某企业网络改建升级方案.ppt

某企业网络系统升级建设方案 Connecting China and The World 目录 网络概述与建设原则 基础网络设计 网络安全设计 网络容灾设计 网络管理方案 网络后期优化建议 一.网络概述与建设原则 1.1 网络概述 现信息网络业务主要以C6500为企业核心交换设备，包括服务器在内所有网络统一通过C6500完成数据转发工作。 一.网络概述与建设原则 1.2 网络分析 单核心互联设计，无法毕免由设备故障引起的全网中断； 接入点及服务器点位的增加引起的内网流量急剧上升； 广域网出口低端FW的性能瓶颈导致的上网及访问发布服务速度过慢； 在网络中无任何QOS等管理方法； 接入二层设备品牌众多，增加网络管理支出 ； 前期网络有限的安全管理机制，无法抵御目前众多的网络攻击技术。 一.网络概述与建设原则 建设原则 网络信息中心建设按照如下原则进行： 高可靠性 ：能够应对线路切断、设备宕机、软件故障等突发事故的发生 网络安全性：充分保障企业生产数据的完整性、私密性和安全性，并有效抵御来自企业外部和企业内部的病毒、蠕虫和黑客攻击。 高性能 ：高速网络连接，提供优质的承载OA系统和其它应用系统网络平台 。 良好管理性要求 ：能够通过统一的管理方法定位网络故障点及快速确认故障原因 一.网络概述与建设原则 基础网络 网络安全 网络管理 网络优化 网络核心最高可达万兆吞吐量； 通过VRRP和OSPF实现所有线路的热备，达到良好的稳定性和可靠性； 为用户以及服务器提供高达千兆接入方式。 从外网，集团内网全面保证数据安全。 通过安全管理设备，全方位收集、定位网络设备流量信息安全日志； 提供基本的设备流量保护机制，优先管理重要业务数据； 建设目标 二.基础网络设计 二.基础网络设计 基础网络分析 核心使用两台配置H3C S9500，实现大流量交换。汇聚层为H3C S5800-32F，为各楼层用户提供万兆汇聚，接入层为S5100千兆，将未来用户桌面直接升级至千兆； 两台S9500使用双万兆Ether-Channel技术，使其达到高速万兆的吞吐量； 核心层配置VRRP，为汇聚提供冗余网关。 汇聚S5800配置万兆堆叠，简化设备管理数量； 双万兆光纤与核心跨交换机以太干道上联，保障数量带宽，提高汇聚设备及上行链路安全； 接入层配置万兆堆叠，千兆接入，统一管理的堆叠技术保证单一设备故障不影响其他终端访问。 二.基础网络设计 安全网络分析 核心双连接至出口IPS，可有效保证内网至外网恶意攻击，上联H3C FW高效阻断外网攻击； 双安全设备背靠背连接，为企业网络提供双层过滤安全； 双核心选配防火墙安全模块，集中保护内网、服务器访问安全； 安全管理中心集中收集设备流量信息并分类保存，为管理员提供全面的日志管理信息，为提早防御未知攻击提供保障； 多连接互通，确保即使一台核心、IPS、FW中断也不会影响整个内网用户访问。 二.基础网络设计 无线网络分析 无线网络以瘦AP为管理方式，C5800POE供电可有效节约布线成本及电源后期成本； 核心双控制器设计，任一台控制器的中断不会整个无线网络的中断； 三.网络技术分析 双核心及汇聚、接入堆叠 万兆上行、跨交换机以太干道 安全管理中心 被触发的告警列表 在拓扑中显示的攻击路径 当前显示的告警详细信息 告警清除、确认按钮 当前选中的告警 SecCenter A1000提供了攻击路径追踪功能，通过点击告警可在拓扑图中定位告警的来源和攻击路径； 三.网络安全设计 网络安全分析 安全访问网络策略分级 1.外网接入安全； 2.集团内网安全； 3.内网终端安全； 外网接入安全：在防火墙端对内网用户上网行为严格控制，应用层内容管理，强化用户上网安全使用规则； 合理部署统一部署为管理方式的病毒软件管理产品，通过优化用户病毒升级策略，通过安全使用培训 ，提升 用户安全使用电脑意识。 集团内网安全：在汇聚端正确管理服务器访问策略，将用户访问服务器应用权限控制在最小，提高病毒等恶意攻击由服务器感染而造成的全网瘫痪； 四.VLAN、IP、设备管理设计原则 ●按照部门、楼层等方式进行VLAN划分 　　●IP地址以方便汇聚、节约地址等原则重新规划　 ●VLAN统一由H3C独有VLAN自动管理协议由管理员统一在核心位置部署 ●设备所在位置、功能、使用方式统一对设备命名、密码设定 　　 －－－对网络传输环境的需求