奎屯高管局网络方案总结.docVIP

奎屯高等级公路管理局网络改造规划方案 2008年5月29日  目录 （一）现有网络概况 3 （二）信息平台升级改造需求分析 5 2.1目前网络存在的问题 5 2.2网络改造实现目的 6 （三）网络升级总体设计 7 （四）网络改造 8 4.1网络架构调整 8 4.2综合布线方案描述 9 4.3外网建设 10 4.4 VPN接入方案 11 （五）内网局域网升级改造 12 5.1内网网络架构调整 12 5.2内网核心交换机配置 14 5.3接入交换机配置 15 5.4 推荐配置清单 16 （六）内网广域网络改造 17 6.1 广域结构调整 17 6.2 核心路由器配置 19 6.3 接入路由器配置 19 6.4 接入交换机配置 20  （一）现有网络概况 目前奎屯管理处的网络设备包括如下：服务器两台，浪潮服务器和惠普服务器（ML150）当前奎屯管理处网络拓扑图 内部局域网网络是典型的星型网络结构，分为4层楼，每层分布一到两台交换机，然后连接至三楼总机房的核心交换机，核心交换机是一台傻瓜型的交换机。下面的各收费站和管理所通过电信的光纤和ADSL连接到三楼总机房的核心交换机，没有任何安全防范设备以供使用和抵御来自外部和内部的破坏。 信息中心主要提供生产数据服务，包括OA、工作票、生产票等服务资源，目前现有生产服务器包括两部分，OA和邮件系统已进行整合，其它资源在整合中。这些生产数据和生产用服务器也完全裸露在网络中，没有硬件级的安全保障。目前数据存储均采用本机存放方式，随着应用的不断开展，服务器资源已经不能完全满足生产的需要。现有的网络硬件环境亦不能满足生产和效率要求和安全需要，因此进行统一资源部署整合和网络硬件设备的升级和换代以成为必然的需求。 改造后的网络架构图如下： 改造后网络拓扑图 光缆 网线 （二）信息平台升级改造需求分析 2.1目前网络存在的问题 安全问题，安全为了生产，生产必须安全。现有的网络架构在硬件层面上几乎没有安全可言，一旦遭遇病毒的侵害，必然导致全网络的感染以至于全网瘫痪，在没有防火墙和网络安全设施的环境下，来自外部世界的攻击和非法侵害也是很容易得手的。 资源的整合，现有的网络环境没有考虑到网络资源的整合和资源的共享 等级问题，在一个复杂的网络环境下，等级的划分是很关键的，就像一个社会的等级是一样的关键。 2.2网络改造实现目的 此次管理处网络改造主要实现如下部分： 将原有网络进行改造升级，用电信光纤线路将管理处和各管理所和收费站接入到管理处建立独立的广域网络，原有自建通信线路连接保持不变供生产网络使用。 采用管理处统一的IP地址范围对全奎屯生产和营销网络进行统一地址规划，统一数据资源，建立清晰的网络架构以便于维护和管理。 升级现有网络中心网络架构，升级骨干连接，更换原有网络中心核心交换机，提升网络处理能力。 在生产数据中心服务器资源前增加一台入侵防御系统（IPS）或者防火墙设备，将服务器资源置于安全防护设备之后，确保服务器资源的安全性。 配置VPN安全设备和VPN密钥建立VPN隧道，实现在外移动用户建立安全访问隧道，通过VPN隧道设备访问内网数据资源。 配置大容量高可用性存储，实现网络中心办公OA、邮件等数据集中存储，并建立备份措施保障数据安全可靠。 对整个营销网络架构、IP地址、服务器资源等进行统一规划整合，建立统一的管理局营销信息平台。 （三）网络升级总体设计 针对以上网络存在的问题，我们考虑采用以下方式对网络进行升级扩展，改善网络架构，提高网络传输和处理性能： 1、将管理处进行内外网改造，建立物理隔离的内外网络构架 根据管理处的现有要求，部署内外网系统，将互联网从现有网络中独立出去，建立安全可靠的网络架构。 2、利用现有的光纤线路，建立全奎屯独立的广域网络 在管理处新配置一台核心路由器将各管理所和收费站接入到管理处，在各管理所和收费站配置相应接入路由器建立独立的生产营销广域网络，原有自建通信线路连接保持不变供生产网络使用。在管理所和收费站配置交换机将营销与原有生产网络分离出来组建单独的营销网络。 3、升级信息中心网络架构，提高网络性能、可靠性以及安全性 配置一台新的高性能核心交换机提高网络核心处理速度；同时将内部网络升级为千兆互连，采用主干千兆进行连接，减少故障点和提高处理性能。将服务器区独立出来，将服务器接入新购置的核心交换机H3C S5600后，然后在服务器区和核心交换之间增加一台防火墙，将服务器资源置于安全防护设备之后，确保服务器资源的安全性 4、配置VPN网关和移动客户端，实现移动办公用户的VPN接入 在中心配置VPN网关和移动客户端，实现在家或出差人员通过VPN隧道进入外网然后通过VPN设备访问内网数据资源，提高办公效率。 5、建立存储局域网