网络设备改造方案.docx
《网络设备改造方案.docx》由会员分享,可在线阅读,更多相关《网络设备改造方案.docx(14页珍藏版)》请在冰豆网上搜索。
网络设备改造方案
XXXXXX网络改造方案
计划书
网络现状与不足
现XX单位采用代理服务接二层交换机的方式共享上网,整个网络无核心转发设备,主要靠服务器替代路由器进行数据交换。
这种方式已经成为限制网络带宽的瓶颈,极大的限制了用户的上网速度;并且无法实行网络限制和上网行为管理,同时无法抵御来自外界对服务器的攻击。
因此,计算机之间互通无安全保障,更重要的是造成网络资源的严重浪费,影响了内部网络办公环境。
硬件方面,XX单位与分部采用的是二层交换机接入用户。
此部分设备参数不高,性能方面也不能满足现有用户的需求。
XX单位机房共有8台交换机,其中6台为外网交换机,2台为路网交换机。
交换机提供端口总数(含外网和路网)为178个,已用端口总数(含外网和路网)为173个。
各房间累计的端口总数为306个,因此交换机的数量严重不足。
分部共有6台交换机,均为外网使用,交换机提供端口总数为133个,各房间累计端口总数为172个。
所有可用端口都已占满,无空闲端口。
如需新增端口,则暂无法实现。
如下表:
XX单位本部
外网
路网
代理服务器
1台
二层交换机数
6台
2台
交换机已用端口数/端口总数数
131/133
42/45
交换机剩余端口数
2
3
各房间网络端口总数
306
各房间已用端口总数
173
分部有限公司
代理服务器
1台
二层交换机数
6台
交换机已用端口数/端口总数
133/133
交换机剩余端口数
0
各房间网络端口总数
172
各房间已用端口总数
133
XX单位目前采用代理服务器上网的方式,暂时无法进行网络管理,只能查看当前网络状态的累计总流量。
无法实时的监测网络状态、数据流量和网络资源的使用情况;同时也无法实现网络流量的分配、限制以及上网行为的管理。
分部与XX单位采用了相同的上网方式。
不同的是,分部的在代理服务器上安装了CCPROXY代理软件,有效地对网络进行监控与资源的定向分配,但在无硬件设备支持的软件环境下,网络资源的使用也受到了一定的限制。
总体来说,两地网络体系相对独立,主要依靠互联网进行通信;硬件上不支持远程网管功能,因此无法做到统一的规划与管理。
网络改造方案
网络结构的改造
网络结构改造将采用“光纤-防火墙-核心交换机-接入交换机-终端用户”的方式代替原有代理服务器的共享上网,并通过搭建VPN虚拟网络将XX单位本部与分部有限公司进行连接,实现数据传输与资源共享。
如图所示:
网络改造中,原有的代理服务器将被防火墙替换,利用企业级VPN防火墙作为连接外网的设备。
VPN防火墙可以抵御外部攻击,保证网络内部环境的安全;同时又可以实现VPN虚拟连接的功能,从而实现两地通信;并且支持用户在任何有网络的地方接入企业局域网,实现在现场和家里办公。
VPN防火墙直接接入核心交换机,核心交换机负责所有用户内外网的数据交换与转发。
通过核心交换机,可以大大提高网络资源的利用率,实现网络资源合理分配与使用。
核心交换机下连接多个二层交换机,根据用户的数量进行配置,二层交换机直接连接用户,起到扩展端口的作用。
无线网络覆盖:
无线网络覆盖方式,可搭建无线控制器连接多个AP来扩展无线信号覆盖区域。
根据XX单位房间分布情况,每层至少需架设3个AP点,共13个AP点(一楼1个AP点,六楼不设)方可覆盖楼层大部分办公区域,同时每个AP点可支持20个终端用户。
此方式可以将整个XX单位覆盖在统一的无线网络内,实现无缝网络覆盖。
但架设成本高,性价比低;并需要对每个楼层进行重新布线,不但施工量大,还可能对楼体造成破坏。
方案一:
思科设备方案
设备清单如下:
无线网络设备清单
设备名称
设备型号
主要参数
数量
参考报价
总价
D-Link无线控制器
DWS-3024L
24口1000Base-TX
4口SFP(Combo)
机架式(PoE兼容802.3af标准)
支持24个AP
支持AP型号:
DWL-3500AP/DWL-8500AP
1
¥17,000
¥17,000
D-Link无线接入器
DWL-3500AP
网络标准:
IEEE802.11b、IEEE
数据传输率:
108mbps
频率范围:
2.4GHz-2.4835GHz
天线:
带反向SMA连接器
13
¥1,500
¥19,500
合计
¥36,500
备注
由供货商提供AP点架设的网线布置,施工费500元/天
网络设备的改造
设备需求包含防火墙、核心交换机和接入交换机。
其中防火墙与核心交换机各2台,分别置于XX单位与分部有限公司;根据需要的网络端口,XX单位需二层接入交换机10台(不包含路网用户),分部需8台二层交换机。
网络设备清单如下:
设备名称
设备型号
主要参数
数量
参考报价
总价
防火墙
思科ASA5520-BUN-K9
网络吞吐量:
450Mbps
并发连接数:
280000
网络端口:
千兆以太网端口*4
入侵检测:
DoS
安全过滤带宽:
225Mbps
2
¥26,000
¥52,000
三层核心交换机
思科WS-C3560-24TS-S
传输速率:
10/100/1000Mbps端口数量:
28个
背板带宽:
32Gbps
网络管理:
网管SNMP,CLI
包转发率:
38.7Mpps
2
¥13,000
¥26,000
二层接入交换机
思科SF200E-24
接口数目:
24口
传输速率:
10M/100M/1000Mbps
网管功能:
智能Web网管
18
¥1,500
¥27,000
合计
¥105,000
备注
由供货商检测现有网络设备的参数及性能,如现有设备与新购置设备参数匹配,则可代替新购置设备继续使用。
(300元/天服务费另算)
所需设备购置清单如下表:
购置设备清单
设备名称
设备型号
数量
参考报价
总价
备注
网
络
核
心
设
备
防火墙
思科ASA5520-BUN-K9
2
¥26,000
¥52,000
三层核心交换机
思科WS-C3560-24TS-S
2
¥13,000
¥26,000
二层接入交换机
思科SF200E-24
18
¥1,500
¥27,000
无
线
接
入
D-Link无线控制器
DWS-3024L
1
¥17,000
¥17,000
设
备
D-Link无线接入器
DWL-3500AP
13
¥1,500
¥19,500
技
术
支
持
设备服务费用
5天
¥300/天
¥1,500
搭建、调试硬件设备
施
工
网络布线费用
2天
¥500/天
¥1,000
各楼层AP点的布线
合计
¥144,000
方案二:
神州数码设备方案
关于分部和XX单位的办公网络情况的汇报
经过了解,现在将分部以及XX单位的办公网络现状以及解决方法向领导进行汇报说明,请领导审阅。
我们现在的网络现状及主要问题表现
公司和XX单位的办公网络,统一建设的时间是5年前,陆续为了满足接入端口数量的需求,只是零星采购了简单的交换机,满足端口数量的需求。
现在主要表现的问题如下:
1、公司和XX单位的网络,都没有可以进行有效管理的核心交换机设备。
XX单位使用的是一台普通的24口,千兆交换机,通过级联的方式连接,只是满足了接入端口数量的需求,没有管理和规划;
2、公司和XX单位形成各自独立的网络体系,双方不能互联,只能通过邮件的方式进行应用数据的交换,降低了工作效率;
3、网络出口没有可以控制的管理手段和工具。
现在XX单位的网络带宽已经提高到了50兆,威克公司方面的带宽也已经提高到了10兆。
但对于内部的上网行为缺乏有效的管理,就类似于我们修了一个双向12车道的公路,但是没有交通规则,什么车都在上面走,而且没有规矩,必然会造成正常的网路应用速度缓慢;
4、我们现在的上网代理,使用的是Windows2003搭建的ISA代理服务器,软件的代理在管理几十个或者十几个用户的时候,不会有问题,但是当用户数量增多,同时内部人员上网没有很好的控制的情况下,必然将代理服务器“拖死”;
5、公司、XX单位的中心机房,机架上面的交换机过于陈旧,按照正常的网络设备淘汰时间是5年进行一次升级,一般的企业,计算机类设备的固定资产折旧年限就是5年,而且,我们的交换机“不可管理、不可配置、不可控制,带宽小”,最小的连接带宽只有10M,网络设备搭配不合理;
6、XX单位和公司之间,没有形成很好的信息共享,不能提高公司和XX单位内部之间的办公效率,办公还是停留在E-mail、QQ等原始手段,表格传来传去,出错概率大,而且不可追溯。
以上6个方面是我们公司和XX单位方面的网络现状。
建议的解决方法
鉴于上述的网络现状和问题,我们的解决方法是,首先,对现有的网络情况进行改造,改造集中在中心机房内部,对于连接各办公室间的布线系统,不做大规模调整,以最小的减少影响员工办公的时间,对于特殊不能满足的办公室,做局部调整和改造。
对于公司和XX单位方向网络中心的改造,我们可以分步进行,按照先后顺序为:
1、首先建设XX单位和威克公司之间的VPN通道,数据中心的位置我们投入一个性能高一点的VPN防火墙设备,另外一个办公地点,使用一个能够满足需求的VPN防火墙设备。
原因是,这种一个办公区域到另外一个办公区域的VPN联网(就是网络界里面说的网关到网关)对于内部办公人员,没有感觉,只要按照自己的需要访问需要的目标服务器就可以了。
例如:
OA办公,就是直接在客户端上面登陆,就能进入公司和XX单位的内部办公网络;
将现有的代理服务器取消,使用VPN防火墙做地址转换,承载公司内部的用户上网;
2、通过防火墙网关的管理,能够实现上网行为的控制,避免内部员工大量使用BT类下载软件占用网络带宽,也能大大提高内部网络的应用效率;
3、将公司、XX单位的中心机房,各增加一台核心交换机,同时升级现有的接入层交换机,改变现有网络不能管理的局面;
4、将来随着公司业务的开展,也可以将京天威公司通过VPN通道接入到整个网络里面,解决数据的远程传递困难,不能数据共享,办公效率低下的问题;
5、第一步,改变现有的网络出口+VPN连接+内部网络上网管理是关键,如果投资有限,应该首先实施这一部分;
6、XX单位的无线网络,现在可以通过布设在走廊上的无线接入点,进行接入,通过认证技术,可以实现只有授权的人员能够接入无线网络,没有授权的人员不能接入网络的安全需求。
改造以后的网络结构如下:
改造后能够带来的好处
通过改造,能够实现给我们的工作带来的改善如下:
1、提高公司和XX单位,上网访问速度;
2、实现上网行为的有效管理,由原来“交通秩序混乱”的状态,变为“可以控制的交通行为”;
3、可以实现公司与XX单位之间通过安全加密的VPN通道进行连接,达到异地的“虚拟局域网络“连接,为实现内部OA系统,以及将来的全面ERP系统奠定网路基础;
4、提高公司、XX单位内部办公网络的连接带宽,变为不可管理的网络,为可以管理的网络;
5、外出公出的同事,可以借助架设在公司中心机房内的SSLVPN功能,实现可授权管理的远程接入访问,提高接入的安全性,对接入行为可以控制和追溯;
设备改造清单如下:
哈尔滨分部股份有限公司网络改造设备清单
(XX单位部分+VPN连接)
名称
型号
产品描述
单价
数量
金额
备注
核心交换机
DCRS-5750-28T
全千兆三层交换机,24口10/100/1000Base-T+4口千兆SFP(Combo)接口+2个万兆插槽,基于ASIC的硬件线速IPv6,220VAC。
新外观,黑色机箱
¥11,000
2
¥22,000
XX单位和公司各一台
无线接入控制系统
无线AP
DCWL-7942AP(R3)
DCN802.11n室内增强型无线接入点AP(2.4GHz单路单频,3x3MIMO,胖/瘦模式自动切换、天线可拆卸,PoE和本地供电)
¥2,520
10
¥25,200
布置在XX单位
无线控制器
DCWS-6028
DCN有线无线一体化智能控制器,含24口10/100/1000Base-T+4口千兆SFP(Combo)接口+2个万兆(XFP/SFP+)扩展插槽,默认含32台AP管理许可,最多可支持256台AP,64台AC集群,1+1,N+1,N+N冗余备份
¥37,800
1
¥37,800
VPN网关+防火墙
DCFW-1800S-V2
中小型企业级安全网关,物理端口8个10/100/1000M以太网电口,1U机架式,带网络行为应用特征库,具备按照网络行为特征进行行为管控。
最大并发连接数600000,每秒新建连接数13000个,网络吞吐量600Mbps,IPSEC隧道数量10000个,支持10000个策略数。
¥24,600
2
¥49,200
XX单位一台,威克公司一台
接入交换机
DCS-1026+(R4)
+系列(无铅工艺,高品质),24端口10/100M+2口10/100/1000Base-T机架式交换机
¥950
3
¥2,850
DCS-1064(R2)
48端口10/100M+2口10/100/1000Base-T
¥1,450
10
¥14,500
合计:
¥151,550
方案对比
方案一:
思科设备方案:
优点:
核心设备采用了思科的品牌;能保证网络运行状态的高效、稳定与安全;国际一流品牌,品牌效应强。
缺点:
无网络实时的监测和上网行为管理功能(思科、华为及H3C等品牌均不支持此功能,部分国产防火墙支持)。
如需此部分功能,需另添加专业的上网行为管理设备,如:
深信服行为管理设备(约15000元/台)。
方案二:
神州数码设备方案:
优点:
核心设备采用神州数码品牌;管理功能强大,具有较多形式的上网行为管理功能,支持网络实时监控。
缺点:
不具备品牌优势。
(注:
文档可能无法思考全面,请浏览后下载,供参考。
可复制、编制,期待你的好评与关注)
升级会员 