解决方案
产品搜索
技术解决方案
大型公司网络规划方案方案
一.前言
“功欲善其事,必先利其器”,公司业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统,已迫在眉睫,XXX公司是一个致力于企业信息化和系统集成的高科技公司。
1.1.综合信息系统建设目标
XXX公司信息系统主要建设一个企业信息系统,它以管理信息为主体,连接生产、销售、维护、运营子系统,是一个面向公司的日常业务、立足生产、面向社会,辅助领导决策的计算机信息网络系统。
本期项目的目标是建立如下系统:
1.构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网。
2.选用技术先进、具有容错能力的网络产品,在投资和条件允许的情况下也可采用结构容错的方法
3.完全符合开放性规范,将业界优秀的产品集成于该综合网络平台之中;
4.具有较好的可扩展性,为今后的网络扩容作好准备
5.采用OA办公,做到集数据、图像、声音三位一体,提高企业管理效率、降低企业信息传递成本
6.整个公司计划采用10M光纤接入到运营商提供的Internet。统一一个出口,便于控制网络安全
7.设备选型上必须在技术上具有先进性,通用性,且必须便于管理,维护。应具备未来良好的可扩展性,可升级性,保护公司的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品,同时也要有好的售后服务
1.2具体用户需求:
1.网络设备配置
配备网络交换设备,实现楼宇间的千兆光纤连接,保证未来各应用系统的实施以及满足公司各种计算机应用系统的大信息量的传输。
2.网管系统设计
提供可以对整个网络系统进行管理的中文图形界面工具,使系统维护人员可以集中控制网络的所有设备。
1.3综合信息系统建设原则
多业务网络系统方案以实现以上功能为基本要求,在设计上力求做到既要采用国际上先进的技术,又要保证系统的安全可靠性和实用性。具体来讲,其设计遵循以下原则:
1.3.1先进性
系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术,符合国际标准和规范;
1.3.2标准性
所采用技术的标准化,可以保证网络发展的一致性,增强网络的兼容性,以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接,整个网络从设计、技术和设备的选择,必须支持国际标准的网络接口和协议,以提供高度的开放性。
全面支持IEEE工业标准:802.1d,802.1p,802.1q,802.1x,802.3,802.3u,802.3z;支持路由协议:IP 的RIP V1/2,OSPF,BGP-4;信令标准:H.323,RTP/CRTP.
支持:IPsec、L2TP、GRE、MPLS-VPN规范。
支持多址广播协议:IGMP,DVMRP,PIM-DM,PIM-SM;
网络管理协议:SNMP,RMON,RMON2;
1.3.3兼容性
跟踪世界科技发展动态,网络规划与现有光纤传输网及将要改造的分配网有良好的兼容,在采用先进技术的前提下,最大可能地保护已有投资,并能在已有的网络上扩展多种业务。
1.3.4可升级和可扩展性
随着技术不断发展,新的标准和功能不断增加,网络设备必须可以通过网络进行升级,以提供更先进、更多的功能。在网络建成后,随着应用和用户的增加,核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择,以方便未来更灵活的扩展。
1.3.5安全性
网络的安全性对网络设计是非常重要的,合理的网络安全控制,可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问,灵活的实施网络的安全控制策略。在企业园区网络中,关键应用服务器、核心网络设备,只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限,网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模园区网络的设计上,划分虚拟子网,一方面可以有效的隔离子网内的大量广播,另一方面隔离网络子网间的通讯,控制了资源的访问权限,提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力,使网络可以任意连接,又可以从第二层、第三层控制网络的访问。
可管理性
1.3.6可靠性
本系统是7x24小时连续运行系统,从硬件和软件两方面来保证系统的高可靠性。
硬件可靠性
系统的主要部件采用冗余结构,如:传输方式的备份,提供备份组网结构;主要的计算机设备(如数据库服务器),采用CLUSTER技术,支持双机或多机高可用结构;配备不间断电源等。
软件可靠性
充分考虑异常情况的处理,具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示;并具有进程监控管理功能,保证各进程的可靠运行数据库系统应。
网络结构稳定性
当增加/扩充应用子系统时,不影响网络的整体结构以及整体性能,对关键的网络连接采用主备方式,已保证数据的传输的可靠性。
本系统应具有较强的容灾容错能力,具有完善的系统恢复和安全机制;
1.3.7易操作性
提供中文方式的图形用户界面,简单易学,方便实用。
优良的性能价格比。
系统应着重考虑和满足以上的设计要求。
1.3.8 可管理性
络的可管理性要求:网络中的任何设备均可以通过网络管理平台进行控制,网络的设备状态,故障报警等都可以通过网管平台进行监控,通过网络管理平台简化管理工作,提高网络管理的效率。
二.综合布线方案
2.1、需求分析
公司总部办公楼和分部及分公司等,公司总部和武汉分公司之间的距离已超过双绞线布线的技术要求,因此采用光纤进行布线。
由于涉及的建筑物较多,规模较大,应此将其定位为智能化园区综合布线系统。
2.2、综合布线系统的结构
综合布线系统部分结构如下图所示:
根据综合布线国际标准ISO 11801的定义,综合布线系统可由以下子系统组成:
² 工作区子系统(Work Area Subsystem)
工作区子系统由信息插座延伸至用户终端设备的布线组成,包括信息插座和相应的连接软线。用户能方便地把计算机、电话、传真等不同的终端设备接入大楼的通信网络系统。
² 水平布线子系统(Horizontal Subsystem)
水平布线子系统由楼层配线间延伸至信息插座的布线组成,通常可采用超五类双绞线,我们这里采用的是超五类双绞线,也可采用光缆以满足高传输带宽应用或长传输距离的要求。水平布线提供大楼网络通信系统到用户终端设备的信息传输。
² 建筑物主干子系统(Building Backbone Subsystem)
建筑物主干子系统由大楼配线间延伸至各楼层配线间的布线组成。该子系统亦包括各配线间的配线架,跳接线等。采用的线缆是超五类双绞线。大楼配线间和楼层配线间通常也用于放置网络设备和其他有源设备。建筑物主干子系统提供大楼内通信网络信息交换的主干通道。
² 建筑群布线子系统(Campus Cabling Subsystem)
建筑群布线子系统由建筑群配线间延伸至各大楼配线间的布线组成。采用的线缆为光纤,。建筑群配线间通常也用于放置电信接入设备和广域网连接设备。建筑群布线子系统提供了各建筑物间通信网络连接和信息交换的通道。
2.3系统总体设计
以上就是布线的国际标准,因此采用高速大容量光纤主干建设公司公司的园区网络主干
为了满足公司将来灵活组网的需要,在总部办公楼、分公司等建筑物内各设有配线间。整个园区设备间机房安置在总部大楼,各分公司的设备间机放安置在各分公司。
为充分满足公司内部及对外高速高容量信息通信的需要,系统采用高速高容量的多模光纤作为园区的网络主干。
建筑物内采用先进的超五类非屏蔽布线系统
根据技术规范,选用高性能UTP 非屏蔽系统,传输参数可达到200MHz,通道传输性能在200 MHz 时ACR>3dB, 250MHz 时ACR> 0 dB,通道传输性能不低于招标技术要求所附性能参数表的要求。因此,本方案建议采用超五类UTP 产品,其传输带宽可达200MHZ 以上,可靠支持新的千兆以太网、2.4Gbps ATM及高达550MHZ的宽带语音应用,为今后新的高速网络应用留有充足的性能余量。
2.4系统结构设计描述
整个结构化布线系统由工作区子系统、水平干线子系统、管理子系统、主干子系统、设备间子系统及建筑群子系统等六个子系统构成,方案设计时充分考虑了高度的可靠性、先进性、灵活性、可扩充性、易管理性及性能价格比高等优点。
布线系统结构如下:
2.5、在施工中注意事项
⑴仔细查阅其它专业的施工图纸
在施工前,必须仔细查阅其他专业的施工图纸,尤其是土建结构施工图、水、电、通风施工图。因为水平路由的长短将会对设计的等级有一定的影响,而土建结构施工图、水、电、通风施工图对水平布线子系统管线路由的走向影响最大。在审图时,建议用比例尺在图纸上认真测量,为水平布线子系统找出最合理的路由走向,这样既节省水平线缆的长度,又避免与其他专业管路发生冲突,由于电气专业管线不可避免的要与其他各专业管路交叉重叠,发生矛盾的现象,给土建专业带来地面超高等问题。综合布线一般由专业公司负责安装调试,施工方仅做管路预埋、线缆敷设,如果在施工中敷衍了事,不遵循“管线路由最短”的原则,就会增加水平布线子系统管线的长度,不利于提高综合布线系统的通信能力、不利于通信系统的稳定性、不利于通信传输速率的提高。
⑵建议在施工中应满足设计裕量。
因为在实际施工中,不可能使水平线缆一直保持直线路由,所以实际安装中,需要的线缆总会比图纸上统计的量大的多,这就需要电气工程师考虑一定的裕量。裕量的计算方法是将一张平面图纸上离配线架最远的信息点的线缆图纸长度(图纸上用比例尺量出的长度),和最近的信息点的线缆图纸长度相加,除以2,得出得数值为信息点的平均图纸长度,取平均长度的30%作为裕量。否则就会造成不必要的材料浪费或不足。
⑶采用质量可靠的管路和线缆,以避免日后的麻烦
在大多数设计中,水平布线子系统是被设计在吊顶、墙体或底板内的,所以可以认为水平子系统是不可更改、永久的系统。在安装中,应尽量使用性能优良、质量可靠的管路和线缆,保证用户日后不破坏建筑结构。
⑷严格遵守综合布线系统规范
良好的安装质量,可以使水平布线子系统在其工作周期内,始终保证良好工作状态和稳定的工作性能,尤其对于高性能的通信线缆和光纤,安装质量的好坏对系统的开通影响尤其显著,因此在安装线缆中,要严格遵守EIA/TIA569规范标准。
⑸选材标准必须一致
综合布线系统所选用的线缆、信息插座、跳线、连接线等部件,必须与选择的类型一致,如选用超5类标准,则线缆、信息插座、跳线、连接线等部件必须为超5类;如系统采用屏蔽措施,则系统选用的所有部件均为屏蔽部件,只有这样才能保证系统屏蔽效果,达到整个系统的设计性能指标。
三.网络设计方案
3.1 网络设计需求
3.2体方案设计策略
为了实现以上网络设计原则,网络具有良好的扩展性能力和灵活的便于管理,易于维护,在网络设计上采用了一下策略。
Ø 因特网接入和园区网分离。
将因特网接入部分和园区网主体部分分离,每部分完成其自身的功能,可以减少两者之间的相互影响。因特网接入的变化,只影响接入的变化,对园区网络没有影响;而园区网络的变化对因特网接入部分影响较小。.这样可以增强网络的扩展能力。保持网络层次结构清晰,便于管理和维护。
Ø 降低各个子公司之间的网络关联度。
将各个子公司之间的网络的关联度降低到最低的策略,可以最大限度的减少各个子公司网络之间的相互影响,便于分别管理,或者在不同子公司扩展网络的新应用。
Ø 统一标准,统一网络
统一的IP应用标准(IP地址,路由协议),安全标准, 接入标准和网络管理平台,才能实现真正的统一管理,便于公司的管理和网络策略的实施。
3.3公司结构示意图
3.4网络设备选型
3.4.1选型原则
我们在网络系统设计时考虑如下特点:
稳定可靠的网络 只有运行稳定的网络才是可靠的网络,而网络的可靠运行取决于诸多因素,如网络的设计,产品的可靠,而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物理层、数据链路层和网络层的备份技术。
高带宽 为了支持数据、话音、视像多媒体的传输能力,在技术上要到达当前的国际先进水平。要采用最先进的网络技术,以适应大量数据和多媒体信息的传输,既要满足目前的业务需求,又要充分考虑未来的发展。为此应选用高带宽的先进技术。
易扩展的网络 系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。易扩展不仅仅指设备端口的扩展,还指网络结构的易扩展性:即只有在网络结构设计合理的情况下,新的网络节点才能方便地加入已有网络;网络协议的易扩展:无论是选择第三层网络路由协议,还是规划第二层虚拟网的划分,都应注意其扩展能力。 QoS(英文全称为"Quality of Service",中文名为"服务质量"。)QoS是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。保证 随着网 络中多媒体的应用越来越多,这类应用对服务质量的要求较高,本网络系统应能保证QoS,以支持这类应用。
安全性 网络系统应具有良好的安全性,由于网络连接园区内部所有用户,安全管理十分重要。应支持VLAN的划分,并能在VLAN之间进行第三层交换时进行有效的安全控制,以保证系统的安全性。
容易控制管理 因为上网用户很多,如何管理好他们的通信,做到既保证一定的用户通信质量,又合理的利用网络资源,是建好一个网络所面临的首要问题。
符合IP发展趋势的网络 在当前任何一个提供服务的网络中,对IP的支持服务是最普遍的,而IP技术本身又处在发展变化中,如IpV6,IP QoS,IP Over SONET等等新兴的技术不断出现,公司园区网网络络必须跟紧IP发展的步伐,也就是必须选择处于IP发展领导地位的网络厂商。
3.4.2核心层设备
由于公司网络发展规模较大,未来需提供多媒体办公、办公自动化、图书资料检索、远程互联、视频会议等复杂的网络应用,为便于管理,我们建议选用的交换机作为网络组建交换设备。选用1台ZTE 8900交换机作为主干交换机实现1000M做主干100M到桌面的需求。
3.4.3汇聚层设备
考虑到公司要求没个子公司的网络自成体系,单个子公司的局域网广播数据流不能扩展到全网,单个子公司的网络故障不应该扩展到全网,汇聚层交换机也应该采用具有路由功能的多层交换机,以达到网络隔离和分段的目的。子公司的主交换机负责子公司内部的网络数据交换和公司园区网的其他路由。
3.4.4接入层交换机
接入层交换机放置于楼层的设备间,用于终端用户的接入。应该能够提供高密度的接入,对环境的适应能力强,运行稳定。
楼层接入设备选择中兴公司的ZTE 2850、2950智能以太网交换机。
3.5主干网络技术选型
在公司园区网网络的建设中,主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择适合公司园区网网络需求特点的主流网络技术,不但能保证网络的高性能,还能保证网络的先进性和扩展性,能够在未来向更新技术平滑过渡,保护用户的投资。
根据招用户要求,我们主干网络可选用千兆以太网技术
目前流行的局域网、城域网技术主要包括以太网、快速以太网、ATM(异步传输模式)、FDDI、CDDI、千兆以太网等。在这些技术中,千兆以太网以其在局域网领域中支持高带宽、多传输介质、多种服务、保证QoS等特点正逐渐占据主流位置。
⑴ 现有网络技术介绍
以太网(Ethernet)
以太网是应用最为广泛的网络技术,它基于CSMA/CD(冲突检测媒体访问/载波侦听)机制,采用共享介质的方式实现计算机之间的通讯,带宽为100Mbps。
CSMA/CD技术采用总线控制技术及退避算法。当一个站点要发送时,首先需监听总线以决定介质上是否存在其它站的发送信号。如果介质是空闲的,则可以发送,如果介质是繁忙的,则隔一次间隔后重发,即采用某种退避算法。
早期的以太网由于它介质共享的特性,当网络中站点增加时,网络的性能会迅速下降,另外缺乏对多种服务和QoS的支持。随着网络技术的发展,现在的以太网技术已经从共享技术发展到交换技术,交换以太网的出现使传统的共享式以太网技术得到极大改进。共享式局域网上的所有节点(如主机、工作站)共同分享同一带宽,当网上两个任意节点交换数据时,其他节点只能等待。交换以太网则利用网络交换机在不同网段之间建立多个独享连接(就像电话交换机可同时为众多的用户建立对话通道一样),采用按目的地址的定向传输,为每个单独的网段
提供专用的频带(即带宽独享),增大了网络的传输吞吐量,提高了传输速率,其主干网上无碰撞问题。虚拟网技术与交换技术相结合,有效地解决了广播问题,使网络设计更加灵活,网络的管理和维护更加方便。交换式以太网克服了共享式以太网的缺点,并借助于IP技术的新发展,如IP Multicast、IP QoS等技术的推出使得交换以太网可以支持多媒体技术等多种业务服务。
快速以太网(FastEthernet)
快速以太网技术仍然是以太网,也是总线或星型结构的网络,快速以太网仍支持共享模式,在共享模式下仍采用的是广播模式(CSMA/CD竞争方式访问,IEEE 802.3),所以在共享模式下的快速以太网继承了传统共享以太网的所有特点,但是带宽增大了10倍。
快速以太网的应用主要是基于它的交换模式。在交换模式下,快速以太网完全没有CSMA/CD这种机制的缺陷,除了上面谈到的交换以太网的优点以外,交换模式下的快速以太网可以工作在全双工的状态下,使得网络带宽可以达到200Mbps。因此快速以太网是一种在局域网技术中性能价格比非常好的网络技术,在支持多媒体技术的应用上可以提供很好的网络质量和服务。
千兆位以太网技术(Gigabit Ethernet)
千兆位以太网技术以简单的以太网技术为基础,为网络主干提供1Gbps的带宽。千兆位以太网技术以自然的方法来升级现有的以太网络、工作站、管理工具和管理人员的技能。千兆位以太网与其他速度相当的高速网络技术相比,价格低,同时比较简单,例如保留以太网的帧格式、管理工具和对网络概念上的认识。
千兆以太网是相当成功的10Mbps以太网和100Mbps快速以太网连接标准的扩展。现在千兆位以太网成熟的标准为IEEE 802.3z,IEEE 802.3z的目标是:
使用IEEE 802.3帧格式;
可以使用全双工和半双工;
共享模式下仍使用CSMA/CD;
对安装介质的向后兼容;
传输速度比快速以太网提高十倍,比以太网提高一百倍。
千兆以太网技术的优点:
技术简单,例如保留以太网的帧格式、管理工具和对网络概念上的认识.便于升级,从现有的传统以太网和快速以太网可以平滑地过渡到千兆以太网,并不需要掌握新的配置、管理与排除故障技术;网络投资可以得到保护,无需对用户进行再培训,也无需为额外的网络协议进行投资;千兆以太网有良好的互操作性,并具有向后兼容性;端口价格相对较低;可以提供10倍于快速以太网的传输速度。
网络技术选型结论
3.6路由交换部分的设计
为了使公司园区网高效、稳定的运行,便于管理与维护,对局域网交换和路由技术的相关方面进行了规范设计,包括VTP、VLAN、STP、TRUNK、ETHERCHANNEL,HSRP,VPN等。每一台都连接所有的汇聚层交换机,但相互之间并不连接(提高网络的故障收敛速度)。作为二层的核心,只保证数据的高速转发。网络的可靠性由汇聚层的路由协议提供保证。
⑴.V LAN设计规范
公司内的局域网进行VLAN划分,可以减少网络内的广播数据包,提高网络运行效率;可以区分不同的应用和用户,方便公司的管理与维护.
⑵.IP地址分配方案
IPv4的地址结构,各个位的使用规划如图:
|
0---7 |
8--10 |
11--15 |
16-18 |
19—31 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
公司标识 |
子公司标识 |
预留 |
类别标识 |
用户空间地址 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3.7网络安全设计
公司园区网有5000用户,网络规模比较大,并且和因特网存在连接。为了保障网络系统的运行安全,保护公司的信息安全,必须进行网络安全方面的规划和实施。
一个网络的安全,首先要有严格和有效执行的管理制度。建议公司制定严格的网络安全管理策略,并有效的执行。其次,必须具有一定的技术手段来保障网络的安全。技术和管理手段相结合实施,才能够产生良好的效果。
通过以下几个技术方面的实施,可以在一定程度上保障网络的安全:
Ø 提高设备的物理安全性
Ø 配置设备的口令
Ø 进行VTP域的认证
Ø 园区网用户的接入控制
Ø 应用系统的访问控制
Ø 因特网的接入安全控制
四.系统设计方案
4.1系统设计总体需求
本项目的实施目的是在公司内部建立稳定,高效的办公自动化网络,通过项目的实施,为所有员工配桌面PC,使所有员工能够通过总部网络进入internet,从而提高所有员工的工作效率和加快企业内部信息的传递。同时需要建立WEB服务器,用于在互联网上发布企业信息。在总部和子公司均设立专用发服务器,使公司内所有员工能够利用服务器方便的访问公共文件资源,并能够完成企业内部邮件的收发。系统建立完成后,要求能满足企业个方面的应用需求,包括办公自动化,邮件收发,信息共享和发布,员工帐户管理,系统安全管理等。
4.2系统设计原则
随着公司近年来的高速发展,公司的业务已经涉及到各个商业领域,公司及公司内部的组织结构也日益复杂,在本项目的设计实施过程中,要求工程实施方案在规划系统设计时充分考虑到企业管理的需求,设计合理的系统管理结构,能够很大程度的降低公司在系统管理上的成本,并能满足各种商务工作的需求,具体设计应依据以下原则:
Ø 清晰的逻辑结构:要求公司范围内的系统管理结构清晰,层次分明,能够充分的与公司的管理结构相吻合。公司总部和各个分公司应是相互独立的管理单元,各个单位在自己公司范围内实现用户账户及网络安全的管理。总部管理员有权管理各个子公司的系统
Ø 便于管理:整个系统设计要便于网络管理员的管理,在系统中提供便于管理员管理的各种有效方式。使管理员在任何一个位置均能对服务器进行维护和管理。公司总部及各分公司都有专职系统管理员,应保障管理员只对本公司具有管理权限。总部管理员对公司所有系统有管理权限。
Ø 简单的设计:在保障满足需求的前提下,设计方案应简单为佳,避免由于复杂的设计增加工程实施难度和增加公司系统管理的复杂性。
Ø 合理的用户管理:所有的用户采用统一的命名规则,每个单位对本单位员工帐户进行独立的管理,并按不同部门管理账号。
4.3系统设计方案
4.3.1 系统的构价
⑴根据公司的管理结构。本方案采用Windows系统提供的域模式来组织和管理全部系统资源,采用域的模式,不仅可以集中存储网络对象,并且管理简单,即实现了集中管理,又可以满足不同公司自身的安全需求。方案中将公司按公司单位划分不同的模块,公司总部作为域林的根,每个子公司为一个独立的域或者域树,形成一个完整的树状结构。采用这种结构,可以将网络中的全部资源,分散到每个域的域控制器中存储,减少了每台域控制器的信息存储,从而减少复制流量和网络对象的查询时间。具体的实现如下图:
在此构架设计中,公司需要自己的独立的域名,所以在设计林中树,武汉的4个子公司作为总部的子域,北京和上海分公司作为一单独的域树, 由于所有的资源都位于园区网内,具有高速的网络连接,因此所有的域均在一个站点内。即使域中的一台域控制器发生故障,仍然能保障系统的正常运行。并且提高了用户身份验证的速度。
操作主机分配:操作主机域中扮演着重要的角色,直接影响到域是否能够正常工作,在Windows2003的域中,一共有五种操作主机,分别是构架主机,域名主机,RID主机,PDC仿真器,结构主机。其中前面2种在林范围内起作用,后面3种在域范围内起作用,为了使用所有的操作主机更好的工作,保障正常的工作并且不产生大的复制流量,方案采用了Windows系统默认的设置,根域中第一台DC承担了五种操作主机的角色,每个子域中的 第一台DC承担了域范围内的三种操作主机角色。
4.3.2系统管理设计
在系统设计时包括三个部分,分别是OU,用户及组的设计,为了更好的满足公司的需要,便于系统管理员方便管理企业中的所有用户,系统管理结构与公司的管理结构相匹配,方案中采用了如下所述的设计。
Ø OU的设计
公司的OU设计目的是为了使用用户管理更有效率,结构更加清晰,并能够使系统的管理结构与公司的商业模型相匹配。在本方案中按部门划分OU的方法,将每个公司中以部门为单位创建OU,并在部门OU中保存该部门的用户帐户,计算机帐户及组采用这种设计的方法,可以在系统管理中清楚的体现公司的管理结构,一般情况下,一个部门内部中的用户常常有相似的安全需求,利用这样的设计方法,也可以方便的将安全策略应用到某个部门。
Ø 拥护管理
为了规范用户帐户的管理,系统中所有的用户采用统一的命名规范,每个用户在网络中拥有唯一的登陆名。用户帐户在所属的部门的OU中创建。
Ø 组的管理
为了满足公司用户管理的需求,更好的在网络中管理用户权限的分配,使系统的管理得到最大的简化,方案中采用AGDLP策略及AGUDLP策略。在每个域中创建全局组,用与组织本域的帐户,在没个域中创建域本地组,用于完成权限的指派。在本域内的权限的分配,可以使用AGDLP策略,在域间的权限分配,使得AGDLP策略,依次将用户加入全局组,将全局组加入通用组,在将通用组加入域本地组,最后可以根据需要将权限授予指定的域本地组,采用这样的方式,不仅可以使用户的组织和权限分配简单,也可以减少域间的复制流量,从而提高系统的性能。如图所示:
4.3.3系统的安全设计
在设计方案中,安全的设计主要分2个部分,首先是ISA Server的应用,通过ISA Server的配置,建立软件防火墙,保护公司内部网络不受外部用户的攻击,同时利用ISA Server提供的网站过滤功能和服务器发布功能,对企业内部用户的上网行为进行规范,并能保障服务器的安全使用。其次,在方案设计中,充分应用Window系统提供的组策略功能,利用组策略,可以在每个公司的域中设计安全策略。防止用户进行非授权的访问,保护用户在工作环境不受破坏。具体的设计方案如下:
Ø ISA Server:ISA Server是微软公司出品的软件防火墙代理服务器产品,它不仅可以起到代理服务器的缓存作用,也能实现防火墙的功能,通过软件防火墙上设置过滤规则,可以控制内部用户对网站的访问,同时利用其提供的服务器发布功能,也可以将企业内部的服务器发布到Internet上,提供互联网的访问,在本方案的设计中,主要利用了网站过滤和服务器发布的功能,在公司中心即房安装和配置ISA服务器,继承防火墙功能和代理服务器的功能,将公司总部及子公司的WEB服务器及MAIL服务器发布到互联网上。公司中所有的客户端做为ISA的客户端,所有的互联网的访问均通过ISA服务器转发,这样,就可以在ISA服务器上对所有网络流量进行监控并对实现网络访问的过滤。具体部署如图:
Ø 防火墙功能:ISA服务器位于企业网络和外网之间,采用三网卡分别连接内网和外网和DZM区,充分利用防火墙的角色,并利用网站和内容规则来限制用户能够访问的网站
Ø 服务器发布:利用ISA服务器将企业中的邮件和WEB服务器发布到互联网上,保证外部用户可以访问公司的WEB服务器,并将公司用户可以与外部客户利用邮件交换信息。
Ø 客户端:在所有用户计算机上安装ISA客户端软件,并配置浏览器使用ISA Server作为代理服务器上网。
Ø 安全策略:在Windows系统中的域模式下,安全策略是保护系统及用户在工作环境不被破坏的重要工具,在本方案中采用了组策略这个工具对全部系统提供安全保护,由于公司各个子公司采用独立的管理模式,所以在每个域中单独设置组策略,并使组策略应用到每个域中的用户和计算机。各个子公司的系统管理员可以独立的管理子公司的域,并可以在以后修改和编辑组策略,以适应公司未来的需求。在本方案中,根据公司的目前的需求,建立了基本的组策略
⑴ 密码长度最小值为7
⑵ 密码最长存留期为30天
⑶ 密码过期期限为50天
⑷ 帐户锁定阀值为5次无效登陆
⑸ 启动密码必须符合复杂性需求策略
五.工程实施与项目测试
验收计划
双方签定合同后,签定一项验收计划,作为验收执行的规范,合同双方共同遵循,验收计划包括以下必备内容:
² 验收人员组成
² 验收场所和验收时间
² 验收内容组成
² 各项内容的验收标准
² 验收方式
下面分别就验收计划中的要点进行说明。
验收人员
由业主方指定人员,工程实施方参加项目所有人员配合验收。
验收人员要求:熟悉整个项目的物理设备组成、技术组成和验收标准,具有验收完成之后的签字权。
验收场所和验收时间
设备到现场后3天之内进行相应的设备验收,系统逻辑实现之后在公司提交工程测试资料并提出验收要求后3天之内由业主方组织验收,否则视为验收通过。
具体的时间和验收场所由双方共同确认的验收计划中指定。
验收组成
⑴设备验收
对整个项目涉及的设备进行物理验收,包括设备型号、设备数量、包装要求等。
⑵系统验收
对项目实施的目标进行相应的逻辑验收,包括功能、性能、文档等。
基本验收标准
² 物理验收的标准以最终合同指定的设备厂家品牌、型号、数量为标准,设备的物理构成及包装以设备厂家提供的标准为验收标准;
² 逻辑验收按照最终合同要求进行的各项功能、性能设计相应的可实施的测试方法进行设计验收、测试验收和文档验收。
验收方式
² 签定合同的同时双方共同确认并签定验收计划;
² 按照验收计划,以计划规定的验收时间内,由指定的双方收验人员按照验收标准进行验收,并填写验收报告;
² 在所有验收计划中指定的验收完成后,整个项目的验收结束。
六.技术支持服务
售后服务内容
售后服务包括技术培训、技术咨询、维修服务和用户跟踪等服务项目。
质量保证期为12个月,自双方代表在验收单上签字之日起计算
我们承诺为系统集成项目提供的免费售后服务内容为:
保修:质量保证期内设备正常使用下发生的损坏,免费维修;非正常使用的损坏,只收取成本费。 在质量保证期内,争取在72小时内完成业主所提出的维修要求,其中超过24小时不能完成维修,提供一台相同功能的设备应急。
技术支持:提供系统功能扩充的技术咨询服务。 现场技术支持和维护:试运行期及其后1年内,系统运行问题中,对于不能电话(邮件或传真)解决的复杂问题,到现场进行技术支持服务。
现场操作支持:1年内,系统使用过程中,对于不能电话(邮件或传真)解决的复杂问题,到现场进行系统操作方面的技术支持服务。
维护期以优惠的价格提供零配件