《网络改造方案-》由会员分享,可在线阅读,更多相关《网络改造方案-(19页珍藏版)》请在金锄头文库上搜索。
1、黄冈矿业网络改造方案内蒙古万德系统集成有限责任公司2011-10-11目录1用户需求分析- 2 -1.1项目改造内容- 2 -1.2项目设计原则- 3 -1.2.1设计原则- 3 -1.2.2建设原则- 5 -1.3项目设计思想- 5 -2项目整体解决方案- 6 -2.1网络现状- 6 -2.1.1现网拓扑- 6 -2.1.2网络存在问题- 6 -2.2改造建议- 7 -2.2.1改造拓扑及描述- 7 -2.2.2改造后优势- 8 -3网络系统- 8 -3.1组网方案- 8 -3.1.1组网拓扑- 8 -3.1.2分层网络设计- 9 -3.1.3IP地址规划- 10 -3.1.4IPv4地址规
2、划- 12 -3.1.5IPv4路由规划- 13 -3.1.6Vlan设计- 13 -3.2网络优化系统- 16 -3.2.1上网行为管理- 16 -3.2.2网络安全审计- 19 -4安全与管理系统- 21 -1 用户需求分析内蒙古黄岗矿业有限责任公司的前身是内蒙古赤峰黄岗铁矿,1993年筹建,1996年投产,是克旗人民政府下属的全民所有制企业。2000年3月23日,中共克旗委第66次会议决定,企业改制为有限责任公司。公司更名为“内蒙古黄岗矿业有限责任公司”,由集通公司以承债的方式购买企业的主要产权,控股经营企业。2000年4月20日各方签定关于设立内蒙古黄岗矿业有限责任公司协议书规定:注册
3、资本总额为2400万元人民币。2003年9月15日,中共克旗委第38次常委会议决定,同意内蒙古黄岗矿业有限责任公司增资扩股,由包头钢铁(集团)有责任公司控股。同时根据内蒙古黄岗矿业有限责任公司章程修整案的规定,增设包头钢铁(集团)有限责任公司为新任股东。增设股东后的内蒙古黄岗矿业有限责任公司股东为6个,注册资本金为8139万元,即包头钢铁(集团)有限责任公司出资人民币5000万元,占注册资本金的61.4%,内蒙古集通铁路有限责任公司出资人民币1679万元,占注册资本金的20.6%,克什克腾旗人民政府出资人民币660万元,占注册金的8.1%,内蒙古赤峰地质矿产勘察开发院出资人民币646万元,占注
4、册资本金的7.9%,克旗农电局出资人民币65万元,占注册资本金的0.8%,自然人出资人民币89万元,占注册金的1.2%。2004年9月22日,内蒙古黄岗矿业有限责任公司股东会2004年第一次临时会议同意克旗政府把自己拥有的公司6%的股份以600万元人民币的价格协议转让给莲池控股有限公司,克旗政府的股东比例由8.1%减至2.1%。其他股东的股权比例不变。2005年8月,在克旗旗委政府的协调下,由内蒙古黄岗矿业有限责任公司将仍在三区边缘地带采矿的“克旗黄岗矿业有限责任公司” 以1500万元的价格收购。从此,形成了黄岗一,二,三,四区由内蒙古黄岗矿业有限责任公司独家采选的局面。1.1 项目改造内容本
5、次项目针对现网存在的问题,提出改造及完善建议。尤其针对出口安全及内网互联作出详细描述。1.2 项目设计原则1.2.1 设计原则设计原则是系统设计时必须要考虑的总体原则,它必须满足系统设计目标中的要求,遵循系统性整体性、先进性和可扩充性原则,建立经济合理、资源优化的系统设计方案。系统平台作为黄冈矿业的一项重要的基础设施,为用户总体规划和技术要求提供保障,以便为用户提供一个先进、灵活、可靠、基于标准的多业务、多应用平台,不仅能够满足目前各种业务和应用要求,同时可为今后的发展及其业务、应用提供良好的扩展支持能力。因此,我们在进行方案设计时,应遵循以下设计原则。1.2.1.1 先进性与合理性相结合的原
6、则在本项目方案设计中,应“立足现在,着眼未来”,在保证技术成熟及性能稳定的前提下,顺应主流技术的发展趋势,充分采用当今国内、国际上最先进的计算机软硬件技术和设备,使本项目系统能够最大限度地适应今后技术发展和业务发展变化的需要。其中,采用的系统结构应当是先进的、开放的体系结构。1.2.1.2 可靠性和稳定性相结合的原则为保证黄冈矿业各项业务和应用顺利进行,网络系统和IT基础平台必须具有较高的可靠性和稳定性,要对网络结构、网络设备、服务器设备、配套设备和环境设施等多个方面进行高可靠性、高稳定性的系统设计与配置。首先,在设备选型上要选择成熟、可靠、稳定的产品;其次,要在系统整体结构与连接方式上对可靠
7、性和稳定性进行充分考虑,要采用切实有效的系统冗余备份方式,提供高效的自愈能力,并在采用硬件备份、设备冗余等可靠性、稳定性技术的基础上,采用相关的软件技术提供较强的管理控制机制和事故监控手段,从而充分保障系统是持续可用的。1.2.1.3 实用性和可管理性相结合的原则应采用成熟、实用的技术满足当前的应用需求,同时兼顾其它应用及系统发展的运行需求,尽可能延续原有的设备、并保证与原有系统兼容。同时,应使用先进且实用的技术以适应更高的数据、信息的传输、处理需要,使整个系统在一段时期内保持技术的先进性,并具有良好的发展潜力,以适应未来信息化的发展和技术升级的需要。1.2.1.4 可扩展性和开放性相结合的原
8、则为保证本项目系统符合当今技术飞速发展的趋势,并满足系统发展的需要,在方案设计中必须充分考虑网络和服务器系统将来的扩展能力。其中,网络必须能够根据信息化的不断深入发展,方便地扩展覆盖范围、扩大网络容量和提高网络各层次节点的功能。本项目系统这种工程应具备与多种协议的计算机通信网络互连互通的能力,因此为确保本项目系统基础设施的作用可以充分发挥,在结构上必须真正实现开放,采用基于国际开放式的标准,包括各种广域网、局域网、计算机,坚持统一规划的原则,从而为未来的业务发展奠定基础。1.2.1.5 安全性和保密性相结合的原则安全性是本项目系统运行的生命线,在本方案设计中应给予充分考虑。国家对信息安全问题十
9、分重视,信息产业部、中办机要局、国家密码管理委员会等有关部门对网络的信息安全问题制定了许多相应法规、规定,如中华人民共和国保守国家秘密法、计算机信息系统保密暂行规定、涉及国家秘密的通信办公自动化和计算机信息系统审批暂行办法等。本项目的安全性方案应严格按照信息安全主管部门的有关规定设计,使本项目系统成为一个安全的通信平台,并确保系统信息传输的安全。本项目安全体系方案设计的原则是:1、整个系统必须是一个严密的安全体系;2、采取的安全措施不能影响整个网络的运行效率;3、系统设计应具有完善的安全管理机制,以保证网络和数据的安全;4、保证各个环节的安全保密,统筹规划;5、安全方案的制订和实施应遵循国家系
10、统安全的相关规定。1.2.2 建设原则建设应遵循如下指导原则: 统一领导,统一规划,统一标准。 以应用带发展,以效益促应用,分步实施,逐步完善。 网络结构稳定,易于升级、扩展;应用系统灵活,易于共享、沟通。 网络安全,信息保密,稳定可靠,高效运行。 综合考虑整体性、实用性、先进性和经济性。 利用现有资源满足业务急需,保持持续发展。 管理运行体系与工程建设同步进行。1.3 项目设计思想1、组建安全、可靠、快速的三层汇聚交换网络。2、采用先进、成熟的技术3、保证原有系统的完整性和业务不中断4、旧系统的搬迁和新旧系统的无缝融合,软硬件应平滑过渡和升级5、采用高可靠、可扩展的设备和架构2 项目整体解决
11、方案2.1 网络现状2.1.1 现网拓扑2.1.2 网络存在问题1. 防火墙承担安全策略及路由NAT功能,X86架构的CPU不能满足用户及出口带宽的增长,造成网速变慢甚至CPU超负荷后断网。2. 核心交换机未启用三层功能,网关在防火墙上,内网用户通信流量再次转嫁至防火墙。3. 用户上网行为不能监控,员工带宽不能限制,造成资源浪费。4. 矿区之间使用光电转换器的不可靠连接,增加了故障率。5. 用户普遍使用TP-LINLK作为接入设备,不方便管理。6. 安全策略、路由协议等较落后,不满足现网需求。2.2 改造建议2.2.1 改造拓扑及描述二区新增核心路由及核心交换机,新增上网行为管理设备。一区、三
12、区、四区、尾矿新增汇聚交换机。原有接入交换机作为用户接入设备,原设备均利旧使用,不造成资源浪费。内网安全策略、路由协议均重新规划。2.2.2 改造后优势1. 新增路由器启用NAT功能、分担防火墙压力,防火墙只做安全策略。2. 新增核心交换机启用三层功能,划分VLAN,优化内网环境并提供光接口。3. 替换所有光电转换器为光接入交换机,较少线路故障率。4. 原设备均利旧使用,不造成资源浪费。5. 新增用户行为及审计功能。6. 合理化的带宽分配,不会因员工下载造成网速缓慢。7. 重新调试的网络策略更适于现在使用情况。3 网络系统3.1 组网方案网络做为一个系统的传输平台,它为业务系统提供了可靠传输通
13、道,是业务系统的支撑系统,是一个系统的路,是一个单位信息化的基础。3.1.1 组网拓扑目前,组网的拓扑结构设计中通常采用三种结构:星型、网状和部分网状结构。拓朴结构星型结构(Star):星型结构是指所有的外围设备通过单一链路连接到处于网络中心的核心设备上。星型结构的优点是节约线路开支,网络结构简单,易于增容与维护;但对中心设备与连接链路有依赖性,容易出现单点故障,要求中心节点必须保证高可靠性。在网络络设计中,针对主干框架的选择应充分考虑网络性能、维护难易程度以及可靠性等因素,同时也要考虑系统的性价比,从而权衡利弊,作出最为符合实际情况的结构方案。3.1.2 分层网络设计优良的拓扑结构是网络稳定
14、、可靠运行的基础。一个大规模的局域网络系统往往被分为几个较小的部分,它们之间既相对独立又互相关联,这种化整为零的做法是分层进行的。通常网络拓扑的分层结构包括三个层次,即核心层、分布层和接入层。每一层都有其自身的规划目标:核心层处理高速数据流,其主要任务是数据包的交换。分布层负责聚合路由路径,收敛数据流量。接入层将流量馈入网络,执行网络访问控制,并且提供相关边缘服务。网络大都是依照上面的分层原则设计的星型以太网,配合各种最新的技术如VLAN、TRUNK、Qos等,极大地提高了网络的性价。其逻辑结构如下图所示:3.1.3 IP地址规划IP地址的合理规划是网络设计中的重要一环,大型计算机网络必须对地
15、址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。在网络设计中IP编址方案的设计非常重要,它将直接影响网络的运行效率。为了使网络达到最高的运行效率,在设计IP编址方案时要遵从以下原则:1、IP地址分层设计IP地址分层设计是指在分配IP地址时参考物理网络设计的层次结构和网络应用的逻辑层次结构,按层次划分IP地址。在分层设计中将地址按层次化结构进行分配,可有效避免随机分配所带来的地址浪费的可能性,使IP地址资源得到最有效的利用。在网络设计中,我们都要尽可能使路由表保持简洁,由于使用分层地址设计,使得路由总结技术的使用成为可能,它意味着计算路由和查找路由表时占用路由器CPU时间的减少、路由内存需求的减少。2、使用变长子网掩码变长子网掩码(VLSM)是指一个网络可以分层次配置不同的掩码。把一个网分成多个子网时,变长子网掩码解决了子网数和主机数的可能冲突,保证更大的灵活性。如果没有VLSM,一个子网掩码只能提供给所有子网,可能造成不必要的地址浪费。VLSM还带来另外的好处就是可以
