茶马古道网络改造方案.doc

茶马古道网络改造方案 目 录 一、目前的网络情况及特点 2 二、解决方案及效果 3 2.1 虚拟局域网 3 2.2 网络访问控制 3 2.3 PC准入控制 3 3.4 上网行为管理 4 三、方案产品 4 四、改造后的网络拓扑结构图及特点 5 4.1 改造后的网络拓扑结构图 5 4.2 新拓扑图的特点 6 一、目前的网络情况及特点 目前网络结构的特点： 现在公司各办公室网络独立，不能资料共享，平常文件传输都是在公网上通过QQ传输，安全没有保障，后期会有ERP数据传输，这些公司内部数据是不能在公网上传输的。目前公司网络缺乏可管理性与安全性，一旦园区网络出现病毒及网络攻击现象，将影响公司内部所有IT设备及公司的业务运作。针对员工上网也没有控制，员工登陆系统的账号都是本地管理员账号，员工想访问什么就能访问什么，上网行为得不到控制；公司的上网网速被些后台程序占用；一些病毒通过文件传到公司等。 1、各办公室的网络独立 目前各办公司分别独立上网的路由器为tp-link傻瓜式路由器，二层也是普通傻瓜交换机，功能就是进行数据转发。无法登进交换机查看交换机状态、无法查看网络流量状态、无法根据网络的新需求进行新的配置。 2．外来电脑可任意接入 外来电脑和笔记本可以任意接进公司网络，其电脑上所带的病毒、木马、恶意工具会影响公司其它电脑以及服务器的安全。 3. 上网行为存在安全因素 访问不安全网站，如暴力、黄色、赌博、股票等与业务无关网站，会导致病毒和木马进入公司内部网站 员工上班时间下载电影或是在线看视频资料，会占用极大的带宽资源，导致业务开展所需要的带宽不够，收发邮件变慢 员工上班时间看新闻，军事，足球，玩网络游戏，炒股票等等会影响到员工的工作效率 二、解决方案及效果 2.1 虚拟局域网 如果根据网络应用的不同，建立几套完全独立的物理网络，这样做不可行，首先为这几套网络重新布线，工程量大，其次是不同的网络需要访问的资源不一样，将这些需要访问的资源再关联起来也不是一件容易的事情，因此建议采用虚拟局域网技术来达到网络隔离的目的。 虚拟局域网技术，在一个物理网络中，根据应用的不同，把不同的电脑划分到不同的虚拟局域网中，而这些不同的虚拟局域网之间是不可访问的，该技术成熟并得到广泛应用。 2.2 网络访问控制 在虚拟局域网的基础上，根据应用的不同，控制其可以访问的网络资源。 2.3 PC准入控制 在交换机端口上绑定公司电脑的MAC地址。当外来电脑接入到公司网络的时候，交换机会为外来电脑的MAC地址不属于公司网络，从而禁止外来电脑接入公司网络，从内部加强公司网络的安全性。 3.4 上网行为管理 管理网络带宽。根据各个部门业务需求不同，分配不同的最高带宽。同时也根据应用需求的带宽，给不同的业务分配不同的带宽。保障关键的员工和业务能够获得足够的带宽。 提升工作效率。针对URL,聊天工具，上网时间，应用程序进行管理，最大限度减少员工利用上网做与工作无关事情的时间。如通过URL库，禁止员工访问与业务无关的网站，只允许访问与工作相关的网站。同时对上千万条URL记录分为新闻，可根据需要禁止访问其中某些类的网站。 保障内网安全。阻止各类假冒网银和假冒网上证券等钓鱼网站，保护员工的合法权益。禁止色情，反动，邪教等非法网站。对传输文件格式进行控制，防止不安全格式的文件进入内网。防DOS攻击 三、方案产品 序号 品牌型号 数量 功能及特性 作用 价格 1 CISCO WS-C2960-48TC-L 4台 支持VLAN、组播、QOS、802.1X、SNMP、STP、IP Source Guard 具备防雷能力、功耗低、无风扇自动散热等特性 根据电脑属于不同的应用部门，将电脑划分到不同的虚拟局域网中 5200/台 2 CISCO WS-C3750-24TS-S 一台 支持路由、ACL、VLAN、组播、QOS、802.1X、SNMP、STP、IP Source Guard，具备防雷能力、大带宽、高性能、高可靠性等特性 各虚拟局域网的连接中心，控制虚拟局域网之间的访问及对服务器的访问规则 15500/台 3 CISCO 2811 一台 支持IEEE 802.3X协议和SNMP协议，VPN-虚拟专用网，QoS，协议支持很完善，Cisco ClickStart网管软件，采用Motorola MPC860 160MHz的处理器，配备最大256MB的Flash闪存和最大760MB的DRAM内存。有2个10/100Mbps局域网接口，广域网配有可选的WIC卡，还有4个HWIC插槽，1个NM插槽和1个Console控制端口CISCO WAP4410N 3台 网络标准：IEEE 802.11n、IEEE 802.11g、IEEE 802.11b、IEEE 802.3、IEEE80