到通過(guò)信息化手段可以更好地支撐公司業(yè)務(wù)運(yùn)營(yíng)、提高企業(yè)生產(chǎn)和管理效率。同時(shí)隨著新建辦公大樓、研發(fā)大樓和廠房的落成，IT部門也需要對(duì)整個(gè)集團(tuán)的信息化和企業(yè)IT根底架構(gòu)進(jìn)展規(guī)劃和建立。目前主要分為以下兩局部：樓宇智能化規(guī)劃和建立案：主要包括視頻監(jiān)控、門禁系統(tǒng)、語(yǔ)音和數(shù)據(jù)節(jié)點(diǎn)規(guī)劃和布線、CATV、大屏幕電子顯示屏、機(jī)房建立等。企業(yè)IT根底架構(gòu)規(guī)劃和解決案：主要包括企業(yè)局域網(wǎng)根底網(wǎng)絡(luò)拓?fù)湟?guī)劃和網(wǎng)絡(luò)設(shè)備選型、互聯(lián)網(wǎng)接入和VPN接入、IT硬件部署和選型、企業(yè)IT信息化根底軟件系統(tǒng)本案主要是針對(duì)某集團(tuán)企業(yè)IT根底架構(gòu)進(jìn)展規(guī)劃，并提出解決案和進(jìn)展投資預(yù)算。而關(guān)于樓宇智能化規(guī)劃和建立的案參見(jiàn)其它相關(guān)案。一般企業(yè)的IT架構(gòu)情況，本案主要針對(duì)IT根底架構(gòu)局部進(jìn)展規(guī)劃，并提供選型和部署參考，關(guān)于企業(yè)IT業(yè)務(wù)應(yīng)用系統(tǒng)局部的規(guī)劃和建立請(qǐng)參考其它案。當(dāng)前，企業(yè)一般能給信息化面投入有限。除了人力有限，還缺少專業(yè)人才，應(yīng)用能力、維護(hù)能力、開(kāi)發(fā)能力、實(shí)施能力等都普遍較弱，這就要求網(wǎng)絡(luò)架構(gòu)成熟、穩(wěn)定平安、高可靠、高可用，盡可能少投入人力和金進(jìn)展維護(hù)。其次，由于企業(yè)首要解決的是生存問(wèn)題，根本沒(méi)方法做到“先信息化，再做業(yè)務(wù)〞，因此網(wǎng)絡(luò)建立實(shí)施要企業(yè)的組網(wǎng)案主要要素包括：局域網(wǎng)、廣域網(wǎng)連接、網(wǎng)絡(luò)管理和平安性。具體來(lái)說(shuō)?建立平安的網(wǎng)絡(luò)架構(gòu)，總部與分支機(jī)構(gòu)的網(wǎng)絡(luò)連接；?提供智能管理特性，支持瀏覽器圖形管理；企業(yè)一般的組網(wǎng)構(gòu)造如下列圖，大企業(yè)網(wǎng)絡(luò)核心層一般采用冗余節(jié)點(diǎn)和冗余線路的拓?fù)錁?gòu)造，小企業(yè)那么單線路的連接式。通過(guò)對(duì)一般企業(yè)的信息化情況和網(wǎng)絡(luò)規(guī)劃要素進(jìn)展分析，從總體上看，規(guī)劃案必須?網(wǎng)絡(luò)管理簡(jiǎn)單，采用基于易用的瀏覽器式，以直觀的圖形化界面管理網(wǎng)絡(luò)。?用戶可以采用多種的廣域網(wǎng)連接式，從而降低廣域網(wǎng)鏈路費(fèi)用。?無(wú)線接入點(diǎn)覆蓋圍廣、配置靈活，便移動(dòng)辦公。?便捷、簡(jiǎn)單的統(tǒng)一通信系統(tǒng)，輕松實(shí)現(xiàn)交互式工作環(huán)境。?隨著公司業(yè)務(wù)的開(kāi)展，所有網(wǎng)絡(luò)設(shè)備均可在升級(jí)原有網(wǎng)絡(luò)后繼續(xù)使用，有效實(shí)現(xiàn)?系統(tǒng)平安，XX性高，應(yīng)用了適合企業(yè)的低本錢網(wǎng)絡(luò)平安解決案。平安根底網(wǎng)絡(luò)規(guī)劃案根據(jù)對(duì)某集團(tuán)的實(shí)際調(diào)研，獲取了企業(yè)的網(wǎng)絡(luò)需求，以此來(lái)制定企業(yè)根底網(wǎng)絡(luò)建立規(guī)劃案和網(wǎng)絡(luò)設(shè)備選型參考；以下提供根底版和企業(yè)版兩種規(guī)劃案企業(yè)規(guī)劃的網(wǎng)絡(luò)節(jié)點(diǎn)為500個(gè)，主要的網(wǎng)絡(luò)需求首先是資源共享，網(wǎng)絡(luò)的各個(gè)桌面用戶可共享文件效勞器/數(shù)據(jù)庫(kù)、共享打印機(jī)，實(shí)現(xiàn)辦公自動(dòng)化系統(tǒng)中的各項(xiàng)功能；其次是通信效勞，最終用戶通過(guò)廣域網(wǎng)連接可以收發(fā)電子、實(shí)現(xiàn)Web應(yīng)用、接入互聯(lián)網(wǎng)、進(jìn)展平安的廣域網(wǎng)訪問(wèn)；還有就是公司門戶和網(wǎng)絡(luò)通信系統(tǒng)〔企業(yè)、企業(yè)即時(shí)通信和企業(yè)短信平臺(tái)等〕的建立。安網(wǎng)關(guān)和移動(dòng)用戶的VPN接入網(wǎng)關(guān)。網(wǎng)絡(luò)拓?fù)鋱D如下：或H3C心1H3C26TP：15臺(tái)或H3C52TP：8臺(tái)H3CMSR20-1x路256M存，支持GE/FE交換模塊，同異步串口模塊，1~2房F1000-C或H3C1入?高性價(jià)比：能夠讓中小企業(yè)低投資擁有高性能、經(jīng)濟(jì)的網(wǎng)絡(luò)；?簡(jiǎn)易性：構(gòu)造簡(jiǎn)單、安裝快速、簡(jiǎn)單，維護(hù)無(wú)需配置專職人員；?高性能：最低投資做到千兆骨干、百兆接?可擴(kuò)展性：靈活的網(wǎng)絡(luò)架構(gòu)，能根據(jù)用戶需要隨時(shí)擴(kuò)展，并保護(hù)已有投資。全千兆交換機(jī)，千兆到桌面。網(wǎng)絡(luò)拓?fù)鋱D如下：列13H3C或H3CH3CMSR50-06路由器H3C新一代平安1~2房11VPN支持DVPN?完善的網(wǎng)絡(luò)平安策略，實(shí)現(xiàn)深度平安檢測(cè)，抵御未知風(fēng)險(xiǎn)。無(wú)線網(wǎng)絡(luò)的部署，能夠增大員工接入網(wǎng)絡(luò)的圍，提供更大的上網(wǎng)便利性--無(wú)論是在辦公室、會(huì)議室還是在空間復(fù)雜的車間，員工都能與網(wǎng)絡(luò)保持連接，隨時(shí)隨地訪問(wèn)企業(yè)資源，而且可以簡(jiǎn)化場(chǎng)所的網(wǎng)絡(luò)布線。平安無(wú)線網(wǎng)絡(luò)解決案不但能提高員工的生產(chǎn)效率和協(xié)作能力，也能為合作伙伴/客戶提供便的上網(wǎng)效勞。根據(jù)企業(yè)情況，能夠獲得較高的用戶接入速率，構(gòu)建便利的移動(dòng)辦公環(huán)境，實(shí)現(xiàn)企業(yè)的移動(dòng)網(wǎng)絡(luò)辦公，本錢投入不高，適合簡(jiǎn)單、小規(guī)模的無(wú)線部署。塊81房1房?負(fù)載均衡：支持基于用戶數(shù)的負(fù)載均衡、基于流量的負(fù)載均衡；?針對(duì)各類室外、特殊室應(yīng)用如倉(cāng)庫(kù)等復(fù)雜環(huán)境，可以提供專門的型號(hào)。廣域網(wǎng)互聯(lián)VPN規(guī)劃案伴隨企業(yè)和公司的不斷擴(kuò)，公司分支機(jī)構(gòu)及客戶群分布日益分散，合作伙伴日益增效勞、培訓(xùn)、合作及其它咨詢活動(dòng)，這為VPN的應(yīng)用奠定了廣闊市場(chǎng)。在VPN式技術(shù)防止數(shù)據(jù)在傳輸過(guò)程中受到偵聽(tīng)和篡改，從而保證數(shù)據(jù)的完整性、XX性和合絡(luò)資源的訪問(wèn)，不但節(jié)省了大量的資金，而且具有很高的平安性。另外，隨著企業(yè)規(guī)模的擴(kuò)大，分散辦公也越來(lái)越普遍，如實(shí)現(xiàn)小型分支、出差員工、合作伙伴的遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)也被越來(lái)越多的企業(yè)關(guān)注。從本錢、易用性、易管理等多面綜合考慮，SSLVPN無(wú)疑是一種最適宜的案：只需要在總部部署一臺(tái)設(shè)備，本錢更低，管理維護(hù)也很容易；無(wú)需安裝客戶端、無(wú)需配置，登陸網(wǎng)頁(yè)就能使用。用于總部和型分支互連，SSLVPN用于為小型分支、合作伙伴、出差人員提供遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)。但傳統(tǒng)法下，企業(yè)總部需要采購(gòu)兩臺(tái)設(shè)備來(lái)支持兩種VPN，不僅本錢更高，而且可能存在VPN策略沖突，導(dǎo)致性能下降、管理困難。2)規(guī)劃案融合VPN針對(duì)企業(yè)的實(shí)際需要，一臺(tái)設(shè)備融合IPSec/SSL兩種VPN，只需部署在總部，既可以用于為合作伙伴、出差人員提供遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)，也可以和分支機(jī)構(gòu)進(jìn)展IPSecVPN互連，幫助企業(yè)降低采購(gòu)、部署、維護(hù)三面本錢。VPN網(wǎng)關(guān)選擇面，H3C的防火墻、路由器都能夠?qū)崿F(xiàn)融合VPN，提供給企業(yè)更加靈活的選擇。例如，如果企業(yè)非常強(qiáng)調(diào)網(wǎng)絡(luò)平安、VPN性能，就選擇防火墻；如果企業(yè)更注重多業(yè)務(wù)處理能力，如IP語(yǔ)音通信、3G上網(wǎng)、無(wú)線接入等，推薦選擇路在分支機(jī)構(gòu)Internet邊界防火墻后面配置一臺(tái)VPN網(wǎng)關(guān)，由此兩端的VPN網(wǎng)關(guān)建立IPSecVPN隧道，進(jìn)展數(shù)據(jù)封裝、加密和傳輸；另外，通過(guò)總部的VPN網(wǎng)關(guān)提供SSLVPN接入業(yè)務(wù)；在總部局域網(wǎng)數(shù)據(jù)中心部署H3CVPNManager組件，實(shí)現(xiàn)對(duì)實(shí)現(xiàn)對(duì)分支機(jī)構(gòu)VPN網(wǎng)關(guān)設(shè)備的自動(dòng)配置和策略部署。如下列圖：VPN網(wǎng)關(guān)H3CSecPathF1000VPN網(wǎng)關(guān)房.VPN網(wǎng)關(guān)或H3CMSR50路由器H3CMSR20-1X路H3CVPNH3CBIMS理VPN網(wǎng)絡(luò)房如果省分支機(jī)構(gòu)較多、較分散，但對(duì)速率要求不高的連鎖型單位，也可以選用電信或ISP商的VPDN效勞；如果多個(gè)分支機(jī)構(gòu)間有多點(diǎn)對(duì)多點(diǎn)通信需求的企業(yè)、商業(yè)機(jī)構(gòu)，也可以直接選用電信或ISP商的MPLSVPN效勞。網(wǎng)絡(luò)平安是整個(gè)系統(tǒng)平安運(yùn)行的根底，是保證系統(tǒng)平安運(yùn)行的關(guān)鍵。網(wǎng)絡(luò)系統(tǒng)的平?入侵監(jiān)測(cè)與實(shí)時(shí)監(jiān)控需求?平安事件的響應(yīng)和處理需求分析這些需求在各個(gè)應(yīng)用系統(tǒng)上的不同組合就要求把網(wǎng)絡(luò)分成不同的平安層次。我們針對(duì)企業(yè)網(wǎng)絡(luò)層的平安策略采用硬件保護(hù)與軟件保護(hù)，靜態(tài)防護(hù)與動(dòng)態(tài)防護(hù)相結(jié)合，由外向多級(jí)防護(hù)的總體策略。?平安層：應(yīng)用信息系統(tǒng)中間件效勞器等信息系統(tǒng)各平安域中的平安需求和平安級(jí)別不同，網(wǎng)絡(luò)層的平安主要是在各平安區(qū)域間建立有效的平安控制措施，使網(wǎng)間的訪問(wèn)具有可控性。具體的平安策略如下：核心數(shù)據(jù)庫(kù)采用物理隔離策略應(yīng)用系統(tǒng)采用分層架構(gòu)式，客戶端只需要訪問(wèn)中間件效勞器即從物理上不能直接訪問(wèn)數(shù)據(jù)庫(kù)效勞器，保障了核心層數(shù)據(jù)的高度平安。應(yīng)用系統(tǒng)中間件的平安隱患主要來(lái)自局域網(wǎng)部，為了保障應(yīng)用系統(tǒng)中間件效勞的平提供子網(wǎng)間的訪問(wèn)控制能力。同時(shí)，中間件效勞器本身可以通過(guò)配置相應(yīng)的平安策公司本部及營(yíng)業(yè)部部局域網(wǎng)處于根本平安層的網(wǎng)絡(luò)，主要是對(duì)于平安防護(hù)能力較弱的終端用戶在使用，因此考慮的重點(diǎn)在于兩個(gè)面，一個(gè)是客戶端的病毒防護(hù)，另一個(gè)是防止部敏感信息的對(duì)外泄露。因此，通過(guò)選用網(wǎng)絡(luò)殺毒軟件到達(dá)部局域網(wǎng)的病毒防護(hù)，同時(shí)，使用專用網(wǎng)絡(luò)平安設(shè)備〔如硬件防火墻〕建立起有效的平安防護(hù)，通過(guò)訪問(wèn)控制ACL等平安策略的配置，有效地控制部終端用戶和外部網(wǎng)絡(luò)的信息交換，實(shí)現(xiàn)部局域網(wǎng)的信息平安。處于可信任層的網(wǎng)絡(luò)，其平安主要考慮各下屬單位上傳的業(yè)務(wù)數(shù)據(jù)的XX平安，因此，可采用數(shù)據(jù)層加密式，通過(guò)硬件防火墻提供的VPN隧道進(jìn)展加密，實(shí)現(xiàn)關(guān)鍵敏感性信息在廣域網(wǎng)通信信道上的平安傳輸。重點(diǎn)是要防止涉密信息在該層次中的流動(dòng)。通過(guò)硬件防火墻提供專業(yè)的網(wǎng)絡(luò)防護(hù)能力，并對(duì)所有訪問(wèn)請(qǐng)求進(jìn)展格控制，對(duì)所有的數(shù)據(jù)通訊進(jìn)展加密后傳輸。同時(shí)，建議設(shè)置格的機(jī)房管理制度，禁非授權(quán)的人員進(jìn)入機(jī)房，也能夠進(jìn)一步提升企業(yè)廣域網(wǎng)平安，主要是通過(guò)防火墻和VPN等設(shè)備或技術(shù)來(lái)保障。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)展掃描，能夠過(guò)濾掉一些攻擊，防火墻還可以關(guān)閉不使用的端口，防火墻具有很好的保護(hù)作用，入侵者才能接觸目標(biāo)計(jì)算機(jī)，所以出于平安考慮，企業(yè)必須購(gòu)置防火墻以保證其效勞器平安，將應(yīng)用系統(tǒng)效勞器放置在防火墻部專門區(qū)域。一般硬件防火墻比軟件防火墻的性能