中小型企業(yè)網(wǎng)絡(luò)工程設(shè)計方案-OKK.doc

《中小型企業(yè)網(wǎng)絡(luò)工程設(shè)計方案-OKK.doc》由會員分享，可在線閱讀，更多相關(guān)《中小型企業(yè)網(wǎng)絡(luò)工程設(shè)計方案-OKK.doc（36頁珍藏版）》請在裝配圖網(wǎng)上搜索。

華中科技大學(xué) 2010~2011學(xué)年第二學(xué)期 《計算機網(wǎng)絡(luò)》課程設(shè)計 企業(yè)網(wǎng)絡(luò)工程設(shè)計方案 院 系： 控制系 年 級： 08級 班 級： 自動化0804班 目 錄 目 錄 II 第一章 網(wǎng)絡(luò)系統(tǒng)設(shè)計概述 1 1.1項目背景 1 1.2需求分析 1 1.3編制依據(jù) 2 第二章 網(wǎng)絡(luò)系統(tǒng)設(shè)計 3 2.1網(wǎng)絡(luò)設(shè)計原則 3 2.2設(shè)計要求 3 2.3設(shè)計目標 4 2.3設(shè)備分析 4 2.4網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計 5 2.5內(nèi)部網(wǎng)絡(luò)設(shè)計 7 2.5.1核心層交換機的設(shè)計 7 2.5.2匯聚層交換機的設(shè)計 8 2.5.3接入層交換機的設(shè)計 9 2.5.4路由協(xié)議的設(shè)計 10 2.5.5 IP地址的設(shè)計 11 2.5.6 VLAN的設(shè)計 12 2.5.7網(wǎng)管系統(tǒng)的設(shè)計 14 2.6外部網(wǎng)絡(luò)設(shè)計 14 2.7綜合布線 15 第三章 網(wǎng)絡(luò)系統(tǒng)安全性設(shè)計分析 17 3.1網(wǎng)絡(luò)安全設(shè)計 17 3.1.1人員角色劃分 17 3.1.2路由認證和保護 17 3.1.3關(guān)閉IP功能服務(wù) 18 3.1.4用戶的安全防護 18 3.2網(wǎng)絡(luò)的VLAN的安全管理設(shè)計分析 19 3.3 Internet安全訪問設(shè)計分析 19 第四章 項目管理 20 4.1項目管理目標 20 4.2項目組織機構(gòu) 20 4.3項目進度計劃 20 4.3.1項目總體進度計劃 20 4.3.2項目進度Gantt圖（甘特圖） 20 4.3.3項目進度詳細說明 21 第五章 工程預(yù)算 24 5.1項目總體預(yù)算 24 5.2網(wǎng)絡(luò)設(shè)備 25 5.3服務(wù)器 27 5.4安全系統(tǒng) 28 5.5系統(tǒng)軟件 28 5.6機房建設(shè) 28 5.7綜合布線 29 5.8光纖設(shè)備 31 5.9培訓(xùn) 33 第一章 網(wǎng)絡(luò)系統(tǒng)設(shè)計概述 1.1項目背景 為了適應(yīng)業(yè)務(wù)的發(fā)展和國際化的需要，積極參與國家信息化進程，提高管理水平，展現(xiàn)全新的形象，某廠準備建立一個現(xiàn)代化的機構(gòu)內(nèi)部網(wǎng)，實現(xiàn)信息的共享、協(xié)作和通訊，并和屬下個部門互連，并在此基礎(chǔ)上開發(fā)建設(shè)現(xiàn)代化的企業(yè)應(yīng)用系統(tǒng)，實現(xiàn)智能型、信息化、快節(jié)奏、高效率的管理模式。 在本方案中，我們借鑒了大型高端網(wǎng)絡(luò)系統(tǒng)集成的經(jīng)驗，充分利用當今最成熟、最先進的網(wǎng)絡(luò)技術(shù)，對該信息網(wǎng)絡(luò)系統(tǒng)的建設(shè)與實施提出方案。 1.2需求分析 為實現(xiàn)上述目標，可以把整個系統(tǒng)建設(shè)分成兩個部分，即：網(wǎng)絡(luò)平臺建設(shè)和Internet/Intranet平臺建設(shè)。 （1） 網(wǎng)絡(luò)平臺是建立在結(jié)構(gòu)化布線基礎(chǔ)上的最基本的平臺?？煽康木W(wǎng)絡(luò)平臺是Internet/Intranet系統(tǒng)及應(yīng)用系統(tǒng)正常運行的基礎(chǔ)。網(wǎng)絡(luò)平臺的設(shè)計應(yīng)包括局域網(wǎng)的設(shè)計、廣域網(wǎng)的設(shè)計。 （2） Internet/Intranet平臺包括Intranet、Internet和Extranet。三者的關(guān)系如圖： Internet/Intranet系統(tǒng)具有客戶端單一界面、易于使用的特點。在中中國港灣建設(shè)總公司的平臺建設(shè)中，Extranet部分對應(yīng)于與各合作伙伴信息交流的相關(guān)部分。 網(wǎng)絡(luò)系統(tǒng)主要是以光纖作為傳輸媒介、以IP 和 Intranet技術(shù)為技術(shù)主體、以核心交換機為交換中心、下屬部門信息網(wǎng)絡(luò)系統(tǒng)為分節(jié)點的多層結(jié)構(gòu)、提供與各種職能相關(guān)的、功能齊全、技術(shù)先進、資源統(tǒng)一的網(wǎng)上應(yīng)用系統(tǒng)，進一步可擴展成為多功能網(wǎng)絡(luò)平臺。 總體目標是建立該企業(yè)的辦公業(yè)務(wù)信息網(wǎng)絡(luò)交換平臺，集成下屬各部門信息網(wǎng)絡(luò)系統(tǒng)，功能齊全、技術(shù)先進、集成化的網(wǎng)絡(luò)系統(tǒng)。 （一）設(shè)計網(wǎng)絡(luò)需求如下： (1) 信息的共享； (2) 公司管理； (3) 辦公自動化； (4) 高速Internet 沖浪。 （二）企業(yè)辦公網(wǎng)主干和信息點需求及分布 擬建的企業(yè)網(wǎng)絡(luò)主要涉及到四幢建筑物：行政樓（含附近的門衛(wèi)）、 生產(chǎn)車間（含附近的廠區(qū)辦）、運輸樓（含附近的工段辦）。這四幢建筑物之間擬通過光纜連接。網(wǎng)絡(luò)中心和機房設(shè)在行政樓內(nèi)。信息點需求為： 行政樓： 801個（含門衛(wèi)1個） 生產(chǎn)車間：364個（含廠區(qū)辦4個） 運輸樓： 20個（全為工段辦） 主干網(wǎng)接入全球互聯(lián)信息網(wǎng)外接（Internet），各子網(wǎng)再接入主干通信網(wǎng)。主干網(wǎng)接入Internet的方式可是有線綜合寬帶網(wǎng)，速率可在100Mbps左右。主干為千兆光纖線路，其它線路為超五類雙絞線。 （三）投資預(yù)算 要求投資在20萬元以內(nèi)，包括局域網(wǎng)設(shè)計（可利用原有寬帶設(shè)備），交換機設(shè)備，綜合布線等。 1.3編制依據(jù) 《計算機信息系統(tǒng)保密管理暫行規(guī)定》（國家保密局1988 年 2 月 26 日印發(fā)） 《計算機信息國際聯(lián)網(wǎng)保密管理暫行規(guī)定》（國家保密局1999 年 12 月 29 日印發(fā)） 《中國公眾多媒體通信網(wǎng)技術(shù)體制》 《中國公眾多媒體通信網(wǎng)工程實施技術(shù)要求》 IEEE 工業(yè)標準：802.1d，802.1p，802.1q，802.1x，802.3，802.3u，802.3z 支持路由協(xié)議：IP 的 RIP v1/2，OSPF，BGP-4；IPX 的 RIP 多址廣播協(xié)議：IGMP，DVMRP，PIM-DM，PIM-SM 網(wǎng)絡(luò)管理協(xié)議：SNMP，RMON，RMON2 第二章 網(wǎng)絡(luò)系統(tǒng)設(shè)計 本系統(tǒng)設(shè)計主要進行節(jié)點網(wǎng)絡(luò)拓撲、路由組織、IP 地址、網(wǎng)絡(luò)安全設(shè)計、VLAN 劃分和設(shè)備的具體配置等設(shè)計，詳細描述所采用的設(shè)備及性能參數(shù)、網(wǎng)絡(luò)管理。 2.1網(wǎng)絡(luò)設(shè)計原則 (1) 遵循《中國公眾多媒體通信網(wǎng)技術(shù)體制》、《中國公眾多媒體通信網(wǎng)工程實施技術(shù)要求》以及其它國家相關(guān)標準和技術(shù)體制。 (2) 采用層次化設(shè)計，網(wǎng)絡(luò)結(jié)構(gòu)的不同部分有不同的功能，使網(wǎng)絡(luò)具有優(yōu)良的結(jié)構(gòu)。 (3) 優(yōu)化網(wǎng)絡(luò)和系統(tǒng)結(jié)構(gòu)，并在各個層面考慮冗余和備份，使系統(tǒng)具有較高的容錯能力和應(yīng)變能力，以保證系統(tǒng)的可靠和有效運作。 (4) 選用的技術(shù)確保開放性、可移植性、兼容性和可擴展性。 (5) 采用通用的國際標準和協(xié)議，不采用有礙網(wǎng)絡(luò)互通的廠家特有性能。 (6) 提供有效的安全保密措施，確保整個網(wǎng)絡(luò)的安全。重要網(wǎng)絡(luò)設(shè)備應(yīng)有適當?shù)娜哂鄠浞荨? (7) 盡量詳細準確，減低工程的復(fù)雜程度，使系統(tǒng)建設(shè)和改造的工作量減至最少，以保證工程的順利和有效完成。 2.2設(shè)計要求 （1）實用性：網(wǎng)絡(luò)建設(shè)從應(yīng)用實際需求出發(fā)，堅持為領(lǐng)導(dǎo)決策服務(wù)，為經(jīng)營管理服務(wù)，為生產(chǎn)建設(shè)服務(wù)。另外，如果是對現(xiàn)有網(wǎng)絡(luò)升級改造，還應(yīng)該充分考慮如何利用現(xiàn)有資源，盡量發(fā)揮設(shè)備效益。 （2）適度先進性：規(guī)劃局域網(wǎng)，不但要滿足用戶當前的需要，還應(yīng)該有一定技術(shù)前瞻性和用戶需求預(yù)見性，考慮到能夠滿足未來幾年內(nèi)用戶對網(wǎng)絡(luò)功能和帶寬的需要。采用成熟的先進技術(shù)，兼顧未來的發(fā)展趨勢，即量力而行，又適當超前，留有發(fā)展余地。 （3）經(jīng)濟性：要求價格適中，設(shè)備及耗材要求采用質(zhì)量過硬，物美價廉，投資預(yù)算不超過20萬。 （4）安全可靠性：確保網(wǎng)絡(luò)可靠運行，在網(wǎng)絡(luò)的關(guān)鍵部分應(yīng)具有容錯能力，提供公共網(wǎng)絡(luò)連接、通信鏈路、服務(wù)器等全方位的安全管理系統(tǒng)。 （5）開放性：采用國際標準通信協(xié)議、標準操作系統(tǒng)、標準網(wǎng)管軟件、采用符合標準的設(shè)備，保證整個系統(tǒng)具有開放特點，增強與異機種、異構(gòu)網(wǎng)的互聯(lián)能力。 （6）可擴展性：系統(tǒng)便于擴展，保證前期的投資的有效性與后期投資的連續(xù)性 （7）安全保密性：為了保證網(wǎng)上信息的安全和各種應(yīng)用系統(tǒng)的安全，在規(guī)劃時就要為局域網(wǎng)考慮一個周全的安全保密方案。 2.3設(shè)計目標 該企業(yè)網(wǎng)絡(luò)系統(tǒng)應(yīng)是一個以寬帶IP網(wǎng)為目標，建立數(shù)據(jù)、語音、視頻三網(wǎng)合一的一體化內(nèi)部辦公網(wǎng)絡(luò)和外部寬帶。網(wǎng)絡(luò)系統(tǒng)應(yīng)實現(xiàn)虛擬局域網(wǎng)（VLAN）的功能，以保證全網(wǎng)的良好性能及網(wǎng)絡(luò)安全性。主干網(wǎng)交換機應(yīng)具有很高的包交換速度，整個網(wǎng)絡(luò)應(yīng)具有高速的三層交換功能。主干網(wǎng)絡(luò)應(yīng)該采用成熟的、可靠的千兆以太網(wǎng)技術(shù)作為網(wǎng)絡(luò)系統(tǒng)主干。同時該網(wǎng)應(yīng)選用先進的網(wǎng)管軟件，建立完善的網(wǎng)絡(luò)管理體系；在設(shè)備方面，應(yīng)選擇有成功案例的網(wǎng)絡(luò)廠商的設(shè)備，同時為Intranet、撥號用戶和移動用戶提供接口，網(wǎng)絡(luò)還應(yīng)具有良好的擴展性。 2.3設(shè)備分析 根據(jù)對網(wǎng)絡(luò)需求的考察，根據(jù)合理性、實用性和節(jié)約費用等原則進行設(shè)備選擇： (1) 基于路由器和交換機的局部網(wǎng)間的互聯(lián)是最好的解決方案。網(wǎng)絡(luò)協(xié)議方面，以網(wǎng)際協(xié)議（IP）作為校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)的公用網(wǎng)絡(luò)協(xié)議實行標準化，使用IP作為標準傳輸協(xié)議，在以后對網(wǎng)絡(luò)進行擴充以與其它的網(wǎng)絡(luò)互連時，可以跨越多個平臺自然而然地提供互操作能力和無縫連接功能。 (2) 在主干網(wǎng)建設(shè)時，選擇3Com和Cisco系統(tǒng)產(chǎn)品，它能夠以極具競爭力的價格提供所有技術(shù)，為我們提供一個集成化、高性能、靈活、可伸縮、安全和高性能價格比的解決方案的標準。 (3) 在局部網(wǎng)建設(shè)方面，選擇使用CISCO設(shè)備和TP-LINK產(chǎn)品作為骨干網(wǎng)基礎(chǔ)設(shè)施的基礎(chǔ)。 CISCO設(shè)備和TP-LINK方案提供了可伸縮的結(jié)構(gòu)和高性能的設(shè)備，能夠高速傳輸數(shù)據(jù)，同時通過它們Secure技術(shù)保證了安全地接入Internet和一體化的網(wǎng)絡(luò)解決方案。 (4) 計算機終端設(shè)備的選型既考慮性能、價格比、設(shè)備的運行維護費用，也考慮設(shè)備的可擴充性，確保系統(tǒng)主要設(shè)備的投入在整個系統(tǒng)的生命周期內(nèi)能得到充分利用并具有強健靈活的體系結(jié)構(gòu)。同時，也考慮局部子網(wǎng)對硬件和信息流量的要求，必須能夠提供專用的高速帶寬，以處理日常數(shù)據(jù)信息和峰值操作，并能夠支持各種新技術(shù)和新增用戶。 (5) 安全性是另一個關(guān)鍵要求，要保證能夠安全地接入Internet。 2.4網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計 在用戶的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計中，我們建議采用層次化的結(jié)構(gòu)設(shè)計。 對于用戶即將建設(shè)的網(wǎng)絡(luò)系統(tǒng)來說，想要建設(shè)成為一個覆蓋范圍廣、網(wǎng)絡(luò)性能優(yōu)良、具有很強擴展能力和升級能力的網(wǎng)絡(luò)，在起初的設(shè)計中就必須采用層次化的網(wǎng)絡(luò)設(shè)計原則。采用這樣的結(jié)構(gòu)所建設(shè)的網(wǎng)絡(luò)具有良好的擴充性、管理性，因為新的子網(wǎng)模塊和新的網(wǎng)絡(luò)技術(shù)能被更容易集成到整個系統(tǒng)中，而不破壞已存在的骨干網(wǎng)。 大多數(shù)的網(wǎng)絡(luò)都可以被層次性劃分為三個邏輯服務(wù)單元：核心骨干網(wǎng)(Backbone)、匯聚網(wǎng)(Distribute)和接入網(wǎng)(Local－access)，模塊化網(wǎng)絡(luò)設(shè)計方法的目標在于把一個大型的網(wǎng)絡(luò)元素劃分成一個個互連的網(wǎng)絡(luò)層次。層次性結(jié)構(gòu)如下圖所示。 根據(jù)項目的具體需求及現(xiàn)有的光纖結(jié)構(gòu)，結(jié)合網(wǎng)絡(luò)建設(shè)的基本理論和原則，各入網(wǎng)部門的實際情況，應(yīng)用需求，資金條件和遠，近目標等各方面的要求，設(shè)計出該網(wǎng)絡(luò)為拓撲結(jié)構(gòu)為分層的集中式結(jié)構(gòu)或稱星型分級拓撲。 內(nèi)部網(wǎng)絡(luò)拓撲圖： 網(wǎng)絡(luò)邏輯拓撲結(jié)構(gòu)如圖所示。它是在基于高端路由交換機的基礎(chǔ)之上而設(shè)計的新的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。簡要說明如下： 整個網(wǎng)絡(luò)由核心層、匯聚層和接入層兩大部分組成。 核心層是由CISCO WS-C3560-48TS-S企業(yè)級核心路由交換機組成。 匯聚層由CISCO WS-C3560-24TS-S路由交換機組成。 接入層是由接入層樓層交換機CISCO WS-C2918-24TC-C組成。 主要網(wǎng)絡(luò)設(shè)備列表： 拓撲結(jié)構(gòu) 設(shè)備型號 數(shù)量（臺） 核心層路由交換機 CISCO WS-C3560-48TS-S 2 匯聚層路由交換機 CISCO WS-C3560-24TS-S 3 接入層樓層交換機 CISCO WS-C2918-24TC-C 26 以行政樓中心機房為中心，下屬部門為接入點的星型連接方式?，F(xiàn)階段出于用戶的應(yīng)用和先進性考慮，通過千兆光纖連接。 各樓層的辦公網(wǎng)是以星型的方式千兆直接連接到各匯聚機房的匯聚交換機上后，由匯聚交換機通過千兆接到核心交換機。我們可采用千兆路由交換機與各 LAN 網(wǎng)段的交換機（Switch）連接而組成星型網(wǎng)絡(luò)，實現(xiàn)千兆核心網(wǎng)絡(luò)到各樓層，百兆到桌面，滿足各種應(yīng)用的需要。 核心層交換機與服務(wù)器群的相連是以千兆以太網(wǎng)的方式。 以上拓撲結(jié)構(gòu)設(shè)計有以下特點： (1) 它充分利用網(wǎng)絡(luò)資源，把交換路由模塊分開成第二層交換和第三層路由，這樣做對網(wǎng)絡(luò)的性能大有改善。 (2) 網(wǎng)絡(luò)拓撲結(jié)構(gòu)層次清楚，易于擴充和升級（后面有升級的拓撲方案），同時體現(xiàn)了開放式的體系結(jié)構(gòu)。 (3) 由于核心交換機所承載的流量相應(yīng)減少，從另一個角度來說，也即提高了網(wǎng)絡(luò)整體的可靠性，對用戶的QoS 從網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化上得到了保證。 (4) 大大減少網(wǎng)絡(luò)瓶頸和由于鏈路、路由而導(dǎo)致的故障。 (5) 通過在網(wǎng)內(nèi)劃分 VLAN 的技術(shù)來確保網(wǎng)絡(luò)內(nèi)部的安全性。 2.5內(nèi)部網(wǎng)絡(luò)設(shè)計 2.5.1核心層交換機的設(shè)計 核心層主要功能是給下層各業(yè)務(wù)匯聚節(jié)點提供 IP 業(yè)務(wù)平面高速承載和交換通道，負責進行數(shù)據(jù)的高速轉(zhuǎn)發(fā)，同時核心層是局域網(wǎng)的骨干，是局域網(wǎng)互連的關(guān)鍵。對核心骨干網(wǎng)絡(luò)設(shè)備的部署應(yīng)為能夠提供高帶寬、大容量的核心路由交換設(shè)備，同時應(yīng)具備極高的可靠性，能夠保證24小時全天候不間斷運行，也就必須考慮設(shè)備及鏈路的冗余性、安全性，而且核心骨干設(shè)備同時還應(yīng)擁有非常好的擴展能力，以便隨著網(wǎng)絡(luò)的發(fā)展而發(fā)展。 基于對核心層的功能及作用，根據(jù)用戶的實際需求，本方案中對網(wǎng)絡(luò)系統(tǒng)中核心層由CISCO系列的企業(yè)級核心交換機WS-C3560-48TS-S組成。其主要任務(wù)是提供高性能、高安全性的核心數(shù)據(jù)交換、QoS 和為接入層提供高密度的上聯(lián)端口。為整個大樓寬帶辦公網(wǎng)提供交換和路由的核心，完成各個部分數(shù)據(jù)流的中央?yún)R集和分流。同時為數(shù)據(jù)中心的服務(wù)器提供千兆高速連接。 根據(jù)該企業(yè)的建筑分布及網(wǎng)絡(luò)規(guī)模，以行政樓的中心機房作為整個網(wǎng)絡(luò)系統(tǒng)的核心節(jié)點。核心節(jié)點由2臺同檔次的網(wǎng)絡(luò)核心設(shè)備構(gòu)成，它們互為備份且流量負載均衡。2臺網(wǎng)絡(luò)核心交換機作為整個網(wǎng)絡(luò)的核心層設(shè)備，為各個匯聚層和接入層交換機提供上聯(lián)。同時提供了各個服務(wù)器的可靠接入。 由于WS-C3560-48TS-S是路由交換機，也即同時具有第二層和第三層的交換能力，為了充分利用資源，將WWW服務(wù)器、 E－mail服務(wù)器、數(shù)據(jù)庫服務(wù)器、文件VOD服務(wù)器、認證的服務(wù)器（Radius server）以及網(wǎng)管設(shè)備等通過千兆直接連人核心交換機，以解決帶寬瓶頸，充分利用核心交換機的交換能力。 核心交換機作為信息網(wǎng)絡(luò)的核心設(shè)備，性能的優(yōu)劣直接影響到整個網(wǎng)絡(luò)運行。在設(shè)備的選型上必須考慮到有足夠的背板帶寬，包交換能力，是否支持設(shè)備的冗余，安全性，擴展性等各種性能。企業(yè)級核心交換機WS-C3560-48TS-S完全滿足上述的各項要求。 企業(yè)級核心路由交換機WS-C3560-48TS-S的性能特性及技術(shù)指標如下： ? 交換機類：企業(yè)級交換機 ? 應(yīng)用層級：三層 ? 接口介質(zhì)：10/100 BASE-T/ 100FX ? 傳輸速率：10Mbps/100Mbps ? 端口數(shù)量：48 ? 背板帶寬：32Gbps ? VLAN支持：支持 ? 網(wǎng)管功能：網(wǎng)管功能 SNMP, CLI, ? 包轉(zhuǎn)發(fā)率：13.1Mpps ? MAC地址：12k ? 網(wǎng)絡(luò)標準：IEEE 802.3, 802.3u, ? 端口結(jié)構(gòu)：非模塊化 2.5.2匯聚層交換機的設(shè)計 匯聚層主要完成的任務(wù)是對各業(yè)務(wù)接入節(jié)點的業(yè)務(wù)匯聚、管理和分發(fā)處理，是完成網(wǎng)絡(luò)流量的安全控制機制，以使核心網(wǎng)和接入訪問層環(huán)境隔離開來；同時匯聚層起著承上啟下的作用，對上連接至核心層，對下將各種寬帶數(shù)據(jù)業(yè)務(wù)分配到各個接入層的業(yè)務(wù)節(jié)點，匯聚層位于中心機房或下聯(lián)單位的分配線間，主要用于匯聚接入路由器以及接入交換機。 因此對匯聚層的交換機部署時必須考慮交換機必須具有足夠的可靠性和冗余度，防止網(wǎng)絡(luò)中部分接入層變成孤島；還必須具有高處理能力，以便完成網(wǎng)絡(luò)數(shù)據(jù)會聚、轉(zhuǎn)發(fā)處理；具有靈活、優(yōu)化的網(wǎng)絡(luò)路由處理能力，實現(xiàn)網(wǎng)絡(luò)匯聚的優(yōu)化。而且規(guī)劃匯聚層時建議匯聚層節(jié)點的數(shù)量和位置應(yīng)根據(jù)業(yè)務(wù)和光纖資源情況來選擇；匯聚層節(jié)點可采用星形連接，每個匯聚層節(jié)點保證與兩個不同的核心層節(jié)點連接。 根據(jù)匯聚層在整個網(wǎng)絡(luò)中的作用以及用戶的實際需求，本方案中匯聚層共設(shè)計了3個節(jié)點，即：行政樓、生產(chǎn)車間和運輸樓（工段辦）。 匯聚層網(wǎng)絡(luò)設(shè)備全部采用了CISCO WS-C3560-24TS-S交換機。該交換機支持各種高級路由協(xié)議，如 BGP4、RIPV1、RIPv2、VRRP、OSPF、IP 組播、IPX 路由。 匯聚路由交換機CISCO WS-C3560-24TS-S的性能特性及技術(shù)指標如下： ? 交換機類：企業(yè)級交換機 ? 應(yīng)用層級：三層 ? 接口介質(zhì)：10/100 BASE-T/ 100FX ? 傳輸速率：10Mbps/100Mbps ? 端口數(shù)量：24 ? 背板帶寬：32Gbps ? VLAN支持：支持 ? 網(wǎng)管功能：SNMP, CLI, Web, 管理 2.5.3接入層交換機的設(shè)計 接入層主要用來支撐客戶端機器對服務(wù)器的訪問，主要是指接入路由器、交換機、終端訪問用戶。它利用多種接入技術(shù)，迅速覆蓋至用戶節(jié)點，將不同地理分布的用戶快速有效地接入到信息網(wǎng)的匯聚。對上連接至匯聚層和核心層，對下進行帶寬和業(yè)務(wù)分配，實現(xiàn)用戶的接入。 根據(jù)我們所借鑒的項目設(shè)計經(jīng)驗，匯聚層節(jié)點與接入層節(jié)點可考慮采用星形連接，每個接入層節(jié)點與兩個匯聚層節(jié)點連接。當接入層采用其它結(jié)構(gòu)（如環(huán)行）連接到匯聚層時，建議提供兩條不同路由通道。 根據(jù)接入層處在網(wǎng)絡(luò)系統(tǒng)中所起的作用以及用戶的實際需求，本方案中接入層部分由CISCO公司的WS-C2918-24TC-C交換機構(gòu)成。其主要功能是為該區(qū)域下屬各部門的網(wǎng)絡(luò)用戶提供大量性價比極高的10/100 兆網(wǎng)絡(luò)接口，并與信息中心的核心交換機通過 1000 兆光纖鏈路互聯(lián)為接入的用戶提供高速上聯(lián)。 接入層樓層交換機CISCO WS-C2918-24TC-C的性能特性及技術(shù)指標情況如下： ? 交換機類：快速以太網(wǎng)交換機 ? 應(yīng)用層級：二層 ? 傳輸速率：10Mbps/100Mbps/1000M ? 端口數(shù)量：24 ? 背板帶寬：16Gbps ? VLAN支持：支持 ? 網(wǎng)管功能：Cisco IOS CLI,Web瀏 ? 包轉(zhuǎn)發(fā)率：6.5Mpps ? MAC地址：8K ? 網(wǎng)絡(luò)標準：IEEE 802.1D,IEEE 802 ? 端口結(jié)構(gòu)：非模塊化 ? 交換方式：存儲-轉(zhuǎn)發(fā) ? 產(chǎn)品內(nèi)存：64MB ? 傳輸模式：支持全雙工 ? 網(wǎng)管支持：支持 ? 模塊化插：2 2.5.4路由協(xié)議的設(shè)計 如果網(wǎng)絡(luò)中只有一個路由器或路由交換機，不需要使用路由協(xié)議；只有當網(wǎng)絡(luò)中具有多個路由器時，才有必要讓它們?nèi)ス蚕硇畔ⅰ５绻麅H有小型網(wǎng)絡(luò)，完全可以通過靜態(tài)路由手動地更新路由表?，F(xiàn)使用較多的路由協(xié)議，主要以下幾種： （1）RIP RIP（Route information protocol，即路由信息協(xié)議）是基于 D-V算法（距離向量算法）的內(nèi)部動態(tài)路由協(xié)議。RIP 協(xié)議的標準主要有 RFC1058（版本 1）和 RFC1723（版本2）。 （2）OSPF OSPF（Open Shortest Path First，即最短路徑優(yōu)先協(xié)議）是一種基于鏈路狀態(tài)的內(nèi)部動態(tài)路由協(xié)議。目前 OSPF 的主要標準是 RFC2328（版本 2）。完整的OSPF 功能包括支持廣播、NBMA、點到多點、點到點四種接口類型，以及MD5 驗證、區(qū)域劃分、區(qū)域間路由聚合、虛連接、STUB 區(qū)域等特性。 （3）IS-IS IS-IS（Intermediate System - Intermediate System，中間系統(tǒng)到中間系統(tǒng)協(xié)議）是由國際標準化組織（ISO）制訂的路由協(xié)議，屬于開放系統(tǒng)互聯(lián)協(xié)議簇。IS-IS 對應(yīng)的標準是 ISO 10589 和 RFC1195。 在 IGP 路由協(xié)議的選擇上，盡量不要采用擴展性差的（RIP）和廠家的私有路由協(xié)議（IGRP和 EIGRP），盡量采用 OSPF 或 IS-IS。 對于 OSPF 和 IS-IS 的選擇依據(jù)為：基本原理相同（基于鏈路狀態(tài)算法），OSPF 用于 IP， IS-IS 用于 ISO 的 CLNP，也支持 IP（“集成 IS-IS” ）；IS-IS 結(jié)構(gòu)嚴謹，OSPF 更加靈活，OSPF協(xié)議是基于接口的，而IS-IS 路由器只能屬于一個 Area，并且不支持 NBMA 網(wǎng)絡(luò)； IS-IS 占用網(wǎng)絡(luò)資源相對較少，支持網(wǎng)絡(luò)規(guī)模大于OSPF，在網(wǎng)絡(luò)相當龐大時能體現(xiàn)出優(yōu)勢；一個 IGP 域運行的三層交換機及路由器的數(shù)量一般不會超過200 臺，因此從實際情況來看，運行OSPF 和 IS-IS 對 IP 城域網(wǎng)/承載網(wǎng)的建設(shè)不會有差異；對于網(wǎng)絡(luò)的穩(wěn)定性、可擴充性，兩種協(xié)議都能很好地支持；在大型 ISP 上，IS-IS 與 OSPF 二者均獲得普遍應(yīng)用； 從 MPLS 草案及現(xiàn)實運行來看，如果要運行 MPLS 網(wǎng)絡(luò)的話，OSPF 經(jīng)常被選用做內(nèi)部 IGP，當然 IS-IS 也有，但是 MPLS 草案中認為在 MPLS 環(huán)境中運行 OSPF 更合適；使用 MPLS TE 的時候，采用 IS-IS 擴展的較多； 從目前很多廠商的設(shè)備來看，存在這樣一個問題，不少廠商的中低端路由器及三層交換機不支持 IS-IS，從這個角度講 OSPF 比 IS-IS 有優(yōu)勢，所有的主流路由器及三層交換機都支持OSPF。 OSPF 路由協(xié)議相應(yīng)的配置策略為： ? AS內(nèi)部節(jié)點均運行OSPFv2路由協(xié)議； ? 如果與別的IP網(wǎng)絡(luò)互通，建議配置EBGP路由協(xié)議，并且配置OSPF引入BGP路由； 為減少處理開銷和網(wǎng)絡(luò)開銷，可將網(wǎng)絡(luò)的主干部分劃分為 OSPF 主干區(qū)域（區(qū)域號為 0）， 在邊緣的支局子網(wǎng)配置成為OSPF 子區(qū)域，從而分散路由處理，減少網(wǎng)絡(luò)帶寬占用。通過配置區(qū)域，使 OSPF 可以分層次管理大型網(wǎng)絡(luò)，實現(xiàn)可擴展性。使用 OSPF 協(xié)議必須考慮到骨干區(qū)域的連通性，即使某條鏈路斷掉后能保證骨干區(qū)域不會分離；另外，還需要考慮網(wǎng)絡(luò)邊緣層設(shè)備的動蕩對于核心網(wǎng)絡(luò)的影響。 對于本次方案，根據(jù)初期階段實現(xiàn)目標：實現(xiàn)信息點最優(yōu)連通，建議采用OSPF 路由協(xié)議使路由全網(wǎng)可達。具體設(shè)計如下： 核心交換機與匯聚交換機都為三層路由交換機，相互間使用 OSPF 路由協(xié)議，并運行在 AREAR 0區(qū)域上。 核心交換機為三層交換機，與防火墻連接通過采用 IP 靜態(tài)路由的方式，防火墻通過配置缺省路由使網(wǎng)絡(luò)用戶對Internet進行訪問。 2.5.5 IP地址的設(shè)計 2.5.5.1 IP地址規(guī)劃和分配原則 （1）根據(jù)目前網(wǎng)絡(luò)結(jié)構(gòu)和以后擴展，遵循以下原則進行IP 地址分配。 u 唯一性：IP 地址必須唯一，一個 IP 地址對應(yīng)一臺數(shù)據(jù)通訊設(shè)備； u 連續(xù)性：為同一網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于規(guī)劃，同時提高路由器尋徑效率； u 可管理性：地址的分配應(yīng)該有層次性，某個局部的變動不影響網(wǎng)絡(luò)的其它部分； u 高效性：采用可變長子網(wǎng)掩碼技術(shù)，要求采用支持可變長子網(wǎng)掩碼技術(shù)的 TCP/IP 協(xié)議族； u 可匯聚性：方便路由匯總，縮減路由表條目，提高路由器處理效率。 u 可擴展性：既要考慮到 IP 地址的使用現(xiàn)狀，又要考慮到未來信息網(wǎng)絡(luò)的發(fā)展，為各單位分配合理的地址空間，在網(wǎng)絡(luò)上盡可能少地做 NAT，減少網(wǎng)絡(luò)設(shè)備 CPU 處理負擔和加快網(wǎng)絡(luò)訪問速度。 （2）業(yè)務(wù)地址的劃分可以按照兩個原則來分配： u 按照部門規(guī)劃，每個部門一個獨立的網(wǎng)段；這種方案適合業(yè)務(wù)種類單一的情況，管理方便。 u 按照業(yè)務(wù)規(guī)劃，每種業(yè)務(wù)一個網(wǎng)段，所有的地市同一業(yè)務(wù)使用同一網(wǎng)段，這種方案適合業(yè)務(wù)之間互訪的控制。 2.5.5.2 網(wǎng)絡(luò)地址分配 IP 地址規(guī)劃和分配包括以下內(nèi)容： （1）設(shè)備及互連鏈路地址規(guī)劃與分配 （2）業(yè)務(wù)地址規(guī)劃與分配 （3）服務(wù)器地址規(guī)劃與分配 根據(jù)以上 IP 地址的劃分原則，本方案建議 IP 的設(shè)計如下： A段（行政樓、門衛(wèi)）： 192.168.0.0~192.168.3.255/22 B段（生產(chǎn)車間、產(chǎn)區(qū)辦）：192.168.4.0~192.168.5.255/23 C段（運輸樓、工段辦）： 192.168.6.0~192.168.6.31/27 2.5.6 VLAN的設(shè)計 2.5.6.1 VLAN的劃分的作用及原則 VLAN（Virtual Local Area Network）是虛擬局域網(wǎng)的英文縮寫，它最簡明的描述就是可以實現(xiàn)將連接在同一個物理網(wǎng)絡(luò)上面的主機分組，使它們看起來就象連接在不同的網(wǎng)絡(luò)上一樣。我們可以通過 VLAN 為網(wǎng)絡(luò)分段，各個網(wǎng)段可以共用同一套網(wǎng)絡(luò)設(shè)備，節(jié)約了網(wǎng)絡(luò)硬件的開銷，同時在遷移中所需的工作量也大幅度降低了，從而降低了連網(wǎng)成本。 在用戶的企業(yè)局域網(wǎng)系統(tǒng)中，我們建議基于IEEE 802.1Q 標準實現(xiàn) VLAN，在 VLAN 設(shè)計中，我們使用 VLAN 達到兩個目的： 第一，不同業(yè)務(wù)部門之間的隔離和通信控制； 第二，廣播范圍抑制。 2.5.6.2 VLAN 劃分 我們建議根據(jù)各個辦公室的地理位置來劃分VLAN， 如果同一棟樓內(nèi)包含很多部門，而這些部門的職能和工作內(nèi)容又有很大的區(qū)別，我們就可以在樓內(nèi)按照部門來劃分VLAN。 另外，如果某個部門需要跨越很多建筑物，分布范圍比較廣，例如部門A 分布的很散，在很多交換機上都預(yù)留了部門 A 的信息點，我們則可以按照交換機的位置來設(shè)置 VLAN，這樣，部門A就可能對應(yīng)多個VLAN，如果部門A所對應(yīng)的VLAN之間需要通信的話，我們可以通過VLAN間的路由來實現(xiàn)。這樣做的好處是：可以減少廣播數(shù)據(jù)包對網(wǎng)絡(luò)主干的影響。因為如果將部門A 全部劃分到一個 VLAN 中，而這些 VLAN 又跨越了網(wǎng)絡(luò)主干，分布在眾多不同的交換機上，這樣如果有廣播包時，這些廣播包必然會在網(wǎng)絡(luò)的主干上傳輸，然后到達相應(yīng)的交換機上，也就占用了網(wǎng)絡(luò)主干的帶寬，容易造成其他業(yè)務(wù)的時延。 為了減少傳輸沖突，提高系統(tǒng)整體性能和網(wǎng)絡(luò)處理能力，另外，還考慮到網(wǎng)絡(luò)良好的管理性，易于維護和安全策略的實施，針對用戶網(wǎng)絡(luò)系統(tǒng)的實際情況，可以把功能（應(yīng)用）相近的設(shè)備群組劃分到同一VLAN，不同部門的設(shè)備劃分到不同VLAN 中去，這樣就能夠通過訪問控制列表技術(shù)實施安全策略。限制未授權(quán)的用戶訪問重要的服務(wù)器和數(shù)據(jù)庫。 VLAN劃分舉例： VLAN 用途 命名規(guī)范表 Vlan10 財務(wù)部 FINANCIAL Vlan11 市場銷售部 MARKET Vlan12 管理部 MANAGING …… …… …… 2.5.6.3 VLAN 之間安全控制 在用戶網(wǎng)絡(luò)系統(tǒng)中，由于在中心使用了三層核心交換機，因此所有的VLAN 之間的訪問都需要通過三層核心交換機進行，因此可以通過ACL（訪問控制列表）控制VLAN之間的流量，這樣就可以允許高優(yōu)先級的VLAN段訪問低優(yōu)先級的VLAN段，而低優(yōu)先級的VLAN 段不能訪問或有限的訪問高優(yōu)先級 VLAN段。 2.5.7網(wǎng)管系統(tǒng)的設(shè)計 網(wǎng)絡(luò)管理系統(tǒng)時對整個網(wǎng)絡(luò)進行監(jiān)視、控制和維護管理，以提高網(wǎng)絡(luò)的有效性、利用率、安全性和可靠性。網(wǎng)絡(luò)管理系統(tǒng)由網(wǎng)管中心、網(wǎng)管單元、管理信息庫和網(wǎng)絡(luò)管理協(xié)議四部分組成。 網(wǎng)管中心是網(wǎng)管人員和管理信息系統(tǒng)間的接口，它將網(wǎng)管人員的命令轉(zhuǎn)換為對實際網(wǎng)元的監(jiān)視和控制。網(wǎng)管單元在每個節(jié)點執(zhí)行各項網(wǎng)絡(luò)管理任務(wù)，采集網(wǎng)絡(luò)資源信息，存儲本地相關(guān)數(shù)據(jù)并響應(yīng)網(wǎng)管人員命令。管理信息庫(MIB)存放各種網(wǎng)絡(luò)管理信息的特征參數(shù)和邏輯結(jié)構(gòu)。 網(wǎng)絡(luò)管理協(xié)議按規(guī)約執(zhí)行網(wǎng)管人員與網(wǎng)管單元和管理信息庫之間的通信。 該企業(yè)網(wǎng)絡(luò)系統(tǒng)設(shè)一個網(wǎng)管中心，該中心設(shè)在行政樓機房，負責對全網(wǎng)進行管理。 2.6外部網(wǎng)絡(luò)設(shè)計 該企業(yè)網(wǎng)絡(luò)用戶為對Internet進行訪問，而且為了保證其安全性，要求能夠訪問Internet的用戶與不能訪問Internet的用戶進行完全的物理隔離，則需要另建立一套網(wǎng)絡(luò)系統(tǒng)(簡稱為外網(wǎng))。網(wǎng)絡(luò)用戶(即外網(wǎng)用戶) 通過外網(wǎng)布線系統(tǒng)接至各樓層的交換機，匯總到外網(wǎng)的主交換機后，接入到防火墻上，防火墻通過 IP 地址轉(zhuǎn)換功能（NAT），將網(wǎng)絡(luò)用戶(即外網(wǎng)用戶)的私有 IP 地址轉(zhuǎn)換成Internet公網(wǎng) IP 地址，通過光電轉(zhuǎn)換器與電信相連的方式訪問Internet，以使該企業(yè)網(wǎng)絡(luò)內(nèi)外網(wǎng)互相獨立，達到完全的物理隔離的目的。 與外部網(wǎng)絡(luò)互連的設(shè)備是帶防火墻的路由器，根據(jù)需要選擇企業(yè)級路由器D-Link DI-7500的性能特性及技術(shù)指標情況如下： ? 端口結(jié)構(gòu)：非模塊化 ? 廣域網(wǎng)接：2個 ? 局域網(wǎng)接：4個 ? 傳輸速率：10/100/1000Mbps ? 網(wǎng)絡(luò)管理：GUI/WEB管理 ? 用戶數(shù)量：800臺 ? 防火墻：內(nèi)置防火墻 ? Qos支持：支持 ? VPN支持：支持 ? 處理器：64位全千兆網(wǎng)絡(luò)芯片 ? 網(wǎng)絡(luò)安全：支持網(wǎng)站過濾 上網(wǎng)限制 ? 狀態(tài)指示：Link/Act，速度，電源， ? 電源功率：最大25W ? 環(huán)境標準：工作溫度：0-40℃ 工作 ? 其它性能：ADSL、光纖、以太網(wǎng)、CA 2.7綜合布線 局域網(wǎng)布線設(shè)計的依據(jù)是網(wǎng)絡(luò)的分布架構(gòu)。網(wǎng)絡(luò)布線必須有較長遠的考慮。對于大型局域網(wǎng)，連接公司院內(nèi)各個建筑物的網(wǎng)絡(luò)通常選擇光纖，統(tǒng)一規(guī)劃，冗余設(shè)計，使用線纜保護管道并且埋入地下。 建筑物內(nèi)又分為連接各個樓層的垂直布線子系統(tǒng)和連接同一樓層各個房間入網(wǎng)計算機的水平布線子系統(tǒng)。 如果設(shè)有信息中心網(wǎng)絡(luò)機房，還應(yīng)該考慮機房的特殊布線需求。在局域網(wǎng)布線時，應(yīng)該充分考慮到將來網(wǎng)絡(luò)擴展可能需要的最大接入節(jié)點數(shù)量、接入位置的分布和用戶使用的方便性。若整座建筑物接入局域網(wǎng)的節(jié)點計算機不多，可以采用從一個接入層節(jié)點直接連接所有入網(wǎng)節(jié)點的設(shè)計。若建筑物的每個樓層都分布有大量接入節(jié)點，就需要設(shè)計垂直布線子系統(tǒng)和水平布線子系統(tǒng)，并且在每層樓設(shè)置專門的配線間，安置該樓層的接入層節(jié)點網(wǎng)絡(luò)設(shè)備和配線裝置。 水平布線子系統(tǒng)通常采用非屏蔽雙絞線或屏蔽雙絞線，如何選擇線纜類型和帶寬根據(jù)應(yīng)用需求決定。連接各個樓層交換機的垂直布線子系統(tǒng)通常采用光纖。 企業(yè)綜合布線系統(tǒng)由工作區(qū)子系統(tǒng)、水平布線子系統(tǒng)、垂直干線子系統(tǒng)、管理子系統(tǒng)和建筑群子系統(tǒng)組成。它的設(shè)計原則如下： （1）開放性 嚴格按照IEEE802、EIA/TIA 568等工業(yè)及建筑布線標準和中國建筑電氣設(shè)計/工業(yè)企業(yè)通信設(shè)計規(guī)范。 （2）實用性 適應(yīng)企業(yè)現(xiàn)在和將來發(fā)展的需要，具備數(shù)據(jù)通信、語音通信和圖像通信的功能。 （3）靈活性 布線系統(tǒng)中任一信息點能夠很方便地與多種類型設(shè)備（如電話、計算機、檢測器件以及傳真等）進行連接。 （4）可擴展性 布線系統(tǒng)具有較強的可擴展性，在將來需要時可以很容易地將所擴充的設(shè)備連接到系統(tǒng)中來，實現(xiàn)各種網(wǎng)絡(luò)服務(wù)與應(yīng)用。 （5）經(jīng)濟性 綜合布線系統(tǒng)是一種既具有良好的初期投資特性，即在今后若干年中不增加新的投資情況下仍能保持建筑物的先進性，又是具有極高的性能價格比的高科技產(chǎn)品。通常情況下，綜合布線系統(tǒng)的使用壽命為15年。 （6）可靠性 綜合布線系統(tǒng)采用高品質(zhì)的材料和組合壓接的方式構(gòu)成一套高標準的信息通道。每條通道都采用專用儀器校核線路衰減、串音、信噪比，以保證其電氣性能不會造成交叉干擾。所以，北方公司應(yīng)采用綜合布線系統(tǒng)，才能更好的發(fā)揮千兆局域網(wǎng)的威力。 第三章 網(wǎng)絡(luò)系統(tǒng)安全性設(shè)計分析 網(wǎng)絡(luò)安全是一種策略及管理，而不僅僅是某一種產(chǎn)品，是一個系統(tǒng)工程，它包括了物理層、網(wǎng)絡(luò)層、應(yīng)用層等一系列安全措施和策略。從外在上安全包括五個基本要素：機密性、完整性、可用性、可控性與可審查性。 u 機密性：確保信息不暴露給未授權(quán)的實體或進程。 u 完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。 u 可用性：得到授權(quán)的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。 u 可控性：可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。 u 可審查性：對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。 3.1網(wǎng)絡(luò)安全設(shè)計 通常認為，安全是三分技術(shù)，七分管理，因此我們建議該企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全保護措施： 3.1.1人員角色劃分 要對用戶網(wǎng)絡(luò)進行有效的安全管理，必須對系統(tǒng)的使用人員和管理人員的不同角色進行清晰的劃分，不同的角色擁有不同的權(quán)限和職責，互相制約，共同保障整個系統(tǒng)的安全性。 對于用戶網(wǎng)絡(luò)系統(tǒng)涉及的各類人員，我們建議劃分如下角色： (1) 決策專家。 (2) 安全管理員。 (3) 審計員。 (4) 系統(tǒng)管理員。 3.1.2路由認證和保護 路由認證（Routing Authentication），就是運行于不同設(shè)備的相同的動態(tài)路由協(xié)議之間，對相互傳遞的路由刷新報文進行的確認，以便使得設(shè)備能夠接受真正而安全的路由刷新報文。 任何運行一個不支持路由認證的路由協(xié)議，都存在著巨大的安全隱患。某些惡意的攻擊者可以利用這些漏洞，向網(wǎng)絡(luò)發(fā)送不正確或者不一致的路由刷新，由于設(shè)備無法證實這些刷新，而使得設(shè)備被欺騙，最終導(dǎo)致網(wǎng)絡(luò)的癱瘓。 目前，多數(shù)路由協(xié)議支持路由認證，并且實現(xiàn)的方式大體相同。認證過程有基于明文的，也有基于更安全的MD5 校驗。 MD5 認證與明文認證的過程類似，只不過密鑰不在網(wǎng)絡(luò)上以明文方式直接傳送。路由器將使用 MD5 算法產(chǎn)生一個密鑰的“消息摘要”。這個消息摘要將代替密鑰本身發(fā)送出去。這樣可以保證沒有人可以在密鑰傳輸?shù)倪^程中竊取到密鑰信息。使用MD5 認證算法的路由協(xié)議有： OSPF RIP 版本 2 BGP4 EIGRP 3.1.3關(guān)閉IP功能服務(wù) 有些 IP 特性對局域網(wǎng)來說是有用的，但對廣域網(wǎng)或城域網(wǎng)節(jié)點的設(shè)備是不適用的。如果這些特性被惡意攻擊者利用，會增加網(wǎng)絡(luò)的危險，因此，網(wǎng)絡(luò)設(shè)備應(yīng)具備關(guān)閉這些IP 功能的能力。 因為 IP 源路由選項忽略了報文傳輸路徑中的各個設(shè)備的中間轉(zhuǎn)發(fā)過程，而不管轉(zhuǎn)發(fā)接口的工作狀態(tài)，可能被惡意攻擊者利用，刺探網(wǎng)絡(luò)結(jié)構(gòu)。 因此，設(shè)備應(yīng)能關(guān)閉 IP 源路由選項功能。 設(shè)備應(yīng)能關(guān)閉ICMP 重定向報文的轉(zhuǎn)發(fā)。 設(shè)備應(yīng)能關(guān)閉定向廣播報文的轉(zhuǎn)發(fā)。缺省應(yīng)為關(guān)閉狀態(tài)。 3.1.4用戶的安全防護 用戶驗證是實現(xiàn)用戶安全防護的基礎(chǔ)功能。只有對用戶進行識別和區(qū)分，才能有效的對其進行保護。經(jīng)過驗證的用戶可以享受服務(wù)，而未經(jīng)驗證的用戶則被拒絕。用戶驗證一般都與用戶流量參數(shù)的配置結(jié)合在一起。用戶的流量合同從業(yè)務(wù)服務(wù)器下載到業(yè)務(wù)接入節(jié)點，作為對用戶提供服務(wù)的依據(jù)。用戶驗證的手段包括：PPP 驗證、WEB 驗證和端口驗證、以及 802.1x 的驗證。 3.2網(wǎng)絡(luò)的VLAN的安全管理設(shè)計分析 網(wǎng)絡(luò)解決方案中的交換機可以劃分基于端口的VLAN，ACL的安全特性允許對所有訪問進行鑒權(quán)，不只是對交換機的管理和配置訪問，還包括通過這些交換機對基礎(chǔ)設(shè)施的訪問。這個軟件特性使網(wǎng)絡(luò)訪問僅限于授權(quán)的和委托的用戶，同時它還全程跟蹤網(wǎng)絡(luò)連接。 核心及匯聚交換機通過數(shù)據(jù)包頭中的數(shù)據(jù)鏈路層(MAC)、網(wǎng)絡(luò)層(IP、IPX)和傳輸層(TCP、UDP、RTP、Sock)的信息進行訪問控制，可以充分的保證各個 VLAN之間的安全性，而且可以防止不必要和不符合訪問策略的網(wǎng)絡(luò)訪問。對整個網(wǎng)絡(luò)運作性能、故障、問題進行分析，定時產(chǎn)生報告。訪問控制從第二層端口—MAC，第三層網(wǎng)段—IP，到第四層應(yīng)用級別，均可控制。支持 RADIUS、TACACS+驗證。 3.3 Internet安全訪問設(shè)計分析 為了保證用戶上聯(lián)Internet的系統(tǒng)安全，防止黑客及其他的非法侵入，本方案在Internet的出口放置防火墻。通過采用防火墻的安全技術(shù)屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，同時利用訪問控制列表對數(shù)據(jù)包進行過濾，根據(jù)需要封閉存在安全漏洞所用的協(xié)議和端口，保證內(nèi)部網(wǎng)絡(luò)的安全。  第四章 項目管理 4.1項目管理目標 良好的項目管理是系統(tǒng)集成企業(yè)長期成功的根本保證，項目管理目標為：有效的分配人力、物力資源，使得項目的建設(shè)能按工程進度計劃高質(zhì)量、高效率、低成本地完成。 4.2項目組織機構(gòu) 為確保該企業(yè)網(wǎng)絡(luò)系統(tǒng)項目的順利進行，在規(guī)定時間內(nèi)完成交貨、安裝和調(diào)試，我方將成立專門的項目組織機構(gòu)并對項目組織機構(gòu)成員的職責進行了分工。 大致分工為：項目經(jīng)理、技術(shù)負責人、項目管理員、工作組。 4.3項目進度計劃 4.3.1項目總體進度計劃 4.3.2項目進度Gantt圖（甘特圖） 4.3.3項目進度詳細說明 4.3.3.1需求分析 需求分析是開發(fā)過程中最關(guān)鍵的階段，需要克服需求收集的困難，采用多種方式與用戶交流，才能挖掘出網(wǎng)絡(luò)工程的全面需求。需求分析有助于設(shè)計者更好地理解網(wǎng)絡(luò)應(yīng)該具有什么樣的功能和性能，最終設(shè)計出符合用戶需求的網(wǎng)絡(luò)。 收集需求的范圍如下： (1) 業(yè)務(wù)需求。 (2) 用戶需求。 (3) 應(yīng)用需求。 (4) 計算機平臺需求。 (5) 網(wǎng)絡(luò)通信需求。 需求分析的輸出是產(chǎn)生一份需求說明書，也就是需求規(guī)范。在完成需求說明書之后，管理者與網(wǎng)絡(luò)設(shè)計者應(yīng)該達成共識，并在文件上簽字。 在形成需求說明書的同時，網(wǎng)絡(luò)設(shè)計人員還必須與網(wǎng)絡(luò)管理部門就需求的變化建立起需求變更機制，明確允許的變更范圍。這些內(nèi)容正式通過后，開發(fā)過程就可以進入下一個階段。 4.3.3.2現(xiàn)有網(wǎng)絡(luò)系統(tǒng)的分析 在這一階段，應(yīng)該給出一份正式的通信規(guī)范說明文檔，作為下一階段的輸入。網(wǎng)絡(luò)分析階段應(yīng)該提供的通信規(guī)范說明文檔包含下列內(nèi)容： (1) 現(xiàn)有網(wǎng)絡(luò)的拓撲結(jié)構(gòu)圖。 (2) 現(xiàn)有網(wǎng)絡(luò)的容量，以及新網(wǎng)絡(luò)所需的通信量和通信模式。 (3) 詳細的統(tǒng)計數(shù)據(jù)，直接反應(yīng)現(xiàn)有網(wǎng)絡(luò)性能的測試量。 (4) Internet接口和廣域網(wǎng)提供的服務(wù)質(zhì)量報告。 (5) 限制因素列表，例如使用線纜和設(shè)備清單等。 4.3.3.3確定網(wǎng)絡(luò)邏輯結(jié)構(gòu) 網(wǎng)絡(luò)邏輯結(jié)構(gòu)設(shè)計是體現(xiàn)網(wǎng)絡(luò)設(shè)計核心思想的關(guān)鍵階段，在這一階段根據(jù)需求規(guī)范和通信規(guī)范選擇一種比較適宜的網(wǎng)絡(luò)邏輯結(jié)構(gòu)，并實施后續(xù)的資源分配規(guī)劃、安全規(guī)劃等內(nèi)容。 該階段最后得到一份邏輯設(shè)計報告，輸出的內(nèi)容包括以下幾點： (1) 網(wǎng)絡(luò)邏輯設(shè)計圖。 (2) IP地址分配方案。 (3) 安全管理方案。 (4) 具體的軟硬件、廣域網(wǎng)連接設(shè)備和基本的網(wǎng)絡(luò)服務(wù)。 (5) 招聘和培訓(xùn)網(wǎng)絡(luò)員工的具體說明。 (6) 對軟硬件費用、服務(wù)提供費用以及員工和培訓(xùn)費用的初步估計。 4.3.3.4確定網(wǎng)絡(luò)物理結(jié)構(gòu) 物理網(wǎng)絡(luò)設(shè)計是邏輯網(wǎng)絡(luò)設(shè)計的具體體現(xiàn)，通過對設(shè)備的具體物理分布、運行環(huán)境等的確定來確保網(wǎng)絡(luò)的物理連接符合邏輯設(shè)計的要求。 網(wǎng)絡(luò)物理結(jié)構(gòu)文檔必須盡可能詳細、清晰，輸出內(nèi)容如下： (1) 網(wǎng)絡(luò)物理結(jié)構(gòu)圖和布線方案。 (2) 設(shè)備和部件的詳細列表清單。 (3) 軟硬件和安裝費用的估計。 (4) 安裝日程表，詳細說明服務(wù)的時間以及期限。 (5) 安裝后的測試計劃。 (6) 用戶的培訓(xùn)計劃。 4.3.3.5安裝和維護 （一）安裝。安裝階段應(yīng)該產(chǎn)生的輸出： ①邏輯網(wǎng)絡(luò)結(jié)構(gòu)圖和物理網(wǎng)絡(luò)結(jié)構(gòu)部署圖。 ②符合規(guī)范的設(shè)備連接圖和布線圖。 ③運營維護記錄和文檔。 （二）維護。網(wǎng)絡(luò)投入運行后，需要大量的故障檢測和故障恢復(fù)，以及網(wǎng)絡(luò)升級和性能優(yōu)化等維護工作。 第五章 工程預(yù)算 5.1項目總體預(yù)算 【項目報價列表】（金額單位：元） ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 序號名稱成本金額報價金額本項毛利利潤比率 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 1網(wǎng)絡(luò)設(shè)備718,774.00915993.36197,219.3627.44% ──────────────────────────────────────── 2服務(wù)器 334,253.00378718.4544,465.4513.3% ──────────────────────────────────────── 3安全系統(tǒng)77,200.0090555.6013,355.6017.3% ──────────────────────────────────────── 4系統(tǒng)軟件31,700.0041923.2510,223.2532.25% ──────────────────────────────────────── 5機房建設(shè)71,500.0089726.4018,226.4025.49% ──────────────────────────────────────── 6綜合布線99,039.00113933.8514,894.8515.04% ──────────────────────────────────────── 7光纖設(shè)備344,576.00395066.0050,490.0014.65% ──────────────────────────────────────── 8培訓(xùn) 36,600.0049410.0012,810.0035.% ──────────────────────────────────────── 9其它費用.000.00% ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 設(shè)備報價1,713,642.002,075,326.91361,684.9117.43% ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 【項目報價統(tǒng)計】 ━━━━━━━━━━━━━━━━━━━━━━━━━━ 標號收費說明計算公式計算值 ━━━━━━━━━━━━━━━━━━━━━━━━━━ A設(shè)備報價2,075,326.91 ────────────────────────────────────── C稅金 A*0.05103,766.35 ━━━━━━━━━━━━━━━━━━━━━━━━━━━ 合計 2,179,093.26 ━━━━━━━━━━━━━━━━━━━━━━━━━━━ 最終合計 2,179,093.00 ━━━━━━━━━━━━━━━━━━━━━━━━━━━ 【項目報價分析】 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 成本部份A1,713,642.00 ──────────────────────────────────────── 報價部份B2,179,093.00 ──────────────────────────────────────── 稅前利潤C C=B-A465,451.00 ──────────────────────────────────────── 稅金 D D=(BX0.%).00 ──────────────────────────────────────── 稅后利潤 E E=C-D465,451.00 ──────────────────────────────────────── 項目利潤率F F=(E/B)X100%21.36% ━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 5.2網(wǎng)絡(luò)設(shè)備 序號 名稱 品牌 型號規(guī)格 數(shù)量 單位 成本單價(元) 成本合價(元) ▲ 網(wǎng)絡(luò)中心 1 WS-C6509-1300AC CISCO Catalyst 6509 Chassis w/ 1300W AC Power Supply 1 臺 ￥71,349.00 ￥71,349.00 2 WS-CAC-1300W/2 CISCO Catalyst 6000 Second 1300W AC Power Supply 1 個 ￥20,376.00 ￥20,376.00 3 WS-X6K-S1A-MSFC2 CISCO Catalyst 6000 Supervisor Engine1-A, 2GE, plus MSFC-2 and PFC 1 套 ￥152,976.00 ￥152,976.00 4 WS-X6416-GBIC CISCO 16端口千兆以太網(wǎng)模塊 1 塊 ￥101,976.00 ￥101,976.00 5 WS-X6324-100FX-MM CISCO Catalyst 6000 24-port 100FX, Enh QoS, MT-RJ, MMF 1 塊 ￥76,476.00 ￥76,476.00 6 WS-C3524-XL-EN CISCO Catalyst 3524 XL Enterprise Edition 1 臺 ￥13,479.00 ￥13,479.00 7 WS-G5484 CISCO 1000BASELX/LH GBIC 10 個 ￥2,200.00 ￥22,000.00 8 WS-G5482 CISCO 1000BASE-T GBIC 2 個 ￥1,800.00 ￥3,600.00 ▲ 網(wǎng)管軟件 9 網(wǎng)管軟件 CWW-6.0 CISCO CiscoWorks for Windows 6.0 NT/98/2000 1 套 ￥16,966.00 ￥16,966.00 ▲