网络改造

网络改造方案建议

一、网络升级背景

随着电力通讯网络信息化的开展，通讯网络正从传统的、简单的以数据共享、网

页浏览、电子邮件效劳等数据处理为中心的数据承载网过渡到以多媒体流处理为中心

的多业务应用网络。

电力公司已经完成了骨干网的改造，为数据集中和全县应用系统的稳定运行提供

了良好的网络根底平台，但网络应用环境和办公网的业务处理能力已经不能胜任和满

足现在的业务需求，网络平安也开场日渐考验网络系统。随着数据传输量的增加和应

用系统的快速增多，对网络在总体架构、可靠性、平安性、整体性能等方面都提出了

更高的要求。

因此，从网络设备层解决平安问题，优化办公网络环境，使网络具有易扩展的功

能，并实现网络的统一规划和管理，成为电力公司通讯网络的健全完善以及未来业务

开展的最根本的要求。

二、信息内网现状分析

概况

公司信息内网已割接到综合数据网，使用双光纤专用线路接入H3C6608边界路由器，机房核

心交换机为H3C5800S接至边界路由器，公司现有高清视频会议路由路1台、楼层交换机5台，效

劳器交换机1台分别接入核心交换机H3C5800；各变电站、供电所目前均采用租用电信4M光纤，

通过H3C9303路由器接入公司核心交换机为H3C5800S。

页脚下载后可删除，如有侵权请告知删除！

网络构造拓扑图

承载的业务介绍

目前公司内网承载的主要业务有SG186生产管理系统、营销系统、OA办公系统、高清视视会

议系统、财务管控系统、资金方案系等。

存在及需要解决的问题

〔1〕、综合数据网目前虽然是多光线接入有效的保障了链路通道，但公司核心网络设备均采用

单设备运行，没有任何应急互补措施，一但公司核心设备出现故障，将造成公司内外大面积瘫痪。

〔2〕、公司目前除了几台重要的交换机还有6台普通的交换机，功能就是进展数据转发。无法

登陆交换机查看交换机状态、无法查看网络流量状态、无法根据网络的新需求进展新的配置。

〔3〕、公司所有电脑在分别在三个子网，但三个子网互通，所有的电脑、效劳器、网络设备在

同一个网络内，并且综合数网核心设备我公司无权限进展配置，〔比方IP地址与物理地址邦定〕这

意味着这些设备之间可以任意的互连互通，任意一台电脑感染病毒或受黑客控制的时候，可以直接

影响公司的所有IT设备

〔4〕、应用效劳器缺乏根本保护，效劳器与电脑设备在同一个网络中，意味着电脑可以任意访

问效劳器的所有端口，而不是根据应用效劳的需要去限制只可访问需要的效劳，这样效劳器的任何

一个漏洞都可以被计算机利用来攻击效劳器。

（5）外来电脑可任意接入外来电脑可任意接入外来电脑可任意接入外来电脑可任意接入外来电脑和笔记本可以任意接进公司网络，其电脑上所带的病毒、木马、恶意工具会影响公司其它电脑

页脚下载后可删除，如有侵权请告知删除！

以及效劳器的平安。

、韩国古装剧 信息内网络设备资产统计

序号

1

2

3

4

5

6

7

8

9

设备名称

防火墙

路由器

路由器

路由器

交换机

交换机

交换机

交换机

交换机

设备型号

B6-v6

SP6608

MSR30-20

MSR30-20

S5800

S9303

S2300

S2000S1016

品牌

龙马

H3C

H3C

H3C

H3C

H3C

H3C

H3CDLINK

业务用途

区站下行

内网边界路由

高清视频路由

各区站边界路由

核心交换机

各区会聚

效劳器交换机

效劳器交换机

楼层交换机

投运时间

2021

三、信息外网现状分析

概况

公司信息外网采用租用电信40M光纤接入H3CER5200路由器，H3C2300做会聚分别接入5

台楼层交换机，公司各部们配置专用信息外网PC有线接入，路由器上做IP/MAC邦定。

网络构造拓扑图

承载的业务介绍

目录公司信息外网主要承载的业务有，远程抄表系统、电信天网监控系统、短信平台。

页脚下载后可删除，如有侵权请告知删除！

存在及需要解决的问题

〔1〕公司信息内网共6台楼层交换机，均为普通交换机，功能就是进展数据转发。无法登进

交换机查看交换机状态、无法查看网络流量状态、无法根据网络的新需求进展新的配置。

〔2〕上网行为存在平安因素访问不平安网站，如暴力、黄色、赌博、股票等与业务无关网站，

会导致病毒和木马进入公司内部网站员工上班时间下载电影或是在线看视频资料，会占用极大的

带宽资源，导致业务开展所需要的带宽不够，收发邮件变慢员工上班时间看新闻，军事，足球，

玩网络游戏，炒股票等等会影响到员工的工作效率

〔3〕有电脑在同一个子网所有的电脑、网络设备在同一个网络内，这意味着这些设备之间可

以任意的互连互通，任意一台电脑感染病毒或受黑客控制的时候，可以直接影响公司的所有IT设

备。

信息内网络设备资产统计

序号

1

2

3

四、网络建立目标

根据实际考察和相互交流，本次网络设计的目标为：

（1)尽量保存用户现有网络中的设备，在确保用户正常业务使用的前提下减少用户投资；

（2)企业各计算机等终端设备之间良好的连通性是需要满足的根本条件，网络环境就是提供需要

通信的计算机设备之间互通清心火的中成药 的环境，以实现丰富多彩的网络应用；

（3)许多现有网络在初始建立时不仅要考虑到如何实现数据传输，还要充分考虑网络的冗余与可

靠，否那么一旦运行过程网络发生故障，系统又不能很快恢复工作，所带来的后果便是企业的经济

损失，影响企业的声誉和形象；

（4)在商品竞争日益剧烈的今天，企业对网络的平安性有非常高的要求。在很多企业在局域网和

广域网络中传递的数据都是相当重要的信息，因此一定要保证数据平安保密，防止非法窃听和恶意

破坏，在网络建立的开场就考虑采用严密的网络平安措施；

（5)随着网络规模的日益扩大，网络设备的数据和种类日益增加，网络应用日益多样化，网络管

理也日益重要。良好的网络管理要重视网络管理人力和财力的事先投入，主动控制网络，不仅能够

进展定性管理，而且还能够定量分析网络流量，了解网络安康状况。有预见性地发现网络上的问题，

并将其消灭于萌芽状态，降低网络故障所带来的损失，使网络管理的投入到达事半功倍的效果；

页脚下载后可删除，如有侵权请告知删除！

设备名称

路由器

交换机

交换机

设备型号

ER5200

S2300S1016R

品牌

H3C

H3CDLINK

业务用途

边界路由

楼层会聚

楼层交换机

投运时间

（6)网络建立为未来的开展提供良好的扩展接口是非常理智的选择。随着企业规模的扩大、业务

的增长，网络的扩展和升级是不可防止的问题。思科通过模块化的网络构造设计和模块化的网络产

品，能为用户的网络提供很强的扩展和升级能力；

五、网络改造总体设计

以双核心技术为主要策略的网络通讯系统，在设计中保障了网络及设备的高吞吐能力

和各种信息的高质量传输，实现了网络平滑扩大和升级，而且揉和了其未来技术和业

务的集中开展趋势。

双核心网络改造，是在现有网络根底上，建立一个稳定、平安、可靠的通讯网络，

为电力公司的信息化建立提供一个优秀的网络根底平台。在核心层添加了两台基于十

万兆平台的核心路由交换机，和原有的核心交换机组成双核心网络架构，保证骨干网

的高性能和高稳定。

双核心改造，就是搭建一个平安可靠，稳定成熟的网络根底平台，为通讯信息化、

办公信息化提供效劳。建立共考虑以下几点：万兆网络核心、骨干网络全千兆、信息

点百兆接入、平安高性能的网络出口、统一的网络管理、最大限度保护公司投资，充

分的考虑未来的扩展要求。具体来说：

5.1、骨干网络更高性能、更高稳定性；

网络骨干包括网络的核心层和会聚层，北岛相遇 是整个网络流量的承受者和会聚者，为了

提高设备的可靠性和稳定性，可采用骨干网络冗余设计，能够实现设备的热备和失效

自动切换。

5.2、更高的网络平安性；

网络平安包括网络级、系统级、用户级、应用级的平安，在网络级，需要利用防

火墙的过滤与隔离功能，将信任网络和不信任的网络隔离开来，并利用防火墙或出口

路由器的NAT(网络地址转换)功能，对外屏蔽其他的网络拓扑信息，从而防止通讯网络

受到外来攻击。在网络内部，根据用户的网络使用需求，将用户和网络资源划分为不

同的VLAN，在VLAN间根据需求启用相应的ACL(访问控制列表)，从而保证用户的物理

隔离和资源访问的平安。

5.3、多出口部署需求；

页脚下载后可删除，如有侵权请告知删除！

边界出口是整个网络通讯的咽喉局部，好的出口能够大大提升网络对外访问以及

外界对内访问的效率。为了分担流量和提高访问的响应速度，可以同时使用双光纤网

络出口。可对内部访问外部资源的流量进展负载分流和相互备份，负载分流和相互备

份。

5.4、更好的网络扩展性和兼容升级；

网络必须能够扩展以适应用户需求以及业务的开展，并保护公司的投资。

5.5、更简单易用的网络管理；

随着网络规模的不断扩大，网络的管理越来越重要，管理的事务也越来越复杂。

网络管理应该智能化、简单化。

六、网络升级实施方案

6.1、信息内网升级方案

办公网络的稳定运行和信息点的畅通连接需要一整套网络优化方案。

电力公司网络升级后，新机房采用两台模块化的核心路由设备，通过万兆链路双

链路上联至两台核心交换机，在楼宇采用支持万兆扩展的会聚交换机，通过千兆光纤

上联至核心设备。区域接入层交换机分为两种，使用之前部署的是6类线，可采用全

千兆的接入交换机；或通过千兆双绞线或千兆光纤上联至各楼宇会聚层交换机，实现

千兆骨干，百兆到桌面的网拓扑构造。

设计网络构造拓扑图所示

页脚下载后可删除，如有侵权请告知删除！

信息内网在原网络根底上新增加核心路由路、核心交换机各一台，将原普通交换机更换为二层带光

口交换机共计6台。

所需设备清单如下：

序号

设备名称

路由器

交换机

交换机

光模块

光缆

光配

效劳器

软件

设备型号

SP6608

S5800

S5048e

SFP-GE-SX-M

M850-A

8芯

8芯

DELLR710

上网行为管理

系统软件

品牌

H3C

H3C

H3C

H3C

DELL

业务用途

边界路由

楼层会聚

楼层交换机

设备互链

上网行为管理

数量

1台

1台

6台

14个

1500米

6个

1台

1套

1

2

3

4

5

6

78

网络升级后，采用双核心技术，为机房网络核心层配备2台万兆路由路和核心交

换机，这样就为系统网络的稳定运行提供了保障。

运用双核心设计，别离办公网和业务网，降低两个网络彼此之间的影响，使办公

网方面的问题不会影响电力核心业务的正常运行，同时办公网核心交换机对每个网段

都启用了VRRP协议，保证每个网段的客户端都能够从IP层上实现冗余备份。

改建后的网络系统中，当其中一台核心交换机出现停机等问题时，另一台交换机

就能够承当全部任务，以保障综合业务和办公业务724小时不连续运行。这种设计，

又使网络具备了更高的可扩展性能。

此外，全模块化骨干路由器和核心交换机还拥有多个模块可扩展槽，以提供管理

模块的冗余，并拥有电源冗余能力，支持引擎、模块带电热插拔和万兆模块，支持千

兆和百兆模块线速转发，可根据需求灵活配置，还可构建弹性可扩展的现代化IP网络。

由于双核心交换机端口线速转发，具有更大的路由表、Mac地址表、ACL表等资源，

网络无论处于何种环境下，都不会出现瓶颈，并支持基于Vlan的策略路由和基于目标

地址的策略路由功能，可以使用多条路径进展负载均衡，充分利用了设备和链路带宽，

进而从核心层就可以成倍地提升网络性能。

在网络接入层，可采用具有2个光纤接口和24个固定100/1000M以太网RJ45接

口的智能千兆光纤交换机，以实现到桌面的100Mbps的连接，其中2个千兆上连接扩

页脚下载后可删除，如有侵权请告知删除！

展槽，采用千兆短波光纤双链路上连双核心，实现与千兆骨干网的连接，也可将原有

设备用作接入，通过千兆双绞线或千兆光纤连接双核心交换机，使办公网络的原有设

备得到充分利用，节约了投资资金。

同时，在整个网络接入层，接入交换机业务可划分为办公VLAN和业务VLAN，当办

公数据流通过链入右边的同核心互连链路传输到核心时，左边的链路作为备份；当综

合业务的数据流都通过左边的同核心互连链路传输到核心时，右边的链路作为备份。

在与骨干网的互连中，在2台万兆路由器与2台骨干网核心交换机之间采用了OSPF

动态路由协议或静态路由协议，公司局域网作为骨干核心的接入模块，以三层方式接

入骨干传输核心，并实现数据流在骨干网核心交换机上进展路由的重分发。

因此，整个办公网络通过上述协议的运作保证了所建办公网络与综合业务网络、

外联机构的其它网络之间的平滑连接与互通，同时也可以看到网络扩展的未来。

在网络建立中，从网络的接入层到核心层的交换设备都嵌有病毒和攻击防护能力

如MAC、DHCP、STP、ARP攻击、IP/MAC欺骗攻击、DoS/DDoS攻击、IP扫描攻击等，也

会被网络设备隔绝在网络之外，不会造成网络瘫痪和其它计算机感染。

在办公局域网的交换机上，可针对不同平安区域设置网段，每个网段只为属于这

一类的主机和终端提供接口，而不同网段之间那么采用VLAN、访问控制列表等平安措

施，以保证不同平安区域之间的可控互通，并将平安策略部署在交换核心，以便控制

和策略的调整。

同时，为杜绝人为乱改IP地址，在办公网核心交换机上启用IP地址和Mac地址

的绑定功能，防止私自更改IP地址，甚至可以对任何特定的计算机只有使用固定分配

出的IP地址才能正常接入网络，所有这些措施的实施进一步增强了对IP地址的有效

管理。

加上上网行为管理软件策略部署〔如禁于非法外网、移动存储注册等〕，大大加强

信息内网高速、可靠、平安的运行。

6.2、信息外网升级方案

根据公司信息外网应用业务的评诂，主要做好信息外网接收理工作，信息平安方

面的前题是做好信息内网平安的相对平安，所以信息内网改造的权重不大，只需将楼

层交换机更换为二层管理交换机，交换机上采用I柳永是哪个朝代的 P/Mac地址表邦定、VLAN划分、流量

页脚下载后可删除，如有侵权请告知删除！

控制等措施等加强平安管理。

信息外网构造图：

信息外网设备选择如下：

页脚下载超声波清洗 后可删除，如有安全学习心得体会 侵权请告知删除！

序号1

设备名称

交换机

设备型号LS-S2352P-EI-AC

品牌H3C

业务用途

楼层会聚

数量

5台

网络改造方案需求清单

【本

档内

可以

由复

内容

自由

辑修

内容待你

序设备名称

号

1路由器

2交换机

3

4

5

6

78

交换机

光模块

光缆

光配

效劳器

软件

设备型号

SP6608S5800

S5048e

SFP-GE-SX-MM85

0-A

8芯

8芯

DELLR710

上网行为管理系统

软件

LS-S2352P-EI-AC

cpu≧I3内存

≧2G/硬≧500/

19液晶

品牌

H3C

H3C

H3C

H3C

DELL

业务用途

边界路由

楼层会聚

楼层交换机

设备互链

上网行为管理

数量

1台

1台

6台

14个

1500米

6个

1台

1套

5台

20台

文

容

自

制

或

编

改

期的

9交换机

10电脑

H3C外网楼层会聚

联想、

DELL

、HP

好评和关注，我们将会做得更好】

页脚下载后可删除，如有侵权请告知删除！