网络整改方案7-7(16-51).doc

广州分公司城域网整改方案目前广州网络缺点：没有公网地址、不能实现NetMeeting功能、没有认证功能、不能日志备件功能。我们改造网络的主要目的是：1、 优化网络：目前广州的网络拓朴方式是各个小区汇聚到新一代机房，用户所拥有的ip都是聚友分配的私有ip，为用户提供上网时要经过nat 转换成真ip，用户才能够访问internet，但用户真IP的需求越来越大。从实质上来说，有了真IP才能实现更多的互联网功能，而哪个ISP分配给用户的是真IP，在很大程度上增强了竞争力，目前新一代申请到的C类地址完全能满足我们所有的用户都使用真IP的条件。2、 安全认证、日志备件服务：规划中心机房进行二层认证及日志追踪可以节约PPPOE二层认证的投资成本，因近期市公安局对互联网有害信息进行整治，要求各ISP的日志服务器须保留三个月日志备份，但由于我们的各小区中心路由器与新一代IDC连接是通过三层网络层进行，使用只能在二层数据链路层上进行认证的PPPOE服务器不适合，而如果用网桥替换小区路由器就可以节约成本打破在各个小区机房配置PPPOE的局面直接在新一代IDC放置几台PPPOE就可以实现对所有小区用户进行认证及日志追踪。3、 节约设备：因CISCO路由器的成本过大，通过网络优化，只需在各小区机房以网桥取代路由器即可解决认证、内网连通及日志备份等问题，还可以节约出20多台路由设备以支援其他需要此设备的其他分公司。 一、 广州城域网现状：广州分公司没有自己的中心机房，所有22个的小区都是通过sdh汇接到新一代中心机房，访问层router放置在小区内，作nat 转换，将用户私有ip转换成公网真ip，通过新一代的路由器到公网上去。见图一：电信城域网3640新一代中心机房加拿大花园贤人阁骏逸苑26212621鸿运花园福景居金丰花园银珠苑信和广场江南雅居江南苑万华花园26212621华港花园祥景花园乐怡居永福楼麓雅居鸿瑞花园港丰大厦雅景阁微波211HDSLHDSL图一 广州现状top图以广州目前的网络现状，要在二层上实现安全认证及日志备份需要投入20多台PPPOE，规划上投资成本过大，如要在三层上实现此功能的认证设备成本也不低，另一个办法就是保持现状，不做日志备份，不利因素一来是风险值过大，二以目前的网络拓朴不利于对各小区网络的统一管理，在实现增值业务方面有很大难度。二、 建议网络整改方案：经过跟新一代交涉，他们同意提供给我们2-3个c类真ip使用。目前广州用户有700多户，我们可以采用pppoe动态的分给用户真ip使用。采用此种方式时，追查用户非常方便。只要察看radius认证服务器的认证纪录既可以查到那个用户何时使用被追查的真ip。无需进行抓包记录。而且解决了用户使用nat转换带来的一些问题。例如，用户可以使用netmeeting,使用ip电话，不存在因为有防火墙而不能使用一些ineternet资源。整改后的网络拓朴如图二：图二：广州改造后网络TOP示意图由于广州使用的是sdh链路，各小区可以桥接到新一代的中心机房，在中心机房放置一台中心交换机，划分vlan,防止所有的小区都处在一个广播域中。在新一代中心机房采用2台pppoe服务器，一台radius认证服务器，每台pppoe负责几个小区，统一分配真ip地址。与pppoe相连的交换机端口作所负责小区vlan号的mulvlan。（此处不要做tuank,由于pppoe的原因，作trunk不能发送邮件。）这样可以将原来的小区的所有的ROUTER节省下来，调节其他城市。三、需申请的设备及费用：由于广州目前已经有一台pppoe和一台radius服务器，目前只需追加一台pppoe服务器即可。由于以前的接入模式是g.703v.35，因此所有的转换器都要换成桥接模式。设备型号数量单位单价总计备注pppoe server1台00调用BRI-RJ4522台2350元 51700元采购机架式 BRI-RJ452台28500元57000元采购总预算金额合计：51700+57000 = 108700元节 约 设 备：cisco 2621 router 24台。转换器44台。建议广州保留：cisco 2621 router 5台。转换器10台作为备份。四、施工周期：我们先在新一代IDC做好中心机房的框架以便随时更换小区，因广州接入的小区有