网络规划设计书贵州师范大学经济与管理学院10信管郑波.docx

1、网络规划设计书贵州师范大学经济与管理学院10信管郑波计算机网络规划与组网技术课程设计网络规划设计书任务名称： 办公楼网络规划设计 学 院： 经济与管理学院 专业班级： 10级信息管理与信息系统 学 号： 100403010061 学生姓名：_ 郑 波 2013年 6 月 29 日第1章 网络需求分析1.1 基本需求分析该公司有办公楼三栋，每栋楼均为两层结构（如图1、图2所示）。现计划在该公司建立Intranet，用以管理公司的各项业务。网络要求主干为千兆连接，水平为百兆端接到桌面。为保证今后扩展的需要，每一间办公室有3-8个信息点，可以接入公司内网，也可以通过内网接入Internet（采用电信

2、10M ADSL）。网络中心建在1栋的第一层（见图1），所有网络的核心设备均安装在网络中心，其中包括服务器5台、磁盘阵列1套10G容量、UPS1套、ERP软件1套、数据库软件1套，其余设备根据需要选择。为保证该公司的对外宣传，建有Web服务器1个，安装在网络的DMZ区域。根据以上提示，设计该公司的Intranet。要求能全面满足该公司的所有办公和业务需求，设备类型、数量、规格由设计者确定，总投资控制在200万以内。 图1：一楼办公楼 图2：二楼办公楼办公楼信息点统计表：区域楼层信息点信息模块第一栋楼第一层2448第二层2142第二栋楼第一层2448第二层2142第三栋楼第一层2448第二层21

3、421.2 性能需求分析1、因为本次设计主要针对的是该公司建立Intranet，用以管理公司的各项业2、网络要求主干为千兆连接，水平为百兆端接到桌面。3、每一间办公室有3-8个信息点，可以接入公司内网，也可以通过内网接入Internet（采用电信10M ADSL）。4、网络中心建在1栋的第一层（见图1），所有网络的核心设备均安装在网络中心。5、服务器5台、磁盘阵列1套10G容量、UPS1套、ERP软件1套、数据库软件1套，其余设备根据需要选择。为保证该公司的对外宣传，建有Web服务器1个，安装在网络的DMZ区域。第2章 网络拓扑结构2.1网络设计原则网络系统设计是一个综合性的建设工作，要满足公

4、司信息化的要求,为各类应用系统提供方便、快捷的信息通路；具有良好的性能，能够支持大容量和实时性的各类应用；能够可靠运行，具有较低的故障率和维护要求。提供网络安全机制，满足集团信息安全的要求，具有较高的性价比，未来升级扩展容易，保护用户投资；用户使用简单、维护容易，为用户提供良好的售后服务。 本方案的设计原则是： 可靠性：网络的安全可靠性是网络的一个重要的指标。计算机网络系统必须绝对可靠，网络设计必须可靠性重点考虑。从结构设计、产品选择以及网络管理上要对网络的可靠性作出保证。安全性与可靠性同样重要，除了系统提供多种安全控制的手段外，网络设计也要提供保障其安全的手段。 独立性:公司某些部门之间有不

5、同的业务，各自独立于其他部门，像公司财务部就应该独立出来，其他部门在没有授权的情况下无法访问财务部的业务网络 实用性：网络设计一定要充分保护网络系统现有资源。同时要根据实际情况，采用新技术和新装备，还需要考虑组网过程要与平台建设及开发同步进行，建立一个实用的网络。力求使网络既满足目前需要，又能适应未来发展，同时达到较好的性能/价格比。 高效性 :公司总部与分部坐落在不同的城市，在进行日常办公和通信时网络一定要及时高效。业务的处理，总部的措施能及时下达各个分部，各个分部的业务能及时向总部汇报。各个分部间业务能快速进行沟通处理。 充足的、可扩展的带宽随着应用软件复杂程度的增加，网络用户数量的增长以

6、及多媒体技术的普及，当今网络对带宽的需求日益增加。传统的共享式10M/16M 网络已不能满足需求。网络系统应该能为用户提供足够的带宽，满足用户的实际应用需求，并且带宽应该是动态可调整、可扩展的。 技术先进性计算机网络技术的发展非常迅速，在计算机应用领域占有越来越重要的地位。必须认识到，建立计算机网络是一个动态的过程，在这个过程中将不断有新技术产生，有新产品出现。因此,一定要采用最先进的组网技术，选用代表当今世界潮流趋势的计算机公司的网络产品，才能在未来的发展中保持技术领先2.2 网络拓扑图设计根据实际观察结果，该企业办公楼网络拓扑图如下： 拓扑图说明： 1、核心层交换机和汇聚层交换机接入层交换

7、机均放在办公楼的一楼网络中心； 2、放在接入层交换机连接办公楼一、二楼层工作区子系统； 3、其它两栋的设计均与第一栋办公楼的相同。网络设计特点 1、容易实现。 2、节点的扩展、移动方便。 3、维护容易，单台计算机对其它节点影响小。 4、数据传输快。2.3中心机房设计1.机房地面设计： 设计的基本原则是，防静电、防滑、防尘、和防潮的前提下，采用简便、经济实惠的次啊聊。同事保证机房地面能支撑所有设备重量，所以，机房地面最好采用铺设灵活、方便、走线合理、具有高抗静电的活动地板，与地面的距离在2030cm之间，保证系统的绝缘电阻在10M以上。而且，活动地板最好为配有走的异形地板，以方便架设电源、信号等

8、电缆。2.机房墙面设计： 机房墙面选用不易产生尘埃，也不易吸附成爱的材料涂裱墙面。目前大多采用塑料壁纸和乳胶漆等3.机房顶棚设计： 为了调温、吸音 ，同时方便布置照明灯和装饰，最好在原房子顶棚下加一层吊顶，吊顶既要美观，又必须满足防火、消尘的要求。这里我们可以选用铝合金或轻钢作龙骨、安装吸音铝合金板、难燃的铝塑板、纸面石英板等4.机房门窗设计： 应该保证具有良好的密封性，以达到隔音防尘的目的，同时保证最大安装设备能方便进出机房，窗户采用双层密闭的玻璃窗，便于条纹。为防止阳光直接照射，最好安装窗帘。还有防盗问题。5.机房照明设计： 机房的照明度不宜过亮，以保证操作的准确度，提高工作效率，减少视觉

9、疲劳，按照国家标准，机房在离地面0.8m处的照明度应为150200勒克斯。在有吊顶的房间可选用嵌入式荧光灯（两管或者三管均可），无吊顶的机房可选用吸顶式或吊链式荧光灯作为照明源。6.机房环境设计：卫生必需做到一尘不染，温度在开始时控制在15-30，停机时控制在5-35，湿度控制在20%-80%，防电磁辐射干扰。 第3章 网络设备选型3.1 核心层一、设备选型基于对核心层的功能及作用，根据用户的实际需求，本方案中对网络系统中核心层由CISCO系列的企业级核心交换机WS-C3560-48TS-S组成。其主要任务是提供高性能、高安全性的核心数据交换、QoS 和为接入层提供高密度的上联端口。为整个大楼

10、宽带办公网提供交换和路由的核心，完成各个部分数据流的中央汇集和分流。同时为数据中心的服务器提供千兆高速连接。企业级核心路由交换机WS-C3560-48TS-S的性能特性及技术指标如下：CISCO WS-C3560-48TS-S交换机图样CISCO WS-C3560-48TS-S参数规格如下： 产品类型 企业级交换机 应用层级 三层 传输速率 10/100Mbps 产品内存 DRAM内存：128MB FLASH内存：16MB 交换方式 存储-转发 背板带宽 32Gbps 包转发率 13.1Mpps MAC地址表 12K 端口参数 端口结构 非模块化 端口数量 52个 端口描述 48个以太网10/

11、100Mbps PoE端口，4个SFP上行链路端口 传输模式 支持全双工 功能特性 网络标准 IEEE 802.3，IEEE 802.3u，IEEE 802.3z，IEEE 802.3ab 堆叠功能 可堆叠 VLAN 支持 QOS 支持 网络管理 网管功能 SNMP，CLI，Web，管理软件 其它参数 产品尺寸 30144544mm 产品重量 4.1kg 环境标准 工作温度：0-45 3.2 汇聚层 一、设备选型 思科新推出的Cisco Catalyst 3750系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。这个新的产品系

12、列采用了最新的思科StackWise技术，不但实现高达32Gbps的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统-就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。对于中型组织和企业分支机构而言，Cisco Catalyst 3750系列可以通过提供配置灵活性，支持融合网络模式，已经自动配置智能化网络服务，降低融合应用的部署难度，适应不断变化的业务需求。此外，Cisco Catalyst 3750系列针对高密度千兆位以太网部署进行了专门的优化，其中包含多种可以满足接入、汇聚或者小型网络骨干网连接需求的交换机。2、汇

13、聚层交换机 CISCO WS-C3750G-24TS-S交换机图样CISCO WS-C3750G-24TS-S有以下特点： 3750系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。这个产品系列采用了最新的思科StackWise智能堆叠技术，不但实现高达32Gbps的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统 - 就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。3750系列最多可以将9个交换机堆叠在一起，构成一个统一的逻辑单元，其中总共包含46

14、8个以太网10M/100M端口或者252个以太网10M/100M/1000M端口。各个10M/100M和10M/100M/1000M单元可以根据网络的需要任意组合。3750系列可以使用标准多层软件镜像（SMI）或者增强多层软件镜像（EMI）。SMI功能集包括先进的服务质量（QoS）、速率限制、访问控制列表（ACL）和基本的静态和路由信息协议（RIP）路由功能。EMI可以提供一组更加丰富的企业级功能，包括先进的、基于硬件的IP单播和组播路由。 其参数如下： 交换机类型 网管交换机 内存 128MB 传输速率 10Mbps/100Mbps/1000Mbps 网络标准 IEEE 802.3、IEEE

15、 802.3u、IEEE 802.3z、IEEE 802.3ab 端口数量 24 接口介质 10/100/1000Base-TX、1000Base-FX/SX 传输模式 支持全双工 配置形式 可堆叠 交换方式 存储-转发 背板带宽 32Gbps VLAN支持 支持 MAC地址表 12k 模块化插槽数 4 尺寸(mm) 29544566 重量(Kg) 5.68 其他技术参数 1 / 1.5机架单元（RU）可堆叠多层交换机；提供到网络边缘的企业级智能化服务 ；预装标准多层软件镜像（EMI）； 基本的RIP和静态路由器，可以升级到完全动态的IP路由设备选型概念： Cisco Catalyst 296

16、0系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和10/100/1000千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强LAN服务。 CISCO WS-C2960-24TT-L 交换机图样 接入层交换机CISCO WS-C2960-24TT-L具有以下特点： 1、集成安全特性，包括网络准入控制(NAC) 2、高级服务质量(QoS)和永续性 3、为网络边缘提供智能服务。其参数如下： 交换机类型 智能交换机 内存 64MB 传输速率 10Mbps/100Mbps/1000Mbps 网络标准 IEEE 802.3、IEEE 802.3u、IEEE 802.

17、1x、IEEE 802.1Q、IEEE 802.1p、IEEE 802.1D、IEEE 802.1s、IEEE 802.1w、IEEE 802.3ad、IEEE 802.3z、IEEE 802.3 端口数量 24 接口介质 10/100Base-T、10/100/1000Base-Tx 传输模式 全双工/半双工自适应 交换方式 存储-转发 背板带宽 4.4Gbps VLAN支持 支持 MAC地址表 8K 模块化插槽数 2 指示面板 每端口状态:连接完整性、禁用、活动、速度、全双工,系统状态:系统、RPS、链路状态、链路双工、链路速度 环境标准 工作温度:0-45、工作湿度:10%-85%(非冷

18、凝)、存储温度:-25-70、存储湿度:10%-85%(非冷凝) 尺寸(mm) 44445236 重量(Kg) 3.6K网络设备型号及投资：一下是办公楼1的设备投资，其它两栋一样，所以共计约为：338821 x 3 = 1016463元，总投资浮动与这个价格。详细清单网络设备选型及预算的excel表格。 第4章 网络IP规划在企业网网络规划中，IP地案的设计至关重要，好的IP地址方案不仅可以减少网络负荷，还能为以后的网络扩展打下良好的基础。IP地址的合理是保证网络顺利运行和网络资源有效利用的关键。企业网IP地址的分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合理使用，保证实现最佳的

19、网络内地址分配及业务流量的均匀分布。具体地来说IP地址的合理规划有如下的意义：（1）唯一性：为实现网络中所有设备都可以互访,一个IP网络中不能有两个主机采用相同的IP地址;（2）层次性：IP地址的划分采用层次化的方法，和层次化的网络设计相应， 在地址划分上我们也采用层次化的分配思想，从XXx厅开始规划，再规划各地州、县，使地址具有层次性，能够逐层向上汇聚。（3）可扩展性：地址分配在每一层次上都要留有一定余量，以便在网络扩展 时能保证地址叠合所需的连续性；IP地址分配处理要考虑到连续外，又 要能做到具有可扩充性，并为将来的网络扩展预留一定的地址空间；充分利用无类别域间路由（CIDR）技术和变长子

20、网掩码（VLSM）技术， 合理高效地利用IP地址，同时，对所有各种主机、服务器和网络设备，必须分配足够的地址，划分独立的网段，以便能够实现严格的安全策略控制。(4) 可管理性：地址分配应简单且易于管理，以降低网络扩展的复杂性，简化路由表； 具体的IP规划见下表：具体的IP规划见下表：设备位置设备名称IP地址子网掩码外网防火墙192.168.252.1255.255.255.0内网防火墙172.16.1.200255.255.255.0内网核心层交换机172.16.1.198255.255.255.0内网汇聚层交换机172.16.1.196255.255.255.0内网接入层交换机172.16.

21、1.193255.255.255.0内网服务器172.16.1.183255.255.255.0内网路由器172.16.1.179255.255.255.0第5章 网络安全设计5.1 网络安全网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种

22、学科的综合性学科。5.2存在的网络安全问题 应用系统的安全跟具体的应用有关，它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面。应用的安全性也是动态的。需要对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。主要有文件服务器的安全风险、数据库服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等 。 5.2.1管理的安全问题 管理方面的安全隐患包括：内部管理人员或员工图方便省事，不设置用户口令，或者设置的口令过短和过于简单，导致很容易破解。责任不清，使用相同的用户名、口令，导致权限管理混乱，信息泄密。用户权限设置过大、开放不必要

23、的服务端口，或者一般用户因为疏忽，丢失帐号和口令，从而造成非授权访问，以及把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。可能造成极大的安全风险。 5.2.2操作系统的安全漏洞 计算机操作系统尤其服务器系统是被攻击的重点，如果操作系统因本身遭到攻击，则不仅影响机器本身而且会消耗大量的网络资源，致使整个网络陷入瘫痪。 5.2.3病毒侵害 一旦有主机受病毒感染，病毒程序 就完全可能在极短的时间内迅速扩散，传播到网络上的其他主机，可能造成信息泄漏、文件丢失、机器不能正常运行等。 考虑到Internet 的安全性，以及网络安全等一些因素。因此本企业的网络安全构架要求

24、如下： 1根据公司现有的网络设备组网规划；2保护网络系统的可用性；3保护网络系统服务的连续性； 4防范网络资源的非法访问及非授权访问；5防范入侵 者的恶意攻击与破坏；6保护企业信息通过网上传输过程中的机密性、完整性； 7防范病毒的侵害；8实现网络的安全管理。 通过了解公司的需求与现状，为实现网络公司的网络安全建设实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用情况进行追踪，防范外来计算机的侵入而造成破坏。通过网

25、络的改造，使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要 1) 构建良好的环境确保企业物理设备的安全2) 划分VLAN控制内网安全 3) 安装防火墙体系4) 安装防病毒服务器5) 加强企业对网络资源的管理 5.2 网络的DMZ区DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设

26、施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。5.3 网络防火墙网络的防火墙是这样的系统（或一组系统），它能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。要使一个防火墙有效，所有来自和去往Internet的信息都必须经过防火墙，接受防火墙的检查。防火墙只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。根据网络整体安全及保证财务部的安全考虑，采用2台cisco pix5

27、35防火墙，一防火墙对财务部与企业内网进行隔离，另一防火墙对Internet 与企业内网之间进行隔离，其中内服务器对外服务器连接在防火墙的 DMZ 区与内、外网间进行隔离。 防火墙设置原则如下所示：建立合理有效的安全过滤原则对网络数据包的协议、端口、源/目的地址、流向进行审核，严格控制外网用户非法访问；防火墙DMZ区访问控制，只打开服务必须的HTTP、FTP、SMTP、POP3 以及所需的其他服务，防范外部来的拒绝服务攻击；定期查看防火墙访问日志；对防火墙的管理员权限严格控制。 防火墙配置有三种：Dual-homed方式、Screened- host方式和Screened-subnet方式。

28、（1）Dual-homed方式最简单。Dual-homedGateway放置在两个网络之间，这个Dual-omedGateway又称为bastionhost。这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受“黑客”攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。 （2）Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionh

29、ost，只要有一个失败，整个网络就暴露了。 （3）Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为”停火区”（DMZ，即DemilitarizedZone）,Bastionhost放置在“停火区”内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。 但是通常常见的三种防火墙设置方式如下：（1）防火墙置于边界路由与交换机之间隔离内网和外网，如下图所示： （2）通常通过防火墙姜网络区域划分为多个区域，如外部区域、内部区域、DMZ区域等，DMZ区域通常放于给企业提对外供服务

30、的服务器，如下图：（3）由于防火墙位于网络关键路径，若其发生故障，则不同区域的网络将不能访问，可能会导致业务中断。则姜防火墙分为主防火墙和备用防火墙，主防火墙处理所有通信，备用防火墙则只是保持活动，两个防火墙用心跳线连接，一但主防火墙被攻破，则备用防火墙处理所有通信，这样一来就使得网络的安全性进一步提高了。如下图所示：应用防火墙及入侵检测、安全扫描、网络防病毒等技术，对出入口的信息进行严格的控制；对网络中所有的装置进行检测、分析和评估，发现并报告系统内存在的弱点和漏洞，评估安全风险，建议补救措施，并有效地防止黑客入侵和病毒扩散，监控整个网络的运行状况。 防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等。防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。