中国检验认证网络优化方案

中国检验认证集团广东有限公司网络整改方案目录一、概述...........................................................31、用户背景....................................................32、网络现状....................................................32.1网络拓扑.................................................42.2网络中存在的安全隐患.....................................43、需求分析....................................................54、实现目标....................................................5二、网络优化方案...................................................61、网络结构规划................................................61.1网络拓扑.................................................71.2结构分析.................................................8三、设备命名及地址规划.............................................81、设备命名....................................................82、VLAN及IP地址的规划.........................................82.1VLAN规划................................................82.2IP地址规划..............................................9四、设备选型........................................................9一、概述1、用户背景中国检验认证集团（CCIC）是中国第一家从事商品检验鉴定和认证业务的独立第三方机构，在全球拥有约300家机构、200家合作实验室，员工逾16，000人，运营网络覆盖20余个国家和地区。中国检验认证集团广东有限公司是其下核心子公司。作为以“检验、鉴定、认证、测试”为主业的独立第三方检验认证机构，中国检验认证集团（CCIC）在“质量、安全、健康、环保”领域，为全球客户提供“一站式”综合解决方案。2、网络现状公司现在大概400用户左右，在外网只有一台深信服的AC充当着上网行为管理、防火墙以及DHCP服务器的多重身份，严重影响AC性能；整网业务量非常的大，但是只有一台核心交换机，非常容易形成单点故障，造成正往瘫痪。交换机使用时间比较长，有几台设备达到10年以上，容易出现硬件故障；另外，整网基于IP对用户进行控制，并且整网的IP是通过自动获取，所以非常的难对用户进行管理。出现广播风暴等各种攻击无法有效的防护以及排查。2.1网络拓扑深信服AC核心交换机：华358004台华35200接入层交换机1台TP-LINK1台D-LINK3台3COM2.2网络中存在的安全隐患1）基于可靠性方面的隐患整个公司网络拓扑结构均是单线路连接，网络的容错能力较差，网络数据交换比较大，核心层没有冗余的设计，非常容易形成单点故障，网络瘫痪的可能性极高。2）基于安全性方面的隐患整个公司只有一台上网行为管理在出口，不能很好的做到安全防护。极容易受到攻击、或信息泄密。造成不必要的损失。3）基于设备硬件的隐患通过调查，网中运行设备均使用年限比较长，容易出现各种没法排查的问题。这将为网络维护人员工作带来非常大的负担；故障处理延迟将会非常长，极不利于公司运营。4）基于网络架构而言公司网络拓扑在设计上，不太合理，网络广播域太大。不能很好的做到广播隔离。一旦某台设备出现广播风暴，易导致整网瘫痪。5）基于网络管理而言整网基于IP对用户进行管理，大大加大了网络维护人员的负担，维护难度大，管理需要大量的时间、大量的人力，并且只是治标不治本，需要从根本上解决网络管理的问题。3、需求分析通过与梁工的交流，网络整改需求大概分为一下几个方面：1）内网管理能很好的对内网用户进行分组、分配权限。控制不同部门之间的访问权限。并且需要基于用户管理。2）接入网管理接入用户的访问级别、权限、工作性质的不同，因此要求网络系统支持对网络用户进行认证。并且能方便、快捷对接入的用户进行管理和控制。出现问题后，能迅速得定位到每一个用户。3）外网管理能很好的控制用户上网权限，以及应用发布。并且能实现对各部门上网流量的统计。4、实现目标1)稳定性稳定性是一个产品的基本要素，作为本产品开发首要考虑的问题。网络设计时充分考虑用户运行环境的复杂性、用户计算机水平参差不齐等。2)先进性在网络的设计阶段，我们采用了先进的技术，使网络及主机系统不仅能满足现有需求，还要符合未来的发展方向；在系统的实施过程中采用先进的项目管理、工程管理、科学的计划和实施办法。3)安全性系统具有很强的安全与容错纠错机制，防止误操作引发的灾难性的毁损，以保障系统的高可用性，保证服务的质量；保证数据不被非法入侵者破坏和盗用，并保证数据的一致性。4)可扩展性／可伸缩性网络采用模块化、组件化设计原则。可对设备进行添加模块。以增加正往扩展性。5)易操作、易管理良好的用户操作界面、完备的帮助信息，系统参数的维护与管理通过操作界面实现。二、网络优化方案1、网络结构规划1.1网络规划原则采用先进的现代化信息技术、网络技术和管理技术，建成先进、实用、安全、可靠的计算机网络系统，为办公自动化、信息共享、数据管理等应用提供高性能、高可靠性的基础网络环境和运行平台，并遵循以下设计原则：(一)先进性与实用性原则采用先进、成熟、实用的技术、设备、材料，改造现有网络平台，同时在满足当前需求的前提下，具有良好的开放性和发展潜力，以适应未来通信业务发展和技术升级的需要。(二)安全性与可靠性原则为保证检验认证各项业务的安全、可靠应用，网络设计必须具有高可靠性，决不能出现单点故障或者因为末端的故障导致整个系统崩溃。(三)经济性与投资保护原则在保证网络系统的先进性和高可靠性的同时，应能以较高的性能/价格比构建该项目，使资金的产出/投入比达到最大值；建成后应能以较低的成本、较少的人员投入维持系统正常运转，保证系统的高效能与高效益；同时在系统设计时应充分考虑以往在资金与技术方面的投入，尽可能保留并利用其既有的网络及安全系统设备。(四)灵活性与可扩展性原则项目设计必须具有良好的灵活性与可扩展性，能够根据业务不断深入发展的需要，提供扩大设备容量、增加用户数量、提高服务质量的功能，具备支持多种网络传输协议、多种物理接口的能力，提供技术升级、设备更新的灵活性。接入层和核心层交换机均能够支持通过增加板卡或进行堆叠提高端口密度。在扩容过程中对已经接入网中的用户不应产生影响，且当汇聚层或核心层交换机进行软件升级时不应影响用户的工作。(五)标准化与规范化原则项目的整体设计要求基于国际标准和国家颁布的有关标准，坚持统一、标准、规范的原则，为未来业务发展及设备平滑增容奠定良好的基础。(六)可管理性与易维护性原则随着信息业务的不断发展，管理任务必定会日益繁重，因此项目的设计必须有良好的可管理性和易维护性。首先，项目所选用的设备和材料应尽可能统一，以有效简化网络管理人员的日常维护工作，为整个物理层网络的安全、可靠运行提供有力保障。其次，网络设备的网管系统能够统一管理接入层及核心层的交换机、路由器等网络设备。1.2网络拓扑核心层交换机接入层交换机AD域服务器、DHCP服务器安全网关防火墙上网行为管理双机热备4台H3C交换机1台TP-LINK1台D-LINK2台H3C替换原来的3台3COM服务器群1.3结构分析三、设备命名及地址规划1、设备命名2、VLAN及IP地址的规划2.1VLAN规划在大中型局域网络组建中，VLAN技术是不可缺少的关键技术，科学的VLAN设计可以为局域网络带来一系列的优点：在同一个物理网络实现第二层工作组划分，实现不同工作组之间第二层的完全隔离，同时，组员可以处在物理网络中的任何位置，不受同一台设备限制；隔离广播，提高效率，避免不相关的广播帧在全网扩散，浪费有效带宽资源；在检验认证网络系统中，我们建议基于IEEE802.1Q标准实现VLAN，在VLAN设计中，我们使用VLAN达到两个目的，第一，不同业务部门之间的隔离和通信控制；第二，广播范围抑制。2.2IP地址规划地址规划影响整个网络的寻址结构，实施时可暂时沿用现阶段的地址规划，整个地址空间的调整可以放在后期维护中逐步进行。地址的规划直接关系这最终节点的使用与管理，并且还会影响到层三设备的寻址结构，与路由表等，因此在规划时应考虑空间容量、层次结构、可汇聚性、以及后续扩展等。四、设备选型