毕业设计（论文）-某公司网络方案规划与设计.doc

《毕业设计（论文）-某公司网络方案规划与设计.doc》由会员分享，可在线阅读，更多相关《毕业设计（论文）-某公司网络方案规划与设计.doc（33页珍藏版）》请在装配图网上搜索。

1、1 公司网络方案规划与设计公司网络方案规划与设计 摘要：摘要：随着网络的逐步普及，企业网络的建设是企业向信息化发展的必然选择， 企业网网络系统是一个非常庞大而复杂的系统，它不仅为现代化发展、综合信 息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服 务，使信息能及时、准确地传送给各个系统。而企业网工程建设中主要应用了 网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设计课题将主 要以企业局域网络建设过程可能用到的各种技术及实施方案为设计方向，为企 业网的建设提供理论依据和实践指导。 关键字：关键字：局域网、Internet、计算机网络、网络协议、服务器、防火墙 Abs

2、tract：Along with the network gradually universal, developments of the business enterprise network are the inevitable choice that business enterprises turn to information the developments, the business enterprise net network system is a very huge but complicated system, it not only develop, synthesiz

3、e the information management for the modernization with transact automation etc. a series application provide the basic operation terrace, but also can provide various application the service, making information can on time, deliver accurately to the each system.But the business enterprise net engin

4、eering developments inside applied the important branch bureau area net technique of the network technique inside primarily to developments and management of, for this reason a graduate design lesson an every kind of technique for will mainly with business enterprise bureau area network developments

5、 process may using and puts project into practice as to design the direction, provide the theories for developments of the business enterprise net Keyword: local area network, Internet, computer networking, network protocols, servers, firewalls 2 目录目录 一 绪论.3 二 需求分析.3 三 网络设计原则与目标.5 3.1 网络设计原则.5 3.2 网

6、络设计目标6 四 网络技术选择.7 五 网络逻辑结构设计.7 5.1 网络拓扑结构设计7 5.2 Ip 地址方案 11 5.3 VLAN14 5.4 互联网接入方案.15 5.5 安全方案.17 六 网络物理结构设计.18 6.1、设计原则18 6.2、总体设计思路18 6.3、传输布线方案设计.19 6.4、 线路铺设24 7 安装建设和维护.25 7.1、主干交换机25 7.2、二级节点主交换机29 结束语.32 致谢.32 参考文献.32 3 一一 绪论绪论 当今世界，各种先进的科学技术飞速发展，给人们的生活带来了深远的影 响，它极大的改善我们的生活方式。在以计算机技术为代表的信息科技的

7、发展 更是日新月异，从各个方面影响和改变着我们的生活，而其中的计算机网络技 术的发展更为迅速，已经渗透到了我们生活的各个方面，人们已经离不开计算 机网络，并且随着因特网的迅速普及，给我们的工作与生活条件带来更大的方 便，我们与外部世界的联系将更加的紧密和快速。 随着人们对于信息资源共享以及信息交流的迫切需求，促使网络技术的产 生和快速发展，计算机网络的产生和使用为人类信息文明的发展带来了革命性 的变化。自 1995 年中国教育教研网（CERNET）建成后，公司网络的建设已经进 入到一个蓬勃发展的阶段。其主要包括各种局域网的技术思想、网络设计方案、 网络拓扑结构、布线系统、Intranet/In

8、ternet 的应用、网络安全，网络系统 的维护等内容。通过本毕业设计课题的论述，希望使读者能够了解公司网络的 建设过程以及所涉及到的各种网络技术，并能对今后大家在学习网络技术知识 或是进行公司网络的工程建设中有所借鉴。 二二 需求分析需求分析 计算机网络的迅速发展和普及，改变了整个信息管理的面貌，使信息管理 从以单个计算机为中心发展到以网络为中心，并为计算机技术在工业、商业、 教学、科研、管理等领域中的应用提供了一个全新的网络通信环境，也从根本 上加强并促进了群体工作成员之间的信息交流、资源共享、科学计算、技术合 作及有效管理等，进而推动了生产、管理、科研及教学事业的发展。企业的生 产、经营

9、环境的改善，必须以现代化的集成生产管理系统和高度自动化的信息 技术为依托，将企业的各个生产部门构成一个有机的整体，而不是自动化程度 很高的“孤岛”的简单叠加。 目前，信息化程度已成为衡量一个国家、一个地区、一个单位综合实力的 重要标志。党中央和国务院对我国信息化工作非常重视，信息化建设已作为一 4 项重要工作领导小组，并指出了“统筹规划、联合建设、统一标准、专项结合” 的十六字指导方针。随着信息化建设的不断深入发展，原有人工管理方式已不 能适应现代管理需要。 在以往的工作模式下，信息主要有业务员来传递，这种手工劳动不仅延缓 了信息传递时间；而且，由于工作习惯的不同，文件具有不同的格式，经过多

10、次周转，往往会造成信息失真，大大地影响了工作质量。随着企业规模的不断 发展和业务量的不断增加，原有的工作方式已不能满足现代办公系统的需要。 特别是对突发事件的处理能力。 根据公司的实际情况，我公司将结合在网络系统方面丰富的集成经验，采 用先进的计算机及网络设备，为公司建立起一套快速稳定、技术成熟的网络信 息系统。 从从目目前前来来讲讲，主主要要需需求求分分为为如如下下几几个个方方面面： 1、网络系统中心在公司计算机信息管理中心。 2、整个网络采用先进的网络结构，以满足传输、存储和处理数据、等信息 的需要。 3、各应用单位通过市公司计算机信息中心和 INTERNET 接通。 4、满足网上的集成办

11、公系统和电子商务业务系统的需求。 5、完整统一的系统管理平台。 本本系系统统的的需需求求特特点点 根据用户的需求及应用的特点，我们认为本网络系统具有如下特点： 网网络络规规模模较较大大 本地网络上的用户多个,将来会进一步发展。因此，网络的设计要留下充分 的发展余地。比如，服务器及工作站的网络传输速度要能够适应业务不断增长 的需要，网络能够支持将来电视会议及多媒体等新业务以适应新应用的需求。 先先进进性性 5 公司网络系统利用当今计算机与通讯科学技术的先进成果，在一个高起点 基础上发展，保障系统具有较长的生命周期，使公司网络系统不会落后于技术 的发展，同时也不会造成资源浪费。不然，会极大地影响系

12、统的进一步开拓。 性性能能要要求求较较高高 为了满足各种工作站的应用的要求，服务器的网络接口应该有比较高的吞 吐能力。服务器的网络传输速率要在 100Mbps 以上；工作站的网络传输速率也 应该满足一定的要求。而且，随着业务的开展，对网络传输速率的要求会不断 提高。因此，要求网络设备应具有比较高的容量，满足系统发展的需要。而且， 采用的网络技术应该提供多种速率的连接接口，满足系统对服务器带宽的要求。 高高可可靠靠性性 网络的可靠性要求高，采用容错技术或设备级的备份保证网络系统的正常 工作。 扩扩展展性性 未来网络上许多用户对网络带宽有更高的要求，如网络上的电子商务系统 的应用，都使这些用户对网

13、络的带宽有特殊的要，所以网络要求提供这方面的 扩展功能。 三三 网络设计原则与目标网络设计原则与目标 3.1 网络设计原则网络设计原则 在公司办公网络的方案设计及建设过程中，要充分考虑公司目前的具体甚 至特殊需求，又要符合公司未来发展的需要。鉴于此，在设计中应遵循以下几 项总体原则： 1、在充分考虑公司网络总体要求的基础上，最大限度满足公司的特殊要求； 2、充分利用现有设备，保护公司投资； 3、保证简单、实用的基础上对网络的设计应尽量采用先进技术和设备； 6 4、网络结构采用星型的网络结构； 5、采用全交换网络技术； 6、 具有很好的安全性、可靠性。设计要简单、灵活、合理、易于开发， 便于维护

14、。 7、应用系统要求网络服务器具有较高的处理能力和 I/O 吞吐能力。 8、操作系统应具有良好的可扩展性。 3.2 网络设计目标网络设计目标 X 公司信息系统网络建设的目标，就是在总部和各分支机构局域网建设、 及其广域网联接的基础上，将互联网技术引入企业内部网，从而建立起统一、 快捷、高效的 Intranet 系统。整个系统在安全、可靠、稳定的前提下，符合经 济的原则，即实现合理的投入，最大的产出。具体规划如下： 以电讯公司为中心，与公司机关大楼、厂区内生产处、各二级厂等单位通 过光纤相连，构成一大型分级局域网。 以千兆以太作为主干网，利用第三层交换技术实现大型局域网的 VLAN 划分。 一期

15、规划中十个二级节点采用千兆，与中心主交换机（主节点）构成千兆 网络主干，各二级单位（三级节点）采用 100M 光纤收发器通过二级节点接 入主干网。 考虑到网络环路连接可达到冗余效果，增加系统的可靠性，因此，二级节 点之间尽可能互联，形成环路。 网络中心建设拨号访问服务中心，接受远程拨号访问，并由认证和计费系 统进行权限认证和计费。 网络通过申请专线或虚拟光纤接入 Internet/ChinaNET，在公网上建立虚拟 专用网(VPN)；通过采用 Web 技术和 Internet-VPN 技术以及信息加密技术 实现电子商务。这样，可以提供远程拨号访问和通过 Internet 访问两种方 式，来实现

16、全国各分支机构、相关部门以及公众对 X 信息的限制性访问。 网络的安全机制： （1）通过对网络设备的配置，控制访问列表等方式来加强网络的安全性 措施； （2）更重要的是，在内部网与公众网的结合处，采用先进的防火墙技术、 代理服务器技术、以及 Web 服务器的口令验证、数据加密等技术实现 7 网络的安全性。 网络中心设立 WEB 应用服务器、代理服务器、E-MAIL 服务器、DNS 服务器、计 费认证服务器和数据库服务器，实现 WEB 访问、Internet 接入、E-MAIL 系统、 域名解析、计费认证和应用系统等各种功能。 四四 网络技术选择网络技术选择 局域网（LAN）通常被定义为一个单独

17、的广播域，主要使用 Hub，网桥，或 交换机等网络设备连接同一网段内的所有节点。同处一个局域网之内的网络节 点之间可以不通过网络路由器直接进行通信；而处于不同局域网段内的设备之 间的通信则必须经过网络路由器。 随着网络的不断扩展，接入设备逐渐增多，网络结构日趋复杂，必须使用 更多的路由器才能将不同的用户划分到各自的广播域中，在不同的局域网之间 提供网络互连。 这样做的一个缺陷就是随着网络中路由器数量的增多，网络时延逐渐加长， 从而导致网络数据传输速度的下降。这主要是因为数据在从一处局域网传递到 另一处局域网时，必须经过路由器的路由操作，路由器根据数据包中的相应信 息确定数据包的目标地址，然后再

18、选择合适的路径转发出去。 VLAN，又称虚拟局域网，是由位于不同物理局域网段的设备组成。虽然 VLAN 所连接的设备来自不同的网段，但是相互之间可以进行直接通信，好像处 于同一网段中一样，由此得名虚拟局域网。相比较传统的局域网布局，VLAN 技 术更加灵活。为了创建虚拟网络，需要对已有的网络拓扑结构进行相应的调整。 本公司网络规划选择的是 VLAN 技术。 五五 网络逻辑结构设计网络逻辑结构设计 5.15.1 网络拓扑结构设计网络拓扑结构设计 网络拓扑结构是指用传输媒体互连各种设备的物理布局。将参与 LAN 工作 的各种设备用媒 体互连在一起有多种方法,实际上只有几种方式能适合 LAN 的 8

19、 工作。如果一个网络只连接几台设备,最简单的方法是将它们都直接相连在一起， 这种连接称为点对点连接。用这种方式形成的网络称为全互连网络。这里所以 给出这种拓扑结构，是因为当需要通过互连设备(如路由器) 互连多个 LAN 时, 将有可能遇到这种广域网(WAN)的互连技术。 目前大多数 LAN 使用的拓扑结构有 3 种: 星行拓扑结构 环行拓扑结构 总线型拓扑结构 星型拓扑结构星型拓扑结构 星型结构是最古老的一种连接方式，大家每天都使用的电话都属于这种结 构。星型布局是以中央结点为中心与各结点连接而组成的，各结点与中央结点 通过点与点方式连接，中央结点执行集中式通信控制策略，因此中央结点相当 复杂

20、，负担也重。以星型拓扑结构组网，其中任何两个站点要进行通信都要经 过中央结点控制。中央结点主要功能有： 1、为需要通信的设备建立物理连接； 2、为两台设备通信过程中维持这一通路； 3、在完成通信或不成功时,拆除通道。 在文件服务器/工作站(File Servers/Workstation )局域网模式中，中心 点为文件服务器，存放共享资源。由于这种拓扑结构，中心点与多台工作站相 连,为便于集中连线，目前多采用集线器(HUB)。 星型网络中每台计算机都与中央节点相连，如果计算机需要发送数据或需要与 其他计算机通信时，首先必须向中央节点发送一个请求，以便和需要对话的计 算机建立连接，一旦连接建立后

21、，两台计算机就象是用专用线连接的一样，可 以点对点的实现通信。 这种结构便于集中控制,因为端用户之间的通信必须经过中心站。由于这一 特点,也带来了易于维护和安全等优点。端用户设备因为故障而停机时也不会影 响其它端用户间的通信但这种结构非常不利的一点是,中心系统必须具有极高的 可靠性,因为中心系统一旦损坏，整个系统便趋于瘫痪。对此中心系统通常采用 双机热备份,以提高系统的可靠性。 总线拓扑结构总线拓扑结构 总线结构是使用同一媒体或电缆连接所有端用户的一种方式,也就是说，连 接端用户的物理媒体由所有设备共享。使用这种结构必须解决的一个问题是确 保端用户使用媒体发送数据时不能出现冲突。在点到点链路配

22、置时,这是相当简 单的。如果这条链路是半双工操作，只需使用很简单的机制便可保证两个端用 9 户轮流工作。在一点到多点方式中,对线路的访问依靠控制端的探询来确定。然 而，在 LAN 环境下,由于所有数据站都是平等的,不能采取上述机制。对此，研 究了一种在总线共享型网络使用的媒体访问方法:带有碰撞检测的载波侦听多路 访问,英文缩写成 CSMA/CD。在总线结构中，所有网上微机都通过相应的硬件接 口直接连在总线上， 任何一个结点的信息都可以沿着总线向两个方向传输扩散， 并且能被总线中任何一个结点所接收。由于其信息向四周传播，类似于广播电 台，故总线网络也被称为广播式网络。总线有一定的负载能力，因此，

23、总线长 度有一定限制，一条总线也只能连接一定数量的结点。 总线布局的特点：结构简单灵活，非常便于扩充；可靠性高，网络响应速 度快；设备量少、价格低、安装使用方便；共享资源能力强，非常便于广播式 工作，即一个结点发送所有结点都可接收。 总线型拓扑结构的优点是: (1) 结构简单灵活 (2) 可靠性高 (3) 设备少,费用低。 (4) 安装容易，使用方便。 (5) 共享资源的能力强，便于广播式工作。 (6) 在一定程度上扩充容易，在需要增加新计算机的时候，在总线的任何地方 加入都可以. 它的缺点是： 1） 故障诊断困难。虽然总线拓扑结构简单，可靠性高，但故障的检测却很不 容易。因为这种网络不是集中

24、式控制，故障诊断需要在网络的各个计算机上进 行。 2） 故障隔离比较困难。在这种结构中，但是如果故障发生在各个计算机内部， 这只需要将计算机从总线上去掉，比较容易实现，但是如果介质发生故障，则 故障隔离就比较困难。 3） 所有的计算机都在一条总线上，发送信息时比较容易发生冲突，故这种结 构的网络实时性不强。 4) 总线长度有个限制，如果要继续扩展，需要添加其他设备，比较麻烦。 这种结构具有费用低、数据端用户入网灵活、站点或某个端用户失效不影响 其它站点或端用户通信的优点。缺点是一次仅能一个端用户发送数据，其它端 用户必须等待到获得发送权。媒体访问获取机制较复杂。尽管有上述一些缺点, 但由于布线

25、要求简单,扩充容易,端用户失效、增删不影响全网工作,所以是 LAN 技术中使用最普遍的一种。 混合型拓扑混合型拓扑 10 这种网络拓扑结构是由前面所讲的星型结构和总线型结构的网络结合在一起的 网络结构，这样的拓扑结构更能满足较大网络的拓展，解决星型网络在传输距 离上的局限，而同时又解决了总线型网络在连接用户数量的限制。这种网络拓 扑结构同时兼顾了星型网与总线型网络的优点，在缺点方面得到了一定的弥补。 这种网络拓扑结构主要用于较大型的局域网中，如果一个单位有几栋在地理位 置上分布较远（当然是同一小区中） ，如果单纯用星型网来组整个公司的局域网， 因受到星型传输介质-双绞线的单段传输距离（100m

26、）的限制很难成功；如果 单纯采用总线型结构来布线则很难承受公司的计算机网络规模的需求。结合这 两种拓扑结构，在同一栋楼层我们采用双绞线的星型结构，而不同楼层我们采 用同轴电缆的总线型结构，而在楼与楼之间我们也必须采用总线型，传输介质 当然要视楼与楼之间的距离，如果距离较近（500m 以内）我们可以采用粗同轴 电缆来作传输介质，如果在 180m 之内还可以采用细同轴电缆来作传输介质。但 是如果超过 500m 我们只有采用光缆或者粗缆加中继器来满足了。这种布线方式 就是我们常见 的综合布线方式。这种拓扑结构主要有以下几个方面的特点： （1）应用相当广泛：这主要是因它解决了星型和总线型拓扑结构的不足

27、， 满足了大公司组网的实际需求； （2）扩展相当灵活：这主要是继承了星型拓扑结构的优点。但由于仍采用 广播式的消息传送方式，所以在总线长度和节点数量上也会受到限制，不过在 局域网中是不存在太大的问题； （3）同样具有总线型网络结构的网络速率会随着用户的增多而下降的弱点； （4）较难维护，这主要受到总线型网络拓扑结构的制约，如果总线断，则 整个网络也就瘫痪了，但是如果是分支网段出了故障，则仍不影响整个网络的 正常运作。再一个整个网络非常复杂，维护起来不容易； （5）速度较快：因为其骨干网采用高速的同轴电缆或光缆，所以整个网络 在速度上应不受太多的限制。 公司网络的组成采用的是总线/星型拓扑结构总

28、线拓扑结构由于所有的计算 机共享一条传输的数据链路，所以在总线型网络上一次只能有一台计算机发送 信息。总线型拓扑结构的访问控制发射一般采用分布控制，常用的是 CSMA/CD 与令牌总线型访问控制方式。对于总线来说，它具有一定的负责能力，因此的 长度有一定的限制，因而总线型拓扑结构连接的计算机台数也有一定的限制。 为了扩展计算机的台数，需要在网络中添加其他的设备，如中继器等。 拓扑结构设计原则拓扑结构设计原则 11 1）灵活性：当用户需求时有变化，设计的拓扑结构应具有易于重新配置网 络的特点； 2）可靠性：网络可靠性对信息系统的可靠运行至关重要，因此拓扑的设计 要使网络故障的检测和故障隔离较为方

29、便； 3）费用低：根据管理信息系统建设的实际情况选择相应的拓扑结构，以降 低介质的安装费用。 根据以上设计网络拓扑结构的原则及现在常用的总线型、星型、环型拓扑 结构的特点，设计公司的网络结构时采用星型拓扑结构， 网络拓扑结构示意图 5.2 Ip 地址方案地址方案 1 1 IPIP 地址管理概述地址管理概述 对于局域网的 IP 地址管理问题，用户规模越大，管理工作就越困难，所以 网络管理员必须深思加以解决。目前有两种方案，一是使用动态 IP 地址分配 （DHCP） ，另一种方案是使用静态地址分配，但必须加强 MAC 地址的管理。 用动态 IP 地址分配（DHCP）的最大优点是客户端网络的配置非常

30、简单，在 没有管理员的帮助和干预的情况下，用户自己便可以对网络进行连接设置。但 是，因为 IP 地址是动态分配的，网管员不能从 IP 地址上鉴定客户的身份，相 应的 IP 层管理将失去作用。而且使用动态 IP 地址分配需要设置额外 DHCP 服务 器。 使用静态 IP 地址分配可以对各部门进行合理的 IP 地址规划，能够在第三 层上方便地跟踪管理，再加上对网卡 MAC 地址的管理，网络就会具有更好的可 12 管理性。但如果网络规模较大，则 IP 地址管理的工作量就相当大。 综合以上考虑，由于一期规划整个信息点的规模不是很大，因此从网络安 全的角度出发，我们建议采用静态地址分配的方法。并结合中心

31、交换机的第三 层交换功能，进行子网的划分，一方面可以降低网络风暴的发生，另一方面也 加强了网络的安全性。 当随着以后各期规划的实施，整个网络信息的规模不断扩大，则可以考虑采用 DHCP 动态 IP 地址分配的方案，设立专门的 DHCP 服务器进行动态 IP 地址分配。 同样可以基于中心交换机的 VLAN 功能进行配置，划分网段，根据各个二级单位 信息点所在的网段进行动态地址分配。 2 2、内部网络、内部网络 IPIP 地址分配地址分配 内部网部分可以使用保留地址。根据 IANA 的规定，以下三段地址作为保留 地址，可以由用户自由使用，并只需保证企业范围内的唯一性。保留地址如下： 10.0.0.

32、0（1 个 A 类地址） （ChinaNet 使用该地址段） 172.16.0.0 至 172.31.0.0 （16 个 B 类地址） 192.168.0.0 至 192.168.255.0（256 个 C 类地址） 我们建议内部网络采用保留 IP 地址 192.168.x.x，子网掩码 255.255.255.0，则最多可以提供 254x254=64516 个 IP 地址，254 个子网，在 可以预见的将来能够满足信息点增长的要求。如果子网数大于 254 个，则可以 通过修改子网掩码的方式扩展。 分配原则：我们把 192.168.n.0（n 从 1 到 254）称作一个二级子网，原则 上网络

33、中心、机关大楼和每个二级单位各分配一个二级子网。根据二级单位的 规模和信息点的数量，可以根据需要进行调整。每个二级单位应指定专人负责 本子网的 IP 地址分配和管理工作，并和网络管理员协同工作，确保 IP 地址管 理的效率。 对于重要的 IP 地址（比如领导使用的 IP 地址和各个服务器使用的 IP 地址） ，采取 IP 地址和 MAC 地址绑定的方法，来保证 IP 地址不被盗用。这种绑定可 以在 PIX 防火墙上实现。 3 3、外部网络、外部网络 IPIP 地址分配地址分配 但是内部服务器中的 WWW 服务器、E-MAIL 服务器等都需要和外界通讯我们 13 解决这个问题，我们可以申请一定数

34、量的合法 IP 地址，并绑定在在防火墙的外 部网卡上，然后通过 IP 映射（NAT，介绍 PIX 防火墙时有详细描述）使发给其 中 X 一个 IP 地址的包转发至内部的 WWW 服务器上，然后再将该内部 WWW 服务器 响应包伪装成该合法 IP 发出的包。具体过程如下图所示： 我们假设以下情景： ISP 分配给 www 服务器的 ip 为：内部 IP：192.168.1.100,真实 IP：202.110.123.100 ISP 分配给 E-MAIL 服务器的 IP 为：内部 IP：192.168.1.200，真实 ip：202.110.123.200 PIX 防火墙的 IP 地址分别为：内网

35、接口 eth1：192.168.1.1，外网接口 eth0：202.110.123.1 通过设置 PIX 把真实 IP 绑定到防火墙的外网接口，并在 PIX 上定义好 NAT 规则， 这样，所有目的 IP 为 202.110.123.100 和 202.110.123.200 的数据包都将分别 被转发给 192.168.1.100 和 192.168.1.200；而所有来自 192.168.1.100 和 192. 168.1.200 的数据包都将分别被伪装成由 202.110.123.100 和 202. 110.123.200，从而也就实现了 IP 映射。 需要申请合法 IP 地址的服务器

36、包括：INTERNET 接入路由器、WWW 服务器、E- MAIL 服务器、防火墙。 14 4 4、ISPISP 网络网络 IPIP 地址分配地址分配 一个内部子网分配给拨号访问服务器，共有 254 个 IP 地址，可以满足 240 个用户的接入需要。档 ISP 系统扩容时，可以相应增加子网的数量即可。拨号 用户采用动态 IP 地址分配的方法。 为了方便管理， ISP 分配给用户的 IP 地址都是内部 IP 地址，可以访问内部网 络。如果需要访问 Interet，则同样由 PIX 实现 IP 地址转换。 5 5、域名管理、域名管理 X 已注册域名 www.X。 从 Internet 访问 WW

37、W 服务器时，Internet 上的域名解析指向 PIX 防火墙， 由防火墙进行地址转换指向 WWW 服务器。 从内部网络访问 WWW 服务器时，首先在内部 DNS 服务器进行域名解析，即 可得到 WWW 服务器的 IP 地址。如果需要访问 Internet 上的资源，则使用外部 DNS 服务器进行域名解析，得到目的地的 IP 地址。 5.3 VLAN VLAN 即 Virtual LAN，表示虚拟局域网，简称虚网。它依靠逻辑设定将原 来物理上互连的一个局域网络划分为多个虚拟网段，划分的依据可为设备所连 的端口、用户节点的 MAC 地址等。整个网络可以根据管理的要求、地理位置和 片区的划分来设

38、置相应的 VLAN（虚拟子网） ，VLAN 技术可以将不同 VLAN 之间的 用户隔离，保证安全性。划分的结果使得同一虚网内数据可自由通讯，而不同 虚网间的数据交流则需要通过具有第三层路由功能的设备来完成。 思科公司的 Catalyst 交换机系列都支持 VLAN 的设定和 ISL、802.1Q 两种 以太网 VLAN 标识技术。 本方案设备从核心层交换机 CISCO catalyst 6500、访问层交换机,到接入 层交换机设备都支持 IEEE 802.1Q VLAN 标准，保证了该项技术的顺利实施。这 样，通过在接入层交换机为用户配置不同的 VLAN，进行端口隔离，所有的用户 端口只能通过

39、核心交换机来实现互连。办公大楼的访问层采用 CISCO catalyst 3550 三层交换机,部门之间的 VLAN 信息可以通过它来转发可以减少核心层交换 机的负担,在核心层交换机通过 ACL（访问控制列表）进行相应的控制，使得用 15 户的访问得到完全的控制。 建议采用如下方式划分子网： 子网一：网络中心，包括数据库服务器， E-MAIL 服务器， WWW 服 务器和 DNS 服务器，网管工作站，代理服务器，计费服务器和访问 服务器等。 子网二：机关大楼，包括公司领导和机关各处室 子网三：电讯公司 其它每个联网二级单位均分配一个子网，每一个二级单位属于一个 VLAN，以此提高整个网络的可靠

40、性和可用性。由于Catalyst6509 最高可以提供 150M 的第三层转发，因此这种子网划分方式不但可 以提供高可用性，同时还降低网络风暴的可能性，更好地满足了业 务的需要。 5.4 互联网接入方案互联网接入方案 1 1 InternetInternet 接入概述接入概述 在网络中心，租用专线（X 计划采用虚拟光纤接入方式）接入到 Internet/ChinaNET 中，利用 Internet/ ChinaNET 的物理线路资源来实现广域 网络连接。向全球范围实现信息发布，展示企业形象；并通过对访问用户的权 限管理、口令验证、数字加密等技术进行不同访问级别的管理，从而实现对企 业集团内部访

41、问、合作伙伴访问、及普通浏览访问等不同类型访问者的控制， 保证实用性和安全性。 网络连接示意参图。 移动办公移动办公全国分支机构全国分支机构 Internet/ Chinanet 访问服务器访问服务器 PSTN/ISDN 访问用户访问用户 接入路由器接入路由器 . . . . . . 16 图 3.1 当采用 Internet 上的 Web 访问方式时，公司在 Internet 上建立自己的 Web 网站，将要发布的信息放在 Web 上供用户查询、下载，Web 服务器通过防火 墙与公司的 Intranet 相连。在 Web 服务器上开辟一定的区域通过不同等级的授 权供各分支机构、出差人员等与总

42、部中心进行通信。也为电子商务打下基础。 2 2 CISCOCISCO 36403640 路由器介绍路由器介绍 为保证 Internet 连接的可靠性和将来的流量扩展，选用高性能的 CISCO3640 路由器做为 Internet 接入服务平台。Cisco 3600 系列是适合大中 型企业较小型 Internet 服务供应商的一系列模块化多服务访问平台。Cisco 3600 系列拥有 70 多个模块化接口选项，为数据、语音、视频、混合拨号访问、 虚拟专网(VPN)和多协议数据路由提供解决方案。高性能模块化体系结构可以保 护客户的网络拓扑投资，并将多个设备的功能集成到一个可管理的解决方案中。 Ci

43、sco 3640 提供更高的密度、更大的性能和更多扩展功能。Cisco 3640 平台的新增功能和性能可以启动新的应用，例如分组语音集合及 T1/E1 IMA 到 OC-3 范围的分支机构 ATM 访问。 Cisco 3600 系列多服务平台通过以下许多语音功能大大增强：数字语音接 口(T1 和 E1)上增加的帧中继语音(VoFR)和 ATM 语音(VoATM-AALS)支持。目前 所有数字接口还支持 QSIG，包括 T1/E1 和 BRI。其他增强包括 OPX、帧中继 VoIP 及增强的排队功能性。此外，与 Call Manager 软件版本协作的一个特性 使这些产品成为 PBX 和 PST

44、N IP 电话的完美网关，从而启动了呼叫转移、保 持和会议等应用。 3 3、本方案路由器选型和配置、本方案路由器选型和配置 17 考虑到一期规划中的实际应用需要，本方案选择 CISCO 3640 路由器，除了 提供 Internet 接入外，也提供与远程分支的连接。主要配置如下： 四插槽 3640 路由器，带 AC 电源， (产品定价中包括 IP 软件)； 3640 IOS 软件 2 口快速以太网 2 个广域网卡插槽 1 口广域网高速串口卡 以上配置完全可以满足一期规划中 INTERNET 高速连接的需要。 5.5 安全方案安全方案 网络安全是当前 IT 业最受关注的环节。在 X 的企业网建设

45、中，内部网与 Internet/ ChinaNET 公众网的连接是重要环节。因此，需要着重解决好总部的 防火墙方案。 本方案网络安全配置概述本方案网络安全配置概述 由于路由器防火墙只能作为过滤器，并不能把内部网络结构从入侵者眼前 隐藏起来，只要允许外部网络上的计算机直接访问内部网络上的计算机，就存 在着攻击者可以损害内部局域网上机器的安全性，并从那里攻击其他计算机的 可能性。因此为了保证企业内部网的安全，防止非法入侵，需要使用专用的防 火墙计算机。因此，本方案采用两层防火墙加上应用系统的身份认证和权限管 理四层安全措施，来保证网络安全和应用安全。由于费用原因，本方案采取临 时措施协助 X 进行

46、病毒防范。 第一层第一层 软件防火墙软件防火墙 通过 CISCO 的路有器和访问服务器本身具有的包过滤功能和代理服务器的 内外网隔离功能实现。 第二层第二层 硬件防火墙硬件防火墙 即选用 CISCO SECURE PIX 525 防火墙，该产品经过了美国安全事务处(NSA)的 认证，同时通过中国公安部安全检测中心的认证。具体配置为： CISCO SECURE PIX 525 4 个 100M 以太网端口 128M 内存 600MHZ CPU 第三层第三层 身份认证身份认证 18 用户使用应用系统，不管是从内部网络登录，还是拨号访问，还是通过 INTERNET 访问公司网络，首先需要通过严格的身

47、份认证。只有合法的用户才能 使用应用系统。 第四层第四层 权限管理权限管理 每个使用网络的用户将受到严格的权限限制。一般而言，网络管理员不得 从事业务操作，普通用户不能进行网络管理。 六六 网络物理结构设计网络物理结构设计 随着计算机网络技术的发展，传统建筑中的供风、暖通、给排水、通讯、 通信、监控等都变得可控起来，传统建筑正在朝可控制和管理的智能方向发展， 即智能化大厦，信息社会在飞速发展中不断出现的新需求也是传统建筑所无法 满足的。 结构化综合布线系统（SCS）是智能化园区的基础，有了好的结构化综合布 线系统，整个企业园区很容易就能成为智能园区，为企业各层次用户提供最佳、 最便捷的服务。

48、6.1、设计原则、设计原则 实用性：这是第一位的，也是系统的最终目的；该布线系统不仅能够 为计算机网络系统服务，而且也应当能够很容易加入楼宇控制部分， 实现智能化大楼。 可靠性：网络中心是厂区的中心枢纽所在，对结构化布线系统和以后 的应用系统的可靠性要求是相当严格的，它应能防止各种可能出现的 故障性瘫痪。 开放性：这实际上是对布线系统和办公网建设的要求。 易扩性：布线系统和网络的投资保护和节省很大程度上是取决于系统 能否扩展以及标准化、开放性和设计容量等。 先进性：在技术成熟实用的基础上，提供最先进的实用产品和技术， 它也是保证高水平实用技术的条件。 19 可维护性：对于大规模的布线系统和大范

49、围分布的网络，其差错与故 障诊断，维护和重组，系统重配置等功能是必不可少的。 6.2、总体设计思路、总体设计思路 为满足日益发展的通信、网络应用要求，整个厂区应具有现代化的水准和 智能化的功能。PDS 设计方案的目的就是要以经济实用，科学合理的最新技术， 对 X 集团的语音、数据、视频、图像等进行自动化管理。 作为 X 集团应充分考虑将来系统集成的需要，即以楼宇自动化系统（BAS） 、 办公自动化系统（OAS）及通信自动化系统（CAS）作为设计依据。当这些智能 系统需要集成共同发挥作用或单独实施功能运行时，可以非常方便灵活地在综 合布线系统平台上实现。 综合布线系统是连接“3A”系统各种控制信

50、号必备的基础设施。我们按 “3A”大厦标准设计，选用美国 LUCENTLUCENT 公司的 PDS 结构化综合布线系统产品。 计算机网络互连设备按前文所述选用美国思科（Cisco）公司系列产品，包 括路由器、交换机等。 大型企业园区布线应采用总体分布式、局部集中式。数据主干线系统采用 光缆，其余均采用超五类双绞线线缆。 水平线路每条均按 4 对（八芯）配备，选用超五类非屏蔽双绞线，既可满 足了近期需要，又为将来应用多媒体技术打下了基础，并满足基本的 ISDN 需要。 布线铜缆系统选用 110P 配线架和 110A 配线架相结合，配线架的尺寸以 100 对为一个基本单位，每个连接信息插座的 10

51、0 对配线架可端接 24 个信息点。 布线光纤系统根据需要采用 8 芯或 4 芯单膜光纤，200A 和 100A3 光纤接线 盒。 6.36.3、传输布线方案设计传输布线方案设计 设计依据设计依据 1.用户需求 20 2.标准 * IEEE802.3u 100BASET * IEEE802.5 * EIA/TIA586 EIA/TIA509 EIA/IIA-TSB 36/40 工业标准及国际商务建筑布线标准. * ISO/IECTTC1/SC25/W * ANSI FDDI/TPDDI 100MBPS * ITU ATM 155MBPS 160MBPS 3.安装规范 A.中国建筑电气设计规范

52、B.工业企业通信设计规范 C.AT&T SYSTIMAX 结构化布线系统设计总则 设计设计要素要素 1、在各个分中心，采用集中式管理。网络设备、主配线架及 PBX 全部放入 主机房； 2、全面采用 LUCENT PDS 布线，并按超 5 类标准布线，以使将来过渡到高 速网时无需重新布线； 3、物理拓扑结构采用星形结构； 4、敷线采用暗藏式布线； 5、所有子系统均采用 4 对线方案； 6、每个信息点全部可支持： 1 路 DATA + 1 路 Voice。 布线系统设计布线系统设计 根据综合布线系统设计规范，我们把该布线系统工作区子系统、水平子系 统、管理子系统、干线子系统、设备间子系统、建筑群子

53、系统等 6 个模块进行 设计，这套完整的系统可满足用户的要求。同时，根据实际情况，当建筑物内 最远信息点距离设备间（交换机所在地）不到 94 米时，管理子系统和设备间子 系统可以合并，水平子系统和干线子系统可以合并，这样可以达到简化布线系 统的结构，方便进行设备管理，节省空间和装修成本的目标。 1、建筑群子系统 21 SiSi 网络中心 较近二级单位 8 芯光纤 较远二级单位 光纤跳线器 4 芯光纤 本子系统是指主建筑物中的 MDF 延伸到另外一些建筑物中的 MDF/IDF 中去， 通常采用光纤或大对数铜缆连接（与管理子系统也有类似） 。 根椐厂区的分布和业主的要求，我们将整个企业划分为多个分

54、区，即总部 区、二级厂 1 区、二级厂 2 区、等等。各区之间的连接根据需要采用 8 芯或 4 芯光纤，具体采用地埋还是架空连接按照实际地理位置特性决定。一般而言， 距离网络中心较近的二级单位，采用 12 芯光纤，外围二级单位采用熔接的方式， 进行延伸，从而达到降低光纤数量和铺设成本的目的。 具体图示如下： 各区中心设主线架管理本区各信息点。 光纤铺设的原则如下： 1、光纤铺设的设计以应用的需要为出发点 2、电讯大楼作为网络中心和数据中心 3、二级节点和网络中心构成网络主干 4、其他二级单位就近接入网络主干或主要二级节点，并可以升级成为 网络分中心或主要二级节点 5、光纤铺设设计的原则是易于扩

55、展、方便管理、成本合理 6、所有光纤都采用单模 光纤铺设概要图如下： 22 机机关关大大楼楼 计计控控处处 电电讯讯网网络络中中心心 院内各处室、内行、 电视台、销售处、 培训部、报社、国贸、耐火 自动化、机动处、三钢、 精密配件、锻钢、公安 处、 预算处、材料处、备件处 二二轧轧 供水、一轧、一钢、 烧结、焦化、炼铁 二二级级节节点点 三三级级节节点点，根根据据情情况况采采用用8 芯芯或或4芯芯连连接接 三三轧轧 四轧、七轧、机械厂、销 售处钢材库、电力厂 二二钢钢 初轧、五轧、六轧 设设备备处处 设备处东、西库 加加工工厂厂 股股份份公公司司 运运输输部部 热连轧、轧辊厂、材料处 库、原料

56、处库、设备处库 五降压、安全处、环保 处、煤气厂 原料处、设计院 钢研所、BOC、发电厂 光光纤纤网网络络一一期期结结构构示示意意图图 所有到二级节点（共10个）均采用12芯光纤，以便今后扩展，根据 地理位置和管道走向尽量在各二级节点之间形成环路（采用四芯光 纤）三级节点采用八芯或四芯连接。 2、工作区子系统 工作区即最终用户的办公区域。工作区子系统是从信息插座到工作终端设 备之间的连续电缆及适配器组成。即从标准的 RJ45 型信息插座延伸到各个具有 非标准的或标准的接口的工作设备之间的布线系统。各种形式的适配器和终端 线缆构成了工作区子系统。例如，共享每一个标准 RJ45 信息插座的数据/语

57、音 共享器、RS-232 与 RJ45 之间的转换器，视频适配器、D8SA 高速数据连接线等。 这些适配器使得不同系统、不同标准的信号在统一的五类 UTP 上传输，并将连 接接口统一为标准的 RJ45 界面。这些产品的需求可在今后实际应用中加以详细 考虑。 3、水平子系统 水平线缆的长度计算 按照 PDS 的水平线缆长度计算公式计算。 水平线缆长度计算公式： 23 C=0.55(L+S)+6(I/O) 式中: C 为每层楼的用线量 I/O 为每层楼配线架连接的信息点； L 为配线架连接最远信息点（I/O）的距离； S 为配线架连接最近信息点（I/O）的距离。 水平线缆的敷设方法 水平线缆从每一

58、层的分配线架（IDF）出发，在走廊上方沿预设的弱电线槽敷设， 到每一间需安置信息插座的房间外面，再沿金属管（一般用一个三通管）敷设 到信息插座所在的连接盒处。 信息插座 结构化综合布线系统允许同一建筑物内采用不同类型的信息插座。但它们本质 上是相似的.插座都是 8 针、RJ45 型的，并且都符合现在的 ISDN 接口标准。 4、管理子系统 管理子系统的设计可以分为下方面： 管理模式 采用双点连管理模式。本模式不仅在设备间内进行交连管理，也可在每一层的 IDF 内进行交连管理，使得管理更加灵活。 管理子系统的硬件 结构化综合布线系统中管理子系统的接插件一共有三大类： 110A 110P Jack

59、 Panel 管理配线间应尽量保持室内无尘土、散热良好、室内照明为 500LX。符合有 关消防规范，配置有关消防系统。每个电源插座的容量不小于 300W。配线间位 于弱电竖井内。每层配线间面积不小于 3 平方米。 当配线间有有源设备或计划安装有源程序设备（如集线器、交换机）时， 一定要保持配线间的温度和湿度。 配线间温度和湿度要求（数据）： 24 温度：530 湿度：30%80% 建议的最佳温度和湿度为： 温度：1626 湿度：45%65% 5、干线子系统 干线子系统是建筑物内部的主馈电缆。干线把各层配线间的信号传送到终 端接口，通往外部网络。它必须能满足当前的需要，同时又能适应今后的发展，

60、根据用户的要求，语音干线采用三类大对数双绞线，其型号为 1010LAN（50 对 UTP） ，数据干线采用六芯室内多模光纤（LGBC-006D-LRX）及 1061CLAN（25 对 UTP） ， 6、设备间子系统. 设备间子系统就是位于各区中心,靠近弱电竖井旁该子系统包括楼内数字 程控交换机、计算机网络服务器及互连设备（路由器、交换机等） 、管理工作站 和主配线架等。网络管理中心，应当按国家标准 GB2887-89计算机站场地技 术条件中的主要技术指标进行装璜。 按国家 GB50045-93高层民用建筑设计防火规范 ，在设备间设置自动消 防报警系统，并采用全淹没式自动灭火系统。 6.4、 线

61、路铺线路铺设设 1、工作区：根据各区大楼的建筑结构，选择墙壁型、地板型信息插座，提供标 准的 RJ45 接口。可接电话、计算机、传感器、摄像机、扬声器等。 （有的需要 加适配器） 为了美观，信息插座尽量采用暗埋式。为便于有源设备使用，信息插座附近设 置单相三孔电源插座。 2、水平线缆走向：根据各大楼每层结构，在每个配线间设一个分配线架（IDF） ， 通过线槽将水平线缆从 IDF 引至各房间，再分出支管引至房间内吊顶，剔墙而 下到各信息点出口。 3、垂直线缆及 IDF 的敷放：由各层配线间内的垂直干缆经配线间内的竖井，根 据各信号线的用途，分别引至不同的 MDF。垂直主干缆用电缆托盘，水平线槽

62、25 安装在吊顶上方。各层分配线架均安装在各层配线间的墙壁上，并且靠近竖井。 4、主配线架（MDF）放置：对于 10 型配线系统，墙上应放置一牢固的 2cm 厚 的安装胶木板，表面涂防火漆，其尺寸按配线架容量而定，安装板底边不低于 30cm。任一配线架的金属基座都应接地。接地电阻不大于 3 欧姆。阻燃高强度 PVC 管槽、电缆桥架与各分配线机柜整体连接后，再接地。配线架的上方应安 装有线槽，以布放进出线缆。 5、除上述几点之外，还要考虑到用户对线路高可靠性的要求，所有线路全部放 入线槽，在无线槽处，也采取了适当措施保证线缆不受干扰，关于这一点，我 们考虑一方面应按用户的特殊要求，同时，我们也确

63、信五类 UTP 在无特殊保护 措施下的高品质特性。 7 安装建设和维护安装建设和维护 7.1、主干交换机、主干交换机 中心交换机选用 CISCO Catalyst 6000 系列中的 6509 交换机，提供最高 的性能价格比。6509 拥用 9 个插槽，支持最多 384 个用户连接。 6509 与两个二级企业千兆交换机 CISCO Catalyst 3548 之间构成环形冗余 线路，并构成主干网络核心。 CISCOCISCO CatalystCatalyst 60006000 系列基本特性系列基本特性 和服务供应商网络提供高性能多层交换解决方案。Catalyst 6000 家族旨在 满足主干网

64、/分布式和服务器集合环境中对千兆位可伸缩性、高可用性及多层交 换的增加需求，提供卓越的可伸缩性和性价比，支持广泛的接口密度、性能和 高可用性选项。 通过结合卓越的控制平面和数据包转发可伸缩性以及一系列丰富的智能服 务，Catalyst 6000 系列为新纪元企业和服务供应商解决方案(例如集成化语音 /视频/数据和电子商务服务)提供了基础。 Catalyst 6000 系列目前能使服务供应商和企业环境在可伸缩的网络体系结 构方面迈出下一步。通过集合可伸缩的性能、可伸缩的控制平面及广泛的智能 网络服务的优点，Catalyst 6000 系列将为下一代网络外附提供框架。 26 Catalyst 65

65、00 系列交换机的交换光纤模块为当今最先进的网络提供最佳的 带宽性能，将交换容量扩展到 256 Gb/s。 Supervisor Engine 2 与 MSFC2 一起能够启动一个基于 CEF 的体系结构， 并将总体系统性能提高到 100+ Mpps。 ISupervisor 2 和 Gigabit Ethernet 模块上业界领先的 Cisco Express Forwarding (CEF)：扩展控制平面数据包转发性能以及安全、高可用性和 QoS 方面的智能服务，为动态的服务供应商和企业网络提供下一代解决方案。 带有本地或分布式转发的 Catalyst 6500 系列高性能 Gigabit

66、 Ethernet 交换模块非常适合千兆位主干网和服务器间配置中的部署或高密度 10/100- Mbps 配线间的集合。 Catalyst 6000 系列入侵检测系统模块在同一机箱中集成了交换和安全功能 性，提供针对未经授权和恶意活动的全面攻击保护。 QoS、高可用性和安全领域业界领先的新智能服务能够跨服务供应商和企业 网络启动多个部署选项。 。 。由于 1000BASE-T 模块的推出，Cisco System 能够通过 Category 5 电 缆在长达 100 米的距离启动千兆位速度传输。16 端口 Gigabit Ethernet 模块 为高速服务器连接提供一个高度可靠和经济有效的解决方案。 FlexWANFlexWAN 模块模块 。 。Catalyst 6000 系列提供一个智能交换体系结构，在整个企业和服务供应商 网络扩展了带宽和智能服务，提供智能配线间、主干、服务器间及集成化语音/ 视频/数据解决方案。 6509