网络改造方案.doc-道客多多_道客多多docduoduo.com

资源描述

1、1网络改造设计方案建议报告2018 年 2月2公司网络现状及需求分析1.1 前言当今社会已步入信息社会，信息成为社会经济发展的核心因素，信息化已成为当今世界潮流。自从 1993 年美国政府公布实施 “信息高速公路计划 ”之后，在世界引起巨大反响，许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说，信息化程度已成为衡量一个国家现代

2、化水平和综合国力强弱的重要标志。信息技术作为新技术革命的核心 .不仅具有高增值性、成为最具经济活力的经济增长点 ,而且具有高渗透性 ,以极强的亲和力和扩散速度向经济各部门渗透，使其结构和效益发生根本性改变。信息化已成为当代经济发展与社会进步的巨大推力，尤其是作为国民经济信息化基础的企业信息化，当前更显得尤为重要，

3、信息化建设已成为企业发展的必由之路。信息化是企业加快实现现代化的必然选择 !随着信息时代的到来，企业的生存和竞争环境发生了根本性的变化。对于大型企业而言，信息化无论是作为战略手段还是战术手段，在企业经营中发挥着举足轻重的作用。随着近年来企业信息化建设的深入，企业的运作越来越融入计算机网络，企业的沟通、应用、

4、财务、决策、会议等等数据流都在企业网络上传输，构建一个“安全可靠、性能卓越、管理方便 ”的 “高品质 ”大型企业网络已经成为企业信息化建设成功的关键基石。31.2 背景分析我公司的网络改造是公司为了适应新形势下企业激烈竞争，提高公司核心竞争力的一项具有战略意义的举措。成功的网络改造将使我公司能够在较长时间里在高科技领域竞争中

5、继续保持科技优势，从而推动各项业务水平的快速发展。我公司的网络现状如下图：4伴随着公司的飞速发展，越来越多的分支机构单位和业务系统接入到网络当中，造成公司网络规模不断扩张，网络结构也越来越复杂，而陈旧的网络核心设备和庞大的网络架构，也带来网络骨干性能不足、 IT 运维监控滞后、服务器负载效率低下、网络安全隐患众多等一系列问

6、题，目前，我公司网络系统面临问题的详细情况如下：1、核心设备陈旧网络核心 S6506 厂家已停产，无法进行板块扩容，也没有备品备件，且 S6506 已在线运行多年，一旦出问题网络瘫痪后无法第一时间迅速恢复。10 / 1902、网络架构复杂网关错位整体网络架构没有进行统一规划，多级串联现象严重，造成网络结构庞杂，增加了很多网络传输延迟和故障节点。192.168.8.1 三层网关 IP 是在一台中兴 zxr10 交换机上而非核心

7、 S6506，这个网关错位导致的数据回传不仅增加了传输延时，还造成了网络带宽资源的浪费。3、运维监控滞后无法对网络流量进行实时监控和回溯审计，造成盲目的 “黑盒运维 ”-无法及时准确地掌握网络整体性能、应用负载，并进行针对性的调优，更无法准确定位网络异常原因，排查网络故障和隐患。4、网络性能存在瓶颈现有网络骨干是百兆网络局域网，但网络

8、吞吐约 200G/天，流量峰值是 200M/S，平均流量为 80M/S，其中流量吞吐最大的是 192.168.8.19 的营销系统服务器，而一旦局域网中出现 P2P、大文件传输、视频流媒体等数据流，正常业务的带宽就会受到挤占和消耗，造成网络访问拥塞，出现延时大，响应慢等现象。5、业务系统性能待调优首先是OA系统因为访问量少，所以响应快，延时小，性能最好。其次是营销系统，在业务高峰时期会有上万（约 13000 左右）

9、的并发会话，此时服务器性能和网络非常吃紧。11 / 190接着是财务 NC 系统，因为服务器挂在云端，本地是通过 VPN 去进行访问，导致服务器访问性能在广域网传输过程耗损较多，所以，交互质量差的应用会话比例很高，系统整体性能较差。最后是集抄系统，该业务系统虽然整体流量不大，但总体性能表现并不高，这跟两台服务器没有很效地对访问请求进行负载分担

10、有一定关系。6、网络存在安全隐患网络中存在一些病毒木马、端口扫描、未知异常广播等网络安全隐患，干扰正常网络通信，影响数据传输，并可能造成数据泄密、业务系统停摆无法运转等风险。7、监控流媒体挤占正常业务带宽12 / 190平时的业务数据和监控流媒体数据混在网络中一起传输而未被分开，会导致视频监控数据挤占正常业务带宽通道进行传输，极大造成了

11、局域网带宽资源浪费，影响业务传输质量。8、运维组织有待完善分支机构接入较多，私接串接导致故障现象屡见不鲜，使运维人员应接不暇，需从制度上和技术上，加强运维组织管理。1.3 用户需求骨干网络高性能、高稳定性需求网络骨干包括网络的核心层和汇聚层，是整个网络流量的承受者和汇聚者，因此对骨干网络高性能、高稳定性提出了高的要求。为了提高设备的可靠

12、性和稳定性，可采用骨干网络冗余设计，能够实现设备的热备和失效自动切换。网络安全性需求网络安全包括网络级、系统级、用户级、应用级的安全，在网络级，需要利用防火墙的过滤与隔离功能，将信任网络（内网）和不信任的网络（外网）隔离开来，并利用防火墙或出口路由器的 NAT(网络地址转换 )功能，对外屏蔽内网的网络拓扑信息，从而避免

13、整网受到外来攻击。在网络内部，根据用户的网络使用需求，将用户和网络资源划分为不同的 VLAN，在 VLAN间根据需求启用相应的 ACL(访问控制列表 )，从而保证用户的物理隔离和资源访问的安全。13 / 190 网络监控管理分析需求在不影响关键业务运行的前提下，收集分析网络流量中的应用信息，网络管理员可以定义、监控并评估网络连接性、安全性和性能策略，

14、并进行网络的规划和设计，并且能够使管理员了解计算机网络系统的整体状况，可监控到来自网络内部和外部的 “黑客 ”入侵，能够为查明入侵的来源提供有效的依据，直观的显示各种网络流量运行状态，并对各种异常情况14 / 190实现自动报警。1.4 设计思路我公司网络设计为三层结构，系统的设计应充分利用当今先进的网络技术，实现网络数据高速有序流

15、通，建立高效率的信息网络平台，形成各个部门内外相联、上下贯通的信息传输网络。改造后的我公司网络平台应是一个技术先进、性能可靠、功能齐全的系统，系统内的各级用户在各自权限内，在各自站点上进行各自的工作，满足网上语音、视频、监控等多种应用，为集团业务发展提供一个稳定的信息高速公路基础平台。1.5 建设目标尽量保留现有网络中的

16、设备，在确保公司正常业务使用的前提下减少公司投资。不仅要考虑到如何实现数据的高性能传输，还要充分考虑网络的冗余与可靠，让系统在运行过程发生故障时，能迅速恢复正常工作，避免造成企业经济损失。改造后的网络系统具有良好的可维护性与可管理性，让管理员通过智能化分析工具后对网络运行状况了如指掌，高效率地处置运行故障与安全威胁。为公司网络

17、基础设施的未来发展提供良好的扩展接口，让网络核心骨干随15 / 190着公司规模的扩大、业务的增长，便于进行系统的扩展和升级。1.6 设计原则在整个网络改造设计过程中，力求尽量利用现有资源的基础上进行改造，严格遵循网络规范和设计原则，为用户打造一个稳定，安全的网络环境，具体考虑到以下的各个方面。1、稳定性网络的可靠性和稳定性

18、非常重要，决定着网络能够正常运行，在网络设计时，不论是网络节点、通信线路、应用设备还是网络拓扑的设计，都应该对可靠性和稳定性加以考虑，尽量减少故障节点，确保系统运行可靠。2、先进性设计网络系统的目的主要就是应用。因此，在设计时应当以注重实用和成效为原则，紧16 / 190密结合具体应用的实际需要。在技术上应该采用先进的网络技术和网络产品，选择技术成熟和实

19、用效果好、市场占有率高、通用性好的设备，适应信息技术的迅速发展，具有良好的技术先进性。3、安全性对于内部网络以及外部访问的安全必须高度重视，设计部署可靠的系统安全解决方案，避免安全隐患，采取防攻击、防篡改等技术措施，管理和技术并重，全方位构建整个网络安全保障，保证数据和服务器的安全。4、可管理性考虑到网络系统的后期

20、管理和维护，在方案设计中要充分考虑各个设备和系统的可管理性，使系统建成后易于管理、易于维护、操作简单、易学、易用，有效地提高对网络的管理，便于管理人员进行配置和处理故障。5、可扩展性着眼长远考虑，不但满足当前需要，并能满足后期扩展的需要，充分考虑今后网络的发展，预留升级和扩充余量，能够兼容不同厂家、不同类型的

21、网络产品及应用软件，便于向更新技术的升级与衔接。6、经济性本次系统改造建设中，要充分考虑原有系统资源的有效利用，发挥原有设备资源的价值，本着以最少的改造成本，获得最大的改造效果。对一些运行良好的硬件设备及应用软件要加以保护并合理利用，节省一部分投资。另外，对于新增的设备，17 / 190要尽量选择技术成熟可靠、性价比较

22、高的设备，达到实用、经济和有效的效果。1.7 设计依据及标准本次网络改造方案设计参考的标准和依据包括 :信息及网络系统设计标准信息技术通用多八位编码字符集（UCS）(GB 13000.1) 信息技术系统间远程通信和信息交换局域网和城域网(GB 15629.11-2003) 信息处理系统光纤分布式数据接口(ISO 9314-1: 1989) 光纤分布式数据接口（FDDI）高速局域网标准（ANSIX3T9.5 ）通信光缆的一般要求（GB/T7427-87）18 / 190结构化布线系统设计标准建

23、筑和建筑群综合布线系统工程设计规范(GB/T 50311-2006) 建筑和建筑群综合布线系统工程验收规范(GB/T 50312-2006) 信息技术用户建筑群通用布缆 (ISO/IEC 11801: 2002) 信息技术用户建筑群布缆的实施和运行(ISO/IEC 14763-1: 1999) 信息技术用户建筑群布缆配置(ISO/IEC 14709-1: 1997) 信息技术用户建筑群布缆的通路和空间(ISO/IEC 18010: 2002) 光纤总规范(GB/T 15972.2-1998) 民用建筑通讯通道和空间标准（EIA TIA569）信息安全设计标准计算机软件配置管理计划规范（GB/

24、T12505-1990）计算机信息系统安全保护等级划分规范（GB 17859-1999）计算机信息系统安全专用产品分类原则(GB 163-1997) 信息技术设备的安全 (ide IEC 60950:1999)（GB4943-2001）信息技术安全性评估准则（GB/T18336.1 2001）信息技术信息安全管理实施规则（ISO17799 2000）涉及国家秘密的计算机信息系统保密技术要求(BMZ 1-2000) 涉密信息设备使用现场的电磁泄漏发射防护要求(BMB 5-2000) 涉及国家秘密的计算机信息系统安全保密测评指南(BMZ 3-2001)智能化系统设计规范智能建筑设计标准

25、（GB/T50314-2006）建筑及居住区数字化技术应用系列标准（GB/T20299-2006）建筑智能化系统设计技术规程（DB/J01-615-2003）公共建筑节能标准（GB50189-2005）民用建筑电气设计规范（ JGJ/T）19 / 190机房工程系统设计标准电子计算机场地规通用规则（GB/T2887-2000）计算机场地安全要求（GB9361 -1988）电子计算机机房设计规范（GB50174-1993）20 / 190 防静电活动地板通用规范（SJ/T10796-2001）电信专业房屋设计规范（YD5003-1994）通

26、信机房静电防护通则（ YD/T754-1995）火灾报警系统设计标准高层民用建筑设计防火规范（GB 50045-1995）火灾自动报警系统设计规范(GB 50116-1998) 建筑设计防火规范(GBJ 16-1987) 火灾报警控制器通用技术条件(GB 4717-2005) 点型感烟火灾探测器技术要求及试验方法(GB 4715-2005) 点型感温火灾探测器技术要求及试验方法(GB 4716-2005) 线型光束感烟火灾探测器技术要求及试验方法(GB 14003-2005) 点型红外火焰探测器性能要求及试验方法(GB 15631-1995)综合安防

27、系统设计标准安全防范工程技术规范(GB 50348-2004) 安全防范系统验收规则(GA 308-2001) 安全防范工程程序和要求(GA/T 75-1994) 安全防范工程费用概预算定额编制方法(GA/T 78-1994) 出入口控制系统技术要求(GA/T 394-2002) 出入口控制系统工程设计规范(GB 50396-2007) 视频安防监控系统技术要求(GA/T 367-2001) 视频安防监控系统工程设计规范(GB 50395-2007) 安全防范报警系统设备安全要求和试验方法(GB 16796-1997) 报警系统电源装置、测试方法和性能规范(GB/T 15408-1994)防

28、雷与接地系统设计标准建筑物防雷设计规范（GB 50057-2010）21 / 190 建筑物电子信息系统防雷技术规范（GB 50343-2012）通信工程电源系统防雷技术规范(YD 5078-1998) 通讯局（站）低压配电系统用点涌保护器(YD/T 1235-2002) 通讯局（站）接地设计暂行技术规范(YDJ 26-1989)22 / 190 计算机信息系统防雷保安器(GA 173-2002) 计算机信息系统雷电电磁脉冲安全防护规范(GA 267-2000) 建筑物的雷电防护(IEC 61024: 1990-1998)工程及设备质量验收规范智能建筑工程质量验收规范（GB 50339-

29、2003）智能建筑工程检测规程（CECS 182：2005）建筑及居住区数字化技术应用（GB/T20299.2）安全防范系统验收规则（GA308-2001）安全防范报价设备安全要求和实验方法（GB16796-1997）建筑与建筑群综合布线系统工验收规范（ GB/T50312-2000）其他设计标准信息技术互连国际标准（ISO/IEC 11801-95）建筑内部装修设计防火规范（GB-5022295）电气装置安装工程施工及验收规范（GBJ232-82 ）民用建筑电气设计规范（JGJ 16-2008）供配电系统设计规范（GB 500

30、52-2009）低压配电设计规范（GB 50054-2011）工业与民用供电系统设计规范（GBJ 52-82）低压配电装置及线路设计规范（GBJ54-83）通用用电设备配电设计规范(GB50055-2011) 工业企业照明设计标准（GB 50034-1992）采暖通风与空气调节设计规范（GB50019-2003）通风与空调工程施工质量验收规范(GB50243-2002) 建筑装饰装修工程质量验收规范（GB50210-2001）用户对网络改造项目的其他要求23 / 1902.网络改造设计方案网络拓扑图按照网络分层设计模型，广安爱众公司新规划的网络拓扑结构如下：如上图，整个

31、网络架构设计可分为网络出口、核心层、接入层、传输、安全与优化等五大部分，现分别详述如下：2.1 网络出口设计外网出口连接上级的 Internet，带宽为上下行对称的 100M,是各种攻击行为、病毒传播、安全事件引入的风险点，通过在网络出口处部署高性能、高可靠、高安全的网关设备，可以很好的缓解风险的传播，阻挡来自外部网络攻击行为的

32、发生，是网络出口的第一道安全屏障。下一代防火墙在外网出口部署下一代防火墙，对进出网络的数据进行过滤，保护网络安全，主要实现以下安全防护效果：24 / 190 防止外网上的病毒、木马等恶意代码传播到内网中，保护内网终端、服务器；防御来自外网的漏洞扫描行为、入侵行为，使内网免受恶意攻击；控制用户访问网站行为，禁止访问非法网站、低俗网站、钓鱼网站，降低用户遭受攻击的风险。25 / 190 分为

33、信任区域和非信任区域，分别实施不同的安全策略，包括部署区域间隔离、受限访问、防止来自区域内部的 DOS攻击等安全措施；通过加密隧道构建 VPN（虚拟专用网络），方便分支机构和外出人员远程接入内网办公，提高工作效率。流量控制器流量控制器可基于 DPI（深度包检测）识别各类上网应用，由此，在防火墙和核心交换机之间，以网桥模式

34、串接了一台流控设备，来对进出防火墙的网络流量进行内容过滤和应用管控，以有效阻断非业务流量和内容，保证内网安全，提高互联网带宽利用率，限制高消耗带宽应用，保障网络通畅和网络的稳定性，控制用户使用无关应用和危险应用，提高网络整体安全性。下一代防火墙到核心交换机之间使用链路聚合，来提供冗余保障。2.2 核心层设计核心层是网络的高速交换主干，对整个

35、网络的连通起到至关重要的作用。核心层应该具有如下几个特性：可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中，应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心，重要性突出。核心层设备采用双机冗余热备份是非常必要的，也可以使用负载均衡功能，来改善网络性能。核心交换机集群主要部署两

36、台 S9706 组成一个 CSS（ Cluster Switch System）集群，它是网络虚拟化的一种形态，可实现把多台支持集群的交换机链接起来，从而组成一台更大的交换机， CSS26 / 190的典型特征有：交换机多虚一：CSS对外表现为一台逻辑交换机，控制平面合一，统一管理。转发平面合一：CSS内物理设备转发平面合一，转发信息共享并实时同步。跨设备链路聚合：跨 CSS 内物理设备的链路被聚合成一个 TRUNK 端口，和下游设备实现互联。从上图中我们可以看到，

37、CSS 通过设备 “多虚一 ”和跨设备的链路聚合，不但简化了网络拓扑，而且极大地提高了网络性能：简化运维：整个CSS被作为一台交换机来管理，简化运维、降低Opex。可靠性高：CSS 内一台设备故障，其他设备可以接管 CSS 的控制和转发，避免单点故障。无环网络：跨设备的链路聚合，在 CSS 和其他设备互联时，天然避免了环路问题，无需部署MSTP等复杂的破环协议。链路均衡：跨设备的链路均衡，100的网络链路和带宽的利用率。CSS 在简化网络、提升转发性能的同时，没有带来任何

38、网络功能的损失。物理交换机具有的所有功能，都在 CSS系统下得到继承，且性能还得到了放大。 CSS 拥有的这些特质，使其得到了越来越多的认可和接受，并成为了部署简单、高效网络的首选方案。2.3 接入层设计接入层通常指网络中直接面向用户连接或访问的部分。其目的即利用光纤、双绞线、同轴电缆、无线接入等传输介质，实现与用户连接，

39、并进行业务和带宽的分配，允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。20 / 190而本次改造中有 14 个接入层点位将采用双线上行至核心交换机（集群），并利用 OSPFECMP（ Equal-Cost Multiple Path）特性，在两条专线链路之间进行负载均衡，既增加了网络的可靠性，又能提高了资源的利用率。2.4 网络规划设计本次

40、网络改造项目中，将摒弃原有传统的单线二层接入方式，从而采用运营商双线运行动态路由协议（ OSPF）进行三层传输接入核心，去掉中间级联设备，形成扁平化的网络架构，这种组网方式将各个分支机构分割成单独的局域网，一旦某个分支机构出现网络及线路故障将不会影响其他节点的业务。新的传输接入模式，必须在各个节点建立独立的三

41、层网关进行路由转发，这就要求对整个网络进行新的规划和设置，如下表所示：点位网段 VLAN10.0.1.0/24 101互联10.0.2.0/24 102代市气所 172.16.31.0/24 30121 / 190岳池水务 172.16.32.0/24 302前峰水务 172.16.31.0/24 303领水水务 172.16.34.0/24 304华蓥水务 172.16.35.0/24 305城北客户中心 172.16.36.0/24 306城南客户中心 172.16.37.0/24 307西充燃气 172.16.38.0/

42、24 308领水燃气 172.16.39.0/24 309希望接收费 172.16.40.0/24 310城东水所 172.16.41.0/24 311龙门收费 172.16.42.0/24 312武胜水务燃气 172.16.43.0 313岳池电力 172.16.45.0 314 以上网络规划和设计，将在大的城域网环境中形成多个广播域，隔离广播风暴和二层流量泛洪，减少 IP 地址冲突，提高整个网络的安全性和可维护性。具体的实施细节，将在项目施工

43、过程中与甲方相关人员进行深化设计。2.5 网络传输设计从核心层到接入层的传输部分是各个运营商（电信、广电、联通、移动）的 MSTP 专线，其中，大部分接入点专线带宽为 10M，而少数营业收费点专线带宽为 2M，在带宽不够的情况下，可以酌情考虑增加线路带宽。MSTP（ Multi-Service Transmission Platform）是指基于 SDH 平台同时实现 TDM、 ATM、以太网等业务的接入、处理和传送，提供统一网管的多业务节点。其构建统一的城域多业务

44、传送网，将传统话音、专线、视频、数据、 VOIP、 IPTV 等业务在接入层分类收敛，并统一送到骨干层对应的业务网络中集中处理，从而实现了所有业务的统一接入、统一管理、统一维护，提高了端到端电路的服务等级，这种专线技术具备以下优点：22 / 190 泛用性MSTP电路适用于任何高速率、信息量大、实时性强的业务传送在通信领域的应用前景广阔，用户端接口为通用性的 RJ

45、45接口。可选性MSTP专线带宽灵活，在2M到1000M的区间内，可以灵活选择。安全性安全性有保障，比纯粹基于互联网的VPN业务安全性更高。灵活性组网灵活，可支持星形网络、环形网络、点到点连接、多点汇聚等。2.6 网络安全与优化设计1、网络回溯分析系统在网络核心 CSS集群旁部署一台网络回溯分析系统，可以实现了对网络通讯数据包级的高性能实时智能分析，因为网络回溯分析系统是一款集成大容量存储的高性能数据包采集和智能分析硬件平台

46、，它可以提供对各种网络性能和应用性能的关键参数实时分析，同时还能23 / 190够实时捕获并保存网络通讯流量，具备对长期的网络通讯数据进行快速数据挖掘和回溯分析能力，实现对关键业务系统中的网络异常、应用性能异常和网络行为异常的实时发现、以及异常原因的智能回溯分析，提升了对关键业务系统的运行保障能力和问题处置效率

47、。这样就在内网构建起了一套基于流量的实时监控和回溯体系，不但可以精确了解网络整体性能、应用负载，还能准确定位网络异常原因，及时排查网络故障和病毒、木马、攻击等安全隐患，实现核心链路 /核心区域 /核心业务运行可视化，彻底解决 “黑盒运维 ”。2、入侵检测系统在核心 CSS集群旁挂一台专业的 IDS(入侵检测系统 )，该设备可通过抓取来自

48、核心交换机的数据流镜像，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。24 / 1903、负载均衡器在业务服务器集群子网区域内的各个应用服务器前端部署一套负载均衡器，在多个客户端发起业务访问请求时，由前端的负载均衡器来对所有访问请求进行反向代

49、理和统一调度，进而将业务访问负载合理均衡地分担到每个后端服务器节点上，以提高业务系统的整体服务效能。25 / 190同时对服务器的操心系统、中间件、文件系统等软件参数配置以及资源池分配进行优化，增强服务器的并发会话处理能力，而数据库方面，则可通过建立索引，优化 SQL语句和优化内存、日志、表空间分配等方法来提高数据库 I/O性能，加快数据的

展开阅读全文