网络改造设计方案.docVIP

目录 1. 用户系统现状 1 1.1 原网络拓扑结构 1 1.2 原网络分析 1 2. 系统建设需求 2 2.1 网络要求 2 2.2 设备要求 2 3. 解决方案 3 3.1 网络系统改造设计 3 3.2 改造后网络拓扑结构 5 4. 设备选型 6 4.1 设备清单一览表 6 4.2 设备产品资料 6 4.2.1 Quidway? S5300系列全千兆运营级交换机产品说明 6 4.2.2 天融信入侵防御系统TopIDP产品说明 11 4.3.3 天融信防火墙系统TopGuard-NGFW4000系列产品说明 14 用户系统现状 原网络拓扑结构 原网络分析 现有网络拓扑结构相对简单，直接从政务外网接入核心交换机，无法保障内网安全；核心采用了非网管交换机，对网络的管理造成不便；接入采用百兆交换机，无法满足高速发展的网络时代带来的巨大信息量的传输；三楼只接入了一台8口交换机，无法满足20个信息点的接入。 系统建设需求 网络要求 为各类应用系统提供方便、快捷的信息通路；具有良好的性能，能够支持大容量和实时性的各类应用；能够可靠运行，具有较低的故障率和维护要求。提供网络安全机制，满足信息安全的要求，未来升级扩展容易。 整个网络系统采用千兆以太网1000M交换，网络协议采用TCP/IP协议，交换机要求采用主流、成熟、信誉和售后服务均佳的产品，核心交换机支持VLAN等功能，能较好解决突发数据量和密集服务请求的实时响应问题，在内部用户终端进行数据交换时交换引擎不会出现过载现象和数据包碰撞、丢失的现象，还要考虑预防瓶颈出现和补救的相应措施。 设备要求 根据网络功能需求情况，楼层接入设备需要选择同一型号的设备；网络设备必须在技术上具有先进性、通用性，必须便于管理、维护，应该满足现有计算机设备的高速接入，应该具备良好的可扩展性、可升级性。网络设备在满足功能与性能的基础上必须具有良好的性价比。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品，同时设备厂商必须要有良好的市场形象与售后技术支持。 解决方案 网络系统改造设计 针对原网络的不足及用户需求，现对原网络设计方案进行升级改造，改造后网络系统采用二层结构： 核心部分 核心采用了一台三层可管理交换机(华为5328C-EI-24S)，该交换机具有24个100/1000Base-X,4个10/100/1000Base-T千兆Combo口，解决了网络管理不便的问题并支持未来子网的扩展，转发性能96M，端口交换容量128G，板交换容量达到了256G，保证了巨大信息量的可靠传输及交换。 接入部分 整个网络系统共有110个信息点，四楼使用两台华为5352C-SI千兆交换机直接接入核心交换机，该交换机具有48个10/100/1000Base-T端口，满足用户终端90个信息点接入需求的同时也保证了各个信息点数据的高速传输，三楼将原来的8口交换机改为24口交换机（华为5328C-SI），也保证了剩下20个信息点的接入，解决了原来三楼接入端口不足的问题。 由于整个网络系统结构比较简单，传输距离较短，所有交换机具有1000base-T端口，所以可采用超5类或6类双绞线连接整个网络，以节约网络系统改造成本。 安全方面，在政务外网与核心交换机之间接入防火墙（天融信NGFW4000系列的TG-4514）及入侵防御系统（天融信TopIDP2000系列的TI-2230-IDP），该防火墙集成了多种安全引擎，不但有内置的攻击检测能力，还可以和IPS产品实现联动。这不仅提高了安全性，还保证了高性能，是国内安全功能最丰富的防火墙产品。入侵防御系统TI-2230-IDP可分析网络攻击的组合行为特征来准确识别各种攻击，可以智能地识别出多种攻击隐藏手段及变种攻击。通过智能化检测引擎，能够识别出多种高危网络行为，并可以将此类行为以告警方式通知管理员，达到防患于未然的目的。同时具有强大的木马检测与识别能力，完善的应用攻击检测与防护能力，丰富的网络应用控制能力和及时的应急响应能力，使得内网安全性大大提高。而且，两者都具有硬件Bypass功能，即使安全设备出现故障，也不影响整个网络的连通性。 改造后网络结构不仅满足用户现有需求，同时对未来网络结构做好扩展准备。改造后的网络系统具有如下特性： 1.先进性：系统具有高速传输的能力。系统传输速率达到1000Mb/s, 同时具有较高的带宽，满足现在和未来数据信息传输的需求； 2.灵活性：系统具有较高的适应变化的能力。当用户的物理位置发生变化时可以在非常简便的调整下重新连接； 3.实用性：系统具有低成本、使用方便、简单、易扩展的特点。 4.安全性：在核心机与政务外网间接入防火墙和入侵防御系统，大大提高了整个网络系统的安全性。 改造后网络拓扑结构 设备选型 4.1 设备清单一览