网络改造方案-

黄冈矿业网络改造方案内蒙古万德系统集成有限责任公司 2-1.1项目改造内容 1.2项目设计原则 1.3项目设计思想 2项目整体解决方案 2.1网络现状 2.1.2网络存有问题 2.2.2改造后优势 3网络系统 3.1组网方案 3.1.2分层网络设计 3.1.3IP地址规划 3.1.4IPv4地址规划 3.1.5IPv4路由规划 3.1.6Vlan设计 3.2网络优化系统 3.2.2网络安全审计 4安全与管理系统 业有限责任公司",由集通公司以承债的方式购买企业的主要产权，控股经营企业。2000年4月20日各方签定《关于设立内蒙古黄岗矿业有限责任公司协议书》2003年9月15日，中共克旗委第38次常委会议决定，允许内蒙古黄岗矿业有限责任公司增资扩股，由包头钢铁(集团)有责任公司控股。同时根据《内蒙古黄岗矿业有限责任公司章程修整案》的规定，增设包头钢铁(集团)有限责任公司为新任股东。增设股东后的内蒙古黄岗矿业有限责任公司股东为6个，注册资本金为8139万元，即包头钢铁(集团)有限责任公司出资人民币5000万元，占注册资本金的61.4%,内蒙古集通铁路有限责任公司出资人民币1679万元，占注册资本金的20.6%,克什克腾旗人民政府出资人民币660万元，占注册金的8.1%,内蒙古赤峰地质矿产勘察开辟院出资人民币646万元，占注册资本金的7.9%,克旗农电局出资人民币65万元，占注册资本金的0.8%,自然人出资人民币89万元，占注册金的1.2%。2004年9月22日，内蒙古黄岗矿业有限责任公司股东会2004年第一次临时会议允许克旗政府把自己拥有的公司6%的股分以600万元人民币的价格协议转让给莲池控股有限公司，克旗政府的股东比例由8.1%减至2.1%。其他股东的2005年8月，在克旗旗委政府的协调下，由内蒙古黄岗矿业有限责任公司将仍在三区边缘地带采矿的“克旗黄岗矿业有限责任公司”以1500万元的价格收购。从此，形成为了黄岗一，二，三，四区由内蒙古黄岗矿业有限责任公司独家采选的局面。的要求，遵循系统性整体性、先进性和可扩充性原则，建立经济合理、资源优化提供保障，以便为用户提供一个先进、灵便、可靠、基于标准的多业务、多应用平台，不但能够满足当前各种业务和应用要求，同时可为今后的发展及其业务、在本项目方案设计中，应“立足现在，着眼未来”,在保证技术成熟及性能务发展变化的需要。其中，采用的系统结构理应是先进的、开放的体系结构。为保证黄冈矿业各项业务和应用顺利实行，网络系统和IT基础平台必须具有较高的可靠性和稳定性，要对网络结构、网络设备、服务器设备、配套设备和环境设施等多个方面实行高可靠性、高稳定性的系统设计与配置。首先，在设备选型上要选择成熟、可靠、稳定的产品；其次，要在系统整体备份方式，提供高效的自愈水平，并在采用硬件备份、设备冗余等可靠性、稳定性技术的基础上，采用相关的软件技术提供较强的管理控制机制和事故监控手段，从而充分保障系统是持续可用的。展的运行需求，尽可能延续原有的设备、并保证与原有系统兼容。同时，应使用为保证本项目系统符合当今技术飞速发展的趋势，并满足系统发展的需要，络各层次节点的功能。本项目系统这种工程应具备与多种协议的计算机通信网络互连互通的水平，所以为确保本项目系统基础设施的作用能够充分发挥，放，采用基于国际开放式的标准，包括各种广域网、局域网、计算机，坚持统一规划的原则，从而为未来的业务发展奠定基础。自动化和计算机信息系统审批暂行办法》等。本项目的安全性方案应严格按照信本项目安全体系方案设计的原则是：1、整个系统必须是一个严密的安全体系；2、采取的安全措施不能影响整个网络的运行效率；3、系统设计应具有完善的安全管理机制，以保证网络和数据的安全；4、保证各个环节的安全保密，统筹规划；5、安全方案的制订和实施应遵循国家系统安全的相关规定。统一领导，统一规划，统一标准。以应用带发展，以效益促应用，分步实施，逐步完善。网络结构稳定，易于升级、扩展；应用系统灵便，易于共享、沟通。网络安全，信息保密，稳定可靠，高效运行。综合考虑整体性、实用性、先进性和经济性。利用现有资源满足业务急需，保持持续发展。管理运行体系与工程建设同步实行。2项目整体解决方案联通联通区联想网御核心交换机用户接入尾矿光电转换器区光电转换器三光电转光电转换器用户接入四区光电转换器用户接入交换机用户接入交换机光电转换器光电转换器光电转换器及出口带宽的增长，造成网速变慢甚至CPU超负荷后断网。2.核心交换机未启用三层功能，网关在防火墙上，内网用户通信流量再次转嫁至防火墙。尾矿四区尾矿四区新增汇聚区区新增汇聚光交换机用，不造成资源浪费。内网安全策略、路由协议均重新规划。1.新增路由器启用NAT功能、分担防火墙压力，防火墙只做安全策略。2.新增核心交换机启用三层功能，划分VLAN,优化内网环境并提供光接3.替换所有光电转换器为光接入交换机，较少路线故障率。4.原设备均利旧使用，不造成资源浪费。5.新增用户行为及审计功能。6.合理化的带宽分配，不会因员工下载造成网速缓慢。7.重新调试的网络策略更适于现在使用情况。系统的支撑系统，是一个系统的路，是一个单位信息化的基础。拓朴结构星型结构(Star):星型结构是指所有的外围设备通过单一链路连接到处于节点必须保证高可靠性。在网络络设计中，针对主干框架的选择应充分考虑网络性能、维护难易水准实际情况的结构方案。优良的拓扑结构是网络稳定、可靠运行的基础。一个大规模的局域网络系统往往被分为几个较小的部份，它们之间既相对独立又互相关联，这种化整为零的和接入层。每一层都有其自身的规划目标：核心层处理高速数据流，其主要任务是数据包的交换。分布层负责聚合路由路径，收敛数据流量。接入层将流量馈入网络，执行网络访问控制，并且提供相关边缘服务。网络大都是依照上面的分层原则设计的星型以太网，配合各种最新的技术如VLAN、TRUNK、Qos等，极大地提升了网络的性价。其逻辑结构如下图所示：IP地址的合理规划是网络设计中的重要一环，大型计算机网络必须对IP地址实行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也势必直接影响到网络应用的进一步发展。为了使网络达到最高的运行效率，在设计IP编址方案时要遵从以下原则：IP地址分层设计是指在分配IP地址时参考物理网络设计的层次结构和网络应用的逻辑层次结构，按层次划分IP地址。在分层设计中将地址按层次化结构实行分配，可有效避免随机分配所带来的地址浪费的可能性，使IP地址资源得由表时占用路由器CPU时间的减少、路由内存需求的减少。变长子网掩码(VLSM)是指一个网络能够分层次配置不同的掩码。把一个允许在地址分配中使用更多的层次，从而在路由表中更好地使用路由总结。地址来表示一系列网络号从而减少路由器所必须包含的路由数目的方法。路由总结的使用能够降低路由器内存的占用和路由协议的网络流量占用率。使用路由总结的此外一个好处就是它能够隔离其它分区域内的拓扑结构的变化，也就是说，4、尽可能使用保留地址段ClassC到55256个C类地址在INTERNET中，这样这些组织如果需要连入INTERNET的话，他们能够通过出口路由器地址转换功能与INTERNET上的主机通讯，而不需要重新设定内部IP地址空间分配，要与网络拓扑层次结构相适合，既要有效地利用地址空网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的址的可管理性。具体分配时要遵循以下原则：连续性：连续地址在层次结构网络中易于实行路径叠合，大大缩减路由表，提升路由算法的效率地址叠合所需的连续性地址编码规范建议校园(城域)网的IP地址实行严格的编码，每位代表不同的含义。其编码规则(举例如下)为：应用标识相对应IP地址类别000网络设务管理010备用备用备用备用网络互连地址从上表中我们也能够看出，通过我们的规划，我们能从IP地址分析出IP地址的来源、用途等，这将为网络的维护带来方便。具体的IP地址定义将结合实际情协议，对于固定IP地址用户，需要针对标识符(MAC地址)设定保留IP地址。动态只在核心骨干中实行运行这样大大减少了骨干节点之间动态协议的收敛周期，在实际的应用的过程之中能够提升稳定性。随着网络的迅速发展，用户对于网络数据通信的安全性提出了更高的要求，诸如防范黑客攻击、控制病毒传播等，都要求保证网络用户通信的相对安全性；传统的解决方法是给每一个客户分配一个VLAN和相关的IP子网，通过使用VLAN,每一个客户被从第2层隔离开，能够防止任何恶意的行为和Ethernet的信息探听。。在交换机上基于端口划分VLAN时，能够在同一交换机划分多个VLAN,也可跨主干划分同一个VLAN,网络中应尽量使用本地VLAN的划分方法，并通过Trunk链路实现多个VLAN的跨主干连接，对VLAN实行集中管理的技术中，能够使用用，它基于GARP的工作机制，维护交换机中的VLAN动态注册信息，并传播所有支持GVRP特性的交换机能够接收来自其它交换机的VLAN注册信息，并动态更新本地的VLAN注册信息，包括当前的VLAN成员、这些VLAN成员能够通过哪个端口到达等。而且所有支持GVRP特性的交换机能够将本地的VLAN注册信息向其它交换机传播，以便使同一交换网内所有支持GVRP特性的设备的VLAN信息达成一致。GVRP传播的VLAN注册信息既包括本地手工配置的静态注册信息，也包括来自其它交换机的动态注册信息。GVRP在IEEE802.1Q标准文本中有详细的表述。VLAN在交换机上的实现方法，能够大致划分为4类：端口和交换机2的1~4端口为同一VLAN,即同一VLAN能够跨越数个以太网交换机，根一下就能够了。它的缺点是如果VLANA的用户离开了原来的端口，到了一个新的交换机的某个端口，那末就必须重新定义。2).基于MAC地址划分VLAN的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置挪3).基于网络层划分VLAN议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不的路由毫无关系。它虽然查看每一个数据包的IP地址RIP需要重新配置所属的VLAN,而且能够根据协议类型来划分VLAN,很重要，还有，这种方法不需要附加的帧标签来识别VLAN,这样能够减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),普通的交换机芯片都能够自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。固然，这与各个厂商的实现方4).根据IP组播划分VLANIP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网，所以这种方法具有更大的灵便性，而且也很容易通过路由器实行扩展，固然这种方法不适合局域网，主要是效率不高。5).推荐的VLAN划分方式及逻辑图根据用户应用的实际情况和我们多年的系统集成经验推荐VLAN的划分方式能够是按照基于端口的划分。能够按照部门的不同划分不同的VLAN,比如财务部门VLAN,人事部门VLAN,存储网络VLAN等，推荐的逻辑示意图如下：史VLAN划分逻辑图3.2网络优化系统安装完毕后，随系统的运行，新业务数据流的增加、原有业务数据的调整，其要应用设备运行效率会有所变化。系统的运行效率与系统各部份的参数有很大项必要的服务。我公司会对黄冈矿业网络系统在定期或者不定期的巡检的同时进的工何谓上网行为管理?匡助互联网用户控制和管理对互联网的使用，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。父)另一方面也在企业管理、工作效率、信息安全、法律遵从、IT投资等方面给企业提出了严峻的问题与挑战。在办公室里时常会听到有人抱怨“网速为什么这么慢?”,几乎所有的企业都存有这样的问题。那末企业花钱租用的10M甚至100M带宽都被用在哪里了?为什么带宽持续扩充，而网速并没有明显改善?真象：带宽资源也许正被滥用!表的P2P应用，消耗了40%以上的有效网络带宽。而在企业租用的有限带宽里，充斥着大量P2P下载、网络电视等应用流量，导致大量带宽被非工作应用所占用。而且，因为P2P的应用特征，使得企业高额投资的带宽成为了互联网公共谁?在什么时间?能够拥有多少带宽资源?能够使用哪些网络应用?问题2:网络安全事故为什么防不胜防?层出不穷网络安全威胁，难道那末多安全产品都是摆设?真象：安全隐患来自内部员工!无论如何豪华的防线，一个漏洞就能够毁灭所有一切。MetaGroup发布研究报告称：“持续增长的安全威胁源自您的员工”。内部人员通过互联网与外部通讯时，可能会引入含有恶意的或者攻击性的内容，如若未能得到监测和控制，这将成为企业的一大隐患。并且充满诱惑的网络资源往往是风险的发源地。谁?在什么时间?是否能够上网?是否阻挠访问可能含有安全风险的网络问题3:办公室为成为了免费网吧!据一项调查显示，普通企业员工每天的互联网访问活中40%与工作无关，对色情等非法网站的访问量70%都发生在工作时间。上班时间“上网休闲”已经成为普遍现象，聊天、游戏、炒股、购物、BBS、电影、博客等无时无刻不在抢占正常的工作时间，办公室所以沦为不需要花钱的“网吧”。谁?在什么时间?能够用什么应用?不能够访问什么网站?约束员工在互联网上的行为，其实是在匡助员工匡正工作行为，丢弃不好的问题4:企业要为员工的网络行为背黑锅吗?当前，大部份企业内部员工上网并不受限制，但是他们在网上做了什么?对外发了什么信息?企业彻底不知情，也无记录可查询，这就给企业埋下了巨大的法律风险。某企业被当地公安局网络监察处执行严厉处罚，原因是查出该企业内有员工在网上发布了违反法律的信息，但是无法查出是哪位员工所为，最后企业只得为这名“幕后英雄”背黑锅。那末在这种情况下，企业必须为员工的个人网络行为谁?在什么时间?以何种方式?对外发了什么信息?发给了谁?问题5:发现内部网络问题后不能快速的找到根源?的插拔网线，复位设备，以希图问题解决。但本质，内在的源头无法定位。IT系统追求的的是性价比，一位的牵就会隐藏更大的隐患，我们需要专业的洞悉网络问题应用源头的水平，能够分析问题的普遍性，严重性，共通性。利哪些人群的应用异常?哪些行为在单位内最普遍?哪些部门隐患最突出?step1:企业要做好上网行为管理，必须先洞悉企业内使用互联网的过程中存在哪些问题?因为不同企业面临的问题不同，需要先了解到底有哪些问题?step2:然后分析问题的根源，再制定有针对性的策略管控问题；上网行为管理策略必须是有针对性的、个性化的，这样才干符合不同企业本身的管理制度、step3:最后通过审计报表了解问题解决的水准和效果，再根据报表做管理策略优化，进而达到驾驭互联网、实现上网行为管理的价值。具有高度安全风险的网页，以及购物、招聘、财经等与工作无关的网页，将极大定个性化的网页访问策略，过滤非工作相关的网页。聊天、看电影、玩游戏、炒股票等等，互联网上的应用可谓五花八门，如果缓慢、信息外泄的可能。务无关的网络应用，引导员工在合适的时间做合适的事。管理作用一、管理类功能：用公司指定的U盘；同时也能够禁止修改IP地址。泄密。能够灵便的开启设备，不影响员工的正能够对指定的程序实行禁止。常使用。聊天、BT下载等程序，提升工作效率。上网限制可对指定的网站实行禁止，或者采取反选，对指定的网站外的网站实行禁防止内部员工滥用网络资源，随意且长期的访问与工作无关的网站，导致工作效率的低下。能够看到网络内员工正在操作计算机的最新画面，能够查看到网内员工操作过的历史画面，并连续播放历史方便管理者实行网络行为的巡视，发现违规行为，即时纠正。能够查看以前的屏幕记录，实行事后追查。(可选项功能)。对msn、qq等聊天工具的聊天内容实行监控方便管理者对员工互联网聊天行为实行管理，避免员工上班时间过度聊与工作无关内容。(可选项功能)能够详细的记录每一个员工在本机及网络上操作过的文件，包括访问、创建、复制、挪移、改名、删除、恢复以及文档打印等记录。员工对电脑操作行为的痕迹得到监控，为泄密行为的事中发现，事后追查提供了帮助，补充了电子文档安全管理中的最薄弱环节。报警规则可设置硬件或者软件信息变化的报警规则，设置某个或者某类文件的各种操作报警规则。对泄密者添加泄密设备(如：闪存、挪移硬盘等)实现及时报警，对相对应的文件或者某个类型文件的操作实现及时报警，为安全事件发生后实行即时管理提供匡助。通过设置禁止外来电脑访问内部局域网共享资源、内部重要的服务器。有效的防止外来计算机侵入单位内部就局域网，可根据需要灵便的设置外来计算机跟网内计算机的通讯方向。能够即时查看和删除网络内任意计算机的网络共享文件夹。员工往往因为工作需要设置共享文件夹，不过有时员工因为疏忽未能即时关闭共享，导致共享文件很容易被别实用心的员工或者外来计算机窃取。能够锁定网络内任意计算机的键盘和鼠标操作。若发现网内计算机有非法操作，能够即时的采取行动，对非法行为实行即时控制，避免非法行为的继续，挽回应用程序报告可分时间段查看某个员工打开某个应用程序的全部时间和活动的时间，以及所占的百分比。能够客观的评估员工使公司电脑的情况和效率，方便进行员工的行为管理评估。访问网站报告可时间段查看某个员工打开每一个网站的全部时间和活动时间，以及所占的百分比。能够客观的评估出员工访问网站的情况和效率，查看员工的上网行为，方便实