网络规划改造方案三篇.docx
- 文档编号:10406402
- 上传时间:2023-02-11
- 格式:DOCX
- 页数:40
- 大小:1.15MB
网络规划改造方案三篇.docx
《网络规划改造方案三篇.docx》由会员分享,可在线阅读,更多相关《网络规划改造方案三篇.docx(40页珍藏版)》请在冰豆网上搜索。
网络规划改造方案三篇
网络规划改造方案三篇
篇一:
网络规划改造方案
目前网络结构过于单一,随着公司人员数量的增加,给管理上造成一定的困难。
需要对当前的网络重新规划并改造。
一、当前的网络拓扑结构
目前公司核心网络使用的网络设备过于原始和简单,虽然满足了当前的办公需要,但是功能过于单一,无法满足随着公司人数及业务的发展需求,给网络的管理带来一定的混乱,存在严重的安全隐患。
1、当前网络中存在的问题
1)网段的划分单一,无法满足复杂的网络环境
2)DHCP服务混乱,经常出现办公电脑获取IP地址冲突现象
3)服务器网络IP段无法满足跨网段访问的需求,需要每次手动切换
4)核心网络设备功能单一,无法满足当前的多网段划分需求
2、当前网络拓扑结构
3、当前网络结构中不合理的地方
1)网络设备过于传统,设备功能过于单一,不利于服务器网络的划分
2)网络结构过于简单,网段划分数量较少,不利于后期设备的扩展
3)VLAN数量划分较少,在PC数量较多的情况下,容易造成IP地址混乱,不利于管理。
二、规划网络拓扑结构
1、方案拓扑
2、方案简介
网络整改的方案中主要变动的部分是需要新增一台H3CS5500交换机。
该交换机属于网络核心三层交换,兼有路由功能,提供VLAN间的路由,同时支持动态路由协议,具体很好的扩展性能。
1)该方案在原有网络的基础上增加了一台三层交换机。
原有网络中只有一台企业级路由器,无法提供企业中对vlan扩展的需要,以及vlan之间的访问限制等。
2)原有路由器相对传统,仅提供公司访内部问外部数据的路由功能,而新增的三层交换机则接替了原有路由管理内部数据包的功能,仅在需要将数据路由到外部的时候才将数据提交给路由器,很大程度上减轻了路由器处理数据的负载压力,提升了路由效率。
3)对于内部服务器网络群来说,提升了服务器之间的访问效率。
4)本方案在不改动原有网络的基础上较大提升了网络性能,提高包转发数据速率。
三、设备清单及报价
本方案中新增加1台核心设备s5500,参数及报价如下,另外在vlan数量增加的情况下,当前需要新增加2台接入层交换机,具体参数及型号如下。
型号名称
H3CS1224
报价
800
产品类型
千兆以太网交换机
应用层级
二层
传输速率
10/100/1000Mbps
交换方式
存储-转发
背板带宽
48Gbps
包转发率
35.7Mpps
MAC地址表
8K
型号名称
H3CS5500-28C-SI
H3CS5500-28C-EI
H3CS5500-28F-EI-AC
报价
¥7900
¥1.09万
¥1.49万
产品类型
千兆以太网交换机
智能交换机
企业级交换机
交换方式
存储-转发
存储-转发
存储-转发
背板带宽
128Gbps
256Gbps
256Gbps
包转发率
96Mpps
96Mpps
96Mpps
MAC表
16K
32K
32K
应用层级
三层
三层
三层
端口数量
28个
28个
32个
扩展模块
2个扩展插槽
2个扩展插槽
2个扩展插槽
传输模式
支持全双工
支持全双工
支持全双工
四、详细方案
1、VLAN的划分
1)划分多个VLAN,具体数量根据实际业务的需要进行划分。
2)每个VLAN的IP地址段在目前的IP段基础上扩展划分。
比如vlan1192.168.1.1-192.168.1.254,vlan2192.168.2.1-192.168.2.254,以此类推。
2、设备配置
1)VLAN规划如上
VLAN1:
192.168.1.1-192.168.1.254
VLAN1:
192.168.2.1-192.168.2.254
VLAN1:
192.168.1.3-192.168.3.254
VLAN1:
192.168.1.4-192.168.4.254
………….……………
2)DHCP配置,针对具体的VLAN做动态地址规划,建议每个VLAN保留一段IP地址用于静态地址配置,防止DHCP引起的地址冲突。
3)新增设备后需要对路由器重新配置路由条目
数据包出向公网的路由,以及由公网流向公司内部的数据包。
3、具体实施
本改造方案只增加一台核心设备,但是会造成办公网络全部中断,中断时间超过一小时,建议在周末时间完成设备的配置和上架工作。
篇二:
企业网络改造规划方案
第1章.项目概述
1.1.项目背景
随着**公司信息技术发展,作为信息载体的网络系统存在问题日益严重:
网络负载加大、网络带宽不足、网络安全问题严重、应用系统的增加,多网融合的需求迫切、网络终端不受控等。
这就需要对现有网络系统进行改造,以满足**公司信息技术发展的需求。
1.2.项目建设需求
在利用**公司现有网络资源的基础上加以改造,改造后的网络需要满足以下需求:
1、根据用户对业务系统的访问要求,将现有各个业务子网在网络核心层面进行整合,以达到单个用户可以访问不同子网的资源,并通过一定的安全策略,确保各个子网之间的数据和业务安全。
2、优化现有网络规模,设立网络汇聚节点,最终形成以销售部、自动化部自动化车间、轧钢总降、一炼、二炼、一轧、二轧等七个部位为主的汇聚点,覆盖全公司、部门、车间的生产区域。
3、实现整个公司网络架构分等级安全管理。
4、建立结构化网络安全系统,所有用户通过认证方式接入公司网络,访问自己对应的网络资源或系统。
5、实现网络终端受控,重要岗位终端行为管理,保证终端规范化操作。
6、实现服务器及存储资源的有效利用,建立核心服务器区域的安全防护提高运行能力。
将现有主要服务器,如产销系统、新老线MES系统、设备管理系统、远程计量、人事、原料采购、调度、质量等服务器集中统一管理。
7、实现L2系统在网络中的隔离,保证L2系统安全稳定运行。
1.3.建设目标
此次网络改造规划方案主要包括:
网络系统,安全系统的建设。
各个系统的功能概述如下:
1)网络系统:
尽量利用现有的网络接入条件和机房环境条件,对现有网络系统进行全面改造升级,实现生产网、宽带网、设备网之间的融合接入,简化网络逻辑架构。
2)安全系统:
根据网络总体架构和安全需求,设计部署安全防御体系(包括网络层、系统层、应用层等各层次),各业务系统的安全防范和服务体系,并实现集中的安全管理。
第2章.系统规划要求
系统规划要求如下:
2.1.高可靠要求
为保证业务系统不间断正常运行,整个系统应有足够的冗余,设备发生故障时能以热备份、热切换和热插拔的方式在最短时间内加以修复。
可靠性还应充分考虑系统的性价比,使整个网络具有一定的容错能力,减少单点故障,网络核心和重点单元设备支持双机备份。
2.2.高性能要求
核心网络提供可保证的服务质量和充足的带宽,以适应大量数据传输包括多媒体信息的传输。
整个系统在国内三到五年内保持领先的水平,并具有长足的发展能力,以适应未来网络技术的发展。
2.3.易管理性要求
考虑到系统建设后期的维护和管理的需要,在方案设计中充分考虑各个设备和系统的可管理性,并可以满足用户个性化管理定制的需要。
网站各系统易于管理,易于维护,操作简单,易学,易用,便于进行配置和发现故障。
2.4.安全性要求
对于内部网络以及外部访问的安全必须高度重视,设计部署可靠的系统安全解决方案,避免安全隐患。
设计采取防攻击、防篡改等技术措施。
制定安全应急预案。
管理和技术并重,全方位构建整个安全保障体系。
2.5.可扩展性要求
对**信息化建设规划要长远考虑,不但满足当前需要,并在扩充模块后满足可预见需求,考虑本期系统应用和今后网络的发展,便于向更新技术的升级与衔接。
留有扩充余量,包括端口数和带宽升级能力。
2.6.实用性和先进性要求
系统建设首先要从系统的实用性角度出发,未来的信息传输都将依赖于数据网络系统,所以系统设计必须具有很强的实用性,满足不同用户信息服务的实际需要,具有很高的性能价格比,能为多种应用系统提供强有力的支持平台。
2.7.经济性要求
本次系统建设中,要充分考虑原有系统资源的有效利用,发挥原有设备资源的价值。
要本着以最少的建设成本,最少的改造成本,持续获得当期及未来建设的最大利益。
第3章.系统总体设计
此方案设计将遵循先进性、实用性、可靠性、易管理性、安全性、扩展性、经济性的原则,为实现**数据集中处理的方式,构建统一融合的网络系统,能支持全公司范围内的高可靠实时网络连接。
依据**网络改造建设的需求,本次方案设计的网络平台系统的总体示意图如下:
**网络改造总体拓扑图
注:
图中橙色字体的设备为此次新增设备。
具体描述:
1.网络系统设计
1)整体网络结构按照不同的安全级别,主要分为出口区域、DMZ区域、中心服务器集群区域、核心交换区域、生产网接入区域、能源网接入区域、远程计量网接入区域及其他网络接入区域。
2)作为整个网络的核心业务区域,采用两台高端核心交换机双机热备的方式,保证核心业务的正常开展。
同时,依据业务的重要程度对全厂网络进行分区、并进行可靠安全隔离,避免重要程度较低的业务对重要程度高的核心业务造成影响。
3)生产网接入区域,主要以现有的生产网接入设备为主、另外融合了宽带网和设备网的接入设备。
根据现有的网络结构及客户需求,设立新的网络汇聚节点,形成以销售部、自动化部自动化车间、轧钢总降、一炼、二炼、一轧、二轧等七个部位为主的汇聚点,覆盖全公司、部门、车间的生产区域。
4)上述七个汇聚节点主要下联现有的生产网接入设备,同时,将原宽带网和设备网的接入设备融入,构建统一的网络接入平台,不再重复建网。
新的网络平台融合了,生产网的数据访问和外网互联的需求,使用同一终端即可实现内外网同时访问的功能。
5)规划统一的中心服务器集群区域,将现有生产网、设备管理系统、人事系统中运行的服务器,划到同一逻辑区域。
考虑到新的核心交换的高性能,将所有的服务器直接接到核心交换,通过核心区域的安全设备来保证访问安全。
使全厂的所有客户终端都通过核心交换来对各个业务系统进行统一访问。
6)设计新的互联网出口区域,设置出口防火墙、上网行为管理、负载均衡等安全设备,保证全厂用户的上网安全。
原有生活区用户不再和办公区使用同一出口上网,生活区用户使用单独的出口设备连接互联网。
7)构建DMZ区域,将WWW、DNS、MAIL等需要同时服务内外网用户的服务器放到该区域,设置VPN、负载均衡等设备保证服务安全。
8)能源网和远程计量网由于是独立运行的物理网络,不在此次网络改在的范围。
但此次我们新增的核心交换,在性能、稳定性、处理能力方面,均有能力负载未来其他多个网络的融合。
2.安全系统设计
本次**网络改造项目建设将考虑如何建设多层次、纵深防御系统。
另外,要加强安全管理工作和安全应急工作。
通过部署防火墙保证网络边界的安全,保证网络层的安全;部署入侵检测系统实现内网安全状态的实时监控;部署防病毒系统防止病毒入侵,保证主机的安全;部署网络监控系统对网络进行监控;部署抗攻击系统抵御来自外界Internet的DoS/DDoS攻击;部署漏洞扫描系统对系统主机、网络设备的脆弱性进行分析;部署时钟系统使系统的时钟同步;部署单点登录系统方便用户在多个系统间自由穿梭,不必重复输入用户名和密码来确定身份;部署统一认证系统对不同的应用系统进行统一的用户认证,通过统一的用户认证平台提供一个单一的用户登陆入口;部署安全管理平台实现系统内安全事件的统一管理。
我们要通过相应的安全技术建设一套包含物理层、网络层、主机层、应用层和管理层等多个方面的完整网络安全体系。
第4章.基础平台详细规划
4.1.网络系统
4.1.1.系统设计目标
网络系统建设的总体目标,是要建立统一融合的、覆盖全公司范围内的、高速高可靠的网络平台,以支持数据集中处理的运行模式。
4.1.2.系统设计原则
网络系统包括四大部分,一是出口区域,实现公司用户的上网需求;二是服务器区域,对**现有业务系统的主机存储进行统一管理;三是核心交换区域,实现全公司所有功能区域的互联互通;四是二级接入区域,对整个网络现状进行重新规划,形成新的汇聚节点,将生产网、宽带网、设备管理、人事系统统一融合到新的管理网络中,实现单一终端对所有业务系统的统一访问。
网络系统有良好的扩展性,保证网络在建设发展过程中业务和系统规模能够不断地扩大。
网络线路及核心、关键设备有冗余设计。
核心设备和关键设备保证高性能、高可靠性、大数据吞吐能力。
网络系统的设计充分考虑系统的安全性。
4.1.3.整体网络规划
按照结构化、模块化的设计原则,实现高可用、易扩展、易管理的建设目标。
网络整体拓扑如下图所示:
注:
图中橙色字体的设备为此次新增设备。
按照“模块化”设计原则,需要对**整体网络结构进行分区设计。
根据**公司业务情况,各区域业务系统部署描述如下:
核心交换区:
此区域用于实现各分区之间的数据交互,是数据中心网络平台的核心枢纽。
出口区域:
互联网出口,公司员上网,对外发布公司信息,承载电子商务等业务系统。
中心服务器区:
此区域部署核心业务服务器,包括MES、OA、人事、安全管理等应用系统。
网络汇聚区:
实现公司办公楼、各分厂等汇聚网络接入,二级单位可以通过该接入区域实现对业务系统的访问。
接入交换区:
全厂接入设备连接区域,该区域用于连接终端用户和公司核心交换网络,是网络中最广泛的网络设备。
4.1.4.分区设计详解
4.1.4.1.核心交换区设计
此次网络改造,建议新增两台高性能的核心交换机作为**的网络核心。
核心层作为整个**网络的核心处理层,连接各分布层设备和**核心服务器区,核心层应采用两台高性能的三层交换机采用互为冗余备份的方式实现网络核心的高速数据交换机,同时,两台核心设备与分布层各设备连接,保证每台分布层设备分别与两台核心层设备具有网络连接,通过链路的冗余和设备冗余的设计,保证整个核心层的高可靠性。
两台核心设备之间应至少保证2Gbps全双工的速率要求,并能平滑升级到10Gbps。
核心区是整个平台的枢纽。
因此,可靠性是衡量核心交换区设计的关键指标。
否则,一旦核心模块出现异常而不能及时恢复的话,会造成整个平台业务的长时间中断,影响巨大。
4.1.4.2.互联网出口区设计
**与外网的出口区域,目前是通过建立独立的宽带网,实现办公区和生活区通过统一出口访问外网的。
在此次网络改造中,我们计划把生活区上网与办公区上网隔离开,通过不同的出口访问外网。
改造后的生活区网络拓扑结果如下图所示:
如上图所示,此次生活区的网络改造会增加新的防火墙和负载均衡设备,作为生活区的网络安全管理设备,通过单独的出口设备连接到互联网。
改在后的厂区互联网出口区域,如下图所示:
如上图所示,工作区的网络改造同样会增加新的防火墙和负载均衡设备,以及上网行为管理等安全设备,作为生活区的网络安全管理设备,通过单独的出口设备之间连接到互联网。
出口区域除了网络出口设备外,还包括一个DMZ区域,用于将WWW、DNS、MAIL等,需要同时服务内、外网用户的服务器放到该区域,
4.1.4.3.中心服务器区设计
规划统一的中心服务器集群区域,将现有生产网、设备管理系统、人事系统中运行的服务器,划到同一逻辑区域。
该区域物理上为一个区域接入到核心,而逻辑上可以再划分为多个业务应用区,根据业务属性的不同可以划分为生产服务器区(如ERP等)、办公服务器区(如OA等)、管理服务器区(如IT运维、管理等系统)等。
考虑到新的核心交换的高性能,将所有的服务器直接接到核心交换,通过核心区域的安全设备来保证访问安全。
使全厂的所有客户终端都通过核心交换来对各个业务系统进行统一访问。
4.1.4.4.网络汇聚区设计
网络汇聚区域,根据现有的网络结构及客户需求,设立新的网络汇聚节点,形成以销售部、自动化部自动化车间、轧钢总降、一炼、二炼、一轧、二轧等七个部位为主的汇聚点,覆盖全公司、部门、车间的生产区域。
该区域的网络设备主要以现有的生产网汇聚设备为主、另外融合了宽带网和设备网的汇聚设备,同时考虑现有汇聚设备性能不能满足需求的情况,新增高新能的汇聚设备。
汇聚层设备通过双链路的方式与核心层两台核心交换设备相连,同时,为保障网络的健壮性,以及便于各个分厂区之间数据交互,各个分厂区的汇聚交换机之间也有线路直连。
各汇聚节点与核心层的连接,应全部采用1000Mbps或1000Mbps以上的连接方式,分布层设备实现本区域内的各Vlan的路由处理和安全限制。
4.1.4.5.接入层部分
网络汇聚节点主要下联现有的生产网接入设备,同时,将原宽带网和设备网的接入设备融入,构建统一的网络接入平台,不再重复建网。
新的网络平台融合了,生产网的数据访问和外网互联的需求,使用同一终端即可实现内外网同时访问的功能。
接入层设备与分布层设备通过1000M光纤或双绞线的方式连接,在用户量较少的分节点可以采用100M上联方式,与各终端用户连接一般采用100M或者1000M双绞线的方式。
生产网中其他办公楼及分厂区的网络接入,通过自动化车间和轧钢总降等汇聚节点,接入到新的数据网络中。
各个分厂区的网络接入情况如下图所示:
自动化车间汇聚网络拓扑图
轧钢总降汇聚网络拓扑图
4.1.5.网络协议设计
4.1.5.1.IP地址和VLAN规划
IP地址是网络设计工作中重要的一环,使用IP地址不当会造成路由表庞大、难以部署安全控制、地址重叠问题、地址空间耗尽等问题,会给网络运行带来很大麻烦。
为了让**网络建设项目顺利进行,我们建议**网络采用以下IP地址规划原则进行适当改进:
1、为公司各个二级单位、应用业务、数据中心采用统一规划,统一分配,统一管理的地址设计原则,避免重叠地址的出现。
设定专门流程和人员对全公司网络地址进行记录和权限管理。
2、尽可能采用私有地址进行IP地址分配。
私有地址就是我们熟知的三类网络地址,分别是A类网中的10.0.0.0~10.255.255.255范围,B类网中的172.16.0.0~172.31.255.255范围,C类网中的192.168.0.0~192.168.255.255范围。
3、整网地址规划思路可按照以下方法设计,如10.X.Y.Z,X为不同厂区进行标示,Y为该厂区内不同业务或应用进行标示,Z为主机地址位。
4、同一个区域内部,使用连续的IP子网进行IP地址分配。
例如,厂区A内需要有4个C类网络,为了满足地址汇聚需要,应该为连续的C类网络。
例如:
10.254.128.0/24、10.254.129.0/24、10.254.130.0/24和10.254.131.0/24
4个网络可以汇聚成10.254.128.0/22。
在定义测试区安全策略时,不用将4个网段同时定义成ACL,使用一条ACL就可以包括全部网络。
5、使用可变长掩码规划网络地址,根据IP地址使用对象的特点,部署不同长度子网掩码。
例如,应用网段的IP地址,可以采用C类网地址,掩码为24位;区域设备之间的互连地址可以采用29位掩码。
6、不同主机实际网关IP地址与HSRP使用的IP地址应该在整个数据中心统一,使用相同的方式配置,例如:
整个厂区均采用X.X.X.1作为主机实际网关IP地址,HSRP采用X.X.X.254为HSRP网关地址。
7、网络互连地址采用IP地址网段的头两个可用地址,核心侧设备接口配置奇数地址,边缘侧设备接口配置偶数地址。
例如,设备A与设备B互连,采用10.254.254.0/29网段为互连地址,该网段头两个可用地址为10.254.254.1和10.254.254.2,设备A为核心设备,配置奇数地址10.254.254.1,设备B为边缘设备,配置偶数地址10.254.254.2。
8、网络设备配置环回地址(32位掩码地址),用于网络管理和日志管理。
VLAN主要用于将局域网环境划分为多个逻辑网络,从而降低广播风带来的影响,也可提高网络可管理性和安全性。
建议在此次网络建设中可按照以下原则对新建VLAN及原有VLAN进行适当调整和修改。
1、VLANID的规划可按照应用业务、工作部门、厂区位置等方法定义,这里建议按照原有网络规划方法进行。
2、VLANID可以是2-4096任意数字,为了方便标示和管理,建议ID与IP网段地址相关联。
如10.18.10.0/24–VLAN10;10.18.20.0/24—VLAN20;10.18.30.0/24—VLAN30等。
3、VLAN规划避免重复,全网VLAN静态手动分配(在根交换机),统一管理和记录。
4.1.5.2.动态路由协议
对一个大网络来说,选择一个合适的路由协议是非常重要的,不恰当的选择有时对网络是致命的,路由协议对网络的稳定高效运行、网络在拓朴变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展都有很重要的影响。
目前存在的路由协议有:
RIP(v1&v2)、OSPF、IGRP、EIGRP、IS-IS、BGP等,根据路由算法的性质,它们可分为两类:
距离矢量(DistanceVector)协议(RIP/IGRP/EIGRP)和连接状态(LinkState)协议(OSPF/IS-IS)。
可用于大规模的网络同时又基于标准的IGP的路由协议有OSPF和IS-IS。
两种路由协议均是基于链路状态计算的最短路径路由协议;采用同一种最短路径算法(Dijkstra)。
考虑到产品对OSPF和IS-IS的支持的成熟性以及OSPF和IS-IS工程经验,建议采用OSPF做为**网络的主用动态路由协议。
作为链路状态协议,OSPF的特征如下:
●通过维护一个链路状态数据库,使用基于Dijkstra的SPF路由算法。
●使用Hello包来建立和维护路由器之间的邻接关系。
●使用域(area)来建立两个层次的网络拓扑。
●具有域间路由聚合的能力。
●无类(classless)协议。
●通过选举指派路由器(DesignedRouter)来代替网络广播。
●具有认证的能力。
OSPF是一套链路状态路由协议,路由选择的变化基于网络中路由器物理连接的状态与速度,变化被立即广播到网络中的每一个路由器。
每个路由器计算到网络的每一目标的一条路径,创建以它为根的路由拓扑结构树,其中包含了形成路由表基础的最短路径优先树(SPF树)。
下图是OSPF分Area的状态。
OSPFArea的分界处在路由器上,如图所示,一些接口在一个Area内,一些接口在其它Area内,当一个OSPF路由器的接口分布在多个Area内时,这个路由器就被称为边界路由器(ABR)。
每个路由器仅与它们自己区域内的其它路由器交换LSA。
Area0被作为主干区域,所有区域必须与Area0相邻接。
在ABR(区域边界路由器,AreaBorderRouter)上定义了两个区域之间的边界。
ABR与Area0和另一个非主干区域至少分别有一个接口。
OSPF允许自治系统中的路由按照虚拟拓扑结构配置,而不需要按照物理互连结构配置。
不同区域可以利用虚拟链路连接。
允许在无IP情况下,使用点到点链路,节省IP空间。
OSPF是一个高效而复杂的协议,路由器运行OSPF需要占用更多CPU资源。
下面从层次能力、稳定性、扩展性和可管理性四个方面对OSPF进行介绍:
Ø层次能力
通过areas支持层次化
边界在router内
链路状态数据库(LSDB)来自网络或路由器LSA尺寸—64KBto5000条链路的限制
Ø稳定性
依靠路由设计和实现
大型网络中使用呈现增强的趋势
Ø扩展性
使用扩展TLV编码策略
新扩展需开发时间
Ø管理性
企业网中大范围使用
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 规划 改造 方案
![提示](https://static.bdocx.com/images/bang_tan.gif)