集团网络升级改造建设方案.docxVIP

---集团网络升级改造

建设方案

一、概述

网络是集团信息的根底设施，以集团为中心下属各分支机构及工程部通过与中心节点的连接，实现互联互通。此方案从网络入口、网络平安、数据加密、网站加密等平安防护方面出发，保障公司网络平安与数据互联的畅通。

原拓扑介绍：

外网接入：

目前公司大楼接入的电信带宽是100兆光纤，较难满足公司后期带宽的需求。

2网络层设备

核心路由器：设备接口为百兆而且是六年前采购的，相关配件已经停产。目前要想提速到300兆必须采购千兆接口路由器，因为千兆端口可以接收更多的并发访问数量，后期相关模块上线使用后会有大量的用户访问集团网络中心，带宽的扩容可以解决此问题。

层交换机：目前公司六层主楼加五层副楼只有四个光口交换机，从网络拓扑角度来讲应该是核心交换机通过光纤直连到层交换机，还需要采购七台光口交换机，保证300带宽可以到达弱电井，目前的设备只支持最多一百兆带宽到达弱电井，不能满足后期带宽的扩容。

核心网关：目前公司用的核心网关为2013年采购，且前段时间已升级必威体育精装版版本，完全符合公司的后期扩容要求，一般硬件厂家的支持升级年限为五年以上。

上网行为：标准和限制员工的设备，包括上班时间禁止看视频、下载大容量文件等，后期网络改造将进行手工配置ip地址的模式，每人都对应自己唯一的ip地址。

公司现在网络情况总结：百兆光纤接入，通过百兆路由器千兆交换机接入到弱电井，通过网络线接入到办公室，有相应的上网行为设备的控制，在效劳器区通过核心网关做映射与外网相连，同时起到平安防护的作用。缺点：用户访问外部网络没有平安设备，会造成后期网络访问的数据平安问题；效劳器区只有核心网关做防护，不能保证效劳器区的足够平安；各楼层没有光纤交换机，后期扩容带宽受限；网站没有足够防护，主要原应是访问量和数据交换较少，暂时不会有大量的数据，不会引起相关木马等的攻击。之所以公司网络是这个现状主要原因是当时集团大楼为临时大楼只为过度使用，申特对网络的要求也很低，同时在线人数也不会超过100人，网络负载根本满足。

网络整改后拓扑介绍

1、接入方式扩容：

光纤接入：原先为100兆，拟增加到300兆，考虑后期集团大楼人数的增加、应用系统的上线和视频会议的需要。

2、网络层设备：

核心路由器：更换千兆接口路由器，核心路由器作为各个接入机构的业务数据会聚点，需满足高性能、高稳定、接口丰富灵活、可扩展的要求，现有百兆路由器已经不满足需求，建议在出口替换成模块化核心路由器，保证高稳定性，用于各个机构的主链路接入，保证出口快速转发，并方便后期扩展，路由器支持光口、电口、155MCPOS接口、E1/CE1接口、V35同步接口、155MATM接口等，满足各种广域网接入要求。

接入交换机：现有七台接入交换机无光口，且性能偏低，无法满足现有数据线速转发要求，建议将现有7台交换机升级为光口交换机，各大楼及楼层之间通过光纤直连，提升可靠性、分布性和易管理性。

平安防护：目前公司只有一台核心网关，并没有相应的平安设备，特新增一台入侵防御系统，针对互联网病毒、蠕虫，黑客攻击等入侵行为进行检测、报警和阻断，提供平安检测、流量分析、修正分析、及时准确告警，更好地进行风险分析、风险预警、系统和网络脆弱性分析，构建平安可靠的信息网络，后期信息系统的通入必然会有大量的数据，入侵防御系统是目前网络平安领域较好的抵御设备，也是目前主流的平安设备，一般的使用年限在五年以上，考虑公司的本钱问题建议采购。

增参加侵防御系统的原因：在网络的运行维护中，IT部门仍然发现网络的带宽利用率居高不下、而应用系统的响应速度越来越慢，只好提升带宽并升级效劳器喽，可过不了多久问题再次出现。而实际上，业务增长速度并没有这样快，业务流量占用带宽不会到达这样的数量，这是目前各大公司网络都可能存在的问题。并不是当初网络设计不周，而是自2003年以来，蠕虫、点到点，入侵技术日益滋长并演变到应用层面〔L7〕的结果，而这些有害代码总是伪装成客户正常业务进行传播，目前部署的防火墙其软硬件设计当初仅按照其工作在L2-L4时的情况考虑，不具有对数据流进行综合、深度监测的能力，自然就无法有效识别伪装成正常业务的非法流量，结果蠕虫、攻击、间谍软件、点到点应用等非法流量轻而易举地通过防火墙开放的端口进出网络，如以下图所示：

这就是为何用户在部署了防火墙后，仍然遭受入侵以及蠕虫、病毒、拒绝效劳攻击的困扰。事实上，员工的PC都既需要访问Internet又必须访问公司的业务系统，所以存在被病毒感染和黑客控制的可能，蠕虫可以穿透防火墙并迅速传播，导致主机瘫痪，吞噬珍贵网络带宽，P2P等应用，利用80端口进行协商，然后利用开放的DP进行大量文件共享，导致机密泄漏和网络拥塞，对系统的危害极大。

为了能够让防火墙具