辽东学院企业网络工程设计方案

1 辽东学院企业网络工程设计方案 一、需求分析 （一）网络构建背景需求 为了适应业务的发展和国际化的需要，积极参与国家信息化进程，提高管理水平，展现全新的形象，某厂准备建立一个现代化的机构内部网，实现信息的共享、协作和通讯，并和 下属各个 部门互连，并在此基础上开发建设现代化的企业应用系统，实现智能型、信息化、快节奏、高效率的管理模式。总体目标是建立该企业的办公业务信息网络交换平台，集成下属各部门信息网络系统，功能齐全、技术先进、集成化的网络系统。 （二）网络应用需求 1、 实现企业局域网与其他各网络之间的安全、高速 数据访问交换 。 2、 采用 理服务，实现企业所有站点通过电脑网络高速访问 3、 建立 务器，实现企业在 的信息发布，使公司内外的人员能够即使了解公司的最新信息。 4、 建立邮件服务器，实现企业工作人员与上级机构、分支机构等的电子信息的传递。 5 、 构 建 起 企 业 运 行 基 于 网 络 设 计 的 客 户 机 / 服务器 ) 或览器 /服务器 )结构的办公自动化系统、各种信息管理系统的网络硬件平台和系统运行平台。 公司 用是作为我们设计网络一期的依据，因此，我们从公司 用及应用发展入手，分析目前及未来发展的公司 用，并根据这些应用的自身特点，从带宽需求、传输时延、传输的可靠性、传输的安全性等因素来分析，综合考虑并总结出公司 用的发展需求。 （三）网络技术需求 1、主干网络采用速率为 1000交换技术。作为公司主干的支撑网络，要求安全可靠，并可实现主干网络冗余、链路容错等功能。 2、系统各层网络之间良好互联。 3、千兆交换机与主机服务器之间良好互联。 4、 具有良好便捷网络管理平台。网管系统是开放式网管平台，并可以对全网进行故障管理、配置管理、性能管理、事物处理管理、流量控制管理、日志管理、多厂家产 2 品管理、 理、效率管理和图形化管理。 5、网络骨干设备具有较高的可靠性；核心设备支持热插拔，具有容错设计。 6、网络设备具有较好的扩展性，系统能够平滑升级及扩充。 7、采用国际标准 P 协议。 （四）功能需求 设计 的 网络 要达到的功能 如下： (1)信息的共享 功能 ； (2)公司管理； (3)办公自动化； (4)高速 浪 ； （ 5）网络的各个桌 面用户可共享数据库、共享打印机，实现办公自动化系统中的各功能； （ 6）通信服务功能； （ 7）最终用户通过广域网连接可以收发电子邮件、实现 用、接入互联网、进行安全的广域网访问； （ 8）多媒体功能； （ 9）支持多媒体组播，具有卓越的服务质量保证功能； （ 10）远程 入访问功能； （ 11）系统支持远程 入，外地员工可利用 程访问公司资源。 （五）网络安全需求 网络安全主要解决访问互联网及中心服务器的安全问题，考虑以下因素： 1、公司网与 相连后具有“防火墙” 过滤功能，以防止网络黑客入侵网络系统； 2、良好的认证体系可防止假冒合法用户的攻击； 3、良好的备份和恢复机制，可在攻击造成损失时，帮助系统尽快地恢复数据和系统服务； 4、多层防御，攻击者在突破第一道防线后，应有多层防御可以延缓或阻断其到达攻击目标； 5、通过 址转换功能隐藏内部信息，这样可以使攻击者不能了解系统内的基本情况； 6、设立安全监控中心为信息系统提供安全体系管理、监控、保护及紧急情况服务。 3 二、 网络规划设计 （一）设计目标 该企业网络系统应是一个以宽带 为目标，建立数据、语音、 视频三网合一的一体化内部办公网络和外部宽带。网络系统应实现虚拟局域网（ 功能，以保证全网的良好性能及网络安全性。主干网交换机应具有很高的包交换速度，整个网络应具有高速的三层交换功能。主干网络应该采用成熟的、可靠的千兆以太网技术作为网络系统主干。同时该网应选用先进的网管软件，建立完善的网络管理体系；在设备方面，应选择有成功案例的网络厂商的设备，同时为 号用户和移动用户提供接口，网络还应具有良好的扩展性。 （二）设计原则 1、 遵循中国公众多媒体通信网技术体制、中国公众多媒体通信 网工程实施技术要求以及其它国家相关标准和技术体制。 2、 采用层次化设计，网络结构的不同部分有不同的功能，使网络具有优良的结构。 3、 优化网络和系统结构，并在各个层面考虑冗余和备份，使系统具有较高的容错能力和应变能力，以保证系统的可靠和有效运作 。 4、 选用的技术确保开放性、可移植性、兼容性和 可 扩展性。 采用通用的国际标准和协议，不采用有碍网络互通的厂家特有性能。 5、 提供有效的安全保密措施，确保整个网络的安全。重要网络设备应有适当的冗余备份。 6、 尽量详细准确，减低工程的复杂程度，使系统建设和改造 的工作量减至最少，以保证工程的顺利和有效完成。 （三）设计要求 1、 实用性：网络建设从应用实际需求出发，坚持为领导决策服务，为经营管理服务，为生产建设服务。另外，如果是对现有网络升级改造，还应该充分考虑如何利用现有资源，尽量发挥设备效益。 2、 适度先进性：规划局域网，不但要满足用户当前的需要，还应该有一定技术前瞻性和用户需求预见性，考虑到能够满足未来几年内用户对网络功能和带宽的需要。采 4 用成熟的先进技术，兼顾未来的发展趋势，即量力而行，又适当超前，留有发展余地。 3、 经济性：要求价格适中，设备及耗材要求采用质 量过硬，物美价廉，投资预算不超过 20 万。 4、 安全可靠性：确保网络可靠运行，在网络的关键部分应具有容错能力，提供公共网络连接、通信链路、服务器等全方位的安全管理系统。 5、 开放性：采用国际标准通信协议、标准操作系统、标准网管软件、采用符合标准的设备，保证整个系统具有开放特点，增强与异机种、异构网的互联能力。 6、 可扩展性：系统便于扩展，保证前期的投资的有效性与后期投资的连续性 7、 安全保密性：为了保证网上信息的安全和各种应用系统的安全，在规划时就要为局域网考虑一个周全的安全保密方案。 （四）设备分析 根据对 网络需求的考察，根据合理性、实用性和节约费用等原则进行设备选择 ： 1、 基于路由器和交换机的局部网间的互联是最好的解决方案。网络协议方面，以网际协议（ 为校园网网络系统的公用网络协议实行标准化，使用 为标准传输协议，在以后对网络进行扩充以与其它的网络互连时，可以跨越多个平台自然而然地提供互操作能力和无缝连接功能 。 2、 在主干网建设时，选择 统产品，它能够以极具竞争力的价格提供所有技术，为我们提供一个集成化、高性能、灵活、可伸缩、安全和高性能价格比的解决方案的标准。 3、 在局部网建设方面，选 择使用 备作为骨干网基础设施的基础。 够高速传输数据，同时通过它们 一体化的网络解决方案。 4、 计算机终端设备的选型既考虑性能、价格比、设备的运行维护费用，也考虑设备的可扩充性，确保系统主要设备的投入在整个系统的生命周期内能得到充分利用并具有强健灵活的体系结构。同时，也考虑局部子网对硬件和信息流量的要求，必须能够提供专用的高速带宽，以处理日常数据信息和峰值操作，并能够支持各种新技术和新增用户。 5、 安 全性是另一个关键要求，要保证能够安全地接入 （五） 网络拓扑结构设计 在用户的网络结构设计中，我们建议采用层次化的结构设计。 对于用户即将建设的网络系统来说，想要建设成为一个覆盖范围广、网络性能优良、 5 具有很强扩展能力和升级能力的网络，在起初的设计中就必须采用层次化的网络设计原则。采用这样的结构所建设的网络具有良好的扩充性、管理性，因为新的子网模块和新的网络技术能被更容易集成到整个系统中，而不破坏已存在的骨干网。 大多数的网络都可以被层次性划分为三个逻辑服务单元：核心骨干网 (汇聚网 (接入网 (模块化网络设计方法的目标在于把一个大型的网络元素划分成一个个互连的网络层次。层次性结构如下图 一 所示。 图一 根据项目的具体需求及现有的光纤结构，结合网络建设的基本理论和原则，各入网部门的实际情况，应用需求，资金条件和远，近目标等各方面的要求，设计出该网络为拓扑结构为分层的集中式结构或称星型分级拓扑。 内部网络拓扑图： 6 图二 网络逻辑拓扑结构如图 二 所示。它是在基于高端路由交换机的基础之上而设计的新的网络拓扑结构。简要说明如下 ： 整个网络由核心层、汇聚层和接入层两大部分组成。 核心层是由 业级核心路由交换机组成。 汇聚层 是 由 由交换机组成。 接入层是由接入层楼层交换机 成。 主要网络设备列表： 拓扑结构 设备型号 数量（台） 核心层路由交换机 汇聚层路由交换机 接入层楼层交换机 6 以行政楼中心机房为中心，下属部门为接入点的星型连接方式。现阶段出于用户的应用和先进性考虑，通过千兆光纤连接。 各楼层的办公网是以星型的方式千兆直接连接到各汇聚机房的汇聚交换机上后，由汇聚交换机通过千兆接到核心交换机。我们可采用千兆路由交换机与各 段的交 7 换机（ 接而组成星型网络，实现千兆核心网络到各楼层，百兆到桌面，满足各种应用的需要。 核心层交换机与服务器群的相连是以千兆以太网的方式。 （六） 内部网络设计 1 核心层交换机的设计 核心层主要功能是给 下层各业务汇聚节点提供 务平面高速承载和交换通道，负责进行数据的高速转发，同时核心层是局域网的骨干，是局域网互连的关键。对核心骨干网络设备的部署应为能够提供高带宽、大容量的核心路由交换设备，同时应具备极高的可靠性，能够保证 24 小时全天候不间断运行，也就必须考虑设备及链路的冗余性、安全性，而且核心骨干设备同时还应拥有非常好的扩展能力，以便随着网络的发展而发展。 基于对核心层的功能及作用，根据用户的实际需求，本方案中对网络系统中核心层由 列的企业级核心交换机 成 。其主要任务是提供高性能、高安全性的核心数据交换、 为接入层提供高密度的上联端口。为整个大楼宽带办公网提供交换和路由的核心，完成各个部分数据流的中央汇集和分流。同时为数据中心的服务器提供千兆高速连接。 根据该企业的建筑分布及网络规模，以行政楼的中心机房作为整个网络系统的核心节点。核心节点由 2 台同档次的网络核心设备构成，它们互为备份且流量负载均衡。 2台网络核心交换机作为整个网络的核心层设备，为各个汇聚层和接入层交换机提供上联。同时提供了各个服务器的可靠接入。 由于 路 由交换机，也即同时具有第二层和第三层的交换能力，为了充分利用资源，将 务器、 E 务器、数据库服务器、文件 务器、认证的服务器（ 及网管设备等通过千兆直接连人核心交换机，以解决带宽瓶颈，充分利用核心交换机的交换能力。 核心交换机作为信息网络的核心设备，性能的优劣直接影响到整个网络运行。在设备的选型上必须考虑到有足够的背板带宽，包交换能力，是否支持设备的冗余，安全性，扩展性等各种性能。企业级核心交换机 全满足上述的各项要求。 企 业级核心路由交换机 性能特性及技术指标如下： 交换机类：企业级交换机 应用层级：三层 接口介质： 10/100 1008 传输速率： 1000 端口数量： 48 背板带宽： 32 持：支持 网管功能：网管功能 包转发率： 址： 12k 网络标准： 端口结构：非模块化 2 汇聚层交换机的设计 汇聚层主要完 成的任务是对各业务接入节点的业务汇聚、管理和分发处理，是完成网络流量的安全控制机制，以使核心网和接入访问层环境隔离开来；同时汇聚层起着承上启下的作用，对上连接至核心层，对下将各种宽带数据业务分配到各个接入层的业务节点，汇聚层位于中心机房或下联单位的分配线间，主要用于汇聚接入路由器以及接入交换机。 因此对汇聚层的交换机部署时必须考虑交换机必须具有足够的可靠性和冗余度，防止网络中部分接入层变成孤岛；还必须具有高处理能力，以便完成网络数据会聚、转发处理；具有灵活、优化的网络路由处理能力，实现网络汇聚的优化。而且 规划汇聚层时建议汇聚层节点的数量和位置应根据业务和光纤资源情况来选择；汇聚层节点可采用星形连接，每个汇聚层节点保证与两个不同的核心层节点连接。 根据汇聚层在整个网络中的作用以及用户的实际需求，本方案中汇聚层共设计了 3个节点，即：行政楼、生产车间和运输楼（工段办）。 汇聚层网络设备全部采用了 换机。该交换机支持各种高级路由协议，如 播、 由。 汇聚路由交换机 性能特性及技术指标如下： 交换机类：企业级交换机 应用层级：三层 接口介质： 10/100 100 传输速率： 1000 端口数量： 24 背板带宽： 32 持：支持 9 网管功能： 管理 3 接入层交换机的设计 接入层主要用来支撑客户端机器对服务器的访问，主要是指接入路由器、交换机、终端访问用户。它利用多种接入技术，迅速覆盖至用户节点，将不同地理分布的用户快速有效地接入到信息网的汇聚。对上连 接至汇聚层和核心层，对下进行带宽和业务分配，实现用户的接入。 根据我们所借鉴的项目设计经验，汇聚层节点与接入层节点可考虑采用星形连接，每个接入层节点与两个汇聚层节点连接。当接入层采用其它结构（如环行）连接到汇聚层时，建议提供两条不同路由通道。 根据接入层处在网络系统中所起的作用以及用户的实际需求，本方案中接入层部分由 司的 换机构成。其主要功能是为该区域下属各部门的网络用户提供大量性价比极高的 10/100 兆网络接口，并与信息中心的核心交换机通过 1000 兆光纤 链路互联为接入的用户提供高速上联。 接入层楼层交换机 性能特性及技术指标情况如下： 交换机类：快速以太网交换机 应用层级：二层 传输速率： 1000000M 端口数量： 24 背板带宽： 16 持：支持 网管功能： 览器 包转发率： 址： 8K 网络标准： 02 端口结构：非模块化 交换方式：存 储 产品内存： 64 传输模式：支持全双工 网管支持：支持 模块化插： 2 10 4软件选择 1、名称： 数据库 品牌： i 型号规格： i 标准版 (5 用户 ) 2、 名称： 务器 品牌： 型号规格： 5000 用户 美国亿邮公司专业邮件系统 3、名称： 服务器操作系统 品牌： 微软 型号规格： 000 教育中文标准版 (5 客户 ) 4、 名称： 服务器操作系统 品牌： 型号规格： 5、名称： 000 品牌： 微软 型号规格： 育中文标准版 (5 客户 ) 5 址的设计 （ 1） 址规划和分配原则 1） 根据目前网络结构和以后扩展，遵循以下原则进行 址分配。 址必须唯一，一个 址对应一台数据通讯设备； 同一网络区域分配连续的网络地址，便于规划，同时提高路由器寻径效率； 址的分配应该有层次性，某个局部的变动不影响网络的其它部分； 用可变长子网掩码技术，要求采用支持可变长子网掩码技术的 P 协议族； 便路由汇总，缩减路由表条目，提高路由器处理效率。 要考虑到 址的使用现状，又要考虑到未来信息网络的发展，为各单位分配合理的地址空间，在网络上尽可能少地做 少网络设备 理负担和加快网络访问速度。 2）业务地址的划分可以按照两个原则来分配： 个部门一个独立的网段；这种方案适合业务种类单一的情况，管理方便。 种业务一 个网段，所有的地市同一业务使用同一网段，这种方案适合业务之间互访的控制。 （ 2） 网络地址分配 址规划和分配包括以下内容： 1）设备及互连链路地址规划与分配 2）业务地址规划与分配 11 3）服务器地址规划与分配 根据以上 址的划分原则，本方案建议 设计如下： A 段（行政楼、门卫）： 2 B 段（生产车间、产区办）： 3 C 段（运输楼、工段办）： 7 6 设计 （ 1） 划分的作用及原则 虚拟局域网的英文缩写，它最简明的描述就是可以实现将连接在同一个物理网络上面的主机分组，使它们看起来就象连接在不同的网络上一样。我们可以通过 网络分段，各个网段可以共用同一套网络设备，节约了网络硬件的开销，同时在迁移中所需的工作量也大幅度降低了，从而降低了连网成本。 在用户的企业局域网系统中，我们建议基于 准实现 在 计中，我们使用 到两个目的： 第一，不同业务部门之间的隔离和通信控制； 第二，广播范围抑制。 （ 2） 分 建议根据各个办公室的地理位置来划分 如果同一栋楼内包含很多部门，而这些部门的职能和工作内容又有很大的区别，我们就可以在楼内按照部门来划分 另外，如果某个部门需要跨越很多建筑物，分布范围比较广，例如部门 A 分布的很散，在很多交换机上都预留了部门 A 的信息点，我们则可以按照交换机的位置来设置 样，部门 A 就可能对应多个 果 部门 A 所对应的 间需要通信的话，我们可以通过 的路由来实现。这样做的好处是：可以减少广播数据包对网络主干的影响。因为如果将部门 A 全部划分到一个 ，而这些 跨越了网络主干，分布在众多不同的交换机上，这样如果有广播包时，这些广播包必然会在网络的主干上传输，然后到达相应的交换机上，也就占用了网络主干的带宽，容易造成其他业务的时延。 为了减少传输冲突，提高系统整体性能和网络处理能力，另外，还考虑到网络良好的管理性，易于维护和安全策略的实施，针对用户网络系统的实际情况，可以 把功能（应用）相近的设备群组划分到同一 同部门的设备划分到不同 去，这样就能够通过访问控制列表技术实施安全策略。限制未授权的用户访问重要的服务器和 12 数据库。 （ 3） 间安全控制 在用户网络系统中，由于在中心使用了三层核心交换机，因此所有的 间的访问都需要通过三层核心交换机进行，因此可以通过 问控制列表）控制 样就可以允许高优先级的 访问低优先级的 ，而低优先级的 不能访问或有限的访问高优先级 。 （七） 外部 网络设计 该企业网络用户为对 行访问，而且为了保证其安全性，要求能够访问用户与不能访问 用户进行完全的物理隔离，则需要另建立一套网络系统 (简称为外网 )。网络用户 (即外网用户 ) 通过外网布线系统接至各楼层的交换机，汇总到外网的主交换机后，接入到防火墙上，防火墙通过 址转换功能（ 将网络用户 (即外网用户 )的私有 址转换成 网 址，通过光电转换器与电信相连的方式访问 使该企业网络内外网互相独立，达到 完全的物理隔离的目的。 与外部网络互连的设备是带防火墙的路由器，根据需要选择企业级路由器 性能特性及技术指标情况如下： 端口结构：非模块化 广域网接： 2 个 局域网接： 4 个 传输速率： 10/100/1000 网络管理： 理 用户数量： 800 台 防火墙：内置防火墙 持：支持 持：支持 处理器： 64 位全千兆网络芯片 网络安全：支持网站过滤 上网限制 状态指示： 度，电源， 电源功 率：最大 25W 环境标准：工作温度： 0 工作 其它性能： 纤、以太网、 13 三、综合布线设计 （一）综合布线概述 现代科技的进步使计算机及网络技术飞速发展，提供越来越强大的计算机处理能力和网络通信能力。计算机及网络通信技术的应用大大提高了现代企业的生产管理效率，降低运作成本，并使得现代企业能更快速有效地获取市场信息，及时决策反应，提供更快捷更满意的客户服务，在竞争中保持领先。计算机及网络通信技术的应用已经成为企业成功的一个关键因素。 综合布线系统就是为了顺应发展需求而特别设计的一 套布线系统。对于现代化的大楼来说，就如 人 体内的神经，它采用了一系列高质量的标准材料，以模块化的组合方式，把语音、数据、图像和部分控制信号系统用统一的传输媒介进行综合，经过统一的规划设计，综合在一套标准的布线系统中，将现代建筑的三大子系统有机地连接起来，为现代建筑的系统集成提供了物理介质。可以说结构化布线系统的成功与否直接关系到现代化的大楼的成败，选择一套高品质的综合布线系统是至关重要的。 计算机及通信网络均依赖布线系统作为网络连接的物理基础和信息传输的通道。传统的基于特定的单一应用的专用布线技术因缺乏灵活性 和发展性，已不能适应现代企业网络应用飞速发展的需要。而新一代的结构化布线系统能同时提供用户所需的数据、话音、传真、视像等各种信息服务的线路连接，它使话音和数据通信设备、交换机设备、信息管理系统及设备控制系统、安全系统彼此相连，也使这些设备与外部通信网络相连接。它包括建筑物到外部网络或电话局线路上的连线、与工作区的话音或数据终端之间的所有电缆及相关联的布线部件。布线系统由不同系列的部件组成，其中包括：传输介质、线路管理硬件、连接器、插座、插头、适配器 、 传输电子线路、电器保护设备和支持硬件 等。 （二）综合布线系 统的特点 相对于以往的布线，综合布线系统的特点可以概况为： 实用性 ： 实施后 ， 布线系统将能够适应现代和未来通信技术的发展，并且实现话音、数据通信等信号的统一传输 。 灵活性 ： 布线系统能满足各种应用的要求，即任一信息点能够连接不同类型的终端设备，如电话、计算机、打印机、电脑终端、传真机、各种传感器件以及图 像 监控设备等。 模块化 ： 综合布线系统中除去固定于建筑物内的水平缆线外，其余所有的接插件都是基本式的标准件，可互连所有话音、数据、图 像 、网络和楼宇自动化设备，以方便使用、搬迁、更改、扩容和管理。 14 扩展性 ： 综合布线系 统是可扩充的，以便将来有更大的用途时 ， 很容易将新设备扩充进去。 经济性 ： 采用综合布线系统后可以使管理人员减少，同时，因为模块化的结构，工作难度大大降低了日后因更改或搬迁系统时的费用。 通用性 ： 对符合国际通信标准的各种计算机和网络拓扑结构均能适应，对不同传递速度的通信要求均能适应，可以支持和容纳多种计算机网络的运行。 （三）综合 布线系统 的结构 根据国际标准 定义，结构化布线系统可由以下系统组成：工作区子系统 、 水平干线子系统 、 垂直干线子系统 、 设备间子系统 、 管理子系统 、 建筑群子系统。 整个建筑的综 合布线系统是将各种不同组成部分构成一个有机的整体，而不是像传统的布线那样自成体系，互不相干，也很难互通。 1工作区 子系统 工作区子系统（ 它是由 线与信息 插 座所连接的设备（终端或工作站）组成的。其中，信息 插 座有墙上型、地面型、桌上型等多种。 在进行终端设备和 I/O 连接时，可能需要某种传输电子装置，但这种装置并不是工作区子系统的一部分。例如，调制解调器，它能为终端与其他设备之间的兼容性传输距离的延长提供所需的转换信号，但不能说是工作区子系统的一部分。 工作区 子系统中所使用的连接器必须具备有国际 准的 8 位接口，这种接口能接收楼宇自动化系统所有低压信号以及高速数据网络信息和数码声频信号。工作区子系统设计时要注意如下要点 ： （ 1） 从 座到设备间的连线用双绞线，一般不要超过 5m； （ 2） 座必须安装在墙壁上或不易碰到的地方，插座距离地面 30上 ； （ 3） 配线架上的信息模块与信息插座和插头的线缆的制作要采用同一标准，如68A 或 568B，不可接错。 2水平干线子系统 水平干线子系统（ 称为水平子系统。水平干线子系统是整个布线系统的一部分 ， 它是从工作区的信息插座开始到管理间子系统的配线架 。 结构一般为星状结构，它与垂直干线子系统的区别在于：水平干线子系统总是在一个楼层上，仅与信息插座、管理间连接。在综合布线系统中，水平干线子系统由 4 对 屏蔽双绞线）组成，能支持大多数现代化通信设备，如果有磁场干扰或信息保密时可用屏蔽双绞线。在高宽带应用时，可以采用光缆。 15 从用户工作区的信息插座开始，水平布线子系统在交叉处连接，或在小型通信系统中的以下任何一处进行互联：远程（卫星）通信接线间、干线 接线间或设备间。在设备间中，当终端设备位于同一楼层时，水平干线子系统将在干线接线间或远程通信（卫星）接线间的交叉连接处连接。 在水平干线子系统的设计中，综合布线的设计必须具有全面介质设施方面的知识，能够向用户或用户的决策者提供完善而又经济的设计。 考虑用户的需求， 设计时要注意如下要点 ： （ 1） 水平干线子系统用线一般为双绞线 ； （ 2） 长度一般不超过 90m； （ 3） 用线必须走线槽或在天花板吊顶内布线，尽量不走地面线槽 ； （ 4） 用 五 类双绞线可传输速 率 为 100s，用超五类双绞线可传输速率为 1s； （ 5） 确定介质布线方法和线缆的走向 ； （ 6） 确定距服务接线间距离最近的 I/O 位置 ； （ 7） 确定距服务接线间距离最远的 I/O 位置 ； （ 8） 计算水平区所需线缆长度。 3垂直干线子系统 垂直干线子系统也称骨干子系统（ 它是整个建筑物综合布线系统的一部分。它提供建筑物的干线电缆，负责连接管理间子系统到设备间子系统的子系统，一般使用光缆或选用大对数的非屏蔽双绞线。它也提供了建筑物垂直干线电缆的路由。该子系统通常是在两个单元之间，特别是在位于中央结点的公共系统设备处 提供多个线路设施。该子系统由所有的布线电缆组成，或由导线和光缆以及将此光缆连到其他地方的相关支撑硬件组合而成。传输介质可能包括一幢多层建筑物的楼层之间垂直布线的内部电缆或从主要单元如计算机房或设备间和其他干线接线间来的电缆。 为了与建筑群的其他建筑物进行通信，干线子系统将中继线交叉连接点和网络接口（由电话局提供的网络设施的一部分）连接起来。网络接口通常放在设备相邻的房间。 垂直干线子系统还包括如下几项 ： （ 1） 垂直干线或远程通信（卫星）接线间、设备间之间的竖向或横向的电缆走向用的通道 ； （ 2） 设备间和网络接 口之间的连接电缆或设备与建筑群子系统各设施间的电缆 ； （ 3） 垂直干线接线间与各远程通信（卫星）接线间之间的连接电缆 ； （ 4） 主设备间和计算机主机房之间的干线电缆 。 设计 与安装 时要注意如下要点 ： 16 （ 1） 垂直干线子系统一般选用 超五类 缆或多模光纤 ，以提高传输速率 ； （ 2） 光缆可选用多模的（室外远距离的），也可以是单模的（室内） ； （ 3） 垂直干线电缆的拐弯处不要直角拐弯，应有相当的弧度，以防光缆受损 ； （ 4） 垂直电缆要求安装在 内或槽内 ，架空电缆要防止雷击 ； （ 5） 确定每层楼的干线要求和防雷电的设施 ； （ 6） 满足整幢大楼干线要求和防雷击的设施。 4设备间子系统 设备间子系统也称设备子系统（ 设备间子系统由电缆、连接器和相关支撑硬件组成。它把各种公共系统设备的多种不同设备互联起来，其中包括邮电部门的光缆、同轴电缆、程控交换机等。设计时注意要点如下 ： （ 1） 设备间要有足够的空间保障设备的存放 ； （ 2） 设备间要有良好的工作环境（温度、湿度） ； （ 3） 设备间的建设标准应按机房建设标准设计 ，要有性能良好的接地保护系统 。 5管理子系统 管理间子系统（ 交连、互联和 I/O 组成。管理间为连接其他子系统提供手段，它是连接垂直干线子系统和水平干线子系统的设备，其主要设备是配线架、 机柜、电源。 交连和互联允许将通信线路定位或重定位在建筑物的不同部分，以便能更容易地管理通信线路。 I/O 位于用户工作区和其他房间或办公室，使在移动终端设备时能够方便地进行插拔。在使用跨接线或插入线时，交叉连接允许将端接在单元一端的电缆上的通信线路连接到端接在单元另一端的电缆上的线路。跨接线是一根很短的单根导线，可将交叉连接处的二根导线端点连 接起来；插入线包含几根导线，而且每根导线末端均有一个连接器。插入线为重新安排线路提供了一种简易的方法。 互联与交叉连接的目的相同，但它不使用跨接线或插入线，只使用带插头的导线、插座、适配器。互联和交叉连接也适用于光纤。在远程通信（卫星）接线区，如果是安装在墙上的布线区，交叉连接可以不要插入线，因为线路经常是通过跨接线连接到 I/ 设计时要注意如下要点： （ 1） 配线架的配线对数可由管理的信息点数决定 ； （ 2） 利用配线架的跳线功能，可使布线系统实现灵活、多功能的能力 ； （ 3） 配线 柜一般由配线模块、配线架和 理线面板组成； （ 4） 管理间子系统应有足够的空间放置配线架和网络设备（ 换 机 等） ； 17 （ 5） 网络设备需配有安全接地保护系统和功率匹配的净化电源或 （ 6） 设备房间内 保持一定的温度和湿度， 以利于设备维护 。 6 建筑群子系统 该子系统将一个建筑物的电缆延伸到另外一些建筑物中的通信设备和装置上，是结构化布线系统的一部分，支持提供楼群之间通信所需的硬件。它由大对数电缆、光缆和入楼处线缆上的过流、过压电气保护设备等相关硬件组成，常用介质是光缆。 设计中进入主设备间的所有光纤、大对数电缆、电信电缆都采用金 属桥架或钢管进行硬件保护，同时采用 对保护器对铜缆予以电气保护，避免人员和设备免遭外部电压和电流的伤害。 本方案中的建筑群子系统包括与电信部门的电缆 /光缆连接，及将来与职工住宅小区的连接；住宅小区通过光缆主干与办公楼连接，可使办公区、住宅区共享一条宽带，实现家庭办公的需要，节省网络使用费。 （四）系统总体设计 根据公司建筑物的结构以及综合布线的设计方案，规划出线缆走向，综合布线的各个系统以及线缆的大致走向的示意图如图 示。 图 合布线的示意图 18 （五）系统结构设计描述 在企业网络 的规划与设计的布线设计中，我们针对办公楼的建筑布局、信息点分布及弱电井位置等实际情况，在楼层配线间的设计上进行了优化配置：既考虑了楼层配线架的安装位置尽量不占用办公区域，便于管理；也考虑了使用上的灵活性及水平线缆90m 的要求。根据公司对上网的要求，我们采用高带宽的光纤接入。在综合布线的整个过程中我们依照以下设计原则： 以“满足客户的需求”为第一前提，适当超前，统一规划； 先进性：选择的产品要技术领先期长、产品丰富，价格适中；具有大容量、高速率，能适应将来发展的应用； 可扩展性：布线系统不但要能满足现阶段的 业务需求，还要满足将来业务增长和新技术发展的要求； 便于升级：计算机网络技术以惊人的速度向前发展，因此系统的设计要便于升级； 高可靠性：综合布线系统是网络应用所依赖的基础，因此选择的系统产品要具备较好的可靠性和抗干扰性； 标准化：通讯协议和接口符合国际标准，并应是今后的发展主流； 开放性：能容纳不同厂家的设备和不同的网络平台； 安全性：具有保证信息不被窃、不丢失的机制； 实用性：系统拓扑结构满足公司的各种应用要求； 设计、施工、运营与服务：强调以人为本的设计思想，为用户提供安全、舒适、方便、快捷、高效、工作 环境； 由于布线系统有很长的使用期，反复布线只会造成投资上的浪费和时间上的消耗。因此，在设计时尽量做到统一规划，注重实用，适当超前，一次达到较为先进的水平。 19 四、 网络安全设计 网络安全是一种策略及管理，而不仅仅是某一种产品，是一个系统工程，它包括了物理层、网络层、应用层等一系列安全措施和策略。从外在上安全包括五个基本要素：机密性、完整性、可用性、可控性与可审查性。 1、 机密性：确保信息不暴露给未授权的实体或进程。 2、 完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。 3、 可 用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。 4、 可控性：可以控制授权范围内的信息流向及行为方式。 5、 可审查性：对出现的网络安全问题提供调查的依据和手段。 （一） 网络安全设计 通常认为，安全是三分技术，七分管理，因此我们建议该企业网络系统的安全保护措施： 1 人员角色划分 要对用户网络进行有效的安全管理，必须对系统的使用人员和管理人员的不同角色进行清晰的划分，不同的角色拥有不同的权限和职责，互相制约，共同保障整个系统的安全性。 对于用户网络系统涉及的各类 人员，我们建议划分如下角色： (1) 决策专家。 (2) 安全管理员。 (3) 审计员。 (4) 系统管理员。 2 路由认证和保护 路由认证（ 就是运行于不同设备的相同的动态路由协议之间，对相互传递的路由刷新报文进行的确认，以便使得设备能够接受真正而安全的路由刷新报文。 任何运行一个不支持路由认证的路由协议，都存在着巨大的安全隐患。某些恶意的攻击者可以利用这些漏洞，向网络发送不正确或者不一致的路由刷新，由于设备无法证实这些刷新，而使得设备被欺骗，最终导致网络的瘫痪。 目前，多数路由协议支持 路由认证，并且实现的方式大体相同。认证过程有基于明 20 文的，也有基于更安全的 验。 证与明文认证的过程类似，只不过密钥不在网络上以明文方式直接传送。路由器将使用 法产生一个密钥的 “消息摘要 ”。这个消息摘要将代替密钥本身发送出去。这样可以保证没有人可以在密钥传输的过程中窃取到密钥信息。使用 证算法的路由协议有： 本 2 关闭 能服务 有些 性对局域网来说是有用的，但对广域网或城域网节点的设备是不适用的。如果 这些特性被恶意攻击者利用，会增加网络的危险，因此，网络设备应具备关