现在公司的网络系统的核心为华为6506三层交换机。其配有一块8口的千兆光纤模块，
一块48口的千兆RJ45模块、并安装了一台华为3050交换机接入本楼层的接入交换机，详见图1。
为了消除单点故障，需在数据中心再安装一台6506三层交换机。并配一块8口的千兆光纤模块。利用已有的光纤线路，组成冗余线路。在线路全部正常时，可提供双倍带宽，在某一线路中断时，自动切换到另一线路，不会影响到业务的正常进行。

图4

IP地址规划

现在接入内部网络的办公电脑已接近500台，原定的IP地址资源将很难满足公司未来
3年的发展，需重新进行IP地址空间的规划与调整。
根据现有网络布局，数据中心通过1G的光纤链路连接各二级节点，VLAN配置信息全部保存在核心三层交换机6506上，故将以此光纤链路为依据重新分配VLAN，调整后的VLAN如下表所列：??

编号	区域	网段	备注
1	数据中心	10.1.1.0/24	专用于对内服务器
2	数据中心	192.168.100.0/24	专用于对外的终端、OA等
3	1号门区域	10.10.1.0/24	质量技术中心，销售三部，器皿仓储
4	车间区域	10.10.2.0/24	从一号炉到9号炉
5	4号门区域、A区	10.10.3.0/24
6	财会中心区域	10.10.4.0/24	新增，用于财会中心其周边部门
7	经营部大楼	10.10.5.0/24	新增
8	交换机网段	172.167.0.0/24	专用于网络设备

分支机构的IP地址规划已于2006年下半年完成改造，具体分配情况如下：

分公司名称	?使用的IP地址段 (Mask:255.255.255.0)
松岗分公司	192.168.0., 192.168.2.
河南XX	192.168.3., 192.168.4.
梧州分公司	192.168.5., 192.168.6.
大冶分公司	192.168.7., 192.168.8.
三水分公司	192.168.9., 192.168.10.,192.168.11.* (因三水为器皿分公司总部，规模较大，故预留多一个网段)
高明分公司	192.168.12., 192.168.13.

互联网接入

随着信息系统集中管理工作的推进，企业已与互联网紧密的捆绑在一起，一旦网络连
接中断，将给公司带来巨大的损失。现在总部是使用中国电信提供的一条10M光纤，为了提高网络带宽及削除单点故障，总部需另安装一条中国铁通提供的5M光纤接入互联网。
大冶XX、梧州XX、福建XX、高明XX、三水XX采用中国电信提供的2M光纤专线接入互联网，而河南XX、江苏XX采用中国铁通提供的2M光纤专线接入互联网。

升级代理服务器为ISA2004

经过半年的测试运行，证明ISA防火墙的性能及管理性均非常出色，现在使用的为
ISA2000，并加装防病毒插件，为了得到更高性能的代理服务及防火墙性能，建议将ISA2000升级到ISA2004，并组成集群，进行负载均衡，在加强安全管理的同时为内部办公用户提供更好的上网服务。
为了提高ISA服务器本身的安全性及提高性能，建议取消ISA服务器的防病毒插件，在其与互联网接口间安装一台防毒墙，专门在网关处进行病毒过滤保护内网安全，并在边缘处安装一台前置防火墙进行多线路的负载均衡。
连接运营商光纤的交换机选择华为3COM 3116，划分2个Vlan，构成2个虚拟的交换机，分别连接电信和铁通的光纤线路，如图5所示。

(备选：由于防毒墙费用较高，可以考虑不采用此设备，而在ISA2004中安装正版防毒插件--趋势防毒InterScan Web Security Suites 。)

整套VPN系统采用IPsec站点到站点模式，包括一个总部和7个分部，总部电脑约为
500台，通过一条中国电信的10M光纤和一条中国铁通的5M光纤同时接入互连网。高明厂区和三水厂区的计算机约为200台，其它分部的计算机约为100台。所有分部均采用光纤专线接入互联网。
在总部安装2台支持双出口的VPN设备(型号未定)做冗余，对外同时连接电信与铁通的光纤专线，对内接入核心交换机6506。河南XX、江苏XX通过铁通光纤接入总部的VPN设备，其它分部通过电信光纤接入总部。并在总部VPN设备上设置策略，只允许VPN客户端访问特定服务器的特定端口，以降低安全风险。

?　图5
在每个分部安装一台VPN防火墙((型号未定)),后直接连入分部局域网。内部网络用户访问总部服务器时将通过VPN隧道进行传输，而且不允许直接访问互联网，访问普通网站或使用其它网络服务时需经过VPN系统通过总部的代理服务器访问，如图6所示。