集团大厦IT系统技术建议书模板

XXXX集团大厦IT系统技术建议书
目录
1.系统建设需求分析 (4)
1.1 XXXX集团总体情况介绍 (4)
1.2 IT系统建设目标 (4)
1.3 IT系统需求分析 (5)
2.网络总体设计方案 (6)
2.1 系统总体架构 (7)
2.2 核心及数据中心设计 (7)
2.3 网络出口设计 (8)
3.网络安全设计方案 (8)
3.1 入侵防御系统设计 (8)
3.2 网络防火墙设计 (10)
3.3 应用控制网关设计 (13)
3.4 负载均衡系统设计 (15)
3.5 流量分析系统设计测 (16)
4.大楼无线接入方案 (17)
4.1 无线部署方案特点 (17)
4.2 大楼无线部署 (17)
5.XXXX201大楼统一通信系统建设 (22)
5.1方案概述 (22)
5.2 XXX开放、融合统一通信解决方案 (25)
5.3全IP话机解决方案特点 (34)
5.4系统管理与维护 (36)
5.5为什么选用IP话机 (42)
6.IT系统网络管理系统 (48)
6.1 网络管理需求 (48)
6.2 iMC特性与系统结构 (48)
6.3 智能管理中心的部署 (50)
6.4 智能运维管理系统 (55)
6.5 应用服务监控系统 (56)
7.IP地址规划及设备命名 (61)
7.1 IP地址规划原则 (61)
7.2 IP地址编制方法 (62)
8.大楼安防监控系统 (63)
8.1 系统总体架构设计 (63)
8.2 一体化安防系统设计 (68)
9.企业数据中心存储系统 (69)
9.1 数据中心存储需求分析 (69)
9.2 IP SAN存储方案设计 (70)
10.企业综合指挥系统 (75)
10.1 企业指挥系统设计 (75)
10.2 企业多媒体应急指挥 (77)
1. 系统建设需求分析
1.1 XXXX集团总体情况介绍
XXXX集团股份有限公司根植贵州30余年，是贵州省第一家上市公司、惟一一家房地产类上市公司，具有壹级房地产开发资质，AAA信誉等级。

公司主要从事：城市运营——房地产开发、一级土地开发、城市基础设施及配套项目开发；工业产业运营；文化旅游、会展建设及运营；矿产资源、新能源开发及利用；投资咨询服务；教育产业投资；物业管理；文化传媒投资及管理；酒店投资及管理等业务，总资产已达到100亿元。

XXXX集团201大厦，因绝对高度高达201米而得名，是继德国宝马汽车公司总部大楼与新加坡国库大楼之后，全球第三个采用筒式悬挂结构的建筑，也是中国唯一一座筒式悬挂结构建筑。

作为XXXX 集团新办公大楼，其5A级的智能标准应该体现出先进性、稳定可靠性和最佳的TCO。

1.2 IT系统建设目标
本方案设计对XXXX集团网络进行整体规划设计，进行可行性考虑保证方案可实施、资源优化配置。

利用先进的网络技术建设网络系统，为应用系统提供安全、稳定、高效的网络平台。

网络系统应达到以下要求：
实用性和先进性
网络建设注重使用和成效，要求技术先进，产品成熟。

标准型与开放性
网络能适应未来若干年的网络发展趋势，设备采用与国际标准兼容的开放协议。

稳定性和安全性
具有较高的容错性能，并采用先进的安全技术，保证信息的安全。

经济性和可扩展性
具有良好的可扩展性和灵活性，并保持对以前技术的兼容性。

可维护性与可管理性
建成后的网络便于维护和管理，并提供可运营支持。

1.3 IT系统需求分析
建成后的XXXX集团网络在网络设计方面应充分满足以下几个方面：
高性能
随着IP电话、视频会议、网上业务、OA办公系统、电子邮件系统、ERP系统等应用的应用，该网络需要承载各种信息流，将对整个网络提出较高的要求。

高速网络是发展的必然方向，网络应该运用当今最先进的技术，并且应该满足今后若干年的性能需求。

因此，
1、以万兆为核心技术，万兆线速交换已成为组网的基本要求，万兆到服务器、千兆到接入交换机、千兆到用户应该成为XXXX集团网络建设的基本要求。

2、支持多种应用：建成后的XXXX集团网络是融合多种应用如数据、IP电话、视频等的网络，网络在建设之初就应该考虑的对多业务的支持。

高安全性
随着集团信息化建设的不断深入，在集团网络迅速壮大并推动业务快速发展的同时，也使集团面临着更加严峻的挑战：网络安全与网络管理日益成为关系到集团可持续发展的重大因素。

目前常见的企业网络安全隐患主要来自以下一些方面：
1．网络级攻击：窃听报文，IP地址欺骗、源路由攻击、端口扫描、拒绝服务攻击。

2．应用层攻击：有多种形式，包括探测应用软件的漏洞、"特洛依木马"等；
3．系统级攻击：不法分子利用操作系统的安全漏洞对内部网构成安全威胁。

另外，网络本身的可靠性与线路安全也是值得关注的问题。

所以，建成的集团网络系统应具有良好的安全性。

能够对使用者进行验证、授权、审核，以保障系统的安全性。

同时提供灵活的用户接入控制策略：及分布式控制和集中式控制。

高可靠性
XXXX集团网络系统承载着整个局域网上办公和生产等各种重要数据，整个网络系统应具有高可靠性。

除了采用高可靠性的网络设备以外还应考虑链路层和网络层的备份。

可扩展性和可升级性
系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。

易管理、易维护
集团网络系统规模大，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。

2. 网络总体设计方案
XXXX集团IT系统信息化建设为整体网络结构的完善、设备的更新以及性能的提升优化，与集团各工程部衔接。

在此基础上建立网络互联、信息共享、安全可靠、统一的集团信息服务网络。

以网络为依托，重构和优化业务处理模式，建立规范的业务管理体系、严密的业务监督体系，实现对集团IT业务全过程的管理，为宏观决策、系统监督提供全方位技术支持。

2.1 系统总体架构
图 1 中天201大楼IT系统网络建设拓扑图
2.2 核心及数据中心设计
如上图所示，本方案中选用两台XXX S12518高端交换机作为核心设备。

无阻塞全线速网络架构，可平滑扩展至100G。

XXX S12518核心交换机交换容量6.06Tbps，包转发率2160Mpps，单板可提供32端口万兆全线速转发。

业界唯一小包线速。

目前业界主流核心交换机均可提供大包线速转发，满足用户高数据流量转发需要，如视频、音频等流媒体服务。

但作为集团业务系统的主要承载网络，各类业务系统频繁的查询等小包数据访问占主要地位，对于小包的线速转发成为集团核心交换机选型的重要指标。

智能虚拟化。

作为全网的核心设备，其高可靠性和高性能架构显得尤为重要。

本方案中两台XXX S12518核心交换机通过XXX专利的IRF2智能虚拟化技术虚拟为一台逻辑设备，两台设备互为备份，业务分担转发，实现低于50ms的故障恢复。

智能安全渗透网络。

方案中每台核心设备分别部署防火墙
．．．．．．和
．．．．、入侵防御系统
．．．．、流量分析
．．．、负载均衡
应用控制网关
．．．．．．安全模块。

安全功能模块以高速背板（40G-100G）与核心设备连接，网络接入带宽远高于普通1000M链路模式。

XXX核心交换机独特的数据引流机制可保障安全功能模块故障时数据业务由交换机正常转发，可避免网络故障对业务的影响。

安全功能模块与核心交换机融合部署，可减少网络中单点盒式设备的串接部署，有效减少全网单点故障，保证中天201大楼网络的安全、可靠。

同时，每台核心交换机配置2块32端口万兆、48端口千兆电业务板。

本次方案规划中，数据中心服务器包括OA办公应用系统、集团业务系统、网络管理系统，同时部署存储阵列。

所有服务器均以千兆链路直连至核心交换机，通过核心交换机防火墙和入侵防御系统实现各数据区域的业务隔离和防攻击保护。

2.3 网络出口设计
XXXX集团出口路由器选用2台XXX SR8800系列万兆核心路由器，与电信、联通专线互通。

3. 网络安全设计方案
XXXX集团201大楼IT信息系统建设实际上是一个系统工程，而不仅仅是网络安全产品及特性的简单罗列。

为了合理的解决网络安全问题，必须从网络的层次结构进行充分的分析，网络中不同部分的功能不同，所关注的安全问题也不同，如中天201大楼网络的主要功能是设备互联及数据传送，所以核心交换网安全关注的重点是网络自身安全及数据传送安全。

考虑到全网安全及关键数据的保护，全网需双机部署防火墙和入侵防御系统。

结合网络与安全融合的技术发展趋势，在核心交换机上部署防火墙和入侵防御系统功能模块，实现数据中心及全网的安全防护。

对于终端安全的管理目前仍然空白，本方案中部署XXX EAD终端准入控制系统，实现终端安全接入网络。

部署应用控制网关功能模块，实现安全事件审计及带宽优化。

3.1 入侵防御系统设计
今天，各种蠕虫、间谍软件、网络钓鱼等应用层威胁和EMAIL、移动代码结合，形成复合型威胁，
使威胁更加危险和难以抵御。

这些威胁直接攻击IDC核心服务器和应用，给业务带来了重大损失；攻击终端用户计算机，给用户带来信息风险甚至财产损失；对网络基础设施进行DoS/DDoS攻击，造成基础设施的瘫痪；更有甚者，像电驴、BT等P2P应用和MSN、QQ等即时通信软件的普及，宝贵的带宽资源被业务无关流量浪费，形成巨大的资源损失。

面对这些问题，传统解决方案最大的问题是，防火墙工作在TCP/IP 3～4层上，根本就”看”不到这些威胁的存在，而IDS作为一个旁路设备，对这些威胁又”看而不阻”，因此我们需要一个全新的安全解决方案。

因此在关键路径上部署独立的具有深度检测防御的IPS（入侵防御系统）就显得非常重要。

深度检测防御是为了检测计算机网络中违反安全策略行为。

一般认为违反安全策略的行为有：➢入侵——非法用户的违规行为；
➢滥用——用户的违规行为；
深度检测防御识别出任何不希望有的活动，从而限制这些活动，以保护系统的安全。

深度检测防御的应用目的是在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。

在入侵攻击过程中，能减少入侵攻击所造成的损失。

通过在核心交换机上部署SecBlade IPS（入侵防御系统）插卡模块，为内网部分提供以下安全防护：➢强大的入侵抵御能力
SecBlade IPS是业界唯一集成漏洞库、专业病毒库、应用协议库的IPS模块。

配合XXX FIRST（Full Inspection with Rigorous State Test）专有引擎技术，能精确识别并实时防范各种网络攻击和滥用行为。

➢专业的病毒查杀
SecBlade IPS集成卡巴斯基防病毒引擎和病毒库。

采用第二代启发式代码分析、iChecker实时监控和独特的脚本病毒拦截等多种最尖端的反病毒技术，能实时查杀各种文件型、网络型和混合型病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒。

➢零时差的应用保护
XXX专业安全团队密切跟踪全球知名安全组织和厂商发布的安全漏洞公告，通过准确的分析，快速生成保护操作系统、应用系统以及数据库漏洞的特征库；同时，通过部署于全球的蜜罐系统，实时掌握
最新的攻击技术和趋势，以定期（每周）和紧急（当重大安全漏洞被发现）两种方式发布，并自动或手动地分发到SecBlade IPS模块中，使用户的SecBlade IPS模块快速具备防御零时差攻击的能力。

➢网络基础设施保护
SecBlade IPS具有强大的攻击防护和流量模型自学习能力，当攻击发生、或者短时间内大规模爆发的病毒导致网络流量激增时，能自动发现并阻断攻击和异常流量，以保护路由器、交换机、V oIP系统、DNS服务器等网络基础设施免遭各种恶意攻击，保证关键业务的通畅。

3.2 网络防火墙设计
为了保证网络的安全性，我们建议在核心交换机上配置防火墙模块。

S12500上的防火墙模块可提供10Gbps的吞吐量，能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能，有效的保证网络的安全。

S12500上的防火墙模块是和交换机设备融合在一起的，如下图所示：
图 2 防火墙模块与交换机深度融合
防火墙模块作为网络插卡无缝融入网络设备，交换方式采用原网络数据业务的CrossBar全互联背板架构，架构统一。

其优势如下：
1.安全渗透网络：
➢防火墙与网络完美融合：防火墙单板支持虚拟防火墙技术，该技术可以为每个网段独立部署安全策略。

➢变网络的安全为安全的网络：网络设备的所有接口都是安全接口，都能配置安全防护策略。

解决了独立防火墙的接口和性能的限制性问题。

2.可靠性高：
➢不存在单点故障：防火墙单板和其他业务单板的地位完全相同的，主控单元实时监控防火墙状态，一旦防火墙板卡出现故障，业务将自动绕过防火墙模块，保证业务不中断。

➢轻松实现双机HA：两块防火墙板卡可以实现双机热备；
➢充分利用网络可靠性：可充分享用网络设备双引擎、双电源带来的可靠性；支持热插拔，安装方便，网络设备上快速实现安全特性。

3.高性能、可扩展、易部署：
➢万兆平台硬件架构。

➢部署多插卡实现性能倍增。

➢与网络设备统一管理。

S12500采用流量重定向的方式将流量重定向到防火墙模块上进行安全过滤，如果防火墙模块发生故障，流量重定向将自动取消，使防火墙模块不会成为单点故障，如下图所示：
图 3 流量重定向功能示意图
S12500上的Secblade防火墙模块具备以下特点：
1.高性能，不会成为网络瓶颈
采用先进的多核硬件结构，提供吞吐量高达10Gbps的吞吐量，将网络安全防护提升到准万兆安全新阶段。

2.全面的安全防护
支持对DoS/DDoS攻击、ARP欺骗攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、地址/端口扫描、ICMP重定向或不可达攻击、Tracert攻击、带路由记录选项IP报文、Java/ActiveX Blocking 和SQL注入攻击等威胁的防范；可以有效的识别和控制网络中的各种P2P应用；支持静态和动态黑名单、MAC绑定、安全区域控制、系统统计等安全功能。

3.丰富的VPN特性
集成IPSec、L2TP、GRE等多种成熟VPN接入技术，保证移动用户、合作伙伴和分支机构安全、便捷的远程接入。

4.全面NAT应用支持
提供多对一、多对多、静态网段、双向转换、Easy IP和DNS映射等多种NAT应用方式。

提供DNS、FTP、H.323、NBT等NAT ALG功能，支持多种应用协议正确穿越NAT。

5.先进的虚拟防火墙
支持先进的虚拟防火墙技术，通过在同一台物理设备上划分多个逻辑的防火墙实例来实现对用户多个业务独立安全策略部署的需求。

当用户业务划分发生变化或者产生新的业务部门时，可以通过添加或者减少防火墙实例的方式十分灵活的解决后续网络扩展问题，简化了网络管理的复杂度。

6.降低运营成本
直接在XXX交换机中增加SecBlade FW模块，即可扩展交换机的防火墙功能。

通过与交换机共用管理平台，降低了管理难度。

并且交换机的任何端口都可以作为SecBlade FW模块的端口使用，从而降低用户成本。

7.高可靠性
SecBlade FW业务模块作为业务插卡嵌入XXX交换机中，降低了单点故障，保证了网络的高可靠性。

3.3 应用控制网关设计
为了避免非法流量大量占用互联网出口流量，对集团网络流量进行精细化管理，建议部署ACG应用控制网关系统。

ACG应用控制网关系统可基于用户或IP地址实现每个终端的灵活访问控制，同时可对网络流量深入分析，实现针对于不同业务流量进行限制（包括网址/游戏/应用程序等），最后可通过行为审计功能对用户的上网行为进行详细审计，并提供详细报表。

XXX行为监管解决方案能彻底解决以上问题，是业界应用识别最全面的解决方案，解决方案由应用控制网关，管理平台两部分功能组成。

➢应用控制网关可针对P2P/IM、网络游戏、炒股、非法网站访问等行为，进行精细化识别和控制，有效解决带宽滥用、访问非法网站感染病毒等问题。

➢安全管理平台由ACG Manager软件组成，可对应用控制网关检测出的网络安全事件进行深入分析并输出审计报告，同时收集防火墙发送的NA T日志，帮助管理员全面了解用户行为和流量趋势，为加强整网安全、满足合规性要求提供决策依据，并且能够与用户管理平台联动，准确获得用户信息。

SecBlade ACG具有2G的吞吐量，通过在ACG应用控制网关，可精确识别BT、电驴、迅雷、MSN、QQ、Yahoo Messenger、PPLive等近百种P2P/IM应用，可基于时间、用户、区域、应用协议，通过告警、
限速、阻断等手段进行灵活控制，保证网速的正常和业务不被影响。

SecBlade ACG具有如下产品特点：
1.强大的硬件平台
SecBlade ACG采用XXX电信级硬件平台，通过精心设计的多核技术，实现核心用户对安全设备线性处理能力的需求。

同时，SecBlade ACG可实现多路业务的应用流量控制，良好的可扩展性充分的保护了用户的投资。

2.业界领先的深度应用识别
结合长期积累的检测技术，采用XXX专利的应用协议模型化技术进行智能决策，准确识别多种应用协议，包括P2P、VoIP、IM、炒股应用软件、游戏以及其它如流媒体、WEB访问、FTP下载、网络管理等多种应用协议。

同时，提供可扩展、可升级的应用识别和行为识别能力。

可动态升级新的应用及其行为实体的定义，并迅速提供新的应用协议的分析模块。

3.全面细致的流量统计
提供基于用户、应用、时间段、源/目的IP等丰富的业务流量统计信息。

可以对业务组以及某个业务下的所有子业务的流量趋势、业务带宽占用趋势以及业务流量分布等各种流量信息进行统计分析。

流量信息包括上下行双向流量。

4.带宽管理
提供限流、放行、阻断、干扰以及告警等丰富的带宽管理策略，可以基于用户、应用、时间段以及源/目的IP等五元组的随意组合进行精细的带宽控制。

提供黑、白名单功能。

5.VoIP监控
不但能够对使用标准协议如H.323、SIP或MGCP/H.248等V oIP网关，使用标准协议分析来轻松的检测，而且能够对非标准协议实现的网关，通过通用的V oIP模型来对其进行分析。

此外，通过采用专门的识别技术，能有效地解决绝大多数V oIP应用所采用的多通道关联协议的识别问题，对多种主流语音业务类型如Skype、UUCALL、Konge(中桥语音)等进行识别。

提供信令干扰、噪音干扰等控制手段，帮助电信运营商挽回非法VOIP语音业务损失，保护正常的话务业务。

6.P2P监控
通过有状态的特征状态机可更精确的识别出多种P2P业务类型，如BitTorent、eMule（电骡）、eDonkey （电驴）、Kugoo（酷狗）、Thunder（迅雷）、Tencent Download、PPLive Stream、PPStream等。

可以通过限流措施对P2P业务带宽进行限制。

7.共享上网检测
采用业界流行的ID轨迹检测技术、时钟偏移检测技术、结合多种应用层特征检测技术如应用特征检测、流量/连接数统计、TTL检测、MAC地址检测等，准确的识别出以NA T、Proxy方式进行共享接入的用户以及用户数目。

XXX专业的业务分析团队将长期跟踪分析流行代理软件与防代理检测软件，利用反汇编、解密等技术来发现代理软件实现中的漏洞特征，以此应对新的代理技术。

提供告警、阻断等共享上网控制措施，可以根据需要对不同的共享接入用户采用不同的控制策略。

8.用户行为分析
根据对不同兴趣类型的网站访问统计，分析用户兴趣、划分用户类型。

提供每一种应用的TOPN用户统计，发现某种业务的兴趣用户群；提供每个用户的业务使用趋势统计，掌握某个用户的上网习惯；提供TOPN网站统计，了解网站的受欢迎程度。

3.4 负载均衡系统设计
集团201大楼IT信息系统是集团的主数据中心，该数据中心是集团核心业务与数据的汇聚点，承载着集团的各项重要业务系统，包括核心数据、ERP系统、及其他服务（OA）等关键应用系统。

由于整个系统流量大、业务复杂、接入点多，因此对于整个IDC网络的可用性、安全性、可靠性以及可扩展性方面有很高的要求。

针对以上需求，对整个IDC进行了多层次的性能优化和安全方面的规划。

除FW、IPS等安全部署外。

针对数据中心（服务器区域）访问流量大的特点，通过SecBlade LB的链路负载均衡功能，使得进出两个方向的数据流都能智能均衡的分发到两条出口链路上，充分利用了出口带宽资源。

在实现安全防护的基础上通过动态负载均衡功能有效提升了服务器群的处理能力。

此外，包括负载均衡在内的各种安全插卡与交换机的IRF2虚拟化技术相结合，使得多台交换机中的安全插卡化相当于集成在一台交换机上，极大的简化了网络设备与安全设备之间的对接设计，使得安
全部署更简单、更可靠。

XXX负载均衡产品能够为集团信息系统数据中心带来四大价值：
●提高数据中心的应用访问速度
●提高数据中心的业务连续性
●提高数据中心的应用访问总容量
●提高数据中心的安全性
3.5 流量分析系统设计测
高性能的硬件平台
SecBlade NetStream模块采用业界领先的多核硬件平台，通过并行处理机制，能够对交换机中所有流量进行高性能的报文统计分析。

同时，一台交换机可以支持多块SecBlade NetStream模块，实现系统性能的平滑升级。

强大的协议处理机制
SecBlade NetStream模块支持IP报文（UDP、TCP、ICMP报文）和MPLS报文的统计。

通过对数据流的包数、字节数、首包到达时间和末包到达时间等信息的精确统计，提供网络流量运行情况的第一手资料。

先进的双地址发送功能
SecBlade NetStream模块把统计信息报文发送给设定的服务器进行存储，以便于分析。

但是网络状态千变万化，为了防止统计信息丢失，SecBlade NetStream模块提供了向主、备服务器同时发送信息的功能，确保统计信息万无一失。

详尽的统计分析报表
SecBlade NetStream模块能对网络中的所有流量进行统计分析和异常检测，输出各种丰富的网络流量分析报表，包括：历史流量分析报表，流量趋势预警，网络异常流量检测，用户上网行为分析以及整网或者具体的网络设备、接口和资源组细粒度流量信息报表等信息，让客户及时全面了解网络运行情况，有效防范网络安全隐患。

降低运营成本
通过在XXX交换机中增加SecBlade NetStream模块，即可扩展交换机的网络流量监控功能。

通过与交换机共用管理平台，降低了管理难度。

高可靠性
SecBlade NetStream业务模块作为业务插卡嵌入XXX交换机中，采用独立的硬件平台，不会出现单点故障的情况，保证了网络的高可靠性。

4. 大楼无线接入方案
4.1 无线部署方案特点
无线局域网（WLAN）技术于20世纪90年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。

无线局域网具有以下显著特点：
➢简易性：WLAN网络传输系统的安装快速简单，可极大的减少敷设管道及布线等繁琐工作；
➢灵活性：无线技术使得WLAN设备可以灵活的进行安装并调整位置，使无线网络达到有线网络不易覆盖的区域；
➢综合成本较低：一方面WLAN网络减少了布线的费用，另一方面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。

同时，由于WLAN技术本身就是面向数据通信领域的IP传输技术，因此可直接通过百兆自适应网口和企业、学校内部Intranet相连，从体系结构上节省了协议转换器等相关设备；
➢扩展能力强：WLAN网络系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统；
随着WLAN技术的快速发展和不断成熟，目前在国内外具有较多的中大规模应用，诸如荷兰的阿姆斯特丹市的全城覆盖，向客户提供各种业务。

4.2 大楼无线部署
在XXXX201大楼会议室等公共区域、各办公室，有线网络部署相对复杂，同时公共区域有线网口。