《中国华西企业有限公司二级分(子)公司网络环境改造规划方案》（v9版.docVIP

中国华西企业有限公司 二级分(子)公司网络环境改造规划方案 一、改造需求分析 中国华西企业有限公司下设10余个二级分(子)公司（含区域公司）及数个项目部，现已基本实现企业信息化建设，但各单位发展程度不一、网络环境均较差，距集团公司管理信息化建设的要求甚远，一旦集团公司规划的九大应用系统全面推开，则远不能符合要求（详见《中国华西在粤各分（子）公司网络环境情况调研报告》。 按集团公司管理信息化建设的要求，中国华西二级分(子)公司业务部门数据、办公系统、即时通等数据上联至公司总部，财务部门数据直接连接至四川集团集团。如图所示： 根据2009年2月份对在粤各单位网络环境的调研情况，拟对各单位的网络环境进行改造。 二、具体要求： 高可用性（可靠性），保障网络的可靠性 核心业务必须运行在高可靠的基础架构之上，在遇到故障中断时，能够快速恢复业务的运行； 安全性，对攻击的防御 安全性遍及网络的方方面面，整个网络具有对威胁的自防御能力，在面临安全威胁时依然能够为业务提供服务,随着网络的发展，交换系统不再仅仅满足网络的互联互通，为网络的使用提出了更高的要求，目前主要提出了防御ARP的攻击、DHCP欺骗攻击。防止IP地址的盗用。接入交换机支持ACL过滤功能，可以最近于客户端进行端口过滤； 多业务服务功能，应用优先级别区分 支持多种业务在一张物理网络中的传输，能够识别不同的业务应用，并为不同业务应用分配不同的处理优先级别，根据不同的优先级设定提供不同的网络服务； 可管理性 针对这样的网络，能够实施方便快捷的网络管理，通过策略的制定，实施具体的网络设备配置，从而实现设备级、网络级和系统级的网络服务管理。要求所有提供的交换设备均支持SNMP协议,可以通过网络管理软件进行统一网管。支持syslog的日志记录功能，可以将交换机的日志记录到日志服务器上，方便日志的分析和存储； 易扩展性，方便快速的部署新业务 网络系统必须能够在部署新业务时通过较为简单方便的设备配置，为新业务实施一致的网络传输、安全和服务质量保证策略，从而能够真正支持方便快速地部署新业务。 本方案用以确保中国华西网络系统建设以后，能够充分满足上述要求，成为一个提供智能化服务的统一信息网络平台，为中国华西今后发展提供可靠的保障，解决目前实际遇到的arp攻击、DHCP欺骗攻击。保证网络的高速畅通。 根据中国华西数据网络的具体需求，网络系统的建设建设应本着高起点，统一全面规划，便于日常维护工作，又要为将来的扩展与新技术的融合打下基础，特提出以下详细设计原则来指导网络的具体设计： 高性能 网络的设计方案不但要保证理论上可行，更重要的是实际上可用。要充分考虑到应用系统的具体情况，最好地满足需求。迅速地处理通信数据，需要网络设备支持高速通信链路，提供高数据吞吐能力。 高可靠性 硬件网络产品的选用需具有很高的可靠性，较高的MTBF（平均无故障时间MeanTimeBetweenFailures）值；全对称各处理器的硬件体系结构，主干交换机能够做到任意一个处理器和网络接口模块出现故障都不会影响其他模块，所有的功能部件(电源、系统总线、处理器模块、网络接口模块等)均可以热插拔和冗余热备份。 安全性 为了保护关键性数据的安全可靠，需要网络能够提供多种方式和层次的访问控制（包括标准访问控制列表和扩展访问控制列表）。网络设备的安全是保护业务数据的基础，金至泰克公司提供的交换机产品具备自身的安全保护（认证，ACL、端口准入，灵活有力的数据包过滤等功能），为通信系统提供高质量的安全保障。 易维护 要保证网络能正常稳定运行，要求网络维护人员可以方便地对网络设备进行远程控制配置；并且网络设备要能够进行热插拔，方便进行日常维护。 适应性强 网络结构复杂，设备多样，同时针对企业的业务特点，连接的方式和种类很多。因此需要在网络设计的初始对所有可能接入的业务做出底层的数据流向分析，而且要考虑如何用成熟的技术来满足具体业务的应用特点，因此需要网络设备支持“标准化”的网络协议，QOS，Traffic管理和多种类型的组网方式以及各种标准的接口类型。 兼容多厂家设备 中国华西网络内可能会出现多个计算机厂家的各种设备。要求网络管理系统在同一个网管平台对不同厂家的计算机设备上能够同样提供完善的管理和服务。 可扩展性和易于建设 随着网络用户应用规模的不断扩大，要求网络能方便地扩充容量，支持更多的用户和应用。随着通信技术的不断发展，网络要能平滑地过渡到新的技术和设备，保护用户现有投资。由于企业内部管理系统和对外业务的不断发展，网络系统必然随之不断扩大。因此，目前的网络设计必须为今后的扩充留有足够的余地，这样才能最好地保护投资。 更为重要的是，应该选择一家主流的设备供应商，不至于在未来的时间内产品线断档和得不到软件、硬件的支持。 除单个设备本身的扩展能力