单位网络改造方案资料

1、1 / 22单位网络改造方案XXXX 总公司 2019 年 11 月 单位网络改造方案目录 TOC o 1-5 h z 一、概述1二、需求分析1三、方案设计2系统设计原则2网络基础设计3总体架构设计拓扑图3总体网络架构设计思路3四、设备选用介绍6五、服务承诺19六、费用预算21一、概述XX 单位网络是由180 多个信息点组成的中小型网络, 目前通过一条广域网线路为本部提供互联网接入服务。二、需求分析目前 XX 单位在内网方面有以下几个方面需要解决。设备更新交换机、路由器、机柜等设备升级更换；办公楼一楼房间网络线路与36 个信息点铺设安装；1 -7 楼无线网络设施设备安装。4 / 22、n 、

2、r三、 方案设计系统设计原则系统性：站在整个信息安全系统体系的高度，统一规划，建立完善的框架体系，形成对应的规范标准，实现统一的系统管理；实用性：以采用最小化建设原则为根本宗旨，以较小的资源使用量建设安全系统，使得建成后的体系能够充分发挥作用； 专业性 : 提供了与信息服务相关的各模型，丰富完善的知识库和安全事件管理预案；经济性：在信息服务系统正常运转的前提下，综合考虑建设成本、运行成本和维护成本；可伸缩能力：满足未来所支持的应用和用户将有非常大的增长，良好的伸缩能力不仅意味着系统的持续性和稳定性，而且也是满足未来服务、应用增长需要的必备条件；高可靠性与可用性：对于关键性应用，如果网络发生故障

3、或主机发生宕机现象，会造成严重的后果。RAS （可靠、可用、可维护）特性，是系统选型考虑的重点；高性能：服务的响应速度是保证用户服务质量和满意程度的重要方面。系统高性能确保为用户提供优质的服务，使用户得到良好的响应时间。/ 22网络基础设计总体架构设计拓扑图总体网络架构设计思路网络设计上要求高带宽、高可靠性、高可扩展性。此次设计遵循网络拓朴结构层次化的总体设计，网络拓朴结构主要由核心层和接入层组成。各层面设备要求能提供各种网络控制，具体是：一、构建多个虚拟网络单位的网络按部门被虚拟成多个虚拟网络，并可根据需求增加新的虚拟网络。不同的虚拟网络之间是不可以直接访问的，一个虚拟网络必须经过中心交换机

4、才可以访问其他虚拟网络的电脑。/ 22二、网络资源访问控制在中心交换机上，可以根据需要开通相应的访问权限。三、上网行为管理优化上网行为，提高上网安全。以上设计的优点主要有：可扩展性，网络可模块化增长而不会遇到问题；简单性，通过将网络分成许多虚拟网，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题；设计的灵活性，使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境；可管理性，层次结构使单个设备配置的复杂性大大降低，更易管理。设备选择考虑到使网络更加合理、今后更好地拓展、有利于查出故障症结，建议配置一台核心交换机。核心交换层

5、是网络的核心交换节点，它将多个边缘汇聚层连接起来，进行数据高速转发。用户数据通过汇聚层上行到核心层，通过核心网获取所需业务。核心交换机：根据需求我们选用H3C LS-5120-24P-EI 交换机作为网络的核心设备，背板带宽192Gbps ，包转发率：42Mpps 。它是一款部署于企业核心的高新能交换机，在核心网络中的性能、IP 服务，冗余性和故障弹性十分重要。H3C LS-5120-24P-EI 是 H3C 公司自主开发的千兆三层以太网交换机，具备丰富的业务特性，通过H3c特有的集群管理管理功能，支持WEB网管，用户能够简化对网络的管理。汇聚层交换机：根据需求我们选用H3C S3100-26

6、TP-SI 交换机作为网络的汇聚层设备，背板带宽19.2Gbps ，包转发率6.55Mpps 。POE 供电交换机：POE 交换机负责给AP 供电，直接关系到无线AP 的使用，因此我们推荐使用H3C3100-26TP-PWR-EI, H3c 3100-26TP-PWR-EI以太网端口可以为连接到该端口的设备进行远 程PoE供电，产品支持 VLAN戈ij分、端口限速、 RMON 1 2, 3, 9组M旧、IP+MAC端口 三元素绑定、防 ARP欺骗、ACL、 VLAN-ACL、 STP /RSTP、静态LACP等功能，可以通 过Telnet 、命令行、Web界面、SNM吟多种方式进行管理。支持P

7、oE (Power overEthernet )技术，通过以太网对所连接的设备(如Wireless AP 、 IP Camera、 IP Phone等)进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减 少部署终端设备的布线和管理成本。上网行为管理设备：上网行为管理设备选用sangfor 公司的设备。它是一款多功能的网络信息安全管理审计系统。可详细记录网内受控人员，各种常用网络应用的使用情况，传送或接收的信息内容。并可配合网络管理或公司策略，对常用网 络应用的使用情况与内容，进行记录备案以及弹性的策略管控。同时提供了详尽的统计分 析功能，透过图表分析，使管理者对各种应用

8、的使用情况，及对网络所造成的影响，尽在 掌握。本产品是全方位的网络内容安全解决方案，具有WEB、 IM 、 P2P 、 FTP 等应用层(LAYER 7) 延伸服务的内容管理与使用分析，过滤分析技术能涵盖网络层到应用层，以提 供网络内容安全的纵衡防御服务。它可以对不当信息拦截防护、5 / 22策略管理、统计报表、流量控管. 等多种管理功能，特别有助于对网络的使用控管。本产品方便管理，不影响网络运作，是企业进行多通讯端口的安全防护。它能协助企 业进行网络有效管理，提升网络资源的使用效益！四、 设备选型介绍1 、 H3C LS-5120-24P-EI 交换机 主要参数产品类型应用层级传输速率交换方

9、式背板带宽包转发率端口参数端口结构端口数量端口描述控制端口传输模式功能特性VLAN 支持基于端口的VLAN ( 4K 个)支持 IEEE 802.1p/DSCP 优先级支持优先级映射QOS 支持端口信任模式支持端口信任模式支持端口队列调度(SP/WRR/SP+W)RR支持 IGMP Snoopingv1/v2/v3组播管理MLD Snooping支持组播VLAN 非模块化28 个 24 个 10/100/1000Base-T 以太网端口1 个 Console支持全双工智能交换机三层 1000Mbps 存储 -转发 192Gbps 42Mpps/ 22/ 222 、 H3C S3100-26TP

10、-SI 交换机 主要参数产品类型应用层级传输速率交换方式背板带宽包转发率智能交换机二层 10/100/1000Mbps 存储 -转发 19.2Gbps 6.55MppsMAC 地址表 8K端口参数端口结构端口数量非模块化28 个24 个 10/100Base-T 以太网端口，2个 10/100/1000Base-T 以太网端口，2个1000Base-X SFP 千兆以太网端口1 个 Console 口全双工 / 半双工自适应端口描述控制端口传输模式功能特性堆叠功能VLAN 可堆叠 最多支持4K 个符合 IEEE 802.1Q 标准的 VLAN每个端口支持4 个输出队列QOS 支持802.1p优

11、先级、DSCP优先级、ip-precedence 优先级支持WRR、HQ+WRR列调度算法支持端口发送和接收方向的双向端口限速组播管理IGMPv1/v2/v3 Snooping支持命令行接口（CLI ）， Telnet ， Console 口配置支持 SNMP网络管理支持 iMC 网管系统支持WEB网管支持系统日志用户分级管理和口令保护安全管理 支持端口安全，支持端口十 MAC绑定支持 Guest VLAN8 / 223 、 H3C 3100-26TP-PWR-EI 交换机产品类型应用层级传输速率交换方式背板带宽智能交换机二层 10/100/1000Mbps 存储-转发19.2Gbps4 、

12、上网行为管理、 SANGFOR AC-1250-L1安全网关：SANGFOR AC-1250-L侈功能安全网关产品规格、 SANGFOR AF-1320-L1服务承诺远程技术支持服务：验收合格1 年内，我方为需求方免费提供远程技术支持服务，即：出现网络故障，通过电话支持无法解决的情况下，可通过远程调试技术支持服务予以协助解决。2. 上门服务验收合格1 年内，我方负责维护系统及相关系统的接口。在出现网络故障，电话支持、远程协助等方式无法解决的情况下，我方工程师会在您提出上门要求后，积极响应并赶赴现场，帮助解决相关的故障。3. 设备更换验收合格1 年内，由非人为因素造成的设备损坏，我方负责予以免费更换及现场安装调试；由人为因素造成的设备损坏，我方负责提供备件予以更换，并提供现场安装调试服务，备件价格按照成本价的标准收取。4. 质保期后服务承诺我方继续提供免费电话支持服务。需求方可和我方签订维护保障合同，详列如下：A 、维护保障合同服务期为1 年，合同金额按本次合同 TOC o 1-5 h z 金额的10 计算B 、我方在1 年的维护保障期内提供远程技术支持服19 / 22务，并继续提供固件升级服务，保障系统网络适应最新的网络发展需求C 、在远程技术支