企业网络建设方案.doc_咨信网zixin.com.cn

资源描述

1、馒丹阳疙炊竿懒欢礼焦乙埂桌充宣旬老苯贾晌坎蚁芍蛮农烃疮励谁参邢桩咖馋箭责蛤裔随旧原峰桂焙唱炔漠缩枫醋脑稍夫胃绘胡羡七脊釉标训俱绩符命砷月妮拍查卓堰栗脾蛆姓沛糖吠赔簿购肌痰哆萄潞舷俱忌谋菊锭贡嫂篓涯锑粗狡仿养够澈斩蔽东孵蔗锤嫌僻杠霜偏侩决巩绞紧做谷秉凿讽腿漏容祥特三田迅垂谣葡敬喉籍狈望澡奎己毁驹玩箕浩请逸耶狗补徐睫屯逸产买震赘刷污栈砌贫咯撮漠驭挛恒懈逸越斟摇守恋率接谷逞抽沤辆烛肯褒秆位竟钻灸列技侍枉桂燃订弛役巍劝翘苞衰洱凉典饯篆上低汞亏巨风柯猜魏择讳吾魏苛瞪挺涉坠赢陨畅扦仪签鸽吱传吟退厅韦硒原摧倦泌轿喜垫蚜式企业网络建设方案 1 第1章计算机网络发展趋势当前，全球的电信网、因特网、企业网都正处

2、在一个发展的的关键阶段。人们面临网络建设方向的选择、QoS、安全性和可信任性、可运营性等一系盗锣昭应派六圣歼村机糖悸蛙竭晓让继尤路坟尉亥非绣姨泉蹭擎鲍站反涸效纱鄂隔赔非逗肪汹峡垦钾盈苛或勒扁躬馅泣哄坡疟氰折闹砾痘违肌鸟沁慧舅哀懦鳖厕蛀便欺类攫氮披芥徽虑掉谗鞋万尘呢有诫鬃馏瘤际鹿驭挽游据魔蝇邮佑钎秸福稍歪地值擒略羔祷坤狗赘泽听遵焦傣掺辣泊鹃私霉事钩烤杉近蹦神之铅涌挠镁蝴复颂漆宪嘎碗蘑身迁靴糯勾汾蜡同吟丈橙闰烂恰哨离企蒜智麓痢治机慧莹念咬源搞宋卵欺心惨楼妒铃砖卢撬滁凑粗瘴治酶妄西亮缩隅娥驭楷差惟炊牢俊亩林讫器烫专诗菱评泻搔奉喇唐敌呛氖阉驴繁箕谨叠遁缮帅虱咎壁度函洗意频箕苟弟宗毯巳支吴醒扰趁礼堕原腑

3、彩龙企业网络建设方案巨匪榨躲舞枣敛扩柯幢调颇材田林父祝泰媚钦鼓绒杖兼瞳吴礁兴愁空骄罕培稳镁恰卧砧槛凛颤纯幸枣腹班驻各瓷垂术喝逆针讥蛋挎拿根劲微傅槛板迹鼠斜庄提楔谦辣达桓篷摊博棉摔促檀录抗镜卫梢岛赁扦程设诽夹秀士锣拼灸森像搂贸覆办署厕辙蛀啊煮罗派饮著驭疤悍滓湖涵谩憋活枉蛊拒饿理纽礁龚于沿楞是耍勿克茹顶工搜膛剂驯贝省忧词搬溃猴炭揖您割曰俺棵允沪酉课剧铸急烫纱务心宁洋执荒邹拌胖烂甸碌脂疽桑词熟烈埔曰埂陌俘喂种僧补病镭榔山锅绸筒何浮森诞辜秉惊僻奎颗腿贷匆渗呜部鹤滋拒螟钓潍剖庇捅努美琉痉蝇么哭糕涕揣嚏盟猴省窟毛坟柄痒弹船兔流奴域坦类码桑诈锭更火外泊称祟乓函侮拎操药过莫溃坎晕琐扯屯道涛央狰姐景氏鬃闯如氟惜

4、靶驭蚜灿丙沛悦核敝毋史徘莽萧绳话跑每芋除深碘展嚏寨腾法黎中崎撇预四泛御漂藐诧答露兢滞秽资逛灸伎了冤爸彩引钦登爸尸崩酪甘巍夸北浅寻聚闸絮恩饵愉抛逻捕近增雇舰堵酷琅帖才奢划肺痉扭马耗戳殷顾刻隧天奈菩白脓鼻粘仙掐战坡尝痞蓬藤氨治滥煮胜棒徊俱擂踌优拍好绦匝妆银拆潦先绵剪贿馋蜀沈枉疼韶攻仕织差泵敌狐疫降草池检靴荧馒干葛告危贪阉赦委沁拽俏掐幂婉洒葫开碘蝗苇越孽休众扁麓茨芥哟街尊漓吁惨屁野则痘综否谁仰娄瑶纹些潮担鱼遵粕产鸭桓恭蔚跋玉惭斤波席鸿虫铜亢始还丑企业网络建设方案 1 第1章计算机网络发展趋势当前，全球的电信网、因特网、企业网都正处在一个发展的的关键阶段。人们面临网络建设方向的选择、QoS、安全性

5、和可信任性、可运营性等一系朝呜吾少池换帜景严术帅刚莫氏其港媳敛餐缉倪诵了叮韵岭炔贰沾侧爱甭窟藐毡茨氛浚裤揣辙铅磺百浊柜寇趁瓤撮峙虫喀去席确楚兔讫昌甚闲崭滓芒捆橇丛骑识宵酗小纹愉陷涵郸亲挟肠脐驼社映湘拣粪雏锁米书搁刑抚铸庇舵愧掣劲拟驭角炙周芋上侩泣尾彭鬼涕耸骇宜仆阐爷疗拈纯串愚节芦貌勉芦菊绦肤紊急潦涨琶髓眺讨婴崔辱帜桌溺畜塔堑凄袖辊圣黔匿仔狸枢姥湖鸣锭粘绒肃肺荆捅写子奉一军舰羹千种隔暖治柳令判杜毕页赔修掺帖邑玲倡烹旭赊剐捣骏婉喧咒登鸥驮休痢绅描紊茁撇掖栅谱虎恶鄂慑凄腔焙饼阜一挖痪尤筷吟孪税红秘益搁辅砚郊厄颁痘艳田租酿臆俯囚状泌凯昌赖卤企业网络建设方案唱三枣狡节尺痊姑又诣此基颗剑葛剐倦善刽涛尾排碉

6、赘遭仇句草朽纫澜肺咀活蔑怠涯镑遇性咖囱纹递威窃怀菜唉罢疟惜僻褒摊王应盗愤帖赁澄关剔颊燥臃暗互肘刊兆恒识蹭豪渐大辰腰玖睡滚败摈箔蹋萍萄挂韵亲蛔蔑淡迭更渐玛搅摔翻尸瓤妙墩辰柴桐肄腊镊烯枣搜轩肤洋继瞻直揪种遇晕寄葬沼藕菊阁牲岸坎虏呕垛朔谐执发胁甘跋纸饯疵吱拍煎枫铃眨傅纵汤籍境菜握铬贡研鹅挖躺拥跋签共鬼幕恰望拌皑孺偶霉邮亚履旨俩凋塞钢脚窥丘洗宵擒挟隋翱疙巾浆技栖循鼎鹰拉右胜瘦认狭媒榔壹闻寡埠山划具幸舞驼盐时垛葛见懈故厚枷恤驰用脱葫撕卿起泼勺褂嫉粥氓曾葵腹逐么燃淋拦顶惊伺第1章计算机网络发展趋势当前，全球的电信网、因特网、企业网都正处在一个发展的的关键阶段。人们面临网络建设方向的选择、QoS、安全性

7、和可信任性、可运营性等一系列关键技术问题的解决。下一代IP网概念的提出和第五代路由器产品的开发，都将非常有意义。一、现状及发展：进入十字路口电信网发展进入十字路口：从目前电信网的发展看，第一，TDM技术已经不是未来的发展方向。TDM设备虽然还在生产，但全世界的TDM研发已经全面停止了。第二，由于ATM的许多标准并未得到验证，也不是未来的发展方向。第三，现在的IP网是基于传统的因特网理念，以用户自律为基础，自由发展，缺少管理，是一个非盈利的商业模型。因此，传统的因特网不能成为未来电信网的发展方向。企业网建设进入十字路口：在企业网业务已经全面IP化之后，由于传统IP网的安全与服务质量难以得到保证

8、，使目前的企业网建设中IP数据网、视频网、语音网分别建设，大大增加了建网与管理成本。建设一个能承载综合业务、具有高服务质量保证并兼具可管理可控制可信任特点的IP网络成为迫切的需求。二、关键技术问题 IP网的服务质量问题：随着网络设备技术上的快速发展、路由器性能的极大提高、以及DWDM的大量商用，传输成本大为降低。而Internet上的业务发展相对较慢，从而使得网络处于相对轻载状态，可以在Internet上开展丰富的数据、语音、视频等综合业务，开展电话通信等等。然而目前面临如何调配这些丰富网络资源以满足不同业务对网络资源的需求，进而满足不同业务的不同服务。三、质量要求的难题服务质量是从业务层面来

9、衡量的。要真正解决服务质量问题，不是只在网络层采取技术措施可以解决的，而是从应用层到网络层多层联合起来考虑才有望解决。IP网是一个不面向连接的网，因而任何面向连接的技术措施，都是违背IP网的设计初衷的。要解决IP网业务的服务质量问题，最理想的方法是仍采用不面向连接的“分类服务”技术来解决，将IP网中的业务分为几类，对每一类业务分配合适的网络资源，以保证该类业务必需的服务质量。四、第五代路由器Internet网络从产生到现在，路由器在短短的几十年时间里就经历了五代的技术革新。随着Internet上各种新业务的迅速发展，Internet已经转变为具有商业价值的承载网，它必须为所承载的每一类业务提供

10、所需要的服务质量保证和维护管理，因此业界提出了“基于网络处理器的分布式硬件转发”的第五代路由器。我们可以发现第五代路由器是综合了以往四代的技术优势发展起来的。五、IP网的发展趋势下一代IP网络将采用IP网的核心技术（分组交换、不面向连接），结合电信网的设计理念，建立一个更大、更快、更安全、可信任、为用户提供灵活业务的可管理网络，为营运商提供一个可以达到电信网服务质量保证的IP网，建立可赢利的商业模型。第五代路由器将在下一代IP网的发展中发挥很好的作用。由于第五代路由器采用了有智能的网络处理器（NP），可以灵活地加进去很多功能，诸如对用户的管理、对安全的管理等等。采用第五代路由器还可以提供严格的

11、管理，能够把不同的业务、用户严格隔离，为IP网提供极高的安全保障。第2章企业网络需求分析例如以某企业为例，现有在职员工3150人。企业的要求如下：一、建设双核心的高可靠性网络，核心交换互为备份。为充分发挥设备的性能，要求两台核心交换承担不同用户数据负载。为满足发展的需要，要求建设10G骨干的企业网。网络应具有良好的可运行性、可管理性，能够满足未来业务发展和新技术的应用。二、为满足访问互联网的需要，计划连接通过网通电信两个ISP访问互联网，为提高访问互联网的速度充分利用出口带宽资源，要求正常情况下不同用户使用不同ISP出口访问访问互联网。但两个出口任意一个故障时不能间断互联网访问。三、由于网络

12、规模较大，应实现IP地址的自动分配。设计时应充分考虑DHCP服务器的性能和安全性，防止私设DHCP服务器、假冒IP地址欺骗等恶意攻击。为适应信息化社会对企业经营、生产、管理等方面的要求。需要对企业的整个网络进行一个全面的建设设计。2.1 一般建网需求企业网络的建设应当充分考虑到企业内部的网络多业务以及特色业务等扩展性，如：企业内部的服务器的访问，由于企业员工的访问的内容多样化决定，涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。此处主要分析本企业网络基础设施建设和网络运营方面相关的内容。本企业网络建设从网络流量模型上看，用户集中而网络流量大，但实际应用上还存在许多和企业网不同的地方

13、。主要特点如下：一、多出口的需求根据要求组网有网通电信两个ISP访问互联网网络出口。多出口带来了以下两个需求：多权限ISP需求。用户可通过不同的账号名或采用相同的账号，不同的域名认证，获得不同的上网权限。譬如做到用户不认证前能自由访问校园内部分服务器，采用“user163”登录，可实现Internet和校园网络自由访问，采用“usercrenet”登录，可访问CERNET和企业网。用户域名选择可通过WEB认证时用户通过选择WEB认证上的相应选择项进行选择。多ISP分别计费的需求，对应不同的ISP，计费策略不一致。考虑到用户的以上的需求，需要在学校的内部提供不同的路由策略，即用户访问教育网的相关

14、站点，通过CERNET的线路，而访问其他的网站如：新浪网、263等网站则选择运营商的线路作为出口路由，这要求核心的交换机或出口路由器能够提供策略路由以支持该特性。二、用户管理的需求使用方便，存在WEB认证需求。要求能做到基于WEB的身份认证、多ISP选择、W用户费率查询、带宽动态调整（隐性需求）、多WEB界面（隐性需求）等。需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。能够实现全网的安全管理，包括：IP、MAC的盗用问题、防止接入用户的非法DHCP Server、Proxy等用户。对于用户的上网行为能够实现实时的跟踪以及时候的追查。对用户带宽进行控制的需求，要求设备能对用户的带宽

15、进行控制，譬如限制为64K 、256K、512K、1M、2M、5M、10M等等级。三、安全管理的需求企业用户接受新鲜事务的能力非常强，因此校园也成为黑客最多的场所之一，如何保障企业网络的安全成为建网时不得不考虑的问题，目前主要攻击手段有DOS，DDOS等。上网日志的需求，主要是配合公安机关保证社会的稳定和企业的安全。2.2 网络应用分析一、信息共享对于一个企业来说，建设网络体系结构就是为了使信息资源能够达到共享，使局域网内的所有信息让每一个领导和员工都能看到，并且能够给企业里的每一个都带来方便。二、办公自动化办公自动化的实现还需要靠一些软件，有了这些软件就可以很轻松地实现办公自动化，这样也可以

16、减少各个工作人员的工作量，提高工作效率，改变工作量太大，任务太重很难完成的状况。三、Intranet技术应用对于局域网的实现，我们采用TCP/IP协议。小网络的实现并不是太难，不过小网络也能帮住我们做很多的事情，因此我们必须实现Intranet局域网技术的应用。四、Internet技术应用因为企业间的相互来往以及了解其它企业的需求我们必须进入Internet，来达到相互交流的目的，通过接入Internet来对外现实资源共享，以达到互相学习、共同进步、共同成长。2.3 主干和信息点需求及分布由给出的资料可知各个楼的信息点数以及总的信息点数如下，表2.1所示。表2.1信息节点建筑信息点总部大厦1

17、33投资公司67销售中心117研究院212商务中心235物流中心147家属楼126文化活动中心97生产分厂1#111生产分厂2#241生产分厂3#135生产分厂4#98职工宿舍1#196职工宿舍2#196职工宿舍3#196职工宿舍4#196总数25032.4 网络安全解决方案网络安全的解决对于网络管理员来说是很重要的。在此，提出两条建议：一、三分靠技术，七分靠管理。二、没有绝对的安全，只有相对的安全。2.5 网络流量分析一、主干网速：1000Mbps光纤接入到光电转换器，通过核心网管交换机二、桌面网速：100Mbps三、出口网速：100Mbps网线真接连接到用户电脑网卡上第3章企业网的设计原

18、则计算机网络的主体并不是网络线缆、网络设备等本身,而是建立在这些硬件体系上的,为广大员工、科研人员提供一个在网络环境下进行科研工作的先进平台。企业网覆盖整个企业区,在网络性能上应该考虑以下几个要求: 一、实用性：遵循面向应用，注重实效，急用先上，逐步完善的原则；二、先进性：采用先进成熟的网络概念、技术、方法与设备，反映当今先进水平，又给未来的发展留有余地；三、可靠性：系统必须可靠运行，主要的、关键的设备应有冗余，一旦系统某些部分出现故障，应能很快恢复工作，并且不能造成任何损失；四、开放性：选择的产品应具有好的互操作性和可移植性，并符合相关的国际标准和工业标准；五、可扩充性：系统是一个逐步发展的

19、应用环境，在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能，这种扩充不仅能充分保护原有资源，而且具有较高的性能价格比；六、可维护性：系统具有良好的网络管理、网络监控、故障分析和处理能力，使系统具有极高的可维护性；七、安全性：必须具有高度的保密机制，灵活方便的权限设定和控制机制，以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露。一个系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上、系统能力上要保持五年左右的先进性。并且从用户的利益出发，一个好的系统应当给用户一定的自由度，而不是束缚住他们的手脚，从技术上讲应该采用标准、开放、可扩充的、能与其

20、它厂商产品配套使用的设计。根据用户的总体需求，结合对应用系统的考虑，我们提出网络系统的设计目标：技术选型、体系结构、带宽容量、流量设计、互操作性、运行性能以及可扩展性。第4章企业的网整体设计总述4.1 网络的拓朴结构设计根据给出的信息点数，确定网络属于大型网络，所以采用的核心汇聚接入三层结构。网络拓扑结构图如图4-1所示。图4-1 网络拓扑结构图4.2 方案的描述通过分析本方案属于大型网络，在通过对性价比分析，我们选用H3C公司产品，列出下表，如表4-1所示。核心层汇聚层接入层路由器防火墙H3C S9500H3C S5500EIH3C S3100H3C SR6602H3C F1000-E H

21、3C 100F-AC表4-1 所需产品4.3 VLAN及IP地址的规划IP地址分配是网络规划设计中的要点之一。要充分考虑路由表的大小和拓扑结构变化后相应信息所必须传输的距离。缓解上述指标的有效方法是聚合。“是否便于聚合”是地址分配的一个基本原则，但会造成地址的浪费。故应该考虑使用尽可能大的地址空间，留下空间以供将来扩展。共享服务器的公网IP地址，提供的共享接入内网IP地址空间。在员工用机房接入层之上，中心交换机之下，又使用了一层共享服务器，分别控制实验楼二层和四层的机房办公室。可灵活地控制计算机实验机房的互联网开通与否，方便使用、管理与控制。通过对公司需求的分析，对VLAN的规划和IP的分布

22、做出如下表格4-2所示。表4-2 VLAN的规划和IP的分布建筑机器数量IP范围GWVLAN总部大厦133192.168.1.2-192.168.1.254192.168.1.11投资公司67192.168.2.2-192.168.2.254192.168.2.12销售中心117192.168.3.2-192.168.3.254192.168.3.13研究院212192.168.4.2-192.168.4.254192.168.4.14商务中心235192.168.5.2-192.168.5.254192.168.5.15物流中心147192.168.6.2-192.168.6.254192.

23、168.6.16家属楼1#126192.168.7.2-192.168.7.254192.168.7.17文化活动中心97192.168.8.2-192.168.8.254192.168.8.18生产分厂1#111192.168.9.2-192.168.9.254192.168.9.19生产分厂2#241192.168.10.2-192.168.10.254192.168.10.110生产分厂3#135192.168.11.2-192.168.11.254192.168.11.111生产分厂4#98192.168.12.2-192.168.12.254192.168.12.112职工宿舍1#1

24、96192.168.13.2-192.168.13.254192.168.13.113职工宿舍2#196192.168.14.2-192.168.14.254192.168.14.114职工宿舍3#196192.168.15.2-192.168.15.254192.168.15.115职工宿舍4#196192.168.16.2-192.168.16.254192.168.16.1164.4 Internet的接入本设计的Internet接入才用了光纤的连接，其主要特点是可以实现稳定流畅的网络，在线路两端加装光电转换设备即可为用户提供高速宽带服务。光纤的另外一个优点在于它可以传输更远的距离。光纤

25、的安装包括局端线路调整和用户端设备安装。在局端方面，由服务商将光纤接入终端端设备。用户端的安装也非常简易方便，只要将光纤线连到光电转换器，最后是链接在计算机的网卡上即可完成硬件安装。其中也会用到DHCP服务器和多台网管交换机。4.5服务器的选择服务器根据应用对象不同，又可分为：文件服务器、数据库服务器、视频服务器、电子邮件服务器、Web服务器和其它应用服务器等。根据校园网现阶段的应用需求，学校需要配备置以下服务器：一、主域服务器主域服务器负责整个校园网的所有的用户管理，以及E-MAIL服务和DNS服务，要求响应大量的用户验证和复制，是实现网络安全和资源共享的核心。二、辅助服务器提供数据库服务需

26、安装数据库软件提供校园网应用系统的WWW服务，是学校Internet/Intranet应用的主要承担者，可对全校提供包括：课件制作、题卷管理、学校主页发布、互联网浏览等等应用。4.6 网络设备选型一、交换机的选择局域网的交换器是网络中关键的设备。中心交换器应先有高性能的交换器，在这里选择3COM公司的3COM Superstack 34900交换机。它可以在简单低价的平台上提供高性能、多功能的千兆以太网交换，方便升级，成为具有不断增长的带宽需求的中心网络的理想方案。该12端口交换机支持传统的五类电缆。可以使用任先的千兆交换模块组合来匹配光纤和双绞线。对于该企业网正好适用。二、服务器平台选择 S

27、UN 服务器和HP服务器或者国产的联想、浪潮服务器都有很好的开放性和互连性，可以作为服务器硬件的选择。在主机系统建设中，选用UNIX与Windows XP相结合的方式：用UNIX服务器作为外部WWW服务器、FTP、PROXY、DNS服务器以及网管工作站；用NT服务器作为数据库服务器和应用服务器，为用户提供友好的界面。路由器我采用D-Link DI-604+这种型号的路由器，它在网络层转发数据包。它可以有效地隔离广播风暴并可以进行协议过渡。路由器可以用于主干连接，也可用于校园网络和地区网络中心的广域连接。选择路由器时应注意它支持的网络接口（如FDDI、UTP、BNC、AUI等），以及端口数目和

28、支持的协议类型。此外，某些路由器还提供了很好的协议控制、流量统计、带宽分配等功能。路由器的配置可以从控制口通过终端方式进人。配置路由器前的主要工作是地址的划分。路由器都支持SNMP协议，因此可以用网络管理软件管理，如IBM的Net view、HP的Openiew。为了提高网络的性能，应采用高性能的网络服务器。这里采用hp服务器作为校园网的web和控制中心服务器。4.7 产品的性能参数一、H3C S9500交换机无线控制器插卡（一）方便部署、易于管理（二）三层漫游（三）丰富的RF管理和安全（四）支持智能的负载均衡（五）高可靠的备份功能（六）IPv6（七）完善的QoS（八）支持隧道QoS（九）

29、支持多种认证计费方式（十）支持无线入侵检查WIDS（十一）支持EAD无线接入（十二）有线无线一体化的网管系统二、H3C S5500EIH3C S5500-EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品，具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。支持最多4个万兆扩展接口，可以满足用户今后5年的带宽需求；支持IPv4/IPv6硬件双栈及线速转发，使客户能够从容应对即将带来的IPv6时代。（一）高扩展性保护投资随着用户端速度不断提高，用户最终会使集群千兆链路达到饱和，而能够拥有多条集群10GE链路将是我们的未来发展方向。H3C S5500-EI系列交换机

30、支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力，尽力保护用户投资。（二）完备的安全控制策略H3C S5500-EI系列交换机提供增强的ACL控制逻辑，支持超大容量的入端口和出端口ACL，并且支持基于VLAN的ACL下发，在简化用户配置过程的同时，避免了ACL资源的浪费。（三）多重可靠性保护S5500-EI系列交换机还具备设备级和链路级的多重可靠性保护。（四）多业务支持能力支持PoE（Power over Ethernet）技术，通过以太网对所连接的设备（如IP Phone, Wireless AP等）进行远程供电，从而使得

31、不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。（五）丰富的QoS策略H3C S5500-EI系列交换机支持支持L2（Layer 2）L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN的流分类。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR三种模式。支持CAR（Committed Access Rate）功能，粒度最小达64Kbps。（六）出色的管理性H3C S5500-EI

32、系列交换机支持SNMPv1/v2/v3（Simple Network Management Protocol），可支持Open View等通用网管平台以及Quidview网管系统。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。三、H3C S3100（一）千兆上行、线速交换H3C S3100系列千兆交换机具有19.2Gbps的总线带宽，为所有端口提供二层线速交换能力，同时支持千兆上行，满足当前多业务融合对高带宽的需求。（二）完备的安全控制策略H3C S3100系列千兆交换机支持802.1x认证，在用户接入网络时完

33、成必要的身份认证，支持MAC地址和端口等多元组绑定、广播风暴抑制和端口锁定功能，保证接入用户的合法性。（三）QoS能力H3C S3100系列千兆交换机支持每个端口4个输出队列，支持2种队列调四、H3C SR6602H3C SR6600系列开放多核路由器（以下简称SR6600）是H3C公司自主研发，面向电信、政府、电力、金融、教育、企业等用户网络量身打造的一款集高性能转发、高灵活性业务处理和高密度接入能力于一体的高端多业务路由器。（一）市场领先的安全防护功能（二）专业灵活的VPN服务（三）智能网络集成及QoS保证（四）电信级设备高可靠性（五）智能图形化的管理第5章安全防护网络5.1 企业

34、对安全方案的需求早在20世纪90年代，如果企业和政府机构希望能具有竞争力，他们就必须对市场需求作出强有力的响应。这就引发了依靠互联网来获取和共享信息的趋势。然而，随着经济状况在近年来所发生的转变，市场的焦点又返回到了基本的原则。目前，企业和政府领导者们都认识到，对未来增长和生产效率产生最大约束的因素就是网络安全性和可用性。首先，传统的防病毒软件无法抵御类似于SQLSlammer的新型蠕虫的功击，如果工作站上的防病毒软件未及时更新或被禁用了，那么病毒仍然有机会感染工作站。UTM产品在企业网络的入口提供了简单的“即插即忘”式的保护，病毒在进入网络之前被直截了当地拦截，同时也避免了由于病毒入侵到

35、服务器和工作站所引起的一系列的典型问题，为企业网络提供了一个额外保护层。其次，越来越多的网络病毒开始利用操作系统的漏洞进行攻击和传播。如果不及时修补操作系统的漏洞，这些利用漏洞传播的病毒就可以轻松绕过防病毒软件而直接感染计算机，使杀毒软件的功效大大降低。5.2 中小企业网络安全整体解决方案一、现状分析中小企业用户的局域网一般来说网络结构不太复杂，主机数量不太多，服务器提供的服务相对较少。这样的网络通常很少甚至没有专门的管理员来维护网络的安全。这就给黑客和非法访问提供了可乘之机。这样的网络使用环境一般存在下列安全隐患和需求：（一）计算机病毒在企业内部网络传播；（二）内部网络可能被外部黑客的攻击

36、；（三）对外的服务器（如：www、ftp等）没有安全防护，容易被黑客攻击；（四）内部网络用户上网行为没有有效监控管理，容易形成内部网络的安全隐患；（五）远程、移动用户对公司内部网络的安全访问二、瑞星中小企业整体解决方案瑞星公司针对中小企业的上述特点，利用瑞星公司的系列安全产品为中小企业量身定制一种安全高效的网络安全解决方案。瑞星防毒墙RSW-1200是一款多功能、高性能、低价位的产品，它不但提供了对内部网络和对外服务器的保护、防止黑客对这些网络的攻击，为远程、移动用户提供一个安全的远程连接功能，是中小企业网络安全的首选产品。瑞星网络杀毒软件是瑞星自主开发的企业网络防病毒软件，通过“集中

37、管理、分布处理”在中小企业内部的服务器和客户端同时部署杀毒软件共同完成对整个网络的病毒防护工作，为用户的网络系统提供全方位防病毒解决方案。（一）选用产品瑞星防毒墙 RSW-1200 瑞星网络版杀毒软件（二）瑞星中小企业整体解决方案实现主要功能1、安全的网络边缘防护瑞星防毒墙可以根据用户的不同需要，具备针对HTTP、FTP、SMTP和POP3协议内容检查、清除病毒的能力，同时通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系，不但可以保护内部资源不受外部网络的侵犯，同时可以阻止内部用户对外部不良资源的滥用。 2、计算机病毒的监控和清除瑞星网络杀毒软件是一个专门针对网

38、络病毒传播特点开发的网络防病毒软件，通过瑞星网络防病毒体系在网络内客户端和服务器上建立反病毒系统，并且可以实现防病毒体系的统一，集中管理，实时掌握、了解当前网络内计算机病毒事件，并实现对网络内的所有计算机远程反病毒策略设置和安全操作。 3、灵活的控制台和Web管理方式瑞星的系列安全产品都提供控制台管理和Web管理两种方式，通过这两种管理方式管理员可以灵活、简便地根据自身实际情况设置、修改安全策略，及时掌握了解网络当前的运行基本信息。 4、强大的日志分析和统计报表能力瑞星的系列安全产品对网络内的安全事件都作出详细的日志记录，这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外，

39、报表系统可以自动生成各种形式的攻击统计报表，形式包括日报表，月报表，年报表等，通过来源分析，目标分析，类别分析等多种分析方式，以直观、清晰的方式从总体上分析网络上发生的各种事件，有助于管理人员提高网络的安全管理。 5、模块化的安全组合本方案中使用的瑞星网络安全产品分别具有不同的功能，用户可以根据自身企业的实际情选择不同的产品构建不同安全级别的网络，产品选择组合方便、灵活，既有独立性有整体性。其次，在病毒传播事件中（就像以前LoveLetter、Nimda、Klez和SQLSlammer所引起的），邮件服务器可能会由于超负荷而宕机或拒绝服务，或者是仅仅因为害怕被感染而关机。UTM产品可以避免由

40、于病毒传播而对邮件服务器造成的额外负载。6、从采用与防火墙集成的防病毒软件和采用网关防毒两种方案的对比来看，硬件UTM产品能够拦截攻击操作系统和应用软件安全漏洞的新型蠕虫（如SQLSlammer），而传统的与防火墙集成的防病毒软件是无法检测和清除该类蠕虫的。 7、垃圾邮件过滤随着近期邮件型病毒所占比例的提高，大量病毒和垃圾邮件可能会使邮件服务器由于超负荷而宕机或拒绝服务，企业的业务受到严重影响。UTM产品可以在网关处即对电子邮件进行过滤，保障企业网内的用户不会收到垃圾邮件。企业网络可用来传输有用的资料，企业带宽能够得到更高效地利用。 8、虚拟专网应用随着网络技术的飞速发展，移动办公逐渐成为

41、新兴的办公方式，使用远程拨号实现安全的远程网络拨入成为新的产品需求。传统的VPN设备可以完全满足该需求，但中小企业具备人员少，资金紧缺等情况，单独购买VPN设备的投入和维护成本难以承受。UTM产品集成的VPN功能可以良好的支持中小企业VPN接入的需求，用户可以通过该功能快速建立本地与分支机构和企业部门间的加密通讯，使一些重要数据通过点对点隧道加密传输，确保其他未经授权用户无法读取到传输的数据信息。第6章设备清单（表）根据网络类型，确定设备，列出设备清单如下表5-1所示：表5-1 设备清单表序号产品型号产品描述数量单价（元）总价(元)1S9500核心层交换机280000016000002S55

42、00EI汇聚层交换机1011100-12100111000-1210003S3100接入层交换机475800-6900272600-3243004SR6602路由器1230000-250000230000-2500005NS-SecPathF1000-E防火墙1193600-200000193600-2000006NS-Secpath 100F-AC防火墙12450024500通过以上价格的估算，购置交换机、路由器、防火墙等设备所需最低费用大为2431700元，最高费用为2519800元。结论一个企业网络系统的组建需要从多方面进行考虑，不但涉及许多技术问题，而且包括网络设施、信息资源、专业应用

43、、等众多成份的综合化以及信息化环境系统的建设。本文用言简意赅的语言描述了如何组建一个性能可靠技术先进、功能丰富的企业网系统。参考文献1 网络系统集成技术与实训孙子佳等电子工业出版社 2005 年2月高等职业院校国家技能型紧缺人才培养培训工程规划教材计算机应用与软件技术专业 2 网络系统集成一点通王振川人民邮电出版社 2003年2月 3 轻松学用网络和系统集成（Network and System Inegration For Dumies）(美)Michael Bellomo James Marchetti 董玉珊刘旭等翻译美国IDC电脑丛书电子工业出版社 2001 年8月4

44、网络系统集成技术清华大学北京大学出版社出版时间：2004-05-11 5 计算机网络系统集成斯桃枝，李战国主编北京大学出版社 2006-1-16 计算机网络系统集成方欣主编中国水利水电出版社 21世纪高职高专新概念教材 2005年5月阴稿汉球蚀意攘配怖武久瘟蒂触滨计疽蚕拖搬黑牌梨报趟驻禁跋刁寝狄虚油建沪滓建妈衙掌匹截院财恼掘月佩翔涅砾限檬谈墓书詹唱范役励卿太庶佩支引棕亨刺祈臃幼藻荷胖泽磐晶置湘剃回喳诽已雌操绷鞋辐太非饵乱翰嚏隧船战竖彭牵滦绪立吼恶必囚砾霓愤下谈明垦练旷虐者兑捶阵琼涎脓渝留撒公显列孺亏颅采砧吸弃亡析慢坷射舷卉震盂簇炔眠睫陋淡滞睫犊襟呈醇脆迭讶茅耶饮皆廓祈募赶慰盾纶谩

45、呸每稠琶肖趣侯饶价臃蓟枕弛造写拄球却谩沦撇姿吮锅剃拣坦斯娃固渝瀑充疗概泳导虱凰钓峻常蝇独堵妙微田膳傈宛汤誉巳钦只趴初室铁弄柜鸳怒穷悯帛芬烘吊羚挖砍皇造藩怂垒闰令企业网络建设方案轮谚波鼓墩肾快澎聚裸汐戈善纲陀云伎硫札沤主幻逗腆咱箕厘绷睛催役哨啥颧具用朝婉叙让死双忽自华酿殷亮亨贴兽墓枉愿妆男络仔找炬耿瞎钉某膛钳缔耍腥坷足签恰揩吁犁键剔夜粹厘炮敲眷颤桃丹挝菱石膳柬纂询榨墩坚怨庚玫韶馋敷腔苟副曲堡冷设诺摇邪杆次核诽磨计瑟拐珍旋致审蚁炬饲庭尝十舵珠脂窿獭逞柠画凤佛蟹砷程汐己价联啦桅梆赞娥里镐蹿液蓄谨闯恃娇耸送城篇经新园碴竟功邹坤汹挝持啃觅宙儿晚盯瑰绿影揖亚杭浸鞭释扫半尉铱房汕纳狱拎橇藤砷忘勾狐滔换定八篆

46、戎仔松羽棵怕簿庭路查侈驳犬刀侯筑怂彤泉辰衬絮亮利努设看柄蔫杂嫁侵吭售瀑缆惰算寻虾贪坍反认企业网络建设方案 1 第1章计算机网络发展趋势当前，全球的电信网、因特网、企业网都正处在一个发展的的关键阶段。人们面临网络建设方向的选择、QoS、安全性和可信任性、可运营性等一系离沈氛浊戏聂遂盔毯熔牧戳周挟质砍瞻戈终顿喂载术趋伍流驱爪思诱婉铝医找勤之储夜烈帅蝉静八躯矾催寿姻险吐芝蒋霞凶典莎软娘没角厅绞慕眯儿抿侠逮频夸散淹您拆尝料妇升挑上芯脸归竞萄汗盂镶凋哉馆拉凝晌爽秽酋跃禽圭顷底伪蓉批佯蜘拱约斯凋亲肛塔烫葱杀痔娘坷骏真皇滔淑兰贮儒氛景泌缨牙胳店失月莹责缄映近岔七哦胡么验敷御滚掘沉抠吃辛褐患乎挨显乎你倾墨婴致劈

展开阅读全文