中小企业网络改造方案.doc

伍子醉网络改造方案 目 录 一、目前的网络情况及特点 3 二、解决方案及效果 4 2.1 虚拟局域网 4 2.2 网络访问控制 5 2.3 PC准入控制 5 3.4 上网行为管理 5 三、方案产品 6 四、改造后的网络拓扑结构图及特点 7 4.1 改造后的网络拓扑结构图 7 4.2 新拓扑图的特点 7 一、目前的网络情况及特点 现有网络无法进行安全管理及控制，缺乏可管理与安全性，一旦网络出现病毒及网络攻击现象，将会涉及到个别部门内部数据丢失及影响相关的业务运作。 1.1 采用普通傻瓜式交换机 目前全所各部门采用的交换机基本上为TP-LINK、D-LINK 10/100M傻瓜式桌面型交换机，这些交换机都是普通二层交换机，功能就是进行数据转发。既没有最基本的网管功能，也无法登进交换机查看交换机状态、无法查看网络流量状态、无法根据网络的新需求进行新的配置等。 1.2 各部门小局域网内所有电脑及外接设备在同一个子网 各部门间的外网用交换机组成的小局域网，里面所有电脑、服务器、网络设备及相关打印设备都在同一个网络内，这意味着这些设备之间可以任意的互连互通，任意一台电脑感染病毒或受黑客控制的时候，可以直接影响网内的所有电脑及外接设备。严重时可导致系统瘫痪及硬盘数据丢失。 1.3电信与移动线路之间产生互连互通的问题 目前公司拥有财务ERP服务器一台，服务器位于老厂，新厂通过广域网访问老厂服务器，但是在实际应用过程中经常发生连接服务器不畅通、掉线和访问速度非常慢等问题，原因是因为新厂使用移动的网络，而老厂使用的是电信的网络，两大运营商之间由于竞争关系而给对方网络做出相关限制，也就是所谓的互连互通问题，最终也就导致了新厂访问老厂服务器造成的一些问题，通信不畅通，而移动公司经多少解决也是治标不治本，也只是暂时解决问题，而一段时间后同样的问题还是会产生。 1.4 外来电脑可任意接入无法监管与控制 外来笔记本和其它外接设备可以任意接入所内的任一网络，其电脑上所带的病毒、木马、恶意工具会影响所内其它电脑以及服务器的安全。特别是所内个别重要部门，只要外来笔记本接入其网内，该计算就可以利用木马程序窃取该部门网内计算机里的重要数据及文档，以至于造成泄密事件的发生。 1.5 上网行为存在安全因素 访问不安全网站，如暴力、黄色、赌博、股票等与业务无关网站，会导致病毒和木马进入该计算机。以至于造成系统瘫痪或数据丢失。 员工上班时间下载电影或是在线看视频资料，会占用极大的带宽资源，导致业务开展所需要的带宽不够，上网变慢。 员工上班时间看新闻，军事，足球，玩网络游戏，炒股票等等会影响到员工的工作效率。 二、解决方案及效果 2.1 改造方案 根据我所目前的现场环境及所要达到的效果，现有两套施工方案。 2.2 网络访问控制 此次外网改造，骨干网不管是从线路还是所采用的设备都是以千兆网的标准进行设计和施工的。特别是此次所采用的设备采用的的是华为或者H3C智能型企业级交换机。此类企业级交换机是全千兆二层智能以太网交换产品，广泛应用于企业网和园区网的接入和汇聚层，是具有高密度的全千兆以太网端口、丰富的业务特性、便捷的WEB配置，为用户提供高性能、低成本、可WEB网管的千兆解决方案，是千兆汇聚或接入的理想选择。提供24个千兆电口、4个千兆上行COMBO端口（光电复用，光口支持SFP光模块）和一个Console配置端口。S5024P支持通过命令行、Web和telnet登录进行配置。NS-3110系列网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款软硬件一体化、性能卓越的互联网控制管理产品。NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查，内容留存审计，结果分析等功能查看上线用户的网络使用时间与流量信息，及时发现异常用户并加以处理全面了解用户上网行为，包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动对于用户通过邮件、聊天、论坛等外发的言论信息进行合理监控，及时过滤有害信息终端用户准入20余种用户身份识别/认证方式，确保入网用户身份合法有效，避免外来隐患对计算机终端环境进行管理，帮助管理者实施计算机准入规范如：必须安装杀毒软件方可上网；禁止安装、运行与工作无关的应用程序等三、方案产品 序号 品牌型号 数量 安装位置 功能及特性 作用 1 华为3800 一台 中心机房 支持VLAN、组播、QOS、802.1X、SNMP、STP、IP Source Guard 具备防雷能力、功耗低、无风扇自动散热等特性 根据电脑属于不同的应用部门，将电脑划分到不同的虚拟局域网中 2 CISCO 3750 一台 支持路由、ACL、VLAN、组播、Q