（中職）小型局域網(wǎng)構(gòu)建網(wǎng)絡(luò)設(shè)計(jì)方案實(shí)例1

局域網(wǎng)設(shè)計(jì)方案—1目錄TOC\o"1-3"\u摘要 3ABSTRACT 4第1章公司原網(wǎng)絡(luò)方案分析 51.1公司原網(wǎng)絡(luò)拓?fù)鋱D 51.2網(wǎng)絡(luò)拓?fù)湔f明 51.3公司網(wǎng)絡(luò)現(xiàn)狀分析 6第2章網(wǎng)絡(luò)改造需求分析 72.1網(wǎng)絡(luò)功能需求分析 72.2網(wǎng)絡(luò)規(guī)模和信息點(diǎn)分布情況 82.3網(wǎng)絡(luò)性能分析 112.3.1帶寬分析 112.3.2可靠性與穩(wěn)定性 112.3.3可擴(kuò)展性 11第3章網(wǎng)絡(luò)結(jié)構(gòu)改進(jìn)方案 123.1邏輯網(wǎng)絡(luò)設(shè)計(jì) 123.2三層結(jié)構(gòu)分析 133.3無(wú)線網(wǎng)絡(luò)覆蓋 143.3.1連接方式 143.3.2信息點(diǎn)分布 143.3.3網(wǎng)絡(luò)拓?fù)?143.3.4設(shè)備選型 153.3.5覆蓋范圍及信號(hào)強(qiáng)弱 15第4章廣域網(wǎng)接入方案 174.1接入技術(shù) 174.2ISP供應(yīng)商 18第5章VLAN設(shè)計(jì)與IP地址規(guī)劃 195.1劃分VLAN的重要性 195.2劃分方案 19第6章布線工程設(shè)計(jì) 276.1綜合布線系統(tǒng)總體方案設(shè)計(jì) 276.2工作區(qū)子系統(tǒng)設(shè)計(jì) 286.3水平布線子系統(tǒng)設(shè)計(jì) 296.4管理間子系統(tǒng)設(shè)計(jì) 296.5設(shè)備間子系統(tǒng)設(shè)計(jì) 296.6垂直干線子系統(tǒng)設(shè)計(jì) 306.7建筑群子系統(tǒng)設(shè)計(jì) 30第7章網(wǎng)絡(luò)設(shè)備的選購(gòu)與配置 317.1網(wǎng)絡(luò)設(shè)備選購(gòu) 317.1.1路由器 317.1.2防火墻 317.1.3交換機(jī) 327.1.4無(wú)線接入點(diǎn) 337.2設(shè)備配置過程 33第8章網(wǎng)絡(luò)服務(wù)器的選購(gòu)與配置 418.1各服務(wù)器功能介紹 418.1.1AD服務(wù)器（同時(shí)安裝DNS服務(wù)） 418.1.2LotusDomino服務(wù)器 418.1.3ISA2004服務(wù)器 418.1.4ERP服務(wù)器 418.1.5TrendOfficescan服務(wù)器 428.2服務(wù)器選型 428.2.1AD服務(wù)器 428.2.2LotusDomino服務(wù)器 428.2.3ISA2004服務(wù)器 438.2.4ERP服務(wù)器 438.2.5TrendOfficeScan服務(wù)器 44第9章訪問控制與安全措施 459.1訪問控制 459.2網(wǎng)絡(luò)安全措施 469.2.1防火墻 469.2.2ISA2004服務(wù)器 469.2.3無(wú)線方面的安全 47第10章方案報(bào)價(jià)清單 49參考文獻(xiàn) 50附錄 51附錄A:外文資料翻譯—原文部分 51附錄B:外文資料翻譯—譯文部分 59上海奧托立夫汽車安全系統(tǒng)有限公司網(wǎng)絡(luò)改造方案摘要隨著信息技術(shù)的迅猛發(fā)展，公司的網(wǎng)絡(luò)運(yùn)營(yíng)對(duì)于企業(yè)的發(fā)展起著非常重要的作用。因此公司網(wǎng)絡(luò)的設(shè)計(jì)也越加受到人們的重視。本次畢設(shè)，我通過對(duì)上海奧托立夫汽車安全有限公司網(wǎng)絡(luò)狀態(tài)的分析，發(fā)現(xiàn)有如下缺點(diǎn)，如網(wǎng)絡(luò)冗余度低，管理不便，安全性低等。結(jié)合對(duì)公司實(shí)際的需求分析后，我決定從以下幾方面著手來(lái)改進(jìn)公司網(wǎng)絡(luò)，包括公司原網(wǎng)絡(luò)方案分析，網(wǎng)絡(luò)改造需求分析，網(wǎng)絡(luò)結(jié)構(gòu)改進(jìn)拓?fù)洌瑥V域網(wǎng)接入選擇，VLAN設(shè)計(jì)，綜合步線設(shè)計(jì)，網(wǎng)絡(luò)設(shè)備的選購(gòu)與配置，訪問控制與安全措施這幾大模塊，制定一個(gè)切合公司實(shí)際需要的網(wǎng)絡(luò)設(shè)計(jì)方案。在方案最后，有整套方案選用設(shè)備的具體報(bào)價(jià)，有很強(qiáng)的參考性。通過這一改進(jìn)計(jì)劃，將基本緩解該公司原有網(wǎng)絡(luò)存在的缺點(diǎn)，逐步提高公司的網(wǎng)絡(luò)性能，便于公司網(wǎng)絡(luò)運(yùn)行的管理，以最終達(dá)到改善公司網(wǎng)絡(luò)運(yùn)行的目的。關(guān)鍵詞：網(wǎng)絡(luò)方案；需求分析；網(wǎng)絡(luò)拓?fù)?；綜合布線；網(wǎng)絡(luò)設(shè)備；訪問控制

TheNetworkReconstructionforShanghaiAutolivAutoSecuritySystem,Inc.ABSTRACTWiththerapiddevelopmentofinformationtechnology,thenetworkstatusofacompanyplaysanimportantroleinthedevelopmentforenterprise.Thereby,peoplepaymoreattentionondesigningcompany’snetwork.Duringthisdissertation,byanalyzingthenetworkstatusofShanghaiAutolivAutoSecuritySystem,Inc,Ifoundseveralflawssuchaslownetworkredundancy,inconvenientmanagementandlowsecurity.Combiningwiththeactualrequirementanalyzeforthecompany,Idecidedtoimprovethecompany’snetworkfromthefollowingaspectsincludinganalyzingtheformernetworkstatusofthecompany,requirementanalyzefornetworkimproving,thebettermenttopologyfornetworkstructure,thechoiceforWANconnection,VLANdesigning,cablingdesigning,thechooseandbuyfornetworkdevices,accesscontrolandsecuritymeasures.Iwillsetdownanactualnetworkcasewhichwillmeetcompany’sneeds.Inthelastpart,Iwilllistthepriceforalldevicesindetail,whichwillhavestrongreferencevalue.Thisimprovingplanwillabatetheflawsfromtheformercompany’snetworkbasicallyandadvancethenetworkperformancestepwise.Soitwilldowelltothemanagementofcompany’snetworkandwillreachthegoalofimprovingnetworkstatusfinally.Keywords:networkcase;requirementanalyze;networktopology;networkdevice;accesscontrol

第1章公司原網(wǎng)絡(luò)方案分析上海奧托立夫汽車安全系統(tǒng)有限公司是全球最大的汽車乘員約束系統(tǒng)的專業(yè)制造商，在全球30個(gè)國(guó)家和地區(qū)有80家分支機(jī)構(gòu)、8個(gè)技術(shù)中心和19條整車碰撞實(shí)驗(yàn)室。公司廠址設(shè)在上海嘉定工業(yè)園區(qū)，2001年6月建成，2002年3月正式投產(chǎn)，開始為中國(guó)客戶供貨。1.1公司原網(wǎng)絡(luò)拓?fù)鋱D圖1-1公司原網(wǎng)絡(luò)拓?fù)鋱D1.2網(wǎng)絡(luò)拓?fù)湔f明在該公司原有的網(wǎng)絡(luò)方案中，可以看到，公司外網(wǎng)通過INTRANET接入路由器，只有一條鏈路。網(wǎng)絡(luò)中心位于公司的2號(hào)樓，兩臺(tái)核心交換機(jī)與路由器相連，4臺(tái)主要服務(wù)器兩兩接入核心交換機(jī)上，同時(shí)，3幢樓中的匯聚層交換機(jī)分別接在核心交換機(jī)上，下連的是各自的接入層交換機(jī)，設(shè)備所用的型號(hào)偏低。1.3公司網(wǎng)絡(luò)現(xiàn)狀分析1）設(shè)備的級(jí)連方式，易造成單點(diǎn)故障網(wǎng)絡(luò)設(shè)備采用級(jí)連方式，任何一臺(tái)交換機(jī)的故障，都會(huì)使得其后面連接的交換機(jī)所在的網(wǎng)絡(luò)區(qū)域無(wú)法正常工作，造成單點(diǎn)故障。2）接入層交換的級(jí)連，使最下層終端分到的帶寬和速率最低3）服務(wù)器與核心交換機(jī)的分開連接，造成用戶無(wú)法訪問所有服務(wù)器上的資源如3號(hào)樓的用戶無(wú)法訪問到AD服務(wù)器和 LOTUS服務(wù)器上的資源，1號(hào)樓的用戶也無(wú)法訪問到ERP服務(wù)器和TRENDOFFICESCAN服務(wù)器上的資源。4）出口鏈路僅有一條公司連接至外網(wǎng)的鏈路只有一條，若該條鏈路斷開，將造成公司內(nèi)網(wǎng)無(wú)法訪問外網(wǎng)，整個(gè)網(wǎng)絡(luò)停止運(yùn)行。5）網(wǎng)絡(luò)相通現(xiàn)有的網(wǎng)絡(luò)中，所有部門在網(wǎng)絡(luò)上都是相通的。同時(shí)，缺乏管理的公司網(wǎng)絡(luò)，很容易造成廣播風(fēng)暴。處在同一臺(tái)接入層交換機(jī)下的計(jì)算機(jī)，由于沒有劃分VLAN，都處在一個(gè)廣播域下，所有信息全部暴露在所有終端端口，容易造成數(shù)據(jù)被攔截，監(jiān)聽，截取。6）部門間訪問權(quán)限未做限定，安全性低公司的財(cái)務(wù)部和人事部數(shù)據(jù)，不希望被所有部門共享。公司財(cái)務(wù)部的數(shù)據(jù)需要集中化統(tǒng)一管理，人事部希望有自己的軟件管理系統(tǒng)來(lái)管理部門各種數(shù)據(jù)。由于沒有做相應(yīng)的訪問控制列表，無(wú)法對(duì)數(shù)據(jù)包進(jìn)行控制，因此網(wǎng)絡(luò)的安全性較低。

第2章網(wǎng)絡(luò)改造需求分析公司上海嘉定（總部）的建筑分布圖如圖2.1所示，其中：1號(hào)樓和3號(hào)樓為廠房，2號(hào)樓為辦公樓，其2樓中間區(qū)域是中心機(jī)房。圖2-1公司建筑分布圖2.1網(wǎng)絡(luò)功能需求分析該公司上海嘉定（總部）網(wǎng)絡(luò)系統(tǒng)具體需求如下：公司全網(wǎng)使用ERP系統(tǒng)；總部（嘉定）要與分公司（奉賢）建立穩(wěn)固的高速通信連接；建立公司網(wǎng)站，使外網(wǎng)中任一用戶均能訪問；建立公司范圍內(nèi)的IP電話系統(tǒng)，降低總部和各分部之間電話費(fèi)用；公司內(nèi)部各部門之間在網(wǎng)絡(luò)上要相互隔離開，能有選擇地進(jìn)行訪問控制（特別是財(cái)務(wù)和人事部門的資料能有效地保護(hù)）；生產(chǎn)車間（生產(chǎn)部）所有生產(chǎn)線的控制終端需要有無(wú)線覆蓋，以便連接公司ERP系統(tǒng)；公司總部已經(jīng)設(shè)有各種應(yīng)用服務(wù)器，現(xiàn)需要集中管理。不僅能公司總部，而且能使各分公司都能高效安全地利用服務(wù)器中的資源；確保公司總部網(wǎng)絡(luò)安全、穩(wěn)定和高效；對(duì)員工上INTERNET能有效監(jiān)控；10)公司財(cái)務(wù)部、人事部軟件的網(wǎng)絡(luò)化安全管理。通過進(jìn)一步了解客戶對(duì)網(wǎng)絡(luò)設(shè)計(jì)方面的具體要求，以及對(duì)網(wǎng)絡(luò)技術(shù)的研究后，具體要在該網(wǎng)絡(luò)方案中要實(shí)現(xiàn)的功能以及方法如下：利用VLAN劃分公司不同部門為了滿足生產(chǎn)車間的特殊環(huán)境和先進(jìn)的移動(dòng)辦公方式，配置了無(wú)線訪問點(diǎn)（AP），使整個(gè)生產(chǎn)部成了一個(gè)有線加無(wú)線的多種接入方式的先進(jìn)網(wǎng)絡(luò)為公司配置5臺(tái)服務(wù)器（1臺(tái)fileserver/DHCP/DNS/AD；1臺(tái)LotusDomain;1臺(tái)TrendOfficescan；1臺(tái)ERP；1臺(tái)Anti-Virus、ISA服務(wù)器端），服務(wù)器組設(shè)在中心機(jī)房，直接與核心交換機(jī)相連，以充分利用核心交換機(jī)的路由，控制和安全的功能，達(dá)到服務(wù)器資源的有效利用在公司網(wǎng)絡(luò)出口處設(shè)置防火墻，同時(shí)在中心機(jī)房的一臺(tái)服務(wù)器上配置Anti-Virus和ISA2004，起到內(nèi)網(wǎng)防火墻的作用，保證公司內(nèi)網(wǎng)安全中心機(jī)房配有兩臺(tái)核心交換機(jī)，采用冗余設(shè)計(jì)；同時(shí)，公司內(nèi)網(wǎng)采用以太網(wǎng)和光纖連接相結(jié)合的方式，確保數(shù)據(jù)的高速傳輸為公司財(cái)務(wù)部配置一臺(tái)小型文件服務(wù)器，使該部門的機(jī)密數(shù)據(jù)能集中管理；為人事部配置一臺(tái)EHR（電子化人力資源管理系統(tǒng)）服務(wù)器，用以管理人事部門的敏感數(shù)據(jù)總經(jīng)理辦公室和IT部能對(duì)所有系統(tǒng)進(jìn)行訪問。FTP服務(wù)僅工程部能夠訪問，ERP服務(wù)器除人事部外都能訪問。人事部的E-HR服務(wù)器也僅限人事和財(cái)務(wù)部門能夠訪問。財(cái)務(wù)部數(shù)據(jù)，僅財(cái)務(wù)部能夠訪問。2.2網(wǎng)絡(luò)規(guī)模和信息點(diǎn)分布情況大樓內(nèi)的各部門、辦公室位置及相應(yīng)信息點(diǎn)分布情況如下：1號(hào)樓（共兩層）：質(zhì)量部+測(cè)試部（共107個(gè)接入點(diǎn)）1樓：1間大培訓(xùn)會(huì)議室（2個(gè)AP點(diǎn)，10個(gè)接入點(diǎn)），2間監(jiān)測(cè)室（10個(gè)接入點(diǎn)），一間劃車實(shí)驗(yàn)室（15個(gè)接入點(diǎn)）2樓：3間辦公室（共20*3=60個(gè)接入點(diǎn)），2間會(huì)議室（5*2=10個(gè)接入點(diǎn)）3號(hào)樓（共兩層）：測(cè)試部+物流部+制造部+質(zhì)量部（共140個(gè)接入點(diǎn)）1樓A，B區(qū)（制造部+質(zhì)量部）：1間生產(chǎn)部辦公室（5個(gè)接入點(diǎn)），1間質(zhì)量部辦公室（5個(gè)接入點(diǎn)），一間劃車實(shí)驗(yàn)室（7個(gè)接入點(diǎn)）；C，D區(qū)兩大組生產(chǎn)線（15*2=30個(gè)接入點(diǎn)），9個(gè)AP點(diǎn)2樓A區(qū)（物流部+質(zhì)量部）：2間大辦公室（30*2=60個(gè)接入點(diǎn)），1間中型會(huì)議室（8個(gè)接入點(diǎn)）2樓B區(qū)（制造部）：一間辦公室（10個(gè)接入點(diǎn)）物料倉(cāng)庫(kù)（位于3號(hào)樓旁邊）：物流部+質(zhì)量部（4個(gè)接入點(diǎn)，2個(gè)AP點(diǎn)）2號(hào)樓（共兩層）：采購(gòu)部+人事部+IT部+銷售部+財(cái)務(wù)部+工程部（共153個(gè)接入點(diǎn)）1樓左面：采購(gòu)部辦公室（25個(gè)接入點(diǎn)），2間會(huì)議室（2*2=4個(gè)接入點(diǎn)）1樓右面：人事部辦公室（18個(gè)接入點(diǎn)）2樓左面：一間IT+銷售部門辦公室（共20個(gè)接入點(diǎn)），一間財(cái)務(wù)部辦公室（15個(gè)接入點(diǎn)），2間會(huì)議室（5*2=10個(gè)接入點(diǎn)），4間GM辦公室（2*4=8個(gè)接入點(diǎn)）2樓右面：工程部，一間大辦公室（40個(gè)接入點(diǎn)），一間繪圖室（8個(gè)接入點(diǎn)），一間會(huì)議室（5個(gè)接入點(diǎn)）其中，中心機(jī)房位于2號(hào)樓中間區(qū)域。信息點(diǎn)具體分布見表2-1：表2-1各辦公室信息點(diǎn)分布部門辦公室使用點(diǎn)數(shù)合計(jì)會(huì)議室1#10112481#20451#20553#20382#10222#10322#20352#20452#2124IT部2#20188總經(jīng)辦2#206282#20722#20822#2092測(cè)試部1#1025521#10351#104151#201203#1037工程部2#21140482#2128物流部3#2013033倉(cāng)庫(kù)3銷售部2#2021212財(cái)務(wù)部2#2031515采購(gòu)部2#1012525人事部2#1041818質(zhì)量部1#20220781#203203#10253#20230倉(cāng)庫(kù)3制造部3#1015543#104153#105153#10693#20410表2-2信息點(diǎn)分布匯總表地點(diǎn)信息點(diǎn)具體分布合計(jì)1號(hào)樓1樓（培訓(xùn)會(huì)議室，監(jiān)測(cè)室*2，劃車實(shí)驗(yàn)室）12+5*2+15371號(hào)樓2樓（辦公室*3，會(huì)議室*2）20*3+5*2702號(hào)樓1樓（辦公室*2，會(huì)議室*2）25+18+2*2472號(hào)樓2樓（辦公室*7，會(huì)議室*3，繪圖室）20+15+2*4+40+5*2+5+81063號(hào)樓1樓（辦公室*2，實(shí)驗(yàn)室，生產(chǎn)車間）5+5+7+30+9563號(hào)樓2樓（辦公室*3，會(huì)議室）30*2+10+878物料倉(cāng)庫(kù)2+2+26總計(jì)400表2-3計(jì)劃布點(diǎn)數(shù)及預(yù)留點(diǎn)數(shù)接入地點(diǎn)實(shí)際使用計(jì)劃布點(diǎn)數(shù)預(yù)留點(diǎn)數(shù)1號(hào)樓107120132號(hào)樓153175223號(hào)樓13414814物料倉(cāng)庫(kù)6104總計(jì)40045353通過對(duì)該公司信息點(diǎn)分布統(tǒng)計(jì)結(jié)果來(lái)看，為該公司改進(jìn)的網(wǎng)絡(luò)規(guī)模將是個(gè)中型的企業(yè)網(wǎng)絡(luò)。2.3網(wǎng)絡(luò)性能分析2.3.1帶寬分析根據(jù)對(duì)該公司的需求分析和改造后預(yù)期達(dá)到的效果，對(duì)公司網(wǎng)絡(luò)帶寬具體分配如下：外網(wǎng)與公司路由器間的連接，采用光纖接入，帶寬為2M路由器與公司核心層交換機(jī)間的連接，采用以太網(wǎng)連接，帶寬為1000M核心層交換機(jī)與公司網(wǎng)絡(luò)中心服務(wù)器群間的連接，采用以太網(wǎng)（6類UTP）連接，帶寬為1000M核心層交換機(jī)與各大樓匯聚層交換機(jī)間的連接，采用單模光纖，帶寬為100M匯聚層交換機(jī)與接入層交換機(jī)間的連接，采用以太網(wǎng)連接，帶寬為1000M接入層交換機(jī)與各樓內(nèi)信息點(diǎn)間的連接，采用以太網(wǎng)（超5類UTP），帶寬為100M2.3.2可靠性與穩(wěn)定性企業(yè)網(wǎng)絡(luò)要求具有高度可靠性與穩(wěn)定性，在完成對(duì)該公司的需求分析后，總結(jié)出網(wǎng)絡(luò)中有這些地方對(duì)可靠性要求最高：1）中心機(jī)房?jī)?nèi)，包括5臺(tái)服務(wù)器與兩臺(tái)核心層交換機(jī)2）負(fù)責(zé)匯聚各大樓接入層交換機(jī)的3臺(tái)匯聚層交換機(jī)3）外網(wǎng)接入公司路由器處因此，在這些重要地方要考慮到鏈路或設(shè)備冗余的設(shè)計(jì)。2.3.3可擴(kuò)展性此次網(wǎng)絡(luò)改進(jìn)方案所需達(dá)到的效果，除了要滿足公司實(shí)際網(wǎng)絡(luò)需要外，還要考慮到滿足公司未來(lái)3-5年的擴(kuò)建和網(wǎng)絡(luò)的升級(jí)，需要考慮到以下幾點(diǎn)：1）公司規(guī)模的擴(kuò)大2）分公司的建立3）出口帶寬的增加4）信息點(diǎn)的增加（已預(yù)留了53個(gè)信息點(diǎn)）

第3章網(wǎng)絡(luò)結(jié)構(gòu)改進(jìn)方案3.1邏輯網(wǎng)絡(luò)設(shè)計(jì)根據(jù)對(duì)該公司的實(shí)際需求分析及對(duì)網(wǎng)絡(luò)系統(tǒng)集成專業(yè)知識(shí)的調(diào)研后，為其設(shè)計(jì)的網(wǎng)絡(luò)方案拓?fù)鋱D如圖3-1：圖3-1公司網(wǎng)絡(luò)設(shè)計(jì)拓?fù)渥ⅲ涸摲桨傅脑O(shè)計(jì)思路是層次化，模塊化，安全性和冗余。層次化：在拓?fù)淇梢钥闯?，該方案設(shè)計(jì)模型分為3個(gè)層次（核心層，匯聚層和接入層），每一層都有特定的功能。核心層：由兩臺(tái)核心交換機(jī)及中心機(jī)房組成，并考慮冗余設(shè)計(jì)。匯聚層：由三臺(tái)3層交換機(jī)組成，分別放置在3幢大樓中，負(fù)責(zé)匯聚3幢樓中所有的接入層交換機(jī)。接入層：由連接用戶的2層交換機(jī)或者無(wú)線接入點(diǎn)（AP）組成，在該拓?fù)渲校O(shè)計(jì)為連接到公司的不同部門。冗余：為保證網(wǎng)絡(luò)的可用性，要有適當(dāng)?shù)娜哂?。在公司關(guān)鍵的網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)計(jì)了冗余，如核心層的交換機(jī)和服務(wù)器。同時(shí)，在路由器連接到外網(wǎng)的鏈路上，也設(shè)計(jì)了冗余，包含兩條鏈路（ISDN和光纖）。模塊化：根據(jù)該拓?fù)涞?個(gè)層次，每個(gè)層中都有不同的模塊，如核心層中的服務(wù)器群模塊。安全性：中心機(jī)房?jī)?nèi)配有Anti-Virus服務(wù)器端+ISA2004，起到內(nèi)網(wǎng)防火墻作用；公司內(nèi)網(wǎng)連接外網(wǎng)的出口處，設(shè)置防火墻，保障公司全網(wǎng)安全。兩道防火墻（“硬件外部防火墻”和“軟件內(nèi)部防火墻”之間的建立區(qū)域，以更好的保護(hù)內(nèi)部網(wǎng)絡(luò)的資源免于受到外部網(wǎng)絡(luò)攻擊）。3.2三層結(jié)構(gòu)分析核心層的任務(wù)是高速傳輸、冗余能力及可靠性。核心層一般都是由高端的路由器或第三層交換機(jī)實(shí)現(xiàn)。本方案中核心層選用了兩臺(tái)CISCO的核心路由交換機(jī)WS-C4948-S，兩者通過光纖聚合鏈路，并放在將中心內(nèi)，位于2號(hào)樓1樓。中心機(jī)房中還包括1臺(tái)路由器，1臺(tái)防火墻，2臺(tái)核心交換機(jī)，1臺(tái)匯聚層交換機(jī)4臺(tái)接入層交換機(jī)，5臺(tái)應(yīng)用服務(wù)器及2臺(tái)部門應(yīng)用服務(wù)器（人事部，財(cái)務(wù)部），這些設(shè)備分別放置在三個(gè)機(jī)柜中。中心機(jī)房的5臺(tái)服務(wù)器分別與兩臺(tái)核心路由交換機(jī)通過多模光纖連接；匯聚層交換機(jī)也通過單模光纖連接到兩臺(tái)核心路由交換機(jī)；防火墻通過單模光纖分別連接到兩臺(tái)核心路由交換機(jī)。真正實(shí)現(xiàn)了鏈路和核心設(shè)備的冗余，從而保證了公司網(wǎng)絡(luò)的健壯性和自愈性。匯聚層是網(wǎng)絡(luò)核心層與接入層之間的分界點(diǎn)，主要任務(wù)是提供與流量控制，安全及路由相關(guān)的策略。從物理上看，匯聚層交換機(jī)屬于樓層交換機(jī)，或者說是樓層的核心交換機(jī)。從邏輯上看，它可以是應(yīng)用系統(tǒng)的匯聚，匯聚層可以通過兩條上行線路連接到核心層，以保證線路的冗余。在該方案中，層采用3臺(tái)三層交換機(jī)，型號(hào)為CISCO的WS-C3750G-12S-E，分別位于3幢樓的1層樓中。接入層為用戶提供在本地網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)絡(luò)的能力，它是最終用戶的網(wǎng)絡(luò)接入點(diǎn)。接入層通過接入交換機(jī)的上行端口連接到匯聚層，一般通過2層交換機(jī)實(shí)現(xiàn)。在該方案中，公司各個(gè)部門的網(wǎng)絡(luò)屬于接入層，共選用了10臺(tái)接入層交換機(jī)，型號(hào)為CISCOWS-C2960-48TC-L。在財(cái)務(wù)部，配一臺(tái)小型文件服務(wù)器，獨(dú)立管理財(cái)務(wù)數(shù)據(jù)和資料。人事部中，配EHR（電子化管理系統(tǒng)）服務(wù)器，統(tǒng)一管理人事部門的數(shù)據(jù)。該層中的2層交換機(jī)與PC間的連接采用百兆雙絞線。接入層的生產(chǎn)車間由于特殊的工作要求，需要配備無(wú)線網(wǎng)絡(luò)。因此，在接入層交換機(jī)下連接幾個(gè)AP（點(diǎn)）CiscoAironet1200，覆蓋整個(gè)生產(chǎn)車間。外連接入層作為公司內(nèi)網(wǎng)和外網(wǎng)的連接點(diǎn)，選用Cisco的防火墻CISCOPIX-252-R-BUN，路由器選用Cisco2821，通過兩條線路（光纖和ISDN）連接到INTERNET，其中ISDN僅用做備份。Cisco2821支持VPN功能，奉賢分部對(duì)嘉定總公司的訪問通過VPN來(lái)實(shí)現(xiàn)。3.3無(wú)線網(wǎng)絡(luò)覆蓋3.3.1連接方式本次部署無(wú)線網(wǎng)絡(luò)全部在室內(nèi)進(jìn)行，在已有局域網(wǎng)的基礎(chǔ)上再安裝無(wú)線局域網(wǎng)，在本方案中，將部門所需的AP點(diǎn)直接連在對(duì)應(yīng)的接入層交換機(jī)上。3.3.2信息點(diǎn)分布依據(jù)公司對(duì)無(wú)線網(wǎng)絡(luò)的需求，為公司會(huì)議室配置2個(gè)無(wú)線接入點(diǎn)，制造部配置9個(gè)無(wú)線接入點(diǎn)，物流部和質(zhì)量部各配1個(gè)無(wú)線接入點(diǎn)，共計(jì)13個(gè)AP點(diǎn)。其中，2個(gè)點(diǎn)位于1號(hào)樓1樓，其余的點(diǎn)都位于3號(hào)樓1樓。將這些接入點(diǎn)連接到大樓管理配線間接入層的交換機(jī)上，使之接入公司網(wǎng)絡(luò)，并劃分在同一個(gè)VLAN內(nèi)。3.3.3網(wǎng)絡(luò)拓?fù)錇樵摴驹O(shè)計(jì)的無(wú)線網(wǎng)絡(luò)拓?fù)淙鐖D3-2：圖3-2公司無(wú)線網(wǎng)絡(luò)拓?fù)?.3.4設(shè)備選型在設(shè)備方面采用Cisco的Aironet1200系列。CiscoAironet1200系列的模塊化設(shè)計(jì)可以在2.4GHz和5GHz這兩個(gè)無(wú)須申請(qǐng)?jiān)S可的頻段使用單頻和雙頻操作，并可以進(jìn)行現(xiàn)場(chǎng)升級(jí)，以便在用戶需求發(fā)生變化或者行業(yè)進(jìn)一步發(fā)展時(shí)更改這些配置。目前，CiscoAironet1200系列的標(biāo)準(zhǔn)版本可以通過一個(gè)802.11b無(wú)線收發(fā)模塊支持Wi-Fi客戶端。CiscoAironet1200系列AP還為一個(gè)802.11a無(wú)線收發(fā)模塊準(zhǔn)備了一個(gè)專門的插槽?？蛻艨梢宰鳛槌鰪S安裝選件購(gòu)買這兩種無(wú)線收發(fā)模塊，也可以單獨(dú)購(gòu)買這些模塊進(jìn)行現(xiàn)場(chǎng)安裝。這些無(wú)線收發(fā)模塊還可以通過升級(jí)為將來(lái)的技術(shù)提供支持，例如802.11g。3.3.5覆蓋范圍及信號(hào)強(qiáng)弱以制造部的AP點(diǎn)為例，其分布方式如圖3-3：圖3-3無(wú)線信號(hào)覆蓋范圍AP的部署采用如上圖方式，將AP放置于房間的墻面周圍，保證整個(gè)房間的區(qū)域都能接收到無(wú)線信號(hào)。AP點(diǎn)中心信號(hào)最強(qiáng)，邊緣處較弱。

第4章廣域網(wǎng)接入方案4.1接入技術(shù)鑒于公司中型企業(yè)的網(wǎng)絡(luò)規(guī)模，終端設(shè)備很多，為了保證每臺(tái)終端使用到一定的帶寬，所以廣域網(wǎng)接入采用光纖接入的方式。外連接入層作為公司內(nèi)網(wǎng)和外網(wǎng)的連接點(diǎn)，選用Cisco的防火墻CISCOPIX-252-R-BUN，路由器選用Cisco2821，通過兩條線路（2M光纖和ISDN）連接到INTERNET，其中ISDN僅用做備份。Cisco2821支持VPN功能，奉賢分部對(duì)嘉定總公司的訪問通過VPN來(lái)實(shí)現(xiàn)。圖4-1廣域網(wǎng)接入方案光纖直接接入方式，是為有獨(dú)享光纖高速上網(wǎng)需求的大企事業(yè)單位或集團(tuán)用戶提供的，傳輸帶寬2M-155M業(yè)務(wù)特點(diǎn)：可根據(jù)用戶群體對(duì)不同速率的需求，實(shí)現(xiàn)高速上網(wǎng)或企業(yè)局域網(wǎng)間的高速互聯(lián)。同時(shí)由于光纖接入方式的上傳和下傳都有很高的帶寬，尤其適合開展遠(yuǎn)程教學(xué)、遠(yuǎn)程醫(yī)療、視頻會(huì)議等對(duì)外信息發(fā)布量較大的網(wǎng)上應(yīng)用。適合的用戶群體：居住在已經(jīng)或便于進(jìn)行綜合布線的住宅、小區(qū)和寫字樓的較集中的用戶；有獨(dú)享光纖需求的大企事業(yè)單位或集團(tuán)用戶。ISDN（IntegratedServiceDigitalNetwork），即綜合業(yè)務(wù)數(shù)字網(wǎng)。它利用公眾電話網(wǎng)向用戶提供了端對(duì)端的數(shù)字信道連接，用來(lái)承載包括話音和非話音在內(nèi)的各種電信業(yè)務(wù)。ISDN是基于公共電話網(wǎng)的全數(shù)字網(wǎng)絡(luò)，利用普通的電話線，可開展各種業(yè)務(wù)，例如大電話、發(fā)傳真、上網(wǎng)、局域網(wǎng)互聯(lián)、開會(huì)議電視、專線備份等。雖然ISDN的速度不快，但價(jià)格便宜，作為公司外網(wǎng)連接路由器的備份鏈路，比較合適。4.2ISP供應(yīng)商選擇上海電信作為ISP供應(yīng)商，具體資費(fèi)如圖4-2：圖4-2上海電信寬帶資費(fèi)根據(jù)該公司對(duì)帶寬的實(shí)際需求，決定選用2M

第5章VLAN設(shè)計(jì)與IP地址規(guī)劃5.1劃分VLAN的重要性在現(xiàn)有的網(wǎng)絡(luò)中，所有部門在網(wǎng)絡(luò)上都是相通的。同時(shí)，缺乏管理的公司網(wǎng)絡(luò)，很容易造成廣播風(fēng)暴。處在同一臺(tái)接入層交換機(jī)下的計(jì)算機(jī)，由于沒有劃分VLAN，都處在一個(gè)廣播域下，所有信息全部暴露在所有終端端口，容易造成數(shù)據(jù)被攔截，監(jiān)聽，截取。所以在改造方案中，必須為公司內(nèi)部劃分VLAN，更好的管理公司網(wǎng)絡(luò)。VLAN的劃分有很多種，常用的劃分方法是將端口和IP地址結(jié)合來(lái)劃分VLAN，某幾個(gè)端口為一個(gè)VLAN，并為該VLAN配置IP地址，那么該VLAN中的計(jì)算機(jī)就以這個(gè)地址為網(wǎng)關(guān)，其它VLAN則不能與該VLAN處于同一子網(wǎng)。在該方案設(shè)計(jì)中，采用的就是這種方法。5.2劃分方案表5-1VLAN劃分與IP地址規(guī)劃表VLAN部門辦公室使用點(diǎn)數(shù)合計(jì)IP子網(wǎng)網(wǎng)關(guān)VLAN20管理VLAN(管理所有設(shè)備)2020/2454VLAN30中心機(jī)房（服務(wù)器群）1010/2454VLAN2會(huì)議室1#1011248/24541#20451#20553#20382#10222#10322#20352#20452#2124VLAN3IT部2#20188/2454總經(jīng)辦2#206282#20722#20822#2092VLAN4測(cè)試部1#102552/24541#10351#104151#201203#1037VLAN5工程部2#2114048/24542#2128VLAN6物流部3#2013033/2454倉(cāng)庫(kù)3VLAN7銷售部2#2021212/2454VLAN8財(cái)務(wù)部2#2031616/2454VLAN9采購(gòu)部2#1012525/2454VLAN10人事部2#1041818/2454VLAN11質(zhì)量部1#2022078/24541#203203#10253#20230倉(cāng)庫(kù)3VLAN12制造部3#101554/24543#104153#105153#10693#20410總計(jì)430說明：由于選用的是思科設(shè)備，所以第一個(gè)端口寫法為f0/0（和RUIJIE設(shè)備的第一個(gè)端口為f0/1寫法不同）。由于設(shè)備型號(hào)全名過長(zhǎng)，在配置時(shí)統(tǒng)一將設(shè)備名寫為“SW-M-N”的形式，SW代表交換機(jī)，M代表工作在第幾層，N代表第幾臺(tái)設(shè)備。如SW-1-1表示核心層的第1臺(tái)交換機(jī)。對(duì)應(yīng)表見表5-2：表5-2設(shè)備命名對(duì)應(yīng)表設(shè)備類型設(shè)備型號(hào)設(shè)備命名路由器C2821R-1防火墻PIX-525-R-BUNFw-1核心層交換機(jī)C4948-1SW-1-1C4948-2SW-1-2匯聚層交換機(jī)C3750-1SW-2-1C3750-2SW-2-2C3750-3SW-2-3接入層交換機(jī)C2960-1SW-3-1C2960-2SW-3-2C2960-3SW-3-3C2960-4SW-3-4C2960-5SW-3-5C2960-6SW-3-6C2960-7SW-3-7C2960-8SW-3-8C2960-9SW-3-9C2960-10SW-3-10具體VLAN劃分如圖5-1所示：圖5-1VLAN劃分圖其中，各部門的PC在各幢樓中的具體分布如表5-3，5-4，5-5所示：表5-31號(hào)樓信息點(diǎn)與部門分布樓名部門PC數(shù)1號(hào)樓質(zhì)量部40測(cè)試部45會(huì)議室22表5-42號(hào)樓信息點(diǎn)與部門分布樓名部門PC數(shù)2號(hào)樓IT部+總經(jīng)辦16采購(gòu)部25銷售部12財(cái)務(wù)部16人事部18工程部48會(huì)議室18表5-53號(hào)樓信息點(diǎn)與部門分布樓名部門PC數(shù)3號(hào)樓物流部33制造部54測(cè)試部7質(zhì)量部38會(huì)議室8各設(shè)備端口連線表如圖5-2至5-16所示：圖5-2SW-1-1連線圖圖5-3SW-1-2連線圖圖5-4SW-2-1連線圖圖5-5SW-2-2連線圖圖5-6SW-2-3連線圖圖5-7SW-3-1連線圖圖5-8SW-3-2連線圖圖5-9SW-3-3連線圖圖5-10SW-3-4連線圖圖5-11SW-3-5連線圖圖5-12SW-3-6連線圖圖5-13SW-3-7連線圖圖5-14SW-3-8連線圖圖5-15SW-3-9連線圖圖5-16SW-3-10連線圖

第6章布線工程設(shè)計(jì)6.1綜合布線系統(tǒng)總體方案設(shè)計(jì)結(jié)構(gòu)化布線系統(tǒng)主要由工作區(qū)子系統(tǒng)、水平布線子系統(tǒng)、垂直干線子系統(tǒng)、設(shè)備間子系統(tǒng)、管理子系統(tǒng)和建筑群子系統(tǒng)這六個(gè)子系統(tǒng)組成，布線系統(tǒng)結(jié)構(gòu)如圖6-1所示。圖6-1布線系統(tǒng)結(jié)構(gòu)圖本方案采用結(jié)構(gòu)化綜合布線標(biāo)準(zhǔn)布線。在樓群間采用千兆單模光纖鏈路連接，即從2號(hào)樓網(wǎng)絡(luò)中心到1號(hào)樓、3號(hào)樓采用單模光纖連接。匯聚層到接入層之間采用雙絞線連接。1號(hào)樓1樓管理間有兩個(gè)小型機(jī)柜，放有3臺(tái)接入層交換機(jī)和1臺(tái)匯聚層交換機(jī)。3號(hào)樓1樓管理間同樣有兩個(gè)小型機(jī)柜，放有3臺(tái)接入層交換機(jī)和1臺(tái)匯聚層交換機(jī)。2號(hào)樓1樓，即中心機(jī)房，選用三臺(tái)大機(jī)柜，放余下的設(shè)備，1號(hào)機(jī)柜從下到上分別放財(cái)務(wù)部server，人事部server，TrendOfficescan，ERPServer，ISA2004，LotusDomain，ActiveDirectory；2號(hào)機(jī)柜從下到上分別放4臺(tái)接入層交換機(jī)和1臺(tái)匯聚層交換機(jī)；3號(hào)機(jī)柜從下到上分別放防火墻，路由器以及核心層交換機(jī)。圖6-2公司步線設(shè)計(jì)圖在本方案的設(shè)計(jì)中，該公司有3幢大樓，樓與樓間采用單模光纖連接。6.2工作區(qū)子系統(tǒng)設(shè)計(jì)工作區(qū)是工作人員利用終端設(shè)備進(jìn)行工作的地方。如圖6.2.1所示，為財(cái)務(wù)部辦公室，即為一個(gè)工作區(qū)。圖6-3工作區(qū)子系統(tǒng)信息點(diǎn)由標(biāo)準(zhǔn)RJ45插座構(gòu)成，每個(gè)信息面板包含一個(gè)信息點(diǎn)和語(yǔ)音點(diǎn)，不同型號(hào)的微機(jī)終端通過RJ45標(biāo)準(zhǔn)跳線可方便的連接到數(shù)據(jù)信息插座上；連接電話機(jī)的RJ11連接線插在語(yǔ)音信息口上。連接至終端和電話的介質(zhì)選用超5類UTP。圖6-4信息插座圖6.3水平布線子系統(tǒng)設(shè)計(jì)如圖6-5所示，水平子系統(tǒng)由四對(duì)UTP(非屏蔽雙絞線)組成，是信息插座和管理子系統(tǒng)間連接的橋梁。下圖為2號(hào)樓2樓，水平子系統(tǒng)的走線圖。圖6-5水平布線子系統(tǒng)6.4管理間子系統(tǒng)設(shè)計(jì)管理間子系統(tǒng)由交連、互連和I/O組成，如圖6-6所示為1號(hào)樓的管理間，位于1樓內(nèi)。管理間為連接其他子系統(tǒng)提供手段，它是連接垂直干線子系統(tǒng)和水平干線子系統(tǒng)的設(shè)備。其主要設(shè)備有配線架、交換機(jī)和機(jī)柜、電源等。圖6-6管理間子系統(tǒng)6.5設(shè)備間子系統(tǒng)設(shè)計(jì)設(shè)備間子系統(tǒng)由電纜、連接器和相關(guān)支撐硬件組成。它把各種公共系統(tǒng)設(shè)備的多種不同設(shè)備互連起來(lái)，其中包括電信部門的光纜、同軸電纜和程控交換機(jī)等。在該方案中，由于公司樓層不高，故將管理間和設(shè)備間放在一間。3幢大樓的管理間和設(shè)備間都位于底樓中間。6.6垂直干線子系統(tǒng)設(shè)計(jì)干線子系統(tǒng)是整個(gè)建筑物綜合布線系統(tǒng)的一部分，它提供建筑物的干線電纜，負(fù)責(zé)連接管理子系統(tǒng)到設(shè)備間子系統(tǒng)，一般使用光纜進(jìn)行布線。如圖6-7所示。圖6-7垂直干線子系統(tǒng)6.7建筑群子系統(tǒng)設(shè)計(jì)規(guī)模較大或性質(zhì)重要的機(jī)構(gòu)通常是由幾座建筑物組成。在該方案中，公司有3幢大樓，各大樓間由于距離較遠(yuǎn)，采用單模光纖連接。圖6-8為大樓光纖走向圖。圖6-8大樓光纖走向圖

第7章網(wǎng)絡(luò)設(shè)備的選購(gòu)與配置在該方案中，需要用到的網(wǎng)絡(luò)設(shè)備有1臺(tái)路由器，1臺(tái)防火墻，2臺(tái)核心層交換機(jī)，3臺(tái)匯聚層交換機(jī)，10臺(tái)接入層交換機(jī)。在對(duì)網(wǎng)絡(luò)設(shè)備配置之前，先進(jìn)行設(shè)備的選購(gòu)。本次設(shè)計(jì)全部選用思科的網(wǎng)絡(luò)設(shè)備。7.1網(wǎng)絡(luò)設(shè)備選購(gòu)7.1.1路由器圖7-1路由器表7-1具體參數(shù)路由器型號(hào)固定配置增加模塊(包括用途)如何上連如何下連模塊化路由器Cisco2821固定LAN端口：10/100/1000Mbps×2固定WAN端口：可選廣域接口卡（4個(gè)HWIC,WIC,VIC或VWIC）4個(gè)HWIC插槽+1EVM插槽+1個(gè)NME插槽，分別用于廣域網(wǎng)接入，擴(kuò)展話音模塊，接入IP電話或提高網(wǎng)絡(luò)模塊性能2M光纖接入ISDN接入千兆以太網(wǎng)連接到防火墻其余參數(shù)如下：最大Flash內(nèi)存：256MB；最大DRAM內(nèi)存：1024MB；路由器網(wǎng)絡(luò)協(xié)議：IEEE802.3X；支持VPN注：HWIC指高密度廣域網(wǎng)接口卡。WIC為廣域網(wǎng)接口卡。而VWIC是Voice/WANInterface的縮寫，是指語(yǔ)音/廣域網(wǎng)接口卡。7.1.2防火墻圖7-2防火墻表7-2具體參數(shù)防火墻型號(hào)固定配置增加模塊(包括用途)如何上連如何下連企業(yè)級(jí)防火墻PIX-525-R-BUN處理器：600MHzIntelPentiumIII；隨機(jī)讀寫內(nèi)存：高達(dá)256MB；閃存：16MB,接口：雙集成10Base-T快速以太網(wǎng)，RJ45PCI插槽：3個(gè)無(wú)千兆以太網(wǎng)連接至路由器千兆以太網(wǎng)連接至兩臺(tái)核心層交換機(jī)7.1.3交換機(jī)圖7-3核心層交換機(jī)表7-3具體參數(shù)交換機(jī)千兆交換機(jī)所在三層結(jié)構(gòu)中的位置核心層型號(hào)WS-C4948-S固定配置背板帶寬(Gbps):96Gbps/端口數(shù):48個(gè)10/100/1000M；支持VLAN增加模塊4個(gè)，光纖模塊，插mini頭的光纖模塊的插槽如何上連千兆以太網(wǎng)連至防火墻如何下連光纖連到各交換機(jī)；以太網(wǎng)連到服務(wù)器群圖7-4匯聚層交換機(jī)表7-4具體參數(shù)交換機(jī)千兆交換機(jī)所在三層結(jié)構(gòu)中的位置匯聚層型號(hào)WS-C3750G-12S-E固定配置背板帶寬(Gbps):48Gbps/端口數(shù):12個(gè)+4個(gè)SFP端口端口類型：10/100Base-TX,1000Base-FX/SX;支持VLAN增加模塊12個(gè)如何上連光纖連至核心層交換機(jī)如何下連千兆以太網(wǎng)連至接入層交換機(jī)圖7-5接入層交換機(jī)表7-5具體參數(shù)交換機(jī)企業(yè)級(jí)交換機(jī)所在三層結(jié)構(gòu)中的位置接入層交換機(jī)型號(hào)WS-C2960-48TC-L固定配置背板帶寬(Gbps):13.6Gbps/端口數(shù):48個(gè)；端口類型：10/100Base-T,10/100/1000Base-Tx/SFP;支持VLAN增加模塊2個(gè)如何上連千兆以太網(wǎng)連至匯聚層交換機(jī)如何下連百兆以太網(wǎng)連至各信息點(diǎn)7.1.4無(wú)線接入點(diǎn)圖7-6無(wú)線設(shè)備表7-6具體參數(shù)其他設(shè)備型號(hào)固定配置增加模塊如何上連如何下連無(wú)線接入點(diǎn)Aironet1200200MHz的PowerPC處理器支持兩個(gè)54Mbps的無(wú)線收發(fā)操作和一個(gè)10/100以太網(wǎng)接口2個(gè)，無(wú)線收發(fā)模塊（802.11a&b）可現(xiàn)場(chǎng)升級(jí)百兆以太網(wǎng)連至接入層交換機(jī)無(wú)7.2設(shè)備配置過程為實(shí)現(xiàn)公司網(wǎng)絡(luò)改造后的功能，對(duì)相應(yīng)設(shè)備進(jìn)行如下配置，圖7-7為模擬器的拓?fù)洌簣D7-7模擬器拓?fù)湎扰渲寐酚善鞯亩丝冢涸O(shè)置路由器的S0口連到光纖，S1口連到ISDN，F(xiàn)0/0口連到防火墻R2821#conftR2821(config)#ints0R2821(config-if)#ipadd52R2821(config-if)#noshutR2821(config-if)#endR2821(config)#ints1R2821(config-if)#ipadd52R2821(config-if)#noshutR2821(config-if)#endR2821(config)#inte0R2821(config-if)#ipadd54R2821(config-if)#noshutR2821(config-if)#end圖7-7配置截圖端口配置后，showrun,顯示如下：R2821#shrunBuildingconfiguration...!servicetimestampsdebuguptimeservicetimestampsloguptimenoservicepassword-encryption!hostnameR2821!ipsubnet-zero!interfaceSerial0ipaddress52noipdirected-broadcast!interfaceSerial1ipaddress52noipdirected-broadcast!interfaceEthernet0ipaddress54noipdirected-broadcast!ipclasslessnoiphttpserver!linecon0transportinputnonelineaux0linevty04!noschedulerallocateendR2821#路由器備份鏈路的配置：在該方案中，公司通過路由器連接到外網(wǎng)有兩條鏈路（光纖和ISDN）。光纖作為主鏈路連接到INTRANET，而ISDN作為備份鏈路，一旦主鏈路斷開后，啟用ISDN線路繼續(xù)保持網(wǎng)絡(luò)的暢通。設(shè)置路由器的S0口連到光纖，S1口連到ISDN，F(xiàn)0/0口連到防火墻R2821#conftR2821(config)#ints0R2821(config-if)#backupinterfaces1/配置備份線路/R2821(config-if)#exitR2821(config)#ints1R2821(config-if)#backupdelay01/配置備份延遲/注：Router(config-if)#backupdelay{enable-delay|never}{disable-delay|never}

其中：enable-delay表示當(dāng)主接口Down之后，發(fā)起備份的時(shí)間間隔；disable-delay表示主鏈路恢復(fù)后，關(guān)閉備份鏈路的時(shí)間間隔。在該方案中，當(dāng)主接口S0斷開0秒后，備份接口S1就開始工作維護(hù)網(wǎng)絡(luò)暢通。當(dāng)主鏈路恢復(fù)工作1秒后，備份鏈路就自動(dòng)關(guān)閉。圖7-8配置截圖配置路由器靜態(tài)路由圖7-9配置截圖配置完成后，showrun結(jié)果如下：R2821#showrunBuildingconfiguration...!servicetimestampsdebuguptimeservicetimestampsloguptimenoservicepassword-encryption!hostnameR2821!ipsubnet-zero!interfaceSerial0ipaddress52noipdirected-broadcastbackupinterfaceSerial1!interfaceSerial1ipaddress52noipdirected-broadcast!interfaceEthernet0ipaddress54noipdirected-broadcast!ipclasslessnoiphttpserver!iproutes0!linecon0transportinputnonelineaux0linevty04!noschedulerallocateend在路由器上配置NAT，實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換：圖7-10模擬器截圖配置靜態(tài)NAT：R2821(config)#ipnatinsidesourcestaticR2821(config)#ints0R2821(config-if)#ipnatoutsideR2821(config-if)#inte0R2821(config-if)#ipnatinsidePC為公司一部門主機(jī)，IP為，網(wǎng)關(guān)為54，配置該P(yáng)C的截圖如下：圖7-11配置截圖為路由器配置NAT，使公司內(nèi)部PC通過路由器可以訪問外網(wǎng)，配置截圖如下：圖7-12配置截圖

第8章網(wǎng)絡(luò)服務(wù)器的選購(gòu)與配置8.1各服務(wù)器功能介紹公司中心機(jī)房?jī)?nèi)有5臺(tái)服務(wù)器，AD服務(wù)器，LotusDomino服務(wù)器，ISA2004服務(wù)器，ERP服務(wù)器，TrendOfficescan服務(wù)器。各臺(tái)服務(wù)器提供的功能介紹如下：8.1.1AD服務(wù)器（同時(shí)安裝DNS服務(wù)）活動(dòng)目錄，Windows2000服務(wù)器版操作系統(tǒng)的一種新的目錄服務(wù)，只能運(yùn)在域控制器上，它除了能夠提供存儲(chǔ)信息的場(chǎng)所，提供服務(wù)以使信息可用外，還可以保護(hù)網(wǎng)絡(luò)對(duì)象不被非授權(quán)用戶進(jìn)入，通過網(wǎng)絡(luò)復(fù)制對(duì)象以便在域控制器崩潰時(shí)數(shù)據(jù)不會(huì)丟失。8.1.2LotusDomino服務(wù)器Domino是LotusDevelopment公司集成群件產(chǎn)品。它提供的功能包括電子郵件、基于工作流的計(jì)算、以及結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)的集成和管理。Domino是運(yùn)行于各種平臺(tái)上的服務(wù)器產(chǎn)品。它是以郵件為基礎(chǔ)，以“群集”為核心，提供了一些基本的應(yīng)用模塊。公司用該服務(wù)器作為郵件服務(wù)器。8.1.3ISA2004服務(wù)器Microsoft?InternetSecurityandAcceleration(ISA)Server

2004提供安全、快速、可管理的Internet連接。ISA服務(wù)器集成了可識(shí)別應(yīng)用程序?qū)忧夜δ芡晟频亩鄬悠髽I(yè)防火墻和高性能的Web緩存。它構(gòu)建在MicrosoftWindowsServer?

2003和Windows?

2000Server安全和目錄上，以實(shí)現(xiàn)網(wǎng)際互聯(lián)的安全性（基于策略）、加速和管理。用該服務(wù)器作為公司的內(nèi)網(wǎng)防火墻。8.1.4ERP服務(wù)器ERP是一種可以提供跨地區(qū)、跨部門、甚至跨公司整合實(shí)時(shí)信息的企業(yè)管理信息系統(tǒng)。它在企業(yè)資源最優(yōu)化配置的前提下，整合企業(yè)內(nèi)部主要或所有的經(jīng)營(yíng)活動(dòng)，包括財(cái)務(wù)會(huì)計(jì)、管理會(huì)計(jì)、生產(chǎn)計(jì)劃及管理、物料管理、銷售與分銷等主要功能模塊，以達(dá)到效率化經(jīng)營(yíng)的目標(biāo)。ERP服務(wù)器能起到記錄和方便管理該公司所有生產(chǎn)經(jīng)營(yíng)活動(dòng)的作用，是制造型企業(yè)不可缺少的。8.1.5TrendOfficescan服務(wù)器針對(duì)企業(yè)網(wǎng)絡(luò)上的桌面PC和服務(wù)器的綜合性信息安全解決方案趨勢(shì)科技防毒墻網(wǎng)絡(luò)版OfficeScan是一套集成了多種安全功能的綜合性信息安全管理系統(tǒng)，能夠全面保護(hù)企業(yè)網(wǎng)絡(luò)免受病毒、特洛伊木馬、蠕蟲、網(wǎng)絡(luò)黑客、網(wǎng)絡(luò)病毒、間諜軟件及混合攻擊的威脅。該服務(wù)器作為公司全網(wǎng)殺毒軟件使用。8.2服務(wù)器選型8.2.1AD服務(wù)器選用DELLPowerEdgeR200圖8-1AD服務(wù)器技術(shù)參數(shù)如下：處理器：?jiǎn)魏擞⑻貭?

酷睿2雙核處理器?

E4000系列內(nèi)存：4個(gè)ECCDDR-2667/800SDRAM1DIMM插槽，支持高達(dá)8GB內(nèi)存硬盤：400GB310KSAS硬盤驅(qū)動(dòng)器，146GB3和300GB315KSAS硬盤驅(qū)動(dòng)器通信：2個(gè)嵌入式千兆位2網(wǎng)卡端口：后面：2個(gè)USB2.0端口、1個(gè)視頻端口、1個(gè)串行連接器、1個(gè)PS/2鼠標(biāo)接口、1個(gè)PS/2鍵盤接口；前面：2個(gè)USB2.0端口、1個(gè)視頻接口顯卡：集成ATI?

ES1000VGA控制器，具有32MB內(nèi)存8.2.2LotusDomino服務(wù)器選用DellPowerEdgeSC1435圖8-2LOTUS服務(wù)器技術(shù)參數(shù)如下：處理器：AMD皓龍TM

2300系列四核處理器，2350，2.0GHz，4x512KB二級(jí)高速緩存，95W內(nèi)存：高達(dá)32GB(8DIMM插槽)：每?jī)?nèi)存支持規(guī)格：512MB/1GB/2GB/4GBECCDDR-2667MHzSDRAM硬盤：3.5英寸SATA(7.2Krpm)：80GB，160GB，250GB，500GB，750GB3和1TB1(SATA)通信：雙內(nèi)置Broadcom千兆網(wǎng)卡，含故障恢復(fù)和負(fù)載平衡功能顯卡：內(nèi)置ATIES1000，含16MB專用DDR內(nèi)存，頻率為200MHz8.2.3ISA2004服務(wù)器選用DELLPowerEdge1950圖8-3ISA服務(wù)器技術(shù)參數(shù)如下：處理器：配置二顆主頻高達(dá)3.0GHz的英特爾至強(qiáng)5100系列雙核處理器內(nèi)存：667MHz，8個(gè)插槽，最高支持32GB硬盤：3.5英寸SAS(10krpm)：146GB4和300GB4和400GB4通信：雙嵌入式Broadcom?

ExtremeIITM

5708千兆以太網(wǎng)卡，具故障恢復(fù)和負(fù)載平衡功能顯卡：集成ATIES1000控制器，含16MBSDRAM8.2.4ERP服務(wù)器選用DELLPowerEdgeR900圖8-4ERP服務(wù)器技術(shù)參數(shù)如下：處理器：配置4顆英特爾?

至強(qiáng)?

7300系列四核處理器，X7350：2.93GHz，1066MHz前端總線，8MB高速緩存，E7330：2.40GHz，1066MHz前端總線，6MB高速緩存，E7320：2.13GHz，1066MHz前端總線，4MB高速緩存，E7310：1.60GHz，1066MHz前端總線，4MB高速緩存內(nèi)存：高達(dá)128GB(32個(gè)DIMM插槽)：512MB/1GB/2GB/4GBFBD，667MHz，可選的高可用性功能包括內(nèi)存，備用和鏡像硬盤：1.5TB1熱插拔SAS硬盤(5X300GB)通信：英特爾PRO/1000VT四端口服務(wù)器適配器，千兆，銅線，PCI-Ex8顯卡：ATI-RadeonES1000集成顯卡，含32MBSDRAM8.2.5TrendOfficeScan服務(wù)器選用DELLPowerEdgeR300圖8-5OfficeScan服務(wù)器技術(shù)參數(shù)如下：處理器：?jiǎn)蝹€(gè)英特爾至強(qiáng)四核處理器3300系列，高達(dá)2.83GHz內(nèi)存：6個(gè)ECCDDR-2667SDRAMDIMM插槽，支持高達(dá)24GB3內(nèi)存硬盤：400GB10KSAS硬盤驅(qū)動(dòng)器通信：2個(gè)嵌入式千兆位網(wǎng)卡顯卡：集成ATI?

ES1000VGA控制器，具有32MB內(nèi)存

第9章訪問控制與安全措施9.1訪問控制配置擴(kuò)展ACL，滿足不同部門之間訪問的需要總經(jīng)理辦公室和IT部能對(duì)所有系統(tǒng)進(jìn)行訪問FTP服務(wù)僅工程部能夠訪問ERP服務(wù)器除人事部外都能訪問人事部的E-HR服務(wù)器也僅限人事和財(cái)務(wù)部門能夠訪問財(cái)務(wù)部數(shù)據(jù)，僅財(cái)務(wù)部能夠訪問1．在SW-3-4,SW-3-5上配置擴(kuò)展ACL，使總經(jīng)辦和IT部能對(duì)所有系統(tǒng)進(jìn)行訪問；財(cái)務(wù)部數(shù)據(jù)，僅財(cái)務(wù)部能訪問SW-3-4(config)#access-list101permittcp55anySW-3-4(config)#intf0SW-3-4(config-if)#ipaccess-group101outSW-3-5(config)#access-list101permittcp5555eqwwwSW-3-5(config)#access-list101denyipanyanySW-3-5(config)#ints0SW-3-5(config-if)#ipaccess-group101in2．在SW-3-5，SW-3-6上配置擴(kuò)展ACL，使FTP服務(wù)僅工程部能訪問SW-3-5(config)#access-list102permittcp55eq21SW-3-5(config)#access-list102permittcp55eq20SW-3-5(config)#access-list102denyipanyanySW-3-5(config)#intf0SW-3-5(config-if)#ipaccess-group102outSW-3-6(config)#access-list102permittcp55eq21SW-3-6(config)#access-list102permittcp55eq20SW-3-6(config)#access-list102denyipanyanySW-3-6(config)#intf0SW-3-6(config-if)#ipaccess-group102out3.在SW-1-1，SW-1-2上配置擴(kuò)展ACL，使ERP服務(wù)器除人事部外都能訪問SW-1-1(config)#access-list103denytcp55hosteq80SW-1-1(config)#access-list103permitipanyanySW-1-1(config)#intf0/9SW-1-1(config-if)#ipaccess-group103outSW-1-2(config)#access-list103denytcp55hosteq80SW-1-2(config)#access-list103permitipanyanySW-1-2(config)#intf0/9SW-1-2(config-if)#ipaccess-group103out4．在SW-3-5上配置擴(kuò)展ACL，使人事部E-HR服務(wù)器僅人事部和財(cái)務(wù)部能訪問（即E-HR服務(wù)器僅財(cái)務(wù)部能訪問）SW-3-5(config)#access-list103permittcp55hostSW-3-5(config)#access-list103denyipanyanySW-3-5(config)#intf0SW-3-5(config-if)#ipaccess-group103out9.2網(wǎng)絡(luò)安全措施9.2.1防火墻公司內(nèi)網(wǎng)外網(wǎng)連接處，選用CISCOPIX-525-BUN防火墻。CiscoSecurePIX525防火墻是世界領(lǐng)先的CiscoSecurePIX防火墻系列的組成部分，能夠?yàn)楫?dāng)今的網(wǎng)絡(luò)客戶提供無(wú)與倫比的安全性、可靠性和性能。它所提供的完全防火墻保護(hù)以及IP安全（IPsec）虛擬專網(wǎng)（VPN）能力使特別適合于保護(hù)企業(yè)總部的邊界。在內(nèi)外網(wǎng)連接的關(guān)鍵處，選用該防火墻，能有效的保護(hù)該區(qū)域的網(wǎng)絡(luò)安全。9.2.2ISA2004服務(wù)器公司的中心機(jī)房?jī)?nèi)，安置一臺(tái)ISA2004服務(wù)器，起到內(nèi)網(wǎng)防火墻的作用。ISA服務(wù)器對(duì)公司網(wǎng)絡(luò)的保護(hù)作用體現(xiàn)在以下幾方面：1.確保Internet連接的安全性ISA服務(wù)器保護(hù)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問、執(zhí)行狀態(tài)篩選和檢查，并在防火墻或受保護(hù)的網(wǎng)絡(luò)受到攻擊時(shí)向管理員發(fā)出警報(bào)。ISA服務(wù)器可以充當(dāng)防火墻，通過數(shù)據(jù)包級(jí)別、電路級(jí)別和應(yīng)用程序級(jí)別的通訊篩選、狀態(tài)篩選和檢查、廣泛的網(wǎng)絡(luò)應(yīng)用程序支持、緊密地集成虛擬專用網(wǎng)絡(luò)(VPN)、系統(tǒng)堅(jiān)固、集成的入侵檢測(cè)、智能的第7層應(yīng)用程序篩選器、對(duì)所有客戶端的防火墻透明性、高級(jí)身份驗(yàn)證、安全的服務(wù)器發(fā)布等等增強(qiáng)安全性。2.快速的Web訪問SAServer

2004緩存通過提供本地緩存的Web內(nèi)容將性能瓶頸控制在最少，并節(jié)省網(wǎng)絡(luò)帶寬。從ISA服務(wù)器Web緩存中提供常用的Web內(nèi)容，并將節(jié)省出來(lái)的內(nèi)部網(wǎng)絡(luò)帶寬用于其他內(nèi)容請(qǐng)求。3.統(tǒng)一管理ISA服務(wù)器與WindowsServer

2003和Windows

2000緊密集成，從而提供了一種一致而有效的途徑來(lái)管理用戶訪問和防火墻規(guī)則的配置。因此，這兩道防火墻，“硬件外部防火墻”和“軟件內(nèi)部防火墻”之間的建立區(qū)域，能更好的保護(hù)內(nèi)部網(wǎng)絡(luò)的資源免于受到外部網(wǎng)絡(luò)攻擊。9.2.3無(wú)線方面的安全1.隱藏或更改AP的SSID每個(gè)無(wú)線AP都對(duì)應(yīng)一個(gè)SSID，而且都把它廣播了出來(lái)?？蛻糁挥薪邮盏交蛘呤謩?dòng)設(shè)置與AP一樣的SSID才可以連接到網(wǎng)絡(luò)。因此通過這一點(diǎn)，我們可以將無(wú)線AP的SSID隱藏起來(lái)，這樣，除非你知道這個(gè)無(wú)線AP的SSID，否則將無(wú)法發(fā)現(xiàn)這臺(tái)AP的存在，從而使無(wú)線AP不暴露在所有的無(wú)線使用者面前。2.MAC地址過濾一般來(lái)說，通過MAC地址的過濾，也能達(dá)到不同用戶使用不同AP的效果。這一點(diǎn)，將在無(wú)線AP的設(shè)置過程中可以看到。3.RADIUS認(rèn)證RADIUS:RemoteAuthenticationDialInUserService，遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)。它的基本工作原理是，用戶接入NAS，NAS向RADIUS服務(wù)器使用Access-Require數(shù)據(jù)包提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶密碼是經(jīng)過MD5加密的，雙方使用共享密鑰，這個(gè)密鑰不經(jīng)過網(wǎng)絡(luò)傳播；RADIUS服務(wù)器對(duì)用戶名和密碼的合法性進(jìn)行檢驗(yàn)，必要時(shí)可以提出一個(gè)Challenge，要求進(jìn)一步對(duì)用戶認(rèn)證，也可以對(duì)NAS進(jìn)行類似的認(rèn)證；如果合法，給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進(jìn)行下一步工作，否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問；如果允許訪問，NAS向RADIUS服務(wù)器提出計(jì)費(fèi)請(qǐng)求Account-Require，RADIUS服務(wù)器響應(yīng)Account-Accept，對(duì)用戶的計(jì)費(fèi)開始，同時(shí)用戶可以進(jìn)行自己的相關(guān)操作。對(duì)于公司內(nèi)每臺(tái)AP設(shè)備，設(shè)置RADIUS認(rèn)證，就能很好的保障無(wú)線網(wǎng)絡(luò)的安全性。

第10章方案報(bào)價(jià)清單表10-1報(bào)價(jià)清單設(shè)備名稱與配置數(shù)量單價(jià)（元）合計(jì)（元）Cisco2821(Router)11750017500CiscoPIX-525-R-BUiscoWS-C4948-S267168134336CiscoWS-C3750G-12S-E344900134700CiscoWS-C2960-48TC-L1021200212000CiscoAironet1200(APSA2004服務(wù)器11300013000總計(jì)594736

參考文獻(xiàn)[1]斯桃枝,李站國(guó),王澤成.計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)集成.北京：北京大學(xué)出版社，2006[2]潘瑜青,孫曉榮.智能建筑綜合步線.北京:中國(guó)電力出版社,2005.[3]劉兵,計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)教程.北京：中國(guó)水力水電出版社,2005.[4]鄧亞平,計(jì)算機(jī)網(wǎng)絡(luò)安全.北京:人民郵電出版社,2004.[5]徐偉，趙慶華.網(wǎng)絡(luò)綜合布線系統(tǒng)與施工技術(shù)。國(guó)防工業(yè)出版社，2002.10[6]（美）康弗瑞（Convery，S.）著，王迎春，謝琳，江魁譯.網(wǎng)絡(luò)安全體系結(jié)構(gòu)（中文版）.人民郵電出版社，2005[7]（美）羅絲等著瀟湘工作室譯CiscoCatalyst局域網(wǎng)交換技術(shù)（中文版）.機(jī)械工業(yè)出版社.2000[8]（美）W.RichardStevens著,范建華等譯.TCP/IP詳解卷1.北京:機(jī)械工作出版社，2000[9]AndrewS.Tanebaum,ComputerNetworks,北京:清華大學(xué)出版社,2005[10]雷震甲,網(wǎng)絡(luò)工程師教程.北京:清華大學(xué)出版社,2004[11]Mark,LotusNotesDeveloper’sToolbox,Ziff-DavisPress,2003

附錄附錄A:外文資料翻譯—原文部分DefiningBestPracticesforDesigningandImplementing802.11WirelessSecurity(FromRevision1.5,24July2002LWirelessnetworktechnologiesarequicklybecomingaviablemeansofextendingexistingITinfrastructuresinwaysthatwerenotpreviouslypossibleduetoengineeringandfinancialconstraints.Withrapidadoption,however,havecomesecurityproblemsnotpresentinwiredenvironments.Asaresult,wirelessnetworkengineersandarchitectsmustfindnewwaystomitigatetherisksassociatedwithwirelessdeployments.Thiswhitepaperdefinesindustryacceptedbestpracticesforthedesignandimplementationof802.11(b,a,orotherwise)wirelessnetworksusingmethodologies,techniques,andtechnologiesthateliminatetherisksassociatedwithwirelessdeployment.ProblemsAstheproblemswith802.11networkshavebeencoveredingreatdetailelsewhere,theywillbementionedinbriefdetailheretoprovideabasisforfurtherdiscussionofthemeansbywhichtoeliminateorovercomethem.Additionalreferencesarealsoprovidedattheendofthisdocument.Theproblemswithwirelesscanbebrokendownintocategories,manyofwhicharespecifictothe802.11protocol.Theproblemswillbeaddressedasfollows:AccessProblemsPolicyAbuseProblemsPerformanceProblemsAuthenticationProblemsConfidentialityProblemsAccessProblemsTheproblemswithwirelessnetworksextendbeyondtechnology,andencompassanumberofissuesthatareintroducedmerelybecauseoftheuseofradiowavesinpublicairspace.Becauseofthis,andwiththerapidadoptionof802.11inmajormetropolitanareas,wirelessnetworksareeasyfornon-associatedindividualstolocate.Becausethebeaconssentbywirelessaccesspointsemploynomeansofencryption(thebeaconsassociatewirelessclientswithagivennetwork),anyonewithalaptopandawirelesscardcaneasilydeterminetheirpresence.Infact,modern‘war-drivers’mightfindtensifnothundredsofwirelessnetworkswithinagiven10-mileradiususinghigh-gainvehiclemountedantennas.PolicyAbuseProblemsToexacerbatetheproblem,wirelessnetworksarebecomingeasiertodeploy.Wideavailabilityandlowcostofwirelesscomponents,combinedwiththeeaseofdeviceconfigurationandlackofsecuredefaultsettingsforoperationpromoterogueimplementations.Itisnotuncommontofindunauthorizedaccesspointsinanorganization,setupbyadepartmentmanagerwithnounderstandingofpropersecuritypracticesandlittleregardforcorporatepoliciesandprocedures.Unfortunately,littlecanbedonetomitigatetheserisks,shortofRFshielding,frequentmonitoringforroguedevices,andstrictenforcementofsecuritypolicies.PerformanceProblemsInad