XXX公司的网络改造方案

XXXXX（贵阳）有限公司网络升级方案现有网络分析Cool公司现有局域网拓扑图17F16F·16F常用电脑在23台之间·17F常用电脑在60台之间·每天在线IP在80个左右·整个网络结构是一个大广播域，现在所使用的交换机全部为傻瓜式，工作在二层，也不能进行VLAN划分，一旦组网内出现广播请求，它会在路由的出口处到客户端来回传输、确认，产生环路，从而占用带宽资源。财务及资金区域风控及机构区域会议室CoolZCHZBBGZCHZBGZCHZBCD总经办区域HIPER网关两路ADSL4M电信一路联通2M光纤1、主要网络设备采用五类非屏蔽双胶线串连各主要设备，现有主要网络设备5台（HiPER4240G网关1台，H3cS1026T交换机2台，H3cS1016R交换机2台）。其中HiPER网关只开启LAN1，采用百兆双胶线把LAN1和四台H3c傻瓜交换机进行串连，而这四台交换机最大的缺陷就是不能分割广播域，所以在整个网络环境中，当局域网内同时出现多个广播，就会造成传输线路拥塞，引发广播风暴，大大降低传输速率。严重时还会导致网络瘫痪。2、网络结构采用100M非屏蔽双胶线作为主干线路，在可见线路中并无强电并行，也没有较大功率设备干扰。不足之处是由于在布线时，仅有一根主线，并无备用线路，当线路出现老化或不确定故障时，不能启用紧急线路进行网络恢复。同时，在公司增加人员后，后续也会有相应IT设备增加，没有多余线路进行传输负载。3、ISP带宽公司现有带宽18M。电信ADSL4M两门，联通10M光纤一门。设计原则及升级需求分析1、核心交换机的选择A、可管理性：网络建设的一项重要内容，网络的建设必须保证网络运行的可管理性。通过系统内置或基于Web的管理程序快速实现优秀的性能、支持IEEE802.1QVLAN、支持MACBasedVLAN（根据公司现有网络结构）、ProtocolBasedVLAN、VoiceVLAN等、支持IEEE802.1d标准的SpanningTree、支持至少4组RMON（统计、历史、事件、报警）、支持SNMP、Telnet、Web等管理方式。完全满足公司主干负载，帮助管理人员监测网络，平衡服务器或音视频数据流量负载，大大提高网络的运行效率，并可迅速简便地进行网络故障的诊断。启用ACL规则实现上网行为管理。B、可伸缩性：网络建设是一项持续性的系统工程项目，坚持网络建设规模的可伸缩性原则，将使得网络的建设费用降低，避免不必要的浪费，也体现了网络建设的灵活性。C、安全性：从交换机来说，首选需要保证交换机端口的安全。为了防止公司内部员工在未经许可的情况下，任意使用交换或集线器等设备将一个上网端口增加到多个，导致这个网络接口对应的交换机接口流量增加，从而导致网络性能的下降。所以，必须把端口、终端MAC、IP进行绑定，未经许可的终端不能进行上网行为。并能有效防止不明攻击。2、费用预算A、3、在公司即将启用的OA系统和视频会议系统服务器置于传真室，直接与HiPER网关相连。4、根据现有人员和将来的增员计划，把公司现有两门电信ADSL4M网络进行升级。增加总带宽到20M及上光纤。如果在以后的建设中，需要开启VPN虚拟通道时，异地数据传输也可达到显著效果。方案设计Cool升级后规划方案拓扑图17F16F财务及资金区域风控及机构区域会议室CoolZCHZBBGZCHZBGZCHZBCD总经办区域HIPER网关两路ADSL4M电信一路联通2M光纤TL-SG3424核心交换机整体带宽升级到20M光纤VLAN1VLAN2VLAN3VLAN4VLAN5VLAN6增加智能设备1、根据现有网络情况，实行升级而不改变结构。采用TPlinkTL-SG3424或具备MACBasedVLAN、支持端口汇聚和多种生成树协议等功能、或工作在第三层的网管式交换机，做为核心交换机，串连于HIPER网关，其余各部门终端设备与组内交换机相连，组内交换机接入核心交换机。2、利用交换机MACBasedVlAN功能，并可以通过MAC地址，以部门为单位，把终端划分到各自VLAN中。保证数据安全，同时也缩小广播域范围，有效抑制广播风暴给线路造成的拥塞。3、通过交换机，配置基于VLAN的ACL规则，在工作时间内，对网内终端上网行为进行控制，有效防止病毒感染。通过ACL可以限制网络流量、提高网络性能。通过ACL可以把公司重要的数据包，提升其优先级进行传输。提升总带宽1、通过联系电信和联通两家运营商。电信会在一个月左右铺设好光纤资源，具体费用问题还没需要等工作人员给我电话回复，把价格和带宽等详情咨询清楚。再作汇报、申请。所需设备及参数1.核心交换机（TPLINKSG3424千兆交换机）（3000元左右）全千兆接入提供24个10/100/1000M自适应RJ45端口，所有端口均具备线速转发能力；提供4个千兆SFP（miniGBIC）光纤模块扩展插槽，支持千兆、百兆光纤模块，充分保护用户投资，方便用户灵活组网。安全防护体系支持Port/MAC/IP/VLANID四元智能扫描绑定，迅速定位用户信息，操作简单，简化网络管理；结合ARP攻击防护功能，彻底解决内网ARP欺骗与攻击；支持端口安全，可限制端口MAC地址学习数目，有效防御MAC地址攻击；支持DoS攻击防护、蠕虫病毒防护功能，有效保证网络安全。VLAN功能支持IEEE802.1QVLAN、PortBasedVLAN、MACBasedVLAN、ProtocolBasedVLAN、VoiceVLAN等丰富的VLAN功能，满足不同用户的需求，使组网更加便捷、高效与安全；支持GARP和GVRP，使局域网VLAN配置更加快捷方便。丰富的QoS策略支持基于端口、IEEE802.1p以及DSCP三种优先级模式，支持Equ、SP（Strictpriority）、WRR（WeightedRoundRobin）、SP+WRR四种队列调度算法，保障关键业务数据优先处理；支持流量控制功能，能合理分配带宽；支持语音VLAN，保证通话质量。多层次的访问控制策略强大的硬件ACL能力，支持L2~L4数据流分类；支持基于端口、VLAN的ACL，轻松实现网络监控、流量监管、优先级重标记以及数据转发控制；支持基于时间段的ACL控制，方便实现对时间精确控制访问需求；支持基于端口和基于MAC的802.1x认证，轻松设定用户访问权限。高可靠性设计支持传统的STP/RSTP/MSTP二层链路保护技术，极大提高链路的容错、冗余备份能力，保证网络的稳定运行；提供手工汇聚、静态LACP、动态LACP三种汇聚模式，有效增加链路带宽，提高链路可靠性，同时实现负载均衡、链路备份；支持组播管理，通过IGMPSnooping技术，有效抑制组播泛滥造成的网络拥堵。安全的网络管理和维护支持CLI命令行（Console，Telnet，SSHV1/V2），Web网管（http、SSLV2/V3/TLSV1），SNMP（V1/V2c/V3）等多种管理方式，快速便捷实现网络管理；支持用户分级、身份过滤等功能，增强配置安全性；支持端口数据监控，实时监控网络状态，轻松实现全局网络统一管理，方便灵活。华为QuidwayS3328TP-SI(AC)（3500左右）华为QuidwayS3328TP-SI(AC)功能特性网络标准：IEEE802.3，IEEE802.3u，IEEE802.3ab，IEEE802.3z，IEEE802.3x，IEEE802.1Q，IEEE802.1d，IEEE802.1XVLAN：支持4K个VLAN支持GuestVLAN、VoiceVLAN、SuperVLAN支持基于MAC/协议/IP子网的VLAN支持基本、灵活QinQ功能支持1:1和N:1VLAN交换功能QOS：支持对端口接收和发送报文的速率进行限制支持报文重定向支持基于端口的流量监管，支持双速三色CAR功能每端口支持8个优先级队列支持WRR、DRR、SP、WRR�SP、DRR+SP等队列调度算法支持WRED（仅S33HI支持）支持报文的802.1p和DSCP优先级重新标记支持L2（Layer2）-L4（Layer4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN的非法帧过滤功能支持基于队列限速和端口Shaping功能组播管理：支持1K的组播组支持IGMPv1/v2/v3Snooping和快速离开机制支持组播VLAN和跨VLAN组播复制支持捆绑端口的组播负载分担基于可控组播基于端口的组播流量统计IGMPv1/v2/v3、PIM-SM、PIM-DM网络管理：支持智能堆叠支持MAC地址强制转发支持自动配置（auto-config）、集群管理HGMP支持Telnet远程配置、维护支持自动配置功能支持虚拟电缆检测支持以太网OAM支持断电告警Dyinggasp功能支持端口镜像和RSPAN（远程端口镜像）支持SNMPv1/v2/v3支持RMON支持MUXVLAN特性支持GVRP协议支持网管系统、支持WEB管理特性支持SSHV2支持HTTPS（仅S33HI支持）支持802.3az能效以太网EEE（仅S33HI支持）支持系统日志、分级告警安全管理：用户分级管理和口令保护支持防止DOS、ARP防攻击、ICMP防攻击功能支持IP、MAC、端口、VLAN的组合绑定支持端口隔离、端口安全、StickyMAC支持MAC地址学习数目限制支持IEEE802.1X认证，支持单端口最大用户数限制支持AAA认证，支持Radius、HWTACACS+、NAC等多种方式支持SSHV2.0支持CPU保护功能支持黑名单和白名单2.普通网络测线仪（50元左右）