机房网络改造升级方案Word文档下载推荐.docx
《机房网络改造升级方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《机房网络改造升级方案Word文档下载推荐.docx(35页珍藏版)》请在冰点文库上搜索。
外对内(下载)(GB)
内对内(内网)(GB)
总流量(GB)
P2P_XUNLEI
26.17
18.23
44.4
P2P_BT
7.49
3.5
10.99
HTTP
2.03
8.65
0.02
10.7
P2P_PPStream
4.8
5.57
10.37
SKYPE
3.8
1.86
5.66
P2P_PPLive
1.64
2.15
3.79
P2P_EDONKEY
1.95
1.5
3.45
SMB
2.4
RTMPT
0.04
1.81
1.85
RTSP
0.86
0.88
P2P_QQLive
0.4
0.41
0.81
QQ
0.11
0.14
0.16
MMSH
0.01
0.33
0.34
HTTPS
0.23
0.27
STOCK
0.03
0.08
POP3
共
48.55
45.31
2.57
96.43
2010-05-19至2010-05-24应用软件流量饼状图
根据流量统计报表以及饼状图清晰显示,迅雷、BT、电驴等P2P下载软件以及PPstream等在线视频电影消耗了大量的有效网络带宽,造成出口拥塞,网络访问异常,影响了正常的工作。
通过有效的网络带宽管理、有区别的网络行为限制,加强对外网的使用监管,规范上网行为,保障网络畅通,确保关键应用。
二、网络建设目标
根据实际考察和相互交流,本次网络设计的目标为:
A)尽量保留用户现有网络中的设备,在确保用户正常业务使用的前提下减少用户投资。
B)企业各计算机等终端设备之间良好的连通性是需要满足的基本条件,网络环境就是提供需要通信的计算机设备之间互通的环境,以实现丰富多彩的网络应用。
C)许多现有网络在初始建设时不仅要考虑到如何实现数据传输,还要充分考虑网络的冗余与可靠,否则一旦运行过程网络发生故障,系统又不能很快恢复工作,所带来的后果便是企业的经济损失,影响企业的声誉和形象。
D)在商品竞争日益激烈的今天,企业对网络的安全性有非常高的要求。
在很多企业在局域网和广域网络中传递的数据都是相当重要的信息,因此一定要保证数据安全保密,防止非法窃听和恶意破坏,在网络建设的开始就考虑采用严密的网络安全措施。
E)
随着网络规模的日益扩大,网络设备的数据和种类日益增加,网络应用日益多样化,网络管理也日益重要。
良好的网络管理要重视网络管理人力和财力的事先投入,主动控制网络,不仅能够进行定性管理,而且还能够定量分析网络流量,了解网络健康状况。
有预见性地发现网络上的问题,并将其消灭于萌芽状态,降低网络故障所带来的损失,使网络管理的投入达到事半功倍的效果。
F)网络建设为未来的发展提供良好的扩展接口是非常理智的选择。
随着企业规模的扩大、业务的增长,网络的扩展和升级是不可避免的问题。
思科通过模块化的网络结构设计和模块化的网络产品,能为用户的网络提供很强的扩展和升级能力。
G)由于视频会议、视频点播、IP电话等多媒体技术的日趋成熟,网络传输的数据已不再是单一数据了,多媒体网络传输成为世界网络技术的趋势。
企业着眼于未来,对网络的多媒体支持是有很多需求的。
同时,在网络带宽非常宝贵的情况下,丰富的QoS机制,如:
IP优先、排队、组内广播和链路压缩等优化技术能使实时的多媒体和关键业务得到有效的保障。
三、网络改造总体设计
1.机房改造
检查设备安装场地是否符合电气和环境标准。
输入电压允许范围:
100V~240VAC50/60Hz或–40V~-60VDC
工作温度:
0C~40C
储存温度:
-30C~60C
相对湿度:
5~95%无凝结
配线架内外网段及接口标识清晰,线路整理顺畅。
将服务器、交换机等设备合理放置到机柜上,便利操作;
UPS等设备安装到位,进行断电测试。
2.网络改造建议拓扑图
全网设计说明
选用SonicWallNSA2400防火墙作为出口网关设备双线路链接至Internet,10M动态IP线路提供给内部用户访问Internet使用,8M静态IP线路用于业务软件访问使用。
NSA2400同时开启网络防毒功能模块,对于流量可以进行实时扫描,针对间谍软件、恶意网页病毒等可有效防护,保证业务系统以及内部用户的网络安全。
现有网络中的SonicWall防火墙设备作为冷备份,一旦新设备出现故障问题,原有设备可临时替换使用,保证用户的网络应用的不间断。
核心交换机选用LS-5500-28C-SI为全千兆3层设备,提供强大的网络交换功能,满足公司内部网络交换需求。
将原有2路连接分支大楼机房以及1路链接至董事长办公室的光纤线路全部迁移到LS-5500-28C-SI设备上,原有H3900-52P交换机和NETCORE交换机作为接入层交换机使用千兆铜缆网线连接至核心LS-5500-28C-SI交换机。
基于提升网络试用效率的考虑,采用SoftNext公司的CSQR200上网行为管理设备,审核网络应用,优化网络带宽。
可针对内网用户采用不同分组制定访问策略,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。
同时丰富的日志报告功能,对于上网记录进行审核,利于发现网络的潜在威胁。
考虑到公司业务系统的重要性,建议配置一台高性能高数据存储PC,作为现有业务系统数据备份设备使用。
保障业务系统数据的安全,降低因为数据丢失或损坏所带来的不必要的损失。
我公司可免费帮助用户在服务器和PC之间做好备份准备。
网络安全防火墙设备选择:
安全是最大的网络安全隐患。
网络安全防火墙设备选择需要考虑:
非法入侵:
攻击者通过系统漏洞、木马、窃听等手段获得相应权限,从而窃取数据和破坏系统。
病毒攻击:
目前绝大多数蠕虫、病毒均可通过互联网进行传播,蠕虫、病毒一旦爆发,就会侵占网络资源,最终可导致网络瘫痪。
拒绝服务攻击:
通过拒绝服务攻击,可导致服务器当机和网络拥堵,最终造成服务中断。
网络安全防火墙设备:
网络安全设备采用SonicWall防火墙。
NSA系列采用新一代统一威胁管理(UTM)技术抵抗各种攻击,兼备入侵防御、防病毒及反间谍软件功能和SonicWALL应用防火墙的应用层控制功能。
NSA系列利用先进的路由、全状态同步高可用性以及高速VPN技术让您的分支机构、中央区域及分布式中小型企业网络倍添安全性、可靠性、功能性及生产力,同时还将成本及复杂程度降到最低。
核心层设备选择:
公司现有网络分层中并无核心交换机,考虑到使网络拓扑更加合理、今后更好的拓展性、有利于查出问题故障症结,建议配置一台核心交换机。
核心交换层是网络的核心交换节点,它将多个边缘汇聚层连接起来,提供穿透服务,进行数据的高速转发,同时实现与骨干网络的互联,提供高速IP数据出口。
用户数据流可通过汇聚层上行到核心网络,通过核心网获取所需业务。
核心交换机:
根据需求我们选用H3CLS-5500-28C-SI交换机作为网络的核心设备。
H3CLS-5500-28C-SI交换机是一款部署于企业核心的高性能交换机,在核心网络中网络的性能、IP服务、冗余性和故障弹性十分重要。
H3CS5500-SI系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品,具备丰富的业务特性,提供IPv6转发功能以及最多4个10GE扩展接口。
通过H3C特有的集群管理功能,用户能够简化对网络的管理。
S5500-SI系列千兆以太网交换机定位为企业网和城域网的汇聚或接入,同时还可以用于数据中心服务器群的连接。
上网行为管理设备选择:
上网行为管理是一种约束和规范企业员工遵守工作纪律,提高工作效率的工具,是行政管理的电子化辅助手段。
上网行为管理设备无疑对企业网络访问的制度化管理起到了良好的辅助作用。
上网行为管理设备:
上网行为管理设备选用SoftNext公司的CSQR200设备。
CONTENTSQR是一款多功能的网络信息安全管理审计系统。
可详细记录网内受控人员,各种常用网络应用的使用情况,传送或接收的信息内容。
并可配合网络管理或公司策略,对常用网络应用的使用情况与内容,进行记录备案以及弹性的策略管控。
同时提供了详尽的统计分析功能,透过图表分析,使管理者对各种应用的使用情况,及对网络所造成的影响,尽在掌握。
CONTENTSQR是全方位的网络内容安全解决方案,具有EMAIL、WEBMAIL、WEB、IM、P2P、FTP及延伸VOIP..等应用层(LAYER7)延伸服务的内容管理与使用分析,过滤分析技术能涵盖网络层到应用层,以提供网络内容安全的纵衡防御服务。
CONTENTSQR包含不当信息拦截防护、策略管理、统计报表、流量控管...等多种管理功能,特别有助于WEBMAIL的使用控管。
本产品方便管理,不影响网络运作,是企业进行多通讯端口的安全防护,及内容资产管理的最佳工具。
CONTENTSQR能协助企业进行网络有效管理,提升网络资源的使用效益!
网络改造补充说明
根据贵公司工程师所提出的网络改造关键点,对于网络的优化改造补充说明如下:
1、防病毒软件
计算机病毒的预防技术
计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。
实际上这是一种动态判定技术,即一种行为规则判定技术。
也就是说,计算机病毒的预防是采用对病毒的规则进行分类处理,而后在程序运作中凡有类似的规则出现则认定是计算机病毒。
具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作,尤其是写操作。
预防病毒技术包括:
磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。
例如,大家所熟悉的防病毒卡,其主要功能是对磁盘提供写保护,监视在计算机和驱动器之间产生的信号。
以及可能造成危害的写命令,并且判断磁盘当前所处的状态:
哪一个磁盘将要进行写操作,是否正在进行写操作,磁盘是否处于写保护等,来确定病毒是否将要发作。
计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。
目前,对已知病毒的预防可以采用特征判定技术或静态判定技术,而对未知病毒的预防则是一种行为规则的判定技术,即动态判定技术。
检测病毒技术
计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。
它有两种:
一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术。
另一种是不针对具体病毒程序的自身校验技术。
即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地以保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段完整性已遭到破坏,感染上了病毒,从而检测到病毒的存在。
清除病毒技术
计算机病毒的清除技术是计算机病毒检测技术发展的必然结果,是计算机病毒传染程序的一种逆过程。
目前,清除病毒大都是在某种病毒出现后,通过对其进行分析研究而研制出来的具有相应解毒功能的软件。
这类软件技术发展往往是被动的,带有滞后性。
而且由于计算机软件所要求的精确性,解毒软件有其局限性,对有些变种病毒的清除无能为力。
有了企业版防病毒软件,结合贵公司现有的桌面管理软件,可以实现全面的身份验证和企业用户安全管理。
在防火墙之类的安全网关的防护下,企业内部网络可以大大提高抗攻击、防病毒的能力,最大限度的保证用户的信息安全。
2.SSLVPN设备
随着贵公司ERP项目的上马,固态IP线路及专有后台服务器的使用。
可以预见,随着公司业务的不断繁忙,公司规模的不断壮大,相关业务专业软件(比如OA)将会越来越多的被使用。
贵公司业务人员很多时间将会需要在外网直接连接本公司的业务系统,那么公司核心业务数据在公网上传输完全没有保障。
企业对网络的依赖日益加深,面对层出不穷的各种网络安全威胁,如何提供安全可靠、低成本、高可用性的远程访问服务直接关系到企业运作的经济效益。
SSLVPN设备可以帮助企业用户在这些方面解决很多直接面对的问题。
SSLVPN是近年来新兴的一种应用级VPN,是目前解决远程用户访问最简单最安全的VPN技术。
它正成为企业应用、无线接入、Web服务安全远程管理的关键产品。
SSL协议是无所不在(任何浏览器都支持SSL)的,各浏览器支持的SSL高度互相兼容,而且更为重要的是SSL可生存于任何网络环境,穿透任何防火墙,这种无所不在,无所不兼容,无所不达的特性为任何其他安全协议所不具备。
任何安装浏览器的机器都可以使用SSLVPN,它不需要像传统IPSecVPN一样必须为每一台客户机安装客户端软件。
这一点对于拥有大量机器(包括家用机,工作机和客户机等等)需要与公司内网相连接的用户至关重要。
SSLVPN提供智能的安全管理功能。
与传统VPN不同,SSLVPN提供安全、可代理连接,只有经认证的用户才能对资源进行访问。
SSLVPN是应用级VPN,能对加密隧道进行细分,从而使得终端用户能够同时接入Internet和访问内部企业网资源。
另外,SSLVPN还能细化接入控制功能,易于将不同访问权限赋予不同用户,实现伸缩性访问。
有了SSLVPN设备外网访问公司内部的核心数据可以大大提高安全性,大大减少公司核心业务数据被窃取、恶意破坏的可能性,增加企业的竞争力。
3.机房防静电地板的铺设
考虑到未来时间企业信息数据量的增加,贵公司现有的机柜和服务器甚至存储很有可能需要扩容。
目前贵公司机房实际铺设防静电地板的面积,为可使用面积的一半左右。
我们建议用户在本次机房线路整理的同时,可以考虑将现有的一半木地板和隔断拆除,铺设防静电地板,为将来的扩容做好充分的准备。
四、设备选用介绍
1.SonicWallNSA2400防火墙
各种规模的企业都通过企业网络来访问内部和外部关键业务应用。
一方面,网络优势不断为企业带来巨大利益,另一方面,他们受到攻击的挑战也日益巨增,这些攻击纷繁复杂,以经济利益为目的,是专门为了扰乱通信、降低性能和盗取数据而设计的。
恶意攻击通过利用更高的网络层穿透过时的状态包检测防火墙。
单一功能产品能够增加安全级别,但整体成本更大且难以管理,同时,不易控制网络误用,并在抵御多方位攻击时也差强人意。
SonicWALL®
网络安全设备(NSA)系列则引发了网络安全革命,采用了突破性多核设计以及具有专利的免重组深度包检测(RFDPITM)技术*,让您无需牺牲网络性能即可获得全方位的安全保护。
SonicWALLE-ClassNSA系列首次采用了该平台,如今该平台也适用于中型企业。
NSA系列克服了现有安全解决方案的各种局限性,它能实时地对每一个数据包执行整体扫描,以检测当前出现的内部及外部威胁。
依靠高速多核处理平台,NSA系列能执行深度包检测功能,同时不会影响关键网络及应用的性能。
NSA系列采用了新一代统一威胁管理(UTM)技术来抵御各种攻击,同时具有入侵防御、防病毒及反间谍软件功能以及SonicWALL应用智能服务的应用层控制功能。
NSA系列利用先进的路由、全状态高可用性以及高速IPSec和SSLVPN技术让您的分支机构、中央区域及分布式中小型企业网络倍添安全性、可靠性、功能性及生产力,同时还将成本及复杂程度降到最低。
特性及优点
SonicWALL新一代安全产品结合了更高层次的UTM技术,集成了入侵防御、网关防病毒及反间谍软件以及应用智能服务(ApplicationIntelligenceService)可配置工具套件,以防止数据泄漏以及提供细粒度应用控制。
可扩展多核硬件及免重组深度包检测扫描并清除任意大小文件中的威胁,对并发连接没有限制而且网速不减。
网络管理员可使用主级或次级调制解调器或3G无线接口来配置NSA240,确保产品的高度扩展能力可以满足未来的需求。
SonicOS增强版5.0具有的全状态高可用性及负载均衡功能可充分利用网络带宽,保证最大的网络正常运行时间,让您随时能访问关键业务资源,并且确保VPN隧道及其它网络流量在故障切换时不会中断。
高性能及更低的总拥有成本(TCO)通过同时使用多核处理能力而实现,极大地增加了吞吐量和并行检测能力,同时降低了功耗。
先进的路由服务及网络功能结合了先进的网络安全技术,包括802.1qVLAN、WAN/WAN容错功能、基于域和对象的管理、负载均衡、先进的NAT模式及更多技术,为您提供灵活的细粒度配置及全面的安全防护能力。
标准VoIP功能为VoIP基础架构的每一个单元,从通信设备到适用于VoIP的设备,如SIPProxies、H.323Gatekeepers以及CallServer,提供最高级别的安全保护。
安全的分布式无线LAN服务让设备能够起到安全无线交换机及控制器的作用,它能够自动
侦别并配置SonicPointsTM,SonicWALL无线访问点保障了分布式网络环境中的远程访问安全。
联网服务质量(QoS)特性利用行业标准的802.1p及差异化服务编码点(DSCP)服务类别(CoS)指示符提供强大灵活的带宽管理,这对VoIP、多媒体内容及关键业务应用起到至关重要的作用。
同级别最佳的保护
SonicWALL深度包检测保护能抵御网络风险,如病毒、蠕虫、木马、间谍软件﹑钓鱼式攻击、新出现的威胁及Internet误用。
应用智能服务能提供额外的高可配置性控制以防止应用层上的数据泄漏及带宽管理。
SonicWALL免重组深度包检测(RFDPI)技术利用SonicWALL公司的多核架构对数据包进行实时检测,而无需将信息流量缓存在内存中。
该功能可以扫描并清除任意大小文件中的威胁,对并发连接没有限制。
NSA网络安全设备系列通过连续自动的安全更新提供动态的网络保护,对新出现的及不断演变的病毒进行清除而无需请求管理员干预。
统一威胁管理负载均衡包含了多种保护技术的单处理器设计受到单个中央处理器的严格限制。
SonicWALLUTM负载均衡技术将高速深度包检测及流量分类引擎应用到多个安全内核上,并行扫描应用程序和文件,而不会对网络性能或可扩展性产生显著影响。
这就使在承载带宽密集和延时敏感的应用和业务的网络上扫描和控制安全威胁成为可能。
SonicWALLCleanVPNT
NSA网络安全设备系列包括了极富创造性的SonicWALLCleanVPNTM技术,该技术让远程移动用户及分支机构的信息进入企业网络之前,就对其漏洞利用及恶意代码进行清除,而无需用户干预。
集中化策略管理
可利用SonicWALL全球管理系统(GMS)对NSA网络安全设备系列进行管理,该系统提供
了强大、灵活、直观的管理工具,可对各种配置执行集中管理,实时查看监控数据并将策略与合规性报告结合在一起。
SonicWALLNSA网络安全设备解决方案都采用了突破性多核硬件设计以及具有专利的免重组深度包检测(RFDPITM)技术,针对各种内部和外部网络保护,提供新一代统一威胁管理保护,而无需牺牲网络性能。
每一款NSA系列产品都融合了高速入侵防御、文档和内容检测、强大的应用智能服务控制以及众多先进的、具有高度灵活性的网络和配置功能。
NSA系列所采用的平台不仅易用性强,而且价格合理,便于在各种类型的企业、分支机构和分布式网络环境中部署和管理。
网关防病毒、反间谍软件、入侵防御服务及应用智能服务提供智能实时的网络安全保护,以抵御复杂的应用层以及基于内容的攻击,包括病毒、蠕虫、木马、间谍软件及软件漏洞利用(如缓存溢出)。
应用智能服务能提供一整套可配置的管理工具,这些工具是专为防止数据泄漏并且提供细粒度应用层控制而设计的。
强制客户端和服务器防病毒及反间谍软件利用一个单一的集成客户端为笔记本电脑、台式机及服务器提供全面的病毒及间谍软件防护,同时还能提供网络范围内的防病毒及反间谍软件策略、定义及软件更新的自动强制。
内容过滤服务通过采用创新性的评级架构,利用动态数据库阻止56类令人讨厌的Web内容,从而实现保护及生产力策略的强制。
ViewPoint报告提供易用的、基于Web的各种功能,这些功能让系统管理员能立即获得网络性能及安全的综合性了解。
ViewPoint采用Dashboard和详细总结的方式为各种机构提供一系列历史报告,从而帮助他们进行Internet使用追踪,满足合规性要求并对其网络的安全状态进行监控。
SonicWALL虚拟辅助服务(SonicWALL®
VirtualAssist)是一项远程技术支持工具。
采用此工具,技术人员可控制用户PC或笔记本电脑,从而进行远程技术援助。
经用户许可后,技术人员可通过Web浏览器及时访问用户计算机,更轻松地进行远程诊断和问题修复,而无需预装“肥”客户端。
动态技术支持服务可根据用户的需要选择5×
8或7×
24小时技术支持服务。
该服务包括世界级的技术支持、关键的固件升级、扩展性电子工具的使用以及即时的硬件更换,从而帮助企业获得最大的SonicWALL投资收益。
全球VPN客户端升级采用了可直接安装在基于Windows的计算机上的软件客户端,让远程用户可安全访问电子邮件、文件、内联网和应用,从而提高了员工的工作效率。
升级许可证适用于各种规模的用户群,因此,企业可根据自身的发展进行扩展。
SSLVPN远程访问升级为基于PC、Mac和Linux的系统提供了无客户端远程网络访问。
由于采用了集成式SSLVPN技术,SonicWALLUTM设备让用户可通过NetExtender(一种可推送到用户设备的轻量级客户端软件)无缝、安全地访问来自各种客户端平台的电子邮件、文件、内联网和应用。
NetExtender的安装和配置都是自动的,用户无需介入。
SonicWALL综合反垃圾邮件服务可在网关
升级会员 