網(wǎng)絡工程規(guī)劃與設(shè)計案例教程項目二-任務三-公司辦公網(wǎng)建設(shè)方案書

歐宇公司辦公網(wǎng)建設(shè)方案書

目錄TOC\o"1-3"\h\u1016一、工程概況 3159641、工程詳述 36452、項目工期 320666二、需求分析 3307171、網(wǎng)絡要求 3263052、系統(tǒng)要求 4241243、用戶要求 561824、設(shè)備要求 61610三、網(wǎng)絡系統(tǒng)設(shè)計規(guī)劃 6126521、網(wǎng)絡設(shè)計指導原則 6132582、網(wǎng)絡設(shè)計總體目標 6133303、網(wǎng)絡IP地址規(guī)劃 794774、網(wǎng)絡技術(shù)方案設(shè)計 894645、網(wǎng)絡應用系統(tǒng)選擇 9297416、網(wǎng)絡安全系統(tǒng)設(shè)計 97867、網(wǎng)絡管理維護設(shè)計 1225543四、網(wǎng)絡布線系統(tǒng)設(shè)計 13206521、布線系統(tǒng)總體結(jié)構(gòu)設(shè)計 13305612、工作區(qū)子系統(tǒng)設(shè)計 13112063、水平子系統(tǒng)設(shè)計 147654、管理子系統(tǒng)設(shè)計 1457125、設(shè)備間子系統(tǒng)設(shè)計 14

一、工程概況1、工程詳述歐宇公司是一家電子產(chǎn)品銷售公司，擁有包括財務部、技術(shù)部、人事部、后勤部以及銷售和售后服務部在內(nèi)的5個部門，共150多名員工；租用一棟辦公樓的1~6層作為公司辦公和經(jīng)營的場所，第一層作為公司的營業(yè)廳，其余各層作為公司的辦公部門。根據(jù)歐宇公司網(wǎng)絡建設(shè)的現(xiàn)有需求，并考慮到未來的發(fā)展趨勢，需要進行辦公信息化建設(shè)，建立一個統(tǒng)一的辦公信息網(wǎng)絡，滿足數(shù)據(jù)、語音、視頻、圖像、多媒體等信息的傳輸，實現(xiàn)企業(yè)用戶管理、辦公自動化、業(yè)務系統(tǒng)和Internet訪問等，提高公司的辦公效率，加強部門與部門之間、公司與合作伙伴之間的聯(lián)系。2、項目工期20112年5月28日2012年6月28日 二、需求分析1、網(wǎng)絡要求滿足公司信息化的要求,為各類應用系統(tǒng)提供方便、快捷的信息通路；具有良好的性能，能夠支持大容量和實時性的各類應用；能夠可靠運行，具有較低的故障率和維護要求。提供網(wǎng)絡安全機制，滿足公司信息安全的要求，具有較高的性價比，未來升級擴展容易，保護用戶投資；用戶使用簡單、維護容易，為用戶提供良好的售后服務。主干網(wǎng)負責各個子網(wǎng)和應用服務的連接，為信息交換提供有效的高速通道。系統(tǒng)主干采用千兆以太網(wǎng)10000M交換，下屬子網(wǎng)采用千兆以太網(wǎng)，網(wǎng)絡協(xié)議采用TCP/IP協(xié)議，整個網(wǎng)絡應考慮語音、視頻、數(shù)據(jù)等的綜合應用。交換機要求采用主流、成熟、信譽和售后服務均佳的產(chǎn)品，核心交換機采用三層交換機，支持VLAN等功能，能較好解決突發(fā)數(shù)據(jù)量和密集服務請求的實時響應問題，在內(nèi)部用戶終端進行視頻信號、數(shù)據(jù)交換時交換引擎不會出現(xiàn)過載現(xiàn)象和數(shù)據(jù)包碰撞、丟失的現(xiàn)象，還要考慮預防瓶頸出現(xiàn)和補救的相應措施。本系統(tǒng)處理的信息包括數(shù)據(jù)、語音和圖像等，因此要考慮實時性問題，特別要考慮包括視頻會議在內(nèi)的信息共享等方面的實時性要求。；UPS電源的配備，配置要保證網(wǎng)絡中所有的服務器、交換機、路由器、集線器等設(shè)備的連續(xù)、正常地運轉(zhuǎn)；網(wǎng)絡帶寬的分配：應根據(jù)所屬單位網(wǎng)絡的信息流量情況合理分配網(wǎng)段，以充分利用網(wǎng)絡帶寬，提高網(wǎng)絡的運行效率。2、系統(tǒng)要求配置簡單方便：所有的客戶端和服務器系統(tǒng)應該是易于配置和管理的，并保障客戶端的方便使用;廣泛的設(shè)備支持：所有操作系統(tǒng)及選擇的服務應盡量廣泛的支持各種硬件設(shè)備;穩(wěn)定性及可靠性：系統(tǒng)的運行應具有高穩(wěn)定性，保障7*24的高性能無故障運行?？晒芾硇裕合到y(tǒng)中應提供盡量多的管理方式和管理工具，便于系統(tǒng)管理員在任何位置方便的對整個系統(tǒng)進行管理;更低的成本：系統(tǒng)設(shè)計應盡量降低整個系統(tǒng)的成本；安全性：在系統(tǒng)的設(shè)計、實現(xiàn)及應用上應采用多種安全手段保障網(wǎng)絡安全；提供良好的售后服務。網(wǎng)絡還應具有開放性、可擴展性及兼容性，全部系統(tǒng)的設(shè)計要求采用開放的技術(shù)和標準選擇主流的操作系統(tǒng)及應用軟件，保障系統(tǒng)能夠適應未來幾年公司的業(yè)務發(fā)展需求，便于網(wǎng)絡的擴展和公司的結(jié)構(gòu)變更。3、用戶要求要求計算機應用系統(tǒng)能處理大信息量的傳輸和計算；要求易于用戶管理、界面簡單、邏輯清晰；滿足用戶使用網(wǎng)絡系統(tǒng)的運行質(zhì)量，提高網(wǎng)絡運行速度；要求采用千兆以太網(wǎng)作為主干的網(wǎng)絡技術(shù)，提供標準化的高速度主干網(wǎng)連接，并在未來可以升級到IPV6，可以在同一個網(wǎng)絡中支持多種服務質(zhì)量，以支持目前和未來的應用和服務為標準。網(wǎng)絡中使用的設(shè)備、技術(shù)和協(xié)議完全符合國際通用的標準，兼容現(xiàn)有的網(wǎng)絡環(huán)境，提供良好的互聯(lián)性；要求網(wǎng)絡提供足夠的帶寬，豐富的接口形式，滿足用戶對應用帶寬的基本要求，并保留一定的余量供擴展使用，最大可能地降低網(wǎng)絡傳輸延遲；要求網(wǎng)絡有很高的可靠性、穩(wěn)定性及冗余，網(wǎng)絡能夠提供良好的安全性策略，能避免內(nèi)部操作失誤造成的損害和來自外部的惡意攻擊。4、設(shè)備要求根據(jù)集團的網(wǎng)絡功能需求和實際的布線系統(tǒng)情況，樓層接入設(shè)備需要選擇同一型號的設(shè)備;網(wǎng)絡設(shè)備必須在技術(shù)上具有先進性、通用性，必須便于管理、維護，應該滿足集團現(xiàn)有計算機設(shè)備的高速接入，應該具備良好的可擴展性、可升級性，保護用戶的投資。網(wǎng)絡設(shè)備在滿足功能與性能的基礎(chǔ)上必須具有良好的性價比。網(wǎng)絡設(shè)備應該選擇擁有足夠?qū)嵙褪袌龇蓊~的廠商的主流產(chǎn)品，同時設(shè)備廠商必須要有良好的市場形象與售后技術(shù)支持。三、網(wǎng)絡系統(tǒng)設(shè)計規(guī)劃1、網(wǎng)絡設(shè)計指導原則網(wǎng)絡設(shè)計應該遵循開放性和標準化原則、實用性與先進性兼顧原則、可用性原則、高性能原則、經(jīng)濟性原則、可靠性原則、安全第一原則、適度的可擴展性原則、充分利用現(xiàn)有資源原則、易管理性原則、易維護性原則、最佳的性能價格比原則、QoS保證2、網(wǎng)絡設(shè)計總體目標先進性：系統(tǒng)具有高速傳輸?shù)哪芰Α９ぷ髡咀酉到y(tǒng)傳輸速率達到100Mb/S，水平系統(tǒng)傳輸速率達到1000Mb/s,滿足現(xiàn)在和未來數(shù)據(jù)的信息傳輸?shù)男枨螅恢鞲上到y(tǒng)傳輸速率達到1000Mb/s,同時具有較高的帶寬，滿足現(xiàn)在和未來的圖像、影像傳輸?shù)男枨?。靈活性：系統(tǒng)具有較高的適應變化的能力。當用戶的物理位置發(fā)生變化時可以在非常簡便的調(diào)整下重新連接；布線系統(tǒng)適應各種計算機網(wǎng)絡結(jié)構(gòu)，如以太網(wǎng)、高速以太網(wǎng)、令牌環(huán)網(wǎng)、ATM網(wǎng)等。布線系統(tǒng)且具有一定的擴展能力。實用性：系統(tǒng)具有低成本、使用方便、簡單、易擴展的特點。布線系統(tǒng)應在滿足各種需求的情況下盡可能降低材料成本；布線系統(tǒng)具有操作簡單、使用方便、易于擴展的特點。3、網(wǎng)絡IP地址規(guī)劃公司企業(yè)網(wǎng)的IP地址分配原則如下：使用IPv4地址方案，使用私有IP地址空間：/21。使用VLSM(變長子網(wǎng)掩碼)技術(shù)分配IP地址空間。按照部門進行VLAN規(guī)劃。VLAN命名規(guī)則是以部門名稱每個字的頭一個拼音字母組成，如營業(yè)廳的拼音是yingyeting，每個字的頭一個拼音字母是YYT，這也是該部門所屬VLAN的名稱；IP地址分配應滿足集團的利用，便于路由匯聚。，滿足分類控制等。同時滿足未來公司網(wǎng)絡擴容的需要。網(wǎng)絡設(shè)備的管理地址使用/25網(wǎng)絡；服務器區(qū)采用28/25網(wǎng)段；每個VLAN的網(wǎng)關(guān)為本網(wǎng)段最后一個IP地址。4、網(wǎng)絡技術(shù)方案設(shè)計總體網(wǎng)絡采用基于樹型的單星型結(jié)構(gòu)，整體網(wǎng)絡規(guī)劃為核心及服務器群區(qū)域，客戶端接入?yún)^(qū)域；核心交換機位于中心機房。采用全交換硬件體系結(jié)構(gòu)，可實現(xiàn)全線速的IP交換；網(wǎng)絡主干采用先進的千兆位以太交換技術(shù)，可最大限度地提高主干的數(shù)據(jù)傳輸速率。使用千兆網(wǎng)絡保證網(wǎng)絡交易速度與實時性，適應網(wǎng)絡不斷擴展的要求。根據(jù)需求概括，我們選擇的是H3C企業(yè)級的帶有無線控制模塊的S5800-32C交換機。該款交換機具備最先進的硬件處理能力和最豐富的業(yè)務特性；支持萬兆擴展接口，便于以后骨干網(wǎng)絡的升級；支持IPv4/IPv6硬件雙棧及線速轉(zhuǎn)發(fā)，使客戶能夠從容應對即將帶來的IPv6時代；除此以外，其出色的安全性，可靠性和多業(yè)務支持能力使其成為大型企業(yè)網(wǎng)絡和園區(qū)網(wǎng)的匯聚，中小企業(yè)網(wǎng)核心、以及城域網(wǎng)邊緣設(shè)備的第一選擇。接入層為樓層的工作組及交換機。核心層與接入層以千兆以太網(wǎng)技術(shù)相連，傳輸速率達1Gbps，采用全雙工通信可達2Gbps。其物理連接采用多模光纜相互連接，以提供物理層、鏈路層及IP層的冗余連接能力。接入層交換機可以每個獨立構(gòu)成一個VLAN，也可以多個二層交換機構(gòu)成一個VLAN。VLAN之間的路由由核心交換機負責。不同的部門/單位可以通過配置不同的VLAN等方式來隔離廣播和信息流，不但可以提高網(wǎng)絡效率，而且可以增強網(wǎng)絡安全。而每臺交換機上的10/100/1000M自適應端口又可以與上層核心交換機的千兆接口相連接。這樣的連接結(jié)構(gòu)可保證網(wǎng)絡帶寬的最大限度的合理應用。5、網(wǎng)絡應用系統(tǒng)選擇根據(jù)公司用戶對操作系統(tǒng)的要求：操作系統(tǒng)要求選擇最穩(wěn)定和最使用版本，所選操作系統(tǒng)需要提供方便的更新與升級方法，服務器操作系統(tǒng)需要能夠提供目錄服務功能，服務器及客戶機操作系統(tǒng)都需要支持TCP/IP協(xié)議，所選操作系統(tǒng)應能夠方便的實現(xiàn)用戶和權(quán)限的管理，秘選操作系統(tǒng)應能夠運行大多數(shù)應用軟件，例如辦公軟件、財務軟件等，我們管理服務器選擇WINDOWSSERVER2008，它具有極高的穩(wěn)定性、先天的安全性、軟件安裝的便利性、多任務、多使用者、有強大的網(wǎng)絡功能、在相關(guān)軟件的支持下，可實現(xiàn)WWW、FTP、DNS、DHCP、E-mail等服務。6、網(wǎng)絡安全系統(tǒng)設(shè)計1）安全基礎(chǔ)設(shè)施設(shè)計為保證系統(tǒng)的正常運轉(zhuǎn)，需要為系統(tǒng)的運行提供一個良好的環(huán)境，為各類系統(tǒng)設(shè)備提供一個安全、可靠、溫濕度及潔凈度均符合要求的運行環(huán)境，同時為相關(guān)工作人員提供方便、快捷、舒適的工作環(huán)境和順暢高效的通信通道，并防止非法用戶進入計算機控制室和各種偷竊、破壞活動的發(fā)生；同時制定完善的中心機房管理條例，對出入機房人員和設(shè)備進行管理。對信息系統(tǒng)中的主機安全防護可以通過操作系統(tǒng)安全加固(打安全補丁、設(shè)置安全配置)、安裝防病毒軟件等方法進行。2）應用系統(tǒng)安全設(shè)計辦公網(wǎng)絡中運行了多個應用系統(tǒng)，如人事管理系統(tǒng)、財務管理系統(tǒng)、OA系統(tǒng)等等，根據(jù)網(wǎng)絡安全需求分析，各部門之間的訪問需要進行控制，同時對部門服務器的訪問也有要求。因此，如果將網(wǎng)絡結(jié)構(gòu)，按照部門進行劃分，對不同的部門進行不同的安全設(shè)置，那么安全問題會容易解決得多。所以該辦公網(wǎng)按照部門劃分了VLAN，進行訪問控制。3)網(wǎng)絡設(shè)備安全設(shè)計對于網(wǎng)絡需求之外的網(wǎng)絡服務應該禁用，因為不必要的網(wǎng)絡服務只會為攻擊者提供更多的攻擊途徑和門戶。除此之外，有兩點應該著重注意：設(shè)備缺省配置和已知的不安全服務。很多設(shè)備（或其中軟件系統(tǒng)）為了方便用戶應用，都會有一個出廠缺省配置。一定要根據(jù)系統(tǒng)的詳細設(shè)計文檔仔細核對設(shè)備提供的網(wǎng)絡服務，禁用不該有的缺省服務。接入交換機通過端口綁定為每臺接入有線網(wǎng)絡的主機分配一個固定的IP地址，確保IP地址不被盜用；同時劃分VLAN，將接入主機劃分不同的部門。核心交換機上部署ACL，為不同部門配置訪問控制策略。開啟寬帶路由器的防火墻應用，配置訪問控制策略，限制外網(wǎng)用戶對內(nèi)網(wǎng)的訪問，保證內(nèi)網(wǎng)用戶對外網(wǎng)的安全訪問。4）統(tǒng)一防病毒體系設(shè)計歐宇公司辦公網(wǎng)存在下列病毒安全隱患和需求：計算機病毒在企業(yè)內(nèi)部網(wǎng)絡傳播；內(nèi)部網(wǎng)絡可能被外部黑客的攻擊；內(nèi)部網(wǎng)絡用戶上網(wǎng)行為沒有有效監(jiān)控管理，影響日常工作效率，容易形成內(nèi)部網(wǎng)絡的安全隱患；無線用戶對公司內(nèi)部網(wǎng)絡的安全訪問。由于內(nèi)部存在1百多個個網(wǎng)絡客戶端，如采用普通殺毒軟件會造成升級麻煩、使用不便等問題?？稍诜掌魃习惭b客戶端防病毒產(chǎn)品(客戶端殺毒軟件的工作模式是服務器端、客戶端的方式)的服務器端，由客戶端通過網(wǎng)絡與服務器端連接后進行網(wǎng)絡化安裝。對產(chǎn)品升級，可通過在服務器端進行設(shè)置，自動通過INETRNET進行升級，再由客戶端到服務器端進行升級，大大簡化升級過程，并且整個升級是自動完成，不需要人工操作。同時在服務器上安裝單獨的服務器殺毒產(chǎn)品，對服務器進行病毒保護。因此公司內(nèi)部通過部署瑞星網(wǎng)絡殺毒軟件，按照“集中管理、分布處理”的原則在企業(yè)內(nèi)部的服務器和客戶端同時部署殺毒軟件共同完成對整個網(wǎng)絡的病毒防護工作，為用戶的網(wǎng)絡系統(tǒng)提供全方位防病毒解決方案。6）網(wǎng)絡接入安全為所有接入網(wǎng)絡的用戶設(shè)置用戶名和密碼，這是每個用戶的身份標識，用戶通過該身份標識擁有相應網(wǎng)絡訪問的權(quán)限。更改無線AP的默認密碼；關(guān)閉無線路由器的SSID廣播；開啟無線上網(wǎng)加密設(shè)置；通過對AP接入用戶進行帶寬限制，有效避免由于部分用戶P2P業(yè)務對WLAN帶寬的消耗。7、網(wǎng)絡管理維護設(shè)計1）網(wǎng)絡設(shè)備管理：網(wǎng)絡管理主要針對系統(tǒng)內(nèi)各類交換機、路由器設(shè)備進行監(jiān)控和管理；針對網(wǎng)絡拓撲進行分析、監(jiān)控和管理；針對網(wǎng)絡故障進行分析、監(jiān)控和管理；以及針對網(wǎng)絡性能進行監(jiān)控和管理。2）服務器管理：要求針對系統(tǒng)內(nèi)所有服務器進行監(jiān)控和管理，對于服務器的監(jiān)控和管理，要求能提供完善的報表系統(tǒng)，重點包括對CPU、磁盤、內(nèi)存的性能監(jiān)控和管理，對文件和文件系統(tǒng)監(jiān)控和管理，對進程監(jiān)控和管理。具體的管理功能要求包括提供集中式的基于策略的管理方式、服務器系統(tǒng)資源監(jiān)控的參數(shù)配置靈活簡便、采用智能的監(jiān)控策略、提供對實時性能數(shù)據(jù)和歷史性能數(shù)據(jù)的查看功能等。3)企業(yè)資源管理建立活動目錄，所有資源都加入域，對公司資源進行統(tǒng)一管理。根據(jù)歐宇公司的機構(gòu)設(shè)置創(chuàng)建活動目錄的組織結(jié)構(gòu)。建立域控制器，創(chuàng)建域，按照部門劃分組織單元，同時將各部門的計算機，網(wǎng)絡資源（包括打印機，傳真機等）加入本部門所屬組織單元；通過組策略對組織單元設(shè)置權(quán)限，控制不同部門之間以及部門內(nèi)部的訪問；為服務器群中服務器上的資源按照所屬部門創(chuàng)建訪問權(quán)限，如人事管理系統(tǒng)只允許人事部進行訪問和控制；按照員工號為每個內(nèi)網(wǎng)用戶創(chuàng)建一個域賬戶，用戶通過該賬戶登錄公司內(nèi)網(wǎng)，同時獲得訪問服務器資源所需的權(quán)限；對組織單元中計算機的桌面進行同一配置，限制公司員工自行安裝軟件，以及不允許員工在上班時間進行視頻下載等占用帶寬的操作；對部門打印機進行統(tǒng)一管理，本部門可以通過共享訪問部門打印機；在組織單元內(nèi)部創(chuàng)建共享文件夾，供本部門用戶共享部門資源；在域控制器上安裝瑞星系統(tǒng)中心和瑞星管理員控制端，對瑞星軟件服務器端和瑞星軟件客戶端進行統(tǒng)一控制。四、網(wǎng)絡布線系統(tǒng)設(shè)計1、布線系統(tǒng)總體結(jié)構(gòu)設(shè)計從中心機房用用12芯單模室內(nèi)多模光纖和五類非屏蔽雙絞線從電信間與工作站相連接，企業(yè)網(wǎng)采用6M的光纖以太網(wǎng)接入到因特網(wǎng)服務提供商的網(wǎng)絡，然后接入到因特網(wǎng)中，使公司