精华内容
下载资源
问答
  • 华为企业园区网络建设技术方案建议书
    万次阅读 多人点赞
    2019-01-21 08:54:19

     

    1. 项目概述 

    根据实际情况增加项目介绍 

      1. 项目背景 
      1. 项目目标 
    1. 园区总体系统规划设计 
      1. 需求分析 

    随着企业信息化建设不断深入,企业的生产业务系统、经营管理系统、办公自动化系统均得到大力发展,对于企业园区网的建设要求越来越高。传统园区网建设初期往往面临如下问题: 

    • 网络架构较为混乱,不便于扩容和维护管理:园区网在建设初期,设备和光纤/电缆随意布放,缺乏统一的网络分层规划管理,网络拓扑相对混乱,不便于对网络性能瓶颈进行正确评估和有效扩容,给日常网络管理也带来很大难度。 
    • 网络可靠性规划不合理,影响企业生产和经营管理、造成投资浪费:由于缺乏有效的园区网规划,对于网络可靠性考虑不够,网络中既存在单点故障导致网络可靠性低、影响企业生产和经营管理行为,同时也存在网络过度冗余、造成投资浪费的现象。 
    • 网络信息安全存在隐患:网络安全性是园区网建设的重中之重,传统园区网安全漏洞较多,无法应对内外部用户日益猖獗的网络攻击行为(例如:对园区网设备进行攻击、消耗网络带宽、窃取企业核心电子资产信息),对于内部和外部用户缺乏有效的身份认证手段、用户可随意接入网络,网络层面的安全保证和防御措施也不到位,造成园区网的脆弱和易攻击。 
    • 无法满足日益增长的网络业务需求:随着企业的业务发展,出现了基于园区网基础设施的丰富增值业务需求,例如:网络接入形式要求多样化,支持WLAN无线接入,满足移动办公、大区域无线缆覆盖等特殊要求;对于企业用户访问外网进行计费,计费策略可灵活设置(时长计费、流量计费、按目的地址计费);企业多出口链路场景下的负载均衡、灵活选路需求。传统园区网建设缺乏有效满足这些增值业务需求的统一解决方案考虑,支持这些业务存在园区网络分散建设、重复投资的问题。 
    • 缺乏简单有效的网络管理系统,企业IT网络运维部门面临很大压力:当前,企业网IT运维部门面临很大的网络运维压力,来自于园区网内外部的安全事件频发、网络可靠性低引起的网络业务中断现象,网络故障诊断、分析定位过程对于IT运维人员的技术能力和经验水平要求较高,缺乏简单有效/低成本的图形化网管工具、进行实时网络拓扑显示、状态监控和各种故障事件预警/告警展示。另外,IT运维部门也需要实施统计园区网各路径的流量信息,便于对网络带宽进行管理和规划,给后续网络扩容提供参考。 
      1. 设计原则  
    • 安全性:安全性是企业园区网建设中的关键,它包括物理空间的安全控制及网络的安全控制。需要有完整的安全策略控制体系来实现企业园区网的安全控制。 
    • 可靠性、可用性:高可靠性是园区网提供使用的关键,其可靠性设计包括:关键设备冗余、链路/网络冗余和重要业务模块冗余。 

    关键设备均采用电信级全冗余设计,可实现单板热拔插、冗余的控制模块设计、冗余电源设计。采用冗余网络设计,每个层次均采用双机方式,层次与层次之间采用全冗余连接。提供多种冗余技术,采用高效、负载均衡的双机备份。 

    可采用交换机的集群或者堆叠技术,在不降低网络可靠性的前提下,减化网络架构。 

    • 可扩展性:园区网方案设计中,采用分层的网络设计;每个层次的设计所采用的设备本身都应具足够高的端口密度,为后续园区网扩展奠定基础。 

    在园区出口层、核心层、汇聚层的设备都采用模块化设计,可根据园区网的发展进行灵活扩展。 

    功能的可扩展性是园区网随着发展提供增值业务的基础。实现防火墙、负载均衡、WLAN接入、认证计费等功能,为园区网增值业务的扩展提供基础。  

    • 可维护、可管理性:网络可管理性是园区网成功运维的基础。应提供低成本、简单有效的园区网统一网管系统,对园区网所有网络设备进行管理,包括网络拓扑显示、网络状态监控、故障事件实时预警和告警、网络流量统计。 
    1. 园区网络架构规划设计 
      1. 园区网络总体网络架构规划设计 
        1. 典型园区网网络架构 

    图 3‑1 典型园区网网络架构

    典型园区网方案采用层次化、模块化的设计思路,按照接入层、汇聚层、核心层和出口层进行网络设备设计部署,在汇聚层交换机,通过模块化(业务单板)方式提供WLAN AC控制器、防火墙、负载均衡器等增值业务功能,满足企业日益增长的业务需求。 

    典型园区网的重要特征是不存在网络单点故障,交换机设备和链路都存在冗余备份,接入交换机与核心交换机通过双规或环网相连接,汇聚交换机双规接入核心交换机,交换机之间采用TRUNK链路保证链路级可靠性。 

     

        1. 经济型园区网网络架构 

    图 3‑2 经济型园区网网络架构

    考虑到节省园区网网络建设投资成本,允许网络存在单点故障,不再部署冗余交换机设备,交换机之间互联采用TRUNK链路,保证链路级可靠性,但是园区网交换机设备故障,会导致网络故障和业务中断。 

    经济型的园区网汇聚层交换机仍然可通过模块化(业务单板)方式提供WLAN AC控制器、防火墙、负载均衡器等增值业务功能。 

     

        1. 虚拟交换园区网网络架构 

    图 3‑3 虚拟交换园区网网络架构

    园区网仍然按照分层结构建设,园区交换机分为接入层交换机、汇聚层交换机和核心层交换机。为了增加园区网可靠性、降低园区网组网复杂度,园区网未来向虚拟化、扁平化方向发展,同层次交换机可以多台虚拟成一台,接入交换机通过堆叠(Stack)特性,将多台接入交换机虚拟成一台接入交换机,汇聚/核心交换机通过CSS(Cluster Switch )将两台交换机虚拟成一台交换机。 

    园区网接入层/汇聚层/核心层交换机虚拟化后,可以减少网络节点、简化网络拓扑,二层网络不需要部署RSTP/MSTP/RRPP/Smart Link等复杂的环网协议和可靠性保护协议,实现无二层环路网络构建,提高二层网络可靠性和链路故障收敛性能,三层网络虚拟化的多台设备间路由表统一计算、路由收敛速度快, 

    通过交换机虚拟化设计,交换机互联的两条链路就可以作为Trunk链路进行管理,对于虚拟交换机而言,实现跨设备的链路聚合(TRUNK),大大增强链路可靠性,另外可实现链路的流量负载均衡,构建无二层环路网络,网络可靠性(链路故障自收敛性能)和带宽利用率都得到提高。 

    图 3‑4 交换机集群(堆叠)方案

     

      1. 园区网络分层网络规划设计 

    园区网的网络层次采用业界成熟的三层架构:接入、汇聚和核心,最后企业园区通过出口层网络设备(路由器或交换机)连接到外网通过。 

    这种分层的网络架构,可以保证根据的业务需求,分别对不同层次进行扩容。 

        1. 接入层 

    接入层交换机一般部署在楼道的网络机柜中,接入园区网用户(PC机或服务器),提供二层交换机功能,也支持三层接入功能(接入交换机为三层交换机)。 

    由于接入层交换机直接接园区网用户,根据用户接入信息点数目和类型(GE/FE),对接入交换机的GE/FE接口密度有较高的要求。另外接入交换机部署在楼道网络机柜,数量大,对于成本、功耗和易管理维护等特性要求较高。 

    高用户密度的园区接入场景推荐使用S5300/S9300作为接入交换机,低用户密度的场景推荐使用S2300/S3300作为接入交换机。 

        1. 汇聚层 

    园区汇聚层交换机一般部署在楼宇独立的网络汇聚机柜中,汇聚园区接入交换机的流量,一般提供三层交换机功能,汇聚层交换机作为园区网的网关,终结园区网用户的二层流量,进行三层转发。 

    根据需要,可以在汇聚交换机上集成增值业务板卡(如防火墙,负载均衡器、WLAN AC控制器)或者旁挂独立的增值业务设备,为园区网用户提供增值业务。 

    汇聚交换机需要提供高密度的GE接口,汇聚接入交换机的流量,通过10GE接口接到核心交换机,推荐使用S9300系列交换机作为园区汇聚层交换机。 

     

        1. 核心层 

    园区核心层交换机部署在园区核心机房中,汇聚各楼宇/区域之间的用户流量,提供三层交换机功能,连接园区外部网络到内部用户的“纵向流量”和不同汇聚区域用户之间的“横向流量”要求高密10GE、高转发性能。 

    推荐使用S9300作为园区核心层交换机。 

        1. 出口层 

    园区出口路由器,连接Internet/WAN广域网和园区内部局域网。推荐华为AR和SRG系列路由器作为企业出口路由器。 

    对于中小型企业园区网,核心层和出口层可进行合并,通过核心交换机(S9300)的WAN接口板的广域网接口(POS等)直接与外网相连。 3.3 二三层网络分界点设计 

    • 二三层网络分界点(用户网关)设置在汇聚交换机 

    汇聚交换机作为用户的网关设备,接入交换机与汇聚交换机之间是二层网络,通过STP/RSTP/MSTP/RRPP保证网络可靠性和防止二层网络环路产生,汇聚交换机与核心交换机之间是三层网络,运行OSPF等路由协议,通过等价路由、IP FRR保证三层网络可靠性、加快路由收敛时间。 

    【优点】 

    1. 接入交换机是二层交换机,成本低,并且可保护客户现有低端二层交换机的投资; 
    2. 高可靠性,二层网络故障收敛速度快; 

    【缺点】 

    1. 接入交换机和汇聚交换机之间存在二层环路风险,需要配置保证; 
    2. 接入交换机与汇聚交换机之间链路利用率低,需要启用二层协议负载均担多实例以提高链路利用率。 

    本方案的缺点可以通过接入交换机堆叠/汇聚交换机集群(交换机虚拟化)方案来解决。园区汇聚交换机作为二三层网络分界点(用户网关设备)是经典的园区网架构,推荐使用。  

    • 二三层网络分界点(用户网关)设置在接入交换机 

    接入交换机作为用户的二三层分界点(网关设备),即三层到边缘的园区网架构,接入交换机到汇聚交换机、汇聚交换机到核心交换机之间都是三层网络,运行OSPF等路由协议,整个企业园区是全路由型网络。 

    【优点】 

    1. 网络易扩展:园区网架构对物理网络拓扑依赖度低,可以任意网络拓扑形式扩展;
    2. 网络易维护:全网为三层网络、无二层环路网络风险,无需配置生成树协议、RRPP和VRRP,降低网络配置和维护工作量。 

    【缺点】 

    1. 交换机成本相对较高:相对与二层接入交换机,成本较高; 
    2. 接入层为三层网络,网络故障路由收敛速度相对较慢。 
    3. 园区网络高可靠性规划设计 
      1. 园区网络高可靠性规划设计 

    园区网高可靠性设计总体方案如下图所示: 

    图 4‑1 园区网高可靠性设计方案总览

    针对二层接入(接入交换机是二层交换机、汇聚交换机作为用户网关)典型园区网架构,从接入层、汇聚层、核心层来分层考虑网络可靠性设计。 

    接入层网络是二层网络,接入交换机与汇聚交换机之间通过Smart Link/STP/RSTP/MSTP/RRPP保证网络可靠性,同时解决二层网络环路问题;汇聚层交换机之间通过VRRP(BFD for VRRP)协议确定用户的主备网关,交换机互联通过TRUNK链路,保证链路级可靠性,汇聚交换机与接入交换机之间可通过DLDP协议检测光纤单向故障(单通故障)。 

    园区网接入/汇聚/核心交换机通过虚拟化技术进行集群(或堆叠),将两台/多台交换机虚拟化成一台交换机,降低网络拓扑复杂度的同时,提高网络可靠性,是未来高可靠性园区网的发展趋势。 

    典型园区网可靠性组网设计方案有:口子型组网、三角型组网、U子型组网。  

    • 可靠性组网方案1:口子型组网 

    图 4‑2 口子型组网

    接入交换机与汇聚交换机之间是二层网络,汇聚交换机作为用户网关设备,两台汇聚交换机之间通过二层TRUNK链路互连,多台接入交换机与两台汇聚交换机之间组成口子型二层环网,并且通过部署STP/RSTP/MSTP/RRPP等协议进行二层环网阻断、环网故障检测和保护倒换功能。两台汇聚交换机运行VRRP(BFD+VRRP)协议确定主备用户网关,VRRP报文直接在汇聚交换机直连的TRUNK链路上收发。注意:两台汇聚交换机链路需要保证绝对可靠,必须采用TRUNK链路、包含两条以上物理链路,因为汇聚交换机间链路DOWN,两台汇聚交换机VRRP状态都为主(VRRP双主情况产生),此时接入二层环网阻塞在汇聚交换机之间的直连链路上,这样接入用户同时感知两个处于VRRP主用状态的网关设备(汇聚交换机),出现问题。 

    口子型组网方案的优点是,园区网各个楼层接入交换机可以串在一起,与汇聚交换机组成二层环网,汇聚交换机统一为各楼层接入交换机下的用户分配IP地址,实现园区不同楼层的用户可以共用同一个IP地址网段; 该组网方案的缺点是接入层网络需要部署较为复杂的二层环网协议、网络配置和维护较为复杂。 

    口子型组网方案是园区网非常经典的可靠性设计方案,适合各种规模的园区网应用场景。 

    • 可靠性组网方案2:三角型组网 

    图 4‑3 三角型组网

    汇聚交换机作为用户网关设备,两台汇聚交换机之间通过二层链路互连,每台接入交换机上行有两条链路接入到两台汇聚交换机,接入交换机上行两条链路的主备关系由运行的Smart Link协议确定。两台汇聚交换机运行VRRP(BFD+VRRP)协议确定主备用户网关,VRRP报文直接在汇聚交换机直连链路上收发。注意:两台汇聚交换机链路需要保证绝对可靠,必须采用TRUNK链路。口子型组网场景下,多个楼层之间可以共用VRRP组,不受汇聚交换机VRRP组数量限制,可实现不同楼层间的园区用户可以共享一个IP地址网段。 

    三角型组网方案的优点是:二层接入网不存在环路,不需要配置相对复杂的环网保护协议(STP/RSTP/MSTP/RRPP);Smart Link故障检测和保护倒换速度快(200~400ms);支持园区网园区不同楼层的用户可以共用同一个IP地址网段。 

    三角型组网方案的缺点是每台接入交换机上行需要部署主备两条链路,增加布线成本,对汇聚交换机的端口密度有较高要求。 

    • 可靠性组网方案3:U字型组网 

    图 4‑4 U字型组网

    园区网汇聚交换机之间通过纯三层链路互连,无直连二层链路。汇聚交换机作为园区用户网关,与接入交换机组成二层网络,汇聚交换机的主备通过VRRP(BFD for VRRP)协议协商,VRRP协议通过接入交换机转发,每组接入交换机与两台汇聚交换机组成的一个物理U型网络需要启用一组VRRP,汇聚交换机通过多个物理端口会接入多个二层U型网络,这样汇聚交换机间需要运行多个VRRP组(每个二层U型接入网络运行一个VRRP组),一般一个U型二层接入网覆盖的是同一个楼层的接入交换机。由于不同VRRP组的网关IP网段不能相同,因此每个U型接入网下的所有园区用户需要独占一个IP网段,不同U型接入网的用户(不同楼层的园区用户)之间不能共享一个IP网段,这是此方案应用的最大缺点。 

    U子型方案的优点:二层接入网不存在环路,不需要配置相对复杂的环网保护协议(STP/RSTP/MSTP/RRPP)。 

    • 可靠性设计目标方案(发展趋势):园区网交换机虚拟化 

    图 4‑5 可靠性设计目标方案组网

    园区网可靠性方案设计的目标方案或发展趋势是各层次园区网交换机都进行虚拟化,通过集群/堆叠技术将两台或多台交换机虚拟成一台交换机。可以提高单节点设备可靠性,一台交换机故障,另外一台交换机自动接管故障设备上的所有业务,可以做到业务无损切换。设备虚拟化通过跨设备的TRUNK链路,提升链路级可靠性,并且流量可以均匀分布在TRUNK成员链路上,提高链路带宽利用率,条或多条链路故障后,流量自动切换到其他正常的链路。 

    该方案另外一个优点网络配置和维护简单,园区二层接入网,不需要配置复杂的二层环网和保护倒换协议,二层链路故障直接感知快速切换,三层网络中多个设备间共享路由表,网络故障路由收敛速度快。网络管理和维护难度大大降低,此方案适应面广,扩展性强,是未来园区网的发展趋势。 

     

      1. 园区网络设备高可靠性规划设计 
        1. 重要部件冗余 

    设备本身要具有电信级5个9的可靠性,需要网络设备支持:  

    • 主控1:1备份 
    • 交换网1+1/1:1两种方式 
    • DC电源1+1备份;AC电源1+1/2+2备份  
    • 模块化的风扇设计,高端配置支持单风扇失效  
    • 无源背板,高可靠性 
    • 独立的设备监控单元,和主控解耦  
    • 所有模块热插拔  
    • 完善的各种告警功能  
    • 设备管理1:1备份 
        1. 设备自身安全 

    如下图所示,随着黑客工具的泛滥和使用的方便,使的网络攻击的成本越来越来,但危害越来越大. 

    图 4‑6 黑客工具的危害性

    这就要求具有强大灵活的自身防护功能,以不变应万变的方法,才能抵挡日益泛滥的网络攻击。 

    华为公司全系列园区网交换机(S9300/S5300/S3300/S2300)提供攻击防范功能,能够检测出多种类型的网络攻击,并能采取相应的措施保护设备自身及其所连接的内部网络免受恶意攻击,保证内部网络及设备的正常运行。 

    华为全系列交换机支持的攻击防范功能包括防DDOS攻击、IP欺骗攻击、Land攻击、Ping of Death攻击、Teardrop攻击、ICMP Flood攻击、SYN FLOOD攻击等。 

    另外,以太网交换机的MAC地址表作为二层报文转发的核心,在受到攻击的时候,直接导致交换机无法正常工作。发生MAC地址攻击的时候,攻击者通过不停的发送MAC地址来刷新,填充交换机的MAC地址表,由于MAC地址表的规格有限,导致正常流量由于没有正确的转发表项而无法正常转发。ARP攻击与此类似,通过攻击报文来更改MAC与IP地址的绑定,从而重新定向流量。 

    华为全系列交换机可以通过MAC地址与端口的绑定以及限制端口/VLAN/VSI下MAC地址的最大学习个数可防止MAC扫描,并通过VLAN、IP、MAC之间的任意绑定可防范ARP攻击(SAI/DAI功能)。 

    华为全系列交换机支持黑洞MAC功能,园区交换机收到报文时比较报文目的MAC地址,若与黑洞MAC表项相同则丢弃该报文。当用户察觉到某MAC地址的报文具有一定攻击性,则可以在园区交换机上配置黑洞MAC,从而将具有该MAC地址的报文过滤掉,避免遭受攻击。 

      1. 园区网络交换机虚拟化规划设计 
        1. 汇聚交换机的集群CSS(Cluster Switch Switching) 

    所谓集群,就是把物理的多台服务器连接在一起,对外表现为一台逻辑的服务器,提供服务。 

    因为企业园区网为了增加可靠性,都是双节点备份,特别适合集群技术。如下图所示: 

    图 4‑7 集群组网的优势

    采用集群技术,对企业园区网络,有四大优势: 

    1) 减化管理和配置 

    首先,集群后需要管理的设备节点减少一半以上。 

    其次,组网变得简洁,不需要配置复杂的协议,包括STP/SmartLink/VRRP等。 

    2) 快速的故障收敛 

    故障收敛时间可以控制在< 1ms, 大大降低了网络链路/节点的故障,对业务的影响。 

    3) 带宽利用率高 

    采用链路Trunk的方式,带宽利用率可以达到100%。 

    4) 扩容方便 

    保护用户投资。随着业务的增加,当用户进行网络升级时,采用集群的方式,只需要增加新设备既可,不需要更改网络配置的情况下,平滑扩容,很好的保护了用户投资。 

    目前,业界有两种堆叠的方式,一种是采用业务接口堆叠,一种是采用专用的堆叠线; 

    图 4‑8 两种集群方式比较

    华为的S93系列交换机采用堆叠线的方式,通过在主板板上插入堆叠卡,连接多台设备。如下图所示,这种方式有如下的优势: 

    图 4‑9 华为CSS集群技术

    采用交换机网集群的方式,相比接口板集群,有如下的优势:  

    • 堆叠带宽高 

    交换机网集群一般采用专用的接口线,堆叠带宽高。   

    S93系列的堆叠带宽高达128G(单向);并且可平滑升级到200G(单向); 相对于业界的80G(单向)的互联带宽,具有明显的优势。  

    • 不占用业务槽位 

    S93系列采用在主控板预留的灵活插卡槽位,插入堆叠卡互联的方式,不占用接口槽位。相对于接口堆叠的方式,节省了1~2个接口槽位。  

    • 可靠性高 

    S93系列采用堆叠线连接,实际上是对交换网的延伸。从上图可以看出,接口板堆叠方式需要经过两个堆叠接口板转发,处理复杂度增加;另外,接口板的硬件可靠性也比交换网低。 

    总体来看,交换网堆叠在软件和硬件方面,可靠性都高于接口堆叠的方式。 

        1. 接入交换机的堆叠iStack 

    iStack堆叠就是将多台设备通过堆叠口连接起来形成一台虚拟的逻辑设备。一个园区网用户上行的2个网络接口,对于堆叠后的设备,可以看作Trunk接口。 

    多台设备堆叠成一台设备后,从功能和管理方面,都可以作为一台设备来看待。 

    华为的iStack堆叠技术有如下的优势:  

    • 简化管理 

    堆叠设备的角色分为Master和Slave;通过对Master 设备的配置达到管理整个iStack 堆叠以及堆叠内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。  

    • 简化网络运行 

    iStack 形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算。这样省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。  

    • 强大的网络扩展能力 

    通过增加成员设备,可以轻松自如的扩展堆叠系统的端口数、带宽和处理能力。  

    • 高可靠性 

    堆叠的高可靠性体现在多个方面,比如:成员设备之间堆叠物理端口支持聚合功能,堆叠系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了堆叠系统的可靠性;堆叠系统由多台成员设备组成,Master 设备负责堆叠的运行、管理和维护,Slave 设备在作为备份的同时也可以处理业务,一旦Master 设备故障,系统会迅速自动选举新的Master,以保证通过堆叠的业务不中断,从而实现了设备级的1:N 备份。  

    • 高性能 

    由于iStack 设备是由多个支持iStack 特性的单机设备堆叠而成的,iStack设备的交换容量和端口数量就是iStack 内部所有单机设备交换容量和端口数量的总和。因此,iStack 技术能够通过多个单机设备的堆叠,轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。 

     

    1. 园区网络安全方案规划设计 
      1. 园区网安全方案总体规划设计 

    图 5‑1 园区网安全方案总体设计

    从园区接入、网络监管/监控、边界防御、园区出口传输安全等多纬度、多层次进行安全设计和安全防御,对内部员工进行身份认证和网络访问权限控制,对企业内部进行安全区域划分、隔离和权限控制,对企业外部用户访问进行安全控制、数据加密,防止恶意攻击。园区网全方位的

    安全设计方案保证内部、外部用户访问园区网资源的安全性。 

     

      1. 园区接入安全规划设计 

    图 5‑2 网络准入控制NAC

    企业网交换机与华为赛门铁克的NAC方案配套,实现对接入用户的身份认证、终端健康检查,并实现基于用户角色的差异化权限控制。NAC解决方案包含三个关键组件:通信代理、网络访问控制设备(园区交换机)和认证策略服务器组: 

    通信代理也就是安全客户端,是安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估检查以及安全策略实施的主体,其主要功能包括: 

    • 支持802.1x、Portal、MAC等多种认证方式,可以与园区网交换机实现接入、汇聚层的端点准入控制。 
    • 检查用户终端的安全状态,包括操作系统版本、系统补丁等信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息,这些信息将被传递到安全策略服务器,执行端点准入的判断与控制。 
    • 安全策略实施,接收安全策略服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)等功能。不按要求实施安全策略的用户终端将被限制在隔离区。 
    • 实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。  

    网络访问控制设备是企业网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。园区网的网络访问控制设备推荐为华为交换机,可分别实现不同认证方式(如802.1x、MAC认证和Portal等)的端点准入控制,具备以下功能: 

    • 强制网络接入终端进行身份认证和安全状态评估。 
    • 隔离不符合安全策略的用户终端,园区交换机接收到安全策略服务器下发的隔离指令后,可以通过 VLAN 或 ACL 方式限制用户的访问权限;同样,收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。 
    • 提供基于身份的网络服务,园区交换机可以根据安全策略服务器下发的策略,为用户提供个性化的网络服务,如提供不同的 QoS、ACL、VLAN 等。 

    根据用户接入安全控制范围需要,作为NAC网络访问控制设备的交换机可以部署在园区接入层、汇聚层,设置可部署在核心层、仅控制用户访问园区外部网络的权限。 

    策略服务器也就是管理服务器,NAC方案的核心是整合与联动,其中的安全策略服务器是NAC方案中的管理与控制中心,兼具用户管理、安全策略管理、安全状态检查评估、安全联动控制以及安全事件审计等功能。 

    • 802.1x接入认证 

    图 5‑3 802.1x接入认证流程

    802.1x认证过程如下: 

    1) 用户在802.1x客户端输入用户名、密码,发起802.1x认证请求至园区交换机; 2) 交换机作为Radius客户端将用户名、密码发送到认证服务器进行Radius认证; 

    3) 认证服务器将携带VLAN或二三层ACL的Radius属性下发至园区交换机,根据用户认证结果控制其网络访问权限; 

    4) 用户获取IP地址,NAC客户端软件与策略服务器联动,按照预先定制的安全检查策略,对用户终端健康状态进行检查,检查不通过Radius COA下发VLAN或ACL,限制用户网络访问权限; 

    5) 用户通过802.1x身份认证和终端健康检查后,获取业务网络访问权限。  

    • 用户MAC认证 

    图 5‑4 MAC认证流程

    用户MAC认证过程如下: 

    1) 用户终端上电(无802.1x认证客户端),用户发起ARP或DHCP请求等报文; 

    2) 园区交换机收到用户终端的数据报文,触发Radius认证请求至认证服务器,根据MAC地址生成用户名和密码; 

    3) 认证服务器将携带VLAN或二三层ACL的Radius属性下发至园区交换机,根据用户认证结果控制其网络访问权限; 

    4) 用户获取IP地址,NAC客户端软件与策略服务器联动,按照预先定制的安全检查策略,对用户终端健康状态进行检查,检查不通过Radius COA下发VLAN或ACL,限制用户网络访问权限; 

    5) 用户通过802.1x身份认证和终端健康检查后,获取业务网络访问权限。  

    • 802.1X MAC旁路认证 

    图 5‑5 802.1x MAC旁路认证流程

    802.1x MAC旁路认证过程如下: 

    1) 用户终端上电,用户发起ARP或DHCP请求等报文; 

    2) 园区交换机先向用户终端发起EAP探测报文,如果用户终端已经安装802.1x认证客户端,则触发用户802.1x接入认证过程,否则进行MAC认证过程; 

    3) 认证服务器将携带VLAN或二三层ACL的Radius属性下发至园区交换机,根据用户认证结果控制其网络访问权限; 

    4) 用户获取IP地址,NAC客户端软件与策略服务器联动,按照预先定制的安全检查策略,对用户终端健康状态进行检查,检查不通过Radius COA下发VLAN或ACL,限制用户网络访问权限; 

    5) 用户通过802.1x身份认证和终端健康检查后,获取业务网络访问权限。   

    • WEB Portal认证 

    图 5‑6 WEB Portal认证流程

    WEB Portal认证过程如下: 

    1) 用户终端打开WEB页面,发起HTTP请求至园区交换机; 

    2) 园区交换机进行HTTP重定向,将用户的打开的WEB页面重定向至Portal服务器; 

    3) 用户访问WEB Portal页面,输入用户名和密码进行认证; 

    4) Portal服务器通过Portal 2.0协议将用户输入的用户名和密码信息发送给交换机,交换机到认证服务器进行Radius认证; 

    5) 认证服务器将携带VLAN或二三层ACL的Radius属性下发至园区交换机,根据用户认证结果控制其网络访问权限; 

    6) NAC客户端软件与策略服务器联动,按照预先定制的安全检查策略,对用户终端健康状态进行检查,检查不通过Radius COA下发VLAN或ACL,限制用户网络访问权限; 7) 用户通过802.1x身份认证和终端健康检查后,获取业务网络访问权限。  

     

    DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息,DHCP Snooping绑定表可以基于DHCP过程动态生成,也可以通过静态配置生成,此时需预先准备用户的IP 地址、MAC地址、用户所属VLAN ID、用户所属接口等信息。 

    园区交换机开启DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。 

    • 防ARP中间人攻击 

    图 5‑7 ARP中间人攻击防御

    Dynamic ARP Inspection (DAI)在交换机上基于DHCP Snooping技术提供用户网关IP地址和MAC地址、VLAN和接入端口的绑定, 并动态建立绑定关系。对于用户终端没有使用DHCP动态获取IP地址的场景,可采用静态添加用户网关相关信息的静态绑定表。此时园区交换机检测过滤ARP请求响应报文中的源MAC、源IP是否可以匹配上述绑定表,不能匹配则认为是仿冒网关回应的ARP响应报文,予以丢弃,从而可以有效实现防御ARP中间人/网关ARP仿冒欺骗攻击行为。 

     

    地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时,触发ARP miss,使网络设备给该网段下的每个地址发送ARP报文,地址不存在的话,还需要发送目的主机不可达报文。如果直连网段较大,攻击流量足够大时,会消耗网络设备较多的CPU和内存资源,可引起网络中断。 

    园区交换机支持IP地址扫描攻击的防护能力,收到目的IP是直连网段的报文时,如果该目的地址的路由不存在,会发送一个ARP请求报文,并针对目的地址下一条丢弃表项(弃后续所有目的地址为该直连网段的ARP报文),以防止后续报文持续冲击CPU。如果有ARP应答,则立即删除相应的丢弃表项,并添加正常的路由表项;否则,经过一段时间后丢弃表项自动老化。这样,既防止直连网段扫描攻击对交换机造成影响,又保证正常业务流程的畅通。 

    在上述基础上,交换机还支持基于接口设置ARP miss的速率。当接口上触发的ARP miss超过设置的阈值时,接口上的ARP miss不再处理,直接丢弃。 

    如果用户使用相同的源IP进行地址扫描攻击,交换机还可以基于源IP做ARP miss统计。如果ARP miss的速率超过设定的阈值,则下发ACL将带有此源IP的报文进行丢弃,过一段时间后再允许通过。 

    • 防MAC地址扫描攻击 

    以太网交换机的MAC地址转发表作为二层报文转发的核心,在受到攻击的时候,直接导致交换机无法正常工作。发生MAC地址攻击的时候,攻击者向攻击目标网络发送大量的源MAC地址不断变化以太报文,园区交换机收到以太报文会基于报文的源MAC学习填充二层MAC转发表项,由于MAC地址转发表的规格有限,会因为MAC扫描攻击而很快填充满,无法再学习生成新的MAC转发表,已学习的MAC表条目需通过老化方式删除,这样途径园区交换机大量的单播报文会因为按照目的MAC找不到转发表项而不得不进行广播发送,导致园区网络中产生大量的二层广播报文,消耗网络带宽、引发网络业务中断异常。 

    交换机二层MAC转发表是全局共享资源,单板内各端口/VLAN共享一份MAC转发表,华为园区交换机支持基于端口/VLAN的MAC学习数目限制,同时支持MAC表学习速率限制,有效防御MAC地址扫描攻击行为。MAC学习数目达到端口/VLAN上设置的阈值时,会进行丢弃/转发/告警等动作(动作策略可定制、可叠加)。另外通过园区交换机的MAC地址与端口绑定来限制跨端口的MAC扫描攻击。 

        1. 广播/组播报文抑制 

    攻击者不停地向园区网发送大量恶意的广播报文,恶意广播报文占据了大量的带宽,传统的广播风暴抑制无法识别用户VLAN,将导致正常的广播流量一并被交换机丢弃。园区网交换机需要识别恶意广播流量的VLAN ID,通过基于VLAN的广播风暴抑制丢弃恶意广播报文而不影响正常广播报文流量转发。可基于端口或VLAN限制广播报文流量百分比或速率阈值。 

    同时园区网交换机支持组播报文抑制,可基于端口限制组播报文流量百分比或速率阈值。  

      1. 园区网边界防御 规划设计
        1. 防火墙部署规划设计 

    图 5‑8 园区网防火墙功能部署

    企业园区网边界防御分为两个部分:园区出口边界防御、园区内部边界防御。 

    园区出口连接Internet和企业WAN网的接入,企业外部网络尤其Internet网络,是各种攻击行为、病毒传播、安全事件引入的风险点,通过在企业出口部署高性能防火墙设备、或者在核心交换机内置防火墙模块,可以很好的缓解风险的传播,阻挡来自Internet/企业外部网络攻击行为的发生。企业园区出口位置部署的独立防火墙设备(或核心交换机内置的防火墙模块),需要满足高性能、高可靠、高安全的要求,是企业园区网的第一道安全屏障。 

    园区内部边界防御是将企业内部划分为多个区域,分为信任区域和非信任区域,分别实施不同的安全策略,包括部署区域间隔离、受限访问、防止来自区域内部的DOS攻击等安却措施。建议通过汇聚交换机上集成防火墙模块(单板)来实现园区内部的边界防御功能。 

    园区网中防火墙功能无论是独立设备部署还是集成在核心/汇聚交换机内部,都必须支持灵活的业务流控制策略配置,能把特定的流量引到防火墙进行处理,其他流量进行旁路。 

    防火墙本身需要保证高可靠性,需要考虑防火墙的冗余设计,支持Active/Active HA 设计方式,即交换机内集成的多块防火墙板卡支持负载分担和主备模式,不同交换机内的防火墙支持Active/Active模式,同时能够处理流量。 

        1. 防火墙功能规划设计 

    网络隔离:能够对网络区域进行分割,对不同区域之间的数据流进行控制,通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数的检查,实现对数据流的精细控制,把可能的安全风险控制在相对独立的区域内; 

    包过滤:支持基于ACL的基本包过滤,支持基于FTP、HTTP等应用层协议包过滤(ASPF); 

    攻击防范:对常见的ICMP重定向/不可达、TCP SYN/ARP FLOOD、Land、Smurf、TearDrop、网络端口扫描、畸形报文、拒绝服务(DoS/DDoS)等攻击行为,能够提供有效的检测和防范措施。 

    NAT/PAT:支持园区外部公网地址到内部私网地址的代理转换,支持应用层网关ALG功能。  

        1. 防火墙性能选择 

    园区网防火墙的选择首先是安全防护能力,对于每秒新建连接数,并发连接数和吞吐量,ACL匹配速度,DDOS识别均要进行重点考察。 

    防火墙的性能主要取决于以下参数:  

    • 转发性能:从吞吐量方面考虑,决定设备的防护性能  
    • 并发连接数: 从数据流数目方面考虑,决定设备的防护性能  
    • 每秒新建连接数:决定单位时间的防护能力  
    • ACL匹配速度:决定规则匹配的可靠和性能 

    华为S93系列集成的防火墙单板在性能方面有突出的表现:  

    • 转发性能:每单板支持10Gbps (256Bytes)的吞吐量  
    • 并发连接数:每单板达到400万的并发连接 
    • 每秒新建连接数:每单板达到10万/,,同级别产品通常不足3万 
    • ACL匹配速度:采用智能匹配算法,万条匹配速度和单条速度一致,即ACL匹配动作不影响防火墙整体转发性能  

    华为S93系列交换机集成的防火墙模块,每单板支持8Gbps的转发能力,400万的并发连

    接,每秒钟15万的新建流速度;并且支持1K的虚拟化多实例。 

        1. 虚拟防火墙规划设计 

    企业内部不同的部门具备不同的安全属性,部门内部需要进行独自的安全区域划分、并应用不同的安全策略。如下图所示,可以通过防火墙支持虚拟化实现上述需求,一个物理防火墙对资源进行划分和隔离,分配给企业内不同的部门使用,虚拟防火墙直接互相独立,就好像独立物理的防火墙一样,进行独立配置和控制。 

    图 5‑9 虚拟防火墙设计

    总结一下,虚拟防火墙具备如下特征:  

    • 同物理防火墙一样独立管理、独立设置、每个虚拟防火墙专用的系统日志和攻击日志,以及每个虚拟防火墙的各种内部组件——例如独立路由表、转换数据库、ACL等  
    • 可通过VLAN划分园区网用户(PC机/服务器)属于那个虚拟防火墙  
    • 一台物理防火墙虚拟成多个逻辑防火墙,节省投资和维护成本  
    • 适合于大型企业园区各分支部门对防火墙相对独立使用和维护的场景 

     

        1. NAT规划设计 

    考虑到园区内网安全和企业公网地址缺乏等原因,会有一些企业选择通过采用私网IP地址来建设园区网,可以隐藏企业园区内部网络拓扑,需要在企业出口通过NAT设备进行IP地址转换。为了进行安全防护,NAT功能一般部署在防火墙设备上。NAT的应用一般主要有如下的应用场景: 

    1)  PAT方式 

    它通过使用“IP地址+端口号”的形式进行转换,使多个私网用户可共用一个公网IP地址访问外网,是地址转换实现的主要形式。 

    2) NAT Server方式 

    一般情况下,Internet/WAN上的用户,无法直接访问NAT后的私网地址服务器的; 但实际应用中,需要给公网用户提供一个访问私网服务器(如DNS服务器)的机会。 NAT Server方式就可以解决这个问题——通过静态配置“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系,NAT设备可以将公网地址“反向”转换成私网地址。 

    在部署NAT时,需要考虑应用级ALG, 因为通常情况下,NAT只改变IP报文头部地址信息,而不对报文载荷进行分析,这对于普通的应用层协议(如Telnet)来说,并不会影响其业务的开展;然而有一些应用层协议,其报文载荷中可能也携带有数据通道的地址或端口信息,若这些信息不能被有效转换,就可能导致问题。所以,NAT需要采用ALG机制处理多种应用层协议。 

    华为S9300交换机内置防火墙模块上的NAT功能, 支持上述企业园区网NAT需求,包括:  

    • 1对1的IP地址转换 
    • PAT方式的多对多的IP地址转换:每板地址池:1K,地址池中地址个数:255  
    • NAT Server功能,支持每板1K个Server 
    • ALG功能包括DNS、FTP、TFTP、ICMP、RTSP、SIP、QQ、MSN 等  
    • NAT多实例 

     

      1. 园区网出口安全规划设计

    随着现代社会网络经济的发展,企业日益发展扩大,办事处、分支机构以及商业合作伙伴逐步增多,如何将这些小型的办公网络和企业总部网络进行经济灵活而有效的互联,并且与整个企业网络安全方案有机融合,提高企业信息化程度,优化商业运作效率,成为企业IT网络设计亟待解决的问题;大量普及的SOHO网络、小型办公网络、智能家居网络也越来越注重接入的便捷性和网络安全性。 

    图 5‑10 园区网出口安全设计

     企业园区网出口设备是企业内部网络与外部网络的连接点,其安全保证能力非常重要,企业在信息化的过程中面临核心技术、商业机密泄密等信息安全问题,VPN技术是企业传输数据非常理想的选择,因为VPN技术正式是为了解决在不安全的Internet上安全传输机密信息,保证信息的完整性、可用性以及保密性,包括IPSec VPN和SSL VPN。企业办事处、分支机构以及商业合作伙伴如果采用主机VPN客户端接入企业总部网络,那么分之机构网络中的每个主机需要单独拨号接入,VPN接入不可控造成内部网络安全隐患,同时也大量消耗企业总部VPN网关隧道资源;如果采用单独的VPN网关与企业总部网关建立VPN隧道,又面临投资过大的问题。需要有效解决企业分支机构VPN接入灵活性、安全性和经济性之间的矛盾。 

    园区出口设备形态推荐:  

    • 接入路由器 

    针对企业办事处、分支机构、商业合作伙伴以及SOHO办公、智能家居等园区网络要求,采用华为SRG列业务路由网关(SRG1210/1220/2210/2220等多款产品)或AR系列接入路由器(AR18/28/46、AR19/29/49)作为园区网出口设备,集路由、交换、无线与数据安全于一体,能够提供灵活的宽带接入、WLAN解决方案、3G无线上网、NAT/PAT地址转换、攻击防范、状态检测等特性,全面满足客户自由安全联网需求。 

    • 交换机 

    针对部分小型园区网,可采用华为S9300交换机作为园区出口设备,考虑到降低设备投资成本,园区出口设备和核心交换机可以合一,通过S9300的WAN接口板提供POS/GE/10GE等广域网接口与企业外部网络互联,同时S9300作为园区核心交换机,下连各个汇聚交换机,S9300通过增值业务单板提供IPsec VPN和SSL VPN,满足企业分支机构安全互联以及企业员工或外部访客远程访问园区网的需求。 

     

     

    1. 园区网络网管系统方案规划设计 
      1. 网管系统概述 

    网管系统 提供了“无缝式IT运维管理”功能,其系统架构清晰,采用模块化的设计理念,各功能模块既可独立运行、松散耦合;亦可整体功能无缝衔接覆盖整个业务系统,灵活的自由组合真正实现个性化的IT无忧运维。 

    网管系统主要由网络管理、流量管理、认证计费等几个产品组成。 

    • 网络管理:实现了对交换机、路由器、防火墙等设备的全方位管理,提供了丰富的拓扑、配置、资产、故障、性能、事件、流量、报表等网络管理功能。 
    • 流量管理:提供网络流量监测、流量门限、协议分析、Web上网行为审计等功能。结合NetFlow网络流量分析器实现更为细化、便捷的全网流量分析功能。 
    • 认证计费:提供灵活多样的计费策略,支持多种认证方式,满足组性化的用户管理,实现多样化的控制策略。  

    通过网管系统模块可以实现对IT资源的全面、可视化、统一管理。 

    图 6‑1 企业网网管系统组件

      1. 系统优势介绍 

    多角度管理: 

    • 面向基础设施:提供全面的IT资源管理,实现对网络、主机、存储设备、安全设备、数据库、中间件及应用软件等IT资源的全面监控和管理;同时对网络和业务应用等IT资源的性能进行监控,定期性能报表和趋势报表,为IT系统性能优化提供科学依据。 
    • 面向维护管理人员:将人、技术与流程进行有效地融合,实现日常运维工作的自动化、信息化和标准化,实时展现当前企业IT系统的运行状态及趋势,帮助管理人员快速定位问题,修复故障,保障业务系统的稳定性,知识库能降低IT运维管理对个人的依赖。 
    • 面向领导决策者:可及时汇总系统运行状态信息,帮助领导全面了解IT系统状况和趋势,为其提供科学依据。同时可借助自动生成的多种工作记录,实现对运维人员的绩效考核,提高团队技术水平,建立以客户为中心的运维模式,提供低成本、高质量的IT服务,提高客户满意度 
    • 立体化分级管理:可根据不同用户的组织结构、地理分布及业务关系,实施跨地域、层次化的统一管理模式,使责权管理更加明确,拓扑图更加清晰,提高系统的工作效率;

    主动预警: 

    • 对网络关键设备设置相关阈值,当达到范围时,自动产生告警,并执行事先设置动作。
    • 内置解释器,告警信息可按指定方式进行解释,更加明白易懂。 
    • 支持声音、邮件和手机短信等多种告警方式,确保信息通知到相应负责人; 

    资产生命周期管理: 

    • 从运维的角度对IT资产进行管理,包括相关配置、使用年限、维修记录等。 
    • 全程跟踪记录IT设备的使用周期,包括入库、领用、使用负荷和报废等。 
    • 减少设备流失,提高设备利用率,以最少的资金投入带来最大的回报; 

    易于使用:操作简单方便,拓扑图支持全屏显示、局部放大镜、延时拖动、鹰眼、拖动图标无极缩放等丰富的操作功能,并支持任意层次的拓扑结构划分; 

    易于部署:无需在被监测信息系统、服务器上安装任何代理软件,只需将系统安装在一台管理机上,即可自动进行监测和管理,同时对现有系统性能影响甚微,不会改变现有系统的应用配置,便于安装实施、维护使用。 

    易于定制:提供了灵活的Web方式的客户化定制、发布工具,可对软件界面呈现及风格、数据库表、对象属性和方法进行灵活配置和定制,以满足用户特定的业务需求;提供了丰富的扩展和开发接口,可以快捷的集成各种管理工具,可以快速将各类IT资源纳入到系统管理范围内,加入到IT服务管理的流程中;此外,可视化的客户定制工具可以支持用户灵活定义和调整流程,以支持组织架构和流程的变化和发展。 

    自动搜索网络、发现网络节点,包括:网络设备、服务器、打印机、PC主机及VLAN等,并基于网络的二层连接关系构建物理拓扑。 

    • 故障智能预测与分析 

    通过实时的网络运行监测,Apex U2810可智能分析和预测潜在故障,并根据告警程度的不同发送警报。 

    • 智能阈值技术 

    能为每一个IT资源监控项给出科学的差异化阈值设置指导,并可随着时间段和业务量的变化进行动态调整。 

    • 网络拓扑快速全面 

    可快速全面的呈现网络拓扑结构,自动发现网络及其承载的服务,并支持多种协议。 

    • 支持分布式管理 

    支持多用户,多角色,IT运维人员,决策人员,不同角色有不同权限,不同区域级别也有不同权限。 

    • 多维度监控 

    支持从路由、设备、终端、流量、故障等方面多角度、细颗粒度地监控、管理整个IT网络。  

    NetFLow Analyzer能分析园区网交换机和出口路由器等设备中导出的Netstream数据。它支持标准的的操作硬件,支持Windows和Linux环境,易于部署易于操作,且无需广泛培训。 

    • 深入的流量分析 

    无需使用硬件探针或其他设备,NetFlow Analyzer能简单有效地执行流量分析。除了设置路由/交换设备导出NetFlow数据到NetFlow Analyzer,不需要其它的配置。 

    • 全面显示流量信息 

    NetFlow Analyzer通过NetFlow数据能呈现占用带宽最多的应用、主机和会话。要了解高峰时间的使用和历史趋势,该信息就显得非常重要。此外,从长期来看这些信息还可用于带宽容量规划和巩固安全策略。 

    • 高效的带宽利用 

    在多数企业中,对带宽不加管理将导致在高峰时间不重要的应用具有高于重要应用的优先级。NetFlow Analyzer中的带宽报表准确地显示了哪些应用在高峰时间使用带宽,并深入分析使用这些应用的主机。这将有助于控制带宽使用并加强企业安全策略。 

    • 灵活的设备管理 

    NetFlow Analyzer可以将NetFLow输出设备分组到不同的组别,以便进行针对性监控,以及向用户授予访问权限。利用NetFlow Analyzer中的设备分组,就可以专门管理某组导出NetFlow数据的设备,您可以将操作员指派到不同的组,监控带宽利用情况,以及查看针对每个设备组的流量模式。  

    • 降低运维成本 

    NetFlow Analyzer通过简化管理任务以降低成本。比起分析数据包需要许多时间分析结果并得到结论,故障诊断只需要相当少的时间。带宽报表以及深入分析选项使得流量分析更加快速有效,从而高效地使用企业的重要资源。  

    • 高效的报表,易于趋势分析 

    NetFlow Analyzer提供了丰富的带宽报表,便于分析流量的相关信息。通过查看不同时段的流量模式,NetFlow Analyzer显著简化了趋势分析过程。NetFlow Analyzer具有30多种不同的图表和报表,并带有能深入分析特定明细的选项,便于用户直接访问重要的信息。用户可以在线查看不同时段的图表,并将其输出为PDF格式。   

    • 完全基于Web 

    NetFlow Analyzer完全基于web,因此只需一个web浏览器就可以从网络中的任何位置跨WAN链接轻松查看流量报表。 

     

    集成实时计费、业务管理和客户管理,提供各种应用的运行和管理、计费平台  

    • 先进宽带运营理念的载体  
    • 基于用户的全方位管理控制手段  
    • 支持多种接入认证方式: 
    • 802.1x、
    • WEB、
    • PPPoE、
    • RADIUS认证 
    • 多层次计费策略: 
    • 针对储值卡、充值卡有效期设置; 
    •  支持交费送免费用量设置; 
    • 提供信用额功能,允许用户超支部分用量; 
    • 支持预付费、后付费方式; 
    • 支持月结、即用即结、先付后用、包日等结算方式; 
    • 支持期限用户,即按每月固定月租,开通日开始计费,服务结束日自动停机,可以续交费,计费开始日自动按续费日开始计算;  
    • 支持月结延迟停机,在线催费;  
    • 支持开机停机预受理; 
    • 灵活的控制策略: 
    • 用户每日上网时段控制;  
    • 目标地址控制过滤策略;  
    • 目标端口控制策略;  
    • 源地址控制策略; 
    • 每日或每月上网时间和流量上限控制策略;  
    • 完整的登录记录、访问记录;  
    • 完整的设备运行日志 

     

      1. 网管系统部署 
        1. 集中式网管系统部署 

    图 6‑2 集中式网管系统部署

    硬件推荐配置: 

    软件推荐配置:

     

        1. 分布式网管系统部署 

    系统可以通过将网管服务和数据库分离,降低数据库系统和网管服务器在高负荷状态下的相互影响。目前可将网管服务器和南向接口服务器分离。一方面可以降低南向接口承受的通信压力对网管服务器造成的影响。另外,对于大规模的网络,通过部署多个南向接口服务器,可以提高通信效率,降低单点失效造成的全网无法管理的风险。 

    网络管理系统均部署在一台中心服务器(以下简称Apex中心服务器)上,并通过PlusWell HA Cluster做集群。数据库服务器单独部署一台服务器,流量分析单独部署一台服务器,网络管理的二级系统部署在一台二级服务器上,分布在各个分支机构,可已经根据网络规模的不断增长灵活扩容。 

     

    图 6‑3分布式网管系统部署

    硬件推荐配置:

     

    软件推荐配置:

     

    1. 园区网络设备介绍 
      1. 园区汇聚/核心交换机 Quidway S9300

    Quidway® S9300系列运营级园区汇聚交换机是由华为公司自主开发的新一代高性能核心路由交换机产品,提供大容量、高密度、模块化的二到四层线速转发性能,具有强大组播功能,完善的QoS保障、有效的安全管理机制和电信级的高可靠设计,满足高端用户对多业务、高可靠、大容量、模块化的需求,降低运营商的建网成本和维护成本,可广泛应用于构建各种类型型园区网核心层和汇聚层交换机,对于接入交换机性能和接口密度要求高的某些大型园区网,也可使用S9303/S9306系列交换机作为接入交换机使用。 

    图 7‑1 S9300系列交换机

    产品特点 

    • 先进体系结构,高性能,配置灵活 

    S9300系列交换机采用先进的全分布式体系结构设计,采用业界最新的硬件转发引擎技术,所有端口支持的业务能够线速转发,业务包括IPv4/MPLS/二层转发等。支持ACL线速转发。 

    S9300系列交换机实现组播线速转发,硬件完成两级复制:交换网板复制到接口板和转发引擎复制到接口。 

    S9300支持2Tbps交换容量,支持多种高密度板卡,满足核心、汇聚层设备大容量、高端口密度的要求,可以满足用户日益增长的带宽需求,能够极大的保护和节约用户投资。 

    S9300设备的性能规格参数:  

     

    S9312 

    S9306

    S9303

    交换容量

    1/2Tbps

    1/2Tbps

    288Gbps

    背板容量

    4.8Tbps

    2.4Tbps

    1.2Tbps

    用户接口容量GE(48GE/槽位)

    576GE

    288GE

    144GE

    用户接口容量10GE(48 10GE/槽位)

    64 10GE(线速)

    288  10GE(4:1收敛)

    144 10GE(4:1收敛)

     

    • 完善的安全机制 

    S9300系列交换机支持OSPF、RIP v2 及BGP v4 报文的明文及MD5密文认证,支持安全的SSH登陆、命令行分级保护、基于用户安全策略的SNMP V3、DHCP Snooping、IP Source Guard、DAI(Dynamic ARP Inspection)、层次化CPU通道保护,并提供以下几种用户认证方式:本地认证、RADIUS和HWTACACS认证。 

    支持防网络风暴攻击、防DOS/DDOS攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术。 

    • 全面的可靠性 

    链路汇聚:S9300系列交换机最大支持128个汇聚组,每个汇聚组内支持最多8个成员端口,支持跨单板端口间的汇聚。 

    支持DLDP(Device Link Detection Protocol,设备连接检测协议):可以监控光纤或铜质双绞线的链路状态。如果发现单向链路存在,DLDP会根据用户配置,自动关闭或通知用户手工关闭相关端口,以防止网络问题的发生。 

    支持RRPP及多实例:相比其他以太环网技术,RRPP具有以下优势――拓扑收敛速度快,低于50ms。收敛时间与环网上节点数无关,可应用于网络直径较大的网络。 

    支持标准STP/RSTP/MSTP二层环网保护协议 

    支持SmartLink及多实例 

    支持BFD for 单播路由/VRRP/FRR/PIM 

      1. 园区接入交换机 
        1. Quidway  S5300系列交换机 

    产品特点: 

    • 大带宽、高性能 

     

    • 强大的组播功能 

     

    • 运营级高可靠性 

     

    • 卓越的安全特性 

     

    • iStack功能 

     

    • 支持IPv6功能
    更多相关内容
  • 园区网络生命周期6个阶段

    千次阅读 2020-07-11 21:41:23
    一般来说,网络生命周期至少应该包括网络系统的构思和计划、分析和设计、运行和维护的过程。网络系统的生命周期与软件工程中的软件生命周期非常类似,首先它是一个循环迭代的过程,每次循环迭代的动力都来自于...

    一个网络系统从构思开始,到最后被淘汰的过程成为网络生命周期。

    网络系统生命周期

    一般来说,网络的生命周期至少应该包括:网络系统的构思和计划、分析和设计、运行和维护的过程。网络系统的生命周期与软件工程中的软件生命周期非常类似,首先它是一个循环迭代的过程,每次循环迭代的动力都来自于网络应用需求的变更。其次,每次循环变更过程都存在需求分析、规划设计、实施调试和运营维护等多个阶段。
    每一个迭代周期都是网络重构的过程,不同的网络设计方法,对迭代周期的划分方式是不同的,拥有不同的网络文档模板,但是实施后的效果都满足了用户的网络需求。

    常见的迭代周期有三种:

    1.四阶段周期

    在这里插入图片描述

    2.五阶段周期

    按照这种流程构建网络,在下一个阶段开始之前,前一阶段的工作已经完成,一般情况下,不允许返回到前面的阶段,如果出现前一阶段的工作没有完成就开始进入下一个阶段,则会对后续的工作造成较大影响,甚至引起工期拖后和成本超支。按照这种流程构建网络,在下一个阶段开始之前,前一阶段的工作已经完成,一般情况下,不允许返回到前面的阶段,如果出现前一阶段的工作没有完成就开始进入下一个阶段,则会对后续的工作造成较大影响,甚至引起工期拖后和成本超支。
    这种方法的主要优势在于所有的计划在较早的阶段完成,系统的所有责任人对系统的具体情况以及工作进度都非常清楚,更容易协调工作。

    3.六阶段生命周期

    在这里插入图片描述六阶段生命周期偏重于网络的测试和优化,侧重于网络需求的不断变更;由于其严格的逻辑设计和物理设计规范,是的这种模式适合于大型网络的建设工作。

    展开全文
  • 本节书摘来异步社区《CCNP SWITCH (642-813 )学习指南》一书中的第1章,第1.3节,作者: 【美】Richard Froom , Balaji Sivasubramanian , Erum Frahim 译者: 田果 ...1.3 使用PPDIOO生命周期法来设计并实施网络 ...

    本节书摘来异步社区《CCNP SWITCH (642-813 )学习指南》一书中的第1章,第1.3节,作者: 【美】Richard Froom , Balaji Sivasubramanian , Erum Frahim 译者: 田果 , 刘丹宁, 更多章节内容可以访问云栖社区“异步社区”公众号查看。

    1.3 使用PPDIOO生命周期法来设计并实施网络

    CCNP SWITCH (642-813 )学习指南
    PPDIOO表示准备(Prepare)、规划(Plan)、设计(Design)、实施(Implement)、运营(Operate)和优化(Optimize)。PPDIOO是Cisco生命周期法,它持续发展的生命周期定义了网络所需的各项服务。

    1.3.1 PPDIOO的阶段

    PPDIOO分为如下阶段。

    • 准备(Prepare):准备阶段的工作内容包括确定企业需求、制定网络策略、提出高层次的概念性架构,并指出能够为该架构提供最佳支持的技术。相关人员可以在准备阶段针对所提架构进行商业个案评估,从而建立财政解释(Financial Justification)。
    • 规划(Plan):相关人员需要在规划阶段根据目标、设备、用户需求等因素,确立初始网络需求。规划阶段还包括描述每个站点的特征、评估所有现存的网络、执行缺口分析(Gap Analysis),从而确定当前的系统架构、站点和运营环境是否能够支持准备阶段提出的系统架构。项目规划有助于相关人员对任务、责任、重要里程碑和所需资源进行管理,并将其落实到网络变更过程中。相关人员应该在项目规划中对原始业务需求中确立的范围、开销和资源进行进一步确认。
    • 设计(Design):在设计阶段,网络设计专家会根据规划阶段确立的初始需求,展开设计作业。网络设计细则是一份综合详实的设计方案,它需要满足当前的业务需要和技术需求,还包含了可用性、可靠性、安全、可扩展性以及性能支持方面的说明。设计细则是网络实施行为的基础。
      实施(Implement):在实施阶段,相关人员会根据设计细则来建设网络,并将其他组成部分融合到网络中。网络细则的目标是在不影响现有网络运营且不造成安全漏洞的前提下,将设备集成到网络中。
    • 运营(Operate):运营阶段是相关人员对网络设计的适合程度进行最终测试的阶段。运营阶段就是通过日常运营来维护网络的健康状态,日常运营工作包括维持网络的高可用性并减少网络花费。日常运营工作中出现的故障检测、修复和性能检测,可以为优化阶段提供第一手的数据。
    • 优化(Optimize):相关人员需要在优化阶段对网络进行主动管理。主动管理的目标是在各类问题对企业网产生影响之前,发现问题并解决问题。当主动管理无法预测并缓解故障时,则需要反应式故障检测和修复(排错)。在PPDIOO进程中,如果网络中出现了大量问题和错误、网络性能没有达到预期效果,或者找出了新的应用来支持企业需要和技术需求,那么相关人员就可以在优化阶段重新对网络进行设计。

    注意:

    尽管设计仅占了6个PPDIOO阶段之一,但有些设计元素贯穿了全部阶段。此外,管理员需要把这6个PPDIOO阶段当作一个模型或框架,而没有必要严格依照定义来使用它。

    使用生命周期法的优势
    除了保持设计过程有条不紊的进行,网络生命周期法还提供了一些重要优势。在园区网设计中应用生命周期法的主要原因如下所示。

    • 降低网络的总拥有成本。
    • 增加网络的可用性。
    • 提高业务的灵活性。
    • 快速访问应用和服务。

    在当今的企业环境中,网络的总拥有成本显得尤为重要。企业管理者都希望能够降低企业的IT开支。不过适当的网络生命周期法可以通过下列行为,有效地减少网络成本。

    • 指出技术需求,并验证其有效性。
    • 规划基础设施的变更需求和资源需求。
    • 根据技术需求和企业目标,制定完善的网络设计方案。
    • 加速成功的实施过程。
    • 提高网络的效率,并且提高为网络提供支持的工作人员的效率。
    • 通过增加运营进程和工具的效率,从而减少运营成本。

    网络的可用性永远是企业网的头等大事,网络停机的时间可能导致企业收益的损失。下面举出两个案例来说明网络停机带来的经济损失:比如当突然减息时,网络停机而无法进行市场交易;或者比如在黑色星期五(随感恩节而来的购物日),由于网络停机而无法进行信用卡交易。而网络生命周期法可以通过下列行为,增强网络的高可用性。

    • 分析网络的安全状态及其支持所提设计方案的能力。
    • 指定合适的硬件和软件版本,并确保它们既可以正常工作,又不至于过时。
    • 提出合理的运营设计方案,并验证网络的运营情况。
    • 在部署前,对提出的系统分阶段并对其进行测试。
    • 提升工作人员的技能。
    • 主动监测系统,并分析可用性趋势情况以及告警情况。
    • 主动识别安全漏洞,并定义补救规划。

    企业需要快速地应对经济的转变。快速响应能够为企业带来其他企业所不具备的竞争优势。网络生命周期法可以通过下列行为,为企业带来灵活性。

    • 建立企业需求和技术战略。
    • 使站点做好准备,以便它能够支持管理员希望部署的系统。
    • 将技术需求和企业目标集成到详尽的设计方案中,并且证明网络可以实现指定的功能。
    • 熟练安装、配置和集成系统的各个组成部分。
    • 持续增强网络性能。

    在生产环境中,网络应用和服务的可访问性至关重要。网络生命周期法可以通过下列行为,来加速网络应用和服务的访问速度。

    • 评估并改善运营准备工作,以便为当前和规划中的网络技术及服务提供支持。
    • 通过增强可用性、资源能力和性能,来提高服务交付的效率和效益。
    • 增强网络及在网络上运行的各类应用的可用性、可靠性和稳定性。
    • 管理并解决影响网络系统的各类问题,并保持软件应用不会过时。

    注意:

    本书内容着重于使用PPDIOO建设企业园区网过程中的准备阶段、规划阶段和设计阶段。

    1.3.2 网络实施的规划

    实施规划文档写的越详细,成功实施该规划的可能行也就越大。设计者通常得在实施规划中写出综合的实施步骤,从而使其他工作人员无需询问设计者,就能够根据这份完善的详细实施步骤完成网络的实施行为。在实际工作中,大多数大型企业的设计工程师几乎不会写出部署新设计方案的每一个步骤。而是由网络运营或实施工程师根据实施规划,来部署新的设计方案。

    此外,相关人员在实施设计方案时,就算已成功进行了试点或雏形网络测试,仍必须考虑到失败的可能性。因此相关人员需要为每个步骤定义完善且简单的测试流程,还需要定义返回初始步骤的流程,以防在初始步骤中就有问题。

    注意:

    最佳做法建议相关人员将实施步骤列在表格中,并与同事共同查看这些步骤。

    1.实施的组成部分
    网络设计方案的实施由几个阶段构成(安装硬件、配置系统、投入生产等)。每个阶段由一些步骤组成,每个步骤应该包含(但不仅仅包含)以下文档。

    • 步骤描述。
    • 参考设计文件。
    • 详尽的实施准则。
    • 预估实施所需的时间。

    2.汇总的实施规划
    表1-3提供了一个实施规划案例,该案例是要将用户迁移到新的园区网交换机上。各个企业间的实施步骤可能差别很大。实际工作中则可能为了满足企业的需求,使实施规划在外观和感觉上与案例截然不同。


    b3


    在这里对每个实施阶段中的每个步骤进行了简短的描述,并给出可以参考的细节实施规划,相关人员从那里可以获得更为详尽的实施信息。细节实施规划中的每个小节应该描述了完成每个阶段所需的严格步骤。

    3.详细的实施规
    详细的实施规划中应描述了完成实施阶段所必需的每个步骤,并且还必须包括工程师在实施规划的过程中,所要进行的确认和检查步骤。下面通过一个案例来描述网络实施规划。

    6.2.4.5小节“在新园区网交换机上配置第2层接口(比如VLAN)、STP和QoS”

    • 交换机数量:8。
    • 物理端口与VLAN的映射关系,参考1.1节。
    • 使用4.2.3小节的配置模板来实施VLAN配置。
    • 物理端口与生成树配置的映射关系,参考1.2节。
    • 使用4.2.4小节的配置模板来实施生成树配置。
    • 物理端口与QoS配置的映射关系,参考1.3节。
    • 使用4.2.5小节的配置模板来实施QoS配置。
    • 预计每台交换机的配置时间为30分钟。
    • 由另一位工程师来检查有无更好的配置方式。

    这一小节着重强调了PPDIOO的关键概念。尽管本节的主题不涉及技术,但这里强调的最佳做法会对任何网络设计和实施规划大有帮助。规划不善往往会导致实施失败。当今网络对于企业的运营至关重要,因此需要相关人员对其进行有效规划。因此,复习并使用Cisco生命周期法将会大大提高任意网络实施的成功率。

    展开全文
  • 数字化智慧园区建设方案

    千次阅读 2019-03-19 11:40:59
    适用于:所有云平台,包括但不限于Azure, 阿里云,AWS 问题症结 你的本地机器或者远程机器, 只有一方安装了远程桌面CredSSP漏洞补丁。并且这台安装了补丁的机器,禁止不安全的远程桌面连接。 背景 远程桌面...

    一、  园区发展现状



    (一)园区发展现状

    现状:智慧园区项目大部分仍处于招商建设阶段。项目现有资源和服务能力有限,缺少健全的市场机制对接,难以全面兼顾、维系企业的发展需求。同时,在信息化建设方面,无法有效对园区智能化应用进行及时监管,园区企业及人才在服务过程中缺少统一的运营服务管理平台,无法面向用户提供线上线下一体化服务,服务过程缺少监管、服务质量无法及时保障等问题,容易出现用户体验不佳、使用不便的现象。

    存在问题:园区的现有生活配套设施较为欠缺,公共服务配套保  障仍需要加强建设,缺乏整体运营服务策划,虽有多项服务内容,但 无统一理念而不成体系,同时需进一步加强与园区企业、人才、商户、 居民各要素间的关联互动,以园区企业的共性需求和个性需求为导向, 构建以客户为中心的运营服务体系;抓住全球产业园区发展的前沿, 融入物联网、大数据、云计算和人工智能等新兴技术,实现对园区能 耗系统、一卡通系统、停车场系统的实时监测及有效管理,从多方面 提升园区人气,实现资源最大化利用,塑造创新中心的品牌传播力、渗透力和影响 力。



    (二)项目需求分析

    根据创新中心的建设现状,初步分析对项目建设的需求如下:

    1. &bsp; 实时监测、动态控制园区的基础设施设备的需求

    优化及完善园区智能化基础设施,充分利用智能化技术及智能化 手段,使得园区设施管理、动态运行监控、智能化运行维护、自动应 急指挥处置等全方位综合管理能力得到有力提升,实现园区绿色运维。

    如智慧能耗监测,实时掌握、统计园区各公共区域及企业水电消

    耗情况,节省人力成本的同时,减少能耗浪费。

    如智慧停车场,通过无卡识别、地磁管理、自动探测等技术实现地下、地面停车场的智能管理(空余车位、自动导航、反向寻车、在线缴费等),并结合智慧园区管理平台,形成多个停车场分布式部署, 一体化管理。一方面降低园区运营管理成本,另一方面增加园区运营管理的收益。

    1. &bsp; 集合各子系统,统一对内、对外智慧平台的需求

    以园区为载体将资源整合起来,以技术进步取代传统的线下服务方式,将管理方、企业、员工及办事群众的诉求全面整合移动端,通过统一平台,将人才与企业、人才与人才、企业与人才各种服务的提供方和应用方联系在一起,从一个轻便的平台入口,链接无限的服务与资源,让企业及员工通过移动终端设备随时随地使用园区服务,使得服务网络变的更加实用和便捷。


    1. &bsp; 搭建园区运营服务体系、优化服务流程的需求

    园区应围绕“以人为本、资源整合、绿色高效、智慧运营”的核心理念,搭建园区运营服务体系,优化迭代,整合创新中心的优势服务资源,进一步强化园区对主导产业的各类型企业的吸引力,在园区配套专项的产业配套政策,通过财政拨款奖励和政务便利服务,鼓励企业快速入驻园区,并伴随企业业务与规模的不断发展,实施梯度化的鼓励政策,从而提升入驻企业满意度,塑造园区品牌竞争力,实现园区可持续发展。



    (三)园区发展建议

    以服务园区企业的功能定位,充分体现服务创新、服务配套创新, 通过平台实现园区管理、服务资源整合,以平台作为园区企业的服务窗口,面向企业提供企业管理和经营活动的高效、便捷、优质和全方

    位服务。同时,通过平台整合各类优质服务资源,进一步丰富园区的产业资源与服务能力,以服务平台的方式完成共享资源的整合,从而形成创新能力和创新网络,打造企业发展的全链条服务,促进园区企业的聚集发展,帮助企业提升管理效率、降低经营成本。



    (四)项目需求分析

    智慧园区的建设不仅是科学技术发展的必然,信息化、智能化、智慧化在给园区带来管理的重大进展的同时,也给园区内居住和工作的人员带来了生活方式的巨大变革。



    1. 运营管理需求
    1. 实时了解园区运营动态,高效开展运维工作的需求

    通过智慧指挥中心,实时查看园区运营情况,合理分配各岗位人员,并可根据需要随时调取园区各位置视频监控等,实现园区智慧运维。


    1. &bsp; 实时监测、动态控制园区的基础设施设备的需求

    优化及完善园区智能化基础设施,统筹规划,有效关联,支撑决策, 实现园区绿色运维。如智慧停车场,通过无卡识别、地磁管理、自动探 测等技术实现地下、地面停车场的智能管理(空余车位、自动导航、反 向寻车、在线缴费等),一方面降低园区运营管理成本,另一方面增加园 区运营管理的收益。


    1. &bsp; 通过智能数据分析,优化园区运营管理的需求

    通过数据分析、用户分类,服务精准细分,不断优化及完善园区运营服务体系,运营服务流程,真正帮助园区企业及商家降低经营及管理成本,实现共赢。


    1. 集合各子系统,统一对内、对外智慧平台的需求

    统一平台管理,从一个轻便的平台入口,链接无限的服务与资源。

    一方面便于园区运营管理工作的高效开展,另一方面通过统一智慧平台,向园区用户提供工作、生活有关的系列应用与服务。


    1. 园区线上、线下资源整合,优化资源配置的需求

    以园区为载体将资源整合起来,让人才与企业、人才与人才、企业与人才各种服务的提供方和应用方联系在一起,创造共享经济,让专业的人做专业的事,从而建立关联共享的生态圈。


    1. 高效组织、管理园区企业、商户、人员的需求

    以智慧园区平台为基础,建立园区企业、商户、人员数据库,统一权限设置,统一认证管理,园区物业管理、活动组织等信息即时推送,及时反馈,形成园区运营管理方与用户的高效互动机制。



    1. 运营服务需求
    1. 搭建园区运营服务体系、优化服务流程的需求

    园区应围绕“以人为本、资源整合、绿色高效、智慧运营”的核心理念,搭建园区运营服务体系,优化迭代,提升入驻企业满意度, 从而塑造园区品牌竞争力,实现园区可持续发展。


    1. 基础物业服务线下线上一体化需求

    基础物业服务需求是园区运营服务需求频次最高的一项,可优先实现线上线下一体化,增强园区用户的体验性。同时,园区管理方可为园区用户提供办公环境服务、空间共享服务,力行绿色共享经济的同时,增加园区运营收益。


    1. 园区企业、人才政务绿色通道服务需求

    园区作为政府与企业、政府与人才之间的桥梁,应积极为园区企业、人才谋福利,设立园区智慧平台“政务服务”模块,为园区企业、人才提供绿色服务通道。


    1. 创新孵化服务、产业协同发展的需求

    园区应充分发挥产业集群优势,打通产业链条。围绕园区主导产业提供孵化、加速等相关投融资、商业辅导、知识产权、资源对接等服务,促进成果转化,协同产业发展。


    1. 满足园区企业多元化增值服务需求

    园区可充分发挥集约效应,打造企业“非核心业务外包”模式, 搭建良好的软硬件服务环境,让企业专注核心业务,降低经营成本。


    1. 满足园区人员基本生活及休闲娱乐需求

    打造以人为核心的人才关爱服务体系,通过建设从生活到商务、 休闲一体化的基础设施平衡人才工作与生活的需求;通过整合服务资源,

    “本地服务线上化,周边服务本地化”,提升园区便捷服务、随心畅想的体验感,帮助人才获得快速成长的工作环境以及提升入驻园区的企业核心竞争力。



    二、 项目建设总则


    (一)建设原则

    智慧园区建设过程中必须把握以下原则:


    1. 统筹规划、集约建设原则

    智慧园区的建设体系庞大、技术复杂,涉及众多业务部门,建设 必须按照统一部署,统一规划、分步实施;各相关部门要坚持协同工作、职责明确、密切配合,充分发挥积极性和主动性,共同推进项目建设。


    1. 体系建设与应用并重原则

    坚持智慧园区体系建设与应用并重,以需求为导向、以应用促建设, 在建设先进、可靠、高性能的信息平台基础上,实现建设与应用的双促 进,充分发挥地理信息资源开发应用的经济效益和社会效益。


    1. 统一标准、资源共享原则

    智慧园区在建设工程中必须坚持标准化,制定统一的信息资源标准、规范、框架,遵循统一的标准和规范,适应园区总体信息化框架, 促进网络资源和信息资源的整合、共享与利用,形成动态采集、集中管理,多方共享的工作机制,,避免形成信息孤岛,确保信息数据能够与各级政府部门资源数据交换奠定基础。


    1. 整体规划、分步实施原则

    注重智慧园区顶层设计和整体规划,在规划指引下,突出重点、以点带面、分步实施、逐步深入,不断增强实施应用效果,统筹推进各行业、各领域、各产业的信息化协调发展。



    (二)建设目标

    通过智慧园区的建设,帮助园区建立统一的组织管理协调架构、业务管理平台和对外服务运营平台;建立统一的工作流程,协同、调度和共享机制,通过云平台的整合,以云平台为枢纽,形成一个紧密联系的整体,获得高效、协同、互动的整体效益;建立统一的应急管理与日常管理体系、对内与对外服务体系。


    1. 实现园区智慧化管理

    利用新技术、新理念、新思路来提升园区管理的智慧化水平。以智能化、信息化的手段协助智慧园区提升园区的管理效率,推进全面的园区管理、高效的电子政务、便捷的公共服务,有效减低企业的社会运营成本,全面提升智慧园区的整体竞争力。


    1. 完善的服务体系,助力园区产业转型升级

    利用各种智能化、信息化应用帮助智慧园区产业实现生产方式、经营模式及运营方式的转变。通过智慧的基础设施、智慧的政府服务、智慧的公共服务体系及智慧的产业服务体系,为企业提供优良的创新、发展环境,消除企业发展的后顾之忧,并适时的为企业发展提供各种

    支持,增强园区内企业核心竞争力,提升企业的生产效率,实现转型升级,并以智慧园区为核心形成产业链的有效聚合。


    1. 改善园区办公、生活软性环境

    通过各种智能化、信息化应用为智慧园区的日常办公、生活等各个方面提供周到、方便、安全、贴心的信息化服务,实现供水排水、绿色建筑、燃气供热、供电照明、交通、物流、环保、节能、社区、家居等领域智能化管理,提升企业办公效率与居民生活质量,充分的有效聚集人才,促使园区成为一个智慧聚集地。

    1. 提升园区管理效能、推动绿色低碳园区及创新运营体系的构建园区基础设施、资源环境、企业服务、园区治理等领域充分利用

    物联网、互联网、云计算、IT、智能分析、大数据等技术手段,对园区企业经营发展和园区管理过程中的相关活动,进行智慧地感知、分析、集成和应对,为企业及员工提供一个更美好的生活和工作环境, 为企业创造一个更有利的商业发展环境,为产业园区构建一个更高效的园区运营管理环境,最终实现项目的各项功能为核心,建设一个覆盖面广、模式创新、先进实用的智慧园区体系,最终达到提升园区的管理效能与质量、推动绿色节能园区的实现和创新体系的构建的总体目标。



    三、  项目建设方案

    依据智慧园区的总体设想,智慧园区的建设是园区智能化、信息化 建设的过程,因此智慧园区的建设需要遵循信息化全生命周期建设的原  则,并建立相应的智慧园区标准,通过标准带动智慧园区的建设。智慧园 区建设路径包括智慧园区咨询规划、智慧园区平台建设、智慧园区运营。



    (一) 智慧园区咨询规划



    1. 园区产业规划定位

    通过对城市、区域及房地产市场、客户的研究分析,结合产业专项研究,研究宏观产业发展方向,结合区域产业基础,确定项目的产业定位,保证项目产品满足市场客户需求。研究内容包括但不限于:


      1. &bsp; 项目主体分析

    深入了解项目片区周边的现状产业,包括产业基础,产业规模, 产业类型,研究行业前景及产业特性,对项目基本素质进行定性。


      1. &bsp; 产业机会分析

    分析项目潜在的产业机会,对国家、省、市的宏观产业政策的梳理,研究宏观产业发展的脉络,以及区域发展的变化趋势,并根据未来趋势、企业资源、项目本体条件判定本项目主要的产业机会。


      1. &bsp; 产业筛选及定位

    综合考虑宏观产业发展格局,片区产业现状,依据产业筛选模型, 从产业吸引力、产业可行性、产业政策、产业互补性等多个维度进行全面考虑,最终得出产业园主导产业及引入产业定位的分析报告、


      1. &bsp; 园区产业配套建议

    针对于项目目标及产业定位,提供与产业园区规划与目标相匹配的产业配套进行建议,并对商业配套及功能布局进行合理建议。



    1. 园区智慧运营规划

    以各类用户的生活服务需求、工作办公需求、消费娱乐需求、企业基础服务及经营发展的各类需求为基础,规划设计园区运营服务体系服务流程标准,同时为园区运营的服务团队、组织架构、保障机制、推广策划等提供专业建议,保障智慧园区建设、运营的综合协调、运营推广及服务落地等工作安排。策划内容主要包含:


      1. &bsp; 运营目标规划

    分析园区发展战略及发展现状等特点,制定符合园区发展的近期、中期或远期运营目标。


      1. &bsp; 运营理念规划

    结合项目运营目标,以全新的运营理念规划和管理园区,实现园区的可持续发展。


      1. &bsp; 服务体系规划

    以园区内“企业、人员等的需求”为核心出发点,为园区规划完善的运营服务体系,提供“服务内容、服务形式、服务目的”等内容。


      1. &bsp; 平台运营规划

    智慧园区平台是运营服务体系以智慧化形式输出的窗口,提供平台运营模式、平台架构、平台及应用场景展示等内容。


      1. &bsp; 运营规划实施

    针对园区本体及运营管理企业特点,提供运营模式建议、运营组织与实施策略等内容。



    1. 智慧展厅规划设计

    打造智慧展厅,在功能上起到接待、推介及促进合作功能,在内容传递上起到诠释规划、责任理念、产业模块、智慧配套以及服务平台功能等作用。服务于园区的品牌宣传、智慧场景体验以及开发商的文化、资源的虚拟信息传递。策划内容主要包含:


      1. &bsp; 智慧园区核心主题理念

    分析解读项目自身资源禀赋,产业定位与项目特色,以及未来发展目标与愿景,策划设计展厅展示核心理念。包含项目展厅展示主题、智慧运营平台价值以及对服务体系的支撑的提炼包装性阐述。


      1. &bsp; 展厅功能布局规划

    根据项目核心理念及展厅未来使用需求,明确项目展厅规划目标定位,并对展厅整体策划,包括展厅展示主题、展厅使用条件与装饰装修策略、展厅功能区域划分,针对不同群体的参观动线等。


      1. &bsp; 展厅体验创意策划

    梳理项目开发主体、项目主体、展厅定位、客群分类及需求、产业特色与创新产品等等,结合展厅功能分区,梳理策划展厅展示内容, 包含园区项目的定位、特色、空间及智慧的服务体系等等。


      1. &bsp; 体验交互设备、形式策划

    根据参观者需求分析和主题创意为基础,提供展示互动的设备建议,包含展示体验的设备与媒体。


      1. &bsp; 视觉与多媒体策划

    展项多媒体表现形式设计:确定展示内容的表现形式(拍摄、3D、

    FLASH)和展示时长及多媒体内容或情景大纲设计:展项多媒体内容大纲,或展区多媒体情景大纲设计。



    1. 智慧系统规划设计

    建设合理、科学、有良好拓展性的智慧园区建构架构,是保障智慧园区服务顺利开展的基础。从智慧园区科学性、可拓展性及基于园区实际业务进行支撑的合理性设计整体架构,从基础设施、建筑智能系统的集成上可以灵活拓展与统一管控,平台采用开放的 SOA 架构可灵活接入外部服务资源,为了保证智慧园区服务系统间的数据交互, 提供了功能丰富的数据接口。此外,数据接口功能也为服务系统平台与第三方平台数据交互提供了保证。并结合咨询梳理业务模式,保障园区服务平台架构的合理、科学、并具有良好的拓展性。策划内容主要包含:


      1. &bsp; 整体架构设计及技术选型

    设计平台的整体架构及技术选型,保障整个智慧系统及设施的先进性、安全性、实用性、可扩展、易维护、好管理


      1. &bsp; 园区数据库设计

    建设智慧园区基础数据库,包含企业库、物业服务库、商家库、空间信息库和建筑物库等,构建园区公共服务资源数据库,支持跨部门、跨领域的基础数据共享


      1. &bsp; 应用子系统规划

    结合智慧园区业务发展需要及园区运营服务体系,建设资源对接体系,规划园区服务子系统,高效响应园区企业及人才需求的服务, 提升园区的服务水平


      1. &bsp; 网络通信设施规划

    网络通信实现空间、设施与人的互联互通,是园区的数字化神经系统,是互联时代不可缺少的构成。相关系统模块包括:通信管道与线网、移动通信覆盖、公共 WIFI、有线电视网、计算机网络与机房等


      1. &bsp; 智慧安防设施规划

    以建筑楼宇空间设施管理、智能化控制、人车物的监控识别为特征的设施,是智能化的基础体系。相关系统模块包括:智慧停车场、人行道闸、人脸识别、门禁、访客系统、楼宇设备监控(BAS)、梯控系统等。


      1. &bsp; 智慧能源设施规划

    环保节能是基础设施投资建设和运营管理中的重要命题,智慧能源设施帮助园区实现绿色建筑和绿色运营。相关系统模块包括:智能电表、节能空调、节能照明、智能燃气、新能源充电桩等


      1. &bsp; 商圈互动设施规划

    围绕着园区/社区的商业服务区,我们可系统化设置智能 POS 支付

    和信息发布等各类互动设施。相关系统模块包括:一卡通、无现金支付系统、LED 大屏、电梯屏、室内导航、客服机器人、智能喷泉等。


      1. 慧共享空间专项设施规划

    互联网促进共享经济,公共空间与智慧系统结合配置,能极大促进使用效能,形成具备较高经济价值的智慧园区空间单元。相关模块有:公共会议室、驾驶舱、展厅、城市候机楼、美食汇、智慧图书馆等。


      1. 集成服务体系

    标准的接口,对接第三方服务、智能化系统、支付平台等业务子系统,将各个子系统数据互联互通,完成对子系统的统一管理与系统之间的联动响应


      1. 运营服务后台设计

    结合智慧园区业务发展需要,规划设计园区运营管理支撑系统, 负责园区运营数据的采集、分析、分析与挖掘,实现对智慧园区进行综合管理,包括用户管理、企业管理、供应商管理、安全管理、系统管理及订单管理等



    (二) 园区智能化建设

    从指导实施的角度,派遣智能化专家不定期提供驻场服务,指导智能化系统的现场施工安装及工程进度管控,从而确保园区智能化满足智慧园区规划设计的建设要求。其主要服务项目有:



    1. 物联感知设备建设

    根据园区建筑规划,结合智慧园区核心理念,遵循国家及地方关于智能化系统设计技术规范标准,通过需求调研走访,进行园区的物联感知系统规划设计,从而指导园区建设舒适、安全、方便和高效的园区物联感知环境,满足各节点的通信传输、管理等需求,实现园区

    内人与物的身份识别和信息记录,保障园区智能化系统项目的顺利开展。智能化系统建设内容包括但不限于:

      • 安全技术防范系统
      • 建筑设备监控系统
      • 信息导引及发布系统
      • 智慧停车场系统
      • 一卡通系统
      • 会议系统
      • 远程计量系统


    1. 网络通信系统规划建议

    根据园区智能化建设规划,依据智能化系统设计规范,设计网络 通信系统方案,从而保障园区能够全面支持各智能系统信息传输要求。网络通信系统规划内容包括但不限于:

      • 综合布线系统及网络系统
      • 通信网络系统
      • 有线电视系统
      • 无线网络系统


    1. 数据中心规划建议

    结合主流的云计算及虚拟化技术,依据园区业务系统及各支撑平台的计算机性能需求要求,设计安全、稳定的数据中心。根据系统情况,合理规划系统虚拟存储、虚拟服务器应用资源,满足云计算、大数据分析的硬件需求。数据中心规划内容包括但不限于:

      • 机房工程
      • 云数据平台
      • 系统监控

      • 容灾备份


    1. 智能化系统集成

    规划设计共享型集成的系统功能及相互集成规则,对各智能化系 统进行数据通信、信息采集和综合处理的能力,将各个智能化子系统 数据互联互通,完成平台对智能化系统的统一管理与系统之间的联动, 实现对各智能化系统进行综合管理。



    (三) 智慧园区平台建设

    云计算、物联网、决策分析优化等信息技术的发展,为园区运营管理工作的开展和提升带来了全新的机遇。智慧型产业园区要求除了提供完善的硬件设施,优质的物业管理服务的同时,还需要通过软性服务体系的渗透,直接与企业建立产业培育与发展,并将创新能力注入到园区企业发展中去,通过移动互联化及物联网技术,实现人与人、人与物的高效连接,实现信息快速对称,带来流程的优化、流通环节的裁减、分配机制的变革和效率的提升。

    智慧园区平台的建设,以智慧型产业园区建设为契机,服务于园区功能定位,通过平台实现物业部门的高效管理、服务资源的整合。同时,通过逐步丰富产业资源与服务能力,以服务平台提供移动化的各类服务,从而达到园区管理思路的改变及创新园区服务模式,提升专业化管理水平,进一步创新服务管理思路与服务质量,推进服务效率及用户满意度,促进智慧型园区的整体建设进程和可持续发展的目标。



    1. 智慧园区运营管理后台

    园区的管理是全方位、多层次的,园区管理者不仅要负责整个园 区的建设及日常运维,同时还要负责园区的产业招商与配套、内部服务、应急处置等工作。智慧园区的云平台能很好的将基础设施智能管

    理、软硬件数据和用户服务应用一体化集成,再通过移动网络使管理的各部门与各层级都能实时获取、反馈,并取得良好的协同,大大提高工作的便利性及管理效率。另一方面,大数据分析理念和工具在智慧园区云平台中的集成对管理决策质量与效率的提升也有很大支持。

    结合园区业务发展需要,依据园区的项目定位及阶段目标,梳理、分析并设计运营管理支撑系统,建立统一的组织管理协调架构、业务管理和对外服务运营平台,实现各业务系统的统一用户、单点登录、数据集成、支付结算等,规划设计园区运营所需要的公共组件应用, 包括支付平台、统一日志、定时任务调度、登录管理、权限管理、安全管控等。

    图 4-1 智慧园区运营管理后台——页面参考

    图 4-2 智慧园区运营管理后台——页面参考



    1. 智慧物业管理

    园区的在线物业办事的平台,物业即时响应企业需求,提高服务质量及企业满意度。通过构建标准化的服务与管理平台,拓展了传统物业管理服务的界限,由对物的管理延展至物业所有人/使用人的服务,为园区住户提供除基础物业管理服务外的增值服务以创造商业价值。

    具体功能如:

    1. 入驻服务:客户办理入驻时,园区管理方可将客户信息及相关资料上传到平台,以便于信息记录及客户管理;
    2. 报修服务:当遇到房屋、水电设施等故障时,园区用户可在线向物业反映问题,物业派出维修人员上门维修,如果需要收费,企业可在线支付;
    3. 物品放行服务:取代传统纸质放行条,园区用户在线就可以申请放行,保安依据申请的审批结果,给予放行;
    4. 公共资源申请:园区有诸如公共会议室、多功能报告厅等基础设施,通过公共资源申请,园区用户在线完成使用申请、款项支付, 同时园区管理方可总体控制这些公共资源;

    1. 费用代缴:为园区用户提供线上支付租金、水电费、物业管理;
    2. 员工管理:物业管理方的组织架构设置、人事管理及行政文档管理。
    3. 设备管理:设备类型、档案及维修保养的计划、执行管理。
    4. 巡检管理:园区安全事件管理及安全月度评估。
    5. 事务管理:物业单元装修管理、室内维修派单、客户投诉管理等。


    图 4-3 智慧园区平台物业服务——页面参考

     图 4-4  智慧园区平台物业服务——入伙申请页面参考

    图 4-5 智慧园区平台物业服务——会议室预订页面参考



    1. 智慧企业服务

    利用智慧园区平台汇聚丰富的、针对性的产业资源(包括政府资源、商业资源、金融资源、人才资源等),对企业提供资金、办公场所、企业管理、信息咨询等多种服务,对创业的企业进行孵化,并进行高新技术成果沉淀,以推动合作和交流。同时,通过系统实现园区资源与服务的统一规划、共建共享、互惠互利,提供物业服务的对接及基础运维的服务内容,从而提高资源使用率及用户体验,营造良好的办公环境。

    具体功能如:

    1. 政务服务:为园区企业提供政府职能部门对接、政策信息获取等相关服务介绍,园区企业及用户可通过平台在线提交服务申请。
    2. 企业办公:提供企业经营管理的各类信息化服务,如行政办公、资产管理、用户管理、统计报表等信息化平台,提供开放性接口,可对接第三方应用功能,实现 HR、财务、CRM 等业务功能的拓展。
    3. 广告位申请:企业可以根据自身需求进行广告位租赁、多媒体展示中心预定、园区企业活动赞助、或定制其他个性化宣传与推广服务。
    4. 综合业务外包:利用平台技术实现拓展业务功能拓展,引入第

    三方服务机构,向企业提供非核心业务外包的综合服务。

     

    图 4-6  智慧园区平台企业服务——页面参考

    4-7 智慧园区平台企业服务——页面参考



    1. 智慧电商平台

    利用系统向园区及其周边的企业提供更简单、更快速地采供服务, 选择优质的供应商和配送单位,建立基于本地的仓储配送体系,打造 面向本地所有企业物品采买及配送的线上线下采供服务平台,实现从 企业下单到产品送达的快速实现。

    如为园区内企业提供办公日用品、商务礼品采购;办公设备采购;

    办公家私采购等。具体功能包含:

    1. 商品管理:商品的分类、特征及标签的配置及管理,商品基本信息管理、存库数量、支付方式的配置及管理等。
    2. 供应商管理:供应商的订单管理及商品上下架、存库的配置及管理。
    3. 订单管理:订单列表查询及订单流程阶段配置及管理。
    4. 配送管理:订单分配及订单状态查询等。
    5. 订单统计:服务订单的统计分析及用户角色、权限的配置及管理。

     

    图 4-8 智慧园区电商平台——页面参考



    1. 智慧园区生活

    为园区用户提供基于地理信息(GIS)、位置服务(LBS)、移动支付

    等信息技术的创新应用。通过集成园区生活服务信息,为企业员工提供餐饮、休闲等生活消费信息,推动园区与社区生活服务设施的对接共享, 进一步完善园区服务能力,以用户需求为导向,推进广覆盖、易使用的 园区信息化应用,提高园区服务水平和服务效率。

    提供园区用户活动分享与在线交流的系统,促进园区内企业、商家及人才之间的关联,基于本地化生活需求,通过 API 的方式进行互联网服务商家资源的接入,为园区用户提供丰富、完善的商业线上配套服务,给园区企业、人才提供生活便利。

     图 4-9 智慧园区平台生活服务——页面参考



    1. 智慧设施管理

    与园区的智能化基础设施进行系统接口对接,提供统一集中监控园区所有基础设施运行情况,具备报警联动分析处理机制以及应急预案指引功能。管理员通过综合集成管理平台远程控制园区的各类基础设施, 支持将视频、能耗、停车场等数据在指定显示终端进行展示, 同支持远程控制球机云台、电源开关等。

     

     

     

    4-10 智慧园区易控——页面参考

     

    4-11 智慧园区易控——页面参考

     

    4-12 智慧园区易控——页面参考



    1. 智慧停车管理

    智慧停车管理平台,通过与停车场系统对接,实现无卡识别、空余车位查询、自动导航、反向寻车、在线缴费等功能,并及时统计停车车辆信息、实时车位情况等,一方面降低园区运营管理成本,另一方面增加园区运营管理的收益。

     

    图 4-13 智慧停车平台——页面参考



    1. 智慧指挥中心建设

    指挥中心承担的工作就是数据的呈现与反馈。纳入指挥中心集中呈现和反馈的数据占比越高,园区的集约化管理程度就越高。直观与宏观的优势也一致。

    通过建设智慧指挥中心,以智慧可视化的方式“实时监测、动态控制”园区的整体运行情况,为管理层提供“一站式”决策支持的管理信息中心系统,方便管理者实时监控园区的经营情况及运营现状。园区运营管理方可系统通过仪表盘、红绿灯、图形分析等多种展示形式,实现对园区关键绩效指标的监控和预警;通过对各种财务报告、业务报表、自定义报表的集中展示,实现对园区运营情况的全面监控; 并可通过手机短信、邮件信息的订阅功能,帮助企业管理者无论何时何地,都可以及时了解企业运营状况。

    智慧指挥中心系统通过与园区各业务子系统的高度集成及系统对接,主要包括但不限于物业服务、停车管理及安防管理等内容,另外园区企业服务、商业服务,楼宇管理、设备资产管理等内容都可根据园区运营情况进行智慧可视化呈现及智慧运营管理,具体可根据园区实际情况及展厅布局进行定制化产品设计。

    另外,智慧指挥中心可根据不同人员进行权限设置,如针对管理决策层、操作执行层及访客参观等开通不同的权限。

     


    4-14 智慧园区总裁驾驶舱——首页参考

     

    4-15 智慧园区总裁驾驶舱——页面参考

     

    图 4-16 智慧园区总裁驾驶舱——展示参考



    (四) 智慧园区运营顾问

    产业园区的运营管理是一项充满智慧的过程,对园区管理方的管理能力及运营能力都提出了很强的要求,我司将派遣经验丰富的运营顾问团队,全程指导园区运营工作的顺利开展,通过建立对接机制, 联合双方的优势资源,建立开放共赢的协同创新体系,从而促进产业园区的高效运营。其主要工作职责有:



    1. 运营团队组建

    提供园区智慧运营团队咨询方案,协助团队设立职责及 KPI 考核表,协助团队提供招聘标准。



    1. 园区活动策划

    不定期负责提供活动策划方案及思路,具体执行由园区方完成。



    1. 园区活动执行

    对策划的活动方案提供指导性建议和修改,协助完成活动结果的分析及汇总。

    1. 园区企业统计

    我司将组织专门的团队对园区范围内的在建的、竣工的各类楼宇和园区信息进行排查,并定期走访各乡村居委会,通过专业团队或者与知名的互联网公司合作的方式,分区域、分类别对辖区内的楼宇和园区、各乡村信息进行统计。

    统计信息采用每日、每周、每月汇总的方式,可以更加直观的体现出楼宇和园区的具体信息,所有的统计信息将采用专业的报表和图标形式进行展示。

    统计表示例:

     



    1. 云服务商务运营

    制定商家及供应商筛选的标准及注意事项,协助园区方进行前期的商家合作谈判,提供资源合作商的名单。



    1. 园区公共资源运营

    梳理园区已有公共资源,设定线上服务流程及服务内容,结合平台的服务功能和园区公共资源整合运营方案,对园区的公共资源内容进行汇总及反馈,改善公共资源服务清单及内容。



    1. 基础设施硬件运营

    梳理园区现有基础设施硬件,并对接入平台提供技术培训,对接入平台的硬件设施,提供制定运营方案的思路建议指导,优化改进硬件设备服务流程。



    1. 线上内容运营

    线上内容的策划,提供前期线上活动的策划,协助园区不断完善内容体系和服务。



    1. 新媒体运营

    提供新媒体运营思路及案例,帮助园区创建自由新媒体资源;配合平台及园区资源,提高微博、微信等新媒体用户关注,定期发布新媒体咨询及网络推广活动,提供新媒体运营人员具备素质及日常工作内容的指导。



    1. 商圈运营

    对商圈资源进行梳理,对商家及园区管理方进行 1 次平台培训, 利用商家资源及园区、平台资源,提升用户对商圈工鞥呢的使用,进行线上线下商圈活动策划及组织,对商圈运营提供运营思路及建议。



    1. 园区IT 运营

    现有 IT 资源的梳理,帮助园区规划 IT 运营工作,并协助园落地执行工作,提供 IT 运营培训,对园区的 IT 运营提供建议及思路,规划制定 IT 运营服务流程及定价,建立 IT 增值服务的合作模式和收益分成协议。



    1. 园区数据管理运营

    汇总园区各项服务数据,提供数据报表及分析,建立大数据预警及报表机制,以数据为依据,针对园区管理进行改善调整建议,促进园区运营工作的正常开展。

    展开全文
  • 允中 发自 凹非寺量子位 编辑 | 公众号 QbitAI5月27日本周四下午,量子位将联合苏州国际科技园举行苏州工业园区科技领军人才项目申报宣讲&对接会。苏州工业园区科技领军人才项...
  • 日前,工信部对外公示了《2020年工业互联网试点示范项目名单》,其中包含有五大类79个试点示范项目。其中网络化改造集成创新应用类4个、标识解析集成创新应用类11个、“5G+工业互联网”内...
  • 5g智慧园区解决方案,基于5g的智慧园区管理方案包括什么? 智慧园区的建设意义 建设智慧园区并非简单的信息化和智能系统建设。入驻园区的大中小型企业和创业者以及园区运营管理方都有自己的附加值。 对于大中型...
  •   全世界99%的物体尚未联网,...  9月20日,在2018杭州云栖大会万物智联峰会上,阿里云IoT资深安全专家董侃宣布推出阿里云IoT安全平台(Link Security)升级方案,助力实现物联网设备的全生命周期安全防护。  ...
  • 从智慧园区发展的概念和意义出发,智慧园区是通过“互联网+”技术和智慧运维平台的搭建,融入互联网、人工智能等核心技术,为园区和入驻企业的产品与服务提供智能展示平台,实现园区招商的可视化,帮助园区经营方...
  • 今年以来,全球经济形势充满了变化与挑战,驱动着全球数字经济浪潮的高速发展,不断提高经济社会的数字化、网络化、智能化水平。区块链、云计算、人工智能等技术与各行各业的融入进一步加深,持续赋能电子商务、教育...
  • 数字化资料库管理应采用结构化、数字化的建筑基础信息数据库,适用于可以对建筑全生命周期中产生的资料进行数字化标准管理,包括设施设备资料、隐蔽工程资料、项目信息资料、设计图纸、施工图纸、竣工图纸、培训...
  • 在“新基建”驱动的数字经济热潮下,智慧园区建设发展成为实现园区管理绿色化、现代化、智慧化的核心抓手。通过利用云计算、物联网、大数据等新一代技术手段,充分聚合园区内各类资源,全面提升园区的综合管理效率,...
  • 帮助设计出能够满足客户商业及技术目标的网络包括功能、容量、性能、可用性、可扩展性、可购买性、安全性以及可管理性等各个方面需求的企业网络。 本模块分分成四章: 分析商业目标和制约 分析技术目标与折衷措施...
  • 2、网络分析与设计过程 ① 网络系统生命周期 一个网络系统从构思开始,到最后被淘汰的过程称为网络生命周期。 (1)四阶段周期 特点:能够快速适用新的需求变化,成本低,灵活性好,适用网络规模较小,需求较为明确...
  • 通过利用云计算、物联网、大数据等新一代技术手段,充分聚合园区内各类资源,全面提升园区的综合管理效率,打通园区人、事、物运行管理全要素的动态感知、实时共享、高效应用。 Hightopo 应用自主研发的 HT 产品,...
  • 软考网络工程师总结

    千次阅读 多人点赞 2020-10-20 20:40:06
    网络工程师考点积累 1.计算机硬件 1.1 计算机基本组成 主要分为六部分:控制器,运算器,内存储器,外存储器,输入设备,输出设备 控制器 运算器 功能:在运算器的控制下完成各种算术运算,逻辑运算和其他运算。 ...
  • (7)安全性:指在信息的生命周期中,信息可以被非授权访问的可能性,可能性越低,安全性越高。 第二版P4@1.1.1 出题概率:★ 170101     1.1.2信息系统 1.系统的基本概念 系统是指由一...
  • 2015年下半年 信息系统项目管理师 上午试卷 (考试时间 9 : 00~11 : 30 共 150 分钟) 1. 在答题卡的指定位置上正确写入你的姓名和准考证号,并用正规 2B 铅笔在你写入的准考证号下填涂准考证号。 2. 本试卷的...
  • 干系人需求、约束条件、项目管理各个过程、项目集、项目组合的政策、公司战略等等。 2、如何实现整合管理? 在整合管理的过程中要经常寻找平衡点,考虑各种约束条件、风险和不确定性来满足项 目的目标。 3、本章节的...
  • 【信息系统项目管理师】2019年上半年信息系统项目管理师上午综合知识真题 2019年上综合知识
  • 而另一方面,5G的成长也需要不断重整价值链,让包括网络运营商、系统集成商、客户服务人员、应用提供商等围绕新的需求集体做功,才能更早推动主流市场所需要的相关技术产品/服务全面到位,进入爆发式增长周期。...
  • 2010年下半年 信息系统项目管理师 上午试卷 (考试时间 9 : 00~11 : 30 共 150 分钟) 1. 在答题卡的指定位置上正确写入你的姓名和准考证号,并用正规 2B 铅笔在你写入的准考证号下填涂准考证号。 2. 本试卷的...
  • 生命周期、保障要素、安全特征 4.完整性:确保信息在存储、使用、传输的过程中不会被非授权按用户篡改,同时还要防止授权用户对信息进行不恰当篡改,保持信息内外部表示的一致性 国际标准化组织:IOS/OSI 提供了五...
  • 在数字化转型深入推动的背景下,“大数据”、“互联网+”等技术不断推动着传统产业,园区运营所产生的数据与日俱增,如何从纷繁复杂的数据中提取出有价值的信息,为园区提高管理质量和效率,实现稳健的可持续发展。...
  • 项目管理师——2015-2017错题汇总

    千次阅读 2018-09-23 08:58:53
    某软件企业为了及时、准确地获得某软件差评配置项的当前状态,了解软件开发活动的进展状况要求项目组出具配置状态报告,该报告内容应包括(A)错选成B ①各变更请求概要:变更请求号、申请日期、申请人、状态、...
  • A: Datacom,即Datacom Communication的缩写,中文为“数据通信”,属于ICT技术架构认证类别(华为认证包含ICT技术架构认证、平台与服务认证和行业ICT认证三类认证)。作为Routing & Switching认证的升级版,...
  • 建立的智慧园区(楼宇)三维可视化的管控平台,以全局模型集成化、模型的优化和轻量化的特点,可实现建筑全生命周期、全方位管理,致力于处理上述问题难点的同时,也与其它智慧地域功能连接的高度融合,完成无缝拼接...
  • 网络规划

    2017-07-17 22:58:56
    具体的工作内容如下:确定网络项目的目标是网络规划阶段最基本的工作内容。这个最终确定的目标必须是明确的,可量化的,而且是可实现的,不能够是一个笼统的,模糊的,大而化之的概念。在项目规划阶段需要调查掌握...
  • 2011年上半年 信息系统项目管理师 上午试卷 (考试时间 9 : 00~11 : 30 共 150 分钟) 1. 在答题卡的指定位置上正确写入你的姓名和准考证号,并用正规 2B 铅笔在你写入的准考证号下填涂准考证号。 2. 本试卷的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,156
精华内容 462
关键字:

园区网络项目生命周期包括()。

友情链接: TwoLp.zip