《马鞍山某一企业网络优化方案》由会员分享,可在线阅读,更多相关《马鞍山某一企业网络优化方案(8页珍藏版)》请在金锄头文库上搜索。
1、马鞍山某一企业网络优化建议方案设计单位:马鞍山威奇隆科技有限公司设计时间:2009 年 12 月 24 日 目 录一、企业现有的网络概述 .1二、网络的优化需求 .2三、机房网络布线的优化 .2四、S3600 交换机的优化 .4五、H3C SecPath 100 防火墙的优化 .5 1一、企业现有的网络概述马鞍山某企业的建立的办公局域网络, 覆盖了整个的办公楼的终端用户,整个办公局域网络通过一条 10M 的光纤外网接入互联网。接入层布置了三台的华三的S2400 交换机,提供高带宽的端口接入,用于接入办公室的网络用户。所有的 S2400交换机通过网线汇聚到一台华三的 S3600 交换机。汇聚的
2、S3600 交换机主要用于汇聚接入层的网络流量,并提供各种网络服务和控制功能。由于该企业的办公局域网络需要接入互联网,因此布置了一台 H3C SecPath 100 防火墙用以保证办公局域网络的安全。 。汇聚的 S3600 交换机通过网线与 H3C SecPath 100 防火墙联接。H3C SecPath 100防火墙与 10M 的光纤互联。所有的网络设备都部署在一个机房内,并统一安装一个网络机柜。办公局域网络的整个拓扑图如下:如上图所示,整个的办公局域网络,通过 VLAN 的设计,将每一台的 S2400 交换机所接入的用户划分到单独的 VLAN 群。每个单独的 VLAN 群的用户通过 VL
3、AN 网关来访问互联网。H3C SecPath 100 防火墙用于外部互联网和内部的办公局域网络的隔离,和保证内部的办公局域网络访问外部互联网的环境安全。 2二、网络的优化需求依据企业用户对网络优化的需求,在这次的网络优化中,在尽量不改动原有的接入层用户的前提下,需要对原有的办公局域网络访问互联网进行进一步的优化改造,网络带宽得到有效的合理的分配和均衡,使之访问互联网较之前更畅通无阻。重新整理机房内的网络布线,使机房的布线整齐、有序,有利于网络管理员进行网络线的查找,定位和插拨,方便操作。三、机房网络布线的优化该企业的网络布线,从办公室到机房的所有水平布线都统一配接到机柜上的配线架上。因此,网
4、络布线的优化,着重于机柜上配线架上的端口的标签的标记和水平布线的定位,还有网络设备之间的互联跳线的整理。配线架上的端口的标签的标记和水平布线的定位,有利于迅速的查找办公网络的每一根网线,方便网络管理员进行故障的定位和网线的插拨。我们可以利用网络测试仪等设备,找出并定位出办公室到机柜上配线架的每一根网线。每一根网线,分别在配线架上相应的端口和办公室相应的网络面板上标贴上标识标签。标签的材料材质应该耐磨,不易掉色,粘性强。每一根网线两边的标签上所标识的内容应一样。所标识的内容简单,明了, 从标识的内容可以判断这根网线在某个楼层某个办公位置。如下图所示:在所有的网线经过测试定位并做好的标识标签后,可
5、以形成表格式的电子文件或文本文件。表格文件内容包含网线的的配线架端口编号,楼层、位置和描述等。如下 3表格样式:序号 配线架端口编号 楼层 位置 描述1 101 一楼 某某办公室 张三2 102 一楼 某某办公室 李四3 201 二楼 某某办公室 赵五4 202 二楼 某某办公室 某领导所形成的表格可以生成电子式或文本式,可供以后的维护中,备用查询。可以生成一张文本式,张贴在机柜的正面的玻璃门上,可时随时供查询。网络设备之间的互联跳线的整理,考虑到网络设备之间的跳线在以后的维护中,变动很少,甚至固定不变动,而且所有的设备都统一安装在同一个机柜内,设备相互之间的距离都很近,因此,设备之间的跳线,
6、我们采用手工制作。根据互联的网络设备之间的距离,制作合适长短的跳线,跳线的长短以互联设备的距离且不需缠绕为宜,并留有一点长度冗余量。所有的互联跳线的两头,应都标贴上标识标签。标识的内容应为对端所所连的设备和所接入的接口。如标识内容为“TOS2400 1E1/0/24 ”,表示这根互联跳线接往第一台 S2400 交换机的第 24 的以太网端口上。所有的网络设备应该在设备正面的位置,也应张贴标识标签,以方便的标识该设备,如用“S2400 交换机 1、S2400 交换机2、 S2400 交换机3”来标识三台S2400 交换机。所有的互联跳线应进行必要的捆扎整理,整理的效果应整齐、有序,不缠绕,不交叉
7、,这样,有利于机柜空间的简洁的视觉效果,同时也利于机柜内空气的流通和设备的散热。配线架到接入层交换机即 S2400 交换机的跳线,考虑到跳线的数量较多,且在以后的维护中,可能需要经常性的变动。 因此,我们采用较灵活的方式,在每一台S2400 交换机下安装一个网线理线器。从配线架出来的跳线进行固定的捆扎,到每台S2400 交换机的相应跳线,应进入网线理线器里,从网线理线器里出来,再接入到S2400 交换机的端口。跳线在网线理线器的长度,应该可以跳到三台 S2400 交换机的的任何的端口。 4当然,配线架到 S2400 交换机的跳线,也应该做个标签标识,以方便的区分每一根跳线。以利于以后的维护和插
8、拨。配线架到接入层交换机即 S2400 交换机的跳线的整理效果应如下图所示:考虑到该企业的机房的实际情况,我们建议采用如下样式的开放式理线器要:四、S3600 交换机的优化办公局域网络方面的优化方面,考虑到尽量不改动原有的接入层用户的这个前提,我们在汇聚层的 S3600 交换机上的配置进行网络的配置。原来在 S3600 交换机上对每台 S2400 交换机所接入用户而划分的 VLAN 群和配置的网关 IP 地址,仍保持不变,这样,对于 S2400 交换机所接入的用户,不需要做任何的改动和变化。 5S3600 交换机的优化,我们着重 IP 地址、MAC 地址和端口的绑定 ,端口限速和ACL 的的优
9、化配置。通过 IP 地址、MAC 地址、端口的绑定,可以将办公局域网络用户的 MAC 地址和 IP 地址绑定到相应的 VLAN 的接口上,可以控制指定的 IP 地址、MAC 地址的用户访问互联网,可以有效的提高网络的安全性能,加强对网络安全的监控。同时,也可以防范 ARP 病毒的攻击。端口限速的配置,可以控制基于端口的速率限制,有效的,合理的利用带宽资源,避免不必要的带宽资源的浪费,达到带宽资源的均衡。ACL 的的优化配置,通过配置病毒防范方面的 ACL(访问控制列表) ,可以有效的防范办公局域网络常见的病毒攻击,如防止 DoS 攻击,蠕虫病毒攻击,防扫描窥探攻击、防畸形报文攻击、防网络风暴攻
10、击等。一方面提高网络环境的安全性能,另一方面可以避免带宽资源的占用和浪费。五、H3C SecPath 100 防火墙的优化H3C SecPath 100 系列的防火墙作为出口互联网的防火墙设备,支持外部攻击防范,保护内网安全,流量监控,网页过虑等功能,有效的保证办公局域网络的安全。 H3C SecPath 100 配置了 NAT(网络地址转换) 功能 。可以有效的隔离内外网,保护了内部办公局域网络的安全,同时,内部网络可以配置任何的私有的 IP 地址,而不影响访问互联网。H3C SecPath 100 病毒攻击的防范配置,能够检测出多种类型的网络攻击,并能采取相应的防范措施,保护内部网络免受恶意攻击,保证内部网络的正常运行。如下图: 6H3C SecPath 100 也可 H3C SecPath 100ACL(访问控制列表 ),能够提供控制网络数据流的能力。如下图:H3C SecPath 100 可以配置 WEB 过虑功能,可以防范来自外部的网络攻击,阻止非法或恶意的网站访问。同时,能够对用户所请求的 WEB 中的内容进行筛选,阻止访问含有非法内容的网页。如下图: 7
