公司网络结构.docVIP

公司原来网络结构： 我们公司原来的网络拓扑图如上所示，接入INTERNET的是ADSL拨号方式，带宽为2M，动态分配IP地址，INTERNET进入企业内部直接连接DLINK 16口交换机，交换机采用级连的方式，向下级连4台16口交换机，有一台交换机在水西门与江宁工厂通过电信的2M光纤专线连接，在DLINK16口交换机B上连接有ERP服务器，邮件服务器。这样连接的缺点是级连的交换机向下连接网络的使用效率极大的降低，DLINK交换机的背板带宽是800M，在全负荷的状态下B交换机每个端口只有50M的带宽，也就是说B交换机与C交换机之间的带宽是50M左右，假设在C交换机上有一半的电脑需要访问B交换机上的服务器那么D交换机上的电脑能访问服务器的总带宽是50/8 6.125M，再假设D交换机上有一半的电脑要访问B交换机上的服务器，那么E交换机上能访问B交换机的带宽就剩下了750K左右的带宽。在整个交换网络中有大量的广播帧，容易引发广播风暴，使网络使用效率进一步下降。在此网络中没有防火墙和企业级的防病毒软件，也极易造成病毒在内部网络的相互传播。 经过改造后公司现在网络结构： 我们公司现在接入INTERNET的方式的ADSL拨号方式，带宽为2M。INTERNET进入企业内部连接DLINK的804-HV VPN路由，VPN路由后面连接JUNIPER的NETSCREEN-5GT防火墙（因模拟器上没有VPN路由及防火墙，故未能在上面的拓扑图上画出），防火墙华为的24口可配置交换机，华为24口交换机上接5个DLINK16口无配置交换机，其中一台DLINK16口交换机在水西门，与江宁工厂通过电信的2M光纤专线连接。 华为24口交换机上还直接接有ERP服务器，邮件服务器，病毒软件更新服务器。目前的网络中我们使用了华为的24口可配置交换机作为主交换机，其背板带宽为2G，带光纤模块，有抑制广播风暴的功能。目前我们用抓包工具分析局域网的利用率，大概是7%左右，从目前的网络构架来看，基本能满足公司现在对网络方面的要求。但公司的不断壮大，我们必须考虑到网络的可扩展性，安全性及灵活性的要求，同时必须也考虑到成本方面的节省。现在规划好网络结构将对公司的长远发展起到推进作用。 未来公司网络的规划： 在将来公司的网络规划中，我们首选的接入INTERNET的方式将是中国电信的4M-10M动态IP地址光纤接入，因为光纤接入的好处是数据包直接上电信的城域网，在上网的带宽，稳定性及延迟方面都要比现有的ADSL上网方式提高很多。宽带接入企业内部以后连接一台DLINK 804-Hv VPN路由器上。在此路由器上我们应用IPSEC，DDNS服务可以提供最多40条线路的隧道，可供我们公司在江宁以外的分支机构通过VPN技术联络到公司内网中，也可供公司出差在外的员工通过远程拨号的形式接入公司内网，收发企业内部邮件，共享企业内部的资源。降低公司在通信方面的投入。VPN路由后面我们将接一个华为的路由器A，在华为路由器A上做DHCP服务，在这个路由器的后面我们将接一个华为的24口可配置交换机，利用华为24口交换机我们可以配置VLAN，以限制广播域的大小，提高网络性能。把华为路由器A当作Routeronastick（独臂式路由器）用以实现VLAN之间的路由。我们可以把VLAN从1到10，分配给每一个部门。例如：交换机B为财务部，设置为VLAN1，交换机C为采购部，设置为VLAN2，交换机D为外销部设置为VLAN3。通过ACL来限制各个部门的通信，例如：VLAN1只可以访问公司的内网及服务器，不能访问外网，不允许其他VLAN中的电脑访问。VLAN2既可以访问公司内网也可以访问外网并可以允许公司其他电脑访问VLAN2中的电脑。实现可利用的最小的权限达到最大的安全的目的。三台服务器我们可以设为DMZ区域。联系水西门大店和上海办事处的方式我们可以有几种选择：1）通过电信的数字专线连接。2）通过VPN隧道连接。从成本考虑建议可以用VPN来实现连接。如有条件，我们公司可以引进视频会议系统，VOIP设备，降低办公成本。 编号：OLOHR—FW—zd154