中國檢驗認證網(wǎng)絡(luò)優(yōu)化方案

/中國檢驗認證集團廣東有限公司網(wǎng)絡(luò)整改方案目錄TOC\o"1-3"\h\u17581一、概述 3271881、用戶背景 360412、網(wǎng)絡(luò)現(xiàn)狀 382352.1網(wǎng)絡(luò)拓撲 3215422.2網(wǎng)絡(luò)中存在的安全隱患 339173、需求分析 3225254、實現(xiàn)目標 420784二、網(wǎng)絡(luò)優(yōu)化方案 4263041、網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃 4291221.1網(wǎng)絡(luò)拓撲 4164081.2結(jié)構(gòu)分析 420406三、設(shè)備命名及地址規(guī)劃 458671、設(shè)備命名 4279872、VLAN及IP地址的規(guī)劃 4316062.1VLAN規(guī)劃 473372.2IP地址規(guī)劃 45934四、設(shè)備選型 5概述用戶背景中國檢驗認證集團（CCIC）是中國第一家從事商品檢驗鑒定和認證業(yè)務(wù)的獨立第三方機構(gòu)，在全球擁有約300家機構(gòu)、200家合作實驗室，員工逾16，000人，運營網(wǎng)絡(luò)覆蓋20余個國家和地區(qū)。中國檢驗認證集團廣東有限公司是其下核心子公司。

作為以“檢驗、鑒定、認證、測試”為主業(yè)的獨立第三方檢驗認證機構(gòu)，中國檢驗認證集團（CCIC）在“質(zhì)量、安全、健康、環(huán)保”領(lǐng)域，為全球客戶提供“一站式”綜合解決方案。網(wǎng)絡(luò)現(xiàn)狀公司現(xiàn)在大概400用戶左右，在外網(wǎng)只有一臺深信服的AC充當著上網(wǎng)行為管理、防火墻以及DHCP服務(wù)器的多重身份，嚴重影響AC性能；整網(wǎng)業(yè)務(wù)量非常的大，但是只有一臺核心交換機，非常容易形成單點故障，造成正往癱瘓。交換機使用時間比較長，有幾臺設(shè)備達到10年以上，容易出現(xiàn)硬件故障；另外，整網(wǎng)基于IP對用戶進行控制，并且整網(wǎng)的IP是通過自動獲取，所以非常的難對用戶進行管理。出現(xiàn)廣播風(fēng)暴等各種攻擊無法有效的防護以及排查。2.1網(wǎng)絡(luò)拓撲2.2網(wǎng)絡(luò)中存在的安全隱患1）基于可靠性方面的隱患整個公司網(wǎng)絡(luò)拓撲結(jié)構(gòu)均是單線路連接，網(wǎng)絡(luò)的容錯能力較差，網(wǎng)絡(luò)數(shù)據(jù)交換比較大，核心層沒有冗余的設(shè)計，非常容易形成單點故障，網(wǎng)絡(luò)癱瘓的可能性極高。2）基于安全性方面的隱患整個公司只有一臺上網(wǎng)行為管理在出口，不能很好的做到安全防護。極容易受到攻擊、或信息泄密。造成不必要的損失。3）基于設(shè)備硬件的隱患通過調(diào)查，網(wǎng)中運行設(shè)備均使用年限比較長，容易出現(xiàn)各種沒法排查的問題。這將為網(wǎng)絡(luò)維護人員工作帶來非常大的負擔(dān)；故障處理延遲將會非常長，極不利于公司運營。4）基于網(wǎng)絡(luò)架構(gòu)而言公司網(wǎng)絡(luò)拓撲在設(shè)計上，不太合理，網(wǎng)絡(luò)廣播域太大。不能很好的做到廣播隔離。一旦某臺設(shè)備出現(xiàn)廣播風(fēng)暴，易導(dǎo)致整網(wǎng)癱瘓。5）基于網(wǎng)絡(luò)管理而言整網(wǎng)基于IP對用戶進行管理，大大加大了網(wǎng)絡(luò)維護人員的負擔(dān)，維護難度大，管理需要大量的時間、大量的人力，并且只是治標不治本，需要從根本上解決網(wǎng)絡(luò)管理的問題。需求分析通過與梁工的交流，網(wǎng)絡(luò)整改需求大概分為一下幾個方面：1）內(nèi)網(wǎng)管理能很好的對內(nèi)網(wǎng)用戶進行分組、分配權(quán)限?？刂撇煌块T之間的訪問權(quán)限。并且需要基于用戶管理。接入網(wǎng)管理接入用戶的訪問級別、權(quán)限、工作性質(zhì)的不同，因此要求網(wǎng)絡(luò)系統(tǒng)支持對網(wǎng)絡(luò)用戶進行認證。并且能方便、快捷對接入的用戶進行管理和控制。出現(xiàn)問題后，能迅速得定位到每一個用戶。外網(wǎng)管理能很好的控制用戶上網(wǎng)權(quán)限，以及應(yīng)用發(fā)布。并且能實現(xiàn)對各部門上網(wǎng)流量的統(tǒng)計。實現(xiàn)目標穩(wěn)定性穩(wěn)定性是一個產(chǎn)品的基本要素，作為本產(chǎn)品開發(fā)首要考慮的問題。網(wǎng)絡(luò)設(shè)計時充分考慮用戶運行環(huán)境的復(fù)雜性、用戶計算機水平參差不齊等。先進性在網(wǎng)絡(luò)的設(shè)計階段，我們采用了先進的技術(shù)，使網(wǎng)絡(luò)及主機系統(tǒng)不僅能滿足現(xiàn)有需求，還要符合未來的發(fā)展方向；在系統(tǒng)的實施過程中采用先進的項目管理、工程管理、科學(xué)的計劃和實施辦法。安全性系統(tǒng)具有很強的安全與容錯糾錯機制，防止誤操作引發(fā)的災(zāi)難性的毀損，以保障系統(tǒng)的高可用性，保證服務(wù)的質(zhì)量；保證數(shù)據(jù)不被非法入侵者破壞和盜用，并保證數(shù)據(jù)的一致性?？蓴U展性／可伸縮性網(wǎng)絡(luò)采用模塊化、組件化設(shè)計原則?？蓪υO(shè)備進行添加模塊。以增加正往擴展性。易操作、易管理良好的用戶操作界面、完備的幫助信息，系統(tǒng)參數(shù)的維護與管理通過操作界面實現(xiàn)。網(wǎng)絡(luò)優(yōu)化方案網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃1.1網(wǎng)絡(luò)規(guī)劃原則采用先進的現(xiàn)代化信息技術(shù)、網(wǎng)絡(luò)技術(shù)和管理技術(shù)，建成先進、實用、安全、可靠的計算機網(wǎng)絡(luò)系統(tǒng)，為辦公自動化、信息共享、數(shù)據(jù)管理等應(yīng)用提供高性能、高可靠性的基礎(chǔ)網(wǎng)絡(luò)環(huán)境和運行平臺，并遵循以下設(shè)計原則：先進性與實用性原則采用先進、成熟、實用的技術(shù)、設(shè)備、材料，改造現(xiàn)有網(wǎng)絡(luò)平臺，同時在滿足當前需求的前提下，具有良好的開放性和發(fā)展?jié)摿?，以適應(yīng)未來通信業(yè)務(wù)發(fā)展和技術(shù)升級的需要。安全性與可靠性原則為保證檢驗認證各項業(yè)務(wù)的安全、可靠應(yīng)用，網(wǎng)絡(luò)設(shè)計必須具有高可靠性，決不能出現(xiàn)單點故障或者因為末端的故障導(dǎo)致整個系統(tǒng)崩潰。經(jīng)濟性與投資保護原則在保證網(wǎng)絡(luò)系統(tǒng)的先進性和高可靠性的同時，應(yīng)能以較高的性能/價格比構(gòu)建該項目，使資金的產(chǎn)出/投入比達到最大值；建成后應(yīng)能以較低的成本、較少的人員投入維持系統(tǒng)正常運轉(zhuǎn)，保證系統(tǒng)的高效能與高效益；同時在系統(tǒng)設(shè)計時應(yīng)充分考慮以往在資金與技術(shù)方面的投入，盡可能保留并利用其既有的網(wǎng)絡(luò)及安全系統(tǒng)設(shè)備。靈活性與可擴展性原則項目設(shè)計必須具有良好的靈活性與可擴展性，能夠根據(jù)業(yè)務(wù)不斷深入發(fā)展的需要，提供擴大設(shè)備容量、增加用戶數(shù)量、提高服務(wù)質(zhì)量的功能，具備支持多種網(wǎng)絡(luò)傳輸協(xié)議、多種物理接口的能力，提供技術(shù)升級、設(shè)備更新的靈活性。接入層和核心層交換機均能夠支持通過增加板卡或進行堆疊提高端口密度。在擴容過程中對已經(jīng)接入網(wǎng)中的用戶不應(yīng)產(chǎn)生影響，且當匯聚層或核心層交換機進行軟件升級時不應(yīng)影響用戶的工作。標準化與規(guī)范化原則項目的整體設(shè)計要求基于國際標準和國家頒布的有關(guān)標準，堅持統(tǒng)一、標準、規(guī)范的原則，為未來業(yè)務(wù)發(fā)展及設(shè)備平滑增容奠定良好的基礎(chǔ)?？晒芾硇耘c易維護性原則隨著信息業(yè)務(wù)的不斷發(fā)展，管理任務(wù)必定會日益繁重，因此項目的設(shè)計必須有良好的可管理性和易維護性。首先，項目所選用的設(shè)備和材料應(yīng)盡可能統(tǒng)一，以有效簡化網(wǎng)絡(luò)管理人員的日常維護工作，為整個物理層網(wǎng)絡(luò)的安全、可靠運行提供有力保障。其次，網(wǎng)絡(luò)設(shè)備的網(wǎng)管系統(tǒng)能夠統(tǒng)一管理接入層及核心層的交換機、路由器等網(wǎng)絡(luò)設(shè)備。1.2網(wǎng)絡(luò)拓撲1.3結(jié)構(gòu)分析設(shè)備命名及地址規(guī)劃設(shè)備命名VLAN及IP地址的規(guī)劃2.1VLAN規(guī)劃在大中型局域網(wǎng)絡(luò)組建中，VLAN技術(shù)是不可缺少的關(guān)鍵技術(shù)，科學(xué)的VLAN設(shè)計可以為局域網(wǎng)絡(luò)帶來一系列的優(yōu)點：在同一個物理網(wǎng)絡(luò)實現(xiàn)第二層工作組劃分，實現(xiàn)不同工作組之間第二層的完全隔離，同時，組員可以處在物理網(wǎng)絡(luò)中的任何位置，不受同一臺設(shè)備限制；隔離廣播，提高效率，避免不相關(guān)的廣播幀在全網(wǎng)擴散，浪費有效帶寬資源；在檢驗認證網(wǎng)絡(luò)系統(tǒng)中，我們建議基于IEEE802.1Q標準實現(xiàn)VLAN，在VLAN設(shè)計中，我們使用VLAN達到