TCL空调器（武汉）有限公司办公网络改造方案建议湖北时代卓然科技有限公司二〇一五年十月二十六日目录一．公司简介 (3)二．网络状态分析 (4)三．网络建设目标 (7)四．网络改造总体设计 (8)五．设备选用介绍 (11)六．售后服务 (24)一．公司介绍湖北时代卓然科技发展有限公司是由IT技术、营销策划、企业管理等领域的精英组建的一家信息化科技公司，旨在为客户提供可信的商务渠道、专业的技术团队、系统的整合方案等优质服务。

主营业务：信息系统集成服务信息技术咨询服务数据的存储和备份软件开发与销售计算机和办公设备销售及维保湖北时代卓然科技发展有限公司整合全球知名信息产业资源，统筹客户需求以提供完美解决方案。

湖北时代卓然科技发展有限公司目前已与全球众多IT厂商合作，并且与多家国际顶级IT厂商（Cisco 、 Juniper、Radware 、F5、Polycom、IBM、Oracle等）保持长期合作伙伴关系。

公司以信息化软硬件产品分销、系统集成、弱电集成和技术服务（IT基础设施系统集成服务、解决方案设计与实施服务及系统运维服务）为主要业务，并且为客户构建起一套适合其自身特点的IT服务链——包括IT规划咨询服务、系统应用软件实和调试，等其他服务。

力图使用户端信息化系统在兼容性、稳定性、维护性与扩展性等方面得到全面和快速的提升。

公司多年来致力于计算机网络通讯安全及计算机应用软件服务等专业领域的研究及服务工作，在网络和信息技术方面拥有大量的专业技术人员及丰富的实践经验，能够为用户提供广泛的网络与通讯方面的咨询服务和技术支持。

公司与世界许多著名网络厂商有着良好的合作关系，与世界著名网络产品供应商、软件厂商签有协议，建立有长期业务伙伴关系，与这些公司合作为用户提供综合性的网络及智能大厦服务。

公司的多位工程师是持有专业网络厂商资质证书的专业工程师，有多年的系统集成经验，可以为用户提供集成众多不同厂家的软硬件产品的最佳的系统解决方案。

必要时我们还可以为用户取得设备厂商的直接技术支持和服务。

二．网络现状分析企业信息化与企业的生命力息息相关，现在企业的各种业务应用都是信息化的方式和手段去处理。

公司日常业务的流程审批、生产物料及产品的库存管理、人力资源管理等等都是通过各个信息化的应用系统来进行管理。

每个系统都需要有计算机网络系统、服务器、磁盘整列等等来作为应用系统的基础硬件设备来做应用系统的载体。

所以我们经常说一个公司的信息化建设的状况和一个公司能否在市场在占有一席之地息息相关的，而一个公司的网络建设情况是所有信息系统建设的基础，因此网络建设我们设计一个安全的、稳定的、且具有良好的可扩展性的网络。

TCL空调器（武汉）有限公司网络状况如下：1)公司信息点约200个。

2)在公司大楼二楼东南角设有一间10平方米左右的房间作为公司的计算机机房，作为公司所有的信息设备的放置间。

3)公司现有一条DDN专线用来和中山总部网络之间连接链路，另有一条ADSL做为公司的互联网出口，满足日常员工的上网需求。

此链路上部署有防火墙和网络行为管理设备。

4)一条核心交换机下面连接着接入层的交换机，接入层的交换机连接着日常的终端的办公PC、笔记本等1.网络拓扑如下：用户用户用户2.目前存在的问题：1)由于公司的网络布线建设时间较长，很多员工工位的信息点接口老化和松动，导致网络经常中断。

2)机房由于缺少专业人员维护和管理，机房内部线路连接混乱、标识缺失，故障时难于查询统计。

原先配置的UPS设备未能正常使用，一旦发生意外造成设备损坏，会给企业造成无法估量的损失。

3)公司物流部门办公室距离中心机房直线距离约500米，之前没有光纤敷设至此，导致部门内部上网速度慢，且不稳定。

针对以上这些问题我们提出了一套整改方案。

三．网络建设目标根据实际考察和相互交流，本次网络设计的目标为：1)网络建设为未来的发展提供良好的扩展接口是非常理智的选择。

随着企业规模的扩大、业务的增长，网络的扩展和升级是不可避免的问题，因此对现有网络进行全面升级及其必要，所以我们将对老旧的基础网络设备进行全面更换。

2)之前公司各部门办公地点多由变更，且敷设网线信息点多由损坏，因此重新敷设新的网络线路以及更换新的信息节点已满足日益增多的办公需求。

3)鉴于车间内部许多远离中心机房位置办公地点网速及办公效率，将重新敷设2条新的光纤线路。

4)在商品竞争日益激烈的今天，企业对网络的管理也日益重要，且在很多企业在局域网和广域网络中传递的数据都是相当重要的信息，因此要对员工的上网行为进行管理，避免不合理的操作带来安全性的威胁，因此在主网络中将增设一台上网行为管理设备。

5)因机房时间较久，且之前设计要求未满足足够的安全需要，因此将对机房进行部分装修，如桥架走线重新梳理，敷设静电地板等。

6)新的线路敷设完成后，将对所有新的线路进行标示，管理，方便后续维护7)为适应新的移动办公理念，将对整个办公区域进行无线覆盖。

四．网络改造整体设计1）机房改造检查设备安装场地是否符合电气和环境标准。

输入电压允许范围：100V~240V AC 50/60Hz 或–40V~-60V DC工作温度：0C~40C储存温度：-30C~60C相对湿度：5~95%配线架内外网段及接口标识清晰，线路整理顺畅。

将服务器、交换机等设备合理放置到机柜上，便利操作；2）全网设计说明核心交换机选用LS-5800-32C-H3为全千兆3层设备，提供强大的网络交换功能，满足公司内部网络交换需求。

基于提升网络试用效率的考虑，采用深信服公司的AC-1200上网行为管理设备，审核网络应用，优化网络带宽。

可针对内网用户采用不同分组制定访问策略，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。

同时丰富的日志报告功能，对于上网记录进行审核，利于发现网络的潜在威胁。

3）核心路由选择考虑到使网络拓扑更加合理、今后更好的拓展性、有利于查出问题故障症结，我们将核心路由选H3C MSR56204）核心交换机选择根据需求我们选用LS-7006交换机作为网络的核心设备。

LS-7006交换机是一款部署于企业核心的高性能交换机，在核心网络中网络的性能、IP服务、冗余性和故障弹性十分重要。

LS-7006交换机是H3C公司自主开发的用于骨干网络的高速三层交换机产品，具备丰富的业务特性，提供IPv6转发功能以及最多4个10GE扩展接口。

通过H3C特有的集群管理功能，用户能够简化对网络的管理。

LS-7006千兆以太网交换机定位为企业网和城域网的汇聚或接入，同时还可以用于数据中心服务器群的连接。

5）上网行为管理设备选择上网行为管理是一种约束和规范企业员工遵守工作纪律，提高工作效率的工具，是行政管理的电子化辅助手段。

上网行为管理设备无疑对企业网络访问的制度化管理起到了良好的辅助作用。

上网行为管理设备选用深信服公司的AC-1200设备，AC-1200设备是一款多功能的网络信息安全管理审计系统。

可详细记录网内受控人员，各种常用网络应用的使用情况，传送或接收的信息内容。

并可配合网络管理或公司策略，对常用网络应用的使用情况与内容，进行记录备案以及弹性的策略管控。

同时提供了详尽的统计分析功能，透过图表分析，使管理者对各种应用的使用情况，及对网络所造成的影响，尽在掌握。

AC1200是全方位的网络内容安全解决方案，具有应用层(LAYER 7)延伸服务的内容管理与使用分析，过滤分析技术能涵盖网络层到应用层，以提供网络内容安全的纵衡防御服务。

包含不当信息拦截防护、策略管理、统计报表、流量控管...等多种管理功能，是企业进行多通讯端口的安全防护，及内容资产管理的最佳工具。

能协助企业进行网络有效管理，提升网络资源的使用效益！6）无线控制及信息覆盖本方案根据办公区域的实际无线网络覆盖需求，基于TCL整体化无线网络架构方案，按照网络架构进行模块化分层部署设计，在整体办公区域有多个隔断和领导办公室，以及会议室，如何保证信号覆盖到办公区域的每一个角落，是本方案无线部署的重要需求，根据实际情况AP的部署分布如下：7）网络改造补充说明根据贵公司工程师所提出的网络改造关键点，对于网络的优化改造补充说明如下：A．网线的敷设及信息点的安装因公司内部旧的网络设计及使用已超十年，因公司内部许多部门位置的变化及线路老化等原因，导致现在许多办公位置及网络为后续明线敷设，不美观且不稳定，以及许多旧的信息点已损坏。

因此重新规划了新的线路及信息点，以满足现有的办公环境B．光纤的敷设因工厂空间大，部门分布广，许多办公区域都远离中心机房超过200米甚至更远，为满足各部门办公效率，且最经济性考虑，计划敷设两条新的光纤线路。

C. 机房防静电地板的敷设考虑到未来时间企业信息数据量的增加，贵公司现有的机柜和服务器甚至存储很有可能需要扩容。

目前贵公司机房实际铺设防静电地板的面积，为可使用面积的一半左右。

我们建议用户在本次机房线路整理的同时，可以考虑将现有的一半铺设防静电地板，为将来的扩容做好充分的准备。

五．设备选用介绍1）核心路由器选用H3C MSR5620；模块化企业级路由器，2个USB 2.0接口，支持3G Modem扩展，整机交换容量440Gbps，转发性能9Mpps；最大功耗300W 特性及优点先进的技术支撑采用H3C成熟的Comware网络操作系统，提供更智能的业务调度管理机制，支持业务模块化的松耦合，并能实现进程和补丁的动态加载卓越的高性能多核CPU处理器，极大提升多业务并发处理能力支持OAA开放式应用架构，支持云业务平台CVK、VMWARE、广域网优化（WAN）、Lync协同办公、客户第三方的业务等开放式应用自主创新的智能链路引擎CUBE技术，不仅提升了SIC卡的总线带宽，还可以自动灵活分配接口资源强大的安全功能业务安全：报文过滤功能，支持状态过滤、MAC地址过滤、IP和端口号过滤、时间段过滤等支持业务流量实时分析等网络安全：多样化的VPN技术，包括IPsec、L2TP、GRE、ADVPN、MPLS VPN，以及多种VPN技术的叠加使用ARP攻击防范，支持源MAC地址固定、ARP报文攻击防范、地址冲突检测和保护、ARP端口限速、ARP Detection、ARP源MAC地址一致性检查、ARP 源抑制、ARP主动确认机制等设备管理安全支持基于角色权限管理，能够基于角色进行资源分配、用户与角色的对应、权限二维分配方式；支持控制平面流量限制，支持基于协议类型、不同队列、已知协议报文、指定协议报文等进行流量控制和过滤；远程安全管理，支持SNMPv3、支持SSH、HTTPS远程管理等；管理行为控制审计，支持AAA 服务器集中验证、执行命令行授权、操作记录实时上报等精细化业务控制通过精细化识别和精细化控制，实现对应用层业务的限速、带宽保障、过滤等功能，并通过精细化统计指导网络优化支持等价链路负载分担（ECMP）和非等价链路负载分担（UCMP），UCMP 支持根据链路带宽比例进行负载分担；业务智能选路通过非对称链路负载分担、流量智能负载分担和多拓扑动态路由等技术，实现不同场景下充分利用网络链路，支持基于带宽比例的负载分担、基于用户和用户组的负载分担和基于业务和应用的负载分担支持基于多种方式下网络带宽的弹性共享，包括基于业务的弹性共享、基于用户和用户组的弹性共享、基于链路的弹性带宽共享和基于用户的带宽限制智能化网管完善的网络管理方式，支持命令行、SNMP等方式；支持零配置部署，可实现零配置方式下的批量设备开局，通过无线短信实现设备的零开局，并且在误配置时可自动实现设备配置的回退；Comware内置的EAA功能，对系统软硬件部件的内部事件、状态进行监控，出现问题时收集现场信息并尝试自动修复,并能将现场信息发送到指定的Email邮箱；支持U盘系统自动启动、U盘配置自动导入和USB Console接口高可靠性独立硬件处理模块监控系统，可编程器件支持在线升级和自动加载，增强产品的可靠性；链路毫秒级快速故障侦测技术（BFD），可实现同静态路由、RIP/OSPF/BGP/ISIS动态路由、VRRP和接口备份的联动；网络业务质量智能检测技术（NQA），可实现同静态路由、VRRP和接口备份的联动；支持多设备的冗余备份和负载分担（VRRP/VRRPE）；支持快速重路由、GR/NSR等可靠性技术。