机房网络改造升级方案.doc

1、1网络改造方案建议书南京普惠数码科技有限公司日期：二零壹零年六月2目 录一 网络状态分析.3二 网络建设目标.4三 网络改造总体设计.5四 设备选用介绍.9五 售后服务与培训24六 公司简介和成功案例3一、网络状况分析当今时代，企业信息化与企业的生命力息息相关。企业的各种业务数据应用、每一台服务器、每一台计算机不仅创造着企业的竞争力，也记录着公司的核心价值。企业的不断成长和发展也需要企业信息建设的不断健全和完善。贵公司大致网络状况如下：1、企业总部约有150信息点，外部各售楼中心关键信息点不超过50个。2、在总部大楼设有一中心机房，为企业数据交汇传输存储的唯一节点，总部副楼设有2个小型机房，作

2、为楼宇间数据交换使用。3、现有一条10M动态电线线路，负责公司总部员工用于外联公网。贵公司计划2010年7月前上主营业务ERP软件，并同时增加一条8M左右固态IP电信电路为此软件应用服务。4、公司目前正常上网速度较慢，并且缺乏专业安全防护。5、后台数据应用服务器为IBM3950服务器一台，并在本机做了RADE5。 缺少业务数据备份。6、由于缺少专业人员维护和管理，机房内部线路连接混乱、标识缺失，故障时难于查询统计。原先配置的UPS设备未能正常使用，一旦发生意外造成设备损坏，会给企业造成无法估量的损失。应用软件流量分析（日期 2010 年 5 月 19 日2010 年 5 月 24 日）协议类别

3、 内对外(上传) (GB) 外对内(下载) (GB) 内对内(内网)(GB) 总流量(GB)P2P_XUNLEI 26.17 18.23 0 44.4P2P_BT 7.49 3.5 0 10.99HTTP 2.03 8.65 0.02 10.7P2P_PPStream 4.8 5.57 0 10.37SKYPE 3.8 1.86 0 5.66P2P_PPLive 1.64 2.15 0 3.79P2P_EDONKEY 1.95 1.5 0 3.45SMB 0 0 2.4 2.4RTMPT 0.04 1.81 0 1.85RTSP 0.02 0.86 0 0.88P2P_QQLive 0.4 0

4、.41 0 0.81QQ 0.11 0.14 0.16 0.41MMSH 0.01 0.33 0 0.34HTTPS 0.04 0.23 0 0.27STOCK 0.03 0.08 0 0.11POP3 0 0.01 0 0.01共 48.55 45.31 2.57 42010-05-19 至 2010-05-24 应用软件流量饼状图根据流量统计报表以及饼状图清晰显示，迅雷、BT 、电驴等 P2P 下载软件以及 PPstream 等在线视频电影消 耗 了 大 量 的 有 效 网 络 带 宽 ，造成出 口 拥 塞 ， 网 络 访 问 异 常 ， 影响了正常的工作。通过有效的网络带宽管理、有区别的

5、网络行为限制，加强对外网的使用监管，规范上网行为，保障网络畅通，确保关键应用。二、网络建设目标根据实际考察和相互交流，本次网络设计的目标为：A) 尽量保留用户现有网络中的设备，在确保用户正常业务使用的前提下减少用户投资。B) 企业各计算机等终端设备之间良好的连通性是需要满足的基本条件，网络环境就是提供需要通信的计算机设备之间互通的环境，以实现丰富多彩的网络应用。 C) 许多现有网络在初始建设时不仅要考虑到如何实现数据传输，还要充分考虑网络的冗余与可靠，否则一旦运行过程网络发生故障，系统又不能很快恢复工作，所带来的后果便是企业的经济损失，影响企业的声誉和形象。 5D) 在商品竞争日益激烈的今天，

6、企业对网络的安全性有非常高的要求。在很多企业在局域网和广域网络中传递的数据都是相当重要的信息，因此一定要保证数据安全保密，防止非法窃听和恶意破坏，在网络建设的开始就考虑采用严密的网络安全措施。 E) 随着网络规模的日益扩大，网络设备的数据和种类日益增加，网络应用日益多样化，网络管理也日益重要。良好的网络管理要重视网络管理人力和财力的事先投入，主动控制网络，不仅能够进行定性管理，而且还能够定量分析网络流量，了解网络健康状况。有预见性地发现网络上的问题，并将其消灭于萌芽状态，降低网络故障所带来的损失，使网络管理的投入达到事半功倍的效果。 F) 网络建设为未来的发展提供良好的扩展接口是非常理智的选择

7、。随着企业规模的扩大、业务的增长，网络的扩展和升级是不可避免的问题。思科通过模块化的网络结构设计和模块化的网络产品，能为用户的网络提供很强的扩展和升级能力。 G) 由于视频会议、视频点播、IP 电话等多媒体技术的日趋成熟，网络传输的数据已不再是单一数据了，多媒体网络传输成为世界网络技术的趋势。企业着眼于未来，对网络的多媒体支持是有很多需求的。同时，在网络带宽非常宝贵的情况下，丰富的 QoS 机制，如：IP 优先、排队、组内广播和链路压缩等优化技术能使实时的多媒体和关键业务得到有效的保障。 三、网络改造总体设计1.机房改造检查设备安装场地是否符合电气和环境标准。输入电压允许范围：100V240V

8、 AC 50/60Hz 或 40V-60V DC工作温度：0C40C储存温度：-30C60C相对湿度：595% 无凝结配线架内外网段及接口标识清晰，线路整理顺畅。将服务器、交换机等设备合理放置到机柜上，便利操作；UPS 等设备安装到位，进行断电测试。62.网络改造建议拓扑图全网设计说明选用SonicWall NSA2400防火墙作为出口网关设备双线路链接至Internet ,10M动态IP线路提供给内部用户访问Internet 使用，8M 静态IP 线路用于业务软件访问使用。NSA2400同时开启网络防毒功能模块，对于流量可以进行实时扫描，针对间谍软件、恶意网页病毒等可有效防护，保证业务系统以

9、及内部用户的网络安全。现有网络中的SonicWall防火墙设备作为冷备份，一旦新设备出现故障问题，原有设备可临时替换使用，保证用户的网络应用的不间断。核心交换机选用 LS-5500-28C-SI 为全千兆 3 层设备，提供强大的网络交换功能，满足公司内部网络交换需求。将原有 2 路连接分支大楼机房以及 1 路链接至董事长办公室的光纤线路全部迁移到 LS-75500-28C-SI 设备上，原有 H3900-52P 交换机和 NETCORE 交换机作为接入层交换机使用千兆铜缆网线连接至核心 LS-5500-28C-SI 交换机。基于提升网络试用效率的考虑，采用 SoftNext 公司的 CSQR2

10、00 上网行为管理设备，审核网络应用，优化网络带宽。可针对内网用户采用不同分组制定访问策略，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。同时丰富的日志报告功能，对于上网记录进行审核，利于发现网络的潜在威胁。考虑到公司业务系统的重要性，建议配置一台高性能高数据存储 PC，作为现有业务系统数据备份设备使用。保障业务系统数据的安全，降低因为数据丢失或损坏所带来的不必要的损失。我公司可免费帮助用户在服务器和 PC 之间做好备份准备。网络安全防火墙设备选择：安全是最大的网络安全隐患。网络安全防火墙设备选择需要考虑：非法入侵：攻击者通过系统漏洞、木马、窃听等手段获得相应权限

11、，从而窃取数据和破坏系统。病毒攻击：目前绝大多数蠕虫、病毒均可通过互联网进行传播，蠕虫、病毒一旦爆发，就会侵占网络资源，最终可导致网络瘫痪。拒绝服务攻击：通过拒绝服务攻击，可导致服务器当机和网络拥堵，最终造成服务中断。网络安全防火墙设备：网络安全设备采用 SonicWall 防火墙。NSA 系列采用新一代统一威胁管理（UTM）技术抵抗各种攻击，兼备入侵防御、防病毒及反间谍软件功能和 SonicWALL 应用防火墙的应用层控制功能。NSA 系列利用先进的路由、全状态同步高可用性以及高速 VPN 技术让您的分支机构、中央区域及分布式中小型企业网络倍添安全性、可靠性、功能性及生产力，同时还将成本及复

12、杂程度降到最低。8核心层设备选择： 公司现有网络分层中并无核心交换机，考虑到使网络拓扑更加合理、今后更好的拓展性、有利于查出问题故障症结，建议配置一台核心交换机。核心交换层是网络的核心交换节点，它将多个边缘汇聚层连接起来，提供穿透服务，进行数据的高速转发，同时实现与骨干网络的互联，提供高速 IP 数据出口。用户数据流可通过汇聚层上行到核心网络，通过核心网获取所需业务。核心交换机：根据需求我们选用 H3C LS-5500-28C-SI 交换机作为网络的核心设备。H3C LS-5500-28C-SI 交换机是一款部署于企业核心的高性能交换机，在核心网络中网络的性能、IP 服务、冗余性和故障弹性十分

13、重要。H3C S5500-SI 系列交换机是 H3C 公司自主开发的全千兆三层以太网交换机产品，具备丰富的业务特性，提供 IPv6 转发功能以及最多 4 个 10GE 扩展接口。通过H3C 特有的集群管理功能，用户能够简化对网络的管理。S5500-SI 系列千兆以太网交换机定位为企业网和城域网的汇聚或接入，同时还可以用于数据中心服务器群的连接。上网行为管理设备选择：上网行为管理是一种约束和规范企业员工遵守工作纪律，提高工作效率的工具，是行政管理的电子化辅助手段。上网行为管理设备无疑对企业网络访问的制度化管理起到了良好的辅助作用。上网行为管理设备：上网行为管理设备选用 SoftNext 公司的

14、CSQR200 设备。CONTENT SQR是一款多功能的网络信息安全管理审计系统。可详细记录网内受控人员，各种常用网络应用的使用情况，传送或接收的信息内容。并可配合网络管理或公司策略，对常用网络应用的使用情况与内容，进行记录备案以及弹性的策略管控。同时提供了详尽的统计分析功能，透过图表分析，使管理者对各种应用的使用情况，及对网络所造成的影响，尽在掌握。 CONTENT SQR 是全方位的网络内容安全解决方案，具有 EMAIL、 WEBMAIL、WEB、IM、 P2P、FTP 及延伸 VOIP.等应用层(LAYER 7)延伸服务的内容管理与使用分析，过滤分析技术能涵盖网络层到应用层，以提供网络

15、内容安全的纵衡防御服务。 CONTENT SQR 包含不当信息拦截防护、策略管理、统计报表、流量控管. 等多种管理功能，特别有助于 WEB MAIL 的使用控管。本产品方便管理，不影响网络运作，是企业进行多通讯端口的安全防护，及内容资产管理的最佳工具。CONTENT SQR 能协助企业进行网络有效管理，提升网络资源9的使用效益！网络改造补充说明根据贵公司工程师所提出的网络改造关键点，对于网络的优化改造补充说明如下：1、防病毒软件计 算 机 病 毒 的 预 防 技 术计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。实际上这是一种动态判定技术，即一种行为规则判定技术。也

16、就是说，计算机病毒的预防是采用对病毒的规则进行分类处理，而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说，计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作，尤其是写操作。 预防病毒技术包括：磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。例如，大家所熟悉的防病毒卡，其主要功能是对磁盘提供写保护，监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令，并且判断磁盘当前所处的状态：哪一个磁盘将要进行写操作，是否正在进行写操作，磁盘是否处于写保护等，来确定病毒是否将要发作。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分

17、。目前，对已知病毒的预防可以采用特征判定技术或静态判定技术，而对未知病毒的预防则是一种行为规则的判定技术，即动态判定技术。检 测 病 毒 技 术计 算 机 病 毒 的 检 测 技 术 是 指 通 过 一 定 的 技 术 手 段 判 定 出 特 定 计 算 机 病 毒 的 一 种 技 术 。 它 有 两种 ： 一 种 是 根 据 计 算 机 病 毒 的 关 键 字 、 特 征 程 序 段 内 容 、 病 毒 特 征 及 传 染 方 式 、 文 件 长 度 的 变 化 ，在 特 征 分 类 的 基 础 上 建 立 的 病 毒 检 测 技 术 。 另 一 种 是 不 针 对 具 体 病 毒 程 序

18、的 自 身 校 验 技 术 。 即 对某 个 文 件 或 数 据 段 进 行 检 验 和 计 算 并 保 存 其 结 果 ， 以 后 定 期 或 不 定 期 地 以 保 存 的 结 果 对 该 文 件 或数 据 段 进 行 检 验 ， 若 出 现 差 异 ， 即 表 示 该 文 件 或 数 据 段 完 整 性 已 遭 到 破 坏 ， 感 染 上 了 病 毒 ， 从 而检 测 到 病 毒 的 存 在 。清 除 病 毒 技 术计 算 机 病 毒 的 清 除 技 术 是 计 算 机 病 毒 检 测 技 术 发 展 的 必 然 结 果 ， 是 计 算 机 病 毒 传 染 程 序 的 一种 逆 过 程

19、。 目 前 ， 清 除 病 毒 大 都 是 在 某 种 病 毒 出 现 后 ， 通 过 对 其 进 行 分 析 研 究 而 研 制 出 来 的 具 有相 应 解 毒 功 能 的 软 件 。 这 类 软 件 技 术 发 展 往 往 是 被 动 的 ， 带 有 滞 后 性 。 而 且 由 于 计 算 机 软 件 所 要求 的 精 确 性 ， 解 毒 软 件 有 其 局 限 性 ， 对 有 些 变 种 病 毒 的 清 除 无 能 为 力 。有了企业版防病毒软件，结合贵公司现有的桌面管理软件，可以实现全面的身份验证和企业用户安全管理。在防火墙之类的安全网关的防护下，企业内部网络可以大大提高抗攻击、防病

20、毒的能力，10最大限度的保证用户的信息安全。2SSL VPN 设备随着贵公司 ERP 项目的上马，固态 IP 线路及专有后台服务器的使用。可以预见，随着公司业务的不断繁忙，公司规模的不断壮大，相关业务专业软件（比如 OA）将会越来越多的被使用。贵公司业务人员很多时间将会需要在外网直接连接本公司的业务系统，那么公司核心业务数据在公网上传输完全没有保障。企业对网络的依赖日益加深，面对层出不穷的各种网络安全威胁，如何提供安全可靠、低成本、高可用性的远程访问服务直接关系到企业运作的经济效益。SSL VPN 设备可以帮助企业用户在这些方面解决很多直接面对的问题。SSL VPN 是近年来新兴的一种应用级

21、VPN，是目前解决远程用户访问最简单最安全的 VPN 技术。它正成为企业应用、无线接入、Web 服务安全远程管理的关键产品。SSL 协议是无所不在（任何浏览器都支持 SSL）的，各浏览器支持的 SSL 高度互相兼容，而且更为重要的是 SSL 可生存于任何网络环境，穿透任何防火墙，这种无所不在，无所不兼容，无所不达的特性为任何其他安全协议所不具备。任何安装浏览器的机器都可以使用 SSL VPN，它不需要像传统 IPSec VPN 一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器（包括家用机，工作机和客户机等等）需要与公司内网相连接的用户至关重要。SSL VPN 提供智能的安全管理功能

22、。与传统 VPN 不同，SSL VPN 提供安全、可代理连接，只有经认证的用户才能对资源进行访问。SSL VPN 是应用级 VPN，能对加密隧道进行细分，从而使得终端用户能够同时接入 Internet 和访问内部企业网资源。另外，SSL VPN 还能细化接入控制功能，易于将不同访问权限赋予不同用户，实现伸缩性访问。有了 SSL VPN 设备外网访问公司内部的核心数据可以大大提高安全性，大大减少公司核心业务数据被窃取、恶意破坏的可能性，增加企业的竞争力。3机房防静电地板的铺设考虑到未来时间企业信息数据量的增加，贵公司现有的机柜和服务器甚至存储很有可能需要扩容。目前贵公司机房实际铺设防静电地板的面积，为可使用面积的一半左右。我们建议用户在本次机房线路整理的同时，可以考虑将现有的一半木地板和隔断拆除，铺设防静电地板，为将来的扩容做好充分的准备。