- 1、本文档共22页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
某企业网络改建升级方案
某企业网络系统升级建设方案
Connecting China and The World
目录
网络概述与建设原则
基础网络设计
网络安全设计
网络容灾设计
网络管理方案
网络后期优化建议
一.网络概述与建设原则
1.1 网络概述
现信息网络业务主要以C6500为企业核心交换设备,包括服务器在内所有网络统一通过C6500完成数据转发工作。
一.网络概述与建设原则
1.2 网络分析
单核心互联设计,无法毕免由设备故障引起的全网中断;
接入点及服务器点位的增加引起的内网流量急剧上升;
广域网出口低端FW的性能瓶颈导致的上网及访问发布服务速度过慢;
在网络中无任何QOS等管理方法;
接入二层设备品牌众多,增加网络管理支出 ;
前期网络有限的安全管理机制,无法抵御目前众多的网络攻击技术。
一.网络概述与建设原则
建设原则
网络信息中心建设按照如下原则进行:
高可靠性 :能够应对线路切断、设备宕机、软件故障等突发事故的发生
网络安全性:充分保障企业生产数据的完整性、私密性和安全性,并有效抵御来自企业外部和企业内部的病毒、蠕虫和黑客攻击。
高性能 :高速网络连接,提供优质的承载OA系统和其它应用系统网络平台 。
良好管理性要求 :能够通过统一的管理方法定位网络故障点及快速确认故障原因
一.网络概述与建设原则
基础网络
网络安全
网络管理
网络优化
网络核心最高可达万兆吞吐量;
通过VRRP和OSPF实现所有线路的热备,达到良好的稳定性和可靠性;
为用户以及服务器提供高达千兆接入方式。
从外网,集团内网全面保证数据安全。
通过安全管理设备,全方位收集、定位网络设备流量信息安全日志;
提供基本的设备流量保护机制,优先管理重要业务数据;
建设目标
二.基础网络设计
二.基础网络设计
基础网络分析
核心使用两台配置H3C S9500,实现大流量交换。汇聚层为H3C S5800-32F,为各楼层用户提供万兆汇聚,接入层为S5100千兆,将未来用户桌面直接升级至千兆;
两台S9500使用双万兆Ether-Channel技术,使其达到高速万兆的吞吐量;
核心层配置VRRP,为汇聚提供冗余网关。
汇聚S5800配置万兆堆叠,简化设备管理数量;
双万兆光纤与核心跨交换机以太干道上联,保障数量带宽,提高汇聚设备及上行链路安全;
接入层配置万兆堆叠,千兆接入,统一管理的堆叠技术保证单一设备故障不影响其他终端访问。
二.基础网络设计
安全网络分析
核心双连接至出口IPS,可有效保证内网至外网恶意攻击,上联H3C FW高效阻断外网攻击;
双安全设备背靠背连接,为企业网络提供双层过滤安全;
双核心选配防火墙安全模块,集中保护内网、服务器访问安全;
安全管理中心集中收集设备流量信息并分类保存,为管理员提供全面的日志管理信息,为提早防御未知攻击提供保障;
多连接互通,确保即使一台核心、IPS、FW中断也不会影响整个内网用户访问。
二.基础网络设计
无线网络分析
无线网络以瘦AP为管理方式,C5800POE供电可有效节约布线成本及电源后期成本;
核心双控制器设计,任一台控制器的中断不会整个无线网络的中断;
三.网络技术分析
双核心及汇聚、接入堆叠
万兆上行、跨交换机以太干道
安全管理中心
被触发的告警列表
在拓扑中显示的攻击路径
当前显示的告警详细信息
告警清除、确认按钮
当前选中的告警
SecCenter A1000提供了攻击路径追踪功能,通过点击告警可在拓扑图中定位告警的来源和攻击路径;
三.网络安全设计
网络安全分析
安全访问网络策略分级
1.外网接入安全;
2.集团内网安全;
3.内网终端安全;
外网接入安全:在防火墙端对内网用户上网行为严格控制,应用层内容管理,强化用户上网安全使用规则;
合理部署统一部署为管理方式的病毒软件管理产品,通过优化用户病毒升级策略,通过安全使用培训 ,提升 用户安全使用电脑意识。
集团内网安全:在汇聚端正确管理服务器访问策略,将用户访问服务器应用权限控制在最小,提高病毒等恶意攻击由服务器感染而造成的全网瘫痪;
四.VLAN、IP、设备管理设计原则
●按照部门、楼层等方式进行VLAN划分 ●IP地址以方便汇聚、节约地址等原则重新规划
●VLAN统一由H3C独有VLAN自动管理协议由管理员统一在核心位置部署
●设备所在位置、功能、使用方式统一对设备命名、密码设定
---对网络传输环境的需求
文档评论(0)