《某公司厂区网络改造总体设计方案书》

XX公司网络改造总体设计方案书二零壹零年三月XX有限公司目录第1章网络改造的需求规定11总体目标12网络改造需求121XX公司局域网122网络管理的需求123网络安全管理需求第2章网络改造的基本原则第3章网络总体设计31XX公司网络系统改造目标总体架构411组网模式412网络总体拓扑结构设计32局域网改造421局域网改造方案第4章XX公司网络管理设计第5章网络系统安全设计51安全模型（P2DR模型）52XX公司网络系统总体安全体系53XX公司网络级安全设计531局域网安全设计设备清单XX公司计算机网络改造方案第一章网络改造的需求规定11总体目标XX公司骨干网改造是公司为了适应新形势下企业激烈竞争，提高XX公司核心竞争力的一项具有战略意义的举措。XX公司网络改造作为整个网络改造工作的一个组成部分，成功的网络改造将使XX公司能够在较长时间里在高科技领域竞争中继续保持科技优势，从而推动各项业务水平的快速发展。XX公司网络设计为三层结构，系统的设计应充分利用当今先进的网络技术，实现网络数据高速有序流通，建立高效率的信息网络平台，形成各个部门内外相联、上下贯通的信息传输网络。建设后的XX公司网络平台应是一个技术先进、性能可靠、功能齐全的系统，系统内的各级用户在各自权限内，在各自站点上进行各自的工作，满足网上语音、视频、监控等多种应用，为XX公司提供一个稳定的网络。111XX公司网络现状及需求分析原有局域网是在2001年前建设的，好多车间当时均没有布线，或者布的线的是网线，时间长网线均已老化或者是被老鼠咬断，对厂区提升信息化应用受到很大的影响。也直接影响到局域网的使用。且当时车间里只有一个最多两个点是可以使用的。随着企业规模的扩大以及应用系统的增多，己经不能满足现有及未来信息化办公要求，主要暴露的问题有以下几点1、随着用户数目的增加，以及各种业务系统的拓展，依托于网络运行的业务越来越多，对网络的依赖性越来越强，网络设备的性能不能够满足未来的需求，所以网络迫切面临着升级改造的需求。2、网络安全性现在XX公司在网络安全方面还处在一种被动局面，只有等到各种病毒和漏洞发作的时候才知道，不能够在这些安全威胁爆发之前，对网络的各种隐患和漏洞进行一个很好的分析、了解和掌握，并且通过某种手段弥补掉这些隐患；没有能够检测网络当中各种行为的设备，这样有人在网络当中作了些什么，网管人员将很难发现，所以需要有一种监测网络和审计网络的设备和软件，进而从多个方面，多个角度，多种手段来建成一种防御体系，使网络在被攻击前、被攻击中、被攻击后都可以通过某种手段去解决问题。在攻击前积极防御，先找到隐患和漏洞，并且进行弥补，在攻击中及时发现可以通过设备间的联动，对其攻击进行阻断。最后就是作好安全容灾备份，这样即使数据丢失或损坏，还有备份系统能够在短时间使系统重新恢复起来。3、总机房与厂区部门互联由于厂区和部门之间的主干没有光纤连接，并且有的部门没有网络综合布线系统，所以厂区和的部门连接增加千兆光纤连接，部门分交换到各信息点增加综合布线系统。XX公司计算机网络改造方案12网络改造需求121XX公司局域网方案描述这次改造目的把所有的基层车间及下属部门全部用光纤做为主干。每个基层车间及下属部门均布1040个信息点。全厂区总体设计的信息点在600个以上。方案描述1、在原总工办办公室建立核心机房，核心交换机采用LSS560026F24GESFP,4个COMBO10/100/10001000BASET,自带两个堆叠口,1个模块插槽。光纤配线架直接熔接光纤，不用收发器，通过跳线和主交换机LSS560026F模块连接到各车间的光纤到光口交换机。由于现有的点加上新综合车间共有300多，我们现有的路由器已不能满足要求。所以上一套专业的路由器主控模块RTMPUFH3主控模块是H3CMSR50主控模块,2GECOMBO,4SIC,256F/512D并配LISMSR50STANDARDH3软件进行管理。配置一台H3CSECPATHF1000CAC作为整体网络的防火墙。由于大楼里的各房间的网络不再改动。我们增加了二台H3CS310026TPSI交换机做为楼内各点的接入点。机房内配备一台山特C2KS一小时延时的UPS不间断电源，机柜所有的设备都做接地连接。2、每个车间的设备说明。每个车间配置一台H3CS310026TPSI交换机，光纤直接上交换机的SFPGELXSM1310A光模块。车间内的所有网线全部进行全新的安装采用PVC墙面固定。每个信息点采用外装模块。配置一台机柜,一台山特C12KS一小时延时的UPS不间断电源。其中不包括新综合车间。每条线都进行标记。3、各车间的光纤走向主要分四路来实现。第一路加工车间。第二路综合新车间、新装配、木模下线、装配办、装配、冲剪。具体说明用一根12芯光纤到综合新车间进行用一分二光纤分路器进行分路，由于综合新车间的信息点比较多，我们采用两台H3CS310052TPSI交换机来保证信息点足够使用。光纤到装配办用一分四光纤分路二次分路分别给新装配、木模下线、装配办、装配、冲剪。第三路机电办、机电、工具、加工二、焊接大修在机电办进行二次分路。第四路销售、供应、备料、铸工、车队、物业、保卫部、在销售进行光纤二次分配，在供应进行光纤二次分配。XX公司计算机网络改造方案在车队进行光纤二次分配。销售放一台S310052TPSI，在供应放一台S310052TPSI交换机。122网络管理的需求1、具有网络管理基本功能，提供设备管理、配置管理、图形面板、流量监控、故障判断、拓扑发现等。增加局域网管理软件。2、在不影响关键业务运行的前提下，收集分析网络流量中的应用信息，网络管理员可以定义、监控并评估网络连接性、安全性和性能策略，并进行网络的规划和设计。3、网管系统能够作到管理监控到全网所有网络设备，直观的显示各种设备运行状态，并对各种异常情况实现自动报警。123网络安全管理需求、网络设计中利用防火墙、VLAN等技术，确保计算机网络系统计算机网络系统安全漏洞最小化，使网络入侵的风险得到控制。、能够使安全管理员了解计算机网络系统的整体安全状况。、可监控到来自网络内部和外部的“黑客”入侵。、能够为查明入侵的来源提供有效的依据。5、能够对整个网络系统从网络层、系统层、数据库和应用层进行安全脆弱性进行评估，提供安全修复指引。XX公司计算机网络改造方案第2章网络改造的基本原则在网络集成设计过程中，一定要从网络、服务器、工作站的互连性、网络的可用性及网络的性能上支持将来XX机械厂计算机网络的全部网络应用，并且能够适应今后相当长一段时间内应用的发展。在本网络设计的过程中，还有一个需要考虑的重要因素就是系统的可靠性。网络应该具有一定的容错能力，在设计中尽可能地减少单一故障点，以使该网络不至于因为某一设备的损坏或某一信道的故障全部或部分瘫痪。另外，网络的性能是设计一个网络最基本的依据，在设计中不但要考虑满足今天的应用，而且要考虑到今后相当长一段时间内的发展。当然，高性能与高可靠性是以高投入为代价的，最终的方案一定是性能与价格折衷的产物。还要对网络实行集中监测，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。最后就是保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级。在XX机械厂计算机网络设计中，我们基于以下基本原则1技术的超前性和成熟性2高度的安全性3实用性4网络的扩展性和可维护性5高性能6可靠性7可管理性8投资保护XX公司计算机网络改造方案第3章网络总体设计31XX公司网络系统改造目标总体架构311组网模式大型网络的网络结构是层次化的，正确理解XX公司网络层次的划分和每个层次的主要作用，有助于我们合理选择网络拓扑和网络技术。鉴于XX公司的特殊性，我们将网络结构设计为如下层次链路层链路层实现各办公楼网络的连接，包括中心机房到新综合车间、运销、供应及车间的连接。分布层实现网络统一策略的互联层，访问层向核心层的汇接点，XX公司到各个科室的二级网络即属于网络分布层。接入层为最终用户提供对网络的接入，XX公司到各个机房构成的网络即属于网络接入层。同时，接入层的网络包括XX公司与互连网10MB光纤的连接。按照以上方式进行组网，层次比较清晰，便于方案实施，。312网络总体拓扑结构设计网络改造后的网络拓扑结构示意图如下所示32局域网改造321局域网改造方案设备选择核心交换机采用LSS560026F24GESFP,4个COMBO10/100/10001000BASET,自带两个堆叠口,1个模块插槽。LSS560026F产品类型企业级,三层,可网管型交换机,千兆以太网型,可网管型XX公司计算机网络改造方案传输方式存储转发方式背板带宽192GBPS包转发率66MPPS外形尺寸440420436MM重量5KG硬件参数接口类型10/100BASET端口,10/100/1000BASET端口,10/100/1000MCOMBO电口,千兆SFPCOMBO口,24个10/100/1000M电口,4个SFPCOMBO千兆口接口数目24口传输速率10M/100M/1000MBPS模块化插槽数4管理端口1个CONSOLE口堆叠可堆叠网络与软件支持网络标准8023；8023U,IEEE8023X,IEEE8021D,IEEE8021QVLAN支持支持4K个符合IEEE8021Q标准的VLAN,支持基于端口的VLAN端口聚合支持端口聚合,支持通过LACP进行动态端口汇聚,支持进行通过命令行手动进行端口汇聚,支持堆叠范围内的跨设备链路汇聚,支持GEGIGABITETHERNET端口汇聚,支持10GGIGABITETHERNET端口汇聚,最多32组端口汇聚组,GE汇聚组最多支持8个端口,10GE汇聚组最多4个端口,汇聚的端口必须具有相同的端口类型网管功能支持,命令行接口CLI配置,支持TELNET远程配置,通过CONSOLE口配置,WEB网管,SNMP管理,RMON管理,QUIDVIEW网管系统,支持系统日志,支持分级告警是否支持全双工支持IEEE8023X流控全双工,支持BACKPRESSUREBASEDFLOWCONTROL背压式流控半双工认证标准CISPR22CLASSA,FCCPART15CLASSA,EN55022CLASSA,ICES003CLASSA,VCCICLASSA,AS/NZS3548CLASSA,EN6100032,EN6100033MAC地址表16K其他性能支持流量控制FLOWCONTROL,支持端口镜像PORTMIRROR,支持服务质量QOS,生成树协议支持,广播风暴控制,8021X认证支持其它参数电源电压AC额定电压范围100V240VAC，50/60HZ,最大电压范围90V264VAC，47/63HZ,DC额定电压范围4860V,最大电压范围3672V最大功率130W电源模块PSL130AD130W系统输出电源模块交流输入或者直流输入H3CSECPATHF1000CAC防火墙功能XX公司计算机网络改造方案可扩展高性能防火墙H3CSECPATH防火墙/VPN是业界功能最全面、扩展性最好的防火墙/VPN产品，集成防火墙、VPN和丰富的网络特性，为用户提供安全防护、安全远程接入等功能。H3CSECPATHF1000系列防火墙包括SECPATHF1000C/SECPATHF1000S/SECPATHF1000A/SECPATHF1000E等四款产品，支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（APPLICATIONSPECIFICPACKETFILTER）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN业务，如L2TPVPN、GREVPN、IPSECVPN、动态VPN等；支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QOS特性，提供流量监管、流量整形及多种队列调度策略。扩展性最强基于H3C先进的OAA开放应用架构，SECPATH防火墙能灵活扩展病毒防范、网络流量监控和SSLVPN等硬件业务模块，实现27层的全面安全。强大的攻击防范能力能防御DOS/DDOS攻击（如CC、SYNFLOOD、DNSQUERYFLOOD、SYNFLOOD、UDPFLOOD等）、ARP欺骗攻击、TCP报文标志位不合法攻击、LARGEICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击，同时支持黑名单、MAC绑定、内容过滤等先进功能。增强型状态安全过滤支持基础、扩展和基于接口的状态检测包过滤技术；支持H3C特有ASPF应用层报文过滤协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对应用层协议的状态监控。丰富的VPN特性集成IPSEC、L2TP、GRE和SSL等多种成熟VPN接入技术，保证移动用户、合作伙伴和分支机构安全、便捷的接入。应用层内容过滤可以有效的识别网络中各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTPURL和内容过滤。全面NAT应用支持提供多对一、多对多、静态网段、双向转换、EASYIP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H323、NBT等NATALG功能。XX公司计算机网络改造方案全面的认证服务支持本地用户、RADIUS、TACACS等认证方式，支持基于PKI/CA体系的数字证书（X509格式）认证功能。支持基于用户身份的管理，实现不同身份的用户拥有不同的命令执行权限，并且支持用户视图分级，对于不同级别的用户赋予不同的管理配置权限。集中管理与审计提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能第4章XX公司网络管理设计计算机网络管理系统是管理网络软件系统。计算机网络管理，收集静态和动态运行信息网络的各个组成部分，在这种对资料的基础上分析，并作出适当处理，以确保网络安全，可靠，高效运行，从而一种网络资源的合理配置动态配置网络负载，优化网络性能，降低网络维护成本。一般来说，一个典型的网管理系统包括四个要素管理员，管理代理，管理信息数据库，代理服务设备。1。管理员。在网络管理实体实施的驻留在管理工作站。这是整个网络系统，复杂的网络管理功能的核心。网络管理系统要求定期管理公司重要的设备信息的收集，所收集的信息将被用于识别个人的网络设备，网络的一部分或整个网络的正常运行。2。管理代理。网络管理代理的网络设备居民（在这里，该设备可以UNIX工作站，网络打印机，它可以在其他网络设备的软件模块），它可以在本地设备的运行状态，设备的特点，系统配置和其他相关的信息。网络管理代理的作用是作为管理体制和管理代理软件驻留，通过控制设备管理信息数据库（MIB）的设备之间的一个中介管理中的设备信息。3。管理信息库。这是管理中的内存管理库中的对象是一个数据库，其中包括网络设备的配置信息的动态更新，数据通信的XX公司计算机网络改造方案统计信息，安全信息和设备的特定信息。这一信息被送往经理形成一个动态的数据源网络管理系统。4。代理设备和管理协议。代理设备在标准的网络管理软件，不直接支持标准协议作为系统之间的桥梁。工程处设备的使用而不用升级整个网络，可以实现从旧到新版本的过渡协议。对于网络管理系统，但重要的是，管理员和管理代理之间的网络管理协议SNMP的使用，例如，他们的共同遵循的MIB库。网络管理协议是用来传递之间的管理员和管理代理操作命令，并为管理员的操作命令负责解释。通过管理协议，允许管理信息库的数据和特定设备的实际状况，经营范围一致的作用。网络系统的管理功能标准化组织的ISO/IEC74984文件定义了五个网络管理功能，即配置管理，故障管理，性能管理，计费管理和安全管理。故障管理它的主要功能是故障检测，发现，报告，诊断和治疗。由于错误可能导致系统故障或不能接受的网络性能退化，也是标准的网络管理故障管理的元素，是最广泛的实施管理。配置管理它的主要功能包括网络拓扑结构之间的关系，监测和管理网络设备的配置，根据前重建的条件确定的网络，目的是监测网络和系统配置信息，以便跟踪和管理不同软件和网络操作，结果硬件模块。绩效管理监控网络的性能数据，阈值检查品种，并自动对当前性能数据，历史数据进行分析。我们的目标是测量和显示网络的各个方面的特点，以便在可接受的水平人民为维护网络的性能。安全管理主要是访问网络资源的管理。包括用户验证，权限，审批和网络访问控制（防火墙）等功能。我们的目标是控制访问网络资源，以确保网络不会受到侵犯（意识或无意识），并确保未经授权的用户访问重要信息，与本地安全策略规定。计费管理主要是基于会计目的网络资源的使用。我们的目标是衡量网络的利用率，使一个或一组用户按照一定的规则，使用网络资源，这种规则可以减少网络的问题（因为网络资源得到合理的根据其能力的大小分配），也可以访问网络上的所有用户更公平。其中5个都相互独立的基本功能，而且有不可分割的联系。在这些网络管理功能，故障管理是整个网络管理的核心，配置管理是所有管理职能的基础上，其他管理职能需要配置管理信息的使用，性能管理，安全管理，会计管理，相对上有更大的独立性，特别是在会计管理，由于不同的申请单元有一个非常不同的收费政策，收费应用程序开发环境也不同，因此，计费管理应用，但总体上，在专业发展的实际情况为基础。XX公司计算机网络改造方案第5章网络系统安全设计由于网络的开放性和网络技术的发展，网络安全本身已经成为一个与时间和技术相关动态的概念。针对传统安全模型的缺陷和不足，有关公司提出了一个极具创意的，能够自我不断完善、不断发展、自我适应能力极强的崭新的网络安全模型P2DR安全模型，XX公司这次网络系统安全的实施就准备基于这个模型。51安全模型（P2DR模型）P2DR方案是一个超前的安全模型，它是在对国际上安全方面可靠的权威著作进行多年研究的基础上独自发展出来的。它的指导思想比传统安全方案有突破性提高。P2DR模型如图所示POLICY策略、PROTECTION防护、DETECTION检测和RESPONSE响应组成的完整模型体系，可以描述和解释任何信息安全问题。P2DR安全模型的特点就是动态性和基于时间的特性，可以说对信息安全的“相对性”给予了更好地描述虽然没有100的安全，但是模型为进一步解决信息安全技术问题提供了有益的方法和方向。POLICY安全策略安全策略是P2DR安全模型的核心，要想实施动态网络安全模型，必须首先制定企业的安全策略，所有的防护、检测、响应都是依据安全策略实施的，企业安全策略为安全管理提供管理方向和支持手段。PROTECTION（保护）保护通常是通过采用一些传统的静态安全技术及方法来实现的，主要有防火墙、加密、认证等方法。通过防火墙监视限制进出网络的数据包，可以防范外对内及内对外的非法访问，提高了网络的防护能力，当然需要根据安全策略制定合理的防火墙策略；也可以利用SECUREID这种一次性口令的方法来增加系统的安全性等等。DETECTION（检测）在P2DR模型，检测是非常重要的一个环节，检测是动态响应的依据，它也是强制落实安全策略的有力工具，通过不断地检测和监控网络和系统，来发现新的威胁和弱点，通过循环反馈来及时作出有效的响应。检测主要包括“漏洞检测”和“入侵检测”两个部分。RESPONSE（响应）紧急响应在安全系统中占有最重要得地位，是解决安全潜在性最有效的办法。在检测到安全漏洞和安全事件之后必须及时做出正确的响应，从而把系统调整到安全状态。从某种意义上讲，安全问题就是要解决紧急响应和异常处理问题。要解决好紧急响应问题，就要制订好紧急响应的方案，做好紧急响应方案中的一切准备工作。总之，一个信息安全方案必须对安全策略、安全防护、安全检测和安全响应有准确和完整的描述。值得强调的是，P2DR安全模型已被正式收录进人民银行的安全蓝皮书国家金融信息系统安全总体纲要19991252XX公司网络系统总体安全体系521安全策略设计1、安全策略描述原则由于数据传输的安全性关系到XX公司的服务质量和信誉保证，关系到客户的切身利益，因此在制定安全策略时，要加强对数据传输的限制，即只有表示为允许的才可以进行传输这一原则来加强对网络安全的限制。2、具体安全策略XX公司安全策略应该包括用户管理、职责划分、安全管理、安全评估、安全监控、紧急响应、异常处理、授权操作、恢复策略以及跟踪审计等522总体安全体系的规定网络系统的安全从体系结构上来看应该是一个多层次、多方面的结构。通XX公司计算机网络改造方案过对XX公司网络所面临的安全状况的分析，可将整个XX公司网络的安全性在总体结构上划分为四个级别网络级安全、应用级安全、系统级安全和企业级安全。网络级安全是指在网络的下三层物理层、链路层、网络层采取各种安全公司网络系统安全体系架构网络级安全系统级安全应用级安全企业级安全安全管理制度审计病毒防范加密数字签名身份认证安全漏洞检测安全监控访问控制VLAN划分VPN数据包过滤安全级别安全手段措施来保障整个XX公司网络的安全，包括数据包过滤、VPN虚拟私有网、VLAN的划分、访问控制、身份认证、数据包加密传输、安全审计、安全监控和安全漏洞检测等应用级安全是指通过利用XX公司网络中各大应用系统（如办公自动化系统、财会清算系统、人力资源系统及三维等等）和大型关系型数据库自身的安全机制，在应用层保证对XX公司网络中各种应用系统的信息访问合法性；系统级安全主要是通过对操作系统UNIX、NT的安全设置，防止利用操作系统的安全漏洞对整个XX公司网络构成安全威胁；企业级安全主要是从XX公司范围内的安全管理和计算机病毒防范两方面来保障整个XX公司网络的安全。此次网络改造我们主要对网络级安全加以设计。53XX公司网络级安全设计可适应性网络安全由四个集成的方案组成。第一，端对端的网络安全要求持续的、综合的安全评估，通过自动的基于网络的和基于主机的扫描技术实现；第二，对安全弱点的响应通过已建立的安全策略中相关的安全漏洞来衡量。更正动作很容易获得并迅速实现。另外，基于网络和主机的实时入侵检测提供对内部攻击、外部攻击和误操作的实时保护。最后，对安全威胁的网络自动更正包括主动中断连接和网络设备的重新配置。网络安全的程度必然是动态变化的，所以网络安全不可能是一个静态的结果，需随着网络环境的变化，并综合各种可能的影响安全的因素来制订整个网络的安全策略对于系统安全设计，一定要充分考虑整个XX公司网络系统的实际需求和网络现状，以XX公司网络与外部的连接作为安全设计的重点，可通过以下措施来从网络物理层一直到应用层保证整个网络系统的安全使用。531局域网安全设计由于局域网中采用广播方式，因此，若在某个广播域中可以侦听到所有的信息包，黑客就可以对信息包进行分析，那么本广播域的信息传递都会暴露XX公司计算机网络改造方案在黑客面前。XX公司局域网在空间分布上是城域范围的，局域网的安全必须认真考虑，局域网安全主要有采取VLAN划分以及利用安全软件对局域网进行扫描。划分VL