一、 目前网络拓扑
网络拓扑说明:
1、 现有网络的核心交换机是一台CISCO6509设备,业务系统、数据库系统直接连接到核心交换机,镇区分局通过电信的MSTP线路连到核心交换机。
2、 楼层交换机是思科的C2960或C3550设备,所有楼层交换先汇聚到2楼机房的C3750 交换机再上联至核心交换机。
3、 2楼汇聚交换机C3750有一条线路连接到电子政务网,通过一台联想网御防火墙实现安全访问控制。内网电脑通过此线路访问电子政务网和互联网。
目前存在问题:
1、 目前楼层交换机使用的是思科C2950或C3550等型号,这些交换机是思科10年前的产品,只能提供100M的网络接入,目前性能已经落后,而且设备老化严重,影响网络稳定性。
2、 汇聚交换机C3750和核心交换机C6509都只有一台,无主备冗余,假如设备出现故障,将导致xx局整个核心网络瘫痪,所有系统不能使用。
3、 核心交换C6509目前的接入端口不足,以太网接口已经基本全部使用完毕。后续增加服务器将无法接入。
4、 外网出口只有一条100M的电子政务网线路,无备用线路,假如线路出现故障,将导致xx局所有办公电脑无法访问外网。
5、 网络中除了防火墙和网闸以外,没有部署其他安全设备,不利于网络安全管理。
二、 建议网络拓扑
网络拓扑说明
1、 网络核心规划
把目前的思科C6509交换机更换为两台H3C 7606-X交换机,2台S7506E-X组成IRF,实现高性能、高可靠的核心网络,满足万兆网络的数据转发和日后扩容的需求。
2、 网络接入层规划
把目前的楼层交换机C2960和C3550更换为H3C S5120交换机,每个楼层都通过双链路上联至核心交换机,提升网络性能和网络可靠性。
3、 服务器区规划
核心交换机同时提供千兆和万兆以太网接入,老旧服务器通过千兆接入;新服务器通过万兆接入,虚拟化的方式进行部署。
4、 安全控制规划
在网络中新建一个安全管理区域,部署漏洞扫描、入侵检测、日志审计、堡垒主机等安全设备,加强网络安全管理。
5、 外网接入规划
部署两台新防火墙用于电子政务网接入。目前电子政务网只有一条线路,建议增加一条线路,为目前的线路做备份,也可以把部分流量分流到新的线路上,减轻现有线路的负载。