中小型公司企業(yè)網(wǎng)絡(luò)構(gòu)建與安全設(shè)計

1、中小型企業(yè)網(wǎng)絡(luò)構(gòu)建及安全實現(xiàn)方案目 錄一、工程概況21、工程詳述22、項目工期2二、需求分析31、網(wǎng)絡(luò)要求32、系統(tǒng)要求43、用戶要求44、設(shè)備要求5三、網(wǎng)絡(luò)系統(tǒng)設(shè)計規(guī)劃61、網(wǎng)絡(luò)設(shè)計指導(dǎo)原則62、網(wǎng)絡(luò)設(shè)計總體目標(biāo)63、網(wǎng)絡(luò)通信聯(lián)網(wǎng)協(xié)議74、網(wǎng)絡(luò) IP 地址規(guī)劃75、網(wǎng)絡(luò)技術(shù)方案設(shè)計86、網(wǎng)絡(luò)應(yīng)用系統(tǒng)選擇127、網(wǎng)絡(luò)安全系統(tǒng)設(shè)計138、網(wǎng)絡(luò)管理維護設(shè)計13四、網(wǎng)絡(luò)布線系統(tǒng)設(shè)計141、布線系統(tǒng)總體結(jié)構(gòu)設(shè)計142、工作區(qū)子系統(tǒng)設(shè)計143、水平子系統(tǒng)設(shè)計154、管理子系統(tǒng)設(shè)計155、干線子系統(tǒng)設(shè)計156、設(shè)備間子系統(tǒng)設(shè)計157、建筑群子系統(tǒng)設(shè)計16一、工程概況1、工程詳述企業(yè)總部公司有 300 臺

2、PC；公司共有多個部門，不同部門的相互訪問要有限制，公司有自己的內(nèi)部網(wǎng)頁與外部網(wǎng)站；公司有自己的 OA 系統(tǒng)；公司中的臺機能上互聯(lián)網(wǎng)；核心技術(shù)采用VPN；，企業(yè)內(nèi)共有300多名員工；建筑高7層，都具有一樣的內(nèi)部物理結(jié)構(gòu)。一層設(shè)有本建筑的機房，少量的信息點，供未來可能的需求使用，目前并不使用。二層和三層，每層樓布有96個信息點。四層到七層，每層樓布有48個信息點，共400個信息點。每層樓有一個設(shè)備間。樓內(nèi)綜合布線的垂直子系統(tǒng)采用多模光纖，每層樓到一層機房有兩條12芯室內(nèi)多模光纖。要求將除一層以外的全部信息點接入網(wǎng)絡(luò)，但目前不用的信息點關(guān)閉。2、項目工期2010年3月24日-2010年5月29日二

3、、需求分析網(wǎng)絡(luò)上的要求： 穩(wěn)定，有安全機制，升級擴展容易，用戶使用簡單，維護容易等。系統(tǒng)要求： 配置簡單方便，系統(tǒng)運行有高穩(wěn)定性，可管理性等。用戶要求： 滿足基本帶寬要求，保留一定的余量供擴展等。設(shè)備要求： 技術(shù)上具有先進性，易管理，具有良好的性價比。三、網(wǎng)絡(luò)系統(tǒng)設(shè)計規(guī)劃1、網(wǎng)絡(luò)設(shè)計指導(dǎo)原則網(wǎng)絡(luò)設(shè)計應(yīng)該遵循開放性和標(biāo)準(zhǔn)化原則、可用性原則、高性能原則 、經(jīng)濟性原則 、可靠性原則、安全第一原則、適度的可擴展性原則、易管理性原則、易維護性原則、最佳的性能價格比原則、QoS保證2、網(wǎng)絡(luò)設(shè)計總體目標(biāo)靈活性：系統(tǒng)具有較高的適應(yīng)變化的能力。布線系統(tǒng)且具有一定的擴展能力。實用性：使用方便、簡單、易擴展的特點。

4、布線系統(tǒng)應(yīng)在滿足各種需求的情況下盡可能降低材料成本；布線系統(tǒng)具有操作簡單、使用方便、易于擴展的特點。安全性：具有高安全性。3、網(wǎng)絡(luò)通信聯(lián)網(wǎng)協(xié)議TCP/IP ：每種網(wǎng)絡(luò)協(xié)議都有自己的優(yōu)點，但是只有TCP/IP允許與Internet完全的連接。Telnet：遠程登錄訪問協(xié)議，使其他跨省區(qū)域的用戶通過遠程訪問總部的內(nèi)外，在遠程訪問時，會設(shè)置相應(yīng)的ACL認(rèn)證和相對的權(quán)限設(shè)置。SNMP網(wǎng)絡(luò)管理協(xié)議：SNMP 用于在 IP 網(wǎng)絡(luò)管理網(wǎng)絡(luò)節(jié)點（服務(wù)器、工作站、路由器、交換機及 HUBS 等）的一種標(biāo)準(zhǔn)協(xié)議，它是一種應(yīng)用層協(xié)議。SNMP 使網(wǎng)絡(luò)管理員能夠管理網(wǎng)絡(luò)效能，發(fā)現(xiàn)并解決網(wǎng)絡(luò)問題以及規(guī)劃網(wǎng)絡(luò)增長。通過

5、SNMP 接收隨機消息（及事件報告）網(wǎng)絡(luò)管理系統(tǒng)獲知網(wǎng)絡(luò)出現(xiàn)問題。路由協(xié)議：OSPF。4、網(wǎng)絡(luò) IP 地址規(guī)劃企業(yè)園區(qū)網(wǎng)計劃使用私有的A類IP地址。企業(yè)園區(qū)網(wǎng)的IP地址分配原則如下：企業(yè)使用IPv4地址方案。企業(yè)使用私有IP地址空間：.0/8。企業(yè)使用VLSM(變長子網(wǎng)掩碼)技術(shù)分配IP地址空間。企業(yè)IP地址分配滿足集團的利用。 企業(yè)IP地址分配滿足便于路由匯聚。企業(yè)IP地址分配滿足分類控制等。企業(yè)IP地址分配滿足未來公司網(wǎng)絡(luò)擴容的需要。 5、網(wǎng)絡(luò)設(shè)備方案設(shè)計路由器：CISCO 2811 參考價：5200思科2811路由器采用模塊化端口結(jié)構(gòu)，傳輸速率 10/100Mbps 設(shè)置一個10/100

6、Mbps固定廣域網(wǎng)接口，2個固定局域網(wǎng)接口10/100Mbps，支持4個擴展模塊插槽，1個NM插槽和1個Console控制端口，配有RS-232的控制端口。該產(chǎn)品搭載Motorola MPC860 160MHz的處理器，配備最大256MB的Flash閃存和最大760MB的DRAM內(nèi)存，極大的提高了該產(chǎn)品的安全性能。思科2811支持IEEE 802.3X網(wǎng)絡(luò)協(xié)議以及SNMP網(wǎng)管協(xié)議，同時還配備Cisco ClickStart網(wǎng)管軟件，支持VPN-虛擬專用網(wǎng)，以及QoS，協(xié)議方面支持比較完善。安全方面，2811內(nèi)置了防火墻，并支持UL 60950:CAN/CSA C22.2 No. 60950、I

7、EC 60950、EN 60950-1、AS/NZS 60950等眾多安全標(biāo)準(zhǔn)，為企業(yè)用戶提供更安全的網(wǎng)絡(luò)服務(wù)。三層交換機：采用友訊網(wǎng)絡(luò)（D-Link）DES-3326 參考價：6300元DES-3326是友訊網(wǎng)絡(luò)公司推出的一款可網(wǎng)管、支持千兆的10/100M智能三層交換機，是一款線速第三層交換機，提供了24個10/100BASE-TX端口及1個擴展插槽，可擴展2個可選千兆以太網(wǎng)端口。DES-3326交換機將第二層線速交換及第三層IP路由以及服務(wù)質(zhì)量(QoS)有機集成為一體，并可采用支持SNMP標(biāo)準(zhǔn)的網(wǎng)管系統(tǒng)進行配置、監(jiān)控和管理。DES-3326交換機前面板插槽可選插2口千兆模塊，不同模塊可支

8、持1000BASE-SX、1000BASE-T標(biāo)準(zhǔn)。所有模塊支持流量控制和全雙工，可處理大量數(shù)據(jù)。支持優(yōu)先級隊列和QoS機制，優(yōu)先級隊列功能可以根據(jù)數(shù)據(jù)交換的重要性進行排隊，優(yōu)先交換重要數(shù)據(jù)。該款交換機具有端口聚合功能，最大可將8個10/100Mbps端口聚合成一個端口，而聚合之后的這個端口性能非常強大，這項功能主要是幫助那些需要高帶寬端口而又不想投入過多資金的用戶使用，而這項功能最主要的應(yīng)用場合是VLAN劃分，VLAN劃分需要設(shè)置匯聚鏈路，而匯聚鏈路對帶寬要求非常高，通過端口聚合功能可提供一個高帶寬的端口。DES-3326支持SNMP管理和RMON監(jiān)控功能，并且還支持端口鏡像功能，通過這些功

9、能，管理員可對該款交換機進行管理、配置以及對此款交換機所連接的網(wǎng)絡(luò)進行監(jiān)控。DES-3326交換機還提供了流量控制功能，支持VLAN劃分，提供了冗余電源接口等。二層交換機：D-Link DES-1024D 參考價：530它符合百兆以太網(wǎng)標(biāo)準(zhǔn)，提供了24個自適應(yīng)全/半雙工10/100Mbps端口，可自動判斷連入設(shè)備的類型提供相應(yīng)的連接方式和帶寬。另外利用配備的16K的MAC地址表和2.5MB緩存，它可以利用IEEE802.3x流量控制技術(shù)動態(tài)將緩存分配到各個端口，保持網(wǎng)絡(luò)暢通。6、網(wǎng)絡(luò)安全系統(tǒng)設(shè)計外網(wǎng)安全設(shè)計：采用： 防火墻系統(tǒng):采用防火墻系統(tǒng)實現(xiàn)對內(nèi)部網(wǎng)和廣域網(wǎng)進行隔離保護。對內(nèi)部網(wǎng)絡(luò)中服務(wù)器

10、子網(wǎng)通過單獨的防火墻設(shè)備進行保護。 入侵檢測系統(tǒng):采用入侵檢測設(shè)備，作為防火墻的功能互補，提供對監(jiān)控網(wǎng)段的攻擊的實時報警和積極響應(yīng)。病毒防護系統(tǒng):強化病毒防護系統(tǒng)的應(yīng)用策略和管理策略，增強病毒防護有效性。垃圾郵件過濾系統(tǒng):過濾郵件，阻止垃圾郵件及病毒郵件的入侵。并形成如下的網(wǎng)絡(luò)安全體系模型圖為 網(wǎng)絡(luò)與信息安全防范體系模型內(nèi)網(wǎng)安全設(shè)計：訪問控制，通過密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權(quán)用戶對服務(wù)器的訪問，以及對辦公自動化平臺、的訪問和管理、用戶身份真實性的驗證、內(nèi)部用戶訪問權(quán)限設(shè)置、ARP病毒的防御、數(shù)據(jù)完整、審計記錄、防病毒入侵。對內(nèi)部采用：網(wǎng)絡(luò)管理軟件系統(tǒng):使網(wǎng)管人員對網(wǎng)

11、絡(luò)中的實時數(shù)據(jù)流量情況能夠清晰了解。掌握整個網(wǎng)絡(luò)使用流量的平均標(biāo)準(zhǔn)，定位網(wǎng)絡(luò)流量的基線，及時發(fā)現(xiàn)網(wǎng)絡(luò)是否出現(xiàn)異常流量并控制帶寬。采用Cisco Works 網(wǎng)絡(luò)管理軟件。Cisco Works for Windows網(wǎng)絡(luò)管理軟件主要應(yīng)用在中小型企業(yè)的網(wǎng)絡(luò)環(huán)境。它是一個綜合的，經(jīng)濟有效的，功能強大的網(wǎng)絡(luò)管理工具，能夠?qū)粨Q機路由器，訪問服務(wù)器，集線器等網(wǎng)絡(luò)設(shè)備進行有效的管理。Cisco Works for Windows網(wǎng)絡(luò)管理軟件可以安裝在 Windows95/98/NT等 操作系統(tǒng)上。 這個網(wǎng)絡(luò)管理軟件最多可以管理數(shù)百個節(jié)點。 采用同一廠商的網(wǎng)管能夠?qū)υO(shè)備進行更為詳盡細致的管理，Cisco

12、Works for Windows擁有思科全套產(chǎn)品的數(shù)據(jù)庫，能夠調(diào)出各種產(chǎn)品的直觀視圖，深入到每個物理端口去查詢狀態(tài)信息，其主要功能包括： 自動發(fā)現(xiàn)和顯示網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和設(shè)備； 生成和修改網(wǎng)絡(luò)設(shè)備配置參數(shù)； 網(wǎng)絡(luò)狀態(tài)監(jiān)控； 設(shè)備視圖管理； Cisco Works Windows基于流行的Windows操作平臺，界面友好，易于掌握，能夠滿足校園網(wǎng)對網(wǎng)管的功能全面而又要方便操作的要求。 交通部干部管理學(xué)院 15號機房拓?fù)鋱D內(nèi)外網(wǎng)安全之間設(shè)計采用VPN系統(tǒng):對遠程辦公人員及分支機構(gòu)提供方便的IPSec VPN接入，保護數(shù)據(jù)傳輸過程中的安全，實現(xiàn)用戶對服務(wù)器系統(tǒng)的受控訪問。移動用戶管理系統(tǒng):對內(nèi)部筆記

13、本電腦在外出后，接入內(nèi)部網(wǎng)進行安全控制，確保筆記本設(shè)備的安全性。有效防止病毒或黑客程序被攜帶進內(nèi)網(wǎng)。內(nèi)部辦公自動化網(wǎng)絡(luò)根據(jù)不同用戶安全級別或者根據(jù)不同部門的安全訪問需求，可以利用三層交換機來劃分虛擬子網(wǎng)(VLAN)。同時通過在不同VLAN間做限制來實現(xiàn)不同資源的訪問控制。通過虛擬子網(wǎng)的劃分，既方便局域網(wǎng)絡(luò)的互聯(lián)，又能夠?qū)崿F(xiàn)訪問控制。拓?fù)鋱D 網(wǎng)絡(luò)構(gòu)建特點：1. 設(shè)備性價比高。在中小企業(yè)信息化建設(shè)階段，由于中小企業(yè)資金少，所以選擇性價比高且能滿足需求網(wǎng)絡(luò)設(shè)備是中小型企業(yè)的首選。2. 安全性高。采用安全防護體系結(jié)構(gòu)，更安全。3. 管理容易。由于人才缺乏，所以中小型企業(yè)的管理能力顯得相對薄弱，這時應(yīng)選

14、擇易管理，又經(jīng)濟適用的管理軟件是符合中小企業(yè)的要求的。 4采用QOS機制，使網(wǎng)絡(luò)更穩(wěn)定。四、網(wǎng)絡(luò)布線系統(tǒng)設(shè)計1、布線系統(tǒng)總體結(jié)構(gòu)設(shè)計總體1棟建筑，從總部機房用十二芯單模光纖與另一建筑的設(shè)備間|BD|相連，每個設(shè)備間也設(shè)用十二芯多模光纖與每層的電信間|FD|，并用五類非屏蔽雙絞線從電信間與工作站相連接，集團園區(qū)網(wǎng)采用10M的光纖以太網(wǎng)接入到因特網(wǎng)服務(wù)提供商的網(wǎng)絡(luò)，然后接入到因特網(wǎng)中，使集團實現(xiàn)與外界的信息交換和網(wǎng)絡(luò)通信。集團統(tǒng)一由總部機房的一個出口訪問Internet，集團能夠控制網(wǎng)絡(luò)的安全。在服務(wù)器和核心交換機間：使用UTP電纜來將服務(wù)器連接到核心交換機。2、工作區(qū)子系統(tǒng)設(shè)計工作區(qū)子系統(tǒng)由各個

15、單元區(qū)域構(gòu)成，是計算機、電話和信息插座的連接部分，包括連接跳線和信息插座。信息插座面板具備：通用、超薄、簡易、防塵等特點；信息插座的模塊采用類RJ-45模塊；線纜采用超五類雙絞線；水晶頭采用RJ-45標(biāo)準(zhǔn)水晶頭。為降低成本和結(jié)合客戶終端的位置多變的特點，跳線可采用原裝跳線與自制跳線相結(jié)合的方式，中心機房內(nèi)設(shè)備之間、樓宇機柜內(nèi)設(shè)備之間、服務(wù)器、重點客戶終端的跳線采用原裝成品跳線，其余采用自制跳線。跳線制作統(tǒng)一采用EIA/TIA 568B標(biāo)準(zhǔn)，以使系統(tǒng)具有更好的兼容性3、水平子系統(tǒng)設(shè)計水平子系統(tǒng)主要是實現(xiàn)信息插座和管理子系統(tǒng)，即中間配線架（IDF）間的連接。水平子系統(tǒng)為星形拓?fù)?。在水平子系統(tǒng)中采用超五類非屏蔽雙絞線。雙絞線水平布線鏈路中，水平雙絞線的最大長度均不超過90m。為了網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性和擴展性超五類非屏蔽雙絞線。4、管理子系統(tǒng)設(shè)計管理子系統(tǒng)設(shè)計由配線間構(gòu)成。由各種規(guī)格的配線架實現(xiàn)水平、垂直主干線纜的端接及分配；由各種規(guī)格的跳線實現(xiàn)布線系統(tǒng)與各種網(wǎng)絡(luò)、通訊設(shè)備的連接，并提供靈活方便的線路管理能力。分配線間是各治理子系統(tǒng)的安裝場所，可安裝配線架和計算機網(wǎng)絡(luò)通信設(shè)備。對于信息點不是很多，使用功能近似的樓層，為便于治理，僅設(shè)置一個共用的子配線間;對于信息點較多的樓層則在該層設(shè)立配線間。5、干線子系統(tǒng)設(shè)