企业网络规划设计方案与对策

./XXX企业网络安全综合设计方案XX电子工程职业学院冉亚东2011年11月目录第一章设计背景分析……….3第二章需求分析……………….………32.1设计需求……….………………32.2网络设计需求分析…….……….42.3功能需求分析……42.4环境需求分析……………..52.5性能需求分析……5第三章网络组网技术选型.……………..6第四章网络拓扑图……94.1网络拓扑结构图……………...94.2VLAN划分及编制方案……..…...10第五章设备清单及所需网络设备介绍………………...……11第六章网络PDS系统设计………………..…21第七章网络储存设计………227.1存储备份必要性分析…………….227.2基于HPSERVER的数据存储与备份方案…..…227.3备份工作实现自动化…………257.4实现跨平台备份……………...…..25第八章网络安全设计……………………..…..268.1概要安全风险分析……………….268.2实际安全风险分析……………….268.3网络系统的安全原则…………278.4安全产品………….278.5风险评估………….288.6安全服务………….298.7网络维护………….29参考文献…………30第一章设计背景分析当今世界信息化浪潮席卷正全球。因特网的迅猛发展不仅带动了信息产业和国民经济地迅猛增长,也为企业的发展带来了勃勃生机。以因特网为代表的信息技术的发展不仅直接牵动了企业科技的创新和生产力的提高,也逐渐成为提高企业竞争力的重要力量。就在我们为我国小企业网络建设拍掌击节的时候,我们也注意到这样一个事实,即我国小企业网络建设和应用中存在着许多问题。总结一下,主要有以下几点：首先,服务器接入访问成为瓶颈。这一问题主要出自于软件应用体系的变化,因为C/S、W/S等软件应用模式的演变,服务器的数据运算和传输负荷也在不断提高,导致的直接结果就是服务器需要不断升级。服务器的发展,技术发展。一个企业建立网络成了企业成长的关键部分。随着信息技术的发展的,企业对信息要求越来越高；当今社会人员流动越来越频繁,使得管理工作也变的越来越复杂。如何管理好企业内部的信息,成为企业管理中一个大的问题。如果能实现信息管理的自动化,无疑将给公司带来很大的方便。办公自动化〔OA是将现代化办公化和计算机网络功能结合起来的一种新型的办公方式,是当前新技术革命中一个非常活跃和具有很强生命力的技术应用领域,是信息化社会的产物。企业内部办公系统能够建立企业自身的一套职务体系,每个职务有其所对应的职级、所需基本信息及对信息的使用资格。允许合法的使用者通过网络对企业职员的人事信息、公司的流水帐目信息、核销单的流向信息、账单的生成和查询及同行各个企业的信息进行管理。信息成了公司发展不可却少的动力。第二章需求分析2.1设计需求在中国中小企业占到全国工业企业的97%以上,是中国的经济命脉。在今天竞争激烈的市场环境下,许多中小型企业都在追求高效的管理与沟通方法,发展跨地区、跨国业务,促进客户服务,增强企业的市场竞争力。特别在当今信息化的现代社会,企业的运作模式也发生了根本性变化。建设企业网络来提高企业运作效率的做法越来越普及。所以近年来,许多中小型企业都建立了自己的网络,但是,由于许多中小企业的决策者对网络的应用和管理,在认识上存有一定的局限,以及受到现有企业条件和信息技术力量的局限,往往会在用网,尤其是在如何管理好企业的网络、挖掘和整合企业网络资源优势、为企业发展核心业务服务等诸多方面,还存有许多不尽如人意的地方,致使不少中小企业的网络系统,从建立网络,到应用网络,直至管理网络,都缺乏一个科学性、有序化和规范化的发展态势,甚至直接影响乃至制约着企业核心业务的持续发展。所以一个良好的中小型网络成为了企业发展好坏的决定因素。在本方案中,将以企业以45台办公计算机为例,设定该企业对网络需求如下：企业计划有45台办公计算机,要求都能访问Internet资源；外网能通过internet只能访问企业DMZ区域的各种共享服务器,如FTP、WWW等,不能访问其他内网信息；两栋楼之间通过广域网联通；出差工作人员及在家办公人员能够远程访问公司内部的共享文件以及进行数据传送；网络要求是可以扩展的、高速的、冗余的、安全的,并可满足为现在或将来进行语音、视频、图像等各种服务的应用；要保证企业内部服务器可以集中管理及企业内部信息安全；为了简化起见,在本方案中,把公司的设计部、财务部、技术部、经理办公室,人力资源部、销售部、企划部、生产车间和库房9个部门分于不同的vlan。2.2网络设计需求分析根据企业提出需求,进行分析,最终将采取以下方案解决企业需求：申请一个10M申请2个公网IP：一个分配给Internet接入路由器的串行借口,另一个用作NAT；购买一台华为路由器以实现企业内部网络连接到Internet；企业目前有45台计算机连入网络,考虑在未来5年内可能会有所增加,预计增加幅度为20台,因此接入层交换机48口的华为,需要3台用于楼宇1,两台用于楼宇2；将各部门划分在不同的VLAN；邮件服务器,web服务器,ftp服务器直接与核心交换机华为连接,置于管理机房,方便管理,同时配置ACL控制各部门访问权限；在路由器上配置VPN,以实现出差工作人员及在家办公人员远程访问企业内部资源及数据交换；.2.3功能需求分析办公自动化是一个企业除了生产控制之外的一切信息处理与管理的集合。它面向不同层次的使用者便有不同的功能表现。对于企业高层领导而言,OA是决定支持系统〔DSS。OA运用科学的教学模型,结合企业内部/外部的信息为条件,为企业领导提供决策参考和依据。对于中层管理者而言,OA是信息管理系统〔IMS,OA利用业务各个环节提供的基础"数据",提炼出有用的管理"信息,"把握业务进程,降低经营风险,提高经营效率。对于普通员工而言,OA是事务/业务处理系统,OA为办公室人员提供良好的办公手段和环境,使之准确、高效、愉快的工作。企业内部办公网络系统应该能够建立企业自身的一套职务体系,每个职务有其所对应的职级、所需基本信息及对信息的使用资格。通过该网络系统可以对企业职员的人事信息、公司的流水账目信息、核销单的流向信息、账单的生成和查询及同行各业的信息进行管理。对于本系统,需要实现以下一些基本功能：1资料的上传下载2员工信息管理；3财务信息管理；4账单信息管理；5客户信息管理6核销单信息管理。基于上述考虑,本案例决定采用华天动力协同OA办公自动化系统。华天动力OA办公自动化融合最先进的管理理念和开发技术,是当前市场绝对领先的新一代办公自动化系统。华天动力OA采用魔方式三层架构开发,是真正的协同办公平台,能轻松实现跨平台、跨数据库、跨架构的使用,拥有魔方般的灵活性和整合性,允许用户随意组合不同的业务系统。无论是自己开发还是采购的各种系统,华天动力OA都能让用户轻松构建起一个数据共享、流程同步的综合性信息化办公平台。其功能如下：〔1实现文件的全文检索功能。〔2基于角色的工作流系统。〔3采用JAVA、J2EE架构,全面支持WebService,扩展无极限。〔4全面支持SQLServer/Oracle/MYSQL等数据库,无须额外修改和配置。〔5界面美观,多种界面风格,可随时换肤,自定义喜好的风格。2.4环境需求分析系统的运行对运行环境有一定的要求。2.4.1在最低配置的情况下,系统的性能往往不尽如人意,现在的硬件性能已经相当出色,而且价格也很便宜,因此我们通常给服务器端配置高性能硬件。处理器：InterP42.0G或更高内存：2GB硬盘空间：20GB显卡：SVGA显示适配器2.4.2〔1操作系统：工作站采用WindowsXPSP3,服务器采用WindowsServer2008,〔2数据库：SQLServer2003〔3界面调整：MacromediaDreamweaver8+MicrosoftFrontPage20032.5性能需求分析2.5.1〔1图形化界面、可操作性强：图形化界面、操作简单是企业内部办公系统最近本的要求之一。用户对系统的操作只需要鼠标点击和少量的键盘输入,加上界面和菜单显而易见,所以即使是计算机基础很差的用户经过简单的培训后,都能很快地熟练操作。〔2安全性：企业内部管理系统必须要有极其强大的安全性。我们通过系统内部自己设置的权限校验来对系统登录用户实施校验,提高了整个系统的安全性,满足客户的安全性需求。〔3简便的维护手段：系统使用后,维护工作将是一个长期的工作,系统将充分考虑维护工作的需求,通过相应手段降低维护工作及难度,从而达到保证运行可靠及节省费用的目的。〔4高效性：企业内部系统应该具有的强大适应能力和简便实现能力。系统运行的高效性是我们追求的目标之一。〔5功能性强大：该系统将具有强大的功能性,能满企业内部管理的基本需要,发挥计算机管理的优势。2.5.2〔1人性化设计：简单的操作步骤,人性化的界面设计,符合当今社会科技以人为本的设计理念；〔2系统的安全设置：该系统具有强大的安全性,系统内部的权限校验保证了企业资料的安全,保障了用户的权益。〔3使用的高效性：该系统的使用提现了计算机操作得高效性,用时短,内容多的特点；〔4大的功能：该系统把分散在企业事业单位的所有档案信息实行统一、集中、规范的收集管理,建立分类编号管理、电脑存储查询等现代化、专业化的管理；〔5有错误识别能力：当用户操作出现错误时,系统将提出警告,并能提示正确的操作,避免系统被破坏。第三章网络组网技术选型该方案总体网络采用树型拓扑网络结构,使之具有链路冗余特性；整体网络规划为核心及服务器群区域,内部骨干区域〔汇聚链路,接入层上联区域,客户端接入区域；核心交换机位于集团总部机房,并为双核心,使用双主干网络设计,保证主交换机网络的容错。在一台交换机出现故障的时候保障网络的正常运行,也不用手工切换和维护,保证网络的可靠性。采用全交换硬件体系结构,可实现全线速的IP交换；网络主干采用先进的千兆位以太交换技术,可最大限度地提高主干的数据传输速率。使用千兆网络保证网络交易速度与实时性,使用了FEC/GEC技术实现网络带宽的扩展,适应网络不断扩展的要求。根据需求概括,我们选择的是华为S9303作为核心交换机Quidway®S9300系列T比特路由交换机是华为公司面向以业务为核心的网络架构而推出的新一代高端以太汇聚交换机。该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,进一步提供业务流分析、完善的QOS策略、可控组播等智能业务优化手段,同时具备超强扩展性和可靠性,广泛适用于运营商IP城域网,企业广域网/城域网,企业出口/核心/汇聚,高密度千兆桌面接入,以及数据中心,帮助电信运营商和企业构建面向业务的网络平台,提供交换路由一体化的端到端融合网络服务。S9300系列提供4插槽、8插槽、14插槽三种产品形态,支持不断扩展的交换能力和端口密度。整个系列秉承模块通用化、部件归一化的设计理念,最小化备件成本,在保证设备扩展性的同时最大限度地保护用户投资。此外,S9300作为新一代智能交换机采用了多项绿色节能创新技术,不断提升性能及稳定性的同时,大幅降低设备能源消耗,减小噪声污染,为网络绿色可持续发展提供领先的解决方案。华为S9303核心路由交换机具有一下的优点：先进的系统架构：采用了分布式、模块化设计理念,并采用了基于多处理器分布式处理机制和Crossbar空分交换结构的体系结构。这保证了系统优异的转发性能、强大的业务能力和高度的可扩展性。高端口密度和线速路由及交换：具有丰富的接口类型,提供10GE、GE、FE等接口。可以真正实现高端口密度和线速路由及交换。大容量、高性能：支持高达952Mpps的路由包转发能力,并支持512K条第三层路由信息、512K第二层的MAC地址以及

4096组VLAN、

8K条安全和访问控制策略,保证了数据线速转发的要求。

增强的业务功能：具有L2/L3/L4线速交换能力、具备QoS、MPLS、NAT、带宽控制、组播等高级性能,是定位于网络核心层、实现整体网络增值的优选设备。同时,提供基于硬件的流量分类和组播以及速率限制和先进的服务质量保证〔QoS机制,可为用户开展增值业务提供强大的支持。强大的安全功能：支持ACL安全过滤机制,可提供基于用户、地址、应用以及端口级的安全控制功能,并支持IPSec、MPLS

VPN特性。同时,支持基于端口不同优先级对列的和基于流的入口和出口带宽限制、uRPF、防DDOS攻击、SSH2.0安全管理、802.1x接入认证及透传,VLAN

ID与MAC地址、端口号、IP地址捆绑等安全功能。此外,系统还具备完善的抗病毒机制,可以为网络运营提供全面的安全保证。

支持IPv6：全面实现了各种IPv6协议技术,包括IPv4和IPv6双协议栈和基于手工配置隧道、自动配置隧道、6to4隧道等IPv4向IPv6的基本过渡技术。同时,实现了IPv6静态路由,支持BGP4/BGP4+、RIPng、OSPFv3等动态路由协议。全面支持二、三层MPLS

VPN：二层MPLS

VPN支持Martini协议〔VPWS和VPLS、三层MPLS

VPN采用RFC2547bis,具有良好的兼容性,可以与其他主流厂家的设备实现MPLS

VPN业务的全面互通。

电信级可靠性：系统的主控单元、电源等等关键模块均可以进行1:1方式的备份,无中断保护系统〔Hitless

Protection

System

-

HPS为DES-8500的高可靠性提供了最重要的保证,在配置冗余控制模块的情况下,它能满足最苛刻的可靠性要求。同时,DES-8500的VRRP、STP、LACP等功能为用户提供了进一步的可靠性保证。

统一的网管功能：支持RFC

1213

SNMP〔简单网络管理协议,带内网管的形式可采用基于Telnet的配置管理〔CLI命令行的形式或基于SNMP的配置管理

〔图形界面的形式,实现基于Broad

Director网管平台的统一网管。

接入层为楼层的工作组及交换机。核心层与接入层以千兆以太网技术相连,传输速率达1Gbps,采用全双工通信可达2Gbps。其物理连接采用多模光缆相互连接,以提供物理层、链路层及IP层的冗余连接能力。核心交换：三层千兆交换机为整个网络的核心,它对整个网络的性能,可靠性起决定性作用,它连接各个物理子网,治理网络内信息交换<包括多媒体信息>,控制VLAN间访问,保证信息安全。因此,我们选用的中心交换机除了提供高速的网络连接之外,还具有多种信息的治理和控制能力。全部的网络设备均支持高效的Intranet多媒体和多点广播技术、治理协议<CGMP>等,为多媒体和多点广播应用如IPTV等提供端到端的带宽保证。网络采用分层结构,不仅逻辑结构清楚,治理方便；更重要的是大多数的数据流量<主要是同一部门或工作组内>的交换在次级节点分布交换机上直接处理,不经中心设备,节省主干带宽,提高利用率。有一定的前瞻性,不仅满足当前网上应用,也为将来更高性能的升级作好了预备：网络具有良好的伸缩性,升级和扩展主要只集中在网络中心,添加新的接口模块,即可实现用户和信息点的扩充；增加光纤连接即可大量提高主干带宽；中心增配另一台多层交换机,网络结构就能连接成可靠性的、真正的中心交换机互备份和上联线路冗余。配合热备份路由协议和热备份双服务器主机系统,在整个系统内消除单点故障,提供高可用性的应用服务系统。汇聚交换及接入交换：二级交换机可以每个独立构成一个VLAN,也可以多个二层交换机构成一个VLAN。VLAN之间的路由由中心交换机负责。不同的部门/单位可以通过配置不同的VLAN等方式来隔离广播和信息流,不但可以提高网络效率,而且可以增强网络安全。而每台交换机上的10/100自适应端口又可以与下层100M到10M交换式集线器相连接。心交换机与二层交换机以1000M全双工的方式相连接。这样的连接结构可保证网络带宽的最大限度的合理应用。集团由总部机房采取一处连接Internet中,设置防火墙等安全软件,并对外网的远程登录设置权限及相应的安全认证！网络应用系统选择根据集团用户对操作系统的要求：操作系统要求选择最新版本,所选操作系统需要提供方便的更新与升级方法,服务器操作系统需要能够提供目录服务功能,服务器及客户机操作系统都需要支持TCP/IP协议,所选操作系统应能够方便的实现用户和权限的管理,秘选操作系统应能够运行大多数应用软件,例如办公软件、图像处理软件、CAD财等,我们选择Linux,它具有极高的稳定性、先天的安全性、软件安装的便利性、多任务、多使用者、免费或少许费用、有强大的网络功能、在相关软件的支持下,可实现WWW、FTP、DNS、DHCP、E-mail等服务。建立WWW服务器,实现Internet上浏览和查询；建立FTP服务器,结合学校实际和需要逐步建立远程FTP服务；建立Ｗｅｂ服务器把图文信息组织成分布式的超文本,并用信息指针指向存有相关信息的服务器,使用户可以方便地访问这些信息。当网上用户增多时,网络访问很频繁,通信量很大,随机性强。作为全校的通讯枢纽,需要配备高性能的服务器设备,主要的需求是高性能的ＣＰＵ、ＳＭＰ体系结构、高速Ｉ／Ｏ通道和网络通道。

建立域名服务器ＤＮＳ,各地名字服务器管理下属主机和子域,并由高一级名字服务器监管,但每个域至少需要配备一台以上的名字服务器。ＤＮＳ数据量不大,但访问频繁。建立数据库服务器能有高效的处理速度、较大的内存和磁盘空间、快速的Ｉ／Ｏ系统和网络界面,较高的可靠性,完善的系统备份功能和较好的可扩充性能。第四章网络拓扑结构图4.1网络拓扑设计本企业网络设计方案主要由两大部分构成：楼宇1和楼宇2。4.2VLAN划分及编制方案VLAN号IP网段说明Vlan2设计部Vlan3财务部Vlan4技术部Vlan5经理办公室Vlan6人力资源部Vlan7销售部Vlan8企划部Vlan9生产车间Vlan10库房第五章设备清单及所需网络设备介绍名称型号单价数量合计路由器H3CMSR50-6025000元125000元核心层交换机华为S930334000元268000元接入层交换机华为Quidway7080元539000元防火墙H3CSecPathF100-S15000元115000元服务器正睿I143738S4999元630000元AMPRJ45水晶头60/盒12芯单模光纤TCL12芯室内单模光纤33/M12芯多模光纤TCL12芯室内多模光纤40/M主要网络设备选定根据前文对网络设备的介绍,在这些设计方案中,路由器选定为华为一台,核心三层交换机选定为华为二台,接入层交换机为48口华为五台,、一个华为防火墙,正睿服务器六台。路由器：H3CMSR50-60产品报价：23000—28888〔元项目MSR50-60处理器RISC新一代处理器〔833MHz转发性能600Kpps固定以太口2个千兆光/电Combo模块插槽4个SIC插槽6个FIC插槽ESM插槽2VPM插槽4USB2〔USB1.1AUX1配置口1VCPM插槽1硬件加密支持内存〔缺省/最大512M/1G〔DDRCF256M/1G最大功耗350W电源〔AC输入额定范围：100～240V50/60Hz电源〔DC输入额定范围：-48～-60V外形尺寸〔W×D×H436.2mm×424mm×175.1mm重量21kg环境温度0～40℃环境相对湿度5～90%〔不结露EMCETSIEN300386V<2001-09>EN55022<1998>EN55024<1998>FCCPart15ICES-003VCCIV-3AZ/NZSCISPR22CNS13438安规UL609503rdEditionCSA22.2#9503rdEdition1995EN60950:2000+ZB&ZCdeviationsforEuropeanUnionLVDDirective属性说明网络互连局域网协议ARP〔代理ARP,免费ARP,授权ARP

Ethernet,VLAN〔VLAN-BASEDPORTISOLATE/VLANVPN/VOICEVLAN,802.3x,LACP<802.3ad>,802.1p,802.1Q,802.1x

RSTP<802.1w>,MSTP<802.1s>

GVRP

PORTLOOPBACK,PORTMUTILCASTsuppression广域网协议PPP、MP,PPPoEClient、PPPoEServer

FR、MFR,FRFragment、FRCompress、FRoverIP,FRTS

ATM〔IPoA、IPoEoA、PPPoA、PPPoEoA

DCC、DialerWatch

HDLC,LAPB

X25、X25overTCP、X25toTCP,X25PAD、X25Huntgroup、X25CUG

DLSW<V1.0/2.0>

ISDN、ISDNNetwork,ISDNQSIG,MODEM网络协议IP服务快速转发〔单播/组播

TCP,UDP,IPOption,IPunnumber

策略路由〔单播/组播非IP服务支持SNA/DLSw,DLSw以太冗余备份

IPX,SOT,NetstreamIP应用Ping、Trace

DHCPServer/DHCPRelay/DHCPClient

DNSclient/DNSStatic

NQA,IPAccounting,UDPHelper,NTP

Telnet,TFTPClient/FTPClient/FTPServerIP路由静态路由

动态路由协议：RIP/RIPng,OSPF,OSPFv3,BGP,IS-IS

组播路由协议：IGMP,PIM-DM,PIM-SM,MBGP,MSDP

路由策略MPLSLDP,LSPM,MPLSTE,MPLSFW,MPLS/BGPVPN,L2VPNIPv6IPv6基本功能：IPv6ND,IPv6PMTU,IPv6FIB,IPv6ACL

IPv6过渡技术：NAT-PT,IPv6隧道,6PE

IPv6路由：

IPv6静态路由

动态路由协议：RIPng,OSPFv3,IS-ISv6,BGP4+

组播路由协议：MLD,PIM-DM,PIM-SM,PIM-SSM网络安全性端口安全PPPoEClient-Server,PORTAL,802.1xAAALocal认证,Radius,HWTacacs防火墙ASPF,ACL,FILTER数据安全硬件加密引擎〔NDE,IKE,IPSec,Portal其他安全技术L2TP,NAT/NAPT,PKI,RSA,SSHv1.5/2.0,SSL,URPF,GRE可靠性支持VRRP,支持备份中心QOS二层QoSSP

LR

Port-BasedMirroring

PriorityMapping

PortTrustMode,PortPriority

FlowControl&Backpressure流量监管支持CAR〔CommittedAccessRate

支持LR〔LineRate拥塞管理FIFO、PQ、CQ、WFQ、CBQ、RTPQ拥塞避免WRED/RED流量整形支持GTS〔GenericTrafficShaping其他QOS技术FRQOS,MPLSQOS,MPQoS/LFI,cRTP/IPHC,ATMQOS语音接口FXS/FXO/E&M

E1/T1信令R2,DSS1,Q.sig,DigitalE&MH.323H.225,H.245GKClientGKClientSIPSIPCodecG.711Alaw,G.711Ulaw,G.723R53,G.723R63,G.729a,G.729R8MediaProcessRTP/cRTP,IPHC,VoiceBackupFAXFAX其它语音RADIUS可维护性网络管理SNMPV1/V2c/V3,MIB,SYSLOG,RMON本地管理命令行管理,文件系统管理,auto-config,DualImage用户接入管理支持console口登录,支持AUX口登录,支持TTY口登录,支持telnet〔VTY登录,支持SSH登录,支持FTP登录,支持X25PAD登录,XMODEM

产品概述MSR〔MultipleServicesRouters多业务开放路由器是XX华三通信技术有限公司〔以下简称"H3C"专门面向行业分支机构和大中型企业而推出的新一代网络产品。MSR先进的软件结构与硬件平台,能够在最小的投资范围内为企业边缘网络提供一体化解决方案,更能充分满足未来业务扩展的多元化应用需求,符合企业IT建设的现状与趋势。企业信息架构正在由C/S模式向B/S模式转变,MSR具备高数据转发能力与高加密能力,很好的解决了转变过程中凸现的网络带宽压力与安全隐患,保障企业关键业务流可以高速、机密的通过广域网传输。MSR集数据安全、语音通信、视频交互、业务定制等功能于一体,能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点,不仅能够最大程度的避免网络中多设备繁杂异构问题,而且极大降低了企业网络建设的初期投资与长期运维成本。针对企业用户日益个性化的应用需求,MSR领先集成了可以定制开发的高性能开放业务平台,任何人都可以基于该平台开发自身需要的高级网络业务,企业用户只需安装软件便能在网络中方便的部署相应业务,节省了购置各类高昂专用网络设备的投资。MSR在突破性提高数据处理能力与插槽扩展性的同时,还能完全兼容原AR系列的硬件模块与软件功能,为客户提供了最为经济的网络升级方案。MSR产品包括MSR50、MSR30和MSR20三个系列。H3CMSR50系列多业务开放路由器包含MSR50-40和MSR50-60两款设备,这两款设备均提供两种不同性能引擎的主控板以满足不同性能需求的多业务并发应用。该系列产品可以为大型分支机构提供高性能、多业务的一体化网络方案,也可以作为大中型企业的核心网络设备,完成数据、语音、视频等多种流量的广域网交互。MSR50针对安全数据连接进行设计,采用内置硬件加密功能的CPU和主板上内置的硬件加密引擎,大大提高产品的数据加密性能,同时节省接口插槽。MSR50在提供高质量数据业务转发的同时,还提供了强大而灵活的VoIP解决方案,客户可在单一平台上为其分支机构灵活地部署程控交换机、模拟电话和IP电话,降低网络运维成本。另外,MSR50系列路由器还通过集成以太网交换模块提供二层数据交换功能,实现了真正的路由交换一体化解决方案。MSR50系列产品采用H3C成熟商用的软件操作系统,提供丰富的QoS特性,全面支持IPv6,同时大大地增强部署MPLSVPN业务的能力。MSR50采用OAA〔OpenApplicationArchitecture开放应用体系架构,产品提供了一个公开软硬件接口及标准规范的开放平台,任何厂商与合作伙伴均可以基于此平台开发更为深层智能的网络应用功能,以形成业务定制、优势互补、深度集成、合作共赢。MSR50系列路由器还通过OAA架构提供基于路由器的统一通信功能,为用户提供灵活的语音呼叫处理、IP-PBX、IP电话会议和即时通讯等功能一体化核心交换机：华为S9303产品报价：17280—34000〔元交换机类型路由交换机应用层级三层传输速率10Mbps/100Mbps/1000Mbps端口结构模块化交换方式存储-转发背板带宽1.2Tbps包转发率540MPPSVLAN支持支持QOS支持支持网管支持支持MAC地址表16K模块化插槽数8电源DC:–38.4V～–72V;AC:90V～264V;典型功耗:<180W;整机供电能力:350W尺寸<mm>442*476*175重量<Kg>15Quidway®S9300系列T比特路由交换机是华为公司面向以业务为核心的网络架构而推出的新一代高端以太汇聚交换机。该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,进一步提供业务流分析、完善的QOS策略、可控组播等智能业务优化手段,同时具备超强扩展性和可靠性,广泛适用于运营商IP城域网,企业广域网/城域网,企业出口/核心/汇聚,高密度千兆桌面接入,以及数据中心,帮助电信运营商和企业构建面向业务的网络平台,提供交换路由一体化的端到端融合网络服务。

S9300系列提供4插槽、8插槽、14插槽三种产品形态,支持不断扩展的交换能力和端口密度。整个系列秉承模块通用化、部件归一化的设计理念,最小化备件成本,在保证设备扩展性的同时最大限度地保护用户投资。此外,S9300作为新一代智能交换机采用了多项绿色节能创新技术,不断提升性能及稳定性的同时,大幅降低设备能源消耗,减小噪声污染,为网络绿色可持续发展提供领先的解决方案。接入层交换机：华为Quidway产品报价：7080〔元交换机类型：万兆核心路由交换机传输速率：10/100/1000/10000Mbps交换方式：存储-转发背板带宽：1800Gbps包转发率：432MppsVLAN功能：支持网络标准：802.1P,IEEE802.2,IEEE802.3网络协议：STP/RSTP/MS...无线AP：TL-WA501G+产品报价：270—350〔元无线AP工作方式无线网络标准IEEE802.11g/b,IEEE802.3/802.3u传输速率54,48,36,24,18,12,9,6,5.5,2,1Mbps频率范围2.4-2.4835GHz信道13展频技术DSSS调制技术OFDM/DBPSK/DQPSK/CCK接收灵敏度54M:-68dBm@10%PER

11M:-85dBm@8%PER

6M:-88dBm@10%PER

1M:-90dBm@8%PER

256K:-105dBm@8%PER<典型值>传输距离室内最远200米,室外最远830米<因环境而异>天线类型可拆卸全向天线4dBi端口类型1个10/100M自适应RJ45端口<支持自动翻转>电源电压9V-0.8A,50Hz状态指示灯LAN<有线网络状态>;

Power<电源>,

WLAN<无线网络连接状态>颜色银白色尺寸165×108×28mmTL-WA501G+是TP-LINK公司旗下的一款高性价比的无线AP,提供全中文Web配置界面,可以通过Web浏览器方便的对TL-WA501G+进行访问和控制,配置直观、简单、快捷。还可以通过Web界面对TL-WA501G+进行在线软件升级,以适应将来更高层次和更新要求。H3Csecpath产品报价：14000—165000〔元基本规格防火墙类型企业级防火墙VPN支持支持主要功能增强形状态安全过滤,抗攻击防范能力,应用层内容过滤,多种安全认证服务,集中管理与审计,全面NAT应用支持,专业灵活的VPN服务,智能网络集成及Quos保证,电信级设备高可靠性,智能图形化的管理网络网络管理支持标准网管SNMPv3,并且兼容SNMPv2c、SNMPv1,支持NTP时间同步,支持Web方式进行远程配置管理,支持QuidviewBIMS系统进行设备管理,支持QuidviewVPNManager系统进行VPN业务管理和监控,命令行接口端口类型1个配置口〔CON,1个备份口〔AUX,7FE,1个MIM插槽,F:16MB,ddrSDRAM:256MB安全性入侵检测Dos,DDoS安全标准CE,FCC端口参数控制端口Console口电气规格电源电压100-240V；50/60Hz,DC:直流主机：-48V－-60V电源功率22W外观参数产品重量4kg长度<mm>420宽度<mm>330高度<mm>44环境参数工作温度0-45工作湿度10～95%〔不结露存储温度-20-70存储湿度10～95%〔不结露支持标准网管SNMPv3,并且兼容SNMPv2c,SNMPv1,支持NTP时间同步,支持Web方式进行远程配置管理,支持QuidviewBIMS系统进行设备管理,支持QuidviewVPNManager系统进行VPN业务管理和监控,命令行接口等正睿I143738S产品报价：4999〔元基本参数服务器级别部门级服务器类型塔式主要性能主板芯片组IntelS3200CPU个数1颗最大CPU个数1颗CPU类型IntelXeonX3320处理器标称主频2.5GHz二级缓存6MB总线规格1333MHz多核运算四核内存内存容量2GB内存描述DDR2内存扩展8GB存储硬盘容量320GB硬盘类型SATA存储控制无RAID阵列模式Raid0,1,5,10光驱DVD-RW网络网络控制器集成双千兆以太网卡电源电源功率350W电源数量1电源类型服务器电源散热系统标配风扇其他PCI扩展槽5机身尺寸390×185×415mm随机软件ServerManagement第六章网络PDS系统设计1、布线系统总体结构设计总体两撞建筑,从总部机房用十二芯单模光纤与其他六撞建筑的设备间|BD|相连,每个设备间也设用十二芯多模光纤与每层的电信间|FD|,并用五类非屏蔽双绞线从电信间与工作站相连接,企业园区网采用10M的光纤以太网接入到因特网服务提供商的网络,然后接入到因特网中,使企业实现与外界的信息交换和网络通信。公司统一由总部机房的一个出口访问Internet,公司能够控制网络的安全。在服务器和核心交换机间：使用UTP电缆来将服务器连接到核心交换机。2、工作区子系统设计工作区子系统由各个单元区域构成,是计算机、电话和信息插座的连接部分,包括连接跳线和信息插座。信息插座面板具备：通用、超薄、简易、防尘等特点；信息插座的模块采用类RJ-45模块；线缆采用超五类双绞线；水晶头采用RJ-45标准水晶头。为降低成本和结合客户终端的位置多变的特点,跳线可采用原装跳线与自制跳线相结合的方式,中心机房内设备之间、楼宇机柜内设备之间、服务器、重点客户终端的跳线采用原装成品跳线,其余采用自制跳线。跳线制作统一采用EIA/TIA568B标准,以使系统具有更好的兼容性3、水平子系统设计水平子系统主要是实现信息插座和管理子系统,即中间配线架〔IDF间的连接。水平子系统为树形拓扑。在水平子系统中采用超五类非屏蔽双绞线。双绞线水平布线链路中,水平双绞线的最大长度均不超过90m。为了网络系统的稳定性和扩展性超五类非屏蔽双绞线。4、管理子系统设计管理子系统设计由配线间构成。由各种规格的配线架实现水平、垂直主干线缆的端接及分配；由各种规格的跳线实现布线系统与各种网络、通讯设备的连接,并提供灵活方便的线路管理能力。分配线间是各治理子系统的安装场所,可安装配线架和计算机网络通信设备。对于信息点不是很多,使用功能近似的楼层,为便于治理,仅设置一个共用的子配线间;对于信息点较多的楼层则在该层设立配线间。5、干线子系统设计干线子系统设计由连接主设备间与各治理子系统的室内干线电缆构成。数据主要从网络配线间向各个子配线间敷设12芯单模室内多模光纤。6、设备间子系统设计设备间子系统设计由设备间中的电缆、连接器和相关支撑硬件组成,把公共系统〔通讯系统,计算机系统和建筑自动化系统等设备的各种不同设备互连起来。使用12芯单模室内多模光纤将其连接。7、建筑群子系统设计建筑群子系统是将一栋建筑物内的电缆延伸到建筑群中的另外一些建筑物内的通信设备和装置上,采用光缆布线是目前主要的建筑间布线方式。建筑间的主干光缆采用12芯单模。第七章网络存储设计7.1存储备份必要性分析随着计算机管理技术和网络技术的发展,为了提高企业业务管理水平、增强企业市场竞争能力,越来越多的企业开始使用计算机来处理内部日常事务和外部业务往来,从而使得这些企业越来越依赖于系统管理数据和业务信息。尤其是在企业业务不断增加、数据量成倍增长乃至出现数据膨胀现象时,由此引发的企业从数据膨胀、到计算机性能提高、再导致新一轮数据膨胀的循环不断加剧,进而在企业中引起新的数据安全恐慌,数据失效问题时有发生。数据失效主要分为两种：一种是被称为物理损坏〔PhysicalDamage的、造成数据无法使用的数据失效；一种是被称为逻辑损坏〔LogicalDamage的、数据仍可部分使用的、数据之间关系出错的数据失效。相比起来,后者所引起的数据混乱往往要比前者产生的后果更为严重。这是因为逻辑损坏不易被用户发现、且潜伏期长,一旦发现数据有错时,系统可能已经无法挽回了。当然,物理损坏也并非儿戏,其后果虽然是局部的,但必竟会引起系统混乱,直接导致局部瘫痪。7.2基于HPSERVER的数据存储与备份方案7.2.1由于数据备份所占有的重要地位,它已经成为计算机领域里相对独立的分支机构。一般来说,各种操作系统所附带的备份程序都有着这样或那样的缺陷,所以若想对数据进行可靠的备份,必须选择专门的备份软、硬件,并制定相应的备份及户恢复方案。在发达国家几乎每一个网络都会配置专用的外部存储设备,而这些设备也确实在不少灾难性的数据丢失事故中发挥了扭转乾坤的作用。计算机界往往会用服务器和数据备份设备〔如磁带机的连接率,即一百台服务器中有多少配置了数据备份设备,来做为评价备份普及程度和对网络数据安全程度的一个重要衡量指标。如果每一台服务器或每一个局域网络都配置了数据备份设备以及相应的备份软件,那么无论网络硬件还是软件出了问题,都能够很轻松地恢复。7.2.该数据备份/恢复系统采用了硬件与软件相结合的方式,从而实现了数据备份的自动化与智能灾难恢复。1、硬件设备选择在此系统中,建议采用QuantumDLT4108或HP24GB*6e自动加载机作为备份设备。设备的主要性能指标如下：QuantumDLT4108自动加载机驱动器QuantumDLT4000驱动器驱动器数量1槽位8本机容量〔压缩后*160GB<320GB>数据传输率〔压缩后1。5MB/sec<3.0MB/sec>HPDAT24GB*6e自动加载磁带机驱动器HPDAT24GB驱动器数量1记录格式DDS-3本机容量〔压缩后*72GB〔144GB数据传输率〔压缩后1MB/sec〔2MB/sec2、备份软件选择采用美国VERITAS公司的BackupExec备份软件。包括以下选件：VERITASBackupExecforwinNT,Multi–serverEditionVERITASBackupExecforwinNT,OracleAgentVERITASBackupExecforwinNT,LotusNotesAgentVERITASBackupExecforwinNT,OpenfilesOptionVERITASBackupExecforwinNT,IntelligentDisasterRecoveryOptionVERITASBackupExecforwinNT,AutoloaderOption各选件的主要功能为：VERITASBackupExecforwinNT,Multi–serverEdition采用COM技术,与微软产品100%兼容。设定备份时间和备份方式,就可以在指定时间到来时自动备份该服务器和网络中其他客户机内的数据,并在备份结束后或由于某种原因使备份中断时拨打指定手机或寻呼机号码通知系统管理员。独有的工作集备份,使恢复工作更快更有效。集成的防病毒功能：在备份前对数据预扫描,发现病毒并进行清除。由于新的病毒不断出现,VERITASBackupExec每30天自动提醒您更新病毒特征文件,并通过因特网很容易地实现更新。独有的中文版界面和向导功能使系统管理员更易操作。◆VERITASBackupExecforwinNT,OracleAgent实现对Oracle数据库的全面保护。VeritasBackupExecforwinNT,LotusNotesAgent 实现对LotusNotesAgent数据库的全面保护。◆VERITASBackupExecforwinNT,OpenfileOption此选件确保即使文件打开时,也能对其进行备份。由于此用户网络24小时都处于运行状态,有很多文件经常处于打开状态,为了保证将这一部份文件完整地备份下来,需要选择此选件。◆VERITASBackupExecforwinNT,IntelligentDisasterRecoveryOption智能灾难恢复选件使用这个选件,可迅速将服务器恢复到最近一次备份时的状态,恢复操作系统配置、用户资料,更新信息、应用程序和数据。VERITAS的IDR不同于其他灾难恢复产品的独到之处在于,IDR可以恢复到最近一次增量或差量备份,而不是只能恢复到最近一次完全的备份。所以,系统和数据都可以恢复到其他产品无法做到的最接近灾难发生时刻的状态,并且恢复的过程所需的时间也较少。Veritas的IDR还提供了简单而灵活的方法,可在恢复过程中修改系统配置,例如容错等级、磁盘镜像、磁盘卷标等定制配置。◆VERITASBackupExecforwinNT,AutoloaderOption自动加载器模块为WindowsNT版BackupExec提供单驱动器和多驱动器自动加载器支持。通过这个附加模块可以从自动加载器获得很大的益处,包括具有条形码阅读器和舱门的设备。7．3备份工作实现自动化通过采用软件与硬件结合的备份方式,可以实现备份工作的自动化。只需设定各种备份参数〔如备份时间、备份内容、磁带覆盖方式、病毒扫描登,就可以在指定时间到来时自动启动备份进程。自动加载机的使用,更避免了每天更换磁带,通过制订相关的备份策略,可以实现每周至每月更换一次磁带。7．4实现跨平台备份备份软件实现了跨平台备份,可以备份WindowsNT、Windows95/98、HP/UX、SunOS、UnixWare、Solaris、IBMAIX、SCOUNIX等的数据。提供了良好的管理功能利用备份软件可以根据用户的需要制订灵活的管理策略,如可以设置每周一至周四进行增量或差量备份,以减少备份时间和磁带使用量,每周五进行全备份。同时备份服务器对备份客户、备份介质、备份策略等进行里有效的管理,一旦出现系统错误会通过电话、传呼、发送E-mail等方式通知系统管理员,保证备份工作有效、可靠的进行。智能灾难恢复功能备份的目的是为了在故障时进行恢复。本备份系统配有灾难恢复选件〔DisasterRecoveryOption,可实现系统的快速恢复,大大减少从发现故障到完全恢复系统的时间〔通常只需几十分钟就可以实现对整个NT系统的恢复要实现灾难恢复,只要事先为系统生成四张软盘,并进行一次全备份。这四张软盘包括了NT启动程序,服务器各硬件的驱动程序,以及从磁带中恢复数据的程序。当服务器损坏时,先恢复硬件,连好磁带机,放进最近的全备份磁带和增量备份磁带,用灾难恢复盘启动系统,再插入操作系统光盘,就可以顺利地恢复服务器第八章网络安全设计8.1概要安全风险分析针对C公司现阶段网络系统的网络结构,结合C公司今后进行的网络化应用范围的拓展考虑,C公司网络主要的安全威胁和安全漏洞包括以下几方面：1.完整性破坏2.其它网络的攻击3.管理及操作人员缺乏安全知识4.雷击等8.2实际安全风险分析1.完整性破坏这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于XX爱因森软件职业学院校园网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。2.其它网络的攻击C公司的内网网络系统是接入到INTERNET上的,这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。3.管理及操作人员缺乏安全知识由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要。这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。4.雷击由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏,造成严重后果。因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏,有必要对整个网络系统采取相应的防雷措施。8.3网络系统的安全原则公司的网络系统安全建设原则为：1.系统性原则整个安全系统的建设要有系统性和适应性,不因网络和应用技术的发展、信息系统攻防技术的深化和演变、系统升级和配置的变化,而导致在系统的整个生命期内的安全保护能力和抗御风险的能力降低。2.技术先进性原则整个安全系统的设计采用先进的安全体系进行结构性设计,选用先进、成熟的安全技术和设备,实施中采用先进可靠的工艺和技术,提高系统