企业网络改造项目规划及方案.docx
《企业网络改造项目规划及方案.docx》由会员分享,可在线阅读,更多相关《企业网络改造项目规划及方案.docx(29页珍藏版)》请在冰点文库上搜索。
企业网络改造项目规划及方案
企业网络改造规划方案
2021年8月
第1章.工程概述
1.1.工程背景
随着**公司信息技术开展,作为信息载体的网络系统存在问题日益严重:
网络负载加大、网络带宽缺乏、网络平安问题严重、应用系统的增加,多网融合的需求迫切、网络终端不受控等。
这就需要对现有网络系统进展改造,以满足**公司信息技术开展的需求。
1.2.工程建立需求
在利用**公司现有网络资源的根底上加以改造,改造后的网络需要满足以下需求:
1、根据用户对业务系统的访问要求,将现有各个业务子网在网络核心层面进展整合,以到达单个用户可以访问不同子网的资源,并通过一定的平安策略,确保各个子网之间的数据和业务平安。
2、优化现有网络规模,设立网络会聚节点,最终形成以销售部、自动化部自动化车间、轧钢总降、一炼、二炼、一轧、二轧等七个部位为主的会聚点,覆盖全公司、部门、车间的生产区域。
3、实现整个公司网络架构分等级平安管理。
4、建立构造化网络平安系统,所有用户通过认证方式接入公司网络,访问自己对应的网络资源或系统。
5、实现网络终端受控,重要岗位终端行为管理,保证终端规X化操作。
6、实现效劳器及存储资源的有效利用,建立核心效劳器区域的平安防护提高运行能力。
将现有主要效劳器,如产销系统、新老线MES系统、设备管理系统、远程计量、人事、原料采购、调度、质量等效劳器集中统一管理。
7、实现L2系统在网络中的隔离,保证L2系统平安稳定运行。
1.3.建立目标
此次网络改造规划方案主要包括:
网络系统,平安系统的建立。
各个系统的功能概述如下:
1)网络系统:
尽量利用现有的网络接入条件和机房环境条件,对现有网络系统进展全面改造升级,实现生产网、宽带网、设备网之间的融合接入,简化网络逻辑架构。
2)平安系统:
根据网络总体架构和平安需求,设计部署平安防御体系〔包括网络层、系统层、应用层等各层次〕,各业务系统的平安防X和效劳体系,并实现集中的平安管理。
第2章.系统规划要求
系统规划要求如下:
1.
2.1.高可靠要求
为保证业务系统不连续正常运行,整个系统应有足够的冗余,设备发生故障时能以热备份、热切换和热插拔的方式在最短时间内加以修复。
可靠性还应充分考虑系统的性价比,使整个网络具有一定的容错能力,减少单点故障,网络核心和重点单元设备支持双机备份。
2.2.高性能要求
核心网络提供可保证的效劳质量和充足的带宽,以适应大量数据传输包括多媒体信息的传输。
整个系统在国内三到五年内保持领先的水平,并具有长足的开展能力,以适应未来网络技术的开展。
2.3.易管理性要求
考虑到系统建立后期的维护和管理的需要,在方案设计中充分考虑各个设备和系统的可管理性,并可以满足用户个性化管理定制的需要。
各系统易于管理,易于维护,操作简单,易学,易用,便于进展配置和发现故障。
2.4.平安性要求
对于内部网络以及外部访问的平安必须高度重视,设计部署可靠的系统平安解决方案,防止平安隐患。
设计采取防攻击、防篡改等技术措施。
制定平安应急预案。
管理和技术并重,全方位构建整个平安保障体系。
2.5.可扩展性要求
对**信息化建立规划要长远考虑,不但满足当前需要,并在扩大模块后满足可预见需求,考虑本期系统应用和今后网络的开展,便于向更新技术的升级与衔接。
留有扩大余量,包括端口数和带宽升级能力。
2.6.实用性和先进性要求
系统建立首先要从系统的实用性角度出发,未来的信息传输都将依赖于数据网络系统,所以系统设计必须具有很强的实用性,满足不同用户信息效劳的实际需要,具有很高的性能价格比,能为多种应用系统提供强有力的支持平台。
2.7.经济性要求
本次系统建立中,要充分考虑原有系统资源的有效利用,发挥原有设备资源的价值。
要本着以最少的建立本钱,最少的改造本钱,持续获得当期及未来建立的最大利益。
第3章.系统总体设计
此方案设计将遵循先进性、实用性、可靠性、易管理性、平安性、扩展性、经济性的原那么,为实现**数据集中处理的方式,构建统一融合的网络系统,能支持全公司X围内的高可靠实时网络连接。
依据**网络改造建立的需求,本次方案设计的网络平台系统的总体示意图如下:
**网络改造总体拓扑图
注:
图中橙色字体的设备为此次新增设备。
具体描述:
1.网络系统设计
1)整体网络构造按照不同的平安级别,主要分为出口区域、DMZ区域、中心效劳器集群区域、核心交换区域、生产网接入区域、能源网接入区域、远程计量网接入区域及其他网络接入区域。
2)作为整个网络的核心业务区域,采用两台高端核心交换机双机热备的方式,保证核心业务的正常开展。
同时,依据业务的重要程度对全厂网络进展分区、并进展可靠平安隔离,防止重要程度较低的业务对重要程度高的核心业务造成影响。
3)生产网接入区域,主要以现有的生产网接入设备为主、另外融合了宽带网和设备网的接入设备。
根据现有的网络构造及客户需求,设立新的网络会聚节点,形成以销售部、自动化部自动化车间、轧钢总降、一炼、二炼、一轧、二轧等七个部位为主的会聚点,覆盖全公司、部门、车间的生产区域。
4)上述七个会聚节点主要下联现有的生产网接入设备,同时,将原宽带网和设备网的接入设备融入,构建统一的网络接入平台,不再重复建网。
新的网络平台融合了,生产网的数据访问和外网互联的需求,使用同一终端即可实现内外网同时访问的功能。
5)规划统一的中心效劳器集群区域,将现有生产网、设备管理系统、人事系统中运行的效劳器,划到同一逻辑区域。
考虑到新的核心交换的高性能,将所有的效劳器直接接到核心交换,通过核心区域的平安设备来保证访问平安。
使全厂的所有客户终端都通过核心交换来对各个业务系统进展统一访问。
6)设计新的互联网出口区域,设置出口防火墙、上网行为管理、负载均衡等平安设备,保证全厂用户的上网平安。
原有生活区用户不再和办公区使用同一出口上网,生活区用户使用单独的出口设备连接互联网。
7)构建DMZ区域,将、DNS、MAIL等需要同时效劳内外网用户的效劳器放到该区域,设置VPN、负载均衡等设备保证效劳平安。
8)能源网和远程计量网由于是独立运行的物理网络,不在此次网络改在的X围。
但此次我们新增的核心交换,在性能、稳定性、处理能力方面,均有能力负载未来其他多个网络的融合。
2.平安系统设计
本次**网络改造工程建立将考虑如何建立多层次、纵深防御系统。
另外,要加强平安管理工作和平安应急工作。
通过部署防火墙保证网络边界的平安,保证网络层的平安;部署入侵检测系统实现内网平安状态的实时监控;部署防病毒系统防止病毒入侵,保证主机的平安;部署网络监控系统对网络进展监控;部署抗攻击系统抵御来自外界Internet的DoS/DDoS攻击;部署漏洞扫描系统对系统主机、网络设备的脆弱性进展分析;部署时钟系统使系统的时钟同步;部署单点登录系统方便用户在多个系统间自由穿梭,不必重复输入用户名和密码来确定身份;部署统一认证系统对不同的应用系统进展统一的用户认证,通过统一的用户认证平台提供一个单一的用户登陆入口;部署平安管理平台实现系统内平安事件的统一管理。
我们要通过相应的平安技术建立一套包含物理层、网络层、主机层、应用层和管理层等多个方面的完整网络平安体系。
第4章.根底平台详细规划
4.1.网络系统
4.1.1.系统设计目标
网络系统建立的总体目标,是要建立统一融合的、覆盖全公司X围内的、高速高可靠的网络平台,以支持数据集中处理的运行模式。
4.1.2.系统设计原那么
网络系统包括四大局部,一是出口区域,实现公司用户的上网需求;二是效劳器区域,对**现有业务系统的主机存储进展统一管理;三是核心交换区域,实现全公司所有功能区域的互联互通;四是二级接入区域,对整个网络现状进展重新规划,形成新的会聚节点,将生产网、宽带网、设备管理、人事系统统一融合到新的管理网络中,实现单一终端对所有业务系统的统一访问。
网络系统有良好的扩展性,保证网络在建立开展过程中业务和系统规模能够不断地扩大。
网络线路及核心、关键设备有冗余设计。
核心设备和关键设备保证高性能、高可靠性、大数据吞吐能力。
网络系统的设计充分考虑系统的平安性。
4.1.3.整体网络规划
按照构造化、模块化的设计原那么,实现高可用、易扩展、易管理的建立目标。
网络整体拓扑如下列图所示:
注:
图中橙色字体的设备为此次新增设备。
按照“模块化〞设计原那么,需要对**整体网络构造进展分区设计。
根据**公司业务情况,各区域业务系统部署描述如下:
核心交换区:
此区域用于实现各分区之间的数据交互,是数据中心网络平台的核心枢纽。
出口区域:
互联网出口,公司员上网,对外发布公司信息,承载电子商务等业务系统。
中心效劳器区:
此区域部署核心业务效劳器,包括MES、OA、人事、平安管理等应用系统。
网络会聚区:
实现公司办公楼、各分厂等会聚网络接入,二级单位可以通过该接入区域实现对业务系统的访问。
接入交换区:
全厂接入设备连接区域,该区域用于连接终端用户和公司核心交换网络,是网络中最广泛的网络设备。
4.1.4.分区设计详解
4.1.4.1.核心交换区设计
此次网络改造,建议新增两台高性能的核心交换机作为**的网络核心。
核心层作为整个**网络的核心处理层,连接各分布层设备和**核心效劳器区,核心层应采用两台高性能的三层交换机采用互为冗余备份的方式实现网络核心的高速数据交换机,同时,两台核心设备与分布层各设备连接,保证每台分布层设备分别与两台核心层设备具有网络连接,通过链路的冗余和设备冗余的设计,保证整个核心层的高可靠性。
两台核心设备之间应至少保证2Gbps全双工的速率要求,并能平滑升级到10Gbps。
核心区是整个平台的枢纽。
因此,可靠性是衡量核心交换区设计的关键指标。
否那么,一旦核心模块出现异常而不能及时恢复的话,会造成整个平台业务的长时间中断,影响巨大。
4.1.4.2.互联网出口区设计
**与外网的出口区域,目前是通过建立独立的宽带网,实现办公区和生活区通过统一出口访问外网的。
在此次网络改造中,我们方案把生活区上网与办公区上网隔离开,通过不同的出口访问外网。
改造后的生活区网络拓扑结果如下列图所示:
如上图所示,此次生活区的网络改造会增加新的防火墙和负载均衡设备,作为生活区的网络平安管理设备,通过单独的出口设备连接到互联网。
改在后的厂区互联网出口区域,如下列图所示:
如上图所示,工作区的网络改造同样会增加新的防火墙和负载均衡设备,以及上网行为管理等平安设备,作为生活区的网络平安管理设备,通过单独的出口设备之间连接到互联网。
出口区域除了网络出口设备外,还包括一个DMZ区域,用于将、DNS、MAIL等,需要同时效劳内、外网用户的效劳器放到该区域,
4.1.4.3.中心效劳器区设计
规划统一的中心效劳器集群区域,将现有生产网、设备管理系统、人事系统中运行的效劳器,划到同一逻辑区域。
该区域物理上为一个区域接入到核心,而逻辑上可以再划分为多个业务应用区,根据业务属性的不同可以划分为生产效劳器区〔如ERP等〕、办公效劳器区〔如OA等〕、管理效劳器区〔如IT运维、管理等系统〕等。
考虑到新的核心交换的高性能,将所有的效劳器直接接到核心交换,通过核心区域的平安设备来保证访问平安。
使全厂的所有客户终端都通过核心交换来对各个业务系统进展统一访问。
4.1.4.4.网络会聚区设计
网络会聚区域,根据现有的网络构造及客户需求,设立新的网络会聚节点,形成以销售部、自动化部自动化车间、轧钢总降、一炼、二炼、一轧、二轧等七个部位为主的会聚点,覆盖全公司、部门、车间的生产区域。
该区域的网络设备主要以现有的生产网会聚设备为主、另外融合了宽带网和设备网的会聚设备,同时考虑现有会聚设备性能不能满足需求的情况,新增高新能的会聚设备。
会聚层设备通过双链路的方式与核心层两台核心交换设备相连,同时,为保障网络的强健性,以及便于各个分厂区之间数据交互,各个分厂区的会聚交换机之间也有线路直连。
各会聚节点与核心层的连接,应全部采用1000Mbps或1000Mbps以上的连接方式,分布层设备实现本区域内的各Vlan的路由处理和平安限制。
4.1.4.5.接入层局部
网络会聚节点主要下联现有的生产网接入设备,同时,将原宽带网和设备网的接入设备融入,构建统一的网络接入平台,不再重复建网。
新的网络平台融合了,生产网的数据访问和外网互联的需求,使用同一终端即可实现内外网同时访问的功能。
接入层设备与分布层设备通过1000M光纤或双绞线的方式连接,在用户量较少的分节点可以采用100M上联方式,与各终端用户连接一般采用100M或者1000M双绞线的方式。
生产网中其他办公楼及分厂区的网络接入,通过自动化车间和轧钢总降等会聚节点,接入到新的数据网络中。
各个分厂区的网络接入情况如下列图所示:
自动化车间会聚网络拓扑图
轧钢总降会聚网络拓扑图
4.1.5.网络协议设计
4.1.5.1.IP地址和VLAN规划
IP地址是网络设计工作中重要的一环,使用IP地址不当会造成路由表庞大、难以部署平安控制、地址重叠问题、地址空间耗尽等问题,会给网络运行带来很大麻烦。
为了让**网络建立工程顺利进展,我们建议**网络采用以下IP地址规划原那么进展适当改良:
1、为公司各个二级单位、应用业务、数据中心采用统一规划,统一分配,统一管理的地址设计原那么,防止重叠地址的出现。
设定专门流程和人员对全公司网络地址进展记录和权限管理。
2、尽可能采用私有地址进展IP地址分配。
私有地址就是我们熟知的三类网络地址,分别是A类网中的10.0.0.0~10.255.255.255X围,B类网中的172.16.0.0~172.31.255.255X围,C类网中的192.168.0.0~192.168.255.255X围。
3、整网地址规划思路可按照以下方法设计,如10.X.Y.Z,X为不同厂区进展标示,Y为该厂区内不同业务或应用进展标示,Z为主机地址位。
4、同一个区域内部,使用连续的IP子网进展IP地址分配。
例如,厂区A内需要有4个C类网络,为了满足地址会聚需要,应该为连续的C类网络。
例如:
10.254.128.0/24、10.254.129.0/24、10.254.130.0/24和10.254.131.0/24
4个网络可以会聚成10.254.128.0/22。
在定义测试区平安策略时,不用将4个网段同时定义成ACL,使用一条ACL就可以包括全部网络。
5、使用可变长掩码规划网络地址,根据IP地址使用对象的特点,部署不同长度子网掩码。
例如,应用网段的IP地址,可以采用C类网地址,掩码为24位;区域设备之间的互连地址可以采用29位掩码。
6、不同主机实际网关IP地址与HSRP使用的IP地址应该在整个数据中心统一,使用一样的方式配置,例如:
整个厂区均采用X.X.X.1作为主机实际网关IP地址,HSRP采用X.X.X.254为HSRP网关地址。
7、网络互连地址采用IP地址网段的头两个可用地址,核心侧设备接口配置奇数地址,边缘侧设备接口配置偶数地址。
例如,设备A与设备B互连,采用10.254.254.0/29网段为互连地址,该网段头两个可用地址为10.254.254.1和10.254.254.2,设备A为核心设备,配置奇数地址10.254.254.1,设备B为边缘设备,配置偶数地址10.254.254.2。
8、网络设备配置环回地址〔32位掩码地址〕,用于网络管理和日志管理。
VLAN主要用于将局域网环境划分为多个逻辑网络,从而降低播送风带来的影响,也可提高网络可管理性和平安性。
建议在此次网络建立中可按照以下原那么对新建VLAN及原有VLAN进展适当调整和修改。
1、VLANID的规划可按照应用业务、工作部门、厂区位置等方法定义,这里建议按照原有网络规划方法进展。
2、VLANID可以是2-4096任意数字,为了方便标示和管理,建议ID与IP网段地址相关联。
如10.18.10.0/24–VLAN10;10.18.20.0/24—VLAN20;10.18.30.0/24—VLAN30等。
3、VLAN规划防止重复,全网VLAN静态手动分配〔在根交换机〕,统一管理和记录。
4.1.5.2.动态路由协议
对一个大网络来说,选择一个适宜的路由协议是非常重要的,不恰当的选择有时对网络是致命的,路由协议对网络的稳定高效运行、网络在拓朴变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展都有很重要的影响。
目前存在的路由协议有:
RIP(v1&v2)、OSPF、IGRP、EIGRP、IS-IS、BGP等,根据路由算法的性质,它们可分为两类:
距离矢量(DistanceVector)协议(RIP/IGRP/EIGRP)和连接状态(LinkState)协议(OSPF/IS-IS)。
可用于大规模的网络同时又基于标准的IGP的路由协议有OSPF和IS-IS。
两种路由协议均是基于链路状态计算的最短路径路由协议;采用同一种最短路径算法〔Dijkstra〕。
考虑到产品对OSPF和IS-IS的支持的成熟性以及OSPF和IS-IS工程经历,建议采用OSPF做为**网络的主用动态路由协议。
作为链路状态协议,OSPF的特征如下:
●通过维护一个链路状态数据库,使用基于Dijkstra的SPF路由算法。
●使用Hello包来建立和维护路由器之间的邻接关系。
●使用域〔area〕来建立两个层次的网络拓扑。
●具有域间路由聚合的能力。
●无类〔classless〕协议。
●通过选举指派路由器〔DesignedRouter〕来代替网络播送。
●具有认证的能力。
OSPF是一套链路状态路由协议,路由选择的变化基于网络中路由器物理连接的状态与速度,变化被立即播送到网络中的每一个路由器。
每个路由器计算到网络的每一目标的一条路径,创立以它为根的路由拓扑构造树,其中包含了形成路由表根底的最短路径优先树〔SPF树〕。
下列图是OSPF分Area的状态。
OSPFArea的分界处在路由器上,如下图,一些接口在一个Area内,一些接口在其它Area内,当一个OSPF路由器的接口分布在多个Area内时,这个路由器就被称为边界路由器〔ABR〕。
每个路由器仅与它们自己区域内的其它路由器交换LSA。
Area0被作为主干区域,所有区域必须与Area0相邻接。
在ABR〔区域边界路由器,AreaBorderRouter〕上定义了两个区域之间的边界。
ABR与Area0和另一个非主干区域至少分别有一个接口。
OSPF允许自治系统中的路由按照虚拟拓扑构造配置,而不需要按照物理互连构造配置。
不同区域可以利用虚拟链路连接。
允许在无IP情况下,使用点到点链路,节省IP空间。
OSPF是一个高效而复杂的协议,路由器运行OSPF需要占用更多CPU资源。
下面从层次能力、稳定性、扩展性和可管理性四个方面对OSPF进展介绍:
Ø层次能力
通过areas支持层次化
边界在router内
链路状态数据库〔LSDB〕来自网络或路由器LSA尺寸—64KBto5000条链路的限制
Ø稳定性
依靠路由设计和实现
大型网络中使用呈现增强的趋势
Ø扩展性
使用扩展TLV编码策略
新扩展需开发时间
Ø管理性
企业网中大X围使用
可借鉴经历较多
此次网络建立工程,我们建议在各个区域之间开场部署OSPF动态路由协议。
因为接入交换机多数为二层交换机,无法一次实现路由到用户边界的改造,所以此次仅将各个区域的核心交换开启路由进程,今后可逐步实现全网的路由建立。
各个区域在本次设计中都部署高性能三层交换机,这些交换机需具备完整的路由支持功能。
区域间核心设备组建OSPF协议的骨干area,未来在大X围部署动态路由协议时,可考虑将各个厂区划分为area1,area2等等,可以充分做到基于area的路由汇总和控制。
互联网区域可按照需要,适当采用静态路由的方式完成园区网与外网的连通。
未来可逐渐增加路由的X围,逐步演变为路由到用户边界的形式。
4.1.6.设备选型建议
4.1.6.1.华为产品选型方案
产品类型
选型建议
配置描述
数量
备注
核心交换机
华为S12808
背板带宽:
32Tbps;包转发率:
9600Mpps;8个业务槽位;支持基于Layer2、Layer3、Layer4优先级等的组合流分类支;电源功率:
≤10800W;
2
华为S9306
背板带宽:
6Tbps;包转发率:
1152Mpps;扩展模块:
6个业务槽位;支持基于Layer2协议;平安管理:
802.1x认证
1
生活区宽带网核心交换机
会聚交换机
华为S6324
24个GESFP/10GESFP+端口,双电源槽位,含USB接口,交流供电;转发性能:
715M;交换容量:
960G;
2
华为S5324
20个10/100/1000Base-T,4个千兆bo口分交流供电和直流供电两种机型,支持RPS12V冗余电源,支持USB口,交换容量48G
14
4.1.6.2.华三产品选型方案
产品类型
选型建议
配置描述
数量
备注
核心交换机
H3CS12508
机箱,主控板,8端口万兆光口板,48端口千兆电口板,流量分析业务板,冗余电源
2
H3CS10508
机箱,主控引擎,48口千兆电口板,48口千兆光口板,4端口万兆光口板,防火墙业务板,冗余电源
1
生活区宽带网核心交换机
会聚交换机
H3CS7506E
机箱,双SalienceVI引擎,2*24口千兆电口板,12口千兆光口板,冗余电源
2
H3CS5500
H3CS5500-52C-EI-以太网交换机主机(48GE+4SFPbo+2Slots),4个单模SFP模块
14
4.2.平安系统
4.2.1.系统设计目标
本次**网络改造工程建立目标是通过建立完善的平安体系,在网络平安,主机平安和应用平安三个层面上,搭建一套立体的平安架构。
这样可以实现抵御各个层面的攻击,防止病毒入侵等功能。
同时进展主机的风险评估和平安加固效劳,提前屏蔽漏洞风险。
并通过平安管理平台实现平安审计功能,做到事件追踪。
4.2.2.系统设计原那么
4.2.2.1.整体性原那么
建立**平安系统时应充分考虑各个层面的因素,总体规划各个出入口网关的平安策略。
本次**网络改造工程充分考虑各个环节,包括设备、软件、数据等,它们在网络平安设计中是非常重要的。
只有从系统整体的角度去对待和分析才可能得到有效,可行的措施。
4.2.2.2.适应性及灵活性原那么
随着互联网技术的高速开展,对网络平安策略的需求会不断变化,所以本次部署的平安策略必须能够随着网络等系统性能及平安需求的变化而变化,要做到容易适应、容易修改。
4.2.2.3.一致性原那么
一致性原那么只要指平安策略的部署应与其他系统的实施工作同时进展,方案的整体平安架构要与网络平台构造相结合。
平安系统的设计思想应该贯穿在整个网络平台设计中,表达整体平台的一致平安性。
4.2.2.4.需求、风险、代价平衡的原那么
对网络要进展实际的研究〔包括任务、性能、构造、可靠性、可维护性等〕,并对网络面临的威胁及可能承当的风险以及付出的代价进展定性与定量相结合的分析,然后制定规X和措施,确定系统的平安策略。
4.2.2.5.易操作性原那么
平安措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了平安性;同时措施的采用不能影响系统的正常运行。
4.2.2.6.多重保护原那么
本次**平安系统要建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可
升级会员 