大型办公网络设计与规划方案毕业论文.doc

大型办公网络设计与规划方案毕业论文目 录ABSTRACT3目 录- 7 -第一章项目需求分析- 1 -1.1.项目背景- 1 -1.2.需求分析- 2 -2.1网络建设目标- 2 -2.2 网络及系统建设内容及要求- 3 -2.2.1 建设内容：- 3 -2.2.2 要求：- 3 -2.3. 网络设计原则- 3 -第三章项目实施计划- 4 -3.1 项目组织结构- 4 -3.2 项目实施前的准备工作- 6 -3.2.1 工程实施概述- 6 -3.2.2 布线系统实施- 6 -3.2.3系统整体实施- 7 -3.3 安装前的场地准备- 7 -3.3.1 施工现场准备- 8 -3.3.2 施工的场外准备- 8 -3.4 核心及各网点的安装调试- 9 -3.4.1 工程硬件安装- 9 -3.4.2 工程软件调试- 9 -3.4.3 系统的安装- 10 -3.4.4 工程质量检查- 10 -第四章 网络测试- 10 -4.1 网络测试目的- 10 -4.2 测试文档- 10 -第五章 网络总体设计- 12 -5.1 网络总体拓扑图- 12 -5.2 网络层次化设计- 14 -5.2.1. 核心层- 14 -5.2.2 汇聚层- 14 -5.2.3 接入层- 15 -5.3 核心层设计- 15 -5.4 接入层设计- 15 -5.5 内联接入- 15 -第六章 .路由设计- 15 -6.1 路由协议选择- 16 -6.2 路由规划拓扑图- 16 -6.3 IP地址规划- 16 -第七章 网络安全解决方案- 17 -7.1 网络边界安全威胁分析- 17 -7.2 网络内部安全威胁分析- 18 -7.3 安全产品选型原则- 18 -7.4 网络常用技术介绍- 19 -7.4.1 PPP协议- 19 -7.4.2 Vtp- 19 -7.4.3 HSRP 协议- 19 -7.4.4 VLAN 技术- 19 -7.4.5 Trunk 技术- 19 -7.4.6 Easy-vpn技术- 20 -7.4.7 SPT协议- 20 -7.4.8 OSPF协议- 20 -7.4.9 Qos技术- 20 -第八章 产品选型- 20 -8.1 路由- 20 -8.2 二层交换机- 21 -8.3 三层交换- 21 -8.4 工程部专用电脑- 21 -8.5 打印系统- 22 -8.6 文件服务器- 23 -九总部和分部网络的配置- 24 -9.1 总部配置- 24 -9.1.1 网络描述- 24 -9.1.2 IP地址和vlan规划表- 25 -9.2 基本配置- 25 -9.2 分部网络的配置- 27 -9.2.1网络描述- 27 -9.2.2 IP地址和vlan 的规划- 28 -第十章.网络技术的配置和验证- 28 -10.1 trunk技术详细配置- 28 -10.1.1 技术介绍- 28 -10.1.2 配置截图- 28 -10.1.3 察看Trunk链路的工作状态- 29 -10.2 vtp技术详解- 29 -10.2.1.技术介绍- 29 -10.2.2 配置截图- 29 -10.2.3 VTP 配置检查- 29 -10.3 Stp技术详细解释- 30 -10.3.1 技术介绍- 30 -10.3.2 stp配置检查- 31 -10.33 生成树协议的验证- 32 -10.4 Vlan技术详解- 33 -10.4.1.vlan技术的介绍- 33 -10.4.2 Vlan信息验证- 33 -10.5 H srp技术详解- 34 -10.5.1 技术介绍- 34 -10.5.1 技术配置截图- 34 -10.5.2 查看结果- 35 -10.6 Route技术详解- 35 -10.6.1 技术介绍- 35 -10.6.2 结果查看- 36 -10.7 Acl的配置- 37 -10.7.1 实验拓扑- 37 -10.7.2 配置路由（保证全网通）- 37 -10.7.2 配置acl- 37 -10.8DHCP服务器的配置- 37 -10.9 Nat的配置- 39 -10.9.1实验拓扑- 39 -10.9.2 配置pat- 40 -10.10 Ppp的配置- 40 -10.10.1 实验拓扑- 40 -10.10.2 Ppp配置- 41 -第十一章 .服务器的安装配置与验证- 41 -11.1先查看物理连结- 41 -11.1.1 接入层- 41 -11.1.2 汇聚层- 42 -11.2 Windows服务器的安装- 42 -11.3安装配置DNS、DC、WEB、FTP等服务器- 45 -10.4 安装域控制器（DC）- 48 -11.5 安装电子邮件服务（Pop3与smtp）- 55 -11.5 安装配置 WEB FTP- 56 -第十二章.售后服务- 58 -11.1 承诺- 58 -11.2 培训- 59 -投标公司简介易扬科技有限公司成立于2002年，公司以先进互联网增值产业和数字内容服务为主业，业务遍及全国大、中小学等教育和研究单位及企事业单位公200余家。目前，易扬科技有限公司拥有一大批在计算机、通讯和企业管理方面具有丰富理论与实践经验的高级专业人才，利用灵活的现代企业机制，服务社会，积极开展与各级企事业单位的广泛合作、充分发挥公司在人才、网络、资源、技术、服务等方面的优势，为中国的信息化建设做出更大贡献。第一章项目需求分析1.1. 项目背景龙翔集团是一家以开发中高端精品住宅为主营业务的全国性房地产开发企业。总经理刘旺财于1998年集资1000万 在中国北京上市，集房地产开发，建筑施工，于一体综合性防地产公司，总部设在北京，有员工155人，本市有分公司64人，随着公司业务的发展，公司深刻的认识到信息化的重要性，然而因当前集团网络的缺陷、设备的陈旧以及某些技术上的问题，造成公司出现网络不稳定，网络拥堵、信息交流失败、数据安全且与分公司不能进行实时的联系等一系列问题，给企业带来不必要的损失以下是公司组织结构：工程部 行政部 总经理人事部 财务部网络部销售部总公司组织结构：（总计：155人）部门工程部市场部人事部财务部网络部销售部总经理人数45人32人30人9人5人32人2人分公司组织结构：（总计：64人）部门工程部市场部人事部财务部网络部销售部经理人数18人15人13人3人5人9人1人1.2. 需求分析1数据中心作为公司生产运营系统（如人事考勤系统，财务报价系统等等）的核心数据的存放地，其性能、稳定性、安全性、可靠性的要求最高，因此我们在设计的时候，会着重考虑这些需要，并采用PIX防火墙技术提高网络性能的安全性、可靠性。2核心交换区的功能是高速可靠地交换数据，该部分的设计需考虑性能和可用性的平衡，因此我们将采用多核的数据处理器提高数据的传输效率。3分支机构接入区域，我们将安全性放在第一位，同时，生产运营系统的运行离不开网络和数据中心的连接，因此冗余性的考虑也是必须的。因此我们公司将采用HSRP、STP技术解决冗余问题。4各分部地点办公网络做为内部互联单位，可信度较高，内部网络的可用性是我们首要考虑因素，因此我们将划分VLAN以提高各部门的网络互联性及可用性。5由于当前业界的网络管理范畴较广，包括设备管理、资源管理、故障管理、性能管理、安全管理等等。我们公司在面对网络规模相对较大的时候，将采取合适的网管系统以帮助客 户方便管理网络内的设备及运行情况，提高网络的运行效率6公司于分公司之间建立ppp专线连接，这种链路提供全双工操作，并按照顺序传递数据包，安全的传输分总公司之间的数据。若是有新的跨区域的分公司则使用vpn来消除区域性安全的传输.第二章网络总体建设目标 2.1 网络建设目标为贵公司设计的未来的形象图北京龙翔集团公司信息系统主要建设一个企业信息系统，它以管理信息为主体，是一个面向集团的日常业务、立足生产、面向社会，辅助领导决策的计算机信息网络系统。1构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网。2选用技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用结构容错的方法3完全符合开放性规范，将业界优秀的公司集成于该综合网络平台之中；4具有较好的可扩展性，为今后的网络扩容作好准备 5采用OA办公，做到集数据、图像、声音三位一体，提高企业管理效率、降低企业信息传递成本6整个公司计划采用10M光纤接入到运营商提供的Internet。集团统一一个出口，便于控制网络安全7设备选型上必须在技术上具有先进性，通用性，且必须便于管理，维护。应具备未来良好的可扩展性，可升级性，保护公司的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品，同时也要有好的售后服务2.2 网络及系统建设内容及要求2.2.1 建设内容：1. 网络规模的扩大使通讯变得复杂起来，服务器和客户端机器的数量增加，直接导致数据访问方式的复杂性。2. 分公司的不断创建，需要与总公司的连接，要更好的网络的规划。3.网段之间的通讯具有不同的解决方式。如何使这些不同的解决方式具有很好的兼容性成为一个刻不容缓的问题。4.网络的安全性不好，时常出现信息泄露、网络被攻击的现象5.原来的网络设计没有比较好的延展性和可预见性的技术 导致企业现有网络不能满足企业发展的需要。6.文件传输时常出现传输不出去的现象，造成重要文件无法及时传达，影响企业正常发展。7.保证网络的稳定性对于集团各阶层尤为重要，是企业的正常生产不会造成损失的保证2.2.2 要求：1.建立龙翔集团总部统一、共享、规范，可满足企业未来管理和业务发展要求的全公司信息系统总体架构，以满足系统资源和信息资源整合的需要。2.实现网络方式的业务流程化管理。保障企业业务实现网络化、流程化，将人为因素对业务生产的影响减少到最低，各个部门功能单一化，责任明确，清晰，促进流程的科学化和规范化。3.建立企业统一的安全管理平台，保证企业信息和数据的安全，生产和日常业务的正常运行。4.帮助企业建立高稳定性的网络平台，防止因网络异常给企业带来的不必要经济损失。5.我公司的设计新网络具有较强的功能性，能够帮助隆康总部与分公司的用户进行安全性较高的资源共享、对外发布网站、上网查资料等 2.3. 网络设计原则多业务网络系统方案以实现以上功能为基本要求，在设计上力求做到既要采用国际上先进的技术，又要保证系统的安全可靠性和实用性。具体来讲，其设计遵循以下原则：1先进性系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术，符合国际标准和规范；2标准性所采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来兼并公司时间来自不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。3兼容性跟踪世界科技发展动态，网络规划与现有光纤传输网及将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。4可升级和可扩展性随着技术不断发展，新的标准和功能不断增加，网络设备必须可以通过网络进行升级，以提供更先进、更多的功能。在网络建成后，随着应用和用户的增加，核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择，以方便未来更灵活的扩展。5安全性网络的安全性对网络设计是非常重要的，合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问，灵活的实施网络的安全控制策略。在公司网络中，关键应用服务器、核心网络设备，只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限，网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。公司会有采用pix防护墙，保证公司内部的信息。6可靠性 网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的备份策略和快速恢复策略，保证网络和系统具有故障自愈的能力，最大限度地支持各个系统的正常运行。硬件可靠性：系统的主要部件采用冗余结构;软件可靠性：充分考虑异常情况的处理，具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示；并具有进程监控管理功能，保证各进程的可靠运行数据库系统应。网络结构稳定性：本系统应具有较强的容灾容错能力，具有完善的系统恢复和安全机制；7易操作性提供中文方式的图形用户界面，简单易学，方便实用。优良的性能价格比。系统应着重考虑和满足以上的设计要求。8 可管理性在进行网络设计时，选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置，网络拓扑结构表示，网络设备的状态显示，网络设备的故障事件报警，网络流量统计分析以及计费等。网管软件的应用可以提高网络管理的效率，减轻网络管理人员的负担。第三章项目实施计划3.1 项目组织结构1.网络技术总监：寇宇 毕业于复旦大学计算机系专家级网络工程师，获得了CCIE，CCNA,CCNP,CCDP,CCIP等证书，具有大型IP城域网或骨干网项目实施经验，曾经带领团队做过一些医院、学校等网络建设项目。职责要求：全面负责本项目的工作，顾全大局，具有一定的管理能力、协调能力及策划能力。1.订并组织实施技术系统工作目标和工作计划；2.组织制订并实施技术系统规章制度和实施细则；3.项目启动、项目计划、项目客户验收及项目内部总结验收评审等相关工作；4.参与重要项目的售前支持；5.与潜在客户/合作伙伴的方案讨论与技术交流；6.借助现有网站资源和人员技术优势对网站项目进行推广、经营，并能策划与之相关的新项目，扩大业务范围，以创造更多的利润；7.负责制定部门管理规范报批并执行以及业务流程规范化管理；8.负责对下属部门经理及相关有工作关系的人员进行考核；9.定期向总经理汇报工作，定期听取下属员工的工作汇报。2.网络工程师 : 宁霄 毕业于中南财经计算机系（获得过CCIE，CCSP，CCVP，CCDP等证书，具有大型IP城域网或骨干网项目实施经验）职责要求：明确网络建设的目标，制定网络建设的计划，企业的资源整合，项目的总体设计拓扑图，购买相关的设备，最后要出示正式的规划书。网络布线工程师：周琦 毕业于浙江大学计算机系（获得过 CCNA ,CCNP等证书）职责要求：线缆的布局，室内服务器的摆放，根据事实情况制作图纸3.网络实施工程师：田晓娜 毕业于上海交大计算机系（获得过CCNA、CCNP、CCSP）职责要求：要在实施之前进行场地的准备，要给工程的实施创造有利的条件和物资的保证，还要检测好施工场外部的准备工作。4.项目技术人员 ： 郎林静 毕业于南京大学计算机系（网络实施工程师，获得了CCNA，CCNP等证书）职责要求 ：负责项目售后服务，售后培训工作。5项目测试人员 ：陈静雅 李浩 毕业于武汉大学计算机系（软件/硬件测试人员，获得过CCIP,CCDP等证书）职责要求：1负责公司产品的可靠性、兼容性测试； 2协助工程师对修复产品进行性能试验等工作； 3完成相关测试文档的填写数据的记录工作； 4对相关部门提供测试帮助，及时提出测试结果和问题； 5负责测试设备的维护及工作环境的搭建。3.2 项目实施前的准备工作3.2.1 工程实施概述依据本项目的特点，本公司将调集本公司内最优秀的技术力量组成网络工程综合布线项目组，从组织上保证此项目从施工、安装、调试、试运行到维护保障、技术支持、技术培训、售后服务等各个环节有强大的技术力量进行支持并落实到人。项目组内责任明确，分工合作，协调配合。该项目组将保持技术队伍的稳定，直到该项目维护期结束后才撤消。工程实施过程主要分两个阶段：1) 随装修一起进行的布线系统实施过程2) 系统具体实施过程3.2.2 布线系统实施布线系统实施的前期部分因为和装修有很大关联，所有要根据装修工程的进度进行相应进行。在主干线槽以及分支铁管施工完成后，可以进行放线部分工作，由于系统结构比较简单，要求在一天内完成，根据现场实际情况，对暴露在线槽外的线缆进行相应的保护。完成后，相应的土建施工可以继续进行。墙面插座的安装和强电墙面插座同步进行，因为数量少，要求在2个小时内完成。办公隔断内的布线施工以及插座模块的安装与家具安装同步进行。在办公隔断安装顺利的情况下，在一天内完成。网络机柜内线缆的整理和配线架的安装在装修完成后进行，由于信息点数量不大，要求在一天内完成。配线架安装在机柜上部。所有线缆上应该按照设计做好标记，插座面板和配线架上按照设计标记信息点编号，以方便日后的管理维护。以下是对该公司设计的线路图：图中红色线槽为土建施工中已经设计安装好的地下暗藏金属线槽。所有线缆集中到机房的标准机柜中，安装到配线架上。各个部门的信息点的线缆均从线槽上相应位置设置的分线盒直接进入办公隔断的踢脚板中，通过金属软管到达信息点设计位置。3.2.3系统整体实施装修工作完成，设备到位后开始系统的实施工作。系统实施分两部分同时进行。1) 网络和服务器的安装：将交换机和路由器安装到标准机柜中。由于重量比较大，为了不提高机柜的重心，3台服务器依次安装在机柜下部，配线架安装在机柜上部，路由器和交换机安装在配线架和服务器之间。3台服务器的显示器和鼠标键盘用延长线连接到机房办公桌上，然后通过短跳线连接到交换机相应端口。首先对路由器和交换机进行配置调试，然后安装并配置好4台打印机的网络接口卡，连接到系统中。安装服务器的操作系统，根据系统设计方案配置服务器。2) 客户端的安装：按照设计方案安装配置所有的客户端计算机，连接到系统中本项目组计划有由项目经理1名、计划与质量管理经理1名、项目协调经理1名、项目施工经理1名、安装调试工程师和施工技术人员若干名组成。以保证整个项目的顺利实施。3.3 安装前的场地准备3.3.1 施工现场准备施工现场是施工的全体参加者为夺取优质、高速、低消耗的目标，而有节奏、均衡连续地进行战术决战的活动空间。施工现场的准备工作，主要是为了给拟建工程的施工创造有利的施工条件和物资保证。其具体内容如下：1.临时住房建设按照我们项目解决方案提供的网络建设总平面图及隆康公司的实地情况，建设必要的布线人员的临时住房。路通：须按照网络建设总平面图的要求，修好施工现场的永久性道路(厂区必经要道)以及必要的临时性道路，形成完整畅通的运输网络，为筑网络设备进场、堆放创造有利条件。水通：按照网络建设总平面图的要求，做好地面排水系统，为施工创造良好的环境。电通：按照施工组织设计的要求，接通电力和电讯设施。2.做好网络设备 (配)件、和材料的储存和堆放按照网络设备 (配)件、和材料的需要量计划组织进场，根据网络建设总平面图规定的地点和指定的方式进行储存和堆放。3.及时提供网络设备 (配)件、和材料的试验申请计划按照网络设备 (配)件、和材料的需要量计划，及时提供网络设备 (配)件、和材料的试验申请计划。如网络线缆、水晶头等。4.做好冬雨季施工安排按照施工组织设计的要求，落实冬雨季施工的临时设施和技术措施。5.设置消防、保安设施按照施工组织设计的要求，根据网络建设总平面图的布置，建立消防。保安等组织机构和有关的规章制度，布置安排好消防、保安等措施。3.3.2 施工的场外准备施工准备除了施工现场内部的准备工作外，还有施工现场外部的准备工作。其具体内容如下:1. 网络设备 (配)件、和材料的订货与生产厂家沟通、生产单位联系、签订供货合同，搞好及时秩应，对于施工组织的正常工作是非常重要；对于网络项目也是这样，除了要签订议定书之外，还必须做大量的有关方面的工作。2.做好分包工作和签订分包合同由于我们施工组织的人员、力量所限，布线工程将向外单位委托。根据网络工程量、完成日期。网络工程质量和网络工程造价等内容，与其他单位签订分包合同、保证按时实施。3.向上级提交开工申请报告 当网络设备 (配)件、和材料及做好分包工作和签订分包合同等施工场外的准备工作后，应该及时地填写开工申请报告，并上报上级批准。为了落实各项施工准备工作，加强对其检查和监督，必须根据各项施工准备工作的内容、时间和人员，编制出施工准备工作计划。综上所述，各项施工准备工作不是分离的、孤立的，而是互为补充，相互配合的。为了提高施工准备工作的质量、加快施工准备工作的速度，必须加强网络施工组织的协调工作，建立健全施工准备工作的责任制度和检查制度，使网络施工准备工作有领导、有组织、有计划和分期分批地进行，贯穿施工全过程的始终。3.4 核心及各网点的安装调试 3.4.1 工程硬件安装根据工程进度表和安装环境，我公司的工程项目经理组织工程实施小组进行核心和各个样板点的设备安装工作，并根据工程特点提供的硬件安装方案图来指导工程师对其他网点进行硬件安装。在硬件安装之前根据工勘标准进行现场机房硬件条件的测试，包括：设备主输送电压、机房温度、湿度、设备机柜等。3.4.2 工程软件调试在设备硬件安装完成之后，工程实施小组将现场对核心和样板点设备进行上电，连接线缆，并对设备上的配置参数进行核实。通过样板点软件调试对客户工程师现场培训，使其具备对其他网点软件调试能力。现场工程师将确认设备上的运行软件版本，保证网络设备版本的统一性与可维护性。3.4.3 系统的安装 根据隆康集团的情况，我们对其电脑设备进行安装，服务器电脑全部用windows server 2003企业版系统，员工电脑全部用xp系统3.4.4 工程质量检查安装调试完成后，工程实施小组要按照工程质量检查标准进行检查，对主要机房做到100的工程质量检查，对分散的中低端设备进行工程质量抽查。工程质量检查中发现的问题及时进行整改，达到工程质量检查标准的要求。第四章 网络测试4.1 网络测试目的在测试工作开始之前，根据本项目的具体情况会同设备厂商技术人员等专家制定测试方案，并把方案提交给隆康集团项目单位和项目组讨论，在方案获得通过后按照该方案开展测试工作。测试的过程和结果将以测试报告的形式予以记录。网络测试主要面向的是交换机、路由器、防火墙等网络设备，可以通过手动测试或自动化测试来验证该设备是否能够达到既定功能。网络测试首先需要验证的是设备的功能满足与否，在此基础上，设备的安全性也尤为重要。现在一些黑客可以通过一些工具或自己开发的脚本对设备进行攻击。根据项目实施特点，测试内容包括如下功能性测试：设备测试;测试设备在网络中运行工作情况；网络连通测试；测试客户端访问用户服务器应用，访问隆康集团内部网，不同网段互访；安全性测试；测试设备受到黑客入侵时的反应，检验设备的安全性能。4.2 测试文档1二层交换机WS-C2960-48TT-L 二层交换 测试文档测试人： 陈静雅 测试时间：2011-3-15 设备型号：WS-C2960-48TT-L交换机测试目的：检查设备的物理状态、运行状态和功能测试。前提条件：电源电压 100-240 VAC；环境要求：工作温度:0-45、工作湿度:10%-85%(非冷凝)。电源频率 ：50 60Hz；地线与零线之间的电阻小于2、电压小于1V。测试说明：设备关电、加电可以正常关机、开机则记录为“”，否则填写“”；观看设备system LED指示灯颜色显示为绿色记录为“”，否则记录为“”序号 设备名称 序列号 设备关电、加电，设备状态指示灯颜色1WS-C2960-48TT-L12WS-C2960-48TT-L22.三层交换机测试文档测试人：陈静雅测试时间：2011 年 3月 15日设备型号：CISCO WS-C3750G-24TS-S测试目的：检查设备的物理状态、运行状态和功能测试。前提条件：电源电压 200V 240V；工作温度:0 45、工作湿度10% - 85%。电源频率：0 - 60Hz；地线与零线之间的电阻小于1W、电压小于1V。测试说明：设备关电、加电可以正常关机、开机则记录为“”，否则填写“”；观看设备。ystem LED指示灯颜色显示为绿色记录为“”，否则记录为“”序号 设备名称 序列号 设备关电、加电设备状态指示灯颜色3WS-C3750G-24TS-S34WS-C3750G-24TS-S43.路由器的测试文档测试人：李浩测试时间：2011年3月15日设备型号：cisco 2821测试目的：检查设备的物理状态、运行状态和功能测试。前提条件：电源电压 100-240 VAC；工作温度: 0 35、工作湿度:5%95%无凝结电源频率：40-60Hz；地线与零线之间的电阻小于1、电压小于1V。测试说明：设备关电、加电可以正常关机、开机则记录为“”，否则填写“”；观看设备system LED指示灯颜色显示为绿色记录为“”，否则记录为“”序号 设备名称 序列号 设备关电、加电，备状态指示灯颜色C1cisco 28211C2cisco 282124服务器测试测试人：寇宇测试时间：2011年3月15日设备型号：web server、mail server、file server测试目的：检查设备的物理状态、运行状态和功能测试。工作温度: 0 40、工作湿度:5%95%无凝结、电源要求：1.100-240v交流电源(+5% -10%)，50-60Hz,也支持直流电源 。若电压不稳，需配置稳压电源，功率大于5千瓦。测试说明：设备关电、加电可以正常关机、开机则记录为“”，否则填写“”；是否正常开关机CPU利用率第五章 网络总体设计5.1 网络总体拓扑图由于考虑到总公司的实际需求，我们给贵公司设计的方案是采用两台路由双线接入负载均衡，都在路由端口上做nat转换节约ip地址。四台CISCO WS-C3750G-24TS-S 做双机热备（两台总部两台分部，可扩展），根据当前贵公司的人数需求，我们用四台WS-C2960-48TT-L二层交换机（可扩展）做vlan划分。用Cisco 专有热备份路由协议技术，根据需求配置成多组HSRP；同时双机还可以做负载均衡。这样设计不但保证网络的高可用性和稳定性，还能够充分利用现有设备的资源，以避免单台核心设备的负载太重而导致的网络性能问题。如上图所示，这是总部内网的架构，整体网络可以根据功能划分为总部核心网络、内联接入包括办公网络，各部门相对独立，通过核心网络进行数据的交互。各部门可以各自建立相互通讯，各部门的网络安全体系，可以有独立的安全策略、数据流量控制等个体的特性，而需要和其他区域的设备进行通讯的时候，则必须遵守核心网络区的策略。在这里，我们对总公司的实际情况考虑，在总公司和分公司之间建立PPP专线连接，让分公司和总司可以进行安全的数据交换，对于虚拟分部（可扩展），我们根据距离和施工的情况建立PPP专线或者VPN，来进行对数据的保护和有效传输，对于在外出差员工我们用easy-VPN的方式来让外部员工进行内部连接5.2 网络层次化设计随着网络技术的迅速发展和网络需求量的不断增长，分布式的网络服务和交换已经移至用户级，由此形成了一个新的、更适应现代的高速大型网络的分层设计模型。我们将采用层次化网络设计，构建高效、可靠、安全的网络。多层网络系统设计能最有效地利用多种业务，包括负载分担和故障恢复等。在多层网络中运用智能多业务可以大大减少因配置不当或故障设备引起的一般问题。多层模式使网络的移植更为简单易行，因为它保留了基于路由器和交换机的网络原有的寻址方案，对以往的网络有很好的兼容性。另外分层结构也能够对网络的故障进行很好的隔离。5.2.1. 核心层为网络提供骨干组件或高速交换组件，高效速度传输是核心层的目标。核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。核心层具有如下几个特性：高可靠性、提供冗余、提供容错、能够迅速适应网络变化、低延时、可管理性良好、网络直径限定和网络直径一致。在核心层中，网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以我们对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。我们将采用高带宽的千兆级交换机，充当核心层设备。因为核心层是网络的枢纽部分，网络流量最大，因此需要提供高带宽。5.2.2 汇聚层 汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务,认证管理等.通过网段划分与网络隔离可以防止某些网段的问题蔓延和影响到核心层.汇聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定。汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。 汇聚层设备一般采用可管理的三层交换机或堆叠式交换机以达到带宽和传输性能的要求。其设备性能较好，但价格高于接入层设备，而且对环境的要求也较高，对电磁辐射、温度、湿度和空气洁净度等都有一定的要求。汇聚层设备之间以及汇聚层设备与核心层设备之间多采用光纤互联，以提高系统的传输性能和吞吐量。5.2.3 接入层向本地网段提供用户接入、主要提供网络分段、广播能力、多播能力、介质访问的安全性、MAC地址的过滤和路由发现等任务。在接入层是最终用户(员工) 与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维护。当然我们也应该考虑端口密度的问题接入层由无线网卡、AP和L2Switch组成，按照宽带网络的定义，接入层的主要功能是完成用户流量的接入和隔离。对于无线局域网WLAN用户，用户终端通过无线网卡和无线接入点AP完成用户接入。5.3 核心层设计核心交换区的作用是高效速度传输数据，是所有流量的最终承受者和汇聚者，推荐使用高端设备。我们推荐使用Cisco Catalyst 3750三台三层交换机为网络提供可靠、高速、安全的服务。3750系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。这个产品系列采用了最新的思科StackWise智能堆叠技术，不但实现高达32Gbps的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统 - 就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。3750系列可以使用标准多层软件镜像（SMI）或者增强多层软件镜像（EMI）。SMI功能集包括先进的服务质量（QoS）、速率限制、访问控制列表（ACL）和基本的静态和路由信息协议（RIP）路由功能。EMI可以提供一组更加丰富的企业级功能，包括先进的、基于硬件的IP单播和组播路由。5.4 接入层设计接入层交换机采用思科的WS-C2960 系列的二层交换机以千兆以太链路和汇聚交换机相连接，并为员工终端提供10/100M 自适应的接入，从而形成千兆为骨干，百兆到桌面的以太网三层结构。接入层交换机一般用于直接连接办公系统，具有低成本和高端口密度特性。接入层交换机端口的input 指服务器向交换机端口发送的数据，即是服务器发送出去的数据。接入层交换机端口的output 指交换机端口向服务器传输的数据，即是服务器收到的数据。我们在核心层和汇聚层的设计中主要考虑的是网络性能和功能性要高，那么我们在接入层设计上主张使用性能价格比高的设备。接入层是最终用户(员工) 与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维护。当然我们也考虑端口密度的问题。5.5 内联接入内联接入的作用是用于连接北京总部和北京分部。我们推荐使用两台Cisco 2821系列路由器完成此项功能。由于总部网络和分部机房属于公司的内部网络的一部分，因此我们将着重重视数据的安全性、可靠性。Cisco 2821系列具有以下功能： 集成语音留言 范围广泛的话音接口 支持 SRST, 分支机构可利用集中呼叫控制, 并通过SRST冗余性为IP电话经济有效地提供本地 分支机构备份Cisco 2821还支持QOS，包含网络扩展性，具有内置防火墙功能，提高内部网络的安全性、可靠性。第六章 .路由设计6.1 路由协议选择OSPF支持各种不同鉴别机制，并且允许各个系统或区域采用互不相同的鉴别机制；提供负载均衡功能；OSPF属动态的自适应协议，对于网络的拓扑结构变化可以迅速地做出反应，进行相应调整，提供短的收敛期，使路由表尽快稳定化，并且与其它路由协议相比，OSPF在对网络拓扑变化的处理过程中仅需要最少的通信流量；OSPF提供点到多点接口，支持无类型域间路由地址。6.2 路由规划拓扑图6.3 IP地址规划标识网络中的一个节点。IP 地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。我们根据以下几个原则来分配IP 地址：唯一性：一个IP 网络中不能有两个主机采用相同的IP 地址简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项连续性：连续地址在层次结构网络中易于进行路由总结，大大缩减路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术以满足多种路由策略的优化，充分利用地址空间。Vlan的划分：总部Vlan虚拟ip工程部Vlan1054销售部Vlan2054财务部Vlan3054人事部Vlan4054网络部Vlan5054市场部Vlan6054经理Vlan7054IP地址的划分总部Ip地址子网工程部销售部财务部人事部网络部市场部经理第七章 网络安全解决方案 7.1 网络边界安全威胁分析把不同安全级别的网络相连接，就产生了网络边界。防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。非安全网络互联带来的安全问题与网络内部的安全问题是截然不同的，主要的原因是攻击者不可控，攻击是不可溯源的，也没有办法去“封杀”。一般来说网络边界上的安全问题主要有下面几个方面： 1、信息泄密：网络上的资源是可以共享的，但没有授权的人得到了他不该得到的资源，信息就泄露了。一般信息泄密有两种方式： 攻击者(非授权人员)进入了网络，获取了信息，这是从网络内部的泄密 合法使用者在进行正常业务往来时，信息被外人获得，这是从网络外部的泄密 我们给贵公司设计的各部门之间的vlan划分，不同的vlan之间不能随意的访问，我们会设计权限和密码才能访问。2、入侵者的攻击：互联网是世界级的大众网络，网络上有各种势力与团体。入侵就是有人通过互联网进入你的网络(或其他渠道)，篡改数据，或实施破坏行为，造成你网络业务的瘫痪，这种攻击是主动的、有目的、甚至是有组织的行为。我们给贵公司设计的pix防火墙能设计策略，规定可以访问的服务，哪些人可以访问，防止一些不必要的入侵攻击。 3、网络病毒：与非安全网络的业务互联，难免在通讯中带来病毒，一旦在你的网络中发作，业务将受到巨大冲击，病毒的传播与发作一般有不确定的随机特性。这是“无对手”、“无意识”的攻击行为。 我们为贵公司购买了正版的金山毒霸的杀毒软件，给内部的员工机器安装上，防止员工机器上的客户资料收到病毒和木马的破坏。4、木马入侵：木马的发展是一种新型的攻击行为，他在传播时象病毒一样自由扩散，没有主动的迹象，但进入你的网络后，便主动与他的“主子”联络，从而让主子来控制你的机器，既可以盗用你的网络信息， 来自网络外部的安全问题，重点是防护与监控。来自网络内部的安全，人员是可控的，可以通过认证、授权、审计的方式追踪用户的行为轨迹，也就是我们说的行为审计与合轨性审计。攻击方式：1、黑客入侵：入侵的过程是隐秘的，造成的后果是窃取数据与系统破坏。木马的入侵也属于黑客的一种，只是入侵的方式采用的病毒传播，达到的效果与黑客一样。 2、病毒入侵：病毒就是网络的蛀虫与垃圾，大量的自我繁殖，侵占系统与网络资源，导致系统性能下降。病毒对网关没有影响，就象“走私”团伙，一旦进入网络内部，便成为可怕的“瘟疫”，病毒的入侵方式就象“水”的渗透一样，看似漫无目的，实则无孔不入。 3、网络攻击：网络攻击是针对网络边界设备或系统服务器的，主要的目的是中断网络与外界的连接，比如DOS攻击，虽然不破坏网络内部的数据，但阻塞了应用的带宽，可以说是一种公开的攻击，攻击的目的一般是造成你服务的中断边界防护的技术也在逐渐成熟，数据交换网技术就已经不再只是一个防护网关，而是一种边界安全网络，综合性的安全防护思路。也许安全的话题是永恒的，但未来的网络边界一定是越来越安全的，网络的优势就在于连通。7.2 网络内部安全威胁分析内部网络的风险分析主要针对整个内部网的安全风险主要表现一下几个方面：内部用户的非授权访问，安博集团的内部资源也不是对任何的员工开放的，也需要相应的访问权限内部用户的非授权的访问。更容易造成资源和重要信息的泄露内部用户的误操作：由于内部用户的计算机造作的水平参差不齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对误操作的防范措施，极容易给服务系统各其他主机造成危害内部用户的恶意攻击：就网络安全来说，据统计约有70%左右的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚的的优势，因此对内部用户攻击的防范也很重要。7.3 安全产品选型原则公司网络需要在考虑安全性的前提下，综合系统的其它性能，不影响网络系统运行效率、不影响正常的业务，定下系统综合服务品质参数，在此基础上，以不降低综合服务品质为原则，对信息安全产品进行选型。选型原则包括：安全性原则：产品系统具有多层次的安全保护措施，可以满足用户身份鉴别、访问控制、数据完整性、可审核性和保密性传输等要求；标准性：网络安全产品选型符合国家标准，产品的质量以及属性必须达到国家所要求的，符合本产品的性能；扩展性原则：在业务不断发展的情况下 ，产品系统可以不断升级和扩充，并保证系统的稳定运行；性价比：不盲目追求高性能产品，要购买适合自身需求的产品；产品与服务相结合原则：良好的售后服务，否则买回的产品出现故障时既没有技术又没有产品服务，使企业蒙受损失。7.4 网络常用技术介绍7.4.1 PPP协议PPP协议是在点到点链路上承载网络层数据包的一种链路层协议，它能够提供用户验证、易于扩充，并且支持同/异步通信它的优点在于简单、具备用户验证能力、可以解决IP分配等。 PPP是一种多协议成帧机制，它适合于调制解调器、HDLC位序列线路、SONET和其它的物理层上使用。它支持错误检测、选项协商、头部压缩以及使用HDLC类型帧格式（可选）的可靠传输。 PPP的两种认证方式一种是PAP，一种是CHAP。利用以太网资源，在以太网上运行PPP来进行用户认证接入的方式称为PPPoE。PPPoE即保护了用户方的以太网资源，又完成了ADSL的接入要求，是目前ADSL接入方式中应用最广泛的技术标准。 7.4.2 VtpVTP：是VLAN中继协议，也被称为虚拟局域网干道协议。它是思科私有协议。是十几台交换机在企业网中，配置VLAN工作量大，可以使用VTP协议，把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样他们可以自动学习到server 上的VLAN 信息。VTP是一种消息协议，使用第2层帧，在全网的基础上管理VLAN的添加、删除和重命名，以实现VLAN配置的一致性。可以用VTP管理网络中VLAN1到1005。有了VTP，建立一个VTP管理域，以使它能管理网络上当前的VLAN就可以在一台机换上集中过时行配置变更，所作的变更会被自动传播到网络中所有其他的交换机上。（前提是在同一个VTP域）7.4.3 HSRP 协议我们使用HSRP来实现对故障路由器的接管,HSRP中文解释是热备份路由协议，其含义是系统中有多台路由器，它们组成一个“热备份组”，这个