网络改造设计方案建议报告2018 年2月公司网络现状及需求分析1.1前言当今社会已步入信息社会,信息成为社会经济发展的核心因素,信息化已成为当今世界潮流。
自从1993年美国政府公布实施“信息高速公路计划”之后,在世界引起巨大反响,许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。
可以说,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。
信息技术作为新技术革命的核心.不仅具有高增值性、成为最具经济活力的经济增长点,而且具有高渗透性,以极强的亲和力和扩散速度向经济各部门渗透,使其结构和效益发生根本性改变。
信息化已成为当代经济发展与社会进步的巨大推力,尤其是作为国民经济信息化基础的企业信息化,当前更显得尤为重要,信息化建设已成为企业发展的必由之路。
信息化是企业加快实现现代化的必然选择!随着信息时代的到来,企业的生存和竞争环境发生了根本性的变化。
对于大型企业而言,信息化无论是作为战略手段还是战术手段,在企业经营中发挥着举足轻重的作用。
随着近年来企业信息化建设的深入,企业的运作越来越融入计算机网络,企业的沟通、应用、财务、决策、会议等等数据流都在企业网络上传输,构建一个“安全可靠、性能卓越、管理方便”的“高品质”大型企业网络已经成为企业信息化建设成功的关键基石。
1.2背景分析公司的网络改造是公司为了适应新形势下企业激烈竞争,提高公司核心竞争力的一项具有战略意义的举措。
成功的网络改造将使我公司能够在较长时间里在高科技领域竞争中继续保持科技优势,从而推动各项业务水平的快速发展。
公司的网络现状如下图:伴随着公司的飞速发展,越来越多的分支机构单位和业务系统接入到网络当中,造成公司网络规模不断扩张,网络结构也越来越复杂,而陈旧的网络核心设备和庞大的网络架构,也带来网络骨干性能不足、IT运维监控滞后、服务器负载效率低下、网络安全隐患众多等一系列问题,目前,我公司网络系统面临问题的详细情况如下:1、核心设备陈旧网络核心S6506 厂家已停产,无法进行板块扩容,也没有备品备件,且S6506 已在线运行多年,一旦出问题网络瘫痪后无法第一时间迅速恢复。
2、网络架构复杂网关错位整体网络架构没有进行统一规划,多级串联现象严重,造成网络结构庞杂,增加了很多网络传输延迟和故障节点。
3、运维监控滞后无法对网络流量进行实时监控和回溯审计,造成盲目的“黑盒运维”---无法及时准确地掌握网络整体性能、应用负载,并进行针对性的调优,更无法准确定位网络异常原因,排查网络故障和隐患。
4、网络性能存在瓶颈现有网络骨干是百兆网络局域网,但网络吞吐约200G/天,流量峰值是200M/S,平均流量为80M/S,其中流量吞吐最大的是192.168.8.19的营销系统服务器,而一旦局域网中出现P2P、大文件传输、视频流媒体等数据流,正常业务的带宽就会受到挤占和消耗,造成网络访问拥塞,出现延时大,响应慢等现象。
5、业务系统性能待调优首先是O A 系统因为访问量少,所以响应快,延时小,性能最好。
其次是营销系统,在业务高峰时期会有上万(约13000 左右)的并发会话,此时服务器性能和网络非常吃紧。
接着是财务NC系统,因为服务器挂在云端,本地是通过VPN去进行访问,导致服务器访问性能在广域网传输过程耗损较多,所以,交互质量差的应用会话比例很高,系统整体性能较差。
最后是集抄系统,该业务系统虽然整体流量不大,但总体性能表现并不高,这跟两台服务器没有很效地对访问请求进行负载分担有一定关系。
6、网络存在安全隐患网络中存在一些病毒木马、端口扫描、未知异常广播等网络安全隐患,干扰正常网络通信,影响数据传输,并可能造成数据泄密、业务系统无法运转等风险。
7、监控流媒体挤占正常业务带宽平时的业务数据和监控流媒体数据混在网络中一起传输而未被分开,会导致视频监控数据挤占正常业务带宽通道进行传输,极大造成了局域网带宽资源浪费,影响业务传输质量。
8、运维组织有待完善分支机构接入较多,私接串接导致故障现象屡见不鲜,使运维人员应接不暇,需从制度上和技术上,加强运维组织管理。
1.3用户需求●骨干网络高性能、高稳定性需求网络骨干包括网络的核心层和汇聚层,是整个网络流量的承受者和汇聚者,因此对骨干网络高性能、高稳定性提出了高的要求。
为了提高设备的可靠性和稳定性,可采用骨干网络冗余设计,能够实现设备的热备和失效自动切换。
●网络安全性需求网络安全包括网络级、系统级、用户级、应用级的安全,在网络级,需要利用防火墙的过滤与隔离功能,将信任网络(内网)和不信任的网络(外网)隔离开来,并利用防火墙或出口路由器的NAT(网络地址转换)功能,对外屏蔽内网的网络拓扑信息,从而避免整网受到外来攻击。
在网络内部,根据用户的网络使用需求,将用户和网络资源划分为不同的VLAN,在VLAN间根据需求启用相应的ACL(访问控制列表),从而保证用户的物理隔离和资源访问的安全。
网络监控管理分析需求在不影响关键业务运行的前提下,收集分析网络流量中的应用信息,网络管理员可以定义、监控并评估网络连接性、安全性和性能策略,并进行网络的规划和设计,并且能够使管理员了解计算机网络系统的整体状况,可监控到来自网络内部和外部的“黑客”入侵,能够为查明入侵的来源提供有效的依据,直观的显示各种网络流量运行状态,并对各种异常情况实现自动报警。
1.4设计思路公司网络设计为三层结构,系统的设计应充分利用当今先进的网络技术,实现网络数据高速有序流通,建立高效率的信息网络平台,形成各个部门内外相联、上下贯通的信息传输网络。
改造后的我公司网络平台应是一个技术先进、性能可靠、功能齐全的系统,系统内的各级用户在各自权限内,在各自站点上进行各自的工作,满足网上语音、视频、监控等多种应用,为集团业务发展提供一个稳定的信息高速公路基础平台。
1.5建设目标➢尽量保留现有网络中的设备,在确保公司正常业务使用的前提下减少公司投资。
➢不仅要考虑到如何实现数据的高性能传输,还要充分考虑网络的冗余与可靠,让系统在运行过程发生故障时,能迅速恢复正常工作,避免造成企业经济损失。
➢改造后的网络系统具有良好的可维护性与可管理性,让管理员通过智能化分析工具后对网络运行状况了如指掌,高效率地处置运行故障与安全威胁。
➢为公司网络基础设施的未来发展提供良好的扩展接口,让网络核心骨干随着公司规模的扩大、业务的增长,便于进行系统的扩展和升级。
1.6设计原则在整个网络改造设计过程中,力求尽量利用现有资源的基础上进行改造,严格遵循网络规范和设计原则,为用户打造一个稳定,安全的网络环境,具体考虑到以下的各个方面。
1、稳定性网络的可靠性和稳定性非常重要,决定着网络能够正常运行,在网络设计时,不论是网络节点、通信线路、应用设备还是网络拓扑的设计,都应该对可靠性和稳定性加以考虑,尽量减少故障节点,确保系统运行可靠。
2、先进性设计网络系统的目的主要就是应用。
因此,在设计时应当以注重实用和成效为原则,紧密结合具体应用的实际需要。
在技术上应该采用先进的网络技术和网络产品,选择技术成熟和实用效果好、市场占有率高、通用性好的设备,适应信息技术的迅速发展,具有良好的技术先进性。
3、安全性对于内部网络以及外部访问的安全必须高度重视,设计部署可靠的系统安全解决方案,避免安全隐患,采取防攻击、防篡改等技术措施,管理和技术并重,全方位构建整个网络安全保障,保证数据和服务器的安全。
4、可管理性考虑到网络系统的后期管理和维护,在方案设计中要充分考虑各个设备和系统的可管理性,使系统建成后易于管理、易于维护、操作简单、易学、易用,有效地提高对网络的管理,便于管理人员进行配置和处理故障。
5、可扩展性着眼长远考虑,不但满足当前需要,并能满足后期扩展的需要,充分考虑今后网络的发展,预留升级和扩充余量,能够兼容不同厂家、不同类型的网络产品及应用软件,便于向更新技术的升级与衔接。
6、经济性本次系统改造建设中,要充分考虑原有系统资源的有效利用,发挥原有设备资源的价值,本着以最少的改造成本,获得最大的改造效果。
对一些运行良好的硬件设备及应用软件要加以保护并合理利用,节省一部分投资。
另外,对于新增的设备,要尽量选择技术成熟可靠、性价比较高的设备,达到实用、经济和有效的效果。
1.7设计依据及标准本次网络改造方案设计参考的标准和依据包括:信息及网络系统设计标准◆《信息技术通用多八位编码字符集(UCS)》(GB 13000.1)◆《信息技术系统间远程通信和信息交换局域网和城域网》(GB 15629.11-2003)◆《信息处理系统光纤分布式数据接口》(ISO 9314-1: 1989)◆《光纤分布式数据接口(FDDI)高速局域网标准》(ANSIX3T9.5)◆《通信光缆的一般要求》(GB/T7427-87)◆《建筑和建筑群综合布线系统工程设计规范》(GB/T 50311-2006)◆《建筑和建筑群综合布线系统工程验收规范》(GB/T 50312-2006)◆《信息技术用户建筑群通用布缆》(ISO/IEC 11801: 2002)◆《信息技术用户建筑群布缆的实施和运行》(ISO/IEC 14763-1: 1999) ◆《信息技术用户建筑群布缆配置》(ISO/IEC 14709-1: 1997)◆《信息技术用户建筑群布缆的通路和空间》(ISO/IEC 18010: 2002)《光纤总规范》(GB/T 15972.2-1998)◆《民用建筑通讯通道和空间标准》(EIATIA569)信息安全设计标准◆《计算机软件配置管理计划规范》(GB/T12505--1990)◆《计算机信息系统安全保护等级划分规范》(GB 17859-1999)◆《计算机信息系统安全专用产品分类原则》(GB 163-1997)《信息技术设备的安全(ide IEC 60950:1999)》(GB4943-2001)◆《信息技术安全性评估准则》(GB/T18336.1—2001)◆《信息技术信息安全管理实施规则》(ISO17799—2000)◆《涉及国家秘密的计算机信息系统保密技术要求》(BMZ 1-2000)◆《涉密信息设备使用现场的电磁泄漏发射防护要求》(BMB 5-2000)◆《涉及国家秘密的计算机信息系统安全保密测评指南》(BMZ3-2001)智能化系统设计规范◆《智能建筑设计标准》(GB/T50314-2006)◆《建筑及居住区数字化技术应用系列标准》(GB/T20299-2006)◆《建筑智能化系统设计技术规程》(DB/J01-615-2003)◆《公共建筑节能标准》(GB50189-2005)◆《民用建筑电气设计规范》(JGJ/T)◆《电子计算机场地规通用规则》(GB/T2887-2000)◆《计算机场地安全要求》(GB9361 -1988)◆《电子计算机机房设计规范》(GB50174-1993)◆《防静电活动地板通用规范》(SJ/T10796-2001)◆《电信专业房屋设计规范》(YD5003-1994)◆《通信机房静电防护通则》(YD/T754-1995)火灾报警系统设计标准◆《高层民用建筑设计防火规范》(GB 50045-1995)◆《火灾自动报警系统设计规范》(GB 50116-1998)◆《建筑设计防火规范》(GBJ 16-1987)◆《火灾报警控制器通用技术条件》(GB 4717-2005)◆《点型感烟火灾探测器技术要求及试验方法》(GB 4715-2005)◆《点型感温火灾探测器技术要求及试验方法》(GB 4716-2005)◆《线型光束感烟火灾探测器技术要求及试验方法》(GB 14003-2005) ◆《点型红外火焰探测器性能要求及试验方法》(GB15631-1995)综合安防系统设计标准◆《安全防范工程技术规范》(GB 50348-2004)◆《安全防范系统验收规则》(GA 308-2001)◆《安全防范工程程序和要求》(GA/T 75-1994)◆《安全防范工程费用概预算定额编制方法》(GA/T 78-1994)◆《出入口控制系统技术要求》(GA/T 394-2002)◆《出入口控制系统工程设计规范》(GB 50396-2007)◆《视频安防监控系统技术要求》(GA/T 367-2001)◆《视频安防监控系统工程设计规范》(GB 50395-2007)◆《安全防范报警系统设备安全要求和试验方法》(GB 16796-1997) ◆《报警系统电源装置、测试方法和性能规范》(GB/T15408-1994)防雷与接地系统设计标准◆《建筑物防雷设计规范》(GB 50057-2010)◆《建筑物电子信息系统防雷技术规范》(GB 50343-2012)◆《通信工程电源系统防雷技术规范》(YD 5078-1998)◆《通讯局(站)低压配电系统用点涌保护器》(YD/T 1235-2002) ◆《通讯局(站)接地设计暂行技术规范》(YDJ 26-1989)◆《计算机信息系统防雷保安器》(GA 173-2002)◆《计算机信息系统雷电电磁脉冲安全防护规范》(GA 267-2000)《建筑物的雷电防护》(IEC 61024: 1990-1998)工程及设备质量验收规范◆《智能建筑工程质量验收规范》(GB 50339-2003)◆《智能建筑工程检测规程》(CECS 182:2005)◆《建筑及居住区数字化技术应用》(GB/T20299.2)◆《安全防范系统验收规则》(GA308-2001)◆《安全防范报价设备安全要求和实验方法》(GB16796-1997)◆《建筑与建筑群综合布线系统工验收规范》(GB/T50312-2000)其他设计标准◆《信息技术互连国际标准》(ISO/IEC 11801-95)◆《建筑内部装修设计防火规范》(GB-50222-95)◆《电气装置安装工程施工及验收规范》(GBJ232-82)◆《民用建筑电气设计规范》(JGJ 16-2008)◆《供配电系统设计规范》(GB 50052-2009)◆《低压配电设计规范》(GB 50054-2011)◆《工业与民用供电系统设计规范》(GBJ 52-82)◆《低压配电装置及线路设计规范》(GBJ54-83)◆《通用用电设备配电设计规范》(GB50055-2011)◆《工业企业照明设计标准》(GB 50034-1992)◆《采暖通风与空气调节设计规范》(GB50019-2003)◆《通风与空调工程施工质量验收规范》(GB50243-2002)◆《建筑装饰装修工程质量验收规范》(GB50210-2001)◆用户对网络改造项目的其他要求2.网络改造设计方案网络拓扑图按照网络分层设计模型,广安爱众公司新规划的网络拓扑结构如下:如上图,整个网络架构设计可分为网络出口、核心层、接入层、传输、安全与优化等五大部分,现分别详述如下:2.1网络出口设计外网出口连接上级的I nternet,带宽为上下行对称的100M,是各种攻击行为、病毒传播、安全事件引入的风险点,通过在网络出口处部署高性能、高可靠、高安全的网关设备,可以很好的缓解风险的传播,阻挡来自外部网络攻击行为的发生,是网络出口的第一道安全屏障。