篇一:网络改造方案
网络改造方案
一、现状
1、现状路由器(华为
SRG2200)
2、现状汇聚交换机(华为
S5300系列24口poe交换机)
3、民用无线路由器
4、各楼层非网管交换机
5、电信外网带宽专线30M二、改造目的1、提高有线、无线网络访问速度。
2、优化网络架构,VLAN划分各业务网络相互隔离。
3、升级核心设备与无线网络,兼容原有有线网络,优化网络流量。
4、实现基本的用户行为管理和数据分析。
三、方案拓扑
四、方案优势
1、整网状态数据可视化
2、网络状态可视化,自动发现拓扑结构,自动识别设备。
3、用户状态可视化,有线无线均可区分
4、故障快速定位,绿色为正常链路,橙色为故障链路。
5、设备端口状态可视化
6、网络风险发现
7、防环路
(RLDP),支持全网防环路,将避免出现环路导致的网络拥塞、连接中断等情况,发生环路后接入交换机环路的端口将被自动关闭。
8、防私接
(DHCPSnooping),开启防私接后,将避免出现“原网络中的上网终端获取到私自接入路由器分配的IP地址”,以保障网络的稳定性。
9、行为管理,开启的禁止应用,在对应网段将不可访问
你可根据需要,设置控制和管理访问用户对互联网的使用。
10、业务vlan划分,有线二层接入、无线三层接入
11、业务访问控制(ACL),通过将业务网按需拖到【互通区】或【隔离区】,来设置网段之间的访问权限,从而保障网络安全。
12、无线网络调优,支持黑白名单与负载均衡
五、产品选型
1、千兆多WAN口中大企业安全网关RG-NBR6135-E(带机量350,带宽1000M,机架式,6个千兆口,VPN,5WAN,防火墙,行为管理)
2、汇聚24口千兆接入万兆上联三层网管交换机
RG-NBS5200-24GT4XS
(24千兆电口,上联4万兆光口,三层网管)
3、24口千兆接入三层接入网管POE交换机RG-NBS5710-24GT4SFP-E-P(24个千兆POE电口;4个千兆光口;三层网管)
4、AX1800双频Wi-Fi6室内吸顶APRG-RAP2260(G)(支持Wi-Fi6,2个千兆电口,整机无线接入速率高达1775Mbps)
5、AX1800双频Wi-Fi6室内墙面AP
RG-EAP162(G)(支持Wi-Fi6,整机高达1775Mbps无线接入速率)
六、设备清单
序号
设备名称
型号
品牌
功能参数
6个千兆电口,1个千兆光口,2个USB口,一个
Console口;可带机350终端,支数量
单位
单价(元)
合计
备注
1网关
RG-NBR6135-E锐捷
持1000M带宽;集成AC(无线控制器),可管理32个AP或64个WALLAP,可选配1T硬盘配件。
三层网管交换机,交换容量336Gbps,包转发率108Mpps,24个10/100/1000Mbps自适应电口交换1台
¥2,400.0¥2,400.02三层核心交换机
RG-NBS5200-24GT4XS锐捷
机,固化4个SFP+万兆光口,支持静态路由、三层聚合口、ACL、端口镜像等功能,支持睿易APP和MACC云平台统一管理。
三层交换机,交换容量336Gbps,包转发率51Mpps;24个10/100/1000M自1台
¥1,400.0¥1,400.0RG-3三层POE交换机
NBS5710-24GT4SFP-E-P锐捷
适应电口,支持PoE/PoE+,4个SFP光口,PoE总功率370W;支持RIP,OSPF等路由协议;支持1台
¥2,600.0¥2,600.0DHCPserver;支持虚拟化;支持MACC云平台统一管理。
1775M双频千兆吸顶AP,双千兆LAN口上联,内置天线,支持2.4GHz/5GHz双频通信,支持802.11a/b/g/n/acWave1/Wave2/ax协议。支持AP4无线吸顶APRG-RAP2260(G)锐捷
与路由两种工作模式,支持二、三层漫游,支持睿易一体化组网,支持“睿易”APP管理。支持802.3atPoE供电和本地供电(PoE+供电设备和DC适配器需单独采购)
5UPS套装
C3KS山特
2400瓦供电一小时,1台
¥7,738¥7,738.09台
¥1,300.0¥11,700.067施工费用及网线配件
合计
1项
¥8,000.0¥8,000.0¥35538.0七、施工方案
1、安装AP设备,敷设线缆,预计工期1天完成。
2、更换网络设备,调试网络,加装UPS设备,预计工期1天完成。
八、改造成果
改造核心成果,解决现有带宽慢且时常中断现象,解决因停电对机房设备造成的损坏。
1、替换原有民用路由器,采用企业级AP管理,无缝覆盖且不间断切换无线。
2、优化带宽,对下载及大流量行为进行管控,将带宽用于办公。
3、对业务服务器进行带宽分割,保障业务服务器有充足的带宽资源。
4、采用一小时ups对机房设备进行保障,降低突发断电造成的设备损坏。
篇二:网络改造方案
。
网络改造方案建议
一、网络升级背景
随着电力通讯网络信息化的发展,通讯网络正从传统的、简单的以数据共享、网页浏览、电子邮件服务等数据处理为中心的数据承载网过渡到以多媒体流处理为中心的多业务应用网络。
电力公司已经完成了骨干网的改造,为数据集中和全县应用系统的稳定运行提供了良好的网络基础平台,但网络应用环境和办公网的业务处理能力已经不能胜任和满足现在的业务需求,网络安全也开始日渐考验网络系统。随着数据传输量的增加和应用系统的快速增多,对网络在总体架构、可靠性、安全性、整体性能等方面都提出了更高的要求。
因此,从网络设备层解决安全问题,优化办公网络环境,使网络具有易扩展的功能,并实现网络的统一规划和管理,成为电力公司通讯网络的健全完善以及未来业务发展的最基本的要求。
二
、信息内网现状分析
2.1概况
公司信息内网已割接到综合数据网,使用双光纤专用线路接入H3C6608边界路由器,机房核心交换机为H3C5800S接至边界路由器,公司现有高清视频会议路由路1台、楼层交换机5台,服务器交换机1台分别接入核心交换机H3C5800;各变电站、供电所目前均采用租用电信4M光纤,通过H3C9303路由器接入公司核心交换机为H3C5800S。。。
2.2网络结构拓扑图
2.3承载的业务介绍
目前公司内网承载的主要业务有SG186生产管理系统、营销系统、OA办公系统、高清视视会议系统、财务管控系统、资金计划系等。
2.4存在及需要解决的问题
(1)、综合数据网目前虽然是多光线接入有效的保障了链路通道,但公司核心网络设备均采用单设备运行,没有任何应急互补措施,一但公司核心设备出现故障,将造成公司内外大面积瘫痪。
(2)、公司目前除了几台重要的交换机还有6台普通的交换机,功能就是进行数据转发。无法登陆交换机查看交换机状态、无法查看网络流量状态、无法根据网络的新需求进行新的配置。
(3)、公司所有电脑在分别在三个子网,但三个子网互通,所有的电脑、服务器、网络设备在同一个网络内,并且综合数网核心设备我公司无权限进行配置,(比如IP地址与物理地址邦定)这意味着这些设备之间可以任意的互连互通,任意一台电脑感染病毒或受黑客控制的时候,可以直接影响公司的所有IT设备
(4)、应用服务器缺乏基本保护,服务器与电脑设备在同一个网络中,意味着电脑可以任意访问服务器的所有端口,而不是根据应用服务的需要去限制只可访问需要的服务,这样服务器的任何一个漏洞都可以被计算机利用来攻击服务器。
(5)外来电脑可任意接入外来电脑可任意接入外来电脑可任意接入外来电脑可任意接入
外来电脑和笔记本可以任意接进公司网络,其电脑上所带的病毒、木马、恶意工具会影响公司其它电脑。。以及服务器的安全。
2.5、信息内网络设备资产统计
序号
12345678设备名称
设备型号
防火墙
路由器
路由器
路由器
交换机
交换机
交换机
交换机
交换机
B6-v6SP6608MSR30-20MSR30-20S5800S9303S2300S2000S1016品牌
龙马
H3CH3CH3CH3CH3CH3CH3CDLINK业务用途
区站下行
内网边界路由
高清视频路由
各区站边界路由
核心交换机
各区汇聚
服务器交换机
服务器交换机
楼层交换机
投运时间
2011.10.1201三、信息外网现状分析
3.1概况
公司信息外网采用租用电信40M光纤接入H3CER5200路由器,H3C2300做汇聚分别接入5台楼层交换机,公司各部们配置专用信息外网PC有线接入,路由器上做IP/MAC邦定。
3.2网络结构拓扑图
3.3承载的业务介绍
目录公司信息外网主要承载的业务有,远程抄表系统、电信天网监控系统、短信平台。。。
3.4存在及需要解决的问题
(1)公司信息内网共6台楼层交换机,均为普通交换机,功能就是进行数据转发。无法登进交换机查看交换机状态、无法查看网络流量状态、无法根据网络的新需求进行新的配置。
(2)上网行为存在安全因素
访问不安全网站,如暴力、黄色、赌博、股票等与业务无关网站,会导致病毒和木马进入公司内部网站
员工上班时间下载电影或是在线看视频资料,会占用极大的带宽资源,导致业务开展所需要的带宽不够,收发邮件变慢
员工上班时间看新闻,军事,足球,玩网络游戏,炒股票等等会影响到员工的工作效率
(3)有电脑在同一个子网
所有的电脑、网络设备在同一个网络内,这意味着这些设备之间可以任意的互连互通,任意一台电脑感染病毒或受黑客控制的时候,可以直接影响公司的所有IT设备。
3.5信息内网络设备资产统计
序号
123四、网络建设目标
根据实际考察和相互交流,本次网络设计的目标为:
(1)
尽量保留用户现有网络中的设备,在确保用户正常业务使用的前提下减少用户投资;
(2)
企业各计算机等终端设备之间良好的连通性是需要满足的基本条件,网络环境就是提供需要通信的计算机设备之间互通的环境,以实现丰富多彩的网络应用;
(3)
许多现有网络在初始建设时不仅要考虑到如何实现数据传输,还要充分考虑网络的冗余与可靠,否则一旦运行过程网络发生故障,系统又不能很快恢复工作,所带来的后果便是企业的经济损失,影响企业的声誉和形象;
(4)
在商品竞争日益激烈的今天,企业对网络的安全性有非常高的要求。在很多企业在局域网和广域网络中传递的数据都是相当重要的信息,因此一定要保证数据安全保密,防止非法窃听和恶意破坏,在网络建设的开始就考虑采用严密的网络安全措施;
(5)
随着网络规模的日益扩大,网络设备的数据和种类日益增加,网络应用日益多样化,网络管理也日益重要。良好的网络管理要重视网络管理人力和财力的事先投入,主动控制网络,不仅能够进行定性管理,而且还能够定量分析网络流量,了解网络健康状况。有预见性地发现网络上的问题,并将其消灭于萌芽状态,降低网络故障所带来的损失,使网络管理的投入达到事半功倍的效果;。设备名称
设备型号
路由器
交换机
交换机
ER5200S2300S1016R品牌
H3CH3CDLINK业务用途
边界路由
楼层汇聚
楼层交换机
投运时间。(6)
网络建设为未来的发展提供良好的扩展接口是非常理智的选择。随着企业规模的扩大、业务的增长,网络的扩展和升级是不可避免的问题。思科通过模块化的网络结构设计和模块化的网络产品,能为用户的网络提供很强的扩展和升级能力;
五、网络改造总体设计
以双核心技术为主要策略的网络通讯系统,在设计中保障了网络及设备的高吞吐能力和各种信息的高质量传输,实现了网络平滑扩充和升级,而且揉和了其未来技术和业务的集中发展趋势。
双核心网络改造,是在现有网络基础上,建立一个稳定、安全、可靠的通讯网络,为电力公司的信息化建设提供一个优秀的网络基础平台。在核心层添加了两台基于十万兆平台的核心路由交换机,和原有的核心交换机组成双核心网络架构,保证骨干网的高性能和高稳定。
双核心改造,就是搭建一个安全可靠,稳定成熟的网络基础平台,为通讯信息化、办公信息化提供服务。建设共考虑以下几点:万兆网络核心、骨干网络全千兆、信息点百兆接入、安全高性能的网络出口、统一的网络管理、最大限度保护公司投资,充分的考虑未来的扩展要求。具体来说:
5.1、骨干网络更高性能、更高稳定性;
网络骨干包括网络的核心层和汇聚层,是整个网络流量的承受者和汇聚者,为了提高设备的可靠性和稳定性,可采用骨干网络冗余设计,能够实现设备的热备和失效自动切换。
5.2、更高的网络安全性;
网络安全包括网络级、系统级、用户级、应用级的安全,在网络级,需要利用防火墙的过滤与隔离功能,将信任网络和不信任的网络隔离开来,并利用防火墙或出口路由器的NAT(网络地址转换)功能,对外屏蔽其他的网络拓扑信息,从而避免通讯网络受到外来攻击。在网络内部,根据用户的网络使用需求,将用户和网络资源划分为不同的VLAN,在VLAN间根据需求启用相应的ACL(访问控制列表),从而保证用户的物理隔离和资源访问的安全。
5.3、多出口部署需求;。。
边界出口是整个网络通讯的咽喉部分,好的出口能够大大提升网络对外访问以及外界对内访问的效率。为了分担流量和提高访问的响应速度,可以同时使用双光纤网络出口。可对内部访问外部资源的流量进行负载分流和相互备份,负载分流和相互备份。
5.4、更好的网络扩展性和兼容升级;
网络必须能够扩展以适应用户需求以及业务的发展,并保护公司的投资。
5.5、更简单易用的网络管理;
随着网络规模的不断扩大,网络的管理越来越重要,管理的事务也越来越复杂。网络管理应该智能化、简单化。
六、网络升级实施方案
6.1、信息内网升级方案
办公网络的稳定运行和信息点的畅通连接需要一整套网络优化方案。
电力公司网络升级后,新机房采用两台模块化的核心路由设备,通过万兆链路双链路上联至两台核心交换机,在楼宇采用支持万兆扩展的汇聚交换机,通过千兆光纤上联至核心设备。区域接入层交换机分为两种,使用之前部署的是6类线,可采用全千兆的接入交换机;或通过千兆双绞线或千兆光纤上联至各楼宇汇聚层交换机,实现千兆骨干,百兆到桌面的网拓扑结构。
设计网络结构拓扑图所示。。
信息内网在原网络基础上新增加核心路由路、核心交换机各一台,将原普通交换机更换为二层带光口交换机共计6台。
所需设备清单如下:
序号
设备名称
设备型号
路由器
交换机
交换机
光模块
光缆
光配
服务器
软件
SP6608S5800S5048eSFP-GE-SX-MM850-A8芯
8芯
DELLR710上网行为管理系统软件
品牌
H3CH3CH3CH3C
DELL
业务用途
边界路由
楼层汇聚
楼层交换机
设备互链
上网行为管理
数量
1台
1台
6台
14个
1500米
6个
1台
1套
12345678网络升级后,采用双核心技术,为机房网络核心层配备2台万兆路由路和核心交换机,这样就为系统网络的稳定运行提供了保障。
运用双核心设计,分离办公网和业务网,降低两个网络彼此之间的影响,使办公网方面的问题不会影响电力核心业务的正常运行,同时办公网核心交换机对每个网段都启用了VRRP协议,保证每个网段的客户端都能够从IP层上实现冗余备份。
改建后的网络系统中,当其中一台核心交换机出现停机等问题时,另一台交换机就能够承担全部任务,以保障综合业务和办公业务7×24小时不间断运行。这种设计,又使网络具备了更高的可扩展性能。
此外,全模块化骨干路由器和核心交换机还拥有多个模块可扩展槽,以提供管理模块的冗余,并拥有电源冗余能力,支持引擎、模块带电热插拔和万兆模块,支持千兆和百兆模块线速转发,可根据需求灵活配置,还可构建弹性可扩展的现代化IP网络。
由于双核心交换机端口线速转发,具有更大的路由表、Mac地址表、ACL表等资源,网络无论处于何种环境下,都不会出现瓶颈,并支持基于Vlan的策略路由和基于目标地址的策略路由功能,可以使用多条路径进行负载均衡,充分利用了设备和链路带宽,进而从核心层就可以成倍地提升网络性能。
在网络接入层,可采用具有2个光纤接口和24个固定100/1000M以太网RJ45接口的智能千兆光纤交换机,以实现到桌面的100Mbps的连接,其中2个千兆上连接扩。。展槽,采用千兆短波光纤双链路上连双核心,实现与千兆骨干网的连接,也可将原有设备用作接入,通过千兆双绞线或千兆光纤连接双核心交换机,使办公网络的原有设备得到充分利用,节约了投资资金。
同时,在整个网络接入层,接入交换机业务可划分为办公VLAN和业务VLAN,当办公数据流通过链入右边的同核心互连链路传输到核心时,左边的链路作为备份;当综合业务的数据流都通过左边的同核心互连链路传输到核心时,右边的链路作为备份。
在与骨干网的互连中,在2台万兆路由器与2台骨干网核心交换机之间采用了OSPF动态路由协议或静态路由协议,公司局域网作为骨干核心的接入模块,以三层方式接入骨干传输核心,并实现数据流在骨干网核心交换机上进行路由的重分发。
因此,整个办公网络通过上述协议的运作保证了所建办公网络与综合业务网络、外联机构的其它网络之间的平滑连接与互通,同时也可以看到网络扩展的未来。
在网络建设中,从网络的接入层到核心层的交换设备都嵌有病毒和攻击防护能力如MAC、DHCP、STP、ARP攻击、IP/MAC欺骗攻击、DoS/DDoS攻击、IP扫描攻击等,也会被网络设备隔绝在网络之外,不会造成网络瘫痪和其它计算机感染。
在办公局域网的交换机上,可针对不同安全区域设置网段,每个网段只为属于这一类的主机和终端提供接口,而不同网段之间则采用VLAN、访问控制列表等安全措施,以保证不同安全区域之间的可控互通,并将安全策略部署在交换核心,以便控制和策略的调整。
同时,为杜绝人为乱改IP地址,在办公网核心交换机上启用IP地址和Mac地址的绑定功能,防止私自更改IP地址,甚至可以对任何特定的计算机只有使用固定分配出的IP地址才能正常接入网络,所有这些措施的实施进一步增强了对IP地址的有效管理。
加上上网行为管理软件策略部署(如禁于非法外网、移动存储注册等),大大加强信息内网高速、可靠、安全的运行。
6.2、信息外网升级方案
根据公司信息外网应用业务的评诂,主要做好信息外网接管理工作,信息安全方面的前题是做好信息内网安全的相对安全,所以信息内网改造的权重不大,只需将楼层交换机更换为二层管理交换机,交换机上采用IP/Mac地址表邦定、VLAN划分、流量。。控制等措施等加强安全管理。
信息外网结构图:
信息外网设备选择如下:
序号
1设备名称
设备型号
交换机
品牌
业务用途
楼层汇聚
数量
5台
LS-S2352P-EI-ACH3C。。网络改造方案需求清单
序设备名称
号
1路由器
2交换机
345678交换机
光模块
光缆
光配
服务器
软件
设备型号
SP6608S5800S5048eSFP-GE-SX-MM850-A8芯
8芯
DELLR710上网行为管理系统软件
LS-S2352P-EI-ACcpu≧I3\内存≧2G/硬≧500/19液晶
品牌
H3CH3CH3CH3C
DELL
业务用途
边界路由
楼层汇聚
楼层交换机
设备互链
上网行为管理
数量
1台
1台
6台
14个
1500米
6个
1台
1套
5台
20台
9交换机
10电脑
H3C外网楼层汇聚
联想、DELL、HP。。欢迎您的下载,资料仅供参考!
致力为企业和个人提供合同协议,策划案计划书,学习资料等等
打造全网一站式需求。11
篇三:网络改造方案
网络改造方案
第一篇:网络改造方案
公司网络改造解决方案
根据公司网络需进行改造事项,我们组织相关部门征集了网络改造需求和改造方法的建议,并汲取相关我公司网络改造的其它方案优点,经汇总提出如下网络改造解决方案。
一
需求分析
带宽分析
公司网络出口是10M共享光纤,主要的应用是访问internet,考虑到成本及目前设备的利旧问题,我们网络主干仍然以百兆链路为主,出口目前带宽可以满足需求。网络管理
由于公司网络中用户数量较多(约160点),需要对不同用户访问网络资源加权限控制和日志记录,还要将职能部门划分不同网段,保护各自数据安全。
安全分析
目前,公司网络出口没有任何隔离防护设备,所有上网均是通过一个免费代理软件实现,安装该软件电脑应该使用服务器级别设备,而我们现在是用普通PC承担代理服务,造成上网速度时快时慢不稳定。另外,公司局域网内未设统一病毒防护,这对网络接入电脑安全均有潜在威胁,因此需要增设必要网络安全及病毒防护措施。
网络应用分析
目前公司运行邮件系统硬件性能低、软件功能差经常出现:丢失客户、供应商及外协单位邮件;垃圾邮件逐渐增多;公司内生产、财务及工艺文件邮件经常被退信;邮件客户端发件时经常有错误提示等问题。
公司网站服务器、域名解析服务器、代理服务器因配置低,不仅影响外网访问我们公司网站速度也不利于我公司网站建设。
二
网络改造设计
在互连网出口增设边界路由器,隔离内、外网络及应用服务器。
升级核心交换机,可实现网段划分和访问控制。网内统一部署正版杀毒软件及接入电脑病毒升级管理,购置正规销售邮件软件,更新邮件服务器、网站服务器、代理服务器及相应软件,提高网络应用性能。
经上述改造可以使公司网络及其应用系统的稳定性,安全性,控制性得到很大提高,能较好保证网络正常运行。
三、网络改造拓扑图:
PC。。。。。。。。。。PC四、网改费用预算
注:
1、诺顿企业版杀毒软件仅供一年免费升级服务,产品购买第二年开始,诺顿服务器端升级费
1000元,客户端200点总计费59400(优惠价38610)元。卡巴二年免费升级,第三年起续费总价71862(优惠价46710.3)元。
2、邮件网关仅提供一年免费升级服务,产品购买第二年开始按年收取产品价格的20%升级服务费。例:若邮件网关售价3万元,每年升级费6千元。
我公司2007年之前使用的美讯智邮件网关年升级费4950元(100用户),2008年上涨至8000元,因有网改事情,我们未做续费。
上表中网络改造预算费用分为三部分:网络架构;服务器;软件。我们主要考虑了性价比,从众多产品中选择1或2款列入预算表,表中产品选型及价格尚有调整空间,请领导和有关部门参考并提出修改建议。
总工办2008-12-8第二篇:网络改造集成规划方案
网络系统
集成
改造
规划方案/17目录1项目概述..........................................................................................1项目背景....................................................................................1项目目标....................................................................................1项目范围..........................................................................................2参考依据..........................................................................................2建设原则..........................................................................................3改造方案..........................................................................................3办公网改造................................................................................3综合网改造................................................................................4综合布线改造.............................................................................5互联网及机房建设......................................................................6网络监控....................................................................................7工程概算....................................................................................8经费预算....................................................................................9项目管理.........................................................................................11实施计划...................................................................................11组织保障..................................................................................12质量管理..................................................................................12/17售后服务........................................................................................13现场培训..................................................................................13服务保证与承诺.......................................................................13项目
概述
项目背景XXX办公网和综合信息网的网络改造是为了适应新形势下的提高信息利用的要求,随着互联网应用的不断发展,客观上要求当前的网络结构和链路能够很好的承载不断扩充的办公业务需求。同时为了满足企业更好的利用互联网资源。从而推动XXX企业向信息化建设的目标发展。
XXX企业办公楼网络改造项目主要涉及到三套网络:办公网、综合信息网、互联网。这三套网络需要相互之间物理隔离,三套网络之间的改造相对独立。
项目目标
本次网络改造的目标,实现综合信息网和
办公网的客户端无盘统一管理。阻止客户端可能存在的被攻击或信息泄露。实现企
业内部访问互联网资源的同时保障内部客户端的安全。
根据实际考察和相互交流,本次XXX办公网和综合信息网改造的目标为:
A)尽量保留用户现有网络中的设备,在确保用户正常业务使用的前提下减少用户投资。
B)在初始建设时不仅要考虑到如何实现数据传输,还要充分考虑网络的冗余与可靠,否则一旦运行过程网络发生故障,系统又不能很快恢复工作;
C)纳入对网络安全性的考虑。在办公网和综合信息网中传递的数据
都是相当重要的信息,因此一定要保证数据安全保密,防止非法窃听和恶意破坏,在网络建设的开始就考虑采用严密的网络安全措施。
D)网络改造建设要为未来的发展提供良好的可扩展性。随着将来企业业务的增长,网络的扩展和升级是不可避免的问题。
E)由于视频会议、视频点播、IP电话等多媒体技术的日趋成熟,网络传输的数据已不再是单一数据了,多媒体网络传输成为世界网络技术的趋势。企业着眼于未来,对网络的多媒体支持是有很多需求的。项目范围
本次网络改造涉及办公网、综合信息网、互联网、网络监控及综合布线等项目范围。
在完成项目后,需要提交项目运行过程的全部安装、配置、测试、验收相关的项目文件。
根据用户要求,提供最终的信息模块分布图和设备物理链路分布图;提供关于链路和信息模块的标签分配表;
针对交换机的安装,提供关于初步管理配置的配置模板(包括访问控制、密码设定、终端限制、环路避免、端口安全等);针对每条链路均提供连通性测试和网络延迟测试并生成记录。参考依据
GB/T18233-2008(信息技术-用户建筑群通用布缆国家标准)
GB/T50311-2007(综合布线系统工程设计规范)
GB/T50312-2007(综合布线系统工程验收规范)
GB/T21671-2008(基于以太网技术的局域网系统验收测评规范)
HJ460-2009(环境信息网络建设规范)建设
原则
网络建设依据一下主要原则:满足办公网络和综合信息网的业务应用系统的要求;充分利用现有的网络硬件资源,进行网络改造时考虑与已有的专用办公网相兼容;网络改造考虑安全可靠、可管理和可扩展的网络结构。
高可靠性-选用可靠性高的网络产品,合理设计网络架构,制定可靠的网络备份策略,保障网络有故障恢复的能力,从而最大限度的支持网络的正常运行。
实用性-网络改造方案设计实施应充分考虑实际需求和费用,追求高的性效比。
可扩展性-根据未来业务的增长和变化,网络可以平滑的扩充和升级,减少对网络架构和现有设备的调整。改造
方案
办公网改造
在现有网络内增加4台交换机,其中三台交换机用作终端接入层,另外一台用作数据汇聚层。
综合考虑到目前各楼层房间的信息面板的信息点的数量和未来的扩展需求,选择接入层交换机为由24个百兆电口和4个千兆上联口的二层可网管交换机。用作数据汇聚层的交换机采用高端的支持IPV6功能的智
能弹性交换机,其有24个千兆电口和4个千兆下联光电口。以便为接入层链路提供高速的数据汇聚和传输。
各交换机安装好光模块,到光配架用
LC-FC一对单模光纤联通。三台接入层交换机通过光纤分别连接到
汇聚层的IPv6智能弹性交换机。最后通过光纤将
智能弹性交换机连接到指定的分布层交换链路上。然后测试所有线路看网络访问是否正常。
在办公大楼的各楼层设置楼层配线间,确保现有的配线架到各办公室的线路已经铺设完毕和测试联通。充分的利用原有的线路。
在机柜上新增配线架,以便与弥补当前配线间的配线架接口数量不足的情况。在新增的配线架上安装网络模块,同时更换用户需求中指定的各方面的信息面板以提供足够的网络信息点。
线路准备完毕后,将网络交换机安装到各个楼层的配线间内,然
后测试各条链路的对应关系并标记。
综合网改造
在现有网络内增加4台交换机,其中三台交换机用作终端接入层,另外一台用作数据汇聚层。
综合考虑到目前各楼层房间的信息面板的信息点的数量和未来的扩展需求,选择接入层交换机为由24个百兆电口和4个千兆上联口的二层可网管交换机。用作数据汇聚层的交换机采用高端的支持IPV6功能的智能弹性交换机,其有24个千兆电口和4个千兆下联光电口。以便为接入层链路提供高速的数据汇聚和传输。
与办公网类似,安装好各交换机的光模块,到光配架用
LC-FC一对单模
光纤联通。三台接入层交换机通过光纤分别连接到
汇聚层的IPv6智能弹性交换机。最后通过光纤将智能弹性交换机连接到综合信息网络指定的分布层交换链路上。然后测试所有线路看网络访问是否正常。
在大楼的各楼层设置楼层配线间,确保现有的配线架到各办公室的线路已经铺设完毕和测试联通。充分的利用原有的线路。
在机柜上新增配线架,以便与弥补当前配线间的配线架接口数量不足的情况。在新增的配线架上安装网络模块,同时更换用户需求中指定的各方面的信息面板以提供足够的网络信息点。
线路准备完毕后,将网络交换机安装到各个楼层的配线间内,然后测试各条链路的对应关系并标记。
在综合信息网中,为了便于对客户端加强管理和提高信息安全的保密措施,部署46台无盘工作,通过增加一台管理工作站,在它上面安装无盘管理软件,统一管理和维护46台无盘工作站。
综合布线改造
综合布线系统在充分考虑信息点(或模块)分布和数量的基础上,统筹规划,合理设计,精心施工。信息点分布和数量应至少能满足未来5-10年内的应用和用户需求,避免短期内重复施工。
在综合布线系统中,布线硬件主要包括:配线架、传输介质(双绞线和光纤)、通信模块、线槽和管道等。
综合布线包括六个子系统:工作区子系统、水平布线子系统、管理子系统、干线子系统、设备间子系统和建筑群主干子系统。
为办公网与综合信息网分别布两条50米长的超五类非屏蔽双绞线,网线使用蓝色和红色加于区分。这两条线分别从
3楼的配线间一直连接到
4楼的指挥室,涉及到跨楼层穿线的工作需要做好相应的准备,准备配线架用的1.5米跳线和预备一些水晶头做耗材使用,确保任务的完成。
每个房间的信息点的面板的数量根据用户要求(需要更换)进行布置。每个信息点由一个双口信息面板(RJ45接口)组成:一个为语音点,一个为数据点,或者两个都为数据点。所有的信息插座、面板和配线架管理系统模块都有标记。
在进行布线时需要线槽时,线槽的规格按这样确定:线槽的横截面积保留40%的富余量以备扩充,超5类双绞线的横截面积为0.3平方厘米。线槽安装时,注意与强电线槽的隔离。
互联网
及机房建设
图
5.4:互联网及机房改造图
基于原有互联网机房的布线结构做有限的扩展,新增
20台无盘工作站,统一接入到新增的接入层交换(H3C5120)上。
无盘工作站通过专用的无盘管理服务器(DELL)进行管理和维护。在互联网机房的ISP接入出增加一台路由器(H3CER6300)作为网络边界,同时,为了考虑互联网的访问控制,增加一台防火墙(H3CF1000S)作为安全措施。
互联网机房原有线路已铺设到讲台位置,需要重新延长。用网络模块延长后铺设到角落位置。在机房角落安装机柜,放置服务器与网络设备等。
将所有设备连接完毕后调试,网络路由器安装在最前端连接运营商的互联网出口,防火墙安装后端提供网络防护。H3C5120连接各台互联网电脑,提供汇聚作用。
网络监控
为了确保企业机房网络系统的安全稳定运行,除了在系统软、硬件层面的支撑,还需要有一种切实有效的机房实时监控系统。本次项目中增加了如下三项监控内容:温湿度监控报警器、电力报警器、视频监控摄像头。
整个GPU边缘融合系统由投影显示部分、多屏控制系统和控制软件系统组成。投影显示部分:主要包括一个专业清投视讯投影屏幕,而投影仪阵列是由标准化的若干投影机并联而成;多屏控制系统:边缘融合机连接计算机,兼容传输并合成多种图像信号源,以满足需求的画面尺寸和分辨率显示在大屏上。本方案系统具备:4路高解析度显示通道;4路复合视频信号输入;4路计算机信号输入;控制软件系统:是一套专用的控制软件,负责控制大规模投影系
统的图像拼接、边缘融合、色彩校正、几何校正和显示效果的调整,选择需要的显示信号的图像,以及用户的分级管理等功能。
GPU边缘融合系统的最终目的是要把用户所需要显示的信号按照用户的要求显示到通过多通道投影融合之后的大屏上,本系统中,用户应用系统中计算机信号源主要来自于用户网络中的计算机信号、远程监控的视频信号以及图形处理机中预存的展示信息,在我们的设计方案中,这些信号是可以通过多种方式显示到大屏上去的。
同时清投视讯GPU边缘融合系统是由高分辨率和高亮度的投影拼接融合而成,所以整个显示区域具有高分辨率、高亮度、高对比度、色彩还原真实,能保证色彩的长期运行稳定不变,图像失真小,亮度均匀,显示清晰等。
工程概算
序号
名称
规格、型号、参数、说明
数量1全千兆安全智能交换机24个10/100/1000Base-T以太网端口,4个1000Base-XSFP千兆以太网端口22安全智能三层交换机个10/100Base-TX以太网端口(PoE),2个10/100/1000Base-T以太网端口,2个复用的100/1000Base-XSFP千兆以太网端口63光模块
单模千兆光纤模块124面板Rj45双头网络面板405信息模块Rj45信息点模块806配线架Rj45配线架27无盘软件
基于PXE启动方式,用于远程启动的网络平台软件企业版46无盘工作站
处理器:E8400;内存4GDDRIII1066;512M独立显卡;4.5L立卧两用迷你机箱;耳麦;PS/2键盘鼠标。
经费预算
网络名称
设备名称
品牌
型号
数量
单价
总价
办
公
网
交换机H3CLS-51201交换机H3CLS-3100-52P-H33光模块H3CSFP-GE-LX-SM1310-A6面板
安普
信息模块
安普
超五类的40配线架
安普
综
合
信
息
网
交换机H3CLS-5120-24P-EI-H31交换机H3CLS-3100-52P-H32交换机H3CLS-3100-52P-H31光模块H3CSFP-GE-LX-SM1310-A6面板
安普
信息模块
安普
配线架
安普
台式电脑
联想
启天M4300S46无盘软件
锐起V3.0企业版46互
联
网
服务器DELLR7101防火墙H3CF1000-S1交换机H3CLS-5120-52P-LI1路由器H3CER63001显示器
优派VA1932wa4台式电脑
联想
启天M4300S20无盘软件
锐起V3.0企业版20机柜
机
房安
全监控
温湿度监控报警器电力报警器
科宇
视频监控
监控头1视频监控电脑
联想
启天M71501边缘融合控制器
清投视讯GPU边缘融合机TNB-S3124T1工
程
电源面板TCL配件
模块
安普
网线
安普
光纤
金牛
网线
安普
项
目集成
包括设备的安装调试、现场的工程施工、售前方案设计、一年内的售后上门服务
工
程税点
工程费用的5%费
用总计项目管理
实施计划
序号
任务阶段名称及详细项目
预计时间
1各个配线间分线3工作日2安装配架、网络模块、墙上面板3工作日3各个网络的网络设备安装调试4工作日4互联网机房布线、安装机柜配置服务器3工作日
序号
任务阶段名称及详细项目
预计时间5视频矩阵安装调试、其他综合布线工作4工作日6总计17工作日
组织保障
为确保本次XXX办公网和综合信息网的网络改造工作各项任务的顺利落实,各相关参与单位必须要做好组织保障,各单位各施其责,协作配合,保障网络改造项目正常有序按进度的完工。各单位职责与角色如下:
XXX企业
用户方,负责提供具体项目的实际需求,在项目实施前反馈必要的需求变更或者提供详细支持信息,在项目过程中,参与项目监控合反馈具体期望,最后组织项目验收
?XXX有限公司
负责网络改造的规划、设计、安装、调试。
质量管理
在项目实施初期,制定完善的项目质量管理计划,在网络设备的采购、安装、调试、交付等过程中,充分做到全过程有跟踪记录,书面化记录工程过程的详细实施记录和出现的问题。做好对项目问题的日志记录和对出现问题的应
对措施的计划。
每安装一个设备或硬件模块,均需要做单点测试,确保项目过程中每一步的质量都有保证。在执行安装和测试前,制定项目工作流程、安装核对表、测试核对表。
在项目交付前,需要根据相关质量核对表对各项做逐一的审计。
整个工程都需要严格遵守《环境信息网络建设规范》,做到布线整洁、美观和干净。对设备、线路、端子、模块、插座等一一用标签标明用途、连接等信息。售后服务
现场培训
根据用户系统实际环境的情况,在现场设备安装调试过程中和结束后,针对项目中发现的和已经纠正的问题,进行现场讲解,使用户详细了解改造后的网络状况,针对设备配置、日常维护、故障解决等方面内容进行完全针对性的技术培训,可以使用户具备自操作、自学习、自维护的基本工作能力。
培训地点:用户现场;
培训时间:项目实施或最后验收时;
培训人数:用户自定义;
培训内容:网络系统整改介绍、无盘管理系统配置、使用、维护等;
服务保证与承诺(11)
质量保证和服务承诺书
我方提供的所有货物保证是全新,未使用过的正宗原装合格正品,保证进口产品全部通过正规合法渠道。
(22)
保修,包换措施,设备升级
质保期内的服务:所有硬件设备均提供三年硬件质保
㈠
保修期内的产品硬件质量问题我方负责对其提供的设备进行上门维修,不收取额外的费用;
㈡
提供7*24小时技术支持热线服务,工作日内出现质量问题时或故障时,自接到用户电话后两个小时内到达现场解决故障。
(33)
一年免费运行维护服务
在系统交付后,提供一年的免费网络相关设备的运行维护服务。维护服务期满前,总结和分析维护期发现的错误和问题,提交“系统维护报告”给用户提出系统性的建议。
(33)
故障响应服务
故障响应服务指改造范围内的相关设备或系统发生突发性故障后,追查故障原因,并予排除修改的工作。如有故障发生,本公司应在接获通知后的规定响应时间内,调配有关技术人员远程解决或到现场进行维护,以使系统正常运行。提供快速,完整的网络故障分析及解决方案。
第三篇:通信网络改造迁移方案优化
通信网络改造迁移方案优化
作者:张卫华
来源:《电子世界》2012年第11期
【摘要】本文是针对县级供电公司信息网络建设项目中老网(各县局通过4E1访问市局,以下简称“老网”)迁移到新网(综合业务数据网,以下简称新网)的迁移步骤和技术细节进行描述。主要涉及到转换四个阶段,原有的网络拓扑、中间转换拓扑、最终拓扑结构下的网络设置说明及技术要点。
【关键字】网络迁移方案;综合数据网;迁移步骤
第四篇:网络改造实施方案
大厦
服务部
网络改造
实施方案
strong部
现状概述
服务部与服务部在大厦五层设有
4间办公室
508、509、510、511,洽谈室
2个,会议室一个。共有网络信息点132个,语音信息点20个,在508房间设有网络设备间一个,H3C5500数据汇聚交换机1台,H3C5120接入交换机2台,华为5300语音接入交换机2台,通过广域网代理服务器访问internet。
网络核心设备放置在六层网络机房,五层数据接入设备通过单模光纤双上连到两台数据核心交换机上,语音接入交换机通过千兆单模光纤连接到语音汇聚交换机上,五层办公区数据网段为
144.0/24,属于Vlan144,IP电话网段为124.0/24,属于Vlan400。
拓扑:
图:1核心层:
核心层设备包括两台
H3C7503交换机,通过单模光纤分别上连至广域网MSR5040路由器,采用VRRP技术将两台核心交换机虚拟为一台,保证链路的稳定性。
H3C7503交换机连接各汇聚交换机的端口采用trunk模式,可以使网络结构简单扩展性灵活,启用
STP协议保证网络中没有环路。启用
vlan112、vlan123、vlan144、vlan146、vlan147,作为数据
Vlan;启用Vlan124作为语音Vlan,配置各vlan的网关地址;启用
DHCP协议为终端PC机分配IP地址。
汇聚层:
汇聚层交换机为二层交换机采用单模光纤上连核心交换机,采用多模光纤连接接入交换机,端口模式为trunk模式,启用STP协议。
接入层:
接入层交换机为二层交换机,采用多模光纤上连至汇聚层交换机,端口模式为trunk,启用STP协议。
业务需求
服务部、服务部部分用户由于业务原因禁止访问
Internet,但是需要访问内网,另外IP电话接口访问Internet的权限也要取消,只保留508房间和511房间两个洽谈室的Internet访问权限。
在不改变原有拓扑的情况下,可以采用在核心交换机上配置
ACL禁止访问代理服务器的方法进行控制,目前大厦所有PC的IP地址均为DHCP自动分配地址,如果要对PC进行访问控制需手动指定IP地址。
针对以上解决方法需要对现有网络做出调整:
重新分配五层办公区IP地址;
地址类型
地址范围
掩码
网关DNS数量
受控地址
非受控地址
将PC机IP地址获取方法改为手动分配;
在核心交换机上配置Acl,控制五层办公区PC禁止访问代理服务器。
实施步骤
一、征得领导同意后,向相关人员下发断网通知;
二、在接入交换机上将上联接口类型改为Access,vlanID为500:[5500-F5-01-vlan500]quit[5500-F5-01]interfaceGigatEthernet1/0/49[5500-F5-01-GigatEthernet1/0/52]portlink-typeaccess[5500-F5-01-GigatEthernet1/0/52]portaccessvlan500三、在数据核心交换机上将连接汇聚交换机的G2/0/6接口类型改为Access,vlanID为500,配置IP地址作为网关:
[CORE-DATA-7503E-01]vlan500[CORE-DATA-7503E-01-vlan500]quit[CORE-DATA-7503E-01]interfaceGigatEthernet2/0/6[CORE-DATA-7503E-01-GigatEthernet2/0/6]portlink-typeaccess[CORE-DATA-7503E-01-GigatEthernet2/0/6]portaccessvlan500[CORE-DATA-7503E-01-GigatEthernet2/0/6]quit[CORE-DATA-7503E-01]interfaceVlan-interface500[CORE-DATA-7503E-01-Vlan-interface500]ipadd1四、在核心交换机上配置Acl源网段为目的地址为代理服务器,达到禁止该网段访问互联网但是可以访问内网的目的,并取消IP电话的DNS分配:
[CORE-DATA-7503E-01]aclnumber3000[CORE-DATA-7503E-01-acl-adv-3000]rule1denyipsourcedestinationGigatEthernet0.0.0.02/0/6[CORE-DATA-7503E-01]interface[CORE-DATA-7503E-01-[CORE-DATA-7503E-GigatEthernet2/0/6]packet-filterinboundip-group3000[CORE-DATA-7503E-01-GigatEthernet2/0/6]quit7503E-01-dhcp-pool-tel]undodns-list五、测试
在PC上配置IP地址,结果应只能访问内网,无法访问internet。
将PC连接IP电话,结果应无法获得DNS地址。
存在的问题
与建议
此方案不能从根本解决问题,如果员工使用自行搭建的代理服务01-GigatEthernet2/0/6]dhcpserverip-pooltel[CORE-DATA-
器将不受ACL控制,需
要增加上网行为管理设备从应用层对终端进行管理才能做到完全控制。
应急预案
保存所有设备的配置并备份;
检查设备的电源情况预防配置过程断电;
测试失败安照原有配置回退。
第五篇:网络改造申请
关于申请总部办公网络改造的请示
尊敬的领导:
因公司逐步发展、业务领域不断突破、规模一直不断壮大,集团对网络各方面的需求也在急速的增加,现有的文件传输、OA系统、网站信息更新及正在规划上线的APP系统以及日后的智慧小区建设等网络应用都是建立在网络平台之上的,但就目前集团的网络架构及设备都存在一定的瓶颈,严重时基本的正常办公都存在问题。公司目前所使用的无线路由交换设备过于低端、属于普通家庭设备。本身网线由克拉美丽物业接入,带宽已缩减一大部分,本身接线过长也影响数据传送,再通过无线路由器发射,信号进一步缩减,再由各电脑主机接无线网卡收发信号,无线网卡本身不具备有线的高效传送速率,再由于办公环境内墙面、各个拐角、坐席挡板、金属及电路干扰严重影响信号传送,从而导致目前办公人员普遍反映的断网、无法连接等现象,根本无法满足企业快速发展的大数据、高转发需求。
为更贴近公司信息化建设的要求,进一步提高办公效率,特申请就公司办公网络进行升级改造,由现有的无线接入改为有线网络接入。现拟设21个网络端口,分别为:大办公室16个端口,副总办公室4个端口,小会议室1个端口,大会议室由无线WIFI接入。财务室与总经理办公室本身为独立进线,因此不再另做改造。整体布线施工费用为2000元包干,含施工费、材料费及一年的上门维护。以上妥否、请领导批示。
篇四:网络改造方案
网络改造方案建议书
日期:2011年4月25日
目
录
一.
网络状态分析………………………………………….3二.
网络建设目标…………………………………………..4三.
网络改造总体设计……………………………………..5四.
售后服务…………………………………………………8一、网络状况分析
当今时代,企业信息化与企业的生命力息息相关。企业的各种业务数据应用、每一台服务器、每一台计算机不仅创造着企业的竞争力,也记录着公司的核心价值。企业的不断成长和发展也需要企业信息建设的不断健全和完善。
贵公司大致网络状况如下:
1、企业总部约有40信息点,外部销售中心关键信息点不超过5个。
2、在总部大楼设有一中心机房,为企业数据交汇传输存储的唯一节点,工厂设有1个小型机房,作为楼宇间数据交换使用。
3、现有一条8M动态电线线路,负责公司总部员工用于外联公网。
4、公司目前正常上网速度较慢,并且缺乏专业安全防护。
5、由于缺少专业人员维护和管理,机房内部线路连接混乱、标识缺失,故障时难于查询统计。
由于贵公司没有上网控制类硬件,根据经验判断为迅雷、BT、电驴等P2P下载软件以及PPstream等在线视频电影消耗了大量的有效网络带宽,造成出口拥塞,网络访问异常,影响了正常的工作。
公司必须通过有效的网络带宽管理、有区别的网络行为限制,加强对外网的使用监管,规范上网行为,保障网络畅通,确保关键应用。
二、网络建设目标
根据实际考察和相互交流,本次网络设计的目标为:
A)
尽量保留用户现有网络中的设备,在确保用户正常业务使用的前提下减少用户投资。
B)
企业各计算机等终端设备之间良好的连通性是需要满足的基本条件,网络环境就是提供需要通信
的计算机设备之间互通的环境,以实现丰富多彩的网络应用。
C)
许多现有网络在初始建设时不仅要考虑到如何实现数据传输,还要充分考虑网络的冗余与可靠,否则一旦运行过程网络发生故障,系统又不能很快恢复工作,所带来的后果便是企业的经济损失,影响企业的声誉和形象。
D)
在商品竞争日益激烈的今天,企业对网络的安全性有非常高的要求。在很多企业在局域网和广域网络中传递的数据都是相当重要的信息,因此一定要保证数据安全保密,防止非法窃听和恶意破坏,在网络建设的开始就考虑采用严密的网络安全措施。
E)
随着网络规模的日益扩大,网络设备的数据和种类日益增加,网络应用日益多样化,网络管理也日益重要。良好的网络管理要重视网络管理人力和财力的事先投入,主动控制网络,不仅能够进行定性管理,而且还能够定量分析网络流量,了解网络健康状况。有预见性地发现网络上的问题,并将其消灭于萌芽状态,降低网络故障所带来的损失,使网络管理的投入达到事半功倍的效果。
F)
网络建设为未来的发展提供良好的扩展接口是非常理智的选择。随着企业规模的扩大、业务的增长,网络的扩展和升级是不可避免的问题。思科通过模块化的网络结构设计和模块化的网络产品,能为用户的网络提供很强的扩展和升级能力。
G)
由于视频会议、视频点播、IP电话等多媒体技术的日趋成熟,网络传输的数据已不再是单一数据了,多媒体网络传输成为世界网络技术的趋势。企业着眼于未来,对网络的多媒体支持是有很多需求的。同时,在网络带宽非常宝贵的情况下,丰富的QoS机制,如:IP优先、排队、组内广播和链路压缩等优化技术能使实时的多媒体和关键业务得到有效的保障。
三、网络改造设计
上网行为管理设备选择:
上网行为管理是一种约束和规范企业员工遵守工作纪律,提高工作效率的工具,是行政管理的电子化辅助手段。上网行为管理设备无疑对企业网络访问的制度化管理起到了良好的辅助作用。
上网行为管理设备:
上网行为管理设备选用网康NS-ICG3320设备。
网康互联网控制网关NS-ICG3320参数
适用于:100-300人规模,10-30M出口带宽的网络环境
网康互联网控制网关(InternetControlGateway,NS-ICG)是一款软硬件一体化、性能卓越的互联网控制管理产品。NS-ICG为网络管理者提供各种互联网接入环
境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查,内容留存审计,结果分析等功能。
主要功能:
1、精细应用识别,管控您的网络
DPI+DFI深度行为识别技术,准确识别上百种P2P应用,并加以限流、封堵等精细化控制
支持对市面主流30余种IM聊天工具进行识别并控制
能够识别用户论坛发帖行为,针对发帖敏感关键字设置过滤,并支持主动报警
对开心网、QQ农场等网页游戏,以及魔兽世界等多种主流网络游戏进行识别并控制
支持30余种主流炒股软件,并可细化识别行情查询与在线交易,加以区分控制
2、专业网页分类,健康您的网络
国际领先的网页预分类技术,对含有有害、不健康内容的网页进行过滤,创建文明健康上网环境
高达1600万条全球规模最大的中文URL数据库,全面覆盖中文地区站点,确保分类准确无遗漏
本地智能识别分类引擎,采用专业自学习算法为URL数据库覆盖范围外的网址提供实时智能识别
3、终端用户准入,规范您的网络
20余种用户身份识别/认证方式,确保入网用户身份合法有效,避免外来隐患
对计算机终端环境进行管理,帮助管理者实施计算机准入规范
如:必须安装杀毒软件方可上网;禁止安装、运行与工作无关的应用程序等
4、带宽合理分配,优化您的网络
精确识别各种互联网应用,包括各种对带宽占用极大的主流P2P软件与在线视频软件
基于应用或用户对流量进行管理,对指定类型的流量进行限速,避免占用过多网络带宽
为关键业务提供带宽资源保障,保留足够可用带宽,保障服务质量
5、实时监控审计,洞悉您的网络
查看上线用户的网络使用时间与流量信息,及时发现异常用户并加以处理
全面了解用户上网行为,包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动
对于用户通过邮件、聊天、论坛等外发的言论信息进行合理监控,及时过滤有害信息
参数规格:
NS-ICG3320系列产品规格参数见下表:
网络接口
USB接口
RS232串口
面板Bypass按钮
硬盘容量
Flash卡
电源规格
尺寸规格
性能参数
NI33204电千兆+1管理口+2光SFP21xRJ45支持
250G2G交流110~240V,150W标准1U,429*330*44mm
适用用户数
适用出口带宽
最大吞吐量
最大并发连接数
最大新建连接数
功能参数
用户管理
网页过滤
应用控制
100-300人
10-30M300Mbps30万
7000个/S
IP和Mac地址绑定/AD域透明认证/本地Web认证/LDAP认证/RADIUS认证/代理认证/统一的第三方认证接口/用户分组、分段管理
等
40多种分类、1600万条URL分类库/本地内容智能识别技术
支持网络游戏、P2P下载、聊天工具、网络视频、网络炒股等16大类近500种主流应用
阻塞应用/限制带宽/限制使用时长
自定义带宽通道/基于协议、应用的带宽分配/基于用户的带宽分配/用户组成员平均分配带宽/支持优先级设定/空闲带宽复用
Email/Webmail/BBS/MSN/Yahoo通/QQ等
支持实时监控/基于用户、时间、应用、带宽、外发信息等的监控记录/可生成基于日/周/月以及指定日期范围的统计报表/支持email订阅报表
必须安装指定软件/禁止安装指定软件/必须运行指定程序/禁止运行指定程序/禁止指定程序访问网络
海量存储,离线查询
集中制定、下发策略/分支机构设备状态监控/用户日志、报警信息收集
支持HTTP/HTTPS/SOCKS代理
支持ARP攻击监控/网络异常流量监控/IP流量异常监控/DDOS攻击/广播风暴
支持黑白名单/免监控IP/监控不记录/监控并记录/允许/阻塞
等
浏览器(HTTPS)/Console
透明网桥/双入双出/网关模式/旁路监听
等
带宽管理
内容审计
互联网活动审计
终端准入
日志中心
集中管理
代理服务
攻击防护
管理方式
策略制定
操作界面
设备部署
部署方式
设备价格
单价
25800来源:
虚构数据,仅用作图表示例
四、售后服务与培训
1、质量保证和服务承诺书
我方提供的所有货物保证是全新,未使用过的正宗原装合格正品,保证进口产品全部通过正规合法渠道。
2、保修,包换措施,设备升级
㈠
保期内的服务:所有设备及配件均提供一年软硬件质保
㈡
保修期内的产品硬件质量问题我方负责对其提供的设备进行上门维修,不收取额外的费用;
㈢
每月定期回访保养维护,提供7*24小时我公司客户服务中心技术支持热线服务,工作日内出现质
量问题时或故障时,自接到用户电话后四个个小时内到达现场解决故障。
篇五:网络改造方案
有限公司网络改造方案
设
计
方
案
批准
审核:
校对:
编写:
二○一七年十月九日
目录
一、改造需求................................................................................................................................3二、网络现况................................................................................................................................31、现场现况:
..........................................................................................................................32、存在问题:
..........................................................................................................................3三、网络建设目标
........................................................................................................................3四、无线设计................................................................................................................................31、结构设计
..............................................................................................................................32、AP选型
................................................................................................................................43、射频设计
..............................................................................................................................4五、网络架构设计
........................................................................................................................41、拓扑结构
..............................................................................................................................42、软件:..................................................................................................................................4六、设备拓扑图............................................................................................................................5七、设备清单................................................................................................................................6八、产品介绍................................................................................................................................61、防火墙..................................................................................................................................62、交换机..................................................................................................................................3、行为管理器
..........................................................................................................................4、无线......................................................................................................................................一、改造需求
对办公网络进行整体升级改造,升级改造分为三部分:
1、硬件升级改造,更换现在办公网络所有的硬件设备,包括交换机、路由器等网络设备。
2、网络升级优化,在硬件升级改造完毕后对网络进行整体的升级优化。
1)
对IP地址重新规划。
2)
对网络内所有客户端进行流量限制以及行为管理等。
3)
对网络按部门进行划分。
3、对新建仓库以及现有办公室、会议室建设WiFi覆盖。
二、网络现况
1、现场现况:
经过现场调研了解,在办公大楼已具备一定规模的网络,接入客户端大约有100多个,整体网络的核心为一台二层H3C交换机,在较大的两个办公室的接入层为H3C100M二层交换机,而其他较小的办公室则使用普通的100M8口交换机等,交换机摆放位置不恰当,线路凌乱,维护难度大等,无线方面则使用普通家用无线路由器。
2、存在问题:
1)目前所使用的网络设备虽然满足目前办公需求,但功能单一无法满足随着公司人数以及业务增长和发展的需求。
2)IP网段划分单一,且只有一个地址池可用IP数量越来越紧张。
3)整体网络均在同一Vlan下,若发生广播风暴或者ARP病毒等所有客户端均会受到影响。
4)无线方面使用的是普通家用路由器,在使用前均需要网管手动设置好方可接入,若员工私下接入则会对整个网络造成影响,且家用无线路由器的信号干扰大,稳定性差等问题。
三、网络建设目标
在系统设计时充分考虑到系统的先进性、实用性、可扩充性和可维护性,给用户提供最佳的产品和解决方案,建立一个可靠性高、运行速度快、扩展性强、安装维护简单、成本较低的办公网络。
在解决现有问题的同时还必须考虑到日后的扩展,此项目将采用华为公司的产品构建高速办公网络,为了更贴合使用环境和需求,核心层以骨干链路均使用千兆连接、而无线产品将使用2.4GHz、5GHz的双频产品。
四、无线设计
1、结构设计
使用AC+AP方式设计,AC以旁路形式接入到核心交换机对AP统一进行控制,AP则分散接入到各个接入层交换机当中。
2、AP选型
为了达到更好的体验效果此方案将使用双频段的802.11a/b/g/n室内型AP。
3、射频设计
1)频率
主要采用2.4G频段进行覆盖,而5G频段则进行近距离高速接入。
2)SSID按照用户需求可以配置多个SSID。
3)加密方式
支持WPA(TKIP)、WPA2(AES)、WPA-PSK、WEP(64/128位)数据加密,可由用户自行选择加密方式。
4)信道
信道采用手动模式部署,由于2.4G和5G的特性不一样,2.4G使用1、6、11信道进行部署,5G则采用自动模式部署。
五、网络架构设计
1、拓扑结构
整体网络采用两层结构,核心层和接入层
核心层:包括核心交换机、防火墙、行为管理器、无线控制器、原有VPN等设备
接入层:包括接入层交换机、无线接入点。
2、软件:
1)vlan划分:按部门划分,每个部门一个vlan。
2)IP地址分配:由部门vlan进行自动分配。
3)IP地址规划:每个部门一段C类IP地址,每个部门的前10个IP地址均保留给设备使用,如网关等。
4)访问控制:部门与部门之间不能互相访问,但可以访问服务器和打印机,总经理则不受限制。
隆基电子有限公司网络升级改造方案IP\VLAN规划部门总经理办公室服务器\网络设备工程部物控部QCPE报关仓库生产办公室设备保留\备用无线
VLAN88100110120130140150160170180190200IP段192.168.88.10-254/24192.168.100.10-254/24192.168.110.10-254/24192.168.120.10-254/24192.168.130.10-254/24192.168.140.10-254/24192.168.150.10-254/24192.168.160.10-254/24192.168.170.10-254/24192.168.180.10-254/24192.168.190.10-254/24192.168.200.10-207.254/21网关192.168.88.1192.168.100.1192.168.110.1192.168.120.1192.168.130.1192.168.140.1192.168.150.1192.168.160.1192.168.170.1192.168.180.1192.168.190.1192.168.200.1六、设备拓扑图
防火墙原有VPN行为管理器核心交换机无线控制器接入层交换机客户端
AP
七、设备清单
设备品牌型号产品描述SSG140System,512MBmemory,0PIMcards,ACpowerEX3200,48个10/100/1000BaseT(8POE接口)+320WACPS?EX3200,24-port10/100/1000BaseT(8-portsPoE)+320WACPSEX3200,48个10/100/1000BaseT(8POE接口)+320WACPS?千兆无线控制器,默认管理8个NAP,2个千兆电口无线控制器增加管理1台AP的授权支持802.11b/g/n,最大接入速率300Mbps,胖瘦一体化;支持POE和本地供电AP外置电源适配器12V2A适用于NAP-3600本地供电并发会话数120000、4千兆RJ45数量防火墙接入层接入层核心层AC管理AP数量授权APPOE供电模块上网行为管理器机柜安装调试费用JuniperJuniperJuniperJuniper信锐信锐信锐信锐深信服图腾SSG-140-SBEX3200-48TEX3200-24TEX3200-48TNAC-6100NAC-License-1APNAP-2400-S12V,2A电源适配器AC-1220挂壁、12U1231121010171八、产品介绍
1、防火墙
安全业务网关是专用安全产品为中等规模的分支办公机构和企业部署提供完善的安全、路由和局域网/广域网连接能力。通过状态防火墙、IPsecVPN、IPS、防病毒包括防间谍软件、防广告软件、防钓鱼、防垃圾邮件和网页过滤等全套统一威胁管理安全特性可保护进出分支办公机构或企业的流量不受蠕虫、间谍软件、木马和恶意软件的侵袭
瞻博网络
XXXX安全业务网关是一款适用于分支办公机构或中小规模的独立企业的高性能安全平台能够帮助企业免受内外攻击并阻止未授权的访问从而满足法规遵从性要求。XXXX是一个模块化平台能够提供超过
350Mbps的状态防火墙吞吐量和
100Mbps的IPsecVPN吞吐量。
安全性
由一流合作伙伴提供支持的经实践检验的统一威胁管理
(UTM)安全特性能够提供防御蠕虫、病毒、木马、垃圾邮件和不断出现的恶意软件的能力。为了满足内部安全和法规遵从性要XXXX系列支持一整套高级网络防护特性例如安全域、虚拟路由器和虚拟局域网使管理员能够把网络分割为不同的安全域每个域都运行自己独特的安全策略。保护每个安全域的策略包含了接入控制规则以及任意
UTM安全功能所提供的检测规则。
连接和路由
XXXX支持
10个板载接口8个
10/100和
2个
10/100/1000并有4个辅助
I/O扩展槽适用于额外的LAN和WAN接口T1、E1、ADSL2/2+、G.SHDSL、ISDNBRIS/T、串口和10/100/1000使
XXXX成为该级别产品中扩展能力最强的安全平台。灵活的I/O选件加上其路由引擎中的广域网协议和封装支持使
XXXX平台能够被作为路由器或集成的安全与路由设备轻松部署在传统的分支机构中从而降低资本支出和运营成本。
接入控制实施
在瞻博网络统一接入控制部署方案中通过简单地增加
IC系列UAC产品XXXX系列网关便可作为接入控制实施点。IC系列产品与
XXXX系列交互通过充当中央策略管理引擎来扩充或替换基于防火墙的接入控制。为了适应攻击场景和用户特征的不断变化XXXX基于更多的细粒度标准包括端点状态和用户识别来允许或拒绝接入。
世界级支持
从简单的实验室试验到大型网络部署瞻博网络的专业服务人员都将竭诚与您的团队进行协作以确定目标、定义部署流程、创建或验证网络设计并管理部署工作直至成功完成
2、交换机
2.1核心交换机&接入层交换机
系列以太网交换机提供第2层和第3层交换功能,可满足高绩效企业的配线间连接要求。交换机支持4种平台配置模式,为部分或全部的24个和48个10/100/1000BASE-T端口提供以太网供电(PoE)。24和48端口XXXX系列交换机的基本机型支持第3类PoE,在前8个端口上提供15.4瓦的电力,用于在融合网络中支持电话、摄像机和无线局域网(WLAN)接入点等基于IP的产品。XXXX系列交换机还提供在全部24或48个端口上都提供15.4瓦电力的PoE选项,适用于高密度IP电话和其他的融合网络环境。
架构和主要组件
XXXX系列交换机为1RU高的标准机柜,能够为空间和电力都十分宝贵的拥挤的配线间和接入交换机房提供小巧的解决方案。
每个XXXX系列交换机都支持可选的前端面板上行链路模块,可提供4个千兆以太网端口或2个万兆以太网端口,用于通过可插拔的光接口在配线间与上游汇聚交换机之间建立高速骨干或链路汇聚连接。用户在安装上行链路模块时无需给交换机断电,因此能够随时添加高速连接或从千兆以太网迁移到万兆以太网上行链路,以便实现极为灵活的高性能互连。
XXXX系列交换机还提供前端面板LCD显示器,以便作为灵活的界面来执行产品启动、配置回退、报警和指示交换机状态、或者将交换机恢复为默认设置等任务。
XXXX系列交换机的后端面板提供1个专用于带外管理的RJ-45以太网端口,同时后端面板还提供1个用于轻松加载JUNOSTM软件和配置文件USB端口。
特性和优势
高可用性特性
现场可替换的电源:XXXX系列交换机支持现场可替换的AC电源,从而缩短了MTTR。如果部署了可选的外部冗余电源,则EX3200系列交换机上的内部可替换电源将变成热插拔电源。
可热插拔的风扇托架:固定配置的XXXX系列交换机包括可热插拔的现场可替换风扇托架,从而缩短了MTTR。
运营商级硬件:固定配置的XXXX系列交换机利用基于ASIC的专用数据包转发引擎EX-PFE,该引擎集成了瞻博网络运营商级路由器所提供的大多数技术。因此,XXXX系列交换机能够像部署在全球最大型网络中的瞻博网络路由器一样,提供相同级别的可预测的、可扩展的功能。
冗余中继组(RTG):为了避免生成树协议(STP)的复杂性并且不影响网络永续性,XXXX系列交换机使用冗余中继组来提供必要的端口冗余并简化交换机配置。
3、行为管理器
技术的变革带来用户环境的变革,从而带动用户需求的变革
●
无线网络的迅猛发展,给网络环境带来巨大的变革,企业的有线办公正逐步向无线办公转变
●
移动智能终端已经超过PC成为第一终端,对移动终端的管理成为企业IT部门关注的问题
●
移动应用多种多样,不但占用带宽还占用员工上班时间,对移动应用的管控将成为企业必须面对的问题
●
无线硬件成本低廉,用户私接随身Wi-Fi给移动终端上网,不但占用网络资源,还给企业造成管理漏洞
全网全终端统一管控、管理无漏洞
●
能够管理有线网络、无线网络,同时能管理移动终端、PC/笔记本,让管理毫无漏洞
●
能够对移动应用进行有效的识别和精细管控(如微信传文件、微信聊天、微信朋友圈)
●
对非法无线热点能够及时发现和精准控制,秒级识别非法热点
●
能够基于位置、应用、终端、用户四维一体的进行识别与权限控制
上网行为管控更有效:上网应用识别更有效、管控更精细
●
应用识别种类更多(近600种移动应用)、时效性更强(2周更新及时淘汰)、准确度更高(迅雷、PPStream、风行等全流量识别)
●
应用控制更精细,区分动作(如社交网站的浏览、发帖回帖、上传)、区分方向(如网盘的上传,下载)
●
应用行为标签化管理,策略部署更简单、无遗漏
上网行为管控更有效:流量管理更精准、控制保障两不误
●
精确控制P2P上下行流量,带宽利用率提高30%●
流量管理策略更灵活,呈现更直观(能够针对URL类型、文件类型做流控,通道流量实时可视化以及细粒度的可视化报表)
●
动态流控,突破限制上限,不浪费带宽
上网行为管控更有效:外发数据识别更精确,真正防泄密
●
多种外发途径的有效管控(网盘上传附件控制、论坛上传附件控制、邮件外发附件审计与控制、IM外发文件控制等)
●
SSL加密内容识别与控制(邮件客户端收发加密邮件、加密论坛审计等)
4、无线
4.1无线接入点
XXXX是XXXX自主研发的802.11n无线接入点。XXXX内置全向天线,支持802.11b/g/n协议,最大无线接入速率达300Mbps,可提供更快的无线上网和更大的无线覆盖范围。
XXXXXXXX支持本地供电与PoE远程供电,可根据客户现场供电环境进行灵活选择。配合XXXXNAC系列控制器,为用户带来前所未有的快速体验和更安全的业务接入。
该系列产品基于室内放装型设计,外观美观大方,安装方便,适用于桌面放装以及挂壁。
11n高速接入
XXXXXXXX遵从11b/g/n协议标准,采用
2x2MIMO技术,最大传输速率可达300Mbps,可以有效地从覆盖范围、接入密度、稳定运行等方面提供更高性能的无线接入服务。
服务质量保证
XXXXXXXX支持丰富的服务质量保证(QoS),支持基于应用/SSID/STA多种模式的无线空口资源管理,保证无线带宽资源合理分配,保障重要SSID和重要应用的数据优先传输;支持802.11e/WMM,可对不同业务数据定义传输优先级等,真正实现顺畅无线办公。
二三层无缝漫游
XXXXXXXX结合XXXX无线控制器实现二三层无缝无感知漫游,当无线用户漫游时,保持IP地址与认证状态不变;并提供防终端粘滞功能,智能引导STA接入最佳AP上,提高漫游速度。
防终端拖滞,保证全网用户高速上网体验
防终端拖滞,采用时间公平算法,让不同协商速率的终端占用相等的无线信道时间,有效的解决某些终端接入速率过低导致无线上网卡、延时大、整个网络性能低下的问题。
智能负载均衡
在高密度无线用户的情况下,XXXXXXXX结合XXXX无线控制器通过基于用户数、流量的智能负载均衡,提高带宽利用率,保证用户的无线上网高速体验。
智能射频,全面降低无线干扰
自动调节无线接入点的工作信道及发射功率,并对周围环境干扰进行实时检测,全面降低无线干扰,提高无线网络的整体服务质量。
全面的安全防护
多种易用、安全的认证方式
提供多种灵活、易用、安全的用户认证方式,结合XXXX无线控制器实现802.1x、Portal、短信、微信、二维码授权、WAPI等认证方式,很好的满足了企业、学校、商场、酒店、金融等环境下的网络部署。
VPN远程访问
AP搭配XXXX无线控制器建立VPN加密通道,实现接入AP的无线用户访问企业内网资源共享,访问公网或本地资源时直接走本地转发。AP自带VPN功能,小型办事处无需部署VPN设备,节省了客户的网络部署成本
全面的无线安全防护
配合XXXX无线控制器,XXXX具备WIDS(无线入侵检测)/WIPS(无线入侵防御)、非法接入点的检测及反制、防ARP欺骗、DOS攻击防御等一系列无线安全防护功能,从根本上为用户构建真正安全可靠的无线网络。
射频定时关闭,保护网络安全,绿色环保
支持基于时间段定时关闭和开启射频,在夜晚或周末放假休息的时候可以自动关闭无线网络,防止不良分子利用深夜入侵网络,同时达到减少设备能耗的目的。
灵活网络部署
网关功能,跨公网远程部署
XXXXXXXX支持NAT网关功能,并具备DHCPserver和DNS代理功能,分支机构或门店在远程部署无线网络时,可以通过XXXX提供的PPPoE拨号功能直接连入互联网,降低网络建设成本。
胖瘦一体化
AP支持胖瘦一体化(支持胖和瘦两种工作模式),可以根据不同的组网需要,随时灵活的进行切换。当网络建设前期没有配置无线控制器时,AP可工作在胖模式,胖模式下的AP可自行独立组网使用;当后期AP规模较大并配置了无线控制器时,可将AP切换成瘦模式,由XXXX无线控制器统一集中管理,实现全网集中管控、安全认证、流量管理、行为控制、行为审计等。
本地转发
XXXX通过本地转发技术可以将传输要求实时性高、延迟敏感、数据量大的数据直接通过有线网络转发,无需再经过无线控制器,这样可以极大缓解无线控制器的流量压力,突破无线控制器的流量瓶颈限制。
虚拟AP技术
通过虚拟无线接入点(VirtualAP)技术,最多可提供16个ESSID,不同的SSID使用不同的认证接入方式和上网访问权限,不同SSID之间互相隔离的,可以对使用相同SSID的子网或同一个VLAN下进行终端二层隔离,保证用户数据安全。
中文SSID支持中文SSID,可指定最长包含32个字符的SSID,也可以使用中英文混合的SSID,为商场或企业提供个性化的SSID,提高识别度。
4.2无线控制器
XXXXNAC-6100无线控制器是XXXX技术自主研发的多元化、高性能的无线控制器设备,集无线控制器、用户认证、营销推送、客流分析、用户画像、上网行为管理、流量控制、上网行为审计、VPN、防火墙、Portal服务器、网络管理系统于一体。NAC-6100无线控制器可管理XXXX全系列AP,并具有二三层无缝无感知漫游、智能射频、多元化的认证方式、O2O增值营销、精细化的用户行为管理、灵活的QoS控制、无线协议优化、有线无线一体化等功能。
无线控制器支持集中转发和本地转发,可部署在任何2层或3层网络结构中,可减少企业无线部署复杂度;同时还支持网关路由模式,降低无线网络部署成本。XXXXNAC-6100无线控制器打造更安全、会营销的无线网络。
配合XXXX无线AP系列,定位于中型WLAN接入业务,如:企业、商超连锁、校园、酒店、医院、政府、金融、景区等高速的WIFI应用场景。
二三层无缝无感知漫游
XXXX无线控制器支持集中转发和本地转发,可部署在任意二、三网络结构中,跨越三层网络结构部署,简化部署环节。当无线用户漫游时,保持IP地址与认证状态不变,从而提供全网无缝无感知三层漫游。
智能射频,全面降低无线干扰
自动调节无线接入点的工作信道及发射功率,并对周围环境干扰进行实时检测,全面降低无线干扰,提高无线网络的整体服务质量。
防终端拖滞,终端公平访问
防终端拖滞,采用时间公平算法,让不同协商速率的终端占用相等的无线信道时间,有效的解决某些终端接入速率过低导致无线上网卡、延时大、整个网络性能低下的问题。
APP和文件缓存
无线控制器内置硬盘,支持APP和文件的缓存,方便用户就近下载APP,避免从公网下载浪费带宽资源,也为APP营销做有利的支撑。同时也支持文件的缓存,可以提前在控制器后台设置需要缓存的文件格式,控制器就能按照规则缓存该文件。方便用户就近调取。
负载均衡
在高密度无线用户的情况下,通过基于用户数、流量、信道利用率、频段的智能负载均衡,提高带宽利用率,保证用户的无线上网高速体验。基于频段的负载均衡,使支持2.4G/5G双频的终端优先接入5GHz频段。同时,可以根据不同的区域、不同的建筑物设置不同的负载均衡参数,使负载均衡效果更佳,使用更灵活。
篇六:网络改造方案
网络改造实施方案
一.网络物理连接图
二.
准备工作
1.
机房环境准备
机房装修完成后,网络的实施才能够开展进行,所以在我们开展准备和实施工作以定,机房装修一定要完成
机房空调、温度、灯光照明应能满足机房需求,安装完空调设备后应该能满足
温度和湿度的需求
机柜给设备供电的电源接口应该为中国国家标准接口,该PDU提供至少为2台Ciscocatalyst3750G、2台ASA5520、5台Ciscocatalyst、1台Cisco3845、2台Cisco2821、1台Cisco1831提供2000W电源容量
机柜空间,需要提供800X600长度的网络机柜,所有网络设备需要至少20U,设备与设备中间留有1U散热空间,一共需要30U网络机柜空间
机房机柜、电源应按国家防雷接地标准做好防雷接地工作,如果没有做防雷接地工作可能会对我们上线的设备造成破坏
2.
线路准备
在装修机房的同时,我们可以同步进行申请网络专线,包括2MPrimaryInternet、TelecomISDNPRI、8MMPLS线路,在机房装修完成的同时,专线也应该进入机房内,并做好连通测试
3.
设备加电测试
在实施方案之前需要对新购的网络硬件进行可用性测试,包括新设备Cisco3845、Cisco2821、Cisco1841、ASA5520防火墙、CiscoCataylst3750G、CiscoCataylst2960交换机及其Vwic-2MFT-E1、NM-1T3/E3模块等硬件的加电测试,确认正式实施时这些设备能正常上线使用。
4.
光纤和跳线
准备好交换机与交换机、交换机与路由器、专线线路的光端机到配线架的光纤跳线等等。
主干线路核心交换机3750G—2960、3750G—路由器之间要准备6类双绞线。
根据配线架的上光纤接口准备专线线路的光端机到配线架的光纤跳线。
5.
其它环境准备
其它应该在实施前准备好的工作还包括DHCP服务器、IP地址规划、路由规划、网络管理电脑等等准备工作。
三.时间安排
根据我们的方案和客户需要网络规模,我们将按如下安排时间和进度,如果所有条件都能准备好,我们估计需要10个工作日完成整个实施方案,具体工作时间视用户机房等条件而定。
网络实施方案讨论
准备工作
(0.5天)
(3天)
(0.5天)
(1.5天)
(1天)
(0.5天)
(0.5天)
(0.5天)
(2天)
网络交换机物理连通
网络设备整合配置
全功能测试、故障排除
进行网络性能测试
进行网络安全性测试
网络优化、管理软件安装
管理员培训
三.
实施步骤
1.网络切换方案讨论
在进行切换之前,我们将会进行切换前的全面讨论以确定最终的切换方案是否可行,我们需要对如下几个方面的内容进行讨论:
准备工作是否完成
网络物理连接图及设备上架安装位置
确定IP地址规划和路由
交换机设备端口分配
方案实施人员安排,包本地和远方其它点的人员安排
网络切换中可能遇到的问题和替代方案
其它未考虑周详和有疑问的地方
讨论时间安排是否得当
及其它网络安全策略等等
2.网络设备硬件上架加电
本阶段的主要工作是把网络设备按客户要求安装在指定机柜的位置上,并能正常通电工作。
将NM-1T3/E3安装到Cisco3845NM网络插槽
将VWIC-2MFT-E1安装到Cisco3845VWIC接口
将两台Cisco3750G-48TS-S做堆叠连接
按用户要求将交换机、路由器、防火墙安装到指定机柜的位置
做好个个网络硬件设备的防雷接地
按规划好的IP地址方案配置设备接口、管理IP地址、管理员密码、用户名
做基本的连通测试,测试端口模块是否是能正常使用
3.网络设备整合配置
配置Cisco3750与Cisco2960的TRUNK、VTP、划分VLAN、接入端口、路由
配置ASA5520防火墙的配置策略、访问权限控制、主/备双机冗余的配置
配置Cisco3845与其它点的MPLS-VPN配置、路由配置
配置Cisco2821上网策略、路由配置、权限控制
配置Cisco1841上网策略、路由配置、权限控制、与其它点的VPN?
配置Cisco2821VOIP配置、路由配置
4.系统测试
a)功能测试
全网络完成上架配置实施后,我们首先进行的是全网的功能性测试,保证我们实施的网络方案按客户需要完成,我们要进行的功能性测试包括以下方面:
测试局域网络是否正常访问,包括访问内部网络、正常打印、VOIP正常通话、共享文件
测试广域网络是否正常访问,包括访问内部网络、正常打印、VOIP正常通话、共享文件
Cisco3845与Cisco2821的Internet线路互为备份测试
Cisco3845与Cisco2821的专线路互为备份测试
ASA5520防火墙A/S冗余测试,测试两台是否能正常做双机热备切换,模拟当一台故障时能否切换到另外一台
测试能否按客户的需要访问Internet,以及测试访问Internet的质量
测试网络设备是否远程监控和远程管理
路由收敛测试,测试个个测试之间的路由收敛时间,保证网络产生变化时能在最短的时候内恢复正常通讯
稳定性测试,对设备进行多次关机/断电,保证设备能在正常和非正常断电的情况下能恢复到正常工作状态
b)性能测试
我们实施的方案在完成客户需求的功能同时,必须保证网络的性能。目前网络互联设备的性能测试主要集中在设备网络层面的性能测试,测试的标准通常采用业界较广泛认可的RFC标准,包括RFC1242,RFC2544,RFC2885,RFC2889等,其中RFC2544定义了网络互联设备最基本的基准性能测试指标,主要测试内容包括:
测试局域网丢包率(Framelossrate),广域网络丢包率,在一定负载下,被测设备丢失数据包的比例
测试局域网时延(Latency),MPLS广域网络时延,测试数据包通过被测设备所需要的时间
测试局域网的吞吐量(Throughput),在不发生数据包丢失情况下,被测设备能够支持的最大传输速率。利用一台服务器共享文件,其余电脑到这台服务器上拷贝文件,测试局域网内达到的带宽
测试广域网的吞吐量(Throughput),在美国或者其它地方利用一台服务器共享文件,其余电脑到这台服务器上拷贝文件,测试广域网内达到的带宽
错误包测试,利用抓数据包工具捕捉访问网络的数据包,并分析这些数据是否正常有无丢包重新传输的情况,分析数据包的正确性
网络广播包测试,利用抓数据包工具捕捉访问网络的数据包,分析局域网内广播数据包的数据是否正常
测试突发数据包,在最大速率下,在不发生数据包丢失前提下被测设备可以接收的最大突发数据包(Burst)的数目
除了上述基准性能测试外,在IP网络环境中,如果要考察网络互联设备的交换性能、路由性能还需要参照RFC2889,RFC1771,RFC2328等标准进行测试。
c)
网络安全性测试
测试网络设备的安全性,为了提高网络设备的安全性,利用漏洞扫描和密码破解程序对网络设备进行扫描,确保网络设备无安全隐患
测试网络的安全性,为了提高网络的安全性,利用漏洞扫描在局域网和Internet对网络设备进行漏洞扫描,确保网络无安全隐患
测试MPLS的安全性,采用交叉互ping的方法测试。在未禁止ICMP流量和防火墙的条件下,轮流地在两地的各个网段上ping对方的各个网段,利用返回的ICMP包验证两异地的连通性。测试的显示信息均为“Requesttimedout”,说明两异地之间的数据是隔离的?
在两地的各个网段上ping骨干网路由器P。测试显示信息均为“Requesttimedout”,说明MPLSVPN的私网信息在骨干网上是透明传输的,从而保证了用户数据不会外泄
在P路由器上只有全局路由信息,用于保证骨干网的通信,而没有VPN私网路由信息,不和CE直接通信
5.网络优化、管理软件安装
在全功能测试通过以后,我们会对上海西文的网络进行全面优化,保证网络的性能是最佳最优的。
改进不合理的节点和连接设备;
个性化设置,网络访问控制等等;
网络安全检查;
优化上网控制;
优化交换机性能;
安装网络管理软件;
安装网络故障排查工具;
对设备做好标识;
对网络设备接口、物理连接线路做好标识。
五.网络管理培训
网络按方案全部实施完成并且通过测试以后,我们将会对网络管理人员进行系统培训,以后管理员将可自行管理网络中的交换机和故障排查,主要培训内容包括:
网络通讯原理
网络的分类
网络互联的硬件、线路
网络中的设备和线路实现冗余备份,路由器、交换机的热备份
规划IP地址
路由器的功能
交换机的功能
提升网络性能、优化网络、安全性
管理配置路由器、交换机
网络故障排除、常用工具使用
网络配置实验,包括路由器、交换机、防火墙的配置
六.完整的设备配置
1.核心交换机CiscoCataylst3750G配置
3750G_Captial#Buildingconfiguration...Currentconfiguration:7108bytes!!Lastconfigurationchangeat10:33:57GMTSunJun212009bycisco!NVRAMconfiglastupdatedat18:45:53GMTFriJun192009bycisco!
version12.2noservicepadservicetimestampsdebuguptimeservicetimestampslogdatetimenoservicepassword-encryption!hostname3750_30F_A/B!boot-start-markerboot-end-marker!enablesecret5$1$zHgD$eqqeUkSFvl6LnEjS7dVfN1!usernameciscopassword0ciscoaaanew-model!!aaaauthenticationlogindefaultlocalaaaauthenticationdot1xdefaultgroupradiusaaaauthorizationnetworkdefaultgroupradius
!!!aaasession-idcommonclocktimezoneGMT8switch1provisionws-c3750g-48tsswitch2provisionws-c3750g-48tssystemmturouting1500ipsubnet-zero!
!!!cryptopkitrustpointTP-self-signed-296165184enrollmentselfsigned
subject-namecn=IOS-Self-Signed-Certificate-296165184revocation-checknone
rsakeypairTP-self-signed-2961651840!!cryptopkicertificatechainTP-self-signed-296165184certificateself-signed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
5812036BC9096C6CD6ACCF67781D60B684A2AF4FBE3E513BA6221591906BC50B
DA250203010001A36D306B300F0603551D130101FF040530030101FF
30180603551D110411300F820D333735305F3330465F412F422E301F0603551D230418316801451656587E867DCD49CDFDA47210BE9BDDA7F0BAA301D0603551D0E0416041451656587E867DCD49CDFDA47210BE9BDDA7F0BAA300D06092A864886F70D
01010405000381810076135A5C1E2E4693489915550DF3B56C8266169D5CA9EE
77F7B10281A0497A5B37EBA4601330B0AEE11FDCBDF23D4B91F01859C64D9512F87A3C8CA77D8DF7BED7DA4F75D53D5A5BB11BB8EC86B91D56713C09E6BFFEBE
6267497CDE91DA0A5135FF7D8FD0FB730E67C42E2E1507332CF911E5A3C03CA4755E36A1BF86E69EA
quitdot1xsystem-auth-control!!!!!spanning-treemodepvstspanning-treeextendsystem-id!vlaninternalallocationpolicyascending!ipsshversion1!!
interfaceGigabitEthernet1/0/1!interfaceGigabitEthernet1/0/2!interfaceGigabitEthernet1/0/3!
interfaceGigabitEthernet1/0/4!interfaceGigabitEthernet1/0/5!interfaceGigabitEthernet1/0/6!interfaceGigabitEthernet1/0/7!interfaceGigabitEthernet1/0/8!interfaceGigabitEthernet1/0/9!interfaceGigabitEthernet1/0/10!interfaceGigabitEthernet1/0/11!interfaceGigabitEthernet1/0/12!interfaceGigabitEthernet1/0/13!interfaceGigabitEthernet1/0/14!interfaceGigabitEthernet1/0/15!
11interfaceGigabitEthernet1/0/16!interfaceGigabitEthernet1/0/17!interfaceGigabitEthernet1/0/18!interfaceGigabitEthernet1/0/19!interfaceGigabitEthernet1/0/20!interfaceGigabitEthernet1/0/21!interfaceGigabitEthernet1/0/22!interfaceGigabitEthernet1/0/23!interfaceGigabitEthernet1/0/24!interfaceGigabitEthernet1/0/25!interfaceGigabitEthernet1/0/26!interfaceGigabitEthernet1/0/27!interfaceGigabitEthernet1/0/28!interfaceGigabitEthernet1/0/29!interfaceGigabitEthernet1/0/30!
12interfaceGigabitEthernet1/0/31!interfaceGigabitEthernet1/0/32!interfaceGigabitEthernet1/0/33!interfaceGigabitEthernet1/0/34!interfaceGigabitEthernet1/0/35!interfaceGigabitEthernet1/0/36!interfaceGigabitEthernet1/0/37!interfaceGigabitEthernet1/0/38!interfaceGigabitEthernet1/0/39!interfaceGigabitEthernet1/0/40!interfaceGigabitEthernet1/0/41!interfaceGigabitEthernet1/0/42!interfaceGigabitEthernet1/0/43!interfaceGigabitEthernet1/0/44!interfaceGigabitEthernet1/0/45!
13interfaceGigabitEthernet1/0/46!interfaceGigabitEthernet1/0/47!interfaceGigabitEthernet1/0/48!interfaceGigabitEthernet1/0/4switchporttrunkencapsulationdot1q
switchportmodetrunk
channel-group3modeon!interfaceGigabitEthernet1/0/5switchporttrunkencapsulationdot1q
switchportmodetrunk!interfaceGigabitEthernet1/0/51switchporttrunkencapsulationdot1q
switchportmodetrunk!interfaceGigabitEthernet1/0/52switchporttrunkencapsulationdot1q
switchportmodetrunk!interfaceGigabitEthernet2/0/1!interfaceGigabitEthernet2/0/2!interfaceGigabitEthernet2/0/3!interfaceGigabitEthernet2/0/414!interfaceGigabitEthernet2/0/5!interfaceGigabitEthernet2/0/6!interfaceGigabitEthernet2/0/7!interfaceGigabitEthernet2/0/8!interfaceGigabitEthernet2/0/9!interfaceGigabitEthernet2/0/10!interfaceGigabitEthernet2/0/11!interfaceGigabitEthernet2/0/12!interfaceGigabitEthernet2/0/13!interfaceGigabitEthernet2/0/14!interfaceGigabitEthernet2/0/15!
interfaceGigabitEthernet2/0/16!interfaceGigabitEthernet2/0/17!interfaceGigabitEthernet2/0/18!interfaceGigabitEthernet2/0/115!interfaceGigabitEthernet2/0/20!interfaceGigabitEthernet2/0/21!interfaceGigabitEthernet2/0/22!interfaceGigabitEthernet2/0/23!interfaceGigabitEthernet2/0/24!interfaceGigabitEthernet2/0/25!interfaceGigabitEthernet2/0/26!interfaceGigabitEthernet2/0/27!interfaceGigabitEthernet2/0/28!interfaceGigabitEthernet2/0/29!interfaceGigabitEthernet2/0/30!interfaceGigabitEthernet2/0/31!interfaceGigabitEthernet2/0/32!interfaceGigabitEthernet2/0/33!interfaceGigabitEthernet2/0/3416!interfaceGigabitEthernet2/0/35!interfaceGigabitEthernet2/0/36!interfaceGigabitEthernet2/0/37!interfaceGigabitEthernet2/0/38!interfaceGigabitEthernet2/0/39!interfaceGigabitEthernet2/0/40!interfaceGigabitEthernet2/0/41!interfaceGigabitEthernet2/0/42!interfaceGigabitEthernet2/0/43!interfaceGigabitEthernet2/0/44!interfaceGigabitEthernet2/0/45!interfaceGigabitEthernet2/0/46!interfaceGigabitEthernet2/0/47!interfaceGigabitEthernet2/0/48!interfaceGigabitEthernet2/0/41switchporttrunkencapsulationdot1q
switchportmodetrunk!interfaceGigabitEthernet2/0/50switchporttrunkencapsulationdot1q
switchportmodetrunk!interfaceGigabitEthernet2/0/51switchporttrunkencapsulationdot1q
switchportmodetrunk!interfaceGigabitEthernet2/0/52switchporttrunkencapsulationdot1q
switchportmodetrunk!interfaceVlan1ipaddress192.168.1.1255.255.255.0!interfaceVlan2ipaddress192.168.2.1255.255.255.0!interfaceVlan3ipaddress192.168.3.1255.255.255.0!ipclasslessiphttpserveriphttpsecure-server!!loggingtrapdebugging
1logging192.168.1.100control-plane!!linecon0linevty04passwordciscolinevty515passwordcisco!ntpclock-period36029081ntpserver10.1.1.1end
2.路由器Cisco3845配置
3845#shrunBuildingconfiguration...
Currentconfiguration:12100bytes!version12.4noparsercacheservicetimestampsdebuguptimeservicetimestampsloguptimeservicepassword-encryption!hostnamesz3845!boot-start-markerboot-end-marker
1!loggingbuffered4096informationalenablepasswordcisco!noaaanew-modelnonetwork-clock-participateslot4voice-cardnodspfarm!voice-card4dspfarm!ipcef!!!!ipauth-proxymax-nodata-conns3ipadmissionmax-nodata-conns3!isdnswitch-typeprimary-qsig!!!!!
!!!!2!!!!cryptopkitrustpointTP-self-signed-3862081882enrollmentselfsigned
subject-namecn=IOS-Self-Signed-Certificate-3862081882revocation-checknone
rsakeypairTP-self-signed-3862081882!!cryptopkicertificatechainTP-self-signed-3862081882certificateself-signed0130820249308201B2A003020102020101300D06092A864886F70D0101040500331312F302D06035504031326494F532D53656C662D5369676E65642D43657274696669636174652D33383632303831383832301E170D303830353136313334331395A170D3230303130313030303030305A3031312F302D0603550403132644F532D53656C662D5369676E65642D43657274696669636174652D333836323383138383230819F300D06092A864886F70D010101050003818D00308189028181009A5A9D31589D20F5835F13C078565BA1203A17E90AFFD2FAD53A5595C1B33A2551C3F837FB0C0F83C8014EBE3192BE713DEE8DC6704489B34C08CF8D861F
A70F6ECBC4C0F378F630491A60C2B41E716E91BE8C9E4641FC49CBD8A9F163B68BCD9449895618368AA1452A82A6A2166D2CD5F8D552CBEEF5AAA7C8CE82E004125F0203010001A371306F300F0603551D130101FF040530030101FF301C060321551D11041530138211737A333834352E626F736572612E636F6D301F0603551D
23041830168014DA29FDC3BEF58A79BD8E2D7467A044DB27D6FB2E301D0603551D0E04160414DA29FDC3BEF58A79BD8E2D7467A044DB27D6FB2E300D06092A864886F70D0101040500038181003B5D0763D8C8D4D5CD597E07771D6A07933C1A
8C37C36D4CBDCE27DA8F061668FF9D0D61D01D7FA0B5C9A9CAE683C600CBBC339B89D7328F07FB4121191F9296460B59B75D639E2CC2670C5946E38E002E4C76551AFC6854CF5B73F59127778ADD0BA44B13D2447987B33E834343BD0F80B0AE
9C1C72123FAF57868AEAFCAE6quit!!cardtypee31controllerE31/0!!interfaceGigabitEthernet0/descriptionLAN-SZ$ETH-LAN$
ipaddress192.168.1.10255.255.255.duplexauto
speedauto
media-typerj45!interfaceGigabitEthernet0/122descriptionToMpls_VPN
ipaddress211.139.168.186255.255.255.252ipflowingress
ipflowegress
duplexauto
speedauto
media-typerj45!interfaceSerial1/ipaddress10.0.0.6255.255.255.encapsulationppp
nokeepalive
dsubandwidth3401nocdpenable!routereigrp10network192.168.1.noauto-summary
noeigrplog-neighbor-changes!
iproute211.139.144.201255.255.255.255211.139.168.185!ipflow-top-talkers
top2sort-bybytes!noiphttpserveriphttpauthenticationlocaliphttpsecure-server
23!
!!linecon0lineaux0linevty015passwordcisco!end3.
路由器Cisco2821配置
Cisco_2821#shrunBuildingconfiguration...
Currentconfiguration:12100bytes!version12.4noparsercacheservicetimestampsdebuguptimeservicetimestampsloguptimeservicepassword-encryption!hostnameCisco_2821!boot-start-markerboot-end-marker!loggingbuffered4096informationalenablepasswordcisco24!noaaanew-modelnonetwork-clock-participateslot4voice-cardnodspfarm!voice-card4dspfarm!ipcef!!!!ipauth-proxymax-nodata-conns3ipadmissionmax-nodata-conns3!isdnswitch-typeprimary-qsig!!!!!cryptopkitrustpointTP-self-signed-3862081882enrollmentselfsigned
subject-namecn=IOS-Self-Signed-Certificate-3862081882revocation-checknone
rsakeypairTP-self-signed-3862081882!!
25cryptopkicertificatechainTP-self-signed-3862081882certificateself-signed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
A70F6ECBC4C0F378F630491A60C2B41E716E91BE8C9E4641FC49CBD8A9F163B68BCD9449895618368AA1452A82A6A2166D2CD5F8D552CBEEF5AAA7C8CE82E004125F0203010001A371306F300F0603551D130101FF040530030101FF301C0603551D11041530138211737A333834352E626F736572612E636F6D301F0603551D
23041830168014DA29FDC3BEF58A79BD8E2D7467A044DB27D6FB2E301D0603551D0E04160414DA29FDC3BEF58A79BD8E2D7467A044DB27D6FB2E300D06092A864886F70D0101040500038181003B5D0763D8C8D4D5CD597E07771D6A07933C1A
8C37C36D4CBDCE27DA8F061668FF9D0D61D01D7FA0B5C9A9CAE683C600CBBC339B89D7328F07FB4121191F9296460B59B75D639E2CC2670C5946E38E
26002E4C76551AFC6854CF5B73F59127778ADD0BA44B13D2447987B33E834343BD0F80B0AE
9C1C72123FAF57868AEAFCAE6quit!!!interfaceGigabitEthernet0/descriptionTo_ASA552ipaddress172.16.0.1255.255.255.duplexauto
speedauto
media-typerj45!interfaceGigabitEthernet0/1descriptionToInternet
ipaddress202.111.133.133ipflowingress
ipflowegress
duplexauto
speedauto
media-typerj45!routereigrp10network172.16.0.0255.255.255.noauto-summary
noeigrplog-neighbor-changes!
2iproute0.0.0.00.0.0.0211.111.133.132!ipflow-top-talkers
top2sort-bybytes!noiphttpserveriphttpauthenticationlocaliphttpsecure-server!
!!linecon0lineaux0linevty015passwordcisco!end
4.
ASA5520防火墙配置
ASA5540ACT#shrun:Saved:ASAVersion8.0(4)
!hostnameASA5540ACTdomain-nameXXX.captial.comenablepasswordcisco2passwdcisco
names!interfaceGigabitEthernet0/nameifoutside
security-levelipaddress172.16.0.2255.255.255.0!interfaceGigabitEthernet0/1nameifinside
security-level10ipaddress192.168.1.9255.255.255.!interfaceGigabitEthernet0/2nameifdmz
security-level5ipaddress172.16.1.1255.255.255.!interfaceGigabitEthernet0/3descriptionLANFailoverInterface!interfaceManagement0/descriptionSTATEFailoverInterface!bootsystemdisk0:/asa804-k8.binftpmodepassiveclocktimezonegmt8dnsserver-groupDefaultDNS
domain-namebosera.comaccess-listtraffic_for_ipsextendedpermitipanyany
2pagerlines24loggingenableloggingbufferederrorsloggingtrapdebuggingmtuoutside1500mtuinside1500mtudmz1500failoverfailoverlanunitprimaryfailoverlaninterfacefailoverGigabitEthernet0/3failoverlinkstateManagement0/0failoverinterfaceipfailover1.1.1.1255.255.255.0standby1.1.1.2failoverinterfaceipstate2.2.2.1255.255.255.0standby2.2.2.2icmpunreachablerate-limit1burst-size1icmppermithost192.168.100.254outsideasdmimagedisk0:/asdm-615.binnoasdmhistoryenablearptimeout14400global(outside)1192.168.1.9global(dmz)1interfacenat(inside)10.0.0.00.0.0.0nat(dmz)10.0.0.00.0.0.0!routereigrp10noauto-summary
network192.168.1.0255.255.255.redistributestatic!
routeoutside0.0.0.00.0.0.0202.111.134.100timeoutxlate3:00:03timeoutconn1:00:00half-closed0:10:00udp0:02:00icmp0:00:02timeoutsunrpc0:10:00h3230:05:00h2251:00:00mgcp0:05:00mgcp-pat0:05:00timeoutsip0:30:00sip_media0:02:00sip-invite0:03:00sip-disconnect0:02:00timeoutsip-provisional-media0:02:00uauth0:05:00absolutedynamic-access-policy-recordDfltAccessPolicynac-policyDfltGrpPolicy-nac-framework-createnac-framework
reval-period3600sq-period300aaaauthenticationhttpconsoleLOCAL
aaaauthenticationsshconsoleLOCAL
httpserverenablenosnmp-serverlocationnosnmp-servercontactsnmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstartserviceresetoutsidecryptoipsecsecurity-associationlifetimeseconds28800cryptoipsecsecurity-associationlifetimekilobytes4608000telnettimeout5sshtimeout10sshversion1consoletimeout0threat-detectionbasic-threatthreat-detectionstatisticsaccess-listnothreat-detectionstatisticstcp-interceptntpserver10.1.1.1usernameadminpasswordcisco!class-mapinspection_default
matchdefault-inspection-trafficclass-mapips_class_map
31matchaccess-listtraffic_for_ips!!policy-maptypeinspectdnspreset_dns_map
parameters
message-lengthmaximum512policy-mapglobal_policy
classinspection_default
inspectdnspreset_dns_map
inspectftp
inspecth323h225inspecth323ras
inspectnetbios
inspectrsh
inspectrtsp
inspectskinny
inspectesmtp
inspectsqlnet
inspectsunrpc
inspecttftp
inspectsip
inspectxdmcp
classips_class_map
ipsinlinefail-open!service-policyglobal_policyglobalprompthostnamecontext
Cryptochecksum:8163681d30499a353aa6a93de1ea58d4:end
32SZASA5540_Sec#shrun:Saved:ASAVersion8.0(4)
!hostnameASA5540_Secenablepasswordciscopasswdcisco
namesdns-guard!interfaceGigabitEthernet0/nonameif
nosecurity-level
noipaddress!interfaceGigabitEthernet0/1nonameif
nosecurity-level
noipaddress!interfaceGigabitEthernet0/2nonameif
nosecurity-level
noipaddress!interfaceGigabitEthernet0/3descriptionLANFailoverInterface!
33interfaceManagement0/descriptionSTATEFailoverInterface!ftpmodepassivepagerlines24loggingasdminformationalfailoverfailoverlanunitsecondaryfailoverlaninterfacefailoverGigabitEthernet0/3failoverlinkstateManagement0/0failoverinterfaceipfailover1.1.1.1255.255.255.0standby1.1.1.2failoverinterfaceipstate2.2.2.1255.255.255.0standby2.2.2.2icmpunreachablerate-limit1burst-size1noasdmhistoryenablearptimeout14400timeoutxlate3:00:00timeoutconn1:00:00half-closed0:10:00udp0:02:00icmp0:00:02timeoutsunrpc0:10:00h3230:05:00h2251:00:00mgcp0:05:00mgcp-pat0:05:00timeoutsip0:30:00sip_media0:02:00sip-invite0:03:00sip-disconnect0:02:00timeoutsip-provisional-media0:02:00uauth0:05:00absolutedynamic-access-policy-recordDfltAccessPolicyhttpserverenablenosnmp-serverlocationnosnmp-servercontactsnmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstartcryptoipsecsecurity-associationlifetimeseconds28800cryptoipsecsecurity-associationlifetimekilobytes4608000telnettimeout5sshtimeout5consoletimeout34threat-detectionbasic-threatthreat-detectionstatisticsaccess-listnothreat-detectionstatisticstcp-intercept!class-mapinspection_default
matchdefault-inspection-traffic!!policy-maptypeinspectdnsmigrated_dns_map_1parameters
message-lengthmaximum512policy-mapglobal_policy
classinspection_default
inspectdnsmigrated_dns_map_1inspectftp
inspecth323h225inspecth323ras
inspectrsh
inspectrtsp
inspectesmtp
inspectsqlnet
inspectskinny
inspectsunrpc
inspectxdmcp
inspectsip
inspectnetbios
inspecttftp
!service-policyglobal_policyglobalprompthostnamecontext
35Cryptochecksum:a87e5177e75682a2b179f0fc17ec8823:end
36
篇七:网络改造方案
WORD格式可编辑
网络改造设计方案
建议报告
2018年
2月
公司网络现状及需求分析
专业知识整理分享
WORD格式可编辑
1.1前言
当今社会已步入信息社会,信息成为社会经济发展的核心因素,信息化已成为当今世界潮流。自从
1993年美国政府公布实施“信息高速公路计划”之后,在世界引起巨大反响,许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。
信息技术作为新技术革命的核心.不仅具有高增值性、成为最具经济活力的经济增长点,而且具有高渗透性,以极强的亲和力和扩散速度向经济各部门渗透,使其结构和效益发生根本性改变。信息化已成为当代经济发展与社会进步的巨大推力,尤其是作为国民经济信息化基础的企业信息化,当前更显得尤为重要,信息化建设已成为企业发展的必由之路。信息化是企业加快实现现代化的必然选择!
随着信息时代的到来,企业的生存和竞争环境发生了根本性的变化。对于大型企业而言,信息化无论是作为战略手段还是战术手段,在企业经营中发挥着举足轻重的作用。
随着近年来企业信息化建设的深入,企业的运作越来越融入计算机网络,企业的沟通、应用、财务、决策、会议等等数据流都在企业网络上传输,构建一个“安全可靠、性能卓越、管理方便”的“高品质”大型企业网络已经成为企业信息化建设成功的关键基石。
1.2背景分析
公司的网络改造是公司为了适应新形势下企业激烈竞争,提高公司核心竞争力的一项具有战略意义的举措。成功的网络改造将使我公司能够在较长时间里在高科技领域竞争中继续保持科技优势,从而推动各项业务水平的快速发展。
公司的网络现状如下图
专业知识整理分享
WORD格式可编辑
:
专业知识整理分享
WORD格式可编辑
伴随着公司的飞速发展,越来越多的分支机构单位和业务系统接入到网络当中,造成公司网络规模不断扩张,网络结构也越来越复杂,而陈旧的网络核心设备和庞大的网络架构,也带来网络骨干性能不足、IT
运维监控滞后、服务器负载效率低下、网络安全隐患众多等一系列问题,目前,我公司网络系统面临问题的详细情况如下:
1、核心设备陈旧
网络核心
S6506厂家已停产,无法进行板块扩容,也没有备品备件,且
S6506已在线运行多年,一旦出问题网络瘫痪后无法第一时间迅速恢复。
专业知识整理分享
WORD格式可编辑
2、网络架构复杂网关错位
整体网络架构没有进行统一规划,多级串联现象严重,造成网络结构庞杂,增加了很多网络传输延迟和故障节点。
3、运维监控滞后
无法对网络流量进行实时监控和回溯审计,造成盲目的“黑盒运维”---无法及时准确地掌握网络整体性能、应用负载,并进行针对性的调优,更无法准确定位网络异常原因,排查网络故障和隐患。
4、网络性能存在瓶颈
现有网络骨干是百兆网络局域网,但网络吞吐约
200G/天,流量峰值是
200M/S,平均流量为
80M/S,其中流量吞吐最大的是
192.168.8.1的营销系统服务器,而一旦局域网中出现
P2P、大文件传输、视频流媒体等数据流,正常业务的带宽就会受到挤占和消耗,造成网络访问拥塞,出现延时大,响应慢等现象。
5、业务系统性能待调优
首先是
OA系统因为访问量少,所以响应快,延时小,性能最好。
其次是营销系统,在业务高峰时期会有上万(约
13000左右)的并发会话,此时服务器性能和网络非常吃紧。
接着是财务
NC
系统,因为服务器挂在云端,本地是通过
VPN
去进行访问,导致服务器访问性能在广域网传输过程耗损较多,所以,交互质量差的应用会话比例很高,系统整体性能较差。
最后是集抄系统,该业务系统虽然整体流量不大,但总体性能表现并不高,这跟两台服务器没有很效地对访问请求进行负载分担有一定关系。
6、网络存在安全隐患
网络中存在一些病毒木马、端口扫描、未知异常广播等网络安全隐患,干扰正
专业知识整理分享
WORD格式可编辑
常网络通信,影响数据传输,并可能造成数据泄密、业务系统无法运转等风险。
7、监控流媒体挤占正常业务带宽
专业知识整理分享
WORD格式可编辑
平时的业务数据和监控流媒体数据混在网络中一起传输而未被分开,会导致视频监控数据挤占正常业务带宽通道进行传输,极大造成了局域网带宽资源浪费,影响业务传输质量。
8、运维组织有待完善
分支机构接入较多,私接串接导致故障现象屡见不鲜,使运维人员应接不暇,需从制度上和技术上,加强运维组织管理。
1.3用户需求
骨干网络高性能、高稳定性需求
网络骨干包括网络的核心层和汇聚层,是整个网络流量的承受者和汇聚者,因此对骨干网络高性能、高稳定性提出了高的要求。为了提高设备的可靠性和稳定性,可采用骨干网络冗余设计,能够实现设备的热备和失效自动切换。
网络安全性需求
网络安全包括网络级、系统级、用户级、应用级的安全,在网络级,需要利用防火墙的过滤与隔离功能,将信任网络(内网)和不信任的网络(外网)隔离开来,并利用防火墙或出口路由器的NAT(网络地址转换)功能,对外屏蔽内网的网络拓扑信息,从而避免整网受到外来攻击。
在网络内部,根据用户的网络使用需求,将用户和网络资源划分为不同的VLAN,在
VLAN间根据需求启用相应的ACL(访问控制列表),从而保证用户的物理隔离和资源访问的安全。
网络监控管理分析需求
在不影响关键业务运行的前提下,收集分析网络流量中的应用信息,网络管理员可以定义、监控并评估网络连接性、安全性和性能策略,并进行网络的规划和设计,并且能够使管理员了解计算机网络系统的整体状况,可监控到来自网络内
专业知识整理分享
WORD格式可编辑
部和外部的“黑客”入侵,能够为查明入侵的来源提供有效的依据,直观的显示各种网络流量运行状态,并对各种异常情况
专业知识整理分享
WORD格式可编辑
实现自动报警。
1.4设计思路
公司网络设计为三层结构,系统的设计应充分利用当今先进的网络技术,实现网络数据高速有序流通,建立高效率的信息网络平台,形成各个部门内外相联、上下贯通的信息传输网络。
改造后的我公司网络平台应是一个技术先进、性能可靠、功能齐全的系统,系统内的各级用户在各自权限内,在各自站点上进行各自的工作,满足网上语音、视频、监控等多种应用,为集团业务发展提供一个稳定的信息高速公路基础平台。
1.5建设目标
尽量保留现有网络中的设备,在确保公司正常业务使用的前提下减少公司投资。
不仅要考虑到如何实现数据的高性能传输,还要充分考虑网络的冗余与可靠,让系统在运行过程发生故障时,能迅速恢复正常工作,避免造成企业经济损失。
改造后的网络系统具有良好的可维护性与可管理性,让管理员通过智能化分析工具后对网络运行状况了如指掌,高效率地处置运行故障与安全威胁。
为公司网络基础设施的未来发展提供良好的扩展接口,让网络核心骨干随着公司规模的扩大、业务的增长,便于进行系统的扩展和升级。
1.6设计原则
在整个网络改造设计过程中,力求尽量利用现有资源的基础上进行改造,严格遵循网络规范和设计原则,为用户打造一个稳定,安全的网络环境,具体考虑到
专业知识整理分享
WORD格式可编辑
以下的各个方面。
1、稳定性
网络的可靠性和稳定性非常重要,决定着网络能够正常运行,在网络设计时,不论是网络节点、通信线路、应用设备还是网络拓扑的设计,都应该对可靠性和稳定性加以考虑,尽量减少故障节点,确保系统运行可靠。
2、先进性
设计网络系统的目的主要就是应用。因此,在设计时应当以注重实用和成效为原则,紧
专业知识整理分享
WORD格式可编辑
密结合具体应用的实际需要。在技术上应该采用先进的网络技术和网络产品,选择技术成熟和实用效果好、市场占有率高、通用性好的设备,适应信息技术的迅速发展,具有良好的技术先进性。
3、安全性
对于内部网络以及外部访问的安全必须高度重视,设计部署可靠的系统安全解决方案,避免安全隐患,采取防攻击、防篡改等技术措施,管理和技术并重,全方位构建整个网络安全保障,保证数据和服务器的安全。
4、可管理性
考虑到网络系统的后期管理和维护,在方案设计中要充分考虑各个设备和系统的可管理性,使系统建成后易于管理、易于维护、操作简单、易学、易用,有效地提高对网络的管理,便于管理人员进行配置和处理故障。
5、可扩展性
着眼长远考虑,不但满足当前需要,并能满足后期扩展的需要,充分考虑今后网络的发展,预留升级和扩充余量,能够兼容不同厂家、不同类型的网络产品及应用软件,便于向更新技术的升级与衔接。
6、经济性
本次系统改造建设中,要充分考虑原有系统资源的有效利用,发挥原有设备资源的价值,本着以最少的改造成本,获得最大的改造效果。对一些运行良好的硬件设备及应用软件要加以保护并合理利用,节省一部分投资。另外,对于新增的设备,要尽量选择技术成熟可靠、性价比较高的设备,达到实用、经济和有效的效果。
1.设计依据及标准
本次网络改造方案设计参考的标准和依据包括:
专业知识整理分享
WORD格式可编辑
信息及网络系统设计标准
《信息技术通用多八位编码字符集(UCS)》(GB13000.1)?
《信息技术系统间远程通信和信息交换
局域网和城域网》(GB15629.11-2003)?
《信息处理系统光纤分布式数据接口》(ISO
9314-1:1989)?
《光纤分布式数据接口(FDDI)高速局域网标准》(ANSIX3T9.5)
《通信光缆的一般要求》(GB/T7427-87)
专业知识整理分享
WORD格式可编辑
结构化布线系统设计标准
《建筑和建筑群综合布线系统工程设计规范》(GB/T50311-2006)?
《建筑和建筑群综合布线系统工程验收规范》(GB/T50312-2006)?
《信息技术用户建筑群通用布缆》
(ISO/IEC11801:2002)?
《信息技术用户建筑群布缆的实施和运行》(ISO/IEC14763-1:1999)?
《信息技术用户建筑群布缆配置》(ISO/IEC14709-1:1997)?
《信息技术用户建筑群布缆的通路和空间》(ISO/IEC18010:2002)
《光纤总规范》(GB/T15972.2-1998)?
《民用建筑通讯通道和空间标准》(EIA
TIA569)信息安全设计标准
《计算机软件配置管理计划规范》(GB/T12505--1990)
《计算机信息系统安全保护等级划分规范》(GB17859-1999)
《计算机信息系统安全专用产品分类原则》(GB163-1997)
《信息技术设备的安全
(ideIEC60950:1999)》(GB4943-2001)
《信息技术安全性评估准则》(GB/T18336.1—2001)
《信息技术信息安全管理实施规则》(ISO17799—2000)
《涉及国家秘密的计算机信息系统保密技术要求》(BMZ1-2000)?
《涉密信息设备使用现场的电磁泄漏发射防护要求》(BMB5-2000)?
《涉及国家秘密的计算机信息系统安全保密测评指南》(BMZ
3-2001)智能化系统设计规范
《智能建筑设计标准》(GB/T50314-2006)
《建筑及居住区数字化技术应用系列标准》(GB/T20299-2006)
《建筑智能化系统设计技术规程》(DB/J01-615-2003)
《公共建筑节能标准》(GB50189-2005)
《民用建筑电气设计规范》(JGJ/T)机房工程系统设计标准
《电子计算机场地规通用规则》(GB/T2887-2000)
《计算机场地安全要求》(GB9361-1988)
《电子计算机机房设计规范》(GB50174-1993)
专业知识整理分享
WORD格式可编辑
《防静电活动地板通用规范》(SJ/T10796-2001)
《电信专业房屋设计规范》(YD5003-1994)
《通信机房静电防护通则》(YD/T754-1995)火灾报警系统设计标准
《高层民用建筑设计防火规范》(GB50045-1995)
《火灾自动报警系统设计规范》(GB50116-1998)?
《建筑设计防火规范》(GBJ16-1987)?
《火灾报警控制器通用技术条件》(GB4717-2005)?
《点型感烟火灾探测器技术要求及试验方法》(GB4715-2005)?
《点型感温火灾探测器技术要求及试验方法》(GB4716-2005)?
《线型光束感烟火灾探测器技术要求及试验方法》(GB14003-2005)?
《点型红外火焰探测器性能要求及试验方法》(GB
15631-1995)综合安防系统设计标准
《安全防范工程技术规范》(GB50348-2004)?
《安全防范系统验收规则》(GA308-2001)?
《安全防范工程程序和要求》(GA/T75-1994)?
《安全防范工程费用概预算定额编制方法》(GA/T78-1994)?
《出入口控制系统技术要求》(GA/T394-2002)?
《出入口控制系统工程设计规范》(GB50396-2007)?
《视频安防监控系统技术要求》(GA/T367-2001)?
《视频安防监控系统工程设计规范》(GB50395-2007)?
《安全防范报警系统设备安全要求和试验方法》(GB16796-1997)?
《报警系统电源装置、测试方法和性能规范》(GB/T
15408-1994)防雷与接地系统设计标准
《建筑物防雷设计规范》(GB50057-2010)
《建筑物电子信息系统防雷技术规范》(GB50343-2012)
《通信工程电源系统防雷技术规范》(YD5078-1998)?
《通讯局(站)低压配电系统用点涌保护器》(YD/T1235-2002)?
《通讯局(站)接地设计暂行技术规范》(YDJ26-1989)
专业知识整理分享
WORD格式可编辑
《计算机信息系统防雷保安器》(GA173-2002)?
《计算机信息系统雷电电磁脉冲安全防护规范》(GA267-2000)
《建筑物的雷电防护》(IEC61024:
1990-1998)工程及设备质量验收规范
《智能建筑工程质量验收规范》(GB50339-2003)
《智能建筑工程检测规程》(CECS182:2005)
《建筑及居住区数字化技术应用》(GB/T20299.2)
《安全防范系统验收规则》(GA308-2001)
《安全防范报价设备安全要求和实验方法》(GB16796-1997)
《建筑与建筑群综合布线系统工验收规范》(GB/T50312-2000)其他设计标准
《信息技术互连国际标准》(ISO/IEC11801-95)
《建筑内部装修设计防火规范》(GB-50222-95)
《电气装置安装工程施工及验收规范》(GBJ232-82)
《民用建筑电气设计规范》(JGJ16-2008)
《供配电系统设计规范》(GB50052-2009)
《低压配电设计规范》(GB50054-2011)
《工业与民用供电系统设计规范》(GBJ52-82)
《低压配电装置及线路设计规范》(GBJ54-83)
《通用用电设备配电设计规范》(GB50055-2011)?
《工业企业照明设计标准》(GB50034-1992)
《采暖通风与空气调节设计规范》(GB50019-2003)
《通风与空调工程施工质量验收规范》(GB50243-2002)?
《建筑装饰装修工程质量验收规范》(GB50210-2001)
用户对网络改造项目的其他要求
专业知识整理分享
WORD格式可编辑
2.网络改造设计方案
网络拓扑图
按照网络分层设计模型,广安爱众公司新规划的网络拓扑结构如下:
如上图,整个网络架构设计可分为网络出口、核心层、接入层、传输、安全与优化等五大部分,现分别详述如下:
2.1网络出口设计
外网出口连接上级的Internet,带宽为上下行对称的100M,是各种攻击行为、病毒传播、安全事件引入的风险点,通过在网络出口处部署高性能、高可靠、高安全的网关设备,可以很好的缓解风险的传播,阻挡来自外部网络攻击行为的发生,是网络出口的第一道安全屏障。
下一代防火墙
在外网出口部署下一代防火墙,对进出网络的数据进行过滤,保护网络安全,主要实现以下安全防护效果:
防止外网上的病毒、木马等恶意代码传播到内网中,保护内网终端、服务器;
防御来自外网的漏洞扫描行为、入侵行为,使内网免受恶意攻击;
控制用户访问网站行为,禁止访问非法网站、低俗网站、钓鱼网站,降低用户遭受
专业知识整理分享
WORD格式可编辑
攻击的风险。
专业知识整理分享
WORD格式可编辑
分为信任区域和非信任区域,分别实施不同的安全策略,包括部署区域间隔离、受限访问、防止来自区域内部的DOS
攻击等安全措施;
通过加密隧道构建
VPN(虚拟专用网络),方便分支机构和外出人员远程接入内网办公,提高工作效率。
流量控制器
流量控制器可基于
DPI(深度包检测)识别各类上网应用,由此,在防火墙和核心交换机之间,以网桥模式串接了一台流控设备,来对进出防火墙的网络流量进行内容过滤和应用管控,以有效阻断非业务流量和内容,保证内网安全,提高互联网带宽利用率,限制高消耗带宽应用,保障网络通畅和网络的稳定性,控制用户使用无关应用和危险应用,提高网络整体安全性。
下一代防火墙到核心交换机之间使用链路聚合,来提供冗余保障。
2.2核心层设计
核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中,应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心,重要性突出。核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。
核心交换机集群
主要部署两台
S9706组成一个
CSS(Cluster
Switch
System)集群,它是网络虚拟化
专业知识整理分享
WORD格式可编辑
的一种形态,可实现把多台支持集群的交换机链接起来,从而组成一台更大的交换机,CSS
专业知识整理分享
WORD格式可编辑
的典型特征有:
交换机多虚一:CSS对外表现为一台逻辑交换机,控制平面合一,统一管理。
转发平面合一:CSS内物理设备转发平面合一,转发信息共享并实时同步。
跨设备链路聚合:
跨
CSS内物理设备的链路被聚合成一个
TRUNK端口,和下游设备实现互联。
从上图中我们可以看到,CSS
通过设备“多虚一”和跨设备的链路聚合,不但简化了网络拓扑,而且极大地提高了网络性能:
简化运维:整个
CSS被作为一台交换机来管理,简化运维、降低
Opex。
可靠性高:CSS内一台设备故障,其他设备可以接管
CSS的控制和转发,避免单点故障。
无环网络:跨设备的链路聚合,在
CSS和其他设备互联时,天然避免了环路问题,无需部署
MSTP等复杂的破环协议。
链路均衡:跨设备的链路均衡,100%的网络链路和带宽的利用率。
CSS
在简化网络、提升转发性能的同时,没有带来任何网络功能的损失。物理交换机具有的所有功能,都在
CSS
系统下得到继承,且性能还得到了放大。CSS
拥有的这些特质,使其得到了越来越多的认可和接受,并成为了部署简单、高效网络的首选方案。
2.3接入层设计
接入层通常指网络中直接面向用户连接或访问的部分。其目的即利用光纤、双绞线、同轴电缆、无线接入等传输介质,实现与用户连接,并进行业务和带宽的分配,允许终端用户连
专业知识整理分享
WORD格式可编辑
接到网络,因此接入层交换机具有低成本和高端口密度特性。
专业知识整理分享
WORD格式可编辑
而本次改造中有
14个接入层点位将采用双线上行至核心交换机(集群),并利用
OSPFECMP(Equal-Cost
Multiple
Path)特性,在两条专线链路之间进行负载均衡,既增加了网络的可靠性,又能提高了资源的利用率。
2.4网络规划设计
本次网络改造项目中,将摒弃原有传统的单线二层接入方式,从而采用运营商双线运行动态路由协议(OSPF)进行三层传输接入核心,去掉中间级联设备,形成扁平化的网络架构,这种组网方式将各个分支机构分割成单独的局域网,一旦某个分支机构出现网络及线路故障将不会影响其他节点的业务。
新的传输接入模式,必须在各个节点建立独立的三层网关进行路由转发,这就要求对整个网络进行新的规划和设置,如下表所示:
点位
网段
10.0.1.0/24互联
10.0.2.0/24VLAN101102专业知识整理分享
WORD格式可编辑
代市气所
172.16.31.0/24301专业知识整理分享
WORD格式可编辑
岳池水务
前峰水务
领水水务
华蓥水务
城北客户中心
城南客户中心
西充燃气
领水燃气
希望接收费
城东水所
龙门收费
武胜水务燃气
岳池电力
……
172.16.32.0/24172.16.31.0/24172.16.34.0/24172.16.35.0/24172.16.36.0/24172.16.37.0/24172.16.38.0/24172.16.39.0/24172.16.40.0/24172.16.41.0/24172.16.42.0/24172.16.43.0172.16.45.0……
302303304305306307308309310311312313314……
以上网络规划和设计,将在大的城域网环境中形成多个广播域,隔离广播风暴和二层流量泛洪,减少
IP
地址冲突,提高整个网络的安全性和可维护性。具体的实施细节,将在项目施工过程中与甲方相关人员进行深化设计。
2.5网络传输设计
从核心层到接入层的传输部分是各个运营商(电信、广电、联通、移动)的MSTP专线,其中,大部分接入点专线带宽为
10M,而少数营业收费点专线带宽为
2M,在带宽不够的情况下,可以酌情考虑增加线路带宽。
MSTP(Multi-Service
Transmission
Platform)是指基于
SDH
平台同时实现
TDM、ATM、以太网等业务的接入、处理和传送,提供统一网管的多业务节点。其构建统一的城域多业务传送网,将传统话音、专线、视频、数据、VOIP、IPTV
等业务在接入层分类收敛,并统一送到骨干层对应的业务网络中集中处理,从而实现了所有业务的统一接入、统一管理、统一
专业知识整理分享
WORD格式可编辑
维护,提高了端到端电路的服务等级,这种专线技术具备以下优点:
专业知识整理分享
WORD格式可编辑
泛用性
MSTP
电路适用于任何高速率、信息量大、实时性强的业务传送在通信领域的应用前景广阔,用户端接口为通用性的RJ45接口。
可选性
MSTP专线带宽灵活,在
2M到
1000M的区间内,可以灵活选择。
安全性
安全性有保障,比纯粹基于互联网的VPN业务安全性更高。
灵活性
组网灵活,可支持星形网络、环形网络、点到点连接、多点汇聚等。
2.6网络安全与优化设计
1、网络回溯分析系统
在网络核心
CSS
集群旁部署一台网络回溯分析系统,可以实现了对网络通讯数据包级的高性能实时智能分析,因为网络回溯分析系统是一款集成大容量存储的高性能数据包采集和
专业知识整理分享
WORD格式可编辑
智能分析硬件平台,它可以提供对各种网络性能和应用性能的关键参数实时分析,同时还能
专业知识整理分享
WORD格式可编辑
够实时捕获并保存网络通讯流量,具备对长期的网络通讯数据进行快速数据挖掘和回溯分析能力,实现对关键业务系统中的网络异常、应用性能异常和网络行为异常的实时发现、以及异常原因的智能回溯分析,提升了对关键业务系统的运行保障能力和问题处置效率。
这样就在内网构建起了一套基于流量的实时监控和回溯体系,不但可以精确了解网络整体性能、应用负载,还能准确定位网络异常原因,及时排查网络故障和病毒、木马、攻击等安全隐患,实现核心链路/核心区域/核心业务运行可视化,彻底解决“黑盒运维”。
2、入侵检测系统
在核心
CSS
集群旁挂一台专业的IDS(入侵检测系统),该设备可通过抓取来自核心交换机的数据流镜像,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
专业知识整理分享
WORD格式可编辑
3、负载均衡器
在业务服务器集群子网区域内的各个应用服务器前端部署一套负载均衡器,在多个客户端发起业务访问请求时,由前端的负载均衡器来对所有访问请求进行反向代理和统一调度,进而将业务访问负载合理均衡地分担到每个后端服务器节点上,以提高业务系统的整体服务效能。
专业知识整理分享
WORD格式可编辑
同时对服务器的操心系统、中间件、文件系统等软件参数配置以及资源池分配进行优化,增强服务器的并发会话处理能力,而数据库方面,则可通过建立索引,优化
SQL
语句和优化内存、日志、表空间分配等方法来提高数据库
I/O
性能,加快数据的存取速度。
在接入交换机处,可通过
Qos
策略将业务数据和监控数据区分开,并给业务数据分配更高的优先级,这样在发生网络拥塞时,监控数据就无法挤占正常业务带宽,由此保障了业务访问的稳定性,不受接入视频监控的干扰。
专业知识整理分享
WORD格式可编辑
2.6网络特点和优势
通过大力进行网络改造后,具有达到如下特点和优势:
高性能和高可用的网络骨干
升级核心交换机替换老旧设备,可以大力提升核心节点的转发速度,增加网络整体吞吐量,形成一个高性能、可扩展、可靠的高效网络。
层次架构清晰
对网络架构进行扁平化重构,不仅可以解决多级串连现象,大大简化网络构成,还能减少中间节点的故障影响,迅速提高流量转发的处理速度,形成一个架构清晰,层次分明、可维护性强的网络基础平台。
运维透明化和可视化
构建网络的实时监控和回溯体系,将全网流量可视化、透明化,分析从流量趋势、应用分布到性能负载等多方位情况,能让运维人员对整个网络运行情况了如指掌,及时发现处理网络异常和攻击威胁,将危害消灭在萌芽阶段,并快速定位故障原因和节点,缩短故障影响时间,提高故障处理效率,保证网络的高效稳定运行。
弹性的应用架构
部署负载均衡器,进一步优化应用架构,让每台服务器轮流均衡地分摊客户端访问请求,来提高业务系统的整体服务效能,消除单点故障,形成一个高并发、高可用、高扩展性的业务群
专业知识整理分享
WORD格式可编辑
集系统,并结合业务系统性能优化,来提高服务器的并发会话处理能力与数据库
I/O性能,加快业务的响应速度。
专业知识整理分享
WORD格式可编辑
专门的流控体系
在外网出口处通过流量控制器来审计和管控互联网流量,屏蔽非法应用,限制违规流量,保障带宽资源,提高员工上网的合规性和网络使用效率,同时,在汇聚交换机处设置
Qos策略,让监控数据就无法挤占正常业务带宽,保障业务访问稳定性,不受视频监控流媒体数据的干扰。
强大的安全防护保障
通过部署下一代防火墙和入侵检测系统(IDS)的安全策略,可进一步强化内网的信息安全保障,防止各种网络攻击和入侵活动,提高网络安全系统的防护免疫力。
高效整洁的数据中心
通过新机房搬迁,可以打造一个新的整洁舒适、专业美观的数据中心环境,为机房设备高效的管理和安全运营提供有力支撑和保证
2.主要设备介绍
2.9.1下一代防火墙
USG6350当前,智能手机、iPad
等终端已经普及,移动应用程序、Web2.0、社交网络应用于企业运营的方方面面。企业网络边界变得模糊,信息安全问题日益复杂。通过
IP
和端口进行访问控制的传统的防护墙无法应对层出不穷的应用层威胁。
华为
USG630系列下一代防火墙面向中小企业,通过对应用、用户、内容、威胁、时间、位置
个维度的全面感知,提供精细的业务访问控制和加速。入侵防御(IPS)和防病毒(AV)等应用层深度防御与应用识别相结合,有效提高了威胁防御的效率和准确性。具备全面的防护功能,一机多能,有效降低管理成本。精细的带宽管理和
QoS
优化能力有效降低企业的带宽租用费,确保关键业务体验。持续、简单、高效地提供下一代网络安全。
专业知识整理分享
WORD格式可编辑
产品特性
精准的访问控制
专业知识整理分享
WORD格式可编辑
传统防火墙主要通过端口和
IP进行访问控制,下一代防火墙的核心功能依然是访问控制。USG6000在控制的维度和精细程度上都有很大的提高:
一体化防护:
从应用、用户、内容、时间、威胁、位置
个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合,一体化处理。例如:
识别出
Oracle
的流量,进而针对性地进行对应的入侵防御,效率更高,误报更少。
基于应用:
运用多种技术手段,准确识别包括移动应用及
Web
应用内的6000+应用协议及应用的不同功能,继而进行访问控制和业务加速。例如:区分微信的语音和文字后采取不同的控制策略。
基于用户:
通过
Radius、LDAP、AD等
8种用户识别手段集成已有用户认证系统简化管理。基于用户进行访问控制、QoS管理和深度防护。
基于位置:
与全球位置信息结合,识别流量发起的位置信息;掌控应用和攻击发起的位置,第一时间发现网络异常情况。根据位置信息可以实现对不同区域访问流量的差异化控制。支持根据
IP自定义位置。
全面的防护范围
越来越多的信息资产连接到了互联网上,网络攻击和信息窃取形成巨大的产业链,这对下一代防火墙的防护范围提出了更高要求。USG600具备全面的防护功能:
一机多能:
集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功
专业知识整理分享
WORD格式可编辑
能于一身,简化部署,提高管理效率。
专业知识整理分享
WORD格式可编辑
入侵防护(IPS):
超过
3500+漏洞特征的攻击检测和防御。支持
Web攻击识别和防护,如跨站脚本攻击、SQL
注入攻击等;防病毒(AV):
高性能病毒引擎,可防护
500万种以上的病毒和木马,病毒特征库每日更新;数据防泄漏:
对传输的文件和内容进行识别过滤。可识别
120+种常见文件类型,防止通过修改后缀名的病毒攻击。能对
Word、Excel、PPT、PDF、RAR等
30+文件进行还原和内容过滤,防止企业关键信息通过文件泄露。
SSL解密:
作为代理,可对
SSL加密流量进行应用层安全防护,如
IPS、AV、数据防泄漏、URL过滤等。
Anti-DDoS:
可以识别和防范
SYNflood、UDPflood等
10+种
DDoS攻击,识别
500多万种病毒。上网行为管理:
采用基于云的URL分类过滤,预定义的URL分类库已超过
8500万,阻止员工访问恶意网站带来的威胁。并可对员工的发帖、FTP等上网行为进行控制。可对上网记录进行审计。
安全互联:
丰富的VPN特性,确保企业总部和分支间高可靠安全互联。支持
IPSecVPN、SSLVPN、L2TPVPN、MPLSVPN、GRE等;
QoS管理:
基于应用灵活的管理流量带宽的上限和下限,可基于应用进行策略路由和
QoS标签着色。支持对
URL分类的QoS标签着色,例如:优先转发对财经类网站的访问。
负载均衡:
支持服务器间的负载均衡。对多出口场景,可按照链路质量、链路带宽比例、链路权重基于应用进行负载均衡。
专业知识整理分享
WORD格式可编辑
虚拟化:
支持多种安全业务的虚拟化,包括防火墙、入侵防御、反病毒、VPN等。不同用户可在同一台物理设备上进行隔离的个性化管理。
专业知识整理分享
WORD格式可编辑
简单的安全管理
下一代防火墙的防护范围和控制精度比传统防火墙大大增加,这对使用者的经验和技能提出了更高的要求。华为
USG600利用
Smart
Policy
功能降低对使用者的要求,更好的进行防护。Smart
Policy
主要具备以下功能:
快速部署策略:
内置场景策略模板,不依赖使用者的经验也能快速地部署常用防护策略。例如:如果希望使用网络存储,管理员仅需基于“使用网盘”这个策略模板,就能建立一系列策略。在策略中,对网盘类应用允许下载并进行病毒检测,但禁止文件上传。
智能优化策略:
根据内置应用风险库和网络实际流量对已部署的安全策略进行评估和优化,使其符合最小授权原则。在企业遗留大量端口防护策略,需要转换为
NGFW
使用的应用防护策略时尤其有用。
智能精简策略:
自动发现重复的和长期没有使用的策略,精简策略规模,简化管理;
高效防护性能
UTM
产品当开启应用层防护时性能下降明显,无法满足当前应用层防护的性能要求。下一代防火墙要求在多重防护的情况下仍保持高性能。
专业知识整理分享
WORD格式可编辑
USG6000系列下一代防火墙采用全新架构的智能感知引擎(IAE,IntelligenceAwarenessEngine),采用了一次解析多业务并行处理的架构,确保多重防御下的高性能体验。IAE使用了三大核心技术:
一体化描述语言:
应用识别、IPS、AV采用统一的描述语言,一次性处理,一次性分析,减少重复的操作;一体化处理架构:
不同于
UTM
对各个安全功能串行处理,USG600在完成统一解析后,各安全业务检查是并行的,最后做统一处理。每个步骤一次性做好,确保多安全业务开启情况下,对整体性能影响最小;
软硬结合一体化:
对有规律、大批量、高运算能力要求的报文处理,例如:报文加解密、特征匹配,采用专用多核平台由专用的协处理器硬件处理。对小规模的运算,仍然用软件处理。软硬结合一体化的处理方式让整体性能更高。
组网应用
专业知识整理分享
WORD格式可编辑
企业内网边界防护
在企业内网部门和无线接入的汇聚网络部署下一代防火墙。对
PC用户通过防火墙策略基于用户信息进行访问控制。
对移动用户采用基于用户+应用的策略控制,实现精细权限管理,并记录日志。
对邮件、IM、文件传输等进行内容过滤和审计,监控社交类应用,避免数据泄露。
互联网出口防护
在互联网出口部署下一代防火墙,在出口进行访问控制,阻止一切非认证访问。启用入侵防御功能,提供万兆级应用层威胁实时防护。
对邮件、IM、文件传输等进行内容过滤和审计,监控社交类应用,避免数据泄露。基于用户、应用、时间进行
QoS
管理,优先保障核心用户和关键业务的服务质量。
通过
URL
分类和应用阻断进行上网行为管理。阻断挂马网站和工作无关网站,根据角色监控员工可以访问的网站和可以使用的网络应用。
云数据中心边界防护
数据中心出口部署下一代防火墙,进行安全业务和系统资源的虚拟化特性,可为每个虚拟环境提供超乎寻常的安全体验。
万兆级入侵防御可有效阻断各类黑客攻击,并可根据不同的虚拟环境需求,提供差异化的防御特性,保障数据安全。
通过
Anti-DDoS特性,对拒绝服务攻击流量进行清洗,保障数据中心对外业务。
VPN远程互联
专业知识整理分享
WORD格式可编辑
通过下一代防火墙的VPN
接入,在互联网上构建一条可信、可控、可管的安全传输隧道。在外人员和移动用户可通过
SSL
VPN
接入,提供
Windows、IOS、Android、Blackberry,专业知识整理分享
WORD格式可编辑
Symbian多种操作系统支持,提供泛终端的接入能力。
产品规格
型号
固定接口
扩展槽位
USG63504GE+2Combo2*WSICWSIC:2×10GE(SFP+)+8×GE(RJ45)、8×GE(RJ45)、8×GE(SFP)
4×GE(RJ45)BYPASS1U、接口模块类型
产品形态
尺寸(W×D×H)mm442×421×43.6满配重量
HDD冗余电源
电源
AC最大功率
10kg选配
300GB单硬盘,支持热插拔
选配
100~240V170W温度:0~45℃(不含硬盘)/5℃~40℃(包含硬盘)湿度:10%~90%温度:-40℃~70℃/湿度:5%~95%工作环境
非工作环境
2.9.2核心交换机
产品概述
S9706S970系列交换机是华为公司面向下一代园区网核心和数据中心业务汇聚而专门设
专业知识整理分享
WORD格式可编辑
计开发的高端智能
T
比特核心路由交换机。该产品采用先进的多层交换架构,提供持续的带宽
专业知识整理分享
WORD格式可编辑
升级能力,支持
40GE和
100GE以太网标准。该产品基于华为公司自主研发的通用路由平台
VRP
开发,在提供高性能的L2/L3层交换服务基础上,进一步融合了
MPLS
VPN、硬件
IPV6、桌面云、视频会议、无线等多种网络业务,提供不间断升级、不间断转发、硬件
OAM/BFD、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。
通过部署内置华为首款以太网络处理器
ENP的X1E单板,S9700可以升级为敏捷交换机,客户可以享有敏捷交换机带来的创新体验。
S9700系列提供
S9703、S9706、S9712三种产品形态。
产品特性
S9700升级为敏捷交换机,让网络更敏捷地为业务服务
S9700支持随板
AC,业务单板同时兼具无线
AC功能,无需额外购买
AC硬件;整机最大可管理
2KAP,32K用户;整机转发性能可达
T-bit,解决外置
AC处理性能瓶颈,助力客户从容面向高速无线时代。
S9700支持统一用户管理功能,屏蔽了接入层设备能力和接入方式的差异,支持
PPPoE/802.1X/MAC/Portal
等多种认证方式,支持对用户进行分组/分域/分时的管理,用户、业务可视可控,实现了从“以设备管理为中心”到“以用户管理为中心”的飞跃。
SVF2.超级虚拟交换网,创新实现不仅将盒式交换机纵向虚拟为框式交换机板卡,而且将
AP
纵向虚拟为框式交换机的端口,使得原来“核心/汇聚+接入交换机+AP”的网络架构,虚拟化为一台设备进行管理,提供业界最简化网络管理方案。
iPCA
网络包守恒算法,改变了传统利用模拟流量做故障定位的检测模型,可对任意业务流随时随地逐点检测网络质量,无需额外开销;可在短时间内立刻检测业务闪断性故障,检测直接精准到故障端口,实现从“粗放式运维”到“精准化运维”的大转变。
S970支持
Service
Chain
业务编排功能,Service
Chain
对网络增值业务处理能力(如下一代防火墙
NGFW)进行虚拟化,以便园区网络实体(如交换机、路由器、AC、AP、终端设备)可以无差别的利用这些能力,而不受物理位置的约束,提供一种更灵活部署园区增值业务的解决方案,减少客户设备投资和维护成本。
创新的CSS集群技术
专业知识整理分享
WORD格式可编辑
S970支持
CSS
交换网集群和业务口集群,将多台设备虚拟化为一台逻辑设备,在可靠性、交换效率、灵活性和易管理性方面具有强大的优势。
专业知识整理分享
WORD格式可编辑
可靠性:通过路由热备份技术,实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发,极大地增强了设备的可靠性和性能,同时可以通过跨框链路聚合提高链路的利用率,消除单点故障,避免了业务中断;
交换效率:创新的CSS
交换网集群技术,克服了业界普遍采用的线卡集群跨框多次交换,交换效率低下的架构难题;
灵活性:普通业务端口可以复用为集群端口,使端口应用更加灵活。通过光纤进行集群可大幅增加集群的距离,突破了传统集群距离的限制;
易管理性:整个弹性架构共用一个
IP管理,简化网络设备管理,简化网络拓扑管理,提高运营效率,降低维护成本;
运营级高可靠性设计
S970所有关键器件,如主控、电源、风扇等均采用冗余设计,所有模块均支持热插拔,有效保证网络稳定运行。
S9700支
持
硬
件
级
3.3ms高
精
度
BFD快
速
链
路
检
测
功
能,能
为
静
态
路
由
/RIP/OSPF/BGP/ISIS/VRRP/PIM/MPLS等协议提供稳定均匀的毫秒级检测机制,大大提高了网络可靠性。
S9700支持快速自愈保护技术
HSR(High-speedSelfRecovery),基于华为
ENP板卡,独家实现端到端
IPMPLS承载网
50ms倒换保护,进一步提升网络可靠性。
S970支持硬件级以太
OAM,包括完善的802.3ah、802.1ag
和
ITU-Y.1731,能够对网络传输中的时延、抖动等参数进行精确统计,实时监测网络运行情况,并在设备故障发生时快速定位实现网络快速故障检测、定位与倒换。
S970支持
ISSU
业务运行中软件升级,设备软件升级过程中确保关键业务和服务不中断。支持优雅重启技术(Graceful
Restart),实现
NSF
无中断转发,有效保证全网高速可靠运行。
强大的业务处理能力
多业务路由交换平台,满足企业接入、汇聚、核心业务承载要求,支持无线、语音、视频和数据应用,为企业提供高可用、低时延、全业务的一体化网络解决方案。
支持分布式
L2/L3MPLSVPN功能,支持
MPLS、VPLS、HVPLS、VLL,满足企业
VPN等用户的接入需求。
专业知识整理分享
WORD格式可编辑
完善的二、三层组播协议,支持
PIMSM、PIMDM、PIMSSM、MLD、IGMPSnooping,满
专业知识整理分享
WORD格式可编辑
足多终端高清视频监控和视频会议接入需求。
软件平台提供多种路由协议满足企业建网要求,支持从中小企业到超大型跨国公司级大规模路由,支持
IPv6,能够为企业网络提供平滑升级能力。
丰富的网络流量分析功能
S970支持
Netstream
网络流量分析,支持
V5/V8/V多种报文格式,支持聚合流量模板,实时流量采集、动态报表生成、属性分析、流量异常告警等功能;支持向主、备分析服务器同时发送日志,防止统计信息丢失。能够提供实时的网络监控功能和全网范围内的流量模式,并提供预先故障检测、高效故障排除和快速问题解决功能,提供安全监控等应用和分析,帮助用户及时优化网络结构、调整资源部署。
完善的安全保护机制
S970支持
MACsec,提供逐跳设备的数据安全传输,适用于政府、金融等对数据机密性要求较高的场合。
NGFW新一代防火墙业务处理板,在提供传统防火墙、身份认证、Anti-DDoS等基础防御功能外,同时支持
IPS、反垃圾邮件、Web安全、应用控制等专业安全功能。
提供完善的NAC
解决方案,支持
MAC
地址认证、Portal
认证、802.1x
认证、DHCP
Snooping触发认证多种认证方式,有效应对哑终端接入、移动设备接入和集中式
IP地址分配等多种接入方式的安全挑战,确保企业网络安全。
提供
级
CPU
保护机制,支持
1K
CPU
硬件保护队列,可实现数据和控制的分离处理,防止拒绝服务攻击、非法接入以及控制平面过载等安全威胁,提供业界领先的一体化安全解决方案。
全面的IPv6解决方案
S9700软硬件平台均支持
IPv6,取得工信部
IPv6入网认证和
IPv6Ready第二阶段金色认证。
S9700全面支持
IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+等
IPV6单播路由协议,支持
MLDv1/v2、MLDSnooping、PIM-SM/DMv6、PIM-SSMv6等
IPv6组播特性,为用户提供完善的IPv4/IPv6解决方案。
S9700支持丰富的IPv4向
IPv6过渡技术包括:IPv6手工隧道、6to4隧道、专业知识整理分享
WORD格式可编辑
ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道等隧道技术,保证
IPv4网络向
IPv6网络的平滑过渡。
创新节能打造绿色低碳网络
专业知识整理分享
篇八:网络改造方案
网络改造方案范本5篇
一、主题:告别母校师恩难忘放飞理想
二、时间:7月2日上午8点30分
三、地点:多媒体教室
四、邀请嘉宾:校长、学校各位中层领导
五、参加人员:六年级任课教师和学生
六、活动的目的:
六年的小学生活对每个人来说都是非常难忘的。在小学里,学生学会求知,学会做人、学会交往在学生即将离开母校的时候,通过隆重而有意义的毕业典礼让毕业生表达对母校、对老师的感谢之情,以及对明天幸福生活的憧憬。
七、活动过程:
(一)音乐响起(《最后一个夏天》)主持人走上台。
告别母校师恩难忘放飞理想港沟中心小学20__年小学毕业生毕业典礼现在开始。
(二)领导代表讲话
这是一个光荣的时刻,也是一个庄严而充满希望的时刻。我们今天在这里,不仅是为了举行一个毕业典礼,也是为了见证你们的成长,见证你们新的征程的开始,非常高兴与你们一起分享此刻的荣耀。
首先,祝贺你们顺利完成了小学的学习任务。祝贺你们要从新的起点开始人生又一段新的征程。同时,我也要向为你们成长倾注了无数心血的老师们致敬。正是他们的言传身教、无私奉献,才使你们迎来了今天充满喜悦的丰收季节。六年,两天多个日日夜夜匆匆而过。六年,学校留下了你们成长的足迹,学校也因你们的存在而骄傲,希望你们常回家看看。最后,祝愿大家在以后的人生征程中学业有成,一帆风顺。
赵主任意味深长的话语,鼓励着我们走向更好更高的目标。我相信,不久的将来,我们港沟中心小学会因为拥有我们而骄傲。
(三)毕业生代表讲话(播放背景音乐《每当我走过老师窗前》)
六年的校园生活,留下我们银铃般的欢笑,那笑声仿佛还在校园的四周回荡。六年的校园生活,留下我们磨练翅膀的背影,那背影是如此深刻的印记在我们的脑海里。此时此刻,我们是多么的恋恋不舍,因为这里有太多太多美好的记忆,还没来得及向你一一倾诉。有请优秀毕业生代表发言。
(四)教师代表讲话
为让员工度过一个温馨、欢快的元宵佳节,经我们房地产酒店工会研究决定,特组织“闹元宵,猜灯谜”文化活动,拟订活动方案如下:
一、活动主题
“闹元宵,猜灯谜”
二、活动时间
2022年__月__日晚7:00整
三、活动地点
酒店餐厅
四、活动准备
1、前期工作:由工会负责收集整理活动期间的各种灯谜及道具、活动背景制作、宣传海报、购买奖品、水果、干果、饮料等。
2、场地布置:_月_日上午,由工会牵头,行政部、机动能源部协助进行会场布置,悬挂准备元宵节灯谜(具体在餐厅四周拉上铁丝,悬挂灯谜)。
3、活动期间:由酒店行政部负责音响设备的调试及播放节日音乐,渲染气氛;工会负责瓜子、花生、水果、饮料的装盘及摆放工作;酒店团委协助维持活动期间的秩序。
4、各分会安排专人协助工会负责组织猜谜活动的前期宣传,包括人员通知,活动期间的奖品发放等工作。
5、活动结束:由各分会主席安排人员协助清扫场地,整理、归还物品及道具等。
五、活动环节设置
第一环节:“你来比划,我来猜”。由每桌推荐2名选手参与此环节的游戏(1个负责比划,1个负责竞猜)。
游戏规则:负责比划的选手可以用语言和肢体动作来向猜词
者传达信息,但不得说出词中的任何一个字,不得同音/谐音,否则算犯规,此题作废。猜不出可喊“过”!则换下一题,以在限定的时间内猜出最多的词汇为最终胜利方。分数相同的组可加赛一次。
主持人负责此环节的规则介绍,流程掌控,气氛渲染、提示工作人员奖品发放等。
第二环节:“猜灯谜”。由现场所有人员参与。
游戏规则:
1、猜谜者每猜一个灯谜,必须先到指定兑奖处核对谜底,确认正确无误后,由巡视人员取下谜面交兑奖处,由工作人员进行登记后,方可领取奖品;猜错者不领取奖品,谜面继续保留使用。(谜面由巡视人员负责揭取,严禁猜谜者撕扯、或私自取下谜面)
2、猜对一条谜语兑换一份奖品。
3、谜语共计__条,其中:
第001-100条灯谜到一号兑奖桌核对答案;第101-200条灯谜到二号兑奖桌核对答案;第__条灯谜到三号兑奖桌核对答案;第301-400条灯谜到四号兑奖桌核对答案。
4、奖项设置:
共设置奖品__份,猜对一条谜语兑换一份奖品,奖品兑完,活动结束。
一至四号兑奖桌(点)工作人员由各分会委派,每桌(点)工作人员为3人,其中:谜底核对1人、谜面巡视1人,奖品登记1人。
抽奖环节:由现场所有人参与。
游戏规则:每位进场人员均在工作人员的引领下取得号码牌1张,在第一环节进行中,可由主持人(或邀请酒店领导层)负责现场抽奖,被抽到的号码可获得小礼品一份。
奖项设置:奖品10份。
六、活动注意事项
1、“比划猜”环节现场在座人员不得提示,否则扣取犯规人员所在桌的分数1分;
2、“抽奖环节”只在第一环节中穿插,用于调节气氛;
3、猜谜要有秩序,兑奖按先后顺序排队,不得大声喧哗,不得利用手机或其他电子设备搜索答案,一经发现,按无效论处,不发奖品。
4、谜底猜出后,员工只需把谜面题号记住,到指定兑奖处向工作人员报告谜面题号及答案,回答正确由巡视人员取下相应谜面,回答错误则保留谜面继续使用,严禁私自将谜面取下。
七、活动道具
1、制作灯谜用彩纸、铁丝;
2、舞台背景、海报;
3、水果、瓜子花生、饮料;
4、抽奖箱、抽奖号;
5、投影仪及笔记本电脑;
6、音箱设备;
7、小礼品__份。
八、活动费用预算
1、猜谜用彩纸:__元;
2、背景制作、宣传海报:__元;
3、水果、瓜子花生、饮料:__元;
4、礼品__份(含抽奖环节__份奖品)__元/份__份=__元。
费用合计:约x万元。
为了更好地展示我乡中小学校艺术和素质教育成果及学生艺术天才、优秀作品和健康向上的精神风貌,经中心学校研究决定5月23日在__溪小学举行“庆六一、展风采”为主题的庆祝活动。为使庆祝活动顺利进行,特制定本方案如下:
一、活动目的经过开展“庆六一、展风采”活动,使儿童在进取的参与中体验合作与交往的欢乐,从而度过一个幸福,难忘的“六一”儿童节。使教师、家长在参与儿童节的活动中进一步感悟儿童教育观念,从中使自我对如何教育孩子有所启发,经过向家长、社会展示学生的风采活动,进一步塑造全乡学校的良好形象。
二、活动资料
1,学生作品展示;
各校在__小学教室展示学生作品。每校单独设立一个展示台,此项工作必须在庆祝会前一天完成。中心学校将派人到实地督促。
2,文艺节目汇演。
三、组织机构
组长:
副组长:
成员:
领导小组下设办公室,__红兼任办公室主任,具体负责此项活动工作。
四、活动安排
时间:20__年5月23日。
地点;__小学.
主办单位:__中心学校
场所布置:会标,宣传标语
出席人员:县局领导、乡党政领导、全乡中小学校校长。
活动程序:
1、8;00-8;30;庆祝仪式.升国旗.领导讲话.__溪小学学生表演学校团体舞.
2、8;40-12;30;上级领导参观学生作品展示及观看文艺节目.
3、8:30-9:00;
评委观看各校学生作品,并给作品评分。
4、9;00-12;50;文娱汇演,评委观看文艺节目且给节目评分.
5、.12;00-12;30;公布评比结果、颁奖.;
五、活动要求;
(1)5月22日,各校携带本校学生作品到__溪小学布置展厅.教室安排;__溪小学教学楼一楼教室自西往东,第一个教室__小学、__小学,二个教室__溪小学,三个教室__中学,第四个教室__小学、__小学。
(2)5月23日上午,.各(公文有约供给)校选派20名学生代表(包括演员)及领队和辅导教师参加,__小学、___中学全体师生参加。各校要求有校旗、队旗,参加活动的学生要佩戴红领巾且服饰整齐、素养良好.
(3)各校代表必须在5月23日上午7;30之前赶到活动地点.
(4)活动布置安排由中心学校负责,__小学配合完成.
(5)各校推荐一名教师作为庆祝活动的评委,组成庆祝活动评审小组.评分方法:去最高分和最低分,取其平均分为该项目得分.
六、活动评比
1.评比项目;(1)学生作品、(2)文娱节目、(3)学校总评
2.奖项设置;
(1)学生作品;一等奖1个;二等奖2个;三等奖3个;
(2)文娱节目;一等奖1个;二等奖2个;三等奖3个;
(3)学校总评;一等奖1个;二等奖2个;三等奖2个;
3、奖金设置
(1)学生作品奖:一等奖30元、二等奖20元、三等奖10元。
(2)文娱节目奖:一等奖50元、二等奖30元、三等奖10元。
(3)学校总评:一等奖300元、二等奖200元、三等奖100元。
活动背景:正值愚人节到来之际,为迎合这种浓浓的文化气氛,活跃安大的校园氛围,因而本次周末文化广场是一次以春春‘愚’动为主题的校园活动,希望同学们在迎接春天到来在户外可以多些机会锻炼运动的同时,也给同学们带来轻松与快乐,并使同学能更加积极乐观轻松地看待生活与学习。
一、活动目的及意义
本次特色活动做到文、体、美相结合,定于_月_日举行,一方面通过庆祝节日来丰富同学们的课余生活,减轻学习的负担。另一方面增进全院同学之间的感情,此外为本学期开创一个良好
的开端,营造一种轻松,欢愉的氛围。
二、活动主题
春春‘愚’动。
三、主办方
国际教育学院。
四、活动时间
2022年4月1日。
五、活动地点
__学院行政楼旁。
六、活动对象
__师院全体学生。
七、活动流程
本院学子风采作品展览__趣味游戏__文艺表演(穿插于游戏中)。
作品展览:
收集本学院学生的绘画作品、摄影作品、书法作品等做成一个展览板,与本次周末文化广场的宣传栏放一起,一方面丰富学生视野,展现本院学子风采,提高本学院知名度,另一方面为本次周末文化广场活动达到宣传效益。
趣味游戏:
1、齐心协力
把同学分成两大组比赛,甲、乙两组各派两个同学,两个同
学背靠背夹一个气球,在直线上走一趟,气球不能掉下也不能破掉,赢的一组将挑战下一组,连赢两次就可以成为赢家。
2、背靠背捡手绢
游戏规则:以两名同学为一组,以立正姿势站好,听到哨声后两人同时弯腰捡手绢,以最快者捡起手绢为嬴,但得注意捡手绢的时候双腿不能弯曲,只能弯腰往下捡,违规者为输。
3、二人原地跳绳
游戏规则:分x组,每组x人。x人一人用一手拿绳子的一头同时摇绳子同时跳,在规定的时间内跳最多的为胜。
4、自行车慢速跑
游戏规则:参赛人员以最慢的速度骑自行车,越过障碍物,到达终点站最慢者为赢,骑车时脚不能着地,自行车不能停下。
5、二人三足
游戏规则:参赛两人相邻腿上的绑绳的位置不能高于膝盖部分,当然也不能低于脚裸,听到哨声后开始跑,以最快的速度跑回终点的为赢。
6、怪味可乐
游戏规则:每组x人,分x组,每组每人随机自行选取已加入各种调味料的可乐(糖,盐,醋,芥末,辣椒水),比赛者须迅速喝完手中的可乐,最慢的人将受到惩罚喝下终极怪味可乐(加入所有调味料的可乐)一杯。
游戏奖品设置:每一游戏环节胜出的同学将以扔大骰子的方
式决定奖品,大骰子六面均写上不同的礼品名称。凡是参与的同学都有机会获得小礼品。
宣传方案:学生会宣传部绘制活动宣传海报,各班文娱委员向本班同学宣传特色活动,本学院学生在班长处报名参加活动,此外在海报宣传栏处增设报名点,外院学生可在此报名参加,也可在活动当天现场报名。
八、前期工作安排
生活部提前购置气球,可乐,调味料等,文艺部负责组织文艺节目,学习部提前准备活动所需道具,宣传部于活动前制作海报,做好宣传方案,外联部拉赞助,以及在当天活动前负责布置活动会场。体育部学习部负责组织会场纪律以及维持会场秩序和处理突发事件。
九、活动后期安排
全体学生会成员打扫活动会场并开会进
行活动总结。
十、要求与注意事项
怪味可乐游戏环节需要为参赛选手准备
纸巾和纯净水。
十一、预期效果及展望
学生们积极的参加此次活动,达到增进情感,促进交流的目的。希望大家在一起度过一个愉快的愚人节!
一、市场定价策略:
1、避强定价:就是避免与竞争对手的直接冲突,在顾客心目中迅速树立自己的形象。
2、迎头定价:就是与竞争对手“对着干”,低档次的竞争只会在短期内奏效,必须迅速完善服务,使之演变为质量竞争。
3、重新定价:就是对销路不畅,市场反应差的产品进行二次定价,“知错就改”。菜肴、客房都有可能成为销路不畅的产品,要善于利用价格杠杆,随时调整。
二、举例
1、以婚宴为例
目前婚宴市场竞争激烈,各饭店都有自己的招数,如“满十送一”、“提供婚礼用车、用房”、“代发请柬、代办司仪”等,令新人省去了不少烦恼。除了上述增值项目外,还新出现了“代办酒水”业务。
代办酒水是指按进价向婚宴举办者结帐,数量上多退少补,省去了婚宴举办者自办酒水的种.种麻烦,促进了消费,表面看起来饭店无利可图,实际上饭店因为销量增加,可以从供货商那里得到回佣,这是运用避强定价策略达到舍明求暗目的的典型。
舍明——将婚宴举办者十分关注的酒水利润让掉。
求暗——菜肴毛利,酒水回佣,在该饭店办婚宴价格实惠的口碑——为争取下一个婚宴做好铺垫。
2、以旅游团队接待为例
客房的固定成本同样要通过提高出租率来转化,而接待旅游团队是提高基本客房出租率最直接、最有效的办法,在实际客房
出租率不是很高的情况下,接待旅行社团队可以帮助消化饭店的固定成本。假设客房部一天的固定成本(空调、人员工资、房屋及设备折旧等)为__元,变动成本率为营业额的10%(水电、客用品及布草洗涤费用等)。
如果当天营业收入为__元,按会计方法是当天实现利润为800元。
如果当天营业收入刚好为__元,按会计方法是当天亏损1000元;但是,从管理会计的角度看,此时的概念既不是保本,也不是亏本,正确的表述应该是当天转化了__元价值的固定成本。
同样的道理:如果当天客房出租率很低,是否可以按照保本价或略低于市场竞争价格销售客房呢?回答是肯定的,因为固定成本始终需要转化为货币,是整体转化还是分期转化并不重要,这就是重新定价的计算基础。
3、再以宴请为例
目前较高档的宴请一般都上龙虾,龙虾不仅是高档菜,而且也是整桌宴席身价的象征,但计价时各饭店都不相同,绝大多数社会饭店采取的是灵活作价,如一只1、5斤、进价240元的龙虾只售280元,按照传统的内扣毛利率的作价方式,该龙虾的毛利率只有:
(售价—进价)÷售价×100%=14、29%
按照饭店35%的内扣毛利率计算,此龙虾起码要卖369元,如此高档宴席在饭店内日趋稀少也就不足为奇了。
龙虾进货后没有及时销售,会导致餐饮资金周转问题,同样饭店每月销售不了几只龙虾,供货商也会失去信心。
与婚宴同样的理由,饭店也可以采取“舍明求暗”的策略。餐饮部只要不歇业就存在固定成本,如果用餐的顾客少、营业额低,固定成本就不能全额转化为价值。因此餐饮首先要考虑的是“人气”,然后才是利润。
餐饮管理人员要注重绝对,轻视相对。坚守较高的综合毛利率,不考虑用局部的牺牲来换取利润的.增加,是卖方市场的做法,而WTO以后的中国,服务领域全由消费者说了算,一个全面的买方市场已经到来。
4、各种折扣及授权
A、礼节性折扣——授予一线领班或主管
B、旅行社折扣——有两种,一是旅行社事先通过协议成为饭店订房网络成员(或称客房零售商)代商务客人订房,按目前行业惯例为10%佣金,总台向客人收取门市价(此门市价一定是随行就市,有一定竞争力的价格),由饭店财务返回10%或更多给旅行社;另一种是旅行社组团入住,由饭店营销部门依据订房期的客源情况以及营销协议,通知总台及财务结帐。
旅行社既是客房零售商,又是为饭店送来旅游团队、会议团队的批发商,因此饭店要重视与旅行社的合作,搞好关系。
C、长期住客折扣——由饭店出台相关政策,鼓励客人长住,如住十天送一天、住房送早餐等等。
D、官方折扣——饭店管理层为协调各方关系,对关系单位高级行政人员实行的一种优惠折扣。
E、商务折扣——由营销部门与客户具体议定的折扣。
篇九:网络改造方案
网络改造升级方案优秀文档
(可以直接使用,可编辑
优秀版资料,欢迎下载)
网络改造方案建议书
目
录
一.
网络状态分析…………………………………………。
二.
网络建设目标………………………………………….。
三.
网络改造总体设计……………………………………。.
四.
网络改造总结……………………………。.。。..。..。。。..。。。...。.
一、网络状况分析
我公司大致网络状况如下:
公司约有70台用户电脑,服务器数量目前为两台。
现有一条4MADSL线路,负责设备、品质部用于外联公网.一条4MADSL线路,负责采购部用于外联公网,另外一条4MADSL线路,负责技术部和其它有权限上网的部门用于外联公网。外线负载极不平衡,利用率很低。
没有专门的机房或地方存放网络设备及服务器,设备无法统一集中管理。
网路出现故障不能第一时间通知电脑使用人员,需
联系
缺少维护和管理,公司内部线路连接混乱、标识缺失,一旦出现故障时难以快速解决问题。
二、网络建设目标
尽量保留现有网络中的设备,在确保公司正常业务使用的前提下减少公司投资。
各计算机等终端设备之间良好的连通性是需要满足的基本条件,网络环境就是提供需要通信的计算机设备之间互通的环境,以实现网络应用。
许多现有网络在初始建设时不仅要考虑到如何实现数据传输,还要充分考虑网络的冗余与可靠,否则一旦运行过程网络发生故障,系统又不能很快恢复工作,所带来的后果便是企业的经济损失。
网络建设为未来的发展提供良好的扩展接口是非常理智的选择。随着公司规模的扩大、业务的增长,网络的扩展和升级是不可避免的问题。
三、网络改造总体设计
1.机房建设
检查设备安装场地是否符合电气和环境标准;
输入电压允许范围:100V~240VAC50/60Hz或
–40V~—60VDC;
工作温度:0C~40C;
储存温度:-30C~60C;
相对湿度:5~95%
无凝结;
配线架内外网段及接口标识清晰,线路整理顺畅;
将服务器、交换机等设备合理放置到机柜上,便利操作;
UPS等设备安装到位,进行断电测试.
2。网络布线及网络设备规范
线路整理顺畅;
网线标识清晰;
综合布线成端清晰;
交换机设备的放置位置与UPS的安装合理。
3。网络改造后建议拓扑图
4。
网络改造总结
为节约改造成本,尽量保留现有网络设备与布线,在现的基础上进行优化改造.?
三条4MADSL外线搬迁到机房,需要购买多功能路由器WQR—945+进行统一集中管理.
为了大家访问共享文件方便,需购买一块2T硬盘合一硬盘盒
服务器跟网络设备统一搬迁到机房,进行统一集中管理。
为加强内部网络安全,是否考虑购买硬件防火墙,形成一个完整的网络架构。
为加强内部网络安全,是否考虑购买网络版杀毒软件。
制档人:宋星茂
审核人:__________________________
日期:
日期:
网络升级改造方案
一、当前网络现状
@广州
台式机(含服务器)约50台(暂时使用的有约20多台),笔记本使用的约20台,约20台
接入100M光纤(PPPOE),暂时够用
有些设备和线路较旧,特别无线网络用的是普通家用无线AP,性能有限,无线接入超10台或流量大时,无线AP处理不过来会出现缓慢,延迟等状况;
随着现在越来越多移动办公,无线接入需求越发强烈,目前的设备已经不能满足需求,需要升级
网络管理方面(如上网行为,流量控制等)还有欠缺,需要加强管理
网络安全方面,没有启用防火墙、ARP攻击、DOS攻击等
公司两边没有建立安全的专用互联通道,公司内部的CRM、OA等不能在分部访问
@番禺
台式机约70台(暂时使用的有约20多台),笔记本使用的约20台,
约20台,大部分台式机装了无线网卡,无线需求大增,一般无线AP能处理接入15台左右,过多或流量大就会变慢,过载,不稳定,连不上等,需要多台无线AP分流,需要升级网络设备
接入100M光纤(PPPOE),日常办公暂时够用
目前用的是TP(普通牌子)无线路由器做出口路由,又做无线接入功能,性能一般,距离远时速度下降,有时出现不稳定,容易出现故障,特别无线故障频现,网络很卡,需要更换一个性能更高的路由器
需要设置限制上网行为,流量控制等
二、网络建设目标
大体上都是对无线网络的升级,在现有设备和布线基础下更换或增加无线设备
尽量保留现有网络中的设备,减少投资
建设良好的网络环境,实现高效的网络应用
充分考虑网络的冗余和可靠,减少故障,提高工作效率
可扩展性,以应对未来发展增加的网络需求
三、解决方法
考虑经济与稳定性,通过大量对比,选出合适公司的产品如下:
全千兆网口以适应未来千兆接入
H3CMSG360-4/10:5口多业务千兆网关带AC无线控制(二三层漫游,-4支持4个AP,-10支持10个AP,带机量100台),支持云端远程管理+APP
端管理,防火墙,VPN,网管功能等
H3CWAP712C-FIT:无线AP,动态调节功率,支持胖、瘦模式,智能带宽分配,智能负载均衡(用户与流量),支持中文SSID,挂壁,吸顶,放装,支持POE供电(省了电源布线),一个千兆上行口
H3CS1208-PWR:
8口全千兆POE交换机,可省去AP的电源布线问题
根据以上设备组建AC+AP无线方案,目前该方案市场应用成熟,统一管理无线接入,无缝漫游,多个AP分布于多个节点上(每个节点覆盖周围一部分,多个节点实现整个办公室覆
盖),有效地控制分流接入,解决了单一设备接入过多,引起负载过大,网络变慢变卡等问题,千兆口,满足多用户大流量需求
番禺安装5台AP可应付100台设备需求,广州2到3台AP可应付50台左右
网络管理方面,做一些上网行为管理和流量控制,如每台终端限制上行速率10-15Mb(基于目前上行总带宽25Mb左右),防止一些P2P软件上传
安全方面,路由器启用防火墙,预防ARP、DOS攻击,安装杀毒、安全软件等
搭建VPN,两地实现访问企业内部应用软件服务
设备的工作环境要良好,特别不能过热而引起不稳定,增加散热措施,线路布局规范合理等
四、费用预算
广州需购设备价格列表(参考JD.COM)
品牌
型号
价格数量单项总价备注
(元)15004口POE,AP省去电源,支持4个AP7502/31500/2250100011000单台最佳接入20台内
支持4AP,AP需接电源
(元)
(台)
H3CMSG360-4—1500PWRH3CWAP7MS12C—FITH3CMSG360-41合计:
A:POE供电:1台AC(MSG360—4-PWR)+2台AP时:
3000元
B:POE供电:1台AC(MSG360—4—PWR)+3台AP时:3750元
C:AP接电源不需POE:1台AC(MSG360—4)+2台AP时:
2500元
D:AP接电源不需POE:1台AC(MSG360-4)+3台AP时:
3250元
番禺需购设备价格列表(参考JD.COM)品牌
型号
价格数量单项总价备注
(元)
2860375支持10AP单台最佳接入20台内
65016508口千兆POE交换机
(元)
H3CMSG360-102860(台)
15H3CWAP712C—750FITH3CS1208-PWR合计:A:AP接电源不需POE供电:1台AC(MSG360—10)+5台AP时:
6610元
B:POE供电:1台AC(MSG360—10)+1台POE(S1208-PWR)+5台AP时:7260元
五、需要时间
施工(包括布线,设备安装,调试):约2天
测试(稳定性,网络速率,一些参数调试):约1到2天
六、需要协助/支持
工具:布线的工具,夹线钳、测线仪、小电钻、物资:超5类网线、水晶头、电源线+插座(如果AP要另接电源)、固定网线(钉子、线盒/PVC管+线卡)、捆线绳,以上物资根据实际情况选取一定数量
调试:笔记本电脑、台式电脑、更改后的路由器账号密码、无线AP命名设定
网络改造设计方案
建议报告
2021年
2月
公司网络现状及需求分析
1.1前言
当今社会已步入信息社会,信息成为社会经济发展的核心因素,信息化已成为当今世界潮流。自从
1993年美国政府公布实施“信息高速公路计划”之后,在世界引起巨大反响,许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。
信息技术作为新技术革命的核心.不仅具有高增值性、成为最具经济活力的经济增长点,而且具有高渗透性,以极强的亲和力和扩散速度向经济各部门渗透,使其结构和效益发生根本性改变。信息化已成为当代经济发展与社会进步的巨大推力,尤其是作为国民经济信息化基础的企业信息化,当前更显得尤为重要,信息化建设已成为企业发展的必由之路.信息化是企业加快实现现代化的必然选择!
随着信息时代的到来,企业的生存和竞争环境发生了根本性的变化。对于大型企业而言,信息化无论是作为战略手段还是战术手段,在企业经营中发挥着举足轻重的作用.
随着近年来企业信息化建设的深入,企业的运作越来越融入计算机网络,企业的沟通、应用、财务、决策、会议等等数据流都在企业网络上传输,构建一个“安全可靠、性能卓越、管理方便”的“高品质”大型企业网络已经成为企业信息化建设
成功的关键基石.
1.2背景分析
公司的网络改造是公司为了适应新形势下企业激烈竞争,提高公司核心竞争力的一项具有战略意义的举措。成功的网络改造将使我公司能够在较长时间里在高科技领域竞争中继续保持科技优势,从而推动各项业务水平的快速发展.
公司的网络现状如下图:
伴随着公司的飞速发展,越来越多的分支机构单位和业务系统接入到网络当中,造成公司网络规模不断扩张,网络结构也越来越复杂,而陈旧的网络核心设备和庞大的网络架构,也带来网络骨干性能不足、IT
运维监控滞后、服务器负载效率低下、网络安全隐患众多等一系列问题,目前,我公司网络系统面临问题的详细情况如下:
1、核心设备陈旧
网络核心
S6506厂家已停产,无法进行板块扩容,也没有备品备件,且
S6506已在线运行多年,一旦出问题网络瘫痪后无法第一时间迅速恢复。
2、网络架构复杂网关错位
整体网络架构没有进行统一规划,多级串联现象严重,造成网络结构庞杂,增加了很多网络传输延迟和故障节点。
3、运维监控滞后
无法对网络流量进行实时监控和回溯审计,造成盲目的“黑盒运维”---无法及时准确地掌握网络整体性能、应用负载,并进行针对性的调优,更无法准确定位网络异常原因,排查网络故障和隐患.
4、网络性能存在瓶颈
现有网络骨干是百兆网络局域网,但网络吞吐约
200G/天,流量峰值是
200M/S,平均流量为
80M/S,其中流量吞吐最大的是
192.168。8.1的营销系统服务器,而一旦局域网中出现
P2P、大文件传输、视频流媒体等数据流,正常业务的带宽就会受到挤占和消耗,造成网络访问拥塞,出现延时大,响应慢等现象。
5、业务系统性能待调优
首先是
OA系统因为访问量少,所以响应快,延时小,性能最好。
其次是营销系统,在业务高峰时期会有上万(约
13000左右)的并发会话,此时服务器性能和网络非常吃紧。
接着是财务
NC
系统,因为服务器挂在云端,本地是通过
VPN
去进行访问,导致服务器访问性能在广域网传输过程耗损较多,所以,交互质量差的应用会话比例很高,系统整体性能较差。
最后是集抄系统,该业务系统虽然整体流量不大,但总体性能表现并不高,这跟两台服务器没有很效地对访问请求进行负载分担有一定关系.
6、网络存在安全隐患
网络中存在一些病毒木马、端口扫描、未知异常广播等网络安全隐患,干扰正常网络通信,影响数据传输,并可能造成数据泄密、业务系统无法运转等风险。
7、监控流媒体挤占正常业务带宽
平时的业务数据和监控流媒体数据混在网络中一起传输而未被分开,会导致视频监控数据挤占正常业务带宽通道进行传输,极大造成了局域网带宽资源浪费,影响业务传输质量.
8、运维组织有待完善
分支机构接入较多,私接串接导致故障现象屡见不鲜,使运维人员应接不暇,需从制度上和技术上,加强运维组织管理。
1.3用户需求
骨干网络高性能、高稳定性需求
网络骨干包括网络的核心层和汇聚层,是整个网络流量的承受者和汇聚者,因此对骨干网络高性能、高稳定性提出了高的要求。为了提高设备的可靠性和稳定性,可采用骨干网络冗余设计,能够实现设备的热备和失效自动切换。
网络安全性需求
网络安全包括网络级、系统级、用户级、应用级的安全,在网络级,需要利用防火墙的过滤与隔离功能,将信任网络(内网)和不信任的网络(外网)隔离开来,并利用防火墙或出口路由器的NAT(网络地址转换)功能,对外屏蔽内网的网络拓扑信息,从而避免整网受到外来攻击。
在网络内部,根据用户的网络使用需求,将用户和网络资源划分为不同的VLAN,在VLAN间根据需求启用相应的ACL(访问控制列表),从而保证用户的物
理隔离和资源访问的安全.
网络监控管理分析需求
在不影响关键业务运行的前提下,收集分析网络流量中的应用信息,网络管理员可以定义、监控并评估网络连接性、安全性和性能策略,并进行网络的规划和设计,并且能够使管理员了解计算机网络系统的整体状况,可监控到来自网络内部和外部的“黑客”入侵,能够为查明入侵的来源提供有效的依据,直观的显示各种网络流量运行状态,并对各种异常情况
实现自动报警。
1.4设计思路
公司网络设计为三层结构,系统的设计应充分利用当今先进的网络技术,实现网络数据高速有序流通,建立高效率的信息网络平台,形成各个部门内外相联、上下贯通的信息传输网络。
改造后的我公司网络平台应是一个技术先进、性能可靠、功能齐全的系统,系统内的各级用户在各自权限内,在各自站点上进行各自的工作,满足网上语音、视频、监控等多种应用,为集团业务发展提供一个稳定的信息高速公路基础平台。
1.5建设目标
尽量保留现有网络中的设备,在确保公司正常业务使用的前提下减少公司投资。
不仅要考虑到如何实现数据的高性能传输,还要充分考虑网络的冗余与可靠,让系统在运行过程发生故障时,能迅速恢复正常工作,避免造成企业经济损失。
改造后的网络系统具有良好的可维护性与可管理性,让管理员通过智能化分析工具后对网络运行状况了如指掌,高效率地处置运行故障与安全威
胁.
为公司网络基础设施的未来发展提供良好的扩展接口,让网络核心骨干随着公司规模的扩大、业务的增长,便于进行系统的扩展和升级。
1.6设计原则
在整个网络改造设计过程中,力求尽量利用现有资源的基础上进行改造,严格遵循网络规范和设计原则,为用户打造一个稳定,安全的网络环境,具体考虑到以下的各个方面。
1、稳定性
网络的可靠性和稳定性非常重要,决定着网络能够正常运行,在网络设计时,不论是网络节点、通信线路、应用设备还是网络拓扑的设计,都应该对可靠性和稳定性加以考虑,尽量减少故障节点,确保系统运行可靠。
2、先进性
设计网络系统的目的主要就是应用。因此,在设计时应当以注重实用和成效为原则,紧
密结合具体应用的实际需要。在技术上应该采用先进的网络技术和网络产品,选择技术成熟和实用效果好、市场占有率高、通用性好的设备,适应信息技术的迅速发展,具有良好的技术先进性。
3、安全性
对于内部网络以及外部访问的安全必须高度重视,设计部署可靠的系统安全解决方案,避免安全隐患,采取防攻击、防篡改等技术措施,管理和技术并重,全方位构建整个网络安全保障,保证数据和服务器的安全。
4、可管理性
考虑到网络系统的后期管理和维护,在方案设计中要充分考虑各个设备和系统的可管理性,使系统建成后易于管理、易于维护、操作简单、易学、易用,有效地提高对网络的管理,便于管理人员进行配置和处理故障。
5、可扩展性
着眼长远考虑,不但满足当前需要,并能满足后期扩展的需要,充分考虑今后网络的发展,预留升级和扩充余量,能够兼容不同厂家、不同类型的网络产品及应用软件,便于向更新技术的升级与衔接。
6、经济性
本次系统改造建设中,要充分考虑原有系统资源的有效利用,发挥原有设备资源
的价值,本着以最少的改造成本,获得最大的改造效果.对一些运行良好的硬件设备及应用软件要加以保护并合理利用,节省一部分投资。另外,对于新增的设备,要尽量选择技术成熟可靠、性价比较高的设备,达到实用、经济和有效的效果。
1.设计依据及标准
本次网络改造方案设计参考的标准和依据包括:信息及网络系统设计标准
《信息技术通用多八位编码字符集(UCS)》(GB13000。1)
《信息技术系统间远程通信和信息交换
局域网和城域网》(GB15629.11-2003)
《信息处理系统光纤分布式数据接口》(ISO
9314—1:1989)?
《光纤分布式数据接口(FDDI)高速局域网标准》(ANSIX3T9。5)?
《通信光缆的一般要求》(GB/T7427—87)
结构化布线系统设计标准
《建筑和建筑群综合布线系统工程设计规范》(GB/T50311—2006)
《建筑和建筑群综合布线系统工程验收规范》(GB/T50312—2006)?
《信息技术用户建筑群通用布缆》
(ISO/IEC11801:
2002)
《信息技术用户建筑群布缆的实施和运行》(ISO/IEC14763-1:
1999)
《信息技术用户建筑群布缆配置》(ISO/IEC14709—1:
1997)?
《信息技术用户建筑群布缆的通路和空间》(ISO/IEC18010:
2002)
《光纤总规范》(GB/T15972.2—1998)?
《民用建筑通讯通道和空间标准》(EIA
TIA569)信息安全设计标准
《计算机软件配置管理计划规范》(GB/T12505-—1990)
《计算机信息系统安全保护等级划分规范》(GB17859-1999)
《计算机信息系统安全专用产品分类原则》(GB163-1997)
《信息技术设备的安全
(ideIEC60950:1999)》(GB4943—2001)
《信息技术安全性评估准则》(GB/T18336.1-2001)
《信息技术信息安全管理实施规则》(ISO17799—2000)?
《涉及国家秘密的计算机信息系统保密技术要求》(BMZ1—2000)?
《涉密信息设备使用现场的电磁泄漏发射防护要求》(BMB5—2000)?
《涉及国家秘密的计算机信息系统安全保密测评指南》(BMZ
3—2001)智能化系统设计规范
《智能建筑设计标准》(GB/T50314—2006)
《建筑及居住区数字化技术应用系列标准》(GB/T20299—2006)
《建筑智能化系统设计技术规程》(DB/J01—615-2003)
《公共建筑节能标准》(GB50189—2005)
《民用建筑电气设计规范》(JGJ/T)
机房工程系统设计标准
《电子计算机场地规通用规则》(GB/T2887-2000)
《计算机场地安全要求》(GB9361-1988)
《电子计算机机房设计规范》(GB50174-1993)
《防静电活动地板通用规范》(SJ/T10796-2001)
《电信专业房屋设计规范》(YD5003—1994)
《通信机房静电防护通则》(YD/T754-1995)火灾报警系统设计标准
《高层民用建筑设计防火规范》(GB50045-1995)?
《火灾自动报警系统设计规范》(GB50116-1998)
《建筑设计防火规范》(GBJ16-1987)
《火灾报警控制器通用技术条件》(GB4717—2005)
《点型感烟火灾探测器技术要求及试验方法》(GB4715—2005)?
《点型感温火灾探测器技术要求及试验方法》(GB4716-2005)
《线型光束感烟火灾探测器技术要求及试验方法》(GB14003-2005)?
《点型红外火焰探测器性能要求及试验方法》(GB
15631-1995)综合安防系统设计标准
《安全防范工程技术规范》(GB50348-2004)
《安全防范系统验收规则》(GA308-2001)?
《安全防范工程程序和要求》(GA/T75—1994)
《安全防范工程费用概预算定额编制方法》(GA/T78—1994)
《出入口控制系统技术要求》(GA/T394—2002)
《出入口控制系统工程设计规范》(GB50396—2007)
《视频安防监控系统技术要求》(GA/T367—2001)?
《视频安防监控系统工程设计规范》(GB50395-2007)
《安全防范报警系统设备安全要求和试验方法》(GB16796-1997)
《报警系统电源装置、测试方法和性能规范》(GB/T
15408-1994)防雷与接地系统设计标准
《建筑物防雷设计规范》(GB50057-2021)
《建筑物电子信息系统防雷技术规范》(GB50343—2021)
《通信工程电源系统防雷技术规范》(YD5078—1998)?
《通讯局(站)低压配电系统用点涌保护器》(YD/T1235-2002)?
《通讯局(站)接地设计暂行技术规范》(YDJ26—1989)
《计算机信息系统防雷保安器》(GA173-2002)
《计算机信息系统雷电电磁脉冲安全防护规范》(GA267-2000)
《建筑物的雷电防护》(IEC61024:
1990—1998)工程及设备质量验收规范
《智能建筑工程质量验收规范》(GB50339—2003)
《智能建筑工程检测规程》(CECS182:2005)
《建筑及居住区数字化技术应用》(GB/T20299。2)
《安全防范系统验收规则》(GA308—2001)
《安全防范报价设备安全要求和实验方法》(GB16796-1997)
《建筑与建筑群综合布线系统工验收规范》(GB/T50312-2000)其他设计标准
《信息技术互连国际标准》(ISO/IEC11801-95)
《建筑内部装修设计防火规范》(GB—50222-95)
《电气装置安装工程施工及验收规范》(GBJ232-82)?
《民用建筑电气设计规范》(JGJ16-2021)
《供配电系统设计规范》(GB50052-2021)
《低压配电设计规范》(GB50054—2021)
《工业与民用供电系统设计规范》(GBJ52-82)
《低压配电装置及线路设计规范》(GBJ54—83)
《通用用电设备配电设计规范》(GB50055—2021)?
《工业企业照明设计标准》(GB50034-1992)
《采暖通风与空气调节设计规范》(GB50019—2003)
《通风与空调工程施工质量验收规范》(GB50243—2002)?
《建筑装饰装修工程质量验收规范》(GB50210—2001)
用户对网络改造项目的其他要求
2.网络改造设计方案
网络拓扑图
按照网络分层设计模型,广安爱众公司新规划的网络拓扑结构如下:
如上图,整个网络架构设计可分为网络出口、核心层、接入层、传输、安全与优化等五大部分,现分别详述如下:
2.1网络出口设计
外网出口连接上级的Internet,带宽为上下行对称的100M,是各种攻击行为、病毒传播、安全事件引入的风险点,通过在网络出口处部署高性能、高可靠、高安全的网关设备,可以很好的缓解风险的传播,阻挡来自外部网络攻击行为的发生,是网络出口的第一道安全屏障。
下一代防火墙
在外网出口部署下一代防火墙,对进出网络的数据进行过滤,保护网络安全,主要实现以下安全防护效果:
防止外网上的病毒、木马等恶意代码传播到内网中,保护内网终端、服务器;
防御来自外网的漏洞扫描行为、入侵行为,使内网免受恶意攻击;
控制用户访问网站行为,禁止访问非法网站、低俗网站、钓鱼网站,降低用户遭受攻击的风险。
分为信任区域和非信任区域,分别实施不同的安全策略,包括部署区域间隔离、受限访问、防止来自区域内部的DOS
攻击等安全措施;
通过加密隧道构建
VPN(虚拟专用网络),方便分支机构和外出人员远程接入内网办公,提高工作效率。
流量控制器
流量控制器可基于
DPI(深度包检测)识别各类上网应用,由此,在防火墙和核心交换机之间,以网桥模式串接了一台流控设备,来对进出防火墙的网络流量进行内容过滤和应用管控,以有效阻断非业务流量和内容,保证内网安全,提高互联网带宽利用率,限制高消耗带宽应用,保障网络通畅和网络的稳定性,控制用户使用无关应用和危险应用,提高网络整体安全性。
下一代防火墙到核心交换机之间使用链路聚合,来提供冗余保障。
2.2核心层设计
核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中,应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心,重要性突出。核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。
核心交换机集群
主要部署两台
S9706组成一个
CSS(Cluster
Switch
System)集群,它是网络虚拟化的一
种形态,可实现把多台支持集群的交换机链接起来,从而组成一台更大的交换机,CSS
的典型特征有:
交换机多虚一:CSS对外表现为一台逻辑交换机,控制平面合一,统一管理.?
转发平面合一:CSS内物理设备转发平面合一,转发信息共享并实时同步。
跨设备链路聚合:
跨CSS内物理设备的链路被聚合成一个TRUNK端口,和下游设备实现互联。
从上图中我们可以看到,CSS
通过设备“多虚一”和跨设备的链路聚合,不但简化了网络拓扑,而且极大地提高了网络性能:
简化运维:整个
CSS被作为一台交换机来管理,简化运维、降低
Opex。
可靠性高:CSS内一台设备故障,其他设备可以接管CSS的控制和转发,避免单点故障。
无环网络:跨设备的链路聚合,在CSS和其他设备互联时,天然避免了环路问题,无需部署
MSTP等复杂的破环协议.?
链路均衡:跨设备的链路均衡,100%的网络链路和带宽的利用率。
CSS
在简化网络、提升转发性能的同时,没有带来任何网络功能的损失。物理交换机具有的所有功能,都在
CSS
系统下得到继承,且性能还得到了放大.CSS
拥有的这些特质,使其得到了越来越多的认可和接受,并成为了部署简单、高效网络的首选方案。
2.3接入层设计
接入层通常指网络中直接面向用户连接或访问的部分。其目的即利用光纤、双绞线、同轴电缆、无线接入等传输介质,实现与用户连接,并进行业务和带宽的分配,允许终端用户连接到网络,因此接入层交换机具有低成本和高端口密度特性。
而本次改造中有
14个接入层点位将采用双线上行至核心交换机(集群),并利用
OSPFECMP(Equal—Cost
Multiple
Path)特性,在两条专线链路之间进行负载均衡,既增加了网络的可靠性,又能提高了资源的利用率。
2.4网络规划设计
本次网络改造项目中,将摒弃原有传统的单线二层接入方式,从而采用运营商双线运行动态路由协议(OSPF)进行三层传输接入核心,去掉中间级联设备,形成扁平化的网络架构,这种组网方式将各个分支机构分割成单独的局域网,一旦某个分支机构出现网络及线路故障将不会影响其他节点的业务。
新的传输接入模式,必须在各个节点建立独立的三层网关进行路由转发,这就要求对整个网络进行新的规划和设置,如下表所示:
点位
网段
VLAN
互联
10.0。1。0/24代市气所
172。16。31.0/24101102301岳池水务
前峰水务
领水水务
华蓥水务
城北客户中心
城南客户中心
西充燃气
领水燃气
希望接收费
城东水所
龙门收费
武胜水务燃气
岳池电力
……
172。16。34.0/24172.16。35.0/24172.16。36.0/24172.16。37.0/24172.16.38。0/24172。16。39.0/24172。16.40。0/24172。16。42.0/24172.16。43。……
302303304305306307308309310311312313314……
以上网络规划和设计,将在大的城域网环境中形成多个广播域,隔离广播风暴和二层流量泛洪,减少
IP
地址冲突,提高整个网络的安全性和可维护性。具体的实施细节,将在项目施工过程中与甲方相关人员进行深化设计。
2.5网络传输设计
从核心层到接入层的传输部分是各个运营商(电信、广电、联通、移动)的MSTP专线,其中,大部分接入点专线带宽为
10M,而少数营业收费点专线带宽为
2M,在带宽不够的情况下,可以酌情考虑增加线路带宽.MSTP(Multi-Service
Transmission
Platform)是指基于
SDH
平台同时实现
TDM、ATM、以太网等业务的接入、处理和传送,提供统一网管的多业务节点。其构建统一的城域多业务传送网,将传统话音、专线、视频、数据、VOIP、IPTV
等业务在接入层分类收敛,并统一送到
骨干层对应的业务网络中集中处理,从而实现了所有业务的统一接入、统一管理、统一
维护,提高了端到端电路的服务等级,这种专线技术具备以下优点:
泛用性
MSTP
电路适用于任何高速率、信息量大、实时性强的业务传送在通信领域的应用前景广阔,用户端接口为通用性的RJ45接口。
可选性
MSTP专线带宽灵活,在
2M到
1000M的区间内,可以灵活选择.
安全性
安全性有保障,比纯粹基于互联网的VPN业务安全性更高。
灵活性
组网灵活,可支持星形网络、环形网络、点到点连接、多点汇聚等.
2。6网络安全与优化设计
1、网络回溯分析系统
在网络核心
CSS
集群旁部署一台网络回溯分析系统,可以实现了对网络通讯数据包级的高性能实时智能分析,因为网络回溯分析系统是一款集成大容量存储的高性能数据包采集和智能分析硬件平台,它可以提供对各种网络性能和应用性能的关键参数实时分析,同时还能
够实时捕获并保存网络通讯流量,具备对长期的网络通讯数据进行快速数据挖掘和回溯分析能力,实现对关键业务系统中的网络异常、应用性能异常和网络行为异常的实时发现、以及异常原因的智能回溯分析,提升了对关键业务系统的运行保障能力和问题处置效率。
这样就在内网构建起了一套基于流量的实时监控和回溯体系,不但可以精确了解网络整体性能、应用负载,还能准确定位网络异常原因,及时排查网络故障和病毒、木马、攻击等安全隐患,实现核心链路/核心区域/核心业务运行可视化,彻底解决“黑盒运维”。
2、入侵检测系统
在核心
CSS
集群旁挂一台专业的IDS(入侵检测系统),该设备可通过抓取来自核心交换机的数据流镜像,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
3、负载均衡器
在业务服务器集群子网区域内的各个应用服务器前端部署一套负载均衡器,在多个客户端发起业务访问请求时,由前端的负载均衡器来对所有访问请求进行反向代理和统一调度,进而将业务访问负载合理均衡地分担到每个后端服务器节点上,以提高业务系统的整体服务效能。
同时对服务器的操心系统、中间件、文件系统等软件参数配置以及资源池分配进行优化,增强服务器的并发会话处理能力,而数据库方面,则可通过建立索引,优化
SQL
语句和优化内存、日志、表空间分配等方法来提高数据库
I/O
性能,加快数据的存取速度.
在接入交换机处,可通过
Qos
策略将业务数据和监控数据区分开,并给业务数据分配更高的优先级,这样在发生网络拥塞时,监控数据就无法挤占正常业务带宽,由此保障了业务访问的稳定性,不受接入视频监控的干扰。
2。6网络特点和优势
通过大力进行网络改造后,具有达到如下特点和优势:
高性能和高可用的网络骨干
升级核心交换机替换老旧设备,可以大力提升核心节点的转发速度,增加网络整体吞吐量,形成一个高性能、可扩展、可靠的高效网络.
层次架构清晰
对网络架构进行扁平化重构,不仅可以解决多级串连现象,大大简化网络构成,还能减少中间节点的故障影响,迅速提高流量转发的处理速度,形成一个架构清晰,层次分明、可维护性强的网络基础平台。
运维透明化和可视化
构建网络的实时监控和回溯体系,将全网流量可视化、透明化,分析从流量趋势、应用分布到性能负载等多方位情况,能让运维人员对整个网络运行情况了如指掌,及时发现处理网络异常和攻击威胁,将危害消灭在萌芽阶段,并快速定位故障原因和节点,缩短故障影响时间,提高故障处理效率,保证网络的高效稳定运行。
弹性的应用架构
部署负载均衡器,进一步优化应用架构,让每台服务器轮流均衡地分摊客户端访问请求,来提
高业务系统的整体服务效能,消除单点故障,形成一个高并发、高可用、高扩展性的业务群集系统,并结合业务系统性能优化,来提高服务器的并发会话处理能力与数据库
I/O性能,加快业务的响应速度。
专门的流控体系
在外网出口处通过流量控制器来审计和管控互联网流量,屏蔽非法应用,限制违规流量,保障带宽资源,提高员工上网的合规性和网络使用效率,同时,在汇聚交换机处设置
Qos策略,让监控数据就无法挤占正常业务带宽,保障业务访问稳定性,不受视频监控流媒体数据的干扰。
强大的安全防护保障
通过部署下一代防火墙和入侵检测系统(IDS)的安全策略,可进一步强化内网的信息安全保障,防止各种网络攻击和入侵活动,提高网络安全系统的防护免疫力.
高效整洁的数据中心
通过新机房搬迁,可以打造一个新的整洁舒适、专业美观的数据中心环境,为机房设备高效的管理和安全运营提供有力支撑和保证
2.主要设备介绍
2.9.1下一代防火墙
USG6350当前,智能
、iPad
等终端已经普及,移动应用程序、Web2。0、社交网络应用于企业运营的方方面面。企业网络边界变得模糊,信息安全问题日益复杂.通过
IP
和端口进行访问控制的传统的防护墙无法应对层出不穷的应用层威胁。
华为
USG630系列下一代防火墙面向中小企业,通过对应用、用户、内容、威胁、时间、位置
个维度的全面感知,提供精细的业务访问控制和加速。入侵防御(IPS)和防病毒(AV)等应用层深度防御与应用识别相结合,有效提高了威胁防御的效率和准确性。具备全面的防护功能,一机
多能,有效降低管理成本。精细的带宽管理和
QoS
优化能力有效降低企业的带宽租用费,确保关键业务体验。持续、简单、高效地提供下一代网络安全。
产品特性
精准的访问控制
传统防火墙主要通过端口和
IP进行访问控制,下一代防火墙的核心功能依然是访问控制。USG6000在控制的维度和精细程度上都有很大的提高:
一体化防护:
从应用、用户、内容、时间、威胁、位置
个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合,一体化处理。例如:
识别出
Oracle
的流量,进而针对性地进行对应的入侵防御,效率更高,误报更少.
基于应用:
运用多种技术手段,准确识别包括移动应用及
Web
应用内的6000+应用协议及应用的不同功能,继而进行访问控制和业务加速。例如:区分微信的语音和文字后采取不同的控制策略。
基于用户:
通过
Radius、LDAP、AD等
8种用户识别手段集成已有用户认证系统简化管理。基于用户进行访问控制、QoS管理和深度防护。
基于位置:
与全球位置信息结合,识别流量发起的位置信息;掌控应用和攻击发起的位置,第一时间发现网络异常情况.根据位置信息可以实现对不同区域访问流量的差异化控制。支持根据
IP自定义位置。
全面的防护范围
越来越多的信息资产连接到了互联网上,网络攻击和信息窃取形成巨大的产业链,这对下一代防火墙的防护范围提出了更高要求.USG600具备全面的防护功能:
一机多能:
集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功能于一身,简化部署,提高管理效率。
入侵防护(IPS):
超过
3500+漏洞特征的攻击检测和防御。支持
Web攻击识别和防护,如跨站脚本攻击、SQL
注入攻击等;防病毒(AV):
高性能病毒引擎,可防护
500万种以上的病毒和木马,病毒特征库每日更新;数据防泄漏:
对传输的文件和内容进行识别过滤。可识别
120+种常见文件类型,防止通过修改后缀名的病毒攻击。能对
Word、Excel、PPT、PDF、RAR等
30+文件进行还原和内容过滤,防止企业关键信息通过文件泄露.SSL解密:
作为代理,可对
SSL加密流量进行应用层安全防护,如
IPS、AV、数据防泄漏、URL过滤等。
Anti—DDoS:
可以识别和防范
SYNflood、UDPflood等
10+种
DDoS攻击,识别
500多万种病毒.上网行为管理:采用基于云的URL分类过滤,预定义的URL分类库已超过
8500万,阻止员工访问恶意网站带来的威胁。并可对员工的发帖、FTP等上网行为进行控制。可对上网记录进行审计。
安全互联:
丰富的VPN特性,确保企业总部和分支间高可靠安全互联。支持
IPSecVPN、SSLVPN、L2TPVPN、MPLSVPN、GRE等;QoS管理:
基于应用灵活的管理流量带宽的上限和下限,可基于应用进行策略路由和
QoS标签着色。支持对
URL分类的QoS标签着色,例如:优先转发对财经类网站的访问。
负载均衡:
支持服务器间的负载均衡.对多出口场景,可按照链路质量、链路带宽比例、链路权重基于应用进行负载均衡。
虚拟化:
支持多种安全业务的虚拟化,包括防火墙、入侵防御、反病毒、VPN等。不同用户可在同一台物理设备上进行隔离的个性化管理。
