电脑公司网络设计方案.doc

高科computer有限公司网络设计方案 jj网络设计公司 2011年1月11日目录方案摘要4一、现状分析5公司建筑分布图5公司拓扑总览图61、硬件分析61.1 网络基础设施61.2 核心层设备71.3 分布层设备71.4 接入层设备71.5接入介质72、软件分析72.1 操作系统72.2 杀毒软8二、用户需求81、业务需求82、管理需求93、安全性需求94、通信量需求95、扩展性需求106、网络环境需求107、无限ap的需求118、冗余需求11三、方案设计121、方案设计（原则）121.1 设计原则122、方案设计（规划）132.1 全局拓扑结构设计13改造部分说明153、分层设计153.1核心层(core layer)153.2 分布层 (distribution layer)153.3 接入层 (access layer)164、vlan设计与ip地址规划165、布线工程设计175.1 综合布线系统总体方案设计175.2 工作区子系统设计185.3 水平布线子系统设计195.4管理间子系统设计195.5设备间子系统设计205.6 垂直干线子系统设计206、公司网络子网设计及ip地址分配206.1子网设计及ip地址分配20四、设备选型231、原则231.1品牌选择：23五、方案报价24六、实施方案24七、方案验收24八、售后服务24方案摘要高科computer有限公司是一家电脑配件生产、销售的一体化公司。创建于1999年经过多年的努力发展，以具有一定的规模，现有员工500多人，一家分公司，分别负责电脑配件生产、销售、售后维修等公司相关业务。公司网络信息化要求公司能智能的管理这些过程，减少公司日常运营中人工的传达命令，反复审核、确认任务等情况，通过信息化减少运行各个环节时因信息流通慢而造成的不便。从分公司的业务以及总公司对分公司的业务指导方面而言，网络的构建能加快两地的信息流通，确保公司业务发展，对稳定公司在市场上的地位有着很大的重要性。 公司网络组建包括网络中心的组建，包括网络中的交换机设备选型和配置；网络服务器的选型和用途；网络供应商的选择；网络的综合布线方案；网络vlan和ip地址的划分；总公司与分公司的网络连接方案；分公司内部的访问控制等。公司财务部可以通过薪资服务器对员工作出勤记录，出差记录，加班记录等等对员工的个人所得作总结。员工通过邮件服务器接收和发送邮件。公司内部的文件服务器根据不同的访问控制对不同的部门共享文件，包括信息技术，部门任务等等。通过dhcp服务器对公司内的主机地址进行动态分配，方便管理。erp系统是公司的重心，员工通过访问可以完成从订单处理，材料批发，生产，入库出库以及财务收入支出运算，维护公司业务流程。通过公司内部的代理服务器对其他服务器的地址解析使员工能通过url方式访问服务器提供的服务。组建公司网络的目的是方便公司业务管理，保证公司业务效率。一、现状分析公司建筑分布图上图为总公司建筑分布图，总公司内有写字楼、仓库、厂房。写字楼共有三层楼，2层3层是办公室，有财务部、业务部、经理办公室、后勤部、人事部；二层201房间为网络中心，是公司网络核心，各种服务设备都在里面；1层是研发部门，专门负责产品研发工作。公司还有厂房，厂房共有5层，每层设有一个管理部门；写字楼下方是仓库，内设管理部门。分公司在离总公司15公里处，租用办公楼，两间办公室。设四个部门市场部、后勤部、财务部、经理部，市场部和后勤部在同一间房间，财务部和经理部在同一间房间。公司拓扑总览图1、硬件分析1.1 网络基础设施高科computer有限公司创建于1999年，所有pc设备购买于2002年，设备比较旧配置普遍比较低，品牌是惠普。公司当时只有总公司，规模还不是很大，设备对于当时还是比较够用的。时至今天公司的规模已经不比从前，现在公司的规模已经大大比以前扩大，员工是以前的好几倍，业务也是以前的好几倍，现在已明显的设备不够用。pc是购买于2002年对不于当今市场上的设备，显的比较陈旧、老化已经跟不上时代，更无法满足公司正常业务运行的需求。1.2 核心层设备购买于2002年，设备都严重老化1.3 分布层设备购买于2002年，设备都严重老化1.4 接入层设备购买于2002年，设备都严重老化1.5接入介质2、软件分析2.1 操作系统server20032.2 杀毒软二、用户需求经过公司多年来的合理经营发展，由以前的规模还不是很大。时至今天公司的规模已经不比从前，现在公司的规模已经大大比以前扩大，员工是以前的好几倍，业务也是以前的好几倍，现在已明显的设备不够用。网络的需求以无法满足公司正常业务运行的需求。1、业务需求从公司的业务特色分析，公司的业务环节可以利用erp资源系统对各个环节流程的网络话，方便信息交流，能快速知道业务流程中出现的需要，保持生产销售一条线稳定发展。公司需购置薪资服务器，邮件服务器，文件服务器，dhcp服务器，erp财务管理系统以及代理服务器。公司财务部可以通过薪资服务器对员工作出勤记录，出差记录，加班记录等等对员工的个人所得作总结。员工通过邮件服务器接收和发送邮件。公司内部的文件服务器根据不同的访问控制对不同的部门共享文件，包括信息技术，部门任务等等。通过dhcp服务器对公司内的主机地址进行动态分配，方便管理。erp系统是公司的重心，员工通过访问可以完成从订单处理，材料批发，生产，入库出库以及财务收入支出运算，维护公司业务流程。通过公司内部的代理服务器对其他服务器的地址解析使员工能通过url方式访问服务器提供的服务。2、管理需求需要对网络进行远程管理,公司部管理员利用远程控制软件管理网络设备,使网管工作更方便,更高效. 通过设定域管理，有效管理员工公司的重要信息的访问控制。公司采用的网络交换机，路由器设备均为系列产品，拥有良好的兼容性和可管理性。3、安全性需求分公司通过总公司才能访问到internet，因此分公司的安全性依靠南宁总公司的防火墙设置，分公司与总公司之间通信的安全通过vpn配置实现。分公司内部员工对服务器的访问权限则通过acl访问控制列表实现。通过nat配置，允许总公司对分公司的文件服务器和erp资源系统访问。分公司统一使用正版卡巴斯基杀毒软件，清除网络中存在的病毒和人为的从硬盘介质带入的病毒。最后分公司通过划分vlan，控制广播风暴的影响范围，方便管理。4、通信量需求（）pc连接 kb/s ；（）远程连接,服务器的访问=100kb/s以上； （3）压缩视频256kb/s以上，非压缩视频 2mb/s以上 。5、扩展性需求网络扩展性需求从两个方面考虑，网络硬件设备的可扩展性以及信息点的预留。在选购交换机的时候不能仅仅满足现在的业务需求而使用一些接近淘汰的产品，在选购时要高瞻远瞩，但同时也不能造成投资浪费。此外随着公司业务的增长，企业对于数据信息点的有一定的可扩充预算，本方案中网络节点的布线预留比率为18，采用的设备和布线方案均容易扩展，主机设备的拥有良好的升级性能。6、网络环境需求网络环境中的信息点分为数据信息点和语音信息点，数据信息点用于连接pc，语音信息点用于连接电话。根据公司的业务范围，在职员工数，对信息点的规划如下： 总公司生产部，实际运用的信息点数30，可扩充的端口5个人事部，实际运用的信息点数20，可扩充的端口3个研发部，实际运用的信息点数40，可扩充的端口8个业务部，实际运用的信息点数100，可扩充的端口18个后勤部，实际运用的信息点数20，可扩充的端口3个财务部，实际运用的信息点数5，可扩充的端口1个分公司市场部，实际运用的信息点数35，可扩充的端口7个 财务部，实际运用的信息点数5，可扩充的端口1个经理部，实际运用的信息点数3，可扩充端口2个后勤部，实际运用的信息点数4，可扩充的端口1个信息点统计表部门数据信息点单位：（个）扩充信息点单位：（个）总计单位：（个）总公司生产部30535人事部20325研发部40848财务部10018118业务部20323后勤部516分公司经理部314后勤部415市场部35742财务部5167、无限ap的需求无线ap（access point）即无线接入点，它是用于无线网络的无线交换机，也是无线网络的核心。无线ap是移动计算机用户进入有线网络的接入点，主要用于宽带家庭、大楼内部以及园区内部，典型距离覆盖几十米至上百米，目前主要技术为802.11系列。大多数无线ap还带有接入点客户端模式（ap client），可以和其它ap进行无线连接，延展网络的覆盖范围。对流动人员非常实用。8、冗余需求网络冗余性需求是每一家大型生产公司必须考虑的，网络硬件设备的良好行性是保持公司正常运行的必要条件。在选购交换机的时候不能仅仅满足现在的业务需求而使用一些接近淘汰的产品，在选购时要高瞻远瞩，考虑冗余，但同时也不能造成投资浪费。此外随着公司业务的增长，企业对于数据信息点的有一定的可扩充预算，冗余不能保证网络不出现瘫痪，但能在异地年程度上减少网络瘫痪的时间。三、方案设计1、方案设计（原则）1.1 设计原则1）、先进性：以先进、成熟的网络通信技术进行组网，支持数据、语音、视频等多媒体应用，用基于交换的技术替代传统的基于路由的技术。2）、标准化和开放性：网络协议符合iso或ieee等制定的标准，并采用符合国际和国家标准的网络设备。3）、可靠性和可用性：选用高可靠的产品和技术，充分考虑系统运行时的应变能力和容错能力，确保整个系统的安全与可靠。4）、灵活性和兼容性：选用符合国际发展潮流的标准软件技术，保证系统具备较强的可靠性、可扩展性和升级性，确保系统能够与现有各厂商的网络设备、工作站、服务器和微机的互连。5）、实用性和经济性：建设网络就是为了应用，因此建设校园网必须以注重实用和成效为导向，校园网要更多的考虑经济性和实用性，要紧紧抓住教育教学这一中心点，紧密结合教学、科研、管理的实际需要，用有限的资金优先解决急需的问题，兼顾网络的实用性和经济性，着眼于学院的近期目标和长远发展规划，利用有限的投资构造性能价格比最高的网络系统。6）、安全性和保密性：接入internet时，保证网上信息和各种应用系统的安全。7）、扩展性和升级能力：支持多种网络协议、多种高层协议和多媒体应用，网络的构造设计应具有良好的可扩展性和升级能力，以备将来进行网络升级扩展时能保护现有的投资。8）、可管理性：网络管理基于snmp，支持rmon（远程监控）和rmon2以及标准的mib(管理信息库)，能够利用图形化的管理界面和简捷的操作方式，合理地进行网络规划，并提供强大的网络管理功能，一体化的网络管理功能将使网络的日常维护和操作变得直观、便捷和高效。2、方案设计（规划）2.1 全局拓扑结构设计公司整体拓扑设计总公司拓扑设计分工是拓扑设计分公司是租用房，租用两间工作房，其中市场部和后勤部在同一间办公室，经理部和财务部在同一间办公室改造部分说明3、分层设计从逻辑上，公司网络可分为核心层、分布层和接人层 ，每层都有特点。层次化设计的优点可以总结为如下几点： 可扩展性：因为网络可模块化增长而不会遇到问题； 简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题； 设计的灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境；可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理。3.1核心层(core layer)核心层为下两层提供优化的数据输运功能，它是一个高速的交换骨干，其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(acl，过滤等)，否则会降低数据包的交换速度。3.2 分布层 (distribution layer) 分布层提供基于统一策略的互连性，它是核心层和访问层的分界点，定义了网络的边界，对数据包进行复杂的运算。在园区网络环境中，分布层主要提供如下功能：l 地址的聚集l 部门和工作组的接入l 广播域/多目传输域的定义l inter vlan路由l 任何介质的转换l 安全控制3.3 接入层 (access layer) 接入层的主要功能是为最终用户提供对园区网络访问的途径。本层也可以提供进一步的调整，如access-list filtering等。在园区网络环境中，接入层主要提供如下功能：l 带宽共享（shared bandwidth）l 交换带宽（switched bandwidth）l mac层过滤（mac layer filtering(possibly)）l 微分网段（microsegmentation） 在广域网环境中，接入层主要提供通过frame relay、isdn、leased line连入远程节点。4、vlan设计与ip地址规划划分vlan的重要性在现有的网络中，所有部门在网络上都是相通的。同时，缺乏管理的公司网络，很容易造成广播风暴。处在同一台接入层交换机下的计算机，由于没有划分vlan，都处在一个广播域下，所有信息全部暴露在所有终端端口，容易造成数据被拦截，监听，截取。所以在改造方案中，必须为公司内部划分vlan，更好的管理公司网络。vlan的划分有很多种，常用的划分方法是将端口和ip地址结合来划分vlan，某几个端口为一个vlan，并为该vlan配置ip地址，那么该vlan中的计算机就以这个地址为网关，其它vlan则不能与该vlan处于同一子网。在该方案设计中，采用的就是这种方法。5、布线工程设计5.1 综合布线系统总体方案设计结构化布线系统主要由工作区子系统、水平布线子系统、垂直干线子系统、设备间子系统、管理子系统和建筑群子系统这六个子系统组成，布线系统结构如图6-1所示。布线系统结构图本方案采用结构化综合布线标准布线。在楼群间采用千兆单模光纤链路连接，即从2号楼网络中心到1号楼、3号楼采用单模光纤连接。汇聚层到接入层之间采用双绞线连接。1号楼1楼管理间有两个小型机柜，放有3台接入层交换机和1台汇聚层交换机。3号楼1楼管理间同样有两个小型机柜，放有3台接入层交换机和1台汇聚层交换机。2号楼1楼，即中心机房，选用三台大机柜，放余下的设备，1号机柜从下到上分别放财务部server，人事部server，trend office scan，erp server，isa2004，lotus domain，active directory；2号机柜从下到上分别放4台接入层交换机和1台汇聚层交换机；3号机柜从下到上分别放防火墙，路由器以及核心层交换机。公司步线设计图在本方案的设计中，该公司有3幢大楼，楼与楼间采用单模光纤连接。5.2 工作区子系统设计工作区是工作人员利用终端设备进行工作的地方。如下图所示，为财务部办公室，即为一个工作区。 工作区子系统信息点由标准rj45插座构成，每个信息面板包含一个信息点和语音点，不同型号的微机终端通过rj45标准跳线可方便的连接到数据信息插座上；连接电话机的rj11连接线插 在语音信息口上。连接至终端和电话的介质选用超5类utp。信息插座图5.3 水平布线子系统设计如下图所示，水平子系统由四对utp(非屏蔽双绞线)组成，是信息插座和管理子系统间连接的桥梁。水平子系统的走线图。水平布线子系统5.4管理间子系统设计管理间子系统由交连、互连和i/o组成，如下图所示管理间为连接其他子系统提供手段，它是连接垂直干线子系统和水平干线子系统的设备。其主要设备有配线架、交换机和机柜、电源等。管理间子系统5.5设备间子系统设计设备间子系统由电缆、连接器和相关支撑硬件组成。它把各种公共系统设备的多种不同设备互连起来，其中包括电信部门的光缆、同轴电缆和程控交换机等。在该方案中，由于公司楼层不高，故将管理间和设备间放在一间。3幢大楼的管理间和设备间都位于底楼中间。5.6 垂直干线子系统设计干线子系统是整个建筑物综合布线系统的一部分，它提供建筑物的干线电缆，负责连接管理子系统到设备间子系统，一般使用光缆进行布线。如下图所示。垂直干线子系统6、公司网络子网设计及ip地址分配6.1子网设计及ip地址分配子网编址的方法在ip互联网中，a类、b类、c类ip地址是经常使用的ip地址。由于经过网络号和主机号的层次划分，它们能适应于不同的网络规模。使用b类ip地址的网络可以容纳255*255台主机，而使用c类ip地址的网络仅仅可以容纳254台主机。但是，随着计算机的发展和网络技术的进步，个人计算机应用迅速普及，小型网络（特别的小型局域网）越来越多。这些网络多则拥有几十台主机，少则拥有两三台主机，对于这样一些小规模网络即使采用一个c类地址仍然的一种浪费（可以容纳254台主机），因而在实际应用中，人们开始寻找新的解决方案以克服ip地址的浪费现象，其中子网编址就是方案之一。子网的规划方法子网规划,就是根据子网个数要求及每一个子网的有效主机地址个数要求，确定借几位主机号作为子网号，然后写出借位后的子网个数、每一个子网的有效主机地址个数、每一个子网的子网地址、子网掩码和每一个子网的有效主机地址。子网规划和ip地址分配在网络规划中占有重要地位。在确定借几位主机号作为子网号时应使子网号部分产生足够的子网，而剩余的主机号部分能容纳足够的主机在内部局域网上划分逻辑子网 尽管子网编址的初衷是为了避免小型或微型网络浪费ip地址，但是，有时候将一个大规模的物理网络划分成几个小规模的子网还有其他的好处：由于各个子网在逻辑上是独立的，因此没有路由器的转发，子网之间的主机不可能相互通信，尽管这些主机处于同一个物理网络中。ip地址 internet 上的每台主机(host)都有一个唯一的ip地址。ip协议就是使用这个地址在主机之间传递信息，这是internet 能够运行的基础。ip地址的长度为32位，分为4段，每段8位，用十进制数字表示，每段数字范围为1254，段与段之间用句点隔开。例如159.226.1.1。ip地址有两部分组成，一部分为网络地址，另一部分为主机地址。ip地址分为a、b、c、d、e5类。常用的是b和c两类。ip地址就像是我们的家庭住址一样，如果你要写信给一个人，你就要知道他（她）的地址，这样邮递员才能把信送到，计算机发送信息是就好比是邮递员，它必须知道唯一的“家庭地址”才能不至于把信送错人家。只不过我们的地址使用文字来表示的，计算机的地址用十进制数字表示。 众所周知，在电话通讯中，电话用户是靠电话号码来识别的。同样，在网络中为了区别不同的计算机，也需要给计算机指定一个号码，这个号码就是“ip地址”。 ip地址的分配原则，一为体系化编址；二可持续扩展性。体系化即结构化、组织化，对整个网络地址进行有条理的规划。使整个网络的结构清晰，而每个区域的地址与其他的区域地址相对独立，也便于独立的灵活管理。可持续扩展性，在初期规划时为将来的网络拓展考虑，在将来很可能增大规模的区块中要留出较大的余地。对于集团内ip 资源进行重新规划并预分配。vlan的使用，vlan有利用减少网络风暴及病毒的传播，也同样有利于建立访问规则的控制，增强网络的安全性，分配使用划分方式：u 以区域划分，