1、企 業(yè) 網(wǎng)需求分析組別 ：第一 組成員 ：張棋 李慧娜 王甜甜宋星 李 鵬飛3 TOC o 1-5 h z HYPERLINK l bookmark8 o Current Document 項目背景 3. HYPERLINK l bookmark10 o Current Document 需求分析 3.5. HYPERLINK l bookmark14 o Current Document 網(wǎng)絡(luò)設(shè)計指導(dǎo)原則 5 HYPERLINK l bookmark16 o Current Document 網(wǎng)絡(luò)設(shè)計總體目標 5 HYPERLINK l bookmark18 o Current Docume

2、nt 網(wǎng)絡(luò)通信聯(lián)網(wǎng)協(xié)議 5IP地址的設(shè)計6 HYPERLINK l bookmark20 o Current Document IP地址規(guī)劃和分配原則 6網(wǎng)絡(luò)地址分配 6 HYPERLINK l bookmark22 o Current Document 網(wǎng)絡(luò)拓撲結(jié)構(gòu)7. HYPERLINK l bookmark24 o Current Document 網(wǎng)絡(luò)布線系統(tǒng)設(shè)計 7 HYPERLINK l bookmark26 o Current Document 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計 8 HYPERLINK l bookmark28 o Current Document 外網(wǎng)安全設(shè)計 9 HYPERL

3、INK l bookmark30 o Current Document 內(nèi)網(wǎng)安全設(shè)計 91.0設(shè)備預(yù)算 1.0一、網(wǎng)絡(luò)系統(tǒng)設(shè)計概述項目背景為了適應(yīng)業(yè)務(wù)的發(fā)展和國際化的需要，積極參與國家信息化進程，提高管理水平，展現(xiàn)全新的形象，某廠準備建立一個現(xiàn)代化的機構(gòu)內(nèi)部網(wǎng)，實現(xiàn)信息的共享、協(xié)作和通訊，并和屬下個部門互連，并在此基礎(chǔ)上開發(fā)建設(shè)現(xiàn)代化的企業(yè)應(yīng)用系統(tǒng)，實現(xiàn)智能型、信息化、快節(jié)奏、高效率的管理模式。以高科技 為代表的一部分中小企業(yè)已經(jīng)達到相當高的水準，但是，這部分企業(yè)還不到 1%;大部分中小企業(yè)的信息化水平還處于財務(wù)管理、人事管理等初級階段；網(wǎng) 絡(luò)的應(yīng)用主要停留在獲取和發(fā)布信息上，用于生產(chǎn)過程控制

4、的很少；還有相當 一部分中小企業(yè)處于單機使用的起步階段。據(jù)有關(guān)部門統(tǒng)計，截至2004年上半年，國內(nèi)近63%的中小企業(yè)還未建立自己的網(wǎng)站，利用互聯(lián)網(wǎng)進行交易的中小 企業(yè)僅占企業(yè)總數(shù)的11%。中小企業(yè)的信息化需求存在多樣化、差異化現(xiàn)象。在中小企業(yè)中，還要具體情況具體分析。比如中型企業(yè)更重視ERP以優(yōu)化資源配置，提高管理水平和效率，加快市場反應(yīng)為目標；而小型企業(yè)多以嚴格制 度、堵塞漏洞、強化庫存管理、規(guī)范業(yè)務(wù)流程、加快資金周轉(zhuǎn)為目標。中小企 業(yè)必須針對自身行業(yè)的特點、企業(yè)的成長階段、企業(yè)信息化階段模型和企業(yè)發(fā) 展的戰(zhàn)略目標，進行信息化需求分析。在本方案中，我們借鑒了大型高端網(wǎng)絡(luò)系統(tǒng)集成的經(jīng)驗，充分利

5、用當今最 成熟、最先進的網(wǎng)絡(luò)技術(shù)，對該信息網(wǎng)絡(luò)系統(tǒng)的建設(shè)與實施提出方案.需求分析需求分析是開發(fā)過程中最關(guān)鍵的階段，需要克服需求收集的困難，采用多 種方式與用戶交流，才能挖掘出網(wǎng)絡(luò)工程的全面需求。需求分析有助于設(shè)計者 更好地理解網(wǎng)絡(luò)應(yīng)該具有什么樣的功能和性能，最終設(shè)計出符合用戶需求的網(wǎng) 絡(luò)。收集需求的范圍如下：(1)業(yè)務(wù)需求。(2)用戶需求。(3)應(yīng)用需求。(4)計算機平臺需求。(5)網(wǎng)絡(luò)通信需求。需求分析的輸出是產(chǎn)生一份需求說明書，也就是需求規(guī)范。在完成需求說 明書之后，管理者與網(wǎng)絡(luò)設(shè)計者應(yīng)該達成共識，并在文件上簽字。在形成需求說明書的同時，網(wǎng)絡(luò)設(shè)計人員還必須與網(wǎng)絡(luò)管理部門就需求的 變化建立起

6、需求變更機制，明確允許的變更范圍。這些內(nèi)容正式通過后，開發(fā)過程就可以進入下一個階段。設(shè)計網(wǎng)絡(luò)需求如下：信息的共享；公司管理；辦公自動化；高速 Internet 沖浪。(二)企業(yè)辦公網(wǎng)主干和信息點需求及分布擬建的企業(yè)網(wǎng)絡(luò)主要涉及到三幢建筑物：一號樓、二號樓、三號樓。一號樓：三層，公司主要的辦公樓，銷售部，財務(wù)部，行政部，服務(wù)部等等皆集中 3 樓，但計算機并不多，約有10 臺。二號樓：二層，研發(fā)部，有19 臺連網(wǎng)。三號樓：二層，生產(chǎn)部，目前只有各個樓層及部門聯(lián)網(wǎng)計算機：一號樓 3 樓：財務(wù)部：聯(lián)網(wǎng)PC2臺；行政部：聯(lián)網(wǎng)PC2臺；服務(wù)部：聯(lián)網(wǎng)PC4臺；銷售部：聯(lián)網(wǎng)PC12臺。二號樓：19臺PC全部入

7、網(wǎng)。三號樓：1臺PC聯(lián)網(wǎng)。一號樓、二號樓、三號樓。銷售部，財務(wù)部，行政部，服務(wù)部等20 臺 PC 機。目前需要連網(wǎng)的僅有PC 和一臺 Sun 工作站，要求全部需要1 臺 PC。二、網(wǎng)絡(luò)系統(tǒng)設(shè)計網(wǎng)絡(luò)系統(tǒng)主要是以光纖作為傳輸媒介、以 IP 和 Intranet 技術(shù)為技術(shù)主體、以核心交換機為交換中心、下屬部門信息網(wǎng)絡(luò)系統(tǒng)為分節(jié)點的多層結(jié)構(gòu)、提供與各種職能相關(guān)的、功能齊全、技術(shù)先進、資源統(tǒng)一的網(wǎng)上應(yīng)用系統(tǒng)，進一步可擴展成為多功能網(wǎng)絡(luò)平臺?？傮w目標是建立該企業(yè)的辦公業(yè)務(wù)信息網(wǎng)絡(luò)交換平臺，集成下屬各部門信息網(wǎng)絡(luò)系統(tǒng)， 功能齊全、技術(shù)先進、集成化的網(wǎng)絡(luò)系統(tǒng)。本系統(tǒng)設(shè)計主要進行節(jié)點網(wǎng)絡(luò)拓撲、路由組織、IP地

8、址、網(wǎng)絡(luò)安全設(shè)計、 VLAN劃分和設(shè)備的具體配置等設(shè)計，詳細描述所采用的設(shè)備及性能參數(shù)、網(wǎng)絡(luò)管理。網(wǎng)絡(luò)設(shè)計指導(dǎo)原則網(wǎng)絡(luò)設(shè)計應(yīng)該遵循開放性和標準化原則、可用性原則、高性能原則、經(jīng)濟 性原則、可靠性原則、安全第一原則、適度的可擴展性原則、易管理性原則、易維護性原則、最佳的性能價格比原則、QoS保證。網(wǎng)絡(luò)設(shè)計總體目標靈活性：系統(tǒng)具有較高的適應(yīng)變化的能力。布線系統(tǒng)且具有一定的擴展能力。實用性：使用方便、簡單、易擴展的特點。布線系統(tǒng)應(yīng)在滿足各種需求的情況 下盡可能降低材料成本；布線系統(tǒng)具有操作簡單、使用方便、易于擴展的特點。安全性：具有高安全性。網(wǎng)絡(luò)通信聯(lián)網(wǎng)協(xié)議TCP/IP :每種網(wǎng)絡(luò)協(xié)議都有自己的優(yōu)點

9、，但是只有 TCP/IP允許與Internet完 全的連接。Telnet :遠程登錄訪問協(xié)議，使其他跨省區(qū)域的用戶通過遠程訪問總部的內(nèi)外， 在遠程訪問時，會設(shè)置相應(yīng)的 acl認證和相對的權(quán)限設(shè)置。SNM刖絡(luò)管理協(xié)議：SNMP用于在IP網(wǎng)絡(luò)管理網(wǎng)絡(luò)節(jié)點（服務(wù)器、工作站、 路由器、交換機及HUBS等）的一種標準協(xié)議，它是一種應(yīng)用層協(xié)議。 SNMP 使網(wǎng)絡(luò)管理員能夠管理網(wǎng)絡(luò)效能，發(fā)現(xiàn)并解決網(wǎng)絡(luò)問題以及規(guī) 劃網(wǎng)絡(luò)增長。通過 SNMP接收隨機消息（及事件報告）網(wǎng)絡(luò)管理系統(tǒng) 獲知網(wǎng)絡(luò)出現(xiàn)問題。路由協(xié)議：OSPF。IP 地址的設(shè)計IP地址規(guī)劃和分配原則1）根據(jù)目前網(wǎng)絡(luò)結(jié)構(gòu)和以后擴展，遵循以下原則進行IP 地

10、址分配。唯一性： IP 地址必須唯一，一個IP 地址對應(yīng)一臺數(shù)據(jù)通訊設(shè)備；連續(xù)性：為同一網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于規(guī)劃，同時提高路由器尋徑效率；可管理性：地址的分配應(yīng)該有層次性，某個局部的變動不影響網(wǎng)絡(luò)的其它部分；高效性：采用可變長子網(wǎng)掩碼技術(shù)，要求采用支持可變長子網(wǎng)掩碼技術(shù)的 TCP/IP 協(xié)議族；可匯聚性：方便路由匯總，縮減路由表條目，提高路由器處理效率?？蓴U展性：既要考慮到 IP 地址的使用現(xiàn)狀，又要考慮到未來信息網(wǎng)絡(luò)的發(fā)展，為各單位分配合理的地址空間，在網(wǎng)絡(luò)上盡可能少地做NAT ，減少網(wǎng)絡(luò)設(shè)備 CPU 處理負擔和加快網(wǎng)絡(luò)訪問速度。2）業(yè)務(wù)地址的劃分可以按照兩個原則來分配：按照部門

11、規(guī)劃，每個部門一個獨立的網(wǎng)段；這種方案適合業(yè)務(wù)種類單一的情況，管理方便。網(wǎng)絡(luò)地址分配IP 地址規(guī)劃和分配包括以下內(nèi)容：1）設(shè)備及互連鏈路地址規(guī)劃與分配2）業(yè)務(wù)地址規(guī)劃與分配3）服務(wù)器地址規(guī)劃與分配根據(jù)以上 IP 地址的劃分原則，本方案建議IP 的設(shè)計如下：1 號樓： 192.168.0.1192.168.0.31/27 192.168.0.34192.168.0.63/272號樓：192.168.0.65192.168.0.95/273號樓：192.168.0.98/27網(wǎng)絡(luò)拓撲結(jié)構(gòu)企業(yè)網(wǎng)絡(luò)拓撲圖網(wǎng)絡(luò)布線系統(tǒng)設(shè)計局域網(wǎng)布線設(shè)計的依據(jù)是網(wǎng)絡(luò)的分布架構(gòu)。網(wǎng)絡(luò)布線必須有較長遠的考慮。 對于大型局域網(wǎng)

12、，連接公司院內(nèi)各個建筑物的網(wǎng)絡(luò)通常選擇光纖，統(tǒng)一規(guī)劃， 冗余設(shè)計，使用線纜保護管道并且埋入地下。建筑物內(nèi)又分為連接各個樓層的垂直布線子系統(tǒng)和連接同一樓層各個房間 入網(wǎng)計算機的水平布線子系統(tǒng)。因為有信息中心網(wǎng)絡(luò)機房，所以還應(yīng)該考慮機房的特殊布線需求。在局域 網(wǎng)布線時，應(yīng)該充分考慮到將來網(wǎng)絡(luò)擴展可能需要的最大接入節(jié)點數(shù)量、接入 位置的分布和用戶使用的方便性。若整座建筑物接入局域網(wǎng)的節(jié)點計算機不多, 可以采用從一個接入層節(jié)點直接連接所有入網(wǎng)節(jié)點的設(shè)計。若建筑物的每個樓 層都分布有大量接入節(jié)點，就需要設(shè)計垂直布線子系統(tǒng)和水平布線子系統(tǒng)，并 且在每層樓設(shè)置專門的配線間，安置該樓層的接入層節(jié)點網(wǎng)絡(luò)設(shè)備和配

13、線裝置。水平布線子系統(tǒng)通常采用非屏蔽雙絞線或屏蔽雙絞線，如何選擇線纜類型 和帶寬根據(jù)應(yīng)用需求決定。連接各個樓層交換機的垂直布線子系統(tǒng)通常采用光 纖。企業(yè)綜合布線系統(tǒng)由工作區(qū)子系統(tǒng)、水平布線子系統(tǒng)、垂直干線子系統(tǒng)、 管理子系統(tǒng)和建筑群子系統(tǒng)組成。它的設(shè)計原則如下：1）開放性嚴格按照IEEE802、 EIA/TIA 568等工業(yè)及建筑布線標準和中國建筑電氣設(shè)計 / 工業(yè)企業(yè)通信設(shè)計規(guī)范。2）實用性適應(yīng)企業(yè)現(xiàn)在和將來發(fā)展的需要，具備數(shù)據(jù)通信、語音通信和圖像通信的功能。3）靈活性布線系統(tǒng)中任一信息點能夠很方便地與多種類型設(shè)備（如電話、計算機、檢測器件以及傳真等）進行連接。4）可擴展性布線系統(tǒng)具有較強的

14、可擴展性，在將來需要時可以很容易地將所擴充的設(shè)備連接到系統(tǒng)中來，實現(xiàn)各種網(wǎng)絡(luò)服務(wù)與應(yīng)用。5）經(jīng)濟性綜合布線系統(tǒng)是一種既具有良好的初期投資特性，即在今后若干年中不增加新的投資情況下仍能保持建筑物的先進性，又是具有極高的性能價格比的高科技產(chǎn)品。通常情況下，綜合布線系統(tǒng)的使用壽命為 15年。6）可靠性綜合布線系統(tǒng)采用高品質(zhì)的材料和組合壓接的方式構(gòu)成一套高標準的信息通道。每條通道都采用專用儀器校核線路衰減、串音、信噪比，以保證其電氣性能不會造成交叉干擾。公司應(yīng)采用綜合布線系統(tǒng)，才能更好的發(fā)揮千兆局域網(wǎng)的威力。2.7 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計網(wǎng)絡(luò)安全是一種策略及管理，而不僅僅是某一種產(chǎn)品，是一個系統(tǒng)工程，它包括

15、了物理層、網(wǎng)絡(luò)層、應(yīng)用層等一系列安全措施和策略。從外在上安全包括五個基本要素：機密性、完整性、可用性、可控性與可審查性。機密性：確保信息不暴露給未授權(quán)的實體或進程。完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已 被篡改?？捎眯裕旱玫绞跈?quán)的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作?？煽匦裕嚎梢钥刂剖跈?quán)范圍內(nèi)的信息流向及行為方式?？蓪彶樾裕簩Τ霈F(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段O外網(wǎng)安全設(shè)計采用：防火墻系統(tǒng)：采用防火墻系統(tǒng)實現(xiàn)對內(nèi)部網(wǎng)和廣域網(wǎng)進行隔離保護。對內(nèi) 部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過單獨的防火墻設(shè)備進行保護。入侵檢測系統(tǒng)：采用入侵檢測設(shè)備，作為防火墻的功能互補，提供對監(jiān)控 網(wǎng)段的攻擊的實時報警和積極響應(yīng)。病毒防護系統(tǒng)：強化病毒防護系統(tǒng)的應(yīng)用策略和管理策略，增強病毒防護 有效性。垃圾郵件過濾系統(tǒng)：過濾郵件，阻止垃圾郵件及病毒郵件的入侵 并形成如下的網(wǎng)絡(luò)安全體系模型圖為網(wǎng)絡(luò)與信息安全防范體系模型內(nèi)網(wǎng)安全設(shè)計訪問控制，通過密碼、口令（不定期修改、定期保存密碼與口令）等禁止 非授權(quán)用戶對服務(wù)器的訪問，以及對辦公自動化平臺、的訪問和管理、用戶身 份真實性的驗證、內(nèi)部用戶訪問權(quán)限設(shè)置、 ARP病毒的防御、數(shù)據(jù)完整、審