1、企业网络改造规划方案2017 年 8 月*网络改造项目规划方案 - 1 -目录第 1 章. 项目概述 .21.1. 项目背景 .21.2. 项目建设需求 .21.3. 建设目标 .3第 2 章. 系统规划要求 .42.1. 高可靠要求 .42.2. 高性能要求 .42.3. 易管理性要求 .42.4. 安全性要求 .42.5. 可扩展性要求 .52.6. 实用性和先进性要求 .52.7. 经济性要求 .5第 3 章. 系统总体设计 .6第 4 章. 基础平台详细规划 .94.1. 网络系统 .94.1.1. 系统设计目标 .94.1.2. 系统设计原则 .94.1.3. 整体网络规划 .94.
2、1.4. 分区设计详解 .114.1.5. 网络协议设计 .164.1.6. 设备选型建议 .214.2. 安全系统 .224.2.1. 系统设计目标 .224.2.2. 系统设计原则 .224.2.3. 安全体系结构 .234.2.4. 子系统规划 .254.2.5. 设备选型建议 .29*网络改造项目规划方案 - 2 -第 1 章. 项目概述1.1. 项目背景随着*公司信息技术发展,作为信息载体的网络系统存在问题日益严重:网络负载加大、网络带宽不足、网络安全问题严重、应用系统的增加,多网融合的需求迫切、网络终端不受控等。这就需要对现有网络系统进行改造,以满足*公司信息技术发展的需求。1.2
3、. 项目建设需求在利用*公司现有网络资源的基础上加以改造,改造后的网络需要满足以下需求:1、 根据用户对业务系统的访问要求,将现有各个业务子网在网络核心层面进行整合,以达到单个用户可以访问不同子网的资源,并通过一定的安全策略,确保各个子网之间的数据和业务安全。2、 优化现有网络规模,设立网络汇聚节点,最终形成以销售部、自动化部自动化车间、轧钢总降、一炼、二炼、一轧、二轧等七个部位为主的汇聚点,覆盖全公司、部门、车间的生产区域。3、 实现整个公司网络架构分等级安全管理。4、 建立结构化网络安全系统,所有用户通过认证方式接入公司网络,访问自己对应的网络资源或系统。5、 实现网络终端受控,重要岗位终
4、端行为管理,保证终端规范化操作。 6、 实现服务器及存储资源的有效利用,建立核心服务器区域的安全防护提高运行能力。将现有主要服务器,如产销系统、新老线 MES 系统、设备管理系统、远程计量、人事、原料采购、调度、质量等服务器集中统一管理。7、 实现 L2 系统在网络中的隔离,保证 L2 系统安全稳定运行。*网络改造项目规划方案 - 3 -1.3. 建设目标此次网络改造规划方案主要包括:网络系统,安全系统的建设。各个系统的功能概述如下:1) 网络系统:尽量利用现有的网络接入条件和机房环境条件,对现有网络系统进行全面改造升级,实现生产网、宽带网、设备网之间的融合接入,简化网络逻辑架构。2) 安全系
5、统:根据网络总体架构和安全需求,设计部署安全防御体系(包括网络层、系统层、应用层等各层次) ,各业务系统的安全防范和服务体系,并实现集中的安全管理。*网络改造项目规划方案 - 4 -第 2 章. 系统规划要求系统规划要求如下: 高可靠要求为保证业务系统不间断正常运行,整个系统应有足够的冗余,设备发生故障时能以热备份、热切换和热插拔的方式在最短时间内加以修复。可靠性还应充分考虑系统的性价比,使整个网络具有一定的容错能力,减少单点故障,网络核心和重点单元设备支持双机备份。2.2. 高性能要求核心网络提供可保证的服务质量和充足的带宽,以适应大量数据传输包括多媒体信息的传输。整个系统在国内三到五年内保
6、持领先的水平,并具有长足的发展能力,以适应未来网络技术的发展。2.3. 易管理性要求考虑到系统建设后期的维护和管理的需要,在方案设计中充分考虑各个设备和系统的可管理性,并可以满足用户个性化管理定制的需要。网站各系统易于管理,易于维护,操作简单,易学,易用,便于进行配置和发现故障。2.4. 安全性要求对于内部网络以及外部访问的安全必须高度重视,设计部署可靠的系统安全解决方案,避免安全隐患。设计采取防攻击、防篡改等技术措施。制定安全应急预案。管理和技术并重,全方位构建整个安全保障体系。*网络改造项目规划方案 - 5 -2.5. 可扩展性要求对*信息化建设规划要长远考虑,不但满足当前需要,并在扩充模
7、块后满足可预见需求,考虑本期系统应用和今后网络的发展,便于向更新技术的升级与衔接。留有扩充余量,包括端口数和带宽升级能力。2.6. 实用性和先进性要求系统建设首先要从系统的实用性角度出发,未来的信息传输都将依赖于数据网络系统,所以系统设计必须具有很强的实用性,满足不同用户信息服务的实际需要,具有很高的性能价格比,能为多种应用系统提供强有力的支持平台。2.7. 经济性要求本次系统建设中,要充分考虑原有系统资源的有效利用,发挥原有设备资源的价值。要本着以最少的建设成本,最少的改造成本,持续获得当期及未来建设的最大利益。*网络改造项目规划方案 - 6 -第 3 章. 系统总体设计此方案设计将遵循先进
8、性、实用性、可靠性、易管理性、安全性、扩展性、经济性的原则,为实现*数据集中处理的方式,构建统一融合的网络系统,能支持全公司范围内的高可靠实时网络连接。依据*网络改造建设的需求,本次方案设计的网络平台系统的总体示意图如下:一炼汇聚交换机S 5 6 2 4一轧汇聚交换机S 5 3 2 4二炼汇聚交换机S 5 6 2 4二轧汇聚交换机S 5 6 2 4销售部汇聚交换机S 5 3 2 4轧钢总降汇聚交换机S 6 5 0 6自动化车间汇聚交换机S 6 3 2 4一炼接入网一轧接入网二炼接入网 二轧接入网自动化车间接入网销售部接入网轧钢总降接入网产销O A质量中心服务器集群M E S安全管理I n t
9、e r n e tD N SW W WM A I LD M Z 区域联通移动出口区域人事设备管理原料采购原生产网核心交换机华为 S 8 5 1 2核心交换机 1华为 S 1 2 8 0 8核心交换机 2华为 S 1 2 8 0 8生产网接入交换机宽带网接入交换机生产网接入交换机宽带网接入交换机生产网接入交换机宽带网接入交换机生产网接入交换机宽带网接入交换机生产网接入交换机宽带网接入交换机生产网接入交换机宽带网接入交换机生产网接入交换机宽带网接入交换机舞钢网络改造拓扑总图远程计量网能源网防火墙 1 防火墙 2*网络改造总体拓扑图注:图中橙色字体的设备为此次新增设备。具体描述:1 网络系统设计1)
10、 整体网络结构按照不同的安全级别,主要分为出口区域、DMZ 区域、中心*网络改造项目规划方案 - 7 -服务器集群区域、核心交换区域、生产网接入区域、能源网接入区域、远程计量网接入区域及其他网络接入区域。2) 作为整个网络的核心业务区域,采用两台高端核心交换机双机热备的方式,保证核心业务的正常开展。同时,依据业务的重要程度对全厂网络进行分区、并进行可靠安全隔离,避免重要程度较低的业务对重要程度高的核心业务造成影响。3) 生产网接入区域,主要以现有的生产网接入设备为主、另外融合了宽带网和设备网的接入设备。根据现有的网络结构及客户需求,设立新的网络汇聚节点,形成以销售部、自动化部自动化车间、轧钢总
11、降、一炼、二炼、一轧、二轧等七个部位为主的汇聚点,覆盖全公司、部门、车间的生产区域。4) 上述七个汇聚节点主要下联现有的生产网接入设备,同时,将原宽带网和设备网的接入设备融入,构建统一的网络接入平台,不再重复建网。新的网络平台融合了,生产网的数据访问和外网互联的需求,使用同一终端即可实现内外网同时访问的功能。5) 规划统一的中心服务器集群区域,将现有生产网、设备管理系统、人事系统中运行的服务器,划到同一逻辑区域。考虑到新的核心交换的高性能,将所有的服务器直接接到核心交换,通过核心区域的安全设备来保证访问安全。使全厂的所有客户终端都通过核心交换来对各个业务系统进行统一访问。6) 设计新的互联网出
12、口区域,设置出口防火墙、上网行为管理、负载均衡等安全设备,保证全厂用户的上网安全。原有生活区用户不再和办公区使用同一出口上网,生活区用户使用单独的出口设备连接互联网。7) 构建 DMZ 区域,将 WWW、DNS、MAIL 等需要同时服务内外网用户的服务器放到该区域,设置 VPN、负载均衡等设备保证服务安全。8) 能源网和远程计量网由于是独立运行的物理网络,不在此次网络改在的范围。但此次我们新增的核心交换,在性能、稳定性、处理能力方面,均有能力负载未来其他多个网络的融合。2 安全系统设计*网络改造项目规划方案 - 8 -本次*网络改造项目建设将考虑如何建设多层次、纵深防御系统。另外,要加强安全管
13、理工作和安全应急工作。通过部署防火墙保证网络边界的安全,保证网络层的安全;部署入侵检测系统实现内网安全状态的实时监控;部署防病毒系统防止病毒入侵,保证主机的安全;部署网络监控系统对网络进行监控;部署抗攻击系统抵御来自外界Internet 的 DoS/DDoS 攻击;部署漏洞扫描系统对系统主机、网络设备的脆弱性进行分析;部署时钟系统使系统的时钟同步;部署单点登录系统方便用户在多个系统间自由穿梭,不必重复输入用户名和密码来确定身份;部署统一认证系统对不同的应用系统进行统一的用户认证,通过统一的用户认证平台提供一个单一的用户登陆入口;部署安全管理平台实现系统内安全事件的统一管理。我们要通过相应的安全
14、技术建设一套包含物理层、网络层、主机层、应用层和管理层等多个方面的完整网络安全体系。*网络改造项目规划方案 - 9 -第 4 章. 基础平台详细规划4.1. 网络系统4.1.1. 系统设计目标网络系统建设的总体目标,是要建立统一融合的、覆盖全公司范围内的、高速高可靠的网络平台,以支持数据集中处理的运行模式。4.1.2. 系统设计原则网络系统包括四大部分,一是出口区域,实现公司用户的上网需求;二是服务器区域,对*现有业务系统的主机存储进行统一管理;三是核心交换区域,实现全公司所有功能区域的互联互通;四是二级接入区域,对整个网络现状进行重新规划,形成新的汇聚节点,将生产网、宽带网、设备管理、人事系统统一融合到新的管理网络中,实现单一终端对所有业务系统的统一访问。网络系统有良好的扩展性,保证网络在建设发展过程中业务和系统规模能够不断地扩大。网络线路及核心、关键设备有冗余设计。核心设备和关键设备保证高性能、高可靠性、大数据吞吐能力。网络系统的设计充分考虑系统的安全性。4.1.3. 整体网络规划按照结构化、模块化的设计原则,实现高可用、易扩展、易管理的建设目标。网络整体拓扑如下图所示:
