企业网络工程实施方案.doc

企业网络工程实施方案企业网络工程实施方案如何制定?以下是小编收集的企业网络工程实施方案，仅供大家阅读参考!企业网络工程实施方案院系：计算机科学与技术;班级：12网络工程专升本;姓名：李赛一学号:XX081XX4;前言.;1.网络部分的总体要求:.;1.布线结构需求.;1.系统要求.;WEB服务.某代理国外机电产品的公司网络工程项目方案院系：计算机科学与技术班级：12网络工程专升本姓名：李赛一 学号:XX081XX4前言 . 2 一、项目概述 . 21. 网络部分的总体要求: . 2 2. 系统部分的总体要求： . 2 二、需求概述 . 0 三、网络需求 . 01.布线结构需求 . 1 2.网络设备需求 . 2 地址规划 . 2 四、系统需求 . 51.系统要求 . 5 2.网络和应用服务 . 7 WEB服务 . 7 FTP服务 . 7 邮件服务 . 8五、网络安全需求 . 81.网络安全体系要求 . 8 2.网络安全体系设计 . 9前言某代理国外机电产品的公司深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统，已迫在眉睫。根据项目要求来细化为可执行的详细需求分析说明书，主要为针对项目需求进行深入的分析，确定详细的需求状况以及需求模型,作为制定技术设计方案、技术实施方案、技术测试方案、技术验收方案的技术指导和依据一、项目概述1. 网络部分的总体要求:公司信息化的要求,为各类应用系统提供方便、快捷的信息通路。 的性能，能够支持大容量和实时性的各类应用。能够可靠的运行，较低的故障率和维护要求。公司信息安全的要求。2. 系统部分的总体要求：易于配置：所有的客户端和服务器系统应该是易于配置和管理的，并保障客户端的方便使用;更广泛的设备支持：所有操作系统及选择的服务应尽量广泛的支持各种硬件设备;稳定性及可靠性：系统的运行应具有高稳定性，保障7*24的高性能无故障运行。可管理性：系统中应提供尽量多的管理方式和管理工具，便于系统管理员在任何位置方便的对整个系统进行管理;更低的TCO：系统设计应尽量降低整个系统和TCO(拥有成本); 安全性：在系统的设计、实现及应用上应采用多种安全手段保障网络安全; 良好的售后服务支持。除了满足上述的基本特征外，本项目的设计还应具有开放性、可扩展性及兼容性，全部系统的设计要求采用开放的技术和标准选择主流的操作系统及应用软件，保障系统能够适应未来几年公司的业务发展需求，便于网络的扩展和公司的结构变更。二、需求概述在设计方案时，无论是系统或网络都严格遵循以下原则，以保障方案能充分满足公司的需求。先进性和实用性原则 高性能原则 经济性原则 可靠性原则 安全性原则 可扩展性原则 标准化原则 易管理性原则三、网络需求公司网项目必须实现以下的功能需求：建设一个通畅、高效、安全、可扩展的公司网络，支撑公司信息系统的运行，共享各种资源，提高公司办公和公司生产效率，降低公司的总体运行费用。网络系统必须运行稳定。公司园区网需要满足公司各种计算机应用系统的大信息量的传输要求。公司园区网要具备良好的可管理性。减轻维护人员的工作量，提高网络系统的运行质量。公司园区网要具有良好的可扩展性。能够满足公司未来发展的需要，保护公司的投资。整个项目的施工，系统集成商要精心组织、严格管理、定期提交各类项目文档。在项目实施完毕之后，系统集成商要对公司的相关人员进行培训，并移交全部的项目工程资料，保证公司园区网的正常运行和管理维护。1.布线结构需求公司目前某代理国外机电产品的公司有一幢四层办公办事处，分别设立研发一部和研发二部，每部门30人左右，预计未来5年将增加到每部门60人，另外公司还设有人事部、营销部、企划部、财务部、秘书处和总经理办公室等，总体员工人数在300人左右。 公司在其他大城市派驻有7个办事处，负责产品销售、技术支持和产品调研等，需要给公司获取和反馈最新信息。光纤+超五类综合布线系统，500个左右信息点;公司计划为大部分的员工配置办公用计算机;公司目前有多种计算机应用系统。4层办公办事处，都具有一样的内部物理结构。一层设有本办事处的机房，一办事处布有少量的信息点，供未来可能的需求使用，目前并不使用(不包括公司总部所在的办事处)。每层办事处布有100个信息点。每层办事处有一个设备间。办事处内综合布线的垂直子系统采用多模光纤，每层办事处到一层机房有两条12芯室内光纤。每个办事处和公司总部之间通过两条12芯的室外光缆连接。要求将除一层以外的全部信息点接入网络，但目前不用的信息点关闭。公司总部所在办事处的一层，是公司的主机房，布有48个信息点，但目前只有20台左右的服务器和工作站。公司园区正在后期建设中，不存在遗留的网络系统。公司原有少量的网络设备，可以不作考虑或者用作临时的补充之用。2.网络设备需求;公司园区网计划采用10M的光纤以太网接入到因特网;根据公司的网络功能需求和实际的布线系统情况，系统;网络设备必须在技术上具有先进性、通用性，必须便于;地址规划;公司园区网计划使用私有的A类IP地址;公司使用IPv4地址方案;公司使用私有IP地址空间：/8;公司使用VLSM(变长子网掩码)技术分配IP地址;公司IP地址2.网络设备需求公司园区网计划采用10M的光纤以太网接入到因特网服务提供商的网络，然后接入到因特网中，使公司实现与外界的信息交换和网络通信。公司统一一个出口访问Internet，公司能够控制网络的安全。根据公司的网络功能需求和实际的布线系统情况，系统集成商需要给出设备选择的合理建议，包括办事处层接入交换机、子公司主交换机、公司核心交换机等。其中，办事处层接入设备需要选择同一型号的设备;子公司主交换机可以根据需要通过堆叠方式进行灵活的升级扩容;核心交换机需要具有升级到720Gbps可用背板带宽的能力。网络设备必须在技术上具有先进性、通用性，必须便于管理、维护。网络设备应该满足公司现有计算机设备的高速接入，应该具备未来良好的可扩展性、可升级性，保护用户的投资。网络设备必须具有良好的在满足功能与性能的基础上性能价格比最优。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品，同时设备厂商必须要有良好的市场形象与售后技术支持。地址规划公司园区网计划使用私有的A类IP地址。公司园区网的IP地址分配原则如下：公司使用IPv4地址方案。公司使用私有IP地址空间：/8。公司使用VLSM(变长子网掩码)技术分配IP地址空间。公司IP地址分配满足合理利用的要求。公司IP地址分配满足便于路由汇聚的要求。公司IP地址分配满足分类控制等的要求。公司IP地址分配满足未来公司网络扩容的需要。公司园区网的IP地址的一些具体使用规定：了网化后，所有的第一个子网(0子网)都不分配给用户使用。网关的地址统一使用子网的最后一个可用地址。IP地址的使用需要报公司总部审批备案。具体配置如下：机构 IP地址/地址范围 说明总部 *.252/24 1号办事处接入层交换机管理IP地址(*表示从97至102对应4层办公办事处)?/32 非二层交换机的Loopback地址(*表示1至7连接办公区域、服务器区域、核心区域的6台交换机以及边界路由器)*.1 *.251/24 各层客户端DHCP地址范围(*表示从97至102对应4层办公办事处 )*.252、253/24 1号办事处汇聚层交换机对应每一Vlan的IP地址(*表示从97至102对应Vlan12至17)*.254/24 1号办事处汇聚层交换机对应每一Vlan的虚拟IP地址即网关IP地址(*表示从97至102对应Vlan12至17)、2/30 核心层交换机之间互联IP地址、6/30 服务器区块汇聚层交换机互联IP地址、18/30 服务器区块汇聚层交换机与核心层交换机互联IP地址1、22/30 服务器区块汇聚层交换机与核心层交换机互联IP地址2、26/30 路由器与核心层交换机互联IP地址1、30/30 路由器与核心层交换机互联IP地址2、34/30 路由器与防火墙互联IP地址、38/30 1号办事处聚层交换机互联IP地址、42/30 2号办事处汇聚层交换机互联IP地址、46/30 3号办事处汇聚层交换机互联IP地址、50/30 4号办事处办事处汇聚层交换机互联IP地址、54/30 5号办事处汇聚层交换机互联IP地址、58/30 6号办事处汇聚层交换机互联IP地址、62/30 7号办事处汇聚层交换机互联IP地址、66/30 网管工作站及相应的网关地址、2/27 域控/DNS服务器主备IP地址、4/27 NAS服务器主备IP地址、6/27 Web/Mail服务器主备IP地址子公司1 *.252/24 2号办事处接入层交换机管理IP地址(*表示从97至102对应4层办公办事处)、2/32 三层交换机的Loopback地址*.1 *.251/24 各层客户端DHCP地址范围(*表示从97至102对应4层办公办事处)*.252、253/24 2办事处汇聚层交换机对应每一Vlan的IP地址(*表示从97至102对应Vlan12至17)*.254/24 2号办事处汇聚层交换机对应每一Vlan的虚拟IP地址即网关IP地址(*表示从97至102对应Vlan12至17)/27 子域服务器IP地址/27 Mail服务器IP地址子公司2 *.252/24 2号办事处接入层交换机管理IP地址(*表示从97至102对应2至7层)、2/32 三层交换机的Loopback地址*.1 *.251/24 各层客户端DHCP地址范围(*表示从97至102对应2至7层)*.252、253/24 2号办事处汇聚层交换机对应每一Vlan的IP地址(*表示从97至102对应Vlan12至17)*.254/24 2号办事处汇聚层交换机对应每一Vlan的虚拟IP地址即网关IP地址(*表示从97至102对应Vlan12至17)/27 子域服务器IP地址/27 Mail服务器IP地址子公司3 *.252/24 2号办事处接入层交换机管理IP地址(*表示从97至102对应2至7层)、2/32 三层交换机的Loopback地址*.1 *.251/24 各层客户端DHCP地址范围(*表示从97至102对应2至7层)*.252、253/24 2号办事处汇聚层交换机对应每一Vlan的IP地址(*表示从97至102对应Vlan12至17)*.254/24 2号办事处汇聚层交换机对应每一Vlan的虚拟IP地址即网关IP地址(*表示从97至102对应Vlan12至17)/27 子域服务器IP地址/27 Mail服务器IP地址四、系统需求本项目的实施目的是在公司内部建立稳定、高效的办公自动化网络，通过项目的实施，为所有员工配置桌面PC，使所有员工能通过总部网络接入Internet，从而提高所有员工的工作效率和加快企业内部的信息传递。同时需要建立公司的WEB服务器，用于在互联网上发布企业的信息。在总部及每个子公司均设立专用的服务器，使公司内所有员工能够利用服务器方便的访问公共的文件资源，并能够完成企业内外的邮件收发。系统建立完成后，要求能满足企业各方面应用的要求，包括办公自动化、邮件收发、信息共享和发布、员工账户管理、系统安全管理等。1.系统要求 公司原有少量笔记本电脑及PC机，由各级经理及财务部门使用，操作系统均为Windowsxp，为了满足企业信息化建设的需要，公司将在本项目中更新所有的操作系统。本项目中的操作系统应选择占市场份额最大的主流操作系统，整个网络(服务器、客户机)采用同一厂商的操作系统产品，所选择的操作系统应简单蝗用，便于安装和管理。具体选择应依据如下规则：操作系统要求选择最新版本所选操作系统需要提供方便的更新与升级方法服务器操作系统需要能够提供目录服务功能服务器及客户机操作系统都需要支持TCP/IP协议所选操作系统应能够方便的实现用户和权限的管理秘选操作系统应能够运行常用的大多数应用软件，例如办公软件、图像处理软件、CAD财务软件等服务器操作系统应能够提供WEB、FTP、DNS服务及完善的管理功能操作系统厂商应能够提供优质的售后服务及技术支持客户端操作系统要求简单易用，提供图形界面 随着公司近年来的高速发展，公司的业务已经涉及到各个商业领域，公司及公司内部的组织结构也日益复杂，在本项目的设计实施过程中，要求工程实施方在规划系统设计时，充分考虑到公司管理的需求，设计出合理的系统管理架构，能够最大程度的降低公司的系统管理上的成本，并能满足各种商务工作的需求，具体的设计应依据以下原则：清晰的逻辑结构：要求公司范围内的系统管理结构清晰，层次分明，能够充分的与公司的管理结构想吻合。公司总部及各个子公司应是相对独立的管理单元。各个单位在自己公司范围内实现用户账户及网络安全的管理。总部管理员有权限管理各子公司的系统。便于管理：整个系统设计要便于网络管理员管理，在系统中提供便于管理员管理的各种有效方式。使管理员工在任何一个位置均能对服务器进行维护和管理。公司总部及各子公司都有自己的专职系统管理员，应保障管理员对只对本公司网络具有管理权限。总部管理员对公司所有系统具有管理权限。简单的设计：在保障满足公司需求的前提下，设计方案应以简单为佳，避免由于复杂的设计增加工程实施的难度和增加公司系统管理的复杂性。合理的用户管理：所有的用户采用统一的命名规范，每个单位对本单位员工账户进行独立的管理，并按不同的部门管理用户账户。2.网络和应用服务;WEB服务;随着企业业务的不断拓展，公司在业界的影响力越来越;公司WEB服务器放置在总部机房，子公司WEB服务;WEB服务器具有固定的IP地址配置;WEB网站允许匿名访问;网站的文件存储应具备良好的安全性;允许互联网及公司内部的用户可以通过;FTP服务;为了实现公司内部的文件存储和管理，公司计划采用两;FTP服务器具有固2.网络和应用服务 WEB服务随着企业业务的不断拓展，公司在业界的影响力越来越大，越来越多的商业合作伙伴和客户需要从互联网上了解公司的信息，并希望通过互联网进行商务合作。为了进一步提高企业知名度并在互联网发布公司及子公司的商业信息，公司计划在网络中建立WEB服务器，公司已经宴请了域名。公司下属子公司也在Internet上注册了域名。其他子公司不需要建立自己的WEB服务器。所有的网站内容已经制作完毕。详细的需求如下所述：公司WEB服务器放置在总部机房，子公司WEB服务器放置在该公司机房 WEB服务应和操作系统具有良好的兼容性，避免由于服务的不兼容影响性能和稳定性WEB服务器具有固定的IP地址配置WEB网站允许匿名访问网站的文件存储应具备良好的安全性允许互联网及公司内部的用户可以通过访问公司及子公司网站 FTP服务为了实现公司内部的文件存储和管理，公司计划采用两种方式管理文件资源，总部及各子公司设立自己的文件服务器，上项工作由各单位的系统管理员自行完成。另外，总部及各子公司建立自己的FTP服务器，此项工作包含在本项目中，由工程实施单位完成。FTP服务的建立要求具备足够的存储空间用于存储各单位的文档资料及应用软件并能够实现利用FTP客户端软件及WEB浏览器访问。具体的需求如下所述：FTP服务器具有固定的IP地址采用所选操作系统自带的FTP服务建立FTP服务器，不采用第三方软件 FTP服务器允许本公司内部员工下载只允许系统管理员上传文件到FTP服务器FTP服务器不对互联网用户开放FTP服务器需要设置合理的权限，保障公用文件不被非法的删除和改写 邮件服务随着公司规模的不断扩大，企业内部的信息交流变得越来越重要，企业迫切的需要建立内部的消息传递平台，用于让员工之间方便的传输各种文件、数据和其他消息。公司计划在本项目中利用邮件服务实现企业内部的消息传递平台，需要在公司总部及各子公司建立邮件服务器，允许所有员工方便的收发电子邮件。并且通过公司的邮件服务器，员工也可以和外部的用户之间收发电子邮件。具体的需求如下：总部及各子公司均建立邮件服务器公司内的邮件服务之间能够互相转发邮件每名员工均有公司统一分配的邮箱所有员工能够利用自己的电子邮件与外部用户通信所有员工发送邮件附件的大小不能超过4MB所有员工能够利用outlook、outlook express、web浏览器收发邮件。类接口、技术的选择，以方便未来更灵活的扩展。五、网络安全需求1.网络安全体系要求网络的安全性对网络设计是非常重要的，合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问，灵活的实施网络的安全控制策略。在企业园区网络中，关键应用服务器、核心网络设备，只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限，网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模园区网络的设计上，划分虚拟子网，一方面可以有效的隔离子网内的大量广播，另一方面隔离网络子网间的通讯，控制了资源的访问权限，提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力，使网络可以任意连接，又可以从第二层、第三层控制网络的访问。2.网络安全体系设计控制端口console管理思科安全管理器 (CS-Manager) VPN支持 选择该型号是因为价格适中,且功能齐全,较适合本校园网建设。 在内部网络和外网之间之间通过防火墙，建立起一个DMZ 区。与外网关联业务的服务器都可以放在DMZ 区，Internet 上的用户只能到达DMZ区相应的服务器。并且内部网络到Internet 的连接，是通过NAT 地址翻译的方式进行，可以充分隐藏和保护内部网络和DMZ区设备。防火墙在内外网络连接中起两个作用：利用访问控制列表(Access Control List ，ACL)实安全防护防火墙操作系统IOS 通过访问控制列表(ACL)技术支持包过滤防火墙技术，根据事先确定的安全策略建立相应的访问列表，可以对数据包、路由信息包进行拦截与控制，可以根据源/目的地址、协议类型、TCP 端口号进行控制。这样，我们就可以在Extranet 上建立第一道安全防护墙，屏蔽对内部网Intranet 的非法访问。例如，我们可以通过ACL 限制可以进入内部网络的外部网络甚至是某一台或几台主机;限制可以被访问的内部主机的地址;为保证主机的安全，可以限制外部用户对主机的一些危险应用如TELNET 等。利用地址转换(Network Address Translation，NAT)实现安全保护防火墙另外一个强大功能就是内外地址转换。进行IP 地址转换由两个好处：其一是隐藏内部网络真正的IP 地址，这可以使黑客(hacker)无法直接攻击内部网络，因为它不知道内部网络的IP 地址及网络拓扑结构;另一个好处是可以让内部网络使用自己定义的网络地址方案，而不必考虑与外界地址冲突的情况。地址转换(NAT)技术运用在内部主机与外部主机之间的互相访问的时候，当内部访问者想通过路由器外出时，路由器首先对其进行身份认证-通过访问列表(ACL)核对其权限，如果通过，则对其进行地址转换，使其以一个对外公开的地址访问外部网络;当外部访问者想进入内部网时，路由器同样首先核对其访问权限，然后根据其目的地址(外部公开的地址)，将其数据包送到经过地址转换的相应的内部主机。 在XX学院网络工程和今后各种应用系统的建设过程中，在局域网上我们可以根据不同部门、不同业务类别划分VLAN(虚网)，通过把不同系统划分在不同VLAN的方式，将各系统完全隔离，实现对跨系统访问的控制，既保证了安全性，也提高了可管理性。VLAN(虚网)技术和VLAN 路由技术VLAN 技术用以实现对整个局域网的集中管理和安全控制。CISCO 局域网交换机的一大优势是具备跨交换机的VLAN(虚网)划分和VLAN 路由功能。虚网是将一个物理上连接的网络在逻辑上完全分开，这种隔离不仅是数据访问的隔离，也是广播域的隔离，就如同是物理上完全分离的网络一样，是一种安全的防护。通过VLAN 路由实现对跨部门访问的控制，既保证了安全性，也提高了可管理性。Inter-VLAN Routing 原理每一个VLAN 都具有一个标识，不同的VLAN 标识亦不相同，交换机在数据链路层上可以识别不同的VLAN 标识，但不能修改该VLAN 标识，只有VLAN标识相同的端口才能形成桥接，数据链路层的连接才能建立，因而不同VLAN的设备在数据链路层上是无法连通的。Inter-VLAN Routing 技术是在网络层将VLAN标识进行转换，使得不同的VLAN 间可以沟通，而此时基于网络层、传输层甚至应用层的安全控制手段都可运用，诸如Access-list (访问列表限制)、FireWall(防火墙)、TACACS+等，Inter-VLAN Routing 技术使我们获得了对不同VLAN 间数据流动的强有力控制。MAC 地址过滤策略在内部网中还可以利用Cisco 交换机的MAC 地址过滤功能对局域网的访问提供链路层的安全控制。MAC 地址过滤能进一步实现对局域网的安全控制。CISCO局域网交换机具有MAC 地址过滤功能，通过在交换机上对每个端口进行配置，可以禁止或允许特定MAC 地址的源站点或目的站点，从而实现各站点之间的访问控制。由于每块网卡有唯一的MAC 地址，是固定不变的，只允许特定MAC 地址的工作站通过特定的端口进行访问，所以对MAC 地址的访问控制实际上就是对指定工作站这一物理