玉皇盛世网络建设方案Word文件下载.docx
《玉皇盛世网络建设方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《玉皇盛世网络建设方案Word文件下载.docx(18页珍藏版)》请在冰豆网上搜索。
网络系统应具有良好的安全性。
为了保证公司内部网络使用安全,避免互相干扰,网络系统应支持多VLAN的划分,并能在VLAN之间进行第三层交换时进行有效的安全控制,以保证系统的安全性。
此外,在接入网络的用户通过MAC身份认证,防止用户IP地址的盗用,保证用户身份的合法性。
7、QoS保证
当今网络中的多媒体的应用越来越多,这类应用对服务质量的要求较高。
公司内越来越多的使用视频应用、视讯会议等等,公司内部局域网应能保证QoS,以支持这类应用。
8、符合国际标准
选用符合国际标准的系统和产品,可以保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。
网络建设依据百兆/千兆光纤到桌面,千兆/万兆核心互联的大原则;
考虑充分的网络平台可靠特性和冗余特性;
网络协议的标准性和充分的可扩展特性;
充分考虑局域网安全特性;
充分考虑网络的高速和高运行效率;
充分利用现有网络线路资源;
统一的网络管理;
三、网络系统建设目标
本次网络建设主要为公司建设一个公司内部独立的网络基础平台,为公司的信息系统建设搭建网络基础。
使其可以成为以信息传输为主体,面向公司的日常业务,立足生产,辅助领导决策的计算机信息网络系统。
建设目标如下:
1、构建一个既能覆盖全公司又能与外界进行网络互通,实现对内共享信息,对外展示公司形象的计算机网络。
2、具有较好的可扩展性,为今后的网络扩展打好基础。
3、支持OA办公系统,做到集数据,图像,声音传输三位一体,为未来多应用信息化建设打好基础。
4、整个公司采用光纤接入到运营商提供的Internet。
公司统一出口,便于控制公司内部上网行为,保证公司内部网络安全。
5、设备选型上必须在技术上具有先进性,通用性,且便于管理,维护,应具备良好的可扩展性,可升级性,能有效保护公司的投资。
设备要在满足功能和性能上还具有良好的性价比,同时也要有良好的售后服务。
四、网络结构设计
1、公司局域网采用双路由、万兆核心、三层树形结构
在整网配置两台路由器作为整个网络的出口交换节点,厂区内两汇聚点光缆间铺设备用光缆、避免了单点故障对整网互联网访问的影响范围,从而提高了整个网络的稳定性。
公司内部局域网信息点少,同时又具有信息点地址位置分散的特点,为此建议采用三层树形网络体系结构进行网络规划建设。
所谓三层树形体系结构是相对业务标准的二层网络体系结构而言,在生产区设立汇聚层,核心层与连接生产区汇聚层来进行网络体系构建。
使用该体系结构有效解决生产区用户过于分散,浪费光缆的情况。
2、每个车间的接入层交换机采用百兆/千兆光口接入,汇聚层的交换机在交换机的选择上考虑采用能提供千兆接口交换机,主要是体现高带宽、高安全的优点:
三层到桌面之后,同一个车间内的计算机之间可以实现千兆交换,充分发挥网络带宽高的优势,开展多种丰富的IP网络业务,包括数据业务、视频业务等,届时公司内部网络带宽瓶颈问题得到彻底解决,业务的开展将不比再为网络带宽不足问题精打细算。
网络整体安全性提高。
通过三层到桌面的方式,整个网络中将不再有二层报文,二层攻击事件彻底杜绝,设备与设备之间的级连链路上将只有三层报文流通,极大提高了网络带宽的利用率与网络的安全性。
高扩展性,在占用带宽较多的业务没有大规模应用时可以采用千兆上行连接核心交换机。
3、局域网内部的服务器通过千兆网卡连接核心交换机
随着应用量的增加,带宽占用的应用越来越多。
视频点播、大文件传输等内部应用需要通过千兆网卡直接连接核心交换机,性能可以得到充分发挥。
五、总体方案概述
本着以用为主的设计理念,利用局域网高带宽的天然优势,结合网络安全第一的设计思路,公司局域网将采用千兆上行连接核心交换机、千兆三层到桌面的高带宽、高安全性、高稳定性网络设计方案进行网络部署。
设备选用思路
根据以上总体设计原则以及网络设计原则来看,可以确定以下设备选用原则:
1、核心节点设计
网络的核心交换机是整个网络的交换中心,同时也是整网(LAN)的路由中心,全网绝大部分第三层操作(数据转发、服务器访问等)都通过核心交换机集中进行,其有效性通过核心交换机全线速的多层处理性能来实现保证。
所以核心交换机必须具备以下功能:
先进的体系结构:
采用全分布式体系结构设计,可进行高速路由查找,并通过Crossbar技术进行高速报文交换,可大大提升了路由交换机的转发性能和扩充能力,并可以通过软件设置工作在主备或负荷分担方式。
大容量、高密度线速交换:
考虑到核心交换机承载的局域网网络平台,应可提供高密度接口,支持线速转发。
此外在保持线速转发性能的基础上,支持多种接口,满足核心层设备高密度、高吞吐量的要求。
可管理:
能够提供强大的QoS保障,并支持丰富的ACL、策略路由、安全等特性。
考虑未来的升级,完全支持IPv4/IPv6双协议栈。
完善的安全机制:
核心交换机应支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证。
根据以上原则,公司局域网核心交换机采用H3CS5800-32C,汇聚层采用千兆SFP光模块联接,同时与互联网出口路由器通过GE链路连接。
2、厂区汇聚节点设计
厂区汇聚交换机是每个车间的交换中心,由于车间之间存在通过划分VLAN实现隔离与互访,而且第三层操作(数据转发、服务器访问等)也都会通过汇聚交换机集中进行,所以汇聚交换机除了具备三层功能之外,还必须具备先进的体系结构、大容量高密度端口线速交换、高可靠性设计、弹性堆叠扩展、精细化用户管理等特性。
3、流控管理
通过自行配置PANABIT流控服务器实现对公司内员工的上网行为进行简单管理,实现以下功能:
规范上网行为,员工工作效率高
基于IP地址组的管理方式,在工作时间通过上网行为管理功能,为不同部门的员工制定不同权限级别的管理策略。
即使没有专业的网管,也可以杜绝办公室沦为“网吧”或“游戏室”,从企业内部挖潜,大幅提高员工的工作效率。
能监控所有用户浏览网址的记录,并可禁止访问最热门的各类网站,它们包括:
休闲娱乐、新闻资讯、聊天交友、网络游戏、电子购物、论坛博客、证券基金、电子邮件、网上银行和不良网址等。
配合禁止通过IP访问网页、黑白名单以及跳转页面设置,全面管好企业内部的网站访问。
可以禁止员工在网络论坛上发帖,禁止登陆网页邮箱,保护公司的内部资料不被泄露。
过滤网址的关键字和文件后缀名,防止用户下载危险的文件,减少病毒来源。
轻轻松松管制QQ\MSN\飞信\SKYPE等聊天工具,并支持多个业务QQ号码的正常使用,这样既能满足正常业务开展,又能防止员工使用私人QQ闲聊。
能有效限制BT\迅雷\PPLIVE\电驴等P2P软件,封锁多种主流炒股软件,既能保证正常工作有足够的带宽,又能让员工专注工作,上班时间不分心。
合理分配带宽,网络不卡不掉线
通过对各类应用的深度识别、分类管理、分级处理,始终让企业关键业务走优先通道,其余流量都给他们让路,保证关键应用如:
视频会议、OA系统等永远都不卡!
同时还能把剩余带宽分配给其他用户或应用(例如文件下载、在线视频),实现带宽合理化、最大化的利用!
针对不同应用设置不同的带宽、连接数以及不同的数据优先级,保证公司的核心业务能得到有力的保障。
提升带宽使用率,真正做到物尽其用!
六、网络实施
(一)、整体结构策略
为使公司网络具有良好的可扩展性,为后期便于和集团公司及其他分公司联网组建公司专网。
因此在网络设计上采用以下策略
1、互联网接入和公司内部网络分离
将互联网接入部分和公司网络主体部分分离,每部分完成其自身的功能,可以减少两者的相互影响。
互联网接入方式的变化只影响互联网接入的配置,对公司内部网络没有任何影响,而公司内部网络结构的变化对互联网接入部分的影响较小,这样可以增强公司内部网络的可扩展能力,使公司网络方便维护管理,同时可以方便的和总公司或分公司并网运行。
2、统一网络、统一IP划分
在公司内部建立统一的IP地址划分标准,网络安全设置标准,统一的互联网接入。
使公司网络真正成为一个整体网络,便于公司网络信息管理和信息管理应用的实施。
3、按部门设置网络安全策略,隔离网络关联度,增强部门间网络安全
根据公司管理机构设置情况,将各个部门间的网络关联度进行合理设置,最大限度的减少不相关的部门网络间的相互影响,便于网络按部门管理,使公司内部可以在不同部门内部扩展网络应用,同时保证部门网络信息安全。
(二)、三层交换与VLAN结合
很多企业在网络设计初期采用二层交换技术的网络架构,核心交换机采用二层交换技术,在原先只有几十到100多台工作站的情况下,网络性能较理想。
但是随着网络规模在不断扩大,工作站增加到200台左右时,网络性能明显下降。
另外,对于这种网络,很容易发生诸如网卡故障等原因引起的网络广播风暴,而且一旦发生广播风暴,很难查找故障点,甚至导致网络瘫痪,网络维护工作量很大。
如果我们采用三层交换技术的网络架构,同时在局域网内划分若干VLAN(虚拟网)后,网络性能将大为改善。
这是因为三层交换技术就是“二层交换技术+路由转发”。
它解决了二层交换技术不能处理不同IP子网之间的数据交换的缺点,又解决了传统路由器低速、复杂所造成的网络瓶颈问题。
再配合VLAN技术将将局域网内的设备逻辑地而不是物理地划分成一个个不同的网段,从而实现虚拟工作组的技术。
这样有三个好处:
一是提高网络安全性,不同VLAN的数据不能自由交流,需要接受第三层的检验,因此,在一定程度上加强了虚网间的隔离,有效防止外部用户入侵,提高了安全性。
二是隔离广播信息,划分VLAN后,广播域缩小,有利于改善网络性能,能够将广播风暴控制在一个VLAN内部,同时使网络管理趋于简单。
三是增强网络应用的灵活性,VLAN是在一个有多台交换机的局域网中统一设定的,这使得用户可以不受所连交换机的限制,不论用户节点移动到局域网中哪一台交换机上,只要仍属于原来的虚网,则应用环境没有任何改变。
(三)、VLAN的划分规划
公司内部网络IP按部门和应用进行VLAN段划分,合理的VLAN划分可以减少网络内的广播数据包,提高网络运行效率,快速区分不同的应用和用户IP,方便公司的网络管理与维护。
按划分原则,将公司内每个部门划分到一个VLAN段,应用服务器划分到独立的VLAN段,具体地址划分如下:
10.0.0.0/8为集团公司全部地址空间
10.10.0.0/16为盛世全部地址空间
10.10.1.1—10.10.1.255为盛世网络设备管理地址范围
10.10.2.1—10.10.2.255为盛世应用服务器地址
10.10.10.1-10.10.127.255为盛世各部门地址空间
在公司内部网络IP地址段内,网络地址统一使用子网段的第一个可用地址作为该网段的网关地址。
部门VLAN划分如下:
序号
部门
VLAN
IP
网管
1
公司高层领导
10
10.10.10.0/24
10.10.10.1
2
办公室
11
10.10.11.0/27
10.10.11.1
3
监察审计部
12
10.10.12.0/27
10.10.12.1
4
产业开发部
13
10.10.13.0/27
10.10.13.1
5
环保科
14
10.10.14.0/27
10.10.14.1
6
仓库
15
10.10.15.0/27
10.10.15.1
7
技术部
16
10.10.16.0/27
10.10.16.1
8
运营中心
17
10.10.17.0/27
10.10.17.1
9
综合管理部
18
10.10.18.0/27
10.10.18.1
人力资源部
19
10.10.19.0/27
10.10.19.1
财务
20
10.10.20.0/25
10.10.20.1
工程保障部
21
10.10.21.0/27
10.10.21.1
资产管理部
22
10.10.22.0/27
10.10.22.1
安全管理部
23
10.10.23.0/27
10.10.23.1
催化车间
24
10.10.240/27
10.10.24.1
电修车间
25
10.10.25.0/27
10.10.25.1
机修车间
26
10.10.260/27
10.10.26.1
仪表车间
27
10.10.27.0/27
10.10.27.1
气分
28
10.10.28.0/27
10.10.28.1
汽柴油加氢车间
29
10.10.29.0/27
10.10.29.1
化验车间
30
10.10.30.0/27
10.10.30.1
调度部
31
10.10.31.0/27
10.10.31.1
油品、磅房
32
10.10.32.0/27
10.10.32.1
加制氢车间
33
10.10.33.0/27
10.10.33.1
焦化
34
10.10.34.0/27
10.10.34.1
硫磺
35
10.10.35.0/27
10.10.35.1
常减压
36
10.10.36.0/27
10.10.36.1
动力车间
37
10.10.37.0/27
10.10.37.1
七、综合布线
玉皇盛世公司内部网络包括公司办公楼和生产区两部分,核心设备安装于公司办公楼,由于办公楼和生产区的距离已超过双绞线布线的技术要求,因此办公楼和生产区采用24芯单模光纤进行布线,光缆终端熔接使用机架式24口终端盒加FC法兰耦合器,固定在1.2米网络机柜中,核心交换机和汇聚交换机间用单模SFP模块连接。
为合理利用原有线路资源,公司办公大楼继续使用原有网络线路作为内部网络链路,在计算机台数比较多的办公室原来使用的路由器只需进行适当的技术调整就可继续使用,端口不够的房间增加8口交换机。
。
在生产区新布放光缆,在第一中控楼、第二中控楼分别设一台汇聚交换机,生产区各车间的光缆铺设到就近的中控楼进行汇聚,车间到中控楼的光缆熔接使用12口终端盒加FC法兰耦合器固定在9U型标准壁挂机柜中,机柜要求有可固定交换机固定架,光缆转换使用百兆单模双纤收发器。
第二中控楼到动力技术员办公室,因布线困难,使用TL-WA7210N室外无线AP建立无线网桥,实现网络传输。
公司光缆铺设示意图
光缆分布清单表
起始地点
终止地点
光缆型号
大约长度
工时材料费(元/米)
办公楼
第一中控楼
单模24芯
550
第二中控楼
1100
单模12芯
600
销售大楼
200
餐厅
250
300
450
400
化验
150
油品车间
500
南磅房
700
磅房1
磅房2
合计
5500
光缆布线材料辅料熔接工时合计共约需5万元。
八、主要网络设备选型
1、核心交换机
H3CS5800-32C
2、汇聚交换机
H3CS5120-28P-SI
3、接入交换机
H3CS5024E
4、主路由器
H3CER8300
5、备用路由器
H3CER6300
6、服务器
联想ThinkserverTS240S1225V34/1TO
7、收发器
15KM百兆单模双纤SC口
8、交换机光模块
H3C单模千兆SFP光模块
9、无线网桥
TL-WA7210N
10、桌面交换机
D-Link百兆8口交换机
设备名称
型号
数量
参考价
核心交换机
H3CS5800-32C
20000
汇聚交换机
4500
9000
接入交换机
H3CS5024P
2800
22400
主路由
6000
备用路由
4000
服务器
联想ThinkserverTS240
10000
收发器
百兆单模双纤SC口
3600
光模块
H3C单模千兆SFP模块
无线网桥
1200
桌面交换机
D-Link百兆8口
80
1600
机柜
1.2米标准机柜
1500
壁挂机柜
9U标准机柜
2000
尾纤跳线
单模FC-SC
40
单模FC-LC
160
85460
整个工程总费用:
普税总费用约14万。
含17%的增值税发票后总费用约15.5万。
办公信息交流系统
一、建立信息交流系统的作用
我公司建立完善的网络系统的目的是规范公司信息管理,方便公司内部信息交流。
我公司内部要实现信息交流与传递就必须建立公司内部信息系统,信息交流系统具有一下作用:
1、实现个部门间有效率、有组织管理,用高清组织构架让新老员工快速融入企业,让工作快速展开,实时到人、精确到点,便于工作高效展开。
2、对于行政上的人员调动,可以方便的进行考核和面试,提高了管理水平,节约了考核费用和时间。
3、利用网络电话、新闻营销、网络传真等辅助办公工具,低成本高效率开展推广工作,迅速扩大企业知名度同时减少不必要硬件成本支出和维护费用。
4、即时消息功能,在办公途中还可利用视频、语音、广播、图片及文件传输等辅助手段,为重大问题提供做多交流参考途径,避免人工传输途中的信息延迟与失真,保障工作质量。
5、方便的进行扩容,最好支持级联,可以进行的扩容。
传统的OA系统能够帮助企业提高办公效率,减少纸张等资源的浪费,提高文件存储、查询和流转的效率。
但是,企业各级管理者对决策信息的需求和共享,打破部门间的壁垒并实现协同,理顺和优化企业关键管理流程等管理要求,传统OA系统显然是不能满足的。
OA、ERP、HRM、CRM、FM等系统分别解决的是企业某一方面的业务问题,但一个企业实际上是一个快速运转的综合生态系统,需要把人、财、物等资源有效协同,实现高效、健康、稳定的发展。
二、解决方案
本着节约的原则,计划使用通达OA企业版。
该系统是一款以企业OA系统为基础增加内部即时通讯功能,融合办公协同、IT系统集成,有效提升组织效率的企业级智能通信办公平台。
系统以组织架构为基础,通过科技创新不断整合在线状态、即时消息、企业邮局、短信、视频会议以及语音/视频、文件云存储+云管理、工作群/组等多种沟通方式,以企业内部商务协作、企业管理、IT系统集成为应用,帮助企业实现"
随时、随地、随身"
的交流,"
可管、可控、可视"
的管理、"
一站式"
"
全方位"
的办公应用。
根据我公司的网络及办公环境、沟通需求等情况选择将服务器部署在内部局域网中。
OA服务器局域网部署拓扑图
将通达OA服务端部署在一台置于公司内部网络(局域网)中的服务器主机上,其与客户端链接的IP只需是局域网固定IP即可。
实现成员PC在无需Internet的情况下进行沟通和办公,并断绝了所有来自于互联网的人为或非人为的信息安全、网络安全等问题,局域网部署相对互联网部署其投入成本也更低。
系统特点
1、纯商务性
非QQ非私人,纯商务不再担心员工公器私用,
升级会员 