大唐张家口发电厂家属区数据网改造方案论文

大唐张家口发电厂家属区数据网改造方案摘要:大唐张家口发电厂家属区既有数据网改造及优化。

关键词:发电厂家属区数据网改造

1 概述

大唐张家口发电厂家属区既有数据网为1994年建成,网络交换设备以北电设备为主,汇聚层采用100m传输,接入层采用10m传输。目前全网用户3000余户主要包括普通住宅用户及学校、单身宿舍、银行、电视台及家属区网站等单位用户。这些用户共分布在家属区32栋不同建筑群内。接入方式以fttb+lan为主,网络通过各楼内的二层交换机汇聚后上行至三层交换机及防火墙,指向电信运营商。

随着时间的推移,该网络逐步暴露出一些问题,具体表现为:

1.1 “宽带不宽”的网速过慢原因

由于家属区网络对用户上网带宽及流量没有限制,导致一些用

户认为“不用白不用”,使用电驴、bt等p2p软件,强行占用网络带宽,其它用户流量减到最低,导致“宽带不宽”。

另一种情况就是对于厂内网络滥用现象十分严重,网络聊天、听歌看电影、滥用网络也是导致“宽带不宽”的另一个诱因,同时严重干扰了其他用户的网络应用。

1.2 网络管理问题

1.2.1 现在网络结构采用三级网络接口,核心交换机端口下接

入了多台楼内的边缘交换机,在各楼层的边缘交换机端口下接入了多台计算机,如突发网络故障,管理员根本无法知道是某一台客户

机或是某一台网络中间设备出现的故障。传统的解决方式拔网线或替换中间交换设备来测试,这样大大降低了管理员的工作效率。

1.2.2 目前由于家属区不能实时监控各个网络交换设备的运行状况,导致网络低性能运行和软故障无法确定,造成网速下降,网络瘫痪后不能及时恢复,不能提前预警。

1.2.3 网络是采用三层网络拓扑结构设计,但目前未做网络分

层管理,使得任何一个用户出现问题均不能得到及时解决,网络故

障点不能及时定位。

1.3 网络安全问题

1.3.1 家属区现有网络布置特点造成无法控制用户的接入。未经认证的计算机都可以连入到网络里来,无法对接入计算机进行有效管理和控制,无法完成公安网监部门要求用户管理,同时对出现

故障时无法快速的、准确的定位。

1.3.2 无安全管理软件记录上网用户的上网行为以及对非法网站的过滤。

1.3.3 网络中arp病毒及各种网络病毒泛滥,导致网络混乱及网络瘫痪。

2 网络改造方案构想

为有效提高电厂家属区网络质量,充分发挥电信运营商的专业

特点,针对电厂家属区网络存在问题,现提出改造方案

2.1 增加网络流量控制系统 (网速)根据需求及应用的不同,对接入网络的计算机进行网络流量进行控制,并根据家庭、办公应用、

其他应用进行网络带宽分配及管理。

2.2 增加上网行为记录系统(安全) 根据国务院《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和公安部《计算机信息网络国际联网安全保护管理办法》的规定,实现对网内计算机上网行为的上网时间、访问网站,请求源、目的地址等信息的记录,保证不出现网络安全事故。

2.3 安装认证计费系统(计费) 对于家庭应用、厂区行政办公、学校、青工宿舍分别采用pppoe、pptp、802.1x等认证技术进行混合认证,从而实现接入控制和计费。

2.4 安装网络设备管理系统(管理) 对网络内的网络设备(防火墙、路由器、交换机)等设备及网络端口进行管理,对其性能及运行状况进行实时监控。

2.5 安装应用服务器系统建立资源共享服务器,实现网络资源共享及系统补丁分发。

以上系统设备及软件的增加,将大大改善家属区网络环境的运

行状况,合理分配网络资源,有效管理网络设备,对局域网内的用户的上网行为进行监控管理,保障内部网络环境的健康、高效运行。

3 具体改造实施

核心层优化改造:此次改造将用户分成五个区域,分别为:住宅1区、住宅2区、住宅3区、办公区、青工楼区。在五个区域各设置一台核心交换机(华为4506)。原来的核心设备,由于处理能力逐渐

不能满足核心设备的需求,下移到汇聚层,做汇聚设备。

每个区域的核心交换机,通过家属区内的既有光纤连接至中心机房三层交换机。然后通过计费认证、防火墙及路由器指向铁通及电信出口。

汇聚层优化改造:现有家属区网络主要依靠堆叠的方式来进行汇聚。在信息点的数量较少的情况下,采用堆叠的方式有简便易行的优点。但是当信息点数量增加的时候,多达7、8台48口设备进行堆叠,将导致出口交换机的处理能力大大超过负荷。从而严重影响网络性能。

采用汇聚交换机的优点:当网络流量继续增大的时候,可以把汇聚-核心之间的链路升级到万兆,从而大大增加网络的扩容能力,为网络将来的扩容准备条件。

根据电厂家属区的具体情况,采用vlan的方式将家属区网划分为5个子网,每个子网对应一台核心交换机。

接入层优化:考虑到原有北电交换机接入速率低,配件奇缺,现决定将接入层交换机统一更换为华为2000系列交换机,同时对应对入户网线严格按照586b方式重新进行模块跳线及入户线接续,保证入户速率达到100m。此外接入层交换机更换主要考虑如下了以下几个方面:

802.1x认证支持能力。由于家属区网采用802.1x认证计费方式,因此,接入层设备对802.1x的支持能力就显得尤为重要。

vct线路测试。由于接入链路十分分散,是维护工作量最大的部

分,采用vct线缆测试功能,可以有效减少网络维护的工作量,是重要的考虑因素。

端口隔离。每个用户只能纵向传递信息,而不能横向访问。这是网络安全的保证。

设备噪音。由于接入层设备数量巨大,因此如果设备噪音很大,会影响网络管理人员的身心健康,采用静音设备,是一个很好的选项。

网络出口优化:家属区网原有网通和电信出口,此次进行更换统一调整到铁通出口。同时未来可能还有ipv6出口或者其他isp接入,为了分担流量和提高访问的响应速度,此次更换为专用出口路由设备担任。

安全部分采用防火墙+ips的策略,将防火墙设置成透明模式来对出口进行防火墙功能,同时启用ips侦测网络非法操作。

综上所述,此次改造完全采用电信级设备、电信级设计、电信级技术来建设一个电信级的厂内网络平台。

4 结束语

经过近半年的运行,大唐张家口发电厂对家属区网络的使用情况进行严格验收并抽样对用户进行回访,用户满意率达到90%以上,验收完全合格。因此说明此次改造取得了良好的效果。同时此次改造也为电信运营商接入企业局域网积累了一定经验。