某公司网络系统集成方案

旭日集团股份公司 网络系统集成方案 一、前言 1.1集团综合信息系统建设目标 -3 1.2. 用户具体需求 -4 1.3集团综合信息系统建设原则 -4 1.3.1 先进性 .5 1.3.2 标准性 .5 1.3.3 兼容性 .5 1.3.4 可升级和可扩展性 .5 1.3.5 安全性 .6 1.3.6 可靠性 .6 1.3.7 易操作性 . .7 1.3.8 可管理性 . .7 二 综合布线方案 -8 2.1 需求分析 .8 2.2 综合布线系统的结构 .9 2.3 系统总体设计 .10 2.4 系统结构设计 描述 .11 2.5 在施工中注意 事项 .12 三网络设计方案 -13 3.1 网络设计需求 .13 3.2 总体方案设计策略 14 3.3 旭日集团园区结构示意图 15 3.4 网络设备选型 15 3.4.1 选型 原则 .15 3.4.2 核心层交换机 .17 3.4.3 汇聚层交换机 .18 3.4.4 接入层交换机 .19 3.5 主干网络技术选型 20 3.6 路由交换技术部分设计 25 3.7 网络安 全设计 35 四网络系统设计 37 4.1 系统设计总体需求 .37 4.2 系统设计原则 .38 4.3 系统设计方案 .39 4.3.1 系统构架设计 .39 4.3.2 系统管理设计 .41 4.3.2 系统安全设计 .42 五 Windows 服务器解决方案 -45 5.1WEB 服务器 45 5.2 FTP 服务器角色：配置文件服务器 60 5.3 Exchange Server 2003 产品概述 .71 六工程实施与项目测试 -87 七项目费用 -86 八 技术支持服务 -88 8.1 售后服务内容 .88 8.2 保证售后服务质量的措施 89 一 前言 功欲善其事，必先利其器 ， 旭日 集团深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一 个方便快捷安全的通信网络综合信息支撑系统，已迫在眉睫， 旭日 公司作为一个致力于企业信息化和系统集成的高科技公司非常荣幸参与 旭日 集团综合网络信息系统的建设，希望能尽自己的全力来施展我们的专长来实现 旭日 集团网络信息系统的建设。 1.1 集团综合信息系统建设目标 旭日 集团信息系统主要建设一个企业信息系统，它以管理信息为主体，连接生产、销售、维护、运营子系统，是一个面向集团的日常业务、立足生产、面向社会，辅助领导决策的计算机信息网络系统。 本期项目的目标是建立如下系统： 1构造一个既能覆盖本地又能与外界进行网络互通 、共享信息、展示企业的计算机企业网。 2选用技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用结构容错的方法 3完全符合开放性规范，将业界优秀的产品集成于该综合网络平台之中； 4具有较好的可扩展性，为今后的网络扩容作好准备 5采用 OA 办公，做到集数据、图像、声音三位一体，提高企业管理效率、降低企业信息传递成本 6整个公司计划采用 10M 光纤接入到运营商提供的 Internet。集团统一一个出口，便于控制网络安全 7设备选型上必须在技术上具有先进性，通用性，且必须便于管理，维护。应具 备未来良好的可扩展性，可升级性，保护公司的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品，同时也要有好的售后服务 1.2 具体用户需求： 1网络设备配置 配备网络交换设备，实现楼宇间的千兆光纤连接，保证未来各应用系统的实施以及满足集团各种计算机应用系统的大信息量的传输。 2网管系统设计 提供可以对整个网络系统进行管理的中文图形界面工具，使系统维护人员可以集中控制网络的所有设备。 3内、外网隔离 过硬盘隔离卡及双布线系统、双网络设备实现办公内网与 外网隔离。 1.3 集团综合信息系统建设原则 多业务网络系统方案以实现以上功能为基本要求，在设计上力求做到既要采用国际上先进的技术，又要保证系统的安全可靠性和实用性。具体来讲，其设计遵循以下原则： 1.3.1 先进性 系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术，符合国际标准和规范； 1.3.2 标准性 所采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必 须支持国际标准的网络接口和协议，以提供高度的开放性。 全面支持 IEEE 工业标准 ： 802.1d， 802.1p， 802.1q， 802.1x，802.3， 802.3u， 802.3z； 支持路由协议 ： IP 的 RIP V1/2， OSPF， BGP-4；信令标准 ： H.323,RTP/CRTP. 支持 ： IPsec、 L2TP、 GRE、 MPLS-VPN 规范。 支持多址广播协议 ： IGMP， DVMRP， PIM-DM， PIM-SM； 网络管理协议： SNMP， RMON， RMON2； 1.3.3 兼容性 跟踪世界科技发展动态，网络规划与现有光纤传输网及将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。 1.3.4 可升级和可扩展性 随着技术不断发展，新的标准和功能不断增加，网络设备必须可以通过网络进行升级，以提供更先进、更多的功能。在网络建成后，随着应用和用户的增加，核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择，以方便未来更灵活的扩展。 1.3.5 安全性 网 络的安全性对网络设计是非常重要的，合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问，灵活的实施网络的安全控制策略。在企业园区网络中，关键应用服务器、核心网络设备，只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限，网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进行基于协议、基于 Mac 地址、基于 IP 地址的包过滤控制功能。在大规模园区网络的设计上，划分虚拟子网，一方面可以有效的隔离子网内的大量广播，另一方面隔离网络子网间的通讯，控制了资源的访问权 限，提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力，使网络可以任意连接，又可以从第二层、第三层控制网络的访问。 可管理性 1.3.6 可靠性 本系统是 7x24 小时连续运行系统，从硬件和软件两方面来保证系统的高可靠性。 硬件可靠性 系统的主要部件采用冗余结构，如：传输方式的备份，提供备份组网结构；主要的计算机设备（如数据库服务器），采用 CLUSTER技术 ,支持双机或多机高可用结构；配备不间断电源等。 软件可靠性 充分考虑异常情况的处理，具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户 以提示；并具有进程监控管理功能，保证各进程的可靠运行数据库系统应。 网络结构稳定性 当增加 /扩充应用子系统时，不影响网络的整体结构以及整体性能，对关键的网络连接采用主备方式，已保证数据的传输的可靠性。 本系统应具有较强的容灾容错能力，具有完善的系统恢复和安全机制； 1.3.7 易操作性 提供中文方式的图形用户界面，简单易学，方便实用。 优良的性能价格比。 系统应着重考虑和满足以上的设计要求。 1.3.8 可管理性 络的可管理性要求：网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态，故障报警等都可 以通过网管平台进行监控，通过网络管理平台简化管理工作，提高网络管理的效率。 在进行网络设计时，选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置，网络拓扑结构表示，网络设备的状态显示，网络设备的故障事件报警，网络流量统计分析以及计费等。网管软件的应用可以提高网络管理的效率，减轻网络管理人员的负担。网络管理的目标是实现零管理，基于策略的管理方式，网络管理是通过制定统一的策略，由管理策略服务器进行全局控制的。基于Web 的网管界面，是网管软件的发展趋势，灵活的操作方式简化了管理人员的工作。在设计 园区网的设备选择上，要求网络设备支持标准的网络管理协议 SNMP，同时支持 RMON/RMONII 协议，核心设备要求支持 RAP (远程分析端口 ) 协议，实施充分的网络管理功能。在设计园区网的原则上应该要求设备的可管理性，同时先进的网管软件可以支持网络维护、监控、配置等功能。 二 .综合布线方案 2.1、需求分析 集团公司园区内包括集团总部办公楼和分部及分公司等七幢建筑，武汉总部和武汉分公司它们之间的距离已超过双绞线布线的技术要求，因此采用光纤进行布线。 由于涉及的建筑物较多，规模较大，应此将其定位为智能化园区综 合布线系统。 园区的综合布线系统是一个高标准的布线系统，水平系统和工作区采用超五类元件，主干采用光纤，构成主干千兆以太网。不仅能满足现有数据、语音、图像等信息传输的要求，也为今后的发展奠定基础。整个园区一共有 5000 左右个信息点，即武汉总部有 3200 左右，每分公司各有 300 左右个。针对以上要求 ,对计算机内网综合布线系统提出自己的解决方案。 建筑群间的光缆采用上海的 OT T 多模光纤系统，大楼内的布线采用 AVAYA 的超五类双绞线结构化布线系统。 2.2、综合布线系统的结构 综合布线系统部分结构如下图所示： 根据综合布线国际标准 ISO 11801 的定义，综合布线系统可由以下子系统组成： 工作区子系统 (Work Area Subsystem) 工作区子系统由信息插座延伸至用户终端设备的布线组成，包括信息插座和相应的连接软线。用户能方便地把计算机、电话、传真等不同的终端设备接入大楼的通信网络系统。 水平布线子系统 (Horizontal Subsystem) 水平布线子系统由楼层配线间延伸至信息插座的布线组成，通常可采用超五类双绞线，我们这里采用的是超五类双绞线，也可采用光缆以满足高传输带宽应用或长传输距离的要求。水 平布线提供大楼网络通信系统到用户终端设备的信息传输。 建筑物主干子系统 (Building Backbone Subsystem) 建筑物主干子系统由大楼配线间延伸至各楼层配线间的布线组成。该子系统亦包括各配线间的配线架，跳接线等。采用的线缆是超五类双绞线。大楼配线间和楼层配线间通常也用于放置网络设备和其他有源设备。建筑物主干子系统提供大楼内通信网络信息交换的主干通道。 建筑群布线子系统 (Campus Cabling Subsystem) 建筑群布线子系统由建筑群配线间延伸至各大楼配线间的布线组成。采用的线缆 为光纤，。建筑群配线间通常也用于放置电信接入设备和广域网连接设备。建筑群布线子系统提供了各建筑物间通信网络连接和信息交换的通道。 2.3 系统总体设计 以上就是布线的国际标准，因此采用高速大容量光纤主干建设集团公司的园区网络主干 为了满足集团公司将来灵活组网的需要，在 集团总部办公楼、分公司等建筑物内 各设有配线间。整个园区设备间机房安置在总部大楼的 10 楼，各分公司的设备间机放安置在各分公司的一楼。 为充分满足集团公司内部及对外高速高容量信息通信的需要，系统采用高速高容量的多模光纤作为园区的网络主干。 建筑物内采 用先进的超五类非屏蔽布线系统 根据技术规范，选用高性能 UTP 非屏蔽系统，传输参数可达到200MHz，通道传输性能在 200 MHz 时 ACR3dB, 250MHz 时 ACR 0 dB，通道传输性能不低于招标技术要求所附性能参数表的要求。因此，本方案建议采用 AVAYA 超五类 UTP 产品，其传输带宽可达200MHZ 以上，可靠支持新的千兆以太网、 2.4Gbps ATM 及高达550MHZ 的宽带语音应用，为今后新的高速网络应用留有充足的性能余量。 2.4 系统结构设计描述 整个结构化布线系统由 工作区子系统、水平 干线子系统、管理子系统、主干子系统、设备间子系统及建筑群子系统 等六个子系统构成，方案设计时充分考虑了高度的可靠性、先进性、灵活性、可扩充性、易管理性及性能价格比高等优点。 布线系统结构如下： 2.5、 在施工中注意 事项 仔细查阅其它专业的施工图纸 在施工前，必须仔细查阅其他专业的施工图纸，尤其是土建结构施工图、水、电、通风施工图。因为水平路由 的长短将会对设计的等级有一定的影响，而土建结构施工图、水、电、通风施工图对水平布线子系统管线路由的走向影响最大。在审图时，建议用比例尺在图纸上认真测量，为水平布线子系统找出最合理的路由走向，这样既节省水平线缆的长度，又避免与其他专业管路发生冲突，由于电气专业管线不可避免的要与其他各专业管路交叉重叠，发生矛盾的现象，给土建专业带来地面超高等问题。综合布线一般由专业公司负责安装调试，施工方仅做管路预埋、线缆敷设，如果在施工中敷衍了事，不遵循 管线路由最短 的原则，就会增加水平布线子系统管线的长度，不利于提高综合 布线系统的通信能力、不利于通信系统的稳定性、不利于通信传输速率的提高。 建议在施工中应满足设计裕量。 因为在实际施工中，不可能使水平线缆一直保持直线路由，所以实际安装中，需要的线缆总会比图纸上统计的量大的多，这就需要电气工程师考虑一定的裕量。裕量的计算方法是将一张平面图纸上离配线架最远的信息点的线缆图纸长度（图纸上用比例尺量出的长度），和最近的信息点的线缆图纸长度相加，除以 2，得出得数值为信息点的平均图纸长度，取平均长度的 30%作为裕量。否则就会造成不必要的材料浪费 或不足 。 采用质量可靠的管路和线缆，以 避免日后的麻烦 在大多数设计中，水平布线子系统是被设计在吊顶、墙体或底板内的，所以可以认为水平子系统是不可更改、永久的系统。在安装中，应尽量使用性能优良、质量可靠的管路和线缆，保证用户日后不破坏建筑结构。 严格遵守综合布线系统规范 良好的安装质量，可以使水平布线子系统在其工作周期内，始终保证良好工作状态和稳定的工作性能，尤其对于高性能的通信线缆和光纤，安装质量的好坏对系统的开通影响尤其显著，因此在安装线缆中，要严格遵守 EIA/TIA569 规范标准。 选材标准必须一致 综合布线系统所选用的线缆、信息插座、 跳线、连接线等部件，必须与选择的类型一致，如选用 超 5 类标准，则线缆、信息插座、跳线、连接线等部件必须为 超 5 类；如系统采用屏蔽措施，则系统选用的所有部件均为屏蔽部件，只有这样才能保证系统屏蔽效果，达到整个系统的设计性能指标。 三网络设计方案 3.1 网络设计需求 六个分公司有四个分公司在武汉旭日工业园内各的建筑物里面，公司为 38 层的主楼，六个分公司都是 7 层楼。第一分公司与主楼相距 50 米，第二分公司与主楼相距也是 50 米，第三分公司与主楼相距 5 公里，第四分公司与主楼相距 8 公里，另两个分公司在北京和上海各自 有自己的办公楼。示意图见园区结构示意图） 各子公司部门结构：这六个分公司都有各自的微机室（ 10 人），财务部（ 20 人），行政部（ 20 人），生产部（ 100 人），研发部（ 30 人），后勤部（ 10 人），业务部（ 80 人），人力资源部（ 10 人）总公司行政划分也是如此， 人数比例大致类似六个分公司 3.2 体方案设计策略 为了实现以上网络设计原则，使旭日集团园区网络具有良好的 扩展性能力和灵活的便于管理，易于维护，在网络设计上采用了一下策略。 因特网接入和园区网分离。 将因特网接入部分和园区网主体部分分 离，每部分完成其自身的功能，可以减少两者之间的相互影响。因特网接入的变化，只影响接入的变化，对园区网络没有影响；而园区网络的变化对因特网接入部分影响较小。 .这样可以增强网络的扩展能力。保持网络层次结构清晰，便于管理和维护。 降低各个子公司之间的网络关联度。 将各个子公司之间的网络的关联度降低到最低的策略，可以最大限度的减少各个子公司网络之间的相互影响，便于分别管理，或者在不同子公司扩展网络的新应用。 统一标准，统一网络 统一的 IP 应用标准（ IP 地址，路由协议），安全标准， 接入标准和网络管理平台，才能实现真 正的统一管理，便于集团的管理和网络策略的实施。 3.3 旭日集团园区结构示意图 i n t e rn e tSiSiSiSiSiSi武汉总部子公司 1子公司 2子公司 3子公司 4北京分公司上海分公司D M ZVPNVPN 3 . 4 网络 设备 选型 3.4.1 选型原则 我们在网络系统设计时考虑如下特点： 稳定可靠的网络 只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物理层、数据链路层和网络层的备份技术。 高带宽 为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用最先进的网络 技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。 易扩展的网络 系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。易扩展不仅仅指设备端口的扩展，还指网络结构的易扩展性：即只有在网络结构设计合理的情况下，新的网络节点才能方便地加入已有网络；网络协议的易扩展：无论是选择第三层网络路由协议，还是规划第二层虚拟网的划分，都应注意其扩展能力。 QoS(英文全称为 Quality of Service，中文名为 服务质量 。 )QoS 是网络的一种安全机制 , 是用来解决网络延迟和阻塞等问题的一种技术。保证 随着网 络中多媒体的应用越来越多，这类应用对服务质量的要求较高，本网络系统应能保证 QoS，以支持这类应用。 安全性 网络系统应具有良好的安全性，由于网络连接园区内部所有用户，安全管理十分重要。应支持 VLAN 的划分，并能在 VLAN 之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。 容易控制管理 因为上网用户很多，如何管理好他们 的通信，做到既保证一定的用户通信质量，又合理的利用网络资源，是建好一个网络所面临的首要问题。 符合 IP 发展趋势的网络 在当前任何一个提供服务的网络中，对IP 的支持服务是最普遍的，而 IP 技术本身又处在发展变化中，如IpV6， IP QoS， IP Over SONET 等等新兴的技术不断出现，旭日集团园区网网络络必须跟紧 IP 发展的步伐，也就是必须选择处于 IP 发展领导地位的网络厂商。 3.4.2 核心层设备 由于旭日集团园区网网络发展规模较大，未来需提供多媒体办公、办公自动化、图书资料检索、远程互 联、视频会议等复杂的网络应用，为便于管理，我们建议选用的交换机作为网络组建交换设备。选用 1台 Cisco6509 交换机作为主干交换机实现 1000M 做主干 100M 到桌面的需求。 (具体产品介绍见附录二 ) Cisco6509 系列交换机支持堆叠技术，将来扩充端口极为灵活方便，不必改变原有网络的任何配置。通过增加堆叠交换机数量或做Port Trunking(端口干路 )两种办法均可扩充网络规模；并且实现了本地化交换，改善了整个网络，使整个网络的性能发生了质的变化。选用千兆光纤模块，与主干上联，实现主干的千兆传输。 Cisco6509系列交换机支持网管和堆叠，可以很容易地根据需要，通过堆叠扩充端口数量。另外， Cisco6509 系列交换机建立在一个功能强大且绝对无阻塞的 32G 交换背板上，可以保证堆叠中的所有端口间实现无阻塞的线速交换。 此外， Cisco6509 交换机，在安装千兆光纤模块的同时，还可以安装百兆光纤模块，完全可以适应现在或将来的楼内光纤布线，灵活性很强。 3.4.3 汇聚层设备 考虑到集团要求没个子公司的网络自成体系，单个子公司的局域网广播数据流不能扩展到全网，单个子公司的网络故障不应该扩展到全网，汇 聚层交换机也应该采用具有路由功能的多层交换机，以达到网络隔离和分段的目的。子公司的主交换机负责子公司内部的网络数据交换和旭日集团园区网的其他路由。 汇聚层设备选择 CISCO 公司的 Catalyst3550 系列的交换机，每个子公司的主交换机选择 WS-C3550-48-EMI 交换机。 Catalyst3550交换机智能以太网交换机是一个新型的可堆叠的，多层次级交换机系列，可以提高水平的可用性，可扩展性，服务质量（ QoS） ,安全性和可改进网络运营的管理能力，从而提高网络的运行效率。 Catalyst 3550 系列包括一系列快速以太网和千兆位以太网配置，可以用全套千兆位接口转换器（ GBIC）设备提供强大的千兆位以太网连接；并将 CISCO IOS 软件中的一套第 2-4 层功能 IP 路由、QoS、限速、访问控制列表（ ACL）和多播服务扩展到边缘，堪称一款适用于企业和城域应用的强大选择。用户第一次可以在整个网络中部署智能化的服务，例如先进的服务质量、速度限制、 CISCO 安全访问控制列表、多播管理和高性能的 IP 路由，并与引同时保持了传统 LAN交换的简便性。通过高性能的 IP 路由实现了网络的可扩展性，利用基于硬件的 IP 路由和增 强型 多层软件镜像， Catalyst 3550 系列交换机可以在所有端口上提供高达 17Mpps 的线速路由；基于 CISCO 快速转发（ CEF）的路由架构有助于提高可扩展性和性能，该体系结构扶持极高速的搜索功能，并可确保必要的稳定性和可扩展性，以满足未来的需求。凭借内置 CISCO 集群管理套件， Catalyst 3550 系列交换机可简化网络的部署。 WS-C3550-48-EMI交换机，有 48 个 10/100 和 2 个基于 GBIC 的1000BaseX 端口，通过使用多层软件镜像（ EMI），可以提供路由和多层交换功能，满足三 层交换需求。可以满足服务器群的高密度，高速率的接入需要，也可以满足因特网接入的需求。 3.4.4 接入层 交换机 接入层交换机放置于楼层的设备间，用于终端用户的接入。应该能够提供高密度的接入，对环境的适应能力强，运行稳定。 楼层接入设备选择 CISCO 公司的 WS-C2950-48-EI智能以太网交换机。 WS-C2950-48-EI 交换机属于 Catalyst2950 系列智能交换机。Catalyst2950 系列是固定的配置，可堆叠的独立设备系列，提供了线速快速以太网和千兆位以太网连接。 Catalyst2950 系列是 有款最廉价的 CISCO 交换机产品系列，为中型网络和城域接入应用边缘提供了智能服务，可以为局域网提供极佳的性能和功能。这些独立的。10/100 自适应交换机能够提供增强的服务质量（ QoS）和组播管理特性，所有的这些都由易用，基于 WEB 的 CISCO 集群管理套件（ CMS），和集成 CISCOIOS 软件来进行管理。带有 100BASE 上行链路的Catalyst2950 交换机，可为中等规模的公司和企业分支机构 办公室提供理想的解决方案，以使他们能够拥有更高性能的千兆以太网主干。 WS-C2950-48-E 交换机，有 48 个 10/100 端口， 2 个基于千兆接口转换器（ GBIC）的 1000BaseX 端口，能够为用户提供千兆的光纤骨干和高密度度的接入端口；具有高达 13.6Gbps 的背板带宽，能够提供 10.1Mpps 的转发速率；增强型的 IOS，能够支持 250 个 VLAN，提供安全， QoS，管理等各方面的智能交换服务。 3.5 主干网络技术选型 在 旭日集团园区 网网络的建设中，主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择适合 旭日集团园区 网网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性， 能够在未来向更新技术平滑过渡，保护用户的投资。 根据招用户要求，我们主干网络可选用千兆以太网技术 目前流行的局域网、城域网技术主要包括以太网、快速以太网、 ATM（异步传输模式）、 FDDI、 CDDI、千兆以太网等。在这些技术中，千兆以太网以其在局域网领域中支持高带宽、多传输介质、多种服务、保证 QoS 等特点正逐渐占据主流位置。 现有网络技术介绍 以太网（ Ethernet） 以太网是应用最为广泛的网络技术，它基于 CSMA/CD（冲突检测媒体访问 /载波侦听）机制，采用共享介质的方式 实现计算机之间的通讯，带宽为 100Mbps。 CSMA/CD 技术采用总线控制技术及退避算法。当一个站点要发送时，首先需监听总线以决定介质上是否存在其它站的发送信号。如果介质是空闲的，则可以发送，如果介质是繁忙的，则隔一次间隔后重发，即采用某种退避算法。 早期的以太网由于它介质共享的特性，当网络中站点增加时，网络的性能会迅速下降，另外缺乏对多种服务和 QoS 的支持。随着网络技术的发展，现在的以太网技术已经从共享技术发展到交换技术，交换以太网的出现使传统的共享式以太网技术得到极大改进。共享式局域网上的所 有节点（如主机、工作站）共同分享同一带宽，当网上两个任意节点交换数据时，其他节点只能等待。交换以太网则利用网络交换机在不同网段之间建立多个独享连接(就像电话交换机可同时为众多的用户建立对话通道一样 )，采用按目的地址的定向传输，为每个单独的网段 提供专用的频带（即带宽独享），增大了网络的传输吞吐量，提高了传输速率，其主干网上无碰撞问题。虚拟网技术与交换技术相结合，有效地解决了广播问题，使网络设计更加灵活，网络的管理和维护更加方便。交换式以太网克服了共享式以太网的缺点，并借助于 IP技术的新发展，如 IP Multicast、 IP QoS 等技术的推出使得交换以太网可以支持多媒体技术等多种业务服务。 快速以太网 (FastEthernet) 快速以太网技术仍然是以太网，也是总线或星型结构的网络，快速以太网仍支持共享模式，在共享模式下仍采用的是广播模式（ CSMA/CD 竞争方式访问， IEEE 802.3），所以在共享模式下的快速以太网继承了传统共享以太网的所有特点，但是带宽增大了 10倍。 快速以太网的应用主要是基于它的交换模式。在交换模式下，快速以太网完全没有 CSMA/CD 这种机制的缺陷，除了上面谈到 的交换以太网的优点以外，交换模式下的快速以太网可以工作在全双工的状态下，使得网络带宽可以达到 200Mbps。因此快速以太网是一种在局域网技术中性能价格比非常好的网络技术，在支持多媒体技术的应用上可以提供很好的网络质量和服务。 千兆位以太网技术（ Gigabit Ethernet） 千兆位以太网技术以简单的以太网技术为基础，为网络主干提供1Gbps 的带宽。千兆位以太网技术以自然的方法来升级现有的以太网络、工作站、管理工具和管理人员的技能。千兆位以太网与其他速度相当的高速网络技术相比，价格低，同时 比较简单，例如保留以太网的帧格式、管理工具和对网络概念上的认识。 千兆以太网是相当成功的 10Mbps以太网和 100Mbps快速以太网连接标准的扩展。现在千兆位以太网成熟的标准为 IEEE 802.3z， IEEE 802.3z的目标是： 使用 IEEE 802.3 帧格式； 可以使用全双工和半双工； 共享模式下仍使用 CSMA/CD； 对安装介质的向后兼容； 传输速度比快速以太网提高十倍，比以太网提高一百倍。 千兆以太网通过载波 扩展（ Carrier Extension）、采用带中继、交换功能的网络设备以及多种激光器和光纤将连接距离扩展到从 500米至 3000 米。如采用 1300nm 激光器和 50um 的多模光纤传输距离可以达到 3km。现在，某些厂家的交换机上的千兆以太网接口还支持Long Haul(LH)的标准，采用光纤可以支持高达 60Km 的传输距离。 千兆位以太网能够提供更高的带宽，并且成为有强大伸缩性的以太网家族的第三个成员。利用交换机或路由器可以与现有低速的以太网用户和设备连接起来，因为千兆位以太网的帧格式和帧尺寸大小等都与 所有以太网技术相同，不需要对网络做任何改变。这种升级方法使得千兆位以太网相对于其他高速网络技术而言，在经济和管理性能方面都是较好的选择。 千兆位以太网的设计非常灵活，几乎对网络结构没有限制，可以是交换式、共享式的或基于路由器的。现在正在应用的网络互连技术，例如，特定 IP 交换技术和第三层的交换技术，都与千兆位以太网完全兼容。千兆位以太网可以通过价格便宜的共享集线器、交换机或路由器来实现。千兆位以太网支持新的交换机之间或交换机工作站之间全双工的连接模式，同时也支持半双工连接模式以便与基于CSMA/CD 存取方式的共享集线器连接。 千兆位以太网使用的传输介质有光纤、 5 类非屏蔽双绞线 (UTP)或同轴电缆。目前，千兆以太网支持多模光纤、多模光纤和同轴电缆，支持 5 类非屏蔽双绞线 (UTP)的标准正在制定中。 下表列出了千兆以太网现在支持的距离标准。 标 准 名 称 媒 质 传 输 距 离 1000Base-SX波长 850nm 62.5微米多模光纤 50微米多模光纤 275米550 米 1000Base-LX 波长 1300nm 62.5 微米多模光纤 50 微米多模光纤 9 微米或 10 微米多模光纤 275 米 550 米 5 公里 1000Base-CX 同轴电缆对 25 米 1000Base-T 4 对 5 类双绞线 100 米 千兆位以太网的管理与以前使用和了解的以太网相同，使用千兆以太网，主干和各网段及桌面已实现了无缝结合，网络管理变得容易了。 千兆以太网技术的优点： 技术简单，例如保留以太网的帧格式、管理工具和对网络概念上的认识 .便于升级，从现有的传统以太网和快速以太网可以平滑地过渡到千兆以太网，并不需要掌握新的配置、管理与排除故障技术；网络投资可以得到保护，无需对用户进行再培训，也无需为额外的网络协议进行投 资；千兆以太网有良好的互操作性，并具有向后兼容性 ；端口价格相对较低；可以提供 10倍于快速以太网的传输速度。 网络技术选型结论 综上所述，在选择 旭日集团园区 网网络技术时应该考虑如下： 、长远来看如何保护现有投资。保护现有投资的有效途径就是在将来网络技术升级时还能使用现有的网络技术和产品。如同计算机的发展速度一样，网络技术的发展也是非常迅速的。如果在现有技术不能合理保证在将来网络升级后还能够使用，那么将会带来极大的资金浪费。从目前的趋势来看，采用千兆以太网技术是最适宜的。 性能价格比。以太网，快速 以太网，千兆以太网和 ATM 网三者性能状况由低到高，但是价格也是由低到高的。在建设 旭日集团园区 网网络时要充分考虑到办公的资金有效使用，选择适用的网络技术是关键，因此选择华为网络产品实现是最佳选择。目前满眼看到的是国外的技术和产品，无形中增加了网络造价成本，这也给网络的普及带来一定障碍。 售后服务： 旭日集团园区 网网络的使用，从以往经验来看，售后服务问题比较突出。有很大部分国内外产品目前无法实现良好的售前、售后服务的支持，换修时间一般在 3 个月到 6个月。 思科 网络强大的售后服务体系可保证全国范围内 72 小时响应， 武汉 等一级城市可实现 24 小时响应； 在 旭日集团园区 网网络建设中，在主干以及接入层的交换设备选择上，我们采用 思科 支持千兆以太网技术的交换机充当 3.6 路由交换部分的设计 为了使 旭日 集团园区网高效、稳定的运行，便于管理与维护，对局域网交换和路由技术的相关方面进行了规范设计，包括 VTP、VLAN、 STP、 TRUNK、 ETHERCHANNEL， HSRP， VPN 等。每一台都连接所有的汇聚层交换机，但相互之间并不连接（提高网络的故障收敛速度）。作为二层的核心，只保证数据的高速转发。网络的可靠性由汇聚层的路由协议提供保 证。 V LAN 设计规范 旭日 集团内的局域网进行 VLAN 划分 ,可以减少网络内的广播数据包 ,提高网络运行效率 ；可以区分不同的应用和用户 ,方便集团的管理与维护 . 建议每栋建筑物内的局域网划分 8 个 VLAN.应用类 1 指旭日集团的OA 类应用 . VLAN 用途如表 1 VLAN 划分用途表 VLAN 用途 VLAN1 应用类 1 的微机室工作人员 VLAN2 应用类 1 的财务部工作人员 VLAN3 应用类 1 的行政部工作人员 VLAN4 应用类 1 的研发部工作人员 VLAN5 应用类 1 的后勤部工作人员 VLAN6 应用类 1 的人力资源部工作人员 VLAN7 应用类 1 的业务部工作人员 VLAN8 应用类 1 的生产部工作人员 IP 地址分配方案 IPv4 的地址结构，各个位的使用规划如图： 0-7 8-10 11-15 16-18 19-31 集团标识 子公司标识 预留 类别标识 用户空间地址 其中各个部分的取值如表： 位 取值 含义 备注 0-70 00001010 某某集团 私有地址 8-11 0000 保留 0001 总部 主楼的用户标识 0010 子公司 1 子公司 1 的用户标识 0011 子公司 2 子公司 2 的的用户标识 0100 子公司 3 子公司 3 的用户标识 0101 子公司 4 子公司 4 的用户标识 0110 子公司 5 子公司 5 的用户标识 0111 子公司 6 子公司 5 的用户标识 1000-1111 保留 12-13 00 缺省 00-11 保留 14-17 000 保留 001 网管类 交换机设备地址，路由器环回地址，网管工作站地址 010 互联类 交换机，路由器等设备之间互相连接用 011 应用类 1 集团 OA 类用 111 因特网类 集团的因特网连接，因特网应用。 100-110 保留 18-31 任意 用户地址 其中， 1618 取值 011 的时候，对 1923 位的使用进行了重新的定义。如图： 0-7 8-11 12-13 14-17 18-21 22-31 集团标识 子公司标识 预留 应用类 1 VLAN 标识 用户地址空间 IP 地址分配表： 根据以上的规定，具体的地址分配表如下图： 机构 地址空间 用途 /8 集团全部地址空间 /13 总部全部地址空间 /17 总部网管类全部地址 /17 总部互联类全部地址 /17 总部应用类全部地址 /17 总部因特网全部地址 /21 总部应用类 1 微机室工作人员地址空间 /21 总部应用类 1 财务部工作人员 地址空间 /21 总部应用类 1 行政部工作人员 地址空间 /21 总部应用类 1 研发部工作人员 地址空间 /21 总部应用类 1 后勤部工作人员 地址空间 /21 总部应用类 1 人力资源部工作人员 地址空间 /21 总部应用类 1 业务部工作人员地址空间 /21 总部应用层 1 生产部工作人员地址空间 子公司 1 /13 子公司 1 全部地址空间 /17 子公司 1 网管类全部地址空间 /17 子公司 1 互联类全部地址空间 /17 子公司 1 应用类全部地址空间 /17 子公司 1 因特网全部地址 /21 子公司 1 的应用类 1 微机室工作人员全部地址空间 /21 子公司 1 的应用类 1 财务部工作人员 全部地址空间 /21 子公司 1 的应用类 1 行政部工作人员 全部地址空间 /21 子公司 1 的应用类 1 研发部工 作人员 全部地址空间 21 子公司 1 的应用类 1 后勤部工作人员 全部地址空间 /21 子公司 1 的应用类 1 人力资源部工作人员 全部地址空间 /21 子公司 1 的应用类 1 业务部工作人员 全部地址空间 /21 子公司 1 的应用类 1 生产部工作人员全部地址空间 子公司 2 /13 子公司 2 全部地址空间 /17 子公司 2 网管类全部地址空间 /17 子公司 2 互联类全 部地址空间 /17 子公司 2 应用类全部地址空间 /17 子公司 2 因特网全部地址 /21 子公司 1 的应用类 1 微机室工作人员全部地址空间 /21 子公司 2 的应用类 1 财务部工作人员 全部地址空间 /21 子公司 2 的应用类 1 行政部工作人员 全部地址空间 /21 子公司 2 的应用类 1 研发部工作人员 全部地址空间 /21 子公司 2 的应用类 1 后勤部工作 人员 全部地址空间 /21 子公司 2 的应用类 1 人力资源部工作人员 全部地址空间 /21 子公司 2 的应用类 1 业务部工作人员 全部地址空间 /21 子公司 2 的应用类 1 生产部工作人员 全部地址空间 子公司 3 /13 子公司 3 全部地址空间 /17 子公司 3 网管类全部地址空间 /17 子公司 3 互联类全部地址空间 /17 子公司 3 应用类全部地址空间 /17 子公司 3 因特网全部地址 /21 子公司 3 的应用类 1 微机室工作人员全部地址空间 /21 子公司 3 的应用类 1 财务部工作人员 全部地址空间 /21 子公司 3 的应用类 1 行政部工作人员 全部地址空间 /21 子公司 3 的应用类 1 研发部工作人员 全部地址空间 /21 子公司 3 的应用类 1 后勤部工作人员 全部地址空间 /21 子公司 3 的应用类 1 人力资源部工 作人员 全部地址空间 /21 子公司 3 的应用类 1 业务部工作人员 全部地址空间 /21 子公司 3 的应用类 1 生产部工作人员 全部地址空间 子公司 4 /13 子公司 4 全部地址空间 /17 子公司 4 网管类全部地址空间 /17 子公司 4 互联类全部地址空间 /17 子公司 4 应用类全部地址空间 /17 子公司 4 因特网全部地址 /21 子公司 4 的应用类 1 微机室工作人员全部地址空间 /21 子公司 4 的应用类 1 财务部工作人员 全部地址空间 /21 子公司 4 的应用类 1 行政部工作人员 全部地址空间 /21 子公司 4 的应用类 1 研发部工作人员 全部地址空间 /21 子公司 4 的应用类 1 后勤部工作人员 全部地址空间 /21 子公司 4 的应用类 1 人力资源部工作人员 全部地址空间 /21 子公司 4 的应用类 1 业务部工作 人员 全部地址空间 /21 子公司 4 的应用类 1 生产部工作人员 全部地址空间 北京分公司（ 5） /13 子公司 5 全部地址空间 /17 子公司 5 网管类全部地址空间 /17 子公司 5 互联类全部地址空间 /17 子公司 5 应用类全部地址空间 /17 北京子公司因特网全部地址 /21 子公司 5 的应用类 1 微机室工作人员全部地址空间 /21 子公司 5 的应用类 1 财务部工作人员 全部地址空间 /21 子公司 5 的应用类 1 行政部工作人员 全部地址空间 /21 子公司 5 的应用类 1 研发部工作人员 全部地址空间 /21 子公司 5 的应用类 1 后勤部工作人员 全部地址空间 /21 子公司 5 的应用类 1 人力资源部工作人员 全部地址空间 /21 子公司 5 的应用类 1 业务部工作人员 全部地址空间 /21 子公司 5 的应用类 1 生 产部工作人员 全部地址空间 上海分公司（ 6） /13 子公司 6 全部地址空间 /17 子公司 6 网管类全部地址空间 /17 子公司 6 互联类全部地址空间 /17 子公司 6 应用类全部地址空间 /17 上海子公司因特网全部地址 /21 子公司 6 的应用类 1 微机室工作人员全部地址空间 ./21 子公司 6 的应用类 1 财务部工作人员 全部地址空间 ./21 子公司 6 的应用类 1 行政部工作人员 全部地址空间 ./21 子公司 6 的应用类 1 研发部工作人员 全部地址空间 ./21 子公司 6 的应用类 1 后勤部工作人员 全部地址空间 ./21 子公司 6 的应用类 1 人力资源部工作人员 全部地址空间 ./21 子公司 6 的应用类 1 业务部工作人员 全部地址空间 /21 子公司 6 的应用类 1 生产部工作人员 全部地址空间 其中， 在项目实施的时候，接入层交换机的 IP 地址建议使用网管类地址空间 10.*.34.0/24，多层交换机的 IP 地址的 LOOPBACK 接口的 IP 地址建议使用网管类地址 10.*.35.*/32；所有汇聚层设备互联IP 地址使建议使用互联类空间 /27 和 2/27，相互备份的 2 台汇聚层设备的 IP 地址建议使用互联类地址空间10.*.65.248/29。 冗余电源 Cisco6509 系列以太网交换机提供了 RPS 电源备份接口，可以对设备提供一对一的电源备份和保护，也可以以一路直流 电源对多台支持 RPS 接口的设备进行备份和保护。 生成树（ STP/RSTP/MSTP） Cisco6509 系列以太网交换机支持 STP/RSTP/MSTP 生成树协议。 生成树协议主要用来建立和维护局域网的拓扑，消除循环连接导致的网络广播风暴，并且提供网络的拓扑的冗余备份功能，平时作为备份的路径被阻塞，当主用路径网络设备出现故障时，能够及时调整端口状态，调整网络拓扑。 生成树协议的工作原理：网络中的桥接设备根据设定的优先值和 MAC 地址，确定最优先的设备为网络的根桥，根桥向外定时发送 Config BPDU 报文，每个收到该报文的交换机将报文内容根据自身的配置和所掌握的网络拓扑结构进行更新下发到其他端口，当一个交换机从两个或两个以上端口接收到 Config BPDU 的时候就表明网络中存在循环，保留其中一个端口为转发状态，设置其余端口为阻塞状态。 除了支持传统的生成树协议外， Cisco6509 系列以太网交换机还支持 IEEE 802.1w 快速生成树协议 (RSTP)，以及 802.1s 多生成树协议（ MSTP）。快速生成树协议是生成树协议的改进，在原有功能的基础上提高了网络保护的性能。传统生成树倒换时间 为 42s，从发现链路断裂、数据中断到数据恢复至少需要三十多秒的时间，而快速生成树协议只需 6 8秒的时间就可以将数据流切换到备份链路上。 802.1s 多生成树协议（ MSTP）可以通过支持一个网络内的多个生成树，这使管理员可以把 VLAN 流量分配给唯一的通路。网络管理员只要为 VLAN 分配独立的生成树拓扑，就可以确保两个 VLAN都能在网上顺畅传输。这就可以起到均衡网络流量，提高可靠性的作用。 Cisco6509 系列以太网交换机最大可以支持 17 个或者 33个 STP实例。 链路聚合（ Link Aggregation ） 为了在以太网上获得更高的数据传输带宽， Cisco6509 系列以太网交换机提供了二层的端口链路聚合功能（基于标准 IEEE 802.3ad）。这样在生成树协议（ STP）和其他二层协议上看，作了链路聚合的所有物理端口被视为同一个端口。在作了链路聚合的端口之间可以做冗余备份和负载分担。 在实际应用中，进行聚合处理的端口等同于一个端口，任何转发到聚合的端口上的报文会通过对源、目的地址的逻辑运算来分布到聚合的不同端口上。即使是多播和广播报文也不会被复制多份，也要通过对地址的逻辑计算，将流量平 衡分配到不同的端口上。 Cisco6509 系列以太网交换机系统在二层和三层对硬件查表未命中的新地址进行监控。如果新地址是在聚合的端口上时，根据二层和三层的不同，使用 MAC 地址或 IP 地址进行逻辑计算，根据逻辑的结果选择相应端口为转发端口，发往该目的地址的帧将按照计算负载均衡后的结果进行转发，实现端口之间负载均衡和冗余保护，保证数据流不出现乱序现象。 HSRP HSRP 是 CISCO 公司是所特有的。 HSRP 向主机提供了缺省网关的冗余性，减少了主机维护路由表的任务。当网络边缘设备或接入电路出现故障时， HSRP 提供了一个较好的解决方案，它能够确保用户通信迅速并透明地恢复，以此为 IP 网络提供冗余性、容错和增强的路由选择功能。通过使用热备份路由份协议（ HSRP），可使网络对最终用户的可用性得到充分的保证。另外，通过多个热备份组，路由器可以提供冗余备份，并在不同的 IP 子网上实现负载分担。 旭日集团园区网的 IP 地址规范中规定：网关的地址统一使用子网的最后一个可用地址。启用 HSRP 协议之后，这个地址就是HSRP 的虚拟地址。 在成对的两台汇聚层多层交换机上，具体的 HSRP 配置规范如下： 1 接口的 IP地址：在第一台多 层交换机上，某个 VLAN 虚拟接口的 IP 地址是子网的最后第三个可用地址，在第二台多层交换机上，某个 VLAN 虚拟接口的 IP 地址是子网的最后第二个可用地址。 2热备份组号：热备份组号与接口的 VLAN 号相同。 3热备份地址：热备份地址是子网的最后一个可用地址。 4热备份优先级：在主用的多层交换机了，某个 VLAN 虚拟接口的热备份优先级是 120。并且主用的汇聚层交换机配置占先权。 等价路由（ ECMP） 除了从设备级支持三层转发容错协议 VRRP 之外， Cisco6509 系列以太网路由交换机还支持等价路由（ ECMP）。等价路由即为到达同一个目的 IP 或者目的网段存在多条 Cost 值相等的不同路由路径，当设备支持等价路由时，发往该目的 IP 或者目的网段的三层转发流量就可以通过不同的路径分担，实现网络的负载均衡，并在其中某些路径出现故障时，由其它路径代替完成转发处理，实现路由冗余备份功能。 不仅从软件上，而且从硬件上也支持等价路由是 Cisco6509 系列以太网路由交换机与业界类似产品相比显著的优点。以前部分路由交换机虽然也宣称支持等价路由，但实际上只是从软件上支持，对软件转发的报文可以使用等价路由，但对于由硬件直接 转发的报文，则只能从一条固定路径转发。而 Cisco6509 系列以太网路由交换机从硬件上也实现了等价路由的支持，真正实现了硬件三层转发流量的负载分担与路由冗余备份。 Cisco6509 系列以太网路由交换机最大支持 4 条等价路由，并且不论 RIP、 OSPF 等路由协议产生的路由，还是静态配置路由，不论是网段路由还是主机路由，甚至缺省路由，都可以支持等价路由。 Cisco6509 系列以太网路由交换机在支持等价路由、实现负载均衡的同时，还能很好地保证报文的有序性。通过数据流的目的 IP 地址和源 IP 地址进行计 算， Cisco6509 系列以太网路由交换机可以保证同一个 IP 转发流都从同一个路由路径被转发出去，从而保证了整个端到端网络的路由报文转发的有序性，避免了 TCP 全局同步等问题的发生。 策略路由（ PBR） Cisco6509 系列以太网路由交换机支持高性能的策略路由。策略路由（ Policy-Based Routing，简称 PBR）是目前越来越多的路由器或三层交换机设备正在支持的一项路由扩展功能，支持策略路由的设备不仅能以报文的目的 IP 地址为依据来进行路由选择，还可以以报文的源 IP地址、源 MAC 地 址、报文大小、报文进入的端口、报文类型、报文的 VLAN 属性等等其它扩展条件来选择路由。通过合理的路由策略设计，可以实现网络流量的负载均衡，充分利用路由设备，并实现路由、交换设备之间的冗余备份功能，同时提供各种可以区分的服务等级，为不同用户提供不同的 QoS 服务。策略路由是设置在接收报文接口而不是发送接口。 Cisco6509 系列以太网路由交换机可以很好地支持策略路由功能，并且可以将路由下一跳重定向到某个物理端口，或者某个下一跳 IP 地址。 VPN Cisco6509 系列以太网路由交换机支持 VPN,VPN（虚 拟专网）是利用公共网络资源 (如公用电信网 )为客户组建专用网的一种技术，它通过对网络数据进行封包和加密传输，在公网上传输私有数据，达到私有网络的安全级别，从而利用公网构筑专网（即 VPN）。它是一种逻辑上的专用网络，向用户提供专用网络所具有的功能，但本身却不是一个独立的物理网络。 3.7 网络安全设计 旭日集团园区网有 5000 用户，网络规模比较大，并且和因特网存在连接。为了保障网络系统的运行安全，保护集团的信息安全，必须进行网络安全方面的规划和实施。 一个网络的安全，首先要有严格和有效执行的 管理制度。建议旭日集团制定严格的网络安全管理策略，并有效的执行。其次，必须具有一定的技术手段来保障网络的安全。技术和管理手段相结合实施，才能够产生良好的效果。 通过以下几个技术方面的实施，可以在一定程度上保障网络的安全： 提高设备的物理安全性 配置设备的口令 进行 VTP 域的认证 园区网用户的接入控制 应用系统的访问控制 因特网的接入安全控制 提高设备的物理安全性 设备的物理安全性是指运行中的设备，未经授权的人员不能直接接触到。提高设备的物理安全性，是最基本的要求。通过将 设备安置在独立的设备间中，并增加门禁系统，确保只有授权的管理和维护人员才能接触到物理设备。 配置设备的口令 配置设备的口令，是防止非授权的人员更改网络系统的配置的重要手段。 要为所有的设备设置口令。要为每一台设备配置 CONSOLE口令， AUX 口令， VTY 口令，特权口令等 在口令方面，需要制定管理制度并严格执行。口令管理制度包括口令的设置，保管，更改，口令的强度等内容。 进行 VTP 域的认证 进行 VTP 域的认证，能够保证局域网的 VLAN 等的安全。 设置了口令之后，除非交换机设置了正确的口令，否则。新交换机不能自动加入到已存在的管理域中。保证了局域网的运行安全，可以避免因为 VLAN 被错误或者恶意的增加。删除造成的运行事故。 园区用户的接入控制 因为一般的安全措施都不是针对网络呢的用户的，严格控制用户的接入，可以避免非法用户接入带来的潜在的安全隐患。 园区网系统建设验收完毕之后，确保交换机的所有用户端口处于关闭状态。只有用户使用申请通过批准之后网络管理员才能将端口激活。 应用系统的访问限制 可以 根据旭日集团 的应用需求，在汇聚层的多层交换机上实施访问控制，限制园区网用户对特定应用系统的访问，或者只允许特定的用户访问某些资源。 因特网的接入安全控制 因特网的接入安全控制是非常重要的，不仅需要布置防火墙等安全设备，还要指定严格的安全策略。 四系统设计方案 4.1 系统设计总体需求 本项目的实施目的是在旭日集团内部建立稳定，高效的办公自动化网络，通过项目的实施，为所有员工配桌面 PC，使所有员工能够通过总部网络进入 internet，从而提高所有员工的工作效率和加快企业内部信息的传 递。同时需要建立 WEB 服务器，用于在互联网上发布企业信息。在总部和子公司均设立专用发服务器，使集团内所有员工能够利用服务器方便的访问公共文件资源，并能够完成企业内部邮件的收发。系统建立完成后，要求能满足企业个方面的应用需求，包括办公自动化，邮件收发，信息共享和发布，员工帐户管理，系统安全管理等。 4.2 系统设计原则 随着集团 近年来的高速发展，集团的业务已经涉及到各个商业领域，集团及公司内部的组织结构也日益复杂，在本项目的设计实施过程中，要求工程实施方案在规划系统设计时充分考虑到企业管理的需求，设计合 理的系统管理结构，能够很大程度的降低集团在系统管理上的成本，并能满足各种商务工作的需求，具体设计应依据以下原则： 清晰的逻辑结构：要求集团范围内的系统管理结构清晰，层次分明，能够充分的与集团的管理结构相吻合。集团总部和各个分公司应是相互独立的管理单元，各个单位在自己公司范围内实现用户账户及网络安全的管理。总部管理员有权管理各个子公司的系统 便于管理：整个系统设计要便于网络管理员的管理，在系统中提供便于管理员管理的各种有效方式。使管理员在任何一个位置均能对服务器进行维护和管理。集团总部及各分公司都有专职系统管 理员，应保障管理员只对本公司具有管理权限。总部管理员对集团所有系统有管理权限。 简单的设计：在保障满足需求的前提下，设计方案应简单为佳，避免由于复杂的设计增加工程实施难度和增加集团系统管理的复杂性。 合理的用户管理：所有的用户采用统一的命名规则，每个单位对本单位员工帐户进行独立的管理，并按不同部门管理账号。 4.3 系统设计方案 4.3.1 系统的构价 根据集团的管理结构。本方案采用 Windows 系统提供的域模式来组织和管理全部系统资源，采用域的模式，不仅可以集中存储网络对象，并且管理简 单，即实现了集中管理，又可以满足不同公司自身的安全需求。方案中将集团按公司单位划分不同的模块，集团总部作为域林的根，每个子公司为一个独立的域或者域树，形成一个完整的树状结构。采用这种结构，可以将网络中的全部资源，分散到每个域的域控制器中存储，减少了每台域控制器的信息存储，从而减少复制流量和网络对象的查询时间。具体的实现如下图： 在此构架设计中，旭日集团需要自己的独立的域名，所以在设计林中树，武汉的 4 个子公司作为总部的子域，北京和上海分公司作为一单独的 域树， 由于所有的资源都位于园区网内，具有高速的网络连接，因此所有的域均在一个站点内。即使域中的一台域控制器发生故障，仍然能保障系统的正常运行。并且提高了用户身份验证的速度。 操作主机分配：操作主机域中扮演着重要的角色，直接影响到域是否能够正常工作，在 Windows2003 的域中，一共有五种操作主机，分别是构架主机，域名主机， RID 主机， PDC 仿真器，结构主DC DC DC 根域 : 集团总部 北京分公司 : 上海分公 司 : 子公司 1: 子公司 2:tw 子公司 3: 子公司 4: 同一个站点 森林 机。其中前面 2 种在林范围内起作用，后面 3 种在域范围内起作用，为了使用所有的操作主机更好的工作，保障正常的工作并且不产生大的复制流量，方案采用 了 Windows 系统默认的设置，根域中第一台DC 承担了五种操作主机的角色，每个子域中的 第一台 DC 承担了域范围内的三种操作主机角色。 4.3.2 系统管理设计 在系统设计时包括三个部分，分别是 OU，用户及组的设计，为了更好的满足集团的需要，便于系统管理员方便管理企业中的所有用户，系统管理结构与集团的管理结构相匹配，方案中采用了如下所述的设计。 OU 的设计 集团的 OU 设计目的是为了使用用户管理更有效率，结构更加清晰，并能够使系统的管理结构与集团的商业模型相匹配。在本方案中按部门划分 OU 的方法， 将每个公司中以部门为单位创建 OU，并在部门 OU 中保存该部门的用户帐户，计算机帐户及组采用这种设计的方法，可以在系统管理中清楚的体现公司的管理结构，一般情况下，一个部门内部中的用户常常有相似的安全需求，利用这样的设计方法，也可以方便的将安全策略应用到某个部门。 拥护管理 为了规范用户帐户的管理，系统中所有的用户采用统一的命名规范，每个用户在网络中拥有唯一的登陆名。用户帐户在所属的部门的 OU 中创建。 组的管理 为了满足集团用户管理的需求，更好的在网络中管理用户权限的分配，使系统的管理得到最大的简化，方案中采用AGDLP 策略及 AGUDLP 策略。在每个域中创建全局组，用与组织本域的帐户，在没个域中创建域本地组，用于完成权限的指派。在本域内的权限的分配，可以使用 AGDLP 策略，在域间的权限分配，使得 AGDLP 策略，依次将用户加入全局组，将全局组加入通用组，在将通用组加入域本地组，最后可以根据需要将权限授予指定的域本地组，采用这样的方式，不仅可以使用户的组织和权限分配简单，也可以减少域间的复制流量，从而提高系统的性能。如图所示： 4.3.3 系统的安全设计 在设计方案中，安全的设 计主要分 2 个部分，首先是 ISA Server的应用，通过 ISA Server 的配置，建立软件防火墙，保护集团内部网络不受外部用户的攻击，同时利用 ISA Server 提供的网站过滤功能和服务器发布功能，对企业内部用户的上网行为进行规范，并能保障服务器的安全使用。其次，在方案设计中，充分应用 Window 系统提供用户 全局组 用户 通用组 域本地组 分配权限 全局组 通用组 的组策略功能，利用组策略，可以在每个公司的域中设计安全策略。防止用户进行非授权的访问，保护用户在工作环境不受破坏。具体的设计方案如下： ISA Server： ISA Server 是微软公司出品的软件防火墙 代理服务器产品，它不仅可以起到代理服务器的缓存作用，也能实现防火墙的功能，通过软件防火墙上设置过滤规则，可以控制内部用户对网站的访问，同时利用其提供的服务器发布功能，也可以将企业内部的服务器发布到 Internet 上，提供互联网的访问，在本方案的设计中，主要利用了网站过滤和服务器发布的功能，在集团中心即房安装和配置 ISA 服务器，继承防火墙功能和代理服务器的功能，将集团总部及子公司的 WEB 服务器及 MAIL 服务器发布到互联网上。集团中所有的客户端做为 ISA 的客户端，所有的互联网的访问均通过ISA 服务器转发，这样， 就可以在 ISA 服务器上对所有网络流量进行监控并对实现网络访问的过滤。具体部署如图： 防火墙功能： ISA 服务器位于企业网络和外网之间，采用三网卡分别连接内网和外网和 DZM 区，充分利用防火墙的角色，并利用网站和内容规则来限制用户能够访问的网站 服务器发布：利用 ISA 服务器将企业中的邮件和 WEB 服务器发布到互联网上，保证外部用户可以访问公司的 WEB 服务器，并将公司用户可以与外部客户利用邮件交换信息。 客户端：在所有用户计算机上安装 ISA 客 户端软件，并配置浏览器使用 ISA Server 作为代理服务器上网。 安全策略：在 Windows 系统中的域模式下，安全策略是保护系统及用户在工作环境不被破坏的重要工具，在本方案中 对外发布WEB MAIL 森森 林林 树树 ISA Client ISA Client ISA Server 采用了组策略这个工具对全部系统提供安全保护，由于集团各个子公司采用独立的管理模式，所以在每个域中单独设置组策略，并使组策略应用到每个域中的用户和计算机。各个子公司的系统管理员可以独立的管理子公司的域，并可以在以后修改和编辑组策略，以适应公司未来的需求。在本方案中，根据集团的目前的需求，建立了基本的组策略 密码长度最小值 为 7 密码最长存留期为 30 天 密码过期期限为 50 天 帐户锁定阀值为 5 次无效登陆 启动密码必须符合复杂性需求策略 五、 Windows 服务器解决方案 5.1. WEB 服务器 微软 Windows Server 2003 中的 IIS 6.0 为用户提供了集成的、可靠的、可扩展的、安全的及可管理的内联网、外联网和互联网Web 服务器解决方案。 IIS 6.0 经过改善的结构可以完全满足全球客户的需求。 优点 IIS 6.0 和 Windows Server 2003 在网络应用服务器的管理、可用性、可靠性、安全性、性能与可扩展性方面提供了许多新的功能。 IIS 6.0 同样增强了网络应用的开发与国际性支持。 IIS 6.0和 Windows Server 2003 提供了最可靠的、高效的、连接的、完整的网络服务器解决方案。 特点 描述 可靠性与可伸缩性 IIS 6.0 提供了更智能的、更可靠的 Web 服务器 环 境 ， 新 的 环 境 包 括 应 用 程 序 健 康 监 测 、 应用程序自动地循环利用。其可靠的性能提高了网络服务的可用性并且节省了管理员用于重新启动网络服务所花费的时间， IIS 6.0 将提供最佳的扩展 性和强大的性能从而充分发挥每一台 Web 服务器的最大功效。 更 安 全 、 易于管理 IIS 6.0 在安全与管理方面做出了重大的改进 。 安 全 性 能 的 增 强 包 括 技 术 与 需 求 处 理 变 化两 方 面 。 另 外 ， 增 强 了 在 安 全 方 面 的 认 证 和 授权。 IIS 6.0 的默认安装是被全面锁定的，这意味着默认系统的安全系数就被设为最大，它提供的增强的管理性能改善了 XML metabase的管理及新的命令行工具。 服务器合并 IIS 6.0 是一个具有高伸缩性的 Web 服务器，它为 Web 服务器的合并提供了新的机遇。通过将可靠的体系结构和内核模式驱动程序完美结合在 一起， IIS 6.0 允许您在单台服务器上托管更多的应用程序。服务器合并还可以降低企业与人工、硬件以及站点管理相关的成本。 增强的开发与国际化支持 通过 Windows Server 2003 与 I I S 6 . 0 支持的先进功能如内核模式缓存，应用程序开发人员将从 Windows Server 2003 与 I I S 6 . 0 单一的、完整的应用平台环境中受益。基于 IIS 6.0， Windows Server 2003 为开发者提供高标准 的 附 加 功 能 ， 包 括 快 速 应 用 程 序 开 发 以 及 广泛 的 语 言 选 择 ， 同 时 也 提 供 了 国 际 化 支 持 和 支持最新的 Web 标准。 更高的安全性 I I S 6 . 0 显著改进了 Web 服务器的安全性。 I I S 6.0 在默认情况下处于锁定状态，从而减少了暴露在攻击者面前的攻击表面积。此外， IIS 6.0 的身份验证和授权功能也得到了改进。 IIS 6.0 还提供了更多更强大的管理功能，改善了对 XML 元 数 据 库 （ metabase） 的 管 理 ， 并 且 提供了新的命令行工具。 IIS 6.0 在降低系统管理成本的同时，大大提高了信息系统的安全性。 Web 服务器更高的可靠性和可用性 IIS 6.0 已经经过了广泛的重新设计，以提高 W