网络工程项目设计路由交换方向毕业论文.doc

网络工程项目设计路由交换方向毕业论文目 录第1章引 言1第2章项目需求分析12.1、项目背景12.2、需求分析2第3章网络总体建设目标23.1、网络建设目标23.2、网络及系统建设内容及要求23.3、网络设计原则3第4章网络总体设计34.1、网络拓扑图34.2、网络层次化设计44.3、内联接入5第5章路由、交换设计51.路由协议52.交换技术63.IPV665.4、设备选择65.5、设备命名规范75.6、VLAN、子网及IP地址规划7第6章网络安全解决方案96.1网络边界安全威胁分析96.2 网络内部安全威胁分析96.3解决方案10第7章关键技术介绍117.1VLAN117.2HSRP117.3VTP127.4TRUNK127.5STP137.6VPN13第8章设备简介138.1 Cisco 2800系列集成多业务路由器138.2Cisco 4500系列交换机148.3CiscoCatalyst 3750 系列集成交换机158.4Cisco Catalyst2960系列交换机16第9章项目实施计划189.1项目组织结构189.2工程进度计划199.3项目实施前的准备工作199.4安装前的场地准备209.5核心及各网点的安装调试20第10章网络测试2010.1网络测试目的2010.2测试文档21第11章基本配置2411.1总部基本配置2411.3分部基本配置30第12章Trunk基本配置3412.1技术简介3412.2设备简介3412.3基本配置3412.4验证配置39第13章VLAN配置3913.1技术简介3913.2设备简介4013.3基本配置4013.4验证配置4113.5配置vlan地址和网关42第14章VTP配置4314.1技术简介4314.2设备简介4314.3基本配置4414.4验证配置47第15章以太网通道配置4715.1技术简介4715.2设备简介4715.3基本配置4715.4验证配置48第16章STP配置4916.1技术简介4916.2设备简介4916.3基本配置4916.4验证配置50第17章OSPF配置5117.1技术简介5117.2设备简介5117.3基本配置5117.4验证配置55第18章HSRP配置5518.1技术简介5518.2设备简介5618.3基本配置5618.4验证配置59第19章GRE over IPSEC配置6019.1技术简介6019.2设备简介6019.3基本配置6019.4验证配置65第20章PPP配置6520.1PPP认证6520.2配置PPP认证6520.3验证66第21章ACL配置6621.1ACL介绍6621.2 ACL的作用6621.3 ACL的执行过程6721.4 ACL的分类6721.5配置67第22章ISA防火墙配置6922.1ISA简介6922.2应用位置及项目角色7122.3ISA服务架构72第23章Iptables配置7223.1Iptables概述7223.2 实现目标7423.3NAT配置74结 束 语76参 考 文 献 76致 谢77第1章 引 言随着信息技术的飞速发展，网络改变了人们的生活，地球变成了地球村，全世界的人可以随时进行网络交流。信息资源的共享，带来社会生产力空前提高，互联网与人们生活越来越密切，如网上证券期货交易、远程电子视频会议、网上购物等应用使得人们的生活已经越来越离不开网络。然而网络安全问题伴随着网络的产生而产生，可以说，有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件，目前主要是通过网络进行的，而且几乎每时每刻都在发生，遍及全球。随着信息进程的提速，越来越多地企业信息被披露于企业内外部网络环境，如何保护企业机密，保障企业信息安全，成为企业信息话发展过程中必然需要面临和解决的问题。对于企业信息网络安全管理需要部署的内容，首先要明确企业的哪些资产需要保护，确定关键数据和相关业务支持技术资产价值，然后再此基础上，制定并实施安全策略，完成安全策略的责任分配，设立安全标准。本设计结合中小企业实际需求，举例分析、设计、配置、模拟组建了一个典型的中小企业网络。第2章 项目需求分析2.1、 项目背景Ambow是一家新型的IT企业.本项目的目标是：“建立一个设计规范、功能完备、性能优良可靠、有良好扩展性与可用性且具备易维护的现代网络办公体系.”集团的业务涉及基础教育服务、职业教育服务、企业培训等领域，Ambow高考与同步培训机构、Ambow国际学校、Ambow实训基地、Ambow职业教育学院、Ambow学习体验中心等机构已遍及全国二十多个重点城市，形成了以区域教育服务中心和实训基地为依托，以师资、课程、服务流程、IT支持、网络学习服务的标准化为载体的服务体系，通过标准品质的服务保障全国各地用户的个性化需求。Ambow教育集团创建专业的教育和技术研发机构Ambow研究院进行前瞻性教育理念和资源的创造与创新。Ambow数十种自主知识产权技术、产品获得国家版权认证、专利认证和科技成果鉴定。Ambow还与北京师范大学合作创立北师大Ambow教育发展研究院，开展教育政策与理论探索、国际高端项目交流，目前已参与和承办了多项国家重大教育课题、国际高端学术论坛。目前Ambow总部在北京，分部分别在大连及江苏的昆山。总部设有品质保障部、教学支持部、财务部、市场部，员工约有150人。分部的部门与总部相同，两个分部各有员工约50人。2.2、 需求分析总部分为数据中心，核心交换区，服务器和接入，数据中心作为工厂生产运营系统的存放地，其性能、稳定性、安全性，可靠性的要求最高。因此我们在设计的时候，应该考虑到这些要求，核心交换区的功能是高速可靠地交换数据，因此该部分的设计应考虑性能和可靠性的平衡，分部用户接入作为外联单位接入区域，其安全性应该是放在第一位。总部办公网络作为内部互联单位，可信度较高，用WEB、FTP、MAIL、DNS、DHCP等内部服务器为员工提供内部信息。分部访问总部采用VPN技术，通过VPN隧道保证传送信息的安全。INTERNET用户接入，需要考虑安全性和冗余性。当前的网络管理范畴比较广，包括设备管理、资源管理、故障管理、性能管理、安全管理等。在网络规模相对较大的时候，合适的网络系统可以帮助用户方便管理网络内的设备及运行情况，以提高网络的运行效率。第3章 网络总体建设目标3.1、 网络建设目标本项目的目标是：“建立一个设计规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台，以高效率，高速度，低成本的方式提高公司员工的工作效率与执行效率”。 搭建公司核心网络及服务器,以实现生产运营系统的运行, 各公司用户能够进行资源共享，并能够进行上网查资料，电子邮件，对外发布网站等等。按照“高效能、低成本”的要求，采用两层网络结构，按要求实现网络安全的需求。网络设备主要以核心交换区设备为主。要求计算机网络系统满足系统集成的网络平台需求，并考虑对设备投资保护，保证未来几年的系统扩展。组建一个高效、稳定、可靠、易管理、安全的企业网.3.2、 网络及系统建设内容及要求根据Ambow公司的网络情况，我们把整个网络分为内部交换网络设计、网络出口设计、网络安全设计几大方面。对于内部交换网络我们采用分层设计。内部交换网络分成核心层、汇聚层、接入层三大部分。对于内部交换网络我们采用分层设计。内部交换网络分成核心层和接入层两大部分。核心层作为整个网络系统的核心，其主要功能是高速、可靠的进行数据交换。为加速数据的快速转发，我们在核心层采用以太通道技术，增加网络带宽，提高数据转发效率。为提高网络链路的冗余性，采用HSRP技术做热备份，STP技术，保证链路的冗余性等。接入层主要提供最终用户接入网络的途径。主要进行vlan的划分等。对于设备，我们采用了性价比较高的设备。对于网络带宽，由于带宽有限且租金昂贵，我们建议用QOS技术进行拥塞管理、拥塞避免、流量整形等策略对网络上的流量进行管理。3.3、 网络设计原则高可靠性-网络系统的稳定性是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络结构，制定可靠地网络备份策略，保证网络具有故障自愈的能力，最大限制地支持各个系统的正常运行。 灵活性及可扩展性-根据未来业务的增长和变化，网络可以平滑地扩展和升级，最大限制地减少对网络架构和设备的调整。 高性能-承载网络性能是网络通讯系统良好运行的基础，设计中心必须保障网络及设备的高吞吐能力，保证各种信息（数据，语音，图像）的高质量传输，才能使网络不成为各项业务开展的瓶颈。 性价比高-网络方案的设计必须充分考虑投资保护。第4章 网络总体设计4.1、 网络拓扑图Ambow公司整体网络可以根据功能划分为北京总部核心网络，内嵌接入包括品质保障部网络，教学支持部网络，财务部和市场部。外联单位接入大连分部网络和昆山分布网络。各区域相对独立，通过核心网络进行数据的交互。在整个网络拓扑图中，我们采用了层次化的设计，核心层、汇聚层、接入层。这样节省成本，使整个网络拓扑更加清晰，由于各个层次的功能不同，因此易于我们排错。4.2、 网络层次化设计在网络领域，层次型设计用于将设备划分到多个网络中，这些网络采用分层方法组织。层次型设计模型包含3个基本层： 核心层：连接分布层设备。 分布层：将较小的本地网络互连起来。 接入层：向网络中的主机和终端设备提供连接性。相对于平面网络设计，层次型网络有些优点。将平面网络分为易于管理的小型模块的优点是，本地数据流将留在本地，只有前往其他网络的数据流才进入更高层。三部分的功能分别是：核心层：核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。 核心层需要考虑冗余设计。 汇聚层： 汇聚层的功能主要是连接接入层节点和核心层中心，汇聚层设计连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。汇聚层设备一般采用可管理的三层交换机或堆叠式交换机以达到带宽和传输性能的要求，其设备性能较好，但价格高于接入层设备，而且对环境的要求也较高，汇聚层设备之间以及汇聚层设备与核心层设备之间多采用光纤互联，以提高系统的传输性能和吞吐量。接入层：接入层的主要功能是完成用户流量的接入和隔离，对于无线局域网wlan用户，用户终端通过无线网卡和无线接入点AP完成用户接入。它可以共享、独享或交换带宽的方式为用户提供入网的接口。4.2.1、 核心层设计核心层主要进行数据的高速路由转发，以及维护全网路由的计算，我们推荐使用cisco 2821的路由器来完成，它的高性能，可靠性，可用性，在核心层我们还应该采用Cisco4506系类的交换机来完成，在核心层为了保证数据的安全性和保密性应接入防火墙。4.2.2、 分布层设计分布层交换机和接入层交换机之间可以利用全双工技术和高传输率网络互联,保证分支主干无带宽瓶颈。分布层的设计要满足核心层、分布层交换机和服务器集合环境对千兆端口密度、可扩展性、高可用性以及多层交换的不断增长的需求,支持大用户量、多媒体信息传输等应用。所以选择的设备配置比核心层稍低。可采用思科Cisco3750交换机。4.2.3、 接入层设计接入层是使用交换机相连，为用户终端提供了接入的方式，办公系统所需要的服务器群，数据中心的多种系统应用服务器，链接到会聚交换的模块上，因此，内部的局域网是采用三层结构组建。在接入层使用的是Cisco2960系列的交换机来完成。4.3、 内联接入内连接入的作用是用于链接外网的网络。我们使用Cisco 2800系列的路由器通过SDH/DDN线路完成此功能。由于接入外网时需要考虑到安全问题，因此，还需要接外部防火墙。第5章 路由、交换设计1. 路由协议在本次网络项目中，北京总部的路由器BJ-R-001和交换机BJ-S-01、 BJ-S-02 、BJ-S-03及 BJ-S-04。为达到路由快速收敛、寻址以及方便网络管理员管理的目的，为这个网络选择ospf协议。Ambow总部规划为area 0，其内部网络也都规划为area 0。各区域接入路由器跟据区域不同使用动态协议，或者使用静态路由与动态路由结合的方式。2. 交换技术对于本次项目的核心层交换机Cisco 4506，我们将采用建立在生成树基础上的多链路冗余连接。这样不仅可以避免了由于网络环路造成的广播风暴等，还可以保证骨干交换机之间存在备份连接和负载均衡，完成高带宽、大容量网络层路由交换功能。这样当交换机之间的线路出现故障时，传输的数据会快速自动切换到另外一条线路上进行传输，不影响网络系统的正常工作。而对于汇聚层交换机Cisco 3750和接入层交换机Cisco 2960，我们将采用VTP、VLAN、HSRP等协议。使用VTP协议，可以把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样他们可以自动学习到server上的VLAN 信息。这样不仅可以少在多台设备上配置同一个VLAN信息的工作量，而且还保持了VLAN配置的统一性。而VLAN 技术，则可以限制广播范围，并能够形成虚拟工作组，动态管理网络。不仅提高了网络的安全性，而且成本低，性能高，节省了人力，具有很高的灵活性。HSRP 是热备份路由协议。在北京总部和分部在汇聚层的交换机上我们采用热备份协议，运用两台交换机，当其中的一台出现故障致使网络不能正常通信时，备用的那台马上起到作用，避免了网络的“短路”问题。HSRP 实现容错备份功能，可以有效解决网络不畅问题，保证了网络的可靠性。3. IPV6 由于IPV4网络地址的资源有限，所以，为了提高网络的可扩展性，在本次网络项目中所采用的设备，均支持IPV6。IPV6以其灵活的IP报文头部格式，不仅取代了IPV4中可变长度的选项字段，而且也使路由器可以简单路过选项而不做任何处理，加快了报文处理速度，提高了吞吐量。而且IPV6还具有安全性、身份认证和隐私权等特性。支持更多的服务类型，允许协议继续演变，增加新的功能，使之适应未来技术的发展。5.4、 设备选择网络设备清单设备型号数量（台）单价（元）总价（元）Cisco 28113520015600Cisco WS-C450622200044000Cisco WS-C3750-24TS-S6900054000Cisco WS-C2960-24TT-L9360032400Cisco WS-C2960-48TC-L3750022500总计：1685005.5、 设备命名规范网络设备命名设备型号北京大连昆山Cisco 2811BJ-R-001DL-R-001KS-R-001Cisco WS-C4506BJ-S-01BJ-S-02Cisco WS-C3750-24TS-SBJ-S-03BJ-S-04DL-S-01DL-S-02KS-S-01KS-S-02Cisco WS-C2960-24TT-LBJ-S-05DL-S-03DL-S-04DL-S-05DL-S-06KS-S-03KS-S-04KS-S-05KS-S-06Cisco WS-C2960-48TC-LBJ-S-06BJ-S-07BJ-S-085.6、 VLAN、子网及IP地址规划IP地址的规划在网络设计中举足轻重。直接影响网络运行的效率。IP地址设计的总原则是简单、易管理、易扩展。我们配IP地址按以下原则：唯一性：一个IP网络中不可能有两个主机采用相同的IP地址。简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项。连续性：连续地址在此结构网络中易于进行路由总结（Route Summarization）,大大缩减路由表，提高路由算法效率。可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性。灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术，以满足多种路由策略的优化，充分利用地址空间。北京总部IP地址划分部门名称人数VLAN ID网络号可分配IP地址品质保障部47VLAN 10(BJ-PZ)4/265-126教学支持部47VLAN 20(BJ-JX)28/2629-190财务部8VLAN 30(BJ-CW)92/2893-206市场部48VLAN 40(BJ-SC)/26-62服务器27-239大连分部IP地址划分部门名称人数VLAN ID网络号可分配IP地址品质保障部13VLAN 10(DL-PZ)4/275-94教学支持部18VLAN 20(DL-JX)/27-30财务部3VLAN 30(DL-CW)6/297-102市场部16VLAN 40(DL-SC)2/273-62服务器04-108昆山分部IP地址划分部门名称人数VLAN ID网络号可分配IP地址品质保障部14VLAN 10(KS-PZ)2/273-62教学支持部19VLAN 20(KS-JX)/27-30财务部4VLAN 30(KS-CW)6/297-102市场部13VLAN 40(KS-SC)4/275-94服务器04-108 第6章 网络安全解决方案6.1 网络边界安全威胁分析网络边界隔离着不同功能或地域的多个网络区域，存在着安全风险。我们应用以下方法来杜绝这些存在的潜在的安全：1、防火墙技术，防火墙是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络的安全的有效管理，从总体上看防火墙应该具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止行为；记录通过防火墙的信息内容和活动；对网络攻击进行监测和告警。2、通过vlan惊醒端口通讯和安全隔离，确保数据流进入有效端口3、可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定，有效确认用户合法性和唯一性。6.2 网络内部安全威胁分析内部用户的越权访问:公司内部的资源也不是对任何的员工都开放的，也需要有相应的访问权限。内部用户的非授权的访问，更容易造成资源和重要信息的泄露。内部用户的误操作：由于内部用户的计算机制造的水平参差不齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对误操作的防范措施，极容易给服务系统和其他主机造成危害。内部用户的恶意攻击：就网络安全来说，据统计约有70%左右的攻击来自内部网络用户，相比外部攻击来说，内部用户有更得天独厚的优势，因此，对内部用户攻击的防范也很重要。设备的自身安全性也会直接关系到公司网络系统和各种网络应用的正常运转。例如，路由设备存在路由信息你泄露、交换机和路由器设备配置风险等。重要服务器或操作系统自身存在的安全漏洞：如果管理员没有及时的发现并且进行修复，将会为网络的安全带来很多不安定的因素。重要服务器的当机或者重要数据的意外丢失，都将会造成这公司内部业务的无法正常运行。6.3解决方案6.3.1ISA和iptables防火墙（1） 防火墙能强化安全策略（2） 防火墙能有效的记录internet上的活动。（3） 防火墙限制暴露用户点，防火墙能够用来隔开网络中一个网段与另一个网段，这样，能够防止影响一个网段的问题通过整个网络传播。（4） 防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。（5） 价格较低 （6） 性能开销小,处理速度较快 在公司分部，我们选择在linux系统上建立iptables防火墙。iptables是复杂的，它集成到linux内核中。用户通过iptables，可以对进出你的计算机的数据包进行过滤。通过iptables命令设置你的规则，来把守你的计算机网络哪些数据允许通过，哪些不能通过，哪些通过的数据进行记录。6.3.2病毒防护因为公司的数据核心是非常重要的，为免被窃取要设置访问权限；网络可能被病毒攻击和破坏，所以安装杀毒软件和防火墙。(1)阻止病毒的传播在防火墙、SMTP服务器、网络服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。 (2)检查和清除病毒使用防病毒软件检查和清除病毒。 (3)病毒数据库的升级病毒数据库应不断更新，并下发到桌面系统。 (4)在防火墙及PC上安装控制扫描软件，禁止未经许可的控件下载和安装。6.3.3认证和数字签名(1)认证1.路由器认证，路由器和交换机之间的认证2.操作系统认证，操作系统对用户的认证3.拨号访问服务与客户之间的认证4.电子邮件通讯双方认证(2)数字签名技术认证过程通常涉及到加密和密钥交换。Password认证该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet等，但由于此种认证方式过程不加密，即password容易被监听和解密。 使用摘要算法的认证 基于PKI的认证使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。第7章 关键技术介绍7.1 VLANVLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。 因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。7.2 HSRP终端可以使用多种方法决定它们到特定ip地址的第一跳。常用的方法有两种：1. 动态学习：代理arp，路由协议（rip和ospf）以及irdp（icmp router discovery protocol）；2. 静态配置：在每一个终端都运行动态路由协议是不现实的，大多客户端操作系统平台都不支持动态路由协议，即使支持也受到管理开销、收敛度、安全性等许多问题的限制。因此普遍采用对终端ip设备静态路由配置，一般是给终端设备指定一个或者多个默认网关(default gateway)。静态路由的方法简化了网络管理的复杂度和减轻了终端设备的通信开销，但是它仍然有一个缺点：如果作为默认网关的交换机损坏，所有使用该网关为下一跳主机的通信必然要中断。即便配置了多个默认网关，如不重新启动终端设备，也不能切换到新的网关。hsrp就是为了避免静态指定网关的缺陷。7.3 VTP也被称为虚拟局域网干道协议。它是思科私有协议。作用是十几台交换机在企业网中，配置VLAN工作量大，可以使用VTP协议，把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样他们可以自动学习到server 上的VLAN 信息。通常情况下，我们需要在整个园区网或者企业网中的一组的交换机中保持VLAN数据库的同步，以保证所有交换机都能从数据帧中读取相关的VLAN信息进行正确的数据转发。它是一个OSI参考模型第二层的通信协议，主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名。在一台VTP Server 上配置一个新的VLAN时，该VLAN的配置信息将自动传播到本域内的其他所有交换机。这些交换机会自动地接收这些配置信息，使其VLAN的配置与VTP Server保持一致，从而减少在多台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。VTP有三种工作模式：VTP Server、VTP Client 和 VTP Transparent。一般，一个VTP域内的整个网络只设一个VTP Server。VTP Server维护该VTP域中所有VLAN 信息列表，VTP Server可以建立、删除或修改VLAN。VTP Client虽然也维护所有VLAN信息列表，但其VLAN的配置信息是从VTP Server学到的，VTP Client不能建立、删除或修改VLAN。VTP Transparent相当于是一上独立的交换机，它不参与VTP工作，不从VTP Server学习VLAN的配置信息，而只拥有本设备上自己维护的VLAN信息。VTP Transparent可以建立、删除和修改本机上的 VLAN信息。7.4 TRUNKTrunk是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。基于端口汇聚（Trunk）功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量， 大幅度提供整个网络能力。是带宽扩展和链路备份的一个重要途径。TRUNK把多个物理端口捆绑在一起当作一个逻辑端口使用，可以把多组端口的宽带叠加起来使用。TRUNK技术可以实现TRUNK内部多条链路互为备份的功能，即当一条链路出现故障时，不影响其他链路的工作，同时多链路之间还能实现流量均衡。 7.5 STPstp是一种二层链路协议，又称生成树协议，该协议在IEEE802.1D文档中定义。该协议的原理是按照树的结构来构造网络拓扑，消除网络中的环路，避免由于环路的存在而造成广播风暴问题。该协议使用BPDU报文传递生成树信息。该协议的目的是在实现交换机之间的冗余连接的同时，避免网络环路的出现，实现网络的高可靠性。确定根桥，决定哪些端口处于转发状态，哪些端口处于阻断状态，以免引起网络环路。7.6 VPN虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。 虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。 第8章 设备简介8.1 Cisco 2800系列集成多业务路由器Cisco 2811路由器实物图Cisco 2811简要参数Cisco 2811基本特征路由器类型路由器端口结构模块化网络协议IEEE 802.3X传输速率10/100Mbps固定的局域网接口2个其他端口Console内置防火墙是Qos支持支持支持VPN支持扩展模块4产品内存256MB(最大760MB)网络管理协议：Cisco ClickStart，SNMP电源电压100-240 VAC产品尺寸445*438.2*416.2mm产品重量6.4Kg适用环境工作温度:0-40、工作湿度:5%95%无凝结、存储温度:-20-65、存储湿度:5%95%无凝结8.2 Cisco 4500系列交换机Cisco 4506交换机实物图Cisco 4506简要参数CISCO WS-C4506主要参数交换机类型企业级交换机应用层级四层传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE 802.3、10BASE-T,IEEE 802.3u、100BASE-TX,IEEE 802.3、10BASE-FX,IEEE 802.3z、IEEE 802.3x、IEEE 802.3ab,10BASE-X(GBIC)端口结构模块化传输模式支持全双工交换方式存储-转发背板带宽100Gbps包转发率75MppsVLAN支持支持QOS支持支持网管支持支持网管功能SNMP管理信息库(MIB)II，SNMP MIB扩展，桥接MIB(RFC 1493)模块化插槽数6电源电压220V环境标准工作温度:040;工作湿度:10%96%无凝结;存储温度:-4075;存储湿度:10%96%无凝结产品尺寸(mm)440*317*440产品重量(Kg)18.378.3 CiscoCatalyst 3750 系列集成交换机Cisco 3750交换机实物图Cisco 3750简要参数CISCO WS-C3750-24TS-S主要参数CISCO WS-C3750-24TS-S交换机类型企业级交换机应用层级三层传输速率10Mbps/100Mbps/1000Mbps端口结构非模块化端口数量24传输模式支持全双工配置形式可堆叠交换方式存储-转发背板带宽32Gbps包转发率6.5MppsVLAN支持支持QOS支持支持网管支持支持网管功能SNMP, CLI, Web, 管理软件MAC地址表12K模块化插槽数2产品尺寸(mm)445*301*44产品重量(Kg)3.68.4 Cisco Catalyst2960系列交换机Cisco WS-C2960-24TT-L交换机实物图Cisco WS-C2960-24TT-L简要参数CISCO WS-C2960-24TT-L主要参数交换机类型智能交换机应用层级二层产品内存64MB传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE 802.3、IEEE 802.3u、IEEE 802.1x、IEEE 802.1Q、IEEE 802.1p、IEEE 802.1D、IEEE 802.1s、IEEE 802.1w、IEEE 802.3ad、IEEE 802.3zIEEE 802.3端口结构非模块化端口数量24接口介质10/100Base-T、10/100/1000Base-Tx传输模式全双工/半双工自适应交换方式存储-转发背板带宽4.4Gbps包转发率6.5MppsVLAN支持支持QOS支持支持网管支持支持网管功能Web浏览器,SNMP,CLIMAC地址表8K模块化插槽数2指示面板每端口状态:连接完整性、禁用、活动、速度、全双工,系统状态:系统、RPS、链路状态、链路双工、链路速度电源电压100 VAC-240VAC、50Hz/60Hz,1.3-0.8A环境标准工作温度:0-45、工作湿度:10%-85%(非冷凝)、存储温度:-25-70、存储湿度:10%-85%(非冷凝)产品尺寸(mm)44*445*236产品重量(Kg)3.6Cisco WS-C2960-48TC交换机实物图Cisco WS-C2960-48TC简要参数CISCO WS-C2960-48TC主要参数交换机类型智能交换机应用层级二层产品内存64MB传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE 802.3、IEEE 802.3u、IEEE 802.1x、IEEE 802.1Q、IEEE 802.1p、IEEE 802.1D、IEEE 802.1s、IEEE 802.1w、IEEE 802.3ad、IEEE 802.3z、IEEE 802.3端口结构非模块化端口数量48接口介质10/100Base-T、10/100/1000Base-Tx/SFP传输模式全双工/半双工自适应交换方式存储-转发背板带宽6.8Gbps包转发率10.1MppsVLAN支持支持QOS支持支持网管支持支持网管功能Web浏览器,SNMP,CLIMAC地址表8K模块化插槽数2指示面板每端口状态:连接完整性、禁用、活动、速度、全双工,系统状态:系统、RPS、链路状态、链路双工、链路速度环境标准工作温度:0-45、工作湿度:10%-85%(非冷凝)、存储温度:-25-70、存储湿度:10%-85%(非冷凝)产品尺寸(mm)44445236产品重量(Kg)3.6第9章 项目实施计划9.1 项目组织结构本项目由项目领导小组中的项目经理负责，设置专家组对整个项目进行总体技术把关，并设立项目协调组，进行项目信息的总体协调，下设项目控制组对项目实施的质量和文档进行把控，项目的实施组对项目的整体设备安装、综合布线、现场项目培训等科目的执行，项目商务组对项目的设备供货控制、成本控制给予坚强后盾，几个小组通力合作形成项目的管理和技术核心。项目经理对内向公司高管负责，同时对业主项目管理组组长负责。项目组内各部向项目经理负责。内部专家组协助项目经理完成项目的内部评审、关键技术问题指导等工作。各组之间根据质量管理体系的要求，按照实施阶段的划分和总体实施进度情况在项目经理的协调之下完成信息的交流。9.2 工程进度计划工程进度计划表序号任务名称总工期35日历天（2011-3-9起至2011-4-13止）5天10天15天20天25天30天35天1施工前准备2施工前培训3供货准备4机房建设5设备安装6设备开通测试7工程自验8试运行9问题整治10竣工资料整理11工程竣工交验Ambow公司工程横道图2011年3月9日9.3 项目实施前的准备工作乙方提供场地评估和安装支持，在系统安装之前，网络工程师要完成所有办公位置的场地评估。甲方（Ambow公司）则需要在实际设备安装之前根据设备对场地的要求对场地完成必要的修改，乙方也可以接受委托完成这项工作，但在这个过程的每一个阶段，项目人员与客户指定的工作人员也可以联合工作。乙方前期准备工作：1、场地的评估和技术支持；2、五金/材料的采购和准备；3、操作人员、施工人员的准备；4、网络设备的采购/准备；5、项目人员和客户指定的工作人员的联合工作。9.4 安装前的场地准备在系统安装之前，工程师需要对计划安装设备的场地进行检查。检查硬件设备安装的位置、空间、供电要求及环境条件。工程师也要确定场地的电缆布线要求，保证各种设备能够长久的持续工作。具体要求：1.位置要求：Ambow教育是以教育为中心的机构，为满足其网上教学等，设备安装的位置应部署在各个机房，安全的方便的提供服务。2.空间要求：Ambow快速发展，在各地设立培训机构，为满足其可扩展性，机房的空间要足够大，其设施要完备，环境要适宜等。3.供电要求：作为一个网络信息的时代，Ambow教育的发展在实时更新，那么设备在安装前供电是及其重要的，UPS（不间断电源） 供电系统应与普通用电系统严格分开。UPS 电源应采用双机备份及不少于 30 分钟的后备时间，普通维修插座及照明用电线路应设有漏电保护开关，机房内所有的电气材料均应有消防部门认可的生产证书，所有电线电缆均应为阻燃或难阻燃电缆，提供设备电源。9.5 核心及各网点的安装调试在场地、设备及软件均已准备好时，系统将进入安装阶段。系统的安装分为以下几个部分：网络设备安装和调试。就系统安装过程中涉及到的需要保密的部分，乙方将配备相应的工程师协助厂商的技术工程师现场安装有关硬件和软件。在系统安装前，将会就具体工作程序、工作内容、调试方法、调试结果及验收标准等资料在调试前书面提出并征得公司同意，之后按计划实施。为保证整个项目按时完成，将安排工程师、进行项目实施，进行单点调试和系统联调。第10章 网络测试10.1 网络测试目的测试的目的是检验本项目中所供或的产品（含软硬件）工作是否正常，是否实现设计功能。在测试工作开始之前，根据本项目的具体情况会同设备厂商技术人员等专家制定测试方案，并把方案提交给Ambow公司项目单位和项目组讨论，在方案获得通过后按照该方案开展测试工作。测试的过程和结果将以测试报告的形式予以记录。测试内容包括如下功能性测试：l 设备测试测试设备在网络中运行工作情况l 网络连通测试测试客户端访问用户服务器应用10.2 测试文档Cisco 2811路由器测试表设备型号Cisco 2811 测试人张凯迪测试时间2011-3-29测试目的检查设备的物理状态、运行状态和功能测试环境电源电压 200V 240V；电源频率 50 60Hz；地线与零线之间的电阻小于1W、电压小于1V测试测试指标正常指标测试结果（设备正常记录为“”，否则填写“”）产品尺寸44.5*438.2*416.2mm产品重量6.4Kg端口结构模块化加电开机正常断电关机正常指示灯正常防火墙内置防火墙QOS支持QOSVPN支持VPN网络管理支持内存256M包转发率150kppsPoE电源支持备注：Cisco WS-C4506交换机测试设备型号Cisco WS-C4506 测试人孙莉测试时间2011-3-29测试目的检查设备的物理状态、运行状态和功能测试环境电源电压 200V 240V；电源频率 50 60Hz；地线与零线之间的电阻小于1W、电压小于1V测试测试指标正常指标测试结果（设备正常记录为“”，否则填写“”）产品尺寸440*317*440mm产品重量18.37Kg端口结构模块化加电开机