企业局域网规划与设计.doc

. . 北京邮电大学网络教育学院毕 业 设 计设计题目：星海星企业局域网的规划和设计入学年月_2011年03月01日姓 名_王建国_学 号_111110233100141专 业_计算机科学与技术总站/学习中心_北京_指导教师_孙燕连_装订线. . . 完成时间_2013年3月25日_北京邮电大学网络教育学院毕业设计任务书姓名王建国学号141专业计算机科学与技术职称所属教学总站/学习中心北京通信地址北京市海淀区肖家河东村54号邮 政编 码100081E-mail地址969080221QQ.COM电请 是学位 否远程 函授 设计（或论文）题目北京星海星企业局域网的规划和设计选题背景（目前从事何工作，毕业设计选题与所学专业及从事工作有何关系）目前从事销售工作，与毕业设计选题无关指导教师、指导教师组组长及成员姓名职称工作单位及所从事专业联系方式孙燕连讲师北京邮电大学82056329设计内容（要求详细到节，有学生独立完成的内容）：注意：选题要结合学生实际工作。要求写明本设计所涉及的分析方法或技术手段（如定性、定量分析的方法）；要求有学生独立的见解，设计内容要详细写明具体步骤。目 录一、概述 (一)企业网建设背景 (二)星海星网建网需求分析二、总体网络设计 (一)整体网络设计描述 (二)网络设备选型三、网络业务设计 (一)H3CS9500E核心交换特性 1.完全的分布式的处理方式 2.良好的互通性 3.核心交换机先进的体系架构设计 4.基于流攻击的防止 5.汇聚层强大的IRF扩展性能 (二)网管解决方案四、核心网安全设计 (一)企业网BT业务限流量的解决方案 1.BT限流的解决方案 (二)多元绑定技术对长春装饰学院安全的应用 1.企业网的安全特征： 2.绑定技术为北京星海星企业规划高安全的企业网。 (三)防止对DHCP服务器的攻击 1.Private VLAN 2.访问控制列表 3.新的命令 (四)恶意用户追查 (五)防病毒攻击五、参考文献设计中具体完成的工作：1、校园网需求前期调研； 2、需求分析； 3、设备选型。主要参考文献、资料(写清楚参考文献名称、作者、出版单位)：IP路由技术详解与配置实践尹光成清华大学出版社路由器配置与管理完全手册王达华中科技大学出版社H3C网络学院系列教程：路由交换技术（第3卷）杭州华三通信技术有限公司清华大学出版社教学总站审批意见教学总站/学习中心：（盖章）年月日网院审批意见审核教师签字：北京邮电大学网络教育学院： （盖章）年 月 日备注1、任务书由指导教师填写，一式三份；2、“不通过，请重新申报”的原因如下：（画的项目）A、 本人具体设计内容不足，应增加设计内容； B、本人具体设计内容不明确，应以目录形式写明设计内容；C、应加强理论分析； D、必须有具体的设计对象； E、雷同；（同学之间或其它方面雷同）毕业设计（论文）中期报告总站/学习中心北京专业计算机科学与技术学生姓名王建国学号111110233100141指导教师孙燕连设计（或论文）题目北京星海星局域网的规划和设计本人在该设计中具体应完成的工作1、企业网需求前期调研； 2、需求分析； 3、设备选型。1、 简述毕业设计开始以来所做的具体工作和取得的进展或成果1、前期通过学院领导、老师、学生等多方面网络调研，得知多种需求，然后整理出目前校园网的实际需求； 2、由于目前国内网络厂商众多，通过学院的实际需求，进行设备选型和峰值流量测试；2、 目前存在问题，下一步的主要研究任务，具体设想与安排1、虚拟机的多并发在网管系统中网络侦听目前需要进一步测试；2、bt、迅雷等p2p下载软件防控策略更新整理；3、网络病毒感染有效隔离策略更新；3、 指导教师对该学生前期研究工作的评价指导教师签字：年月日4、 中期检查意见 检查教师签字： 年月日备注：1、本表由学生填写，指导教师、网院及毕业设计工作指导小组签署意见。2、本表由学生装订在论文中（任务书的后面）。内容摘要 本文以北京星海星企业网建设的规划和设计为背景，从相关的计算机网络技术以及企业、科研等方面所起的作用入手，较为详细的阐述了北京星海星企业网设计与实现的过程。 论文首先从中国互联网络信息中心发布白皮书开始，通过权威机构对中国企业网的现状对企业网做了大概的介绍。根据企业的实际，对所需要的企业网类型做了定义。 通过对本公司所需企业网络做的需求分析，结合学校实际我们选用了常用的三层网络结构类型：接入层、汇聚层和核心层，由核心路由交换机、汇聚路由交换机、楼层接入交换机三类网络逻辑设备组成。 为了满足企业用网、科研的应用需要以及以后企业网扩容的需求，我们采用具有高质量的高速以太网技术，它具有足够的带宽和交换能力，可以兼容异构网的接入，保留原有网络建设的投资，并且满足企业多媒体教学等方面的需要。可以适应以后企业网在各个方面的不断发展。 为了实现企业网络建设的目标，让它具有良好的扩展性能和应用功能。我们在核心层采用一台H3C S9512E路由交换机，H3CS9512E万兆交换机其背板容量1.8Tbps，交换容量1.44T，包转发率876Mpps，具有14个插槽，包括12个业务插槽，整个改造后的IP网络汇聚到核心交换机之间采用10GE的带宽相连大大扩大的原有的带宽，S9500E万兆核心交换机采用Crossbar体系结构所有端口均线速转发汇聚层使用11台S7506E路由交换机。H3CS7503E-S万兆交换机其背板容量1.6Tbps，交换容量768G，包转发率492Mpps，具有8个插槽，包括6个业务插槽。接入层交换机采用H3C的二层接入交换机S7506E。在某些点位较多的楼宇采用堆叠技术，以达到所要求的端口数目。 在设计时，我们对比参照了许多成熟的组网技术和网络技术，力求找到最符合我校实际的类型，就目前使用情况来看，基本达到了预期目标。关键词： 校园网；交换机；路由器；三层交换；网络安全目 录引言1一 需求分析及项目规划21.1 项目背景21.2 企业局域网的要求2二 局域网技术现状分析与分类42.1 局域网技术定义42.2 局域网的类型42.3 局域网的发展趋势5三 项目分析63.1 拓扑结构需求分析63.2 数据传输需求分析63.3 发展需求分析63.4 性能需求分析73.5 网络安全性分析7四 企业局域网的规划设计84.1 网络拓扑的设计84.2 综合布线设计94.3 网络中心机房规划与设计104.4 网络操作系统与应用软件的选型104.5 网络可靠性安全性设计和容错11五 网络详细设计135.1 网络设计135.2 企业局域网典型配置205.3 综合布线系统设计245.4 网络安全275.5 材料清单29六 工程实施管理316.1 布明线槽316.2 暗埋布线316.3 垂直干线走线316.4 布线的其他要求31七 综合布线系统的智能管理337.1 实时智能管理系统337.2 系统的软硬件管理34八 总结358.1 综合学习与思考358.2 回顾与展望35参考文献37致谢38附录39附件40企业局域网规划与设计2007级网络工程专业 李立立指导教师 王鲁【摘要】目前，全球已掀起一股信息高速公路规划和建设的高潮，作为其雏形，国际互联网（Internet）上相连的计算机已近达数千万台，全球有数亿人在Internet上进行信息交换和各种业务处理。Internet上积累了大量信息资源，这些资源涉及人类面对和从事的各个领域、行业及社会公用服务信息。成为信息时代全球可共享的最大信息基地。由于计算机网络技术和通信技术的飞速发展，人们对信息的要求越来越强烈，“网络就是计算机”的说法被全世界普遍接受。各国纷纷宣布建设本国的信息高速公路，全球信息一体化局面已指日可待。办公网络是局域网的典型应用之一，公司或政府机关等利用局域网络进行管理和办公，各办公室之间可以在网络中相互快速地访问共享资源，也可进行网络打印等面提高工作的效率，方便管理工作事务。 【关键字】局域网设计规划；拓扑结构；网络设备清单；局域网管理引言在国民经济信息化进程中, 企业如何提高自身竞争力, 怎样利用Internet/Intranet 技术带来的机遇和挑战, 来提高工作效率和管理科学水平, 是亟待解决的问题。近年来, 大部分企业单位的大部分部门微机还是报表处理、单机作业为主。日常通信也是简单地文件传送, 显然越来越不能满足业务发展和现代化管理的需要, Internet 及其相关技术的出现和高速发展, 为企业提供了利用网络进行信息交流和管理的极好机遇。随着Internet 的推广, 信息技术给现代社会带来了根本性的变革,信息已成为当今世界经济的战略资源和独特的生产要素。随着中国经济的迅猛发展, 企业除了要不断的保持并加强自己的管理优势, 不断推出适应中国经济发展的需求之外, 还要不断寻求和创造更大的发展空间。充分应用信息技术, 运用当代先进的管理理论、管理技术、管理手段, 为企业的发展注入强劲的科技动力和应变能力, 全面创新, 提高企业的综合素质, 使企业的发展不断迈上新的台阶, 成为一流的企业。因此, 企业单位迫切需要建立基于Intranet 的企业信息系统, 在提高企业管理效率、降低成本, 为实现企业在21 世纪成为市场的赢家, 在信息化方面奠定了坚实的基础。一 需求分析及项目规划1.1 项目背景某企业是一家大型企业，拥有员工400人左右。公司内主要建筑物有办公楼、职工宿舍等，共约500个信息点。信息点主要集中在行政部、市场部、研发部、技术部。在网络项目实施之前，该公司用下行2M、上行512K 宽带，普通交换机作为主要网络连接设备，带宽低，速度慢，宿舍和各部门办公网之间分割开来，不能互通。随着公司人员与规模不断扩张，随着办公信息化、自动化的需求，各部门间为提高办公效率，促进信息交流，适应现代化办公的要求，需要组建一个完善的企业办公局域网。(一) 根据与公司有关领导、技术人员的交流情况得到网络需求如下：1) 实现安全访问广域网、发布企业信息、宣传企业文化、发表意见交流工作、使用FTP服务器存取公司文档资料，为用户到用户，用户到应用提供速度合理，功能可靠的连接；2) 着眼与未来技术的发展，使现有网络具有较好的扩展性；3) 在有限的经费下完成既定的任务，并考虑合理应用服务器的带宽，保证所有资源获得最大的效益；4) 支持VOD视频点播系统、视频会议。(二) 企业局域网主干和信息点需求及分布 拟建的企业局域网主要涉及四幢建筑物：办公楼、宿舍楼、车间、食堂。建筑物之间拟通过光缆连接。局域网中心拟设在办公楼，规划信息点要求再现有基础上增加300个即达到近500个，并可以拓展。主要信息点分布，办公楼：220个，宿舍楼：200个。 (三) 投资预算预计投资在20万元左右，包括局域网设计，办公网络的组建，交换机设备，综合布线施工等。经过初步估算：购置交换机、更替服务器等网络设备费用约合150000￥；综合布线系统材料费约合35000￥；工程施工费用约合20000￥；总投资约合205000人民币。1.2 企业局域网的要求1.2.1 设计目标本项目的设计应具有开放性、可扩展性及兼容性，全部系统的设计要求采用开放的技术和标准选择主流的操作系统及应用软件，保障系统能够适应未来几年公司的业务发展需求，便于网络的扩展和公司的结构变更。1.2.2 设计要求(一) 系统的具体要求1) 易于配置：所有的客户端和服务器系统应该是易于配置和管理的，并保障客户端的方便使用；2) 更广泛的设备支持：所有操作系统及选择的服务应尽量广泛的支持各种硬件设备；3) 稳定性及可靠性：系统的运行应具有高稳定性，保障7*24的高性能无故障运行；4) 可管理性：系统中应提供尽量多的管理方式和管理工具，便于系统管理员在任何位置方便的对整个系统进行管理；5) 安全性：在系统的设计、实现及应用上应采用多种安全手段保障网络安全；良好的售后服务支持。(二) 网络的具体要求1) 满足公司信息化的要求,为各类应用系统提供方便、快捷的信息通路；2) 良好的性能，能够支持大容量和实时性的各类应用；3) 能够可靠的运行，较低的故障率和维护要求；4) 提供安全机制，满足保护公司信息安全的要求；5) 具有较高的性价比；6) 未来升级扩展容易，保护用户投资；7) 用户使用简单、维护容易；8) 良好的售后服务支持。二 局域网技术现状分析与分类2.1 局域网技术定义所谓的局域网(Local Area Network，简称LAN)，用于将有限范围内（例如一个实验室、大楼或者校园）的各种计算机、终端与外部设备互联成网。局域网技术发展非常迅速，并且应用日益广泛，是计算机网络中最为活跃的领域之一。从局域网应用的角度来看，局域网的技术特点主要表现在：1) 局域网覆盖有限的地理范围，它适用于机关、校园、工厂等有限范围内的计算机、终端与各类信息处理设备联网的需求；2) 局域网提供高数据传输速率、低误码率的高质量传输环境；3) 局域网一般属于一个单位所有，易于简历、维护与扩展。局域网可以用于个人计算机局域网、大型计算机设备群的后端网络与储存区网络、高速办公室网络、企业与学校的主干局域网。2.2 局域网的类型在局域网组网技术中比较成熟和应用较多的技术有以下几方面网络类型：Ethernet:10M、100M、千兆以太网；ATM:25M、155M、622M、2.4G；DDN:64K、128K、1M、2M；X.25:64K；FDDI:100M （面临淘汰）。数据分配上也分为共享式和交换式，网间数据交换核心方面分为路由和三层交换两种。在以上几个方面中网络类型的选择是关键，目前的主要技术之争是发生在以太网和ATM之间的，这两种技术各有短长如果选用ATM方案，则需要采用局域网仿真（ELAN），这样就会造成ATM的端到端控制的优势和QoS的优势仅仅体现在主干上，终端的QoS并没有真正实现，而且价格上面也不占优势：如果全部换成ATM到桌面的纯ATM方案，ATM的优势能够体现出来，但是费用又高得难以接受。而千兆以太网具有性能可靠、符合国家标准、可支持设备多、易扩充等特点，因此采用千兆以太网作为光纤主干是性价比最高的选择。千兆以太网继承了传统以太网的特点，并极大地拓宽了带宽，保持了良好的兼容性，作到了以往的10Mbit/s/100Mbit/s以太网应用程序能无缝运行在千兆位网上。千兆以太网增加了对QoS支持，以高带宽和流量控制双管齐下的策略来满足应用的需要。随着标准的通过，网络设备的价格也大幅度下降，对于选择千兆以太网又增添了一个有利条件。选用千兆以太网，既能满足视频、多媒体应用的需求，又能兼顾以往的投资，并且有一定的前瞻性，能在一定的时间内保持网络技术的先进性。最后公司决定千兆以太网为主干、百兆交换到桌面的网络结构。2.2.1 按传输介质分类 按照网络的传输介质分类，可以将计算机网络分为有线网络和无线网络两种。某个局域网通常采用单一的传输介质，比如目前较流行双绞线，而城域网和广域网则可以同时采用多种传输介质，如光纤、同轴细缆、双绞线等。2.2.2 按拓扑结构分类网络的拓扑结构是指网络中通信线路和站点（计算机或设备）的相互连接的几何形式。按照拓扑结构的不同，常见的计算机网络拓扑结构有：总线型拓扑结构、星型拓扑结构、环型拓扑结构等。在计算机网络中还有其他类型的拓扑结构，如总线型与星型混合、总线型与环型混合连接的网络。在局域网中，使用最多的是星型结构。 2.3 局域网的发展趋势未来的局域网将集成包括一整套服务器程序、客户程序、防火墙、开发工具、升级工具等，给企业向局域网转移提供一个全面解决方案。局域网将进一步加强和E-mail、群件的结合，将Web技术带入E-mail和群件，从信息发布为主的应用转向信息交流与协作。局域网将提供一个日益牢固的安全防卫、保障体系，局域网也是一个开放的信息平台，可以随时集成新的应用。三 项目分析3.1 拓扑结构需求分析经过分析，本公司的整个网络的拓扑结构为树状分层拓扑结构，分为三级：第一级是网络的千兆主干网络，属核心层。主干千兆位交换机的任务是将各个子网分布路由的信息简洁快速地交换到目的地址，起到信息快速通道的作用。网络主干上连接着对带宽和可靠性有很高要求的设备，如服务器群、交换机、路由器等，放置在公司1楼的网管中心。第二级是防止在单位各层的分布层交换机，属汇聚层。它通过多模光纤上联到核心计算机，通过超5类双绞线向下级联到三级交换机。一般地，一个楼层组成一个单独的子网。第三级交换机直接连接拥护的计算机，属接入层。按照这个样的层次划分有以下特点：结构清晰，易于设计和管理，大大提高了网络的扩充能力；网络结构和实际应用的组织结构相一致，便于安全管理，减轻网络的数据流量；根据不同层次和实际经济承受能力，选择相应的网络设备和硬件设备，使投资更合理。总之，采用层次化的网络设计，其优点是便于网络管理，优化网络性能，增强网络的扩展性。3.2 数据传输需求分析用户对数据传输量的需求决定了网络应当采用何种连网设备和布线产品。就目前情况来看，多媒体已经成为局域网络所必须支持的功能之一。基于这种大传输量的需求，公司决定以1000Mb/s光纤作为主干和垂直布线，以100Mb/s超五类双绞线作为水平布线，从而实现100Mb/s交换到桌面的网络。主要传输需求如下：a) 对主干和部分应用要求高带宽的二级节点均设计为1000M。b) 主干和带宽为1000M的二级节点传输介质采用光纤。c) 带宽为100M节点传输介质采用超五类双绞线，音频点采用五类双绞线，视频点采用同轴电缆。d) 电话、传真、电子邮件和基本公众服务应用基本带宽为64K。e) 高质量可视电话、视频会议、数字音频基本带宽为384K。f) 文件传输、WWW应用、图象传输、和网上购物基本带宽为1M。3.3 发展需求分析网络设计者不仅要考虑到容纳网络中当前的用户，而且还应当为网络保留至少3-5年的可扩展能力，从而使在用户增加时，网络依然能够满足增长的需要。这一点非常重要，因为布线工程一旦完毕，就很难再进行扩充性施工。所以，在埋设网线和信息插座时，一定要有足够的余量，而连网设备则可以在需要时随时购置。此外网络系统可以从100M平滑升级到1000M或未来对ATM 的支持。3.4 性能需求分析不同厂家乃至同一厂家不同型号的交换机在性能和功能上都有较大差异，有的安全性高、有的稳定性好、有的转发速率快、有的拥有特殊性能。因此，应当慎重考察和分析本网络对性能的根本需求，以便选择相应品牌和型号的交换机。其他还必须具备一下性能：a) 网络支持VLAN。b) 网络系统可以支持第三层交换。c) 网络系统中服务质量支持802.1p。d) 网络协议支持TCP/IP为主的多协议。e) 系统必须具有安全性和管理性。f) 系统中关键应用的服务器必须具有较高的性能。g) 系统必须具有接入广域网的能力。 3.5 网络安全性分析安全性是指可靠性、保密性和数据一致性。企业网络对安全性的要求较高，计算机系统的安全性主要包括以下几个方面:硬件平台安全性：当计算机的元器件突然发生故障，或计算机系统工作环境设备突然发生故障时，计算机系统能继续工作或迅速恢复。 网络通迅系统安全性：网络的安全性主要包括采取以下安全措施：认证措施，包括网点认证和人员认证；数据保密措施如传输加密；存取控制措施如防止非法操作。 操作系统安全性：操作系统选用正版的可升级维护的WINDOWS系统。数据库安全性：数据库要有以下安全机制，磁盘镜像、数据备份、恢复机制、事务日志、内部一致性检查、锁机制以及审计机制等安全保障体制，确保数据库的安全。 应用软件系统的安全性： 认同用户和鉴别，确认用户的真实身份，防止非法用户进入系统。 存取控制，当用户已注册登录后，核对用户权限，根据用户对该项资源被授予的权限对其进行存取控制。审计，系统能记录用户所进行的操作及其相关数据，能记录操作结果，能判断违反安全的事件是否发生，如果发生则能记录备查。保障数据完整性，对数据库操作保证数据的一致性和数据的完整性。 四 企业局域网的规划设计4.1 网络拓扑的设计企业局域网络由多种完成不同功能的网络设备组成，包括路由器、交换机、Internet接入设备、防火墙等以及各种服务器，如：网管服务器、主服务器（包括打卡服务器、售餐服务器等）。企业内部网络采用共享或交换式以太网，通过DDN、ASDL、ISDNPSTN等方式，选择合适的网络运营商接入到Internet。并采取相应的措施，确保通讯数据的安全、保密。系统运行要安全、可靠、故障小。综合以上因素，网络拓扑结构设计的要符合以下几点要求：1) 要适应未来网络的扩展和拓扑结构的变化；2) 要能为特定的用户或用户组提供访问路径；3) 要保证网络能不间断地运行；4) 当网络扩大和应用增加时，变化的网络结构要能应付相应的带宽要求；5) 能合理地分配用户对网内、网外的信息流量；6) 能支持较多的网络协议，扩大网络的应用范围；7) 支持IP的单点传送和多点广播数据流；图 4.1 企业局域网网络拓扑图8) 依据以上原则，我们可以确定网络拓扑结构图，如图4.1所示。4.2 综合布线设计局域网布线设计的依据是网络的分布架构。网络布线必须有较长远的考虑。对于大型局域网，连接公司院内各个建筑物的网络通常选择光纤，统一规划，冗余设计，使用线缆保护管道并且埋入地下。建筑物内又分为连接各个楼层的垂直布线子系统和连接同一楼层各个房间入网计算机的水平布线子系统。如果设有信息中心网络机房，还应该考虑机房的特殊布线需求。在局域网布线时，应该充分考虑到将来网络扩展可能需要的最大接入节点数量、接入位置的分布和用户使用的方便性。若整座建筑物接入局域网的节点计算机不多，可以采用从一个接入层节点直接连接所有入网节点的设计。若建筑物的每个楼层都分布有大量接入节点，就需要设计垂直布线子系统和水平布线子系统，并且在每层楼设置专门的配线间，安置该楼层的接入层节点网络设备和配线装置。水平布线子系统通常采用非屏蔽双绞线或屏蔽双绞线，如何选择线缆类型和带宽根据应用需求决定。连接各个楼层交换机的垂直布线子系统通常采用光纤。企业综合布线系统由工作区子系统、水平布线子系统、垂直干线子系统、管理子系统和建筑群子系统组成。它的设计原则如下：1) 开放性：严格按照IEEE802、EIA/TIA 568等工业及建筑布线标准和中国建筑电气设计/工业企业通信设计规范。2) 实用性：适应企业现在和将来发展的需要，具备数据通信、语音通信和图像通信的功能。3) 灵活性：布线系统中任一信息点能够很方便地与多种类型设备（如电话、计算机、检测器件以及传真等）进行连接。4) 可扩展性：布线系统具有较强的可扩展性，在将来需要时可以很容易地将所扩充的设备连接到系统中来，实现各种网络服务与应用。5) 经济性：综合布线系统是一种既具有良好的初期投资特性，即在今后若干年中不增加新的投资情况下仍能保持建筑物的先进性，又是具有极高的性能价格比的高科技产品。通常情况下，综合布线系统的使用寿命为15年。6）可靠性：综合布线系统采用高品质的材料和组合压接的方式构成一套高标准的信息通道。每条通道都采用专用仪器校核线路衰减、串音、信噪比，以保证其电气性能不会造成交叉干扰。综合以上原则，企业应采用综合布线系统，才能更好的发挥千兆局域网的威力。4.3 网络中心机房规划与设计考虑到网络中心机房在整个企业网中所处的核心位置，为了保持其长时间运行的可靠性，建议对机房采取以下必要的措施：1) 防尘、防静电、安装数据地线对机房铺设防静电地板，以及安装必要的通风和温度调节设备，建议最好安装单独的数据地线。2) 电源保护由于市电供应的电压不稳定产生的浪涌及断电，将对各种电脑和网络设备造成不可预知的伤害，所以应在中心机房加设稳压装置，网络中心机房最好采用一台UPS，容量的大小根据网络规模与设备多少而定。3) 防雷由于中心机房内摆放了大量贵重的电子设备，南方的雷雨季节应特别注意防雷。雷电的防护可分为直击雷和感应雷的防护两方面。如果有条件，我们将建议对机房采取如上措施。4.4 网络操作系统与应用软件的选型办公局域网的最终目标是建设覆盖整个单位的互联、统一、高效、实用、安全的局域网络，近期可支持十几个，远期至少可支持上百个并发用户，提供广泛的资源共享（包括硬件、软件和信息资源的共享）。网络结构清楚、布线合理、充分考虑房间分布；局域网性能稳定、安全；软、硬件结合良好，满足单位或公司日常办公需要，方便资源共享、浏览，具备远程控制功能，为单位提供远程访问能力并设计安全认证系统；有良好的兼容性和可扩展性，具备单位局域网与其他单位局域网互连，甚至根据具体需求实现网上视频信号传输的能力。操作系统是整个网络中不可缺少的组成部分之一，我们必须根据企业网络应用规模、应用层次等实际情况选择最合适的操作系统。常见网络操作系统有：1) Windows系列：广泛用于一般的办公网、校园网及教育系统。Windows系列网络操作系统产品包括Windows NT/2000/2003 Server。2) UNIX：主要用于大型城域网、移动运营系统、银行系统、证券系统等，它最主要的一个特征是稳定，处理大型数据较快。3) NetWare：大量文件服务及打印服务功能，不直观，应用范围较窄。4) Linux：2000年前后出现的，与UNIX相似，能提供较稳定的系统，不易受到病毒的攻击。因其安全性、开放性与二次开发能力较好，是目前中国部分地方政府部门规定使用的操作系统。如果企业应用需要数据库软件，则数据库平台选择原则主要考虑如下因素：性能：响应时间和吞吐量。事务处理：保证数据的完整性和一致性。查询优化：提高系统处理能力和降低网络流量。复制机制：透明地支持分布数据处理。联机备份和恢复：保证系统的安全性、完整性和可恢复性。对于数据库来说，我们可以根据企业的实际需要，采用免费的如MySQL或商业的Microsoft SQL Server、DB2、Sybase或者Oracle等产品。另外企业局域网可以选择部署一套网络版的防病毒软件，加强企业局域网的安全；如果资金允许的话，我们也可以选择一些邮件、WEB、FTP、视频软件以及网络管理软件等，满足企业日益的不断增长的应用需求。4.5 网络可靠性安全性设计和容错由于连人Internet，为用户提供各种信息服务。资源共享和开放是Internet特点，因而Internet的安全机制很松散；而企业网络信息系统要求有较高的安全性，其内部的许多数据和文件严禁未经授权的访问。除了关注全球互联网对企业业务的积极影响之外，同时也要充分考虑到将因特网作为企业内部计算机网络的延伸后的安全问题。若没有合适的防火墙解决方案，系统就会成为网络黑客们的众矢之的。1) 网络容错计算机网络系统是整个业务运行的平台，服务器是整个网络运行的心脏，它能否可靠运行直接影响到日常业务的运作。在主服务器发生故障的情况下，备用机能自动启动为主服务器。全面代替主服务器响应全部的网络服务请求，直至主服务器被恢复。由于采用了双机模式，备份服务器和主服务器的数据和程序完全一致，不会出现数据丢失的情况。2) 安全备份及灾难恢复企业最重要的资产不是网络硬件，而是网络运行的数据。如果不能保证数据的安全，对网络进行的大量投资就失去了意义。3) 安全管理的两个方面a) 内部安全管理：主要是建立内部安全管理制度，如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等，并采取切实有效的措施保证制度的执行。内部安全管理主要采取行政手段和技术手段相结合的方法。b) 网络安全管理：在网络上设置防病毒安全检测系统后，必须保证防病毒系统的设置正确。且其配置不允许被随便修改。采用用户和口令认证机制加强对用户的管理。可以通过财务软件本身和一些网络层的管理工具来实现。五 网络详细设计5.1 网络设计根据以上分析和投资20万元的预算计划，我们配置如下：采用当今最为流行实用的千兆主干三级交换结构体系，最终用户100Mb/s速度到桌面。在本方案中，网络拓扑结构为树型网络结构，主干网选择千兆以太网技术，它是以光纤通信和新的数据封装技术为核心的高速、大容量计算机网络通信技术，能在局域网络之间提供快速高带宽信道，彻底消除低速信道对计算机网络的制约。第一级核心层，是办公网的千兆骨干网络；第二级汇聚层，是通过多模光纤上联核心交换机，再向下通过超五类双绞线级联三级交换机；第三级接入层，是由交换机（网管型）直接连接用户的计算机。按照这样的层次划分有以下特点：结构清晰，易于设计和管理，大大提高了网络的扩充能力；网络结构和实际应用的组织结构相一致，便于安全管理，减轻网络的数据流量；根据不同层次和实际经济承受能力，选择相应的网络设备和硬件设备，使投资更合理。 首先对整个办公大楼进行综合布线以及机房标准装修工程。办公大楼是个6层高的大楼，中心机房位于1楼。同理，对宿舍楼也根据信息接点进行分配布置。如图5.1。图5.1 信息点配置5.1.1网络核心层的设计网络核心层是网络的中心，其功能是实现高性能的交换和传输。因此核心层设备应该是高性能的交换机，可实现高速度的交换传输，以连接服务器等核心设备；并且非常可靠，实现不简断工作。考虑网络应用的复杂性和多样性，需要提供最佳的性能、可管理性和灵活性及无与伦比的投资保护，因此，网络主干采用一台Cisco Catalyst 6509路由交换机作为核心交换机来连接各级交换机。Cisco Catalyst 6509交换机为网络提供了一组高性能、多层交换的解决方案，专为需要千兆扩展、高度适用、多层交换的主从分布而服务器集中的应用环境设计。结合Cisco IOS广阔服务功能，Catalyst 6509具备强大的网络管理性，用户机动性，安全性，高度应用性和对多媒体的支持。其产品特性如下：多层交换功能卡（MSFC）。可实现以线速进行IP（RIP、RIP2、OSPF、EIGRP、PIM、HSRP），IPX和IP-Multicast路由，同时支持AppleTalk，DecNet，Vines和Ccahe Engine。完备的IOS功能（ACL、TACACS+、QoS-WRR）。支持多达8个物理的快速/千兆以太网口。利用以太网通道技术（FEC或GEC）连接，在逻辑上可实现达到16Gbit/s端口连接，同时可以跨模块端口聚合实现高效能连接。通过FlexWAN（WAN扩展）模块可提供与7200/7500系列相同的WAN接口。全面提供业界领先的基于Cisco互联网操作系统（IOS）的各项网络特性：可靠的网络安全性管理，增强的服务质量（QoS）管理，提供增值的网络弹性管理，为网管软件Cisco Work2000和Cisco Resource Essentials提供接口管理框架。支持多层次的网络弹性和服务功能，设备级的故障容错性能，包括冗余超级引擎、冗余负载共享的电源（AC&DC）、冗余负载共享的风扇、冗余的系统时钟、冗余上连、冗余交换背板等选项。策略功能卡（PFC）能够以线速实现IOS的流量控制功能，并可对不同三层交换路径实现负载均衡。通过Console/Auxiliary端口在本地或远程对交换机进行连接设置。Cisco Catalyst 6509的特性描述见表5.1表5.1 Cisco Catalyst 6509的特性插槽数9可配制模块数8背板带宽（Gbit/s）可扩展到256三层交换速度（Mpps）可扩展到150最大100Mbit/s端口密度384最大1000Mbit/s端口密度130热插拔电源数2MAC地址数32000VLAN数10248021Q支持是ISL支持是5.1.2汇聚层交换机的设计汇聚层交换机既各个楼层的主交换机，他通过1000Mbit/s光纤与千兆以太网主干连接，形成网络的高速骨干。汇聚层高速交换机具有第三层交换能力，采用分布式路由交换体系，楼层间主干线路压力较小。楼层间主干线路均采用千兆位连接，各个楼层通过各自的一台Cisco Catalyst 4908G-L3或者Cisco Catalyst 4006交换机组成自己的子网，可以根据各自的安全管理需要和信息需要通过汇聚层交换机内置的三层交换技术，将子网内外的信息安全有效地进行过滤交换，互联到千兆位交换机，完成分布式路由。Cisco Catalyst 4006和4908G-L3交换机为数据中心提供高性能、中等密度的、10/100/1000Mbit/s以太网模块交换平台。Catalyst 4006系统为经济有效的模块化6插槽机箱，其功能高阔可伸缩的交换、多达240个端口的10/100Mbit/s密度、多协议第三层IP、IPX和IP多点传送交换。Catalyst 4908G-L3交换机，在一个固定配置产品包中提供园区主干网所需的高性能第三层。其功能包括：带有千兆位接口转换器（GBIC）支持的1000BASEX千兆位以太网的8个端口。服务质量（QoS）带有WRR（加权循环）调度的多个队列，12Mpps第三层交换以及IP、IPX和IP Multicast的路由。其产品特性如下：使用业界领先的5500/5000系列的软件代码库。完备的IOS功能（ACL、TACACS+、QoS-WRR）第三层交换功能包括IP路由（RIP、RIP2、OSPF、EIGRP、PIM、HSRP）、IPX路由、IP Multicast路由。4006的引擎上带有2个1000Mbit/s上联GBIC插槽。使用快速以太网通道（FEC）及千兆以太网通道（GBC）技术为网络提供更高的主干带宽（800Mbit/s或8000Mbit/s）。4006只有在WS-X4232-L3模块上支持三层交换和LSL。4908G-L3的每一个端口均支持三层交换。Cisco Catalyst 4006和4908G-L3的特性描述见表5.2表5.2 Cisco Catalyst 4006和4908G-L3的特性特性Cisco Catalyst 4006Cisco Catalyst 4908G-L3机箱、电源及引擎Catalyst 4006 S-2交换机，6个扩展插槽（其中1个已用于Supervisor），2个GBIC上联模块插槽，双电源Catalyst 4908G-L3交换机，8个1000BASEX（GBIC）插槽，支持IP，IP multicast及bridging协议固定端口数2（在引擎上）8最大10/100Mbit/s端口密度240-最大1000Mbit/s端口密度928三层交换端口数模块8三层交换速度（Mpps）1812插槽数6-可配置模块数5-背板带宽60Gbit/s22Gbit/s热插拔电源数3-VLAN数102410248021Q支持是是ISL支持L3模块是考虑到汇聚层交换机作为整个网络的枢纽，承担了楼层之间网络的全部通信业务量，负责整个网络的日常维护、配置和管理，它是否安全可靠关系到整个网络的可靠性和可用性。汇聚层交换机配制了容错而又负载均衡的双电源，备份三层交换模块和时钟控制模块。汇聚层交换机同Cisco接入层交换机配合使用，网络管理者能构造无缝的100Mbps以太交换网络系统，为整个网络系统提供统一的网络服务。这样的网络系统结构简单，同时融合了可伸缩的网络速率、性能、网络规模和基于策略的QoS服务，提供策划VLAN（虚拟局域网）的功能，使网络管理员可以根据需要将用户划分为几个不同的组。这样既便于管理，又可以提高安全性。被划分的同一组的用户可以在VLAN组内部共享网络资源，并保证各组之间访问的独立性。汇聚层交换机最大支持1024个基于端口或802.1Q标记的VLAN。5.1.3 接入层交换机的设计每4办公室配置1个24口10/100BASE-TX自适应桌面交换机，型号为Cisco Catalyst系列的C2924-XL。实现用户信息点100Mbit/s到桌面的接入。交换技术避免了使用集线器时多个用户共享造成的冲突和拥塞，大大提升了网络的性能。C2924-XL是一种10/100Mbit/s自适应快速以太网交换机，提供卓越的性能、简化的操作以及最大的应用灵活性。其产品特性如下：1) 最多达32个10/100Mbit/s端口，使网络速度大规模提高，解决网络拥塞。2) 背板速度高达3.2Gbit/s,所有端口均支持全双工通讯，高达200Mbit/s的端口网络速度，使桌面接入的速度大大提高，使网络性能更加出色。3) 10/100Mbit/s自适应端口，使用户原有10Mbit/s网络轻松接入，同时可以利用千兆上联模块平滑过渡到千兆主干，既简化网络设计，又可保护投资，降低成本。4) UTP、光纤两种网络连接方式，便于与主干网络连接。5) 16K MAC地址支持，满足大型网络建设要求。6) 灵活的VLAN设置，多达1024个VLAN的划分，以及对ISL Trunking、动态ISL、VLAN Trunk Protocol支持，满足拥护队网络安全性的要求。7) 支持Fast EtherChannel。C2924-XL作为用户级交换机，使组网简单灵活，性能卓越，既提升了校园网的性能，又证明了充分的端口利用率，是通信量及网络用户数不断增加的局域网的最佳选择。5.1.4 服务器群架构服务器全部选用SUN公司的Enterprise Server 450、Ultra10，运行UNIX网络操作系统。其中主服务器上运行内网的WWW、FTP、DNS和BBS服务；另外还配备了电子邮件和数据库服务器、代理服务器、电子邮件及WWW服务器。所有服务器都带有RAID卡和可插拔硬盘，极大提高了系统的冗余和可靠性，并且配备磁带机进行数据备份。WWW服务器根据情况在中心采用了Netscape的Enterprise Server 2.0（for Solaris）。Enterprise Server是一个功能较强的WWW服务器软件，可以在网络整体安全策略的要求下进行相应的管理和控制。考虑到一些特殊应用如为软的ASP只能在为软的系列WWW服务器运行，同时由于微软产品的流行性，在各个楼层采用了为软的IIS系列作为WWW服务器，以便与WWW应用的开发和推广。为了充分发挥主服务器群的作用，所有服务器和网管工作站采用高速线路与千兆核心交换机相连，从而保证了服务器具有足够的带宽为网络上的用户提供良好的服务性能。5.1.5 广域网连接方案局域网系统采用Cisco 3660路由器经过Cisco PIX515E防火墙通过DDN专线上联广域网，实现内网到Internet的高速接入。Cisco 3660是一个适合大中型企业和Internet服务供应商的模块化、多功能访问平台，拥有70多个模块化接口选项，提高语音/数据集成、虚拟专网（VPN）、拨号访问和多协议数据路由解决方案。适合于超高速密度广域网和拨号连接、高密度局域网连接、数据上的中度语音及中密度ATM等方面的连接。本方案中选用Cisco 3662-AC-CO路由器机箱，为ACW/Telco SW结构的双10/100E Cisco 3660的6插槽模块