XXX公司信息系统集成方案.doc

信息系统集成方案信息系统集成方案2012.82012.8目录目录1.前言前言.41.1集团综合信息系统建设目标.41.2具体用户需求：.51.3集团综合信息系统建设原则.51.3.1先进性.61.3.2标准性.61.3.3兼容性.61.3.4可升级和可扩展性.71.3.5安全性.71.3.6可靠性.81.3.7易操作性.81.3.8可管理性.92.网络设计方案网络设计方案.92.1网络设计需求.92.2整体方案设计策略.102.3XXX生物科技结构示意图.102.4网络设备选型.112.4.1选型原则.112.4.2核心层设备.122.4.3接入层交换机.132.4.4路由交换部分的设计.132.4.5VPN.192.4.6防火墙.192.4.7PBX语音交换系统.202.5网络安全设计.203.系统设计方案系统设计方案.223.1系统设计总体需求.223.2系统设计原则.223.3系统设计方案.243.3.1系统的构价.243.3.2系统管理设计.243.3.3系统的安全设计.244.邮件服务器解决方案（不写）邮件服务器解决方案（不写）.255.工程实施与项目测试工程实施与项目测试.255.1验收基本说明.255.2设备验收（物理验收）.276.项目费用项目费用.296.1设备费用.297.技术支持服务技术支持服务.307.1售后服务内容.307.2保证售后服务质量的措施.311.1.前言前言“功欲善其事，必先利其器”，XXX科技深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统，已迫在眉睫，XX公司作为一个致力于企业信息化和系统集成的高科技公司非常荣幸参与XXX科技综合网络信息系统的建设，希望能尽自己的全力来施展我们的专长来实现XXX生物科技网络信息系统的建设。1.11.1集团综合信息系统建设目标集团综合信息系统建设目标XXX科技信息系统主要建设一个企业信息系统，它以管理信息为主体，连接生产、销售、维护、运营子系统，是一个面向集团的日常业务、立足生产、面向社会，辅助领导决策的计算机信息网络系统。本期项目的目标是建立如下系统：1构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网。2选用技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用结构容错的方法3完全符合开放性规范，将业界优秀的产品集成于该综合网络平台之中；4具有较好的可扩展性，为今后的网络扩容作好准备5采用OA办公，做到集数据、图像、声音三位一体，提高企业管理效率、降低企业信息传递成本6整个公司计划采用10M光纤接入到运营商提供的INTERNET。集团统一一个出口，便于控制网络安全7设备选型上必须在技术上具有先进性，通用性，且必须便于管理，维护。应具备未来良好的可扩展性，可升级性，保护公司的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品，同时也要有好的售后服务1.21.2具体用户需求：具体用户需求：1网络设备配置配备网络交换设备，实现楼宇间的千兆光纤连接，保证未来各应用系统的实施以及满足集团各种计算机应用系统的大信息量的传输。2网管系统设计提供可以对整个网络系统进行管理的中文图形界面工具，使系统维护人员可以集中控制网络的所有设备。1.31.3集团综合信息系统建设原则集团综合信息系统建设原则多业务网络系统方案以实现以上功能为基本要求，在设计上力求做到既要采用国际上先进的技术，又要保证系统的安全可靠性和实用性。具体来讲，其设计遵循以下原则：.1先进性先进性系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术，符合国际标准和规范；.2标准性标准性所采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。全面支持IEEE工业标准：802.1D，802.1P，802.1Q，802.1X，802.3，802.3U，802.3Z；支持路由协议：IP的RIPV12，OSPF，BGP-4；信令标准：H.323RTPCRTP.支持：IPSEC、L2TP、GRE、MPLS-VPN规范。支持多址广播协议：IGMP，DVMRP，PIM-DM，PIM-SM；网络管理协议：SNMP，RMON，RMON2；.3兼容性兼容性跟踪世界科技发展动态，网络规划与现有光纤传输网及将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。1.3.4可升级和可扩展性可升级和可扩展性随着技术不断发展，新的标准和功能不断增加，网络设备必须可以通过网络进行升级，以提供更先进、更多的功能。在网络建成后，随着应用和用户的增加，核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择，以方便未来更灵活的扩展。.5安全性安全性网络的安全性对网络设计是非常重要的，合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问，灵活的实施网络的安全控制策略。在企业园区网络中，关键应用服务器、核心网络设备，只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限，网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进行基于协议、基于MAC地址、基于IP地址的包过滤控制功能。在大规模园区网络的设计上，划分虚拟子网，一方面可以有效的隔离子网内的大量广播，另一方面隔离网络子网间的通讯，控制了资源的访问权限，提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力，使网络可以任意连接，又可以从第二层、第三层控制网络的访问。.6可靠性可靠性本系统是7X24小时连续运行系统，从硬件和软件两方面来保证系统的高可靠性。硬件可靠性硬件可靠性系统的主要部件采用冗余结构，如：传输方式的备份，提供备份组网结构；主要的计算机设备（如数据库服务器），采用虚拟化技术支持多机高可用结构；配备不间断电源等。软件可靠性软件可靠性充分考虑异常情况的处理，具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示；并具有进程监控管理功能，保证各进程的可靠运行数据库系统应。网络结构稳定性网络结构稳定性当增加扩充应用子系统时，不影响网络的整体结构以及整体性能，对关键的网络连接采用主备方式，已保证数据的传输的可靠性。本系统应具有较强的容灾容错能力，具有完善的系统恢复和安全机制；.7易操作性易操作性提供中文方式的图形用户界面，简单易学，方便实用。优良的性能价格比。系统应着重考虑和满足以上的设计要求。.8可管理性可管理性络的可管理性要求：网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态，故障报警等都可以通过网管平台进行监控，通过网络管理平台简化管理工作，提高网络管理的效率。在进行网络设计时，选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置，网络拓扑结构表示，网络设备的状态显示，网络设备的故障事件报警，网络流量统计分析以及计费等。网管软件的应用可以提高网络管理的效率，减轻网络管理人员的负担。网络管理的目标是实现零管理，基于策略的管理方式，网络管理是通过制定统一的策略，由管理策略服务器进行全局控制的。基于WEB的网管界面，是网管软件的发展趋势，灵活的操作方式简化了管理人员的工作。在设计园区网的设备选择上，要求网络设备支持标准的网络管理协议SNMP，同时支持RMONRMONII协议，核心设备要求支持RAP(远程分析端口)协议，实施充分的网络管理功能。在设计园区网的原则上应该要求设备的可管理性，同时先进的网管软件可以支持网络维护、监控、配置等功能。2.2.网络设计方案网络设计方案2.12.1网络设计需求网络设计需求2.22.2整整体方案设计策略体方案设计策略为了实现以上网络设计原则，使XXX科技网络具有良好的扩展性能力和灵活的便于管理，易于维护，在网络设计上采用了一下策略。因特网接入和园区网分离。因特网接入和园区网分离。将因特网接入部分和园区网主体部分分离，每部分完成其自身的功能，可以减少两者之间的相互影响。因特网接入的变化，只影响接入的变化，对园区网络没有影响；而园区网络的变化对因特网接入部分影响较小。这样可以增强网络的扩展能力。保持网络层次结构清晰，便于管理和维护。降低各个子公司之间的网络关联度。降低各个子公司之间的网络关联度。将各个子公司之间的网络的关联度降低到最低的策略，可以最大限度的减少各个子公司网络之间的相互影响，便于分别管理，或者在不同子公司扩展网络的新应用。统一标准，统一网络统一标准，统一网络统一的IP应用标准（IP地址，路由协议），安全标准，接入标准和网络管理平台，才能实现真正的统一管理，便于集团的管理和网络策略的实施。2.32.3网络拓扑结构示意图网络拓扑结构示意图2.42.4网络设备选型网络设备选型.1选型原则选型原则我们在网络系统设计时考虑如下特点：稳定可靠的网络稳定可靠的网络只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物理层、数据链路层和网络层的备份技术。高带宽高带宽为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用最先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。易扩展的网络易扩展的网络系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。易扩展不仅仅指设备端口的扩展，还指网络结构的易扩展性：即只有在网络结构设计合理的情况下，新的网络节点才能方便地加入已有网络；网络协议的易扩展：无论是选择第三层网络路由协议，还是规划第二层虚拟网的划分，都应注意其扩展能力。QOS(英文全称为QUALITYOFSERVICE，中文名为服务质量。)QOS是网络的一种安全机制是用来解决网络延迟和阻塞等问题的一种技术。保证随着网络中多媒体的应用越来越多，这类应用对服务质量的要求较高，本网络系统应能保证QOS，以支持这类应用。安全性安全性网络系统应具有良好的安全性，由于网络连接园区内部所有用户，安全管理十分重要。应支持VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。容易控制管理容易控制管理因为上网用户很多，如何管理好他们的通信，做到既保证一定的用户通信质量，又合理的利用网络资源，是建好一个网络所面临的首要问题。符合符合IPIP发展趋势的网络发展趋势的网络在当前任何一个提供服务的网络中，对IP的支持服务是最普遍的，而IP技术本身又处在发展变化中，如IPV6，IPQOS，IPOVERSONET等等新兴的技术不断出现，XXX科技集团园区网网络络必须跟紧IP发展的步伐，也就是必须选择处于IP发展领导地位的网络厂商。.2核心层设备核心层设备由于XXX科技网络发展规模较大，未来需提供多媒体办公、办公自动化、图书资料检索、远程互联、视频会议等复杂的网络应用，为便于管理，我们建议选用的交换机作为网络组建交换设备。选用2台CISCO4506作为主干交换机实现1000M做主干100M到桌面的需求。(具体产品介绍见附录二)CISCO4506系列交换机支持堆叠技术，将来扩充端口极为灵活方便，不必改变原有网络的任何配置。通过增加堆叠交换机数量或做PORTTRUNKING(端口干路)两种办法均可扩充网络规模；并且实现了本地化交换，改善了整个网络，使整个网络的性能发生了质的变化。选用千兆光纤模块，与主干上联，实现主干的千兆传输。CISCO4506系列交换机支持网管和堆叠，可以很容易地根据需要，通过堆叠扩充端口数量。另外，CISCO4506系列交换机建立在一个功能强大且绝对无阻塞的交换背板上，可以保证堆叠中的所有端口间实现无阻塞的线速交换。此外，CISCO4506交换机，在安装千兆光纤模块的同时，还可以安装百兆光纤模块，完全可以适应现在或将来的楼内光纤布线，灵活性很强。.3接入层交换机接入层交换机接入层交换机放置于楼层的设备间，用于终端用户的接入。应该能够提供高密度的接入，对环境的适应能力强，运行稳定。楼层接入设备选择CISCO公司的CISCO2960智能以太网交换机。WS-C2950-48-EI交换机属于CATALYST2950系列智能交换机。CATALYST2950系列是固定的配置，可堆叠的独立设备系列，提供了线速快速以太网和千兆位以太网连接。CATALYST2950系列是有款最廉价的CISCO交换机产品系列，为中型网络和城域接入应用边缘提供了智能服务，可以为局域网提供极佳的性能和功能。这些独立的。10100自适应交换机能够提供增强的服务质量（QOS）和组播管理特性，所有的这些都由易用，基于WEB的CISCO集群管理套件（CMS），和集成CISCOIOS软件来进行管理。带有100BASE上行链路的CATALYST2950交换机，可为中等规模的公司和企业分支机构办公室提供理想的解决方案，以使他们能够拥有更高性能的千兆以太网主干。WS-C2950-48-E交换机，有48个10100端口，2个基于千兆接口转换器（GBIC）的1000BASEX端口，能够为用户提供千兆的光纤骨干和高密度度的接入端口；具有高达13.6GBPS的背板带宽，能够提供10.1MPPS的转发速率；增强型的IOS，能够支持250个VLAN，提供安全，QOS，管理等各方面的智能交换服务。.4路由交换部分的设计路由交换部分的设计为了使XXX科技集团园区网高效、稳定的运行，便于管理与维护，对局域网交换和路由技术的相关方面进行了规范设计，包括VTP、VLAN、STP、TRUNK、ETHERCHANNEL，HSRP，VPN等。每一台都连接所有的汇聚层交换机，但相互之间并不连接（提高网络的故障收敛速度）。作为二层的核心，只保证数据的高速转发。网络的可靠性由汇聚层的路由协议提供保证。1VLAN设计规范设计规范XXX科技集团内的局域网进行VLAN划分可以减少网络内的广播数据包提高网络运行效率可以区分不同的应用和用户方便集团的管理与维护。建议每栋建筑物内的局域网划分VLAN。VLAN用途如表1VVLLAANN划划分分用用途途表表2IP地址分配方案地址分配方案IPv4的地址结构，各个位的使用规划如图：0-78-1011-1516-181931集团标识子公司标识预留类别标识用户空间地址其中，在项目实施的时候，接入层交换机的IP地址建议使用网管类地址空VLAN用途VLAN1应用类1的微机室工作人员VLAN2应用类1的财务部工作人员VLAN3应用类1的行政部工作人员VLAN4应用类1的研发部工作人员VLAN5应用类1的后勤部工作人员VLAN6应用类1的人力资源部工作人员VLAN7应用类1的业务部工作人员VLAN8应用类1的生产部工作人员间10.34.024，多层交换机的IP地址的LOOPBACK接口的IP地址建议使用网管类地址10.35.32；所有汇聚层设备互联IP地址使建议使用互联类空间27和227，相互备份的2台汇聚层设备的IP地址建议使用互联类地址空间10.65.24829。3冗余电源冗余电源CISCO6509系列以太网交换机提供了RPS电源备份接口，可以对设备提供一对一的电源备份和保护，也可以以一路直流电源对多台支持RPS接口的设备进行备份和保护。4生成树（生成树（STPRSTPMSTP）CISCO6509系列以太网交换机支持STPRSTPMSTP生成树协议。生成树协议主要用来建立和维护局域网的拓扑，消除循环连接导致的网络广播风暴，并且提供网络的拓扑的冗余备份功能，平时作为备份的路径被阻塞，当主用路径网络设备出现故障时，能够及时调整端口状态，调整网络拓扑。生成树协议的工作原理：网络中的桥接设备根据设定的优先值和MAC地址，确定最优先的设备为网络的根桥，根桥向外定时发送CONFIGBPDU报文，每个收到该报文的交换机将报文内容根据自身的配置和所掌握的网络拓扑结构进行更新下发到其他端口，当一个交换机从两个或两个以上端口接收到CONFIGBPDU的时候就表明网络中存在循环，保留其中一个端口为转发状态，设置其余端口为阻塞状态。除了支持传统的生成树协议外，CISCO6509系列以太网交换机还支持IEEE802.1W快速生成树协议(RSTP)，以及802.1S多生成树协议（MSTP）。快速生成树协议是生成树协议的改进，在原有功能的基础上提高了网络保护的性能。传统生成树倒换时间为42S，从发现链路断裂、数据中断到数据恢复至少需要三十多秒的时间，而快速生成树协议只需68秒的时间就可以将数据流切换到备份链路上。802.1S多生成树协议（MSTP）可以通过支持一个网络内的多个生成树，这使管理员可以把VLAN流量分配给唯一的通路。网络管理员只要为VLAN分配独立的生成树拓扑，就可以确保两个VLAN都能在网上顺畅传输。这就可以起到均衡网络流量，提高可靠性的作用。CISCO6509系列以太网交换机最大可以支持17个或者33个STP实例。5链路聚合（链路聚合（LinkAggregation）为了在以太网上获得更高的数据传输带宽，CISCO6509系列以太网交换机提供了二层的端口链路聚合功能（基于标准IEEE802.3AD）。这样在生成树协议（STP）和其他二层协议上看，作了链路聚合的所有物理端口被视为同一个端口。在作了链路聚合的端口之间可以做冗余备份和负载分担。在实际应用中，进行聚合处理的端口等同于一个端口，任何转发到聚合的端口上的报文会通过对源、目的地址的逻辑运算来分布到聚合的不同端口上。即使是多播和广播报文也不会被复制多份，也要通过对地址的逻辑计算，将流量平衡分配到不同的端口上。CISCO6509系列以太网交换机系统在二层和三层对硬件查表未命中的新地址进行监控。如果新地址是在聚合的端口上时，根据二层和三层的不同，使用MAC地址或IP地址进行逻辑计算，根据逻辑的结果选择相应端口为转发端口，发往该目的地址的帧将按照计算负载均衡后的结果进行转发，实现端口之间负载均衡和冗余保护，保证数据流不出现乱序现象。6HSRPHSRP是CISCO公司是所特有的。HSRP向主机提供了缺省网关的冗余性，减少了主机维护路由表的任务。当网络边缘设备或接入电路出现故障时，HSRP提供了一个较好的解决方案，它能够确保用户通信迅速并透明地恢复，以此为IP网络提供冗余性、容错和增强的路由选择功能。通过使用热备份路由份协议（HSRP），可使网络对最终用户的可用性得到充分的保证。另外，通过多个热备份组，路由器可以提供冗余备份，并在不同的IP子网上实现负载分担。XXX科技集团园区网的IP地址规范中规定：网关的地址统一使用子网的最后一个可用地址。启用HSRP协议之后，这个地址就是HSRP的虚拟地址。在成对的两台汇聚层多层交换机上，具体的HSRP配置规范如下：1接口的IP地址：在第一台多层交换机上，某个VLAN虚拟接口的IP地址是子网的最后第三个可用地址，在第二台多层交换机上，某个VLAN虚拟接口的IP地址是子网的最后第二个可用地址。2热备份组号：热备份组号与接口的VLAN号相同。3热备份地址：热备份地址是子网的最后一个可用地址。4热备份优先级：在主用的多层交换机了，某个VLAN虚拟接口的热备份优先级是120。并且主用的汇聚层交换机配置占先权。7等价路由（等价路由（ECMP）除了从设备级支持三层转发容错协议VRRP之外，CISCO6509系列以太网路由交换机还支持等价路由（ECMP）。等价路由即为到达同一个目的IP或者目的网段存在多条COST值相等的不同路由路径，当设备支持等价路由时，发往该目的IP或者目的网段的三层转发流量就可以通过不同的路径分担，实现网络的负载均衡，并在其中某些路径出现故障时，由其它路径代替完成转发处理，实现路由冗余备份功能。不仅从软件上，而且从硬件上也支持等价路由是CISCO6509系列以太网路由交换机与业界类似产品相比显著的优点。以前部分路由交换机虽然也宣称支持等价路由，但实际上只是从软件上支持，对软件转发的报文可以使用等价路由，但对于由硬件直接转发的报文，则只能从一条固定路径转发。而CISCO6509系列以太网路由交换机从硬件上也实现了等价路由的支持，真正实现了硬件三层转发流量的负载分担与路由冗余备份。CISCO6509系列以太网路由交换机最大支持4条等价路由，并且不论RIP、OSPF等路由协议产生的路由，还是静态配置路由，不论是网段路由还是主机路由，甚至缺省路由，都可以支持等价路由。CISCO6509系列以太网路由交换机在支持等价路由、实现负载均衡的同时，还能很好地保证报文的有序性。通过数据流的目的IP地址和源IP地址进行计算，CISCO6509系列以太网路由交换机可以保证同一个IP转发流都从同一个路由路径被转发出去，从而保证了整个端到端网络的路由报文转发的有序性，避免了TCP全局同步等问题的发生。8策略路由（策略路由（PBR）CISCO6509系列以太网路由交换机支持高性能的策略路由。策略路由（POLICY-BASEDROUTING，简称PBR）是目前越来越多的路由器或三层交换机设备正在支持的一项路由扩展功能，支持策略路由的设备不仅能以报文的目的IP地址为依据来进行路由选择，还可以以报文的源IP地址、源MAC地址、报文大小、报文进入的端口、报文类型、报文的VLAN属性等等其它扩展条件来选择路由。通过合理的路由策略设计，可以实现网络流量的负载均衡，充分利用路由设备，并实现路由、交换设备之间的冗余备份功能，同时提供各种可以区分的服务等级，为不同用户提供不同的QOS服务。策略路由是设置在接收报文接口而不是发送接口。CISCO6509系列以太网路由交换机可以很好地支持策略路由功能，并且可以将路由下一跳重定向到某个物理端口，或者某个下一跳IP地址。.5VPNVPN解决方案解决方案需求概述需求概述企业网络安全问题是信息网络系统中面对的最重要问题之一。网络带宽的扩充、IT应用的丰富、互联网用户的膨胀式发展，使得网络和信息平台早已成为攻击爱好者和安全防护者最激烈斗争的舞台。WEB时代的安全问题已远远超于早期的单机安全问题，尽管防火墙、IDS、UTM等传统安全产品在不断的发展和自我完善，但是道高一尺魔高一丈，黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测，在攻击和入侵的形式上也与应用相结合越来越紧密。这些都使传统的安全设备在保护网络安全上越来越难。目前更多的出现了以下的安全问题：投资成本攀升，运维效率下降“数据库泄密”、“网页遭篡改”等应用层安全事件的发生网管员对企业流量控制束手无策部署UTM，网络中断或访问变慢内网出现威胁，追究责任困难方案设计方案设计结合上述的用户需求以及IT系统业务应用交付的过程，我公司提供一个端到端的可视化应用安全防护方案。网络拓扑图网络拓扑图方案描述方案描述针对企业园区网络的出口部署安全设备可能会遇到的问题，我们推荐深信服VPN-2050VPN网关，为业务系统提供安全防护。避免带宽浪费，降低投资成本避免带宽浪费，降低投资成本为客户提供一套精细的内网流量管理手段。在无需增加带宽扩容成本的前提下，最大限度提高带宽利用率！保障关键应用带宽需求，提升带宽价值保障关键应用带宽需求，提升带宽价值细致划分带宽资源，保证核心业务的带宽需求，限制非业务应用的带宽占用，彻底解决P2P滥用带宽等问题，大幅度提升业务运行效率。全面洞悉网络中应用流量分布情况全面洞悉网络中应用流量分布情况提供细致且直观的流量分布、趋势、对比报表等，让网络更加透明，为组织的IT决策提供科学依据！产品优势产品优势VPN-2050采用基于队列的流量处理机制和分层三色令牌桶技术，并结合DPI（数据包深度内容检测）、DFI（动态流状态检测）及智能识别等网络应用及数据识别技术，通过高性能硬件平台为客户提供业界性能卓越的流量管理方案。其强大的应用识别能力、以及丰富的流量管理策略，可以实现对网络流量的全面透析与管控，优化网络带宽，为网络管理者提供了前所未有的网络可见性，真正意义上帮助用户构建可视、可控、可优化的高效网络。超强的网络应用识别能力超强的网络应用识别能力内置中国最大的应用协议识别库及千万级规模URL库，外加基于网页内容的智能识别技术，可识别绝大多数的应用和网址，确保对各种流量实现有效管控；基于统计学的P2P智能识别技术，实现对加密的、版本泛滥的、同一版本多次变种、以及不常见的P2P应用进行全方位识别，为有效的管控P2P应用提供了强大的技术保证；基于文件类型的精确识别有效管控HTTP、FTP文件上传、下载流量，保证网络带宽的合理利用；最丰富的流量管理手段最丰富的流量管理手段可基于用户用户组、IPIP组、应用类型网站类型文件类型、时间段进行流量控制；支持按照物理线路虚拟线路虚拟通道用户通道的多级流量分类与带宽分配；支持基于外网IP的流量管理策略；强大的用户管理系统强大的用户管理系统基于用户身份的流量管理功能，使得用户与流量管理策略完美绑定，为动态IP环境下基于用户名的流量管理提供了有效的解决方案；支持与第三方用户管理服务器（LADP、RADIUS、POP3、PROXY）无缝结合管理；实时的流量监控与报表统计实时的流量监控与报表统计支持实时流量、会话数监控、异常流量冻结，流量应用排名、用户带宽使用情况显示；支持基于用户用户组、IPIP组、网络应用的流量统计及趋势分析；提供丰富、多样化的报表系统，包括统计报表、趋势报表、对比报表、历史报表，支持用户自定义报表，同时支持报表的绘图与导出；.6防火墙防火墙解决方案解决方案需求概述需求概述现在，网络对于企业的成功比以往任何时候都更加重要。它们支持着关键应用和流程，并为融合的数据、语音和视频服务提供了一个通用基础设施。我们非常了解企业目前面临的安全挑战，并通过为客户提供业界一流的安全解决方案，帮助他们安全地开展业务。与只提供具有基本安全性的单点产品不同，我们致力于将安全性嵌入到整个网络之中，在其所有产品中集成安全服务。这不仅可以加强安全保障，还能使其成为业务基础设施的一个透明、可扩展、可管理的组成部分。方案设计方案设计我们选择CISCOASA5500系列自适应安全设备，与一个创新的、自适应架构结合在一起。CISCOASA5510一个强大的多功能网络安全设备，能够为企业和数据中心网络提供全面保护，同时降低达到这一全新安全等级所需的总体部署和运营成本。CISCOASA5500系列通过智能的、可感知应用的检测引擎，提供了强大的应用安全性，能够对四到七层的网络流进行检查。这将可以为客户带来更加安全的网络，包括WEB、语音和第三代（3G）移动无线服务等。为了保护网络避免遭受应用层攻击，帮助企业更有效地控制在其环境中使用的应用和协议，这些检测引擎还集合了广泛的应用与协议知识，并采用了多项安全执行技术，如协议异常检测、应用和协议状态跟踪等。此外，它们还采用了攻击检测和消除技术，例如应用和协议命令过滤、内容验证及URL反混淆技术等。这些检测引擎还提供了对即时消息、对等文件共享和隧道应用的控制，来支持您的企业执行使用策略，并释放网络带宽用于关键业务应用。在加强网络安全的同时，CISCOASA5500系列还能降低部署和运营成本。凭借广泛的VPN和安全服务特性，其成为一款能够用于多种用途的设备，进而实现了平台标准化。您可以在中央地点将其部署为一个融合的威胁防御设备，以使用其访问控制、应用检测，以及蠕虫、病毒和其他恶意软件防范技术。您还可以将其作为专用的远程接入设备，充分利用其VPN功能。它在网络内部也同样能够发挥重要作用，包括提供部门间的访问控制，以及防御内部用户在无意间引入到网络中的蠕虫、病毒和其他恶意代码。在小型企业和分支机构环境中，CISCOASA5500系列可以充当一个“多功能一体”的设备，提供全面的威胁防御和VPN服务，同时满足此类部署的预算和运营模式要求。这种自适应的“单一设备，多种用途”方法减少了您需要部署和管理的平台数量，同时在所有部署中提供了一个通用的运营与管理环境。这一方法将可以简化配置、监控、故障排除和安全人员培训工作。为了最大限度地降低运营成本，CISCOASA5500系列还具有很高的网络感知能力，可以在不中断合法流量和应用的情况下，无缝地部署到网络之中。CiscoCiscoASAASA55005500系列防火墙性能系列防火墙性能CiscoASA5505:150MbpsCiscoASA5510:300MbpsCiscoASA5520:450MbpsCiscoASA5540:650MbpsCiscoASA5550:1.2GbpsCiscoASA5580-20:6.5GbpsCiscoASA5580-40:14Gbps.7PBXPBX语音交换系统语音交换系统系统总体设计系统总体设计系统拓扑图系统拓扑图通过对企业语音通信网络的需求进行分析。我们推荐基于互联网或VPN网络通过融合通信平台来组建企业分布式语音通信网络。实现公司总部、各办公楼、办事处、出差人员之间内部免费通信。并满足企业对语音邮箱、视频通信、会议、无纸化传真、统一通信等增值功能的需求。系统拓扑图如下：系统组成系统组成如上图所示，系统采用分布式组网模式来组建企业语音通信网络。可在企业总部、各办公区分别部署相应的软硬件设备，基于IP网络实现语音、数据、视频信息的传输。在企业总部部署大容量融合通信平台DCVP，用于公司总部和没有部署融合通信平台的分公司、办事处、出差人员分机的注册，以及通话路由的管理融合通信平台可选配HA热备份系统。部署语音网关接入多种网络，实现分机和外网的互联互通。可选部署传真服务器和其他业务系统服务器（如视频会议服务器、OA服务器等），用于员工的无纸化办公和其他业务功能。在各楼层间部署语音网关，用来连接本地的运营商和模拟分机，分机通过IP网络注册在总公司的融合通信平台上，和外网的通信可通过本地的运营商出局入局。产品选择产品选择PANASONIC混合IPPBX（用户级交换机）系统是专为今日巨变中的网络时代设计的强有力通讯工具。混合IPPBX（用户级交换机）系统融合PBX（用户级交换机）功能和稳定的IP技术，充分反应了PANASONIC在同业中的领导地位。结合这些先进技术能带给您高性能的商务通讯系统并提供先进话务以及留言解决方案。高效灵活的通讯模式DECT无线灵活性IP网络能力通过IP的语音传输方式连接即插即用USB端口实现与电脑无缝连接。PANASONIC系列一贯倡导的用户友好界面在混合IPPBX（用户级交换机）系统中得以充分展现。即便对于IP使用经验很少的用户而言也非常易于操作。互联网和宽带技术的应用为整个商务领域的带来革命性变化，PANASONIC混合IPPBX（用户级交换机）系统与当今尖端技术和功能保持一致，彻底改变您公司的通讯方式。系统系统配置配置松下松下IP智能语音交换系统智能语音交换系统系统配置系统配置:16外线外线200分机分机型型号号说说明明单单价价数量数量金额金额备注备注KX-TDCN主机主机1KX-TD扩展柜扩展柜1KX-TDA8路混合分机板路混合分机板1KX-TDA616路普通分机板路普通分机板12KX-TDACX16路外线板路外线板1KX-TDA1主机柜与扩展机柜联机卡主机柜与扩展机柜联机卡1KX-TDA0M型电源单元型电源单元(PSV-M)2KX-7633CN24键键3行显示数字话机行显示数字话机1KX-T7630CN3行显示数字话机行显示数字话机1KX-T7640CN60功能键直选台直选台功能键直选台直选台7KX-T7625CN24键全免提数字话机键全免提数字话机61KX-T7710松下普通话机松下普通话机2总总价价优惠价优惠价字终端产品字终端产品通信系统可以接驳多种数字话机。带LCD显示的数字终端提供可视反馈，用户友好的显示使话务处理和执行其它任务更简易化，作用显示屏能浏览各种信息（详见下面的清单）或接入可视提示进行呼叫：来电、去电呼叫记录（呼叫记录）来电主叫姓名和号码分机列表系统功能菜单语音邮件菜单呼叫时长信息等待、缺席留言、功能设置主叫分机号码和姓名时间和日期以下为专为TDA系统设计的数字终端：KX-T7636CNKX-T7636CN-6行24字符带背光显示-24个带双色LED的可编程CO键-多级扬声器、听筒、振铃音量控制-连接USB模块-数字附加设备端口-头戴式耳机接口KX-T7633CNKX-T7633CN-3行24字符带背光显示-24个带双色LED的可编程CO键-多级扬声器、听筒、振铃音量控制-连接USB模块-数字附加设备端口-头戴式耳机接口KX-T7630CNKX-T7630CN-3行24字符-24个带双色LED的可编程CO键-多级扬声器、听筒、振铃音量控制-数字附加设备端口-头戴式耳机接口KX-T7625CNKX-T7625CN-24个带双色LED的可编程CO键-多级扬声器、听筒、振铃音量控制-数字附加设备端口-头戴式耳机接口2.52.5网络安全设计网络安全设计为了保障网络系统的运行安全，保护集团的信息安全，必须进行网络安全方面的规划和实施。一个网络的安全，首先要有严格和有效执行的管理制度。建议XXX集团制定严格的网络安全管理策略，并有效的执行。其次，必须具有一定的技术手段来保障网络的安全。技术和管理手段相结合实施，才能够产生良好的效果。通过以下几个技术方面的实施，可以在一定程度上保障网络的安全：提高设备的物理安全性设备的物理安全性是指运行中的设备，未经授权的人员不能直接接触到。提高设备的物理安全性，是最基本的要求。通过将设备安置在独立的设备间中，并增加门禁系统，确保只有授权的管理和维护人员才能接触到物理设备。配置设备的口令配置设备的口令，是防止非授