计算机网络技术毕业设计（论文）-网科公司网络规划与设计

计算机网络技术毕业设计（论文）-网科公司网络规划与设计 广东岭南职业技术学院 课题,网科公司网络规划与设计 指 导 教 师,李刚 广东岭南职业技术学院 Guangdong Lingnan Institute of Technology 姓 名, 专 业,计算机网络技术 学 号, 摘 要 当今世界，网络技术和信息技术的飞速发展，已影响到社会和生活的每一个角落，同时也对各行各业造成了极大的冲击和深远的影响。传统的企业办公和运营模式随着时代的发展进行深刻的改革，特别是企业信息化规划和建设已掀起一股新高潮。办公网络是局域网的典型应用之一，公司或政府机关等利用局域网络进行管理和办公，各办公室之间可以在网络中相互快速地访问共享资源，进行网上办公、视频会议，也可进行网络打印等从面提高工作的效率，方便管理工作事务。 企业信息系统应用在办公网络中，其不仅包括可运行的设备和软件，也包括相关的技术资源。未来的企业信息系统，需满足快速变化的、个性化的用户需求，对企业内部与外部关系的各项需求提供全方位的支持，具有通用平台/执行系统寄生结构，模型驱动，用户主导的系统生命周期，基于企业建模技术等新一代技术与 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 。未来企业中应用的信息技术，将是一个互相关联、有机结合的集成体系，如同硬件产品一样，可由多种不同来源的产品组合构成，覆盖企业所有业务领域，是企业运作的基础。企业通过网络来发布、获得、交流各种信息将是必然的手段。 本 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 的主要目标是根据网科公司办公室局域网建设需求为背景，以计算机网络技术和综合布线技术以及常用的网络服务器技术为基础，较详细地设计出了该公司不同部门的组网建设的规划和实施方案,以达到目前大多数同类企业对企业信息化建设的要求。本论文对该企业各部门的组网需求进行了分析，参考了各种组网技术，从实用角度和未来发展进行互联的角度论述了企业整体上组网的规划与实现，各种网络设备的选型，以构建一个“安全可靠、性能卓越、管理方便”的“高品质”企业网络并将其变成企业信息化建设成功的关键基石。 关键词:局域网设计规划 综合布线 企业信息化建设 办公网络 企业信息化系统 - I - 目 录 1.网络综合分析 .......................................................................................................................................................... 1 1.1企业项目背景 ............................................................................................................................................... 1 1.2需求分析 ....................................................................................................................................................... 1 2.网络设计 .................................................................................................................................................................. 2 2.1设计原则 ....................................................................................................................................................... 2 2.2设计思路 ....................................................................................................................................................... 3 2.3网络拓扑图 ................................................................................................................................................... 3 2.4 VLAN及IP地址规划 .................................................................................................................................. 4 3. 网络系统方案设计 ................................................................................................................................................ 5 3.1 宽带接入方案 .............................................................................................................................................. 5 3.2 通讯子网 设计方案 关于薪酬设计方案通用技术作品设计方案停车场设计方案多媒体教室设计方案农贸市场设计方案 ...................................................................................................................................... 5 3.3 资源子网设计方案: .................................................................................................................................. 7 4.网络设备选取 .......................................................................................................................................................... 8 4.1 设备清单 ...................................................................................................................................................... 8 4.2 部分网络设备介绍 ...................................................................................................................................... 8 4.2.1 核心层交换机选型 ........................................................................................................................... 8 4.2.2 二层交换机选型 ............................................................................................................................... 9 4.2.4 服务器选型 ..................................................................................................................................... 11 4. 网络安全设计 ...................................................................................................................................................... 12 5.1 防火墙系统 ................................................................................................................................................ 13 5.2 防病毒方案设计 ........................................................................................................................................ 13 5.3 Windows Server 更新服务 ...................................................................................................................... 14 5.4 访问控制 .................................................................................................................................................... 15 (1) 重要部门访问控制 ....................................................................................................................... 15 (2)服务器安全 ..................................................................................................................................... 15 (3)设备访问控制 ................................................................................................................................. 15 (4)telnet设置 ....................................................................................................................................... 15 6. 通信测试 .............................................................................................................................................................. 16 6.1描述网络性能的指标及标准 ..................................................................................................................... 16 (1)网络可用带宽 ................................................................................................................................. 16 (2)网络丢包率 ..................................................................................................................................... 16 (3)网络延时 ......................................................................................................................................... 16 (4)网络延时抖动 ................................................................................................................................. 16 (5)行业标准中IP网络性能等级的划分 ............................................................................................ 16 6.2 测试网络质量性能的工具 ........................................................................................................................ 16 6.3访问控制测试 ............................................................................................................................................. 17 (1)财务部(vlan20)到其他部门与服务器(vlan100)的单向访问. ........................................................ 17 (2)财务部不能访问Internet的WEB服务 ........................................................................................ 17 7.项目总结 ................................................................................................................................................................ 17 参考文献 ................................................................................................................................................................... 19 致谢 ........................................................................................................................................................................... 20 - II - 1.网络综合分析 1.1企业项目背景 网科公司是一所年轻的小型企业，近两年来，随着公司规模的扩大，无纸化办公的推行，各种大数据量的网络应用日益增多，各种新型的办公设备也不断的接入到网络当中，原有的网络逐渐开始有些不堪负荷，影响到了公司的办公效率。现在公司领导注意到这个问题后，由于原本的办公环境限制了网络升级和办公环境的提升，所以决定搬迁到新写字楼办公，建立高效信息化系统，以此来提高公司的办公效率和提高公司的发展前景。 该公司共有8个部门:董事长办公室、总经理办公室、财务部、商务部、行政人事部、营销客户部、产品和软件开发部、项目工程部，为便于后期管理，大部分部门分别划归一个VLAN中，其中董事办、总经办同属同一个Vlan，机房办公室归行政人事部管但分开两个Vlan。打印机、扫描仪等办公设备需要每个部门均可访问使用。 1.2需求分析 相对于大型应用群体而言，小型企业的信息化建设工程通常有规模较小，结构简单的特点，综合资金投入、专业人才以及未来发展等因素，网络的实用性、安全性与拓展性(升级改造能力)是小企业实现信息化建设的主要要求，因此，成本低廉、操作简易、便于维护并能满足业务运作需要的网络办公环境是这一领域的真正需求。 该公司需要为100台左右计算机架设网络，办公地点约1200平米办公空间，为9个办公空间架设信息高速公路。 图1.2 公司平面图 - 1 - 从该项目计算机数量和办公面积来看，属于中小型企业局域网，针对它的现状我们着重考虑以下方面的问题: 需求分析如下。 (1)性能需求 不同厂家乃至同一厂家不同型号的交换机在性能和功能上都有较大差异，有的安全性高、有的稳定性好、有的转发速率快、有的拥有特殊性能。因此，应当慎重考察和分析本网络对性能的根本需求，以便选择相应品牌和型号的交换机;而且设备的可扩张性和易维护性。 (2)整个公司网络安全设置 整个公司通过网络服务器连接到Internet，网络服务器能够阻挡来自公司外部的对于内部网的非法访问，提供强壮的安全机制。要设置一定的访问控制列表来限制访问相关的部门，证内部数据和信息安全。 (3)高带宽 用户对数据传输量的需求决定了网络应当采用何种连网设备和布线产品。就目前情况来看，多媒体已经成为局域网络所必须支持的功能之一。基于这种大传输量的需求，以1000Mb/s光纤作为主干和垂直布线，以100Mb/s超五类双绞线作为水平布线，从而实现100Mb/s交换到桌面的网络，已经成为最普通的网络架构。基于这种大传输量的需求，100Mb/s高性能交换机也已逐步从部门走向工作组。 (4)可管理 整个信息网络系统中的互连设备，应是使用方便、操作简单易学，并便于维护。对复杂和庞大的网络，要求有强有力的网络管理手段，以便合理的管理网络资源，监视网络状态及控制网络的运行，因此，在设计和实现时，必须充分考虑整个系统的便于维护性，以使系统万一发生故障时能提供有效手段及时进行恢复，尽量减少损失。 多媒体应用 满足网络上的各种多媒体应用(例如视频点播直播、视频会议、IP电话等);利用多媒体上的网络应用为公司各项业务的开展提供支持。 (6)成本减低 从整体来说，通过网络主干实现千兆连接、百兆连接到桌面，以尽量少的成本建成性能较好的网络。从设备选购上来说，组建企业网络，提供质量更高、服务更好的网络的同时要考虑到投入的成本，网络设备更新快，所以也要注重实效的方针，坚持实用、经济的原则，并运用系统整合的手段构建网络， (7)功能服务器 网络内部设置文件服务器，集中存储需要交换的数据，提供各部门相应数据库服务、FTP文件共享服务。网络内各桌面用户可共享数据、共享打印，实现办公自动化，办公网络化。同时公司还需建设WEB服务器，建立公司自己的网站，可向外界发布信息，并进行网络上的业务。OA办公系统服务器，邮件服务器来处理相应的信息。 (8)未来发展 网络设计者不仅要考虑到容纳网络中当前的用户，而且还应当为网络保留至少3-5年的可扩展能力，从而使在用户增加时，网络依然能够满足增长的需要。这一点非常重要，因为布线工程一旦完毕，就很难再进行扩充性施工。所以，在埋设网线和信息插座时，一定要有足够的余量，而连网设备则可以在需要时随时购置。 2.网络设计 2.1设计原则 在公司办公网络的方案设计及建设过程中，要充分考虑公司目前的具体甚至特殊需求，又要符合公司未来发展的需要。鉴于此，在设计中应遵循以下几项总体原则。 (1)实用性和经济性 系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设企业的网络系统。 - 2 - (2)先进性和成熟性 系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内企业网络仍占领先地位。 (3)可靠性和稳定性 在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间，选取国内知名品牌、网络方面领导的厂商，其产品的可靠性和稳定性是一流的。 (4)安全性和保密性 在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，充分考虑到安全性，针对小型企业的各种应用，有多种的保护机制，如划分VLAN、MAC地址绑定等。 (5)可扩展性和易维护性 为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低了人力资源的费用，提高网络的易用性。 2.2设计思路 针对上述设计原则，设计思路有如下所述。 (1)采用标准化的设计规范，合理的进行网络设计，达到节约成本和高效网络的目的。 2)本网络分为核心层和边缘层两层结构，它们之间由千兆三层交换式以太网为主构成网络主干，边( 缘交换机选用10/100M自适应交换机。 (3)为了提高安全性和方便管理，把服务器集群和机房办公室所在区域接入到核心层交换机上，把其他部门所在区域接入到边缘层交换机上。 (4)把汇聚层交换和核心层交换之间进行链路聚合，来提高网络带宽。 (5)规模较大的网络(数百点)广播信息很多，会降低网络性能，严重时会产生广播风暴使网络瘫痪。通过划分VLAN可以将大型的网络分为多个子网，广播信息被限制在子网内部传播，限制广播域，可以提高网络性能。基于安全性考虑，不同的部门间需要数据保密，采用VLAN进行隔离。 (6)服务器所在的接入层交换机进行MAC绑定，来提高服务器的安全性。 (7)用动态OSPF协议和静态路由相结合，来实现外网访问服务器和内网访问服务器、以及内网访问外网所走的不同路径，提高网络效率，同时做到一个链路冗余的作用。 (8)采用访问控制等技术，提高了企业内部网络的安全性，同时对财务部进行访问控制。 2.3网络拓扑图 使用层次化模型有许多好处，列举如下: (1)节省成本 在采用层次模型之后，各层次各司其职，不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽，减少了对系统资源的浪费。 (2)易于理解 层次化设计使得网络结构清晰明了，可以在不同的层次实施不同难度的管理，降低了管理成本。 (3)易于扩展 在网络设计中，模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中，而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计，任何一个节点的变动都将对整个网络产生很大影响。 (4)易于排错 层次化设计能够使网络拓扑结构分解为易于理解的子网，网络管理者能够轻易地确定网络故障的范围，从而简化了排错过程。 (5)网络拓扑图 - 3 - 图2.3 网络拓扑图 (说明:大部分部门分别划归一个VLAN中，其中董事办、总经办同属同一个Vlan，机房办公室归行政人事部管但分开两个Vlan，交换机设置时根据此划分Vlan。) 2.4 VLAN及IP地址规划 表2.4.1 VLAN规划 VLAN号 VLAN名称 IP网段 默认网关 说明 VLAN1 , 192.168.0.0/24 192.168.0.254 管理VLAN VLAN10 ZJDJ 192.168.1.0/24 192.168.1.254 总经董经办VLAN VLAN20 CWB 192.168.2.0/24 192.168.2.254 财务部VLAN VLAN30 SWB 192.168.3.0/24 192.168.3.254 商务部VLAN VLAN40 CRB 192.168.4.0/24 192.168.4.254 产品软件开发部VLAN VLAN50 KYB 192.168.5.0/24 192.168.5.254 客户营销部VLAN VLAN60 XZB 192.168.6.0/24 192.168.6.254 行政人事部VLAN VLAN70 XGB 192.168.7.0/24 192.168.7.254 项目工程部VLAN VLAN100 FWQQ 192.168.100.0/24 192.168.100.254 服务器群VLAN 表2.4.2 网络设备IP地址规划 服务器名称 IP地址 VLAN 网关 备注 - 4 - AD、DNS、DHCP、192.168.100.1 VLAN100 192.168.100.254 内网服务器 WSUS File SERVER 192.168.100.2 VLAN100 192.168.100.254 文件服务器 MAIL 192.168.100.3 VLAN100 192.168.100.254 邮件服务器 ISA SERVER 192.168.100.4 VLAN100 / 防火墙服务器 OA SERVER 192.168.100.5 VLAN100 192.168.100.254 办公系统服务器 WEB SERVER 192.168.100.6 VLAN100 192.168.100.254 网络服务器 3.网络系统方案设计 3.1 宽带接入方案 (1)宽带接入仍然是企业接入方式的热门选择，但这就不仅仅是一条线光纤或者两条ADSL引入这么简单，因为一两条宽带难以满足企业的带宽需要，对于一般规模的企业来说，选择双光纤接入，或者是多条ADSL接入应该可以满足客户的使用需求;但是对于规模更大、定位更高的企业来说，采用一吧多网(也就是说采用多种接入方式组合的形式)可以获得更理想的效果，这样一来不但可以很好的起到线路备援的作用，而且还可以合理的调用不同ISP(网络运营商)所提供了服务，更有利于企业实现分区服务，让消费者体验到不同服务区的不同享受。 (2)南电信，北网通，根据企业对不同网络资源的访问，为求高速稳定可采取电信网通同时接入的方式。 (3)我们可以选择多种不同的接入方式，比较常见的接入方式有，“4×ADSL”、“1×网通光纤，1×电信光纤”双光纤接入，还有的就是“1×网通光纤，1×电信光纤，2×ADSL”组合接入的方式，第二种方式就比较适合一般规模的企业选用，第三种方式就比较适合超企业使用，当然，如果企业继续扩大的话，可以扩展到多。 (4)其中的双光纤接入又有两种方式可以选择，一种是采用光纤收发器实现光纤与多WAN口路由器的连接，这种方式最大的特点是投入成本低，选择光纤收发器时，性能当然重要，不过更需要注意的是接入光纤介质的类型，如果是单模光纤，那么就要用到单模光纤收发器;如果是多模光纤，则要用多模光纤收发器。另一种是直接采用双WAN口路由器提供的光纤模块，但这种光纤模块需要另外花钱购买，成本也比光纤收发器高。处于成本的考虑，建议采用第一种方式。 这种接入方式采用双光纤接入Internet,这个方案比较可靠、高效，代表了现在企业信息化发展的趋势，服务器各尽其责，可以提高了信息化的运行效率和网络架构的稳定性，同时对日益泛滥的病毒起到了很好的监控和防治。使网络构架具有很强的健壮性，是当前和以后流行的网络框架结构。相比较这个方案可能花费比纯ADSL接入大些，但是对于以后企业发展和网络的扩展来说那就轻松得多并且花费较小，而纯ADSL方案在扩充就不那么容易了，很可能随着业务的发展不能满足企业自身的需要而重新建设网络，那样不但耽误了企业的正常运营也会重新增加和本方案一样的开支，总的看来本方案代表网络的发展趋势10兆的带宽100M到桌面的流量足以满足一个中型企业现在和以后的需要。网通接入Internet的10M的带宽大约要2400元/月左右，并且还要使用路由器/放火墙接入internet，从安全方面讲这一方案比上述两个方案安全得多，他可以过滤不安全数据包控制流量和网络隔离。 3.2 通讯子网设计方案 (1)企业组网在组网方式上选择比较多，设备比较多元化，所以组网方案也比较灵活。首先，在全千兆网络中，分成三个服务区，分别是日常办公服务区、机房服务区、无线网络服务区，采用全千兆的三层交换 - 5 - 机作为主干交换机连接多WAN口宽带路由器和服务器，下连接入层交换机，这样连接就可以很好地实现分区管理和实现多元化服务。 (2)宽带路由器: 在选择企业网络路由器的时候，应该根据企业网络自身的双光纤应用模式，选择相适应的产品和型号;技术指标要实用，路由器主要关注的是CPU类型，选择处理能力强劲的;选择闪存和内存较大的;安全性能很关键，为了让企业网络能够在安全的网络环境中运行，选择的路由器产品必须具备完善的安全性能;可管理性不容忽视，在企业网络中，管理几百台电脑并非是一件轻松的工作，网络中一旦有病毒开始发作，维护起来会非常麻烦，所以在选购路由器的时候特别要注意产品的可管理性。 (3)主干交换机: 企业网络的计算机节点有很多，所以组网时需要在路由器后连接一个三层交换机，才能满足于大规模计算机数据交换的需要，因为这里的介绍的是全千兆网络，所以采用全千兆三层交换机作为网 络核心，这样可以实现当前企业网络大数据量的本地高速交换，同时，核心交换机还能提供基于硬件的线速转发，在速度上比传统的基于CPU的路由快许多倍，大大提高了网络的运行效率和稳定性。 (4)接入层交换机: 对于连接日常办公区和机房服务区的客户机，对带宽的要求比较高，所以选择千兆交换机作接入交换机。 在机房服务区又由于计算机数量较多，分布较为密集故需采用交换机堆叠的方式来扩充交换机的端口数量，以满足需求。在交换器堆叠的时候应尽量考虑堆叠层数对交换机性能的影响建议层数为四层。 (5)无线路由器: 企业网络中由于办公场所的分散性和楼体结构的特殊性应该采用信号强，穿强能力好的无线路由器。 (6)因为这是千兆的网络，所以各设备之间实现网络的互连，建议采用超五类或以上的非屏蔽双绞线。 (7)网络相关技术: ?使用 VALN 技术进行业务隔离，减少广播域的范围 ?使用 TRUNK 技术实现 VLAN 跨交换机进行访问 ?STP 技术防止二层环路，避免广播风暴，提高转发效率 我设计的中小企业信息化常用解决方案(如下图)，能够较好地发挥企业网的使用效果和水平，具有很强的代表性。 图3.2 中小企业信息化常用解决方案图 - 6 - 3.3 资源子网设计方案: (1)建立文件(FTP)服务器 为了在企业内部能够轻松进行文件数据交换，ftp是重要的一种方式。利用文件服务器软件，可以限定登录用户的权限、登录主目录及空间大小等，能有效的保护公司的机密文件不被外泄。资源实现信息内部共享，方便公司内部查阅。集中存储需要交换的数据，提供数据库服务、文件共享服务、打印服务。网络内各桌面用户可共享数据、共享打印，实现办公自动化。 (2)建立公司邮件(Mail)系统 可以建立公司域名下的互联网邮件服务器，可以任意给员工分配电子邮箱，收发互联网电子邮件。可以对公司内部所有员工的互联网电子邮件进行统一管理，统一由邮件服务器来接收和发送，邮件帐号管理功能可以防止公司的商务机密外泄。公司内部可以通过邮件服务器方便的进行邮件交流、电子通讯、文件申报和传输，完全实现无纸化。邮件通知功能和邮件组功能可以方便公司及时发布内部通知。邮件杀毒功能可以对所有收发的邮件进行后台在线杀毒，大大提高了工作效率和公司内部网络安全性。 (3)建立内网(AD、DNS、DHCP、WSUS)服务器 AD活动目录，使用户可以方便访问任何资源(例如打印机)，不需知道该资源的位置以及设置。 为了公司内部网络之间能够通信，并为员工访问外部网络提供域名解析提高网络访问的速度和准确度，DNS服务器是必不可少的。为方便管理，建立DHCP服务器，终端计算机自动获得服务器分配的IP地址和子网掩码。任何操作系统都有漏洞，通过在服务器上部署WSUS，定期对用户端进行补丁的更新。 4)建立网络(WEB)服务器 ( 随着公司业务的不断拓展，企业规模越来越大，越来越多的商业合作伙伴和客户需要从互联网上了解公司的信息，并希望通过互联网进行商务合作。为了进一步提高企业知名度并在互联网发布公司的商业信息，公司在网络中计划建立WEB服务器，所有的网站内容已经制作完毕。详细方案如下所述:?公司WEB服务器放置在总部机房。?WEB服务应和操作系统具有良好的兼容性。?避免由于服务的不兼容影响性能和稳定性。?WEB服务器具有固定的IP地址配置。?WEB网站允许匿名访问网站的文件。?允许互联网及集团内部的用户可以通过域名访问公司网站。 (5)建立办公系统(OA)服务器 OA的运行不仅兼顾个人办公效率的提高，减轻工作人员的工作负担，更重要的是可以实现群体信息的交流，实现信息快捷交换和高集成度的工作协同。通过模块功能的定制可以实现将诸如信息采集、查询、统计等功能与具体业务密切关联，高管只须点击按钮就可以得到想要的结果，从而极大、极快地方便了公司的管理和决策，为走向电子政务和电子商务打下良好基础。 - 7 - 图3.3 服务器群设计图 (6)所有的服务器硬件平台、操作系统以及服务软件的选型表: 表3.3 选型表 编号 服务器名称 硬件平台 操作系统 服务软件 Ser 1 内网服务器 IBM System x3400 M3 Windows2003 Server 系统自带 Ser 2 FTP文件服务器 IBM System x3400 M3 Windows2003 Server SER V-U Ser 3 邮件服务器 IBM System x3400 M3 Windows2003 Server Exchange Server Ser 4 防火墙服务器 IBM System x3400 M3 Windows2003 Server ISA 2004 Ser 5 办公系统服务器 IBM System x3400 M3 Windows2003 Server POBA大OA平台 Ser 6 WEB 服务器 IBM System x3400 M3 Windows2003 Server IIS 6. 4.网络设备选取 4.1 设备清单 表4.1 设备清单 设备名称 具体型号 单价 数量 总价 备注 三层交换机 H3C S5500-28C-SI 12,600 1个 12,600 核心层使用 二层交换机 H3C S1626 1,900 6个 11,400 边缘层交换机，用户端 路由器 CISCO 2821 9,700 1个 9,700 宽带路由器 服务器 IBM System x3400 M3 8,900 6个 5,3400 各功能服务器 光纤收发器 DINTEK 700 14个 9,800 光纤转换设备 光纤跳线 / 100 14条 1,400 光纤收发器跳线 4.2 部分网络设备介绍 本方案属于网络结构化布线采用纯双绞线系统的平面型局域网络用户。所谓平面型局域网，就是整个网络在一个楼层，甚至在一个办公室中。这是一个典型的中小型企业局域网，整个网络层次结构非常简单、分明，通常只有两层，即核心层和边缘层。核心层采用H3C S5500-28C-SI三层交换机，而边缘层则采用H3C S1626交换机。虽然3C S5500-28C-SI交换机可以提供光纤接入，但由于边缘层的H3C S1626交换机均只支持10/100Mb/s的双绞线接入，所以在局域网内部只能采用双绞线接入，但核心层仍可提供千兆位接入端口，为那些应用较复杂的服务器、边缘层交换机或者高级用户提供高速率接入。 4.2.1 核心层交换机选型 H3C S5500-28C-SI以太网交换机是H3C公司自主开发的三层全千兆多协议以太网交换产品，是为要求具备高性能、较大端口密度且易于安装的网络环境而设计的智能型可网管交换机。H3C S5510系列以太网交换机主要面向企业网、城域网汇聚或接入层的需求，同时硬件支持IPv4和IPv6双栈，可为客户提供丰富的业务特性和路由功能。此外，也可以通过H3C S5500-28C-SI的扩展槽，扩展光纤上边端口，完成与其它网络的互连。 - 8 - 图4.2.1 H3C S5500-28C-SI 外观 表4.2.1 H3C S5500-28C-SI的参数 应用类型 千兆以太网交换机 应用层级 三层 交换方式 存储-转发 背板带宽(Gbps) 128Gbps 包转发率 96Mpps VLAN支持 支持 MAC地址表 16K 网络标准 IEEE802.3，802.3u，802.3z，802.3ab 传输速率(Mbps) 10/100/1000 端口类型 10/100/1000Base-T以太网端口、1000Base-X千兆SFP端口 端口结构 固定端口 固定端口数 24 扩展模块 2 是否支持全双工 支持全双工 网管支持 网管型 网管功能 支持命令行接口(CLI)，Telnet，Console口进行配置，支持RMON(Remote Monitoring)告警、事件、历史记录,支持iMC智能管理中心,支持SNMPv1/v2/v3， WEB网管，支持系统日志，分级告警，调试信息输出 堆叠 支持 4.2.2 二层交换机选型 H3C S1626以太网交换机是华三公司秉承IToIP 理念设计的二层智能型可网管以太网交换机产品，具有百兆光电灵活上行、完备的安全和Qos 控制策略等特点，接口丰富、密集、安全性能高、功能较多、支持网管功能、操作简便，满足企业用户多业务融合、高安全、可扩展、易管理的建网需求，适合行业、企业网、宽带小区的接入和中小企业、分支机构汇聚交换机。 图4.2.2 H3C S1626 的外观 - 9 - 表4.2.2 H3C S1626的参数 交换机类型 智能网管交换机 交换方式 存储-转发 背板带宽 8.8Gbps 包转发率 6.6Mpps MAC地址表 8k 传输速率 10/100Mbps 网络标准 IEEE 802.3，IEEE 802.3u，IEEE 802.3ab，IEEE 802.3z，IEEE 802.3x 接口数量 26个 接口类型 24个10/100BASE-T、2个10/100/1000BASE-T自协商的以太网端口 控制端口 1个Console端口 网管功能 支持通过Console口的命令行配置,支持SNMP v2c，支持WEB网管，支持IGMP Snooping，支持四元绑定 4.2.3 宽带路由器选型 思科2821多业务路由器在众多用户中有着相当不错的口碑，它与前几代思科路由相比，在性能、安全性能和话音性能上都有了很大的提高，性能上有着极大的优势。思科2821集成多业务路由器支持全套传输协议、服务质量(QoS)工具，以及先进的安全和话音应用，将高应用性与高可靠性相结合，可满足中小型分支机构和中小型企业对于目前和未来应用日益提高的需求。 图4.2.3 思科2821的外观 表4.2.3 思科2821的参数 路由器类型 多业务路由器 端口结构 模块化 网络协议 IEEE 802.3X 传输速率 10/100/1000Mbps MAC地址表 8k 固定的局域网接口 2个 控制端口 Console 包转发率 0.04Mpps 接口类型 24个10/100BASE-T、2个10/100/1000BASE-T自协商的以太网端口 控制端口 1个Console端口 扩展模块 4 网络管理 网管协议 Cisco ClickStart，SNMP 其他功能 内置防火墙，支持Qos，支持VPN - 10 - 其他性能 安全标准 UL 60950:CAN/CSA C22.2 No. 60950,IEC 60950,EN 60950-1,AS/NZS 60950 4.2.4 服务器选型 服务器是一种高性能计算机，作为网络的节点，存储、处理网络上80,的数据、信息，因此也被称为网络的灵魂。做一个形象的比喻:服务器就像是邮局的交换机，而微机、笔记本、PDA、手机等固定或移动的网络终端，就如散落在家庭、各种办公场所、公共场所等处的电话机。我们与外界日常的生活、工作中的电话交流、沟通，必须经过交换机，才能到达目标电话;同样如此，网络终端设备如家庭、企业中的微机上网，获取资讯，与外界沟通、娱乐等，也必须经过服务器，因此也可以说是服务器在“组织”和“领导”这些设备。 服务器的构成与微机基本相似，有处理器、硬盘、内存、系统总线等，它们是针对具体的网络应用特别制定的，因而服务器与微机在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面存在差异很大。尤其是随着信息技术的进步，网络的作用越来越明显，对自己信息系统的数据处理能力、安全性等的要求也越来越高，如果您在进行电子商务的过程中被黑客窃走密码、损失关键商业数据;如果您在自 服务器，而不是埋怨工作人员动取款机上不能正常的存取，您应该考虑在这些设备系统的幕后指挥者—— 的素质和其他客观条件的限制。这里我选用了IBM System x3400 M3服务器。 图4.2.4 IBM System x3400 M3的外观 表4.2.4 IBM System x3400 M3的参数 类别 塔式 结构 5U CPU类型 Xeon E5506 CPU频率(MHz) 2.13GHz 标配CPU数量 1颗 最大CPU数量 2颗 CPU缓存(二级/三级) 1MB/4MB CPU核心 四核四线程 总线规格 QPI 4.8GT/s 制程工艺 45nm 扩展槽 5×PCI-E、2个PCI-X和1个PCI 内存类型 DDR3 内存大小 2GB - 11 - 内存插槽数量 16 内存带宽/描述 1×2GB 1.5V DDR3 RDIMM内存 最大内存容量 128GB 硬盘大小 标配不提供 硬盘类型 SATA/SAS 硬盘最大容量 8TB 最大热插拔硬盘数 支持热插拔 内部硬盘架数 最大支持4块3.5英寸易插拔SATA或8块3.5英 寸热插拔SAS/SATA硬盘或16块2.5英寸热插拔 SAS硬盘 磁盘阵列卡 RAID 0，1(可选5) IDE控制器 集成串行ATA 光驱 DVD 网络控制器 集成双端口千兆以太网 显示芯片 Matrox G200eV，16MB显存 管理工具 集成系统管理处理器 安全性 加电口令、Remote-control password、可选引导 顺序、无人干预启动 系统支持 Windows Server 2008 R2 Red Hat Linux SUSE Linux VMware ESX Server 4. 网络安全设计 网络系统使计算机资源在广泛的地理区域内共享，具有分布广域性、体系结构开放性、资源共享性、通信信道的共同性等特点。这些特点增强了系统的实用性，同时也带来了系统的脆弱性，网络上的许多敏感信息和保密数据难免受到各种主动的或被动的人为攻击，如信息泄露、窃取、数据篡改及计算机病毒感染等。因此，在网络上构筑一系列完善的安全策略是必不可少的。 安全，通常是指这样一种机制，即只有那些被授权的人才能使用其相应的资源。网络的安全性主要包括网络路由的安全性和网络信息的安全性。对应的，网络系统安全保障的方法可以分为二大类:即以“防火墙”技术为代表的防卫型和建立在数据加密、用户授权确认机制上的主动型网络安全保障系统。前者的特征是通过在网络路由上建立相应的网络通讯监控系统(即“防火墙”)来达到安全控制的目的;而后者的特征是通过对网络数据(包括用户数据和保证网络正常运行所需的数据)的可靠加密和用户确认，实现对网络的安全保护。 内外网安全机制设计: 内网安全设计:访问控制，通过密码、口令(不定期修改、定期保存密码与口令)等禁止非授权用户对服务器的访问，以及对办公自动化平台的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。 外网安全设计:安装软件、硬件、防火墙，网络防病毒软件，客户端防病毒软件;利用代理服务器提供Internet与Intranet之间的防火墙功能;通过网管实时记录网络的运行状态。设置远程访问身份认证，防止垃圾邮件等。 网络安全策略: 在设计网络安全策略时，需要考虑在初建费用、网络安全的扩展性、灵活性、维护费用等方面进行综合考虑，采取适当的策略。包括: - 12 - 网络系统的安全性，通过网络管理软件等实现网络安全控制; 通过设置防火墙、系统漏洞更新、杀毒软件等实现网络网络安全; 通过访问控制等手段实现网络安全; 5.1 防火墙系统 由于公司网络系统需要接入Internet。因此考虑防火墙建设。 ernet Security and Acceleration)作为公司的防火墙软件，微软公司是世界我们选择是微软公司的ISA( PC机软件开发的先导，ISA作为它的企业防火墙产品，是在国内外安全市场具有知相当名度、安全功能齐全的防火墙产品。ISA 服务器旨在满足当前通过 Internet 开展业务的公司的需要，通过建设ISA 服务器可提供了多层企业防火墙，来帮助防止网络资源受到病毒、黑客的攻击以及未经授权的访问。 ISA防火墙是基于Windows Server 2003 的防火墙: , 基于策略的网际访问控制、加速和管理; , 提供了多层企业防火墙; , 具备简化安全和访问管理的统一管理控制台; , 支持强力的用户认证设备; , 保护网络免受未经授权的访问; , 保护 Web 和电子邮件服务器防御外来攻击; , 检查传入和传出的网络通讯以确保安全性; , 接收可疑活动警报。 ISA防火墙特点: , 确保 Internet 连接的安全性; , 快速的 Web 访问; , 统一管理; , 可扩展的平台。 5.2 防病毒方案设计 我们利用美国NAI公司的McAfee软件(TVD)来为网络提供防病毒设计方案。 McAfee Total Virus Defense (TVD) NAI是全球反病毒解决方案的领导者，McAfee TVD在一个集中控制的软件包里为您提供从桌面到服务器到Internet网关的一整套防病毒安全解决方案，使企业范围的防病毒管理成现实。 桌面防病毒产品VirusScan和WebScanX; 服务器防病毒产品Netshield和GroupShield; 网关防病毒产品Webshield; 防病毒系统网管ME(Management Edition); Internet上升级数据推送产品SecureCast; TVD及其组件已通过VSUM、Virus Bulletin、Secure Computing、NCSA等多所独立测试机构的重复检测，并且已经通过国内公安部的检测，许可在国内销售。 1、桌面保护产品 TVD中的VirusScan为所有的桌面计算机提供所能获得的、最为全面的跨平台病毒保护。VirusScan还集成了一些功能强大的辅助技术，可以自动地保护系统免于崩溃和数据的意外丢失。 2、NetShield服务器保护套件 Netshield套件从一个直观的控制台保护整个企业的文件、应用程序和群件服务器。Netshield支持NT、Netware、UNIX 、Lotus Notes、Microsoft Exchange等多种服务器的保护，可以方便地从本地服务器或工作站监测、配置和执行远程服务。集中化管理可以实现对警告传送的控制、问题票卷的生成和活动日志的自 - 13 - 主选择。Netshield套件提供了所能获得的最为全面的基于服务器的病毒防护。 3、网关保护套件 Internet的发展大大加快了病毒在世界范围内的传播速度并使很多公司陷于瘫痪。TVD 在Internet 网关上对任何一个可能的病毒进入点提供全面的病毒保护。 4、管理控制台ME(Management Edition) ME(Management Edition)是NAI的实时的软件分发系统，在网络上远程安装、配置、管理、升级和删除防病毒软件，通过集中地升级网络上的防病毒软件、集中地报警检测到的病毒攻击来保护网络免受病毒破坏。利用它，可以在大的网络中，减少安装和管理防病毒软件的时间，保证网络和业务运行的不间断，实现及时、有效和高效的企业范围内防病毒软件的分发，并维持整个企业防病毒软件策略和安装的一致性。 ME目前能管理和分发的防病毒软件有: VirusScan:支持Windows 95、Windows 98、Windows 3.x、Windows NT、Windows2000、Windows XP; Netshield:支持Windows NT、Windows2000; ME管理防病毒软件时，维护一个软件库。软件库中包括各种不同版本、不同语种、不同操作系统的防病毒软件，控制台将软件库中的防病毒软件分发到防病毒域中的机器。另外ME也可以管理Zip文件、紧急救援磁盘。 ME由下列组件组成: 管理控制台(Management Console):配置、管理和安装防病毒软件到防病毒域中的主机; 管理服务器(Management Server):协调病毒扫描调度、接收报警、产生整个防病毒的报告，管理服务器运行调度器、管理代理、报警管理器等; 软件仓库(Repository):存放需分发的防病毒软件、升级代码等; 管理代理(Management Agent):通过调度启动病毒扫描，向管理服务器发送病毒报警; 报警管理(Alert Manager):配置报警通知设置; 这些组件集成到一起提供防病毒域中机器的管理，每个组件都可以通过控制台来管理和配置。 5.3 Windows Server 更新服务 面对层出不穷的网络网络我们也并非也只有防病毒软件，我们还可以做到防患于未然。由于任何操作系统都有漏洞，作为网络系统管理员就有责任及时地将“补丁”(Patch)打上。大部分服务器发现的Bug特别多，为了弥补操作系统的安全漏洞，在其官方网站上提供了许多补丁，可以到网上下载并安装相关升级包。可以下载下来进行升级维护。为方便管理，公司可以通过在服务器上部署WSUS，定期对用户端进行补丁的更新。 - 14 - 图5.3 安装更新界面 5.4 访问控制 (1)重要部门访问控制 根据企业要求，财务部和其它部门进行访问控制，只允许财务部到其他部门的单向访问，同时不允许财务部访问外网，能访问内网服务器。同时也只允许商务部到其他部门的单向访问，但能访问内网外网服务器。 (2)服务器安全 考虑到服务器的安全性，在交换机进行服务器MAC地址的绑定，可以拒绝其他设备的接入。 (3)设备访问控制 为交换机和路由器等网络设备配置访问密码，一定程度上能提高网络设备的安全性。 (4)telnet设置 为网络设配配置telnet，可以实现远程访问，为网络设配的管理和维护带来了便捷性。 信息系统的安全保护是一个复杂而艰巨的课题，网络安全控制仅仅是策略之一;从设备的物理保护一直到操作系统、数据库、应用软件，各个层次都有一系列的安全控制手段。而且 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 不只是一个技术问题，也是一个行政管理问题。除了采用相应的软硬件设备进行维护外，在制度与管理上也应有完善的规划，这样才有系统安全的实施意义。 - 15 - 6.通信测试 6.1描述网络性能的指标及标准 (1)网络可用带宽 网络可用带宽取决于网络的设计带宽，网络的背景流量等因素，当网络繁忙期间，网络可用带宽自然降低。 对于单个终端而言，它与MCU之间可以稳定使用的带宽应该大于会场的速率，对于MCU而言，它与所有终端之间的可以稳定使用的带宽应该大于所有会场的速率之和。而且会场速率是指纯视音频数据，而IP网络的带宽指全部的数据，包括IP的包头等信息，一般一个768K会议的终端实际使用的IP带宽要1M左右。由于IP网络是不稳定的网络所以希望带宽要足够，一般如果能测试到两倍的带宽就基本可以，否则不可避免的会丢包，影响视音频效果。 (2)网络丢包率 网络丢包率取决于网络本身的质量，以及网络流量等因素，当网络流量达到最大值时，由于网络设备的拥塞导致网络丢包。 丢包情况可分为两种，一种为由于线路误码导致的帧错误，这种情况比例相对较小，但是即使只有1个bit的错误也会导致整个帧错误从而丢弃，反映在丢包率上。另一种是因为网络设备拥塞导致帧丢失，实际的网络丢包主要是这种情况。 (3)网络延时 网络延时主要取决于网络的拓朴复杂性，及网络设备的处理时延等因素。 例如视频会议，由于设备需要进行编解码以及同步等过程，产生的延时是一个主要原因。在进行非交互的多媒体传输时，比如流服务，在用户侧感觉不到影响，但是在交互式应用中，比如我们普通的会议业务，在用户侧就会感觉对方反映很慢。 (4)网络延时抖动 网络延时抖动取决于网络的动态路由，以及网络设备由于拥塞造成的延时等因素。 (5)行业标准中IP网络性能等级的划分 中华人民共和国通信行业标准送审稿《IP网络技术要求,,网络性能参数与指标》中规定的网络性能等级参数为: 表6.1 IP网络技术要求,,网络性能参数与指标 Qos等级 默认值 0级 1级(交互式) 2级(非交互式) 3级 网络延时上限 未规定 150ms 400ms 1s U 延时抖动上限 未规定 50ms 50ms 1s U 丢包率上限 未规定 1/1000 1/1000 1/1000 U 包误差率上限 1/10000 默认 默认 默认 默认 6.2 测试网络质量性能的工具 - 16 - 表6.2 网络质量测试工具表 编号 测试项目 所用工具 1 测试网络丢包率、延时和抖动 PING MCU 2 网络连通性测试 PING命令 3 网络吞吐量测试 Chariot 4 测试线路质量 Qcheck 5 防火墙的吞吐能力测试 Iperf 6.3访问控制测试 (1)财务部(vlan20)到其他部门与服务器(vlan100)的单向访问. 图6.3.1 软件测试效果图 (图示为举例软件测试效果图，实际请按公司要求作为标准。) (2)财务部不能访问Internet的WEB服务 图6.3.2 软件测试效果图 (图示为举例软件测试效果图，实际请按公司要求作为标准。) 7.项目总结 企业对网络的需求在当今社会是必不可少的。本文通过对企业网络需求的分析以及对网络设备的配置，根据网络设计原则和要求，实现了企业网络的构建，有效的解决了企业对网络的需求。 通过这次对公司网络的构建，使我更加深入的了解了网络建设是一项涉及面广泛、需求技术专业的一项工程，需要严谨性、规范性和专业性，才能设计出一个合理、可靠、安全的网络。同时掌握了设计企业I网络的原则与方法。 - 17 - 通过这次的毕业设计，巩固了自己对网络交换机、路由器等网络设备的配置能力，对网络工作原理也有了更深层次的了解。同时对企业信息化建设有了更明确的认知，也对网络设备的配置与分析有了进一步的了解。 - 18 - 参考文献 [1]刘晓辉:《网络服务器搭建与管理》,电子工业出版社～2006。 [2]俞承杭:《计算机网络构建与安全技术》～机械工业出版社～2008。 [3]黎连业等:《防火墙及其应用技术》～清华大学出版社～2004。 [4]思科网络公司:《思科交换机、路由器技术 手册 华为质量管理手册 下载焊接手册下载团建手册下载团建手册下载ld手册下载 》～2005。 [5]徐远超:《网络工程教程与实践》～人民邮电出版社～2006。 [6]张伟等:《局域网组建与管理》～ 机械工业出版社～2003。 - 19 - 致谢 经过近将近两周忙碌和学习，本次毕业论文设计已经接近尾声。作为一个专科生的毕业设计，由于经验的不足，难免有许多考虑不周全的地方，如果没有指导教师的的督促指导，想要完成这个设计是难以想象的。在这里我要感谢我的论文指导老师李刚。老师平日里工作繁多，但在我做毕业设计的每个阶段，从选题到查阅资料，论文提纲的确定，论文写作过程中的修改，论文格式的指导等各个环节中都给予了我细心的指导。 感谢他的指导与督促，同时感谢他的谅解与包容。没有李刚老师的帮助也就没有今天的这篇论文。求学历程是艰苦的，但又是快乐的。感谢我的辅导员丁文燕老师，谢谢她在这三年中为我们全班所做的一切，她不求回报，无私奉献的精神很让我感动，再次向她表示由衷的感谢。在这三年的学期中结识的各位生活和学习上的挚友让我得到了人生最大的一笔财富。在此，也对他们表示衷心感谢。 谢谢我的父母，没有他们辛勤的付出也就没有我的今天，在这一刻，将最崇高的敬意献给你们～ 本文参考了大量的文献资料，在此，向各学术界的前辈们致敬～ - 20 -