卷烟厂网络规划.docx

1、卷烟厂网络规划（网络工程与系统集成）设计说明书卷烟厂网络规划起止日期： 2015 年 12 月 7日 至 2015 年 12 月 12 日学生姓名班级学号成绩指导教师(签字)计算机与通信学院2015年 12 月摘要随着信息技术的快速发展，小型商用企业的业务将进一步的电子化，与Internet的联系将更加紧密。他们也需要信息基础平台去支撑业务高速发展。这样没有信息技术背景的企业也将会对网络建设有主动诉求。任何决策的科学性和可靠性都是以信息为基础的，信息和决策是同一管理过程中的两个方面，因此行业信息化也就成了人们所讨论并实践着的重要课题，众多行业巨擘纷纷上马各种应用方案且取得了巨大的成功，使信息化

2、建设更具吸引力。相对于大型应用群体而言，中小型企业的信息化建设工程通常有规模较小，结构简单的特点，综合资金投入、专业人才以及未来发展等因素，网络的实用性、安全性与拓展性（升级改造能力）是中小企业实现信息化建设的主要要求，因此，成本低廉、操作简易、便于维护并能满足业务运作需要的网络办公环境是这一领域的真正需求。针对绝大多数中小型企业集中办公这一现实特点，我们设计的中小企业信息化常用解决方案，能够较好地发挥企业网的使用效果和水平，具有很强的代表性。关键词： 中小企业网络规划目录摘要 1目录 2一、课程设计的目的与意义 3二、需求分析 42.1现状分析 42.2网络需求 42.3性能需求 42.4技

3、术需求 42.5备份技术 5三、方案设计 63.1设计策略 63.2组网设计 63.3拓扑结构 63.4设计模型 73.5地址规划 8四、方案实现 94.1网络安全 94.1.1网络管理 94.1.2网络安全体系 94.1.3网络安全特征 94.1.4网络安全威胁 94.1.5安全性设计 104.2设备选型 104.2.1选型原则 104.2.2交换机 114.2.3路由器 144.2.4防火墙 154.2.5服务器 164.2.6工作站 174.3软件配置 184.3.1服务器 184.3.2工作站 184.3.3开发工具 184.4综合布线 194.4.1布线标准 194.4.2综合布线系

4、统特点 194.4.3设计原则 194.4.4布线系统组成 204.4.5总体设计方案 20五、心得体会 22六、参考文献 23一、课程设计的目的与意义 网络工程与系统集成课程设计课程是计算机网络工程专业的一门专业实践课，其主要内容是规划和设计一个中小型网络，课程设计所涉及的工作过程主要包括网络工程招标文件的写作、网络工程标书的写作、网络方案的设计、网络方案的推广、网络方案的实现。通过本课程设计，使学生全面了解和掌握网络工程规划和设计的方法，了解计算机网络工程规划与设计的一般过程，具体包括在自顶向下的网络设计方法中需求分析、逻辑设计、物理设计、优化测试及文档编写，从而可以完成一些类似于校园网或

5、者中小型企业的网络的规划和设计，形成一个详细的设计方案。要求根据对中小型网络分析，设计与构建的基本技术，基本原理，并且最后形成一个详细的网络规划与设计的文档。从而提高学生网络工程的应用能力，使学生可以提高学生分析问题和解决问题的能力和团队协作的能力。课程的目标设计主要是下面几个方面： 能力目标1. 能理解并熟悉常见中小型企业的网络系统集成方案；2. 能独立完成中小型网络设计前需求分析方案的设计，并正确分析需求分析结果；3. 能根据需求分析结构，独立完成中小型网络的设计方案；4. 能根据中小型网络设计方案，独立完成方案的组网与实施； 5. 能根据项目需求，依据国家相关规定，协助完成网络标书的写作

6、； 知识目标1. 掌握网络规划需求分析的方法与技巧；2. 掌握逻辑网络设计的方法；3. 掌握物理网络设计的方法； 4. 理解网络标书的格式及书写方法； 5. 知道网络招标的流程；6. 掌握常见网络系统集成实施中的关键技术； 素质目标1. 培养良好的逻辑表达和沟通能力；2. 培养良好的文案能力； 3. 培养团队协作意识； 其他目标1. 成本与利润的意识；2. 网络安全防范的意识；3. 网络冗余及可靠性保障的意识；4. 独立分析和解决问题的能力；二、需求分析2.1现状分析某卷烟厂拟实施CIMS（现代集成制作系统）规划，需建立企业网络系统，设计全场经营、政工、技改、财务、质量、生产、销售、后勤等部门

7、，主要分布在办公楼和生产厂区、占地0.4 平方公里，厂外有少量销售点。办公楼为6层，需联网计算机96台。卷烟厂库区距厂区直线距离约2公里，有20台计算机。在全市范围内设有6个厂外销售部，每个销售部有1020台计算机不等。另外有遍及全市的销售点近百个，每个销售点有1台计算机。2.2网络需求 网络系统连接的站点覆盖主厂区、库区及厂外销售部，远程通信遍及市内全部销售网点，并为今后同外单位及国际互联网的通信连接做好基础准备工作。各销售点可以考虑采用ISDN 拨入的方式。 支持分布式数据库应用，以实现全厂的MIS 和面向决策的综合信息查询系统和决策支持系统（在厂部和厂外销售部都有数据库），各销售点的计算

8、机根据地域的划分分别与就近的销售部和厂部的数据库相连。 综合考虑系统可靠性、实用性、开放性、先进性和经济性。 以当前需求为主，兼顾发展的需要。 支持企业的Intranet 和与Internet 的连接。2.3性能需求为了保证系统能够长期、安全、稳定、可靠、高效的运行，企业网络安全方案应该满足以下需求： 系统处理的全面性和及时性方案的全面性和处理事件的及时性是必要的性能。从各个方面考虑到可能受到的网络攻击，做好全方面的补救和抵御措施。且在发生突发情况下能及时的补救，保证企业网络的正常运行。 系统方案的可扩充性在方案的设计过程中，应该充分考虑系统的可扩充性，为以后企业的发展，网络设备的扩充，提供良

9、好条件。 系统的易用性和易维护性在完成这套方案之后，只需要技术人员在硬件上做好管理措施、系统上及时更新升级，以及做好备份工作。 方案的标准性方案在设计过程中，要涉及很多计算机硬件、软件。所有这些都要符合主流国际、国家和行业标准。例如要用到的操作系统、网络设备以及软件、技术都要符合通用的标准。2.4技术需求根据实际情况，全方面的找出并解决企业存在的各方面安全问题，从网络的硬件设备的安全以及配置、系统防御软件检测防御、流量控制优先级（QOS技术）、以及数据的加密传输、签名认证和远程专用网络，以及合理应用内外防火墙，达到最大限度保证企业信息的安全，以及网络的通信顺畅。 NAT技术NAT英文全称是“N

10、etwork Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。 简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，虽然

11、地址转换技术设计的目的是为了节省IP地址，但是客观上，这种技术对网络外部隐藏了一个网络内部的地址结构，加大了内网的安全。 QOS技术QOS的英文全称为Quality of Service，中文名为服务质量。QOS是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。用于衡量使用一个服务的满意程度。QOS不是创造带宽，而是管理带宽，因此它能应用得更为广泛，能满足更多的应用需求。QOS的目标是要提供一些可预测性的质量级别，以及控制超过目前IP网络最大服务能力的服务。 ACL技术访问控制列表（Access Control Lists,ACL）是应用在路由器接口的指令列表。这些指令列表用来告

12、诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。2.5备份技术 网络的物理安全（1） 地震、水灾、火灾等环境事故;（2） 电源故障;（3） 人为操作失误或错误;设备被盗、被毁;（4） 电磁干扰;（5） 线路截获；（6） 高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识；在这个卷烟厂局域网内，由于网络的物理跨度不大

13、，只要制定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，这些风险是可以避免的。这个是整个网络系统安全的前提。 容灾备份容灾备份是通过特定的容灾机制，在各种灾难损害发生后，仍然能够最大限度地保障提供正常应用服务的信息系统。容灾备份可以分为数据备份和应用备份。数据备份需要保证用户数据的完整性、可靠性和一致性。而对于提供实时服务的信息系统，用户的服务请求在灾难中可能会中断，应用备份却能提供不间断的应用服务，让客户的服务请求能够继续运行，保证信息系统提供的服务完整、可靠、一致。一个完整的容灾备份系统包括本地数据备份、远程数据复制和异地备份中心。三、方案设计3.1设计策略本方案为局域网网络

14、安全解决方案，包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计等。本安全解决方案的目标是在不影响卷烟厂局域网当前业务的前提下，实现对卷烟厂局域网全面的安全管理：（1）将安全策略、硬件设备及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。（2） 定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。（3） 通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时具备很好的安全取证措施。（4） 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态，最大限度地减少损失。（5）在工作站、服务器上安装相应的防

15、病毒软件，由中央控制台统一控制和管理，实现全网统一防病毒。3.2组网设计 主厂区总部是信息存放、处理的中心，网络内部主机数量多，数据流量大，同时，为了保障网络安全，我们选择具备防火墙、VPN功能的CISCO ASA5510-K8防火墙。CISCO ASA5510-K8防火墙最高吞吐量为300Mbps，最大并发连接数为130000，并未对用户数量进行限制，基于以上性质，这款防火墙足以满足卷烟厂的实际需求。基于思科安全管理的强大功能，用户可对网络和设备状态进行准确监控，及时发现网络问题并提早防御，在网络安全方面占据优势。 库区和厂外销售部库区和厂外销售部利用China Net和Internet网及

16、数据加密技术构成企业的内部虚拟专用网。考虑到各分支节点经济及网络状况和VPN连接的稳定性，因此，可采用深信服VPN-2050。深信服VPN-2050采用1U机架式设计，通常配置安装于专用机柜内部，该机属于IPSEC/SSL VPN二合一网关，北配4个千兆电口，大于等于150Mbps的网络吞吐量和35万的并发连接数保证这款设备的优秀性能。 各销售点设计方案由于市内的销售点仅有一台计算机，所以采用Modem、ADSL或宽带的方式接入Internet，并在该终端上安装软件网关，从而达到和主厂区以及市内其他销售部的VPN通讯。 移动用户的远程安全接入在外出差的移动用户可以通过安装在笔计本电脑上的“安全

17、客户端”软件，随时通过当地的 ISP （如：拨号上网）接入 Internet 。再使用该软件和远端的安全网关建立加密隧道，安全接入总部和各个销售部，并在任何地方使用卷烟厂内部的 OA 系统。3.3拓扑结构 总线拓扑总线拓扑结构采用一个信道作为传输媒体，所有站点都通过相应的硬件接口直接连到这一公共传输媒体上，该公共传输媒体即称为总线。总线拓扑结构的优点：（1） 总线结构所需要的电缆数量少。（2） 总线结构简单，又是无源工作，有较高的可靠性。（3） 易于扩充，增加或减少用户比较方便。 总线拓扑的缺点：（1） 总线的传输距离有限，通信范围受到限制。（2） 故障诊断和隔离较困难。（3） 分布式协议不能

18、保证信息的及时传送，不具有实时功能 星形拓扑星形拓扑是由中央节点和通过点到到通信链路接到中央节点的各个站点组成。星形拓扑结构具有以下优点：（1） 控制简单。（2） 故障诊断和隔离容易。（3） 方便服务。星形拓扑结构的缺点：（1） 电缆长度和安装工作量可观。（2） 中央节点的负担较重，形成瓶颈。（3） 各站点的分布处理能力较低。3.4设计模型卷烟厂的企业网Intranet是以主厂区的办公大楼为中心，通过帧中继及电信的VPN与市内的厂外销售部连接的企业广域网，其余市里的近百个小销售点则通过拨号上网或宽带上网与总部服务器连接，已经初步建立起一套信息交互的网络体系。总部网络通过电信的光纤接入互联网。在

19、网络的接口处部署了防火墙提供内网访问Internet的路由并保证内部网络的安全。3.5地址规划 规划原则1. 简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式；2. 连续性：为同一个网络区域分配连续的网络地址，便于地址聚合，提高路由器的处理效率；3. 可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性；4. 唯一性：在整个网络环境中必须保持IP地址的唯一性；5. 可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。6. 安全性：网络内应按工作内容划分成不同网段即子网以便进行管理。 规划方案采用内部地址172.16.0.0

20、，掩码255.255.255.0来给每一部门分配地址区间部门VLAN号IP地址掩码财务部VLAN117216102552552550质量部VLAN217216202552552550政工部VLAN317216302552552550销售部VLAN417216402552552550后勤部VLAN517216502552552550生产部VLAN617216602552552550技改部VLAN717216702552552550四、方案实现4.1网络安全4.1.1网络管理网络管理就是控制一个复杂的数据网络去获得最大效益和生产率的过程，为了更好的定义网络管理的范围，国际标准化组织（ISO）把网络

21、管理的任务划分为五个功能：网络的故障管理、配置管理、性能管理、安全管理和计帐管理。 故障管理(FAILURES)检测、隔离、更正网络问题，并从这些问题中恢复； 配置管理(CONFIGURATION)从网络中获取信息、并根据这些信息对设备进行配置，通过它，可以实现对网络设备配置的集中管理； 性能管理(PERFORMANCE)调整和优化网络性能的管理活动，经常要考虑的性能变量有网络吞吐量、用户响应时间和线路利用率等； 安全管理(SECURITY)控制对网络资源和敏感信息的访问，这种控制包括对网络设备的访问限制、对给定设备上某种应用的访问控制，以及对网络协议的访问控制； 计费管理(ACCOUNTIN

22、G)测度网络上资源的利用情况，设置计量单位、确定开销、向用户收费。4.1.2网络安全体系随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、恶意软件和其他不轨的攻击。网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快而变到越来越重要。4.1.3网络安全特征 保密性信息不泄露给非授权用户、实体或过程，或供其利用的特性。 完整性数据XX不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性可被授

23、权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击； 可控性对信息的传播及内容具有控制能力。4.1.4网络安全威胁 自然灾害； 计算机犯罪； 人为行为； 黑客行为； 内部泄密； 外部泄密； 信息丢失； 电子谍报； 信息战； 网络协议中的缺陷；4.1.5安全性设计 内部网安全控制1. ACL由于局域网中采用广播方式，因此，通过对广播域中信息包的侦听，黑客就可以截取在广播域中传递的信息。为此，常采用网络分段方式，将非法用户与网络资源隔离。网络分段有物理分段和逻辑分段两种方式。物理分段常是指将网络从物理层和数据链路层

24、上分为若干网段，各网段之间无法进行直接通讯。逻辑分段是指将系统从网络层分段。对于TCP/IP网络，可把网络分成若干IP子网，各子网间必须通过诸如路由交换机之类的设备进行连接，利用这些设备的安全机制来控制各子网间的访问。2. VLANVLAN（虚拟局域网）也是保证网络安全的重要技术之一。使用VLAN技术，可以将不同部门、不同权限的用户划分在不同的虚拟网内，通过VLAN设置的访问控制，使在虚拟网外的节点不能直接访问虚拟网内节点。 外联网的安全控制内部网与外部网络之间的安全控制主要采用防火墙技术。防火墙是如下的一种策略，它是两个网络之间访问的集合，可实现：（1） 从里向外，或从外向里的流量，必须经过

25、防火墙；（2） 只有被本地安全政策允许的流量才能通过防火墙；从网络安全的需求上来看，可以将防火墙的特点分为三大类：（1） 安全性类，包括访问控制、授权论证、加密、内容安全；（2） 管理和记帐，包括路由器安全管理、记帐、监控等；（3） 连接控制；主要功能为：（1） 访问控制限制未授权用户访问内部网和信息资源的措施。支持多种应用和协议，包括抽有Internet服务，如安全WEB浏览器、传统Internet应用Mail、FTP等，支持多媒体应用。（2） 授权认证对访问连接的用户采取有效的权限控制和访问者的身份识别。同时对在整个网络范围内发生的认证过程进行全程的监控、跟踪和记录。（3） 地址翻译隐藏内

26、部IP地址和网络结构；把内部的非法IP地址翻译成合法的IP地址。（4） 日志、记帐对用户在网络中的活动情况进行记录，允许系统管理员对选择的连接进行记帐处理。4.2设备选型4.2.1选型原则 稳定可靠的网络只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。 高带宽为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用最先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。 易扩展的网络系统要有可扩

27、展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。 安全性 网络系统应具有良好的安全性，由于网络连接县城内部所有用户，安全管理十分重要。应支持VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。比如对于外网防止DOS攻击能力,RIP攻击,DHCP server等.对于内部网络,按照用户,功能进行VLAN划分,网段划分等。 容易控制管理 因为上网用户很多，如何管理好他们的通信，做到既保证一定的用户通信质量，又合理的利用网络资源，是建好一个网络所面临的首要问题。4.2.2交换

28、机 三层交换机华为S7706参考价： 26000主要参数 产品类型路由交换机、POE交换机 应用层级三层 传输速率10/100/1000Mbps纠错 交换方式存储-转发 背板带宽3.84Tbps/5.12Tbps 包转发率1152Mpps/2880Mpps端口参数 端口结构模块化 扩展模块6个业务槽位功能特性 VLAN支持Access、Trunk、Hybrid方式支持default VLAN支持VLAN交换支持QinQ、增强型灵活QinQ支持基于MAC的动态VLAN分配 QOS支持基于Layer2协议头、Layer3协议、Layer4协议、802.1p优先级等的组合流分类支持ACL、CAR、R

29、emark、Schedule等动作支持PQ、WRR、DRR、PQ+WRR、PQ+DRR等队列调度方式支持WRED、尾丢弃等拥塞避免机制支持流量整形 组播管理支持IGMPv1/v2/v3、IGMP v1/v2/v3 Snooping支持PIM DM、PIM SM、PIM SSM支持MSDP、MBGP支持用户快速离开机制支持组播流量控制支持组播查询器支持组播协议报文抑制功能支持组播CAC支持组播ACL 网络管理支持Console、Telnet、SSH等终端服务支持SNMPv1/v2/v3等网络管理协议支持通过FTP、TFTP方式上载、下载文件支持BootROM升级和远程在线升级支持热补丁支持用户操

30、作日志 安全管理802.1x认证，Portal认证支持NAC支持RADIUS和HWTACACS用户登录认证命令行分级保护，未授权用户无法侵入支持防范DoS攻击、TCP的SYN Flood攻击、UDP Flood攻击、广播风暴攻击、大流量攻击支持1K CPU通道队列保护支持ICMP实现ping和traceroute功能支持RMON其它参数 电源电压AC 90-290VDC -38.4-72V 电源功率1600W，最大POE功率8800W 产品尺寸442476442mm 产品重量30kg 销售部交换机华为S5700-24TP-SI(AC)参考价： 4398主要参数 产品类型千兆以太网交换机 应用层级三层纠错 传输速率10/100/1000Mbps 交换方式存储-转发 背板带宽256Gbps 包转发率72Mpps MAC地址表16K端口参数 端口结