互联网出口扩容建议解决方案

互联网出口扩容建议解决方案

2016/05

目录

1 需求分析 (2)

1.1 需求背景 (2)

1.2 需求分析 (2)

2 解决方案 (2)

2.1 解决方案思路 (2)

2.2 整体架构 (2)

2.2.1原始网络情况分析 (2)

2.2.2建议方案1说明 (3)

2.2.2建议方案2说明 (4)

2.2.3建议方案3说明 (5)

3 选型方案建议 (6)

4 集中管理功能实现 (7)

1需求分析

1.1需求背景

我单位网络基础建设基本完善，下属各分支单位通过专线到分局总部由分局联通互联网出口进行互联网容的访问，互联网管理由分局一台网康设备统一管理，所有上网终端共享总局出口带宽资源。

1.2需求分析

目前，所有分支单位共享互联网带宽的情况，经常由于分支单位占用带宽资源过多，导致分局部分业务办理效率很低；现计划将原有20M网络出口扩容成50M出口，用以改善网络资源分配和终端的可管理性。

针对客户IT建设计划，现有的网康管理设备存在性能瓶颈，不能满足新出口下的互联网审计和管理，因此，网康建议在做网络出口扩容的同时，要完善网络管理方面的建设。

2解决方案

2.1解决方案思路

针对高管局分局的网络管理需求，网康科技以保护用户投资，且满足客户需求为基本原则，针对管理实现的程度向用户推荐三个方案。

2.2整体架构

2.2.1原始网络情况分析

图1 原始网络拓扑

原始网络分析：目前16个下属分支单位均通过专线接入分局机房，属于互联网出口集中管理方式，所有下属单位共享使用互联网资源，存在问题是分局机关的上网带宽资源得不到保障，时有影响到工作效率的情况发生。

2.2.2建议方案1说明

图2 建议网络拓扑图1

方案说明：采用此方案的前提是将目前的运营商单一线路由20M扩容至50M，即互联网出口还是统一的一个，这样原有网康设备的处理性能就不满足扩容后的管理需求了，需要更换一台性能更高的网康设备作为全分局及分支单位上网行为管理的平台。

2.2.2建议方案2说明

图3 建议网络拓扑图3

方案说明：采用此方案的前提是在保持原有20M互联网出口线路的基础上，再向运营商申请1条30M的互联网出口，这样就可以将分局和所有分支单位的互联网出口管理分离开来，互不影响，分局还用之前的20M带宽，16个下属分支单位共用新申请的30M带宽，同时增加采购一台适用于30M带宽处理性能的网康设备即可，此方案优势在于保护了之前的投资，性价比比较高。

2.2.3建议方案3说明

图4 建议网络拓扑图4

方案说明：采用此方案不同于方案1和方案2，管理从各分支单位传输的源头进行管理，即在每个分支单位部署一台低端网康设备，同时在分局机房部署一台网康集中管理平台，这样通过集中管理平台实现分局对所有分支单位上网带宽和上网权限的统一管理，管理效果更好。

3选型方案建议

4集中管理功能实现

NS-CMP（Netentsec Central Management Platform）网康集中管理平台是一款集团客户提供的对多台网康上网行为管理设备进行统一管理的专业的硬件产品。

集团客户使用NS-CMP可实现设备状态统一查看、策略统一下发、策略统一回收、分级分权管理、全网统计分析汇总。CMP广泛应用于政府、金融、能源、教育、运营商等领域中的大型集团客户，有效的帮助客户简单的、统一的、安全的管理全部的上网行为管理设备。

产产品品价价值值

●全网设备一目了然，便于宏观管理：

总览全部在网设备分布情况

✓直观看到在网设备的地点分布

✓直观看到在网设备的连接状况

✓直观看到在网设备的告警状况

✓直观看到各个设备管理员信息，便于联系维护

总览全部在网设备运行状况

✓直观查看所有设备IP

✓直观查看所有设备流量

✓直观查看所有设备负载

总览全部在网设备告警信息

✓直观查看到所有设备告警

✓直观查看到所有行为告警

✓各分支告警按时间序列排序，便于发现各分支告警间的关联

●全网设备统一升级更新，减少遗漏：

CMP设备可以作为部升级服务器，为全网设备提供版本升级、数据库更新服务。减少了所有设备必须连接外网升级带来的升级复杂度。

全局设备软件版本统一升级

✓直观看到全网设备当前版本

✓直观看到网康最新可升级版本

✓直观看到设备最后升级的时间

✓全局设备统一批量升级

全局设备网页库版本统一更新

✓直观看到全网设备URL库版本

✓直观看到网康最新URL库版本

✓直观看到设备最后更新的时间

✓全局设备统一批量更新

全局设备应用库版本统一更新

✓直观看到全网设备应用库版本

✓直观看到网康最新应用库版本

✓直观看到设备最后更新的时间

✓全局设备统一批量更新

●全网设备策略统一下发、回收，便于集团策略落实

✓制定总部策略，全局下发。

✓制定总部策略，局部下发。

✓区域可添加低优先级个性

策略

✓检查全局策略一致性，确保策略变更后的全局一致性

✓统一回收（删除）总部策略。

✓局部回收（删除）总部策略。

✓检查全局策略一致性，确保策略变更后的全局一致性

✓统一激活总部策略。

✓统一暂停总部策略。

✓可检查特定设备的策

略报告

CMP为管理员提供直接登录被管理设备的点到点接口，便于管理员快速管理单个设备，直接对设备进行精细化管理

●全网日志报告统一分析、便于掌控全网上网行为状况

统一订阅、自动汇总全网所有设备的统计汇总分析报告