上海市W1酒店办公网络方案建议书

《上海市W1酒店办公网络方案建议书》由会员分享，可在线阅读，更多相关《上海市W1酒店办公网络方案建议书（16页珍藏版）》请在装配图网上搜索。

1、上海W1酒店办公网网络方案建议书上海市W1酒店办公 网络方案建议书二零零六年十月目 录第1章网络系统需求分析及设计31.1客户现状：31.2网络建设目标：31.3数据信息点情况：31.4网络建设需考虑的问题：4第2章网络设计原则：52.1网络设计原则5第3章数据网络方案设计63.1概述63.2网络拓扑图：63.3网络结构概述：73.4设备选型：83.4.1核心交换设备：83.4.2接入层交换设备：83.4.3防火墙设备：93.4.4网管系统：10第4章网络VLAN和IP设计104.1VLAN：104.1.1VLAN技术简介：104.1.2VLAN规划：114.2IP地址规划：114.2.1IP

2、地址分配原则：114.2.2IP地址规划：124.3VLAN划分和IP地址规划表：12第5章网络的安全设计145.1防火墙的安全设计145.2防毒软件系统的配置15第1章 网络系统需求分析及设计1.1 客户现状：上海市W1酒店项目目前正在建设中，共19层。本方案将针对用户办公的计算机网络建设进行规划设计，提出解决方案。1.2 网络建设目标：上海市W1酒店的本次网络建设主要为满足酒店内的电子化办公要求。整个网络目前覆盖楼内办公区、客房管理区、办公区、接待区、中心机房区等。内部网络需利用高速宽带接入Internet ，提供Web浏览、mail收发、办公OA系统等一些基本的应用服务。所有信息点性能要

3、求提供100M到桌面的接入带宽，并通过酒店内统一的外网出口同Internet互联。建成后的酒店内将同时为单位内的各个部门服务。为了节省项目投资，不同部门使用同一套网络硬件平台和一个Internet数据出口。因此，需通过VLAN划分做到多部门的数据隔离，保证不同部门间的数据保密性。同时，由于Internet数据应用的存在，我们建议网络建设规划中必须考虑具备一定的网络安全措施。1.3 数据信息点情况：酒店机房位于一层，核心网络交换设备将设置在酒店机房内。根据信息点的分布情况，我们在各楼层的弱电间配置楼层交换机满足信息点的接入要求。具体的信息点分布参照下表：表一：点位分布表区域楼层数据点数办公区地下

4、1层20 可房管理部地下1层15 其它区域地下1层10 办公区1层10 休闲区办公6层5 休闲区办公7层5 接待室8-19层各4 小计113 数据中心一层10 合计123 1.4 网络建设需考虑的问题：我们结合W1酒店的使用特点和规划目标，认为在将来的网络建设过程中因着重考虑一下几点：l 由于网络同时供多个部门使用，必需考虑网络的逻辑划分。同时做好各家单位的网络规划，避免今后进驻的部门各自为阵造成混乱。l 由于资金有限，在网络设计时需在满足使用要求的基础上，节约资金。同时要避免今后部门入住重复投资。l 该网络是同Internet互联的办公网络，因此需考虑到内外网间的安全隔离。l 在设备选型上采

5、用主流网络设备，保证设备的长期稳定有效工作。同时考虑到节约投资，推荐采用国产知名品牌。第2章 网络设计原则：我们遵循网络设计常用的基本原则来对上海W1酒店的网络平台进行设计。以此来保证今后网络建设的正确和高效。2.1 网络设计原则标准化及规范性整个网络从技术和设备的选择上，为确保不同厂家设备、不同应用以及不同协议连接的互操作性，我们将选择支持国际标准的网络接口和协议。先进性和扩展性。系统主要软硬件设备均采用广泛应用且具有良好性能价格比的产品，充分考虑保护系统建设投资，使系统具有良好的实用性、扩展性。硬件产品的选型应考虑开放性、标准化，同时强调兼容性，要考虑到一旦网络需要扩容升级，不至于主要的硬

6、件产品被淘汰。可靠性和稳定性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。性能价格比高的原则在满足网络各项性能要求情况下，兼顾设备投资情况，我们将尽可能节约网络系统的投资，使整个网络的性能价格比达到最高。可管理性和可维护性网络管理产品的选型、软件选购应强调方便、实用和安全，能满足实际使用的要求。具有优异的可管理性和可维护性。用户界面友好统一，易学易用。安全性和保密性在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信

7、环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。第3章 数据网络方案设计3.1 概述根据上海W1酒店网络建设要求，网络节点必须达到1000M上联，100M到桌面的性能。同时必须考虑不同业务部门之间的数据隔离。提供高速、安全、可靠的网络平台。3.2 网络拓扑图：上海W1酒店网络结构拓扑图如下：3.3 网络结构概述：目前，整个上海W1酒店网络规模较小，共123个信息点。因此我们建议采用结构较为简单的二层星型网络结构。即：核心层和接入层。星型网络具有结构简单，建设成本较低等优点。核心层采用高性能3层交换设备，将负责整个网络内数据的路由交换功能。整个网络为二层结构，核心节点位于大楼一楼酒

8、店机房内。服务器直接通过100M或1000M以太网接入核心交换机。接入层采用2层交换机设备，同一楼层内设备将来亦可通过多台设备堆叠保证提供足够的端口数量。交换机通过VLAN划分将网络划分成不同的逻辑子网。接入层交换机同核心交换机间通过1000M多模光纤进行互联，两端端口配置成Thrunk模式。不同VLAN间IP数据通信必须经过核心交换机的3层路由进行。若在核心交换机上不设置相应的路由信息，则可保证VLAN间的数据隔离。通过该方法可保证楼内不同部门间的IP通信数据隔离。Internet接入采用光纤专线接入方式，接入带宽上/下行10Mbps 。在无需更改线路设备情况下，可升级出口带宽至100M。I

9、nternet外网同核心交换机间配置防火墙设备进行安全隔离，通过防火墙安全策略关闭部分平时不使用的TCP/IP端口。所有物理接口为10/100M以太网。防火墙上配置NAT或PAT地址转换，使得内部分配私有IP网络地址的计算机可访问Internet。防火墙具有VPN功能，为在外出差办公的工作人员提供VPN拨号通道，安全接入公司的内部网络。核心交换机同防火墙之间用100M以太网互联。3.4 设备选型：3.4.1 核心交换设备：核心层设备作为整个网络数据路由交换的酒店节点，各IP网段间的网络数据包须经其路由转发。因此必须配置三层网络交换机。若核心节点故障将造成整个网络的通信中断，要求拥有较高性能和可

10、靠性。同时兼顾今后网络扩展，需留有一定性能余量。因此建议在核心节点选用一台性能较高的Cisco Catalyst 4506。Catalyst 4506系列交换机是一个新型的、多层企业级交换机系列，可以提供高水平的可用性、可扩展性、安全性和控制能力，从而提高网络的运行效率。因为具有多种快速以太网和千兆以太网配置，因此Catalyst 4506系列适合于作为一个功能强大的汇聚层交换机和中型网络的核心交换机。在模块选择上我们采用了双电源模块，为核心设备提供冗余的电源输入；配置高性能3层主控模块WS-X4515；配置3块6端口1000M光纤互联模块，提供楼层交换机的接入；配置24口10/100M以太网

11、口用于机房内服务器等设备接入及同防火墙设备互联。3.4.2 接入层交换设备：楼层交换机要求有足够的端口密度，提供足够数量的交换机端口供楼层内信息点的接入。当一台交换机设备无法满足端口数量时，将来也可采用多台设备通过堆叠模式进行扩展。在这里我们选用Cisco Catalyst2960（24端口）或者(48端口)。每台提供独立的、固定配置的、可管理的24口或48口10/100M以太网端口交换机，作为桌面用户的连接。考虑到数据中心内服务器数据转发的高速性和高性能要求，我们选用Cisco Catalyst3560（24端口）作为数据中心交换机，作为服务器的连接。详细配置情况请参照下表：表二、上海W1酒

12、店楼层交换设备分布：设备数量信息点数中心机房Cisco Catalyst356048110地下一层Cisco Catalyst296048120+15+10=45一层Cisco Catalyst296024110六层Cisco Catalyst29602415七层Cisco Catalyst29602415八层Cisco Catalyst29602414九层Cisco Catalyst29602414十层Cisco Catalyst29602414十一层Cisco Catalyst29602414十二层Cisco Catalyst29602414十三层Cisco Catalyst2960241

13、4十四层Cisco Catalyst29602414十五层Cisco Catalyst29602414十六层Cisco Catalyst29602414十七层Cisco Catalyst29602414十八层Cisco Catalyst29602414十九层Cisco Catalyst29602414小计Cisco Catalyst3560241123Cisco Catalyst2960481Cisco Catalyst296024153.4.3 防火墙设备：另外，由于用户要求通过电信光纤资源访问INTERNET，为增强内部局域网的安全性，并提供对公网IP地址的NAT或PAT地址转换 ，可在核

14、心交换机和Internet网络之间配置一台Netscreen204系列防火墙，由其提供地址转换（NAT或PAT）服务。Netscreen204上具有4个10/100M以太口，分别接入内外网和DMZ区（配置三个10/100M以太口的考虑是为以后通过光纤或其他高速链路上INTERNET时，可使用第三个10/100M以太口作为DMZ区，放置专用服务器设备），Netscreen204防火墙对访问用户提供访问控制功能，以防止黑客入侵。Netscreen204防火墙具有VPN功能模块，可支持异地远程VPN拨号接入。3.4.4 网管系统：随着信息化的不断深入，网络在各行业、企事业单位的日常工作中发挥着越来越

15、重要的作用。网络也变得越来越复杂，网络的通信质量、网络的故障恢复能力、网络的兼容、扩充能力等问题日益突出，在这些问题的处理中，网管软件承担着越来越突出的作用。BT_NM通用网管平台支持Windows系列操作系统平台的兼容能力，自动发现拓扑，通过通用化的图形界面、设备面板管理界面、灵活而及时的告警机制、全网策略性的权限管理等特色功能为各行业和企事业单位提供了实用的网管解决方案，确保了网络运行的安全高效，有效的保护了单位在网络建设方面的投资。第4章 网络VLAN和IP设计4.1 VLAN：4.1.1 VLAN技术简介：一个VLAN就是一个交换网，其逻辑上按功能、项目、应用来分而不必考虑用户的物理位

16、置。任何交换口都可以属于某一VLAN, IP包、广播包及组播包均可以发送或广播给在此VLAN内的最终用户。每一个VLAN均可看成是一个逻辑网络，发往另一VLAN的数据包必须由路由器或网桥转发（如下图）。由于VLAN被看成是一个逻辑网络，其具有自己的网桥管理信息库 (MIB) 并可支持自己的生成树Cisco交换机可通过VLAN技术将一个物理广播网络划分为多个虚拟局域网络（VLAN）。VLAN即虚拟局域网，VLAN的划分有三种方式：基于端口（Port）、基于MAC地址和基于IP地址。通过划分VLAN，可以把数据交换限制在各个虚拟网的范围内，从而减少整个网络范围内广播包的传输，提高了网络的传输效率；

17、同时各虚拟网之间不能直接进行通讯，而必须通过路由器转发，起到了隔离端口的作用，避免数据被窃听。为高级安全控制提供了可能，增强了网络的安全性。4.1.2 VLAN规划：我们建议根据网络实际组织结构将整个网络划分为多个VLAN。中心机房、接待区、休闲办公区、办公区、客房管理区、财务部、人事部、总经理室等各个业务部门。4.2 IP地址规划：4.2.1 IP地址分配原则：对于本次这样一个基于TCP/IP协议的网络系统，在分配IP地址时，必须充分考虑网络运行和管理、路由算法效率、路由变化收敛速度及IP地址分配简单性和可扩充性。简言之，IP地址分配应具备：l 唯一性：一个IP网络中不能有两个主机采用相同的

18、IP地址；l 简单性：地址分配应简单，易于管理，降低网络扩展的复杂性；l 连续性：连续地址在层次结构网络中易于进行路径叠合，缩减路由表，提高路由算法效率；l 可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展是能保证地址叠合所需的连续性。并在不同的业务部门间留有一定预留地址端，防止将来部门扩展时需修改酒店内原有计算机IP地址。l 灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。l 规范性：上海W1酒店网为企业内部局域网络，理论上不会同其他网络IP地址冲突。但若将来需要接入其他的相关企事业单位组网互联（如政务网），成为其下级网络，则需服从上级网络的IP地址规划。

19、4.2.2 IP地址规划：我们建议采用172.16.0.0/16中255个C类私网IP地址作为上海W1酒店数据网络内部IP地址。4.3 VLAN划分和IP地址规划表：表三、上海W1酒店VLAN及IP地址规划：VLAN用途IP地址分配网关预留172.16.0.0/24VLAN1管理VLAN,用于设备管理172.16.1.0/24预留172.16.2.0/24172.16.9.0/24VLAN10中心机房（服务器）172.16.10.0/24172.16.10.1/24VLAN20主管办公室172.16.20.0/24172.16.20.1/24VLAN21主管办公室172.16.21.0/241

20、72.16.21.1/24VLAN22办公区（地下一层）172.16.22.0/24172.16.22.1/24VLAN23休闲办公区F6172.16.23.0/24172.16.23.1/24VLAN24休闲办公区F7172.16.24.0/24172.16.24.1/24预留172.16.25.0/24172.16.39.0/24VLAN40接待区F8172.16.40.0/24172.16.40.1/24VLAN41接待区F9172.16.41.0/24172.16.41.1/24VLAN42接待区F10172.16.42.0/24172.16.42.1/24VLAN43接待区F1117

21、2.16.43.0/24172.16.43.1/24VLAN44接待区F12172.16.44.0/24172.16.44.1/24VLAN45接待区F13172.16.45.0/24172.16.45.1/24VLAN46接待区F14172.16.46.0/24172.16.46.1/24VLAN47接待区F15172.16.47.0/24172.16.47.1/24VLAN48接待区F16172.16.48.0/24172.16.48.1/24VLAN49接待区F17172.16.49.0/24172.16.49.1/24VLAN50接待区F18172.16.50.0/24172.16.5

22、0.1/24VLAN51接待区F19172.16.51.0/24172.16.51.1/24预留172.16.52.0/24172.16.253.0/24VLAN100出口Vlan172.16.254.0/24172.16.254.1/24（注：项目实施时将根据用户实际业务部门划分实际情况做调整）第5章 网络的安全设计由于上海W1酒店接入Internet，所以办公网内的网络安全必须进行一定考虑。考虑分为两方面：网络的边界安全防护；主机的病毒防护。网络的安全防护将通过在Internet出口处设置防火墙设备来达到，而病毒防护将通过主机上安装防病毒软件来完成。5.1 防火墙的安全设计当一个网络接上I

23、nternet之后，系统的安全除了考虑计算机病毒、系统的健壮性之外，更主要的是防止非法用户的入侵。而目前防止的措施主要是靠防火墙的技术完成。防火墙(firewall)是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通道(Internet)之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。防火墙控制允许或拒绝访问是基于地址的信息（源IP 地址、目标IP 地址、源TCP、 UDP 端口、目标TCP 、UDP 端口），用一个过滤器检查源地址和目标地址及端口号。同时，通过防火墙进行NAT地址转换，能够极大地缓解目前IPV4地址匮乏的弊端。一些在业界品质领先的防火墙凭借

24、其卓越的性能，能同时支持数十万个并发会话连接数，提供实时监测和阻挡拒绝服务攻击，而且不会影响网络的性能，这是一般路由器所不能达到的。防火墙作为内部网与外部网之间的一种访问控制设备，常常安装在内部网和外部网交界的点上。假设本应用中防火墙有三个以太口，一个端口连接内部网，一个端口连接外部网，一个端口连接非军事区（DMZ，用于向外发布信息）。内部网的优先级别高于非军事区，非军事区的优先级别高于外部网。默认状态下，内部网用户均可访问非军事区，非军事区均可访问外部网，反之则不可。当内部用户需要访问ISP、ICP或其他集团（公司）时，在防火墙内作地址转换，地址转换的目的一是可以取得合法地址，二是防止外部黑

25、客入侵。外部用户需要访问内部资源时，在作地址转换的同时，还要指定具体应用（如WWW、SMTP等），一般外部用户只能访问非军事区（DMZ）的服务器组，只有经过特别授权的用户才能访问内部服务器。公网内部网交换机防火墙非军事区（DMZ）安全策略的设计与用户应用以及用户对安全的特殊考虑密切相关，所以我们将在防火墙安装调试完毕以后与用户共同商洽一个完整的安全访问需求，我们将根据次安全访问需求设计一个合理、可靠以及高效的防火墙安全策略并完成防火墙安全策略的实施。5.2 防毒软件系统的配置采用Mcaffee企业版或Nod32杀毒软件，在线查毒杀毒。客户端数量为200个。Mcaffee提供了对广域网络的支持，可以跨网段、跨路由的集中管理，对客户端的安装是全自动的。针对小型网络的特点，Mcaffee可以防护所有病毒的入口，支持所有的平台的工作站，提供最新的病毒特征文件以确保强大的杀毒能力，提供零度管理模式解放系统的管理员。（此次报价不含防病毒软件）上海理想信息产业(集团)有限公司 第16页 共16页