马鞍山某一企业网络优化方案

1、马鞍山某一企业网络优化建议方案设计单位：马鞍山威奇隆科技有限公司设计时间：2009年12月24日目 录一、企业现有的网络概述1二、网络的优化需求2三、机房网络布线的优化2四、S3600交换机的优化4五、H3C SecPath 100防火墙的优化5一、企业现有的网络概述马鞍山某企业的建立的办公局域网络, 覆盖了整个的办公楼的终端用户，整个办公局域网络通过一条10M的光纤外网接入互联网。接入层布置了三台的华三的S2400交换机，提供高带宽的端口接入，用于接入办公室的网络用户。所有的S2400交换机通过网线汇聚到一台华三的S3600交换机。汇聚的S3600交换机主要用于汇聚接入层的网络流量，并提供各

2、种网络服务和控制功能。由于该企业的办公局域网络需要接入互联网，因此布置了一台H3C SecPath 100防火墙用以保证办公局域网络的安全。汇聚的S3600交换机通过网线与H3C SecPath 100防火墙联接。H3C SecPath 100防火墙与10M的光纤互联。所有的网络设备都部署在一个机房内，并统一安装一个网络机柜。办公局域网络的整个拓扑图如下：如上图所示，整个的办公局域网络，通过VLAN的设计，将每一台的S2400交换机所接入的用户划分到单独的VLAN群。每个单独的VLAN群的用户通过VLAN网关来访问互联网。H3C SecPath 100防火墙用于外部互联网和内部的办公局域网络的

3、隔离，和保证内部的办公局域网络访问外部互联网的环境安全。二、网络的优化需求依据企业用户对网络优化的需求，在这次的网络优化中，在尽量不改动原有的接入层用户的前提下，需要对原有的办公局域网络访问互联网进行进一步的优化改造,网络带宽得到有效的合理的分配和均衡，使之访问互联网较之前更畅通无阻。重新整理机房内的网络布线，使机房的布线整齐、有序，有利于网络管理员进行网络线的查找，定位和插拨，方便操作。三、机房网络布线的优化该企业的网络布线，从办公室到机房的所有水平布线都统一配接到机柜上的配线架上。因此，网络布线的优化，着重于机柜上配线架上的端口的标签的标记和水平布线的定位，还有网络设备之间的互联跳线的整理

4、。配线架上的端口的标签的标记和水平布线的定位，有利于迅速的查找办公网络的每一根网线，方便网络管理员进行故障的定位和网线的插拨。我们可以利用网络测试仪等设备，找出并定位出办公室到机柜上配线架的每一根网线。每一根网线，分别在配线架上相应的端口和办公室相应的网络面板上标贴上标识标签。标签的材料材质应该耐磨，不易掉色，粘性强。每一根网线两边的标签上所标识的内容应一样。所标识的内容简单，明了, 从标识的内容可以判断这根网线在某个楼层某个办公位置。如下图所示：在所有的网线经过测试定位并做好的标识标签后，可以形成表格式的电子文件或文本文件。表格文件内容包含网线的的配线架端口编号，楼层、位置和描述等。如下表格

5、样式：序号配线架端口编号楼层位置描述1101一楼某某办公室张三2102一楼某某办公室李四3201二楼某某办公室赵五4202二楼某某办公室某领导所形成的表格可以生成电子式或文本式，可供以后的维护中，备用查询。可以生成一张文本式，张贴在机柜的正面的玻璃门上，可时随时供查询。网络设备之间的互联跳线的整理，考虑到网络设备之间的跳线在以后的维护中，变动很少，甚至固定不变动，而且所有的设备都统一安装在同一个机柜内，设备相互之间的距离都很近，因此，设备之间的跳线，我们采用手工制作。根据互联的网络设备之间的距离，制作合适长短的跳线，跳线的长短以互联设备的距离且不需缠绕为宜，并留有一点长度冗余量。所有的互联跳线

6、的两头，应都标贴上标识标签。标识的内容应为对端所所连的设备和所接入的接口。如标识内容为“TOS24001E1/0/24”，表示这根互联跳线接往第一台S2400交换机的第24的以太网端口上。所有的网络设备应该在设备正面的位置，也应张贴标识标签，以方便的标识该设备，如用“S2400交换机1、S2400交换机2、S2400交换机3”来标识三台S2400交换机。所有的互联跳线应进行必要的捆扎整理，整理的效果应整齐、有序，不缠绕，不交叉，这样，有利于机柜空间的简洁的视觉效果，同时也利于机柜内空气的流通和设备的散热。配线架到接入层交换机即S2400交换机的跳线，考虑到跳线的数量较多，且在以后的维护中，可能

7、需要经常性的变动。 因此，我们采用较灵活的方式，在每一台S2400交换机下安装一个网线理线器。从配线架出来的跳线进行固定的捆扎，到每台S2400交换机的相应跳线，应进入网线理线器里，从网线理线器里出来，再接入到S2400交换机的端口。跳线在网线理线器的长度，应该可以跳到三台S2400交换机的的任何的端口。当然，配线架到S2400交换机的跳线，也应该做个标签标识，以方便的区分每一根跳线。以利于以后的维护和插拨。配线架到接入层交换机即S2400交换机的跳线的整理效果应如下图所示：考虑到该企业的机房的实际情况，我们建议采用如下样式的开放式理线器要：四、S3600交换机的优化办公局域网络方面

8、的优化方面，考虑到尽量不改动原有的接入层用户的这个前提，我们在汇聚层的S3600交换机上的配置进行网络的配置。原来在S3600交换机上对每台S2400交换机所接入用户而划分的VLAN群和配置的网关IP地址，仍保持不变，这样，对于S2400交换机所接入的用户，不需要做任何的改动和变化。S3600交换机的优化，我们着重IP地址、MAC地址和端口的绑定,端口限速和ACL的的优化配置。通过IP地址、MAC地址、端口的绑定，可以将办公局域网络用户的MAC地址和IP地址绑定到相应的VLAN的接口上，可以控制指定的IP地址、MAC地址的用户访问互联网，可以有效的提高网络的安全性能，加强对网络安全的监控。同时

9、，也可以防范ARP病毒的攻击。端口限速的配置，可以控制基于端口的速率限制，有效的，合理的利用带宽资源，避免不必要的带宽资源的浪费，达到带宽资源的均衡。ACL的的优化配置，通过配置病毒防范方面的ACL（访问控制列表），可以有效的防范办公局域网络常见的病毒攻击，如防止DoS攻击,蠕虫病毒攻击，防扫描窥探攻击、防畸形报文攻击、防网络风暴攻击等。一方面提高网络环境的安全性能，另一方面可以避免带宽资源的占用和浪费。五、H3C SecPath 100防火墙的优化H3C SecPath 100系列的防火墙作为出口互联网的防火墙设备，支持外部攻击防范，保护内网安全，流量监控，网页过虑等功能，有效的保证办公局域

10、网络的安全。 H3C SecPath 100配置了NAT(网络地址转换)功能 。可以有效的隔离内外网，保护了内部办公局域网络的安全,同时，内部网络可以配置任何的私有的IP地址，而不影响访问互联网。H3C SecPath 100病毒攻击的防范配置，能够检测出多种类型的网络攻击，并能采取相应的防范措施，保护内部网络免受恶意攻击，保证内部网络的正常运行。如下图：H3C SecPath 100也可H3C SecPath 100ACL(访问控制列表)，能够提供控制网络数据流的能力。如下图：H3C SecPath 100可以配置WEB过虑功能，可以防范来自外部的网络攻击，阻止非法或恶意的网站访问。同时，能够对用户所请求的WEB中的内容进行筛选，阻止访问含有非法内容的网页。如下图：