新办公大楼《网络、通讯、门禁系统实施方案》的请示..

内部通启

至：总裁室

由：xxx新办公大楼筹备工作小组

时间：2011年8月18日

事宜：关于xxx新办公大楼“网络、通讯、门禁系统实施方案”的请示

根据[“关于上报《xxx新办公大楼合署办公综合工作实施方案》的请示”文件批复精神，财富港新办公大楼筹备工作小组按计划组织开展了各项筹备工作。

根据上述文件批复精神，新办公大楼的网络、通讯等业务主要由恒丰海悦电脑部及恒丰地产各派1名网络管理员负责。经沟通商洽，该项工作主要由xxx负责统筹。

前期，上述责任人已经制定了《网络及电话业务方案》初稿，并筹备工作小组专题会议讨论。因初稿中缺少对各公司业务需求分析，各公司也未对网络及电话的数量进行统计，因此，方案的内容存在较大的不确定性。为使方案切实可行，经筹备工作小组研究决定，在各公司提供准确的网络及电话端口数量基础上，由责任人对各公司的业务功能等进行分析，从专业角度提出意见建议，并对方案内容作进一步补充完善。

为便于后续工作的开展，现将xxx办公大楼《网络、通讯、门禁系统实施方案》（见附件）予以上报，筹备工作小组将根据公司批示

意见组织开展相关工作。

附件

xxx新办公大楼网络、通讯、门禁系统实施方案

第一部分网络系统解决方案

一、现状：

xxx公司为百兆网络，均采用电信ADSL线路上网，网络带宽各为12M，集团公司电脑数量38台，无核心业务。xxx公司含工地项目部共64台电脑，核心业务有售楼系统、档案管理系统等，售楼系统目前给恒丰海悦托管。电脑数量30台，核心业务有信贷系统，后期考虑增加财务系统。

二、需求：

建立快速、高效、稳定、安全、可视化、便于管理、高扩展性强的办公网络，整个网络采用千兆核心千兆桌面。

三、系统方案

1、无线网络

采用无缝覆盖方式，无缝覆盖能够增大员工接入网络的范围，提供更大的接入便利性，无线局域网接入点采用瘦AP（Access Point）工作模式。

瘦AP由无线控制器统一集中配置管理，其优点减少了无线客户端和AP的关联时间，可以实现如手持终端，笔记本电脑等无线适配器在无线网络里面进行快速的切换，进而实现快速漫游的功能，而无需安装客户端软件。工作示意图。

2、有线网络

xxx公司按照最大96个有线网络节点，实际接入点74个，独立机房规划。xxx与xxx按照144个网络节点进行规划，集团实际接入61个网络端口，地产实际接入71个网络端口。

网络接入方式选用电信ADSL，小额公司与集团地产各12M,后期根据公司业务情况考虑采用光纤接入。小额与集团上网线路互为备份。保证网络出现故障有冗余线路。

光纤接入特点是传输容量大，质量好，损耗小，上行与下行均享有同等的带宽。ADSL是一种非对称数字线路，上行和下行带宽不对称，光纤比ADSL传输速度快、带宽高，可达到用户任意带宽，比如10M甚至2G，价格高于ADSL价格的10倍以上。ADSL最大带宽理论上为12M，上行最大为512K，上述该数据咨询过中国电信工程人员。

四、规划方案

网络方案按照目前行业使用最广的网络拓扑进行规划，见下图。将核心层与汇聚合二为一，规划设计布局合理，网络通讯性能稳定、安全、可靠，网络规划性价比高。

在整个网络运行时，如Cisco catalyst 3560G出现故障，将导致整个网络瘫痪，故在网络核心增加一台相同的设备做冗余，即可解

决该问题，还可以起到负载均衡的作用，见下图。

方案考虑到网络安全存在的问题，在网络出入口部署防火墙，防火墙对流经它的网络通信进行扫描，能够过滤掉一些攻击，防火墙还可以关闭不使用的端口，具有很好的保护内网作用，入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。另外在该网络方案中还部署了一台上网行为管理系统，该系统可防止带宽资源滥用，管控外发信息，降低泄密风险，提升上网速度和网络办公应用的使用效率。

网络规划应考虑后期业务扩展，网络系统的维护等。整个网络规划依托Cisco产品为核心的网络架构，其中涉及网络拓扑各接点所需要使用的产品型号，IP地址规划、各公司部门规划、无线接入、远程接入等。将Juniper SRX 240防火墙对内网进行安全域的划分，在不同的区域加载防护功能，最大程度保证网络安全。网络由Cisco catalyst 3560G三层以太交换为核心来处理数据流量，根据楼层和功能配置VLAN，增强网络安全性、抑制广播风暴。

当广播数据充斥网络无法处理，并占用大量网络带宽，导致正常业务不能运行，甚至彻底瘫痪。广播风暴一旦产生，网络将无法访问，严重时甚至会冲坏网络设备，如交换机等。广播风暴的产生有多种原因，如蠕虫病毒、交换机端口故障、网卡故障、链路冗余没有启用生成树协议、网线线序错误或受到干扰等。从目前来看，蠕虫病毒和ARP攻击是造成网络广播风暴最主要的原因。

防止网络被滥用，部署一套上网行为管理设备，对办公用户日常上网的行为加一控制和审计，以便日后有关机构或上级领导有据可查。

五、方案实施描述

将Juniper SRX 240防火墙配置成路由/NAT模式。重新对内网进行安全域的划分，分为非信任、信任、DMZ等区域，然后在不同的区域加载防护功能，最大程度保证安全。

中心使用两台Cisco catalyst 3560G三层以太网交换机做双机，根据楼层和功能配置四个vlan，将公司内网划分四个网段，分别是172.16.100.0/24、172.16.110.0/24、172.16.130.0/24、172.16.140.0/24，各个网段之间的访问通过3560G三层交换机之间进行交换；（根据内网安全技术要求，公司的内部应该合理的划分多个VLAN，每个vlan能容纳的PC数量建议在25-50之间，划分的各个vlan，分别下连Cisco catalyst 2960G-48端口二层接入交换机，用以下接桌面用户电脑。

Cisco catalyst 2960G POE交换机，将公司内部服务器另接起来，挂在出口Juniper 防火墙的DMZ区域。WEB、FTP等服务可以通过防火墙的端口映射功能发布。

网康NI3410上网行为管理设备，对办公用户日常上网的行为加一控制和审计，以便日后有关机构或上级领导有据可查。

各个楼层部署优科公司的Zone Flex 2942无线接入点。通过优科公司的智能Wi-Fi天线阵列专利技术可以轻易的部署一个比普通AP覆盖面积大2-4倍的智能WLAN。

第二部分语音通讯系统解决方案