网络机房改造方案.docx
- 文档编号:23768926
- 上传时间:2023-05-20
- 格式:DOCX
- 页数:25
- 大小:933.70KB
网络机房改造方案.docx
《网络机房改造方案.docx》由会员分享,可在线阅读,更多相关《网络机房改造方案.docx(25页珍藏版)》请在冰豆网上搜索。
网络机房改造方案
网络机房整改方案建议书
茂名茂汉汽车贸易有限公司
日期:
二零壹叁年六月
一.网络状态分析………………………………………….3
二.网络建设目标…………………………………………..5
三.网络改造总体设计.……………………………………..6
四.设备选用介绍…………………………………………..8
五.评测总结………..………………………………………13
一、网络状况分析
当今时代,企业信息化与企业的生命力息息相关。
企业的各种业务数据应用、每一台服务器、每一台计算机不仅创造着企业的竞争力,也记录着公司的核心价值。
企业的不断成长和发展也需要企业信息建设的不断健全和完善。
公司大致网络状况如下:
1、企业总部约有70多个信息点,建辉驾校和宿舍信息点约30多个,总共大约100多个信息点。
2、在总部二楼设有一中心机房,为企业数据交汇传输存储的唯一节点。
3、现有一条7M从广丰分配过来光纤,负责公司,建辉驾校,宿舍用于外联公网。
一条7M的光纤无法满足现在的网络分配。
公司计划2013年增加一条10M左右固态IP电信电路。
4、公司目前正常上网速度较慢,并且缺乏专业安全防护。
5、后台数据应用服务器传输速度缓慢。
6、由于缺少维护和管理,网络设备使用不规范,凌乱。
机房内部线路连接混乱、标识缺失,故障时难于查询统计。
另外机房还有两台服务器,一台电脑主机没专业处理,放在地上,后面的线路凌乱,视频分配器接口不足。
应用软件流量分析(日期2013年6月08日——2013年6月15日工作时间)
2013-06-08至2013-06-15应用软件流量饼状图
根据流量统计报表以及饼状图清晰显示,我们访问比较多的是网页,QQ,邮箱之类的网址,网络访问都有异常,时不时断网现象,影响了我们正常的工作。
总结一、总线不是我们这边的。
二、路由器不是我们管理。
三、网速分配的不够用。
所以不能通过有效的网络带宽管理、区别的网络行为限制,加强对外网的使用监管。
目前的网络拓扑状况:
根据拓扑图显示情况:
一:
分层过多,导致处于网络首层的用户与网络末层用户的网速难以均衡。
公司分配了太多交换机,都是TP-LINK,D-LINK0/100M傻瓜式桌面型普通交换机只能进行普通的数据转换,一旦进行大型文件转发例如:
视频,或者多台计算机传输数据的时候。
就会造成网络堵塞的情况,数据传输缓慢。
而且内网分配的网络设备使用没规划,例如:
无线设备,如果多台手机,平板,笔记本上网,无线信号发送都会造成网络堵塞,占用网络带宽,网络延迟等情况。
二:
公司,宿舍,建辉驾校,各个部门组成的局域网,里面所有电脑、服务器、网络设备及相关打印设备都在同一个网络内,这意味着这些设备之间可以任意的互连互通,任意一台电脑感染病毒或受黑客控制的时候,可以直接影响网内的所有电脑及外接设备。
严重时可导致系统瘫痪及硬盘数据丢失。
三:
线路杂乱,导致网络冲突,频繁发生断网情况。
难于管理,没有具体按照部门来划分网络,导致公司所有网络用户,一荣俱荣,一损俱损。
难于修复,因线路不清晰,难于找到故障设备,修复过程在整理线路上要花费大量时间。
二、网络建设目标
根据实际考察和相互交流,本次网络设计的目标为:
A)尽量保留用户现有网络中的设备,在确保用户正常业务使用的前提下减少用户投资。
B)企业各计算机等终端设备之间良好的连通性是需要满足的基本条件,网络环境就是提供需要通信的计算机设备之间互通的环境,以实现丰富多彩的网络应用。
C)许多现有网络在初始建设时不仅要考虑到如何实现数据传输,还要充分考虑网络的冗余与可靠,否则一旦运行过程网络发生故障,系统又不能很快恢复工作,所带来的后果便是企业的经济损失,影响企业的声誉和形象。
D)在商品竞争日益激烈的今天,企业对网络的安全性有非常高的要求。
在很多企业在局域网和广域网络中传递的数据都是相当重要的信息,因此一定要保证数据安全保密,防止非法窃听和恶意破坏,在网络建设的开始就考虑采用严密的网络安全措施。
E)
随着网络规模的日益扩大,网络设备的数据和种类日益增加,网络应用日益多样化,网络管理也日益重要。
良好的网络管理要重视网络管理人力和财力的事先投入,主动控制网络,不仅能够进行定性管理,而且还能够定量分析网络流量,了解网络健康状况。
有预见性地发现网络上的问题,并将其消灭于萌芽状态,降低网络故障所带来的损失,使网络管理的投入达到事半功倍的效果。
F)网络建设为未来的发展提供良好的扩展接口是非常理智的选择。
随着企业规模的扩大、业务的增长,网络的扩展和升级是不可避免的问题。
G)由于视频会议、视频点播、IP电话等多媒体技术的日趋成熟,网络传输的数据已不再是单一数据了,多媒体网络传输成为世界网络技术的趋势。
企业着眼于未来,对网络的多媒体支持是有很多需求的。
同时,在网络带宽非常宝贵的情况下,丰富的QoS机制,如:
IP优先、排队、组内广播和链路压缩等优化技术能使实时的多媒体和关键业务得到有效的保障。
三、网络改造总体设计
1.机房改造
检查设备安装场地是否符合电气和环境标准。
输入电压允许范围:
100V~240VAC50/60Hz或–40V~-60VDC
工作温度:
0C~40C
储存温度:
-30C~60C
相对湿度:
5~95%无凝结
原来已有一台机柜,根据现在需求,还需要增多一台机柜。
要求理线架内外网段及接口标识清晰,线路整理顺畅。
将服务器、交换机等设备合理放置到机柜上,便利操作;
UPS等设备安装到位,进行断电测试。
2.网络改造解决方案
(一)
方案一拓扑图特点
一、选用可视化行为管理路由器作为出口网关设备单线路链接至Internet,20M固定IP光纤线路提供给内部公司员工用户外网使用,单独分配10M供售后部使用。
广丰7M光纤线路独自供给用于建辉和宿舍外网使用。
广丰分配7M光纤不通过路由器,没有任何组合策略。
跟公司内部属于独立隔离区。
二、为了节省成本核心交换机还是选用之前全千兆2层设备,提供网络交换功能,满足公司自己内部网络交换需求。
可视化行为管理路由器针对不同部门间的访问权限,可以通过子网隔离的划分,以达到一定的控制。
(备注:
公司现款交换机非智能型,只能进行数据交换,不带网管功能)
三、此方案采用的是二层交换机必须把公司内网跟宿舍,建辉驾校隔开。
减少网络层路,使网络负荷减少,造成的网络衰减降低。
才能解决局域网传输速度慢问题。
四、使用全千兆可视化行为管理路由器可视化一键封锁高达80多种员工上网行为,提高企业员工工作效率,且可以审计记录。
网站分类:
对各种类型网址进行分类管理,指定用户在指定时间内访问指定网站,网址黑白名单让员工在上班时间只能访问工作相关网站,提高工作效率的同时避免中毒概率。
聊天软件高级管理:
让企业上班指定的客服QQ、企业QQ、MSN、飞信号码才能登陆。
WEB安全:
控制文件后缀名,避免网络病毒传播。
邮件监控:
实时监控内网邮件收发,避免公司机密数据泄露。
访问控制权限让指定部门或者员工只能访问内部网络和收发邮件,禁止访问INTELNET。
多子网隔离:
让不同部门之间互相隔离,避免病毒传播和机密数据泄露。
电子白板:
实现办公无纸化,通过电子白板功能,播发公司内部通知等信息。
五、路由器具有智能QoS管理功能,可合理的分配和有效的管制网络带宽资源,保证企业重要业务优先(网页、邮件、ERP服务、部门等);
六、全千兆可视化行为管理路由器同时开启网络防毒功能模块,对于流量可以进行实时扫描,针对间谍软件、恶意网页病毒等可有效防护,保证业务系统以及内部用户的网络安全。
可以与路由器绑定MAC地址,防止ARP攻击。
网络安全自防御体系,有效防范地址扫描、DoS攻击、flood攻击等常见网络攻击,并且在开启防御系统的情况下,不会影响路由器自身的转发性能。
方案
(一)产品清单预算:
序号
品牌型号
数量
功能及特性
作用
价格
1
机柜
1
20-30U600MM-1600MM
机房重新理线,存放服务器用,之前的机柜不够空间。
600-900
2
行为路由器(建议用安网)
1
支持双链路,上网行为管理,URL库,上网应用识别,带宽管理
上网行为管理。
提高上网安全,提高员工工作效率,保障关键业务和和员工上网所需的带宽
2000-3000
3
寻线器
1
探测距离30mm
寻线用
150-200
总造价
2750-4100
重要问题
可以基本负荷50—100人同时工作,通过路由器功能可以把之前交换机防御较弱的性能改善。
中小型企业用的较多。
耗时两天,需要人辅助。
3.网络改造解决方案
(二)
方案二拓扑图特点
一、选用可视化行为管理路由器作为出口网关设备单线路链接至Internet,20M固定IP光纤线路提供给内部公司员工用户外网使用,单独分配10M供售后部使用。
广丰7M光纤线路独自供给用于建辉和宿舍外网使用。
广丰分配7M光纤不通过路由器,没有任何组合策略。
跟公司内部属于独立隔离区。
二、核心交换机选用为全千兆3层智能交换机,提供强大的网络交换功能,不单满足公司内部现有网络需求,还可以为以后扩展升级。
根据电脑属于不同的应用部门,将电脑划分到不同的虚拟局域网中。
可以解决有线与无线网络没有规划,网络冲突,抑制广播风暴等问题。
即使某一个部门的网络发生故障,不会造成整个公司性的断网。
不同部门间的访问权限可以通过VLAN的划分,以达到一定的控制。
三、减少网络层路,使网络负荷减少,造成的网络衰减降低。
解决局域网传输速度慢问题。
四、使用全千兆可视化行为管理路由器可视化一键封锁高达80多种员工上网行为,提高企业员工工作效率,且可以审计记录。
网站分类:
对各种类型网址进行分类管理,指定用户在指定时间内访问指定网站,网址黑白名单让员工在上班时间只能访问工作相关网站,提高工作效率的同时避免中毒概率。
聊天软件高级管理:
让企业上班指定的客服QQ、企业QQ、MSN、飞信号码才能登陆。
WEB安全:
控制文件后缀名,避免网络病毒传播。
邮件监控:
实时监控内网邮件收发,避免公司机密数据泄露。
访问控制权限让指定部门或者员工只能访问内部网络和收发邮件,禁止访问INTELNET。
多子网隔离:
让不同部门之间互相隔离,避免病毒传播和机密数据泄露。
电子白板:
实现办公无纸化,通过电子白板功能,播发公司内部通知等信息。
五、路由器具有智能QoS管理功能,可合理的分配和有效的管制网络带宽资源,保证企业重要业务优先(网页、邮件、ERP服务、部门等);
六、全千兆可视化行为管理路由器同时开启网络防毒功能模块,对于流量可以进行实时扫描,针对间谍软件、恶意网页病毒等可有效防护,保证业务系统以及内部用户的网络安全。
可以与路由器绑定MAC地址,防止ARP攻击。
网络安全自防御体系,有效防范地址扫描、DoS攻击、flood攻击等常见网络攻击,并且在开启防御系统的情况下,不会影响路由器自身的转发性能。
方案二产品清单预算:
序号
品牌型号
数量
功能及特性
作用
价格
1
机柜
1
20-30U600MM-1600MM
机房重新理线,存放服务器用,之前的机柜不够空间。
600-900
2
3层交换机(建议用华为或者艾泰)
1
支持VLAN、组播、QOS、802.1X、SNMP、STP、IPSourceGuardWEB界面管理。
具备防雷能力、功耗低、无风扇自动散热等特性
根据电脑属于不同的应用部门,将电脑划分到不同的虚拟局域网中
4000-5000
3
千兆行为路由器(建议用安网)
1
支持双链路,上网行为管理,URL库,上网应用识别,带宽管理
上网行为管理。
提高上网安全,提高员工工作效率,保障关键业务和和员工上网所需的带宽
2000-3000
4
寻线器
1
探测距离30mm
寻线用
150-200
总造价
6750-9100
重要问题
一步到位,但造价昂贵,可以负荷200台以上主机同时工作。
企业基本网络构造。
耗时三天,需要人辅助。
四、设备选用介绍
1.安网智能行为路由器
NR1400GP全千兆智能路由器(运营级)
NR1400GP采用高效能网络专用处理器,运算速率高达600MHZ,具有64M高速内存,标准带机180台以内。
支持4个广域网WAN口、1个局域网LAN口,可弹性设置接口。
采用安网最新AnOSV2.0固件版本,提供L7层智能流控管理功能,只需设置好您实际带宽,就可以轻松解决BT、迅雷、电驴、QQ直播等P2P占用带宽问题。
具备强效防火墙功能,有效防止各种DDOS攻击,确保网络安全。
具备PPPOE服务器认证功能,方便计费等;
一、多线负载均衡—多条宽带接入,提高网速又省钱
1、 支持多线接入:
具备4个WAN口,支持负载均衡、带宽汇聚、线路备份功能。
可以使用多条ADSL取代光纤,或增加 ADSL提升带宽,节省费用并且降低“单线故障”的风险,支持多种线路混合接入,采用多线程工具,可以达到叠加后的网络速度。
2、 多线路分流策略:
可依据来源IP、目的IP、来源端口、目的端口、域名进行线路分配或依据上网用户数量自动分配走向。
同时根据线路带宽调节流量分配比例,使线路利用达到最佳,实现最佳的线路负载均衡。
3、 安网智能均衡模式:
在实现“电信流量走电信线路、联通流量走联通线路”的基础上,还可以同时接入长宽、教育网等不同运营商。
自动优化业务数据,彻底解决不同运营商网络的互联互通问题;
4、 线路通断检测与备份:
线路自动检测备份,支持多种检测方式,确保企业网络永远在线。
二、智能化流量管理—智能分配带宽,网络不卡不掉线
“云”流控:
通过对应用层的应用程序进程特征进行精确识别,为用户提供更精细化的流量管理、应用管理。
可以实现对“应用程序进程”的带宽分配,例如:
限制某个ip或某一段ip的迅雷下载应用只能使用1M的下载流量,设置以后用户用迅雷下载就只能达到1M的速度,而使用其它应用仍可以达到1M以上。
可以实现对“应用程序进程”指定走某条外线(有多条外线接入的情况),不仅可以指定某个IP只走某条外线,而且可以指定某个应用程序只走某条外线。
例如:
同时具有三条外线接入,分别是电信光纤、网通光纤、电信ADSL,那么用户可以指定某个IP或某一段IP用户的迅雷下载只走电信的ADSL,而其它应用的流量仍可以自由走不同的外线。
5、 智能流控:
只需要选择好广域网带宽,设备依据网络使用状况,时时优化带宽资源,保证游戏不卡,网页流畅。
6、 合理分配带宽:
可以针对上下行选择不同的控制策略,可抢占或者固定带宽。
可以指定时间段,从而可以根据需要自动加载预设的流控规则。
可以针对不同接口的数据进行不同的流控,对于多线带宽相差较大的情况,可以更加合理的利用带宽,避免整体带宽资源的浪费。
7、 关键应用优先:
用户可以自行指定需要保障优先的重要应用数据,从而对该部分数据在任何情况下优先保障传输,从而保证企业关键业务应用的通畅。
8、 支持带宽保证功能。
三、网络安全应用—防病毒抗攻击,网管省心又省力
9、 ARP安全机制:
领先的ARP信任机制与内网ARP防御功能结合,杜绝ARP病毒,防止内网掉线。
探测“LAN口非法网关”:
领先的防御内网网关伪造功能。
10、 内网防攻击功能:
可以有效抵御内网的DDoS/SYN攻击,并防止常见的“land、spoofing等攻击。
11、 连接限制功能:
可以针对指定IP限制其网络连接数,从而可以有效的防止用户使用P2P软件滥用带宽。
四、上网行为管理--规范上网行为,员工工作效率高
12、 URL网站分类,对各种类型网址进行分类管理,指定用户在指定时间内访问指定网站
13、 URL黑白名单,让员工在上班时间只能访问工作相关网站,提高工作效率的同时避免中毒概率。
14、 QQ黑白名单,让企业上班指定的客服QQ才能登陆。
15、 P2P程序管理,多大21种P2P程序、在线视频、聊天工具管理。
16、 访问控制权限,让指定部门只能访问内部网络和收发邮件,禁止访问INTELNET。
17、 多子网隔离,让不同部门之间互相隔离,避免病毒传播和机密数据泄露。
五、内网WEB认证服务器/即插即用
18、 Web认证:
用户通过指定账号访问网络,适合咖啡屋、酒店等公共场合,作为网络计费的同时可以达到宣传效果。
在企业可作为员工上网权限管理。
19、 即插即用:
在设备上启用即插即用后,内网用户无需更改任何设置,即无论内网用户的IP地址、子网掩码、网关和DNS服务器如何变化,都可以通过本设备上网。
极大地方便了酒店用户、出差办公用户随时随地地接入互联网,提高了网络管理的便捷性和效率
六、网络通告功能
通告功能是一个特别人性化的网络管理功能,它可以发挥一种快速传达信息的工具和强大的广告宣传功效,尤其可以针对企业管理部门向员工传达的重大信息公告(即时信息的通告、问题决策的传达或临时会议通知等)、酒店提醒入住客人的注意事项(如用餐时间和种类、即时交通信息等)、小区即时公共信息的通告(如公共活动信息和台风、低温等即时天气信息等)、网吧的合法化经营(禁止未成年人上网、禁止访问非法网站的警示信息等)。
七、虚拟VPN功能
支持PPTP/L2TP服务器与客户端功能,让企业的不同区域的部门随时访问公司局域网的ERP、CRM、企业邮局等系统,提高工作效率。
外出差的员工也可以通过操作系统自带的拨号功能,随时随地通过私有的通道安全的访问到公司内部网络,获取相应资源。
八、好使用易管理
20、 内网管理轻松直观:
通过直观的数据流量图和网络状态报告,每条线路的数据流量都一目 了然。
您可以实时统计每个IP的累计流量、实时流量、网络连接数等关键指标,全面分析每个IP的网络连接详情,网络问题的定位也易如反掌
21、 配置备份与导入:
可将每种配置文件保存到电脑,需要重新配置路由器时,可导入相应配置文件,缩短配置时间。
22、 使用方便:
全中文WEB配置及管理页面,配置简单,不需专业网管。
支持免费软件升级功能,全面满足中小型企业、网吧用户对多WAN口接入的需求。
OS系统
ANOSV2 嵌入式操作系统
支持无线
NE-1030W/1040W支持、NE-1020/2040/3040不支持
支持标准
IEEE802.3、IEEE802.3u、IEEE802.3x、IEEE802.11b/g/n
网络协议
IP服务
ARP、DNS、DHCP(Client/Server)、支持多子网
IP路由
静态路由管理、动态路由协议(RIP-1/RIP-2)、策略路由
网络应用
TELNET、FTP、ICMP、SNMP、SSH2、SYSLOG、NTG
网络互连
局域网协议
Ethernet_II、Ethernet_SNAP、IPVLAN
链路层协议
PPP、PPPoE(Client/Server)
运行模式
NAT模式
路由模式
透明桥模式
混合模式(NAT+路由或NAT+透明桥)
上网行为管理
IP地址分组管理
通过IP地址、时间段分组,规划局域网的上网行为管理功能
网址分类管理
60大类常见网址分类管理
网址黑白名单设置
网址访问记录
聊天软件过滤
支持QQ黑白名单
QQ、MSN、飞信、淘宝旺旺等50多种聊天工具
Skype、KC网络电话等10多种网络电话软件
P2P下载软件过滤
QQ直播、酷狗音乐
迅雷、FTP、HTTP上传、HTTP多线程下载、BT、电驴(eMule)、超级旋风、Kad(EDK)、Mute、eDonkey、QQ旋风、快车、VAGAA等40多种下载软件
PPLIVE/PPSTREAM/UUSee/
P2P网络电视过滤
PPLIVE、PPS、QQLive、UUSee、风行网络电视、皮皮网络电视、乐事网络电视等20多种网络电视,以及过滤flash在线视频
P2P音乐软件过滤
酷狗、酷我音乐盒、千千静听、QQ音乐、多米音乐等30多种音乐软件
股票软件过滤
益盟操盘手、金融界大本营、钱龙旗舰、同花顺、大智慧、金融界决策终端等30多种股票软件
应用代理过滤
http代理
Socket4代理
Socket5代理
网页游戏过滤
开心农场、QQ农场、龙之刃、天书奇谈、仙境幻想、魔神战记、盗墓笔记、南帝北丐等200多种网页游戏
网络游戏过滤
星辰变、远程、醉逍遥、蜀门、赤壁、英雄没人、穿越火线、地下城勇士等400多种网络游戏
邮件管理
对Web邮件和邮件客户端进行收发邮件的监控和记录
关键字过滤
对10多种搜索引擎进行关键字过滤,并进行跳转
高级管理
对Web关键字过滤、禁止Web数据提交、多达161种文件后缀过滤及文件传输过滤
电子通告
IP地址组、时间段自定义通告
宽带计费到期通告
精细化流量管理
(“云”智能QoS)
流量控制
基于IP流控
基于接口流控
基于应用程序的流控
可抢占弹性流控
分时段流控
关键应用优先
“云”流控
可监控内网所有应用进程
对应用进程进行分组
对程序组进行管理
对应用程序进行带宽分配和分流
可自定义对任何应用程序进行封堵
智能流控
不需配置的流量控制
流量统计
每个IP的实时流量和累计流量
全局实时和累计流量统计
每个IP的网络连接数
全局连接数率统计
认证服务器
PPPoE认证服务器
N/A
WEB认证服务器
支持
ARP绑定认证
支持
即插即用
支持
监控服务器
邮件内容
支持(安装配套监控软件)
网页URL
支持(安装配套监控软件)
FTP内容
支持(安装配套监控软件)
聊天软件
支持(安装配套监控软件)
网络安全
ACL
基于应用程序
基于接口的访问控制列表
基于URL的访问控制列表
基于IP的访问控制列表
基于端口的访问控制列表
基于时间段的访问控制列表
ARP防御
IP/MAC一键绑定
ARP攻击防御
APR信任机制
防御内网网关
彻底防御内网修改网关地址
报文过滤
支持ICMP消息类型过滤
分片报文检测
病毒防御
支持
攻击日志
内、外网攻击报警,日志报警
攻击防御
DoS攻击防御、连接数限制、MAC过滤、病毒检测(防机器狗病毒)、状态数据包检查(SPI防火墙)、防止WAN口的Ping、防止短包、防止碎片包、防止TearDrop、防止PingofDeath、防止Land攻击、防止TCP空连接攻击、防止SynFlood、TCP/UDP/端口过滤、监测回路并日志提醒
日志系统
日志服务器
攻击防御记录/拨号记录/系统记录/PPPOE拨号记录/DHCP分配记录
DHCP高级功能
基于IPVLAN功能,即多子网IP段之间禁止访问
负载均衡
智能负载均衡(支持以IP数均衡和以会话数均衡)
电信联通教育网铁通策略选择
快速通断检测
网络地址转换
端口映射
DMZ
多对一NAT转换
自定义路由
静态路由
源地址路由
应用调度
动态域名
3322.org(动静态)、DynDNS、每步(meibu)
多WAN口可独立更新动态域名
VPN
PPTPVPN客户端
PPTPVPN服务端
支持IPSecVPN
端口管理
端口镜像
基于端口的IP网段隔离
广域网端口转换为局域网类型
配置管理
支持WEB和远程管理,全中文配置界面
全中文WEB管理
支持配置文件备份和载入
支持在线升级
支持系统日志
提供诊断工具(PING)
2.全千兆3层智能交换
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 机房 改造 方案