网络工程设计方案-第2.0版-没页码

B32B32天津轻工职业技术学院毕业设计(论文)课题：东方证券网络规划与设计方案专业计算机网络技术班级09网络学生姓名段佳木学生学号42指导老师李子铮提交日期2012-3-27成果答辩日期答辩老师总评成果设计题目东方证券网络规划与设计方案指导教师综合阅评意见指导老师评分内容摘要网络技术高速发展的今日，企业网络的优劣已经成为衡量企业竞争力的标准之一。针对证劵行业的特点，本文介绍了一个行业专业网络的整体设计方案。充分考虑到网络的负载均衡和稳定性能，所以本方案采纳三层网络结构。服务器群组则重点介绍了FTP、邮件服务器及WEB服务器等企业中较常用到的服务器的软件选择及搭建方法。对于网络中可能存在的平安威逼，针对不同的需求，方案中提出了VLAN技术、访问限制列表、防火墙技术以及VPN等平安解决方案，以求构建一个平安、高效、牢靠的企业网络。关键词：网络层次化，虚拟局域网，限制列表，防火墙书目21178第一章需求分析 1326641.1项目背景 1326391.2设计目标 1317941.3用户现实需求 28470其次章网络整体设计 4288982.1网络拓扑 4224672.2网络层次化设计 5110722.3VLAN的划分及IP地址规划 614240第三章平安策略 7246863.1网络威逼因素分析 753513.2平安要求 7247663.3平安产品选型原则 88100第四章设备的选型 98483第五章总体报价 1512740致谢 16第一章需求分析1.1项目背景东方证劵是一家刚刚成立的证劵公司，公司有资产管理部、财务部、人力资源部、后勤部、经理室（管理部门）和营业部6个部门，6个部门分布在两个楼层。日后公司在外地还要开设分支机构，而这里作为公司总部，中心机房也设在此处。公司的网络系统要满足公司日常办公电子化，各部门信息共享，日常证劵交易，且作为证劵公司，某些投资机密须要很高的保密度，所以公司网络要有很高的牢靠性和平安性。考虑的日后公司的扩张，所以网络系统要有可扩展性。1.2设计目标设计一个公司的网络，首先要确定用户对网络的真正需求，并在结合将来可能的发展要求的基础上选择、设计合适的网络结构和网络技术，供应用户满足的高质服务。还要留意到由于逻辑上业务网和管理网必需分开，所以建成后企业网应能供应多个网段的划分和隔离，并能做到敏捷变更配置，以适应企业办公环境的调整和变更，即VLAN的整体划分。考虑到证劵行业数据的重要性、保密性，为了保证多项证劵业务的顺当进行，保证网络的不间断运行，网络平台应具有以下一些特点：（1）高牢靠性——网络系统的稳定牢靠是应用系统正常运行的关键保证，在高牢靠性设计中选用高牢靠性网络产品，合理设计网络架构，制订牢靠的网络备份策略，保证网络具有故障自愈的实力，最大限度地支持各个系统的正常运行。（2）技术先进性和好用性——保证满足证券交易系统业务的同时，又要体现出技术先进性和好用性网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到证券公司网络应用的现状和将来发展趋势。（3）高性能——承载网络性能是网络通讯系统良好运行的基础，设计中必需保障高性能网络及设备的高吞吐实力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为证券公司各项业务开展的瓶颈。（4）标准开放性——支持国际上通用标准的网络协议、国际标准的大型的动态标准开放性路由协议等开放协议，有利于保证与其它网络(如公共数据网、金融网络、行内其它网络)之间的平滑连接互通，以及将来网络的扩展。（5）敏捷性及可扩展性——依据将来业务的增长和变更，网络可以平滑地扩充敏捷性及可扩展性和升级，最大程度的削减对网络架构和设备的调整。（6）可管理性——对网络实行集中监测、分权管理，并统一安排带宽资源。选可管理性强的先进网络管理平台，具有对设备、端口等的管理、流量统计分析，及可供应故障自动报警。（7）平安性——制订统一的骨干网平安策略，整体考虑网络平台的平安性。1.3用户现实需求（1）实现公司内部资源共享，即文件服务器，但是对不同的资源要有相应的权限。（2）满足公司日常证劵交易，交易数据的传输和存储。（3）公司各部可以通过即时通信软件联系，建立公司邮件服务器。（4）打印机共享（5）公司内部要网络接入Internet（6）架设公司web服务器，发布公司网站（7）为保证平安，Internet与公司内部网络间应采纳防护措施，防止外界对内部网络未经授权的访问。其次章网络整体设计2.1网络拓扑由于东方证劵公司总部网络站点不是特殊的多，而且联网的站点相对集中，因此我们采纳星型的网络拓扑。星型拓扑结构是由通过点到点链路接到中心节点的各站点组成的。星型网络中有一个唯一的转发节点（中心节点），每一台计算机都通过单独的通信线路连接到中心节点。在星型拓扑中利用中心结点可便利地供应服务和重新配置网络；单个连接点故障只会影响故障点连接的一个设备，不会影响全网，简洁检测隔离故障、便于维护；任何一个连接只涉及到中心结点和一个站点，限制介质访问的方法很简洁、从而访问协议也特别简洁。2.2网络层次化设计网络的设计模型主要包括层次化设计模型和非层次化设计模型两种。随着网络技术的快速发展和网上应用量的增长，非层次化的网络设计已经不适合当今企业的网络应用，由于非层次化网络没有适当的规划，网络最终会发展成为非结构的形式，这样当网络设备之间相互通信时，设备上的CPU必定会承受相当大的负载，不利于网络的运行和发展，当大量的数据在网络中传输时，简洁引起线路拥堵甚至网络的瘫痪。所以我们选择层次化的网络设计。多层设计的模块化，使网络容量可随着日后网络节点的增加而不断增大。多层次网络有很大的确定性，因此在运行和扩展过程中进行故障查找和排出特别简洁。多层模式使网络的移植更为简洁易行，因为它保留着基于路由器和交换机的网络原有的寻址方案，对以往的网络有很好的兼容性。另外分层结构也能够对网络的故障进行很好的隔离。针对实际状况我们采纳三层结构模型，即核心层、分布层、接入层。每个层次有不同的功能。核心层作为整个网络系统的核心，主要功能是高速、牢靠的进行数据交换。分布层主要进行接入层的数据流量汇聚，并对数据流量进行访问限制。接入层主要供应最终用户接入网络的途径。主要进行VLAN的划分、与分布层的连接等。2.3VLAN的划分及IP地址规划VLAN的划分一般有三种方法，一是基于端口、二是基于MAC地址、最终是基于路由的划分。在这里我们采纳基于端口的划分，把一个或者多个交换机上的端口放到一个VLAN内，这个方法是最简洁最有效的，网络管理人员只须要对网络设备的交换端口进行安排即可，不用考虑端口所连接的设备。IP地址是TCP/IP协议族中的网络层逻辑地址，它被用来唯一地标示网络中的一个节点。IP地址空间的安排，要与网络层次结构相适应，既要有效的利用地址空间，又要体现网络的可扩展性和敏捷性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变更的收敛速度。依据公司状况，每个部门划分为一个VLAN，各部门分别属于不同的网段，各部门之间在逻辑上被隔离，但是各部门间的通讯，可依据须要对汇聚层交换机进行配置来实现。VLAN及IP地址安排状况如下表所示：部门VLAN网段网关子网掩码资产管理部5营业厅4财务部3经理室2人力资源部6后勤部7第三章平安策略3.1网络威逼因素分析对于证劵业来说，网络的平安性是相当重要的。而证劵网上交易，信息发布等业务使得公司网络必需与公网相连，这样必定存在着平安风险。并且公司内部网络，由于各部门职能不同，某些部门网络可能也要求很高的平安性。公司网络的平安风险可能包括以下几个：公司网络与公网连接，可能遭到来自各地的越权访问，还可能遭到网络黑客的恶意攻击和计算机病毒的入侵；内部的各个子网通过骨干交换相互连接，这样的话，某些重要的部门可能会遭到来自其它部门的越权访问。这些越权访问可能包括恶意攻击、误操作等，据统计约有70％左右的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚的优势，但是无论怎样，结果都将导致重要信息的泄露或者网络的瘫痪；设备的自身平安性也会干脆关系到网络系统和各种网络应用的正常运转。例如，路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。重要服务器或操作系统自身存在平安的漏洞，假如管理员没有刚好的发觉并且进行修复，将会为网络的平安带来许多担心定的因素。重要服务器的当机或者重要数据的意外丢失，都将会造成公司日常办公无法进行。3.2平安要求（1）物理平安包括爱护计算机网络设备设施以及数据库资料免遭地震、水灾、火灾等环境事故以及人为操作失误导致系统损坏，同时要避开由于电磁泄漏引起的信息失密。(2)网络平安主要包括系统平安和网络运行平安，检测到系统平安漏洞和对于网络访问的限制。(3)信息平安包括信息传输的平安、信息存储的平安以及对用户的授权和鉴别。3.3平安产品选型原则东方证劵公司网络属于一个行业的专用网络，因此在平安产品的选型上，必需慎重。选型的原则包括：（1）平安保密产品的接入应不明显影响网络系统运行效率，并且满足工作的要求，不影响正常的网上证劵交易和办公；（2）平安保密产品必需通过国家主管部门指定的测评机构的检测，平安保密；（3）产品必需具备自我爱护实力；（4）平安保密产品必需符合国家和国际上的相关标准；（5）平安产品必需操作简洁易用，便于简洁部署和集中管理。第四章设备的选型浪潮英信NF5225(XeonE5606/2GB/2*500GB)

参考价格：￥2万产品类别：机架式CPU型号：XeonE56062.13GHz标配CPU：1颗内存容量：2GBDDR3标配硬盘：1TB内部硬盘：最大支持8块热插拔3.5英网络限制：集成双千兆网卡电源类型：单电源产品结构：2URAID模式：RAID1扩展槽：2×PCI-E2.0x81×PC光驱：SlimDVD最大CPU：2颗CISCOWS-C3560-24TS-E(CISCOWS-C3560-24TS-E)

参考价格：￥1.2万交换机类：企业级交换机应用层级：三层接口介质：10/100BASE-T/100FX传输速率：10Mbps/100Mbps端口数量：24背板带宽：32GbpsVLAN支持：支持网管功能：SNMP,CLI,Web,管理包转发率：6.5MppsMAC地址：12K网络标准：IEEE802.3,802.3u,端口结构：非模块化交换方式：存储-转发产品内存：128MBDRAM和32MB闪传输模式：支持全双工配置形式：可堆叠QOS支持：支持网管支持：支持模块化插：2电源电压：100-240VAC，自动适CISCO1841-HSEC/K9(CISCO1841-HSEC/K9)

参考价格：￥9500端口结构：模块化局域网接：2个传输速率：10/100Mbps网络管理：SNMP/telnet防火墙：内置防火墙网络协议：TCP/IPQos支持：支持VPN支持：支持产品内存：最大DRAM内存：384MB其它端口：1个板载USB端口扩展模块：2个模块化插槽+2个WAN电源电压：AC100-240V电源功率：最大50W产品认证：UL60950-1，CAN/CSA6产品尺寸：274×343×47.5mm产品重量：2.8kg环境标准：工作温度：0-40℃CISCOASA5510-K8(CISCOASA5510-K8)

参考价格：￥1.6万设备类型：VPN防火墙网络吞吐：最高300并发连接：130000用户数限：无用户数限制用户网络端口：3个快速以太网端口入侵检测：DoS平安过滤：170Mbps管理：思科平安管理器(CS-MVPN支持：支持平安标准：UL1950，CSAC22.2N限制端口：console，2个RJ-45其他性能：为企业供应全面的服务适用环境：工