下面是小编为大家整理的网络改造方案,供大家参考。
1
网络改造方案
2014 年 12 月 16 日
2 目
录 第一章概况 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31 .1 建设目标 .................................................................................. 31 .2 建设内容 .................................................................................. 3第二章需求分析 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
42.1 现状分析 .................................................................................. 4第三章网络改造方案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53.1
方案一 ..................................................................................... 53.2 方案二 ..................................................................................... 53.2 方案三 ..................................................................................... 63.2 其它方案 ................................................................................. 6第四章方案购置清单 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
3 第一章 概况 1 .1 建设目标 尽量在现有设备基础上进行。
在现有网络带宽的前提下, 确保公司内部网络畅通。
实现终端流量监控。
在确保网络安全的前提下, 实现公司间的部分设备互通。
能有一定的延展性。
1 .2 建设内容 本次改造的根本目的为针对下属设备(台式机, 笔记本及其他占用网络资源设备)
进行流量监管。
在带宽满足日常使用的基础上, 进行部分设备调整或者建议更换, 或采用其他方式实现。
4 为保证网络系统的安全以及加大对网络的控制和管理, 有必要对网络进行相关设置。
第二章 需求分析 2.1 现状分析 由于无法迁入光纤, 故采用单条 ADSL 模式, 加之费用需要独立核算, 未采用双线负载和共用设备, 公司 A 与公司 B 均通过 8M ADSL 接入, 出口设备均为 H3C ER3100路由。
目 前的网络带宽基本满足日常使用, 但所有设备均无审计功能, 故无法准确的对网络流量进行监管。
公司 A 路由下挂 D-LINK POE 交换机, 下接公司设备及 AP 设备。
公司 B 路由下挂 H3C 1224 交换机, 下接公司设备、 服务器及 AP 设备(需要新增外置供电)
目前两个公司由于不互通, 公司 A 的部分设备无法访问公司 B 的服务器。
从拓扑图可以看出, 网络结构相对简单, 但网络节点设备功能不全, 导致无法实现必要的管理措施。
且网络安全部分, 服务器过于暴露, 存在一定的安全隐患。
对于两个公司而言, 虽然网络相对安全, 但也给日常操作带来一定的影响, 公司 A 的终端无法连接到公司 B 的服务器, 而需要从公司 B 的交换机上外接一根网线才能实现, 无形中增加了网络安全隐患。
主要设备配置:
序号 节点类型 设备名称 配置 1 汇聚节点 H3C ER3100 1*WAN, 3*LAN, 传输速率 10/100M,
2 接入节点 D-LINK DES-1526 智 能 交 换 机 ,传 输 速 率 :10Mbps/100Mbps/1000Mbps H3C-S1224 二 层 交 换 机 ,传 输 速 率 :10Mbps/100Mbps/1000Mbps
5 第三章 网络改造方案 3.1 方案一 该方案通过增加核心防火墙, 实现网络的集中监测、 分权管理, 并统一分配带宽资源, 实现设备、 端口等的管理及流量统计分析, 帮助掌控网络的性能状态, 监测网络故障, 优化网络结构, 维护网络的正常稳定运行。
在延展性上, 可以在未来扩充多根宽带接入(具体扩充数量根据核心设备端口数决定), 并且通过设置相关策略实现带宽分流, 一定程度上满足费用独立核算。
网络拓扑图如下:
通过在设备 USG2160 上设置策略, 杜绝公司间互访, 也可通过策略实现部分设备互通。
USG2160 支持最大 8 进 1 出, 但根据实际, 最大为 6 进 3 出, 即在扩展性上, 可以同时接入最大 6 根宽带。
在核心防火墙上进行策略划分, 实现理论带宽的分配, 即如公司 A 接入 2 根 8M宽带, 公司 B 接入 1 根 8M 宽带, 则划分公司 A 使用 16M 带宽, 公司 B 使用 8M 带宽。在费用核算上, 各公司分别承当各自的宽带费用, 出口设备平分费用。
3.2 方案二 该方案基于方案一, 只做部分调整, 实现对 DHCP 的动态管理, 即 IP 地址管理。调整公司 A 的所有 AP 设备接入一个 POE 交换机, 并将该交换机接入防火墙, 设置策
6 略设置 AP 设备发送的 IP 地址为其它网段。
3.2 方案三 通过软件实现对网络流量的监控, 但由于两个公司网络独立, 即使使用软件监控, 也无法同时对两个公司进行监控。
即在公司内部架设一台电脑, 并安装监控软件, 目前市面上的软件非常繁多,暂时列举几个软件:
NGR网络流量管理系统, 小草网络流量综合管理系统, 企业360,网路岗等第三方监控软件。
此类办法固然减少成本, 但在监控力度上仍存在漏洞。
3.2 其它方案 其它方案在实施过程中, 如直连两个公司路由, 会对网络安全造成影响; 增加三层交换, 会是网络复杂化, 不利于维护; 更换 USG2205, 造成费用大幅度提升。
第四章 方案购置清单 设备名称 品牌型号 预计费用 技术参数 核心防火墙 华为USG21 60 3500.00 安全网关; 1 个 Wan+8 个 FE 接口; Dos,DDoS;支持命令行、 WEB 方式、 SNMP、 TR069 等配置和管理方式, 这些方式提供对设备的本地配置、 远程维护、 集中管理等多种手段, 并提供完备的诊断、告警、 测试等功能 系统安全组件:
全网体检、 漏洞修复、 病毒查杀、插件清理、 开机加速、 危险项修复等功能。
企业软件管家组件:
全网软件信息统计、 终端流量统计、 全网软件分发等功能。
硬件资产管理组件:
全网 IT 硬件汇总统计、 硬件变更丢失跟踪和预警、 硬件运行状态监控。
涵盖流量分析、 带宽管理、 上网行为管理、 DMZ区服务器管理, 专线集中管理、 企业级防火墙与路由器、 负载均衡等功能 对所有上网用户的网络使用情况(网络流量)实施监控, 并可以实时查看用户上网浏览的网址、 控制用户的网络聊天、 P2P 下载、 浏览网页等权限、 限制用户访问互联网的数据流量, 并对网络流量异常的用户采取相应的限制措施 局域网电脑限速/网络带宽控制, 网络流量监控统计 监控软件 企业 360 免费 小草网络流量综合管理系统 免费或部分收费 NGR 网络流量管理系统 免费 网路岗 收费 外置AP供电
Ip-com 1 50.00 提供 AP 设备供电