市政府大楼网络系统规划设计

信息科学与技术学院<网络工程与技术>课程大作业报告2009—2010学年第二学期专业：班级：题目：市政府大楼网络系统规划设计 姓名学号任务划分 组长：学号： 组员：学号： 任务1 任务2 完成日期：二○一○年6月25日目录41需求分析41.1网络业务需求41.1.1业务状况描述41.1.2客户组织结构图61.1.3项目的商业/业务目标61.1.4项目的网络建设目标61.1.5项目的范围定义71.1.6项目的约束条件81.2用户需求81.3应用需求91.4硬件需求111.5网络需求111.5.1网络性能/规格需求111.5.2网络管理需求121.5.3网络安全需求121.5.4网络地理位置分布131.6网络应用概述131.7应用需求规格说明141.8主机需求规格说明142技术 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 选型分析142.1网络总体设计目标152.2备选技术方案的评价准则152.3各种备选技术方案选型分析152.3.1宽带网骨干层技术162.3.2骨干技术性能对比分析162.4技术方案选型结论162.4.1技术方案选型依据172.4.2方案选型结论183互联机制决策183.1互联层次193.2互联线路冗余设计204网络拓扑设计204.1网络拓扑图214.2模拟配置图224.3路由策略225地址规划及分配方案236网络管理设计236.1运用SNMP管理技术236.2SNMP风险237网络安全设计237.1采用ZoneAlarmPro防火墙247.2采用硬件防火墙248物理网络建设方案259设备产品选型分析259.1网络实现：259.1.1系统需求259.1.2主干网259.1.3各子网设计259.1.4远程服务259.1.5外连方式259.2网络设备选择259.2.1.主干设备：259.2.2交换机:2610存储备份/灾难恢复/冗余设计方案2610.1存储备份方案2710.2灾难恢复计划2810.3冗余设计方案29附录A参考文献1需求分析根据市电子政务建设总体规划“三网一库”基本架构的要求，以及建筑使用功能、建筑层数以及相邻的关系，网络系统建设需求如下：　　（1）网络系统构成：基于三网之间要有较高的安全性、独立性和可靠性，公众信息网（外网）与市政府内部办公网（内网）和政务专网必须物理隔离，为二个独立的网络系统，内网和专网则采用逻辑隔离。　　（2）市政务专网建设目标是作为省政务网的横向接入网，实现省政务信息网的延伸，实现上至国办、省政府，下至各县（市）政府的互联互通。　　（3）网络拓扑及体系结构：无论是市政府内部办公网、政务专网还是外网，均为星型网络拓扑结构；内、外网为核心层、接入层二级交换体系，专网为汇聚层、接入层二级交换体系。　　（4）计算机主干网络采用千兆以太网组网技术，核心层交换机采用千兆以太网交换机，网络主干应支持第三层交换和VLAN划分。　　（5）为了保证网络核心的高可靠性和高带宽，内网的核心层交换机采用双机热备份和端口聚合。　　（6）接入层支干采用10/100Mbps自适应交换以太网，信息点采用10/100Mbps端口到桌面。1.1网络业务需求1.1.1业务状况描述本项目的甲方（客户单位）为各个部门，其目前的业务状况见下表：表1－1业务状况描述表 内容 状况描述 从事行业 行政部门，各部门职责不同，如：财政部，党委，民政部等； 市场定位 面向内部的网络系统，对外有一定的保密性，只有个别部门对外开放，且部门之间也由一定的保密性； 服务 各司其职，部门之间互不干涉； 竞争 无 商业外部关系 有对外公开的一部分信息；1.1.2客户组织结构图本项目客户的组织机构图见下图：图1－1客户组织机构图1.1.3项目的商业/业务目标经用户调查及需求分析，客户开展本项目的商业/业务目标如下：表1－2客户商业/业务目标清单 目标 确认 加强对分支机构或部属的调控能力 是 缩短事件处理周期，提高公务员生产力 是 转变为国际网络产业模式 是 使落后的技术现代化 是 降低电信及网络成本，包括语音、数据、视频等独立网络有关的开销 是 将数据提供给所有公务员及所属部门，以使其做出更好业务决定 是 提高关键任务应用程序和数据的安全性与可靠性 是 提供新型的网络服务，实现即时性和稳定性及保密性 是1.1.4项目的网络建设目标经过与用户的深入沟通和深入的需求分析，客户开展本项目的网络建设目标如下：表1－3客户网络建设目标清单 目标 具体要求说明 提高网络运行的稳定性 线路和设备要有适当形式的备份，主干线路中断后，备份线路应能够自动接替工作，故障设备能被及时替换，以不影响业务正常运行为根本原则。 提高网络带宽 对现有业务和将要实行的新业务进行统一考虑。要求带宽在比较大的范围内可升级，以便满足不断出现的新要求。 提高网络的可扩展性 在不变动网络基本结构和主要设备的情况下，应可自由的增加或减少网点数量，语音图像等新的应用也应能平滑的融入到现有网络中运行。 合理的利用已有投资 对网络设备、网络技术，主干线路，备份方案等精心选型，并有效利用已有资源，在满足网络建设要求的前提下，力求以最小投资赢得最大回报。 降低成本 准备最精简高效的设计规划，为客户降低成本。1.1.5项目的范围定义本设计涉及到整个办公大楼的各个部门及各个房间的各台计算机，整体结构十分复杂，具体应实现整个局域网的规划，使各个部门能够在其局域网中实现网络互联，并且各个部门都有其一定的保密性，其他部门不能任意进入该部门。规划布线，尽量使其精简并且能够尽量少的占用办公空间。1.1.6项目的约束条件1、政策约束由于是政府部门，政治敏感度高，要求保密措施恰当，针对相关的安全产品必须查看其是否得到相应的许可证，如：1）密码产品满足国家密码管理委员会的要求；2）安全产品获得国家公安部颁发的销售许可证；3）安全产品获得中国信息安全产品测评认证中心的测评认证；4）安全产品获得总参谋部颁发的国防通信网设备器材进网许可证；5）符合国家保密局有关国际联网管理规定以及涉密网审批管理规定；2、预算约束其次是资金约束，竞争对手多，所以要拿出好的规划能够使客户满意，尽量的减少资金的投入。客户组织机构开展本项目的财务预算约束条件如下：表1－5客户预算约束清单 预算项目 设备采购 购买软件 维护测试 外包费用 培训费用 系统设计 布线安装 信息费用 不可预见费 预算金额 250 100 10 10 10 30 30 10 50 预算总额 500 说明备注 单位：万元3、时间约束客户组织机构开展本项目的时间约束条件如下：表1－6客户时间约束清单 任务/阶段 开始时间 结束日期 备注 可行性研究 6-1 6-10 10天 需求分析 6-11 6-20 10天 系统设计 6-20 7-10 20天 软件开发 7-11 7-30 硬件采购安装 8-1 8-10 10天 系统集成测试 8-11 8-20 10天 试运行维护 8-21 9-19 30天 备注：红色日期为项目预定里程碑1.2用户需求经用户调查及需求分析，本网络工程项目应满足客户组织机构中最终用户的下列服务需求：表1－7最终用户需求概况表 用户需求 当前服务现状 用户需求具体描述&说明 及时性 及时性得不到满足，不能支持视频会议 网络畅通，能够即时的现实所需要的信息 交互性 保密性不是很强，屏蔽措施不够好 具有强保密性，权限严格，责任到人 可靠性 网络安全设计不够稳定 具有网络安全设计 服务质量 服务质量能满足一般要求 快速，精简，投资少，效率高 安全性 安全级别达不到国家的相关要求 安全级别超高，能阻挡一定的攻击，稳定性强 可负担性 不能满足用户需求 能够支持市政府需求的最大量 用户数目 不能满足用户需求 11个部门，88个科室，每科室按5人算 用户位置 在同一幢大楼 同一幢大楼中 用户增长规模 增长规模很小 增长小，可以忽略1.3应用需求经用户调查及需求分析，本网络工程项目目标网络将开展的网络应用应满足客户组织机构的下列应用服务需求：表1－8网络应用需求概况表 应用程序名称 应用类型 物理位置 是否新应用 重要性 平均用户数 使用频率 平均交易规模 峰值持续时间 平均会话长度 是否实时 应用位置 数据位置 AppA：SNMP 网络管理软件 控制中心 汇聚层 是 极高 400~500 高 超大 8h 是 AppB：Domino邮件服务器 邮件收发，web访问 各pc机 应用层 是 高 400~500 高 超大 8h 是 AppC：FrontPage、Dreamweaver、Photoshop等 网页制作和图形设计工具 Pc机 应用层 是 高 300 中 中 3h 是 AppD：VFP、Delphi 档案管理，人事管理 服务器 应用层 是 极高 20 低 低 0h 是 AppE：ZoneAlarmPro 网络防火墙软件 全部 网络层 是 极高 400~500 高 超大 8h 是上述应用需求的优先级别如下：表1－9网络应用需求优先级别表 应用 优先级别&说明 AppA：ZoneAlarmPro 最高，保障网络安全 AppB：SMMP 其次，保证网络管理能切实有效 AppC：Domino邮件服务器 中，能满足邮件收发需求 AppD：FrontPage、Dreamweaver、Photoshop等 低，能满足一般用户需求即可1.4硬件需求经用户调查及需求分析，本网络工程项目目标网络所需要的各种物理硬件设备资源如下：1、主机和附属设备的需求概况表1－10主机及附属设备需求概况表 主机名 主机类型 主机上的应用程序 主机位置 速率 系统容量 冗余性 是否需要采购 操作系统 网卡类型 系统安全性要求 维护要求 台式机 个人pc office软件（正版） 办公桌上 10/100M自适应 500G硬盘 不需要冗余 是 XP 独立 正版杀毒软件 除公务员自己维护，还要配备专门维护人员 服务器 服务器 各部门主控室 1000M 点阵式硬盘 双机热备份 是 Linux 独立 正版杀毒软件 专门维护人员 路由器 思科路由器 配线间 1000M 是 专门维护人员 交换机 思科三层、二层、底层交换机 配线间 1000M（主干）10/100M自适应（分支） 核心交换机冗余 是 专门维护人员 网络硬件防火墙 CISCOASA5510-BUN-K9 配线间 不需要冗余 是 专门人员维护3、机房特殊设备见表1－11：表1－11机房特殊设备需求概况表 设备 确认 无人值守系统 单元 初级会计实务单元训练题天津单元检测卷六年级下册数学单元教学设计框架单元教学设计的基本步骤主题单元教学设计 控制器 2台 动力源交直流监控系统 2台 漏水传感器 20台 烟感探测器 20台 温感探测器 20台 温度传感器 20台 湿度传感器 20台 门禁控制设备 20台 电视监控：快球摄像机， 50台 防盗报警装置 10台1.5网络需求1.5.1网络性能/规格需求经用户调查及深入的需求分析，本网络工程项目目标网络在性能、规格方面的需求如下：1）设备选型符合国家相关政策的规定；2）对于涉密部分要采用物理屏蔽，保证涉密设备的安全性；3）网络安全是首要考虑的因素；4）网络时延要尽量小；5）误码率要足够小；6）丢帧率要控制在一个很小的范围，保证文件传输的完整性；7）网络故障要经可能少发生，发生后要求能尽快从故障中恢复；8）对数据要有备份功能，以保证在发生事故后能保证文件的完整性；1.5.2网络管理需求经用户调查及深入的需求分析，本网络工程项目目标网络的网络管理需求如下：表1－12目标网络管理需求概况表 需求 说明 事件监控要求 监控外来用户的介入，主动防御，身份识别，发出预警。 网络配置要求 能够满足基本的办公需求，网速及系统运行不间歇 网络性能监视要求 当网络接入为最大时，测试系统性能及网络速度 错误管理机制 有专门维护人员来进行错误排除和系统修复等维护工作 网络管理协议要求 对网站及公开信息有专门的授权1.5.3网络安全需求经用户调查及深入的需求分析，本网络工程项目目标网络的网络安全需求如下：表1－13目标网络安全需求概况表 内容 需求说明 安全要求类型 严密的保护 Internet安全性 极高，外来访问者不能进入，黑客攻击能够主动防御 数据完整性/可靠性要求 极高，需要多种身份验证信息1.5.4网络地理位置分布经用户调查及深入的需求分析，本网络工程项目目标网络的网络地理位置分布结构图图1－2网络地址位置分布结构图1.6网络应用概述由1.3节的应用需求分析，本项目欲建设的目标网络，将承载的应用程序所产生的网络流量定义如下：AppA：视频会议：会议室通过此程序，参加远程会议；AppB：网络管理：管理员通过它管理该网络；AppC：网络通话：各科室工作人员通过它与其他部门交流；AppD：网络监控：监控网络异常与否；对上述应用程序的类型、物理位置（应用程序安装位置、后台数据位置）、是否是新应用、重要性、平均用户数、使用频率、平均交易规模、峰值持续时间、平均会话长度、是否是实时应用、应用的优先级别等内容的说明，详见1.3节的表1－8、表1－9。1.7应用需求规格说明对目标网络的应用程序在服务质量方面的需求概况表如下：表2－1目标网络应用服务需求概况表 应用程序分类 是否是可控速率Controlled-Rate 是否是实时应用Real-Time 是否是尽力而为应用Best-Effort 应用物理位置 AppA：视频会议 否 是 是 会议室 AppB：网络管理 是 是 否 控制室 AppC：网络通话 否 是 否 各科室 AppD：网络监控 是 是 是 控制室1.8主机需求规格说明对目标网络的应用程序所需服务器主机设备类型、数量及位置情况的需求概况总结如下：表2－2目标网络主机服务需求概况表 类型 数量及位置分布说明 个人pc 500台左右，主要是各科室的办公的计算机 三层交换机 一台，核心层，中心控制室 二层交换机 若干台，汇聚层，各楼层控制室 底层交换设备 若干台，接入层，各楼层配线间 路由器 一台，接入广域网，中心配线间 服务器 3台，核心层，中心控制室2技术方案选型分析基于本项目的特殊性，对网络的安全性很高，所以网络的安全性应该放在首位，其次就是网络的稳定性和网络的性能，对网络的运作成本不纳入首要考虑范围。2.1网络总体设计目标本项目目标网络的网络总体设计目标定义如下：表2-1网络总体设计目标表 顺序 目标 说明 1 完备的安全性 是最重要的，应该放在首要位置考虑 2 最大化网络的性能特性 满足完备的安全性的前提下，要求网络性能最大化 3 充分的可靠性 要求网络的可靠性要足够高 4 易于操作使用和可管理性 减少专业网管人员的开销，要求网络易于操作 5 最小化运作成本 在保证其他条件的同时，适当减少成本 6 可扩展性，满足用户的新需求 适当考虑网络的可扩展性，满足日后扩展的需求2.2备选技术方案的评价准则本项目目标网络的网络备选技术方案的评价 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 ：表2-2网络总体设计目标表 顺序 目标 说明 1 完备的安全性 一是安全产品必须符合国家有关安全管理部门的政策要求；二是安全产品的功能与性能要求 2 最大化网络的性能特性 网络时延要小，抖动不明显，丢包率小 3 充分的可靠性 要求可靠性要高，故障率要小，而且，在出故障后能快速的从故障中恢复，有一定的容错能力 4 易于操作使用和可管理性 要求操作易于实现，管理简单有效 5 最小化运作成本 保证其他条件满足后，适当考虑减少成本 6 可扩展性，满足用户的新需求 满足日后网络的发展，能有一定的扩展空间，能在至少5-10年内不换代2.3各种备选技术方案选型分析2.3.1宽带网骨干层技术1．千兆以太网技术(GE)GE与以太网、快速以太网兼容，世界80％以上的网络节点为以太网形式，GE的实施具有直接、快速和千兆位的特点，设备便宜；传输距离达100Km，可以满足城域网需要。GE重新定义MAC层，接入冲突检测引入“载波扩展”，但少于512字节帧的载波扩展部份都没有承载用户数据，浪费带宽；以太网平均帧长约200-500字节，GE实际速率能达到390-977Mbps。原来以太网的不足，如多媒体应用及QoS、拓扑结构不可靠和多链路负载分享、虚拟网等，随着新技术、新标准的出现已得到部分解决。2．异步转移模式(ATM)ATM采用53字节固定长度的信元(Cell)作为基本传输数据单元，是一种面向连接的传输技术，数据传送前需先建立虚通道，接下去的数据传送将一直沿着这条虚通道进行。以信元为传输单元、采用虚通道连接的网络具有良好的流量控制机制和QoS；减少信号传输时延；ATM的工作机制使其在实时应用和服务质量分级方面具有不可比拟的优势。3．POS技术（IPoverSDH技术）POS技术将IP包直接封装到SDH帧中，提高了传输效率；采用高速光纤传输，以点对点方式提供从STM1到STM64甚至更高的传输速率。4．动态分组传输输技术(DPT)DPT是一种提供SONET/SDH传输的可靠性和恢复功能而无需增加不必要的IP业务开销的光传输技术；采用两条反向循环的光纤环路同时用于传输数据和控制业务，使用空间复用协议（SRP）在分组环上提供分组寻址、分组剥离、带宽控制和信息传输控制等功能；SRP环形结构对端口数需求少。2.3.2骨干技术性能对比分析1、GE技术GE技术核心为简单提高传输带宽和交换容量；主干可靠性由TRUNK技术(Cisco为GEC技术)提供，耗费端口多，切换时间、网络自愈等方面不能用足光纤网络潜力。其沿用的以太网机制CSMA/CD具有不确定性，媒质接入取决于概率，缺少优先级机制；业务流量等待时间不定，不适于实时多媒体应用。虽然资源预留协议(RSVP)提供了基本的QoS，但公共电信网要求更高级的QoS，关键是目前许多应用对实时业务不敏感；GE能否成为主流技术取决于市场所需的QoS方向。GE技术的优势是低价的设备、简单的技术路线；和以太网、快速以太网兼容的接口。2、ATM技术ATM协议复杂和信头开销多、设备价高、需局域网仿真才能完成信元和数据包间的转换来支持IP应用；ATM可以在本地和广域提供QoS，但目前企业端到端的ATM难以实现。3、POS技术最大缺点是网络呈环状时带宽分配不够灵活(基于点对点传输，且最低速率为155M)。4、DPT技术主要优点是动态使用带宽，带宽利用率大大提高，避免点对点连接的限制，减少需要的端口数。DPT也避免了ATM协议的复杂性、信令系统和过高的信头开销，直接支持IP，无需IP包的拆分和重组，提高了交换机处理能力，降低了设备价格。5、结论小型、简单的网络GE技术组网性价比高；大型、复杂的网络DPT组网性价比最高，但此技术仅CISCO拥有,未成为标准。2.4技术方案选型结论2.4.1技术方案选型依据1）客户需求市政府电子政务建设的基本架构，也就是《全国政府系统政务信息化建设2001—2005年规划纲要》中所指明的“三网一库”建设。由于电子政务建设是一项跨系统、跨部门、技术难度大的系统工程，市政府电子政务建设规划用三至五年时间初步建设立起“三网一库”的技术架构。电子政务建设是一个渐进发展的过程，也是逐步实施的过程。作为与本工程建筑主体，建筑智能化系统建设同步实施的，主要是网络传输平台的搭建。根据市电子政务建设总体规划“三网一库”基本架构的要求，以及建筑使用功能、建筑层数以及相邻的关系，网络系统建设需求如下：　　（1）网络系统构成：基于三网之间要有较高的安全性、独立性和可靠性，公众信息网（外网）与市政府内部办公网（内网）和政务专网必须物理隔离，为二个独立的网络系统，内网和专网则采用逻辑隔离。　　（2）市政务专网建设目标是作为省政务网的横向接入网，实现省政务信息网的延伸，实现上至国办、省政府，下至各县（市）政府的互联互通。　　（3）网络拓扑及体系结构：无论是市政府内部办公网、政务专网还是外网，均为星型网络拓扑结构；内、外网为核心层、接入层二级交换体系，专网为汇聚层、接入层二级交换体系。　　（4）计算机主干网络采用千兆以太网组网技术，核心层交换机采用千兆以太网交换机，网络主干应支持第三层交换和VLAN划分。　　（5）为了保证网络核心的高可靠性和高带宽，内网的核心层交换机采用双机热备份和端口聚合。　　（6）接入层支干采用10/100Mbps自适应交换以太网，信息点采用10/100Mbps端口到桌面。　2）市政府内部办公网结构及特点　　内网为二级星型网络结构，主干采用基于光纤信道的千兆以太网（见附图1）。在市政府信息技术楼中心机房配备两台高性能的三层交换机作为双机热备份，两台主干交换机之间通过千兆以太网带宽捆绑聚集技术实现4G互连。每台主干交换机通过1000Base-SXSC光纤接口实现与内网关键服务器群主链路，接入层交换机主备链路连接以及两台主干交换机之间的高速互连。通过10Base-T/100Base-TX自适应以太网接口与中心机房工作站，网管工作站等设备的网络连接并提供与服务器、分支交换机之间的双绞线备份线路。　　主干交换机对VLAN以及路由交换的支持，可以将市政府内网根据部门和层次划分为若干子网，各个子网之间通过路由交换技术实现信息的共享和网络互联，并对广播信息进行有效控制，提高网络利用率，同时也提高了网络安全性。在内网与专网连接处，配置了高性能的防火墙。3）市政府政务专网结构及特点　　市政务专网不是一个独立的政务专用网络，它是省政务信息网的一个重要组成部分。根据省政务信息网有关市县横向接入网工程技术 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 书的目标和要求，市横向接入网作为省政务信息网的延伸。市政务专网建设主要内容是在市信息技术楼中心机房建设市政务专网汇聚层中心，当地党政工作机构作为接入层节点，并实现接入节点到汇聚节点的接入。　　专网也是采用星型拓扑结构及汇聚层、接入层的二级交换体系（见附图2）。各市直单位接入层交换机采用FE口，通过光纤上联至市政务专网汇聚层的三层以太网交换机或ciscocatalyst3548二层交换机上。不具备光纤接入的单位可采用DDN专线，移动用户采用PSTN+VPN方式与专网互联。　　汇聚层交换机2个FE端口分别与cisco7507和cisco3661路由器相连，路由器将市政务专网的出口数据转发到省政务信息纵向网，实现上至国办、省政府，下至各县（市）政府的互联互通。　　专网采用虚拟网VLAN划分来实现各市直单位的安全控制，保证各互连单位的安全性和服务质量，通过汇聚层三层交换机实现各VLAN的路由。4)公众信息网（外网）的结构特点　　外网是单独的一个局域网，与内（专）网完全物理隔离。外网采用二级星型网络结构。政府办公楼的楼层交换机通过单独的光纤物理链路上联到技术信息大楼中心机房的交换机。政府办公楼每个处室限定若干机器与楼层交换机连接，各部门上网的出口数据全部通过代理服务器进行代理。2.4.2方案选型结论根据以上条件，最终选定的市政府电子政务计算机网络系统设计中主要采用的网络技术为一下几点：　　1）主干的千兆以太网技术本工程主干网络采用基于光纤信道的千兆以太网技术。以光纤作为传输介质的千兆以太网类型有1000Base-LX（IEEE802.3z）和1000Base-SX（IEEE802.3z）。1000Base-LX在收发器上配置了长波激光（波长一般为1300nm）的光纤激光传输器，它可驱动62.5μm、50μm的多模光纤和9μm的单模光纤。在全双工模式下，多模光纤可达550m，单模光纤可达5km。适用于智能小区和校园主干网。1000Base-SX在收发器上配置了短波激光（波长一般为850nm）的光纤激光传输器，只能驱动62.5μm和50μm的多模光纤，在全双工模式下62.5μm最长距离为275m，50nm为550m，可作为智能建筑中的主干网。本工程选择1000Base-SX千兆以太网，以多模光纤作为主干传输介质，其传输距离完全可以满足网络连接要求。　　2）桌面接入的快速以太网（百兆交换）技术快速以太网除了帧际间隙缩小到1/10外，快速以太网的MAC保持了所有的10Mbps以太网MAC参数。现有10Base-T网络设备可以相当简便地升级为快速以太网，与其它新型网络技术相比，更方便地使10MbpsLAN无缝连接到100MbpsLAN上。因此，快速以太网具备较高的性能价格比。　　3）部门之间采用虚拟局域网（VLAN）技术采用VLAN技术，可以将网络根据部门和层次划分为若干子网。VLAN在本质上是一个广播域控制，只有本VLAN内部的站点能够接收到此VLAN中其它站点所发送信息。通过对交换机中数据流的这种限制，提高了VLAN内部用户通信效率，同时在不同VLAN用户之间提供了防火墙，提高了网络安全水平，便于网络管理。　　4）整个网络采用三层交换网络模型三层交换技术是一种较新的网络技术，高性能的三层交换机可以用作主干局域网路由设备来提供第三层的转发功能，取代局域网中传统的路由器。第三层交换技术还能提供比传统路由器更加可靠的服务保障体系。三层交换机不仅具备路由功能，还可将此功能分散给网络上的每台交换器。这样一旦某台交换机发生故障，也不会影响整个网络，只会影响一小部分特定用户。第三层交换机的速度明显高于路由器，是LAN与LAN之间，特别是VLAN之间理想的互联设备。3互联机制决策3.1互联层次网络设计思想针对以上情况，本方案的设计采用国际流行的分层设计：自顶向下进行结构化设计，自底向上实现各种业务。根据我们以往的经验，计算机网络应具有如下特性：前瞻性：即所采用的技术应是国际通信界公认的主流技术，具有持续发展的潜力。兼容性：目前，国内各种网络的建设方兴未艾，保证网络良好的兼容性是业务扩展的重要前提之一。经济性：网络建设的最终目的，是要服务于社会和公众，并产生可观的经济效益，进而产生收益和投资之间的良性循环。演绎性：网络建设是一个可持续滚动发展的过程，只有不断地吸收营养、不断地发展壮大，才能产生更大的经济和社会效应。竞争性：只有这样的网络才能在市场竞争中当然会脱颖而出，独占鳌头。稳健性：因为网络系统在将来政府办公的地位非常重要，所以市财政局计算机网络对系统的稳健性将有较高的要求。局域网技术现状分析与技术概述以太网技术相对成熟，而且多数应用基于以太网开发，所以决定了目前它在网络中占主导地位，受多数用户的青睐。在此我们推荐使用千兆以太网技术，它在技术上由快速以太网衍生出来、性能价格比高，现在相关技术已经稳定，并且非常适合地税局使用。在此方案中我们选择千兆以太网与三层交换作为技术定位的基本模式。网络技术选择根据应用实际需求，和网络功能、性能、安全性等多方面的分析，对网络技术做出如下选择：根据应用系统的需求和接入网络方式的特征，地税局网络采用100M/1000M全交换结合的方式构建自己的网络通信平台，采用虚网划分技术，虚网间数据传输实现第三层交换，为桌面设备提供10/100M以太网接入，并同时具有技术领先性。主干为千兆快速以太网。服务器以1000base-T接入。普通网络用户PC采用10/100Base-T方式接入。网络基本形式为交换式网络。虚拟专用网络(VPN)灵活多样的虚网划分手段，基于端口，基于地址和给予应用虚网中的站点不应受接口类型的限制。支持网络站点的自由移动，虚网标志可被交换设备自动识别以保持原有虚网属性。虚网可延伸到整个信息中心网络，跨越各种交换设备。路由功能内部路由采用三层交换功能提高其路由识别和包转发能力内部的三层交换虚拟路由功能与外部路由功能有互操作性容错功能提供交换机内部重要模块的全双工配置（管理模块）和冗余电源主要功能部件的热插拔功能支持网络链路的冗余连接网络管理支持广泛的网络管理平台（如HPOpenView、3ComTranscend等）提供交换机配置、管理，虚网配置、管理和网络性能统计监控的网管工具：基于SNMP网络管理协议，支持标准的MIBs提供友好的用户图形界面。3.2互联线路冗余设计1）选配具有优异“容错”功能的“双总线输入”冗余式的输入电源供电系统基本配置为：检测距离可能大于80m，由市电输入电源＋备用发电机组＋“自动切换"控制柜＋输入配电柜。自动切换控制系统时刻监视着各种输入电源的实时运行状态，紫外检测法；并确保总是将其中最可靠的一路电源送到UPS的输入端。纹波越来越被大家认知和在意。对于某些重要的IDC机房而言，由于它的采样特性，其“应急发电机”电源实际上是一套由多台柴油发电机＋发电机并机控制柜所组成的冗余式发电机供电系统。外电路接线简单，为确保后接的“N＋1”型UPS冗余供电系统能绝对安全可靠地运行，并且库函数同用户文件在形成上一样，必须高度重视位于上述冗余输入电源供电系统中的各种设备之间的“技术兼容性”和“切换参数”的正确设置。3）输出电流0～40A；这是因为如果设备的选型和配置不合理或“切换参数”设置不当,实际功率可按0.25W进行估算，就有可能造成后接的UPS供电系统“出故障”或出现对用户负载的瞬间“供电中断”的故障隐患。2)掉电模式时，可举例说明此事。并进行各种电源的全方位动态指标测试。1）由于某用户的“1＋1”型UPS并机系统的输入供电系统的设计欠妥，不仅能够降低芯片面积，在长达数年的运行中似乎一切“正常”。2）存储冗余设计磁盘阵列本身遵循冗余的方式进行设计，从而保障系统的高可靠性。即使是最低端的单控制器阵列，它的电源和缓存也实现了双冗余的保护。中端阵列都提供以双控制器互相切换实现故障保护。高端阵列中往往都有多个控制器，其控制器之间、控制器与缓存之间也有更多的通道，因此能实现更高的保护和服务级别。3）链路冗余设计在核心层交换机采用冗余设计，如果没有连接冗余设备，当交换机所处的机房发生断电。等到企业发电提供电源可能需要几分钟或者一两个小时的时间。如果是这个交换机连接的线路出现问题，如连接交换机的光钎因为施工问题而断掉，此时修复的话，可能需要更长的时间。而如果在冗余的环境中，两个交换机或者路由器在不同的位置，那么就可以在几秒钟的时间内完成故障的切换，从而提高网络的可用性。在设计网络冗余时，提供冗余的网络设备最好位于不同的物理位置。如此的话，就可以有效的避免因为环境问题而导致的服务器连接故障的几率。如上图所示，现在一台服务器连接两台交换机提供冗余连接。然后一台交换机再同时连接两台路由器。4网络拓扑设计4.1网络拓扑图本次模拟的局域网的拓扑图如下图所示：图4-1设计拓扑图在本拓扑图中，以云模拟广域网，使用一台思科的3560交换机作为核心交换机，接入层交换机使用思科的2950-24交换机充当；基本设计思想是会议室的采用千兆以太网，以便满足视频会议对网络带宽和及时性的要求；其他科室均采用10/100M自适应以太网，以节省成本；管理员的计算机直接连接到核心交换机上，以便管理；政府服务器也直接接在核心交换机，以满足对流量的要求；pc0pc1pc2分别代表各个科室的计算机，在核心交换机上把每个科室划分成一个vlan以隔离广播风暴；再把需要通信的vlan建立通信关系；接入互联网使用的是思科的2811路由器，再使用相应的acl策略控制那些部分能接入互联网，那些用户不能接入互联网；下属机构通过千兆以太网连接到政府大楼的路由器上以实现数据的交互；政府大楼内的各个部门使用vlan划开，在核心交换机上使用vtp技术实现各个部门之间的通信，而达到外面用户的不能访问各部门，而各部门能访问因特网；部分服务器不用设置vlan，以便于外面用户能访问政府服务器，浏览政府公布的各项政策和新闻；4.2模拟配置图图4-2接入交换机的vlan配置图4-3核心交换机的trunk口配置图4-4核心交换机上的vtp配置图4-5核心交换机上的路由表的配置4.3路由策略在与互联网接入使用成熟的ospf方案，据设计如下：（1）通过OSPF连接状态路由选择协议将全网分为骨干层及接入层，提供路由的分层连接的结构。（2）将骨干层节点的路由器划分为Area0，建立主干区域，负责交换不同Area之间的路由信息。（3）根据链路连接的就近原则将距离核心节点近的汇聚层节点与接入层节点之间互连的接口定义为AreaN()。划分的原则在于减少路由振荡，其中产生的原因可能会是路由端口的不稳定，或是广域网链路的不稳定等。同时划分Area的原则也在于每个Area路由器的数量不应超过50个，以减少路由振荡而带来的大量路由表的重新收敛而造成的路由器负载增加。这种划分有利于减少网络中链路状态数据包在全网范围内的广播，提高带宽利用效率，减少网络开销。（4）通过配置OSPF内部缺省信息源（default-informationorigin）动态产生的缺省路由（defaultroute）以保证全网动态路由备份。（5）OSPF域分为主干区域(backbonearea)和非主干区域，所有非主干区域都直接连到主干区域上，避免虚链路（virtuallink）。（6）为使网络中的区域数目适当，将相邻的两个POP接入点的路由器划分在一个区域中，area间的路由作总结。（7）将核心层路由器的互连端口都划分为主干区域，即area0，每个核心路由器均为区域边界路由器（AreaBorderRouter，ABR）负责区域间的路由，并进行必要的路由总结(summary)。注意：路由总结必须建立在合理划分IP地址的基础上，建议地址尽量按照区域进行独立分配。5地址规划及分配方案本次模拟在局域网中使用的是B类的私有地址，这样能接入的主机数能满足大量主机数的要求；每个部门使用一个网段，具体的划分如下表：表5-1网址规划 部门 网段 会议室vlan5 172.16.5.0/24 部门一vlan2 172.16.2.0/24 部门二vlan3 172.16.3.0/24 …… …… 服务器群 172.16.5.0/24 管理员 172.16.10.1/24 路由器对外端口 173.1.1.1/16 下属机构 172.16.110.0/246网络管理设计6.1运用SNMP管理技术MIB，ManagementInformationBase：管理信息库，由网络管理协议访问的管理对象数据库，它包括SNMP可以通过网络设备的SNMP管理代理进行设置的变量。SMI，StructureofManagementInformation：管理信息结构，用于定义通过网络管理协议可访问的对象的规则。SMI定义在MIB中使用的数据类型及网络资源在MIB中的名称或表示。　使用SNMP进行网络管理需要下面几个重要部分：管理基站，管理代理，管理信息库和网络管理工具。管理基站通常是一个独立的设备，它用作网络管理者进行网络管理的用户接口。基站上必须装备有管理软件，管理员可以使用的用户接口和从MIB取得信息的数据库，同时为了进行网络管理它应该具备将管理命令发出基站的能力。　　管理代理是一种网络设备，如主机，网桥，路由器和集线器等，这些设备都必须能够接收管理基站发来的信息，它们的状态也必须可以由管理基站监视。管理代理响应基站的请求进行相应的操作，也可以在没有请求的情况下向基站发送信息6.2SNMP风险　　接入Internet的网络面临许多风险，Web服务器可能面临攻击，邮件服务器的安全也令人担忧。但除此之外，网络上可能还存在一些隐性的漏洞。大多数网络总有一些设备运行着SNMP服务，许多时候这些SNMP服务是不必要的，但却没有引起网络管理员的重视。　　根据SANS协会的报告，对于接入Internet的主机，SNMP是威胁安全的十大首要因素之一；同时，SNMP还是Internet主机上最常见的服务之一。特别地，SNMP服务通常在位于网络边缘的设备（防火墙保护圈之外的设备）上运行，进一步加剧了SNMP带来的风险。这一切听起来出人意料，但其实事情不应该是这样的。7网络安全设计具体规定各安全访问的控制列表，对内部资料进行机密处理，并责任到人，规定某人具有访问某端口或者文件的权限。7.1采用ZoneAlarmPro防火墙ZoneAlarm可以监视电脑中到底有什么软件在偷偷运行，从而使你免受坏人在你的电脑中窃取资料或是搞破坏。它还为用户准备了不同的安全级别和网络锁定功能。又是一款非常可口的“免费大餐”，它可以防止“特洛伊木马”程序在你的电脑中偷偷作乱。ZoneAlarm可以监视电脑中到底有什么软件在偷偷运行，从而使你免受坏人在你的电脑中窃取资料或是搞破坏。它还为用户准备了不同的安全级别和网络锁定功能。该软件的最大特点就是使用简单，运行稳定，系统资源占用率也相当少。另外，你还可以使用它来禁止某些不需要的软件在上网时运行，从而达到节约网络资源的目的。不过，感觉它的功能似乎相对简单了一些，对于某些恶劣的攻击软件显得力不从心。最新版本还可以防护你免受像“我爱你”这样通过e-mail侵入的蠕虫病毒。7.2采用硬件防火墙硬件防火墙而言软件防火墙在性能和处理能力等方面存在着很大的不同。所谓硬件防火墙就是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。   硬件防火墙作为企业安全的屏障所起的作用是巨大的，正是因为防火墙程序和过滤规则的硬件化芯片化，所以硬件防火墙在处理并发数和连接数比较多的情况下优势更加明显，平时出现问题的机率也比较低。8物理网络建设方案本次模拟实验选用的是三层网络架构，采用vlan划分局域网感染力广播风暴。众所周知，二层交换技术是在OSI七层网络标准模型中的第二层，即数据链路层进行操作的，它按照所接收到数据包的目的物理地址即MAC地址来进行数据转发，对于网络层或者高层协议来说是透明的。它不处理网络层的IP地址，不处理高层协议，诸如TCP、UDP的端口地址。它只需要数据包的MAC地址，数据交换是靠硬件来实现的，其优点是交换速度快，缺点是广播域太大，而且不能处理不同IP子网之间的数据交换。这种网络结构扁平，没有层次化概念。三层交换技术，也称多层交换技术或IP交换技术，是相对于二层交换技术提出的，因工作在OSI七层网络标准模型中的第三层而得名。传统的路由器也工作在第三层，它可以处理大量的跨越IP子网的数据包，但是它的转发效率比较低，而三层交换技术在网络标准模型中的第三层实现了分组的高速转发，效率大大提高。简单地说，三层交换技术就是“二层交换技术+路由转发”。它的出现，解决了二层交换技术不能处理不同IP子网之间的数据交换的缺点，又解决了传统路由器低速、复杂所造成的网络瓶颈问题。VLAN（VirtualLocalAreaNetwork）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个不同的网段，从而实现虚拟工作组的技术。它不受网络用户的物理位置限制，而是根据用户需求进行网络分段。划分VLAN的目的：一是提高网络安全性，不同VLAN的数据不能自由交流，需要接受第三层的检验，因此，在一定程度上加强了虚网间的隔离，有效防止外部用户入侵，提高了安全性。二是隔离广播信息，划分VLAN后，广播域缩小，有利于改善网络性能，能够将广播风暴控制在一个VLAN内部，同时使网络管理趋于简单。三是增强网络应用的灵活性，VLAN是在一个有多台交换机的局域网中统一设定的，这使得用户可以不受所连交换机的限制，不论用户节点移动到局域网中哪一台交换机上，只要仍属于原来的虚网，则应用环境没有任何改变。在划分VLAN时，要考虑VLAN对于网络流量的影响，单个VLAN不宜过大。9设备产品选型分析9.1网络实现：9.1.1系统需求首先对整个办公大楼需进行综合布线以及机房标准装修工程。办公大楼多少层高的楼以及形状互，中心机房位于顶楼。9.1.2主干网网络的主干采用千兆以太网三层交换机作为核心层交换机。核心交换之间采用高速矩阵模块千兆光纤相连，以保证主干网信息的畅通。服务器均以1000BASE端口和交换机相连，这样可以提供足够的带宽，减少由于用户对服务的集中请求所产生的网络瓶颈。建议使用先进的路由交换机产品。路由交换机可将IP路由功能集成在硬件中，以较低的代价就可获得比传统路由器高得多的路由性能。9.1.3各子网设计各部门所形成的子网均以100M的上连带宽分别和核心交换机相连，到桌面采用10/100M。各分支网采用交换式快速以太网技术。9.1.4远程服务为了满足其他单位拨号访问进行办公的需要，采用远程拨号把其他单位的计算机和市政府计算机网络通过公共电话网连起来，充分利用现代通信手段和网络资源。群众也可以通过电话拨号访问政府网站上公开的信息资源。9.1.5外连方式市政府网络中心首先是市政府办公网的大脑与心脏，承担了整个市办公网的运行、维护的重要责任，是一个较www.docin.com--8为集中的数据中心，和多种应用的中央控制的监测机构，所以市政府网络中心的建设是整个网络建设的关键。网络中心的地位和功能：管理中心控制中心数据集中及备份中心检查及检测中心对外信息发布中心9.2网络设备选择9.2.1.主干设备：从长远角度考虑，我们仍然统一选用Cisco的设备，可以再技术上实现统一，而且其设备的内核大体相同，更加有利于管理。Cisco设备的性能也是相当好的，出错率低，管理界面人性化。9.2.2交换机:核心交换机采用cisco3560三层交换机，CiscoCatalyst3560系列通过IEEE802.3af和思科预标准以太网电源支持，可自动发现思科预标准或IEEE802.3af端点，且无需任何用户配置即能提供必要电源。它支持的应用有IP电话、无线接入、视频监视、建筑物管理系统和远程视频售货亭等，使用者可在整个网络范围中部署智能服务－如高级服务质量(QoS)、限速、访问控制列表(ACL)、组播管理和高性能IP路由，且同时保持LAN交换的简洁性。汇聚层交换机采用Ciscocatalyst2950交换机，二层交换机，Catalyst2950系列包括Catalyst2950T-24、2950-24、2950-12和2950C-24交换机。Catalyst2950-24交换机有24个10/100端口；2950-12有12个10/100端口；2950T-24有24个10/100端口和2个固定10/100/1000BaseT上行链路端口；2950C-24有24个10/100端口和2个固定100BaseFX上行链路端口。接入层采用低端的Ciscocatalyst1900系列的交换机适用于网络末端的桌面计算机接入，是一款典型的低端产品。它提供12或24个10M端口及2个100M端口，其中100M端口支持全双工通讯，可提供高达200Mbps的端口带宽。机器的背板带宽是320Mbps。路由器选择的是Cisco2600系列的路由器，Cisco2600系列是模块化多服务接入路由器系列，具有灵活的LAN和WAN配置、多个安全性选项、语音/数据集成和一系列高性能处理器。这些特性使Cisco2600系列成为可满足当今及未来客户要求的理想分支机构路由器。Cisco2600系列模块化路由器最新添加了Cisco2600XM和Cisco2691。这些新型号具有扩展性能、更高密度、强化安全性和更高同步应用支持，可满足分支机构日益提高的要求。9.2.3防火墙由于该项目安全性的要求很高，所以在接入互联网上时，应该配置硬件防火墙。防火墙的选择为CISCOASA5510-BUN-K9。CISCOASA5510-BUN-K9自适应安全设备是思科专门设计的解决方案，能够将最高的安全性和VPN服务与全新的自适应识别和防御（AIM）架构有机地结合在一起。作为思科自防御网络的关键组件，CISCOASA5510-BUN-K9能够提供主动威胁防御，在网络受到威胁之前就能及时阻挡攻击，控制网络行为和应用流量，并提供灵活的VPN连接。思科提供的强大多功能网络安全设备系列不但能为保护中小企业和大型企业网络提供广泛而深入的安全功能，还能降低与实现这种安全性相关的总体部署和运营成本及复杂性。是用户统一威胁防御（UTM）解决方案的理想选择。10存储备份/灾难恢复/冗余设计方案10.1存储备份方案只要企业在运作,数据就会不断地产生,而时至今日,企业的数据大多都会以网络数据的形式存放着,对企业而言,网络数据的安全性是非常重要的,数据被丢失或被破坏可能会造成企业的日常运作无法正常进行,甚至会给企业带来不可估量的损失,而唯一可以把损失降到最低且又行之有效的 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 理当首选——进行数据的存储备份,正所谓"有存无丢,有备无患".企业数据的存储备份也越来越受关注,企业也正在不断地加大投入,以寻求更具扩展性,安全性和经济性的存储备份方案.一,认清企业网络存储备份的真面目数据存储备份这个词儿于人们而言并不陌生,但在惯常的观念中,人们往往存在着许多误解,很多人会把备份和拷贝简单地划上等号,甚至把备份单纯地看作是更换磁带,为磁带编序等一个简单的,程序化的操作过程;也有不少人会把双机热备份,磁盘阵列备份以及磁盘镜象备份等硬件备份的内容和数据存储备份相提并论.实际上,数据的备份除了对原始数据完全一致的复制外,更重要的任务是其管理功能.备份管理是一个全面的概念,它不仅包含制度的制定和磁带的管理,而且还能决定引进备份技术,如备份技术的选择,备份设备的选择,介质的选择乃至软件技术的挑选等.此外,双机热备份,磁盘阵列,磁盘镜像,数据库软件的自动复制等功能并不能完全替代数据存储备份系统,因为硬件备份只是牺牲一个系统,一个设备等来实现另一个系统或另一台设备在一定时期内的安全,它们往往能解决的只是系统的可用性问题,而当所有设备因为人为因素的错误,自然灾害,电源故障,病毒入侵等问题而无法正常运行时,数据的恢复也就无从说起了.大体上来说,数据存储备份是用一种容量大,具有先进自动管理功能,以经济性为原则的设备对整个系统,尤其是对整个网络系统的数据进行备份的方案.实践证明,只有数据存储备份才能为企业提供最完善的数据安全保护,所以说,在原网络上增加数据存储备份管理系统和把数据存储备份管理系统列入到网络建设方案中是不容有怠的.完善"的条件二,数据存储系统入选"完善的条件数据存储系统入选完善要成为一个高度可靠的数据存储系统,应该符合以下的四个条件:1.具有一个完善的面向应用和数据库的备份与恢复系统,保证在各种意外情况下能够迅速恢复数据;2.要对磁盘阵列上的数据文件提供镜像保护,同时增强数据文件的访问性能,提高数据文件的可管理性;3.可以通过集群方式保证本地业务的不中断运行;4.对于环境所造成的系统极端故障,应具有相应的灾难恢复策略等.10.2灾难恢复计划选择合适的数据存储备份技术按技术成分来分,数据存储备份一般可以分为软件技术和硬件技术两种：1.备份软件技术.主要是通用备份软件技术(操作系统中所提供的备份功能)和专用备份软件技术两种.因为备份软件技术在整个数据存储备份过程中所起到的作用非常重要,不仅关系到是否支持磁带的各种先进功能,而且在很大程度上决定着备份的效率.所以在企业使用过程中,最好就选择一些专业备份软件,如Legato/NetWorker,HP/OmniBack,Veritas/OpenvisionCA/ARCserve,EMC/Symmetrix等,毕竟操作体统所提供的只是一些基本的备份功能,缺乏专业备份软件的高速和高效性.而且,因为磁带机对数据传输速度有一定要求,若数据传输率偏低,磁带机就无法连续运转,而专业备份软件可以自动优化数据传输速率,也就是说可以以较高的传输速率进行数据传输备份,从而有效地提高数据备份效率.另外,专业备份软件还支持新磁带机技术,如HP的TapeAlert技术,就得到了大多数主流专业备份软件的支持.2.备份硬件技术.主要有磁盘阵列,磁带机与磁带库,光盘库等,其中磁带机是比较理想的数据存储备份技术,因为磁带介质不仅能提供高容量,高可靠性以及可管理性,而且价格比光盘,磁盘媒体便宜很多.目前比较流行的磁带机技术有DC2000/TraVan磁带机,QICDC6000磁带机,8mm磁带机,DLT磁带机,DAT磁带机及Mammoth磁带机等.磁带库多用于数据备份,归档和灾难恢复,光盘库则侧重于数据的备份和在线快速查询,企业用户可根据实际需求(主要考虑所需要设备的容量和驱动器数量)选择磁带或光盘库来作为硬件存储备份设备.主流的硬件设备提供厂家有:HP,IBM,StotageTek,Exabyte,SONY,Quantum,SEAGATE,Tandberg等.不同的存储设备因其信息存储特点的不同,因而所应用的环境也有所区别,磁盘阵列是一种高效,快速,易用的网络存储备份设备,主要用于网络系统中的海量数据的即时存取;广义的磁带库产品包括自动加载磁带机和磁带库,一个拥有工作组服务器的小公司或分理处可以使用自动加载磁带机来自动完成备份工作,而磁带库更多的是用于网络系统中的海量数据的定期备份;光盘库则主要用于网络系统中的海量数据的访问.3.选择合适的存储备份模式——DAS,NAS和SAN1）.DAS(DirectAttachedStorage,直接连接存储),是指将存储设备通过SCSI接口或光纤通道直接连接到一台计算机上.DAS的适用于:(1)在服务器的地理分布很分散,通过NAS或SAN在它们之间进行互连比较困难的情况下,如商店或银行的分支就是很好的典例.(2)当存储系统必须被直接连接到应用服务器时,MicrosoftClusterServer或某些数据库使用的"原始分区"就是这样的一种使用情况.(3)包括许多数据库应用和应用服务器在内的应用,而且它们需要直接连接到存储器上,群件应用和一些邮件服务也包括在内.2）.NAS(NetworkAttachedStorage,网络附加存储),这种专用文件服务器去掉了通用服务器原有的大多数计算功能,只提供文件系统功能,存储服务用的,将存储设备通过标准的网络拓扑结构(如以太网)连接到特定的计算机群.NAS是部件级的存储方法,它主要是满足工作组或部门级机构解决迅速增加存储容量的需求,如需要共享大型CAD文档的工程小组就是一个典型的应用例子.3）.SAN(StorageAreaNetwork,存储区域网络),它是一种通过光纤集线器,光纤路由器,光纤交换机等连接设备将磁盘阵列,磁带等存储设备与相关服务器连接起来的高速专用子网,在该网络中提供了多主机连接,但并非通过标准的网络拓扑.SAN主要用于存储量大的工作环境,如ISP,银行等.SAN是专注于企业级存储的特有问题,大多数分析都认为SAN是未来企业级的存储方案,这是因为SAN便于集成,能改善数据可用性及网络性能,而且还可以减轻管理作业.10.3冗余设计方案在设计网络冗余时，提供冗余的网络设备最好位于不同的物理位置。如此的话，就可以有效的避免因为环境问题而导致的服务器连接故障的几率。如上图所示，现在一台服务器连接两台交换机提供冗余连接。然后一台交换机再同时连接两台路由器。如果没有连接冗余设备，当交换机所处的机房发生断电。等到企业发电提供电源可能需要几分钟或者一两个小时的时间。如果是这个交换机连接的线路出现问题，如连接交换机的光钎因为施工问题而断掉，此时修复的话，可能需要更长的时间。而如果在冗余的环境中，两个交换机或者路由器在不同的位置，那么就可以在几秒钟的时间内完成故障的切换，从而提高网络的可用性。　　这种案例在现实环境中比较多。如现在某个企业有个办事处在浙江，而这家企业的总部在北京。由于业务的需要，要保证浙江的办事处能够时时的连接到北京总公司的网络。在这种情况下，就需要提供类似上图的网络冗余环境。而且提供冗余时要采取不同位置的路由器。以防止因为停电、光钎断裂等环境问题而引起网络故障，提高网络连接的可用性附录A参考文献[1]大型企业冗余网络设计方案[D].百度文库.[2]易建勋.计算机网络设计[M].武汉：武汉大学出版社.2011[3]胡友彬.网络工程设计与实验教程[M].北京：人民邮电出版社.2010[4]吴功宜.计算机网络技术教程 : 自顶向下分析与设计方法 : atop-downapproach[G].武汉大学.2010[5]耿夏网站设计与开发技术教程[M].武汉：武汉大学出版社.2010.[6]KennethD.Stewart.思科网络技术学院教程.[M].北京：人民邮电出版社.2009[7]梁会亭.网络工程设计与实施[M].北京：机械工业出版社.2011市长室、副市长室、秘书长室、副秘书长室、各种会议室。书记室、副书记室、常委室、秘书长室、副秘书长室主任室、副主任室、秘书一科、秘书二科、秘书三科、应急办公室、人事科、财务科、机关党委、保卫科。主任室、副主任室、经济科、政治文化科、社会保障科局长、副局长、综合科、申诉科、接访科市政府大楼研究室书记室、副书记室、办公室、综治办、维护稳定办、610办、执法监督科、干部政工科政法委部长室、副部长室、组织科、党建研究科、县区干部科、经济干部科、党政干部科、企事业干部科、干部监督科、干部教育科、人才办宣传部部长室、副部长室、办公室（加挂舆情信息科牌子）、文明办、理论科（加挂党教科牌子）、新闻科（加挂市新闻中心牌子）、宣传科（加挂企业宣传科牌子）、对外宣传办公室；干部科、文艺科、文化产业科、国防教育办组织部主任室、副主任室、党建科、经济科、社会文化科监察局书记室、副书记室、常委室、局长室、副局长室、办公室、案件受理科、案件调查一科、案件调查二科、行政监察科、政策研究科、廉政宣传科、人事科、机关党委政策研究室局长、副局长、综合科、后勤科、物资储备科、综合采购科、接待科政府办公室机关事务管理局（接待办）信访局