企业组网方案设计

1、摘 要 21世纪将是知识经济时代，以知识和信息的生产、传播和应用为基础的知识经济将占世界经济发展的主导地位。国家综合国力和国际竞争能力越来越取决于教育发展、科学技术和知识创新的水平，教育在经济和社会发展过程中将呈现越来越突出的重要作用。另一方面，随着现代科学技术的飞速发展，世界范围内的信息化浪潮势不可挡，迅速延伸到国防、科研、经济等各个领域，也不可避免地改变着传统的教育模式-信息和教育相结合毫无疑问地成为了当今世界教育改革和发展的有机组成部分，而当前蓬勃发展的计算机和网络为主导的现代信息技术是教育先导化必不可少的技术基础。目前，全国已掀起一股信息高速公路规划和建设的高潮，国际互联网（Inter

2、net）上相连的计算机已近达数亿万台，全球有数亿人在Internet上进行信息交换和各种业务处理。Internet上积累了大量信息资源，这些资源涉及人类面对和从事的各个领域、行业及社会公用服务信息。成为信息时代全球可共享的最大信息基地。 关键词:企业网；设计原则；设计目标；网络技术；设备选型 Abstract21st century is the era of knowledge economy, knowledge and information to the production, dissemination and application of the knowledge-based e

3、conomy based on world economic development will account for the dominant position. Comprehensive national strength and international competitiveness increasingly depends on the development of education, science and technology and the level of knowledge innovation, education in economic and social de

4、velopment process will appear more and more prominent an important role. On the other hand, modern science and technology with the rapid development of the worlds information technology wave is unstoppable, rapidly extended to national defense, scientific research, economic and other fields, but als

5、o inevitably changing the traditional mode of education and information - There is no doubt the combination of education to become the world today education reform and development of the organic component of the current vigorous development of computer and network-oriented modern information technol

6、ogy is essential to the pilot of the technical basis. At present, the country has set off an information highway planning and construction of the upsurge of the Internet (Internet) almost on the computer connected to several hundreds of millions of Taiwan, hundreds of millions of people around the w

7、orld on the Internet for information exchange and various business processes. On the Internet has accumulated a wealth of information resources, those resources involved in the human face and the various fields, trade and social public service information. The global information age may become the l

8、argest information-sharing base.Key words: Enterprise Network Design objectives needs analysis network technology selection of equipment目 录1、网络系统结构设计411公司背景42. 企业网络设计目标与设计原则及特点52.1信息资源共享功能：52.2多媒体功能：52.3远程VPN拨入访问功能：52.4企业网设计原则:52.5设计特点：63. 设备选型731交换机732服务器733路由器84、总体设计94.1系统拓扑图94.3系统安全体系设计104.4系统软件平

9、台115、评价1251信息共享：1252系统维护功能强1253提高竞争能力12参考文献13致谢131、 网络系统结构设计互联网，自1996年传入中国，在短短的10年内发展成为全球最大信息媒体，其无时间限制、传播速度快、信息容量大、查阅方便、交互性强方面是其它的媒体所不能比拟的，也是较少投入获得最大回报的最优途径，企业上网可以不仅可以为客户提供各类信息，挖掘潜在的客户，更可以提供强大的交互功能，为企业在互联网提供各类商业贸易服务（即电子商务）。目前互联网的电子商务已经是一个可行的商务贸易方式，其体现在：1. 网络硬件及其相关支持设施的客观条件已经具备。2. 企业接受互联网，企业上网的普及，一般企

10、业都懂得使用网络。3. 商务平台的开发技术已经提供，企业可以委托通过专业网络公司术支持。11公司背景广州蝶贝蕾精细化工有限公司成立于1999年11月，厂址位于白云区竹料镇东山工业园，厂房占地面积17000平方米。是由中国艾琳集团公司、美国POLR公司、韩国COSMAX公司三家大型化妆品企业合资创办的中国首家专业OEM加工企业。自建厂四年来，公司从原有的40人增加到180人，客户从零发展到52家，产品除大陆香港外，还远销美国等地。2002年10月公司取得ISO9000质量体系人证。公司主要生产加工各彩妆、护肤类化妆品，拥有先进的生产设备如：全自动电加热真空乳化锅四组；自动流水线六条；韩国富林工业

11、社生产的全自动压粉机；台湾六合公司进口的全自动口红灌装机、三辊碾磨机、超微粉碎筛粉机，粉的细度可达到2000目。由于我公司每年不断的在设备上更新，加上企业的管理水平不断的提高，吸引了大量的国内外客户来我公司OEM、ODM代工，其中知名品牌有：上海红地球（redearth）、法国梦特娇、荻里莎、广州法兰琳卡、北海东方创美、美国雅芳公司、广州索芙特，诗维娅，香港丰采、角度公司等等。广州蝶贝蕾精细化工有限公司是集科研。生产。销售为一体的多元化公司，经营OEM。ODM加工将近十年，公司拥有占地面积三万多平方米的科技工业园，建筑面积近两万平米的现代厂房，办公大楼及员工宿舍。格式色彩GIRLIES诞生于时

12、尚之都美国纽约，它以其优雅，时尚的文化气息，在化妆品市场上备受瞩目。2006年格式色彩GIRLIES通过广州蝶贝蕾精细化工有限公司将格式色彩品牌引入中国。产品以彩妆为主（23个品名，106个单品），护肤，香水，洗涤系列为辅，目前拥有近一百多个品种，近千种颜色2. 企业网络设计目标与设计原则及特点建立企业网的目的，主要是为了实现如下几个目标： 2.1信息资源共享功能： 网络内的各个桌面用户可共享数据库、共享打印机、实现办公自动化系统中的各项能。通信服务功能：最终用户可以通过广域网可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域访问。2.2多媒体功能：支持多媒体组播，具有卓越的服务质量

13、保证功能。2.3远程VPN拨入访问功能：系统支持远程pptp接入，外地员工可利用INTERNET远程访问公司资源。建立网络的最终目的，就是希望利用网络(企业网上门户)，增加宣传轨道、打造企业形象、宣传企业产品，让有意向同行业的客户或者企业到网站访问，查阅企业介绍、联系资料、产品信息、销售网络，根据需要客户可进行在线下单，网站同时通过提供优质的会员服务，使客户可以通过网站的订单查询服务功能跟踪并了解具体订单的处理过程与当前状态信息，提升客户对公司的信任度，让客户满意公司的服务，提高企业服务档次，实现销售电子商务。2.4企业网设计原则: （1）实用性和经济性 系统建设应始终贯彻面向应用，注重实效的

14、方针，坚持实用、经济的原则，建设企业的网络系统。 （2）先进性和成熟性系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内企业网络仍占领先地位。 （3）可靠性和稳定性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间，TP-LINK网络作为国内知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。 （4）安全性和保密性在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统

15、应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，TP-LINK网络充分考虑安全性，针对小型企业的各种应用，有多种的保护机制，如划分VLAN、MAC地址绑定、802.1x、802.1d等。 （5）可扩展性和易维护性为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低了人力资源的费用，提高网络的易用性。2.5设计特点：在整个网络建设中考虑到工程实施的实际情况，应该充分利用产品的高可靠性、低成本性等突出特点，构建一个安全、可靠、高效的络平台。根据企业网络项目，我们应该充分考虑企业的实际情况，注重设

16、备选型的性能价格比，采用成熟可靠的技术，为企业设计成一个技术先进、灵活可用、性能优秀、可升级扩展的校园网络。考虑到企业的中长期发展规划，在网络结构、网络应用、网络管理、系统性能以及远程教学等各个方面能够适应未来的发展，最大程度地保护企业的投资。公司借助企业网的建设，可充分利用丰富的网上应用系统，发挥网络资源共享、信息快捷、无地理限制等优势。 3. 设备选型为了满足企业的需求及长远利益，企业网络系统设备应依据上述网络设计原则进行选型，在网络设备方面选用国内领先的网络互联厂商TP-LINK的产品，其产品与服务通过智能、安全及可靠的网络将信息设备连为一体，具有很好的可靠性和稳定性。TP-LINK的高

17、性能、功能全面的千兆网络产品解决方案，利用千兆以太网技术建网，网络中心交换机选用TP-LINK多功能千兆网管型交换机TL-SL3226P，背板带宽达8.8G，完全满足中小型企业内办公和其他应用的需要。在TL-SL3226P下方可根据实际情况级联智能型或基本型交换机，来满足不同的中小型企业网用户的不同需要，另外考虑到企业内部存在不方便布线地点或移动性很强的用户接入问题，在某些特定的区域设计了无线信号覆盖，通过TL-WA200无线接入点和TP-LINK系列无线网卡，以11M的带宽高速连上企业网。整个企业网通过TP-LINK宽带路由器TL-R460实现与INTERNET的连接，该产品支持各种常见接入

18、方式，并能支持局域网上网权限限制。31交换机采用交换机而不使用共享式集线器到桌面是由于企业实际使用情况是主要表现在集中突发性，即工作人员同时使用同一软件的情况比较多，如果使用共享到桌面，网络就会产生拥阻而影响速度，因此在企业网中应使用百兆交换到桌面。在十兆与百兆交换机中应选择百兆交换，因为10兆虽然在目前企业网络使用中刚刚能达到要求，但是已经不适应功能越来越强的计算机与新的应用软件的发展，更不适应更快的计算机通讯产品的要求，将成为它们之间最大的瓶颈交换机是指连接服务器及楼与楼之间、层与层之间的数据交换设备。本校园网工程将分为三期，根据工程三个阶段中网络点成批增加其间伴随着的使用需求增长，对主干

19、交换机基本设备的选型及其阶段性的扩展需求进行总体的合理规划。32服务器服务器是网络服务器用量最大的地方。服务器的选择标准很大程度上取决于中心客户的类型和应用种类。就中小型企业情况而言，Web应用和数据库应用仍然占整个数据中心的各类应用的主要部分。因此对服务器的网络响应能力在很大程度上体现了服务器的硬件体系结构设计的合理性、CPU或CPU组（SMP）对操作系统的进程或线程的分配能力以及磁盘I/O的性能。以及可行性与稳定性，同时散热、功耗和易安装性也是重点考察和评价的对象。基于以上考虑，所选的服务器必须具有高可靠性，I/O吞吐能力强，数据处理快，可扩展性和可管理性良好的特点。33路由器在此方案中，

20、考虑Internet出口路由器的配置一台Cisco路由器。它是校园网对外的出口，也可以作为保护企业网的第一道防火墙。因为使用Cisco router在Internet上配置安全的VPN隧道极为简单，Cisco Router对通道传输提供强大的加密功能，确保您的私人通讯数据通过公用网域时的安全。但根据客户和局域网配置的具体不同情况，也应该采取适当的步骤来确保来自Internet的局域安全。这至少要包括配置通过协议过滤器的访问控制目录。采用DDN线路与Internet连接，以64KB2MB带宽支持校园的应用，而且性能非常稳定。Cisco Router有2个能与专用数字线路或Frame Relay及

21、X.25网络相连的WAN接口。因此，能否有效地连接Internet是企业网建立的一个重要的目标。4、 总体设计4.1系统拓扑图4.2 IP规划与VLAN不同楼层的用户或者不同的用户可以根据需要加入不同的VLAN。VLAN号VLAN名称IP网段默认网关说明VLAN1/2454管理VLANVLAN10BGL/2454办公楼VLANVLAN20SYL/2454教学楼VLANVLAN30YFBH/2454财务室VLANVLAN4

22、0KYL/2454宿舍楼VLAN4.3系统安全体系设计安全管理贯穿于安全防范体系的始终。实践一再告诉人们仅有安全技术防范，而无严格的安全管理体系相配套，是难以保障网络系统安全的。必须制订一系列安全管理制度，对安全技术和安全设施进行管理。实现安全管理必须遵循可操作、全局性、动态性、管理与技术的有机结合、责权分明、分权制约及安全管理的制度化等原则。 通过形成了初步的安全管理制度，使领导和各级管理人员在网络安全的重要性方面，有了统一的认识，对网络安全的责任更加明确了。学校领导是网络安全第一责任人，学校网络管理员是网络安全的直接责任人。建立了以系统管理员为中

23、心的日常安全管理流程，并根据日常的安全管理工作情况去优化网络安全体系，从而保证了整个网络安全体系的动态性和有效性。 网络中心采用2台核心路由交换机。两台交换机之间采用链路聚合技术进行连接(带宽可扩展为2000-4000M）,同时提供均衡负载和链路热备的功能。网络核心的冗余设计以及核心于二级节点的聚合链路连接保证了企业应用的可靠运行。强大的网络设备支持保证企业的数据，语音和视频的融合应用，保证关键业务的顺畅运行。不同区域用户互相访问，该方案采用远程接入VPN服务（Access VPN）。在企业总部配置一台VPN网关设备，而在各需要访问企业总部资源的远程用户终端（包括分支机构、办事处或在外的移动用

24、户）安装VPN的客户端软件，以模拟拨号、ISDN等拨号接入方式来远程访问企业内部网或外部网。Access VPN能使用户随时、随地以其所需的方式访问企业资源。该方案的安全措施采用硬件防火墙，以确保整个网络的快速稳定运行。使用该网络设备供应商提供的配套网络管理系统，可以轻松实现整个网络的安全监控、维护。A、防火墙部署 随着千兆网络上数据吞吐量的不断膨胀，越来越多的网络主干转移到了千兆的通信平台上。 在Internet与校园网内网之间部署一台防火墙，成为内外网之间一道牢固的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在防火墙的DMZ区，与内、外网间进行隔离，内网口连接校园网内网交换

25、机，外网口通过路由器与Internet连接。那么，通过Internet进来的公众用户只能访问到对外公开的一些服务（如WWW、MAIL、FTP、DNS等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上我们按照以下原则配置来提高网络安全性： 根据企业网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。 将防火墙配置成过滤掉以内部网络

26、地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击。过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。 在防火墙上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。允许通过配置网卡对防火墙设置，提高防火墙管理安全性。(2)入侵检测系统部署入侵检测能力是衡量一个防御体系是否完整有效的重要因素，强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。通过入侵检测系统部署对来自外部网和校园网内部的各种行为进行实时检测，及时发现各种可能的攻击企图，并采取相应的措施。(3)漏洞扫描系统采用漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。(4)安全管理 常言说：“三分技术，七分管理”，安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。我们要建立一套企业网络安全管理模式，制定详细的安全管理制度，如办公管理制度、病毒防范制度等，并采取切实有效的措施保证制度的执行 4.4系统软件平台Windows 2000是目前适用的完善的服务器平台，它提供了一个在建构您的企业内部网络方面健全、可靠