企业网核心系统建设项目方案.docx

1、企业网核心系统建设项目方案企业网核心系统建设项目方案第 1 章 概述当今时代，企业信息化与企业的生命力息息相关。企业的各种业务数据应用、每一台服务器、每一台计算机不仅创造着企业的竞争力，也记录着公司的核心价值。企业的不断成长和发展也需要企业信息建设的不断健全和完善。1.1 背景分析集团有限公司成立于1999年，总部注册在北京，信息系统分布在全球，涵盖所有分支机构。北京数据机房作为信息系统的中心，连接了企业大部分员工和大部分服务器，部署了ERP、OA、域管理、CAD制图等系统。拓扑示意图如下：1.2 现状描述集团互联网接入，通过单条电信通20M光纤线路接入到一台Cisco asa5550防火墙，

2、通过深信服上网行为管理设备优化集团内部互联网访问质量。集团数据中心现有一台核心交换机cisco4507，包括服务器在内的所有网络统一通过cisco4507完成数据转发工作。接入设备十台，其中八台H3C3600、一台cisco3560及一台cisco2960交换机，组成信息中心千兆骨干网。VPN系统：分别使用深信服和CISCOASA搭建两套SSL VPN平台，Cisco SSL VPN主要提供Cisco语音电话、PC客户端接入到总部网络，深信服SSL VPN（采购与2008年，对较高版本IE支持较差，且不能通过升级解决），负责目前所有员工在办公区外边访问信息系统；深信服IPSEC连接总部及部分分

3、支机构。无线：CISCO WLC2504 和 CISCO AIR1142 分别于接入层cisco3560连接，采用单台radius服务器验证（2012年3月完成的部署，目前radius存在不稳定情况）。目前无线AP一二楼办公区各有4个，独立办公室区、会议室等还有4个APVOIP：北京总部CISCO 7942G话机与接入层CISCO2960连接，Callmanager服务器MCS7825I5-K9-CMD3A,语音网关C2921,通过E1接口与hipath4000 PBX落地。在公司内部使用Csico硬电话需要用到cisco voice VLAN协议，需要在Cisco 交换机或路由器上连接才可以

4、使用。监控系统：简单的监控系统，包括行为管理、IPSEC线路、syslog、线路流量。1.3 项目建设目标1）本次项目形成支持未来信息化发展，设计、搭建以北京为中心的核心网络系统基础；2）结合现有情况，综合考虑，使核心网络系统具有安全性、可扩展性。3）提升核心系统性能及承载能力，满足未来三年的使用需求；4）解决网间互联问题，保障信息系统的访问速度，提高办公效率；5）配合未来信息化全球部署，设计以香港为第一个落脚点的建设方案；6）完善XX国内企业网建设，实现1个分支机构通过专线方式接入企业网；7）构建专业的IT运维平台，提升网络系统管理能力，主动发现问题的能力。1.4 项目建设原则多业务网络系统

5、方案以实现以上功能为基本要求，在设计上力求做到既要采用国际上先进的技术，又要保证系统的安全可靠性和实用性。具体来讲，其设计遵循以下原则：1.4.1 先进性系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术，符合国际标准和规范；1.4.2 标准性所采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。?全面支持IEEE工业标准：802.1d，802.1p，802.1q，802.1x，802.3，8

6、02.3u，802.3z；支持路由协议：IP 的RIP V1/2，OSPF，BGP-4；信令标准：H.323,RTP/CRTP. 支持：IPsec、L2TP、GRE、MPLS-VPN规范。?支持多址广播协议：IGMP，DVMRP，PIM-DM，PIM-SM；?网络管理协议：SNMP，RMON，RMON2； 1.4.3 兼容性跟踪世界科技发展动态，网络规划与现有光纤传输网及将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。1.4.4 可升级和可扩展性随着技术不断发展，新的标准和功能不断增加，网络设备必须可以通过网络进行升级，以提供更先进

7、、更多的功能。在网络建成后，随着应用和用户的增加，核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择，以方便未来更灵活的扩展。1.4.5 安全性网络的安全性对网络设计是非常重要的，合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问，灵活的实施网络的安全控制策略。在企业园区网络中，关键应用服务器、核心网络设备，只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限，网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在

8、大规模园区网络的设计上，划分虚拟子网，一方面可以有效的隔离子网内的大量广播，另一方面隔离网络子网间的通讯，控制了资源的访问权限，提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力，使网络可以任意连接，又可以从第二层、第三层控制网络的访问。可管理性1.4.6 可靠性本系统是7x24小时连续运行系统，从硬件和软件两方面来保证系统的高可靠性。硬件可靠性系统的主要部件采用冗余结构，如：传输方式的备份，提供备份组网结构；主要的计算机设备（如数据库服务器），采用CLUSTER技术,支持双机或多机高可用结构；配备不间断电源等。软件可靠性充分考虑异常情况的处理，具有强的容错能力、错误恢复能力、错

9、误记录及预警能力并给用户以提示；并具有进程监控管理功能，保证各进程的可靠运行数据库系统应。网络结构稳定性当增加/扩充应用子系统时，不影响网络的整体结构以及整体性能，对关键的网络连接采用主备方式，已保证数据的传输的可靠性。本系统应具有较强的容灾容错能力，具有完善的系统恢复和安全机制；1.4.7 易操作性提供中文方式的图形用户界面，简单易学，方便实用。优良的性能价格比。系统应着重考虑和满足以上的设计要求。1.4.8 可管理性络的可管理性要求：网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态，故障报警等都可以通过网管平台进行监控，通过网络管理平台简化管理工作，提高网络管理的效率。在进行

10、网络设计时，选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置，网络拓扑结构表示，网络设备的状态显示，网络设备的故障事件报警，网络流量统计分析以及计费等。网管软件的应用可以提高网络管理的效率，减轻网络管理人员的负担。网络管理的目标是实现零管理，基于策略的管理方式，网络管理是通过制定统一的策略，由管理策略服务器进行全局控制的。基于Web的网管界面，是网管软件的发展趋势，灵活的操作方式简化了管理人员的工作。在设计园区网的设备选择上，要求网络设备支持标准的网络管理协议SNMP，同时支持RMON/RMONII协议，核心设备要求支持 RAP (远程分析端口) 协议，实施充分的网络管理功

11、能。在设计园区网的原则上应该要求设备的可管理性，同时先进的网管软件可以支持网络维护、监控、配置等功能。第 2 章 工程实施阶段2.1 到货验收到货验收主要是检查设备数量是否符合招标书、合同的要求。2.1.1 到货验收说明我公司提供设备原产地出厂、离岸、入关等证明文件，必须保证是合同签订后最新出厂（含规定版本的正版操作系统）的产品。我公司在设备到货后配合项目建设单位进行开箱检查；我公司在设备到货后配合项目建设单位依合同要求对所供全部设备的型号、规格、数量、外形、包装及资料、文件（如装箱单、保修单、随箱介质等）进行到货验收；并向客户提供设备质量保证书等相关文档资料。当出现上述证明文件不完整或相关手

12、续不全、初验时出现不是最新出厂的产品或不符合合同要求的严重质量问题时，项目建设单位有索赔及退货权利；当出现设备损坏、数量不全或产品不符等问题时，由我公司负责免费解决；设备检验/检测通过后，由最终用户开具设备到货验收合格单。2.1.2 到货验收地点本次设备的到货验收地点按照客户在合同中的规定。2.1.3 到货验收程序我公司将在合同规定的交货期内提供所有产品，并在交付前提前7天通知用户；按照用户指定的安装地点进行产品交付。我公司对所交付的产品及部件按照最新的国际生产标准，提交生产厂家的检验证书；所交付的产品应包括合同中列出的全部配件、相关资料以及装箱单等。开箱检验，货物开箱后,目测产品应无损伤；核

13、对货物清单,检查交付货物的型号、数量以及相关配件；货物外观受损，货物包括附件与合同货物清单或装箱单不符视为检验不合格。加电测试，对货物进行加电测试，确认产品能正常工作。设备上架工作可根据最终用户需要由供应商完成。若通电不能正常工作，视为检验不合格。判断设备正常工作的标准为： 设备加电后，系统能够正常启动，可通过图形管理界面检查缓存数量、License等内容。特殊产品，对安装有特殊要求的产品，我公司将在产品安装前30天，以书面形式通知最终用户，向最终用户提出安装场地环境要求，并对最终用户就安装场地环境准备向最终用户提供技术咨询。2.2 现场安装调试在进行设备摆放及安装以前应首先对设备布局规划图进

14、行检查，设备的布局应满足设备安装调试和设备维护方便为前提进行合理布局，以达到设备布局完美的效果，同时设备的摆放应与前面保持一定的距离。2.2.1 设备上架安装在进行设备上架和安装调试以前，我司工程师将先对整个施工的过程进行统筹设计，以便整个施工过程可控。其中最为重要的就是设备的安装与调试的过程与步骤，我司将针对每个环节设计出相应的应急措施，以保障系统实施在设备安装与调试的过程能顺利进行。在设备的安装调试的施工过程当中，工程师将严格安装设备布局图将设备安装到相应的位置。安装过程中注意设备轻放，避免猛力撞击。设备的安装要以设备的连接有序为前提，避免由于设备的安装不当造成下一步的设备连接线缆杂乱无序

15、，对以后的维护和故障处理带来很大的麻烦。2.2.2 设备加电测试在设备安装完成并检查无误以后，对设备进行加电检测，查看设备通电以后各项指示灯是否正常工作。检查电源、风扇工作情况以及噪音情况。从而判断设备是否存在故障。2.2.3 设备连接调试设备的连接将根据系统拓扑图和物理连接图进行连接，同事在连接线缆上做好对应标签，以便以后维护和排故方便。设备的连接应参考设备的使用手册，防止连接端口错误。2.2.4 设备集中配置调试按照实施以前和用户所确认的实施方案将所有网络设备集中进行设备的配置与调试，其中包括IP地址分配、交换机VLAN的划分、路由策略的部署、访问控制策略的部署等。2.3 施工队伍2.4

16、故障处理记录第 3 章 测试及验收3.1 测试目的通过试运行和测试，可以比较确切而公正合理地评价整个网络项目。从而来检验整个项目是否符合合同和方案设计的要求。 评测整个网络和系统的连通性，稳定性，可用性，安全性等。 评测整个网络所使用设备的可靠性，稳定性，健壮性和质量性能。 评测整个网络和系统的参数设置和优化的合理性。3.2 测试内容网络连通性测试。需要测试的设备：SLL VPN，IpsecVPN，上网行为管理，核心交换机，专线路由器，负载均衡，无限网络设备，语音设备，信任区服务器，DMZ服务器，分公司边界设备。网络设备的硬件性能测试。需要测试的设备：SLL VPN，上网行为管理，核心交换机，

17、专线路由器，负载均衡，远程网络管理测试。需要测试的设备：SLL VPN，IpsecVPN，上网行为管理，核心交换机，专线路由器，负载均衡， 防火墙vpn隧道协商测试。需要测试的设备：各分公司VPN设备，防火墙核心交换机双机热备测试。需要测试的设备：两台Cisco 6905c核心交换机1.1 测试标准 本项目招投标文件、国家及省、市其它有关质量规范（标准）的要求 计算机网络检测与评估DB37/T 291-2000 采用网络工程建设中基准测试标准。 与用户协商确定测试标准。1.2 测试人员 建设方技术负责人： 承建方技术负责人：第2章 测试方法2.1 网络连通性测试方法测试对象：核心交换机，防火墙

18、，专线路由器，上网行为管理，各分支机构VPN测试目的：检查总部内部和到到分公司的连通性及网络时延与丢包率。 测试步骤：用PING命令检查与各地市交换机管理地址连通性。ping ip_address（ping网络设备，服务地址地址）2.2 硬件设备性能测试方法测试对象：各网络设备测试目的：检查网络设备的CPU、内存使用情况测试步骤：登录到地市交换机，使用如下命令查看 show menormy （查看内存）show processes cpu （查看cpu）2.3 远程网络管理测试方法测试对象：各网络设备测试目的：检查各网络设备是否能进行远程管理测试步骤：使用本地PC机telnet命令、IE浏览器

19、输入各网络设备管理地址，并输入正确用户及密码，能否登录到各网络设备。如：telnet如： 如：SSH：2.4 、VPN隧道协商状态测试方法测试对象：各VPN设备测试目的：查看各分公司vpn隧道是否协商成功，数椐是否正常加密。测试步骤：登录到各VPN设备 查看连接状态是否成功。2.5 核心交换机双机热备测试方法测试对象：本地核心交换机两台测试目的：核心双机热备功能、及网络可靠性。测试步骤1：核心交换机断电测试。1在测试用的主机长ping地市交换机管理地址，均保持ping通状态。2把主核心交换机断电，观察主机的长ping测试结果。正确结果3在主核心交换机进行断电测试后，备用交换机替代主工作，主机的

20、ping测试丢几个包后重新恢复Ping通状态测试步骤2：链路切换测试测试。1在测试用的主机长ping地市交换机管理地址，均保持ping通状态。2拔出主用交换机上联链路，观察主机的长ping测试结果。正确结果：在拔出主用交换机上联链路后，主、备交换机通过心跳线切换到备用交换机,保持数椐正常转发。主机的ping测试丢几个包后重新恢复Ping通状态第3章 测试记录表格3.1 测试记录报表1（网络连通性）报表1 序号源地址设备名称目的地址最 小 时 延 ms平 均 时 延 ms最 大 时 延 ms丢 包 率 %备注123456789101112131415161718192021测试人员签字：日期：验

21、证人员签字：日期：3.2 测试记录报表2（硬件设备性能）报表2序号设备名称CPU内存备注CPU，内存使用情况(正常应该小于70%)CPU，内存使用情况(正常应该小于70%)123456789101112131415161718192021正常 不正常正常 不正常测试人员签字：日期：验证人员签字：日期：3.3 测试记录报表3（远程网络管理）报表3序号设备名称WebSSH备注1正常 不正常正常 不正常2正常 不正常正常 不正常3正常 不正常正常 不正常4正常 不正常正常 不正常5正常 不正常正常 不正常6正常 不正常正常 不正常7正常 不正常正常 不正常8正常 不正常正常 不正常9正常 不正常正常

22、 不正常10正常 不正常正常 不正常11正常 不正常正常 不正常12正常 不正常正常 不正常13正常 不正常正常 不正常14正常 不正常正常 不正常15正常 不正常正常 不正常16正常 不正常正常 不正常17正常 不正常正常 不正常18正常 不正常正常 不正常19正常 不正常正常 不正常20正常 不正常正常 不正常21正常 不正常正常 不正常测试人员签字：日期：验证人员签字：日期：3.4 测试记录报表4（VPN状态）报表4序号分公司名称连接状态备注1正常 不正常2正常 不正常3正常 不正常4正常 不正常5正常 不正常6正常 不正常7正常 不正常8正常 不正常9正常 不正常10正常 不正常11正

23、常 不正常12正常 不正常13正常 不正常14正常 不正常15正常 不正常16正常 不正常17正常 不正常18正常 不正常19正常 不正常20正常 不正常21正常 不正常测试人员签字：日期：验证人员签字：日期：3.5 测试记录报表5（核心交换机双机热备切换）报表5序号设备名称核心交换机双机热备能否正常切换备注1正常 不正常2正常 不正常测试人员签字：日期：测试人员签字：日期：第4章 项目总体测试结论测试意见：实施单位（盖章）日期：项目负责人： 使用单位（盖章）日期：监理工程师： 实施单位（盖章）日期：项目负责人：第 4 章 项目管理项目管理可以被认为是一整套科学方法或过程。它通常被运用于项目的

24、整个生命周期，这些管理方法确保了此过程的严密性和科学性，以及确保项目的成功实施。项目管理直接关系到整个项目的成败，工程从立项到实施，到最终提交给用户及提交后系统的维护和产品维修，都必须有严格的制度和流程。这样做，不但能确保我们的工作可以按步骤有计划地进行，同时保证了产品及服务能充分满足用户的需要，并提高我们自身的服务效率和服务质量。本次项目是较为复杂、庞大的项目，科学的实施管理计划是项目得以成功的重要保障。因此，在系统建设工作开展之前，制定有效的项目实施与管理计划书是必不可少的。通过本计划对项目实施过程进行管理与控制，协调各方面的技术力量，预见可能发生的问题，并准备好相应的解决方法，从而保证系

25、统建设工作得以有效、按部就班地开展。4.1 项目管理方法为了能按时且高质量地完成工程实施任务，我公司根据以往实施大型项目的经验，将在本项目中采取“统一领导、分工协作；统一规划、阶段控制；统一流程、统一标准；充分调研、充分培训；及时沟通、及时总结、协作互助、资源共享”的方法来进行实施。详细说明如下：统一领导、分工协作项目管理由项目领导组宏观指导，采用项目经理负责制，并且根据工作职责分工，成立多个职能组。项目经理通过调度管理组对各职能组进行调度、控制，各职能组采用组长负责制，形成分级垂直性管理体系，实现统一领导、分工协作。统一规划、阶段控制：对于本项目的技术设计、进度规划、质量控制等关键内容，我公

26、司将调动公司优势资源，在项目经理的协调下，进行整体的规划，保证项目实施的成果。同时，为了进一步确保实施进度和质量，我们会对项目进行分解，采用阶段控制的方法，定义相应的阶段里程碑及其考核标准，细化控制粒度，便于提前发现问题、解决问题。统一流程、统一标准：我公司凭借多年从事系统集成工作的经验，总结实际工作的切身体会与正反两方面的经验教训，逐步形成了一套以ISO9001质量体系标准为基础的系统集成工程管理流程、标准与规范。在项目实施的全过程中，包括实施前期、中期和后期，我公司将严格按照ISO9001质量体系标准进行管理和控制，以实现各项工作都有标准可依据，有标准可考评。充分调研实施前期的调研工作要细

27、致、充分。任何细微的遗漏都有可能在实施的过程中造成严重的不良后果，甚至影响整个实施队伍的实施进程和质量。我公司的管理队伍和技术队伍不但具有仔细、严谨的态度，而且经过长期的优质的系统集成工作积攒了大量调研、实施经验，完全可以保证本项目的调研工作细致、充分。充分培训：培训工作包括我公司实施前期的内部技术培训和针对用户的理论培训，原厂培训和现场培训。培训工作充分与否直接关系到实施工作是否能按时、保质地完成。而且，用户培训也是技术移交的重要手段。它直接影响用户在实施后期对系统的维护、管理和充分发挥系统功能的能力。我公司具有多年大型工程培训计划的制定、培训组织安排和培训授课的经验，能够保证最大限度地发挥培训工作的重要作用。及时沟通、及时总结、协作互助、资源共享大型实施项目的圆满完成，绝不是单兵作战可以做到的。参与到本次项目实施工作中的单位很多，有用户、厂商、集成商、货运公司等。各单位组织相对独立，运作流程和方式自成一体。这些往往是影响协同工作的不利因素。但是，这些单位各自又拥有独特的资源和优势。如果