互联网出口扩容建议解决方案.docx

1、互联网出口扩容建议解决方案互联网出口扩容建议解决方案互联网出口扩容建议解决方案2016/051需求分析1.1需求背景我单位网络基础建设基本完善，下属各分支单位通过专线到分局总部由分局联通互联网出口进行互联网内容的访问，互联网管理由分局一台网康设备统一管理，所有上网终端共享总局出口带宽资源。1.2需求分析目前，所有分支单位共享互联网带宽的情况，经常由于分支单位占用带宽资源过多，导致分局部分业务办理效率很低；现计划将原有20M网络出口扩容成50M出口，用以改善网络资源分配和终端的可管理性。针对客户IT建设计划，现有的网康管理设备存在性能瓶颈，不能满足新出口下的互联网审计和管理，因此，网康建议在做网

2、络出口扩容的同时，要完善网络管理方面的建设。2解决方案2.1解决方案思路针对高管局分局的网络管理需求，网康科技以保护用户投资，且满足客户需求为基本原则，针对管理实现的程度向用户推荐三个方案。2.2整体架构原始网络情况分析图1 原始网络拓扑原始网络分析：目前16个下属分支单位均通过专线接入分局机房，属于互联网出口集中管理方式，所有下属单位共享使用互联网资源，存在问题是分局机关的上网带宽资源得不到保障，时有影响到工作效率的情况发生。建议方案1说明图2 建议网络拓扑图1方案说明：采用此方案的前提是将目前的运营商单一线路由20M扩容至50M，即互联网出口还是统一的一个，这样原有网康设备的处理性能就不满

3、足扩容后的管理需求了，需要更换一台性能更高的网康设备作为全分局及分支单位上网行为管理的平台。说明图3 建议网络拓扑图3方案说明：采用此方案的前提是在保持原有20M互联网出口线路的基础上，再向运营商申请1条30M的互联网出口，这样就可以将分局和所有分支单位的互联网出口管理分离开来，互不影响，分局还用之前的20M带宽，16个下属分支单位共用新申请的30M带宽，同时增加采购一台适用于30M带宽处理性能的网康设备即可，此方案优势在于保护了之前的投资，性价比比较高。2.2.3建议方案3说明图4 建议网络拓扑图4方案说明：采用此方案不同于方案1和方案2，管理从各分支单位传输的源头进行管理，即在每个分支单位

4、部署一台低端网康设备，同时在分局机房部署一台网康集中管理平台，这样通过集中管理平台实现分局对所有分支单位上网带宽和上网权限的统一管理，管理效果更好。3选型方案建议4集中管理功能实现NS-CMP（Netentsec Central Management Platform）网康集中管理平台是一款集团客户提供的对多台网康上网行为管理设备进行统一管理的专业的硬件产品。集团客户使用NS-CMP可实现设备状态统一查看、策略统一下发、策略统一回收、分级分权管理、全网统计分析汇总。CMP广泛应用于政府、金融、能源、教育、运营商等领域中的大型集团客户，有效的帮助客户简单的、统一的、安全的管理全部的上网行为管理设

5、备。全网设备一目了然，便于宏观管理：总览全部在网设备分布情况直观看到在网设备的地点分布直观看到在网设备的连接状况直观看到在网设备的告警状况直观看到各个设备管理员信息，便于联系维护总览全部在网设备运行状况直观查看所有设备IP直观查看所有设备流量直观查看所有设备负载总览全部在网设备告警信息直观查看到所有设备告警直观查看到所有行为告警各分支告警按时间序列排序，便于发现各分支告警间的关联全网设备统一升级更新，减少遗漏：CMP设备可以作为内部升级服务器，为全网设备提供版本升级、数据库更新服务。减少了所有设备必须连接外网升级带来的升级复杂度。全局设备软件版本统一升级直观看到全网设备当前版本直观看到网康最新

6、可升级版本直观看到设备最后升级的时间全局设备统一批量升级全局设备网页库版本统一更新直观看到全网设备URL库版本直观看到网康最新URL库版本直观看到设备最后更新的时间全局设备统一批量更新全局设备应用库版本统一更新直观看到全网设备应用库版本直观看到网康最新应用库版本直观看到设备最后更新的时间全局设备统一批量更新全网设备策略统一下发、回收，便于集团策略落实制定总部策略，全局下发。制定总部策略，局部下发。区域可添加低优先级个性策略检查全局策略一致性，确保策略变更后的全局一致性统一回收（删除）总部策略。局部回收（删除）总部策略。检查全局策略一致性，确保策略变更后的全局一致性统一激活总部策略。统一暂停总部

7、策略。可检查特定设备的策略报告CMP为管理员提供直接登录被管理设备的点到点接口，便于管理员快速管理单个设备，直接对设备进行精细化管理全网日志报告统一分析、便于掌控全网上网行为状况统一订阅、自动汇总全网所有设备的统计汇总分析报告 CMP可以将所管辖的ICG的统计分析报告集中收集，并综合分析提供全局的分析报告和行为趋势分析。汇总后生成全局分析报告十多种汇总报告，了解全局流量、行为分布、网页分布、信息外发分布等趋势分析。便于及时掌握全网的行为管理效果 智联技术、让动态地址终端一样可以被顺利管理NS-CMP的集中管理模块内置智联技术，使得被管理终端即使没有固定的地址，一样可以被CMP访问并管理到，使得采用ADSL、无法映射公网IP地址的ICG集中均可被集中管理。支持策略一致性检查及批量删除、极大降低策略删除复杂度NS-CMP具备策略一致性检查和批量策略回收技术，在确保被回收策略准确一致的情况下，统一回收终端策略，避免传统设备逐一删除带来的复杂度，并确保了删除的准确性。内置升级中心、让升级更便捷、更安全NS-CMP内置升级服务器，NS-CMP可定期自动发现ICG新版本、数据库更新升级包，只要管理员下载到CMP本地，即可作为内部升级服务器为各个终端提供升级更新服务。保证了升级的及时性，简易性。各分支ICG无需访问互联网，只通过内网即可升级，极大的提升了网络管理的安全性.