中小型企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案-OKK.doc
華中科技大學(xué)20102011學(xué)年第二學(xué)期計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)企業(yè)網(wǎng)絡(luò)工程設(shè)計(jì)方案院 系: 控制系 年 級: 08級 班 級: 自動(dòng)化0804班 目 錄目 錄II第一章 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)概述11.1項(xiàng)目背景11.2需求分析11.3編制依據(jù)2第二章 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)32.1網(wǎng)絡(luò)設(shè)計(jì)原則32.2設(shè)計(jì)要求32.3設(shè)計(jì)目標(biāo)42.3設(shè)備分析42.4網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)52.5內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)72.5.1核心層交換機(jī)的設(shè)計(jì)72.5.2匯聚層交換機(jī)的設(shè)計(jì)82.5.3接入層交換機(jī)的設(shè)計(jì)92.5.4路由協(xié)議的設(shè)計(jì)102.5.5 IP地址的設(shè)計(jì)112.5.6 VLAN的設(shè)計(jì)122.5.7網(wǎng)管系統(tǒng)的設(shè)計(jì)142.6外部網(wǎng)絡(luò)設(shè)計(jì)142.7綜合布線15第三章 網(wǎng)絡(luò)系統(tǒng)安全性設(shè)計(jì)分析173.1網(wǎng)絡(luò)安全設(shè)計(jì)173.1.1人員角色劃分173.1.2路由認(rèn)證和保護(hù)173.1.3關(guān)閉IP功能服務(wù)183.1.4用戶的安全防護(hù)183.2網(wǎng)絡(luò)的VLAN的安全管理設(shè)計(jì)分析193.3 Internet安全訪問設(shè)計(jì)分析19第四章 項(xiàng)目管理204.1項(xiàng)目管理目標(biāo)204.2項(xiàng)目組織機(jī)構(gòu)204.3項(xiàng)目進(jìn)度計(jì)劃204.3.1項(xiàng)目總體進(jìn)度計(jì)劃204.3.2項(xiàng)目進(jìn)度Gantt圖(甘特圖)204.3.3項(xiàng)目進(jìn)度詳細(xì)說明21第五章 工程預(yù)算245.1項(xiàng)目總體預(yù)算245.2網(wǎng)絡(luò)設(shè)備255.3服務(wù)器275.4安全系統(tǒng)285.5系統(tǒng)軟件285.6機(jī)房建設(shè)285.7綜合布線295.8光纖設(shè)備315.9培訓(xùn)33第一章 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)概述1.1項(xiàng)目背景為了適應(yīng)業(yè)務(wù)的發(fā)展和國際化的需要����,積極參與國家信息化進(jìn)程��,提高管理水平�,展現(xiàn)全新的形象,某廠準(zhǔn)備建立一個(gè)現(xiàn)代化的機(jī)構(gòu)內(nèi)部網(wǎng)��,實(shí)現(xiàn)信息的共享�、協(xié)作和通訊�����,并和屬下個(gè)部門互連���,并在此基礎(chǔ)上開發(fā)建設(shè)現(xiàn)代化的企業(yè)應(yīng)用系統(tǒng),實(shí)現(xiàn)智能型�����、信息化��、快節(jié)奏�����、高效率的管理模式�����。在本方案中���,我們借鑒了大型高端網(wǎng)絡(luò)系統(tǒng)集成的經(jīng)驗(yàn),充分利用當(dāng)今最成熟��、最先進(jìn)的網(wǎng)絡(luò)技術(shù),對該信息網(wǎng)絡(luò)系統(tǒng)的建設(shè)與實(shí)施提出方案�。1.2需求分析為實(shí)現(xiàn)上述目標(biāo),可以把整個(gè)系統(tǒng)建設(shè)分成兩個(gè)部分���,即:網(wǎng)絡(luò)平臺(tái)建設(shè)和Internet/Intranet平臺(tái)建設(shè)�。(1)網(wǎng)絡(luò)平臺(tái)是建立在結(jié)構(gòu)化布線基礎(chǔ)上的最基本的平臺(tái)��?��?煽康木W(wǎng)絡(luò)平臺(tái)是Internet/Intranet系統(tǒng)及應(yīng)用系統(tǒng)正常運(yùn)行的基礎(chǔ)���。網(wǎng)絡(luò)平臺(tái)的設(shè)計(jì)應(yīng)包括局域網(wǎng)的設(shè)計(jì)、廣域網(wǎng)的設(shè)計(jì)���。(2)Internet/Intranet平臺(tái)包括Intranet��、Internet和Extranet����。三者的關(guān)系如圖:Internet/Intranet系統(tǒng)具有客戶端單一界面��、易于使用的特點(diǎn)��。在中中國港灣建設(shè)總公司的平臺(tái)建設(shè)中,Extranet部分對應(yīng)于與各合作伙伴信息交流的相關(guān)部分��。網(wǎng)絡(luò)系統(tǒng)主要是以光纖作為傳輸媒介�����、以IP 和 Intranet技術(shù)為技術(shù)主體��、以核心交換機(jī)為交換中心��、下屬部門信息網(wǎng)絡(luò)系統(tǒng)為分節(jié)點(diǎn)的多層結(jié)構(gòu)��、提供與各種職能相關(guān)的����、功能齊全���、技術(shù)先進(jìn)����、資源統(tǒng)一的網(wǎng)上應(yīng)用系統(tǒng)����,進(jìn)一步可擴(kuò)展成為多功能網(wǎng)絡(luò)平臺(tái)��??傮w目標(biāo)是建立該企業(yè)的辦公業(yè)務(wù)信息網(wǎng)絡(luò)交換平臺(tái)��,集成下屬各部門信息網(wǎng)絡(luò)系統(tǒng)���,功能齊全�����、技術(shù)先進(jìn)�、集成化的網(wǎng)絡(luò)系統(tǒng)���。(一)設(shè)計(jì)網(wǎng)絡(luò)需求如下:(1)信息的共享�����;(2)公司管理�����;(3)辦公自動(dòng)化��;(4)高速Internet 沖浪��。(二)企業(yè)辦公網(wǎng)主干和信息點(diǎn)需求及分布擬建的企業(yè)網(wǎng)絡(luò)主要涉及到四幢建筑物:行政樓(含附近的門衛(wèi))���、生產(chǎn)車間(含附近的廠區(qū)辦)�、運(yùn)輸樓(含附近的工段辦)�����。這四幢建筑物之間擬通過光纜連接�。網(wǎng)絡(luò)中心和機(jī)房設(shè)在行政樓內(nèi)。信息點(diǎn)需求為:行政樓: 801個(gè)(含門衛(wèi)1個(gè))生產(chǎn)車間:364個(gè)(含廠區(qū)辦4個(gè))運(yùn)輸樓: 20個(gè)(全為工段辦)主干網(wǎng)接入全球互聯(lián)信息網(wǎng)外接(Internet)�,各子網(wǎng)再接入主干通信網(wǎng)。主干網(wǎng)接入Internet的方式可是有線綜合寬帶網(wǎng)����,速率可在100Mbps左右���。主干為千兆光纖線路�����,其它線路為超五類雙絞線�����。(三)投資預(yù)算要求投資在20萬元以內(nèi)�,包括局域網(wǎng)設(shè)計(jì)(可利用原有寬帶設(shè)備),交換機(jī)設(shè)備���,綜合布線等�。1.3編制依據(jù)計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定(國家保密局1988 年 2 月 26 日印發(fā)) 計(jì)算機(jī)信息國際聯(lián)網(wǎng)保密管理暫行規(guī)定(國家保密局1999 年 12 月 29 日印發(fā)) 中國公眾多媒體通信網(wǎng)技術(shù)體制 中國公眾多媒體通信網(wǎng)工程實(shí)施技術(shù)要求 IEEE 工業(yè)標(biāo)準(zhǔn):802.1d�����,802.1p�,802.1q,802.1x�����,802.3��,802.3u�����,802.3z 支持路由協(xié)議:IP 的 RIP v1/2�,OSPF,BGP-4;IPX 的 RIP 多址廣播協(xié)議:IGMP���,DVMRP�,PIM-DM��,PIM-SM 網(wǎng)絡(luò)管理協(xié)議:SNMP����,RMON,RMON2第二章 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)本系統(tǒng)設(shè)計(jì)主要進(jìn)行節(jié)點(diǎn)網(wǎng)絡(luò)拓?fù)?�、路由組織����、IP 地址、網(wǎng)絡(luò)安全設(shè)計(jì)���、VLAN 劃分和設(shè)備的具體配置等設(shè)計(jì)���,詳細(xì)描述所采用的設(shè)備及性能參數(shù)�����、網(wǎng)絡(luò)管理。2.1網(wǎng)絡(luò)設(shè)計(jì)原則(1) 遵循中國公眾多媒體通信網(wǎng)技術(shù)體制��、中國公眾多媒體通信網(wǎng)工程實(shí)施技術(shù)要求以及其它國家相關(guān)標(biāo)準(zhǔn)和技術(shù)體制���。 (2) 采用層次化設(shè)計(jì)�����,網(wǎng)絡(luò)結(jié)構(gòu)的不同部分有不同的功能����,使網(wǎng)絡(luò)具有優(yōu)良的結(jié)構(gòu)��。 (3) 優(yōu)化網(wǎng)絡(luò)和系統(tǒng)結(jié)構(gòu)��,并在各個(gè)層面考慮冗余和備份�,使系統(tǒng)具有較高的容錯(cuò)能力和應(yīng)變能力,以保證系統(tǒng)的可靠和有效運(yùn)作�。 (4) 選用的技術(shù)確保開放性、可移植性��、兼容性和可擴(kuò)展性�����。 (5) 采用通用的國際標(biāo)準(zhǔn)和協(xié)議,不采用有礙網(wǎng)絡(luò)互通的廠家特有性能��。 (6) 提供有效的安全保密措施����,確保整個(gè)網(wǎng)絡(luò)的安全。重要網(wǎng)絡(luò)設(shè)備應(yīng)有適當(dāng)?shù)娜哂鄠浞荨?(7) 盡量詳細(xì)準(zhǔn)確���,減低工程的復(fù)雜程度����,使系統(tǒng)建設(shè)和改造的工作量減至最少��,以保證工程的順利和有效完成����。2.2設(shè)計(jì)要求(1)實(shí)用性:網(wǎng)絡(luò)建設(shè)從應(yīng)用實(shí)際需求出發(fā),堅(jiān)持為領(lǐng)導(dǎo)決策服務(wù)����,為經(jīng)營管理服務(wù),為生產(chǎn)建設(shè)服務(wù)����。另外����,如果是對現(xiàn)有網(wǎng)絡(luò)升級改造�����,還應(yīng)該充分考慮如何利用現(xiàn)有資源��,盡量發(fā)揮設(shè)備效益���。(2)適度先進(jìn)性:規(guī)劃局域網(wǎng),不但要滿足用戶當(dāng)前的需要�,還應(yīng)該有一定技術(shù)前瞻性和用戶需求預(yù)見性,考慮到能夠滿足未來幾年內(nèi)用戶對網(wǎng)絡(luò)功能和帶寬的需要�����。采用成熟的先進(jìn)技術(shù)���,兼顧未來的發(fā)展趨勢����,即量力而行����,又適當(dāng)超前�����,留有發(fā)展余地��。(3)經(jīng)濟(jì)性:要求價(jià)格適中���,設(shè)備及耗材要求采用質(zhì)量過硬,物美價(jià)廉���,投資預(yù)算不超過20萬����。(4)安全可靠性:確保網(wǎng)絡(luò)可靠運(yùn)行����,在網(wǎng)絡(luò)的關(guān)鍵部分應(yīng)具有容錯(cuò)能力,提供公共網(wǎng)絡(luò)連接�、通信鏈路、服務(wù)器等全方位的安全管理系統(tǒng)���。(5)開放性:采用國際標(biāo)準(zhǔn)通信協(xié)議�、標(biāo)準(zhǔn)操作系統(tǒng)、標(biāo)準(zhǔn)網(wǎng)管軟件�、采用符合標(biāo)準(zhǔn)的設(shè)備,保證整個(gè)系統(tǒng)具有開放特點(diǎn)��,增強(qiáng)與異機(jī)種�����、異構(gòu)網(wǎng)的互聯(lián)能力���。(6)可擴(kuò)展性:系統(tǒng)便于擴(kuò)展,保證前期的投資的有效性與后期投資的連續(xù)性(7)安全保密性:為了保證網(wǎng)上信息的安全和各種應(yīng)用系統(tǒng)的安全����,在規(guī)劃時(shí)就要為局域網(wǎng)考慮一個(gè)周全的安全保密方案。2.3設(shè)計(jì)目標(biāo)該企業(yè)網(wǎng)絡(luò)系統(tǒng)應(yīng)是一個(gè)以寬帶IP網(wǎng)為目標(biāo)����,建立數(shù)據(jù)、語音����、視頻三網(wǎng)合一的一體化內(nèi)部辦公網(wǎng)絡(luò)和外部寬帶。網(wǎng)絡(luò)系統(tǒng)應(yīng)實(shí)現(xiàn)虛擬局域網(wǎng)(VLAN)的功能��,以保證全網(wǎng)的良好性能及網(wǎng)絡(luò)安全性。主干網(wǎng)交換機(jī)應(yīng)具有很高的包交換速度����,整個(gè)網(wǎng)絡(luò)應(yīng)具有高速的三層交換功能。主干網(wǎng)絡(luò)應(yīng)該采用成熟的��、可靠的千兆以太網(wǎng)技術(shù)作為網(wǎng)絡(luò)系統(tǒng)主干�����。同時(shí)該網(wǎng)應(yīng)選用先進(jìn)的網(wǎng)管軟件��,建立完善的網(wǎng)絡(luò)管理體系��;在設(shè)備方面�����,應(yīng)選擇有成功案例的網(wǎng)絡(luò)廠商的設(shè)備����,同時(shí)為Intranet、撥號(hào)用戶和移動(dòng)用戶提供接口���,網(wǎng)絡(luò)還應(yīng)具有良好的擴(kuò)展性����。2.3設(shè)備分析根據(jù)對網(wǎng)絡(luò)需求的考察,根據(jù)合理性���、實(shí)用性和節(jié)約費(fèi)用等原則進(jìn)行設(shè)備選擇:(1) 基于路由器和交換機(jī)的局部網(wǎng)間的互聯(lián)是最好的解決方案����。網(wǎng)絡(luò)協(xié)議方面����,以網(wǎng)際協(xié)議(IP)作為校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)的公用網(wǎng)絡(luò)協(xié)議實(shí)行標(biāo)準(zhǔn)化���,使用IP作為標(biāo)準(zhǔn)傳輸協(xié)議����,在以后對網(wǎng)絡(luò)進(jìn)行擴(kuò)充以與其它的網(wǎng)絡(luò)互連時(shí)����,可以跨越多個(gè)平臺(tái)自然而然地提供互操作能力和無縫連接功能。(2) 在主干網(wǎng)建設(shè)時(shí)�����,選擇3Com和Cisco系統(tǒng)產(chǎn)品,它能夠以極具競爭力的價(jià)格提供所有技術(shù)���,為我們提供一個(gè)集成化��、高性能�、靈活����、可伸縮、安全和高性能價(jià)格比的解決方案的標(biāo)準(zhǔn)��。(3) 在局部網(wǎng)建設(shè)方面����,選擇使用CISCO設(shè)備和TP-LINK產(chǎn)品作為骨干網(wǎng)基礎(chǔ)設(shè)施的基礎(chǔ)。 CISCO設(shè)備和TP-LINK方案提供了可伸縮的結(jié)構(gòu)和高性能的設(shè)備���,能夠高速傳輸數(shù)據(jù)�,同時(shí)通過它們Secure技術(shù)保證了安全地接入Internet和一體化的網(wǎng)絡(luò)解決方案���。(4) 計(jì)算機(jī)終端設(shè)備的選型既考慮性能�����、價(jià)格比��、設(shè)備的運(yùn)行維護(hù)費(fèi)用���,也考慮設(shè)備的可擴(kuò)充性����,確保系統(tǒng)主要設(shè)備的投入在整個(gè)系統(tǒng)的生命周期內(nèi)能得到充分利用并具有強(qiáng)健靈活的體系結(jié)構(gòu)���。同時(shí)�,也考慮局部子網(wǎng)對硬件和信息流量的要求����,必須能夠提供專用的高速帶寬��,以處理日常數(shù)據(jù)信息和峰值操作��,并能夠支持各種新技術(shù)和新增用戶����。(5) 安全性是另一個(gè)關(guān)鍵要求,要保證能夠安全地接入Internet。2.4網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)在用戶的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)中����,我們建議采用層次化的結(jié)構(gòu)設(shè)計(jì)。 對于用戶即將建設(shè)的網(wǎng)絡(luò)系統(tǒng)來說����,想要建設(shè)成為一個(gè)覆蓋范圍廣、網(wǎng)絡(luò)性能優(yōu)良����、具有很強(qiáng)擴(kuò)展能力和升級能力的網(wǎng)絡(luò),在起初的設(shè)計(jì)中就必須采用層次化的網(wǎng)絡(luò)設(shè)計(jì)原則��。采用這樣的結(jié)構(gòu)所建設(shè)的網(wǎng)絡(luò)具有良好的擴(kuò)充性����、管理性,因?yàn)樾碌淖泳W(wǎng)模塊和新的網(wǎng)絡(luò)技術(shù)能被更容易集成到整個(gè)系統(tǒng)中���,而不破壞已存在的骨干網(wǎng)�����。 大多數(shù)的網(wǎng)絡(luò)都可以被層次性劃分為三個(gè)邏輯服務(wù)單元:核心骨干網(wǎng)(Backbone)�����、匯聚網(wǎng)(Distribute)和接入網(wǎng)(Localaccess)����,模塊化網(wǎng)絡(luò)設(shè)計(jì)方法的目標(biāo)在于把一個(gè)大型的網(wǎng)絡(luò)元素劃分成一個(gè)個(gè)互連的網(wǎng)絡(luò)層次。層次性結(jié)構(gòu)如下圖所示����。根據(jù)項(xiàng)目的具體需求及現(xiàn)有的光纖結(jié)構(gòu),結(jié)合網(wǎng)絡(luò)建設(shè)的基本理論和原則��,各入網(wǎng)部門的實(shí)際情況���,應(yīng)用需求���,資金條件和遠(yuǎn),近目標(biāo)等各方面的要求�����,設(shè)計(jì)出該網(wǎng)絡(luò)為拓?fù)浣Y(jié)構(gòu)為分層的集中式結(jié)構(gòu)或稱星型分級拓?fù)?���。?nèi)部網(wǎng)絡(luò)拓?fù)鋱D:網(wǎng)絡(luò)邏輯拓?fù)浣Y(jié)構(gòu)如圖所示。它是在基于高端路由交換機(jī)的基礎(chǔ)之上而設(shè)計(jì)的新的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)����。簡要說明如下:整個(gè)網(wǎng)絡(luò)由核心層、匯聚層和接入層兩大部分組成���。核心層是由CISCO WS-C3560-48TS-S企業(yè)級核心路由交換機(jī)組成�����。匯聚層由CISCO WS-C3560-24TS-S路由交換機(jī)組成�。接入層是由接入層樓層交換機(jī)CISCO WS-C2918-24TC-C組成�。 主要網(wǎng)絡(luò)設(shè)備列表: 拓?fù)浣Y(jié)構(gòu)設(shè)備型號(hào)數(shù)量(臺(tái))核心層路由交換機(jī)CISCO WS-C3560-48TS-S2匯聚層路由交換機(jī)CISCO WS-C3560-24TS-S3接入層樓層交換機(jī)CISCO WS-C2918-24TC-C26以行政樓中心機(jī)房為中心,下屬部門為接入點(diǎn)的星型連接方式?��,F(xiàn)階段出于用戶的應(yīng)用和先進(jìn)性考慮�����,通過千兆光纖連接���。 各樓層的辦公網(wǎng)是以星型的方式千兆直接連接到各匯聚機(jī)房的匯聚交換機(jī)上后,由匯聚交換機(jī)通過千兆接到核心交換機(jī)�����。我們可采用千兆路由交換機(jī)與各 LAN 網(wǎng)段的交換機(jī)(Switch)連接而組成星型網(wǎng)絡(luò),實(shí)現(xiàn)千兆核心網(wǎng)絡(luò)到各樓層�����,百兆到桌面���,滿足各種應(yīng)用的需要���。 核心層交換機(jī)與服務(wù)器群的相連是以千兆以太網(wǎng)的方式。以上拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)有以下特點(diǎn): (1) 它充分利用網(wǎng)絡(luò)資源����,把交換路由模塊分開成第二層交換和第三層路由,這樣做對網(wǎng)絡(luò)的性能大有改善��。 (2) 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)層次清楚����,易于擴(kuò)充和升級(后面有升級的拓?fù)浞桨福瑫r(shí)體現(xiàn)了開放式的體系結(jié)構(gòu)�。 (3) 由于核心交換機(jī)所承載的流量相應(yīng)減少��,從另一個(gè)角度來說,也即提高了網(wǎng)絡(luò)整體的可靠性�,對用戶的QoS 從網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化上得到了保證。 (4) 大大減少網(wǎng)絡(luò)瓶頸和由于鏈路����、路由而導(dǎo)致的故障。 (5) 通過在網(wǎng)內(nèi)劃分 VLAN 的技術(shù)來確保網(wǎng)絡(luò)內(nèi)部的安全性����。2.5內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)2.5.1核心層交換機(jī)的設(shè)計(jì)核心層主要功能是給下層各業(yè)務(wù)匯聚節(jié)點(diǎn)提供 IP 業(yè)務(wù)平面高速承載和交換通道,負(fù)責(zé)進(jìn)行數(shù)據(jù)的高速轉(zhuǎn)發(fā)���,同時(shí)核心層是局域網(wǎng)的骨干���,是局域網(wǎng)互連的關(guān)鍵。對核心骨干網(wǎng)絡(luò)設(shè)備的部署應(yīng)為能夠提供高帶寬��、大容量的核心路由交換設(shè)備��,同時(shí)應(yīng)具備極高的可靠性���,能夠保證24小時(shí)全天候不間斷運(yùn)行����,也就必須考慮設(shè)備及鏈路的冗余性、安全性�����,而且核心骨干設(shè)備同時(shí)還應(yīng)擁有非常好的擴(kuò)展能力���,以便隨著網(wǎng)絡(luò)的發(fā)展而發(fā)展���。 基于對核心層的功能及作用,根據(jù)用戶的實(shí)際需求����,本方案中對網(wǎng)絡(luò)系統(tǒng)中核心層由CISCO系列的企業(yè)級核心交換機(jī)WS-C3560-48TS-S組成。其主要任務(wù)是提供高性能�����、高安全性的核心數(shù)據(jù)交換�����、QoS 和為接入層提供高密度的上聯(lián)端口�����。為整個(gè)大樓寬帶辦公網(wǎng)提供交換和路由的核心,完成各個(gè)部分?jǐn)?shù)據(jù)流的中央?yún)R集和分流��。同時(shí)為數(shù)據(jù)中心的服務(wù)器提供千兆高速連接���。 根據(jù)該企業(yè)的建筑分布及網(wǎng)絡(luò)規(guī)模,以行政樓的中心機(jī)房作為整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心節(jié)點(diǎn)����。核心節(jié)點(diǎn)由2臺(tái)同檔次的網(wǎng)絡(luò)核心設(shè)備構(gòu)成,它們互為備份且流量負(fù)載均衡����。2臺(tái)網(wǎng)絡(luò)核心交換機(jī)作為整個(gè)網(wǎng)絡(luò)的核心層設(shè)備,為各個(gè)匯聚層和接入層交換機(jī)提供上聯(lián)����。同時(shí)提供了各個(gè)服務(wù)器的可靠接入。 由于WS-C3560-48TS-S是路由交換機(jī)����,也即同時(shí)具有第二層和第三層的交換能力,為了充分利用資源�,將WWW服務(wù)器、 Email服務(wù)器、數(shù)據(jù)庫服務(wù)器�����、文件VOD服務(wù)器�����、認(rèn)證的服務(wù)器(Radius server)以及網(wǎng)管設(shè)備等通過千兆直接連人核心交換機(jī)���,以解決帶寬瓶頸�����,充分利用核心交換機(jī)的交換能力��。 核心交換機(jī)作為信息網(wǎng)絡(luò)的核心設(shè)備��,性能的優(yōu)劣直接影響到整個(gè)網(wǎng)絡(luò)運(yùn)行���。在設(shè)備的選型上必須考慮到有足夠的背板帶寬,包交換能力����,是否支持設(shè)備的冗余�����,安全性����,擴(kuò)展性等各種性能����。企業(yè)級核心交換機(jī)WS-C3560-48TS-S完全滿足上述的各項(xiàng)要求�����。企業(yè)級核心路由交換機(jī)WS-C3560-48TS-S的性能特性及技術(shù)指標(biāo)如下:交換機(jī)類:企業(yè)級交換機(jī)應(yīng)用層級:三層接口介質(zhì):10/100 BASE-T/ 100FX傳輸速率:10Mbps/100Mbps端口數(shù)量:48背板帶寬:32GbpsVLAN支持:支持網(wǎng)管功能:網(wǎng)管功能 SNMP, CLI,包轉(zhuǎn)發(fā)率:13.1MppsMAC地址:12k網(wǎng)絡(luò)標(biāo)準(zhǔn):IEEE 802.3, 802.3u,端口結(jié)構(gòu):非模塊化2.5.2匯聚層交換機(jī)的設(shè)計(jì)匯聚層主要完成的任務(wù)是對各業(yè)務(wù)接入節(jié)點(diǎn)的業(yè)務(wù)匯聚��、管理和分發(fā)處理����,是完成網(wǎng)絡(luò)流量的安全控制機(jī)制,以使核心網(wǎng)和接入訪問層環(huán)境隔離開來���;同時(shí)匯聚層起著承上啟下的作用�����,對上連接至核心層����,對下將各種寬帶數(shù)據(jù)業(yè)務(wù)分配到各個(gè)接入層的業(yè)務(wù)節(jié)點(diǎn),匯聚層位于中心機(jī)房或下聯(lián)單位的分配線間�,主要用于匯聚接入路由器以及接入交換機(jī)。 因此對匯聚層的交換機(jī)部署時(shí)必須考慮交換機(jī)必須具有足夠的可靠性和冗余度����,防止網(wǎng)絡(luò)中部分接入層變成孤島;還必須具有高處理能力�,以便完成網(wǎng)絡(luò)數(shù)據(jù)會(huì)聚、轉(zhuǎn)發(fā)處理�����;具有靈活�、優(yōu)化的網(wǎng)絡(luò)路由處理能力,實(shí)現(xiàn)網(wǎng)絡(luò)匯聚的優(yōu)化����。而且規(guī)劃匯聚層時(shí)建議匯聚層節(jié)點(diǎn)的數(shù)量和位置應(yīng)根據(jù)業(yè)務(wù)和光纖資源情況來選擇;匯聚層節(jié)點(diǎn)可采用星形連接�,每個(gè)匯聚層節(jié)點(diǎn)保證與兩個(gè)不同的核心層節(jié)點(diǎn)連接。 根據(jù)匯聚層在整個(gè)網(wǎng)絡(luò)中的作用以及用戶的實(shí)際需求���,本方案中匯聚層共設(shè)計(jì)了3個(gè)節(jié)點(diǎn)����,即:行政樓、生產(chǎn)車間和運(yùn)輸樓(工段辦)�。 匯聚層網(wǎng)絡(luò)設(shè)備全部采用了CISCO WS-C3560-24TS-S交換機(jī)。該交換機(jī)支持各種高級路由協(xié)議���,如 BGP4�����、RIPV1、RIPv2����、VRRP、OSPF��、IP 組播�����、IPX 路由���。 匯聚路由交換機(jī)CISCO WS-C3560-24TS-S的性能特性及技術(shù)指標(biāo)如下:交換機(jī)類:企業(yè)級交換機(jī)應(yīng)用層級:三層接口介質(zhì):10/100 BASE-T/ 100FX傳輸速率:10Mbps/100Mbps端口數(shù)量:24背板帶寬:32GbpsVLAN支持:支持網(wǎng)管功能:SNMP, CLI, Web, 管理2.5.3接入層交換機(jī)的設(shè)計(jì)接入層主要用來支撐客戶端機(jī)器對服務(wù)器的訪問��,主要是指接入路由器���、交換機(jī)��、終端訪問用戶����。它利用多種接入技術(shù)��,迅速覆蓋至用戶節(jié)點(diǎn)���,將不同地理分布的用戶快速有效地接入到信息網(wǎng)的匯聚����。對上連接至匯聚層和核心層�����,對下進(jìn)行帶寬和業(yè)務(wù)分配�,實(shí)現(xiàn)用戶的接入。 根據(jù)我們所借鑒的項(xiàng)目設(shè)計(jì)經(jīng)驗(yàn)���,匯聚層節(jié)點(diǎn)與接入層節(jié)點(diǎn)可考慮采用星形連接�,每個(gè)接入層節(jié)點(diǎn)與兩個(gè)匯聚層節(jié)點(diǎn)連接。當(dāng)接入層采用其它結(jié)構(gòu)(如環(huán)行)連接到匯聚層時(shí)��,建議提供兩條不同路由通道��。 根據(jù)接入層處在網(wǎng)絡(luò)系統(tǒng)中所起的作用以及用戶的實(shí)際需求���,本方案中接入層部分由CISCO公司的WS-C2918-24TC-C交換機(jī)構(gòu)成��。其主要功能是為該區(qū)域下屬各部門的網(wǎng)絡(luò)用戶提供大量性價(jià)比極高的10/100 兆網(wǎng)絡(luò)接口�����,并與信息中心的核心交換機(jī)通過 1000 兆光纖鏈路互聯(lián)為接入的用戶提供高速上聯(lián)。接入層樓層交換機(jī)CISCO WS-C2918-24TC-C的性能特性及技術(shù)指標(biāo)情況如下:交換機(jī)類:快速以太網(wǎng)交換機(jī)應(yīng)用層級:二層傳輸速率:10Mbps/100Mbps/1000M端口數(shù)量:24背板帶寬:16GbpsVLAN支持:支持網(wǎng)管功能:Cisco IOS CLI,Web瀏包轉(zhuǎn)發(fā)率:6.5MppsMAC地址:8K網(wǎng)絡(luò)標(biāo)準(zhǔn):IEEE 802.1D,IEEE 802端口結(jié)構(gòu):非模塊化交換方式:存儲(chǔ)-轉(zhuǎn)發(fā)產(chǎn)品內(nèi)存:64MB傳輸模式:支持全雙工網(wǎng)管支持:支持模塊化插:22.5.4路由協(xié)議的設(shè)計(jì)如果網(wǎng)絡(luò)中只有一個(gè)路由器或路由交換機(jī)�����,不需要使用路由協(xié)議����;只有當(dāng)網(wǎng)絡(luò)中具有多個(gè)路由器時(shí),才有必要讓它們?nèi)ス蚕硇畔?��。但如果僅有小型網(wǎng)絡(luò)���,完全可以通過靜態(tài)路由手動(dòng)地更新路由表?�,F(xiàn)使用較多的路由協(xié)議����,主要以下幾種: (1)RIP RIP(Route information protocol����,即路由信息協(xié)議)是基于 D-V算法(距離向量算法)的內(nèi)部動(dòng)態(tài)路由協(xié)議。RIP 協(xié)議的標(biāo)準(zhǔn)主要有 RFC1058(版本 1)和 RFC1723(版本2)����。 (2)OSPF OSPF(Open Shortest Path First,即最短路徑優(yōu)先協(xié)議)是一種基于鏈路狀態(tài)的內(nèi)部動(dòng)態(tài)路由協(xié)議��。目前 OSPF 的主要標(biāo)準(zhǔn)是 RFC2328(版本 2)����。完整的OSPF 功能包括支持廣播、NBMA����、點(diǎn)到多點(diǎn)�、點(diǎn)到點(diǎn)四種接口類型����,以及MD5 驗(yàn)證、區(qū)域劃分���、區(qū)域間路由聚合����、虛連接���、STUB 區(qū)域等特性��。 (3)IS-IS IS-IS(Intermediate System - Intermediate System�����,中間系統(tǒng)到中間系統(tǒng)協(xié)議)是由國際標(biāo)準(zhǔn)化組織(ISO)制訂的路由協(xié)議,屬于開放系統(tǒng)互聯(lián)協(xié)議簇�。IS-IS 對應(yīng)的標(biāo)準(zhǔn)是 ISO 10589 和 RFC1195。 在 IGP 路由協(xié)議的選擇上�,盡量不要采用擴(kuò)展性差的(RIP)和廠家的私有路由協(xié)議(IGRP和 EIGRP),盡量采用 OSPF 或 IS-IS����。 對于 OSPF 和 IS-IS 的選擇依據(jù)為:基本原理相同(基于鏈路狀態(tài)算法)����,OSPF 用于 IP��, IS-IS 用于 ISO 的 CLNP��,也支持 IP(“集成 IS-IS” )����;IS-IS 結(jié)構(gòu)嚴(yán)謹(jǐn),OSPF 更加靈活����,OSPF協(xié)議是基于接口的,而IS-IS 路由器只能屬于一個(gè) Area��,并且不支持 NBMA 網(wǎng)絡(luò)�����; IS-IS 占用網(wǎng)絡(luò)資源相對較少����,支持網(wǎng)絡(luò)規(guī)模大于OSPF����,在網(wǎng)絡(luò)相當(dāng)龐大時(shí)能體現(xiàn)出優(yōu)勢��;一個(gè) IGP 域運(yùn)行的三層交換機(jī)及路由器的數(shù)量一般不會(huì)超過200 臺(tái)����,因此從實(shí)際情況來看,運(yùn)行OSPF 和 IS-IS 對 IP 城域網(wǎng)/承載網(wǎng)的建設(shè)不會(huì)有差異����;對于網(wǎng)絡(luò)的穩(wěn)定性、可擴(kuò)充性���,兩種協(xié)議都能很好地支持����;在大型 ISP 上�,IS-IS 與 OSPF 二者均獲得普遍應(yīng)用; 從 MPLS 草案及現(xiàn)實(shí)運(yùn)行來看�����,如果要運(yùn)行 MPLS 網(wǎng)絡(luò)的話���,OSPF 經(jīng)常被選用做內(nèi)部 IGP����,當(dāng)然 IS-IS 也有���,但是 MPLS 草案中認(rèn)為在 MPLS 環(huán)境中運(yùn)行 OSPF 更合適�����;使用 MPLS TE 的時(shí)候�����,采用 IS-IS 擴(kuò)展的較多����; 從目前很多廠商的設(shè)備來看���,存在這樣一個(gè)問題��,不少廠商的中低端路由器及三層交換機(jī)不支持 IS-IS��,從這個(gè)角度講 OSPF 比 IS-IS 有優(yōu)勢�����,所有的主流路由器及三層交換機(jī)都支持OSPF�����。 OSPF 路由協(xié)議相應(yīng)的配置策略為: AS內(nèi)部節(jié)點(diǎn)均運(yùn)行OSPFv2路由協(xié)議���; 如果與別的IP網(wǎng)絡(luò)互通�����,建議配置EBGP路由協(xié)議����,并且配置OSPF引入BGP路由���; 為減少處理開銷和網(wǎng)絡(luò)開銷���,可將網(wǎng)絡(luò)的主干部分劃分為 OSPF 主干區(qū)域(區(qū)域號(hào)為 0), 在邊緣的支局子網(wǎng)配置成為OSPF 子區(qū)域���,從而分散路由處理���,減少網(wǎng)絡(luò)帶寬占用。通過配置區(qū)域��,使 OSPF 可以分層次管理大型網(wǎng)絡(luò)���,實(shí)現(xiàn)可擴(kuò)展性����。使用 OSPF 協(xié)議必須考慮到骨干區(qū)域的連通性�,即使某條鏈路斷掉后能保證骨干區(qū)域不會(huì)分離;另外���,還需要考慮網(wǎng)絡(luò)邊緣層設(shè)備的動(dòng)蕩對于核心網(wǎng)絡(luò)的影響�。 對于本次方案����,根據(jù)初期階段實(shí)現(xiàn)目標(biāo):實(shí)現(xiàn)信息點(diǎn)最優(yōu)連通,建議采用OSPF 路由協(xié)議使路由全網(wǎng)可達(dá)��。具體設(shè)計(jì)如下: 核心交換機(jī)與匯聚交換機(jī)都為三層路由交換機(jī)���,相互間使用 OSPF 路由協(xié)議����,并運(yùn)行在 AREAR 0區(qū)域上。 核心交換機(jī)為三層交換機(jī)����,與防火墻連接通過采用 IP 靜態(tài)路由的方式,防火墻通過配置缺省路由使網(wǎng)絡(luò)用戶對Internet進(jìn)行訪問�。2.5.5 IP地址的設(shè)計(jì)2.5.5.1 IP地址規(guī)劃和分配原則(1)根據(jù)目前網(wǎng)絡(luò)結(jié)構(gòu)和以后擴(kuò)展,遵循以下原則進(jìn)行IP 地址分配���。 u 唯一性:IP 地址必須唯一����,一個(gè) IP 地址對應(yīng)一臺(tái)數(shù)據(jù)通訊設(shè)備����; u 連續(xù)性:為同一網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址,便于規(guī)劃����,同時(shí)提高路由器尋徑效率; u 可管理性:地址的分配應(yīng)該有層次性�,某個(gè)局部的變動(dòng)不影響網(wǎng)絡(luò)的其它部分���; u 高效性:采用可變長子網(wǎng)掩碼技術(shù),要求采用支持可變長子網(wǎng)掩碼技術(shù)的 TCP/IP 協(xié)議族����; u 可匯聚性:方便路由匯總,縮減路由表?xiàng)l目����,提高路由器處理效率����。 u 可擴(kuò)展性:既要考慮到 IP 地址的使用現(xiàn)狀,又要考慮到未來信息網(wǎng)絡(luò)的發(fā)展�,為各單位分配合理的地址空間,在網(wǎng)絡(luò)上盡可能少地做 NAT�����,減少網(wǎng)絡(luò)設(shè)備 CPU 處理負(fù)擔(dān)和加快網(wǎng)絡(luò)訪問速度�。 (2)業(yè)務(wù)地址的劃分可以按照兩個(gè)原則來分配: u 按照部門規(guī)劃,每個(gè)部門一個(gè)獨(dú)立的網(wǎng)段�����;這種方案適合業(yè)務(wù)種類單一的情況,管理方便��。 u 按照業(yè)務(wù)規(guī)劃���,每種業(yè)務(wù)一個(gè)網(wǎng)段����,所有的地市同一業(yè)務(wù)使用同一網(wǎng)段����,這種方案適合業(yè)務(wù)之間互訪的控制。 2.5.5.2 網(wǎng)絡(luò)地址分配 IP 地址規(guī)劃和分配包括以下內(nèi)容: (1)設(shè)備及互連鏈路地址規(guī)劃與分配 (2)業(yè)務(wù)地址規(guī)劃與分配 (3)服務(wù)器地址規(guī)劃與分配 根據(jù)以上 IP 地址的劃分原則�����,本方案建議 IP 的設(shè)計(jì)如下:A段(行政樓���、門衛(wèi)): 192.168.0.0192.168.3.255/22B段(生產(chǎn)車間�、產(chǎn)區(qū)辦):192.168.4.0192.168.5.255/23C段(運(yùn)輸樓��、工段辦): 192.168.6.0192.168.6.31/272.5.6 VLAN的設(shè)計(jì)2.5.6.1 VLAN的劃分的作用及原則VLAN(Virtual Local Area Network)是虛擬局域網(wǎng)的英文縮寫�,它最簡明的描述就是可以實(shí)現(xiàn)將連接在同一個(gè)物理網(wǎng)絡(luò)上面的主機(jī)分組,使它們看起來就象連接在不同的網(wǎng)絡(luò)上一樣。我們可以通過 VLAN 為網(wǎng)絡(luò)分段�����,各個(gè)網(wǎng)段可以共用同一套網(wǎng)絡(luò)設(shè)備�����,節(jié)約了網(wǎng)絡(luò)硬件的開銷����,同時(shí)在遷移中所需的工作量也大幅度降低了,從而降低了連網(wǎng)成本����。在用戶的企業(yè)局域網(wǎng)系統(tǒng)中�,我們建議基于IEEE 802.1Q 標(biāo)準(zhǔn)實(shí)現(xiàn) VLAN,在 VLAN 設(shè)計(jì)中���,我們使用 VLAN 達(dá)到兩個(gè)目的: 第一�����,不同業(yè)務(wù)部門之間的隔離和通信控制��; 第二����,廣播范圍抑制。2.5.6.2 VLAN 劃分我們建議根據(jù)各個(gè)辦公室的地理位置來劃分VLAN���, 如果同一棟樓內(nèi)包含很多部門���,而這些部門的職能和工作內(nèi)容又有很大的區(qū)別,我們就可以在樓內(nèi)按照部門來劃分VLAN���。 另外��,如果某個(gè)部門需要跨越很多建筑物���,分布范圍比較廣,例如部門A 分布的很散�,在很多交換機(jī)上都預(yù)留了部門 A 的信息點(diǎn),我們則可以按照交換機(jī)的位置來設(shè)置 VLAN����,這樣,部門A就可能對應(yīng)多個(gè)VLAN����,如果部門A所對應(yīng)的VLAN之間需要通信的話�,我們可以通過VLAN間的路由來實(shí)現(xiàn)�。這樣做的好處是:可以減少廣播數(shù)據(jù)包對網(wǎng)絡(luò)主干的影響。因?yàn)槿绻麑⒉块TA 全部劃分到一個(gè) VLAN 中���,而這些 VLAN 又跨越了網(wǎng)絡(luò)主干�,分布在眾多不同的交換機(jī)上��,這樣如果有廣播包時(shí)�����,這些廣播包必然會(huì)在網(wǎng)絡(luò)的主干上傳輸�����,然后到達(dá)相應(yīng)的交換機(jī)上���,也就占用了網(wǎng)絡(luò)主干的帶寬,容易造成其他業(yè)務(wù)的時(shí)延�����。 為了減少傳輸沖突,提高系統(tǒng)整體性能和網(wǎng)絡(luò)處理能力�,另外,還考慮到網(wǎng)絡(luò)良好的管理性���,易于維護(hù)和安全策略的實(shí)施�����,針對用戶網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況�����,可以把功能(應(yīng)用)相近的設(shè)備群組劃分到同一VLAN�,不同部門的設(shè)備劃分到不同VLAN 中去��,這樣就能夠通過訪問控制列表技術(shù)實(shí)施安全策略�。限制未授權(quán)的用戶訪問重要的服務(wù)器和數(shù)據(jù)庫。VLAN劃分舉例:VLAN用途命名規(guī)范表Vlan10財(cái)務(wù)部FINANCIALVlan11市場銷售部MARKETVlan12管理部MANAGING2.5.6.3 VLAN 之間安全控制在用戶網(wǎng)絡(luò)系統(tǒng)中�,由于在中心使用了三層核心交換機(jī),因此所有的VLAN 之間的訪問都需要通過三層核心交換機(jī)進(jìn)行����,因此可以通過ACL(訪問控制列表)控制VLAN之間的流量,這樣就可以允許高優(yōu)先級的VLAN段訪問低優(yōu)先級的VLAN段�,而低優(yōu)先級的VLAN 段不能訪問或有限的訪問高優(yōu)先級 VLAN段����。2.5.7網(wǎng)管系統(tǒng)的設(shè)計(jì)網(wǎng)絡(luò)管理系統(tǒng)時(shí)對整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)視��、控制和維護(hù)管理�����,以提高網(wǎng)絡(luò)的有效性��、利用率���、安全性和可靠性��。網(wǎng)絡(luò)管理系統(tǒng)由網(wǎng)管中心��、網(wǎng)管單元���、管理信息庫和網(wǎng)絡(luò)管理協(xié)議四部分組成。 網(wǎng)管中心是網(wǎng)管人員和管理信息系統(tǒng)間的接口�����,它將網(wǎng)管人員的命令轉(zhuǎn)換為對實(shí)際網(wǎng)元的監(jiān)視和控制��。網(wǎng)管單元在每個(gè)節(jié)點(diǎn)執(zhí)行各項(xiàng)網(wǎng)絡(luò)管理任務(wù)���,采集網(wǎng)絡(luò)資源信息�����,存儲(chǔ)本地相關(guān)數(shù)據(jù)并響應(yīng)網(wǎng)管人員命令�。管理信息庫(MIB)存放各種網(wǎng)絡(luò)管理信息的特征參數(shù)和邏輯結(jié)構(gòu)�����。網(wǎng)絡(luò)管理協(xié)議按規(guī)約執(zhí)行網(wǎng)管人員與網(wǎng)管單元和管理信息庫之間的通信���。 該企業(yè)網(wǎng)絡(luò)系統(tǒng)設(shè)一個(gè)網(wǎng)管中心���,該中心設(shè)在行政樓機(jī)房,負(fù)責(zé)對全網(wǎng)進(jìn)行管理��。2.6外部網(wǎng)絡(luò)設(shè)計(jì)該企業(yè)網(wǎng)絡(luò)用戶為對Internet進(jìn)行訪問����,而且為了保證其安全性,要求能夠訪問Internet的用戶與不能訪問Internet的用戶進(jìn)行完全的物理隔離����,則需要另建立一套網(wǎng)絡(luò)系統(tǒng)(簡稱為外網(wǎng))��。網(wǎng)絡(luò)用戶(即外網(wǎng)用戶) 通過外網(wǎng)布線系統(tǒng)接至各樓層的交換機(jī)����,匯總到外網(wǎng)的主交換機(jī)后����,接入到防火墻上,防火墻通過 IP 地址轉(zhuǎn)換功能(NAT)����,將網(wǎng)絡(luò)用戶(即外網(wǎng)用戶)的私有 IP 地址轉(zhuǎn)換成Internet公網(wǎng) IP 地址,通過光電轉(zhuǎn)換器與電信相連的方式訪問Internet�,以使該企業(yè)網(wǎng)絡(luò)內(nèi)外網(wǎng)互相獨(dú)立,達(dá)到完全的物理隔離的目的���。與外部網(wǎng)絡(luò)互連的設(shè)備是帶防火墻的路由器�����,根據(jù)需要選擇企業(yè)級路由器D-Link DI-7500的性能特性及技術(shù)指標(biāo)情況如下:端口結(jié)構(gòu):非模塊化廣域網(wǎng)接:2個(gè)局域網(wǎng)接:4個(gè)傳輸速率:10/100/1000Mbps網(wǎng)絡(luò)管理:GUI/WEB管理用戶數(shù)量:800臺(tái)防火墻:內(nèi)置防火墻Qos支持:支持VPN支持:支持處理器:64位全千兆網(wǎng)絡(luò)芯片網(wǎng)絡(luò)安全:支持網(wǎng)站過濾 上網(wǎng)限制狀態(tài)指示:Link/Act�����,速度���,電源,電源功率:最大25W環(huán)境標(biāo)準(zhǔn):工作溫度:0-40 工作其它性能:ADSL�����、光纖���、以太網(wǎng)���、CA2.7綜合布線局域網(wǎng)布線設(shè)計(jì)的依據(jù)是網(wǎng)絡(luò)的分布架構(gòu)。網(wǎng)絡(luò)布線必須有較長遠(yuǎn)的考慮�����。對于大型局域網(wǎng)����,連接公司院內(nèi)各個(gè)建筑物的網(wǎng)絡(luò)通常選擇光纖,統(tǒng)一規(guī)劃��,冗余設(shè)計(jì)���,使用線纜保護(hù)管道并且埋入地下�。建筑物內(nèi)又分為連接各個(gè)樓層的垂直布線子系統(tǒng)和連接同一樓層各個(gè)房間入網(wǎng)計(jì)算機(jī)的水平布線子系統(tǒng)。如果設(shè)有信息中心網(wǎng)絡(luò)機(jī)房�,還應(yīng)該考慮機(jī)房的特殊布線需求。在局域網(wǎng)布線時(shí)����,應(yīng)該充分考慮到將來網(wǎng)絡(luò)擴(kuò)展可能需要的最大接入節(jié)點(diǎn)數(shù)量、接入位置的分布和用戶使用的方便性�。若整座建筑物接入局域網(wǎng)的節(jié)點(diǎn)計(jì)算機(jī)不多,可以采用從一個(gè)接入層節(jié)點(diǎn)直接連接所有入網(wǎng)節(jié)點(diǎn)的設(shè)計(jì)����。若建筑物的每個(gè)樓層都分布有大量接入節(jié)點(diǎn),就需要設(shè)計(jì)垂直布線子系統(tǒng)和水平布線子系統(tǒng)�����,并且在每層樓設(shè)置專門的配線間�,安置該樓層的接入層節(jié)點(diǎn)網(wǎng)絡(luò)設(shè)備和配線裝置。水平布線子系統(tǒng)通常采用非屏蔽雙絞線或屏蔽雙絞線���,如何選擇線纜類型和帶寬根據(jù)應(yīng)用需求決定����。連接各個(gè)樓層交換機(jī)的垂直布線子系統(tǒng)通常采用光纖。企業(yè)綜合布線系統(tǒng)由工作區(qū)子系統(tǒng)�、水平布線子系統(tǒng)、垂直干線子系統(tǒng)����、管理子系統(tǒng)和建筑群子系統(tǒng)組成���。它的設(shè)計(jì)原則如下:(1)開放性嚴(yán)格按照IEEE802�����、EIA/TIA 568等工業(yè)及建筑布線標(biāo)準(zhǔn)和中國建筑電氣設(shè)計(jì)/工業(yè)企業(yè)通信設(shè)計(jì)規(guī)范���。(2)實(shí)用性適應(yīng)企業(yè)現(xiàn)在和將來發(fā)展的需要,具備數(shù)據(jù)通信���、語音通信和圖像通信的功能�����。(3)靈活性布線系統(tǒng)中任一信息點(diǎn)能夠很方便地與多種類型設(shè)備(如電話��、計(jì)算機(jī)�����、檢測器件以及傳真等)進(jìn)行連接�����。(4)可擴(kuò)展性布線系統(tǒng)具有較強(qiáng)的可擴(kuò)展性��,在將來需要時(shí)可以很容易地將所擴(kuò)充的設(shè)備連接到系統(tǒng)中來��,實(shí)現(xiàn)各種網(wǎng)絡(luò)服務(wù)與應(yīng)用�。(5)經(jīng)濟(jì)性綜合布線系統(tǒng)是一種既具有良好的初期投資特性,即在今后若干年中不增加新的投資情況下仍能保持建筑物的先進(jìn)性�����,又是具有極高的性能價(jià)格比的高科技產(chǎn)品��。通常情況下��,綜合布線系統(tǒng)的使用壽命為15年���。(6)可靠性綜合布線系統(tǒng)采用高品質(zhì)的材料和組合壓接的方式構(gòu)成一套高標(biāo)準(zhǔn)的信息通道�����。每條通道都采用專用儀器校核線路衰減���、串音�、信噪比����,以保證其電氣性能不會(huì)造成交叉干擾��。所以�,北方公司應(yīng)采用綜合布線系統(tǒng),才能更好的發(fā)揮千兆局域網(wǎng)的威力���。第三章 網(wǎng)絡(luò)系統(tǒng)安全性設(shè)計(jì)分析網(wǎng)絡(luò)安全是一種策略及管理�����,而不僅僅是某一種產(chǎn)品��,是一個(gè)系統(tǒng)工程�����,它包括了物理層���、網(wǎng)絡(luò)層���、應(yīng)用層等一系列安全措施和策略。從外在上安全包括五個(gè)基本要素:機(jī)密性���、完整性����、可用性���、可控性與可審查性��。 u 機(jī)密性:確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程��。 u 完整性:只有得到允許的人才能修改數(shù)據(jù)��,并且能夠判別出數(shù)據(jù)是否已被篡改��。 u 可用性:得到授權(quán)的實(shí)體在需要時(shí)可訪問數(shù)據(jù)����,即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。 u 可控性:可以控制授權(quán)范圍內(nèi)的信息流向及行為方式��。 u 可審查性:對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段��。3.1網(wǎng)絡(luò)安全設(shè)計(jì)通常認(rèn)為�,安全是三分技術(shù),七分管理�����,因此我們建議該企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)措施:3.1.1人員角色劃分要對用戶網(wǎng)絡(luò)進(jìn)行有效的安全管理�����,必須對系統(tǒng)的使用人員和管理人員的不同角色進(jìn)行清晰的劃分�,不同的角色擁有不同的權(quán)限和職責(zé)��,互相制約����,共同保障整個(gè)系統(tǒng)的安全性。 對于用戶網(wǎng)絡(luò)系統(tǒng)涉及的各類人員�����,我們建議劃分如下角色:(1) 決策專家。(2) 安全管理員����。(3) 審計(jì)員。(4) 系統(tǒng)管理員�����。3.1.2路由認(rèn)證和保護(hù)路由認(rèn)證(Routing Authentication)��,就是運(yùn)行于不同設(shè)備的相同的動(dòng)態(tài)路由協(xié)議之間����,對相互傳遞的路由刷新報(bào)文進(jìn)行的確認(rèn),以便使得設(shè)備能夠接受真正而安全的路由刷新報(bào)文�。 任何運(yùn)行一個(gè)不支持路由認(rèn)證的路由協(xié)議,都存在著巨大的安全隱患��。某些惡意的攻擊者可以利用這些漏洞�,向網(wǎng)絡(luò)發(fā)送不正確或者不一致的路由刷新,由于設(shè)備無法證實(shí)這些刷新�,而使得設(shè)備被欺騙,最終導(dǎo)致網(wǎng)絡(luò)的癱瘓����。 目前����,多數(shù)路由協(xié)議支持路由認(rèn)證�����,并且實(shí)現(xiàn)的方式大體相同��。認(rèn)證過程有基于明文的���,也有基于更安全的MD5 校驗(yàn)���。MD5 認(rèn)證與明文認(rèn)證的過程類似,只不過密鑰不在網(wǎng)絡(luò)上以明文方式直接傳送���。路由器將使用 MD5 算法產(chǎn)生一個(gè)密鑰的“消息摘要”���。這個(gè)消息摘要將代替密鑰本身發(fā)送出去��。這樣可以保證沒有人可以在密鑰傳輸?shù)倪^程中竊取到密鑰信息����。使用MD5 認(rèn)證算法的路由協(xié)議有: OSPF RIP 版本 2 BGP4 EIGRP3.1.3關(guān)閉IP功能服務(wù)有些 IP 特性對局域網(wǎng)來說是有用的����,但對廣域網(wǎng)或城域網(wǎng)節(jié)點(diǎn)的設(shè)備是不適用的���。如果這些特性被惡意攻擊者利用���,會(huì)增加網(wǎng)絡(luò)的危險(xiǎn),因此���,網(wǎng)絡(luò)設(shè)備應(yīng)具備關(guān)閉這些IP 功能的能力�。因?yàn)?IP 源路由選項(xiàng)忽略了報(bào)文傳輸路徑中的各個(gè)設(shè)備的中間轉(zhuǎn)發(fā)過程�,而不管轉(zhuǎn)發(fā)接口的工作狀態(tài),可能被惡意攻擊者利用��,刺探網(wǎng)絡(luò)結(jié)構(gòu)���。 因此����,設(shè)備應(yīng)能關(guān)閉 IP 源路由選項(xiàng)功能���。設(shè)備應(yīng)能關(guān)閉ICMP 重定向報(bào)文的轉(zhuǎn)發(fā)�。設(shè)備應(yīng)能關(guān)閉定向廣播報(bào)文的轉(zhuǎn)發(fā)。缺省應(yīng)為關(guān)閉狀態(tài)�。3.1.4用戶的安全防護(hù)用戶驗(yàn)證是實(shí)現(xiàn)用戶安全防護(hù)的基礎(chǔ)功能。只有對用戶進(jìn)行識(shí)別和區(qū)分����,才能有效的對其進(jìn)行保護(hù)。經(jīng)過驗(yàn)證的用戶可以享受服務(wù)�����,而未經(jīng)驗(yàn)證的用戶則被拒絕��。用戶驗(yàn)證一般都與用戶流量參數(shù)的配置結(jié)合在一起��。用戶的流量合同從業(yè)務(wù)服務(wù)器下載到業(yè)務(wù)接入節(jié)點(diǎn)����,作為對用戶提供服務(wù)的依據(jù)。用戶驗(yàn)證的手段包括:PPP 驗(yàn)證���、WEB 驗(yàn)證和端口驗(yàn)證�、以及 802.1x 的驗(yàn)證�����。3.2網(wǎng)絡(luò)的VLAN的安全管理設(shè)計(jì)分析網(wǎng)絡(luò)解決方案中的交換機(jī)可以劃分基于端口的VLAN���,ACL的安全特性允許對所有訪問進(jìn)行鑒權(quán)�����,不只是對交換機(jī)的管理和配置訪問�,還包括通過這些交換機(jī)對基礎(chǔ)設(shè)施的訪問����。這個(gè)軟件特性使網(wǎng)絡(luò)訪問僅限于授權(quán)的和委托的用戶,同時(shí)它還全程跟蹤網(wǎng)絡(luò)連接�����。 核心及匯聚交換機(jī)通過數(shù)據(jù)包頭中的數(shù)據(jù)鏈路層(MAC)���、網(wǎng)絡(luò)層(IP����、IPX)和傳輸層(TCP���、UDP���、RTP�、Sock)的信息進(jìn)行訪問控制���,可以充分的保證各個(gè) VLAN之間的安全性��,而且可以防止不必要和不符合訪問策略的網(wǎng)絡(luò)訪問��。對整個(gè)網(wǎng)絡(luò)運(yùn)作性能���、故障、問題進(jìn)行分析����,定時(shí)產(chǎn)生報(bào)告。訪問控制從第二層端口MAC�,第三層網(wǎng)段IP,到第四層應(yīng)用級別���,均可控制�。支持 RADIUS���、TACACS+驗(yàn)證�。3.3 Internet安全訪問設(shè)計(jì)分析為了保證用戶上聯(lián)Internet的系統(tǒng)安全�����,防止黑客及其他的非法侵入����,本方案在Internet的出口放置防火墻。通過采用防火墻的安全技術(shù)屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)�,同時(shí)利用訪問控制列表對數(shù)據(jù)包進(jìn)行過濾,根據(jù)需要封閉存在安全漏洞所用的協(xié)議和端口����,保證內(nèi)部網(wǎng)絡(luò)的安全。第四章 項(xiàng)目管理4.1項(xiàng)目管理目標(biāo)良好的項(xiàng)目管理是系統(tǒng)集成企業(yè)長期成功的根本保證��,項(xiàng)目管理目標(biāo)為:有效的分配人力���、物力資源��,使得項(xiàng)目的建設(shè)能按工程進(jìn)度計(jì)劃高質(zhì)量�、高效率����、低成本地完成���。4.2項(xiàng)目組織機(jī)構(gòu)為確保該企業(yè)網(wǎng)絡(luò)系統(tǒng)項(xiàng)目的順利進(jìn)行,在規(guī)定時(shí)間內(nèi)完成交貨���、安裝和調(diào)試���,我方將成立專門的項(xiàng)目組織機(jī)構(gòu)并對項(xiàng)目組織機(jī)構(gòu)成員的職責(zé)進(jìn)行了分工。大致分工為:項(xiàng)目經(jīng)理�、技術(shù)負(fù)責(zé)人、項(xiàng)目管理員��、工作組���。4.3項(xiàng)目進(jìn)度計(jì)劃4.3.1項(xiàng)目總體進(jìn)度計(jì)劃4.3.2項(xiàng)目進(jìn)度Gantt圖(甘特圖) 4.3.3項(xiàng)目進(jìn)度詳細(xì)說明4.3.3.1需求分析需求分析是開發(fā)過程中最關(guān)鍵的階段����,需要克服需求收集的困難�,采用多種方式與用戶交流,才能挖掘出網(wǎng)絡(luò)工程的全面需求��。需求分析有助于設(shè)計(jì)者更好地理解網(wǎng)絡(luò)應(yīng)該具有什么樣的功能和性能���,最終設(shè)計(jì)出符合用戶需求的網(wǎng)絡(luò)����。收集需求的范圍如下:(1) 業(yè)務(wù)需求。(2) 用戶需求���。(3) 應(yīng)用需求。(4) 計(jì)算機(jī)平臺(tái)需求�。(5) 網(wǎng)絡(luò)通信需求。需求分析的輸出是產(chǎn)生一份需求說明書�,也就是需求規(guī)范。在完成需求說明書之后��,管理者與網(wǎng)絡(luò)設(shè)計(jì)者應(yīng)該達(dá)成共識(shí)����,并在文件上簽字。在形成需求說明書的同時(shí)��,網(wǎng)絡(luò)設(shè)計(jì)人員還必須與網(wǎng)絡(luò)管理部門就需求的變化建立起需求變更機(jī)制��,明確允許的變更范圍���。這些內(nèi)容正式通過后�,開發(fā)過程就可以進(jìn)入下一個(gè)階段。4.3.3.2現(xiàn)有網(wǎng)絡(luò)系統(tǒng)的分析在這一階段��,應(yīng)該給出一份正式的通信規(guī)范說明文檔���,作為下一階段的輸入�。網(wǎng)絡(luò)分析階段應(yīng)該提供的通信規(guī)范說明文檔包含下列內(nèi)容:(1) 現(xiàn)有網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)圖���。(2) 現(xiàn)有網(wǎng)絡(luò)的容量�����,以及新網(wǎng)絡(luò)所需的通信量和通信模式�。(3) 詳細(xì)的統(tǒng)計(jì)數(shù)據(jù)��,直接反應(yīng)現(xiàn)有網(wǎng)絡(luò)性能的測試量���。(4) Internet接口和廣域網(wǎng)提供的服務(wù)質(zhì)量報(bào)告�。(5) 限制因素列表�,例如使用線纜和設(shè)備清單等。4.3.3.3確定網(wǎng)絡(luò)邏輯結(jié)構(gòu)網(wǎng)絡(luò)邏輯結(jié)構(gòu)設(shè)計(jì)是體現(xiàn)網(wǎng)絡(luò)設(shè)計(jì)核心思想的關(guān)鍵階段��,在這一階段根據(jù)需求規(guī)范和通信規(guī)范選擇一種比較適宜的網(wǎng)絡(luò)邏輯結(jié)構(gòu)���,并實(shí)施后續(xù)的資源分配規(guī)劃�、安全規(guī)劃等內(nèi)容。該階段最后得到一份邏輯設(shè)計(jì)報(bào)告���,輸出的內(nèi)容包括以下幾點(diǎn):(1) 網(wǎng)絡(luò)邏輯設(shè)計(jì)圖�����。(2) IP地址分配方案���。(3) 安全管理方案��。(4) 具體的軟硬件�����、廣域網(wǎng)連接設(shè)備和基本的網(wǎng)絡(luò)服務(wù)�����。(5) 招聘和培訓(xùn)網(wǎng)絡(luò)員工的具體說明�。(6) 對軟硬件費(fèi)用、服務(wù)提供費(fèi)用以及員工和培訓(xùn)費(fèi)用的初步估計(jì)�����。4.3.3.4確定網(wǎng)絡(luò)物理結(jié)構(gòu)物理網(wǎng)絡(luò)設(shè)計(jì)是邏輯網(wǎng)絡(luò)設(shè)計(jì)的具體體現(xiàn),通過對設(shè)備的具體物理分布���、運(yùn)行環(huán)境等的確定來確保網(wǎng)絡(luò)的物理連接符合邏輯設(shè)計(jì)的要求��。網(wǎng)絡(luò)物理結(jié)構(gòu)文檔必須盡可能詳細(xì)�、清晰�����,輸出內(nèi)容如下:(1) 網(wǎng)絡(luò)物理結(jié)構(gòu)圖和布線方案���。(2) 設(shè)備和部件的詳細(xì)列表清單�。(3) 軟硬件和安裝費(fèi)用的估計(jì)�。(4) 安裝日程表,詳細(xì)說明服務(wù)的時(shí)間以及期限��。(5) 安裝后的測試計(jì)劃��。(6) 用戶的培訓(xùn)計(jì)劃�。4.3.3.5安裝和維護(hù)(一)安裝。安裝階段應(yīng)該產(chǎn)生的輸出:邏輯網(wǎng)絡(luò)結(jié)構(gòu)圖和物理網(wǎng)絡(luò)結(jié)構(gòu)部署圖�����。符合規(guī)范的設(shè)備連接圖和布線圖。運(yùn)營維護(hù)記錄和文檔��。(二)維護(hù)��。網(wǎng)絡(luò)投入運(yùn)行后����,需要大量的故障檢測和故障恢復(fù),以及網(wǎng)絡(luò)升級和性能優(yōu)化等維護(hù)工作����。第五章 工程預(yù)算5.1項(xiàng)目總體預(yù)算【項(xiàng)目報(bào)價(jià)列表】(金額單位:元)序號(hào)名稱成本金額報(bào)價(jià)金額本項(xiàng)毛利利潤比率1網(wǎng)絡(luò)設(shè)備718,774.00915993.36197,219.3627.44%2服務(wù)器 334,253.00378718.4544,465.4513.3%3安全系統(tǒng)77,200.0090555.6013,355.6017.3%4系統(tǒng)軟件31,700.0041923.2510,223.2532.25%5機(jī)房建設(shè)71,500.0089726.4018,226.4025.49%6綜合布線99,039.00113933.8514,894.8515.04%7光纖設(shè)備344,576.00395066.0050,490.0014.65%8培訓(xùn) 36,600.0049410.0012,810.0035.%9其它費(fèi)用.000.00%設(shè)備報(bào)價(jià)1,713,642.002,075,326.91361,684.9117.43%【項(xiàng)目報(bào)價(jià)統(tǒng)計(jì)】標(biāo)號(hào)收費(fèi)說明計(jì)算公式計(jì)算值A(chǔ)設(shè)備報(bào)價(jià)2,075,326.91C稅金 A*0.05103,766.35合計(jì) 2,179,093.26最終合計(jì) 2,179,093.00【項(xiàng)目報(bào)價(jià)分析】成本部份A1,713,642.00報(bào)價(jià)部份B2,179,093.00稅前利潤C(jī) C=B-A465,451.00稅金 D D=(BX0.%).00稅后利潤 E E=C-D465,451.00項(xiàng)目利潤率F F=(E/B)X100%21.36%5.2網(wǎng)絡(luò)設(shè)備序號(hào) 名稱 品牌 型號(hào)規(guī)格 數(shù)量 單位 成本單價(jià)(元) 成本合價(jià)(元) 網(wǎng)絡(luò)中心1 WS-C6509-1300ACCISCO Catalyst 6509 Chassis w/ 1300W AC Power Supply1 臺(tái) ¥71,349.00¥71,349.00 2 WS-CAC-1300W/2 CISCO Catalyst 6000 Second 1300W AC Power Supply1 個(gè) ¥20,376.00¥20,376.00 3 WS-X6K-S1A-MSFC2CISCO Catalyst 6000 Supervisor Engine1-A, 2GE, plus MSFC-2 and PFC 1 套 ¥152,976.00¥152,976.00 4 WS-X6416-GBICCISCO 16端口千兆以太網(wǎng)模塊 1 塊 ¥101,976.00¥101,976.00 5 WS-X6324-100FX-MMCISCO Catalyst 6000 24-port 100FX, Enh QoS, MT-RJ, MMF1 塊 ¥76,476.00¥76,476.00 6 WS-C3524-XL-ENCISCO Catalyst 3524 XL Enterprise Edition 1 臺(tái) ¥13,479.00¥13,479.00 7 WS-G5484CISCO 1000BASELX/LH GBIC10 個(gè) ¥2,200.00¥22,000.00 8 WS-G5482CISCO 1000BASE-T GBIC 2 個(gè) ¥1,800.00¥3,600.00 網(wǎng)管軟件9 網(wǎng)管軟件 CWW-6.0CISCO CiscoWorks for Windows 6.0 NT/98/2000 1 套 ¥16,966.00¥16,966.00
個(gè)人主頁