《网络设备改造方案》由会员分享,可在线阅读,更多相关《网络设备改造方案(13页珍藏版)》请在金锄头文库上搜索。
1、XXXXXX 网络改造方案计 划 书网络现状与不足 现 XX 单位采用代理服务接二层交换机的方式共享上网,整个网络无核心转发设备,主要靠服务器替代路由器进行数据交换。这种方式已经成为限制网络带宽的瓶颈,极大的限制了用户的上网速度;并且无法实行网络限制和上网行为管理,同时无法抵御来自外界对服务器的攻击。因此,计算机之间互通无安全保障,更重要的是造成网络资源的严重浪费,影响了内部网络办公环境。硬件方面,XX 单位与分部采用的是二层交换机接入用户。此部分设备参数不高,性能方面也不能满足现有用户的需求。XX 单位机房共有 8 台交换机,其中 6 台为外网交换机, 2 台为路网交换机。交换机提供端口总数
2、(含外网和路网)为 178 个,已用端口总数(含外网和路网)为 173 个。各房间累计的端口总数为 306 个,因此交换机的数量严重不足。分部共有 6 台交换机,均为外网使用,交换机提供端口总数为 133 个,各房间累计端口总数为 172 个。所有可用端口都已占满,无空闲端口。如需新增端口,则暂无法实现。如下表:XX 单位本部外网 路网代理服务器 1 台 二层交换机数 6 台 2 台交换机已用端口数/端口总数数 131/133 42/45交换机剩余端口数 2 3各房间网络端口总数 306各房间已用端口总数 173分部有限公司代理服务器 1 台二层交换机数 6 台交换机已用端口数/端口总数 13
3、3/133交换机剩余端口数 0各房间网络端口总数 172各房间已用端口总数 133XX 单位目前采用代理服务器上网的方式,暂时无法进行网络管理,只能查看当前网络状态的累计总流量。无法实时的监测网络状态、数据流量和网络资源的使用情况;同时也无法实现网络流量的分配、限制以及上网行为的管理。分部与 XX 单位采用了相同的上网方式。不同的是,分部的在代理服务器上安装了 CCPROXY 代理软件,有效地对网络进行监控与资源的定向分配,但在无硬件设备支持的软件环境下,网络资源的使用也受到了一定的限制。总体来说,两地网络体系相对独立,主要依靠互联网进行通信;硬件上不支持远程网管功能,因此无法做到统一的规划与
4、管理。网络改造方案网络结构的改造网络结构改造将采用“光纤-防火墙-核心交换机- 接入交换机- 终端用户”的方式代替原有代理服务器的共享上网,并通过搭建 VPN 虚拟网络将 XX 单位本部与分部有限公司进行连接,实现数据传输与资源共享。如图所示:网络改造中,原有的代理服务器将被防火墙替换,利用企业级 VPN 防火墙作为连接外网的设备。VPN 防火墙可以抵御外部攻击,保证网络内部环境的安全;同时又可以实现 VPN 虚拟连接的功能,从而实现两地通信;并且支持用户在任何有网络的地方接入企业局域网,实现在现场和家里办公。VPN 防火墙直接接入核心交换机,核心交换机负责所有用户内外网的数据交换与转发。通过
5、核心交换机,可以大大提高网络资源的利用率,实现网络资源合理分配与使用。核心交换机下连接多个二层交换机,根据用户的数量进行配置,二层交换机直接连接用户,起到扩展端口的作用。无线网络覆盖:无线网络覆盖方式,可搭建无线控制器连接多个 AP 来扩展无线信号覆盖区域。根据 XX 单位房间分布情况,每层至少需架设 3 个 AP 点,共 13 个 AP点(一楼 1 个 AP 点,六楼不设) 方可覆盖楼层大部分办公区域,同时每个 AP 点可支持 20 个终端用户。此方式可以将整个 XX 单位覆盖在统一的无线网络内,实现无缝网络覆盖。但架设成本高,性价比低;并需要对每个楼层进行重新布线,不但施工量大,还可能对楼
6、体造成破坏。方案一: 思科设备方案设备清单如下:无线网络设备清单设备名称 设备型号 主要参数 数量 参考报价 总价D-Link 无线控制器 DWS-3024L24 口 1000Base-TX4 口 SFP(Combo )机架式(PoE 兼容 802.3af 标准)支持 24 个 AP支持 AP 型号:DWL-3500AP/DWL-8500AP1 ¥17,000 ¥17,000D-Link 无线接入器 DWL-3500AP网络标准:IEEE 802.11b、IEEE数据传输率:108mbps频率范围:2.4GHz-2.4835GHz 天线:带反向 SMA 连接器13 ¥1,500 ¥19,500
7、合计 ¥36,500备注 由供货商提供 AP 点架设的网线布置,施工费 500 元/天网络设备的改造设备需求包含防火墙、核心交换机和接入交换机。其中防火墙与核心交换机各 2 台,分别置于 XX 单位与分部有限公司;根据需要的网络端口,XX 单位需二层接入交换机 10 台(不包含路网用户) ,分部需 8 台二层交换机。网络设备清单如下:设备名称 设备型号 主要参数 数量 参考报价 总价防火墙 思科 ASA5520-BUN-K9网络吞吐量:450Mbps并发连接数:280000网络端口:千兆以太网端口*4入侵检测:DoS 安全过滤带宽:225Mbps2 ¥26,000 ¥52,000三层核心交换机
8、思科 WS-C3560-24TS-S传输速率:10/100/1000Mbps 端口数量:28 个 背板带宽:32Gbps 网络管理:网管 SNMP,CLI包转发率:38.7Mpps 2 ¥13,000 ¥26,000二层接入交换机 思科 SF200E-24接口数目:24 口 传输速率:10M/100M/1000Mbps 网管功能:智能 Web 网管18 ¥1,500 ¥27,000合计 ¥105,000备注 由供货商检测现有网络设备的参数及性能,如现有设备与新购置设备参数匹配 ,则可代替新购置设备继续使用。(300 元/天服务费另算)所需设备购置清单如下表:购置设备清单设备名称 设备型号 数量
9、 参考报价 总价 备注防火墙 思科 ASA5520-BUN-K9 2 ¥26,000 ¥52,000三层核心交换机 思科 WS-C3560-24TS-S 2 ¥13,000 ¥26,000网络核心设备二层接入交换机 思科 SF200E-24 18 ¥1,500 ¥27,000D-Link 无线控制器 DWS-3024L 1 ¥17,000 ¥17,000无线接入设备D-Link 无线接入器 DWL-3500AP 13 ¥1,500 ¥19,500技术支持设备服务费用 5 天 ¥300/天 ¥1,500搭建、调试硬件设备施工 网络布线费用 2 天 ¥500/天 ¥1,000各楼层 AP点的布线合
10、计 ¥144,000方案二: 神州数码设备方案关于分部和 XX 单位的办公网络情况的汇报经过了解,现在将分部以及 XX 单位的办公网络现状以及解决方法向领导进行汇报说明,请领导审阅。我们现在的网络现状及主要问题表现公司和 XX 单位的办公网络,统一建设的时间是 5 年前,陆续为了满足接入端口数量的需求,只是零星采购了简单的交换机,满足端口数量的需求。现在主要表现的问题如下:1、 公司和 XX 单位的网络,都没有可以进行有效管理的核心交换机设备。XX 单位使用的是一台普通的 24 口,千兆交换机,通过级联的方式连接,只是满足了接入端口数量的需求,没有管理和规划;2、 公司和 XX 单位形成各自独
11、立的网络体系,双方不能互联,只能通过邮件的方式进行应用数据的交换,降低了工作效率;3、 网络出口没有可以控制的管理手段和工具。现在 XX 单位的网络带宽已经提高到了50 兆,威克公司方面的带宽也已经提高到了 10 兆。但对于内部的上网行为缺乏有效的管理,就类似于我们修了一个双向 12 车道的公路,但是没有交通规则,什么车都在上面走,而且没有规矩,必然会造成正常的网路应用速度缓慢;4、 我们现在的上网代理,使用的是 Windows2003 搭建的 ISA 代理服务器,软件的代理在管理几十个或者十几个用户的时候,不会有问题,但是当用户数量增多,同时内部人员上网没有很好的控制的情况下,必然将代理服务
12、器“拖死” ;5、 公司、XX 单位的中心机房,机架上面的交换机过于陈旧,按照正常的网络设备淘汰时间是 5 年进行一次升级,一般的企业,计算机类设备的固定资产折旧年限就是 5年,而且,我们的交换机“不可管理、不可配置、不可控制,带宽小” ,最小的连接带宽只有 10M,网络设备搭配不合理;6、 XX 单位和公司之间,没有形成很好的信息共享,不能提高公司和 XX 单位内部之间的办公效率,办公还是停留在 E-mail、QQ 等原始手段,表格传来传去,出错概率大,而且不可追溯。以上 6 个方面是我们公司和 XX 单位方面的网络现状。建议的解决方法鉴于上述的网络现状和问题,我们的解决方法是,首先,对现有
13、的网络情况进行改造,改造集中在中心机房内部,对于连接各办公室间的布线系统,不做大规模调整,以最小的减少影响员工办公的时间,对于特殊不能满足的办公室,做局部调整和改造。对于公司和XX 单位方向网络中心的改造,我们可以分步进行,按照先后顺序为:1、 首先建设 XX 单位和威克公司之间的 VPN 通道,数据中心的位置我们投入一个性能高一点的 VPN 防火墙设备,另外一个办公地点,使用一个能够满足需求的 VPN 防火墙设备。原因是,这种一个办公区域到另外一个办公区域的 VPN 联网(就是网络界里面说的网关到网关)对于内部办公人员,没有感觉,只要按照自己的需要访问需要的目标服务器就可以了。例如:OA 办
14、公,就是直接在客户端上面登陆,就能进入公司和 XX单位的内部办公网络;2、 将现有的代理服务器取消,使用 VPN 防火墙做地址转换,承载公司内部的用户上网;3、 通过防火墙网关的管理,能够实现上网行为的控制,避免内部员工大量使用 BT 类下载软件占用网络带宽,也能大大提高内部网络的应用效率;4、 将公司、XX 单位的中心机房,各增加一台核心交换机,同时升级现有的接入层交换机,改变现有网络不能管理的局面;5、 将来随着公司业务的开展,也可以将京天威公司通过 VPN 通道接入到整个网络里面,解决数据的远程传递困难,不能数据共享,办公效率低下的问题;6、 第一步,改变现有的网络出口+VPN 连接+内
15、部网络上网管理是关键,如果投资有限,应该首先实施这一部分;7、 XX 单位的无线网络,现在可以通过布设在走廊上的无线接入点,进行接入,通过认证技术,可以实现只有授权的人员能够接入无线网络,没有授权的人员不能接入网络的安全需求。改造以后的网络结构如下:改造后能够带来的好处通过改造,能够实现给我们的工作带来的改善如下:1、 提高公司和 XX 单位,上网访问速度;2、 实现上网行为的有效管理,由原来“交通秩序混乱”的状态,变为“可以控制的交通行为” ;3、 可以实现公司与 XX 单位之间通过安全加密的 VPN 通道进行连接,达到异地的“虚拟局域网络“连接,为实现内部 OA 系统,以及将来的全面 ER
16、P 系统奠定网路基础;4、 提高公司、XX 单位内部办公网络的连接带宽,变为不可管理的网络,为可以管理的网络;5、 外出公出的同事,可以借助架设在公司中心机房内的 SSL VPN 功能,实现可授权管理的远程接入访问,提高接入的安全性,对接入行为可以控制和追溯;设备改造清单如下:哈尔滨分部股份有限公司网络改造设备清单(XX 单位部分+VPN 连接)名称 型号 产品描述 单价 数量 金额 备注核心交换机 DCRS-5750-28T全千兆三层交换机,24 口 10/100/1000Base-T4 口千兆 SFP(Combo)接口+2 个万兆插槽,基于 ASIC 的硬件线速 IPv6,220VAC。新外观,黑色机箱11,000 2 22,000 XX 单位和公司各一台无线APDCWL-7942AP(R3)DCN 802.11n 室内增强型无线接入点 AP (2.4GHz 单路单频,3x3MIMO,胖 /瘦模式自动切换、天线可拆卸,PoE 和本
