中小型企業(yè)網(wǎng)絡工程設計方案--OKK

1、計算機網(wǎng)絡企業(yè)網(wǎng)絡工程設計方案華中科技大學20102011學年第二學期計算機網(wǎng)絡課程設計企業(yè)網(wǎng)絡工程設計方案院 系： 控制系 年 級： 08級 班 級： 自動化0804班 III / 36目 錄目 錄II第一章 網(wǎng)絡系統(tǒng)設計概述11.1項目背景11.2需求分析11.3編制依據(jù)2第二章 網(wǎng)絡系統(tǒng)設計32.1網(wǎng)絡設計原則32.2設計要求32.3設計目標42.3設備分析42.4網(wǎng)絡拓撲結構設計52.5內部網(wǎng)絡設計72.5.1核心層交換機的設計72.5.2匯聚層交換機的設計82.5.3接入層交換機的設計92.5.4路由協(xié)議的設計102.5.5 IP地址的設計112.5.6 VLAN的設計122.5.7

2、網(wǎng)管系統(tǒng)的設計142.6外部網(wǎng)絡設計142.7綜合布線15第三章 網(wǎng)絡系統(tǒng)安全性設計分析173.1網(wǎng)絡安全設計173.1.1人員角色劃分173.1.2路由認證和保護173.1.3關閉IP功能服務183.1.4用戶的安全防護183.2網(wǎng)絡的VLAN的安全管理設計分析193.3 Internet安全訪問設計分析19第四章 項目管理204.1項目管理目標204.2項目組織機構204.3項目進度計劃204.3.1項目總體進度計劃204.3.2項目進度Gantt圖（甘特圖）204.3.3項目進度詳細說明21第五章 工程預算245.1項目總體預算245.2網(wǎng)絡設備255.3服務器275.4安全系統(tǒng)285.

3、5系統(tǒng)軟件285.6機房建設285.7綜合布線295.8光纖設備315.9培訓33第一章 網(wǎng)絡系統(tǒng)設計概述1.1項目背景為了適應業(yè)務的發(fā)展和國際化的需要，積極參與國家信息化進程，提高管理水平，展現(xiàn)全新的形象，某廠準備建立一個現(xiàn)代化的機構內部網(wǎng)，實現(xiàn)信息的共享、協(xié)作和通訊，并和屬下個部門互連，并在此基礎上開發(fā)建設現(xiàn)代化的企業(yè)應用系統(tǒng)，實現(xiàn)智能型、信息化、快節(jié)奏、高效率的管理模式。在本方案中，我們借鑒了大型高端網(wǎng)絡系統(tǒng)集成的經(jīng)驗，充分利用當今最成熟、最先進的網(wǎng)絡技術，對該信息網(wǎng)絡系統(tǒng)的建設與實施提出方案。1.2需求分析為實現(xiàn)上述目標，可以把整個系統(tǒng)建設分成兩個部分，即：網(wǎng)絡平臺建設和Interne

4、t/Intranet平臺建設。（1）網(wǎng)絡平臺是建立在結構化布線基礎上的最基本的平臺?？煽康木W(wǎng)絡平臺是Internet/Intranet系統(tǒng)及應用系統(tǒng)正常運行的基礎。網(wǎng)絡平臺的設計應包括局域網(wǎng)的設計、廣域網(wǎng)的設計。（2）Internet/Intranet平臺包括Intranet、Internet和Extranet。三者的關系如圖：Internet/Intranet系統(tǒng)具有客戶端單一界面、易于使用的特點。在中中國港灣建設總公司的平臺建設中，Extranet部分對應于與各合作伙伴信息交流的相關部分。網(wǎng)絡系統(tǒng)主要是以光纖作為傳輸媒介、以IP 和 Intranet技術為技術主體、以核心交換機為交換中心、

5、下屬部門信息網(wǎng)絡系統(tǒng)為分節(jié)點的多層結構、提供與各種職能相關的、功能齊全、技術先進、資源統(tǒng)一的網(wǎng)上應用系統(tǒng)，進一步可擴展成為多功能網(wǎng)絡平臺?？傮w目標是建立該企業(yè)的辦公業(yè)務信息網(wǎng)絡交換平臺，集成下屬各部門信息網(wǎng)絡系統(tǒng)，功能齊全、技術先進、集成化的網(wǎng)絡系統(tǒng)。（一）設計網(wǎng)絡需求如下：(1)信息的共享；(2)公司管理；(3)辦公自動化；(4)高速Internet 沖浪。（二）企業(yè)辦公網(wǎng)主干和信息點需求及分布擬建的企業(yè)網(wǎng)絡主要涉及到四幢建筑物：行政樓（含附近的門衛(wèi)）、生產(chǎn)車間（含附近的廠區(qū)辦）、運輸樓（含附近的工段辦）。這四幢建筑物之間擬通過光纜連接。網(wǎng)絡中心和機房設在行政樓內。信息點需求為：行政樓： 8

6、01個（含門衛(wèi)1個）生產(chǎn)車間：364個（含廠區(qū)辦4個）運輸樓： 20個（全為工段辦）主干網(wǎng)接入全球互聯(lián)信息網(wǎng)外接（Internet），各子網(wǎng)再接入主干通信網(wǎng)。主干網(wǎng)接入Internet的方式可是有線綜合寬帶網(wǎng)，速率可在100Mbps左右。主干為千兆光纖線路，其它線路為超五類雙絞線。（三）投資預算要求投資在20萬元以內，包括局域網(wǎng)設計（可利用原有寬帶設備），交換機設備，綜合布線等。1.3編制依據(jù)計算機信息系統(tǒng)保密管理暫行規(guī)定（國家保密局1988 年 2 月 26 日印發(fā)） 計算機信息國際聯(lián)網(wǎng)保密管理暫行規(guī)定（國家保密局1999 年 12 月 29 日印發(fā)） 中國公眾多媒體通信網(wǎng)技術體制 中國公眾

7、多媒體通信網(wǎng)工程實施技術要求 IEEE 工業(yè)標準：802.1d，802.1p，802.1q，802.1x，802.3，802.3u，802.3z 支持路由協(xié)議：IP 的 RIP v1/2，OSPF，BGP-4；IPX 的 RIP 多址廣播協(xié)議：IGMP，DVMRP，PIM-DM，PIM-SM 網(wǎng)絡管理協(xié)議：SNMP，RMON，RMON2第二章 網(wǎng)絡系統(tǒng)設計本系統(tǒng)設計主要進行節(jié)點網(wǎng)絡拓撲、路由組織、IP 地址、網(wǎng)絡安全設計、VLAN 劃分和設備的具體配置等設計，詳細描述所采用的設備及性能參數(shù)、網(wǎng)絡管理。2.1網(wǎng)絡設計原則(1) 遵循中國公眾多媒體通信網(wǎng)技術體制、中國公眾多媒體通信網(wǎng)工程實施技術要

8、求以及其它國家相關標準和技術體制。 (2) 采用層次化設計，網(wǎng)絡結構的不同部分有不同的功能，使網(wǎng)絡具有優(yōu)良的結構。 (3) 優(yōu)化網(wǎng)絡和系統(tǒng)結構，并在各個層面考慮冗余和備份，使系統(tǒng)具有較高的容錯能力和應變能力，以保證系統(tǒng)的可靠和有效運作。 (4) 選用的技術確保開放性、可移植性、兼容性和可擴展性。 (5) 采用通用的國際標準和協(xié)議，不采用有礙網(wǎng)絡互通的廠家特有性能。 (6) 提供有效的安全保密措施，確保整個網(wǎng)絡的安全。重要網(wǎng)絡設備應有適當?shù)娜哂鄠浞荨?(7) 盡量詳細準確，減低工程的復雜程度，使系統(tǒng)建設和改造的工作量減至最少，以保證工程的順利和有效完成。2.2設計要求（1）實用性：網(wǎng)絡建設從應用

9、實際需求出發(fā)，堅持為領導決策服務，為經(jīng)營管理服務，為生產(chǎn)建設服務。另外，如果是對現(xiàn)有網(wǎng)絡升級改造，還應該充分考慮如何利用現(xiàn)有資源，盡量發(fā)揮設備效益。（2）適度先進性：規(guī)劃局域網(wǎng)，不但要滿足用戶當前的需要，還應該有一定技術前瞻性和用戶需求預見性，考慮到能夠滿足未來幾年內用戶對網(wǎng)絡功能和帶寬的需要。采用成熟的先進技術，兼顧未來的發(fā)展趨勢，即量力而行，又適當超前，留有發(fā)展余地。（3）經(jīng)濟性：要求價格適中，設備及耗材要求采用質量過硬，物美價廉，投資預算不超過20萬。（4）安全可靠性：確保網(wǎng)絡可靠運行，在網(wǎng)絡的關鍵部分應具有容錯能力，提供公共網(wǎng)絡連接、通信鏈路、服務器等全方位的安全管理系統(tǒng)。（5）開放性

10、：采用國際標準通信協(xié)議、標準操作系統(tǒng)、標準網(wǎng)管軟件、采用符合標準的設備，保證整個系統(tǒng)具有開放特點，增強與異機種、異構網(wǎng)的互聯(lián)能力。（6）可擴展性：系統(tǒng)便于擴展，保證前期的投資的有效性與后期投資的連續(xù)性（7）安全保密性：為了保證網(wǎng)上信息的安全和各種應用系統(tǒng)的安全，在規(guī)劃時就要為局域網(wǎng)考慮一個周全的安全保密方案。2.3設計目標該企業(yè)網(wǎng)絡系統(tǒng)應是一個以寬帶IP網(wǎng)為目標，建立數(shù)據(jù)、語音、視頻三網(wǎng)合一的一體化內部辦公網(wǎng)絡和外部寬帶。網(wǎng)絡系統(tǒng)應實現(xiàn)虛擬局域網(wǎng)（VLAN）的功能，以保證全網(wǎng)的良好性能及網(wǎng)絡安全性。主干網(wǎng)交換機應具有很高的包交換速度，整個網(wǎng)絡應具有高速的三層交換功能。主干網(wǎng)絡應該采用成熟的、可

11、靠的千兆以太網(wǎng)技術作為網(wǎng)絡系統(tǒng)主干。同時該網(wǎng)應選用先進的網(wǎng)管軟件，建立完善的網(wǎng)絡管理體系；在設備方面，應選擇有成功案例的網(wǎng)絡廠商的設備，同時為Intranet、撥號用戶和移動用戶提供接口，網(wǎng)絡還應具有良好的擴展性。2.3設備分析根據(jù)對網(wǎng)絡需求的考察，根據(jù)合理性、實用性和節(jié)約費用等原則進行設備選擇：(1) 基于路由器和交換機的局部網(wǎng)間的互聯(lián)是最好的解決方案。網(wǎng)絡協(xié)議方面，以網(wǎng)際協(xié)議（IP）作為校園網(wǎng)網(wǎng)絡系統(tǒng)的公用網(wǎng)絡協(xié)議實行標準化，使用IP作為標準傳輸協(xié)議，在以后對網(wǎng)絡進行擴充以與其它的網(wǎng)絡互連時，可以跨越多個平臺自然而然地提供互操作能力和無縫連接功能。(2) 在主干網(wǎng)建設時，選擇3Com和Ci

12、sco系統(tǒng)產(chǎn)品，它能夠以極具競爭力的價格提供所有技術，為我們提供一個集成化、高性能、靈活、可伸縮、安全和高性能價格比的解決方案的標準。(3) 在局部網(wǎng)建設方面，選擇使用CISCO設備和TP-LINK產(chǎn)品作為骨干網(wǎng)基礎設施的基礎。 CISCO設備和TP-LINK方案提供了可伸縮的結構和高性能的設備，能夠高速傳輸數(shù)據(jù)，同時通過它們Secure技術保證了安全地接入Internet和一體化的網(wǎng)絡解決方案。(4) 計算機終端設備的選型既考慮性能、價格比、設備的運行維護費用，也考慮設備的可擴充性，確保系統(tǒng)主要設備的投入在整個系統(tǒng)的生命周期內能得到充分利用并具有強健靈活的體系結構。同時，也考慮局部子網(wǎng)對硬件

13、和信息流量的要求，必須能夠提供專用的高速帶寬，以處理日常數(shù)據(jù)信息和峰值操作，并能夠支持各種新技術和新增用戶。(5) 安全性是另一個關鍵要求，要保證能夠安全地接入Internet。2.4網(wǎng)絡拓撲結構設計在用戶的網(wǎng)絡結構設計中，我們建議采用層次化的結構設計。 對于用戶即將建設的網(wǎng)絡系統(tǒng)來說，想要建設成為一個覆蓋范圍廣、網(wǎng)絡性能優(yōu)良、具有很強擴展能力和升級能力的網(wǎng)絡，在起初的設計中就必須采用層次化的網(wǎng)絡設計原則。采用這樣的結構所建設的網(wǎng)絡具有良好的擴充性、管理性，因為新的子網(wǎng)模塊和新的網(wǎng)絡技術能被更容易集成到整個系統(tǒng)中，而不破壞已存在的骨干網(wǎng)。 大多數(shù)的網(wǎng)絡都可以被層次性劃分為三個邏輯服務單元：核心

14、骨干網(wǎng)(Backbone)、匯聚網(wǎng)(Distribute)和接入網(wǎng)(Localaccess)，模塊化網(wǎng)絡設計方法的目標在于把一個大型的網(wǎng)絡元素劃分成一個個互連的網(wǎng)絡層次。層次性結構如下圖所示。根據(jù)項目的具體需求及現(xiàn)有的光纖結構，結合網(wǎng)絡建設的基本理論和原則，各入網(wǎng)部門的實際情況，應用需求，資金條件和遠，近目標等各方面的要求，設計出該網(wǎng)絡為拓撲結構為分層的集中式結構或稱星型分級拓撲。內部網(wǎng)絡拓撲圖：網(wǎng)絡邏輯拓撲結構如圖所示。它是在基于高端路由交換機的基礎之上而設計的新的網(wǎng)絡拓撲結構。簡要說明如下：整個網(wǎng)絡由核心層、匯聚層和接入層兩大部分組成。核心層是由CISCO WS-C3560-48TS-S企

15、業(yè)級核心路由交換機組成。匯聚層由CISCO WS-C3560-24TS-S路由交換機組成。接入層是由接入層樓層交換機CISCO WS-C2918-24TC-C組成。 主要網(wǎng)絡設備列表： 拓撲結構設備型號數(shù)量（臺）核心層路由交換機CISCO WS-C3560-48TS-S2匯聚層路由交換機CISCO WS-C3560-24TS-S3接入層樓層交換機CISCO WS-C2918-24TC-C26以行政樓中心機房為中心，下屬部門為接入點的星型連接方式?，F(xiàn)階段出于用戶的應用和先進性考慮，通過千兆光纖連接。 各樓層的辦公網(wǎng)是以星型的方式千兆直接連接到各匯聚機房的匯聚交換機上后，由匯聚交換機通過千兆接到核

16、心交換機。我們可采用千兆路由交換機與各 LAN 網(wǎng)段的交換機（Switch）連接而組成星型網(wǎng)絡，實現(xiàn)千兆核心網(wǎng)絡到各樓層，百兆到桌面，滿足各種應用的需要。 核心層交換機與服務器群的相連是以千兆以太網(wǎng)的方式。以上拓撲結構設計有以下特點： (1) 它充分利用網(wǎng)絡資源，把交換路由模塊分開成第二層交換和第三層路由，這樣做對網(wǎng)絡的性能大有改善。 (2) 網(wǎng)絡拓撲結構層次清楚，易于擴充和升級（后面有升級的拓撲方案），同時體現(xiàn)了開放式的體系結構。 (3) 由于核心交換機所承載的流量相應減少，從另一個角度來說，也即提高了網(wǎng)絡整體的可靠性，對用戶的QoS 從網(wǎng)絡結構的優(yōu)化上得到了保證。 (4) 大大減少網(wǎng)絡瓶頸

17、和由于鏈路、路由而導致的故障。 (5) 通過在網(wǎng)內劃分 VLAN 的技術來確保網(wǎng)絡內部的安全性。2.5內部網(wǎng)絡設計2.5.1核心層交換機的設計核心層主要功能是給下層各業(yè)務匯聚節(jié)點提供 IP 業(yè)務平面高速承載和交換通道，負責進行數(shù)據(jù)的高速轉發(fā)，同時核心層是局域網(wǎng)的骨干，是局域網(wǎng)互連的關鍵。對核心骨干網(wǎng)絡設備的部署應為能夠提供高帶寬、大容量的核心路由交換設備，同時應具備極高的可靠性，能夠保證24小時全天候不間斷運行，也就必須考慮設備及鏈路的冗余性、安全性，而且核心骨干設備同時還應擁有非常好的擴展能力，以便隨著網(wǎng)絡的發(fā)展而發(fā)展。 基于對核心層的功能及作用，根據(jù)用戶的實際需求，本方案中對網(wǎng)絡系統(tǒng)中核心

18、層由CISCO系列的企業(yè)級核心交換機WS-C3560-48TS-S組成。其主要任務是提供高性能、高安全性的核心數(shù)據(jù)交換、QoS 和為接入層提供高密度的上聯(lián)端口。為整個大樓寬帶辦公網(wǎng)提供交換和路由的核心，完成各個部分數(shù)據(jù)流的中央?yún)R集和分流。同時為數(shù)據(jù)中心的服務器提供千兆高速連接。 根據(jù)該企業(yè)的建筑分布及網(wǎng)絡規(guī)模，以行政樓的中心機房作為整個網(wǎng)絡系統(tǒng)的核心節(jié)點。核心節(jié)點由2臺同檔次的網(wǎng)絡核心設備構成，它們互為備份且流量負載均衡。2臺網(wǎng)絡核心交換機作為整個網(wǎng)絡的核心層設備，為各個匯聚層和接入層交換機提供上聯(lián)。同時提供了各個服務器的可靠接入。 由于WS-C3560-48TS-S是路由交換機，也即同時具有

19、第二層和第三層的交換能力，為了充分利用資源，將WWW服務器、 Email服務器、數(shù)據(jù)庫服務器、文件VOD服務器、認證的服務器（Radius server）以及網(wǎng)管設備等通過千兆直接連人核心交換機，以解決帶寬瓶頸，充分利用核心交換機的交換能力。 核心交換機作為信息網(wǎng)絡的核心設備，性能的優(yōu)劣直接影響到整個網(wǎng)絡運行。在設備的選型上必須考慮到有足夠的背板帶寬，包交換能力，是否支持設備的冗余，安全性，擴展性等各種性能。企業(yè)級核心交換機WS-C3560-48TS-S完全滿足上述的各項要求。企業(yè)級核心路由交換機WS-C3560-48TS-S的性能特性及技術指標如下：交換機類：企業(yè)級交換機應用層級：三層接口介

20、質：10/100 BASE-T/ 100FX傳輸速率：10Mbps/100Mbps端口數(shù)量：48背板帶寬：32GbpsVLAN支持：支持網(wǎng)管功能：網(wǎng)管功能 SNMP, CLI,包轉發(fā)率：13.1MppsMAC地址：12k網(wǎng)絡標準：IEEE 802.3, 802.3u,端口結構：非模塊化2.5.2匯聚層交換機的設計匯聚層主要完成的任務是對各業(yè)務接入節(jié)點的業(yè)務匯聚、管理和分發(fā)處理，是完成網(wǎng)絡流量的安全控制機制，以使核心網(wǎng)和接入訪問層環(huán)境隔離開來；同時匯聚層起著承上啟下的作用，對上連接至核心層，對下將各種寬帶數(shù)據(jù)業(yè)務分配到各個接入層的業(yè)務節(jié)點，匯聚層位于中心機房或下聯(lián)單位的分配線間，主要用于匯聚接入

21、路由器以及接入交換機。 因此對匯聚層的交換機部署時必須考慮交換機必須具有足夠的可靠性和冗余度，防止網(wǎng)絡中部分接入層變成孤島；還必須具有高處理能力，以便完成網(wǎng)絡數(shù)據(jù)會聚、轉發(fā)處理；具有靈活、優(yōu)化的網(wǎng)絡路由處理能力，實現(xiàn)網(wǎng)絡匯聚的優(yōu)化。而且規(guī)劃匯聚層時建議匯聚層節(jié)點的數(shù)量和位置應根據(jù)業(yè)務和光纖資源情況來選擇；匯聚層節(jié)點可采用星形連接，每個匯聚層節(jié)點保證與兩個不同的核心層節(jié)點連接。 根據(jù)匯聚層在整個網(wǎng)絡中的作用以及用戶的實際需求，本方案中匯聚層共設計了3個節(jié)點，即：行政樓、生產(chǎn)車間和運輸樓（工段辦）。 匯聚層網(wǎng)絡設備全部采用了CISCO WS-C3560-24TS-S交換機。該交換機支持各種高級路由

22、協(xié)議，如 BGP4、RIPV1、RIPv2、VRRP、OSPF、IP 組播、IPX 路由。 匯聚路由交換機CISCO WS-C3560-24TS-S的性能特性及技術指標如下：交換機類：企業(yè)級交換機應用層級：三層接口介質：10/100 BASE-T/ 100FX傳輸速率：10Mbps/100Mbps端口數(shù)量：24背板帶寬：32GbpsVLAN支持：支持網(wǎng)管功能：SNMP, CLI, Web, 管理2.5.3接入層交換機的設計接入層主要用來支撐客戶端機器對服務器的訪問，主要是指接入路由器、交換機、終端訪問用戶。它利用多種接入技術，迅速覆蓋至用戶節(jié)點，將不同地理分布的用戶快速有效地接入到信息網(wǎng)的匯聚

23、。對上連接至匯聚層和核心層，對下進行帶寬和業(yè)務分配，實現(xiàn)用戶的接入。 根據(jù)我們所借鑒的項目設計經(jīng)驗，匯聚層節(jié)點與接入層節(jié)點可考慮采用星形連接，每個接入層節(jié)點與兩個匯聚層節(jié)點連接。當接入層采用其它結構（如環(huán)行）連接到匯聚層時，建議提供兩條不同路由通道。 根據(jù)接入層處在網(wǎng)絡系統(tǒng)中所起的作用以及用戶的實際需求，本方案中接入層部分由CISCO公司的WS-C2918-24TC-C交換機構成。其主要功能是為該區(qū)域下屬各部門的網(wǎng)絡用戶提供大量性價比極高的10/100 兆網(wǎng)絡接口，并與信息中心的核心交換機通過 1000 兆光纖鏈路互聯(lián)為接入的用戶提供高速上聯(lián)。接入層樓層交換機CISCO WS-C2918-24

24、TC-C的性能特性及技術指標情況如下：交換機類：快速以太網(wǎng)交換機應用層級：二層傳輸速率：10Mbps/100Mbps/1000M端口數(shù)量：24背板帶寬：16GbpsVLAN支持：支持網(wǎng)管功能：Cisco IOS CLI,Web瀏包轉發(fā)率：6.5MppsMAC地址：8K網(wǎng)絡標準：IEEE 802.1D,IEEE 802端口結構：非模塊化交換方式：存儲-轉發(fā)產(chǎn)品內存：64MB傳輸模式：支持全雙工網(wǎng)管支持：支持模塊化插：22.5.4路由協(xié)議的設計如果網(wǎng)絡中只有一個路由器或路由交換機，不需要使用路由協(xié)議；只有當網(wǎng)絡中具有多個路由器時，才有必要讓它們去共享信息。但如果僅有小型網(wǎng)絡，完全可以通過靜態(tài)路由手

25、動地更新路由表。現(xiàn)使用較多的路由協(xié)議，主要以下幾種： （1）RIP RIP（Route information protocol，即路由信息協(xié)議）是基于 D-V算法（距離向量算法）的內部動態(tài)路由協(xié)議。RIP 協(xié)議的標準主要有 RFC1058（版本 1）和 RFC1723（版本2）。 （2）OSPF OSPF（Open Shortest Path First，即最短路徑優(yōu)先協(xié)議）是一種基于鏈路狀態(tài)的內部動態(tài)路由協(xié)議。目前 OSPF 的主要標準是 RFC2328（版本 2）。完整的OSPF 功能包括支持廣播、NBMA、點到多點、點到點四種接口類型，以及MD5 驗證、區(qū)域劃分、區(qū)域間路由聚合、虛連接

26、、STUB 區(qū)域等特性。 （3）IS-IS IS-IS（Intermediate System - Intermediate System，中間系統(tǒng)到中間系統(tǒng)協(xié)議）是由國際標準化組織（ISO）制訂的路由協(xié)議，屬于開放系統(tǒng)互聯(lián)協(xié)議簇。IS-IS 對應的標準是 ISO 10589 和 RFC1195。 在 IGP 路由協(xié)議的選擇上，盡量不要采用擴展性差的（RIP）和廠家的私有路由協(xié)議（IGRP和 EIGRP），盡量采用 OSPF 或 IS-IS。 對于 OSPF 和 IS-IS 的選擇依據(jù)為：基本原理相同（基于鏈路狀態(tài)算法），OSPF 用于 IP， IS-IS 用于 ISO 的 CLNP，也支持

27、IP（“集成 IS-IS” ）；IS-IS 結構嚴謹，OSPF 更加靈活，OSPF協(xié)議是基于接口的，而IS-IS 路由器只能屬于一個 Area，并且不支持 NBMA 網(wǎng)絡； IS-IS 占用網(wǎng)絡資源相對較少，支持網(wǎng)絡規(guī)模大于OSPF，在網(wǎng)絡相當龐大時能體現(xiàn)出優(yōu)勢；一個 IGP 域運行的三層交換機及路由器的數(shù)量一般不會超過200 臺，因此從實際情況來看，運行OSPF 和 IS-IS 對 IP 城域網(wǎng)/承載網(wǎng)的建設不會有差異；對于網(wǎng)絡的穩(wěn)定性、可擴充性，兩種協(xié)議都能很好地支持；在大型 ISP 上，IS-IS 與 OSPF 二者均獲得普遍應用； 從 MPLS 草案及現(xiàn)實運行來看，如果要運行 MPLS

28、 網(wǎng)絡的話，OSPF 經(jīng)常被選用做內部 IGP，當然 IS-IS 也有，但是 MPLS 草案中認為在 MPLS 環(huán)境中運行 OSPF 更合適；使用 MPLS TE 的時候，采用 IS-IS 擴展的較多； 從目前很多廠商的設備來看，存在這樣一個問題，不少廠商的中低端路由器及三層交換機不支持 IS-IS，從這個角度講 OSPF 比 IS-IS 有優(yōu)勢，所有的主流路由器及三層交換機都支持OSPF。 OSPF 路由協(xié)議相應的配置策略為： AS內部節(jié)點均運行OSPFv2路由協(xié)議； 如果與別的IP網(wǎng)絡互通，建議配置EBGP路由協(xié)議，并且配置OSPF引入BGP路由； 為減少處理開銷和網(wǎng)絡開銷，可將網(wǎng)絡的主干

29、部分劃分為 OSPF 主干區(qū)域（區(qū)域號為 0）， 在邊緣的支局子網(wǎng)配置成為OSPF 子區(qū)域，從而分散路由處理，減少網(wǎng)絡帶寬占用。通過配置區(qū)域，使 OSPF 可以分層次管理大型網(wǎng)絡，實現(xiàn)可擴展性。使用 OSPF 協(xié)議必須考慮到骨干區(qū)域的連通性，即使某條鏈路斷掉后能保證骨干區(qū)域不會分離；另外，還需要考慮網(wǎng)絡邊緣層設備的動蕩對于核心網(wǎng)絡的影響。 對于本次方案，根據(jù)初期階段實現(xiàn)目標：實現(xiàn)信息點最優(yōu)連通，建議采用OSPF 路由協(xié)議使路由全網(wǎng)可達。具體設計如下： 核心交換機與匯聚交換機都為三層路由交換機，相互間使用 OSPF 路由協(xié)議，并運行在 AREAR 0區(qū)域上。 核心交換機為三層交換機，與防火墻連接

30、通過采用 IP 靜態(tài)路由的方式，防火墻通過配置缺省路由使網(wǎng)絡用戶對Internet進行訪問。2.5.5 IP地址的設計 IP地址規(guī)劃和分配原則（1）根據(jù)目前網(wǎng)絡結構和以后擴展，遵循以下原則進行IP 地址分配。 u 唯一性：IP 地址必須唯一，一個 IP 地址對應一臺數(shù)據(jù)通訊設備； u 連續(xù)性：為同一網(wǎng)絡區(qū)域分配連續(xù)的網(wǎng)絡地址，便于規(guī)劃，同時提高路由器尋徑效率； u 可管理性：地址的分配應該有層次性，某個局部的變動不影響網(wǎng)絡的其它部分； u 高效性：采用可變長子網(wǎng)掩碼技術，要求采用支持可變長子網(wǎng)掩碼技術的 TCP/IP 協(xié)議族； u 可匯聚性：方便路由匯總，縮減路由表條目，提高路由

31、器處理效率。 u 可擴展性：既要考慮到 IP 地址的使用現(xiàn)狀，又要考慮到未來信息網(wǎng)絡的發(fā)展，為各單位分配合理的地址空間，在網(wǎng)絡上盡可能少地做 NAT，減少網(wǎng)絡設備 CPU 處理負擔和加快網(wǎng)絡訪問速度。 （2）業(yè)務地址的劃分可以按照兩個原則來分配： u 按照部門規(guī)劃，每個部門一個獨立的網(wǎng)段；這種方案適合業(yè)務種類單一的情況，管理方便。 u 按照業(yè)務規(guī)劃，每種業(yè)務一個網(wǎng)段，所有的地市同一業(yè)務使用同一網(wǎng)段，這種方案適合業(yè)務之間互訪的控制。 網(wǎng)絡地址分配 IP 地址規(guī)劃和分配包括以下內容： （1）設備及互連鏈路地址規(guī)劃與分配 （2）業(yè)務地址規(guī)劃與分配 （3）服務器地址規(guī)劃與分配 根據(jù)以上

32、 IP 地址的劃分原則，本方案建議 IP 的設計如下：A段（行政樓、門衛(wèi)）： 55/22B段（生產(chǎn)車間、產(chǎn)區(qū)辦）：55/23C段（運輸樓、工段辦）： 1/272.5.6 VLAN的設計 VLAN的劃分的作用及原則VLAN（Virtual Local Area Network）是虛擬局域網(wǎng)的英文縮寫，它最簡明的描述就是可以實現(xiàn)將連接在同一個物理網(wǎng)絡上面的主機分組，使它們看起來就象連接在不同的網(wǎng)絡上一樣。我們可以通過 VLAN 為網(wǎng)絡分段，各個網(wǎng)段可以共

33、用同一套網(wǎng)絡設備，節(jié)約了網(wǎng)絡硬件的開銷，同時在遷移中所需的工作量也大幅度降低了，從而降低了連網(wǎng)成本。在用戶的企業(yè)局域網(wǎng)系統(tǒng)中，我們建議基于IEEE 802.1Q 標準實現(xiàn) VLAN，在 VLAN 設計中，我們使用 VLAN 達到兩個目的： 第一，不同業(yè)務部門之間的隔離和通信控制； 第二，廣播范圍抑制。 VLAN 劃分我們建議根據(jù)各個辦公室的地理位置來劃分VLAN， 如果同一棟樓內包含很多部門，而這些部門的職能和工作內容又有很大的區(qū)別，我們就可以在樓內按照部門來劃分VLAN。 另外，如果某個部門需要跨越很多建筑物，分布范圍比較廣，例如部門A 分布的很散，在很多交換機上都預留了部門

34、A 的信息點，我們則可以按照交換機的位置來設置 VLAN，這樣，部門A就可能對應多個VLAN，如果部門A所對應的VLAN之間需要通信的話，我們可以通過VLAN間的路由來實現(xiàn)。這樣做的好處是：可以減少廣播數(shù)據(jù)包對網(wǎng)絡主干的影響。因為如果將部門A 全部劃分到一個 VLAN 中，而這些 VLAN 又跨越了網(wǎng)絡主干，分布在眾多不同的交換機上，這樣如果有廣播包時，這些廣播包必然會在網(wǎng)絡的主干上傳輸，然后到達相應的交換機上，也就占用了網(wǎng)絡主干的帶寬，容易造成其他業(yè)務的時延。 為了減少傳輸沖突，提高系統(tǒng)整體性能和網(wǎng)絡處理能力，另外，還考慮到網(wǎng)絡良好的管理性，易于維護和安全策略的實施，針對用戶網(wǎng)絡系統(tǒng)的實際情

35、況，可以把功能（應用）相近的設備群組劃分到同一VLAN，不同部門的設備劃分到不同VLAN 中去，這樣就能夠通過訪問控制列表技術實施安全策略。限制未授權的用戶訪問重要的服務器和數(shù)據(jù)庫。VLAN劃分舉例：VLAN用途命名規(guī)范表Vlan10財務部FINANCIALVlan11市場銷售部MARKETVlan12管理部MANAGING VLAN 之間安全控制在用戶網(wǎng)絡系統(tǒng)中，由于在中心使用了三層核心交換機，因此所有的VLAN 之間的訪問都需要通過三層核心交換機進行，因此可以通過ACL（訪問控制列表）控制VLAN之間的流量，這樣就可以允許高優(yōu)先級的VLAN段訪問低優(yōu)先級的VLAN段，而低優(yōu)先

36、級的VLAN 段不能訪問或有限的訪問高優(yōu)先級 VLAN段。2.5.7網(wǎng)管系統(tǒng)的設計網(wǎng)絡管理系統(tǒng)時對整個網(wǎng)絡進行監(jiān)視、控制和維護管理，以提高網(wǎng)絡的有效性、利用率、安全性和可靠性。網(wǎng)絡管理系統(tǒng)由網(wǎng)管中心、網(wǎng)管單元、管理信息庫和網(wǎng)絡管理協(xié)議四部分組成。 網(wǎng)管中心是網(wǎng)管人員和管理信息系統(tǒng)間的接口，它將網(wǎng)管人員的命令轉換為對實際網(wǎng)元的監(jiān)視和控制。網(wǎng)管單元在每個節(jié)點執(zhí)行各項網(wǎng)絡管理任務，采集網(wǎng)絡資源信息，存儲本地相關數(shù)據(jù)并響應網(wǎng)管人員命令。管理信息庫(MIB)存放各種網(wǎng)絡管理信息的特征參數(shù)和邏輯結構。網(wǎng)絡管理協(xié)議按規(guī)約執(zhí)行網(wǎng)管人員與網(wǎng)管單元和管理信息庫之間的通信。 該企業(yè)網(wǎng)絡系統(tǒng)設一個網(wǎng)管中心，該中心設在

37、行政樓機房，負責對全網(wǎng)進行管理。2.6外部網(wǎng)絡設計該企業(yè)網(wǎng)絡用戶為對Internet進行訪問，而且為了保證其安全性，要求能夠訪問Internet的用戶與不能訪問Internet的用戶進行完全的物理隔離，則需要另建立一套網(wǎng)絡系統(tǒng)(簡稱為外網(wǎng))。網(wǎng)絡用戶(即外網(wǎng)用戶) 通過外網(wǎng)布線系統(tǒng)接至各樓層的交換機，匯總到外網(wǎng)的主交換機后，接入到防火墻上，防火墻通過 IP 地址轉換功能（NAT），將網(wǎng)絡用戶(即外網(wǎng)用戶)的私有 IP 地址轉換成Internet公網(wǎng) IP 地址，通過光電轉換器與電信相連的方式訪問Internet，以使該企業(yè)網(wǎng)絡內外網(wǎng)互相獨立，達到完全的物理隔離的目的。與外部網(wǎng)絡互連的設備是帶防

38、火墻的路由器，根據(jù)需要選擇企業(yè)級路由器D-Link DI-7500的性能特性及技術指標情況如下：端口結構：非模塊化廣域網(wǎng)接：2個局域網(wǎng)接：4個傳輸速率：10/100/1000Mbps網(wǎng)絡管理：GUI/WEB管理用戶數(shù)量：800臺防火墻：內置防火墻Qos支持：支持VPN支持：支持處理器：64位全千兆網(wǎng)絡芯片網(wǎng)絡安全：支持網(wǎng)站過濾 上網(wǎng)限制狀態(tài)指示：Link/Act，速度，電源，電源功率：最大25W環(huán)境標準：工作溫度：0-40 工作其它性能：ADSL、光纖、以太網(wǎng)、CA2.7綜合布線局域網(wǎng)布線設計的依據(jù)是網(wǎng)絡的分布架構。網(wǎng)絡布線必須有較長遠的考慮。對于大型局域網(wǎng)，連接公司院內各個建筑物的網(wǎng)絡通常選

39、擇光纖，統(tǒng)一規(guī)劃，冗余設計，使用線纜保護管道并且埋入地下。建筑物內又分為連接各個樓層的垂直布線子系統(tǒng)和連接同一樓層各個房間入網(wǎng)計算機的水平布線子系統(tǒng)。如果設有信息中心網(wǎng)絡機房，還應該考慮機房的特殊布線需求。在局域網(wǎng)布線時，應該充分考慮到將來網(wǎng)絡擴展可能需要的最大接入節(jié)點數(shù)量、接入位置的分布和用戶使用的方便性。若整座建筑物接入局域網(wǎng)的節(jié)點計算機不多，可以采用從一個接入層節(jié)點直接連接所有入網(wǎng)節(jié)點的設計。若建筑物的每個樓層都分布有大量接入節(jié)點，就需要設計垂直布線子系統(tǒng)和水平布線子系統(tǒng)，并且在每層樓設置專門的配線間，安置該樓層的接入層節(jié)點網(wǎng)絡設備和配線裝置。水平布線子系統(tǒng)通常采用非屏蔽雙絞線或屏蔽雙絞

40、線，如何選擇線纜類型和帶寬根據(jù)應用需求決定。連接各個樓層交換機的垂直布線子系統(tǒng)通常采用光纖。企業(yè)綜合布線系統(tǒng)由工作區(qū)子系統(tǒng)、水平布線子系統(tǒng)、垂直干線子系統(tǒng)、管理子系統(tǒng)和建筑群子系統(tǒng)組成。它的設計原則如下：（1）開放性嚴格按照IEEE802、EIA/TIA 568等工業(yè)及建筑布線標準和中國建筑電氣設計/工業(yè)企業(yè)通信設計規(guī)范。（2）實用性適應企業(yè)現(xiàn)在和將來發(fā)展的需要，具備數(shù)據(jù)通信、語音通信和圖像通信的功能。（3）靈活性布線系統(tǒng)中任一信息點能夠很方便地與多種類型設備（如電話、計算機、檢測器件以及傳真等）進行連接。（4）可擴展性布線系統(tǒng)具有較強的可擴展性，在將來需要時可以很容易地將所擴充的設備連接到系

41、統(tǒng)中來，實現(xiàn)各種網(wǎng)絡服務與應用。（5）經(jīng)濟性綜合布線系統(tǒng)是一種既具有良好的初期投資特性，即在今后若干年中不增加新的投資情況下仍能保持建筑物的先進性，又是具有極高的性能價格比的高科技產(chǎn)品。通常情況下，綜合布線系統(tǒng)的使用壽命為15年。（6）可靠性綜合布線系統(tǒng)采用高品質的材料和組合壓接的方式構成一套高標準的信息通道。每條通道都采用專用儀器校核線路衰減、串音、信噪比，以保證其電氣性能不會造成交叉干擾。所以，北方公司應采用綜合布線系統(tǒng)，才能更好的發(fā)揮千兆局域網(wǎng)的威力。第三章 網(wǎng)絡系統(tǒng)安全性設計分析網(wǎng)絡安全是一種策略及管理，而不僅僅是某一種產(chǎn)品，是一個系統(tǒng)工程，它包括了物理層、網(wǎng)絡層、應用層等一系列安全措

42、施和策略。從外在上安全包括五個基本要素：機密性、完整性、可用性、可控性與可審查性。 u 機密性：確保信息不暴露給未授權的實體或進程。 u 完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。 u 可用性：得到授權的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權者的工作。 u 可控性：可以控制授權范圍內的信息流向及行為方式。 u 可審查性：對出現(xiàn)的網(wǎng)絡安全問題提供調查的依據(jù)和手段。3.1網(wǎng)絡安全設計通常認為，安全是三分技術，七分管理，因此我們建議該企業(yè)網(wǎng)絡系統(tǒng)的安全保護措施：3.1.1人員角色劃分要對用戶網(wǎng)絡進行有效的安全管理，必須對系統(tǒng)的使用人員和管理人員的不同

43、角色進行清晰的劃分，不同的角色擁有不同的權限和職責，互相制約，共同保障整個系統(tǒng)的安全性。 對于用戶網(wǎng)絡系統(tǒng)涉及的各類人員，我們建議劃分如下角色：(1) 決策專家。(2) 安全管理員。(3) 審計員。(4) 系統(tǒng)管理員。3.1.2路由認證和保護路由認證（Routing Authentication），就是運行于不同設備的相同的動態(tài)路由協(xié)議之間，對相互傳遞的路由刷新報文進行的確認，以便使得設備能夠接受真正而安全的路由刷新報文。 任何運行一個不支持路由認證的路由協(xié)議，都存在著巨大的安全隱患。某些惡意的攻擊者可以利用這些漏洞，向網(wǎng)絡發(fā)送不正確或者不一致的路由刷新，由于設備無法證實這些刷新，而使得設備被

44、欺騙，最終導致網(wǎng)絡的癱瘓。 目前，多數(shù)路由協(xié)議支持路由認證，并且實現(xiàn)的方式大體相同。認證過程有基于明文的，也有基于更安全的MD5 校驗。MD5 認證與明文認證的過程類似，只不過密鑰不在網(wǎng)絡上以明文方式直接傳送。路由器將使用 MD5 算法產(chǎn)生一個密鑰的“消息摘要”。這個消息摘要將代替密鑰本身發(fā)送出去。這樣可以保證沒有人可以在密鑰傳輸?shù)倪^程中竊取到密鑰信息。使用MD5 認證算法的路由協(xié)議有： OSPF RIP 版本 2 BGP4 EIGRP3.1.3關閉IP功能服務有些 IP 特性對局域網(wǎng)來說是有用的，但對廣域網(wǎng)或城域網(wǎng)節(jié)點的設備是不適用的。如果這些特性被惡意攻擊者利用，會增加網(wǎng)絡的危險，因此，網(wǎng)

45、絡設備應具備關閉這些IP 功能的能力。因為 IP 源路由選項忽略了報文傳輸路徑中的各個設備的中間轉發(fā)過程，而不管轉發(fā)接口的工作狀態(tài)，可能被惡意攻擊者利用，刺探網(wǎng)絡結構。 因此，設備應能關閉 IP 源路由選項功能。設備應能關閉ICMP 重定向報文的轉發(fā)。設備應能關閉定向廣播報文的轉發(fā)。缺省應為關閉狀態(tài)。3.1.4用戶的安全防護用戶驗證是實現(xiàn)用戶安全防護的基礎功能。只有對用戶進行識別和區(qū)分，才能有效的對其進行保護。經(jīng)過驗證的用戶可以享受服務，而未經(jīng)驗證的用戶則被拒絕。用戶驗證一般都與用戶流量參數(shù)的配置結合在一起。用戶的流量合同從業(yè)務服務器下載到業(yè)務接入節(jié)點，作為對用戶提供服務的依據(jù)。用戶驗證的手段

46、包括：PPP 驗證、WEB 驗證和端口驗證、以及 802.1x 的驗證。3.2網(wǎng)絡的VLAN的安全管理設計分析網(wǎng)絡解決方案中的交換機可以劃分基于端口的VLAN，ACL的安全特性允許對所有訪問進行鑒權，不只是對交換機的管理和配置訪問，還包括通過這些交換機對基礎設施的訪問。這個軟件特性使網(wǎng)絡訪問僅限于授權的和委托的用戶，同時它還全程跟蹤網(wǎng)絡連接。 核心及匯聚交換機通過數(shù)據(jù)包頭中的數(shù)據(jù)鏈路層(MAC)、網(wǎng)絡層(IP、IPX)和傳輸層(TCP、UDP、RTP、Sock)的信息進行訪問控制，可以充分的保證各個 VLAN之間的安全性，而且可以防止不必要和不符合訪問策略的網(wǎng)絡訪問。對整個網(wǎng)絡運作性能、故障、

47、問題進行分析，定時產(chǎn)生報告。訪問控制從第二層端口MAC，第三層網(wǎng)段IP，到第四層應用級別，均可控制。支持 RADIUS、TACACS+驗證。3.3 Internet安全訪問設計分析為了保證用戶上聯(lián)Internet的系統(tǒng)安全，防止黑客及其他的非法侵入，本方案在Internet的出口放置防火墻。通過采用防火墻的安全技術屏蔽內部網(wǎng)絡結構，同時利用訪問控制列表對數(shù)據(jù)包進行過濾，根據(jù)需要封閉存在安全漏洞所用的協(xié)議和端口，保證內部網(wǎng)絡的安全。第四章 項目管理4.1項目管理目標良好的項目管理是系統(tǒng)集成企業(yè)長期成功的根本保證，項目管理目標為：有效的分配人力、物力資源，使得項目的建設能按工程進度計劃高質量、高效

48、率、低成本地完成。4.2項目組織機構為確保該企業(yè)網(wǎng)絡系統(tǒng)項目的順利進行，在規(guī)定時間內完成交貨、安裝和調試，我方將成立專門的項目組織機構并對項目組織機構成員的職責進行了分工。大致分工為：項目經(jīng)理、技術負責人、項目管理員、工作組。4.3項目進度計劃4.3.1項目總體進度計劃4.3.2項目進度Gantt圖（甘特圖） 4.3.3項目進度詳細說明需求分析需求分析是開發(fā)過程中最關鍵的階段，需要克服需求收集的困難，采用多種方式與用戶交流，才能挖掘出網(wǎng)絡工程的全面需求。需求分析有助于設計者更好地理解網(wǎng)絡應該具有什么樣的功能和性能，最終設計出符合用戶需求的網(wǎng)絡。收集需求的范圍如下：(1) 業(yè)務需求

49、。(2) 用戶需求。(3) 應用需求。(4) 計算機平臺需求。(5) 網(wǎng)絡通信需求。需求分析的輸出是產(chǎn)生一份需求說明書，也就是需求規(guī)范。在完成需求說明書之后，管理者與網(wǎng)絡設計者應該達成共識，并在文件上簽字。在形成需求說明書的同時，網(wǎng)絡設計人員還必須與網(wǎng)絡管理部門就需求的變化建立起需求變更機制，明確允許的變更范圍。這些內容正式通過后，開發(fā)過程就可以進入下一個階段?，F(xiàn)有網(wǎng)絡系統(tǒng)的分析在這一階段，應該給出一份正式的通信規(guī)范說明文檔，作為下一階段的輸入。網(wǎng)絡分析階段應該提供的通信規(guī)范說明文檔包含下列內容：(1) 現(xiàn)有網(wǎng)絡的拓撲結構圖。(2) 現(xiàn)有網(wǎng)絡的容量，以及新網(wǎng)絡所需的通信量和通信模

50、式。(3) 詳細的統(tǒng)計數(shù)據(jù)，直接反應現(xiàn)有網(wǎng)絡性能的測試量。(4) Internet接口和廣域網(wǎng)提供的服務質量報告。(5) 限制因素列表，例如使用線纜和設備清單等。確定網(wǎng)絡邏輯結構網(wǎng)絡邏輯結構設計是體現(xiàn)網(wǎng)絡設計核心思想的關鍵階段，在這一階段根據(jù)需求規(guī)范和通信規(guī)范選擇一種比較適宜的網(wǎng)絡邏輯結構，并實施后續(xù)的資源分配規(guī)劃、安全規(guī)劃等內容。該階段最后得到一份邏輯設計報告，輸出的內容包括以下幾點：(1) 網(wǎng)絡邏輯設計圖。(2) IP地址分配方案。(3) 安全管理方案。(4) 具體的軟硬件、廣域網(wǎng)連接設備和基本的網(wǎng)絡服務。(5) 招聘和培訓網(wǎng)絡員工的具體說明。(6) 對軟硬件費用、服務提供費用以及員工和培訓費用的初步估計。確定網(wǎng)絡物理結構物理網(wǎng)絡設計是邏輯網(wǎng)絡設計的具體體現(xiàn)，