企业网络集成设计.doc

企业网络集成设计目录第1章 网络需求分析第2章 布线工程2.1综合布线工程设计2.2.1工作区子系统设计2.2.2 水平子系统设计2.2.3 管理间子系统设计2.2.4 设备间子系统设计2.2.5 建筑群子系统设计2.2 布线系统的测试第3章 交换机和路由器的配置3.1 交换机的选择3.2 虚拟局域网技术3.3 VLAN间的路由3.4 网络地址转换 3.5 VPN 配置第4章 服务器技术第5章 网络安全和管理5.1.1 网络管理工具.5.1.2网络安全机制设计5.1.3 防火墙技术第6章 网络系统测试6.1 网络故障分析和排除 6.2 网络性能优化6.3 网络系统验收第一章 网络需求分析本网络应具有以下特点： 一、 先进性二、 可行性三、 灵活性四、 实用性五、 可靠性六、 可扩展性先有公司一个总部和三个分部，每个建筑不都是紧密相连的，我们要做好总办公大楼的布线系统，同时也在公司分部布好线，使总部与其他各分部可以进行互联。如何让布线网长期工作，如何能够更好的管理，而且便于以后发展的扩展性，是我们要考虑的重要问题。1.1.1 网络分析的技术指标 在进行网络设计时，应该首先分析网络的技术指标，只有达到这些具体的技术指标,在总体性能上才能达到设计要求。影响网络性能的主要因素1企业网应该是快速高效的网络。企业网应该能够满足先进的电子手段对它的要求。网络应该具备高效的数据通信处理能力。 2.考虑到网络以后的扩展,我们需要使网络具有可扩展性,方便以后企业网络的扩展.3.网络应该具备很高的稳定性和可靠性，避免由于网络故障导致工作的正常展开。 4.网络应该支持大规模的数据库应用。如何确保数据库查询迅速及时地得到反馈是网络应该注意的问题。 5随着企业网对因特网接入需求的增加，应该考虑企业网能够顺利实现与外部网络和Internet的连接。 6企业网应该具备使用灵活，管理简单的特性。由于企业网不可能投入太多的专业人员从事系统维护，因此在设计时就应该考虑网络使用和维护应该尽量简单。 7考虑到未来企业的扩建，教学发展的需要，企业网应该具备很好的扩展能力，能够保证在需要时企业网能够实现向未来网络的平滑升级。另外企业网应该能够保证新的应用形顺利开发实现。 第二章 布线工程综合布线是网络实现的基础，是计算机网络、通信系统的有力支撑环境。作为一个大中型企业，企业园区里的每栋建筑物并不一定是紧密相邻的，有可能相距几公里或者几十公里；我们在做好总办公大楼特别是中心机房（信息中心）的布线系统，同时也在公司分部布好线后，总部和其他分部如何进行互联，则是我们规划与设计工厂园区布线网必须要考虑的事项，如何让公司园区布线网长期稳定工作，而且便于以后发展需要具有可扩展性；这又是一个在布线系统规划中要重点解决的问题，以下就是从分部到信息中心的布线方式。工厂园区布线网设计原则n 实用性、扩充性、先进性n 高速性系统能处理和传输多媒体信息，采取光缆组成网络，尽力提高网络的吞吐量。同时，应采用Client/Server结构模式，减轻网络通信资源的开销。n 可靠性具有足够的可靠性冗余、后援存储能力和容错能力，必须保证系统能长期稳定的运行，使故障的影响局部化，网络设计应利于故障的分析与排除。楼宇之间布线 从分公司到信息中心的布线距离一般都超过双绞线布线的最大距离100米，因此采用光缆进行布线 随着企业局域网速率的不断提高，对于网络带宽的需求与日俱增，光纤以其带宽及衰减方面无与伦比的优势，越来越广泛地应用于局域网中。布线系统由许多部件组成，主要包括线缆（传输介质）、线路管理硬件、连接器、插座、插头、适配器、传输电子线路以及电器保护设施等，并由这些部件来构造各种子系统。综合布线系统常用的传输介质有双绞线、光缆和同轴电缆。布线组件在企业综合布线工程中，我们主要使用的组件有：1 光缆光纤是网络介质中最先进的技术，是用于电器噪声环境中最好的线缆。与其它线缆相比较，光纤具有频带宽、电磁绝缘性能好以及信号衰件小的特点。因此，光纤一般作为计算机网络的主干。光纤一般分为单模光纤和多模光线。将光纤扎成束，外面有保护外壳，中间有抗拉线，这就是所谓的光缆了；根据应用环境的不同，光缆可以分为室内和室外光缆。工厂园区布线网在工厂到信息中心这段距离里一般采用室外光缆，办公区（信息中心）和工厂厂房两端使用的则是室内光缆。2、光纤连接器光纤连接器是光纤与光纤之间进行可拆卸（活动）连接的器件，它是把光纤的两个端面精密对接起来，以使发射光纤输出的光能量能最大限度地耦合到接收光纤中去，并使由于其介入光链路而对系统造成的影响减到最小，这是光纤连接器的基本要求。2 光纤连接器插头光纤连接器插头是光纤连接器的附件，也是实现光纤活动连接的重要组成部分。它与光纤适配器一起实现了光纤的活动连接。4、光纤跳线5、光纤配线架6架空光缆架空光缆主要适用于地形平坦、起伏较小的地区。7管道光缆管道光缆一般用于市区内局间中继线路，其管道为塑料管或水泥管道内的塑料子管。8直埋光缆2.1 综合布线工程设计网络总体规划在设计公司园区网的方案的时，充分贯彻了项目的建设目标和建设原则。充分考虑了公司性质和对网络系统的需求，使公司园区网建设之后能够稳定的运行，能够满足该公司的应用需求。 综合布线工程设计需要对工作区子系统、水平布线子系统、干线子系统、设备间子系统、管理子系统和建筑群子系统这六个子系统分别进行设计。由于综合布线系统所选择的线缆、传输介质是多样的（屏蔽、非屏蔽双绞线、光纤等），每座楼宇对布线的要求也不尽相同，因此在进行六个子系统设计之前先要对布线工程的总体方案进行设计。在布线工程的总体方案设计中需要考虑的内容很多，不但要从总体上考虑建筑以及建筑群中六个子系统的设计，还要考虑管槽系统的设计、电源的设计、防护的设计以及防火的安全保护设计等方面的内容。1管槽系统设计管槽系统的设计是在楼宇中要考虑的。管槽系统设计要求：综合布线系统线缆的敷设和设备安装方式应采用暗敷管槽和明装箱体的方式；管槽系统与建筑设计和施工同步；在布线工程的总体方案决定后，对与管槽系统需要预留管槽的位置、尺寸等应该被决定；管槽系统应与建筑的使用寿命相同；管路的走向、位置、槽道规格以及设备间的连接要从整体考虑，应协调配合。2 电源设计 电源是综合布线系统的主要动力，直接影响各种设备的正常运行。在布线工程的总体方案中应注意：选定合适的负荷等级。3防护设计 布线工程的总体方案中还应考虑干扰源对布线系统的影响。在不能与干扰源保持安全距离时，就应考虑采取防护措施。2.1.1 工作区子系统设计工作区布线子系统由终端设备连接到信息插座的连线(或软线)组成，它包括装配软线、适配器和连接所需的扩展软线，并在终端设备和I/O之间搭桥。2.1.2 水平子系统设计 水平子系统的作用是将干线子系统线路延伸到用户工作区，水平子系统区别于干线子系统的区别是：水平布线系统处于同一楼层，并端接在信息插座或区域布线的中转点上。水平布线子系统一端端接于信息插座上，另一端端接在干线接线间、卫星接线间或设备机房的管理配线架上。水平布线子系统的设计包括网络拓扑结构、设备配制、线缆选用和确定最大长度等内容。它们虽然各自独立，但又密切相关2.1.3管理间子系统设计管理子系统由交连、互连和配线架和信息插座式配线架以及相关跳线组成。管理点为连接其它子系统提供连接手段。交连和互连允许你将通信线路定位或重新定位到建筑物的不同部分，以便能更容易地管理通信线路。通过卡接或插接式跳线，交叉连接允许你将端接在配线架一端的通信线路与端接于另一端配线架上的线路相连。插入线为重新安排线路提供一种简易的方法，而且不需要安装跨接线时使用的专用工具。干线子系统 干线子系统是建筑物内网络系统的中枢，该子系统把公共系统设备互连起来，由它将各楼层的水平子系统联系起来。它提供建筑物的干线(馈电线)电缆的路由。通常由垂直大对数铜缆或光缆组成，它的一端端接于设备机房的主配线架上，另一端通常端接在楼层接线间的各个管理分配线架上。2.1.4设备间子系统设计信息点统计楼名 楼层 信息点（个） 小计（个） AA 一层（销售部） 60 202 二层（市场部） 60三层（开发部） 60 四层（人力资源部） 10四层 （财务部） 10四层（总经理室） 2 A1 一层（销售部） 60 202 二层（市场部） 60 三层（开发部） 60 四层（人力资源部） 10四层（财务部） 10 四层（分部经理室） 2 A2 一层（销售部） 60 202二层（市场部） 60 三层（开发部） 60四层（人力资源部） 10 四层（财务部） 10 四层（分部经理室） 2 A3 一层（销售部） 60 202二层（市场部） 60 三层（开发部） 60 四层（人力资源部） 10 四层（财务部） 10 四层（分部经理室） 2每栋建筑物与此楼相似设备间子系统由电缆、连接器和相关支撑硬件组成。它把各种公共系统设备的多种不同设备互连起来，其中包括光缆、同轴电缆和程控交换机等。2.1.5 建筑群子系统设计规模较大或性质重要的机构通常是由几座建筑物组成。这些建筑物之间的联系或对外通信都需要采用综合布线系统。建筑群主干线布线子系统是智能化建筑群体内的主干传输线路，也是综合布线的骨干部分。线路路由应尽量选择距离短、平直，并在用户信息需求点密集的楼群经过，以便供线和节省工程投资；线路路由应选择在较永久性的道路上敷设并应符合有关标准中规定的与其他管线以及建筑物之间的最小净距要求；线路路由与电力线路必须分开敷设，并留有一定的时间距以保证通信线路安全；建筑群主干布线子系统的主干线缆分支到各幢建筑物的引入段落，其建筑方式应尽量采用底下敷设。2.2布线系统的测试网络的建立都必须经过从电敷设到网络设备的连接几个过程，每一个过程都必须要经过测试才能保证网络的正常运行，不经过测试的网络会存在许多隐患。综合布线工程的测试从工程角度来分可以分为两类：验证测试和认证测试。验证测试一般是在施工的过程中由施工人员边施工边测试，以保证所完成的每个连接的正确性；认证测试是指对布线系统依照标准进行逐项检测，以确定布线是否能达到设计要求。包括连接性能测试和电器性能测试。 线缆测试工具有：电缆测试仪和网络测试仪。第三章 交换机和路由器的配置3.1交换机的选择交换机的分类方法有很多种。从广义上来将，交换机可以分为两种：广域网交换机和局域网交换机。广域网交换机主要应用于电信领域，提供通信用的基础平台；而局域网交换机则应用于局域网络，用语连接终端设备，如PC工作站及服务器等。在这个企业级网络我们可以使用部门级交换机或者是按照应用来选择交换机的类型。在各个部门可以使用接入层交换机，在每幢楼上使用汇聚层交换机，而在企业管理中心使用核心层交换机。在公司内部网络中,我们可以采用一下结构:3.2虚拟局域网技术统一标准，统一网络统一的IP应用标准（IP地址、路由协议）、安全标准、接入标准和网络管理平台，才能真正的统一网络，便于公司的管理和网络策略和实施VTP设计规范在 公司内部网络中,所有的网络设备都是CISCO公司的产品，设计规划局域网交换机全部运行VTP协议CISCO公司专有的VTP协议，能够从一个中心控制点开始，维护整个企业网上，VLAN的添加、删除和重命名工作，确保配置的一致性，避免出错，极大地减轻了网络管理员对数量众多的交换机、VLAN和VLAN中继进行配置和管理的工作量，降低了配置的复杂度。公司的园区网的每栋建筑物内部都形成一个独立的局域网，为了网络的高效、稳定的运行，便于管理与维护，每个局域网都需要运行VTP协议，并且对每个局域网的VTP域名、运行模式、版本、修剪、认证等方面进行了规范设计。VTP域名每栋建筑物内部的独立局域网成为一个VTP域，为了便于统一的管理与维护，进行统一命名，VTP域名规范表：局域网 VTP域名AA-building总部 LT-ZBA1-building第一分部 LT-C1A2-building第二分部 LT-C2A3-building第三分部 LT-C3VTP运行模式为了提高局域网的运行安全，对每栋建筑物局域网内的交换机的VTP运行模式进行了如下的规范设计：l 分部的主交换机运行服务器模式l 楼层的接入交换机运行客户机模式这样，既能方便的进行VTP、VLAN等的管理，又能够避免错误或者恶意配置带来的对局域网运行安全的危害。3.3VLAN间的路由1 使用路由器实现VLAN间的路由；2 使用三层交换机实现VLAN间的路由。VLAN设计规范每栋建筑物的局域网进行VLAN划分，可以减少网络内的广播数据包，提高网络运行效率，可以区分不同的应用和用户，方便公司的管理与维护。VLAN 用途VLAN 1 网管用VLAN 2 每栋建筑一层的销售部门VLAN 3 每栋建筑二层的市场部门VLAN 4 每栋建筑三层的开发部门VLAN 5 每栋建筑四层的人力资源部门VLAN 6 每栋建筑四层的财务部门VLAN 7 用于每栋建筑个部门之间VLAN 8 总经理办公室 AA总部 A1分部 A2分部 A3分部VLAN 1 BA-Admin B1-Admin B2-Admin B3-AdminVLAN 2 BA-Sales B1-Sales B2-Sales B3-SalesVLAN 3 BA-Market B1-Market B2-Market B3-MarketVLAN 4 BA-Development B1-Development B2-Development B3-DevelopmentVLAN 5 BA-Human B1-Human B2-Human B3-HumanVLAN 6 BA-Accounting B1-Accounting B2-Accounting B3-AccountingVLAN 7 BA-All B1-All B2-All B3-AllVLAN 8 BA-Boss B1-Boss B2-Boss B3-Boss IP地址规划设计方案对IP地址的使用进行了规划l 使用IPv4地址方案。l 使用私有地址：/8。l 使用VLSM（可变长子网掩码）技术分配IP地址空间。l IP地址分配满足合理利用的要求。l IP地址分配满足便于路由汇聚的要求。l IP地址分配满足分类控制等的要求。l IP地址分配满足未来公司网络扩容的需要。IP地址分配方案 IP地址位使用规划表0-7 8-11 12-15 16-18 19-31集团标识 子公司标识 预留 类别标识 用户地址空间IP地址位使用取值表路由部分设计根据蓝天数码公司园区网的招标要求，结合公司实际情况和网络结构，采用OSPF协议作为网络的路由协议。OSPF路由协议是业界标准的路由协议，能够快速收敛，支持无类路由（Classless）和变长子网掩码（VLSM），适合运行在大中型网络。OSPF区域划分及汇总表公司园区网OSPF路由协议采用多区域的方式，并且进行区域路由汇总。划分区域和汇总路由，能够有效地减少OSPF路由协议的LSA泛洪，减少链路带宽的占用，减少路由器的资源消耗，减少路由汇聚的时间，提高网络的稳定性。系统结构设计根据公司的管理结构，采用了域模式来组织和管理全部系统资源，公司总部作为域林的根，每一个分部为一个独立的子域，形成一个完整的树状结构。系统管理设计按部门划分方案中采用网络地址转化协议来使局域网中的计算机都通过转换地址来访问互联网,以保证公司内部的主机不被受到攻击. 局域网上联Internet 互联网上正在运行的网际协议是IPv4，所采用32位的IP地址空间已耗尽，即将被IPv6所取代，现在想在Internet上申请到一个C类的地址已经很困难，而一个公司的网络又常需要一个连续的地址范围。为解决这个矛盾，使用网络地址转换NAT，把内部专用IP地址转换成外部合法IP地址后与外部主机通讯，也可以将外部主机传回来的数据经过NAT转换到内部IP地质上。3.5 VPN配置当移动用户或远程拥护通过拨号方式远程访问公司或企业内部专用网络的时候，通过拨号与企业内部专用网络建立VPN连接是一个理想的选择。首先远程用户可以通过当地的ISP申请账户登录到Internet，以Internet作为隧道与企业内部专用网络相连，通信费用大幅度降低；其次企业可以节省购买和维护通讯设备的费用。第四章 服务器技术服务器在企业内部网络中承担传输和处理大量数据的任务，是企业内部的主机可以访问企业的基本资料满足业务的需要。所以服务器要具备高可伸缩性、高可靠性、高可用性和高可管理性。服务器的特性服务器必须具备四大主要特性：可用性、可利用性、可扩展性和可管理性。为了保障整个系统具有较高的性能，方案中采用了专用的服务器作为系统的核心服务器，如域控制器、服务器、FTP服务器、WEB服务器、Exchange服务器等。并且在每个域中配置了两台域控制器，实现了冗余，使网络访问和身份验证更加迅速。同时保障在一台服务器出现故障时，仍能够使网络系统正常使用。根据企业的需要，各个子公司都属于总部，而且总部和各子公司又要进行独立的管理，因此要采用多域的设计，由公司总部和各子公司构成一体，既保证了各公司之间的资源共享，又实现了各公司的独立管理。通过多域的设计，实现了各子公司的独立管理，每个公司可以根据自己的安全需要定义不同的安全规则和安全策略。可以方便的设置权限，保障文件资源和邮件只被授权的访问，并且只有授权的管理员才能更改系统中的设置，防止了由于用户误操作或其他因素造成的系统的危险。安全性得到了很大的保障。WEB服务在公司内部建立两台WEB服务器，用于存储公司的WEB网站。一台WEB服务器放置在公司总部的中心机房，另一台作为公司的WEB服务器，放置在该公司的中心机房。两台WEB服务器都使用Windows Server 2003系统及IIS6.0实现。Mail服务器的配置邮件服务邮件服务的结构：根据公司的规模和应用要求，在公司内部共设置4台邮件服务器，每个公司的域中设置一台本公司的邮件服务器，用于完成公司内部的邮箱存储并接受和向外转发用户的邮件。所有邮件服务器处于同一个组织中。可安装在域控制器上。所有用户位于同一个管理组和一个路由组内。设置每个用户发送附件的大小不得超过4MB。DNS服务器配置在Internet中，DNS服务器也是数量最多的网络服务器之一，DNS主要用于IP地址与域名的转换，运行在53端口。它还可以为许多Internet应用层协议如HTTP、SMTP、FTP等服务。DNS查找类型包括正向查找和反向查找。DNS服务器类型有主域名服务器、辅助域名服务器和唯高速缓寸服务器。FTP服务FTP服务用于提供文件的上传和下载，是用于管理企业文件资源的一种非常常用的方法，根据公司的要求，方案中利用IIS6.0中提供的FTP组件来实现，大大降低了系统成本。公司总部和各子公司各配置一台FTP服务器，分别放置在各公司的中心机房。第五章 网络安全和管理5.5.1 网络管理工具网络管理的功能有五种：配置管理、故障管理、计费管理、安全管理和性能管理。网络管理工具主要有：HP Open View、Cisco Works、SolarWinds Orion Network Performance Monitor等。我们使用Cicso 公司的Cisco Works 管理工具来管理我们的网络.5.1.2 网络安全机制设计网络信息系统安全的基本需求网络信息系统安全就是保护网络系统中的各种资源不因偶然或恶意的愿意而遭到占用、毁坏、更改和泄露，系统能够连续正常运行。网络信息系统安全的基本需求有：（1）保密性；（1） 完整性；（2） 可用性；（3） 可控性；（4） 不可否认性。安全服务安全服务是为加强网络信息系统安全性及对抗安全攻击而采取的一系列的措施。安全服务一般有：（1） 鉴别服务；（2） 访问控制服务；（3） 机密性服务；（4） 完整性服务；（5） 不可否认服务。安全机制是实现安全服务的技术手段。为了防止数据的丢失,我们使用访问控制机制和数据加密机制.5.1.3防火墙技术为了防止网络上的病毒或者是人为的恶意攻击而造成的公司数据的丢失，我们一般要在内部网络和外部网络的接口出设置防火墙，以保证公司内部网络的安全和机密数据的安全性。防火墙是设置在不同网络或不同网络安全域之间的、能根据公司的安全策略控制两者之间的信息流的一系列足见的组合。（2）网络防病毒系统为了确保网络系统抵御病毒的危害，网络系统要安装瑞星网络版的防杀毒系统。该系统分为服务器版和客户机版，要求连接在企业 网上每台服务器和客户机均要安装。需要由一台运行Windows 2000 Advanced Server的服务器担任网络防杀毒控制中心。该系统可以有选择的保护校园网络的计算机不受病毒的侵袭。网络防杀毒系统工作过程如下：网络防病毒体系是由四个相互关联的子系统组成。每一个子系统均包括若干不同的模块，除承担各自的任务外，还与另外子系统通讯协同工作，共同完成对网络的病毒防护工作。首先，由一个系统中心实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息；同时，根据控制台的设置，实现对整个防护系统的自动控制。其他子系统只有在系统中心工作后，才可实现各自的网络防护功能。控制台是整个网络防病毒系统设置、使用和控制的操作平台。只要将系统中心设为自动升级，其它子系统的计算机除在第一次安装时需用户认证外，当有新的升级版本程序下载到系统中心后，在开机状态下会自动监测到，并自动升级，不需人工干预，大大减轻了管理人员和用户的负担。如图9所示。防火墙的体系结构常见的防火墙结构有3种：包过滤防火墙、屏蔽主机防火墙和屏蔽子网防火墙。我们通常使用的是包过滤防火墙.第六章 网络系统测试做好网络后，我们还要对网络系统进行测试，看有没有达到企业的标准，哪个部分出了问题，以便能够及时地做出改动。6.1网络故障分析和排除网络故障诊断技术网络故障诊断技应该实现三方面的目的：确定网络的故障点，恢复网络的正常运行；发现网络规划和配置中欠佳之处，改善和优化网络的性能；观察网络的运行状况，及时预测网络通信质量。网络故障诊断以网络原理、网络配置和网络运行的知识为基础。从故障现象出发，以网络诊断工具为手段获取诊断信息，确定网络故障点，查找问题的根源，排除故障，恢复网络正常运行。诊断网络故障的过程应该沿着OSI七层模型从物理层开始向上进行。首先检查物理层，然后检查数据链路层，以次类推，设法确定通信失败的故障点，直到