网络改造方案Word格式.docx
- 文档编号:19151342
- 上传时间:2023-01-04
- 格式:DOCX
- 页数:63
- 大小:2.38MB
网络改造方案Word格式.docx
《网络改造方案Word格式.docx》由会员分享,可在线阅读,更多相关《网络改造方案Word格式.docx(63页珍藏版)》请在冰豆网上搜索。
现有网络骨干是百兆网络局域网,但网络吞吐约200G/天,流量峰值是200M/S,平均流量为80M/S,其中流量吞吐最大的是192.168.8.19的营销系统服务器,而一旦局域网中出现P2P、大文件传输、视频流媒体等数据流,正常业务的带宽就会受到挤占和消耗,造成网络访问拥塞,出现延时大,响应慢等现象。
5、业务系统性能待调优
首先是OA系统因为访问量少,所以响应快,延时小,性能最好。
其次是营销系统,在业务高峰时期会有上万(约13000左右)的并发会话,此时服务器性能和网络非常吃紧。
接着是财务NC系统,因为服务器挂在云端,本地是通过VPN去进行访问,导致服务器访问性能在广域网传输过程耗损较多,所以,交互质量差的应用会话比例很高,系统整体性能较差。
最后是集抄系统,该业务系统虽然整体流量不大,但总体性能表现并不高,这跟两台服务器没有很效地对访问请求进行负载分担有一定关系。
6、网络存在安全隐患
网络中存在一些病毒木马、端口扫描、未知异常广播等网络安全隐患,干扰正常网络通信,影响数据传输,并可能造成数据泄密、业务系统无法运转等风险。
7、监控流媒体挤占正常业务带宽
平时的业务数据和监控流媒体数据混在网络中一起传输而未被分开,会导致视频监控数据挤占正常业务带宽通道进行传输,极大造成了局域网带宽资源浪费,影响业务传输质量。
8、运维组织有待完善
分支机构接入较多,私接串接导致故障现象屡见不鲜,使运维人员应接不暇,需从制度上和技术上,加强运维组织管理。
1.3用户需求
●骨干网络高性能、高稳定性需求
网络骨干包括网络的核心层和汇聚层,是整个网络流量的承受者和汇聚者,因此对骨干网络高性能、高稳定性提出了高的要求。
为了提高设备的可靠性和稳定性,可采用骨干网络冗余设计,能够实现设备的热备和失效自动切换。
●网络安全性需求
网络安全包括网络级、系统级、用户级、应用级的安全,在网络级,需要利用防火墙的过滤与隔离功能,将信任网络(内网)和不信任的网络(外网)隔离开来,并利用防火墙或出口路由器的NAT(网络地址转换)功能,对外屏蔽内网的网络拓扑信息,从而避免整网受到外来攻击。
在网络内部,根据用户的网络使用需求,将用户和网络资源划分为不同的VLAN,在VLAN间根据需求启用相应的ACL(访问控制列表),从而保证用户的物理隔离和资源访问的安全。
●网络监控管理分析需求
在不影响关键业务运行的前提下,收集分析网络流量中的应用信息,网络管理员可以定义、监控并评估网络连接性、安全性和性能策略,并进行网络的规划和设计,并且能够使管理员了解计算机网络系统的整体状况,可监控到来自网络内部和外部的“黑客”入侵,能够为查明入侵的来源提供有效的依据,直观的显示各种网络流量运行状态,并对各种异常情况
实现自动报警。
1.4设计思路
公司网络设计为三层结构,系统的设计应充分利用当今先进的网络技术,实现网络数据高速有序流通,建立高效率的信息网络平台,形成各个部门内外相联、上下贯通的信息传输网络。
改造后的我公司网络平台应是一个技术先进、性能可靠、功能齐全的系统,系统内的各级用户在各自权限内,在各自站点上进行各自的工作,满足网上语音、视频、监控等多种应用,为集团业务发展提供一个稳定的信息高速公路基础平台。
1.5建设目标
Ø
尽量保留现有网络中的设备,在确保公司正常业务使用的前提下减少公司投资。
不仅要考虑到如何实现数据的高性能传输,还要充分考虑网络的冗余与可靠,让系统在运行过程发生故障时,能迅速恢复正常工作,避免造成企业经济损失。
改造后的网络系统具有良好的可维护性与可管理性,让管理员通过智能化分析工具后对网络运行状况了如指掌,高效率地处置运行故障与安全威胁。
为公司网络基础设施的未来发展提供良好的扩展接口,让网络核心骨干随着公司规模的扩大、业务的增长,便于进行系统的扩展和升级。
1.6设计原则
在整个网络改造设计过程中,力求尽量利用现有资源的基础上进行改造,严格遵循网络规范和设计原则,为用户打造一个稳定,安全的网络环境,具体考虑到以下的各个方面。
1、稳定性
网络的可靠性和稳定性非常重要,决定着网络能够正常运行,在网络设计时,不论是网络节点、通信线路、应用设备还是网络拓扑的设计,都应该对可靠性和稳定性加以考虑,尽量减少故障节点,确保系统运行可靠。
2、先进性
设计网络系统的目的主要就是应用。
因此,在设计时应当以注重实用和成效为原则,紧
密结合具体应用的实际需要。
在技术上应该采用先进的网络技术和网络产品,选择技术成熟和实用效果好、市场占有率高、通用性好的设备,适应信息技术的迅速发展,具有良好的技术先进性。
3、安全性
对于内部网络以及外部访问的安全必须高度重视,设计部署可靠的系统安全解决方案,避免安全隐患,采取防攻击、防篡改等技术措施,管理和技术并重,全方位构建整个网络安全保障,保证数据和服务器的安全。
4、可管理性
考虑到网络系统的后期管理和维护,在方案设计中要充分考虑各个设备和系统的可管理性,使系统建成后易于管理、易于维护、操作简单、易学、易用,有效地提高对网络的管理,便于管理人员进行配置和处理故障。
5、可扩展性
着眼长远考虑,不但满足当前需要,并能满足后期扩展的需要,充分考虑今后网络的发展,预留升级和扩充余量,能够兼容不同厂家、不同类型的网络产品及应用软件,便于向更新技术的升级与衔接。
6、经济性
本次系统改造建设中,要充分考虑原有系统资源的有效利用,发挥原有设备资源的价值,本着以最少的改造成本,获得最大的改造效果。
对一些运行良好的硬件设备及应用软件要加以保护并合理利用,节省一部分投资。
另外,对于新增的设备,要尽量选择技术成熟可靠、性价比较高的设备,达到实用、经济和有效的效果。
1.7设计依据及标准
本次网络改造方案设计参考的标准和依据包括:
信息及网络系统设计标准
◆《信息技术通用多八位编码字符集(UCS)》(GB13000.1)
◆《信息技术系统间远程通信和信息交换局域网和城域网》(GB15629.11-2003)
◆《信息处理系统光纤分布式数据接口》(ISO9314-1:
1989)
◆《光纤分布式数据接口(FDDI)高速局域网标准》(ANSIX3T9.5)
◆《通信光缆的一般要求》(GB/T7427-87)
结构化布线系统设计标准
◆《建筑和建筑群综合布线系统工程设计规范》(GB/T50311-2006)
◆《建筑和建筑群综合布线系统工程验收规范》(GB/T50312-2006)
◆《信息技术用户建筑群通用布缆》(ISO/IEC11801:
2002)
◆《信息技术用户建筑群布缆的实施和运行》(ISO/IEC14763-1:
1999)
◆《信息技术用户建筑群布缆配置》(ISO/IEC14709-1:
1997)
◆《信息技术用户建筑群布缆的通路和空间》(ISO/IEC18010:
《光纤总规范》(GB/T15972.2-1998)
◆《民用建筑通讯通道和空间标准》(EIATIA569)信息安全设计标准
◆《计算机软件配置管理计划规范》(GB/T12505--1990)
◆《计算机信息系统安全保护等级划分规范》(GB17859-1999)
◆《计算机信息系统安全专用产品分类原则》(GB163-1997)
《信息技术设备的安全(ideIEC60950:
1999)》(GB4943-2001)
◆《信息技术安全性评估准则》(GB/T18336.1—2001)
◆《信息技术信息安全管理实施规则》(ISO17799—2000)
◆《涉及国家秘密的计算机信息系统保密技术要求》(BMZ1-2000)
◆《涉密信息设备使用现场的电磁泄漏发射防护要求》(BMB5-2000)
◆《涉及国家秘密的计算机信息系统安全保密测评指南》(BMZ3-2001)智能化系统设计规范
◆《智能建筑设计标准》(GB/T50314-2006)
◆《建筑及居住区数字化技术应用系列标准》(GB/T20299-2006)
◆《建筑智能化系统设计技术规程》(DB/J01-615-2003)
◆《公共建筑节能标准》(GB50189-2005)
◆《民用建筑电气设计规范》(JGJ/T)机房工程系统设计标准
◆《电子计算机场地规通用规则》(GB/T2887-2000)
◆《计算机场地安全要求》(GB9361-1988)
◆《电子计算机机房设计规范》(GB50174-1993)
◆《防静电活动地板通用规范》(SJ/T10796-2001)
◆《电信专业房屋设计规范》(YD5003-1994)
◆《通信机房静电防护通则》(YD/T754-1995)火灾报警系统设计标准
◆《高层民用建筑设计防火规范》(GB50045-1995)
◆《火灾自动报警系统设计规范》(GB50116-1998)
◆《建筑设计防火规范》(GBJ16-1987)
◆《火灾报警控制器通用技术条件》(GB4717-2005)
◆《点型感烟火灾探测器技术要求及试验方法》(GB4715-2005)
◆《点型感温火灾探测器技术要求及试验方法》(GB4716-2005)
◆《线型光束感烟火灾探测器技术要求及试验方法》(GB14003-2005)
◆《点型红外火焰探测器性能要求及试验方法》(GB15631-1995)综合安防系统设计标准
◆《安全防范工程技术规范》(GB50348-2004)
◆《安全防范系统验收规则》(GA308-2001)
◆《安全防范工程程序和要求》(GA/T75-1994)
◆《安全防范工程费用概预算定额编制方法》(GA/T78-1994)
◆《出入口控制系统技术要求》(GA/T394-2002)
◆《出入口控制系统工程设计规范》(GB50396-2007)
◆《视频安防监控系统技术要求》(GA/T367-2001)
◆《视频安防监控系统工程设计规范》(GB50395-2007)
◆《安全防范报警系统设备安全要求和试验方法》(GB16796-1997)
◆《报警系统电源装置、测试方法和性能规范》(GB/T15408-1994)防雷与接地系统设计标准
◆《建筑物防雷设计规范》(GB50057-2010)
◆《建筑物电子信息系统防雷技术规范》(GB50343-2012)
◆《通信工程电源系统防雷技术规范》(YD5078-1998)
◆《通讯局(站)低压配电系统用点涌保护器》(YD/T1235-2002)
◆《通讯局(站)接地设计暂行技术规范》(YDJ26-1989)
◆《计算机信息系统防雷保安器》(GA173-2002)
◆《计算机信息系统雷电电磁脉冲安全防护规范》(GA267-2000)
《建筑物的雷电防护》(IEC61024:
1990-1998)工程及设备质量验收规范
◆《智能建筑工程质量验收规范》(GB50339-2003)
◆《智能建筑工程检测规程》(CECS182:
2005)
◆《建筑及居住区数字化技术应用》(GB/T20299.2)
◆《安全防范系统验收规则》(GA308-2001)
◆《安全防范报价设备安全要求和实验方法》(GB16796-1997)
◆《建筑与建筑群综合布线系统工验收规范》(GB/T50312-2000)其他设计标准
◆《信息技术互连国际标准》(ISO/IEC11801-95)
◆《建筑内部装修设计防火规范》(GB-50222-95)
◆《电气装置安装工程施工及验收规范》(GBJ232-82)
◆《民用建筑电气设计规范》(JGJ16-2008)
◆《供配电系统设计规范》(GB50052-2009)
◆《低压配电设计规范》(GB50054-2011)
◆《工业与民用供电系统设计规范》(GBJ52-82)
◆《低压配电装置及线路设计规范》(GBJ54-83)
◆《通用用电设备配电设计规范》(GB50055-2011)
◆《工业企业照明设计标准》(GB50034-1992)
◆《采暖通风与空气调节设计规范》(GB50019-2003)
◆《通风与空调工程施工质量验收规范》(GB50243-2002)
◆《建筑装饰装修工程质量验收规范》(GB50210-2001)
◆用户对网络改造项目的其他要求
2.网络改造设计方案
网络拓扑图
按照网络分层设计模型,广安爱众公司新规划的网络拓扑结构如下:
如上图,整个网络架构设计可分为网络出口、核心层、接入层、传输、安全与优化等五大部分,现分别详述如下:
2.1网络出口设计
外网出口连接上级的Internet,带宽为上下行对称的100M,是各种攻击行为、病毒传播、安全事件引入的风险点,通过在网络出口处部署高性能、高可靠、高安全的网关设备,可以很好的缓解风险的传播,阻挡来自外部网络攻击行为的发生,是网络出口的第一道安全屏障。
●下一代防火墙
在外网出口部署下一代防火墙,对进出网络的数据进行过滤,保护网络安全,主要实现以下安全防护效果:
防止外网上的病毒、木马等恶意代码传播到内网中,保护内网终端、服务器;
防御来自外网的漏洞扫描行为、入侵行为,使内网免受恶意攻击;
控制用户访问网站行为,禁止访问非法网站、低俗网站、钓鱼网站,降低用户遭受攻击的风险。
分为信任区域和非信任区域,分别实施不同的安全策略,包括部署区域间隔离、受限访问、防止来自区域内部的DOS攻击等安全措施;
通过加密隧道构建VPN(虚拟专用网络),方便分支机构和外出人员远程接入内网办公,提高工作效率。
●流量控制器
流量控制器可基于DPI(深度包检测)识别各类上网应用,由此,在防火墙和核心交换机之间,以网桥模式串接了一台流控设备,来对进出防火墙的网络流量进行内容过滤和应用管控,以有效阻断非业务流量和内容,保证内网安全,提高互联网带宽利用率,限制高消耗带宽应用,保障网络通畅和网络的稳定性,控制用户使用无关应用和危险应用,提高网络整体安全性。
下一代防火墙到核心交换机之间使用链路聚合,来提供冗余保障。
2.2核心层设计
核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。
核心层应该具有如下几个特性:
可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。
在核心层中,应该采用高带宽的千兆以上交换机。
因为核心层是网络的枢纽中心,重要性突出。
核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。
●核心交换机集群
主要部署两台S9706组成一个CSS(ClusterSwitchSystem)集群,它是网络虚拟化的一种形态,可实现把多台支持集群的交换机链接起来,从而组成一台更大的交换机,CSS
的典型特征有:
交换机多虚一:
CSS对外表现为一台逻辑交换机,控制平面合一,统一管理。
转发平面合一:
CSS内物理设备转发平面合一,转发信息共享并实时同步。
跨设备链路聚合:
跨CSS内物理设备的链路被聚合成一个TRUNK端口,和下游设备实现互联。
从上图中我们可以看到,CSS通过设备“多虚一”和跨设备的链路聚合,不但简化了网络拓扑,而且极大地提高了网络性能:
简化运维:
整个CSS被作为一台交换机来管理,简化运维、降低Opex。
可靠性高:
CSS内一台设备故障,其他设备可以接管CSS的控制和转发,避免单点故障。
无环网络:
跨设备的链路聚合,在CSS和其他设备互联时,天然避免了环路问题,无需部署MSTP等复杂的破环协议。
链路均衡:
跨设备的链路均衡,100%的网络链路和带宽的利用率。
CSS在简化网络、提升转发性能的同时,没有带来任何网络功能的损失。
物理交换机具有的所有功能,都在CSS系统下得到继承,且性能还得到了放大。
CSS拥有的这些特质,使其得到了越来越多的认可和接受,并成为了部署简单、高效网络的首选方案。
2.3接入层设计
接入层通常指网络中直接面向用户连接或访问的部分。
其目的即利用光纤、双绞线、同轴电缆、无线接入等传输介质,实现与用户连接,并进行业务和带宽的分配,允许终端用户连接到网络,因此接入层交换机具有低成本和高端口密度特性。
而本次改造中有14个接入层点位将采用双线上行至核心交换机(集群),并利用OSPFECMP(Equal-CostMultiplePath)特性,在两条专线链路之间进行负载均衡,既增加了网络的可靠性,又能提高了资源的利用率。
2.4网络规划设计
本次网络改造项目中,将摒弃原有传统的单线二层接入方式,从而采用运营商双线运行动态路由协议(OSPF)进行三层传输接入核心,去掉中间级联设备,形成扁平化的网络架构,这种组网方式将各个分支机构分割成单独的局域网,一旦某个分支机构出现网络及线路故障将不会影响其他节点的业务。
新的传输接入模式,必须在各个节点建立独立的三层网关进行路由转发,这就要求对整个网络进行新的规划和设置,如下表所示:
点位
网段
VLAN
互联
10.0.1.0/24
101
10.0.2.0/24
102
代市气所
172.16.31.0/24
301
岳池水务
172.16.32.0/24
302
前峰水务
303
领水水务
172.16.34.0/24
304
华蓥水务
172.16.35.0/24
305
城北客户中心
172.16.36.0/24
306
城南客户中心
172.16.37.0/24
307
西充燃气
172.16.38.0/24
308
领水燃气
172.16.39.0/24
309
希望接收费
172.16.40.0/24
310
城东水所
172.16.41.0/24
311
龙门收费
172.16.42.0/24
312
武胜水务燃气
172.16.43.0
313
岳池电力
172.16.45.0
314
……
以上网络规划和设计,将在大的城域网环境中形成多个广播域,隔离广播风暴和二层流量泛洪,减少IP地址冲突,提高整个网络的安全性和可维护性。
具体的实施细节,将在项目施工过程中与甲方相关人员进行深化设计。
2.5网络传输设计
从核心层到接入层的传输部分是各个运营商(电信、广电、联通、移动)的MSTP专线,其中,大部分接入点专线带宽为10M,而少数营业收费点专线带宽为2M,在带宽不够的情况下,可以酌情考虑增加线路带宽。
MSTP(Multi-ServiceTransmissionPlatform)是指基于SDH平台同时实现TDM、ATM、以太网等业务的接入、处理和传送,提供统一网管的多业务节点。
其构建统一的城域多业务传送网,将传统话音、专线、视频、数据、VOIP、IPTV等业务在接入层分类收敛,并统一送到骨干层对应的业务网络中集中处理,从而实现了所有业务的统一接入、统一管理、统一
维护,提高了端到端电路的服务等级,这种专线技术具备以下优点:
●泛用性
MSTP电路适用于任何高速率、信息量大、实时性强的业务传送在通信领域的应用前景广阔,用户端接口为通用性的RJ45接口。
●可选性
MSTP专线带宽灵活,在2M到1000M的区间内,可以灵活选择。
●安全性
安全性有保障,比纯粹基于互联网的VPN业务安全性更高。
●灵活性
组网灵活,可支持星形网络、环形网络、点到点连接、多点汇聚等。
2.6网络安全与优化设计
1、网络回溯分析系统
在网络核心CSS集群旁部署一台网络回溯分析系统,可以实现了对网络通讯数据包级的高性能实时智能分析,因为网络回溯分析系统是一款集成大容量存储的高性能数据包采集和智能分析硬件平台,它可以提供对各种网络性能和应用性能的关键参数实时分析,同时还能
够实时捕获并保存网络通讯流量,具备对长期的网络通讯数据进行快速数据挖掘和回溯分析能力,实现对关键业务系统中的网络异常、应用性能异常和网络行为异常的实时发现、以及异常原因的智能回溯分析,提升了对关键业务系统的运行保障能力和问题处置效率。
这样就在内网构建起了一套基于流量的实时监控和回溯体系,不但可以精确了解网络整体性能、应用负载,还能准确定位网络异常原因,及时排查网络故障和病毒、木马、攻击等安全隐患,实现核心链路/核心区域/核心业务运行可视化,彻底解决“黑盒运维”。
2、入侵检测系统
在核心CSS集群旁挂一台专业的IDS(入侵检测系统),该设备可通过抓取来自核心交换机的数据流镜像,对网络、系统的运行状况进行监视,尽可能发现各种
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 改造 方案