毕业设计企业网络设计与实现

《毕业设计企业网络设计与实现》由会员分享，可在线阅读，更多相关《毕业设计企业网络设计与实现（39页珍藏版）》请在装配图网上搜索。

1、毕业设计企业网络设计与实现院 系：年 级：班 级：目录目录II第一章网络系统设计概述11.1项目背景11.2需求分析11.3编制依据2第二章网络系统设计32.1网络设计原则32.2设计要求32.3设计目标42.3设备分析42.4网络拓扑结构设计52.5内部网络设计72.5.1核心层交换机的设计72.5.2汇聚层交换机的设计82.5.3接入层交换机的设计92.5.4路由协议的设计102.5.5 IP地址的设计112.5.6 VLAN 的设计122.5.7网管系统的设计142.6外部网络设计142.7综合布线15第三章网络系统安全性设计分析173.1网络安全设计173.1.1人员角色划分173.1

2、.2路由认证和保护173.1.3关闭IP功能服务183.1.4用户的安全防护183.2网络的VLAN的安全管理设计分析193.3 Internet安全访问设计分析19第四章项目管理204.1项目管理目标204.2项目组织机构204.3项目进度计划204.3.1项目总体进度计划204.3.2项目进度Gantt图（甘特图）214.3.3项目进度详细说明21第五章工程预算245.1项目总体预算245.2网络设备255.3服务器275.4安全系统285.5系统软件285.6机房建设285.7综合布线295.8光纤设备305.9培训33第一章网络系统设计概述1.1项目背景为了适应业务的发展和国际化的需要

3、，积极参与国家信息化进程，提高管 理水平，展现全新的形象，某厂准备建立一个现代化的机构内部网，实现信息 的共享、协作和通讯，并和属下个部门互连，并在此基础上开发建设现代化的 企业应用系统，实现智能型、信息化、快节奏、高效率的管理模式。在本方案中，我们借鉴了大型高端网络系统集成的经验，充分利用当今最 成熟、最先进的网络技术，对该信息网络系统的建设与实施提出方案。1.2需求分析为实现上述目标，可以把整个系统建设分成两个部分，即：网络平台建设 和 Internet/Intranet 平台建设。（1） 网络平台是建立在结构化布线基础上的最基本的平台。可靠的网络 平台是Internet/Intranet

4、系统及应用系统正常运行的基础。网络平台的设计应包 括局域网的设计、广域网的设计。（2）Internet/Intranet 平台包括 Intranet、Internet 和 Extranet。三者的关系 如图：Internet/Intranet系统具有客户端单一界面、易于使用的特点。在中中国港 湾建设总公司的平台建设中，Extranet部分对应于与各合作伙伴信息交流的相 关部分。网络系统主要是以光纤作为传输媒介、以IP和Intranet技术为技术主体、 以核心交换机为交换中心、下属部门信息网络系统为分节点的多层结构、提供 与各种职能相关的、功能齐全、技术先进、资源统一的网上应用系统，进一步 可扩

5、展成为多功能网络平台。总体目标是建立该企业的办公业务信息网络交换平台，集成下属各部门信 息网络系统，功能齐全、技术先进、集成化的网络系统。（一）设计网络需求如下：（1）信息的共享；（2）公司管理；（3）办公自动化；（4）高速Internet冲浪。（二）企业办公网主干和信息点需求及分布拟建的企业网络主要涉及到四幢建筑物：行政楼（含附近的门卫）、生产车间（含附近的厂区办）、运输楼（含附近的工段办）。这四幢建筑 物之间拟通过光缆连接。网络中心和机房设在行政楼内。信息点需求为：行政楼：801个（含门卫1个）生产车间：364个（含厂区办4个）运输楼：20个（全为工段办）主干网接入全球互联信息网外接（In

6、ternet），各子网再接入主干通信网。 主干网接入Internet的方式可是有线综合宽带网，速率可在100Mbps左右。主 干为千兆光纤线路，其它线路为超五类双绞线。（三）投资预算要求投资在20万元以内，包括局域网设计（可利用原有宽带设备），交换 机设备，综合布线等。1.3编制依据计算机信息系统保密管理暂行规定（国家保密局1988年2月26日 印发）计算机信息国际联网保密管理暂行规定（国家保密局1999年12月29 日印发）中国公众多媒体通信网技术体制中国公众多媒体通信网工程实施技术要求IEEE 工业标准：802.1d，802.1p，802.1q，802.1x，802.3，802.3u，80

7、2.3z 支持路由协议：IP 的 RIP v1/2，OSPF，BGP-4； IPX 的 RIP 多址广播协议：IGMP，DVMRP，PIM-DM，PIM-SM 网络管理协议：SNMP，RMON，RMON2第二章网络系统设计本系统设计主要进行节点网络拓扑、路由组织、IP地址、网络安全设计、 VLAN划分和设备的具体配置等设计，详细描述所采用的设备及性能参数、网 络管理。2.1网络设计原则(1) 遵循中国公众多媒体通信网技术体制、中国公众多媒体通信网工 程实施技术要求以及其它国家相关标准和技术体制。(2) 采用层次化设计，网络结构的不同部分有不同的功能，使网络具有优良 的结构。(3) 优化网络和系

8、统结构，并在各个层面考虑冗余和备份，使系统具有较高 的容错能力和应变能力，以保证系统的可靠和有效运作。(4) 选用的技术确保开放性、可移植性、兼容性和可扩展性。(5) 采用通用的国际标准和协议，不采用有碍网络互通的厂家特有性能。(6) 提供有效的安全保密措施，确保整个网络的安全。重要网络设备应有适 当的冗余备份。(7) 尽量详细准确，减低工程的复杂程度，使系统建设和改造的工作量减至 最少，以保证工程的顺利和有效完成。2.2设计要求(1) 实用性：网络建设从应用实际需求出发，坚持为领导决策服务，为经 营管理服务，为生产建设服务。另外，如果是对现有网络升级改造，还应该充 分考虑如何利用现有资源，尽

9、量发挥设备效益。(2) 适度先进性：规划局域网，不但要满足用户当前的需要，还应该有一 定技术前瞻性和用户需求预见性，考虑到能够满足未来几年内用户对网络功能 和带宽的需要。采用成熟的先进技术，兼顾未来的发展趋势，即量力而行，又 适当超前，留有发展余地。(3) 经济性：要求价格适中，设备及耗材要求采用质量过硬，物美价廉， 投资预算不超过20万。(4) 安全可靠性：确保网络可靠运行，在网络的关键部分应具有容错能力， 提供公共网络连接、通信链路、服务器等全方位的安全管理系统。(5) 开放性：采用国际标准通信协议、标准操作系统、标准网管软件、采 用符合标准的设备，保证整个系统具有开放特点，增强与异机种、

10、异构网的互 联能力。(6) 可扩展性：系统便于扩展，保证前期的投资的有效性与后期投资的连 续性(7) 安全保密性：为了保证网上信息的安全和各种应用系统的安全，在规 划时就要为局域网考虑一个周全的安全保密方案。2.3设计目标该企业网络系统应是一个以宽带ip网为目标，建立数据、语音、视频三网 合一的一体化内部办公网络和外部宽带。网络系统应实现虚拟局域网(VLAN) 的功能，以保证全网的良好性能及网络安全性。主干网交换机应具有很高的包 交换速度，整个网络应具有高速的三层交换功能。主干网络应该采用成熟的、 可靠的千兆以太网技术作为网络系统主干。同时该网应选用先进的网管软件， 建立完善的网络管理体系；在

11、设备方面，应选择有成功案例的网络厂商的设备， 同时为Intranet、拨号用户和移动用户提供接口，网络还应具有良好的扩展性。2.3设备分析根据对网络需求的考察，根据合理性、实用性和节约费用等原则进行设备 选择：(1) 基于路由器和交换机的局部网间的互联是最好的解决方案。网络协议方 面，以网际协议(ip)作为校园网网络系统的公用网络协议实行标准化，使用 ip作为标准传输协议，在以后对网络进行扩充以与其它的网络互连时，可以跨 越多个平台自然而然地提供互操作能力和无缝连接功能。(2) 在主干网建设时，选择3Com和Cisco系统产品，它能够以极具竞争力 的价格提供所有技术，为我们提供一个集成化、高性

12、能、灵活、可伸缩、安全 和高性能价格比的解决方案的标准。(3) 在局部网建设方面，选择使用CISCO设备和TP-LINK产品作为骨干网 基础设施的基础。CISCO设备和TP-LINK方案提供了可伸缩的结构和高性能 的设备，能够高速传输数据，同时通过它们Secure技术保证了安全地接入 Internet和一体化的网络解决方案。(4) 计算机终端设备的选型既考虑性能、价格比、设备的运行维护费用，也 考虑设备的可扩充性，确保系统主要设备的投入在整个系统的生命周期内能得 到充分利用并具有强健灵活的体系结构。同时，也考虑局部子网对硬件和信息 流量的要求，必须能够提供专用的高速带宽，以处理日常数据信息和峰

13、值操作， 并能够支持各种新技术和新增用户。(5)安全性是另一个关键要求，要保证能够安全地接入Internet。2.4网络拓扑结构设计在用户的网络结构设计中，我们建议采用层次化的结构设计。对于用户即将建设的网络系统来说，想要建设成为一个覆盖范围广、网络 性能优良、具有很强扩展能力和升级能力的网络，在起初的设计中就必须采用 层次化的网络设计原则。采用这样的结构所建设的网络具有良好的扩充性、管 理性，因为新的子网模块和新的网络技术能被更容易集成到整个系统中，而不 破坏已存在的骨干网。大多数的网络都可以被层次性划分为三个逻辑服务单元：核心骨干网 (Backbone)、汇聚网(Distribute)和接

14、入网(Local access)，模块化网络设计方法 的目标在于把一个大型的网络元素划分成一个个互连的网络层次。层次性结构 如下图所示。根据项目的具体需求及现有的光纤结构，结合网络建设的基本理论和原则，各入网部门的实际情况，应用需求，资金条件和远，近目标等各方面的要求， 设计出该网络为拓扑结构为分层的集中式结构或称星型分级拓扑。内部网络拓扑图:网络逻辑拓扑结构如图所示。它是在基于高端路由交换机的基础之上而设 计的新的网络拓扑结构。简要说明如下：整个网络由核心层、汇聚层和接入层两大部分组成。核心层是由CISCO WS-C3560-48TS-S企业级核心路由交换机组成。汇聚层由CISCO WS-C

15、3560-24TS-S路由交换机组成。接入层是由接入层楼层交换机CISCO WS-C2918-24TC-C组成。主要网络设备列表：拓扑结构设备型号数量（台）核心层路由交换机CISCO WS-C3560-48TS-S2汇聚层路由交换机CISCO WS-C3560-24TS-S3接入层楼层交换机CISCO WS-C2918-24TC-C26以行政楼中心机房为中心，下属部门为接入点的星型连接方式。现阶段出 于用户的应用和先进性考虑，通过千兆光纤连接。各楼层的办公网是以星型的方式千兆直接连接到各汇聚机房的汇聚交换机 上后，由汇聚交换机通过千兆接到核心交换机。我们可采用千兆路由交换机与 各LAN网段的交

16、换机(Switch)连接而组成星型网络，实现千兆核心网络到 各楼层，百兆到桌面，满足各种应用的需要。核心层交换机与服务器群的相连是以千兆以太网的方式。以上拓扑结构设计有以下特点：(1) 它充分利用网络资源，把交换路由模块分开成第二层交换和第三层路 由，这样做对网络的性能大有改善。(2) 网络拓扑结构层次清楚，易于扩充和升级(后面有升级的拓扑方案)， 同时体现了开放式的体系结构。(3) 由于核心交换机所承载的流量相应减少，从另一个角度来说，也即提高 了网络整体的可靠性，对用户的QoS从网络结构的优化上得到了保证。(4) 大大减少网络瓶颈和由于链路、路由而导致的故障。(5) 通过在网内划分VLAN

17、的技术来确保网络内部的安全性。2.5内部网络设计2.5.1核心层交换机的设计核心层主要功能是给下层各业务汇聚节点提供IP业务平面高速承载和交 换通道，负责进行数据的高速转发，同时核心层是局域网的骨干，是局域网互 连的关键。对核心骨干网络设备的部署应为能够提供高带宽、大容量的核心路 由交换设备，同时应具备极高的可靠性，能够保证24小时全天候不间断运行， 也就必须考虑设备及链路的冗余性、安全性，而且核心骨干设备同时还应拥有 非常好的扩展能力，以便随着网络的发展而发展。基于对核心层的功能及作用，根据用户的实际需求，本方案中对网络系统 中核心层由CISCO系列的企业级核心交换机WS-C3560-48T

18、S-S组成。其主要 任务是提供高性能、高安全性的核心数据交换、QoS和为接入层提供高密度的 上联端口。为整个大楼宽带办公网提供交换和路由的核心，完成各个部分数据 流的中央汇集和分流。同时为数据中心的服务器提供千兆高速连接。根据该企业的建筑分布及网络规模，以行政楼的中心机房作为整个网络系 统的核心节点。核心节点由2台同档次的网络核心设备构成，它们互为备份且 流量负载均衡。2台网络核心交换机作为整个网络的核心层设备，为各个汇聚 层和接入层交换机提供上联。同时提供了各个服务器的可靠接入。由于WS-C3560-48TS-S是路由交换机，也即同时具有第二层和第三层的交 换能力，为了充分利用资源，将WWW

19、服务器、E-mail服务器、数据库服务 器、文件VOD服务器、认证的服务器(Radius server)以及网管设备等通过千 兆直接连人核心交换机，以解决带宽瓶颈，充分利用核心交换机的交换能力。核心交换机作为信息网络的核心设备，性能的优劣直接影响到整个网络运 行。在设备的选型上必须考虑到有足够的背板带宽，包交换能力，是否支持设 备的冗余，安全性，扩展性等各种性能。企业级核心交换机WS-C3560-48TS-S 完全满足上述的各项要求。企业级核心路由交换机WS-C3560-48TS-S的性能特性及技术指标如下：-交换机类：企业级交换机-应用层级：三层 接口介质：10/100 BASE-T/ 10

20、0FX传输速率：10Mbps/100Mbps端口数量：48背板带宽：32Gbps VLAN支持：支持网管功能：网管功能SNMP, CLI, 包转发率：13.1Mpps MAC 地址：12k 网络标准：IEEE 802.3, 802.3u,端口结构：非模块化2.5.2汇聚层交换机的设计汇聚层主要完成的任务是对各业务接入节点的业务汇聚、管理和分发处理， 是完成网络流量的安全控制机制，以使核心网和接入访问层环境隔离开来；同 时汇聚层起着承上启下的作用，对上连接至核心层，对下将各种宽带数据业务 分配到各个接入层的业务节点，汇聚层位于中心机房或下联单位的分配线间， 主要用于汇聚接入路由器以及接入交换机。

21、因此对汇聚层的交换机部署时必须考虑交换机必须具有足够的可靠性和冗 余度，防止网络中部分接入层变成孤岛；还必须具有高处理能力，以便完成网 络数据会聚、转发处理；具有灵活、优化的网络路由处理能力，实现网络汇聚 的优化。而且规划汇聚层时建议汇聚层节点的数量和位置应根据业务和光纤资 源情况来选择；汇聚层节点可采用星形连接，每个汇聚层节点保证与两个不同 的核心层节点连接。根据汇聚层在整个网络中的作用以及用户的实际需求，本方案中汇聚层共 设计了3个节点，即：行政楼、生产车间和运输楼（工段办）。汇聚层网络设备全部采用了 CISCO WS-C3560-24TS-S交换机。该交换机支 持各种高级路由协议，如BG

22、P4、RIPV1、RIPv2、VRRP、OSPF、IP组播、IPX 路由。汇聚路由交换机CISCO WS-C3560-24TS-S的性能特性及技术指标如下：-交换机类：企业级交换机-应用层级：三层 接口介质：10/100 BASE-T/ 100FX传输速率：10Mbps/100Mbps端口数量：24背板带宽：32Gbps VLAN支持：支持 网管功能：SNMP, CLI, Web,管理2.5.3接入层交换机的设计接入层主要用来支撑客户端机器对服务器的访问，主要是指接入路由器、 交换机、终端访问用户。它利用多种接入技术，迅速覆盖至用户节点，将不同 地理分布的用户快速有效地接入到信息网的汇聚。对上

23、连接至汇聚层和核心层， 对下进行带宽和业务分配，实现用户的接入。根据我们所借鉴的项目设计经验，汇聚层节点与接入层节点可考虑采用星 形连接，每个接入层节点与两个汇聚层节点连接。当接入层采用其它结构（如 环行）连接到汇聚层时，建议提供两条不同路由通道。根据接入层处在网络系统中所起的作用以及用户的实际需求，本方案中接 入层部分由CISCO公司的WS-C2918-24TC-C交换机构成。其主要功能是为该 区域下属各部门的网络用户提供大量性价比极高的10/100兆网络接口，并与信 息中心的核心交换机通过1000兆光纤链路互联为接入的用户提供高速上联。接入层楼层交换机CISCO WS-C2918-24TC

24、-C的性能特性及技术指标情况 如下：交换机类：快速以太网交换机应用层级：二层传输速率：10Mbps/100Mbps/1000M 端口数量：24背板带宽：16Gbps-VLAN支持：支持 网管功能：Cisco IOS CLI,Web 浏 包转发率：6.5Mpps MAC 地址：8K 网络标准：IEEE 802.1D,IEEE 802端口结构：非模块化交换方式：存储-转发 产品内存：64MB传输模式：支持全双工 网管支持：支持模块化插：22.5.4路由协议的设计如果网络中只有一个路由器或路由交换机，不需要使用路由协议；只有当 网络中具有多个路由器时，才有必要让它们去共享信息。但如果仅有小型网络，

25、完全可以通过静态路由手动地更新路由表。现使用较多的路由协议，主要以下 几种：（1）RIPRIP （Route information protocol，即路由信息协议）是基于D-V算法（距 离向量算法）的内部动态路由协议RIP协议的标准主要有RFC1058 （版本1） 和 RFC1723 （版本 2）。（2）OSPFOSPF（Open Shortest Path First，即最短路径优先协议）是一种基于链路状 态的内部动态路由协议。目前OSPF的主要标准是RFC2328 （版本2）。完 整的OSPF功能包括支持广播、NBMA、点到多点、点到点四种接口类型，以 及MD5验证、区域划分、区域间路

26、由聚合、虚连接、STUB区域等特性。（3）IS-ISIS-IS（Intermediate System - Intermediate System，中间系统到中间系统协议） 是由国际标准化组织（ISO）制订的路由协议，属于开放系统互联协议簇。IS-IS 对应的标准是ISO 10589和 RFC1195。在IGP路由协议的选择上，尽量不要采用扩展性差的（RIP）和厂家的私 有路由协议（IGRP和EIGRP），尽量采用OSPF或IS-IS。对于OSPF和IS-IS的选择依据为：基本原理相同（基于链路状态算法）， OSPF 用于 IP，IS-IS 用于 ISO 的 CLNP，也支持 IP（“集成 I

27、S-IS”）； IS-IS第10页共37页结构严谨，OSPF更加灵活，OSPF协议是基于接口的，而IS-IS路由器只能属 于一个Area，并且不支持NBMA网络；IS-IS占用网络资源相对较少，支持 网络规模大于OSPF，在网络相当庞大时能体现出优势；一个IGP域运行的三 层交换机及路由器的数量一般不会超过200台，因此从实际情况来看，运行 OSPF和IS-IS对IP城域网/承载网的建设不会有差异；对于网络的稳定性、 可扩充性，两种协议都能很好地支持；在大型ISP上，IS-IS与OSPF二者均 获得普遍应用；从MPLS草案及现实运行来看，如果要运行MPLS网络的话，OSPF经 常被选用做内部I

28、GP，当然IS-IS也有，但是MPLS草案中认为在MPLS环 境中运行OSPF更合适；使用MPLS TE的时候，采用IS-IS扩展的较多；从目前很多厂商的设备来看，存在这样一个问题，不少厂商的中低端路由 器及三层交换机不支持IS-IS，从这个角度讲OSPF比IS-IS有优势，所有的 主流路由器及三层交换机都支持OSPF。OSPF路由协议相应的配置策略为：-AS内部节点均运行OSPFv2路由协议；-如果与别的IP网络互通，建议配置EBGP路由协议，并且配置OSPF 引入BGP路由；为减少处理开销和网络开销，可将网络的主干部分划分为 OSPF主干区域（区域号为0），在边缘的支局子网配置成为OSPF

29、子区域， 从而分散路由处理，减少网络带宽占用。通过配置区域，使OSPF可以分层次 管理大型网络，实现可扩展性。使用OSPF协议必须考虑到骨干区域的连通性， 即使某条链路断掉后能保证骨干区域不会分离；另外，还需要考虑网络边缘层 设备的动荡对于核心网络的影响。对于本次方案，根据初期阶段实现目标：实现信息点最优连通，建议采用 OSPF路由协议使路由全网可达。具体设计如下：核心交换机与汇聚交换机都为三层路由交换机，相互间使用OSPF路由协 议，并运行在 AREAR 0区域上。核心交换机为三层交换机，与防火墙连接通过采用IP静态路由的方式， 防火墙通过配置缺省路由使网络用户对Internet进行访问。2

30、.5.5 IP地址的设计2.5.5.1 IP地址规划和分配原则（1）根据目前网络结构和以后扩展，遵循以下原则进行IP地址分配。唯一性：IP地址必须唯一，一个IP地址对应一台数据通讯设备；第11页共37页连续性：为同一网络区域分配连续的网络地址，便于规划，同时提高路 由器寻径效率；可管理性：地址的分配应该有层次性，某个局部的变动不影响网络的其 它部分；高效性：采用可变长子网掩码技术，要求采用支持可变长子网掩码技术 的TCP/IP协议族；可汇聚性：方便路由汇总，缩减路由表条目，提高路由器处理效率。可扩展性：既要考虑到IP地址的使用现状，又要考虑到未来信息网络 的发展，为各单位分配合理的地址空间，在

31、网络上尽可能少地做NAT，减少网 络设备CPU处理负担和加快网络访问速度。（2）业务地址的划分可以按照两个原则来分配：按照部门规划，每个部门一个独立的网段；这种方案适合业务种类单一 的情况，管理方便。按照业务规划，每种业务一个网段，所有的地市同一业务使用同一网段， 这种方案适合业务之间互访的控制。2.5.5.2网络地址分配IP地址规划和分配包括以下内容：（1）设备及互连链路地址规划与分配（2）业务地址规划与分配（3）服务器地址规划与分配根据以上IP地址的划分原则，本方案建议IP的设计如下：A 段（行政楼、门卫）：192.168.0.0192.168.3.255/22B 段（生产车间、产区办）：

32、192.168.4.0192.168.5.255/23C 段（运输楼、工段办）：192.168.6.0192.168.6.31/272.5.6 VLAN的设计2.5.6.1 VLAN的划分的作用及原则VLAN （Virtual Local Area Network）是虚拟局域网的英文缩写，它最简明 的描述就是可以实现将连接在同一个物理网络上面的主机分组，使它们看起来 就象连接在不同的网络上一样。我们可以通过VLAN为网络分段，各个网段 可以共用同一套网络设备，节约了网络硬件的开销，同时在迁移中所需的工作量也大幅度降低了，从而降低了连网成本。在用户的企业局域网系统中，我们建议基于IEEE 802

33、.1Q标准实现 VLAN，在VLAN设计中，我们使用VLAN达到两个目的：第一，不同业务部门之间的隔离和通信控制；第二，广播范围抑制。2.5.6.2 VLAN 划分我们建议根据各个办公室的地理位置来划分VLAN，如果同一栋楼内包含 很多部门，而这些部门的职能和工作内容又有很大的区别，我们就可以在楼内 按照部门来划分VLAN。另外，如果某个部门需要跨越很多建筑物，分布范围比较广，例如部门A分 布的很散，在很多交换机上都预留了部门A的信息点，我们则可以按照交换 机的位置来设置VLAN，这样，部门A就可能对应多个VLAN，如果部门A 所对应的VLAN之间需要通信的话，我们可以通过VLAN间的路由来实

34、现。这 样做的好处是：可以减少广播数据包对网络主干的影响。因为如果将部门A全 部划分到一个VLAN中，而这些VLAN又跨越了网络主干，分布在众多不同 的交换机上，这样如果有广播包时，这些广播包必然会在网络的主干上传输， 然后到达相应的交换机上，也就占用了网络主干的带宽，容易造成其他业务的 时延。为了减少传输冲突，提高系统整体性能和网络处理能力，另外，还考虑到 网络良好的管理性，易于维护和安全策略的实施，针对用户网络系统的实际情 况，可以把功能（应用）相近的设备群组划分到同一 VLAN，不同部门的设备 划分到不同VLAN中去，这样就能够通过访问控制列表技术实施安全策略。限 制未授权的用户访问重要

35、的服务器和数据库。VLAN划分举例：VLAN用途命名规范表Vlan10财务部FINANCIALVlanll市场销售部MARKETVlan12管理部MANAGING2.5.6.3 VLAN之间安全控制在用户网络系统中，由于在中心使用了三层核心交换机，因此所有的VLAN 之间的访问都需要通过三层核心交换机进行，因此可以通过ACL （访问控制列 表）控制VLAN之间的流量，这样就可以允许高优先级的VLAN段访问低优先 级的VLAN段，而低优先级的VLAN段不能访问或有限的访问高优先级 VLAN 段。2.5.7网管系统的设计网络管理系统时对整个网络进行监视、控制和维护管理，以提高网络的有 效性、利用率

36、、安全性和可靠性。网络管理系统由网管中心、网管单元、管理 信息库和网络管理协议四部分组成。网管中心是网管人员和管理信息系统间的接口，它将网管人员的命令转换 为对实际网元的监视和控制。网管单元在每个节点执行各项网络管理任务，采 集网络资源信息，存储本地相关数据并响应网管人员命令。管理信息库（MIB） 存放各种网络管理信息的特征参数和逻辑结构。网络管理协议按规约执行网管人员与网管单元和管理信息库之间的通信。该企业网络系统设一个网管中心，该中心设在行政楼机房，负责对全网进 行管理。2.6外部网络设计该企业网络用户为对Internet进行访问，而且为了保证其安全性，要求能够 访问Internet的用户

37、与不能访问Internet的用户进行完全的物理隔离，则需要另 建立一套网络系统（简称为外网）。网络用户（即外网用户）通过外网布线系统接 至各楼层的交换机，汇总到外网的主交换机后，接入到防火墙上，防火墙通过IP 地址转换功能（NAT），将网络用户（即外网用户）的私有IP地址转换成Internet 公网IP地址，通过光电转换器与电信相连的方式访问Internet，以使该企业网 络内外网互相独立，达到完全的物理隔离的目的。与外部网络互连的设备是带防火墙的路由器，根据需要选择企业级路由器 D-Link DI-7500的性能特性及技术指标情况如下：-端口结构：非模块化-广域网接：2个-局域网接：4个 传

38、输速率：10/100/1000Mbps 网络管理：GUI/WEB管理用户数量：800台防火墙：内置防火墙 Qos支持：支持 VPN支持：支持处理器：64位全千兆网络芯片网络安全：支持网站过滤上网限制 状态指示：Link/Act，速度，电源， 电源功率：最大25W环境标准：工作温度：0-40C工作其它性能：ADSL、光纤、以太网、CA2.7综合布线局域网布线设计的依据是网络的分布架构。网络布线必须有较长远的考虑。 对于大型局域网，连接公司院内各个建筑物的网络通常选择光纤，统一规划， 冗余设计，使用线缆保护管道并且埋入地下。建筑物内又分为连接各个楼层的垂直布线子系统和连接同一楼层各个房间 入网计算

39、机的水平布线子系统。如果设有信息中心网络机房，还应该考虑机房的特殊布线需求。在局域网 布线时，应该充分考虑到将来网络扩展可能需要的最大接入节点数量、接入位 置的分布和用户使用的方便性。若整座建筑物接入局域网的节点计算机不多， 可以采用从一个接入层节点直接连接所有入网节点的设计。若建筑物的每个楼 层都分布有大量接入节点，就需要设计垂直布线子系统和水平布线子系统，并 且在每层楼设置专门的配线间，安置该楼层的接入层节点网络设备和配线装置。水平布线子系统通常采用非屏蔽双绞线或屏蔽双绞线，如何选择线缆类型 和带宽根据应用需求决定。连接各个楼层交换机的垂直布线子系统通常采用光 纤。企业综合布线系统由工作区

40、子系统、水平布线子系统、垂直干线子系统、 管理子系统和建筑群子系统组成。它的设计原则如下：(1)开放性严格按照IEEE802、EIA/TIA 568等工业及建筑布线标准和中国建筑电气设计/工业企业通信设计规范。(2)实用性适应企业现在和将来发展的需要，具备数据通信、语音通信和图像通信的 功能。（3）灵活性布线系统中任一信息点能够很方便地与多种类型设备（如电话、计算机、 检测器件以及传真等）进行连接。（4）可扩展性布线系统具有较强的可扩展性，在将来需要时可以很容易地将所扩充的设 备连接到系统中来，实现各种网络服务与应用。（5）经济性综合布线系统是一种既具有良好的初期投资特性，即在今后若十年中不增

41、 加新的投资情况下仍能保持建筑物的先进性，又是具有极高的性能价格比的高 科技产品。通常情况下，综合布线系统的使用寿命为15年。（6）可靠性综合布线系统采用高品质的材料和组合压接的方式构成一套高标准的信息 通道。每条通道都采用专用仪器校核线路衰减、串音、信噪比，以保证其电气 性能不会造成交叉干扰。所以，北方公司应采用综合布线系统，才能更好的发 挥千兆局域网的威力。第三章网络系统安全性设计分析网络安全是一种策略及管理，而不仅仅是某一种产品，是一个系统工程， 它包括了物理层、网络层、应用层等一系列安全措施和策略。从外在上安全包 括五个基本要素：机密性、完整性、可用性、可控性与可审查性。机密性：确保信

42、息不暴露给未授权的实体或进程。完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已 被篡改。可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有 的资源而阻碍授权者的工作。可控性：可以控制授权范围内的信息流向及行为方式。可审查性：对出现的网络安全问题提供调查的依据和手段。3.1网络安全设计通常认为，安全是三分技术，七分管理，因此我们建议该企业网络系统的 安全保护措施：3.1.1人员角色划分要对用户网络进行有效的安全管理，必须对系统的使用人员和管理人员的 不同角色进行清晰的划分，不同的角色拥有不同的权限和职责，互相制约，共 同保障整个系统的安全性。对于用户网络系统涉及的各类人

43、员，我们建议划分如下角色：(1) 决策专家。(2) 安全管理员。(3) 审计员。(4) 系统管理员。3.1.2路由认证和保护路由认证(Routing Authentication)，就是运行于不同设备的相同的动态路 由协议之间，对相互传递的路由刷新报文进行的确认，以便使得设备能够接受 真正而安全的路由刷新报文。任何运行一个不支持路由认证的路由协议，都存在着巨大的安全隐患。某 些恶意的攻击者可以利用这些漏洞，向网络发送不正确或者不一致的路由刷新， 由于设备无法证实这些刷新，而使得设备被欺骗，最终导致网络的瘫痪。目前，多数路由协议支持路由认证，并且实现的方式大体相同。认证过程 有基于明文的，也有基

44、于更安全的MD5校验。MD5认证与明文认证的过程类似，只不过密钥不在网络上以明文方式直接 传送。路由器将使用MD5算法产生一个密钥的“消息摘要”。这个消息摘要将 代替密钥本身发送出去。这样可以保证没有人可以在密钥传输的过程中窃取到 密钥信息。使用MD5认证算法的路由协议有：OSPFRIP版本2BGP4EIGRP3.1.3关闭IP功能服务有些IP特性对局域网来说是有用的，但对广域网或城域网节点的设备是 不适用的。如果这些特性被恶意攻击者利用，会增加网络的危险，因此，网络 设备应具备关闭这些IP功能的能力。因为IP源路由选项忽略了报文传输路径中的各个设备的中间转发过程， 而不管转发接口的工作状态，

45、可能被恶意攻击者利用，刺探网络结构。因此， 设备应能关闭IP源路由选项功能。设备应能关闭ICMP重定向报文的转发。设备应能关闭定向广播报文的转发。缺省应为关闭状态。3.1.4用户的安全防护用户验证是实现用户安全防护的基础功能。只有对用户进行识别和区分， 才能有效的对其进行保护。经过验证的用户可以享受服务，而未经验证的用户 则被拒绝。用户验证一般都与用户流量参数的配置结合在一起。用户的流量合 同从业务服务器下载到业务接入节点，作为对用户提供服务的依据。用户验证 的手段包括：PPP验证、WEB验证和端口验证、以及802.1x的验证。3.2网络的VLAN的安全管理设计分析网络解决方案中的交换机可以划

46、分基于端口的VLAN, ACL的安全特性允 许对所有访问进行鉴权，不只是对交换机的管理和配置访问，还包括通过这些 交换机对基础设施的访问。这个软件特性使网络访问仅限于授权的和委托的用 户，同时它还全程跟踪网络连接。核心及汇聚交换机通过数据包头中的数据链路层（MAC）、网络层（IP、IPX） 和传输层（TCP、UDP、RTP、Sock）的信息进行访问控制，可以充分的保证各个 VLAN之间的安全性，而且可以防止不必要和不符合访问策略的网络访问。对 整个网络运作性能、故障、问题进行分析，定时产生报告。访问控制从第二层 端口一MAC，第三层网段一IP，到第四层应用级别，均可控制。支持RADIUS、 T

47、ACACS+验证。3.3 Internet安全访问设计分析为了保证用户上联Internet的系统安全，防止黑客及其他的非法侵入，本方 案在Internet的出口放置防火墙。通过采用防火墙的安全技术屏蔽内部网络结 构，同时利用访问控制列表对数据包进行过滤，根据需要封闭存在安全漏洞所 用的协议和端口，保证内部网络的安全。第四章项目管理4.1项目管理目标良好的项目管理是系统集成企业长期成功的根本保证，项目管理目标为： 有效的分配人力、物力资源，使得项目的建设能按工程进度计划高质量、高效 率、低成本地完成。4.2项目组织机构为确保该企业网络系统项目的顺利进行，在规定时间内完成交货、安装和 调试，我方将

48、成立专门的项目组织机构并对项目组织机构成员的职责进行了分 工。大致分工为：项目经理、技术负责人、项目管理员、工作组。4.3项目进度计划4.3.1项目总体进度计划标识号任会名称开始时间完成时间工期1攻目濡求分析细1年4月否日W1L年S月汨6工作日2需求说明书项1年5月汩W1L年5月汨工作日3通信规范分析跑11年5朋日戏1L年5月9日6工作曰4遇信规范说明文档如11年朋2日河侔弱9日0工作日5趣辑网络设计即11年5月2日列1年5月1T日T工作日6逻辑设计文档细年5月LT日WD11年5月1T日工作日7物理网格设计网11年5月LT日2口 11年5月叫日4工作日B物理结祠设计立档网11年S月即日2口 1

49、1年S月W口日工作日g网络设备竞标项侔朋q日2口 11年导月口口日10工作日10网络设备采购对1年5月四日ZD11年5月康日5工作日11设备安装和调试新11年5月康日201166 010工作日12踪合布戏项1年E月1日2口11年H月WL日15工作日13咧试和纸护网11年日月即日2口 11年&月3口日9工作日14工程验收纳1年5月案日WQ11年B月扣日2工作日4.3.2项目进度Gantt图(甘特图)标2弓任奄名弥口：1年二月网11年二m2011-2124274 Z Fg 12lc182L242730? c Ja1114IT2023262Q2L项日寿求诊析2常末说明刘 523通信包范:&析r4i自

50、港耕茹司期艾特5逻机冏结寡I6逻帽设计交档5-1T7的在网籍虫汁8判却结构设汁侦出令5-20g同维设&克保1011网培设各塞购r12折M而隧1314工程验收信4.3.3项目进度详细说明4.3.3.1需求分析需求分析是开发过程中最关键的阶段，需要克服需求收集的困难，采用多 种方式与用户交流，才能挖掘出网络工程的全面需求。需求分析有助于设计者 更好地理解网络应该具有什么样的功能和性能，最终设计出符合用户需求的网 络。收集需求的范围如下：(1) 业务需求。(2) 用户需求。(3) 应用需求。(4) 计算机平台需求。(5) 网络通信需求。需求分析的输出是产生一份需求说明书，也就是需求规范。在完成需求说

51、 明书之后，管理者与网络设计者应该达成共识，并在文件上签字。在形成需求说明书的同时，网络设计人员还必须与网络管理部门就需求的 变化建立起需求变更机制，明确允许的变更范围。这些内容正式通过后，开发 过程就可以进入下一个阶段。4.3.3.2现有网络系统的分析在这一阶段，应该给出一份正式的通信规范说明文档，作为下一阶段的输 入。网络分析阶段应该提供的通信规范说明文档包含下列内容：(1) 现有网络的拓扑结构图。(2) 现有网络的容量，以及新网络所需的通信量和通信模式。(3) 详细的统计数据，直接反应现有网络性能的测试量。(4) Internet接口和广域网提供的服务质量报告。(5) 限制因素列表，例如

52、使用线缆和设备清单等。4.3.3.3确定网络逻辑结构网络逻辑结构设计是体现网络设计核心思想的关键阶段，在这一阶段根据 需求规范和通信规范选择一种比较适宜的网络逻辑结构，并实施后续的资源分 配规划、安全规划等内容。该阶段最后得到一份逻辑设计报告，输出的内容包括以下几点：(1) 网络逻辑设计图。(2) IP地址分配方案。(3) 安全管理方案。(4) 具体的软硬件、广域网连接设备和基本的网络服务。(5) 招聘和培训网络员工的具体说明。(6) 对软硬件费用、服务提供费用以及员工和培训费用的初步估计。4.3.3.4确定网络物理结构物理网络设计是逻辑网络设计的具体体现，通过对设备的具体物理分布、 运行环境

53、等的确定来确保网络的物理连接符合逻辑设计的要求。网络物理结构文档必须尽可能详细、清晰，输出内容如下：(1) 网络物理结构图和布线方案。(2) 设备和部件的详细列表清单。(3) 软硬件和安装费用的估计。(4) 安装日程表，详细说明服务的时间以及期限。(5) 安装后的测试计划。(6) 用户的培训计划。4.3.3.5安装和维护（一）安装。安装阶段应该产生的输出： 逻辑网络结构图和物理网络结构部署图。 符合规范的设备连接图和布线图。 运营维护记录和文档。（二）维护。网络投入运行后，需要大量的故障检测和故障恢复，以及网 络升级和性能优化等维护工作。第五章工程预算5.1项目总体预算【项目报价列表】（金额单

54、位：元）序号名称成本金额报价金额本项毛利利润比率1网络设备718,774.00915993.36197,219.3627.44%2服务器334,253.00378718.4544,465.4513.3%3安全系统77,200.0090555.6013,355.6017.3%4系统软件31,700.0041923.2510,223.2532.25%5机房建设71,500.0089726.4018,226.4025.49%6综合布线99,039.00113933.8514,894.8515.04%7光纤设备344,576.00395066.0050,490.0014.65%8培训36,600.00

55、49410.0012,810.0035.%9其它费用.000.00%设备报价1,713,642.00 2,075,326.91 361,684.9117.43%【项目报价统计】标号收费说明计算公式计算值A设备报价2,075,326.91C税金A * 0.05103,766.35合计2,179,093.26最终合计2,179,093.00【项目报价分析】成本部份A1,713,642.00报价部份B2,179,093.00税前利润CC = B - A465,451.00税金DD = ( B X 0.% ).00税后利润EE = C - D465,451.00项目利润率FF = ( E / B )

56、X 100%21.36%5.2网络设备序 号名称品牌型号规格数量单 位成本单价（元）成本合价（元）网络中心1WS-C6509-1300ACCISCOCatalyst 6509 Chassis w/ 1300W AC Power Supply1台71,349.0071,349.002WS-CAC-1300W/2CISCOCatalyst 6000 Second 1300W AC Power Supply1个20,376.0020,376.003WS-X6K-S1A-MSFC2CISCOCatalyst 6000 SupervisorEngine1-A, 2GE, plusMSFC-2 and P

57、FC1套152,976.00152,976.004WS-X6416-GBICCISCO16端口千兆以太网模块1块101,976.00101,976.005WS-X6324-100FX-MMCISCOCatalyst 6000 24-port 100FX, Enh QoS, MT-RJ, MMF1块76,476.0076,476.006WS-C3524-XL-ENCISCOCatalyst 3524 XL Enterprise Edition1台13,479.0013,479.007WS-G5484CISCO1000BASELX/LH GBIC10个2,200.0022,000.008WS-G5

58、482CISCO1000BASE-T GBIC2个1,800.003,600.00网管软件9网管软件CWW-6.0CISCOCiscoWorks for Windows6.0 NT/98/20001套16,966.0016,966.00网络中心-路由器10CISCO 2621CISCOCISCO2600路由器1端 口 10/100M以太网-接交 换机1台14,800.0014,800.0011WIC-2TCISCOCISCO 2620 一端口串行广域接口1块3,920.003,920.0012V3.5 线CISCO1条115.00115.00行政楼800个点，1000M, 4层楼13WS-C3

59、524-XL-ENCISCOCatalyst 3524 XL Enterprise Edition1台13,479.0013,479.0014WS-C2950-24CISCO24 port, 10/100 autosensing, autonegotiating Catalyst Switch16台5,829.0093,264.0015WS-C2950-12CISCO12 port, 10/100 autosensing, autonegotiating Catalyst Switch1台5,379.005,379.0016WS-G5484CISCO1000BASE-SX1台2,200.002,200.00生产车间360个点，100M，3层楼