篇一:网络改造方案内容
黄冈矿业网络改造方案
内蒙古万德系统集成有限责任公司
2011-10-11-1-
目录
1用户需求分析
......................................................................................................................-3-1.1项目改造内容
..........................................................................................................-3-1.2项目设计原则
..........................................................................................................-4-1.2.1设计原则
......................................................................................................-4-1.2.2建设原则
......................................................................................................-6-1.3项目设计思想
..........................................................................................................-6-项目整体解决方案
..............................................................................................................-7-2.1网络现状
..................................................................................................................-7-2.1.1现网拓扑
......................................................................................................-7-2.1.2网络存在问题
..............................................................................................-7-2.2改造建议
..................................................................................................................-8-2.2.1改造拓扑及描述
..........................................................................................-8-2.2.2改造后优势
..................................................................................................-9-网络系统
..............................................................................................................................-9-3.1组网方案
..................................................................................................................-9-3.1.1组网拓扑
......................................................................................................-9-3.1.2分层网络设计
............................................................................................-10-3.1.3IP地址规划...............................................................................................-11-3.1.4IPv4地址规划...........................................................................................-13-3.1.5IPv4路由规划...........................................................................................-14-3.1.6Vlan设计
...................................................................................................-14-3.2网络优化系统
........................................................................................................-17-3.2.1上网行为管理
............................................................................................-17-3.2.2网络安全审计
............................................................................................-20-安全与管理系统
................................................................................................................-22-234-2-
用户需求分析
内蒙古黄岗矿业有限责任公司的前身是内蒙古赤峰黄岗铁矿,1993年筹建,1996年投产,是克旗人民政府下属的全民所有制企业。2000年3月23日,中共克旗委第66次会议决定,企业改制为有限责任公司。公司更名为“内蒙古黄岗矿业有限责任公司”,由集通公司以承债的方式购买企业的主要产权,控股经营企业。2000年4月20日各方签定《关于设立内蒙古黄岗矿业有限责任公司协议书》规定:注册资本总额为2400万元人民币。
2003年9月15日,中共克旗委第38次常委会议决定,同意内蒙古黄岗矿业有限责任公司增资扩股,由包头钢铁(集团)有责任公司控股。同时根据《内蒙古黄岗矿业有限责任公司章程修整案》的规定,增设包头钢铁(集团)有限责任公司为新任股东。增设股东后的内蒙古黄岗矿业有限责任公司股东为6个,注册资本金为8139万元,即包头钢铁(集团)有限责任公司出资人民币5000万元,占注册资本金的61.4%,内蒙古集通铁路有限责任公司出资人民币1679万元,占注册资本金的20.6%,克什克腾旗人民政府出资人民币660万元,占注册金的8.1%,内蒙古赤峰地质矿产勘察开发院出资人民币646万元,占注册资本金的7.9%,克旗农电局出资人民币65万元,占注册资本金的0.8%,自然人出资人民币89万元,占注册金的1.2%。
2004年9月22日,内蒙古黄岗矿业有限责任公司股东会2004年第一次临时会议同意克旗政府把自己拥有的公司6%的股份以600万元人民币的价格协议转让给莲池控股有限公司,克旗政府的股东比例由8.1%减至2.1%。其他股东的股权比例不变。
2005年8月,在克旗旗委政府的协调下,由内蒙古黄岗矿业有限责任公司将仍在三区边缘地带采矿的“克旗黄岗矿业有限责任公司”以1500万元的价格收购。从此,形成了黄岗一,二,三,四区由内蒙古黄岗矿业有限责任公司独家采选的局面。
1.1项目改造内容
本次项目针对现网存在的问题,提出改造及完善建议。尤其针对出口安全及
-3-
内网互联作出详细描述。
1.2项目设计原则
1.2.1设计原则
设计原则是系统设计时必须要考虑的总体原则,它必须满足系统设计目标中的要求,遵循系统性整体性、先进性和可扩充性原则,建立经济合理、资源优化的系统设计方案。
系统平台作为黄冈矿业的一项重要的基础设施,为用户总体规划和技术要求提供保障,以便为用户提供一个先进、灵活、可靠、基于标准的多业务、多应用平台,不仅能够满足目前各种业务和应用要求,同时可为今后的发展及其业务、应用提供良好的扩展支持能力。因此,我们在进行方案设计时,应遵循以下设计原则。
1.2.1.1先进性与合理性相结合的原则
在本项目方案设计中,应“立足现在,着眼未来”,在保证技术成熟及性能稳定的前提下,顺应主流技术的发展趋势,充分采用当今国内、国际上最先进的计算机软硬件技术和设备,使本项目系统能够最大限度地适应今后技术发展和业务发展变化的需要。其中,采用的系统结构应当是先进的、开放的体系结构。
1.2.1.2可靠性和稳定性相结合的原则
为保证黄冈矿业各项业务和应用顺利进行,网络系统和IT基础平台必须具有较高的可靠性和稳定性,要对网络结构、网络设备、服务器设备、配套设备和环境设施等多个方面进行高可靠性、高稳定性的系统设计与配置。
首先,在设备选型上要选择成熟、可靠、稳定的产品;其次,要在系统整体结构与连接方式上对可靠性和稳定性进行充分考虑,要采用切实有效的系统冗余备份方式,提供高效的自愈能力,并在采用硬件备份、设备冗余等可靠性、稳定性技术的基础上,采用相关的软件技术提供较强的管理控制机制和事故监控手段,从而充分保障系统是持续可用的。
1.2.1.3实用性和可管理性相结合的原则
-4-
应采用成熟、实用的技术满足当前的应用需求,同时兼顾其它应用及系统发展的运行需求,尽可能延续原有的设备、并保证与原有系统兼容。同时,应使用先进且实用的技术以适应更高的数据、信息的传输、处理需要,使整个系统在一段时期内保持技术的先进性,并具有良好的发展潜力,以适应未来信息化的发展和技术升级的需要。
1.2.1.4可扩展性和开放性相结合的原则
为保证本项目系统符合当今技术飞速发展的趋势,并满足系统发展的需要,在方案设计中必须充分考虑网络和服务器系统将来的扩展能力。其中,网络必须能够根据信息化的不断深入发展,方便地扩展覆盖范围、扩大网络容量和提高网络各层次节点的功能。
本项目系统这种工程应具备与多种协议的计算机通信网络互连互通的能力,因此为确保本项目系统基础设施的作用可以充分发挥,在结构上必须真正实现开放,采用基于国际开放式的标准,包括各种广域网、局域网、计算机,坚持统一规划的原则,从而为未来的业务发展奠定基础。
1.2.1.5安全性和保密性相结合的原则
安全性是本项目系统运行的生命线,在本方案设计中应给予充分考虑。国家对信息安全问题十分重视,信息产业部、中办机要局、国家密码管理委员会等有关部门对网络的信息安全问题制定了许多相应法规、规定,如《中华人民共和国保守国家秘密法》、《计算机信息系统保密暂行规定》、《涉及国家秘密的通信办公自动化和计算机信息系统审批暂行办法》等。本项目的安全性方案应严格按照信息安全主管部门的有关规定设计,使本项目系统成为一个安全的通信平台,并确保系统信息传输的安全。
本项目安全体系方案设计的原则是:
1、整个系统必须是一个严密的安全体系;
2、采取的安全措施不能影响整个网络的运行效率;
3、系统设计应具有完善的安全管理机制,以保证网络和数据的安全;
4、保证各个环节的安全保密,统筹规划;
5、安全方案的制订和实施应遵循国家系统安全的相关规定。
-5-
1.2.2建设原则
建设应遵循如下指导原则:
统一领导,统一规划,统一标准。
以应用带发展,以效益促应用,分步实施,逐步完善。
网络结构稳定,易于升级、扩展;应用系统灵活,易于共享、沟通。
网络安全,信息保密,稳定可靠,高效运行。
综合考虑整体性、实用性、先进性和经济性。
利用现有资源满足业务急需,保持持续发展。
管理运行体系与工程建设同步进行。
1.3项目设计思想
1、组建安全、可靠、快速的三层汇聚交换网络。
2、采用先进、成熟的技术
3、保证原有系统的完整性和业务不中断
4、旧系统的搬迁和新旧系统的无缝融合,软硬件应平滑过渡和升级5、采用高可靠、可扩展的设备和架构
-6-
项目整体解决方案
2.1网络现状
2.1.1现网拓扑
2.1.2网络存在问题
1.
防火墙承担安全策略及路由NAT功能,X86架构的CPU不能满足用户及出口带宽的增长,造成网速变慢甚至CPU超负荷后断网。
2.
核心交换机未启用三层功能,网关在防火墙上,内网用户通信流量再次转嫁至防火墙。
-7-
3.
用户上网行为不能监控,员工带宽不能限制,造成资源浪费。
4.
矿区之间使用光电转换器的不可靠连接,增加了故障率。
5.
用户普遍使用TP-LINLK作为接入设备,不方便管理。
6.
安全策略、路由协议等较落后,不满足现网需求。
2.2改造建议
2.2.1改造拓扑及描述
二区新增核心路由及核心交换机,新增上网行为管理设备。一区、三区、四
-8-
区、尾矿新增汇聚交换机。原有接入交换机作为用户接入设备,原设备均利旧使用,不造成资源浪费。内网安全策略、路由协议均重新规划。
2.2.2改造后优势
1.
新增路由器启用NAT功能、分担防火墙压力,防火墙只做安全策略。
2.
新增核心交换机启用三层功能,划分VLAN,优化内网环境并提供光接口。
3.
替换所有光电转换器为光接入交换机,较少线路故障率。
4.
原设备均利旧使用,不造成资源浪费。
5.
新增用户行为及审计功能。
6.
合理化的带宽分配,不会因员工下载造成网速缓慢。
7.
重新调试的网络策略更适于现在使用情况。
网络系统
3.1组网方案
网络做为一个系统的传输平台,它为业务系统提供了可靠传输通道,是业务系统的支撑系统,是一个系统的路,是一个单位信息化的基础。
3.1.1组网拓扑
目前,组网的拓扑结构设计中通常采用三种结构:星型、网状和部分网状结构。
拓朴结构
星型结构(Star):星型结构是指所有的外围设备通过单一链路连接到处于网络中心的核心设备上。星型结构的优点是节约线路开支,网络结构简单,易于
-9-
增容与维护;但对中心设备与连接链路有依赖性,容易出现单点故障,要求中心节点必须保证高可靠性。
在网络络设计中,针对主干框架的选择应充分考虑网络性能、维护难易程度以及可靠性等因素,同时也要考虑系统的性价比,从而权衡利弊,作出最为符合实际情况的结构方案。
3.1.2分层网络设计
优良的拓扑结构是网络稳定、可靠运行的基础。一个大规模的局域网络系统往往被分为几个较小的部分,它们之间既相对独立又互相关联,这种化整为零的做法是分层进行的。通常网络拓扑的分层结构包括三个层次,即核心层、分布层和接入层。
每一层都有其自身的规划目标:
核心层处理高速数据流,其主要任务是数据包的交换。
分布层负责聚合路由路径,收敛数据流量。
接入层将流量馈入网络,执行网络访问控制,并且提供相关边缘服务。
网络大都是依照上面的分层原则设计的星型以太网,配合各种最新的技术如VLAN、TRUNK、Qos等,极大地提高了网络的性价。其逻辑结构如下图所示:
-10-
3.1.3IP地址规划
IP地址的合理规划是网络设计中的重要一环,大型计算机网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。
在网络设计中IP编址方案的设计非常重要,它将直接影响网络的运行效率。为了使网络达到最高的运行效率,在设计IP编址方案时要遵从以下原则:
1、IP地址分层设计
IP地址分层设计是指在分配IP地址时参考物理网络设计的层次结构和网络应用的逻辑层次结构,按层次划分IP地址。在分层设计中将地址按层次化结构进行分配,可有效避免随机分配所带来的地址浪费的可能性,使IP地址资源得到最有效的利用。在网络设计中,我们都要尽可能使路由表保持简洁,由于使用分层地址设计,使得路由总结技术的使用成为可能,它意味着计算路由和查找路由表时占用路由器CPU时间的减少、路由内存需求的减少。
-11-
2、使用变长子网掩码
变长子网掩码(VLSM)是指一个网络可以分层次配置不同的掩码。把一个网分成多个子网时,变长子网掩码解决了子网数和主机数的可能冲突,保证更大的灵活性。如果没有VLSM,一个子网掩码只能提供给所有子网,可能造成不必要的地址浪费。VLSM还带来另外的好处就是可以更好地使用路由总结,VLSM允许在地址分配中使用更多的层次,从而在路由表中更好地使用路由总结。
3、路由总结
在大型的、复杂的互联网络中,可能存在成百上千的网络地址;在这种环境下,通常路由表中不需要包括所有这些路由。路由总结是通过使用单一的总结性地址来表示一系列网络号从而减少路由器所必须包含的路由数目的方法。路由总结的使用可以降低路由器内存的占用和路由协议的网络流量占用率。使用路由总结的另外一个好处就是它可以隔离其它分区域内的拓扑结构的变化,也就是说,如果网络中某一部分区域的拓扑结构发生变化,而它的总结地址没有改变,那么它的结构变化带来的路由信息的更新将不会传到网络的其他分区域,从而提高整个网络的可靠性。
4、尽可能使用保留地址段
内部网不需要与INTERNET网络直接连接,IANA预见到了这个问题,并预留了A、B和C的一些网络号,以提供给内部网使用。这些预留地址如下所示:
ClassA
10.0.0.0到10.255.255.255ClassB
172.16.0.0到172.31.255.25516个B类地址
ClassC
192.168.0.0到192.168.255.255256个C类地址
任何组织都可以在他们的内部网中使用这些地址,同时这些地址将不会出现在INTERNET中,这样这些组织如果需要连入INTERNET的话,他们可以通过出口路由器地址转换功能与INTERNET上的主机通讯,而不需要重新设定内部网络地址。
IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地
-12-
址的可管理性。具体分配时要遵循以下原则:
唯一性:一个IP网络中不能有两个主机采用相同的IP地址;
简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表项
连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率
可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性
灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。
主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。
3.1.4IPv4地址规划
地址编码规范
建议校园(城域)网的IP地址进行严格的编码,每位代表不同的含义。其编码规则(举例如下)为:
12345应用标识
1.
网络号
类别标识
000001010011100101110111相应IP地址类别
网络设备管理
WWW浏览类
备用
备用
语音、视频类
备用
备用
网络互连地址
2.单位地址标识(沙镇或四小)
3.
单位内部某汇聚区域地址4.
应用标识
5.用户网络地址
地址编码规范
通过地址标识可以清楚地区分出IP地址地来源,便于路由汇聚和访问控制。从上表中我们也可以看出,通过我们的规划,我们能从IP地址分析出IP地址的来源、用途等,这将为网络的维护带来方便。具体的IP地址定义将结合实际情况确定。
-13-
IP地址使用可以采用静态或动态的方式,可以开启网络设备或服务器DHCP协议,对于固定IP地址用户,需要针对标识符(MAC地址)设定保留IP地址。
3.1.5IPv4路由规划
整个骨干网络采用动态路由协议,动态协议在整个骨干网中不会引起路由回环,利于骨干网的健壮性,也可以根据准旗教育局采用动态路由加静态路由方式。
在汇聚与核心之间采用动态路由的方式,动态路由的方式可以减少网络中心人员的维护量。
动态只在核心骨干中进行运行这样大大减少了骨干节点之间动态协议的收敛周期,在实际的应用的过程当中可以提高稳定性。
3.1.6Vlan设计
随着网络的迅速发展,用户对于网络数据通信的安全性提出了更高的要求,诸如防范黑客攻击、控制病毒传播等,都要求保证网络用户通信的相对安全性;传统的解决方法是给每个客户分配一个VLAN和相关的IP子网,通过使用VLAN,每个客户被从第2层隔离开,可以防止任何恶意的行为和Ethernet的信息探听。。
在交换机上基于端口划分VLAN时,可以在同一交换机划分多个VLAN,也可跨主干划分同一个VLAN,网络中应尽量使用本地VLAN的划分方法,并通过Trunk链路实现多个VLAN的跨主干连接,最终通过中心/核心/汇聚交换机的路由功能实现VLAN之间的通信。
对VLAN进行集中管理的技术中,可以使用GVRP协议。GVRP(GARPVLANRegistrationProtocol,GARPVLAN注册协议)是GARP的一种应用,它基于GARP的工作机制,维护交换机中的VLAN动态注册信息,并传播该信息到其它的交换机中。
所有支持GVRP特性的交换机能够接收来自其它交换机的VLAN注册信息,并动态更新本地的VLAN注册信息,包括当前的VLAN成员、这些VLAN成员可以通过哪个端口到达等。而且所有支持GVRP特性的交换机能够将本地的VLAN注册信息向其它交换机传播,以便使同一交换网内所有支持GVRP特性的设备的VLAN信息达成一致。GVRP传播的VLAN注册信息既包括本地手工配置的静态注册信息,也包括来自其它交换机的动态注册信息。GVRP在
-14-
IEEE802.1Q标准文本中有详细的表述。
GVRP的主要作用是在802.1QTrunk口上实现提供802.1Q兼容的VLAN修剪与动态VLAN创建。使用GVRP,交换机可以和其它使用GVRP的交换机交换VLAN配置信息,在802.1QTrunk链路上修剪不需要的广播和未知的单播流量,动态创建和管理VLAN。
VLAN在交换机上的实现方法,可以大致划分为4类:1).基于端口划分的VLAN这种划分VLAN的方法是根据以太网交换机的端口来划分,比如交换机的1~4端口为VLAN10,5~17为VLAN20,18~24为VLAN30,当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定,如果有多个交换机,例如,可以指定交换机1的1~6端口和交换机2的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最广泛的方法,IEEE802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。
这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定义一下就可以了。它的缺点是如果VLANA的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。
2).基于MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停的配置。
3).基于网络层划分VLAN这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。它虽然查看每个数据包的IP地址,但由于不是路由,所以,没有RIP,OSPF等路由协议,而是根据生成树算法进行桥交换,这种方法的优点是用户的物理位置改变了,不
-15-
需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网祯头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
4).根据IP组播划分VLANIP组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
5).推荐的VLAN划分方式及逻辑图
根据用户应用的实际情况和我们多年的系统集成经验推荐VLAN的划分方式可以是按照基于端口的划分。可以按照部门的不同划分不同的VLAN,比如财务部门VLAN,人事部门VLAN,存储网络VLAN等,推荐的逻辑示意图如下:
-16-
3.2网络优化系统
安装完毕后,随系统的运行,新业务数据流的增加、原有业务数据的调整,其要应用设备运行效率会有所变化。系统的运行效率与系统各部分的参数有很大的关系,系统性能调优是一个重要的工作,及时地为用户做系统性能调整,是一项必要的服务。我公司会对黄冈矿业网络系统在定期或不定期的巡检的同时进行系统性能的调化,也可以是在用户提出性能优化的要求时,我公司派出相应的工程师进行系统的优化。
3.2.1上网行为管理
何谓上网行为管理?帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。
3.2.1.1为什么要管理上网行为
“随着互联网的发展,它已经到了必须控制和管理的时代,因为网上充满了错误的信息、虚假的信息,和非民主的力量。”----蒂姆?伯纳斯?李(互联网之父)
水能载舟亦能覆舟!互联网一方面能够帮助企业提高生产力、促进企业发展;另一方面也在企业管理、工作效率、信息安全、法律遵从、IT投资等方面给企业提出了严峻的问题与挑战。
网速为什么越来越慢?
在办公室里经常会听到有人抱怨“网速为什么这么慢?”,几乎所有的企业都存在这样的问题。那么企业花钱租用的10M甚至100M带宽都被用在哪里了?为什么带宽不断扩充,而网速并没有明显改善?
真相:带宽资源也许正被滥用!根据联通公司发布的一份调查显示:以迅雷、BT、eDonkey、KaZaA等为代表的P2P应用,消耗了40%以上的有效网络带宽。而在企业租用的有限带宽里,充斥着大量P2P下载、网络电视等应用流量,导致大量带宽被非工作应用所占用。而且,由于P2P的应用特征,使得企业高额投资的带宽成了互联网公共服务。
谁?在什么时间?可以拥有多少带宽资源?可以使用哪些网络应用?
-17-
问题2:网络安全事故为什么防不胜防?
“堵漏洞、砌高墙、防外攻、防内贼,防不胜防”,防火墙越“砌”越“高”,入侵检测越做越复杂,病毒库越来越庞大,身份系统层层设保,却依然无法应对层出不穷网络安全威胁,难道那么多安全产品都是摆设?
真相:安全隐患来自内部员工!无论如何豪华的防线,一个漏洞就可以毁灭所有一切。MetaGroup发布研究报告称:“持续增长的安全威胁源自您的员工”。内部人员通过互联网与外部通讯时,可能会引入含有恶意的或者攻击性的内容,如若未能得到监测和控制,这将成为企业的一大隐患。并且充满诱惑的网络资源往往是风险的发源地。
谁?在什么时间?是否可以上网?是否阻止访问可能含有安全风险的网络内容?
问题3:办公室为成了免费网吧!据一项调查显示,普通企业员工每天的互联网访问活中40%与工作无关,对色情等非法网站的访问量70%都发生在工作时间。上班时间“上网休闲”已经成为普遍现象,聊天、游戏、炒股、购物、BBS、电影、博客等无时无刻不在抢占正常的工作时间,办公室因此沦为不需要花钱的“网吧”。
谁?在什么时间?可以用什么应用?不可以访问什么网站?
约束员工在互联网上的行为,其实是在帮助员工匡正工作行为,丢弃不好的习惯,成为一个专业、敬业的职业人,这对员工自身的职业发展也是大有裨益的。
问题4:企业要为员工的网络行为背黑锅吗?
目前,大部分企业内部员工上网并不受限制,但是他们在网上做了什么?对外发了什么信息?企业完全不知情,也无记录可查询,这就给企业埋下了巨大的法律风险。
某企业被当地公安局网络监察处执行严厉处罚,原因是查出该企业内有员工在网上发布了违反法律的信息,但是无法查出是哪位员工所为,最后企业只得为这名“幕后英雄”背黑锅。那么在这种情况下,企业必须为员工的个人网络行为负责吗?
谁?在什么时间?以何种方式?对外发了什么信息?发给了谁?
问题5:发现内部网络问题后不能快速的找到根源?
-18-
当出口拥塞,网络访问异常时,只能通过网络层面的的设备分析原因,简单的插拔网线,复位设备,以希图问题解决。但本质,内在的源头无法定位。
IT系统追求的的是性价比,一位的迁就会隐藏更大的隐患,我们需要专业的洞悉网络问题应用源头的能力,能够分析问题的普遍性,严重性,共通性。利用上网行为管理产品能够做到:
哪些人群的应用异常?哪些行为在单位内最普遍?哪些部门隐患最突出?
3.2.1.2上网行为管理的实施步骤
洞悉->管控->驾驭
step1:企业要做好上网行为管理,必须先洞悉企业内使用互联网的过程中存在哪些问题?因为不同企业面临的问题不同,需要先了解到底有哪些问题?
step2:然后分析问题的根源,再制定有针对性的策略管控问题;上网行为管理策略必须是有针对性的、个性化的,这样才能符合不同企业本身的管理制度、企业文化等的要求和需求;
step3:最后通过审计报表了解问题解决的程度和效果,再根据报表做管理策略优化,进而达到驾驭互联网、实现上网行为管理的价值。
3.2.1.3上网行为管理主要功能
网页访问过滤
互联网上的网页资源非常丰富,如果员工长时间访问如色情、赌博、病毒等具有高度安全风险的网页,以及购物、招聘、财经等与工作无关的网页,将极大的降低生产效率。
通过上网行为管理产品,用户可以根据行业特征、业务需要和企业文化来制定个性化的网页访问策略,过滤非工作相关的网页。
网络应用控制
聊天、看电影、玩游戏、炒股票等等,互联网上的应用可谓五花八门,如果员工长期沉迷于这些应用,也将成为企业生产效率的巨大杀手,并可能造成网速缓慢、信息外泄的可能。
通过上网行为管理产品,用户可以制定有效的网络应用控制策略,封堵与业务无关的网络应用,引导员工在合适的时间做合适的事。
-19-
带宽流量管理
P2P下载、在线游戏、在线看电影电视等都在抢占着有限的带宽资源。面对日益紧张的带宽资源,除了增加预算扩充带宽以外,企业还可以选择合理化分配和管理带宽。
通过上网行为管理产品,用户可以制定精细的带宽管理策略,对不同岗位的员工、不同网络应用划分带宽通道,并设定优先级,合理利用有限的带宽资源,节省投入成本。
信息内容审计
发邮件、泡BBS、写Blog、聊IM已经司空见惯,然而信息的机密性、健康性、政治性等问题也随之而来。
通过上网行为管理产品,用户可以制定全面的信息收发监控策略,有效控制关键信息的传播范围,以及避免可能引起的法律风险。
上网行为分析
随着互联网上的活动愈演愈烈,实时掌握员工互联网使用状况可以避免很多隐藏的风险。
通过上网行为管理产品,用户可以实时了解、统计、分析互联网使用状况,并根据分析结果对管理策略做调整和优化。
3.2.2网络安全审计
系统的主要目标是:帮助企业管理者更好的管理企业内部的重要信息资料,提高员工的工作效率;
其次是:协助IT主管便捷的管理日益增长的PC运营维护和安全管理需求。
内网安全管理系统主要功能和作用
程序功能
一、管理类功能:
可禁止电脑外部设备的使用。包括:USB存储设备、光驱、通讯设备、打印设备等等;可以只允许使用公司指定的U盘;同时也可以禁止修改IP地址。
可以对指定的程序进行禁止。
功能描述
根据风险评估,制定事前预防策略,对相应的设备进行禁止,预防文件泄密。可以灵活的开启设备,不影响员工的正常使用。
对工作之外的程序进行禁止,如工作时间禁止玩游戏、-20-管理作用
禁用设备
禁止应用程序
聊天、BT下载等程序,提高工作效率。
可对指定的网站进行禁止,或者采取反选,对指定的网站外的网站进行禁止。
防止内部员工滥用网络资源,随意且长时间的访问与工作无关的网站,导致工作效率的低下。
方便管理者进行网络行为的巡视,发现违规行为,及时纠正。可以查看以前的屏幕记录,进行事后追查。(可选项功能)。
方便管理者对员工互联网聊天行为进行管理,避免员工上班时间过度聊与工作无关内容。(可选项功能)
员工对电脑操作行为的痕迹得到监控,为泄密行为的事中发现,事后追查提供了帮助,弥补了电子文档安全管理中的最薄弱环节。
对泄密者添加泄密设备(如:闪存、移动硬盘等)实现及时报警,对相应的文件或某个类型文件的操作实现及时报警,为安全事件发生后进行及时管理提供帮助。
上网限制
可以看到网络内员工正在操作计算机的最新画面,可以查看到网内员工屏幕快照并保留记录
操作过的历史画面,并连续播放历史画面。
聊天内容监控
对msn、qq等聊天工具的聊天内容进行监控
文档操作痕迹记录
可以详细的记录每个员工在本机及网络上操作过的文件,包括访问、创建、复制、移动、改名、删除、恢复以及文档打印等记录。
报警规则
可设置硬件或软件信息变化的报警规则,设置某个或某类文件的各种操作报警规则。
外来电脑接入管理
有效的防止外来计算机侵入通过设置禁止外来电脑访问内部局单位内部就局域网,可根据域网共享资源、内部重要的服务器。
需要灵活的设置外来计算机跟网内计算机的通讯方向。
员工往往因为工作需要设置共享文件夹,然而有时员工由于疏忽未能及时关闭共享,导致共享文件很容易被别有用心的员工或外来计算机窃取。
若发现网内计算机有非法操作,可以及时的采取行动,对非法行为进行及时控制,避免非法行为的继续,挽回损失。
删除网络共享
可以及时查看和删除网络内任意计算机的网络共享文件夹。
锁定计算机
可以锁定网络内任意计算机的键盘和鼠标操作。
应用程序报告
可分时间段查看某个员工打开某个可以客观的评估员工使公司应用程序的全部时间和活动的时间,电脑的情况和效率,方便进以及所占的百分比。
行员工的行为管理评估。
-21-
访问网站报告
可时间段查看某个员工打开每个网站的全部时间和活动时间,以及所占的百分比。
可以客观的评估出员工访问网站的情况和效率,查看员工的上网行为,方便进行员工的网络行为管理。
二、网络维护类功能:
资产管理
管理者可以灵活查询的分类可以自定义查看硬件或软件的资产统计网内计算机的硬件和软分布情况,查看某个硬件或软件分布件信息,为IT资产管理提供在哪些计算机,并统计出合计数量。
方便和决策支持。
可以远程控制、登陆、注销、重启计算机,支持键盘输入和登录快捷键操作。
方便IT管理者对网内计算机进行远程维护,同时支持异地远程维护,实现了跨区域分支机构的集中管理和控制。
实现程序的自动化部署,比如:补丁程序、应用程序,大大提高程序部署的效率,提升IT部门的工作水平,让IT管理者不再为大量的机械性、重复性的程序安装工作而浪费精力!
管理者可以实施查看网络的带宽流量、在网络发病毒的时候可以将电脑断开隔离。
让IT管理者从多个角度来了解网络内每台计算机的全面的日志信息,为故障排除和网络管理提供有力支持。
远程维护
补丁、软件分发
可以自动分发程序、修复程序和派发文件
流量监控
可以监控网络的流量,实现流量统计。
详细记录网内计算机的操作窗口、报警记录、控制台发出的控制信息、浏览的网页、启动和关闭的应用程序、软件的添加与删除、系统的启动与关闭、应用程序的启动与关闭、硬件的添加与删除
事件日志
安全与管理系统
对各单位而言,防火墙、VPN、杀毒软件等等有关网络安全的产品层层叠加,成本也在不断的叠加,缺乏统一管理的网络安全系统,似乎仍然抵挡不住各种安全隐患的发生,因此,基于“统一安全管理平台”的网络安全产品市场机遇孕育而生。建设一套统一管理平台,包含网络管理、安全管理和应用管理。
随着各类安全软硬件设备的部署,增大了管理难度和工作强度,各类设备管理方法、管理界面不统一,增大了管理成本,降低了管理质量,也可能因顾此失
-22-
彼产生隐患。
采用统一的安全管理平台,将网络设备(路由器、交换机)、安全设备(防火墙、IPS、IDS)、服务器、应用层安全设备(带宽控制、服务器负载均衡)等进行有机的整合,加以统一管理监控。使管理员从单纯的设备管理中解脱出来,通过一个产品实现对全网运行情况的监控,实现了由技术管理到策略管理的提升。统一管理平台主要功能包括日志管理,为系统分析提供完整的支持数据。定期自动生成网络审计报告,方便管理员对专网控制区的安全状况实行定期审查,方便管理员对全网安全状况进行统一审查,帮助管理员全面了解网络应用模型和流量趋势,同时也可以检测出实施了某项安全策略之后,安全体系提升的情况,这种变化将有助于专网控制区管理员很好的了解网络安全状况。
统一安全管理平台是对对IT资源的管理,除了传统的网络资源(路由、交换等网络设备)管理外,还能支持对计算资源(服务器、计算机等)、以及IP安全、无线、语音、存储、监控等所有资源的管理。此外,创新的融和了IT用户和业务的管理内容,使管理的范畴从IT资源本身延展到了IT资源的使用者和使用业务,使客户能在统一的操作门户下实现了三者的融合集中管理。在此基础上,统一管理平台以客户实际管理业务的需求为牵引,灵活的组配各个管理功能组件,形成了丰富的解决方案,从根本上解决了管理的复杂性问题,提升了IT为客户传递的价值。
统一管理平台,提供统一接口和界面,为用户提供了实用、易用的网络管理功能,在网络资源的集中管理基础上,实现拓扑、故障、性能等管理功能,不仅提供功能,更通过流程向导的方式告诉用户如何使用功能满足业务需求,为用户提供了网络精细化管理最佳的工具软件,除了涵盖网络管理功能外,还是其他业务管理组件的承载平台,共同实现了管理的深入融合联动。
-23-
-24-
篇二:网络改造方案内容
网络改造方案范本5篇
一、主题:告别母校师恩难忘放飞理想
二、时间:7月2日上午8点30分
三、地点:多媒体教室
四、邀请嘉宾:校长、学校各位中层领导
五、参加人员:六年级任课教师和学生
六、活动的目的:
六年的小学生活对每个人来说都是非常难忘的。在小学里,学生学会求知,学会做人、学会交往在学生即将离开母校的时候,通过隆重而有意义的毕业典礼让毕业生表达对母校、对老师的感谢之情,以及对明天幸福生活的憧憬。
七、活动过程:
(一)音乐响起(《最后一个夏天》)主持人走上台。
告别母校师恩难忘放飞理想港沟中心小学20__年小学毕业生毕业典礼现在开始。
(二)领导代表讲话
这是一个光荣的时刻,也是一个庄严而充满希望的时刻。我们今天在这里,不仅是为了举行一个毕业典礼,也是为了见证你们的成长,见证你们新的征程的开始,非常高兴与你们一起分享此刻的荣耀。
首先,祝贺你们顺利完成了小学的学习任务。祝贺你们要从新的起点开始人生又一段新的征程。同时,我也要向为你们成长倾注了无数心血的老师们致敬。正是他们的言传身教、无私奉献,才使你们迎来了今天充满喜悦的丰收季节。六年,两天多个日日夜夜匆匆而过。六年,学校留下了你们成长的足迹,学校也因你们的存在而骄傲,希望你们常回家看看。最后,祝愿大家在以后的人生征程中学业有成,一帆风顺。
赵主任意味深长的话语,鼓励着我们走向更好更高的目标。我相信,不久的将来,我们港沟中心小学会因为拥有我们而骄傲。
(三)毕业生代表讲话(播放背景音乐《每当我走过老师窗前》)
六年的校园生活,留下我们银铃般的欢笑,那笑声仿佛还在校园的四周回荡。六年的校园生活,留下我们磨练翅膀的背影,那背影是如此深刻的印记在我们的脑海里。此时此刻,我们是多么的恋恋不舍,因为这里有太多太多美好的记忆,还没来得及向你一一倾诉。有请优秀毕业生代表发言。
(四)教师代表讲话
为让员工度过一个温馨、欢快的元宵佳节,经我们房地产酒店工会研究决定,特组织“闹元宵,猜灯谜”文化活动,拟订活动方案如下:
一、活动主题
“闹元宵,猜灯谜”
二、活动时间
2022年__月__日晚7:00整
三、活动地点
酒店餐厅
四、活动准备
1、前期工作:由工会负责收集整理活动期间的各种灯谜及道具、活动背景制作、宣传海报、购买奖品、水果、干果、饮料等。
2、场地布置:_月_日上午,由工会牵头,行政部、机动能源部协助进行会场布置,悬挂准备元宵节灯谜(具体在餐厅四周拉上铁丝,悬挂灯谜)。
3、活动期间:由酒店行政部负责音响设备的调试及播放节日音乐,渲染气氛;工会负责瓜子、花生、水果、饮料的装盘及摆放工作;酒店团委协助维持活动期间的秩序。
4、各分会安排专人协助工会负责组织猜谜活动的前期宣传,包括人员通知,活动期间的奖品发放等工作。
5、活动结束:由各分会主席安排人员协助清扫场地,整理、归还物品及道具等。
五、活动环节设置
第一环节:“你来比划,我来猜”。由每桌推荐2名选手参与此环节的游戏(1个负责比划,1个负责竞猜)。
游戏规则:负责比划的选手可以用语言和肢体动作来向猜词
者传达信息,但不得说出词中的任何一个字,不得同音/谐音,否则算犯规,此题作废。猜不出可喊“过”!则换下一题,以在限定的时间内猜出最多的词汇为最终胜利方。分数相同的组可加赛一次。
主持人负责此环节的规则介绍,流程掌控,气氛渲染、提示工作人员奖品发放等。
第二环节:“猜灯谜”。由现场所有人员参与。
游戏规则:
1、猜谜者每猜一个灯谜,必须先到指定兑奖处核对谜底,确认正确无误后,由巡视人员取下谜面交兑奖处,由工作人员进行登记后,方可领取奖品;猜错者不领取奖品,谜面继续保留使用。(谜面由巡视人员负责揭取,严禁猜谜者撕扯、或私自取下谜面)
2、猜对一条谜语兑换一份奖品。
3、谜语共计__条,其中:
第001-100条灯谜到一号兑奖桌核对答案;第101-200条灯谜到二号兑奖桌核对答案;第__条灯谜到三号兑奖桌核对答案;第301-400条灯谜到四号兑奖桌核对答案。
4、奖项设置:
共设置奖品__份,猜对一条谜语兑换一份奖品,奖品兑完,活动结束。
一至四号兑奖桌(点)工作人员由各分会委派,每桌(点)工作人员为3人,其中:谜底核对1人、谜面巡视1人,奖品登记1人。
抽奖环节:由现场所有人参与。
游戏规则:每位进场人员均在工作人员的引领下取得号码牌1张,在第一环节进行中,可由主持人(或邀请酒店领导层)负责现场抽奖,被抽到的号码可获得小礼品一份。
奖项设置:奖品10份。
六、活动注意事项
1、“比划猜”环节现场在座人员不得提示,否则扣取犯规人员所在桌的分数1分;
2、“抽奖环节”只在第一环节中穿插,用于调节气氛;
3、猜谜要有秩序,兑奖按先后顺序排队,不得大声喧哗,不得利用手机或其他电子设备搜索答案,一经发现,按无效论处,不发奖品。
4、谜底猜出后,员工只需把谜面题号记住,到指定兑奖处向工作人员报告谜面题号及答案,回答正确由巡视人员取下相应谜面,回答错误则保留谜面继续使用,严禁私自将谜面取下。
七、活动道具
1、制作灯谜用彩纸、铁丝;
2、舞台背景、海报;
3、水果、瓜子花生、饮料;
4、抽奖箱、抽奖号;
5、投影仪及笔记本电脑;
6、音箱设备;
7、小礼品__份。
八、活动费用预算
1、猜谜用彩纸:__元;
2、背景制作、宣传海报:__元;
3、水果、瓜子花生、饮料:__元;
4、礼品__份(含抽奖环节__份奖品)__元/份__份=__元。
费用合计:约x万元。
为了更好地展示我乡中小学校艺术和素质教育成果及学生艺术天才、优秀作品和健康向上的精神风貌,经中心学校研究决定5月23日在__溪小学举行“庆六一、展风采”为主题的庆祝活动。为使庆祝活动顺利进行,特制定本方案如下:
一、活动目的经过开展“庆六一、展风采”活动,使儿童在进取的参与中体验合作与交往的欢乐,从而度过一个幸福,难忘的“六一”儿童节。使教师、家长在参与儿童节的活动中进一步感悟儿童教育观念,从中使自我对如何教育孩子有所启发,经过向家长、社会展示学生的风采活动,进一步塑造全乡学校的良好形象。
二、活动资料
1,学生作品展示;
各校在__小学教室展示学生作品。每校单独设立一个展示台,此项工作必须在庆祝会前一天完成。中心学校将派人到实地督促。
2,文艺节目汇演。
三、组织机构
组长:
副组长:
成员:
领导小组下设办公室,__红兼任办公室主任,具体负责此项活动工作。
四、活动安排
时间:20__年5月23日。
地点;__小学.
主办单位:__中心学校
场所布置:会标,宣传标语
出席人员:县局领导、乡党政领导、全乡中小学校校长。
活动程序:
1、8;00-8;30;庆祝仪式.升国旗.领导讲话.__溪小学学生表演学校团体舞.
2、8;40-12;30;上级领导参观学生作品展示及观看文艺节目.
3、8:30-9:00;
评委观看各校学生作品,并给作品评分。
4、9;00-12;50;文娱汇演,评委观看文艺节目且给节目评分.
5、.12;00-12;30;公布评比结果、颁奖.;
五、活动要求;
(1)5月22日,各校携带本校学生作品到__溪小学布置展厅.教室安排;__溪小学教学楼一楼教室自西往东,第一个教室__小学、__小学,二个教室__溪小学,三个教室__中学,第四个教室__小学、__小学。
(2)5月23日上午,.各(公文有约供给)校选派20名学生代表(包括演员)及领队和辅导教师参加,__小学、___中学全体师生参加。各校要求有校旗、队旗,参加活动的学生要佩戴红领巾且服饰整齐、素养良好.
(3)各校代表必须在5月23日上午7;30之前赶到活动地点.
(4)活动布置安排由中心学校负责,__小学配合完成.
(5)各校推荐一名教师作为庆祝活动的评委,组成庆祝活动评审小组.评分方法:去最高分和最低分,取其平均分为该项目得分.
六、活动评比
1.评比项目;(1)学生作品、(2)文娱节目、(3)学校总评
2.奖项设置;
(1)学生作品;一等奖1个;二等奖2个;三等奖3个;
(2)文娱节目;一等奖1个;二等奖2个;三等奖3个;
(3)学校总评;一等奖1个;二等奖2个;三等奖2个;
3、奖金设置
(1)学生作品奖:一等奖30元、二等奖20元、三等奖10元。
(2)文娱节目奖:一等奖50元、二等奖30元、三等奖10元。
(3)学校总评:一等奖300元、二等奖200元、三等奖100元。
活动背景:正值愚人节到来之际,为迎合这种浓浓的文化气氛,活跃安大的校园氛围,因而本次周末文化广场是一次以春春‘愚’动为主题的校园活动,希望同学们在迎接春天到来在户外可以多些机会锻炼运动的同时,也给同学们带来轻松与快乐,并使同学能更加积极乐观轻松地看待生活与学习。
一、活动目的及意义
本次特色活动做到文、体、美相结合,定于_月_日举行,一方面通过庆祝节日来丰富同学们的课余生活,减轻学习的负担。另一方面增进全院同学之间的感情,此外为本学期开创一个良好
的开端,营造一种轻松,欢愉的氛围。
二、活动主题
春春‘愚’动。
三、主办方
国际教育学院。
四、活动时间
2022年4月1日。
五、活动地点
__学院行政楼旁。
六、活动对象
__师院全体学生。
七、活动流程
本院学子风采作品展览__趣味游戏__文艺表演(穿插于游戏中)。
作品展览:
收集本学院学生的绘画作品、摄影作品、书法作品等做成一个展览板,与本次周末文化广场的宣传栏放一起,一方面丰富学生视野,展现本院学子风采,提高本学院知名度,另一方面为本次周末文化广场活动达到宣传效益。
趣味游戏:
1、齐心协力
把同学分成两大组比赛,甲、乙两组各派两个同学,两个同
学背靠背夹一个气球,在直线上走一趟,气球不能掉下也不能破掉,赢的一组将挑战下一组,连赢两次就可以成为赢家。
2、背靠背捡手绢
游戏规则:以两名同学为一组,以立正姿势站好,听到哨声后两人同时弯腰捡手绢,以最快者捡起手绢为嬴,但得注意捡手绢的时候双腿不能弯曲,只能弯腰往下捡,违规者为输。
3、二人原地跳绳
游戏规则:分x组,每组x人。x人一人用一手拿绳子的一头同时摇绳子同时跳,在规定的时间内跳最多的为胜。
4、自行车慢速跑
游戏规则:参赛人员以最慢的速度骑自行车,越过障碍物,到达终点站最慢者为赢,骑车时脚不能着地,自行车不能停下。
5、二人三足
游戏规则:参赛两人相邻腿上的绑绳的位置不能高于膝盖部分,当然也不能低于脚裸,听到哨声后开始跑,以最快的速度跑回终点的为赢。
6、怪味可乐
游戏规则:每组x人,分x组,每组每人随机自行选取已加入各种调味料的可乐(糖,盐,醋,芥末,辣椒水),比赛者须迅速喝完手中的可乐,最慢的人将受到惩罚喝下终极怪味可乐(加入所有调味料的可乐)一杯。
游戏奖品设置:每一游戏环节胜出的同学将以扔大骰子的方
式决定奖品,大骰子六面均写上不同的礼品名称。凡是参与的同学都有机会获得小礼品。
宣传方案:学生会宣传部绘制活动宣传海报,各班文娱委员向本班同学宣传特色活动,本学院学生在班长处报名参加活动,此外在海报宣传栏处增设报名点,外院学生可在此报名参加,也可在活动当天现场报名。
八、前期工作安排
生活部提前购置气球,可乐,调味料等,文艺部负责组织文艺节目,学习部提前准备活动所需道具,宣传部于活动前制作海报,做好宣传方案,外联部拉赞助,以及在当天活动前负责布置活动会场。体育部学习部负责组织会场纪律以及维持会场秩序和处理突发事件。
九、活动后期安排
全体学生会成员打扫活动会场并开会进
行活动总结。
十、要求与注意事项
怪味可乐游戏环节需要为参赛选手准备
纸巾和纯净水。
十一、预期效果及展望
学生们积极的参加此次活动,达到增进情感,促进交流的目的。希望大家在一起度过一个愉快的愚人节!
一、市场定价策略:
1、避强定价:就是避免与竞争对手的直接冲突,在顾客心目中迅速树立自己的形象。
2、迎头定价:就是与竞争对手“对着干”,低档次的竞争只会在短期内奏效,必须迅速完善服务,使之演变为质量竞争。
3、重新定价:就是对销路不畅,市场反应差的产品进行二次定价,“知错就改”。菜肴、客房都有可能成为销路不畅的产品,要善于利用价格杠杆,随时调整。
二、举例
1、以婚宴为例
目前婚宴市场竞争激烈,各饭店都有自己的招数,如“满十送一”、“提供婚礼用车、用房”、“代发请柬、代办司仪”等,令新人省去了不少烦恼。除了上述增值项目外,还新出现了“代办酒水”业务。
代办酒水是指按进价向婚宴举办者结帐,数量上多退少补,省去了婚宴举办者自办酒水的种.种麻烦,促进了消费,表面看起来饭店无利可图,实际上饭店因为销量增加,可以从供货商那里得到回佣,这是运用避强定价策略达到舍明求暗目的的典型。
舍明——将婚宴举办者十分关注的酒水利润让掉。
求暗——菜肴毛利,酒水回佣,在该饭店办婚宴价格实惠的口碑——为争取下一个婚宴做好铺垫。
2、以旅游团队接待为例
客房的固定成本同样要通过提高出租率来转化,而接待旅游团队是提高基本客房出租率最直接、最有效的办法,在实际客房
出租率不是很高的情况下,接待旅行社团队可以帮助消化饭店的固定成本。假设客房部一天的固定成本(空调、人员工资、房屋及设备折旧等)为__元,变动成本率为营业额的10%(水电、客用品及布草洗涤费用等)。
如果当天营业收入为__元,按会计方法是当天实现利润为800元。
如果当天营业收入刚好为__元,按会计方法是当天亏损1000元;但是,从管理会计的角度看,此时的概念既不是保本,也不是亏本,正确的表述应该是当天转化了__元价值的固定成本。
同样的道理:如果当天客房出租率很低,是否可以按照保本价或略低于市场竞争价格销售客房呢?回答是肯定的,因为固定成本始终需要转化为货币,是整体转化还是分期转化并不重要,这就是重新定价的计算基础。
3、再以宴请为例
目前较高档的宴请一般都上龙虾,龙虾不仅是高档菜,而且也是整桌宴席身价的象征,但计价时各饭店都不相同,绝大多数社会饭店采取的是灵活作价,如一只1、5斤、进价240元的龙虾只售280元,按照传统的内扣毛利率的作价方式,该龙虾的毛利率只有:
(售价—进价)÷售价×100%=14、29%
按照饭店35%的内扣毛利率计算,此龙虾起码要卖369元,如此高档宴席在饭店内日趋稀少也就不足为奇了。
龙虾进货后没有及时销售,会导致餐饮资金周转问题,同样饭店每月销售不了几只龙虾,供货商也会失去信心。
与婚宴同样的理由,饭店也可以采取“舍明求暗”的策略。餐饮部只要不歇业就存在固定成本,如果用餐的顾客少、营业额低,固定成本就不能全额转化为价值。因此餐饮首先要考虑的是“人气”,然后才是利润。
餐饮管理人员要注重绝对,轻视相对。坚守较高的综合毛利率,不考虑用局部的牺牲来换取利润的.增加,是卖方市场的做法,而WTO以后的中国,服务领域全由消费者说了算,一个全面的买方市场已经到来。
4、各种折扣及授权
A、礼节性折扣——授予一线领班或主管
B、旅行社折扣——有两种,一是旅行社事先通过协议成为饭店订房网络成员(或称客房零售商)代商务客人订房,按目前行业惯例为10%佣金,总台向客人收取门市价(此门市价一定是随行就市,有一定竞争力的价格),由饭店财务返回10%或更多给旅行社;另一种是旅行社组团入住,由饭店营销部门依据订房期的客源情况以及营销协议,通知总台及财务结帐。
旅行社既是客房零售商,又是为饭店送来旅游团队、会议团队的批发商,因此饭店要重视与旅行社的合作,搞好关系。
C、长期住客折扣——由饭店出台相关政策,鼓励客人长住,如住十天送一天、住房送早餐等等。
D、官方折扣——饭店管理层为协调各方关系,对关系单位高级行政人员实行的一种优惠折扣。
E、商务折扣——由营销部门与客户具体议定的折扣。
篇三:网络改造方案内容
有限公司网络改造方案
设
计
方
案
批准
审核:
校对:
编写:
二○一七年十月九日
目录
一、改造需求................................................................................................................................3二、网络现况................................................................................................................................31、现场现况:
..........................................................................................................................32、存在问题:
..........................................................................................................................3三、网络建设目标
........................................................................................................................3四、无线设计................................................................................................................................31、结构设计
..............................................................................................................................32、AP选型
................................................................................................................................43、射频设计
..............................................................................................................................4五、网络架构设计
........................................................................................................................41、拓扑结构
..............................................................................................................................42、软件:..................................................................................................................................4六、设备拓扑图............................................................................................................................5七、设备清单................................................................................................................................6八、产品介绍................................................................................................................................61、防火墙..................................................................................................................................62、交换机..................................................................................................................................3、行为管理器
..........................................................................................................................4、无线......................................................................................................................................一、改造需求
对办公网络进行整体升级改造,升级改造分为三部分:
1、硬件升级改造,更换现在办公网络所有的硬件设备,包括交换机、路由器等网络设备。
2、网络升级优化,在硬件升级改造完毕后对网络进行整体的升级优化。
1)
对IP地址重新规划。
2)
对网络内所有客户端进行流量限制以及行为管理等。
3)
对网络按部门进行划分。
3、对新建仓库以及现有办公室、会议室建设WiFi覆盖。
二、网络现况
1、现场现况:
经过现场调研了解,在办公大楼已具备一定规模的网络,接入客户端大约有100多个,整体网络的核心为一台二层H3C交换机,在较大的两个办公室的接入层为H3C100M二层交换机,而其他较小的办公室则使用普通的100M8口交换机等,交换机摆放位置不恰当,线路凌乱,维护难度大等,无线方面则使用普通家用无线路由器。
2、存在问题:
1)目前所使用的网络设备虽然满足目前办公需求,但功能单一无法满足随着公司人数以及业务增长和发展的需求。
2)IP网段划分单一,且只有一个地址池可用IP数量越来越紧张。
3)整体网络均在同一Vlan下,若发生广播风暴或者ARP病毒等所有客户端均会受到影响。
4)无线方面使用的是普通家用路由器,在使用前均需要网管手动设置好方可接入,若员工私下接入则会对整个网络造成影响,且家用无线路由器的信号干扰大,稳定性差等问题。
三、网络建设目标
在系统设计时充分考虑到系统的先进性、实用性、可扩充性和可维护性,给用户提供最佳的产品和解决方案,建立一个可靠性高、运行速度快、扩展性强、安装维护简单、成本较低的办公网络。
在解决现有问题的同时还必须考虑到日后的扩展,此项目将采用华为公司的产品构建高速办公网络,为了更贴合使用环境和需求,核心层以骨干链路均使用千兆连接、而无线产品将使用2.4GHz、5GHz的双频产品。
四、无线设计
1、结构设计
使用AC+AP方式设计,AC以旁路形式接入到核心交换机对AP统一进行控制,AP则分散接入到各个接入层交换机当中。
2、AP选型
为了达到更好的体验效果此方案将使用双频段的802.11a/b/g/n室内型AP。
3、射频设计
1)频率
主要采用2.4G频段进行覆盖,而5G频段则进行近距离高速接入。
2)SSID按照用户需求可以配置多个SSID。
3)加密方式
支持WPA(TKIP)、WPA2(AES)、WPA-PSK、WEP(64/128位)数据加密,可由用户自行选择加密方式。
4)信道
信道采用手动模式部署,由于2.4G和5G的特性不一样,2.4G使用1、6、11信道进行部署,5G则采用自动模式部署。
五、网络架构设计
1、拓扑结构
整体网络采用两层结构,核心层和接入层
核心层:包括核心交换机、防火墙、行为管理器、无线控制器、原有VPN等设备
接入层:包括接入层交换机、无线接入点。
2、软件:
1)vlan划分:按部门划分,每个部门一个vlan。
2)IP地址分配:由部门vlan进行自动分配。
3)IP地址规划:每个部门一段C类IP地址,每个部门的前10个IP地址均保留给设备使用,如网关等。
4)访问控制:部门与部门之间不能互相访问,但可以访问服务器和打印机,总经理则不受限制。
隆基电子有限公司网络升级改造方案IP\VLAN规划部门总经理办公室服务器\网络设备工程部物控部QCPE报关仓库生产办公室设备保留\备用无线
VLAN88100110120130140150160170180190200IP段192.168.88.10-254/24192.168.100.10-254/24192.168.110.10-254/24192.168.120.10-254/24192.168.130.10-254/24192.168.140.10-254/24192.168.150.10-254/24192.168.160.10-254/24192.168.170.10-254/24192.168.180.10-254/24192.168.190.10-254/24192.168.200.10-207.254/21网关192.168.88.1192.168.100.1192.168.110.1192.168.120.1192.168.130.1192.168.140.1192.168.150.1192.168.160.1192.168.170.1192.168.180.1192.168.190.1192.168.200.1六、设备拓扑图
防火墙原有VPN行为管理器核心交换机无线控制器接入层交换机客户端
AP
七、设备清单
设备品牌型号产品描述SSG140System,512MBmemory,0PIMcards,ACpowerEX3200,48个10/100/1000BaseT(8POE接口)+320WACPS?EX3200,24-port10/100/1000BaseT(8-portsPoE)+320WACPSEX3200,48个10/100/1000BaseT(8POE接口)+320WACPS?千兆无线控制器,默认管理8个NAP,2个千兆电口无线控制器增加管理1台AP的授权支持802.11b/g/n,最大接入速率300Mbps,胖瘦一体化;支持POE和本地供电AP外置电源适配器12V2A适用于NAP-3600本地供电并发会话数120000、4千兆RJ45数量防火墙接入层接入层核心层AC管理AP数量授权APPOE供电模块上网行为管理器机柜安装调试费用JuniperJuniperJuniperJuniper信锐信锐信锐信锐深信服图腾SSG-140-SBEX3200-48TEX3200-24TEX3200-48TNAC-6100NAC-License-1APNAP-2400-S12V,2A电源适配器AC-1220挂壁、12U1231121010171八、产品介绍
1、防火墙
安全业务网关是专用安全产品为中等规模的分支办公机构和企业部署提供完善的安全、路由和局域网/广域网连接能力。通过状态防火墙、IPsecVPN、IPS、防病毒包括防间谍软件、防广告软件、防钓鱼、防垃圾邮件和网页过滤等全套统一威胁管理安全特性可保护进出分支办公机构或企业的流量不受蠕虫、间谍软件、木马和恶意软件的侵袭
瞻博网络
XXXX安全业务网关是一款适用于分支办公机构或中小规模的独立企业的高性能安全平台能够帮助企业免受内外攻击并阻止未授权的访问从而满足法规遵从性要求。XXXX是一个模块化平台能够提供超过
350Mbps的状态防火墙吞吐量和
100Mbps的IPsecVPN吞吐量。
安全性
由一流合作伙伴提供支持的经实践检验的统一威胁管理
(UTM)安全特性能够提供防御蠕虫、病毒、木马、垃圾邮件和不断出现的恶意软件的能力。为了满足内部安全和法规遵从性要XXXX系列支持一整套高级网络防护特性例如安全域、虚拟路由器和虚拟局域网使管理员能够把网络分割为不同的安全域每个域都运行自己独特的安全策略。保护每个安全域的策略包含了接入控制规则以及任意
UTM安全功能所提供的检测规则。
连接和路由
XXXX支持
10个板载接口8个
10/100和
2个
10/100/1000并有4个辅助
I/O扩展槽适用于额外的LAN和WAN接口T1、E1、ADSL2/2+、G.SHDSL、ISDNBRIS/T、串口和10/100/1000使
XXXX成为该级别产品中扩展能力最强的安全平台。灵活的I/O选件加上其路由引擎中的广域网协议和封装支持使
XXXX平台能够被作为路由器或集成的安全与路由设备轻松部署在传统的分支机构中从而降低资本支出和运营成本。
接入控制实施
在瞻博网络统一接入控制部署方案中通过简单地增加
IC系列UAC产品XXXX系列网关便可作为接入控制实施点。IC系列产品与
XXXX系列交互通过充当中央策略管理引擎来扩充或替换基于防火墙的接入控制。为了适应攻击场景和用户特征的不断变化XXXX基于更多的细粒度标准包括端点状态和用户识别来允许或拒绝接入。
世界级支持
从简单的实验室试验到大型网络部署瞻博网络的专业服务人员都将竭诚与您的团队进行协作以确定目标、定义部署流程、创建或验证网络设计并管理部署工作直至成功完成
2、交换机
2.1核心交换机&接入层交换机
系列以太网交换机提供第2层和第3层交换功能,可满足高绩效企业的配线间连接要求。交换机支持4种平台配置模式,为部分或全部的24个和48个10/100/1000BASE-T端口提供以太网供电(PoE)。24和48端口XXXX系列交换机的基本机型支持第3类PoE,在前8个端口上提供15.4瓦的电力,用于在融合网络中支持电话、摄像机和无线局域网(WLAN)接入点等基于IP的产品。XXXX系列交换机还提供在全部24或48个端口上都提供15.4瓦电力的PoE选项,适用于高密度IP电话和其他的融合网络环境。
架构和主要组件
XXXX系列交换机为1RU高的标准机柜,能够为空间和电力都十分宝贵的拥挤的配线间和接入交换机房提供小巧的解决方案。
每个XXXX系列交换机都支持可选的前端面板上行链路模块,可提供4个千兆以太网端口或2个万兆以太网端口,用于通过可插拔的光接口在配线间与上游汇聚交换机之间建立高速骨干或链路汇聚连接。用户在安装上行链路模块时无需给交换机断电,因此能够随时添加高速连接或从千兆以太网迁移到万兆以太网上行链路,以便实现极为灵活的高性能互连。
XXXX系列交换机还提供前端面板LCD显示器,以便作为灵活的界面来执行产品启动、配置回退、报警和指示交换机状态、或者将交换机恢复为默认设置等任务。
XXXX系列交换机的后端面板提供1个专用于带外管理的RJ-45以太网端口,同时后端面板还提供1个用于轻松加载JUNOSTM软件和配置文件USB端口。
特性和优势
高可用性特性
现场可替换的电源:XXXX系列交换机支持现场可替换的AC电源,从而缩短了MTTR。如果部署了可选的外部冗余电源,则EX3200系列交换机上的内部可替换电源将变成热插拔电源。
可热插拔的风扇托架:固定配置的XXXX系列交换机包括可热插拔的现场可替换风扇托架,从而缩短了MTTR。
运营商级硬件:固定配置的XXXX系列交换机利用基于ASIC的专用数据包转发引擎EX-PFE,该引擎集成了瞻博网络运营商级路由器所提供的大多数技术。因此,XXXX系列交换机能够像部署在全球最大型网络中的瞻博网络路由器一样,提供相同级别的可预测的、可扩展的功能。
冗余中继组(RTG):为了避免生成树协议(STP)的复杂性并且不影响网络永续性,XXXX系列交换机使用冗余中继组来提供必要的端口冗余并简化交换机配置。
3、行为管理器
技术的变革带来用户环境的变革,从而带动用户需求的变革
●
无线网络的迅猛发展,给网络环境带来巨大的变革,企业的有线办公正逐步向无线办公转变
●
移动智能终端已经超过PC成为第一终端,对移动终端的管理成为企业IT部门关注的问题
●
移动应用多种多样,不但占用带宽还占用员工上班时间,对移动应用的管控将成为企业必须面对的问题
●
无线硬件成本低廉,用户私接随身Wi-Fi给移动终端上网,不但占用网络资源,还给企业造成管理漏洞
全网全终端统一管控、管理无漏洞
●
能够管理有线网络、无线网络,同时能管理移动终端、PC/笔记本,让管理毫无漏洞
●
能够对移动应用进行有效的识别和精细管控(如微信传文件、微信聊天、微信朋友圈)
●
对非法无线热点能够及时发现和精准控制,秒级识别非法热点
●
能够基于位置、应用、终端、用户四维一体的进行识别与权限控制
上网行为管控更有效:上网应用识别更有效、管控更精细
●
应用识别种类更多(近600种移动应用)、时效性更强(2周更新及时淘汰)、准确度更高(迅雷、PPStream、风行等全流量识别)
●
应用控制更精细,区分动作(如社交网站的浏览、发帖回帖、上传)、区分方向(如网盘的上传,下载)
●
应用行为标签化管理,策略部署更简单、无遗漏
上网行为管控更有效:流量管理更精准、控制保障两不误
●
精确控制P2P上下行流量,带宽利用率提高30%●
流量管理策略更灵活,呈现更直观(能够针对URL类型、文件类型做流控,通道流量实时可视化以及细粒度的可视化报表)
●
动态流控,突破限制上限,不浪费带宽
上网行为管控更有效:外发数据识别更精确,真正防泄密
●
多种外发途径的有效管控(网盘上传附件控制、论坛上传附件控制、邮件外发附件审计与控制、IM外发文件控制等)
●
SSL加密内容识别与控制(邮件客户端收发加密邮件、加密论坛审计等)
4、无线
4.1无线接入点
XXXX是XXXX自主研发的802.11n无线接入点。XXXX内置全向天线,支持802.11b/g/n协议,最大无线接入速率达300Mbps,可提供更快的无线上网和更大的无线覆盖范围。
XXXXXXXX支持本地供电与PoE远程供电,可根据客户现场供电环境进行灵活选择。配合XXXXNAC系列控制器,为用户带来前所未有的快速体验和更安全的业务接入。
该系列产品基于室内放装型设计,外观美观大方,安装方便,适用于桌面放装以及挂壁。
11n高速接入
XXXXXXXX遵从11b/g/n协议标准,采用
2x2MIMO技术,最大传输速率可达300Mbps,可以有效地从覆盖范围、接入密度、稳定运行等方面提供更高性能的无线接入服务。
服务质量保证
XXXXXXXX支持丰富的服务质量保证(QoS),支持基于应用/SSID/STA多种模式的无线空口资源管理,保证无线带宽资源合理分配,保障重要SSID和重要应用的数据优先传输;支持802.11e/WMM,可对不同业务数据定义传输优先级等,真正实现顺畅无线办公。
二三层无缝漫游
XXXXXXXX结合XXXX无线控制器实现二三层无缝无感知漫游,当无线用户漫游时,保持IP地址与认证状态不变;并提供防终端粘滞功能,智能引导STA接入最佳AP上,提高漫游速度。
防终端拖滞,保证全网用户高速上网体验
防终端拖滞,采用时间公平算法,让不同协商速率的终端占用相等的无线信道时间,有效的解决某些终端接入速率过低导致无线上网卡、延时大、整个网络性能低下的问题。
智能负载均衡
在高密度无线用户的情况下,XXXXXXXX结合XXXX无线控制器通过基于用户数、流量的智能负载均衡,提高带宽利用率,保证用户的无线上网高速体验。
智能射频,全面降低无线干扰
自动调节无线接入点的工作信道及发射功率,并对周围环境干扰进行实时检测,全面降低无线干扰,提高无线网络的整体服务质量。
全面的安全防护
多种易用、安全的认证方式
提供多种灵活、易用、安全的用户认证方式,结合XXXX无线控制器实现802.1x、Portal、短信、微信、二维码授权、WAPI等认证方式,很好的满足了企业、学校、商场、酒店、金融等环境下的网络部署。
VPN远程访问
AP搭配XXXX无线控制器建立VPN加密通道,实现接入AP的无线用户访问企业内网资源共享,访问公网或本地资源时直接走本地转发。AP自带VPN功能,小型办事处无需部署VPN设备,节省了客户的网络部署成本
全面的无线安全防护
配合XXXX无线控制器,XXXX具备WIDS(无线入侵检测)/WIPS(无线入侵防御)、非法接入点的检测及反制、防ARP欺骗、DOS攻击防御等一系列无线安全防护功能,从根本上为用户构建真正安全可靠的无线网络。
射频定时关闭,保护网络安全,绿色环保
支持基于时间段定时关闭和开启射频,在夜晚或周末放假休息的时候可以自动关闭无线网络,防止不良分子利用深夜入侵网络,同时达到减少设备能耗的目的。
灵活网络部署
网关功能,跨公网远程部署
XXXXXXXX支持NAT网关功能,并具备DHCPserver和DNS代理功能,分支机构或门店在远程部署无线网络时,可以通过XXXX提供的PPPoE拨号功能直接连入互联网,降低网络建设成本。
胖瘦一体化
AP支持胖瘦一体化(支持胖和瘦两种工作模式),可以根据不同的组网需要,随时灵活的进行切换。当网络建设前期没有配置无线控制器时,AP可工作在胖模式,胖模式下的AP可自行独立组网使用;当后期AP规模较大并配置了无线控制器时,可将AP切换成瘦模式,由XXXX无线控制器统一集中管理,实现全网集中管控、安全认证、流量管理、行为控制、行为审计等。
本地转发
XXXX通过本地转发技术可以将传输要求实时性高、延迟敏感、数据量大的数据直接通过有线网络转发,无需再经过无线控制器,这样可以极大缓解无线控制器的流量压力,突破无线控制器的流量瓶颈限制。
虚拟AP技术
通过虚拟无线接入点(VirtualAP)技术,最多可提供16个ESSID,不同的SSID使用不同的认证接入方式和上网访问权限,不同SSID之间互相隔离的,可以对使用相同SSID的子网或同一个VLAN下进行终端二层隔离,保证用户数据安全。
中文SSID支持中文SSID,可指定最长包含32个字符的SSID,也可以使用中英文混合的SSID,为商场或企业提供个性化的SSID,提高识别度。
4.2无线控制器
XXXXNAC-6100无线控制器是XXXX技术自主研发的多元化、高性能的无线控制器设备,集无线控制器、用户认证、营销推送、客流分析、用户画像、上网行为管理、流量控制、上网行为审计、VPN、防火墙、Portal服务器、网络管理系统于一体。NAC-6100无线控制器可管理XXXX全系列AP,并具有二三层无缝无感知漫游、智能射频、多元化的认证方式、O2O增值营销、精细化的用户行为管理、灵活的QoS控制、无线协议优化、有线无线一体化等功能。
无线控制器支持集中转发和本地转发,可部署在任何2层或3层网络结构中,可减少企业无线部署复杂度;同时还支持网关路由模式,降低无线网络部署成本。XXXXNAC-6100无线控制器打造更安全、会营销的无线网络。
配合XXXX无线AP系列,定位于中型WLAN接入业务,如:企业、商超连锁、校园、酒店、医院、政府、金融、景区等高速的WIFI应用场景。
二三层无缝无感知漫游
XXXX无线控制器支持集中转发和本地转发,可部署在任意二、三网络结构中,跨越三层网络结构部署,简化部署环节。当无线用户漫游时,保持IP地址与认证状态不变,从而提供全网无缝无感知三层漫游。
智能射频,全面降低无线干扰
自动调节无线接入点的工作信道及发射功率,并对周围环境干扰进行实时检测,全面降低无线干扰,提高无线网络的整体服务质量。
防终端拖滞,终端公平访问
防终端拖滞,采用时间公平算法,让不同协商速率的终端占用相等的无线信道时间,有效的解决某些终端接入速率过低导致无线上网卡、延时大、整个网络性能低下的问题。
APP和文件缓存
无线控制器内置硬盘,支持APP和文件的缓存,方便用户就近下载APP,避免从公网下载浪费带宽资源,也为APP营销做有利的支撑。同时也支持文件的缓存,可以提前在控制器后台设置需要缓存的文件格式,控制器就能按照规则缓存该文件。方便用户就近调取。
负载均衡
在高密度无线用户的情况下,通过基于用户数、流量、信道利用率、频段的智能负载均衡,提高带宽利用率,保证用户的无线上网高速体验。基于频段的负载均衡,使支持2.4G/5G双频的终端优先接入5GHz频段。同时,可以根据不同的区域、不同的建筑物设置不同的负载均衡参数,使负载均衡效果更佳,使用更灵活。
篇四:网络改造方案内容
WORD格式可编辑
网络改造设计方案
建议报告
2018年
2月
公司网络现状及需求分析
专业知识整理分享
WORD格式可编辑
1.1前言
当今社会已步入信息社会,信息成为社会经济发展的核心因素,信息化已成为当今世界潮流。自从
1993年美国政府公布实施“信息高速公路计划”之后,在世界引起巨大反响,许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。
信息技术作为新技术革命的核心.不仅具有高增值性、成为最具经济活力的经济增长点,而且具有高渗透性,以极强的亲和力和扩散速度向经济各部门渗透,使其结构和效益发生根本性改变。信息化已成为当代经济发展与社会进步的巨大推力,尤其是作为国民经济信息化基础的企业信息化,当前更显得尤为重要,信息化建设已成为企业发展的必由之路。信息化是企业加快实现现代化的必然选择!
随着信息时代的到来,企业的生存和竞争环境发生了根本性的变化。对于大型企业而言,信息化无论是作为战略手段还是战术手段,在企业经营中发挥着举足轻重的作用。
随着近年来企业信息化建设的深入,企业的运作越来越融入计算机网络,企业的沟通、应用、财务、决策、会议等等数据流都在企业网络上传输,构建一个“安全可靠、性能卓越、管理方便”的“高品质”大型企业网络已经成为企业信息化建设成功的关键基石。
1.2背景分析
公司的网络改造是公司为了适应新形势下企业激烈竞争,提高公司核心竞争力的一项具有战略意义的举措。成功的网络改造将使我公司能够在较长时间里在高科技领域竞争中继续保持科技优势,从而推动各项业务水平的快速发展。
公司的网络现状如下图
专业知识整理分享
WORD格式可编辑
:
专业知识整理分享
WORD格式可编辑
伴随着公司的飞速发展,越来越多的分支机构单位和业务系统接入到网络当中,造成公司网络规模不断扩张,网络结构也越来越复杂,而陈旧的网络核心设备和庞大的网络架构,也带来网络骨干性能不足、IT
运维监控滞后、服务器负载效率低下、网络安全隐患众多等一系列问题,目前,我公司网络系统面临问题的详细情况如下:
1、核心设备陈旧
网络核心
S6506厂家已停产,无法进行板块扩容,也没有备品备件,且
S6506已在线运行多年,一旦出问题网络瘫痪后无法第一时间迅速恢复。
专业知识整理分享
WORD格式可编辑
2、网络架构复杂网关错位
整体网络架构没有进行统一规划,多级串联现象严重,造成网络结构庞杂,增加了很多网络传输延迟和故障节点。
3、运维监控滞后
无法对网络流量进行实时监控和回溯审计,造成盲目的“黑盒运维”---无法及时准确地掌握网络整体性能、应用负载,并进行针对性的调优,更无法准确定位网络异常原因,排查网络故障和隐患。
4、网络性能存在瓶颈
现有网络骨干是百兆网络局域网,但网络吞吐约
200G/天,流量峰值是
200M/S,平均流量为
80M/S,其中流量吞吐最大的是
192.168.8.1的营销系统服务器,而一旦局域网中出现
P2P、大文件传输、视频流媒体等数据流,正常业务的带宽就会受到挤占和消耗,造成网络访问拥塞,出现延时大,响应慢等现象。
5、业务系统性能待调优
首先是
OA系统因为访问量少,所以响应快,延时小,性能最好。
其次是营销系统,在业务高峰时期会有上万(约
13000左右)的并发会话,此时服务器性能和网络非常吃紧。
接着是财务
NC
系统,因为服务器挂在云端,本地是通过
VPN
去进行访问,导致服务器访问性能在广域网传输过程耗损较多,所以,交互质量差的应用会话比例很高,系统整体性能较差。
最后是集抄系统,该业务系统虽然整体流量不大,但总体性能表现并不高,这跟两台服务器没有很效地对访问请求进行负载分担有一定关系。
6、网络存在安全隐患
网络中存在一些病毒木马、端口扫描、未知异常广播等网络安全隐患,干扰正
专业知识整理分享
WORD格式可编辑
常网络通信,影响数据传输,并可能造成数据泄密、业务系统无法运转等风险。
7、监控流媒体挤占正常业务带宽
专业知识整理分享
WORD格式可编辑
平时的业务数据和监控流媒体数据混在网络中一起传输而未被分开,会导致视频监控数据挤占正常业务带宽通道进行传输,极大造成了局域网带宽资源浪费,影响业务传输质量。
8、运维组织有待完善
分支机构接入较多,私接串接导致故障现象屡见不鲜,使运维人员应接不暇,需从制度上和技术上,加强运维组织管理。
1.3用户需求
骨干网络高性能、高稳定性需求
网络骨干包括网络的核心层和汇聚层,是整个网络流量的承受者和汇聚者,因此对骨干网络高性能、高稳定性提出了高的要求。为了提高设备的可靠性和稳定性,可采用骨干网络冗余设计,能够实现设备的热备和失效自动切换。
网络安全性需求
网络安全包括网络级、系统级、用户级、应用级的安全,在网络级,需要利用防火墙的过滤与隔离功能,将信任网络(内网)和不信任的网络(外网)隔离开来,并利用防火墙或出口路由器的NAT(网络地址转换)功能,对外屏蔽内网的网络拓扑信息,从而避免整网受到外来攻击。
在网络内部,根据用户的网络使用需求,将用户和网络资源划分为不同的VLAN,在
VLAN间根据需求启用相应的ACL(访问控制列表),从而保证用户的物理隔离和资源访问的安全。
网络监控管理分析需求
在不影响关键业务运行的前提下,收集分析网络流量中的应用信息,网络管理员可以定义、监控并评估网络连接性、安全性和性能策略,并进行网络的规划和设计,并且能够使管理员了解计算机网络系统的整体状况,可监控到来自网络内
专业知识整理分享
WORD格式可编辑
部和外部的“黑客”入侵,能够为查明入侵的来源提供有效的依据,直观的显示各种网络流量运行状态,并对各种异常情况
专业知识整理分享
WORD格式可编辑
实现自动报警。
1.4设计思路
公司网络设计为三层结构,系统的设计应充分利用当今先进的网络技术,实现网络数据高速有序流通,建立高效率的信息网络平台,形成各个部门内外相联、上下贯通的信息传输网络。
改造后的我公司网络平台应是一个技术先进、性能可靠、功能齐全的系统,系统内的各级用户在各自权限内,在各自站点上进行各自的工作,满足网上语音、视频、监控等多种应用,为集团业务发展提供一个稳定的信息高速公路基础平台。
1.5建设目标
尽量保留现有网络中的设备,在确保公司正常业务使用的前提下减少公司投资。
不仅要考虑到如何实现数据的高性能传输,还要充分考虑网络的冗余与可靠,让系统在运行过程发生故障时,能迅速恢复正常工作,避免造成企业经济损失。
改造后的网络系统具有良好的可维护性与可管理性,让管理员通过智能化分析工具后对网络运行状况了如指掌,高效率地处置运行故障与安全威胁。
为公司网络基础设施的未来发展提供良好的扩展接口,让网络核心骨干随着公司规模的扩大、业务的增长,便于进行系统的扩展和升级。
1.6设计原则
在整个网络改造设计过程中,力求尽量利用现有资源的基础上进行改造,严格遵循网络规范和设计原则,为用户打造一个稳定,安全的网络环境,具体考虑到
专业知识整理分享
WORD格式可编辑
以下的各个方面。
1、稳定性
网络的可靠性和稳定性非常重要,决定着网络能够正常运行,在网络设计时,不论是网络节点、通信线路、应用设备还是网络拓扑的设计,都应该对可靠性和稳定性加以考虑,尽量减少故障节点,确保系统运行可靠。
2、先进性
设计网络系统的目的主要就是应用。因此,在设计时应当以注重实用和成效为原则,紧
专业知识整理分享
WORD格式可编辑
密结合具体应用的实际需要。在技术上应该采用先进的网络技术和网络产品,选择技术成熟和实用效果好、市场占有率高、通用性好的设备,适应信息技术的迅速发展,具有良好的技术先进性。
3、安全性
对于内部网络以及外部访问的安全必须高度重视,设计部署可靠的系统安全解决方案,避免安全隐患,采取防攻击、防篡改等技术措施,管理和技术并重,全方位构建整个网络安全保障,保证数据和服务器的安全。
4、可管理性
考虑到网络系统的后期管理和维护,在方案设计中要充分考虑各个设备和系统的可管理性,使系统建成后易于管理、易于维护、操作简单、易学、易用,有效地提高对网络的管理,便于管理人员进行配置和处理故障。
5、可扩展性
着眼长远考虑,不但满足当前需要,并能满足后期扩展的需要,充分考虑今后网络的发展,预留升级和扩充余量,能够兼容不同厂家、不同类型的网络产品及应用软件,便于向更新技术的升级与衔接。
6、经济性
本次系统改造建设中,要充分考虑原有系统资源的有效利用,发挥原有设备资源的价值,本着以最少的改造成本,获得最大的改造效果。对一些运行良好的硬件设备及应用软件要加以保护并合理利用,节省一部分投资。另外,对于新增的设备,要尽量选择技术成熟可靠、性价比较高的设备,达到实用、经济和有效的效果。
1.设计依据及标准
本次网络改造方案设计参考的标准和依据包括:
专业知识整理分享
WORD格式可编辑
信息及网络系统设计标准
《信息技术通用多八位编码字符集(UCS)》(GB13000.1)?
《信息技术系统间远程通信和信息交换
局域网和城域网》(GB15629.11-2003)?
《信息处理系统光纤分布式数据接口》(ISO
9314-1:1989)?
《光纤分布式数据接口(FDDI)高速局域网标准》(ANSIX3T9.5)
《通信光缆的一般要求》(GB/T7427-87)
专业知识整理分享
WORD格式可编辑
结构化布线系统设计标准
《建筑和建筑群综合布线系统工程设计规范》(GB/T50311-2006)?
《建筑和建筑群综合布线系统工程验收规范》(GB/T50312-2006)?
《信息技术用户建筑群通用布缆》
(ISO/IEC11801:2002)?
《信息技术用户建筑群布缆的实施和运行》(ISO/IEC14763-1:1999)?
《信息技术用户建筑群布缆配置》(ISO/IEC14709-1:1997)?
《信息技术用户建筑群布缆的通路和空间》(ISO/IEC18010:2002)
《光纤总规范》(GB/T15972.2-1998)?
《民用建筑通讯通道和空间标准》(EIA
TIA569)信息安全设计标准
《计算机软件配置管理计划规范》(GB/T12505--1990)
《计算机信息系统安全保护等级划分规范》(GB17859-1999)
《计算机信息系统安全专用产品分类原则》(GB163-1997)
《信息技术设备的安全
(ideIEC60950:1999)》(GB4943-2001)
《信息技术安全性评估准则》(GB/T18336.1—2001)
《信息技术信息安全管理实施规则》(ISO17799—2000)
《涉及国家秘密的计算机信息系统保密技术要求》(BMZ1-2000)?
《涉密信息设备使用现场的电磁泄漏发射防护要求》(BMB5-2000)?
《涉及国家秘密的计算机信息系统安全保密测评指南》(BMZ
3-2001)智能化系统设计规范
《智能建筑设计标准》(GB/T50314-2006)
《建筑及居住区数字化技术应用系列标准》(GB/T20299-2006)
《建筑智能化系统设计技术规程》(DB/J01-615-2003)
《公共建筑节能标准》(GB50189-2005)
《民用建筑电气设计规范》(JGJ/T)机房工程系统设计标准
《电子计算机场地规通用规则》(GB/T2887-2000)
《计算机场地安全要求》(GB9361-1988)
《电子计算机机房设计规范》(GB50174-1993)
专业知识整理分享
WORD格式可编辑
《防静电活动地板通用规范》(SJ/T10796-2001)
《电信专业房屋设计规范》(YD5003-1994)
《通信机房静电防护通则》(YD/T754-1995)火灾报警系统设计标准
《高层民用建筑设计防火规范》(GB50045-1995)
《火灾自动报警系统设计规范》(GB50116-1998)?
《建筑设计防火规范》(GBJ16-1987)?
《火灾报警控制器通用技术条件》(GB4717-2005)?
《点型感烟火灾探测器技术要求及试验方法》(GB4715-2005)?
《点型感温火灾探测器技术要求及试验方法》(GB4716-2005)?
《线型光束感烟火灾探测器技术要求及试验方法》(GB14003-2005)?
《点型红外火焰探测器性能要求及试验方法》(GB
15631-1995)综合安防系统设计标准
《安全防范工程技术规范》(GB50348-2004)?
《安全防范系统验收规则》(GA308-2001)?
《安全防范工程程序和要求》(GA/T75-1994)?
《安全防范工程费用概预算定额编制方法》(GA/T78-1994)?
《出入口控制系统技术要求》(GA/T394-2002)?
《出入口控制系统工程设计规范》(GB50396-2007)?
《视频安防监控系统技术要求》(GA/T367-2001)?
《视频安防监控系统工程设计规范》(GB50395-2007)?
《安全防范报警系统设备安全要求和试验方法》(GB16796-1997)?
《报警系统电源装置、测试方法和性能规范》(GB/T
15408-1994)防雷与接地系统设计标准
《建筑物防雷设计规范》(GB50057-2010)
《建筑物电子信息系统防雷技术规范》(GB50343-2012)
《通信工程电源系统防雷技术规范》(YD5078-1998)?
《通讯局(站)低压配电系统用点涌保护器》(YD/T1235-2002)?
《通讯局(站)接地设计暂行技术规范》(YDJ26-1989)
专业知识整理分享
WORD格式可编辑
《计算机信息系统防雷保安器》(GA173-2002)?
《计算机信息系统雷电电磁脉冲安全防护规范》(GA267-2000)
《建筑物的雷电防护》(IEC61024:
1990-1998)工程及设备质量验收规范
《智能建筑工程质量验收规范》(GB50339-2003)
《智能建筑工程检测规程》(CECS182:2005)
《建筑及居住区数字化技术应用》(GB/T20299.2)
《安全防范系统验收规则》(GA308-2001)
《安全防范报价设备安全要求和实验方法》(GB16796-1997)
《建筑与建筑群综合布线系统工验收规范》(GB/T50312-2000)其他设计标准
《信息技术互连国际标准》(ISO/IEC11801-95)
《建筑内部装修设计防火规范》(GB-50222-95)
《电气装置安装工程施工及验收规范》(GBJ232-82)
《民用建筑电气设计规范》(JGJ16-2008)
《供配电系统设计规范》(GB50052-2009)
《低压配电设计规范》(GB50054-2011)
《工业与民用供电系统设计规范》(GBJ52-82)
《低压配电装置及线路设计规范》(GBJ54-83)
《通用用电设备配电设计规范》(GB50055-2011)?
《工业企业照明设计标准》(GB50034-1992)
《采暖通风与空气调节设计规范》(GB50019-2003)
《通风与空调工程施工质量验收规范》(GB50243-2002)?
《建筑装饰装修工程质量验收规范》(GB50210-2001)
用户对网络改造项目的其他要求
专业知识整理分享
WORD格式可编辑
2.网络改造设计方案
网络拓扑图
按照网络分层设计模型,广安爱众公司新规划的网络拓扑结构如下:
如上图,整个网络架构设计可分为网络出口、核心层、接入层、传输、安全与优化等五大部分,现分别详述如下:
2.1网络出口设计
外网出口连接上级的Internet,带宽为上下行对称的100M,是各种攻击行为、病毒传播、安全事件引入的风险点,通过在网络出口处部署高性能、高可靠、高安全的网关设备,可以很好的缓解风险的传播,阻挡来自外部网络攻击行为的发生,是网络出口的第一道安全屏障。
下一代防火墙
在外网出口部署下一代防火墙,对进出网络的数据进行过滤,保护网络安全,主要实现以下安全防护效果:
防止外网上的病毒、木马等恶意代码传播到内网中,保护内网终端、服务器;
防御来自外网的漏洞扫描行为、入侵行为,使内网免受恶意攻击;
控制用户访问网站行为,禁止访问非法网站、低俗网站、钓鱼网站,降低用户遭受
专业知识整理分享
WORD格式可编辑
攻击的风险。
专业知识整理分享
WORD格式可编辑
分为信任区域和非信任区域,分别实施不同的安全策略,包括部署区域间隔离、受限访问、防止来自区域内部的DOS
攻击等安全措施;
通过加密隧道构建
VPN(虚拟专用网络),方便分支机构和外出人员远程接入内网办公,提高工作效率。
流量控制器
流量控制器可基于
DPI(深度包检测)识别各类上网应用,由此,在防火墙和核心交换机之间,以网桥模式串接了一台流控设备,来对进出防火墙的网络流量进行内容过滤和应用管控,以有效阻断非业务流量和内容,保证内网安全,提高互联网带宽利用率,限制高消耗带宽应用,保障网络通畅和网络的稳定性,控制用户使用无关应用和危险应用,提高网络整体安全性。
下一代防火墙到核心交换机之间使用链路聚合,来提供冗余保障。
2.2核心层设计
核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中,应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心,重要性突出。核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。
核心交换机集群
主要部署两台
S9706组成一个
CSS(Cluster
Switch
System)集群,它是网络虚拟化
专业知识整理分享
WORD格式可编辑
的一种形态,可实现把多台支持集群的交换机链接起来,从而组成一台更大的交换机,CSS
专业知识整理分享
WORD格式可编辑
的典型特征有:
交换机多虚一:CSS对外表现为一台逻辑交换机,控制平面合一,统一管理。
转发平面合一:CSS内物理设备转发平面合一,转发信息共享并实时同步。
跨设备链路聚合:
跨
CSS内物理设备的链路被聚合成一个
TRUNK端口,和下游设备实现互联。
从上图中我们可以看到,CSS
通过设备“多虚一”和跨设备的链路聚合,不但简化了网络拓扑,而且极大地提高了网络性能:
简化运维:整个
CSS被作为一台交换机来管理,简化运维、降低
Opex。
可靠性高:CSS内一台设备故障,其他设备可以接管
CSS的控制和转发,避免单点故障。
无环网络:跨设备的链路聚合,在
CSS和其他设备互联时,天然避免了环路问题,无需部署
MSTP等复杂的破环协议。
链路均衡:跨设备的链路均衡,100%的网络链路和带宽的利用率。
CSS
在简化网络、提升转发性能的同时,没有带来任何网络功能的损失。物理交换机具有的所有功能,都在
CSS
系统下得到继承,且性能还得到了放大。CSS
拥有的这些特质,使其得到了越来越多的认可和接受,并成为了部署简单、高效网络的首选方案。
2.3接入层设计
接入层通常指网络中直接面向用户连接或访问的部分。其目的即利用光纤、双绞线、同轴电缆、无线接入等传输介质,实现与用户连接,并进行业务和带宽的分配,允许终端用户连
专业知识整理分享
WORD格式可编辑
接到网络,因此接入层交换机具有低成本和高端口密度特性。
专业知识整理分享
WORD格式可编辑
而本次改造中有
14个接入层点位将采用双线上行至核心交换机(集群),并利用
OSPFECMP(Equal-Cost
Multiple
Path)特性,在两条专线链路之间进行负载均衡,既增加了网络的可靠性,又能提高了资源的利用率。
2.4网络规划设计
本次网络改造项目中,将摒弃原有传统的单线二层接入方式,从而采用运营商双线运行动态路由协议(OSPF)进行三层传输接入核心,去掉中间级联设备,形成扁平化的网络架构,这种组网方式将各个分支机构分割成单独的局域网,一旦某个分支机构出现网络及线路故障将不会影响其他节点的业务。
新的传输接入模式,必须在各个节点建立独立的三层网关进行路由转发,这就要求对整个网络进行新的规划和设置,如下表所示:
点位
网段
10.0.1.0/24互联
10.0.2.0/24VLAN101102专业知识整理分享
WORD格式可编辑
代市气所
172.16.31.0/24301专业知识整理分享
WORD格式可编辑
岳池水务
前峰水务
领水水务
华蓥水务
城北客户中心
城南客户中心
西充燃气
领水燃气
希望接收费
城东水所
龙门收费
武胜水务燃气
岳池电力
……
172.16.32.0/24172.16.31.0/24172.16.34.0/24172.16.35.0/24172.16.36.0/24172.16.37.0/24172.16.38.0/24172.16.39.0/24172.16.40.0/24172.16.41.0/24172.16.42.0/24172.16.43.0172.16.45.0……
302303304305306307308309310311312313314……
以上网络规划和设计,将在大的城域网环境中形成多个广播域,隔离广播风暴和二层流量泛洪,减少
IP
地址冲突,提高整个网络的安全性和可维护性。具体的实施细节,将在项目施工过程中与甲方相关人员进行深化设计。
2.5网络传输设计
从核心层到接入层的传输部分是各个运营商(电信、广电、联通、移动)的MSTP专线,其中,大部分接入点专线带宽为
10M,而少数营业收费点专线带宽为
2M,在带宽不够的情况下,可以酌情考虑增加线路带宽。
MSTP(Multi-Service
Transmission
Platform)是指基于
SDH
平台同时实现
TDM、ATM、以太网等业务的接入、处理和传送,提供统一网管的多业务节点。其构建统一的城域多业务传送网,将传统话音、专线、视频、数据、VOIP、IPTV
等业务在接入层分类收敛,并统一送到骨干层对应的业务网络中集中处理,从而实现了所有业务的统一接入、统一管理、统一
专业知识整理分享
WORD格式可编辑
维护,提高了端到端电路的服务等级,这种专线技术具备以下优点:
专业知识整理分享
WORD格式可编辑
泛用性
MSTP
电路适用于任何高速率、信息量大、实时性强的业务传送在通信领域的应用前景广阔,用户端接口为通用性的RJ45接口。
可选性
MSTP专线带宽灵活,在
2M到
1000M的区间内,可以灵活选择。
安全性
安全性有保障,比纯粹基于互联网的VPN业务安全性更高。
灵活性
组网灵活,可支持星形网络、环形网络、点到点连接、多点汇聚等。
2.6网络安全与优化设计
1、网络回溯分析系统
在网络核心
CSS
集群旁部署一台网络回溯分析系统,可以实现了对网络通讯数据包级的高性能实时智能分析,因为网络回溯分析系统是一款集成大容量存储的高性能数据包采集和
专业知识整理分享
WORD格式可编辑
智能分析硬件平台,它可以提供对各种网络性能和应用性能的关键参数实时分析,同时还能
专业知识整理分享
WORD格式可编辑
够实时捕获并保存网络通讯流量,具备对长期的网络通讯数据进行快速数据挖掘和回溯分析能力,实现对关键业务系统中的网络异常、应用性能异常和网络行为异常的实时发现、以及异常原因的智能回溯分析,提升了对关键业务系统的运行保障能力和问题处置效率。
这样就在内网构建起了一套基于流量的实时监控和回溯体系,不但可以精确了解网络整体性能、应用负载,还能准确定位网络异常原因,及时排查网络故障和病毒、木马、攻击等安全隐患,实现核心链路/核心区域/核心业务运行可视化,彻底解决“黑盒运维”。
2、入侵检测系统
在核心
CSS
集群旁挂一台专业的IDS(入侵检测系统),该设备可通过抓取来自核心交换机的数据流镜像,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
专业知识整理分享
WORD格式可编辑
3、负载均衡器
在业务服务器集群子网区域内的各个应用服务器前端部署一套负载均衡器,在多个客户端发起业务访问请求时,由前端的负载均衡器来对所有访问请求进行反向代理和统一调度,进而将业务访问负载合理均衡地分担到每个后端服务器节点上,以提高业务系统的整体服务效能。
专业知识整理分享
WORD格式可编辑
同时对服务器的操心系统、中间件、文件系统等软件参数配置以及资源池分配进行优化,增强服务器的并发会话处理能力,而数据库方面,则可通过建立索引,优化
SQL
语句和优化内存、日志、表空间分配等方法来提高数据库
I/O
性能,加快数据的存取速度。
在接入交换机处,可通过
Qos
策略将业务数据和监控数据区分开,并给业务数据分配更高的优先级,这样在发生网络拥塞时,监控数据就无法挤占正常业务带宽,由此保障了业务访问的稳定性,不受接入视频监控的干扰。
专业知识整理分享
WORD格式可编辑
2.6网络特点和优势
通过大力进行网络改造后,具有达到如下特点和优势:
高性能和高可用的网络骨干
升级核心交换机替换老旧设备,可以大力提升核心节点的转发速度,增加网络整体吞吐量,形成一个高性能、可扩展、可靠的高效网络。
层次架构清晰
对网络架构进行扁平化重构,不仅可以解决多级串连现象,大大简化网络构成,还能减少中间节点的故障影响,迅速提高流量转发的处理速度,形成一个架构清晰,层次分明、可维护性强的网络基础平台。
运维透明化和可视化
构建网络的实时监控和回溯体系,将全网流量可视化、透明化,分析从流量趋势、应用分布到性能负载等多方位情况,能让运维人员对整个网络运行情况了如指掌,及时发现处理网络异常和攻击威胁,将危害消灭在萌芽阶段,并快速定位故障原因和节点,缩短故障影响时间,提高故障处理效率,保证网络的高效稳定运行。
弹性的应用架构
部署负载均衡器,进一步优化应用架构,让每台服务器轮流均衡地分摊客户端访问请求,来提高业务系统的整体服务效能,消除单点故障,形成一个高并发、高可用、高扩展性的业务群
专业知识整理分享
WORD格式可编辑
集系统,并结合业务系统性能优化,来提高服务器的并发会话处理能力与数据库
I/O性能,加快业务的响应速度。
专业知识整理分享
WORD格式可编辑
专门的流控体系
在外网出口处通过流量控制器来审计和管控互联网流量,屏蔽非法应用,限制违规流量,保障带宽资源,提高员工上网的合规性和网络使用效率,同时,在汇聚交换机处设置
Qos策略,让监控数据就无法挤占正常业务带宽,保障业务访问稳定性,不受视频监控流媒体数据的干扰。
强大的安全防护保障
通过部署下一代防火墙和入侵检测系统(IDS)的安全策略,可进一步强化内网的信息安全保障,防止各种网络攻击和入侵活动,提高网络安全系统的防护免疫力。
高效整洁的数据中心
通过新机房搬迁,可以打造一个新的整洁舒适、专业美观的数据中心环境,为机房设备高效的管理和安全运营提供有力支撑和保证
2.主要设备介绍
2.9.1下一代防火墙
USG6350当前,智能手机、iPad
等终端已经普及,移动应用程序、Web2.0、社交网络应用于企业运营的方方面面。企业网络边界变得模糊,信息安全问题日益复杂。通过
IP
和端口进行访问控制的传统的防护墙无法应对层出不穷的应用层威胁。
华为
USG630系列下一代防火墙面向中小企业,通过对应用、用户、内容、威胁、时间、位置
个维度的全面感知,提供精细的业务访问控制和加速。入侵防御(IPS)和防病毒(AV)等应用层深度防御与应用识别相结合,有效提高了威胁防御的效率和准确性。具备全面的防护功能,一机多能,有效降低管理成本。精细的带宽管理和
QoS
优化能力有效降低企业的带宽租用费,确保关键业务体验。持续、简单、高效地提供下一代网络安全。
专业知识整理分享
WORD格式可编辑
产品特性
精准的访问控制
专业知识整理分享
WORD格式可编辑
传统防火墙主要通过端口和
IP进行访问控制,下一代防火墙的核心功能依然是访问控制。USG6000在控制的维度和精细程度上都有很大的提高:
一体化防护:
从应用、用户、内容、时间、威胁、位置
个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合,一体化处理。例如:
识别出
Oracle
的流量,进而针对性地进行对应的入侵防御,效率更高,误报更少。
基于应用:
运用多种技术手段,准确识别包括移动应用及
Web
应用内的6000+应用协议及应用的不同功能,继而进行访问控制和业务加速。例如:区分微信的语音和文字后采取不同的控制策略。
基于用户:
通过
Radius、LDAP、AD等
8种用户识别手段集成已有用户认证系统简化管理。基于用户进行访问控制、QoS管理和深度防护。
基于位置:
与全球位置信息结合,识别流量发起的位置信息;掌控应用和攻击发起的位置,第一时间发现网络异常情况。根据位置信息可以实现对不同区域访问流量的差异化控制。支持根据
IP自定义位置。
全面的防护范围
越来越多的信息资产连接到了互联网上,网络攻击和信息窃取形成巨大的产业链,这对下一代防火墙的防护范围提出了更高要求。USG600具备全面的防护功能:
一机多能:
集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功
专业知识整理分享
WORD格式可编辑
能于一身,简化部署,提高管理效率。
专业知识整理分享
WORD格式可编辑
入侵防护(IPS):
超过
3500+漏洞特征的攻击检测和防御。支持
Web攻击识别和防护,如跨站脚本攻击、SQL
注入攻击等;防病毒(AV):
高性能病毒引擎,可防护
500万种以上的病毒和木马,病毒特征库每日更新;数据防泄漏:
对传输的文件和内容进行识别过滤。可识别
120+种常见文件类型,防止通过修改后缀名的病毒攻击。能对
Word、Excel、PPT、PDF、RAR等
30+文件进行还原和内容过滤,防止企业关键信息通过文件泄露。
SSL解密:
作为代理,可对
SSL加密流量进行应用层安全防护,如
IPS、AV、数据防泄漏、URL过滤等。
Anti-DDoS:
可以识别和防范
SYNflood、UDPflood等
10+种
DDoS攻击,识别
500多万种病毒。上网行为管理:
采用基于云的URL分类过滤,预定义的URL分类库已超过
8500万,阻止员工访问恶意网站带来的威胁。并可对员工的发帖、FTP等上网行为进行控制。可对上网记录进行审计。
安全互联:
丰富的VPN特性,确保企业总部和分支间高可靠安全互联。支持
IPSecVPN、SSLVPN、L2TPVPN、MPLSVPN、GRE等;
QoS管理:
基于应用灵活的管理流量带宽的上限和下限,可基于应用进行策略路由和
QoS标签着色。支持对
URL分类的QoS标签着色,例如:优先转发对财经类网站的访问。
负载均衡:
支持服务器间的负载均衡。对多出口场景,可按照链路质量、链路带宽比例、链路权重基于应用进行负载均衡。
专业知识整理分享
WORD格式可编辑
虚拟化:
支持多种安全业务的虚拟化,包括防火墙、入侵防御、反病毒、VPN等。不同用户可在同一台物理设备上进行隔离的个性化管理。
专业知识整理分享
WORD格式可编辑
简单的安全管理
下一代防火墙的防护范围和控制精度比传统防火墙大大增加,这对使用者的经验和技能提出了更高的要求。华为
USG600利用
Smart
Policy
功能降低对使用者的要求,更好的进行防护。Smart
Policy
主要具备以下功能:
快速部署策略:
内置场景策略模板,不依赖使用者的经验也能快速地部署常用防护策略。例如:如果希望使用网络存储,管理员仅需基于“使用网盘”这个策略模板,就能建立一系列策略。在策略中,对网盘类应用允许下载并进行病毒检测,但禁止文件上传。
智能优化策略:
根据内置应用风险库和网络实际流量对已部署的安全策略进行评估和优化,使其符合最小授权原则。在企业遗留大量端口防护策略,需要转换为
NGFW
使用的应用防护策略时尤其有用。
智能精简策略:
自动发现重复的和长期没有使用的策略,精简策略规模,简化管理;
高效防护性能
UTM
产品当开启应用层防护时性能下降明显,无法满足当前应用层防护的性能要求。下一代防火墙要求在多重防护的情况下仍保持高性能。
专业知识整理分享
WORD格式可编辑
USG6000系列下一代防火墙采用全新架构的智能感知引擎(IAE,IntelligenceAwarenessEngine),采用了一次解析多业务并行处理的架构,确保多重防御下的高性能体验。IAE使用了三大核心技术:
一体化描述语言:
应用识别、IPS、AV采用统一的描述语言,一次性处理,一次性分析,减少重复的操作;一体化处理架构:
不同于
UTM
对各个安全功能串行处理,USG600在完成统一解析后,各安全业务检查是并行的,最后做统一处理。每个步骤一次性做好,确保多安全业务开启情况下,对整体性能影响最小;
软硬结合一体化:
对有规律、大批量、高运算能力要求的报文处理,例如:报文加解密、特征匹配,采用专用多核平台由专用的协处理器硬件处理。对小规模的运算,仍然用软件处理。软硬结合一体化的处理方式让整体性能更高。
组网应用
专业知识整理分享
WORD格式可编辑
企业内网边界防护
在企业内网部门和无线接入的汇聚网络部署下一代防火墙。对
PC用户通过防火墙策略基于用户信息进行访问控制。
对移动用户采用基于用户+应用的策略控制,实现精细权限管理,并记录日志。
对邮件、IM、文件传输等进行内容过滤和审计,监控社交类应用,避免数据泄露。
互联网出口防护
在互联网出口部署下一代防火墙,在出口进行访问控制,阻止一切非认证访问。启用入侵防御功能,提供万兆级应用层威胁实时防护。
对邮件、IM、文件传输等进行内容过滤和审计,监控社交类应用,避免数据泄露。基于用户、应用、时间进行
QoS
管理,优先保障核心用户和关键业务的服务质量。
通过
URL
分类和应用阻断进行上网行为管理。阻断挂马网站和工作无关网站,根据角色监控员工可以访问的网站和可以使用的网络应用。
云数据中心边界防护
数据中心出口部署下一代防火墙,进行安全业务和系统资源的虚拟化特性,可为每个虚拟环境提供超乎寻常的安全体验。
万兆级入侵防御可有效阻断各类黑客攻击,并可根据不同的虚拟环境需求,提供差异化的防御特性,保障数据安全。
通过
Anti-DDoS特性,对拒绝服务攻击流量进行清洗,保障数据中心对外业务。
VPN远程互联
专业知识整理分享
WORD格式可编辑
通过下一代防火墙的VPN
接入,在互联网上构建一条可信、可控、可管的安全传输隧道。在外人员和移动用户可通过
SSL
VPN
接入,提供
Windows、IOS、Android、Blackberry,专业知识整理分享
WORD格式可编辑
Symbian多种操作系统支持,提供泛终端的接入能力。
产品规格
型号
固定接口
扩展槽位
USG63504GE+2Combo2*WSICWSIC:2×10GE(SFP+)+8×GE(RJ45)、8×GE(RJ45)、8×GE(SFP)
4×GE(RJ45)BYPASS1U、接口模块类型
产品形态
尺寸(W×D×H)mm442×421×43.6满配重量
HDD冗余电源
电源
AC最大功率
10kg选配
300GB单硬盘,支持热插拔
选配
100~240V170W温度:0~45℃(不含硬盘)/5℃~40℃(包含硬盘)湿度:10%~90%温度:-40℃~70℃/湿度:5%~95%工作环境
非工作环境
2.9.2核心交换机
产品概述
S9706S970系列交换机是华为公司面向下一代园区网核心和数据中心业务汇聚而专门设
专业知识整理分享
WORD格式可编辑
计开发的高端智能
T
比特核心路由交换机。该产品采用先进的多层交换架构,提供持续的带宽
专业知识整理分享
WORD格式可编辑
升级能力,支持
40GE和
100GE以太网标准。该产品基于华为公司自主研发的通用路由平台
VRP
开发,在提供高性能的L2/L3层交换服务基础上,进一步融合了
MPLS
VPN、硬件
IPV6、桌面云、视频会议、无线等多种网络业务,提供不间断升级、不间断转发、硬件
OAM/BFD、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。
通过部署内置华为首款以太网络处理器
ENP的X1E单板,S9700可以升级为敏捷交换机,客户可以享有敏捷交换机带来的创新体验。
S9700系列提供
S9703、S9706、S9712三种产品形态。
产品特性
S9700升级为敏捷交换机,让网络更敏捷地为业务服务
S9700支持随板
AC,业务单板同时兼具无线
AC功能,无需额外购买
AC硬件;整机最大可管理
2KAP,32K用户;整机转发性能可达
T-bit,解决外置
AC处理性能瓶颈,助力客户从容面向高速无线时代。
S9700支持统一用户管理功能,屏蔽了接入层设备能力和接入方式的差异,支持
PPPoE/802.1X/MAC/Portal
等多种认证方式,支持对用户进行分组/分域/分时的管理,用户、业务可视可控,实现了从“以设备管理为中心”到“以用户管理为中心”的飞跃。
SVF2.超级虚拟交换网,创新实现不仅将盒式交换机纵向虚拟为框式交换机板卡,而且将
AP
纵向虚拟为框式交换机的端口,使得原来“核心/汇聚+接入交换机+AP”的网络架构,虚拟化为一台设备进行管理,提供业界最简化网络管理方案。
iPCA
网络包守恒算法,改变了传统利用模拟流量做故障定位的检测模型,可对任意业务流随时随地逐点检测网络质量,无需额外开销;可在短时间内立刻检测业务闪断性故障,检测直接精准到故障端口,实现从“粗放式运维”到“精准化运维”的大转变。
S970支持
Service
Chain
业务编排功能,Service
Chain
对网络增值业务处理能力(如下一代防火墙
NGFW)进行虚拟化,以便园区网络实体(如交换机、路由器、AC、AP、终端设备)可以无差别的利用这些能力,而不受物理位置的约束,提供一种更灵活部署园区增值业务的解决方案,减少客户设备投资和维护成本。
创新的CSS集群技术
专业知识整理分享
WORD格式可编辑
S970支持
CSS
交换网集群和业务口集群,将多台设备虚拟化为一台逻辑设备,在可靠性、交换效率、灵活性和易管理性方面具有强大的优势。
专业知识整理分享
WORD格式可编辑
可靠性:通过路由热备份技术,实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发,极大地增强了设备的可靠性和性能,同时可以通过跨框链路聚合提高链路的利用率,消除单点故障,避免了业务中断;
交换效率:创新的CSS
交换网集群技术,克服了业界普遍采用的线卡集群跨框多次交换,交换效率低下的架构难题;
灵活性:普通业务端口可以复用为集群端口,使端口应用更加灵活。通过光纤进行集群可大幅增加集群的距离,突破了传统集群距离的限制;
易管理性:整个弹性架构共用一个
IP管理,简化网络设备管理,简化网络拓扑管理,提高运营效率,降低维护成本;
运营级高可靠性设计
S970所有关键器件,如主控、电源、风扇等均采用冗余设计,所有模块均支持热插拔,有效保证网络稳定运行。
S9700支
持
硬
件
级
3.3ms高
精
度
BFD快
速
链
路
检
测
功
能,能
为
静
态
路
由
/RIP/OSPF/BGP/ISIS/VRRP/PIM/MPLS等协议提供稳定均匀的毫秒级检测机制,大大提高了网络可靠性。
S9700支持快速自愈保护技术
HSR(High-speedSelfRecovery),基于华为
ENP板卡,独家实现端到端
IPMPLS承载网
50ms倒换保护,进一步提升网络可靠性。
S970支持硬件级以太
OAM,包括完善的802.3ah、802.1ag
和
ITU-Y.1731,能够对网络传输中的时延、抖动等参数进行精确统计,实时监测网络运行情况,并在设备故障发生时快速定位实现网络快速故障检测、定位与倒换。
S970支持
ISSU
业务运行中软件升级,设备软件升级过程中确保关键业务和服务不中断。支持优雅重启技术(Graceful
Restart),实现
NSF
无中断转发,有效保证全网高速可靠运行。
强大的业务处理能力
多业务路由交换平台,满足企业接入、汇聚、核心业务承载要求,支持无线、语音、视频和数据应用,为企业提供高可用、低时延、全业务的一体化网络解决方案。
支持分布式
L2/L3MPLSVPN功能,支持
MPLS、VPLS、HVPLS、VLL,满足企业
VPN等用户的接入需求。
专业知识整理分享
WORD格式可编辑
完善的二、三层组播协议,支持
PIMSM、PIMDM、PIMSSM、MLD、IGMPSnooping,满
专业知识整理分享
WORD格式可编辑
足多终端高清视频监控和视频会议接入需求。
软件平台提供多种路由协议满足企业建网要求,支持从中小企业到超大型跨国公司级大规模路由,支持
IPv6,能够为企业网络提供平滑升级能力。
丰富的网络流量分析功能
S970支持
Netstream
网络流量分析,支持
V5/V8/V多种报文格式,支持聚合流量模板,实时流量采集、动态报表生成、属性分析、流量异常告警等功能;支持向主、备分析服务器同时发送日志,防止统计信息丢失。能够提供实时的网络监控功能和全网范围内的流量模式,并提供预先故障检测、高效故障排除和快速问题解决功能,提供安全监控等应用和分析,帮助用户及时优化网络结构、调整资源部署。
完善的安全保护机制
S970支持
MACsec,提供逐跳设备的数据安全传输,适用于政府、金融等对数据机密性要求较高的场合。
NGFW新一代防火墙业务处理板,在提供传统防火墙、身份认证、Anti-DDoS等基础防御功能外,同时支持
IPS、反垃圾邮件、Web安全、应用控制等专业安全功能。
提供完善的NAC
解决方案,支持
MAC
地址认证、Portal
认证、802.1x
认证、DHCP
Snooping触发认证多种认证方式,有效应对哑终端接入、移动设备接入和集中式
IP地址分配等多种接入方式的安全挑战,确保企业网络安全。
提供
级
CPU
保护机制,支持
1K
CPU
硬件保护队列,可实现数据和控制的分离处理,防止拒绝服务攻击、非法接入以及控制平面过载等安全威胁,提供业界领先的一体化安全解决方案。
全面的IPv6解决方案
S9700软硬件平台均支持
IPv6,取得工信部
IPv6入网认证和
IPv6Ready第二阶段金色认证。
S9700全面支持
IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+等
IPV6单播路由协议,支持
MLDv1/v2、MLDSnooping、PIM-SM/DMv6、PIM-SSMv6等
IPv6组播特性,为用户提供完善的IPv4/IPv6解决方案。
S9700支持丰富的IPv4向
IPv6过渡技术包括:IPv6手工隧道、6to4隧道、专业知识整理分享
WORD格式可编辑
ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道等隧道技术,保证
IPv4网络向
IPv6网络的平滑过渡。
创新节能打造绿色低碳网络
专业知识整理分享
篇五:网络改造方案内容
网络改造方案
第一篇:网络改造方案
公司网络改造解决方案
根据公司网络需进行改造事项,我们组织相关部门征集了网络改造需求和改造方法的建议,并汲取相关我公司网络改造的其它方案优点,经汇总提出如下网络改造解决方案。
一
需求分析
带宽分析
公司网络出口是10M共享光纤,主要的应用是访问internet,考虑到成本及目前设备的利旧问题,我们网络主干仍然以百兆链路为主,出口目前带宽可以满足需求。网络管理
由于公司网络中用户数量较多(约160点),需要对不同用户访问网络资源加权限控制和日志记录,还要将职能部门划分不同网段,保护各自数据安全。
安全分析
目前,公司网络出口没有任何隔离防护设备,所有上网均是通过一个免费代理软件实现,安装该软件电脑应该使用服务器级别设备,而我们现在是用普通PC承担代理服务,造成上网速度时快时慢不稳定。另外,公司局域网内未设统一病毒防护,这对网络接入电脑安全均有潜在威胁,因此需要增设必要网络安全及病毒防护措施。
网络应用分析
目前公司运行邮件系统硬件性能低、软件功能差经常出现:丢失客户、供应商及外协单位邮件;垃圾邮件逐渐增多;公司内生产、财务及工艺文件邮件经常被退信;邮件客户端发件时经常有错误提示等问题。
公司网站服务器、域名解析服务器、代理服务器因配置低,不仅影响外网访问我们公司网站速度也不利于我公司网站建设。
二
网络改造设计
在互连网出口增设边界路由器,隔离内、外网络及应用服务器。
升级核心交换机,可实现网段划分和访问控制。网内统一部署正版杀毒软件及接入电脑病毒升级管理,购置正规销售邮件软件,更新邮件服务器、网站服务器、代理服务器及相应软件,提高网络应用性能。
经上述改造可以使公司网络及其应用系统的稳定性,安全性,控制性得到很大提高,能较好保证网络正常运行。
三、网络改造拓扑图:
PC。。。。。。。。。。PC四、网改费用预算
注:
1、诺顿企业版杀毒软件仅供一年免费升级服务,产品购买第二年开始,诺顿服务器端升级费
1000元,客户端200点总计费59400(优惠价38610)元。卡巴二年免费升级,第三年起续费总价71862(优惠价46710.3)元。
2、邮件网关仅提供一年免费升级服务,产品购买第二年开始按年收取产品价格的20%升级服务费。例:若邮件网关售价3万元,每年升级费6千元。
我公司2007年之前使用的美讯智邮件网关年升级费4950元(100用户),2008年上涨至8000元,因有网改事情,我们未做续费。
上表中网络改造预算费用分为三部分:网络架构;服务器;软件。我们主要考虑了性价比,从众多产品中选择1或2款列入预算表,表中产品选型及价格尚有调整空间,请领导和有关部门参考并提出修改建议。
总工办2008-12-8第二篇:网络改造集成规划方案
网络系统
集成
改造
规划方案/17目录1项目概述..........................................................................................1项目背景....................................................................................1项目目标....................................................................................1项目范围..........................................................................................2参考依据..........................................................................................2建设原则..........................................................................................3改造方案..........................................................................................3办公网改造................................................................................3综合网改造................................................................................4综合布线改造.............................................................................5互联网及机房建设......................................................................6网络监控....................................................................................7工程概算....................................................................................8经费预算....................................................................................9项目管理.........................................................................................11实施计划...................................................................................11组织保障..................................................................................12质量管理..................................................................................12/17售后服务........................................................................................13现场培训..................................................................................13服务保证与承诺.......................................................................13项目
概述
项目背景XXX办公网和综合信息网的网络改造是为了适应新形势下的提高信息利用的要求,随着互联网应用的不断发展,客观上要求当前的网络结构和链路能够很好的承载不断扩充的办公业务需求。同时为了满足企业更好的利用互联网资源。从而推动XXX企业向信息化建设的目标发展。
XXX企业办公楼网络改造项目主要涉及到三套网络:办公网、综合信息网、互联网。这三套网络需要相互之间物理隔离,三套网络之间的改造相对独立。
项目目标
本次网络改造的目标,实现综合信息网和
办公网的客户端无盘统一管理。阻止客户端可能存在的被攻击或信息泄露。实现企
业内部访问互联网资源的同时保障内部客户端的安全。
根据实际考察和相互交流,本次XXX办公网和综合信息网改造的目标为:
A)尽量保留用户现有网络中的设备,在确保用户正常业务使用的前提下减少用户投资。
B)在初始建设时不仅要考虑到如何实现数据传输,还要充分考虑网络的冗余与可靠,否则一旦运行过程网络发生故障,系统又不能很快恢复工作;
C)纳入对网络安全性的考虑。在办公网和综合信息网中传递的数据
都是相当重要的信息,因此一定要保证数据安全保密,防止非法窃听和恶意破坏,在网络建设的开始就考虑采用严密的网络安全措施。
D)网络改造建设要为未来的发展提供良好的可扩展性。随着将来企业业务的增长,网络的扩展和升级是不可避免的问题。
E)由于视频会议、视频点播、IP电话等多媒体技术的日趋成熟,网络传输的数据已不再是单一数据了,多媒体网络传输成为世界网络技术的趋势。企业着眼于未来,对网络的多媒体支持是有很多需求的。项目范围
本次网络改造涉及办公网、综合信息网、互联网、网络监控及综合布线等项目范围。
在完成项目后,需要提交项目运行过程的全部安装、配置、测试、验收相关的项目文件。
根据用户要求,提供最终的信息模块分布图和设备物理链路分布图;提供关于链路和信息模块的标签分配表;
针对交换机的安装,提供关于初步管理配置的配置模板(包括访问控制、密码设定、终端限制、环路避免、端口安全等);针对每条链路均提供连通性测试和网络延迟测试并生成记录。参考依据
GB/T18233-2008(信息技术-用户建筑群通用布缆国家标准)
GB/T50311-2007(综合布线系统工程设计规范)
GB/T50312-2007(综合布线系统工程验收规范)
GB/T21671-2008(基于以太网技术的局域网系统验收测评规范)
HJ460-2009(环境信息网络建设规范)建设
原则
网络建设依据一下主要原则:满足办公网络和综合信息网的业务应用系统的要求;充分利用现有的网络硬件资源,进行网络改造时考虑与已有的专用办公网相兼容;网络改造考虑安全可靠、可管理和可扩展的网络结构。
高可靠性-选用可靠性高的网络产品,合理设计网络架构,制定可靠的网络备份策略,保障网络有故障恢复的能力,从而最大限度的支持网络的正常运行。
实用性-网络改造方案设计实施应充分考虑实际需求和费用,追求高的性效比。
可扩展性-根据未来业务的增长和变化,网络可以平滑的扩充和升级,减少对网络架构和现有设备的调整。改造
方案
办公网改造
在现有网络内增加4台交换机,其中三台交换机用作终端接入层,另外一台用作数据汇聚层。
综合考虑到目前各楼层房间的信息面板的信息点的数量和未来的扩展需求,选择接入层交换机为由24个百兆电口和4个千兆上联口的二层可网管交换机。用作数据汇聚层的交换机采用高端的支持IPV6功能的智
能弹性交换机,其有24个千兆电口和4个千兆下联光电口。以便为接入层链路提供高速的数据汇聚和传输。
各交换机安装好光模块,到光配架用
LC-FC一对单模光纤联通。三台接入层交换机通过光纤分别连接到
汇聚层的IPv6智能弹性交换机。最后通过光纤将
智能弹性交换机连接到指定的分布层交换链路上。然后测试所有线路看网络访问是否正常。
在办公大楼的各楼层设置楼层配线间,确保现有的配线架到各办公室的线路已经铺设完毕和测试联通。充分的利用原有的线路。
在机柜上新增配线架,以便与弥补当前配线间的配线架接口数量不足的情况。在新增的配线架上安装网络模块,同时更换用户需求中指定的各方面的信息面板以提供足够的网络信息点。
线路准备完毕后,将网络交换机安装到各个楼层的配线间内,然
后测试各条链路的对应关系并标记。
综合网改造
在现有网络内增加4台交换机,其中三台交换机用作终端接入层,另外一台用作数据汇聚层。
综合考虑到目前各楼层房间的信息面板的信息点的数量和未来的扩展需求,选择接入层交换机为由24个百兆电口和4个千兆上联口的二层可网管交换机。用作数据汇聚层的交换机采用高端的支持IPV6功能的智能弹性交换机,其有24个千兆电口和4个千兆下联光电口。以便为接入层链路提供高速的数据汇聚和传输。
与办公网类似,安装好各交换机的光模块,到光配架用
LC-FC一对单模
光纤联通。三台接入层交换机通过光纤分别连接到
汇聚层的IPv6智能弹性交换机。最后通过光纤将智能弹性交换机连接到综合信息网络指定的分布层交换链路上。然后测试所有线路看网络访问是否正常。
在大楼的各楼层设置楼层配线间,确保现有的配线架到各办公室的线路已经铺设完毕和测试联通。充分的利用原有的线路。
在机柜上新增配线架,以便与弥补当前配线间的配线架接口数量不足的情况。在新增的配线架上安装网络模块,同时更换用户需求中指定的各方面的信息面板以提供足够的网络信息点。
线路准备完毕后,将网络交换机安装到各个楼层的配线间内,然后测试各条链路的对应关系并标记。
在综合信息网中,为了便于对客户端加强管理和提高信息安全的保密措施,部署46台无盘工作,通过增加一台管理工作站,在它上面安装无盘管理软件,统一管理和维护46台无盘工作站。
综合布线改造
综合布线系统在充分考虑信息点(或模块)分布和数量的基础上,统筹规划,合理设计,精心施工。信息点分布和数量应至少能满足未来5-10年内的应用和用户需求,避免短期内重复施工。
在综合布线系统中,布线硬件主要包括:配线架、传输介质(双绞线和光纤)、通信模块、线槽和管道等。
综合布线包括六个子系统:工作区子系统、水平布线子系统、管理子系统、干线子系统、设备间子系统和建筑群主干子系统。
为办公网与综合信息网分别布两条50米长的超五类非屏蔽双绞线,网线使用蓝色和红色加于区分。这两条线分别从
3楼的配线间一直连接到
4楼的指挥室,涉及到跨楼层穿线的工作需要做好相应的准备,准备配线架用的1.5米跳线和预备一些水晶头做耗材使用,确保任务的完成。
每个房间的信息点的面板的数量根据用户要求(需要更换)进行布置。每个信息点由一个双口信息面板(RJ45接口)组成:一个为语音点,一个为数据点,或者两个都为数据点。所有的信息插座、面板和配线架管理系统模块都有标记。
在进行布线时需要线槽时,线槽的规格按这样确定:线槽的横截面积保留40%的富余量以备扩充,超5类双绞线的横截面积为0.3平方厘米。线槽安装时,注意与强电线槽的隔离。
互联网
及机房建设
图
5.4:互联网及机房改造图
基于原有互联网机房的布线结构做有限的扩展,新增
20台无盘工作站,统一接入到新增的接入层交换(H3C5120)上。
无盘工作站通过专用的无盘管理服务器(DELL)进行管理和维护。在互联网机房的ISP接入出增加一台路由器(H3CER6300)作为网络边界,同时,为了考虑互联网的访问控制,增加一台防火墙(H3CF1000S)作为安全措施。
互联网机房原有线路已铺设到讲台位置,需要重新延长。用网络模块延长后铺设到角落位置。在机房角落安装机柜,放置服务器与网络设备等。
将所有设备连接完毕后调试,网络路由器安装在最前端连接运营商的互联网出口,防火墙安装后端提供网络防护。H3C5120连接各台互联网电脑,提供汇聚作用。
网络监控
为了确保企业机房网络系统的安全稳定运行,除了在系统软、硬件层面的支撑,还需要有一种切实有效的机房实时监控系统。本次项目中增加了如下三项监控内容:温湿度监控报警器、电力报警器、视频监控摄像头。
整个GPU边缘融合系统由投影显示部分、多屏控制系统和控制软件系统组成。投影显示部分:主要包括一个专业清投视讯投影屏幕,而投影仪阵列是由标准化的若干投影机并联而成;多屏控制系统:边缘融合机连接计算机,兼容传输并合成多种图像信号源,以满足需求的画面尺寸和分辨率显示在大屏上。本方案系统具备:4路高解析度显示通道;4路复合视频信号输入;4路计算机信号输入;控制软件系统:是一套专用的控制软件,负责控制大规模投影系
统的图像拼接、边缘融合、色彩校正、几何校正和显示效果的调整,选择需要的显示信号的图像,以及用户的分级管理等功能。
GPU边缘融合系统的最终目的是要把用户所需要显示的信号按照用户的要求显示到通过多通道投影融合之后的大屏上,本系统中,用户应用系统中计算机信号源主要来自于用户网络中的计算机信号、远程监控的视频信号以及图形处理机中预存的展示信息,在我们的设计方案中,这些信号是可以通过多种方式显示到大屏上去的。
同时清投视讯GPU边缘融合系统是由高分辨率和高亮度的投影拼接融合而成,所以整个显示区域具有高分辨率、高亮度、高对比度、色彩还原真实,能保证色彩的长期运行稳定不变,图像失真小,亮度均匀,显示清晰等。
工程概算
序号
名称
规格、型号、参数、说明
数量1全千兆安全智能交换机24个10/100/1000Base-T以太网端口,4个1000Base-XSFP千兆以太网端口22安全智能三层交换机个10/100Base-TX以太网端口(PoE),2个10/100/1000Base-T以太网端口,2个复用的100/1000Base-XSFP千兆以太网端口63光模块
单模千兆光纤模块124面板Rj45双头网络面板405信息模块Rj45信息点模块806配线架Rj45配线架27无盘软件
基于PXE启动方式,用于远程启动的网络平台软件企业版46无盘工作站
处理器:E8400;内存4GDDRIII1066;512M独立显卡;4.5L立卧两用迷你机箱;耳麦;PS/2键盘鼠标。
经费预算
网络名称
设备名称
品牌
型号
数量
单价
总价
办
公
网
交换机H3CLS-51201交换机H3CLS-3100-52P-H33光模块H3CSFP-GE-LX-SM1310-A6面板
安普
信息模块
安普
超五类的40配线架
安普
综
合
信
息
网
交换机H3CLS-5120-24P-EI-H31交换机H3CLS-3100-52P-H32交换机H3CLS-3100-52P-H31光模块H3CSFP-GE-LX-SM1310-A6面板
安普
信息模块
安普
配线架
安普
台式电脑
联想
启天M4300S46无盘软件
锐起V3.0企业版46互
联
网
服务器DELLR7101防火墙H3CF1000-S1交换机H3CLS-5120-52P-LI1路由器H3CER63001显示器
优派VA1932wa4台式电脑
联想
启天M4300S20无盘软件
锐起V3.0企业版20机柜
机
房安
全监控
温湿度监控报警器电力报警器
科宇
视频监控
监控头1视频监控电脑
联想
启天M71501边缘融合控制器
清投视讯GPU边缘融合机TNB-S3124T1工
程
电源面板TCL配件
模块
安普
网线
安普
光纤
金牛
网线
安普
项
目集成
包括设备的安装调试、现场的工程施工、售前方案设计、一年内的售后上门服务
工
程税点
工程费用的5%费
用总计项目管理
实施计划
序号
任务阶段名称及详细项目
预计时间
1各个配线间分线3工作日2安装配架、网络模块、墙上面板3工作日3各个网络的网络设备安装调试4工作日4互联网机房布线、安装机柜配置服务器3工作日
序号
任务阶段名称及详细项目
预计时间5视频矩阵安装调试、其他综合布线工作4工作日6总计17工作日
组织保障
为确保本次XXX办公网和综合信息网的网络改造工作各项任务的顺利落实,各相关参与单位必须要做好组织保障,各单位各施其责,协作配合,保障网络改造项目正常有序按进度的完工。各单位职责与角色如下:
XXX企业
用户方,负责提供具体项目的实际需求,在项目实施前反馈必要的需求变更或者提供详细支持信息,在项目过程中,参与项目监控合反馈具体期望,最后组织项目验收
?XXX有限公司
负责网络改造的规划、设计、安装、调试。
质量管理
在项目实施初期,制定完善的项目质量管理计划,在网络设备的采购、安装、调试、交付等过程中,充分做到全过程有跟踪记录,书面化记录工程过程的详细实施记录和出现的问题。做好对项目问题的日志记录和对出现问题的应
对措施的计划。
每安装一个设备或硬件模块,均需要做单点测试,确保项目过程中每一步的质量都有保证。在执行安装和测试前,制定项目工作流程、安装核对表、测试核对表。
在项目交付前,需要根据相关质量核对表对各项做逐一的审计。
整个工程都需要严格遵守《环境信息网络建设规范》,做到布线整洁、美观和干净。对设备、线路、端子、模块、插座等一一用标签标明用途、连接等信息。售后服务
现场培训
根据用户系统实际环境的情况,在现场设备安装调试过程中和结束后,针对项目中发现的和已经纠正的问题,进行现场讲解,使用户详细了解改造后的网络状况,针对设备配置、日常维护、故障解决等方面内容进行完全针对性的技术培训,可以使用户具备自操作、自学习、自维护的基本工作能力。
培训地点:用户现场;
培训时间:项目实施或最后验收时;
培训人数:用户自定义;
培训内容:网络系统整改介绍、无盘管理系统配置、使用、维护等;
服务保证与承诺(11)
质量保证和服务承诺书
我方提供的所有货物保证是全新,未使用过的正宗原装合格正品,保证进口产品全部通过正规合法渠道。
(22)
保修,包换措施,设备升级
质保期内的服务:所有硬件设备均提供三年硬件质保
㈠
保修期内的产品硬件质量问题我方负责对其提供的设备进行上门维修,不收取额外的费用;
㈡
提供7*24小时技术支持热线服务,工作日内出现质量问题时或故障时,自接到用户电话后两个小时内到达现场解决故障。
(33)
一年免费运行维护服务
在系统交付后,提供一年的免费网络相关设备的运行维护服务。维护服务期满前,总结和分析维护期发现的错误和问题,提交“系统维护报告”给用户提出系统性的建议。
(33)
故障响应服务
故障响应服务指改造范围内的相关设备或系统发生突发性故障后,追查故障原因,并予排除修改的工作。如有故障发生,本公司应在接获通知后的规定响应时间内,调配有关技术人员远程解决或到现场进行维护,以使系统正常运行。提供快速,完整的网络故障分析及解决方案。
第三篇:通信网络改造迁移方案优化
通信网络改造迁移方案优化
作者:张卫华
来源:《电子世界》2012年第11期
【摘要】本文是针对县级供电公司信息网络建设项目中老网(各县局通过4E1访问市局,以下简称“老网”)迁移到新网(综合业务数据网,以下简称新网)的迁移步骤和技术细节进行描述。主要涉及到转换四个阶段,原有的网络拓扑、中间转换拓扑、最终拓扑结构下的网络设置说明及技术要点。
【关键字】网络迁移方案;综合数据网;迁移步骤
第四篇:网络改造实施方案
大厦
服务部
网络改造
实施方案
strong部
现状概述
服务部与服务部在大厦五层设有
4间办公室
508、509、510、511,洽谈室
2个,会议室一个。共有网络信息点132个,语音信息点20个,在508房间设有网络设备间一个,H3C5500数据汇聚交换机1台,H3C5120接入交换机2台,华为5300语音接入交换机2台,通过广域网代理服务器访问internet。
网络核心设备放置在六层网络机房,五层数据接入设备通过单模光纤双上连到两台数据核心交换机上,语音接入交换机通过千兆单模光纤连接到语音汇聚交换机上,五层办公区数据网段为
144.0/24,属于Vlan144,IP电话网段为124.0/24,属于Vlan400。
拓扑:
图:1核心层:
核心层设备包括两台
H3C7503交换机,通过单模光纤分别上连至广域网MSR5040路由器,采用VRRP技术将两台核心交换机虚拟为一台,保证链路的稳定性。
H3C7503交换机连接各汇聚交换机的端口采用trunk模式,可以使网络结构简单扩展性灵活,启用
STP协议保证网络中没有环路。启用
vlan112、vlan123、vlan144、vlan146、vlan147,作为数据
Vlan;启用Vlan124作为语音Vlan,配置各vlan的网关地址;启用
DHCP协议为终端PC机分配IP地址。
汇聚层:
汇聚层交换机为二层交换机采用单模光纤上连核心交换机,采用多模光纤连接接入交换机,端口模式为trunk模式,启用STP协议。
接入层:
接入层交换机为二层交换机,采用多模光纤上连至汇聚层交换机,端口模式为trunk,启用STP协议。
业务需求
服务部、服务部部分用户由于业务原因禁止访问
Internet,但是需要访问内网,另外IP电话接口访问Internet的权限也要取消,只保留508房间和511房间两个洽谈室的Internet访问权限。
在不改变原有拓扑的情况下,可以采用在核心交换机上配置
ACL禁止访问代理服务器的方法进行控制,目前大厦所有PC的IP地址均为DHCP自动分配地址,如果要对PC进行访问控制需手动指定IP地址。
针对以上解决方法需要对现有网络做出调整:
重新分配五层办公区IP地址;
地址类型
地址范围
掩码
网关DNS数量
受控地址
非受控地址
将PC机IP地址获取方法改为手动分配;
在核心交换机上配置Acl,控制五层办公区PC禁止访问代理服务器。
实施步骤
一、征得领导同意后,向相关人员下发断网通知;
二、在接入交换机上将上联接口类型改为Access,vlanID为500:[5500-F5-01-vlan500]quit[5500-F5-01]interfaceGigatEthernet1/0/49[5500-F5-01-GigatEthernet1/0/52]portlink-typeaccess[5500-F5-01-GigatEthernet1/0/52]portaccessvlan500三、在数据核心交换机上将连接汇聚交换机的G2/0/6接口类型改为Access,vlanID为500,配置IP地址作为网关:
[CORE-DATA-7503E-01]vlan500[CORE-DATA-7503E-01-vlan500]quit[CORE-DATA-7503E-01]interfaceGigatEthernet2/0/6[CORE-DATA-7503E-01-GigatEthernet2/0/6]portlink-typeaccess[CORE-DATA-7503E-01-GigatEthernet2/0/6]portaccessvlan500[CORE-DATA-7503E-01-GigatEthernet2/0/6]quit[CORE-DATA-7503E-01]interfaceVlan-interface500[CORE-DATA-7503E-01-Vlan-interface500]ipadd1四、在核心交换机上配置Acl源网段为目的地址为代理服务器,达到禁止该网段访问互联网但是可以访问内网的目的,并取消IP电话的DNS分配:
[CORE-DATA-7503E-01]aclnumber3000[CORE-DATA-7503E-01-acl-adv-3000]rule1denyipsourcedestinationGigatEthernet0.0.0.02/0/6[CORE-DATA-7503E-01]interface[CORE-DATA-7503E-01-[CORE-DATA-7503E-GigatEthernet2/0/6]packet-filterinboundip-group3000[CORE-DATA-7503E-01-GigatEthernet2/0/6]quit7503E-01-dhcp-pool-tel]undodns-list五、测试
在PC上配置IP地址,结果应只能访问内网,无法访问internet。
将PC连接IP电话,结果应无法获得DNS地址。
存在的问题
与建议
此方案不能从根本解决问题,如果员工使用自行搭建的代理服务01-GigatEthernet2/0/6]dhcpserverip-pooltel[CORE-DATA-
器将不受ACL控制,需
要增加上网行为管理设备从应用层对终端进行管理才能做到完全控制。
应急预案
保存所有设备的配置并备份;
检查设备的电源情况预防配置过程断电;
测试失败安照原有配置回退。
第五篇:网络改造申请
关于申请总部办公网络改造的请示
尊敬的领导:
因公司逐步发展、业务领域不断突破、规模一直不断壮大,集团对网络各方面的需求也在急速的增加,现有的文件传输、OA系统、网站信息更新及正在规划上线的APP系统以及日后的智慧小区建设等网络应用都是建立在网络平台之上的,但就目前集团的网络架构及设备都存在一定的瓶颈,严重时基本的正常办公都存在问题。公司目前所使用的无线路由交换设备过于低端、属于普通家庭设备。本身网线由克拉美丽物业接入,带宽已缩减一大部分,本身接线过长也影响数据传送,再通过无线路由器发射,信号进一步缩减,再由各电脑主机接无线网卡收发信号,无线网卡本身不具备有线的高效传送速率,再由于办公环境内墙面、各个拐角、坐席挡板、金属及电路干扰严重影响信号传送,从而导致目前办公人员普遍反映的断网、无法连接等现象,根本无法满足企业快速发展的大数据、高转发需求。
为更贴近公司信息化建设的要求,进一步提高办公效率,特申请就公司办公网络进行升级改造,由现有的无线接入改为有线网络接入。现拟设21个网络端口,分别为:大办公室16个端口,副总办公室4个端口,小会议室1个端口,大会议室由无线WIFI接入。财务室与总经理办公室本身为独立进线,因此不再另做改造。整体布线施工费用为2000元包干,含施工费、材料费及一年的上门维护。以上妥否、请领导批示。
篇六:网络改造方案内容
网络改造方案
一、现状
1、现状路由器(华为
SRG2200)
2、现状汇聚交换机(华为
S5300系列24口poe交换机)
3、民用无线路由器
4、各楼层非网管交换机
5、电信外网带宽专线30M二、改造目的1、提高有线、无线网络访问速度。
2、优化网络架构,VLAN划分各业务网络相互隔离。
3、升级核心设备与无线网络,兼容原有有线网络,优化网络流量。
4、实现基本的用户行为管理和数据分析。
三、方案拓扑
四、方案优势
1、整网状态数据可视化
2、网络状态可视化,自动发现拓扑结构,自动识别设备。
3、用户状态可视化,有线无线均可区分
4、故障快速定位,绿色为正常链路,橙色为故障链路。
5、设备端口状态可视化
6、网络风险发现
7、防环路
(RLDP),支持全网防环路,将避免出现环路导致的网络拥塞、连接中断等情况,发生环路后接入交换机环路的端口将被自动关闭。
8、防私接
(DHCPSnooping),开启防私接后,将避免出现“原网络中的上网终端获取到私自接入路由器分配的IP地址”,以保障网络的稳定性。
9、行为管理,开启的禁止应用,在对应网段将不可访问
你可根据需要,设置控制和管理访问用户对互联网的使用。
10、业务vlan划分,有线二层接入、无线三层接入
11、业务访问控制(ACL),通过将业务网按需拖到【互通区】或【隔离区】,来设置网段之间的访问权限,从而保障网络安全。
12、无线网络调优,支持黑白名单与负载均衡
五、产品选型
1、千兆多WAN口中大企业安全网关RG-NBR6135-E(带机量350,带宽1000M,机架式,6个千兆口,VPN,5WAN,防火墙,行为管理)
2、汇聚24口千兆接入万兆上联三层网管交换机
RG-NBS5200-24GT4XS
(24千兆电口,上联4万兆光口,三层网管)
3、24口千兆接入三层接入网管POE交换机RG-NBS5710-24GT4SFP-E-P(24个千兆POE电口;4个千兆光口;三层网管)
4、AX1800双频Wi-Fi6室内吸顶APRG-RAP2260(G)(支持Wi-Fi6,2个千兆电口,整机无线接入速率高达1775Mbps)
5、AX1800双频Wi-Fi6室内墙面AP
RG-EAP162(G)(支持Wi-Fi6,整机高达1775Mbps无线接入速率)
六、设备清单
序号
设备名称
型号
品牌
功能参数
6个千兆电口,1个千兆光口,2个USB口,一个
Console口;可带机350终端,支数量
单位
单价(元)
合计
备注
1网关
RG-NBR6135-E锐捷
持1000M带宽;集成AC(无线控制器),可管理32个AP或64个WALLAP,可选配1T硬盘配件。
三层网管交换机,交换容量336Gbps,包转发率108Mpps,24个10/100/1000Mbps自适应电口交换1台
¥2,400.0¥2,400.02三层核心交换机
RG-NBS5200-24GT4XS锐捷
机,固化4个SFP+万兆光口,支持静态路由、三层聚合口、ACL、端口镜像等功能,支持睿易APP和MACC云平台统一管理。
三层交换机,交换容量336Gbps,包转发率51Mpps;24个10/100/1000M自1台
¥1,400.0¥1,400.0RG-3三层POE交换机
NBS5710-24GT4SFP-E-P锐捷
适应电口,支持PoE/PoE+,4个SFP光口,PoE总功率370W;支持RIP,OSPF等路由协议;支持1台
¥2,600.0¥2,600.0DHCPserver;支持虚拟化;支持MACC云平台统一管理。
1775M双频千兆吸顶AP,双千兆LAN口上联,内置天线,支持2.4GHz/5GHz双频通信,支持802.11a/b/g/n/acWave1/Wave2/ax协议。支持AP4无线吸顶APRG-RAP2260(G)锐捷
与路由两种工作模式,支持二、三层漫游,支持睿易一体化组网,支持“睿易”APP管理。支持802.3atPoE供电和本地供电(PoE+供电设备和DC适配器需单独采购)
5UPS套装
C3KS山特
2400瓦供电一小时,1台
¥7,738¥7,738.09台
¥1,300.0¥11,700.067施工费用及网线配件
合计
1项
¥8,000.0¥8,000.0¥35538.0七、施工方案
1、安装AP设备,敷设线缆,预计工期1天完成。
2、更换网络设备,调试网络,加装UPS设备,预计工期1天完成。
八、改造成果
改造核心成果,解决现有带宽慢且时常中断现象,解决因停电对机房设备造成的损坏。
1、替换原有民用路由器,采用企业级AP管理,无缝覆盖且不间断切换无线。
2、优化带宽,对下载及大流量行为进行管控,将带宽用于办公。
3、对业务服务器进行带宽分割,保障业务服务器有充足的带宽资源。
4、采用一小时ups对机房设备进行保障,降低突发断电造成的设备损坏。
