网络改造方案建议书

网络改造方案建议一、网络升级背景随着电力通讯网络信息化的进展，通讯网络正从传统的、简洁的以数据共享、网页扫瞄、电电力公司已经完成了骨干网的改造，为数据集中和全县应用系统的稳定运行供给了良好的网络根底平台，但网络应用环境和办公网的业务处理力气已经不能胜任和满足现在的业务需求，网络安全也开头日渐考验网络系统。随着数据传输量的增加和应用系统的快速增多，对网络在总体因此，从网络设备层解决安全问题，优化办公网络环境，使网络具有易扩展的功能，并实现网络的统一规划和治理，成为电力公司通讯网络的健全完善以及将来业务进展的最根本的要求。、信息内网现状分析概况公司信息内网已割接到综合数据网，使用双光纤专用线路接入H3C6608边界路由器，机房核心交换H3C5800S接至边界路由器，公司现有高清视频会议路由路15台，服务器交换机1台H3C58004M光纤，◎Q◎Q期Q承载的业务介绍目前公司内网承载的主要业务有 SG186生产治理系统、营销系统、 0A办公系统、高清视视会议系统、财务管控系统、资金打算系等。存在及需要解决的问题〔1〕、综合数据网目前虽然是多光线接入有效的保障了链路通道， 但公司核心网络设备均承受单设备运行，没有任何应急互补措施，一但公司核心设备消灭故障，将造成公司内外大面积瘫痪。、公司目前除了几台重要的交换机还有6换机查看交换机状态、无法查看网络流量状态、无法依据网络的需求进展的配置。、公司全部电脑在分别在三个子网，但三个子网互通，全部的电脑、效劳器、网络设备在同一个网络内，并且综合数网核心设备我公司无权限进展配置，

〔IP地址与物理地址邦定〕这意味着这些设备之间可以任意的互连互通，IT设备

可以直接、应用效劳器缺乏根本保护，效劳器与电脑设备在同一个网络中，意味着电脑可以任意访问效劳器的全部端口，而不是依据应用效劳的需要去限制只可访问需要的效劳，一个漏洞都可以被计算机利用来攻击效劳器。

这样效劳器的任何外来电脑可任意接入外来电脑可任意接入外来电脑可任意接入外来电脑可任意接入脑和笔记本可以任意接进公司网络，其电脑上所带的病毒、木马、恶意工具会影响公司其它电脑

以及效劳器的安全。、信息内网络设备资产统计序号设备名称设备型号品牌业务用途投运时间1 防火墙B6-v6龙马区站下行2路由器SP6608H3C内网边界路由2023.10.13路由器MSR30-20H3C高清视频路由4路由器MSR30-20H3C各区站边界路由20235交换机S5800H3C核心交换机6交换机S9303H3C各区会聚7交换机S2300H3C效劳器交换机8交换机S2023H3C效劳器交换机9交换机S1016DLINK楼层交换机三、信息外网现状分析概况公司信息外网承受租用电信 40M光纤接入H3CER5200路由器，H3C2300做会聚分别接入5台楼层交换机，公司各部们配置专用信息外网

PCIP/MAC邦定。网络构造拓扑图I 1 II菇由I13L斶200承载的业务介绍名目公司信息外网主要承载的业务有，远程抄表系统、电信天网监控系统、短信平台。存在及需要解决的问题〔1〕公司信息内网共6台楼层交换机，均为一般交换机，功能就是进展数据转发。无法登进交换机查看交换机状态、无法查看网络流量状态、无法依据网络的需求进展的配置。上网行为存在安全因素 访问担忧全网站，如暴力、黄色、赌博、股票等与业务无关网站，会导致病毒和木马进入公司内部网站 员工上班时间下载电影或是在线看视频资料，会占用极大的带宽资源，导致业务开展所需要的带宽不够，收发邮件变慢 员工上班时间看闻，军事，足球，玩网络玩耍，炒股票等等会影响到员工的工作效率有电脑在同一个子网全部的电脑、网络设备在同一个网络内，这意味着这些设备之间可以任意的互连互通，任意一台电脑感染病毒或受黑客把握的时候，可以直接影响公司的全部备。

IT设信息内网络设备资产统计序号序号123设备名称设备型号品牌业务用途投运时间:路由器ER5200S2300S1016RH3CH3CDLINK:边界路由楼层会聚楼层交换机四、网络建设目标依据实际考察和相互沟通，本次网络设计的目标为：〔1〕 尽量保存用户现有网络中的设备，在确保用户正常业务使用的前提下削减用户投资；〔2〕企业各计算机等终端设备之间良好的连通性是需要满足的根本条件，的计算机设备之间互通的环境，以实现丰富多彩的网络应用；

网络环境就是供给需要通信〔3〕 很多现有网络在初始建设时不仅要考虑到如何实现数据传输，还要充分考虑网络的冗余与牢靠，否则一旦运行过程网络发生故障，系统又不能很快恢复工作，所带来的后果便是企业的经济损失，影响企业的声誉和形象；〔4〕网络建设的开头就考虑承受严密的网络安全措施；〔5〕随着网络规模的日益扩大，网络设备的数据和种类日益增加， 网络应用日益多样化， 网络治理也日益重要。良好的网络治理要重视网络治理人力和财力的事先投入，主动把握网络，不仅能够进行定性治理，而且还能够定量分析网络流量，了解网络安康状况。有预见性地觉察网络上的问题，并将其消灭于萌芽状态，降低网络故障所带来的损失，使网络治理的投入到达事半功倍的效果；〔6〕很强的扩展和升级力气；五、网络改造总体设计以双核心技术为主要策略的网络通讯系统，在设计中保障了双核心网络改造，是在现有网络根底上，建立一个稳定、安全、牢靠的通讯网络，为电力公万兆平台的核心路由交双核心改造，就是搭建一个安全牢靠，稳定成熟的网络根底平台，为通讯信息化、办公信息化供给效劳。建设共考虑以下几点：万兆网络核心、骨干网络全千兆、信息点百兆接入、安全高性能流量的承受者和会聚者，为了提高设备的牢靠性和稳定性，可承受骨干网络冗余设计，能够实现设级，需要利用防火墙的过滤与隔离功能，将信任网络和不信任的网络隔离开来，并利用防火墙或出口路由器的NAT网络地址转换〕功能，对外屏蔽其他的网络拓扑信息，从而避开通讯网络受到外来攻击。在网络内部，依据用户的网络使用需求，将用户和网络资源划分为不同的VLAN在VLANACL〔访问把握列表〕，从而保证用户的物理隔离和资源访问的安全。、多出口部署需求；边界出口是整个网络通讯的咽喉局部，好的出口能够大大提升网络对外访问以及外界对内访问的效率。为了分担流量和提高访问的响应速度，可以同时使用双光纤网络出口。可对内部访问外网络必需能够扩展以适应用户需求以及业务的进展，并保护公司的投资。智能化、简洁化。六、网络升级实施方案6.1、信息内网升级方案办公网络的稳定运行和信息点的畅通连接需要一整套网络优化方案。电力公司网络升级后，机房承受两台模块化的核心路由设备，通过万兆链路双链路上联至两台核心交换机，在楼宇承受支持万兆扩展的会聚交换机，通过千兆光纤上联至核心设备。区域接入层交换机分为两种，使用之前部署的是 6类线，可承受全千兆的接入交换机；或通过千兆双绞线或千兆光纤上联至各楼宇会聚层交换机，实现千兆骨干，百兆到桌面的网拓扑构造。设计网络构造拓扑图所示4光模块H3C144光模块H3C14个56光缆光配SFP-GE-SX-MM850-A8芯8芯设备互链1500米6个序号设备名称设备型号品牌业务用途数量1路由器SP6608H3C边界路由1台2交换机S5800H3C楼层会聚1台3交换机S5048eH3C楼层交换机6台77效劳器软件DELLR710统软件DELL上网行为治理81台1套网络升级后，承受双核心技术，为机房网络核心层配备换机，这样就为系统网络的稳定运行供给了保障。

2台万兆路由路和核心交运用双核心设计，分别办公网和业务网，降低两个网络彼此之间的影响，使办公网方面的问题不会影响电力核心业务的正常运行，同时办公网核心交换机对每个网段都启用了VRR助、议，保证每个网段的客户端都能够从IP层上实现冗余备份。改建后的网络系统中，当其中一台核心交换机消灭停机等问题时，另一台交换机就能够担当全部任务，以保障综合业务和办公业务7X24小时不连续运行。这种设计，又使网络具备了更高的可扩展性能。模块的冗余，并拥有电源冗余力气，支持引擎、模块带电热插拔和万兆模块，支持千兆和百兆模块线速转发，可IP网络。由于双核心交换机端口线速转发，具有更大的路由表、Mac地址表、ACL表等资源,网络无论处于何种环境下，都不会消灭瓶颈，并支持基于 Vian的策略路由和基于目标地址的策略路由功能，可以使用多条路径进展负载均衡，充分利用了设备和链路带宽，进而从核心层就可以成倍地提升网络性能。在网络接入层，可承受具有2个光纤接口和24个固定100/1000M以太网RJ45接口的智能千兆光纤交换机，以实现到桌面的 100Mbps的连接，其中2个千兆上连接扩设备用作接入，通过千兆双绞线或千兆光纤连接双核心交换机，使办公网络的原有设备得到充分利用，节约了投资资金。同时，在整个网络接入层，接入交换机业务可划分为办公VLAN和业务VLAN,当办公数据流通过链入右边的同核心互连链路传输到核心时，左边的链路作为备份；当综合业务的数据流都通过左边的同核心互连链路传输到核心时，右边的链路作为备份。在与骨干网的互连中，在2台万兆路由器与2台骨干网核心交换机之间承受了OSPF动态路由协议或静态路由协议，公司局域网作为骨干核心的接入模块，以三层方式接入骨干传输核心，并实现数据流在骨干网核心交换机上进展路由的重分发。因此，整个办公网络通过上述协议的运作保证了所建办公网络与综合业务网络、外联机构的其它网络之间的平滑连接与互通，同时也可以看到网络扩展的将来。在网络建设中，从网络的接入层到核心层的交换设备都嵌有病毒和攻击防护力气MACDHCPSTRARF攻击、IP/MAC哄骗攻击、DoS/DDo敦击、IP扫描攻击等，也会被网络设备隔绝在网络之外，不会造成网络瘫痪和其它计算机感染。在办公局域网的交换机上，可针对不同安全区域设置网段，每个网段只为属于这一类的主机和终端供给接口，而不同网段之间则承受VLAN访问把握列表等安全措施，以保证不同安全区域之间的IP地址，在办公网核心交换机上启用IP地址和Mac地址的绑定功能，IPIP地址才能正常接IP〔如禁于非法外网、移动存储注册等〕高速、牢靠、安全的运行。6.2安全方面的前题是做好信息内网安全的相对安全，所以信息内网改造的权重不大，只需将楼层交换IP/Mac地址表邦定、VLAN划分、流量把握等措施等加强安全治理。信息外网构造图：JLtLdLWl©挙%叫信息外网设备选择如下:序号

品牌 业务用途 数量1

LS-S2352P-EI-AC

H3C

楼层会聚 5台序