集團(tuán)網(wǎng)絡(luò)升級(jí)改造建設(shè)方案設(shè)計(jì)

《集團(tuán)網(wǎng)絡(luò)升級(jí)改造建設(shè)方案設(shè)計(jì)》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)。

1、---集團(tuán)網(wǎng)絡(luò)升級(jí)改造建設(shè)方案一、概述網(wǎng)絡(luò)是集團(tuán)信息的基礎(chǔ)設(shè)施，以集團(tuán)為中心下屬各分支機(jī)構(gòu)及項(xiàng)目部通過與中心節(jié)點(diǎn)的連接，實(shí)現(xiàn)互聯(lián)互通。此方案從網(wǎng)絡(luò)入口、網(wǎng)絡(luò)安全、數(shù)據(jù)加密、網(wǎng)站加密等安全防護(hù)方面出發(fā)，保障公司網(wǎng)絡(luò)安全與數(shù)據(jù)互聯(lián)的暢通。二、原拓?fù)浣榻B：1、外網(wǎng)接入：目前公司大樓接入的電信帶寬是100兆光纖，較難滿足公司后期帶寬的需求。2網(wǎng)絡(luò)層設(shè)備核心路由器：設(shè)備接口為百兆而且是六年前采購(gòu)的，相關(guān)配件已經(jīng)停產(chǎn)。目前要想提速到300兆必須采購(gòu)千兆接口路由器，因?yàn)榍д锥丝诳梢越邮崭嗟牟l(fā)訪問數(shù)量，后期相關(guān)模塊上線使用后會(huì)有大量的用戶訪問集團(tuán)

2、網(wǎng)絡(luò)中心，帶寬的擴(kuò)容可以解決此問題。層交換機(jī)：目前公司六層主樓加五層副樓只有四個(gè)光口交換機(jī)，從網(wǎng)絡(luò)拓?fù)浣嵌葋碇v應(yīng)該是核心交換機(jī)通過光纖直連到層交換機(jī)，還需要采購(gòu)七臺(tái)光口交換機(jī)，保證300帶寬可以到達(dá)弱電井，目前的設(shè)備只支持最多一百兆帶寬到達(dá)弱電井，不能滿足后期帶寬的擴(kuò)容。核心網(wǎng)關(guān)：目前公司用的核心網(wǎng)關(guān)為2013年采購(gòu)，且前段時(shí)間已升級(jí)最新版本，完全符合公司的后期擴(kuò)容要求，一般硬件廠家的支持升級(jí)年限為五年以上。上網(wǎng)行為：規(guī)范和限制員工的設(shè)備，包括上班時(shí)間禁止看視頻、下載大容量文件等，后期網(wǎng)絡(luò)改造將進(jìn)行手工配置ip地址的模式，每人都對(duì)應(yīng)自

3、己唯一的ip地址。公司現(xiàn)在網(wǎng)絡(luò)情況總結(jié)：百兆光纖接入，通過百兆路由器千兆交換機(jī)接入到弱電井，通過網(wǎng)絡(luò)線接入到辦公室，有相應(yīng)的上網(wǎng)行為設(shè)備的控制，在服務(wù)器區(qū)通過核心網(wǎng)關(guān)做映射與外網(wǎng)相連，同時(shí)起到安全防護(hù)的作用。缺點(diǎn)：用戶訪問外部網(wǎng)絡(luò)沒有安全設(shè)備，會(huì)造成后期網(wǎng)絡(luò)訪問的數(shù)據(jù)安全問題；服務(wù)器區(qū)只有核心網(wǎng)關(guān)做防護(hù)，不能保證服務(wù)器區(qū)的足夠安全；各樓層沒有光纖交換機(jī)，后期擴(kuò)容帶寬受限；網(wǎng)站沒有足夠防護(hù)，主要原應(yīng)是訪問量和數(shù)據(jù)交換較少，暫時(shí)不會(huì)有大量的數(shù)據(jù)，不會(huì)引起相關(guān)木馬等的攻擊。之所以公司網(wǎng)絡(luò)是這個(gè)現(xiàn)狀主要原因是當(dāng)時(shí)集團(tuán)大樓為臨時(shí)大樓只為過度使用

4、，申特對(duì)網(wǎng)絡(luò)的要求也很低，同時(shí)在線人數(shù)也不會(huì)超過100人，網(wǎng)絡(luò)負(fù)載基本滿足。三、網(wǎng)絡(luò)整改后拓?fù)浣榻B1、接入方式擴(kuò)容：光纖接入：原先為100兆，擬增加到300兆，考慮后期集團(tuán)大樓人數(shù)的增加、應(yīng)用系統(tǒng)的上線和視頻會(huì)議的需要。2、網(wǎng)絡(luò)層設(shè)備：核心路由器：更換千兆接口路由器，核心路由器作為各個(gè)接入機(jī)構(gòu)的業(yè)務(wù)數(shù)據(jù)匯聚點(diǎn)，需滿足高性能、高穩(wěn)定、接口豐富靈活、可擴(kuò)展的要求，現(xiàn)有百兆路由器已經(jīng)不滿足需求，建議在出口替換成模塊化核心路由器，保證高穩(wěn)定性，用于各個(gè)機(jī)構(gòu)的主鏈路接入，保證出口快速轉(zhuǎn)發(fā)，并方便后期擴(kuò)展，路由器支持光口、電口、155MCPOS接

5、口、E1/CE1接口、V35同步接口、155MATM接口等，滿足各種廣域網(wǎng)接入要求。接入交換機(jī)：現(xiàn)有七臺(tái)接入交換機(jī)無光口，且性能偏低，無法滿足現(xiàn)有數(shù)據(jù)線速轉(zhuǎn)發(fā)要求，建議將現(xiàn)有7臺(tái)交換機(jī)升級(jí)為光口交換機(jī)，各大樓及樓層之間通過光纖直連，提升可靠性、分布性和易管理性。安全防護(hù)：目前公司只有一臺(tái)核心網(wǎng)關(guān)，并沒有相應(yīng)的安全設(shè)備，特新增一臺(tái)入侵防御系統(tǒng)，針對(duì)互聯(lián)網(wǎng)病毒、蠕蟲，黑客攻擊等入侵行為進(jìn)行檢測(cè)、報(bào)警和阻斷，提供安全檢測(cè)、流量分析、修正分析、及時(shí)準(zhǔn)確告警，更好地進(jìn)行風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)預(yù)警、系統(tǒng)和網(wǎng)絡(luò)脆弱性分析，構(gòu)建安全可靠的信息網(wǎng)絡(luò)，后期信息系

6、統(tǒng)的通入必然會(huì)有大量的數(shù)據(jù)，入侵防御系統(tǒng)是目前網(wǎng)絡(luò)安全領(lǐng)域較好的抵御設(shè)備，也是目前主流的安全設(shè)備，一般的使用年限在五年以上，考慮公司的成本問題建議采購(gòu)。增加入侵防御系統(tǒng)的原因：在網(wǎng)絡(luò)的運(yùn)行維護(hù)中，IT部門仍然發(fā)現(xiàn)網(wǎng)絡(luò)的帶寬利用率居高不下、而應(yīng)用系統(tǒng)的響應(yīng)速度越來越慢，只好提升帶寬并升級(jí)服務(wù)器嘍，可過不了多久問題再次出現(xiàn)。而實(shí)際上，業(yè)務(wù)增長(zhǎng)速度并沒有這樣快，業(yè)務(wù)流量占用帶寬不會(huì)達(dá)到這樣的數(shù)量，這是目前各大公司網(wǎng)絡(luò)都可能存在的問題。并不是當(dāng)初網(wǎng)絡(luò)設(shè)計(jì)不周，而是自2003年以來，蠕蟲、點(diǎn)到點(diǎn)，入侵技術(shù)日益滋長(zhǎng)并演變到應(yīng)用層面（L7）的結(jié)果，

7、而這些有害代碼總是偽裝成客戶正常業(yè)務(wù)進(jìn)行傳播，目前部署的防火墻其軟硬件設(shè)計(jì)當(dāng)初僅按照其工作在L2-L4時(shí)的情況考慮，不具有對(duì)數(shù)據(jù)流進(jìn)行綜合、深度監(jiān)測(cè)的能力，自然就無法有效識(shí)別偽裝成正常業(yè)務(wù)的非法流量，結(jié)果蠕蟲、攻擊、間諜軟件、點(diǎn)到點(diǎn)應(yīng)用等非法流量輕而易舉地通過防火墻開放的端口進(jìn)出網(wǎng)絡(luò)，如下圖所示：這就是為何用戶在部署了防火墻后，仍然遭受入侵以及蠕蟲、病毒、拒絕服務(wù)攻擊的困擾。事實(shí)上，員工的PC都既需要訪問Internet又必須訪問公司的業(yè)務(wù)系統(tǒng)，所以存在被病毒感染和黑客控制的可能，蠕蟲可以穿透防火墻并迅速傳播，導(dǎo)致主機(jī)癱瘓，吞噬寶貴網(wǎng)

8、絡(luò)帶寬，P2P等應(yīng)用，利用80端口進(jìn)行協(xié)商，然后利用開放的DP進(jìn)行大量文件共享，導(dǎo)致機(jī)密泄漏和網(wǎng)絡(luò)擁塞，對(duì)系統(tǒng)的危害極大。為了能夠讓防火墻具備深入的監(jiān)測(cè)能力，許多廠商都基于現(xiàn)有的平臺(tái)增加了L4-L7分析能力，但問題是僅僅