计算机论文大型办公网络设计及规划设计方案及对策

-.z独创性声明本人*重声明：所呈交的毕业论文〔设计〕是本人在指导教师指导下取得的研究成果。除了文中特别加以注释和致谢的地方外，论文〔设计〕中不包含其他人已经发表或撰写的研究成果。与本研究成果相关的所有人所做出的任何奉献均已在论文〔设计〕中作了明确的说明并表示了谢意。签名：宁霄2011年5月5日授权声明本人完全了解**学院有关保存、使用本科生毕业论文〔设计〕的规定，即：有权保存并向国家有关部门或机构送交毕业论文〔设计〕的复印件和磁盘，允许毕业论文〔设计〕被查阅和借阅。本人授权**学院可以将毕业论文〔设计〕的全部或局部内容编入有关数据库进展检索，可以采用影印、缩印或扫描等复制手段保存、汇编论文〔设计〕。本人论文〔设计〕中有原创性数据需要**的局部为：无。签名：宁霄2011年5月指导教师签名：年月日摘要21世纪是一个以数字化，网络化与信息化为核心的信息时代。信息技术的高速开展使得计算机网络开展的非常迅速，已经成为信息科学的一个新的分支，随着计算机网络的开展，办公网络已经成为公司走向信息化的必然趋势，使公司的对外联系智能化的开展，办公网络的规划设计是一项系统工程，不同的规划设计方案，可使得网络存在较大的性能差异，它不仅表达了现在网络本身具备的技术特性和应用特点上，也表达了不同用户的各种需求，而办公网络的建立必将对公司的信息化建立和公司对外宣传起到强大的推动作用，同时提供简单、有效、便捷的理想办公、交流环境、本文通过办公网络建立的研究，着重从需求分析、公司办公网络的设计、设备的选型、网络互连设备配置等方便进展了分析与描述，并给出了具体的设计方案关键词：internet技术；公司办公网络；综合布线；网络平安；管理；ABSTRACTThe21stcenturyisadigital,networkandinformationasthecoreoftheinformationage.Therapiddevelopmentofinformationtechnologymakesthedevelopmentofputernetworkveryquickly,informationsciencehasbeeanewbranch,withthedevelopmentofputernetworks,officenetworkshavebeethepanytotheinevitabletrendofinformationtechnology,thepany'se*ternallinksintelligentdevelopment,networkplanninganddesignofficeisasystemsengineering,planninganddesignofdifferentprograms,canmaketheperformanceofthenetworkthereisabigdifference,itnotonlynowhavethetechnicalcharacteristicsofthenetworkitselfandtheapplicationcharacteristics,andalsoreflectsthedifferentusersavarietyofneeds,andofficenetworkconstructionwillbeonthepany'sinformationtechnologyandforeignpaniesplayastrongroleinpromotingadvocacy,whileprovidingsimple,effective,convenientandidealforoffice,municationenvironment,thisresearchnetworkbuildingbyofficeemphasisfromtheneedsanalysis,corporateofficenetworkdesign,equipmentselection,configuration,networkinterconnectiondevicesfacilitatetheanalysisanddescription,andgiventhespecificdesignKeywords：internettechnology；OfficeNetworkpany；Integratedwiring；Networksecurity;management;-.z目录ABSTRACT3目录-7-第一章．工程需求分析-1-1.1.工程背景-1-1.2.需求分析-2-2.1网络建立目标-2-2.2网络及系统建立内容及要求-3-2.2.1建立内容：-3-2.2.2要求：-3-2.3.网络设计原则-3-第三章．工程实施方案-4-3.1工程组织构造-4-3.2工程实施前的准备工作-6-3.2.1工程实施概述-6-3.2.2布线系统实施-6-系统整体实施-7-3.3安装前的场地准备-7-3.3.1施工现场准备-8-3.3.2施工的场外准备-8-3.4核心及各网点的安装调试-9-3.4.1工程硬件安装-9-3.4.2工程软件调试-9-3.4.3系统的安装-10-3.4.4工程质量检查-10-第四章．网络测试-10-4.1网络测试目的-10-4.2测试文档-10-第五章网络总体设计-12-5.1网络总体拓扑图-12-5.2网络层次化设计-14-5.2.1.核心层-14-5.2.2会聚层-14-5.2.3接入层-15-5.3核心层设计-15-5.4接入层设计-15-5.5内联接入-15-第六章.路由设计-15-6.1路由协议选择-16-6.2路由规划拓扑图-16-6.3IP地址规划-16-第七章网络平安解决方案-17-7.1网络边界平安威胁分析-17-7.2网络内部平安威胁分析-18-7.3平安产品选型原则-18-7.4网络常用技术介绍-19-7.4.1PPP协议-19-7.4.2Vtp-19-7.4.3HSRP协议-19-7.4.4VLAN技术-19-7.4.5Trunk技术-19-7.4.6Easy-vpn技术-20-7.4.7SPT协议-20-7.4.8OSPF协议-20-7.4.9Qos技术-20-第八章产品选型-20-8.1路由-20-8.2二层交换机-21-8.3三层交换-21-8.4工程部专用电脑-21-8.5打印系统-22-8.6文件效劳器-23-九．总部和分部网络的配置-24-9.1总部配置-24-9.1.1网络描述-24-9.1..2IP地址和vlan规划表-25-9.2根本配置-25-9.2分部网络的配置-27-9.2.1网络描述-27-9.2.2IP地址和vlan的规划-28-第十章.网络技术的配置和验证-28-10.1trunk技术详细配置-28-10.1.1技术介绍-28-10.1.2配置截图-28-10.1.3观察Trunk链路的工作状态-29-10.2vtp技术详解-29-10.2.1.技术介绍-29-10.2.2配置截图-29-10.2.3VTP配置检查-29-10.3Stp技术详细解释-30-10.3.1技术介绍-30-10.3.2stp配置检查-31-10.3．3生成树协议的验证-32-10.4Vlan技术详解-33-技术的介绍-33-10.4.2Vlan信息验证-33-10.5Hsrp技术详解-34-10.5.1技术介绍-34-10.5.1技术配置截图-34-10.5.2查看结果-35-10.6Route技术详解-35-10.6.1技术介绍-35-10.6.2结果查看-36-10.7Acl的配置-37-10.7.1实验拓扑-37-10.7.2配置路由〔保证全网通〕-37-10.7.2配置acl-37-10.8DHCP效劳器的配置-37-10.9Nat的配置-39-实验拓扑-39-10.9.2配置pat-40-10.10Ppp的配置-40-10.10.1实验拓扑-40-10.10.2Ppp配置-41-第十一章.效劳器的安装配置与验证-41-11.1先查看物理连结-41-11.1.1接入层-41-11.1.2会聚层-42-11.2Windows效劳器的安装-42-11.3安装配置DNS、DC、WEB、FTP等效劳器-45-10.4安装域控制器〔DC〕-48-11.5安装电子效劳〔Pop3与smtp〕-55-11.5安装配置WEBFTP-56-第十二章.售后效劳-58-11.1承诺-58-11.2培训-59--.z投标公司简介易扬科技**成立于2002年，公司以先进互联网增值产业和数字内容效劳为主业，业务普及全国大、中小学等教育和研究单位及企事业单位公200余家。目前，易扬科技**拥有一大批在计算机、通讯和企业管理方面具有丰富理论与实践经历的高级专业人才，利用灵活的现代企业机制，效劳社会，积极开展与各级企事业单位的广泛合作、充分发挥公司在人才、网络、资源、技术、效劳等方面的优势，为中国的信息化建立做出更大奉献。第一章．工程需求分析工程背景龙翔集团是一家以开发中高端精品住宅为主营业务的全国性房地产开发企业。总经理*旺财于1998年集资1000万在中国上市，集房地产开发，建筑施工，于一体综合性防地产公司，总部设在，有员工155人，本市有分公司64人，随着公司业务的开展，公司深刻的认识到信息化的重要性，然而因当前集团网络的缺陷、设备的陈旧以及*些技术上的问题，造成公司出现网络不稳定，网络拥堵、信息交流失败、数据平安且与分公司不能进展实时的联系等一系列问题，给企业带来不必要的损失以下是公司组织构造：工程部工程部行政部行政部总经理人事部总经理人事部财务部财务部网络部网络部销售部销售部总公司组织构造：〔总计：155人〕部门工程部市场部人事部财务部网络部销售部总经理人数45人32人30人9人5人32人2人分公司组织构造：〔总计：64人〕部门工程部市场部人事部财务部网络部销售部经理人数18人15人13人3人5人9人1人需求分析1．数据中心作为公司生产运营系统〔如人事考勤系统，财务报价系统等等〕的核心数据的存放地，其性能、稳定性、平安性、可靠性的要求最高，因此我们在设计的时候，会着重考虑这些需要，并采用PI*防火墙技术提高网络性能的平安性、可靠性。2．核心交换区的功能是高速可靠地交换数据，该局部的设计需考虑性能和可用性的平衡，因此我们将采用多核的数据处理器提高数据的传输效率。3．分支机构接入区域，我们将平安性放在第一位，同时，生产运营系统的运行离不开网络和数据中心的连接，因此冗余性的考虑也是必须的。因此我们公司将采用HSRP、STP技术解决冗余问题。4．各分部地点办公网络做为内部互联单位，可信度较高，内部网络的可用性是我们首要考虑因素，因此我们将划分VLAN以提高各部门的网络互联性及可用性。5．由于当前业界的网络管理*畴较广，包括设备管理、资源管理、故障管理、性能管理、平安管理等等。我们公司在面对网络规模相对较大的时候，将采取适宜的网管系统以帮助客户方便管理网络内的设备及运行情况，提高网络的运行效率6．公司于分公司之间建立ppp专线连接，这种链路提供全双工操作，并按照顺序传递数据包，平安的传输分总公司之间的数据。假设是有新的跨区域的分公司则使用vpn来消除区域性平安的传输.第二章．网络总体建立目标网络建立目标为贵公司设计的未来的形象图龙翔集团公司信息系统主要建立一个企业信息系统，它以管理信息为主体，是一个面向集团的日常业务、立足生产、面向社会，辅助领导决策的计算机信息网络系统。1．构造一个既能覆盖本地又能与外界进展网络互通、共享信息、展示企业的计算机企业网。2．选用技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用构造容错的方法3．完全符合开放性规*，将业界优秀的公司集成于该综合网络平台之中；4．具有较好的可扩展性，为今后的网络扩容作好准备5．采用OA办公，做到集数据、图像、声音三位一体，提高企业管理效率、降低企业信息传递本钱6．整个公司方案采用10M光纤接入到运营商提供的Internet。集团统一一个出口，便于控制网络平安7．设备选型上必须在技术上具有先进性，通用性，且必须便于管理，维护。应具备未来良好的可扩展性，可升级性，保护公司的投资。设备要在满足该工程的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品，同时也要有好的售后效劳2.2网络及系统建立内容及要求建立内容：1.网络规模的扩大使通讯变得复杂起来，效劳器和客户端机器的数量增加，直接导致数据方式的复杂性。2.分公司的不断创立，需要与总公司的连接，要更好的网络的规划。3.网段之间的通讯具有不同的解决方式。如何使这些不同的解决方式具有很好的兼容性成为一个刻不容缓的问题。4.网络的平安性不好，时常出现信息泄露、网络被攻击的现象5.原来的网络设计没有比拟好的延展性和可预见性的技术导致企业现有网络不能满足企业开展的需要。6.文件传输时常出现传输不出去的现象，造成重要文件无法及时传达，影响企业正常开展。7.保证网络的稳定性对于集团各阶层尤为重要，是企业的正常生产不会造成损失的保证要求：1.建立龙翔集团总部统一、共享、规*，可满足企业未来管理和业务开展要求的全公司信息系统总体架构，以满足系统资源和信息资源整合的需要。2.实现网络方式的业务流程化管理。保障企业业务实现网络化、流程化，将人为因素对业务生产的影响减少到最低，各个部门功能单一化，责任明确，清晰，促进流程的科学化和规*化。3.建立企业统一的平安管理平台，保证企业信息和数据的平安，生产和日常业务的正常运行。4.帮助企业建立高稳定性的网络平台，防止因网络异常给企业带来的不必要经济损失。5.我公司的设计新网络具有较强的功能性，能够帮助隆康总部与分公司的用户进展平安性较高的资源共享、对外发布、上网查资料等2.3.网络设计原则多业务网络系统方案以实现以上功能为根本要求，在设计上力求做到既要采用国际上先进的技术，又要保证系统的平安可靠性和实用性。具体来讲，其设计遵循以下原则：1先进性系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术，符合国际标准和规*；2标准性所采用技术的标准化，可以保证网络开展的一致性，增强网络的兼容性，以到达网络的互连与开放。为确保将来兼并公司时间来自不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。3兼容性跟踪世界科技开展动态，网络规划与现有光纤传输网及将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。4可升级和可扩展性随着技术不断开展，新的标准和功能不断增加，网络设备必须可以通过网络进展升级，以提供更先进、更多的功能。在网络建成后，随着应用和用户的增加，核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择，以方便未来更灵活的扩展。5平安性网络的平安性对网络设计是非常重要的，合理的网络平安控制，可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的，灵活的实施网络的平安控制策略。在公司网络中，关键应用效劳器、核心网络设备，只有系统管理人员才有操作、控制的权力。应用客户端只有共享资源的权限，网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进展基于协议、基于Mac地址、基于IP地址的包过滤控制功能。公司会有采用pi*防护墙，保证公司内部的信息。6可靠性网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的备份策略和快速恢复策略，保证网络和系统具有故障自愈的能力，最大限度地支持各个系统的正常运行。硬件可靠性：系统的主要部件采用冗余构造;软件可靠性：充分考虑异常情况的处理，具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示；并具有进程监控管理功能，保证各进程的可靠运行数据库系统应。网络构造稳定性：本系统应具有较强的容灾容错能力，具有完善的系统恢复和平安机制；7易操作性提供中文方式的图形用户界面，简单易学，方便实用。优良的性能价格比。系统应着重考虑和满足以上的设计要求。8可管理性在进展网络设计时，选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置，网络拓扑构造表示，网络设备的状态显示，网络设备的故障事件报警，网络流量统计分析以及计费等。网管软件的应用可以提高网络管理的效率，减轻网络管理人员的负担。第三章．工程实施方案3.1工程组织构造1.网络技术总监：寇宇毕业于复旦大学计算机系专家级网络工程师，获得了CCIE，CA,CP,CCDP,CCIP等证书，具有大型IP城域网或骨干网工程实施经历，曾经带着团队做过一些医院、学校等网络建立工程。职责要求：全面负责本工程的工作，顾全大局，具有一定的管理能力、协调能力及筹划能力。1.订并组织实施技术系统工作目标和工作方案；2.组织制订并实施技术系统规章制度和实施细则；3.工程启动、工程方案、工程客户验收及工程内部总结验收评审等相关工作；4.参与重要工程的售前支持；5.与潜在客户/合作伙伴的方案讨论与技术交流；6.借助现有资源和人员技术优势对工程进展推广、经营，并能筹划与之相关的新工程，扩大业务*围，以创造更多的利润；7.负责制定部门管理规*报批并执行以及业务流程规*化管理；8.负责对下属部门经理及相关有工作关系的人员进展考核；9.定期向总经理汇报工作，定期听取下属员工的工作汇报。2.网络工程师:宁霄毕业于中南财经计算机系〔获得过CCIE，CCSP，CCVP，CCDP等证书，具有大型IP城域网或骨干网工程实施经历〕职责要求：明确网络建立的目标，制定网络建立的方案，企业的资源整合，工程的总体设计拓扑图，购置相关的设备，最后要出示正式的规划书。网络布线工程师：周琦毕业于**大学计算机系〔获得过CA,CP等证书〕职责要求：线缆的布局，室内效劳器的摆放，根据事实情况制作图纸3.网络实施工程师：田晓娜毕业于**交大计算机系〔获得过CA、CP、CCSP〕职责要求：要在实施之前进展场地的准备，要给工程的实施创造有利的条件和物资的保证，还要检测好施工场外部的准备工作。4.工程技术人员：郎林静毕业于**大学计算机系〔网络实施工程师，获得了CA，CP等证书〕职责要求：负责工程售后效劳，售后培训工作。5．工程测试人员：陈静雅李浩毕业于**大学计算机系〔软件/硬件测试人员，获得过CCIP,CCDP等证书〕职责要求：1．负责公司产品的可靠性、兼容性测试；2．协助工程师对修复产品进展性能试验等工作；3．完成相关测试文档的填写数据的记录工作；4．对相关部门提供测试帮助，及时提出测试结果和问题；5．负责测试设备的维护及工作环境的搭建。3.2工程实施前的准备工作工程实施概述依据本工程的特点，本公司将调集本公司内最优秀的技术力量组成网络工程综合布线工程组，从组织上保证此工程从施工、安装、调试、试运行到维护保障、技术支持、技术培训、售后效劳等各个环节有强大的技术力量进展支持并落实到人。工程组内责任明确，分工合作，协调配合。该工程组将保持技术队伍的稳定，直到该工程维护期完毕后才撤消。工程实施过程主要分两个阶段：1)随装修一起进展的布线系统实施过程2)系统具体实施过程布线系统实施布线系统实施的前期局部因为和装修有很大关联，所有要根据装修工程的进度进展相应进展。在主干线槽以及分支铁管施工完成后，可以进展放线局部工作，由于系统构造比拟简单，要求在一天内完成，根据现场实际情况，对暴露在线槽外的线缆进展相应的保护。完成后，相应的土建施工可以继续进展。墙面插座的安装和强电墙面插座同步进展，因为数量少，要求在2个小时内完成。办公隔断内的布线施工以及插座模块的安装与家具安装同步进展。在办公隔断安装顺利的情况下，在一天内完成。网络机柜内线缆的整理和配线架的安装在装修完成后进展，由于信息点数量不大，要求在一天内完成。配线架安装在机柜上部。所有线缆上应该按照设计做好标记，插座面板和配线架上按照设计标记信息点编号，以方便日后的管理维护。以下是对该公司设计的线路图：图中红色线槽为土建施工中已经设计安装好的地下暗藏金属线槽。所有线缆集中到机房的标准机柜中，安装到配线架上。各个部门的信息点的线缆均从线槽上相应位置设置的分线盒直接进入办公隔断的踢脚板中，通过金属软管到达信息点设计位置。系统整体实施装修工作完成，设备到位后开场系统的实施工作。系统实施分两局部同时进展。1)网络和效劳器的安装：将交换机和路由器安装到标准机柜中。由于重量比拟大，为了不提高机柜的重心，3台效劳器依次安装在机柜下部，配线架安装在机柜上部，路由器和交换机安装在配线架和效劳器之间。3台效劳器的显示器和鼠标键盘用延长线连接到机房办公桌上，然后通过短跳线连接到交换机相应端口。首先对路由器和交换机进展配置调试，然后安装并配置好4台打印机的网络接口卡，连接到系统中。安装效劳器的操作系统，根据系统设计方案配置效劳器。2)客户端的安装：按照设计方案安装配置所有的客户端计算机，连接到系统中本工程组方案有由工程经理1名、方案与质量管理经理1名、工程协调经理1名、工程施工经理1名、安装调试工程师和施工技术人员假设干名组成。以保证整个工程的顺利实施。3.3安装前的场地准备施工现场准备施工现场是施工的全体参加者为夺取优质、高速、低消耗的目标，而有节奏、均衡连续地进展战术决战的活动空间。施工现场的准备工作，主要是为了给拟建工程的施工创造有利的施工条件和物资保证。其具体内容如下：1.临时住房建立按照我们工程解决方案提供的网络建立总平面图及隆康公司的实地情况，建立必要的布线人员的临时住房。路通：须按照网络建立总平面图的要求，修好施工现场的永久性道路(厂区必经要道)以及必要的临时性道路，形成完整畅通的运输网络，为筑网络设备进场、堆放创造有利条件。水通：按照网络建立总平面图的要求，做好地面排水系统，为施工创造良好的环境。电通：按照施工组织设计的要求，接通电力和电讯设施。2.做好网络设备(配)件、和材料的储存和堆放按照网络设备(配)件、和材料的需要量方案组织进场，根据网络建立总平面图规定的地点和指定的方式进展储存和堆放。3.及时提供网络设备(配)件、和材料的试验申请方案按照网络设备(配)件、和材料的需要量方案，及时提供网络设备(配)件、和材料的试验申请方案。如网络线缆、水晶头等。4.做好冬雨季施工安排按照施工组织设计的要求，落实冬雨季施工的临时设施和技术措施。5.设置消防、保安设施按照施工组织设计的要求，根据网络建立总平面图的布置，建立消防。保安等组织机构和有关的规章制度，布置安排好消防、保安等措施。施工的场外准备施工准备除了施工现场内部的准备工作外，还有施工现场外部的准备工作。其具体内容如下:1.网络设备(配)件、和材料的订货与生产厂家沟通、生产单位联系、签订供货合同，搞好及时秩应，对于施工组织的正常工作是非常重要；对于网络工程也是这样，除了要签订议定书之外，还必须做大量的有关方面的工作。2.做好分包工作和签订分包合同由于我们施工组织的人员、力量所限，布线工程将向外单位委托。根据网络工程量、完成日期。网络工程质量和网络工程造价等内容，与其他单位签订分包合同、保证按时实施。3.向上级提交开工申请报告当网络设备(配)件、和材料及做好分包工作和签订分包合同等施工场外的准备工作后，应该及时地填写开工申请报告，并上报上级批准。为了落实各项施工准备工作，加强对其检查和监视，必须根据各项施工准备工作的内容、时间和人员，编制出施工准备工作方案。综上所述，各项施工准备工作不是别离的、孤立的，而是互为补充，相互配合的。为了提高施工准备工作的质量、加快施工准备工作的速度，必须加强网络施工组织的协调工作，建立健全施工准备工作的责任制度和检查制度，使网络施工准备工作有领导、有组织、有方案和分期分批地进展，贯穿施工全过程的始终。3.4核心及各网点的安装调试工程硬件安装根据工程进度表和安装环境，我公司的工程工程经理组织工程实施小组进展核心和各个样板点的设备安装工作，并根据工程特点提供的硬件安装方案图来指导工程师对其他网点进展硬件安装。在硬件安装之前根据工勘标准进展现场机房硬件条件的测试，包括：设备主输送电压、机房温度、湿度、设备机柜等。工程软件调试在设备硬件安装完成之后，工程实施小组将现场对核心和样板点设备进展上电，连接线缆，并对设备上的配置参数进展核实。通过样板点软件调试对客户工程师现场培训，使其具备对其他网点软件调试能力。现场工程师将确认设备上的运行软件版本，保证网络设备版本的统一性与可维护性。系统的安装根据隆康集团的情况，我们对其电脑设备进展安装，效劳器电脑全部用windowsserver2003企业版系统，员工电脑全部用*p系统工程质量检查安装调试完成后，工程实施小组要按照工程质量检查标准进展检查，对主要机房做到100％的工程质量检查，对分散的中低端设备进展工程质量抽查。工程质量检查中发现的问题及时进展整改，到达工程质量检查标准的要求。第四章．网络测试4.1网络测试目的在测试工作开场之前，根据本工程的具体情况会同设备厂商技术人员等专家制定测试方案，并把方案提交给隆康集团工程单位和工程组讨论，在方案获得通过后按照该方案开展测试工作。测试的过程和结果将以测试报告的形式予以记录。网络测试主要面向的是交换机、路由器、防火墙等网络设备，可以通过手动测试或自动化测试来验证该设备是否能够到达既定功能。网络测试首先需要验证的是设备的功能满足与否，在此根底上，设备的平安性也尤为重要。现在一些黑客可以通过一些工具或自己开发的脚本对设备进展攻击。根据工程实施特点，测试内容包括如下功能性测试：设备测试;测试设备在网络中运行工作情况；网络连通测试；测试客户端用户效劳器应用，隆康集团内部网，不同网段互访；平安性测试；测试设备受到黑客入侵时的反响，检验设备的平安性能。4.2测试文档1．二层交换机WS-C2960-48TT-L二层交换测试文档测试人：陈静雅测试时间：2011-3-15设备型号：WS-C2960-48TT-L交换机测试目的：检查设备的物理状态、运行状态和功能测试。前提条件：电源电压100-240VAC；环境要求：工作温度:0℃电源频率：50—60Hz；地线与零线之间的电阻小于2、电压小于1V。测试说明：设备关电、加电可以正常关机、开机则记录为“√〞，否则填写“×〞；观看设备systemLED指示灯颜色显示为绿色记录为“√〞，否则记录为“×〞序号设备名称序列号设备关电、加电，设备状态指示灯颜色1WS-C2960-48TT-L1√√√2WS-C2960-48TT-L2√√√2.三层交换机测试文档测试人：陈静雅测试时间：2011年3月15日设备型号：CISCOWS-C3750G-24TS-S测试目的：检查设备的物理状态、运行状态和功能测试。前提条件：电源电压200V—240V；工作温度:0–45℃电源频率：0-60Hz；地线与零线之间的电阻小于1、电压小于1V。测试说明：设备关电、加电可以正常关机、开机则记录为“√〞，否则填写“×〞；观看设备。ystemLED指示灯颜色显示为绿色记录为“√〞，否则记录为“×〞序号设备名称序列号设备关电、加电设备状态指示灯颜色3WS-C3750G-24TS-S3√√√4WS-C3750G-24TS-S4√√√3.路由器的测试文档测试人：李浩测试时间：2011年3月15日设备型号：cisco2821测试目的：检查设备的物理状态、运行状态和功能测试。前提条件：电源电压100-240VAC；工作温度:0–35℃、工作湿度:5%–电源频率：40-60Hz；地线与零线之间的电阻小于1、电压小于1V。测试说明：设备关电、加电可以正常关机、开机则记录为“√〞，否则填写“×〞；观看设备systemLED指示灯颜色显示为绿色记录为“√〞，否则记录为“×〞序号设备名称序列号设备关电、加电，备状态指示灯颜色C1cisco28211√√√C2cisco28212√√√4．效劳器测试测试人：寇宇测试时间：2011年3月15日设备型号：webserver、mailserver、fileserver测试目的：检查设备的物理状态、运行状态和功能测试。工作温度:0–40℃、工作湿度:5%–测试说明：设备关电、加电可以正常关机、开机则记录为“√〞，否则填写“×〞；是否正常开关机√√√√√CPU利用率第五章网络总体设计5.1网络总体拓扑图由于考虑到总公司的实际需求，我们给贵公司设计的方案是采用两台路由双线接入负载均衡，都在路由端口上做nat转换节约ip地址。四台CISCOWS-C3750G-24TS-S做双机热备〔两台总部两台分部，可扩展〕，根据当前贵公司的人数需求，我们用四台WS-C2960-48TT-L二层交换机〔可扩展〕做vlan划分。用Cisco专有热备份路由协议技术，根据需求配置成多组HSRP；同时双机还可以做负载均衡。这样设计不但保证网络的高可用性和稳定性，还能够充分利用现有设备的资源，以防止单台核心设备的负载太重而导致的网络性能问题。如上图所示，，这是总部内网的架构，整体网络可以根据功能划分为总部核心网络、内联接入包括办公网络，各部门相对独立，通过核心网络进展数据的交互。各部门可以各自建立相互通讯，各部门的网络平安体系，可以有独立的平安策略、数据流量控制等个体的特性，而需要和其他区域的设备进展通讯的时候，则必须遵守核心网络区的策略。在这里，我们对总公司的实际情况考虑，在总公司和分公司之间建立PPP专线连接，让分公司和总司可以进展平安的数据交换，对于虚拟分部〔可扩展〕，我们根据距离和施工的情况建立PPP专线或者VPN，来进展对数据的保护和有效传输，对于在外出差员工我们用easy-VPN的方式来让外部员工进展内部连接5.2网络层次化设计随着网络技术的迅速开展和网络需求量的不断增长，分布式的网络效劳和交换已经移至用户级，由此形成了一个新的、更适应现代的高速大型网络的分层设计模型。我们将采用层次化网络设计，构建高效、可靠、平安的网络。多层网络系统设计能最有效地利用多种业务，包括负载分担和故障恢复等。在多层网络中运用智能多业务可以大大减少因配置不当或故障设备引起的一般问题。多层模式使网络的移植更为简单易行，因为它保存了基于路由器和交换机的网络原有的寻址方案，对以往的网络有很好的兼容性。另外分层构造也能够对网络的故障进展很好的隔离。.核心层为网络提供骨干组件或高速交换组件，高效速度传输是核心层的目标。核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。核心层具有如下几个特性：高可靠性、提供冗余、提供容错、能够迅速适应网络变化、低延时、可管理性良好、网络直径限定和网络直径一致。在核心层中，网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和会聚者，所以我们对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要局部。我们将采用高带宽的千兆级交换机，充当核心层设备。因为核心层是网络的枢纽局部，网络流量最大，因此需要提供高带宽。会聚层会聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由效劳,认证管理等.通过网段划分与网络隔离可以防止*些网段的问题蔓延和影响到核心层.会聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的,保证核心层的平安和稳定。会聚层设计为连接本地的逻辑中心，仍需要较高的性能和比拟丰富的功能。会聚层设备一般采用可管理的三层交换机或堆叠式交换机以到达带宽和传输性能的要求。其设备性能较好，但价格高于接入层设备，而且对环境的要求也较高，对电磁辐射、温度、湿度和空气干净度等都有一定的要求。会聚层设备之间以及会聚层设备与核心层设备之间多采用光纤互联，以提高系统的传输性能和吞吐量。接入层向本地网段提供用户接入、主要提供网络分段、播送能力、多播能力、介质的平安性、MAC地址的过滤和路由发现等任务。在接入层是最终用户(员工)与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维护。当然我们也应该考虑端口密度的问题接入层由无线网卡、AP和L2Switch组成，按照宽带网络的定义，接入层的主要功能是完成用户流量的接入和隔离。对于无线局域网WLAN用户，用户终端通过无线网卡和无线接入点AP完成用户接入。5.3核心层设计核心交换区的作用是高效速度传输数据，是所有流量的最终承受者和会聚者，推荐使用高端设备。我们推荐使用CiscoCatalyst3750三台三层交换机为网络提供可靠、高速、平安的效劳。3750系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。这个产品系列采用了最新的思科StackWise智能堆叠技术，不但实现高达32Gbps的堆叠互联，还从物理上到逻辑上使假设干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统--就好似是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。。3750系列可以使用标准多层软件镜像〔SMI〕或者增强多层软件镜像〔EMI〕。SMI功能集包括先进的效劳质量〔QoS〕、速率限制、控制列表〔ACL〕和根本的静态和路由信息协议〔RIP〕路由功能。EMI可以提供一组更加丰富的企业级功能，包括先进的、基于硬件的IP单播和组播路由。5.4接入层设计接入层交换机采用思科的WS-C2960系列的二层交换机以千兆以太链路和会聚交换机相连接，并为员工终端提供10/100M自适应的接入，从而形成千兆为骨干，百兆到桌面的以太网三层构造。接入层交换机一般用于直接连接办公系统，具有低本钱和高端口密度特性。接入层交换机端口的input指效劳器向交换机端口发送的数据，即是效劳器发送出去的数据。接入层交换机端口的output指交换机端口向效劳器传输的数据，即是效劳器收到的数据。我们在核心层和会聚层的设计中主要考虑的是网络性能和功能性要高，则我们在接入层设计上主*使用性能价格比高的设备。接入层是最终用户(员工)与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维护。当然我们也考虑端口密度的问题。5.5内联接入内联接入的作用是用于连接总部和分部。我们推荐使用两台Cisco2821系列路由器完成此项功能。由于总部网络和分部机房属于公司的内部网络的一局部，因此我们将着重重视数据的平安性、可靠性。Cisco2821系列具有以下功能：集成语音留言*围广泛的话音接口支持SRST,分支机构可利用集中呼叫控制,并通过SRST冗余性为IP经济有效地提供本地分支机构备份Cisco2821还支持QOS，包含网络扩展性，具有内置防火墙功能，提高内部网络的平安性、可靠性。第六章.路由设计6.1路由协议选择OSPF支持各种不同鉴别机制，并且允许各个系统或区域采用互不一样的鉴别机制；提供负载均衡功能；OSPF属动态的自适应协议，对于网络的拓扑构造变化可以迅速地做出反响，进展相应调整，提供短的收敛期，使路由表尽快稳定化，并且与其它路由协议相比，OSPF在对网络拓扑变化的处理过程中仅需要最少的通信流量；OSPF提供点到多点接口，支持无类型域间路由地址。6.2路由规划拓扑图6.3IP地址规划标识网络中的一个节点。IP地址空间的分配，要与网络层次构造相适应，既要有效地利用地址空间，又要表达出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。我们根据以下几个原则来分配IP地址：唯一性：一个IP网络中不能有两个主机采用一样的IP地址简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项连续性：连续地址在层次构造网络中易于进展路由总结，大大缩减路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术以满足多种路由策略的优化，充分利用地址空间。Vlan的划分：总部Vlan虚拟ip工程部Vlan10销售部Vlan20财务部Vlan30人事部Vlan40网络部Vlan50市场部Vlan60经理Vlan70IP地址的划分总部Ip地址子网工程部销售部财务部人事部网络部市场部经理第七章网络平安解决方案7.1网络边界平安威胁分析把不同平安级别的网络相连接，就产生了网络边界。防止来自网络外界的入侵就要在网络边界上建立可靠的平安防御措施。非平安网络互联带来的平安问题与网络内部的平安问题是截然不同的，主要的原因是攻击者不可控，攻击是不可溯源的，也没有方法去“封杀〞。一般来说网络边界上的平安问题主要有下面几个方面：1、信息泄密：网络上的资源是可以共享的，但没有授权的人得到了他不该得到的资源，信息就泄露了。一般信息泄密有两种方式：◆攻击者(非授权人员)进入了网络，获取了信息，这是从网络内部的泄密◆合法使用者在进展正常业务往来时，信息被外人获得，这是从网络外部的泄密我们给贵公司设计的各部门之间的vlan划分，不同的vlan之间不能随意的，我们会设计权限和密码才能。2、入侵者的攻击：互联网是世界级的群众网络，网络上有各种势力与团体。入侵就是有人通过互联网进入你的网络(或其他渠道)，篡改数据，或实施破坏行为，造成你网络业务的瘫痪，这种攻击是主动的、有目的、甚至是有组织的行为。我们给贵公司设计的pi*防火墙能设计谋略，规定可以的效劳，哪些人可以，防止一些不必要的入侵攻击。3、网络病毒：与非平安网络的业务互联，难免在通讯中带来病毒，一旦在你的网络中发作，业务将受到巨大冲击，病毒的传播与发作一般有不确定的随机特性。这是“无对手〞、“无意识〞的攻击行为。我们为贵公司购置了正版的金山毒霸的杀毒软件，给内部的员工机器安装上，防止员工机器上的客户资料收到病毒和木马的破坏。4、木马入侵：木马的开展是一种新型的攻击行为，他在传播时象病毒一样自由扩散，没有主动的迹象，但进入你的网络后，便主动与他的“主子〞联络，从而让主子来控制你的机器，既可以盗用你的网络信息，来自网络外部的平安问题，重点是防护与监控。来自网络内部的平安，人员是可控的，可以通过认证、授权、审计的方式追踪用户的行为轨迹，也就是我们说的行为审计与合轨性审计。攻击方式：1、黑客入侵：入侵的过程是隐秘的，造成的后果是窃取数据与系统破坏。木马的入侵也属于黑客的一种，只是入侵的方式采用的病毒传播，到达的效果与黑客一样。2、病毒入侵：病毒就是网络的蛀虫与垃圾，大量的自我繁殖，侵占系统与网络资源，导致系统性能下降。病毒对网关没有影响，就象“走私〞团伙，一旦进入网络内部，便成为可怕的“瘟疫〞，病毒的入侵方式就象“水〞的渗透一样，看似漫无目的，实则无孔不入。3、网络攻击：网络攻击是针对网络边界设备或系统效劳器的，主要的目的是中断网络与外界的连接，比方DOS攻击，虽然不破坏网络内部的数据，但阻塞了应用的带宽，可以说是一种公开的攻击，攻击的目的一般是造成你效劳的中断边界防护的技术也在逐渐成熟，数据交换网技术就已经不再只是一个防护网关，而是一种边界平安网络，综合性的平安防护思路。也许平安的话题是永恒的，但未来的网络边界一定是越来越平安的，网络的优势就在于连通。7.2网络内部平安威胁分析内部网络的风险分析主要针对整个内部网的平安风险主要表现一下几个方面：内部用户的非授权，安博集团的内部资源也不是对任何的员工开放的，也需要相应的权限内部用户的非授权的。更容易造成资源和重要信息的泄露内部用户的误操作：由于内部用户的计算机造作的水平参差不齐，对于应用软件的理解也各不一样，如果一局部软件没有相应的对误操作的防*措施，极容易给效劳系统各其他主机造成危害内部用户的恶意攻击：就网络平安来说，据统计约有70%左右的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚的的优势，因此对内部用户攻击的防*也很重要。7.3平安产品选型原则公司网络需要在考虑平安性的前提下，综合系统的其它性能，不影响网络系统运行效率、不影响正常的业务，定下系统综合效劳品质参数，在此根底上，以不降低综合效劳品质为原则，对信息平安产品进展选型。选型原则包括：平安性原则：产品系统具有多层次的平安保护措施，可以满足用户身份鉴别、控制、数据完整性、可审核性和**性传输等要求；标准性：网络平安产品选型符合国家标准，产品的质量以及属性必须到达国家所要求的，符合本产品的性能；扩展性原则：在业务不断开展的情况下，产品系统可以不断升级和扩大，并保证系统的稳定运行；性价比：不盲目追求高性能产品，要购置适合自身需求的产品；产品与效劳相结合原则：良好的售后效劳，否则买回的产品出现故障时既没有技术又没有产品效劳，使企业蒙受损失。7.4网络常用技术介绍PPP协议PPP协议是在点到点链路上承载网络层数据包的一种链路层协议，它能够提供用户验证、易于扩大，并且支持同/异步通信它的优点在于简单、具备用户验证能力、可以解决IP分配等。PPP是一种多协议成帧机制，它适合于调制解调器、HDLC位序列线路、SONET和其它的物理层上使用。它支持错误检测、选项协商、头部压缩以及使用HDLC类型帧格式〔可选〕的可靠传输。PPP的两种认证方式一种是PAP，一种是CHAP。利用以太网资源，在以太网上运行PPP来进展用户认证接入的方式称为PPPoE。PPPoE即保护了用户方的以太网资源，又完成了ADSL的接入要求，是目前ADSL接入方式中应用最广泛的技术标准。VtpVTP：是VLAN中继协议，也被称为虚拟局域网干道协议。它是思科私有协议。是十几台交换机在企业网中，配置VLAN工作量大，可以使用VTP协议，把一台交换机配置成VTPServer,其余交换机配置成VTPClient,这样他们可以自动学习到server上的VLAN信息。VTP是一种消息协议，使用第2层帧，在全网的根底上管理VLAN的添加、删除和重命名，以实现VLAN配置的一致性。可以用VTP管理网络中VLAN1到1005。有了VTP，建立一个VTP管理域，以使它能管理网络上当前的VLAN就可以在一台机换上集中过时行配置变更，所作的变更会被自动传播到网络中所有其他的交换机上。〔前提是在同一个VTP域〕HSRP协议我们使用HSRP来实现对故障路由器的接收,HSRP中文解释是热备份路由协议，其含义是系统中有多台路由器，它们组成一个“热备份组〞，这个组形成一个虚拟路由器。在任一时刻，一个组内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将选择一个备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了路由器切换的问题。VLAN技术一般的交换机端口只有属于一个vlan，对于多个vlan需要跨过多台交换机，就需要用到trunk技术。Trunk是指交换机之间与路由之间传递，从而可以将vlan跨越整个网络，而不仅仅是局限在一台交换机上。VLAN技术允许网络管理者讲一个物理的lan逻辑的划分成不同的播送域〔或称虚拟LAN，即VLAN〕，每一个VLAN都包括一组有着一样需求的计算机工作站，与物理上形成的vlan有着一样的属性，但由于它是逻辑的而不是物理的划分，所以同一个vlan内的各个工作站无需笨哦放置在同一个物理空间里，即这些工作站不一定属于同一个物理vlan网段里，一个vlan内部的播送和单播流量都不会转发到其他vlan中，从而有助于控制流量，减少设备投资，简化网络管理，提高网络的平安性。Trunk技术TRUNK是端口会聚，就是通过配置软件的设置，将2个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机和网络节点之间的带宽，将属于这几个端口的带宽合并，给端口提供一个几倍于独立端口的独享的高带宽。Trunk是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机。基于端口会聚〔Trunk〕功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量，大幅度提供整个网络能力。Easy-vpn技术移动VPN技术：EasyVPNServer是Remote－AccessVPN专业设备，而EasyVPNRemote就是专门为了小的分支机构所设计的，一般情况下，小分支接口的网络管理员的水平没有则高，不可能去配置一堆复杂命令来实现Site－to－SiteVPN，这时候，只需要通过EasyVPNRemote这个特性配置几条简单的命令，就可以Site－to－SiteVPN。所有的配置都在Server端来完成，Client的VPN配置都由Server端采用“推〞的方式应用到分支机构的设备上。这种技术极大地防止了分支机构配置VPN失败的问题。但这种VPN不支持路由，不支持组播，只能在IP协议下工作，不支持状态故障切换等技术。所以，需要网络管理员在自己的实际工作中留意这些功能是否需要，再决定是否实施EasyVPN技术。SPT协议STP是生成树协议可应用于环路网络，通过一定的算法实现路径冗余，同时将环路网络修剪成无环路的树型网络，从而防止报文在环路网络中的增生和无限循环。通过在交换机之间传递一种特殊的协议报文来确定网络的拓扑构造。配置消息中包含了足够的信息来保证交换机完成生成树计算。STP是一种二层链路协议，又称生成树协议，该协议的原理是按照树的构造来构造网络拓扑，消除网络中的环路，防止由于环路的存在而造成播送风暴问题。该协议使用BPDU报文传递生成树信息。生成树协议最主要的应用是为了防止局域网中的单点故障、网络环回，解决成环以太网网络的“播送风暴〞问题，OSPF协议Ospf链路状态的路由协议，使用与大中型的企业，OSPF将链路状态播送数据包传送给在*一区域内的所有路由器，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将局部或全部的路由表传递给与其相邻的路由器。Qos技术对于网络业务，效劳质量包括传输的带宽、传送的时延、数据的丢包率等。在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高务质量。效劳质量是相对网络业务而言的，在保证*类业务的效劳质量的同时，可能就是在损害其它业务的效劳质量。网络管理者需要根据各种业务的特点来对网络资源进展合理的规划和分配，从而使网络资源得到高效用。第八章产品选型8.1路由Cisco路由器的简介：属于模块化路由扩展性强，内置防火墙。能支持vpn，qos等功能，转发率是0.04Mbps内存1024mb够公司办公，有百兆接口以及千兆接口，作为主干交换机实现1000M做主干100M到桌面的需求，在安装千兆光纤模块的同时，还可以安装百兆光纤模块，完全可以适应现在或将来的楼内光纤布线，灵活性很强。〔详见附表〕8.2二层交换机二层交换采用的cisco2960系列的WS-C2960-48TT-L，是一个企业级可网管型的交换机，建立在一个功能强大且绝对无阻塞的16G交换背板上，可以保证堆叠中的所有端口间实现无阻塞的线速交换。8.3三层交换三CISCOWS-C3750G-24TS-S就是适宜的选择他采用最新的思科StackWise智能堆叠技术，不但实现高达32Gbps的堆叠互联，还从物理上到逻辑上使假设干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统--就好似是一整台交换机一样。可以使用标准多层软件镜像〔SMI〕或者增强多层软件镜像〔EMI〕。SMI功能集包括先进的效劳质量〔QoS〕、速率限制、控制列表〔ACL〕和根本的静态和路由信息协议〔RIP〕路由功能。EMI可以提供一组更加丰富的企业级功能，包括先进的、基于硬件的IP单播和组播路由。8.4工程部专用电脑工程部要求配置较高的电脑，我们选用苹果MacBookPro，采用Intel酷睿i7620M处理器，IntelHM55板芯片组，，与主内存共享256MB

D