网络组网设计方案大型intranet本地网

大型Intranet本地网设计陈彪彪谌志涛谭俊吴洁洁聂程飞方案设计需求分析网络拓扑结构IP地址规划软硬件选型及参考报价系统性能评价需求分析本案例要求给出总部中心网的设计方案，其主要需求如下：1）内部共有4个一级部门，各自对应1个局域网（IP子网），并要求能够灵活配置。2）全网需要配置中心服务器组，为整个机构提供数据库服务、内部电子邮件服务。3）各一级部门需要配置本地服务器，为部门内部提供专门业务和管理服务。各部门的联网设备数不超过200台。4）内部网络需要传输多媒体信息。5）对外需要向社会提供外部电子邮件、FTP、Web等服务。6）较高的安全性要求。7）要求系统提供7×24小时的全天候服务。8）整个机构使用的IP地址为。网络拓扑结构图IP地址规划及描述整个机构使用的IP地址为，1个总部，11个分部，至少需要12个子网，可以从整个机构的主机地址中取4位作为子网，子网掩码为，共有16个IP地址段，可剩余4个备用。机构IP地址段总部-54分部1-54分部2-54分部3-54分部4-54分部5-54分部6-54分部7-54分部8-54分部9-54分部10-54分部11-54IP地址规划及描述考虑到整个机构的安全性，并且需要对外提供相应的服务，所以需要设置两个服务器组，一个为中心服务器组，还有一个服务器组对外提供服务，同时总部中心网还有四个一级部门，联网设备数不超过200台。因此，每个一级部门只需要一个C类地址就可以满足需要，因此，可以在剩余地址中分配4位作为子网，一共16个子网，两个服务器组分别用一个子网段，每个一级部门分配一个子网段，一共分配6个子网段，剩余子网段留作备用。每个子网段有254个地址可供分配，可以满足用户需求。IP地址规划及描述机构IP地址段中心服务器组-54部门1-54部门2-54部门3-54部门4-54对外服务器组-54软件选型及描述操作系统：SUSELinuxEnterpriseServer11，具有高可用性、系统管理性、内置的安全性等功能，以及在集成的虚拟化技术、灵活的应用程序、经济实惠的存储平台等特点。可靠、可缩放和安全性服务器操作系统。并且开放源代码。邮件系统：迈捷邮件系统(MagicMail)，它是具有高伸缩性、可靠性和可用性，支持简体中文、繁体中文、英文界面、日文界面，是一个价格合理、高效、安全易用的Internet邮件解决方案。除了可提供传统的SMTP/POP3/IMAP4服务外，还提供一流的Web界面邮件处理功能，把邮件的客户端程序集成在Web系统中，使得用户在任何地方只需要一个浏览器即可完成所有的邮件处理功能，并可方便的设置邮箱的各种参数。价格合理高效、安全易用。FTP服务器：vsftpd，vsftpd是Linux最好的FTP服务器工具之一，具有安全、体积小、可定制性强，效率高等特点。vsftpd对用户认证和权限控制比较简单，注重安全型和速度。软件选型及描述DNS服务器：bind8.2.2p5

和linux配套使用效果不错，其守护进程是named，用来提供域名解析服务。Web服务器：Apache，Apache是目前最流行的Web服务器端软件之一。它不仅快速、可靠、可通过简单的API扩展，而且Perl/Python解释器可被编译到服务器中，并完全免费，完全源代码开放。

数据库服务器：Oracle9i/10g是一个对象一关系数据库管理系统。它提供开放的、全面的、和集成的信息管理方法，可实现数据的透明存储，连续可用性，可伸缩性强，能提供端到端的安全体系结构，因此安全性高、可管理性强。

核心层交换机选择核心交换机：华为S-5352C-EI参考报价：1.2万选择理由：交换信息量大，要求高速、稳定和安全，而S-5352C-EI是华为公司为满足大带宽接入和以太网多业务汇聚而推出的新一代全千兆以太网交换机。产品具有以下优点：大带宽、高性能完备的Qos策略和安全机制完备的高可靠保护机制免维护易部署、良好的扩展性汇聚层交换机选择核心交换机：华为QuidwayS5324TP-SI-AC参考报价：4000元选择理由：性价比高，具有大容量，高密度的千兆端口，同时可提供万兆的上行能力。功能强大，具有路由和网管的功能，安全性也比较高，可以控制端口的流量的分布。接入层交换机本地交换机：华为S2700-26TP-SI(AC)参考报价：1430元选择理由：产品具有24个10/100Base-TX和2个千兆Combo口，安装操作简单，支持自动配置、智能式即插即用。业务控制、扩展灵活，功能丰富。产品节能静音，低功耗。性能强大，价格便宜，做工质量也都非常好。路由器选择核心路由器：

CISCO2911/K9参考报价：8400元

选择理由：Cisco®2900系列集成多业务路由器建立在25年思科创新和产品领先地位之上。新平台的构建旨在继续推动分支机构的发展，为分支机构提供富媒体协作和虚拟化，同时最大程度地节省运营成本。第2代集成多业务路由器平台支持未来的多核CPU，支持具有未来增强的视频功能的高容量DSP（数字信号处理器）、具有更高可用性的高功率服务模块、具有增强POE的千兆位以太网交换产品以及新能源监控和控制功能，同时提高整体系统性能。防火墙选择总部防火墙：CISCOASA5505-SEC-BUN-K8参考报价：7100元选择理由：将CISCOASA5505-SEC-BUN-K8为高性能防火墙、IPS、以及IPSec和SSLVPN和IPSecVPN(150个设备对)软件,支持防垃圾邮件、URL阻拦和过滤,以及展开CISCOASA5505-SEC-BUN-K8为高性能防火墙、IPS、以及IPSec和SSLVPN和IPSecVPN(150个设备对)软件,支持防垃圾邮件、URL阻拦和过滤,以及防网络钓鱼。主要网络硬件参考报价产品类型产品型号单价数量路由器CISCO2911/K9

84002核心交换机华为S-5352C-EI120002汇聚层交换机华为QuidwayS5324TP-SI-AC40005接入层交换机华为S2700-26TP-SI(AC)143036服务器组

联想T168G7S3-12202G/300A(2.5)N热插拔106004本地服务器

联想万全R510G7(E5606/4G/2T)98004数据库服务器

Oracle9i/10g

630001防火墙CISCOASA5505-UL-BUN-K971002合计：271080系统安全性措施及描述防火墙：本系统使用了硬件级防火墙，防范各种远程通信链路发起的攻击，因此可以使用的以下基于包过滤的安全策略：允许从内到外的任何访问;紧允许内网中指定的某些IP主机访问外网，降低安全风险。仅允许基层工作站的某些指定IP主机访问本地中心子网，使用加密传输的用户账号等等；杀毒软件：可以在相应的网络与单机系统之中安装杀毒软件，使得中心服务器组和Web服务器、FTP服务器等的计算机病毒能够自动检测出来，做预警或处理。综合：本系统综合了多种的网络安全技术，并且使用了可靠