XX公司网络整改建议.doc

xx公司网络整改建议一、 需求分析1、 硬件网络当前xx公司的网络为交换机到办公电脑的以太网络结构。根据当前的发展需求，需要建立起文件存储、防病毒、即时通讯、办公平台、网络权限管理等一系列服务体系。这就要求公司必须配备路由网关、防火墙、网络化防毒软件、文件及即时通讯服务器等硬件设备，建立高效的网络化办公系统平台。根据公司的当前状况，需要添置设备如下：1) 企业级pc服务器1台，提供ad(活动目录)、文件存储、web(用于内部办公平台)、数据库及即时通讯服务端等服务。使整个公司的重要数据能够集中存储和备份，有效地保障数据安全。另外，通过使用域模式的网络管理，可以有效管理办公电脑登录和文件存储权限。使用raid磁盘阵列，最大化避免因硬盘损坏导致的数据丢失及破坏等不必要的损失。2) 路由防火墙1台，提供因特网访问、网络安全保护和网络访问权限管理等服务。3) 主交换机1台，应为可网管交换机，支持vlan，并有至少一至两个千兆口来作为服务器专用端口。4) ups不间断电源1台，负责网络核心设备的电源供应，保障服务器、交换机和路由防火墙的稳定性。5) 数据备份设备1台，可以用dvd刻录机或磁带机进行数据的外部备份。2、 日常应用1) 办公平台(oa系统)：xx公司当前在全国各地乃至海外都有分支机构，并且各分支机构间需要经常性的勾通和交流。所以，建立相应的办公和即时通讯系统显得非常必要，特别是一些通知、文档和工作交流都需要得到及时的处理和传递。因此需要建立一个包括通告通知、人力资源管理、即时通讯、工作流和日常办公辅助等功能的网络办公平台来处理公司的日常的工作。2) 企业邮局：由于公司需要频繁的海外通信，建议租用海外邮局来作为外部邮局，用于对外的日常业务联系。当前国内具有良好海外邮局系统的有如中国频道、商务中国等服务商。综合评估，建议使用中国频道（又称35互联）的海外转发邮局，经实践证实，其与欧美，特别是垃圾邮件管控较严格的欧洲的通信效果明显优于其他服务商。内部通讯由办公平台所带的邮箱功能提供。3) 防毒软件：应采购网络版防毒软件以保障公司内部防毒体系的可靠性。目前市面上比较常用的网络版防毒软件包括如瑞星、江民kv、卡巴斯基、诺顿等著名防毒软件。4) 即时通讯：由于办公平台作为公司内部办公的工具，需要根据相应权限进行授予。而有些需要即时勾通的有可能非本公司员工，所以即时通讯系统有必要与办公平台分离开来进行管理。根据公司分支机构多的情况，可以考虑使用如rtx、am等可自行进行二次开发的商业软件。5) 光纤接入：为保证公司内部访问因特网和服务器对外提供的mail、web等服务的正常运营，应使用至少2m光纤接入作为因特网的接入。同时，为了保障北方用户的正常访问，在可能的情况下，应增加一条网通线路作为第二线路。二、 网络架构基于上面的要求，我们建议xx公司采用下图所示的以太网络架构。网络拓扑图如下：在上图中，为保障服务器的安全，建议服务器仅通过端口映射的方式将80、25和110等必要端口映射到外网，提供服务，而非放置到dmz区，保证服务器的安全性。三、 设备选型1、 网络设备a)d-link des1226g作为主交换，两个千兆口一个作为上联口连接服务器，一个作为备用，可以做服务器的双线冗余，也可以作为与防火墙的连接端口。两个光纤接口使未来跨建筑的网络布线得以实现。其smart网管功能更可以有效管理内部网络访问权限，并通过建立vlan来进行网络分段。价格约为1300元。b)艾泰hiper 4520vf企业级vpn网关防火墙，价格约为24000元。具体参数如下：艾泰 hiper 4520vf 主要参数端口2个wan,2个lan 防火墙性能4520vf的防火墙功能实现了七层过滤 vpn处理能力支持自动ike或者手动建立ipsec隧道/esp和ah协议/3des，des和aes加密/sha-1和md5认证/主模式和野蛮模式/抗重播/支持ipsec nat穿透/每个接口都支持vpn/支持星型连接和网状连接 支持标准ip，tcp，arp，udp，icmp，nat，反向nat，http，tftp，telnet，snmp，ppp，dhcp，触发式路由更新，pppoe，pap，chap，syslog 产品功率输入功率：最大10w 正常 5w 网关重量2kg 网关尺寸440mm x 260mm x 44mm 其它性能web ui，cli（串口和telnet），xport hiper manager 其它特点静态路由，rip i和rip ii，负载均衡和备份，源地址路由。抑制bt和电驴等p2p下载c)网件netgear fvx538企业级vpn防火墙，价格约为13000元。具体参数如下：netgear fvx538 主要参数设备类型vpn防火墙 网络吞吐量大于90 mbps 网络端口局域网端口：8个10/100 mbps 1个10/100/1000 mbps端口1个lan口可以做为专用的硬件dmz端口广域网端口：2个10/100base以太网 rj-45 端口 入侵检测入侵检测系统 (ids) 包括日志记录、汇报和电子邮件告警、地址、服务和协议、web url 内容过滤，防止重放攻击，端口/服务隔离;高级特性包括过滤基于或扩展的java/url/activex ;ftp /smtp /prc程序过滤-vpn 功能 控制端口1个控制端口,可支持cli命令行配置界面 管理snmp(v2c)支持；telnet, 基于 web 的图形用户界面，安全套接层(ssl) 远程管理,用户名和口令保护。 2、 服务器a) dell pe2950机架式服务器，由于公司当前的应用水平，只需配备带双xeon的机架式服务器作为主服务器即可满足要求，服务器大体配置为：xeon3.0g*2/1g ecc ddr2*2/73g sas scsi*3(raid5)/1000m intel*2/power400w*2。价格约为2-2.3万元。b) hp proliant dl380 g5机架式服务器，大体配置同dell，cpu为xeon1.6g*2(新工艺)。价格约为2.2-2.8万元。3、 辅助设备a) 山特3k ups不间断电源，配备1小时电池。价格约为6000元。b) 外置dvd刻录机，在系统运行一定周期后，应定期的作完全和增量备份，保障数据的有效和安全。四、 维护管理1、 日常管理a)应当建立完整的日常管理制度，新员工入职即办理相应的网络账号、登录用户和oa、即时通讯账号，通过有效整合，可以将上述账号统一起来，便于员工使用。b)对新员工进行培训时，应就文档存储和个人使用注意事项等进行必要说明，保证整个工作流顺利进行。2、 备份冗余a) 以周或月为单位进行数据及文档的增量备份。b) 以月或季度甚或年为单位进行数据及文档的完全备份。c) 以财年为标志对老旧数据进行完全备份和清理。d) 数据应作实时备份，即数据的分布式存储或冗余存储，以保证当数据存储区域发生意外时的