XX網路改造方案書

xx****

xx年xx月xx日

目錄第1章 xx網路現狀 3

1.1 網路連線現狀 3

1.1.1xx區域網現狀 3

1.1.2與internet連線狀況 4

1.2 網路應用現狀 4

1.2.1管理應用現狀 4

1.2.2外聯網應用現狀 4

1.3 網路安全現狀 5

1.4 網路管理現狀 5

1.5 xx網路存在主要問題 5

第2章網路改造的需求規定 5

2.1 總體目標 5

2.1.1網路管理的需求 5

2.1.2網路安全的需求 6

2.1.3網路應用的需求 6

第3章網路改造的基本原則 6

3.1 高可靠性 6

3.2 實用性 6

3.3 集中管理 6

3.4 可擴充套件性 6

3.5 靈活性 7

3.6 技術先進性 7

3.7 保護現有投資 7

3.8 分階段實施原則 7

第4章網路總體設計 7

4.1 xx網路系統改造目標總體架構 7

4.1.1組網模式 7

4.1.2網路總體拓撲結構設計 9

4.2 區域網改造 10

4.2.1裝置選擇 10

4.2.2vlan劃分 10

4.3 與internet的連線 10

4.4 可靠性設計 10

4.4.1裝置備份 10

4.4.2鏈路備份 11

4.5 網路ip路由設計 11

第5章社科院網路管理設計 11

第6章網路系統安全設計 12

第7章 ip位址分配規劃 12

1.1.1xx區域網現狀

xx中心機房位於圖書館內部，中心機房內有三颱伺服器分別是web、oa和圖書資源伺服器。a、c兩個區都通過網線連線到b區3樓的hub，hub又通過光纖收發器連線多模光到中心機房的交換機，學生宿舍直接通過網線連線到中心機房。各個區內的網路裝置情況如下：

a、b兩個區各7層，每一層都有乙個寬頻路由器，下面連了18到24個點，每乙個寬頻路由器都上鏈到b區3樓的hub，學生宿舍有四層，每層的網路情況和a、b兩個區一樣，但它是直接連到了中心機房，c區只有一層，大約18到24個點，上連到b區3樓的hub同樣通過了乙個寬頻路由器。如圖所示：

1.1.2與internet連線狀況

xx選擇了雙線接入internet，分別是電信的20m光纖和網通的8m光纖。連線拓撲圖如下：

根據xx的實際情況，可將xx的網路業務劃分為：核心業務和外連業務。核心業務指內網對所有伺服器和外網對除oa伺服器外的訪問，保證內網的辦公需求和與外網的溝通；外連業務是指滿足老師和學上的網際網路的訪問。

1.2.1管理應用現狀

現在在xx內網上執行的系統主要包括oa、web、圖書資源，除oa外，其它兩個系統都面向internet開放。

1.2.2外聯網應用現狀

外部連線網際網路選擇了雙線，這主要是為了實現學生和老師上網分離的目標。學上上網通過網通的8m鏈路，老師上網通過電信的20m鏈路。

xx在內網連線到網際網路的邊界架設了防火牆，這可以避免外網對內網的攻擊。

xx目前還沒有實現全網的統一管理，因為許多網路裝置如：寬頻路由器、小型的家用交換機，很多時候不能實現跨網段管理。

根據xx網路改造需求，核心要求實現冗餘和快速的故障切換、並支援第三層交換和路由功能。現有中心機房內的交換機無法實現這樣的功能。

隨著以後更多的網路應用不斷退出，社科院100m的骨幹鏈路將面臨擁塞。

網路裝置過於陳舊，寬頻路由器、家用交換機不適用與企業網路，這些裝置的工作效率在企業網路中堪憂。還有老的hub就類似與將各個區加入了乙個更大的廣播域，增加了網路不必要的負擔。

各個區上連到核心沒有備份的鏈路，一旦光纖出現故障，沒有其他的應急方案可供選擇。

xx網路改造是為了適應新形勢下的發展，隨著網際網路應用的不斷更新，老的網路設計一不能很好的承載這些應用。同時為了滿足師生更好的利用網際網路和網際網路對內網的訪問。從而達到推動企業向前發展的目標。

2.1.1網路管理的需求

根據xx改造目標，要求實現全網的統一管理。

2.1.2網路安全的需求

阻止外網對內網的可能攻擊，實現全網互通的同時保障內部伺服器的安全。

2.1.3網路應用的需求

對外開放web、圖書資源伺服器，師生之間傳檔案不再通過網際網路。

選用可靠性高的網路產品，合理設計網路架構，制定可靠的網路備份策略，保障網路有故障恢復的能力，從而最大限度的支援網路的正常執行。

網路改造方案設計實施應充分考慮實際需求和費用，追求高的性效比。

對網路實行集中檢測，並統一分配頻寬資源，選用先進的網路管理平台，具有對裝置、埠等的管理、流量統計分析，及可提供故障自動報警。

根據未來業務的增長和變化，網路可以平滑的擴充和公升級，減少對網路架構和現有裝置的調整。

支援大型的動態路由協議，支援策略路由功能，保證與其他網路的平滑連線。

以先進成熟的網路通訊技術進行方案設計與實施，相關的技術均要符合國際標準。

保證網路整體效能的前提下，充分利用現有網路裝置或做必要公升級。

對整個網路改造進行統一規劃，分階段逐步實施。

4.1.1組網模式

大型網路的網路結構是層次化的，正確理解xx網路層次的劃分和每個層次的主要作用，有助於我們合理選擇網路拓撲和網路技術。鑑於xx網路的實際情況，我們將網路結構設計為如下層次：

核心層：進行高速的資料**，雙核心保障快速的故障恢復。

匯聚層：實現網路統一的互聯層，接入層向核心層的匯接點，社科院各個區的網路即屬於匯聚層。

接入層：為終端使用者提供對網路的接入，各辦公室電腦到樓層交換機的網路即屬於接入層。

按照以上方式進行組網，層次比較清晰，便於方案實施。

組網模式如下圖：

4.1.2網路總體拓撲結構設計

網路改造的網路拓撲結構示意圖如下所示：

4.2.1裝置選擇

在xx網路核心，增加兩台高效能的交換機思科ws-c4503-e，兩個不需要poe的電源pwr-c45-1000ac，每台交換機各乙個，每個可提供1000w的交流供電。兩個ws-x45-sup6-e引擎。兩個ws-x4612-sfp-e線卡，可提供12個千兆光模組插槽。

24個glc-sx-mm多模光纖模組，每個線卡12個，可供各個區的匯聚交換機上連到核心。剩餘的光纖模組可用於連c區和實現故障切換。

匯聚層交換機選擇ws-c3560g-24ts，他提供24個10/100/100m口和4個千兆乙太網gbic/sfp介面可用於光纖上行到核心並滿足到接入層的千兆接入。需要新增兩個glc-sx-mm=光纖模組，實現到兩個核心的上行。

接入層交換機選擇ws-c2960-24tcl，它提供24個百兆口到桌面的埠密度，同時用用兩個光電復用的介面可直接上連到匯聚層交換機的千兆口，距離不是太遠的情況可以使用電口而不需要新增光模組。

4.2.2vlan劃分

可以按照不同的部門來劃分不同的vlan，各個區屬於不同的vlan，伺服器群屬於乙個單獨的vlan，另外再劃分乙個單獨的vlan用於對網路裝置進行管理。各樓層可根據實際情況和需求來決定是否需要劃分vlan。

為了實現與internet的連線，在網路的出口假設了兩個juniper防火牆，乙個用於連線電信，乙個用於連線網通，在核心交換機上實現策略路由，老師上網走電信，學生上網走網通。

xx網路可靠性包括網路裝置備份和鏈路備份。

4.4.1裝置備份

xx核心兩個思科ws-c4503-e通過hsrp熱備路由協議實現裝置的冗餘和快速故障恢復。

4.4.2鏈路備份

各個區的匯聚層交換機上行到核心交換機都通過兩條多模光纖鏈路分別上行到兩個核心。

根據xx網路的實際情況，中心機房到各個區包括學生宿舍和伺服器群以及管理vlan，總共只有幾個單獨的vlan，所以不考慮什麼動態路由協議。只需在核心交換機和防火牆上新增到網際網路的預設路由和到內網子網的靜態路由即可。

為了實現全網的統一管理，特意劃分了乙個單獨的vlan來對各個區的匯聚層交換機以及核心交換機進行管理。可通過對特定網路裝置ip位址的訪問來實現管理，包括防火牆，都開啟管理功能以實現對所有需要管理的網路裝置的管理。

考慮到保護內網伺服器的安全，主要是考慮對外網訪問內網的安全，在兩個連線網際網路的出口假設了兩個juniper防火牆，juniper防火牆基於區域的流量檢測比傳統的基於acl的流量檢測更強大，網路管理員不必再為大量的acl感到煩惱。簡化了網路管理員的負擔。

另外考慮到伺服器群的位置，根據社科院的改造要求，可以看到這裡並沒有考慮內網對伺服器群的攻擊，若考慮到這點，可在核心交換機上通過acl只允許內網使用者訪問伺服器群的特定業務，從而實現伺服器群在內網的安全。

XX網路改造方案書

網路改造公升級方案

網路改造技術方案

某公司網路改造專案方案

XX網路改造方案書

網路改造公升級方案

網路改造技術方案

某公司網路改造專案方案

相關推薦