企业网络安全方案课程设计.doc

此文档收集于网络，如有侵权，请联系网站删除小组成员：企业网络安全方案课程设计此文档仅供学习与交流摘要近年来，中国卷烟市场日益开放，面对激烈的国际竞争，如何控制成本和提升服务质量已经成为国内卷烟公司与外来竞争对手抗衡的重要手段。计算机网络安全系统集成技术已在不同的行业、不同的规模、不同的层次上得到了应用，不同的应用对应着不同的网络平台。从使用的角度来看，依据客户实际的业务状况，谋求最佳的安全方案显得越来越重要。当前烟草企业依靠传统技术改造提升企业竞争力已经成为历史，而借助网络安全技术，全面实现企业信息化，提升企业综合竞争能力，已成为烟草企业的必然选择。按照国家烟草局“卷烟上水平”的基本方针和战略任务，应积极发挥信息化技术在产业中的作用。信息化发展的前提就是要准确把握行业的规划和要求，从技术、应用、发展对信息化体系进行分析，这就要求系统集成人员用大量的时间进行用户调查，分析应用，反复论证方案，使用户能够得到一体化的解决方案。企业计算机网络安全系统是根据其行业具体情况与当今网络先进技术相结合的成功开发案例之一，本规划是结合企业计算机网络系统的建设与实施，探讨网络安全规划的内容。随着信息化的发展，Internet的迅速膨胀，烟草行业竞争由为激烈，加上现如今企业技术中心业务量的飞速增长，对内对外信息安全交流越来越重要，同时为响应全国烟草行业网的建设要求，所以企业建设安全的局域网是非常必要的。目录第1章 背景描述1第2章 需求分析1第3章 逻辑设计、物理设计23.1 拓扑结构图23.2 划分IP地址23 .3 交换机配置33.4路由器配置53.5物理设计图6第4章 网络总体方案设计及其特点6第5章 网络结构设计7第6章 布线方案8第7章 安全策略87.1 防火墙的工作原理97.2 防火墙的分类和技术原理以及典型体系结构9第8章 设备选择13第9章 网络规划、设计和集成原则16第10章 软件选择与配置17第11章 布线方案18第12章 设备清单19总结19参考文献20第1章 背景描述某企业拟实施CIMS（现代集成制作系统）规划，需建立企业网络系统，设计全场经营、政工、技改、财务、质量、生产、销售、后勤等部门，主要分布在办公楼和生产厂区、占地0.4 平方公里，厂外有少量销售点。办公楼为6 层，需联网计算机96 台。企业库区距厂区直线距离约2 公里，有20 台计算机。在全市范围内设有6 个厂外销售部，每个销售部有1020 台计算机不等。另外有编辑全市的销售点近百个，每个销售点有1 台计算机。网络规划要求：（1) 网络系统连接的站点覆盖主厂区、库区及厂外销售部，远程通信遍及市内全部销售网点，并为今后同外单位及国际互联网的通信连接做好基础准备工作。各销售点可以考虑采用ISDN拨入的方式。（2) 支持分布式数据库应用，以实现全厂的MIS 和面向决策的综合信息查询系统和决策支持系统（在厂部和厂外销售部都有数据库），各销售点的计算机根据地域的划分分别与就近的销售部和厂部的数据库相连。（3) 综合考虑系统可靠性、实用性、开放性、先进性和经济性。（4) 以当前需求为主，兼顾发展的需要。（5) 支持企业的Intranet 和与Internet的连接。第2章 需求分析2.1 网络覆盖面积大，销售点计算机机分布范围广。烟草公司在地理分布上面积广,部分微机比较集中,大部分的微机只需要在局域网内运行，网络拓扑结构决定整体采用星型结构。各设备和各节点连接到中心交换机上，形成星型结构。为什么采用星形拓扑结构？ 控制简单。任何一站点只和中央节点相连接，因而介质访问控制方法简单，致使访问协议也十分简单。易于网络监控和管理。故障诊断和隔离容易。中央节点对连接线路可以逐一隔离进行故障检测和定位，单个连接点的故障只影响一个设备，不会影响全网。方便服务。中央节点可以方便地对各个站点提供服务和网络重新配置。2.2 支持企业的Intranet 和与Internet 的连接。2.3 支持分布式数据库应用。 采用分布式数据库的优点： 具有灵活的体系结构。适应分布式的管理和控制机构。经济性能优越。系统的可靠性高、可用性好。局部应用的响应速度快。可扩展性好，易于集成现有的系统。2.4 CIMS系统（现代集成制造系统）的网络吞吐量大。 CIMS基本出发点： 企业的各种生产经营活动是不可分割的，要统一考虑。 整个生产制造过程实质上是信息的采集、传递和加工处理的过程实施CIMS的生命周期可分为五个阶段：项目准备需求分析总体解决方案设计系统开发与实施运行及维护2.5 结构化布线。 网络是将独立的设备连接在一起，并使它们可以共享信息和资源的连接系统。正确的设计和实施一个网络系统可以提高通信的速度和可靠性，从而使得一个系统工作起来更加富有效率。网络的建设应该满足已公布的国家和国际标准的要求，并应能够根据商业要求的改变进行不断的进化和升级。2.6 实现所有部门的联接。第3章 逻辑设计、物理设计3.1 拓扑结构图3.2 划分IP地址本规划中申请一个C类地址：/24进行IP地址分配。/24用于连接因特网的服务器。并在其下划分IP用于其他网络。办公楼：/24：/2426/24厂库房：28/24：29/2454/24 六个销售部：/272/27：3-2 4/27：5-4 6/27：7-26 28/27：29-58 60/27：61-90 92/27：93-22销售点：28/24：29/2454/243 .3 交换机配置3.3.1配置二层交换机在二层交换机上添加VLANS1enableS1#vlan databaseS1(vlan)#vlan 100S1(vlan)# exitS1#configure terminalS1(config)#interface fastethernet 0/1S1(config-if)#swicthport mode trunkS1(config-if)#swicthport trunk encapsulation dot1qS1(config-if)#exitS1(config)#interface fastethernet 0/2S1(config-if)#swicthport mode accessS1(config-if)#swicthport access vlan 100S1(config-if)#exitS1(config)#interface fastethernet 0/3S1(config-if)#swicthport mode accessS1(config-if)#swicthport access vlan 100S1(config-if)#exitS2enableS2#vlan databaseS2(vlan)#vlan 200S2(vlan)#exitS2#configure terminalS2(config)#interface fastethernet 0/1S2(config-if)#swicthport mode trunkS2(config-if)#swicthport trunk encapsulation dot1qS2(config-if)#exitS2(config)#interface fastethernet 0/2S2(config-if)#swicthport mode accessS2(config-if)#swicthport access vlan 200S2(config-if)#exitS2(config)#interface fastethernet 0/3S2(config-if)#swicthport mode accessS2(config-if)#swicthport access vlan 200S2(config-if)#exit在二层交换机上配置口令：S2(config)#enable password cisco S2(config)#line vty 0 5S2(config-line)#password ciscoS2(config-line)#loginS2#write 3.3.2配置三层交换机在三层交换机上添加VLAN，并设置各VLAN的虚拟三层地址，同时设置与二层交换机相连的端口为Trunk模式S3enableS3#vlan databaseS3(vlan)#vlan 100S3(vlan)#vlan 200S3(vlan)#exitS3#configure terminalS3(config)#interface vlan 100S3(config-if)#ip address S3(config-if)#exitS3(config)#interface vlan 200S3(config-if)#ip address S3(config-if)#exitS3(config)#interface fastethernet 0/1S3(config-if)#swicthport mode trunkS3(config-if)#swicthporttrunkencapsulationdot1qS3(config-if)#exitS3(config)#interface fastethernet 0/2S3(config-if)#swicthport mode trunkS3(config-if)#swicthport trunk encapsulation dot1qS3(config-if)#exit启动三层交换机的IP路由转发功能（请在启动IP路由功能5分钟后再进行ping连通测试）S3(config)#ip routing3.4路由器配置有一个内部全局地址，这个 地址配置在路由器的s0/0接口上。路由器的配置如下：routerenrouter#conf trouter(config)#ip nat pool naptout netmask router(config)#access-list 1 permit 55router(config)#ip nat inside source list 1 pool naptout overloadrouter(config)#int f0/0router(config-if)#ip add router(config-if)#ip nat insiderouter(config-if)#no shutdownrouter(config)#int s0/0router(config-if)#ip add router(config-if)#ip nat outsiderouter(config-if)#no shutdown3.5物理设计图第4章 网络总体方案设计及其特点烟草公司在地理分布上面积广,部分微机比较集中,大部分的微机只需要在局域网内运行、只有办公楼需要接入广域网等情况，决定整体采用星型结构。 各设备和各节点连接到中心交换机上，形成星型结构。企业库、六个销售部及其附属销售点连接到办公楼，再由办公楼接入广域网。企业库需要连接到主干网上，以保证CIMS系统的正常运行。销售部及其附属销售点对于数据传输的要求相对较低。系统设计采用千兆主干以太网、快速交换式以太网,客户机/服务器模式。使用一台中心交换机。二级交换机、各服务器通过全双工的线路与中心交换机相连。服务器采用容错技术，双机备份。在公司的办公楼建立网络中心，配置一个WINDOWS 2000 SERVER服务器作为整个网络的控制中心。网络中心配置交换机和网管系统。另配置一个广域网的路由器接入广域网公司内部微机总数为306台，同时考虑有可能扩展，因此，申请两个C类地址。办公楼及库区共同使用一个C类地址。销售处及附属销售点共同使用一个C类地址。4.1公司主干网设计主干网选用千兆以太网（1000Base-T），原因：以太网应用普及。可护性好，可以实现平滑、无需中断的升级。兼容性好。4.2公司区域网设计对于各区域的局域网（办公楼、厂库区及各销售部），可以采用100Base-T。原因：实用性、经济性、网络系统可升级性。对于办公楼、厂库区由于信息量需求大,决定构建交换式局域网。交换技术本身秘具备的端口带宽的独立性,从根本上提高了整个局域网的带宽能力。4.3安全设计出于安全的考虑，要安装防火墙，在办公楼与广域网的端口处设置防火墙，另外办公楼内的每台微机都设置防火墙。厂库区、各销售处连出的端口也要设置防火墙。各销售点的微机都要设置防火墙。第5章 网络结构设计5.1 办公楼网络设计办公楼分为六层，共有计算机96台，属于计算机相对集中的地方。办公楼对网络的实时性和信息量要求较高，构建100Base-T交换式局域网。每层计算机由一接入层交换机相联后与主干网相连。每台联网计算机均使用100M网卡。5.2 企业库区网络设计企业库区内微机相对集中，网络吞吐量大，并且需要与办公楼相连接，进行通信以协调生产过程。因而，也构建100Base-T交换式局域网，同样由一交换机相联后，1000M端口与主干网相连，计划使用光纤。每台联网微机均使用100M网卡。5.3销售处网络设计销售处和销售点微机分散，100左右销售点，分布在全市各处，每处有微机一台。各销售处微机相对较为分散，对信息的传输量也不是太大。6个销售处，每个有微机10-20台，可由一以太网交换机相连后，通过DDN专线与主干网相连。每台联网微机使用10M网卡，并附带有Modem，以防备DDN志线可能出现故障。每个销售处的微机，可以租用邮电部门的DDN专线，连接到公司主干网。各销售点的微机分布范围广，数据传输量不大，可以考虑采用ASDL拨入的方式。5.4 销售点网络设计各销售点微机分散，100左右销售点，分布在全市各处，每处有微机一台。利用现有的资源，通过电话线拨号上网，连接主干网。每台微机均使用Modem联网。第6章 布线方案采用结构化布线:结构化布线系统是一个能够支持任何用户选择的话音、数据、图形图像应用的电信布线系统。系统应能支持话音、图形、图像、数据多媒体、安全监控、传感等各种信息的传输，支持UTP、光纤、STP、同轴电缆等各种传输载体，支持多用户多类型产品的应用，支持高速网络的应用。（1）水平布线。采用五类非屏蔽双绞线。为了便于部门的二级网点的增加，各部门采用一个交换机，连接各计算机和工作站。（2）垂直布线。各部门间的交换机与主干网相连，采用光纤传输。构成1000M交换式以太网。（3）管理子系统。管理子系统设置在楼层分配线设备的房间内。管理间子系统应由交接间的配线设备，输入/输出设备等组成，也可应用于设备间子系统中。管理子系统应采用单点管理双交接。交接场的结构取决于工作区、综合布线系统规模和选用的硬件。在管理规模大、复杂、有二级交接间时，才设置双点管理双交接。在管理点，应根据应用环境用标记插入条来标出各个端接场。（4）设备子系统。设备间是在每一幢大楼的适当地点设置进线设备，进行网络管理以及管理人员值班的场所。设备间子系统应由综合布线系统的建筑物进线设备、电话、数据、计算机等各种主机设备及其保安配线设备等组成。每个系统的设备都集中一起控制，为系统用各种不同线缆区别开来，综合布线系统全部语音和数据一缆集中在中心机房的机柜中，有、收发器设备与接入网连接，根据用户的需求进行安排。结构化布线系统特点：（1）实用性：能支持多种数据通信、多媒体技术及信息管理系统等，能够适应现代和未来技术的发展。（2）灵活性：任意信息点能够连接不同类型的设备，如微机、打印机、终端、服务器、监视器等。（3）开放性：能够支持任何厂家的任意网络产品，支持任意网络结构，如总线形、星形、环型等。（4）模块化：所有的接插件都是积木式的标准件，方便使用、管理和扩充。（5）扩展性：实施后的结构化布线系统是可扩充的，以便将来有更大需求时，很容易将设备安装接入。（6）经济性：一次性投资，长期受益，维护费用低，使整体投资达到最少。第7章 安全策略在办公楼与广域网的端口处设置防火墙，另外办公楼内的每台微机都设置防火墙。厂库区、各销售处连出的端口也要设置防火墙。各销售点的微机都要设置防火墙。服务器采用容错技术，双机备份。7.1 防火墙的工作原理防火墙的工作原理是按照事先规定好的配置和规则，监控所有通过防火墙 的数据流，只允许授权的数据通过，同时记录有关的联接来源、服务器提供的通信量以及试图闯入者的任何企图，以方便管理员的监测和跟踪，并且防火墙本身也必须能够免于渗透。 防火墙的功能： 能够防止非法用户进入内部网络。 可以很方便地监视网络的安全性，并报警。 可以作为部署 NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。 可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署 WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的非军事区（DMZ）。7.2 防火墙的分类和技术原理以及典型体系结构 目前防火墙系统的工作原理因实现技术不同，大致可分为三种：包过滤技术：包过滤技术是一种基于网络层的防火墙技术。根据设置好的过滤规则，通过检查IP数据包来确定是否该数据包通过。而那些不符合规定的IP地址会被防火墙过滤掉，由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下列信息组的IP包：源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包过滤技术实际上是一种基于路由器的技术，其最大优点就是价格便宜，实现逻辑简单便于安装和使用。缺点是过滤规则难以配置和测试。包过滤只访问网络层和传输层的信息，访问信息有限，对网络更高协议层的信息无理解能力。对一些协议，如UDP和RPC难以有效的过滤。代理技术：代理技术是与包过滤技术完全不同的另一种防火墙技术。其主要思想就是在两个网络之间设置一个“中间检查站”，两边的网络应用可以通过这个检查站相互通信，但是它们之间不能越过它直接通信。这个“中间检查站”就是代理服务器，它运行在两个网络之间，对网络之间的每一个请求进行检查。当代理服务器接收到用户请求后，会检查用户请求合法性。若合法，则把请求转发到真实的服务器上，并将答复再转发给用户。代理服务器是针对某种应用服务而写的，工作在应用层。优点是它将内部用户和外界隔离开来，使得从外面只能看到代理服务器而看不到任何内部资源。与包过滤技术相比，代理技术是一种更安全的技术。缺点是在应用支持方面存在不足，执行速度较慢。状态监视技术：这是第三代防火墙技术，集成了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样，它能够检测通过IP地址、端口号以及TCP标记，过滤进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接，不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通 过己知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在 过滤数据包上更有效。 状态监视器的监视模块支持多种协议和应用程序，可方便地实现应用和服务的扩充。此外，它还可监测RPC和UDP端口信息，而包过滤和代理都不支持此类端口。这样，通过对各层进行监测，状态监视器实现网络安全的目的。目前，多使用状态监测防火墙，它对用户透明，在OSI最高层上加密数据，而无需修改客户端程序，也无需对每个需在防火墙上运行的服务额外增加一个代理。复合型防火墙：由于对更高安全性的要求，通常把数据包过滤和代理服务系统的功能和特点综合起来，构成复合型防火墙系统。所用主机称为堡垒主机，负责代理服务。各种类型的防火墙都有其各自的优缺点。当前的防火墙产品己不再是单一的包过滤型或代理服务器型防火墙，而是将各种安全技术结合起来，形成一个混合的多级防火墙，以提高防火墙的灵活性和安全性。混合型防火墙一般采用以下几种技术:动态包过滤。内核透明技术。用户认证机制。内容和策略感知能力。内部信息隐藏。智能日志、审计和实时报警。防火墙的交互操作性等。 firewall zone name userzone创建一个安全区域，进一个已建立的安全区域视图时不需要用关键字。set priority 60 设置优先级add interface GigabitEthernet0/0/1 把接口添加进区域dis zone userzone显示区域配置信息 FWpolicy interzone trust untrust outbound FW-policy-interzone-trust-untrust-outboundpolicy 1firewall defend ip-sweep enablefirewall defend ip-sweep max-rate 1000firewall blacklist enableSRGfirewall defend ip-sweep blacklist-timeout 20firewall mac-binding enable MAC地址绑定配置firewall mac-binding 00e0-fc00-0100FW2firewall zone untrustFW2-zone-untrustadd interface g0/0/0FW2firewall packet-filter default permit interzone trust untrust FW2firewall packet-filter default permit interzone local untrustIPSec相关配置：先配置ACL：acl number 3000rule 5 permit ip source 55 destination 55 1、配置安全提议，封闭使用隧道模式，ESP协议，ESP使用DES加密算法，完整性验证使用SHA1算法。FW1ipsec proposal tran1encapsulation-mode tunneltransform espesp authentication-algorithm sha1esp encryption-algorithm des 2、配置IKE安全提议FW1ike proposal 10authentication-algorithm sha1 encryption-algorithm des 3、配置IKE对等体，使用IKEV2协商方式。FW1ike peer fw12 对方可以取名fw21。ike-proposal 10remote-address pre-shared-key abcde 4、配置安全策略FW1ipsec policy map1 10 isakmpsecurity acl 3000proposal tran1ke-peer fw12如果要针对源 IP 设置安全策略，则该IP应该是做源 NAT转换前的 IP 配置安全策略FWpolicy interzone trust untrust outboundFW-policy-interzone-trust-untrust-outboundpolicy 1FW-policy-interzone-trust-untrust-outboundaction permitFW-policy-interzone-trust-untrust-outboundpolicy source 55port-mapping ftp port 803 acl 2010 端口映射，把FTP映射为803。interzone dmz untrustdetect ftp 与IDS联运配置 firewall ids authentication type md5 key huawei123 firewall ids server 0 firewall ids port 3000 firewall ids enable负载均衡slb enableslbrserver 1 rip rserver 2 rip SRGfirewall packet-filter default permit interzone local dmz direction outbound 允许健康检查报文在防火墙Localt和DMZ域间出方向流动。group kdkd metric weightrr 加权轮询算法。addrserver 1 addrserver 4 addrserver 5 vserver huawei vip 1 group kdkdNAT配置nat address-group 1 SRGnat-policy interzone untrust trust inbound policy 1 action source-natpolicy source address-group 1 no-pat /使用地址池 1 做 NAT No-PAT 转换配置 easy-ip nat-policy interzone trust untrust outbound policy 1 action source-nat source-address 55 easy-ip GigabitEthernet0/0/3 /源 NAT 转换后的公网 IP 为接口 GE0/0/3 的 IP配置 Smart NAT#nat address-group 1mode no-pat /模式要选择 no-patsmart-nopat 1 /预留一个 IP 做 NAPTsection 1 0 0 /section 中不能包含预留 IP！#policy interzone trust untrust outboundpolicy 1action permitpolicy source 55policy source 55#nat-policy interzone trust untrust outboundpolicy 1action source-nataddress-group 1policy source 55policy source 55端口映射 nat server protocol tcp global 41 ftp inside ftp firewall defend smurf enable 启动Smurf防攻击功能(ICMP)。 firewall defend fraggle enable 启动fraggle防攻击功能(UDP,1或19端口)。 firewall defend land enable 源地址和目的地址相同或源地址为环回地址（）。 防火墙作为出口网关，双出口、双 ISP 接入公网时，配置 NAT Server 通常需要一分为二， 让一个私网服务器向两个 ISP 发布两个不同的公网地址供访问。一分为二的方法有两种：第一种是将接入不同 ISP 的公网接口规划在不同的安全区域中，配置 NAT Server 时，带上zone 参数，使同一个服务器向不同安全区域发布不同的公网地址。FW nat server zone untrust1 protocol tcp global 9980 inside 80FW nat server zone untrust2 protocol tcp global 9980 inside 80第二种是将接入不同 ISP 的公网接口规划在同一个安全区域中，配置 NAT Server 时，带上no-reverse 参数，使同一个服务器向同一个安全区域发布两个不同的公网地址。FW nat server protocol tcp global 9980 inside 80 no-reverseFW nat server protocol tcp global 9980 inside 80 no-reverseFW1 nat server protocol tcp global 9980 inside 80 vrrp 1 解决配了双机热备防火墙1P 地址冲突的问题第8章 设备选择8.1 网卡选择各处的微机都必须需要网卡，共需要306个。网卡选择金浪KN-8139DS+,它支持10M/100M，性价比较高。设备介绍：适用网络类型：以太网网线接口类型：RJ45传输介质类型：3类或3类以上屏蔽或非屏蔽双绞线传输模式：全双工/半双工自适应主芯片：Realtek芯片8.2 Modem各销售处及其各销售点都必须要使用Modem, 共计190台。选择创新56K型Modem,它属于56K内置Modem,其性价比较高。设备介绍：类型：普通拨号 类别：外置型接口类型：USB1.0接口传输速率：56Kbps 传输协议：V.90/K56flex芯片：Rockwell传真协议：V.17，V.29，Group 3，Class 1 语音功能：语音信箱，自动回复 其他技术：拔号上网，自动收发传真 操作系统：Windows 98/2000/XP/Vista 8.3 交换机（1）核心交换机：选择高性能的交换机，在这里选择CISCO WS-C3750X-24T-L交换机。它可以在简单低价的平台上提供高性能、多功能的千百万兆以太网交换，方便升级。设备介绍：产品类型：千兆以太网交换机 应用层级：三层 传输速率：10/100/1000Mbps背板带宽：160Gbps包转发率：65.5Mpps交换方式：存储转发扩展模块：1个堆叠扩展插槽传输模式：全双工/半双工自适应端口数量：24口端口类型：24个以太网10/100/1000端口工作温度()0-40）工作湿度10%-90%（非凝结）存储温度()-20-70）存储湿度10%-90%（非凝结）（2） 对于办公楼、厂库区、销售处的交换机，采用CISCO WS-C2950-24。CISCO WS-C2950-24图示：设备介绍：设备类型：快速以太网交换机端口数量：24配置形式：可堆叠交换方式：存储转发背板带宽：8.8GbpsVLAN支持：支持传输模式：全双工传输速率（Mbps）：10/100端口类型：10/100Base-TMAC地址表：8000尺寸(mm) 44524244重量(Kg) 3.0网管功能：SNMP管理信息库(MIB)II，SNMP MIB扩展，桥接MIB(RFC1493)。网络标准 IEEE 802.1x、IEEE 802.3x、IEEE 802.1D、IEEE 802.1p CoS、IEEE 802.1Q、IEEE 802.3ab、IEEE 802.3u、IEEE802.3。8.4 路由器此网络可采用CISCO 1721路由器。设备介绍：设备类型：访问路由器是否有线：有线有线路由器速度：100Mbps有线传输率: 10/100/1000MbpsVPN支持：支持内置防火墙：是固定广域网接口：可选广域网接口WIC卡固定局域网接口：10/100Base-T/TX支持扩展模块数：1适用对象：企业级路由器 模块化接入路由器8.5 服务器（1）中心服务器选择高性能的服务器，以提高网络性能。采用：IBM xSeries 365 6682-6RX。设备介绍：CPU频率：3000MHz处理器描述:标准2个CPU支持CPU个数:4CPU二级缓存:4096KB主板扩展槽：6内存内存类型：PC2100 DDR Chipkill最大内存容量：32GB存储硬盘类型/描述：SCSIIDE控制器：Ultra ATA 33/66/100SCSI控制器：双通道Ultra 320 SCSI光驱：24X软驱：1.44MB 3.5英寸电源性能电源：热插拔电源功率：970W工作湿度：8% - 80%储存温度：-20 - 60储存湿度：5% - 95% （2）各职能服务器技术服务器采用：Acer Altos G700B。功能介绍：产品类型：工作组级产品结构：5UCPU型号：Intel XeonCPU频率：0.533/0.4GHz最大CPU数量：4颗主板芯片组：ServerWorksGC-SL扩展槽：264位133MHz PCI-X插槽；264位100MHz PCI-X插槽；164位66MHz PCI插槽；132位33MHz PCI插槽内存类型：DDR；SDRAM内存容量：1GB最大内存容量：4GB硬盘接口类型：SCSI标配硬盘容量：36光驱：DVD软驱：1.44MB 3.5英寸IDE控制器：双通道RAID卡SCSI控制器：Ultra 320 SCSI系统支持：Microsoft Windows NT Server 4.0,Microsoft Windows 2000 Server,Novell NetWare 5.1,SCO UnixWare 7.1.1,Red Hat Linux v7.1电源数量：1+1个电源电压：220V产品尺寸：425mm (高) X 216mm (宽) X 670mm (深)工作温度：5 - 35（）工作湿度：20% - 80%储存温度：-20 - 60（）储存湿度：5% - 95%8.6 传输介质局域网内采用5类非屏蔽双绞线，主干网采用光纤。第9章 网络规划、设计和集成原则企业总体技术架构主要是由行业数据中心和行业应用集成平台以及信息标准、信息安全和运维组成，共同构成支撑应用系统运行的基础环境。其技术架构的核心内容是数据交换、数据共享、资源管理、应用集成。因此，在企业计算机网络系统的设计，开发及系统集成等环节中必须具有全面细致的系统规划，方案可行性分析等工作。（1）因为企业网对实时性的可靠性的要求很高，所以企业的计算机网络系统的系统设计要遵循以下原则：最优化原则。适应企业的发展特点及网络通讯设备的发展趋势，在主机选择、网络结构设计、网络设备配置、网络管理方式、应用开发等方面具有一定的先进性。系统设计既要方便用户现有的流程及习惯，又要体现出系统优化后的适用性和优越性。可靠性原则。企业的生产运营有其自身固有的一些特点，对数据信息的实用性、安全性要求较高各部门业务相互关联。因此，具有高可靠性和强大有效的容错能力是系统设计的重要前提。网络设计时应当充分考虑系统的冗余。主机，网络系统应满足不断优化、平滑升级的要求，以保护用户的投资。系统遵循国际标准，工业界流行的通行协议及接口和企业行业标准，开放性能好。（2）低投入，高效益原则。结合网络布线系统及实际网络应用的需求，进行网络总体规划。要考虑网络的可扩充性，易管理等要求。在一定的资金资源下，尽量有效的节约成本，提高效率，建立一个尽可能高水平、完善的计算机网络系统。（3）先进性与现实性。该厂的信息量大，要求网络有一定的效率。而且，公司业务可能会扩展，系统的任务会更艰巨，所以，要求有先进性与现实性。（4）系统与软件的可靠性（5）系统的安全性与保密性 数据的多级管理，优良的分级授权安全保密机制也是非常必要的。第10章 软件选择与配置10.1 操作系统服务项目器选择Windows 2000 Advanced Server。（1）有良好的开放性,支持各种软硬件平台。包括所有先进企业和各种应用程序和工具。如：Oracle,SAP R/3。（2）丰富实用的系统管理功能如：网络活动的记录与追踪、资源利用效率的统计分析、网络流量监视功能、任务管理功能、管理向导。（3）强大的Web功能内置的IIS（Internet Information Server 2.0)。内置的Microsoft Front Page主页工具，帮助你很容易设置与管理Web站点。Microsoft Index Server提供HTML与其它各种文件的完整索引、查询功能。（4）丰富的网络服务动态主机配置服务 DHCP（Dynamic Host Configuration Protocol）。域名系统DNS（Domain Name Service）。WINS (Windows Internet Name Service)。远程访问服务RAS（Remote Access Service）。（5）支持多种网络协议。10.2 数据库本公司业务处理量大，安全性高，要求有快速的业务处理能力。由于各个经营部有不同的地理位置，范围分布广，在分布处理业务的同时，必须有集中管理机制。因此，数据库应该有强大的分布式处理能力。另外，数据库必须有内置的用户权限，实现服务器端的安全控制。根据以上特点，决定采用ORACLE数据库，ORACLE SERVER 。ORACLE SERVER是一个智能可编程的RDBMS，是ORACLE 数据库系统的真正核心。它有以下特点：（1）支持联机事务。（2）由服务器集中实现数据完整几天的检查和控制。（3）支持分布式查询和更新。10.3 网络管理软件采用CISCO的Works Blue SNA View 3。0网管软件。第11章 布线方案11.1 采用结构化布线方案。综合布线系统是一个模块化、灵活性极高的建筑物或建筑群内的信息传输系统，是建筑物内的“信息高速公路”。它既