《某园区网络设计》doc版.docx

《某园区网络设计》doc版.docx

《《某园区网络设计》doc版.docx》由会员分享，可在线阅读，更多相关《《某园区网络设计》doc版.docx（8页珍藏版）》请在冰豆网上搜索。

《某园区网络设计》doc版

《某园区网络设计》doc版

《某园区网络设计》doc版GDGM-QR-03-077-B/1GuangdongCollegeofIndustry支持系统日志;支持分级告警;支持本地、远程诊断背板带宽280Gbps包转发率144MbpsMAC地址表16KVLAN功能支持网管支持可网管型端口结构模块化网络标准IEEE802.3ae,802.1D,802.1p,802.1Q,802.1s,802.1w,802.1X,802.3ad,802.3,802.3u,802.3x,802.3z,802.3af模块化插槽2个内存Flash:

32MB；SDRAM:

256MB是否支持全双工全、半双工堆叠功能可堆叠汇聚层交换机：

H3CS5510-24P（DC）设备参数交换机类型企业级交换机应用层级三层传输速率10/100/1000Mpbs交换机接口10/100/1000BASE-T,1000Base-XSFPCombo网管功能支持命令行接口（CLI）配置,支持Telnet远程配置,支持通过Console口配置,支持SNMP,支持RMON1，2，3，9组MIB,支持华为QuidView网管系统,支持WEB网管,支持系统日志,支持分级告警,支持集群管理HGMP（HuaweiGroupManagementProtocol）V2,支持Modem远端拨号,支持NTP,支持SSH背板带宽48Gbps包转发率35.71MppsMAC地址表12KVLAN功能支持网管支持可网管型端口结构固定端口接口数量24个网络标准IEEE802.3，802.3u，802.3z，802.3ab模块化插槽4个是否支持全双工全、半双工堆叠功能不可堆叠接入层交换机：

H3CSOHO-S1208-CN设备参数交换机类型千兆以太网交换机应用层级二层传输速率10/100/1000交换机接口10/100/1000Base-T,RJ-45网管功能否背板带宽16Gbps包转发率11.9MppsMAC地址表8KVLAN功能不支持网管支持非网管型端口结构固定端口堆叠功能不可堆叠接入层交换机：

D-LinkDES-1250G设备参数交换机类型快速以太网交换机应用层级二层传输速率10/100/1000交换机接口10/100Base-TX,1000Base-T网管功能Web背板带宽13.6Gbps包转发率10Mbps:

14,880pps,100Mbps:

148,810ppsMAC地址表4096KVLAN功能支持网管支持可网管型接口数量50个网络标准IEEE802.3,IEEE802.3u,IEEE802.3ab模块化插槽2个堆叠功能不可堆叠服务器：

DELLPowerEdgeT100Server（E2220/1G/160G）设备参数服务器级别企业级服务器服务器类型塔式CPU类型Intel奔腾双核E2220二级缓存1MBCPUAllendale（双核心）内存类型ECCDDR2内存1GB最大内存8GB内存带宽/描述DDR2800MHzECC1R主板芯片组Intel3200硬盘160GBSATAII硬盘描述7.2KRPMSATAII存储控制SATA控制器网络控制器Broadcom5722千兆以太网集成控制卡PCI扩展槽4显卡/显存ATIES1000controllerwith32MB操作系统MicrosoftWindowsServer2008,标准版MicrosoftWindowsServer200864位版MicrosoftWindowsServer2003R2SP2标准版MicrosoftWindowsServer2003R2SP264位版MicrosoftWindowsSmallBusinessServer2008x64MicrosoftWindowsServer2008x64SmallBusinessStandardEdition,支持OpenManage5.5MicrosoftWindowsServer2008HyperVNovellSUSELinuxEnterpriseServer10x86-64;RedHatLinuxEnterprisev5RedHatLinuxEnterprisev5.2，ES和ESx86RedHatLinuxEnterprisev5.2,ES保修服务1年下一工作日上门服务无线路由器：

TP-LINKTL-WR1043N设备参数无线路由类型SOHO无线路由器最高传输300Mbps认证标准IEEE802.11b/g/n无线频率2.4-2.4835广域网接口1×10/100M局域网接口4×10/100/1000M天线3根固定全向天线,2dBi安全标准提供64/128/152位WEP加密,支持WPA/.网管功能全中文WEB管理界面VPN功能支持Qos功能支持传输速率270,243,216,162,108,81,54,27，135,12.天线接口TNC接口防火墙功能支持三、网络规划

（一）、设计原则根据本网络系统的特点和用户要求，我们的设计原则是：

1、可靠性原则采用高可靠性的设备和必要的容错措施，加强网络管理，以确保网络系统有很高的可靠性，网络易于维护。

2、先进实用性原则采用的技术应代表目前计算机网络的先进水平。

基于Intranet网络技术，选用与网络技术发展潮流相适应的产品，保持技术的先进性，同时也注重应用的实际需求和设备的性能价格比，并充分利用现有的资源和设备，充分保护原有投资。

3.、可扩充性原则充分考虑采用开放的技术和产品，以保证今后进行有效的扩充和升级，这也是充分保护投资的有效办法。

4、安全性原则认真、周全选用系统硬、软件，采取多种手段确保系统安全性。

5、可维护性和可管理性整个信息网络系统中的互连设备，应是使用方便、操作简单易学，并便于维护。

对复杂和庞大的网络，要求有强有力的网络管理手段，以便合理的管理网络资源，监视网络状态及控制网络的运行。

因此，网络所选网络设备应支持SNMP协议，管理员通过网管工作站就能方便地进行网络管理、维护甚至修复。

在设计和实现计算机应用系统时，必须充分考虑整个系统的便于维护性，以使系统在万一发生故障时能提供有效手段及时进行恢复，尽量减少损失。

6、分步实施原则考虑到在整个公司网建设中，可以采取分期投入、分步建设和逐步投用的原则，在进行总体设计时，设计方案必须保证公司网的每一个子系统可独立建设和应用者有条件的使用，同时保证在总体系统完成建设后，各子系统可平滑接入公司网主干系统，满足相关应用点无限制的使用；

（二）、IP地址规划

（1）外网的IP地址段为：

137.502.10~137.50.2.15/24

（2）WWW服务器IP为：

137.50.2.11/24（3）MAIL服务器IP为：

137.50.2.12/24（4）打印/文件服务器IP为：

192.168.2.11/24（5）FTP服务器IP为：

192.168.2.12/24（6）数据库服务器IP为：

192.168.2.13/24（7）内网的IP地址段为：

1）192.168.5.0/24IT部2）192.168.6.0/24人事部3）192.168.7.0/24财务部4）192.168.8.0/24客服部5）192.168.9.0/24无线区6）192.168.10.0/24研发部7）192.168.11.0/24质控部8）192.168.12.0/24无线区具体的IP地址规划如下表:

设备名称管理IP地址IP段管辖范围主楼CISCOASA5505-UL-BUN-K8192.168.1.1192.168.1.0/24中心机房H3CS7502192.168.1.10H3CSOHO-S1208-CN192.168.2.0/24H3CS5510-24P（DC）192.168.3.10192.168.3.0/24H3CS5510-24P（DC）192.168.4.10192.168.4.0/24D-LinkDES-1250G

（1）192.168.5.2192.168.5.0/24IT部D-LinkDES-1250G

（2）192.168.5.51D-LinkDES-1250G（3）192.168.6.2192.168.6.0/24人事部D-LinkDES-1250G（4）192.168.6.51D-LinkDES-1250G（5）192.168.7.2192.168.7.0/24财务部D-LinkDES-1250G（6）192.168.7.51D-LinkDES-1250G（7）192.168.8.2192.168.8.0/24客服部D-LinkDES-1250G（8）192.168.8.51TP-LINKTL-WR1043N192.168.9.10192.168.9.0/24主楼区域科研楼D-LinkDES-1250G（9）192.168.10.2192.168.10.0/24研发部D-LinkDES-1250G（10）192.168.10.51D-LinkDES-1250G（11）192.168.11.2192.168.11.0/24质控部D-LinkDES-1250G（12）192.168.11.51TP-LINKTL-WR1043N192.168.12.10192.168.12.0/24科研楼区域四、Intranet平台系统设计

（一）、服务平台的建立原则心悦园区网络有限公司信息系统服务平台根据下列原则来建立：

1、开放性本方案中所用的产品以及所构建的应用系统都是基于国际标准，所以可以吸收各厂家的优点，同时随着技术的进步和标准的延伸，不断吸收新的技术和新的标准。

2、可伸缩性本方案采用的设计和产品均基于模块化设计，可根据不同需求灵活配置，并且在平台上的修改和扩充不用手工修改客户端设置。

所选的Internet/Intranet服务器产品提供了很好的服务性能。

本方案支持集中和分布计算的灵活分配。

3、互操作性本服务平台所选产品可以和其他厂家的产品通过开放标准实现互连。

4、跨数据库数据库连接支持INFORMIX，ORACLE，SYBASE，SQLServer，DB2，以及通过ODBC支持十多种其他厂商的数据库。

5、扩展性由于基于标准和模块化设计，服务平台从功能、性能和服务内容上都具有扩展性。

6、高性价比方案中所采用的产品都是业界成熟和先进的产品，同时具有很高的性价比；各种平台服务器支持大容量用户访问，灵活的模块化设计，因而显著地提高其性能价格比。

7、统一性本方案在很多方面体现出统一性，包括平台管理的统一性、用户管理的统一性、资源管理的统一性。

产品选择时，考虑到各种产品有机集成；8、可靠性服务平台具有很高的可靠性。

在方案设计时，考虑到每层的可靠性以及系统的可靠性。

包括网络层的可靠性、服务平台的可靠性、主机的可靠性；采用了HA技术、负载平衡和冗余技术、分布技术等来实现高的可靠性；9、可管理性本方案采用多种标准技术来完成心悦园区网络有限公司信息系统的管理。

如关系数据库技术、Java、SNMP、http、LDAP等。

支持心悦园区网络有限公司信息系统主机管理、IP和域名管理、网络服务管理、应用服务管理、应用系统管理及客户端管理。

10、可维护性服务平台提供了系统维护工具，供系统维护人员来维护和保证系统的正常运行。

五、网络安全设计网络系统使计算机资源在广泛的地理区域内共享，具有分布广域性、体系结构开放性、资源共享性、通信信道的共同性等特点。

这些特点增强了系统的实用性，同时也带来了系统的脆弱性，网络上的许多敏感信息和保密数据难免受到各种主动的或被动的人为攻击，如信息泄露、窃取、数据篡改及计算机病毒感染等。

因此，在网络上构筑一系列完善的安全策略是必不可少的。

安全，通常是指这样一种机制，即只有那些被授权的人才能使用其相应的资源。

网络的安全性主要包括网络路由的安全性和网络信息的安全性。

对应的，网络系统安全保障的方法可以分为二大类：

即以“防火墙”技术为代表的防卫型和建立在数据加密、用户授权确认机制上的主动型网络安全保障系统。

前者的特征是通过在网络路由上建立相应的网络通讯监控系统（即”防火墙”）来达到安全控制的目的；而后者的特征是通过对网络数据（包括用户数据和保证网络正常运行所需的数据）的可靠加密和用户确认，实现对网络的安全保护。

公司拓扑如下：

（一）、安全需求可用性：

授权实体有权访问数据机密性：

信息不暴露给未授权实体或进程完整性：

保证数据不被未授权修改可控性：

控制授权范围内的信息流向及操作方式可审查性：

对出现的安全问题提供依据与手段访问控制：

需要由防火墙将内部网络与外部不可信任的网络隔离，对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。

同样，对内部网络，由于不同的应用业务以及不同的安全级别，也需要使用防火墙将不同的LAN或网段进行隔离，并实现相互的访问控制。

数据加密：

数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。

安全审计：

是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。

具体包括两方面的内容，一是采用网络监控与入侵防范系统，识别网络各种违规操作与攻击行为，即时响应（如报警）并进行阻断；二是对信息内容的审计，可以防止内部机密或敏感信息的非法泄漏

（二）、安全策略1．采用漏洞扫描技术，对重要网络设备进行风险评估，保证信息系统尽量在最优的状况下运行。

2．采用各种安全技术，构筑防御系统，主要有：

（1）防火墙技术：

在网络的对外接口，采用防火墙技术，在网络层进行访问控制。

（2）NAT技术：

隐藏内部网络信息。

（3）VPN：

虚拟专用网（VPN）是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。

（4）网络加密技术（Ipsec）：

采用网络加密技术，对公网中传输的IP包进行加密和封装，实现数据传输的保密性、完整性。

它可解决网络在公网的数据传输安全性问题，也可解决远程用户访问内网的安全问题。

（5）认证：

提供基于身份的认证，并在各种认证机制中可选择使用。

（6）多层次多级别的防病毒系统：

采用多层次多级别的防病毒系统，对病毒实现全面的防护。

（7）网络的实时监测：

采用入侵检测系统，对主机和网络进行监测和预警，进一步提高网络防御外来攻击的能力。

3．实时响应与恢复：

制定和完善安全管理制度，提高对网络攻击等实时响应与恢复能力4．建立分层管理和各级安全管理中心（三）、防火墙技术防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监视了内部网络和Internet之间地任何活动，保证了内部网络地安全；在物理实现上，防火墙是位于网络特殊位置地以组硬件设备――路由器、计算机或其他特制地硬件设备。

防火墙可以是独立地系统，也可以在一个进行网络互连地路由器上实现防火墙。

根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:

包过滤型、网络地址转换—NAT、代理型和监测型。

六、综合布线综合布线系统是一项实践性很强的技术，是现代社会信息化的必然产物，是多功能、智能型楼宇的必然要求。

综合布线系统对基于各种系统资源的大楼总体功能的发挥并保持各部门长期、高效率的运转发挥着重要的作用。

（一）、设计标准1、布线系统标准的比较智能建筑已经形成一种新的产业，作为其基础的综合布线系统早已制定出相应的标准，目前最具权威性的标准有二个：

一个是ISO11801标准，另一个是EIA/TIA568A标准。

ISO11801标准是由国际标准化组织颁布的综合布线系统国际标准，EIA/TIA568A标准是由美国电子工业协会和电气工业协会颁布的综合布线系统国家标准。

这两个标准在规范布线系统设计原理方面是相同的，但在适用的范围和技术指标方面却有所不同，具体介绍如下：

标准规范了布线系统设计的四个方面的要求，这四个方面是：

（1）、系统设计所选择的传输介质必需符合标准规定，但两个标准对传输介质的适用范围的定义有所区别。

ISO11801标准既适用于屏蔽系统又适用于非屏蔽系统，也适用于光纤布线系统，而EIA/TIA-568A标准则只适用于非屏蔽系统和光纤布线系统。

如下表所示：

传输介质用途ISO/IEC11801EIA/TIA568A3类UTP语音和小于带宽10MBPS的数据传输有定义有定义5类UTP语音和小于带宽155MBPS的数据传输有定义有定义5类STP语音和小于带宽155MBPS的数据传输有定义有定义超5类UTP语音和小于带宽350MBPS的数据传输无定义无定义62.5/125多模光纤带宽1GMBPS的数据传输有定义有定义一般认为,屏蔽系统在电磁辐射和抗干扰性方面要优于非屏屏蔽系统,它关系到系统的安全和人员的健康.在我国由于屏蔽系统的造价较高，且安装较为复杂，一般只用在比较特殊的场合如：

保密性要求比较高的地方或者是电磁环境较为复杂的单位。

（2）、系统的端接配件与所选择的传输介质必需匹配,同时接口必需一致,ISO11801标准和EIA/TIA-568A标准有如下区别：

传输介质ISO/IEC11801EIA/TIA568A3类UTP3类非屏蔽双绞线RJ11或RJ453类非屏蔽双绞线RJ11或RJ455类UTP5类非屏蔽双绞线RJ455类非屏蔽双绞线RJ455类STP5类屏蔽双绞线5类屏蔽双绞线超5类UTP无定义无定义62.5/125多模光纤ST或SCST在接口的定义和要求方面:

ISO11801标准指出3类的双绞线不能与其类型不相符的端接类型相连结，以避免造成阻抗不匹配。

ISO11801标准强调屏蔽系统的优点而EIA/TIA568A标准则没有。

在光纤传输方面，ISO11801推荐SC接口优先于ST接口。

（3）、ISO11801和EIA/TIA568A都对系统结构作了规定，它包括以下七个子系统：

工作区子系统（WORKAREASUBSYSTEM）：

由终端设备到信息插座的连线（或软线）组成，它包括：

连接器、连接跳线、信息插座；信息插座有墙上型、地上型、桌上型等多种；标准有：

RJ-45、RJ-11及单、双、多口等结构。

水平布线子系统（HORIZONTALSUBSYSTAM）水平布线子系统将电缆从楼层配线架连接到各用户工作区的信息插座上，通常处于同一楼层之上，可以采用3类、5类、超5类4对屏蔽/非屏蔽双绞线；3类5类或者超5类双绞线都是由8根24-AWG的铜线组成；3类线在10MBPS应用时无误码传输距离为100米、16MBPS时为50米；5类线在155MBPS时可传输80米，在100MBPS时为100米；超5类线在155MBPS时可传输100米，速率更高时可采用光纤。

垂直干线子系统（RISERBACKONESUBSYSTEM）指各搂层配线架与主配线架间的干缆：

可以为大对数双绞线、光缆也可以二者混用；其主要功能是将主配线架系统和各楼层配线架连接起来。

布线柜子系统（RACKSUBSYSTEM）由楼层配线架组成，其主要功能是将垂直干缆与各楼层水平子系统相连接，布线系统的优势和灵活性主要体现在布线柜子系统上，只要简单的跳一下线就可完成任何一个结构化布线系统的信息插座以对任何一个智能系统的连接，极大的方便了线路重新布局和网络终端的重新调整；光纤连接时，要用光纤配线箱，箱内有多个ST或SC连接器安装口；其线路弯曲设计符合62.5/125多模光纤的弯曲要求，光纤接头采用ST或SC型，由陶瓷、塑胶、不锈钢等材料制成，光纤藕合器可做为多模光纤与网络设备或接线装置上的连接，配线架和光纤配线箱通常设在弱电井或设备间内，用来连接其他子系统，并对它们通过跳线进行管理。

设备间子系统（EQUIPMENTSUBSYSTEM）设备间子系统由主配线架和各公共设备组成，它主要功能是将各种公共设备（如：

计算机主机，PABX、各种控制系统、网络交换设备等）与主配线架连接起来，该子系统还包括雷电保护装置。

建筑群室外连接子系统（CAMPUSBACKBONESUBSYSTEM）本子系统是指主建筑物中的主配线架延伸到另外一些建筑物的主配线架的连接系统。

与垂直子系统类似，通常采用光纤或大对数电缆连接，它是整个布线系统的一部分（包括传输介质）并支持提供楼群之间通信所需的硬件，其中有电缆、光缆，和防止电缆的浪涌电压进入建筑物的电气保护设备。

管理子系统（ADMINISTRATIONSUBSYSTEM）一个完整的布线系统工程应该包括：

工程设计图纸、施工记录、测试报告、使用说明等材料，对这些材料进行整理归档交由用户保存以备系统的使用和维护。

（4）、ISO11801和EIA/TIA-568A标准对布线系统工程测试的参数及其基本要求作出了规定,但对于双绞线测试的具体参数,两个标准有较大的差别,而这些差别对布线系统工程有重要影响。

现对比如下:

参数性能描述ISO11801标准EIA/TIA-568A标准最大长度小于等于90米小于等于90米返回损耗（Returnloss）表征布线系统工程安装后阻抗匹配性能的重要参数最小值10DBN/A衰减（Attenuation）一个与线的长度,材质和端接工艺有关的参数。

在100MHZ时的最大值小于22DB在100MHZ时的最大值小于22DB近端串扰（NEXT）表征线缆中某一对双绞线上信号传输时对相邻线