公司信息化建设方案

上海凯众材料科技股份有限公司

网络系统建设方案

拟制：赵龙帮

审核：

批准:

上海轨众材秆科拉底钞有n2司

StionQhofiCorthoneCo..Ltd

一、前言

1.1.公司综合信息网络系统建设目标------------------------------

1.2.具体需求------------------------------------------------------

1.3.综合信息系统建设原则.........................................

1.3.1先进性.....................................................

1.3.2标准性.....................................................

1.3.3兼容性.....................................................

1.3.4可升级和可扩展性..........................................

13.5安全性.....................................................

1.3.6可靠性.....................................................

1.3.7易操作性...................................................

1.3.8可管理性...................................................

二.综合布线..................................-......................

2.1需求分析......................................................

2.2综合布线系统的结构...........................................

2.3布线选择需求.................................................

2.4系统结构设计描述.............................................

三.网络设计

3.1机房选址......................................................

3.2网络设计需求.................................................

3.3整体方案设计策略.............................................

3.4凯众公司网络结构示意图.......................................

3.5网络设备选型.................................................

3.5.1选型原则.................................................

3.5.2核心层交换机.............................................

3.5.3汇聚层交换机............................................

3.5.4接入层交换机............................................

3.6主干网络技术选型.............................................

3.7路由交换技术部分设计.........................................

3.8网络安全设计.................................................

四.网络系统设计....................................................

4.1系统设计总体需求..............................................

4.2网络系统管理设计..............................................

4.2.1系统构架设计.............................................

4.2.2域系统管理设计...........................................

4.2.3系统安全设计..............................................

4.2.4数据服务器安全设计.......................................

4.2.5防病毒入侵设计............................................

五.公司未来服务器解决方案--------------------------------------------

5.1ERP服务器....................................................

5.2KMS服务器...................................................

5.3WEB服务器..................................................

5.4FTP文件服务器...............................................

上海轨众材抻科拉底针有n2司

StionQhofiCorthoneCo..Ltd

5.5邮件服务系统.................................................

5.6考勤系统、门禁系统............................................

5.7电话交换系统..................................................

5.8监控系统......................................................

5.9视频会议系统..................................................

六.总结...........................................................

一.前后

“功欲善其事，必先利其器”，上海凯众材料科技股份有限公司

日益壮大，为了业务要发展、建立一个方便快捷安全的通信网络综合

信息支撑系统，已迫在眉睫。在原来的电话交换系统、文件服务系统

基础上，自2013年以来公司已经引进了ERP系统、流程化办公KMS

系统，在未来规划中将建设邮件服务系统、WEB服务器、人力资源管

理系统、门禁管理系统，而这些系统都建立在一个高速、安全、稳定

网络基础之上，以此来实现内部网络资源共享、办公和远程的资源共

享、办公，提高工作效率。未来总体规划如图:

上海凯众材料科技股份有限公司整体网络架构图

1.1.公司综合信息网络系统建设目标

上海凯众信息系统目标是建设为一个公司信息系统，内网及外网都能

上海轨众材抻科&JBL母有刑2可

ShoHQhofiCorthoneCo..Ltd

实现高速传输，可管理内网员工的上网行为，远程客户可以通过VPN

接入访问，将整个公司这个大网络按部门划分为一个一个的小子网，

它以管理信息为主体，连接生产、销售、维护、运营子系统，是一个

面向公司的日常业务、立足生产、面向社会，辅助领导决策的计算机

信息网络系统。

本方案的目标是建立如下系统：

1.构造一个既能覆盖本地又能与外界进行网络互通、共享信息、

展示公司的计算机公司网，目前公司网站已经建成。

2.选用技术先进、具有容错能力的网络产品，在投资和条件允

许的情况下也可采用结构容错的方法。

3.完全符合开放性规范，将业界优秀的产品集成于该综合网络

平台之中。

4.具有较好的可扩展性，为今后的网络扩容作好准备。

5.采用0A流程化办公，做到集数据、图像、声音三位一体，

提高公司管理效率、降低公司信息传递成本。

6.可以实现远程办公及远程访问的高速网络，满足国内外的链

接需求。

7.整个公司计划采用100M光纤接入到运营商提供的Intwnet,

公司统一一个出口，便于控制网络安全。

8.设备选型上必须在技术上具有先进性，通用性，且必须便于

管理，维护。应具备未来良好的可扩展性，可升级性，保护公司的投

上海轨众材抻科&JBL母有刑2可

ShoHQhofiCorthoneCo..Ltd

资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备

在选型上要是拥有足够实力和市场份额的主流产品，同时也要有好的

售后服务。

L2具体需求：

1.网络设备配置

配备网络交换设备，实现楼宇间的千兆光纤连接，保证未来各应

用系统的实施以及满足公司各种计算机应用系统的大信息量的传输。

2.网管系统设计

提供可以对整个网络系统进行管理的中文图形界面工具，使系统

维护人员可以集中控制网络的所有设备。

3.内、外网隔离

通过硬盘隔离卡及双布线系统、双网络设备实现办公内网与外网

隔离。

L3综合信息系统建设原则

多业务网络系统方案以实现以上功能为基本要求，在设计上力

求做到既要采用国际上先进的技术，又要保证系统的安全可靠性和实

用性。具体来讲，其设计遵循以下原则：

1.3.1先进性

网络系统的主机系统、网络平台、数据库系统、应用软件均应

上海轨众材抻科&JBL母有刑2可

ShoHQhofiCorthoneCo..Ltd

使用目前国际上较先进、较成熟的技术，符合国际标准和规范。

1.3.2标准性

所采用技术的标准化，可以保证网络发展的一致性，增强网络

的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不

同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须

支持国际标准的网络接口和协议，以提供高度的开放性。

全面支持IEEE工业标准：802.Id,802.1p,802.lq,802.lx,

802.3,802.3u,802.3z；

支持路由协议：IP的RIPVl/2,OSPF,BGP-4；信令标准：

H.323,RTP/CRTP.

支持：IPsec、L2TP、GRE、MPLS・VPN规范。

支持多址广播协议：IGMP,DVMRP,PIM-DM,PIM-SM；

支持网络管理协议：SNMP,RMON,RMON2；

1.3.3兼容性

跟踪世界科技发展动态的情况下，网络规划与现有光纤传输网

和将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大

可能地保护已有投资，并能在已有的网络上扩展多种业务。

1.3.4可升级和可扩展性

随着技术不断发展，新的标准和功能不断增加，网络设备必须

可以通过网络进行升级，以提供更先进、更多的功能。在整个网络规

划建成后，随着应用和用户的增加，核心骨干网络设备的交换能力和

上海轨众材抻科&JBL母有刑2可

ShoHQhofiCorthoneCo..Ltd

容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设

计以及多种类接口、技术的选择，以方便未来更灵活的扩展。

1.3.5安全性

网络的安全性对网络设计是非常重要的，合理的网络安全控制，

可以使应用环境中的信息资源得到有效的保护可以有效的控制网络

的访问，灵活的实施网络的安全控制策略,在公司网络中，关键应用

服务器、核心网络设备，只有系统管理人员才有操作、控制的权力。

应用客户端只有访问共享资源的权限，网络应该能够阻止任何的非法

操作。在网络设备上可以进行基于协议、基于Mac地址、基于IP地

址的包过滤控制功能。

L3.6可靠性

整个网络系统是7x24小时连续运行系统，从硬件和软件两方面

来保证系统的高可靠性。

硬件可靠性

系统的主要部件采用冗余结构，如：传输方式的备份，提供备

份组网结构；主要的计算机设备（如数据走服务器），采用CLUSTER

技术，支持双机或多机高可用结构；配备不间断电源（UPS）等。

软件可靠性

充分考虑异常情况的处理，具有强的容错能力、错误恢复能力、

错误记录及预警能力并给用户以提示；并具有进程监控管理功能，保

证各进程的可靠运行数据库系统应。

上海轨众材抻科&JBL母有刑2可

ShoHQhofiCorthoneCo..Ltd

网络结构稳定性

当增加/扩充应用子系统时，不影响网络的整体结构以及整体性

能，对关键的网络连接采用主备方式，以保证数据的传输的可靠性。

整个网络系统应具有较强的容灾容错能力，具有完善的系统恢

复和安全机制。

L3.7易操作性

提供中文方式的图形用户界面，简单易学，方便实用。优良的

性能价格比。整个网络系统应着重考虑和满足以上的设计要求。

1.3.8可管理性

网络的可管理性要求：网络中的任何设备均可以通过网络管理

平台进行控制，网络的设备状态，故障报警等都可以通过网管平台进

行监控，通过网络管理平台简化管理工作，提高网络管理的效率。

在进行网络设计时，选择先进的网络管理软件是必不可少的。

网络管理软件应用于网络的设备配置，网络拓扑结构表示，网络设备

的状态显示，网络设备的故障事件报警，网络流量统计分析以及计费

等。网管软件的应用可以提高网络管理的效率，减轻网络管理人员的

负担。网络管理的目标是实现零管理，基于策略的管理方式，网络管

理是通过制定统一的策略，由管理策略服务器进行全局控制的。基于

Web的网管界面，是网管软件的发展趋势，灵活的操作方式简化了管

理人员的工作。在设备选择上，要求网络设备支持标准的网络管理协

议SNMP,同时支持RMON/RMONU协议，核心设备要求支持RAP

上海轨众材抻科&JBL母有刑2可

ShoHQhofiCorthoneCo..Ltd

（远程分析端口）协议，实施充分的网络管理功能。在设计网络的原

则上应该要求设备的可管理性，同时先进的网管软件可以支持网络维

护、监控、配置等功能。

二.综合布线

2.1、需求分析

目前公司线路铺设混乱、不标准，急需整理，公司内包括总办公

楼（北楼）和南楼及分公司建筑，上海总部和洛阳分公司它们之间的

距离已超过双绞线布线的技术要求，因此采用光纤、VPN或专线接

入。

公司的综合布线系统是一个高标准的布线系统，水平系统和工作

区采用超五类元件，主干采用光纤，构成主干千兆以太网。不仅能满

足现有数据、语音、图像等信息传输的要求，也为今后的发展奠定基

础。建筑群间的光缆采用OT—T多模光纤系统，大楼内的布线采用

超五类双绞线结构化布线系统。

2.2、综合布线系统的结构

综合布线系统部分结构如下图所示:

上海轨众材抻科&JBL母有刑2可

ShoHQhofiCorthoneCo..Ltd

根据综合布线国际标准iso11801的定义，综合布线系统可由以

下子系统组成:

令工作区子系统(WorkAreaSubsystem)

工作区子系统由信息插座延伸至用户终端设备的布线组成，包括

信息插座和相应的连接软线。用户能方便地把计算机、电话、传真等

不同的终端设备接入大楼的通信网络系统。

令水平布线子系统(HorizontaISubsystem)

水平布线子系统由楼层配线间延伸至信息插座的布线组成，通常

可采用超五类双绞线，我们这里采用的是超五类双绞线，也可采用光

缆以满足高传输带宽应用或长传输距离的要求。水平布线提供大楼网

络通信系统到用户终端设备的信息传输。

令建筑物主干子系统(BuiIdingBackboneSubsystem)

建筑物主干子系统由大楼配线间延伸至各楼层配线间的布线组

上海轨众材抻科&JBL母有刑2可

ShoHQhofiCorthoneCo..Ltd

成。该子系统亦包括各配线间的配线架，跳接线等。采用的线缆是超

五类双绞线。大楼配线间和楼层配线间通常也用于放置网络设备和其

他有源设备。建筑物主干子系统提供大楼内通信网络信息交换的主干

通道。

令建筑群布线子系统(CampusCablingSubsystem)

建筑群布线子系统由建筑群配线间延伸至各大楼配线间的布线

组成。采用的线缆为光纤，建筑群配线间通常也用于放置电信接入设

备和广域网连接设备。建筑群布线子系统提供了各建筑物间通信网络

连接和信息交换的通道。

2.3布线选择需求

为了满足公司将来灵活组网的需要，在上海办公楼、分公司建筑

物内均需各设配线间。

为充分满足公司内部及对外高速高容量信息通信的需要，系统采

用高速高容量的多模光纤作为公司的网络主干，这样才能满足公司内

部的高速网络共享和保障外部网络的质量。

建筑物内采用先进的超五类非屏蔽布线系统

根据技术规范，选用高性能UTP非屏蔽系统，传输参数可达到

200MHz,通道传输性能在200MHz时ACR>3dB,250MHz时ACR>

OdB,通道传输性能不低于招标技术要求所附性能参数表的要求。因

此，本方案建议采用AVAYA超五类UTP产品，其传输带宽可达

200MHZ以上，可靠支持新的千兆以太网、2.4GbpsATM及高达

上海轨众材秆科拉底钞有n2司

StionQhofiCorthoneCo..Ltd

550MHZ的宽带语音应用，为今后新的高速网络应用留有充足的性能

余量。

2.4布线系统结构设计描述

整个结构化布线系统由工作区子系统,水平干线子系统、管理子

系统、主干子系统、设备间子系统及建筑群子系统等六个子系统构成,

方案设计时充分考虑了高度的可靠性、先进性、灵活性、可扩充性、

易管理性及性能价格比高等优点。

布线系统结构如下：

三.网络设计

3.1.机房选址

机房是公司的重中之重，存放着公司的核心设备和所以数据，因

此机房安全非常重要，机房应该选址在通风较好且不会渗水的地方，

同时做好防火工作，使用防火地板、增加UPS。目前公司机房就是库

上海轨众材抻科&JBL母有刑2可

ShoHQhofiCorthoneCo..Ltd

房，人员出入复杂，且无可靠UPS保障，增加了安全隐患同时不利

于机房管控、线路铺设等工作。

3.2.网络设计需求

初略估算部门结构：财务部（6人），人事行政部（6人），生

产部（10人），研发中心（30人），销售部（1（）人），计划物流部

（7人），采购部（4人）,胶轮业务部（6人），制造工程部（10

人），质量部（10人）

3.3.整体方案设计策略

为了实现以上网络设计原则，使公司网络具有良好的扩展性能

力和灵活的便于管理，易于维护，在网络设计上采用以下策略。

＞因特网接入和公司网分离。

将因特网接入部分和公司网主体部分分离，每部分完成其

自身的功能，可以减少两者之间的相互影响。因特网接入

的变化，只影响接入的变化，对公司网络没有影响；而公

司网络的变化对因特网接入部分影响较小。这样可以增强

网络的扩展能力。保持网络层次结构清晰，便于管理和维

护。

＞统一标准，统一网络

统一的IP应用标准（IP地址，路由协议），安全标准，接

入标准和网络管理平台，才能实现真正的统一管理，便于

公司的管理和网络策略的实施。

上海轨众材秆科拉底钞有n2司

StionQhofiCorthoneCo..Ltd

3.4凯众公司网络结构示意图

上海凯众材料科技股份有限公司网络拓扑图

DMZ

3.5网络设备选型

3.5.1选型原则

在网络系统设计时考虑如下特点：

稳定可靠的网络只有运行稳定的网络才是可靠的网络，而网络

的可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一

个具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物

理层、数据链路层和网络层的备份技术。

上海轨众材抻科&JBL母有刑2可

ShoHQhofiCorthoneCo..Ltd

高带宽为了支持数据、话音、视像多媒体的传输能力，在技术上

要到达当前的国际先进水平。要采用最先进的网络技术，以适应大量

数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑

未来的发展。为此应选用高带宽的先进技术。

易扩展的网络系统要有可扩展性和可升级性，随着业务的增长和

应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有

很好的可扩展性，并能随着技术的发展不断升级。易扩展不仅仅指设

备端口的扩展，还指网络结构的易扩展性：即只有在网络结构设计合

理的情况下，新的网络节点才能方便地加入已有网络；网络协议的易

扩展：无论是选择第三层网络路由协议，还是规划第二层虚拟网的划

分，都应注意其扩展能力。QoS（英文全称为“QualityofService”，中

文名为“服务质量"。）QoS是网络的一种安全机制，是用来解决网络延

迟和阻塞等问题的一种技术。保证随着回络中多媒体的应用越来越

多，这类应用对服务质量的要求较高，本网络系统应能保证QoS,以

支持这类应用。

安全性网络系统应具有良好的安全性，由于网络连接公司内部所

有用户，安全管理十分重要。应支持VLAN的划分，并能在VLAN

之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。

3.5.2核心层设备

由于凯众网络发展规模较大，未来需提供多媒体办公、办公自动

化、文件资料检索、远程互联、视频会议等复杂的网络应用，为便于

上海轨众材抻科&JBL母有刑2可

ShoHQhofiCorthoneCo..Ltd

管理，我们建议选用的交换机作为网络组建交换设备。选用1台

Cisco6509交换机作为主干交换机实现1000M做主干100M到桌面的

需求。

3.5.3汇聚层设备

汇聚层设备选择CISCO公司的Catalyst3550系列的交换机，

Catalyst3550交换机智能以太网交换机是一个新型的可堆叠的，多层

次级交换机系歹U,可以提高水平的可用性，可扩展性，服务质量(QoS),

安全性和可改进网络运营的管理能力，从而提高网络的运行效率。

WS-C3550-48-EMI交换机，有48个10/100和2个基于GBIC的

lOOOBaseX端口，通过使用多层软件镜像(EMI),可以提供路由和

多层交换功能，满足三层交换需求。可以满足服务器群的高密度，高

速率的接入需要，也可以满足因特网接入的需求。

3.5.4接入层交换机

接入层交换机放置于楼层的设备间，用于终端用户的接入。应该

能够提供高密度的接入，对环境的适应能力强，运行稳定。

楼层接入设备选择CISCO公司的WS-C2950-48.EI智能以太网交

换机。

3.6主干网络技术选型

在网络的建设中，主干网选择何种网络技术对网络建设的成功与否起

着决定性的作用。选择适合公司网络需求特点的主流网络技术，不但

上海轨众材抻科&JBL母有刑2可

ShoHQhofiCorthoneCo..Ltd

能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来

向更新技术平滑过渡，保护投资。根据要求，我们主干网络可选用千

兆以太网技术，同时做双链路接入，一条断掉另外一条可以马上工作,

保证网络的稳定。

目前流行的局域网、城域网技术主要包括以太网、快速以太

网、ATM（异步传输模式）、FDDLCDDk千兆以太网等。在

这些技术中，千兆以太网以其在局域网领域中支持高带宽、多传

输介质、多种服务、保证QoS等特点正逐渐占据主流位置。

凯众网络技术应该考虑如下：

⑴、长远来看如何保护现有投资。保护现有投资的有效途径就是在将

来网络技术升级时还能使用现有的网络技术和产品。如同计算机的发

展速度一样，网络技术的发展也是非常迅速的。如果在现有技术不能

合理保证在将来网络升级后还能够使用，那么将会带来极大的资金浪

费。从目前的趋势来看，采用千兆以太网技术是最适宜的。

⑵性能价格比。以太网，快速以太网，千兆以太网和ATM网三者

性能状况由低到高，但是价格也是由低到高的。在建设网络时要充分

考虑到办公的资金有效使用，选择适用的网络技术是关键，因此选择

华为网络产品实现是最佳选择。目前满眼看到的是国外的技术和产

品，无形中增加了网络造价成本，这也给网络的普及带来一定障碍。

⑶售后服务：有很大部分国内外产品目前无法实现良好的售前、售

上海轨众材抻科&JBL母有刑2可

ShoHQhofiCorthoneCo..Ltd

后服务的支持，换修时间一般在3个月到6个月。思科网络强大的售

后服务体系可保证全国范围内72小时响应，武汉、上海、北京等一

级城市可实现24小时响应；

在凯众网络建设中，在主干以及接入层的交换设备选择上，我们采用

思科支持千兆以太网技术的交换机充当。

3.7路由交换部分的设计

（1）为了网络高效、稳定的运行，便于管理与维护，对局域网交换

和路由技术的相关方面进行了规范设计，包括VTP、VLAN、STP、

TRUNK.ETHERCHANNEL,HSRP,VPN等。每一台都连接所有

的汇聚层交换机，但相互之间并不连接（提高网络的故障收敛速度）。

作为二层的核心，只保证数据的高速转发。网络的可靠性由汇聚层的

路由协议提供保证。

（2）VLAN设计规范

公司内的局域网进行VLAN划分,可以减少网络内的广播数据包，提高

网络运行效率;可以区分不同的应用和用户，方便公司的管理与维护，

建议局域网划分10个VLAN,各个VLAN通过划分不同的IP地址

段，按照统一标准划分IP地址。

VLAN用途如表1

VLAN划分用途表

VLAN用途

上海轨众材抻科&JBL母有刑2可

ShoHQhofiCorthoneCo..Ltd

VLAN1研发中心工作人员

VLAN2财务部工作人员

VLAN3人事行政部工作人员

VLAN4制造工程部工作人员

VLAN5采购部工作人员

VLAN6计划物流部工作人员

VLAN7销售部工作人员

VLAN8生产部工作人员

VLAN9质量部工作人员

VLAN10胶轮业务部工作人员

(3)设备冗余电源

Cisco6509系列以太网交换机提供了RPS电源备份接口，可以对

设备提供一对一的电源备份和保护，也可以以一路直流电源对多台支

持RPS接口的设备进行备份和保护。

(4)生成树(STP/RSTP/MSTP)

Cisco6509系列以太网交换机支持STP/RSTP/MSTP生成树协议。

生成树协议主要用来建立和维护局域网的拓扑，消除循环连接导致的

网络广播风暴，并且提供网络的拓扑的冗余备份功能，平时作为备份

的路径被阻塞，当主用路径网络设备出现故障时，能够及时调整端口

状态，调整网络拓扑。

(5)VPN

上海轨众材抻科&JBL母有刑2可

ShoHQhofiCorthoneCo..Ltd

Cisco6509系列以太网路由交换机支持VPN,VPN（虚拟专网）是利用

公共网络资源（如公用电信网）为客户组建专用网的一种技术，它通过

对网络数据进行封包和加密传输，在公网上传输私有数据，达到私有

网络的安全级别，从而利用公网构筑专网（即VPN）o它是一种逻

辑上的专用网络，向用户提供专用网络所具有的功能，但本身却不是

一个独立的物理网络。

3.8网络安全设计

公司有300-500用户，网络规模比较大，并且和因特网存在连

接。为了保障网络系统的运行安全，保护公司的信息安全，必须进

行网络安全方面的规划和实施。

一个网络的安全，首先要有严格和有效执行的管理制度。建议

公司制定严格的网络安全管理策略，并有效的执行。其次，必须具

有一定的技术手段来保障网络的安全。技术和管理手段相结合实

施，才能够产生良好的效果。

通过以下几个技术方面的实施，可以在一定程度上保障网络的

安全：

＞提高设备的物理安全性

＞配置设备的口令

＞进行VTP域的认证

＞公司用户的接入控制

＞应用系统的访问控制

上海轨众材抻科&JBL母有刑2可

ShoHQhofiCorthoneCo..Ltd

＞因特网的接入安全控制

⑴提高设备的物理安全性

设备的物理安全性是指运行中的设备，未经授权的人员不能直接

接触到。提高设备的物理安全性，是最基本的要求。通过将设备安置

在独立的设备间中，并增加门禁系统，确保只有授权的管理和维护人

员才能接触到物理设备。

⑵配置设备的口令

配置设备的口令，是防止非授权的人员更改网络系统的配置的重

要手段。

要为所有的设备设置口令。要为每一台设备配置CONSOLE口

令，AUX口令，VTY口令，特权口令等

在口令方面，需要制定管理制度并严格执行。口令管理制度包括

口令的设置，保管，更改，口令的强度等内容。

(3)进行VTP域的认证

进行VTP域的认证，能够保证局域匣的VLAN等的安全。

设置了口令之后，除非交换机设置了正确的口令，否则。新交换

机不能自动加入到已存在的管理域中。保证了局域网的运行安全，可

以避免因为VLAN被错误或者恶意的增加。删除造成的运行事故。

(4)公司用户的接入控制

因为一般的安全措施都不是针对网络内的用户的，严格控制用户

的接入，可以避免非法用户接入带来的潜在的安全隐患。

上海轨众材抻科&JBL母有刑2可

ShoHQhofiCorthoneCo..Ltd

公司网系统建设验收完毕之后，确保交换机的所有用户端口处于

关闭状态。只有用户使用申请通过批准之后网络管理员才能将端口激

活。

⑸应用系统的访问限制

可以根据公司的应用需求，在汇聚层的多层交换机上实施访问控

制，限制内网用户对特定应用系统的访问，或者只允许特定的用户访

问某些资源。

（6）因特网的接入安全控制

因特网的接入安全控制是非常重要的，不仅需要布置防火墙等安

全设备，还要指定严格的安全策略。

四.系统设计方案

4.1系统设计总体需求

方案的实施目的是在公司内部建立稳定，高效的办公自动化网

络，通过方案的实施，使所有员工能够通过公司网络进入internet,

从而提高所有员工的工作效率和加快公司内部信息的传递。同时需要

建立WEB服务器，用于在互联网上发布公司信息。在公司设立专用

发布服务器，使公司内所有员工能够利用服务器方便的访问公共文件

资源，并能够完成公司内部邮件的收发。系统建立完成后，要求能满

足公司各方面的应用需求，包括办公自动化，邮件收发，信息共享和

发布，员工帐户管理，系统安全管理，门禁管理，供应链、财务管理

等。当前我们已经拥有了ERP系统，可以实现供应链和财务的管理;

上海轨众材抻科&JBL母有刑2可

ShoHQhofiCorthoneCo..Ltd

KMS系统，可以实现流程化办公及公司内部信息发布和资料共享。

4.2网络系统管理设计

4.2.1系统的构架

⑴根据公司的管理结构。本方案采用Windows系统提供的域

模式来组织和管理全部系统资源，采用域的模式，不仅可以集中存储

网络对象，并且管理简单，即实现了集中管理，又可以满足公司自身

的安全需求。具体的实现如下图：

根域:

且aa

上海总公司

洛阳分公司:

在此构架设计中，凯众公司需要自己的独立的域名，所以在设计中，

洛阳分公司作为一单独的域树，由于所有的资源都位于公司网内，

具有高速的网络连接，因此所有的域均在一个站点内。即使域中的一

台域控制器发生故障，仍然能保障系统的正常运行。并且提高了用户

身份验证的速度。

操作主机分配：操作主机域中扮演着重要的角色，直接影响到域

是否能够正常工作，在Windows2()()3的域中，一共有五种操作主机,

分别是构架主机，域名主机，RID主机，PDC仿真器，结构主机。

其中前面2种在林范围内起作用，后面3种在域范围内起作用，为了

上海轨众材抻科&JBL母有刑2可

ShoHQhofiCorthoneCo..Ltd

使用所有的操作主机更好的工作，保障正常的工作并且不产生大的复

制流量，方案采用了Windows系统默认的设置，根域中第一台DC

承担了五种操作主机的角色，每个子域中的第一台DC承担了域范

围内的三种操作主机角色。

4.2.2域系统管理设计

在系统设计时包括三个部分，分别是OU,用户及组的设计，为

了更好的满足公司的需要，便于系统管理员方便管理公司中的所有用

户，系统管理结构与公司的管理结构相匹配，方案中采用了如下所述

的设计。

＞0U的设计

公司的OU设计目的是为了使用户管理更有效率，结构更加

清晰，并能够使系统的管理结构与公司的商业模型相匹配。

在本方案中采用按部门划分OU的方法，将公司中以部门为

单位创建0U,并在部门0U中俣存该部门的用户帐户。

＞用户管理

为了规范用户帐户的管理，系统中所有的用户采用统一的命

名规范，每个用户在网络中拥有唯一的登陆名。用户帐户在

所属的部门的OU中创建。

＞组的管理

为了满足公司用户管理的需求，更好的在网络中管理用户权

限的分配，使系统的管理得到最大的简化，方案中采用

上海轨众材抻科&JBL母有刑2可

ShoHQhofiCorthoneCo..Ltd

AGDLP策略及AGUDLP策略。在域中创建全局组，用于组

织本域的帐户，在域中创建域本地组，用于完成权限的指派。

在本域内的权限的分配，可以使用AGDLP策略，在域间的

权限分配，使用AGDLP策略，依次将用户加入全局组，将

全局组加入通用组，再将通用组加入域本地组，最后可以根

据需要将权限授予指定的域本地组，采用这样的方式，不仅

可以使用户的组织和权限分配简单，也可以减少域间的复制

流量，从而提高系统的性能。如图所示：

4.2.3系统的安全设计

在设计方案中，安全的设计主要分2个部分，首先是ISAServer

的应用，通过ISAServer的配置，建立软件防火墙，保护公司内部网

络不受外部用户的攻击，其次是购买硬件防火墙设备，同时利用ISA

Server提供的网站过滤功能和服务器发布功能，对公司内部用户的上

网行为进行规范，弃能保障服务器的安全使用。其次，在方案设计中，

充分应用Window系统提供的组策略功能，利用组策略，可以在公司

的域中设计安全策略。防止用户进行非授权的访问，保护用户在工作

.、上海纨众忖M•科拉腔份有限公司

hOShccghcQCcrtrhocaUo_Lud

环境不受破坏。具体的设计方案如下：

>ISAServer：ISAServer是微软公司出品的软件防火墙代理服

务器产品，它不仅可以起到代理服务器的缓存作用，也能实

现防火墙的功能，通过软件防火墙上设置过滤规则，可以控

制内部用户对网站的访问，同时利用其提供的服务器发布功

能，也可以将公司内部的服务器发布到Internet上，提供互

联网的访问，在本方案的设计中，主要利用了网站过滤和服

务器发布的功能，在公司中心机房安装和配置ISA服务器，

继承防火墙功能和代理服务器的功能，将集公司的WEB服

务器及MAIL服务器发布到互联网上。中所有的客户端做为

ISA的客户端,所有的互联网的访问均通过ISA服务器转发,

这样，就可以在ISA服务器上对所有网络流量进行监控并对

实现网络访问的过滤。具体部署如图：

ISAClient

ISAClient

上海轨众材抻科&JBL母有刑2可

ShoHQhofiCorthoneCo..Ltd

＞防火墙功能：ISA服务器位于公司网络和外网之间，采用三

网卡分别连接内网和外网和DZM区，充分利用防火墙的角

色，并利用网站和内容规则来限制用户能够访问的网站

＞服务器发布：利用ISA服务器将公司中的邮件和WEB服务

器发布到互联网上，保证外部用户可以访问公司的WEB服

务器，并将公司用户可以与外部客户利用邮件交换信息。

＞客户端：在所有用户计算机上安装ISA客户端软件，并配置

浏览器使用ISAServer作为代理服务器上网。

＞安全策略：在Windows系统中的域模式下，安全策略是保

护系统及用户在工作环境不被破坏的重要工具，在本方案中

采用了组策略这个工具对全