网络工程规划与设计案例教程项目二-任务三-公司办公网建设方案书

欧宇公司办公网建设方案书

目录TOC\o"1-3"\h\u1016一、工程概况 3159641、工程详述 36452、项目工期 320666二、需求分析 3307171、网络要求 3263052、系统要求 4241243、用户要求 561824、设备要求 61610三、网络系统设计规划 6126521、网络设计指导原则 6132582、网络设计总体目标 6133303、网络IP地址规划 794774、网络技术方案设计 894645、网络应用系统选择 9297416、网络安全系统设计 97867、网络管理维护设计 1225543四、网络布线系统设计 13206521、布线系统总体结构设计 13305612、工作区子系统设计 13112063、水平子系统设计 147654、管理子系统设计 1457125、设备间子系统设计 14

一、工程概况1、工程详述欧宇公司是一家电子产品销售公司，拥有包括财务部、技术部、人事部、后勤部以及销售和售后服务部在内的5个部门，共150多名员工；租用一栋办公楼的1~6层作为公司办公和经营的场所，第一层作为公司的营业厅，其余各层作为公司的办公部门。根据欧宇公司网络建设的现有需求，并考虑到未来的发展趋势，需要进行办公信息化建设，建立一个统一的办公信息网络，满足数据、语音、视频、图像、多媒体等信息的传输，实现企业用户管理、办公自动化、业务系统和Internet访问等，提高公司的办公效率，加强部门与部门之间、公司与合作伙伴之间的联系。2、项目工期20112年5月28日2012年6月28日 二、需求分析1、网络要求满足公司信息化的要求,为各类应用系统提供方便、快捷的信息通路；具有良好的性能，能够支持大容量和实时性的各类应用；能够可靠运行，具有较低的故障率和维护要求。提供网络安全机制，满足公司信息安全的要求，具有较高的性价比，未来升级扩展容易，保护用户投资；用户使用简单、维护容易，为用户提供良好的售后服务。主干网负责各个子网和应用服务的连接，为信息交换提供有效的高速通道。系统主干采用千兆以太网10000M交换，下属子网采用千兆以太网，网络协议采用TCP/IP协议，整个网络应考虑语音、视频、数据等的综合应用。交换机要求采用主流、成熟、信誉和售后服务均佳的产品，核心交换机采用三层交换机，支持VLAN等功能，能较好解决突发数据量和密集服务请求的实时响应问题，在内部用户终端进行视频信号、数据交换时交换引擎不会出现过载现象和数据包碰撞、丢失的现象，还要考虑预防瓶颈出现和补救的相应措施。本系统处理的信息包括数据、语音和图像等，因此要考虑实时性问题，特别要考虑包括视频会议在内的信息共享等方面的实时性要求。；UPS电源的配备，配置要保证网络中所有的服务器、交换机、路由器、集线器等设备的连续、正常地运转；网络带宽的分配：应根据所属单位网络的信息流量情况合理分配网段，以充分利用网络带宽，提高网络的运行效率。2、系统要求配置简单方便：所有的客户端和服务器系统应该是易于配置和管理的，并保障客户端的方便使用;广泛的设备支持：所有操作系统及选择的服务应尽量广泛的支持各种硬件设备;稳定性及可靠性：系统的运行应具有高稳定性，保障7*24的高性能无故障运行。可管理性：系统中应提供尽量多的管理方式和管理工具，便于系统管理员在任何位置方便的对整个系统进行管理;更低的成本：系统设计应尽量降低整个系统的成本；安全性：在系统的设计、实现及应用上应采用多种安全手段保障网络安全；提供良好的售后服务。网络还应具有开放性、可扩展性及兼容性，全部系统的设计要求采用开放的技术和标准选择主流的操作系统及应用软件，保障系统能够适应未来几年公司的业务发展需求，便于网络的扩展和公司的结构变更。3、用户要求要求计算机应用系统能处理大信息量的传输和计算；要求易于用户管理、界面简单、逻辑清晰；满足用户使用网络系统的运行质量，提高网络运行速度；要求采用千兆以太网作为主干的网络技术，提供标准化的高速度主干网连接，并在未来可以升级到IPV6，可以在同一个网络中支持多种服务质量，以支持目前和未来的应用和服务为标准。网络中使用的设备、技术和协议完全符合国际通用的标准，兼容现有的网络环境，提供良好的互联性；要求网络提供足够的带宽，丰富的接口形式，满足用户对应用带宽的基本要求，并保留一定的余量供扩展使用，最大可能地降低网络传输延迟；要求网络有很高的可靠性、稳定性及冗余，网络能够提供良好的安全性策略，能避免内部操作失误造成的损害和来自外部的恶意攻击。4、设备要求根据集团的网络功能需求和实际的布线系统情况，楼层接入设备需要选择同一型号的设备;网络设备必须在技术上具有先进性、通用性，必须便于管理、维护，应该满足集团现有计算机设备的高速接入，应该具备良好的可扩展性、可升级性，保护用户的投资。网络设备在满足功能与性能的基础上必须具有良好的性价比。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品，同时设备厂商必须要有良好的市场形象与售后技术支持。三、网络系统设计规划1、网络设计指导原则网络设计应该遵循开放性和标准化原则、实用性与先进性兼顾原则、可用性原则、高性能原则、经济性原则、可靠性原则、安全第一原则、适度的可扩展性原则、充分利用现有资源原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS保证2、网络设计总体目标先进性：系统具有高速传输的能力。工作站子系统传输速率达到100Mb/S，水平系统传输速率达到1000Mb/s,满足现在和未来数据的信息传输的需求；主干系统传输速率达到1000Mb/s,同时具有较高的带宽，满足现在和未来的图像、影像传输的需求。灵活性：系统具有较高的适应变化的能力。当用户的物理位置发生变化时可以在非常简便的调整下重新连接；布线系统适应各种计算机网络结构，如以太网、高速以太网、令牌环网、ATM网等。布线系统且具有一定的扩展能力。实用性：系统具有低成本、使用方便、简单、易扩展的特点。布线系统应在满足各种需求的情况下尽可能降低材料成本；布线系统具有操作简单、使用方便、易于扩展的特点。3、网络IP地址规划公司企业网的IP地址分配原则如下：使用IPv4地址方案，使用私有IP地址空间：/21。使用VLSM(变长子网掩码)技术分配IP地址空间。按照部门进行VLAN规划。VLAN命名规则是以部门名称每个字的头一个拼音字母组成，如营业厅的拼音是yingyeting，每个字的头一个拼音字母是YYT，这也是该部门所属VLAN的名称；IP地址分配应满足集团的利用，便于路由汇聚。，满足分类控制等。同时满足未来公司网络扩容的需要。网络设备的管理地址使用/25网络；服务器区采用28/25网段；每个VLAN的网关为本网段最后一个IP地址。4、网络技术方案设计总体网络采用基于树型的单星型结构，整体网络规划为核心及服务器群区域，客户端接入区域；核心交换机位于中心机房。采用全交换硬件体系结构，可实现全线速的IP交换；网络主干采用先进的千兆位以太交换技术，可最大限度地提高主干的数据传输速率。使用千兆网络保证网络交易速度与实时性，适应网络不断扩展的要求。根据需求概括，我们选择的是H3C企业级的带有无线控制模块的S5800-32C交换机。该款交换机具备最先进的硬件处理能力和最丰富的业务特性；支持万兆扩展接口，便于以后骨干网络的升级；支持IPv4/IPv6硬件双栈及线速转发，使客户能够从容应对即将带来的IPv6时代；除此以外，其出色的安全性，可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚，中小企业网核心、以及城域网边缘设备的第一选择。接入层为楼层的工作组及交换机。核心层与接入层以千兆以太网技术相连，传输速率达1Gbps，采用全双工通信可达2Gbps。其物理连接采用多模光缆相互连接，以提供物理层、链路层及IP层的冗余连接能力。接入层交换机可以每个独立构成一个VLAN，也可以多个二层交换机构成一个VLAN。VLAN之间的路由由核心交换机负责。不同的部门/单位可以通过配置不同的VLAN等方式来隔离广播和信息流，不但可以提高网络效率，而且可以增强网络安全。而每台交换机上的10/100/1000M自适应端口又可以与上层核心交换机的千兆接口相连接。这样的连接结构可保证网络带宽的最大限度的合理应用。5、网络应用系统选择根据公司用户对操作系统的要求：操作系统要求选择最稳定和最使用版本，所选操作系统需要提供方便的更新与升级方法，服务器操作系统需要能够提供目录服务功能，服务器及客户机操作系统都需要支持TCP/IP协议，所选操作系统应能够方便的实现用户和权限的管理，秘选操作系统应能够运行大多数应用软件，例如办公软件、财务软件等，我们管理服务器选择WINDOWSSERVER2008，它具有极高的稳定性、先天的安全性、软件安装的便利性、多任务、多使用者、有强大的网络功能、在相关软件的支持下，可实现WWW、FTP、DNS、DHCP、E-mail等服务。6、网络安全系统设计1）安全基础设施设计为保证系统的正常运转，需要为系统的运行提供一个良好的环境，为各类系统设备提供一个安全、可靠、温湿度及洁净度均符合要求的运行环境，同时为相关工作人员提供方便、快捷、舒适的工作环境和顺畅高效的通信通道，并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生；同时制定完善的中心机房管理条例，对出入机房人员和设备进行管理。对信息系统中的主机安全防护可以通过操作系统安全加固(打安全补丁、设置安全配置)、安装防病毒软件等方法进行。2）应用系统安全设计办公网络中运行了多个应用系统，如人事管理系统、财务管理系统、OA系统等等，根据网络安全需求分析，各部门之间的访问需要进行控制，同时对部门服务器的访问也有要求。因此，如果将网络结构，按照部门进行划分，对不同的部门进行不同的安全设置，那么安全问题会容易解决得多。所以该办公网按照部门划分了VLAN，进行访问控制。3)网络设备安全设计对于网络需求之外的网络服务应该禁用，因为不必要的网络服务只会为攻击者提供更多的攻击途径和门户。除此之外，有两点应该着重注意：设备缺省配置和已知的不安全服务。很多设备（或其中软件系统）为了方便用户应用，都会有一个出厂缺省配置。一定要根据系统的详细设计文档仔细核对设备提供的网络服务，禁用不该有的缺省服务。接入交换机通过端口绑定为每台接入有线网络的主机分配一个固定的IP地址，确保IP地址不被盗用；同时划分VLAN，将接入主机划分不同的部门。核心交换机上部署ACL，为不同部门配置访问控制策略。开启宽带路由器的防火墙应用，配置访问控制策略，限制外网用户对内网的访问，保证内网用户对外网的安全访问。4）统一防病毒体系设计欧宇公司办公网存在下列病毒安全隐患和需求：计算机病毒在企业内部网络传播；内部网络可能被外部黑客的攻击；内部网络用户上网行为没有有效监控管理，影响日常工作效率，容易形成内部网络的安全隐患；无线用户对公司内部网络的安全访问。由于内部存在1百多个个网络客户端，如采用普通杀毒软件会造成升级麻烦、使用不便等问题。可在服务器上安装客户端防病毒产品(客户端杀毒软件的工作模式是服务器端、客户端的方式)的服务器端，由客户端通过网络与服务器端连接后进行网络化安装。对产品升级，可通过在服务器端进行设置，自动通过INETRNET进行升级，再由客户端到服务器端进行升级，大大简化升级过程，并且整个升级是自动完成，不需要人工操作。同时在服务器上安装单独的服务器杀毒产品，对服务器进行病毒保护。因此公司内部通过部署瑞星网络杀毒软件，按照“集中管理、分布处理”的原则在企业内部的服务器和客户端同时部署杀毒软件共同完成对整个网络的病毒防护工作，为用户的网络系统提供全方位防病毒解决方案。6）网络接入安全为所有接入网络的用户设置用户名和密码，这是每个用户的身份标识，用户通过该身份标识拥有相应网络访问的权限。更改无线AP的默认密码；关闭无线路由器的SSID广播；开启无线上网加密设置；通过对AP接入用户进行带宽限制，有效避免由于部分用户P2P业务对WLAN带宽的消耗。7、网络管理维护设计1）网络设备管理：网络管理主要针对系统内各类交换机、路由器设备进行监控和管理；针对网络拓扑进行分析、监控和管理；针对网络故障进行分析、监控和管理；以及针对网络性能进行监控和管理。2）服务器管理：要求针对系统内所有服务器进行监控和管理，对于服务器的监控和管理，要求能提供完善的报表系统，重点包括对CPU、磁盘、内存的性能监控和管理，对文件和文件系统监控和管理，对进程监控和管理。具体的管理功能要求包括提供集中式的基于策略的管理方式、服务器系统资源监控的参数配置灵活简便、采用智能的监控策略、提供对实时性能数据和历史性能数据的查看功能等。3)企业资源管理建立活动目录，所有资源都加入域，对公司资源进行统一管理。根据欧宇公司的机构设置创建活动目录的组织结构。建立域控制器，创建域，按照部门划分组织单元，同时将各部门的计算机，网络资源（包括打印机，传真机等）加入本部门所属组织单元；通过组策略对组织单元设置权限，控制不同部门之间以及部门内部的访问；为服务器群中服务器上的资源按照所属部门创建访问权限，如人事管理系统只允许人事部进行访问和控制；按照员工号为每个内网用户创建一个域账户，用户通过该账户登录公司内网，同时获得访问服务器资源所需的权限；对组织单元中计算机的桌面进行同一配置，限制公司员工自行安装软件，以及不允许员工在上班时间进行视频下载等占用带宽的操作；对部门打印机进行统一管理，本部门可以通过共享访问部门打印机；在组织单元内部创建共享文件夹，供本部门用户共享部门资源；在域控制器上安装瑞星系统中心和瑞星管理员控制端，对瑞星软件服务器端和瑞星软件客户端进行统一控制。四、网络布线系统设计1、布线系统总体结构设计从中心机房用用12芯单模室内多模光纤和五类非屏蔽双绞线从电信间与工作站相连接，企业网采用6M的光纤以太网接入到因特网服务提供商的网络，然后接入到因特网中，使公司