XX项目网络实施方案.doc

XX项目实施方案 XX网络系统实施方案 XX网络目前拓扑图下：  如上图示，港区内已经形成一个百兆骨干的网络结构，核心交换机4006配置三层路由引擎，并划分了2个VLAN，其中一个为港区内的控制系统服务器及终端设备，使用网段/16，并直接连接在4006交换机上；主楼各楼层及港区内其他个业务单位则组成了多个不同的小的局域网系统，并使用3COM或Cisco交换机设备，楼层交换机通过双绞线，港区内其他交换机通过光电转换器设备由区内的光缆分别连接在主楼机房中的两台Cisco2950交换机上，该两台2950交换机经百兆连接后，由其中一台连接到了核心4006交换机上，同时该2950交换机还通过一台Proxy服务器设备并经过Cisco2600路由器后以2Mbps带宽连接到了Internet。 通过上述描述分析，目前网络还存在一定的问题，简单说明如下： 全网400多台服务器和个人终端设备，数量较多，但目前只划分了两个VLAN，即控制系统少量服务器、个人电脑系统的VLAN和其他所有设备所在的另外一个VLAN，因此网络中存在大量的广播，严重影响网络的服务质量 目前网络的骨干核心设备为直接连接4006交换机的2950交换机设备而非4006设备，2950交换机的吞吐能力较弱，不适合今后的发展 使用软方式的Proxy服务器设备完成内、外网的沟通工作，由于Proxy的稳定性和性能均有较大的限制，因此一定程度上影响了对外网的访问 网络中没有使用防火墙设备、IDS设备、漏洞扫描设备、防病毒系统、网络管理系统等多种提高网络运行质量的手段 据此，公司根据目前采购的设备来完成下述的网络实施方案，拓扑图如下： 首先在4006交换机上增加两块接口板，即6口千兆模块和24口10/100/1000M双绞线模块，其中6口千兆模块配置了4块多模光纤卡和2块双绞线千兆卡来增加设备的接口容量。 如上图，调整4006为整个网络的核心骨干设备，将原连接在4006交换机上的控制部门的连接重新连接在2950交换机上，并将4006同该2950利用双绞线连接起来；将港区内各单位局域网交换机连接线直接连接在4006交换机上，并在4006交换机上根据端口进行Vlan划分，如Vlan a、Vlan b等；取消Proxy服务器设备，并使用天融信公司的防火墙设备完成内外网的连接，并将本项目新增加的WWW等服务器设备安装在防火墙的DMZ区。对于那些港的外派机构的局域网中设备，由于天融信防火墙设备具备VPN功能，因此在外派机构的电脑中安装由天融信公司提供的VPN客户端软件后通过Internet完成对港区内网的远程访问功能。 在项目实施中还需要在4006交换机上完成一些内网用户访问Internet的控制策略，如允许或禁止内网特定MAC地址设备对Internet的访问，对特定网站特定用户的访问权限的设定（a用户允许访问A网站，禁止访问B网站；b用户允许访问C网站，禁止访问D网站）等。 目前已经完成了从市区大厦至港的通信链路的改造工作，两地已经由原来的微波系统改造为裸光纤的连接方式，链路带宽为100M。 防火墙配置策略（部分，实施中根据情况添加或减少）： 策略 目的 内口地址 外口地址 DMZ口地址 内口静态路由指向4006地址: 外口静态路由指向2600路由器地址： 内口策略： 允许DMZ区对数据库的访问 禁止任何Internet对内网的访问 允许外部VPN用户对内网的访问 DMZ口策略 Internet对DMZ区WWW访问 Internet对DMZ区E－Mail访问 Internet对DMZ区FTP访问 可能的Trace服务器对Internet（铁道部）VPN访问 外口策略： 禁止源地址为/16的地址段对DMZ及内网的访问 4006交换机端口使用表格 VLAN ID 4006端口 连接设备名称 VLAN划分及端口使用表： VLAN ID 4006端口 单位名称 网段 网关地址 3 5/1 2600路由器的端口及路由策略 端口地址 路由策略： 实施步骤： 在非工作时间或网络闲时进行4006网络模块的增加工作，以防止影响网络的运行，模块增加后确认交换机正确识别模块并运行正常 梳理目前机房内的连接线，并进行线缆标识工作，以方便今后线缆连接调整 在离线状态下根据预先设定的规则，对防火墙设备进行配置，包括各端口IP地址、策略等 预先设定港区内VLAN、IP网段的划分原则，各单位交换机设备的IP地址、口令等原则 由于VLAN的调整，需要对原各港区内单位的IP地址进行全部调整，因此需要在中心4006相应的端口连接、配置完成后立刻对该VLAN下的所有电脑设备的相应配置进行更改 ，完成各电脑使用的资料汇总工作（包