1、小企业网络工程设计方案专业班级 学 号 学生姓名 目 录一、工程概况二、需求分析三、网络系统设计3.1网络系统设计的目标和原则3.2网络技术方案设计3.3网络系统应用服务3.4网络 IP 地址规划3.5网络系统安全措施3.6网络系统管理维护四、综合布线系统设计4.1结构化布线系统设计目标4.2布线系统设计规范和标准一、工程概况某企业需要进行网络系统建设，以满足现有和未来业务的发展要求，进一步完成企业信息化建设。该企业设有以下几个部门：企划部、技术部、产品部、销售部、人事部、财务部。目前共有400名员工，有 300 台计算机。企业的两栋办公楼，两栋楼相距300米。每一栋楼有6层高，计划在每一栋楼2、设置一个设备间。为满足办公管理及业务发展的需要，将购买 OA应用系统和邮件服务系统，并配置FTP服务器，提供文件的上传和下载服务。另外，还需要发布企业的网站。通过配置DHCP服务器为所有的计算机动态分配IP地址(采用C类私有地址)，通过三层网络设备和设置防火墙安全接入Internet，访问互联网资源。二、需求分析400名员工和300 台计算机在相距300米两栋办公楼， 需要稳定的FTP服务器，提供文件的上传、下载服务和资源共享。员工需要在安全的网络环境下访问互联网资源。需要先根据企业的主机和系统选择适合的OA应用系统和邮件服务系统,并配置FTP服务器, 发布企业的网站, 配置DHCP服务器,设3、置三层网络设备和防火墙保障网络安全。三、网络系统设计规划3.1、网络系统设计的目标和原则1网络工程目标一般情况下，对网络工程目标要进行总体规划，分步实施。在制定网络工程总目标时应确定采用的网络技术、工程标准、网络规模、网络系统功能结构、网络应用目的和范围。然后，对总体目标进行分解，明确各分期工程的具体目标、网络建设内容、所需工程费用、时间和进度计划等。对于网络工程应根据工程的种类和目标大小不同，先对网络工程有一个整体规划，然后在确定总体目标，并对目标采用分步实施的策略。一般我们可以将工程分为三步。1) 建设计算机网络环境平台。2) 扩大计算机网络环境平台。3) 进行高层次网络建设。2网络工程设4、计原则网络信息工程建设目标关系到现在和今后的几年内用户方网络信息化水平和网上应用系统的成败。在工程设计前对主要设计原则进行选择和平衡，并排定其在方案设计中的优先级，对网络工程设计和实施将具有指导意义。1) 实用、好用与够用性原则计算机与外设、服务器和网络通信等设备在技术性能逐步提升的同时，其价格却在逐年或逐季下降，不可能也没必要实现所谓“一步到位”。所以，网络方案设计中应采用成熟可靠的技术和设备，充分体现“够用”、“好用”、“实用”建网原则，切不可用“今天”的钱，买“明、后天”才可用得上的设备。2) 开放性原则网络系统应采用开放的标准和技术，资源系统建设要采用国家标准，有些还要遵循国际标准(如5、：财务管理系统、电子商务系统)。其目的包括两个方面：第一，有利于网络工程系统的后期扩充；第二，有利于与外部网络互连互通，切不可“闭门造车”形成信息化孤岛。3) 可靠性原则无论是企业还是事业，也无论网络规模大小，网络系统的可靠性是一个工程的生命线。比如，一个网络系统中的关键设备和应用系统，偶尔出现的死锁，对于政府、教育、企业、税务、证券、金融、铁路、民航等行业产生的将是灾难性的事故。因此，应确保网络系统很高的平均无故障时间和尽可能低的平均无故障率。4) 安全性原则网络的安全主要是指网络系统防病毒、防黑客等破坏系统、数据可用性、一致性、高效性、可信赖性及可靠性等安全问题。为了网络系统安全，在方案设6、计时，应考虑用户方在网络安全方面可投入的资金，建议用户方选用网络防火墙、网络防杀毒系统等网络安全设施；网络信息中心对外的服务器要与对内的服务器隔离。5) 先进性原则网络系统应采用国际先进、主流、成熟的技术。比如，局域网可采用千兆以太网和全交换以太网技术。视网络规模的大小(比如网络中连接机器的台数在250台以上时)，选用多层交换技术，支持多层干道传输、生成树等协议。6) 易用性原则网络系统的硬件设备和软件程序应易于安装、管理和维护。各种主要网络设备，比如核心交换机、汇聚交换机、接入交换机、服务器、大功率长延时UPS等设备均要支持流行的网管系统，以方便用户管理、配置网络系统。7) 可扩展性原则网络7、总体设计不仅要考虑到近期目标，也要为网络的进一步发展留有扩展的余地，因此要选用主流产品和技术。若有可能，最好选用同一品牌的产品，或兼容性好的产品。在一个系统中切不可选用技术和性能不兼容的产品。比如，对于多层交换网络，若要选用两种品牌交换机，一定要注意他们的VLAN干道传输、生成树等协议是否兼容，是否可“无缝”连接。这些问题解决了，可扩展性自然是“水到渠成”。3.2、网络技术方案设计从结构上，采用了以千兆冗余链路结构为主、可支持万兆扩展、高级路由策略、高性能数据转发、模块化机箱、多层协议交换设备为核心，接入和分布层设备的结构均支持千兆冗余，采用STP协议解决环路、流量分担负载以及链路备份的问题。8、在VLAN的设计上，根据VLAN规划的部门、区域以及特殊要求进行划分。在路由设计上，核心交换机和路由器之间采用OSFP作为主要的路由协议，并配合相关的路由策略实现高级路由功能。在QoS质量保证上，对语音、视频及其他重要业务进行区分，可以通过端到端的QoS策略，如DSCP等，也可以通过二层实现如COS等策略，根据流量的优先级或报文标记进行识别并区别对待，以达到QoS的目的。在安全方面，内部通过AD域控方式通过域控策略对每台域内计算机和终端进行控制和管理，在设备端通过诸如ACL和路由等策略进行流量的控制，而对于外网的访问，除通过相关的ACL和路由外，我们可以通过防火墙进行更多的安全认证、规则以及审9、计策略进行控制，并且还可以在一定程度上阻止DDOS的攻击。在网络管理上，我们采用集中式和分布式管理方式，对于在北京本地的设备进行集中管理，而对于远端分所的设备，我们可以采用分布式管理即本地与远端共管模式。在核心交换机及重要设备，我们采用完全及部分冗余备份机制，还可以实现一定的流量分担负载。而对于WLAN无线网络，随着WLAN无线网络的发展，无线网络所带来的便利性和灵活性越来越受到人们的青睐，越来越多的应用和业务对无线网络的依赖程度也越来越高。因此，在本次的网络规划中我们将无线网络（WLAN）也作为网络建设的重点之一。本无线网络结构采用集中式控制结构，即通常所说的无线控制器（也叫无线交换机）与瘦10、AP（或混合AP）模式。瘦AP可以用于本地的无线网络中直接连接相邻的IDF的PoE（Power over Ethernet）交换机，而混合型AP可以放置在各分支机构及办事处，这些AP在网络正常运行的情况下都可以受到无线控制器统一控制，如果远端分支机构及办事处网络中断，混合型AP还可以独立执行无线覆盖功能，而不会出现中断。在这个网络中，如果对无线要求不高，我们建议采用IEEE802.11a/b/g的覆盖，否则，我们可以考虑802.11n的网络部署。3.3、网络系统应用服务根据集团用户对操作系统的要求：操作系统要求选择最新版本，所选操作系统需要提供方便的更新与升级方法，服务器操作系统需要能够提供目11、录服务功能，服务器及客户机操作系统都需要支持TCP/IP协议，所选操作系统应能够方便的实现用户和权限的管理，秘选操作系统应能够运行大多数应用软件，例如办公软件、图像处理软件、CAD财等，我们选择Linux，它具有极高的稳定性、先天的安全性、软件安装的便利性、多任务、多使用者、免费或少许费用、有强大的网络功能、在相关软件的支持下，可实现WWW、FTP、DNS、DHCP、E-mail等服务。建立WWW服务器，实现Internet上浏览和查询；建立FTP服务器，结合学校实际和需要逐步建立远程FTP服务；建立服务器把图文信息组织成分布式的超文本，并用信息指针指向存有相关信息的服务器，使用户可以方便地访12、问这些信息。当网上用户增多时，网络访问很频繁，通信量很大，随机性强。作为全校的通讯枢纽，需要配备高性能的服务器设备，主要的需求是高性能的、体系结构、高速通道和网络通道。建立域名服务器，各地名字服务器管理下属主机和子域，并由高一级名字服务器监管，但每个域至少需要配备一台以上的名字服务器。数据量不大，但访问频繁。建立数据库服务器能有高效的处理速度、较大的内存和磁盘空间、快速的系统和网络界面，较高的可靠性，完善的系统备份功能和较好的可扩充性能。3.4、网络 IP 地址规划1.确定合法地址网络中第一个不能使用的地址就是网络地址。网络地址用于表示网络本身，主机位部分为全“0”的IP地址代表一个特定的网络13、。网络地址对于网络通信数据量的控制非常重要，位于同一网络中的主机必然具有相同的网络号，它们之间可以直接相互通信。而网络号不同的主机之间则不能直接进行通信，必须经过第3 层网络设备(如路由器)进行转发。如图4-9的示例，上半部分的框架中表示网络198.150.11.0。从局域网外部看，任何发往该网络主机198.150.11.1198.150.11.254的数据，目的网络都是198.150.11.0，只有数据到达上半部分的框架(局域网)时，才能进行主机位的匹配。下半部分的网络编号用198.150.12.0表示，数据进行比对的情况也是相同。网络中第二个不能使用的地址是广播地址(Broadcast A14、ddress)。它用于向网络中的所有设备广播分组，具有正常的网络号部分，主机号部分为全“1”的IP 地址代表一个在指定网络中的广播，被称为广播地址。广播地址对于网络通信同样重要。在计算机网络通信中，经常会出现对某一指定网络中的所有机器发送数据的情形，如果没有广播地址，源主机就要对所有目的主机启动多次IP 分组的封装与发送过程。除了网络标识地址和广播地址之外，其他一些包含全“0”和全“1”的地址格式也是保留地址。图4-10中标明了这些特殊地址的用途2.选择专用IP地址Internet的稳定直接取决于网络地址的唯一性。这个工作最初由InterNIC(Internet网络信息中心)来分配IP 地址，15、现在已被IANA(Internet 地址分配中心)取代。IANA管理着剩余IP 地址的分配，以确保不会发生公用地址重复使用的问题。1)公用IP地公用IP地址在Internet上是唯一的，因为公用IP 地址是全局的和标准的，所以没有任何两台连到公共网络的主机拥有相同的IP 地址。所有连接Internet 的主机都遵循此规则，公用IP 地址是从Internet 服务供应商(ISP)或地址注册处获得的。如果需要到Internet的直接(路由)连接，则必须使用公用地址;如果需要到Internet的间接(代理或转换)连接，则可以使用公用地址或专用地址。2)专用IP地址随着Internet的发展，各个连接16、到Internet的组织需要为每台设备的每个接口获取一个公用地址。每个网络接口都需要有一个公有IP地址是不可能的，至少在IPv4版本中。这一需求对公用地址池提出了很高的要求，A、B、C类地址的总数满足不了全世界所有网络设备的标识。Internet的设计者注意到这个问题，所以保留了IPv4地址空间的一部分供专用地址使用。IANA提供了一个为专用网际网络保留网络ID地址的方案，以下这些网络ID是内部网络中可任意部署的： 子网掩码为 255.0.0.0 的 .0网络地址池。 子网掩码为 255.240.0.0 的 172.16.0.0网络地址池。 子网掩码为 255.255.0.0 的 192.1617、8.0.0网络地址池。有关为专用Intranet保留的IP地址空间的详细信息，请参阅RFC 1918，“专用Internet的地址分配”。3.地址转换技术有一种情况需要特别注意，如果公司网络没有以任何方式连接到Internet，则可以使用任何IP地址。但这家公司网络需要连接到Internet，所以应当使用公用地址或专用地址转换技术，以防止非法IP地址暴露在公网之上。3.5、网络系统安全措施设计遵循原则针对网络信息系统实际情况，解决网络的安全保密问题是当务之急，考虑技术难度及经费等因素，设计时应遵循如下原则：1大幅度地提高系统的安全性和保密性；2保持网络原有的性能特点，即对网络的协议和传输具有很18、好的透明性； 3易于操作、维护，并便于自动化管理，而不增加或少增加附加操作； 4尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展； 5安全保密系统具有较好的性能价格比，一次性投资，可以长期使用； 6安全与密码产品具有合法性，及经过国家有关管理部门的认可或认证； 7分步实施原则：分级管理 分步实施。 安全策略 针对上述分析，我们采取以下安全策略： 、对硬件设备出现的各种故障，我们制定如下措施：定期对设备进行保养、检修。准备充足的备件，经常进行检修、更换老化部件。对传输线路进行定期检查。针对软件系统出现的安全威胁。1采用漏洞扫描技术，对重要网络设备进行风险评估，保证信息系统尽量在最优的状况下19、运行。 2采用各种安全技术，构筑防御系统，主要有： (1) 防火墙技术：在网络的对外接口，采用防火墙技术，在网络层进行访问控制。 (2) NAT技术：隐藏内部网络信息。 (3) VPN：虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来，构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用，而事实上并非如此。(4）网络加密技术(Ipsec) ：采用网络加密技术，对公网中传输20、的IP包进行加密和封装，实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题，也可解决远程用户访问内网的安全问题。 (5) 认证：提供基于身份的认证，并在各种认证机制中可选择使用。 (6) 多层次多级别的企业级的防病毒系统：采用多层次多级别的企业级的防病毒系统，对病毒实现全面的防护。 (7）网络的实时监测：采用入侵检测系统，对主机和网络进行监测和预警，进一步提高网络防御外来攻击的能力。 3.3实时响应与恢复：制定和完善安全管理制度，提高对网络攻击等实时响应与恢复能力。 3.4建立分层管理和各级安全管理中心。3.6、网络系统管理维护最便捷就是使用办公网络管理软件了。四、综合布线系21、统设计4.1结构化布线系统设计目标目标：设计布线系统总体结构，工作区子系统，水平子系统，管理子系统，干线子系统，设备间子系统，建筑群子系统，以结构化布线系统支撑，建成一个覆盖整个公司的网络体系，从而实现改公司大楼的网络资源共享以及外界信息交流。4.2 布线系统设计规范和标准规范：国家、行业及地方标准和规范CECS90：97建筑与建筑群网络布线工程设计规范CECS89：97建筑与建筑群网络布线工程施工及验收规范GB/T 50311-2000建筑与建筑群网络布线系统工程设计规范GB/T50312-2000建筑与建筑群网络布线系统工程验收规范YD/T926 1-2-1997大楼通信网络布线系统行业标准.3 国际技术标准、规范ISO/IEC 11801：1995建筑物网络布线规范ETA/TIA-568A：1995商务建筑物电信布线标准ETA/TIA 569商务建筑物电信布线路由标准ETA/TIA-606商务建筑物电信基础设施管理标准ETA/TIATSB67商务建筑物电信布线测试标准EN50173欧洲商务建筑电信布线标准标准：ISO11801国际建筑通用布线标准IEEE100BASE-T100兆以太网CCITTISDN综合业务数据网络标准IEEE802.310BASE-T光纤分布数据接口（FDDI）标准IEEE802.5TOKENRING