网络升级方案
现有网络分析
1、主要网络设备
采用五类非屏蔽双胶线串连各主要设备,现有主要网络设备5台(HiPER 4240G 网关1台,H3c S1026T 交换机2台,H3c S1016R 交换机2台)。其中HiPER网关只开启LAN1,采用百兆双胶线把LAN1和四台H3c傻瓜交换机进行串连,而这四台交换机最大的缺陷就是不能分割广播域,所以在整个网络环境中,当局域网内同时出现多个广播,就会造成传输线路拥塞,引发广播风暴,大大降低传输速率。严重时还会导致网络瘫痪。
2、网络结构
采用100M非屏蔽双胶线作为主干线路,在可见线路中并无强电并行,也没有较大功率设备干扰。不足之处是由于在布线时,仅有一根主线,并无备用线路,当线路出现老化或不确定故障时,不能启用紧急线路进行网络恢复。同时,在公司增加人员后,后续也会有相应IT设备增加,没有多余线路进行传输负载。
3、ISP带宽
公司现有带宽18M。电信ADSL 4M两门,联通10M光纤一门。
设计原则及升级需求分析
1、核心交换机的选择
A、可管理性:网络建设的一项重要内容,网络的建设必须保证网络运行的可管理性。
通过系统内置或基于Web的管理程序快速实现优秀的性能、支持IEEE802.1Q VLAN、支持MAC Based VLAN(根据公司现有网络结构)、Protocol Based VLAN、Voice VLAN等、支持IEEE802.1d标准的SpanningTree、支持至少4组RMON(统计、历史、事件、报警)、支持SNMP、Telnet、Web等管理方式。完全满足公司主干负载,帮助管理人员监测网络,平衡服务器或音视频数据流量负载,大大提高网络的运行效率,并可迅速简便地进行网络故障的诊断。启用ACL规则实现上网行为管理。
B、可伸缩性:网络建设是一项持续性的系统工程项目,坚持网络建设规模的可伸缩性原则,将使得网络的建设费用降低,避免不必要的浪费,也体现了网络建设的灵活性。
C、安全性:从交换机来说,首选需要保证交换机端口的安全。为了防止公司内部员工在未经许可的情况下,任意使用交换或集线器等设备将一个上网端口增加到多个,导致这个网络接口对应的交换机接口流量增加,从而导致网络性能的下降。所以,必须把端口、终端MAC、IP进行绑定,未经许可的终端不能进行上网行为。并能有效防止不明攻击。
2、费用预算
A、
3、在公司即将启用的OA系统和视频会议系统服务器置于传真室,直接与HiPER网关相连。
4、根据现有人员和将来的增员计划,把公司现有两门
电信ADSL4M 网络进行升级。
增加总带宽到20M及上光纤。如果在以后的建设中,需要开启VPN虚拟通道时,异地数据传输也可达到显著效果。
方案设计
增加智能设备
1、根据现有网络情况,实行升级而不改变结构。采用TPlink TL-SG3424或具备MAC Based VLAN、支持端口汇聚和多种生成树协议等功能、或工作在第三层的网管式交换机,做为核心交换机,串连于HIPER网关,其余各部门终端设备与组内交换机相连,组内交换机接入核心交换机。
2、利用交换机MAC Based VlAN功能,并可以通过MAC地址,以部门为单位,把终端划分到各自VLAN中。保证数据安全,同时也缩小广播域范围,有效抑制广播风暴给线路造成的拥塞。
3、通过交换机,配置基于VLAN的ACL规则,在工作时间内,对网内终端上网行为进行控制,有效防止病毒感染。通过ACL可以网络流量、提高网络性能。通过ACL可以把公司重要的数据包,提升其优先级进行传输。
提升总带宽
1、通过联系电信和联通两家运营商。电信会在一个月左右铺设好光纤资源,具体费用问题还没需要等工作人员给我电话回复,把价格和带宽等详情咨询清楚。再作汇报、申请。
所需设备及参数
1.核心交换机(TPLINK SG3424千兆交换机)(3000元左右)
全千兆接入
提供24个10/100/1000M自适应RJ45端口,所有端口均具备线速转发能力;提供4个千兆SFP(mini GBIC)光纤模块扩展插槽,支持千兆、百兆光纤模块,充分保护用户投资,方便用户灵活组网。
安全防护体系
支持Port/MAC/IP/VLAN ID四元智能扫描绑定,迅速定位用户信息,操作简单,简化网络管理;结合ARP攻击防护功能,彻底解决内网ARP欺骗与攻击;支持端口安全,可端口MAC地址学习数目,有效防御MAC地址攻击;支持DoS攻击防护、蠕虫病毒防护功能,有效保证网络安全。
VLAN功能
支持IEEE 802.1Q VLAN、Port Based VLAN、MAC Based VLAN、Protocol Based VLAN、Voice VLAN等丰富的VLAN功能,满足不同用户的需求,使组网更加便捷、高效与安全;支持GARP和GVRP,使局域网VLAN配置更加快捷方便。
丰富的QoS策略
支持基于端口、IEEE802.1p以及DSCP三种优先级模式,支持Equ、SP(Strict priority)、WRR(Weighted Round Robin)、SP+WRR四种队列调度算法,保障关键业务数据优先处理;支持流量控制功能,能合理分配带宽;支持语音VLAN,保证通话质量。
多层次的访问控制策略
强大的硬件ACL能力,支持L2~L4数据流分类;支持基于端口、VLAN的ACL,轻松实现网络监控、流量监管、优先级重标记以及数据转发控制;支持基于时间段的ACL控制,方便实现对时间精确控制访问需求;支持基于端口和基于MAC的802.1x认证,轻松设定用户访问权限。
高可靠性设计
支持传统的STP/RSTP/MSTP二层链路保护技术,极大提高链路的容错、冗余备份能力,保证网络的稳定运行;提供手工汇聚、静态LACP、动态LACP三种汇聚模式,有效增加链路带宽,提高链路可靠性,同时实现负载均衡、链路备份;支持组播管理,通过IGMP Snooping技术,有效抑制组播泛滥造成的网络拥堵。
安全的网络管理和维护
支持CLI命令行(Console,Telnet,SSHV1/V2 ),Web网管(http、SSL V2/V3/TLSV1),SNMP (V1/V2c/V3)等多种管理方式,快速便捷实现网络管理;支持用户分级、身份过滤等功能,增强配置安全性;支持端口数据监控,实时监控网络状态,轻松实现全局网络统一管理,方便灵活。
华为 Quidway S3328TP-SI(AC)(3500左右)
| 华为 Quidway S3328TP-SI(AC) 功能特性 | |
| 网络标准: | IEEE 802.3,IEEE 802.3u,IEEE 802.3ab,IEEE 802.3z,IEEE 802.3x,IEEE 802.1Q,IEEE 802.1d,IEEE 802.1X纠错 |
| VLAN: | 支持4K个VLAN支持Guest VLAN、Voice VLAN、Super VLAN支持基于MAC/协议/IP子网的VLAN支持基本、灵活QinQ功能 支持1:1和N:1 VLAN交换功能纠错 |
| QOS: | 支持对端口接收和发送报文的速率进行 支持报文重定向 支持基于端口的流量监管,支持双速三色CAR功能 每端口支持8个优先级队列 支持WRR、DRR、SP、WRRSP、DRR+SP等队列调度算法 支持WRED(仅S33HI支持) 支持报文的802.1p和DSCP优先级重新标记 支持L2(Layer 2)-L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN的非法帧过滤功能 支持基于队列限速和端口Shaping功能纠错 |
| 组播管理: | 支持1K的组播组 支持IGMP v1/v2/v3 Snooping和快速离开机制 支持组播VLAN和跨VLAN组播复制 支持捆绑端口的组播负载分担 基于可控组播 基于端口的组播流量统计IGMP v1/v2/v3、PIM-SM、PIM-DM纠错 |
| 网络管理: | 支持智能堆叠 支持MAC地址强制转发 支持自动配置(auto-config)、集群管理HGMP支持Telnet远程配置、维护 支持自动配置功能 支持虚拟电缆检测 支持以太网OAM支持断电告警Dying gasp功能 支持端口镜像和RSPAN(远程端口镜像) 支持SNMPv1/v2/v3支持RMON支持MUX VLAN特性 支持GVRP协议 支持网管系统、支持WEB管理特性 支持SSH V2支持HTTPS(仅S33HI支持) 支持802.3az能效以太网EEE(仅S33HI支持) 支持系统日志、分级告警纠错 |
| 安全管理: | 用户分级管理和口令保护 支持防止DOS、ARP防攻击、ICMP防攻击功能 支持IP、MAC、端口、VLAN的组合绑定 支持端口隔离、端口安全、Sticky MAC支持MAC地址学习数目 支持IEEE 802.1X认证,支持单端口最大用户数 支持AAA认证,支持Radius、HWTACACS+、NAC等多种方式 支持SSH V2.0支持CPU保护功能 支持黑名单和白名单 |
2.普通网络测线仪(50元左右)
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
