中铁工程设计咨询集团有限公司网络改造与信息系统资源管理办法.doc

附件三 中铁工程设计咨询集团有限公司网络改造方案 北京华泰天安信息科技有限公司 IT服务事业部 目 录 现状描述………………………………………………3 需求分析………………………………………………3 改造方案设计…………………………………………4 方案技术特点…………………………………………11 实施效果………………………………………………13 现状描述 中铁工程设计咨询集团有限公司（以下简称中铁咨询公司）北京地区目前的网络共有2个分部，其中1个位于朝阳门，另一个位于木樨地。2个节点之间采用华为262 1路由器实现互联。另外公司财务专网连接位于华为262 1的Ethernet接口下。 朝阳门核心机房采用CiscO4006交换机作为核心交换机，有多台Cisc03550交换机级联到该核心交换机，为用户提供接入。 公司整体的Internet接入位于朝阳门核心机房，采用的为网通10M光纤接入模式，使用一台cisco 2600路由器实现此功能。 考虑到安全性，公司的网络配置了一台Cisco PIX 515防火墙及代理服务器，以实现代理访问。 需求分析 中铁咨询公司目前的网络存在以下问题： 2个分部之间的数据网络与财务专网共用一条线路 代理服务器应用效果不佳，对用户访问Internet速度造成一定影响 中铁咨询公司目前已经应用的系统 电子档案系统 梦龙即时通系统 病毒防护系统 Web服务 Mail服务 中铁咨询公司未来准备增加的应用及有必要增加的应用包括： 视频会议系统 移动用户远程VPN接入 环境监控系统 网管系统 勘测设计一体化系统 数据存储应用 用户需求主要分以下几个方面： 1.对网络稳定性的要求：网络运行稳定，可管理、可监控、有日志记录等。 2.对网络安全的要求：保障系统安全，合理部署安全策略，防病毒，防入侵，避免用户不安全的行为等。 3． 对数据安全的要求：数据可存储、可查看、可复制、可恢复。 三、 改造方案设计 综合考虑目前已经实施并使用的网络架构和未来可能部署的应用，我们为用户设计改造方案如下： 网络稳定性： 分部互联：朝阳门核心机房和木樨地机房之间采用2台Cisco4006交换机以三层交换方式互联，替代原有2台Cisc0 2621路由器互联模式。 核心骨干及交换网络：以2台Cisc0 4006交换机为核心，在4006下级部署3550-24或3550-48交换机实现层次化结构，并以部门为单位配置相应的Vlan，将各部门用户划分到对应的Vlan中，可避免病毒扩散和不安全的网络行为。2台4006核心交换机之间启用Ttunk链路保障分部之间的多个部门可以实现互联，Vlan的划分和定义沿用之前的设计。 Internet接入：以Cisc02600路由器作为整体网络的出口，与Internet实现DDN接入，保障用户实现对Internet的访问。同时利用PIX 515防火墙可以实现NAT的功能，对内部网络的用户也起到了一定的保护作用。 地址绑定： 目前以太网已经普遍应用于运营领域，如小区接入、校园网等等。但由于以太网本身的开放性、共享性和弱管理性，采用以太网接入在用户管理和安全管理上必然存在诸多隐患。业界厂商都在寻找相应的解决方案以适应市场需求，绑定是目前普遍宣传和被应用的功能，如常见的端口绑定、MAC绑定、工P绑定、动态绑定、静态绑定等。其根本目的是要实现用户的唯一性确定，从而实现对以太网用户的管理。 从绑定的实现机制上，可以分为AAA（服务器）有关绑定和AAA无关绑定；从绑定的时机上，可以分为静态绑定和动态绑定。 ■ AAA是用户信息数据库，所以AAA有关绑定以用户信息为核心，认证时设备上传绑定的相关属性（端口、VLAN、MAC、IP等），AAA收到后与本地保存的用户信息匹配，匹配成功则允许用户上网，否则拒绝上网请求。 ■ AAA无关绑定完全由接入设备实现。接入设备（如Lanswitch）上没有用户信息，所以A从无关绑定只能以端口为核心，在端口上可以配置本端口可以接入的MAC（或IP）地址列表，只有其MAC地址属于此列表中的计算机才能够从该端口接入网络。 ■静态绑定是在用户接入网络前静态配置绑定的相关信息，用户接入认证时，匹配这些信息，只有匹配成功才奄邑接入， ■动态绑定的相关信息不是静态配置的，而是接入时才动态保存到接入设备上，接入网络后不允许用户再修改这些信息，一旦修改，则强制用户下线。 ■基于防火墙的IP地址与MAC地址绑定： 做好整个局域网终端用户计算机的命名，指定工P地 统计每个终端机器网卡的MAC地址，建立IP地址与MAC地址对应表 将IP地址与MAC地址绑定 如果是通过路由器直接接入互联网，最好通过硬件防火墙来实现IP与MAC地址的绑定。一般的硬件防火墙都具有这个功能，具体操作也非常简单。 ■