某印刷公司网络工程项目设计施工方案.doc

I WANT PSV集团有限公司集团网络设计方案方案设计人：院 系 ： 班 级 ： 年 级 ： 学 号 ：目 录一、前言- 1 -1.1集团综合信息系统- 1 -1.2具体用户需求- 1 -1.3集团综合信息系统建设原则- 2 -二、网络设计方案- 3 -2.1 网络设计需求- 3 -2.2 网络运营商选取- 3 -2.3 总体方案设计策略- 4 -2.4 I WANT PSV集团网络结构拓扑图- 5 -2.5 网络设备选型- 5 -2.6主干网络技术选型- 7 -2.7路由交换部分的设计- 8 -2.8网络安全设计- 9 -2.9总公司内网IDC机房规划- 11 -三、公司业务服务分析- 13 - 14 -一、 前言“功欲善其事，必先利其器”，I WANT PSV集团深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统，已迫在眉睫，I WANT PSV公司作为一个致力于企业信息化和系统集成的高科技公司非常荣幸参与I WANT PSV集团综合网络信息系统的建设，希望能尽自己的全力来施展我们的专长来实现I WANT PSV集团网络信息系统的建设。 1.1集团综合信息系统I WANT PSV集团信息系统主要建设一个企业信息系统，它以管理信息为主体，连接生产、销售、维护、运营子系统，是一个面向集团的日常业务、立足生产、面向社会，辅助领导决策的计算机信息网络系统。 本期项目的目标是建立如下系统： 1构造一个既能覆盖总公司又能与外界、子公司进行网络互通、共享信息、展示企业的计算机企业网。 2选用技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用结构容错的方法。3具有较好的可扩展性，为今后的网络扩容作好准备 。 4采用OA办公，做到集数据、图像、声音三位一体，提高企业管理效率、降低企业信息传递成本 5整个公司计划采用100M光纤接入到运营商提供的Internet。每日17点前必须完成当日的订单数据床送，数据容量大约在10G以上。集团统一一个出口，便于控制网络安全 6设备选型上必须在技术上具有先进性，通用性，且必须便于管理，维护。应具备未来良好的可扩展性，可升级性，保护公司的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品，同时也要有好的售后服务 。1.2具体用户需求具体用户需求：1网络设备配置 配备网络交换设备，实现楼宇间的千兆光纤连接，保证未来各应用系统的实施以及满足集团各种计算机应用系统的大信息量的传输。 2 网管系统设计提供可以对整个网络系统进行管理的中文图形界面工具，使系统维护人员可以集中控制网络的所有设备。 3 内、外网隔离过硬盘隔离卡及双布线系统、双网络设备实现办公内网与外网隔离。 1.3集团综合信息系统建设原则集团综合信息系统建设原则集团综合信息系统建设原则集团综合信息系统建设原则多业务网络系统方案以实现以上功能为基本要求，在设计上力求做到既要采用国际上先进的技术，又要保证系统的安全可靠性和实用性。具体来讲，其设计遵循以下原则： 1.3.1先进性系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术，符合国际标准和规范； 1.3.2标准性所采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。 全面支持IEEE工业标准：802.1d，802.1p，802.1q，802.1x，802.3，802.3u，802.3z；支持路由协议：IP 的RIP V1/2，OSPF，BGP-4；信令标准：H.323,RTP/CRTP. 支持：IPsec、L2TP、GRE、MPLS-VPN规范。 支持多址广播协议：IGMP，DVMRP，PIM-DM，PIM-SM； 网络管理协议：SNMP，RMON，RMON2； 1.3.3可升级和可扩展性随着技术不断发展，新的标准和功能不断增加，网络设备必须可以通过网络进行升级，以提供更先进、更多的功能。在网络建成后，随着应用和用户的增加，核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择，以方便未来更灵活的扩展。 1.3.4安全性 网络的安全性对网络设计是非常重要的，合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问，灵活的实施网络的安全控制策略。在企业核心区网络中，关键应用服务器、核心网络设备，只有系统管理人员才有操作、控制的权力。应用在子公司客户端只有访问共享资源的权限，网络应该能够阻止任何的非法操作。在核心区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模核心区网络的设计上，划分虚拟子网，一方面可以有效的隔离子网内的大量广播，另一方面隔离网络子网间的通讯，控制了资源的访问权限，提高了网络的安全。在设计核心区网的原则上必须强调网络安全控制能力，使网络可以任意连接，又可以从第二层、第三层控制网络的访问。 二、 网络设计方案2.1 网络设计需求三个分公司有两个分公司在武汉I WANT PSV集团子公司办公大楼内面，另外一个子公司在上海注册的写字楼内，做海外业务服务。对于有特殊要求的订单和发货地区在总公司覆盖区域内，提交订单信息给总公司后，有总公司接受接下来的订单服务，各子公司部门结构：这三个分公司都有各自的微机室（10人），财务部（20人），行政部（20人），研发部（30人），后勤部（10人），业务部（80人），人力资源部（10人），在有需要完成订单的印刷和制作过程的子公司和总公司，再设立生产部（100人）。总公司行政划分也是如此， 人数比例大致类似三个分公司。在公司内部可以通过特定的网络访问权限，访问总公司和子公司的业务数据信息。针对不同部门的员工，发放不同的权限。要求公司内部每个通网的地方，都可通过核心机房进行监控。2.2 网络运营商选取网络运营商有主要负责南方固网和固话的电信和主要负责北方固网和固话的网通以及由铁道部当初为自己各车站之间数据共享而建的一般只在铁路沿线的光缆，之后各铁路沿线城市以铁道部的光缆为主干线接入，形成的铁通。中国电信，网络覆盖最全面的一家，全网升级之后，可以达到下行9.3Mbps、上行5.4Mbps的速率。目前主要经营国内、国际各类固定电信网络设施，包括本地无线环路；基于电信网络的语音 、数据、图象及多媒体通信与信息服务；经营与通讯及信息业务相关的系统集成、技术开发、技术服务、信息咨询、广告、出版、设备生产销售和进出口、设计施工等业务；因公司的日数据传输量在10G的大小，而且要在17点前上传到总公司，符合电信提供的服务特性。所以选择电信作为本公司的网络运营商。2.3 总体方案设计策略降低各个子公司之间的网络关联度将各个子公司之间的网络的关联度降低到最低的策略，可以最大限度的减少各个子公司网络之间的相互影响，便于分别管理，或者在不同子公司扩展网络的新应用。 统一标准，统一网络统一的IP应用标准（IP地址，路由协议），安全标准， 接入标准和网络管理平台，才能实现真正的统一管理，便于集团的管理和网络策略的实施。 VPNVPN子公司1子公司2VPN上海子公司北京总公司核心机房2.4 I WANT PSV集团网络结构拓扑图2.4.1 集团网络线路说明I WANT PSV集团预选的接入运营商为中国电信，因集团业务范围宽广、子公司跨越不同省市，所以在总公司和子公司内部分别完成内部网络的互通，在接入层，可根据设备类型和网络通信需求选用双绞线或光纤。在汇聚层都通过光纤连接，达到统一、方便管理。在核心层通过核心路由器接入中国电信的网路线路接入internet，使用电信提供的VPN接点到达总公司的核心路由器上。2.5 网络设备选型2.5.1选型原则我们在网络系统设计时考虑如下特点：稳定可靠的网络 只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物理层、数据链路层和网络层的备份技术。 高带宽 为了支持订单数据、WEB、ERP的传输能力，在技术上要到达当前的国际先进水平。要采用最先进的网络技术，以适应大量数据和信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。 2.5.2核心层设备由于I WANT PSV集团核心区网网络发展规模较大，未来需提供多媒体办公、办公自动化、远程互联、视频会议等复杂的网络应用，为便于管理，我们建议选用的交换机作为网络组建交换设备。选用1台Cisco6509交换机作为主干交换机实现1000M做主干100M到桌面的需求。Cisco6509系列交换机支持堆叠技术，将来扩充端口极为灵活方便，不必改变原有网络的任何配置。通过增加堆叠交换机数量或做Port Trunking(端口干路)两种办法均可扩充网络规模；并且实现了本地化交换，改善了整个网络，使整个网络的性能发生了质的变化。选用千兆光纤模块，与主干上联，实现主干的千兆传输。Cisco6509系列交换机支持网管和堆叠，可以很容易地根据需要，通过堆叠扩充端口数量。另外，Cisco6509系列交换机建立在一个功能强大且绝对无阻塞的32G交换背板上，可以保证堆叠中的所有端口间实现无阻塞的线速交换。 此外，Cisco6509交换机，在安装千兆光纤模块的同时，还可以安装百兆光纤模块，完全可以适应现在或将来的楼内光纤布线，灵活性很强。由于Cisco6509卓越的性能，将其安放在总公司的核心机房中。作为主要的与子公司连接的设备和Internet接入。2.5.3汇聚层设备考虑到集团要求每个子公司的网络自成体系，单个子公司的局域网广播数据流只能通过总公司的核心区才能到全网，单个子公司的网络故障不应该扩展到全网，汇聚层交换机也应该采用具有路由功能的多层交换机，以达到网络隔离和分段的目的。子公司的主交换机负责子公司内部的网络数据交换和I WANT PSV集团核心区网的其他路由。汇聚层设备选择CISCO公司的Catalyst3550系列的交换机，每个子公司的主交换机选择WS-C3550-48-EMI交换机。Catalyst3550交换机智能以太网交换机是一个新型的可堆叠的，多层次级交换机系列，可以提高水平的可用性，可扩展性，服务质量（QoS）,安全性和可改进网络运营的管理能力，从而提高网络的运行效率。2.5.4接入层交换机接入层交换机放置于楼层的设备间，用于终端用户的接入。应该能够提供高密度的接入，对环境的适应能力强，运行稳定。 楼层接入设备选择CISCO公司的WS-C2950-48-EI智能以太网交换机。WS-C2950-48-EI交换机属于Catalyst2950系列智能交换机。Catalyst2950系列是固定的配置，可堆叠的独立设备系列，提供了线速快速以太网和千兆位以太网连接。Catalyst2950系列是有款最廉价的CISCO交换机产品系列，为中型网络和城域接入应用边缘提供了智能服务，可以为局域网提供极佳的性能和功能。10/100自适应交换机能够提供增强的服务质量（QoS）和组播管理特性，所有的这些都由易用，基于WEB的CISCO集群管理套件（CMS），和集成CISCOIOS软件来进行管理。带有100BASE上行链路的Catalyst2950交换机，可为中等规模的公司和企业分支机构 办公室提供理想的解决方案，以使他们能够拥有更高性能的千兆以太网主干。WS-C2950-48-E交换机，有48个10/100端口，2个基于千兆接口转换器（GBIC）的1000BaseX端口，能够为用户提供千兆的光纤骨干和高密度度的接入端口；具有高达13.6Gbps的背板带宽，能够提供10.1Mpps的转发速率；增强型的IOS，能够支持250个VLAN，提供安全，QoS，管理等各方面的智能交换服务。2.5.5 网络设备统计表总公司与三个子公司的在网络通信方面要求相近，在购买设备时可以按照相同的规格购买。设备位置设备名称型号配置单价(元)数量总计数据中心核心交换机Cisco6509:48个10/100/1000M自适应电口、4个千兆光口、一个Console口65000465000汇聚交换机Catalyst3550:48电口10/100/1000M自适应2多模LC光口29240429240防火墙思科PIX-515E-UR-BUN机箱，无限制软件，2个10/100M以太网口，VPN加速卡90935190935路由器CISCO2610XM:1个10/100M端口，一个NM插槽，2个WIC插槽1个AIM插槽19454419454总计5337112.6主干网络技术选型在I WANT PSV集团核心区网络的建设中，主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择适合I WANT PSV集团园区网网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来向更新技术平滑过渡，保护用户的投资。 根据集团工作和用户要求，我们主干网络可选用千兆以太网技术目前流行的局域网、城域网技术主要包括以太网、快速以太网、ATM（异步传输模式）、FDDI、CDDI、千兆以太网等。在这些技术中，千兆以太网以其在局域网领域中支持高带宽、多传输介质、多种服务、保证QoS等特点正逐渐占据主流位置。 2.7路由交换部分的设计为了使I WANT PSV集团园区网高效、稳定的运行，便于管理与维护，对局域网交换和路由技术的相关方面进行了规范设计，包括VTP、VLAN、STP、TRUNK、ETHERCHANNEL，HSRP，VPN等。每一台都连接所有的汇聚层交换机，但相互之间并不连接（提高网络的故障收敛速度）。作为二层的核心，只保证数据的高速转发。网络的可靠性由汇聚层的路由协议提供保证。以下说明信息是以总公司的网络设备为基础建设的，鉴于子公司的网络搭建方案与总公司的相近。所以以下说明信息可以适当的做出修改，应用在子公司的网络信息配置中。2.7.1VLAN设计规范I WANT PSV集团内的局域网进行VLAN划分,可以减少网络内的广播数据包,提高网络运行效率;可以区分不同的应用和用户,方便集团的管理与维护. 建议每公司办事处内的局域网划分8个VLAN.应用类1指XX集团的OA类应用.2.7.2 IP地址分配方案IPv4的地址结构，各个位的使用规划：IP地址分配表：根据以上的规定，集体的地址分配表如图下：机构地址空间用途总公司10.0.0.0/8集团全部地址空间10.16.0.0/13总公司全部地址空间10.16.64.0/17总公司网管类全部地址10.16.128.0/17总公司互连类全部地址10.16.196.0/17总公司应用类全部地址10.17.0.0/17总公司英特网全部地址10.16.196.0/21总公司应用类1微机室工作人员的地址空间10.16.200.0/21总公司应用类1财务部工作人员的地址空间10.16.204.0/21总公司应用类1行政部工作人员的地址空间10.16.208.0/21总公司应用类1研发部工作人员的地址空间10.16.212.0/21总公司应用类1人力资源部工作人员的地址空间10.16.216.0/21总公司应用类1后勤部工作人员的地址空间10.16.220.0/21总公司应用类1微业务部工作人员的地址空间10.16.224.0/21总公司应用类1生产部室工作人员的地址空间 2.8网络安全设计IWANT PSV 集团是在全国几个大省设立了分公司，网络规模比较大，并且和因特网存在连接。为了保障网络系统的运行安全，保护集团的信息安全，必须进行网络安全方面的规划和实施。一个网络的安全，首先要有严格和有效执行的管理制度。建议I WANT PSV 集团制定严格的网络安全管理策略，并有效的执行。其次，必须具有一定的技术手段来保障网络的安全。技术和管理手段相结合实施，才能够产生良好的效果。 通过以下几个技术方面的实施，可以在一定程度上保障网络的安全： 提高设备的物理安全性 配置设备的口令 进行VTP域的认证 园区网用户的接入控制 应用系统的访问控制 因特网的接入安全控制 提高设备的物理安全性设备的物理安全性是指运行中的设备，未经授权的人员不能直接接触到。提高设备的物理安全性，是最基本的要求。通过将设备安置在独立的设备间中，并增加门禁系统，确保只有授权的管理和维护人员才能接触到物理设备。 配置设备的口令 配置设备的口令，是防止非授权的人员更改网络系统的配置的重要手段。 要为所有的设备设置口令。要为每一台设备配置CONSOL口令，AUX口令，VTY口令，特权口令等. 在口令方面，需要制定管理制度并严格执行。口令管理制度包括口令的设置，保管，更改，口令的强度等内容。 进行VTP域的认证 进行VTP域的认证，能够保证局域网的VLAN等的安全。设置了口令之后，除非交换机设置了正确的口令，否则。新交换机不能自动加入到已存在的管理域中。保证了局域网的运行安全，可以避免因为VLAN被错误或者恶意的增加。删除造成的运行事故。 园区用户的接入控制 因为一般的安全措施都不是针对网络呢的用户的，严格控制用户的接入，可以避免非法用户接入带来的潜在的安全隐患。园区网系统建设验收完毕之后，确保交换机的所有用户端口处于关闭状态。只有用户使用申请通过批准之后网络管理员才能将端口激活。 应用系统的访问限制 可以 根据XX集团的应用需求，在汇聚层的多层交换机上实施访问控制，限制园区网用户对特定应用系统的访问，或者只允许特定的用户访问某些资源。 因特网的接入安全控制 因特网的接入安全控制是非常重要的，不仅需要布置防火墙等安全设备，还要指定严格的安全策略。2.9总公司内网IDC机房规划在总公司提供应刷业务服务、内部办公业务、3W服务、DNS、Email、ERP等多种商务信息服务。2.9.1机房基础环境规划机房选址选择合适的地点进行机房建设是 IDC 机房基础建设的基本条件。 这里我们提出选址中必须注意的 10 个方面供用户参考。使用面积达到规划的要求，建筑物内部由扩展空间，避免附近存在较强的电磁干扰源，所在建筑物本身及周围无安全隐患，便于光纤的接入，足够的电力容量及用电安全性，楼板承重满足功能需要，楼层净高符合使用要求，专业空调系统室外机能有合理的摆放位置，能提供满足技术要求的发电机房及油库。根据数据中心功能以及消防安全考虑， 数据中心机房将分成 如下图部分，中间采用防火玻璃隔墙。保障机房设备正常运行，过对机房环境支撑系统、监控设备、计算机主机设备定期检测、维护和保养，保障机房设备运行稳定，通过保养延长设备生命周期，降低故障率。确保机房在突发事故导致硬件设备故障，影响机房正常运作情况下，可及时得到设备供应商或机房服务维护人员的产品维修和技术支持，并快速解决故障。2.9.1具体维护方法：1、机房除尘及环境要求：定期对设备进行除尘处理，清理，调整安保摄像头清晰度，防止由于机器运转、静电等因素将尘土吸入监控设备内部。同时检查机房通风、散热、净尘、供电、架空防静电地板等设施。机房室内温度应控制在+5+35，相对湿度应控制在10%80%。 2、机房空调及新风维护：检查空调运行是否正常，换风设备运转是否正常。从视镜观察制冷剂液面，看是否缺少制冷剂。检查空调压缩机高、低压保护开关、干燥过滤器及其他附件。 3、消防设备维护：检查火警探测器、手动报警按钮、火灾警报装置外观及试验报警功能；检查火灾警报控制器的自检、消音、复位功能及主备用电源切换功能。 4、电路及照明电路维护：镇流器、灯管及时更换，开关更换；线头氧化处理，标签巡查更换；供电线路绝缘检