网络改造方案

网络改造方案

2014年12月16日

1

目 录

第一章 概况 ...................................... 3

1.1建设目标 .................................................................................. 3 1.2建设内容 .................................................................................. 3 第二章 需求分析 .................................. 4

2.1现状分析 .................................................................................. 4 第三章 网络改造方案 .............................. 5

3.1 方案一 ..................................................................................... 5 3.2 方案二 ..................................................................................... 5 3.2 方案三 ..................................................................................... 6 3.2 其它方案 ................................................................................. 6 第四章 方案购置清单 .............................. 6

2

第一章 概况

1.1建设目标

 尽量在现有设备基础上进行。

 在现有网络带宽的前提下，确保公司内部网络畅通。  实现终端流量监控。

 在确保网络安全的前提下，实现公司间的部分设备互通。  能有一定的延展性。

公司A公司B8MPOE交换DES-15268MModemModemH3C ER3100H3C ER3100POE交换DES-1526H3C 1224AP1PC1PC2AP2AP3PC3S1S2

1.2建设内容

本次改造的根本目的为针对下属设备（台式机，笔记本及其他占用网络资源设备）进行流量监管。

在带宽满足日常使用的基础上，进行部分设备调整或者建议更换，或采用其他方式实现。

3

为保证网络系统的安全以及加大对网络的控制和管理，有必要对网络进行相关设置。

第二章 需求分析

2.1现状分析

由于无法迁入光纤，故采用单条ADSL模式，加之费用需要独立核算，未采用双线负载和共用设备，公司A与公司B均通过8M ADSL接入，出口设备均为H3C ER3100路由。

目前的网络带宽基本满足日常使用，但所有设备均无审计功能，故无法准确的对网络流量进行监管。

公司A路由下挂D-LINK POE交换机，下接公司设备及AP设备。

公司B路由下挂H3C 1224交换机，下接公司设备、服务器及AP设备（需要新增外置供电）

目前两个公司由于不互通，公司A的部分设备无法访问公司B的服务器。 从拓扑图可以看出，网络结构相对简单，但网络节点设备功能不全，导致无法实现必要的管理措施。且网络安全部分，服务器过于暴露，存在一定的安全隐患。

对于两个公司而言，虽然网络相对安全，但也给日常操作带来一定的影响，公司A的终端无法连接到公司B的服务器，而需要从公司B的交换机上外接一根网线才能实现，无形中增加了网络安全隐患。

主要设备配置： 序节点类型 号 1 汇聚节点 2 接入节点 D-LINK DES-1526 H3C-S1224 智能交换机，传输速率： 10Mbps/100Mbps/1000Mbps 二层交换机，传输速率： 10Mbps/100Mbps/1000Mbps H3C ER3100 1*WAN，3*LAN，传输速率10/100M， 设备名称 配置 4

第三章 网络改造方案

3.1 方案一

该方案通过增加核心防火墙，实现网络的集中监测、分权管理，并统一分配带宽资源，实现设备、端口等的管理及流量统计分析，帮助掌控网络的性能状态，监测网络故障，优化网络结构，维护网络的正常稳定运行。在延展性上，可以在未来扩充多根宽带接入(具体扩充数量根据核心设备端口数决定)，并且通过设置相关策略实现带宽分流，一定程度上满足费用独立核算。

网络拓扑图如下： 公司A公司B8MPOE交换DES-15268MModemModemH3C ER3100H3C ER3100USG2160POE交换DES-1526H3C 1224AP1PC1PC2AP2AP3PC3 通过在设备USG2160上设置策略，杜绝公司间互访，也可通过策略实现部分设备互通。

USG2160支持最大8进1出，但根据实际，最大为6进3出，即在扩展性上，可以同时接入最大6根宽带。

在核心防火墙上进行策略划分，实现理论带宽的分配，即如公司A接入2根8M宽带，公司B接入1根8M宽带，则划分公司A使用16M带宽，公司B使用8M带宽。在费用核算上，各公司分别承当各自的宽带费用，出口设备平分费用。

S1S23.2 方案二

该方案基于方案一，只做部分调整，实现对DHCP的动态管理，即IP地址管理。调整公司A的所有AP设备接入一个POE交换机，并将该交换机接入防火墙，设置策

5

略设置AP设备发送的IP地址为其它网段。

3.2 方案三

通过软件实现对网络流量的监控，但由于两个公司网络独立，即使使用软件监控，也无法同时对两个公司进行监控。

即在公司内部架设一台电脑，并安装监控软件，目前市面上的软件非常繁多，暂时列举几个软件：NGR网络流量管理系统，小草网络流量综合管理系统，企业360，网路岗等第三方监控软件。

此类办法固然减少成本，但在监控力度上仍存在漏洞。

3.2 其它方案

其它方案在实施过程中，如直连两个公司路由，会对网络安全造成影响；增加三层交换，会是网络复杂化，不利于维护；更换USG2205，造成费用大幅度提升。

第四章 方案购置清单

设备名称 核心防火墙 品牌型号 预计费用 技术参数 华为USG2160 企业360 监控软件 小草网络流量综合管理系统 NGR网络流量管理系统 网路岗 外置AP供电 Ip-com 安全网关；1个Wan+8个FE接口；Dos,DDoS；支持命令行、WEB方式、SNMP、TR069等配置3500.00 和管理方式，这些方式提供对设备的本地配置、远程维护、集中管理等多种手段，并提供完备的诊断、告警、测试等功能 系统安全组件：全网体检、漏洞修复、病毒查杀、插件清理、开机加速、危险项修复等功能。 企业软件管家组件：全网软件信息统计、终端流量免费 统计、全网软件分发等功能。 硬件资产管理组件：全网IT硬件汇总统计、硬件变更丢失跟踪和预警、硬件运行状态监控。 涵盖流量分析、带宽管理、上网行为管理、DMZ免费或部区服务器管理，专线集中管理、企业级防火墙与路分收费 由器、负载均衡等功能 对所有上网用户的网络使用情况(网络流量)实施监控，并可以实时查看用户上网浏览的网址、控制用免费 户的网络聊天、P2P下载、浏览网页等权限、限制用户访问互联网的数据流量，并对网络流量异常的用户采取相应的限制措施 局域网电脑限速/网络带宽控制，网络流量监控统收费 计 150.00 提供AP设备供电 6