单位内网网络升级方案.docx
《单位内网网络升级方案.docx》由会员分享,可在线阅读,更多相关《单位内网网络升级方案.docx(12页珍藏版)》请在冰点文库上搜索。
单位内网网络升级方案
网络升级改造方案
为加快本单位的信息化建设步伐,使单位网络能适应新形势下对网络速度、稳定性以及安全性的要求,从而建立更丰富的网络应用平台及网络资源,特针对单位原有网络进行提高网络速度和安全的升级改造。
1、原有网络分析
现有网络拓扑结构
通过对现有网络的性能与安全分析,发现存在以下几个问题:
1、网络中安全防护措施。
外部军网与我单位内网的连接处只是通过网关进行了简单的接入,没有设置网络数据的安全策略,等同于把我单位网络直接暴露给了外部网络,一旦外部网络对单位内网进行渗透和入侵,内网将毫无防御的能力。
2、网络中存在传输瓶颈。
网关接入带宽为千兆,各个接入楼层交换机均为百兆带宽,而核心交换机目前只是使用了ZXR102826A交换机,该交换机为百兆接入交换机,不能胜任多个楼层交换机之间的数据交换,形成了整个网络链路中的瓶颈。
3、网络规划不合理。
现有网络中所有部门、网络设备及服务器同属于一个网段,各个部门均可以相互访问,网络内部不存在访问控制的限制,容易造成数据信息在内网中扩散,特别对于保密部门来说这将是大忌。
另外随着网络规模的不断扩大,一个C类网段将不能满足需求,而更改为更大的网段又会非常麻烦,影响了网络的可扩展性。
4、服务器使用不合理。
网络中仅有一台服务器,网站服务器、FTP服务器、数据服务器全部部署在一台设备上,该台服务器一旦宕机,网络资源将全部瘫痪。
而且网站服务器的信息更新目前采用人工手动方式,不能及时快速的完成更新。
FTP服务器没有角色划分,不能完成个人数据的安全存储。
网站数据库目前采用ACCESS模式,不能承担大的访问量,并且访问速度缓慢,安全性低,数据不能有效备份。
2、改造后网络特点
新网络拓扑结构
网络升级及改进建议:
1、网络入口出增加天融信防火墙。
使用该防火墙对进出网络的数据进行深度筛选和过滤,将有害信息和无用数据拒之门外,构建起单位内网的第一道防线。
2、更换核心交换机为华为S5700千兆核心交换机,打通网络中的链路传输瓶颈,使单位内网工作在高速运转的状态。
3、将单位各个部门划分为不同的VLAN,Vlan之间使用访问控制策略进行控制,确保部门数据的安全,同时不同VLAN使用不同的IP地址段,提高网络的可扩展能力。
4、增加一台服务器器,将网络应用程序和应用数据分别放在两台不同的服务器上,更改网站数据库,由原来的ACCESS数据库改为SQLSERVER数据库,设置定时数据备份,提高数据访问速度和数据安全。
在WEB服务器上安装网站数据采集系统,对指定网站进行定时或不定时的数据更新,丰富单位网站的内容。
架设新FTP服务器,为用户划分不同的账号密码,从而保证个人数据的安全。
3、网络升级设备及软件汇总表
类型
型号
出货价
市场价
备注
天融信千兆防火墙
FW4000-UF
36000.00
38000.00
参数见附件
华为核心交换机
S5700-24T-AC
3500.00
4000.00
参数见附件
IBM服务器
X3650
17000.00
18000.00
参数见附件
信息采集软件
网络神采
1000.00
3000.00
FTP软件
SERVER—U
500.00
1000.00
数据库软件
SQLServer2005
2000.00
3500.00
配料
服务器轨道、6类网线、扎带、线标、电源插板等
600.00
750.00
合计
4、施工及调试费用表
项目
单价(元/天)
工作量(天)
总计
备注
设备安装费用
400.00
1
400.00
设备配置调试费用
600.00
3
1800.00
合计
附件一:
品牌:
天融信
配置为4个10/100/1000MBase-T端口,2个SFP插槽
整机吞吐率:
>2.8Gbps
最大并发连接数:
>220W
l基础功能
网络接入
2路由、透明、混合及直连部署模式;
2静态路由、动态路由、策略路由及多播路由,支持ECMP/WCMP多路径算法;
2支持VLAN、TRUNK、STP、QinQ等二层特性;
2ADSL、链路聚合、虚拟线及子接口等多种网络接入方式;
2支持IPv6(接口配置、路由、ICMPv6、ND、DHCPv6等);
2支持双栈、NAT-PT及隧道封装(手工、Auto、6to4、ISATAP、GRE)的IPv4/IPv6过渡技术;
2IPv6安全策略部署(ACL、AV、IPS等);
安全防护
2基于传统五元组、用户、应用、内容、QoS、时间等多元组一体化访问控制;
2访问控制自动生成;
2源地址转换、目的地址转换、双向地址转换及端口转换多种NAT策略;
2支持H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP等动态端口协议;
2MPLS报文解析与访问控制,以及非IP协议的协议透传;
高可用性
2AA(负载均衡)、AS(主备)及SP(连接保护)双机工作模式;
2支持多机(集群)部署;
2双系统引导、备份与系统还原;
身份认证
2采用内网终端与远程接入终端统一管理的集中式认证系统;
2支持本地认证与第三方外部认证(如RADIUS、TACACS、LDAP、域认证等);
2集成PKI服务,内置CA并支持第三方CA;
2支持客户端认证与WEB认证;
2支持用户名/口令、证书、短信等认证方式以及多因子组合认证;
2支持可信接入;
系统服务
2提供DHCP服务器/客户端/中继、DNS代理、DDNS、NTP、CDP等网络服务;
2防共享上网功能;
2支持服务器系统信息屏蔽;
2支持跨越三层设备进行IP/MAC绑定;
2支持网关虚拟化技术;
系统管理
2基于SSH、HTTPS安全协议的配置交互界面;
2管理员分级、权限自定义、密码强度分级、管理端口自定义等扩展安全配置;
2支持管理员外部认证;
2系统资源、硬件状态、网络流量、安全事件的可视化监控;
2邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式;
2采用Welf、Syslog日志格式,支持分级和按类型输出以及日志加密传输;
2支持SNMP协议,兼容通用网管平台;
2图形界面与命令行方式进行系统升级;
2提供报文调试功能及系统健康记录,支持端口镜像;
l负载均衡
2多运营商接入,支持多种路由均衡算法及路由备份功能;
2多条ADSL线路接入
2采用链路有效性探测实现智能链路切换;
2支持多线路接入下报文的源路径返回;
2支持服务器负载均衡,提供多种负载均衡算法并支持服务器的应用有效性探测;
l流量管理
2基于访问控制的QoS策略管理模式;
2根据IP、用户、应用、接口、时间等多元组组合方式进行细粒度的带宽策略定义;
2支持保证带宽、限制带宽及带宽优先级设置;
2支持DSCP和COS的流量管理模式;
l反垃圾邮件
2提供邮件、IP地址黑白名单功能;
2实时黑名单(RBL)及反向DNS解析(RDNS);
2支持对邮件主题、正文、收发件人、附件等进行关键字过滤;
2灰名单功能;
l攻击防护
2DDoS攻击防护,包括非法报文攻击及统计型报文攻击;
2ARP攻击检测与防护;
2支持IDS联动,以及自动生成黑、白名单功能;
2内置11大类,超过4000条入侵防御实时规则库并支持自定义规则与规则集;
2支持各类攻击的日志记录、报警及统计分析功能;
l病毒防御
2支持HTTP、FTP、SMTP、POP3、IMAP等协议进行病毒检测;
2支持木马病毒、蠕虫病毒、宏病毒、脚本病毒查杀及未知病毒的启发式扫描查杀;
2多级压缩文件查杀及禁止特定类型文件传输;
2支持URL、IP地址黑白名单及动态阻断策略功能;
2提供多种国内外知名防病毒厂商病毒库可供选择,病毒库可定期更新或实时更新;
2支持快速扫描与深度扫描两种检测模式,可根据不同协议选择不同的检测模式;
l上网行为管理
2支持包括P2P、IM、炒股、网游、流媒体等类别数百种应用识别与过滤;
2MSN、QQ、Skype等IM应用的登录限制、帐号过滤等细粒度管控;
2P2P应用行为的识别控制;
2支持网站分类过滤功能,共87个分类,分类库规模达到600万以上;
2HTTP、SMTP、POP3、IMAP、FTP、DNS等协议的深度内容过滤;
2web重定向、伪装http连接识别、移动代码(如Javaapplet、Active-X等)过滤;
2支持RSH、TELNET、FTP命令过滤;
2基于应用、主机的流量统计、排名、历史流量趋势图
l远程接入
2IPSECVPN、SSLVPN、PPTP、L2TP和GRE多种隧道接入技术;
2支持Windows、Linux、Android、iOS等多种客户端操作系统;
2支持移动终端的虚拟桌面与虚拟应用发布功能;
2DES/3DES/AES等标准加密算法及MD5/SHA1等标准HASH算法;
2支持DHGROUP1/2/5,RSA1024/2048非对称算法
2国家商密专用算法SM1(SCB2)/SM2/SM3;
2多条隧道负载均衡、备份与自动切换;
2VPN智能集群技术;
2GREoverIPsec;
2CleanVPN功能;
2支持集中认证、制定并下发隧道策略、隧道状态监控等集中管理方案;
附件二:
华为S5700-24TP-SI(AC)详细参数
主要参数产品类型:
千兆以太网交换机纠错
应用层级:
三层
传输速率:
10/100/1000Mbps
交换方式:
存储-转发
背板带宽:
256Gbps
包转发率:
36Mpps
MAC地址表:
16K
端口参数端口结构:
非模块化
端口数量:
28个
端口描述:
24个10/100/1000Base-T端口,4个100/1000Base-X千兆Combo口
扩展模块:
1个堆叠扩展插槽
传输模式:
全双工/半双工自适应
功能特性网络标准:
IEEE802.3,IEEE802.3u,IEEE802.3ab,IEEE802.3z,IEEE802.3x,IEEE802.1Q,IEEE802.1d,IEEE802.1X
堆叠功能:
可堆叠
VLAN:
支持4K个VLAN
支持GuestVLAN、VoiceVLAN
支持基于MAC/协议/IP子网/策略/端口的VLAN
支持1:
1和N:
1VLAN交换功能
QOS:
支持对端口接收和发送报文的速率进行限制
支持报文重定向
支持基于端口的流量监管,支持双速三色CAR功能
每端口支持8个队列
支持WRR、DRR、SP、WRR+SP、DRR+SP队列调度算法
支持报文的802.1p和DSCP优先级重新标记
支持L2(Layer2)-L4(Layer4)包过滤功能,提供基于源MAC
地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN
的非法帧过滤功能
支持基于队列限速和端口Shapping功能
组播管理:
支持IGMPv1/v2/v3Snooping
和快速离开机制
支持VLAN内组播转发和组播
多VLAN复制
支持捆绑端口的组播负载分担
支持可控组播
基于端口的组播流量统计
网络管理:
支持堆叠
支持MFF
支持虚拟电缆检测(VirtualCableTest)
支持端口镜像和RSPAN(远程端口镜像)
支持Telnet远程配置、维护
支持SNMPv1/v2/v3
支持RMON
支持网管系统、支持WEB网管特性
支持集群管理HGMP
支持系统日志、分级告警
支持GVRP协议
支持MUXVLAN功能
安全管理:
用户分级管理和口令保护
支持防止DOS、ARP攻击功能、ICMP防攻击
支持IP、MAC、端口、VLAN的组合绑定
支持端口隔离、端口安全、StickyMAC
支持黑洞MAC地址
支持MAC地址学习数目限制
支持IEEE802.1X认证,支持单端口最大用户数限制
支持AAA认证,支持Radius、TACACS+、NAC等多种方式
支持SSHV2.0
支持HTTPS
支持CPU保护功能
支持黑名单和白名单
其它参数电源电压:
AC100-240V
电源功率:
<40W
产品尺寸:
250×180×43.6mm
产品重量:
<1.4kg
环境标准:
工作温度:
0-50℃
工作湿度:
10%-90%
存储温度:
-5-55℃
存储湿度:
10%-90%
附录三:
IBM服务器X3650M47915R31E5-2620v28G300G*2RAID1550W
产品类别:
机架式
产品结构:
2U
CPU类型:
Intel至强E5-2600
CPU型号:
XeonE5-2620v2
CPU频率:
2.1GHz
标配CPU数量:
1颗
最大CPU数量:
2颗
制程工艺:
32nm
三级缓存:
15MB
总线规格:
QPI7.2GT/s
CPU核心:
六核
CPU线程数:
16线程
扩展槽:
4-6×PCIe3.0端口
4×PCI-X或2×双宽PCIe(可选,用于GPU)
内存类型:
DDR3
内存容量:
8GB
内存插槽数量:
24
最大内存容量:
768GB
硬盘接口类型:
SAS
标配硬盘容量:
300GB*2
最大硬盘容量:
16TB
内部硬盘架数:
最大支持16块2.5英寸硬盘(需加背板)
RAID模式:
M5110eRAID0,1
光驱:
DVD(可选)
网络控制器:
四端口千兆网卡
标准接口:
7×USB端口(2个前置,4个后置,1个内置)
2×VGA端口(1个前置,1个后置)
系统管理:
带可选FoD远程在线支持的IBMIMM2,预测性故障分析,诊断LED,光通路诊断面板,自动服务器重启,IBMSystemsDirector和ActiveEnergyManager
系统支持:
WindowsServer
RedHatEnterpriseLinux
SUSELinuxEnterpriseServer
VMwarevSphere
电源类型:
热插拔电源
电源功率:
550W
升级会员 