網絡改造方案建議書

網絡改造方案建議一、網絡升級背景隨著電力通訊網絡信息化的進展，通訊網絡正從傳統(tǒng)的、簡潔的以數(shù)據共享、網頁掃瞄、電電力公司已經完成了骨干網的改造，為數(shù)據集中和全縣應用系統(tǒng)的穩(wěn)定運行供給了良好的網絡根底平臺，但網絡應用環(huán)境和辦公網的業(yè)務處理力氣已經不能勝任和滿足現(xiàn)在的業(yè)務需求，網絡安全也開頭日漸考驗網絡系統(tǒng)。隨著數(shù)據傳輸量的增加和應用系統(tǒng)的快速增多，對網絡在總體因此，從網絡設備層解決安全問題，優(yōu)化辦公網絡環(huán)境，使網絡具有易擴展的功能，并實現(xiàn)網絡的統(tǒng)一規(guī)劃和治理，成為電力公司通訊網絡的健全完善以及將來業(yè)務進展的最根本的要求。、信息內網現(xiàn)狀分析概況公司信息內網已割接到綜合數(shù)據網，使用雙光纖專用線路接入H3C6608邊界路由器，機房核心交換H3C5800S接至邊界路由器，公司現(xiàn)有高清視頻會議路由路15臺，服務器交換機1臺H3C58004M光纖，◎Q◎Q期Q承載的業(yè)務介紹目前公司內網承載的主要業(yè)務有 SG186生產治理系統(tǒng)、營銷系統(tǒng)、 0A辦公系統(tǒng)、高清視視會議系統(tǒng)、財務管控系統(tǒng)、資金打算系等。存在及需要解決的問題〔1〕、綜合數(shù)據網目前雖然是多光線接入有效的保障了鏈路通道， 但公司核心網絡設備均承受單設備運行，沒有任何應急互補措施，一但公司核心設備消滅故障，將造成公司內外大面積癱瘓。、公司目前除了幾臺重要的交換機還有6換機查看交換機狀態(tài)、無法查看網絡流量狀態(tài)、無法依據網絡的需求進展的配置。、公司全部電腦在分別在三個子網，但三個子網互通，全部的電腦、效勞器、網絡設備在同一個網絡內，并且綜合數(shù)網核心設備我公司無權限進展配置，

〔IP地址與物理地址邦定〕這意味著這些設備之間可以任意的互連互通，IT設備

可以直接、應用效勞器缺乏根本保護，效勞器與電腦設備在同一個網絡中，意味著電腦可以任意訪問效勞器的全部端口，而不是依據應用效勞的需要去限制只可訪問需要的效勞，一個漏洞都可以被計算機利用來攻擊效勞器。

這樣效勞器的任何外來電腦可任意接入外來電腦可任意接入外來電腦可任意接入外來電腦可任意接入腦和筆記本可以任意接進公司網絡，其電腦上所帶的病毒、木馬、惡意工具會影響公司其它電腦

以及效勞器的安全。、信息內網絡設備資產統(tǒng)計序號設備名稱設備型號品牌業(yè)務用途投運時間1 防火墻B6-v6龍馬區(qū)站下行2路由器SP6608H3C內網邊界路由2023.10.13路由器MSR30-20H3C高清視頻路由4路由器MSR30-20H3C各區(qū)站邊界路由20235交換機S5800H3C核心交換機6交換機S9303H3C各區(qū)會聚7交換機S2300H3C效勞器交換機8交換機S2023H3C效勞器交換機9交換機S1016DLINK樓層交換機三、信息外網現(xiàn)狀分析概況公司信息外網承受租用電信 40M光纖接入H3CER5200路由器，H3C2300做會聚分別接入5臺樓層交換機，公司各部們配置專用信息外網

PCIP/MAC邦定。網絡構造拓撲圖I 1 II菇由I13L斶200承載的業(yè)務介紹名目公司信息外網主要承載的業(yè)務有，遠程抄表系統(tǒng)、電信天網監(jiān)控系統(tǒng)、短信平臺。存在及需要解決的問題〔1〕公司信息內網共6臺樓層交換機，均為一般交換機，功能就是進展數(shù)據轉發(fā)。無法登進交換機查看交換機狀態(tài)、無法查看網絡流量狀態(tài)、無法依據網絡的需求進展的配置。上網行為存在安全因素 訪問擔憂全網站，如暴力、黃色、賭博、股票等與業(yè)務無關網站，會導致病毒和木馬進入公司內部網站 員工上班時間下載電影或是在線看視頻資料，會占用極大的帶寬資源，導致業(yè)務開展所需要的帶寬不夠，收發(fā)郵件變慢 員工上班時間看聞，軍事，足球，玩網絡玩耍，炒股票等等會影響到員工的工作效率有電腦在同一個子網全部的電腦、網絡設備在同一個網絡內，這意味著這些設備之間可以任意的互連互通，任意一臺電腦感染病毒或受黑客把握的時候，可以直接影響公司的全部備。

IT設信息內網絡設備資產統(tǒng)計序號序號123設備名稱設備型號品牌業(yè)務用途投運時間:路由器ER5200S2300S1016RH3CH3CDLINK:邊界路由樓層會聚樓層交換機四、網絡建設目標依據實際考察和相互溝通，本次網絡設計的目標為：〔1〕 盡量保存用戶現(xiàn)有網絡中的設備，在確保用戶正常業(yè)務使用的前提下削減用戶投資；〔2〕企業(yè)各計算機等終端設備之間良好的連通性是需要滿足的根本條件，的計算機設備之間互通的環(huán)境，以實現(xiàn)豐富多彩的網絡應用；

網絡環(huán)境就是供給需要通信〔3〕 很多現(xiàn)有網絡在初始建設時不僅要考慮到如何實現(xiàn)數(shù)據傳輸，還要充分考慮網絡的冗余與牢靠，否則一旦運行過程網絡發(fā)生故障，系統(tǒng)又不能很快恢復工作，所帶來的后果便是企業(yè)的經濟損失，影響企業(yè)的聲譽和形象；〔4〕網絡建設的開頭就考慮承受嚴密的網絡安全措施；〔5〕隨著網絡規(guī)模的日益擴大，網絡設備的數(shù)據和種類日益增加， 網絡應用日益多樣化， 網絡治理也日益重要。良好的網絡治理要重視網絡治理人力和財力的事先投入，主動把握網絡，不僅能夠進行定性治理，而且還能夠定量分析網絡流量，了解網絡安康狀況。有預見性地覺察網絡上的問題，并將其消滅于萌芽狀態(tài)，降低網絡故障所帶來的損失，使網絡治理的投入到達事半功倍的效果；〔6〕很強的擴展和升級力氣；五、網絡改造總體設計以雙核心技術為主要策略的網絡通訊系統(tǒng)，在設計中保障了雙核心網絡改造，是在現(xiàn)有網絡根底上，建立一個穩(wěn)定、安全、牢靠的通訊網絡，為電力公萬兆平臺的核心路由交雙核心改造，就是搭建一個安全牢靠，穩(wěn)定成熟的網絡根底平臺，為通訊信息化、辦公信息化供給效勞。建設共考慮以下幾點：萬兆網絡核心、骨干網絡全千兆、信息點百兆接入、安全高性能流量的承受者和會聚者，為了提高設備的牢靠性和穩(wěn)定性，可承受骨干網絡冗余設計，能夠實現(xiàn)設級，需要利用防火墻的過濾與隔離功能，將信任網絡和不信任的網絡隔離開來，并利用防火墻或出口路由器的NAT網絡地址轉換〕功能，對外屏蔽其他的網絡拓撲信息，從而避開通訊網絡受到外來攻擊。在網絡內部，依據用戶的網絡使用需求，將用戶和網絡資源劃分為不同的VLAN在VLANACL〔訪問把握列表〕，從而保證用戶的物理隔離和資源訪問的安全。、多出口部署需求；邊界出口是整個網絡通訊的咽喉局部，好的出口能夠大大提升網絡對外訪問以及外界對內訪問的效率。為了分擔流量和提高訪問的響應速度，可以同時使用雙光纖網絡出口?？蓪炔吭L問外網絡必需能夠擴展以適應用戶需求以及業(yè)務的進展，并保護公司的投資。智能化、簡潔化。六、網絡升級實施方案6.1、信息內網升級方案辦公網絡的穩(wěn)定運行和信息點的暢通連接需要一整套網絡優(yōu)化方案。電力公司網絡升級后，機房承受兩臺模塊化的核心路由設備，通過萬兆鏈路雙鏈路上聯(lián)至兩臺核心交換機，在樓宇承受支持萬兆擴展的會聚交換機，通過千兆光纖上聯(lián)至核心設備。區(qū)域接入層交換機分為兩種，使用之前部署的是 6類線，可承受全千兆的接入交換機；或通過千兆雙絞線或千兆光纖上聯(lián)至各樓宇會聚層交換機，實現(xiàn)千兆骨干，百兆到桌面的網拓撲構造。設計網絡構造拓撲圖所示4光模塊H3C144光模塊H3C14個56光纜光配SFP-GE-SX-MM850-A8芯8芯設備互鏈1500米6個序號設備名稱設備型號品牌業(yè)務用途數(shù)量1路由器SP6608H3C邊界路由1臺2交換機S5800H3C樓層會聚1臺3交換機S5048eH3C樓層交換機6臺77效勞器軟件DELLR710統(tǒng)軟件DELL上網行為治理81臺1套網絡升級后，承受雙核心技術，為機房網絡核心層配備換機，這樣就為系統(tǒng)網絡的穩(wěn)定運行供給了保障。

2臺萬兆路由路和核心交運用雙核心設計，分別辦公網和業(yè)務網，降低兩個網絡彼此之間的影響，使辦公網方面的問題不會影響電力核心業(yè)務的正常運行，同時辦公網核心交換機對每個網段都啟用了VRR助、議，保證每個網段的客戶端都能夠從IP層上實現(xiàn)冗余備份。改建后的網絡系統(tǒng)中，當其中一臺核心交換機消滅停機等問題時，另一臺交換機就能夠擔當全部任務，以保障綜合業(yè)務和辦公業(yè)務7X24小時不連續(xù)運行。這種設計，又使網絡具備了更高的可擴展性能。模塊的冗余，并擁有電源冗余力氣，支持引擎、模塊帶電熱插拔和萬兆模塊，支持千兆和百兆模塊線速轉發(fā)，可IP網絡。由于雙核心交換機端口線速轉發(fā)，具有更大的路由表、Mac地址表、ACL表等資源,網絡無論處于何種環(huán)境下，都不會消滅瓶頸，并支持基于 Vian的策略路由和基于目標地址的策略路由功能，可以使用多條路徑進展負載均衡，充分利用了設備和鏈路帶寬，進而從核心層就可以成倍地提升網絡性能。在網絡接入層，可承受具有2個光纖接口和24個固定100/1000M以太網RJ45接口的智能千兆光纖交換機，以實現(xiàn)到桌面的 100Mbps的連接，其中2個千兆上連接擴設備用作接入，通過千兆雙絞線或千兆光纖連接雙核心交換機，使辦公網絡的原有設備得到充分利用，節(jié)約了投資資金。同時，在整個網絡接入層，接入交換機業(yè)務可劃分為辦公VLAN和業(yè)務VLAN,當辦公數(shù)據流通過鏈入右邊的同核心互連鏈路傳輸?shù)胶诵臅r，左邊的鏈路作為備份；當綜合業(yè)務的數(shù)據流都通過左邊的同核心互連鏈路傳輸?shù)胶诵臅r，右邊的鏈路作為備份。在與骨干網的互連中，在2臺萬兆路由器與2臺骨干網核心交換機之間承受了OSPF動態(tài)路由協(xié)議或靜態(tài)路由協(xié)議，公司局域網作為骨干核心的接入模塊，以三層方式接入骨干傳輸核心，并實現(xiàn)數(shù)據流在骨干網核心交換機上進展路由的重分發(fā)。因此，整個辦公網絡通過上述協(xié)議的運作保證了所建辦公網絡與綜合業(yè)務網絡、外聯(lián)機構的其它網絡之間的平滑連接與互通，同時也可以看到網絡擴展的將來。在網絡建設中，從網絡的接入層到核心層的交換設備都嵌有病毒和攻擊防護力氣MACDHCPSTRARF攻擊、IP/MAC哄騙攻擊、DoS/DDo敦擊、IP掃描攻擊等，也會被網絡設備隔絕在網絡之外，不會造成網絡癱瘓和其它計算機感染。在辦公局域網的交換機上，可針對不同安全區(qū)域設置網段，每個網段只為屬于這一類的主機和終端供給接口，而不同網段之間則承受VLAN訪問把握列表等安全措施，以保證不同安全區(qū)域之間的IP地址，在辦公網核心交換機上啟用IP地址和Mac地址的綁定功能，IPIP地址才能正常接IP〔如禁于非法外網、移動存儲注冊等〕高速、牢靠、安全的運行。6.2安全方面的前題是做好信息內網安全的相對安全，所以信息內網改造的權重不大，只需將樓層交換IP/Mac地址表邦定、VLAN劃分、流量把握等措施等加強安全治理。信息外網構造圖：JLtLdLWl?挙%叫信息外網設備選擇如下:序號

品牌 業(yè)務用途 數(shù)量1

LS-S2352P-EI-AC

H3C

樓層會聚 5臺序