内部通启
至:总裁室
由:xxx新办公大楼筹备工作小组
时间:2011年8月18日
事宜:关于xxx新办公大楼“网络、通讯、门禁系统实施方案”的请示
根据[“关于上报《xxx新办公大楼合署办公综合工作实施方案》的请示”文件批复精神,财富港新办公大楼筹备工作小组按计划组织开展了各项筹备工作。
根据上述文件批复精神,新办公大楼的网络、通讯等业务主要由恒丰海悦电脑部及恒丰地产各派1名网络管理员负责。经沟通商洽,该项工作主要由xxx负责统筹。
前期,上述责任人已经制定了《网络及电话业务方案》初稿,并筹备工作小组专题会议讨论。因初稿中缺少对各公司业务需求分析,各公司也未对网络及电话的数量进行统计,因此,方案的内容存在较大的不确定性。为使方案切实可行,经筹备工作小组研究决定,在各公司提供准确的网络及电话端口数量基础上,由责任人对各公司的业务功能等进行分析,从专业角度提出意见建议,并对方案内容作进一步补充完善。
为便于后续工作的开展,现将xxx办公大楼《网络、通讯、门禁系统实施方案》(见附件)予以上报,筹备工作小组将根据公司批示
意见组织开展相关工作。
附件
xxx新办公大楼网络、通讯、门禁系统实施方案
第一部分网络系统解决方案
一、现状:
xxx公司为百兆网络,均采用电信ADSL线路上网,网络带宽各为12M,集团公司电脑数量38台,无核心业务。xxx公司含工地项目部共64台电脑,核心业务有售楼系统、档案管理系统等,售楼系统目前给恒丰海悦托管。电脑数量30台,核心业务有信贷系统,后期考虑增加财务系统。
二、需求:
建立快速、高效、稳定、安全、可视化、便于管理、高扩展性强的办公网络,整个网络采用千兆核心千兆桌面。
三、系统方案
1、无线网络
采用无缝覆盖方式,无缝覆盖能够增大员工接入网络的范围,提供更大的接入便利性,无线局域网接入点采用瘦AP(Access Point)工作模式。
瘦AP由无线控制器统一集中配置管理,其优点减少了无线客户端和AP的关联时间,可以实现如手持终端,笔记本电脑等无线适配器在无线网络里面进行快速的切换,进而实现快速漫游的功能,而无需安装客户端软件。工作示意图。
2、有线网络
xxx公司按照最大96个有线网络节点,实际接入点74个,独立机房规划。xxx与xxx按照144个网络节点进行规划,集团实际接入61个网络端口,地产实际接入71个网络端口。
网络接入方式选用电信ADSL,小额公司与集团地产各12M,后期根据公司业务情况考虑采用光纤接入。小额与集团上网线路互为备份。保证网络出现故障有冗余线路。
光纤接入特点是传输容量大,质量好,损耗小,上行与下行均享有同等的带宽。ADSL是一种非对称数字线路,上行和下行带宽不对称,光纤比ADSL传输速度快、带宽高,可达到用户任意带宽,比如10M甚至2G,价格高于ADSL价格的10倍以上。ADSL最大带宽理论上为12M,上行最大为512K,上述该数据咨询过中国电信工程人员。
四、规划方案
网络方案按照目前行业使用最广的网络拓扑进行规划,见下图。将核心层与汇聚合二为一,规划设计布局合理,网络通讯性能稳定、安全、可靠,网络规划性价比高。
在整个网络运行时,如Cisco catalyst 3560G出现故障,将导致整个网络瘫痪,故在网络核心增加一台相同的设备做冗余,即可解
决该问题,还可以起到负载均衡的作用,见下图。
方案考虑到网络安全存在的问题,在网络出入口部署防火墙,防火墙对流经它的网络通信进行扫描,能够过滤掉一些攻击,防火墙还可以关闭不使用的端口,具有很好的保护内网作用,入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。另外在该网络方案中还部署了一台上网行为管理系统,该系统可防止带宽资源滥用,管控外发信息,降低泄密风险,提升上网速度和网络办公应用的使用效率。
网络规划应考虑后期业务扩展,网络系统的维护等。整个网络规划依托Cisco产品为核心的网络架构,其中涉及网络拓扑各接点所需要使用的产品型号,IP地址规划、各公司部门规划、无线接入、远程接入等。将Juniper SRX 240防火墙对内网进行安全域的划分,在不同的区域加载防护功能,最大程度保证网络安全。网络由Cisco catalyst 3560G三层以太交换为核心来处理数据流量,根据楼层和功能配置VLAN,增强网络安全性、抑制广播风暴。
当广播数据充斥网络无法处理,并占用大量网络带宽,导致正常业务不能运行,甚至彻底瘫痪。广播风暴一旦产生,网络将无法访问,严重时甚至会冲坏网络设备,如交换机等。广播风暴的产生有多种原因,如蠕虫病毒、交换机端口故障、网卡故障、链路冗余没有启用生成树协议、网线线序错误或受到干扰等。从目前来看,蠕虫病毒和ARP攻击是造成网络广播风暴最主要的原因。
防止网络被滥用,部署一套上网行为管理设备,对办公用户日常上网的行为加一控制和审计,以便日后有关机构或上级领导有据可查。
五、方案实施描述
将Juniper SRX 240防火墙配置成路由/NAT模式。重新对内网进行安全域的划分,分为非信任、信任、DMZ等区域,然后在不同的区域加载防护功能,最大程度保证安全。
中心使用两台Cisco catalyst 3560G三层以太网交换机做双机,根据楼层和功能配置四个vlan,将公司内网划分四个网段,分别是172.16.100.0/24、172.16.110.0/24、172.16.130.0/24、172.16.140.0/24,各个网段之间的访问通过3560G三层交换机之间进行交换;(根据内网安全技术要求,公司的内部应该合理的划分多个VLAN,每个vlan能容纳的PC数量建议在25-50之间,划分的各个vlan,分别下连Cisco catalyst 2960G-48端口二层接入交换机,用以下接桌面用户电脑。
Cisco catalyst 2960G POE交换机,将公司内部服务器另接起来,挂在出口Juniper 防火墙的DMZ区域。WEB、FTP等服务可以通过防火墙的端口映射功能发布。
网康NI3410上网行为管理设备,对办公用户日常上网的行为加一控制和审计,以便日后有关机构或上级领导有据可查。
各个楼层部署优科公司的Zone Flex 2942无线接入点。通过优科公司的智能Wi-Fi天线阵列专利技术可以轻易的部署一个比普通AP覆盖面积大2-4倍的智能WLAN。
第二部分语音通讯系统解决方案
一、现状:
xxx使用以33818888号码为主的联通集线通业务,xxx与xxx公司使用电信汇线通业务,每台电话均有直线和分机。
二、需求:
合署办公室合计166门电话,地产49门电话、小额63门电话,保持电信通讯业务不变,集团54门电话,使用的是联通业务,两个业务之间不能携号转网。建议集团统一使用电信通讯业务,有利于通讯系统统一管理与维护的便利。
三、系统方案:
使用电信E1数字中继业务,并采用AVAYA IPO 平台(其它平台也可),构成合署办公通讯系统专用网。
数字中继是利用数字信道传输数据信号的数据传输网。既可用于计算机之间的通信,也可用于传送数字化传真,数字话音,数字图像信号或其它数字化信号。假如一个号码30路通道的一种电信通讯业务,当30个客户在同一时刻打这个号码时,能同时接通,不会占线。
AVAYA IPO 500单机最大可支持384门分机、144模拟中继、8数字中继,如需增加用户,只需增加话机终端和用户许可即可使用。可以支持IP电话方案或者传统电话与IP电话的混合方案。
IP电话方案,优点是无需单独电话布线,避免了电话系统维护上的烦琐跳线。扩容上获得更大的机动性,允许用户将电话接入办公室。的任何地方,将其接入到就近的网络端口,并且还能保持现有的电话号码,只要有网络就可以实现通话。
四、部分功能介绍:
1、电话会议功能:AVAYA IPO自带2x64方会议资源,可提供3方通话,如购买首选版语音信箱则可提供拨入式会议功能。
2、企业通讯录:存储在服务器,通过IP话机应用的方式,实时查询、搜索存储于服务器的企业通讯录。企业通讯录支持按需分组,如人事部、市场部、办公室等等,按需分组,无数量等级限制。支持拼音模糊搜素。
3、个人通讯录:个人通讯录本次方案采用本地存储,服务器自动备份的方式,还支持通过电话USB接口和外置存储进行数据交换。无论你从任何话机登陆后话机会自动下载你的通讯录。且退出话机登录后,下次其他人员用此话机登陆会下载并显示其他人员自己的通讯录而不会泄漏你的通讯,保证了私密性。可以实现话机本地存储、或U盘存储导入的方式,提供灵活的通讯录浏览功能,可以选择只浏览话机或只浏览U盘,或浏览话机+U盘等多种方式。
4、老板秘书功能:通过老板秘书电话的联合设置,可以根据来电代接电话。
5、分机登陆:支持不同用户通过在分机上的操作,修改分机属性。
6、其他系统功能:自动呼叫分配,呼叫显示,呼叫屏蔽,来电显示,紧急拨号,外部控制端口,通话保持音乐,热线坐席等。
7、其他分机功能:呼叫前转,呼叫保持,呼叫代答,呼叫接管,呼叫转移,呼叫等待,免打扰,回呼等。
五、IP电话与传统电话区别
传统电话价格相对便宜,功能较少,电话号码变更需进行相应的跳线。
IP电话具有丰富多样的话务功能,使用灵活扩展性强,电话号码是随着IP电话移动的,不需要跳线。缺点是价格高昂,预计合署办公室IP电话总体成本为40万左右,另IP电话机不同品牌之间不能通用。
IP电话作为下一代通讯主流平台,有良好的业务拓展性,建议合署办公室采用IP电话通讯方式。
六、系统及IP电话示意图
第三部分门禁系统解决方案
一、需求
门禁系统要求统一管理,权限设置灵活,能有选择地对任一公司进行门禁授权。门禁系统要具有可靠的安全性、稳定性和便捷性。
二、系统方案
门禁系统是一种以IC/ID卡、指纹、数字密码等作为信息载体,集信息管理、计算机控制和智能卡技术于一体的高科技产品。
门禁,又称出入管理控制系统,对进出人员进行适当级别的权限鉴别,并进行相应控制的数字化管理系统。
合署办公门禁系统解决方案,是基于非接触式感应IC卡识别技术,由管理系统、控制器、感应式读卡器、电子锁等组成的一个功能强大的智能门禁系统,办公人员手持一强合法的感应式IC卡或者密码、指纹,即可通过识别设备自动控制授权允许开启的电子锁。系统对人员进出加以控制,有选择的对要通过门的人员予以放行或者禁止。它具有授权、记录、查询、统计、防盗、报警等多种功能,具备极高的安防能力。系统能真实地记录进出人员进出时间、地点等情况,可随时查询控制区域的人员情况。
门禁管理系统主要分为管理端和门禁终端。管理端主要有电脑、通讯卡、发卡器等,负责整个门禁的系统资料、访问权限、卡片发行、门禁终端的管理等。门禁终端主要有门禁控制器、门锁等,负责对门的控制。
三、门禁系统种类
1、不联网门禁,就是一个机子管理一个门,不能用电脑软件进行控制,也不能看到记录,直接通过控制器进行控制。特点是价格便宜,安装维护简单,不能查看记录,不适合人数量多于50或者人员经常流动(指经常有人入职和离职)的地方,也不适合门数多于5的工程。
2、485联网门禁,就是可以和电脑进行通讯的门禁类型,直接使用软件进行管理,包括卡和事件控制。所以有管理方便、控制集中、可以查看记录、对记录进行分析处理以用于其它目的。特点是价格比较高、安装维护难度加大,但培训简单,可以进行考勤等增值服务。适合人多、流动性大、门多的工程。
3、TCP/IP门禁,也叫以太网联网门禁,也是可以联网的门禁系统,但是通过网络线把电脑和控制器进行联网。除具有485门禁联网的全部优点以外,还具有速度更快,安装更简单,联网数量更大,可以跨地域或者跨城联网。但存在设备价格高,需要有电脑网络知识。适合安装在大项目、人数量多、对速度有要求、跨地域的工程中。
建议采用TCP/IP门禁,直接使用联网软件进行管理,以便于集中控制、门禁进出记录的处理以及考勤的联网实施。