《某项目网络改造设计方案.docx》由会员分享,可在线阅读,更多相关《某项目网络改造设计方案.docx(15页珍藏版)》请在优知文库上搜索。
1、XXXXXX工程PRPJEeT网络改造设计方案(2021年4月13日V,宏景科技有限公司ZgloryviewTechologyco.,ltd.文档更新记录版本号更新时间撰写/修订审核修改说明2021-04-13XXX初始版本目录1 .用户系统现状1原网络拓扑构造1原网络分析12 .系统建立需求1网络要求1设备要求13 .解决方案3网络系统改造设计3改造后网络拓扑构造44 .设备选型5设备清单一览表5设备产品资料54.2.1QuidwayS5300系列全千兆运营级交换机产品说明54.2.2天融信入侵防御系统TOPIDP产品说明84.3.3天融信防火墙系统TopGuard-NGFW4000系列产品
2、说明.101 .用户系统现状1.1 原网络拓扑构造1.2 原网络分析现有网络拓扑构造相对简单,直接从政务外网接入核心交换机,无法保障内网平安;核心采用了非网管交换机,对网络的管理造成不便;接入采用百兆交换机,无法满足高速开展的网络时代带来的巨大信息量的传输;三楼只接入了一台8口交换机,无法满足20个信息点的接入。2 .系统建立需求3 .1网络要求为各类应用系统提供方便、快捷的信息通路;具有良好的性能,能够支持大容量和实时性的各类应用;能够可靠运行,具有较低的故障率和维护要求。提供网络平安机制,满足信息平安的要求,未来升级扩展容易。整个网络系统采用千兆以太网IOOoM交换,网络协议采用TCP/I
3、P协议,交换机要求采用主流、成熟、信誉和售后效劳均佳的产品,核心交换机支持VLAN等功能,能较好解决突发数据量和密集效劳请求的实时响应问题,在内部用户终端进展数据交换时交换引擎不会出现过载现象和数据包碰撞、丧失的现象,还要考虑预防瓶颈出现和补救的相应措施。4 .2设备要求根据网络功能需求情况,楼层接入设备需要选择同一型号的设备;网络设备必须在技术上具有先进性、通用性,必须便于管理、维护,应该满足现有计算机设备的高速接入,应该具备良好的可扩展性、可升级性。网络设备在满足功能与性能的根底上必须具有良好的性价比。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品,同时设备厂商必须要有良好的市场形
4、象与售后技术支持。5 .解决方案5.1 网络系统改造设计针对原网络的缺乏及用户需求,现对原网络设计方案进展升级改造,改造后网络系统采用二层构造:核心局部核心采用了一台三层可管理交换机(华为5328C-EI-24S),该交换机具有24个1001000Base-X,4个10/100/1000Base-T千兆Combo口,解决了网络管理不便的问题并支持未来子网的扩展,转发性能96M,端口交换容量128G,板交换容量到达了256G,保证了巨大信息量的可靠传输及交换。接入局部整个网络系统共有IlO个信息点,四楼使用两台华为5352C-SI千兆交换机直接接入核心交换机,该交换机具有48个101001000
5、BaseT端口,满足用户终端90个信息点接入需求的同时也保证了各个信息点数据的高速传输,三楼将原来的8口交换机改为24口交换机(华为5328C-SI),也保证了剩下20个信息点的接入,解决了原来三楼接入端口缺乏的问题。由于整个网络系统构造比拟简单,传输距离较短,所有交换机具有IoOobaSer端口,所以可采用超5类或6类双绞线连接整个网络,以节约网络系统改造本钱。平安方面,在政务外网与核心交换机之间接入防火墙(天融信NGFW4000系列的TG-4514)及入侵防御系统(天融信TOPn)P2000系列的T统2230-IDP),该防火墙集成了多种平安引擎,不但有内置的攻击检测能力,还可以和IPS产
6、品实现联动。这不仅提高了平安性,还保证了高性能,是国内平安功能最丰富的防火墙产品。入侵防御系统TI-2230-IDP可分析网络攻击的组合行为特征来准确识别各种攻击,可以智能地识别出多种攻击隐藏手段及变种攻击。通过智能化检测引擎,能够识别出多种高危网络行为,并可以将此类行为以告警方式通知管理员,到达防患于未然的目的。同时具有强大的木马检测与识别能力,完善的应用攻击检测与防护能力,丰富的网络应用控制能力和及时的应急响应能力,使得内网平安性大大提高。而且,两者都具有硬件ByPaSS功能,即使平安设备出现故障,也不影响整个网络的连通性。改造后网络构造不仅满足用户现有需求,同时对未来网络构造做好扩展准备
7、。改造后的网络系统具有如下特性:L先进性:系统具有高速传输的能力。系统传输速率到达IOooMbs,同时具有较高的带宽,满足现在和未来数据信息传输的需求;2 .灵活性:系统具有较高的适应变化的能力。当用户的物理位置发生变化时可以在非常简便的调整下重新连接;3 .实用性:系统具有低本钱、使用方便、简单、易扩展的特点。4 .平安性:在核心机与政务外网间接入防火墙和入侵防御系统,大大提高了整个网络系统的平安性。3.2改造后网络拓扑构造4.设备选型设备清单一览表楼层设备类型名称数量设备配置信息四楼交换机华为5328C-EI-24S1端口描述:24个100/IOOOBase-X,4个10/100/IOOO
8、Base-T千兆Combo口;转发性能96M,端口交换容量128G,板交换容量256G:华为5352C-SI2端口描述:48个10/100/1000BaSe-T,上行支持2IOGEXFP,4IOOOBase-XSFP,210GESFP+或者4IOGESFP+插卡,双电源,可插拔:转发性能132M,端口交换容量176G,板交换容量256G;IPSTopIDP2000TI-2230-IDP1IU机架式构造:最大配置为26个接口,默认包括2个可插拔的扩展槽和10个10/100/1000BASE-T接口,(作为HA口和管理口):默认含1年特征库升级吞吐量)2.66:最大并发连接数60W:IPS性能60
9、0M:具有硬件Bypass功能防火墙NGFW4000TG-45141IU机架式构造:最大配置为12个接口,包括4个10/100/1000BASE-T接口和1个扩展槽吞吐量IG最大并发连接数160W三楼交换机华为5328C-SI1端口描述:24个101001000Base-T,4个1001000Base-X千兆Combo口,上行支持2IOGEXFP、4XIOOOBase-XSFP.2X10GESFP+、4IOGESFP+插卡,双电源,可插拔,支持USB口:转发性能96M,端口交换容量128G,板交换容量256G;设备产品资料4.2.1QuidwayS5300系列全千兆运营级交换机产品说明产品概述
10、QUidwayS5300系列全千兆交换机(以下简称S5300),是华为公司为满足大带宽接入和以太网多业务会聚而推出的新一代全千兆高性能以太网交换机,可为客户提供强大的以太网功能效劳。S5300基于新一代高性能硬件和华为公司统一的VRP(VersatileRoutingPlatform)软件,具备大容量、高密度千兆端口,可提供万兆上行,充分满足客户对高密度千兆和万兆上行设备的需求。S5300可满足运营商园区网会聚、企业网会聚、IDC千兆接入以及企业千兆到桌面等多种场合的需求。产品外观S5328C-EI-24S:24个100/1000BaSe-X,4个101001000Base-T千兆Combo口
11、,上行支持2XIOGEXFP、4IOOOBase-XSFP210GESFP+410GESFP+插卡,双电源,可插拔;S5352C-SI:48个10/100/1000Base-T,上行支持2X1OGEXFP、4XlOOOBase-XSFPs2X10GESFP+、4X10GESFP+插卡,双电源,可插拔,支持USB口;S5328C-SI:24个10/100/IOOOBase-T,4个100/1000Base-X千兆Combo口,上行支持2XIOGEXFP、4IOOOBase-XSFP2IOGESFP+410GESFP+插卡,双电源,可插拔,支持USB口;产品特点强大的多业务支持能力S5300支持增
12、强型灵活QinQ功能,确保灵活的外层VLAN标签功能的同时不占用ACL资源。S5300能将内层VLAN的CoS值映射到外层VLAN,或者修改外层VLAN的CoS值,可根据业务需要灵活标记QoS等级,满足多业务承载的要求。S5300支持IGMPSnooping/IGMPv3snooping/FilterFastLeave/Proxy等协议。S5300支持线速的跨VLAN组播复制功能,支持捆绑端口的组播负载分担,支持可控组播,可以充分满足IPTV和其他组播业务的需求。S5300支持MCE功能,实现了不同VPN用户在同一台设备的隔离,有效解决用户数据平安问题,同时降低用户投资本钱。免维护易部署S53
13、00采用“一次进站方案,支持自动配置、即插即用、USB开局、自动批量远程升级功能,便于部署升级和业务发放,简化后续的管理和维护性能。从而大大降低了维护本钱。S5300支持SNMPV1V2V3,CLI命令行、Web网管、TELNET.HGMP集群管理等多样化的管理和维护方式,设备管理更加灵活。支持NTP、SSHV2.0、TACACS+、RMONs多日志主机、基于端口的流量统计,支持NQA网络质量分析,有利于进一步作好网络规划和改造。良好的可扩展性S5300系列交换机支持智能堆叠iStack功能,完全即插即用,插好堆叠线缆即可自动组建堆叠虚拟框式架构。堆叠成员分为主、备、从三种角色。新增备交换机之
14、后减少了主交换机故障引起的业务中断时间。支持智能升级,排除用户给堆叠扩容时为新参加交换机更换软件版本的烦恼。堆叠技术允许交换机利用互联电缆实现多台设备的扩展,单一IP管理,大大降低系统扩展以及运维的本钱。与传统组网技术相比,在扩展性、可靠性、整体架构等性能方面均具有强大的优势。简单的可管理特性S5300支持GVRP实现动态分发、注册和传播VLAN属性,从而到达减少网络管理员的手工配置量及保证VLAN配置正确的目的。GVRP是一种VLAN的动态配置技术,在复杂的组网环境中应用GVRP,能够简化VLAN配置管理,减少因为配置不一致而导致的网络互通问题。S5300支持WXVLAN功能。MUXVLAN
15、提供了一种在VLAN的端口间进展二层流量隔离的机制。采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。MlJXVLAN通常用于企业内部网,客户端口可以同效劳器端口通讯,但客户端口之间不能通讯。用来防止连接到某些接口或接口组的网络设备之间的相互通信,但却允许与默认网关进展通信。产品规格天融信入侵防御系统TopIDP产品说明产品概述天融信公司的“网络卫士入侵防御系统TopIDP”是基于新一代并行处理技术,它通过设置检测与阻断策略对流经TOPIDP的网络流量进展分析过滤,并对异常及可疑流量进展积极阻断,同时向管理员通报攻击信息,从而提供对网络系统内部IT资源的平安保护。TopIDP能够阻断各种非法攻击行为,比方利用薄弱点进展的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等,平安地保护内部IT资源。TOPn)P采用多核处理器硬件平台,将并行处理技术融入到天融信自主研发的平安操作系统ToS中,保证了ToPlDP产品可以做到更高性能地网络入侵的防护。公司内攻防实验室会跟踪分析最新的漏洞和导致的攻击行为,及