户就近下载APP,避免从公网下载浪费带宽资源,也为APP营销做有利的支撑。同时也支持文件的缓存,可以提前在控制器后台设置需要缓存的文件格式,控制器就能按照规则缓存该文件。方便用户就近调取。
负载均衡
在高密度无线用户的情况下,通过基于用户数、流量、信道利用率、频段的智能负载均衡,提高带宽利用率,保证用户的无线上网高速体验。基于频段的负载均衡,使支持2.4G/5G双频的终端优先接入5GHz频段。同时,可以根据不同的区域、不同的建筑物设置不同的负载均衡参数,使负载均衡效果更佳,使用更灵活。
篇六:网络改造是什么
网络改造方案
第一篇:网络改造方案
公司网络改造解决方案
根据公司网络需进行改造事项,我们组织相关部门征集了网络改造需求和改造方法的建议,并汲取相关我公司网络改造的其它方案优点,经汇总提出如下网络改造解决方案。
一
需求分析
带宽分析
公司网络出口是10M共享光纤,主要的应用是访问internet,考虑到成本及目前设备的利旧问题,我们网络主干仍然以百兆链路为主,出口目前带宽可以满足需求。网络管理
由于公司网络中用户数量较多(约160点),需要对不同用户访问网络资源加权限控制和日志记录,还要将职能部门划分不同网段,保护各自数据安全。
安全分析
目前,公司网络出口没有任何隔离防护设备,所有上网均是通过一个免费代理软件实现,安装该软件电脑应该使用服务器级别设备,而我们现在是用普通PC承担代理服务,造成上网速度时快时慢不稳定。另外,公司局域网内未设统一病毒防护,这对网络接入电脑安全均有潜在威胁,因此需要增设必要网络安全及病毒防护措施。
网络应用分析
目前公司运行邮件系统硬件性能低、软件功能差经常出现:丢失客户、供应商及外协单位邮件;垃圾邮件逐渐增多;公司内生产、财务及工艺文件邮件经常被退信;邮件客户端发件时经常有错误提示等问题。
公司网站服务器、域名解析服务器、代理服务器因配置低,不仅影响外网访问我们公司网站速度也不利于我公司网站建设。
二
网络改造设计
在互连网出口增设边界路由器,隔离内、外网络及应用服务器。
升级核心交换机,可实现网段划分和访问控制。网内统一部署正版杀毒软件及接入电脑病毒升级管理,购置正规销售邮件软件,更新邮件服务器、网站服务器、代理服务器及相应软件,提高网络应用性能。
经上述改造可以使公司网络及其应用系统的稳定性,安全性,控制性得到很大提高,能较好保证网络正常运行。
三、网络改造拓扑图:
PC。。。。。。。。。。PC四、网改费用预算
注:
1、诺顿企业版杀毒软件仅供一年免费升级服务,产品购买第二年开始,诺顿服务器端升级费
1000元,客户端200点总计费59400(优惠价38610)元。卡巴二年免费升级,第三年起续费总价71862(优惠价46710.3)元。
2、邮件网关仅提供一年免费升级服务,产品购买第二年开始按年收取产品价格的20%升级服务费。例:若邮件网关售价3万元,每年升级费6千元。
我公司2007年之前使用的美讯智邮件网关年升级费4950元(100用户),2008年上涨至8000元,因有网改事情,我们未做续费。
上表中网络改造预算费用分为三部分:网络架构;服务器;软件。我们主要考虑了性价比,从众多产品中选择1或2款列入预算表,表中产品选型及价格尚有调整空间,请领导和有关部门参考并提出修改建议。
总工办2008-12-8第二篇:网络改造集成规划方案
网络系统
集成
改造
规划方案/17目录1项目概述..........................................................................................1项目背景....................................................................................1项目目标....................................................................................1项目范围..........................................................................................2参考依据..........................................................................................2建设原则..........................................................................................3改造方案..........................................................................................3办公网改造................................................................................3综合网改造................................................................................4综合布线改造.............................................................................5互联网及机房建设......................................................................6网络监控....................................................................................7工程概算....................................................................................8经费预算....................................................................................9项目管理.........................................................................................11实施计划...................................................................................11组织保障..................................................................................12质量管理..................................................................................12/17售后服务........................................................................................13现场培训..................................................................................13服务保证与承诺.......................................................................13项目
概述
项目背景XXX办公网和综合信息网的网络改造是为了适应新形势下的提高信息利用的要求,随着互联网应用的不断发展,客观上要求当前的网络结构和链路能够很好的承载不断扩充的办公业务需求。同时为了满足企业更好的利用互联网资源。从而推动XXX企业向信息化建设的目标发展。
XXX企业办公楼网络改造项目主要涉及到三套网络:办公网、综合信息网、互联网。这三套网络需要相互之间物理隔离,三套网络之间的改造相对独立。
项目目标
本次网络改造的目标,实现综合信息网和
办公网的客户端无盘统一管理。阻止客户端可能存在的被攻击或信息泄露。实现企
业内部访问互联网资源的同时保障内部客户端的安全。
根据实际考察和相互交流,本次XXX办公网和综合信息网改造的目标为:
A)尽量保留用户现有网络中的设备,在确保用户正常业务使用的前提下减少用户投资。
B)在初始建设时不仅要考虑到如何实现数据传输,还要充分考虑网络的冗余与可靠,否则一旦运行过程网络发生故障,系统又不能很快恢复工作;
C)纳入对网络安全性的考虑。在办公网和综合信息网中传递的数据
都是相当重要的信息,因此一定要保证数据安全保密,防止非法窃听和恶意破坏,在网络建设的开始就考虑采用严密的网络安全措施。
D)网络改造建设要为未来的发展提供良好的可扩展性。随着将来企业业务的增长,网络的扩展和升级是不可避免的问题。
E)由于视频会议、视频点播、IP电话等多媒体技术的日趋成熟,网络传输的数据已不再是单一数据了,多媒体网络传输成为世界网络技术的趋势。企业着眼于未来,对网络的多媒体支持是有很多需求的。项目范围
本次网络改造涉及办公网、综合信息网、互联网、网络监控及综合布线等项目范围。
在完成项目后,需要提交项目运行过程的全部安装、配置、测试、验收相关的项目文件。
根据用户要求,提供最终的信息模块分布图和设备物理链路分布图;提供关于链路和信息模块的标签分配表;
针对交换机的安装,提供关于初步管理配置的配置模板(包括访问控制、密码设定、终端限制、环路避免、端口安全等);针对每条链路均提供连通性测试和网络延迟测试并生成记录。参考依据
GB/T18233-2008(信息技术-用户建筑群通用布缆国家标准)
GB/T50311-2007(综合布线系统工程设计规范)
GB/T50312-2007(综合布线系统工程验收规范)
GB/T21671-2008(基于以太网技术的局域网系统验收测评规范)
HJ460-2009(环境信息网络建设规范)建设
原则
网络建设依据一下主要原则:满足办公网络和综合信息网的业务应用系统的要求;充分利用现有的网络硬件资源,进行网络改造时考虑与已有的专用办公网相兼容;网络改造考虑安全可靠、可管理和可扩展的网络结构。
高可靠性-选用可靠性高的网络产品,合理设计网络架构,制定可靠的网络备份策略,保障网络有故障恢复的能力,从而最大限度的支持网络的正常运行。
实用性-网络改造方案设计实施应充分考虑实际需求和费用,追求高的性效比。
可扩展性-根据未来业务的增长和变化,网络可以平滑的扩充和升级,减少对网络架构和现有设备的调整。改造
方案
办公网改造
在现有网络内增加4台交换机,其中三台交换机用作终端接入层,另外一台用作数据汇聚层。
综合考虑到目前各楼层房间的信息面板的信息点的数量和未来的扩展需求,选择接入层交换机为由24个百兆电口和4个千兆上联口的二层可网管交换机。用作数据汇聚层的交换机采用高端的支持IPV6功能的智
能弹性交换机,其有24个千兆电口和4个千兆下联光电口。以便为接入层链路提供高速的数据汇聚和传输。
各交换机安装好光模块,到光配架用
LC-FC一对单模光纤联通。三台接入层交换机通过光纤分别连接到
汇聚层的IPv6智能弹性交换机。最后通过光纤将
智能弹性交换机连接到指定的分布层交换链路上。然后测试所有线路看网络访问是否正常。
在办公大楼的各楼层设置楼层配线间,确保现有的配线架到各办公室的线路已经铺设完毕和测试联通。充分的利用原有的线路。
在机柜上新增配线架,以便与弥补当前配线间的配线架接口数量不足的情况。在新增的配线架上安装网络模块,同时更换用户需求中指定的各方面的信息面板以提供足够的网络信息点。
线路准备完毕后,将网络交换机安装到各个楼层的配线间内,然
后测试各条链路的对应关系并标记。
综合网改造
在现有网络内增加4台交换机,其中三台交换机用作终端接入层,另外一台用作数据汇聚层。
综合考虑到目前各楼层房间的信息面板的信息点的数量和未来的扩展需求,选择接入层交换机为由24个百兆电口和4个千兆上联口的二层可网管交换机。用作数据汇聚层的交换机采用高端的支持IPV6功能的智能弹性交换机,其有24个千兆电口和4个千兆下联光电口。以便为接入层链路提供高速的数据汇聚和传输。
与办公网类似,安装好各交换机的光模块,到光配架用
LC-FC一对单模
光纤联通。三台接入层交换机通过光纤分别连接到
汇聚层的IPv6智能弹性交换机。最后通过光纤将智能弹性交换机连接到综合信息网络指定的分布层交换链路上。然后测试所有线路看网络访问是否正常。
在大楼的各楼层设置楼层配线间,确保现有的配线架到各办公室的线路已经铺设完毕和测试联通。充分的利用原有的线路。
在机柜上新增配线架,以便与弥补当前配线间的配线架接口数量不足的情况。在新增的配线架上安装网络模块,同时更换用户需求中指定的各方面的信息面板以提供足够的网络信息点。
线路准备完毕后,将网络交换机安装到各个楼层的配线间内,然后测试各条链路的对应关系并标记。
在综合信息网中,为了便于对客户端加强管理和提高信息安全的保密措施,部署46台无盘工作,通过增加一台管理工作站,在它上面安装无盘管理软件,统一管理和维护46台无盘工作站。
综合布线改造
综合布线系统在充分考虑信息点(或模块)分布和数量的基础上,统筹规划,合理设计,精心施工。信息点分布和数量应至少能满足未来5-10年内的应用和用户需求,避免短期内重复施工。
在综合布线系统中,布线硬件主要包括:配线架、传输介质(双绞线和光纤)、通信模块、线槽和管道等。
综合布线包括六个子系统:工作区子系统、水平布线子系统、管理子系统、干线子系统、设备间子系统和建筑群主干子系统。
为办公网与综合信息网分别布两条50米长的超五类非屏蔽双绞线,网线使用蓝色和红色加于区分。这两条线分别从
3楼的配线间一直连接到
4楼的指挥室,涉及到跨楼层穿线的工作需要做好相应的准备,准备配线架用的1.5米跳线和预备一些水晶头做耗材使用,确保任务的完成。
每个房间的信息点的面板的数量根据用户要求(需要更换)进行布置。每个信息点由一个双口信息面板(RJ45接口)组成:一个为语音点,一个为数据点,或者两个都为数据点。所有的信息插座、面板和配线架管理系统模块都有标记。
在进行布线时需要线槽时,线槽的规格按这样确定:线槽的横截面积保留40%的富余量以备扩充,超5类双绞线的横截面积为0.3平方厘米。线槽安装时,注意与强电线槽的隔离。
互联网
及机房建设
图
5.4:互联网及机房改造图
基于原有互联网机房的布线结构做有限的扩展,新增
20台无盘工作站,统一接入到新增的接入层交换(H3C5120)上。
无盘工作站通过专用的无盘管理服务器(DELL)进行管理和维护。在互联网机房的ISP接入出增加一台路由器(H3CER6300)作为网络边界,同时,为了考虑互联网的访问控制,增加一台防火墙(H3CF1000S)作为安全措施。
互联网机房原有线路已铺设到讲台位置,需要重新延长。用网络模块延长后铺设到角落位置。在机房角落安装机柜,放置服务器与网络设备等。
将所有设备连接完毕后调试,网络路由器安装在最前端连接运营商的互联网出口,防火墙安装后端提供网络防护。H3C5120连接各台互联网电脑,提供汇聚作用。
网络监控
为了确保企业机房网络系统的安全稳定运行,除了在系统软、硬件层面的支撑,还需要有一种切实有效的机房实时监控系统。本次项目中增加了如下三项监控内容:温湿度监控报警器、电力报警器、视频监控摄像头。
整个GPU边缘融合系统由投影显示部分、多屏控制系统和控制软件系统组成。投影显示部分:主要包括一个专业清投视讯投影屏幕,而投影仪阵列是由标准化的若干投影机并联而成;多屏控制系统:边缘融合机连接计算机,兼容传输并合成多种图像信号源,以满足需求的画面尺寸和分辨率显示在大屏上。本方案系统具备:4路高解析度显示通道;4路复合视频信号输入;4路计算机信号输入;控制软件系统:是一套专用的控制软件,负责控制大规模投影系
统的图像拼接、边缘融合、色彩校正、几何校正和显示效果的调整,选择需要的显示信号的图像,以及用户的分级管理等功能。
GPU边缘融合系统的最终目的是要把用户所需要显示的信号按照用户的要求显示到通过多通道投影融合之后的大屏上,本系统中,用户应用系统中计算机信号源主要来自于用户网络中的计算机信号、远程监控的视频信号以及图形处理机中预存的展示信息,在我们的设计方案中,这些信号是可以通过多种方式显示到大屏上去的。
同时清投视讯GPU边缘融合系统是由高分辨率和高亮度的投影拼接融合而成,所以整个显示区域具有高分辨率、高亮度、高对比度、色彩还原真实,能保证色彩的长期运行稳定不变,图像失真小,亮度均匀,显示清晰等。
工程概算
序号
名称
规格、型号、参数、说明
数量1全千兆安全智能交换机24个10/100/1000Base-T以太网端口,4个1000Base-XSFP千兆以太网端口22安全智能三层交换机个10/100Base-TX以太网端口(PoE),2个10/100/1000Base-T以太网端口,2个复用的100/1000Base-XSFP千兆以太网端口63光模块
单模千兆光纤模块124面板Rj45双头网络面板405信息模块Rj45信息点模块806配线架Rj45配线架27无盘软件
基于PXE启动方式,用于远程启动的网络平台软件企业版46无盘工作站
处理器:E8400;内存4GDDRIII1066;512M独立显卡;4.5L立卧两用迷你机箱;耳麦;PS/2键盘鼠标。
经费预算
网络名称
设备名称
品牌
型号
数量
单价
总价
办
公
网
交换机H3CLS-51201交换机H3CLS-3100-52P-H33光模块H3CSFP-GE-LX-SM1310-A6面板
安普
信息模块
安普
超五类的40配线架
安普
综
合
信
息
网
交换机H3CLS-5120-24P-EI-H31交换机H3CLS-3100-52P-H32交换机H3CLS-3100-52P-H31光模块H3CSFP-GE-LX-SM1310-A6面板
安普
信息模块
安普
配线架
安普
台式电脑
联想
启天M4300S46无盘软件
锐起V3.0企业版46互
联
网
服务器DELLR7101防火墙H3CF1000-S1交换机H3CLS-5120-52P-LI1路由器H3CER63001显示器
优派VA1932wa4台式电脑
联想
启天M4300S20无盘软件
锐起V3.0企业版20机柜
机
房安
全监控
温湿度监控报警器电力报警器
科宇
视频监控
监控头1视频监控电脑
联想
启天M71501边缘融合控制器
清投视讯GPU边缘融合机TNB-S3124T1工
程
电源面板TCL配件
模块
安普
网线
安普
光纤
金牛
网线
安普
项
目集成
包括设备的安装调试、现场的工程施工、售前方案设计、一年内的售后上门服务
工
程税点
工程费用的5%费
用总计项目管理
实施计划
序号
任务阶段名称及详细项目
预计时间
1各个配线间分线3工作日2安装配架、网络模块、墙上面板3工作日3各个网络的网络设备安装调试4工作日4互联网机房布线、安装机柜配置服务器3工作日
序号
任务阶段名称及详细项目
预计时间5视频矩阵安装调试、其他综合布线工作4工作日6总计17工作日
组织保障
为确保本次XXX办公网和综合信息网的网络改造工作各项任务的顺利落实,各相关参与单位必须要做好组织保障,各单位各施其责,协作配合,保障网络改造项目正常有序按进度的完工。各单位职责与角色如下:
XXX企业
用户方,负责提供具体项目的实际需求,在项目实施前反馈必要的需求变更或者提供详细支持信息,在项目过程中,参与项目监控合反馈具体期望,最后组织项目验收
?XXX有限公司
负责网络改造的规划、设计、安装、调试。
质量管理
在项目实施初期,制定完善的项目质量管理计划,在网络设备的采购、安装、调试、交付等过程中,充分做到全过程有跟踪记录,书面化记录工程过程的详细实施记录和出现的问题。做好对项目问题的日志记录和对出现问题的应
对措施的计划。
每安装一个设备或硬件模块,均需要做单点测试,确保项目过程中每一步的质量都有保证。在执行安装和测试前,制定项目工作流程、安装核对表、测试核对表。
在项目交付前,需要根据相关质量核对表对各项做逐一的审计。
整个工程都需要严格遵守《环境信息网络建设规范》,做到布线整洁、美观和干净。对设备、线路、端子、模块、插座等一一用标签标明用途、连接等信息。售后服务
现场培训
根据用户系统实际环境的情况,在现场设备安装调试过程中和结束后,针对项目中发现的和已经纠正的问题,进行现场讲解,使用户详细了解改造后的网络状况,针对设备配置、日常维护、故障解决等方面内容进行完全针对性的技术培训,可以使用户具备自操作、自学习、自维护的基本工作能力。
培训地点:用户现场;
培训时间:项目实施或最后验收时;
培训人数:用户自定义;
培训内容:网络系统整改介绍、无盘管理系统配置、使用、维护等;
服务保证与承诺(11)
质量保证和服务承诺书
我方提供的所有货物保证是全新,未使用过的正宗原装合格正品,保证进口产品全部通过正规合法渠道。
(22)
保修,包换措施,设备升级
质保期内的服务:所有硬件设备均提供三年硬件质保
㈠
保修期内的产品硬件质量问题我方负责对其提供的设备进行上门维修,不收取额外的费用;
㈡
提供7*24小时技术支持热线服务,工作日内出现质量问题时或故障时,自接到用户电话后两个小时内到达现场解决故障。
(33)
一年免费运行维护服务
在系统交付后,提供一年的免费网络相关设备的运行维护服务。维护服务期满前,总结和分析维护期发现的错误和问题,提交“系统维护报告”给用户提出系统性的建议。
(33)
故障响应服务
故障响应服务指改造范围内的相关设备或系统发生突发性故障后,追查故障原因,并予排除修改的工作。如有故障发生,本公司应在接获通知后的规定响应时间内,调配有关技术人员远程解决或到现场进行维护,以使系统正常运行。提供快速,完整的网络故障分析及解决方案。
第三篇:通信网络改造迁移方案优化
通信网络改造迁移方案优化
作者:张卫华
来源:《电子世界》2012年第11期
【摘要】本文是针对县级供电公司信息网络建设项目中老网(各县局通过4E1访问市局,以下简称“老网”)迁移到新网(综合业务数据网,以下简称新网)的迁移步骤和技术细节进行描述。主要涉及到转换四个阶段,原有的网络拓扑、中间转换拓扑、最终拓扑结构下的网络设置说明及技术要点。
【关键字】网络迁移方案;综合数据网;迁移步骤
第四篇:网络改造实施方案
大厦
服务部
网络改造
实施方案
strong部
现状概述
服务部与服务部在大厦五层设有
4间办公室
508、509、510、511,洽谈室
2个,会议室一个。共有网络信息点132个,语音信息点20个,在508房间设有网络设备间一个,H3C5500数据汇聚交换机1台,H3C5120接入交换机2台,华为5300语音接入交换机2台,通过广域网代理服务器访问internet。
网络核心设备放置在六层网络机房,五层数据接入设备通过单模光纤双上连到两台数据核心交换机上,语音接入交换机通过千兆单模光纤连接到语音汇聚交换机上,五层办公区数据网段为
144.0/24,属于Vlan144,IP电话网段为124.0/24,属于Vlan400。
拓扑:
图:1核心层:
核心层设备包括两台
H3C7503交换机,通过单模光纤分别上连至广域网MSR5040路由器,采用VRRP技术将两台核心交换机虚拟为一台,保证链路的稳定性。
H3C7503交换机连接各汇聚交换机的端口采用trunk模式,可以使网络结构简单扩展性灵活,启用
STP协议保证网络中没有环路。启用
vlan112、vlan123、vlan144、vlan146、vlan147,作为数据
Vlan;启用Vlan124作为语音Vlan,配置各vlan的网关地址;启用
DHCP协议为终端PC机分配IP地址。
汇聚层:
汇聚层交换机为二层交换机采用单模光纤上连核心交换机,采用多模光纤连接接入交换机,端口模式为trunk模式,启用STP协议。
接入层:
接入层交换机为二层交换机,采用多模光纤上连至汇聚层交换机,端口模式为trunk,启用STP协议。
业务需求
服务部、服务部部分用户由于业务原因禁止访问
Internet,但是需要访问内网,另外IP电话接口访问Internet的权限也要取消,只保留508房间和511房间两个洽谈室的Internet访问权限。
在不改变原有拓扑的情况下,可以采用在核心交换机上配置
ACL禁止访问代理服务器的方法进行控制,目前大厦所有PC的IP地址均为DHCP自动分配地址,如果要对PC进行访问控制需手动指定IP地址。
针对以上解决方法需要对现有网络做出调整:
重新分配五层办公区IP地址;
地址类型
地址范围
掩码
网关DNS数量
受控地址
非受控地址
将PC机IP地址获取方法改为手动分配;
在核心交换机上配置Acl,控制五层办公区PC禁止访问代理服务器。
实施步骤
一、征得领导同意后,向相关人员下发断网通知;
二、在接入交换机上将上联接口类型改为Access,vlanID为500:[5500-F5-01-vlan500]quit[5500-F5-01]interfaceGigatEthernet1/0/49[5500-F5-01-GigatEthernet1/0/52]portlink-typeaccess[5500-F5-01-GigatEthernet1/0/52]portaccessvlan500三、在数据核心交换机上将连接汇聚交换机的G2/0/6接口类型改为Access,vlanID为500,配置IP地址作为网关:
[CORE-DATA-7503E-01]vlan500[CORE-DATA-7503E-01-vlan500]quit[CORE-DATA-7503E-01]interfaceGigatEthernet2/0/6[CORE-DATA-7503E-01-GigatEthernet2/0/6]portlink-typeaccess[CORE-DATA-7503E-01-GigatEthernet2/0/6]portaccessvlan500[CORE-DATA-7503E-01-GigatEthernet2/0/6]quit[CORE-DATA-7503E-01]interfaceVlan-interface500[CORE-DATA-7503E-01-Vlan-interface500]ipadd1四、在核心交换机上配置Acl源网段为目的地址为代理服务器,达到禁止该网段访问互联网但是可以访问内网的目的,并取消IP电话的DNS分配:
[CORE-DATA-7503E-01]aclnumber3000[CORE-DATA-7503E-01-acl-adv-3000]rule1denyipsourcedestinationGigatEthernet0.0.0.02/0/6[CORE-DATA-7503E-01]interface[CORE-DATA-7503E-01-[CORE-DATA-7503E-GigatEthernet2/0/6]packet-filterinboundip-group3000[CORE-DATA-7503E-01-GigatEthernet2/0/6]quit7503E-01-dhcp-pool-tel]undodns-list五、测试
在PC上配置IP地址,结果应只能访问内网,无法访问internet。
将PC连接IP电话,结果应无法获得DNS地址。
存在的问题
与建议
此方案不能从根本解决问题,如果员工使用自行搭建的代理服务01-GigatEthernet2/0/6]dhcpserverip-pooltel[CORE-DATA-
器将不受ACL控制,需
要增加上网行为管理设备从应用层对终端进行管理才能做到完全控制。
应急预案
保存所有设备的配置并备份;
检查设备的电源情况预防配置过程断电;
测试失败安照原有配置回退。
第五篇:网络改造申请
关于申请总部办公网络改造的请示
尊敬的领导:
因公司逐步发展、业务领域不断突破、规模一直不断壮大,集团对网络各方面的需求也在急速的增加,现有的文件传输、OA系统、网站信息更新及正在规划上线的APP系统以及日后的智慧小区建设等网络应用都是建立在网络平台之上的,但就目前集团的网络架构及设备都存在一定的瓶颈,严重时基本的正常办公都存在问题。公司目前所使用的无线路由交换设备过于低端、属于普通家庭设备。本身网线由克拉美丽物业接入,带宽已缩减一大部分,本身接线过长也影响数据传送,再通过无线路由器发射,信号进一步缩减,再由各电脑主机接无线网卡收发信号,无线网卡本身不具备有线的高效传送速率,再由于办公环境内墙面、各个拐角、坐席挡板、金属及电路干扰严重影响信号传送,从而导致目前办公人员普遍反映的断网、无法连接等现象,根本无法满足企业快速发展的大数据、高转发需求。
为更贴近公司信息化建设的要求,进一步提高办公效率,特申请就公司办公网络进行升级改造,由现有的无线接入改为有线网络接入。现拟设21个网络端口,分别为:大办公室16个端口,副总办公室4个端口,小会议室1个端口,大会议室由无线WIFI接入。财务室与总经理办公室本身为独立进线,因此不再另做改造。整体布线施工费用为2000元包干,含施工费、材料费及一年的上门维护。以上妥否、请领导批示。
篇七:网络改造是什么
WORD格式可编辑
网络改造设计方案
建议报告
2018年
2月
公司网络现状及需求分析
专业知识整理分享
WORD格式可编辑
1.1前言
当今社会已步入信息社会,信息成为社会经济发展的核心因素,信息化已成为当今世界潮流。自从
1993年美国政府公布实施“信息高速公路计划”之后,在世界引起巨大反响,许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。
信息技术作为新技术革命的核心.不仅具有高增值性、成为最具经济活力的经济增长点,而且具有高渗透性,以极强的亲和力和扩散速度向经济各部门渗透,使其结构和效益发生根本性改变。信息化已成为当代经济发展与社会进步的巨大推力,尤其是作为国民经济信息化基础的企业信息化,当前更显得尤为重要,信息化建设已成为企业发展的必由之路。信息化是企业加快实现现代化的必然选择!
随着信息时代的到来,企业的生存和竞争环境发生了根本性的变化。对于大型企业而言,信息化无论是作为战略手段还是战术手段,在企业经营中发挥着举足轻重的作用。
随着近年来企业信息化建设的深入,企业的运作越来越融入计算机网络,企业的沟通、应用、财务、决策、会议等等数据流都在企业网络上传输,构建一个“安全可靠、性能卓越、管理方便”的“高品质”大型企业网络已经成为企业信息化建设成功的关键基石。
1.2背景分析
公司的网络改造是公司为了适应新形势下企业激烈竞争,提高公司核心竞争力的一项具有战略意义的举措。成功的网络改造将使我公司能够在较长时间里在高科技领域竞争中继续保持科技优势,从而推动各项业务水平的快速发展。
公司的网络现状如下图
专业知识整理分享
WORD格式可编辑
:
专业知识整理分享
WORD格式可编辑
伴随着公司的飞速发展,越来越多的分支机构单位和业务系统接入到网络当中,造成公司网络规模不断扩张,网络结构也越来越复杂,而陈旧的网络核心设备和庞大的网络架构,也带来网络骨干性能不足、IT
运维监控滞后、服务器负载效率低下、网络安全隐患众多等一系列问题,目前,我公司网络系统面临问题的详细情况如下:
1、核心设备陈旧
网络核心
S6506厂家已停产,无法进行板块扩容,也没有备品备件,且
S6506已在线运行多年,一旦出问题网络瘫痪后无法第一时间迅速恢复。
专业知识整理分享
WORD格式可编辑
2、网络架构复杂网关错位
整体网络架构没有进行统一规划,多级串联现象严重,造成网络结构庞杂,增加了很多网络传输延迟和故障节点。
3、运维监控滞后
无法对网络流量进行实时监控和回溯审计,造成盲目的“黑盒运维”---无法及时准确地掌握网络整体性能、应用负载,并进行针对性的调优,更无法准确定位网络异常原因,排查网络故障和隐患。
4、网络性能存在瓶颈
现有网络骨干是百兆网络局域网,但网络吞吐约
200G/天,流量峰值是
200M/S,平均流量为
80M/S,其中流量吞吐最大的是
192.168.8.1的营销系统服务器,而一旦局域网中出现
P2P、大文件传输、视频流媒体等数据流,正常业务的带宽就会受到挤占和消耗,造成网络访问拥塞,出现延时大,响应慢等现象。
5、业务系统性能待调优
首先是
OA系统因为访问量少,所以响应快,延时小,性能最好。
其次是营销系统,在业务高峰时期会有上万(约
13000左右)的并发会话,此时服务器性能和网络非常吃紧。
接着是财务
NC
系统,因为服务器挂在云端,本地是通过
VPN
去进行访问,导致服务器访问性能在广域网传输过程耗损较多,所以,交互质量差的应用会话比例很高,系统整体性能较差。
最后是集抄系统,该业务系统虽然整体流量不大,但总体性能表现并不高,这跟两台服务器没有很效地对访问请求进行负载分担有一定关系。
6、网络存在安全隐患
网络中存在一些病毒木马、端口扫描、未知异常广播等网络安全隐患,干扰正
专业知识整理分享
WORD格式可编辑
常网络通信,影响数据传输,并可能造成数据泄密、业务系统无法运转等风险。
7、监控流媒体挤占正常业务带宽
专业知识整理分享
WORD格式可编辑
平时的业务数据和监控流媒体数据混在网络中一起传输而未被分开,会导致视频监控数据挤占正常业务带宽通道进行传输,极大造成了局域网带宽资源浪费,影响业务传输质量。
8、运维组织有待完善
分支机构接入较多,私接串接导致故障现象屡见不鲜,使运维人员应接不暇,需从制度上和技术上,加强运维组织管理。
1.3用户需求
骨干网络高性能、高稳定性需求
网络骨干包括网络的核心层和汇聚层,是整个网络流量的承受者和汇聚者,因此对骨干网络高性能、高稳定性提出了高的要求。为了提高设备的可靠性和稳定性,可采用骨干网络冗余设计,能够实现设备的热备和失效自动切换。
网络安全性需求
网络安全包括网络级、系统级、用户级、应用级的安全,在网络级,需要利用防火墙的过滤与隔离功能,将信任网络(内网)和不信任的网络(外网)隔离开来,并利用防火墙或出口路由器的NAT(网络地址转换)功能,对外屏蔽内网的网络拓扑信息,从而避免整网受到外来攻击。
在网络内部,根据用户的网络使用需求,将用户和网络资源划分为不同的VLAN,在
VLAN间根据需求启用相应的ACL(访问控制列表),从而保证用户的物理隔离和资源访问的安全。
网络监控管理分析需求
在不影响关键业务运行的前提下,收集分析网络流量中的应用信息,网络管理员可以定义、监控并评估网络连接性、安全性和性能策略,并进行网络的规划和设计,并且能够使管理员了解计算机网络系统的整体状况,可监控到来自网络内
专业知识整理分享
WORD格式可编辑
部和外部的“黑客”入侵,能够为查明入侵的来源提供有效的依据,直观的显示各种网络流量运行状态,并对各种异常情况
专业知识整理分享
WORD格式可编辑
实现自动报警。
1.4设计思路
公司网络设计为三层结构,系统的设计应充分利用当今先进的网络技术,实现网络数据高速有序流通,建立高效率的信息网络平台,形成各个部门内外相联、上下贯通的信息传输网络。
改造后的我公司网络平台应是一个技术先进、性能可靠、功能齐全的系统,系统内的各级用户在各自权限内,在各自站点上进行各自的工作,满足网上语音、视频、监控等多种应用,为集团业务发展提供一个稳定的信息高速公路基础平台。
1.5建设目标
尽量保留现有网络中的设备,在确保公司正常业务使用的前提下减少公司投资。
不仅要考虑到如何实现数据的高性能传输,还要充分考虑网络的冗余与可靠,让系统在运行过程发生故障时,能迅速恢复正常工作,避免造成企业经济损失。
改造后的网络系统具有良好的可维护性与可管理性,让管理员通过智能化分析工具后对网络运行状况了如指掌,高效率地处置运行故障与安全威胁。
为公司网络基础设施的未来发展提供良好的扩展接口,让网络核心骨干随着公司规模的扩大、业务的增长,便于进行系统的扩展和升级。
1.6设计原则
在整个网络改造设计过程中,力求尽量利用现有资源的基础上进行改造,严格遵循网络规范和设计原则,为用户打造一个稳定,安全的网络环境,具体考虑到
专业知识整理分享
WORD格式可编辑
以下的各个方面。
1、稳定性
网络的可靠性和稳定性非常重要,决定着网络能够正常运行,在网络设计时,不论是网络节点、通信线路、应用设备还是网络拓扑的设计,都应该对可靠性和稳定性加以考虑,尽量减少故障节点,确保系统运行可靠。
2、先进性
设计网络系统的目的主要就是应用。因此,在设计时应当以注重实用和成效为原则,紧
专业知识整理分享
WORD格式可编辑
密结合具体应用的实际需要。在技术上应该采用先进的网络技术和网络产品,选择技术成熟和实用效果好、市场占有率高、通用性好的设备,适应信息技术的迅速发展,具有良好的技术先进性。
3、安全性
对于内部网络以及外部访问的安全必须高度重视,设计部署可靠的系统安全解决方案,避免安全隐患,采取防攻击、防篡改等技术措施,管理和技术并重,全方位构建整个网络安全保障,保证数据和服务器的安全。
4、可管理性
考虑到网络系统的后期管理和维护,在方案设计中要充分考虑各个设备和系统的可管理性,使系统建成后易于管理、易于维护、操作简单、易学、易用,有效地提高对网络的管理,便于管理人员进行配置和处理故障。
5、可扩展性
着眼长远考虑,不但满足当前需要,并能满足后期扩展的需要,充分考虑今后网络的发展,预留升级和扩充余量,能够兼容不同厂家、不同类型的网络产品及应用软件,便于向更新技术的升级与衔接。
6、经济性
本次系统改造建设中,要充分考虑原有系统资源的有效利用,发挥原有设备资源的价值,本着以最少的改造成本,获得最大的改造效果。对一些运行良好的硬件设备及应用软件要加以保护并合理利用,节省一部分投资。另外,对于新增的设备,要尽量选择技术成熟可靠、性价比较高的设备,达到实用、经济和有效的效果。
1.设计依据及标准
本次网络改造方案设计参考的标准和依据包括:
专业知识整理分享
WORD格式可编辑
信息及网络系统设计标准
《信息技术通用多八位编码字符集(UCS)》(GB13000.1)?
《信息技术系统间远程通信和信息交换
局域网和城域网》(GB15629.11-2003)?
《信息处理系统光纤分布式数据接口》(ISO
9314-1:1989)?
《光纤分布式数据接口(FDDI)高速局域网标准》(ANSIX3T9.5)
《通信光缆的一般要求》(GB/T7427-87)
专业知识整理分享
WORD格式可编辑
结构化布线系统设计标准
《建筑和建筑群综合布线系统工程设计规范》(GB/T50311-2006)?
《建筑和建筑群综合布线系统工程验收规范》(GB/T50312-2006)?
《信息技术用户建筑群通用布缆》
(ISO/IEC11801:2002)?
《信息技术用户建筑群布缆的实施和运行》(ISO/IEC14763-1:1999)?
《信息技术用户建筑群布缆配置》(ISO/IEC14709-1:1997)?
《信息技术用户建筑群布缆的通路和空间》(ISO/IEC18010:2002)
《光纤总规范》(GB/T15972.2-1998)?
《民用建筑通讯通道和空间标准》(EIA
TIA569)信息安全设计标准
《计算机软件配置管理计划规范》(GB/T12505--1990)
《计算机信息系统安全保护等级划分规范》(GB17859-1999)
《计算机信息系统安全专用产品分类原则》(GB163-1997)
《信息技术设备的安全
(ideIEC60950:1999)》(GB4943-2001)
《信息技术安全性评估准则》(GB/T18336.1—2001)
《信息技术信息安全管理实施规则》(ISO17799—2000)
《涉及国家秘密的计算机信息系统保密技术要求》(BMZ1-2000)?
《涉密信息设备使用现场的电磁泄漏发射防护要求》(BMB5-2000)?
《涉及国家秘密的计算机信息系统安全保密测评指南》(BMZ
3-2001)智能化系统设计规范
《智能建筑设计标准》(GB/T50314-2006)
《建筑及居住区数字化技术应用系列标准》(GB/T20299-2006)
《建筑智能化系统设计技术规程》(DB/J01-615-2003)
《公共建筑节能标准》(GB50189-2005)
《民用建筑电气设计规范》(JGJ/T)机房工程系统设计标准
《电子计算机场地规通用规则》(GB/T2887-2000)
《计算机场地安全要求》(GB9361-1988)
《电子计算机机房设计规范》(GB50174-1993)
专业知识整理分享
WORD格式可编辑
《防静电活动地板通用规范》(SJ/T10796-2001)
《电信专业房屋设计规范》(YD5003-1994)
《通信机房静电防护通则》(YD/T754-1995)火灾报警系统设计标准
《高层民用建筑设计防火规范》(GB50045-1995)
《火灾自动报警系统设计规范》(GB50116-1998)?
《建筑设计防火规范》(GBJ16-1987)?
《火灾报警控制器通用技术条件》(GB4717-2005)?
《点型感烟火灾探测器技术要求及试验方法》(GB4715-2005)?
《点型感温火灾探测器技术要求及试验方法》(GB4716-2005)?
《线型光束感烟火灾探测器技术要求及试验方法》(GB14003-2005)?
《点型红外火焰探测器性能要求及试验方法》(GB
15631-1995)综合安防系统设计标准
《安全防范工程技术规范》(GB50348-2004)?
《安全防范系统验收规则》(GA308-2001)?
《安全防范工程程序和要求》(GA/T75-1994)?
《安全防范工程费用概预算定额编制方法》(GA/T78-1994)?
《出入口控制系统技术要求》(GA/T394-2002)?
《出入口控制系统工程设计规范》(GB50396-2007)?
《视频安防监控系统技术要求》(GA/T367-2001)?
《视频安防监控系统工程设计规范》(GB50395-2007)?
《安全防范报警系统设备安全要求和试验方法》(GB16796-1997)?
《报警系统电源装置、测试方法和性能规范》(GB/T
15408-1994)防雷与接地系统设计标准
《建筑物防雷设计规范》(GB50057-2010)
《建筑物电子信息系统防雷技术规范》(GB50343-2012)
《通信工程电源系统防雷技术规范》(YD5078-1998)?
《通讯局(站)低压配电系统用点涌保护器》(YD/T1235-2002)?
《通讯局(站)接地设计暂行技术规范》(YDJ26-1989)
专业知识整理分享
WORD格式可编辑
《计算机信息系统防雷保安器》(GA173-2002)?
《计算机信息系统雷电电磁脉冲安全防护规范》(GA267-2000)
《建筑物的雷电防护》(IEC61024:
1990-1998)工程及设备质量验收规范
《智能建筑工程质量验收规范》(GB50339-2003)
《智能建筑工程检测规程》(CECS182:2005)
《建筑及居住区数字化技术应用》(GB/T20299.2)
《安全防范系统验收规则》(GA308-2001)
《安全防范报价设备安全要求和实验方法》(GB16796-1997)
《建筑与建筑群综合布线系统工验收规范》(GB/T50312-2000)其他设计标准
《信息技术互连国际标准》(ISO/IEC11801-95)
《建筑内部装修设计防火规范》(GB-50222-95)
《电气装置安装工程施工及验收规范》(GBJ232-82)
《民用建筑电气设计规范》(JGJ16-2008)
《供配电系统设计规范》(GB50052-2009)
《低压配电设计规范》(GB50054-2011)
《工业与民用供电系统设计规范》(GBJ52-82)
《低压配电装置及线路设计规范》(GBJ54-83)
《通用用电设备配电设计规范》(GB50055-2011)?
《工业企业照明设计标准》(GB50034-1992)
《采暖通风与空气调节设计规范》(GB50019-2003)
《通风与空调工程施工质量验收规范》(GB50243-2002)?
《建筑装饰装修工程质量验收规范》(GB50210-2001)
用户对网络改造项目的其他要求
专业知识整理分享
WORD格式可编辑
2.网络改造设计方案
网络拓扑图
按照网络分层设计模型,广安爱众公司新规划的网络拓扑结构如下:
如上图,整个网络架构设计可分为网络出口、核心层、接入层、传输、安全与优化等五大部分,现分别详述如下:
2.1网络出口设计
外网出口连接上级的Internet,带宽为上下行对称的100M,是各种攻击行为、病毒传播、安全事件引入的风险点,通过在网络出口处部署高性能、高可靠、高安全的网关设备,可以很好的缓解风险的传播,阻挡来自外部网络攻击行为的发生,是网络出口的第一道安全屏障。
下一代防火墙
在外网出口部署下一代防火墙,对进出网络的数据进行过滤,保护网络安全,主要实现以下安全防护效果:
防止外网上的病毒、木马等恶意代码传播到内网中,保护内网终端、服务器;
防御来自外网的漏洞扫描行为、入侵行为,使内网免受恶意攻击;
控制用户访问网站行为,禁止访问非法网站、低俗网站、钓鱼网站,降低用户遭受
专业知识整理分享
WORD格式可编辑
攻击的风险。
专业知识整理分享
WORD格式可编辑
分为信任区域和非信任区域,分别实施不同的安全策略,包括部署区域间隔离、受限访问、防止来自区域内部的DOS
攻击等安全措施;
通过加密隧道构建
VPN(虚拟专用网络),方便分支机构和外出人员远程接入内网办公,提高工作效率。
流量控制器
流量控制器可基于
DPI(深度包检测)识别各类上网应用,由此,在防火墙和核心交换机之间,以网桥模式串接了一台流控设备,来对进出防火墙的网络流量进行内容过滤和应用管控,以有效阻断非业务流量和内容,保证内网安全,提高互联网带宽利用率,限制高消耗带宽应用,保障网络通畅和网络的稳定性,控制用户使用无关应用和危险应用,提高网络整体安全性。
下一代防火墙到核心交换机之间使用链路聚合,来提供冗余保障。
2.2核心层设计
核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中,应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心,重要性突出。核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。
核心交换机集群
主要部署两台
S9706组成一个
CSS(Cluster
Switch
System)集群,它是网络虚拟化
专业知识整理分享
WORD格式可编辑
的一种形态,可实现把多台支持集群的交换机链接起来,从而组成一台更大的交换机,CSS
专业知识整理分享
WORD格式可编辑
的典型特征有:
交换机多虚一:CSS对外表现为一台逻辑交换机,控制平面合一,统一管理。
转发平面合一:CSS内物理设备转发平面合一,转发信息共享并实时同步。
跨设备链路聚合:
跨
CSS内物理设备的链路被聚合成一个
TRUNK端口,和下游设备实现互联。
从上图中我们可以看到,CSS
通过设备“多虚一”和跨设备的链路聚合,不但简化了网络拓扑,而且极大地提高了网络性能:
简化运维:整个
CSS被作为一台交换机来管理,简化运维、降低
Opex。
可靠性高:CSS内一台设备故障,其他设备可以接管
CSS的控制和转发,避免单点故障。
无环网络:跨设备的链路聚合,在
CSS和其他设备互联时,天然避免了环路问题,无需部署
MSTP等复杂的破环协议。
链路均衡:跨设备的链路均衡,100%的网络链路和带宽的利用率。
CSS
在简化网络、提升转发性能的同时,没有带来任何网络功能的损失。物理交换机具有的所有功能,都在
CSS
系统下得到继承,且性能还得到了放大。CSS
拥有的这些特质,使其得到了越来越多的认可和接受,并成为了部署简单、高效网络的首选方案。
2.3接入层设计
接入层通常指网络中直接面向用户连接或访问的部分。其目的即利用光纤、双绞线、同轴电缆、无线接入等传输介质,实现与用户连接,并进行业务和带宽的分配,允许终端用户连
专业知识整理分享
WORD格式可编辑
接到网络,因此接入层交换机具有低成本和高端口密度特性。
专业知识整理分享
WORD格式可编辑
而本次改造中有
14个接入层点位将采用双线上行至核心交换机(集群),并利用
OSPFECMP(Equal-Cost
Multiple
Path)特性,在两条专线链路之间进行负载均衡,既增加了网络的可靠性,又能提高了资源的利用率。
2.4网络规划设计
本次网络改造项目中,将摒弃原有传统的单线二层接入方式,从而采用运营商双线运行动态路由协议(OSPF)进行三层传输接入核心,去掉中间级联设备,形成扁平化的网络架构,这种组网方式将各个分支机构分割成单独的局域网,一旦某个分支机构出现网络及线路故障将不会影响其他节点的业务。
新的传输接入模式,必须在各个节点建立独立的三层网关进行路由转发,这就要求对整个网络进行新的规划和设置,如下表所示:
点位
网段
10.0.1.0/24互联
10.0.2.0/24VLAN101102专业知识整理分享
WORD格式可编辑
代市气所
172.16.31.0/24301专业知识整理分享
WORD格式可编辑
岳池水务
前峰水务
领水水务
华蓥水务
城北客户中心
城南客户中心
西充燃气
领水燃气
希望接收费
城东水所
龙门收费
武胜水务燃气
岳池电力
……
172.16.32.0/24172.16.31.0/24172.16.34.0/24172.16.35.0/24172.16.36.0/24172.16.37.0/24172.16.38.0/24172.16.39.0/24172.16.40.0/24172.16.41.0/24172.16.42.0/24172.16.43.0172.16.45.0……
302303304305306307308309310311312313314……
以上网络规划和设计,将在大的城域网环境中形成多个广播域,隔离广播风暴和二层流量泛洪,减少
IP
地址冲突,提高整个网络的安全性和可维护性。具体的实施细节,将在项目施工过程中与甲方相关人员进行深化设计。
2.5网络传输设计
从核心层到接入层的传输部分是各个运营商(电信、广电、联通、移动)的MSTP专线,其中,大部分接入点专线带宽为
10M,而少数营业收费点专线带宽为
2M,在带宽不够的情况下,可以酌情考虑增加线路带宽。
MSTP(Multi-Service
Transmission
Platform)是指基于
SDH
平台同时实现
TDM、ATM、以太网等业务的接入、处理和传送,提供统一网管的多业务节点。其构建统一的城域多业务传送网,将传统话音、专线、视频、数据、VOIP、IPTV
等业务在接入层分类收敛,并统一送到骨干层对应的业务网络中集中处理,从而实现了所有业务的统一接入、统一管理、统一
专业知识整理分享
WORD格式可编辑
维护,提高了端到端电路的服务等级,这种专线技术具备以下优点:
专业知识整理分享
WORD格式可编辑
泛用性
MSTP
电路适用于任何高速率、信息量大、实时性强的业务传送在通信领域的应用前景广阔,用户端接口为通用性的RJ45接口。
可选性
MSTP专线带宽灵活,在
2M到
1000M的区间内,可以灵活选择。
安全性
安全性有保障,比纯粹基于互联网的VPN业务安全性更高。
灵活性
组网灵活,可支持星形网络、环形网络、点到点连接、多点汇聚等。
2.6网络安全与优化设计
1、网络回溯分析系统
在网络核心
CSS
集群旁部署一台网络回溯分析系统,可以实现了对网络通讯数据包级的高性能实时智能分析,因为网络回溯分析系统是一款集成大容量存储的高性能数据包采集和
专业知识整理分享
WORD格式可编辑
智能分析硬件平台,它可以提供对各种网络性能和应用性能的关键参数实时分析,同时还能
专业知识整理分享
WORD格式可编辑
够实时捕获并保存网络通讯流量,具备对长期的网络通讯数据进行快速数据挖掘和回溯分析能力,实现对关键业务系统中的网络异常、应用性能异常和网络行为异常的实时发现、以及异常原因的智能回溯分析,提升了对关键业务系统的运行保障能力和问题处置效率。
这样就在内网构建起了一套基于流量的实时监控和回溯体系,不但可以精确了解网络整体性能、应用负载,还能准确定位网络异常原因,及时排查网络故障和病毒、木马、攻击等安全隐患,实现核心链路/核心区域/核心业务运行可视化,彻底解决“黑盒运维”。
2、入侵检测系统
在核心
CSS
集群旁挂一台专业的IDS(入侵检测系统),该设备可通过抓取来自核心交换机的数据流镜像,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
专业知识整理分享
WORD格式可编辑
3、负载均衡器
在业务服务器集群子网区域内的各个应用服务器前端部署一套负载均衡器,在多个客户端发起业务访问请求时,由前端的负载均衡器来对所有访问请求进行反向代理和统一调度,进而将业务访问负载合理均衡地分担到每个后端服务器节点上,以提高业务系统的整体服务效能。
专业知识整理分享
WORD格式可编辑
同时对服务器的操心系统、中间件、文件系统等软件参数配置以及资源池分配进行优化,增强服务器的并发会话处理能力,而数据库方面,则可通过建立索引,优化
SQL
语句和优化内存、日志、表空间分配等方法来提高数据库
I/O
性能,加快数据的存取速度。
在接入交换机处,可通过
Qos
策略将业务数据和监控数据区分开,并给业务数据分配更高的优先级,这样在发生网络拥塞时,监控数据就无法挤占正常业务带宽,由此保障了业务访问的稳定性,不受接入视频监控的干扰。
专业知识整理分享
WORD格式可编辑
2.6网络特点和优势
通过大力进行网络改造后,具有达到如下特点和优势:
高性能和高可用的网络骨干
升级核心交换机替换老旧设备,可以大力提升核心节点的转发速度,增加网络整体吞吐量,形成一个高性能、可扩展、可靠的高效网络。
层次架构清晰
对网络架构进行扁平化重构,不仅可以解决多级串连现象,大大简化网络构成,还能减少中间节点的故障影响,迅速提高流量转发的处理速度,形成一个架构清晰,层次分明、可维护性强的网络基础平台。
运维透明化和可视化
构建网络的实时监控和回溯体系,将全网流量可视化、透明化,分析从流量趋势、应用分布到性能负载等多方位情况,能让运维人员对整个网络运行情况了如指掌,及时发现处理网络异常和攻击威胁,将危害消灭在萌芽阶段,并快速定位故障原因和节点,缩短故障影响时间,提高故障处理效率,保证网络的高效稳定运行。
弹性的应用架构
部署负载均衡器,进一步优化应用架构,让每台服务器轮流均衡地分摊客户端访问请求,来提高业务系统的整体服务效能,消除单点故障,形成一个高并发、高可用、高扩展性的业务群
专业知识整理分享
WORD格式可编辑
集系统,并结合业务系统性能优化,来提高服务器的并发会话处理能力与数据库
I/O性能,加快业务的响应速度。
专业知识整理分享
WORD格式可编辑
专门的流控体系
在外网出口处通过流量控制器来审计和管控互联网流量,屏蔽非法应用,限制违规流量,保障带宽资源,提高员工上网的合规性和网络使用效率,同时,在汇聚交换机处设置
Qos策略,让监控数据就无法挤占正常业务带宽,保障业务访问稳定性,不受视频监控流媒体数据的干扰。
强大的安全防护保障
通过部署下一代防火墙和入侵检测系统(IDS)的安全策略,可进一步强化内网的信息安全保障,防止各种网络攻击和入侵活动,提高网络安全系统的防护免疫力。
高效整洁的数据中心
通过新机房搬迁,可以打造一个新的整洁舒适、专业美观的数据中心环境,为机房设备高效的管理和安全运营提供有力支撑和保证
2.主要设备介绍
2.9.1下一代防火墙
USG6350当前,智能手机、iPad
等终端已经普及,移动应用程序、Web2.0、社交网络应用于企业运营的方方面面。企业网络边界变得模糊,信息安全问题日益复杂。通过
IP
和端口进行访问控制的传统的防护墙无法应对层出不穷的应用层威胁。
华为
USG630系列下一代防火墙面向中小企业,通过对应用、用户、内容、威胁、时间、位置
个维度的全面感知,提供精细的业务访问控制和加速。入侵防御(IPS)和防病毒(AV)等应用层深度防御与应用识别相结合,有效提高了威胁防御的效率和准确性。具备全面的防护功能,一机多能,有效降低管理成本。精细的带宽管理和
QoS
优化能力有效降低企业的带宽租用费,确保关键业务体验。持续、简单、高效地提供下一代网络安全。
专业知识整理分享
WORD格式可编辑
产品特性
精准的访问控制
专业知识整理分享
WORD格式可编辑
传统防火墙主要通过端口和
IP进行访问控制,下一代防火墙的核心功能依然是访问控制。USG6000在控制的维度和精细程度上都有很大的提高:
一体化防护:
从应用、用户、内容、时间、威胁、位置
个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合,一体化处理。例如:
识别出
Oracle
的流量,进而针对性地进行对应的入侵防御,效率更高,误报更少。
基于应用:
运用多种技术手段,准确识别包括移动应用及
Web
应用内的6000+应用协议及应用的不同功能,继而进行访问控制和业务加速。例如:区分微信的语音和文字后采取不同的控制策略。
基于用户:
通过
Radius、LDAP、AD等
8种用户识别手段集成已有用户认证系统简化管理。基于用户进行访问控制、QoS管理和深度防护。
基于位置:
与全球位置信息结合,识别流量发起的位置信息;掌控应用和攻击发起的位置,第一时间发现网络异常情况。根据位置信息可以实现对不同区域访问流量的差异化控制。支持根据
IP自定义位置。
全面的防护范围
越来越多的信息资产连接到了互联网上,网络攻击和信息窃取形成巨大的产业链,这对下一代防火墙的防护范围提出了更高要求。USG600具备全面的防护功能:
一机多能:
集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功
专业知识整理分享
WORD格式可编辑
能于一身,简化部署,提高管理效率。
专业知识整理分享
WORD格式可编辑
入侵防护(IPS):
超过
3500+漏洞特征的攻击检测和防御。支持
Web攻击识别和防护,如跨站脚本攻击、SQL
注入攻击等;防病毒(AV):
高性能病毒引擎,可防护
500万种以上的病毒和木马,病毒特征库每日更新;数据防泄漏:
对传输的文件和内容进行识别过滤。可识别
120+种常见文件类型,防止通过修改后缀名的病毒攻击。能对
Word、Excel、PPT、PDF、RAR等
30+文件进行还原和内容过滤,防止企业关键信息通过文件泄露。
SSL解密:
作为代理,可对
SSL加密流量进行应用层安全防护,如
IPS、AV、数据防泄漏、URL过滤等。
Anti-DDoS:
可以识别和防范
SYNflood、UDPflood等
10+种
DDoS攻击,识别
500多万种病毒。上网行为管理:
采用基于云的URL分类过滤,预定义的URL分类库已超过
8500万,阻止员工访问恶意网站带来的威胁。并可对员工的发帖、FTP等上网行为进行控制。可对上网记录进行审计。
安全互联:
丰富的VPN特性,确保企业总部和分支间高可靠安全互联。支持
IPSecVPN、SSLVPN、L2TPVPN、MPLSVPN、GRE等;
QoS管理:
基于应用灵活的管理流量带宽的上限和下限,可基于应用进行策略路由和
QoS标签着色。支持对
URL分类的QoS标签着色,例如:优先转发对财经类网站的访问。
负载均衡:
支持服务器间的负载均衡。对多出口场景,可按照链路质量、链路带宽比例、链路权重基于应用进行负载均衡。
专业知识整理分享
WORD格式可编辑
虚拟化:
支持多种安全业务的虚拟化,包括防火墙、入侵防御、反病毒、VPN等。不同用户可在同一台物理设备上进行隔离的个性化管理。
专业知识整理分享
WORD格式可编辑
简单的安全管理
下一代防火墙的防护范围和控制精度比传统防火墙大大增加,这对使用者的经验和技能提出了更高的要求。华为
USG600利用
Smart
Policy
功能降低对使用者的要求,更好的进行防护。Smart
Policy
主要具备以下功能:
快速部署策略:
内置场景策略模板,不依赖使用者的经验也能快速地部署常用防护策略。例如:如果希望使用网络存储,管理员仅需基于“使用网盘”这个策略模板,就能建立一系列策略。在策略中,对网盘类应用允许下载并进行病毒检测,但禁止文件上传。
智能优化策略:
根据内置应用风险库和网络实际流量对已部署的安全策略进行评估和优化,使其符合最小授权原则。在企业遗留大量端口防护策略,需要转换为
NGFW
使用的应用防护策略时尤其有用。
智能精简策略:
自动发现重复的和长期没有使用的策略,精简策略规模,简化管理;
高效防护性能
UTM
产品当开启应用层防护时性能下降明显,无法满足当前应用层防护的性能要求。下一代防火墙要求在多重防护的情况下仍保持高性能。
专业知识整理分享
WORD格式可编辑
USG6000系列下一代防火墙采用全新架构的智能感知引擎(IAE,IntelligenceAwarenessEngine),采用了一次解析多业务并行处理的架构,确保多重防御下的高性能体验。IAE使用了三大核心技术:
一体化描述语言:
应用识别、IPS、AV采用统一的描述语言,一次性处理,一次性分析,减少重复的操作;一体化处理架构:
不同于
UTM
对各个安全功能串行处理,USG600在完成统一解析后,各安全业务检查是并行的,最后做统一处理。每个步骤一次性做好,确保多安全业务开启情况下,对整体性能影响最小;
软硬结合一体化:
对有规律、大批量、高运算能力要求的报文处理,例如:报文加解密、特征匹配,采用专用多核平台由专用的协处理器硬件处理。对小规模的运算,仍然用软件处理。软硬结合一体化的处理方式让整体性能更高。
组网应用
专业知识整理分享
WORD格式可编辑
企业内网边界防护
在企业内网部门和无线接入的汇聚网络部署下一代防火墙。对
PC用户通过防火墙策略基于用户信息进行访问控制。
对移动用户采用基于用户+应用的策略控制,实现精细权限管理,并记录日志。
对邮件、IM、文件传输等进行内容过滤和审计,监控社交类应用,避免数据泄露。
互联网出口防护
在互联网出口部署下一代防火墙,在出口进行访问控制,阻止一切非认证访问。启用入侵防御功能,提供万兆级应用层威胁实时防护。
对邮件、IM、文件传输等进行内容过滤和审计,监控社交类应用,避免数据泄露。基于用户、应用、时间进行
QoS
管理,优先保障核心用户和关键业务的服务质量。
通过
URL
分类和应用阻断进行上网行为管理。阻断挂马网站和工作无关网站,根据角色监控员工可以访问的网站和可以使用的网络应用。
云数据中心边界防护
数据中心出口部署下一代防火墙,进行安全业务和系统资源的虚拟化特性,可为每个虚拟环境提供超乎寻常的安全体验。
万兆级入侵防御可有效阻断各类黑客攻击,并可根据不同的虚拟环境需求,提供差异化的防御特性,保障数据安全。
通过
Anti-DDoS特性,对拒绝服务攻击流量进行清洗,保障数据中心对外业务。
VPN远程互联
专业知识整理分享
WORD格式可编辑
通过下一代防火墙的VPN
接入,在互联网上构建一条可信、可控、可管的安全传输隧道。在外人员和移动用户可通过
SSL
VPN
接入,提供
Windows、IOS、Android、Blackberry,专业知识整理分享
WORD格式可编辑
Symbian多种操作系统支持,提供泛终端的接入能力。
产品规格
型号
固定接口
扩展槽位
USG63504GE+2Combo2*WSICWSIC:2×10GE(SFP+)+8×GE(RJ45)、8×GE(RJ45)、8×GE(SFP)
4×GE(RJ45)BYPASS1U、接口模块类型
产品形态
尺寸(W×D×H)mm442×421×43.6满配重量
HDD冗余电源
电源
AC最大功率
10kg选配
300GB单硬盘,支持热插拔
选配
100~240V170W温度:0~45℃(不含硬盘)/5℃~40℃(包含硬盘)湿度:10%~90%温度:-40℃~70℃/湿度:5%~95%工作环境
非工作环境
2.9.2核心交换机
产品概述
S9706S970系列交换机是华为公司面向下一代园区网核心和数据中心业务汇聚而专门设
专业知识整理分享
WORD格式可编辑
计开发的高端智能
T
比特核心路由交换机。该产品采用先进的多层交换架构,提供持续的带宽
专业知识整理分享
WORD格式可编辑
升级能力,支持
40GE和
100GE以太网标准。该产品基于华为公司自主研发的通用路由平台
VRP
开发,在提供高性能的L2/L3层交换服务基础上,进一步融合了
MPLS
VPN、硬件
IPV6、桌面云、视频会议、无线等多种网络业务,提供不间断升级、不间断转发、硬件
OAM/BFD、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。
通过部署内置华为首款以太网络处理器
ENP的X1E单板,S9700可以升级为敏捷交换机,客户可以享有敏捷交换机带来的创新体验。
S9700系列提供
S9703、S9706、S9712三种产品形态。
产品特性
S9700升级为敏捷交换机,让网络更敏捷地为业务服务
S9700支持随板
AC,业务单板同时兼具无线
AC功能,无需额外购买
AC硬件;整机最大可管理
2KAP,32K用户;整机转发性能可达
T-bit,解决外置
AC处理性能瓶颈,助力客户从容面向高速无线时代。
S9700支持统一用户管理功能,屏蔽了接入层设备能力和接入方式的差异,支持
PPPoE/802.1X/MAC/Portal
等多种认证方式,支持对用户进行分组/分域/分时的管理,用户、业务可视可控,实现了从“以设备管理为中心”到“以用户管理为中心”的飞跃。
SVF2.超级虚拟交换网,创新实现不仅将盒式交换机纵向虚拟为框式交换机板卡,而且将
AP
纵向虚拟为框式交换机的端口,使得原来“核心/汇聚+接入交换机+AP”的网络架构,虚拟化为一台设备进行管理,提供业界最简化网络管理方案。
iPCA
网络包守恒算法,改变了传统利用模拟流量做故障定位的检测模型,可对任意业务流随时随地逐点检测网络质量,无需额外开销;可在短时间内立刻检测业务闪断性故障,检测直接精准到故障端口,实现从“粗放式运维”到“精准化运维”的大转变。
S970支持
Service
Chain
业务编排功能,Service
Chain
对网络增值业务处理能力(如下一代防火墙
NGFW)进行虚拟化,以便园区网络实体(如交换机、路由器、AC、AP、终端设备)可以无差别的利用这些能力,而不受物理位置的约束,提供一种更灵活部署园区增值业务的解决方案,减少客户设备投资和维护成本。
创新的CSS集群技术
专业知识整理分享
WORD格式可编辑
S970支持
CSS
交换网集群和业务口集群,将多台设备虚拟化为一台逻辑设备,在可靠性、交换效率、灵活性和易管理性方面具有强大的优势。
专业知识整理分享
WORD格式可编辑
可靠性:通过路由热备份技术,实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发,极大地增强了设备的可靠性和性能,同时可以通过跨框链路聚合提高链路的利用率,消除单点故障,避免了业务中断;
交换效率:创新的CSS
交换网集群技术,克服了业界普遍采用的线卡集群跨框多次交换,交换效率低下的架构难题;
灵活性:普通业务端口可以复用为集群端口,使端口应用更加灵活。通过光纤进行集群可大幅增加集群的距离,突破了传统集群距离的限制;
易管理性:整个弹性架构共用一个
IP管理,简化网络设备管理,简化网络拓扑管理,提高运营效率,降低维护成本;
运营级高可靠性设计
S970所有关键器件,如主控、电源、风扇等均采用冗余设计,所有模块均支持热插拔,有效保证网络稳定运行。
S9700支
持
硬
件
级
3.3ms高
精
度
BFD快
速
链
路
检
测
功
能,能
为
静
态
路
由
/RIP/OSPF/BGP/ISIS/VRRP/PIM/MPLS等协议提供稳定均匀的毫秒级检测机制,大大提高了网络可靠性。
S9700支持快速自愈保护技术
HSR(High-speedSelfRecovery),基于华为
ENP板卡,独家实现端到端
IPMPLS承载网
50ms倒换保护,进一步提升网络可靠性。
S970支持硬件级以太
OAM,包括完善的802.3ah、802.1ag
和
ITU-Y.1731,能够对网络传输中的时延、抖动等参数进行精确统计,实时监测网络运行情况,并在设备故障发生时快速定位实现网络快速故障检测、定位与倒换。
S970支持
ISSU
业务运行中软件升级,设备软件升级过程中确保关键业务和服务不中断。支持优雅重启技术(Graceful
Restart),实现
NSF
无中断转发,有效保证全网高速可靠运行。
强大的业务处理能力
多业务路由交换平台,满足企业接入、汇聚、核心业务承载要求,支持无线、语音、视频和数据应用,为企业提供高可用、低时延、全业务的一体化网络解决方案。
支持分布式
L2/L3MPLSVPN功能,支持
MPLS、VPLS、HVPLS、VLL,满足企业
VPN等用户的接入需求。
专业知识整理分享
WORD格式可编辑
完善的二、三层组播协议,支持
PIMSM、PIMDM、PIMSSM、MLD、IGMPSnooping,满
专业知识整理分享
WORD格式可编辑
足多终端高清视频监控和视频会议接入需求。
软件平台提供多种路由协议满足企业建网要求,支持从中小企业到超大型跨国公司级大规模路由,支持
IPv6,能够为企业网络提供平滑升级能力。
丰富的网络流量分析功能
S970支持
Netstream
网络流量分析,支持
V5/V8/V多种报文格式,支持聚合流量模板,实时流量采集、动态报表生成、属性分析、流量异常告警等功能;支持向主、备分析服务器同时发送日志,防止统计信息丢失。能够提供实时的网络监控功能和全网范围内的流量模式,并提供预先故障检测、高效故障排除和快速问题解决功能,提供安全监控等应用和分析,帮助用户及时优化网络结构、调整资源部署。
完善的安全保护机制
S970支持
MACsec,提供逐跳设备的数据安全传输,适用于政府、金融等对数据机密性要求较高的场合。
NGFW新一代防火墙业务处理板,在提供传统防火墙、身份认证、Anti-DDoS等基础防御功能外,同时支持
IPS、反垃圾邮件、Web安全、应用控制等专业安全功能。
提供完善的NAC
解决方案,支持
MAC
地址认证、Portal
认证、802.1x
认证、DHCP
Snooping触发认证多种认证方式,有效应对哑终端接入、移动设备接入和集中式
IP地址分配等多种接入方式的安全挑战,确保企业网络安全。
提供
级
CPU
保护机制,支持
1K
CPU
硬件保护队列,可实现数据和控制的分离处理,防止拒绝服务攻击、非法接入以及控制平面过载等安全威胁,提供业界领先的一体化安全解决方案。
全面的IPv6解决方案
S9700软硬件平台均支持
IPv6,取得工信部
IPv6入网认证和
IPv6Ready第二阶段金色认证。
S9700全面支持
IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+等
IPV6单播路由协议,支持
MLDv1/v2、MLDSnooping、PIM-SM/DMv6、PIM-SSMv6等
IPv6组播特性,为用户提供完善的IPv4/IPv6解决方案。
S9700支持丰富的IPv4向
IPv6过渡技术包括:IPv6手工隧道、6to4隧道、专业知识整理分享
WORD格式可编辑
ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道等隧道技术,保证
IPv4网络向
IPv6网络的平滑过渡。
创新节能打造绿色低碳网络
专业知识整理分享