benet上海分公司网络改造项目设计实施方案doc页)

1、BENETt海分公司网络改造项目设计实施方案目录 企业用户需求分析 项目概述 系统需求概括 项目建设的要求 项目方案的整体设计与实施 网络系统的分析与设计 系统及应用服务的分析与设计 项目测试与验收 布线系统的测试 网络及服务系统测试 服务系统的测试 项目售后服务及培训项目售后服务承诺技术培训一、企业用户需求分析1.1 、项目概述<1>、企业需求概括Benet 公司是一家专业从事网络、存储产品代理销售和信息项目整体方案解决的国家一级系统集成商，总部在北京，拥有上海和广州两家分公司，随着业务的扩大，上海分公司由原来的10 人增长为50 人，以前的网络及应用环境已经不能适应实际的需求，

2、所以要求对其进行改造，为了保证改造的质量、工期、成本，Benet北京总公司对上海分公司的此次网络及应用环境的改造单列为项目，组织专业人员讨论并编写了招标文件，从社会公开招标，通过竞争来选择有实力的系统集成公司对此次项目进行实施。<2>、建设性目标及原则1 、目标采用先进的计算机、网络设备和软件，以及先进的系统集成技术，构建一个高效的办公网络。2、原则开放性：采用开放标准、开放技术、开放结构。实用性：网络系统的设计以实用、满足应用为主，不追求最高、最新。 先进性：计算机网络技术、软件技术的发展迅速，网络的设计要立足于较高的起 点，保证系统有较长的生命力。安全可靠性：同时考虑应用系统的

3、设计、网络系统设计、硬件设备的选型配置几方面，以确保数据的安全。兼容与可扩充性：尽量采用成熟的技术，保证软硬件的兼容性，同时需考虑设备的更新与升级的能力。经济性：在满足功能与性能的基础上实现性能/价格比最优。可管理性：随着网络规模和复杂程度的增加，网络系统的管理和故障排除将成为较难的事情，针对各种设备都要提供一定的网络管理功能。工程建设按照相关国家标准实施。本次建设作为公司网络系统今后发展的基础，必须按照统一规划、着眼未来、注重实效的原则设计施工。系统建设应兼顾先进性和实用性，尽量采用先进技术以提高系统的效率和可靠性，还要结合公司的工作特点，立足于目前公司办公现状与全社会的计算机应用水平，避免

4、脱离实际，造成系统资源的浪费。1.2 、系统需求概括<1>、组织结构和管理模式及相关业务概括1、上海分公司组织结构如下图：财务部工程部销售部经理部2、上海分公司管理概况上海分公司经理向总经理负责上海分公司各部门主管向分公司经理负责各部门员工向部门经理负责<2>、企业现有设备状况企业目前拥有10台台式计算机，2台笔记本电脑计算机，其中5台台式机配有 10/100Mbps双工自适应网卡，5台台式机配有10Mbps半双工网络接口卡，笔记本 均带有10/100Mbps全双工自适应网络接口卡。所有设备运行良好。现公司已经增 长到50人。网络规模需要进一部进行扩大。<3>

5、;、网络系统的整体规划企业要求建设适合中小型企业的互连接入网络。需要路由器一台，交换机两台，服务器6 台。分公司里的所以员工都能接入互联网，并且可以访问总公司的网络。所以的员工都能访问内部各服务器。分公司的计算机以部门为单位实现隔离。<4>、系统需求概括1、系统管理互联网系统是公司跟外界及总公司的一条重要信息交互通道，要求具有快速高效以及运行稳定的特点，同时，要对员工用户帐户进行相应的控制和管理，并提供完善的日志功能。用户安全、帐户管理用户权限管理网络访问控制事件日志系统将涉及以下3 类帐户： 分公司经理 分公司各部门主管 分公司各部门普通员工2、相关系统软件及应用软件的选择原则主

6、流操作系统：Red Hat Enterprise Linux 4 和 Windows Server 2003使用 Windows Server 2003 构建以下服务：文件服务、活动目录服务、打印服务，代理服务CCProxy1.3、项目建设的要求<1>、硬件的一般性要求所以硬件必须是新产品，而且在质量和性能上能提供可靠证明。集成商所提供的硬件设备应符合国建有关标准及规定。<2>、网络系统的总体设计要求1、布线系统建设总体设计需要80 个信息点。系统采用TIA/EIA568A和568B以及其它相关布线标准实施。除工作区子系统外，其他子系统已布线完成。2、网络系统建设所有员

7、工均能连到网联网上。网络结构体系采用星型拓扑结构。IP 地址规划要合理其次要满足未来发展的需要。网络技术采用高宽带、高速度且简单成熟的以太网交换技术。为了满足设备的兼容性，路由交换应该采用相同的设备。<3>、服务系统的总体设计要求为了满足企业要求应建设文件服务、NFS服务、Web/FTP®务、打印服务、windows活动目录服务、防病毒服务、代理服务。服务器应该采用主流的网络操作系统，并能通过核心服务器对分公司的所有员工进行不同级别的管理。系统的安全措施必须得到加强。打印机必须采用主流厂商的打印机产品。<4>、系统实施的要求 集成商必须提供所有的硬件、软件、和

8、系统集成服务。设计书里必须注明各个模块的具体功能。整个项目实施过程中，由第三方人员现场旁站和监察。<5>、系统的测试以及验收要求 在系统的整体安装、调试完成和工程的施工结束后，必须按相应的标准，提供测 试方案对系统功能性、连通性等做综合测试。建设方与施工方代表在厂依据测试文档和测试报告再综合测试审核此工程建设情 况，记录结果后进行工程初验总结。<6>、项目的售后服务与培训 承建单位必须做好服务承诺明细工作。 施工期间必须对用户技术人员进行必要的技术培训。二、项目方案的整体设计与实施2.1 、网络系统的分析与设计<1>、网络拓扑结构的设计wt.ii mAMmK

9、ri'U.I：I72,I6,W«17 few为 172.lfiJ.119-27 iBfe/IJa U7工恒wmEO< - - >F0.1J TruuliBENET 2.0 SI项目实践网络拓扑图文件眼势甥YldHil:ITLlt.-ILlWL'iTHL I也J孙'上V|an>L 忡ITFD/24< - >F0/UTrunkVLAMWJI>Cms匐服务罂1僵1"3nHROC防病用收药制炫理部、5、1 WK工程部VLAN3W4,财务部172.IMJ8«,27打印.172rIMrm-IW27广 LI&J

10、.W2T制作著s RJ19般喊I班因机<2>、布线系统的分析与设计1、布线系统概述根据美国国家标准化委员会电信工业协会（TIA） /电子工业协会（日A）制定的商用建筑布线系统标准，即 EIA/TIA 568A 和EIA/TIA 568B以及其他相关标准，结构化布线系统主要针对电话、传真、计算机网络、电视会议、图文传真、语音邮件、卫星通信等。从功能上看，结构化布线系统包括工作区子系统、水平子系统、管理子系统、垂直干线子系统、设备间子系统、建筑群子系统，如下图所示建筑群子系统工作区子系统2、布线系统用户需求分析BENET上海分公司的办公环境位于新海岸大厦 6层，面积约600平方米，呈长

11、方形，长30米，宽20米，平面图如下所示：办公大厅楼 梯男厕所D-财务部房会议室n经理办公室台 至 艮大厅68个信息点机房3个信息点会议室4个信息点分公司经理办公室2个信息点财务部3个信息点信息点总量80个信息点信息点位置设计分布图办公大厅IDT3bHY(MHYCHHY03HY02.党 = 酎外部 1m D11)4 rinnnnnnnnnsnnrn廿公E经理室配线管理子系统设计第一个配线架管理大厅中的 DT010D24共24个信息点。第二个配线架管理大厅中的DT25DT4联24个信息点。第三个配线架管理大厅中的 DT49DT6联24个信 息点。第四个配线架分公司经理室中的 JL02及会议室的H

12、Y01 HY02 HY03和机 房的JF01、JF02、JF03共8个信息点。ISP提供的互联网接入线缆通过吊顶中的 线梢送到机房并进入机房到达机柜位置。TJI-4I E ,-nrr-i|-rrrjrTT-| tst ，7 8 9 10 11 1? »» 13 U<3>、IP地址规划ISP提供了一个A类的公网IP地址、8,作为BENETk海分公司接入路 由器R1外连接口 E0/1和ISP提供的路由器端口使用。那么给 BENETh海分公司 接入路由器下连端口 E0/0分配一个私有IP地址/24，在进行子网划分， 最终划分了 6个

13、可用子网。物理接口IP地址子网掩他网关接入远程E0/无接入路由E0/0324无SW7交换机VLAN1952493SW8交换机VLAN1942493WEB服务器F0/14243文件服务器F0/25243打印服务器F0/38255.255

14、.255.2243F0/46243额外域控F0/57243代理服务器F0/69243NFS服务器F0/75243<4>、子网地址规划子接口IP地址E0/0.13/27E0/0.25/27R4E0/0.37/27E0/0.42

15、7/27E0/0.561/27E0/093/27<5>、 VLAN的戈IJ分部门IP地址Vlan100服务器组4-62/27Vlan200经理部6-94/27Vlan300工程部8-126/27Vlan400销售部28-158 /27Vlan500财务部62-190/27Vlan1交换机7、8,路由器94-222/27<5>、网络设备需求分析考虑到设备的兼容性，本项目选用全国知名的企业 Cisco公司的网络设备综

16、合考虑用户需求并符合经济性、交换机选择Cisco公司的入门级交换机2950系 列，路由器选择2600系歹U的路由器 为了设备的安全性，在进行设备调试的时候，都需要给设备加上密码，密码由贵 公司制定。2.2、系统及应用服务的分析与设计<1>、服务器系统的分析与设计1、域控制器系统的分析与设计需要建立双域结构，其中一台做额外域控制器，增强冗余备份。网络服务器全部采用微软的 windows server 2003,客户端全部采用主流的windows xp系统。建议贵公司的域名为 BJ1Q8061-i为了集中管理，因在域中建立各个部门的OU其次建立全局组，将OU里的所以用 户加入对应的OU

17、中，其次将所以OU中的全局组加入到本地域组里，并对本地域 组赋予权限，也就是采用 AGDL觊则。如下图：示例：财务部部门主管郝俊峰登录名：haojunfeng全名：郝俊峰描述：财务部主管初始密码：BJ1Q建立位置：财务组织单元 所属本地安全组：caiwubu所属全局组：all group2、文件服务器以及DFS服务器的分析与设计网络服务器全部采用微软的 windows server 2003,客户端全部采用主流的windows xp系统。服务器上建立镜像卷，做冗余备份旦仃M管这座地J 三亚浆筑工且it铝里外苦着嚣itl LJ共享交样丧:,酸性格日志加瞽报国段各营理春E型存潸三裂可移劭存甘Wa箜

18、砰片整理程序 哥睡2笞理+安后咨和占用程序文件服务器用户权限设置*W。后退共享权限共享蛆或用户名称）名掰姓理H3同将部口箱售都 口工程部共享名项:®w：用户数I般需1：配置脱机访毒 ”Wiba (EJlQ806irLi)jiaeliMi 的积限 0)芫全拄制更改佚取添加电J.加除因苑肯拒耙 而回回确定 |取消 |应用通财网部屋性常瓶I共享 安全自定义I 组蜩户名解8:A'JnimiiLr<tor,x J1Q6QS1 -4 .A.ilniCMAToToDIERrfjjjind.itii 由 1148(X1-4%i2>VSTeaiwubu ®JlQO61-4

19、c aiwuli nJcsjwubu 的权限 IP)完全桂制修改侯琛和运行列出文件夹目录法理写入g Gimm 时£-triLtcir£)特另版PS或高线设置，谙单击.靛灯. 高中 I,11 x|,孰Z0转到I属性 IDFS服务器的具体配置Jnl X:5分布式文件系装文件。 操作Q）苴看9 部助电）目标摘参照1状#ntJWFds.afjs&kfK.已启用% |白面|囹团造|由阳|昆U物W分布式文件系统-_J BJlQ8O61-4. comVAll：一于财务部寸工程都才绘壁消售部文件服务器每个用户主目录磁盘配额限制服务器上所以共享的目录都挂载域中DFS根目录，然后通过访

20、问 DFS根目录访问其他服务器上的服务器toolstoolsI;ilesvr23、代理服务器系统的分析与设计根据公司员工人数及网络设备的数量，代理服务器软件采用CCproxy。代理服务器上必须设置对上网用户相应的权限。代理服务器上必须有员工上网相关的的日志备份。4、Web!艮务器系统的分析与设计Wet®务器采用 windows server 2003 的IIS 组件安装。贵公司的网站应上传到 web服务器上。所以员工能够通过域名访问 web服务器。5、打印服务器的分析与设计利用 windows 提供的打印共享功能创建打印服务器，其他员工通过网络添加网络打印机进行打印。打印服务器上必须

21、设置打印级别，经理、管理人员优先打印。管理员能够通过远程 web管理打印机。<2>、Windows客户端的分析与设计客户端计算机采用相同的主流的Windows XP Professional 操作系统。原有设备中5台配有10/100Mbps全双工自适应网络接口卡的台式机分配给技术开 放部员工使用，5台配有10Mbps半双工网络接口卡的台式机分配给市场销售部员 工使用，两台带有10/100Mbps全双工自适应网络接口卡的笔记本分配给销售部主 管和市场部主管使用。其余办公单位均采购新的计算机，所有计算机应该配置10/100Mbps自适应全双工网络接口卡。<3>、安全策略的分

22、析与设计密码和帐户策略启用密码必须符合复杂性要求密码长度最小值为7 位密码最长存留期为30 天启用帐户锁定策略帐户锁定阈值为5次无效登陆（如下图）_j Wiruiows 设置f脚本点动送机 安全设置- 等帐户箫畴 定等密码策略 1£岁幡尸蟆定策略 主 K«rb»r&s 策略1+月本地策第策略/|策踮设置圈密码必须符合复杂t生要求已启用明密码长度最小值7个字符掰密码最长使用期限30天噩）密码最痕使用期限1天题强制密码历史24 了记住的密码幽用司还原的近密乘脩存密码日禁用"" "wiiirBaiiinHiiiBB!iii m Ki

23、 iifmi aniirBB'iimiiiiKiiirMiiiamiirBKiii ma ki !Mi miirBBiiinaiiiM'iiirMiiiKiiii'Baiimi mi urMi viiiraaiii文件） 操作帮助QP或认域安全设胄策喀策咯设最旗复位幡尸锁定过数器苏分钟之后跚帐尸锁定时间30分钟户锁定随值一家次无疑蹩录 iiTiiriiininirfiriiniiiiBiie'iir'iiriiriiniisiir'iiriinii-iiriiniisiir iinir-iii-iiHiniiTiiriiinii-iii-iiHi

24、niiaiiriiriiriii-iir-iiiii？iiriiinii-iii-iii-iirTii-ii-inii-iii-iii-iii?ii-iiriinin_J Windows 设置国脚本但动/关机33安全设置寻帐户策略!由哥密妈策略.库弊帐户锁定策略+, .等 Kerberos 策咯审核策略启用审核登陆事件启用审核对象访问7裁以域安全设置文件麋作 查看9 帮助班）3 - £国兰晶图L .J tfindcws 设置图脚本 色动/美机）-.学安全设置亨帐户策略-小本也策略审核策略囤用用户权限分配组策略在域中的限制策暗, 疑审核策略更改 .阈审核登录事件 旗审核对象访问 画审核

25、过程跟踪 跚审核目录服务访同 亩糖共揄他田策略设置 没有定义 成功，失败 成功，失败 没有定义 没有定义*右左中所有员工的桌面环境应该保持一致性。所有员工上网的主页应为公司的网站首页，其次代理设置要一致，不可更改。<4>、防病毒服务器的分析与设计为了增加系统的安全系，整个系统采用Symantec AntiVirus企业版的防病毒软件, 可以为企业范围内的工作站和网络服务器提供可伸缩的跨平台的病毒防护。选择副域控制器做防病毒服务器防病毒服务器上能够实现给客户端自动安装防病毒客户端，并且能够实时扫描Symantec系统控制中心 (SS()AntiVinis管理单元，级服务器(父服务器)

26、防病而客端Q三、项目测试与验收3.1、 布线系统的测试测试工具测试设备、仪器、工具型号数量线缆测试仪Fluke DSP-40001测试内容参数英文参数中文测试结果Linemap线对匹配DCR直流电阻Capacit电容Length线路长度Next近端串扰Attenuation衰减ACR串扰衰减比Returnloss回路损耗Delay延迟Impedance阻抗测试方法TSB-67和ISOIECI1801中定义了两种测试方法：通道测试(ChannlTest)和基本链路测试(BasicLink )。在本次部线工程实施完成后，我们选择基本链路测试，基本连接的测试范围是从工作区插座到管理区配线架水平线终接

27、处，然后两端各加2m的跳线。测试结果线缆类型及测试方法测试结果测试内容LinemapImpedance()Freq(MZ)Length(M)Next(DB)Attenuation(DB)DCR:ACR(DB)RI(DTIAUTP/STPCAT5E基本链路测试合格标准12345678s12345678s80 1201.04.08.010.016.020.025.031.2562.5100.0<=9460.054.850.048.545.243.742.742.140.635.732.33.04.09.110.311.616.721.6N/A57.050.844.442.1

28、37.134.531.829.018.910.71919191919171614121211实际结果3.2、 网络及服务系统测试测试工具测试设备、仪器、工具型号数量笔记本电脑或台式机IBM R40E R50E R51E1专用线缆Cisco控制电缆2终端访真软件Windows超级终端3测试内容依据此次工程的实现目标，主要针对工程中所设计的网络系统，进行物理连通性、 功能性测试。交换机测试：测试VLAN青况，查看地址解析表，同 VLANM不同VLAN同在线路上 的连通性，TRUNKS口能否车发所有 VLAN登陆口口令安全测试，TELNE唬拟终 端远程登陆测试，查看配置情况，测试延迟、丢包率、CPU

29、占用率、带宽负载，测试各模块的状态，查看个断口状态，测试NVRAN查看交换机的硬件培植是否与定 货合同相符合。路由器测试：测试路由表是否正常生成，显示全局接口地址状态，断开链路，观 察陆游表发生的变化。查看自借口和静态、默认陆游配置情况，登陆口令安全测 试，TELNET虚拟终端远程登陆测试，查看配置情况，测试时延，丢包率、CPU站用率、带宽负载，测试各模块的状态，查看各端口状况，测试NVRAM查看陆游器的硬件配置是否与定货合同相符合。测试方法：根据设计方案中的规划，检查相关的网络设备和服务器、客户端是否被正确连接， 相关线缆是否被正确标识。根据拓朴图的划分，连接网络拓朴并结合VLAN IP及路

30、由规划等，使用测试笔记本通过Console 口连接到相应的网络设备上；根据拓朴图的划分，连接网络拓朴并结合系统服务功能要求，使用两台笔记本作为客户 端连接到网络任意工作间的信息点上。交换机测试：通过show run、show vlan等命令检测网络设备的IP及VLANE置 是否符合设计规划，在同一个 VLAN中的不同端口通过PING测试是否政党通信； 断开VLAN间的路由，利用PING命令测试多个VLAN间的通信中查在多个 VLAN 之间的不同地理位置是否正常通信；在交换机上，通过 show interface trunk 命 令，检查VLAN言息，检查MAC1,确认交换机能够学习 MA电址，

31、所用命令为show mac-address-table 。作用show ip interface命令检查交换机的地址是否和配置符合。路由器：测试的方法是通过 ping show ip interface命令检查网络设备的接口地址及管理地址，并通过PING命令检查各网段的互通情况；查看接口地址是否被正 确配置，用show ip route ；使用traceroute 查看相关主机地址，路由是否与拓 朴相符。3.3、 服务系统的测试 主要测试工具如下：测试设备、仪器、工具型号数量笔记本电脑或台式机IBM R40E R50E R51E1测试内容依据此次工程的实现目标，主要对工程中所涉及的网络系统，是

32、行物理连通性、 功能性测试。WEB艮务器测试：上传个人网页，本地访问和远程访问网页测试;文件服务测试：上传文件和下载文件测试。打印服务测试：能否按权限实现打印管理。域控制和安全策略服务测试：能否按权限实现域控制和安全策略是否生效。防病毒服务测试：能否远程安装防病毒软件到各个客户端，能否远程实现病毒码 的更新，能否实时监控查杀病毒。Windows客户端测试：看能否应用本网络提供的各种应用。Linux客户端上网测试：看能否和其他计算机PING通，是否可以访问WEB/FTP艮务。测试方法典型的应用服务系统的测试方法有2 种： 第一种方法是使用测试设备单独对产品进行测试；第二种方法是将设备放在具体的网

33、络环境中，通过分析该应用服务 测试命令对网络及服务系统进行综合测试。文件服务测试：在本地机器查看文件服务器是否正常，在远程机器上使用“文件服务器的IP 地址“来访问本服务器，看能否正常登陆以及能否正常上传和下载数据。打印服务测试：按打印权限的划分，分人员去执行打印功能，看能否打印，再按 权限的划分，分别对不同权限的打印用户取消、分配不同打印权限。域控制和安全策略服务测试：测试不同用户的写、读、执行和访问权限；在本地机器上用NSLOOKU命令测试相关域名，看是否能正常解析；在远程机器上使用 NSLOOKUP令测试本地及远程域名，看否能够正常解析；不同用户按权限登陆系 统，测试密码生效、最小值、生

34、效期限、帐户锁定生效次数、登陆事件日志记录等安全策略的实施情况。防病毒服务测试：测试远程安装防病毒软件的客户端和程序，看在客户端安装是否成功；在客户端测试自动升级病毒特征，看是否可以正常升级；看能否实时监控查杀病毒。LINUX客户端及 Windows客户端上网测试：选择LINUX和 WINDOVWS户端通过上述 测试方法，实现上述各种功能的应用。测试结果：所有设备运行正常要求所有设备之间的连接稳定通畅功能上达到设计的要求四、项目售后服务及培训4.1 、项目售后服务承诺本公司在工程验收完毕，自交付使用开始计算，对所有的Sisco 交换路由设备终身提供技术支持。对主要的网络设备进行三年的免费保修。我们还为贵公司提供7*24 小时的服务，在接到电话的35小时之内，派专业人员赶赴现场，进行故障的排查和设备的检修。由于贵公司是一个IT 企业，对网络通信要求较高，故我公司免费为贵公司提供路由器、交换机冗余，在设备出现故障的情况下用最短的时间将故障恢复，以确保不影响贵公司的正常办公。4.2 、技术培训鉴于上海Benet 公司网络系统工程项目的特殊性和重要性，我们将对该系统发生故障所需的售后服务、技术支援作出快速、