中小型企业网络升级改造方案1/22天津城市职业学院–网络管理121班–王峰1/22中小型企业网络升级改造方案一、项目需求分析1、当前存在的问题Internet将总部和异地办事处连接起来,各PC及内部的服务器用Hub连接。在网络建设初期网络的速度还可以满足需要、随着公司的发展,人员越来越多.网络速度越来越低,除此以外还有下列问题。(1)网络故障不断时常出现网络瘫痪现象。这一点深圳办事处表现得最为突出,一到夏季雷雨季节,往往下一次雨,ADSL路由器和Hub就会被雷电击坏一次,一旦故障.短者几小时,长者几天都无法正常办公。(2)病毒泛滥,攻击不断。特别是从2006年ARP病毒爆发以来,总部及分支机构的网络就没有消停过.不仅仅是病毒,各种木马也很猖狂,一些账号密码常被盗取,使研发的服务器基本不敢连连接内网。(3)总部同办事处发送信息不安全。总部同分支机构之间发送的信息不够安全,时常出现机密信息被窃取的现象。为此,总部和分支机构之间的机密信息全部使用EMS方式快递,不但费用高,而且速度也慢。(4)一些员工使用P2P工具,不能监管。自从有了P2P应用以后,采用P2P应用的多媒体资源越来越多,内部员工使用BT、迅雷等工具下载文件的事情时有发生,一旦有人下载原本就速度缓慢的网络变得更慢,基本无法使用。(5)公司的一些服务器只能托管,不能放在公司内部。公司有自己的OA及服务器,但因为内网存在安全隐患,且无固定IP地址,这些服务器只能托管在运营商的IDC机房,不能放在公司内部,给管理和维护带来极大不便。以上是xx公司网络目前出现的一些问题。对这些问题及网络的重要性,公司的领导层也是深有认识。为了提高工作效率,降低公司运营成本,公司领导层决定对目前公司的网络进行升级改造。2、网络升级改造的目标xx公司决定对当前的总部及办事处的办公网络进行升级改造,彻底解决当前网络存在的种种问题提高公司的办公效率,降低公司的运营成本。为此公司召开了各部门负责人会议,讨论网络的建设目标及其他一些细节,经过深入的讨论,得出了一下建设目标。⑴网络带宽升级,达到千兆骨干,百兆到桌面。中小型企业网络升级改造方案2/22天津城市职业学院–网络管理121班–王峰2/22目前内部网络采用是l00Mbps共享Hub互连,内部各PC之间共享带宽.升级之后变为100Mbps独享到桌面,总部网络骨干升级为1000Mbps(2)增强网络的可靠性及可用性。升级之后的整个网络要具备高可用性,网络不会因为单点故陣而导致全网瘫痪;设备、拓扑等要有可靠性保障,不会因为雷击而出现故障。(3)网络要易于管理、升级和扩展。升级之后的网络要易于管理,要提供图形化的管理界面和故障自动告警措施,另外考虑到公司以后的发展,网络要易于升级和扩展,要满足3~5年内因人员增加、机构增加而扩展网络的需求。(4)确保内网安全及同办事处之间交互数据的安全。升级之后的网络要确保总部和分支机构的内网安全,能够彻底解决ARP欺骗的问题,防止外部对内网的攻。同时要保总部和办事处之间的数据的安全性和可靠性。另外,要能监控和过滤员工发往外部的邮件及员工访问的网站等。(5)服务器管理及访问权限控制,并能监管网络中的P2P应用。网络升级之后要将托管在运营商IDC机房的OA及服务器搬回公司,自行管理和维护。深圳办事处及上海研究所只能访问总部。深圳办事处和上海研究所之间不能互问。能监控网络中的P2P应用,能对P2P应用进行限制,防止网络带宽资源的占用。中小型企业网络升级改造方案3/22天津城市职业学院–网络管理121班–王峰3/22二、网络规划1、拓扑规划根据现有网络拓扑结构结合建设目标及实际需求,新规划的拓扑结构如下图所示。网络拓扑InternetZB-3020-2ZB-3020-3ZB-3100-2ZB-3100-1ZB-3610-2YJ-3020-1YJ-3100-1BS-3100-1BS-3011-1ZB-3020-1ZB-3610-1公司总部研究所办事处财务商务部人事行政部技术支持部产品研发部服务器群G0/1E1/0/1E0/0S0/0E1/0/1E0/0S6/0S6/1G0/0G0/1G0/0S6/0G0/0E1/0/1E1/0/3E1/0/3E1/0/4E1/0/4E1/0/2E1/0/1E1/0/2E1/0/2S6/1S6/0S6/1在此拓扑结构中,总部的一台核心交换连接两台接入层交换机和一台服务器区交换机,构成总部内部LAN;总部两台路由器通过专线将深圳办事处、上海研究所连接起来;总部的出口通过互连路由器连接到Internet。在办事处和研究所的路由器各下挂一台24口的交换机构成其内部网络。2、设备选型根据网升级改造的目标,结合拓扑结构以及我院实训室现有H3C设备,公司总部、深圳办事处及上海研究所具体设备明细如表所示。地点设备型号数量备注(设备用途)公司总部30203总部路由器36101服务器区交换机36101核心交换机31002接入层交换机办事处30111办事处路由器31001接入层交换机中小型企业网络升级改造方案4/22天津城市职业学院–网络管理121班–王峰4/22研究所30201研究所路由器31001接入层交换机3、设备命名及端口描述(1)设备命名规则及设备命名明细表。AA-BB-CC设备所在地设备型号设备索引号地点设备型号设备名称公司总部3020ZB-3020-13020ZB-3020-23020ZB-3020-33610ZB-3610-13610ZB-3610-23100ZB-3100-13100ZB-3100-2办事处3011BS-3011-13100BS-3100-1研究所3020YJ-3020-13100YJ-3100-1(2)端口描述规则及端口描述明细表LinkTo-AAA-BBB对端设备对端端口地点设备名称端口描述信息公司总部ZB-3020-1G0/0Linkto-[ZB-3610-1]-E1/0/1G0/1Linkto-[ZB-3020-2]-G0/1ZB-3020-2G0/0Linkto-[ZB-3020-3]-G0/0G0/1Linkto-[ZB-3020-1]-G0/1中小型企业网络升级改造方案5/22天津城市职业学院–网络管理121班–王峰5/22S6/0Linkto-[YJ-3020-1]-S6/0S6/1Linkto-[YJ-3020-1]-S6/1ZB-3020-3G0/0Linkto-[ZB-3020-2]-G0/0S6/0Linkto-[Isp]S6/1Linkto-[BS-3011-1]-S0/0ZB-3610-1E1/0/1Linkto-[ZB-3020-1]-G0/0E1/0/2Linkto-[ZB-3100-1]-E1/0/2E1/0/3Linkto-[ZB-3610-2]-E1/0/3E1/0/4Linkto-[ZB-3610-2]-E1/0/4ZB-3610-2E1/0/3Linkto-[ZB-3610-1]-E1/0/3E1/0/4Linkto-[ZB-3610-1]-E1/0/4ZB-3100-1E1/0/2Linkto-[ZB-3100-2]-E1/0/2E1/0/2Linkto-[ZB-3610-1]-E1/0/2ZB-3100-2E1/0/2Linkto-[ZB-3100-1]-E1/0/2办事处BS-3011-1E0/0Linkto-[BS-3100-1]-E1/0/1S0/0Linkto-[ZB-3020-3]-S6/1BS-3100-1E1/0/1Linkto-[BS-3011-1]-E0/0研究所YJ-3020-1G0/0Linkto-[YJ-3100-1]-E1/0/1S6/0Linkto-[ZB-3020-2]-S6/0S6/1Linkto-[ZB-3020-2]-S6/1YJ-3100-1E1/0/1Linkto-[YJ-3020-1]-G0/04、WAN规划根据前面的需求分析在总部及分支机构之间使用专线连接,考虑到上海研究所的业务数据相对较多,对带宽需求较高,总部与上海研究所之间采用2条Serial线路,总部与深圳办事处之间采用1条Serial线路。所以在为设备选用广域网模块时,公司总部的两台路由器均选择2SA模块,深圳办事处的路由器同样选择2SA模块,而上海研究所选择1SA模块。5、LAN规划局域网规划包含VLAN规划、端口聚合以及端口隔离、地址捆绑规划几个部分。中小型企业网络升级改造方案6/22天津城市职业学院–网络管理121班–王峰6/22(1)VLAN划分深圳办事处及上海研究所因员工数较少,不会出现广播风暴现象,所以不划分VLAN,北京总部员工数量多,而且部门之间需要访问控制,所以要进行VLAN划分。人事行政部、财务商务部、产品研发部和技术支持部在业务上相对独立,而且产品研发部还有访问控制要求,故将四个部门各自划分一个VLAN。为了便于服务器区的管理,也将服务器区划分为一个VLAN。部门、VLAN号、交换机端口之间的关系如下表所示。部门VLAN编号所在设备端口列表人事行政部Vlan10ZB-3100-1-ZB-3100-2E1/0/5~E1/0/14财务商务部Vlan20ZB-3100-1-ZB-3100-2E1/0/15~E1/0/24技术支持部Vlan30ZB-3100-1E1/0/5~E1/0/24产品研发部Vlan40ZB-3610-1E1/0/5~E1/0/24服务器区Vlan50ZB-3610-2E1/0/5~E1/0/24互连VlanVlan2ZB-3610-1和ZB-3020-2的互联Vlan管理VlanVlan1交换机的管理Vlan用于Telnet登录(2)端口聚合由于公司分部和总部各部门均需要访问服务器,所以配置端口聚合,以增加网络带宽减少访问延时。端口聚合配置为动态聚合。(3)端口隔离由于产品研发部的特殊性,所以为该部门配置端口隔离,使该部分内不得相互访问,但该部门可以访问服务器和其他部门。6、IP地址规划(1)、业务IP为了便于IP地址分配和管理,采用DHCP地址分配方式。使用核心交换机ZB-3610-1作为DHCP服务器。地点VLAN编号网络地址可用IP地址网关地址池总部Vlan10192.168.1.0/24192.168.1.1~192.168.1.253192.168.1.2541Vlan20192.168.2.0/24192.168.2.1~192.168.2.253192.168.2.2542Vlan30192.168.3.0/24192.168.3.1~192.168.3.253192.168.3.2543中小型企业网络升级改造方案7/22天津城市职业学院–网络管理121班–王峰7/22Vlan40192.168.4.0/24192.168.4.1~192.168.4.253192.168.4.2544Vlan50192.168.5.0/24192.168.5.1~192.168.5.253192.168.5.254-办事处-192.168.6.0/24192.168.6.1~192.168.6.252192.168.6.254-研究所-192.168.7.0/24192.168.7.1~192.168.7.252192.168.7.254-(2)设备互连IP本端设备本端端口本端IP对端设备对端端口对端IPZB-3020-1G0/0192.168.0.9/30ZB-3610-1Vlan2192.168.0.10/30G0/1192.168.0.1/30ZB-3020-2G0/1192.168.0.2/30ZB-3020-2G0/0192.168.0.5/30ZB-3020-3G0/0192.168.0.6/30G0/1192.168.0.2/30ZB-3020-1G0/1192.168.0.1/30Mpgroup1192.168.0.253/30YJ-3020-1Mpgroup1192.168.0.254/30ZB-3020-3G0/0192.168.0.6/30ZB-302