中小型企业事业单位办公网改造建议书

1、精选优质文档-倾情为你奉上中小型企业事业单位办公网改造建议书2007年1月一、 中小型企事业单位办公网的应用现状和主要存在的问题由于信息化建设的发展，各政府、机关、医疗、企业等单位都已经完成了电脑单机普及阶段，拥有了自己的办公局域网络，还有互联网或专网的出口。但是在网络的使用中也出现了各种各样的问题，这些问题影响着用户放心地使用网络工作，也给网络维护人员带来很多困扰。比较常见的问题包括：1、 IP地址冲突：在正常情况下网络中的用户可以使用本网段内的所有IP地址，但这样一但有人更改了和别人甚至是和网关相同的IP地址，就会造成互相冲突人的断网甚至是网关设备断网。2、 互联网出口不安全：大部分单位还

2、在采用代理服务器、简单型路由等设备进行连接。一但爆发大规模的网络病毒或恶意攻击就会使整个网络的出口出现瘫痪状态，整网就会出现上不了互联网的问题。3、 局域网内病毒泛滥：局域网的最基本的功能就是信息共享，在信息共享的同时就会有病毒信息也在共享。新型的网络病毒层出不穷，让用户防不胜防。4、 网络结构混乱：各单位都有类似的情况，在网络刚建设的时候可能就几个点，在使用中扩充到几十点最后甚至到上百点，这样在网络设备的搭配连接上就会出现多级级联的问题，交换机也会出现分布在办公室中的现象而不能集中管理，这样很容易出现由于错误连线造成回路连接，在网线出现问题的时候很难排错的现象。5、 ARP欺骗：由于木马程序

3、在内网进行攻击以后，伪造自己为网关的MAC地址就会造成网络内不定时的掉线的问题。二、 解决问题的必然选择加强网管有这样一个形象的比喻：对于信息化建设而言，建网络是修路，上应用系统是跑车，数据是车上拉的货。对于企事业单位而言，数据是重要的资源，应用是重要的工具，网络呢？网络是基础设施。随着信息化建设的发展，数据对于企事业而言可能重要到性命忧关的地步，应用系统也可能重要到一刻不能停的地步，作为信息化的基础设施网络，能否健壮地运行，越来越成为困扰负责信息化的技术人员的一个大问题。怎样才能拥有一个健壮的网络，不让网管人员疲于奔命，不让网络成为信息化的短板，加强网管是必然的选择。没有网管的网络好比没有红

4、绿灯、没有标志线的道路，路上跑的又都是没牌照的车，修多宽也一样会堵车。那怎样实现网管呢？其实迅速发展的网络技术已经做出了解答，网络管理主要是通过设备管理和用户管理两方面来实现的。三、 网管手段之一对网络设备的管理网络是由线缆、连接件和网络设备构成的。可网管的网络设备是网络管理的基础。现在许多企事业单位的网络设备还都是早期的非网管设备，非网管的设备是无法实现管理功能的。更换成可网管的网络设备是必须的。信息化建设是个花钱的事，为了达到尽量少的投入获得最好的效果这一目的，一般的建设原则是总体规划，分步实施。所以下面我们也分四步来谈怎样把一个不可网管的网络改造成可管理的网络。我们可以一次性投入，也可以

5、分步投入。但网络的建设是必须有一个总体规划为前提的。1、 把接入交换机更换为可网管的交换机可网管的接入交换机一般都具备这些网管功能： VLAN划分    企业级网络往往会按照网络规模、部门设置、用户权限、网络广播风暴严重性等标准，将局域网内用户划分在较多不同的VLAN（虚拟局域网）内，从而实现网络用户按照一定的规则来访问网络，比如财务科我们可以不让它访问任何地方，也不让别人访问它。这样就把财务科的网络独立了起来，在其他虚拟网内有病毒爆发、恶意攻击时不会影响到财务网络。同时我们还可以让部分VLAN的用户可以上网，部分VLAN用户不可以上网，以上这些功能部署

6、完成后可以把网络做成一个弹性的可管理的灵活的网络。 QOS服务质量保证    可网管交换机一般都能支持IEEE 802.1P 优先级标记，可根据不同的应用区别数据传输的优先顺序，保障企业网络中重要业务应用可以优先得到稳定的带宽及传输保证，避免网络资源因多种业务的资源无序占用而出现拥塞或瘫痪，协调整网资源的合理配置。 生成树协议提供网络高可靠性    规模较大的企业级网络往往会因为网络结构的部署问题，而存在环路问题，由此产生的大量环路风暴会给整个网络带来灾难性的影响甚至瘫痪。    可网

7、管交换机支持标准的802.1d生成树协议，避免网络冗余链路下的环路风暴隐患，提高系统容错能力，保证网络的稳定运行。2、 采用智能型交换机作为接入交换机接入交换机是直接面对用户的电脑，是网络管理的第一道防线，也是许多网管功能实现的关键环节。所以在有条件的情况下，尽量使用功能更完善的接入交换机，是提高网管能力的首选。因此，也就出现了智能可网管交换机。所谓智能型的交换机实际是指具备部分三层功能的交换机，主要是指访问控制列表功能（ACL）和增强的802.1X支持，利用访问控制列表功能我们可以把最近的网络病毒的特征端口直接下发到端口这样就可以把病毒直接控制在单点用户；利用增强的802.1X协议，并配合S

8、AM管理软件可以灵活实现对用户账号、用户IP、MAC、接入交换机IP、接入端口、Vlan ID六元素的复合绑定，同时支持六元素严格绑定下的账号漫游。并且智能交换机可以实现纯硬件的端口与MAC地址及用户IP地址进行绑定。3、 采用三层交换机做为网络的核心交换设备三层交换机中的“三层”指的是OSI（开放系统互连）七层参考模型的下面三层。简单地说，三层交换技术就是：二层交换技术三层转发技术。它解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。在一些规模较大的网络中（一般指信息点超过100个的网络）必须需要采用三层交换机来做VLAN间路

9、由，控制策略的部署，从而大大提高了网络的升级弹性和可管理性。4、 网络出口配备安全设备防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:     1)限定人们从一个特定的控制点进入;     2)限定人们从一个特定的点离开;     3)防止侵入者接近你的其他防御设施;

10、     4)有效地阻止破坏者对你的计算机系统进行破坏。     在现实生活中,Internet防火墙常常被安装在受保护的内部网络上并接入Internet。 ,防火墙是加强Internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。    防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:     过滤进、出网络的数据; &#

11、160;   管理进、出网络的访问行为;     封堵某些禁止行为;     记录通过防火墙的信息内容和活动;     对网络攻击进行检测和告警。 四、 网管手段之二对上网用户的管理对上网用户的管理的前提是上网认证。在目前多种对上网用户进行认证的协议中，IEEE组织的802.1x协议是被认可度最高的协议。基于802.1x协议的上网认证系统具有高安全性和易管理性的特点。 高安全性包括：安全认证到桌面。采用六元素的自动绑定、静态绑定、动态绑定相结合，可以确保用户入网时身份唯一，并且避免了I

12、P冲突。管理分级授权。使得不同职能的管理者使用同一套系统时得到不同的操作界面以及使用权限，避免了管理的安全隐患。控制网络病毒。统一对接入层交换机做动态下发安全策略，可以轻松有效的控制网络病毒，使网络保持畅通。抵御网络攻击。结合网络攻击的检测系统，可以抵御日益增多的内部网络攻击，并且自动对用户做出相应的控制动作，保证网络安全。易管理性包括：1、全网设备统一管理。全网拓扑发现以及对事件、性能、日志的统一管理，可以方便的对全网设备统一管理，运筹帷幄决胜千里之外。2、AGTS的用户管理模式。将大量的信息转化为少量的信息做对应，可以在设置的时候使用最少量的对应关系，从而大大提高用户管理的效率。3、接入时

13、段管理。通过对日常、周末以及节日的一次性设置，可以轻松灵活的管理用户能够使用网络的时段，提高用户管理的力度。4、自动升级客户端。可以通过统一的一次性配置，使得所有用户的客户端自动进行升级，大大简化了管理者及使用者的负担，使得上网更为轻松。上网认证系统是基于这样的理念，只有经过系统认证的用户才被允许使用网络，否则他就只是一个单机用户。这种办法类似于只有配发合法牌照的汽车才可以上路。当然允许上网只是第一步，认证上网的同时，系统也开始了对该用户上网行为的记录，那就是用户上网日志。并且系统管理员可以对用户进行各种管理与限制。比如对有病毒的电脑，对进行了非法使用的用户（如BT下载）可以限制不允许上网；

14、要求他对本机病毒清除或停止非法应用后，再允许他上网。上网认证系统的操作是用户在打开IE时都会弹出一个菜单，只有填写合法的用户名和密码后才能进行进一步的操作。认证通过后，不会对以后的其他任何操作产生影响。上网认证系统使得网络成为一个有身份证的社会，正因为有身份证才能进行管理。五、 实现网络管理功能的网络改造建议方案100点以下的中小规模网络：方案一：出口配置路由器、接入采用普通可网管交换机。方案二：出口配置路由器、接入采用智能增强型可网管交换机。方案三：出口配置路由器、安全设备采用硬件防火墙、接入采用智能增强型可网管交换机、起用上网认证系统。100点以上的大中规模网络：方案一：出口配置硬件防火墙

15、、核心交换机采用百兆三层交换机、接入交换机采用普通可网管交换机。方案二：出口配置硬件防火墙、核心交换机采用百兆三层交换机、接入交换机采用智能增强型二层交换机、起用上网认证系统。方案三：出口配置硬件防火墙、核心交换机采用千兆三层交换机、接入交换机采用智能增强型二层交换机、起用上网认证系统。改造案例一 天津海事局秦皇岛航标处网络改造工程网络现状：100个信息点左右，应用有OA，视频会议、网站等。原有问题：IP地址冲突、网络病毒泛滥、外网攻击多、网络不稳定。所改造的设备：出口采用CISCO PIX515E防火墙，核心交换机采用锐捷RG-S3750-24，接入交换机采用智能增强型交换机RG-S2126

16、G，全网采用SAMII 802.1X认证接入网络。达到的效果：每个网络用户必须经过认证后才可以使用网络，利用SAMII及智能增强交换机的强大功能实现IP地址、用户名、密码、端口、MAC地址、NAS设备六大元素的绑定，从根本上解决了IP地址冲突的问题，防止了非法用户的接入。由于采用了三层交换机技术，利用ACL功能控制了各部门之间的网络访问，并限制通信端口的通信。改造案例二 河北衡信会计师事务所网络状况：80个信息点左右，有预算软件、造价软件等重要应用。改造方案：选用了锐捷的RG-S3550-24千兆智能三层交换机做为主交换机，来转发合控制各VLAN间的数据交换。各接入交换机我们选用了锐捷的STA

17、R-S1926F+网管交换机。出口选用NBR路由器。改造目标：1、对网络进行基于部门的虚拟网划分，在划分虚拟网的同时还可以通过主交换机的三层路由功能来具体控制虚拟网之间、互联网之间的访问权限。办公区域是业务保证的重点，安全性、QoS保证必不可少。考虑各单位信息的安全，可在核心交换机上采用访问控制列表ACL的方式进行权限控制，可允许或拒绝特定的单位或部门访问。2、病毒的控制：通过主交换机的扩展访问控制列表功能，我们可以轻松的来控制整个网络病毒传播速度，可以把病毒传播控制在一个虚拟网以内。3、可管理性：根据各职能部门的不同，分配不同的IP网段，在核心交换机和底层交换机上都设置ACL并给每个交换机上的每个端口都划分Vlan（对于并不重要的部门可以不用每个端口都划分Vlan，但重要部门必须如此）。这样，就可以完全隔离各部门之间的网络，保证不同业务网络架构于同一个物理网络。通过