XX企业网络分析与设计

湖南软件职业学院毕业 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 （论文） 一.需求分析 1.1．网络功能需求 企业内部办公网络，上面运行的应用包括Internet连接共享、传真、电子邮件、企业办公消息管理等。企业内部办公网络的核心问题是在保证日常办公效率的基础上，如何进一步的提高安全性和可监控性。企业内部办公网络应该考虑的功能需求如下： 1.1.1. 网络安全保护 包括企业级防火墙和企业级的反病毒软件，防范病毒和黑客的攻击。 1.1.2 .网络管理监控 提高整个网络系统的可管理性，明确每个部门或人员的职责和权限，控制公司业务的关键环节。 1.1.3 网络服务器 需要有专用的服务器，作为反病毒软件和网络管理监控软件或其他应用的主控服务器。 1.1.4 Email办公 公司业务Email文件可以在相关的部门和人员之间快速流转。收发Email时，文件必须经过主管部门的监控和转发，普通人员将在受监控的状态下面和公司客户通信。 1.1.5  Fax办公 收发Fax时，图片可以通过网络办公系统自由分发，而无需打印和手工传递。同时，Fax内容和传递过程需要记录日志，以备追溯。 1.1.6 Internet连接共享 使用Internet连接共享时，需要控制不同权限的员工使用Internet的方式和范围。限制普通员工利用公司网络进行业务无关的活动。 1.2.网络性能需求 · 能够快速的浏览访问各企业网站、论坛，并且快速高效的下载或上传软件、视频、音频、图形等文件。 · 在网中能够稳定、有效的运行应用E-mail邮件系统、FTP服务、等子系统或服务 · 能够流畅的登陆、访问、浏览外网（Internet）站点的内容，并能够很好下载所需软件与文件。 · 能够稳定的进行外网的视频、音频等网上教学或外网的视频、音频点播。 1.3.网络要求 随着Internet的日益普及，内部网用户访问Internet的需求在不断增加，一些企业也需要 对外提供诸如WWW页面浏览、FTP文件传输、DNS域名解析等服务，这些因素会导致网络 流量的急剧增加，而路由器、防火墙作为内、外网之间的唯一数据通道，如果吞吐量太小， 就会成为网络瓶颈，给整个网络的传输效率带来负面影响。因此，考察路由器、防火墙的吞 吐能力有助于我们更好地评价其性能表现。这也是测量路由器、防火墙性能的重要指标。 　 吞吐量的大小主要由路由器、防火墙内网卡，及程序算法的效率决定，尤其是程序算法， 会使路由器、防火墙系统进行大量运算，通信性能大打折扣。因此，大多数号称100Mbps的 路由器、防火墙，由于其算法依靠软件实现，通信量远远没有达到100Mbps实际可能只有 1 OMbpsN20Mbps o纯硬件路由器、防火墙，由于采用硬件进行运算，因此吞吐量可以达到线 性90MbpsN95Mbps,可以算是真正的100Mbps的路由器和防火墙了。对于中小型企业来讲， 选择吞吐量为百兆级的路由器、防火墙即可满足需要，而对于电信、金融、保险等行业公司 和大企业就需要采用吞吐量千兆级的路由器、防火墙产品。 1.4. 需求调查 地址 可靠性/可用性 网络需求 安全性 可扩展性 信息点数 主要应用 财务部 白天工作状态良好,网络正常运行 下载>400KB/s上传>100KB/s 高 良好 15 OA办公、Internet服务和关于资产的购置(投资)，资本的融通(筹资)和经营中现金流量(营运资金)，以及利润分配的管理等。 分公司 白天工作状态良好,网络正常运行 下载>500KB/s上传>200KB/S 中等 好 150 和总公司的联系，资源共享。OA办公，通过网络了解产品在市场上的反应，Internet服务等。 VPN客户终端 白天工作状态良好,网络正常运行 下载>300KB/s上传>100KB/s 一般 好 20 和总部的联系，OA办公。能及时在服务器上下载新的资料，Internet服务等。 办事处 白天工作状态良好,网络正常运行 下载>400KB/s上传>100KB/s 一般 好 100 和总部的联系，OA办公，能及时在服务器上下载新的资料，Internet服务等。 服务器和DMZ区 全日制不停机工作 下载>2MB/s上传>300KB/s 中等 好 20 资源共享、下载并发布通知、Internet服务等。 各级部门 白天工作状态良好,网络正常运行 下载>500KB/s上传>100KB/s 一般 好 450 能访问资源共享、OA办公、Internet服务等。 二.实施设计 网络平台在整公司网络系统中占有举足轻重的地位，它是整个网络的基础。在网络平台上，数据传输、信息发布、资源共享、公司以后的BBS、办公自动化系统、VOD系统、远程登陆系统、INTERNET接口、以及与其他公司的数据交换都将运行在这个网络上。因此，主干网的好坏直接影响到以后网络系统的运行效率，速度快慢,网络性能等参数。因此，建立一条高速的、多能的、可靠的、易扩展的主干网络，解决目前存在的带宽问题，和适应未来发展的需要是企业网建设中一个重要的问题。 2.1．建设目标 　　企业网建设的总体目标是利用各种先进、成熟的网络技术和通信技术，采用统一的网络协议（TCP/IP），建设一个可实现各种综合网络应用的高速计算机网络系统，公司内各部门通过网络连接起来。在局域网上，为各信息点提供可靠的、高速的和可管理的网络环境，为用户提供广泛的数据资源共享、丰富便捷的网络应用（如：实时多媒体视频/音频、校园综合信息管理、查询、网络远程教学、网络会议等），提供各种网络服务（电子邮件、文件共享、WWW信息查询等），为各用户提供多种形式的访问，实现网络的扩展，扩大联网的范围和规模。 　　网络不仅要实现网络上的一般功能：如E-MAIL、FTP、网络论坛、网络图书馆、搜索引擎、网上聊天、管理数据的传输、处理与查询，还需要实现包括视频点播（VOD）、电话会议、网络电话（IP电话）等功能，是一个高速多媒体互联网络，并最终实现整个企业系统的资源共享。 　　然而网络化地观念在推进的过程中，首先面临来自网络带宽瓶颈的挑战。单一的传输模式无法适应网络化的应用，所以如何提供令人满意的网络应用服务质量，这是目前解决网络化瓶颈中最为关键的一环。当今网络化发展已不能够简单地以限制人们上网的方式以避免带宽稀缺导致的网络拥塞。为了尽可能地利用好对满足多种网络应用需求最为关键的稀缺带宽资源，避免可能出现地网络性能问题，我们在网络化的建设过程中的每一个细节都作了努力把网络的性能优化到极限，使qos等策略不再神秘莫测充分应用到解决相识问题当中。如此一来凡对网络流量实施策略管理地方就再也没有那些无法容忍的迟延现象出现。这不仅减少了大量管理成本，还为客户节省了大量时间，同时提高了用户满意度。 　　通过网络系统资源的整合，传统的模式将改变，实现多层次、交互式，从而提高质量，扩大规模 2.2．建设原则 网络系统的设计必须遵循一定的规则，我们在进行网络建设时，将坚持如下原则： 2.2.1. 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 化 当今计算机网络技术发展的一个重要特点就是标准化。只有遵循国际标准，才能确保整个系统的开放性和长久的生命力。 2.2.2.可靠性 为了确保计算机系统能够正常地运行，我们在进行设计时，将充分地考虑提高整个系统的高可靠性，为此我们将采取核心设备或模块备份、通信线路备份等一系列措施。 2.2.3. 先进性 先进性能确保整个系统有一个较长的生命周期，这是对整个投资的最大也是最有效的保护。网络的先进性还表现在用户能够对其进行较为平滑的升级，平滑的升级就意味着并不会造成前期投资的废弃。 为了确保技术的先进性，我们将从如下几个方面入手：首先，选用厂家新推出来的设备以及那些推出时间较长并且获得了良好的市场声誉的有生命力的产品；其次，采用新的技术。 2.2.4. 可扩展性 可扩展性也即可伸缩性，即网络应能自如地适应规模的变化。良好的可扩展性表现之一就是当用户的规模增大时，无需增加新的设备，只需要增加相应的设备模块即可，这即能有效地降低用户的投资，又可以降低整体的复杂性。 2.2.5. 保护已有的投资 网络系统的建设要尽可能地保护用户在主机、网络设备以及通信线路等方面的投资，避免造成不必要的浪费。 2.3. 实现功能 　　要求完全建成以后能实现除现在网络上的一般功能：如E-mail、FTP、网络论坛、网络图书馆、搜索引擎、网上聊天、管理数据的传输、处理与查询外，还应包括视频点播（VOD）、电视会议、网络电话（IP电话）等功能，是一个高速多媒体互联网，实现整个校园系统的资源共享。 2.4．主要技术问题 2.4.1组建千兆位量级网络主干 　　从不拥堵的10Mbps共享型工作组LAN过渡到今天的高性能网络主干，随着网络演变到今天的任意点对点连接模型，边界应用的需要迫使网络厂家连续开发了几代更高性能的LAN技术。 　　第2层交换机开始提供基于硬件的数据包处理能力。第3层交换能力使它们可以取代LAN路由器的其它功能以加快主干的传输速度。今天，网络管理人员已把第3层交换看作是扩大主干核心性能的实际要求。 　　第三层交换。第3层交换机保留了第3层拓扑结构和服务的优点又没有传统LAN路由器那种基于软件进行数据包处理的缺点。第3层拓扑结构在网络分段、安全性、可管理性和抑制广播等方面有诸多有益的优势。此外，它鉴别各种应用层协议的能力有助于实行基于策略的网络控制。所以，下一代交换机必须支持基于硬件的数据包处理，以利于传输各种主要的可路由协议：IP、IPX和AppleTalk。 　　今后的趋势依然是台式机的能力越来越强。对多媒体和实时应用须提供确定性的服务。用户群日益扩大，以及全企业范围的信息流模型。因此，对主干带宽的要求肯定将以更快的速度增长。 　　与大多数网络产器一样，核心交换机的设计也要在性能、复杂性和成本之间权衡折衷。基于总线的交换机(又称为共享型总线或并行总线交换机)采用由一种介质组成的单块背板，模块之间的所有信息流都必须经过这条总线进行传输。数据是利用时分制多工传输(TDM)方式在总线上传输，每个模块重复分得一个时段供连续传输。这种分配 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 提供了可预计的性能。 下一代交换机不仅必须提供千兆位数量级的容量和性能，还必须为明天企业网络的形成解决其它的关键的方向性问题。 　　基于总线的交换机的主要设计限制是TDM必须采用的工作频率。在标准的19英寸背板上，频率极难超过50MHZ。由于这个限制，基于总线的交换机的背板实际最高容量平均为 2Gbps。此外，这种设计还存在许多方面的问题，包括接口卡带电更换能力，公平获得带宽、有效支持在并行背板上进行广播和多址联播，这些问题进一步增加了这种设计的固有复杂性。 2.4.2信息安全问题 　　用户信息安全问题一直是IP网络中的讨论热点。事实上，在网络建设初期，用户对安全性可能要求不高，但是，随着用户数的不断上升和提供点服务种类不断增多，用户将会越来越多地考虑到信息的安全性。 用户信息的不安全性主要是由用户处于以太网环境中引起的，因此要保证用户信息的安全性，就必须实现以太网环境下的用户隔离，目前主要采用的技术为VLAN技术，VLAN技术是由IEEE802.3q和IEEE802.1q定义的，其基本思想是：对每一层上的设备，下行端口分别处于一个VLAN中，上行端口分别与每个端口处于一个VLAN中，传输的以太网帧为传统的以太网帧，不含VLAN ID，一方面可以使网络支持的用户数不受VLAN个数的限制，另一方面静态分配IP地址时只需要给用户分配一个IP地址。 三. 网络设计 3.1网络主干的构建 3.2 千兆以太网技术 以太网从100Mbps升级到1Gbps，融合了两种技术，即IFFF802.3以太网和ANSIX3T11光纤通道。 3.3协议架构 千兆以太网是在利用了光纤通道的高速物理接口同时，又保留了IEEE 802.3以太网帧格式，具备对已安装介质的向后兼容性，并利用了全/半双工载波侦听（CSMA/CD）传输机制。 3.4传输介质与物理接口 目前千兆以太网的传输介质包括两种标准：IEEE 802.3Z和IEEE 802.3AB。IEEE 802.3Z：1000BASELX(单模或多模)、1000BASTSX（多模）、 1000BASE CX（屏蔽铜缆）；IEEE 802.3AB 1000BASET（非屏蔽两绞线）。千兆以太网接口载体是由千兆接口转换器（GBIC）实现的。其中包括短波（SX），长波（LX），LH和铜缆(CX)物理接口。 3.5 服务质量（QOS）与服务类型（COS） 千兆以太网 除了提供高带宽以外，也支持以太网的服务类型和服务质量保证相关协议，如IEEE 802.1P，IEEE 802.1Q，IEEE 802.3X，IEEE，802.3AB和资源预留协议（RSVP）等关键协议。 IEEE 802.1P使得以太网能够及时响应独立端站主机对网络发出的某个 QoS （服务质量）请求，该标准界定了组播（Multicast）分组管理。IEEE 802.1P还包括了最新定义的通用分配注册协议（GARP），它专用于GARP的特定应用，如GARP组播注册协议（GMRP），GARP WAN注册协议（GVRP），GMRP为组播MAC地址分组提供了注册服务。从而保证以太网上的多媒体应用需求。 IEEE 802.1Q已建立起了基于标准的VLANs，该标准以帧标签机制为基础，适合于以太网，快速以太网，令牌环和FDDI，也为交换机和路由器提供一种使VLAM标签化的方法。保证了多厂商的VLAN兼容性，GVRP已由IEEE 802.1Q支持，它提供了VLAN成员的注册服务 IEEE 802.3X 是以太网的一种流控机制。当客户终端向服务器发出请求后，自身系统或网络产生拥塞环境中，它会向服务器发出一种暂停帧，以延缓服务器的数据传输。千兆比设备对该机制的支持，补充了千兆比以太网的控制功能。 IEEE802.3AB的标准支持在5类非屏蔽双绞线上,传输千兆比以太网 RSVP-资源预留协议, 以太网通过在帧位中标记数据流类型，使网络在传输中识别其优先级别，以保证高优先级的数据流优先占用带宽资源，弥补以太网对延时敏感的应用支持的不足 3.6三层交换机的选择 核心交换机是网络的核心，在选择时应注意几个问题： · 高性能，高速率。 · 交换最好能达到线速交换，即交换机背板带宽>=所有端口的带宽总和，定们准确。 · 在够买产品时要注意产品与信息点数的匹配。匹配不合理会浪费资源或导致网络不能正常工作。 · 另外还应注意高可靠性、网络的控制能力和可管理性，如对通用网管协议SNMP、RMON、RMON2的支持等。 3.7 光纤布线 我们采用结构化布线，光纤从中心设备室直接走线到电信设备室。光纤走线用地下直埋方式。如果空中架线，不但有损企业美观，而且如果空中架线可能会因为新建建筑物的原因要重新迁移，不但影响通信，还费时费力。而且光缆是用光来传输信息，不受电子干扰，也不会干扰其它电信设备，因此走线管道可以和电力设备及电信设共用。节省了人力物力。要注意的是：光纤走线不能过于弯折，不能损伤光纤保护层。 3.8 光纤类型的选择 我们选择了62.5/125um的多模光纤。理由是62.5/125um的光纤。它的传输距离在250m以内，这对于一个企业来说已经足够了。我们使用了波长为850um的多模光纤。这种光纤的传输距离在500以内对信号衰减不会很明显。多模光纤与单模光纤相比 多价格便宜得多，当然根据差分模式延迟的原理分析，单模光纤的光源为激光源，是沿纤芯阶跃式传播，由于多模光纤中玻璃介质的缺陷，使得光束在来回折射的过程中造成能量的距大衰减。这个现象将影响以后网络的升级。不过，我们也有对应的解决办法，那就是在多模光纤的接口上使用调节发射适配器。经分析我们选用1000BASESX波长为850nm、MMF、纤芯/包层为62.5/125带宽为160~200MHZ的光纤 四．设备的选型 4.1. 交换机（核心）（ Cisco Catalyst 3750） Cisco Catalyst 3750系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。这个新的产品系列采用了最新的思科StackWise技术，不但实现高达32Gbps的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统--就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。 对于中型组织和企业分支机构而言，Cisco Catalyst 3750系列可以通过提供配置灵活性，支持融合网络模式，已经自动配置智能化网络服务，降低融合应用的部署难度，适应不断变化的业务需求。此外，Cisco Catalyst 3750系列针对高密度千兆位以太网部署进行了专门的优化，其中包含多种可以满足接入、汇聚或者小型网络骨干网连接需求的交换机。 Cisco Catalyst 3750系列最多可以将9个交换机堆叠在一起，构成一个统一的逻辑单元，其中总共包含468个以太网或以太网供电10/100端口或者252个以太网10/100/1000端口、或9个10GB以太网端口。各个10/100、10/100/1000和10Gb以太网单元可以根据网络的需要任意组合。 4.2.换机（接入层）（ WS-C2950G-24-EI） 思科2950－24属于Catalyst 2950系列，是一款可提供24口10BASE-T/100BASE-TX MDI/MDIX 端口（RJ-45）交换机产品，支持ISO 8802-3、IEEE 802.3(以太网)、IEEE 802.3u(快速以太网)、IEEE 802.1d(桥接)、IEEE 802.3x(流控) 等网络标准，数据交换方式为存储和转发，共享8M内存空间。 IEEE 802.1x,10BaseT、100BaseTX、1000BaseT端口上的IEEE 802.3x全双工操作,IEEE 802.1D生成树协议,IEEE 802.1p CoS,IEEE 802.1Q VLAN,IEEE 802.3ab 1000BaseTX 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 ,IEEE 802.3u 100BaseTx规范,IEEE 802.3 10BaseTx规范. 4.3.由器（CISCO 7206VXR） 路由器网络协议 IEEE 802.3,ISDN;加密标准AH(MD5),ESP（Null, DES, 3DES, ARC4, proprietary fast encoding，+MD5/HMAC，-MD5）;PPP(PAP，CHAP, LCP,IPCP, MLPPP)路由器网管功能 Cisco ClickStart,SNMP VPN功能 支持VPN 防火墙功能 内置 4.4. 服务器 4.5. 防毒墙（RSW-1000 RSW-3000 RSW-9000） 传统的计算机病毒防范是在需要保护的计算机内部建立反病毒系统，随着网络病毒的日益严重和各种网络垃圾邮件等的侵害，如何更好、有效地保护企业内部网络是当前安全厂家、企业用户都在关心的问题，瑞星防毒墙就是在当前网络安全急需一个有效解决方案的情况下推出的一款网络安全产品。 　　保护网络不受病毒侵犯以及不良邮件信息干扰的唯一办法是在它们进入网络前即阻断它们，瑞星公司将专业的基于应用层的安全技术引入到防毒墙，形成一体化的安全网关产品，瑞星防毒墙在毁灭性病毒和蠕虫病毒进入网络前即在网络边缘进行全面扫描，瑞星防毒墙可用于独立式边缘病毒扫描结构，同时，它也可以作为企业整体网络防病毒的一个组成部分，建立网络边缘（网关）、客户端和服务器三层病毒扫描架构的立体网络防病毒体系，此外，瑞星防毒墙还提供了防火墙、VPN、反垃圾邮件、内容过滤等多种网络安全功能，是一个网络一体安全解决方案的网络安全产品。 　　瑞星公司根据当前企业的不同网络环境需求提供了不同的网络安全解决产品，目前，瑞星推出的防毒墙产品共分为3个等级RSW-1000系列、RSW-3000系列和RSW-9000系列，3个不同等级的防毒墙产品满足不同企业的需求，产品从中小企业到大型IDC/ISP都可以满足要求。适用于中小企业用户，大型企业，高校、金融机构，高流量的电子商务网站，电信、IDC/ISP以及其他网络安全的环境。 RSW-1000 RSW-3000 RSW-9000 4.6. 网络监测（RNM-100） 企业网络 HYPERLINK "http://www.enet.com.cn/security" \t "_blank" 安全是一个技术和管理相结合，随着计算机病毒传播更快、危害更大和黑客攻击事件的增多，企业在网络安全问题上越来越重视，许多企业购买了相关的安全产品保护企业的内部网络，然而，许多企业在构建自身网络安全的同时忽视了内部的管理，对内部的上网行为缺乏有效的记录、监控和取证，瑞星网络监控产品就是对企业网络内部用户上网行为进行监控、记录的一个网络行为管理产品，它可以帮助企业管理者实现对内部用户的上网行为进行监控、记录，规范企业内部用户的上网行为，提高工作效率，同时避免企业内部产生网络安全隐患。 　　瑞星网络监控RNM-100对HTTP、SMTP、POP3和基于HTTP协议的其他应用协议具有100%的记录能力,企业内部用户上网信息识别粒度达到每一个URL请求和每一个URL请求的回应。瑞星网络监控自动总结对每一个URL请求的反馈，尤其针对下载等数据回馈量较大的Internet请求，避免了由于记录过多的无用信息导致日志记录超出存储介质容量。 　　瑞星网络监控对用户来说是“透明”的，它的安装和调试不影响用户网络的使用，也不需要用户设置任何计算机属性。 4.7防火墙(瑞星RFW-SME) 瑞星RFW-SME 4.8瑞星入侵检测系统RIDS-100 RIDS-100入侵检测系统是由瑞星公司自主开发研制的新一代网络安全产品，它集入侵检测、网络管理和网络监视功能于一身，能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，作为管理员事后分析的依据；如果情况严重，RIDS-100可以发出实时报警，使得管理员能够及时采取应对措施，另外RIDS-100入侵检测系统可以与防火墙联动，自动配置防火墙策略，配合防火墙系统使用，可以全面保障网络的安全，组成完整的网络安全解决方案。 RIDS-100 入侵检测引擎具有在线升级功能，用户通过管理控制台从瑞星网站升级，也可以将升级包放在管理控制台所在的主机上，从本地完成升级，升级包括攻击特征库、策略数据库、RIDS-100检测引擎的更新三部分。 检测引擎的接入对被保护网络是透明的，它对被保护网络的任何流量和请求均不做反应，不影响被保护网络的性能。 五.综合布线 所谓综合布线系统是指按标准的、统一的和简单的结构化方式编制和布置各种建筑物（或建筑群）内各种系统的通信线路，包括网络系统、电话系统、监控系统、电源系统和照明系统等。因此，综合布线系统是一种标准通用的信息传输系统. 所谓综合布线系统是指按标准的、统一的和简单的结构化方式编制和布置各种建筑物（或建筑群）内各种系统的通信线路，包括网络系统、电话系统、监控系统、电源系统和照明系统等。因此，综合布线系统是一种标准通用的信息传输系统。 5.1 综合布线系统的特点 5.1.1 统一管理和维护 结构清晰，便于管理和维护。传统的布线方法是，各种不同设施的布线分别进行设计和施工，如电话系统、消防、安全报警系统、能源管理系统等都是独立进行的。在一个自动化程度较高的大楼内，各种线路分布如麻，拉线时又免不了在墙上打洞，在室外挖沟，成难以管理，布线成本高、功能不足。综合布线系统就是针对这些缺点而采取的标准化的统一材料、统一设计、统一布线、统一安装施工，做到结构清晰，便于集中管理和维护。 5.1.2 材料先进便于升级 材料先进统一，适应今后的发展需要。综合布线系统采用了先进的材料，如超五类非屏蔽双绞线，传输的速率在100Mbps以上，完全能够满足未来5～10年的发展需要. 5.1.3灵活性 灵活性强，适应各种不同的需求。综合布线系统使用起来非常灵活。一个标准的插座，既可接入电话，又可以用来连接计算机终端，实现语音/数据的互换。 5.1.4 单点故障隔离 单点故障隔离。与网络相连的每台设备都有一个专用的介质连接，用户设备、网络集中器的用户端口或布线系统本身发生的任何故障，都可以隔离在单个用户。如果使用类似铜轴电缆的共享介质，单个故障也会使多个用户乃至整个局域网络陷入混乱。 5.2综合布线系统的组成 随着Internet网络和信息高速公路的发展，各国的政府机关、大的集团公司也都在针对自己的楼宇特点，进行综合布线，以适应新的需要。作为综合的布线系统，目前被划分为6个子系统，它们是工作区子系统、水平干线子系统、管理子系统、垂直干线子系统、设备间子系统和建筑群子系统。（如图３） 　　　　　　 　　　　　　　　　　 图.３ 5.2.1.工作区子系统 　工作区子系统中所使用的连接器必须具备符合国际ISDN标准的8位接口，这种接口能接收楼宇自动化系统所有低压信号以及高速数据网络信息和数码音频信号。工作区在子系统设计时要注意如下要点： 　1）从RJ45（图.４）插座到设备间的联机用双绞线，一般不要超过5m。 　　 　　　　　　　　　　 　　　　图.４ 　（2）RJ45插座须安装在墙壁上或不易碰到的地方，插座距离地面30cm以上。 　 　　　　　　　图5　J-45信息面板 　　　　　　　　　图６ 信息模块 5.2.2 水平干线子系统 水平干线子系统又称为水平子系统（Horizontal Subsystem）。水平干线子系统是整个布线系统的一部分，它是从工作区的信息插座开始到管理间子系统的配线架。结构一般为星型结构，它与垂直干线子系统的区别在于：水平干线子系统一般在一个楼层上，仅与管理间连接。在综合布线系统中，水平干线子系统由4对UTP（非屏蔽双绞线）组成，能支持大多数现代化通信设备。如果有磁场干扰或信息需要保密时可用屏蔽双绞线。如果需要高宽带应用时，可以采用光缆。 但要注意如下要点： （1）水平干线子系统一般使用超5类非屏蔽双绞线。 （2）考虑到配线间联机和工作区连接线的长度，每根水平线缆的长度不应超过90m，如图7所示。 图.7 （3）用线必须走线槽或在天花板吊顶内布线，尽量不走地面线槽。 （4）确定介质布线方法和线缆的走向。 （5）计算水平区所需线缆长度。 为了保证布线系统的质量，尽量避免水平线路长距离地与供电线路平行走线，而应当保持一定的距离（UTP 30cm、STP 7cm）。在一些特定环境中不能满足间距要求时，要对传输介质进行保护，如使用线槽或金属管道等。另外，水平线缆在安装实施时，要对线缆进行适当的捆扎和固定，同时注意相应线缆的最小弯曲半径和最大可承受拉力；尽量减少所暴露的被剥去外皮的线缆长度，一般为20cm~50cm，反向捻开长度不宜过长，对于五类UTP，应小于1.2cm。 水平线缆的敷设一般有以下3种方式。 （1）直接埋管方式：直接埋管方式由一系列密封在现浇混凝土中的金属布线管道组成，这些金属布线管道从楼层配线间向信息点处辐射。这种布线方式常见于老式建筑物的布线系统。 （2）吊顶内布线方式：由弱点竖井处罚的线缆先进入吊顶中的线槽，到达各个房间后再分出支管到房间内的吊顶，贴墙而下到信息插座处。在设计安装线槽时，应尽量将线槽置于走廊的吊顶内，支管应尽量集中，以便于维护。 （3）地面线槽方式：由弱点竖井出发的线缆通过地面线槽到地面出线盒，在地面出线盒上安装多用户插座，再由多用户插座连接到办公桌信息插座。 5.2.3 管理间子系统 管理间子系统为连接其他子系统提供了手段，它是连接垂直干线子系统和水平干线子系统的子系统，主要由机柜、配线架、集线器、交换机和UPS电源等组成。当需要多个配线间时，可以指定一个主配线间，其他配线间为从配线间。一般来讲，要在每个配线间机柜内放置相应的网络设备。设计时要注意如下要点： （1）配线架的配线对数可由管理的信息点数决定。 （2）利用配线架的跳线功能，可使布线系统实现灵活、多功能的能力。 （3）配线架一般由光纤配线盒和双绞线配线架组成，双绞线和光纤是目前最常用的两种传输介质。 （4）管理间子系统应有足够的空间放置配线架和网络设备（集线器、交换机等）。 （5）有集线器及交换器的地方要配有专用稳压电源。 （6）保持一定的温度和湿度，保养好设备。 5.2.4 垂直干线子系统 垂直干线子系统也称骨干子系统，它提供建筑物的干线电缆，负责连接管理间子系统到设备间子系统的子系统，—般使用光缆或选用大对数的非屏蔽双绞线。由于它是系统的主干线路，属于公共线路，是整个系统的关键设备，应具有高度的可靠性和良好的性能。在选用材料时，要根据用户的需求以及信息点共享原则来确定，同时应充分考虑系统的灵活性以及以后的升级。 设计时要注意下列问题： （1）垂直干线子系统一般选用光缆以提高传输速率。 （2）光缆可选用多模的（室外远距离的）光纤，也可以是单模的（室内）光纤。 （3）垂直干线光缆的拐弯处，不要直角拐弯，应有相当的弧度，以防光缆受损。 （4）垂直干线要防遭破坏（如埋在路面下，挖路、修路对电缆造成危害），架空电缆要防止雷击。 （5）确定每层楼的干线要求和防雷击的设施。 （6 满足整幢大楼干线要求和防雷击的设施。 在建筑物内根据信息点分布情况和线缆的敷设最大长度的限制，确定分配线间的位置和数量。建筑物内的垂直干线子系统一般选用5类非屏蔽双绞线即可，为了考虑未来发展方向，现多使用多模光纤。垂直干线子系统的敷设一般有电缆孔和电缆井两种方法。 （1）电缆孔方法：制作一个金属管道，嵌在混凝土中，电缆穿过金属管道与相邻层连接。当配线间上下都对齐时，通常采用这种方法。 （2）电缆井方法：在每层楼板上开出一个方孔，电缆可通过这些方孔延伸到相邻楼层。 5.2.5 设备间子系统 设备间子系统也称设备子系统。设备间是集中安装大型通信设备、主配线架和进出线设备并进行综合布线系统管理维护的场所，它由电缆、连接器和相关支撑硬件组成。它把各种公共系统设备的多种不同设备互连起来，其中包括邮电部门的光缆、同轴电缆、程控交换机等，设计时注意要点为： （1）设备间要有足够的空间保障设备的存放。 （2）设备间要有良好的工作环境（温度湿度）。 （3）设备间的建设标准应按机房建设标准设计。 在实际实施时，设备间通常和主配线间合并在一起。 5.2.6 建筑群子系统 楼宇（建筑群）子系统是将一个建筑物中的电缆延伸到另一个建筑物的通信设备和装置，通常是由光缆和相应设备组成，建筑群子系统是综合布线系统的一部分，它支持楼宇之间通信所需的硬件，其中包括导线电缆、光缆以及防止电缆上的脉冲电压进入建筑物的电气保护装置。设计时要全面考虑整个布线系统和周围的环境，确定楼宇间传输介质和路由，并使线路长度符合有关网络标准的规定。 根据建筑物到网络中心的距离，当距离超过550m时，为了保证千兆传输速率应选用单模光纤；当距离小于550m时，可选用多模光纤。根据园区内实际地理情况，光纤的铺设有以下3种方式 （1）地下管道方式：需要在地下敷设管道，优点是安全性好，不影响建筑美观；缺点是初期工程造价高。 （2）直埋方式：要挖沟敷设电缆，优点是投资小，不影响建筑美观；缺点是扩展或更换电缆会破坏道路，而且不太安全。 （3）架空方式：需要使用许多电线杆，优点是工程造价最低，缺点是安全性最差，影响建筑物美观。 应根据现场的环境来决定。设计要点与垂直干线子系统相同。 六． 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 随着电脑的发展病毒也在网络中普遍存在，基于病毒有传染性、隐蔽性、潜伏性、破坏性、针对性、衍生性、寄生性和未知性导致对电脑之间造成很大的威胁。 6.1防病毒 针对病毒的特性我们要做到全方位，多层次的预防，如网关防毒，群件服务器，应用服务器防毒和客户端防毒，以至斩断病毒的传染途径，实现病毒的全面防范。 1）.网关防毒用来作为第一道防线，用来全面消除外来病毒的威胁，使之不能进如网络，并对内部网络资源和系统资源造成消耗。 2）.没有管理的防毒系统是无效的防毒系统，要保证防毒系统的及时更新，同时要使管理员无论要在任何地方和时间都能同过浏览器对防病毒系统的管理，并能使整个防毒系统有效，及时的拦截病毒。 3）.服务是防毒中重要的一环，防毒系统建立后能不能对病毒进行有效的防范，与病毒厂商能否提供及时、全面的服务极为重要的关系，要以厂商的全球防毒体系为基础，同时要求厂商有足够的技术人员作为基础，能进行快速的分析和提供可行的解决方案。 6.2 防木马 1.建立良好的安全习惯，不打开可疑邮件和可疑网站； 2、很多病毒利用漏洞传播，一定要及时给系统打补丁； 3、安装专业的防毒软件升级到最新版本，并打开实时监控程序； 4、为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播。 5、打开防护中心开启全部防护，防止病毒通过IE漏洞等侵入计算机 6.3 防黑客 6.3.1 禁止IPC空连接 　　cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到 Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成”1”即可。 　　 6.3.2 禁止at命令 　　cracker往往给你个木马然后让它运行，这时他就需要at命令了。打开管理工具-服务，禁用task scheduler服务即可。 　　 　 6.3.3关闭SSDP Discover Service服务 　　这个服务主要用于启动家庭网络设备上的UPnP设备，服务同时会启动5000端口。可能造成DDOS攻击，让CPU使用达到100%，从而使计算机崩溃。照理说没人会对个人机器费力去做DDOS，但这个使用过程中也非常的占用带宽，它会不断的向外界发送数据包，影响网络传输速率，所以还是关了好。 　　 　　 6.3.4 禁用TCP/IP上的NetBIOS 　　网上邻居-属性-本地连接-属性-Internet协议（TCP/IP）属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。 　　 6.3.5 关闭DCOM服务 　　这就是135端口了，除了被用做查询服务外，它还可能引起直接的攻击，关闭方法是：在运行里输入dcomcnfg，在弹出的组件服务窗口里选择默认属性标签，取消“在此计算机上启用分布式COM”即可。 6.3.6 把共享文件的权限从”everyone”组改成“授权用户” 　　“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默认的属性就是”everyone”组的，一定不要忘了改。 　 七 网络测试及维护 7.1测试方式：施工完成后，要对系统进行两种测试 线缆测试。采用专用的电缆测试仪对电缆的各项技术指标进行测试，包括连通性、串扰、回路电阻、信噪比等。 联机测试。选取若干个工作站，进行实际的联网测试。并提供测试报告。 7.2测试指标 对于双绞线，采用CAT 5-LAN测试仪对下列指标进行测试： 连通性、接线图、回路电阻（>10dB）、衰减(>23.2dB)、阻抗(100+/-5欧)、近程串扰（>24dB）、 直流电阻(<40欧)、传输延时(<0.1us) 对于光缆，测试数据包括下列指标： 信号衰减(<2.6dB 500m,波长 1300nm /<3.9dB 500m,波长 850nm) 7.3络系统的初步验收 对于网络设备，测试成功的标准为：能够从网络中任一机器和设备（具有PING和Telnet能力）Ping及Telnet 通网络中的其它网络中的任何一台机器和设备。由于网内设备较多，不可能一对一对的测试，故可采用如下方式进行： 对每一个子网中随机选取两台机器或设备，进行上述测试。 对每一对子网测试连通性，即从两 个子网中任选一台机器进行上述测试。 测试中，Ping 测试每次发送数据包不应少于300个，Telnet连通即可。Ping 测试的成功率在局域网内应达到100%。 测试所得具体数据填入《初步验收报告》以便今后网络维护。 7.4网络系统的试运行 从初验结束时刻起，整体网络系统进入为期三个月的试运行阶段。整体网络系统在试运行期间不断地连续运行时间不少于两个月。试运行期间要完成以下任务： 监视系统运行 网络的基本应用测试 可靠性测试 下电-重启测试 冗余模块测试 安全性测试 系统最忙时访问能力测试 网络负载能力测试 网络系统的最终验收 各种系统在运行满三个月后，由企业对系统设计单位所承做的网络系统进行最终验收。验收过程如下： 检查试运行期间的所有运行报告及各种测试数据。确定各项测试工作是否已做充分，所有遗留问题是否全部解决。 验收测试。按照测试标准对整个网络进行抽样测试，测试结果填入“最终验收测试报告”。 签署《最终验收报告》该报告后附《最终验收测试报告》。 向用户移交所有技术文档，包括所有设备的详细配置参数、各种用户手册。 交接和维护 网络系统交接 终验结束后开始交执接过程。交接是一个逐步使用户熟悉系统，进而能够掌握、管理和维护系统的过程。交接包括技术资料交接和系统交接，系统交接一直延续到系统维护阶段。技术资料交接包括在实施过程中所产生的全部文件和记录，到少提交如下资料： 总体设计文档、工程实施设计、系统配置文档、各个测试报告、系统维护手册、系统操作手册和系统管理协议书。 7.5 网络系统维护 在技术资料交接后，进入维护阶段。系统的维护工作贯穿系统的整个生命期。用户方的系统管理人员应逐步不独立管理网络运行的能力。在无偿为用户检修期间，管理员若发现有任何问题，应详细填写相应的故障报告，并交相关承建单位的技术人员处理。在无偿维护期之后，企业可以自行修改网络系统和自行处理网络故障。为对系统的工程实施有严格的质量保证，建议填写详写系统运行记录和修改记录，以便我们分析。 7.6 工程报价格及设备清单 价格一览表 产品型号 产品描述 数量 价格 Cisco Catalyst 3750 核心层交换机 2台 18500/台 接入层 WS-C2950G-24-EI 接入层交换机 35台 5000/台 powerEdge Sc440(Q421201) 主服务器(web,email) 1台 65000/台 IBM System x3200(4363I05) FTP,database,DNS,telnet 4台 5000/台 RSW-1000 防毒墙 1台 188000/台 RSW-3000 防毒墙 1台 288000/台 RSW-9000 防毒墙 2台 500000/台 CISCO 7206VXR 路由器 4台 32000/台 防火墙(瑞星RFW-SME) 防火墙 2台 2000/台 RNM-100 网络监测 2台 150000/台 RIDS-100 入侵检测系统 1 100000/台 总计： 2287000 7.7 资金总投入 1、综合布线（工程费及工人工资）：约100000元 2、网络通设备（线）：约100000元 3、系统软件和应用软件：约20000元 6、工程费用总费用：约2507000元 致谢 在此首先感谢我的指导教师肖伟老师的严格要求和细心指导，同时也感谢所有专业老师，在这次毕业设计中，因为有了他们所传授知识的积累和铺垫，所以我能够顺利地完成这次毕业设计任务。同时也感谢所有在此领域默默奉献的人们。最后再次致谢所有帮助过我的人们，谢谢！ 参考文献 （1） 张恒杰，将高飞.计算机网络工程.大连理工大学出版社，2008 （2） 张城，尹少华.网络安全基础.北京大学出版社，2007 （3） 雷震甲.网络工程师教程（第2版）.清华大学出版社，2006 （4） 谭武梁，曾鸿，毛志雄.IT项目管理.中国铁道出版社，2007 （5） 兰少华，扬余旺.TCP/IP网络与协议.清华大学出版社，2006 （6） 张国鸣.网络管理员教程.清华大学出版社，2004 � EMBED PBrush ��� � EMBED PBrush ��� PAGE 26