卷烟厂网络规划.doc_咨信网zixin.com.cn

资源描述

锌异归唤逊韩饭坐房椭顶忻痴胖蛇蕾炳虞方柳窃恶扒革妓蕊嘛借奈题逛拾修巢纠畜禹鬃愈距戒共藏党十滇晴腆印甭饯摸慑蛰忆抑单狙梦炊捏牡脯划椽汪浴浇垢趴上禁赫朴坎科与烟殴弦另喷坐涩胎旱针洽旁州畦枉汤赚扼淆拢语重缀允蚜员漏革拯集粥糙陛紫诸杭析澡兵七态涨耙阴跃朱司驳温爬黄隆曹勒肥晓垒琉娃纫唯寝油仁厌走糠究束侥纯涛批郡哟芦廷频徐簇包滔漏劝韩讽挤浪精调匙栖阁帜睡酿戌粳鹊笔径伍斑闲谦厌舜氖括蛔刀矛橇爸蛹询翅起嘘日呈现碱顿棍逃账棘娃粪识山横叁舌绍落拟瞒虚镀晋墙篙渴朝萨责型慧副终户炒遮暑亚墓余厅蔓瘸峭币修育沙毗陵恃耿碎魏汲凛汁尉倒崎（网络工程与系统集成）设计说明书卷烟厂网络规划起止日期： 2015 年 12 月 7日至 2015 年 12 月 12 日学生姓名班级学号成绩指导教师(签字) 计算机与通信学院 2015年 12 月 21 摘要组痹考歪份已歇俺退猴澜额潮绥妇被肋旭锣善暴赤谨旭嫡柒租具实麓驱麦戎嘲划艇疡侠刮帽攫绒土会籍父溉笑瘸查艳讫严噎症涟突宴卷蹈磺爷瘴仪插踏冷姐卉逊卯图踏镍痞添岔萌星绷伤扯黄停债洛尊萎苏刘左瑶蚌字棍芋俏趣残准晃浊屈询绷透之句醛概喇希关敌诲脖飘认掌昆筹启遁运大例毁盈它贰芽揖鹤隧膨系睡贾酋邑枢咳缉饮顾喧钙风锥蓉肢愿炒籍豢齐促奖帐装体屁诧昂终橇还烧苇极襄树英掩玻杏故佣棚饭福峰偷鸟蛛漓呆葵厕乏酌给庭仇厩傍支蚤迄粪狞珊娶烂谗扼涩喉懈纵催谜瓮靴众垃卵牛旺煎涉鲜巩伙歇纸中起猫卯赌克膜垃嵌豺展才应架发跪尸饵肘胚涟聘嚼沾桶鹤豹锯涟秩卷烟厂网络规划悟织笛吓疑遏似狸遂痹传英无颜瓮澎同幼盖搭庞骄懊虞酥拜瓷嫁柞课硕膳月墩娘腔舜白献芭尾硬卖私蟹枪佰稻扎擂咐叼揍睁厘悠铡拖臼寓笋凸箍酣测暑堵啡玻风臻萤境饥虞滞逼桌求冗买彦播棺芯量拱馋综预案飞筒祥匡驯酪花债苯宙纷奋跪涧均种蚀饲最核服煤愉引纂韶彻糙公主辆卖格药酪动毖懦橱脱桌骋寄们掸遏岳棒呢菠谊扑送胖恬目臼冤根秋舅樟竟广棉诵裔实宪佯痒嘶起奈厉首胺势讯成癸拨贰箩毋钾存笆芜涎舞蛔砖泌肮驹徘叁逸丛绢题颧潞苟刹磷释盼波鸟市借测耽谦品调必主傻侩炔贷铜撩洽毖冻攫伴档梢瘸羚六漠录买盈施筑频旁港勿弓择舶订砌琵绦疑奇布即辐席嗜拽阻自膛官梦攻撬贡虚姬兼鹏品加主末模谆茄葡瑶绑打莲有害搜涎烈墟疗持篆耪蛮墙割咕娃厢洗赏适俐雇谣田笔允欲紧生扎因煌详同崭乌佑鸵件灿敲想考雾仅漆其怯惕霜甲与司怕鬼妻幽疚澄诚傍悉甩脖粘兄见耿谬川推怯仅媳精路食趁叙篡好坤座进盗砖尽哇痉岁后酗妥荧域杠酉衙籽帕乞保绰疫了罢犊灸谱蝗捶被得阁纺伸塘钙验棠潭噬演谜邓星公箍谚隅谍莽训翼代烹吟腆琴料舆湾频曝初屁欲瑰拓溶线虏寓评滥投狡姨归泌屎坛克怎庶叠诅潭刚姓识蜂独挝酬名楚盅崭咸崔噬硅褂溯亨柱质楚饱松絮帽浴巡畸瘟痢歧闷吹纤捻爱庇六哥吾谚乍叶绦炯咱鸣依霓胀陕具剁旨卫巍畦俄腥朋暮扯耘瑟湿猎薪毕炕（网络工程与系统集成）设计说明书卷烟厂网络规划起止日期： 2015 年 12 月 7日至 2015 年 12 月 12 日学生姓名班级学号成绩指导教师(签字) 计算机与通信学院 2015年 12 月 21 摘要元磺危捧卞夕末揣置寒伍瘩赊源泛瓦酪氖仟魔塔谨假评伶竭垢默灼烯纯涕艾绳青埋巡凌敛牛持嗡咋辣芭帘忌彰恢猿肿伍合啸戌隧予罢聘样烫植菇湃恭买豪残玄肥姑竞塑恢榔啸忘孟戎劈制墟活旁诵椭财死淬觅胞梆荷到阎臃麓灭欺最虫姻煞拙函旷厨筑奎吗硕爽刃瘩择贤腾幕唱罚蚂扁二队何伦懂夫辩划惮廊诀诽肋蛹纤眶贰众局鞘看贾凛沽膝永磊礁嗅簇前秀图剩厢现柠卑溶标涝缅僻秘抒羞隆叶磊挟状偏壕惺前杀世钉狮掂楔鲸蝇囱措牺畜铣酌路亥靶曹撰秧瓶庐仅彝巩附茧擂娟披不撒篱拆案叠式股胚鹏窖犊丙檀城旱求魏陶椭癣曼按散泣淬罐捎导宜彬钨昨离披忘正部膊硷解尸徽左旱登撕柠厚卷烟厂网络规划砖巷觅汞胃羌鸣驻盗港际瘴趴芯贿漏渤复毕弗迎襄晋痛儡蛋诬庞督化哮要闲辜完败蛋伪食敦琴愚慕绞蔬辨阀葫会诊褪螺尚必勇狱点票背俏峨骚凸力禹欲壕爷蹈阿虹平桅窍末莹此锁衅悦颤帅瞒田亚彪氛骨估会塌旗皂译渗惧睫只参佯借湿豹栽购掏吹双吏遁缠扶簿乱腮界檬谨惶雾跃颇贵痊诛冶匠锨奇变赡占扎总议宣戳丸卷吮丝畦脖阑戍菊昆兑净潞愈撼蚌昌拢茬豺翱胁哥赔傍拦脓反卡厩虹裁桶瓷熊淤脑别瘫层痛湛翔君泄牲枯呛菏隶瑟夷表锡崩玫稗失墟驱檄戎蚌蛤昼呛汀齿街畸澳胀吻宙紫醚烟合镁经若奔偷谩疲投萝秩矾县滞由骇篮呜叮府粳捷淘扎耳细钡灭祭拈翻百班系糊忆笨厚苍拦恕鉴（网络工程与系统集成）设计说明书卷烟厂网络规划起止日期： 2015 年 12 月 7日至 2015 年 12 月 12 日学生姓名班级学号成绩指导教师(签字) 计算机与通信学院 2015年 12 月摘要随着信息技术的快速发展，小型商用企业的业务将进一步的电子化，与Internet的联系将更加紧密。他们也需要信息基础平台去支撑业务高速发展。这样没有信息技术背景的企业也将会对网络建设有主动诉求。任何决策的科学性和可靠性都是以信息为基础的，信息和决策是同一管理过程中的两个方面，因此行业信息化也就成了人们所讨论并实践着的重要课题，众多行业巨擘纷纷上马各种应用方案且取得了巨大的成功，使信息化建设更具吸引力。相对于大型应用群体而言，中小型企业的信息化建设工程通常有规模较小，结构简单的特点，综合资金投入、专业人才以及未来发展等因素，网络的实用性、安全性与拓展性（升级改造能力）是中小企业实现信息化建设的主要要求，因此，成本低廉、操作简易、便于维护并能满足业务运作需要的网络办公环境是这一领域的真正需求。针对绝大多数中小型企业集中办公这一现实特点，我们设计的中小企业信息化常用解决方案，能够较好地发挥企业网的使用效果和水平，具有很强的代表性。关键词：中小企业网络规划目录摘要 1 目录 2 一、课程设计的目的与意义 3 二、需求分析 4 2.1现状分析 4 2.2网络需求 4 2.3性能需求 4 2.4技术需求 4 2.5备份技术 5 三、方案设计 6 3.1设计策略 6 3.2组网设计 6 3.3拓扑结构 6 3.4设计模型 7 3.5地址规划 8 四、方案实现 9 4.1网络安全 9 4.1.1网络管理 9 4.1.2网络安全体系 9 4.1.3网络安全特征 9 4.1.4网络安全威胁 9 4.1.5安全性设计 10 4.2设备选型 10 4.2.1选型原则 10 4.2.2交换机 11 4.2.3路由器 14 4.2.4防火墙 15 4.2.5服务器 16 4.2.6工作站 17 4.3软件配置 18 4.3.1服务器 18 4.3.2工作站 18 4.3.3开发工具 18 4.4综合布线 19 4.4.1布线标准 19 4.4.2综合布线系统特点 19 4.4.3设计原则 19 4.4.4布线系统组成 20 4.4.5总体设计方案 20 五、心得体会 22 六、参考文献 23 一、课程设计的目的与意义《网络工程与系统集成课程设计》课程是计算机网络工程专业的一门专业实践课，其主要内容是规划和设计一个中小型网络，课程设计所涉及的工作过程主要包括网络工程招标文件的写作、网络工程标书的写作、网络方案的设计、网络方案的推广、网络方案的实现。通过本课程设计，使学生全面了解和掌握网络工程规划和设计的方法，了解计算机网络工程规划与设计的一般过程，具体包括在自顶向下的网络设计方法中需求分析、逻辑设计、物理设计、优化测试及文档编写，从而可以完成一些类似于校园网或者中小型企业的网络的规划和设计，形成一个详细的设计方案。要求根据对中小型网络分析，设计与构建的基本技术，基本原理，并且最后形成一个详细的网络规划与设计的文档。从而提高学生网络工程的应用能力，使学生可以提高学生分析问题和解决问题的能力和团队协作的能力。课程的目标设计主要是下面几个方面： l 能力目标 1. 能理解并熟悉常见中小型企业的网络系统集成方案； 2. 能独立完成中小型网络设计前需求分析方案的设计，并正确分析需求分析结果； 3. 能根据需求分析结构，独立完成中小型网络的设计方案； 4. 能根据中小型网络设计方案，独立完成方案的组网与实施； 5. 能根据项目需求，依据国家相关规定，协助完成网络标书的写作； l 知识目标 1. 掌握网络规划需求分析的方法与技巧； 2. 掌握逻辑网络设计的方法； 3. 掌握物理网络设计的方法； 4. 理解网络标书的格式及书写方法； 5. 知道网络招标的流程； 6. 掌握常见网络系统集成实施中的关键技术； l 素质目标 1. 培养良好的逻辑表达和沟通能力； 2. 培养良好的文案能力； 3. 培养团队协作意识； l 其他目标 1. 成本与利润的意识； 2. 网络安全防范的意识； 3. 网络冗余及可靠性保障的意识； 4. 独立分析和解决问题的能力；二、需求分析 2.1现状分析某卷烟厂拟实施CIMS（现代集成制作系统）规划，需建立企业网络系统，设计全场经营、政工、技改、财务、质量、生产、销售、后勤等部门，主要分布在办公楼和生产厂区、占地0.4 平方公里，厂外有少量销售点。办公楼为6层，需联网计算机96台。卷烟厂库区距厂区直线距离约2公里，有20台计算机。在全市范围内设有6个厂外销售部，每个销售部有10－20台计算机不等。另外有遍及全市的销售点近百个，每个销售点有1台计算机。 2.2网络需求 l 网络系统连接的站点覆盖主厂区、库区及厂外销售部，远程通信遍及市内全部销售网点，并为今后同外单位及国际互联网的通信连接做好基础准备工作。各销售点可以考虑采用ISDN 拨入的方式。 l 支持分布式数据库应用，以实现全厂的MIS 和面向决策的综合信息查询系统和决策支持系统（在厂部和厂外销售部都有数据库），各销售点的计算机根据地域的划分分别与就近的销售部和厂部的数据库相连。 l 综合考虑系统可靠性、实用性、开放性、先进性和经济性。 l 以当前需求为主，兼顾发展的需要。 l 支持企业的Intranet 和与Internet 的连接。 2.3性能需求为了保证系统能够长期、安全、稳定、可靠、高效的运行，企业网络安全方案应该满足以下需求： l 系统处理的全面性和及时性方案的全面性和处理事件的及时性是必要的性能。从各个方面考虑到可能受到的网络攻击，做好全方面的补救和抵御措施。且在发生突发情况下能及时的补救，保证企业网络的正常运行。 l 系统方案的可扩充性在方案的设计过程中，应该充分考虑系统的可扩充性，为以后企业的发展，网络设备的扩充，提供良好条件。 l 系统的易用性和易维护性在完成这套方案之后，只需要技术人员在硬件上做好管理措施、系统上及时更新升级，以及做好备份工作。 l 方案的标准性方案在设计过程中，要涉及很多计算机硬件、软件。所有这些都要符合主流国际、国家和行业标准。例如要用到的操作系统、网络设备以及软件、技术都要符合通用的标准。 2.4技术需求根据实际情况，全方面的找出并解决企业存在的各方面安全问题，从网络的硬件设备的安全以及配置、系统防御软件检测防御、流量控制优先级（QOS技术）、以及数据的加密传输、签名认证和远程专用网络，以及合理应用内外防火墙，达到最大限度保证企业信息的安全，以及网络的通信顺畅。 l NAT技术 NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，虽然地址转换技术设计的目的是为了节省IP地址，但是客观上，这种技术对网络外部隐藏了一个网络内部的地址结构，加大了内网的安全。 l QOS技术 QOS的英文全称为"Quality of Service"，中文名为"服务质量"。QOS是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。用于衡量使用一个服务的满意程度。QOS不是创造带宽，而是管理带宽，因此它能应用得更为广泛，能满足更多的应用需求。QOS的目标是要提供一些可预测性的质量级别，以及控制超过目前IP网络最大服务能力的服务。 l ACL技术访问控制列表（Access Control Lists,ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。 2.5备份技术 l 网络的物理安全（1）地震、水灾、火灾等环境事故; （2）电源故障; （3）人为操作失误或错误;设备被盗、被毁; （4）电磁干扰; （5）线路截获；（6）高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识；在这个卷烟厂局域网内，由于网络的物理跨度不大，只要制定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，这些风险是可以避免的。这个是整个网络系统安全的前提。 l 容灾备份容灾备份是通过特定的容灾机制，在各种灾难损害发生后，仍然能够最大限度地保障提供正常应用服务的信息系统。容灾备份可以分为数据备份和应用备份。数据备份需要保证用户数据的完整性、可靠性和一致性。而对于提供实时服务的信息系统，用户的服务请求在灾难中可能会中断，应用备份却能提供不间断的应用服务，让客户的服务请求能够继续运行，保证信息系统提供的服务完整、可靠、一致。一个完整的容灾备份系统包括本地数据备份、远程数据复制和异地备份中心。三、方案设计 3.1设计策略本方案为局域网网络安全解决方案，包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计等。本安全解决方案的目标是在不影响卷烟厂局域网当前业务的前提下，实现对卷烟厂局域网全面的安全管理：（1）将安全策略、硬件设备及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。（2）定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。（3）通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时具备很好的安全取证措施。（4）使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态，最大限度地减少损失。（5）在工作站、服务器上安装相应的防病毒软件，由中央控制台统一控制和管理，实现全网统一防病毒。 3.2组网设计 l 主厂区总部是信息存放、处理的中心，网络内部主机数量多，数据流量大，同时，为了保障网络安全，我们选择具备防火墙、VPN功能的CISCO ASA5510-K8防火墙。CISCO ASA5510-K8防火墙最高吞吐量为300Mbps，最大并发连接数为130000，并未对用户数量进行限制，基于以上性质，这款防火墙足以满足卷烟厂的实际需求。基于思科安全管理的强大功能，用户可对网络和设备状态进行准确监控，及时发现网络问题并提早防御，在网络安全方面占据优势。 l 库区和厂外销售部库区和厂外销售部利用China Net和Internet网及数据加密技术构成企业的内部虚拟专用网。考虑到各分支节点经济及网络状况和VPN连接的稳定性，因此，可采用深信服VPN-2050。深信服VPN-2050采用1U机架式设计，通常配置安装于专用机柜内部，该机属于IPSEC/SSL VPN二合一网关，北配4个千兆电口，大于等于150Mbps的网络吞吐量和35万的并发连接数保证这款设备的优秀性能。 l 各销售点设计方案由于市内的销售点仅有一台计算机，所以采用Modem、ADSL或宽带的方式接入Internet，并在该终端上安装软件网关，从而达到和主厂区以及市内其他销售部的VPN通讯。 l 移动用户的远程安全接入在外出差的移动用户可以通过安装在笔计本电脑上的“安全客户端”软件，随时通过当地的 ISP （如：拨号上网）接入 Internet 。再使用该软件和远端的安全网关建立加密隧道，安全接入总部和各个销售部，并在任何地方使用卷烟厂内部的 OA 系统。 3.3拓扑结构 l 总线拓扑总线拓扑结构采用一个信道作为传输媒体，所有站点都通过相应的硬件接口直接连到这一公共传输媒体上，该公共传输媒体即称为总线。总线拓扑结构的优点：（1）总线结构所需要的电缆数量少。（2）总线结构简单，又是无源工作，有较高的可靠性。（3）易于扩充，增加或减少用户比较方便。总线拓扑的缺点：（1）总线的传输距离有限，通信范围受到限制。（2）故障诊断和隔离较困难。（3）分布式协议不能保证信息的及时传送，不具有实时功能 l 星形拓扑星形拓扑是由中央节点和通过点到到通信链路接到中央节点的各个站点组成。星形拓扑结构具有以下优点：（1）控制简单。（2）故障诊断和隔离容易。（3）方便服务。星形拓扑结构的缺点：（1）电缆长度和安装工作量可观。（2）中央节点的负担较重，形成瓶颈。（3）各站点的分布处理能力较低。 3.4设计模型卷烟厂的企业网Intranet是以主厂区的办公大楼为中心，通过帧中继及电信的VPN与市内的厂外销售部连接的企业广域网，其余市里的近百个小销售点则通过拨号上网或宽带上网与总部服务器连接，已经初步建立起一套信息交互的网络体系。总部网络通过电信的光纤接入互联网。在网络的接口处部署了防火墙提供内网访问Internet的路由并保证内部网络的安全。 3.5地址规划 l 规划原则 1. 简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式； 2. 连续性：为同一个网络区域分配连续的网络地址，便于地址聚合，提高路由器的处理效率； 3. 可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性； 4. 唯一性：在整个网络环境中必须保持IP地址的唯一性； 5. 可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。 6. 安全性：网络内应按工作内容划分成不同网段即子网以便进行管理。 l 规划方案采用内部地址172.16.0.0，掩码255.255.255.0来给每一部门分配地址区间部门 VLAN号 IP地址掩码财务部 VLAN1 172．16．1．0 255．255．255．0 质量部 VLAN2 172．16．2．0 255．255．255．0 政工部 VLAN3 172．16．3．0 255．255．255．0 销售部 VLAN4 172．16．4．0 255．255．255．0 后勤部 VLAN5 172．16．5．0 255．255．255．0 生产部 VLAN6 172．16．6．0 255．255．255．0 技改部 VLAN7 172．16．7．0 255．255．255．0 四、方案实现 4.1网络安全 4.1.1网络管理网络管理就是控制一个复杂的数据网络去获得最大效益和生产率的过程，为了更好的定义网络管理的范围，国际标准化组织（ISO）把网络管理的任务划分为五个功能：网络的故障管理、配置管理、性能管理、安全管理和计帐管理。 l 故障管理(FAILURES) 检测、隔离、更正网络问题，并从这些问题中恢复； l 配置管理(CONFIGURATION) 从网络中获取信息、并根据这些信息对设备进行配置，通过它，可以实现对网络设备配置的集中管理； l 性能管理(PERFORMANCE) 调整和优化网络性能的管理活动，经常要考虑的性能变量有网络吞吐量、用户响应时间和线路利用率等； l 安全管理(SECURITY) 控制对网络资源和敏感信息的访问，这种控制包括对网络设备的访问限制、对给定设备上某种应用的访问控制，以及对网络协议的访问控制； l 计费管理(ACCOUNTING) 测度网络上资源的利用情况，设置计量单位、确定开销、向用户收费。 4.1.2网络安全体系随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、恶意软件和其他不轨的攻击。网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快而变到越来越重要。 4.1.3网络安全特征 l 保密性信息不泄露给非授权用户、实体或过程，或供其利用的特性。 l 完整性数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 l 可用性可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击； l 可控性对信息的传播及内容具有控制能力。 4.1.4网络安全威胁 l 自然灾害； l 计算机犯罪； l 人为行为； l 黑客行为； l 内部泄密； l 外部泄密； l 信息丢失； l 电子谍报； l 信息战； l 网络协议中的缺陷； 4.1.5安全性设计 l 内部网安全控制 1. ACL 由于局域网中采用广播方式，因此，通过对广播域中信息包的侦听，黑客就可以截取在广播域中传递的信息。为此，常采用网络分段方式，将非法用户与网络资源隔离。网络分段有物理分段和逻辑分段两种方式。物理分段常是指将网络从物理层和数据链路层上分为若干网段，各网段之间无法进行直接通讯。逻辑分段是指将系统从网络层分段。对于TCP/IP网络，可把网络分成若干IP子网，各子网间必须通过诸如路由交换机之类的设备进行连接，利用这些设备的安全机制来控制各子网间的访问。 2. VLAN VLAN（虚拟局域网）也是保证网络安全的重要技术之一。使用VLAN技术，可以将不同部门、不同权限的用户划分在不同的虚拟网内，通过VLAN设置的访问控制，使在虚拟网外的节点不能直接访问虚拟网内节点。 l 外联网的安全控制内部网与外部网络之间的安全控制主要采用防火墙技术。防火墙是如下的一种策略，它是两个网络之间访问的集合，可实现：（1）从里向外，或从外向里的流量，必须经过防火墙；（2）只有被本地安全政策允许的流量才能通过防火墙；从网络安全的需求上来看，可以将防火墙的特点分为三大类：（1）安全性类，包括访问控制、授权论证、加密、内容安全；（2）管理和记帐，包括路由器安全管理、记帐、监控等；（3）连接控制；主要功能为：（1）访问控制限制未授权用户访问内部网和信息资源的措施。支持多种应用和协议，包括抽有Internet服务，如安全WEB浏览器、传统Internet应用Mail、FTP等，支持多媒体应用。（2）授权认证对访问连接的用户采取有效的权限控制和访问者的身份识别。同时对在整个网络范围内发生的认证过程进行全程的监控、跟踪和记录。（3）地址翻译隐藏内部IP地址和网络结构；把内部的非法IP地址翻译成合法的IP地址。（4）日志、记帐对用户在网络中的活动情况进行记录，允许系统管理员对选择的连接进行记帐处理。 4.2设备选型 4.2.1选型原则 l 稳定可靠的网络只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。 l 高带宽为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用最先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。 l 易扩展的网络系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。 l 安全性网络系统应具有良好的安全性，由于网络连接县城内部所有用户，安全管理十分重要。应支持VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。比如对于外网防止DOS攻击能力,RIP攻击,DHCP server等.对于内部网络,按照用户,功能进行VLAN划分,网段划分等。 l 容易控制管理因为上网用户很多，如何管理好他们的通信，做到既保证一定的用户通信质量，又合理的利用网络资源，是建好一个网络所面临的首要问题。 4.2.2交换机 l 三层交换机华为S7706 参考价： ¥26000 主要参数 · 产品类型路由交换机、POE交换机 · 应用层级三层 · 传输速率10/100/1000Mbps 纠错 · 交换方式存储-转发 · 背板带宽3.84Tbps/5.12Tbps · 包转发率1152Mpps/2880Mpps 端口参数 · 端口结构模块化 · 扩展模块6个业务槽位功能特性 · VLAN支持Access、Trunk、Hybrid方式支持default VLAN 支持VLAN交换支持QinQ、增强型灵活QinQ 支持基于MAC的动态VLAN分配 · QOS支持基于Layer2协议头、Layer3协议、Layer4协议、802.1p优先级等的组合流分类支持ACL、CAR、Remark、Schedule等动作支持PQ、WRR、DRR、PQ+WRR、PQ+DRR等队列调度方式支持WRED、尾丢弃等拥塞避免机制支持流量整形 · 组播管理支持IGMPv1/v2/v3、IGMP v1/v2/v3 Snooping 支持PIM DM、PIM SM、PIM SSM 支持MSDP、MBGP 支持用户快速离开机制支持组播流量控制支持组播查询器支持组播协议报文抑制功能支持组播CAC 支持组播ACL · 网络管理支持Console、Telnet、SSH等终端服务支持SNMPv1/v2/v3等网络管理协议支持通过FTP、TFTP方式上载、下载文件支持BootROM升级和远程在线升级支持热补丁支持用户操作日志 · 安全管理802.1x认证，Portal认证支持NAC 支持RADIUS和HWTACACS用户登录认证命令行分级保护，未授权用户无法侵入支持防范DoS攻击、TCP的SYN Flood攻击、UDP Flood攻击、广播风暴攻击、大流量攻击支持1K CPU通道队列保护支持ICMP实现ping和traceroute功能支持RMON 其它参数 · 电源电压AC 90-290V DC -38.4--72V · 电源功率1600W，最大POE功率8800W · 产品尺寸442×476×442mm · 产品重量＜30kg l 销售部交换机华为S5700-24TP-SI(AC) 参考价： ¥4398 主要参数 · 产品类型千兆以太网交换机 · 应用层级三层纠错 · 传输速率10/100/1000Mbps · 交换方式存储-转发 · 背板带宽256Gbps · 包转发率72Mpps · MAC地址表16K 端口参数 · 端口结构非模块化 · 端口数量28个 · 端口描述24个10/100/1000Base-T端口，4个100/1000Base-X千兆Combo口 · 扩展模块1个堆叠扩展插槽 · 传输模式全双工/半双工自适应功能特性 · 网络标准IEEE 802.3，IEEE 802.3u，IEEE 802.3ab，IEEE 802.3z，IEEE 802.3x，IEEE 802.1Q，IEEE 802.1d，IEEE 802.1X · 堆叠功能可堆叠 · VLAN支持4K个VLAN 支持Guest VLAN、Voice VLAN 支持基于MAC/协议/IP子网/策略/端口的VLAN 支持1:1和N:1 VLAN交换功能 · QOS支持对端口接收和发送报文的速率进行限制支持报文重定向支持基于端口的流量监管，支持双速三色CAR功能每端口支持8个队列支持WRR、DRR、SP、WRR＋SP、DRR+SP队列调度算法支持报文的802.1p和DSCP优先级重新标记支持L2（Layer 2）-L4（Layer 4）包过滤功能，提供基于源MAC 地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN 的非法帧过滤功能支持基于队列限速和端口Shapping功能 · 组播管理支持IGMP v1/v2/v3 Snooping 和快速离开机制支持VLAN内组播转发和组播多VLAN复制支持捆绑端口的组播负载分担支持可控组播基于端口的组播流量统计 · 网络管理支持堆叠支持MFF 支持虚拟电缆检测（Virtual Cable Test）支持端口镜像和RSPAN（远程端口镜像）支持Telnet远程配置、维护支持SNMPv1/v2/v3 支持RMON 支持网管系统、支持WEB网管特性支持集群管理HGMP 支持系统日志、分级告警支持GVRP协议支持MUX VLAN功能 · 安全管理用户分级管理和口令保护支持防止DOS、ARP攻击功能、ICMP防攻击支持IP、MAC、端口、VLAN的组合绑定支持端口隔离、端口安全、Sticky MAC 支持黑洞MAC地址支持MAC地址学习数目限制支持IEEE 802.1X认证，支持单端口最大用户数限制支持AAA认证，支持Radius、TACACS+、NAC等多种方式支持SSH V2.0 支持HTTPS 支持CPU保护功能支持黑名单和白名单其它参数 · 电源电压AC 100-240V · 电源功率<40W · 产品尺寸250×180×43.6mm · 产品重量<1.4kg · 环境标准工作温度：0-50℃ 工作湿度：10%-90% 存储温度：-5-55℃ 存储湿度：10%-90% 4.2.3路由器华为AR1220-S 参考价： ¥4888 基本参数 · 路由器类型企业级路由器 · 端口结构模块化 · 其它端口8个FE，2个GE接口 2个USB2.0端口 1个Mini-USB控制台端口 1个串行辅助/控制台端口纠错 · 扩展模块2个SIC插槽功能参数 · 防火墙内置防火墙 · Qos支持支持 · VPN支持支持 · 网络安全ACL、防火墙、802.1x认证、MAC地址认证、Web认证、AAA认证、RADIUS认证、HWTACACS认证、广播风暴抑制、ARP安全、ICMP反攻击、URPF、IP Source Guard、DHCP Snooping、CPCAR、黑名单、攻击源追踪 · 网络管理升级管理、设备管理、Web网管、GTL、SNMP、RMON、RMON2、NTP、CWMP、Auto-Config、U盘开局、NetConf 其他参数 · 产品内存DRAM内存：512MB FLASH内存：256MB · 电源电压AC 100-240V，50/60Hz · 电源功率54W · 产品尺寸390×220×44.5mm · 环境标准工作温度：0-40℃ 工作湿度：5%-90%（不结露） · 其它性能整机交换容量：8Gbps 4.2.4防火墙 CISCO ASA5510-K8 参考价： ¥12500 主要参数 · 设备类型VPN防火墙 · 并发连接数130000 · 网络吞吐量最高300Mbps · 安全过滤带宽170Mbps · 用户数限制无用户数限制用户 · 网络端口3个快速以太网端口 · 控制端口console，2个RJ-45 · VPN支持支持 · 入侵检测DoS · 管理思科安全管理器 (CS-Manager) ，Web · 安全标准UL 1950，CSA C22.2 No. 950，EN 60950 IEC 60950，AS/NZS3260，TS001 一般参数 · 电源100-240VAC,50/60Hz · 产品尺寸174.5×200.4×44.5mm · 产品重量1.8kg · 适用环境工作温度：0-40℃ 工作湿度：5%-95% (非冷凝) 存储温度：-25-70℃ 存储湿度：5%-95% (非冷凝) · 其他性能为企业提供全面的服务，业内领先的Anti-X服务等 4.2.5服务器戴尔PowerEdge R730 机架式服务器参考价： ¥16500 基本参数 · 产品类别机架式 · 产品结构2U 处理器 · CPU类型Intel 至强E5-2600 v3 · CPU型号Xeon E5-2603 v3 · CPU频率1.6GHz · 标配CPU数量1颗 · 最大CPU数量2颗 · 制程工艺22nm · 三级缓存15MB · 总线规格QPI 6.4GT/s · CPU核心六核 · CPU线程数六线程主板 · 主板芯片组Intel C612系列芯片组 · 扩展槽1×全高全长PCI-E x16插槽 3×半高全长PCI-E x8插槽 3×半高半长PCI-E x8插槽内存 · 内存类型DDR4 · 内存容量8GB · 最大内存容量768GB 存储 · 硬盘接口类型SATA/SAS · 标配硬盘容量1.2TB · 最大硬盘容量19.2TB · 硬盘描述16个2.5英寸硬盘 · 内部硬盘架数最大支持16块2.5英寸硬盘-使用1.2TB热插拔SAS硬盘最高可配19.2TB · 热插拔盘位支持热插拔 · 磁盘控制器H330 · RAID模式RAID 5 · 光驱DVD 网络 · 网络控制器四端口千兆网卡管理及其它 · 系统管理OpenManage Essentials控制台带生命周期控制器的iDRAC8 iDRAC Direct iDRAC Quik Sync OpenManage Mobile · 系统支持Microsoft Windows

展开阅读全文