新办公大楼《网络通讯门禁系统实施方案》的请示课稿.doc

内部通启 至：总裁室 由：xxx新办公大楼筹备工作小组 时间：2011年8月18日 事宜：关于xxx新办公大楼“网络、通讯、门禁系统实施方案”的请示 根据[“关于1名网络管理员负责。经沟通商洽，该项工作主要由xxx负责统筹。 前期，上述责任人已经制定了《网络及电话业务方案》初稿，并筹备工作小组专题会议讨论。因初稿中缺少对各公司业务需求分析，各公司也未对网络及电话的数量进行统计，因此，方案的内容存在较大的不确定性。为使方案切实可行，经筹备工作小组研究决定，在各公司提供准确的网络及电话端口数量基础上，由责任人对各公司的业务功能等进行分析，从专业角度提出意见建议，并对方案内容作进一步补充完善。 为便于后续工作的开展，现将xxx办公大楼《网络、通讯、门禁系统实施方案》（见附件）予以上报，筹备工作小组将根据公司批示意见组织开展相关工作。 附件 xxx新办公大楼网络、通讯、门禁系统实施方案 第一部分 网络系统解决方案 一、现状： xxx公司为百兆网络，均采用电信ADSL线路上网，网络带宽各为12M，集团公司电脑数量38台，无核心业务。xxx公司含工地项目部共64台电脑，核心业务有售楼系统、档案管理系统等，售楼系统目前给恒丰海悦托管。电脑数量30台，核心业务有信贷系统，后期考虑增加财务系统。 二、需求： 建立快速、高效、稳定、安全、可视化、便于管理、高扩展性强的办公网络，整个网络采用千兆核心千兆桌面。 三、系统方案 1、无线网络 采用无缝覆盖方式，无缝覆盖能够增大员工接入网络的范围，提供更大的接入便利性，无线局域网接入点采用瘦AP（Access Point）工作模式。 瘦AP由无线控制器集中配置减少了无线客户端和AP的时间，可以实现如手持终端，笔记本电脑等无线适配器在无线网络里面进行快速的切换，进而实现快速漫游的功能，而无需安装客户端软件。 2、有线网络 xxx公司按照最大96个有线网络节点，实际接入点74个，独立机房规划。xxx与xxx按照144个网络节点进行规划，集团实际接入61个网络端口，地产实际接入71个网络端口。 网络接入方式选用电信ADSL，小额公司与集团地产各12M,后期根据公司业务情况考虑采用光纤接入。小额与集团上网线路互为备份。保证网络出现故障有冗余线路。 光纤接入特点是传输容量大，质量好，损耗小，上行与下行均享有同等的带宽。ADSL是一种非对称数字 在整个网络运行时，如Cisco catalyst 3560G出现故障，将导致整个网络瘫痪，故在网络核心增加一台相同的设备做冗余，即可解决该问题，还可以起到负载均衡的作用，见下图。 方案考虑到网络安全存在的问题，在网络出入口部署防火墙，防火墙对流经它的网络通信进行扫描，能够过滤掉一些攻击，防火墙还可以关闭不使用的端口，具有很好的保护内网作用，入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。另外在该网络方案中还部署了一台上网行为管理系统，该系统可防止带宽资源滥用，管控外发信息，降低泄密风险，提升上网速度和网络办公应用的使用效率。 网络规划应考虑后期业务扩展，网络系统的维护等。整个网络规划依托Cisco产品为核心的网络架构，其中涉及网络拓扑各接点所需要使用的产品型号，IP地址规划、各公司部门规划、无线接入、远程接入等。将Juniper SRX 240防火墙对内网进行安全域的划分，在不同的区域加载防护功能，最大程度保证网络安全。网络由Cisco catalyst 3560G三层以太交换为核心来处理数据流量，根据楼层和功能配置VLAN，增强网络安全性、抑制广播风暴。 当广播数据充斥网络无法处理，并占用大量网络带宽，导致正常业务不能运行，甚至彻底瘫痪。广播风暴一旦产生，网络将无法访问，严重时甚至会冲坏网络设备，如交换机等。广播风暴的产生有多种原因，如蠕虫病毒、交换机端口故障、网卡故障、链路冗余没有启用生成树协议、网线线序错误或受到干扰等。从目前来看，蠕虫病毒和ARP攻击是造成网络广播风暴最主要的原因。 防止网络被滥用，部署一套上网行为管理设备，对办公用户日常上网的行为加一控制和审计，以便日后有关机构或上级领导有据可查。 五、方案实施描述 将Juniper SRX 240防火墙配置成路由/NAT模式。重新对内网进行安全域的划分，分为非信任、信任、DMZ等区域，然后在不同的区域加载防护功能，最大程度保证安全。 中心使用两台Cisco catalyst 3560G三层以太网交换机做双机，根据楼层和功能配置四个vlan，将公司内网划分四个网段，分别是/24、/24、/24、/24，各个网段之间的访问通过3560G三层交换机之间进行交换；（根据内网安全技术要求，公司的内部应该合理的划分多个VLAN，每个vlan能容纳的PC数量建议在25-50之间，划分的各个vlan，