企业网络工程设计方案_辽东学院.doc

企业网络工程设计方案成 员 姓 名： 专 业： 信息管理与信息系统 班 级： 信息技术学院企业网络工程设计方案摘 要随着网络的逐步普及，企业网络的建设是企业向信息化发展的必然选择，企业网网络系统是一个非常庞大而复杂的系统，它不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。而企业网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本设计课题将主要以企业局域网络建设过程可能用到的各种技术及实施方案为设计方向，为企业网的建设提供理论依据和实践指导。该网络规划考虑了公司的实际情况，设计的目标与原则等，以及在网络规划中所需要的网络设备，例如：交换机和服务器的选型。在综合布线中各个子系统之间的传输介质的选择。在设计方案中还包括各个设备的安装，最后是对整个工程进行网络安全设计和工程预算。关键词：企业局域网；层次化的结构设计；网络设备- I -企业网络工程设计方案目 录摘 要I一、需求分析1（一）网络构建背景需求1（二）网络应用需求1（三）网络技术需求1（四）功能需求2（五）网络安全需求2二、网络规划设计3（一）设计目标3（二）设计原则3（三）设计要求3（四）设备分析4（五）网络拓扑结构设计4（六）内部网络设计61核心层交换机的设计62汇聚层交换机的设计73接入层交换机的设计84软件选择95IP地址的设计96VLAN的设计10（七）外部网络设计11三、综合布线设计13（一）综合布线概述13（二）综合布线系统的特点13（三）综合布线系统的结构141工作区子系统142水平干线子系统143垂直干线子系统154设备间子系统165管理子系统166建筑群子系统16（四）系统总体设计17（五）系统结构设计描述17四、网络安全设计19（一）网络安全设计191人员角色划分192路由认证和保护193关闭IP功能服务204用户的安全防护20（二）Internet安全访问设计20五、工程预算21（一）总体预算21（二）网络设备21（三）服务器23（四）综合布线24结 论27参考文献28成绩评定表29- III -企业网络工程设计方案一、需求分析（一）网络构建背景需求为了适应业务的发展和国际化的需要，积极参与国家信息化进程，提高管理水平，展现全新的形象，某厂准备建立一个现代化的机构内部网，实现信息的共享、协作和通讯，并和下属各个部门互连，并在此基础上开发建设现代化的企业应用系统，实现智能型、信息化、快节奏、高效率的管理模式。总体目标是建立该企业的办公业务信息网络交换平台，集成下属各部门信息网络系统，功能齐全、技术先进、集成化的网络系统。（二）网络应用需求1、实现企业局域网与其他各网络之间的安全、高速数据访问交换。2、采用Internet代理服务，实现企业所有站点通过电脑网络高速访问Internet。3、建立WWW服务器，实现企业在Internet和Intranet上的信息发布，使公司内外的人员能够即使了解公司的最新信息。4、建立邮件服务器，实现企业工作人员与上级机构、分支机构等的电子信息的传递。5、构建起企业运行基于网络设计的Client/Server(客户机/服务器)或Browser/Server(浏览器/服务器)结构的办公自动化系统、各种信息管理系统的网络硬件平台和系统运行平台。公司Internet应用是作为我们设计网络一期的依据，因此，我们从公司Internet应用及应用发展入手，分析目前及未来发展的公司Internet应用，并根据这些应用的自身特点，从带宽需求、传输时延、传输的可靠性、传输的安全性等因素来分析，综合考虑并总结出公司Internet应用的发展需求。（三）网络技术需求1、主干网络采用速率为1000Mbps的交换技术。作为公司主干的支撑网络，要求安全可靠，并可实现主干网络冗余、链路容错等功能。2、系统各层网络之间良好互联。3、千兆交换机与主机服务器之间良好互联。4、具有良好便捷网络管理平台。网管系统是开放式网管平台，并可以对全网进行故障管理、配置管理、性能管理、事物处理管理、流量控制管理、日志管理、多厂家产品管理、MIB管理、效率管理和图形化管理。5、网络骨干设备具有较高的可靠性；核心设备支持热插拔，具有容错设计。6、网络设备具有较好的扩展性，系统能够平滑升级及扩充。7、采用国际标准TCP/IP协议。（四）功能需求设计的网络要达到的功能如下：(1)信息的共享功能；(2)公司管理；(3)办公自动化；(4)高速Internet 冲浪；（5）网络的各个桌面用户可共享数据库、共享打印机，实现办公自动化系统中的各功能；（6）通信服务功能；（7）最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问；（8）多媒体功能；（9）支持多媒体组播，具有卓越的服务质量保证功能；（10）远程VPN拨入访问功能；（11）系统支持远程PPTP接入，外地员工可利用INTERNET远程访问公司资源。（五）网络安全需求网络安全主要解决访问互联网及中心服务器的安全问题，考虑以下因素：1、公司网与Internet网相连后具有“防火墙”过滤功能，以防止网络黑客入侵网络系统；2、良好的认证体系可防止假冒合法用户的攻击；3、良好的备份和恢复机制，可在攻击造成损失时，帮助系统尽快地恢复数据和系统服务；4、多层防御，攻击者在突破第一道防线后，应有多层防御可以延缓或阻断其到达攻击目标；5、通过NAT地址转换功能隐藏内部信息，这样可以使攻击者不能了解系统内的基本情况；6、设立安全监控中心为信息系统提供安全体系管理、监控、保护及紧急情况服务。二、网络规划设计（一）设计目标该企业网络系统应是一个以宽带IP网为目标，建立数据、语音、视频三网合一的一体化内部办公网络和外部宽带。网络系统应实现虚拟局域网（VLAN）的功能，以保证全网的良好性能及网络安全性。主干网交换机应具有很高的包交换速度，整个网络应具有高速的三层交换功能。主干网络应该采用成熟的、可靠的千兆以太网技术作为网络系统主干。同时该网应选用先进的网管软件，建立完善的网络管理体系；在设备方面，应选择有成功案例的网络厂商的设备，同时为Intranet、拨号用户和移动用户提供接口，网络还应具有良好的扩展性。（二）设计原则1、遵循中国公众多媒体通信网技术体制、中国公众多媒体通信网工程实施技术要求以及其它国家相关标准和技术体制。 2、采用层次化设计，网络结构的不同部分有不同的功能，使网络具有优良的结构。 3、优化网络和系统结构，并在各个层面考虑冗余和备份，使系统具有较高的容错能力和应变能力，以保证系统的可靠和有效运作。4、选用的技术确保开放性、可移植性、兼容性和可扩展性。 采用通用的国际标准和协议，不采用有碍网络互通的厂家特有性能。5、提供有效的安全保密措施，确保整个网络的安全。重要网络设备应有适当的冗余备份。 6、尽量详细准确，减低工程的复杂程度，使系统建设和改造的工作量减至最少，以保证工程的顺利和有效完成。（三）设计要求1、实用性：网络建设从应用实际需求出发，坚持为领导决策服务，为经营管理服务，为生产建设服务。另外，如果是对现有网络升级改造，还应该充分考虑如何利用现有资源，尽量发挥设备效益。2、适度先进性：规划局域网，不但要满足用户当前的需要，还应该有一定技术前瞻性和用户需求预见性，考虑到能够满足未来几年内用户对网络功能和带宽的需要。采用成熟的先进技术，兼顾未来的发展趋势，即量力而行，又适当超前，留有发展余地。3、经济性：要求价格适中，设备及耗材要求采用质量过硬，物美价廉，投资预算不超过20万。4、安全可靠性：确保网络可靠运行，在网络的关键部分应具有容错能力，提供公共网络连接、通信链路、服务器等全方位的安全管理系统。5、开放性：采用国际标准通信协议、标准操作系统、标准网管软件、采用符合标准的设备，保证整个系统具有开放特点，增强与异机种、异构网的互联能力。6、可扩展性：系统便于扩展，保证前期的投资的有效性与后期投资的连续性7、安全保密性：为了保证网上信息的安全和各种应用系统的安全，在规划时就要为局域网考虑一个周全的安全保密方案。（四）设备分析根据对网络需求的考察，根据合理性、实用性和节约费用等原则进行设备选择：1、基于路由器和交换机的局部网间的互联是最好的解决方案。网络协议方面，以网际协议（IP）作为校园网网络系统的公用网络协议实行标准化，使用IP作为标准传输协议，在以后对网络进行扩充以与其它的网络互连时，可以跨越多个平台自然而然地提供互操作能力和无缝连接功能。2、在主干网建设时，选择CISCO系统产品，它能够以极具竞争力的价格提供所有技术，为我们提供一个集成化、高性能、灵活、可伸缩、安全和高性能价格比的解决方案的标准。3、在局部网建设方面，选择使用CISCO设备作为骨干网基础设施的基础。 CISCO设备提供了可伸缩的结构和高性能的设备，能够高速传输数据，同时通过它们Secure技术保证了安全地接入Internet和一体化的网络解决方案。4、计算机终端设备的选型既考虑性能、价格比、设备的运行维护费用，也考虑设备的可扩充性，确保系统主要设备的投入在整个系统的生命周期内能得到充分利用并具有强健灵活的体系结构。同时，也考虑局部子网对硬件和信息流量的要求，必须能够提供专用的高速带宽，以处理日常数据信息和峰值操作，并能够支持各种新技术和新增用户。5、安全性是另一个关键要求，要保证能够安全地接入Internet。（五）网络拓扑结构设计在用户的网络结构设计中，我们建议采用层次化的结构设计。 对于用户即将建设的网络系统来说，想要建设成为一个覆盖范围广、网络性能优良、具有很强扩展能力和升级能力的网络，在起初的设计中就必须采用层次化的网络设计原则。采用这样的结构所建设的网络具有良好的扩充性、管理性，因为新的子网模块和新的网络技术能被更容易集成到整个系统中，而不破坏已存在的骨干网。 大多数的网络都可以被层次性划分为三个逻辑服务单元：核心骨干网(Backbone)、汇聚网(Distribute)和接入网(Localaccess)，模块化网络设计方法的目标在于把一个大型的网络元素划分成一个个互连的网络层次。层次性结构如下图一所示。图一根据项目的具体需求及现有的光纤结构，结合网络建设的基本理论和原则，各入网部门的实际情况，应用需求，资金条件和远，近目标等各方面的要求，设计出该网络为拓扑结构为分层的集中式结构或称星型分级拓扑。内部网络拓扑图：图二网络逻辑拓扑结构如图二所示。它是在基于高端路由交换机的基础之上而设计的新的网络拓扑结构。简要说明如下：整个网络由核心层、汇聚层和接入层两大部分组成。核心层是由CISCO WS-C3750-24TS-S企业级核心路由交换机组成。汇聚层是由CISCO WS-C3560-24TS-S路由交换机组成。接入层是由接入层楼层交换机CISCO WS-C2918-24TC-C组成。 主要网络设备列表： 拓扑结构设备型号数量（台）核心层路由交换机CISCO WS-C3750-24TS-S2汇聚层路由交换机CISCO WS-C3560-24TS-S3接入层楼层交换机CISCO WS-C2918-24TC-C26以行政楼中心机房为中心，下属部门为接入点的星型连接方式。现阶段出于用户的应用和先进性考虑，通过千兆光纤连接。 各楼层的办公网是以星型的方式千兆直接连接到各汇聚机房的汇聚交换机上后，由汇聚交换机通过千兆接到核心交换机。我们可采用千兆路由交换机与各 LAN 网段的交换机（Switch）连接而组成星型网络，实现千兆核心网络到各楼层，百兆到桌面，满足各种应用的需要。 核心层交换机与服务器群的相连是以千兆以太网的方式。（六）内部网络设计 1核心层交换机的设计核心层主要功能是给下层各业务汇聚节点提供 IP 业务平面高速承载和交换通道，负责进行数据的高速转发，同时核心层是局域网的骨干，是局域网互连的关键。对核心骨干网络设备的部署应为能够提供高带宽、大容量的核心路由交换设备，同时应具备极高的可靠性，能够保证24小时全天候不间断运行，也就必须考虑设备及链路的冗余性、安全性，而且核心骨干设备同时还应拥有非常好的扩展能力，以便随着网络的发展而发展。 基于对核心层的功能及作用，根据用户的实际需求，本方案中对网络系统中核心层由CISCO系列的企业级核心交换机WS-C3750-24TS-S组成。其主要任务是提供高性能、高安全性的核心数据交换、QoS 和为接入层提供高密度的上联端口。为整个大楼宽带办公网提供交换和路由的核心，完成各个部分数据流的中央汇集和分流。同时为数据中心的服务器提供千兆高速连接。 根据该企业的建筑分布及网络规模，以行政楼的中心机房作为整个网络系统的核心节点。核心节点由2台同档次的网络核心设备构成，它们互为备份且流量负载均衡。2台网络核心交换机作为整个网络的核心层设备，为各个汇聚层和接入层交换机提供上联。同时提供了各个服务器的可靠接入。 由于WS-C3750-24TS-S是路由交换机，也即同时具有第二层和第三层的交换能力，为了充分利用资源，将WWW服务器、 Email服务器、数据库服务器、文件VOD服务器、认证的服务器（Radius server）以及网管设备等通过千兆直接连人核心交换机，以解决带宽瓶颈，充分利用核心交换机的交换能力。 核心交换机作为信息网络的核心设备，性能的优劣直接影响到整个网络运行。在设备的选型上必须考虑到有足够的背板带宽，包交换能力，是否支持设备的冗余，安全性，扩展性等各种性能。企业级核心交换机WS-C3750-24TS-S完全满足上述的各项要求。企业级核心路由交换机WS-C3750-24TS-S的性能特性及技术指标如下：交换机类：企业级交换机应用层级：三层接口介质：10/100 BASE-T/ 100FX传输速率：10Mbps/100Mbps端口数量：48背板带宽：32GbpsVLAN支持：支持网管功能：网管功能 SNMP, CLI,包转发率：13.1MppsMAC地址：12k网络标准：IEEE 802.3, 802.3u,端口结构：非模块化2汇聚层交换机的设计汇聚层主要完成的任务是对各业务接入节点的业务汇聚、管理和分发处理，是完成网络流量的安全控制机制，以使核心网和接入访问层环境隔离开来；同时汇聚层起着承上启下的作用，对上连接至核心层，对下将各种宽带数据业务分配到各个接入层的业务节点，汇聚层位于中心机房或下联单位的分配线间，主要用于汇聚接入路由器以及接入交换机。 因此对汇聚层的交换机部署时必须考虑交换机必须具有足够的可靠性和冗余度，防止网络中部分接入层变成孤岛；还必须具有高处理能力，以便完成网络数据会聚、转发处理；具有灵活、优化的网络路由处理能力，实现网络汇聚的优化。而且规划汇聚层时建议汇聚层节点的数量和位置应根据业务和光纤资源情况来选择；汇聚层节点可采用星形连接，每个汇聚层节点保证与两个不同的核心层节点连接。 根据汇聚层在整个网络中的作用以及用户的实际需求，本方案中汇聚层共设计了3个节点，即：行政楼、生产车间和运输楼（工段办）。 汇聚层网络设备全部采用了CISCO WS-C3560-24TS-S交换机。该交换机支持各种高级路由协议，如 BGP4、RIPV1、RIPv2、VRRP、OSPF、IP 组播、IPX 路由。 汇聚路由交换机CISCO WS-C3560-24TS-S的性能特性及技术指标如下：交换机类：企业级交换机应用层级：三层接口介质：10/100 BASE-T/ 100FX传输速率：10Mbps/100Mbps端口数量：24背板带宽：32GbpsVLAN支持：支持网管功能：SNMP, CLI, Web, 管理3接入层交换机的设计接入层主要用来支撑客户端机器对服务器的访问，主要是指接入路由器、交换机、终端访问用户。它利用多种接入技术，迅速覆盖至用户节点，将不同地理分布的用户快速有效地接入到信息网的汇聚。对上连接至汇聚层和核心层，对下进行带宽和业务分配，实现用户的接入。 根据我们所借鉴的项目设计经验，汇聚层节点与接入层节点可考虑采用星形连接，每个接入层节点与两个汇聚层节点连接。当接入层采用其它结构（如环行）连接到汇聚层时，建议提供两条不同路由通道。 根据接入层处在网络系统中所起的作用以及用户的实际需求，本方案中接入层部分由CISCO公司的WS-C2918-24TC-C交换机构成。其主要功能是为该区域下属各部门的网络用户提供大量性价比极高的10/100 兆网络接口，并与信息中心的核心交换机通过 1000 兆光纤链路互联为接入的用户提供高速上联。接入层楼层交换机CISCO WS-C2918-24TC-C的性能特性及技术指标情况如下：交换机类：快速以太网交换机应用层级：二层传输速率：10Mbps/100Mbps/1000M端口数量：24背板带宽：16GbpsVLAN支持：支持网管功能：Cisco IOS CLI, Web浏览器包转发率：6.5MppsMAC地址：8K网络标准：IEEE 802.1D,IEEE 802端口结构：非模块化交换方式：存储-转发产品内存：64MB传输模式：支持全双工网管支持：支持模块化插：24软件选择1、名称：数据库 品牌：Oracle 8i 型号规格：Oracle 8i for solaris 8标准版 (5用户)2、名称：E-mail服务器 品牌：EYOU 型号规格：5000用户 美国亿邮公司专业邮件系统 3、名称：服务器操作系统 品牌：微软 型号规格：Windwos 2000教育中文标准版(5客户) 4、名称：服务器操作系统 品牌：RedHat 型号规格：RedHat Linux Server版 5、名称：MS SQL 2000 品牌：微软 型号规格：SQL SERVER2000教育中文标准版(5客户)5IP地址的设计（1）IP地址规划和分配原则1）根据目前网络结构和以后扩展，遵循以下原则进行IP 地址分配。 1.唯一性：IP 地址必须唯一，一个 IP 地址对应一台数据通讯设备； 2.连续性：为同一网络区域分配连续的网络地址，便于规划，同时提高路由器寻径效率； 3.可管理性：地址的分配应该有层次性，某个局部的变动不影响网络的其它部分； 4.高效性：采用可变长子网掩码技术，要求采用支持可变长子网掩码技术的 TCP/IP 协议族； 5.可汇聚性：方便路由汇总，缩减路由表条目，提高路由器处理效率。 6.可扩展性：既要考虑到 IP 地址的使用现状，又要考虑到未来信息网络的发展，为各单位分配合理的地址空间，在网络上尽可能少地做 NAT，减少网络设备 CPU 处理负担和加快网络访问速度。 2）业务地址的划分可以按照两个原则来分配： 1.按照部门规划，每个部门一个独立的网段；这种方案适合业务种类单一的情况，管理方便。 2.按照业务规划，每种业务一个网段，所有的地市同一业务使用同一网段，这种方案适合业务之间互访的控制。 （2）网络地址分配IP 地址规划和分配包括以下内容： 1）设备及互连链路地址规划与分配 2）业务地址规划与分配 3）服务器地址规划与分配 根据以上 IP 地址的划分原则，本方案建议 IP 的设计如下：A段（行政楼、门卫）： 55/22B段（生产车间、产区办）：55/23C段（运输楼、工段办）： 1/276VLAN的设计（1）VLAN的划分的作用及原则VLAN（Virtual Local Area Network）是虚拟局域网的英文缩写，它最简明的描述就是可以实现将连接在同一个物理网络上面的主机分组，使它们看起来就象连接在不同的网络上一样。我们可以通过 VLAN 为网络分段，各个网段可以共用同一套网络设备，节约了网络硬件的开销，同时在迁移中所需的工作量也大幅度降低了，从而降低了连网成本。在用户的企业局域网系统中，我们建议基于IEEE 802.1Q 标准实现 VLAN，在 VLAN 设计中，我们使用 VLAN 达到两个目的： 第一，不同业务部门之间的隔离和通信控制； 第二，广播范围抑制。（2）VLAN 划分建议根据各个办公室的地理位置来划分VLAN， 如果同一栋楼内包含很多部门，而这些部门的职能和工作内容又有很大的区别，我们就可以在楼内按照部门来划分VLAN。 另外，如果某个部门需要跨越很多建筑物，分布范围比较广，例如部门A 分布的很散，在很多交换机上都预留了部门 A 的信息点，我们则可以按照交换机的位置来设置 VLAN，这样，部门A就可能对应多个VLAN，如果部门A所对应的VLAN之间需要通信的话，我们可以通过VLAN间的路由来实现。这样做的好处是：可以减少广播数据包对网络主干的影响。因为如果将部门A 全部划分到一个 VLAN 中，而这些 VLAN 又跨越了网络主干，分布在众多不同的交换机上，这样如果有广播包时，这些广播包必然会在网络的主干上传输，然后到达相应的交换机上，也就占用了网络主干的带宽，容易造成其他业务的时延。 为了减少传输冲突，提高系统整体性能和网络处理能力，另外，还考虑到网络良好的管理性，易于维护和安全策略的实施，针对用户网络系统的实际情况，可以把功能（应用）相近的设备群组划分到同一VLAN，不同部门的设备划分到不同VLAN 中去，这样就能够通过访问控制列表技术实施安全策略。限制未授权的用户访问重要的服务器和数据库。（3）VLAN 之间安全控制在用户网络系统中，由于在中心使用了三层核心交换机，因此所有的VLAN 之间的访问都需要通过三层核心交换机进行，因此可以通过ACL（访问控制列表）控制VLAN之间的流量，这样就可以允许高优先级的VLAN段访问低优先级的VLAN段，而低优先级的VLAN 段不能访问或有限的访问高优先级 VLAN段。（七）外部网络设计该企业网络用户为对Internet进行访问，而且为了保证其安全性，要求能够访问Internet的用户与不能访问Internet的用户进行完全的物理隔离，则需要另建立一套网络系统(简称为外网)。网络用户(即外网用户) 通过外网布线系统接至各楼层的交换机，汇总到外网的主交换机后，接入到防火墙上，防火墙通过 IP 地址转换功能（NAT），将网络用户(即外网用户)的私有 IP 地址转换成Internet公网 IP 地址，通过光电转换器与电信相连的方式访问Internet，以使该企业网络内外网互相独立，达到完全的物理隔离的目的。与外部网络互连的设备是带防火墙的路由器，根据需要选择企业级路由器D-Link DI-7500的性能特性及技术指标情况如下：端口结构：非模块化广域网接：2个局域网接：4个传输速率：10/100/1000Mbps网络管理：GUI/WEB管理用户数量：800台防火墙：内置防火墙Qos支持：支持VPN支持：支持处理器：64位全千兆网络芯片网络安全：支持网站过滤 上网限制状态指示：Link/Act，速度，电源，电源功率：最大25W环境标准：工作温度：0-40 工作其它性能：ADSL、光纤、以太网、CA29三、综合布线设计（一）综合布线概述现代科技的进步使计算机及网络技术飞速发展，提供越来越强大的计算机处理能力和网络通信能力。计算机及网络通信技术的应用大大提高了现代企业的生产管理效率，降低运作成本，并使得现代企业能更快速有效地获取市场信息，及时决策反应，提供更快捷更满意的客户服务，在竞争中保持领先。计算机及网络通信技术的应用已经成为企业成功的一个关键因素。综合布线系统就是为了顺应发展需求而特别设计的一套布线系统。对于现代化的大楼来说，就如人体内的神经，它采用了一系列高质量的标准材料，以模块化的组合方式，把语音、数据、图像和部分控制信号系统用统一的传输媒介进行综合，经过统一的规划设计，综合在一套标准的布线系统中，将现代建筑的三大子系统有机地连接起来，为现代建筑的系统集成提供了物理介质。可以说结构化布线系统的成功与否直接关系到现代化的大楼的成败，选择一套高品质的综合布线系统是至关重要的。计算机及通信网络均依赖布线系统作为网络连接的物理基础和信息传输的通道。传统的基于特定的单一应用的专用布线技术因缺乏灵活性和发展性，已不能适应现代企业网络应用飞速发展的需要。而新一代的结构化布线系统能同时提供用户所需的数据、话音、传真、视像等各种信息服务的线路连接，它使话音和数据通信设备、交换机设备、信息管理系统及设备控制系统、安全系统彼此相连，也使这些设备与外部通信网络相连接。它包括建筑物到外部网络或电话局线路上的连线、与工作区的话音或数据终端之间的所有电缆及相关联的布线部件。布线系统由不同系列的部件组成，其中包括：传输介质、线路管理硬件、连接器、插座、插头、适配器、传输电子线路、电器保护设备和支持硬件等。（二）综合布线系统的特点相对于以往的布线，综合布线系统的特点可以概况为：实用性：实施后，布线系统将能够适应现代和未来通信技术的发展，并且实现话音、数据通信等信号的统一传输。灵活性：布线系统能满足各种应用的要求，即任一信息点能够连接不同类型的终端设备，如电话、计算机、打印机、电脑终端、传真机、各种传感器件以及图像监控设备等。模块化：综合布线系统中除去固定于建筑物内的水平缆线外，其余所有的接插件都是基本式的标准件，可互连所有话音、数据、图像、网络和楼宇自动化设备，以方便使用、搬迁、更改、扩容和管理。扩展性：综合布线系统是可扩充的，以便将来有更大的用途时，很容易将新设备扩充进去。经济性：采用综合布线系统后可以使管理人员减少，同时，因为模块化的结构，工作难度大大降低了日后因更改或搬迁系统时的费用。通用性：对符合国际通信标准的各种计算机和网络拓扑结构均能适应，对不同传递速度的通信要求均能适应，可以支持和容纳多种计算机网络的运行。（三）综合布线系统的结构根据国际标准ISO11801的定义，结构化布线系统可由以下系统组成：工作区子系统、水平干线子系统、垂直干线子系统、设备间子系统、管理子系统、建筑群子系统。整个建筑的综合布线系统是将各种不同组成部分构成一个有机的整体，而不是像传统的布线那样自成体系，互不相干，也很难互通。1工作区子系统工作区子系统（Work Area Subsystem），它是由RJ-45跳线与信息插座所连接的设备（终端或工作站）组成的。其中，信息插座有墙上型、地面型、桌上型等多种。在进行终端设备和I/O连接时，可能需要某种传输电子装置，但这种装置并不是工作区子系统的一部分。例如，调制解调器，它能为终端与其他设备之间的兼容性传输距离的延长提供所需的转换信号，但不能说是工作区子系统的一部分。工作区子系统中所使用的连接器必须具备有国际ISDN标准的8位接口，这种接口能接收楼宇自动化系统所有低压信号以及高速数据网络信息和数码声频信号。工作区子系统设计时要注意如下要点：（1）从RJ-45插座到设备间的连线用双绞线，一般不要超过5m；（2）RJ-45插座必须安装在墙壁上或不易碰到的地方，插座距离地面30cm以上；（3）配线架上的信息模块与信息插座和插头的线缆的制作要采用同一标准，如TIA/EIA 568A或568B，不可接错。2水平干线子系统水平干线子系统（Horizontal Subsystem）也称为水平子系统。水平干线子系统是整个布线系统的一部分，它是从工作区的信息插座开始到管理间子系统的配线架。结构一般为星状结构，它与垂直干线子系统的区别在于：水平干线子系统总是在一个楼层上，仅与信息插座、管理间连接。在综合布线系统中，水平干线子系统由4对UTP（非屏蔽双绞线）组成，能支持大多数现代化通信设备，如果有磁场干扰或信息保密时可用屏蔽双绞线。在高宽带应用时，可以采用光缆。从用户工作区的信息插座开始，水平布线子系统在交叉处连接，或在小型通信系统中的以下任何一处进行互联：远程（卫星）通信接线间、干线接线间或设备间。在设备间中，当终端设备位于同一楼层时，水平干线子系统将在干线接线间或远程通信（卫星）接线间的交叉连接处连接。在水平干线子系统的设计中，综合布线的设计必须具有全面介质设施方面的知识，能够向用户或用户的决策者提供完善而又经济的设计。考虑用户的需求，设计时要注意如下要点：（1）水平干线子系统用线一般为双绞线；（2）长度一般不超过90m；（3）用线必须走线槽或在天花板吊顶内布线，尽量不走地面线槽；（4）用五类双绞线可传输速率为100Mbit/s，用超五类双绞线可传输速率为1Gbit/s；（5）确定介质布线方法和线缆的走向；（6）确定距服务接线间距离最近的I/O位置；（7）确定距服务接线间距离最远的I/O位置；（8）计算水平区所需线缆长度。3垂直干线子系统 垂直干线子系统也称骨干子系统（Riser Backbone Subsystem），它是整个建筑物综合布线系统的一部分。它提供建筑物的干线电缆，负责连接管理间子系统到设备间子系统的子系统，一般使用光缆或选用大对数的非屏蔽双绞线。它也提供了建筑物垂直干线电缆的路由。该子系统通常是在两个单元之间，特别是在位于中央结点的公共系统设备处提供多个线路设施。该子系统由所有的布线电缆组成，或由导线和光缆以及将此光缆连到其他地方的相关支撑硬件组合而成。传输介质可能包括一幢多层建筑物的楼层之间垂直布线的内部电缆或从主要单元如计算机房或设备间和其他干线接线间来的电缆。为了与建筑群的其他建筑物进行通信，干线子系统将中继线交叉连接点和网络接口（由电话局提供的网络设施的一部分）连接起来。网络接口通常放在设备相邻的房间。垂直干线子系统还包括如下几项：（1）垂直干线或远程通信（卫星）接线间、设备间之间的竖向或横向的电缆走向用的通道；（2）设备间和网络接口之间的连接电缆或设备与建筑群子系统各设施间的电缆；（3）垂直干线接线间与各远程通信（卫星）接线间之间的连接电缆；（4）主设备间和计算机主机房之间的干线电缆。设计与安装时要注意如下要点：（1）垂直干线子系统一般选用超五类UTP电缆或多模光纤，以提高传输速率；（2）光缆可选用多模的（室外远距离的），也可以是单模的（室内）；（3）垂直干线电缆的拐弯处不要直角拐弯，应有相当的弧度，以防光缆受损；（4）垂直电缆要求安装在PVC管内或槽内，架空电缆要防止雷击；（5）确定每层楼的干线要求和防雷电的设施；（6）满足整幢大楼干线要求和防雷击的设施。4设备间子系统设备间子系统也称设备子系统（Equipment Room Subsystem）。设备间子系统由电缆、连接器和相关支撑硬件组成。它把各种公共系统设备的多种不同设备互联起来，其中包括邮电部门的光缆、同轴电缆、程控交换机等。设计时注意要点如下：（1）设备间要有足够的空间保障设备的存放；（2）设备间要有良好的工作环境（温度、湿度）；（3）设备间的建设标准应按机房建设标准设计，要有性能良好的接地保护系统。5管理子系统管理间子系统（Administration Subsystem）由交连、互联和I/O组成。管理间为连接其他子系统提供手段，它是连接垂直干线子系统和水平干线子系统的设备，其主要设备是配线架、HUB和机柜、电源。交连和互联允许将通信线路定位或重定位在建筑物的不同部分，以便能更容易地管理通信线路。I/O位于用户工作区和其他房间或办公室，使在移动终端设备时能够方便地进行插拔。在使用跨接线或插入线时，交叉连接允许将端接在单元一端的电缆上的通信线路连接到端接在单元另一端的电缆上的线路。跨接线是一根很短的单根导线，可将交叉连接处的二根导线端点连接起来；插入线包含几根导线，而且每根导线末端均有一个连接器。插入线为重新安排线路提供了一种简易的方法。互联与交叉连接的目的相同，但它不使用跨接线或插入线，只使用带插头的导线、插座、适配器。互联和交叉连接也适用于光纤。在远程通信（卫星）接线区，如果是安装在墙上的布线区，交叉连接可以不要插入线，因为线路经常是通过跨接线连接到I/O上的。设计时要注意如下要点：（1）配线架的配线对数可由管理的信息点数决定；（2）利用配线架的跳线功能，可使布线系统实现灵活、多功能的能力；（3）配线柜一般由配线模块、配线架和理线面板组成；（4）管理间子系统应有足够的空间放置配线架和网络设备（HUB、交换机等）；（5）网络设备需配有安全接地保护系统和功率匹配的净化电源或UPS；（6）设备房间内保持一定的温度和湿度，以利于设备维护。6建筑群子系统该子系统将一个建筑物的电缆延伸到另外一些建筑物中的通信设备和装置上，是结构化布线系统的一部分，支持提供楼群之间通信所需的硬件。它由大对数电缆、光缆和入楼处线缆上的过流、过压电气保护设备等相关硬件组成，常用介质是光缆。 设计中进入主设备间的所有光纤、大对数电缆、电信电缆都采用金属桥架或钢管进行硬件保护，同时采用IDC线对保护器对铜缆予以电气保护，避免人员和设备免遭外部电压和电流的伤害。 本方案中的建筑群子系统包括与电信部门的电缆/光缆连接，及将来与职工住宅小区的连接；住宅小区通过光缆主干与办公楼连接，可使办公区、住宅区共享一条宽带，实现家庭办公的需要，节省网络使用费。 （四）系统总体设计根据公司建筑物的结构以及综合布线的设计方案，规划出线缆走向，综合布线的各个系统以及线缆的大致走向的示意图如图3.1所示。图3.1 综合布线的示意图（五）系统结构设计描述在企业网络的规划与设计的布线设计中，我们针对办公楼的建筑布局、信息点分布及弱电井位置等实际情况，在楼层配线间的设计上进行了优化配置：既考虑了楼层配线架的安装位置尽量不占用办公区域，便于管理；也考虑了使用上的灵活性及水平线缆90m的要求。根据公司对上网的要求，我们采用高带宽的光纤接入。在综合布线的整个过程中我们依照以下设计原则：以“满足客户的需求”为第一前提，适当超前，统一规划；先进性：选择的产品要技术领先期长、产品丰富，价格适中；具有大容量、高速率，能适应将来发展的应用；可扩展性：布线系统不但要能满足现阶段的业务需求，还要满足将来业务增长和新技术发展的要求；便于升级：计算机网络技术以惊人的速度向前发展，因此系统的设计要便于升级；高可靠性：综合布线系统是网络应用所依赖的基础，因此选择的系统产品要具备较好的可靠性和抗干扰性；标准化：通讯协议和接口符合国际标准，并应是今后的发展主流；开放性：能容纳不同厂家的设备和不同的网络平台；安全性：具有保证信息不被窃、不丢失的机制；实用性：系统拓扑结构满足公司的各种应用要求；设计、施工、运营与服务：强调以人为本的设计思想，为用户提供安全、舒适、方便、快捷、高效、工作环境；由于布线系统有很长的使用期，反复布线只会造成投资上的浪费和时间上的消耗。因此，在设计时尽量做到统一规划，注重实用，适当超前，一次达到较为先进的水平。四、网络安全设计网络安全是一种策略及管理，而不仅仅是某一种产品，是一个系统工程，它包括了物理层、网络层、应用层等一系列安全措施和策略。从外在上安全包括五个基本要素：机密性、完整性、可用性、可控性与可审查性。 1、机密性：确保信息不暴露给未授权的实体或进程。 2、完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。 3、可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。 4、可控性：可以控制授权范围内的信息流向及行为方式。 5、可审查性：对出现的网络安全问题提供调查的依据和手段。（一）网络安全设计通常认为，安全是三分技术，七分管理，因此我们建议该企业网络系统的安全保护措施：1人员角色划分要对用户网络进行有效的安全管理，必须对系统的使用人员和管理人员的不同角色进行清晰的划分，不同的角色拥有不同的权限和职责，互相制约，共同保障整个系统的安全性。 对于用户网络系统涉及的各类人员，我们建议划分如下角色：(1) 决策专家。(2) 安全管理员。(3) 审计员。(4) 系统管理员。2路由认证和保护路由认证（Routing Authentication），就是运行于不同设备的相同的动态路由协议之间，对相互传递的路由刷新报文进行的确认，以便使得设备能够接受真正而安全的路由刷新报文。 任何运行一个不支持路由认证的路由协议，都存在着巨大的安全隐患。某些恶意的攻击者可以利用这些漏洞，向网络发送不正确或者不一致的路由刷新，由于设备无法证实这些刷新，而使得设备被欺骗，最终导致网络的瘫痪。 目前，多数路由协议支持路由认证，并且实现的方式大体相同。认证过程有基于明文的，也有基于更安全的MD5 校验。MD5 认证与明文认证的过程类似，只不过密钥不在网络上以明文方式直接传送。路由器将使用 MD5 算法产生一个密钥的“消息摘要”。这个消息摘要将代替密钥本身发送出去。这样可以保证没有人可以在密钥传输的过程中窃取到密钥信息。使用MD5 认证算法的路由协议有： OSPF RIP 版本 2 BGP4 EIGRP3关闭IP功能服务有些 IP 特性对局域网来说是有用的，但对广域网或城域网节点的设备是不适用的。如果这些特性被恶意攻击者利用，会增加网络的危险，因此，网络设备应具备关闭这些IP 功能的能力。因为 IP 源路由选项忽略了报文传输路径中的各个设备的中间转发过程，而不管转发接口的工作状态，可能被恶意攻击者利用，刺探网络结构。 因此，设备应能关闭 IP 源路由选项功能。设备应能关闭ICMP 重定向报文的转发。设备应能关闭定向广播报文的转发。缺省应为关闭状态。4用户的安全防护用户验证是实现用户安全防护的基础功能。只有对用户进行识别和区分，才能有效的对其进行保护。经过验证的用户可以享受服务，而未经验证的用户则被拒绝。用户验证一般都与用户流量参数的配置结合在一起。用户的流量合同从业务服务器下载到业务接入节点，作为对用户提供服务的依据。用户验证的手段包括：PPP 验证、WEB 验证和端口验证、以及 802.1x 的验证。（二）Internet安全访问设计为了保证用户上联Internet的系统安全，防止黑客及其他的非法侵入，本方案在Internet的出口放置防火墙。通过采用防火墙的安全技术屏蔽内部网络结构，同时利用访问控制列表对数据包进行过滤，根据需要封闭存在安全漏洞所用的协议和端口，保证内部网络的安全。五、工程预算（一）总体预算【报价列表】（金额单位：元）序号 名称成本金额报价金额本项毛利利润比率1 网络设备718,774.00915993.36197,219.3627.44%2 服务器334,253.00378718.4544,465.4513.3%3 安全系统77,200.0090555.6013,355.6017.3%4 系统软件31,700.0041923.2510,223.2532.25%5 机房建设71,500.0089726.4018,226.4025.49%6 综合布线99,039.00113933.8514,894.8515.04%7 光纤设备 344,576.00395066.0050,490.0014.65%8 培训36,600.0049410.0012,810.0035.%9 设备报价1,713,642.002,075,326.91 361,684.9117.43%（二）网络设备序号 名称 品牌 型号规格 数量 单位 成本单价(元) 成本合价(元) 网络中心1 WS-C6509-1300ACCISCO Catalyst 6509 Chassis w/ 1300W AC Power Supply1 台 ￥71,3