篇一:网络改造方案完整版
WORD格式可编辑
网络改造设计方案
建议报告
2018年
2月
公司网络现状及需求分析
专业知识整理分享
WORD格式可编辑
1.1前言
当今社会已步入信息社会,信息成为社会经济发展的核心因素,信息化已成为当今世界潮流。自从
1993年美国政府公布实施“信息高速公路计划”之后,在世界引起巨大反响,许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。
信息技术作为新技术革命的核心.不仅具有高增值性、成为最具经济活力的经济增长点,而且具有高渗透性,以极强的亲和力和扩散速度向经济各部门渗透,使其结构和效益发生根本性改变。信息化已成为当代经济发展与社会进步的巨大推力,尤其是作为国民经济信息化基础的企业信息化,当前更显得尤为重要,信息化建设已成为企业发展的必由之路。信息化是企业加快实现现代化的必然选择!
随着信息时代的到来,企业的生存和竞争环境发生了根本性的变化。对于大型企业而言,信息化无论是作为战略手段还是战术手段,在企业经营中发挥着举足轻重的作用。
随着近年来企业信息化建设的深入,企业的运作越来越融入计算机网络,企业的沟通、应用、财务、决策、会议等等数据流都在企业网络上传输,构建一个“安全可靠、性能卓越、管理方便”的“高品质”大型企业网络已经成为企业信息化建设成功的关键基石。
1.2背景分析
公司的网络改造是公司为了适应新形势下企业激烈竞争,提高公司核心竞争力的一项具有战略意义的举措。成功的网络改造将使我公司能够在较长时间里在高科技领域竞争中继续保持科技优势,从而推动各项业务水平的快速发展。
公司的网络现状如下图
专业知识整理分享
WORD格式可编辑
:
专业知识整理分享
WORD格式可编辑
伴随着公司的飞速发展,越来越多的分支机构单位和业务系统接入到网络当中,造成公司网络规模不断扩张,网络结构也越来越复杂,而陈旧的网络核心设备和庞大的网络架构,也带来网络骨干性能不足、IT
运维监控滞后、服务器负载效率低下、网络安全隐患众多等一系列问题,目前,我公司网络系统面临问题的详细情况如下:
1、核心设备陈旧
网络核心
S6506厂家已停产,无法进行板块扩容,也没有备品备件,且
S6506已在线运行多年,一旦出问题网络瘫痪后无法第一时间迅速恢复。
专业知识整理分享
WORD格式可编辑
2、网络架构复杂网关错位
整体网络架构没有进行统一规划,多级串联现象严重,造成网络结构庞杂,增加了很多网络传输延迟和故障节点。
3、运维监控滞后
无法对网络流量进行实时监控和回溯审计,造成盲目的“黑盒运维”---无法及时准确地掌握网络整体性能、应用负载,并进行针对性的调优,更无法准确定位网络异常原因,排查网络故障和隐患。
4、网络性能存在瓶颈
现有网络骨干是百兆网络局域网,但网络吞吐约
200G/天,流量峰值是
200M/S,平均流量为
80M/S,其中流量吞吐最大的是
192.168.8.1的营销系统服务器,而一旦局域网中出现
P2P、大文件传输、视频流媒体等数据流,正常业务的带宽就会受到挤占和消耗,造成网络访问拥塞,出现延时大,响应慢等现象。
5、业务系统性能待调优
首先是
OA系统因为访问量少,所以响应快,延时小,性能最好。
其次是营销系统,在业务高峰时期会有上万(约
13000左右)的并发会话,此时服务器性能和网络非常吃紧。
接着是财务
NC
系统,因为服务器挂在云端,本地是通过
VPN
去进行访问,导致服务器访问性能在广域网传输过程耗损较多,所以,交互质量差的应用会话比例很高,系统整体性能较差。
最后是集抄系统,该业务系统虽然整体流量不大,但总体性能表现并不高,这跟两台服务器没有很效地对访问请求进行负载分担有一定关系。
6、网络存在安全隐患
网络中存在一些病毒木马、端口扫描、未知异常广播等网络安全隐患,干扰正
专业知识整理分享
WORD格式可编辑
常网络通信,影响数据传输,并可能造成数据泄密、业务系统无法运转等风险。
7、监控流媒体挤占正常业务带宽
专业知识整理分享
WORD格式可编辑
平时的业务数据和监控流媒体数据混在网络中一起传输而未被分开,会导致视频监控数据挤占正常业务带宽通道进行传输,极大造成了局域网带宽资源浪费,影响业务传输质量。
8、运维组织有待完善
分支机构接入较多,私接串接导致故障现象屡见不鲜,使运维人员应接不暇,需从制度上和技术上,加强运维组织管理。
1.3用户需求
骨干网络高性能、高稳定性需求
网络骨干包括网络的核心层和汇聚层,是整个网络流量的承受者和汇聚者,因此对骨干网络高性能、高稳定性提出了高的要求。为了提高设备的可靠性和稳定性,可采用骨干网络冗余设计,能够实现设备的热备和失效自动切换。
网络安全性需求
网络安全包括网络级、系统级、用户级、应用级的安全,在网络级,需要利用防火墙的过滤与隔离功能,将信任网络(内网)和不信任的网络(外网)隔离开来,并利用防火墙或出口路由器的NAT(网络地址转换)功能,对外屏蔽内网的网络拓扑信息,从而避免整网受到外来攻击。
在网络内部,根据用户的网络使用需求,将用户和网络资源划分为不同的VLAN,在
VLAN间根据需求启用相应的ACL(访问控制列表),从而保证用户的物理隔离和资源访问的安全。
网络监控管理分析需求
在不影响关键业务运行的前提下,收集分析网络流量中的应用信息,网络管理员可以定义、监控并评估网络连接性、安全性和性能策略,并进行网络的规划和设计,并且能够使管理员了解计算机网络系统的整体状况,可监控到来自网络内
专业知识整理分享
WORD格式可编辑
部和外部的“黑客”入侵,能够为查明入侵的来源提供有效的依据,直观的显示各种网络流量运行状态,并对各种异常情况
专业知识整理分享
WORD格式可编辑
实现自动报警。
1.4设计思路
公司网络设计为三层结构,系统的设计应充分利用当今先进的网络技术,实现网络数据高速有序流通,建立高效率的信息网络平台,形成各个部门内外相联、上下贯通的信息传输网络。
改造后的我公司网络平台应是一个技术先进、性能可靠、功能齐全的系统,系统内的各级用户在各自权限内,在各自站点上进行各自的工作,满足网上语音、视频、监控等多种应用,为集团业务发展提供一个稳定的信息高速公路基础平台。
1.5建设目标
尽量保留现有网络中的设备,在确保公司正常业务使用的前提下减少公司投资。
不仅要考虑到如何实现数据的高性能传输,还要充分考虑网络的冗余与可靠,让系统在运行过程发生故障时,能迅速恢复正常工作,避免造成企业经济损失。
改造后的网络系统具有良好的可维护性与可管理性,让管理员通过智能化分析工具后对网络运行状况了如指掌,高效率地处置运行故障与安全威胁。
为公司网络基础设施的未来发展提供良好的扩展接口,让网络核心骨干随着公司规模的扩大、业务的增长,便于进行系统的扩展和升级。
1.6设计原则
在整个网络改造设计过程中,力求尽量利用现有资源的基础上进行改造,严格遵循网络规范和设计原则,为用户打造一个稳定,安全的网络环境,具体考虑到
专业知识整理分享
WORD格式可编辑
以下的各个方面。
1、稳定性
网络的可靠性和稳定性非常重要,决定着网络能够正常运行,在网络设计时,不论是网络节点、通信线路、应用设备还是网络拓扑的设计,都应该对可靠性和稳定性加以考虑,尽量减少故障节点,确保系统运行可靠。
2、先进性
设计网络系统的目的主要就是应用。因此,在设计时应当以注重实用和成效为原则,紧
专业知识整理分享
WORD格式可编辑
密结合具体应用的实际需要。在技术上应该采用先进的网络技术和网络产品,选择技术成熟和实用效果好、市场占有率高、通用性好的设备,适应信息技术的迅速发展,具有良好的技术先进性。
3、安全性
对于内部网络以及外部访问的安全必须高度重视,设计部署可靠的系统安全解决方案,避免安全隐患,采取防攻击、防篡改等技术措施,管理和技术并重,全方位构建整个网络安全保障,保证数据和服务器的安全。
4、可管理性
考虑到网络系统的后期管理和维护,在方案设计中要充分考虑各个设备和系统的可管理性,使系统建成后易于管理、易于维护、操作简单、易学、易用,有效地提高对网络的管理,便于管理人员进行配置和处理故障。
5、可扩展性
着眼长远考虑,不但满足当前需要,并能满足后期扩展的需要,充分考虑今后网络的发展,预留升级和扩充余量,能够兼容不同厂家、不同类型的网络产品及应用软件,便于向更新技术的升级与衔接。
6、经济性
本次系统改造建设中,要充分考虑原有系统资源的有效利用,发挥原有设备资源的价值,本着以最少的改造成本,获得最大的改造效果。对一些运行良好的硬件设备及应用软件要加以保护并合理利用,节省一部分投资。另外,对于新增的设备,要尽量选择技术成熟可靠、性价比较高的设备,达到实用、经济和有效的效果。
1.设计依据及标准
本次网络改造方案设计参考的标准和依据包括:
专业知识整理分享
WORD格式可编辑
信息及网络系统设计标准
《信息技术通用多八位编码字符集(UCS)》(GB13000.1)?
《信息技术系统间远程通信和信息交换
局域网和城域网》(GB15629.11-2003)?
《信息处理系统光纤分布式数据接口》(ISO
9314-1:1989)?
《光纤分布式数据接口(FDDI)高速局域网标准》(ANSIX3T9.5)
《通信光缆的一般要求》(GB/T7427-87)
专业知识整理分享
WORD格式可编辑
结构化布线系统设计标准
《建筑和建筑群综合布线系统工程设计规范》(GB/T50311-2006)?
《建筑和建筑群综合布线系统工程验收规范》(GB/T50312-2006)?
《信息技术用户建筑群通用布缆》
(ISO/IEC11801:2002)?
《信息技术用户建筑群布缆的实施和运行》(ISO/IEC14763-1:1999)?
《信息技术用户建筑群布缆配置》(ISO/IEC14709-1:1997)?
《信息技术用户建筑群布缆的通路和空间》(ISO/IEC18010:2002)
《光纤总规范》(GB/T15972.2-1998)?
《民用建筑通讯通道和空间标准》(EIA
TIA569)信息安全设计标准
《计算机软件配置管理计划规范》(GB/T12505--1990)
《计算机信息系统安全保护等级划分规范》(GB17859-1999)
《计算机信息系统安全专用产品分类原则》(GB163-1997)
《信息技术设备的安全
(ideIEC60950:1999)》(GB4943-2001)
《信息技术安全性评估准则》(GB/T18336.1—2001)
《信息技术信息安全管理实施规则》(ISO17799—2000)
《涉及国家秘密的计算机信息系统保密技术要求》(BMZ1-2000)?
《涉密信息设备使用现场的电磁泄漏发射防护要求》(BMB5-2000)?
《涉及国家秘密的计算机信息系统安全保密测评指南》(BMZ
3-2001)智能化系统设计规范
《智能建筑设计标准》(GB/T50314-2006)
《建筑及居住区数字化技术应用系列标准》(GB/T20299-2006)
《建筑智能化系统设计技术规程》(DB/J01-615-2003)
《公共建筑节能标准》(GB50189-2005)
《民用建筑电气设计规范》(JGJ/T)机房工程系统设计标准
《电子计算机场地规通用规则》(GB/T2887-2000)
《计算机场地安全要求》(GB9361-1988)
《电子计算机机房设计规范》(GB50174-1993)
专业知识整理分享
WORD格式可编辑
《防静电活动地板通用规范》(SJ/T10796-2001)
《电信专业房屋设计规范》(YD5003-1994)
《通信机房静电防护通则》(YD/T754-1995)火灾报警系统设计标准
《高层民用建筑设计防火规范》(GB50045-1995)
《火灾自动报警系统设计规范》(GB50116-1998)?
《建筑设计防火规范》(GBJ16-1987)?
《火灾报警控制器通用技术条件》(GB4717-2005)?
《点型感烟火灾探测器技术要求及试验方法》(GB4715-2005)?
《点型感温火灾探测器技术要求及试验方法》(GB4716-2005)?
《线型光束感烟火灾探测器技术要求及试验方法》(GB14003-2005)?
《点型红外火焰探测器性能要求及试验方法》(GB
15631-1995)综合安防系统设计标准
《安全防范工程技术规范》(GB50348-2004)?
《安全防范系统验收规则》(GA308-2001)?
《安全防范工程程序和要求》(GA/T75-1994)?
《安全防范工程费用概预算定额编制方法》(GA/T78-1994)?
《出入口控制系统技术要求》(GA/T394-2002)?
《出入口控制系统工程设计规范》(GB50396-2007)?
《视频安防监控系统技术要求》(GA/T367-2001)?
《视频安防监控系统工程设计规范》(GB50395-2007)?
《安全防范报警系统设备安全要求和试验方法》(GB16796-1997)?
《报警系统电源装置、测试方法和性能规范》(GB/T
15408-1994)防雷与接地系统设计标准
《建筑物防雷设计规范》(GB50057-2010)
《建筑物电子信息系统防雷技术规范》(GB50343-2012)
《通信工程电源系统防雷技术规范》(YD5078-1998)?
《通讯局(站)低压配电系统用点涌保护器》(YD/T1235-2002)?
《通讯局(站)接地设计暂行技术规范》(YDJ26-1989)
专业知识整理分享
WORD格式可编辑
《计算机信息系统防雷保安器》(GA173-2002)?
《计算机信息系统雷电电磁脉冲安全防护规范》(GA267-2000)
《建筑物的雷电防护》(IEC61024:
1990-1998)工程及设备质量验收规范
《智能建筑工程质量验收规范》(GB50339-2003)
《智能建筑工程检测规程》(CECS182:2005)
《建筑及居住区数字化技术应用》(GB/T20299.2)
《安全防范系统验收规则》(GA308-2001)
《安全防范报价设备安全要求和实验方法》(GB16796-1997)
《建筑与建筑群综合布线系统工验收规范》(GB/T50312-2000)其他设计标准
《信息技术互连国际标准》(ISO/IEC11801-95)
《建筑内部装修设计防火规范》(GB-50222-95)
《电气装置安装工程施工及验收规范》(GBJ232-82)
《民用建筑电气设计规范》(JGJ16-2008)
《供配电系统设计规范》(GB50052-2009)
《低压配电设计规范》(GB50054-2011)
《工业与民用供电系统设计规范》(GBJ52-82)
《低压配电装置及线路设计规范》(GBJ54-83)
《通用用电设备配电设计规范》(GB50055-2011)?
《工业企业照明设计标准》(GB50034-1992)
《采暖通风与空气调节设计规范》(GB50019-2003)
《通风与空调工程施工质量验收规范》(GB50243-2002)?
《建筑装饰装修工程质量验收规范》(GB50210-2001)
用户对网络改造项目的其他要求
专业知识整理分享
WORD格式可编辑
2.网络改造设计方案
网络拓扑图
按照网络分层设计模型,广安爱众公司新规划的网络拓扑结构如下:
如上图,整个网络架构设计可分为网络出口、核心层、接入层、传输、安全与优化等五大部分,现分别详述如下:
2.1网络出口设计
外网出口连接上级的Internet,带宽为上下行对称的100M,是各种攻击行为、病毒传播、安全事件引入的风险点,通过在网络出口处部署高性能、高可靠、高安全的网关设备,可以很好的缓解风险的传播,阻挡来自外部网络攻击行为的发生,是网络出口的第一道安全屏障。
下一代防火墙
在外网出口部署下一代防火墙,对进出网络的数据进行过滤,保护网络安全,主要实现以下安全防护效果:
防止外网上的病毒、木马等恶意代码传播到内网中,保护内网终端、服务器;
防御来自外网的漏洞扫描行为、入侵行为,使内网免受恶意攻击;
控制用户访问网站行为,禁止访问非法网站、低俗网站、钓鱼网站,降低用户遭受
专业知识整理分享
WORD格式可编辑
攻击的风险。
专业知识整理分享
WORD格式可编辑
分为信任区域和非信任区域,分别实施不同的安全策略,包括部署区域间隔离、受限访问、防止来自区域内部的DOS
攻击等安全措施;
通过加密隧道构建
VPN(虚拟专用网络),方便分支机构和外出人员远程接入内网办公,提高工作效率。
流量控制器
流量控制器可基于
DPI(深度包检测)识别各类上网应用,由此,在防火墙和核心交换机之间,以网桥模式串接了一台流控设备,来对进出防火墙的网络流量进行内容过滤和应用管控,以有效阻断非业务流量和内容,保证内网安全,提高互联网带宽利用率,限制高消耗带宽应用,保障网络通畅和网络的稳定性,控制用户使用无关应用和危险应用,提高网络整体安全性。
下一代防火墙到核心交换机之间使用链路聚合,来提供冗余保障。
2.2核心层设计
核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中,应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心,重要性突出。核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。
核心交换机集群
主要部署两台
S9706组成一个
CSS(Cluster
Switch
System)集群,它是网络虚拟化
专业知识整理分享
WORD格式可编辑
的一种形态,可实现把多台支持集群的交换机链接起来,从而组成一台更大的交换机,CSS
专业知识整理分享
WORD格式可编辑
的典型特征有:
交换机多虚一:CSS对外表现为一台逻辑交换机,控制平面合一,统一管理。
转发平面合一:CSS内物理设备转发平面合一,转发信息共享并实时同步。
跨设备链路聚合:
跨
CSS内物理设备的链路被聚合成一个
TRUNK端口,和下游设备实现互联。
从上图中我们可以看到,CSS
通过设备“多虚一”和跨设备的链路聚合,不但简化了网络拓扑,而且极大地提高了网络性能:
简化运维:整个
CSS被作为一台交换机来管理,简化运维、降低
Opex。
可靠性高:CSS内一台设备故障,其他设备可以接管
CSS的控制和转发,避免单点故障。
无环网络:跨设备的链路聚合,在
CSS和其他设备互联时,天然避免了环路问题,无需部署
MSTP等复杂的破环协议。
链路均衡:跨设备的链路均衡,100%的网络链路和带宽的利用率。
CSS
在简化网络、提升转发性能的同时,没有带来任何网络功能的损失。物理交换机具有的所有功能,都在
CSS
系统下得到继承,且性能还得到了放大。CSS
拥有的这些特质,使其得到了越来越多的认可和接受,并成为了部署简单、高效网络的首选方案。
2.3接入层设计
接入层通常指网络中直接面向用户连接或访问的部分。其目的即利用光纤、双绞线、同轴电缆、无线接入等传输介质,实现与用户连接,并进行业务和带宽的分配,允许终端用户连
专业知识整理分享
WORD格式可编辑
接到网络,因此接入层交换机具有低成本和高端口密度特性。
专业知识整理分享
WORD格式可编辑
而本次改造中有
14个接入层点位将采用双线上行至核心交换机(集群),并利用
OSPFECMP(Equal-Cost
Multiple
Path)特性,在两条专线链路之间进行负载均衡,既增加了网络的可靠性,又能提高了资源的利用率。
2.4网络规划设计
本次网络改造项目中,将摒弃原有传统的单线二层接入方式,从而采用运营商双线运行动态路由协议(OSPF)进行三层传输接入核心,去掉中间级联设备,形成扁平化的网络架构,这种组网方式将各个分支机构分割成单独的局域网,一旦某个分支机构出现网络及线路故障将不会影响其他节点的业务。
新的传输接入模式,必须在各个节点建立独立的三层网关进行路由转发,这就要求对整个网络进行新的规划和设置,如下表所示:
点位
网段
10.0.1.0/24互联
10.0.2.0/24VLAN101102专业知识整理分享
WORD格式可编辑
代市气所
172.16.31.0/24301专业知识整理分享
WORD格式可编辑
岳池水务
前峰水务
领水水务
华蓥水务
城北客户中心
城南客户中心
西充燃气
领水燃气
希望接收费
城东水所
龙门收费
武胜水务燃气
岳池电力
……
172.16.32.0/24172.16.31.0/24172.16.34.0/24172.16.35.0/24172.16.36.0/24172.16.37.0/24172.16.38.0/24172.16.39.0/24172.16.40.0/24172.16.41.0/24172.16.42.0/24172.16.43.0172.16.45.0……
302303304305306307308309310311312313314……
以上网络规划和设计,将在大的城域网环境中形成多个广播域,隔离广播风暴和二层流量泛洪,减少
IP
地址冲突,提高整个网络的安全性和可维护性。具体的实施细节,将在项目施工过程中与甲方相关人员进行深化设计。
2.5网络传输设计
从核心层到接入层的传输部分是各个运营商(电信、广电、联通、移动)的MSTP专线,其中,大部分接入点专线带宽为
10M,而少数营业收费点专线带宽为
2M,在带宽不够的情况下,可以酌情考虑增加线路带宽。
MSTP(Multi-Service
Transmission
Platform)是指基于
SDH
平台同时实现
TDM、ATM、以太网等业务的接入、处理和传送,提供统一网管的多业务节点。其构建统一的城域多业务传送网,将传统话音、专线、视频、数据、VOIP、IPTV
等业务在接入层分类收敛,并统一送到骨干层对应的业务网络中集中处理,从而实现了所有业务的统一接入、统一管理、统一
专业知识整理分享
WORD格式可编辑
维护,提高了端到端电路的服务等级,这种专线技术具备以下优点:
专业知识整理分享
WORD格式可编辑
泛用性
MSTP
电路适用于任何高速率、信息量大、实时性强的业务传送在通信领域的应用前景广阔,用户端接口为通用性的RJ45接口。
可选性
MSTP专线带宽灵活,在
2M到
1000M的区间内,可以灵活选择。
安全性
安全性有保障,比纯粹基于互联网的VPN业务安全性更高。
灵活性
组网灵活,可支持星形网络、环形网络、点到点连接、多点汇聚等。
2.6网络安全与优化设计
1、网络回溯分析系统
在网络核心
CSS
集群旁部署一台网络回溯分析系统,可以实现了对网络通讯数据包级的高性能实时智能分析,因为网络回溯分析系统是一款集成大容量存储的高性能数据包采集和
专业知识整理分享
WORD格式可编辑
智能分析硬件平台,它可以提供对各种网络性能和应用性能的关键参数实时分析,同时还能
专业知识整理分享
WORD格式可编辑
够实时捕获并保存网络通讯流量,具备对长期的网络通讯数据进行快速数据挖掘和回溯分析能力,实现对关键业务系统中的网络异常、应用性能异常和网络行为异常的实时发现、以及异常原因的智能回溯分析,提升了对关键业务系统的运行保障能力和问题处置效率。
这样就在内网构建起了一套基于流量的实时监控和回溯体系,不但可以精确了解网络整体性能、应用负载,还能准确定位网络异常原因,及时排查网络故障和病毒、木马、攻击等安全隐患,实现核心链路/核心区域/核心业务运行可视化,彻底解决“黑盒运维”。
2、入侵检测系统
在核心
CSS
集群旁挂一台专业的IDS(入侵检测系统),该设备可通过抓取来自核心交换机的数据流镜像,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
专业知识整理分享
WORD格式可编辑
3、负载均衡器
在业务服务器集群子网区域内的各个应用服务器前端部署一套负载均衡器,在多个客户端发起业务访问请求时,由前端的负载均衡器来对所有访问请求进行反向代理和统一调度,进而将业务访问负载合理均衡地分担到每个后端服务器节点上,以提高业务系统的整体服务效能。
专业知识整理分享
WORD格式可编辑
同时对服务器的操心系统、中间件、文件系统等软件参数配置以及资源池分配进行优化,增强服务器的并发会话处理能力,而数据库方面,则可通过建立索引,优化
SQL
语句和优化内存、日志、表空间分配等方法来提高数据库
I/O
性能,加快数据的存取速度。
在接入交换机处,可通过
Qos
策略将业务数据和监控数据区分开,并给业务数据分配更高的优先级,这样在发生网络拥塞时,监控数据就无法挤占正常业务带宽,由此保障了业务访问的稳定性,不受接入视频监控的干扰。
专业知识整理分享
WORD格式可编辑
2.6网络特点和优势
通过大力进行网络改造后,具有达到如下特点和优势:
高性能和高可用的网络骨干
升级核心交换机替换老旧设备,可以大力提升核心节点的转发速度,增加网络整体吞吐量,形成一个高性能、可扩展、可靠的高效网络。
层次架构清晰
对网络架构进行扁平化重构,不仅可以解决多级串连现象,大大简化网络构成,还能减少中间节点的故障影响,迅速提高流量转发的处理速度,形成一个架构清晰,层次分明、可维护性强的网络基础平台。
运维透明化和可视化
构建网络的实时监控和回溯体系,将全网流量可视化、透明化,分析从流量趋势、应用分布到性能负载等多方位情况,能让运维人员对整个网络运行情况了如指掌,及时发现处理网络异常和攻击威胁,将危害消灭在萌芽阶段,并快速定位故障原因和节点,缩短故障影响时间,提高故障处理效率,保证网络的高效稳定运行。
弹性的应用架构
部署负载均衡器,进一步优化应用架构,让每台服务器轮流均衡地分摊客户端访问请求,来提高业务系统的整体服务效能,消除单点故障,形成一个高并发、高可用、高扩展性的业务群
专业知识整理分享
WORD格式可编辑
集系统,并结合业务系统性能优化,来提高服务器的并发会话处理能力与数据库
I/O性能,加快业务的响应速度。
专业知识整理分享
WORD格式可编辑
专门的流控体系
在外网出口处通过流量控制器来审计和管控互联网流量,屏蔽非法应用,限制违规流量,保障带宽资源,提高员工上网的合规性和网络使用效率,同时,在汇聚交换机处设置
Qos策略,让监控数据就无法挤占正常业务带宽,保障业务访问稳定性,不受视频监控流媒体数据的干扰。
强大的安全防护保障
通过部署下一代防火墙和入侵检测系统(IDS)的安全策略,可进一步强化内网的信息安全保障,防止各种网络攻击和入侵活动,提高网络安全系统的防护免疫力。
高效整洁的数据中心
通过新机房搬迁,可以打造一个新的整洁舒适、专业美观的数据中心环境,为机房设备高效的管理和安全运营提供有力支撑和保证
2.主要设备介绍
2.9.1下一代防火墙
USG6350当前,智能手机、iPad
等终端已经普及,移动应用程序、Web2.0、社交网络应用于企业运营的方方面面。企业网络边界变得模糊,信息安全问题日益复杂。通过
IP
和端口进行访问控制的传统的防护墙无法应对层出不穷的应用层威胁。
华为
USG630系列下一代防火墙面向中小企业,通过对应用、用户、内容、威胁、时间、位置
个维度的全面感知,提供精细的业务访问控制和加速。入侵防御(IPS)和防病毒(AV)等应用层深度防御与应用识别相结合,有效提高了威胁防御的效率和准确性。具备全面的防护功能,一机多能,有效降低管理成本。精细的带宽管理和
QoS
优化能力有效降低企业的带宽租用费,确保关键业务体验。持续、简单、高效地提供下一代网络安全。
专业知识整理分享
WORD格式可编辑
产品特性
精准的访问控制
专业知识整理分享
WORD格式可编辑
传统防火墙主要通过端口和
IP进行访问控制,下一代防火墙的核心功能依然是访问控制。USG6000在控制的维度和精细程度上都有很大的提高:
一体化防护:
从应用、用户、内容、时间、威胁、位置
个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合,一体化处理。例如:
识别出
Oracle
的流量,进而针对性地进行对应的入侵防御,效率更高,误报更少。
基于应用:
运用多种技术手段,准确识别包括移动应用及
Web
应用内的6000+应用协议及应用的不同功能,继而进行访问控制和业务加速。例如:区分微信的语音和文字后采取不同的控制策略。
基于用户:
通过
Radius、LDAP、AD等
8种用户识别手段集成已有用户认证系统简化管理。基于用户进行访问控制、QoS管理和深度防护。
基于位置:
与全球位置信息结合,识别流量发起的位置信息;掌控应用和攻击发起的位置,第一时间发现网络异常情况。根据位置信息可以实现对不同区域访问流量的差异化控制。支持根据
IP自定义位置。
全面的防护范围
越来越多的信息资产连接到了互联网上,网络攻击和信息窃取形成巨大的产业链,这对下一代防火墙的防护范围提出了更高要求。USG600具备全面的防护功能:
一机多能:
集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功
专业知识整理分享
WORD格式可编辑
能于一身,简化部署,提高管理效率。
专业知识整理分享
WORD格式可编辑
入侵防护(IPS):
超过
3500+漏洞特征的攻击检测和防御。支持
Web攻击识别和防护,如跨站脚本攻击、SQL
注入攻击等;防病毒(AV):
高性能病毒引擎,可防护
500万种以上的病毒和木马,病毒特征库每日更新;数据防泄漏:
对传输的文件和内容进行识别过滤。可识别
120+种常见文件类型,防止通过修改后缀名的病毒攻击。能对
Word、Excel、PPT、PDF、RAR等
30+文件进行还原和内容过滤,防止企业关键信息通过文件泄露。
SSL解密:
作为代理,可对
SSL加密流量进行应用层安全防护,如
IPS、AV、数据防泄漏、URL过滤等。
Anti-DDoS:
可以识别和防范
SYNflood、UDPflood等
10+种
DDoS攻击,识别
500多万种病毒。上网行为管理:
采用基于云的URL分类过滤,预定义的URL分类库已超过
8500万,阻止员工访问恶意网站带来的威胁。并可对员工的发帖、FTP等上网行为进行控制。可对上网记录进行审计。
安全互联:
丰富的VPN特性,确保企业总部和分支间高可靠安全互联。支持
IPSecVPN、SSLVPN、L2TPVPN、MPLSVPN、GRE等;
QoS管理:
基于应用灵活的管理流量带宽的上限和下限,可基于应用进行策略路由和
QoS标签着色。支持对
URL分类的QoS标签着色,例如:优先转发对财经类网站的访问。
负载均衡:
支持服务器间的负载均衡。对多出口场景,可按照链路质量、链路带宽比例、链路权重基于应用进行负载均衡。
专业知识整理分享
WORD格式可编辑
虚拟化:
支持多种安全业务的虚拟化,包括防火墙、入侵防御、反病毒、VPN等。不同用户可在同一台物理设备上进行隔离的个性化管理。
专业知识整理分享
WORD格式可编辑
简单的安全管理
下一代防火墙的防护范围和控制精度比传统防火墙大大增加,这对使用者的经验和技能提出了更高的要求。华为
USG600利用
Smart
Policy
功能降低对使用者的要求,更好的进行防护。Smart
Policy
主要具备以下功能:
快速部署策略:
内置场景策略模板,不依赖使用者的经验也能快速地部署常用防护策略。例如:如果希望使用网络存储,管理员仅需基于“使用网盘”这个策略模板,就能建立一系列策略。在策略中,对网盘类应用允许下载并进行病毒检测,但禁止文件上传。
智能优化策略:
根据内置应用风险库和网络实际流量对已部署的安全策略进行评估和优化,使其符合最小授权原则。在企业遗留大量端口防护策略,需要转换为
NGFW
使用的应用防护策略时尤其有用。
智能精简策略:
自动发现重复的和长期没有使用的策略,精简策略规模,简化管理;
高效防护性能
UTM
产品当开启应用层防护时性能下降明显,无法满足当前应用层防护的性能要求。下一代防火墙要求在多重防护的情况下仍保持高性能。
专业知识整理分享
WORD格式可编辑
USG6000系列下一代防火墙采用全新架构的智能感知引擎(IAE,IntelligenceAwarenessEngine),采用了一次解析多业务并行处理的架构,确保多重防御下的高性能体验。IAE使用了三大核心技术:
一体化描述语言:
应用识别、IPS、AV采用统一的描述语言,一次性处理,一次性分析,减少重复的操作;一体化处理架构:
不同于
UTM
对各个安全功能串行处理,USG600在完成统一解析后,各安全业务检查是并行的,最后做统一处理。每个步骤一次性做好,确保多安全业务开启情况下,对整体性能影响最小;
软硬结合一体化:
对有规律、大批量、高运算能力要求的报文处理,例如:报文加解密、特征匹配,采用专用多核平台由专用的协处理器硬件处理。对小规模的运算,仍然用软件处理。软硬结合一体化的处理方式让整体性能更高。
组网应用
专业知识整理分享
WORD格式可编辑
企业内网边界防护
在企业内网部门和无线接入的汇聚网络部署下一代防火墙。对
PC用户通过防火墙策略基于用户信息进行访问控制。
对移动用户采用基于用户+应用的策略控制,实现精细权限管理,并记录日志。
对邮件、IM、文件传输等进行内容过滤和审计,监控社交类应用,避免数据泄露。
互联网出口防护
在互联网出口部署下一代防火墙,在出口进行访问控制,阻止一切非认证访问。启用入侵防御功能,提供万兆级应用层威胁实时防护。
对邮件、IM、文件传输等进行内容过滤和审计,监控社交类应用,避免数据泄露。基于用户、应用、时间进行
QoS
管理,优先保障核心用户和关键业务的服务质量。
通过
URL
分类和应用阻断进行上网行为管理。阻断挂马网站和工作无关网站,根据角色监控员工可以访问的网站和可以使用的网络应用。
云数据中心边界防护
数据中心出口部署下一代防火墙,进行安全业务和系统资源的虚拟化特性,可为每个虚拟环境提供超乎寻常的安全体验。
万兆级入侵防御可有效阻断各类黑客攻击,并可根据不同的虚拟环境需求,提供差异化的防御特性,保障数据安全。
通过
Anti-DDoS特性,对拒绝服务攻击流量进行清洗,保障数据中心对外业务。
VPN远程互联
专业知识整理分享
WORD格式可编辑
通过下一代防火墙的VPN
接入,在互联网上构建一条可信、可控、可管的安全传输隧道。在外人员和移动用户可通过
SSL
VPN
接入,提供
Windows、IOS、Android、Blackberry,专业知识整理分享
WORD格式可编辑
Symbian多种操作系统支持,提供泛终端的接入能力。
产品规格
型号
固定接口
扩展槽位
USG63504GE+2Combo2*WSICWSIC:2×10GE(SFP+)+8×GE(RJ45)、8×GE(RJ45)、8×GE(SFP)
4×GE(RJ45)BYPASS1U、接口模块类型
产品形态
尺寸(W×D×H)mm442×421×43.6满配重量
HDD冗余电源
电源
AC最大功率
10kg选配
300GB单硬盘,支持热插拔
选配
100~240V170W温度:0~45℃(不含硬盘)/5℃~40℃(包含硬盘)湿度:10%~90%温度:-40℃~70℃/湿度:5%~95%工作环境
非工作环境
2.9.2核心交换机
产品概述
S9706S970系列交换机是华为公司面向下一代园区网核心和数据中心业务汇聚而专门设
专业知识整理分享
WORD格式可编辑
计开发的高端智能
T
比特核心路由交换机。该产品采用先进的多层交换架构,提供持续的带宽
专业知识整理分享
WORD格式可编辑
升级能力,支持
40GE和
100GE以太网标准。该产品基于华为公司自主研发的通用路由平台
VRP
开发,在提供高性能的L2/L3层交换服务基础上,进一步融合了
MPLS
VPN、硬件
IPV6、桌面云、视频会议、无线等多种网络业务,提供不间断升级、不间断转发、硬件
OAM/BFD、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。
通过部署内置华为首款以太网络处理器
ENP的X1E单板,S9700可以升级为敏捷交换机,客户可以享有敏捷交换机带来的创新体验。
S9700系列提供
S9703、S9706、S9712三种产品形态。
产品特性
S9700升级为敏捷交换机,让网络更敏捷地为业务服务
S9700支持随板
AC,业务单板同时兼具无线
AC功能,无需额外购买
AC硬件;整机最大可管理
2KAP,32K用户;整机转发性能可达
T-bit,解决外置
AC处理性能瓶颈,助力客户从容面向高速无线时代。
S9700支持统一用户管理功能,屏蔽了接入层设备能力和接入方式的差异,支持
PPPoE/802.1X/MAC/Portal
等多种认证方式,支持对用户进行分组/分域/分时的管理,用户、业务可视可控,实现了从“以设备管理为中心”到“以用户管理为中心”的飞跃。
SVF2.超级虚拟交换网,创新实现不仅将盒式交换机纵向虚拟为框式交换机板卡,而且将
AP
纵向虚拟为框式交换机的端口,使得原来“核心/汇聚+接入交换机+AP”的网络架构,虚拟化为一台设备进行管理,提供业界最简化网络管理方案。
iPCA
网络包守恒算法,改变了传统利用模拟流量做故障定位的检测模型,可对任意业务流随时随地逐点检测网络质量,无需额外开销;可在短时间内立刻检测业务闪断性故障,检测直接精准到故障端口,实现从“粗放式运维”到“精准化运维”的大转变。
S970支持
Service
Chain
业务编排功能,Service
Chain
对网络增值业务处理能力(如下一代防火墙
NGFW)进行虚拟化,以便园区网络实体(如交换机、路由器、AC、AP、终端设备)可以无差别的利用这些能力,而不受物理位置的约束,提供一种更灵活部署园区增值业务的解决方案,减少客户设备投资和维护成本。
创新的CSS集群技术
专业知识整理分享
WORD格式可编辑
S970支持
CSS
交换网集群和业务口集群,将多台设备虚拟化为一台逻辑设备,在可靠性、交换效率、灵活性和易管理性方面具有强大的优势。
专业知识整理分享
WORD格式可编辑
可靠性:通过路由热备份技术,实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发,极大地增强了设备的可靠性和性能,同时可以通过跨框链路聚合提高链路的利用率,消除单点故障,避免了业务中断;
交换效率:创新的CSS
交换网集群技术,克服了业界普遍采用的线卡集群跨框多次交换,交换效率低下的架构难题;
灵活性:普通业务端口可以复用为集群端口,使端口应用更加灵活。通过光纤进行集群可大幅增加集群的距离,突破了传统集群距离的限制;
易管理性:整个弹性架构共用一个
IP管理,简化网络设备管理,简化网络拓扑管理,提高运营效率,降低维护成本;
运营级高可靠性设计
S970所有关键器件,如主控、电源、风扇等均采用冗余设计,所有模块均支持热插拔,有效保证网络稳定运行。
S9700支
持
硬
件
级
3.3ms高
精
度
BFD快
速
链
路
检
测
功
能,能
为
静
态
路
由
/RIP/OSPF/BGP/ISIS/VRRP/PIM/MPLS等协议提供稳定均匀的毫秒级检测机制,大大提高了网络可靠性。
S9700支持快速自愈保护技术
HSR(High-speedSelfRecovery),基于华为
ENP板卡,独家实现端到端
IPMPLS承载网
50ms倒换保护,进一步提升网络可靠性。
S970支持硬件级以太
OAM,包括完善的802.3ah、802.1ag
和
ITU-Y.1731,能够对网络传输中的时延、抖动等参数进行精确统计,实时监测网络运行情况,并在设备故障发生时快速定位实现网络快速故障检测、定位与倒换。
S970支持
ISSU
业务运行中软件升级,设备软件升级过程中确保关键业务和服务不中断。支持优雅重启技术(Graceful
Restart),实现
NSF
无中断转发,有效保证全网高速可靠运行。
强大的业务处理能力
多业务路由交换平台,满足企业接入、汇聚、核心业务承载要求,支持无线、语音、视频和数据应用,为企业提供高可用、低时延、全业务的一体化网络解决方案。
支持分布式
L2/L3MPLSVPN功能,支持
MPLS、VPLS、HVPLS、VLL,满足企业
VPN等用户的接入需求。
专业知识整理分享
WORD格式可编辑
完善的二、三层组播协议,支持
PIMSM、PIMDM、PIMSSM、MLD、IGMPSnooping,满
专业知识整理分享
WORD格式可编辑
足多终端高清视频监控和视频会议接入需求。
软件平台提供多种路由协议满足企业建网要求,支持从中小企业到超大型跨国公司级大规模路由,支持
IPv6,能够为企业网络提供平滑升级能力。
丰富的网络流量分析功能
S970支持
Netstream
网络流量分析,支持
V5/V8/V多种报文格式,支持聚合流量模板,实时流量采集、动态报表生成、属性分析、流量异常告警等功能;支持向主、备分析服务器同时发送日志,防止统计信息丢失。能够提供实时的网络监控功能和全网范围内的流量模式,并提供预先故障检测、高效故障排除和快速问题解决功能,提供安全监控等应用和分析,帮助用户及时优化网络结构、调整资源部署。
完善的安全保护机制
S970支持
MACsec,提供逐跳设备的数据安全传输,适用于政府、金融等对数据机密性要求较高的场合。
NGFW新一代防火墙业务处理板,在提供传统防火墙、身份认证、Anti-DDoS等基础防御功能外,同时支持
IPS、反垃圾邮件、Web安全、应用控制等专业安全功能。
提供完善的NAC
解决方案,支持
MAC
地址认证、Portal
认证、802.1x
认证、DHCP
Snooping触发认证多种认证方式,有效应对哑终端接入、移动设备接入和集中式
IP地址分配等多种接入方式的安全挑战,确保企业网络安全。
提供
级
CPU
保护机制,支持
1K
CPU
硬件保护队列,可实现数据和控制的分离处理,防止拒绝服务攻击、非法接入以及控制平面过载等安全威胁,提供业界领先的一体化安全解决方案。
全面的IPv6解决方案
S9700软硬件平台均支持
IPv6,取得工信部
IPv6入网认证和
IPv6Ready第二阶段金色认证。
S9700全面支持
IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+等
IPV6单播路由协议,支持
MLDv1/v2、MLDSnooping、PIM-SM/DMv6、PIM-SSMv6等
IPv6组播特性,为用户提供完善的IPv4/IPv6解决方案。
S9700支持丰富的IPv4向
IPv6过渡技术包括:IPv6手工隧道、6to4隧道、专业知识整理分享
WORD格式可编辑
ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道等隧道技术,保证
IPv4网络向
IPv6网络的平滑过渡。
创新节能打造绿色低碳网络
专业知识整理分享
篇二:网络改造方案完整版
(word完整版)网络改造方案-
黄冈矿业网络改造方案
内蒙古万德系统集成有限责任公司
2011-10-11-0-
(word完整版)网络改造方案-目录
1用户需求分析
..................................................-2-
1。1项目改造内容............................................-3-
1.2项目设计原则............................................-3-
1。2。1设计原则
...........................................-3-
1.2.2建设原则
...........................................-5-
1.3项目设计思想............................................-5-
2项目整体解决方案
..............................................-6-
2.1网络现状................................................-6-
2。1.1现网拓扑
...........................................-6-
2。1。2网络存在问题
.......................................-6-
2。2改造建议................................................-7-
2。2。1改造拓扑及描述
.....................................-7-
2。2。2改造后优势
.........................................-8-
3网络系统
......................................................-8-
3.1组网方案................................................-8-
3.1。1组网拓扑
...........................................-8-
3。1。2分层网络设计
.......................................-9-
3.1。3IP地址规划
........................................-10-
3.1。4IPv4地址规划
......................................-12-
3。1.5IPv4路由规划
......................................-13-
3.1。6Vlan设计
..........................................-13-
3.2网络优化系统...........................................-16-
3。2.1上网行为管理
......................................-16-
3。2.2网络安全审计
......................................-20-
4安全与管理系统
...............................................-22-
-1-
(word完整版)网络改造方案-
用户需求分析
内蒙古黄岗矿业有限责任公司的前身是内蒙古赤峰黄岗铁矿,1993年筹建,1996年投产,是克旗人民政府下属的全民所有制企业.2000年3月23日,中共克旗委第66次会议决定,企业改制为有限责任公司。公司更名为“内蒙古黄岗矿业有限责任公司”,由集通公司以承债的方式购买企业的主要产权,控股经营企业。2000年4月20日各方签定《关于设立内蒙古黄岗矿业有限责任公司协议书》规定:注册资本总额为2400万元人民币。
2003年9月15日,中共克旗委第38次常委会议决定,同意内蒙古黄岗矿业有限责任公司增资扩股,由包头钢铁(集团)有责任公司控股。同时根据《内蒙古黄岗矿业有限责任公司章程修整案》的规定,增设包头钢铁(集团)有限责任公司为新任股东.增设股东后的内蒙古黄岗矿业有限责任公司股东为6个,注册资本金为8139万元,即包头钢铁(集团)有限责任公司出资人民币5000万元,占注册资本金的61.4%,内蒙古集通铁路有限责任公司出资人民币1679万元,占注册资本金的20。6%,克什克腾旗人民政府出资人民币660万元,占注册金的8.1%,内蒙古赤峰地质矿产勘察开发院出资人民币646万元,占注册资本金的7.9%,克旗农电局出资人民币65万元,占注册资本金的0。8%,自然人出资人民币89万元,占注册金的1.2%.
2004年9月22日,内蒙古黄岗矿业有限责任公司股东会2004年第一次临时会议同意克旗政府把自己拥有的公司6%的股份以600万元人民币的价格协议转让给莲池控股有限公司,克旗政府的股东比例由8。1%减至2。1%.其他股东的股权比例不变.
2005年8月,在克旗旗委政府的协调下,由内蒙古黄岗矿业有限责任公司将仍在三区边缘地带采矿的“克旗黄岗矿业有限责任公司”以1500万元的价格收购.从此,形成了黄岗一,二,三,四区由内蒙古黄岗矿业有限责任公司独家采选的局面。
-2-
(word完整版)网络改造方案-1.1项目改造内容
本次项目针对现网存在的问题,提出改造及完善建议。尤其针对出口安全及内网互联作出详细描述.
1.2项目设计原则
1.2.1设计原则
设计原则是系统设计时必须要考虑的总体原则,它必须满足系统设计目标中的要求,遵循系统性整体性、先进性和可扩充性原则,建立经济合理、资源优化的系统设计方案。
系统平台作为黄冈矿业的一项重要的基础设施,为用户总体规划和技术要求提供保障,以便为用户提供一个先进、灵活、可靠、基于标准的多业务、多应用平台,不仅能够满足目前各种业务和应用要求,同时可为今后的发展及其业务、应用提供良好的扩展支持能力。因此,我们在进行方案设计时,应遵循以下设计原则。
1.2.1.1先进性与合理性相结合的原则
在本项目方案设计中,应“立足现在,着眼未来”,在保证技术成熟及性能稳定的前提下,顺应主流技术的发展趋势,充分采用当今国内、国际上最先进的计算机软硬件技术和设备,使本项目系统能够最大限度地适应今后技术发展和业务发展变化的需要。其中,采用的系统结构应当是先进的、开放的体系结构。
1.2.1.2可靠性和稳定性相结合的原则
为保证黄冈矿业各项业务和应用顺利进行,网络系统和IT基础平台必须具有较高的可靠性和稳定性,要对网络结构、网络设备、服务器设备、配套设备和环境设施等多个方面进行高可靠性、高稳定性的系统设计与配置.
首先,在设备选型上要选择成熟、可靠、稳定的产品;其次,要在系统整体结构与连接方式
-3-
(word完整版)网络改造方案-上对可靠性和稳定性进行充分考虑,要采用切实有效的系统冗余备份方式,提供高效的自愈能力,并在采用硬件备份、设备冗余等可靠性、稳定性技术的基础上,采用相关的软件技术提供较强的管理控制机制和事故监控手段,从而充分保障系统是持续可用的。
1.2.1.3实用性和可管理性相结合的原则
应采用成熟、实用的技术满足当前的应用需求,同时兼顾其它应用及系统发展的运行需求,尽可能延续原有的设备、并保证与原有系统兼容。同时,应使用先进且实用的技术以适应更高的数据、信息的传输、处理需要,使整个系统在一段时期内保持技术的先进性,并具有良好的发展潜力,以适应未来信息化的发展和技术升级的需要.
1.2.1.4可扩展性和开放性相结合的原则
为保证本项目系统符合当今技术飞速发展的趋势,并满足系统发展的需要,在方案设计中必须充分考虑网络和服务器系统将来的扩展能力。其中,网络必须能够根据信息化的不断深入发展,方便地扩展覆盖范围、扩大网络容量和提高网络各层次节点的功能。
本项目系统这种工程应具备与多种协议的计算机通信网络互连互通的能力,因此为确保本项目系统基础设施的作用可以充分发挥,在结构上必须真正实现开放,采用基于国际开放式的标准,包括各种广域网、局域网、计算机,坚持统一规划的原则,从而为未来的业务发展奠定基础.
1.2.1.5安全性和保密性相结合的原则
安全性是本项目系统运行的生命线,在本方案设计中应给予充分考虑。国家对信息安全问题十分重视,信息产业部、中办机要局、国家密码管理委员会等有关部门对网络的信息安全问题制定了许多相应法规、规定,如《中华人民共和国保守国家秘密法》、《计算机信息系统保密暂行规定》、《涉及国家秘密的通信办公自动化和计算机信息系统审批暂行办法》等.本项目的安全性方案应严格按照信息安全主管部门的有关规定设计,使本项目系统成为一个安全的通信平台,-4-
(word完整版)网络改造方案-并确保系统信息传输的安全。
本项目安全体系方案设计的原则是:
1、整个系统必须是一个严密的安全体系;
2、采取的安全措施不能影响整个网络的运行效率;
3、系统设计应具有完善的安全管理机制,以保证网络和数据的安全;
4、保证各个环节的安全保密,统筹规划;
5、安全方案的制订和实施应遵循国家系统安全的相关规定。
1.2.2建设原则
建设应遵循如下指导原则:
统一领导,统一规划,统一标准。
以应用带发展,以效益促应用,分步实施,逐步完善。
网络结构稳定,易于升级、扩展;应用系统灵活,易于共享、沟通。
网络安全,信息保密,稳定可靠,高效运行。
综合考虑整体性、实用性、先进性和经济性。
利用现有资源满足业务急需,保持持续发展。
管理运行体系与工程建设同步进行。
1.3项目设计思想
1、组建安全、可靠、快速的三层汇聚交换网络。
2、采用先进、成熟的技术
3、保证原有系统的完整性和业务不中断
4、旧系统的搬迁和新旧系统的无缝融合,软硬件应平滑过渡和升级
5、采用高可靠、可扩展的设备和架构
-5-
(word完整版)网络改造方案-2项目整体解决方案
2.1网络现状
2.1.1现网拓扑
2.1.2网络存在问题
1.
防火墙承担安全策略及路由NAT功能,X86架构的CPU不能满足用户及出口带宽的增长,造成网速变慢甚至CPU超负荷后断网.
2.
核心交换机未启用三层功能,网关在防火墙上,内网用户通信流量再次转嫁至防火墙。
3.
用户上网行为不能监控,员工带宽不能限制,造成资源浪费。
-6-
(word完整版)网络改造方案-4.
矿区之间使用光电转换器的不可靠连接,增加了故障率。
5.
用户普遍使用TP—LINLK作为接入设备,不方便管理。
6.
安全策略、路由协议等较落后,不满足现网需求。
2.2改造建议
2.2.1改造拓扑及描述
二区新增核心路由及核心交换机,新增上网行为管理设备。一区、三区、四区、尾矿新增汇聚交换机。原有接入交换机作为用户接入设备,原设备均利旧使用,不造成资源浪费。内网
-7-
(word完整版)网络改造方案-安全策略、路由协议均重新规划。
2.2.2改造后优势
1.
新增路由器启用NAT功能、分担防火墙压力,防火墙只做安全策略。
2.
新增核心交换机启用三层功能,划分VLAN,优化内网环境并提供光接口.
3.
替换所有光电转换器为光接入交换机,较少线路故障率.
4.
原设备均利旧使用,不造成资源浪费。
5.
新增用户行为及审计功能.
6.
合理化的带宽分配,不会因员工下载造成网速缓慢。
7.
重新调试的网络策略更适于现在使用情况.
网络系统
3.1组网方案
网络做为一个系统的传输平台,它为业务系统提供了可靠传输通道,是业务系统的支撑系统,是一个系统的路,是一个单位信息化的基础.
3.1.1组网拓扑
目前,组网的拓扑结构设计中通常采用三种结构:星型、网状和部分网状结构。
拓朴结构
星型结构(Star):星型结构是指所有的外围设备通过单一链路连接到处于网络中心的核
-8-
(word完整版)网络改造方案-心设备上。星型结构的优点是节约线路开支,网络结构简单,易于增容与维护;但对中心设备与连接链路有依赖性,容易出现单点故障,要求中心节点必须保证高可靠性。
在网络络设计中,针对主干框架的选择应充分考虑网络性能、维护难易程度以及可靠性等因素,同时也要考虑系统的性价比,从而权衡利弊,作出最为符合实际情况的结构方案。
3.1.2分层网络设计
优良的拓扑结构是网络稳定、可靠运行的基础。一个大规模的局域网络系统往往被分为几个较小的部分,它们之间既相对独立又互相关联,这种化整为零的做法是分层进行的.通常网络拓扑的分层结构包括三个层次,即核心层、分布层和接入层。
每一层都有其自身的规划目标:
核心层处理高速数据流,其主要任务是数据包的交换。
分布层负责聚合路由路径,收敛数据流量。
接入层将流量馈入网络,执行网络访问控制,并且提供相关边缘服务。
网络大都是依照上面的分层原则设计的星型以太网,配合各种最新的技术如VLAN、TRUNK、Qos等,极大地提高了网络的性价。其逻辑结构如下图所示:
-9-
(word完整版)网络改造方案-
3.1.3IP地址规划
IP地址的合理规划是网络设计中的重要一环,大型计算机网络必须对IP地址进行统一规划并得到实施.IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。
在网络设计中IP编址方案的设计非常重要,它将直接影响网络的运行效率。为了使网络达到最高的运行效率,在设计IP编址方案时要遵从以下原则:
1、IP地址分层设计
IP地址分层设计是指在分配IP地址时参考物理网络设计的层次结构和网络应用的逻辑层次结构,按层次划分IP地址.在分层设计中将地址按层次化结构进行分配,可有效避免随机分配所带来的地址浪费的可能性,使IP地址资源得到最有效的利用。在网络设计中,我们都要尽可能使路由表保持简洁,由于使用分层地址设计,使得路由总结技术的使用成为可能,它意味着
-10-
(word完整版)网络改造方案-计算路由和查找路由表时占用路由器CPU时间的减少、路由内存需求的减少。
2、使用变长子网掩码
变长子网掩码(VLSM)是指一个网络可以分层次配置不同的掩码.把一个网分成多个子网时,变长子网掩码解决了子网数和主机数的可能冲突,保证更大的灵活性。如果没有VLSM,一个子网掩码只能提供给所有子网,可能造成不必要的地址浪费。VLSM还带来另外的好处就是可以更好地使用路由总结,VLSM允许在地址分配中使用更多的层次,从而在路由表中更好地使用路由总结.
3、路由总结
在大型的、复杂的互联网络中,可能存在成百上千的网络地址;在这种环境下,通常路由表中不需要包括所有这些路由.路由总结是通过使用单一的总结性地址来表示一系列网络号从而减少路由器所必须包含的路由数目的方法.路由总结的使用可以降低路由器内存的占用和路由协议的网络流量占用率。使用路由总结的另外一个好处就是它可以隔离其它分区域内的拓扑结构的变化,也就是说,如果网络中某一部分区域的拓扑结构发生变化,而它的总结地址没有改变,那么它的结构变化带来的路由信息的更新将不会传到网络的其他分区域,从而提高整个网络的可靠性。
4、尽可能使用保留地址段
内部网不需要与INTERNET网络直接连接,IANA预见到了这个问题,并预留了A、B和C的一些网络号,以提供给内部网使用.这些预留地址如下所示:
ClassA10。0。0.0到10.255。255。255ClassB172.16.0.0到172。31.255。25516个B类地址
ClassC192。168.0。0到192。168.255。255256个C类地址
任何组织都可以在他们的内部网中使用这些地址,同时这些地址将不会出现在INTERNET中,这样这些组织如果需要连入INTERNET的话,他们可以通过出口路由器地址转换功能与INTERNET上的主机通讯,而不需要重新设定内部网络地址。
-11-
(word完整版)网络改造方案-IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则:
唯一性:一个IP网络中不能有两个主机采用相同的IP地址;
简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表项
连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率
可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性
灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。
主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种.
3.1.4IPv4地址规划
地址编码规范
建议校园(城域)网的IP地址进行严格的编码,每位代表不同的含义.其编码规则(举例如下)为:
-12-
(word完整版)网络改造方案-
12345应用标识
1.
网络号
类别标识
000001010011100101110111相应IP地址类别
网络设备管理
WWW浏览类
备用
备用
语音、视频类
备用
备用
网络互连地址
2.单位地址标识(沙镇或四小)
3.
单位内部某汇聚区域地址4.
应用标识
5.用户网络地址
地址编码规范
通过地址标识可以清楚地区分出IP地址地来源,便于路由汇聚和访问控制。从上表中我们也可以看出,通过我们的规划,我们能从IP地址分析出IP地址的来源、用途等,这将为网络的维护带来方便。具体的IP地址定义将结合实际情况确定.
IP地址使用可以采用静态或动态的方式,可以开启网络设备或服务器DHCP协议,对于固定IP地址用户,需要针对标识符(MAC地址)设定保留IP地址.
3.1.5IPv4路由规划
整个骨干网络采用动态路由协议,动态协议在整个骨干网中不会引起路由回环,利于骨干网的健壮性,也可以根据准旗教育局采用动态路由加静态路由方式。
在汇聚与核心之间采用动态路由的方式,动态路由的方式可以减少网络中心人员的维护量。
动态只在核心骨干中进行运行这样大大减少了骨干节点之间动态协议的收敛周期,在实际的应用的过程当中可以提高稳定性.
3.1.6Vlan设计
随着网络的迅速发展,用户对于网络数据通信的安全性提出了更高的要求,诸如防范黑客攻击、控制病毒传播等,都要求保证网络用户通信的相对安全性;传统的解决方法是给每个客户分配一个VLAN和相关的IP子网,通过使用VLAN,每个客户被从第2层隔离开,可以防止任何恶
-13-
(word完整版)网络改造方案-意的行为和Ethernet的信息探听。.
在交换机上基于端口划分VLAN时,可以在同一交换机划分多个VLAN,也可跨主干划分同一个VLAN,网络中应尽量使用本地VLAN的划分方法,并通过Trunk链路实现多个VLAN的跨主干连接,最终通过中心/核心/汇聚交换机的路由功能实现VLAN之间的通信.
对VLAN进行集中管理的技术中,可以使用GVRP协议.GVRP(GARPVLANRegistrationProtocol,GARPVLAN注册协议)是GARP的一种应用,它基于GARP的工作机制,维护交换机中的VLAN动态注册信息,并传播该信息到其它的交换机中。
所有支持GVRP特性的交换机能够接收来自其它交换机的VLAN注册信息,并动态更新本地的VLAN注册信息,包括当前的VLAN成员、这些VLAN成员可以通过哪个端口到达等。而且所有支持GVRP特性的交换机能够将本地的VLAN注册信息向其它交换机传播,以便使同一交换网内所有支持GVRP特性的设备的VLAN信息达成一致。GVRP传播的VLAN注册信息既包括本地手工配置的静态注册信息,也包括来自其它交换机的动态注册信息。GVRP在IEEE802。1Q标准文本中有详细的表述。
GVRP的主要作用是在802.1QTrunk口上实现提供802。1Q兼容的VLAN修剪与动态VLAN创建。使用GVRP,交换机可以和其它使用GVRP的交换机交换VLAN配置信息,在802.1QTrunk链路上修剪不需要的广播和未知的单播流量,动态创建和管理VLAN。
VLAN在交换机上的实现方法,可以大致划分为4类:
1)。基于端口划分的VLAN
这种划分VLAN的方法是根据以太网交换机的端口来划分,比如交换机的1~4端口为VLAN
10,5~17为VLAN
20,18~24为VLAN30,当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定,如果有多个交换机,例如,可以指定交换机1的1~6端口和交换机2的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最广泛的方法,IEEE802。1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。
这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN
A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。
-14-
(word完整版)网络改造方案-2).基于MAC地址划分VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组.这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停的配置。
3).基于网络层划分VLAN
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。它虽然查看每个数据包的IP地址,但由于不是路由,所以,没有RIP,OSPF等路由协议,而是根据生成树算法进行桥交换,这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网祯头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
4).根据IP组播划分VLAN
IP
组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
5).推荐的VLAN划分方式及逻辑图
根据用户应用的实际情况和我们多年的系统集成经验推荐VLAN的划分方式可以是按照基于端口的划分。可以按照部门的不同划分不同的VLAN,比如财务部门VLAN,人事部门VLAN,存储网络VLAN等,推荐的逻辑示意图如下:
-15-
(word完整版)网络改造方案-
3.2网络优化系统
安装完毕后,随系统的运行,新业务数据流的增加、原有业务数据的调整,其要应用设备运行效率会有所变化。系统的运行效率与系统各部分的参数有很大的关系,系统性能调优是一个重要的工作,及时地为用户做系统性能调整,是一项必要的服务。我公司会对黄冈矿业网络系统在定期或不定期的巡检的同时进行系统性能的调化,也可以是在用户提出性能优化的要求时,我公司派出相应的工程师进行系统的优化。
3.2.1上网行为管理
何谓上网行为管理?帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析.
3.2.1.1为什么要管理上网行为
“随着互联网的发展,它已经到了必须控制和管理的时代,因为网上充满了错误的信息、虚假的信息,和非民主的力量。”-———蒂姆?伯纳斯?李(互联网之父)
-16-
(word完整版)网络改造方案-水能载舟亦能覆舟!互联网一方面能够帮助企业提高生产力、促进企业发展;另一方面也在企业管理、工作效率、信息安全、法律遵从、IT投资等方面给企业提出了严峻的问题与挑战.
网速为什么越来越慢?
在办公室里经常会听到有人抱怨“网速为什么这么慢?”,几乎所有的企业都存在这样的问题。那么企业花钱租用的10M甚至100M带宽都被用在哪里了?为什么带宽不断扩充,而网速并没有明显改善?
真相:带宽资源也许正被滥用!
根据联通公司发布的一份调查显示:以迅雷、BT、eDonkey、KaZaA等为代表的P2P应用,消耗了40%以上的有效网络带宽。而在企业租用的有限带宽里,充斥着大量P2P下载、网络电视等应用流量,导致大量带宽被非工作应用所占用。而且,由于P2P的应用特征,使得企业高额投资的带宽成了互联网公共服务。
谁?在什么时间?可以拥有多少带宽资源?可以使用哪些网络应用?
问题2:网络安全事故为什么防不胜防?
“堵漏洞、砌高墙、防外攻、防内贼,防不胜防”,防火墙越“砌"越“高”,入侵检测越做越复杂,病毒库越来越庞大,身份系统层层设保,却依然无法应对层出不穷网络安全威胁,难道那么多安全产品都是摆设?
真相:安全隐患来自内部员工!
无论如何豪华的防线,一个漏洞就可以毁灭所有一切。MetaGroup发布研究报告称:“持续增长的安全威胁源自您的员工"。内部人员通过互联网与外部通讯时,可能会引入含有恶意的或者攻击性的内容,如若未能得到监测和控制,这将成为企业的一大隐患。并且充满诱惑的网络资源往往是风险的发源地.
谁?在什么时间?是否可以上网?是否阻止访问可能含有安全风险的网络内容?
问题3:办公室为成了免费网吧!
-17-
(word完整版)网络改造方案-据一项调查显示,普通企业员工每天的互联网访问活中40%与工作无关,对色情等非法网站的访问量70%都发生在工作时间.上班时间“上网休闲"已经成为普遍现象,聊天、游戏、炒股、购物、BBS、电影、博客等无时无刻不在抢占正常的工作时间,办公室因此沦为不需要花钱的“网吧”。
谁?在什么时间?可以用什么应用?不可以访问什么网站?
约束员工在互联网上的行为,其实是在帮助员工匡正工作行为,丢弃不好的习惯,成为一个专业、敬业的职业人,这对员工自身的职业发展也是大有裨益的。
问题4:企业要为员工的网络行为背黑锅吗?
目前,大部分企业内部员工上网并不受限制,但是他们在网上做了什么?对外发了什么信息?企业完全不知情,也无记录可查询,这就给企业埋下了巨大的法律风险。
某企业被当地公安局网络监察处执行严厉处罚,原因是查出该企业内有员工在网上发布了违反法律的信息,但是无法查出是哪位员工所为,最后企业只得为这名“幕后英雄”背黑锅。那么在这种情况下,企业必须为员工的个人网络行为负责吗?
谁?在什么时间?以何种方式?对外发了什么信息?发给了谁?
问题5:发现内部网络问题后不能快速的找到根源?
当出口拥塞,网络访问异常时,只能通过网络层面的的设备分析原因,简单的插拔网线,复位设备,以希图问题解决。但本质,内在的源头无法定位.
IT系统追求的的是性价比,一位的迁就会隐藏更大的隐患,我们需要专业的洞悉网络问题应用源头的能力,能够分析问题的普遍性,严重性,共通性。利用上网行为管理产品能够做到:
哪些人群的应用异常?哪些行为在单位内最普遍?哪些部门隐患最突出?
3.2.1.2上网行为管理的实施步骤
洞悉->管控->驾驭
step1:企业要做好上网行为管理,必须先洞悉企业内使用互联网的过程中存在哪些问题?
-18-
(word完整版)网络改造方案-因为不同企业面临的问题不同,需要先了解到底有哪些问题?
step2:然后分析问题的根源,再制定有针对性的策略管控问题;上网行为管理策略必须是有针对性的、个性化的,这样才能符合不同企业本身的管理制度、企业文化等的要求和需求;
step3:最后通过审计报表了解问题解决的程度和效果,再根据报表做管理策略优化,进而达到驾驭互联网、实现上网行为管理的价值。
3.2.1.3上网行为管理主要功能
网页访问过滤
互联网上的网页资源非常丰富,如果员工长时间访问如色情、赌博、病毒等具有高度安全风险的网页,以及购物、招聘、财经等与工作无关的网页,将极大的降低生产效率。
通过上网行为管理产品,用户可以根据行业特征、业务需要和企业文化来制定个性化的网页访问策略,过滤非工作相关的网页.
网络应用控制
聊天、看电影、玩游戏、炒股票等等,互联网上的应用可谓五花八门,如果员工长期沉迷于这些应用,也将成为企业生产效率的巨大杀手,并可能造成网速缓慢、信息外泄的可能。
通过上网行为管理产品,用户可以制定有效的网络应用控制策略,封堵与业务无关的网络应用,引导员工在合适的时间做合适的事.
带宽流量管理
P2P下载、在线游戏、在线看电影电视等都在抢占着有限的带宽资源。面对日益紧张的带宽资源,除了增加预算扩充带宽以外,企业还可以选择合理化分配和管理带宽。
通过上网行为管理产品,用户可以制定精细的带宽管理策略,对不同岗位的员工、不同网络应用划分带宽通道,并设定优先级,合理利用有限的带宽资源,节省投入成本。
信息内容审计
发邮件、泡BBS、写Blog、聊IM已经司空见惯,然而信息的机密性、健康性、政治性等问
-19-
(word完整版)网络改造方案-题也随之而来.
通过上网行为管理产品,用户可以制定全面的信息收发监控策略,有效控制关键信息的传播范围,以及避免可能引起的法律风险。
上网行为分析
随着互联网上的活动愈演愈烈,实时掌握员工互联网使用状况可以避免很多隐藏的风险。
通过上网行为管理产品,用户可以实时了解、统计、分析互联网使用状况,并根据分析结果对管理策略做调整和优化。
3.2.2网络安全审计
系统的主要目标是:帮助企业管理者更好的管理企业内部的重要信息资料,提高员工的工作效率;
其次是:协助IT主管便捷的管理日益增长的PC运营维护和安全管理需求。
内网安全管理系统主要功能和作用
程序功能
一、管理类功能:
功能描述
管理作用
禁用设备
禁止应用程序
上网限制
屏幕快照并保留记录
根据风险评估,制定事前预防可禁止电脑外部设备的使用。包括:USB策略,对相应的设备进行禁止,存储设备、光驱、通讯设备、打印设备预防文件泄密.可以灵活的开等等;可以只允许使用公司指定的U盘;启设备,不影响员工的正常使同时也可以禁止修改IP地址.
用.
对工作之外的程序进行禁止,可以对指定的程序进行禁止.
如工作时间禁止玩游戏、聊天、BT下载等程序,提高工作效率。
防止内部员工滥用网络资源,可对指定的网站进行禁止,或者采取反随意且长时间的访问与工作无选,对指定的网站外的网站进行禁止。
关的网站,导致工作效率的低下。
方便管理者进行网络行为的巡可以看到网络内员工正在操作计算机视,发现违规行为,及时纠正.的最新画面,可以查看到网内员工操作可以查看以前的屏幕记录,进过的历史画面,并连续播放历史画面。
行事后追查。(可选项功能).
对msn、qq等聊天工具的聊天内容进行方便管理者对员工互联网聊天监控
行为进行管理,避免员工上班-20-聊天内容监控
(word完整版)网络改造方案-时间过度聊与工作无关内容.(可选项功能)
员工对电脑操作行为的痕迹得可以详细的记录每个员工在本机及网到监控,为泄密行为的事中发络上操作过的文件,包括访问、创建、现,事后追查提供了帮助,弥复制、移动、改名、删除、恢复以及文补了电子文档安全管理中的最档打印等记录。
薄弱环节。
对泄密者添加泄密设备(如:闪存、移动硬盘等)实现及时报可设置硬件或软件信息变化的报警规警,对相应的文件或某个类型则,设置某个或某类文件的各种操作报文件的操作实现及时报警,为警规则。
安全事件发生后进行及时管理提供帮助。
有效的防止外来计算机侵入单通过设置禁止外来电脑访问内部局域位内部就局域网,可根据需要网共享资源、内部重要的服务器。
灵活的设置外来计算机跟网内计算机的通讯方向。
员工往往因为工作需要设置共享文件夹,然而有时员工由于可以及时查看和删除网络内任意计算疏忽未能及时关闭共享,导致机的网络共享文件夹.
共享文件很容易被别有用心的员工或外来计算机窃取。
若发现网内计算机有非法操可以锁定网络内任意计算机的键盘和作,可以及时的采取行动,对鼠标操作。
非法行为进行及时控制,避免非法行为的继续,挽回损失.
可分时间段查看某个员工打开某个应可以客观的评估员工使公司电用程序的全部时间和活动的时间,以及脑的情况和效率,方便进行员所占的百分比。
工的行为管理评估.
可以客观的评估出员工访问网可时间段查看某个员工打开每个网站站的情况和效率,查看员工的的全部时间和活动时间,以及所占的百上网行为,方便进行员工的网分比.
络行为管理。
文档操作痕迹记录
报警规则
外来电脑接入管理
删除网络共享
锁定计算机
应用程序报告
访问网站报告
二、网络维护类功能:
资产管理
远程维护
管理者可以灵活查询的分类统可以自定义查看硬件或软件的资产分计网内计算机的硬件和软件信布情况,查看某个硬件或软件分布在哪息,为IT资产管理提供方便和些计算机,并统计出合计数量.
决策支持。
方便IT管理者对网内计算机进可以远程控制、登陆、注销、重启计算行远程维护,同时支持异地远机,支持键盘输入和登录快捷键操作。
程维护,实现了跨区域分支机构的集中管理和控制。
-21-
(word完整版)网络改造方案-补丁、软件分发
流量监控
事件日志
实现程序的自动化部署,比如:补丁程序、应用程序,大大提可以自动分发程序、修复程序和派发文高程序部署的效率,提升IT部件
门的工作水平,让IT管理者不再为大量的机械性、重复性的程序安装工作而浪费精力!
管理者可以实施查看网络的带可以监控网络的流量,实现流量统计。
宽流量、在网络发病毒的时候可以将电脑断开隔离。
详细记录网内计算机的操作窗口、报警让IT管理者从多个角度来了解记录、控制台发出的控制信息、浏览的网络内每台计算机的全面的日网页、启动和关闭的应用程序、软件的志信息,为故障排除和网络管添加与删除、系统的启动与关闭、应用理提供有力支持。
程序的启动与关闭、硬件的添加与删除
安全与管理系统
对各单位而言,防火墙、VPN、杀毒软件等等有关网络安全的产品层层叠加,成本也在不断的叠加,缺乏统一管理的网络安全系统,似乎仍然抵挡不住各种安全隐患的发生,因此,基于“统一安全管理平台”的网络安全产品市场机遇孕育而生。建设一套统一管理平台,包含网络管理、安全管理和应用管理.
随着各类安全软硬件设备的部署,增大了管理难度和工作强度,各类设备管理方法、管理界面不统一,增大了管理成本,降低了管理质量,也可能因顾此失彼产生隐患。
采用统一的安全管理平台,将网络设备(路由器、交换机)、安全设备(防火墙、IPS、IDS)、服务器、应用层安全设备(带宽控制、服务器负载均衡)等进行有机的整合,加以统一管理监控.使管理员从单纯的设备管理中解脱出来,通过一个产品实现对全网运行情况的监控,实现了由技术管理到策略管理的提升。统一管理平台主要功能包括日志管理,为系统分析提供完整的支持数据。定期自动生成网络审计报告,方便管理员对专网控制区的安全状况实行定期审查,方便管理员对全网安全状况进行统一审查,帮助管理员全面了解网络应用模型和流量趋势,同时也可以检测出实施了某项安全策略之后,安全体系提升的情况,这种变化将有助于专网控制区管理员很好的了解网络安全状况。
统一安全管理平台是对对IT资源的管理,除了传统的网络资源(路由、交换等网络设备)
-22-
(word完整版)网络改造方案-管理外,还能支持对计算资源(服务器、计算机等)、以及IP安全、无线、语音、存储、监控等所有资源的管理。此外,创新的融和了IT用户和业务的管理内容,使管理的范畴从IT资源本身延展到了IT资源的使用者和使用业务,使客户能在统一的操作门户下实现了三者的融合集中管理。在此基础上,统一管理平台以客户实际管理业务的需求为牵引,灵活的组配各个管理功能组件,形成了丰富的解决方案,从根本上解决了管理的复杂性问题,提升了IT为客户传递的价值。
统一管理平台,提供统一接口和界面,为用户提供了实用、易用的网络管理功能,在网络资源的集中管理基础上,实现拓扑、故障、性能等管理功能,不仅提供功能,更通过流程向导的方式告诉用户如何使用功能满足业务需求,为用户提供了网络精细化管理最佳的工具软件,除了涵盖网络管理功能外,还是其他业务管理组件的承载平台,共同实现了管理的深入融合联动.
-23-
篇三:网络改造方案完整版
网络改造方案范本4篇
活动内容:语言活动"赏花灯、猜灯谜"
活动目标:
1、引导幼儿了解赏花灯、猜灯谜是元宵节的风俗习惯之一,感受过节的愉悦心情。
2、能用清楚连贯的语言描述自己的花灯,并讲述一个谜语。
3、发展幼儿的语言交往能力。
活动背景:正月十五"元宵节"前后,孩子们纷纷跟着大人前去公园参观灯会。
活动准备:
1、物质__每人准备一盏花灯,上面贴有一则谜语。小奖品若干。
2、知识__有过过节的生活体验。
活动进程:
一、导入
开门见山引入主题:正月十五闹花灯,赏灯猜谜就是我们元宵节的风俗习惯之一。
二、展开
1、赏灯活动。
(1)幼儿相互欣赏各自的花灯,教师引导幼儿用连贯的语言介
绍自己花灯的形状、颜色、名称及特别之处等等。
(2)请几名介绍有特色的幼儿给大家介绍自己的花灯。
2、猜谜活动。
(1)教师将幼儿分成两组,a组持有花灯和奖品,并给b组幼儿念谜语,b组来猜灯谜,猜中了即得到奖品。教师讲清玩法后,幼儿自愿展开游戏。(根据时间进行交换)
(2)集体讲述自己猜谜的情况:谁猜中了我的灯谜?我自己猜中了几个灯谜?
(3)集体将难猜的灯谜找出来,大家一起猜,或带回家请爸爸妈妈帮助猜。
三、结束
将a组和b组得到的奖品比一比,看哪队胜利了?
鼓励幼儿将自己猜到的谜语回家说给爸爸、妈妈听,让他们也来猜一猜。
活动主题:
“种一棵小树,绿一方净土”
活动地点:
篮球馆东北角绿化管理中心
活动时间:
2022年3月10日上午
主办单位:
__学院青年志愿者协会
组织人员:
__、__
参与人员:
__青协全体人员
活动目的:
通过植树,了解植树节的知识,进一步了解树与人类的关系,提高学生保护树木的责任感,培养环保意识。
材料准备:
(1)搜集一些全国各地因植被破坏而造成生态问题的例子;
(2)制作一个绿化心愿卡收集箱,收集同学们书写环保心愿卡。
活动安排:
(1)全体的工作人员周六早上八点前在绿化管理中心集合;
(2)将工作人员分组,便于组织和管理;
(3)去绿化管理中心领取树木和植树用的工具;
(4)领完物品,在学校的后勤工作人员的带领下到达植树地点植树;
(5)植树完毕后,全体的工作人员去校园内的花坛、草坪为植物做一些清扫垃圾、简单的枝叶修护等保护活动;
(6)活动结束后,将准备的宣传材料和本次活动的照片向
大家宣传,并收集大家的环保心愿。
注意事项:
(1)工作人员不能迟到,有事提前请假;
(2)注意自身安全,保护好校园内的植物;
(3)植树的时候,注意工具的使用,不能伤及他人;
(4)活动结束后,将物品收集整齐,对植树地点的环境进行整理。
1、网站设计
首先做好网站宣传,首先要解决网站设计问题,网页设计最终达到的效果,应该注意两点:一是网页页面要精致,二是要方便,这里所指的方便时客户在了解和预订时候的方便,如果客户要花大把的时间来寻找所需要的内容,那么就会降低网站的浏览率。其次在设计网页的时候要结构合理,层次要清楚。顾客可以很快可以从目录中寻找到对自己有用的内容。
网页的内容要全面,尽量涵盖公司全面信息,其次网页的"连接应该方便浏览,传输速度和图片下载的速度等方面来考虑,避免打开网页调不出图形的情况。
2、建立短信平台与WAP站点
WAP站点是无线应用协议的缩写,一种实现移动电话与互联网结合的应用协议标准。随着通讯时代的发展,手机上网在越来越多的普及,更多的人通过手机的上网方式来寻找自己需要的内容。要做WAP站点销售需要组建,要组建WAP站点应该从一下几方面入手:
一、公司宣传。
Wap上的公司宣传很能体现文字功底:既要简单明了,又要突出企业的核心竞争力。公司的成立时间、规模、联系方式、主营业务等,是访问者了解一个公司的首要内容,特别是公司的联系方式,可重点予以单列,以方便查阅和联系。
二、产品展示。
公司在WAP网站上,需要表现的重点仍然是产品展示。移动客户访问企业的wap网站往往是有备而来,想了解某个产
品的详细参数或价格。作为我们公司来讲,要有公司客房、餐饮和一些相关设施的照片。
三、客户服务。
对于公司的客户服务而言,可能wap网站比传统网站会更有效。客户服务包括客户咨询与投诉两个方面,通过企业的wap客户服务平台,无论何时何地,客户均能通过手机对公司进行咨询或投诉,而企业对于客户的咨询或投诉能够快速响应,与客户建立起一对一的联系。
3、促销网络
公司的网站只有大量的被访问才能真正的体现网站的价值。从另一个方面来看,网站的促销即网址的促销,有个好的网址让人很容易记住的,也是很有必要的,目前促销手段主要包括:电
子邮件、与各旅游网站合作、搜索引擎、交换旗帜、BBS、等网络等手段。
制定灾难恢复计划需要做的两部分,第一就是灾难前的备份和灾难后的恢复,这就要求我们的对备份数据这块有所投入。其次要制定灾难计划需要弄期初它包含了哪些核心技术。灾备核心技术,首先离不开的就是存储技术。数据在灾难过后保存下来,这是否就足够了呢?答案是否定的。这就需要第二项关键技术,信息系统评估和系统重构技术,这是体系结构需要研究的内容。当前的信息系统都是络环境中的,恶意入侵、病毒、数据通路、用户身份识别都有可能引起安全事故,这就需要第三项关键技术:信息安全技术。除了上述三个关键技术之外,还需要系统管理技术进行系统的协调与管理,这就是第四项关键技术。
一、活动目的为庆祝“五一劳动节”,优惠新老顾客,提高我电器城的品牌知名度及销售业绩,特于20__年5月1日~5月3日期间举行为期三天的“庆‘五一’,欢乐购物中大奖”促销活动。
二、活动范围
我电器城在__地区所有连锁店均参加本次活动。
三、活动主题
庆五一,欢乐购物中大奖。
四、奖项设置
100%中奖,具体的奖项设置如下表所示。
奖项设置一览表
奖项获奖名额奖品
一等奖每天2名各奖名牌冰箱一台
二等奖每天5名各奖名牌电动自行车一辆
三等奖每天30名各奖名牌电热水壶一只
参与奖若干名各奖__牌洗衣粉(200g)一袋
五、抽奖规则与方法
活动期间,凡在我电器城当日全场累积消费满500元即可参加抽奖一次,满1000元可参加两次,以此类推,多买多中,上不封项。
六、活动宣传方式
为保证促销的知名度和效果,拟采用的促销活动宣传方式如下表所示。
活动现场宣传
1.海报、单页、挂旗、折页、pop
2.条幅、拱形门、气球
宣传媒介组合
1.报纸媒体:选择《__晚报》、《__时报》、《__信报》
2.广播媒体:选择。
篇四:网络改造方案完整版
网络优化改造项目施工方案完整
(完整版资料,可直接使用可编辑,推荐下载)
网络优化改造项目实施方案
2021年5月11日
目录
第1章项目概况1.1对项目目标的理解1.2对工作范围的理解第2章设备清单2。1汇聚交换机2。2接入交换机2.3光纤模块1第3章实施方案13.1通过HSRP协议实现汇聚交换机的双机热备功能13。2使用生成树协议防止交换机环路产生13。3IP和VLAN配置23。4路由配置23。5设备命名23.6设备配置调试23。7设备上架安装33.8网络测试3第4章项目实施安排44.1项目进度安排44.2开箱验货44。3商务验收54。4技术验收54.5项目实施管理54.5。1实施重点54。5.2系统安装调试64.5。3项目安装调试4.5。4制定计划第5章项目实施管理5。1项目管理5.1.1实施约定5。1。2计划管理5。1。3质量管理5。1。4文档管理5。1。5风险管理5。2规范化网络系统建设15.3对工程实施的风险控制和保障措施115。4项目实施内容115。5风险考虑12第1章
项目概况
1.1对项目目标的理解
承担福清核电技术要求范围内的设备安装、调试、上线部署及质保服务.内容包括实施前调研、设备采购、设备安装部署、产品技术培训、业务测试、设备试运行和项目验收。
1.2对工作范围的理解
1)负责本项目建设目标的最终实现,协调解决目标实现过程中的各种问题;
2)负责福清核电网络优化改造项目的建设,包括产品的采购、安装和调试实施;
3)制定符合客户要求的项目实施和验收计划;
4)负责提供本项目所涉及相应的工程文档;
第2章
设备清单
2.1汇聚交换机
序号
货物(项目)名称
品牌
规格描述
交换容量:〉=800Gbps;接口:>=32个10G端口,1个扩展插槽,可扩展到40个万兆口;三层功能:支持静态、RIP、OSPF、ISIS、BGP、PBR路由协议
单位
数量
1汇聚交换机
思科CiscoCatalyst4500X台
42.2接入交换机
序号
货物(项目)名称
品牌
思科CiscoCatalyst296规格描述
交换容量:>=16Gbps;接口:>=48个10/100以太网接口,支持2个(SFP或1000BASE—T)接口;支持以太网2层功能、端口安全配置
单位
数量
1接入交换机(一)
台
82接入交换机(二)
思科CiscoCatalyst296交换容量:>=216Gbps;接口:>=24个10/100/1000以太网接口,支持台
4个SFP千兆光口;支持以太网2层功能、端口安全配置,支持堆叠,对堆叠系统实现统一管理,最大堆叠台数为8,堆叠带宽≥80Gbps,支持堆叠内跨机箱的链路捆绑
交换容量:〉=32Gbps;接口:下行3接入交换机(三)
华为S5700-10P
8个百兆端口,上行2个或4个千兆端口;支持以太网2层功能、端口安全配置
台
102.3光纤模块
序号
1货物(项目)名称
千兆单模光模块
品牌
思科
单位
个
数量
2千兆多模光模块
思科
个
19第3章
实施方案
3.1通过HSRP协议实现汇聚交换机的双机热备功能
采用HSRP协议来实现。负责转发数据包的路由交换机称之为活动路由交换机.一旦活动路由交换机出现故障,HSRP将激活备份路由交换机取代活动路由交换机。HSRP协议提供了一种决定使用活动路由交换机还是备份路由交换机的机制,并指定一个虚拟的IP地址作为网络系统的缺省网关地址。如果活动路由交换机出现故障,备份路由交换机承接活动路由交换机的所有任务,并且不会导致主机连通中断现象。
3.2使用生成树协议防止交换机环路产生
两台汇聚交换机之间采用trunk链路连接,每台接入交换机分别与两台汇聚交换机连接,物理上有环路的存在,需要启用生成树协议来阻塞环路,防止网络广播风暴的产生。当有一台汇聚交换机关机或故障时,环路消失,生成树协议阻塞的端口能够自动转换成工作状态,保证接入交换机的上联链路不会中断;两台汇聚交换机,一台配置为根桥,另一台配置为备份根桥。
3.3IP和VLAN配置
IP地址空间的分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性、灵活性和层次性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还有考虑到网络地址的可管理性。IP地址分配尽量分配连续的IP地址空间;相同的业务和功能尽量分配连续的IP地址空间,有利于路由聚合以及安全控制;地址分配在每一层次上都要留有一定余量,以便在网络扩展时能保证地址叠合所需的连续性;IP地址分配处理要考虑到连续外,又要能做到具有可扩充性,并为将来的网络扩展预留一定的地址空间;3.4路由配置
在原有的网络路由基础上核心交换机、汇聚交换机、接入路由器之间运行动态路由协议,实现网络路由的自动选择,提高网络的可靠性.在汇聚交换机和接入交换机之间,直接采用VLANtrunk方式,接入交换机的端口归属于某一个VLAN,供用户接入,而每个VLAN的网关则配置在汇聚交换机上,VLAN用户访问服务器资源或不同VLAN之间的用户相互访问时通过汇聚交换机来转发。
3.5设备命名
交换机、路由器等设备的命名以及链路的命名,参考福清核电相关的命名规范。
3.6设备配置调试
汇聚交换机需要先安装到机柜,安装电源、引擎、板卡等模块才能进行加电测试、配置等步骤,接入交换机则采用集中加电测试、配置,然后再安装到相应位置.1)
加电测试
设备互联前,需要对每台设备进行加电测试,确定所有设备正常。设备加电测试验收的主要方法是在设备加电后观察设备以及其模块的状态等,并登录到设备上使用showver,showdiag,showinventory等命令检查设备的模块,内存,软件版本等软件配置是否符合要求,电源、风扇、引擎板卡、接口模块等是否工作正常。
编号
1测试验收内容
电源、风扇、自检状态灯等
测试验收方法
设备加电后,检查系统状态灯以及模块的状态灯颜色(通常最终显示为绿色为正常);
设备加电后,使用showversion,showdiag,showintentory等命令检测设备系统状态以及设备模块状态;
2系统软件版本、内存容量,模块状态
2)
设备配置
在设备加电完成后,按照实施前沟通确认的ip规划、vlan规划等具体要求对网络设备进行配置,将配置文件灌入或者手工配置成最终设备配置状态.3.设备上架安装
1)
确认设备场地环境要求,主要确认环境温度、湿度,以及电源等是否符合要求。
2)
设备搬运到最终安装地点,安装到机架指定位置,固定好。
3)
给设备打标签。
3.网络测试
测试的目的是检验本项目中所供或的产品(含软硬件)工作是否正常,项目是分阶段实施,测试也是每个实施阶段都需要进行。并且在整个项目实施完成后,进行一次整体的网络测试。
在测试工作开始之前,项目实施组就本阶段实施内容制定测试方案,在方案获得福清核电方面认可后,按照该方案开展测试工作。测试的过程和结果将以测试报告的形式予以记录。
测试内容包括如下功能性测试:
1)
交换机设备测试
通过设备指示灯,相关show命令,测试查看交换机状态,板块、模块是否正常
查看hsrp状态,通过showhsrp等相关命令查看hsrp状态是否正确
查看生成树协议状态,通过showspanning—treebrief、showspanning-treedetail、showspanning-treeinterface等命令,查看生成树协议状态是否正确
查看路由状态,通过showospf、showiproute等命令查看路由ospf状态,路由信息是否正确
2)
网络连通测试
测试客户端访问公司内部服务器应用,访问因特网等是否正常.测试方法:从各分支的汇聚交换机、接入交换机,以及用户电脑上用ping访问福清核电指定的IP地址,测试目标有回应显示连通可达;并从用户电脑上访问数据中心的服务器的相关应用看能否正常访问.第4章
项目实施安排
4.1项目进度安排
2021年福清核电网络优化改造项目计划阶段关键节点
时间
序号
开始
12合同签订之日起
合同签订19日起
结束
合同签订18日内
合同签订19日内
开箱验货,签收,在18日内结束
设备安装地点勘察设计
设备安装调试完成,系统测试,达到招标文件要求,通过内部验收,开始试运行
系统培训、项目验收/工程资料交接
开箱验货
规划安装地点
安装调试,系统测试,开始试运行
系统培训、验收/工程资料交接
任
务
备注
3合同签订20日起
合同签订28日内
4合同签订29日起
合同签订30日内
4.2开箱验货
在设备运抵用户指定的安装现场时,我们将派相应的商务代表和工程师到达安装现场,按我们所提供的实施计划,对所有产品(包括硬件设备、系统软件等)与用户设备接收负责人一道,进行开箱验货,共同完成对设备的验收工作。
1、商务验收.将对设备的型号、规格、数量、外型、包装及资料文件(如装箱单、保修单、随箱介质等)进行逐项验收。
2、技术验收.将对产品的性能和配置进行测试检查,并对配套设备进行连接测试、平台测试。
3、验收完毕后签署设备验收单.
4.3商务验收
依照标书要求,由用户单位与我们公司对所到设备的型号、规格、数量、外型、包装及资料文件(如装箱单、保修单、随箱介质等)进行逐项验收,完成设备的商务验收工作,填写设备验收证书。
如果所到设备的型号、规格、数量、外型、包装及资料文件等与合同要求相一致,双方将完成验收证书。
如果发现所到设备的型号、规格、数量、外型、包装及资料文件等与合同要求出现差异,双方在完成验收证书的同时,将编写设备到货备忘录,协商好解决问题的方法,汇报用户,由我们公司负责尽快处理。
4.4技术验收
为了对设备进行进一步的考核,我们会对所有设备进行功能测试,如果发现设备性能指标不符合要求,或出现严重的质量问题,我们将与用户设备接收负责人一起,编写设备到货测试备忘录,协商好解决问题的方法,汇报用户,由我们公司负责尽快处理.具体的测试方法为:
1、启动测试。对每台设备进行加电测试,测试其硬件、系统软件的启动情况,是否能正常启动,达到标书要求。
2、系统测试。对每台能正常启动的设备,对不同的产品,按照产品的说明书,对系统的各项配置、命令等进行测试,是否能达到用户的要求.3、连接测试。对每台模块测试正常的设备,将与其他设备,按照用户实际的连接需求,进行测试,是否能达到用户的要求。
4、到货技术验收测试。作为到货技术验收测试仅针对硬件设备,软件的测试将在系统的安装和调试中进行。
4.5项目实施管理
4。5.1实施重点
1.
按照要求进度制定详细的施工计划,确保在要求时间内完成全部设备安装、调试工作。
2.
设备的现场验收,保证设备无短缺或破损或版本不对.3.
抓好工程质量管理,质量目标的实现。
4.
合理组织安排施工,确保进度目标的实现。
5.
做好工程宣传以及标准化的管理,以达到文明施工,标准化工地的目标。
6.
根据现场情况,合理使用机械对工期较为重要。
7.
安全生产与工程质量放在第一位,防火措施是重中之重。
8.
系统测试,确保系统测试的条款应与技术规范书一致。
9.
树立为客户服务、为客户着想的精神,一切以客户利益为重.4。5.2系统安装调试
设备安装时,我们会提供设备的最新型号和软件的最新版本。
任务:依据《项目实施方案》,提供整个设备的软硬件安装调试服务。
目标:
1.到货后按进度计划完成所有设备的安装调试
2.在进度计划内完成各节点的安装和调试
具体工作:
3.设备在安装后,进行系统参数配置,各设备进行独立运行测试,通过配置程序检查系统配置结果,并通过测试程序进行功能和性能检测。
4.在设备独立运行测试后,将连入原系统进行联调和运行测试,检查系统运行状况、系统日志。
5.系统联调,按应用需求对系统进行检测,测试系统的功能上和性能上能否满足要求。
6.测试购买设备与原有设备的兼容性,确保新购买设备能够与原有设备能够正常通讯,新加的设备不影响系统的正常运行.7.单点安装调试测试验收完成单点单个设备的安装等工作并签字确认。
8.整理现场实施环境,并整理《工程实施文档》及《维护手册》,做好技术材料的移交。
9.在在项目现场就设备的安装、启动、运营、维护对用户人员进行培训。
关键点:
1)
本次实施对整个工期的控制都至关重要,制定详细的项目计划和合理的实施步骤至关重要.2)
在具体的项目实施过程中,我们的项目经理会根据实施时的实际情况,安排合理的路线,设计详细的施工计划,保证设备安装在交货后按计划完成。
3)实施中,由我们提供设备组装和维修所需的工具。设备安装、调试
4.5。3项目安装调试
1.乙方人员在设备安装前必须完成对施工现场的勘测,与甲方共同制定设备安装方案。
2.在合同规定的开工日一周前,乙方工程人员与甲方工程人员一起对设备的施工准备情况实施检查确认,如因甲方准备工作不充分,则开工日期顺延.3。安装材料按买、卖双方确定的安装界面划分,由买、卖双方分别提供。具体的材料经乙方现场勘测和与甲方落实安装界面分界处接点材料型号、规格后由乙方负责.4.双方将按共同制订的工程进度计划实施工程安装。乙方安装督导或工程负责人与甲方工程人员应密切合作,双方组成工程联络小组,定期召开工程协调会,协调安排工程计划进度,报告工程情况。
5.安装人员建议
甲乙双方在设备实施和安装过程中应该通力配合,乙方最好派遣熟悉自身网络环境的工程师进行协同。
6。甲方需提供各机房内的装机条件和测试条件,给乙方工程人员提供方便.例如:
、等。
4.5.4制定计划
在实施之前,首先应了解实施区域的内部网络环境,以及内网系统应用、了解必要的参数情况,例如网络环境的IP地址参数、以及应用服务器的IP地址和端口号信息等。并且制定明确的实施计划,避免实施工作无序进行。
第5章
项目实施质量保障
5.1项目管理
5.1。1实施约定
任何项目的实施都需要有一些前提和约定,事先在这些事项上达成共识,并且在实施过程中时时注意这些因素,是项目实施顺利进行的必要保证。
双方将确保项目实施在事先商定的范围内进行,如有变化,必须按双方拟定的范围改变控制程序进行。
项目系统支持组将负责所有硬件及网络环境的建立和维护,为项目实施提供保证。
5.1.2计划管理
根据项目进度的要求,制定切实可行的工作计划,规定每个成员的任务,检查任务完成的情况和质量,是保证项目顺利实施的重要保证。工作计划管理应包括以下几点:
按周作出工作计划,并经双方批准。
每周进行工作量统计,质量检查.每周作出工作小结,说明未完成原因及改进建议。
工作分解到人。
项目经理应随时协调每人的工作。避免重复或脱节。
5.1。3质量管理
乙方建议设立专门的质量顾问对项目实施质量进行控制,严格执行有关阶段管理的规定,并通过相关评审.主要包括以下阶段点:
需求评审
系统设计评审
工作质量的审查与评定
工作质量的测试
系统上线评审
工作过程的控制和资料的完整性
负责归集客户签署的阶段成果确认书
系统验收评审
质量审查
审查是以计划的内容为基础,以目标和方法为依据,对所用的各种技术工作进行描述,同时提交执行文档和软件,所有提交审查的记录将会做为解决活动的审计线索被保存。
5。1.4文档管理
在项目实施过程中,由于项目实施的复杂性,多方人员参加以及时间跨度长等因素,所以任何需求、建议、解决方案和结论都必须文档化、标准化,以便查阅和引用。实施文档应作为项目成果的一个组成部分。
下列项目资料将在实施期间收集:各类设计,测试文档。包括:
项目管理文档
区域实施过程中提交客户的各类文档
客户化文档和区域实施文档
客户提交的需求文档
客户需求改变报告和批准书
测试方案和测试结果报告
客户签署的阶段成果确认书
项目总结报告
顾问现场工作日程表(Form)和日志(Log)建立需求改变表(Form)和日志(Log)建立问题与风险报表和日志
建立周,月,阶段工作总结报告
建立会议备忘录和日志
5.1。5风险管理
1.用户不能准确表达需求/用户技能的限制
在大型系统实施时,首先要对用户现场的现状及用户需求做详尽的描述。通常由于用户人员对自己的业务理解还在不断的深化,因此往往在实施应用系统时用户对需求的描述会随着实施的不断深入而有所改变,造成系统需求的不稳定。
2。系统技能和技术风险
对项目实施而言,选择一个好的产品是十分重要的,一个好的产品的标准是:
该产品必须是久经市场考验的.该产品有很好的系统性能,包括:有一个好的技术结构。
有良好的技术基础,有良好的售后服务支持体系.3.领导层的全力支持
领导层的全力支持是必不可少的。我们必须尽一切可能争取他们的关心和支持;定期或不定期,口头或书面向领导层汇报;在考虑解决方案时要兼顾信息共享和数据的安全保密性,既要保证上级机关及时准确地得到需要的数据,又要兼顾企业业务活动的相对独立性等。
4。避免实施人员变更影响项目进度
由于本项目的实施周期较长,实施人员的变更可能性很大。如何防止人员变更对项目实施的影响.我们建议所有实施人员所作的实施工作都应有文档记录,经客户方确认的文档应交由专人保管,包括纸张和电子介质。
所有的需求,承诺和解决方案等均以书面签字为准。不得随便更改其中的内容.除非通过同样的审批程序进行。
这样新的实施人员可以通过阅读上述文档,很快进入工作状态.对前任工作成果的修改控制可避免一些不必要的返工。
5.2规范化网络系统建设
1.规范建设
对于本项目网络工程设计和实施,我们将严格遵循有关技术标准和行业规范,按照用户标书和其它正式材料中所列的技术规范和要求执行。
2.文档管理
在项目建设过程中我们将生成各种文档并进行整理,用户审核认可之后作为系统文档资料由双方留存归档,以备今后维护和升级时使用。
具体文档包括:
网络系统调试记录
网络系统测试报告
系统安装与使用手册
系统维护手册
系统验收报告
3。进度管理
我方的项目进度管理严格遵循以下原则:
项目进度管理的依据是项目合同所约定的工期目标;
在确保项目质量和安全的原则下,控制项目进度。
我方的项目进度管理包含以下内容:
中标人在了解项目特点的前提下,根据工期目标,提交总体进度计划,以及定期提交阶段性工作计划。
制定详细的项目建设进度计划,按照合同的进度计划制定具体的实施计划,定期跟踪检查,对可能发生的工程延误提出相应对策;
定期或不定期地召开或参加项目例会、协调会议等,向招标人通报项目进展情况,提交进度报告,及时解决相关问题。
建立项目变更流程,记录项目变更。
5.3对工程实施的风险控制和保障措施
进度计划的保障措施包括:
1.在项目执行过程中,双方可根据项目的进行情况及时召开技术协调会,讨论项目的技术问题及合同执行情况等重大问题;做到当日问题当日解决方案;
2.设立定期例会制度;
3.提前订货、缩短供货期的承诺和措施;4.在施工过程中与其他工程和项目发生交叉和冲突时,承诺先解决施工问题保证工期,后研究分歧和完善技术设计等.5.4项目实施内容
实施工作从合同签署到系统的移交,整个项目实施主要分为四大步骤,即:签订合同、工程实施的准备、工程实施以及系统验收.签订合同是项目实施的开始,是双方承诺的责任和义务以法律形式确定下来的时刻。
工程实施的准备是我司与甲方在紧密配合下完成设备订货、生产、发货、运输与供货的过程,同时也包括了对用户的先期培训。
工程实施是我们负责进行投标设备的安装调试工作,并按招标方的要求最终完成工程工作。我们会在此基础上按要求准备相关文档,配合用户进行系统最终验收。
1.设备实施安装时,我们会提供设备的最新型号和软件和最新版本。
2.我们会按招标文件要求,在合同规定的时间内,以完工验收申请报告形式书面通知用
户,以声明整个项目完毕,用户应确认申请报告的第三个工作日为验收测试开始日.3.我们会向用户提出项目整体测试,直到整体测试合格为止,而不会要求用户接受部分验收。
4.我们会在验收合格后出具测试报告,我们和用户代表签字并加盖公章。
5.其它软、硬件产品按合同要求和产品质量保证书的要求进行验收,验收合格后由我们出具测试报告,我们和用户代表签字并加盖公章。
系统集成项目实施的主要内容包括:
(1)工程计划和管理
熟悉用户的业务需求,了解用户的业务发展,为用户提供“评估—规划—实施—管理"的系统工程服务.(2)设计条件会
设计条件会的主要内容包括整个系统体系结构、系统功能的介绍,系统硬件、软件技术细节澄清,讨论硬件设计方案、技术培训内容以及系统验收指标和程序.(3)技术培训
乙方提供2人次原厂相关系统培训.(4)包装运输
妥善包装系统设备,运往用户的安装现场。包装材料、箱子以及固定方法达到出口的运输标准,防止运输及存放过程中出现损坏或腐蚀现象。
(5)现场开箱、安装、上电和调试
与用户及有关方充分合作,对现场安装、接线和通电进行全面指导,并在设备到现场后进行与出厂验收类似的简单测试,检查系统硬件和软件的运行,检查系统各部分的功能是否满足要求。
(6)工作系统移交
在系统连续无故障运行一段时间(或经最终用户确认)后,将完整的工作系统和资料移交给用户,并签字验收。
5.5风险考虑
在工程项目中,我们认为以下几个风险是需要仔细考虑:
1.
到货时间:
由于该项目的实施周期较短,为此,设备要在规定时间内交到用户现场,否则将
严重影响后续工作的顺利进行。
2.
人力资源:
为保证项目能够按时完成,必须保证足够的人力资源,否则严重影响工期。解决办法我方将派出具有丰富项目实施经验的资深技术专家,组成项目实施小组,使安装调试的工作得以按时完成。
3.
设备出现故障:在实施的过程中,可能会有一些设备出现故障,如果没有相应的备品与备件,也将直接影响工程的进度。解决的问题的方法是建立备品与备件库,一发现问题,立即更换或维修设备,保证系统的正常运行.
坪山新区管委会
综合布线系统施工方案要求
简介:本施工方案系我公司对网络综合布线敷设工程的构思和部署,用来指导工程施工,确保工程的优质高效的完成。
第一章;管理要求;
1、安全管理
1)建立项目安全生产管理机构,对工程施工的安全进行监督检查;
2)建立安全生产责任制,责任到人,保证安全生产的顺利进行;
3)实行安全生产的教育与培训制度,对进行作业的员工普及安全生产的知识和法规,提高职工的安全意思和自我保护能力,做到安全生产;
4)实行安全生产检查制度,检查临时用电的安全性、使用情况,检查安全设施和安全标志的设置情况,检查有无隐患以及应急预案,保证安全生产得到落实;
5)实行生产安全事故报告和处理制度,发现事故及时上报,保护现场,组织人员抢救,防止事故扩
2、文明施工
1)进场施工人员须穿好工作服,佩带标识牌。
2)施工中讲求科学,遵守工艺纪律,杜绝野蛮施工。
3)施工现场设置施工标牌和各类防护标志。
4)已安装就位设备要有防污染、防损伤、防盗措施。
5)现场的线缆合理布置,不准乱拉乱扯。
6)及时回收、废料,严禁乱堆乱放,作到工完料尽场地清,施工现场应及时清扫,保证场地清洁和道路畅通。
3、服务承诺
1)认真落实为客户使用信息化工程提供“一条龙服务交钥匙工程”,为客户提供便捷、优质的服务。
2)公司全体员工必须严格遵守职业道德规范。
3)本着对工程质量负责的态度,保证所敷设安装的线缆按照现行规范执行。
第二章,网络线缆施工方案要求;
1、电缆桥架及线槽的安装要求;1)桥架及线槽的安装位置应符合施工图规定,左右编差不应超过50mm;2)桥架及线槽水平度每米偏差不应超过2mm;
3)垂直桥架及线槽应与地面保持垂直,并无倾斜现象,垂直度偏差不应超过3mm;
4)线槽截断处及两线槽拼接处应平滑、无毛刺,线槽的转角处为直角,必须大于120度;
145)吊架和支架安装应保持垂直,整齐牢固,无歪斜现象;
6)金属桥架及线槽节与节间应接触良好,安装牢固;7)金属桥架及线槽必须做防锈处理,并且必须做好接地处理。
2、缆线敷设的要求;
1)缆线的型式、规格应与设计规定相符.
2)缆线的布放应自然平直,不得产生扭绞、打圈接头等现象,不应受外力的挤压和损伤。
3)缆线两端应贴有标签,应标明编号,标签书写应清晰,端正和正确.标签应选用不易损坏的材料。
4)缆线敷设要留有余量,墙上和地上的信息位预留线30cm左右,屏风上信息点要根据不同屏风(有些插座在底下,有些插座在台上等等)的情况预留线,一般预留50cm左右;缆线终接后,应有余量.配线间、设备间UTP电缆预留长度宜为50cm,工作区为10cm;光缆布放宜盘留,预留长度宜为3~5m,有特殊要求的应按设计要求预留长度。
5)缆线的弯曲半径应符合下列规定:
aUTP线缆的弯曲半径应至少为电缆外径的4倍;bSTP线缆的弯曲半径应至少为电缆外径的6~10倍;
6)电源线、综合布线系统缆线应分隔布放,缆线间的最小净距应符合设计要求,具体规定如下:
UTP与电力线最小净距
范围
条件
UTP与电力电缆平行敷设
有一方在接地的金属槽道或钢管中
双方均在接地的金属槽道或钢管中
13070注
30015080600300150380V〈2kV。A最小净距(mm)
380V2.5~5kV.A380V>5Kv.A注:双方都在接地的金属槽道或钢管中,且平行长度小于10m时,最小间距可为10mm。表中对绞电缆如采用屏蔽电缆时,最小净距可适当减小,并符合设计要求.7)建筑物内电、光缆暗管敷设与其它管线最小净距规定如下:电光缆暗管敷设与其它管线最小净值
管线种类
避雷引下线
平行净距(mm)1000垂直交叉净距(mm)30015保护地线
热力管(不包封)热力管(包封)
给水管
煤气管
压缩空气管
堵
50500300150300150205003002020208)在暗管或线槽中缆线敷设完毕后,在信道两端口出口处必须用填充材料进行封9)敷设暗管采用钢管或阻燃硬质PVC管。布放多层屏蔽电缆、扁平缆线和大对数主干光缆时,直线管道的管径利用率为50%~60%,弯管道应为40%~50%;暗管布放4对UTP电缆或4芯以下光缆时,管道的截面利用率应为25%~30%;预埋线槽宜采用金属线槽,线槽的截面利用率不应超过50%;以4对UTP线缆为例,20mm线管最多可放4根,25mm线管最多可放6根。
10)设置电缆桥架和线槽敷设缆线应符合下列规定:
电缆线槽、桥架宜高出地面2.2m以上。线槽和桥架顶部距楼板不宜小于30mm;在过梁或其它障碍物处,不宜小于50mm.?
槽内缆线布放应顺直,尽量不交叉,在缆线进出线槽部位、转弯处应绑扎固定,其水平部分缆线可以不绑扎。垂直线槽布放缆线应每间隔1.5m固定在缆线支架上。
电缆桥架内缆线垂直敷设时,在缆线的上端和每间隔1.5m处应固定在桥架的支架上;水平敷设时,在缆线的首、尾、转弯及每间隔5~10m处进行固定.
在水平、垂直桥架和垂直线槽中敷设缆线时,应对缆线进行绑扎。对绞电缆、光缆及其它信号电缆应根据缆线的类别、数量、缆径、缆线芯数分束绑扎。绑扎间距不宜大于1.5m,间距应均匀,松紧适度.
11)插座安装的位置通常按客户指定位置,一般情况墙面的是安装在离地30cm处,屏风的是安装在底下走线槽表面上。
3、保护措施;
1)
线槽直埋长度超过30m或在线槽路由交叉、转弯时,宜设置过线盒,以便于布放缆线和维修。
2)
过线盒盖能开启,并与地面齐平,盒盖处应具有防水功能。
3)
预埋在墙体中间的最大管径不宜超过50mm,楼板中暗管的最大管径不宜超过25mm.
4)
暗管的转弯角度应大于90度,在路径上每根暗管的转弯角度不得多于2个,并不应有S弯出现,有弯头的管段长度超过20m时,应设置管线过线盒装置;在有2个弯时,不超过15m应设置过线盒。
5)
暗管转弯的曲率半径不应小于该管外径的6倍,如暗管外径大于50mm时,不应小于10倍。
6)
暗管管口应光滑,并加有护口保护,管口伸出部位宜为25~50mm.
167)
桥架水平敷设时,支撑间距一般为1.5~3m,垂直敷设时固定在建筑物构体上的间距宜小于2m,距地1。8m以下部分应加金属盖板保护。
8)
金属线槽敷设时,在下列情况下设置支架或吊架
a线槽接头处;
b每间距3m处;
c离开线槽两端出口0.5m处;d转弯处。
9)塑料线槽槽底固定点间距一般小于1m。
10)铺设活动地板敷设缆线时,活动地板内净空应为150~300mm。
11)金属线槽、缆线桥架穿过墙体或楼板时,应有防火措施。
12)缆线不得布放在电梯或供水、供汽、供暧管道竖井中,亦不应布放在强电竖井中。
13)光纤进机柜必须套上软管加以保护。
14)工程施工时,要用报纸遮盖住办公台及设备,避免损坏办公设施;离开时必须将移动过的设备必须复原及清理干净,中途休息或下班时必须情理现场及收拾工具及场地。
15)施工时如发现客户已有设备或装备本来已损坏或损破必须及时通知客户现场察看备案。
4、配线架和模块端接要求;
1)配线架和模块的端接必须严格遵循TIA/EIA568B标准执行,按照配线架和模块上B标准的颜色打线。
2)配线架和模块端接时线缆剥皮要<1/2英寸,端接必须牢固,不能松脱。
3)根据每个机柜配线架的数量平均分两边扎线,固定在机柜上,扎带不能扎太紧,而且线要理顺不能打叉;模块端必须要加上防尘盖,线缆要在底盒内要预留一点线,以便维修,而且线要在底盒里理顺不能打折.4)固定螺丝需拧紧,不应产生松动现象.5)各种插座面板应有标识,以颜色、图形、文字表示所接终端设备类型。
6)模块的排序必须统一,以双口插座为例:左边为数据,右边为语音。
5、25对线缆的排列顺序;
按TIA/EIA568B标准,颜色排列如下
:
12341白蓝、蓝
红蓝、蓝
黑蓝、蓝
黄蓝、蓝
2白橙、橙
红橙、橙
黑橙、橙
黄橙、橙
173白绿、绿
红绿、绿
黑绿、绿
黄绿、绿
4白棕、棕
红棕、棕
黑棕、棕
黄棕、棕
5白灰、灰
红灰、灰
黑灰、灰
黄灰、灰
5紫蓝、蓝
紫橙、橙
紫绿、绿
紫棕、棕
紫灰、灰
二芯线安装标准
配线架均只打蓝对线位置(即45),每条25对线安装一个24口配线架,第25对(紫灰、灰)做备用.6、跳线安装要求;1)UTP/STP568A标准,颜色排列如下
:
1-顺序:白绿、绿、白橙、蓝、白蓝、橙、白棕、棕
2)UTP/STP568B标准,颜色排列如下
:
1—8顺序:白橙、橙、白绿、蓝、白蓝、绿、白棕、棕
3)跳线做头的要求
做RJ-45头,已剥皮的线要藏在RJ—45头里面,线头的皮要被压住,已剥皮线不能露在外面,跳线标签的位置是大于0.5cm及小于1cm;跳线都必须要通过100BaseT测试。
4)跳线的跳接都必须经过理线架管理,而且线缆要保持一定的弯曲半径,要把线理顺,不能折.7、颜色安排;
1)配线架和用户插座标签颜色安排如下:
Yellow(黄色):DataHorizontal(数据水平布线)
Blue(蓝色):VoiceHorizontal(语音水平布线)
White(白色):DirectLine(直线、汇线通和)2)跳线颜色安排如下:
Yellow(黄色):DataHorizontal(数据机柜跳线)
Blue(蓝色):VoiceHorizontal(语音机柜跳线)
Grey(灰色):UserOutlet(数据用户跳线)
8、机柜的要求;1)进机柜的线要预留3-4m.2)机柜安装配线架要留2个U空间,以便安装公司标牌板,配线架从第3个U开始安装。
3)机柜的后面必须预留空间,以便维修,一般预留60cm.4)机柜并排安装必须用螺钉固定紧,并且做好接地处理。
第三章、光缆敷设施工方案要求;
1.光缆的户外施工;
1)较长距离的光缆敷设最重要的是选择一条合适的路径,架设的或地埋的可能性等。必须要有很完备的设计和施工图纸,以便施工和今后检查方便可靠.施工中要时时注意不要使光缆受到重压或被坚硬的物体扎伤.光缆转弯时,其转弯半径要大于光缆自身直径的20倍.
12)户外管道光缆施工前应核对管道占用情况,清洗、安放塑料子管,同时放入牵引线。
自然弯曲增加长度m/km5人孔内拐弯增加长度m/孔0.5~1接头重叠长度m/侧8~10室(局)内预留长度m15~23)计算好布放长度,一定要有足够的预留长度及其它余留按设计预留
4)一次布放长度不要太长一般2KM,布线时应从中间开始向两边牵引。
5)布缆牵引力一般不大于120kg,而且应牵引光缆的加强心部分,并作好光缆头部的防水加强处理。
6)光缆引入和引出处须加顺引装置,不可直接拖地,管道光缆也要注意可靠接地。2。建筑物内光缆的敷设;
1)垂直敷设时,应特别注意光缆的承重问题,一般每两层要将光缆固定一次。
2)光缆穿墙或穿楼层时,要加带护口的保护用塑料管,并且要用阻燃的填充物将管子填满。
3)在建筑物内也可以预先敷设一定量的塑料管道,待以后要敷射光缆时再用牵引或真空法布光缆
3.光缆在楼内的敷设;
1)高层建筑
如果本楼有弱电井竖井,且楼宇网络中心位于弱电井竖井内,则光缆沿着在弱电井竖井敷设好的垂直金属线槽敷设到楼宇网络中心否则包括本楼没有弱电井或竖井的情况,则光缆沿着在楼道内敷设好的垂直金属线槽敷设到楼宇网络中心。
2)光缆固定在楼内敷设光缆时可以不用钢丝绳,如果沿垂直金属线槽敷设,则只需在光缆路径上每2层楼或每35英尺10.5M用缆夹吊住即可.如果光缆沿墙面敷设,只需每3英尺1M系一个缆扣或装一个固定的夹板.
3)由于光缆对质量有很高的要求,而每条光缆两端最易受到损伤,所以在光缆到达目的地后,两端需要有10M的富余量,从而保证光纤熔接时将受损光缆剪掉后不会影响所需要的长度.
4)光纤跳线的安装及光纤跳线采用单条光纤设计。双跨光纤跳线包含2条单光纤,它们被封装在一根共同的防火复合护套中。这些光纤跳线用于把距离不超过100英尺30M的设备互连起来.光纤跳线可分为单芯纤软线和双芯纤软线,其中单芯纤软线最大拉力为27磅12。15公斤,双芯纤软线最大拉力为50磅22。5公斤。
将光纤与ST头进行熔接,然后与耦合器共同固定于光纤端接箱上,光纤跳线1头插入耦合器,1头插入交换机上的光纤端口。
4.光缆搬运及敷设要点;
1)光缆在搬运及储存时应保持缆盘竖立,严禁将缆盘平放或叠放,以免造成光缆排线混乱或受损.
2)短距离滚动光缆盘,应严格按缆盘上标明的箭头方向滚动,并注意地面平滑,以免损坏保护板而伤及光缆。光缆禁止长距离滚动。
3)光缆在装卸时宜用叉车或起重设备进行,严禁直接从车上滚下或抛下,以免损坏光缆。
4)敷设时应严格控制光缆所受拉力和侧压力,必要时应询问光缆相关机械强度指标。
5)敷设时应严格控制光缆的弯曲半径,施工中弯曲半径不得小于光缆允许的动态弯曲半径。定位时弯曲半径不得小于光缆允许的静态弯曲半径.
16)光缆穿管或分段施放时应严格控制光缆扭曲,必要时宜采用倒8字方法,使光缆始终处于无扭状态,以去除扭绞应力,确保光缆的使用寿命。
5.光缆熔接要求;
1)
光纤在光纤盘内必须盘纤两圈以上,盘纤不能扭曲,而且光纤要固定好不能松动。
2)
光纤端接颜色必须按标准从左至右排序:蓝、橙、绿、棕、灰、白。
3)
光纤熔接及接头与耦合器必须接触牢固不能松脱。
4)
光缆链路的衰减测试要求如下:
布线
链路长度
单模光缆
(m)
水平
建筑物主干
建筑物主干
10501501310nm
2.22.3。61550nm
2.22。3.62.53。7.4衰减
(dB)
多模光缆
850nm
1300nm
2。22.63。66。光纤剥离程序光纤的基材和光纤涂层是用热剥离法去除;1)把在光带夹具里的带状光纤放进热剥离器(又叫加热剥离钳)内5-8s,其时间长短根据带状光纤的基材与光纤涂层而定;
2)光纤被剥离后,在光纤表面可发现少量的剩余涂层材料,应用无棉絮纸巾和大于99纯度的酒精进行清洗。
3)光纤的切割质量是保证低熔接损耗的重要因素。要保持切割刀的良好性能,切割刀的v型槽和光纤表面必须保持十分清洁,切割后的光纤端面角度<1°,切割长度10mm7.光纤熔接过程;
1)光纤放在v型槽内,预熔电弧烧掉光纤表面杂质,检查光纤端头;
2)熔接续前检查和测试熔接机电弧强度,寻找最佳接续条件,显示熔接损耗估算值(估算值是根据光纤间端面距离、光纤端面角度和光纤包层外径的对位来计算的).
8.熔接后进行机械保护;
1)将套在熔接点上的套管放入熔接机所附的加热器槽内时,套管中的支撑棒应安放在下面;
2)将经过熔接点加强保护后的光纤安装在接头盒内。
2下面为附送毕业论文致谢词范文!不需要的可以编辑删除!谢谢!
毕业论文致谢词
我的毕业论文是在韦xx老师的精心指导和大力支持下完成的,他渊博的知识开阔的视野给了我深深的启迪,论文凝聚着他的血汗,他以严谨的治学态度和敬业精神深深的感染了我对我的工作学习产生了深渊的影响,在此我向他表示衷心的谢意
这三年来感谢广西工业职业技术学院汽车工程系的老师对我专业思维及专业技能的培养,他们在学业上的心细指导为我工作和继续学习打下了良好的基础,在这里我要像诸位老师深深的鞠上一躬!特别是我的班主任吴廷川老师,虽然他不是我的专业老师,但是在这三年来,在思想以及生活上给予我鼓舞与关怀让我走出了很多失落的时候,“明师之恩,诚为过于天地,重于父母",对吴老师的感激之情我无法用语言来表达,在此向吴老师致以最崇高的敬意和最真诚的谢意!
21感谢这三年来我的朋友以及汽修0932班的四十多位同学对我的学习,生活和工作的支持和关心。三年来我们真心相待,和睦共处,不是兄弟胜是兄弟!正是一路上有你们我的求学生涯才不会感到孤独,马上就要各奔前程了,希望(,请保留此标记。)你们有好的前途,失败不要灰心,你的背后还有汽修0932班这个大家庭!
最后我要感谢我的父母,你们生我养我,纵有三世也无法回报你们,要离开你们出去工作了,我在心里默默的祝福你们平安健康,我不会让你们失望的,会好好工作回报社会的。
致谢词2在本次论文设计过程中,感谢我的学校,给了我学习的机会,在学习中,老师从选题指导、论文框架到细节修改,都给予了细致的指导,提出了很多宝贵的意见与建议,老师以其严谨求实的治学态度、高度的敬业精神、兢兢业业、孜孜以求的工作作风和大胆创新的进取精神对我产生重要影响。他渊博的知识、开阔的视野和敏锐的思维给了我深深的启迪。这篇论文是在老师的精心指导和大力支持下才完成的感谢所有授我以业的老师,没有这些年知识的积淀,我没有这么大的动力和信心完成这篇论文。感恩之余,诚恳地请各位老师对我的论22文多加批评指正,使我及时完善论文的不足之处。
谨以此致谢最后,我要向百忙之中抽时间对本文进行审阅的各位老师表示衷心的感谢。开学自我介绍范文:首先,我想说“荣幸",因为茫茫人海由不相识到相识实在是人生一大幸事,更希望能在三年的学习生活中能够与大家成为好同学,好朋友。其次我要说“幸运",因为在短暂的私下接触我感觉我们班的同学都很优秀,值得我学习的地方很多,我相信我们班一定将是团结、向上、努力请保留此标记。)的班集体.最后我要说“加油”衷心地祝愿我们班的同学也包括我在内通过三年的努力学习最后都能够考入我们自己理想中的大学,为老师争光、为家长争光,更是为了我们自己未来美好生活和个人价值,加油。哦,对了,我的名字叫“***”,希望大家能记住我,因为被别人记住是一件幸福的事!!)查看更多与本文《高中生开学自我介绍》相关的文章。
23第二节
优化施工
优化施工,首先应该优化施工技术管理。逐步改进落后的施工工艺,不断提高施工技术管理水平,提高施工生产效率.因此,本项目优化施工方面的工作,建议从施工现场入手,在本工程项目建设过程中,不断增强创新的科学意识,营造建设工程新材料、新技术、新工艺的培育土壤和环境,以提升本项目科学开展观的精神面貌和技术管理水平,最后达到本工程项目优化施工之目的.一、施工现场
1.
科学性和可行性
施工现场管理的意义首先在于,它是进行项目各项施工,逐步改善施工方法、优化施工工艺的“舞台”。所有的施工活动都要通过这个“舞台"来实施。大量的物质、劳动力、机械设备都需要通过这个“舞台”有条不紊的逐步转变为建筑物或建筑设施。因而这个“舞台”的布置正确与否是“节目"能否顺利进行的关键,也是本工程项目优化施工的根本所在.其次,施工现场管理师连接优化施工等项目其他工作的“纽带"。施工现场管理很难和优化施工等技术管理工作分开,优化施工也必须和施工现场管理组合,二者如果结合良好,就可一举多得,反之,优化施工将成为“空谈”。因此,施工现场管理是优化施工工作的“基础条件”,优化施工是施工现场和技术管理的“必然结果"。
最后,由于国家对于安全、环境保护和节约资源的重视,有关法规的健全,以及在市场经济的剧烈竞争形势下,施工企业已逐渐了解优化施工的重要性。为增强企业在市场的竞争力,施工现场管理、施工技术管理、优化施工工艺将会得到普遍的重视。
2.
社会经济效益
通过严格执行施工现场管理,能促进本项目施工技术管理,优化施工工艺的实施。使本工程项目施工进展有条不紊,对减少二次材料搬运,提高机械利用率,减少材料库存损失,防止安全事故等社会。经济效益都有明显的作用,安全、环境、消防、宝保安也均能得到有效的保障。
二.施工质量
1.
建立交接验收制度的建议
根据本工程的规模特点,为了减少和避免工程中施工单位之间可能产生的矛盾,打破施工中各单位之间的本位主义,增强合作意识,使前道工序的施工单位为后道工序的施工单位创造必要的施工条件,提供合格产品,减少质量纠纷,对保证工程质量非常重要,为此要根据工程实际情况,牵头制定前后道工序施工单位之间开工前的技术交底,完工后交接验收制度。前道工序施工前,由监理单位组织前道工序施工单位进行相互技术交底,后道工序施工单位向前道工序施工单位介绍后道工序的施工方法,对前道工序的质量要求,前道工序质量问题可能对后道工序产生的影响,以及需达到的必要条件等,使前道工序施工人员对后道工序有技术有技术方面的了解.前道工序施工单位明确施工方法、技术标准、肯能存在的质量问题及希望后道工序应考虑的相应措施,产品保护需注意的问题等。增进互相了解,以便相互密切配合。这样与开工前相互交底制度相配套,同时建立完工后交接验收制度,即前道工序完工后,由监理单位组织后道工序的施工单位参与质量验收,验收合格后共13同签署交接扬手记录。
效益:可减少和避免前后工序施工单位之间的纠纷和矛盾,同时,也促使前道工序提高质量意识,努力保证提高施工质量。
2.
严格工序控制、杜绝假资料现象
在施工过程中,每个工序都必须严格把关,使承包商养成良好的习惯,也使本工程的资料与进度同步,真正做到“做你所写,记你所做",确保本工程资料能真实反应工程实体.效益:保证工程实体的质量,同时保证质保资料的质量.3.
关于严格审查检验原材料质量的建议
在本工程施工过程中要严格审查提供商的质量信誉、工程实例、业绩等。要特别注意的是防止已淘汰和已更新换代的产品流入到本工程,电缆到货后要按照规定抽样送检。现场监理必须严把此关,否则,日后将问题成堆,无法根除。所以,宁愿多花一分钱,也一定要保证产品质量.具体效益:可以有效杜绝、减少伪劣产品在本工程上使用。
三.施工进度
1.
用科学的动态控制方法编制总进度计划
工程进度控制的重点就是如何从采用科学的动态控制方法来控制总体进度计划,从而确保在规定的施工工期内交付给业主使用,在总进度计划的指导下,编制各分部分项工程的进度计划,作为施工过程中监理对施工进度方面的检查依据。
效益:能够使工程总进度计划具有科学性、合理性和可操作性。
2.
将节点工期纳入奖罚目标管理
一般的工程合同仅建立一个总的工期,即完成工期的工期奖,这样的工期奖存在一些问题,主要是:承包商在最终完不成工期时已没有多少时间来赶工,造成实际工期滞后的事实。因此,建议将总工期分解到各个节点工期里,控制节点工期保证总工期,并将总工期奖分解为节点工期奖,原则上不会增加业主的额外负担,但可以使工期可控制性增加。
3.
建议加强对重大方案的审查
建议:业主方、监理、施工单位均应加强对重大方案的审查,并以严肃认真、求实的态度进行分析论证、重大方案实施前均应经过承包人自评——监理工程师审查评估)-—专家组(业主、设或其他部门)审验的程序,从而保证工程进度控制的科学性、合理性。
效果:能有效推动进度计划的全面实施,不盲目决策,不打乱仗,使现场作业有条不紊,保证施工安全,有利于施工进度.
139
篇五:网络改造方案完整版
网络改造方案范本5篇
一、主题:告别母校师恩难忘放飞理想
二、时间:7月2日上午8点30分
三、地点:多媒体教室
四、邀请嘉宾:校长、学校各位中层领导
五、参加人员:六年级任课教师和学生
六、活动的目的:
六年的小学生活对每个人来说都是非常难忘的。在小学里,学生学会求知,学会做人、学会交往在学生即将离开母校的时候,通过隆重而有意义的毕业典礼让毕业生表达对母校、对老师的感谢之情,以及对明天幸福生活的憧憬。
七、活动过程:
(一)音乐响起(《最后一个夏天》)主持人走上台。
告别母校师恩难忘放飞理想港沟中心小学20__年小学毕业生毕业典礼现在开始。
(二)领导代表讲话
这是一个光荣的时刻,也是一个庄严而充满希望的时刻。我们今天在这里,不仅是为了举行一个毕业典礼,也是为了见证你们的成长,见证你们新的征程的开始,非常高兴与你们一起分享此刻的荣耀。
首先,祝贺你们顺利完成了小学的学习任务。祝贺你们要从新的起点开始人生又一段新的征程。同时,我也要向为你们成长倾注了无数心血的老师们致敬。正是他们的言传身教、无私奉献,才使你们迎来了今天充满喜悦的丰收季节。六年,两天多个日日夜夜匆匆而过。六年,学校留下了你们成长的足迹,学校也因你们的存在而骄傲,希望你们常回家看看。最后,祝愿大家在以后的人生征程中学业有成,一帆风顺。
赵主任意味深长的话语,鼓励着我们走向更好更高的目标。我相信,不久的将来,我们港沟中心小学会因为拥有我们而骄傲。
(三)毕业生代表讲话(播放背景音乐《每当我走过老师窗前》)
六年的校园生活,留下我们银铃般的欢笑,那笑声仿佛还在校园的四周回荡。六年的校园生活,留下我们磨练翅膀的背影,那背影是如此深刻的印记在我们的脑海里。此时此刻,我们是多么的恋恋不舍,因为这里有太多太多美好的记忆,还没来得及向你一一倾诉。有请优秀毕业生代表发言。
(四)教师代表讲话
为让员工度过一个温馨、欢快的元宵佳节,经我们房地产酒店工会研究决定,特组织“闹元宵,猜灯谜”文化活动,拟订活动方案如下:
一、活动主题
“闹元宵,猜灯谜”
二、活动时间
2022年__月__日晚7:00整
三、活动地点
酒店餐厅
四、活动准备
1、前期工作:由工会负责收集整理活动期间的各种灯谜及道具、活动背景制作、宣传海报、购买奖品、水果、干果、饮料等。
2、场地布置:_月_日上午,由工会牵头,行政部、机动能源部协助进行会场布置,悬挂准备元宵节灯谜(具体在餐厅四周拉上铁丝,悬挂灯谜)。
3、活动期间:由酒店行政部负责音响设备的调试及播放节日音乐,渲染气氛;工会负责瓜子、花生、水果、饮料的装盘及摆放工作;酒店团委协助维持活动期间的秩序。
4、各分会安排专人协助工会负责组织猜谜活动的前期宣传,包括人员通知,活动期间的奖品发放等工作。
5、活动结束:由各分会主席安排人员协助清扫场地,整理、归还物品及道具等。
五、活动环节设置
第一环节:“你来比划,我来猜”。由每桌推荐2名选手参与此环节的游戏(1个负责比划,1个负责竞猜)。
游戏规则:负责比划的选手可以用语言和肢体动作来向猜词
者传达信息,但不得说出词中的任何一个字,不得同音/谐音,否则算犯规,此题作废。猜不出可喊“过”!则换下一题,以在限定的时间内猜出最多的词汇为最终胜利方。分数相同的组可加赛一次。
主持人负责此环节的规则介绍,流程掌控,气氛渲染、提示工作人员奖品发放等。
第二环节:“猜灯谜”。由现场所有人员参与。
游戏规则:
1、猜谜者每猜一个灯谜,必须先到指定兑奖处核对谜底,确认正确无误后,由巡视人员取下谜面交兑奖处,由工作人员进行登记后,方可领取奖品;猜错者不领取奖品,谜面继续保留使用。(谜面由巡视人员负责揭取,严禁猜谜者撕扯、或私自取下谜面)
2、猜对一条谜语兑换一份奖品。
3、谜语共计__条,其中:
第001-100条灯谜到一号兑奖桌核对答案;第101-200条灯谜到二号兑奖桌核对答案;第__条灯谜到三号兑奖桌核对答案;第301-400条灯谜到四号兑奖桌核对答案。
4、奖项设置:
共设置奖品__份,猜对一条谜语兑换一份奖品,奖品兑完,活动结束。
一至四号兑奖桌(点)工作人员由各分会委派,每桌(点)工作人员为3人,其中:谜底核对1人、谜面巡视1人,奖品登记1人。
抽奖环节:由现场所有人参与。
游戏规则:每位进场人员均在工作人员的引领下取得号码牌1张,在第一环节进行中,可由主持人(或邀请酒店领导层)负责现场抽奖,被抽到的号码可获得小礼品一份。
奖项设置:奖品10份。
六、活动注意事项
1、“比划猜”环节现场在座人员不得提示,否则扣取犯规人员所在桌的分数1分;
2、“抽奖环节”只在第一环节中穿插,用于调节气氛;
3、猜谜要有秩序,兑奖按先后顺序排队,不得大声喧哗,不得利用手机或其他电子设备搜索答案,一经发现,按无效论处,不发奖品。
4、谜底猜出后,员工只需把谜面题号记住,到指定兑奖处向工作人员报告谜面题号及答案,回答正确由巡视人员取下相应谜面,回答错误则保留谜面继续使用,严禁私自将谜面取下。
七、活动道具
1、制作灯谜用彩纸、铁丝;
2、舞台背景、海报;
3、水果、瓜子花生、饮料;
4、抽奖箱、抽奖号;
5、投影仪及笔记本电脑;
6、音箱设备;
7、小礼品__份。
八、活动费用预算
1、猜谜用彩纸:__元;
2、背景制作、宣传海报:__元;
3、水果、瓜子花生、饮料:__元;
4、礼品__份(含抽奖环节__份奖品)__元/份__份=__元。
费用合计:约x万元。
为了更好地展示我乡中小学校艺术和素质教育成果及学生艺术天才、优秀作品和健康向上的精神风貌,经中心学校研究决定5月23日在__溪小学举行“庆六一、展风采”为主题的庆祝活动。为使庆祝活动顺利进行,特制定本方案如下:
一、活动目的经过开展“庆六一、展风采”活动,使儿童在进取的参与中体验合作与交往的欢乐,从而度过一个幸福,难忘的“六一”儿童节。使教师、家长在参与儿童节的活动中进一步感悟儿童教育观念,从中使自我对如何教育孩子有所启发,经过向家长、社会展示学生的风采活动,进一步塑造全乡学校的良好形象。
二、活动资料
1,学生作品展示;
各校在__小学教室展示学生作品。每校单独设立一个展示台,此项工作必须在庆祝会前一天完成。中心学校将派人到实地督促。
2,文艺节目汇演。
三、组织机构
组长:
副组长:
成员:
领导小组下设办公室,__红兼任办公室主任,具体负责此项活动工作。
四、活动安排
时间:20__年5月23日。
地点;__小学.
主办单位:__中心学校
场所布置:会标,宣传标语
出席人员:县局领导、乡党政领导、全乡中小学校校长。
活动程序:
1、8;00-8;30;庆祝仪式.升国旗.领导讲话.__溪小学学生表演学校团体舞.
2、8;40-12;30;上级领导参观学生作品展示及观看文艺节目.
3、8:30-9:00;
评委观看各校学生作品,并给作品评分。
4、9;00-12;50;文娱汇演,评委观看文艺节目且给节目评分.
5、.12;00-12;30;公布评比结果、颁奖.;
五、活动要求;
(1)5月22日,各校携带本校学生作品到__溪小学布置展厅.教室安排;__溪小学教学楼一楼教室自西往东,第一个教室__小学、__小学,二个教室__溪小学,三个教室__中学,第四个教室__小学、__小学。
(2)5月23日上午,.各(公文有约供给)校选派20名学生代表(包括演员)及领队和辅导教师参加,__小学、___中学全体师生参加。各校要求有校旗、队旗,参加活动的学生要佩戴红领巾且服饰整齐、素养良好.
(3)各校代表必须在5月23日上午7;30之前赶到活动地点.
(4)活动布置安排由中心学校负责,__小学配合完成.
(5)各校推荐一名教师作为庆祝活动的评委,组成庆祝活动评审小组.评分方法:去最高分和最低分,取其平均分为该项目得分.
六、活动评比
1.评比项目;(1)学生作品、(2)文娱节目、(3)学校总评
2.奖项设置;
(1)学生作品;一等奖1个;二等奖2个;三等奖3个;
(2)文娱节目;一等奖1个;二等奖2个;三等奖3个;
(3)学校总评;一等奖1个;二等奖2个;三等奖2个;
3、奖金设置
(1)学生作品奖:一等奖30元、二等奖20元、三等奖10元。
(2)文娱节目奖:一等奖50元、二等奖30元、三等奖10元。
(3)学校总评:一等奖300元、二等奖200元、三等奖100元。
活动背景:正值愚人节到来之际,为迎合这种浓浓的文化气氛,活跃安大的校园氛围,因而本次周末文化广场是一次以春春‘愚’动为主题的校园活动,希望同学们在迎接春天到来在户外可以多些机会锻炼运动的同时,也给同学们带来轻松与快乐,并使同学能更加积极乐观轻松地看待生活与学习。
一、活动目的及意义
本次特色活动做到文、体、美相结合,定于_月_日举行,一方面通过庆祝节日来丰富同学们的课余生活,减轻学习的负担。另一方面增进全院同学之间的感情,此外为本学期开创一个良好
的开端,营造一种轻松,欢愉的氛围。
二、活动主题
春春‘愚’动。
三、主办方
国际教育学院。
四、活动时间
2022年4月1日。
五、活动地点
__学院行政楼旁。
六、活动对象
__师院全体学生。
七、活动流程
本院学子风采作品展览__趣味游戏__文艺表演(穿插于游戏中)。
作品展览:
收集本学院学生的绘画作品、摄影作品、书法作品等做成一个展览板,与本次周末文化广场的宣传栏放一起,一方面丰富学生视野,展现本院学子风采,提高本学院知名度,另一方面为本次周末文化广场活动达到宣传效益。
趣味游戏:
1、齐心协力
把同学分成两大组比赛,甲、乙两组各派两个同学,两个同
学背靠背夹一个气球,在直线上走一趟,气球不能掉下也不能破掉,赢的一组将挑战下一组,连赢两次就可以成为赢家。
2、背靠背捡手绢
游戏规则:以两名同学为一组,以立正姿势站好,听到哨声后两人同时弯腰捡手绢,以最快者捡起手绢为嬴,但得注意捡手绢的时候双腿不能弯曲,只能弯腰往下捡,违规者为输。
3、二人原地跳绳
游戏规则:分x组,每组x人。x人一人用一手拿绳子的一头同时摇绳子同时跳,在规定的时间内跳最多的为胜。
4、自行车慢速跑
游戏规则:参赛人员以最慢的速度骑自行车,越过障碍物,到达终点站最慢者为赢,骑车时脚不能着地,自行车不能停下。
5、二人三足
游戏规则:参赛两人相邻腿上的绑绳的位置不能高于膝盖部分,当然也不能低于脚裸,听到哨声后开始跑,以最快的速度跑回终点的为赢。
6、怪味可乐
游戏规则:每组x人,分x组,每组每人随机自行选取已加入各种调味料的可乐(糖,盐,醋,芥末,辣椒水),比赛者须迅速喝完手中的可乐,最慢的人将受到惩罚喝下终极怪味可乐(加入所有调味料的可乐)一杯。
游戏奖品设置:每一游戏环节胜出的同学将以扔大骰子的方
式决定奖品,大骰子六面均写上不同的礼品名称。凡是参与的同学都有机会获得小礼品。
宣传方案:学生会宣传部绘制活动宣传海报,各班文娱委员向本班同学宣传特色活动,本学院学生在班长处报名参加活动,此外在海报宣传栏处增设报名点,外院学生可在此报名参加,也可在活动当天现场报名。
八、前期工作安排
生活部提前购置气球,可乐,调味料等,文艺部负责组织文艺节目,学习部提前准备活动所需道具,宣传部于活动前制作海报,做好宣传方案,外联部拉赞助,以及在当天活动前负责布置活动会场。体育部学习部负责组织会场纪律以及维持会场秩序和处理突发事件。
九、活动后期安排
全体学生会成员打扫活动会场并开会进
行活动总结。
十、要求与注意事项
怪味可乐游戏环节需要为参赛选手准备
纸巾和纯净水。
十一、预期效果及展望
学生们积极的参加此次活动,达到增进情感,促进交流的目的。希望大家在一起度过一个愉快的愚人节!
一、市场定价策略:
1、避强定价:就是避免与竞争对手的直接冲突,在顾客心目中迅速树立自己的形象。
2、迎头定价:就是与竞争对手“对着干”,低档次的竞争只会在短期内奏效,必须迅速完善服务,使之演变为质量竞争。
3、重新定价:就是对销路不畅,市场反应差的产品进行二次定价,“知错就改”。菜肴、客房都有可能成为销路不畅的产品,要善于利用价格杠杆,随时调整。
二、举例
1、以婚宴为例
目前婚宴市场竞争激烈,各饭店都有自己的招数,如“满十送一”、“提供婚礼用车、用房”、“代发请柬、代办司仪”等,令新人省去了不少烦恼。除了上述增值项目外,还新出现了“代办酒水”业务。
代办酒水是指按进价向婚宴举办者结帐,数量上多退少补,省去了婚宴举办者自办酒水的种.种麻烦,促进了消费,表面看起来饭店无利可图,实际上饭店因为销量增加,可以从供货商那里得到回佣,这是运用避强定价策略达到舍明求暗目的的典型。
舍明——将婚宴举办者十分关注的酒水利润让掉。
求暗——菜肴毛利,酒水回佣,在该饭店办婚宴价格实惠的口碑——为争取下一个婚宴做好铺垫。
2、以旅游团队接待为例
客房的固定成本同样要通过提高出租率来转化,而接待旅游团队是提高基本客房出租率最直接、最有效的办法,在实际客房
出租率不是很高的情况下,接待旅行社团队可以帮助消化饭店的固定成本。假设客房部一天的固定成本(空调、人员工资、房屋及设备折旧等)为__元,变动成本率为营业额的10%(水电、客用品及布草洗涤费用等)。
如果当天营业收入为__元,按会计方法是当天实现利润为800元。
如果当天营业收入刚好为__元,按会计方法是当天亏损1000元;但是,从管理会计的角度看,此时的概念既不是保本,也不是亏本,正确的表述应该是当天转化了__元价值的固定成本。
同样的道理:如果当天客房出租率很低,是否可以按照保本价或略低于市场竞争价格销售客房呢?回答是肯定的,因为固定成本始终需要转化为货币,是整体转化还是分期转化并不重要,这就是重新定价的计算基础。
3、再以宴请为例
目前较高档的宴请一般都上龙虾,龙虾不仅是高档菜,而且也是整桌宴席身价的象征,但计价时各饭店都不相同,绝大多数社会饭店采取的是灵活作价,如一只1、5斤、进价240元的龙虾只售280元,按照传统的内扣毛利率的作价方式,该龙虾的毛利率只有:
(售价—进价)÷售价×100%=14、29%
按照饭店35%的内扣毛利率计算,此龙虾起码要卖369元,如此高档宴席在饭店内日趋稀少也就不足为奇了。
龙虾进货后没有及时销售,会导致餐饮资金周转问题,同样饭店每月销售不了几只龙虾,供货商也会失去信心。
与婚宴同样的理由,饭店也可以采取“舍明求暗”的策略。餐饮部只要不歇业就存在固定成本,如果用餐的顾客少、营业额低,固定成本就不能全额转化为价值。因此餐饮首先要考虑的是“人气”,然后才是利润。
餐饮管理人员要注重绝对,轻视相对。坚守较高的综合毛利率,不考虑用局部的牺牲来换取利润的.增加,是卖方市场的做法,而WTO以后的中国,服务领域全由消费者说了算,一个全面的买方市场已经到来。
4、各种折扣及授权
A、礼节性折扣——授予一线领班或主管
B、旅行社折扣——有两种,一是旅行社事先通过协议成为饭店订房网络成员(或称客房零售商)代商务客人订房,按目前行业惯例为10%佣金,总台向客人收取门市价(此门市价一定是随行就市,有一定竞争力的价格),由饭店财务返回10%或更多给旅行社;另一种是旅行社组团入住,由饭店营销部门依据订房期的客源情况以及营销协议,通知总台及财务结帐。
旅行社既是客房零售商,又是为饭店送来旅游团队、会议团队的批发商,因此饭店要重视与旅行社的合作,搞好关系。
C、长期住客折扣——由饭店出台相关政策,鼓励客人长住,如住十天送一天、住房送早餐等等。
D、官方折扣——饭店管理层为协调各方关系,对关系单位高级行政人员实行的一种优惠折扣。
E、商务折扣——由营销部门与客户具体议定的折扣。
篇六:网络改造方案完整版
络改造升级方案
officeroom[HEN16H-HENS2AHENS8Q8-HENH1688]
网络改造方案建议书
目
录
一.网络状态分析........................
二.网络建设目标........................
三.网络改造总体设计....................
四.网络改造总
结
.....................
...........
一、网络状况分析
我公司大致网络状况如下:
公司约有70台用户电脑,服务器数量目前为两台。
现有一条4MADSL线路,负责设备、品质部用于外联公网。一条4MADSL线路,负责采购部用于外联公网,另外一条4MADSL线路,负责技术部和其它有权限上
网的部门用于外联公网。外线负载极不平衡,利用率很低。
没有专门的机房或地方存放网络设备及服务器,设备无法统一集中管理。
网路出现故障不能第一时间通知电脑使用人员,需电话联系
缺少维护和管理,公司内部线路连接混乱、标识缺失,一旦出现故障时难以快
速解决问题。
二、网络建设目标
尽量保留现有网络中的设备,在确保公司正常业务使用的前提下减少公司投
资。
各计算机等终端设备之间良好的连通性是需要满足的基本条件,网络环境就是
提供需要通信的计算机设备之间互通的环境,以实现网络应用。
许多现有网络在初始建设时不仅要考虑到如何实现数据传输,还要充分考虑网
络的冗余与可靠,否则一旦运行过程网络发生故障,系统乂不能很快恢复工
作,所带来的后果便是企业的经济损失。
网络建设为未来的发展提供良好的扩展接口是非常理智的选择。随着公司规模
的扩大、业务的增长,网络的扩展和升级是不可避免的问题。
三、网络改造总体设计
1.机房建设
检查设备安装场地是否符合电气和环境标准;
输入电压允许范围:100V~240VAC50/60Hz或
-40--60vDC;
工作温度:0C~40C;
储存温度:-30C飞0C;
相对湿度:5?95%无凝结;配线架内外网段及接口标识清晰,线路整理顺畅;
将服务器、交换机等设备合理放置到机柜上,便利操作;
UPS等设备安装到位,进行断电测试。
.网络布线及网络设备规范
线路整理顺畅;
网线标识清晰;
综合布线成端清晰;
交换机设备的放置位置与UPS的安装合理。
.网络改造后建议拓扑图
.网络改造总结
为节约改造成本,尽量保留现有网络设备与布线,在现的基础上进行优化改
造。
三条4MADSL外线搬迁到机房,需要购买多功能路由器WQR-945+进行统一集中
管理。
为了大家访问共享文件方便,需购买一块2T硬盘合一硬盘盒
服务器跟网络设备统一搬迁到机房,进行统一集中管理。
为加强内部网络安全,是否考虑购买硬件防火墙,形成一个完整的网络架构。
为加强内部网络安全,是否考虑购买网络版杀毒软件。
制档人:宋星茂
日期:
审核人:
日期:
篇七:网络改造方案完整版
网络改造方案
第一篇:网络改造方案
公司网络改造解决方案
根据公司网络需进行改造事项,我们组织相关部门征集了网络改造需求和改造方法的建议,并汲取相关我公司网络改造的其它方案优点,经汇总提出如下网络改造解决方案。
一
需求分析
带宽分析
公司网络出口是10M共享光纤,主要的应用是访问internet,考虑到成本及目前设备的利旧问题,我们网络主干仍然以百兆链路为主,出口目前带宽可以满足需求。网络管理
由于公司网络中用户数量较多(约160点),需要对不同用户访问网络资源加权限控制和日志记录,还要将职能部门划分不同网段,保护各自数据安全。
安全分析
目前,公司网络出口没有任何隔离防护设备,所有上网均是通过一个免费代理软件实现,安装该软件电脑应该使用服务器级别设备,而我们现在是用普通PC承担代理服务,造成上网速度时快时慢不稳定。另外,公司局域网内未设统一病毒防护,这对网络接入电脑安全均有潜在威胁,因此需要增设必要网络安全及病毒防护措施。
网络应用分析
目前公司运行邮件系统硬件性能低、软件功能差经常出现:丢失客户、供应商及外协单位邮件;垃圾邮件逐渐增多;公司内生产、财务及工艺文件邮件经常被退信;邮件客户端发件时经常有错误提示等问题。
公司网站服务器、域名解析服务器、代理服务器因配置低,不仅影响外网访问我们公司网站速度也不利于我公司网站建设。
二
网络改造设计
在互连网出口增设边界路由器,隔离内、外网络及应用服务器。
升级核心交换机,可实现网段划分和访问控制。网内统一部署正版杀毒软件及接入电脑病毒升级管理,购置正规销售邮件软件,更新邮件服务器、网站服务器、代理服务器及相应软件,提高网络应用性能。
经上述改造可以使公司网络及其应用系统的稳定性,安全性,控制性得到很大提高,能较好保证网络正常运行。
三、网络改造拓扑图:
PC。。。。。。。。。。PC四、网改费用预算
注:
1、诺顿企业版杀毒软件仅供一年免费升级服务,产品购买第二年开始,诺顿服务器端升级费
1000元,客户端200点总计费59400(优惠价38610)元。卡巴二年免费升级,第三年起续费总价71862(优惠价46710.3)元。
2、邮件网关仅提供一年免费升级服务,产品购买第二年开始按年收取产品价格的20%升级服务费。例:若邮件网关售价3万元,每年升级费6千元。
我公司2007年之前使用的美讯智邮件网关年升级费4950元(100用户),2008年上涨至8000元,因有网改事情,我们未做续费。
上表中网络改造预算费用分为三部分:网络架构;服务器;软件。我们主要考虑了性价比,从众多产品中选择1或2款列入预算表,表中产品选型及价格尚有调整空间,请领导和有关部门参考并提出修改建议。
总工办2008-12-8第二篇:网络改造集成规划方案
网络系统
集成
改造
规划方案/17目录1项目概述..........................................................................................1项目背景....................................................................................1项目目标....................................................................................1项目范围..........................................................................................2参考依据..........................................................................................2建设原则..........................................................................................3改造方案..........................................................................................3办公网改造................................................................................3综合网改造................................................................................4综合布线改造.............................................................................5互联网及机房建设......................................................................6网络监控....................................................................................7工程概算....................................................................................8经费预算....................................................................................9项目管理.........................................................................................11实施计划...................................................................................11组织保障..................................................................................12质量管理..................................................................................12/17售后服务........................................................................................13现场培训..................................................................................13服务保证与承诺.......................................................................13项目
概述
项目背景XXX办公网和综合信息网的网络改造是为了适应新形势下的提高信息利用的要求,随着互联网应用的不断发展,客观上要求当前的网络结构和链路能够很好的承载不断扩充的办公业务需求。同时为了满足企业更好的利用互联网资源。从而推动XXX企业向信息化建设的目标发展。
XXX企业办公楼网络改造项目主要涉及到三套网络:办公网、综合信息网、互联网。这三套网络需要相互之间物理隔离,三套网络之间的改造相对独立。
项目目标
本次网络改造的目标,实现综合信息网和
办公网的客户端无盘统一管理。阻止客户端可能存在的被攻击或信息泄露。实现企
业内部访问互联网资源的同时保障内部客户端的安全。
根据实际考察和相互交流,本次XXX办公网和综合信息网改造的目标为:
A)尽量保留用户现有网络中的设备,在确保用户正常业务使用的前提下减少用户投资。
B)在初始建设时不仅要考虑到如何实现数据传输,还要充分考虑网络的冗余与可靠,否则一旦运行过程网络发生故障,系统又不能很快恢复工作;
C)纳入对网络安全性的考虑。在办公网和综合信息网中传递的数据
都是相当重要的信息,因此一定要保证数据安全保密,防止非法窃听和恶意破坏,在网络建设的开始就考虑采用严密的网络安全措施。
D)网络改造建设要为未来的发展提供良好的可扩展性。随着将来企业业务的增长,网络的扩展和升级是不可避免的问题。
E)由于视频会议、视频点播、IP电话等多媒体技术的日趋成熟,网络传输的数据已不再是单一数据了,多媒体网络传输成为世界网络技术的趋势。企业着眼于未来,对网络的多媒体支持是有很多需求的。项目范围
本次网络改造涉及办公网、综合信息网、互联网、网络监控及综合布线等项目范围。
在完成项目后,需要提交项目运行过程的全部安装、配置、测试、验收相关的项目文件。
根据用户要求,提供最终的信息模块分布图和设备物理链路分布图;提供关于链路和信息模块的标签分配表;
针对交换机的安装,提供关于初步管理配置的配置模板(包括访问控制、密码设定、终端限制、环路避免、端口安全等);针对每条链路均提供连通性测试和网络延迟测试并生成记录。参考依据
GB/T18233-2008(信息技术-用户建筑群通用布缆国家标准)
GB/T50311-2007(综合布线系统工程设计规范)
GB/T50312-2007(综合布线系统工程验收规范)
GB/T21671-2008(基于以太网技术的局域网系统验收测评规范)
HJ460-2009(环境信息网络建设规范)建设
原则
网络建设依据一下主要原则:满足办公网络和综合信息网的业务应用系统的要求;充分利用现有的网络硬件资源,进行网络改造时考虑与已有的专用办公网相兼容;网络改造考虑安全可靠、可管理和可扩展的网络结构。
高可靠性-选用可靠性高的网络产品,合理设计网络架构,制定可靠的网络备份策略,保障网络有故障恢复的能力,从而最大限度的支持网络的正常运行。
实用性-网络改造方案设计实施应充分考虑实际需求和费用,追求高的性效比。
可扩展性-根据未来业务的增长和变化,网络可以平滑的扩充和升级,减少对网络架构和现有设备的调整。改造
方案
办公网改造
在现有网络内增加4台交换机,其中三台交换机用作终端接入层,另外一台用作数据汇聚层。
综合考虑到目前各楼层房间的信息面板的信息点的数量和未来的扩展需求,选择接入层交换机为由24个百兆电口和4个千兆上联口的二层可网管交换机。用作数据汇聚层的交换机采用高端的支持IPV6功能的智
能弹性交换机,其有24个千兆电口和4个千兆下联光电口。以便为接入层链路提供高速的数据汇聚和传输。
各交换机安装好光模块,到光配架用
LC-FC一对单模光纤联通。三台接入层交换机通过光纤分别连接到
汇聚层的IPv6智能弹性交换机。最后通过光纤将
智能弹性交换机连接到指定的分布层交换链路上。然后测试所有线路看网络访问是否正常。
在办公大楼的各楼层设置楼层配线间,确保现有的配线架到各办公室的线路已经铺设完毕和测试联通。充分的利用原有的线路。
在机柜上新增配线架,以便与弥补当前配线间的配线架接口数量不足的情况。在新增的配线架上安装网络模块,同时更换用户需求中指定的各方面的信息面板以提供足够的网络信息点。
线路准备完毕后,将网络交换机安装到各个楼层的配线间内,然
后测试各条链路的对应关系并标记。
综合网改造
在现有网络内增加4台交换机,其中三台交换机用作终端接入层,另外一台用作数据汇聚层。
综合考虑到目前各楼层房间的信息面板的信息点的数量和未来的扩展需求,选择接入层交换机为由24个百兆电口和4个千兆上联口的二层可网管交换机。用作数据汇聚层的交换机采用高端的支持IPV6功能的智能弹性交换机,其有24个千兆电口和4个千兆下联光电口。以便为接入层链路提供高速的数据汇聚和传输。
与办公网类似,安装好各交换机的光模块,到光配架用
LC-FC一对单模
光纤联通。三台接入层交换机通过光纤分别连接到
汇聚层的IPv6智能弹性交换机。最后通过光纤将智能弹性交换机连接到综合信息网络指定的分布层交换链路上。然后测试所有线路看网络访问是否正常。
在大楼的各楼层设置楼层配线间,确保现有的配线架到各办公室的线路已经铺设完毕和测试联通。充分的利用原有的线路。
在机柜上新增配线架,以便与弥补当前配线间的配线架接口数量不足的情况。在新增的配线架上安装网络模块,同时更换用户需求中指定的各方面的信息面板以提供足够的网络信息点。
线路准备完毕后,将网络交换机安装到各个楼层的配线间内,然后测试各条链路的对应关系并标记。
在综合信息网中,为了便于对客户端加强管理和提高信息安全的保密措施,部署46台无盘工作,通过增加一台管理工作站,在它上面安装无盘管理软件,统一管理和维护46台无盘工作站。
综合布线改造
综合布线系统在充分考虑信息点(或模块)分布和数量的基础上,统筹规划,合理设计,精心施工。信息点分布和数量应至少能满足未来5-10年内的应用和用户需求,避免短期内重复施工。
在综合布线系统中,布线硬件主要包括:配线架、传输介质(双绞线和光纤)、通信模块、线槽和管道等。
综合布线包括六个子系统:工作区子系统、水平布线子系统、管理子系统、干线子系统、设备间子系统和建筑群主干子系统。
为办公网与综合信息网分别布两条50米长的超五类非屏蔽双绞线,网线使用蓝色和红色加于区分。这两条线分别从
3楼的配线间一直连接到
4楼的指挥室,涉及到跨楼层穿线的工作需要做好相应的准备,准备配线架用的1.5米跳线和预备一些水晶头做耗材使用,确保任务的完成。
每个房间的信息点的面板的数量根据用户要求(需要更换)进行布置。每个信息点由一个双口信息面板(RJ45接口)组成:一个为语音点,一个为数据点,或者两个都为数据点。所有的信息插座、面板和配线架管理系统模块都有标记。
在进行布线时需要线槽时,线槽的规格按这样确定:线槽的横截面积保留40%的富余量以备扩充,超5类双绞线的横截面积为0.3平方厘米。线槽安装时,注意与强电线槽的隔离。
互联网
及机房建设
图
5.4:互联网及机房改造图
基于原有互联网机房的布线结构做有限的扩展,新增
20台无盘工作站,统一接入到新增的接入层交换(H3C5120)上。
无盘工作站通过专用的无盘管理服务器(DELL)进行管理和维护。在互联网机房的ISP接入出增加一台路由器(H3CER6300)作为网络边界,同时,为了考虑互联网的访问控制,增加一台防火墙(H3CF1000S)作为安全措施。
互联网机房原有线路已铺设到讲台位置,需要重新延长。用网络模块延长后铺设到角落位置。在机房角落安装机柜,放置服务器与网络设备等。
将所有设备连接完毕后调试,网络路由器安装在最前端连接运营商的互联网出口,防火墙安装后端提供网络防护。H3C5120连接各台互联网电脑,提供汇聚作用。
网络监控
为了确保企业机房网络系统的安全稳定运行,除了在系统软、硬件层面的支撑,还需要有一种切实有效的机房实时监控系统。本次项目中增加了如下三项监控内容:温湿度监控报警器、电力报警器、视频监控摄像头。
整个GPU边缘融合系统由投影显示部分、多屏控制系统和控制软件系统组成。投影显示部分:主要包括一个专业清投视讯投影屏幕,而投影仪阵列是由标准化的若干投影机并联而成;多屏控制系统:边缘融合机连接计算机,兼容传输并合成多种图像信号源,以满足需求的画面尺寸和分辨率显示在大屏上。本方案系统具备:4路高解析度显示通道;4路复合视频信号输入;4路计算机信号输入;控制软件系统:是一套专用的控制软件,负责控制大规模投影系
统的图像拼接、边缘融合、色彩校正、几何校正和显示效果的调整,选择需要的显示信号的图像,以及用户的分级管理等功能。
GPU边缘融合系统的最终目的是要把用户所需要显示的信号按照用户的要求显示到通过多通道投影融合之后的大屏上,本系统中,用户应用系统中计算机信号源主要来自于用户网络中的计算机信号、远程监控的视频信号以及图形处理机中预存的展示信息,在我们的设计方案中,这些信号是可以通过多种方式显示到大屏上去的。
同时清投视讯GPU边缘融合系统是由高分辨率和高亮度的投影拼接融合而成,所以整个显示区域具有高分辨率、高亮度、高对比度、色彩还原真实,能保证色彩的长期运行稳定不变,图像失真小,亮度均匀,显示清晰等。
工程概算
序号
名称
规格、型号、参数、说明
数量1全千兆安全智能交换机24个10/100/1000Base-T以太网端口,4个1000Base-XSFP千兆以太网端口22安全智能三层交换机个10/100Base-TX以太网端口(PoE),2个10/100/1000Base-T以太网端口,2个复用的100/1000Base-XSFP千兆以太网端口63光模块
单模千兆光纤模块124面板Rj45双头网络面板405信息模块Rj45信息点模块806配线架Rj45配线架27无盘软件
基于PXE启动方式,用于远程启动的网络平台软件企业版46无盘工作站
处理器:E8400;内存4GDDRIII1066;512M独立显卡;4.5L立卧两用迷你机箱;耳麦;PS/2键盘鼠标。
经费预算
网络名称
设备名称
品牌
型号
数量
单价
总价
办
公
网
交换机H3CLS-51201交换机H3CLS-3100-52P-H33光模块H3CSFP-GE-LX-SM1310-A6面板
安普
信息模块
安普
超五类的40配线架
安普
综
合
信
息
网
交换机H3CLS-5120-24P-EI-H31交换机H3CLS-3100-52P-H32交换机H3CLS-3100-52P-H31光模块H3CSFP-GE-LX-SM1310-A6面板
安普
信息模块
安普
配线架
安普
台式电脑
联想
启天M4300S46无盘软件
锐起V3.0企业版46互
联
网
服务器DELLR7101防火墙H3CF1000-S1交换机H3CLS-5120-52P-LI1路由器H3CER63001显示器
优派VA1932wa4台式电脑
联想
启天M4300S20无盘软件
锐起V3.0企业版20机柜
机
房安
全监控
温湿度监控报警器电力报警器
科宇
视频监控
监控头1视频监控电脑
联想
启天M71501边缘融合控制器
清投视讯GPU边缘融合机TNB-S3124T1工
程
电源面板TCL配件
模块
安普
网线
安普
光纤
金牛
网线
安普
项
目集成
包括设备的安装调试、现场的工程施工、售前方案设计、一年内的售后上门服务
工
程税点
工程费用的5%费
用总计项目管理
实施计划
序号
任务阶段名称及详细项目
预计时间
1各个配线间分线3工作日2安装配架、网络模块、墙上面板3工作日3各个网络的网络设备安装调试4工作日4互联网机房布线、安装机柜配置服务器3工作日
序号
任务阶段名称及详细项目
预计时间5视频矩阵安装调试、其他综合布线工作4工作日6总计17工作日
组织保障
为确保本次XXX办公网和综合信息网的网络改造工作各项任务的顺利落实,各相关参与单位必须要做好组织保障,各单位各施其责,协作配合,保障网络改造项目正常有序按进度的完工。各单位职责与角色如下:
XXX企业
用户方,负责提供具体项目的实际需求,在项目实施前反馈必要的需求变更或者提供详细支持信息,在项目过程中,参与项目监控合反馈具体期望,最后组织项目验收
?XXX有限公司
负责网络改造的规划、设计、安装、调试。
质量管理
在项目实施初期,制定完善的项目质量管理计划,在网络设备的采购、安装、调试、交付等过程中,充分做到全过程有跟踪记录,书面化记录工程过程的详细实施记录和出现的问题。做好对项目问题的日志记录和对出现问题的应
对措施的计划。
每安装一个设备或硬件模块,均需要做单点测试,确保项目过程中每一步的质量都有保证。在执行安装和测试前,制定项目工作流程、安装核对表、测试核对表。
在项目交付前,需要根据相关质量核对表对各项做逐一的审计。
整个工程都需要严格遵守《环境信息网络建设规范》,做到布线整洁、美观和干净。对设备、线路、端子、模块、插座等一一用标签标明用途、连接等信息。售后服务
现场培训
根据用户系统实际环境的情况,在现场设备安装调试过程中和结束后,针对项目中发现的和已经纠正的问题,进行现场讲解,使用户详细了解改造后的网络状况,针对设备配置、日常维护、故障解决等方面内容进行完全针对性的技术培训,可以使用户具备自操作、自学习、自维护的基本工作能力。
培训地点:用户现场;
培训时间:项目实施或最后验收时;
培训人数:用户自定义;
培训内容:网络系统整改介绍、无盘管理系统配置、使用、维护等;
服务保证与承诺(11)
质量保证和服务承诺书
我方提供的所有货物保证是全新,未使用过的正宗原装合格正品,保证进口产品全部通过正规合法渠道。
(22)
保修,包换措施,设备升级
质保期内的服务:所有硬件设备均提供三年硬件质保
㈠
保修期内的产品硬件质量问题我方负责对其提供的设备进行上门维修,不收取额外的费用;
㈡
提供7*24小时技术支持热线服务,工作日内出现质量问题时或故障时,自接到用户电话后两个小时内到达现场解决故障。
(33)
一年免费运行维护服务
在系统交付后,提供一年的免费网络相关设备的运行维护服务。维护服务期满前,总结和分析维护期发现的错误和问题,提交“系统维护报告”给用户提出系统性的建议。
(33)
故障响应服务
故障响应服务指改造范围内的相关设备或系统发生突发性故障后,追查故障原因,并予排除修改的工作。如有故障发生,本公司应在接获通知后的规定响应时间内,调配有关技术人员远程解决或到现场进行维护,以使系统正常运行。提供快速,完整的网络故障分析及解决方案。
第三篇:通信网络改造迁移方案优化
通信网络改造迁移方案优化
作者:张卫华
来源:《电子世界》2012年第11期
【摘要】本文是针对县级供电公司信息网络建设项目中老网(各县局通过4E1访问市局,以下简称“老网”)迁移到新网(综合业务数据网,以下简称新网)的迁移步骤和技术细节进行描述。主要涉及到转换四个阶段,原有的网络拓扑、中间转换拓扑、最终拓扑结构下的网络设置说明及技术要点。
【关键字】网络迁移方案;综合数据网;迁移步骤
第四篇:网络改造实施方案
大厦
服务部
网络改造
实施方案
strong部
现状概述
服务部与服务部在大厦五层设有
4间办公室
508、509、510、511,洽谈室
2个,会议室一个。共有网络信息点132个,语音信息点20个,在508房间设有网络设备间一个,H3C5500数据汇聚交换机1台,H3C5120接入交换机2台,华为5300语音接入交换机2台,通过广域网代理服务器访问internet。
网络核心设备放置在六层网络机房,五层数据接入设备通过单模光纤双上连到两台数据核心交换机上,语音接入交换机通过千兆单模光纤连接到语音汇聚交换机上,五层办公区数据网段为
144.0/24,属于Vlan144,IP电话网段为124.0/24,属于Vlan400。
拓扑:
图:1核心层:
核心层设备包括两台
H3C7503交换机,通过单模光纤分别上连至广域网MSR5040路由器,采用VRRP技术将两台核心交换机虚拟为一台,保证链路的稳定性。
H3C7503交换机连接各汇聚交换机的端口采用trunk模式,可以使网络结构简单扩展性灵活,启用
STP协议保证网络中没有环路。启用
vlan112、vlan123、vlan144、vlan146、vlan147,作为数据
Vlan;启用Vlan124作为语音Vlan,配置各vlan的网关地址;启用
DHCP协议为终端PC机分配IP地址。
汇聚层:
汇聚层交换机为二层交换机采用单模光纤上连核心交换机,采用多模光纤连接接入交换机,端口模式为trunk模式,启用STP协议。
接入层:
接入层交换机为二层交换机,采用多模光纤上连至汇聚层交换机,端口模式为trunk,启用STP协议。
业务需求
服务部、服务部部分用户由于业务原因禁止访问
Internet,但是需要访问内网,另外IP电话接口访问Internet的权限也要取消,只保留508房间和511房间两个洽谈室的Internet访问权限。
在不改变原有拓扑的情况下,可以采用在核心交换机上配置
ACL禁止访问代理服务器的方法进行控制,目前大厦所有PC的IP地址均为DHCP自动分配地址,如果要对PC进行访问控制需手动指定IP地址。
针对以上解决方法需要对现有网络做出调整:
重新分配五层办公区IP地址;
地址类型
地址范围
掩码
网关DNS数量
受控地址
非受控地址
将PC机IP地址获取方法改为手动分配;
在核心交换机上配置Acl,控制五层办公区PC禁止访问代理服务器。
实施步骤
一、征得领导同意后,向相关人员下发断网通知;
二、在接入交换机上将上联接口类型改为Access,vlanID为500:[5500-F5-01-vlan500]quit[5500-F5-01]interfaceGigatEthernet1/0/49[5500-F5-01-GigatEthernet1/0/52]portlink-typeaccess[5500-F5-01-GigatEthernet1/0/52]portaccessvlan500三、在数据核心交换机上将连接汇聚交换机的G2/0/6接口类型改为Access,vlanID为500,配置IP地址作为网关:
[CORE-DATA-7503E-01]vlan500[CORE-DATA-7503E-01-vlan500]quit[CORE-DATA-7503E-01]interfaceGigatEthernet2/0/6[CORE-DATA-7503E-01-GigatEthernet2/0/6]portlink-typeaccess[CORE-DATA-7503E-01-GigatEthernet2/0/6]portaccessvlan500[CORE-DATA-7503E-01-GigatEthernet2/0/6]quit[CORE-DATA-7503E-01]interfaceVlan-interface500[CORE-DATA-7503E-01-Vlan-interface500]ipadd1四、在核心交换机上配置Acl源网段为目的地址为代理服务器,达到禁止该网段访问互联网但是可以访问内网的目的,并取消IP电话的DNS分配:
[CORE-DATA-7503E-01]aclnumber3000[CORE-DATA-7503E-01-acl-adv-3000]rule1denyipsourcedestinationGigatEthernet0.0.0.02/0/6[CORE-DATA-7503E-01]interface[CORE-DATA-7503E-01-[CORE-DATA-7503E-GigatEthernet2/0/6]packet-filterinboundip-group3000[CORE-DATA-7503E-01-GigatEthernet2/0/6]quit7503E-01-dhcp-pool-tel]undodns-list五、测试
在PC上配置IP地址,结果应只能访问内网,无法访问internet。
将PC连接IP电话,结果应无法获得DNS地址。
存在的问题
与建议
此方案不能从根本解决问题,如果员工使用自行搭建的代理服务01-GigatEthernet2/0/6]dhcpserverip-pooltel[CORE-DATA-
器将不受ACL控制,需
要增加上网行为管理设备从应用层对终端进行管理才能做到完全控制。
应急预案
保存所有设备的配置并备份;
检查设备的电源情况预防配置过程断电;
测试失败安照原有配置回退。
第五篇:网络改造申请
关于申请总部办公网络改造的请示
尊敬的领导:
因公司逐步发展、业务领域不断突破、规模一直不断壮大,集团对网络各方面的需求也在急速的增加,现有的文件传输、OA系统、网站信息更新及正在规划上线的APP系统以及日后的智慧小区建设等网络应用都是建立在网络平台之上的,但就目前集团的网络架构及设备都存在一定的瓶颈,严重时基本的正常办公都存在问题。公司目前所使用的无线路由交换设备过于低端、属于普通家庭设备。本身网线由克拉美丽物业接入,带宽已缩减一大部分,本身接线过长也影响数据传送,再通过无线路由器发射,信号进一步缩减,再由各电脑主机接无线网卡收发信号,无线网卡本身不具备有线的高效传送速率,再由于办公环境内墙面、各个拐角、坐席挡板、金属及电路干扰严重影响信号传送,从而导致目前办公人员普遍反映的断网、无法连接等现象,根本无法满足企业快速发展的大数据、高转发需求。
为更贴近公司信息化建设的要求,进一步提高办公效率,特申请就公司办公网络进行升级改造,由现有的无线接入改为有线网络接入。现拟设21个网络端口,分别为:大办公室16个端口,副总办公室4个端口,小会议室1个端口,大会议室由无线WIFI接入。财务室与总经理办公室本身为独立进线,因此不再另做改造。整体布线施工费用为2000元包干,含施工费、材料费及一年的上门维护。以上妥否、请领导批示。
篇八:网络改造方案完整版
XXXXXX网络改造方案
计
划
书
网络现状与不足
现XX单位采用代理服务接二层交换机的方式共享上网,整个网络无核心转发设备,主要靠服务器替代路由器进行数据交换。这种方式已经成为限制网络带宽的瓶颈,极大的限制了用户的上网速度;并且无法实行网络限制和上网行为管理,同时无法抵御来自外界对服务器的攻击。因此,计算机之间互通无安全保障,更重要的是造成网络资源的严重浪费,影响了内部网络办公环境。
硬件方面,XX单位与分部采用的是二层交换机接入用户。此部分设备参数不高,性能方面也不能满足现有用户的需求。XX单位机房共有8台交换机,其中6台为外网交换机,2台为路网交换机。交换机提供端口总数(含外网和路网)为178个,已用端口总数(含外网和路网)为173个。各房间累计的端口总数为306个,因此交换机的数量严重不足。分部共有6台交换机,均为外网使用,交换机提供端口总数为133个,各房间累计端口总数为172个。所有可用端口都已占满,无空闲端口。如需新增端口,则暂无法实现。如下表:
XX单位本部
代理服务器
二层交换机数
交换机已用端口数/端口总数数
交换机剩余端口数
各房间网络端口总数
各房间已用端口总数
外网
1台
6台
131/1332306173路网
2台
42/453分部有限公司
代理服务器
二层交换机数
交换机已用端口数/端口总数
交换机剩余端口数
各房间网络端口总数
各房间已用端口总数
1台
6台
133/1330172133XX单位目前采用代理服务器上网的方式,暂时无法进行网络管理,只能查看当前网络状态的累计总流量。无法实时的监测网络状态、数据流量和网络资源的使用情况;同时也无法实现网络流量的分配、限制以及上网行为的管理。
分部与XX单位采用了相同的上网方式。不同的是,分部的在代理服务器上安装了CCPROXY代理软件,有效地对网络进行监控与资源的定向分配,但在无硬件设备支持的软件环境下,网络资源的使用也受到了一定的限制。
总体来说,两地网络体系相对独立,主要依靠互联网进行通信;硬件上不支持远程网管功能,因此无法做到统一的规划与管理。
网络改造方案
网络结构的改造
网络结构改造将采用“光纤-防火墙-核心交换机-接入交换机-终端用户”的方式代替原有代理服务器的共享上网,并通过搭建VPN虚拟网络将XX单位本部与分部有限公司进行连接,实现数据传输与资源共享。如图所示:
网络改造中,原有的代理服务器将被防火墙替换,利用企业级VPN防火墙作为连接外网的设备。VPN防火墙可以抵御外部攻击,保证网络内部环境的安全;同时又可以实现VPN虚拟连接的功能,从而实现两地通信;并且支持用户
在任何有网络的地方接入企业局域网,实现在现场和家里办公。VPN防火墙直接接入核心交换机,核心交换机负责所有用户内外网的数据交换与转发。通过核心交换机,可以大大提高网络资源的利用率,实现网络资源合理分配与使用。核心交换机下连接多个二层交换机,根据用户的数量进行配置,二层交换机直接连接用户,起到扩展端口的作用。
无线网络覆盖:
无线网络覆盖方式,可搭建无线控制器连接多个AP来扩展无线信号覆盖区域。根据XX单位房间分布情况,每层至少需架设3个AP点,共13个AP点(一楼1个AP点,六楼不设)方可覆盖楼层大部分办公区域,同时每个AP点可支持20个终端用户。此方式可以将整个XX单位覆盖在统一的无线网络内,实现无缝网络覆盖。但架设成本高,性价比低;并需要对每个楼层进行重新布线,不但施工量大,还可能对楼体造成破坏。
方案一:
思科设备方案
设备清单如下:
无线网络设备清单
设备名称
设备型号
主要参数
24口1000Base-TX4口SFP(Combo)
D-Link无线控制器
DWS-3024L机架式(PoE兼容802.3af标准)支持24个AP支持AP型号:DWL-3500AP/DWL-8500AP网络标准:IEEE802.11b、IEEED-Link无线接入器
DWL-3500AP数据传输率:108mbps频率范围:2.4GHz-2.4835GHz
天线:带反向SMA连接器
数量
参考报价
总价
1¥17,000¥17,00013¥1,500¥19,500合计
¥36,500备注
由供货商提供AP点架设的网线布置,施工费500元/天
网络设备的改造
设备需求包含防火墙、核心交换机和接入交换机。其中防火墙与核心交换机各2台,分别置于XX单位与分部有限公司;根据需要的网络端口,XX单位需二层接入交换机10台(不包含路网用户),分部需8台二层交换机。网络设备清
单如下:
设备名称
设备型号
主要参数
网络吞吐量:450Mbps数量
参考报价
总价
防火墙
思科ASA5520-BUN-K9并发连接数:280000网络端口:千兆以太网端口*4入侵检测:DoS
安全过滤带宽:225Mbps传输速率:2¥26,000¥52,000三层核心交换机
10/100/1000Mbps端口数思科WS-C3560-24TS-S量:28个
背板带宽:32Gbps
网络管理:网管SNMP,CLI包转发率:38.7Mpps
接口数目:24口
2¥13,000¥26,000二层接入交换机
合计
备注
思科SF200E-24传输速率:10M/100M/1000Mbps
网管功能:智能Web网管
18¥1,500¥27,00¥105,00由供货商检测现有网络设备的参数及性能,如现有设备与新购置设备参数匹配,则可代替新购置设备继续使用。(300元/天服务费另算)
所需设备购置清单如下表:
购置设备清单
网
络
核
心
设
备
防火墙
设备名称
设备型号
思科ASA5520-BUN-K9数量
参考报价
总价
备注
2¥26,000¥52,00三层核心交换机
思科WS-C3560-24TS-S2¥13,000¥26,000二层接入交换机
无
线
接
入
设
备
思科SF200E-2418¥1,500¥27,00D-Link无线控制器
DWS-3024L1¥17,000¥17,00D-Link无线接入器
DWL-3500AP13¥1,500¥19,500技
术
支
持
施
工
搭建、调设备服务费用
5天
¥300/天
¥1,500试硬件设备
网络布线费用
2天
¥500/天
¥1,000各楼层AP点的布线
合计
¥144,00方案二:
神州数码设备方案
关于分部和XX单位的办公网络情况的汇报
经过了解,现在将分部以及XX单位的办公网络现状以及解决方法向领导进行汇报说明,请领导审阅。
我们现在的网络现状及主要问题表现
公司和XX单位的办公网络,统一建设的时间是5年前,陆续为了满足接入端口数量的需求,只是零星采购了简单的交换机,满足端口数量的需求。现在主要表现的问题如下:
1、公司和XX单位的网络,都没有可以进行有效管理的核心交换机设备。XX单位使用的是一台普通的24口,千兆交换机,通过级联的方式连接,只是满足了接入端口数量的需求,没有管理和规划;
2、公司和XX单位形成各自独立的网络体系,双方不能互联,只能通过邮件的方式进行应用数据的交换,降低了工作效率;
3、网络出口没有可以控制的管理手段和工具。现在XX单位的网络带宽已经提高到了50兆,威克公司方面的带宽也已经提高到了10兆。但对于内部的上网行为缺乏有效的管理,就类似于我们修了一个双向12车道的公路,但是没有交通规则,什么车都在上面走,而且没有规矩,必然会造成正常的网路应用速度缓慢;
4、我们现在的上网代理,使用的是Windows2003搭建的ISA代理服务器,软件的代理在管理几十个或者十几个用户的时候,不会有问题,但是当用户数量增多,同时内部人员上网没有很好的控制的情况下,必然将代理服务器“拖死”;
5、公司、XX单位的中心机房,机架上面的交换机过于陈旧,按照正常的网络设备淘汰时间是5年进行一次升级,一般的企业,计算机类设备的固定资产折旧年限就是5年,而且,我们的交换机“不可管理、不可配置、不可控制,带宽小”,最小的连接带
宽只有10M,网络设备搭配不合理;
6、XX单位和公司之间,没有形成很好的信息共享,不能提高公司和XX单位内部之间的办公效率,办公还是停留在E-mail、QQ等原始手段,表格传来传去,出错概率大,而且不可追溯。
以上6个方面是我们公司和XX单位方面的网络现状。
建议的解决方法
鉴于上述的网络现状和问题,我们的解决方法是,首先,对现有的网络情况进行改造,改造集中在中心机房内部,对于连接各办公室间的布线系统,不做大规模调整,以最小的减少影响员工办公的时间,对于特殊不能满足的办公室,做局部调整和改造。对于公司和XX单位方向网络中心的改造,我们可以分步进行,按照先后顺序为:
1、首先建设XX单位和威克公司之间的VPN通道,数据中心的位置我们投入一个性能高一点的VPN防火墙设备,另外一个办公地点,使用一个能够满足需求的VPN防火墙设备。原因是,这种一个办公区域到另外一个办公区域的VPN联网(就是网络界里面说的网关到网关)对于内部办公人员,没有感觉,只要按照自己的需要访问需要的目标服务器就可以了。例如:OA办公,就是直接在客户端上面登陆,就能进入公司和XX单位的内部办公网络;
2、将现有的代理服务器取消,使用VPN防火墙做地址转换,承载公司内部的用户上网;
3、通过防火墙网关的管理,能够实现上网行为的控制,避免内部员工大量使用BT类下载软件占用网络带宽,也能大大提高内部网络的应用效率;
4、将公司、XX单位的中心机房,各增加一台核心交换机,同时升级现有的接入层交换机,改变现有网络不能管理的局面;
5、将来随着公司业务的开展,也可以将京天威公司通过VPN通道接入到整个网络里面,解决数据的远程传递困难,不能数据共享,办公效率低下的问题;
6、第一步,改变现有的网络出口+VPN连接+内部网络上网管理是关键,如果投资有限,应该首先实施这一部分;
7、XX单位的无线网络,现在可以通过布设在走廊上的无线接入点,进行接入,通过认证技术,可以实现只有授权的人员能够接入无线网络,没有授权的人员不能接入网络的安全需求。
改造以后的网络结构如下:
改造后能够带来的好处
通过改造,能够实现给我们的工作带来的改善如下:
1、提高公司和XX单位,上网访问速度;
2、实现上网行为的有效管理,由原来“交通秩序混乱”的状态,变为“可以控制的交通行为”;
3、可以实现公司与XX单位之间通过安全加密的VPN通道进行连接,达到异地的“虚拟局域网络“连接,为实现内部OA系统,以及将来的全面ERP系统奠定网路基础;
4、提高公司、XX单位内部办公网络的连接带宽,变为不可管理的网络,为可以管理的网络;
5、外出公出的同事,可以借助架设在公司中心机房内的SSLVPN功能,实现可授权管理的远程接入访问,提高接入的安全性,对接入行为可以控制和追溯;
设备改造清单如下:
哈尔滨分部股份有限公司网络改造设备清单
(XX单位部分+VPN连接)名称
型号
产品描述
单价
数量
金额
备注
XX单¥11,002¥22,00位和公司各一台
全千兆三层交换机,24口10/100/1000Base-T+4口核心交换机
DCRS-5750-28T千兆SFP(Combo)接口+2个万兆插槽,基于ASIC的硬件线速
IPv6,220VAC。新外观,黑色机箱
DCN802.11n室内增强型无线接入点AP(2.4GHz单无线AP无线接入控制系统
无线控制器
DCWS-6028DCWL-7942AP(R3)路单频,3x3MIMO,胖/瘦模式自动切换、天线可拆卸,PoE和本地供电)DCN有线无线一体化智能控制器,含24口10/100/1000Base-T+4口千兆SFP(Combo)接口+2个万兆(XFP/SFP+)扩展插槽,默认含32台AP管理许可,最多可支持256台AP,64台AC集群,1+1,N+1,N+N冗余备份
中小型企业级安全网关,物理端口8个10/100/1000M以太网电口,1U机架式,带网络行为应用特征库,具备VPN网关+防火墙
DCFW-1800S-V2按照网络行为特征进行行为管控。最大并发连接数600000,每秒新建连接数13000个,网络吞吐量600Mbps,IPSEC隧道数量10000个,支持10000个策略数。
+系列(无铅工艺,高品质),24端口10/100M+2口10/100/1000Base-T机架式交换机
¥24,602XX单位一¥49,20台,威克公司一台
¥37,801¥37,80¥2,5210¥25,20布置在XX单位
DCS-1026+(R4)接入交换机
DCS-1064(R2)¥953¥2,8548端口10/100M+2口10/100/1000Base-T¥1,4510¥14,50合
计:
¥151,55方案对比
方案一:思科设备方案:
优点:核心设备采用了思科的品牌;能保证网络运行状态的高效、稳定与安全;国际一流品牌,品牌效应强。
缺点:无网络实时的监测和上网行为管理功能(思科、华为及H3C等品牌均不支持此功能,部分国产防火墙支持)。如需此部分功能,需另添加专业的上网行为管理设备,如:深信服行为管理设备(约15000元/台)。
方案二:神州数码设备方案:
优点:核心设备采用神州数码品牌;管理功能强大,具有较多形式的上网行为管理功能,支持网络实时监控。
缺点:不具备品牌优势。
篇九:网络改造方案完整版
网络改造方案
一、现状
1、现状路由器(华为
SRG2200)
2、现状汇聚交换机(华为
S5300系列24口poe交换机)
3、民用无线路由器
4、各楼层非网管交换机
5、电信外网带宽专线30M二、改造目的1、提高有线、无线网络访问速度。
2、优化网络架构,VLAN划分各业务网络相互隔离。
3、升级核心设备与无线网络,兼容原有有线网络,优化网络流量。
4、实现基本的用户行为管理和数据分析。
三、方案拓扑
四、方案优势
1、整网状态数据可视化
2、网络状态可视化,自动发现拓扑结构,自动识别设备。
3、用户状态可视化,有线无线均可区分
4、故障快速定位,绿色为正常链路,橙色为故障链路。
5、设备端口状态可视化
6、网络风险发现
7、防环路
(RLDP),支持全网防环路,将避免出现环路导致的网络拥塞、连接中断等情况,发生环路后接入交换机环路的端口将被自动关闭。
8、防私接
(DHCPSnooping),开启防私接后,将避免出现“原网络中的上网终端获取到私自接入路由器分配的IP地址”,以保障网络的稳定性。
9、行为管理,开启的禁止应用,在对应网段将不可访问
你可根据需要,设置控制和管理访问用户对互联网的使用。
10、业务vlan划分,有线二层接入、无线三层接入
11、业务访问控制(ACL),通过将业务网按需拖到【互通区】或【隔离区】,来设置网段之间的访问权限,从而保障网络安全。
12、无线网络调优,支持黑白名单与负载均衡
五、产品选型
1、千兆多WAN口中大企业安全网关RG-NBR6135-E(带机量350,带宽1000M,机架式,6个千兆口,VPN,5WAN,防火墙,行为管理)
2、汇聚24口千兆接入万兆上联三层网管交换机
RG-NBS5200-24GT4XS
(24千兆电口,上联4万兆光口,三层网管)
3、24口千兆接入三层接入网管POE交换机RG-NBS5710-24GT4SFP-E-P(24个千兆POE电口;4个千兆光口;三层网管)
4、AX1800双频Wi-Fi6室内吸顶APRG-RAP2260(G)(支持Wi-Fi6,2个千兆电口,整机无线接入速率高达1775Mbps)
5、AX1800双频Wi-Fi6室内墙面AP
RG-EAP162(G)(支持Wi-Fi6,整机高达1775Mbps无线接入速率)
六、设备清单
序号
设备名称
型号
品牌
功能参数
6个千兆电口,1个千兆光口,2个USB口,一个
Console口;可带机350终端,支数量
单位
单价(元)
合计
备注
1网关
RG-NBR6135-E锐捷
持1000M带宽;集成AC(无线控制器),可管理32个AP或64个WALLAP,可选配1T硬盘配件。
三层网管交换机,交换容量336Gbps,包转发率108Mpps,24个10/100/1000Mbps自适应电口交换1台
¥2,400.0¥2,400.02三层核心交换机
RG-NBS5200-24GT4XS锐捷
机,固化4个SFP+万兆光口,支持静态路由、三层聚合口、ACL、端口镜像等功能,支持睿易APP和MACC云平台统一管理。
三层交换机,交换容量336Gbps,包转发率51Mpps;24个10/100/1000M自1台
¥1,400.0¥1,400.0RG-3三层POE交换机
NBS5710-24GT4SFP-E-P锐捷
适应电口,支持PoE/PoE+,4个SFP光口,PoE总功率370W;支持RIP,OSPF等路由协议;支持1台
¥2,600.0¥2,600.0DHCPserver;支持虚拟化;支持MACC云平台统一管理。
1775M双频千兆吸顶AP,双千兆LAN口上联,内置天线,支持2.4GHz/5GHz双频通信,支持802.11a/b/g/n/acWave1/Wave2/ax协议。支持AP4无线吸顶APRG-RAP2260(G)锐捷
与路由两种工作模式,支持二、三层漫游,支持睿易一体化组网,支持“睿易”APP管理。支持802.3atPoE供电和本地供电(PoE+供电设备和DC适配器需单独采购)
5UPS套装
C3KS山特
2400瓦供电一小时,1台
¥7,738¥7,738.09台
¥1,300.0¥11,700.067施工费用及网线配件
合计
1项
¥8,000.0¥8,000.0¥35538.0七、施工方案
1、安装AP设备,敷设线缆,预计工期1天完成。
2、更换网络设备,调试网络,加装UPS设备,预计工期1天完成。
八、改造成果
改造核心成果,解决现有带宽慢且时常中断现象,解决因停电对机房设备造成的损坏。
1、替换原有民用路由器,采用企业级AP管理,无缝覆盖且不间断切换无线。
2、优化带宽,对下载及大流量行为进行管控,将带宽用于办公。
3、对业务服务器进行带宽分割,保障业务服务器有充足的带宽资源。
4、采用一小时ups对机房设备进行保障,降低突发断电造成的设备损坏。