网络设计方案讲解.doc

XXX网络改造方案 项目概述 项目建设目标 根据网络的需求，将网络建设的目标： 改造后网络应具有高吞吐能力，满足大容量数据高速交换的需求。 配备高速的外网接入设备，以实现因特网的高效、安全接入。 网络系统整体架构 信息系统的网络采用二级架构，分为核心层、接入层。核心层处于网络的中心，负责全外网的数据交换；接入层负责大楼与核心层的连接和负责直接接入桌面系统。 网络应用分析 业务划分 局内的业务系统有很多，有以下一些业务系统： OA办公系统。 监控系统。 对外服务系统。 连接互联网系统。 XXX网络H3C网络技术建议方案 在改造项目方案设计中，要充分考虑网络的高性能，高安全、高可靠设计。 通过对于客户需求的分析以及客户要求，我们采用原网络架构即二层到桌面的网络架构，直接采用二层交换部署到桌面的接入方式，形成的平果县财政局外网网络平台。 根据网络的实际要求及现状，方案本着标准性、实用性、稳定性的建设原则，针对外网应用主要体现安全与带宽使用方面，在网络出口配以防毒墙，防火墙，行为管理于一体的网络安全设备可以灵活控制网络带宽，可防止因病毒泛滥，BT、2P等软件应用导致的网络瘫痪，能有效禁止上班时间内的QQ，炒股等有影响工作的软件应用，简单易操作的管理界面可方便控制用户网络使用行为。 网络拓扑结构 核心交换：采用H3C S5500-28C-SI为业务系统核心，其强大的数据转发能力能达到全网用户高速上网的需求。 网络出口路由器：H3C ER6300全千兆多WAN接入软件特性H3C SecPath U200-CA ，其集防火墙,防病毒，防攻击，用户行为防范于一体，可以有效限制迅雷、Bt、电驴等P2P 软件，合理分布带宽，更可根据相关协议有效禁止QQ，炒股等软件应用，内置的卡巴斯基病毒库可防止病毒泛滥，保证网络应用安全。 接入交换：采用H3C S1626二层以太网交换机多种丰富的安全功能支持对出入端口的报文流量进行限速，粒度为64Kbps支持基于流的流量限速所有端口上支持基于带宽百分比的广播风暴抑制H3C S1600系列以太网安全交换机，一系列安全特性可以有效防御ARP欺骗、DOS攻击及蠕虫攻击H3C SecPath U200-CA H3C SecPath U200-CA是H3C公司面向中小型企业/分支机构设计的新一代UTM（United Threat Management，统一威胁管理）设备，采用高性能的多核、多线程安全平台，保障全部安全功能开启时不降低性能，产品具有极高的性价比。在提供传统防火墙、VPN功能基础上，同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。 H3C公司的SecPath U200-CA不仅能够全面有效的保证用户网络的安全，还支持SNMP和TR-069网管方式，最大化减少设备运营成本和维护复杂性。 H3C SecPath U200-CA统一威胁管理产品 l 完善的防火墙功能：提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表（ACL）和攻击防范等基本功能，还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、CC、SYN flood、地址扫描和端口扫描等多种恶意攻击。 l 丰富的VPN特性：支持L2TP VPN、GRE VPN、IPSec VPN等远程安全接入方式，同时设备集成硬件加密引擎实现高性能的VPN处理。 l 实时的病毒防护：采用Kaspersky公司的流引擎查毒技术，从而迅速、准确查杀网络流量中的病毒等恶意代码。 l 实时的垃圾邮件防护：可以拦截垃圾邮件，净化邮件系统，解决垃圾邮件对正常工作的干扰问题。 l 先进的URL过滤：实现基于用户的URL访问控制，防止因浏览恶意或未授权的网站(如网络钓鱼攻击网站)而带来的安全威胁。 l 全面的流量管理：能精确检测BitTorrent、Thunder（迅雷）、QQ等P2P/IM应用，提供告警、限速、干扰或阻断等多种方式，保障网络核心业务正常应用。 l 细致的行为审计：可对各种P2P/IM、网络游戏、邮件和数据传输等行为提供细致的监控和记录，实现细粒度的网络行为审计管理。 l NAT应用：提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。 电信级设备高可靠性 l 采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户，经历了多年的市场考验。 l 支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份