物流公司网络信息化部署方案与设计 - 副本VIP

1、XX物流公司网络信息化部署方案与设计【摘 要】在经济全球化发展中，物流行业已从传统的物质资料运动发展为利用信息技术为消费者提供低成本的服务，这就是现代企业物流。现代物流是企业供应链中的一部分，是为了满足客户的需要将物品、服务和相关信息从原始点向消费点有效益地流动以及存储的计划、执行和有效控制的过程。物流领域网络化的基础也是信息化，这里指的网络化有两层含义：一是物流配送系统的计算机通信网络，包括物流配送中心与供应商或制造商的联系要通过计算机网络，另外与下游顾客之间的联系也要通过计算机网络通信，比如物流配送中心向供应商提出定单这个过程，就可以使用计算机通信方式，借助于增殖网上的电子定货系统(EOS

2、)和电子数据交换技术(EDI)来自动实现，物流配送中心通过计算机网络收集下游客户的定货的过程也可以自动完成；二是组织的网络化，即所谓的企业内部网(Intranet)。比如，台湾的电脑业在90年代创造出了“全球运筹式产销模式”，这种模式的基本点是按照客户定单组织生产，生产采取分散形式，即将全世界的电脑资源都利用起来，采取外包的形式将一台电脑的所有零部件、元器件、芯片外包给世界各地的制造商去生产，然后通过全球的物流网络将这些零部件、元器件和芯片发往同一个物流配送中心进行组装，由该物流配送中心将组装的电脑迅速发给订户。这一过程需要有高效的物流网络支持，当然物流网络的基础是信息、电脑网络。物流的网络化

3、是物流信息化的必然，是电子商务下物流活动的主要特征之一。当今世界Internet等全球网络资源的可用性及网络技术的普及为物流的网络化提供了良好的外部环境，物流网络化不可阻挡。【关键词】物流；局域网；虚拟局域网；路由器；交换机；防火墙目 录引言3第一章需求分析41.1 网络以及应用现状41.2 网络建设目标5第二章系统设计原则和关键技术说明62.1 系统设计原则62.2 系统设计目标72.3 关键技术说明72.3.1局域网技术的特点72.3.2虚拟局域网技术的特点82.3.3VPN专网技术的特点92.3.4防火墙技术的特点102.3.5入侵检测技术的特点102.3.6数据加密技术的特点112.3

4、.6防病毒技术的特点12第三章系统总体方案设计133.1局域网方案选择与实现133.1.1 网络结构设计133.1.2 网络设备配置143.1.3 局域网拓朴图153.2广域网方案选择与实现153.2.1 网络结构设计15第四章系统硬软件设计174.1中心机房174.1.1 中心机房的性能指标174.2工作站174.2服务器184.3主要的网络设备194.3.1 核心层交换机194.3.2 接入层交换机194.3.2 主干路由器204.3.3 防火墙及VPN网关204.4网管系统20第五章网络系统调试235.1系统调试思路235.2交换机、路由器以及主要网络设备的配置235.1.1 交换机的主

5、要配置：245.1.2 防火墙的主要配置：255.3 相关测试、诊断命令26第六章 总结29【参考文献】30引言随着网络、数据库及与之相关的应用技术不断发展，尤其国际互联网(Internet)和内部网 (Intranet)技术的广泛应用，世界正在迈入网络中心计算(Network Centric Computing)时代。物流行业也从传统的物质资料运动发展为利用信息技术为消费者提供低成本的服务。物流信息化的定义是：利用信息技术整合企业内部的业务流程，使企业向着规模经营、网络化运作的方向发展。物流信息化是物流企业相互融合的重要手段。物流行业正以信息技术为手段，向综合性物流企业发展，积极发展第三方物

6、流，实现物流的社会化、专业化、规模化，大幅度提升物流产业的优势。当今世界全球信息网络资源的可用性及网络技术的普及性为物流的网络化提供了良好的技术支持，物流网络化必将迅速发展。今后数年，我国全国性物流系统的基础建设如各种物流通路、大型物流中心的建设将会有较快发展，现代化的物流配送系统亦将逐步成熟。所以，积极整合物流资源，实现物流系统战略性功能重组；完善综合性运输体系，构建促进高新技术产业带发展的现代物流支撑系统；建立物流信息平台，构筑现代化全程电子物流网络，成为当今物流行业信息化的首要任务。第一章需求分析1.1 网络以及应用现状XX物流公司网络信息化部署项目涉及总公司局域网安全建设以及与公司仓库

7、和公司老客户之间的专网连接，基本情况如下： 总公司有独立的Internet出口，总公司局域网与公司仓库局域网是两个单独的网络，没有直接相连，总公司访问公司仓库数据库通过Internet进行，公司老客户也是能过Internet与总公司进行连接。总公司没有架构WEB服务，所以暂还没有电子商务业务。 目前网络当中存在如下问题：l 由于公司业务的扩展，办公电脑的增多，原有网络交换机性能出现瓶颈，需要增加更多性能更高的网络交换机和路由器。l 由于网络带宽增大，上网用户增多，原有软件防火墙系统性能出现瓶颈，需要部署更高性能的防火墙。l 原有防火墙系统版本较老，功能较弱，需要功能更强大的防火墙系统，提供更高

8、精细粒度的安全控制。l 没有网关防病毒系统，在内部网络中，网络蠕虫病毒以及POP3，SMTP， IMAP ，HTTP，FTP等网络病毒猖獗。l 内部网络IP地址没有采取技术措施固定，没有划分VLAN，没有进行有效安全隔离，致使攻击行为很容易发生，且不易找到攻击者。l 没有部署VPN，外出用户无法通过Internet安全的访问公司内网，总公司访问仓库数据库不安全。l 没有对来自Internet的流量进行内容过滤。l 对于网络流量没有进行带宽控制，如果内部电脑中了蠕虫病毒的计算机就可能导致整个网络堵塞。1.2 网络建设目标物流信息化是物流行业发展和建设的目标，网络的建设是物流信息化基础和平台。本设

9、计就物流公司的网络平台子系统、服务平台两个方面来部署：网络平台子系统建设：1、具有高速、安全、可靠、简便管理的网络平台，作为物流信息化数据业务及其它业务的统一承载和传输平台。2、具有高性能、高速度的网络服务器系统，让客户机有高速的查询浏览速度。3、具有能够与INTERNET相连接的WEB服务器，使用户能够通过INTERNET查询、检索相关信息。4、具有高性能的数据服务器以存储大量的客户信息、沟通资料。 安全和管理功能建设：1.网络管理功能：网络管理要形成基于统一网管、简便直观、功能强大的网管系统，能对所有网络互连设备及网络服务器的运行状态进行监控和管理。2.网络安全和信息加密：建立先进而实用的

10、网络安全体系，确保信息在传输、利用和管理过程中的安全。第二章系统设计原则和关键技术说明2.1 系统设计原则为实现物流公司网络高质、高效互联的目标要求，在网络设计构建中，应始终坚持以下建网原则：(1) 高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力；合理设计网络架构，制定可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。网络设备在出现故障时应便于诊断和排除，充分体现计算机网络的高可靠性。(2) 技术先进性和实用性在保证满足物流公司业务、应用系统业务的同时，要体现出网络系统的先进性。在网络设计中要把先

11、进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来发展趋势。(3) 高性能骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、图像）的高质量传输，才能使网络不成为业务开展的瓶颈。(4) 标准开放性支持国际上通用的网络协议、路由协议等开放的协议标准，有利于保证与其他网络（如中国教育网、公共数据网、学校之间等其他网络）之间的平滑连接互通，以及将来网络的扩展。(5) 灵活性及可扩展性根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度地减少对网络架构和现有设备的调整。(6) 可管理性对网络实行集中监测、分权管理，并统一分配带宽资源

12、。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析及故障自动报警功能。(7) 安全性制定统一的网络安全策略，整体考虑网络平台的安全性。保证关键数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性。(8) 兼容性和经济性兼容性，能够最大限度地保证公司现有各种计算机软、硬件资源的可用性和连续性，为不同的现存网络提供互联和升级的手段，保证各种在用计算机系统（包括工作站、服务器和微机等设备）的互连入网，充分利用现有网络资源，发挥高速网络的优势。经济性，就是在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有设备或做必

13、要的升级。2.2 系统设计目标本课题设计就是本市XX物流公司为实例，XX物流公司内部网络增设防火墙等设备，交换机配置VLAN，路由器配置策略，保证总部内数据安全。同时增设WEB服务器，实施电子商务业务，根据业务需求实施公司总部、仓库之间和老客户的VPN专网部署。网络建设完成后，保证公司总部局域网状态稳定，仓库数据库访问安全，公司基于网络的业务运转正常。2.3 关键技术说明2.3.1局域网技术的特点局域网LAN (Local Area Network)，是指范围在几十米到几千米内办公楼群或校园内的计算机相互连接所构成的计算机网络。一个局域网可以容纳几台至几千台计算机。按局域网现在的特性看，计算机

14、局域网被广泛应用于校园、工厂及企事业单位的个人计算机或工作站的组网方面。从广义上讲，局域网(LAN)是联网距离有限的数据通信系统，它支持各种通信设备的互连，并以廉价的媒体提供宽频带的通信来完成信息交换和资源共享，而且通常是为用户自己所专有的。局域网经过了近三十年的发展，尤其是快速以太网(100Mb/s)和吉比特以太网(1Gb/s)、10吉比特以太网(10Gb/s)进入市场后，以太网已经在局域网市场中占据了绝对优势。现在以太网几乎成了局域网的同义词，因此本次毕业设计中主要讨论以太网技术。(1) 传统以太网以太网（Ethernet）是以CSMA/CD方式工作的典型网络。由于以太网的工业标准是由DE

15、C、Intel和Xerox三家公司合作制定，故又称为DIX规范。在此基础上，IEEE802委员会的802工作组于1983年制定了第一个IEEE的以太网标准，其编号为802.3，数据率为10Mb/s。(2) 快速以太网快速以太网（Fast Ethernet）是传统以太网的100Mbps版本，是以太网最直接和简单的延伸。它可以应用在共享式环境下，同时也可以应用在交换式环境下，并可作为主干技术提供优异的服务质量。快速以太网和传统以太网同样遵循CSMA/CD协议，最方便的实现10Mbps LAN无缝连接到100Mbps LAN上，最大限度的保护用户的现有投资。(3) 吉比特以太网吉比特以太网（Giga

16、bit Ethernet）又称为千兆以太网，是IEEE802.3z以太网的标准，传输速度为每秒1000兆位（即1Gbps）。应用于大型信息网，能与现有的10Mbps以太网和100Mbps快速以太网连接。它可取代100Mbps FDDI网，也是ATM技术的强劲对手。吉比特以太网采用同样的CSMA/CD协议，同样的帧格式，是现有以太网最自然的升级途径，使用户对原有设备的投资得以保护。2.3.2虚拟局域网技术的特点 1. VLAN的定义VLAN是英文Virtual Local Area Network的缩写，即虚拟局域网。一方面，VLAN建立在局域网交换机的基础之上；另一方面，VLAN是局域交换网的

17、灵魂。这是因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。 这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。 VLAN与普通局域网从原理上讲没有什么不同，但从用户使用和网络管理的角度来看，VLAN与普通局域网最基本的差异体现在：VLAN并不局限于某一网络或物理范围，VLAN中的用户可以位于一个园区的任意位置，甚至位于不同的国家。2. VLA N的优点(1) 控制

18、网络的广播风暴 采用VLAN技术，可将某个交换端口划到某个VLAN中，而一个VLAN的广播风暴不会影响其它VLAN的性能。 (2) 确保网络安全共享式局域网之所以很难保证网络的安全性，是因为只要用户插入一个活动端口，就能访问网络。而VLAN能限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某台设备的MAC地址，因此VLAN能确保网络的安全性。(3) 简化网络管理 网络管理员能借助于VLAN技术轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络，其成员可能遍及全国或全世界，此时，网络管理员只需设置几条命令，就能在几分钟内建立该项目的VLAN网络，其成员使用VLAN网络，就像在本地使

19、用局域网一样。2.3.3VPN专网技术的特点VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一 样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或Windows 2000等软件里也都支持VPN功

20、能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。 虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。2.3.4防火墙技术的特点防火墙是网络安全的屏障，配置防火墙是实现网络安全最基本、最经济、

21、最有效的安全措施之一。防火墙是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通道之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。当一个网络接上Internet之后，系统的安全除了考虑计算机病毒、系统的健壮性之外，更主要的是防止非法用户的入侵，而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些

22、访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分，可实现内部网络中重点网段的隔离，从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。防火墙技术一般分为两类：网络级防火墙和应用级防火墙。网络级防火墙主要是用来防止整个网络出现外来非法入侵。属于这类的有分组过滤器和授权服务器。前者检查所有流入本网络的信息，然后拒绝不符合实现制定好的一套准则的数据，而后者则是检查用户的登录是否合法。应用级防火墙主要从应用程序来进行接入控制。同时防火墙在网络安全防护方面也存

23、在着明显的不足，它不能防止内部攻击；不能防止未经过防火墙的攻击；不能取代杀毒软件；也不易防止反弹端口木马攻击。我们在物流总公司及地方分支机构的网络构建上应用防火墙的设置，这就相当于给整个网络加上了一道“大门”，所有的访问者必须进过防火墙才可以进入，这样我们就可以首先将一部分非法用户隔离在网络之外并组织一部分计算即将病毒的侵入。2.3.5入侵检测技术的特点入侵检测系统(Intrusion Detection System简称IDS)是从多种计算机系统及网络系统中收集信息，再通过这此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门，它能使在入侵攻击对系统发生危害前，检测到入

24、侵攻击，并利用报警与防护系统驱逐入侵攻击；在入侵攻击过程中，能减少入侵攻击所造成的损失；在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术的功能主要体现在以下方面：监视分析用户及系统活动，查找非法用户和合法用户的越权操作。检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞；识别反映已知进

25、攻的活动模式并向相关人士报警；对异常行为模式的统计分析；能够实时地对检测到的入侵行为进行反应；评估重要系统和数据文件的完整性；可以发现新的攻击模式。我们使用入侵检测技术作为防火墙的后的第二道防线，防火墙是我们的“大门”那么当入侵者通过“大门”进入院子（内部网络）开始进行攻击时，入侵检测系统将第一时间发现并报警提醒，驱逐不法入侵攻击。并在被入侵之后收集相关信息。添加到应对策略中，避免再次被同类型的手段入侵。这样就进一步的将一些不被授权的访问者驱逐，再次提升网络的安全级别，使我们的网络更加安全。2.3.6数据加密技术的特点与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。数据加密技术主要分为数据传输加密和数据存储加密。数据加密过程就是通过加密系统把原始的数字信息(明文)，按照加密算法变换成与明文完全不同得数字信息(密文)的过程。数据加密主要用