企业网络工程设计方案

华中科技大学

2023〜2023学年第二学期

《计算机网络》课程设计

企业网络工程设计方案

院系：控制系

年级：08级

班级：自动化救牛班

目录

目录................................................

第一章网络系统设计概述.............................

1.1项目背景......................................

1.2需求分析......................................

1.3编制根据......................................

第二章网络系统设计..................................

2.1网络设计原则..................................

2.2设计规定......................................

2.3设计目的......................................

2.3设备分析......................................

2.4网络拓扑构造设计..............................

2.5内部网络设计..................................

2.5.1关键层互换机H勺设计.......................

2.5.2汇聚层互换机H勺设计......................

2.5.3接入层互换机日勺设计......................

2.5.4路由协议H勺设计...........................

2.5.5IP地址的I设计............................

2.5.6VLAN的设计............................

2.5.7网管系统日勺设计...........................

2.6外部网络设计..................................

2.7综合布线......................................

第三章网络系统安全性设计分析.......................

3.1网络安全设计..................................

3.1.1人员角色划分.............................

3.1.2路由认证和保护..........................

3.1.3关闭IP功能服务.........................

3.1.4顾客的安全防护..........................

3.2网络的VLAN的安全管理设计分析..............

3.3Internet安全访问设计分析......................

第四章项目管理......................................

4.1项目管理目的..................................

4.2项目组织机构..................................

4.3项目进度计划..................................

4.3.1项目总体进度计划.........................

4.3.2项目进度Gantt图（甘特图）..............

433项目进度详细阐明.........................

第五章工程预算......................................

5.1项目总体预算.................................

5.2网络设备.....................................

5.3服务器........................................

5.4安全系统

5.5系统软件

5.6机房建设

5.7综合布线

5.8光纤设备

5.9培训I

第一章网络系统设计概述

L1项目背景

为了适应业务的发展和国际化的需要，积极参与国家信息化进程，提高管

理水平，展现全新的形象，某厂准备建立一种现弋化的机构内部网，实现信息

的共享、协作和通讯，并和属下个部门互连，并在此基础上开发建设现代化的

企业应用系统，实现智能型、信息化、快节奏、高效率的管理模式。

在本方案中，我们借鉴了大型高端网络系统集成口勺经验，充足运用当今最

成熟、最先进的网络技术，对该信息网络系统的建设与实行提出方案。

1.2需求分析

为实现上述目的，可以把整个系统建设提成两个部分，即：网络平台建设

和Internet/Intranet平台建设。

(1)网络平台是建立在构造化布线基础上的I最基本日勺平台。可靠日勺网络

平台是Internet/Intranet系统及应用系统正常运行的基础。网络平台的I设计应包

括局域网的设计、广域网H勺设计。

(2)Internet/Intranet平台包括Intranet、Internet和Extraneto三者日勺关系

如图：

Intcmet/Intranet系统具有客户端单一界面、易于使用日勺特点。在中中国港

湾建设总企业『、J平台建设中，Extranet部分对应于与各合作伙伴信息交流日勺有

关部分。

网络系统重要是以光纤作为传播媒介、以IP和Intranet技术为技术主体、

以关键互换机为互换中心、下属部门信息网络系统为分节点的）多层构造、提供

与多种职能有关的、功能齐全、技术先进、资源统一的网上应用系统，深入可

扩展成为多功能网络平台。

总体目的是建立该企业的J办公业务信息网络互换平台，集成下属各部门信

息网络系统，功能齐全、技术先进、集成化的网络系统。

（一）设计网络需求如下：

（1）信息的共享；

（2）企业管理；

（3）办公自动化：

（4）高速Internet冲浪。

（二）企业办公脚主干和信息点需求及分布

拟建的企业网络重要波及到四幢建筑物：行政楼（含附近的门卫）、

生产车间（含附近的厂区办）、运送楼（含附近的工段办）。这四幢建筑物

之间拟通过光缆连接。网络中心和机房设在行政楼内。信息点需求为：

行政楼：801个（含门卫1个）

生产车间：364个（含厂区办4个）

运送楼：20个（全为工段办）

主干网接入全球互联信息网外接（Internet）,各子网再接入主干通信网。主

干网接入Internet的方式可是有线综合宽带网，速率可在100Mbps左右。主干

为千兆光纤线路，其他线路为超五类双绞线。

（三）投资预算

规定投资在20万元以内，包括局域网设计（可运用原有宽带设备），互换

机设备，综合布线等。

1.3编制根据

《计算机信息系统保密管理暂行规定》（国家保密局1988年2月26日

印发）

《计算机信息国际联网保密管理暂行规定》（国家保密局1999年12月29

日印发）

《中国公众多媒体通信网技术体制》

《中国公众多媒体通信网工程实行技术规定》

IEEE工业原则：802.Id,802.Ip,802.lq,802.lx,802.3,802.3u,8O2.3z

支持路由协议：IP的RIPvl/2,OSPF,BGP-4：IPX的RIP

多址广播协议：IGMP,DVMRP,PIM-DM,PIM-SM

网名各管理协议：SNMP,RMON,RMON2

第二章网络系统设计

本系统设计重要进行节点网络拓扑、路由组织、IP地址、网络安全设计、

VLAN划分和设备日勺详细配置等设计，详细描述所采用的设备及性能参数、网

络管理。

2.1网络设计原则

(1)遵照《中国公众多媒体通信网技术体制》、《中国公众多媒体通信网工程

实行技术规定》以及其他国家有关原则和技术体制.

(2)采用层次化设计，网络构造的不一样部分有不一样的功能，使网络具有

优良口勺构造。

(3)优化网络和系统构造，并在各个层面考虑冗余和备份，使系统具有较高

的容错能力和应变能力，以保证系统的可靠和有效运作。

(4)选用的技术保证开放性、可移植性、兼容性和可扩展性。

(5)采用通用的国际原则和协议，不采用有碍网络互通的厂家特有性能。

(6)提供有效的安全保密措施，保证整个网络口勺安全。重要网络设备应有合

适的冗余备份。

(7)尽量详细精确，减低工程淤J复杂程度，使系统建设和改造的工作量减至

至少，以保证工程的顺利和有效完毕。

2.2设计规定

(1)实用性：网络建设从应用实际需求出发，坚持为领导决策服务，为经

营管理服务，为生产建设服务。此外，假如是对既有网络升级改造，还应当充

足考虑怎样运用既有资源，尽量发挥设备效益。

（2）适度先进性：规划局域网，不仅要满足顾客目前的需要，还应当有一

定技术前瞻性和顾客需求预见性，考虑到可以满足未来儿年内顾客对网络功能

和带宽欧I需要。采用成熟日勺先进技术，兼顾未来的发展趋势，即量力而行，又

合适超前，留有发展余地。

（3）经济性：规定价格适中，设备及耗材规定采用质量过硬，物美价廉，

投资预算不超过20万。

（4）安全可靠性：保证网络可靠运行，在网络口勺关键部分应具有容错能力，

提供公共网络连接、通信链路、服务器等全方位日勺安全管理系统。

（5）开放性：采用国际原则通信协议、原则操作系统、原则网管软件、采

用符合原则的设备，保证整个系统具有开放特点，增强与异机种、异构网的互

联能力。

（6）可扩展性：系统便于扩展，保证前期的投资的有效性与后期投资的持

续性

（7）安全保密性：为了保证网上信息日勺安全和多种应用系统的安全，在规

划时就要为局域网考虑一种周全的安全保密方案。

2.3设计目的

该企业网络系统应是一种以宽带IP网为目的，建立数据、语音、视频三网

合一日勺一体化内部办公网络和外部宽带。网络系统应实现虚拟局域网（VLAN）

日勺功能，以保证全网日勺良好性能及网络安全性。主干网互换机应具有很高日勺包

互换速度，整个网络应具有高速日勺三层互换功能。主干网络应当采用成熟日勺、

可靠日勺千兆以太网技术作为网络系统主干。同步该网应选用先进的I网管软件，

建立完善日勺网络管理体系；在设备方面，应选择有成功案例的网络厂商H勺设备,

同步为Intranet、拨号顽客和移动顾客提供接口，网络还应具有良好的扩展性。

2.3设备分析

根据对网络需求日勺考察，根据合理性、实用性和节省费用等原则进行设备

选择：

(1)基于路由器和互换机的后部网间的互联是最佳的处理方案。网络协议方

面，以网际协议(IP)作为校园网网络系统的公用网络协议实行原则化，使用

IP作为原则传播协议，在后来对网络进行扩充以与其他日勺网络互连时，可以跨

越多种平台自然而然地提供互操作能力和无缝连接功能。

(2)在主干网建设时，选择3com和Cisco系统产品，它可以以极具竞争力

日勺价格提供所有技术，为我们提供一种集成化、高性能、灵活、可伸缩、安全

和高性能价格比日勺处理方案的原则。

(3)在局部网建设方而，选择使用CISCO设各和TP-LINK产品作为骨干网

基础设施日勺基础。CISCO设备和TP-LINK方案提供了可伸缩日勺构造和高性能

日勺设备，可以高速传播数据，同步通过它们Secure技术保证了安全地接入

Internet和一体化日勺网络处理方案。

(4)计算机终端设备时选型既考虑性能、价格比、设备日勺运行维护费用，也

考虑设备日勺可扩充性，保证系统重要设备日勺投入在整个系统的生命周期内能得

到充足运用并具有强健灵活的I体系构造。同步，也考虑局部子网对硬件和信息

流量日勺规定，必须可以提供专用的高速带宽，以处理平常数据信息和峰值操作,

并可以支持多种新技术和新增顾客。

(5)安全性是另一种关键规定，要保证可以安全地接入Internet。

2.4网络拓扑构造设计

在顾客的J网络构造设计中，我们提议采用层次化日勺构造设计。

对于顾客即将建设的网络系统来说，想要建设成为一种覆盖范围广、网络

性能优良、具有很强扩展能力和升级能力日勺网络，在起初日勺设计中就必须采用

层次化的I网络设计原则。采用这样的构造所建设日勺网络具有良好的I扩充性、管

理性，由于新的子网模块和新日勺网络技术能被更轻易集成到整个系统中，而不

破坏已存在的骨干网。

大多数的网络都可以被层次性划分为三个逻辑服务单元：关键骨干网

(Backbone)、汇聚网(Distribute)和接入网(Local-access),模块化网络设计措施

日勺目日勺在于把一种大型的网络元素划提成一种个互连日勺网络层次。层次性构造

如下图所示。

核心层

根据项目的详细需求及既有日勺光纤构造，结合网络建设的基本理论和原则,

各入网部门的实际状况，应用需求，资金条件和远，近目口勺等各方面口勺规定，

设计出该网络为拓扑构造为分层日勺集中式构造或称星型分级拓扑。

内部网络拓扑图:

网络逻辑拓扑构造如图所示。它是在基于高端路由互换机的基础之上而设

计欧I新的网络拓扑构造。简要阐明如下：

整个网络由关键层、汇聚层和接入层两大部分构成。

关键层是由CISCOWS-C3560-48TS-S企业级关键路由互换机构成。

汇聚层由CISCOWS-C3560-24TS-S路由互换机构成。

接入层是由接入层楼层互换机CISCOWS-C2918-24TC-C构成。

重要网络设备列表：

拓扑构造设备型号数量（台）

关键层路由互换机CISCOWS-C356048TS-S2

汇聚层路由互换机CISCOWS-C3560-24TS-S3

接入层楼层互换机CISCOWS-C2918-24TC-C26

以行政楼中心机房为中心，下属部门为接入点的星型连接方式。现阶段出

于顾客的应用和先进性考虑，通过千兆光纤连接。

各楼层的I办公网是以星型的方式千兆直接连接到各汇聚机房的I汇聚互换机

上后，由汇聚互换机通过千兆接到关键互换机。我们可采用千兆路由互换机与

各LAN网段的互换机(Switch)连接而构成星型网络，实现千兆关键网络到

各楼层，百兆到桌面，满足多种应用日勺需要。

关键层互换机与服务器群的相连是以千兆以太网日勺方式。

以上拓扑构造设计有如下特点：

(1)它充足运用网络资源，把互换路由模块分开成第二层互换和第三层路

由，这样做对网络的性能大有改善。

(2)网络拓扑构造层次清晰，易于扩充和升级(背面有升级日勺拓扑方案)，

同步体现了开放式的体系构造。

(3)由于关键互换机所承载口勺流量对应减少，从另一种角度来说，也即提高

了网络整体的可靠性，对顾客的QoS从网络构造的优化上得到了保证。

(4)大大减少网络瓶颈和由于链路、路由而导致的故障。

(5)通过在网内划分VLAN的技术来保证网络内部口勺安全性。

2.5内部网络设计

2.5.1关键层互换机的设计

关键层重要功能是给下层各业务汇聚节点提供IP业务平面高速承载和互

换通道，负责进行数据的高速转发，同步关键层是局域网日勺骨干，是局域网互

连的关键。对关键骨干网络设备日勺布署应为可以提供高带宽、大容量日勺关键路

由互换设备，同步应具有极高的可靠性，可以保证24小时全天候不间断运行，

也就必须考虑设备及链路日勺冗余性、安全性，并且关键骨干设备同步还应拥有

非常好的扩展能力，以便伴随网络的发展而发展。

基于对关键层的功能及作用，根据顾客的实际需求，本方案中对网络系统

中关键层由CISCO系列的企业级关键互换机WS-C3560-48TS-S构成。其重要

任务是提供高性能、高安全性日勺关键数据互换、QoS和为接入层提供高密度日勺

上联端口。为整个大楼宽带办公网提供互换和路由的关键，完毕各个部分数据

流的中央汇集和分流。同步为数据中心的服务器提供千兆高速连接。

根据该企业日勺建筑分々及网络规模，以行政楼的中心机房作为整个网络系

统的关键节点。关键节点由2台同档次的)网络关键设备构成，它们互为备份且

流量负载均衡。2台网络关键互换机作为整个网络的关键层设备，为各个汇聚

层和接入层互换机提供上联。同步提供了各个服务器的可靠接入。

由于WS-C3560-48TS-S是路由互换机，也即同步具有第二层和第三层的)互

换能力，为了充足运用资源，将服务器、E—mail服务器、数据库服务器、

文献VOD服务器、认证的服务器(Radiusserver)以及网管设备等通过千兆直

接连人关键互换机，以处理带宽瓶颈，充足运用关键互换机的I互换能力。

关键互换机作为信息网络的关键设备，性能的优劣直接影响到整个网络运

行。在设备的选型上必须考虑到有足够的背板带宽，包互换能力，与否支持设

备的冗余，安全性，扩展性等多种性能。企业级关键互换机WS-C3560-48TS-S

完全满足上述的各项规定。

企业级关键路由互换机WS-C3560-48TS-S的性能特性及技术指标如下:

•互换机类：企业级互换机

•应用层级：三层

•接口介质：1()/H)()BASE-17100FX

•传播速率：1OMbps/l(X)Mbps

­端口数量：48

•背板带宽：32Gbps

•VLAN支持：支持

・网管功能：网管功能SNMP,CLI,

・包转发率：13.1Mpps

・MAC地址：12k

・网络原则：IEEE802.3,8()2.3u,

•端口构造：非模块化

2.5.2汇聚层互换机的设计

汇聚层重要完毕日勺任务是对各业务接入节点R勺业务汇聚、管理和分发处理,

是完毕网络流量日勺安全控制机制，以使关键网和接入访问层环境隔离开来；同

步汇聚层起着承上启下的作用，对上连接至关键层，对下将多种宽带数据业务

分派到各个接入层的业务节点，汇聚层位于中心机房或下联单位欧I分派线间，

重要用于汇聚接入路由器以及接入互换机。

因此对汇聚层的互换机布署时必须考虑互换机必须具有足够的I可靠性和冗

余度，防止网络中部分接入层变成孤岛；还必须具有高处理能力，以便完毕网

络数据会聚、转发处理；具有灵活、优化日勺网络路由处理能力，实现网络汇聚

日勺优化。并且规划汇聚层时提议汇聚层节点欧I数量和位置应根据业务和光纤资

源状况来选择；汇聚层节点可采用星形连接，每个汇聚层节点保证与两个不一

样的I关键层节点连接。

根据汇聚层在整个网络中H勺作用以及顾客日勺实际需求，本方案中汇聚层共

设计了3个节点，即：行政楼、生产车间和运送楼(工段办)。

汇聚层网络设备所有采用了CISCOWS-C3560-24TS-S互换机。该互换机支

持多种高级路由协议,如BGP4、RIPV1、RIPv2、VRRP、OSPF>IP组播、IPX

路由。

汇聚路由互换机CISCOWS-C3560-24TS-S的性能特性及技术指标如下：

•互换机类：企业级互换机

•应用层级：三层

・接口介质：1()/1()0BASE-T/100FX

•传播速率：10Mbps/l(X)Mbps

・端口数量：24

・背板带宽：32Gbps

•VLAN支持：支持

・网管功能：SNMP,CLI,Web,管理

2.5.3接入层互换机的设计

接入层重要用来支撑客户端机器对服务器日勺访问，重要是指接入路由器、

互换机、终端访问顾客。它运用多种接入技术，迅速覆盖至顾客节点，将不一

样地理分布的顾客迅速有效地接入到信息网的汇聚。对上连接至汇聚层和关键

层，对下进行带宽和业务分派，实现顾客日勺接入。

根据我们所借鉴日勺项目设计经验，汇聚层节点与接入层节点可考虑采用星

形连接，每个接入层节点与两个汇聚层节点连接。当接入层采用其他构造(如

环行)连接到汇聚层时，提议提供两条不一样路由通道。

根据接入层处在网络系统中所起日勺作用以及顾客日勺实际需求，本方案中接

入层部分由CISCO企业的WS-C29I8-24TC-C互换机构成。其重要功能是为该

区域下属各部门口勺网络顾客提供大量性价比极高口勺10/100兆网络接口，并与信

息中心欧I关键互换机通过100()兆光纤链路互联为接入的顾客提供高速上联。

接入层楼层互换机CISCOWS-C2918-24TC-CH勺性能特性及技术指标状况

如下：

•互换机类：迅速以太网互换机

•应用层级：二层

•传播速率：10Mbps/100Mbps/1000M

­端口数量：24

・背板带宽：16Gbps

•VLAN支持：支持

・网管功能：CiscoIOSCLLWcb浏

•包转发率：6.5Mpps

•MAC地址：8K

•网络原则：IEEE802.ID,IEEE802

­端口构造：非模块化

•互换方式：存储-转发

•产品内存：64MB

•传播模式：支持全双工

•网管支持：支持

・模块化插：2

2.5.4路由协议的设计

假如网络中只有一种路由器或路由互换机，不需要使用路由协议；只有当

网络中具有多种路由器时，才有必要让它们去共享信息。但假如仅有小型网络,

完全可以通过静态路由手动地更新路由表。现使用较多的路由协议，重要如下

几种：

（1）RIP

RIP（Routeinformationprotocol,即路由信息协议）是基于D-V算法（距

离向量算法）日勺内部动态路由协议。RIP协议的原则重要有RFC1（）58（版本1）

和RFC1723（版本2）。

（2）OSPF

OSPF（OpenShortestPathFirst,即最短途径优先协议）是一种基于链路状

态的I内部动态路由协议。目前OSPF欧|重要原则是RFC2328（版本2）。完整

OSPF功能包括支持广播、NBMA、点到多点、点到点四种接口类型，以及

MD5验证、区域划分、区域间路由聚合、虚连接、STUB区域等特性。

（3）IS-IS

IS-IS（IntermediateSystem-IntermediateSystem,中间系统到中间系统协议）

是由国际原则化组织（ISO）制定日勺路由协议，属于开放系统互联协议簇。IS-IS

对应日勺原则是ISO10589和RFC1195o

在IGP路由协议的选择上，尽量不要采用扩展性差欧I（RIP）和厂家的私

有路由协议（IGRP和EIGRP）,尽量采用OSPF或IS-IS。

对于OSPF和IS-IS日勺选择根据为：基本原理相似（基于链路状态算法）,

OSFF用于IP,1S-1S用于ISO的JCLNP,也支持1PL集成1S-1S"）；1S-1S

构造严谨，OSPF愈加灵活，OSPF协议是基于接口的，而IS-IS路由器只能属

于一种Area,并且不支持NBMA网络；IS-IS占用网络资源相对较少，支持

网络规模不小于OSPF,在网络相称庞大时能体现出优势；一种IGP域运行口勺

三层互换机及路由器口勺数量一般不会超过200台，因此从实际状况来看，运行

OSPF和IS-IS对IP城域网/承载网『、J建设不会有差异；对于网络口勺稳定性、

可扩充性，两种协议都能很好地支持；在大型ISP±,IS-IS与OSPF两者均

获得普遍应用；

从MPLS草案及现实运行来看，假如要运行MPLS网络的话，OSPF常

常被选用做内部IGP,当然IS-IS也有，不过MPLS草案中认为在MPLS环

境中运行OSPF更合适；使用MPLSTE口勺时候，采用IS-IS扩展的较多：

从目前诸多厂商的设备来看，存在这样一种问题，不少厂商的中低端路由

器及三层互换机不支持IS-IS,从这个角度讲OSPF比IS-IS有优势，所有的

主流路由器及三层互换机都支持OSPF。

OSPF路由协议对应日勺配置方略为：

・AS内部节点均运行OSPFv2路由协议；

・假如与别的IIP网络互通，提议配置EBGP路由协议，并且配置OSPF

引入BGP路由；为减少处理开销和网络开销，可将网络日勺主干部分划分为

OSPF主干区域(区域号为0),在边缘日勺支局子网配置成为OSPF子区域，

从而分散路由处理，减少网络带宽占用。通过配置区域，使OSPF可以分层次

管理大型网络，实现可扩展性。使用OSPF协议必须考虑到骨干区域的连通性,

虽然某条链路断掉后能保证骨干区域不会分离；此外，还需要考虑网络边缘层

设备口勺动乱对于关键网络口勺影响。

对于本次方案，根据初期阶段实现目日勺：实现信息点最优连通，提议采用

OSPF路由协议使路由全网可达。详细设计如下：

关键互换机与汇聚”换机都为三层路由互换机.，互相间使用OSPF路由协

议，并运行在AREAR0区域上。

关键互换机为三层互换机，与防火墙连接通过采用1P静态路由的方式，

防火墙通过配置缺省路由使网络顾客对Internet进行访问。

2.5.5IP地址的设计

2.5.5.1IP地址规划和分派原则

(1)根据目前网络构造和后来扩展，遵照如下原则进行IP地址分派。

♦唯一性：IP地址必须唯一，一种IP地址对应一台数据通讯设备;

♦持续性：为同一网络区域分派持续的网络地址，便于规划，同步提高路

由器寻径效率；

♦可管理性：地址的J分派应当有层次性，某个局部日勺变动不影响网络的其

他部分；

♦高效性：采用可变长子网掩码技术，规定采用支持可变长子网掩码技术

日勺TCP/IP协议族；

♦可汇聚性：以便路由汇总，缩减路由表条目，提高路由器处理效率。

♦可扩展性：既要考虑到IP地址时使用现实状况，又要考虑到未来信息

网络日勺发展，为各单位分派合理日勺地址空间，在网络上尽量少地做NA11,减少

网络设备CPU处理承担和加紧网络访问速度。

（2）业务地址日勺划分可以按照两个原则来分派：

♦按照部门规划，每个部门一种独立的网段；这种方案适合业务种类单一

日勺状况，管理以便。

♦按照业务规划，每种业务一种网段，所有的地市同一业务使用同一网段,

这种方案适合业务之间互访的控制。

2.5.5.2网络地址分派

IP地址规划和分派包括如下内容：

（1）设备及互连链路地址规划与分派

（2）业务地址规划与分派

（3）服务器地址规划与分派

根据以上IP地址的划分原则，本方案提议IP日勺设计如下:

2.5.6VLAN的设计

2.5.6.1VLAN时划分的作用及原则

VLAN(VirtualLocalAreaNetwork)是虚拟局域网H勺英文缩写，它最简要

日勺描述就是可以实现将连接在同一种物理网络上面的主机分组，使它们看起来

就象连接在不一样的网络上同样。我们可以通过VLAN为网络分段，各个网

段可以共用同一套网络设备，节省了网络硬件的开销，同步在迁移中所需日勺工

作量也大幅度减少了，从而减少了连网成本。

在顾客的企业局域网系统中，我们提议基于IEEE802.1Q原则实现

VLAN,在VLAN设计中，我们使用VLAN到达两个目的：

第一，不一样业务部门之间H勺隔离和通信控制；

第二，广播范围克制。

2.5.6.2VLAN划分

我们提议根据各个办公室的地理位置来划分VLAN,假如同一栋楼内包括

诸多部门，而这些部门的职能和工作内容又有很大的区别，我们就可以在楼内

按照部门来划分VLAN。

此外，假如某个部门需要跨越诸多建筑物，分布范围比较广，例如部门A分

布时很散，在诸多互换机上都预留了部门A的信息点，我们则可以按照互换

机的位置来设置VLAN,这样，部门A就也许充•应多种VLAN,假如部门A

所对应的IVLAN之间需要通信的话，我们可以通过VLAN间日勺路由来实现。这

样做日勺好处是：可以减少广播数据包对网络主干的影响。由于假如将部门A所

有划分到一种VLAN中，而这些VLAN又跨越了网络主干，分布在众多不一

样的互换机上，这样假如有广播包时，这些广播包必然会在网络的主干上传播,

然后抵达对应的互换机上，也就占用了网络主干的带宽，轻易导致其他业务的

时延。

为了减少传播冲突，提高系统整体性能和网络处理能力，此外，还考虑到

网络良好的管理性，易于维护和安全方略的实行，针对顾客网络系统的实际状

况，可以把功能（应用）相近的设备群组划分到同一VLAN,不一样部门的设

备划分到不一样VLAN中去，这样就可以通过访问控制列表技术实行安全方

略。限制未授权的顾客访问重要的服务器和数据库。

VLAN划分举例：

VLAN用途命名规范表

Vian1()财务部FINANCIAL

Vian11市场销售部MARKET

Vian12管理部MANAGING

............♦......

2.5.63VLAN之间安全控制

在顾客网络系统中，由于在中心使用了三层关键互换机，因此所有的VLAN

之间的访问都需要通过三层关键互换机进行，因此可以通过ACL(访问控制列

表)控制VLAN之间的流量，这样就可以容许高优先级的VLAN段访问低优先

级的VLAN段，而低优先级口勺VLAN段不能访问或有限的访问高优先级

VLAN段。

2.5.7网管系统的设计

网络管理系统时市整个网络进行监视、控制和维护管理，以提高网络H勺有

效性、运用率、安全性和可靠性。网络管理系统由网管中心、网管单元、管理

信息库和网络管理协议四部分构成。

网管中心是网管人员和管理信息系统间的接口，它将网管人员的命令转换

为对实际网元的监视和控制。网管单元在每个节点执行各项网络管理任务，采

集网络资源信息，存储当地有关数据并响应网管人员命令。管理信息库(MIB)

寄存多种网络管理信息的特性参数和逻辑构造。

网络管理协议按规约执行网管人员与网管单元和管理信息库之间的通信。

该企业网络系统设一种网管中心，该中心设在行政楼机房，负责对全网讲

行管理。

2.6外部网络设计

该企业网络顾客为对Internet进行访问，并且为了保证其安全性，规定可以

访问Internet日勺顾客与不能访问Internet日勺顾客进行完全日勺物理隔离，则需要另

建立一套网络系统（简称为外网）。网络顾客（即外网顾客）通过外网布线系统接

至各楼层日勺互换机，汇总到外网日勺主互换机后，接入到防火墙上，防火墙通过IP

地址转换功能（NAT）,将网络顾客（即外网顾客）的私有IP地址转换成Internet

公网IP地址，通过光电转换器与电信相连日勺方式访问Internet,以使该企业网

络内外网互相独立，到达完全的物理隔离日勺目日勺。

与外部网络互连日勺设备是带防火墙的路由器，根据需要选择企业级路由器

D-LinkDI-7500的J性能特性及技术指标状况如下：

­端口构造：非模块化

・广域网接：2个

•局域网接：4个

•传播速率：10/1（）0/1000Mbps

・网络管理：GUI/WEB管理

•顾客数量：800台

•防火墙：内置防火墙

・Qos支持：支持

・VPN支持：支持

•处理器：64位全千兆网络芯片

・网络安全：支持网站过滤上网限制

・状态指示：Link/Act,速度，电源，

・电源功率：最大25W

・环境原则：工作温度：0-40℃工作

・其他性能：ADSL、光纤、以太网、CA

2.7综合布线

局域网布线设计日勺根据是网络的分布架构。网络布线必须有较长远日勺考虑。

对于大型局域网，连接企业院内各个建筑物的网络一般选择光纤，统一规划，

冗余设计，使用线缆保护管道并且埋入地下。

建筑物内乂分为连接各个楼层的垂直布线子系统和连接同一楼层各个房间

入网计算机的水平布.线子系统。

假如设有信息中心网络机房，还应当考虑机房的特殊布线需求。在局域网

布线时，应当充足考虑到未来网络扩展也许需要R勺最大接入节点数量、接入位

置欧I分布和顾客使用日勺以便性。若整座建筑物接入局域网日勺节点计算机不多，

可以采用从一种接入层节点直接连接所有入网节点的设计。若建筑物日勺每个楼

层都分布有大量接入节点，就需要设计垂直布线子系统和水平布线子系统，并

且在每层楼设置专门日勺配线间，安顿该楼层的接入层节点网络设备和配线装置。

水平布线子系统一般采用非屏蔽双绞线或屏蔽双绞线，怎样选择线缆类型

和带宽根据应用需求决定。连接各个楼层互换机R勺垂直布线子系统一般采用光

纤。

企业综合布线系统由工作区子系统、水平布线子系统、垂直干线子系统、

管理子系统和建筑群子系统构成。它日勺设计原则如下：

(1)开放性

严格按照IEEE802、EIA/TIA568等工业及建筑布线原则和中国建筑电气设

计/工业企业通信设计规范。

（2）实用性

适应企业目前和未来发展的需要，具有数据通信、语音通信和图像通信的I

功能。

（3）灵活性

布线系统中任一信息点可以很以便地与多种类型设备（如、计算机、检

测器件以及等）进行连接。

（4）可力'展性

布线系统具有较强的可扩展性，在未来需要时可以很轻易地将所扩充口勺设

备连接到系统中来，实现多种网络服务与应用。

（5）经济性

综合布线系统是一种既具有良好的初期投资特性，即在此后若干年中不增

长新n勺投资状况下仍能保持建筑物的先进性，又是具有极高的性能价格比口勺高

科技产品。一般状况下，综合布线系统的使用寿命为23年。

（6）可靠性

综合布线系统采用高品质的材料和组合压接的方式构成一套高原则的信息

通道。每条通道都采用专用仪器校核线路衰减、串音、信噪比，以保证其电气

性能不会导致交叉干扰。因此，北方企业应采用综合布线系统，才能更好口勺发

挥千兆局域网MJ威力。

第三章网络系统安全性设计分析

网络安全是一种方略及管理，而不仅仅是某一种产品，是一种系统工程，

它包括了物理层、网络层、应用层等一系列安全措施和方略。从外在上安全包

括五个基本要素：机密性、完整性、可用性、可控性与可审查性。

♦机密性：保证信息不暴露给未授权H勺实体或进程。

♦完整性：只有得到容许的人才能修改数据，并且可以鉴别出数据与否已

被篡改。

♦可用性：得到授权的实体在需要时用访问数据，即袭击者不能占用所71

H勺资源而阻碍授权者日勺工作。

♦可控性：可以控制授权范围内的信息流向及行为方式。

♦可审查性：对出现H勺网络安全问题提供调查日勺根据和手段。

3.1网络安全设计

一般认为，安全是三分技术，七分管理，因此我们提议该企业网络系统的

安全保护措施：

3.1.1人员角色划分

要对顾客网络进行有效的安全管理，必须对系统日勺使用人员和管理人员的

不一样角色进行清晰日勺划分，不一样日勺角色拥有不一样的权限和职责，互相制

约，共同保障整个系统的安全性。

对于顾客网络系统波及的I各类人员，我们提议划分如下角色:

(1)决策专家。

(2)安全管理员。

(3)审计员。

(4)系统管理员。

3.1.2路由认证和保护

路由认证(RoutingAuthentication),就是运行丁•不一样设备日勺相似欧I动态

路由协议之间，对互相传递的路由刷新报文进行确实认，以便使得设备可以接

受真正而安全的路由刷新报文。

任何运行一种不支持路由认证的路由协议，都存在着巨大日勺安全隐患。某

些恶意欧I袭击者可以运用这些漏洞，向网络发送不对时或者不一致日勺路由刷新,

由于设备无法证明这些刷新，而使得设备被欺骗，最终导致网络日勺瘫痪。

目前，多数路由协议支持路由认证，并且实现的方式大体相似。认证过程

有基于明文的，也有基于更安全的JMD5校验。

MD5认证与明文认证日勺过程类似，只不过密钥不在网络上以明文方式直接

传送。路由器将使用MD5算法产生一种密钥的“消息摘要”。这个消息摘要将

替代密钥自身发送出去。这样可以保证没有人可以在密钥传播日勺过程中窃取到

密钥信息。使用MD5认证算法日勺路由协议有：

OSPF

RIP版本2

BGP4

EIGRP

3.1.3关闭IP功能服务

有些IP特性对局域网来说是有用的，但对广域网或城域网节点的设备是

小合用的。假如这些特性被恶意袭击者运用，会增长网络日勺危险，因此，网络

设备应具有关闭这些IP功能的能力。

由于IP源路由选项忽视了报文传播途径中的各个设备的中间转发过程，

而不管转发接口日勺工作状态，也许被恶意袭击者运用，刺探网络构造。因此，

设备应能关闭IP源路由选项功能。

设备应能关闭ICMP重定向报文日勺转发。

设备应能关闭定向广播报文日勺转发。缺省应为关闭状态。

3.1.4顾客的安全防护

顾客验证是实现顾客安全防护的基础功能。只有对顾客进行识别和辨别，

才能有效的对其进行保护。通过验证日勺顾客可以享有服务，而未经验证的顾客

则被拒绝。顾客验证一般都与顾客流量参数的配置结合在一起。顾客H勺流量协

议从业务服务器下载到业务接入节点，作为对顾客提供服务的根据。顾客验证

H勺手段包括：PPP验证、WEB验证和端口验证、以及802.lx日勺验证。

3.2网络的VLAN的安全管理设计分析

网络处理方案中口勺互换机可以划分基于端口的VLAN,ACL的安全特性容

许对所有访问进行鉴权，不只是对互换机FI勺管理和配置访问，还包括通过这些

互换机对基础设施的访问。这个软件特性使网络访问仅限于授权日勺和委托日勺顾

客，同步它还全程跟踪网络连接。

关键及汇聚互换机通过数据包头中的数据链路层（MAC）、网络层（IP、IPX）

和传播层（TCP、UDP、RTP、Sock）的信息进行访问控制，可以充足日勺保证各个

VLAN之间的安全性，并且可以防止不必要和不符合访问方略的网络访问。对

整个网络运作性能、故障、问题进行分析，定期产生汇报。访问控制从第二层

端口一MAC,第三层网段一IP,到第四层应用级别，均可控制。支持RADIUS.

TACACS+验证。

3.3Internet安全访问设计分析

为了保证顾客上联Internet的系统安全，防止黑客及其他日勺非法侵入，本方

案在Internet的出口放置防火墙。通过采用防火墙的安全技术屏蔽内部网络构

造，同步运用访问控制列表对数据包进行过滤，根据需要封闭存在安全漏洞所

用的协议和端口，保证内部网络日勺安全。

第四章项目管理

4.1项目管理目的

良好的项目管理是系统集成企业长期成功的主线保证，项目管理目的为：

有效的分派人力、物力资源，使得项目的建设能按工程进度计划高质量、高效

率、低成当地完毕。

4.2项目组织机构

为保证该企业网络系统项目的I顺利进行，在规定期间内完毕交货、安装和

调试，我方将成立专门的项目组织机构并对项目组织机构组员日勺职责进行了分

工。

大体分工为：项目经理、技术负责人、项目管理员、工作组。

4.3项目进度计划

4.3.1项目总体进度计划

标识号任务名称开始时间完成时间工期

1项目需求分析2011年4月25日2011年5月2日6工作日

2需求说明书2011年5月2日2011年5月2日0工作日

3通信规范分析2011年5月2日2011年5月9日6工作日

4通信规范说明文搭2011年5月g日2011年5月9日0工作日

5逻辑网络设计2011年5月9日2011年5月17日7工作日

6逻辑设计文档2011年5月17日2011年5月17日0工作日

7物理网络设计2011年5月17日2011年5月20日4工作日

8物理结构设计文档2011年5月20日2011年5月20日0工作日

9网络设备竞标2011年5月9日2011年5月20日10工作日

10网络设备采购2011年5月20日2011年5月26日5工作日

11设备安装和调试2011年5月26日2011年6月8日10工作日

12粽合布线2011年6月1日2011年6月21日15工作日

13测试和维护20”年6月20日2011年6月30日9工作日

14工程验收2011年6月2g日2011年6月30日2工作日

432项目进度Gantt图（甘特图）

原识导任务名称归011年5月|2011年G月12011^

21124|27|30I3I6I9112115118|21|24|2T|30|2I5|8111114117|20|23|26|29I2I

项目需求分析

需求说明书

通信规范分析

通信规范说明文档

逻辑网络设计

逻辑设计文档

7物理网络设计

T物理结构设计文档

V网络设备竟标

lo网络设备采购

11设备安装和调试

―综合布线

榭试和维护

工程验收

433项目进度详细阐明

4.3.3.1需求分析

需求分析是开发过程中最关键的阶段，需要克服需求搜集H勺困难，采用多

种方式与顾客交流，才能挖掘出网络工程日勺全面需求。需求分析有助于设计者

更好地理解网络应当具有什么样H勺功能和性能，最终设计出符合顾客需求H勺网

络。

搜集需求的范围如下：

(1)业务需求。

(2)顾客需求。

(3)应用需求。

(4)计算机平台需求。

(5)网络通信需求。

需求分析时输出是产生一份需求阐明书，也就是需求规范。在完毕需求阐

明书之后，管理者与网络设计者应当到达共识，并在文献上签字。

在形成需求阐明书的同步，网络设计人员还必须与网络管理部门就需求的

变化建立起需求变更机制，明确容许日勺变更范围。这些内容正式通过后，开发

过程就可以进入下一种阶段。

4.33.2既有网络系统的分析

在这一阶段，应当给出一份正式日勺通信规范阐明文档，作为下一阶段口勺输

入。网络分析阶段应当提供欧I通信规范阐明文档包括下列内容：

(1)既有网络的I拓扑构造图。

(2)既有网络的容量，以及新网络所需的通信量和通信模式。

(3)详细的记录数据，直接反应既有网络性能的测试量。

(4)Internet接口和广域网提供的服务质量汇报。

(5)限制原因列表，例如使用线缆和设备清单等。

4.3.3.3确定网络逻辑构造

网络逻辑构造设计是体现网络设计关键思想的关键阶段，在这一阶段根据

需求规范和通信规范选择一种比较合适的网络逻缉构造，并实行后续日勺资源分

派规划、安全规划等内容。

该阶段最终得到一份逻辑设计汇报，输出日勺内容包括如下几点：

(I)网络逻辑设计图。

(2)IP地址分派方案。

(3)安全管理方案。

(4)详细的软硬件、广域网连接设备和基本日勺网络服务。

(5)招聘和培训网络员工的详细阐明。

(6)对软硬件费用、服务提供费用以及员工和培训费用的初步估计。

4・3.3.4确定网络物理构造

物理网络设计是逻辑网络设计的详细体现，通过对设备的详细物理分布、

运行环境等确实定来保证网络日勺物理连接符合逻辑设计的规定。

网络物理构造文档必须尽量详细、清晰，输出内容如下：

(1)网络物理构造图和布线方案。

(2)设备和部件的详细列表清单。

(3)软硬件和安装费用日勺估计。

(4)安装日程表，详细阐明服务的时间以及期限。

(5)安装后的测试计划。

(6)顾客的培训计划。

4.33.5安装和维护

(一)安装。安装阶段应当产生日勺输出：

①逻辑网络构造图和物理网络构造布署图。

②符合规范日勺设备连接图和布线图。

③运行维护记录和文档。

(二)维护。网络投入运行后，需要大量日勺故障检测和故障恢复，以及网

络升级和性能优化等维护工作。

第五章工程预算

5.1项目总体预算

（项目报价列表】（金额单位：元）

序号名称成本金额报价金额本项毛利利润比率

1网络设备718,774.00915993.36197,219.3627.44%

2服务器334,253.00378718.4544,465.4513.3%

3安全系统77,200.0090555.6013,355.6017.3%

4系统软件31,700.0041923.2510,223.2532.25%

5机房建设71,500.0089726.4018,226.4025.49%

6综合布线99,039.00113933.8514,894.8515.04%

7光纤设备344,576.00395066.0050,490.0014.65%

8培训36,600.004941O.(X)12,810.0035.%

9其他费用.000.(X)%

设备报价1,713,642.002,075,326.91361,684.9117.43%

［项目报价记录】

标号收费阐明计算公式计算值

A设备报价2,075,326.91

C税金A*0.05