网络整改策划方案

重重庆庆市市艾艾克克沃沃电电子子商商务务有有限限公公司司网网络络升升级级项项目目文文档档-1-重庆市艾克沃网络整改方案网网络络升升级级项项目目文文档档(之解决方案)2011年11月重重庆庆市市艾艾克克沃沃电电子子商商务务有有限限公公司司网网络络升升级级项项目目文文档档-2-1.网络背景情况1.1网络改造的目的为了能够充分重庆市第一国际代购（贸易）的网络营销、留学生代购等资源优势。充分利用网络资源平台，发挥各部门力量优势，努力将艾克沃建设成面向全球大部分国家和地区。1.2现有项目的背景现有各部门的网络设备参差不齐，各部门之间串联网络接口，导致交换机负载量过大，网络交换机随处可见，网络线路横七竖八。不能充分发挥我公司的网络资源。1.3实施范围网络状况，将财务部旁边小屋作为中心，与财务、代购、外贸组成局域网，组成中心交换区，更换所有网络交换设备。通过内网控制防御病毒攻击，并在网关处设置Qos，解决网络宽带应用问题。2.网络现状分析艾克沃总部由财务、代购、外贸组成。网络设备并不完善，网络设备也已不能否满足网络发展的需求。这3个主要分组的网络虽然可以基本满足当前各部门的应用需求，但难以满足系统及数据集中的需求，主要有以下几个方面：网络可用性较低目前虽然都有相应的网络设备，但每个每个部门的硬件条件和网络应用水平不一，路由器、交换机等关键设备分布不均，并且均较陈旧，并且交换设备负载过大，存在较大单点故障风险。网络安全性不足原有网络中几乎没有考虑网络的安全控制，实现集中互连以后，承载部分各种网络应用、财物业务、营销业务，推广业务及少部分人力资源业务，一定要有相应的安全防护机制。服务策略不一致：原有的设备无法真正从整个系统角度制订统一的服务策略，比如安全策略、高可用性策略、业务优化策略等等，造成前后策略的不一致性，从而难以真正为系统业务提供强大的服务支撑。2.1网络改造项目建设目标通过对3个分组目前网络的分析，以及对未来应用系统发展的预测，为了适应应用系统对网络基础设重重庆庆市市艾艾克克沃沃电电子子商商务务有有限限公公司司网网络络升升级级项项目目文文档档-3-施的要求，计划进行网络系统优化改造。对于改造后的网络系统，应满足以下方面的要求：1、设备技术先进性方面：本次选用的核心设备应具有技术先进性，并充分考虑到项目的近远期规划和实施步骤，考虑到未来用户需求的变化和发展要求等。2、扩展性方面：随着需求的不断变化，设备容量应具有良好的可扩展。3、安全性方面：系统应能支持或兼容原有的安全控制策略并具有较高安全性。4、可靠稳定方面：设备应充分考虑系统的可用性、稳定性和可靠性。5、设备应易于管理，便于维护。6、设备应具备大流量处理能力。针对以上需求，本次网络改造项目的重点是网络核心的改造、优化、完善，目标是建立起一套技术先进、扩展性强、冗余度高、易于实现和管理的网络。改造后的网络将完全是一个高效，稳定，可扩展，具有强大功能的业务综合承载传输平台。改造后的网络络应能达到如下要求：网络具有高度的可靠性，不存在单点故障，并有较强防备灾难的能力。创造一个开放的网络平台，支持多种业务的同时传输。网络带宽具有很好的可管理性，网络延时小，要保证数据流端到端的及时传输。网络要具有良好的扩展性、可升级性，包括业务量和业务种类的扩展，以及与其它机构或部门的连接等；网络带宽可以平滑的进行升级不必更换网络设备，网络设备接口统一，尽量避免投资浪费。2.2设计原则为满足网络升级的需求，并达到目标要求，在网络设计构建中，应始终坚持以下建网原则：高可靠性--网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持各业务系统的正常运行。技术先进性和实用性--保证满足应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到网络应用的现状和未来重重庆庆市市艾艾克克沃沃电电子子商商务务有有限限公公司司网网络络升升级级项项目目文文档档-4-发展趋势。高性能--骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为未来网络应用的瓶颈。高兼容性--支持国际上通用标准的网络协议（如IP、OSPF）、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络(如公共数据网)之间的平滑连接互通，以及将来网络的扩展。灵活性及可扩展性--根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。可管理性--对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。安全性--制订统一的骨干网安全策略，整体考虑网络平台的安全性。3．网络建设总体设计方案3.1网络总体方案设计本次网络设计在链路上采用光缆宽带传输网络相结合，以中心交换机为中心，通过网络线路与财务、代购和外贸互联。3.2二层链路设计要点本次改造主要希望实现国内外网络多种业务的高速访问。在简单、可靠的物理网络结构下通过精细的网络协议的规划体现多种业务（包括数据、语音、视频）支持的能力。为了在单一硬件平台上实现这些业务，必须有针对性地在网络上进行相应的规划和逻辑结构的设计。该设计中，对于二层以太网业务，以接入交换机作为二层网络的边缘，核心交换机作为二层网络的核心节点。接入交换机提供10/100M的网络接入，并按照需求进行VLAN（虚拟局域网）的划分，所有接入终端按VLAN接入。核心交换机提供VLAN内数据的快速交换以及VLAN间数据跨VLAN的快速路由。3.3三层链路设计要点的IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系，将对整个网重重庆庆市市艾艾克克沃沃电电子子商商务务有有限限公公司司网网络络升升级级项项目目文文档档-5-络的可用性、可靠性与有效性产生显著影响。因此在对IP地址进行规划建设的同时，应充分考虑本地网对IP地址的需求，以满足未来业务发展对IP地址的需求。IP地址规划遵循以下原则：IP地址的规划与划分应该考虑到园区网的发展，能够满足未来发展的需要；IP地址的分配需要有足够的灵活性，能够满足公司接入如宽带接入、专线用户等的需要；专线子网中专线用户的IP地址由本网统一分配。分配地址块时遵循从大到小的原则。Internet/Extranet接入的安全设计防火墙公司业务上需要与其它信息网络相连接，而且这一类互联的应用将会越来越多，因此对该内外网的安全访问控制和隔离是网络安全的一个重要的方面。采用常用的设计方法，在网络边界上配置防火墙。通过防火墙这种安全隔离设备，将网络隔离为三个安全等级不同的区域，即安全级别最高的内部网络、安全级别最低的外部网络和非军事化区。内部局域网的安全性保证内部安全性包括对路由器等网络设备的访问与配置修改。一般来说，局域网中在安全方面的基本功能是进行子网和VLAN之间的基于数据包的过滤、隔离，这种技术已经非常成熟，在实际环境中有大量的应用。可以根据交换机端口MAC地址进行VLAN的划分,并通过访问控制列表等技术对于VLAN之间的通讯进行基于IP地址、网段、TCP/UDP端口号等方式的过滤。3.4实施建议3.5现有网络架构调整本阶段的建设目标：重点是保障四个校区之间网络的开通以及核心区域服务器的安全。本阶段建议进行如下方面的建设：1）使用新的核心交换机替换原有核心交换机：现有的核心交换机设备过于陈旧，性能、功能以及可重重庆庆市市艾艾克克沃沃电电子子商商务务有有限限公公司司网网络络升升级级项项目目文文档档-6-靠性均不能满足运行要求，继续使用将导致网络的故障率大大增加。建议使用新的核心交换机替换原有核心交换机，将原有核心交换机作为后备继续使用。2）增加新的接入交换机：给中心交换区配置1交换机，通过百兆电口经过网络线路连接其他交换机百兆端口连接，通过百兆电口与计算机连接。3）更换目前工作不稳定的二层交换设备：通过对目前分校的现有的二层交换机的连通性数值和通过测试仪表进行交换机性能测试分析，将对通信延迟较高的交换机，并在处理性能和稳定性方面都已不能满足网络需求的进行更换或替换。4实施和完善4.1项目启动工作内容从整改方案确定之日起标志项目开始，由网络管理员负责发起后续的项目活动。4.2管理性测试测试网络设备的可管理性，网络管理协议SNMP测试、网络设备的管理安全性、管理数据加密等，检验网络设备是否能够与原厂商网管平台通讯，以及在网管信息的安全传输。4.3安全性测试根据环境状况进行安全性测试。4.4路由协议测试测试网络中相关路由协议的连通性和路由收敛的能力，保证网络设备在网络层上的互连互通性。测试将主要测试网络中运行的路由协议的连通性。