《如何做好企业网络改造方案【最新54页】》由会员分享,可在线阅读,更多相关《如何做好企业网络改造方案【最新54页】(58页珍藏版)》请在金锄头文库上搜索。
1、57目 录第1章 项目概述31.1 项目背景31.2 项目需求31.3 项目总体建设原则4第2章 网络设计62.1 网络总体设计62.1.1 概述62.1.2 网络的可靠性设计62.1.3 网络安全性设计82.1.4 工时VLAN规划112.1.5 网络服务质量(QOS)设计142.2 网络详细设计172.2.1 网络设计17第3章 部分产品资料253.1 H3C MSR50-40路由器产品资料253.1.1 产品概述253.1.2 产品特点263.1.3 产品图片303.2 H3C S7506E 系列交换机产品资料303.2.1 概述303.2.2 产品特点313.2.3 产品图片323.2
2、.4 H3C S7500系列以太网交换机技术性能333.3 H3C S3600 系列以太网交换机产品资料373.3.1 产品概述373.3.2 产品特点373.3.3 产品图片39第4章 售后服务404.1 云南 公司网络服务条款404.2 服H3C服务介绍514.3 服务介绍534.4 H3C产品售后服务模式图534.5 H3C全球服务部534.6 H3C渠道合作伙伴55第1章 项目概述1.1 项目背景现今社会是一个网络高速发展的社会,通讯是公司得以发展的基础,数据传输,语音,生产业务都需要一套稳定,高速,安全的网络来保证, 公司原有网络出现很多隐患。再来面对竞争对手的巨大压力、用户需求的不
3、断变化、与上游供应商和下游合作伙伴的密切合作,使整个公司与每个部门之间都需要一套运转良好的通信系统来保证信息的畅通。通信手段的应用满足了内部通信的需求,但随着时间的推移,堆积在一起的各种通信手段使通信系统复杂臃肿,桎梏了进一步发展。首先是各通信系统相互独立,互不相干,如即时通信提供的语音功能不能和电话系统互通,即影响效率又难于管理;其次基础的语音通信大量依赖运营商,随着企业规模的扩大,跨省跨国通信越来越频繁,导致通信成本居高不下;第三,运营商向企业提供的是无差别的服务,不能按照企业自身需求提供业务的定制;第四,每个通信系统实现的功能都不一样,使用的终端也各不相同,工作人员需要在各种通信系统间来
4、回切换,通信手段越多,切换过程中损失的效率越多。为了降低运营成本、简化管理、提高工作效率,使企业在市场竞争中获取更多信息,就必须整合各种通信手段。从通信方式上看,通信可以分为实时通信和非实时通信两类,实时通信包括基本的电话互通和电话业务、多媒体会议、可视通信;非实时通信包括了即时消息、语音信箱、传真信箱,以及不同格式消息间的转换;从企业应用上看,包括了电话通信、会议、可是通信、传真、邮箱、移动办公等。整合通信系统的目标,就是要用一套融合的通信系统来实现上述所有的企业通信业务。1.2 项目需求 公司网络工程改造项目,为了使原有网络更加的完善,稳定,安全。使企业员工更快捷的实现资源共享,访问互联网
5、资源,员工各种办公业务。设计的解决方案在总体建设上采用与原来网络结合,分层构建、逐层保护的指导原则,利用宽带IP技术,保证网络的互联互通性,提供具有一定QoS的带宽保证,并提供各部门、系统网络间的逻辑隔离,保证互访的安全控制;整网采用了有效的QoS处理。同时,由于提供的设备以及网络构架都具有良好的可扩展性,因此可以根据后续发展需求,在对现有网络方案保留的情况下,通过增加设备,来实现网络的稳定与安全。为满足网络建设的高可靠性原则,隔断敏感信息泄露、黑客侵扰、网络资源非法使用以及计算机病毒等对网络正常运行构成的威胁, 公司网络为企业部门网上办公和面向社会的资源公开服务提供更加便捷、安全、高效的信息
6、化服务。外网、云天化集团网采用逻辑隔离。1.3 项目总体建设原则项目建设的总体原则是:高起点、高水平、高质量。即采用目前国际上成熟的先进技术,建立一套完善的,安全的网络系统,并提供全方位的网络安全保障服务,确保整个信息系统高效正常运作。项目总体建设原则细分如下:本次 公司网络改造方案的设计将充分从以下几个方面考虑:l 高性能承载网络的性能是网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图象)的高质量传输,力争实现高品质透明网络。l 可扩展网络带宽的可扩展性:H3C公司的交换机产品支持百兆、千兆端口的带宽汇聚(TRUNK),在投资和光缆资源允许的情况下,现有
7、建议的网络设备平台可以支持一定时期内网络容量的需要。l 网络互连的可扩展性由于IP交换技术为非面向连接的技术,网络的扩展表现为IP子网或VLAN的增加,H3C公司以太网产品支持国际标准的IEEE 802.1Q以及相关的VLAN动态注册协议,如GVRP、VTP等等,可以实现在边缘增加VLAN后,中心以及其他交换机不需任何配置就可以自动学习到新的VLAN。l 安全性方案中采用多种安全策略:网络路由信息交换安全策略:包含路由器的认证,路由信息过滤,多种动态路由协议信息交换控制等。网络服务安全控制:包含标准访问控制列表(ACL),扩展的访问控制列表(Extend ACL),动态访问控制列表(Refli
8、ex ACL),按数据流的访问统计和监控(Netflow),网络资源访问用户认证/授权和记帐(lock & key)。基于网络层的加密:网络设备可提供基于标准的网络层加密技术:IPSec ,可以提供高可靠的网络访问安全机制。网络攻击防范:可通过对网络访问连接的监控和分析,发现可能出现的网络攻击,如Sync Attack 等,并采取相应的的控制手段保护网络资源。网络系统告警(Syslog):网络中采用的设备可对监控到的网络攻击和各种非正常访问发出告警,提醒网络管理人员及时发现问题并采取相应安全策略。设备安全:网络的各种安全策略的实现均基于网络设备的安全设置,这使得网络设备本身的安全控制显得尤其重
9、要。网络设备本身具有多种访问控制安全策略。l 易管理维护由于采用 TCP/IP 协议这种非面向连接的网络层互连协议,网络的管理重点在于网络的结构化设计。整个网络的服务提供均建立在一层次化方式,也就是当新的用户接入到网络之中不会影响网络的骨干,管理人员只需在相应接入设备做相应的配置即可,因此网络管理简单、高效。l QoS支持能力H3C高性能路由器提供丰富的Diffserv/QoS支持,提供多种规则组合条件下的流映射和分类、流量监管(CAR)、拥塞控制方法(RED、WRED、SA-RED)、队列调度和输出流整形等功能,真正做到业务区分并保证带宽/时延/抖动在限定的范围之内,使贵行可以为用户提供具有
10、不同服务质量等级的服务保证,使骨干网真正成为同时承载数据、语音和视频业务的综合网络。第2章 网络设计2.1 网络总体设计2.1.1 概述本着以用户为主的设计理念,利用域网高带宽的天然优势,结合网络安全第一的设计思路, 公司网络分为2个网络,分别是外网网络、内网网络,外网网络用来满足各个部门之间访问互联网的需求,内网网络用来满足各个部门之间访问公司资源,满足员工办公专用。内网和外网要求采用“核心层汇聚层接入层”3级网络结构。网络组网要求骨干1000千兆光缆互连。采用千兆核心与核心层互联,千兆接入层互联、百兆到桌面的高带宽、高安全性、高稳定性网络设计方案进行网络部署。 在设备稳定性上,核心交换机均
11、配置了双击热备和冗余电源,避免单核心或单电源故障引起的业务中断。2.1.2 网络的可靠性设计传统意义上来说可靠性(AVAILABILITY )的涵义为系统正常运行时间占总运行时间的比例(当前的总运行时间包括出问题以后修复所耗费的时间)。由以下两个基本概念组成:lMTBF(Mean Time Between Failure):系统平均正常运行时间lMTTR(Mean Time to Repair):系统平均恢复时间lAVAILABILITY MTBF / ( MTBF + MTTR )对现代 公司IDC来说,用户除了关心IDC正常运转的平均时间(MTBF)以外,更为在意的是IDC出现故障以后能否
12、以很短的时间恢复正常运行,是否能对核心业务的影响减轻到最小。因此,针对MTTR业界又扩展出了另外几个指标:lRTO :(Recovery Time Objective):RTO 表示完成应用(及其相关业务流程)并保证技术组件恢复到能够正常执行事务处理或业务职能的最长时间。但是,RTO 并不意味着“100%恢复”,它通常指的是降级处理模式(例如减少容量,降低性能)。lRPO :(recovery point objective):RPO 指某个时刻,应用数据必须恢复到这个时刻才能继续执行事务处理。它规定了需要将信息恢复到哪个数据流点,或者说, 公司能够忍受丢失多少数据。lROI (return
13、on investment ):ROI 是指用户的投资回报。由于IDC中各个部分的重要性有一定的差别。因此,各个分区出现故障后的影响各有不同。对高可用的要求也不尽相同。由于保证网络高可用意味着不菲价格,因此分区的构架可以满足区分用户业务,在保证用户IDC整网高可用的目标的前提下,尽可能的为用户降低成本。但是否是一味的增加冗余设计就可以达到我们缓解故障影响的目的呢?有人可能会将网络可用性与冗余性等同起来。但事实上,冗余性只是整个可用性架构中的一个方面。一味的强调冗余性反而可能会降低可用性,减小冗余所带来的优点,因为冗余性在带来好处的同时也会引入一些缺点:(1) 提高网络复杂度(2) 加重网络支持
14、负担(3) 增加配置和管理的复杂度(4) 加大网络建设成本因此,网络系统的高可靠设计是一个综合的概念。我们在提高网络的冗余性的同时,还需要加强网络构架的优化,从而实现真正的高可用。一般来说设计一个高可用的系统,主要关心以下几个方面:(1) 设计高可用的网络构架(2) 关键链路提供设备级、链路级冗余备份(3) 减少非计划性的宕机(4) 可用可靠的网络管理(5) 及时的故障检测定位实现网络可靠性一般来说有以下一些如图所示的技术和措施。设备级数据链路层网络层4-7层服务器网卡组双归属,DLDP,Loopback-detection,Flex-link,MSTP,端口聚合自动侦测功能,VRRP,接口备
15、份、GR、路由快速收敛负载均衡双主控,N+1电源备份,风扇备份,IRF构架,完备的配置恢复,防雷设计,负载均衡设备、防火墙、IPS的备份机制,aux口实现PSTN带外管理,支持热补丁,完善的启动文件保护网络构架“分区分层”的网络构架、高可用的设备管理组网时一般会用到较多的设备。在实际运行过程中,各设备均面临着软件异常、硬件故障甚至外界影响(如:供电电路故障、自然灾祸)等各种意外的威胁。设备级的可靠性设计可以通过关键部件冗余,灵活快速的故障侦测和恢复来尽量减小意外发生的影响限于故障发生的设备之内,尽量减小对数据中心整体的冲击减小数据中心MTTR。2.1.3 网络安全性设计2.1.3.1 安全性概述网络应用层出不穷,在大大提升了用户的工作效率的同时,也带来一些负面影响,主要有以下难题困扰着用户1) 用户通过 P2P 下载电影造成网络速度变慢,访问非法网站易感染病毒,怎么保证网络的正常应用2) 用户访问色情、反动网站,如何监控3) 用户工作时间炒股、打游戏、聊天造成工作效率的下降,怎么解决4) 如何识别从内网发起的攻击并加以控制H3C内网控制解决方案能彻底解决上述问题,是业界最有效的内网安全解决
