北京建筑设计研究院都分院网络改造方案.docVIP

北京建筑设计研究院成都分院网络改造方案 制定者：胡军虎 Email:hujunhu2006@163.com 2011年11月29日 目前网络情况及特点： 目前的网络拓扑图如下： 目前网络结构的特点： 现有网络属于典型soho型小型办公网组网模式，缺乏可靠性，可扩展性与安全性，一旦网络出现病毒及网络攻击现象，将影响成都分院内部所有IT设备及内部的业务运作。具体如下： 网络出口采用soho级路由器，无法实现有效的出口NAT转换，无法抵御外网攻击，无法实现内网有效隔离，内网完全暴露在互联网上面。同时也无法实现灵活的路由划分，VPN等功能。 接入层交换机全部采用二层交换，无法实现网关功能，所有vlan间数据交换需要在路由器上完成，路由器不堪重负，导致上网拥塞。 所有计算机，服务器等在同一子网，这意味着所有的计算机处于同一个广播域，造成广播流量泛滥。任意设备之间可以互联互通，任意一台计算机设备感染病毒或遭到黑客攻击可影响到公司的所有计算机设备。 文件服务器性能较低，安全性较差。使用普通的PC机充当服务器来使用根本无法满足多用户共享文件的需求，普通PC的硬盘，总线瓶颈等问题导致文件访问效率低，文件访问等待延时增大，客户机处于等待状态，延时增大，给业务处理带来很多的不便。同时，普通的PC 无raid或数据冗余手段保护，一旦硬盘故障或遭受病毒，数据将丢失，造成损失 无专用的视讯会议传输通道，polycom视讯会议系统对网络的拥塞（延时）等很敏感，要求实时性很强。目前视频会议系统同业务系统和合在一起，无专用规划，再加上网络出口路由器效率较低，无法实现高实时，高清的等视频会议的要求。再次，无专用的VPN通道保护专有数据，无QOS为视频会议保证专有的带宽，造成语音，视频无法安全可靠的传输。 无网络结构层次划分，安全可靠性较差。目前网络为“糖葫芦型”穿起来，一旦任意环节故障，将导致网络不可用。应按照标准网络结构分，扁平化组网要求来重新规划网络结构。 无专业数据备份软件，无数据操作权限划分，这些都将可能导致数据的不可用或数据的滥用，存在商业数据丢失和外泄的风险。 二、解决方案及效果 改造后的网络拓扑结构如下： 改造后的网络结构特点如下： 1、按照安全性，可靠性，可扩展性等原则，将成都分院网络划分为untrust区域、trust区域、DMZ安全区域，将不同安全等级的的用户置于不同的安全区域，提高安全性，符合安全等级保护原则要求。本次网络规划主要使用一台防火墙来替换原网络出口soho级出口路由器，防火墙除可完成传统路由器的功能外还可实现内外网安全隔离、安全区域划分、VPN、QOS、NAT、灵活的ACL、路由等功能，尤其是会话安全检测功能和高效的NAT，不但可以有效阻止外网的攻击入侵，还可以提供高效的NAT，提高出口访问速率； 2、按照网络的高可用性可靠性等原则，尽量扁平化原则，网络划分为汇聚层和接入层。汇聚层主要由一台L3交换机组成，负责内部网络数据的交换和（内部网关），外部数据的转发等功能，接入层由原有的S5000 L2层交换机组成，主要完成内网用户的接入及Vlan隔离（广播隔离）等功能。 3、内部用户权限使用windows AD域认证完成，通过域来区分不同用户（或项目组）的权限，提高数据的安全性； 4、针对目前文件共享服务器存在瓶颈的问题，本次规划使用专业的硬件服务器，通过raid+多硬盘的形式提高文件读写速率，解决文件共享客户端“假死”问题。后期随着用户的增加和文件访问量的增大，可考虑使用服务器+iSCSI/FC SAN 的形式，将数据存储在专用存储设备上，或者也可以考虑专用NAS设备。 5、由于文件服务器上存储CAD等重要图纸文件信息，数据较为重要，可考虑使用专业备份软件定期备份关键数据，本次方案考虑到成都分院的数据特点可考虑使用完全备份+增量备份的方式，该备份方式最大化数据可用，同时本分数据量较小，节约存储空间。 6、针对视频会议传输问题，本方案考虑使用VPN组建虚拟私有网来同北京总部进行视频，语音数据交换，该VPN在防火墙上完成设置，同时可灵活自动根据QOS（quality of service,服务质量）规则调整所需带宽，解决目前视频会议传输不佳的问题。 三、方案产品 名称 主要配置 数量 服务器 双路4核CPU，8GB内存，4*千兆以太网卡，9*500G SAS 3.5寸，支持raid 0,1,5,10等raid卡，支持writeback. 1台 交换机 L3，24端口全千兆 1套 备份软件 支持灵活的备份方式 1套 其他辅材 跳线，标签等 1套 Building industry opens up new world of entre