网络工程课程设计酒店网络设计方案

1、I / 34网络工程课程爲十报告2/34前言 .41项目概述.41.1项目背景 .41.2酒店概况 .41.3项目概况 .42需求分析.52.1需求分析 .52.2设计原则 .63方案总体设计.73.1网络拓扑结构 .73.1.1网络拓扑图.73.1.2层次模型拓扑结构图.73.1.3层次拓扑结构特点.83.1.4层次拓扑结构目标及策略.83.2分层设计思路 .83.2.1核心层设计.83.2.2汇聚层设计.93.2.3接入层设计.93.3综合布线系统设计 .103.3.1总体设计说明.103.3.2信息点统计.103.3.3工作区布线子系统设计.113.3.4水平布线子系统设计.123.3.

2、5干线子系统设计.133.3.6管理子系统设计.143.3.7设备间子系统设汁.163.4主要系统结构 .163.4.1电子巡更系统.163.4.2室内无线对讲系统.173.4.3电子会议系统.173.4.4门禁系统.183/343.4.5无线网络系统.183.5网络设备清单 .193.5.1核心层交换机选型(IBM BNT RackSwitch G8264).203.5.2汇聚层交换机选型(D-LinkDGS-3100-24) .223.5.3接入层交换机选型(华为S5700-24TP-SI(AC) .233.5.4路由器选型(cisco 3825c/k9) .263.5.5服务器选型(IB

3、M System x3850 X5(7145N12) .283.6 IP 地址、VLAN 规划 .303.7网络安全策略 .303.7.1建立防火墙.303.7.2网络保密措施.313.7.3数据安全性和完整性措施.323.7.4网络安全策略及建议.334/34前言惠州国际大酒店将建设成为一个现代化的国际酒店，为各地人士 提供住宿、娱乐、休闲的高档场所。在当今信息社会，商业运作依赖 于高速、稳定、可靠的信息网络，作为现代化的国际型酒店为客人提 供优越的数字通讯环境是必不可少的。作为星级酒店应当运用网络等 高科技手段实现对酒店的全方位管理，不但如此，洒店的网络系统还 要保证个人信息资源的安全性和

4、稳定性。1项目概述1.1项目背景随着经济的蓬勃发展，为酒店业的发展提供了良好的机遇，丰厚 的利润和巨大的市场也吸引了众多的竞争者。酒店行业靠什么赢得竞 争优势？酒店不仅要做好现有业务种类，不断提高服务水平，还要 把握客户的需求，用最经济的办法获得最大的客户满意度，提高企业 自身的档次和知名度，同时拓展新的业务增长点，这使得洒店行业对 信息化的需求非常迫切。调查表明，酒店的信息服务水平在很大程度 上影响着客人的入住愿望。无法提供高速互联网接入服务的酒店，对 于客户来说，无疑是一场商业灾难。1. 2酒店概况惠州国际大酒店由一栋建筑组成，主楼楼高20层，1-3层为商业 服务，4-5层以多媒体会议室为

5、主，6层为公司办公室，7-20层以酒 店客房为主。酒店客房数量为300间。网络须覆盖酒店客房、办公区、 地下停车场、大堂、会议室、宴会厅、商务中心、健身中心、行政酒 廊、餐厅和酒吧等地。1.3项目概况结合酒店建筑平而布局及配套情况，我们对规划的酒店智能化系 统包括以下系统：电子巡更系统；室内无线对讲系统；电子会议系统； 门禁系统；无线网络系统。(1)木网络覆盖酒店客房、办公区、地下停车场、大堂、会议室、 宴会厅、商务中心、健身中心、行政酒廊、餐厅和酒吧等地；(2)逻辑网络架构分内、外网，内网即酒店办公的0A网，日常 5/34办公用，包括前台、财务室、经理室等；外网即客房、大厅、餐厅等 客户有上

6、网需求的地方，两网完全隔离可以确保酒店办公的0A网不 受任何干扰；（3）无线网络部分，本方案采用无线AP +无线网络控制器的方 式，AP只负责接入，控制器负责集中认证，这样可以很好的实现无缝 漫游，AP的覆盖范围尽可能广（覆盖酒店各楼层、商务中心、大厅、 餐厅、酒吧、前台、停车场等），同时设备辐射并不过强，符合国家无 线使用标准，不对人及通讯设备造成危害、干扰等。2需求分析2.1需求分析根据国际大酒店的建筑特点，在木酒店的智能化建设方而除及高 档酒店相适应的各种设施外，为使该酒店实现高度信息化、数字化、 从而实现酒店的现代化的管理和业务应用的需要，主要以下方而要着 重考虑：（1）考虑到酒店提供

7、的国际会务功能，应当着重考虑大型会议的 多语言翻译、多媒体展示和远程传输等等；（2）对于环境调节的机电设备要求较高，从智能化角度来看，就 是要求楼宇自控系统的调节能力要求较高；（3）五星级酒店不仅仅是对设施的要求，更重要的是五星级的服 务，所以针对这个特点应该配置一系列可选择的辅助酒店管理的软、 硬件设施；（4）满足酒店日常0A办公需求，满足客户及酒店内部多媒体会 议需求；（5）为扩充VOIP业务预留资源；（6）新网络应该具有足够的先进性，不仅应该能承载普通的（文 件，打印等）网络流量，并且应该支持多样QOS特性，保证有足够的 带宽运行基于IP网络的实时PC TO PC语音传输，以及未来可能会

8、具 有视频会议流量；6/34（7）新网络应该具有足够的强壮性，应该具有足够的灾难恢复措 施，包括电源冗余，设备冗余，主机冗余，数据库冗余，线路冗余, 拨号链路冗余；（8）新网络应该具有足够的安全性，采取带CBCA特性的路由器， 以及防火墙以及设置DMZ区，防杀病毒、入侵检测、和漏洞扫描及修 补系统、网络数据完整、网络安全保护保证内网的绝对安全，将来数 据在外网以及INTERNET上传输应该采取加密，并且数据传输线路应 该采取全屏蔽双绞线，防止信息的流失和泄露；（9）新网络应该具有足够的功能性，不仅应该具有普通的网络传 输功能，并且应该具有对外发布的平台，内部建立INTERNAT,实现内 部信息

9、处理、信息共享、信息发布一体化。2. 2设计原则根据对智能系统的理解，酒店系统将充分考虑实用性、可扩展性、 先进性、专业性、开放性、安全性、服务性，经济性。（1）实用性：系统在满足工程中所要求的功能和水准，并且符合 国内外有关规范的前提下，达到系统实现容易、操作方便的要求。（2）可扩展性：由于时代的发展及信息技术的更新，在系统设计 时要考虑系统的可扩展性，充分考虑设备的兼容，系统主机要有可扩 展余地。（3）先进性：在满足实用性和可靠性的前提下采用最先进的系统, 特别是符合计算机技术和网络通信技术最新发展潮流，且相当成熟的 系统。（4）专业性:充分考虑酒店的特殊性,进行综合设计并突出专业。（5）

10、开放性：遵循系统开放的原则，各系统应提供符合国际标准 7/34的软硬件、通信、网络和数据库管理系统等诸方面的接口和工具，使 系统具备良好的灵活性、兼容性、扩展性和可移植性。（6）服务性：系统将适应多功能、外向性的要求，突出便利性和 舒适性，服务于酒店内的用户。（7）经济性：在实现先进性、实用性，可靠性前提下，充分考虑 系统的经济效益，使未来系统在性能及价格比上在同类系统和条件中 达到最优。（8）安全性：网络系统应是一个安全系统，并具备各种安全保 卫手段和措施，如通过VLAX的划分和交换机过滤技术来保证网络安 全性。网络的安全机制可以有效地阻止未授权用户的访问，并能提供防火熠Internet4广

11、播通信量的控制，消除广播风暴；利用防病毒软件,可以有效阻止 病毒的传播和破坏。3方案总体设计3.1网络拓扑结构图1网络拓扑图图2层次模型网络拓扑图7/343. 1.1网络拓扑图按入仝迷松0堆入交検机按入空快机万兆桟心仝决机3 gu用点3. L2层次模型拓扑结构图9/343. 1. 3层次拓扑结构特点（1）把一个大问题分解成几个小问题，从而容易解决;（2）将局部拓扑结构改变所产生的影响降至最小；（3）减少路由器必须存储和处理的数据量；（4）提供良好的路由聚合数据流收敛。3. 1.4层次拓扑结构目标及策略层名目标策略充分的可达性桀止内部财的欧认路径无应用策略核心层交换速度访问控制.菜止策略路山，减

12、少处理容和内存的过我路山聚合隔离拓扑结构的变化屏蔽拓扑结构变化的隔离.附藏核心层细节，险滅接入层设备的细节控制路由衣的人小使核心层内部连接最小化汇聚层通信駅的收飲减少交换罚定的复杂程甌提供止常的聚合点和收敛点将数据馈入网络瑚保接入层路由器所A地接收的链接数不会显岀庆与汇聚层之间所允许的 链接数盼止股的数据数据分组级别的过滤接入层访问控时包含标记数据的厦务局性，关闭通道的武他边缘服务图3层次拓扑结构目标及策略3. 2分层设计思路3. 2.1核心层设计核心层是一个高速的交换骨干，是网络所有流量的最终承受者 和汇聚者。由于核心层设备处于整个网络中是最关键的地位，任 何故障都可能造成整个系统的瘫痪，因

13、此设备的选型十分重要。 从可靠性和安全性出发，结合价格因素的考虑。（1）设计目标处理高速数据流，尽可能快地交换数据分组而不应卷入具 体的数据分组的运算中，为下两层提供优化的数据运输功能。（2）设计策略 核心层的所有设备应具有充分的可到达性； 不要在核心层执行任何网络策略；10/34禁止内部网的默认路径和策略路由，减少处理器和内存的过 载，进行访问控制。3. 2. 2汇聚层设计汇聚层把大量来自接入层的访问路径进行汇聚和集中，实现通 信量的收敛，提供基于统一策略的互连性，提高网络中聚合点的 效率，同时减少核心层设备路由路径的数量。(1)设计目标隔离拓扑结构的变化、控制路由表的大小，以及网络流量 的

14、收敛。(2)主要功能地址的聚集、部门和工作组的接入、VLAN间的通信、传输 介质的转换，以及安全控制。(3)实际应用一般按楼宇的地理分布来设计汇聚层，汇聚交换机尽可能 放置在汇聚层的中心位置。汇聚交换机及核心交换机采用千兆 以太链路兀余方式互连，以保证主干链路的冗余连接。汇聚交 换机用级联的方式，通过千兆位端口及各楼宇的接入交换机连 接。3. 2. 3接入层设计接入层是最终用户及网络的接口，它应该提供较高的端口密度 和即插即用的特性，同时应该便于管理和维护，所以一般设计在 各楼宇内。(1)设计目标 将流量馈入网络为确保将接入层流量馈入网络，要做到：(1)接入层路由器所接收的链接数，不要超出其及

15、汇聚层之间 允许的链接数；2如果不是转发到局域网外主机的流量，就不要通过接入层 的设备进行转发；(3)不要将接入层设备作为两个汇聚层路由器之间的连接点, 即不要用一个接入层路由器同时连接两台汇聚层路由器。 控制访问1由于接入层是用户接入网络的入口，所以也是黑客入侵的 门户；（2）接入层通常用包过滤策略提供基木的安全性，保护局部网 段免受网络内外的攻击。基本的过滤策略包括：严禁欺骗、广 播源和直接广播，防止直通的数据，标记数据的服务属性，关 闭通道的其他边缘服务。（2）主要功能 带宽共享、交换带宽、MAC层过滤、网段划分、访问列表过 滤以及为最终用户提供对园区网络访问的途径。3. 3综合布线系统

16、设计3. 3.1总体设计说明（1）数据的插座模块均选择超五类产品，语音及数据水平干缆选 择超五类UTP；（2）而板采用单孔或双孔86型面板；（3）数据干缆选择5类25对线缆；（4）管理间数据水平子系统配线架选择24 口机柜式连接配线架， 在考虑了水平距离的限制的前提下，建筑物内应考虑设置一个配线间;（5）综合布线主机房设在建筑物内中间楼层。3. 3. 2信息点统计洒店信总点统计农用途信息点（个）地下乙二楼地下停牟场50前厅30餐厅60二、三楼餐厅150四、五楼多功能会仪空600六楼办公室500七、八搂客房180九.十楼容房1&0十一.十二楼200十三、十四楼客房200十五.十六役客房200+七

17、、+八楼客房240十九、二十楼玄房240总计2030图4酒店信息点统计10 / 3412 / 343. 3.3工作区布线子系统设计（1）工作区子系统工作区布线子系统由终端设备连接到信息插座的连线（或软线） 组成，它包括装配软线、适配器和连接所需的扩展软线，并在终 端设备和I/O之间搭桥。在进行终端设备和I/O连接时，可能需要某种传输电子装置， 但是这种装置并不是工作区子系统的一部分。例如，有限距离调 制解调器能为终端及其它设备之间的兼容性和传输距离的延长提 供所需的转换信号。有限距离调制解调器不需要内部的保护线路， 但一般的调制解调器都有内部的保护线路。（2）涉及器件8601/8602朗讯单孔

18、、双孔面板，此面板为英制86型而板，带 语音/数据标识条，带弹簧门以防尘。MPS100BH-262超五类模块，配合而板使用，此模块为标准的 RJ-45接口，兼容RJ-11接口，用于接插计算机网络线或电话线。图5 86型而板13 / 341 /2343867 3/08（3）水平线缆及信息出口的连接图7水平线缆及信息岀口的连接3. 3. 4水平布线子系统设计（1）水平子系统水平布线子系统是整个布线系统的一部分，它将干线子系统线 路延伸到用户工作区。水平布线子系统及干线子系统的区别在于: 水平布线子系统总是处在一个楼层上，并端接在信息插座或区域 布线的中转点上。水平布线子系统一端端接于信息插座上，另

19、一 端端接在干线接线间、卫星接线间或设备机房的管理配线架上。（2）涉及器件1061004CSL超五类4对非屏蔽双绞线，用于连接工作区子系 统超五类模块及管理子系统110型配线架。它可支持155Mbps 622Mbps速率数据传输（如高速网络及图像显示），满足客户各种 信息传递的要求。图 6 RJ-45 接口T568A14 / 34（3）水平线缆需求水平线缆的用量按下式计算：水平线缆平均长度=（max距离+ min距离）*2X1. 1 +端接容 限（6m）可布线缆数/箱二最大可订购长度一水平线缆平均长度线缆箱数二信息点数宁（可布线缆数/箱）（4）水平线缆布线方式由通信电缆井内配线架采用金属线槽敷

20、设到房间外走廊吊 顶内，用金属管沿墙暗敷设至工作区，如下图示：图8水平线敷设明线信息点线缆走向可以通过墙上线槽到距地30cm处。墙 上信息点处需在墙内预埋合适管径的管道，并在出线口处预埋固 定暗盒，地而信息点处需经线管预埋于混凝土现浇地而内，出口 处连接地而插座盒。机房的线缆可由高架地板下穿过，插座可安 装在机房的任意位置，此种方式灵活多变。3. 3. 5干线子系统设计（1）干线子系统干线子系统是整个建筑物综合布线系统的一部分。它提供建筑 物的干线（馈电线）电缆的路由。通常由垂直大对数铜缆或光缆 组成，它的一端端接于设备机房的主配线架上，另一端通常端接 在楼层接线间的各个管理分配线架上。水平干

21、线也可能是一端端 接在楼层接线间配线架上，另一端则端接在子配线间的配线架上。（2）涉及器件采用1010050AGY 5类25对UTP作为垂直语音主干，使用多模 室外光纤作为数据主干。（3）垂直线缆布线方式15 / 34电缆孔方法通常将4英寸的刚性金属管在浇注时嵌入混凝土地板，比 地板表而高出1至4英寸，电缆捆在钢绳上，钢缆又固定到墙 上己钏好的金属条上，当接线间上下对齐时，采用电缆孔方法。 这种方法防火，提供机械保护，美观，但灵活性差，成本高, 需要周密筹划。电缆井方法在每层楼板上开出一些方孔使电缆可以穿过这些电缆井从 这层楼伸到那层楼，电缆捆在钢绳上，钢绳靠墙上金属条或地 板三角架固定，可以

22、让粗细不同的各种电缆以任何组合方式通 过。这种方法灵活，占用面积小，但难于防火，安装费用高,3. 3. 6管理子系统设计（1）管理子系统16 / 34管理子系统由交连、互连配线架、信息插座式配线架以及相关 跳线组成。管理点为连接其它子系统提供连接手段。交连和互连 可以将通信线路定位或重定位到建筑物的不同部分，以便能更容 易地管理通信线路。通过卡接或插接式跳线，交叉连接可以将端 接在配线架一端的通信线路及端接于另一端配线架上的线路相连。 插入线为重新安排线路提供一种简易的方法，而且不需要安装跨 接线时使用的专用工具。（2）涉及器件110AB2-100FT 100对AB型交叉连接配线架支持语音和数

23、据传 输；CCW-F1/24 一对语音跳线用于连接水平语音电缆和垂直语音电 缆；另外，本系统还配置了部分快接式语音跳线、数据跳线用于语 音及数据的快速连接，119P8CAT5为数据跳线，110P2CAT5为语音 跳线。（3）配线间设计建议分配线架（IDF）为挂墙式，尽量靠近竖井（或楼层间的垂直通 道）。布线系统涉及大量线路的连接，这样大量的连线给管理带来 了一定的困难。PDS色标标记方案系统而科学地规定了怎样根据 参数和识别步骤，查清交连场的线路和设备端接点。作为一种重 要的技术文档，色标标记方案是以后的布线管理重要的技术依据。配线间应尽量保持室内无尘土、通风良好、室内照明不低于 150Lx应

24、符合有关消防规范、配置有关消防系统。室内应提供UPS 电源配电盘以保证网络设备运行及维护的供电。每个电源插座的 容量不小于300Wo弱电竖井原则上应位于配线室内。配线室不应 小于2. 5x2平方米。PDS色标标计方案示意图如下：17 / 34图11 PDS色标标计方案3. 3. 7设备间子系统设计（1）设备间子系统设备间子系统由设备间中的跳线电缆、适配器组成，它把中央 主配线架及各种不同设备互连起来，如PBX,网络设备和监控设备 等及主配线架之间的连接。通常该子系统设计及网络具体应用有 关，相对独立于通用的结构布线系统。（2）涉及器件110PB2-900FT 900对PB型交叉连接配线架支持语

25、音传输（3）设备间设计建议总配线架设置在主机房的相应位置，总配线架为墙装配线架。 总配线架的位置尽量选在靠近入线口处。设备间子系统是整个配线系统的中心单元，它的布放，选型及 环境条件的考虑是否适当都直接影响到将来信息系统的正常运行 及维护和使用的灵活性。应尽量保持室内无尘土、通风良好、室 内照明不低于150Lx,载重量不小于100每平方米。应符合有关 消防规范、配置有关消防系统。室内应提供UPS电源配电盘以保 证网络设备运行及维护的供电。每个电源插座的容量不小于300W。3. 4主要系统结构3. 4.1电子巡更系统一个或几个巡更人员共享信息采集器，每个巡更点安装一个信 息钮，巡更人员只需携带轻

26、便的信息采集器到各指定的巡更点， 将信息采集器插到巡更点上，当信息采集器上指示灯亮，并发出18 / 34信息釆集“嘀”的声音即操作完成，管理人员只需在主控室将信息米集器 中纪录的信息通过数据变送器送到电脑中，即可查阅、打印各巡 更人员的工作情况。系统的原理框图：为巡更信息钮图12电子巡更系统3. 4.2室内无线对讲系统酒店是一座由钢筋混凝土结构组成的建筑，用手持对讲机通信 不能达到理想的通信效果，给安全、保卫和消防工作带来很大的 不便，为此有必要设立一套内部无线通信网络。大酒店建立内部通信网络需由当地无管委根据各大宾馆的使 用情况，指配一个频率，作为本酒店无线通信网络的专用频率。通信覆盖范围：

27、大酒店内部及半径不大于3千米的外围。 通信方式：采用同频单工制。通话质量：为通信业务三级。要设计一个无线对讲系统，首先要了解建筑物的结构只有在此 基础上才能合理的布置接收发射天线的位置和密度，杜绝盲点或 浪费。3. 4.3电子会议系统根据洒店租用会议室智能化系统的需求，由数字会议系统和大 屏幕投影系统组成。同时为多个语种的同声翻译系统提供预留。 在系统扩展时只需安装相应的红外发射机、红外反射板、传译机 及红外接收机，轻型耳机即可完成同声传译功能。系统要求：（1）电视会议返传功能。能够实行双向传送功能，以保证会议现 场直播需要。（2）会议灯光、音量有集中控制功能19 / 34（3）音响系统要考虑

28、会议、演出两者的兼顾性。（4）MD数字录音功能。（5）数字视频影象输出功能。（6）有有线、无线音频传输功能。酒店租用会议中心和酒店领导用会议室各配置数字会议网络 系统，供大型会议和小型会议使用。该系统是同类设备中较先进 的、采用全数字技术的无失真、无衰减、无噪音的系统，音质清 晰、稳定。其模块化的设计，使系统构成十分方便灵活。3. 4.4门禁系统门禁系统的设计及安装要求：（1）磁卡门锁系统系数稳定和安全。（2）安装时有可视门铃系统。（3）有即时客人房态显示系统。（4）门锁及房间保险柜能够联网控制。（5）客房门锁开启数据侦读。（6）门卡携带方便、操作灵活。3. 4. 5无线网络系统商务客人常常喜

29、欢在酒店大堂、咖啡厅或茶座里用笔记木电脑 工作，或是在这些地方进行一个小型的会谈，当客人需要处理电 子邮件或上网下载公司的资料时，得到的回答往往是：您必须换 一个靠近某个数据点的位置、您可以到商务中心去，或您必 须到房间里用电话线才可以上网等等。而无线智能酒店系统就可 以免除这样的尴尬，它主要是通过在酒店布置无线局域网VLAX来 提供无线宽带服务，可以在最短的时间内实现酒店的整体接入， 不影响酒店的正常营业，尤其是不影响酒店的装修布局。由于会议室、大厅的特殊情况无法布线，所以这些地方往往成 了有线网络覆盖的死角。而且即使想布线，但由于及会人员流动 性大、位置、用户数量不固定，这在具体的方案设计

30、、网络的铺 设上很难实现。偶尔布一次线也会因为每个会议的规模和及会人 数有很大的差别，把我们的网络管理员疲于奔命。而且由于使用 有线网络来进行网络铺设，每个用户都必须使用一个双绞线连接 到网络的信息插座，这样室内就会网线纵横交错，有时会因为各 种原因很可能影响会议的进程，给用户造成不便。完会后，网络 20 / 34撤收也要需要花费大量的人力、物力、时间，这样就造成酒店的 核算成本的增加。而采用无线网络就有效避免了这些问题。3.5网络设备清单(1)核心交换机：为万兆交换机，传输速率为 10/100/1000/10000MbPs,并且端口数量多达53个，背板带宽为 1280Gbps,堆叠功能：可堆

31、叠，端口的VLAX支持4096个VLAN标识 1024 个活跃的 VLAN (802. 1Q)优点：万兆接口，性能超强劲，支持协议独立的组播，价格适中。(2)路由器：传输速率10/100/1000Mbps，端口结构模块化，局 域网接口 3个，内置防火墙，支持vpn,支持QOS, DRAM内存1GB, 最大2GB优点：灵活性，多变性高，稳点，可靠，价格合适。(3)普通交换机:传输速率10/100/1000Mbps,背板带宽256Gbps, 端 口数量 28 个，24 个 10/100/1000Base-T 端口，4 个 100/1000Base- X千兆Combo 口，传输模式全双工/半双工自适

32、应，支持4K个VLAN, 支持 Guest VLAN、Voice VLAN优点：性能稳定，功能强大，质量不错，端口丰富，扩展性不错， 速度快，功耗低，支持4K个VLAX,性能较强劲(4)服务器:产品类别为机架式，CPU的类型Intel至强7500, 标配CPU数量4颗，最大CPU数量4颗，CPU八核，内存容量32GB, 最大内存容量1TB,网络控制器为两个千兆以太网卡，有4块146GB SAS 硬盘，系统支持：Windows Server 2008 (Standard, Enterprise 和 Data Center Edition, 32 位和 64 位)，32 位和 64 位 Red H

33、at Enterprise Linux, SUSE Enterprise Linux (Server 和 Advanced Server), VMware ESX Server/ESXi 4. 0优点：处理器满配,L3高达24MB,性能不俗，扩展能力非常好品 质高，价格合适。21 / 34网络设备清单序号设备类2!设缶名称散虽单价合计单位1汇JR區交抉机D-Link DGS-3100-2443.212.8TS2核心交飮机IBM BNT RickSwtchG8264219.839 6万3CISCO 3&2S/K912828万4誓通交换机牛为 S5700 24TP-SI(AC)80483.84万5

34、IBM System x3850 X5(7145N12)22550万6无歧路由迢海 KitA.RlAC50150.75万7合计109.79万图13网络设备清单3. 5.1 核心层交换机选型(IBM BNT RackSwitch G8264)图 14 IBM BNT RackSwitch G8264 实物图IBM BNT RackSwitch G8264 详细参数:产品类型万兆以太网交换机传输速率10/100/1000/10000Mbps交换方式存储-转发背板带宽1280Gbps主要参数包转发率960Mpps端口结构非模块化端口数量53个端口描述48 个 SFP+端口，4 个 40GbE QSF

35、P+端口，1 个 10/100/1000 以 太网RJ45端口端口参数控制端口1个微型USB控制台端口22 / 34传输模式支持全双工堆龛功能可堆叠VLAN端口的VLAN支持4096个VLAX标识1024 个活跃的 VLAN （802. 1Q） 配有访客VLAN的802. lx 专用的VLAN边缘QOSQoS 802. Ip （优先性队列）DSCP备注 测量组播管理IGMP侦听vl、v2和v3以及2K 的IGMP组协议独立的组播安全管理RADIUSTACACS+SCP线速过滤：允许和拒绝SSH vl、 v2HTTPS Secure BBI安全界面登录和密码MAC地址转移通知Sh辻t B启动菜单

36、（密码恢复/ 出厂默认）功能特性网络管理BLADEHarmony Manager isCLI （Cisco 等） 可编写脚本的CLI 浏览器的客户端或远程登录 IPv6SNMP vl、 v2c 和 v3 远程监控 支持次级NTPDHCP客户端DHCP中继LLDP23 / 34128K MAC地址表9K巨型帧802. 3x流量控制 串口或TFTP固件升级 双软件映像电源电压AC 100-240V, 50-60Hz电源功率330W状态指示灯系统状态，堆叠LED显示产品重量9. 98kg其它参数环境标准工作温度：0-40C工作湿度：10%-90% （无凝露）表 1 IBM BNT RackSwitc

37、h G8264 详细参数3. 52汇聚层交换机选型(D-Link DGS-3100-24)图 15 D-Link DGS-3100-24 实物图D-Link DGS-3100-24 详细参数：产品类型网管交换机应用层级二层传输速率10/100/1000Mbps交换方式存储-转发背板带宽68Gbps包转发率50.60Mpps主要参数MAC地址表8K端口结构非模块化端口参数端口数量24个24 / 34端口描述24 个 10/100/1000MbPs 端口扩展模块4个SFP光接口传输模式全双工/半双工自适应堆叠功能可堆叠VLAN支持QOS不支持功能特性网络管理支持 SNMP, RMON, Telne

38、t, WebGUI,SSH/SSL安全认证等一系列 标准管理协议电源电压AC 100-240V, 50-60Hz电源功率49. 39W产品认证EMI 认证 FCC Class A, ICES-003 Class A, CE, CTick, VCCIClass A产品尺寸440 X 210 X 44mm产品重量3. 04kg平均无故障时 间212, 377 小时其它参数环境标准工作温度：0-40C工作湿度：10%-90% （非冷凝）存储温度：-10-70C存储湿度：5%-90% （非冷凝）表 2 D-Link DGS-3100-24 详细参数图 16 S5700-24TP-SI (AC)实物图3

39、. 5.3接入层交换机选型(华为S5700-24TP-SI (AC)25 / 34华为S5700-24TP-SI (AC)详细参数:产品类型千兆以太网交换机传输速率10/100/1000MbPs交换方式存储-转发背板带宽256Gbps包转发率72MppsMAC地址表16K端口结构非模块化端口数量28个端口描述24 个 10/100/1000Base-T 端口,4 个 100/1000Base-X 千兆 Combo 口扩展模块1个堆叠扩展插槽端口参数传输模式全双工/半双工自适应堆叠功能可堆叠网络标准IEEE 802. 3, IEEE 802. 3u, IEEE 802.3ab, IEEE 802

40、.3z, IEEE 802. 3x , IEEE 802. IQ , IEEE 802. Id, IEEE 802. IXVLAN支持4K个VLAN支持 Guest VLAN、Voice VLAN 支持基于MAC/协议/IP子网/策 略/端口的VLAN支持1:1和N:1 VLAN交换功能功能特性QOS支持对端口接收和发送报文的 速率进行限制支持报文重定向支持基于端口的流量监管，支持双速三色CAR功能每端口支持8个队列支持 WRR、DRR、SP、WRR+SP、DRR+SP队列调度算法支持报文的802. Ip和DSCP优先26 / 34级重新标记支持 L2 (Layer 2) -L4 (Layer

41、 4)包过滤功能，提供基于源MAC 地址、目的MAC地址、源IP地 址、目的IP地址、端口、协议、 VLAN的非法帧过滤功能支持基于队列限速和端口 Shapping 功能组播管理支持 IGMP vl/v2/v3 Snooping 和快速离开机制支持VLAN内组播转发和组播 多VLAN复制支持捆绑端口的组播负载分担 支持可控组播基于端口的组播流量统计安全管理用户分级管理和口令保护 支持防止DOS、ARP攻击功能、 ICMP防攻击支持IP、MAC、端口、VLAN的组 合绑定支持端口隔离、端口安全、Sticky MAC支持黑洞MAC地址支持MAC地址学习数目限制 支持IEEE 802. IX认证，支

42、持单 端口最大用户数限制 支持AAA认证，支持Radius.TACACS+、NAC等多种方式 支持 SSH V2. 0 支持HTTPS支持CPU保护功能支持黑名单和白名单网络管理支持堆叠27 / 34支持MFF支持虚拟电缆检测(Virtual Cable Test)支持端口镜像和RSPAN (远程端 口镜像)支持Telnet远程配置、维护 支持 SNMPvl/v2/v3支持RM0N支持网管系统、支持WEB网管特 性支持集群管理HGMP支持系统日志、分级告警 支持GVRP协议支持MUX VLAN功能电源电压AC 100-240V电源功率40W产品尺寸250X180X43. 6mm产品重量1. 4

43、kg其它参数环境标准工作温度：0-50C 工作湿度：10%-90% 存储温度：-5-55 C 存储湿度：10%-90%表 3 S5700-24TP-SI (AC)详细参数3. 5.4 路由器选型(cisco 3825c/k9)28 / 34图 17 cisco 3825c/k9 实物图cisco 3825c/k9 详细参数：路由器类型多业务路由器网络协议Cisco ClickStart, SNMP传输速率10/100/1000Mbps端口结构模块化局域网接口2个扩展模块1个小型可插拔（SFP）插槽+2个 增强网络模块（NME） +4个高速 广域网接口卡（HWIC） +2个高级 集成模块（AIM

44、）插槽+4个PVDM 插槽基本参数包转发率10Mbps： 14880pps100Mbps： 148810pps1000Mbps： 1488100pps防火墙内置防火墙Qos支持支持功能参数VPN支持支持产品内存256MB电源电压AC 100-240V, 47-63Hz其它参数电源功率210W,典型功耗（不带任何模块）52W29 / 34产品认证UL 60950 , CAN/CSA C22.2 No.60950, EN 60950, AS/NZS 60950环境标准工作温度：0-40C 存储温度：-40-70 C 湿度：5%-85% （非冷凝）环境标准工作温度：0-50C 工作湿度：10%-90

45、%存储温度：-5-55C 存储湿度：10%-90%表4 cisco 3825c/k9详细参数3. 5.5 服务器选型(IBM System x3850 X5 (7145N12)图 18 IBM System x3850 X5(7145N12)实物图IBM System x3850 X5 (7145N12)详细参数:产品类型企业级1基本参数产品类别机架式产品结构4UCPU类型Intel 至强 7500CPU型号Xeon X7560CPU频率2. 266GHz处理器智能加速主频2.666GHz30 / 34标配CPU数量4颗最大CPU数量4颗制程工艺45nm三级缓存24MB总线规格QPI 6. 4

46、GT/sCPU核心八核CPU线程数16线程主板扩展槽7 X半长PCI-E （2个热插拔）内存类型DDR3内存容量32GB内存描述8X4GB 1066MHz DDR3 内存内存最大内存容量1TB硬盘接口类型SAS标配硬盘容量584GB硬盘描述4块146GB SAS硬盘热插拔盘位支持热插拔RAID模式RAID 0, 1, 5存储光驱DVD网络网络控制器两个千兆以太网卡系统管理Alert on LAN 2,服务器自动重 启，IBM Systems Director, IBM ServerGuide ,集成管理模块 （IMM）,光通路诊断（单独供 电），适用于硬盘驱动器/处理器 /VRM/风扇/内存的

47、 Predictive Failure Analysis , Wake on LAN ,动态系统分析，QPI Faildown,单点故障转移管理及其它系统支持WindowsServer2008(Standard , Enterprise 和Data Center Edition, 32 位和 64位)32 位和 64 位 Red Hat Enterprise Linux31 / 34SUSEEnterpriseLinux(Server和AdvancedServer)VMware ESX Server/ESXi 4. 0电源类型冗余电源电源数量2个电源电压220V电源性能电源功率1975W表 5

48、 IBM System x3850 X5(7145N12)详细参数3.6 IP地址、VLAN规划洁店ip地址规划部门VLANip地址范因子网掩码总（副）经理VLAN2192 168 2 2-192.168 2 255255 255.255.0房务部VLAN3-VLAN8-55市场销笛部VLAN9-55VLAN10-55人力资湛部VLAN11192.168 11 2-192.168 1

49、1 255255 255.255.0工程部VLAN 12192.168 12.2-55255 255.255.0保安部VLAN13192.168 13.2-55255 255.255.0财务部VLAN 14-55255 255.0.0图19 IP地址、VLAN规划3.7网络安全策略3. 7.1建立防火墙网络地址转换是一种用于把IP地址转换成临时的、外部的、 注册的IP地址标准。它允许具有私有IP地址的内部网络访问因 特网。它还意味着用户不许要为其网络中每一台机器取得注册的 IP地址。在内部网络通过安全网卡访

50、问外部网络时，将产生一个映射记 录。系统将外出的源地址和源端口映射为一个伪装的地址和端口， 32 / 34让这个伪装的地址和端口通过非安全网卡及外部网络连接，这样 对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡 访问内部网络时，它并不知道内部网络的连接情况，而只是通过 一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义 好的映射规则来判断这个访问是否安全。当符合规则时，防火墙 认为访问是安全的，可以接受访问请求，也可以将连接请求映射 到不同的内部计算机中。当不符合规则时，防火墙认为该访问是 不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地 址转换的过程对于用户来说是

51、透明的，不需要用户进行设置，用 户只要进行常规操作即可。3. 7. 2网络保密措施（1）堵住服务器操作系统安全漏洞任何网络操作系统的安全性都是相对的，无论是UNIX还是NT 都存在安全漏洞，他们的站点会不定期发布系统补丁，系统管理 员应定期下载，及时堵住系统漏洞。（2）注意保护系统管理员的密码 用户名和密码应当设置合理，口令应大小写混合，最好加上 特殊字符和数字，至少不能少于16位，同时应定期修改； 口令不得以明文方式存放在系统中； 建立帐号锁定机制，当同一帐号的密码校验错误若干次时, 自动断开连接并锁定该帐号。（3）关闭不必要的服务端口。谨慎开放缺乏安全保障的端口：很多黑客攻击程序是针对特定

52、 服务和特定服务端口的。 常用服务端口有：WEB： 80, SMTP： 25, POP3： 110,可根据 情况选择关闭； 比较危险（很可能存在系统漏洞）的服务端口： TELNET： 23, FINGER： 79,建议关闭掉。 对必须打开的服务（如SQL数据库等）进行安全检查。（4）制定完善的安全管理制度定期使用网络管理软件对整个局域网进行监控，发现问题及时 防范。定期使用黑客软件攻击自己的系统，以便发现漏洞，及时 补救。谨慎利用共享软件，不应随意下载使用共享软件。33 / 34（5）注意WEB服务的安全问题WEB编程人员编写的CGI、ASP、PHP等程序存在的问题，会暴 露系统结构或使服务目录可读写，这样黑客入侵的发挥空间就更 大。在给WEB服务器上传前，要进行脚木安全检查。(6)警惕DOS攻击和DDOS攻击DOS攻击和DDOS攻击可以使网站系统失去及互联网通信的能 力，甚至于系统崩溃。建议：如果有条件允许的话，可以使用具 有DoS和DdoS防护的防火墙。3. 7. 3数据安全性和完整性措施数据安全性和完整性就是数据的安全技术为了解决上述问题，就必须利用另外一种安全技术-一-数字签 名PKI (Publie Key Infrastucture)技术就是利用公钥理论和 技术建立的提供安全服务的基础设施。PKI技术