20中小企业网络改造方案

CISCO网络改造方案目录一、目前的网络情况及特点...................................................................................................2二、解决方案及效果...............................................................................................................32.1虚拟局域网................................................................................................................32.2网络访问控制............................................................................................................52.3PC准入控制...............................................................................................................63.4上网行为管理............................................................................................................6三、方案产品...........................................................................................................................7四、改造后的网络拓扑结构图及特点...................................................................................94.1改造后的网络拓扑结构图........................................................................................94.2新拓扑图的特点........................................................................................................9一、目前的网络情况及特点现有网络无法进行安全管理及控制，缺乏可管理与安全性，一旦网络出现病毒及网络攻击现象，将会涉及到个别部门内部数据丢失及影响相关的业务运作。1.1采用普通傻瓜式交换机目前全所各部门采用的交换机基本上为TP-LINK、D-LINK10/100M傻瓜式桌面型交换机，这些交换机都是普通二层交换机，功能就是进行数据转发。既没有最基本的网管功能，也无法登进交换机查看交换机状态、无法查看网络流量状态、无法根据网络的新需求进行新的配置等。1.2各部门小局域网内所有电脑及外接设备在同一个子网各部门间的外网用交换机组成的小局域网，里面所有电脑、服务器、网络设备及相关打印设备都在同一个网络内，这意味着这些设备之间可以任意的互连互通，任意一台电脑感染病毒或受黑客控制的时候，可以直接影响网内的所有电脑及外接设备。严重时可导致系统瘫痪及硬盘数据丢失。1.3各部门均有自己独立的ADSL线路经过检查后，目前ADSL线路有8条，其中所办2条、市场部1条、党工部1条、行业部1条、工程中心1条、实验室1条、自动化1条（备注：伺服事业部、中微公司、保安部专网、财务部与卫生所专线除外）。在当前这种网络环境下，有的部门还外接了其他部门的电脑，如自动化市场部从单身宿舍接入ADSL线路，物资部从家属区接入ADSL线路等。等于现有外网环境属于一个失控的状态，根本无法得到统一的监管与维护。1.4外来电脑可任意接入无法监管与控制外来笔记本和其它外接设备可以任意接入所内的任一网络，其电脑上所带的病毒、木马、恶意工具会影响所内其它电脑以及服务器的安全。特别是所内个别重要部门，只要外来笔记本接入其网内，该计算就可以利用木马程序窃取该部门网内计算机里的重要数据及文档，以至于造成泄密事件的发生。1.5上网行为存在安全因素访问不安全网站，如暴力、黄色、赌博、股票等与业务无关网站，会导致病毒和木马进入该计算机。以至于造成系统瘫痪或数据丢失。员工上班时间下载电影或是在线看视频资料，会占用极大的带宽资源，导致业务开展所需要的带宽不够，收发邮件变慢。员工上班时间看新闻，军事，足球，玩网络游戏，炒股票等等会影响到员工的工作效率。二、解决方案及效果2.1改造方案根据我所目前的现场环境及所要达到的效果，现有两套施工方案。两套建设方案中骨干网的布线方式和所用设备都一样，不同只是从一级骨干交换机到每个用户办公室的布线方式。全所外网的中心点（中心机房）为中试楼二楼库房（原仪表库），所有ADSL线路的进线与连接其它楼层的出线都由中心机房接入接出。其次将全所办公区划分主要的四个点，即办公楼、中试楼、车间、物资部小二楼。每一栋楼为一个点，这四个点均为一级骨干网的核心接入点。然后从中心机房连接每栋楼的骨干线路均采用光纤线路。每栋楼的骨干交换机均采用华为或H3C智能交换机，中心机房内的路由器将采用多WAN口千兆企业级路由器，最核心交换机采用华为或者H3C千兆三层交换机。这样做一个是为了使网络性能达到最优也便于日后扩展。在一个也排除了由于传输距离较远而信号衰减引起的网络延迟与数据丢包现象，更可以达到后期的统一管理与维护（备注：上次内网改造有个别点连接图文档较慢，主要是就是因为线路传输距离太远，还有所采用的是一般交换机所引起的）。从中心机房连接其它办公楼的核心接入点为此次改造的外网的骨干网。骨干网络建设采用的线路及设备至关重要，直接影响到此次改造网络的性能与后期相关数据业务的扩展。第一套方案：从每栋楼的核心接入点以下到每个办公室上网点，采用全布线方式。即整体重新布线有多少个接入点就布多少条线路。这种布线方式的优点就只是美观，但是缺点是施工难度大，不但要跨楼层、还要考虑第二层交换机的安装位置与布线方式。在一个就是施工周期长，同时所用材料和人工费用也会随之升高。所以从经济效益与施工效率上考虑不是很划算。第二套方案：就是在现有的已经成型的布线方式上进行改造。例如：市场部现在的互联网除了满足自己内部上网要求外，还通过交换机扩展出了冯卫斌、谭顺乐、荆仁旺、龚园丁、张洁及段红侠等信息点。考虑到这些信息点的线路已经成型，而且到办公室之间的距离也以固定，我们只需要由办公楼的核心接入点（一级骨干交换机）出一根线接入到市场部的二级交换机中，这样一来在不破坏现有线路的情况下也可以将市场部以及外联的信息点连接起来。也可以达到改造后统一监管和维护的目的。同样的所办现在目前的上网环境除了满足自己部门的要求外，还外联了财务部、科研计划部、总师办公室、发规部及书记办公室等部门，为了不破坏现有的网络线路外，我们也可以通过核心接入点出一根线将所办的第二层交换机连接起来。其它科室也是同样的做法，当然也有一些信息点是必须要重新布线，例如：车间、物资部、精密伺服事业部等，这些科室信息点较少而且也没有二层交换机所以也只能重新布线。第二套方案的优点是施工难度低、需要重新布线的信息点减少、工期缩短、施工材料节省等优点。整个下来人工、材料等费用也会随之降低。从经济和施工效率层面考虑第二套方案也是比较适合我所当前的整个状况。总之，两套方案从技术角度考虑，网络的稳定性、易用性、可控性及整体线路的利用率上基本上是一样的。但是从施工难度、布线方式、材料损耗及经济效益等方面整体考虑，我们建议采用第二种方案。2.2网络访问控制此次外网改造，骨干网不管是从线路还是所采用的设备都是以千兆网的标准进行设计和施工的。特别是此次所采用的设备采用的的是华为或者H3C智能型企业级交换机。此类企业级交换机是全千兆二层智能以太网交换产品，广泛应用于企业网和园区网的接入和汇聚层，是具有高密度的全千兆以太网端口、丰富的业务特性、便捷的WEB配置，为用户提供高性能、低成本、可WEB网管的千兆解决方案，是千兆汇聚或接入的理想选择。此类核心层交换机一般提供24个千兆电口、4个千兆上行COMBO端口（光电复用，光口支持SFP光模块）和一个Console配置端口。S5024P支持通过命令行、Web和telnet登录进行配置。这样一来就完全可以轻松实现各部门之间网络访问权限的控制，在一个可以防止网络内部非法入侵者从内部盗用IP地址攻击其他接入点的可能。2.3PC准入机制通过在骨干交换机端口上绑定各信息点电脑的MAC地址后。就可以实现当外来电脑接入到所内网络的时候，交换机会为外来电脑的MAC地址不属于所区网络从而禁止掉来电脑的接入。这样做同时也防止各信息点以下在私自接入交换机达到多台电脑上网的目的。2.4上网行为管理对于上网行为管理，此次我们采用的是北京网康科技有限公司提供的NS-3110系列，同时这款设备也是国防科工委向全省军工企业推荐的一款产品。网康互联网控制网关（InternetControlGateway,NS-ICG）是一款软硬件一体化、性能卓越的互联网控制管理产品。NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查，内容留存审计，结果分析等功能,其具体功能如下。管理网络带宽：根据各个部门业务需求不同，分配不同的最高带宽。同时也根据应用需求的带宽，给不同的业务分配不同的带宽。保障关键的员工和业务能够获得足够的带宽。提升工作效率：针对URL,聊天工具，上网时间，应用程序进行管理，最大限度减少员工利用上网做与工作无关事情的时间。如通过URL库，禁止员工访问与业务无关的网站，只允许访问与工作相关的网站。同时对上千万条URL记录分为新闻，可根据需要禁止访问其中某些类的网站。保障网内安全：阻止各类假冒网银和假冒网上证券等钓鱼网站，保护员工的合法权益。禁止色情，反动，邪教等非法网站。对传输文件格式进行控制，防止不安全格式的文件进入网内。实时监控审计：查看上线用户的网络使用时间与流量信息，及时发现异常用户并加以处理全面了解用户上网行为，包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动对于用户通过邮件、聊天、论坛等外发的言论信息进行合理监控，及时过滤有害信息等。终端用户准入：20余种用户身份识别/认证方式，确保入网用户身份合法有效，避免外来隐患对计算机终端环境进行管理，帮助管理者实施计算机准入规范如：必须安装杀毒软件方可上网；禁止安装、运行与工作无关的应用程序等。三、方案产品序号品牌型号数量安装位置功能及特性作用1华为3800一台中心机房支持VLAN、组播、QOS、802.1X、SNMP、STP、IPSourceGuard具备防雷能力、功耗低、无风扇自动散热等特性根据电脑属于不同的应用部门，将电脑划分到不同的虚拟局域网中2CISCO3750一台支持路由、ACL、VLAN、组播、QOS、802.1X、SNMP、STP、IPSourceGuard，具备防雷能力、大带宽、高性能、高可靠性等特性各虚拟局域网的连接中心，控制虚拟局域网之间的访问及对服务器的访问规则3Sinfor5100一台支持双链路，上网行为管理，URL库，上网应用识别，带宽管理上网行为管理。提高上网安全，提高员工工作效率，保障关键业务和和员工上网所需的带宽45四、改造后的网络拓扑结构图及特点4.1改造后的网络拓扑结构图4.2新拓扑图的特点1.中心机房统一管理统一维护此次网络改造主要是根据《军工保密资格审查认证工作指导手册》中的相关条文及国六条中第