某石油公司100-500人办公网络方案设计

is responsible for Organization training, and implementation, and check; 12, master workshops annual economic indicators of implementation, reporting to financial health on a regular basis; 13, is responsible for the daily oversight in the allocation and use of funds; 14, responsible for all Department statistics, collecting, sorting, reporting of accounting reports; 15, the company responsible for the supervision of the Treasury, including the third grade library, a library of materials, products for regular inventory handling, sampling, storage monitoring, the picking work, and provide the inventory report, and make the appropriate accounting treatment; 16, responsible for waste and recycling, transportation and settlement; 17, is responsible for all product sales accounting functions; 18, responsible for the companys raw materials, auxiliary materials, account management; 19, is responsible for the flow of control of all assets of the company, according to the changes in accounting treatment of fixed assets and assets to the departments responsible for clearing, settlement and asset monthly report submitted to the asset management section of the Finance Department of the company organized on a company-wide special inspection of asset management; 20, according to the companys business activities, monthly projects involved in the business activities of the company (including expenses, business management, cost control, cash flow, revenue, etc) financial analysis, provide a basis for decisions for the company, the business of the company responsible for monitoring, forecasting and risk analysis; 21, responsible for the settlement of transactions with the Bank; 22, is某石油公司100-500人办公网络方案设计一、项目概述（略）二、项目需求1. 业务需求 公司内部各分支机构和办事处之间文件传输与资源共享； 客户及其他外部人员、机构与公司进行文件传输与资源共享； 公司内部人员对Internet资源访问与发布； VOIP语音业务的应用； Video Conference 视频会议系统的应用； 未来的应用，系统的升级扩展；2. 性能需求 至少满足以上业务需求的性能； 至少满足以下安全和备份需求的性能； 前期建设应满足100人固定办公的网络性能需求； 考虑2年后扩展到500人系统升级要求； 应满足未来新业务应用性能需求；3. 安全需求 防范黑客及恶意程序的入侵与攻击； 及时检测及追踪攻击和入侵行为； 系统的监控和日志备份； 根据不同人员的访问级别，实施相应安全访问策略和机制； 系统的漏洞检测及系统升级； 主机病毒的防范、检测、查杀； 服务器的安全防护及访问控制；4. 备份需求 主要出口链路的冗余备份； 内部网主干双链路的冗余备份； 核心交换机的热备份； 出口路由器的热备份； 防火墙及VPN等设备的热备份； 重要服务器的备份及负载均衡；三、设计原则以下内容为网络建设的主要设计原则： 实用性原则：网络设计方案中应把握“够用”和“实用” 原则，网络系统应采用成熟可靠的技术和设备，做到实用、经济和有效。 开放性原则：网络系统采用开放的标准和技术，如TCP/IP协议、IEEE802系列标准等，以满足未来网络系统的扩充和与其他网络的互相通信等需求。 高可用性/可靠性原则：应确保很高的平均无故障时间和尽可能低的平均故障率。 安全性原则：确保网络可以抵挡住常见及一般性的攻击，并辅之实时监控和分析等手段，对特殊的网络攻击和入侵进行相应处理。 先进性原则： 构建一个现代化的网络系统，应尽可能采用先进而成熟的技术，在一段时间内保证其主流地位。 易用性原则：整个系统易于安装、管理和使用。网络系统应该具有良好的可管理性和很高的资源利用率。此外，在满足现有网络应用的同时，还应为以后的应用升级奠定基础。 可扩展性原则：网络总体设计不仅要考虑到近期目标，也要为网络的进一步发展留有扩展余地，因此需要统一规划和设计。四、设计思路本方案从公司的业务发展需求、信息及网络技术的快速更新以及现有的网络状况、节约成本等综合因素进行考虑并设计：从结构上，采用了以千兆冗余链路结构为主、可支持万兆扩展、高级路由策略、高性能数据转发、模块化机箱、多层协议交换设备为核心，接入和分布层设备的结构均支持千兆冗余，采用STP协议解决环路、流量分担负载以及链路备份的问题。在VLAN的设计上，根据VLAN规划的部门、区域以及特殊要求进行划分。在路由设计上，核心交换机和路由器之间采用OSFP作为主要的路由协议，并配合相关的路由策略实现高级路由功能。在QoS质量保证上，对语音、视频及其他重要业务进行区分，可以通过端到端的QoS策略，如DSCP等，也可以通过二层实现如COS等策略，根据流量的优先级或报文标记进行识别并区别对待，以达到QoS的目的。在安全方面，内部通过AD域控方式通过域控策略对每台域内计算机和终端进行控制和管理，在设备端通过诸如ACL和路由等策略进行流量的控制，而对于外网的访问，除通过相关的ACL和路由外，我们可以通过防火墙进行更多的安全认证、规则以及审计策略进行控制，并且还可以在一定程度上阻止DDOS的攻击。在网络管理上，我们采用集中式和分布式管理方式，对于在北京本地的设备进行集中管理，而对于远端分所的设备，我们可以采用分布式管理即本地与远端共管模式。在核心交换机及重要设备，我们采用完全及部分冗余备份机制，还可以实现一定的流量分担负载。而对于WLAN无线网络，随着WLAN无线网络的发展，无线网络所带来的便利性和灵活性越来越受到人们的青睐，越来越多的应用和业务对无线网络的依赖程度也越来越高。因此，在本次的网络规划中我们将无线网络（WLAN）也作为网络建设的重点之一。本无线网络结构采用集中式控制结构，即通常所说的无线控制器（也叫无线交换机）与瘦AP（或混合AP）模式。瘦AP可以用于本地的无线网络中直接连接相邻的IDF的PoE（Power over Ethernet）交换机，而混合型AP可以放置在各分支机构及办事处，这些AP在网络正常运行的情况下都可以受到无线控制器统一控制，如果远端分支机构及办事处网络中断，混合型AP还可以独立执行无线覆盖功能，而不会出现中断。在这个网络中，如果对无线要求不高，我们建议采用IEEE802.11a/b/g的覆盖，否则，我们可以考虑802.11n的网络部署。如果部署范围较广，带宽较高，我们还可以实现未来WiFi Phone和无线视频的应用。五、方案分析1. 方案一： （系统图单独附上）方案描述：本方案是基于百兆到桌面考虑，上联均为千兆双链路的结构进行设计，网络中的核心设备完全热备份。核心交换设备是两台Cisco Catalyst 4507R-E交换机可配备双引擎，双电源，支持万兆的引擎和板卡，可支持7个插槽，最高交换矩阵可达320Gbps（SuP-6 引擎），IPV4转发速率为250Mpps，两台核心分别处理不同的VLAN数据和流量，但同时实现双机热备，另外，配置端到端的QoS策略，分离无线数据流、语音流、视频流、有线数据流等，根据不同的优先级进行不同的分类或者可以配置基于三层的DSCP实现数据流的分类。接入层设备则选择以Cisco Catalyst 2960-24TC-L作为普通用户终端接入的百兆交换机。以Cisco Catalyst 2960-24PC-L作为WAP和IP Phone的POE（Power over Ethernet）千兆接入交换机，POE交换机端口在为AP设备和IP电话提供数据传输的同时，也可以提供基于IEEE802.3af标准的电源。核心安全设备我们采用2台了集Firewall/VPN/IPS功能于一体的Juniper SSG550，双机热备，同时将内外部访问的服务器可以通过双链路至2台Catalyst 2960G-24TC-L千兆交换机并双链路接入至防火墙的DMZ安全区。ISR多业务路由器我们选择了2台Cisco 3845作为边缘路由器，双机热备，同时也作为语音系统网关并配合Cisco Call Manager (CCM)服务器群一起构成完整的IP语音系统，可支持250个语音终端用户。WAN链路上，我们可以向ISP申请2条100M普通链路与Internet相连，通过Internet 上VPN实现与各分支机构的业务传输和资源共享；而与中海油总部网络的连接，我们采用一条10M专用链路。对于VOIP语音的传输，我们通过Internet 与各分所的通信，而通过专线实现与总部的通信，另外，我们还提供了1个E1线路和6个模拟中继线路的传统通信链路的备份。对于VLAN，我们可以按照部门、功能、区域、用途等进行划分，系统图中的VLAN仅供参考，但无线网络根据SSID的数量设置不同的独立VLAN，设备管理需要独立的VLAN，IP电话系统设置独立VLAN，以及公司重要部门及会议室设置独立VLAN等，我们可以在后续的工作中进行详细规划。WLAN无线网络，由于目前无线网络部署规模并不大，我们采用Cisco WLC4404-25APs 无线控制器，可以考虑采用Cisco Aironet 1242AG的无线AP。方案分析：（略）2. 方案二：（系统图单独附上）方案描述：本方案是基于百兆到桌面考虑，上联均为千兆双链路的结构进行设计，网络中的核心设备完全热备份。核心交换设备是两台Cisco Catalyst 4507R-E交换机可配备双引擎，双电源，支持万兆的引擎和板卡，可支持7个插槽，最高交换矩阵可达320Gbps（SuP-6 引擎），IPV4转发速率为250Mpps，两台核心分别处理不同的VLAN数据和流量，但同时实现双机热备，另外，配置端到端的QoS策略，分离无线数据流、语音流、视频流、有线数据流等，根据不同的优先级进行不同的分类或者可以配置基于三层的DSCP实现数据流的分类。接入层设备则选择以Cisco Catalyst 2960-24TC-L作为普通用户终端接入的百兆交换机。以Cisco Catalyst 2960-24PC-L作为WAP和IP Phone的POE（Power over Ethernet）千兆接入交换机，POE交换机端口在为AP设备和IP电话提供数据传输的同时，也可以提供基于IEEE802.3af标准的电源。核心安全设备我们采用2台了集Firewall/VPN/IPS功能于一体的Juniper SSG550，双机热备，同时将内外部访问的服务器可以通过双链路至2台Catalyst 2960G-24TC-L千兆交换机并双链路接入至防火墙的DMZ安全区。ISR多业务路由器我们选择了2台Cisco 3845作为边缘路由器，双机热备，同时也作为语音系统网关并配合Cisco Call Manager (CCM)服务器群一起构成完整的IP语音系统，可支持250个语音终端用户。WAN链路上，我们可以向ISP申请2条50M专用链路与总部网络相连，通过总部网络再与各分支机构进行业务传输和资源共享；而与Internet 的连接，我们采用一条10M普通链路接入，同时也满足一部分移动性办公VPN接入。对于VOIP语音的传输，我们通过总部网络与各分支机构和办事处间的通信，另外，我