网络集成实践报告

2018-2019年第二学期网络集成实践报告姓名：学号：课程名称：所在学院：专业班级：任课教师：目录1、项目简介 31.1总体简介 31.2设计原则 41.2.1先进性 41.2.2标准性 41.2.3兼容性 41.2.4可升级和可扩展性 41.2.5安全性 51.2.6可靠性 51.2.7易操作性 51.2.8可管理性 52、需求分析 52.1业务要求 52.1.1企业综合布线系统应满足以下几个需求 62.1.2综合布线系统的结构 62.2协议需求 72.3网络结构 72.4网络互联 82.5安全需求 83、网络设计 83.1应用服务 83.2IP规划 93.3无线网络 103.4软件产品 103.5网络安全设计 114、综合布线方案与设备选型 114.1总公司网络 114.2分公司网络 124.2.1分公司网络集成 124.2.2分公司IP地址规划说明 134.3总公司拓扑结构 134.3.1城域网及互联网部分 134.3.2具体的拓扑结构 144.4设备选型 145、网络配置与测试 175.1地址规划 175.1.1接入层 185.1.2核心层 185.1.3应用系统部分 186、网络服务设计 196.1网络服务系统 196.2服务软件环境 206.2.1OSPF 226.2.2VRRP 227、网络系统测试 238、实验总结 232018-2019第2学期《网络集成实践》课程实习报告1、项目简介1.1总体简介杭州NISS集团科技公司，是杭州市高科技重点企业之一，是一个集科研、生产、维修于一体的大型科技企业。集团公司总部设在杭州市，其分公司设在宁波。集团公司因为业务的需要和信息化建设的需要，还需要为宁波分公司提供网络设计方案。集团公司通过建设一个高速、安全、可靠、可扩充的网络系统，实现企业内信息的高度共享、传递，交流及管理信息化，集团领导能及时、全面、准确地掌握全集团的科研、管理、财务、人事等各方面情况，建立出口信道，实现与Internet互联。系统总体设计将本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性，同时具有良好的开放性、可扩展性。本着为企业着想，合理使用建设资金，使系统经济可行。集团公司网络的主要功能包括：活动目录服务、文件传输(FTP)、邮件系统(mail)、数据库服务(DB)、WEB服务器（WEB）、分布式数据存储、容灾备份、安全防护等功能。项目实施主要包括组网配置与应用系统集成,涵盖集团公司与集团分公司。部署接入层,提供本地与远程工作组和用户网络接入;部署汇聚层,提供基于策略的连接;部署核心层,提供高速传输满足连接性,同时传输汇聚层设备需要,使用广域网技术实现异地互联通信,IPSecVPN技术保障双链路冗余备份时数据的安全性。为了满足企业实际需求,各种应用系统集成技术应运而生,例如,为了保障网络用户的安全且能够统一管理网络中的用户,架设域服务器,为内网用户提供身份验证服务。架设DHCP服务器,为内网主机提供动态的IP地址。架设Web服务器用来提供集团公司的门户服务,并采用WindowsCluster服务,提供高可用性。架设Radius服务器,结合802.1x技术保障终端接入的合法性等。所有服务器的数据存储在IPSAN的磁盘阵列柜中,提高数据的安全性。服务器群部署在防火墙的DMZ区域,确保服务器既可以提供网络服务,又保证其服务器安全。1.2设计原则1.2.1先进性随着计算机应用的不断普及和发展，计算机系统对网络性能的要求已经并将继续不断提高，高带宽、低延迟是对交换网络设备的基本要求。网络交换设备应该提供从数据中心到楼层配线间直至桌面的高速网络连接，交换机必须具备无阻塞交换能力。综合考虑先进性和成熟性，结合实际应用需求，市教育城域网可采用千兆以太网、快速以太网作为主干技术连接数据中心和各学校交换机，采用千兆以太网、快速以太网或以太网接口连接服务器和客户机。1.2.2标准性在当今流行的 Internet / intranet 计算方式下，应用系统将以大量客户机同时访问少量服务器为特征，要求网络交换机必须具有有效的主动式拥塞管理功能，以避免通常出现在服务器网络接口处的拥塞现象，杜绝数据包的丢失。以硬件交换为特征的多层交换技术已经在越来越多的局域网网络系统中取代传统路由器成为网络的主干技术，作为一种成熟的先进技术应在市教育城域网网络中得到应用。1.2.3兼容性不同厂商的网络设备应能彼此兼容，以保证企业网络的正常、高效地运行。为保证网络系统的开放性，网络中的主干交换设备应该能够支持基于国际标准或企业界事实标准的 ATM、FDDI、快速以太网、千兆以太网等各种链路接口技术，能够在必要的时候与外部开放系统顺利实现互联。1.2.4可升级和可扩展性为了将来能顺利实现技术升级，选用的设备应有支持千兆以太网、 ATMOC等前沿技术的能力，以便技术成熟时配备。由于计算机技术和应用范围的不断进步和发展，而网络技术又是其中进步最快的一个分支，计算机网络系统的建设不仅要考虑当前的网络连接需求，还必须考虑到计算机系统不断扩大而提出的网络系统扩展和升级的需求和网络通信技术本身的快速进步所提供的提升网络系统容量和性能的可能性。为了使网络系统能够在尽可能的保护现有投资的前提下不断滚动发展以适应应用需求发展的需要，选用设备时应该尽可能预见到网络系统近期、中期和远期的扩展、升级的可能性并预留扩展、升级的能力。1.2.5安全性在局域网上的所有交换机应能灵活地、跨越全网地进行虚拟网划分和管理，将物理上分散而逻辑上紧密相关的各站点划入独立的虚拟网，实现无关系统的逻辑隔离是网络安全性的基本保障。在此基础上，我们选用的网络产品应该具备包括 MAC级、IP层、应用层等多个层次实现安全管理的能力，作为交换网络核心的多层主干交换机应该具备防火墙功能，防止发生在同一虚拟网内或虚拟网之间互联点上的非法侵犯。1.2.6可靠性为保证网络系统的不间断连续运行，应该选用经过实践检验证明成熟可靠的产品。数据中心交换机应采用模块化分布式处理技术实现，避免采用一损俱损的中央交换模块方式。各主要部件都应有冗余，所有部件应支持热插拔，主干端口应支持热备份，特别是作为整个计算机网络系统核心的多层交换单元更要具备冗余备份的容错能力。1.2.7易操作性有利于在网络中心完成企业网络的全局管理并配置相应的软件协助管理。1.2.8可管理性计算机网络系统作为市教育城域网智能系统的神经中枢，其运行状况应该得到全面的监控和管理。 OSI对网络管理提出了配置管理、性能管理、错误管理、安全管理、记帐管理等五大要求，以此为指导，该网络管理系统应选用基于企业标准的SNM（P简单网络管理协议）的开放式管理平台，配合专用的网络管理应用作为网管系统的设计框架。网管系统应支持网络拓扑自动发现、设备的配置和监视、网络故障的监测和报告等功能，并提供简单易用的图形用户接口。2、需求分析2.1业务要求建设一个高质量、高效率、高可用、高可靠、结构灵活、可扩展型、易于维护的多媒体通信网，实现集团与分公司的互联和IP多媒体通信，并能扩展今后NISS集团在该通信网上开发的新应用，实现全面的数据信息化、信息自动化、管控电脑化和决策智能化的网络硬件平台设施。保证系统将来的适用性和生命力，确保满足集团未来4-6年的网络应用。应当从实际情况出发，使之达到使用方便且能发挥效益的目的。采用成熟的技术和产品来建设该系统。要能将新系统与已有的系统兼容，保持资源的连续性和可用性。系统是安全的，可靠的。使用相当方便，不需要太多的培训即可容易的使用和维护。2.1.1企业综合布线系统需求1. 开放性结构化布线系统由于采用开放式体系结构，符合各种国际上主流的标准，对所有符合通信标准的计算机设备和网络交换设备厂商是开放的，也就是说，结构化布线系统的应用与所用设备的厂商无关。而且对所有通信协议也是开放的。2. 灵活性物理上为星型拓扑结构。因此所有设备的开通、增加或更改无需改变布线系统，只需变动相应的网络设备以及必要的跳线管理即可。系统组网也可灵活多样，各部门既可以独立组网，又可以方便的互连，为合理的进行信息共享和信息交流创造了必要的条件。3. 可靠性结构化布线系统采用高品质材料和组合压接技术，构成一个高标准的信息通道。所有器件经过 UL、CAS、ISO认证。经过专用仪器设备测试的每条信息通道可以保证其电气性能。可以支持 100Base-T及ATM的应用。星型拓扑结构实现了点到点端接，任何一条线路故障不会影响其它线路的运行。从而保证了系统的可靠运行。采用相同的传输介质可互为备用，提高了系统的冗余。4. 先进性建筑物综合布线系统采用光纤与双绞线混合布线，并且符合国际通信标准，形成一套完整的、极为合理的结构化布线系统。超五类或超五类屏蔽双绞线布线系统使数据的传输速率达到 155Mbps、622Mbps、1000Mbps，对于特殊用户的需求，光纤可到桌面，干线子系统和建筑群子系统中光纤的应用，使传输距离达 2公里以上。为今后计算机网络和通信的发展奠定了基础。同时物理星形的布线方式使交换式网络的应用成为可能。2.1.2综合布线系统的结构星型拓扑结构星型拓扑结构由一个中心主节点向外辐射延伸到各从节点。由于每一条链路从主节点到从节点的线路均与其他线路相对独立，所以布线系统设计是一种模块化设计。主节点可与从节点直接相连，而从节点之间的通信只有经过主节点的交换才能完成。智能大厦的计算机网络在主节点配置一台主交换机，在每个楼层配线间配置交换机或集线器，楼层配线间交换机或集线器与主交换机连接。星型拓扑结构的优点星型拓扑结构的所有信息通信都要经过中心节点，所以比较容易维护与管理。利用楼层配线间的配线架的跳线，可以移动、增加或减少终端设备，操作容易、适应性强。每一条链路的相对独立性，使某一线路故障不影响其他工作站的运行，并且有利于故障的排除。星型拓扑结构的缺点布线工作量大，线缆长度的增加使布线工程预算提高。随着计算机网络交换技术的发展，综合布线系统应用星型拓扑结构。系统总体设计图2.2协议需求有线网络及应用服务必须满足IPv4/IPv6双协议栈的需求，路由协议选择无环、收敛速度快的路由协议。由于传统TCP/IP网络体系存在路由可扩展性差、移动性差、安全性不佳等问题,新型互联网采用身份与位置分离的思想,引入接入标识和路由标识的概念,实现身份与位置双重属性分离。在这种新型互联网体系架构中,如何实现标识与物理链路地址转换是研究的基础问题之一。本论文首先研究了新型互联网的网络体系结构、单播标识通信机制及连通性通信机制,并分析了现有地址转换系统面临的安全问题。在此基础上,设计并提出了一种具有良好可扩展性的地址转换通信机制。本论文设计了地址转换协议的数据包格式、四种选项及地址转换缓存表格式,并且详细叙述了两种不同场景下的通信机制,满足实体间互联通信。并针对存在的安全性问题提出了对数据源进行核实验证的机制,确保数据包来源可信,从而防御地址转换过程可能遇到的攻击。基于设计的地址转换协议及其安全机制,论文提出了模块化的实现方案。分别从基础协议栈实现、地址转换机制实现、安全通信机制实现三个方面对设计的内容进行内核编码实现。2.3网络结构骨干网络架构要求必须采用两层架构（接入层、核心层），满足网络链路及网络架构的高可用性、高可靠性、高速转发。网络设计需求，网络在日常办公环境中起着至关重要的作用，企业网的运作模式会带来大量动态的www应用数据传输，这就要求网络有足够的主干带宽和扩展能力。同时，一些新的应用类型，如网络教学、视频直播/广播等，也对网络提出了支持多点广播和宽带高速接入的要求。中心机房到汇聚层节点采用 4兆光纤（多模）连接，汇聚层到接入层采用百兆的五类线（或者超五类）连接。整个方案设计的目的是建设一个集数据传输和备份、语音传输、Internet 访问等于一体的高可靠、高性能的宽带多媒体企业网。2.4网络互联必须保障业务数据实现7*24的高可靠性、高安全性。企业互联网网络是构建企业环境下人、机、物全面互联的关键基础设施,通过企业互联网网络可以实现企业研发、设计、生产、销售、管理、服务等产业全要素的泛在互联,对于促进企业数据的开放流动与深度融合、推动企业资源的优化集成与高效配置。2.5安全需求网络设计时必须保证其具备防攻击、防病毒及应用特征检查等功能。满足总公司与分公司之间的VPN功能，必须满足90人使用VPN的需求。采用各种有效的安全措施，保证网络系统和应用系统安全运行。安全包括4个层面-网络安全，操作系统安全，数据库安全，应用  系统安全。由于Internet的开放性，世界各地的Internet用户也可访问企业网，企业网将采用防火墙、数据加密等技术防止非法侵入、防止窃听和篡改数据、路由信息的安全保护来保证安全。同时要建立系统和数据库的磁带备份系统。分析网络系统可能面临或存在弱点、漏洞，以及在系统安全设置上用户要求；分析网络系统阻止外部攻击行为和防止内部员工违规操作行为的策略要求；划定网络安全边界，使内部网络系统和外界的网络系统能安全隔离的需求分析；确保租用电路和无线链路的通信安全；分析检测内部网络的敏感信息，包括技术专利等信息；分析员工工作桌面系统的安全需求分析；3、网络设计3.1应用服务1、活动目录子域系统、集团公司的邮件系统(mail)、集团公司的数据库服务(DB)、WEB服务器（WEB）、数据中心、安全防护等功能。要求邮件系统、数据库系统及WEB服务等应用必须具备数据安全性、高可用性、高可靠性、兼容性等。服务器群接入至核心的交换机要求交换容量大于等于200G。2、数据库软件：使用最新数据库软件SQLServer2017企业版，无限用户，并及时进行数据备份和设置冗余数据库，保证数据库在发生灾难性破坏时公司的数据系统还能继续正常运转，保障业务数据流能够实现7*24的高可用性和高可靠性。3、服务器操作系统：在服务群中使用3台物理计算机，每台物理计算机使用Vmware安装2个虚拟机，分别作为域控制器/DNS服务器、FTP服务器、DHCP服务器；在接入层中使用1台物理计算机，使用VMware安装两个虚拟计算机用于测试。4、分公司客户端：为分公司客户端选择最新正版操作系统Windows10系列，满足具备易用性、先进性、专业性的特点。3.2IP规划总公司分配给分公司的网络地址为/20，要求必须在节省IP地址的情况下，进行IP地址规划。网络设计说明-IP地址规划：设备接口类型IP地址用途说明路由器RBFastEthernet0/0/28接入互联网FastEthernet0/1/30与下层设备相连VLAN80（PPTP拨入子网）~0路由器RASerial2/03/30接入城域网FastEthernet0/24/30与下层设备相连无线路由器RCFastEthernet0/241/30接入无线网三层交换机SW-1FastEthernet0/24/30与防火墙连接VLAN1SVI/24管理VLANVLAN10SVI/24生产部VLAN20SVI/24销售一部VLAN30SVI/24销售二部VLAN40SVI/24市场营销部VLAN50SVI/24保安部VLAN60SVI/24技术服务部VLAN70SVI/24服务器群三层交换机SW-2FastEthernet0/240/30与RB连接VLAN1SVI/24管理VLANVLAN10SVI/24生产部VLAN20SVI/24销售一部VLAN30SVI/24销售二部VLAN40SVI/24市场营销部VLAN50SVI/24保安部VLAN60SVI/24技术服务部VLAN70SVI/24服务器群三层交换机SW-3VLAN1SVI/24管理VLAN其他交换机VLAN1SVI~16/24管理VLAN防火墙WAN1/30与路由器RA连通LAN/30与汇聚层交换机SW-A连通协议IPVLAN10SVI54/24生产部VLAN20SVI54/24销售一部VLAN30SVI54/24销售二部VLAN40SVI54/24市场营销部VLAN50SVI54/24保安部VLAN60SVI54/24技术服务部VLAN70SVI54/24服务器群3.3无线网络销售人员和市场营销人都采用移动笔记本电脑进行办公，必须保证能够使用有线和无线网络接入。必须使用统一集中管理方式，无线AP需要采用双路双频。分公司无线部分：1、在无线部分选用了RG-WS5708万兆无线控制器，它具有8个千兆SFP接口和8个复用的10/100/1000M自适应电口和2个复用的万兆SFP+接口，默认支持128个AP，可通过扩展License最大控制768个AP，可以在同一时间同时满足全部公司的用户，符合公司的要求。2、无线AP采用双路双频，即双路是一路桥接，一路覆盖，双频就是2.4G和5.8G。双频Wifi手机是指同时支持2.4GHz/5GHz双频段无线信号，可支持包含802.11a/b/g/n完整无线网络。双路WiFi手机，内置了2个无线网卡模块，可以带来更好的上网体验。3.4软件产品需要为分公司客户端选择正版操作系统，操作系统具备易用性、先进性、专业性。数据库软件选择具备易操作、先进性、专业性及对用户没有限制的版本。服务器操作系统选择具备专业性、先进性、兼容性及满足10用户的版本。邮件服务软件选择具备易操作、专业性、先进性的版本。3.5网络安全设计随着网络中多媒体的应用越来越多，这类应用对服务质量的要求较高，本网络系统应能保证 QoS，以支持这类应用。网络系统应具有良好的安全性，由于网络连接园区内部所有用户，安全管理十分重要。网络具有防止及便于捕杀病毒功能。应支持 VLAN的划分，并能在 VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。校区网络与校园网相连后具有“防火墙”过滤功能，以防止网络黑客入侵网络系统。可对接入因特网的各网络用户进行权限控制。安全性是网络设计要考虑的最重要的因素之一，设计中充分考虑了网络的安全性，具体体现在以下几个方面：(1) 通过VLAN的划分，限制了不同 VLAN之间的互访，从而保证了不同网络之间不会发生未经授权的非法访问。(2) 在核心节点可提供基于地址的 Access-list ，以控制用户对于关键资源的访问。通过在汇聚和核心交换机上设置 VLAN路由以及访问过滤，保证了在 VLAN之间只有被允许的访问才能发生，而未经授权的访问都会被禁止。(3) 通过对上网的安全教育，提高安全意识，特别是增强计算机操作人员的密码管理意识，以防止由于操作员密码有意无意泄露给他人而造成的损失。(4) 制定严格的安全制度，包括人员审查制度、岗位定职定责制度、使用计算机的权限制度以及防病毒制度，从制度上保证网络安全性得以实现。(5) 可以对所有的重要事件进行 Log，这样方便网络管理员进行故障查找；(6) 可以对所有的 Telnet 以及SNMP的访问进行限制，从而最大程度地保证汇聚层系统地安全。(7) 可以在接入层中通过限制 MAC地址的访问提高网络安全。4、综合布线方案与设备选型4.1总公司网络总公司的网络采用双核心架构，以实现网络的高可用性和高可靠性；总公司采用双出口的网络接入模式，都使用路由器接入城域网和互联网，城域网申请一条4M的专用线路，而互联网采用2M的接入链路。为了实现快捷的信息传递和公司业务的需求，允许SOHO办公和出差的员工能够方便、快捷、安全的访问总公司内网服务器群。为了满足快速增长的业务需求，构建的网络也需要具有很好的可扩展性，所以全公司的网络都采用OSPF动态路由协议，并通过专用线路学习到分公司路由信息，实现网络的畅通。为了保障网络安全，总公司核心网络与互联网之间部署防火墙。同时为了保障业务数据流能够实现7*24的高可用性和高可靠性，使用互联网链路作为专用链路的备份链路，备份链路需要使用IPSec对数据进行加密。4.2分公司网络宁波分公司有员工385人，生产部为110人、销售一部85人、销售二部85人、市场营销部20人、保安部20人、技术服务部65人。分公司城域网申请一条4M的专用线路，而互联网采用2M的接入链路。分公司安全部分：1、分公司内网网络与外网相连后具有“防火墙”过滤功能，以防止网络黑客入侵网络系统。防火墙选用了华为USG6330，这款“防火墙”不仅性价比高，还能选配300GB单硬盘，支持热插拔，符合公司的要求，是公司的“防火墙”不二之选2、通过VLAN的划分，限制了不同VLAN之间的互访，从而保证了不同网络之间不会发生未经授权的非法访问。3、在核心节点可提供基于地址的Access-list，以控制用户对于关键资源的访问。通过在汇聚和核心交换机上设置VLAN路由以及访问过滤，保证了在VLAN之间只有被允许的访问才能发生，而未经授权的访问都会被禁止。4、通过对上网的安全教育，提高安全意识，特别是增强计算机操作人员的密码管理意识，以防止由于操作员密码有意无意泄露给他人而造成的损失。5、可以对所有的Telnet以及SNMP的访问进行限制，从而最大程度地保证汇聚层系统地安全。4.2.1分公司网络集成1、分公司内部由生产部、销售一部、销售二部、市场营销部、保安部、技术服务部6个vlan组成。2、网络设计遵循开放性和标准化原则、实用性与先进性兼顾原则、可用性原则、高性能原则、经济性原则、可靠性原则、安全性原则、适度的可扩展性原则（满足未来4-6年发展需求）、充分利用现有资源原则、易管理性原则、易维护性原则、最佳的性能价格比原则。3、分公司的网络采用双核心架构，以实现网络的高可用性和高可靠性。在骨干核心层，选用了两台核心路由交换机组成一个环形多机热备份的核心交换机系统解决方案。4、为提高核心网络的健壮性，实现链路的安全保障，在骨干核心层环网中采用VRRP协议，为核心交换机提供一个可靠的网关地址，以实现在核心层核心交换机之间进行设备的硬件冗余。5、采用双出口的网络接入模式，都使用路由器接入城域网和互联网，城域网申请一条4M的专用线路，而互联网采用2M的接入链路。以此实现负载均衡和负载分担，减少丢包率，并提高吞吐量。6、为了实现快捷的信息传递和公司业务的需求，允许SOHO办公和出差的员工能够方便、快捷、安全的访问总公司内网服务器群。有利于分公司工作的正常运行，适应多方面、多元化、多样性的办公环境。7、全分公司的网络都采用OSPF动态路由协议，以此满足快速增长的业务需求，具有良好的可扩展性，并通过专用线路学习到总公司路由信息，实现网络的畅通。8、分公司核心网络与互联网之间部署防火墙，对外部数据和内部数据进行隔离，在病毒传播的源头上阻断传播，既经济又有效，从而保障网络安全。9、分公司使用互联网链路作为专用链路的备份链路，备份链路需要使用IPSec对数据进行加密，保障业务数据流，实现7*24的高可用性和高可靠性。4.2.2分公司IP地址规划说明1、分公司使用网络地址块为/24进行公司局域网的组网公司连接外网的ip地址为/28。2、为了直接能从ip地址直接可以看出部门的种类，可以将vlan划分如下：生产部：/24~54/24VLAN10销售一部：/24~54/24VLAN20销售二部：/24~54/24VLAN30技术服务部：/24~54/24VLAN60市场营销部：/24~54/24VLAN40保安部：/24~54/24VLAN50服务器群：/24~6/24VLAN703、考虑到分公司用户数将持续高速增长，网络需要承载的业务量和业务种类越来越多，这使得网络需要频频进行技术升级、改造和扩容。在进行地质分配时，充分考虑到了这些因素，为网络的每个部分留有部分地质冗余，这样保证网络的可持续发展。4、在路由表急剧膨胀情况下，在地质规划时，应提供足够的路由冗余功能。5、由于IPv4地址越来越少，所以对IPv4地址的使用需要格外节约，可以通过动态编址技术和NAT技术等来实现。6、对于已分配出去的静态IP地址进行定期追踪管理，对长时间闲置的IP地址可经过确认后回收重复利用。4.3总公司拓扑结构4.3.1城域网及互联网部分1、光纤模块选用Mini-GBIC-SX，Mini-GBIC-SX工作温度范围广，传输距离长，接受波长和发射波长高达850nm，且灵敏度较高，符合公司要求。2、根据分公司的规模，可以估计在城域网间的电话容量大概为50~200w，宽带用户总数大约在10~40w，属于中小型城域网，所以采用了基于链路状态OSPF动态路由协议。消除了环路的情况，收敛速度极快，可以自动学习和维护路由表。3、使用路由器接入城域网，城域网申请一条4M的专用线路。我们采用了VPN链路进行连接，在公用网络上建立专用网络，进行加密通讯。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问4、同时，使用路由器接入互联网，互联网采用2M的接入链路，使用互联网链路作为专用链路的备份链路，以防出现高延迟、高拥堵的网络通道，最终实现低丢包率和高吞吐量。5、使用防火墙安全策略允许外网地址可以访问FTP服务器，允许使用远程访问VPN服务器群众所有服务器，允许内网用户访问互联网和城域网。4.3.2具体的拓扑结构4.4设备选型整个方案的设备及软件选基本确定，方案设计时，必须从下列产品清单中选择适合的设备及软件。类别产品型号产品说明无线产品RG-AP220-E室内增强型无线接入点，双路双频，3x3MIMO，可支持802.11a/n和802.11b/g/n同时工作、胖/瘦模式切换、WAPI、光电上联、PoE和本地供电（PoE和本地电源适配器需单独选购），最多可接入用户数量为30人。RG-AP220-SE室内增强型无线接入点，单路双频，3x3MIMO，可支持802.11a/n或802.11b/g/n工作模式、胖/瘦模式切换、WAPI、光电上联、PoE和本地供电（PoE和本地电源适配器需单独选购），最多可接入用户数量为30人。RG-WS5708万兆无线控制器，8个千兆SFP接口和8个复用的10/100/1000M自适应电口和2个复用的万兆SFP+接口，默认支持128个AP，可通过扩展License最大控制768个AP。RG-WS5302千兆无线控制器，2个10/100/1000M自适应电口和2个复用的千兆SFP接口，默认支持16个AP，可通过扩展License最大控制64个AP。RG-WS3302千兆无线控制器，2个10/100/1000M自适应电口和2个复用的千兆SFP接口，固化支持12个AP管理。RG-E-130单端口以太网供电适配器（千兆端口、支持802.3at，适用于802.11nAP的供电）。接入交换机RG-S2328G24口10/100M自适应电口交换机，2个SFP/GT光电复用口（SFP为千兆/百兆口），1个扩展槽，可上千兆模块和堆叠模块，交换容量32G，支持IPv4/IPv6双协议栈。RG-S2352G48口10/100M自适应电口交换机，2个SFP/GT光电复用口（SFP为千兆/百兆口），1个扩展槽，可上千兆模块和堆叠模块，交换容量32G支持IPv4/IPv6双协议栈。RG-S2952G-E48口10/100/1000M自适应SFP光口。交换容量49.9G支持IPv4/IPv6双协议栈。汇聚交换机RG-S3760E-2424口10/100M自适应电口交换机，2个SFP/GT光电复用口（SFP为千兆/百兆口），1个扩展槽，支持RPS，交换容量49.9G。包转发率L2：线速（12.8/16.4Mpps）L3：线速（12.8/16.4Mpps），支持IPv4/IPv6双协议栈。RG-S3760E-4848口10/100M自适应电口交换机，2个SFP/GT光电复用口（SFP为千兆/百兆口），1个扩展槽，支持RPS，交换容量49.9G。包转发率L2：线速（12.8/16.4Mpps）L3：线速（12.8/16.4Mpps），支持IPv4/IPv6双协议栈，支持IPv4/IPv6双协议栈。RG-S5750-24GT/12SFP增强型24端口10/100/1000M自适应电口交换机，12个复用的SFP接口（SFP为千兆/百兆口），2个扩展槽，交换容量240G。包转发率L2：线速（66Mpps）L3：线速（66Mpps），支持IPv4/IPv6双协议栈RG-S5750-48GT/4SFP增强型48端口10/100/1000M自适应电口交换机，4个复用的SFP接口（SFP为千兆/百兆口），2个扩展槽，交换容量240G。包转发率L2：线速（106Mpps）L3：线速（106Mpps），支持IPv4/IPv6双协议栈核心交换机S7804-IseriesIntelligentSeries4插槽主机箱【1＋3】（含风扇阵列柜，不含电源和管理引擎模块，最多支持2个相互冗余的交流电源），交换容量900G，包转发速率447Mpps，支持IPv4/IPv6双协议栈M7800-CM引擎，提供USB接口/SD接口，适用I系列主机S7806与S7804RG-PA300I交流电源模块（可以冗余，300W，配10A电源线）M7800-02XS24SFP/8GT2个SFP+万兆端口+24个SFP端口（SFP为千兆/百兆口）线卡，同时提供8个复用的10/100/1000M自适应电口光纤模块Mini-GBIC-SX1000BASE-SXminiGBIC转换模块（850nm）Mini-GBIC-LX1000BASE-LXminiGBIC转换模块（1310nm）路由器产品RSR20-14ERSR20-14E主机，包括2个GE口（光电复用，支持100M和1000M光），1个Console口，1个AUX口，1个USB口，1个SD卡插槽，4个SIC模块插槽，固化24个交换端口，512M内存，支持IPv4/IPv6双协议栈。RSR20-04RSR20-04主机，包括2个FE口，1个Console口，1个AUX口，4个SIC模块插槽RSR20-18RSR20-18主机，包括3个FE口，1个Console口，1个AUX口，2个USB口，8个SIC模块插槽，1个NMX模块插槽SIC-1HS-V351端口同步串口接口模块（仅仅支持V.35协议类型，线缆类型为DB25接口的V.35DTE）CAB-V.35DTE/DB25F-34PM/3m路由器V.35DTE电缆线/DB25-V.35，专用于SIC-1HS-V35防火墙产品RG-WALL1600-SI千兆防火墙；提供8个千兆电接口，1U；可选配防病毒、防攻击、应用管理等增强特性授权，支持IPv4/IPv6双协议栈。RG-WALL1600-VPN-100RG-WALL1600下一代防火墙VPN授权100个RG-WALL1600SI-AV-1YRG-WALL1600-SI防病毒特征库授权1年RG-WALL1600SI-IPS-1YRG-WALL1600-SI防攻击特征库授权1年RG-WALL1600SI-APP-1YRG-WALL1600-SI应用特征库授权1年RG-WALL160M（V3.0）百兆中端防火墙，固化4个GE口+1个FE口；标准1U设备，自带10个IPsec/SSLVPN隧道RG-WALL160MVPNUPG-200RG-WALLVPN功能使用许可，用于控制IPsec/SSLVPN隧道，数量为2005、网络配置与测试5.1地址规划设备设备名称设备接口IP地址路由器RSR-AFastEthernet0/0/28FastEthernet0//30VLAN60（PPTP拨入子网）~0RSR-BSerial2/03/30FastEthernet0//30三层交换机RS-AFastEthernet0//30VLAN1SVI（管理VLAN）/24VLAN10SVI（销售部）/24VLAN20SVI（营销部）/24VLAN30SVI（市场部）/24VLAN40SVI（管理部）/24VLAN50SVI（服务器群）/24RS-BFastEthernet0/0/30VLAN1SVI（管理VLAN）/24VLAN10SVI（销售部）/24VLAN20SVI（营销部）/24VLAN30SVI（市场部）/24VLAN40SVI（管理部）/24VLAN50SVI（服务器群）/24RS-CVLAN1SVI（管理VLAN）/24RS-DVLAN1SVI（管理VLAN）/24RS-EVLAN1SVI（管理VLAN）/24防火墙FW1WAN/30LAN/30协议IPVRRP虚拟IP地址VLAN10SVI（销售部）54/24VLAN20SVI（营销部）54/24VLAN30SVI（市场部）54/24VLAN40SVI（管理部）54/24VLAN50SVI（服务器群）54/245.1.1接入层1、根据各个部门的人员人数情况，生产部采用了3个48口的RG-S2328G，销售一部和销售二部采用了2个48口的RG-S2328G，市场营销部和保安部都采用了1个24口的RG-S2352G，而技术服务部采用了3个24口的RG-S2352G。2、RG-S2328G和RG-S2352G均为10/100M自适应电口交换机，2个SFP/GT光电复用口（SFP为千兆/百兆口），1个扩展槽，可上千兆模块和堆叠模块，交换容量32G支持IPv4/IPv6双协议栈，符合公司要求。3、接入层在整个网络中接入交换机的数量最多，具有即插即用的特性，一定要选择正确的端口数量。4、由于接入层需要的设备最多，所以在选型时，一定要注意价格的合理程度以及使用性和维护性。5、在接入层也应该拥有足够的吞吐量，防止出现网络过于延迟或者过于拥堵的情况，使得丢包率增加。6、要保证在比较恶劣的环境下，接入层也能稳定工作，不收环境变化有太多的影响。5.1.2核心层1、由于核心层是整个网络系统中最为重要的一块，所以我选用了IntelligentSeries4，它最多可以支持2个相互冗余的交流电源，交换容量900G，包转发速率447Mpps，支持IPv4/IPv6双协议栈，符合公司要求。2、实现骨干网络之间额优化传输，负责整个分公司局域网的望网内数据交换，网络的功能控制最好尽量少在骨干层上实施。3、鉴于分公司用户数量众多，业务复杂，采用多业务核心路由交换机组件高性能的核心网络平台。4、全分公司的网络都采用OSPF动态路由协议，能够在最短的时间内将路由变化传递到整个自治系统。5、将自治系统划分为不同区域，通过区域之间的对路由信息的摘要，大大减少了需传递的路由信息数量，也使得路由信息不会随网络规模的扩大而急剧膨胀。5.1.3应用系统部分1、根据公司的要求，操作系统选择最新的window10企业版，可以提高方便的更新与升级方法。2、服务器操作系统需要能够提供目录服务功能，所以选用了window10专业版，3、服务器及客户机操作系统需要支持TCP/IP协议，所以选用的操作系统应能够方便的实现用户和权限的管理，且能够运行大多数应用软件，因此，我们选了windowserver2016，它具有极高的稳定性、先天的安全性、软件安装的便利性、多任务等优势，符合公司的要求。4、在数据存储软件系统上，选用此了全功能版本的SQLServer2017，它可以再在非生产环境中构建、测试和演示应用程序。5、在在数据存储硬件系统上，选用了分布式文件存储系统UDsafePanaStor9700，集群NAS可随着用户对于容量和性能需求的不断增长，在统一命名空间的基础上随时扩展其性能和容量，可大幅度降低用户初期建设成本，是公司不错的选择。6、所有用户可以方便的浏览和查询局域网和互联网上的应用资源，但只有通过验证的用户才可共享数据库、共享打印机等活动，实现办公自动化系统中的各项功能。7、在分公司网络中，业务智能的信息管理功能是由作为网络工作站的微型计算机提供的，进行日常业务数据的采集和处理。8、网络的控制中心和数据共享与管理中心由网络服务器或一台功能较强的中心主机实现。9、对于分布于广泛地区的总公司、办事处、库房等异地业务部门，可根据业务管理的规模和信息处理的特点，通过远程仿真终端、网络远程工作站或局域网远程互联实现彼此间的互联。6、网络服务设计6.1网络服务系统宿主机虚拟机名称提供服务操作系统IP地址第1台计算机域服务/DNS服务/证书服务WindowsServer2016/24第2台计算机FTP服务RedHatEnterpriseLinux(RHEL)4/24~6/24第3台计算机DHCP服务/RADIUS服务WindowsServer20161/24第4台计算机测试Windos10企业版DHCPP测试Windos10企业版DHCP6.2服务软件环境产品分类产品编码产品描述[完整]SQL2008标准版E65-00186SQLSvrStandardEdtnRUNTIME2008

R2EMBESDOEI1CPU[1CPU无限用户R2版本]E65-00187SQLSvrStandardEdtnRUNTIME2008R2EMBESDOEI5Clt[SQL2008标准版R25用户

中文//英文]C30-00264SQLCALRuntime2008EMBESDOEI5CltUserCALStd[每增加5用户]SQL2008企业版E66-00175SQLSvrEnterpriseEdtnRUNTIME2008R2EMBESDOEI1CPU[1CPU无限用户R2版本]E66-00176SQLSvrEntEdRUNTIME2008R2EMBESDOEI10Clt[SQL2008企业版R210用户中文//英文]C30-00291SQLCALRuntime2008EMBESDOEI5CltUserCALEnt[每增加5用户]SQL2005企业版4CY-00002SQLSvrEntEdRUNTIME2005x32EMBESDOEI25Clt(可加64位光盘)[SQL2005企业版25用户中文//英文]（特价，渠道尾货）客户端操作系统通用品牌Windows7

家庭版（32位普通版）（特价）Windows7中文专业版

Windows7英文专业版

Windows7中文旗舰版（多国语言包（32位//64位自选））服务器操作系统通用类微软WINDOWSSERVER2003简体中文标准版5用户(尾货)

32位微软WINDOWSSERVER2003

企业版25Clt[简中]全套(尾货)

32位微软WINDOWSSERVER2008

R1标准版5Clt[简中]全套

/英文微软WINDOWSSERVER2008

R2标准版5Clt[简中]全套

/英文微软WINDOWSSERVER2008

企业版25Clt[简中]全套

/英文微软WINDOWSSERVER2008

R2企业版25Clt[简中]全套

/英文NOVELLSUSELinux操作系统，SUSELinuxEnterprise，支持32位和64位服务器，仅限A6序列企业版、政务版；红帽EnterpriseLinuxES6.0(企业版)，软件版本ES6.0，适用于众多应用软件，从网络边缘服务到中等规模的部门级部署。可支持多达2个CPU,4GB物理内存；但不具备"高可用性集群ExchgSvrStd2010CHNSOLPNL(邮件服务器服务器端,标准版)ExchgStdCAL2010CHNSOLPNLDvcCAL（邮件服务器标准版用户端）ExchgSvrEnt2010CHNSOLPNL(邮件服务器服务器端,企业版)ExchgEntCAL2010CHNSOLPNLUsrCALwoSrvcs（邮件服务器企业版用户端）LyncSvrStd2010CHNSOLPNL（视频会议标准版，服务器端）LyncSvrStdCAL2010CHNSOLPNLDvcCAL（标准版用户端）LyncSvrEnt2010CHNSOLPNL（视频会议企业版，服务器端）LyncSVrEnCAL2010CHNSOLPNLDvcCAL（企业版用户端）存储系统磁盘阵列HP磁盘阵列软件HPMAS2000微软磁盘阵列系统WindowsServer2003storge6.2.1OSPF在网络骨干核心层和核心层以及汇聚层上需要使用三层设备为网络内部不同的网段的数据和不同vlan间的数据转发而需要路由协议时，采用OSPF协议作为路由协议SOPF是一种典型的链路状态路由协议。采用OSPF的路由器彼此交换并保存整个网络的链路信息，从而掌握全网的拓扑结构，独立计算机路由。因为RIP路由协议不能服务于大型网络，所以IETF的IGP工作组特别开发出链