企业网络规划设计方案

1、XXX 企业网络安全综合设计方案重庆电子工程职业学院冉亚东2011年 11 月.61130第一章设计背景分析 .3第二章需求分析 32.1设计需求 . 32.2网络设计需求分析 . .42.3功能需求分析 42.4环境需求分析 .52.5性能需求分析 5第三章 网络组网技术选型第四章网络拓扑图.94.1网络拓扑结构图.94.2 VLAN划分及编制方案 . .10第五章设备清单及所需网络设备介绍第六章 网络PDS系统设计 . .21第七章 网络储存设计 . .227.1存储备份必要性分析 .227.2基于HP SERVER的数据存储与备份方案 . .227.3备份工作实现自动化 . .257.4

2、实现跨平台备份 .25第八章 网络安全设计 . .268.1概要安全风险分析 .268.2实际安全风险分析 .268.3网络系统的安全原则 . .278.4安全产品 .278.5风险评估 .288.6安全服务 .298.7网络维护 . .29参考文献第一章设计背景分析当今世界信息化浪潮席卷正全球。因特网的迅猛发展不仅带动了信息产业和国民经济地迅猛增长，也为企业的发展带来了勃勃生机。以因特网为代表的信息技术的发展不仅直接牵动了企业科技的创新和生产力的提高，也逐渐成为提高企业竞争力的重要力量。就在我们为我国小企业网络建设拍掌击节的时候，我们也注意到这样一个事实，即我国小企业网络建设和应用中存在着许

3、多问题。总结一下，主要有以下几点：首先，服务器接入访问成为瓶颈。 这一问题主要出自于软件应用体系的变化，因为C/S、W/S等软件应用模式的演变，服务器的数据运算和传输负荷也在不断提高，导致的直接结果就是服务器需要不断升级。服务器的发展，技术发展。一个企业建立网络成了企业成长的关键部分。随着信息技术的发展的， 企业对信息要求越来越高；当今社会人员流动越来越频繁，使得管理工作也变的越来越复杂。如何管理好企业内部的信息，成为企业管理中一个大的问题。 如果能实现信息管理的自动化，无疑将给公司带来很大的方便。办公自动化（0A）是将现代化办公化和计算机网络功能结合起来的一种新型的办公方式，是当前新技术革命

4、中一个非常活跃和具有很强生命力的技术应用领域，是信息化社会的产物。 企业内部办公系统能够建立企业自身的一套职务体系，每个职务有其所对应的职级、 所需基本信息及对信息的使用资格。允许合法的使用者通过网络对企业职员的人事信息、公司的流水帐目信息、 核销单的流向信息、账单的生成和查询及同行各个企业的信息进行管理。信息成了公司发展不可却少的动力。第二章需求分析2.1设计需求在中国中小企业占到全国工业企业的 97%以上，是中国的经济命脉。在今天 竞争激烈的市场环境下，许多中小型企业都在追求高效的管理与沟通方法，发展跨地区、跨国业务，促进客户服务，增强企业的市场竞争力。特别在当今信息化 的现代社会，企业的

5、运作模式也发生了根本性变化。 建设企业网络来提高企业运 作效率的做法越来越普及。所以近年来，许多中小型企业都建立了自己的网络， 但是，由于许多中小企业的决策者对网络的应用和管理， 在认识上存有一定的局 限，以及受到现有企业条件和信息技术力量的局限，往往会在用网，尤其是在如何管理好企业的网络、挖掘和整合企业网络资源优势、为企业发展核心业务服务 等诸多方面，还存有许多不尽如人意的地方，致使不少中小企业的网络系统， 从 建立网络，至V应用网络，直至管理网络，都缺乏一个科学性、有序化和规范化的 发展态势，甚至直接影响乃至制约着企业核心业务的持续发展。所以一个良好的中小型网络成为了企业发展好坏的决定因素

6、。在本方案中，将以企业以45台办公计算机为例，设定该企业对网络需求如下:企业计划有45台办公计算机，要求都能访问In ternet资源；外网能通过in ternet只能访问企业DMZ区域的各种共享服务器，如 FTP、 WWW等，不能访问其他内网信息；两栋楼之间通过广域网联通；出差工作人员及在家办公人员能够远程访问公司内部的共享文件以及进行 数据传送；网络要求是可以扩展的、高速的、冗余的、安全的，并可满足为现在或将来 进行语音、视频、图像等各种服务的应用；要保证企业内部服务器可以集中管理及企业内部信息安全；为了简化起见，在本方案中，把公司的设计部、财务部、技术部、经理办公 室，人力资源部、销售部

7、、企划部、生产车间和库房9个部门分于不同的vlan2.2网络设计需求分析根据企业提出需求，进行分析，最终将采取以下方案解决企业需求：申请一个10M的带宽，以满足45台计算机访问In ternet：申请2个公网IP： 一个分配给In ternet接入路由器的串行借口，另一个用作 NAT ；购买一台华为路由器以实现企业内部网络连接到In ternet；企业目前有45台计算机连入网络，考虑在未来 5年内可能会有所增加，预 计增加幅度为20台，因此接入层交换机48 口的华为，需要3台用于楼宇1，两 台用于楼宇2；将各部门划分在不同的VLAN ；邮件服务器，web服务器，ftp服务器直接与核心交换机华为

8、连接，置于管 理机房，方便管理，同时配置 ACL控制各部门访问权限；在路由器上配置VPN，以实现出差工作人员及在家办公人员远程访问企业 内部资源及数据交换；.2.3功能需求分析办公自动化是一个企业除了生产控制之外的一切信息处理与管理的集合。它面向不同层次的使用者便有不同的功能表现。对于企业高层领导而言，0A是决定支持系统（DSS）。OA运用科学的教学 模型，结合企业内部/外部的信息为条件，为企业领导提供决策参考和依据。对于中层管理者而言，OA是信息管理系统（IMS），OA利用业务各个环节 提供的基础“数据”，提炼出有用的管理“信息，”把握业务进程，降低经营风险， 提高经营效率。对于普通员工而言

9、，OA是事务/业务处理系统，OA为办公室人员提供良好 的办公手段和环境，使之准确、高效、愉快的工作。企业内部办公网络系统应该能够建立企业自身的一套职务体系， 每个职务有 其所对应的职级、所需基本信息及对信息的使用资格。通过该网络系统可以对企 业职员的人事信息、公司的流水账目信息、核销单的流向信息、账单的生成和查 询及同行各业的信息进行管理。对于本系统，需要实现以下一些基本功能：1资料的上传下载2员工信息管理；3财务信息管理；4账单信息管理；5客户信息管理6核销单信息管理。基于上述考虑，本案例决定采用华天动力协同 0A办公自动化系统。华天动力0A办公自动化融合最先进的管理理念和开发技术，是当前市

10、场绝对领先的新一代办公自动化系统。 华天动力0A采用魔方式三层架构开发，是真 正的协同办公平台，能轻松实现跨平台、跨数据库、跨架构的使用，拥有魔方般 的灵活性和整合性，允许用户随意组合不同的业务系统。无论是自己开发还是采购的各种系统，华天动力0A都能让用户轻松构建起一个数据共享、流程同步的综合性信息化办公平台。其功能如下：（1）实现文件的全文检索功能。（2）基于角色的工作流系统。（3）采用JAVA、J2EE架构，全面支持 Web Service,扩展无极限。（4）全面支持SQL Server/Oracle/MYSQL等数据库，无须额外修改和配置。（5）界面美观，多种界面风格，可随时换肤，自定义

11、喜好的风格。2.4环境需求分析系统的运行对运行环境有一定的要求。2.4.1硬件环境在最低配置的情况下，系统的性能往往不尽如人意，现在的硬件性能已经相 当出色，而且价格也很便宜，因此我们通常给服务器端配置高性能硬件。处理器：In ter P4 2.0G或更高内存：2GB硬盘空间：20GB显卡：SVGA显示适配器2.4.2软件环境（1）操作系统：工作站采用 Windows XP SP3,服务器采用 Windows Server 2008，（2）数据库：SQL Server 2003（3）界面调整：Macromedia Dreamweaver 8 + Microsoft Front Page 200

12、32.5性能需求分析2.5.1预期目标（1）图形化界面、可操作性强：图形化界面、操作简单是企业内部办公系 统最近本的要求之一。用户对系统的操作只需要鼠标点击和少量的键盘输入，加上界面和菜单显而易见，所以即使是计算机基础很差的用户经过简单的培训后， 都能很快地熟练操作。（2）安全性：企业内部管理系统必须要有极其强大的安全性。我们通过系统内部自己设置的权限校验来对系统登录用户实施校验，提高了整个系统的安全 性，满足客户的安全性需求。（3）简便的维护手段：系统使用后，维护工作将是一个长期的工作，系统将充分考虑维护工作的需求，通过相应手段降低维护工作及难度， 从而达到保证 运行可靠及节省费用的目的。（

13、4）高效性：企业内部系统应该具有的强大适应能力和简便实现能力。系 统运行的高效性是我们追求的目标之一。（5）功能性强大：该系统将具有强大的功能性，能满企业内部管理的基本 需要，发挥计算机管理的优势。2.5.2主要特点（1）人性化设计：简单的操作步骤，人性化的界面设计，符合当今社会科 技以人为本的设计理念；（2）系统的安全设置：该系统具有强大的安全性，系统内部的权限校验保 证了企业资料的安全，保障了用户的权益。（3）使用的高效性：该系统的使用提现了计算机操作得高效性，用时短， 内容多的特点；（4）大的功能：该系统把分散在企业事业单位的所有档案信息实行统一、 集中、规范的收集管理，建立分类编号管理

14、、电脑存储查询等现代化、专业化的 管理；（5）有错误识别能力：当用户操作出现错误时，系统将提出警告，并能提 示正确的操作，避免系统被破坏。第三章网络组网技术选型该方案总体网络采用树型拓扑网络结构， 使之具有链路冗余特性；整体网络 规划为核心及服务器群区域，内部骨干区域（汇聚链路），接入层上联区域，客 户端接入区域；核心交换机位于集团总部机房，并为双核心，使用双主干网络设 计，保证主交换机网络的容错。在一台交换机出现故障的时候保障网络的正常运 行，也不用手工切换和维护，保证网络的可靠性。采用全交换硬件体系结构，可 实现全线速的IP交换；网络主干采用先进的千兆位以太交换技术，可最大限度 地提高主干

15、的数据传输速率。使用千兆网络保证网络交易速度与实时性，使用了 FEC/GEC技术实现网络带宽的扩展，适应网络不断扩展的要求。根据需求概括，我们选择的是华为 S9303作为核心交换机Quid way? S9300系列T比特路由交换机是华为公司面向以业务为核心的网 络架构而推出的新一代高端以太汇聚交换机。 该产品基于华为公司智能多层交换 的技术理念，在提供稳定、可靠、安全的高性能 L2/L3层交换服务基础上，进一 步提供业务流分析、完善的 QOS策略、可控组播等智能业务优化手段，同时具 备超强扩展性和可靠性，广泛适用于运营商 IP城域网，企业广域网/城域网，企 业出口 /核心/汇聚，高密度千兆桌面

16、接入，以及数据中心，帮助电信运营商和企业构建面向业务的网络平台，提供交换路由一体化的端到端融合网络服务。S9300系列提供4插槽、8插槽、14插槽三种产品形态，支持不断扩展的交 换能力和端口密度。整个系列秉承模块通用化、部件归一化的设计理念，最小化 备件成本，在保证设备扩展性的同时最大限度地保护用户投资。此外，S9300作为新一代智能交换机采用了多项绿色节能创新技术，不断提升性能及稳定性的同时，大幅降低设备能源消耗，减小噪声污染，为网络绿色可持续发展提供领先的 解决方案。华为S9303核心路由交换机具有一下的优点：先进的系统架构：采用了分布式、模块化设计理念，并采用了基于多处理器分布 式处理机

17、制和Crossbar空分交换结构的体系结构。这保证了系统优异的转发性 能、强大的业务能力和高度的可扩展性。高端口密度和线速路由及交换： 具有丰富的接口类型，提供10GE GE FE等接 口。可以真正实现高端口密度和线速路由及交换。大容量、高性能：支持高达952Mpps的路由包转发能力，并支持512K条第三层路 由信息、512K第二层的MAC地址以及 4096组VLAN 8K条安全和访问控制策 略，保证了数据线速转发的要求。增强的业务功能：具有L2/L3/L4线速交换能力、具备 QoS MPLS NAT带宽控 制、组播等高级性能，是定位于网络核心层、实现整体网络增值的优选设备。同 时，提供基于硬

18、件的流量分类和组播以及速率限制和先进的服务质量保证（QoS机制，可为用户开展增值业务提供强大的支持。强大的安全功能：支持ACL安全过滤机制，可提供基于用户、地址、应用以及端 口级的安全控制功能，并支持IPSec、MPLS VPN特性。同时，支持基于端口不 同优先级对列的和基于流的入口和出口带宽限制、uRPF防DDOSfc击、SSH2.0安全管理、802.1X接入认证及透传，VLAN ID与MAC地址、端口号、IP地址捆 绑等安全功能。此外，系统还具备完善的抗病毒机制，可以为网络运营提供全面 的安全保证。支持IPv6 :全面实现了各种IPv6协议技术，包括IPv4和IPv6双协议栈和基于手 工配

19、置隧道、自动配置隧道、6to4隧道等IPv4向IPv6的基本过渡技术。同时， 实现了 IPv6静态路由，支持 BGP4/BGP4+ RIP ng、OSPFv等动态路由协议。全面支持二、三层 MPLS VPN 二层 MPLS VPN支持 Martini 协议（VPWS和 VPLS 三层MPLS VPN采用RFC2547bis,具有良好的兼容性，可以与其他主流厂家的 设备实现MPLS VPN业务的全面互通。电信级可靠性：系统的主控单元、电源等等关键模块均可以进行1:1方式的备份, 无中断保护系统（Hitless Protection System - HPS 为 DES-850啲高可 靠性提供了最

20、重要的保证，在配置冗余控制模块的情况下，它能满足最苛刻的可 靠性要求。同时，DES-850啲VRRP STR LACP等功能为用户提供了进一步的可靠性保证。统一的网管功能：支持RFC 1213 SNMR简单网络管理协议），带内网管的形 式可采用基于Tel net的配置管理（CLI命令行的形式）或基于 SNMP勺配置管 理（图形界面的形式），实现基于Broad Director网管平台的统一网管。接入层为楼层的工作组及交换机。核心层与接入层以千兆以太网技术相连， 传输速率达1Gbps采用全双工通信可达2Gbps其物理连接采用多模光缆相互连 接，以提供物理层、链路层及IP层的冗余连接能力。核心交换

21、：三层千兆交换机为整个网络的核心，它对整个网络的性能，可靠性起决定性作用，它连接各个物理子网，治理网络内信息交换（包括多媒体信息）， 控制VLAN间访问，保证信息安全。因此，我们选用的中心交换机除了提供高速 的网络连接之外，还具有多种信息的治理和控制能力。 全部的网络设备均支持高 效的Intranet多媒体和多点广播技术、治理协议（CGMP等，为多媒体和多点广 播应用如IPTV等提供端到端的带宽保证。网络采用分层结构，不仅逻辑结构清 楚，治理方便；更重要的是大多数的数据流量（主要是同一部门或工作组内）的交 换在次级节点分布交换机上直接处理， 不经中心设备，节省主干带宽，提高利用 率。有一定的前

22、瞻性，不仅满足当前网上应用，也为将来更高性能的升级作好了 预备：网络具有良好的伸缩性，升级和扩展主要只集中在网络中心， 添加新的接 口模块，即可实现用户和信息点的扩充；增加光纤连接即可大量提高主干带宽； 中心增配另一台多层交换机，网络结构就能连接成可靠性的、真正的中心交换机 互备份和上联线路冗余。配合热备份路由协议和热备份双服务器主机系统，在整 个系统内消除单点故障，提供高可用性的应用服务系统。汇聚交换及接入交换：二级交换机可以每个独立构成一个 VLAN也可以多 个二层交换机构成一个 VLAN VLAN之间的路由由中心交换机负责。不同的部门/ 单位可以通过配置不同的 VLAN等方式来隔离广播和

23、信息流，不但可以提高网络 效率，而且可以增强网络安全。而每台交换机上的10/100自适应端口又可以与下 层100M到 10M交换式集线器相连接。心交换机与二层交换机以1000M全双工的方 式相连接。这样的连接结构可保证网络带宽的最大限度的合理应用。集团由总部机房采取一处连接In ternet中，设置防火墙等安全软件，并对外网的远程登录 设置权限及相应的安全认证！网络应用系统选择根据集团用户对操作系统的要求：操作系统要求选择最新版本，所选操作系 统需要提供方便的更新与升级方法，服务器操作系统需要能够提供目录服务功 能，服务器及客户机操作系统都需要支持 TCP/IP协议，所选操作系统应能够方 便的

24、实现用户和权限的管理，秘选操作系统应能够运行大多数应用软件，例如办公软件、图像处理软件、CAD财等，我们选择Linux，它具有极高的稳定性、先 天的安全性、软件安装的便利性、多任务、多使用者、免费或少许费用、有强大 的网络功能、在相关软件的支持下，可实现 WWW、FTP、DNS、DHCP、E-mail 等服务。建立WWW服务器，实现In ternet上浏览和查询；建立FTP服务器，结合 学校实际和需要逐步建立远程 FTP服务；建立Web服务器把图文信息组织成 分布式的超文本，并用信息指针指向存有相关信息的服务器，使用户可以方便地访问这些信息。当网上用户增多时，网络访问很频繁，通信量很大，随机性

25、强。作为全校的通讯枢纽，需要配备高性能的服务器设备，主要的需求是高性能的C PU、SMP体系结构、高速I/O通道和网络通道。建立域名服务器DNS,各地名字服务器管理下属主机和子域， 并由高一级名字服务器监管，但每个域至 少需要配备一台以上的名字服务器。 DNS数据量不大，但访问频繁。建立数据 库服务器能有高效的处理速度、较大的内存和磁盘空间、快速的I/O系统和网 络界面，较高的可靠性，完善的系统备份功能和较好的可扩充性能。第四章网络拓扑结构图4.1网络拓扑设计本企业网络设计方案主要由两大部分构成：楼宇1和楼宇2二层咋曙2#-介.嗣0*金划部斤技术嗣层備伴部2人力说源誌4绅理办艺窜2_层财务部2

26、技术部4设计部4虫服务器r.yiA 楼 宇7WEBIS 务器dil漲务器FTP巖务器环畛器om恳4.2 VLAN划分及编制方案VLAN 号IP网段说明Vlan2/24设计部Vlan3192.16820/24财务部Vlan4/24技术部Vlan5192.16840/24 经理办公室Vlan6/24人力资源部Vlan7/24销售部Vlan8/24企划部Vlan9/24生产车间VlanlO/24库房第五章设备清单及所需网络设备介绍名称型号单价数量合

27、计路由器H3C MSR50-6025000 元125000 元核心层交换机华为S930334000 元268000 元接入层交换机华为 Quid way7080 元539000 元防火墙H3C SecPath F100-S15000 元115000 元服务器正睿 I143738S4999 元630000 元AMP RJ45 水晶 头60/盒12芯单模光纤nTCL12芯室内单模光纤33/M12芯多模光纤TCL12芯室内多模光纤40/M主要网络设备选定根据前文对网络设备的介绍，在这些设计方案中，路由器选定为华为一台， 核心三层交换机选定为华为二台，接入层交换机为 48 口华为五台，、一个华为防 火

28、墙，正睿服务器六台。路由器：H3C MSR50-60产品报价：23000 28888 （元）项目MSR 50-60处理器RISC新一代处理器（833MHZ转发性能600Kpps固定以太口2个千兆光/电Combo4个SIC插槽模块插槽6个FIC插槽ESMS 槽2VPMS 槽4USB2 (USB1.1)AUX1配置口1VCPMB槽1硬件加密支持内存（缺省/最大）512M/1G(DDRCF256M/1G最大功耗350W电源（AC）输入额定范围：100240V 50/60Hz电源（DC输入额定范围：-48-60V外形尺寸（W DX H）436.2mnX 424mX 175.1mm重量21kg环境温度0

29、 40 r环境相对湿度590% （不结露）ETSI EN 300 386 V1.3.1 (2001-09)EN 55022(1998)EN 55024(1998)FCC Part15ICES-003VCCI V-3AZ/NZS CISPR22EMCCNS 13438UL 60950 3rd Editio nCSA 22.2#950 3rd Editio n 1995安规EN 60950: 2000 + ZB & ZC deviatio ns for European Union LVDDirective属性说明局 域 网 协 议ARP (代理ARP免费ARP授权ARPEthernet , VL

30、AN(VLAN-BASED PORT ISOLATE/VLAN VPN/VOICE VLAN302. 3x, LACP(802.3ad)，802.1p，802.1Q, 802.1xRSTP(802.1w), MSTP(802.1s)GVRPPORT LOOPBA，PORT MUTILCAST suppression网络互连广域网协议PPP MP PPPoE Client、PPPoE ServerFR MFR FR Fragment、FR Compress FR over IP ， FRTSATM(IPoA、IPoEoA、PPPoA PPPoEoADCC Dialer WatchHDLC LAP

31、BX25 X25 over TCP、X25 to TCP，X25 PAD X25 Huntgroup、X25 CUGDLSW(V1.0/2.0)ISDN ISDN Network，ISDN QSIQ MODEMIP 服 务快速转发（单播/组播）TCP UDP IP Option ， IP unnumber策略路由（单播/组播）非IP服 务支持SNA/DLSw DLSw以太冗余备份 IPX，SOT Net streamIP 应 用Pi ng、TraceDHCP Server / DHCP Relay/ DHCP Clie nt DNS clie nt/DNS StaticNQA， IP Acco

32、unting ， UDP Helper， NTP Tel net，TFTP Client/FTP Client/FTP ServerIP 路 由静态路由动态路由协议：RIP/RIPng，OSPF OSPFv3 BGP IS-IS 组播路由协议：IGMP PIM-DM PIM-SM MBGP MSDP 路由策略MPLSLDP，LSPM MPLS TE MPLS FWMPLS/BGP VP,NL2VPN网络协 议IP v6IPv6 基本功能：IPv6 ND，IPv6 PMTU, IPv6 FIB，IPv6 ACLIPv6 过渡技术：NAT-PT IPv6 隧道，6PEIPv6路由：IPv6静态路由

33、动态路由协议：RIP ng, OSPFv3 IS-ISv6 , BGP4+ 组播路由协议：MLD PIM-DM PIM-SM, PIM-SSM网络安全性端 口 安 全PPPoE Client-Server , PORTAL 802.1xAAALocal 认证，Radius， HWTacacs防 火 墙ASPF ACL，FILTER数 据 安 全硬件加密引擎（NDE，IKE, IPSec， Portal其他安全技术L2TP, NAT/NAPTPKI, RSA SSH v1.5/2.0，SSL，URPF GRE可靠性支持VRRP支持备份中心二层 QoSSPLRPort-Based Mirrori

34、ngPriority Mapp ingPort Trust Mode ， Port Priority FlowC ontrol&Backpressure流量监管支持 CAR( Committed Access Rate) 支持 LR( Line Rate )拥塞管理FIFO PQ CQ WFQ CBQ RTPQ拥塞避免WRED/RED流量整形支持 GTS( Generic Traffic Shaping)QOS其他QOS技术FR QOS MPLS QQSMP QoS/LFI，cRTP/IPHC，ATM QOS接口FXS/FXO/E&ME1/T1信令R2, DSS1 Q.sig，Digital

35、E&MH.323H.225，H.245GK Clie ntGK Clie ntSIPSIPCodecG.711A law，G.711U law，G.723R53 G.723R63，G.729a，G.729R8Media Pro cessRTP/cRTP IPHC, Voice BackupFAXFAX语音其它语音RADIUS网络管理SNMP V1/V2c/V3 MIB, SYSLO, RMON本地管理命令仃管理，文件系统管理，auto-config , Dual Image可维护 性用户接入支持con sole 口登录，支持 AUX 口登录，支持TTY 口登录，支持tel核心交换机：华 为S9

36、303产品报价：17280- 34000 (元)管理net (VTY登录，支持SSH登录，支持FTP登录，支持X25 PAD登录，XMODEM产品概述 MSR (Multiple Services Routers)多业务开放路由器是杭州华三通 信技术有限公司(以下简称“H3C)专门面向行业分支机构和大中型企业而推出 的新一代网络产品。MSR先进的软件结构与硬件平台，能够在最小的投资范围 内为企业边缘网络提供一体化解决方案，更能充分满足未来业务扩展的多元化应 用需求，符合企业IT建设的现状与趋势。企业信息架构正在由 C/S模式向B/S 模式转变，MSR具备高数据转发能力与高加密能力，很好的解决了

37、转变过程中 凸现的网络带宽压力与安全隐患， 保障企业关键业务流可以高速、机密的通过广 域网传输。MSR集数据安全、语音通信、视频交互、业务定制等功能于一体， 能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点，不仅能够最大程度的避免网络中多设备繁杂异构问题，而且极大降低了企业网络建设的初期投资与长期运维成本。针对企业用户日益个性化的应用需求，MSR领先集成了可以定制开发的高性能开放业务平台， 任何人都可以基于该平台开发自身 需要的高级网络业务，企业用户只需安装软件便能在网络中方便的部署相应业 务，节省了购置各类高昂专用网络设备的投资。MSR在突破性提高数据处理能力与插槽扩展性的同

38、时，还能完全兼容原AR系列的硬件模块与软件功能，为客 户提供了最为经济的网络升级方案。MSR产品包括MSR 50、MSR 30和MSR 20 三个系列。H3C MSR 50系列多业务开放路由器包含 MSR 50-40和MSR 50-60 两款设备，这两款设备均提供两种不同性能引擎的主控板以满足不同性能需求的 多业务并发应用。该系列产品可以为大型分支机构提供高性能、多业务的一体化 网络方案，也可以作为大中型企业的核心网络设备，完成数据、语音、视频等多 种流量的广域网交互。MSR50针对安全数据连接进行设计，采用内置硬件加密 功能的CPU和主板上内置的硬件加密引擎，大大提高产品的数据加密性能，同

39、时节省接口插槽。MSR 50在提供高质量数据业务转发的同时，还提供了强大而 灵活的VoIP解决方案，客户可在单一平台上为其分支机构灵活地部署程控交换 机、模拟电话和IP电话，降低网络运维成本。另外，MSR 50系列路由器还通过 集成以太网交换模块提供二层数据交换功能，实现了真正的路由交换一体化解决 方案。MSR 50系列产品采用H3C成熟商用的软件操作系统，提供丰富的 QoS 特性，全面支持IPv6,同时大大地增强部署 MPLS VPN业务的能力。MSR50采 用OAA (Open Application Architecture)开放应用体系架构，产品提供了一个公 开软硬件接口及标准规范的开

40、放平台，任何厂商与合作伙伴均可以基于此平台开 发更为深层智能的网络应用功能，以形成业务定制、优势互补、深度集成、合作 共赢。MSR50系列路由器还通过OAA架构提供基于路由器的统一通信功能， 为 用户提供灵活的语音呼叫处理、IP-PBX、IP电话会议和即时通讯等功能一体化交换机类型路由交换机应用层级三层传输速率10Mbps/100Mbps/1000Mbps端口结构模块化交换方式存储-转发冃板带宽1.2Tbps包转发率540MPPSVLAN支持支持QOS支持支持网管支持支持MAC地址表16K模块化插槽数8电源DC: -38.4V -72V;AC:90V264V;典型功耗:V180W;整机供电能

41、力:350W尺寸(mm)442*476*175重量(Kg)15Quid way? S9300系列T比特路由交换机是华为公司面向以业务为核心的 网络架构而推出的新一代高端以太汇聚交换机。该产品基于华为公司智能多层交 换的技术理念，在提供稳定、可靠、安全的高性能 L2/L3层交换服务基础上，进 一步提供业务流分析、完善的 QOS策略、可控组播等智能业务优化手段，同时 具备超强扩展性和可靠性，广泛适用于运营商 IP城域网，企业广域网/城域网, 企业出口 /核心/汇聚，高密度千兆桌面接入，以及数据中心，帮助电信运营商和 企业构建面向业务的网络平台，提供交换路由一体化的端到端融合网络服务。S9300系列

42、提供4插槽、8插槽、14插槽三种产品形态，支持不断扩展的交换能 力和端口密度。整个系列秉承模块通用化、部件归一化的设计理念，最小化备件 成本，在保证设备扩展性的同时最大限度地保护用户投资。此外，S9300作为新一代智能交换机采用了多项绿色节能创新技术，不断提升性能及稳定性的同时， 大幅降低设备能源消耗，减小噪声污染，为网络绿色可持续发展提供领先的解决接入层交换机：华为 Quid way 产品报价：7080 （元）交换机类型：万兆核心路由交换机 传输速率：10/100/1000/10000Mbps交 换方式：存储-转发 背板带宽：1800Gbps包转发率：432Mpps VLAN功能：支 持 网

43、络标准：802.1P, IEEE 802.2, IEEE 802.3 网络协议：STP/RSTP/MS无线 AP: TL-WA501G+ 产品报价：270 350 （元）无线AP工作方式无线网络标准IEEE 802.11g/b, IEEE 802.3/802.3u传输速率54,48,36,24,18,12,9,6,5.5,2,1MbpsH3C secpath产品报价率范围2.4 - 2.4835GHz信道13展频技术DSSS调制技术OFDM/ DBPSK/ DQPSK/ CCK接收灵敏度54M: -68dBm10%PER11M: -85dBm8% PER6M: -88

44、dBm10% PER1M: -90dBm8% PER256K: -105dBm8% PER （典型值）传输距离室内最远200米，室外最远830米（因环境而异）天线类型可拆卸全向天线 4dBi端口类型1个10/100M自适应RJ45端口（支持自动翻转）电源电压9V - 0.8A , 50Hz状态指示灯LAN（有线网络状态）;Power（电源）,WLAN（无线网络连接状态）颜色银白色尺寸165X108X28mmTL-WA501G+是TP-LINK公司旗下的一款高性价比的无线 AP,提供全中文 Web配置界面，可以通过 Web浏览器方便的对TL-WA501G+进行访问和控制， 配置直观、简单、快捷。

45、还可以通过 Web界面对TL-WA501G+进行在线软件升 级，以适应将来更高层次和更新要求。（元）防火墙类型企业级防火墙基本规格VPN支持支持主要功能增强形状态安全过滤，抗攻击防范能力，应用层内容过滤，多种安全认 证服务，集中管理与审计，全面NAT应用支持，专业灵活的VPN服务， 智能网络集成及 Quos保证,电信级设备高可靠性，智能 图形化的管 理网络网络管理支持标准网管 SNMPv3，并且兼容 SNMP v2c、SNMP v1,支持NTP 时间同步，支持Web方式进行远程配置管理，支持Quid view BIMS系 统进行设备管理，支持Quid view VPN Manager系统进行V

46、PN业务管 理和监控，命令行接口端口类型1 个配置口（CON）,1 个备份口（AUX ）,7FE,1 个 MIM 插槽,F:16MB,ddr SDRAM:256MB安全性入侵检测DosQDoS安全标准CE, FCC端口参 数控制端口Con sole 口电气规电源电压100-240V ； 50/60Hz,DC:直流主机：-48V -60V格电源功率22W外观参产品重量4kg数长度(mm)420宽度(mm)330高度(mm)44环境参工作温度0 - 45数工作湿度1095% （不结露）存储温度-20 - 70 r存储湿度1095% （不结露）支持标准网管SNMPv3,并且兼容SNMP v2c, S

47、NMP v1,支持NTP时间同步, 支持Web方式进行远程配置管理,支持Quid view BIMS系统进行设备管理,支 持Quid view VPN Manager系统进行VPN业务管理和监控，命令行接口等正睿I143738S产品报价：4999 （元）服务器级别部门级基本参数r服务器类型塔式:主板芯片组Intel S3200CPU个数1颗最大CPU个数1颗主要性能CPU类型In tel Xeon X3320标称主频2.5GHz二级缓存6MB:总线规格1333MHz处理器;多核运算四核内存容量2GB:内存描述DDR2内存:内存扩展8GB硬盘容量320GB硬盘类型SATA:存储控制无RAID阵列

48、模式Raid 0, 1, 5, 10存储光驱DVD-RW网络r网络控制器集成双千兆以太网卡:电源功率350W电源电源数量1电源类型服务器电源散热系统标配风扇PCI扩展槽5机身尺寸390X185X415mm其他随机软件Server Man ageme nt第六章 网络PDS系统设计1、布线系统总体结构设计总体两撞建筑，从总部机房用十二芯单模光纤与其他六撞建筑的设备间 |BD| 相连，每个设备间也设用十二芯多模光纤与每层的电信间|FD|，并用五类非屏蔽 双绞线从电信间与工作站相连接，企业园区网采用10M的光纤以太网接入到因特 网服务提供商的网络，然后接入到因特网中，使企业实现与外界的信息交换和网

49、络通信。公司统一由总部机房的一个出口访问In ternet，公司能够控制网络的安全。在服务器和核心交换机间：使用 UTP电缆来将服务器连接到核心交换机。2、工作区子系统设计工作区子系统由各个单元区域构成，是计算机、电话和信息插座的连接部分， 包括连接跳线和信息插座。信息插座面板具备：通用、超薄、简易、防尘等特点； 信息插座的模块采用类RJ-45模块；线缆采用超五类双绞线；水晶头采用 RJ-45 标准水晶头。为降低成本和结合客户终端的位置多变的特点，跳线可采用原装跳 线与自制跳线相结合的方式，中心机房内设备之间、楼宇机柜内设备之间、服务 器、重点客户终端的跳线采用原装成品跳线，其余采用自制跳线。

50、跳线制作统一 采用EIA/TIA 568B标准，以使系统具有更好的兼容性3、水平子系统设计水平子系统主要是实现信息插座和管理子系统，即中间配线架（IDF）间的 连接。水平子系统为树形拓扑。在水平子系统中采用超五类非屏蔽双绞线。双绞 线水平布线链路中，水平双绞线的最大长度均不超过90m。为了网络系统的稳定 性和扩展性超五类非屏蔽双绞线。4、管理子系统设计管理子系统设计由配线间构成。由各种规格的配线架实现水平、垂直主干线 缆的端接及分配；由各种规格的跳线实现布线系统与各种网络、 通讯设备的连接， 并提供灵活方便的线路管理能力。分配线间是各治理子系统的安装场所，可安装 配线架和计算机网络通信设备。对

51、于信息点不是很多，使用功能近似的楼层，为 便于治理，仅设置一个共用的子配线间；对于信息点较多的楼层则在该层设立配 线间。5、干线子系统设计干线子系统设计由连接主设备间与各治理子系统的室内干线电缆构成。数据主要从网络配线间向各个子配线间敷设 12芯单模室内多模光纤。6、设备间子系统设计设备间子系统设计由设备间中的电缆、 连接器和相关支撑硬件组成，把公共 系统（通讯系统，计算机系统和建筑自动化系统等） 设备的各种不同设备互连起 来。使用12芯单模室内多模光纤将其连接。7、建筑群子系统设计建筑群子系统是将一栋建筑物内的电缆延伸到建筑群中的另外一些建筑物 内的通信设备和装置上，采用光缆布线是目前主要的

52、建筑间布线方式。 建筑间的 主干光缆采用12芯单模。第七章网络存储设计7.1存储备份必要性分析随着计算机管理技术和网络技术的发展，为了提高企业业务管理水平、增 强企业市场竞争能力，越来越多的企业开始使用计算机来处理内部日常事务和外 部业务往来，从而使得这些企业越来越依赖于系统管理数据和业务信息。尤其是在企业业务不断增加、数据量成倍增长乃至出现数据膨胀现象时，由此引发的企业从数据膨胀、到计算机性能提高、再导致新一轮数据膨胀的循环不断加剧，进 而在企业中引起新的数据安全恐慌，数据失效问题时有发生。数据失效主要分为两种：一种是被称为物理损坏（Physical Damage的、造成数据无法使用的数据失

53、效；一种是被称为逻辑损坏（Logical Damage）的、数据仍可部分使用的、数据之间关系出错的数据失效。相比起来，后者所引起的 数据混乱往往要比前者产生的后果更为严重。这是因为逻辑损坏不易被用户发 现、且潜伏期长，一旦发现数据有错时，系统可能已经无法挽回了。当然，物理 损坏也并非儿戏，其后果虽然是局部的，但必竟会引起系统混乱，直接导致局部 瘫痪。7.2基于HP SERVER的数据存储与备份方案7.2.1用户需求由于数据备份所占有的重要地位，它已经成为计算机领域里相对独立的分 支机构。一般来说，各种操作系统所附带的备份程序都有着这样或那样的缺陷， 所以若想对数据进行可靠的备份， 必须选择专门

54、的备份软、硬件，并制定相应的 备份及户恢复方案。在发达国家几乎每一个网络都会配置专用的外部存储设备，而这些设备也确实在不少灾难性的数据丢失事故中发挥了扭转乾坤的作用。计算机界往往会用服务器和数据备份设备（如磁带机）的连接率，即一百 台服务器中有多少配置了数据备份设备，来做为评价备份普及程度和对网络数据 安全程度的一个重要衡量指标。如果每一台服务器或每一个局域网络都配置了数 据备份设备以及相应的备份软件，那么无论网络硬件还是软件出了问题， 都能够 很轻松地恢复。722方案设计该数据备份/恢复系统采用了硬件与软件相结合的方式，从而实现了数据备 份的自动化与智能灾难恢复。1、硬件设备选择在此系统中，

55、建议采用Quantum DLT 4108或 HP 24GB*6e 自动加 载机作为备份设备。设备的主要性能指标如下：Qua ntum DLT 4108 自动加载机驱动器Qua ntum DLT 4000 驱动器驱动器数量1槽位8本机容量（压缩后）*160GB (320 GB)数据传输率（压缩后）1。5MB/sec (3.0 MB/sec)HP DAT 24GB*6e 自动加载磁带机驱动器HP DAT 24GB驱动器数量1记录格式DDS-3本机容量（压缩后）*72 GB (144 GB)数据传输率（压缩后）1 MB/sec (2 MB/sec)2、备份软件选择采用美国VERITAS 公司的 Ba

56、ckup Exec备份软件。包括以下选件: VERITAS Backup Exec for winNT, Multi -server Editio nVERITAS Backup Exec for winNT,Oracle Age ntVERITAS Backup Exec for win NT, Lotus Notes Age ntVERITAS Backup Exec for winNT, Ope n files Optio nVERITAS Backup Exec for win NT, I ntellige nt Disaster Recovery Optio nVERITAS Bac

57、kup Exec for win NT, Autoloader Option各选件的主要功能为：VERITAS Backup Exec for winNT , Multi -server Edition采用COM技术，与微软产品100%兼容。设定备份时间和备份方式，就可以在指定时间到来时自动备份该服务器和网络中 其他客户机内的数据，并在备份结束后或由于某种原因使备份中断时拨打指定手 机或寻呼机号码通知系统管理员。独有的工作集备份，使恢复工作更快更有效。集成的防病毒功能：在备份前对数据预扫描，发现病毒并进行清除。由于新 的病毒不断出现，VERITAS Backup Exec每30天自动提醒您更新

58、病毒特征 文件，并通过因特网很容易地实现更新。独有的中文版界面和向导功能使系统管理员更易操作。VERITAS Backup Exec for winNT, Oracle Agent实现对Oracle数据库的全面保护。Veritas Backup Exec for winNT, Lotus Notes Agent实现对Lotus Notes Age nt数据库的全面保护。VERITAS Backup Exec for winNT, Open file Option此选件确保即使文件打开时，也能对其进行备份。由于此用户网络24小时都处于运行状态，有很多文件经常处于打开状态，为了保证将这一部份文件完

59、 整地备份下来，需要选择此选件。VERITAS Backup Exec for winNT , Intelligent DisasterRecovery Option智能灾难恢复选件使用这个选件，可迅速将服务器恢复到最近一次备份时的状态，恢复操作系统配置、用户资料，更新信息、应用程序和数据。VERITAS的IDR不同于其他灾难恢复产品的独到之处在于，IDR可以恢复到最近一次增量或差量备份， 而 不是只能恢复到最近一次完全的备份。所以，系统和数据都可以恢复到其他产品无法做到的最接近灾难发生时刻的状态，并且恢复的过程所需的时间也较少。Veritas的IDR还提供了简单而灵活的方法，可在恢复过程中修

60、改系统配置，例 如容错等级、磁盘镜像、磁盘卷标等定制配置。VERITAS Backup Exec for winNT , Autoloader Option自动加载器模块为 Windows NT版Backup Exec提供单驱动器和多驱动 器自动加载器支持。通过这个附加模块可以从自动加载器获得很大的益处， 包括 具有条形码阅读器和舱门的设备。7. 3备份工作实现自动化通过采用软件与硬件结合的备份方式， 可以实现备份工作的自动化。只需设 定各种备份参数（如备份时间、备份内容、磁带覆盖方式、病毒扫描登） ，就可 以在指定时间到来时自动启动备份进程。自动加载机的使用，更避免了每天更换磁带，通过制订相