（中職）小型局域網(wǎng)構(gòu)建網(wǎng)絡(luò)設(shè)計方案實例1

局域網(wǎng)設(shè)計方案—1目錄TOC\o"1-3"\u摘要 3ABSTRACT 4第1章公司原網(wǎng)絡(luò)方案分析 51.1公司原網(wǎng)絡(luò)拓?fù)鋱D 51.2網(wǎng)絡(luò)拓?fù)湔f明 51.3公司網(wǎng)絡(luò)現(xiàn)狀分析 6第2章網(wǎng)絡(luò)改造需求分析 72.1網(wǎng)絡(luò)功能需求分析 72.2網(wǎng)絡(luò)規(guī)模和信息點分布情況 82.3網(wǎng)絡(luò)性能分析 112.3.1帶寬分析 112.3.2可靠性與穩(wěn)定性 112.3.3可擴(kuò)展性 11第3章網(wǎng)絡(luò)結(jié)構(gòu)改進(jìn)方案 123.1邏輯網(wǎng)絡(luò)設(shè)計 123.2三層結(jié)構(gòu)分析 133.3無線網(wǎng)絡(luò)覆蓋 143.3.1連接方式 143.3.2信息點分布 143.3.3網(wǎng)絡(luò)拓?fù)?143.3.4設(shè)備選型 153.3.5覆蓋范圍及信號強(qiáng)弱 15第4章廣域網(wǎng)接入方案 174.1接入技術(shù) 174.2ISP供應(yīng)商 18第5章VLAN設(shè)計與IP地址規(guī)劃 195.1劃分VLAN的重要性 195.2劃分方案 19第6章布線工程設(shè)計 276.1綜合布線系統(tǒng)總體方案設(shè)計 276.2工作區(qū)子系統(tǒng)設(shè)計 286.3水平布線子系統(tǒng)設(shè)計 296.4管理間子系統(tǒng)設(shè)計 296.5設(shè)備間子系統(tǒng)設(shè)計 296.6垂直干線子系統(tǒng)設(shè)計 306.7建筑群子系統(tǒng)設(shè)計 30第7章網(wǎng)絡(luò)設(shè)備的選購與配置 317.1網(wǎng)絡(luò)設(shè)備選購 317.1.1路由器 317.1.2防火墻 317.1.3交換機(jī) 327.1.4無線接入點 337.2設(shè)備配置過程 33第8章網(wǎng)絡(luò)服務(wù)器的選購與配置 418.1各服務(wù)器功能介紹 418.1.1AD服務(wù)器（同時安裝DNS服務(wù)） 418.1.2LotusDomino服務(wù)器 418.1.3ISA2004服務(wù)器 418.1.4ERP服務(wù)器 418.1.5TrendOfficescan服務(wù)器 428.2服務(wù)器選型 428.2.1AD服務(wù)器 428.2.2LotusDomino服務(wù)器 428.2.3ISA2004服務(wù)器 438.2.4ERP服務(wù)器 438.2.5TrendOfficeScan服務(wù)器 44第9章訪問控制與安全措施 459.1訪問控制 459.2網(wǎng)絡(luò)安全措施 469.2.1防火墻 469.2.2ISA2004服務(wù)器 469.2.3無線方面的安全 47第10章方案報價清單 49參考文獻(xiàn) 50附錄 51附錄A:外文資料翻譯—原文部分 51附錄B:外文資料翻譯—譯文部分 59上海奧托立夫汽車安全系統(tǒng)有限公司網(wǎng)絡(luò)改造方案摘要隨著信息技術(shù)的迅猛發(fā)展，公司的網(wǎng)絡(luò)運(yùn)營對于企業(yè)的發(fā)展起著非常重要的作用。因此公司網(wǎng)絡(luò)的設(shè)計也越加受到人們的重視。本次畢設(shè)，我通過對上海奧托立夫汽車安全有限公司網(wǎng)絡(luò)狀態(tài)的分析，發(fā)現(xiàn)有如下缺點，如網(wǎng)絡(luò)冗余度低，管理不便，安全性低等。結(jié)合對公司實際的需求分析后，我決定從以下幾方面著手來改進(jìn)公司網(wǎng)絡(luò)，包括公司原網(wǎng)絡(luò)方案分析，網(wǎng)絡(luò)改造需求分析，網(wǎng)絡(luò)結(jié)構(gòu)改進(jìn)拓?fù)?，廣域網(wǎng)接入選擇，VLAN設(shè)計，綜合步線設(shè)計，網(wǎng)絡(luò)設(shè)備的選購與配置，訪問控制與安全措施這幾大模塊，制定一個切合公司實際需要的網(wǎng)絡(luò)設(shè)計方案。在方案最后，有整套方案選用設(shè)備的具體報價，有很強(qiáng)的參考性。通過這一改進(jìn)計劃，將基本緩解該公司原有網(wǎng)絡(luò)存在的缺點，逐步提高公司的網(wǎng)絡(luò)性能，便于公司網(wǎng)絡(luò)運(yùn)行的管理，以最終達(dá)到改善公司網(wǎng)絡(luò)運(yùn)行的目的。關(guān)鍵詞：網(wǎng)絡(luò)方案；需求分析；網(wǎng)絡(luò)拓?fù)?；綜合布線；網(wǎng)絡(luò)設(shè)備；訪問控制

TheNetworkReconstructionforShanghaiAutolivAutoSecuritySystem,Inc.ABSTRACTWiththerapiddevelopmentofinformationtechnology,thenetworkstatusofacompanyplaysanimportantroleinthedevelopmentforenterprise.Thereby,peoplepaymoreattentionondesigningcompany’snetwork.Duringthisdissertation,byanalyzingthenetworkstatusofShanghaiAutolivAutoSecuritySystem,Inc,Ifoundseveralflawssuchaslownetworkredundancy,inconvenientmanagementandlowsecurity.Combiningwiththeactualrequirementanalyzeforthecompany,Idecidedtoimprovethecompany’snetworkfromthefollowingaspectsincludinganalyzingtheformernetworkstatusofthecompany,requirementanalyzefornetworkimproving,thebettermenttopologyfornetworkstructure,thechoiceforWANconnection,VLANdesigning,cablingdesigning,thechooseandbuyfornetworkdevices,accesscontrolandsecuritymeasures.Iwillsetdownanactualnetworkcasewhichwillmeetcompany’sneeds.Inthelastpart,Iwilllistthepriceforalldevicesindetail,whichwillhavestrongreferencevalue.Thisimprovingplanwillabatetheflawsfromtheformercompany’snetworkbasicallyandadvancethenetworkperformancestepwise.Soitwilldowelltothemanagementofcompany’snetworkandwillreachthegoalofimprovingnetworkstatusfinally.Keywords:networkcase;requirementanalyze;networktopology;networkdevice;accesscontrol

第1章公司原網(wǎng)絡(luò)方案分析上海奧托立夫汽車安全系統(tǒng)有限公司是全球最大的汽車乘員約束系統(tǒng)的專業(yè)制造商，在全球30個國家和地區(qū)有80家分支機(jī)構(gòu)、8個技術(shù)中心和19條整車碰撞實驗室。公司廠址設(shè)在上海嘉定工業(yè)園區(qū)，2001年6月建成，2002年3月正式投產(chǎn)，開始為中國客戶供貨。1.1公司原網(wǎng)絡(luò)拓?fù)鋱D圖1-1公司原網(wǎng)絡(luò)拓?fù)鋱D1.2網(wǎng)絡(luò)拓?fù)湔f明在該公司原有的網(wǎng)絡(luò)方案中，可以看到，公司外網(wǎng)通過INTRANET接入路由器，只有一條鏈路。網(wǎng)絡(luò)中心位于公司的2號樓，兩臺核心交換機(jī)與路由器相連，4臺主要服務(wù)器兩兩接入核心交換機(jī)上，同時，3幢樓中的匯聚層交換機(jī)分別接在核心交換機(jī)上，下連的是各自的接入層交換機(jī)，設(shè)備所用的型號偏低。1.3公司網(wǎng)絡(luò)現(xiàn)狀分析1）設(shè)備的級連方式，易造成單點故障網(wǎng)絡(luò)設(shè)備采用級連方式，任何一臺交換機(jī)的故障，都會使得其后面連接的交換機(jī)所在的網(wǎng)絡(luò)區(qū)域無法正常工作，造成單點故障。2）接入層交換的級連，使最下層終端分到的帶寬和速率最低3）服務(wù)器與核心交換機(jī)的分開連接，造成用戶無法訪問所有服務(wù)器上的資源如3號樓的用戶無法訪問到AD服務(wù)器和 LOTUS服務(wù)器上的資源，1號樓的用戶也無法訪問到ERP服務(wù)器和TRENDOFFICESCAN服務(wù)器上的資源。4）出口鏈路僅有一條公司連接至外網(wǎng)的鏈路只有一條，若該條鏈路斷開，將造成公司內(nèi)網(wǎng)無法訪問外網(wǎng)，整個網(wǎng)絡(luò)停止運(yùn)行。5）網(wǎng)絡(luò)相通現(xiàn)有的網(wǎng)絡(luò)中，所有部門在網(wǎng)絡(luò)上都是相通的。同時，缺乏管理的公司網(wǎng)絡(luò)，很容易造成廣播風(fēng)暴。處在同一臺接入層交換機(jī)下的計算機(jī)，由于沒有劃分VLAN，都處在一個廣播域下，所有信息全部暴露在所有終端端口，容易造成數(shù)據(jù)被攔截，監(jiān)聽，截取。6）部門間訪問權(quán)限未做限定，安全性低公司的財務(wù)部和人事部數(shù)據(jù)，不希望被所有部門共享。公司財務(wù)部的數(shù)據(jù)需要集中化統(tǒng)一管理，人事部希望有自己的軟件管理系統(tǒng)來管理部門各種數(shù)據(jù)。由于沒有做相應(yīng)的訪問控制列表，無法對數(shù)據(jù)包進(jìn)行控制，因此網(wǎng)絡(luò)的安全性較低。

第2章網(wǎng)絡(luò)改造需求分析公司上海嘉定（總部）的建筑分布圖如圖2.1所示，其中：1號樓和3號樓為廠房，2號樓為辦公樓，其2樓中間區(qū)域是中心機(jī)房。圖2-1公司建筑分布圖2.1網(wǎng)絡(luò)功能需求分析該公司上海嘉定（總部）網(wǎng)絡(luò)系統(tǒng)具體需求如下：公司全網(wǎng)使用ERP系統(tǒng)；總部（嘉定）要與分公司（奉賢）建立穩(wěn)固的高速通信連接；建立公司網(wǎng)站，使外網(wǎng)中任一用戶均能訪問；建立公司范圍內(nèi)的IP電話系統(tǒng)，降低總部和各分部之間電話費(fèi)用；公司內(nèi)部各部門之間在網(wǎng)絡(luò)上要相互隔離開，能有選擇地進(jìn)行訪問控制（特別是財務(wù)和人事部門的資料能有效地保護(hù)）；生產(chǎn)車間（生產(chǎn)部）所有生產(chǎn)線的控制終端需要有無線覆蓋，以便連接公司ERP系統(tǒng)；公司總部已經(jīng)設(shè)有各種應(yīng)用服務(wù)器，現(xiàn)需要集中管理。不僅能公司總部，而且能使各分公司都能高效安全地利用服務(wù)器中的資源；確保公司總部網(wǎng)絡(luò)安全、穩(wěn)定和高效；對員工上INTERNET能有效監(jiān)控；10)公司財務(wù)部、人事部軟件的網(wǎng)絡(luò)化安全管理。通過進(jìn)一步了解客戶對網(wǎng)絡(luò)設(shè)計方面的具體要求，以及對網(wǎng)絡(luò)技術(shù)的研究后，具體要在該網(wǎng)絡(luò)方案中要實現(xiàn)的功能以及方法如下：利用VLAN劃分公司不同部門為了滿足生產(chǎn)車間的特殊環(huán)境和先進(jìn)的移動辦公方式，配置了無線訪問點（AP），使整個生產(chǎn)部成了一個有線加無線的多種接入方式的先進(jìn)網(wǎng)絡(luò)為公司配置5臺服務(wù)器（1臺fileserver/DHCP/DNS/AD；1臺LotusDomain;1臺TrendOfficescan；1臺ERP；1臺Anti-Virus、ISA服務(wù)器端），服務(wù)器組設(shè)在中心機(jī)房，直接與核心交換機(jī)相連，以充分利用核心交換機(jī)的路由，控制和安全的功能，達(dá)到服務(wù)器資源的有效利用在公司網(wǎng)絡(luò)出口處設(shè)置防火墻，同時在中心機(jī)房的一臺服務(wù)器上配置Anti-Virus和ISA2004，起到內(nèi)網(wǎng)防火墻的作用，保證公司內(nèi)網(wǎng)安全中心機(jī)房配有兩臺核心交換機(jī)，采用冗余設(shè)計；同時，公司內(nèi)網(wǎng)采用以太網(wǎng)和光纖連接相結(jié)合的方式，確保數(shù)據(jù)的高速傳輸為公司財務(wù)部配置一臺小型文件服務(wù)器，使該部門的機(jī)密數(shù)據(jù)能集中管理；為人事部配置一臺EHR（電子化人力資源管理系統(tǒng)）服務(wù)器，用以管理人事部門的敏感數(shù)據(jù)總經(jīng)理辦公室和IT部能對所有系統(tǒng)進(jìn)行訪問。FTP服務(wù)僅工程部能夠訪問，ERP服務(wù)器除人事部外都能訪問。人事部的E-HR服務(wù)器也僅限人事和財務(wù)部門能夠訪問。財務(wù)部數(shù)據(jù)，僅財務(wù)部能夠訪問。2.2網(wǎng)絡(luò)規(guī)模和信息點分布情況大樓內(nèi)的各部門、辦公室位置及相應(yīng)信息點分布情況如下：1號樓（共兩層）：質(zhì)量部+測試部（共107個接入點）1樓：1間大培訓(xùn)會議室（2個AP點，10個接入點），2間監(jiān)測室（10個接入點），一間劃車實驗室（15個接入點）2樓：3間辦公室（共20*3=60個接入點），2間會議室（5*2=10個接入點）3號樓（共兩層）：測試部+物流部+制造部+質(zhì)量部（共140個接入點）1樓A，B區(qū)（制造部+質(zhì)量部）：1間生產(chǎn)部辦公室（5個接入點），1間質(zhì)量部辦公室（5個接入點），一間劃車實驗室（7個接入點）；C，D區(qū)兩大組生產(chǎn)線（15*2=30個接入點），9個AP點2樓A區(qū)（物流部+質(zhì)量部）：2間大辦公室（30*2=60個接入點），1間中型會議室（8個接入點）2樓B區(qū)（制造部）：一間辦公室（10個接入點）物料倉庫（位于3號樓旁邊）：物流部+質(zhì)量部（4個接入點，2個AP點）2號樓（共兩層）：采購部+人事部+IT部+銷售部+財務(wù)部+工程部（共153個接入點）1樓左面：采購部辦公室（25個接入點），2間會議室（2*2=4個接入點）1樓右面：人事部辦公室（18個接入點）2樓左面：一間IT+銷售部門辦公室（共20個接入點），一間財務(wù)部辦公室（15個接入點），2間會議室（5*2=10個接入點），4間GM辦公室（2*4=8個接入點）2樓右面：工程部，一間大辦公室（40個接入點），一間繪圖室（8個接入點），一間會議室（5個接入點）其中，中心機(jī)房位于2號樓中間區(qū)域。信息點具體分布見表2-1：表2-1各辦公室信息點分布部門辦公室使用點數(shù)合計會議室1#10112481#20451#20553#20382#10222#10322#20352#20452#2124IT部2#20188總經(jīng)辦2#206282#20722#20822#2092測試部1#1025521#10351#104151#201203#1037工程部2#21140482#2128物流部3#2013033倉庫3銷售部2#2021212財務(wù)部2#2031515采購部2#1012525人事部2#1041818質(zhì)量部1#20220781#203203#10253#20230倉庫3制造部3#1015543#104153#105153#10693#20410表2-2信息點分布匯總表地點信息點具體分布合計1號樓1樓（培訓(xùn)會議室，監(jiān)測室*2，劃車實驗室）12+5*2+15371號樓2樓（辦公室*3，會議室*2）20*3+5*2702號樓1樓（辦公室*2，會議室*2）25+18+2*2472號樓2樓（辦公室*7，會議室*3，繪圖室）20+15+2*4+40+5*2+5+81063號樓1樓（辦公室*2，實驗室，生產(chǎn)車間）5+5+7+30+9563號樓2樓（辦公室*3，會議室）30*2+10+878物料倉庫2+2+26總計400表2-3計劃布點數(shù)及預(yù)留點數(shù)接入地點實際使用計劃布點數(shù)預(yù)留點數(shù)1號樓107120132號樓153175223號樓13414814物料倉庫6104總計40045353通過對該公司信息點分布統(tǒng)計結(jié)果來看，為該公司改進(jìn)的網(wǎng)絡(luò)規(guī)模將是個中型的企業(yè)網(wǎng)絡(luò)。2.3網(wǎng)絡(luò)性能分析2.3.1帶寬分析根據(jù)對該公司的需求分析和改造后預(yù)期達(dá)到的效果，對公司網(wǎng)絡(luò)帶寬具體分配如下：外網(wǎng)與公司路由器間的連接，采用光纖接入，帶寬為2M路由器與公司核心層交換機(jī)間的連接，采用以太網(wǎng)連接，帶寬為1000M核心層交換機(jī)與公司網(wǎng)絡(luò)中心服務(wù)器群間的連接，采用以太網(wǎng)（6類UTP）連接，帶寬為1000M核心層交換機(jī)與各大樓匯聚層交換機(jī)間的連接，采用單模光纖，帶寬為100M匯聚層交換機(jī)與接入層交換機(jī)間的連接，采用以太網(wǎng)連接，帶寬為1000M接入層交換機(jī)與各樓內(nèi)信息點間的連接，采用以太網(wǎng)（超5類UTP），帶寬為100M2.3.2可靠性與穩(wěn)定性企業(yè)網(wǎng)絡(luò)要求具有高度可靠性與穩(wěn)定性，在完成對該公司的需求分析后，總結(jié)出網(wǎng)絡(luò)中有這些地方對可靠性要求最高：1）中心機(jī)房內(nèi)，包括5臺服務(wù)器與兩臺核心層交換機(jī)2）負(fù)責(zé)匯聚各大樓接入層交換機(jī)的3臺匯聚層交換機(jī)3）外網(wǎng)接入公司路由器處因此，在這些重要地方要考慮到鏈路或設(shè)備冗余的設(shè)計。2.3.3可擴(kuò)展性此次網(wǎng)絡(luò)改進(jìn)方案所需達(dá)到的效果，除了要滿足公司實際網(wǎng)絡(luò)需要外，還要考慮到滿足公司未來3-5年的擴(kuò)建和網(wǎng)絡(luò)的升級，需要考慮到以下幾點：1）公司規(guī)模的擴(kuò)大2）分公司的建立3）出口帶寬的增加4）信息點的增加（已預(yù)留了53個信息點）

第3章網(wǎng)絡(luò)結(jié)構(gòu)改進(jìn)方案3.1邏輯網(wǎng)絡(luò)設(shè)計根據(jù)對該公司的實際需求分析及對網(wǎng)絡(luò)系統(tǒng)集成專業(yè)知識的調(diào)研后，為其設(shè)計的網(wǎng)絡(luò)方案拓?fù)鋱D如圖3-1：圖3-1公司網(wǎng)絡(luò)設(shè)計拓?fù)渥ⅲ涸摲桨傅脑O(shè)計思路是層次化，模塊化，安全性和冗余。層次化：在拓?fù)淇梢钥闯觯摲桨冈O(shè)計模型分為3個層次（核心層，匯聚層和接入層），每一層都有特定的功能。核心層：由兩臺核心交換機(jī)及中心機(jī)房組成，并考慮冗余設(shè)計。匯聚層：由三臺3層交換機(jī)組成，分別放置在3幢大樓中，負(fù)責(zé)匯聚3幢樓中所有的接入層交換機(jī)。接入層：由連接用戶的2層交換機(jī)或者無線接入點（AP）組成，在該拓?fù)渲?，設(shè)計為連接到公司的不同部門。冗余：為保證網(wǎng)絡(luò)的可用性，要有適當(dāng)?shù)娜哂唷Ｔ诠娟P(guān)鍵的網(wǎng)絡(luò)節(jié)點設(shè)計了冗余，如核心層的交換機(jī)和服務(wù)器。同時，在路由器連接到外網(wǎng)的鏈路上，也設(shè)計了冗余，包含兩條鏈路（ISDN和光纖）。模塊化：根據(jù)該拓?fù)涞?個層次，每個層中都有不同的模塊，如核心層中的服務(wù)器群模塊。安全性：中心機(jī)房內(nèi)配有Anti-Virus服務(wù)器端+ISA2004，起到內(nèi)網(wǎng)防火墻作用；公司內(nèi)網(wǎng)連接外網(wǎng)的出口處，設(shè)置防火墻，保障公司全網(wǎng)安全。兩道防火墻（“硬件外部防火墻”和“軟件內(nèi)部防火墻”之間的建立區(qū)域，以更好的保護(hù)內(nèi)部網(wǎng)絡(luò)的資源免于受到外部網(wǎng)絡(luò)攻擊）。3.2三層結(jié)構(gòu)分析核心層的任務(wù)是高速傳輸、冗余能力及可靠性。核心層一般都是由高端的路由器或第三層交換機(jī)實現(xiàn)。本方案中核心層選用了兩臺CISCO的核心路由交換機(jī)WS-C4948-S，兩者通過光纖聚合鏈路，并放在將中心內(nèi)，位于2號樓1樓。中心機(jī)房中還包括1臺路由器，1臺防火墻，2臺核心交換機(jī)，1臺匯聚層交換機(jī)4臺接入層交換機(jī)，5臺應(yīng)用服務(wù)器及2臺部門應(yīng)用服務(wù)器（人事部，財務(wù)部），這些設(shè)備分別放置在三個機(jī)柜中。中心機(jī)房的5臺服務(wù)器分別與兩臺核心路由交換機(jī)通過多模光纖連接；匯聚層交換機(jī)也通過單模光纖連接到兩臺核心路由交換機(jī)；防火墻通過單模光纖分別連接到兩臺核心路由交換機(jī)。真正實現(xiàn)了鏈路和核心設(shè)備的冗余，從而保證了公司網(wǎng)絡(luò)的健壯性和自愈性。匯聚層是網(wǎng)絡(luò)核心層與接入層之間的分界點，主要任務(wù)是提供與流量控制，安全及路由相關(guān)的策略。從物理上看，匯聚層交換機(jī)屬于樓層交換機(jī)，或者說是樓層的核心交換機(jī)。從邏輯上看，它可以是應(yīng)用系統(tǒng)的匯聚，匯聚層可以通過兩條上行線路連接到核心層，以保證線路的冗余。在該方案中，層采用3臺三層交換機(jī)，型號為CISCO的WS-C3750G-12S-E，分別位于3幢樓的1層樓中。接入層為用戶提供在本地網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)絡(luò)的能力，它是最終用戶的網(wǎng)絡(luò)接入點。接入層通過接入交換機(jī)的上行端口連接到匯聚層，一般通過2層交換機(jī)實現(xiàn)。在該方案中，公司各個部門的網(wǎng)絡(luò)屬于接入層，共選用了10臺接入層交換機(jī)，型號為CISCOWS-C2960-48TC-L。在財務(wù)部，配一臺小型文件服務(wù)器，獨(dú)立管理財務(wù)數(shù)據(jù)和資料。人事部中，配EHR（電子化管理系統(tǒng)）服務(wù)器，統(tǒng)一管理人事部門的數(shù)據(jù)。該層中的2層交換機(jī)與PC間的連接采用百兆雙絞線。接入層的生產(chǎn)車間由于特殊的工作要求，需要配備無線網(wǎng)絡(luò)。因此，在接入層交換機(jī)下連接幾個AP（點）CiscoAironet1200，覆蓋整個生產(chǎn)車間。外連接入層作為公司內(nèi)網(wǎng)和外網(wǎng)的連接點，選用Cisco的防火墻CISCOPIX-252-R-BUN，路由器選用Cisco2821，通過兩條線路（光纖和ISDN）連接到INTERNET，其中ISDN僅用做備份。Cisco2821支持VPN功能，奉賢分部對嘉定總公司的訪問通過VPN來實現(xiàn)。3.3無線網(wǎng)絡(luò)覆蓋3.3.1連接方式本次部署無線網(wǎng)絡(luò)全部在室內(nèi)進(jìn)行，在已有局域網(wǎng)的基礎(chǔ)上再安裝無線局域網(wǎng)，在本方案中，將部門所需的AP點直接連在對應(yīng)的接入層交換機(jī)上。3.3.2信息點分布依據(jù)公司對無線網(wǎng)絡(luò)的需求，為公司會議室配置2個無線接入點，制造部配置9個無線接入點，物流部和質(zhì)量部各配1個無線接入點，共計13個AP點。其中，2個點位于1號樓1樓，其余的點都位于3號樓1樓。將這些接入點連接到大樓管理配線間接入層的交換機(jī)上，使之接入公司網(wǎng)絡(luò)，并劃分在同一個VLAN內(nèi)。3.3.3網(wǎng)絡(luò)拓?fù)錇樵摴驹O(shè)計的無線網(wǎng)絡(luò)拓?fù)淙鐖D3-2：圖3-2公司無線網(wǎng)絡(luò)拓?fù)?.3.4設(shè)備選型在設(shè)備方面采用Cisco的Aironet1200系列。CiscoAironet1200系列的模塊化設(shè)計可以在2.4GHz和5GHz這兩個無須申請許可的頻段使用單頻和雙頻操作，并可以進(jìn)行現(xiàn)場升級，以便在用戶需求發(fā)生變化或者行業(yè)進(jìn)一步發(fā)展時更改這些配置。目前，CiscoAironet1200系列的標(biāo)準(zhǔn)版本可以通過一個802.11b無線收發(fā)模塊支持Wi-Fi客戶端。CiscoAironet1200系列AP還為一個802.11a無線收發(fā)模塊準(zhǔn)備了一個專門的插槽。客戶可以作為出廠安裝選件購買這兩種無線收發(fā)模塊，也可以單獨(dú)購買這些模塊進(jìn)行現(xiàn)場安裝。這些無線收發(fā)模塊還可以通過升級為將來的技術(shù)提供支持，例如802.11g。3.3.5覆蓋范圍及信號強(qiáng)弱以制造部的AP點為例，其分布方式如圖3-3：圖3-3無線信號覆蓋范圍AP的部署采用如上圖方式，將AP放置于房間的墻面周圍，保證整個房間的區(qū)域都能接收到無線信號。AP點中心信號最強(qiáng)，邊緣處較弱。

第4章廣域網(wǎng)接入方案4.1接入技術(shù)鑒于公司中型企業(yè)的網(wǎng)絡(luò)規(guī)模，終端設(shè)備很多，為了保證每臺終端使用到一定的帶寬，所以廣域網(wǎng)接入采用光纖接入的方式。外連接入層作為公司內(nèi)網(wǎng)和外網(wǎng)的連接點，選用Cisco的防火墻CISCOPIX-252-R-BUN，路由器選用Cisco2821，通過兩條線路（2M光纖和ISDN）連接到INTERNET，其中ISDN僅用做備份。Cisco2821支持VPN功能，奉賢分部對嘉定總公司的訪問通過VPN來實現(xiàn)。圖4-1廣域網(wǎng)接入方案光纖直接接入方式，是為有獨(dú)享光纖高速上網(wǎng)需求的大企事業(yè)單位或集團(tuán)用戶提供的，傳輸帶寬2M-155M業(yè)務(wù)特點：可根據(jù)用戶群體對不同速率的需求，實現(xiàn)高速上網(wǎng)或企業(yè)局域網(wǎng)間的高速互聯(lián)。同時由于光纖接入方式的上傳和下傳都有很高的帶寬，尤其適合開展遠(yuǎn)程教學(xué)、遠(yuǎn)程醫(yī)療、視頻會議等對外信息發(fā)布量較大的網(wǎng)上應(yīng)用。適合的用戶群體：居住在已經(jīng)或便于進(jìn)行綜合布線的住宅、小區(qū)和寫字樓的較集中的用戶；有獨(dú)享光纖需求的大企事業(yè)單位或集團(tuán)用戶。ISDN（IntegratedServiceDigitalNetwork），即綜合業(yè)務(wù)數(shù)字網(wǎng)。它利用公眾電話網(wǎng)向用戶提供了端對端的數(shù)字信道連接，用來承載包括話音和非話音在內(nèi)的各種電信業(yè)務(wù)。ISDN是基于公共電話網(wǎng)的全數(shù)字網(wǎng)絡(luò)，利用普通的電話線，可開展各種業(yè)務(wù)，例如大電話、發(fā)傳真、上網(wǎng)、局域網(wǎng)互聯(lián)、開會議電視、專線備份等。雖然ISDN的速度不快，但價格便宜，作為公司外網(wǎng)連接路由器的備份鏈路，比較合適。4.2ISP供應(yīng)商選擇上海電信作為ISP供應(yīng)商，具體資費(fèi)如圖4-2：圖4-2上海電信寬帶資費(fèi)根據(jù)該公司對帶寬的實際需求，決定選用2M

第5章VLAN設(shè)計與IP地址規(guī)劃5.1劃分VLAN的重要性在現(xiàn)有的網(wǎng)絡(luò)中，所有部門在網(wǎng)絡(luò)上都是相通的。同時，缺乏管理的公司網(wǎng)絡(luò)，很容易造成廣播風(fēng)暴。處在同一臺接入層交換機(jī)下的計算機(jī)，由于沒有劃分VLAN，都處在一個廣播域下，所有信息全部暴露在所有終端端口，容易造成數(shù)據(jù)被攔截，監(jiān)聽，截取。所以在改造方案中，必須為公司內(nèi)部劃分VLAN，更好的管理公司網(wǎng)絡(luò)。VLAN的劃分有很多種，常用的劃分方法是將端口和IP地址結(jié)合來劃分VLAN，某幾個端口為一個VLAN，并為該VLAN配置IP地址，那么該VLAN中的計算機(jī)就以這個地址為網(wǎng)關(guān)，其它VLAN則不能與該VLAN處于同一子網(wǎng)。在該方案設(shè)計中，采用的就是這種方法。5.2劃分方案表5-1VLAN劃分與IP地址規(guī)劃表VLAN部門辦公室使用點數(shù)合計IP子網(wǎng)網(wǎng)關(guān)VLAN20管理VLAN(管理所有設(shè)備)2020/2454VLAN30中心機(jī)房（服務(wù)器群）1010/2454VLAN2會議室1#1011248/24541#20451#20553#20382#10222#10322#20352#20452#2124VLAN3IT部2#20188/2454總經(jīng)辦2#206282#20722#20822#2092VLAN4測試部1#102552/24541#10351#104151#201203#1037VLAN5工程部2#2114048/24542#2128VLAN6物流部3#2013033/2454倉庫3VLAN7銷售部2#2021212/2454VLAN8財務(wù)部2#2031616/2454VLAN9采購部2#1012525/2454VLAN10人事部2#1041818/2454VLAN11質(zhì)量部1#2022078/24541#203203#10253#20230倉庫3VLAN12制造部3#101554/24543#104153#105153#10693#20410總計430說明：由于選用的是思科設(shè)備，所以第一個端口寫法為f0/0（和RUIJIE設(shè)備的第一個端口為f0/1寫法不同）。由于設(shè)備型號全名過長，在配置時統(tǒng)一將設(shè)備名寫為“SW-M-N”的形式，SW代表交換機(jī)，M代表工作在第幾層，N代表第幾臺設(shè)備。如SW-1-1表示核心層的第1臺交換機(jī)。對應(yīng)表見表5-2：表5-2設(shè)備命名對應(yīng)表設(shè)備類型設(shè)備型號設(shè)備命名路由器C2821R-1防火墻PIX-525-R-BUNFw-1核心層交換機(jī)C4948-1SW-1-1C4948-2SW-1-2匯聚層交換機(jī)C3750-1SW-2-1C3750-2SW-2-2C3750-3SW-2-3接入層交換機(jī)C2960-1SW-3-1C2960-2SW-3-2C2960-3SW-3-3C2960-4SW-3-4C2960-5SW-3-5C2960-6SW-3-6C2960-7SW-3-7C2960-8SW-3-8C2960-9SW-3-9C2960-10SW-3-10具體VLAN劃分如圖5-1所示：圖5-1VLAN劃分圖其中，各部門的PC在各幢樓中的具體分布如表5-3，5-4，5-5所示：表5-31號樓信息點與部門分布樓名部門PC數(shù)1號樓質(zhì)量部40測試部45會議室22表5-42號樓信息點與部門分布樓名部門PC數(shù)2號樓IT部+總經(jīng)辦16采購部25銷售部12財務(wù)部16人事部18工程部48會議室18表5-53號樓信息點與部門分布樓名部門PC數(shù)3號樓物流部33制造部54測試部7質(zhì)量部38會議室8各設(shè)備端口連線表如圖5-2至5-16所示：圖5-2SW-1-1連線圖圖5-3SW-1-2連線圖圖5-4SW-2-1連線圖圖5-5SW-2-2連線圖圖5-6SW-2-3連線圖圖5-7SW-3-1連線圖圖5-8SW-3-2連線圖圖5-9SW-3-3連線圖圖5-10SW-3-4連線圖圖5-11SW-3-5連線圖圖5-12SW-3-6連線圖圖5-13SW-3-7連線圖圖5-14SW-3-8連線圖圖5-15SW-3-9連線圖圖5-16SW-3-10連線圖

第6章布線工程設(shè)計6.1綜合布線系統(tǒng)總體方案設(shè)計結(jié)構(gòu)化布線系統(tǒng)主要由工作區(qū)子系統(tǒng)、水平布線子系統(tǒng)、垂直干線子系統(tǒng)、設(shè)備間子系統(tǒng)、管理子系統(tǒng)和建筑群子系統(tǒng)這六個子系統(tǒng)組成，布線系統(tǒng)結(jié)構(gòu)如圖6-1所示。圖6-1布線系統(tǒng)結(jié)構(gòu)圖本方案采用結(jié)構(gòu)化綜合布線標(biāo)準(zhǔn)布線。在樓群間采用千兆單模光纖鏈路連接，即從2號樓網(wǎng)絡(luò)中心到1號樓、3號樓采用單模光纖連接。匯聚層到接入層之間采用雙絞線連接。1號樓1樓管理間有兩個小型機(jī)柜，放有3臺接入層交換機(jī)和1臺匯聚層交換機(jī)。3號樓1樓管理間同樣有兩個小型機(jī)柜，放有3臺接入層交換機(jī)和1臺匯聚層交換機(jī)。2號樓1樓，即中心機(jī)房，選用三臺大機(jī)柜，放余下的設(shè)備，1號機(jī)柜從下到上分別放財務(wù)部server，人事部server，TrendOfficescan，ERPServer，ISA2004，LotusDomain，ActiveDirectory；2號機(jī)柜從下到上分別放4臺接入層交換機(jī)和1臺匯聚層交換機(jī)；3號機(jī)柜從下到上分別放防火墻，路由器以及核心層交換機(jī)。圖6-2公司步線設(shè)計圖在本方案的設(shè)計中，該公司有3幢大樓，樓與樓間采用單模光纖連接。6.2工作區(qū)子系統(tǒng)設(shè)計工作區(qū)是工作人員利用終端設(shè)備進(jìn)行工作的地方。如圖6.2.1所示，為財務(wù)部辦公室，即為一個工作區(qū)。圖6-3工作區(qū)子系統(tǒng)信息點由標(biāo)準(zhǔn)RJ45插座構(gòu)成，每個信息面板包含一個信息點和語音點，不同型號的微機(jī)終端通過RJ45標(biāo)準(zhǔn)跳線可方便的連接到數(shù)據(jù)信息插座上；連接電話機(jī)的RJ11連接線插在語音信息口上。連接至終端和電話的介質(zhì)選用超5類UTP。圖6-4信息插座圖6.3水平布線子系統(tǒng)設(shè)計如圖6-5所示，水平子系統(tǒng)由四對UTP(非屏蔽雙絞線)組成，是信息插座和管理子系統(tǒng)間連接的橋梁。下圖為2號樓2樓，水平子系統(tǒng)的走線圖。圖6-5水平布線子系統(tǒng)6.4管理間子系統(tǒng)設(shè)計管理間子系統(tǒng)由交連、互連和I/O組成，如圖6-6所示為1號樓的管理間，位于1樓內(nèi)。管理間為連接其他子系統(tǒng)提供手段，它是連接垂直干線子系統(tǒng)和水平干線子系統(tǒng)的設(shè)備。其主要設(shè)備有配線架、交換機(jī)和機(jī)柜、電源等。圖6-6管理間子系統(tǒng)6.5設(shè)備間子系統(tǒng)設(shè)計設(shè)備間子系統(tǒng)由電纜、連接器和相關(guān)支撐硬件組成。它把各種公共系統(tǒng)設(shè)備的多種不同設(shè)備互連起來，其中包括電信部門的光纜、同軸電纜和程控交換機(jī)等。在該方案中，由于公司樓層不高，故將管理間和設(shè)備間放在一間。3幢大樓的管理間和設(shè)備間都位于底樓中間。6.6垂直干線子系統(tǒng)設(shè)計干線子系統(tǒng)是整個建筑物綜合布線系統(tǒng)的一部分，它提供建筑物的干線電纜，負(fù)責(zé)連接管理子系統(tǒng)到設(shè)備間子系統(tǒng)，一般使用光纜進(jìn)行布線。如圖6-7所示。圖6-7垂直干線子系統(tǒng)6.7建筑群子系統(tǒng)設(shè)計規(guī)模較大或性質(zhì)重要的機(jī)構(gòu)通常是由幾座建筑物組成。在該方案中，公司有3幢大樓，各大樓間由于距離較遠(yuǎn)，采用單模光纖連接。圖6-8為大樓光纖走向圖。圖6-8大樓光纖走向圖

第7章網(wǎng)絡(luò)設(shè)備的選購與配置在該方案中，需要用到的網(wǎng)絡(luò)設(shè)備有1臺路由器，1臺防火墻，2臺核心層交換機(jī)，3臺匯聚層交換機(jī)，10臺接入層交換機(jī)。在對網(wǎng)絡(luò)設(shè)備配置之前，先進(jìn)行設(shè)備的選購。本次設(shè)計全部選用思科的網(wǎng)絡(luò)設(shè)備。7.1網(wǎng)絡(luò)設(shè)備選購7.1.1路由器圖7-1路由器表7-1具體參數(shù)路由器型號固定配置增加模塊(包括用途)如何上連如何下連模塊化路由器Cisco2821固定LAN端口：10/100/1000Mbps×2固定WAN端口：可選廣域接口卡（4個HWIC,WIC,VIC或VWIC）4個HWIC插槽+1EVM插槽+1個NME插槽，分別用于廣域網(wǎng)接入，擴(kuò)展話音模塊，接入IP電話或提高網(wǎng)絡(luò)模塊性能2M光纖接入ISDN接入千兆以太網(wǎng)連接到防火墻其余參數(shù)如下：最大Flash內(nèi)存：256MB；最大DRAM內(nèi)存：1024MB；路由器網(wǎng)絡(luò)協(xié)議：IEEE802.3X；支持VPN注：HWIC指高密度廣域網(wǎng)接口卡。WIC為廣域網(wǎng)接口卡。而VWIC是Voice/WANInterface的縮寫，是指語音/廣域網(wǎng)接口卡。7.1.2防火墻圖7-2防火墻表7-2具體參數(shù)防火墻型號固定配置增加模塊(包括用途)如何上連如何下連企業(yè)級防火墻PIX-525-R-BUN處理器：600MHzIntelPentiumIII；隨機(jī)讀寫內(nèi)存：高達(dá)256MB；閃存：16MB,接口：雙集成10Base-T快速以太網(wǎng)，RJ45PCI插槽：3個無千兆以太網(wǎng)連接至路由器千兆以太網(wǎng)連接至兩臺核心層交換機(jī)7.1.3交換機(jī)圖7-3核心層交換機(jī)表7-3具體參數(shù)交換機(jī)千兆交換機(jī)所在三層結(jié)構(gòu)中的位置核心層型號WS-C4948-S固定配置背板帶寬(Gbps):96Gbps/端口數(shù):48個10/100/1000M；支持VLAN增加模塊4個，光纖模塊，插mini頭的光纖模塊的插槽如何上連千兆以太網(wǎng)連至防火墻如何下連光纖連到各交換機(jī)；以太網(wǎng)連到服務(wù)器群圖7-4匯聚層交換機(jī)表7-4具體參數(shù)交換機(jī)千兆交換機(jī)所在三層結(jié)構(gòu)中的位置匯聚層型號WS-C3750G-12S-E固定配置背板帶寬(Gbps):48Gbps/端口數(shù):12個+4個SFP端口端口類型：10/100Base-TX,1000Base-FX/SX;支持VLAN增加模塊12個如何上連光纖連至核心層交換機(jī)如何下連千兆以太網(wǎng)連至接入層交換機(jī)圖7-5接入層交換機(jī)表7-5具體參數(shù)交換機(jī)企業(yè)級交換機(jī)所在三層結(jié)構(gòu)中的位置接入層交換機(jī)型號WS-C2960-48TC-L固定配置背板帶寬(Gbps):13.6Gbps/端口數(shù):48個；端口類型：10/100Base-T,10/100/1000Base-Tx/SFP;支持VLAN增加模塊2個如何上連千兆以太網(wǎng)連至匯聚層交換機(jī)如何下連百兆以太網(wǎng)連至各信息點7.1.4無線接入點圖7-6無線設(shè)備表7-6具體參數(shù)其他設(shè)備型號固定配置增加模塊如何上連如何下連無線接入點Aironet1200200MHz的PowerPC處理器支持兩個54Mbps的無線收發(fā)操作和一個10/100以太網(wǎng)接口2個，無線收發(fā)模塊（802.11a&b）可現(xiàn)場升級百兆以太網(wǎng)連至接入層交換機(jī)無7.2設(shè)備配置過程為實現(xiàn)公司網(wǎng)絡(luò)改造后的功能，對相應(yīng)設(shè)備進(jìn)行如下配置，圖7-7為模擬器的拓?fù)洌簣D7-7模擬器拓?fù)湎扰渲寐酚善鞯亩丝冢涸O(shè)置路由器的S0口連到光纖，S1口連到ISDN，F(xiàn)0/0口連到防火墻R2821#conftR2821(config)#ints0R2821(config-if)#ipadd52R2821(config-if)#noshutR2821(config-if)#endR2821(config)#ints1R2821(config-if)#ipadd52R2821(config-if)#noshutR2821(config-if)#endR2821(config)#inte0R2821(config-if)#ipadd54R2821(config-if)#noshutR2821(config-if)#end圖7-7配置截圖端口配置后，showrun,顯示如下：R2821#shrunBuildingconfiguration...!servicetimestampsdebuguptimeservicetimestampsloguptimenoservicepassword-encryption!hostnameR2821!ipsubnet-zero!interfaceSerial0ipaddress52noipdirected-broadcast!interfaceSerial1ipaddress52noipdirected-broadcast!interfaceEthernet0ipaddress54noipdirected-broadcast!ipclasslessnoiphttpserver!linecon0transportinputnonelineaux0linevty04!noschedulerallocateendR2821#路由器備份鏈路的配置：在該方案中，公司通過路由器連接到外網(wǎng)有兩條鏈路（光纖和ISDN）。光纖作為主鏈路連接到INTRANET，而ISDN作為備份鏈路，一旦主鏈路斷開后，啟用ISDN線路繼續(xù)保持網(wǎng)絡(luò)的暢通。設(shè)置路由器的S0口連到光纖，S1口連到ISDN，F(xiàn)0/0口連到防火墻R2821#conftR2821(config)#ints0R2821(config-if)#backupinterfaces1/配置備份線路/R2821(config-if)#exitR2821(config)#ints1R2821(config-if)#backupdelay01/配置備份延遲/注：Router(config-if)#backupdelay{enable-delay|never}{disable-delay|never}

其中：enable-delay表示當(dāng)主接口Down之后，發(fā)起備份的時間間隔；disable-delay表示主鏈路恢復(fù)后，關(guān)閉備份鏈路的時間間隔。在該方案中，當(dāng)主接口S0斷開0秒后，備份接口S1就開始工作維護(hù)網(wǎng)絡(luò)暢通。當(dāng)主鏈路恢復(fù)工作1秒后，備份鏈路就自動關(guān)閉。圖7-8配置截圖配置路由器靜態(tài)路由圖7-9配置截圖配置完成后，showrun結(jié)果如下：R2821#showrunBuildingconfiguration...!servicetimestampsdebuguptimeservicetimestampsloguptimenoservicepassword-encryption!hostnameR2821!ipsubnet-zero!interfaceSerial0ipaddress52noipdirected-broadcastbackupinterfaceSerial1!interfaceSerial1ipaddress52noipdirected-broadcast!interfaceEthernet0ipaddress54noipdirected-broadcast!ipclasslessnoiphttpserver!iproutes0!linecon0transportinputnonelineaux0linevty04!noschedulerallocateend在路由器上配置NAT，實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換：圖7-10模擬器截圖配置靜態(tài)NAT：R2821(config)#ipnatinsidesourcestaticR2821(config)#ints0R2821(config-if)#ipnatoutsideR2821(config-if)#inte0R2821(config-if)#ipnatinsidePC為公司一部門主機(jī)，IP為，網(wǎng)關(guān)為54，配置該P(yáng)C的截圖如下：圖7-11配置截圖為路由器配置NAT，使公司內(nèi)部PC通過路由器可以訪問外網(wǎng)，配置截圖如下：圖7-12配置截圖

第8章網(wǎng)絡(luò)服務(wù)器的選購與配置8.1各服務(wù)器功能介紹公司中心機(jī)房內(nèi)有5臺服務(wù)器，AD服務(wù)器，LotusDomino服務(wù)器，ISA2004服務(wù)器，ERP服務(wù)器，TrendOfficescan服務(wù)器。各臺服務(wù)器提供的功能介紹如下：8.1.1AD服務(wù)器（同時安裝DNS服務(wù)）活動目錄，Windows2000服務(wù)器版操作系統(tǒng)的一種新的目錄服務(wù)，只能運(yùn)在域控制器上，它除了能夠提供存儲信息的場所，提供服務(wù)以使信息可用外，還可以保護(hù)網(wǎng)絡(luò)對象不被非授權(quán)用戶進(jìn)入，通過網(wǎng)絡(luò)復(fù)制對象以便在域控制器崩潰時數(shù)據(jù)不會丟失。8.1.2LotusDomino服務(wù)器Domino是LotusDevelopment公司集成群件產(chǎn)品。它提供的功能包括電子郵件、基于工作流的計算、以及結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)的集成和管理。Domino是運(yùn)行于各種平臺上的服務(wù)器產(chǎn)品。它是以郵件為基礎(chǔ)，以“群集”為核心，提供了一些基本的應(yīng)用模塊。公司用該服務(wù)器作為郵件服務(wù)器。8.1.3ISA2004服務(wù)器Microsoft?InternetSecurityandAcceleration(ISA)Server

2004提供安全、快速、可管理的Internet連接。ISA服務(wù)器集成了可識別應(yīng)用程序?qū)忧夜δ芡晟频亩鄬悠髽I(yè)防火墻和高性能的Web緩存。它構(gòu)建在MicrosoftWindowsServer?

2003和Windows?

2000Server安全和目錄上，以實現(xiàn)網(wǎng)際互聯(lián)的安全性（基于策略）、加速和管理。用該服務(wù)器作為公司的內(nèi)網(wǎng)防火墻。8.1.4ERP服務(wù)器ERP是一種可以提供跨地區(qū)、跨部門、甚至跨公司整合實時信息的企業(yè)管理信息系統(tǒng)。它在企業(yè)資源最優(yōu)化配置的前提下，整合企業(yè)內(nèi)部主要或所有的經(jīng)營活動，包括財務(wù)會計、管理會計、生產(chǎn)計劃及管理、物料管理、銷售與分銷等主要功能模塊，以達(dá)到效率化經(jīng)營的目標(biāo)。ERP服務(wù)器能起到記錄和方便管理該公司所有生產(chǎn)經(jīng)營活動的作用，是制造型企業(yè)不可缺少的。8.1.5TrendOfficescan服務(wù)器針對企業(yè)網(wǎng)絡(luò)上的桌面PC和服務(wù)器的綜合性信息安全解決方案趨勢科技防毒墻網(wǎng)絡(luò)版OfficeScan是一套集成了多種安全功能的綜合性信息安全管理系統(tǒng)，能夠全面保護(hù)企業(yè)網(wǎng)絡(luò)免受病毒、特洛伊木馬、蠕蟲、網(wǎng)絡(luò)黑客、網(wǎng)絡(luò)病毒、間諜軟件及混合攻擊的威脅。該服務(wù)器作為公司全網(wǎng)殺毒軟件使用。8.2服務(wù)器選型8.2.1AD服務(wù)器選用DELLPowerEdgeR200圖8-1AD服務(wù)器技術(shù)參數(shù)如下：處理器：單核英特爾?

酷睿2雙核處理器?

E4000系列內(nèi)存：4個ECCDDR-2667/800SDRAM1DIMM插槽，支持高達(dá)8GB內(nèi)存硬盤：400GB310KSAS硬盤驅(qū)動器，146GB3和300GB315KSAS硬盤驅(qū)動器通信：2個嵌入式千兆位2網(wǎng)卡端口：后面：2個USB2.0端口、1個視頻端口、1個串行連接器、1個PS/2鼠標(biāo)接口、1個PS/2鍵盤接口；前面：2個USB2.0端口、1個視頻接口顯卡：集成ATI?

ES1000VGA控制器，具有32MB內(nèi)存8.2.2LotusDomino服務(wù)器選用DellPowerEdgeSC1435圖8-2LOTUS服務(wù)器技術(shù)參數(shù)如下：處理器：AMD皓龍TM

2300系列四核處理器，2350，2.0GHz，4x512KB二級高速緩存，95W內(nèi)存：高達(dá)32GB(8DIMM插槽)：每內(nèi)存支持規(guī)格：512MB/1GB/2GB/4GBECCDDR-2667MHzSDRAM硬盤：3.5英寸SATA(7.2Krpm)：80GB，160GB，250GB，500GB，750GB3和1TB1(SATA)通信：雙內(nèi)置Broadcom千兆網(wǎng)卡，含故障恢復(fù)和負(fù)載平衡功能顯卡：內(nèi)置ATIES1000，含16MB專用DDR內(nèi)存，頻率為200MHz8.2.3ISA2004服務(wù)器選用DELLPowerEdge1950圖8-3ISA服務(wù)器技術(shù)參數(shù)如下：處理器：配置二顆主頻高達(dá)3.0GHz的英特爾至強(qiáng)5100系列雙核處理器內(nèi)存：667MHz，8個插槽，最高支持32GB硬盤：3.5英寸SAS(10krpm)：146GB4和300GB4和400GB4通信：雙嵌入式Broadcom?

ExtremeIITM

5708千兆以太網(wǎng)卡，具故障恢復(fù)和負(fù)載平衡功能顯卡：集成ATIES1000控制器，含16MBSDRAM8.2.4ERP服務(wù)器選用DELLPowerEdgeR900圖8-4ERP服務(wù)器技術(shù)參數(shù)如下：處理器：配置4顆英特爾?

至強(qiáng)?

7300系列四核處理器，X7350：2.93GHz，1066MHz前端總線，8MB高速緩存，E7330：2.40GHz，1066MHz前端總線，6MB高速緩存，E7320：2.13GHz，1066MHz前端總線，4MB高速緩存，E7310：1.60GHz，1066MHz前端總線，4MB高速緩存內(nèi)存：高達(dá)128GB(32個DIMM插槽)：512MB/1GB/2GB/4GBFBD，667MHz，可選的高可用性功能包括內(nèi)存，備用和鏡像硬盤：1.5TB1熱插拔SAS硬盤(5X300GB)通信：英特爾PRO/1000VT四端口服務(wù)器適配器，千兆，銅線，PCI-Ex8顯卡：ATI-RadeonES1000集成顯卡，含32MBSDRAM8.2.5TrendOfficeScan服務(wù)器選用DELLPowerEdgeR300圖8-5OfficeScan服務(wù)器技術(shù)參數(shù)如下：處理器：單個英特爾至強(qiáng)四核處理器3300系列，高達(dá)2.83GHz內(nèi)存：6個ECCDDR-2667SDRAMDIMM插槽，支持高達(dá)24GB3內(nèi)存硬盤：400GB10KSAS硬盤驅(qū)動器通信：2個嵌入式千兆位網(wǎng)卡顯卡：集成ATI?

ES1000VGA控制器，具有32MB內(nèi)存

第9章訪問控制與安全措施9.1訪問控制配置擴(kuò)展ACL，滿足不同部門之間訪問的需要總經(jīng)理辦公室和IT部能對所有系統(tǒng)進(jìn)行訪問FTP服務(wù)僅工程部能夠訪問ERP服務(wù)器除人事部外都能訪問人事部的E-HR服務(wù)器也僅限人事和財務(wù)部門能夠訪問財務(wù)部數(shù)據(jù)，僅財務(wù)部能夠訪問1．在SW-3-4,SW-3-5上配置擴(kuò)展ACL，使總經(jīng)辦和IT部能對所有系統(tǒng)進(jìn)行訪問；財務(wù)部數(shù)據(jù)，僅財務(wù)部能訪問SW-3-4(config)#access-list101permittcp55anySW-3-4(config)#intf0SW-3-4(config-if)#ipaccess-group101outSW-3-5(config)#access-list101permittcp5555eqwwwSW-3-5(config)#access-list101denyipanyanySW-3-5(config)#ints0SW-3-5(config-if)#ipaccess-group101in2．在SW-3-5，SW-3-6上配置擴(kuò)展ACL，使FTP服務(wù)僅工程部能訪問SW-3-5(config)#access-list102permittcp55eq21SW-3-5(config)#access-list102permittcp55eq20SW-3-5(config)#access-list102denyipanyanySW-3-5(config)#intf0SW-3-5(config-if)#ipaccess-group102outSW-3-6(config)#access-list102permittcp55eq21SW-3-6(config)#access-list102permittcp55eq20SW-3-6(config)#access-list102denyipanyanySW-3-6(config)#intf0SW-3-6(config-if)#ipaccess-group102out3.在SW-1-1，SW-1-2上配置擴(kuò)展ACL，使ERP服務(wù)器除人事部外都能訪問SW-1-1(config)#access-list103denytcp55hosteq80SW-1-1(config)#access-list103permitipanyanySW-1-1(config)#intf0/9SW-1-1(config-if)#ipaccess-group103outSW-1-2(config)#access-list103denytcp55hosteq80SW-1-2(config)#access-list103permitipanyanySW-1-2(config)#intf0/9SW-1-2(config-if)#ipaccess-group103out4．在SW-3-5上配置擴(kuò)展ACL，使人事部E-HR服務(wù)器僅人事部和財務(wù)部能訪問（即E-HR服務(wù)器僅財務(wù)部能訪問）SW-3-5(config)#access-list103permittcp55hostSW-3-5(config)#access-list103denyipanyanySW-3-5(config)#intf0SW-3-5(config-if)#ipaccess-group103out9.2網(wǎng)絡(luò)安全措施9.2.1防火墻公司內(nèi)網(wǎng)外網(wǎng)連接處，選用CISCOPIX-525-BUN防火墻。CiscoSecurePIX525防火墻是世界領(lǐng)先的CiscoSecurePIX防火墻系列的組成部分，能夠為當(dāng)今的網(wǎng)絡(luò)客戶提供無與倫比的安全性、可靠性和性能。它所提供的完全防火墻保護(hù)以及IP安全（IPsec）虛擬專網(wǎng)（VPN）能力使特別適合于保護(hù)企業(yè)總部的邊界。在內(nèi)外網(wǎng)連接的關(guān)鍵處，選用該防火墻，能有效的保護(hù)該區(qū)域的網(wǎng)絡(luò)安全。9.2.2ISA2004服務(wù)器公司的中心機(jī)房內(nèi)，安置一臺ISA2004服務(wù)器，起到內(nèi)網(wǎng)防火墻的作用。ISA服務(wù)器對公司網(wǎng)絡(luò)的保護(hù)作用體現(xiàn)在以下幾方面：1.確保Internet連接的安全性ISA服務(wù)器保護(hù)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問、執(zhí)行狀態(tài)篩選和檢查，并在防火墻或受保護(hù)的網(wǎng)絡(luò)受到攻擊時向管理員發(fā)出警報。ISA服務(wù)器可以充當(dāng)防火墻，通過數(shù)據(jù)包級別、電路級別和應(yīng)用程序級別的通訊篩選、狀態(tài)篩選和檢查、廣泛的網(wǎng)絡(luò)應(yīng)用程序支持、緊密地集成虛擬專用網(wǎng)絡(luò)(VPN)、系統(tǒng)堅固、集成的入侵檢測、智能的第7層應(yīng)用程序篩選器、對所有客戶端的防火墻透明性、高級身份驗證、安全的服務(wù)器發(fā)布等等增強(qiáng)安全性。2.快速的Web訪問SAServer

2004緩存通過提供本地緩存的Web內(nèi)容將性能瓶頸控制在最少，并節(jié)省網(wǎng)絡(luò)帶寬。從ISA服務(wù)器Web緩存中提供常用的Web內(nèi)容，并將節(jié)省出來的內(nèi)部網(wǎng)絡(luò)帶寬用于其他內(nèi)容請求。3.統(tǒng)一管理ISA服務(wù)器與WindowsServer

2003和Windows

2000緊密集成，從而提供了一種一致而有效的途徑來管理用戶訪問和防火墻規(guī)則的配置。因此，這兩道防火墻，“硬件外部防火墻”和“軟件內(nèi)部防火墻”之間的建立區(qū)域，能更好的保護(hù)內(nèi)部網(wǎng)絡(luò)的資源免于受到外部網(wǎng)絡(luò)攻擊。9.2.3無線方面的安全1.隱藏或更改AP的SSID每個無線AP都對應(yīng)一個SSID，而且都把它廣播了出來?？蛻糁挥薪邮盏交蛘呤謩釉O(shè)置與AP一樣的SSID才可以連接到網(wǎng)絡(luò)。因此通過這一點，我們可以將無線AP的SSID隱藏起來，這樣，除非你知道這個無線AP的SSID，否則將無法發(fā)現(xiàn)這臺AP的存在，從而使無線AP不暴露在所有的無線使用者面前。2.MAC地址過濾一般來說，通過MAC地址的過濾，也能達(dá)到不同用戶使用不同AP的效果。這一點，將在無線AP的設(shè)置過程中可以看到。3.RADIUS認(rèn)證RADIUS:RemoteAuthenticationDialInUserService，遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)。它的基本工作原理是，用戶接入NAS，NAS向RADIUS服務(wù)器使用Access-Require數(shù)據(jù)包提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶密碼是經(jīng)過MD5加密的，雙方使用共享密鑰，這個密鑰不經(jīng)過網(wǎng)絡(luò)傳播；RADIUS服務(wù)器對用戶名和密碼的合法性進(jìn)行檢驗，必要時可以提出一個Challenge，要求進(jìn)一步對用戶認(rèn)證，也可以對NAS進(jìn)行類似的認(rèn)證；如果合法，給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進(jìn)行下一步工作，否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問；如果允許訪問，NAS向RADIUS服務(wù)器提出計費(fèi)請求Account-Require，RADIUS服務(wù)器響應(yīng)Account-Accept，對用戶的計費(fèi)開始，同時用戶可以進(jìn)行自己的相關(guān)操作。對于公司內(nèi)每臺AP設(shè)備，設(shè)置RADIUS認(rèn)證，就能很好的保障無線網(wǎng)絡(luò)的安全性。

第10章方案報價清單表10-1報價清單設(shè)備名稱與配置數(shù)量單價（元）合計（元）Cisco2821(Router)11750017500CiscoPIX-525-R-BUiscoWS-C4948-S267168134336CiscoWS-C3750G-12S-E344900134700CiscoWS-C2960-48TC-L1021200212000CiscoAironet1200(APSA2004服務(wù)器11300013000總計594736

參考文獻(xiàn)[1]斯桃枝,李站國,王澤成.計算機(jī)網(wǎng)絡(luò)系統(tǒng)集成.北京：北京大學(xué)出版社，2006[2]潘瑜青,孫曉榮.智能建筑綜合步線.北京:中國電力出版社,2005.[3]劉兵,計算機(jī)網(wǎng)絡(luò)實驗教程.北京：中國水力水電出版社,2005.[4]鄧亞平,計算機(jī)網(wǎng)絡(luò)安全.北京:人民郵電出版社,2004.[5]徐偉，趙慶華.網(wǎng)絡(luò)綜合布線系統(tǒng)與施工技術(shù)。國防工業(yè)出版社，2002.10[6]（美）康弗瑞（Convery，S.）著，王迎春，謝琳，江魁譯.網(wǎng)絡(luò)安全體系結(jié)構(gòu)（中文版）.人民郵電出版社，2005[7]（美）羅絲等著瀟湘工作室譯CiscoCatalyst局域網(wǎng)交換技術(shù)（中文版）.機(jī)械工業(yè)出版社.2000[8]（美）W.RichardStevens著,范建華等譯.TCP/IP詳解卷1.北京:機(jī)械工作出版社，2000[9]AndrewS.Tanebaum,ComputerNetworks,北京:清華大學(xué)出版社,2005[10]雷震甲,網(wǎng)絡(luò)工程師教程.北京:清華大學(xué)出版社,2004[11]Mark,LotusNotesDeveloper’sToolbox,Ziff-DavisPress,2003

附錄附錄A:外文資料翻譯—原文部分DefiningBestPracticesforDesigningandImplementing802.11WirelessSecurity(FromRevision1.5,24July2002LWirelessnetworktechnologiesarequicklybecomingaviablemeansofextendingexistingITinfrastructuresinwaysthatwerenotpreviouslypossibleduetoengineeringandfinancialconstraints.Withrapidadoption,however,havecomesecurityproblemsnotpresentinwiredenvironments.Asaresult,wirelessnetworkengineersandarchitectsmustfindnewwaystomitigatetherisksassociatedwithwirelessdeployments.Thiswhitepaperdefinesindustryacceptedbestpracticesforthedesignandimplementationof802.11(b,a,orotherwise)wirelessnetworksusingmethodologies,techniques,andtechnologiesthateliminatetherisksassociatedwithwirelessdeployment.ProblemsAstheproblemswith802.11networkshavebeencoveredingreatdetailelsewhere,theywillbementionedinbriefdetailheretoprovideabasisforfurtherdiscussionofthemeansbywhichtoeliminateorovercomethem.Additionalreferencesarealsoprovidedattheendofthisdocument.Theproblemswithwirelesscanbebrokendownintocategories,manyofwhicharespecifictothe802.11protocol.Theproblemswillbeaddressedasfollows:AccessProblemsPolicyAbuseProblemsPerformanceProblemsAuthenticationProblemsConfidentialityProblemsAccessProblemsTheproblemswithwirelessnetworksextendbeyondtechnology,andencompassanumberofissuesthatareintroducedmerelybecauseoftheuseofradiowavesinpublicairspace.Becauseofthis,andwiththerapidadoptionof802.11inmajormetropolitanareas,wirelessnetworksareeasyfornon-associatedindividualstolocate.Becausethebeaconssentbywirelessaccesspointsemploynomeansofencryption(thebeaconsassociatewirelessclientswithagivennetwork),anyonewithalaptopandawirelesscardcaneasilydeterminetheirpresence.Infact,modern‘war-drivers’mightfindtensifnothundredsofwirelessnetworkswithinagiven10-mileradiususinghigh-gainvehiclemountedantennas.PolicyAbuseProblemsToexacerbatetheproblem,wirelessnetworksarebecomingeasiertodeploy.Wideavailabilityandlowcostofwirelesscomponents,combinedwiththeeaseofdeviceconfigurationandlackofsecuredefaultsettingsforoperationpromoterogueimplementations.Itisnotuncommontofindunauthorizedaccesspointsinanorganization,setupbyadepartmentmanagerwithnounderstandingofpropersecuritypracticesandlittleregardforcorporatepoliciesandprocedures.Unfortunately,littlecanbedonetomitigatetheserisks,shortofRFshielding,frequentmonitoringforroguedevices,andstrictenforcementofsecuritypolicies.PerformanceProblemsInad