网络系统集成项目书

欢迎阅读本文档，希望本文档能对您有所帮助!欢迎阅读本文档，希望本文档能对您有所帮助!欢迎阅读本文档，希望本文档能对您有所帮助!欢迎阅读本文档，希望本文档能对您有所帮助!欢迎阅读本文档，希望本文档能对您有所帮助!欢迎阅读本文档，希望本文档能对您有所帮助!摘要随着INTERNET的发展，网络技术也得到了飞速的发展。网络技术已经成为现代信息技术的主流，人们对网络的认识也随着网络应用的逐渐普及而迅速改。在不久的将来，网络必将成为和电话一样的通用工具，成为人们生活、工作、学习中不可缺少的一部分。Internet是一个资源和服务网络，提供了几乎所有领域的信息资源，并且提供了各种各样的服务。由于在网络上提供有价值、有吸引力的信息，对一个企业或学校树立自己的形象，提高自己的知名度，以及开拓和国际上其它企业或学校、组织联系和往来能够起很显著的作用。因此，推进企业级网络建设刻不容缓。本设计主要阐述了企业计算机网络的设计方法，包括网络设计原则、网络设计目标、网络技术选型、结构化布线、网络拓扑结构，本设计可以实现各个模块的基本功能，满足企业内部各部门的需求，为企业网建设提供理论依据和实践指导。目录1前言 12网络设计目标与设计原则 22.1设计目标 22.2设计原则 23需求分析 53.1网络功能需求 53.2网络性能需求 53.3A与F公司的需求分析 63.4B公司的需求分析 83.5C公司的需求分析 93.6D公司的需求分析 103.7E公司的需求分析 134网络拓扑结构规划 164.1网络拓扑结构 164.1.1A公司的网络拓扑结构 164.1.2F公司的网络拓扑结构 164.1.3B公司的网络拓扑结构 174.1.4C公司的网络拓扑结构 174.1.5D公司的网络拓扑结构 184.1.6E公司的网络拓扑结构 194.2网络逻辑归划 195网络系统的实现 215.1网络主干的构建 215.2网络分支的构建 225.3其它设备选择 235.4网络中心服务器的构建 255.5服务器的选择及类型 266网络系统安全 287 工程验收与维护 317.1测试方式 317.2测试指标 327.3网络系统的试运行 327.4网络系统的验收 327.5网络交接与维护 338工程资金预算 348.1线缆工程费用清单 348.2网络硬件清单 349设计心得体会 35参考文献 361前言现在已经进入了信息社会，其标志之一就是计算机网络已经成为影响到我们的生产、工作、生活的各个领域，是社会和经济领域不可缺少的组成部分，机关团体、企事业单位纷纷建设自己的网络，校园网、企业网等各种网络成为学校、企业生存和发展的信息化基础设施。近几年来，中国经济的飞速增长，我国中小型企业如雨后春笋般成倍的在增长。中小型企业建设内部网络，能够实现企业内部资源的共享，降低企业成本，可以更好的与外界进行沟通，让外部更加了解企业。目前中小型企业建设过程中，存在很多问题，如有些中小型企业不考虑自身需求，一味追求高性能，构建的网络往往造成不必要的浪费；有些中小型企业建成的网络根本达不到应用本身对网络的需求等等。因此，企业网的建设刻不容缓。通过本毕业设计课题的论述，希望使读者能够了解企业网的建设过程以及所涉及到的各种网络技术，并能对今后大家在学习网络技术知识或是进行企业网的工程建设中有所借鉴。2网络设计目标与设计原则2.1设计目标企业级局域网的用户的数量较多，分散在机构内的多个部门，但是入网计算机通常集中在一座建筑物内或几个相距不远的建筑物内。企业级局域网通常作为Internet提供各种应用服务和管理服务，运行办公自动化系统，实现广泛的资源共享、无纸化办公，并提供如电子邮件、网站等信息服务。企业级局域网需要设立信息中心，对信息网络服务和建设提供统一的管理。网络设计目标具体包括：(1)增加收入和利润。(2)加强合作交流，共享宝贵的数据资源。(3)加强对分支机构或部属的调控能力。(4)缩短产品开发周期，提高雇员生产力。(5)与其他公司建立伙伴关系。(6)扩展进入世界市场。(7)转变为国际网络产业模式。(8)使落后的技术现代化。(9)降低通信及网络成本，包括与语音、数据、视频等独立网络有关的开销。(10)将数据提供给所有雇员及所属公司，使其做出更好的商业决定。(11)提高关键任务应用程序和数据的安全性与可靠性。(12)提供新型的客户服务。2.2设计原则(1)先进性采用具有国际先进水平的综合布线系统；设计具有前瞻性，以适应未来技术的发展；采用星型拓扑结构；采用“区域布线”的方法；起点要高，采用目前和未来一段时期内符合国内、国际标准，具有代表性和先进性的技术和设备。(2)可靠性采用高品质的器材以保证整个系统的正常运行；采用模块化的系统结构以保证任何单一系统发生故障或被更改时不会影响其他系统的运行。(3)灵活性布线系统的设计应尽量考虑到使用时的方便，以适应设备的移位、更新换代的需求，适应办公室的重新组合。终端设备的移动只需将设备移到新的位置，在配线架上进行一些简单的跳接即可完成；采用区域布线方法，以使局部的变化不影响整个系统的结构。(4)兼容性系统应尽量保持与用户以往系统的兼容，以保护投资；系统应支持不同应用、不同厂家、不同产品类型，如支持IBM、HP、DEC、HONEY、WELL等系列，支持局域网（以太网、令牌环网）/广域网，支持远程控制/楼宇管理、保安监控等系统。(5)扩充性设计时应尽量考虑到将来系统扩充上的需要。扩充系统时应只需增加一些设备，而布线系统则需改变或变化很小。(6)开放性和标准化采用开放的和标准化的技术保证互连简单易行。(7)安全性建成的网络要有严格的权限管理、先进可靠的安全保密和应急措施，以确保数据/系统万无一失。(8)实用性根据办公自动化或业务处理等方面的需求，采用适度的规模、适度的通信平台和网络设备，力求简单实用、易学易用。(9)可维护性网络系统在运行中尚需不断修正、完善、调整和扩充，因此在设计时要充分考虑到可维护性，要具有可读性、可测试性。3需求分析3.1网络功能需求(1)建立一个基于企业Internet的信息和应用网络系统，并提供相关的各种服务。(2)能共享网络上各种软件和硬件资源，快速、稳定地传输实现企业网中各信息点的交换功能。(3)实现企业内资源共享，无纸办公，提供管理应用系统，实现企业\o"oa,OA,办公自动化"办公自动化。(4)网络具有传递语音、图形、图像等多种信息媒体功能。(5)能够与外界进行广域网的连接，提供、享用各种信息服务(能与外界各级企业信息中心相连、与国内外知名站点相连等)。(6)具有完善的网络安全机制，与Internet网相连后，应具有“防火墙”过滤功能。3.2网络性能需求(1)能够快速的浏览访问企业网站、论坛，并且快速高效的下载或上传软件、视频、音频、图形等文件。(2)在企业网中能够稳定、有效的运行应用E-mail邮件系统、FTP服务、电子公告牌（BBS）系统等子系统或服务。(3)能够流畅的登陆、访问、浏览外网（Internet）站点的内容，并能够很好下载所需软件与文件。(4)能够稳定的进行外网的视频、音频等网上交流或外网的视频、音频点播等。3.3A与F公司的需求分析A公司是某规模较大的公司，为迎合网络时代的发展，公司为每位职工配备电脑一台，并都可以访问Internet。该公司共计有9个部门：董事会、人力资源部、财务部、市场部、外联部、公关部、研发部、车间、后勤。其中，车间员工数量最多，共计124人，其余部门最多只有27人。根据本公司的应用分析，希望每台客户机达到10/100M速率，初步估计同时会有300台客户机同时上网，同时考虑到分工司与总公司的实时性，安全性传输，根据易扩充性原则应采用“千兆到楼宇，百兆到部门”，主干采用光纤传输。另外，F公司与A公司经常有业务来往，并通过网络传输财务数据，要求数据传输过程安全可靠。设计依据

A公司和F公司对Internet资源的访问，最终都是通过资源所具有的惟一的公有IP地址实现的。对于一个内部网络，每一台工作站和应用服务器的IP地址均为内部专有的地址，以这样的IP地址是不能访问Internet资源的。因此，要实现一个内部网络对Internet的访问，必须在内部网络和Internet之间设置一个具有网络地址转换功能（NAT）的设备，对于从内部网络向外发出的IP数据包，NAT设备可以将数据包中所包含的源IP地址和源TCP/IP端口号等信息转换为可以在Internet上使用的公有IP地址和可能改变的TCP/UDP端口号；而当Internet主机响应的数据包流入内部网络时，NAT将数据包中包含的目的IP地址和目的TCP/UDP号等信息转换为专有IP地址和最初的TCP/UDP端口号，从而对外部屏蔽了内部网络的IP地址。企业可以根据自己的需要来选择相应的Internet接入模式，如果允许登录Internet的工作站数量少，并且只是进行信息的浏览，可以选择拨号的方式。在一台计算机上安装相应的代理软件作为代理服务器，由代理服务器执行地址转换的功能，代理服务器通过Modem、ISDN或ADSL等接入设备与Internet进行连接，其他的工作站则通过代理服务器对Internet进行访问。最简单的例子，在一个小型的内部网络中，选择一台基于Windows98或Windows2000的工作站作为代理服务器，启用这台计算机中Windows98/2000内嵌的Internet连接共享功能，就可以实现内部网络对Internet的访问了。这种方式的投资很小，也不需租用专线的费用，但这种方式只适用于小型的网络，而且只能对Internet的资源进行访问，不能向外部发布信息。

另外一种模式就是企业通过租用电信部门的专线将自己的内部网络与Internet形成相对固定的连接，这样不但可以充分利用Internet上的信息资源和各类服务，而且可以通过Internet有限制地向外部公布或发布企业信息，也就说要将企业的网络逐步向Intranet过渡。在这种接入模式中，由于是内部专有网络与公用网络进行连接，因此需要在内部网络的边界处设置一台路由器，路由器工作在网络层，它可以根据网络层分组的IP地址通过查找路由表确定分组输出的路径，从而实现两个网络的互通。在内部网络安全方面，需要在网络中设置一个防火墙，防火墙一端连接边界路由器，一端与内部网络的交换机相连。所有的内部网络与外部网络之间的通信都必须通过防火墙进行检查和连接，通过在防火墙中制定相应的访问策略，可以有效地将不符合规则的数据包阻隔在内部网络之外，防止外界对内部网络资源的非法访问；同时防火墙也可以防止内部工作站对外部网络进行的不安全访问。防火墙可以以透明模式和NAT模式两种方式工作，如果网络中存在NAT设备，可以将防火墙设置为透明的工作模式；如果网络中没有NAT设备，那么可以利用防火墙的NAT功能进行网络地址转换。由于防火墙的NAT功能由硬件完成，其处理速度比起软件要快得多，因此如果网络中的原有的NAT功能由软件实现，建议将防火墙设置为NAT模式，并禁用由软件实现的NAT功能。服务器设置方面，除了要设置Web服务器外，企业可以根据需要设置相应的电子邮件服务器、FTP服务器和DNS服务器。这些服务器不仅能让内部网络访问而且要提供外部网络的访问。将它们放置在防火墙的非军事区，从而将网络中的应用服务器与外部访问完全隔离开来，提高了内部网络的可靠性。F公司需要与A公司用VPN进行连接。VPN可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。3.4B公司的需求分析B公司是一家网吧，内有120台电脑。满足网络游戏、视频点播、在线娱乐等网络应用的需要。在网吧内联网上建立支持娱乐活动的服务器群（包括WWW、FTP、DNS、流媒体服务器、十六频道有线电视转播服务器组及腾讯QQ和各种游戏战网服务器等）。具有信息共享、传递迅速、使用方便、高效率等特点的处理系统。设计依据由于网吧一次性资金投入大，设备折旧快，目前外部经营环境差。另一方面，网吧应用环境比较恶劣，顾客应用水平较参差不齐，因此，在网络的建设过程中，系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则。当前计算机网络技术发展很快，设备更新淘汰也很快。这就要求网络建设在系统设计时既要采用先入的概念、技术和方法，又要注意结构、设备、工具的相对成熟。只有采用当前符合国际标准的成熟先入的技术和设备，才能确保网络络能够适应将来网络技术发展的需要，保证在未来几年内占主导地位。在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性。达到最大的平均无故障时间。在系统设计中既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施。包括系统安全机制、数据存取的权限控制等。为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护。把当前先入性、未来可扩展性和经济可行性结合起来，保护以往投资，实现较高的总体性能价格比。大型网吧为了今后进行扩展可以选择电信与联通光纤接入。3.5C公司的需求分析C公司是一家网络服务提供公司，对外提供web及FTP服务通过HTTP，人们使用各自的浏览器便可以轻松地访问和浏览五彩缤纷的因特网世界。企业员工可以在最短的时间了解到最新新闻、最新技术，最新产品等一切新鲜的事物，有助于视野的开拓，激发灵感与创新精神。FTP能提供视频点播服务,FTP是由文件传送协议支持的，用于在Internet上的两台计算机之间文件的互传。FTP几乎可以传送任何类型文件。目前网络中公共的FTP站点都支持匿名访问。设计依据冗余设计是网络设计的重要部分，是保证网络整体可靠性能的重要手段。但是投资也将增加。。冗余设计可以贯穿整个层次化结构，每个冗余设计都有针对性，可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时，冗余链路可以提供另一条物理路径。，即使按照当时最优配置建设的网络，也很快会感到吃不消。尤其是各个网络的核心部分，其数据流量和计算强度之大，使得单一设备根本无法承担。负载均衡建立在现有网络结构之上，它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量，加强网络数据处理能力，提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题，服务就近提供，实现地理位置无关性;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效3.6D公司的需求分析D公司有6部门，通过三层交换机连接。今天的企业网络已经发展成为一个多业务承载平台，它不仅要继续承载企业的办公自动化和WEB浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务，因此数据流量将大大增加，尤其是对核心网络的数据交换能力提出前所未有的要求。另外，随着千兆端口的成本持续下降，千兆到桌面的应用已成为企业网的主流。设计依据中小企业的规模较小，应用的类型少而且比较简单，因此其网络的基础架构相对简单，实现起来比较容易一些，投资也会少得多。从目前的网络技术和应用的发展趋势来看，采用基于TCP/IP协议组的以太交换网模式是最适合的。经过几年的发展，以太交换技术和产品都十分成熟，网络的实现和管理都很简单，维护量也小，并且可以向未来的发展进行平滑的升级和过渡。

中小企业的网络通常由单个节点构成，网络工作站数量较少且接入比较集中，因此核心网络设备选择100M的以太交换机就可以了。所有的网络工作站和应用服务器通过五类双绞线接入到交换机中构成一个集中接入的星型网络结构，每一台计算机可以独占100M的带宽。当中心交换设备需要由多个交换机构成时，建议交换机选择可以堆叠的交换机，可堆叠的交换机之间进行交换时利用带宽很高的内部总线，可以保证每台接入的计算机都具有100M的带宽。当工作站到中心交换设备的距离超过100m时，可以在工作站和中心交换机之间设置一台交换机，以级联的方式与中心交换机连接，工作站接入到级联的交换机中，不过这些工作站只能共享100M的传输带宽。

由于以太网以数据广播的方式进行工作，当一个网络中的工作站较多时，网络通道就变得比较拥塞，网络的性能也就随之较低。为了改善这种情况，可以采用VLAN技术将一个网络划分为几个逻辑上相互独立的虚拟局域网，即VLAN。通过VLAN技术，广播信息被限制在每个VLAN中，而不再是整个网络，并且各个子网之间不能直接通信，不但可以减轻网络负载，而且可以提高网络通信的安全性。如果希望用VLAN技术来规划整个网络，那么在选择交换机时，要求设备必须支持802.1Q标准，这样可以跨越交换机来定义同一个VLAN，也可以在VLAN中使用多个厂家的产品。划分了VLAN后，各VLAN之间的通信需要第三层设备的支持。实现的方法是在网络中设置路由器或三层交换机。传统的路由器基于软件，协议复杂，数据转发速度比较慢；而三层交换机集成了第二层的数据交换技术和第三层的数据转发技术，特别是它对于数据包的转发是通过硬件来完成的，处理效率非常高，完全可以匹配局域网高速的传输速度。因此，在构建采用VLAN技术的网络时，最优的选择是以三层交换机作为网络核心。企业可以根据自己的需要来选择相应的Internet接入模式，如果允许登录Internet的工作站数量少，并且只是进行信息的浏览，可以选择拨号的方式。在一台计算机上安装相应的代理软件作为代理服务器，由代理服务器执行地址转换的功能，代理服务器通过Modem、ISDN或ADSL等接入设备与Internet进行连接，其他的工作站则通过代理服务器对Internet进行访问。最简单的例子，在一个小型的内部网络中，选择一台基于Windows98或Windows2000的工作站作为代理服务器，启用这台计算机中Windows98/2000内嵌的Internet连接共享功能，就可以实现内部网络对Internet的访问了。这种方式的投资很小，也不需租用专线的费用，但这种方式只适用于小型的网络，而且只能对Internet的资源进行访问，不能向外部发布信息。

另外一种模式就是企业通过租用电信部门的专线将自己的内部网络与Internet形成相对固定的连接，这样不但可以充分利用Internet上的信息资源和各类服务，而且可以通过Internet有限制地向外部公布或发布企业信息，也就说要将企业的网络逐步向Intranet过渡。在这种接入模式中，由于是内部专有网络与公用网络进行连接，因此需要在内部网络的边界处设置一台路由器，路由器工作在网络层，它可以根据网络层分组的IP地址通过查找路由表确定分组输出的路径，从而实现两个网络的互通。在内部网络安全方面，需要在网络中设置一个防火墙，防火墙一端连接边界路由器，一端与内部网络的交换机相连。所有的内部网络与外部网络之间的通信都必须通过防火墙进行检查和连接，通过在防火墙中制定相应的访问策略，可以有效地将不符合规则的数据包阻隔在内部网络之外，防止外界对内部网络资源的非法访问；同时防火墙也可以防止内部工作站对外部网络进行的不安全访问。防火墙可以以透明模式和NAT模式两种方式工作，如果网络中存在NAT设备，可以将防火墙设置为透明的工作模式；如果网络中没有NAT设备，那么可以利用防火墙的NAT功能进行网络地址转换。由于防火墙的NAT功能由硬件完成，其处理速度比起软件要快得多，因此如果网络中的原有的NAT功能由软件实现，建议将防火墙设置为NAT模式，并禁用由软件实现的NAT功能。服务器设置方面，除了要设置Web服务器外，企业可以根据需要设置相应的电子邮件服务器、FTP服务器和DNS服务器。这些服务器不仅能让内部网络访问而且要提供外部网络的访问。将它们放置在防火墙的非军事区，从而将网络中的应用服务器与外部访问完全隔离开来，提高了内部网络的可靠性。3.7E公司的需求分析E公司采用硬件防火墙。该公司内部服务器禁止外部任何人员访问，只允许内部员工访问。并且对内部员上网有严格的限制：禁止聊QQ，禁止使用web，ftp以外的各项服务，并规定每个员工每天只能享用10M流量数据，并且每台PC的带宽只有1M。设计依据内部设计局域网，利用NAT功能，可以监控所有来自Internet的包，过滤所有对局域网内计算机的请求，过滤黑客软件对局域网IP地址和端口的扫描，以防止外来的恶意攻击。企业楼宇交换机通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化使用网络，如端口安全、端口隔离、ACL、端口ARP报文合法性检查、基于数据流的带宽限速、六元素绑定等等，满足企业网加强对访问者进行控制、限制非授权用户通信的需求。系统的软硬件设计、还是集成，均以适用为第一宗旨，在系统充分适应企业信息化的需求的基础上进而再来考虑其他的性能。该系统所包含的内容很多，必须能将各种先进的软硬件设备有效地集成在一起，使系统的各个组成部分能充分发挥作用，协调一致的进行高效工作。只有支持标准性和开放性的系统，才能支持与其它开放型系统一起协同工作，在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准，以便能和不同厂家的开放性产品在同一网络中同时共存。通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。系统所有的组成要素均应充分地考虑其先进性。不能一味地追求实用而忽略先进，只有将当今最先进的技术和我们的实际应用要求紧密结合，才能获得最大的系统性能和效益。网络的安全是事关重要的，在某些情况下，宁可牺牲系统的部分功能也必须保证系统的安全。作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。网络硬件体系结构在实际应用中能经过较长时间的考验，在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案，并通到较多的第三方开发商和用户在全球的广泛支持和使用。同时，应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品，以适应系统未来的发展需要。可靠性也是衡量一个计算机应用系统的重要标准之一。在确保系统网络环境中单独设备稳定、可靠运行的前提下，还需要考虑网络整体的容错能力、安全性及稳定性，使系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施，如对关键应用的主干设备考虑有适当的冗余。应急处理信息系统能够全天候工作，达到每周7*24小时工作的要求。一个高可用性的系统才能使用户的投资真正得到回报。整个信息网络系统中的互连设备，应是使用方便、操作简单易学，并便于维护。对复杂和庞大的网络，要求有强有力的网络管理手段，以便合理的管理网络资源，监视网络状态及控制网络的运行，因此，网络所选的网络设备应支持多种协议，管理员能方便进行网络管理、维护甚至修复。在设计和实现时，必须充分考虑整个系统的便于维护性，以使系统万一发生故障时能提供有效手段及时进行恢复，尽量减少损失。网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理接连、产品支持等方面具有扩充与升级换代的可能，采用的产品要遵循通用的工业标准，以便不同的设备能方便灵活地接连入网并满足系统规模扩充的要求。为了使所实现系统能够在应用发生变化的情况下保护原有的开发投资，在设计系统时，应将系统按功能做成模块化的，可根据需要增加和删除功能模块。4网络拓扑结构规划4.1网络拓扑结构4.1.1A网络拓扑图4.1.2F网络拓扑图4.1.3B公司的网络拓扑结构4.1.4C4.1.5D公司的网络拓扑结构4.1.6E公司的网络拓扑结构4.2网络逻辑归划网络总体归划网络拓扑结构对整个网络的运行效率、技术性能、可靠性和费用等方面都有着重要的影响。确立网络拓扑结构是整个网络方案规划设计的基础。拓扑结构的选择往往和地理环境的分布、传输介质、介质访问方法甚至网络设备的选择等因素紧密相关。在选择网络结构时应充分考虑到费用问题、结构的灵活性问题、网络运行的可靠性问题。依据以上原则，根据实际情况，本企业网应采用千兆以太网作为骨干网，网络结构采用分层树形结构。这可有效地全局通信问题分解考虑，有助于分配和规划带宽。A公司的网络逻辑规划1进行VLAN的划分集团内的局域网进行VLAN划分,可以减少网络内的广播数据包,提高网络运行效率;可以区分不同的应用和用户,方便集团的管理与维护.建议每栋建筑物内的局域网划分9个VLANVLAN10董事会VLAN20人力资源部VLAN30财务部VLAN40市场部VLAN50外联部VLAN60公关部VLAN70研发部VLAN80后勤VLAN90车间5网络系统的实现5.1网络主干的构建5.1.1千兆以太网技术以太网从100Mbps升级到1Gbps，融合了两种技术，即IFFF802.3以太网和ANSIX3T11光纤通道。一台合适的交换机作为网络的核心交换机。5.1.2协议架构千兆以太网是在利用了光纤通道的高速物理接口同时，又保留了IEEE802.3以太网帧格式，具备对已安装介质的向后兼容性，并利用了全/半双工载波侦听（CSMA/CD）传输机制。5.1.3传输介质与物理接口CX（屏蔽铜缆）；IEEE802.3AB1000BASET（非屏蔽两绞线）。千兆以太网接口载体是由千兆接口转换器（GBIC）实现的。其中包括短波（SX），长波（LX），LH和铜缆(CX)物理接口。5.1.4服务质量（QOS）与服务类型（COS）服务质量保证相关协议，如IEEE802.1P，IEEE802.1Q，IEEE802.3X，IEEE802.3AB和资源预留协议（RSVP）等关键协议。IEEE802.1P：使得以太网能够及时响应独立端口站点主机对网络发出的某个QOS（服务质量）请求，该标准界定了组播（Multicast）分组管理。IEEE802.1P还包括了最新定义的通用分配注册协议（GARP），它专用于GARP的特定应用，如GARP组播注册协议（GMRP），GARPWAN注册协议（GVRP），GMRP为组播MAC地址分组提供了注册服务。从而保证以太网上的多媒体应用需求。适合于以太网，快速以太网，令牌环和FDDI，也为交换机和路由器提供一种使VLAM标签化的方法。保证了多厂商的VLAN兼容性，GVRP已由IEEE802.1Q支持，它提供了VLAN成员的注册服务IEEE802.3X：是以太网的一种流控机制。当客户终端向服务器发出请求后，自身系统或网络产生拥塞环境中，它会向服务器发出一种暂停帧，以延缓服务器的数据传输。千兆比设备对该机制的支持，补充了千兆比以太网的控制功能。IEEE802.3AB：的标准支持在5类非屏蔽双绞线上,传输千兆比以太网中识别其优先级别，以保证高优先级的数据流优先占用带宽资源，弥补以太网对延时敏感的应用支持的不足5.1.5三层交换机的选择核心交换机是网络的核心，在选择时应注意几个问题：(1)高性能，高速率。(2)交换最好能达到线速交换，即交换机背板带宽>=所有端口的带宽总和，定们准确。(3)在够买产品时要注意产品与信息点数的匹配，匹配不合理会浪费资源或导致网络不能正常工作。(4)另外还应注意高可靠性、网络的控制能力和可管理性，如对通用网管协议SNMP、RMON、RMON2的支持等。5.2网络分支的构建5.2.1分支网络接入分支网络由企业几个区域组成，各个楼群通过100BASEUTP接入交换机再接入到二层交换机或直接通过100BASEUTP接入到二层交换机，而二层交换机则通过1000BASE-SX/LX等直接接入到主干，各分支网络可以采用快速以太网、交换以太网技术。5.2.2分支网络的传输介质与接口目前100BASE以太网的传输的标准有：IEEE802.3uIEEE802.3u:100BASE-T,100BASE-TX。分支网络接口载体是由支持100BASE传输的RJ-45模块化接口实现的。5.2.3二层交换机的选择二层交换机也就是边缘交换机。在像企业这样的中型网络中一般宜用来构成结构灵活的用户接入网络。在选择时也应注意一些问题，如灵活性、高性能，性价比等。第二层交换机工作在网络的第二层，即数据链路层，它的主要功能就是：实现在数据的存储转发。因此他不需要路由功能，功能也相对比三层交换机要少，同时因为它存在只是为了数据存储和转发，所支持的转发速率要高速而且稳定，而且要支持高带宽。5.3其它设备选择5.3.1UPSUPS是不间断电源（UninterruptiblePowerSystem）的英文简称，是一种含有储能装置，以逆变器为主要组成部分的恒压恒频电源设备，主要用于给单台计算机、计算机网络系统或其它电力电子设备提供不间断的电力供应。当市电输入正常时，UPS将市电稳压后供给负载使用，此时的UPS就是一台交流稳压器，同时它还向机内电池充电；当发生市电中断等情况时，UPS立即将机内电池的电能，通过逆变转换的方法向负载继续供应交流电，使负载维持正常工作，并保护负载软、硬件不受损坏。UPS按工作原理分成后备式、在线式与在线互动式三大类。对内置开关电源的小功率设备一般可选用后备式UPS，在用电环境较恶劣的地方应选用在线互动式或在线式UPS，而对不允许有间断时间或时刻要求正弦波交流电的设备，就只能选用在线式UPS。根据企业的实际情况，UPS应具有高质量、高可靠、高指标、多功能等特点，所以，我推荐选用在线式UPS—四通PS系列。5.3.2网卡网卡（简称NIC），也称网络适配卡或网络接口卡，网卡作为计算机与网络连接的接口，是不可缺少的网络设备之一。无论是双绞线网络、同轴电缆网络还是光缆网络，都必须借助于相应类型的网卡才能实现与计算机的连接，是计算机与局域网相互连接的惟一接口。每块网卡上都有一个世界惟一的ID号，也就是MAC（MediaAccessControl）地址，计算机在连入网络之后，就是依靠这个ID号才能实现在不同计算机之间的通信和信息交换。网卡有很多种，不同类型的网络需要使用不同种类的网卡，不同速度的网络需求也要使用不同的网卡。如根据带宽来分的话，有10Mbit/s网卡、10/100Mit/s自适应网卡和1000Mbit/s网卡；如按总线分，有ISA总线、PCI总线、PCMCIA总线网卡等。从企业网络建设的实际情况来看，工作站网卡选择PCI总线的100M/1005.3.3路由器路由器除了有连接不同的网络物理分支和不同的通信媒介、过滤和隔离网络数据流及建立路由表，还有控制和管理复杂的路径、控制流量、分组分段、防止网络风暴及在网络分支之间提供安全屏障层等到功能。根据路由设备的组成可以分为软路由和硬路由。根据路由表的设置方式可以将路由器分为静态的和动态的。路由器工作在网络层，因此它可以在网络层交换和路由数据帧，访问的是对方的网络地址。当数据帧到达路由器后，路由器查看数据帧的目标地址，并在路由表查看到达目标地址的路径，根据路径的代价，选择一条最佳的路径，然后把数据帧沿这条路径发送给目标地址。5.4网络中心服务器的构建5.4.1网络操作系统的选择网络操作系统(NOS，NetworkOperatingSystem)是使网络中各计算机能方便而有效地共享网络资源，为网络用户提供所需的各种服务的软件和有关规则的集合。通常的操作系统具有处理机管理、存储器管理、设备管理及文件管理，而网络操作系统除了具有上述的功能外，还具有提供高效、可靠的网络通信能力和提供多种网络服务的功能。网络操作系统是组建网络的一个关键因素，目前流行的网络操作系统软件主要有UNIX、Linux、NetWare和WindowsNT/2000等。在企业网中一般情况下都用Windows2000网络操作系统，因为它是图形化界面、使用简单、安全可靠，兼容性好且支持虚拟内存。5.4.2服务器千兆以太网的接入要求服务器需要配置而且必须支持GBE网卡，GBE网卡采用PCL接口，使用SX连接器接入交换机的多模光纤接口中。这有利于提高网络通信性能。对于中心服务器的选择，一般要求快速的处理能力和并行处理能力（最好有多个CPU），有足够大的内存空间（最少1G以上），能支持光纤接口，较大的磁盘空间，可扩充性能优良，能支持尽可能多的外围设备的连接。支持多种扩展槽类型，且具有足够的扩展槽数目，良好的散热功能等5.4.3网络管理要点(1)网络监控:监视网络的运行状态，控制网络路由和流量，分析运行记录和报警信息。(2)性能控制:根据网络应用状态、负荷状态、网络利用率，合理调整网络性能。(3)故障管理:为确保网络系统的高稳定性，在网络出现问题时，必须及时察觉问题的所在。它包含所有节点运作状态，故障记录的追踪与检查及平常可对各种通讯协议的测试。(4)效率管理:效率管理在于评估网络系统的运作，统计网络资源的运用及各种通讯协议的传输量等，更可提供未来网络提升或更新规划的依据。(5)网络安全管理:用户身份确认，访问控制，对用户权限以及用户账户进行维护和管理，设置相应口令与更。.加密和密钥管理。监视和控制网上的破坏安全系统的行为。(6)运行管理:制定网络运行的技术标准，可靠性、安全性方案和运行制度。5.5服务器的选择及类型5.5.1服务器的选择根据企业实际情况，企业服务器分为LAN中心服务器，办公区中端服务器，营业区工作站服务器。其主要性能如下：营业区工作站服务器采用惠普ProLiantML110G6(506667)服务器。其主要性能如下：5.5.2服务器类型(1)DNS服务DNS(域名解析系统)是基于TCP/IP的网络中最重要的网络服务之一，最主要的作用是提供主机名到IP地址的解析服务。在Windows2000Server组成的网络中，DNS服务居于核心地位，如果没有DNS，Windows2000网络将无法工作。所以在Windows2000网络中，至少要有一台DNS服务器。(2)域控制器在WindowsNT/2000中有“域”的概念。带有“域”的网络能够实现“单一账号单录，普遍资源访问”，也就是说只要在域控制器上有一个合法账号，就可以访问域中其他的服务器的资源。如果没有域控制器，只能构成一个对等网。对等网在权限控制、资源管理上是很麻烦的。因此首先要在网络中安装域控制器;如果网络中已经有了域控制器，可以不必再安装域控制器，但可以将这台服务器设置成备份域控制器，当一台域控制器出故障的时候，另外一台域控制器可以接替它的工作。(3)DHCP服务DHCP(动态主机配置协议)是服务器向其他客户机提供IP地址以及其他网络服务的IP地址(如DNS、默认网关的IP地址等)的网络服务。数量在几十台以上的计算机网络中，使用DHCP会带来很大的方便，客户机的IP地址、DNS的IP地址、默认网关的IP地址等都可以实现自动分配，这会大大降低网络的管理难度。除非只有几台计算机，否则都应该采用DHCP。(4)Web服务Web服务是服务器提供的基本功能，尤其是在企业网中，怎么可能没有企业主页呢?在将企业网主页的数据复制到服务器中之后，需要重新设置一下Web服务，使企业网主页能够正常运转。（5）FTP服务FTP服务器，则是在互联网上提供存储空间的计算机，它们依照FTP协议提供服务。FTP的全称是FileTransferProtocol(文件传输协议)。顾名思义，就是专门用来传输文件的协议。简单地说，支持FTP协议的服务器就是FTP服务器。6网络系统安全6.1电源的安全

电源不仅是一个计算机网络能够运行的最基本条件，同时电源的安全也是计算机网络安全运行的最基本要素。这里电源的安全不仅要求为所有的工作站、服务器和网络设备提供一个高质量的电源，同时还要设置良好的接地系统。对于服务器和网络设备还要设置不间断电源（UPS）装置，这不但可以增加网络的连续运行能力，而且可以防止因为突然断电对网络硬件造成的损坏。特别是服务器，如果正在运行的服务器突然断电，不但硬件设备可能出现问题，而且操作系统或应用因为没有正常关闭可能导致数据不能提交或系统不能正常启动，甚至造成服务器或应用的瘫痪。这是任何一个企业都不愿看到的。

在网络建设和维护中，电源是最稳定的一个部分，一般情况下，它不会随着应用的发展频繁地升级，因此，中小企业在构建自己的网络系统时，进行相应的投资建立一个安全的电源系统是非常值得的。6.2

数据存储的安全

保存在服务器中的数据是网络应用的核心，如果由于服务器磁盘故障造成数据的损坏或丢失，可能会造成无法估量的损失。因此必须采取相应的容错及灾难恢复手段来加强服务器存储系统的可靠性。目前，构建服务器存储系统使用最广泛的技术是RAID。RAID的实现策略主要是用多个磁盘驱动器替换单一的大容量的磁盘驱动器，并将数据在各个磁盘上进行分布存放并支持同时在多个磁盘进行并行读写，同时利用冗余的磁盘空间将数据从错误中恢复。由于服务器中构成RAID的磁盘通常为热插拔磁盘，因此磁盘出现故障时，可以不停机地对故障进行修复，增加了网络系统的连续工作能力。RAID分为好几个级别，每个级别在I/O性能和安全性方面各具特点，其中RAID1和RAID5使用最多。

RAID1—磁盘镜像。它由磁盘对组成，每一个工作盘都有对应的镜像盘，保存着和工作盘完全相同的数据拷贝。当对逻辑块进行写入操作时，工作盘和镜像盘都进行实时更新。如果磁盘对中任一个磁盘失败，所有的读写请求立刻会转移到另一块磁盘上。因此它具有最高的可靠性，但它的I/O性能和空间利用率不高，只用50%，适用于访问量不大但比较注重数据安全性的应用环境。从性能价格比看，中小企业网络的应用服务器采用RAID1是非常合适的选择。

RAID5—没有独立校验盘的奇偶校验码磁盘阵列。RAID5采用了独立存取技术，校验信息分布在阵列内的所有磁盘上，如果阵列中有一个磁盘失败，这个盘中的数据可以通过其他盘中的数据根据校验码进行异或运算获得。RAID5至少需要3块磁盘构成，每一块磁盘上都要占用1/N的空间存放校验信息（N为构成RAID5的磁盘数量）。由于采用了独立存取技术，

RAID5对于大、小批量的数据读写性能都很好，适用于访问量很大的系统。在中小企业构建网络时，可以将Web服务器或数据库服务器的存储系统设置为RAID5。

可以根据RAID的应用级别来选择相应的服务器，这样配置起来更方便一些。

6.3防病毒设置计算机病毒一直是困扰着计算机和网络系统的最大问题之一。随着计算机技术的不断进步，计算机病毒也不断地向智能化和网络化发展，具有更强大的攻击力和破坏性，从以往的破坏软件系统到现在的攻击硬件系统和网络系统，尤其是借助于发展迅速的Internet和Intranet，计算机病毒可以通过各种渠道迅速地蔓延并实施破坏。如果没有防范措施的话，一个企业的计算机网络很容易因为计算机病毒的攻击而陷入瘫痪。这对于一个企业而言，后果可能是致命的。因此中小企业同样需要采取相应的防病毒措施来保证网络系统不受病毒的侵害。可以采取以下两种措施：

（1）为每台工作站和服务器安装单机版的防病毒软件，每台计算机定时地下载病毒码信息并进行更新。这种方式投资小，但是病毒码信息更新不及时或不同步，不能对最新的病毒做出及时的响应，可能导致网络系统受到病毒的侵害。

（2）安装网络防毒系统。这种方式采用客户机/服务器方式，选择一台微机或应用服务器安装网络防病毒系统的服务器端软件，并通过Internet利用防毒系统的在线更新功能实时地进行病毒码信息的更新。网络中的所有计算机和服务器均安装防毒系统的客户端软件，利用服务器端获得最新的病毒码信息对计算机进行病毒扫描。这种方式虽然投资较大，但是对病毒码信息进行实时的更新，可以保证网络不受到病毒的侵害，控制病毒的大肆传播。

6.4防火墙设置

企业构建了Intranet，实现了与Internet的接轨，虽然为企业业务的开展和日常的工作、学习带来了极大的方便，但是我们不得不面对的一个问题就是实现了与Internet的接入，企业的内部网络就完全地暴露在外界了，也就可能受到各种有意或无意的攻击。因此建立企业的Intranet，必须建立网络的防火墙系统来保证内部网络的安全。由于在Internet接入部分已经对防火墙的功能和工作方式进行了相关的介绍，这里就不再进行过多的描述了。

6.5网络的安全教育

保证网络的安全不仅需要通过相应的技术手段从硬件和软件着手对网络资源进行保护，对网络用户进行网络的安全教育同样重要。首先，要建立一套完整的网络管理规定和网络使用方法，并要求网络管理员和网络使用人员必须严格遵守，否则的话，再先进的网络安全技术也不能阻止人为因素对网络安全造成的威胁。其次，加强对网络管理员和网络使用人员的培训，让他们明白什么是可以做的，什么是严禁做的，可能产生的严重后果是什么。对网络了解得越多，自我约束的能力也就越强。第三，制定合适的网络安全策略，既不能让网络用户无限制