某集团网络改造方案建议书

重庆翰华担保集团网络技术建议书年月日华三通信技术有限公司版权所有，侵权必究第2页,共48页目录第1章项目背景........................................................................31.1需求分析...........................................................................31.2网络设计原则.......................................................................5第2章网络结构设计....................................................................82.1网络设计...........................................................................8第3章本方案的技术设计.................................................................93.1路由协议的设计.....................................................................93.2VLAN设计..........................................................................103.3TRUNK链路的设计....................................................................113.4访问控制（ACL）的设计.............................................................113.5服务质量（QOS）机制...............................................................123.6广播风暴的抑制....................................................................123.7防止对DHCP服务器的攻击...........................................................123.8防止基于流的攻击特性..............................................................12第4章具体解决方案...................................................................124.1VLAN规划..........................................................................124.1.1划分VLAN的必要性.............................................................124.1.2划分VLAN的方法...............................................................144.1.3具体VLAN规划.................................................................164.2IP地址分配原则....................................................................174.3本次工程IP地址分配...............................................................184.4网络设备自身的安全功能............................................................204.4.1用户严格隔离..................................................................204.4.2有效防范MAC扫描和ARP攻击：..................................................204.4.3DHCP攻击、VLAN“Hopping”攻击的防范：........................................204.4.4采用SNMPv3杜绝网管攻击：....................................................204.4.5有效抑制广播风暴..............................................................214.4.6防治蠕虫病毒..................................................................21第5章H3C设备介绍....................................................................255.1核心交换机........................................................................255.2防火墙............................................................................305.3接入交换机........................................................................36第6章附录...........................................................................426.1华三公司介绍......................................................................426.2技术支持与售后服务................................................................446.2.1两小时厂家上门服务一年免费维保................................................446.2.2服务组织机构..................................................................44华三通信技术有限公司版权所有，侵权必究第3页,共48页6.2.3服务及时性保障................................................................456.2.4服务有效性保障................................................................46第1章项目背景1.1需求分析为满足翰华担保集团现代化办公的需要，需要建立一套现代化网络平台。重庆翰华担保集团拥有大量的服务器和主机设备，需要局域网络提供高速带宽支持。这就需要建设一套先进的网络系统，加速实现办公现代化，充分提高工作效率。计算机网络系统为其它各子系统集成提供了基础，网络主干目前一般采用千兆，可平滑升级到万兆，同时达到100兆交换到桌面。包括建立有线与无线共存应用，多种服务和强大的数据库。网络设计必须遵循高可靠性、经济性、流量合理分布、传输时延最小和便于管理等原则，选择先进、可靠、符合未来技术发展趋势的组网技术。购置设备的选型要具有开放性、符合国际标准，兼顾先进性和成熟性，并与已有设备兼容，具有良好的可管理性。网络应具有高可靠性，包括设备可靠性、链路可靠性、路由冗余等。同时，骨干网具有支持IPv6协议、组播路由等下一代互联网技术的扩展能力。为员工提供Email、DNS、DHCP、FTP、BBS等网络基本服务，运行和维护基于Web的信息发布系统。划分专门的网段，运行和维护各类信息系统的服务器，提供数据中心服务。选用的网络设备应是当今世界上较为先进、应用范围广，而且应与世界上其它主要厂商的产品具有良好的互连性。根据整个厂区的网络信息点的分布。要充分考虑到：网络安全系统、网络地址要求、网上多媒体系统、服务器、存储、备份系统、中心机房环境等。网络规划，除了考虑到当前的实际需要外，对于网络平台的规划我们充分考虑现阶段网络技术发展的趋势，并提供长远的规划和扩展的考虑，实施完成后重庆翰华担保集团园区网络应充分满足以下几个方面：高性能随着IP电话、视频会议、网上业务、OA办公系统、电子邮件系统、ERP系统等应用的应用，网络需要承载各种信息流，将对重庆翰华担保集团内网以及外网网带宽提出较高的要求。高速网络是网络发展的必然方向，网络应该运用当今最先进的技术，并且应该满足今后若干年的性能需求。因此，我们华三通信技术有限公司版权所有，侵权必究第4页,共48页建议的重庆翰华担保集团的基础网络结构：1、以千兆为核心技术，支持万兆交换已成为组网的基本要求，千兆到接入交换机、千兆到服务器，、百兆到员工，应该成为重庆翰华担保集团网络建设的基本要求。2、支持多种应用：建成后的重庆翰华担保集团网络是融合多种应用如数据、IP电话、视频、监控等的网络，网络在建之初就应该考虑的对多业务的支持。3、对于一个大型的网络来说，VLAN的灵活划分是非常重要的功能，它为限制全网范围的广播、减少不必要的流量提供了有效的手段。在网络设计中应选择切实可行的技术进行VLAN的灵活划分。高安全性随着重庆翰华担保集团信息化建设的不断深入，在重庆翰华担保集团网络迅速壮大并推动业务快速发展的同时，也使重庆翰华担保集团面临着更加严峻的挑战：网络安全与网络管理日益成为关系到重庆翰华担保集团可持续发展的重大因素。目前常见的企业网络安全隐患主要来自以下一些方面：1．网络级攻击：窃听报文，IP地址欺骗、源路由攻击、端口扫描、拒绝服务攻击。2．应用层攻击：有多种形式，包括探测应用软件的漏洞、特洛依木马等；3．系统级攻击：不法分子利用操作系统的安全漏洞对内部网构成安全威胁。另外，网络本身的可靠性与线路安全也是值得关注的问题。所以建成的重庆翰华担保集团网络系统应具有良好的安全性。能够对使用者进行验证、授权、审核，以保障系统的安全性。同时提供灵活的用户接入控制策略：及分布式控制和集中式控制。高可靠性重庆翰华担保集团网络系统承载着重庆翰华担保集团各种重要的业务数据，整个网络系统应具有高可靠性。除了采用高可靠性的网络设备以外还应考虑链路层和网络层的备份。可扩展性和可升级性系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。易管理、易维护华三通信技术有限公司版权所有，侵权必究第5页,共48页重庆翰华担保集团网络系统规模大，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。1.2网络设计原则网络平台是信息化建设的重要基础设施，必须从网络信息体系建设的全局考虑，将计算机网络建设为一个高起点，易于扩充、升级、管理和使用的网络系统。先进性和实用性网络规划既要以现实需要为出发点，又要考虑长远发展的需要和潜在的扩充，尽可能采取先进而成熟的技术和产品，使之