中國檢驗認(rèn)證集團(tuán)分公司網(wǎng)絡(luò)優(yōu)化方案

1、 中國檢驗認(rèn)證集團(tuán)廣東有限公司 網(wǎng)絡(luò)整改方案 目 錄一、 概述31、 用戶背景32、 網(wǎng)絡(luò)現(xiàn)狀32.1網(wǎng)絡(luò)拓?fù)?2.2網(wǎng)絡(luò)中存在的安全隱患33、 需求分析34、 實現(xiàn)目標(biāo)4二、 網(wǎng)絡(luò)優(yōu)化方案41、 網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃41.1 網(wǎng)絡(luò)拓?fù)?1.2 結(jié)構(gòu)分析4三、 設(shè)備命名及地址規(guī)劃41、 設(shè)備命名42、 vlan及ip地址的規(guī)劃42.1 vlan規(guī)劃42.2 ip地址規(guī)劃4四、設(shè)備選型51、 概述1、 用戶背景 中國檢驗認(rèn)證集團(tuán)（ccic）是中國第一家從事商品檢驗鑒定和認(rèn)證業(yè)務(wù)的獨立第三方機(jī)構(gòu)，在全球擁有約300家機(jī)構(gòu)、200家合作實驗室，員工逾16，000人，運(yùn)營網(wǎng)絡(luò)覆蓋20余個國家和地區(qū)。中國檢驗認(rèn)

2、證集團(tuán)廣東有限公司是其下核心子公司。作為以“檢驗、鑒定、認(rèn)證、測試”為主業(yè)的獨立第三方檢驗認(rèn)證機(jī)構(gòu)，中國檢驗認(rèn)證集團(tuán)（ccic）在“質(zhì)量、安全、健康、環(huán)保”領(lǐng)域，為全球客戶提供“一站式”綜合解決方案。 2、 網(wǎng)絡(luò)現(xiàn)狀 公司現(xiàn)在大概400用戶左右，在外網(wǎng)只有一臺深信服的ac充當(dāng)著上網(wǎng)行為管理、防火墻以及dhcp服務(wù)器的多重身份，嚴(yán)重影響ac性能；整網(wǎng)業(yè)務(wù)量非常的大，但是只有一臺核心交換機(jī)，非常容易形成單點故障，造成正往癱瘓。交換機(jī)使用時間比較長，有幾臺設(shè)備達(dá)到10年以上，容易出現(xiàn)硬件故障；另外，整網(wǎng)基于ip對用戶進(jìn)行控制，并且整網(wǎng)的ip是通過自動獲取，所以非常的難對用戶進(jìn)行管理。出現(xiàn)廣播風(fēng)暴等各

3、種攻擊無法有效的防護(hù)以及排查。2.1網(wǎng)絡(luò)拓?fù)?.2網(wǎng)絡(luò)中存在的安全隱患1）基于可靠性方面的隱患 整個公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)均是單線路連接，網(wǎng)絡(luò)的容錯能力較差，網(wǎng)絡(luò)數(shù)據(jù)交換比較大，核心層沒有冗余的設(shè)計，非常容易形成單點故障，網(wǎng)絡(luò)癱瘓的可能性極高。2）基于安全性方面的隱患 整個公司只有一臺上網(wǎng)行為管理在出口，不能很好的做到安全防護(hù)。極容易受到攻擊、或信息泄密。造成不必要的損失。3）基于設(shè)備硬件的隱患 通過調(diào)查，網(wǎng)中運(yùn)行設(shè)備均使用年限比較長，容易出現(xiàn)各種沒法排查的問題。這將為網(wǎng)絡(luò)維護(hù)人員工作帶來非常大的負(fù)擔(dān)；故障處理延遲將會非常長，極不利于公司運(yùn)營。4）基于網(wǎng)絡(luò)架構(gòu)而言 公司網(wǎng)絡(luò)拓?fù)湓谠O(shè)計上，不太合理，網(wǎng)

4、絡(luò)廣播域太大。不能很好的做到廣播隔離。一旦某臺設(shè)備出現(xiàn)廣播風(fēng)暴，易導(dǎo)致整網(wǎng)癱瘓。5）基于網(wǎng)絡(luò)管理而言 整網(wǎng)基于ip對用戶進(jìn)行管理，大大加大了網(wǎng)絡(luò)維護(hù)人員的負(fù)擔(dān)，維護(hù)難度大，管理需要大量的時間、大量的人力，并且只是治標(biāo)不治本，需要從根本上解決網(wǎng)絡(luò)管理的問題 。3、 需求分析通過與梁工的交流，網(wǎng)絡(luò)整改需求大概分為一下幾個方面：1）內(nèi)網(wǎng)管理能很好的對內(nèi)網(wǎng)用戶進(jìn)行分組、分配權(quán)限?？刂撇煌块T之間的訪問權(quán)限。并且需要基于用戶管理。2） 接入網(wǎng)管理 接入用戶的訪問級別、權(quán)限、工作性質(zhì)的不同，因此要求網(wǎng)絡(luò)系統(tǒng)支持對網(wǎng)絡(luò)用戶進(jìn)行認(rèn)證。并且能方便、快捷對接入的用戶進(jìn)行管理和控制。出現(xiàn)問題后，能迅速得定位到每一個

5、用戶。3） 外網(wǎng)管理 能很好的控制用戶上網(wǎng)權(quán)限，以及應(yīng)用發(fā)布。并且能實現(xiàn)對各部門上網(wǎng)流量的統(tǒng)計。4、 實現(xiàn)目標(biāo)1) 穩(wěn)定性穩(wěn)定性是一個產(chǎn)品的基本要素，作為本產(chǎn)品開發(fā)首要考慮的問題。網(wǎng)絡(luò)設(shè)計時充分考慮用戶運(yùn)行環(huán)境的復(fù)雜性、用戶計算機(jī)水平參差不齊等。 2) 先進(jìn)性在網(wǎng)絡(luò)的設(shè)計階段，我們采用了先進(jìn)的技術(shù)，使網(wǎng)絡(luò)及主機(jī)系統(tǒng)不僅能滿足現(xiàn)有需求，還要符合未來的發(fā)展方向；在系統(tǒng)的實施過程中采用先進(jìn)的項目管理、工程管理、科學(xué)的計劃和實施辦法。3) 安全性系統(tǒng)具有很強(qiáng)的安全與容錯糾錯機(jī)制，防止誤操作引發(fā)的災(zāi)難性的毀損，以保障系統(tǒng)的高可用性，保證服務(wù)的質(zhì)量；保證數(shù)據(jù)不被非法入侵者破壞和盜用，并保證數(shù)據(jù)的一致性。4

6、) 可擴(kuò)展性可伸縮性網(wǎng)絡(luò)采用模塊化、組件化設(shè)計原則。可對設(shè)備進(jìn)行添加模塊。以增加正往擴(kuò)展性。5) 易操作、易管理良好的用戶操作界面、完備的幫助信息，系統(tǒng)參數(shù)的維護(hù)與管理通過操作界面實現(xiàn)。2、 網(wǎng)絡(luò)優(yōu)化方案1、 網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃1.1 網(wǎng)絡(luò)規(guī)劃原則采用先進(jìn)的現(xiàn)代化信息技術(shù)、網(wǎng)絡(luò)技術(shù)和管理技術(shù)，建成先進(jìn)、實用、安全、可靠的計算機(jī)網(wǎng)絡(luò)系統(tǒng)，為辦公自動化、信息共享、數(shù)據(jù)管理等應(yīng)用提供高性能、高可靠性的基礎(chǔ)網(wǎng)絡(luò)環(huán)境和運(yùn)行平臺，并遵循以下設(shè)計原則：(一) 先進(jìn)性與實用性原則采用先進(jìn)、成熟、實用的技術(shù)、設(shè)備、材料，改造現(xiàn)有網(wǎng)絡(luò)平臺，同時在滿足當(dāng)前需求的前提下，具有良好的開放性和發(fā)展?jié)摿?，以適應(yīng)未來通信業(yè)務(wù)發(fā)展和

7、技術(shù)升級的需要。(二) 安全性與可靠性原則 為保證檢驗認(rèn)證各項業(yè)務(wù)的安全、可靠應(yīng)用，網(wǎng)絡(luò)設(shè)計必須具有高可靠性，決不能出現(xiàn)單點故障或者因為末端的故障導(dǎo)致整個系統(tǒng)崩潰。(三) 經(jīng)濟(jì)性與投資保護(hù)原則在保證網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性和高可靠性的同時，應(yīng)能以較高的性能/價格比構(gòu)建該項目，使資金的產(chǎn)出/投入比達(dá)到最大值；建成后應(yīng)能以較低的成本、較少的人員投入維持系統(tǒng)正常運(yùn)轉(zhuǎn)，保證系統(tǒng)的高效能與高效益；同時在系統(tǒng)設(shè)計時應(yīng)充分考慮以往在資金與技術(shù)方面的投入，盡可能保留并利用其既有的網(wǎng)絡(luò)及安全系統(tǒng)設(shè)備。(四) 靈活性與可擴(kuò)展性原則 項目設(shè)計必須具有良好的靈活性與可擴(kuò)展性，能夠根據(jù)業(yè)務(wù)不斷深入發(fā)展的需要，提供擴(kuò)大設(shè)備容量、

8、增加用戶數(shù)量、提高服務(wù)質(zhì)量的功能，具備支持多種網(wǎng)絡(luò)傳輸協(xié)議、多種物理接口的能力，提供技術(shù)升級、設(shè)備更新的靈活性。接入層和核心層交換機(jī)均能夠支持通過增加板卡或進(jìn)行堆疊提高端口密度。在擴(kuò)容過程中對已經(jīng)接入網(wǎng)中的用戶不應(yīng)產(chǎn)生影響，且當(dāng)匯聚層或核心層交換機(jī)進(jìn)行軟件升級時不應(yīng)影響用戶的工作。(五) 標(biāo)準(zhǔn)化與規(guī)范化原則 項目的整體設(shè)計要求基于國際標(biāo)準(zhǔn)和國家頒布的有關(guān)標(biāo)準(zhǔn)，堅持統(tǒng)一、標(biāo)準(zhǔn)、規(guī)范的原則，為未來業(yè)務(wù)發(fā)展及設(shè)備平滑增容奠定良好的基礎(chǔ)。(六) 可管理性與易維護(hù)性原則隨著信息業(yè)務(wù)的不斷發(fā)展，管理任務(wù)必定會日益繁重，因此項目的設(shè)計必須有良好的可管理性和易維護(hù)性。首先，項目所選用的設(shè)備和材料應(yīng)盡可能統(tǒng)一，

9、以有效簡化網(wǎng)絡(luò)管理人員的日常維護(hù)工作，為整個物理層網(wǎng)絡(luò)的安全、可靠運(yùn)行提供有力保障。其次，網(wǎng)絡(luò)設(shè)備的網(wǎng)管系統(tǒng)能夠統(tǒng)一管理接入層及核心層的交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備。1.2 網(wǎng)絡(luò)拓?fù)?.3 結(jié)構(gòu)分析3、 設(shè)備命名及地址規(guī)劃1、 設(shè)備命名2、 vlan及ip地址的規(guī)劃2.1 vlan規(guī)劃在大中型局域網(wǎng)絡(luò)組建中，vlan技術(shù)是不可缺少的關(guān)鍵技術(shù)，科學(xué)的vlan設(shè)計可以為局域網(wǎng)絡(luò)帶來一系列的優(yōu)點： 在同一個物理網(wǎng)絡(luò)實現(xiàn)第二層工作組劃分，實現(xiàn)不同工作組之間第二層的完全隔離，同時，組員可以處在物理網(wǎng)絡(luò)中的任何位置，不受同一臺設(shè)備限制； 隔離廣播，提高效率，避免不相關(guān)的廣播幀在全網(wǎng)擴(kuò)散，浪費有效帶寬資源；在檢驗認(rèn)證網(wǎng)絡(luò)系統(tǒng)中，我們建議基于ieee 802.1q標(biāo)準(zhǔn)實現(xiàn)vlan，在vlan設(shè)計中，我們使用vlan達(dá)到兩個目的，第一，不同業(yè)務(wù)部門之間的隔離和通信控制；第二，廣播范圍抑制。2.