旭日集團股份公司 網(wǎng)絡系統(tǒng)集成方案 一、前言 1.1集團綜合信息系統(tǒng)建設目標 -3 1.2. 用戶具體需求 -4 1.3集團綜合信息系統(tǒng)建設原則 -4 1.3.1 先進性 .5 1.3.2 標準性 .5 1.3.3 兼容性 .5 1.3.4 可升級和可擴展性 .5 1.3.5 安全性 .6 1.3.6 可靠性 .6 1.3.7 易操作性 . .7 1.3.8 可管理性 . .7 二 綜合布線方案 -8 2.1 需求分析 .8 2.2 綜合布線系統(tǒng)的結構 .9 2.3 系統(tǒng)總體設計 .10 2.4 系統(tǒng)結構設計 描述 .11 2.5 在施工中注意 事項 .12 三網(wǎng)絡設計方案 -13 3.1 網(wǎng)絡設計需求 .13 3.2 總體方案設計策略 14 3.3 旭日集團園區(qū)結構示意圖 15 3.4 網(wǎng)絡設備選型 15 3.4.1 選型 原則 .15 3.4.2 核心層交換機 .17 3.4.3 匯聚層交換機 .18 3.4.4 接入層交換機 .19 3.5 主干網(wǎng)絡技術選型 20 3.6 路由交換技術部分設計 25 3.7 網(wǎng)絡安 全設計 35 四網(wǎng)絡系統(tǒng)設計 37 4.1 系統(tǒng)設計總體需求 .37 4.2 系統(tǒng)設計原則 .38 4.3 系統(tǒng)設計方案 .39 4.3.1 系統(tǒng)構架設計 .39 4.3.2 系統(tǒng)管理設計 .41 4.3.2 系統(tǒng)安全設計 .42 五 Windows 服務器解決方案 -45 5.1WEB 服務器 45 5.2 FTP 服務器角色：配置文件服務器 60 5.3 Exchange Server 2003 產(chǎn)品概述 .71 六工程實施與項目測試 -87 七項目費用 -86 八 技術支持服務 -88 8.1 售后服務內(nèi)容 .88 8.2 保證售后服務質(zhì)量的措施 89 一 前言 功欲善其事，必先利其器 ， 旭日 集團深刻認識到業(yè)務要發(fā)展、必須提高企業(yè)內(nèi)部核心競爭力、而建立一 個方便快捷安全的通信網(wǎng)絡綜合信息支撐系統(tǒng)，已迫在眉睫， 旭日 公司作為一個致力于企業(yè)信息化和系統(tǒng)集成的高科技公司非常榮幸參與 旭日 集團綜合網(wǎng)絡信息系統(tǒng)的建設，希望能盡自己的全力來施展我們的專長來實現(xiàn) 旭日 集團網(wǎng)絡信息系統(tǒng)的建設。 1.1 集團綜合信息系統(tǒng)建設目標 旭日 集團信息系統(tǒng)主要建設一個企業(yè)信息系統(tǒng)，它以管理信息為主體，連接生產(chǎn)、銷售、維護、運營子系統(tǒng)，是一個面向集團的日常業(yè)務、立足生產(chǎn)、面向社會，輔助領導決策的計算機信息網(wǎng)絡系統(tǒng)。 本期項目的目標是建立如下系統(tǒng)： 1構造一個既能覆蓋本地又能與外界進行網(wǎng)絡互通 、共享信息、展示企業(yè)的計算機企業(yè)網(wǎng)。 2選用技術先進、具有容錯能力的網(wǎng)絡產(chǎn)品，在投資和條件允許的情況下也可采用結構容錯的方法 3完全符合開放性規(guī)范，將業(yè)界優(yōu)秀的產(chǎn)品集成于該綜合網(wǎng)絡平臺之中； 4具有較好的可擴展性，為今后的網(wǎng)絡擴容作好準備 5采用 OA 辦公，做到集數(shù)據(jù)、圖像、聲音三位一體，提高企業(yè)管理效率、降低企業(yè)信息傳遞成本 6整個公司計劃采用 10M 光纖接入到運營商提供的 Internet。集團統(tǒng)一一個出口，便于控制網(wǎng)絡安全 7設備選型上必須在技術上具有先進性，通用性，且必須便于管理，維護。應具 備未來良好的可擴展性，可升級性，保護公司的投資。設備要在滿足該項目的功能和性能上還具有良好的性價比。設備在選型上要是擁有足夠?qū)嵙褪袌龇蓊~的主流產(chǎn)品，同時也要有好的售后服務 1.2 具體用戶需求： 1網(wǎng)絡設備配置 配備網(wǎng)絡交換設備，實現(xiàn)樓宇間的千兆光纖連接，保證未來各應用系統(tǒng)的實施以及滿足集團各種計算機應用系統(tǒng)的大信息量的傳輸。 2網(wǎng)管系統(tǒng)設計 提供可以對整個網(wǎng)絡系統(tǒng)進行管理的中文圖形界面工具，使系統(tǒng)維護人員可以集中控制網(wǎng)絡的所有設備。 3內(nèi)、外網(wǎng)隔離 過硬盤隔離卡及雙布線系統(tǒng)、雙網(wǎng)絡設備實現(xiàn)辦公內(nèi)網(wǎng)與 外網(wǎng)隔離。 1.3 集團綜合信息系統(tǒng)建設原則 多業(yè)務網(wǎng)絡系統(tǒng)方案以實現(xiàn)以上功能為基本要求，在設計上力求做到既要采用國際上先進的技術，又要保證系統(tǒng)的安全可靠性和實用性。具體來講，其設計遵循以下原則： 1.3.1 先進性 系統(tǒng)的主機系統(tǒng)、網(wǎng)絡平臺、數(shù)據(jù)庫系統(tǒng)、應用軟件均應使用目前國際上較先進、較成熟的技術，符合國際標準和規(guī)范； 1.3.2 標準性 所采用技術的標準化，可以保證網(wǎng)絡發(fā)展的一致性，增強網(wǎng)絡的兼容性，以達到網(wǎng)絡的互連與開放。為確保將來不同廠家設備、不同應用、不同協(xié)議連接，整個網(wǎng)絡從設計、技術和設備的選擇，必 須支持國際標準的網(wǎng)絡接口和協(xié)議，以提供高度的開放性。 全面支持 IEEE 工業(yè)標準 ： 802.1d， 802.1p， 802.1q， 802.1x，802.3， 802.3u， 802.3z； 支持路由協(xié)議 ： IP 的 RIP V1/2， OSPF， BGP-4；信令標準 ： H.323,RTP/CRTP. 支持 ： IPsec、 L2TP、 GRE、 MPLS-VPN 規(guī)范。 支持多址廣播協(xié)議 ： IGMP， DVMRP， PIM-DM， PIM-SM； 網(wǎng)絡管理協(xié)議： SNMP， RMON， RMON2； 1.3.3 兼容性 跟蹤世界科技發(fā)展動態(tài)，網(wǎng)絡規(guī)劃與現(xiàn)有光纖傳輸網(wǎng)及將要改造的分配網(wǎng)有良好的兼容，在采用先進技術的前提下，最大可能地保護已有投資，并能在已有的網(wǎng)絡上擴展多種業(yè)務。 1.3.4 可升級和可擴展性 隨著技術不斷發(fā)展，新的標準和功能不斷增加，網(wǎng)絡設備必須可以通過網(wǎng)絡進行升級，以提供更先進、更多的功能。在網(wǎng)絡建成后，隨著應用和用戶的增加，核心骨干網(wǎng)絡設備的交換能力和容量必須能作出線性的增長。設備應能提供高端口密度、模塊化的設計以及多種類接口、技術的選擇，以方便未來更靈活的擴展。 1.3.5 安全性 網(wǎng) 絡的安全性對網(wǎng)絡設計是非常重要的，合理的網(wǎng)絡安全控制，可以使應用環(huán)境中的信息資源得到有效的保護可以有效的控制網(wǎng)絡的訪問，靈活的實施網(wǎng)絡的安全控制策略。在企業(yè)園區(qū)網(wǎng)絡中，關鍵應用服務器、核心網(wǎng)絡設備，只有系統(tǒng)管理人員才有操作、控制的權力。應用客戶端只有訪問共享資源的權限，網(wǎng)絡應該能夠阻止任何的非法操作。在園區(qū)網(wǎng)絡設備上應該可以進行基于協(xié)議、基于 Mac 地址、基于 IP 地址的包過濾控制功能。在大規(guī)模園區(qū)網(wǎng)絡的設計上，劃分虛擬子網(wǎng)，一方面可以有效的隔離子網(wǎng)內(nèi)的大量廣播，另一方面隔離網(wǎng)絡子網(wǎng)間的通訊，控制了資源的訪問權 限，提高了網(wǎng)絡的安全性。在設計園區(qū)網(wǎng)的原則上必須強調(diào)網(wǎng)絡安全控制能力，使網(wǎng)絡可以任意連接，又可以從第二層、第三層控制網(wǎng)絡的訪問。 可管理性 1.3.6 可靠性 本系統(tǒng)是 7x24 小時連續(xù)運行系統(tǒng)，從硬件和軟件兩方面來保證系統(tǒng)的高可靠性。 硬件可靠性 系統(tǒng)的主要部件采用冗余結構，如：傳輸方式的備份，提供備份組網(wǎng)結構；主要的計算機設備（如數(shù)據(jù)庫服務器），采用 CLUSTER技術 ,支持雙機或多機高可用結構；配備不間斷電源等。 軟件可靠性 充分考慮異常情況的處理，具有強的容錯能力、錯誤恢復能力、錯誤記錄及預警能力并給用戶 以提示；并具有進程監(jiān)控管理功能，保證各進程的可靠運行數(shù)據(jù)庫系統(tǒng)應。 網(wǎng)絡結構穩(wěn)定性 當增加 /擴充應用子系統(tǒng)時，不影響網(wǎng)絡的整體結構以及整體性能，對關鍵的網(wǎng)絡連接采用主備方式，已保證數(shù)據(jù)的傳輸?shù)目煽啃浴?本系統(tǒng)應具有較強的容災容錯能力，具有完善的系統(tǒng)恢復和安全機制； 1.3.7 易操作性 提供中文方式的圖形用戶界面，簡單易學，方便實用。 優(yōu)良的性能價格比。 系統(tǒng)應著重考慮和滿足以上的設計要求。 1.3.8 可管理性 絡的可管理性要求：網(wǎng)絡中的任何設備均可以通過網(wǎng)絡管理平臺進行控制，網(wǎng)絡的設備狀態(tài)，故障報警等都可 以通過網(wǎng)管平臺進行監(jiān)控，通過網(wǎng)絡管理平臺簡化管理工作，提高網(wǎng)絡管理的效率。 在進行網(wǎng)絡設計時，選擇先進的網(wǎng)絡管理軟件是必不可少的。網(wǎng)絡管理軟件應用于網(wǎng)絡的設備配置，網(wǎng)絡拓撲結構表示，網(wǎng)絡設備的狀態(tài)顯示，網(wǎng)絡設備的故障事件報警，網(wǎng)絡流量統(tǒng)計分析以及計費等。網(wǎng)管軟件的應用可以提高網(wǎng)絡管理的效率，減輕網(wǎng)絡管理人員的負擔。網(wǎng)絡管理的目標是實現(xiàn)零管理，基于策略的管理方式，網(wǎng)絡管理是通過制定統(tǒng)一的策略，由管理策略服務器進行全局控制的?；赪eb 的網(wǎng)管界面，是網(wǎng)管軟件的發(fā)展趨勢，靈活的操作方式簡化了管理人員的工作。在設計 園區(qū)網(wǎng)的設備選擇上，要求網(wǎng)絡設備支持標準的網(wǎng)絡管理協(xié)議 SNMP，同時支持 RMON/RMONII 協(xié)議，核心設備要求支持 RAP (遠程分析端口 ) 協(xié)議，實施充分的網(wǎng)絡管理功能。在設計園區(qū)網(wǎng)的原則上應該要求設備的可管理性，同時先進的網(wǎng)管軟件可以支持網(wǎng)絡維護、監(jiān)控、配置等功能。 二 .綜合布線方案 2.1、需求分析 集團公司園區(qū)內(nèi)包括集團總部辦公樓和分部及分公司等七幢建筑，武漢總部和武漢分公司它們之間的距離已超過雙絞線布線的技術要求，因此采用光纖進行布線。 由于涉及的建筑物較多，規(guī)模較大，應此將其定位為智能化園區(qū)綜 合布線系統(tǒng)。 園區(qū)的綜合布線系統(tǒng)是一個高標準的布線系統(tǒng)，水平系統(tǒng)和工作區(qū)采用超五類元件，主干采用光纖，構成主干千兆以太網(wǎng)。不僅能滿足現(xiàn)有數(shù)據(jù)、語音、圖像等信息傳輸?shù)囊?，也為今后的發(fā)展奠定基礎。整個園區(qū)一共有 5000 左右個信息點，即武漢總部有 3200 左右，每分公司各有 300 左右個。針對以上要求 ,對計算機內(nèi)網(wǎng)綜合布線系統(tǒng)提出自己的解決方案。 建筑群間的光纜采用上海的 OT T 多模光纖系統(tǒng)，大樓內(nèi)的布線采用 AVAYA 的超五類雙絞線結構化布線系統(tǒng)。 2.2、綜合布線系統(tǒng)的結構 綜合布線系統(tǒng)部分結構如下圖所示： 根據(jù)綜合布線國際標準 ISO 11801 的定義，綜合布線系統(tǒng)可由以下子系統(tǒng)組成： 工作區(qū)子系統(tǒng) (Work Area Subsystem) 工作區(qū)子系統(tǒng)由信息插座延伸至用戶終端設備的布線組成，包括信息插座和相應的連接軟線。用戶能方便地把計算機、電話、傳真等不同的終端設備接入大樓的通信網(wǎng)絡系統(tǒng)。 水平布線子系統(tǒng) (Horizontal Subsystem) 水平布線子系統(tǒng)由樓層配線間延伸至信息插座的布線組成，通?？刹捎贸孱愲p絞線，我們這里采用的是超五類雙絞線，也可采用光纜以滿足高傳輸帶寬應用或長傳輸距離的要求。水 平布線提供大樓網(wǎng)絡通信系統(tǒng)到用戶終端設備的信息傳輸。 建筑物主干子系統(tǒng) (Building Backbone Subsystem) 建筑物主干子系統(tǒng)由大樓配線間延伸至各樓層配線間的布線組成。該子系統(tǒng)亦包括各配線間的配線架，跳接線等。采用的線纜是超五類雙絞線。大樓配線間和樓層配線間通常也用于放置網(wǎng)絡設備和其他有源設備。建筑物主干子系統(tǒng)提供大樓內(nèi)通信網(wǎng)絡信息交換的主干通道。 建筑群布線子系統(tǒng) (Campus Cabling Subsystem) 建筑群布線子系統(tǒng)由建筑群配線間延伸至各大樓配線間的布線組成。采用的線纜 為光纖，。建筑群配線間通常也用于放置電信接入設備和廣域網(wǎng)連接設備。建筑群布線子系統(tǒng)提供了各建筑物間通信網(wǎng)絡連接和信息交換的通道。 2.3 系統(tǒng)總體設計 以上就是布線的國際標準，因此采用高速大容量光纖主干建設集團公司的園區(qū)網(wǎng)絡主干 為了滿足集團公司將來靈活組網(wǎng)的需要，在 集團總部辦公樓、分公司等建筑物內(nèi) 各設有配線間。整個園區(qū)設備間機房安置在總部大樓的 10 樓，各分公司的設備間機放安置在各分公司的一樓。 為充分滿足集團公司內(nèi)部及對外高速高容量信息通信的需要，系統(tǒng)采用高速高容量的多模光纖作為園區(qū)的網(wǎng)絡主干。 建筑物內(nèi)采 用先進的超五類非屏蔽布線系統(tǒng) 根據(jù)技術規(guī)范，選用高性能 UTP 非屏蔽系統(tǒng)，傳輸參數(shù)可達到200MHz，通道傳輸性能在 200 MHz 時 ACR3dB, 250MHz 時 ACR 0 dB，通道傳輸性能不低于招標技術要求所附性能參數(shù)表的要求。因此，本方案建議采用 AVAYA 超五類 UTP 產(chǎn)品，其傳輸帶寬可達200MHZ 以上，可靠支持新的千兆以太網(wǎng)、 2.4Gbps ATM 及高達550MHZ 的寬帶語音應用，為今后新的高速網(wǎng)絡應用留有充足的性能余量。 2.4 系統(tǒng)結構設計描述 整個結構化布線系統(tǒng)由 工作區(qū)子系統(tǒng)、水平 干線子系統(tǒng)、管理子系統(tǒng)、主干子系統(tǒng)、設備間子系統(tǒng)及建筑群子系統(tǒng) 等六個子系統(tǒng)構成，方案設計時充分考慮了高度的可靠性、先進性、靈活性、可擴充性、易管理性及性能價格比高等優(yōu)點。 布線系統(tǒng)結構如下： 2.5、 在施工中注意 事項 仔細查閱其它專業(yè)的施工圖紙 在施工前，必須仔細查閱其他專業(yè)的施工圖紙，尤其是土建結構施工圖、水、電、通風施工圖。因為水平路由 的長短將會對設計的等級有一定的影響，而土建結構施工圖、水、電、通風施工圖對水平布線子系統(tǒng)管線路由的走向影響最大。在審圖時，建議用比例尺在圖紙上認真測量，為水平布線子系統(tǒng)找出最合理的路由走向，這樣既節(jié)省水平線纜的長度，又避免與其他專業(yè)管路發(fā)生沖突，由于電氣專業(yè)管線不可避免的要與其他各專業(yè)管路交叉重疊，發(fā)生矛盾的現(xiàn)象，給土建專業(yè)帶來地面超高等問題。綜合布線一般由專業(yè)公司負責安裝調(diào)試，施工方僅做管路預埋、線纜敷設，如果在施工中敷衍了事，不遵循 管線路由最短 的原則，就會增加水平布線子系統(tǒng)管線的長度，不利于提高綜合 布線系統(tǒng)的通信能力、不利于通信系統(tǒng)的穩(wěn)定性、不利于通信傳輸速率的提高。 建議在施工中應滿足設計裕量。 因為在實際施工中，不可能使水平線纜一直保持直線路由，所以實際安裝中，需要的線纜總會比圖紙上統(tǒng)計的量大的多，這就需要電氣工程師考慮一定的裕量。裕量的計算方法是將一張平面圖紙上離配線架最遠的信息點的線纜圖紙長度（圖紙上用比例尺量出的長度），和最近的信息點的線纜圖紙長度相加，除以 2，得出得數(shù)值為信息點的平均圖紙長度，取平均長度的 30%作為裕量。否則就會造成不必要的材料浪費 或不足 。 采用質(zhì)量可靠的管路和線纜，以 避免日后的麻煩 在大多數(shù)設計中，水平布線子系統(tǒng)是被設計在吊頂、墻體或底板內(nèi)的，所以可以認為水平子系統(tǒng)是不可更改、永久的系統(tǒng)。在安裝中，應盡量使用性能優(yōu)良、質(zhì)量可靠的管路和線纜，保證用戶日后不破壞建筑結構。 嚴格遵守綜合布線系統(tǒng)規(guī)范 良好的安裝質(zhì)量，可以使水平布線子系統(tǒng)在其工作周期內(nèi)，始終保證良好工作狀態(tài)和穩(wěn)定的工作性能，尤其對于高性能的通信線纜和光纖，安裝質(zhì)量的好壞對系統(tǒng)的開通影響尤其顯著，因此在安裝線纜中，要嚴格遵守 EIA/TIA569 規(guī)范標準。 選材標準必須一致 綜合布線系統(tǒng)所選用的線纜、信息插座、 跳線、連接線等部件，必須與選擇的類型一致，如選用 超 5 類標準，則線纜、信息插座、跳線、連接線等部件必須為 超 5 類；如系統(tǒng)采用屏蔽措施，則系統(tǒng)選用的所有部件均為屏蔽部件，只有這樣才能保證系統(tǒng)屏蔽效果，達到整個系統(tǒng)的設計性能指標。 三網(wǎng)絡設計方案 3.1 網(wǎng)絡設計需求 六個分公司有四個分公司在武漢旭日工業(yè)園內(nèi)各的建筑物里面，公司為 38 層的主樓，六個分公司都是 7 層樓。第一分公司與主樓相距 50 米，第二分公司與主樓相距也是 50 米，第三分公司與主樓相距 5 公里，第四分公司與主樓相距 8 公里，另兩個分公司在北京和上海各自 有自己的辦公樓。示意圖見園區(qū)結構示意圖） 各子公司部門結構：這六個分公司都有各自的微機室（ 10 人），財務部（ 20 人），行政部（ 20 人），生產(chǎn)部（ 100 人），研發(fā)部（ 30 人），后勤部（ 10 人），業(yè)務部（ 80 人），人力資源部（ 10 人）總公司行政劃分也是如此， 人數(shù)比例大致類似六個分公司 3.2 體方案設計策略 為了實現(xiàn)以上網(wǎng)絡設計原則，使旭日集團園區(qū)網(wǎng)絡具有良好的 擴展性能力和靈活的便于管理，易于維護，在網(wǎng)絡設計上采用了一下策略。 因特網(wǎng)接入和園區(qū)網(wǎng)分離。 將因特網(wǎng)接入部分和園區(qū)網(wǎng)主體部分分 離，每部分完成其自身的功能，可以減少兩者之間的相互影響。因特網(wǎng)接入的變化，只影響接入的變化，對園區(qū)網(wǎng)絡沒有影響；而園區(qū)網(wǎng)絡的變化對因特網(wǎng)接入部分影響較小。 .這樣可以增強網(wǎng)絡的擴展能力。保持網(wǎng)絡層次結構清晰，便于管理和維護。 降低各個子公司之間的網(wǎng)絡關聯(lián)度。 將各個子公司之間的網(wǎng)絡的關聯(lián)度降低到最低的策略，可以最大限度的減少各個子公司網(wǎng)絡之間的相互影響，便于分別管理，或者在不同子公司擴展網(wǎng)絡的新應用。 統(tǒng)一標準，統(tǒng)一網(wǎng)絡 統(tǒng)一的 IP 應用標準（ IP 地址，路由協(xié)議），安全標準， 接入標準和網(wǎng)絡管理平臺，才能實現(xiàn)真 正的統(tǒng)一管理，便于集團的管理和網(wǎng)絡策略的實施。 3.3 旭日集團園區(qū)結構示意圖 i n t e rn e tSiSiSiSiSiSi武漢總部子公司 1子公司 2子公司 3子公司 4北京分公司上海分公司D M ZVPNVPN 3 . 4 網(wǎng)絡 設備 選型 3.4.1 選型原則 我們在網(wǎng)絡系統(tǒng)設計時考慮如下特點： 穩(wěn)定可靠的網(wǎng)絡 只有運行穩(wěn)定的網(wǎng)絡才是可靠的網(wǎng)絡，而網(wǎng)絡的可靠運行取決于諸多因素，如網(wǎng)絡的設計，產(chǎn)品的可靠，而選擇一個具有運營此類網(wǎng)絡規(guī)模經(jīng)驗的網(wǎng)絡合作廠商則更為重要。要求有物理層、數(shù)據(jù)鏈路層和網(wǎng)絡層的備份技術。 高帶寬 為了支持數(shù)據(jù)、話音、視像多媒體的傳輸能力，在技術上要到達當前的國際先進水平。要采用最先進的網(wǎng)絡 技術，以適應大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)務需求，又要充分考慮未來的發(fā)展。為此應選用高帶寬的先進技術。 易擴展的網(wǎng)絡 系統(tǒng)要有可擴展性和可升級性，隨著業(yè)務的增長和應用水平的提高，網(wǎng)絡中的數(shù)據(jù)和信息流將按指數(shù)增長，需要網(wǎng)絡有很好的可擴展性，并能隨著技術的發(fā)展不斷升級。易擴展不僅僅指設備端口的擴展，還指網(wǎng)絡結構的易擴展性：即只有在網(wǎng)絡結構設計合理的情況下，新的網(wǎng)絡節(jié)點才能方便地加入已有網(wǎng)絡；網(wǎng)絡協(xié)議的易擴展：無論是選擇第三層網(wǎng)絡路由協(xié)議，還是規(guī)劃第二層虛擬網(wǎng)的劃分，都應注意其擴展能力。 QoS(英文全稱為 Quality of Service，中文名為 服務質(zhì)量 。 )QoS 是網(wǎng)絡的一種安全機制 , 是用來解決網(wǎng)絡延遲和阻塞等問題的一種技術。保證 隨著網(wǎng) 絡中多媒體的應用越來越多，這類應用對服務質(zhì)量的要求較高，本網(wǎng)絡系統(tǒng)應能保證 QoS，以支持這類應用。 安全性 網(wǎng)絡系統(tǒng)應具有良好的安全性，由于網(wǎng)絡連接園區(qū)內(nèi)部所有用戶，安全管理十分重要。應支持 VLAN 的劃分，并能在 VLAN 之間進行第三層交換時進行有效的安全控制，以保證系統(tǒng)的安全性。 容易控制管理 因為上網(wǎng)用戶很多，如何管理好他們 的通信，做到既保證一定的用戶通信質(zhì)量，又合理的利用網(wǎng)絡資源，是建好一個網(wǎng)絡所面臨的首要問題。 符合 IP 發(fā)展趨勢的網(wǎng)絡 在當前任何一個提供服務的網(wǎng)絡中，對IP 的支持服務是最普遍的，而 IP 技術本身又處在發(fā)展變化中，如IpV6， IP QoS， IP Over SONET 等等新興的技術不斷出現(xiàn)，旭日集團園區(qū)網(wǎng)網(wǎng)絡絡必須跟緊 IP 發(fā)展的步伐，也就是必須選擇處于 IP 發(fā)展領導地位的網(wǎng)絡廠商。 3.4.2 核心層設備 由于旭日集團園區(qū)網(wǎng)網(wǎng)絡發(fā)展規(guī)模較大，未來需提供多媒體辦公、辦公自動化、圖書資料檢索、遠程互 聯(lián)、視頻會議等復雜的網(wǎng)絡應用，為便于管理，我們建議選用的交換機作為網(wǎng)絡組建交換設備。選用 1臺 Cisco6509 交換機作為主干交換機實現(xiàn) 1000M 做主干 100M 到桌面的需求。 (具體產(chǎn)品介紹見附錄二 ) Cisco6509 系列交換機支持堆疊技術，將來擴充端口極為靈活方便，不必改變原有網(wǎng)絡的任何配置。通過增加堆疊交換機數(shù)量或做Port Trunking(端口干路 )兩種辦法均可擴充網(wǎng)絡規(guī)模；并且實現(xiàn)了本地化交換，改善了整個網(wǎng)絡，使整個網(wǎng)絡的性能發(fā)生了質(zhì)的變化。選用千兆光纖模塊，與主干上聯(lián)，實現(xiàn)主干的千兆傳輸。 Cisco6509系列交換機支持網(wǎng)管和堆疊，可以很容易地根據(jù)需要，通過堆疊擴充端口數(shù)量。另外， Cisco6509 系列交換機建立在一個功能強大且絕對無阻塞的 32G 交換背板上，可以保證堆疊中的所有端口間實現(xiàn)無阻塞的線速交換。 此外， Cisco6509 交換機，在安裝千兆光纖模塊的同時，還可以安裝百兆光纖模塊，完全可以適應現(xiàn)在或?qū)淼臉莾?nèi)光纖布線，靈活性很強。 3.4.3 匯聚層設備 考慮到集團要求沒個子公司的網(wǎng)絡自成體系，單個子公司的局域網(wǎng)廣播數(shù)據(jù)流不能擴展到全網(wǎng)，單個子公司的網(wǎng)絡故障不應該擴展到全網(wǎng)，匯 聚層交換機也應該采用具有路由功能的多層交換機，以達到網(wǎng)絡隔離和分段的目的。子公司的主交換機負責子公司內(nèi)部的網(wǎng)絡數(shù)據(jù)交換和旭日集團園區(qū)網(wǎng)的其他路由。 匯聚層設備選擇 CISCO 公司的 Catalyst3550 系列的交換機，每個子公司的主交換機選擇 WS-C3550-48-EMI 交換機。 Catalyst3550交換機智能以太網(wǎng)交換機是一個新型的可堆疊的，多層次級交換機系列，可以提高水平的可用性，可擴展性，服務質(zhì)量（ QoS） ,安全性和可改進網(wǎng)絡運營的管理能力，從而提高網(wǎng)絡的運行效率。 Catalyst 3550 系列包括一系列快速以太網(wǎng)和千兆位以太網(wǎng)配置，可以用全套千兆位接口轉(zhuǎn)換器（ GBIC）設備提供強大的千兆位以太網(wǎng)連接；并將 CISCO IOS 軟件中的一套第 2-4 層功能 IP 路由、QoS、限速、訪問控制列表（ ACL）和多播服務擴展到邊緣，堪稱一款適用于企業(yè)和城域應用的強大選擇。用戶第一次可以在整個網(wǎng)絡中部署智能化的服務，例如先進的服務質(zhì)量、速度限制、 CISCO 安全訪問控制列表、多播管理和高性能的 IP 路由，并與引同時保持了傳統(tǒng) LAN交換的簡便性。通過高性能的 IP 路由實現(xiàn)了網(wǎng)絡的可擴展性，利用基于硬件的 IP 路由和增 強型 多層軟件鏡像， Catalyst 3550 系列交換機可以在所有端口上提供高達 17Mpps 的線速路由；基于 CISCO 快速轉(zhuǎn)發(fā)（ CEF）的路由架構有助于提高可擴展性和性能，該體系結構扶持極高速的搜索功能，并可確保必要的穩(wěn)定性和可擴展性，以滿足未來的需求。憑借內(nèi)置 CISCO 集群管理套件， Catalyst 3550 系列交換機可簡化網(wǎng)絡的部署。 WS-C3550-48-EMI交換機，有 48 個 10/100 和 2 個基于 GBIC 的1000BaseX 端口，通過使用多層軟件鏡像（ EMI），可以提供路由和多層交換功能，滿足三 層交換需求?？梢詽M足服務器群的高密度，高速率的接入需要，也可以滿足因特網(wǎng)接入的需求。 3.4.4 接入層 交換機 接入層交換機放置于樓層的設備間，用于終端用戶的接入。應該能夠提供高密度的接入，對環(huán)境的適應能力強，運行穩(wěn)定。 樓層接入設備選擇 CISCO 公司的 WS-C2950-48-EI智能以太網(wǎng)交換機。 WS-C2950-48-EI 交換機屬于 Catalyst2950 系列智能交換機。Catalyst2950 系列是固定的配置，可堆疊的獨立設備系列，提供了線速快速以太網(wǎng)和千兆位以太網(wǎng)連接。 Catalyst2950 系列是 有款最廉價的 CISCO 交換機產(chǎn)品系列，為中型網(wǎng)絡和城域接入應用邊緣提供了智能服務，可以為局域網(wǎng)提供極佳的性能和功能。這些獨立的。10/100 自適應交換機能夠提供增強的服務質(zhì)量（ QoS）和組播管理特性，所有的這些都由易用，基于 WEB 的 CISCO 集群管理套件（ CMS），和集成 CISCOIOS 軟件來進行管理。帶有 100BASE 上行鏈路的Catalyst2950 交換機，可為中等規(guī)模的公司和企業(yè)分支機構 辦公室提供理想的解決方案，以使他們能夠擁有更高性能的千兆以太網(wǎng)主干。 WS-C2950-48-E 交換機，有 48 個 10/100 端口， 2 個基于千兆接口轉(zhuǎn)換器（ GBIC）的 1000BaseX 端口，能夠為用戶提供千兆的光纖骨干和高密度度的接入端口；具有高達 13.6Gbps 的背板帶寬，能夠提供 10.1Mpps 的轉(zhuǎn)發(fā)速率；增強型的 IOS，能夠支持 250 個 VLAN，提供安全， QoS，管理等各方面的智能交換服務。 3.5 主干網(wǎng)絡技術選型 在 旭日集團園區(qū) 網(wǎng)網(wǎng)絡的建設中，主干網(wǎng)選擇何種網(wǎng)絡技術對網(wǎng)絡建設的成功與否起著決定性的作用。選擇適合 旭日集團園區(qū) 網(wǎng)網(wǎng)絡需求特點的主流網(wǎng)絡技術，不但能保證網(wǎng)絡的高性能，還能保證網(wǎng)絡的先進性和擴展性， 能夠在未來向更新技術平滑過渡，保護用戶的投資。 根據(jù)招用戶要求，我們主干網(wǎng)絡可選用千兆以太網(wǎng)技術 目前流行的局域網(wǎng)、城域網(wǎng)技術主要包括以太網(wǎng)、快速以太網(wǎng)、 ATM（異步傳輸模式）、 FDDI、 CDDI、千兆以太網(wǎng)等。在這些技術中，千兆以太網(wǎng)以其在局域網(wǎng)領域中支持高帶寬、多傳輸介質(zhì)、多種服務、保證 QoS 等特點正逐漸占據(jù)主流位置。 現(xiàn)有網(wǎng)絡技術介紹 以太網(wǎng)（ Ethernet） 以太網(wǎng)是應用最為廣泛的網(wǎng)絡技術，它基于 CSMA/CD（沖突檢測媒體訪問 /載波偵聽）機制，采用共享介質(zhì)的方式 實現(xiàn)計算機之間的通訊，帶寬為 100Mbps。 CSMA/CD 技術采用總線控制技術及退避算法。當一個站點要發(fā)送時，首先需監(jiān)聽總線以決定介質(zhì)上是否存在其它站的發(fā)送信號。如果介質(zhì)是空閑的，則可以發(fā)送，如果介質(zhì)是繁忙的，則隔一次間隔后重發(fā)，即采用某種退避算法。 早期的以太網(wǎng)由于它介質(zhì)共享的特性，當網(wǎng)絡中站點增加時，網(wǎng)絡的性能會迅速下降，另外缺乏對多種服務和 QoS 的支持。隨著網(wǎng)絡技術的發(fā)展，現(xiàn)在的以太網(wǎng)技術已經(jīng)從共享技術發(fā)展到交換技術，交換以太網(wǎng)的出現(xiàn)使傳統(tǒng)的共享式以太網(wǎng)技術得到極大改進。共享式局域網(wǎng)上的所 有節(jié)點（如主機、工作站）共同分享同一帶寬，當網(wǎng)上兩個任意節(jié)點交換數(shù)據(jù)時，其他節(jié)點只能等待。交換以太網(wǎng)則利用網(wǎng)絡交換機在不同網(wǎng)段之間建立多個獨享連接(就像電話交換機可同時為眾多的用戶建立對話通道一樣 )，采用按目的地址的定向傳輸，為每個單獨的網(wǎng)段 提供專用的頻帶（即帶寬獨享），增大了網(wǎng)絡的傳輸吞吐量，提高了傳輸速率，其主干網(wǎng)上無碰撞問題。虛擬網(wǎng)技術與交換技術相結合，有效地解決了廣播問題，使網(wǎng)絡設計更加靈活，網(wǎng)絡的管理和維護更加方便。交換式以太網(wǎng)克服了共享式以太網(wǎng)的缺點，并借助于 IP技術的新發(fā)展，如 IP Multicast、 IP QoS 等技術的推出使得交換以太網(wǎng)可以支持多媒體技術等多種業(yè)務服務。 快速以太網(wǎng) (FastEthernet) 快速以太網(wǎng)技術仍然是以太網(wǎng)，也是總線或星型結構的網(wǎng)絡，快速以太網(wǎng)仍支持共享模式，在共享模式下仍采用的是廣播模式（ CSMA/CD 競爭方式訪問， IEEE 802.3），所以在共享模式下的快速以太網(wǎng)繼承了傳統(tǒng)共享以太網(wǎng)的所有特點，但是帶寬增大了 10倍。 快速以太網(wǎng)的應用主要是基于它的交換模式。在交換模式下，快速以太網(wǎng)完全沒有 CSMA/CD 這種機制的缺陷，除了上面談到 的交換以太網(wǎng)的優(yōu)點以外，交換模式下的快速以太網(wǎng)可以工作在全雙工的狀態(tài)下，使得網(wǎng)絡帶寬可以達到 200Mbps。因此快速以太網(wǎng)是一種在局域網(wǎng)技術中性能價格比非常好的網(wǎng)絡技術，在支持多媒體技術的應用上可以提供很好的網(wǎng)絡質(zhì)量和服務。 千兆位以太網(wǎng)技術（ Gigabit Ethernet） 千兆位以太網(wǎng)技術以簡單的以太網(wǎng)技術為基礎，為網(wǎng)絡主干提供1Gbps 的帶寬。千兆位以太網(wǎng)技術以自然的方法來升級現(xiàn)有的以太網(wǎng)絡、工作站、管理工具和管理人員的技能。千兆位以太網(wǎng)與其他速度相當?shù)母咚倬W(wǎng)絡技術相比，價格低，同時 比較簡單，例如保留以太網(wǎng)的幀格式、管理工具和對網(wǎng)絡概念上的認識。 千兆以太網(wǎng)是相當成功的 10Mbps以太網(wǎng)和 100Mbps快速以太網(wǎng)連接標準的擴展?，F(xiàn)在千兆位以太網(wǎng)成熟的標準為 IEEE 802.3z， IEEE 802.3z的目標是： 使用 IEEE 802.3 幀格式； 可以使用全雙工和半雙工； 共享模式下仍使用 CSMA/CD； 對安裝介質(zhì)的向后兼容； 傳輸速度比快速以太網(wǎng)提高十倍，比以太網(wǎng)提高一百倍。 千兆以太網(wǎng)通過載波 擴展（ Carrier Extension）、采用帶中繼、交換功能的網(wǎng)絡設備以及多種激光器和光纖將連接距離擴展到從 500米至 3000 米。如采用 1300nm 激光器和 50um 的多模光纖傳輸距離可以達到 3km。現(xiàn)在，某些廠家的交換機上的千兆以太網(wǎng)接口還支持Long Haul(LH)的標準，采用光纖可以支持高達 60Km 的傳輸距離。 千兆位以太網(wǎng)能夠提供更高的帶寬，并且成為有強大伸縮性的以太網(wǎng)家族的第三個成員。利用交換機或路由器可以與現(xiàn)有低速的以太網(wǎng)用戶和設備連接起來，因為千兆位以太網(wǎng)的幀格式和幀尺寸大小等都與 所有以太網(wǎng)技術相同，不需要對網(wǎng)絡做任何改變。這種升級方法使得千兆位以太網(wǎng)相對于其他高速網(wǎng)絡技術而言，在經(jīng)濟和管理性能方面都是較好的選擇。 千兆位以太網(wǎng)的設計非常靈活，幾乎對網(wǎng)絡結構沒有限制，可以是交換式、共享式的或基于路由器的?，F(xiàn)在正在應用的網(wǎng)絡互連技術，例如，特定 IP 交換技術和第三層的交換技術，都與千兆位以太網(wǎng)完全兼容。千兆位以太網(wǎng)可以通過價格便宜的共享集線器、交換機或路由器來實現(xiàn)。千兆位以太網(wǎng)支持新的交換機之間或交換機工作站之間全雙工的連接模式，同時也支持半雙工連接模式以便與基于CSMA/CD 存取方式的共享集線器連接。 千兆位以太網(wǎng)使用的傳輸介質(zhì)有光纖、 5 類非屏蔽雙絞線 (UTP)或同軸電纜。目前，千兆以太網(wǎng)支持多模光纖、多模光纖和同軸電纜，支持 5 類非屏蔽雙絞線 (UTP)的標準正在制定中。 下表列出了千兆以太網(wǎng)現(xiàn)在支持的距離標準。 標 準 名 稱 媒 質(zhì) 傳 輸 距 離 1000Base-SX波長 850nm 62.5微米多模光纖 50微米多模光纖 275米550 米 1000Base-LX 波長 1300nm 62.5 微米多模光纖 50 微米多模光纖 9 微米或 10 微米多模光纖 275 米 550 米 5 公里 1000Base-CX 同軸電纜對 25 米 1000Base-T 4 對 5 類雙絞線 100 米 千兆位以太網(wǎng)的管理與以前使用和了解的以太網(wǎng)相同，使用千兆以太網(wǎng)，主干和各網(wǎng)段及桌面已實現(xiàn)了無縫結合，網(wǎng)絡管理變得容易了。 千兆以太網(wǎng)技術的優(yōu)點： 技術簡單，例如保留以太網(wǎng)的幀格式、管理工具和對網(wǎng)絡概念上的認識 .便于升級，從現(xiàn)有的傳統(tǒng)以太網(wǎng)和快速以太網(wǎng)可以平滑地過渡到千兆以太網(wǎng)，并不需要掌握新的配置、管理與排除故障技術；網(wǎng)絡投資可以得到保護，無需對用戶進行再培訓，也無需為額外的網(wǎng)絡協(xié)議進行投 資；千兆以太網(wǎng)有良好的互操作性，并具有向后兼容性 ；端口價格相對較低；可以提供 10倍于快速以太網(wǎng)的傳輸速度。 網(wǎng)絡技術選型結論 綜上所述，在選擇 旭日集團園區(qū) 網(wǎng)網(wǎng)絡技術時應該考慮如下： 、長遠來看如何保護現(xiàn)有投資。保護現(xiàn)有投資的有效途徑就是在將來網(wǎng)絡技術升級時還能使用現(xiàn)有的網(wǎng)絡技術和產(chǎn)品。如同計算機的發(fā)展速度一樣，網(wǎng)絡技術的發(fā)展也是非常迅速的。如果在現(xiàn)有技術不能合理保證在將來網(wǎng)絡升級后還能夠使用，那么將會帶來極大的資金浪費。從目前的趨勢來看，采用千兆以太網(wǎng)技術是最適宜的。 性能價格比。以太網(wǎng)，快速 以太網(wǎng)，千兆以太網(wǎng)和 ATM 網(wǎng)三者性能狀況由低到高，但是價格也是由低到高的。在建設 旭日集團園區(qū) 網(wǎng)網(wǎng)絡時要充分考慮到辦公的資金有效使用，選擇適用的網(wǎng)絡技術是關鍵，因此選擇華為網(wǎng)絡產(chǎn)品實現(xiàn)是最佳選擇。目前滿眼看到的是國外的技術和產(chǎn)品，無形中增加了網(wǎng)絡造價成本，這也給網(wǎng)絡的普及帶來一定障礙。 售后服務： 旭日集團園區(qū) 網(wǎng)網(wǎng)絡的使用，從以往經(jīng)驗來看，售后服務問題比較突出。有很大部分國內(nèi)外產(chǎn)品目前無法實現(xiàn)良好的售前、售后服務的支持，換修時間一般在 3 個月到 6個月。 思科 網(wǎng)絡強大的售后服務體系可保證全國范圍內(nèi) 72 小時響應， 武漢 等一級城市可實現(xiàn) 24 小時響應； 在 旭日集團園區(qū) 網(wǎng)網(wǎng)絡建設中，在主干以及接入層的交換設備選擇上，我們采用 思科 支持千兆以太網(wǎng)技術的交換機充當 3.6 路由交換部分的設計 為了使 旭日 集團園區(qū)網(wǎng)高效、穩(wěn)定的運行，便于管理與維護，對局域網(wǎng)交換和路由技術的相關方面進行了規(guī)范設計，包括 VTP、VLAN、 STP、 TRUNK、 ETHERCHANNEL， HSRP， VPN 等。每一臺都連接所有的匯聚層交換機，但相互之間并不連接（提高網(wǎng)絡的故障收斂速度）。作為二層的核心，只保證數(shù)據(jù)的高速轉(zhuǎn)發(fā)。網(wǎng)絡的可靠性由匯聚層的路由協(xié)議提供保 證。 V LAN 設計規(guī)范 旭日 集團內(nèi)的局域網(wǎng)進行 VLAN 劃分 ,可以減少網(wǎng)絡內(nèi)的廣播數(shù)據(jù)包 ,提高網(wǎng)絡運行效率 ；可以區(qū)分不同的應用和用戶 ,方便集團的管理與維護 . 建議每棟建筑物內(nèi)的局域網(wǎng)劃分 8 個 VLAN.應用類 1 指旭日集團的OA 類應用 . VLAN 用途如表 1 VLAN 劃分用途表 VLAN 用途 VLAN1 應用類 1 的微機室工作人員 VLAN2 應用類 1 的財務部工作人員 VLAN3 應用類 1 的行政部工作人員 VLAN4 應用類 1 的研發(fā)部工作人員 VLAN5 應用類 1 的后勤部工作人員 VLAN6 應用類 1 的人力資源部工作人員 VLAN7 應用類 1 的業(yè)務部工作人員 VLAN8 應用類 1 的生產(chǎn)部工作人員 IP 地址分配方案 IPv4 的地址結構，各個位的使用規(guī)劃如圖： 0-7 8-10 11-15 16-18 19-31 集團標識 子公司標識 預留 類別標識 用戶空間地址 其中各個部分的取值如表： 位 取值 含義 備注 0-70 00001010 某某集團 私有地址 8-11 0000 保留 0001 總部 主樓的用戶標識 0010 子公司 1 子公司 1 的用戶標識 0011 子公司 2 子公司 2 的的用戶標識 0100 子公司 3 子公司 3 的用戶標識 0101 子公司 4 子公司 4 的用戶標識 0110 子公司 5 子公司 5 的用戶標識 0111 子公司 6 子公司 5 的用戶標識 1000-1111 保留 12-13 00 缺省 00-11 保留 14-17 000 保留 001 網(wǎng)管類 交換機設備地址，路由器環(huán)回地址，網(wǎng)管工作站地址 010 互聯(lián)類 交換機，路由器等設備之間互相連接用 011 應用類 1 集團 OA 類用 111 因特網(wǎng)類 集團的因特網(wǎng)連接，因特網(wǎng)應用。 100-110 保留 18-31 任意 用戶地址 其中， 1618 取值 011 的時候，對 1923 位的使用進行了重新的定義。如圖： 0-7 8-11 12-13 14-17 18-21 22-31 集團標識 子公司標識 預留 應用類 1 VLAN 標識 用戶地址空間 IP 地址分配表： 根據(jù)以上的規(guī)定，具體的地址分配表如下圖： 機構 地址空間 用途 /8 集團全部地址空間 /13 總部全部地址空間 /17 總部網(wǎng)管類全部地址 /17 總部互聯(lián)類全部地址 /17 總部應用類全部地址 /17 總部因特網(wǎng)全部地址 /21 總部應用類 1 微機室工作人員地址空間 /21 總部應用類 1 財務部工作人員 地址空間 /21 總部應用類 1 行政部工作人員 地址空間 /21 總部應用類 1 研發(fā)部工作人員 地址空間 /21 總部應用類 1 后勤部工作人員 地址空間 /21 總部應用類 1 人力資源部工作人員 地址空間 /21 總部應用類 1 業(yè)務部工作人員地址空間 /21 總部應用層 1 生產(chǎn)部工作人員地址空間 子公司 1 /13 子公司 1 全部地址空間 /17 子公司 1 網(wǎng)管類全部地址空間 /17 子公司 1 互聯(lián)類全部地址空間 /17 子公司 1 應用類全部地址空間 /17 子公司 1 因特網(wǎng)全部地址 /21 子公司 1 的應用類 1 微機室工作人員全部地址空間 /21 子公司 1 的應用類 1 財務部工作人員 全部地址空間 /21 子公司 1 的應用類 1 行政部工作人員 全部地址空間 /21 子公司 1 的應用類 1 研發(fā)部工 作人員 全部地址空間 21 子公司 1 的應用類 1 后勤部工作人員 全部地址空間 /21 子公司 1 的應用類 1 人力資源部工作人員 全部地址空間 /21 子公司 1 的應用類 1 業(yè)務部工作人員 全部地址空間 /21 子公司 1 的應用類 1 生產(chǎn)部工作人員全部地址空間 子公司 2 /13 子公司 2 全部地址空間 /17 子公司 2 網(wǎng)管類全部地址空間 /17 子公司 2 互聯(lián)類全 部地址空間 /17 子公司 2 應用類全部地址空間 /17 子公司 2 因特網(wǎng)全部地址 /21 子公司 1 的應用類 1 微機室工作人員全部地址空間 /21 子公司 2 的應用類 1 財務部工作人員 全部地址空間 /21 子公司 2 的應用類 1 行政部工作人員 全部地址空間 /21 子公司 2 的應用類 1 研發(fā)部工作人員 全部地址空間 /21 子公司 2 的應用類 1 后勤部工作 人員 全部地址空間 /21 子公司 2 的應用類 1 人力資源部工作人員 全部地址空間 /21 子公司 2 的應用類 1 業(yè)務部工作人員 全部地址空間 /21 子公司 2 的應用類 1 生產(chǎn)部工作人員 全部地址空間 子公司 3 /13 子公司 3 全部地址空間 /17 子公司 3 網(wǎng)管類全部地址空間 /17 子公司 3 互聯(lián)類全部地址空間 /17 子公司 3 應用類全部地址空間 /17 子公司 3 因特網(wǎng)全部地址 /21 子公司 3 的應用類 1 微機室工作人員全部地址空間 /21 子公司 3 的應用類 1 財務部工作人員 全部地址空間 /21 子公司 3 的應用類 1 行政部工作人員 全部地址空間 /21 子公司 3 的應用類 1 研發(fā)部工作人員 全部地址空間 /21 子公司 3 的應用類 1 后勤部工作人員 全部地址空間 /21 子公司 3 的應用類 1 人力資源部工 作人員 全部地址空間 /21 子公司 3 的應用類 1 業(yè)務部工作人員 全部地址空間 /21 子公司 3 的應用類 1 生產(chǎn)部工作人員 全部地址空間 子公司 4 /13 子公司 4 全部地址空間 /17 子公司 4 網(wǎng)管類全部地址空間 /17 子公司 4 互聯(lián)類全部地址空間 /17 子公司 4 應用類全部地址空間 /17 子公司 4 因特網(wǎng)全部地址 /21 子公司 4 的應用類 1 微機室工作人員全部地址空間 /21 子公司 4 的應用類 1 財務部工作人員 全部地址空間 /21 子公司 4 的應用類 1 行政部工作人員 全部地址空間 /21 子公司 4 的應用類 1 研發(fā)部工作人員 全部地址空間 /21 子公司 4 的應用類 1 后勤部工作人員 全部地址空間 /21 子公司 4 的應用類 1 人力資源部工作人員 全部地址空間 /21 子公司 4 的應用類 1 業(yè)務部工作 人員 全部地址空間 /21 子公司 4 的應用類 1 生產(chǎn)部工作人員 全部地址空間 北京分公司（ 5） /13 子公司 5 全部地址空間 /17 子公司 5 網(wǎng)管類全部地址空間 /17 子公司 5 互聯(lián)類全部地址空間 /17 子公司 5 應用類全部地址空間 /17 北京子公司因特網(wǎng)全部地址 /21 子公司 5 的應用類 1 微機室工作人員全部地址空間 /21 子公司 5 的應用類 1 財務部工作人員 全部地址空間 /21 子公司 5 的應用類 1 行政部工作人員 全部地址空間 /21 子公司 5 的應用類 1 研發(fā)部工作人員 全部地址空間 /21 子公司 5 的應用類 1 后勤部工作人員 全部地址空間 /21 子公司 5 的應用類 1 人力資源部工作人員 全部地址空間 /21 子公司 5 的應用類 1 業(yè)務部工作人員 全部地址空間 /21 子公司 5 的應用類 1 生 產(chǎn)部工作人員 全部地址空間 上海分公司（ 6） /13 子公司 6 全部地址空間 /17 子公司 6 網(wǎng)管類全部地址空間 /17 子公司 6 互聯(lián)類全部地址空間 /17 子公司 6 應用類全部地址空間 /17 上海子公司因特網(wǎng)全部地址 /21 子公司 6 的應用類 1 微機室工作人員全部地址空間 ./21 子公司 6 的應用類 1 財務部工作人員 全部地址空間 ./21 子公司 6 的應用類 1 行政部工作人員 全部地址空間 ./21 子公司 6 的應用類 1 研發(fā)部工作人員 全部地址空間 ./21 子公司 6 的應用類 1 后勤部工作人員 全部地址空間 ./21 子公司 6 的應用類 1 人力資源部工作人員 全部地址空間 ./21 子公司 6 的應用類 1 業(yè)務部工作人員 全部地址空間 /21 子公司 6 的應用類 1 生產(chǎn)部工作人員 全部地址空間 其中， 在項目實施的時候，接入層交換機的 IP 地址建議使用網(wǎng)管類地址空間 10.*.34.0/24，多層交換機的 IP 地址的 LOOPBACK 接口的 IP 地址建議使用網(wǎng)管類地址 10.*.35.*/32；所有匯聚層設備互聯(lián)IP 地址使建議使用互聯(lián)類空間 /27 和 2/27，相互備份的 2 臺匯聚層設備的 IP 地址建議使用互聯(lián)類地址空間10.*.65.248/29。 冗余電源 Cisco6509 系列以太網(wǎng)交換機提供了 RPS 電源備份接口，可以對設備提供一對一的電源備份和保護，也可以以一路直流 電源對多臺支持 RPS 接口的設備進行備份和保護。 生成樹（ STP/RSTP/MSTP） Cisco6509 系列以太網(wǎng)交換機支持 STP/RSTP/MSTP 生成樹協(xié)議。 生成樹協(xié)議主要用來建立和維護局域網(wǎng)的拓撲，消除循環(huán)連接導致的網(wǎng)絡廣播風暴，并且提供網(wǎng)絡的拓撲的冗余備份功能，平時作為備份的路徑被阻塞，當主用路徑網(wǎng)絡設備出現(xiàn)故障時，能夠及時調(diào)整端口狀態(tài)，調(diào)整網(wǎng)絡拓撲。 生成樹協(xié)議的工作原理：網(wǎng)絡中的橋接設備根據(jù)設定的優(yōu)先值和 MAC 地址，確定最優(yōu)先的設備為網(wǎng)絡的根橋，根橋向外定時發(fā)送 Config BPDU 報文，每個收到該報文的交換機將報文內(nèi)容根據(jù)自身的配置和所掌握的網(wǎng)絡拓撲結構進行更新下發(fā)到其他端口，當一個交換機從兩個或兩個以上端口接收到 Config BPDU 的時候就表明網(wǎng)絡中存在循環(huán)，保留其中一個端口為轉(zhuǎn)發(fā)狀態(tài)，設置其余端口為阻塞狀態(tài)。 除了支持傳統(tǒng)的生成樹協(xié)議外， Cisco6509 系列以太網(wǎng)交換機還支持 IEEE 802.1w 快速生成樹協(xié)議 (RSTP)，以及 802.1s 多生成樹協(xié)議（ MSTP）?？焖偕蓸鋮f(xié)議是生成樹協(xié)議的改進，在原有功能的基礎上提高了網(wǎng)絡保護的性能。傳統(tǒng)生成樹倒換時間 為 42s，從發(fā)現(xiàn)鏈路斷裂、數(shù)據(jù)中斷到數(shù)據(jù)恢復至少需要三十多秒的時間，而快速生成樹協(xié)議只需 6 8秒的時間就可以將數(shù)據(jù)流切換到備份鏈路上。 802.1s 多生成樹協(xié)議（ MSTP）可以通過支持一個網(wǎng)絡內(nèi)的多個生成樹，這使管理員可以把 VLAN 流量分配給唯一的通路。網(wǎng)絡管理員只要為 VLAN 分配獨立的生成樹拓撲，就可以確保兩個 VLAN都能在網(wǎng)上順暢傳輸。這就可以起到均衡網(wǎng)絡流量，提高可靠性的作用。 Cisco6509 系列以太網(wǎng)交換機最大可以支持 17 個或者 33個 STP實例。 鏈路聚合（ Link Aggregation ） 為了在以太網(wǎng)上獲得更高的數(shù)據(jù)傳輸帶寬， Cisco6509 系列以太網(wǎng)交換機提供了二層的端口鏈路聚合功能（基于標準 IEEE 802.3ad）。這樣在生成樹協(xié)議（ STP）和其他二層協(xié)議上看，作了鏈路聚合的所有物理端口被視為同一個端口。在作了鏈路聚合的端口之間可以做冗余備份和負載分擔。 在實際應用中，進行聚合處理的端口等同于一個端口，任何轉(zhuǎn)發(fā)到聚合的端口上的報文會通過對源、目的地址的邏輯運算來分布到聚合的不同端口上。即使是多播和廣播報文也不會被復制多份，也要通過對地址的邏輯計算，將流量平 衡分配到不同的端口上。 Cisco6509 系列以太網(wǎng)交換機系統(tǒng)在二層和三層對硬件查表未命中的新地址進行監(jiān)控。如果新地址是在聚合的端口上時，根據(jù)二層和三層的不同，使用 MAC 地址或 IP 地址進行邏輯計算，根據(jù)邏輯的結果選擇相應端口為轉(zhuǎn)發(fā)端口，發(fā)往該目的地址的幀將按照計算負載均衡后的結果進行轉(zhuǎn)發(fā)，實現(xiàn)端口之間負載均衡和冗余保護，保證數(shù)據(jù)流不出現(xiàn)亂序現(xiàn)象。 HSRP HSRP 是 CISCO 公司是所特有的。 HSRP 向主機提供了缺省網(wǎng)關的冗余性，減少了主機維護路由表的任務。當網(wǎng)絡邊緣設備或接入電路出現(xiàn)故障時， HSRP 提供了一個較好的解決方案，它能夠確保用戶通信迅速并透明地恢復，以此為 IP 網(wǎng)絡提供冗余性、容錯和增強的路由選擇功能。通過使用熱備份路由份協(xié)議（ HSRP），可使網(wǎng)絡對最終用戶的可用性得到充分的保證。另外，通過多個熱備份組，路由器可以提供冗余備份，并在不同的 IP 子網(wǎng)上實現(xiàn)負載分擔。 旭日集團園區(qū)網(wǎng)的 IP 地址規(guī)范中規(guī)定：網(wǎng)關的地址統(tǒng)一使用子網(wǎng)的最后一個可用地址。啟用 HSRP 協(xié)議之后，這個地址就是HSRP 的虛擬地址。 在成對的兩臺匯聚層多層交換機上，具體的 HSRP 配置規(guī)范如下： 1 接口的 IP地址：在第一臺多 層交換機上，某個 VLAN 虛擬接口的 IP 地址是子網(wǎng)的最后第三個可用地址，在第二臺多層交換機上，某個 VLAN 虛擬接口的 IP 地址是子網(wǎng)的最后第二個可用地址。 2熱備份組號：熱備份組號與接口的 VLAN 號相同。 3熱備份地址：熱備份地址是子網(wǎng)的最后一個可用地址。 4熱備份優(yōu)先級：在主用的多層交換機了，某個 VLAN 虛擬接口的熱備份優(yōu)先級是 120。并且主用的匯聚層交換機配置占先權。 等價路由（ ECMP） 除了從設備級支持三層轉(zhuǎn)發(fā)容錯協(xié)議 VRRP 之外， Cisco6509 系列以太網(wǎng)路由交換機還支持等價路由（ ECMP）。等價路由即為到達同一個目的 IP 或者目的網(wǎng)段存在多條 Cost 值相等的不同路由路徑，當設備支持等價路由時，發(fā)往該目的 IP 或者目的網(wǎng)段的三層轉(zhuǎn)發(fā)流量就可以通過不同的路徑分擔，實現(xiàn)網(wǎng)絡的負載均衡，并在其中某些路徑出現(xiàn)故障時，由其它路徑代替完成轉(zhuǎn)發(fā)處理，實現(xiàn)路由冗余備份功能。 不僅從軟件上，而且從硬件上也支持等價路由是 Cisco6509 系列以太網(wǎng)路由交換機與業(yè)界類似產(chǎn)品相比顯著的優(yōu)點。以前部分路由交換機雖然也宣稱支持等價路由，但實際上只是從軟件上支持，對軟件轉(zhuǎn)發(fā)的報文可以使用等價路由，但對于由硬件直接 轉(zhuǎn)發(fā)的報文，則只能從一條固定路徑轉(zhuǎn)發(fā)。而 Cisco6509 系列以太網(wǎng)路由交換機從硬件上也實現(xiàn)了等價路由的支持，真正實現(xiàn)了硬件三層轉(zhuǎn)發(fā)流量的負載分擔與路由冗余備份。 Cisco6509 系列以太網(wǎng)路由交換機最大支持 4 條等價路由，并且不論 RIP、 OSPF 等路由協(xié)議產(chǎn)生的路由，還是靜態(tài)配置路由，不論是網(wǎng)段路由還是主機路由，甚至缺省路由，都可以支持等價路由。 Cisco6509 系列以太網(wǎng)路由交換機在支持等價路由、實現(xiàn)負載均衡的同時，還能很好地保證報文的有序性。通過數(shù)據(jù)流的目的 IP 地址和源 IP 地址進行計 算， Cisco6509 系列以太網(wǎng)路由交換機可以保證同一個 IP 轉(zhuǎn)發(fā)流都從同一個路由路徑被轉(zhuǎn)發(fā)出去，從而保證了整個端到端網(wǎng)絡的路由報文轉(zhuǎn)發(fā)的有序性，避免了 TCP 全局同步等問題的發(fā)生。 策略路由（ PBR） Cisco6509 系列以太網(wǎng)路由交換機支持高性能的策略路由。策略路由（ Policy-Based Routing，簡稱 PBR）是目前越來越多的路由器或三層交換機設備正在支持的一項路由擴展功能，支持策略路由的設備不僅能以報文的目的 IP 地址為依據(jù)來進行路由選擇，還可以以報文的源 IP地址、源 MAC 地 址、報文大小、報文進入的端口、報文類型、報文的 VLAN 屬性等等其它擴展條件來選擇路由。通過合理的路由策略設計，可以實現(xiàn)網(wǎng)絡流量的負載均衡，充分利用路由設備，并實現(xiàn)路由、交換設備之間的冗余備份功能，同時提供各種可以區(qū)分的服務等級，為不同用戶提供不同的 QoS 服務。策略路由是設置在接收報文接口而不是發(fā)送接口。 Cisco6509 系列以太網(wǎng)路由交換機可以很好地支持策略路由功能，并且可以將路由下一跳重定向到某個物理端口，或者某個下一跳 IP 地址。 VPN Cisco6509 系列以太網(wǎng)路由交換機支持 VPN,VPN（虛 擬專網(wǎng)）是利用公共網(wǎng)絡資源 (如公用電信網(wǎng) )為客戶組建專用網(wǎng)的一種技術，它通過對網(wǎng)絡數(shù)據(jù)進行封包和加密傳輸，在公網(wǎng)上傳輸私有數(shù)據(jù)，達到私有網(wǎng)絡的安全級別，從而利用公網(wǎng)構筑專網(wǎng)（即 VPN）。它是一種邏輯上的專用網(wǎng)絡，向用戶提供專用網(wǎng)絡所具有的功能，但本身卻不是一個獨立的物理網(wǎng)絡。 3.7 網(wǎng)絡安全設計 旭日集團園區(qū)網(wǎng)有 5000 用戶，網(wǎng)絡規(guī)模比較大，并且和因特網(wǎng)存在連接。為了保障網(wǎng)絡系統(tǒng)的運行安全，保護集團的信息安全，必須進行網(wǎng)絡安全方面的規(guī)劃和實施。 一個網(wǎng)絡的安全，首先要有嚴格和有效執(zhí)行的 管理制度。建議旭日集團制定嚴格的網(wǎng)絡安全管理策略，并有效的執(zhí)行。其次，必須具有一定的技術手段來保障網(wǎng)絡的安全。技術和管理手段相結合實施，才能夠產(chǎn)生良好的效果。 通過以下幾個技術方面的實施，可以在一定程度上保障網(wǎng)絡的安全： 提高設備的物理安全性 配置設備的口令 進行 VTP 域的認證 園區(qū)網(wǎng)用戶的接入控制 應用系統(tǒng)的訪問控制 因特網(wǎng)的接入安全控制 提高設備的物理安全性 設備的物理安全性是指運行中的設備，未經(jīng)授權的人員不能直接接觸到。提高設備的物理安全性，是最基本的要求。通過將 設備安置在獨立的設備間中，并增加門禁系統(tǒng)，確保只有授權的管理和維護人員才能接觸到物理設備。 配置設備的口令 配置設備的口令，是防止非授權的人員更改網(wǎng)絡系統(tǒng)的配置的重要手段。 要為所有的設備設置口令。要為每一臺設備配置 CONSOLE口令， AUX 口令， VTY 口令，特權口令等 在口令方面，需要制定管理制度并嚴格執(zhí)行?？诹罟芾碇贫劝诹畹脑O置，保管，更改，口令的強度等內(nèi)容。 進行 VTP 域的認證 進行 VTP 域的認證，能夠保證局域網(wǎng)的 VLAN 等的安全。 設置了口令之后，除非交換機設置了正確的口令，否則。新交換機不能自動加入到已存在的管理域中。保證了局域網(wǎng)的運行安全，可以避免因為 VLAN 被錯誤或者惡意的增加。刪除造成的運行事故。 園區(qū)用戶的接入控制 因為一般的安全措施都不是針對網(wǎng)絡呢的用戶的，嚴格控制用戶的接入，可以避免非法用戶接入帶來的潛在的安全隱患。 園區(qū)網(wǎng)系統(tǒng)建設驗收完畢之后，確保交換機的所有用戶端口處于關閉狀態(tài)。只有用戶使用申請通過批準之后網(wǎng)絡管理員才能將端口激活。 應用系統(tǒng)的訪問限制 可以 根據(jù)旭日集團 的應用需求，在匯聚層的多層交換機上實施訪問控制，限制園區(qū)網(wǎng)用戶對特定應用系統(tǒng)的訪問，或者只允許特定的用戶訪問某些資源。 因特網(wǎng)的接入安全控制 因特網(wǎng)的接入安全控制是非常重要的，不僅需要布置防火墻等安全設備，還要指定嚴格的安全策略。 四系統(tǒng)設計方案 4.1 系統(tǒng)設計總體需求 本項目的實施目的是在旭日集團內(nèi)部建立穩(wěn)定，高效的辦公自動化網(wǎng)絡，通過項目的實施，為所有員工配桌面 PC，使所有員工能夠通過總部網(wǎng)絡進入 internet，從而提高所有員工的工作效率和加快企業(yè)內(nèi)部信息的傳 遞。同時需要建立 WEB 服務器，用于在互聯(lián)網(wǎng)上發(fā)布企業(yè)信息。在總部和子公司均設立專用發(fā)服務器，使集團內(nèi)所有員工能夠利用服務器方便的訪問公共文件資源，并能夠完成企業(yè)內(nèi)部郵件的收發(fā)。系統(tǒng)建立完成后，要求能滿足企業(yè)個方面的應用需求，包括辦公自動化，郵件收發(fā)，信息共享和發(fā)布，員工帳戶管理，系統(tǒng)安全管理等。 4.2 系統(tǒng)設計原則 隨著集團 近年來的高速發(fā)展，集團的業(yè)務已經(jīng)涉及到各個商業(yè)領域，集團及公司內(nèi)部的組織結構也日益復雜，在本項目的設計實施過程中，要求工程實施方案在規(guī)劃系統(tǒng)設計時充分考慮到企業(yè)管理的需求，設計合 理的系統(tǒng)管理結構，能夠很大程度的降低集團在系統(tǒng)管理上的成本，并能滿足各種商務工作的需求，具體設計應依據(jù)以下原則： 清晰的邏輯結構：要求集團范圍內(nèi)的系統(tǒng)管理結構清晰，層次分明，能夠充分的與集團的管理結構相吻合。集團總部和各個分公司應是相互獨立的管理單元，各個單位在自己公司范圍內(nèi)實現(xiàn)用戶賬戶及網(wǎng)絡安全的管理。總部管理員有權管理各個子公司的系統(tǒng) 便于管理：整個系統(tǒng)設計要便于網(wǎng)絡管理員的管理，在系統(tǒng)中提供便于管理員管理的各種有效方式。使管理員在任何一個位置均能對服務器進行維護和管理。集團總部及各分公司都有專職系統(tǒng)管 理員，應保障管理員只對本公司具有管理權限。總部管理員對集團所有系統(tǒng)有管理權限。 簡單的設計：在保障滿足需求的前提下，設計方案應簡單為佳，避免由于復雜的設計增加工程實施難度和增加集團系統(tǒng)管理的復雜性。 合理的用戶管理：所有的用戶采用統(tǒng)一的命名規(guī)則，每個單位對本單位員工帳戶進行獨立的管理，并按不同部門管理賬號。 4.3 系統(tǒng)設計方案 4.3.1 系統(tǒng)的構價 根據(jù)集團的管理結構。本方案采用 Windows 系統(tǒng)提供的域模式來組織和管理全部系統(tǒng)資源，采用域的模式，不僅可以集中存儲網(wǎng)絡對象，并且管理簡 單，即實現(xiàn)了集中管理，又可以滿足不同公司自身的安全需求。方案中將集團按公司單位劃分不同的模塊，集團總部作為域林的根，每個子公司為一個獨立的域或者域樹，形成一個完整的樹狀結構。采用這種結構，可以將網(wǎng)絡中的全部資源，分散到每個域的域控制器中存儲，減少了每臺域控制器的信息存儲，從而減少復制流量和網(wǎng)絡對象的查詢時間。具體的實現(xiàn)如下圖： 在此構架設計中，旭日集團需要自己的獨立的域名，所以在設計林中樹，武漢的 4 個子公司作為總部的子域，北京和上海分公司作為一單獨的 域樹， 由于所有的資源都位于園區(qū)網(wǎng)內(nèi)，具有高速的網(wǎng)絡連接，因此所有的域均在一個站點內(nèi)。即使域中的一臺域控制器發(fā)生故障，仍然能保障系統(tǒng)的正常運行。并且提高了用戶身份驗證的速度。 操作主機分配：操作主機域中扮演著重要的角色，直接影響到域是否能夠正常工作，在 Windows2003 的域中，一共有五種操作主機，分別是構架主機，域名主機， RID 主機， PDC 仿真器，結構主DC DC DC 根域 : 集團總部 北京分公司 : 上海分公 司 : 子公司 1: 子公司 2:tw 子公司 3: 子公司 4: 同一個站點 森林 機。其中前面 2 種在林范圍內(nèi)起作用，后面 3 種在域范圍內(nèi)起作用，為了使用所有的操作主機更好的工作，保障正常的工作并且不產(chǎn)生大的復制流量，方案采用 了 Windows 系統(tǒng)默認的設置，根域中第一臺DC 承擔了五種操作主機的角色，每個子域中的 第一臺 DC 承擔了域范圍內(nèi)的三種操作主機角色。 4.3.2 系統(tǒng)管理設計 在系統(tǒng)設計時包括三個部分，分別是 OU，用戶及組的設計，為了更好的滿足集團的需要，便于系統(tǒng)管理員方便管理企業(yè)中的所有用戶，系統(tǒng)管理結構與集團的管理結構相匹配，方案中采用了如下所述的設計。 OU 的設計 集團的 OU 設計目的是為了使用用戶管理更有效率，結構更加清晰，并能夠使系統(tǒng)的管理結構與集團的商業(yè)模型相匹配。在本方案中按部門劃分 OU 的方法， 將每個公司中以部門為單位創(chuàng)建 OU，并在部門 OU 中保存該部門的用戶帳戶，計算機帳戶及組采用這種設計的方法，可以在系統(tǒng)管理中清楚的體現(xiàn)公司的管理結構，一般情況下，一個部門內(nèi)部中的用戶常常有相似的安全需求，利用這樣的設計方法，也可以方便的將安全策略應用到某個部門。 擁護管理 為了規(guī)范用戶帳戶的管理，系統(tǒng)中所有的用戶采用統(tǒng)一的命名規(guī)范，每個用戶在網(wǎng)絡中擁有唯一的登陸名。用戶帳戶在所屬的部門的 OU 中創(chuàng)建。 組的管理 為了滿足集團用戶管理的需求，更好的在網(wǎng)絡中管理用戶權限的分配，使系統(tǒng)的管理得到最大的簡化，方案中采用AGDLP 策略及 AGUDLP 策略。在每個域中創(chuàng)建全局組，用與組織本域的帳戶，在沒個域中創(chuàng)建域本地組，用于完成權限的指派。在本域內(nèi)的權限的分配，可以使用 AGDLP 策略，在域間的權限分配，使得 AGDLP 策略，依次將用戶加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權限授予指定的域本地組，采用這樣的方式，不僅可以使用戶的組織和權限分配簡單，也可以減少域間的復制流量，從而提高系統(tǒng)的性能。如圖所示： 4.3.3 系統(tǒng)的安全設計 在設計方案中，安全的設 計主要分 2 個部分，首先是 ISA Server的應用，通過 ISA Server 的配置，建立軟件防火墻，保護集團內(nèi)部網(wǎng)絡不受外部用戶的攻擊，同時利用 ISA Server 提供的網(wǎng)站過濾功能和服務器發(fā)布功能，對企業(yè)內(nèi)部用戶的上網(wǎng)行為進行規(guī)范，并能保障服務器的安全使用。其次，在方案設計中，充分應用 Window 系統(tǒng)提供用戶 全局組 用戶 通用組 域本地組 分配權限 全局組 通用組 的組策略功能，利用組策略，可以在每個公司的域中設計安全策略。防止用戶進行非授權的訪問，保護用戶在工作環(huán)境不受破壞。具體的設計方案如下： ISA Server： ISA Server 是微軟公司出品的軟件防火墻 代理服務器產(chǎn)品，它不僅可以起到代理服務器的緩存作用，也能實現(xiàn)防火墻的功能，通過軟件防火墻上設置過濾規(guī)則，可以控制內(nèi)部用戶對網(wǎng)站的訪問，同時利用其提供的服務器發(fā)布功能，也可以將企業(yè)內(nèi)部的服務器發(fā)布到 Internet 上，提供互聯(lián)網(wǎng)的訪問，在本方案的設計中，主要利用了網(wǎng)站過濾和服務器發(fā)布的功能，在集團中心即房安裝和配置 ISA 服務器，繼承防火墻功能和代理服務器的功能，將集團總部及子公司的 WEB 服務器及 MAIL 服務器發(fā)布到互聯(lián)網(wǎng)上。集團中所有的客戶端做為 ISA 的客戶端，所有的互聯(lián)網(wǎng)的訪問均通過ISA 服務器轉(zhuǎn)發(fā)，這樣， 就可以在 ISA 服務器上對所有網(wǎng)絡流量進行監(jiān)控并對實現(xiàn)網(wǎng)絡訪問的過濾。具體部署如圖： 防火墻功能： ISA 服務器位于企業(yè)網(wǎng)絡和外網(wǎng)之間，采用三網(wǎng)卡分別連接內(nèi)網(wǎng)和外網(wǎng)和 DZM 區(qū)，充分利用防火墻的角色，并利用網(wǎng)站和內(nèi)容規(guī)則來限制用戶能夠訪問的網(wǎng)站 服務器發(fā)布：利用 ISA 服務器將企業(yè)中的郵件和 WEB 服務器發(fā)布到互聯(lián)網(wǎng)上，保證外部用戶可以訪問公司的 WEB 服務器，并將公司用戶可以與外部客戶利用郵件交換信息。 客戶端：在所有用戶計算機上安裝 ISA 客 戶端軟件，并配置瀏覽器使用 ISA Server 作為代理服務器上網(wǎng)。 安全策略：在 Windows 系統(tǒng)中的域模式下，安全策略是保護系統(tǒng)及用戶在工作環(huán)境不被破壞的重要工具，在本方案中 對外發(fā)布WEB MAIL 森森 林林 樹樹 ISA Client ISA Client ISA Server 采用了組策略這個工具對全部系統(tǒng)提供安全保護，由于集團各個子公司采用獨立的管理模式，所以在每個域中單獨設置組策略，并使組策略應用到每個域中的用戶和計算機。各個子公司的系統(tǒng)管理員可以獨立的管理子公司的域，并可以在以后修改和編輯組策略，以適應公司未來的需求。在本方案中，根據(jù)集團的目前的需求，建立了基本的組策略 密碼長度最小值 為 7 密碼最長存留期為 30 天 密碼過期期限為 50 天 帳戶鎖定閥值為 5 次無效登陸 啟動密碼必須符合復雜性需求策略 五、 Windows 服務器解決方案 5.1. WEB 服務器 微軟 Windows Server 2003 中的 IIS 6.0 為用戶提供了集成的、可靠的、可擴展的、安全的及可管理的內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)和互聯(lián)網(wǎng)Web 服務器解決方案。 IIS 6.0 經(jīng)過改善的結構可以完全滿足全球客戶的需求。 優(yōu)點 IIS 6.0 和 Windows Server 2003 在網(wǎng)絡應用服務器的管理、可用性、可靠性、安全性、性能與可擴展性方面提供了許多新的功能。 IIS 6.0 同樣增強了網(wǎng)絡應用的開發(fā)與國際性支持。 IIS 6.0和 Windows Server 2003 提供了最可靠的、高效的、連接的、完整的網(wǎng)絡服務器解決方案。 特點 描述 可靠性與可伸縮性 IIS 6.0 提供了更智能的、更可靠的 Web 服務器 環(huán) 境 ， 新 的 環(huán) 境 包 括 應 用 程 序 健 康 監(jiān) 測 、 應用程序自動地循環(huán)利用。其可靠的性能提高了網(wǎng)絡服務的可用性并且節(jié)省了管理員用于重新啟動網(wǎng)絡服務所花費的時間， IIS 6.0 將提供最佳的擴展 性和強大的性能從而充分發(fā)揮每一臺 Web 服務器的最大功效。 更 安 全 、 易于管理 IIS 6.0 在安全與管理方面做出了重大的改進 。 安 全 性 能 的 增 強 包 括 技 術 與 需 求 處 理 變 化兩 方 面 。 另 外 ， 增 強 了 在 安 全 方 面 的 認 證 和 授權。 IIS 6.0 的默認安裝是被全面鎖定的，這意味著默認系統(tǒng)的安全系數(shù)就被設為最大，它提供的增強的管理性能改善了 XML metabase的管理及新的命令行工具。 服務器合并 IIS 6.0 是一個具有高伸縮性的 Web 服務器，它為 Web 服務器的合并提供了新的機遇。通過將可靠的體系結構和內(nèi)核模式驅(qū)動程序完美結合在 一起， IIS 6.0 允許您在單臺服務器上托管更多的應用程序。服務器合并還可以降低企業(yè)與人工、硬件以及站點管理相關的成本。 增強的開發(fā)與國際化支持 通過 Windows Server 2003 與 I I S 6 . 0 支持的先進功能如內(nèi)核模式緩存，應用程序開發(fā)人員將從 Windows Server 2003 與 I I S 6 . 0 單一的、完整的應用平臺環(huán)境中受益。基于 IIS 6.0， Windows Server 2003 為開發(fā)者提供高標準 的 附 加 功 能 ， 包 括 快 速 應 用 程 序 開 發(fā) 以 及 廣泛 的 語 言 選 擇 ， 同 時 也 提 供 了 國 際 化 支 持 和 支持最新的 Web 標準。 更高的安全性 I I S 6 . 0 顯著改進了 Web 服務器的安全性。 I I S 6.0 在默認情況下處于鎖定狀態(tài)，從而減少了暴露在攻擊者面前的攻擊表面積。此外， IIS 6.0 的身份驗證和授權功能也得到了改進。 IIS 6.0 還提供了更多更強大的管理功能，改善了對 XML 元 數(shù) 據(jù) 庫 （ metabase） 的 管 理 ， 并 且 提供了新的命令行工具。 IIS 6.0 在降低系統(tǒng)管理成本的同時，大大提高了信息系統(tǒng)的安全性。 Web 服務器更高的可靠性和可用性 IIS 6.0 已經(jīng)經(jīng)過了廣泛的重新設計，以提高 W