《企业网络改造项目规划及方案》由会员分享,可在线阅读,更多相关《企业网络改造项目规划及方案(33页珍藏版)》请在金锄头文库上搜索。
1、企业网络改造规划方案-可修编.2021年8月目录第1章.工程概述 21.1. 工程背景21.2. 工程建立需求21.3. 建立目标3第2章.系统规划要求32.1. 高可靠要求 42.2. 高性能要求42.3. 易管理性要求42.4. 平安性要求 42.5. 可扩展性要求52.6. 实用性和先进性要求52.7. 经济性要求5第3章.系统总体设计5 第4章.根底平台详细规划84.1. 网络系统84.1.1. 系统设计目标84.1.2. 系统设计原那么94.1.3. 整体网络规划94.1.4. 分区设计详解114.1.5. 网络协议设计174.1.6. 设备选型建议224.2.平安系统 234.2.
2、1. 系统设计目标234.2.2. 系统设计原那么234.2.3. 平安体系构造254.2.4. 子系统规划264.2.5. 设备选型建议32第1章.工程概述1.1. 工程背景随着*公司信息技术开展,作为信息载体的网络系统存在问题日益严重:网络 负载加大、网络带宽缺乏、网络平安问题严重、应用系统的增加,多网融合的需求 迫切、网络终端不受控等。这就需要对现有网络系统进展改造,以满足*公司信息 技术开展的需求。1.2. 工程建立需求在利用*公司现有网络资源的根底上加以改造,改造后的网络需要满足以下需求:1、根据用户对业务系统的访问要求,将现有各个业务子网在网络核心层面进 展整合,以到达单个用户可以
3、访问不同子网的资源,并通过一定的平安策 略,确保各个子网之间的数据和业务平安。2、优化现有网络规模,设立网络会聚节点,最终形成以销售部、自动化部自 动化车间、轧钢总降、一炼、二炼、一轧、二轧等七个部位为主的会聚点, 覆盖全公司、部门、车间的生产区域。3、实现整个公司网络架构分等级平安管理。4、建立构造化网络平安系统,所有用户通过认证方式接入公司网络,访问自己对应的网络资源或系统。5、实现网络终端受控,重要岗位终端行为管理,保证终端规 X 化操作。6、实现效劳器及存储资源的有效利用,建立核心效劳器区域的平安防护提高 运行能力。将现有主要效劳器,如产销系统、新老线 MES 系统、设备管 理系统、远
4、程计量、人事、原料采购、调度、质量等效劳器集中统一管理7、实现L2系统在网络中的隔离,保证L2系统平安稳定运行。1.3. 建立目标此次网络改造规划方案主要包括:网络系统,平安系统的建立。 各个系统的功能概述如下:1) 网络系统:尽量利用现有的网络接入条件和机房环境条件,对现有网络系统进展全面改造升级,实现生产网、宽带网、设备网之间的融合接入 简化网络逻辑架构。2) 平安系统:根据网络总体架构和平安需求,设计部署平安防御体系包 括网络层、系统层、应用层等各层次,各业务系统的平安防 X 和效劳 体系,并实现集中的平安管理。系统规划要求如下:2.1. 高可靠要求为保证业务系统不连续正常运行,整个系统
5、应有足够的冗余,设备发生故障 时能以热备份、热切换和热插拔的方式在最短时间内加以修复。可靠性还应充分 考虑系统的性价比,使整个网络具有一定的容错能力,减少单点故障,网络核心 和重点单元设备支持双机备份。2.2. 高性能要求核心网络提供可保证的效劳质量和充足的带宽,以适应大量数据传输包括多 媒体信息的传输。整个系统在国内三到五年内保持领先的水平,并具有长足的开 展能力,以适应未来网络技术的开展。2.3. 易管理性要求考虑到系统建立后期的维护和管理的需要,在方案设计中充分考虑各个设备 和系统的可管理性,并可以满足用户个性化管理定制的需要。各系统易于管理, 易于维护,操作简单,易学,易用,便于进展配
6、置和发现故障。2.4. 平安性要求对于内部网络以及外部访问的平安必须高度重视,设计部署可靠的系统平安 解决方案,防止平安隐患。设计采取防攻击、防篡改等技术措施。制定平安应急 预案。管理和技术并重,全方位构建整个平安保障体系。2.5. 可扩展性要求对*信息化建立规划要长远考虑,不但满足当前需要,并在扩大模块后满足可预见需求,考虑本期系统应用和今后网络的开展,便于向更新技术的升级与衔 接。留有扩大余量,包括端口数和带宽升级能力。2.6. 实用性和先进性要求系统建立首先要从系统的实用性角度出发,未来的信息传输都将依赖于数据网络系统,所以系统设计必须具有很强的实用性,满足不同用户信息效劳的实际需要,具
7、有很高的性能价格比,能为多种应用系统提供强有力的支持平台。2.7. 经济性要求本次系统建立中,要充分考虑原有系统资源的有效利用,发挥原有设备资源 的价值。要本着以最少的建立本钱,最少的改造本钱,持续获得当期及未来建立 的最大利益。第3章.系统总体设计此方案设计将遵循先进性、实用性、可靠性、易管理性、平安性、扩展性、经 济性的原那么,为实现*数据集中处理的方式,构建统一融合的网络系统,能支持 全公司 X 围内的高可靠实时网络连接。依据*网络改造建立的需求,本次方案设计的网络平台系统的总体示意图如 下:DMZ区域远程计量网能源网自动化车间轧钢总降二轧53;65(562,一炼接入网二炼接入网生产网接
8、入交换机生产网接入交换机 宽带网接入交换机原生产网 核心交换机 华为S8512生产网接:网接 i网接交换机2IS12808一轧 汇聚交换机 r S5324、销售部接入网轧钢总降接入网一轧接入网自动化车间接入网生产网接入交换机 宽带网接入交换机舞钢网络改造拓扑总图二炼j防火墙1訂销售部防火墙2出口区域Internet联通WWWDNS 一MAIL 中心服务器集群质量管备管全MES*网络改造总体拓扑图注:图中橙色字体的设备为此次新增设备。具体描述:1 网络系统设计1) 整体网络构造按照不同的平安级别,主要分为出口区域、DMZ区域、中心效 劳器集群区域、核心交换区域、生产网接入区域、能源网接入区域、远
9、程 计量网接入区域及其他网络接入区域。2) 作为整个网络的核心业务区域,采用两台高端核心交换机双机热备的方式, 保证核心业务的正常开展。同时,依据业务的重要程度对全厂网络进展分 区、并进展可靠平安隔离,防止重要程度较低的业务对重要程度高的核心 业务造成影响。3) 生产网接入区域,主要以现有的生产网接入设备为主、另外融合了宽带网和 设备网的接入设备。根据现有的网络构造及客户需求,设立新的网络会聚 节点,形成以销售部、自动化部自动化车间、轧钢总降、一炼、二炼、一 轧、二轧等七个部位为主的会聚点,覆盖全公司、部门、车间的生产区域。4) 上述七个会聚节点主要下联现有的生产网接入设备,同时,将原宽带网和
10、设 备网的接入设备融入,构建统一的网络接入平台,不再重复建网。新的网 络平台融合了,生产网的数据访问和外网互联的需求,使用同一终端即可 实现内外网同时访问的功能。5) 规划统一的中心效劳器集群区域,将现有生产网、设备管理系统、人事系统 中运行的效劳器,划到同一逻辑区域。考虑到新的核心交换的高性能,将 所有的效劳器直接接到核心交换,通过核心区域的平安设备来保证访问平 安。使全厂的所有客户终端都通过核心交换来对各个业务系统进展统一访 问。6) 设计新的互联网出口区域,设置出口防火墙、上网行为管理、负载均衡等平 安设备,保证全厂用户的上网平安。原有生活区用户不再和办公区使用同 一出口上网,生活区用户
11、使用单独的出口设备连接互联网。7) 构建DMZ区域,将、DNS、MAIL等需要同时效劳内外网用户的效劳器放到 该区域,设置V PN、负载均衡等设备保证效劳平安。8) 能源网和远程计量网由于是独立运行的物理网络,不在此次网络改在的 X 围。但此次我们新增的核心交换,在性能、稳定性、处理能力方面,均有 能力负载未来其他多个网络的融合。2 平安系统设计本次*网络改造工程建立将考虑如何建立多层次、纵深防御系统。另外, 要加强平安管理工作和平安应急工作。通过部署防火墙保证网络边界的平安,保证网络层的平安;部署入侵检测 系统实现内网平安状态的实时监控;部署防病毒系统防止病毒入侵,保证主机 的平安;部署网络
12、监控系统对网络进展监控;部署抗攻击系统抵御来自外界 Internet 的 DoS/DDoS 攻击;部署漏洞扫描系统对系统主机、网络设备的脆弱性 进展分析;部署时钟系统使系统的时钟同步;部署单点登录系统方便用户在多 个系统间自由穿梭,不必重复输入用户名和密码来确定身份;部署统一认证系 统对不同的应用系统进展统一的用户认证,通过统一的用户认证平台提供一个 单一的用户登陆入口;部署平安管理平台实现系统内平安事件的统一管理。我们要通过相应的平安技术建立一套包含物理层、网络层、主机层、应用 层和管理层等多个方面的完整网络平安体系。第4章.根底平台详细规划4.1. 网络系统4.1.1. 系统设计目标网络系
13、统建立的总体目标,是要建立统一融合的、覆盖全公司 X 围内的、高速 高可靠的网络平台,以支持数据集中处理的运行模式。4.1.2. 系统设计原那么网络系统包括四大局部,一是出口区域,实现公司用户的上网需求;二是效劳 器区域,对*现有业务系统的主机存储进展统一管理;三是核心交换区域,实现全 公司所有功能区域的互联互通;四是二级接入区域,对整个网络现状进展重新规划, 形成新的会聚节点,将生产网、宽带网、设备管理、人事系统统一融合到新的管理 网络中,实现单一终端对所有业务系统的统一访问。网络系统有良好的扩展性,保证网络在建立开展过程中业务和系统规模能够不 断地扩大。网络线路及核心、关键设备有冗余设计。
14、核心设备和关键设备保证高性能、高 可靠性、大数据吞吐能力。网络系统的设计充分考虑系统的平安性。4.1.3. 整体网络规划按照构造化、模块化的设计原那么,实现高可用、易扩展、易管理的建立目标 网络整体拓扑如下列图所示:DMZ区域远程计量网能源网自动化车间轧钢总降二轧53;65(562,一炼接入网二炼接入网生产网接入交换机生产网接入交换机生产网接入交换机 宽带网接入交换机原生产网 核心交换机 华为S8512生产网接:交换机2IS12808一轧 汇聚交换机 r S5324、销售部接入网轧钢总降接入网一轧接入网自动化车间接入网生产网接入交换机 宽带网接入交换机舞钢网络改造拓扑总图二炼核心交换机1 华为
15、S12808j防火墙1“销售部防火墙2出口区域Internet联通WWWDNS 一MAIL 中心服务器集群质量管备管全MES注:图中橙色字体的设备为此次新增设备。按照“模块化设计原那么,需要对*整体网络构造进展分区设计。根据*公 司业务情况,各区域业务系统部署描述如下:核心交换区:此区域用于实现各分区之间的数据交互,是数据中心网络平台的 核心枢纽。出口区域:互联网出口,公司员上网,对外发布公司信息,承载电子商务等业 务系统。中心效劳器区:此区域部署核心业务效劳器,包括MES、0A、人事、平安管理 等应用系统。网络会聚区:实现公司办公楼、各分厂等会聚网络接入,二级单位可以通过该 接入区域实现对业务系统的访问。接入交换区:全厂接入设备连接区域,该区域用于连接终端用户和公司核心交 换网络,是网络中最广泛的网络设备。4.1.4. 分区设计详解4.1.4.1. 核心交换区设计此次网络改造,
