一. 当前网络现状分析:
1. 关键设备(防火墙、核心、汇聚)与链路无冗余备份,一旦某一台设备或者一条链路故障将导致整个公司网络瘫痪,业务被迫全线中断,缺乏可靠性障。
2. 访问服务器(www、EBS),没有做DMZ安全部署,有导致内网直接受外部攻击的可能性。
3. 接入层交换机直接连入核心,且级联多个交换设备,增加核心交换机负载。缺汇聚交换以处理用户流量转发到核心交换层。
二. 针对现有网络状况,做出以下升级解决方案:
1. 新增1台防火墙与现有防火墙做HA高可用,防火墙划分外网,DMZ,内网LAN三个区域,并且针对不同区域进行安全策略部署。
DMZ区域即:内部与外部可以对区域内的服务器(www、ebs)进行访问,但在(www、ebs)受到外部攻击时,避免其攻击内部的网络及服务器。
2. 数据中心核心交换机采用可靠性为99.99%的新一代光口交换机,通过堆叠实现设备级的高可用,及稳定性。
多个区域设置汇聚层的汇聚节点,具有承上启下的作用,处理来自接入层设备的流量,并提供到核心层设备的高速通信。