企业网核心系统建设项目方案

企业网核心系统建设项目方案第1章概述当今时代，企业信息化与企业的生命力息息相关。企业的各种业务数据应用、每一台服务器、每一台计算机不仅创造着企业的竞争力，也记录着公司的核心价值。企业的不断成长和发展也需要企业信息建设的不断健全和完善。1.1背景分析集团有限公司成立于1999年，总部注册在北京，信息系统分布在全球，涵盖所有分支机构。北京数据机房作为信息系统的中心，连接了企业大部分员工和大部分服务器，部署了ERP、OA、域管理、CAD制图等系统。拓扑示意图如下：1.2现状描述集团互联网接入，通过单条电信通20M光纤线路接入到一台Ciscoasa5550防火墙，通过深信服上网行为管理设备优化集团内部互联网访问质量。集团数据中心现有一台核心交换机cisco4507，包括服务器在内的所有网络统一通过cisco4507完成数据转发工作。接入设备十台，其中八台H3C3600、一台cisco3560及一台cisco2960交换机，组成信息中心千兆骨干网。VPN系统：分别使用深信服和CISCOASA搭建两套SSLVPN平台，CiscoSSLVPN主要提供Cisco语音电话、PC客户端接入到总部网络，深信服SSLVPN（采购与2008年，对较高版本IE支持较差，且不能通过升级解决），负责目前所有员工在办公区外边访问信息系统；深信服IPSEC连接总部及部分分支机构。无线：CISCOWLC2504和CISCOAIR1142分别于接入层cisco3560连接，采用单台radius服务器验证（2012年3月完成的部署，目前radius存在不稳定情况）。目前无线AP一二楼办公区各有4个，独立办公室区、会议室等还有4个APVOIP：北京总部CISCO7942G话机与接入层CISCO2960连接，Callmanager服务器MCS7825I5-K9-CMD3A,语音网关C2921,通过E1接口与hipath4000PBX落地。在公司内部使用Csico硬电话需要用到ciscovoiceVLAN协议，需要在Cisco交换机或路由器上连接才可以使用。监控系统：简单的监控系统，包括行为管理、IPSEC线路、syslog、线路流量。1.3项目建设目标1）本次项目形成支持未来信息化发展，设计、搭建以北京为中心的核心网络系统基础；2）结合现有情况，综合考虑，使核心网络系统具有安全性、可扩展性。3）提升核心系统性能及承载能力，满足未来三年的使用需求；4）解决网间互联问题，保障信息系统的访问速度，提高办公效率；5）配合未来信息化全球部署，设计以香港为第一个落脚点的建设方案；6）完善XX国内企业网建设，实现1个分支机构通过专线方式接入企业网；7）构建专业的IT运维平台，提升网络系统管理能力，主动发现问题的能力。1.4项目建设原则多业务网络系统方案以实现以上功能为基本要求，在设计上力求做到既要采用国际上先进的技术，又要保证系统的安全可靠性和实用性。具体来讲，其设计遵循以下原则：1.4.1先进性系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术，符合国际标准和规范；1.4.2标准性所采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。全面支持IEEE工业标准：802.1d，802.1p，802.1q，802.1x，802.3，802.3u，802.3z；支持路由协议：IP的RIPV1/2，OSPF，BGP-4；信令标准：H.323,RTP/CRTP.支持：IPsec、L2TP、GRE、MPLS-VPN规范。支持多址广播协议：IGMP，DVMRP，PIM-DM，PIM-SM；网络管理协议：SNMP，RMON，RMON2；1.4.3兼容性跟踪世界科技发展动态，网络规划与现有光纤传输网及将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。1.4.4可升级和可扩展性随着技术不断发展，新的标准和功能不断增加，网络设备必须可以通过网络进行升级，以提供更先进、更多的功能。在网络建成后，随着应用和用户的增加，核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择，以方便未来更灵活的扩展。1.4.5安全性网络的安全性对网络设计是非常重要的，合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问，灵活的实施网络的安全控制策略。在企业园区网络中，关键应用服务器、核心网络设备，只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限，网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模园区网络的设计上，划分虚拟子网，一方面可以有效的隔离子网内的大量广播，另一方面隔离网络子网间的通讯，控制了资源的访问权限，提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力，使网络可以任意连接，又可以从第二层、第三层控制网络的访问。可管理性1.4.6可靠性本系统是7x24小时连续运行系统，从硬件和软件两方面来保证系统的高可靠性。硬件可靠性系统的主要部件采用冗余结构，如：传输方式的备份，提供备份组网结构；主要的计算机设备（如数据库服务器），采用CLUSTER技术,支持双机或多机高可用结构；配备不间断电源等。软件可靠性充分考虑异常情况的处理，具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示；并具有进程监控管理功能，保证各进程的可靠运行数据库系统应。网络结构稳定性当增加/扩充应用子系统时，不影响网络的整体结构以及整体性能，对关键的网络连接采用主备方式，已保证数据的传输的可靠性。本系统应具有较强的容灾容错能力，具有完善的系统恢复和安全机制；1.4.7易操作性提供中文方式的图形用户界面，简单易学，方便实用。优良的性能价格比。系统应着重考虑和满足以上的设计要求。1.4.8可管理性络的可管理性要求：网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态，故障报警等都可以通过网管平台进行监控，通过网络管理平台简化管理工作，提高网络管理的效率。在进行网络设计时，选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置，网络拓扑结构表示，网络设备的状态显示，网络设备的故障事件报警，网络流量统计分析以及计费等。网管软件的应用可以提高网络管理的效率，减轻网络管理人员的负担。网络管理的目标是实现零管理，基于策略的管理方式，网络管理是通过制定统一的策略，由管理策略服务器进行全局控制的。基于Web的网管界面，是网管软件的发展趋势，灵活的操作方式简化了管理人员的工作。在设计园区网的设备选择上，要求网络设备支持标准的网络管理协议SNMP，同时支持RMON/RMONII协议，核心设备要求支持RAP(远程分析端口)协议，实施充分的网络管理功能。在设计园区网的原则上应该要求设备的可管理性，同时先进的网管软件可以支持网络维护、监控、配置等功能。第2章工程实施阶段2.1到货验收到货验收主要是检查设备数量是否符合招标书、合同的要求。2.1.1到货验收说明我公司提供设备原产地出厂、离岸、入关等证明文件，必须保证是合同签订后最新出厂（含规定版本的正版操作系统）的产品。我公司在设备到货后配合项目建设单位进行开箱检查；我公司在设备到货后配合项目建设单位依合同要求对所供全部设备的型号、规格、数量、外形、包装及资料、文件（如装箱单、保修单、随箱介质等）进行到货验收；并向客户提供设备质量保证书等相关文档资料。当出现上述证明文件不完整或相关手续不全、初验时出现不是最新出厂的产品或不符合合同要求的严重质量问题时，项目建设单位有索赔及退货权利；当出现设备损坏、数量不全或产品不符等问题时，由我公司负责免费解决；设备检验/检测通过后，由最终用户开具《设备到货验收合格单》。2.1.2到货验收地点本次设备的到货验收地点按照客户在合同中的规定。2.1.3到货验收程序我公司将在合同规定的交货期内提供所有产品，并在交付前提前7天通知用户；按照用户指定的安装地点进行产品交付。我公司对所交付的产品及部件按照最新的国际生产标准，提交生产厂家的检验证书；所交付的产品应包括合同中列出的全部配件、相关资料以及装箱单等。开箱检验，货物开箱后,目测产品应无损伤；核对货物清单,检查交付货物的型号、数量以及相关配件；货物外观受损，货物包括附件与合同货物清单或装箱单不符视为检验不合格。加电测试，对货物进行加电测试，确认产品能正常工作。设备上架工作可根据最终用户需要由供应商完成。若通电不能正常工作，视为检验不合格。判断设备正常工作的标准为：设备加电后，系统能够正常启动，可通过图形管理界面检查缓存数量、License等内容。特殊产品，对安装有特殊要求的产品，我公司将在产品安装前30天，以书面形式通知最终用户，向最终用户提出安装场地环境要求，并对最终用户就安装场地环境准备向最终用户提供技术咨询。2.2现场安装调试在进行设备摆放及安装以前应首先对设备布局规划图进行检查，设备的布局应满足设备安装调试和设备维护方便为前提进行合理布局，以达到设备布局完美的效果，同时设备的摆放应与前面保持一定的距离。2.2.1设备上架安装在进行设备上架和安装调试以前，我司工程师将先对整个施工的过程进行统筹设计，以便整个施工过程可控。其中最为重要的就是设备的安装与调试的过程与步骤，我司将针对每个环节设计出相应的应急措施，以保障系统实施在设备安装与调试的过程能顺利进行。在设备的安装调试的施工过程当中，工程师将严格安装设备布局图将设备安装到相应的位置。安装过程中注意设备轻放，避免猛力撞击。设备的安装要以设备的连接有序为前提，避免由于设备的安装不当造成下一步的设备连接线缆杂乱无序，对以后的维护和故障处理带来很大的麻烦。2.2.2设备加电测试在设备安装完成并检查无误以后，对设备进行加电检测，查看设备通电以后各项指示灯是否正常工作。检查电源、风扇工作情况以及噪音情况。从而判断设备是否存在故障。2.2.3设备连接调试设备的连接将根据系统拓扑图和物理连接图进行连接，同事在连接线缆上做好对应标签，以便以后维护和排故方便。设备的连接应参考设备的使用手册，防止连接端口错误。2.2.4设备集中配置调试按照实施以前和用户所确认的实施方案将所有网络设备集中进行设备的配置与调试，其中包括IP地址分配、交换机VLAN的划分、路由策略的部署、访问控制策略的部署等。2.3施工队伍2.4故障处理记录第6章测试及验收6.1测试目的通过试运行和测试，可以比较确切而公正合理地评价整个网络项目。从而来检验整个项目是否符合合同和方案设计的要求。评测整个网络和系统的连通性，稳定性，可用性，安全性等。评测整个网络所使用设备的可靠性，稳定性，健壮性和质量性能。评测整个网络和系统的参数设置和优化的合理性。6.2测试内容网络连通性测试。需要测试的设备：SLLVPN，IpsecVPN，上网行为管理，核心交换机，专线路由器，负载均衡，无限网络设备，语音设备，信任区服务器，DMZ服务器，分公司边界设备。网络设备的硬件性能测试。需要测试的设备：SLLVPN，上网行为管理，核心交换机，专线路由器，负载均衡，远程网络管理测试。需要测试的设备：SLLVPN，IpsecVPN，上网行为管理，核心交换机，专线路由器，负载均衡，防火墙vpn隧道协商测试。需要测试的设备：各分公司VPN设备，防火墙核心交换机双机热备测试。需要测试的设备：两台Cisco6905c核心交换机1.1测试标准本项目招投标文件、国家及省、市其它有关质量规范（标准）的要求《计算机网络检测与评估》DB37/T291-2000采用网络工程建设中基准测试标准。与用户协商确定测试标准。1.2测试人员建设方技术负责人：承建方技术负责人：第2章测试方法2.1网络