中小型局域网需求分析

1、企业网需求分析组别：第一组成员：张棋 李慧娜 王甜甜宋星 李鹏飞目录、网络系统设计概述 31.1 项目背景 3.1.2 需求分析 3.、网络系统设计 5.2.1 网络设计指导原则 52.2 网络设计总体目标 52.3 网络通信联网协议 52.4 IP 地址的设计 6241 IP地址规划和分配原则 62.4.2 网络地址分配62.5 网络拓扑结构 7.2.6 网络布线系统设计 72.7 网络安全系统设计 82.7.1 外网安全设计92.7.2 内网安全设计 9三、工程预算 1.03.1 设备预算1.0一、网络系统设计概述1.1 项目背景为了适应业务的发展和国际化的需要，积极参与国家信息化进程，提

2、高管 理水平，展现全新的形象，某厂准备建立一个现代化的机构内部网，实现信息 的共享、协作和通讯，并和属下个部门互连，并在此基础上开发建设现代化的 企业应用系统，实现智能型、信息化、快节奏、高效率的管理模式。以高科技 为代表的一部分中小企业已经达到相当高的水准，但是，这部分企业还不到1 %;大部分中小企业的信息化水平还处于财务管理、人事管理等初级阶段；网 络的应用主要停留在获取和发布信息上，用于生产过程控制的很少；还有相当 一部分中小企业处于单机使用的起步阶段。据有关部门统计，截至2004年上半年，国内近63%的中小企业还未建立自己的网站，利用互联网进行交易的中小 企业仅占企业总数的11%。中小

3、企业的信息化需求存在多样化、差异化现象。 在中小企业中，还要具体情况具体分析。比如中型企业更重视ERP以优化资源配置，提高管理水平和效率，加快市场反应为目标；而小型企业多以严格制 度、堵塞漏洞、强化库存管理、规范业务流程、加快资金周转为目标。中小企 业必须针对自身行业的特点、企业的成长阶段、企业信息化阶段模型和企业发 展的战略目标，进行信息化需求分析。在本方案中，我们借鉴了大型高端网络系统集成的经验，充分利用当今最 成熟、最先进的网络技术，对该信息网络系统的建设与实施提出方案1.2需求分析需求分析是开发过程中最关键的阶段，需要克服需求收集的困难，采用多 种方式与用户交流，才能挖掘出网络工程的全

4、面需求。需求分析有助于设计者 更好地理解网络应该具有什么样的功能和性能，最终设计出符合用户需求的网 络。收集需求的范围如下：(1) 业务需求。(2) 用户需求。(3) 应用需求。(4) 计算机平台需求。(5) 网络通信需求。需求分析的输出是产生一份需求说明书，也就是需求规范。在完成需求说 明书之后，管理者与网络设计者应该达成共识，并在文件上签字。在形成需求说明书的同时，网络设计人员还必须与网络管理部门就需求的 变化建立起需求变更机制，明确允许的变更范围。这些内容正式通过后，开发过程就可以进入下一个阶段设计网络需求如下：(1) 信息的共享；(2) 公司管理；(3) 办公自动化；(4) 高速 In

5、ternet 冲浪。 (二)企业办公网主干和信息点需求及分布 拟建的企业网络主要涉及到三幢建筑物：一号楼、二号楼、三号楼。一号楼：三层，公司主要的办公楼，销售部，财务部，行政部，服务部等 等皆集中 3 楼，但计算机并不多，约有 20 台 PC 机。目前需要连网的仅有 10 台。二号楼：二层，研发部，有19台PC和一台Sun工作站，要求全部需要 连网。三号楼：二层，生产部，目前只有 1 台 PC。 各个楼层及部门联网计算机： 一号楼 3 楼：财务部：联网PC2台；行政部：联网PC2台;服务部：联网PC4台;销售部：联网PC12台。二号楼：19台PC全部入网。三号楼：1台PC联网。二、网络系统设计

6、网络系统主要是以光纤作为传输媒介、以 IP 和 Intranet 技术为技术主体、 以核心交换机为交换中心、下属部门信息网络系统为分节点的多层结构、提供 与各种职能相关的、功能齐全、技术先进、资源统一的网上应用系统，进一步可扩展成为多功能网络平台。总体目标是建立该企业的办公业务信息网络交换平台，集成下属各部门信息网络系统，功能齐全、技术先进、集成化的网络系统。本系统设计主要进行节点网络拓扑、路由组织、IP地址、网络安全设计、 VLAN划分和设备的具体配置等设计，详细描述所采用的设备及性能参数、网络管理。2.1网络设计指导原则网络设计应该遵循开放性和标准化原则、可用性原则、高性能原则、经济 性原

7、则、可靠性原则、安全第一原则、适度的可扩展性原则、易管理性原则、 易维护性原则、最佳的性能价格比原则、 QoS保证。2.2网络设计总体目标灵活性：系统具有较高的适应变化的能力。布线系统且具有一定的扩展能力。 实用性：使用方便、简单、易扩展的特点。布线系统应在满足各种需求的情况 下尽可能降低材料成本；布线系统具有操作简单、使用方便、易于扩展的特点。安全性：具有高安全性。2.3网络通信联网协议TCP/IP :每种网络协议都有自己的优点，但是只有 TCP/IP允许与In ternet完 全的连接。Telnet :远程登录访问协议，使其他跨省区域的用户通过远程访问总部的内外， 在远程访问时，会设置相应

8、的 ACL认证和相对的权限设置。SNMP网络管理协议：SNMP用于在IP网络管理网络节点（服务器、工作站、 路由器、交换机及HUBS等）的一种标准协议，它是一种应用层协议。 SNMP 使网络管理员能够管理网络效能，发现并解决网络问题以及规 划网络增长。通过 SNMP接收随机消息（及事件报告）网络管理系统 获知网络出现问题。路由协议：OSPF。2.4 IP 地址的设计2.4.1 IP地址规划和分配原则（1）根据目前网络结构和以后扩展，遵循以下原则进行 IP 地址分配。 唯一性： IP 地址必须唯一，一个 IP 地址对应一台数据通讯设备； 连续性：为同一网络区域分配连续的网络地址，便于规划，同时提

9、高路由器寻径效率；可管理性：地址的分配应该有层次性，某个局部的变动不影响网络的其 它部分；高效性：采用可变长子网掩码技术，要求采用支持可变长子网掩码技术 的 TCP/IP 协议族；可汇聚性：方便路由汇总，缩减路由表条目，提高路由器处理效率。 可扩展性：既要考虑到 IP 地址的使用现状，又要考虑到未来信息网络 的发展，为各单位分配合理的地址空间，在网络上尽可能少地做 NAT ，减少网 络设备 CPU 处理负担和加快网络访问速度。（2）业务地址的划分可以按照两个原则来分配： 按照部门规划，每个部门一个独立的网段；这种方案适合业务种类单一的情况，管理方便。2.4.2 网络地址分配IP 地址规划和分配

10、包括以下内容：（1）设备及互连链路地址规划与分配（2）业务地址规划与分配（3）服务器地址规划与分配根据以上 IP 地址的划分原则，本方案建议 IP 的设计如下：1 号楼： 192.168.0.1192.168.0.31/27 192.168.0.34192.168.0.63/272 号楼： 192.168.0.65192.168.0.95/273 号楼： 192.168.0.98/272.5网络拓扑结构企业网络拓扑图2.6网络布线系统设计局域网布线设计的依据是网络的分布架构。网络布线必须有较长远的考虑。 对于大型局域网，连接公司院内各个建筑物的网络通常选择光纤，统一规划， 冗余设计，使用线缆保

11、护管道并且埋入地下。建筑物内又分为连接各个楼层的垂直布线子系统和连接同一楼层各个房间 入网计算机的水平布线子系统。因为有信息中心网络机房，所以还应该考虑机房的特殊布线需求。在局域 网布线时，应该充分考虑到将来网络扩展可能需要的最大接入节点数量、接入 位置的分布和用户使用的方便性。若整座建筑物接入局域网的节点计算机不多, 可以采用从一个接入层节点直接连接所有入网节点的设计。若建筑物的每个楼 层都分布有大量接入节点，就需要设计垂直布线子系统和水平布线子系统，并 且在每层楼设置专门的配线间，安置该楼层的接入层节点网络设备和配线装置。水平布线子系统通常采用非屏蔽双绞线或屏蔽双绞线，如何选择线缆类型 和

12、带宽根据应用需求决定。连接各个楼层交换机的垂直布线子系统通常采用光 纤。企业综合布线系统由工作区子系统、水平布线子系统、垂直干线子系统、 管理子系统和建筑群子系统组成。它的设计原则如下：（1）开放性严格按照 IEEE802、EIA/TIA 568 等工业及建筑布线标准和中国建筑电气设 计/工业企业通信设计规范。（2）实用性 适应企业现在和将来发展的需要，具备数据通信、语音通信和图像通信的 功能。（3）灵活性 布线系统中任一信息点能够很方便地与多种类型设备（如电话、计算机、 检测器件以及传真等）进行连接。（4）可扩展性 布线系统具有较强的可扩展性，在将来需要时可以很容易地将所扩充的设 备连接到系

13、统中来，实现各种网络服务与应用。（5）经济性 综合布线系统是一种既具有良好的初期投资特性，即在今后若干年中不增 加新的投资情况下仍能保持建筑物的先进性，又是具有极高的性能价格比的高 科技产品。通常情况下，综合布线系统的使用寿命为 15 年。（6）可靠性 综合布线系统采用高品质的材料和组合压接的方式构成一套高标准的信息 通道。每条通道都采用专用仪器校核线路衰减、串音、信噪比，以保证其电气 性能不会造成交叉干扰。公司应采用综合布线系统，才能更好的发挥千兆局域 网的威力。2.7 网络安全系统设计网络安全是一种策略及管理，而不仅仅是某一种产品，是一个系统工程， 它包括了物理层、网络层、应用层等一系列安

14、全措施和策略。从外在上安全包 括五个基本要素：机密性、完整性、可用性、可控性与可审查性。机密性：确保信息不暴露给未授权的实体或进程。 完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已 被篡改。可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有 的资源而阻碍授权者的工作。可控性：可以控制授权范围内的信息流向及行为方式。可审查性：对出现的网络安全问题提供调查的依据和手段。2.7.1外网安全设计采用：防火墙系统：采用防火墙系统实现对内部网和广域网进行隔离保护。对内 部网络中服务器子网通过单独的防火墙设备进行保护。入侵检测系统：采用入侵检测设备，作为防火墙的功能互补，提供对监控 网段的攻击的实时报警和积极响应。病毒防护系统：强化病毒防护系统的应用策略和管理策略，增强病毒防护 有效性。垃圾邮件过滤系统：过滤邮件，阻止垃圾邮件及病毒邮件的入侵。并形成如下的网络安全体系模型图为网络与信息安全防范体系模型2.7.2内网安全设计访问控制，通过密码、口令（不定期修改、定期保存密码与口令）等禁止 非授权用户对服务器的访问，以及对办公自动化平台、的访问和管理、用户身 份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。对内部采