2022年网络整改方案 .pdf

《2022年网络整改方案 .pdf》由会员分享，可在线阅读，更多相关《2022年网络整改方案 .pdf（18页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、中国大唐集团海外公司内外网分离改造方案北京泰豪智能工程有限公司福地项目部2016 年2月29 名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 18 页 -1.现有网络分析为了配合大唐集团信息化建设的全面开展，适应现代社会对信息化社会的要求，提高现代化办公的水平，参考已经完成的新能源公司内外网分离项目，计划此次海外公司内外网分离的改造工程。公司根据自己多年的行业经验，特提出此方案。以下是海外公司现有网络结构示意图及四层主机房的机柜布置图：网络结构示意图名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 18 页 -服务器机柜布置图名师资料总结-精品资料欢迎下载-名师精心整

2、理-第 3 页，共 18 页 -网络核心机柜布置图名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 18 页 -现有网络设备可以统一规划在外网部分，服务器群规划在内网部分。对于外网来说，内网相对需要的安全级别更高，数据需要更好、更快、更安全的处理和传输环境，新增加的网络统一规划为内网。设备新、速度快、安全性高、容易备份。三层网络架构采用层次化模型设计，即将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。三层网络架构设计的网络有三个层次：核心层（网络的高速交换主干）、汇聚层（提供基于策略的连接）、接入层（将工作站接入网络）。

3、核心层：核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性：可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中，应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心，重要性突出。核心层设备采用双机冗余热备份是非常必要的，也可以使用负载均衡功能，来改善网络性能。汇聚层：汇聚层是网络接入层和核心层的“中介”，就是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。汇聚层具有实施策略、安全、工作组接入、虚拟局域网（VLAN）之间的路由、源地址或目的地址过滤等多种功能。在汇聚层中，应该选用支持三层交换技术和VLAN 的交换机，以达到

4、网络隔离和分段的目的。接入层：接入层向本地网段提供工作站接入。在接入层中，减少同一网段的工作站数量，能够向工作组提供高速带宽。接入层可以选择不支持VLAN 和三层交换技术的普通交换机。根据海外公司的网络情况实际需求，应再增加一套完整的网络设备，形成一套独立的三层网络架构，增加的设备包括：1、四层机房增加核心层及汇聚层，包括：核心路由器、核心交换机、汇聚交换机、防火墙、网络管理平台。2、11层及12层信息机房内增加接入层，包括每层增加一台42U 标准机柜、两台接入换机，原有的接入交换机硬件老化，接口松动，传输速度过慢，影响正常的办公网络使用，建议更换。名师资料总结-精品资料欢迎下载-名师精心整理

5、-第 5 页，共 18 页 -3、11层现有内网端口 95个，外网端口 85个；12层内网端口 72个，外网端口 65个；由于内网端口故障或者工位端口故障或者工位至信息机房线路故障导致11层占用外网端口 12个，12层占用外网端口 13个；施工改造过程中会出现部分办公室外网端口不够用的情况，可能会需要增加一部分机房至工位的网络线路。4、考虑到网络系统冗余和关键数据备份，参考新能源公司的网络结构搭建，可以将内网部分做硬件备份，其中任何一台核心设备故障或者断电都不会影响整个网络系统的正常运行，如下图：名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 18 页 -2系统设计原则标准化原则

6、遵守国际 ISO及IEEE相应的系统工程规范及中国系统工程规范实用性原则核心网络是根据实际工作中最迫切需要解决的问题而建立，必须从实用的角度出发，在深入调研的基础上，真正提供办公、管理所需要的帮助，防止任何不切合实际的做法所带来的浪费。先进性原则系统整体上从资源配置（包括硬件设备，系统软件，网络选型）到功能用途等尽量争取在同业间具有先进水准。技术成熟性原则系统选型及总体集成应尽量采用先进、成熟的技术，选用已经被市场证明了的配置方式。避免盲目相信产品参数所导致的失误，使之建成后就能很快地投入实际使用，提高工作效率。可靠性原则系统的各项资源包括硬件设备、应用软件等可靠性要高，工作稳定，易于维护。在

7、出现硬件故障和软件故障时，有可靠的恢复手段。同时，系统应有足够的容错能力，同时能够自动进行故障检测与隔离，关键设备达到99%不间断工作。成长性原则随着系统、应用环境的变更，通过网络模块的变换及软件支持，网络基础结构能够发挥 5-10年效益，使原有的投资得到保护。安全性原则系统中涉及到海外公司相关机密，必须要有良好的安全保密措施，一是通过VLAN 及第三层路由定义来分割网络，二是要对不同的人员设定不同的权限具有权限控制，信息密级制度，通过管理跳线跳接，可使外部网络与内部网络良好的隔离；三是要对关键数据进行及时备份，及时恢复；并对电脑病毒具有较好的防护能力；四是要通过网管中心对网络的使用情况进行监

8、控；尽早发现问题，尽早解决。名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 18 页 -3.网络主干选型任何网络系统，其骨干网络设备的选型将对整个网络的性能及未来拓展性造成决定性的影响，通过认真分析网络建设的实际需求及配置要求，可以看出，网络系统的建设必须适应未来网络发展的需要，同时又必须考虑实用及经济的原则。故此，我们做出以下配置：鉴于网络的规模性经营优势及对未来新技术的灵活支持，建议采用企业级万兆级交换机H3C S10506 作为核心交换机；H3C SR6604 作为核心路由器；H3C S7503 来作为汇聚交换机；防火墙采用 H3C F1000 系列；H3C S5120 系

9、列作为接入交换机；H3C IMC 系列作为智能网络管理中心。4.交换机详细功能配置及说明4.1 H3C S10506 核心交换机特点及功能配置H3C S10506基本参数交换容量 13.44Tbps/38.4 Tbps 包转发率：4320Mpps/10800 Mpps 主控板槽位数：2 业务板槽位数：6 交换网板槽位数：4 冗余设计：主控、交换网板、电源、风扇以太网特性：支持802.1Q、支持 DLDP、支持 LLDP 静态 MAC 配置支持 MAC 地址学习数目限制支持端口镜像和流镜像功能支持端口聚合、端口隔离、端口镜像支持 802.1d(STP)/802.1w(RSTP)/802.1s(M

10、STP)支持 IEEE 802.3ad（动态链路聚合）、静态端口聚合和跨板链路聚合H3C S10506路由特性支持静态路由、RIP、OSPF、IS-IS、BGP4 等支持等价路由支持策略路由支持路由策略支持 IPv4 和 IPv6 双协议栈名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 18 页 -支持 IPv6 静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+支持 VRRPv3 支持 Pingv6、Telnetv6、FTPv6、TFTPv6、DNSv6、ICMPv6 支持 IPv4 向 IPv6 的过渡技术，包括：IPv6 手工隧道、6to4 隧道、ISATAP隧

11、道、GRE 隧道、IPv4 兼容自动配置隧道支持 IPv6 等价路由支持 IPv6 策略路由支持 IPv6 路由策略组播支持 PIM-DM、PIM-SM、PIM-SSM、MSDP、MBGP、Any-RP等路由协议支持 IGMP V1/V2/V3、IGMP V1/V2/V3 Snooping 支持 PIM6-DM、PIM6-SM、PIM6-SSM 支持 MLD V1/V2、MLD V1/V2 Snooping 支持组播策略和组播QoS ACL/QoS 支持标准和扩展 ACL 支持 Ingress/Egress ACL 支持 VLAN ACL 支持全局ACL 支持 Diff-Serv QoS 支持

12、 SP，WRR，SP+WRR等队列调度机制支持流量整形支持拥塞避免支持优先级标记 Mark/Remark 支持 802.1p、TOS、DSCP、EXP优先级映射支持 OPENFLOW 1.3 标准支持多控制器（EQUAL 模式、主备模式）支持 VXLAN 二层交换支持 VXLAN 路由交换支持 VXLAN 网关名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 18 页 -支持 IS-IS+ENDP的 VXLAN 分布式控制平面支持 OpenFlow+Netconf的 VXLAN 集中式控制平面MPLS/VPLS 支持 L3 MPLS VPN 支持 VPLS,VLL 支持分层 VPL

13、S，以及 QinQ+VPLS 接入支持 IEEE 802.1x 和 IEEE 802.1x SERVER 支持 AAA/Radius 支持 HWTACACS,支持命令行认证支持 SSHv1.5/SSHv2 支持 ACL流过滤机制支持 OSPF、RIPv2 及 BGPv4 报文的明文及 MD5 密文认证支持命令行采用分级保护方式，防止未授权用户的非法侵入，为不同级别的用户有不同的配置权限支持受限的 IP 地址的 Telnet 的登录和口令机制支持 IP 地址、VLAN ID、MAC 地址和端口等多种组合绑定支持 uRPF 支持主备数据备份机制支持故障后报警和自恢复支持 FTP、TFTP、Xmod

14、em 支持 SNMP v1/v2/v3 支持 sFlow 流量统计支持 RMON 支持 NTP时钟支持 NetStream 流量统计功能支持电源智能管理，支持802.3az 高效节能以太网支持设备在线状态监测机制，实现对包括主控引擎，背板，芯片和存储等关键元器件进行检测独立的硬件交换网板设计，实现了控制和转发的真正分离关键部件交换路由处理板支持11 冗余备份，电源支持M+N 冗余备份名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 18 页 -交换网板支持 N+1冗余备份背板采用无源设计，避免单点故障各组件均支持热插拔功能支持各种配置数据在主备主控板上实时热备份支持热补丁功能，可

15、在线进行补丁升级支持 NSF/GR for OSFP/BGP/IS-IS/RSVP等支持端口聚合，支持链路跨板聚合支持 BFD for VRRP/BGP/IS-IS/OSPF/RSVP/静态路由等，实现各协议的快速故障检测机制，故障检测时间小于50ms 支持 Ethernet OAM（802.1ag 和 802.3ah）支持 RRPP 支持 DLDP 支持 VCT 支持 Smart-Link H3C S10506环境参数温度范围：045相对湿度：10%95%（非凝结）供电：100240V AC；50/60Hz；16A 4.2 H3C SR6604 核心路由器特点及功能配置H3C SR6604

16、参数细节路由器类型开放多核企业级路由器端口结构模块化包转发率15Mpps 网络协议RIPv1/v2、OSPFv2、BGP、IS-IS 等网管功能通过命令行配置通过 Console 口进行配置名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页，共 18 页 -通过以太网端口利用Telnet 进行配置、远程维护通过 AUX 口利用 Modem 拨号进行配置、远程维护通过 SNMP 管理(v1,v2c,v3)支持 RMON(1,2,3,9组 MIB)支持系统日志支持分级告警PING、Tracert NQA：支持网络质量分析/与 VRRP、策略路由、静态路由联动风扇状态检测、维护和告警电源状态

17、检测、维护和告警CF卡状态检测、维护环境温度变化检测、告警VPN功能L3VPN:跨域 MPLS VPN(Option1/2/3)、嵌套 MPLS VPN、分层 PE(HoPE)、CE双归属、MCE、多角色主机、GRE 隧道等L2VPN:Martini、Kompella、CCC 和 SVC 方式MPLS TE、RSVP TE 组播 VPN Qos功能流分类:基于端口、MAC 地址、IP 地址、IP 优先级、DSCP 优先级、TCP/UDP 端口号、协议类型等流量监管:CAR 限速,粒度可配基于目的地址或者源地址的限速(支持网段限速)GTS流量整形优先级 Mark/Remark 各种队列调度机制:

18、FIFO、PQ、CQ、WFQ、RTPQ、CBWFQ 拥塞避免算法:Tail-Drop、WRED LR速率限制MPLS QoS 名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页，共 18 页 -IPv6 QoS 防火墙功能是广域网接口模块化局域网接口2 GE光电复合（每块 FIP-200）,2 GE 光电复合（每块 FIP-100）其他接口Console 扩展插槽16 个标准/认证ACL访问控制列表ACL加速基于时间的访问控制包过滤防火墙状态防火墙 ASPF 本机 TCP防攻击控制平面限速虚拟分片重组URPF Web过滤用户分级管理和口令保护AAA认证、授权、计费RADIUS TACA

19、CS Portal(支持与 EAD联动)PKI 证书SSH 1.5/2.0 RSA IPSec、IPSec 多实例、IKE P2P限流名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页，共 18 页 -电源电压100240VAC,-48-60VDC 功耗330W 外观尺寸436mm 480mm 220mm机身重量 38 工作温度0-45 工作湿度10%95%，无冷凝存储温度-10-70 存储湿度10%95%，无冷凝 4.3 H3C S7503交换机特点及功能配置：产品类型路由交换机传输速率 10/100/1000Mbps 交换方式存储-转发背板带宽 640Gbps 包转发率 72Mpp

20、s MAC 地址表 32K 端口结构模块化扩展模块 4 插槽数传输模式全双工/半双工自适应功能特性网络标准 IEEE 802.1d，IEEE 802.1w，IEEE 802.1s，IEEE 802.1q，IEEE 802.3x，IEEE 802.3ad，IEEE 802.3af，IEEE 802.1p VLAN 支持QOS 提供 L2/3/4 ACL 流规则过滤名师资料总结-精品资料欢迎下载-名师精心整理-第 14 页，共 18 页 -支持基于端口和 VLAN的 ACL 支持每端口 8 个硬件队列支持 IEEE 802.1p（COS 优先级）和 DSCP 支持 Diff-serv/QoS 支持

21、流量监管（CAR），粒度为 64Kbps 支持流量整形（Traffic Shapping）支持端口双向限速支持优先级 Mark/Remark 支持 PQ、SP、WRR、SP WRR 队列调度机制组播管理支持 IGMP、IGMP Proxy 支持 PIM-SM、PM-DM 等组播路由协议支持 IGMP SNOOPING 支持组播 VLAN 支持组播权限控制支持组播组快速离开网络管理支持 SNMP v3：Quidview 网管系统支持 RMON 支持系统日志支持分级告警支持本地、远程诊断提供多语言支持安全管理提供 L2/3/4 ACL 流规则过滤用户分级管理和口令保护提供多种用户认证方式：本地/R

22、adius/802.1x/TACAS+认证支持 OSPF、RIP v2、BGP v4及 IS-IS 的报文明文及 MD5密文认证支持 SNMP v3的加密和认证支持 SSH V1.5/V2 支持 MAC-PORT、IP-MAC绑定支持 H3C EAD 端点安全防御解决方案名师资料总结-精品资料欢迎下载-名师精心整理-第 15 页，共 18 页 -其它参数电源电压 AC 100-240V，47-63Hz 电源功率 350W 产品尺寸 436480352.8mm 产品重量 50kg 平均无故障时间185，000小时环境标准工作温度：0-45工作湿度：10%-90%（无凝结）存储温度：-30-60

23、存储湿度：10%-90%（无凝结）4.4 H3C S5120 交换机参数智能交换机应用层级三层传输速率 1000Mbps 交换方式存储-转发背板带宽 240Gbps 包转发率 78Mpps 端口参数端口结构非模块化端口数量 52 个端口描述 48 个 10/100/1000Base-T 以太网端口4 个 1000Base-X SFP千兆以太网端口控制端口 1 个 Console 口传输模式支持全双工功能特性VLAN 支持基于端口的 VLAN（4K个）QOS 支持 IEEE 802.1p/DSCP优先级支持优先级映射名师资料总结-精品资料欢迎下载-名师精心整理-第 16 页，共 18 页 -支持

24、端口信任模式支持端口信任模式支持端口队列调度（SP/WRR/SP+WRR）组播管理支持 IGMP Snoopingv1/v2/v3 MLD Snooping 支持组播 VLAN 网络管理支持 XModem/FTP/TFTP 加载升级支持命令行接口（CLI），Telnet，Console 口进行配置支持 SNMP，WEB 网管支持 RMON（Remote Monitoring）支持 iMC智能管理中心支持系统日志，分级告警，调试信息输出支持 HGMPv2 支持 Modem 远端拨号支持 NTP 支持 Ping，Tracert 支持 Telnet 远程维护支持 VCT（Virtual Cable

25、Test）电缆检测功能支持 Loopback-detection端口环回检测安全管理支持用户分级管理和口令保护支持Radius 认证支持 SSH 2.0 支持 802.1X，集中式 MAC 地址认证支持 Guest VLAN支持端口隔离支持端口安全支持MAC 地址学习数目限制支持 IP 源地址保护支持 ARP入侵检测功能支持 IP+MAC+端口的绑定支持 EAD 支持 Triple认证纠错其它参数电源电压 AC 100-240V，50-60Hz 电源功率 55.4W 产品尺寸 44026043.6mm 名师资料总结-精品资料欢迎下载-名师精心整理-第 17 页，共 18 页 -产品重量 5kg

26、 环境标准工作温度：0-45工作湿度：10%-90%（非凝露）4.5 H3C F1000 防火墙参数：主要参数设备类型企业级防火墙网络端口2*10/100/1000Mbps 以太网口,2*10/100/1000Mbps以太网口,1*AUX 口,1*Console,2个 MIM插槽VPN支持支持入侵检测 Dos,DDoS 管理支持标准网管 SNMPv3,并且兼容 SNMP v2c、SNMP v1,支持 NTP时间同步,支持 Web 方式进行远程配置管理,支持 Quidview BIMS系统进行设备管理,支持 Quidview VPN Manager 系统进行 VPN业务管理和监控,命令行接口安全标准 CE,FCC 一般参数电源输入:100-240V；50/60Hz,输出:12V,最大功率:100W 产品尺寸 44436430mm 产品重量 5kg 适用环境工作温度:0-45,相对湿度:10-95%无凝结其他性能支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤,多种 VPN业务等功能产品特性产品特性 1 内存容量：512MB 闪存容量：16MB 名师资料总结-精品资料欢迎下载-名师精心整理-第 18 页，共 18 页 -