哈尔滨北方公司办公局域网规划与设计.doc

哈尔滨北方公司办公局域网规划与设计 内容摘要随着办公信息化、自动化的需求，各单位为提高办公效率，促进信息交流，适应现代化办公的要求，需要组建办公局域网。组建办公局域网所涉及的方方面面很多，该文先阐述局域网的理论和现状，用一个具体的实例来说明如何规划和设计小型企业网：首先根据具体要求进行分析，接着阐述办公局域网的原理、设计和规划原则，然后设计哈尔滨北方公司的星型网络拓扑结构，并根据需要划分出核心层、汇聚层和接入层，对网络各节点流量分析计算、布线，以及三层网络设备选型、VLAN的划分、IP地址的设计，最后统计出工程总预算等。接下来就如何规划和设计企业局域网进行浅述。关键字：局域网规划、局域网设计、拓扑结构、网络设备选型 目 录一、局域网概述5（一）、办公网络的要求51办公网络的设计目标52办公局域网的设计要求5（二）、项目分析：61、拓扑结构需求分析62、数据传输需求分析63、发展需求分析64、性能需求分析65、地理布局分析：76、通信类型：77、总投资分析7二、局域网技术现状分析与分类7（一）、网络类型7（二）、按传输介质分类8（三）、按拓扑结构分类81、总线型拓扑结构82、星型拓扑结构93、环型拓扑结构94、蜂窝拓扑结构9（四）、局域网的发展趋势9三、办公网络的规划设计10(一)、网络拓扑的设计10（二）、企业局域网的带宽需求：11（三）、企业网络的一般结构131、核心层132、汇聚层133、接入层13（四）、企业综合布线设计原则14（五）、网络中心机房规划与设计15（六）、网络设备的选型15（七）、网络操作系统与应用软件的选型17四、哈尔滨北方公司的网络设计实例18（一）、宽带需求18（二）、详细配置18（三）、设备选型201、网络核心层的设计与设备选型202、网络汇聚层的设计与设备选型213、网络接入层的设计与设备选型22（四）、虚拟网VLAN的设计221、设置VTP DOMAIN232、配置中继243、创建VLAN254、将交换机端口划入VLAN255、IP 地址分配26五、哈尔滨北方公司网络方案投资28（一）、布线系统材料产品清单及报价单28（二）、网络设备报价表28六. 总结29哈尔滨北方公司办公局域网规划与设计项目背景哈尔滨北方公司是一家生产型大型企业，拥有正式员工300多百名，车间工人200人左右。公司内主要建筑物有办公楼、综合楼、加工车间、仓库、职工宿舍等，现有约200个信息点。目前该公司采用下行5M、上行2M 宽带的宽带接入互联网，公司采用普通交换机作为主要网络连接设备，带宽低，速度慢，没有自己的数据服务器，网络拓扑结构简单，车间和办公各网相隔较远，不能联网，更不能互通。随着公司人员与规模不断扩张，随着办公信息化、自动化的需求，该公司需要组建一个完善的企业办公局域网。根据与公司有关领导、技术人员的交流情况我得到网络需求如下：（一）局域网达到的功能1. 信息的共享。2. 公司各部门数据信息共享。3. 各个建筑物要求极高的网速上网。4. 建立公司自己的网站服务器和数据中心。5. 要求各个部门之间信息保密，有VLAN。6. 支持将来的VOD视频点播系统、视频会议，局域网带宽高。（二）公司办公网主干和信息点需求及分布拟建的公司办公网主要涉及四幢建筑物：办公楼、综合楼、宿舍楼、加工车间（仓库和车间是一座）。这四幢建筑物之间拟通过光缆连接。办公网中心拟设在办公楼，规划信息点要求再现有基础上增加220个即达到420个，并可以拓展到800个以上。办公楼：200个综合楼：150个宿舍楼：50个车 间：20个（三）投资预算要求投资在20万元以内，包括局域网设计（可利用原有宽带设备），交换机设备，综合布线等。一、局域网概述（一）、办公网络的要求1办公网络的设计目标办公局域网的最终目标是建设覆盖整个单位的互联、统一、高效、实用、安全的局域网络，近期可支持上百个，远期至少可支持上千个并发用户，提供广泛的资源共享（包括硬件、软件和信息资源的共享）。网络结构清楚、布线合理、充分考虑房间分布；局域网性能稳定、安全；软、硬件结合良好，满足单位或公司日常办公需要，方便资源共享、浏览；有良好的兼容性和可扩展性，具备单位局域网与其他单位局域网互连，并根据具体需求实现网上视频信号传输的能力。2办公局域网的设计要求（1）实用性：网络建设从应用实际需求出发，坚持为领导决策服务，为经营管理服务，为生产建设服务。另外，如果是对现有网络升级改造，还应该充分考虑如何利用现有资源，尽量发挥设备效益。（2）适度先进性：规划局域网，不但要满足用户当前的需要，还应该有一定技术前瞻性和用户需求预见性，考虑到能够满足未来几年内用户对网络功能和带宽的需要。采用成熟的先进技术，兼顾未来的发展趋势，即量力而行，又适当超前，留有发展余地。（3）经济性：要求价格适中，设备及耗材要求采用质量过硬，物美价廉，如本项目预算要求不能超过20万。（4）安全可靠性：确保网络可靠运行，在网络的关键部分应具有容错能力，提供公共网络连接、通信链路、服务器等全方位的安全管理系统。（5）开放性：采用国际标准通信协议、标准操作系统、标准网管软件、采用符合标准的设备，保证整个系统具有开放特点，增强与异机种、异构网的互联能力。（6）可扩展性：系统便于扩展，保证前期的投资的有效性与后期投资的连续性（7）安全保密性：为了保证网上信息的安全和各种应用系统的安全，在规划时就要为局域网考虑一个周全的安全保密方案。（二）、项目分析：该项目提出的要求来看，属于中型企业局域网，针对它的现状我们着重考虑以下几个方面的问题： 1、拓扑结构需求分析在进行网络的总体设计前，应当首先搞清楚给哪些建筑物布线，每座建筑物中的哪些房间布线，每个房间的哪个位置要预留信息插座，建筑物之间的距离、建筑物的垂直高度和水平长度等。只有事先调查好这些情况，才能合理地设计网络拓扑结构，选择适当的位置作为网络管理中心以及作为设备间放置连网设备，有目的地选择组建网络所使用的通信介质和交换机。2、数据传输需求分析用户对数据传输量的需求决定了网络应当采用何种连网设备和布线产品。就目前情况来看，多媒体已经成为局域网络所必须支持的功能之一。基于这种大传输量的需求，以1000Mb/s光纤作为主干和垂直布线，以100Mb/s超五类双绞线作为水平布线，从而实现100Mb/s交换到桌面的网络，已经成为最普通的网络架构。基于这种大传输量的需求，100Mb/s高性能交换机也已逐步从部门走向工作组。3、发展需求分析网络设计者不仅要考虑到容纳网络中当前的用户，而且还应当为网络保留至少3-5年的可扩展能力，从而使在用户增加时，网络依然能够满足增长的需要。这一点非常重要，因为布线工程一旦完毕，就很难再进行扩充性施工。所以，在埋设网线和信息插座时，一定要有足够的余量，而连网设备则可以在需要时随时购置。4、性能需求分析不同厂家乃至同一厂家不同型号的交换机在性能和功能上都有较大差异，有的安全性高、有的稳定性好、有的转发速率快、有的拥有特殊性能。因此，应当慎重考察和分析本网络对性能的根本需求，以便选择相应品牌和型号的交换机。 5、地理布局分析：根据哈尔滨北方公司的实际地理构造分析它的可行性，首先说一下办公楼的构造；办公楼分七层，每一层有10个房间，要基本做到使每一个楼层的每一个房间都能上网，并且做到各方面都合理化（最节省资金，结构最简单，不影响其性能），就要有详细周密的分析方案，主机应处于楼层的中间位置（即四楼）。6、通信类型：根据现在的网络组建技术和哈尔滨北方公司的实际情况分析来看，摈弃快速以太网选择千兆以太网是最佳的选择，如果厂区太大或者原有局域网已经装修完毕不想破坏，还可以考虑增加无线局域网。7、总投资分析根据哈尔滨北方公司的实际情况，计划投资20万元资金组建局域网，根据他提出的要求，按目前的市场价格我们可以判断他们要求的设备配置档次情况：设备属于中档产品、性价比较高。二、局域网技术现状分析与分类所谓的局域网(Local Area Network，简称LAN)，是指范围在几十米到几千米内办公楼群或校园内的计算机相互连接所构成的计算机网络。一个局域网可以容纳几台至几千台计算机。按局域网现在的特性看，计算机局域网被广泛应用于校园、工厂及企事业单位的个人计算机或工作站的组网方面。（一）、网络类型在局域网组网技术中比较成熟和应用较多的技术有以下几方面网络类型：Ethernet:10M、100M、千兆以太网，ATM:25M、155M、622M、2.4G，DDN:64K、128K、1M、2MFDDI:100M 面临淘汰。数据分配上也分为共享式和交换式，网间数据交换核心方面分为路由和三层交换两种。在以上几个方面中网络类型的选择是关键，目前的主要技术之争是发生在以太网和ATM之间的，这两种技术各有短长ATM技术相对以太网来说是一种较为为新型的技术，它基于面向连接，提供QOS保障，在实时数据传送，预留带宽方面有不可比拟的优越性，特别适合实时多媒体的交互式通讯和一些突发性的数据传送要求，它针对不同的数据通讯类型会给予不同的质量保证，另外小信元有利于速率的不断提高，但由于其技术成熟度不够，和目前直接基于ATM的应用类型还比较少，它的优越性受到了限制，另外它的元件和设备价格昂贵是另一个不利与推广的弱点。（二）、按传输介质分类 按照网络的传输介质分类，可以将计算机网络分为有线网络和无线网络两种。某个局域网通常采用单一的传输介质，比如目前较流行双绞线，而城域网和广域网则可以同时采用多种传输介质，如光纤、同轴细缆、双绞线等。有线网络指采用同轴电缆、双绞线、光纤等有线介质来连接的计算机网络。采用双绞线联网是目前最常见的联网方式。它价格便宜，安装方便，但易受干扰，传输率较低，传输距离比同轴电缆要短。光纤网采用光导纤维作为传输介质，传输距离长，传输率高，抗干扰性强，现在正在迅速发展。无线网络采用微波、红外线、无线电等电磁波作为传输介质。由于无线网络的联网方式灵活方便，不受地理因素影响，因此是一种很有前途的组网方式。目前，不少大学和公司已经在使用无线网络了。无线网络的发展依赖于无线通信技术的支持。目前无线通信系统主要有：低功率的无绳电话系统、模拟蜂窝系统、数字蜂窝系统、移动卫星系统、无线LAN和无线WAN等。（三）、按拓扑结构分类网络的拓扑结构是指网络中通信线路和站点（计算机或设备）的相互连接的几何形式。按照拓扑结构的不同，常见的计算机网络拓扑结构有：总线型拓扑结构、星型拓扑结构、环型拓扑结构等。1、总线型拓扑结构总线型结构是指各工作站和服务器均连接在一条总线上，各工作站地位平等，无中心节点控制，公用总线上的信息多以基带形式串行传递，其传递方向总是从发送信息的节点开始向两端扩散，如同广播电台发射的信息一样，因此又称广播式计算机网络。各节点在接收信息时都进行地址检查，看是否与自己的工作站地址相符，相符则接收网上的信息。2、星型拓扑结构星型结构是指各工作站以星型方式连接成网。网络有中央节点，其他节点(工作站、服务器)都与中央节点直接相连，这种结构以中央节点为中心，因此又称为集中式网络。3、环型拓扑结构环型结构由网络中若干节点通过点到点的链路首尾相连形成一个闭合的环，这种结构使公共传输电缆组成环型连接，数据在环路中沿着一个方向在各个节点间传输，信息从一个节点传到另一个节点。信号通过每台计算机，计算机的作用就像一个中继器，增强该信号，并将该信号发到下一个计算机上。4、蜂窝拓扑结构蜂窝拓扑结构是无线局域网中常用的结构。它以无线传输介质(微波、a卫星、红外线、无线发射台等)点到点和点到多点传输为特征，是一种无线网，适用于城市网、校园网、企业网，更适合于移动通信。在计算机网络中还有其他类型的拓扑结构，如总线型与星型混合、总线型与环型混合连接的网络。在局域网中，使用最多的是星型结构。 （四）、局域网的发展趋势未来的局域网将向网络系统集成化发展，包括一整套服务器程序、客户程序、防火墙、开发工具、升级工具等，给企业局域网提供一套全面完善的解决方案。局域网将进一步加强和E-mail、群件的结合，将Web技术带入E-mail和群件，从信息发布为主的应用转向信息交流与协作。局域网将提供一个日益牢固的安全防卫、保障体系，局域网也是一个开放的信息平台，可以随时集成新的应用。随着无线局域网(WLAN)产品迅速发展并走向成熟，许多企业为了提高员工的工作效率，开始部署无线网络。中学及大学在内的许多学校也开始实施无线网络，随着家庭电脑的普及和住房装修的高档化，家庭无线网络也成为一个潜在的市场。因此无线网络将会成为许多公共场所的必备基础设施。将来的局域网的发展趋势必将是有线网络和无线网络共存，无线局域网作为一种灵活的数据通信系统，在建筑物和公共区域内，是有线局域网的有效延伸和补充。三、办公网络的规划设计(一)、网络拓扑的设计图3-1 典型的办公网络拓扑结构网络拓扑是指企业网络中各节点间相互连接的方式。换句话说，网络中计算图3-2 典型的校园网拓扑结构机之间如何相互连接的问题就是网络的拓扑结构问题。网络布线中应用最为广泛的是星形拓扑，如上图3-1、图3-2：办公和校园网络的典型拓扑结构，从它们的拓扑结构中不难看出，拓扑结构类型非常类似。拓扑结构的选择往往与通信介质的选择和介质访问控制方法的确定紧密相关，并决定着对网络设备的选择。 大中型网络通常采用星形拓扑。星形拓扑的可折叠性非常适用于构建网络主干。由于星形拓扑具有非常好的可扩展性，并可通过更换集线设备使网络性能迅速得以升级，极大地保护了用户的布线投资，因此非常适宜于作为网络布线系统的网络拓扑。与此相适应，集线设备也呈星形拓扑。星形拓扑拥有以下优点： A易于故障的诊断 集线设备居于网络或子网络的中心，这也正是放置网络诊断设备的绝好位置。就实际应用来看，利用附加于集线设备中的网络诊断设备，可以使得故障的诊断和定位变得简单而有效。B易于网络的升级 由于计算机与集线设备之间分别通过各自独立的缆线进行连接，因此，多台计算机之间可以并行地同时进行通信而互不干扰，从而成倍地提高了网络传输效率。另外，由于网络带宽主要受集线设备的影响，只需简单地更换高速率的集线设备，即可平滑地从l0Mbit/s升级至100Mbit/s、1000Mbit/s甚至10000 Mbit/s，实现网络的升级。正是由于这两条重要的特点，星型网络才会成为网络布线的当然之选。根据哈尔滨哈尔滨北方公司的实际情况和以上原因，我采用星形拓扑结构。（二）、企业局域网的带宽需求：接着确定局域网的带宽。一般而言，百兆位以太网足能够满足网络数据流量不是很大的中小型局域网的需要。如果入网节点计算机的数量在百台以上且传输的信息量很大，或者准备在局域网上运行实时多媒体业务，应选择千兆位以太网。哈尔滨北方公司网络流量分析计算：常见应用对通信量的需求如下（表3-1）： 表3-1应用类型基本带宽需求备注PC连接10kb/s100kb/s远程连接，FTP、HTTP、E-mail文件服务100kb/s以上网络下载，在线游戏，QQ MSN等绝大部分压缩视频256kb/s以上Mp3、rm等流媒体传输非压缩视频2Mb/s以上Vod视频点播、视频会议等 表3-2根据北方公司的统计，他们使用宽带服务时间的百分比如右（表3-2）： 在实际上网应用中，下载软件时常常看到诸如下载速度显示为128KB（KB/s），103KB/s等等宽带速率大小字样，因为ISP提供的线路带宽使用的单位是比特bit，而一般下载软件显示的是字节（1字节8比特），所以要通过换算，才能得实际值。我们可以按照换算公式换算一下： 128KB/s=1288(Kb/s)=1024Kb/s=1Mb/s即：128KB/s=1Mb/s 理论上：2M（即2Mb/s）宽带理论速率是：256KB/s（即2048Kb/s），实际速率大约为80-200kB/s；(其原因是受用户计算机性能、网络设备质量、资源使用情况、网络高峰期、网站服务能力、线路衰耗，信号衰减等多因素的影响而造成的)。4M（即4Mb/s）的宽带理论速率是：512KB/s，实际速率大约为200-440kB/s。北方公司的信息点有420个，根据北方公司领导的描述，目前主要上网业务是：搜索、浏览网页、网络、网络游戏、多媒体下载、收发邮件等。我们假如他们上网的峰值最高时有50%的信息点同时上网下载,假设每个点下载速度30KB/s,上传速度10kb/s，他们的带宽需求理论上则为：下行420*50%*30*8=5040kb/s即50400/1024= 49.21Mb/s,上行 420*50%*10*8=16800kb/s 即16800/1024= 16.4Mb/s考虑到一定的扩展性，我们拟选用网络流量达到下行50Mb/s，上行20 Mb/s的光纤。（三）、企业网络的一般结构网络分布架构与入网计算机的节点数量和网络分布情况直接相关。如果所建设的局域网在规模上是一个由数百台至上千台入网节点计算机组成的网络，在空间上跨越在一个园区的多个建筑物，则称这样的网络为大型局域网。对于大型局域网，通常在设计上将它组织成为核心层、汇聚层和接入层分别考虑，比如哈尔滨北方公司的网络就是大型局域网。接入层节点直接连接用户计算机，它通常是一个部门或一个楼层的交换机；汇聚层的每个节点可以连接多个接入层节点，通常它是一个建筑物内连接多个楼层交换机或部门交换机的总交换机；核心层节点在逻辑上只有一个，它连接多个汇聚层交换机，通常是一个园区中连接多个建筑物的总交换机的核心网络设备。如果所建设的局域网是由空间上集中的几十台计算机构成的小型局域网，在逻辑上可以不用考虑分层，使用一组或一台交换机连接所有的入网节点即可。1、核心层核心层的功能主要是实现骨干网络之间的优化传输，负责整个网络的网内数据交换。网络的功能控制最好尽量少在骨干层上实施，核心层设计任务的重点通常是冗余能力、可靠性和高速的传输。核心层一直被认为是流量的最终承受者和汇聚者，所以要求核心交换机拥有较高的可靠性和性能。2、汇聚层汇聚层主要负责连接接入层接点和核心层中心，汇集分散的接入点，扩大核心层设备的端口密度和种类，汇聚各区域数据流量，实现骨干网络之间的优化传输。汇聚交换机还负责本区域内的数据交换，汇聚交换机一般与中心交换机同类型，仍需要较高的性能和比较丰富的功能，但吞吐量较低。3、接入层接入层网络作为二层交换网络，提供工作站等设备的网络接入。接入层在整个网络中接入交换机的数量最多，具有即插即用的特性。对此类交换机的要求，一是价格合理；二是可管理性好，易于使用和维护；三是有足够的吞吐量；四是稳定性好，能够在比较恶劣的环境下稳定地工作。从哈尔滨北方公司提出的要求来看，需要将来达到800个信息点，各个建筑物又有一定的距离，采用多模光纤连接做网络主干是必须的了，并且支持视频点播如VOD系统，因此带宽要求达到中大型局域网要求，所以三层结构是理想选择。（四）、企业综合布线设计原则局域网布线设计的依据是网络的分布架构。网络布线必须有较长远的考虑。对于大型局域网，连接公司院内各个建筑物的网络通常选择光纤，统一规划，冗余设计，使用线缆保护管道并且埋入地下。建筑物内又分为连接各个楼层的垂直布线子系统和连接同一楼层各个房间入网计算机的水平布线子系统。如果设有信息中心网络机房，还应该考虑机房的特殊布线需求。在局域网布线时，应该充分考虑到将来网络扩展可能需要的最大接入节点数量、接入位置的分布和用户使用的方便性。若整座建筑物接入局域网的节点计算机不多，可以采用从一个接入层节点直接连接所有入网节点的设计。若建筑物的每个楼层都分布有大量接入节点，就需要设计垂直布线子系统和水平布线子系统，并且在每层楼设置专门的配线间，安置该楼层的接入层节点网络设备和配线装置。水平布线子系统通常采用非屏蔽双绞线或屏蔽双绞线，如何选择线缆类型和带宽根据应用需求决定。连接各个楼层交换机的垂直布线子系统通常采用光纤。企业综合布线系统由工作区子系统、水平布线子系统、垂直干线子系统、管理子系统和建筑群子系统组成。它的设计原则如下： 开放性严格按照IEEE802、EIA/TIA 568等工业及建筑布线标准和中国建筑电气设计/工业企业通信设计规范。 实用性适应企业现在和将来发展的需要，具备数据通信、语音通信和图像通信的功能。l灵活性布线系统中任一信息点能够很方便地与多种类型设备（如电话、计算机、检测器件以及传真等）进行连接。l可扩展性布线系统具有较强的可扩展性，在将来需要时可以很容易地将所扩充的设备连接到系统中来，实现各种网络服务与应用。l经济性综合布线系统是一种既具有良好的初期投资特性，即在今后若干年中不增加新的投资情况下仍能保持建筑物的先进性，又是具有极高的性能价格比的高科技产品。通常情况下，综合布线系统的使用寿命为15年。l可靠性综合布线系统采用高品质的材料和组合压接的方式构成一套高标准的信息通道。每条通道都采用专用仪器校核线路衰减、串音、信噪比，以保证其电气性能不会造成交叉干扰。所以，北方公司应采用综合布线系统，才能更好的发挥千兆局域网的威力。（五）、网络中心机房规划与设计考虑到网络中心机房在整个企业网中所处的核心位置，为了保持其长时间运行的可靠性，建议对机房采取以下必要的措施：A防尘、防静电、安装数据地线对机房铺设防静电地板，以及安装必要的通风和温度调节设备，建议最好安装单独的数据地线。B电源保护由于市电供应的电压不稳定产生的浪涌及断电，将对各种电脑和网络设备造成不可预知的伤害，所以应在中心机房加设稳压装置，网络中心机房最好采用一台UPS，容量的大小根据网络规模与设备多少而定。C防雷由于中心机房内摆放了大量贵重的电子设备，南方的雷雨季节应特别注意防雷。雷电的防护可分为直击雷和感应雷的防护两方面。如果有条件，我们将建议对北方公司的机房采取如上措施。（六）、网络设备的选型网络主干设备的选型，建议网络主干设备或核心层设备选择具备3层以上交换功能的高性能主干交换机。如果要求局域网主干具备高可靠性和可用性，还应该考虑核心交换机的冗余与热备份方案设计。汇聚层或接入层的网络设备类型，通常选择普通交换机即可，交换机的性能和数量由入网计算机的数量和网络拓扑结构决定。同一网络上的计算机如果超过一定数量（通常在200台左右），就很可能会因为网络上大量的广播而导致网络传输效率低下如果采用传统的路由器，虽然可以隔离广播，但是性能又得不到保障。而三层交换机的性能非常高，既有三层路由的功能，又具有二层交换的网络速度。除了必要的路由决定过程外，大部分数据转发过程由二层交换处理，提高了数据包转发的效率。 三层交换机通过使用硬件交换机构实现了IP的路由功能，其优化的路由软件使得路由过程效率提高，解决了传统路由器软件路由的速度问题。因此可以说，三层交换机具有“路由器的功能、交换机的性能”。 在此我们选择具有三层交换功能的交换机作为北方环保公司的主干网络设备。目前生产交换机的厂商比较多，著名的有Intel、3COM、Cisco、IBM、华为等。3COM、IBM、Cisco品牌是交换机市场的领袖。 a、路由器就企业局域网网络而言，由于大量的数据都发生在局域网内部，对路由器的性能要求不高，因此，可以选用中低端路由器。低端路由器主要适用中小办公网络的应用，考虑的一个主要因素是端口数量，另外还要看包交换能力。中端路由器适用大中型办公网络，选用的原则也是考虑端口支持能力和包交换能力。 b、交换机工作组交换机采用可网管交换机，实现对每台接入计算机的控制，实现VLAN（虚拟网）的划分，确保最大限度的网络访问安全。骨干交换机采用拥有千兆端口的可网管交换机实现与中心交换机的高速连接，避免可能产生的网络瓶颈。中心交换机采用三层交换机，实现VLAN间的线速转发，并借助访问列表控制计算机接入和网络服务，搭建高安全性和可用性网络。c、防火墙防火墙有软件防火墙和硬件防火墙两种。软件防火墙是安装在计算机平台的软件产品，它通过在操作系统底层工作来实现网络管理和防御功能的优化。硬件防火墙的硬件和软件都单独进行设计，有专用网络芯片处理数据包。同时，采用专门的操作系统平台，从而避免通用操作系统的安全性漏洞。并且对软硬件的特殊要求使硬件防火墙的实际带宽与理论值基本一致，有着高吞吐量、安全与速度兼顾的优点。硬件防火墙分为包过滤防火墙、应用网关防火墙和规则检查防火墙。对于企业网络而言，通常应当选择包过滤防火墙。 d、服务器对于企业办公OA或数据库之类的服务器，应当选择高性能服务器，目前随之双核CPU的普及，硬件价格下降很快，主流的服务器的价格也从几万元降到了万元左右，如果没有部门级服务器，可以将两台甚至多台工作组服务器制作为群集，提高网络服务性能。当服务器的性能不能满足网络访问需要时，可以利用已有的多台低配置服务器构建服务器群集，或者利用软件、硬件等方式实现服务器的负载均衡，既可以提高服务器的整体处理性能，又可以有效地延长服务器的使用寿命。根据北方公司的预算，经过分析比较，我们选择性价比更高的CISCO公司的网络设备。（七）、网络操作系统与应用软件的选型操作系统是整个网络中不可缺少的组成部分之一，我们必须根据企业网络应用规模、应用层次等实际情况选择最合适的操作系统。常见网络操作系统有：Windows系列：广泛用于一般的办公网、校园网及教育系统。Windows系列网络操作系统产品包括Windows NT/2000/2003 Server。UNIX：主要用于大型城域网、移动运营系统、银行系统、证券系统等，它最主要的一个特征是稳定，处理大型数据较快。NetWare：大量文件服务及打印服务功能，不直观，应用范围较窄。Linux：2000年前后出现的，与UNIX相似，能提供较稳定的系统，不易受到病毒的攻击。因其安全性、开放性与二次开发能力较好，是目前中国部分地方政府部门规定使用的操作系统。对于数据库来说，我们可以根据企业的实际需要，采用免费的如MySQL或商业的Microsoft SQL Server、DB2、Sybase或者Oracle等产品。另外企业局域网可以选择部署一套网络版的防病毒软件，加强企业局域网的安全；如果资金允许的话，我们也可以选择一些邮件、WEB、FTP、视频软件以及网络管理软件等，满足企业日益的不断增长的应用需求。针对北方公司的实际情况，我们认为选择windows 2003 Server即可。(八)、无线补充网络某些特殊情况下为了保证目前土建装修的效果不被破坏，又要保证足够的网络信息点满足网络联网、扩容和工作实际需求，同时还要保证代价不要过大。我们可以考虑采用无线组网的方式解决原有网络扩容的问题。所谓无线补充网络规划，是指以原有的综合布线为基础搭建传输的以太网络，并在需要的位置和场所（如办公室、会议室等）配备一定数量的无线AP，充分借助无线网络移动灵活和扩充方便的特点，作为有线网络的补充，弥补单纯由有线所构建的网络的缺陷。规划合理的无线网络布局才能方便我们的应用与日后的扩展。在无线局域网中，当用户从一个位置移动到另一个位置以及一个无线AP的信号变弱或者无线AP由子通信量太大而拥塞时，可以连接到新的无线AP，而不中断与网络的连接，这一点与移动电话非常相似。所有无线AP通过双绞线与有线骨干网络相连，形成以固定有线网络为基础，无线覆盖为延伸的大面积服务区域。多个无线AP的无线信号覆盖区域进行交叉覆盖，实现各覆盖区域之间无缝连接。所有无线终端通过就近的无线AP接入网络，访问整个网络资源。蜂窝覆盖方式大大扩展了单个无线AP的覆盖范围，突破了无线网络覆盖半径的限制，用户可以在无线AP群覆盖的范围内漫游，而不会和网络失去联系，通信也不会中断。 四、哈尔滨北方公司的网络设计实例（一）、宽带需求根据上文计算，我们建议申请带宽为：下行50Mb/s以上，上行20 Mb/s以上的光纤。（二）、详细配置根据以上分析和投资20万元的预算计划，我们配置如下：哈尔滨北方公司办公网采用当今最为流行实用的千兆主干三级交换结构体系，最终用户100Mb/s速度到桌面。在本方案中，网络拓扑结构为树型网络结构，主干网选择千兆以太网技术，它是以光纤通信和新的数据封装技术为核心的高速、大容量计算机网络通信技术，能在局域网络之间提供快速高带宽信道，彻底消除低速信道对计算机网络的制约。第一级是办公网的千兆骨干网络；第二级通过多模光纤上联核心交换机，再向下通过超五类双绞线级联三级交换机；第三级交换机（网管型）直接连接用户的计算机。 按照这样的层次划分有以下特点：结构清晰，易于设计和管理，大大提高了网络的扩充能力；网络结构和实际应用的组织结构相一致，便于安全管理，减轻网络的数据流量；根据不同层次和实际经济承受能力，选择相应的网络设备和硬件设备，使投资更合理。 首先对整个办公大楼进行综合布线以及机房标准装修工程。北方办公大楼是个6层高的大楼，中心机房位于4楼。同理，对综合生活楼、车间、仓库也根据信息接点进行分配布置。设计示意图(图4-1) 图 4-1 网络拓扑结构示意图（三）、设备选型1、网络核心层的设计与设备选型为保证北方公司的信息系统的稳定性和高效运行，因此，应该采用主流的网络产品，在当今众多的网络设备厂商中，知名大有思科（CISCO）、华为（HUAWEI）、北电（NORTEL）、锐捷（REDGIANT）、3COM、IBM、H3C等，综合考虑各家公司的发展状况、技术实力、市场占有率、产品的丰富完整等各方面因素，根据北方公司的预算要求，本项目选择CISCO公司的网络设备。Cisco Systems（思科系统）公司是全球领先的互联网设备供应商。它的网络设备和应用方案将世界各地的人、计算设备以及网络联结起来，使人们能够随时随地利用各种设备传送信息。思科公司向客户提供端到端的网络解决方案，使客户能够建立起自己的统一信息基础设施或者与其他网络相连。思科公司提供业界范围最广的网络硬件产品、互联网操作系统（IOS）软件、网络设计和实施等专业技术支持，并与合作伙伴合作提供网络维护、优化等方面的技术支持和专业化培训服务。网络核心层是网络的中心，其功能是实现高性能的交换和传输。因此核心层设备应该是高性能的交换机，可实现高速度的交换传输，以连接服务器等核心设备；并且非常可靠，实现不间断工作。Cisco公司的路由器已经相当于业界默认的标准，并且Cisco路由器的高性能在业界中也是首屈一指的。我们为北方公司办公网络骨干选用一台Cisco Catalyst 6506（30000元）路由交换机作为核心交换机来连接各级交换机。Catalyst 6500家族是专为满足对千兆位密度、数据和语音集成、LAN/WAN/MAN集中、可扩展性、高可用性、以及主干/分布、服务器整合和服务供应商环境中智能多层交换的不断增长的需求而设计的。这些CISCO家族产品共同提供了广泛的智能交换解决方案，使公司内部网和Internet能够支持多媒体、关键任务数据和语音应用。Catalyst 6500家族提供了出色的可扩展性和性能/价格比，能够支持广泛的接口密度、性能以及高可用性选项。作为CISCO内容组网体系结构的一个关键组成部分，Catalyst 6500家族提供了前所未有的商业灵活性，使企业能够快速部署新的Internet应用并因而提高自己的收入和降低运营成本。当与应用智能、服务质量（QoS）机制和安全性功能结合在一起时，客户将能够在不牺牲网络性能的情况下更有效地使用自己的网络提供更多的客户机服务，如组播和企业资源规划（ERP）应用。CISCO内容组网通过提供Internet商业应用（这些应用的例子包括电子商务、供应链管理以及劳动力优化）创造了一个Internet商业生态系统，这一系统使企业和自己的客户、供应商和商业合作伙伴更加紧密的结合在一起。通过CiscoAssure，利用象特殊用户、IP地址或应用程序这样的Layer2、3、4信息，将能够以端对端的形式应用网络策略。它是固定配置、可堆叠的独立设备系列，提供了线速快速以太网和千兆以太网连接，并且价格适中，带有三层路由的引擎，可使企业网具有很强的升级能力，大大增加了网络的交换能力、系统的互动性和系统的实时性，该系统外接Cisco 2821（15000元）路由器（局域网接口：10/100/1000M、 内置防火墙）与光纤Lan专线上联广域网，实现办公网到Internet的高速接入。2、网络汇聚层的设计与设备选型汇聚层设备选用三台思科 WS-C3750-24TS-S（15000），WS-C3750 系列智能以太网交换机是一个新型的、可堆叠的、多层企业级交换机系列，可以提供高水平的可用性、可扩展性、服务质量（QoS）、安全性和可改进网络运营的管理能力，从而提高网络的运行效率。Catalyst 3750 系列包括一系列快速以太网和千兆位以太网配置，可以用全套千兆位接口转换器（GBIC）设备提供强大的千兆以太网连接；并将CISCO IOS软件中的一套第2-4层功能-IP路由、QoS、限速、访问控制列表（ACL）和多播服务扩展到边缘，堪称一款适用于企业和城域应用的强大选择。拥护第一次可以在整个网络中部署智能化的服务，例如先进的服务质量、速度限制、CISCO安全访问控制列表、多播管理和高性能的IP路由，并于此同时保持了传统LAN交换的简便性。通过高性能的IP路由实现了网络的可扩展性，利用基于硬件的IP路由和增强型多层软件镜像，基于CISCO快速转发（CEF）的路由架构有助于提高可扩展性和性能，该体系结构支持极高速的搜索功能，并可确保必要的稳定性和可扩展性，以满足未来的需求。凭借内置CISCO集群管理套件，Catalyst 3750系列交换机可以简化网络的部署。该设备通过1000Base-SX光纤上联核心交换机，形成网络的高速骨干。C3750以太网交换机是24+2规格结构，接口为10/100/1000Base-TX, 1000Base-FX/SX，具有很高的性能和堆叠能力。通过使用增强多层软件镜像（EMI），可以提供路由、多层交换等功能，满足三层交换的要求。可以满足服务器群的高密度、高速率的接入需要，也可以满足因特网接入的需求。这样的网络系统结构简单，同时融合了可伸缩的网络速率、性能、网络规模。3、网络接入层的设计与设备选型接入层交换机放置于楼层的设备间，用于终端用户的接入。能够提供高密度的接入，对环境的适应力要强，运行稳定，采用10/100M自适应的普通交换机即可，算上以前的集线器，另外再买10台华为 S1026T（800元），可堆叠，通过UPLINK端口上联二层交换C3750，实现500个信息点100M到桌面的接入。S1026T交换机有24个10/100M自适应端口，2个1000M接口，交换技术避免了使用集线器时多个用户共享网段造成的冲突和拥塞，大大提升了网络性能。（四）、虚拟网VLAN的设计C3750提供划分VLAN（虚拟局域网）的功能，使网络管理员可以根据需要将用户划分为几个不同的组。这样既便于管理，又可以提高安全性。虚拟局域网不受设备物理位置的限制，灵活性较大。Cisco的VLAN实现通常是以端口为中心的。与节点相连的端口将确定它所驻留的VLAN。将端口分配给VLAN的方式有两种，分别是静态的和动态的.形成静态VLAN的过程是将端口强制性地分配给VLAN的过程。即我们先在VTP （VLAN Trunking Protocol）Server上建立VLAN，然后将每个端口分配给相应的VLAN的过程。这是我们创建VLAN最常用的方法。 动态VLAN形成很简单，由端口决定自己属于哪个VLAN。即我们先建立一个VMPS（VLAN Membership Policy Server）VLAN管理策略服务器，里面包含一个文本文件，文件中存有与VLAN映射的MAC地址表。交换机根据这个映射表决定将端口分配给何种VLAN。这种方法有很大的优势，但是创建数据库是一项非常艰苦而且非常繁琐的工作。 下面以实例说明如何在一个典型的快速以太局域网中实现VLAN。我们假设核心层交换机名称为：COM；汇聚层交换机分别为：PAR1、PAR2、PAR3，分别通过Port1的光线模块与核心交换机相连；并且假设VLAN名称分别为FINANCIAL（财务部）、MARKET（市场销售部）、MANAGING（管理部）。 1、设置VTP DOMAINVTP DOMAIN 称为管理域。交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连，那么只要在核心交换机上设置一个管理域，网络上所有的交换机都加入该域，这样管理域里所有的交换机就能够了解彼此的VLAN列表。 COM#vlan database 进入VLAN配置模式 COM(vlan)#vtp domain COM 设置VTP管理域名称COM COM(vlan)#vtp server 设置交换机为服务器模式 PAR1#vlan database 进入VLAN配置模式 PAR1(vlan)#vtp domain COM 设置VTP管理域名称COM PAR1(vlan)#vtp Client 设置交换机为客户端模式 PAR2#vlan database 进入VLAN配置模式 PAR2(vlan)#vtp domain COM 设置VTP管理域名称COM PAR2(vlan)#vtp Client 设置交换机为客户端模式 PAR3#vlan database 进入VLAN配置模式 PAR3(vlan)#vtp domain COM 设置VTP管理域名称COM PAR3(vlan)#vtp Client 设置交换机为客户端模式 注意：这里设置交换机为Server模式是指允许在本交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数，同步本VTP域中其他交换机传递来的最新的VLAN信息；Client模式是指本交换机不能创建、删除、修改VLAN配置，也不能在NVRAM中存储VLAN配置，但可以同步由本VTP域中其他交换机传递来的VLAN信息。 2、配置中继 为了保证管理域能够覆盖所有的分支交换机，必须配置中继。Cisco交换机能够支持任何介质作为中继线，为了实现中继可使用其特有的ISL标签。ISL（InterSwitch Link）是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接相连的端口配置ISL封装，即可跨越交换机进行整个网络的VLAN分配和进行配置。 在核心交换机端配置如下： COM(config)#interface gigabitEthernet 2/1 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl COM(config-if)#switchport mode trunk COM(config)#interface gigabitEthernet 2/2 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl COM(config-if)#switchport mode trunk COM(config)#interface gigabitEthernet 2/3 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl COM(config-if)#switchport mode trunk 在分支交换机端配置如下： PAR1(config)#interface gigabitEthernet 0/1 PAR1(config-if)#switchport mode trunk PAR2(config)#interface gigabitEthernet 0/1 PAR2(config-if)#switchport mode trunk PAR3(config)#interface gigabitEthernet 0/1 PAR3(config-if)#switchport mode trunk 此时，管理域算是设置完毕了。 3、创建VLAN 一旦建立了管理域，就可以创建VLAN了。 VLAN命名表格（表4-1） 表4-1VLAN用途命名规范表Vlan10财务部FINANCIALVlan11市场销售部MARKETVlan12管理部MANAGING。COM(vlan)#Vlan 10 name FINANCIAL 创建了一个编号为10名字为FINANCIAL的 VLAN COM(vlan)#Vlan 11 name MAR