江州市政务网系统设计.doc

江州市政务网系统设计 前 言近年来网络质量稳步提高，所有的要求也大幅度的上升，备受广大人民群众的欢迎。多年来在不断发展中为社会培养了大量的人才，而我国正处于建设中国特色社会主义阶段，为了更好、更快的传达党中央的重要文件和会议精社，推进城乡建设，提高广大群众的生活水平，河北省江州市市委市政府对电子政务非常的重视，以前的网络已经不能够满足当前的要求，将对定对机要局进行一次全面的升级。以求对数据信息和语音信息更高的要求，所有地方政务人员不用到县、市政府统一开会，在当地打开电脑即可。 本设计方案不仅在技术上体现出符合城乡建设网络发展方向的先进性，更重要的是突出体现了面向应用、以应用为核心的设计理念。建设核心目标就是应用。针对政府机关关键就是数据、语音和视频基础网上的应用。在这方面，我公司经过长年在政府和教育行业技术的积累和对其的认识，特别是政府机关配置了一套非常先进的网络系统，该网络首先是建立一个高速、先进的以太网平台。系统采用模块化的结构设计，各子系统结构相对独立、功能充分互补。系统建设既可全面上马、一步到位，亦可根据政府和地方的资金及需求情况分阶段建设或选建部分子系统。无论是一步到位还是分步实施，整个系统都能有机配合、功能互补，协调一致。不会造成重复建设或系统冲突，非常适用于从全局出发、从长远规划角度出发进行信息化网络建设。本方案以“建网、建库、建队、建制”为主导思想，给江州市政府提供了一个整体的网络规划和解决方案，根据江州市政府的具体需求，我们对每一部分都做了特别设计，最大限度地贴近政府机关日常的应用需求，虽然我们尽量考虑了其中的每一个细节，但疏漏之处仍会在所难免，敬请有关领导和专家审阅，并提出宝贵意见和建议；服务于国家是我们的立身之本，我们真诚希望河北省江州市政务网网络建设取得圆满成功！第一章 概 述1.1项目背景 为了提高政府内部工作效率，加速信息化办公，河北省江州市决定建设一个覆盖全市4个区县(沧县、青县、景县、丘县)的局域网。基本情况如下:1.市委机要局机房作为整个网络的中心机房，为了保证网络的安全和保密性从市到区县均采用电信提供的专线连接。2.其中市到4个区县都是电信专线DHE线路。3.市级用户包含市委市政府两栋大楼里的所有用户。原来的网络为大家上互联网用的，为了网络安全，本次局域网内网系统，全部新建。1号办公大楼有6层，楼层高为3米，楼长度为60米，每层用户数量为在75个信息点，其中网络中心设在3层中间的房间。2号办公大楼为5层，楼层高为3米，楼长度为70米，每层用户数量为45个信息点。4.县级用户包含县委、县政府两栋楼。每栋楼有4层，每层楼用户数量大概在20人左右。1.2项目范围 江州市以及覆盖全市4个区县(沧县、青县、景县、丘县)。市级用户包含市委市政府两栋大楼里的所有用户。原来的网络为大家上互联网用的，为了网络安全，本次局域网内网系统，全部新建。1.3项目目标 中国网络的发展历程，从无到有，从小到大的进行每一步，为我国带来了巨大的改变。为了全面加强小康社会的建设，进一步建设中国特色社会主义，现今河北省江州市为了提高政府内部工作效率，加速信息化办公，决定建设一个覆盖全市4个区县的政务网，将内部网络进行改造，以便于将国家的最新政策传到地方。 针以目前信息系统的发展，对基础网络的依赖程度越来越高，保障其各个业务系统稳定、高效的运行。这就需要一个可靠、安全、高效、集成的网络平台来承载其业务的应用。1.4. 项目设计要求 1、要求设计市委机要局办公1号大楼的综合布线示意图和网络整体分布示意图、光缆选材及配件选用等. 2、画出网络综合设计拓扑结构图，并标明设备数量及所选设备的基本规格。 3、针对该案例做出解决方案，方案中必须包括：设计原则、设计思路、信息点统计表、需求分析、综合布线设计、网络规划设计、项目实施计划、售后服务承诺等内容。 4、做出IP地址规划说明，VLAN划分说明 5、要求根据项目需求做出设备配置清单（包含综合布线设备清单和网络平台配置清单，具体选材见附件的可选设备材料单）。1.5. 要求完成主要内容 1、综合布线示意图 2、网络拓扑结构图 3、方案设计的思路 4、项目的实施计划 5、IP地址规划说明 6、V-LAN划分说明 7、整体方案的设计8、设备配置清单1.6. 方案设计原则（1）先进性与实用性原则采用的技术应是业界先进的，选用的设备和软件应是国内外著名厂商的主流的、先进的产品，但又不盲目追求高、洋、全。适应地方投资能力，既先进有实用。能满足性能要求，易于操作、管理和维护。（2）标准化与开放性原则选用的设备、软件和通讯协议符合国际标准或工业标准。由于地方的与信息化建设有关的楼栋早已经建成，不能完全采用结构化综合布线标准，但应尽量靠近标准。要使网络硬件环境、软件环境、通讯环境、操作平台与高层应用系统之间的相互依赖性减至最小，便于发挥各自的优势。（3）开放性体现在以下方面 能适应计算机硬、软件技术的迅速发展。硬件上简便的重新组合能够支撑新环境要求和适应新技术的发展。 底层应用系统支撑软件的版本升级对高层应用系统的影响应局限在可控制的范围内或无影响。能适应地方管理体制和组织结构的变化。能采用VLAN（虚拟网络）技术划分网络。应用系统能适应用户发展的新要求，易于修改和扩展新功能。（4）可靠性与安全性原则采用最新的各种容错技术，使网络系统有较高的可靠性。系统对各级网络有监测和管理能力。采用网络安全技术、链路控制协议、“防火墙”等安全控制措施。主设备能进行在线修复、更换和扩充。主设备专线 UPS供电。在设备间供电线路采用地线。网络通讯线路在户外一律采用光缆。电力线路应有防雷电措施。（5）经济性与可扩充性原则在达到总设计目标的前提下，争取高的性能/价格比，力争少花钱，多办事。同时网络应有良好的可扩充性，随着网络技术的不断发展和增加新的任务、扩充新的能力，系统应能方便升级且能最大的限度保护现有的投资。（6） 可维护性 网络系统便于管理和维护，可随时对系统进行维护和检测，以确保网络系统的安全性。（7） 灵活性 系统结构必须灵活，便于日后需要对网络进行调整时可随时满足要求，而不必重新大幅度更改。（8） 可靠性 系统具备网络诊断、测试和在线故障恢复能力，关键设备、线路能做到实时备份和自动故障切换，保证网络时时都正常工作。（9） 高性价比性 一次性投资，永久受益，用最少的投资获取最大的收益。第二章 用户需求2.1. 技术目标 网络隔离： 充分利用交换机的交换路由功能，根据业务管理需要划分VLAN； 防火墙技术； 虚拟专用网络（VPN）技术； 病毒防治技术 主要运用内网（局域网）技术。2.2用户需求的基本情况 （1）市委机要局机房作为整个网络的中心机房，为了保证网络的安全和保密性从市到区县均采用电信提供的专线连接。 （2）其中市到4个区县都是电信专线DHE线路。 （3）市级用户包含市委市政府两栋大楼里的所有用户。原来的网络为大家上互联网用的，为了网络安全，本次局域网内网系统，全部新建。 （4）1号办公大楼有6层，楼层高为3米，楼长度为60米，每层用户数量为在75个信息点，其中网络中心设在3层中间的房间。 （5）2号办公大楼为5层，楼层高为3米，楼长度为70米，每层用户数量为45个信息点。县级用户包含县委、县政府两栋楼。每栋楼有4层，每层楼用户数量大概在20人左右。2.3. 信息点统计表 市 县楼 栋信息点数（个）江州市1号楼4502号楼225 沧 县县委楼80县政府楼80青 县县委楼80县政府楼80景 县县委楼80县政府楼80丘 县县委楼80县政府楼80总 计13152.4. 技术实现分析 针对以上用户需求，我们从几个方面考虑方案设计的要点：（1）在技术上要合理、准确、全面、完整实现需求（2）充分考虑所有县和乡镇将来的发展，预留扩展空间（3）兼顾当地的现实情况，尽可能对当地地方已有的资源利用（4）设备选型恰当、价格合理 2.4.1 综合布线设计要点设计一个完整的布线方案，一次将所有需要的线统一设计。考虑目前的技术发展现状与应用需求情况，设计中遵照信息传输以千兆为主干，百兆到桌面的原则。其中市到4个区县都是电信专线DHE线路，各个区县到乡镇为1根2M的E1链路。户外就用光纤连接，可以有效的防止雷电破坏设备和干扰，并且保证千兆主干容量。由于用户的楼内信息点之间的距离一般均小于100米，应采用超5类双绞线，不仅能满足当前的需求，也能满足今后的需求。2.4.2 计算机网络平台设计要点根据河北省江州市政务网的分布情况、信息点的需求、用户对网络功能的需求，我们认为必须构建一个高速的计算机网络平台，以使数据信息、视频信息、音频信息都能无障碍的传输和处理。选择网络主干为千兆光纤以太网，百兆以太网到用户桌面。为了提供网络管理和基本的网络应用系统，如WWW、FTP、E-mail、BBS等各种网络服务，需要配置相应的服务器。为了能实现与CERNET、Internet联网，必须配置相应的路由器。第三章 综合布线设计由于综合布线属于政府信息化建设的一项基础内容之一，所以在网络环境构建中属于首要考虑的项目，在河北省江州市电子政务内网规划之首，和政府的楼宇建设一样，综合布线和网络平台建设都属于网络建设中的基础建设，所以在本次项目建设中是整体性解决方案的一个重点环节。3.1. 综合布线概述智能化建筑通常具有四大主要特征，即楼宇自动化（Building Automation,缩写BA）、通讯自动化(Communication Automation,缩写CA)、办公自动化(Office Automation, OA)、布线综合化。结构化综合布线系统(Structured Cabling Systems,缩写SCS)采用模块化设计和分层星型拓扑结构。它能适应任何大楼或建筑物的布线系统。其代表产品是建筑与建筑群综合布线系统（PDS）。PDS一般采用模块化设计和物理分层星型拓扑结构，传输语音、数据、图像以及各控制信号。综合布线系统是一个组合压接方式、模块化结构、星形布线并且具有开放特征的布线系统。它包括工作区子系统、水平布线子系统、管理子系统、干线子系统、建筑群子系统、设备间子系统、如下图所示。图一3.1.1 工作区子系统工作区子系统又可称为服务区子系统(Coverage area)，它由RJ-45插座和其所连接的设备（终端或工作站）组成。综合多媒体的工作区子系统包括用户跳线与信息出口：（1）对于所有直接做到信息终端的数据和语音信息点，我们选择了超五类信息模块，安装方便简单，这对维护保养极其重要。（2）该模块的端接点具有并接功能，可进行在线测试和电话串接。 （3）信息插座面板具有标识，以色标和编号表示插座类型以及所在区。图二3.1.2 水平布线子系统水平布线子系统也称为水平子系统(Horizontal)。水平布线子系统是整个布线系统的一部分，它由RJ-45插座开始到管理子系统的配线架,结构一般为星形。它与干线子系统的区别在于水平布线子系统总是在一个楼层上，并与信息插座连接。在综合布线系统中，水平子系统由4对UTP（非屏蔽双绞线）组成，能支持大多数现代化通信设备。如果需要某些宽带应用，可以采用光缆。从用户工作区的信息插座开始，水平布线子系统在交叉连接处连接，或在小型通信系统中在以下任何一处进行互连：远程通信（卫星）接线间、干线接线间或设备间。在设备间中，当终端设备位于同一楼层时，水平布线子系统将在干线接线间或远程通信（卫星）接线间的交尺连接处连接。对于水平子系统，综合布线的设计必须具有全面介质设施方面的知识，能够向用户或用户的决策者完善而又经济的设计。3.1.3 管理子系统管理子系统(Administration)由交连和I/O组成。管理点为连接其他子系统提供手段。它是连接干线子系统和水平子系统的设备，其主要设备是配线架。交连和互连允许将通信线路定位或重定位在建筑物的不同部分，以便能更容易地管理通信线路。I/O位于用户工作区和其他房间或办公室,使在移动终端设备时能够方便地进行插拔。使用跨接线或插入线时,交叉连接允许将端接在单元一端电缆上的通信线路连接到端接在单元另一端电缆上的线路。跨接线是一根很短的单根导线，可将交叉连接处的二根导线端点连接起来。插入线包含几根导线，而且每根导线末端均有一个连接器。插入线为重新安排线路提供一种简易的方法。互连完成交叉连接的相同目的，但不使用跨接线或插入线，只使用带插头的导线、插座、适配器。互连和交叉连接也适用于光纤。在远程通信（卫星）接线区，如安装在墙上的布线区，交叉连接可以不要插入线，因为线路经常通过跨接连到I/O上的。3.1.4 干线子系统干线子系统提供建筑物干线电缆的路由，它通常是在两个单元之间，特别是在位于中央点的公共系统设备处提供多个线路设施。该子系统由所有的布线电缆组成，或由导线和光纤以及将此光纤连到其他地方的相关支撑硬件组合而成。传输介质可包括一幢多层建筑物楼层之间垂直布线的内部电缆或从主要单元（如计算机房或设备间）和其他干线接线间来的电缆。为了与建筑群的其他建筑物进行通信，干线子系统将中继线交叉连接点和网络接口（由电话局提供的网络设施的一部分）连接起来。网络接口通常放在设备相邻的房间。干线子系统还包括：（1）干线或远程通信(卫星)接线间和设备间之间的竖向或横向电缆走向用的通道；（2）设备间和网络接口之间的连接电缆或设备与建筑群子系统各设施间的电缆；（3）干线接线间与各远程通信(卫星)接线间之间的连接电缆；（4）主设备间和计算机主机房之间的干线电缆。3.1.5 建筑群子系统建筑群子系统也可称校园(Campus Backbone)子系统，它是将一个建筑物中的电缆延伸到另一个建筑物的通信设备和装置，通常也是由光缆和相应设备组成。建筑群子系统是综合布线系统的一部分，它支持楼宇之间通信所需的硬件，其中包括导线电缆、光缆以及防止电缆上的脉冲电压进入建筑物的电气保护装置。在建筑群子系统中，会遇到室外敷设电缆问题，一般有三种情况：架空电缆、直埋电缆、地下管道电缆，或者是这三种的任何组合。具体情况应根据现场的环境来决定。3.1.6 设备间子系统 设备间子系统也称设备（Equipment）子系统。设备间子系统由电缆、连接器和相关支撑硬件组成，它把各种不同设备互连起来，包括邮电部门的光缆、同轴电缆、程控交换机等。3.2. 综合布线系统设计图 3.2.1 综合布线系统结构根据河北省江州市政务网建设的基本需求和各县乡信息点的分布情况，本方案设计综合布线系统采用三级星型结构，以下是河北省江州市政务网建设网络整体分布示意图，此设计图经过了严格的技术论证，如有不同意见，希望共同作出进一步的修改（见下图）。图三 河北省江州市电子政务内网建设网络整体分布示意图 从图中可以看出，市委为整个网络的中心，其中市到4个区县都是电信专线DHE线路，各个区县到乡镇为1根2M的E1链路。 由于在整个工程中每栋建筑内的综合布线部分大体上相同，这里就根据市委1号办公大楼为基础，画出具体的综合布线布线示意图。1号办公大楼有6层，楼层高为3米，楼长度为60米，用户数量为在75个信息点，其中网络中心设在3层中间的房间。（见下图） 图四 综合布线布线示意图 上图为市委1号办公大楼综合布线示意图，从图中可以看到由于整栋楼信息点数量不多，根据楼层实际的长和高来设立楼层配线间，由于整栋楼长度为60米高度为3米，根据水平线缆最长距离不超过90米的原则在整栋楼设立两个配线间，1到3楼共用2楼配线间，4到6楼共用5楼配线间，水平区采用超五类非屏蔽双绞线进行布放，在楼层管理间到中心机房属于垂直干线子系统，采用4芯多模1000M光纤进行主干的连接。其他政府办公大楼参照此图，根据实际情况进行楼内系统建设。3.2.2 结构化综合布线产品选择由于综合布线对于政府来讲属于网络的基础建设之一，非常重要，如果采用不合格的产品或者假冒伪略产品，将给用户带来非常严重的后果，目前市场上布线产品中国际品牌的假冒产品比较多，非专业用户根本无法分辨其真伪，所以建议使用一些比较可靠的品牌：本次综合布线产品厂商选择的是VCOM。超五类非屏蔽双绞线推荐选用：VCOM 配线架推荐选用VCOM系列产品光缆及光缆固定件均推荐选用国产知名品牌：VCOM机柜推荐选用VCOM品牌PVC管槽及附件推荐选用VCOM品牌3.3. 网络整体分布示意图图五图六 区县大楼综合布线图3.4. 结构化综合布线子系统设计3.4.1 工作区子系统设计 工作区子系统由RJ-45插座和其所连接的设备（终端或工作站）组成。8针模块化信息输入/输出(I/O)插座是为所有的综合布线系统推荐的标准I/O插座。标准的8针结构为单一I/O配置提供了支持数据语音、图像或三者的组合所需的灵活性。在终端（工作站）一端,将带有8针的插头软线插入插座。每根4对双绞线都必须终接在工作区的一个8脚(针)的模块化插座(插头)上。 （1）设备选取：选用RJ45插座，产品形式统一。选用标准面板。 （2）安装位置：工作区设备安装位置有三种：安装在墙上、安置在地上、安装在桌上。 由于本方案是二次施工，所以在本设计方案中需要走明线,办公室的RJ45插座都安装在墙上，具体位置根据实际情况而定。3.4.2 水平布线子系统设计水平子系统是综合布线结构的一部分。它由每层配线间至信息插座的配线电缆和工作区用的信息插座等组成。 （1）水平子系统采用4对双绞线，电缆沿大楼的地板或顶棚布线。 （2）水平子系统根据整个综合布线系统的要求，应在二组交接间、交接间或设备间的配线设备上进行连接。 （3）每个4对线电缆必须都终接在工作区的一个8脚（针）的模块化插座（插头）上。 （4）针对该校的具体情况，楼内水平走线采用明敷方式，超5类双绞线敷设在PVC管中，下连工作区子系统的RJ45插座。为了方便维护和对线路的检查，建议对于水平子系统的线缆以PVC线槽方式固定。3.4.3 管理子系统设计管理子系统为连接其他子系统提供手段。它是连接干线子系统和水平子系统的设备，其主要设备是配线架。根据该校各楼层信息点的数量，选用不同的配线架。1、网管中心与管理间的设计1）市委机要局1号楼三楼机房作为整个网络的中心机房，整个网管中心铺设防静电地板，所有线懒、光缆全部从地板以下穿行。2）市委网络的中心的要求室内有电源、卫生、干燥、安全。3）市委网络的中心与其县网络中心管理间直接连接，县网络中心与乡网络管理间直接连接。4）市委网络中心机柜选用2台1.6米VCOM标准机柜，县委网络管理间使用1.6米VCOM标准机柜，乡政府使用1.0米VCOM标准网络机柜。2、光缆与管理间的设计1）光缆铺设设计（干线） 江州市电子政务内网市委1号办公大楼整体解决方案中合计需要敷设2条光缆，它们是：市委网络中心到5楼配线间需要17米多模光缆市委网络中心到2楼配线间需要17多模光缆3.4.4 干线子系统设计垂直干线子系统的传输介质包括一幢多层建筑物楼层之间垂直布线的内部电缆或从主要单元（如计算机房或设备间）和其他干线接线间来的电缆。根据该校的实际情况, 垂直干线和水平走线合而为一用双绞线。由于该校各楼无设备间和电缆井，垂直干线子系统具体走线方式还必须进一步与校方协商。注：综合楼楼内的综合布线设计（水平子系统、垂直子系统、工作区子系统、管理子系统）参见设计图纸。3.4.5 建筑群子系统设计建筑群子系统也可称校园(Campus Backbone)子系统，它是将一个建筑物中的电缆延伸到另一个建筑物的通信设备和装置，通常也是由光缆和相应设备组成。建筑群子系统是综合布线系统的一部分，它支持楼宇之间通信所需的硬件，其中包括导线电缆、光缆以及防止电缆上的脉冲电压进入建筑物的电气保护装置。在建筑群子系统中，会遇到室外敷设电缆问题，一般有三种情况：架空电缆、直埋电缆、地下管道电缆，或者是这三种的任何组合。具体情况应根据现场的环境来决定。根据该校的具体情况，由于各个楼间距不超过50米，我们建议：内采用室外铠装光缆连接，光缆走线方式需要进一步协商。3.4.6 设备间子系统设计设备间子系统也称设备（Equipment）子系统。设备间子系统由电缆、连接器和相关支撑硬件组成，它把各种不同设备互连起来，包括邮电部门的光缆、同轴电缆等。具体连接方式如下:交换机光纤口用ST-SC光跳线连到光缆配线架。配置千兆光纤网卡的服务器和主交换机用千兆铜线连接。其他主机、路由器等设备用双绞线连到交换机的相应口。各种跳线、插头数量统计见报价清单所示。3.5. 结构化综合布线系统管理3.5.1 线缆代码定义代码缆线类型F光缆C双绞线V视频电缆A音频线Q其他表一 线缆代码定义表3.5.2 光缆编号规则此布线系统中我们采用如上光缆编号规则。每个编号唯一的标识一条光缆的一对光芯。楼名代码线缆类型代码线缆序号光芯对序号JXL1 F 1 1楼名代码建议为楼名的汉字拼音字头，如1教学楼为“JXL1”。线缆类型代码为“F”，表示为光缆。线缆序号为该楼内光缆的顺序编号。光芯对序号为该条光缆的光芯对顺序编号。由于一条光缆的光芯都有不同的色标，光芯对顺序尽量按色标顺序编号（黑、棕、红、橙、黄、绿、蓝、紫、灰、白），同一种颜色，纯色芯在前，花色芯在后。线缆序号与光芯对序号之间有一连字符。例如：JXL1F11表示1教学楼第1根光缆的第一对光芯。此编号在下列地方用到：（1）在布线系统平面图和其它一些文档中，用上述的编号来标识对应的光缆的光芯；（2）在光配线架的标签条上用上述编号标明相应位置对应的光缆的光芯，并登记注册；（3）布线工程中，每根光缆的两端都按上述规则标号（不标光芯序号）。 3.5.3 双绞线编号规则此布线系统中我们采用如下双绞线编号规则。对于双绞线，每个编号唯一的标识一条双绞线电缆、对应一个数据信息点、一个RJ45插孔。楼名代码线缆类型代码层号线缆序号JXL1 4 C 001 楼名代码建议为楼名的汉字拼音字头，如：1教学楼JXL1。层号为“1或2”位数字。楼名代码与层号之间有一连字符。线缆类型代码为“C”，表示为双绞线。线缆序号为每层内此类型线缆的顺序编号。例如“JXL1-4C001”表示1教学楼四层第001号双绞线。此编号在下列地方用到：（1）在布线系统平面图和其它一些文档中，都用上述的编号来标识对应的信息点；（2）每个信息盒面板的插孔下方贴以写有上述信息点编号的标签；（3）在配线架的标签条上用上述编号标明相应位置对应的双绞线、信息点编号，并登记注册；（4）穿线工程中，每根4对芯双绞线的两端都按上述规则标号。3.5.4 系统测试施工完成后，我们对整个布线系统要进行测试（或委托第三方测试）。（1）双绞线系统测试线路测试： 布线完工后测试。用FLUKE公司的DSP-2000 测试仪(或其他)，采用TIA CAT 5 Basic L + ACR方法进行测试。测试仪主机端采用3米的跳线，远端采用0.5米的跳线。测试项为：线对，阻抗，长度，Propagation Delay, Delay Skew,近端串绕，远端串绕，衰减，近端ACR，远端ACR。联机测试：整个工程完成后，选取若干个工作站，进行实际的联网测试。测试完毕，写出测试报告。（2）光纤系统测试光纤测试： 采用Laser Pecision Division 公司(或其他)的TD-1000 OTDR进行测试。为了克服100米的盲区，测试仪与测试线路之间加了100米的光纤跳线。跳线一端为FC头，另一端为ST头。测试完毕：写出测试报告。3.5.5 工程验收 （1）验收参照规范 工程验收，应参照： GB/T50312-2000 （2）竣工文档 在竣工时，我们将向用户提供如下布线有关文档：布线系统各层平面图。可用于查信息点的位置，槽道的路线。 布线系统结构图。 用于查各级配线架、水平电缆、垂直电缆的连接关系、器件数量、种类等。 房间信息点与双绞线对照表。用于查询房间信息点对应的双绞线和配线架口。在一个房间里，信息点的顺序为从门的左边绕墙壁一周到门的右边，顺序为1、2、3。双口墙盒的口顺序为从左到右。 信息点跳线路径表。记录每次跳线修改活动。 布线系统维护记录。用来记录所有的维护操作，出现问题时将有助于查对失误的操作，以追踪和修改错误。3.5.6综合布线系统材料统计1号办公大楼有6层，楼层高为3米，楼长度为60米，用户数量为在75个信息点，其中网络中心设在3层中间的房间。市委机要局办公1号大楼综合布线材料清单表工作区：序号名称与规格品牌单位数量备注1单口面板VCOM个75286型明装底盒VCOM个753超五类非屏蔽3米跳线VCOM条754超五类模块VCOM个75配线子系统：5超五类非屏蔽双绞线VCOM箱10305米/箱垂直子系统64芯多模1000M光纤VCOM米34设备间/配线间：7超五类非屏蔽1米跳线VCOM条758理线架VCOM个49耦合器(ST)VCOM个16101.5米尾纤(ST)VCOM条411超五类非屏蔽24口配线架VCOM个4打线式配线架121米光纤跳线(ST-SC)VCOM对413标准32U机柜VCOM台31412口光纤配线架(ST)VCOM个3表二 综合布线系统材料统计表第四章 网络拓扑结构设计4.1. 拓扑结构图图七图八4.2. 设计说明 如上拓扑结构图中，用入侵检测系统IDS连接方式连接内网和服务器，其中市区服务器，防火墙，集线器，路由器之间都是用超五类双绞线连接，核心交换机和汇聚层交换机之间用多模光纤连接，为防止网络故障，添加一个备用的核心交换机以提高网络的连通性和可靠性。 市区路由器接到电信专线DHE线路连至六个县的路由器，按用户要求，县每栋楼配置一个相应的汇聚层交换机，由于用户数不多，为充分利用资源，可将同县中1栋楼的汇聚层交换机用多模光纤连接到另一栋楼的汇聚层交换机上使之充当核心交换机，汇聚层交换机与各楼栋接入层交换机之间用超五类双绞线连接，然后分别在不同的楼层中划分不用的Vlan便于更好地安全地管理，其它县的网络结构类似。4.3. 主要设备选型说明一：核心层交换机（2台） 1.品牌型号：CISCO WS-C6506 背板带宽：1G 扩展插槽：6 2.网络接口板型号,接口数 S-X6524-100FX-MMC 3.GBIC模块型号 WS-X6516-GBIC1.根据用户需求：主干设计保证1000M带宽，到工作台桌面保证100M接入，中心采用三层交换机实现网络交换路由，采用千兆光模块。 因此中心我们选择三层交换机实现数据的高速交换同时实现局域网路由。同时选择购买S-X6524-100FX-MMC作为千兆光模块实现与汇聚层的连接依次实现千兆主干网，百兆到桌面。 可靠性，适应性用户信息网站应采用大型关系数据库,模块化等先进成熟的技术方法,在给用户提供了极大的灵活性的同时,也有效地保证了系统的可靠性。cisco的网络设备一直是行业老大，在这里我们采用cisco6506比较高端的交换机保证可靠性。双电源的设计保证了中心交换机的供电的冗余。 可扩展性：网络构造应具有高度的扩展性,以降低系统扩充的投入成本,并满足信息技术高速发展的需要.能适应2-3年内的业务增长和突发性事件的需要,确保各级系统的可扩充性和先进性,并注意设备的冗余设计以及网络的负载均衡。Cisco6506的交换机高度模块化，提供插槽的可扩展，电源的可扩展，引擎的可扩展。为日后公司的发展扩容打好基础。2.根据性价比：cisco6506与其他厂商同类产品相比更有竞争力。 优点： Cisco IOS软件模块化模块化提高了运营效率，最大限度地缩短了停机时间。实施模块化后，Cisco IOS子系统能作为独立、可自行恢复的进程运行，通过故障抑制和状态化进程重启，缩短了计划外停机时间；通过子系统运行中软件升级（ISSU）简化了软件改动，集成了嵌入式事件管理器（EEM），从而能在进程级自动控制策略 最高PoE 可扩展性提供了支持高密度PoE 部署所需的电源可扩展性；6 插槽和9 插槽机箱（C6506-E和 C6509-E 型号）的设计超越了当前的6000W 电源；E 系列机箱支持所有现有控制引擎、线卡、交换矩阵和软件版本 Supervisor Engine 720 面向企业核心、分布层和数据中心：高达720Gbps 的交换矩阵连接和高达40Mpps 的交换性能；支持全新加速思科快速转发（CEF720）和分布式思科快速转发（dCEF720）接口模块；通过硬件支持IPv6 和MPLS；支持第三层路由协议 Supervisor Engine 32面向智能配线间以及经济高效的低端核心和分布层部署；拥有一条到模块的32Gbps共享总线连接；支持高达15Mpps的交换性能；集中第二层、第三层转发，有2种型号：8端口1GE型号或2 端口10GbE 上行链路二：汇聚层交换机 （4台）1. 品牌型号,容量.扩展槽数 ：WS-C3750-24TS-E，128MB，02 .网络接口板或GBIC模块 :无 （1）用户需求是千兆主干，百兆到桌面。所以为了达到以上用户需求，考虑到核心层交换机我们必须选择配有光纤接口的交换设备，而cisco3750就适合这一要求，具有1000兆光纤接口。 （2）我们考虑到公司日后发展我们选用cisco3750就能满足日后的需要。它不仅能支持二层而且还能支持三层服务！ （3）采用与核心交换机相同的cisco的设备达到系统很好兼容性的要求，便于管理。 优点：设备类型:快速以太网交换机交换方式:存储-转发背板带宽（Gbps）:32端口数:24模块化插槽数:2 Cisco Catalyst 3750 系列交换机是一款适用于中型机构和大型企业分支机构的创新产品。该交换机采用了Cisco StackWise技术，通过结合易用性和可堆叠交换机的最高永续性，提高了局域网运行效率。适用于需要低密度接入，具有交换机堆叠功能、第二层以上或第三层特性，以及一或多条光纤上行链路的网络 可用性802.1S/W支持基于标准的容错性、负载均衡和迅速恢复；Flexlink特性提供了不到100ms的快速收敛；PVST+ 则通过允许流量在冗余链路上传输，增加了可用带宽 Cisco StackWise 技术单一IP 地址和单一命令行界面（CLI）简化了管理；32-Gbps 永续架构加速了收敛；1N堆叠采用了冗余和第三层上行链路永续性、跨堆叠Cisco EtherChannel 技术及QoS，提高了可用性；自动配置和Cisco IOS 软件版本检查和升级加速了部署过程；交换机的热添加和删除能保持堆叠持续运行 370W PoE 简化了IP 电话、无线和视频监视部署；智能电源管理特性增强了控制能力，有助于更好地利用功率预算；PoE 与快速以太网或千兆以太网型号相结合，能最大限度地利用现有基础设施投资三：接入交换机 （36台）1. 品牌型号,容量.扩展槽数 ：CISCO WS-C2950-24，8M，02. GBIC模块型号：无 （1）为了达到系统最佳的兼容性我们继续采用cisco的设备。 （2）百兆到桌面的要求，cisco2950较低的端口密度和价格，高性能10/100Mbps 连接便能达到要求。 （3）提供24接口支持堆叠。 优点：isco Catalyst 2950 系列交换机是小型、独立、可管理的交换机，带8 个快速以太网端口和一条集成快速以太网或千兆以太网上行链路。 这些交换机是专门为在终端用户工作间配线间外使用而设计的，拥有坚固的金属外壳，无风扇，因此运行安静，便于在墙壁或桌下安装，安全的锁定槽可防窃，它还配备了一条电缆导槽，可以保护以太网电缆和交换机。关键特性 网络管理CNA通过利用Cisco Smartports 技术，提供了集中管理和配置，以简化部署及后续维护；基于PC；适用于最多不超过20 个设备的网络 快速设置是一种Web 浏览器工具，支持简单的交换机设置，以便新手也能完成基本配置四：入侵检测系统：IDS1. 品牌型号：鹰眼入侵检测分布型NIDS100-D1E 2. 接口及带宽: 百兆引擎，1U，1个探测口，基本型3. 功能模块型号: 无 选择理由：（1）鹰眼网络入侵检测系统提供强大的入侵检测功能，目前可以检测的攻击类型有24大类，共计900余种入侵行为；（2）功能强大的搜索引擎面对海量的入侵记录，用户如何才能找到自己关心的内容？鹰眼网络入侵检测系统向用户提供了强大的搜索引擎，丰富的查询搜索方式，这样，用户可以非常方便，快速的按照自己的需要查找所关心的入侵记录；（3）鹰眼网络入侵检测系统提供的分析报表形式多样：既有实时反映当前网络安全状态的的即时分析报表，又有综合反映周期安全状况的每日分析报表；既有简单明了的决策型报表，又有详细全面的关联型报表。各类报表中包含了网络安全的整体状况分析、各项数据排名、网络安全趋势及建议等内容，准确的数字配以丰富的图表，令用户对网络安全状况一目了然。同时用户还可以对分析范围、分析强度、显示方式等进行配置，实现个性化的报表分析，得到最符合用户需求的报表；（4）历史记录的统计分析、查询和下载鹰眼网络入侵检测系统在为用户提供实时报告的同时，提供对历史记录的综合统计报告和高级搜索功能，并对提供了历史日志文件记录的高级搜索功能，同时还定期将数据打包，供用户下载；（5）多样化报警和响应方式。鹰眼网络入侵检测系统一旦检测到入侵行为，可以通过多种方式进行报警，并能够根据预定义的策略，选择切断攻击方的所有连接，或通知防火墙，修改过滤规则，阻断攻击，从而保护本地主机的安全。鹰眼网络入侵检测系统具有以下六种报警响应方式： （1）数据库报警首先在WEB操作界面左上方有一个报警灯实时反映警报数据的变化：l 若灯为绿色，则表示无入侵行为发生过；l 若灯变为红色，则表示曾有入侵行为发生过；l 若灯在不停地闪烁，则表示当前有入侵行为正在发生。同时在界面上可进一步实时查看到所有警报发生的时间、源地址、源端口、目的地址、目的端口、攻击类型、建议解决方案等详细信息。（2）电子邮件报警鹰眼系统能够依照用户自定义的邮件发送策略，将近期检测到的攻击通过电子邮件的方式发送给管理员。管理员不论身处何地，只要能够接收电子邮件，就能够了解网络的安全状况。（3）SNMP TRAP告警鹰眼系统能够将告警信息通过SNMP Trap的方式发送到用户指定的SNMP管理中心，使用户可以通过自己应用环境中的简单网管系统查询到鹰眼告警信息。（4）SYSLOG告警鹰眼系统能够将告警信息发送到用户网络环境中任何开放了syslog服务的服务器上，使用户可以通过查看服务器系统日志的方式查询到鹰眼的告警信息。（5）主动切断鹰眼系统能够基于用户的定制策略在发现TCP和ICMP协议的攻击行为时，向攻击方和被攻击主机发送切断数据包，实施主动切断，以阻止攻击行为的进一步发生。（6）防火墙联动响应在发现一些危险性较大的攻击行为，仅仅依靠IDS无法有效阻止攻击时，鹰眼系统将自动发送阻断请求到实现联动的防火墙，通知防火墙修改过滤规则，及时阻止攻击行为的进一步发生。五：服务器：（台）1. 品牌型号：IBMXA-322. CPU：Intel Xeon MP3. RAM：32GB4. SCSI：36*2 选择理由：（1）IBM BladeCenter 在机箱中集成了各种网络组件，以简化基础设施复杂性和可管理性，同时降低总体拥有成本。（2）智能管理工具(如IBM导控器)可帮助提供全面的系统管理创新、灵活的模块化技术使用IBM Power处理器的刀片服务器集成到IBM eServer BladeCenter架构之中新的BladeCenter备用随需容量可在您需要时提供额外的容量。（3）创新的模块化技术实现了卓越的性能密度和经济的可用性。其有效的扩展结构是企业应用的理想选择，使您能够按需增加容量，边增长边付费。（4）行业标准机柜(42U)中最多可以安装42 台服务器，平均每台1U的高度热插拔设计允许您在不中断其它机箱操作的情况下增加容量六：防火墙 （1台）1.品牌型号：龙马卫士防火墙 WLMB-1000SX 2.接口及带宽：2*1000M+1*100M选购理由：（1）传统防火墙一般是以IP地址为核心进行访问监控，而新一代的龙马卫士防火墙是以用户为核心进行访问监控，实现了用户的认证，授权，记帐（AAA）功能。认证（Authentication）：用来证明用户的真实身份，如：“我是用户Bob，我的密码证明了我确实是。”当用户通过防火墙进行访问时，首先需要对其身份进行认证，认证方式简单方便，认证的工具可以是任何支持认证的网页浏览器如Microsoft Internet Explorer（IE）或Netscape，身份认证是基于密码技术的，对管理员用户名和口令在传输时进行加密，并且，对防火墙和控制端之间通过网络传输的所有数据全部加密，这样有效地防止了在网络传输过程中数据被窃听、篡改，达到更高可靠性的身份认证。龙马卫士防火墙支持多种认证方式，如用户名和口令，一次性口令认证（OTP）、PAM、PAP/CHAP、MS-CHAP、NT-Domain、Radius、Kerberos、LDAP等，并可以根据用户需求扩展其他认证方式。授权（Authorization）：在经过了认证后，授权决定了该用户可以进行何种访问活动，如：“用户Bob可以对主机NT_host进行Telnet访问。”龙马卫士防火墙可以对所有用户进行分组管理，对用户组进行授权。认证通过后确定用户所属的用户组，系统将检查安全策略中对此用户组的授权。用户被授权后所有的资源访问能够进行记录实现记帐。记帐（Accounting）：记录了用户实际上进行的访问活动，如某个用户进行了何种访问，对谁进行了访问等信息，如：“用户早10：00从自己的主机对主机NT_host进行了Telnet访问。”龙马卫士防火墙跟踪所有用户的访问记录，为系统审计，发现入侵活动等提供分析依据。龙马卫士防火墙的AAA模块主要由网络访问服务器（NAS）以及认证控制服务器（ACS）两部分组成。认证控制服务器是一个标准的Radius认证服务器，完全遵循RFC2865、2866和部分2869的规范。并以用户为核心，同时具有授权和记帐等功能。认证控制服务器可以为任何支持Radius协议的其他防火墙，路由器和拨号服务器等提供认证服务。认证控制服务器支持多种认证方式，并可以根据用户需求扩展其他认证方式。同时，认证控制服务器还支持认证代理，可以将认证转发给其他的Radius认证服务器。龙马卫士防火墙的认证控制服务器的结构高度模块化，具有良好的可扩展性，并能够扩展新的认证方式。龙马卫士防火墙还为AAA服务提供管理工具。管理工具采用B/S结构，通过浏览器来管理认证服务器上的用户、进程、日志等，并且可以进行远程管理，界面友好，使用方便。（2） 实时的连接状态监控功能包过滤是防火墙中的一项主要安全技术，它通过防火墙对进出网络的数据流进行控制与操作。龙马卫士防火墙不仅根据数据包的地址、方向、协议、服务、端口、访问时间进行访问控制，同时还对任何网络连接和会话的当前状态进行分析和监控。传统防火墙的包过滤只是与规则表进行匹配，对符合规则的数据包进行处理，不符合规则的丢弃。由于是基于规则的检查，属于同一连接的不同包毫无任何联系，每个包都要依据规则顺序过滤，这样随着安全规则的增加，势必会使防火墙的性能大幅度的降低，造成网络拥塞。甚至黑客会采用IP Spoofing的办法将自己的非法包伪装成属于某个合法的连接。这样的包过滤既缺乏效率又容易产生安全漏洞。（3） 龙马卫士防火墙采用了基于连接状态检查的包过滤，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合，大大地提高了系统的性能和安全性。龙马卫士防火墙在进行包的检测时不仅将其看成是独立的单元，同时还要考虑与它的前面包的关联性。而无连接的包过滤规则没有考虑这些内在的关联信息，对每个数据包都进行孤立的规则检测，这样就降低了传输效率和安全性。尤其值得一提的是，对于基于UDP协议、ICMP的应用来说，是很难用简单的包过滤技术进行处理的，因为UDP协议本身对于顺序错误或丢失的包，是不做纠错或重传的。而ICMP与IP位于同一层，它被用来传送IP的差错和控制信息。龙马卫士防火墙在对基于UDP协议的连接处理时，会为UDP建立虚拟的连接，同