第一篇:网络整改策划方案
重庆市艾克沃电子商务有限公司网络升级项目文档
重庆市艾克沃网络整改方案
网络升级项目文档
(之解决方案)
2011年11月
1.网络背景情况
1.1网络改造的目的为了能够充分重庆市第一国际代购(贸易)的网络营销、留学生代购等资源优势。充分利用网络资源平台,发挥各部门力量优势,努力将艾克沃建设成面向全球大部分国家和地区。
1.2现有项目的背景
现有各部门的网络设备参差不齐,各部门之间串联网络接口,导致交换机负载量过大,网络交换机随处可见,网络线路横七竖八。不能充分发挥我公司的网络资源。
1.3实施范围
网络状况,将财务部旁边小屋作为中心,与财务、代购、外贸组成局域网,组成中心交换区,更换所有网络交换设备。通过内网控制防御病毒攻击,并在网关处设置Qos,解决网络宽带应用问题。
2.网络现状分析
艾克沃总部由财务、代购、外贸组成。网络设备并不完善,网络设备也已不能否满足网络发展的需求。
这3个主要分组的网络虽然可以基本满足当前各部门的应用需求,但难以满足系统及数据集中的需求,主要有以下几个方面:
网络可用性较低
目前虽然都有相应的网络设备,但每个每个部门的硬件条件和网络应用水平不一,路由器、交换机等关键设备分布不均,并且均较陈旧,并且交换设备负载过大,存在较大单点故障风险。
网络安全性不足
原有网络中几乎没有考虑网络的安全控制,实现集中互连以后,承载部分各种网络应用、财物业务、营销业务,推广业务及少部分人力资源业务,一定要有相应的安全防护机制。
服务策略不一致:
原有的设备无法真正从整个系统角度制订统一的服务策略,比如安全策略、高可用性策略、业务优化策略等等,造成前后策略的不一致性,从而难以真正为系统业务提供强大的服务支撑。
2.1 网络改造项目建设目标
通过对3个分组目前网络的分析,以及对未来应用系统发展的预测,为了适应应用系统对网络基础设
施的要求,计划进行网络系统优化改造。
对于改造后的网络系统,应满足以下方面的要求:
1、设备技术先进性方面:本次选用的核心设备应具有技术先进性,并充分考虑到项目的近远期规划和实施步骤,考虑到未来用户需求的变化和发展要求等。
2、扩展性方面:随着需求的不断变化,设备容量应具有良好的可扩展。
3、安全性方面:系统应能支持或兼容原有的安全控制策略并具有较高安全性。
4、可靠稳定方面:设备应充分考虑系统的可用性、稳定性和可靠性。
5、设备应易于管理,便于维护。
6、设备应具备大流量处理能力。
针对以上需求,本次网络改造项目的重点是网络核心的改造、优化、完善,目标是建立起一套技术先进、扩展性强、冗余度高、易于实现和管理的网络。改造后的网络将完全是一个高效,稳定,可扩展,具有强大功能的业务综合承载传输平台。改造后的网络络应能达到如下要求:
网络具有高度的可靠性,不存在单点故障,并有较强防备灾难的能力。
创造一个开放的网络平台,支持多种业务的同时传输。
网络带宽具有很好的可管理性,网络延时小,要保证数据流端到端的及时传输。
网络要具有良好的扩展性、可升级性,包括业务量和业务种类的扩展,以及与其它机构或部门的连接等;网络带宽可以平滑的进行升级不必更换网络设备,网络设备接口统一,尽量避免投资浪
费。
2.2设计原则
为满足网络升级的需求,并达到目标要求,在网络设计构建中,应始终坚持以下建网原则:
高可靠性--网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性
网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最
大限度地支持 各业务系统的正常运行。
技术先进性和实用性--保证满足应用系统业务的同时,又要体现出网络系统的先进性。在网络
设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到网络应用的现状和未来
发展趋势。
高性能--骨干网络性能是整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图象)的高质量传输,才能使网络不成为未来网络应用的瓶颈。
高兼容性--支持国际上通用标准的网络协议(如IP、OSPF)、国际标准的大型的动态路由协议等
开放协议,有利于以保证与其它网络(如公共数据网)之间的平滑连接互通,以及将来网络的扩
展。
灵活性及可扩展性--根据未来业务的增长和变化,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和现有设备的调整。
可管理性--对网络实行集中监测、分权管理,并统一分配带宽资源。选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。
安全性--制订统一的骨干网安全策略,整体考虑网络平台的安全性。
3.网络建设总体设计方案
3.1网络总体方案设计
本次网络设计在链路上采用光缆宽带传输网络相结合,以中心交换机为中心,通过网络线路与财务、代购和外贸互联。
3.2二层链路设计要点
本次改造主要希望实现国内外网络多种业务的高速访问。在简单、可靠的物理网络结构下通过精细的网络协议的规划体现多种业务(包括数据、语音、视频)支持的能力。
为了在单一硬件平台上实现这些业务,必须有针对性地在网络上进行相应的规划和逻辑结构的设计。该设计中,对于二层以太网业务,以接入交换机作为二层网络的边缘,核心交换机作为二层网络的核心节点。接入交换机提供10/100M的网络接入,并按照需求进行VLAN(虚拟局域网)的划分,所有接入终端按VLAN接入。核心交换机提供VLAN内数据的快速交换以及VLAN间数据跨VLAN的快速路由。
3.3三层链路设计要点的IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系,将对整个网
络的可用性、可靠性与有效性产生显著影响。因此在对IP地址进行规划建设的同时,应充分考虑本地网对IP地址的需求,以满足未来业务发展对IP地址的需求。
IP地址规划遵循以下原则:
IP地址的规划与划分应该考虑到园区网的发展,能够满足未来发展的需要;
IP地址的分配需要有足够的灵活性,能够满足公司接入如宽带接入、专线用户等的需要;
专线子网中专线用户的IP地址由本网统一分配。
分配地址块时遵循从大到小的原则。
Internet/Extranet接入的安全设计
防火墙
公司业务上需要与其它信息网络相连接,而且这一类互联的应用将会越来越多,因此对该内外网的安全访问控制和隔离是网络安全的一个重要的方面。
采用常用的设计方法,在网络边界上配置防火墙。通过防火墙这种安全隔离设备,将网络隔离为三个安全等级不同的区域,即安全级别最高的内部网络、安全级别最低的外部网络和非军事化区。内部局域网的安全性保证
内部安全性包括对路由器等网络设备的访问与配置修改。
一般来说,局域网中在安全方面的基本功能是进行子网和VLAN之间的基于数据包的过滤、隔离,这种技术已经非常成熟,在实际环境中有大量的应用。可以根据交换机端口MAC地址进行VLAN的划分,并通过访问控制列表等技术对于VLAN之间的通讯进行基于IP地址、网段、TCP/UDP端口号等方式的过滤。
3.4实施建议
3.5现有网络架构调整
本阶段的建设目标:重点是保障四个校区之间网络的开通以及核心区域服务器的安全。
本阶段建议进行如下方面的建设:
1)使用新的核心交换机替换原有核心交换机:现有的核心交换机设备过于陈旧,性能、功能以及可
靠性均不能满足运行要求,继续使用将导致网络的故障率大大增加。建议使用新的核心交换机替换原有核心交换机,将原有核心交换机作为后备继续使用。
2)增加新的接入交换机:给中心交换区配置1交换机,通过百兆电口经过网络线路连接其他交换机百兆端口连接,通过百兆电口与计算机连接。
3)更换目前工作不稳定的二层交换设备:通过对目前分校的现有的二层交换机的连通性数值和通过测试仪表进行交换机性能测试分析,将对通信延迟较高的交换机,并在处理性能和稳定性方面都已不能满足网络需求的进行更换或替换。
4实施和完善
4.1 项目启动
工作内容
从整改方案确定之日起标志项目开始,由网络管理员负责发起后续的项目活动。
4.2管理性测试
测试网络设备的可管理性,网络管理协议SNMP测试、网络设备的管理安全性、管理数据加密等,检验网络设备是否能够与原厂商网管平台通讯,以及在网管信息的安全传输。
4.3安全性测试
根据环境状况进行安全性测试。
4.4路由协议测试
测试网络中相关路由协议的连通性和路由收敛的能力,保证网络设备在网络层上的互连互通性。测试将主要测试网络中运行的路由协议的连通性。
第二篇:网络整改方案
网络整改方案
因公司现在网络质量太差,主干网络布线方式很容易导致公司库房网络不稳定。(1)现整改方案如下:
从2楼行政办公室布超六类网线2根到机房505房间,一根用于直接连接主服务器,另一根用于连接505的交换机,且用PVC管穿线布线。另原2楼主交换机换成千兆(华为或者H3C)交换机,保证主干网络质量。且单独分一条ADSL线路供主服务器使用,保证外网接入主服务器的带宽。其余内部网络结构暂不变。
如果要办理光纤就直接把主服务器接光纤使用。费用预算:1、2、3、4、超六类线一箱
800元 H3C千兆交换机一台
3000元
PVC管
1.4元*300米=420 辅材(如PVC管卡子)
20元
5、半天人工费
200元 共计:800+3000+420+20+200=4400元(2)网络图:
第三篇:网络整改方案
网络整改方案
现有网络存在的问题
目前网络线路凌乱、病毒现象严重、权限管理混乱、Internet连接不稳定等,主
要总结为以下几个问题:
1、网络组成无专用机柜,理线不清;线路标示不明确,无线路走向标示图,节点标示不明确;
2、与Internet连接无任何安全措施,网络中病毒传播现象严重;使用简易路由器接口,Internet网络经常断线;
1.网络中IP地址使用不规范,名字解析失效,无法用计算机名进行内部网
络互访;
2.Internet访问权限不受控制,BT一类网络下载工具滥用,造成网速慢、不稳定;
3.数据中心服务器无任何管理权限,网络中成员可任意访问服务器上资源,服务器上的资源无任何安全性、保密性可言。
4.计算机使用人员无安全意识、无保密意识,没有明确的计算机使用管理规
范管理制度。
网络整改的目标
综合上述的几点问题,网络的整改在现有设备的基础上,采用先进的系统集成技术和管理模式,实现一个高效的办公网络体系。公司内部形成高效、畅通、安全的网络体系,初步实现公文管理、资源共享、打印管理的电子化、网络化。对外连接到Internet,使公司保持与外界先进事物以及合作伙伴,公司客户的密切联
系。
为了保证基本网络的安全性、稳定性,建设一个快速、高效、通畅、安全的校园网络,整改后的网络架构必须具备以下几点: 1.实用性,网络系统应实用、满足应用为主,不追求最高、最新; 2.安全可靠性,同时考虑应用系统的设计、网络系统的设计、硬件设备的选
型配置几个方面,以确保数据的安全;
3.兼容性与可扩展性,要采用成熟的技术,保证当前网络系统可以在广泛的设备上使用,具备更新与升级的能力;
4.经济性,在满足功能与性能的基础上的性能与价格比最优;
5.易管理性,随着网络规模和复杂程度的增加,网络系统的管理故障排除将成为较难的事情,针对各种设备都应选用易管理或具备管理功能的。
网络整改的原则
本次网络整改必须按照统一规划、着眼未来、注重实效的原则,兼顾先进性和实用性,尽量采用先进的技术以提高系统的效率和可靠性,还要结合公司特点,避
免造成不必要的浪费。
网络系统设计
校园网组织结构概况
1.办公网 2.广播网 3.监控网
系统需求
网络整改是为了满足校园各项管理需要而实施的,考虑到今后功能与信息增长的要求,整改后的网络系统应具有充分的先进性和可扩展性。
服务器是网络系统的重要组成部分,要求对客户端访问快速响应,采用严格的权限控制,保证系统的安全稳定运行,同时要生成完善实用的系统日志,以便根据实际应用情况优化系统。日常文件管理要求实现电子化,根据公司的文件管理制度,对公司的文件提供完善的管理,以及访问权限的控制。
系统管理提供以下管理:
1.用户安全、帐户管理 2.用户权限管理 3.网络访问控制 4.事件日志
施工案例
第四篇:网络整改方案
网络整改方案
一、防水墙服务器的实施计划……………………………………………….1
二、路由器的实施计划…………………………………………………………………..5
三、交换机的实施计划…………………………………………………………………..7
四、防火墙的实施计划…………………………………………………………………..9
五、IPS 的实施计划……………………………………………………………………….11
六、后期的完善方案………………………………………………………………………12
七、定期网络知识的培训………………………………………………………………13
一、防水墙服务器的实施计划 1.1 防水墙服务器的作用
1.防水墙通过可信网络认证授权系统管理用户的登陆,对于没有授权的用户限制登陆;对于一些非法用户的强行登陆进行了控制,并有相应的日志记录
2.防水墙通过可信桌面管理系统实现了对于终端用户操作的实时监控,并控制用户使用USB接口和打印机的权限,同样该系统可以通过远程方式进行客户端的维护工作;该系统的资产管理功能对公司电脑的资产盘点工作有很大帮助。
3.防水墙通过可信网络监控系统管理对公司邮件进行了系统的管理,包括邮件的内容,所挂附件的内容等;该系统对于网络流量进行了详细的划分,可以对用户进行流量控制,管理非法BT或其他下载行为。
4.防火墙通过可信移动存储介质管理系统保障了公司文件的安全,它提供了移动设备的注册授权功能,对于不同设备采取不同的权限控制,并提供详细的使用日志记录。
1.2 投入成本
1.防水墙的所有功能是分散的,也就是说可以把几个需要的功能拼凑到一个模块中。所以价格也会根据功能的多少而定。
1.3 进度跟踪
1.防水墙搭建相对容易,时间较短,但是后期碰到的问题会很多,比如邮件的审核人归属问题,远程监控时间问题等,都需要一个长期的磨合完善。
二、路由器的实施计划 2.1 路由器的作用
1.路由器是公司网络接入后遇到的第一个网络设备,它主要通过相互连接的网络把信息从源地点移动到目标地点的活动。2.通过配置路由器的路由协议(OSPF,EIGRP等)保证网络数据包的正确走向,配置IP地址、网关和DNS保证网络的正常运行。
3.路由器需要两台同样配置的,两者之间通过使用现今流行的热备份路由器协议(HSRP):假如一台路由器出现软件或者硬件问题导致外部网络中断,HSRP协议会自动让外部网络流量自动走向另一台备份路由器,保证了公司内部网络访问外部网络处于一个正常的状态。
4.路由器的网络地址转换(NAT),是一种将私有地址(公司内部地址)转化为合法IP地址的转换技术,通过配置该协议能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
2.2 投入成本
1.目前思科路由器的型号较多,目前根据公司的规模采用28或29系列的路由器即可满足,价格大概在1万元左右每台
2.其他品牌的路由器也可以基本满足公司需要,但是从性能上来说不如思科产品。2.3 进度跟踪
1.首先可以通过模拟器完成路由器的各项试验,包括多台路由器的实验。再通过模拟PC机配合模拟路由完成防御外部攻击的实验。2.实验成功后,在真实路由器上配置相应协议,在周末测试网络情况,通过关闭主路由器端口模拟HSRP协议的实验。整个路由器的搭建及后期测试初步计划2个月左右。
三、交换机的实施计划
3.1交换机的作用
1.交换机主要负责把一条网络流量分成多条流量的硬件设备,目前主要分为二层交换机和三层交换机,二层交换机主要是交换机本身的功能,三层交换机还包括了路由器的部分功能。需根据网络实际情况进行选择。
2.交换机的vlan划分功能提高了网络的安全性,vlan可以按照部门划分。假如一个部门中了传染性的蠕虫病毒,那么病毒的扩散区域只局限在这个部门的vlan区域,不会波及到整个公司。3.交换机的生成树协议可以保证网络中不出现环路现象(环路会产生广播风暴,导致整个网络瘫痪)
4.多台交换机之间需要通过配置“端口通道模式”保证在一条端口出现故障时整个网络不会受任何影响。多台交换机之间也可以通过HSRP协议进行备份工作。但是在整个交换机的体系中一定要有一台核心交换机保证网络流量的合理化分布。
3.2投入成本
1.核心交换机要求配置较高,而且负载量会很大,根据公司现有情况,可选择29系列交换机,目前不需要三层交换机。价格大概在5千元左右。
2.底层交换设备可选用目前公司使用的小型交换机或者低端配置的交换机。
3.3进度跟踪
1.首先可以通过模拟器完成交换机的各项试验,包括多台交换机的实验。
2.试验完成后,在真实交换机上配置相应协议,并测试网络情况,整个交换机的搭建及后期测试初步计划2个月左右。
四、防火墙的实施计划
4.1防火墙的作用
1.防火墙是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。
2.防火墙的vpn功能保证了远程登录到公司内网中,方便了出差或者在家需要办公的同事。安全方面通过ipsec协议保护了传输的数据。
3.防火墙的主要功能是防止外来的“入侵者”,但要随时更新标签(类似病毒库)。而且所有的访问控制列表(ACL)不能在路由器中写入(承载不了太多ACL),要在防火墙中写入,访问控制列表可以限制员工不能访问一些不良网站,保证了内部网络的安全。
4.2 投入成本
1.目前公司的防火墙功能性不强,可根据升级方式提升性能,具体情况需在升级观察,如标签数量不够或功能不强,则需更换高端防火墙,具体品牌则根据公司实际情况而定。
4.3 进度跟踪
1.由于没有防火墙模拟器使用,可先用公司本身的防火墙进行测试,找出现有防火墙的不足。2.测试完成后,根据实际情况决定升级或者更换高端防火墙,并且配置相关协议和功能,进行远程和攻击型的实验。整个防火墙完善工作需要3-5个月时间。
五、IPS的实施计划
5.1 IPS的作用
1.入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的安全设备,它能够隔离一些具有危害性的网络恶意行为。也可说是对防火墙的补充。2.入侵预防系统安装在防火墙之后,通过监测网络情况和防火墙的工作情况,可以做到随时查看网络情况,并有相关日志生成,保证能够准确的分析到网络中存在的问题。
5.2 投入成本
1.由于有些防火墙和IPS是一体的,但是性能方面别单独的防火墙和IPS差,所以要根据当时的实际情况而定。
5.3 进度跟踪
1.由于没有IPS模拟器使用,所以前期将找一些第三方软件替代,进行简单的测试
2.测试完成后,效果好的话,再引进真实设备,并测试监控等效果,整个IPS搭建的时间需要2个月左右
六、后期的完善方案
1.当初期整体网络完成后,通过对内部网络和外部网络的监控,查看日志等工作,解决公司网络的常见问题。
2.当初期的网络稳定后,根据公司实际情况,在现有设备中增加更高级别更系统化的的安全功能和网络管理功能。
3.后期网络的高级搭建,如不能在原有设备上采取升级或者增加模块方式实现,则需添加其他的硬件设备来完善。
七、定期网络知识的培训
1.培训一些计算机办公软件方面的基本应用常识,包括office、PDF等大家常用的办公软件。还会根据大家对常用办公软件的其他需求进行统一培训指导。
2.培训解决计算机系统常见问题的知识,有硬件和软件问题。硬件问题包括鼠标键盘等小问题的解决方法;软件方面包括系统速度慢和相关软件报错问题。
3.培训时间将会根据各个部门的实际情况而定,初期准备采用以部门为单位的培训计划。
第五篇:网络整改方案
网络整改方案
一、网络改造方案
目前我们公司内部网络比较复杂,一共两条外线都串接在网络里。我们想规范化管理网络的话首先要把网络的拓扑规划好。
根据我们多年的经验我们想通过VLAN的划分来实现网络的管理。大体分为两个VLAN,1、第一个VLAN接入网通外线,把我们的各种服务器也接入到这个VLAN里,做为我们公司网络的主要内网。
2、第二个VLAN接入移动外线,做为一些新员工或者不需要接入公司内网的员工专用网络。
这样做的目的是彻底分开两个网络,不要让其他员工私自乱更改IP地址就能上网,容易造成管理上的混乱,另外所有的IP MAC地址在交换机上做一个绑定,做到更换了IP就不能够上网。
二、上网行为管理
上网行为管理主要分以下几部来做
1、建立域控系统,做为规范管理的一个前提。域控管理是一个基本控制手段,他主要是通过帐号管理来限制各个帐号在电脑上不同的工作权限,可以有效的限制下边员工私自更改IP,安装软件等功能。另外在规范化管理当中域帐号的帐户管理可以有效的使事件责任到人,一但发生什么问题可以直接找到帐号使用人。
2、上网行为管理设备,目前我们公司的网络中还存在一些网络乱用的情况。比如说下载电影等,一个人下载造成整个公司网络缓慢,这样的话我们就可以通过上网行为管理的流量控制功能来杜绝这种情况的发生。举个例子就是可以通过这个设备限制每个用户的下载流量为10K,这样的话上网和发邮件没有问题,下载的话速度最多到10K,也不会影响到别人的使用了。
点击咨询 