网络设计方案.doc

XXX网络改造方案
项目概述
项目建设目标
根据网络的需求,将网络建设的目标:
改造后网络应具有高吞吐能力,满足大容量数据高速交换的需求。
配备高速的外网接入设备,以实现因特网的高效、安全接入。
网络系统整体架构
信息系统的网络采用二级架构,分为核心层、接入层。核心层处于网络的中心,负责全外网的数据交换;接入层负责大楼与核心层的连接和负责直接接入桌面系统。
网络应用分析
业务划分
局内的业务系统有很多,有以下一些业务系统:
OA办公系统。
监控系统。
对外服务系统。
连接互联网系统。
XXX网络H3C网络技术建议方案
在改造项目方案设计中,要充分考虑网络的高性能,高安全、高可靠设计。
通过对于客户需求的分析以及客户要求,我们采用原网络架构即二层到桌面的网络架构,直接采用二层交换部署到桌面的接入方式,形成的平果县财政局外网网络平台。
根据网络的实际要求及现状,方案本着标准性、实用性、稳定性的建设原则,针对外网应用主要体现安全与带宽使用方面,在网络出口配以防毒墙,防火墙,行为管理于一体的网络安全设备可以灵活控制网络带宽,可防止因病毒泛滥,BT、2P等软件应用导致的网络瘫痪,能有效禁止上班时间内的QQ,炒股等有影响工作的软件应用,简单易操作的管理界面可方便控制用户网络使用行为。
网络拓扑结构
核心交换:采用H3C S5500-28C-SI为业务系统核心,其强大的数据转发能力能达到全网用户高速上网的需求。
网络出口路由器:H3C ER6300全千兆多WAN接入路由器作外网出口,其稳定、丰富的软件特性可对上网数据快速处理,实现高速上网。
网络出口防火墙:在路由出口与外部网络之间布署H3C SecPath U200-CA ,其集防火墙,防病毒,防攻击,用户行为防范于一体,可以有效限制迅雷、Bt、电驴等P2P 软件,合理分布带宽,更可根据相关协议有效禁止QQ,炒股等软件应用,内置的卡巴斯基病毒库可防止病毒泛滥,保证网络应用安全。
接入交换:采用H3C S1626二层以太网交换机。其多种丰富的安全功能实现更加安全的接入。
组网方案的特点
采用H3C全系列产品组建的网络具有以下几个特点:
流量控制功能
S1600系列接入交换机支持对出入端口的报文流量进行限速,粒度为64Kbps还支持基于流的流量限速。
广播风暴的抑止
H3C S1600系列接入交换机均所有端口上支持基于带宽百分比的广播风暴抑制。
可以有效的抑止局域网内部的广播风暴,确保网络的安全稳定。
网络安全防范
外网采用UTM U200-CA能有效的防止恶意攻击,病毒泛滥,控制用户上网行为,确保局内外网网络安全。接入层设备采用H3C S1600系列以太网安全交换机,其一系列安全特性,可以有效防御ARP欺骗、DOS攻击及蠕虫攻击,确保局内接入网络安全。
相关设备介绍
H3C SecPath U200-CA
H3C SecPath U200-CA是H3C公司面向中小型企业/分支机构设计的新一代UTM(United Threat Management,统一威胁管理)设备,采用高性能的多核、多线程安全平台,保障全部安全功能开启时不降低性能,产品具有极高的性价比。在提供传统防火墙、VPN功能基础上,同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。
H3C公司的SecPath U200-CA不仅能够全面有效的保证用户网络的安全,还支持SNMP和TR-069网管方式,最大化减少设备运营成本和维护复杂性。
H3C SecPath U200-CA统一威胁管理产品
市场领先的安全防护功能
l 完善的防火墙功能:提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表(ACL)和攻击防范等基本功能,还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、Large 、SYN flood、地址扫描和端口扫描等多种恶意攻击。
l 丰富的VPN特性:支持L2TP VPN、GRE VPN、IPSec VPN等远程安全接入方式,同时设备集成硬件加密引擎实现高性能的VPN处理。
l 实时的病毒防护:采用Kaspersky公司的流引擎查毒技术,从而迅速、准确查杀网络流量中的病毒等恶意代码。
l 实时的垃圾邮件防护:可以拦截垃圾邮件,净化邮件系统,解决垃圾邮件对正常工作的干扰问题。
l 先进的URL过滤:实现基于用户的URL访问控制,防止因浏览恶意或未授权的网站(如网络钓鱼攻击网站)而带来的安全威胁。
l 全面的流量管理:能精确检测BitTorrent、Thunder(迅雷)、QQ等P2P/IM应用,提供告警、限速、干