2018-2019年第二學(xué)期網(wǎng)絡(luò)集成實(shí)踐報(bào)告姓名：學(xué)號(hào)：課程名稱：所在學(xué)院：專業(yè)班級(jí)：任課教師：目錄1、項(xiàng)目簡(jiǎn)介 31.1總體簡(jiǎn)介 31.2設(shè)計(jì)原則 41.2.1先進(jìn)性 41.2.2標(biāo)準(zhǔn)性 41.2.3兼容性 41.2.4可升級(jí)和可擴(kuò)展性 41.2.5安全性 51.2.6可靠性 51.2.7易操作性 51.2.8可管理性 52、需求分析 52.1業(yè)務(wù)要求 52.1.1企業(yè)綜合布線系統(tǒng)應(yīng)滿足以下幾個(gè)需求 62.1.2綜合布線系統(tǒng)的結(jié)構(gòu) 62.2協(xié)議需求 72.3網(wǎng)絡(luò)結(jié)構(gòu) 72.4網(wǎng)絡(luò)互聯(lián) 82.5安全需求 83、網(wǎng)絡(luò)設(shè)計(jì) 83.1應(yīng)用服務(wù) 83.2IP規(guī)劃 93.3無線網(wǎng)絡(luò) 103.4軟件產(chǎn)品 103.5網(wǎng)絡(luò)安全設(shè)計(jì) 114、綜合布線方案與設(shè)備選型 114.1總公司網(wǎng)絡(luò) 114.2分公司網(wǎng)絡(luò) 124.2.1分公司網(wǎng)絡(luò)集成 124.2.2分公司IP地址規(guī)劃說明 134.3總公司拓?fù)浣Y(jié)構(gòu) 134.3.1城域網(wǎng)及互聯(lián)網(wǎng)部分 134.3.2具體的拓?fù)浣Y(jié)構(gòu) 144.4設(shè)備選型 145、網(wǎng)絡(luò)配置與測(cè)試 175.1地址規(guī)劃 175.1.1接入層 185.1.2核心層 185.1.3應(yīng)用系統(tǒng)部分 186、網(wǎng)絡(luò)服務(wù)設(shè)計(jì) 196.1網(wǎng)絡(luò)服務(wù)系統(tǒng) 196.2服務(wù)軟件環(huán)境 206.2.1OSPF 226.2.2VRRP 227、網(wǎng)絡(luò)系統(tǒng)測(cè)試 238、實(shí)驗(yàn)總結(jié) 232018-2019第2學(xué)期《網(wǎng)絡(luò)集成實(shí)踐》課程實(shí)習(xí)報(bào)告1、項(xiàng)目簡(jiǎn)介1.1總體簡(jiǎn)介杭州NISS集團(tuán)科技公司，是杭州市高科技重點(diǎn)企業(yè)之一，是一個(gè)集科研、生產(chǎn)、維修于一體的大型科技企業(yè)。集團(tuán)公司總部設(shè)在杭州市，其分公司設(shè)在寧波。集團(tuán)公司因?yàn)闃I(yè)務(wù)的需要和信息化建設(shè)的需要，還需要為寧波分公司提供網(wǎng)絡(luò)設(shè)計(jì)方案。集團(tuán)公司通過建設(shè)一個(gè)高速、安全、可靠、可擴(kuò)充的網(wǎng)絡(luò)系統(tǒng)，實(shí)現(xiàn)企業(yè)內(nèi)信息的高度共享、傳遞，交流及管理信息化，集團(tuán)領(lǐng)導(dǎo)能及時(shí)、全面、準(zhǔn)確地掌握全集團(tuán)的科研、管理、財(cái)務(wù)、人事等各方面情況，建立出口信道，實(shí)現(xiàn)與Internet互聯(lián)。系統(tǒng)總體設(shè)計(jì)將本著總體規(guī)劃、分布實(shí)施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進(jìn)性、高度的安全可靠性，同時(shí)具有良好的開放性、可擴(kuò)展性。本著為企業(yè)著想，合理使用建設(shè)資金，使系統(tǒng)經(jīng)濟(jì)可行。集團(tuán)公司網(wǎng)絡(luò)的主要功能包括：活動(dòng)目錄服務(wù)、文件傳輸(FTP)、郵件系統(tǒng)(mail)、數(shù)據(jù)庫服務(wù)(DB)、WEB服務(wù)器（WEB）、分布式數(shù)據(jù)存儲(chǔ)、容災(zāi)備份、安全防護(hù)等功能。項(xiàng)目實(shí)施主要包括組網(wǎng)配置與應(yīng)用系統(tǒng)集成,涵蓋集團(tuán)公司與集團(tuán)分公司。部署接入層,提供本地與遠(yuǎn)程工作組和用戶網(wǎng)絡(luò)接入;部署匯聚層,提供基于策略的連接;部署核心層,提供高速傳輸滿足連接性,同時(shí)傳輸匯聚層設(shè)備需要,使用廣域網(wǎng)技術(shù)實(shí)現(xiàn)異地互聯(lián)通信,IPSecVPN技術(shù)保障雙鏈路冗余備份時(shí)數(shù)據(jù)的安全性。為了滿足企業(yè)實(shí)際需求,各種應(yīng)用系統(tǒng)集成技術(shù)應(yīng)運(yùn)而生,例如,為了保障網(wǎng)絡(luò)用戶的安全且能夠統(tǒng)一管理網(wǎng)絡(luò)中的用戶,架設(shè)域服務(wù)器,為內(nèi)網(wǎng)用戶提供身份驗(yàn)證服務(wù)。架設(shè)DHCP服務(wù)器,為內(nèi)網(wǎng)主機(jī)提供動(dòng)態(tài)的IP地址。架設(shè)Web服務(wù)器用來提供集團(tuán)公司的門戶服務(wù),并采用WindowsCluster服務(wù),提供高可用性。架設(shè)Radius服務(wù)器,結(jié)合802.1x技術(shù)保障終端接入的合法性等。所有服務(wù)器的數(shù)據(jù)存儲(chǔ)在IPSAN的磁盤陣列柜中,提高數(shù)據(jù)的安全性。服務(wù)器群部署在防火墻的DMZ區(qū)域,確保服務(wù)器既可以提供網(wǎng)絡(luò)服務(wù),又保證其服務(wù)器安全。1.2設(shè)計(jì)原則1.2.1先進(jìn)性隨著計(jì)算機(jī)應(yīng)用的不斷普及和發(fā)展，計(jì)算機(jī)系統(tǒng)對(duì)網(wǎng)絡(luò)性能的要求已經(jīng)并將繼續(xù)不斷提高，高帶寬、低延遲是對(duì)交換網(wǎng)絡(luò)設(shè)備的基本要求。網(wǎng)絡(luò)交換設(shè)備應(yīng)該提供從數(shù)據(jù)中心到樓層配線間直至桌面的高速網(wǎng)絡(luò)連接，交換機(jī)必須具備無阻塞交換能力。綜合考慮先進(jìn)性和成熟性，結(jié)合實(shí)際應(yīng)用需求，市教育城域網(wǎng)可采用千兆以太網(wǎng)、快速以太網(wǎng)作為主干技術(shù)連接數(shù)據(jù)中心和各學(xué)校交換機(jī)，采用千兆以太網(wǎng)、快速以太網(wǎng)或以太網(wǎng)接口連接服務(wù)器和客戶機(jī)。1.2.2標(biāo)準(zhǔn)性在當(dāng)今流行的 Internet / intranet 計(jì)算方式下，應(yīng)用系統(tǒng)將以大量客戶機(jī)同時(shí)訪問少量服務(wù)器為特征，要求網(wǎng)絡(luò)交換機(jī)必須具有有效的主動(dòng)式擁塞管理功能，以避免通常出現(xiàn)在服務(wù)器網(wǎng)絡(luò)接口處的擁塞現(xiàn)象，杜絕數(shù)據(jù)包的丟失。以硬件交換為特征的多層交換技術(shù)已經(jīng)在越來越多的局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)中取代傳統(tǒng)路由器成為網(wǎng)絡(luò)的主干技術(shù)，作為一種成熟的先進(jìn)技術(shù)應(yīng)在市教育城域網(wǎng)網(wǎng)絡(luò)中得到應(yīng)用。1.2.3兼容性不同廠商的網(wǎng)絡(luò)設(shè)備應(yīng)能彼此兼容，以保證企業(yè)網(wǎng)絡(luò)的正常、高效地運(yùn)行。為保證網(wǎng)絡(luò)系統(tǒng)的開放性，網(wǎng)絡(luò)中的主干交換設(shè)備應(yīng)該能夠支持基于國(guó)際標(biāo)準(zhǔn)或企業(yè)界事實(shí)標(biāo)準(zhǔn)的 ATM、FDDI、快速以太網(wǎng)、千兆以太網(wǎng)等各種鏈路接口技術(shù)，能夠在必要的時(shí)候與外部開放系統(tǒng)順利實(shí)現(xiàn)互聯(lián)。1.2.4可升級(jí)和可擴(kuò)展性為了將來能順利實(shí)現(xiàn)技術(shù)升級(jí)，選用的設(shè)備應(yīng)有支持千兆以太網(wǎng)、 ATMOC等前沿技術(shù)的能力，以便技術(shù)成熟時(shí)配備。由于計(jì)算機(jī)技術(shù)和應(yīng)用范圍的不斷進(jìn)步和發(fā)展，而網(wǎng)絡(luò)技術(shù)又是其中進(jìn)步最快的一個(gè)分支，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的建設(shè)不僅要考慮當(dāng)前的網(wǎng)絡(luò)連接需求，還必須考慮到計(jì)算機(jī)系統(tǒng)不斷擴(kuò)大而提出的網(wǎng)絡(luò)系統(tǒng)擴(kuò)展和升級(jí)的需求和網(wǎng)絡(luò)通信技術(shù)本身的快速進(jìn)步所提供的提升網(wǎng)絡(luò)系統(tǒng)容量和性能的可能性。為了使網(wǎng)絡(luò)系統(tǒng)能夠在盡可能的保護(hù)現(xiàn)有投資的前提下不斷滾動(dòng)發(fā)展以適應(yīng)應(yīng)用需求發(fā)展的需要，選用設(shè)備時(shí)應(yīng)該盡可能預(yù)見到網(wǎng)絡(luò)系統(tǒng)近期、中期和遠(yuǎn)期的擴(kuò)展、升級(jí)的可能性并預(yù)留擴(kuò)展、升級(jí)的能力。1.2.5安全性在局域網(wǎng)上的所有交換機(jī)應(yīng)能靈活地、跨越全網(wǎng)地進(jìn)行虛擬網(wǎng)劃分和管理，將物理上分散而邏輯上緊密相關(guān)的各站點(diǎn)劃入獨(dú)立的虛擬網(wǎng)，實(shí)現(xiàn)無關(guān)系統(tǒng)的邏輯隔離是網(wǎng)絡(luò)安全性的基本保障。在此基礎(chǔ)上，我們選用的網(wǎng)絡(luò)產(chǎn)品應(yīng)該具備包括 MAC級(jí)、IP層、應(yīng)用層等多個(gè)層次實(shí)現(xiàn)安全管理的能力，作為交換網(wǎng)絡(luò)核心的多層主干交換機(jī)應(yīng)該具備防火墻功能，防止發(fā)生在同一虛擬網(wǎng)內(nèi)或虛擬網(wǎng)之間互聯(lián)點(diǎn)上的非法侵犯。1.2.6可靠性為保證網(wǎng)絡(luò)系統(tǒng)的不間斷連續(xù)運(yùn)行，應(yīng)該選用經(jīng)過實(shí)踐檢驗(yàn)證明成熟可靠的產(chǎn)品。數(shù)據(jù)中心交換機(jī)應(yīng)采用模塊化分布式處理技術(shù)實(shí)現(xiàn)，避免采用一損俱損的中央交換模塊方式。各主要部件都應(yīng)有冗余，所有部件應(yīng)支持熱插拔，主干端口應(yīng)支持熱備份，特別是作為整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)核心的多層交換單元更要具備冗余備份的容錯(cuò)能力。1.2.7易操作性有利于在網(wǎng)絡(luò)中心完成企業(yè)網(wǎng)絡(luò)的全局管理并配置相應(yīng)的軟件協(xié)助管理。1.2.8可管理性計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)作為市教育城域網(wǎng)智能系統(tǒng)的神經(jīng)中樞，其運(yùn)行狀況應(yīng)該得到全面的監(jiān)控和管理。 OSI對(duì)網(wǎng)絡(luò)管理提出了配置管理、性能管理、錯(cuò)誤管理、安全管理、記帳管理等五大要求，以此為指導(dǎo)，該網(wǎng)絡(luò)管理系統(tǒng)應(yīng)選用基于企業(yè)標(biāo)準(zhǔn)的SNM（P簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）的開放式管理平臺(tái)，配合專用的網(wǎng)絡(luò)管理應(yīng)用作為網(wǎng)管系統(tǒng)的設(shè)計(jì)框架。網(wǎng)管系統(tǒng)應(yīng)支持網(wǎng)絡(luò)拓?fù)渥詣?dòng)發(fā)現(xiàn)、設(shè)備的配置和監(jiān)視、網(wǎng)絡(luò)故障的監(jiān)測(cè)和報(bào)告等功能，并提供簡(jiǎn)單易用的圖形用戶接口。2、需求分析2.1業(yè)務(wù)要求建設(shè)一個(gè)高質(zhì)量、高效率、高可用、高可靠、結(jié)構(gòu)靈活、可擴(kuò)展型、易于維護(hù)的多媒體通信網(wǎng)，實(shí)現(xiàn)集團(tuán)與分公司的互聯(lián)和IP多媒體通信，并能擴(kuò)展今后NISS集團(tuán)在該通信網(wǎng)上開發(fā)的新應(yīng)用，實(shí)現(xiàn)全面的數(shù)據(jù)信息化、信息自動(dòng)化、管控電腦化和決策智能化的網(wǎng)絡(luò)硬件平臺(tái)設(shè)施。保證系統(tǒng)將來的適用性和生命力，確保滿足集團(tuán)未來4-6年的網(wǎng)絡(luò)應(yīng)用。應(yīng)當(dāng)從實(shí)際情況出發(fā)，使之達(dá)到使用方便且能發(fā)揮效益的目的。采用成熟的技術(shù)和產(chǎn)品來建設(shè)該系統(tǒng)。要能將新系統(tǒng)與已有的系統(tǒng)兼容，保持資源的連續(xù)性和可用性。系統(tǒng)是安全的，可靠的。使用相當(dāng)方便，不需要太多的培訓(xùn)即可容易的使用和維護(hù)。2.1.1企業(yè)綜合布線系統(tǒng)需求1. 開放性結(jié)構(gòu)化布線系統(tǒng)由于采用開放式體系結(jié)構(gòu)，符合各種國(guó)際上主流的標(biāo)準(zhǔn)，對(duì)所有符合通信標(biāo)準(zhǔn)的計(jì)算機(jī)設(shè)備和網(wǎng)絡(luò)交換設(shè)備廠商是開放的，也就是說，結(jié)構(gòu)化布線系統(tǒng)的應(yīng)用與所用設(shè)備的廠商無關(guān)。而且對(duì)所有通信協(xié)議也是開放的。2. 靈活性物理上為星型拓?fù)浣Y(jié)構(gòu)。因此所有設(shè)備的開通、增加或更改無需改變布線系統(tǒng)，只需變動(dòng)相應(yīng)的網(wǎng)絡(luò)設(shè)備以及必要的跳線管理即可。系統(tǒng)組網(wǎng)也可靈活多樣，各部門既可以獨(dú)立組網(wǎng)，又可以方便的互連，為合理的進(jìn)行信息共享和信息交流創(chuàng)造了必要的條件。3. 可靠性結(jié)構(gòu)化布線系統(tǒng)采用高品質(zhì)材料和組合壓接技術(shù)，構(gòu)成一個(gè)高標(biāo)準(zhǔn)的信息通道。所有器件經(jīng)過 UL、CAS、ISO認(rèn)證。經(jīng)過專用儀器設(shè)備測(cè)試的每條信息通道可以保證其電氣性能?？梢灾С?100Base-T及ATM的應(yīng)用。星型拓?fù)浣Y(jié)構(gòu)實(shí)現(xiàn)了點(diǎn)到點(diǎn)端接，任何一條線路故障不會(huì)影響其它線路的運(yùn)行。從而保證了系統(tǒng)的可靠運(yùn)行。采用相同的傳輸介質(zhì)可互為備用，提高了系統(tǒng)的冗余。4. 先進(jìn)性建筑物綜合布線系統(tǒng)采用光纖與雙絞線混合布線，并且符合國(guó)際通信標(biāo)準(zhǔn)，形成一套完整的、極為合理的結(jié)構(gòu)化布線系統(tǒng)。超五類或超五類屏蔽雙絞線布線系統(tǒng)使數(shù)據(jù)的傳輸速率達(dá)到 155Mbps、622Mbps、1000Mbps，對(duì)于特殊用戶的需求，光纖可到桌面，干線子系統(tǒng)和建筑群子系統(tǒng)中光纖的應(yīng)用，使傳輸距離達(dá) 2公里以上。為今后計(jì)算機(jī)網(wǎng)絡(luò)和通信的發(fā)展奠定了基礎(chǔ)。同時(shí)物理星形的布線方式使交換式網(wǎng)絡(luò)的應(yīng)用成為可能。2.1.2綜合布線系統(tǒng)的結(jié)構(gòu)星型拓?fù)浣Y(jié)構(gòu)星型拓?fù)浣Y(jié)構(gòu)由一個(gè)中心主節(jié)點(diǎn)向外輻射延伸到各從節(jié)點(diǎn)。由于每一條鏈路從主節(jié)點(diǎn)到從節(jié)點(diǎn)的線路均與其他線路相對(duì)獨(dú)立，所以布線系統(tǒng)設(shè)計(jì)是一種模塊化設(shè)計(jì)。主節(jié)點(diǎn)可與從節(jié)點(diǎn)直接相連，而從節(jié)點(diǎn)之間的通信只有經(jīng)過主節(jié)點(diǎn)的交換才能完成。智能大廈的計(jì)算機(jī)網(wǎng)絡(luò)在主節(jié)點(diǎn)配置一臺(tái)主交換機(jī)，在每個(gè)樓層配線間配置交換機(jī)或集線器，樓層配線間交換機(jī)或集線器與主交換機(jī)連接。星型拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn)星型拓?fù)浣Y(jié)構(gòu)的所有信息通信都要經(jīng)過中心節(jié)點(diǎn)，所以比較容易維護(hù)與管理。利用樓層配線間的配線架的跳線，可以移動(dòng)、增加或減少終端設(shè)備，操作容易、適應(yīng)性強(qiáng)。每一條鏈路的相對(duì)獨(dú)立性，使某一線路故障不影響其他工作站的運(yùn)行，并且有利于故障的排除。星型拓?fù)浣Y(jié)構(gòu)的缺點(diǎn)布線工作量大，線纜長(zhǎng)度的增加使布線工程預(yù)算提高。隨著計(jì)算機(jī)網(wǎng)絡(luò)交換技術(shù)的發(fā)展，綜合布線系統(tǒng)應(yīng)用星型拓?fù)浣Y(jié)構(gòu)。系統(tǒng)總體設(shè)計(jì)圖2.2協(xié)議需求有線網(wǎng)絡(luò)及應(yīng)用服務(wù)必須滿足IPv4/IPv6雙協(xié)議棧的需求，路由協(xié)議選擇無環(huán)、收斂速度快的路由協(xié)議。由于傳統(tǒng)TCP/IP網(wǎng)絡(luò)體系存在路由可擴(kuò)展性差、移動(dòng)性差、安全性不佳等問題,新型互聯(lián)網(wǎng)采用身份與位置分離的思想,引入接入標(biāo)識(shí)和路由標(biāo)識(shí)的概念,實(shí)現(xiàn)身份與位置雙重屬性分離。在這種新型互聯(lián)網(wǎng)體系架構(gòu)中,如何實(shí)現(xiàn)標(biāo)識(shí)與物理鏈路地址轉(zhuǎn)換是研究的基礎(chǔ)問題之一。本論文首先研究了新型互聯(lián)網(wǎng)的網(wǎng)絡(luò)體系結(jié)構(gòu)、單播標(biāo)識(shí)通信機(jī)制及連通性通信機(jī)制,并分析了現(xiàn)有地址轉(zhuǎn)換系統(tǒng)面臨的安全問題。在此基礎(chǔ)上,設(shè)計(jì)并提出了一種具有良好可擴(kuò)展性的地址轉(zhuǎn)換通信機(jī)制。本論文設(shè)計(jì)了地址轉(zhuǎn)換協(xié)議的數(shù)據(jù)包格式、四種選項(xiàng)及地址轉(zhuǎn)換緩存表格式,并且詳細(xì)敘述了兩種不同場(chǎng)景下的通信機(jī)制,滿足實(shí)體間互聯(lián)通信。并針對(duì)存在的安全性問題提出了對(duì)數(shù)據(jù)源進(jìn)行核實(shí)驗(yàn)證的機(jī)制,確保數(shù)據(jù)包來源可信,從而防御地址轉(zhuǎn)換過程可能遇到的攻擊。基于設(shè)計(jì)的地址轉(zhuǎn)換協(xié)議及其安全機(jī)制,論文提出了模塊化的實(shí)現(xiàn)方案。分別從基礎(chǔ)協(xié)議棧實(shí)現(xiàn)、地址轉(zhuǎn)換機(jī)制實(shí)現(xiàn)、安全通信機(jī)制實(shí)現(xiàn)三個(gè)方面對(duì)設(shè)計(jì)的內(nèi)容進(jìn)行內(nèi)核編碼實(shí)現(xiàn)。2.3網(wǎng)絡(luò)結(jié)構(gòu)骨干網(wǎng)絡(luò)架構(gòu)要求必須采用兩層架構(gòu)（接入層、核心層），滿足網(wǎng)絡(luò)鏈路及網(wǎng)絡(luò)架構(gòu)的高可用性、高可靠性、高速轉(zhuǎn)發(fā)。網(wǎng)絡(luò)設(shè)計(jì)需求，網(wǎng)絡(luò)在日常辦公環(huán)境中起著至關(guān)重要的作用，企業(yè)網(wǎng)的運(yùn)作模式會(huì)帶來大量動(dòng)態(tài)的www應(yīng)用數(shù)據(jù)傳輸，這就要求網(wǎng)絡(luò)有足夠的主干帶寬和擴(kuò)展能力。同時(shí)，一些新的應(yīng)用類型，如網(wǎng)絡(luò)教學(xué)、視頻直播/廣播等，也對(duì)網(wǎng)絡(luò)提出了支持多點(diǎn)廣播和寬帶高速接入的要求。中心機(jī)房到匯聚層節(jié)點(diǎn)采用 4兆光纖（多模）連接，匯聚層到接入層采用百兆的五類線（或者超五類）連接。整個(gè)方案設(shè)計(jì)的目的是建設(shè)一個(gè)集數(shù)據(jù)傳輸和備份、語音傳輸、Internet 訪問等于一體的高可靠、高性能的寬帶多媒體企業(yè)網(wǎng)。2.4網(wǎng)絡(luò)互聯(lián)必須保障業(yè)務(wù)數(shù)據(jù)實(shí)現(xiàn)7*24的高可靠性、高安全性。企業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)是構(gòu)建企業(yè)環(huán)境下人、機(jī)、物全面互聯(lián)的關(guān)鍵基礎(chǔ)設(shè)施,通過企業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)可以實(shí)現(xiàn)企業(yè)研發(fā)、設(shè)計(jì)、生產(chǎn)、銷售、管理、服務(wù)等產(chǎn)業(yè)全要素的泛在互聯(lián),對(duì)于促進(jìn)企業(yè)數(shù)據(jù)的開放流動(dòng)與深度融合、推動(dòng)企業(yè)資源的優(yōu)化集成與高效配置。2.5安全需求網(wǎng)絡(luò)設(shè)計(jì)時(shí)必須保證其具備防攻擊、防病毒及應(yīng)用特征檢查等功能。滿足總公司與分公司之間的VPN功能，必須滿足90人使用VPN的需求。采用各種有效的安全措施，保證網(wǎng)絡(luò)系統(tǒng)和應(yīng)用系統(tǒng)安全運(yùn)行。安全包括4個(gè)層面-網(wǎng)絡(luò)安全，操作系統(tǒng)安全，數(shù)據(jù)庫安全，應(yīng)用??系統(tǒng)安全。由于Internet的開放性，世界各地的Internet用戶也可訪問企業(yè)網(wǎng)，企業(yè)網(wǎng)將采用防火墻、數(shù)據(jù)加密等技術(shù)防止非法侵入、防止竊聽和篡改數(shù)據(jù)、路由信息的安全保護(hù)來保證安全。同時(shí)要建立系統(tǒng)和數(shù)據(jù)庫的磁帶備份系統(tǒng)。分析網(wǎng)絡(luò)系統(tǒng)可能面臨或存在弱點(diǎn)、漏洞，以及在系統(tǒng)安全設(shè)置上用戶要求；分析網(wǎng)絡(luò)系統(tǒng)阻止外部攻擊行為和防止內(nèi)部員工違規(guī)操作行為的策略要求；劃定網(wǎng)絡(luò)安全邊界，使內(nèi)部網(wǎng)絡(luò)系統(tǒng)和外界的網(wǎng)絡(luò)系統(tǒng)能安全隔離的需求分析；確保租用電路和無線鏈路的通信安全；分析檢測(cè)內(nèi)部網(wǎng)絡(luò)的敏感信息，包括技術(shù)專利等信息；分析員工工作桌面系統(tǒng)的安全需求分析；3、網(wǎng)絡(luò)設(shè)計(jì)3.1應(yīng)用服務(wù)1、活動(dòng)目錄子域系統(tǒng)、集團(tuán)公司的郵件系統(tǒng)(mail)、集團(tuán)公司的數(shù)據(jù)庫服務(wù)(DB)、WEB服務(wù)器（WEB）、數(shù)據(jù)中心、安全防護(hù)等功能。要求郵件系統(tǒng)、數(shù)據(jù)庫系統(tǒng)及WEB服務(wù)等應(yīng)用必須具備數(shù)據(jù)安全性、高可用性、高可靠性、兼容性等。服務(wù)器群接入至核心的交換機(jī)要求交換容量大于等于200G。2、數(shù)據(jù)庫軟件：使用最新數(shù)據(jù)庫軟件SQLServer2017企業(yè)版，無限用戶，并及時(shí)進(jìn)行數(shù)據(jù)備份和設(shè)置冗余數(shù)據(jù)庫，保證數(shù)據(jù)庫在發(fā)生災(zāi)難性破壞時(shí)公司的數(shù)據(jù)系統(tǒng)還能繼續(xù)正常運(yùn)轉(zhuǎn)，保障業(yè)務(wù)數(shù)據(jù)流能夠?qū)崿F(xiàn)7*24的高可用性和高可靠性。3、服務(wù)器操作系統(tǒng)：在服務(wù)群中使用3臺(tái)物理計(jì)算機(jī)，每臺(tái)物理計(jì)算機(jī)使用Vmware安裝2個(gè)虛擬機(jī)，分別作為域控制器/DNS服務(wù)器、FTP服務(wù)器、DHCP服務(wù)器；在接入層中使用1臺(tái)物理計(jì)算機(jī)，使用VMware安裝兩個(gè)虛擬計(jì)算機(jī)用于測(cè)試。4、分公司客戶端：為分公司客戶端選擇最新正版操作系統(tǒng)Windows10系列，滿足具備易用性、先進(jìn)性、專業(yè)性的特點(diǎn)。3.2IP規(guī)劃總公司分配給分公司的網(wǎng)絡(luò)地址為/20，要求必須在節(jié)省IP地址的情況下，進(jìn)行IP地址規(guī)劃。網(wǎng)絡(luò)設(shè)計(jì)說明-IP地址規(guī)劃：設(shè)備接口類型IP地址用途說明路由器RBFastEthernet0/0/28接入互聯(lián)網(wǎng)FastEthernet0/1/30與下層設(shè)備相連VLAN80（PPTP撥入子網(wǎng)）~0路由器RASerial2/03/30接入城域網(wǎng)FastEthernet0/24/30與下層設(shè)備相連無線路由器RCFastEthernet0/241/30接入無線網(wǎng)三層交換機(jī)SW-1FastEthernet0/24/30與防火墻連接VLAN1SVI/24管理VLANVLAN10SVI/24生產(chǎn)部VLAN20SVI/24銷售一部VLAN30SVI/24銷售二部VLAN40SVI/24市場(chǎng)營(yíng)銷部VLAN50SVI/24保安部VLAN60SVI/24技術(shù)服務(wù)部VLAN70SVI/24服務(wù)器群三層交換機(jī)SW-2FastEthernet0/240/30與RB連接VLAN1SVI/24管理VLANVLAN10SVI/24生產(chǎn)部VLAN20SVI/24銷售一部VLAN30SVI/24銷售二部VLAN40SVI/24市場(chǎng)營(yíng)銷部VLAN50SVI/24保安部VLAN60SVI/24技術(shù)服務(wù)部VLAN70SVI/24服務(wù)器群三層交換機(jī)SW-3VLAN1SVI/24管理VLAN其他交換機(jī)VLAN1SVI~16/24管理VLAN防火墻WAN1/30與路由器RA連通LAN/30與匯聚層交換機(jī)SW-A連通協(xié)議IPVLAN10SVI54/24生產(chǎn)部VLAN20SVI54/24銷售一部VLAN30SVI54/24銷售二部VLAN40SVI54/24市場(chǎng)營(yíng)銷部VLAN50SVI54/24保安部VLAN60SVI54/24技術(shù)服務(wù)部VLAN70SVI54/24服務(wù)器群3.3無線網(wǎng)絡(luò)銷售人員和市場(chǎng)營(yíng)銷人都采用移動(dòng)筆記本電腦進(jìn)行辦公，必須保證能夠使用有線和無線網(wǎng)絡(luò)接入。必須使用統(tǒng)一集中管理方式，無線AP需要采用雙路雙頻。分公司無線部分：1、在無線部分選用了RG-WS5708萬兆無線控制器，它具有8個(gè)千兆SFP接口和8個(gè)復(fù)用的10/100/1000M自適應(yīng)電口和2個(gè)復(fù)用的萬兆SFP+接口，默認(rèn)支持128個(gè)AP，可通過擴(kuò)展License最大控制768個(gè)AP，可以在同一時(shí)間同時(shí)滿足全部公司的用戶，符合公司的要求。2、無線AP采用雙路雙頻，即雙路是一路橋接，一路覆蓋，雙頻就是2.4G和5.8G。雙頻Wifi手機(jī)是指同時(shí)支持2.4GHz/5GHz雙頻段無線信號(hào)，可支持包含802.11a/b/g/n完整無線網(wǎng)絡(luò)。雙路WiFi手機(jī)，內(nèi)置了2個(gè)無線網(wǎng)卡模塊，可以帶來更好的上網(wǎng)體驗(yàn)。3.4軟件產(chǎn)品需要為分公司客戶端選擇正版操作系統(tǒng)，操作系統(tǒng)具備易用性、先進(jìn)性、專業(yè)性。數(shù)據(jù)庫軟件選擇具備易操作、先進(jìn)性、專業(yè)性及對(duì)用戶沒有限制的版本。服務(wù)器操作系統(tǒng)選擇具備專業(yè)性、先進(jìn)性、兼容性及滿足10用戶的版本。郵件服務(wù)軟件選擇具備易操作、專業(yè)性、先進(jìn)性的版本。3.5網(wǎng)絡(luò)安全設(shè)計(jì)隨著網(wǎng)絡(luò)中多媒體的應(yīng)用越來越多，這類應(yīng)用對(duì)服務(wù)質(zhì)量的要求較高，本網(wǎng)絡(luò)系統(tǒng)應(yīng)能保證 QoS，以支持這類應(yīng)用。網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性，由于網(wǎng)絡(luò)連接園區(qū)內(nèi)部所有用戶，安全管理十分重要。網(wǎng)絡(luò)具有防止及便于捕殺病毒功能。應(yīng)支持 VLAN的劃分，并能在 VLAN之間進(jìn)行第三層交換時(shí)進(jìn)行有效的安全控制，以保證系統(tǒng)的安全性。校區(qū)網(wǎng)絡(luò)與校園網(wǎng)相連后具有“防火墻”過濾功能，以防止網(wǎng)絡(luò)黑客入侵網(wǎng)絡(luò)系統(tǒng)。可對(duì)接入因特網(wǎng)的各網(wǎng)絡(luò)用戶進(jìn)行權(quán)限控制。安全性是網(wǎng)絡(luò)設(shè)計(jì)要考慮的最重要的因素之一，設(shè)計(jì)中充分考慮了網(wǎng)絡(luò)的安全性，具體體現(xiàn)在以下幾個(gè)方面：(1) 通過VLAN的劃分，限制了不同 VLAN之間的互訪，從而保證了不同網(wǎng)絡(luò)之間不會(huì)發(fā)生未經(jīng)授權(quán)的非法訪問。(2) 在核心節(jié)點(diǎn)可提供基于地址的 Access-list ，以控制用戶對(duì)于關(guān)鍵資源的訪問。通過在匯聚和核心交換機(jī)上設(shè)置 VLAN路由以及訪問過濾，保證了在 VLAN之間只有被允許的訪問才能發(fā)生，而未經(jīng)授權(quán)的訪問都會(huì)被禁止。(3) 通過對(duì)上網(wǎng)的安全教育，提高安全意識(shí)，特別是增強(qiáng)計(jì)算機(jī)操作人員的密碼管理意識(shí)，以防止由于操作員密碼有意無意泄露給他人而造成的損失。(4) 制定嚴(yán)格的安全制度，包括人員審查制度、崗位定職定責(zé)制度、使用計(jì)算機(jī)的權(quán)限制度以及防病毒制度，從制度上保證網(wǎng)絡(luò)安全性得以實(shí)現(xiàn)。(5) 可以對(duì)所有的重要事件進(jìn)行 Log，這樣方便網(wǎng)絡(luò)管理員進(jìn)行故障查找；(6) 可以對(duì)所有的 Telnet 以及SNMP的訪問進(jìn)行限制，從而最大程度地保證匯聚層系統(tǒng)地安全。(7) 可以在接入層中通過限制 MAC地址的訪問提高網(wǎng)絡(luò)安全。4、綜合布線方案與設(shè)備選型4.1總公司網(wǎng)絡(luò)總公司的網(wǎng)絡(luò)采用雙核心架構(gòu)，以實(shí)現(xiàn)網(wǎng)絡(luò)的高可用性和高可靠性；總公司采用雙出口的網(wǎng)絡(luò)接入模式，都使用路由器接入城域網(wǎng)和互聯(lián)網(wǎng)，城域網(wǎng)申請(qǐng)一條4M的專用線路，而互聯(lián)網(wǎng)采用2M的接入鏈路。為了實(shí)現(xiàn)快捷的信息傳遞和公司業(yè)務(wù)的需求，允許SOHO辦公和出差的員工能夠方便、快捷、安全的訪問總公司內(nèi)網(wǎng)服務(wù)器群。為了滿足快速增長(zhǎng)的業(yè)務(wù)需求，構(gòu)建的網(wǎng)絡(luò)也需要具有很好的可擴(kuò)展性，所以全公司的網(wǎng)絡(luò)都采用OSPF動(dòng)態(tài)路由協(xié)議，并通過專用線路學(xué)習(xí)到分公司路由信息，實(shí)現(xiàn)網(wǎng)絡(luò)的暢通。為了保障網(wǎng)絡(luò)安全，總公司核心網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間部署防火墻。同時(shí)為了保障業(yè)務(wù)數(shù)據(jù)流能夠?qū)崿F(xiàn)7*24的高可用性和高可靠性，使用互聯(lián)網(wǎng)鏈路作為專用鏈路的備份鏈路，備份鏈路需要使用IPSec對(duì)數(shù)據(jù)進(jìn)行加密。4.2分公司網(wǎng)絡(luò)寧波分公司有員工385人，生產(chǎn)部為110人、銷售一部85人、銷售二部85人、市場(chǎng)營(yíng)銷部20人、保安部20人、技術(shù)服務(wù)部65人。分公司城域網(wǎng)申請(qǐng)一條4M的專用線路，而互聯(lián)網(wǎng)采用2M的接入鏈路。分公司安全部分：1、分公司內(nèi)網(wǎng)網(wǎng)絡(luò)與外網(wǎng)相連后具有“防火墻”過濾功能，以防止網(wǎng)絡(luò)黑客入侵網(wǎng)絡(luò)系統(tǒng)。防火墻選用了華為USG6330，這款“防火墻”不僅性價(jià)比高，還能選配300GB單硬盤，支持熱插拔，符合公司的要求，是公司的“防火墻”不二之選2、通過VLAN的劃分，限制了不同VLAN之間的互訪，從而保證了不同網(wǎng)絡(luò)之間不會(huì)發(fā)生未經(jīng)授權(quán)的非法訪問。3、在核心節(jié)點(diǎn)可提供基于地址的Access-list，以控制用戶對(duì)于關(guān)鍵資源的訪問。通過在匯聚和核心交換機(jī)上設(shè)置VLAN路由以及訪問過濾，保證了在VLAN之間只有被允許的訪問才能發(fā)生，而未經(jīng)授權(quán)的訪問都會(huì)被禁止。4、通過對(duì)上網(wǎng)的安全教育，提高安全意識(shí)，特別是增強(qiáng)計(jì)算機(jī)操作人員的密碼管理意識(shí)，以防止由于操作員密碼有意無意泄露給他人而造成的損失。5、可以對(duì)所有的Telnet以及SNMP的訪問進(jìn)行限制，從而最大程度地保證匯聚層系統(tǒng)地安全。4.2.1分公司網(wǎng)絡(luò)集成1、分公司內(nèi)部由生產(chǎn)部、銷售一部、銷售二部、市場(chǎng)營(yíng)銷部、保安部、技術(shù)服務(wù)部6個(gè)vlan組成。2、網(wǎng)絡(luò)設(shè)計(jì)遵循開放性和標(biāo)準(zhǔn)化原則、實(shí)用性與先進(jìn)性兼顧原則、可用性原則、高性能原則、經(jīng)濟(jì)性原則、可靠性原則、安全性原則、適度的可擴(kuò)展性原則（滿足未來4-6年發(fā)展需求）、充分利用現(xiàn)有資源原則、易管理性原則、易維護(hù)性原則、最佳的性能價(jià)格比原則。3、分公司的網(wǎng)絡(luò)采用雙核心架構(gòu)，以實(shí)現(xiàn)網(wǎng)絡(luò)的高可用性和高可靠性。在骨干核心層，選用了兩臺(tái)核心路由交換機(jī)組成一個(gè)環(huán)形多機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案。4、為提高核心網(wǎng)絡(luò)的健壯性，實(shí)現(xiàn)鏈路的安全保障，在骨干核心層環(huán)網(wǎng)中采用VRRP協(xié)議，為核心交換機(jī)提供一個(gè)可靠的網(wǎng)關(guān)地址，以實(shí)現(xiàn)在核心層核心交換機(jī)之間進(jìn)行設(shè)備的硬件冗余。5、采用雙出口的網(wǎng)絡(luò)接入模式，都使用路由器接入城域網(wǎng)和互聯(lián)網(wǎng)，城域網(wǎng)申請(qǐng)一條4M的專用線路，而互聯(lián)網(wǎng)采用2M的接入鏈路。以此實(shí)現(xiàn)負(fù)載均衡和負(fù)載分擔(dān)，減少丟包率，并提高吞吐量。6、為了實(shí)現(xiàn)快捷的信息傳遞和公司業(yè)務(wù)的需求，允許SOHO辦公和出差的員工能夠方便、快捷、安全的訪問總公司內(nèi)網(wǎng)服務(wù)器群。有利于分公司工作的正常運(yùn)行，適應(yīng)多方面、多元化、多樣性的辦公環(huán)境。7、全分公司的網(wǎng)絡(luò)都采用OSPF動(dòng)態(tài)路由協(xié)議，以此滿足快速增長(zhǎng)的業(yè)務(wù)需求，具有良好的可擴(kuò)展性，并通過專用線路學(xué)習(xí)到總公司路由信息，實(shí)現(xiàn)網(wǎng)絡(luò)的暢通。8、分公司核心網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間部署防火墻，對(duì)外部數(shù)據(jù)和內(nèi)部數(shù)據(jù)進(jìn)行隔離，在病毒傳播的源頭上阻斷傳播，既經(jīng)濟(jì)又有效，從而保障網(wǎng)絡(luò)安全。9、分公司使用互聯(lián)網(wǎng)鏈路作為專用鏈路的備份鏈路，備份鏈路需要使用IPSec對(duì)數(shù)據(jù)進(jìn)行加密，保障業(yè)務(wù)數(shù)據(jù)流，實(shí)現(xiàn)7*24的高可用性和高可靠性。4.2.2分公司IP地址規(guī)劃說明1、分公司使用網(wǎng)絡(luò)地址塊為/24進(jìn)行公司局域網(wǎng)的組網(wǎng)公司連接外網(wǎng)的ip地址為/28。2、為了直接能從ip地址直接可以看出部門的種類，可以將vlan劃分如下：生產(chǎn)部：/24~54/24VLAN10銷售一部：/24~54/24VLAN20銷售二部：/24~54/24VLAN30技術(shù)服務(wù)部：/24~54/24VLAN60市場(chǎng)營(yíng)銷部：/24~54/24VLAN40保安部：/24~54/24VLAN50服務(wù)器群：/24~6/24VLAN703、考慮到分公司用戶數(shù)將持續(xù)高速增長(zhǎng)，網(wǎng)絡(luò)需要承載的業(yè)務(wù)量和業(yè)務(wù)種類越來越多，這使得網(wǎng)絡(luò)需要頻頻進(jìn)行技術(shù)升級(jí)、改造和擴(kuò)容。在進(jìn)行地質(zhì)分配時(shí)，充分考慮到了這些因素，為網(wǎng)絡(luò)的每個(gè)部分留有部分地質(zhì)冗余，這樣保證網(wǎng)絡(luò)的可持續(xù)發(fā)展。4、在路由表急劇膨脹情況下，在地質(zhì)規(guī)劃時(shí)，應(yīng)提供足夠的路由冗余功能。5、由于IPv4地址越來越少，所以對(duì)IPv4地址的使用需要格外節(jié)約，可以通過動(dòng)態(tài)編址技術(shù)和NAT技術(shù)等來實(shí)現(xiàn)。6、對(duì)于已分配出去的靜態(tài)IP地址進(jìn)行定期追蹤管理，對(duì)長(zhǎng)時(shí)間閑置的IP地址可經(jīng)過確認(rèn)后回收重復(fù)利用。4.3總公司拓?fù)浣Y(jié)構(gòu)4.3.1城域網(wǎng)及互聯(lián)網(wǎng)部分1、光纖模塊選用Mini-GBIC-SX，Mini-GBIC-SX工作溫度范圍廣，傳輸距離長(zhǎng)，接受波長(zhǎng)和發(fā)射波長(zhǎng)高達(dá)850nm，且靈敏度較高，符合公司要求。2、根據(jù)分公司的規(guī)模，可以估計(jì)在城域網(wǎng)間的電話容量大概為50~200w，寬帶用戶總數(shù)大約在10~40w，屬于中小型城域網(wǎng)，所以采用了基于鏈路狀態(tài)OSPF動(dòng)態(tài)路由協(xié)議。消除了環(huán)路的情況，收斂速度極快，可以自動(dòng)學(xué)習(xí)和維護(hù)路由表。3、使用路由器接入城域網(wǎng)，城域網(wǎng)申請(qǐng)一條4M的專用線路。我們采用了VPN鏈路進(jìn)行連接，在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進(jìn)行加密通訊。VPN網(wǎng)關(guān)通過對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問4、同時(shí)，使用路由器接入互聯(lián)網(wǎng)，互聯(lián)網(wǎng)采用2M的接入鏈路，使用互聯(lián)網(wǎng)鏈路作為專用鏈路的備份鏈路，以防出現(xiàn)高延遲、高擁堵的網(wǎng)絡(luò)通道，最終實(shí)現(xiàn)低丟包率和高吞吐量。5、使用防火墻安全策略允許外網(wǎng)地址可以訪問FTP服務(wù)器，允許使用遠(yuǎn)程訪問VPN服務(wù)器群眾所有服務(wù)器，允許內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)和城域網(wǎng)。4.3.2具體的拓?fù)浣Y(jié)構(gòu)4.4設(shè)備選型整個(gè)方案的設(shè)備及軟件選基本確定，方案設(shè)計(jì)時(shí)，必須從下列產(chǎn)品清單中選擇適合的設(shè)備及軟件。類別產(chǎn)品型號(hào)產(chǎn)品說明無線產(chǎn)品RG-AP220-E室內(nèi)增強(qiáng)型無線接入點(diǎn)，雙路雙頻，3x3MIMO，可支持802.11a/n和802.11b/g/n同時(shí)工作、胖/瘦模式切換、WAPI、光電上聯(lián)、PoE和本地供電（PoE和本地電源適配器需單獨(dú)選購(gòu)），最多可接入用戶數(shù)量為30人。RG-AP220-SE室內(nèi)增強(qiáng)型無線接入點(diǎn)，單路雙頻，3x3MIMO，可支持802.11a/n或802.11b/g/n工作模式、胖/瘦模式切換、WAPI、光電上聯(lián)、PoE和本地供電（PoE和本地電源適配器需單獨(dú)選購(gòu)），最多可接入用戶數(shù)量為30人。RG-WS5708萬兆無線控制器，8個(gè)千兆SFP接口和8個(gè)復(fù)用的10/100/1000M自適應(yīng)電口和2個(gè)復(fù)用的萬兆SFP+接口，默認(rèn)支持128個(gè)AP，可通過擴(kuò)展License最大控制768個(gè)AP。RG-WS5302千兆無線控制器，2個(gè)10/100/1000M自適應(yīng)電口和2個(gè)復(fù)用的千兆SFP接口，默認(rèn)支持16個(gè)AP，可通過擴(kuò)展License最大控制64個(gè)AP。RG-WS3302千兆無線控制器，2個(gè)10/100/1000M自適應(yīng)電口和2個(gè)復(fù)用的千兆SFP接口，固化支持12個(gè)AP管理。RG-E-130單端口以太網(wǎng)供電適配器（千兆端口、支持802.3at，適用于802.11nAP的供電）。接入交換機(jī)RG-S2328G24口10/100M自適應(yīng)電口交換機(jī)，2個(gè)SFP/GT光電復(fù)用口（SFP為千兆/百兆口），1個(gè)擴(kuò)展槽，可上千兆模塊和堆疊模塊，交換容量32G，支持IPv4/IPv6雙協(xié)議棧。RG-S2352G48口10/100M自適應(yīng)電口交換機(jī)，2個(gè)SFP/GT光電復(fù)用口（SFP為千兆/百兆口），1個(gè)擴(kuò)展槽，可上千兆模塊和堆疊模塊，交換容量32G支持IPv4/IPv6雙協(xié)議棧。RG-S2952G-E48口10/100/1000M自適應(yīng)SFP光口。交換容量49.9G支持IPv4/IPv6雙協(xié)議棧。匯聚交換機(jī)RG-S3760E-2424口10/100M自適應(yīng)電口交換機(jī)，2個(gè)SFP/GT光電復(fù)用口（SFP為千兆/百兆口），1個(gè)擴(kuò)展槽，支持RPS，交換容量49.9G。包轉(zhuǎn)發(fā)率L2：線速（12.8/16.4Mpps）L3：線速（12.8/16.4Mpps），支持IPv4/IPv6雙協(xié)議棧。RG-S3760E-4848口10/100M自適應(yīng)電口交換機(jī)，2個(gè)SFP/GT光電復(fù)用口（SFP為千兆/百兆口），1個(gè)擴(kuò)展槽，支持RPS，交換容量49.9G。包轉(zhuǎn)發(fā)率L2：線速（12.8/16.4Mpps）L3：線速（12.8/16.4Mpps），支持IPv4/IPv6雙協(xié)議棧，支持IPv4/IPv6雙協(xié)議棧。RG-S5750-24GT/12SFP增強(qiáng)型24端口10/100/1000M自適應(yīng)電口交換機(jī)，12個(gè)復(fù)用的SFP接口（SFP為千兆/百兆口），2個(gè)擴(kuò)展槽，交換容量240G。包轉(zhuǎn)發(fā)率L2：線速（66Mpps）L3：線速（66Mpps），支持IPv4/IPv6雙協(xié)議棧RG-S5750-48GT/4SFP增強(qiáng)型48端口10/100/1000M自適應(yīng)電口交換機(jī)，4個(gè)復(fù)用的SFP接口（SFP為千兆/百兆口），2個(gè)擴(kuò)展槽，交換容量240G。包轉(zhuǎn)發(fā)率L2：線速（106Mpps）L3：線速（106Mpps），支持IPv4/IPv6雙協(xié)議棧核心交換機(jī)S7804-IseriesIntelligentSeries4插槽主機(jī)箱【1＋3】（含風(fēng)扇陣列柜，不含電源和管理引擎模塊，最多支持2個(gè)相互冗余的交流電源），交換容量900G，包轉(zhuǎn)發(fā)速率447Mpps，支持IPv4/IPv6雙協(xié)議棧M7800-CM引擎，提供USB接口/SD接口，適用I系列主機(jī)S7806與S7804RG-PA300I交流電源模塊（可以冗余，300W，配10A電源線）M7800-02XS24SFP/8GT2個(gè)SFP+萬兆端口+24個(gè)SFP端口（SFP為千兆/百兆口）線卡，同時(shí)提供8個(gè)復(fù)用的10/100/1000M自適應(yīng)電口光纖模塊Mini-GBIC-SX1000BASE-SXminiGBIC轉(zhuǎn)換模塊（850nm）Mini-GBIC-LX1000BASE-LXminiGBIC轉(zhuǎn)換模塊（1310nm）路由器產(chǎn)品RSR20-14ERSR20-14E主機(jī)，包括2個(gè)GE口（光電復(fù)用，支持100M和1000M光），1個(gè)Console口，1個(gè)AUX口，1個(gè)USB口，1個(gè)SD卡插槽，4個(gè)SIC模塊插槽，固化24個(gè)交換端口，512M內(nèi)存，支持IPv4/IPv6雙協(xié)議棧。RSR20-04RSR20-04主機(jī)，包括2個(gè)FE口，1個(gè)Console口，1個(gè)AUX口，4個(gè)SIC模塊插槽RSR20-18RSR20-18主機(jī)，包括3個(gè)FE口，1個(gè)Console口，1個(gè)AUX口，2個(gè)USB口，8個(gè)SIC模塊插槽，1個(gè)NMX模塊插槽SIC-1HS-V351端口同步串口接口模塊（僅僅支持V.35協(xié)議類型，線纜類型為DB25接口的V.35DTE）CAB-V.35DTE/DB25F-34PM/3m路由器V.35DTE電纜線/DB25-V.35，專用于SIC-1HS-V35防火墻產(chǎn)品RG-WALL1600-SI千兆防火墻；提供8個(gè)千兆電接口，1U；可選配防病毒、防攻擊、應(yīng)用管理等增強(qiáng)特性授權(quán)，支持IPv4/IPv6雙協(xié)議棧。RG-WALL1600-VPN-100RG-WALL1600下一代防火墻VPN授權(quán)100個(gè)RG-WALL1600SI-AV-1YRG-WALL1600-SI防病毒特征庫授權(quán)1年RG-WALL1600SI-IPS-1YRG-WALL1600-SI防攻擊特征庫授權(quán)1年RG-WALL1600SI-APP-1YRG-WALL1600-SI應(yīng)用特征庫授權(quán)1年RG-WALL160M（V3.0）百兆中端防火墻，固化4個(gè)GE口+1個(gè)FE口；標(biāo)準(zhǔn)1U設(shè)備，自帶10個(gè)IPsec/SSLVPN隧道RG-WALL160MVPNUPG-200RG-WALLVPN功能使用許可，用于控制IPsec/SSLVPN隧道，數(shù)量為2005、網(wǎng)絡(luò)配置與測(cè)試5.1地址規(guī)劃設(shè)備設(shè)備名稱設(shè)備接口IP地址路由器RSR-AFastEthernet0/0/28FastEthernet0//30VLAN60（PPTP撥入子網(wǎng)）~0RSR-BSerial2/03/30FastEthernet0//30三層交換機(jī)RS-AFastEthernet0//30VLAN1SVI（管理VLAN）/24VLAN10SVI（銷售部）/24VLAN20SVI（營(yíng)銷部）/24VLAN30SVI（市場(chǎng)部）/24VLAN40SVI（管理部）/24VLAN50SVI（服務(wù)器群）/24RS-BFastEthernet0/0/30VLAN1SVI（管理VLAN）/24VLAN10SVI（銷售部）/24VLAN20SVI（營(yíng)銷部）/24VLAN30SVI（市場(chǎng)部）/24VLAN40SVI（管理部）/24VLAN50SVI（服務(wù)器群）/24RS-CVLAN1SVI（管理VLAN）/24RS-DVLAN1SVI（管理VLAN）/24RS-EVLAN1SVI（管理VLAN）/24防火墻FW1WAN/30LAN/30協(xié)議IPVRRP虛擬IP地址VLAN10SVI（銷售部）54/24VLAN20SVI（營(yíng)銷部）54/24VLAN30SVI（市場(chǎng)部）54/24VLAN40SVI（管理部）54/24VLAN50SVI（服務(wù)器群）54/245.1.1接入層1、根據(jù)各個(gè)部門的人員人數(shù)情況，生產(chǎn)部采用了3個(gè)48口的RG-S2328G，銷售一部和銷售二部采用了2個(gè)48口的RG-S2328G，市場(chǎng)營(yíng)銷部和保安部都采用了1個(gè)24口的RG-S2352G，而技術(shù)服務(wù)部采用了3個(gè)24口的RG-S2352G。2、RG-S2328G和RG-S2352G均為10/100M自適應(yīng)電口交換機(jī)，2個(gè)SFP/GT光電復(fù)用口（SFP為千兆/百兆口），1個(gè)擴(kuò)展槽，可上千兆模塊和堆疊模塊，交換容量32G支持IPv4/IPv6雙協(xié)議棧，符合公司要求。3、接入層在整個(gè)網(wǎng)絡(luò)中接入交換機(jī)的數(shù)量最多，具有即插即用的特性，一定要選擇正確的端口數(shù)量。4、由于接入層需要的設(shè)備最多，所以在選型時(shí)，一定要注意價(jià)格的合理程度以及使用性和維護(hù)性。5、在接入層也應(yīng)該擁有足夠的吞吐量，防止出現(xiàn)網(wǎng)絡(luò)過于延遲或者過于擁堵的情況，使得丟包率增加。6、要保證在比較惡劣的環(huán)境下，接入層也能穩(wěn)定工作，不收環(huán)境變化有太多的影響。5.1.2核心層1、由于核心層是整個(gè)網(wǎng)絡(luò)系統(tǒng)中最為重要的一塊，所以我選用了IntelligentSeries4，它最多可以支持2個(gè)相互冗余的交流電源，交換容量900G，包轉(zhuǎn)發(fā)速率447Mpps，支持IPv4/IPv6雙協(xié)議棧，符合公司要求。2、實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間額優(yōu)化傳輸，負(fù)責(zé)整個(gè)分公司局域網(wǎng)的望網(wǎng)內(nèi)數(shù)據(jù)交換，網(wǎng)絡(luò)的功能控制最好盡量少在骨干層上實(shí)施。3、鑒于分公司用戶數(shù)量眾多，業(yè)務(wù)復(fù)雜，采用多業(yè)務(wù)核心路由交換機(jī)組件高性能的核心網(wǎng)絡(luò)平臺(tái)。4、全分公司的網(wǎng)絡(luò)都采用OSPF動(dòng)態(tài)路由協(xié)議，能夠在最短的時(shí)間內(nèi)將路由變化傳遞到整個(gè)自治系統(tǒng)。5、將自治系統(tǒng)劃分為不同區(qū)域，通過區(qū)域之間的對(duì)路由信息的摘要，大大減少了需傳遞的路由信息數(shù)量，也使得路由信息不會(huì)隨網(wǎng)絡(luò)規(guī)模的擴(kuò)大而急劇膨脹。5.1.3應(yīng)用系統(tǒng)部分1、根據(jù)公司的要求，操作系統(tǒng)選擇最新的window10企業(yè)版，可以提高方便的更新與升級(jí)方法。2、服務(wù)器操作系統(tǒng)需要能夠提供目錄服務(wù)功能，所以選用了window10專業(yè)版，3、服務(wù)器及客戶機(jī)操作系統(tǒng)需要支持TCP/IP協(xié)議，所以選用的操作系統(tǒng)應(yīng)能夠方便的實(shí)現(xiàn)用戶和權(quán)限的管理，且能夠運(yùn)行大多數(shù)應(yīng)用軟件，因此，我們選了windowserver2016，它具有極高的穩(wěn)定性、先天的安全性、軟件安裝的便利性、多任務(wù)等優(yōu)勢(shì)，符合公司的要求。4、在數(shù)據(jù)存儲(chǔ)軟件系統(tǒng)上，選用此了全功能版本的SQLServer2017，它可以再在非生產(chǎn)環(huán)境中構(gòu)建、測(cè)試和演示應(yīng)用程序。5、在在數(shù)據(jù)存儲(chǔ)硬件系統(tǒng)上，選用了分布式文件存儲(chǔ)系統(tǒng)UDsafePanaStor9700，集群NAS可隨著用戶對(duì)于容量和性能需求的不斷增長(zhǎng)，在統(tǒng)一命名空間的基礎(chǔ)上隨時(shí)擴(kuò)展其性能和容量，可大幅度降低用戶初期建設(shè)成本，是公司不錯(cuò)的選擇。6、所有用戶可以方便的瀏覽和查詢局域網(wǎng)和互聯(lián)網(wǎng)上的應(yīng)用資源，但只有通過驗(yàn)證的用戶才可共享數(shù)據(jù)庫、共享打印機(jī)等活動(dòng)，實(shí)現(xiàn)辦公自動(dòng)化系統(tǒng)中的各項(xiàng)功能。7、在分公司網(wǎng)絡(luò)中，業(yè)務(wù)智能的信息管理功能是由作為網(wǎng)絡(luò)工作站的微型計(jì)算機(jī)提供的，進(jìn)行日常業(yè)務(wù)數(shù)據(jù)的采集和處理。8、網(wǎng)絡(luò)的控制中心和數(shù)據(jù)共享與管理中心由網(wǎng)絡(luò)服務(wù)器或一臺(tái)功能較強(qiáng)的中心主機(jī)實(shí)現(xiàn)。9、對(duì)于分布于廣泛地區(qū)的總公司、辦事處、庫房等異地業(yè)務(wù)部門，可根據(jù)業(yè)務(wù)管理的規(guī)模和信息處理的特點(diǎn)，通過遠(yuǎn)程仿真終端、網(wǎng)絡(luò)遠(yuǎn)程工作站或局域網(wǎng)遠(yuǎn)程互聯(lián)實(shí)現(xiàn)彼此間的互聯(lián)。6、網(wǎng)絡(luò)服務(wù)設(shè)計(jì)6.1網(wǎng)絡(luò)服務(wù)系統(tǒng)宿主機(jī)虛擬機(jī)名稱提供服務(wù)操作系統(tǒng)IP地址第1臺(tái)計(jì)算機(jī)域服務(wù)/DNS服務(wù)/證書服務(wù)WindowsServer2016/24第2臺(tái)計(jì)算機(jī)FTP服務(wù)RedHatEnterpriseLinux(RHEL)4/24~6/24第3臺(tái)計(jì)算機(jī)DHCP服務(wù)/RADIUS服務(wù)WindowsServer20161/24第4臺(tái)計(jì)算機(jī)測(cè)試Windos10企業(yè)版DHCPP測(cè)試Windos10企業(yè)版DHCP6.2服務(wù)軟件環(huán)境產(chǎn)品分類產(chǎn)品編碼產(chǎn)品描述[完整]SQL2008標(biāo)準(zhǔn)版E65-00186SQLSvrStandardEdtnRUNTIME2008

R2EMBESDOEI1CPU[1CPU無限用戶R2版本]E65-00187SQLSvrStandardEdtnRUNTIME2008R2EMBESDOEI5Clt[SQL2008標(biāo)準(zhǔn)版R25用戶

中文//英文]C30-00264SQLCALRuntime2008EMBESDOEI5CltUserCALStd[每增加5用戶]SQL2008企業(yè)版E66-00175SQLSvrEnterpriseEdtnRUNTIME2008R2EMBESDOEI1CPU[1CPU無限用戶R2版本]E66-00176SQLSvrEntEdRUNTIME2008R2EMBESDOEI10Clt[SQL2008企業(yè)版R210用戶中文//英文]C30-00291SQLCALRuntime2008EMBESDOEI5CltUserCALEnt[每增加5用戶]SQL2005企業(yè)版4CY-00002SQLSvrEntEdRUNTIME2005x32EMBESDOEI25Clt(可加64位光盤)[SQL2005企業(yè)版25用戶中文//英文]（特價(jià)，渠道尾貨）客戶端操作系統(tǒng)通用品牌Windows7

家庭版（32位普通版）（特價(jià)）Windows7中文專業(yè)版

Windows7英文專業(yè)版

Windows7中文旗艦版（多國(guó)語言包（32位//64位自選））服務(wù)器操作系統(tǒng)通用類微軟WINDOWSSERVER2003簡(jiǎn)體中文標(biāo)準(zhǔn)版5用戶(尾貨)

32位微軟WINDOWSSERVER2003

企業(yè)版25Clt[簡(jiǎn)中]全套(尾貨)

32位微軟WINDOWSSERVER2008

R1標(biāo)準(zhǔn)版5Clt[簡(jiǎn)中]全套

/英文微軟WINDOWSSERVER2008

R2標(biāo)準(zhǔn)版5Clt[簡(jiǎn)中]全套

/英文微軟WINDOWSSERVER2008

企業(yè)版25Clt[簡(jiǎn)中]全套

/英文微軟WINDOWSSERVER2008

R2企業(yè)版25Clt[簡(jiǎn)中]全套

/英文NOVELLSUSELinux操作系統(tǒng)，SUSELinuxEnterprise，支持32位和64位服務(wù)器，僅限A6序列企業(yè)版、政務(wù)版；紅帽EnterpriseLinuxES6.0(企業(yè)版)，軟件版本ES6.0，適用于眾多應(yīng)用軟件，從網(wǎng)絡(luò)邊緣服務(wù)到中等規(guī)模的部門級(jí)部署。可支持多達(dá)2個(gè)CPU,4GB物理內(nèi)存；但不具備"高可用性集群ExchgSvrStd2010CHNSOLPNL(郵件服務(wù)器服務(wù)器端,標(biāo)準(zhǔn)版)ExchgStdCAL2010CHNSOLPNLDvcCAL（郵件服務(wù)器標(biāo)準(zhǔn)版用戶端）ExchgSvrEnt2010CHNSOLPNL(郵件服務(wù)器服務(wù)器端,企業(yè)版)ExchgEntCAL2010CHNSOLPNLUsrCALwoSrvcs（郵件服務(wù)器企業(yè)版用戶端）LyncSvrStd2010CHNSOLPNL（視頻會(huì)議標(biāo)準(zhǔn)版，服務(wù)器端）LyncSvrStdCAL2010CHNSOLPNLDvcCAL（標(biāo)準(zhǔn)版用戶端）LyncSvrEnt2010CHNSOLPNL（視頻會(huì)議企業(yè)版，服務(wù)器端）LyncSVrEnCAL2010CHNSOLPNLDvcCAL（企業(yè)版用戶端）存儲(chǔ)系統(tǒng)磁盤陣列HP磁盤陣列軟件HPMAS2000微軟磁盤陣列系統(tǒng)WindowsServer2003storge6.2.1OSPF在網(wǎng)絡(luò)骨干核心層和核心層以及匯聚層上需要使用三層設(shè)備為網(wǎng)絡(luò)內(nèi)部不同的網(wǎng)段的數(shù)據(jù)和不同vlan間的數(shù)據(jù)轉(zhuǎn)發(fā)而需要路由協(xié)議時(shí)，采用OSPF協(xié)議作為路由協(xié)議SOPF是一種典型的鏈路狀態(tài)路由協(xié)議。采用OSPF的路由器彼此交換并保存整個(gè)網(wǎng)絡(luò)的鏈路信息，從而掌握全網(wǎng)的拓?fù)浣Y(jié)構(gòu)，獨(dú)立計(jì)算機(jī)路由。因?yàn)镽IP路由協(xié)議不能服務(wù)于大型網(wǎng)絡(luò)，所以IETF的IGP工作組特別開發(fā)出鏈