企业局域网组建的设计与实现 毕业论文.doc

。 目 录中文摘要5abstract6第一章 概 述7第二章 需求分析82.1 系统现状分析82.2 现行运作中存在的问题82.3 办公自动化网络应提供如下功能9第三章 系统分析103.1 技术要求103.2 方案要求103.3 网络设备的要求113.4 办公自动化功能概述113.5 网络方案逻辑结构图123.6 网络方案物理结构图13第四章 网络及系统平台总体设计144.1 网络系统规划144.2 结点分布及地址分配144.2.1 节点分布144.2.2 地址分配154.3 网络设备选型164.3.1 主要网络产品性能说明164.3.2 外网部分204.4 服务器设备选择21第五章 系统及数据的安全设计235.1 网络安全性235.2 数据安全性235.3 病毒防护23第六章 综合布线设计256.1 设计依据256.2 布线系统设计256.3 与计算机网络系统配合25结束语27致 谢28参考文献29中文摘要本论文是根据某企业单位实际情况，在原有电脑设施的基础上，建立企业内部的局域网并与 internet网相连接，这一网络化建设，是实现企业信息化管理的发展方向。本毕业设计课题将主要以我们单位企业局域网网络建设过程可能用到的各种技术及实施方案为设计方向，为我们企业量身定做了一套信息化建设网络方案，为我们企业网络的建设提供理论依据和实践指导。关键词: 局域网、internet、计算机网络、网络协议、服务器、网络拓扑图第一章 概 述随着计算机信息产业技术的普及和发展，各企业单位的计算机应用越来越广泛。通过信息化提高企业的竞争力已成为大多数企业的共识，但尚有不少企业的管理者往往认为买了电脑就万事大吉，却不知来建立企业内部的局域网并联接国际网联网信息化能够有效重复和加强协作，从而提高效率。企业要实现信息化管理，首要的条件就是建立企业局域网，然后在该系统的基础上开发应用各种基础和专业软件。网络化可以有效地实现企业内部的资源共享、信息发布、技术交流、生产组织。此外，还可以通过这个网络连接到世界上其它计算机，使得企业方便地实现与外部的交流。企业网的建设是一项非常复杂的系统工程，企业作为一个特殊的网络应用环境，它的建设与使用都有其自身的特点。在选择局域网的网络技术时要体现开放式、分布式、安全可靠，维护简单的原则。局域网技术是一项在20世纪70年代发展起来的计算机互联技术，经过多年的发展，技术已经成熟，并得到了广泛的应用，局域网技术成为网络技术的重要组成部分。对企业内部建立企业局域网，对外应能联入外围工业区和外围厂，这两点在网络规划时都应考虑到，因而根据此特点和公司各单位的部门划分，内部电脑可分为以下四种类型：一是生产用电脑，二是管理用电脑，三是财务用电脑，四是劳资系统电脑。根据中小企业的规模、网络系统的复杂程度、网络应用的程度，用户对于网络的需求也各不相同，对于中小企业内部网,主要实现资源共享功能,通信服务功能,多媒体功能,远程vpn拨入服务功能等等。第二章 需求分析2.1 系统现状分析一、企业组网需求1企业内共计300台计算机，2台服务器；2分布在2栋5层楼中，每层楼高4米，两栋楼间距为30米，每座楼高20米，长60米，宽18米，每层楼有12个工作间，1个会议室。3要将2栋大楼的所有房间成一个局域网，每个工作间要求有3个信息点，会议室要求有4个信息点。4要求在一个楼中建立一个中心机房，另一座楼在适当的位置建立二级交换机房。5要求局域网主干线路为千兆，到桌面为百兆。6要求有内部web服务、ftp服务、dhcp服务、dns服务、邮件服务、防火墙、防病毒系统、备份系统等。（学生至少选择三个服务进行配置，服务器平台自省选择。）7本企业有业务部门、财务部门、材料部门、工程部门、后勤部门、客服部门、经理室共七个单位，要求，每个单位要有自己独立的账号来访问本单位的ftp服务器。8其中业务部门占用20个工作间，财务部门占用6个工作间，材料部门占用15个工作间，工程部门占用20工作间，后勤部门占用15个工作间，经理室占用3个工作间，客服部门占用30个工作间。91号楼分配给业务和客服部门，以及后勤部门的七个工作间 2号楼分配给其它剩余的部门10要求每个部门之间，计算机不能直接互相访问，经理室可以与所有部门通信2.2 现行运作中存在的问题(1) 传统的办公模式受到极大的挑战随着社会的发展，企业内部个部门所管理的事物和对象越来越多，涉及面越来越广，要求越来越高。因此，这就要求办公效率越来越高、信息传递的速度越来越快，这使传统的办公模式和环境受到极大的挑战，落后的办公手段已经不能适应发展的需要，严重阻碍发展的步伐。(2) 内部、外部的信息交流不畅企业内部管理活动有其自身的特点，在整个企业操作运行过程中所产生的和需要处理的数据和信息分布广、量大，而且环环相扣、连续不断，交流非常频繁。目前这些数据和信息基本上都是靠人工进行管理，就算有的地方应用了计算机进行管理，但也是孤立的，没有形成全地区范围的计算机网络，完全靠报表、文件或电话进行数据的传递。处理数据和信息已是非常困难的事情，而数据和信息的传递就更难了，这必然造成付出大量的人力、物力，但还达不到我们希望的目标。2.3 办公自动化网络应提供如下功能1、连接企业内部所有部门的pc。2、通过权限设定用户浏览internet，同时接收、查询浏览国内外的资讯和电子邮件。3、提供丰富的网络服务，实现广泛的软件，硬件资源共享，包括：提供基本的internet网络服务功能：如电子邮件、文件传输、电子公告牌等。4、实现系统各个管理机构的办公自动化，应具备内容：l 管理部门办公自动化系统实现局内的无纸化传输以及实现对全局内部业务流程的自动流转；信息系统的相关发布、查询；有效数据的收集、分析、辅助决策。l 确保权限使用的安全性，文件的保密性，以及物理，网络，服务器，应用程序的安全性。l 在文件的审批过程中可以跟踪审批的进度、修改审批流程，退回流程（流程简单灵活），并可保留审批过程中的修改痕迹。l 实现局域网及互联网邮件系统的信息交换。l 系统实现自动处理信息的功能，将工作人员从繁杂的劳动解脱出来。l 及时提醒功能的提升，与手机短信等相结合，保证工作人员无论身处何地都能及时收到工作上的紧急通知和重要消息。第三章 系统分析3.1 技术要求(1) 网络技术现状分析目前在局域网组网技术中比较成熟和应用较多的技术有以下几方面网络类型：ethernet:10m、100m、giga以太网，atm:25m、155m、622m、2.4g，fddi:100m 面临淘汰。在端口数据分配上也分为共享式和交换式。网间数据交换核心方面分为路由和三层交换两种技术。在以上几个方面中网络类型的选择是关键，目前的主要技术之争是发生在以太网和atm之间的，这两种技术各有短长。atm技术相对以太网来说是一种较为为新型的技术，它基于面向连接，提供qos保障，在实时数据传送，预留带宽方面有不可比拟的优越性，特别适合实时多媒体的交互式通讯和一些突发性的数据传送要求，它针对不同的数据通讯类型会给予不同的质量保证，另外小信元有利于速率的不断提高，但由于其技术成熟度不够，和目前直接基于atm的应用类型还比较少，它的优越性受到了限制，另外它的元件和设备价格昂贵是另一个不利与推广的弱点。以太网技术相对成熟，而且多数应用基于以太网开发，所以决定了目前它在网络中占主导地位，受多数用户的青睐。在此我们推荐使用千兆以太网技术，它在技术上由快速以太网衍生出来、性能价格比高，现在相关技术已经稳定，并且非常适合企业网络使用。在此方案中我们选择千兆以太网与三层交换作为技术定位的基本模式。(2) 主机系统要求l 主机系统应采用国际上较新的主流技术，并具有良好的向后扩展能力；l 主机系统应具有高的可靠性，能长时间连续工作，并有容错措施；l 支持通用大型数据库，如sql、oracle、lotus domino等；l 具有广泛的软件支持，软件兼容性好，并支持多种传输协议；l 能与internet互联，可提供互联网的应用，如www浏览服务、ftp文件传输服务、e-mail电子邮件服务；l 支持snmp网络管理协议，具有良好的可管理性和可维护性；3.2 方案要求l 该企业网络方案要求网络稳定，因此应采用成熟的技术，并尽可能采用先进的技术；l 为了网络良好维护性，及网络安全性考虑，应采用国际统一标准，以拥有广泛的支持厂商，最大限度的采用同一厂家的产品，同时尽可能选择国内产品；l 企业办公中需要用到大量的数据交流，因此方案应合理分配带宽，使用户不受网上“塞车”的影响；l 根据企业办公业务的需要及安全性的考虑，需要方案的设计中，尤其是在办公的局域网内能够实现虚拟网（vlan）连接；l 企业中现在已经有一定数量的网络设备，pc机设备，及其他相关设备，考虑对用户现有网络的平滑过度，需要使现有陈旧设备尽量保持较好的利用价值；3.3 网络设备的要求l 高性能；所有网络设备都应足够的吞吐量；l 高可靠性和高可用性；应考虑多种容错技术；l 可管理性；所有网络设备均可用适当的网管软件进行监控、管理和设置；l 采用国际统一的标准；3.4 办公自动化功能概述(1) 领导办公为领导设立自己的平台，只看到自己的办公项目，所设定的项目为个人最常用的项目。是具有共性的个人办公事务处理。1、当日要务当日要务中包括活动安排、收文管理、发文管理等栏目。领导每天对重要的信息，活动安排，会议安排，文件签发等情况有全面的了解。2、工作监督工作监督系统包括对收文管理、发问管理、督办管理、议案管理、信息管理、会议管理、活动管理、请假管理、用印管理、行政复议管理、侨眷认定管理等监督功能。3、常用批语提供领导常用的批语，并可以进行即时填加修改等。4、个人邮箱个人邮箱功能进行扩展，除邮件的收发还可以进行个人的业务办公，包括以下功能 邮件收发可以进行邮件的收、发、保存、修改、删除以及附加附件、群发等功能 。 通讯录记录联系人、个人通讯名单等信息，方便查找。 个人记事本对重要事项进行记录，备忘等。 待办事宜记录个人待办事务，可通过邮件进行到时提醒的功能。 活动安排包括领导的活动和会议安排的时间、地点等信息。 视频会议提供对视频会议接口支持。3.5 网络方案逻辑结构图图3.3 逻辑结构图核心层是网络的高速交换主干，具有可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性的性能。该方案中网络办公需要进行频繁的数据交换，尤其是在进行视频会议时。因此在核心层，采用高带宽的千兆交换机。同时核心层设备采用双机冗余热备份，使用负载均衡功能。汇聚层是接入层和核心层的“中介”，在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。在汇聚层实施策略、安全、工作组接入、vlan间的路由、进行源地址或目的地址过滤。接入层提供本地工作站接入。3.6 网络方案物理结构图第四章 网络及系统平台总体设计4.1 网络系统规划本方案中主干网包括两个中心交换机、一个核心路由器、1个防火墙和一系列的楼层交换机。政务办公网为本次方案的核心部分，对全网数据交换的要求较高。因此要求：l 高性能，具有高速交换的能力；l 多功能，可同时连接并支持多种网络环境，如以太网/高速以太网/fddi/atm等；l 高可靠性，具有冗余电源，模块可热插拨及一定的自动切换能力，不存在“单点故障”；l 可扩展性，具有多槽机箱结构，可升级和扩展，可配制高端口密度和大吞吐量的扩展卡；l 很强的管理特性，支持通用的网管协议，如snmp/rmon/rmon2等。l 具有良好的技术升级特性，可以实现由现有网络向未来网络技术的平滑过度，保护原有投资。作为外网是指为了方便工作、查阅资料和对外发布信息而放在internet网上工作的部分服务器和工作站。为保证信息系统安全、可靠、724小时不间断运行，网络为星型连接，企业内部办公和各点连接链路的速度为百兆连接，网络交换连接主干需要达到千兆（含千兆）以上另外由于采用交换式以太网技术，不仅可以实现用户对高带宽的需求，而且其价格适中，还易于维护及管理，因而本方案具有较高的性能价格比。4.2 结点分布及地址分配4.2.1 节点分布该企业电脑分布在2栋5层楼中，每层楼高4米，两栋楼间距为30米，每座楼高20米，长60米，宽18米，每层楼有12个工作间，1个会议室。要将2栋大楼的所有房间成一个局域网，每个工作间要求有3个信息点，会议室要求有4个信息点。8其中业务部门占用20个工作间，财务部门占用6个工作间，材料部门占用15个工作间，工程部门占用20工作间，后勤部门占用15个工作间，经理室占用3个工作间，客服部门占用30个工作间。表4.1 节点分布表序号单位名称信息点数1业务部402财务部123材料部304工程部405客服部606经理室107后勤部308网管部109其他部门68网络在企业自动化系统中起着至关重要的作用。大量的文件和业务数据会通过网络传输，这就要求网络有足够的主干带宽和扩展能力。除上述考虑外，由于办公环境中各部门、各职能单位在一起办公为了保密和安全的角度考虑，要求每个部门之间，计算机不能直接互相访问，经理室可以与所有部门通信，需要将网络在逻辑上划分几个不同的网段。建成后网络应能通过qos技术提供多个网段的划分和隔离，并能做到灵活改变配置，以适应日后环境的调整和变化。4.2.2 地址分配企业内部楼共300个节点，根据部门分工职能及安全需要划分3个vlan，具体分配情况如下：表4.2 ip地址分配表序号vlan号部门ip地址1vlan10业务部/40客服部/60后勤部/302vlan20财务部/20材料部/30工程部/40经理室/203vlan30后勤部/50网管/20其他/1004.3 网络设备选型该网络为企业网络。网络设备的选型基于安全性的考虑尽可能实现国产化，统一化；因此网络设备主要使用华为公司的产品。防火墙等相关产品也尽量实现国产化以支持民族产业。在设计网络时，主干选用千兆以太网技术，核心路由器为quidway netengine 80，核心交换机选择华为3com公司的quidway s6506，；楼层交换机为quidway s3526c，并选用1端口1000base-sx（550）模块进行交换机之间的连接。连接企业的路由选择quidway r2631e。如图所示：图4.1 网络设备图4.3.1 主要网络产品性能说明1、 核心路由器： quidway netengine 80：quidway netengine 80核心路由器是华为公司推出的高端网络产品，主要应用在ip骨干网、ip城域网骨干层以及各种大型ip网络的核心位置。基于分布式的网络处理器硬件转发和无阻塞交换技术，其电信级可靠性、线速转发性能、完善的qos机制、丰富的业务处理能力、优异的扩展能力，满足不断增长的数据和互联网业务对网络骨干设备的需求。ne80是ip骨干网和ip城域网向宽带化、安全化、业务化发展的重要源动力。图4.2 ne80外观图该方案采用ne80路由主要基于以下考虑：核心路由要求较高的转发速率及交换容量，ne80转发性能高达400mpps,交换容量最高达640gbps完全可以满足办公业务数据转发的要求；ne80上20个槽位其中16个业务槽位可以满足扩展接口的需要； ne80全面支持ipv4和ipv6双协议栈；支持丰富的ipv4向ipv6的过渡技术，为以后网络升级提供了良好的扩展性。ne80支持rip、ospf、is-is、bgp-4等路由协议；路由表容量支持170万。可满足该方案的要求。ne80的产品特点： 分布式第五代路由器ne80作为第五代路由器采用了业界高性能网络处理器技术，充分继承了第四代全分布式硬件处理的架构，有机地结合了软件的灵活性和硬件的高性能，又具备快速良好的业务升级和扩展能力，最大限度地保证用户投资。ne80都可以仅通过软件升级方式提供硬件的ipv6转发性能，不需重新购买ipv6硬件设备，为用户节省了大量费用，充分保护用户投资，体现出第五代路由器的优异的扩展能力。 业务丰富ne80基于分布式硬件处理，具备高性能的网络业务能力，提供全面的mpls vpn业务，胜任高性能p/pe应用，提供高品质、安全和多层次的mpls vpn解决方案；提供高性能组播能力；提供千兆线速nat等各种业务。ne80具备快速良好的业务扩展能力，全面支持ipv6。 强大的路由能力、线速的转发性能ne80支持ip/mpls分布式转发，路由能力强大，适合ip骨干网应用，支持大路由表，支持丰富的路由协议包括rip、ospf、is-is、bgp4和多播路由协议，在复杂路由环境下稳定自如。 电信级可靠性ne80各关键部件包括路由处理系统、交换网系统、时钟系统、电源、管理总线全部为冗余热备份，实现基于状态的热切换和不间断的路由转发；所有组件支持热插拔；采用无源背板设计；提供热补丁技术，实现软件完全平滑升级；提供ip/mpls快速重路由、接口自动保护切换（msp）、虚拟路由冗余协议（vrrp）、rpr自愈环网(ips)等保护机制，有效保证了全网运行的高速可靠。2、 核心交换机：quidway s6506：quidway s6500系列高端多业务交换机是华为3com公司面向ip城域网、大型企业网及园区网用户的系列大容量、高密度、模块化的二、三层线速以太网交换机产品。为域网、园区网、数据中心提供超高速链路，构建端到端以太网络，打造低成本、高性能、具有丰富业务支持能力的高性能网络。quidway s6500提供大容量、高密度、模块化的二、三层线速转发性能，同时具有丰富的业务功能、强大的qos保障、完善的安全管理机制和电信级的高可靠设计，完全满足行业客户和运营商用户对多业务、高可靠、大容量、模块化的需求。主要作为企业的核心交换机或城域网汇聚层交换机。该系列包括s6502（2槽），s6503（4槽），s6506（7槽），s6506r(8槽)。图4.3 s6506外观图该方案使用s6506核心交换机基于以下考虑：核心交换机上需要实现vrrp（虚拟路由冗余协议）及负载均衡。s6506的port trunking支持最大支持8个ge或16个fe的捆绑可以该方案中对核心交换的要求。另外选用slience iii 96g双路由交换引擎实现vtp server的备份。选用4端口千兆以太网电口12端口千兆以太网sfp光口扩展模块满足设备节点的需要。s6506支持生成树/快速生成树协议，符合ieee 802.1d/802.1w/802.1s标准，支持bpdu tunnel，避免了在局域网内交换机在建立必要冗余的同时产生的环路问题。s6506的产品特点： 先进的体系结构s6500采用全分布式体系结构设计，通过crossbar技术进行高速报文交换，从而大大提升了路由交换机的转发性能和扩充能力。crossbar交换网芯片内置于主控板，不再单独占用设备槽位，可提供高达768g的交换容量。 强大的qos能力和精细化用户管理每端口支持8个硬件队列，带宽控制粒度可达64kbps；强大的用户管理、认证计费功能支持；支持cams（综合访问控制管理服务器）系统，提供专业用户管理、计费解决方案；内置ieee 802.1x认证服务器功能。内置dhcp server功能。 运营级可靠性设计系统采用分布式结构； s6500系列所有单板支持热插拔；支持stp/rstp/mstp协议和vrrp协议，能够满足苛刻的电信级网络可靠性要求；支持双路电源供电。 完善的安全机制支持标准radius协议，同时提供radius+功能；支持tacas+协议；hcbm（华为可控组播管理协议）功能支持；保证对用户的精确认证。支持ssh v1/2。基于最长匹配的路由方式，保证了所有报文均获得相同的转发性能。对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力。 无与伦比的性能价格比s6500提供系列化机箱和系列化超级引擎，可以根据不同组网需要进行灵活配置；s6500提供多种高密度百兆、千兆、万兆接口板，有效简化网络结构、降低建网成本；s6502无需专门的主控交换引擎，主控交换功能内置于接口板内部，进一步降低建网成本。 强大的扩展性能s6500具有强大的性能和业务扩展能力；背板带宽高达1.6tbps；可以实现灵活的智能化业务能力，如nat/mpls/ip v6等高级业务特性，从而有效保障用户的投资。3、 楼层交换机：quidway s3526c：quidway s3500系列快速智能三层交换机是华为3com公司为充分满足高qos保证的需求而推出的智能型以太网交换机，包括s3526c、s3526e-fs、s3526e-fm三款类型。quidway s3500系列快速智能三层交换机支持l2l7层的流分类，在流分类的基础上可以进行acl和qos方面的多种操作，提供完善的路由协议、vlan控制、流量交换、qos保证的机制，以及完备的业务控制和用户管理能力，可作为关注业务管理控制能力的局域网/企业网、业务网和驻地网的汇聚三层交换机。图4.4 s3526c外观图该方案使用s3526c基于如下考虑：局域网内的普通pc机器为了安全考虑需要划分为5个vlan，s3526c支持最多256个vlan，支持isolate-user-vlan，可以隔离用户，节省vlan资源，局域网内有近200点的pc机，另有视频终端6个，s3526c的基于带宽百分比的广播风暴的抑制技术，可有效的抑制广播风暴。支持stp协议，支持日志quidview网管系统可以利用软件进行方便的设备配置及管理。两个前扩展模块插槽可插一个1端口1000base-sx模块（550m）满足线路要求。s3526c产品特点： 完备的安全智能控制策略：quidway s3500系列快速智能三层交换机支持802.1x认证，在用户接入网络时完成必要的身份认证，还可以通过灵活的mac、ip、vlan、port任意组合绑定，有效的防止非法用户访问网络。支持多种acl访问控制策略，能够对用户访问网络资源的权限进行设置，保证网络的受控访问。 丰富的qos策略：quidway s3500系列快速智能三层交换机通过对acl的引用来完成qos流分类规则的定义，支持基于二层、三层、四层和端口的信息作为匹配依据的复杂流分类；根据服务质量要求的为不同数据流网络流量设置传输优先级标记，满足视频、语音等重要应用的需求。支持带宽控制功能，确保进入交换机的特定业务流一个最小的带宽，即使在网络拥塞时，也能满足一定的丢包、时延及时延抖动等qos需求。 多样的管理方式：quidway s3500系列快速智能三层交换机支持snmp，可支持open view等通用网管平台，以及quidview、imanager 网管系统。支持web网管，telnet，hgmp集群管理，使设备管理更方便。4.3.2 外网部分在设计外网时，路由器使用quidway r3640e，交换机使用quidway s3026f，出口为国产知名品牌的防火墙天融信网络卫士4000-uf。天融信网络卫士4000-uf： 严格的安全区域保护ngfw4000-uf 采用多安全区域体系，ngfw4000-uf 防火墙的每个物理接口对应一个独立的防火区域，每个区域的安全策略只对该区域有效。每个区域可以单独设置自己的默认安全策略，所有对该区域的访问都将匹配与该区域对应的安全策略。也可以设定是否允许从该区域ping 、telnet 以及管理防火墙。可以定义某个接口连接的网络为安全服务器网络（ssnsecurity server network ），将提供信息访问服务的服务器安装于该网络区域内，与内、外网络从物理上隔离开来，并提供专门的安全保护。图4.5 网络卫士4000-uf外观图ngfw4000-uf一般情况下，ssn 主机不允许主动向内、外网发起连接请求，只允许向内、外网回应其请求数据包；外网用户也只能访问ssn 上的主机，不能访问内部网主机。即ssn 与外部网之间受防火墙保护，同时ssn 与内部网之间也受防火墙保护，即使ssn 受破坏，内部网络仍处于防火墙保护之下。同时ngfw4000-uf 提供的ssn 保护功能针对用户最常提供的web 访问服务进行专门保护，能定时检查ssn 区web服务器，进行校验，一旦发现服务器被入侵修改，能够根据备份的信息及时恢复服务器内容，将服务器被入侵修改造成的影响减至最小。 强大的vpn功能ngfw 4000-uf支持内建vpn功能模块。选择拥有vpn功能的ngfw4000-uf，就能够与vpn 体系中的vpn网关、windows 客户端，当然也包括另外的启用了vpn 功能的ngfw 4000-uf互通。它们之间可以建立加密隧道进行加密通信，形成虚拟专用网，借助互联网组建安全可靠的私有网络。ngfw 4000-uf防火墙支持内嵌vpn模块支持，支持ipsec、ike等国际标准，支持国家有关密码管理部门批准的密码算法；支持网关到网关、网关到远程客户端的隧道。ngfw 4000-uf无缝集成vpn功能，就相当于一台vpn网关与一台防火墙两套系统组合起来，更好地管理维护，而且由于是内建的功能支持，功能间的结合更加平滑易用，并且可以实现防火墙能对密文和解密后的明文进行多层次的安全控制，提供更高的安全性。该方案中使用网络卫士4000-uf是基于网络安全的考虑，企业网络对安全要求较高，保证高效办公的同时又要保证政务办公网的安全，因此政务办公网和internet外网络必须进行隔离，ngfw 4000-uf的ssn技术可以满足这一要求。对于internet用户，考虑到有些领导在出差时期需要进行移动办公，移动办公基于安全的考虑使用vpn拨号，因此要求防火墙具有强大的vpn功能，在保证移动办公的同时，又保证了政务办公网的安全。4.4 服务器设备选择根据该企业信息系统平台的应用系统对服务器的要求及对系统平台的规划,服务器主要放置在办公大楼的中心机房的办公区和外网区，通过对应用系统地分析，系统平台需要以下服务器系统：图4.6 服务器设备图在综合考虑了系统的先进性、实用性、成熟性、可用性、可靠性和可扩展性等方面的因素，考虑此次办公管理系统对服务器平台的性能要求选择以下服务器：数据库服务器：采用两台浪潮英信系列高端服务器英信nf380做双机集群系统，选用主频为intel xeon mp3.0mhz/4m的cpu两块，内存为2g，服务器硬盘采用36.4g二块做raid1来保护操作系统的安全。连接一台磁盘阵列柜，组成双机系统。磁盘阵列柜配置73g热插拔硬盘10块，采用raid0+1技术对硬盘进行容错保护。服务器操作系统以及数据库程序文件安装在本机上，数据文件保存在磁盘阵列中。操作系统采用windows server 2003企业版。通过microsoft cluster系统集群软件实现双机热备，运行甲骨文公司的oracle9i数据库软件组成业务的支撑平台,同时提供信息门户系统的信息存储。办公应用服务器：考虑到办公的数据量和办公服务器的重要性，采用两台浪潮英信系列服务器为用户提供办公业务。主服务器采用高端服务器英信nf190，选用主频为intel xeon mp2.8mhz/2m的cpu两块，内存为2g，服务器硬盘采用73g五块做raid5来保护操作系统的安全。备用服务器采用服务器英信nf130 g2，选用主频为intel xeon mp2.8mhz/1m的cpu两块，内存为2g，服务器硬盘采用73g五块做raid5来保护操作系统的安全。操作系统采用windows server 2003标准版。应用软件采用ibm公司的lotus domino/note消息平台为该企业提供办公业务。dns服务器：采用浪潮英信系列服务器nf130 g2一台，选用主频为intel xeon 2.8mhz/512k的cpu两块，内存为2g，服务器硬盘采用36.4g二块做raid1来保护操作系统的安全。操作系统采用windows server 2003标准版，运行dns服务来进行域名解析服务，并于邮件服务器相配合完成邮件的内、外网的收发工作。防病毒服务器：采用浪潮英信系列服务器nf130 g2一台，选用主频为intel xeon 2.8mhz/512k的cpu一块，内存为1g，服务器硬盘采用36.4g二块做raid1来保护操作系统的安全。操作系统采用windows server 2003标准版，安装诺顿网络防病毒软件，最为整个网络的病毒防护和管理中心，对所有的客户端进行统一的病毒代码升级和管理工作。视频服务器：采用一台中太视讯的penteview 6088 mcu，128kbps-2mbps会议带宽范围可以满足该企业视频会议的需求。可提供24个点会议服务，满足视频会议17个节点的需要。web服务器：采用浪潮英信系列服务器nf130 g2一台，选用主频为intel xeon 2.8mhz/512k的cpu两块，内存为2g，服务器硬盘采用36.4g二块做raid1来保护操作系统的安全。操作系统采用windows server 2003标准版，运行iis server 6.0 来进行网站的发布，通过此网站来实现对用户internet平台的统一界面。能够为客户提供通过internet进行办公信息、的发布和查询等功能。认证服务器：采用华为的cams 综合访问管理服务器，该服务器采用linux 9系统平台，oracle9.0数据库。cams作为网络中的用户管理核心，在基本的aaa（authorization、authentication and accounting）功能之上， 提供了强大的管理、维护和安全控制平台，实现网络的可管理、可运营和高安全。第五章 系统及数据的安全设计5.1 网络安全性(1) 物理安全：政务办公网络是对安全性要求教高的网络，需要实现同外网隔离，同时要保证可以实现移动办公，因此需使用硬件防火墙对内外网络进行隔离，并使用vpn的128的加密技术，vpn数据包在internet中传输时，internet上的用户只看到公用的ip地址，看不到数据包内包含的专有网络地址保证通信的安全。(2) 业务安全：办公楼内有多个不同的办公部门，不同职能的办公部门之间，特别是对安全要求比较高的部门，例如财务办，该办公室需要划分在一个独立vlan内。将不同的工作部门划分在不同的vlan内，使工作部门实现相互的隔离，保证了业务之间的安全。各个部门如果有必要进行通信则通过路由进行通信。并在接入层交换机上做访问控制。(3) 网络设备安全：所有服务器均通过两条链路连接到两台核心交换机上核心交换机采用双机热备。核心交换机使用双引擎备份，一台vtp sever ,一台备份vtp server，并起用vrrp。5.2 数据安全性通过对服务器系统数据的定期备份，可以形成冗余性的数据安全。当数据库方面出现严重问题，不能够正常运行，需要进行恢复时，就能利用最近一次的备份文件，将数据库恢复到备份时刻的状态，减少或避免出现数据大量丢失的严重故障，增强系统和数据的安全性，减少整个系统恢复到正常运行状态的时间，缩短系统停机时间，降低系统管理员的维护工作量，提高整个系统的安全性、可靠性、可维护性。同时数据库服务器采用双机热备，保证了信息系统能够不间断的运行。5.3 病毒防护因为在网络中存在大量客户端及各种应用的服务器，由于个人使用不规范或其它原因，随时会出现客户端机器或服务器感染计算机病毒的可能，如果没有一个有效的病毒防护措施及解决方案，就会对整个网络中的各个应用造成很大的影响。所以病毒防护系统是不可缺少的一部分。这次主要考虑应用所有微软操作系统的网络中。 鉴于symantec在对各种系统平台的全面支持上，防病毒技术的先进上，良好的可管理性上的优势，本方案中采用symantec的网络防病毒产品，将防病毒系统分为工作站防病毒，服务器防毒，防病毒管理三个方面。(1) 工作站防病毒对于工作站的操作系统，因为其大部分操作系统为windows系列的操作系统，根据工作站的系统类型，分别安装norton antivirus for windows3x/95/98/2000/xp,实现对系统，磁盘，可移动磁盘，光盘以及调制解调器连接所收发文件的病毒防护。(2) 服务器防病毒对于内部网络的计算机，建议使用一台运行2003操作系统的机器作为防病毒的服务器，一般为了管理方便，应该把symantec system center(ssc)和防病毒服务器安装在同一台服务器上进行管理。(3) 防病毒管理计算机病毒的防护主要从技术和管理两方面着手，重在管理。系统设计时，配备有针对性的防病毒软件，积极预防和防止各种计算机病毒，同时，指定必要的计算机应用方面的规章制度。第六章 综合布线设计6.1 设计依据依据标准：a.ieee802 标准b.eia/tia 568工业标准及国际商务建筑布线标准c.eia/tia 569 国际商务建筑布线管理标准安装与设计规范：a.建筑与建