文档介绍:奎屯高等级公路管理局网络改造规划方案
2008年5月29日
目录
(一)现有网络概况 3
(二)信息平台升级改造需求分析 5
5
6
(三)网络升级总体设计 7
(四)网络改造 8
8
9
10
VPN接入方案 11
(五)内网局域网升级改造 12
12
14
15
推荐配置清单 16
(六)内网广域网络改造 17
广域结构调整 17
核心路由器配置 19
接入路由器配置 19
接入交换机配置 20
(一)现有网络概况
目前奎屯管理处的网络设备包括如下:服务器两台,浪潮服务器和惠普服务器(ML150),交换机设备包括若干台非网管型交换机和若干台观点转换器用以连接下面的收费站和管理所,下面是管理处现有的网络拓扑图:
禾什托洛盖光交换
乌尔禾道班光交换
OA服务器
管理处3楼机房交换机
克拉玛依收费站交换
乌苏管理所路由
高速公路管理所交换
克拉玛依管理所路由
独山子管理所路由
当前奎屯管理处网络拓扑图
中心服务器
管理处1、2、4楼交换
服务中心及家属楼交换
四棵树收费站交换
安集海收费站交换
奎屯收费站交换
乌尔禾收费站交换
奎屯北收费站交换
内部局域网网络是典型的星型网络结构,分为4层楼,每层分布一到两台交换机,然后连接至三楼总机房的核心交换机,核心交换机是一台傻瓜型的交换机。下面的各收费站和管理所通过电信的光纤和ADSL连接到三楼总机房的核心交换机,没有任何安全防范设备以供使用和抵御来自外部和内部的破坏。
信息中心主要提供生产数据服务,包括OA、工作票、生产票等服务资源,目前现有生产服务器包括两部分,OA和邮件系统已进行整合,其它资源在整合中。
这些生产数据和生产用服务器也完***露在网络中,没有硬件级的安全保障。目前数据存储均采用本机存放方式,随着应用的不断开展,服务器资源已经不能完全满足生产的需要。现有的网络硬件环境亦不能满足生产和效率要求和安全需要,因此进行统一资源部署整合和网络硬件设备的升级和换代以成为必然的需求。
改造后的网络架构图如下:
OA服务器
中心服务器
奎屯收费站交换
安集海收费站交换
奎屯北收费站交换
乌尔禾收费站交换
克拉玛依收费站交换
四棵树收费站交换
乌苏管理所路由
独山子管理所路由
克拉玛依管理所路由
高速公路管理所交换
管理处1、2、4楼交换
服务中心及家属楼交换
管理处3楼机房交换机
改造后网络拓扑图
服务中心及家属楼交换
防火墙多WAN口路由器
路由器1
路由器 2
光缆网线
(二)信息平台升级改造需求分析
安全问题,安全为了生产,生产必须安全。现有的网络架构在硬件层面上几乎没有安全可言,一旦遭遇病毒的侵害,必然导致全网络的感染以至于全网瘫痪,在没有防火墙和网络安全设施的环境下,来自外部世界的攻击和非法侵害也是很容易得手的。
资源的整合,现有的网络环境没有考虑到网络资源的整合和资源的共享
等级问题,在一个复杂的网络环境下,等级的划分是很关键的,就像一个社会的等级是一样的关键。
此次管理处网络改造主要实现如下部分:
将原有网络进行改造升级,用电信光纤线路将管理处和各管理所和收费站接入到管理处建立独立的广域网络,原有自建通信线路连接保持不变供生产网络使用。
采用管理处统一的IP地址范围对全奎屯生产和营销网络进行统一地址规划,统一数据资源,建立清晰的网络架构以便于维护和管理。
升级现有网络中心网络架构,升级骨干连接,更换原有网络中心核心交换机,提升网络处理能力。
在生产数据中心服务器资源前增加一台入侵防御系统(IPS)或者防火墙设备,将服务器资源置于安全防护设备之后,确保服务器资源的安全性。
配置VPN安全设备和VPN密钥建立VPN隧道,实现在外移动用户建立安全访问隧道,通过
VPN隧道设备访问内网数据资源。
配置大容量高可用性存储,实现网络中心办公OA、邮件等数据集中存储,并建立备份措施保障数据安全可靠。
对整个营销网络架构、IP地址、服务器资源等进行统一规划整合,建立统一的管理局营销信息平台。
(三)网络升级总体设计
针对以上网络存在的问题,我们考虑采用以下方式对网络进行升级扩展,改善网络架构,提高网络传输和处理性能:
1、将管理处进行内外网改造,建立物理隔离的内外网络构架
根据管理处的现有要求,部署内外网系统,将互联网从现有网络中