大型intranet本地网设计原

大型Intranet本地网设计苏杰万文燕需求分析该Intranet的应用对象为一个大型政务机构，其组织机构包括1个总部、11个分部和109个基层单位，地理分布范围达上千公里，需在总部和各分部均组建本地局域网，各本地网之间经远程通信链路互联，各基层单位则分别接入所属分部。其主要需求如下：内部共有4个一级部门，各自对应1个局域网（IP子网），并要求能够灵活配置。全网需要配置中心服务器组，为整个机构提供数据库服务、内部电子邮件服务。需求分析各一级部门需要配置本地服务器，为部门内部提供专门业务和管理服务。各部门的联网设备数不超过200台。内部网络需要传输多媒体信息。对外需要向社会提供外部电子邮件、FTP、Web等服务。较高的安全性要求。要求系统提供7×24小时的全天候服务。整个机构使用的IP地址为。网络拓扑结构图IP地址规划及描述整个机构使用的IP地址为，1个总部，11个分部，至少需要12个子网，可以从整个机构的主机地址中取4位作为子网，子网掩码为，共有16个IP地址段，可剩余4个备用。机构IP地址段总部-54分部1-54分部2-54分部3-54分部4-54分部5-54分部6-54分部7-54分部8-54分部9-54分部10-54分部11-54IP地址规划及描述考虑到整个机构的安全性，并且需要对外提供相应的服务，所以需要设置两个服务器组，一个为中心服务器组，还有一个服务器组对外提供服务，同时总部中心网还有四个一级部门，联网设备数不超过200台。因此，每个一级部门只需要一个C类地址就可以满足需要，因此，可以在剩余地址中分配4位作为子网，一共16个子网，两个服务器组分别用一个子网段，每个一级部门分配一个子网段，一共分配6个子网段，剩余子网段留作备用。每个子网段有254个地址可供分配，可以满足用户需求。IP地址规划及描述机构IP地址段中心服务器组-54部门1-54部门2-54部门3-54部门4-54对外服务器组-54软件选型及描述操作系统：SUSELinuxEnterprise10Service，具有高可用性、系统管理性、内置的安全性等功能，以及在集成的虚拟化技术、灵活的应用程序、经济实惠的存储平台等特点。它既可部署为通用服务器，也可进行定制以运行多种特定任务。邮件系统：postfix-2.7.1，它是是非常优秀的MTA服务器软件，它素以高效、安全的特点而著称。

具有很反垃圾邮件功能、免费、具有多层防御结构、一天能够收发上百万封邮件，足以满足需求。FTP服务器：vsftpd，vsftpd是Linux最好的FTP服务器工具之一，具有安全、体积小、可定制性强，效率高等特点。

软件选型及描述DNS服务器：bind9.2.4

和linux配套使用效果不错。Web服务器：Apache，Apache是目前最流行的Web服务器端软件之一。它不仅快速、可靠、可通过简单的API扩展，而且Perl/Python解释器可被编译到服务器中，并完全免费，完全源代码开放。

数据库服务器：Oracle9i/10g是一个对象一关系数据库管理系统。它提供开放的、全面的、和集成的信息管理方法，可实现数据的透明存储，连续可用性，可伸缩性强，能提供端到端的安全体系结构，因此安全性高、可管理性强。

硬件选型及描述1、交换机核心交换机：交换信息量大，要求高速、稳定和安全，而LS-5352C-EI是华为公司为满足大带宽接入和以太网多业务汇聚而推出的新一代全千兆以太网交换机。产品具有以下优点：大带宽、高性能完备的Qos策略和安全机制完善的维护和管理性本地交换机：一级部门是一个小型局域网，内部各设备通过交换机互联，交换数据量小，LS-2352P-EI-AC是华为公司推出的新一代以太网智能接入交换机，产品具有以下优点：基于VLAN的业务控制丰富的组播功能卓越的安全特性强大的防雷能力

硬件选型及描述2、路由器：选用QuidwayAR46-40，它是华为公司面向运营商及大型行业，企业核心对高性能多业务的需求，面向全业务模型推出的新一代智能业务路由器。主要拥有一下优点：高效的双总线结构；关键器件冗余设计；关键模块热插拔；软件在线补丁；丰富的网络冗余以维护，个性化设计；突出的集成安全性通过多方面的保障，AR46路由器整机可以实现7*24小时的不间断运行。硬件选型及描述3、防火墙：华为的SecowayUSG2130是统一集成的防火墙/VPN/安全路由器/安全交换机系统，提供百兆的性能、模块化架构、WiFi接入和丰富的路由器、交换机功能，带1个固定的百兆WAN接口和8个固定的百兆LAN接口，并附加1个MIC扩展插槽，可灵活扩展广域网或局域网接口。USG2130还额外支持一个Express插槽，专门用来扩展3G接口。主要网络硬件参考报价产品类型产品型号单价数量路由器华为QuidwayAR46-40（内置防火墙）219002核心交换机LS-5352C-EI195402接入交换机LS-2352P-EI-AC32005服务器组

联想Lenovo万全R520G6XS54102G/146ANP309004本地服务器

联想Lenovo万全R150S31102G/2*250SRC98004数据库服务器

Oracle9i/10g

630001防火墙华为赛门铁克SecowayUSG2130

140802合计：353840系统安全性措施及描述防火墙：本系统使用了硬件级防火墙，防范各种远程通信链路发起的攻击，因此可以使用的以下基于包过滤的安全策略：允许从内到外的任何访问;紧允许内网中指定的某些IP主机访问外网，降低安全风险。仅允许基层工作站的某些指定IP主机访问本地中心子网，使用加密传输的用户账号等等；杀毒软件：可以在相应的网络与单机系统之中安装杀毒软件，使得中心服务器组和Web服务器、FTP服务器等的计算机病毒能够自动检测出来，做预警或处理。综合：本系统综合了多种的网络安全技术，并且使用了可靠、有效的安全策略，使得系统能有在保证机构内部的