1、BENET公司上海分公司网络改造设计方案2008年6月3日第一章 项目概述及需求分析1.1项目概述 BENET公司是一家专业从事网络、存储产品代理销售和信息项目整体方案解决的国家一级系统集成商，总部在北京，拥有上海和广州两家分公司，随着业务的扩大，上海分公司由原来的10人增长倒50人，以前的网络及应用环境已经不能适应实际的需求，要求对其改造。将采用先进的计算机、网络设备和软件，以及先进的系统集成技术，构建一个高效的办公网络。建设要求A硬件一般要求所有硬件设备必须是新产品，且在性能及质量方面能提供可靠证明。集成商所提供的硬件设备应符合国家有关标准及规定，符合国家相关产品质量标准、安全及电磁学规范2、。B网络系统整体设计要求对于系统平台的设计要充分考虑公司现有设备的利用和今后应用的需求，新系统应该完全兼容老设备，同时保证网络建成后能完全满足各项应用的需求，并具有为适应不断增长的需求进行扩充与升级的能力。因为目前公司规模较小且办公环境集中，要求网络拓扑采用星型拓扑结构，外部通过大厦物业的网络平台连接到互联网。C服务系统整体设计要求要加载文件服务、 WEB/FTP服务、 LINUX和WINDOWS客户端访问INTERNET 、 防病毒服务、代理服务、系统的安全措施与策略 。1.2 网络需求分析上海分公司设有财务部、工程部、销售部四个机构。其管理概况上海分公司经理向北京公司经理负责，上海分公司各3、部门主管向分公司经理负责，各部门员工向部门经理负责。公司有财务、销售、工程三部门,建立了相关的行政管理制度、公文管理制度，但仍缺乏有效监控的机制。 BENET公司组织架构图 BENET公司广州分公司上海分公司财务部工程部销售部1.2.1公司现有设备状况公司目前拥有10台台式计算机,2台笔记本计算机，其中5台台式机配有10/100Mbps全双工自适应网络接口卡，5台台式机配有10Mbps半双工网络接口卡，笔记本均自带有10/100Mbps全双工自适应网络接口卡。所有设备运行良好。1.2.2办公现场场家具隔断设计概况BENET公司上海分公司的办公环境位于大厦5层西翼，面积约600，呈长方形，长304、m，宽20m，在办公区的南侧打隔断，分别分隔出机房、会议室、分公司经理室和财务部，其他空间作为办公大厅，销售部和工程部位于其中。大厅以及财务办公部采用办公隔断分割出每个员工的办公空间（每隔2m设一个隔档）。具体格局布置如图：1.2.3BENET上海分公司信息点的规划：办公大厅：68个信息点 ；机房：3个信息点；会议室：4个信息点；分办公经理室：2个信息点；财务部：3个信息点；总计需要80个信息点，其分布如下：1.2.4网络建设目标1、采用先进的计算机、网络设备和软件，以及先进的系统集成技术，构建一个高效的办公网络；2、建立整个办公网络的高速Intranet网络系统；3、采用先进、成熟的网络互联5、技术，如快速以太网、千兆以太网等；4、网络能够提供较好的安全性和具备主动防范能力；5、网络系统实现智能化网络管理；6、网络系统采用先进的路由交换技术；7、网络系统能实现虚拟网（VLAN）技术；8、从实际出发，在投资条件许可的情况下，建立一个性价比较好的软、硬件系统。1.2.5网络结构示意图：机房会议室分公司理室财务部工程部销售部第二章网络方案设计2.1 网络设计的原则根据BENET公司上海分公司网络建设项目需求及总体设计，对其网络设计主要考虑以下因素： 开放性：采用开放标准、开放技术、开放结构。 实用性：网络系统的设计以实用、满足应用为主，不追求最高、最新。 先进性：计算机网络技术、软硬件技术6、的发展迅速，网络的设计要立足于较高的起点，保证系统有较长的生命力。 安全可靠性：同时考虑应用系统的设计，网络系统设计，硬件设备的选型配置几个方面，以确保数据的安全。 兼容与可扩充性：尽量采用成熟的技术，保证软硬件的接容性，同时考虑设备的更新与升级的能力。 经济性：在满足功能与性能的基础上实现性能/价格比最优。 可管理性：随着网络规模和复杂程度的增加，网络系统的管理和故障排除将成为较难的事情，针对各种设备都要提供一定的网络管理功能。 工程建设按照相关国家标准实施。 本次建设作为公司网络系统今后发展的基础，必须按照统一规划、着眼未来、注重实效的原则设计施工。 系统建设应兼顾先进性和实用性，尽量采用7、先进技术以提高系统的效率和可靠性，还要结合公司的工作特点，立足于目前公司办公现状与全社会的计算机应用水平，避免脱离实际，造成系统资源闲置浪费。 系统要有良好的可扩展性，以便于随着公司的发展进行扩充升级。2.2总体组网方案概述根据BENET公司上海分公司的网络改建的需求, 在总体网络设计时采用模块化网络结构来搭建网络平台。2.2.1网络系统整体规划1、网络规模建设适合中小型企业的互连接入网络 需要路由器1台，二层交换机2台，服务器6台，Web/FTP服务器由ISP托管，客户机50台（包括以前的12台）。 分公司所有员工通过路由器能接入并访问互联网访问总公司。 分公司所有员工通过代理服务器经路由器8、访问ISP托管的分公司的Web/FTP服务器。 分公司所有员工通过路由器访问内部各服务器，如：文件服务器、打印服务器。 分公司的计算机以部门为单位实现隔离。2、网络结构本网络采用星型拓扑结构，如图：2.2.2系统概况1、系统管理互联网系统是分公司跟外界及总公司的一条重要信息交互通道，要求具有快速高效以及运行稳定的特点，同时，要对员工用户帐户进行相应的控制和管理，并提供完善的日志功能。用户安全、帐户管理用户权限管理网络访问控制事件日志系统将涉及以下3类用户： 分公司经理 分公司各部门主管分公司各部门普通员工2、相关系统软件的及应用软件的选择原则主流操作系统：Red hat Enterprise 9、Linux 4 和Windows Server 2003使用Windows Server 2003构建以下服务：文件服务、活动目录服务、打印服务代理服务CCProxy2.3 详细组网方案2.3.1网络系统的分析与设计1、布线系统分析与设计根据系统需求以及工作隔断布置图具体情况来设计信息点位置。机房的JF01、JF02、JF03和分公司经理的JL01、JL02一共5个信息点为墙面插座，会议室的HY0104共4个信息点为地弹插座。所有墙面信息插座标高均为0.3m。其他信息点均布置在办公隔板内，放置在办公隔板中距离拐角0.2m的位置。均采用单口信息面板。根据已有的主干线槽以及信息点的分布情况来设计管10、线图，如图：图中红色粗线部分为土建施工中已经设计安装好的地下暗埋金属线槽。所有线缆集中到机房里的标准机柜中，安装到配线架上。办公大厅以及财务部的信息点的线缆均从线槽上相应位置设置的分线盒直接进入办公隔断的踏脚板中，通过金属软管到达信息点设计位置。在机房中的JF01、JF02、JF03和分公司经理办公室的JL01、JL02的线缆由线槽引出25mm的镀锌铁管，在石膏板隔断墙内行走到信息点位置。这样的设计方案能满足TIA/EIA 568商用建筑物电信布线标准的要求。在标准网络机柜中设4个24口配线架。具体信息点位置安排如图： 第一个配线架管理大厅中的DT01DT24这24个管理点。第二个配线架管理大11、厅中的DT25DT48这24个信息点。第三个配线架管理大厅的DT49DT68以及财务部的CW01、CW02、CW03和分公司经理室的JL01这24个信息点。第四个配线架分公司经理室中的JL02及会议室的HY01、HY02、HY03、HY04和机房的JF01、JF02、JF03这8个信息点。另外。ISP提供的互联网接入线缆已经通过吊顶中的线槽送到机房并进入机房线槽到达机柜位置，将其连接到第四个配线架的24号端口。所有的模块和配线架都使用586B的线序卡接线缆。 通过短跳线在配线架和交换机设备端口间跳接，将相应信息点的设备连接到相应的交换机端口，同时可以进行灵活的管理。所有跳线的RJ45水晶头的线12、序都采用568B标准。2、IP地址分配ISP提供了一个C类的公网IP地址202.100.2.254/30，作为BENET上海分公司接入路由器R1外连接端口F0/0和ISP提供的路由器端口使用。那么给BENET上海分公司接入路由器下连端口F0/1分配一个私网地址192.168.1.1/24，192.168.1.2/24分配给交换机SW1作为其的管理地址，192.168.1.3/24分配给交换机SW2作为其的管理地址，192.168.1.48/24分配给服务器组使用，192.168.2.26/24分配给财务部和分公司经理使用。192.168.3.235/24分配给工程部使用，192.168.4.213、35/24分配给销售部使用，具体见下表：BENET上海分公司IP地址分配表物理接口IP地址子网掩码对端IP地址子网掩码网关接入路由器F0/0202.100.2.254255.255.255.252202.100.2.253255.255.255.252202.100.2.253SW1交换机F0/1192.168.1.2255.255.255.0192.168.1.1255.255.255.0192.168.1.1SW2交换机F0/1192.168.1.3255.255.255.0192.168.1.1Web/FTP服务器202.100.1.254255.255.255.252202.100.114、.253255.255.255.0202.100.1.253文件服务器192.168.1.4255.255.255.0192.168.1.1打印服务器192.168.1.5255.255.255.0192.168.1.1域服务器192.168.1.7255.255.255.0192.168.1.1代理服务器192.168.1.8255.255.255.0192.168.1.13、VLAN划分将一个VLAN划分成多个VLAN，这么做主要是减少以太网VLAN上广播包过多的问题。因为以太网的机制决定了VLAN的性能好坏很大程度上取决于广播包的多少，当一个平面VLAN的广播包数量达到总体的25时，网络15、的性能将会下降很多。VLAN技术很好地缩小了广播范围，减少了广播的数量。本项目针对VLAN划分的原则是：基于职能部门划分，基于物理位置划分和基于应用划分，具体见下表：BENET上海分公司VLAN划分表BENET上海分公司VLAN划分部门名称主机地址子网掩码网关VLAN机房(服务器)和SW1、SW2192.168.1.28255.255.255.0192.168.1.11财务部和经理室192.168.2.26255.255.255.0192.168.2.12工程部192.168.3.235255.255.255.0192.168.3.13销售部192.168.4.235255.255.255.016、192.168.4.144、路由策略由于本网络实际上是一个简单的局域网，所以网络的路由实现比较简单，不需要复杂的动态路由协议，以单臂路由实现VLAN间互访以及对互联网的访问，随着日后网络进一扩展，如核心结点扩展为多个点后，可以考虑使用动态路由协议。5、网络设备需求分析综合考虑用户需求并符合经济性、适用性原则，交换机选择Cisco公司的入门级交换机2950系列。；路由器则选择2600系列路由器，Cisco2600系列提供了一个灵活、可扩展的集成解决方案，本项目选用Cisco2621xm这款产品，能够满足目前系统的需求以及性能指标要求，也方便今后系统的扩展和升级。6、设备配置简述交换机SW1的系统17、名配置为benet-Switch1，特权模式密码设定为Cisco。1号端口连接到路由器的内部端口Fast Ethernet 0/0，为交换机配置IP地址配置为192.168.1.2/24的管理地址。见下表：交换机配置名密码端口管理IPSW1benet-Switch1ciscoFast Ethernet 0/1192.168.1.2/24SW2benet-Switch2ciscoFast Ethernet 0/1192.168.1. 3/242.3.2系统及应用服务的分析与设计一、服务器系统的分析与设计1、 域控制器系统分析与设计需要建立单域结构，在域下组织单元。根据需要，网络服务器操系统选择W18、indows Server 2003，客户机操作系统基本采用Windows XP professional,个别员工由于工作需要安装Linux。利用Windows系统构建整个分公司的单域结构，充分实现网络资源的集中管理，并保障管理上的简单性和低成本投入。域控制器作为整个网络的核心服务器，完全对公司所有的帐户管理和安全策略的实施，同时在域控制器上实现对共享文件夹、共享打印机的集中管理。（1）其基本配置 操作系统：Windows Server 2003 主要服务：目录服务、DNS服务 文件系统：NTFS 域名： 计算机名：DC IP地址：192.168.1.7/24 网关：192.168.1.1 19、网络连接：直接连接交换机SW2的2号端口（2）域结构规划根据网络规模及集中管理和结构简单的原则，整个网络系统规划为单域结构，在域内按照部门名称分别建立组织单位（OU），用于存储和管理各不；部门的用户、共享文件夹及打印机。整个系统结构与公司管理结构相匹配并可以实现资源的层次管理。最上层的管理单元为域，域名为，下层的管理单元是组织单位，各部门的组织单位命名按照部门名称的汉语拼音全拼设置。根据网络结构的变化和未来公司结构的扩展，此结构可以方便地增加和减少管理单元，充分满足了可扩展性和可伸缩性的要求。域规划图如图所示：（3）用户帐户规划需要建立用户组和用户帐户号，把用户帐户号加入用户组。公司全部用户组20、织结构如图所示：根据公司员工的组织结构，为每名员工建立唯一的域用户帐户，并将员工帐户建立在员工所在部门的组织单位中，全部员工帐户采用统一的命名规范，凳录名为“氏汉语拼音全拼。中文名字汉语拼音全拼”。用户全名为员工的中文姓名。用户帐户描述为该员工的职务。全部员工帐户密码设置采用初始密码benet1234#，并设置策略要求用户在第一此登录时更改密码。如：示例：财务部部门主管张三 登录名：zhang.san 全名：张三 描述：财务部主管 初始密码：benet1234# 建立位置：caiwu组织单位为了实现权限管理的简单化，整个网络系统采用用户组完成权限的分配，每个部门设置一个全局组并建立在该部门的组21、织单位中，该组中包含该部门所有员工的用户帐户，除了分公司经理及部门主管外，权限的分配均以各部门的全局组为对象，分公司经理及部门主管的权限单独分配。所有用户组采用统一的命名规范，组名为部门名的汉语拼音全拼。如：示例：财务部 组名：caiwubu 组的成员：财务部主管、财务一、财务二 建立位置：caiwu 组织单位2、文件服务器系统的分析与设计通过设置专用的文件服务器完成公司文档的集中管理，在文件服务器上为部门及用户建立专用的文件夹，分别存储公共文档及员工个人工作文档，服务器采用大容量磁盘和Windows系统中特有的NTFS文件系统，实现文件级的安全。员工可以通过映射网络驱动器访问服务器上的文档，22、就像在本地访问资源一样简单快捷。在服务器上使用NTFS文件系统中提供的磁盘配额功能可保障存储空间得到有效合理的利用。（1）其基本配置 操作系统：Windows Server 2003 主要服务：磁盘配额 文件系统：NTFS 域名： 计算机名：Filesrv IP地址：192.168.1.4/24 网关：192.168.1.1 网络连接：直接连接交换机SW2的2号端口(2)系统配置文件服务器硬盘划分为两个分区，分别为C盘和D盘，C盘为主分区安装操作系统，容量为6GB。D盘为扩展分区上建立的逻辑驱动器，用于存储共享文档，容量为74GB。两个分区均采用NTFS文件系统。在D盘上建立文件夹share并23、共享，共享名为share。在share文件夹下根据部门分别建立文件夹并以部门名称命名。在每个部门文件夹中根据员工姓名分别为每个员工建立文件夹。文件服务器共享文件夹结构如图所示：注：图中部门内各员工文件夹在实际中以员工中文姓名命名。文件服务器利用共享权限及NTFS权限的组合实现文件级安全，分公司经理对公司所有文档拥有全部权限，部门主管对本部门拥有全部权限，员工只对自己的工作文档拥有全部权限。具体权限设置见下表：文件服务器权限设置文件夹名共享权限NTFS权限D:ShareEveryone组完全控制分公司经理完全控制，everyone列出文件夹目录D:Share分公司理无分公司经理完全控制D:Sha24、re分公司销售部无全局组xiaoshoubu读取，分公司经理完全控制，销售主管完全控制D:Share分公司财务部无全局组caiwubu读取，分公司经理完全控制，财务主管完全控制D:Share分公司工程部无全局组gongchengbu读取,分公司经理完全控制，工程主管完全控制员工个人文件夹如:d:share财务部某员工文件夹无全局组caiwubu读取，员工自己完全控制，本部门主管和分公司经理完全控制文件服务器采用Windows系统提供的磁盘配额功能来控制员工文档的存储量，在D盘上激活磁盘配额功能，限制每名员工的存储量不能超过1GB，警告级别为800MB，超过配额拒绝写人，总经理不限制配额。在域控25、制器上发布共享文件夹share，保障所有员工能通过目录服务迅速搜索和查询到该公司的共享资源。3、代理服务器系统的分析与设计根据需求，整个系统采用代理服务器软件实现Internet的接入。根据公司员工人数及网络设备的数量，代理服务器软件采用共享软件CCProxy，采用该软件不仅可以实现代理上网，网站过滤、上网监控、日志记录等功能，同时可最大程度起到安全防护和降低成本的功效。代理服务器软件安装在代理服务器上，代理的协议和端口均按默认设置配置，IP地址设置为：192.168.1.8。计算机名：Proxsrv。网络连接：直接连接交换机（SW2）4号端口。4、Web/FTP服务器系统的分析与设计两种服务26、占用的系统资源比较少，古共用一台服务器。利用Windows Server 2003系统中提供的Web服务功能，在服务器上安装最常用的Web服务器软件（微软公司提供的IIS），Web服务的安装也就是IIS的安装，它是应用程序服务器的默认安装组件，可实现员工上传各人网页到Web服务器上，并能通过IE访问。同时可在同一台PC上利用此系统在IIS服务中的子组中添加文件传输协议（FTP）服务，以实现员工上传和下载工作文档。IP地址为ISP提供的202.100.1.254/30。托管ISP管理。5、打印服务器的分析与设计利用Windows系统提供的打印共享功能，公司全部系统实现网络打印。打印机选择著名厂商27、HP公司的激光打印机和喷墨打印机产品，所有打印机速度不低于14ppm，可以实现高速的黑白和彩色打印。全部打印机直接接入网络，配置打印服务器支持全公司员工的打印需求，同时利用打印权限的设置保障打印机的有效合理使用。所有打印机共享后发布在目录服务中，保证用户利用打印机的各种属性可以迅速在网络中查询到需要的打印机。（1）打印服务器基本配置操作系统：Windows Server 2003主要服务：提供打印服务文件系统：NTFS域：计算机名：printingsrvIP地址：192.168.1.5/24网关：192.168.1.1网络连接：直接连接交换机（SW2）5号端口 打印设备见下表打印机型号打印机名28、共享名IP地址信息点位置HP LaserJet 1022 HP LaserJet 1022Printer-JL192.168.1.5/24JL03分公司经理办公室HP Photosmart D5368(Q8361D)HP Photosmart D5368(Q8361D)Printer-CW192.168.1.9/24CW03财务部LaserJet 5000 P1008(CC366A)HP LaserJet P1008(CC366A)-01Printer-DT01192.168.1.10/24DT01销售部LaserJet 5000 P1008(CC366A)HP LaserJet P1008(29、CC366A)-02Printer-DT02192.168.1.11/24DT35工程部LaserJet P1008(CC366A)HP LaserJet P1008(CC366A)-03Printer-DT03192.168.1.12/24DT36工程部销售部（2）打印服务配置公司所有打印机直接接入网络，每台打印机具有统一的命名和网络地址。打印机名为默认的打印机名称，标识出打印机的厂商、类型和型号，打印服务器放置在机房，在打印机服务器上安装5台打印机的驱动程序，并将5台打印机共享，共享名为“Printer-位置”，例如Printer-jl、Printer-DT01。所有员工的计算机作为客户机30、通过安装网络打印机添加相应的打印机完成打印。在所有客户机的打印机上设置打印优先级，分公司经理的优先级为90，部门主管的优先级为50，员工优先级为1。系统打印结构如图所示：（3）打印权限设置管理员和分公司经理能够管理所有5台打印机。其他用户均没有管理权限。财务部门员工默认具有Pirnter-CW的打印权限，财务部主管拥有打印权限的同时，还拥有管理文档的权限办公大厅销售部员工具有Pirnter-DT01的打印权限，销售部门主管拥有管理文档的权限。办公大厅工程部员工具有Pirnter-DT02的打印权限，工程部门主管拥有管理文档的权限。工程部和销售部员工具有Pirnter-DT03的打印权限，两部门31、主管拥有管理文档的权限。打印权限具体见下表：权限打印机管理打印机管理文档打印备注Printer-JL分公司经理管理员分公司经理分公司经理管理员分公司经理专用Printer-CW分公司经理管理员分公司经理财务主管分公司经理管理员、财务主管财务部员工财务部专用分公司经理可用Printer-DT01分公司经理管理员分公司经理销售主管分公司经理管理员、销售主管销售部员工销售部员工使用打印机Printer-DT02分公司经理管理员分公司经理工程主管分公司经理管理员、工程主管工程部员工工程部员工使用打印机Printer-DT03分公司经理管理员分公司经理销售主管工程主管分公司经理管理员、销售主管工程主管工32、程部员工和销售部员工共用默认打印机二、客户端分析与设计1、客户机基本配置 操作系统：Windows XP Professional/linux 文件系统：Windows系统采用FAT32/NTFS Linux系统采用ext3文件系统 域：Windows计算机需要加入到域中 网络连接：直接连接交换机相应端口2、客户端配置客户端计算机基本采用相同的主流的Windows XP Professional操作系统,有的员工由于工作需求安装了Linux。原有设备中5台配有10/100Mbps全双工自适应网络接口卡的台式机分配给工程部员工使用，5台配有10Mbps半双工网络接口卡的台式机分配给销售部员工使用33、，两台带有10/100Mbps全双工自适应网络接口卡的笔记本分配给工程部主管和销售部主管使用。其余办公单位均采购新的计算机，所有计算机应配置10/100Mbps自适应全双工网络接口卡。销售部和工程部机量的配置根据人员数决定。销售部的IP为192.168.4.0/24网段，可顺序分配。工程部的IP为192.168.3.0/24网段，可顺序分配。所在信息点位置、计算机名和IP地址的分配见下表（注：只为部分）：客户端配置信息表部门使用信息点计算机名IP地址分公司经理JL01shbenet-jl01192.168.2.2/24财务主管CW01shbenet-cw01192.168.2.3/24财务一C34、W02shbenet-cw02192.168.2.4/24财务二CW03shbenet-cw03192.168.2.5/24销售主管DT20shbenet-dt20192.168.4.2/24销售一DT18shbenet-dt18192.168.4.3/24销售二DT16shbenet-dt16192.168.4.4/24销售三DT14shbenet-dt14192.168.4.5/24销售四DT23shbenet-dt23192.168.4.6/24销售五DT21shbenet-dt21192.168.4.7/24工程主管DT35shbenet-dt35192.168.3.2/24工程一DT35、36shbenet-dt36192.168.3.3/24工程二DT37shbenet-dt37192.168.3.4/24工程三DT38shbenet-dt38192.168.3.5/24工程四DT39shbenet-dt39192.168.3.6/24工程五DT40shbenet-dt40192.168.3.7/24综述所有员工使用的计算机配置各种客户端角色，包括域客户机、文件服务客户机、打印服务客户机、代理服务客户机、防病毒客户机、Linux客户机。客户端计算机除Linux客户机外其他都安装好操作系统后加入域，相应的计算机帐户放置在对应部门的组织单位中，然后添加用户使用的打印机并设置相应的36、优先级。各员工以自己本部门的打印机为默认打印机。在每台客户机上为员工映射网络驱动器，将共享文件夹filesvrshare映射为本地驱动器，完成所有的配置。客户机属于域的成员，可以查询和使用域中的网络资源，可以访问和使用共享文件夹及打印机，并能通过代理服务器上网可上传网页和访问网页，在FTP上传和下载资料，同时实现病毒码自动分发与更新和及时扫描功能。三、设备需求分析综合考虑综合考虑用户需求并符合经济性、适用性原则，6台服务器主要配置如下： CPU：P4-2.0GHz 内存：1GB 硬盘：80GB 网卡：Realtek RTL8139Family PCI Fast Ethernet NIC客户机配37、置如下： CPU：P4-1.7GHz 内存：512MB 硬盘：80GB 网卡：Realtek RTL8139Family PCI Fast Ethernet NIC2.3.3安全策略的分析与设计整个公司采用统一的安全策略，安全策略在域级别设置，将会对公司域中所有的用户和计算机生效。使用域安全策略，可以简单方便地完成整个网络的安全策略设置，不需要对每个用户进行单独设置，大大地降低了网络的管理成本。根据公司需要，在域安全策略中设置如下的策略。1、 密码和帐户策略 启用密码必须符合复杂性要求 密码长度最小值为7 密码最长存留期为30天 帐户锁定策略 帐户锁定阀值为5次无效等录2、 审核策略 启用审核38、登录事件 启用审核对象访问启用设置的密码策略后，公司所有员工必须使用复杂的密码，并且密码最少不能少于7个字符，每个密码最多使用30天，员工需要在期限内修改密码，充分地保证了用户帐户和密码的安全。帐户锁定策略的启用可以避免非法用户盗用其他用户帐户，员工每次登录时，如果连续5次输入错误的密码，帐户将被锁定，即使密码正确，在一段时间内也无法登陆，避免了非法用户或非法程序多次攻击用户帐户。 公司利用审核策略对用户的登陆事件的成功和失败进行记录，用于检查是否有过多的非法登陆尝试。在文件服务器上对关键文件及文件夹的访问做审核并记录进日志。2.4网络设备清单序号设备产品型号单位数量1交换机Cisco 29539、0-48-IS台22路由器Cisco 2650XM台13服务器台64客户机台385打印机HP LaserJet 1022台1HP Photosmart D5368(Q8361D)台1HP LaserJet P1008(CC366A)台36网线双绞线箱147水晶头RJ45盒48配线架(24口)清华同方 CP20024个49信息模块清华同方 CF8601个84第3章 网络安全系统设计3.1网络安全建设原则1、一体化设计原则：必须分析信息网络的层次关系，遵循先进的安全理念，提出科学的安全体系和安全框架，并根据安全体系分析存在的各种安全风险，从而最大限度解决可能存在的安全问题。2、可控性原则：采取的技40、术手段需要达到安全可控的目的，技术解决方案涉及的工程实施应具有可控性。3、系统性、均衡性、综合性设计原则：从全系统出发，综合考虑各种安全风险，采取相应的安全措施，并根据风险的大小，采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。4、可行性、可靠性原则：必须保证在采用安全系统之后，不会对网络扩展和应用系统有大的影响。在保证网络和应用系统正常运转的前提下，提供最优安全保障。5、标准性原则：方案的设计、实施以及产品的选择以相关国际国家安全管理、安全控制、安全规程为参考依据。6、投资保护原则：对安全设备进行有效的利用，保护已有投资。3.2络安全技术解决方案在服务器组中任选服务器让其作为41、防病毒服务器，利用Smantec AntiVirus企业版的防病毒软件，可以为企业范围内的工作站和网络服务器提供可伸缩的跨平台的病毒防护，通过Symantec系统中心管理控制台为工作站和网络服务器集中部署病毒定义和产品更新。第一，需要安装一组模块在所选的病毒服务器上（Symantec AntiVirus企业版服务器、Symantec系统中心、管理单元、Symantec系统中心控制台附件）；第二，安装Symantec AntiVirus企业版到客户端；第三，管理Symantec AntiVirus网络防病毒系统（应用策略到服务器和客户端，设置病毒定义更新，配置实时扫描）。由于Symantec A42、nriVirus企业版的防病毒软件对系统要求比较低，现有服务器和客户端都能满足要求，所以可以自由定义现有的服务器为一服务器组，来实现防病毒服务器端的管理。第4章 主要产品资料介绍4.1 Cisco Catalyst 2950系列交换机固定安装的线速快速以太网桌面交换机Cisco Catalyst 2950系列，可以为局域网（LAN）提供极佳的性能和功能。这些独立的、10/100自适应交换机能够提供增强的服务质量（QoS）和组播管理特性，所有的这些都由易用、基于Web的Cisco集群管理套件（CMS）和集成Cisco IOS软件来进行管理。带有10/100/1000 BaseT上行链路的Cisc43、o Catalyst 2950 铜线千兆位，可为中等规模的公司和企业分支机构办公室提供理想的解决方案，以使他们能够利用现有的5类铜线从快速以太网升级到更高性能的千兆位以太网主干。 Catalyst 2950系列包括Catalyst 2950T-24、2950-24、2950-12和2950C-24交换机。Catalyst 2950-24交换机有24个10/100端口；2950-12有12个10/100端口；2950T-24有24个10/100端口和2个固定10/100/1000 BaseT上行链路端口； 2950C-24有24个10/100端口和2个固定100 BaseFX上行链路端口。每个交44、换机占用一个机柜单元（RU），这样它们方便地配置到桌面和安装在配线间内。增强的安全性、管理和集成的Cisco IOS特性Cisco Catalyst 2950系列交换机有几个不寻常的特点来提高网络性能、可管理性和安全性。网络管理员可以为每个交换机配置最多64个虚拟LAN（VLAN）来获得更高水平的数据安全性和增强的LAN性能。这就保证了数据包只传送到特定VLAN内的工作站，这样相当于在网络上的各组端口之间建立了一个虚拟防火墙，从而减少了广播传输。VLAN主干可以利用标准的802.1Q VLAN主干结构从任何端口创建。每个VLAN生成树（PVST+）允许用户建立冗余的上行链路，通过多重链路分配流45、量负载。而这些都是通过标准的生成树协议（STP）无法实现的。另外，Cisco的 Uplink Fast（快速上行链路）技术也保证了可以立即传输到辅助上行链路，远优于传统的30到60秒汇集时间。这也是对STP的另一项增强功能。使用Catalyst 2950交换机，网络管理员可以实现高水平的端口和控制台安全性能。介质访问控制（MAC）基于地址的端口级安全性可以防止未授权的工作站访问交换机。另外，还可以创建静态和动态地址的访问权限，为管理员提供对网络访问的强大控制能力。交换机控制台的多层访问安全性可防止未授权的用户访问或更改交换机配置；终端访问控制器访问控制系统（TACACS+）验证可集中协调大量网46、络设备的访问控制。特性和关键优点优异的性能 各个端口包括千兆位端口的线速、无阻塞性能。 8.8Gbps交换结构和最大660万包/秒的传输速率，能够保证最大的吞吐量即使对最高性能需求的应用而言也是如此。 12-或24个10BaseT/100BaseTX自适应端口，每个可为单个用户、服务器、工作组提供最大200Mbps的带宽，完全可以支持对带宽需求苛刻的应用。 Catalyst 2950T-24有两个内置的千兆位以太网（100BaseT）端口，可利用现有的5类电缆结构为千兆位以太网主干、千兆位以太网服务器或交换机之间，提供最大4Gbps的汇集带宽和最远100米的距离。 Catalyst 2950-47、24交换机有两个多模（100BaseFX）光纤上行链路，在最远2公里的距离上可提供高达200Mbps的带宽。 8MB共享内存结构由于使用了消除包头阻塞以及最大可能减少包丢失的设计，所以可以在组播和广播流量很大的情况下，提供更佳的整体性能，同时保证最大可能的吞吐量。 16MB的DRAM和8MB的板上闪存可以为未来升级提供便利，做到最大限度地保护用户投资。 利用快速以太通道和千兆位以太通道技术的带宽汇集可提高容错性能，并在交换机、路由器和各服务器之间提供最大4Gbps的汇集带宽。 每个端口使用基于802.1Q标准的VLAN主干；每个交换机带有64个VLAN，附有64个生成树（PVST+）的实例。 48、支持硬件IGMP侦听的超级组播管理能力。 支持VMPS功能（计划将来使用）的动态VLAN。 VTP修剪（计划将来使用）。 QoS 支持基于802.1p CoS值或网络管理员为每个端口指定的缺省CoS值来对数据帧进行重新分类。 在硬件上，每个输出端口支持四个队列。 WRR队列算法确保低优先级端口不会被忽视。 严格的优先权安排配置保证诸如语音等时间敏感的应用能够在交换结构中一直使用快速路径。 易于使用和易于安装 Cisco CMS允许网络管理员通过一个单独的IP地址，使用任何标准的Web浏览器管理最多16个互连的Catalyst 2950、3550-12T、3500 XL、2900 XL和190049、交换机，不论它们位于什么地方。也就是说，交换机不用位于同一个配线间内。 全面的后向兼容性保证所有Catalyst 3500 XL、Catalyst 2900 XL或Catalyst 1900交换机可以利用Cisco CMS同Catalyst 2950一起进行管理。 集群软件升级特性可使用户在一组Catalyst 3550-12T、Catalyst 2950、Catalyst 3500 XL和Catalyst 2900 XL交换机上自动升级系统软件。 每个端口的自适应功能检测连接设备的速度并自动对端口进行配置，选择10-、100-或1000-Mbps速率工作，这样，在10-、100-、1000-50、BaseT的混合环境中可很方便地进行交换机的配置。 协调所有端口工作，自动选择半双工或全双工的传输模式以优化带宽分配。 闪存中的缺省配置可以保证交换机快速连通网络，从而在用户最小干预的情况下传输数据流量。 集成的Cisco IOS交换解决方案 通过快速以太通道和千兆以太通道技术实现的带宽汇集，可以增强了容错能力并可提供最大4Gbps的带宽。 每个端口的广播风暴控制能力可预防故障终端工作站利用广播风暴降低系统的总体性能。 支持命令行界面（CLI），可为用户提供Catalyst 交换机和Cisco路由器通用的界面和命令集。 Cisco发现协议（CDP）可使CiscoWorks网络管理工作站在网络拓51、朴中自动发现交换机。 超级管理能力 Cisco CMS允许网络管理员通过单个的IP地址和任何标准的浏览器，管理最多可达16个互连的Catalyst 2950、3550-12T、3500 XL、2900 XL和1900交换机，不论它们位于什么地方。也就是说，交换机不用放置在同一配线间内。 交换机集群软件升级可使网络管理员通过简单易用的Cisco CMS界面或一个单独的CLI命令，升级最多可达16个交换机的系统软件。 简单网络管理协议（SNMP）和Telnet界面可提供综合的带内管理能力，同时，基于CLI的管理控制台可提供详尽的带外管理能力。 以每个端口和每个交换机为基础的CiscoWorks W52、indows网络管理软件能够提供有效的管理能力，可为Cisco路由器、交换机和集线器提供通用的管理界面。 内置远程监视（RMON）软件代理程序支持四种RMON组（历史、统计、告警、事件），增强了流量管理、监视和分析能力。 交换机端口分析（SPAN）端口利用一个网络分析仪或RMON探测器监视单个端口的流量 自动配置通过使用一个网络根服务器对网络中的多个交换机进行自动安装配置，从而简化了交换机的配置工作。 域名服务（DNS）利用用户定义的设备名称进行IP地址解析。 小文件传输协议（TFTP）减少了管理软件的成本，这些软件可由一个集中的位置进行下载升级。 网络定时协议（NTP）为intranet内的53、所有交换机提供了一个精确和稳定的时间标准。 生成树根保护（STRG）可预防边缘设备脱离网络管理员的控制，成为一个STP根结点。 每个端口配备的状态、全双工/半双工、10BaseT/100BaseTX/1000BaseT多功能LED指示，同系统、RPS和带宽使用LED一起，组成了综合和方便的可视化管理系统。 安全性和冗余性 支持IEEE 802.1x（计划将来使用）。 Cisco快速上行链路技术保证快速的故障恢复（典型值小于3秒），使网络的综合性能更加稳定和可靠。 专用VLAN边缘为交换机的端口间提供安全性和隔离性，同时保证语音流量从进入点通过虚拟通道直接传输到汇集设备，而不会被定位到其它无关端54、口。 基于MAC的端口级安全性可以防止未授权的工作站访问交换机。 用户选择的地址学习模式简化了配置，增强了安全性。 IEEE 802.1D STP对冗余主干连接和无环路网络的支持简化了网络配置过程，提高了容错能力。 支持Cisco冗余电源系统300（RPS300），配有最多可达6个单元的内置备份电源，提高了容错能力和网络正常工作时间。 控制台访问的多级安全性可以防止未授权的用户修改交换机配置。 支持TACACS+验证对交换机的集中控制，防止未授权的用户更改配置。4.2 Cisco 2600系列路由器思科利用Cisco 2600系列模块化接入路由器将大型企业/供应商级多功能性、集成和功能拓展到了55、分支机构。目前2600系列产品在全球的安装数量已经超过150万台。这个广受欢迎的系列可以通过一个外型紧凑的单一设备解决方案，为网络管理人员和服务供应商提供出色的灵活性和投资保护。Cisco 2600XM产品和技术领先的Cisco 2691是该系列中的最新成员。它们可以提供更高的灵活性、性能、内存容量和服务密度，以满足分支机构现在和未来的需求。优势集成化的灵活路由和低密度交换通过支持一个可选的16端口10/100 EtherSwitch网络模块，分支机构可以在一个设备中集成路由和交换功能，从而获得较高的灵活性和较低的端口密度。这种解决方案可以通过一个第二层设备，在各个台式机、服务器和其他网络资源56、之间提供高速的连接，并且可以在路由器的第三层建立WAN连接。一个可选的外置电源可以为IP电话和Cisco Aironet 802.11基站供电。多功能性/投资保护数千个可以现场升级的、可定制的解决方案确保了用户可以方便地进行移植，以适应未来的网络需要。Cisco 1700、3600和3700系列产品之间可以共用五十多种WAN接口卡（WIC）和网络模块（NM）。高级集成模块（AIM）插槽可以为集成高级服务提供足够的扩展能力。这些高级服务包括硬件辅助的数据压缩、加密、语音和ATM。虚拟专用网/安全可以提供先进的隧道功能，包括L2F和L2TP，基于标准的、由硬件支持的IPSec加密，思科IOS防火墙57、功能集，以及多种WAN和拨号接口，适用于VPN接入点和家庭网关。多服务语音/数据网络可以利用与电话、传真、键控系统、PBX和PSTN交换机的模拟和数字连接，同时支持60个呼叫。可以降低或者消除分支机构间的电话费用。可以利用思科IOS服务质量（QoS）功能，例如WFQ、CAR、RSVP、定制和优先级队列，将语音流量数字化，并打包为帧中继格式或者IP分组，再与数据流量整合，从而将多服务基础设施拓展到分支机构。企业级DSL连接新的WIC-ADSL和WIC-1SHDSL可以为分支机构和地方办事处提供企业级宽带服务，以及可扩展的性能、灵活性和安全。Cisco 2600系列可以通过一个安全的、高性能的模块58、化平台为多种需要高速企业级DSL连接的企业提供完美的解决方案。传输能力具有高速路由性能，每秒最多可以收发7万个分组，从而可以最大限度地提高可扩展性，以支持更多的并发服务。互操作性/多协议支持可以提供一组全面的协议和服务，包括虚拟专用网、防火墙保护、加密、WAN优化和经过改进的多媒体支持功能。4.3设备清单及报价序号设备产品型号单位数量单价金额备注1交换机Cisco 2950-48-SI台2￥11600.00￥23200.002路由器Cisco 2650XM台1￥35000.00￥35000.00高性能10/100MB以太网路由器3服务器台6￥6000.00￥36000.004客户机台38￥3459、00.00￥140600.005打印机HP LaserJet 1022台1￥1800.00￥1800.00HP Photosmart D5368(Q8361D)台1￥850.00￥850.00HP LaserJet P1008(CC366A)台3￥1250.00￥3750.006超五类双绞线清华同方 CC61004箱14￥920.00￥12880.007水晶头RJ45盒4￥150.00￥600.008配线架(24口)清华同方 CP20024块4￥580.00￥2320.009信息模块清华同方 CF8601个84￥8.00￥672.001042U机柜金盾 Ja6642个1￥2,800.00￥2,800.0011布线辅助材料费批1￥4,000.00￥4,000.00其他12布线劳务费批1￥7,000.00￥7,000.0013其他劳务费￥20000.00￥20000.0014其他费用￥20000.00￥20000.00总计￥311472.00工程总报价合计:￥312000.00