中小型企业园区网设计

目录

1.概述 ........................................................................... 3 2.网络总体设计 ................................................................... 4 2.1 需求分析 .................................................................... 2.1.1企业背景 ................................................................ 2.1.2初步分析 ................................................................ 2.1.3企业网布点需求 .......................................................... 2.1.4详细需求分析 ............................................................ 2.2 网络总体目标 ................................................................ 2.3 系统设计原则 ................................................................ 3. 逻辑网络设计 ................................................................. 10 3.1 总体设计原则 ................................................................ 3.2整体方案设计策略 ............................................................ 3.3综合布线系统 ................................................................ 3.3.1综合布线系统的设计思想 .................................................. 3.3.2骨干光缆工程 ............................................................ 3.3.3楼宇内布线系统 .......................................................... 3.3.4企业网布线系统 .......................................................... 3.4应用子系统划分 .............................................................. 3.4.1网络办公自动化 .......................................................... 3.4.2视频会议系统 ............................................................ 3.5 IP地址规划与管理 ............................................................ 3.5.1 IP地址概述 ............................................................. 3.5.2 IP地址设计与划分 ....................................................... 3.6虚拟网规划 .................................................................. 3.6.1 VLAN设计的目标 ......................................................... 3.6.1 VLAN成员定义 ........................................................... 3.6.1 VLAN总体设计 ........................................................... 3.7网络结构设计 ................................................................

3.7.1 网络拓扑结构 ............................................................ 3.7.2 核心层设计 .............................................................. 3.7.3 汇聚层设计 .............................................................. 3.7.4 接入层设计 .............................................................. 3.7.5系统扩展和技术升级 ...................................................... 4.网络安全设计 .................................................................... 4.1 系统管理 .................................................................... 4.1.1安全机制 ................................................................ 4.1.2流量监控 ................................................................ 4.2 系统维护 .................................................................... 5.本次系统设计人员责任矩阵 ........................................................

1.概述

科学技术的发展日新月异，九十年代，在计算机技术和通信技术结合下，网络技术得到了飞速的发展。如今，不仅计算机已经和网络紧密结合，整个社会都不可能脱离网络而存在。网络技术已经成为现代信息技术的主流，人们对网络的认识也随着网络应用的逐渐普及而迅速改变。在不久的将来，网络必将成为和电话一样通用的工具，成为人们生活、工作、学习中必不可少的一部分。

Internet，即国际互联网，是现在网络应用的主流，从它最初在美国诞生至今已经经历了三十多年。这个以TCP/IP协议为主体的国际互联网络已经成为覆盖全世界一百五十多个国家和地区的大型数据通信网络。

Internet是一个资源的网络，其中拥有的信息资源几乎覆盖所有的领域。Internet面向人类的社会，世界上数以亿计的人们利用它进行通信和信息共享，通过发送和接收电子邮件，或和其他人的计算机建立连接、参加各种讨论组并免费使用各种信息资源实现信息共享。

Internet也是一个服务的网络。在Internet上，许多单位、公司和组织提供了各种各样的服务。比如WWW（World Wide Web全球信息网）服务、信息查询服务等。

将来的网络在Internet基础上进一步发展，其功能、速度、适用范围等必将全面超过现有的Internet。

本方案是针对xx企业网络建设的具体需求，结合该公司未来的发展需要，所作的中小型企业园区具体设计方案。根据企业的具体需要，我们将采用快速以太网解决方案,此方案考虑到了用户性能需求以及未来扩展的需求，并通过ATM和宽带多媒体网相连接，以此实现视频会议系统。

根据系统建设目标及应用系统的特点，考察当前计算机与网络的最新技术，目前国内新建设的网络系统大都采用新型的三层Client/Server的模式作为其主要的体系结构。经过多次成功的实践，我们认为这种模式的的开放性、灵活性以及安全性能够满足目前各系统的网络建设需要。 该方案主要基于一种高性能网络的设计思路，主要特点在于：

 以交换技术为核心，构造一个既能覆盖本地又能与外界进行网络互

通、共享信息的计算机网络主干网;

 选用技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用结构容错的方法;

 完全符合开放性规范，将业界优秀的产品集成于该综合网络平台之中；

具有较好的可扩展性，为今后的网络扩容作好准备。

2.网络总体设计

2.1 需求分析

2.1.1 企业背景

xx集团总部公司有 1000 台 PC；公司共有多个部门，不同部门的相互访问要有，公司有自己的内部网页与外部网站；公司有自己的 OA 系统；公司中的台机能上互联网；核心技术采用VPN；集团包括六家子公司，包括集团总部在内共有2000多名员工；集团网内部覆盖7栋建筑物，分别是集团总部和子公司的办公和生产经营场所，每栋建筑高7层，都具有一样的内部物理结构。一层设有本建筑的机房，少量的信息点，供未来可能的需求使用，目前并不使用(不包括集团总部所在的楼)。二层和三层，每层楼布有96个信息点。四层到七层，每层楼布有48个信息点，共3024个信息点。。每层楼有一个设备间。楼内综合布线的垂直子系统采用多模光纤，每层楼到一层机房有两条12芯室内多模光纤。每栋建筑和集团总部之间通过两条12芯的室外单模光纤连接。要求将除一层以外的全部信息点接入网络，但目前不用的信息点关闭。

集团园区网计划使用私有的A类IP地址。集团园区网的IP地址分配原则如下：集团使用IPv4地址方案。集团使用私有IP地址空间：10.0.0.0/8。集团使用VLSM(变长子网掩码)技术分配IP地址空间。集团IP地址分配满足集团的利用。 集团IP地址分配满足便于路由汇聚集团IP地址分配满足分类控制等。集团IP地址分配满足未来公司网络扩容的需要。

2.1.2 网络设计需求

1) xx集团拥有一个总部和六家子公司，集团总部公司有 1000 台 PC； 2) 包括集团总部在内共有2000多名员工；

3) 总公司和子公司包括多个部门，不同部门的相互访问要有，包括如下八

个部门：

 行政管理部：公司的决策机构；

 人力资源部：公司人事、培训、劳资、考勤、保险、职称等；  财务部：费用收支、预决算、工商税务等；  技术研究部：对公司产品进行研发和创新；

 生产开发部：公司生产技术管理、技术革新、设备维护检修费用、质量

监察监督

 计划营销部：市场营销、经营、客户服务等

 网络监管部：安全生产监督；对整个网络系统进行管理  后勤服务部：保卫部、后勤部 4) 公司有自己的内部网页与外部网站； 5) 公司有自己的 OA 系统； 6) 公司中的台机能上互联网； 7) 核心技术采用VPN；

8) 集团网内部覆盖7栋建筑物，分别是集团总部和子公司的办公和生产经营场

所，每栋建筑高7层，每层4米，都具有一样的内部物理结构。

9) 信息点：一层设有本建筑的机房，少量的信息点，供未来可能的需求使用，

目前并不使用(不包括集团总部所在的楼)。二层和三层，每层楼布有96个信息点。四层到七层，每层楼布有48个信息点，共3024个信息点。

2.1.3 企业网布点需求

整个企业园区有七栋办公楼共3024的信息点，包括总部和六个子公司，每栋楼七层，每层的信息点数量如下表2.1所示。

表2.1企业息点分布

楼层 第一层 信息点数 少量 主要应用 本建筑的机房，供未来需求 第二层 第三层 第四层 第五层 第六层 第七层 96 96 48 48 48 48 正常办公使用

2.1.4 详细需求分析

需求分析的依据：

1）从企业对信息的需求来看  信息就是金钱时代  单机应用到多机互联的应用  手工管理方式及手段急需改变 2）从企业的管理角度来看

 领导更全面的掌握企业的运作信息 3）从企业的业务角度来看  内部及外部间沟通更加顺畅  无纸化、自动化办法时代  提高工作效率、降低运营成本

1）网络拓扑结构需求

 通信要求：满足业务和办公系统的数据通信，采用适当网络通信技术加快网络逻辑的收敛速度和业务数据流的通信速度。

 稳定性要求：尽量避免网络系统中的单点故障，不会因某个设备的损坏而导致整个网络瘫痪，采用冗余策略确保网络的可靠性和可用性。  网络管理要求：在带宽许可下要能够管理到广域网的所有设备，例如：分布式管理。 2）网络功能需求

 共享公司的各种信息资料，发布公司内部刊物的电子版。

 实时传递行业、市场变化信息；转载、摘编国际国内重大新闻信息。  动态查询产品的生产、销售、库存等实时数据和客户、员工的档案信息。  提供销售、生产、会计、统计等报表供相关人员查阅、分析。

 发布电脑方面的文章以提高员工的计算机知识；发布相关业务培训内容。  以FTP方式提供大量应用软件和实用工具，供内部员工下载使用。  通过代理服务器使公司的计算机均能以低廉费用接入Internet。  开通部门间、员工间的E-mail服务和论坛增强Intranet的娱乐性。 3）网络管理需求

 网络管理的目的在于提供一种对计算机网络进行规划设计、操作运行、管理、监视、分析、控制、评估和扩展等手段。

 以合理的代价组织和利用系统资源，提供正常、安全、可靠、有效、充分、用户界面友好的服务。 网络管理系统应满足一下要求：

 网络管理系统应具有同时支持网络监视和控制两方面的能力。前者掌握当前系统运行状况，后者采取措施调整网络的运行。

 尽可能大的管理范围。不仅能管理点到点的网络通信，还应能管理端到端的网络通信；不仅能管理基本网络设备，还应该能管理应用层的功能。  尽可能小的系统开销。管理范围的扩大和协议层的增加是以增大系统开销为代价的，因此要根据实际情况对此三者进行权衡和统一。

 容纳不同的网络管理系统。提供网络兼容性，形成全网统一的管理和运行机制。 4）系统安全需求

 企业拥有多个部门和不同的业务子系统，对于重要的机密文件，比如财务系统，不能因为办公网络的故障（误操作、病毒、非法入侵等）造成数据的篡改和丢失。

 需要建立虚拟网，对子系统间进行有效隔离，同时保证各子系统之间的通行的灵活、高效而又受到控制。

2.2 网络总体目标

 建立一个基于企业internet的信息管理和应用的网络系统，并提供相应的各种服务。

 建立网络服务器系统，包括E-mail服务器、WWW服务器、FTP服务器、 代

理服务器、DNS服务器、网管服务器、网络安全监控服务器。  设备数量：3100台左右计算机，访问Internet资源。

 可扩展性：采用开放式、标准化的系统结构，以利于功能扩充和技术升

级。

 访问：能够与外界进行广域网的连接，共享网络上各种软、硬件资

源，快速、稳定地传输各种信息，并提供有效的网络信息管理手段；提供、享用各种信息服务，并能实现信息的发布和交流。  员工访问：出差及在家员工实现无差异化的远程办公。  无线覆盖：会议室、会客厅、大厅等实现wi-fi无线上网。

 安全性能：具有完善的网络安全机制和流量控制机制，保证企业内部服

务器群可以集中管理企业内部信息安全，确保网络安全性和可靠性。  集成原有局域网络和应用系统，实现快速信息互访。

 投资保护：满足现在及将来进行语音、视频、图像等各种服务的应用。  信息分流：共有8个部门：行政管理部、财务部、计划销售部、开发部、技术研究部、人力资源部、后勤服务部、网络监管部。

2.3 网络设计原则

 先进性与现实性。立足于先进技术的同时，尽量从经济实用的角度加以考虑，充 分 满 足 当 前 及 将 来 一 段 时 间 各 种 服 务 的 需 求。  系统和软件的可靠性。网络系统选用可靠的网络设备，考虑主干网络、物理层、链路层、网络层的冗余和备份，采用容错技术，避免了单点故障，尽可能少地中断系统服务。

 高性能。为了适应业务迅速增长的需要，不仅要考虑网络带宽，还应确

保核心交换机无阻塞地工作，满足企业网大容量数据吞吐的需要。  易于管理和维护。在通信网络方面，系统以控制台方式对整个网络系统的设备、安全性、数据流量、性能等数据进行监控和管理，可进行远程管理和故障诊断，简化网络管理的复杂性。

 支持多媒体技术。当今网络对语音、视频、图像服务的要求越来越高，需要采用IP QoS、IP Multicast等技术保证多媒体服务的质量。  规范性：采用的技术标准要遵循国际标准和国家标准，保证系统发展的延续和可靠性。

 系统安全性和保密性。采用安全技术实现从底层到应用层的整体安全，使系统达到端到端的安全，保证各系统间的安全访问。

 易扩充性。为了适应计算机技术的发展，我们必须注重扩充性，无论是硬件还是系统软件，都可以方便的扩充和升级，为将来的扩充留有余地。

2.3 整体方案设计celue

为了实现以上网络设计原则，使xx企业园区网络具有良好的 扩展性能力和灵活的便于管理，易于维护，在网络设计上采用了如下策略。

 因特网接入和园区网分离。

将因特网接入部分和园区网主体部分分离，每部分完成其自身的功能，可以减少两者之间的相互影响。因特网接入的变化，只影响接入的变化，对园区网络没有影响；而园区网络的变化对因特网接入部分影响较小。.这样可以增强网络的扩展能力。保持网络层次结构清晰，便于管理和维护。

 降低各个子公司之间的网络关联度。

将各个子公司之间的网络的关联度降低到最低的策略，可以最大限度的减少各个子公司网络之间的相互影响，便于分别管理，或者在不同子公司扩展网络的新应用。  统一标准，统一网络

统一的IP应用标准（IP地址，路由协议），安全标准， 接入标准和网络管理平台，才能实现真正的统一管理，便于集团的管理和网络策略的实施。

3.逻辑网络设计

3.1 总体设计原则

 系统开发需充分考虑本企业的功能、性能需求以及业务能力，采用网络

工程项目管理策略，严格计划和控制整个系统的设计、开发过程。  系统开发基于Client/Server体系结构，又兼顾Internet/Intranet,使

本系统成为一个跨平台的开放式应用系统。

 企业网建设过程中应充分体现和贯彻网络建设、信息资源建设、队伍建

设并重的指导思想。

 企业网建设中既要坚持高标准采用成熟技术，又要讲究实效、兼顾现实。

网络建设必须整体规划，分步实施，滚动发展。

 企业网的总体规划设计与实施中，应充分体现企业自身特色与特长，利

用网络优势为企业的自动化办公和快捷的信息交流服务。

 企业网建设应遵循边建设、边使用、边培训的原则，应及时为公司各部

门提供基础培训和使用指导。

 企业网建设应重视数据的保护：充分利用现存的计算机软件和硬件资源，

采用合适的网络管理和安全策略，确保信息和数据的安全。

 在网络系统开发过程中要与用户保持密切联系，开发过程中通过不断演

示和积极的讨论与用户进行交流，让用户参与各个开发阶段的检查和评审。

 运用工程的思想与生命周期方法相结合进行系统的开发，积极倡导“高

内聚、低耦合”的模块化思想，使系统具有强大可扩充能力。

3.2设计思想

为了达到设计目标，在进行方案设计时，充分考虑到网络系统的科学性、先进性、可扩展性、实用性和经济性，网络系统应代表当今先进水平，并保证在若干年后不会被淘汰，以合理的投资建立一个能够真正发挥作用的网络系统。

基于上述因素考虑，网络建设思想如下：

 基本构架采用国际上目前流行的INTRANET网络技术，以TCP/IP为基本

传输协议；

 主干网采用155M ATM技术（将来可升级为622M甚至更高），以便满足以

后对多媒体技术的要求；

 分支网络采用Fast Ethernet和10M 以太网技术以满足普通应用需求；  采用先进的虚拟网络技术，将网络按功能模块划分成不同子网，增强网

络的安全性；

 融合WEB技术，PROXY技术等INTERNET综合应用；  采用FIREWALL防火墙技术提高网络安全性，可靠性；

 企业网需与Internet相连，使各部门都可以享用国际互联网上庞大的信

息；

 为了满足各部门成员在家中办公的需要，采用远程拨号把办公人员家中

的计算机和企业网通过公共电话网连接，以达到“随地”办公的目的。

3.3综合布线系统

3.3.1综合布线系统的设计思想

 传输介质类型的完备性：具有传输语音、数据、图像、视频信号等多种类型信息的

能力。

 介质传输速率的高效性：具有满足千兆以太网和百兆以太网的数据吞吐能力，并考

虑冗余设计。

 系统的性和开放性：能够满足不同厂商设备的接入要求，能够提供一个开放的

兼容性强的系统环境能力。

 系统的灵活性和可扩展性：系统采用模块化设计，各系统间只提供简单接口，便于

实现系统扩展和应用变更。

 系统的可靠性和经济性：结构化的整体设计保证系统在一定的投资规模下具有较高

的利用率和重用效果，也保证了系统的稳定性。

3.3.2布线系统总体结构设计

总体1栋建筑，从总部机房用十二芯单模光纤与另外六座建筑的设备间|BD|相连，每个设备间也设用十二芯多模光纤与每层的电信间|FD|，并用五类非屏蔽双绞线从电信间与工作站相连接，集团园区网采用10M的光纤以太网接入到因特网服务提供商的网络，然后接

入到因特网中，使集团实现与外界的信息交换和网络通信。集团统一由总部机房的一个出口访问Internet，集团能够控制网络的安全。在服务器和核心交换机间：使用UTP电缆来将服务器连接到核心交换机。

园区建筑布局如图：

分公司A分公司B篮球场分公司C集团总部分公司F喷泉分公司D分公司E 园区覆盖7座建筑，包括一个集团总部和六个分公司，分公司A距离总部700m，分公司B距离总部500m，分公司C距离总部300m,分公司D距离总部700m，分公司E距离总部800m，分公司F距离总部400m。

6个分公司分别用12芯单模光纤采用地埋式与集团总部连接。

整个企业园区共3024个信息点，七座楼的物理结构都相同，每座都有7层，信息点分布情况如下：

楼层 第一层 第二层 第三层 第四层 第五层 第六层 第七层 信息点数 少量 96 96 48 48 48 48 3.3.3楼宇内布线系统

企业园区楼宇设计必须基于建筑物内已有的或者可能设置的布线结构进行设计，同时要考虑每个楼宇内信息资源中心的设置，局域网之间的数据通信类型和可能通信量，局域网之间需要设置的安全访问控制策略，确定网络互连模式和结构。楼宇内设计采用路由互连技术、ATM交换互连网技术和虚拟局域网组网技术。

楼宇网络设计需要考虑如下问题：

 楼宇内部如果没有干扰，而且传输距离在100米之内，一般采用双绞线作为网络的传输媒体。如果楼宇内部有电磁干扰，可以采用光纤作为传输媒体。如果楼宇内部的传输距离大于100米，可以采用互连设备的级联，也可以采用光纤作为传输媒体。

 在采用同一局域网技术的工作组网络互连时，如果可以共享带宽，而且无安全控制需要，只是由于工作组网络覆盖的距离不够，则可以采用级联集线器的方式扩展网络。

 在采用同一种局域网技术的工作组网络互连时，如果各个工作组需要的传输带宽，则通过局域网交换机连接。

 采用不同局域网技术的工作组网络互连时，如果互连的工作组网络较少，各个工作组之间无需提供安全访问控制，而且，各个工作组网络之间需要提供快速连接，则采用支持多种局域网接口的交换机。

 采用不同的局域网技术的工作组网络互连时，如果互连的工作组网络数量较多，各个工作组网络内部有较大的广播报文，或工作组网络之间需要有较为严格的安全访问控制，且在工作组之间没有多媒体应用，则采用路由器互连各个工作组网络。

 如果工作组站点的地理分布，与其它工作组网络站点地理分布重复，则需要在同一地理区域采用同一局域网交换机连接不同工作组网络站点，通过交换机构成符合工作组划分的虚拟网络。

 对于具有多媒体应用的点到点站点网络服务质量保证的传输信道，采用ATM技术，到桌面采用25M ATM连接。

 服务器设备接入：采用光纤155M ATM接入或光纤100M以太网接入。重点终端用户采用光纤接入核心交换机，实现安全传输。

3.3.4综合布线系统方案设计

结构化综合布线系统采用星型网络拓扑结构。1楼为主机房（MDF），2楼和7楼分别设有1个配线间（IDF）。1、2、3楼水平布线至2楼的配线间；4、5、6、7楼水平布线7楼的配线间。主机房和配线间均设在靠近大楼弱电井的房间内。 综合布线系统部分结构如下图所示：

综合布线系统可分为6个子系统，即工作区子系统、水平布线子系统、配线间管理子系统、垂直干线子系统、设备间子系统、建筑群子系统。

1）工作区子系统

工作区子系统由各个单元区域构成，是计算机、电话和信息插座的连接部分，包括连接跳线和信息插座。信息插座面板具备：通用、超薄、简易、防尘等特点；信息插座的模块采用类RJ-45模块；线缆采用超五类双绞线；水晶头采用RJ-45标准水晶头。为降低成本和结合客户终端的位置多变的特点，跳线可采用原装跳线与自制跳线相结合的方式，中心机房内设备之间、楼宇机柜内设备之间、服务器、重点客户终端的跳线采用原装成品跳线，其余采用自制跳线。跳线制作统一采用EIA/TIA 568B标准，以使系统具有更好的兼容性

2）水平布线子系统

水平子系统主要是实现信息插座和管理子系统，即中间配线架（IDF）间的连接。水平子系统为星形拓扑。在水平子系统中采用超五类非屏蔽双绞线。双绞线水平布线链路中，水平双绞线的最大长度均不超过90m。为了网络系统的稳定性和扩展性超五类非屏蔽双绞线。

3）管理区子系统

管理子系统由线缆连接硬件和线缆管理硬件组成，充分体现综合布线的灵活性、开放性和扩展性。每个配线间由19＂工业标准机柜、24口6类非屏蔽RJ45配线架、110型语音配线架和24口光纤配线架组成。各设备采用模块化结构，配置数量由所管理的信息点的数量来确定。对于所有信息点，均采用跳线管理。任何信息点的变更均可通过跳线变更轻松完成。

4）垂直干线子系统

垂直干线子系统是数据传输的“大动脉”，是综合布线系统的关键部分。它由主机房内的主配线架至各配线间内配线架之间的室内12芯多模光纤和三类大对数语音骨干电缆组成。一端端接于中心机房的主配线架上，另一端端接于分配线间的分配线架上，采用12芯多模光纤，传输速率可达1Gbps以上，可为高速数据传输提供高品质的数据传输通道。

垂直主干电缆布放时两端均预留2m，以便安装跳线盘。光缆布放过程中，最大拉力小于50 N，转弯半径大于30mm，垂直主干电缆牢固绑扎在金属桥架上，绑扎间距小于1m。

5）设备间子系统

设备间子系统由布线系统的建筑物进线设备，电话、数据、计算机等各种主机设备及其保安配线设备等组成。在本方案设计中，大楼内结构化布线的设备间子系统设在6楼主机房。

设备间子系统采用19＂工业标准机柜，用于安装配线架、理线架及Hub、Switch等网络设备。设备间内的设备种类繁多，而且线缆布设复杂。为了管理好各种设备及线缆，设备间内的设备按内网、、语音分类分区安装，设备间内所有进出线装置或设备采用不同色标，以区别各类用途的配线区，方便线路的维护和管理。

6）建筑群子系统

建筑群子系统是将一栋建筑物内的电缆延伸到建筑群中的另外一些建筑物内的通信设备和装置上，采用光缆布线是目前主要的建筑间布线方式。建筑间的主干光缆采用12芯单模光纤。

3.4应用子系统设计

3.4.1网络办公自动化

过去的办公体系，往往会因为人为因素或意外，造成许多重要文档的遗失或破损，为企业的管理造成不可估量的损失。企业园区网建成以后，可以实现无纸化办公，减少系统开销，方便信息的交流，提高企业办公效率。

下面是基于网络的办公自动化系统的功能简介： Email电子邮件系统：

当今世界一种最方便、最快捷、最廉价的通讯方式，用Email来进行国际和国内商业交流和信息交互是一种方便、实用的途径。通过建立电子邮件系统为内部用户建立电子信箱，实行E-mail的收发。这样，既方便数据和文档的编辑和修改，又使得文档的保存轻而易举，对于重要的资料只需在脱机存储器上进行备份，便可永久保存。

企业内部上下级之间通过电子邮件进行交流，即方便又能够较大程度上保证数据访问的权限，便于企业内部的管理。 WWW系统：

World Wide Web是目前世界范围内信息量最大的网络信息系统，可以将企业概况、企业产品信息向世界各地发布，同时也可以从世界范围内的WWW网中了解和获取商业的即时信息，从而保证企业了解所在行业的新动向。可以建立企业内部和外部网站，及时公布各种通知，缩短企业管理层和各部门之间的距离，便于上下级之间进行交流。

FTP服务:

FTP即文件传输协议（File Transfer Protocol），也是Internet 上最为重要且使用极为广泛的服务之一。此协议允许一台计算机通过网络访问另一台计算机，并且在两台计算机之间来回传输文件。

网络结构上总体分为内外两大部分，外部网络对外提供信息，内部网络则进行管理和开发，两网之间用防火墙分隔。外部网络的安全性主要依靠“虚拟专用网”的功能和路由器上的访问控制表来保障，而外部对内部网络的访问则需要通过地址映射，身份查询等一系列安全检查机制才能进行，访问策略的制定是灵

活的可根据具体情况随机配置。内部网络可再分子网，依据功能、性质划分，各子网间的访问也将受到严格控制。

在应用系统配置上面，尽可能涵盖目前Internet网上的多数应用，使信息交互，发布，共享做到通畅便捷。对于主要的数据库应用系统采用高档UNIX服务器平台，而对于小型应用系统则采用Windows NT平台，同时数据库采用分布式的原则，避免负载沉重和单点故障问题。

对于实时多媒体应用，远程视频会议本着控制的原则，对所有有条件

的用户开放，但做为运作中心一定要有监视和控制的手段，避免网络的拥塞和信息流的非必要的重复性传输。

3.4.1视频会议系统

Internet及WWW应用的迅猛发展，极大的改变着我们的生活方式。信息通过网络，以不可逆转之势，迅速打破了地域和时间的界限，为更多的人共享。而快速、高效的传播和利用信息资源正是二十一世纪的基本特征。

远程视频会议的重要作用：

 打破时间、空间、地域的，可随时随地接听来自远方的会议信息。  它集语音、图像、数据于一体进行交互式交流。

 视频会议，迅速便捷，效果明显，是未来企业办公的发展方向之一。

 利用远程系统可以实现企业间的沟通与交流，便于企业管理理念的共享。

3.5 IP地址规划和管理

3.5.1 IP地址划分思想

企业园区网计划使用私有的A类IP地址。企业园区网的IP地址分配原则如下：企业使用IPv4地址方案。企业使用私有IP地址空间：10.0.0.0/8。企业使用VLSM(变长子网掩码)技术分配IP地址空间。企业为IP地址分配满足集团的利用。 企业IP地址分配满足便于路由汇聚。企业IP地址分配满足分类控制等。企业IP地址分配满足未来公司网络扩容的需要。

1）IP地址概述

网络通信需要每个参与通信的实体都具有相应的地址。地址一般符合某种编码规则，并用一个字符串来标识一个地址。不同的网络具有不同的地址编制方案，在Internet中，每个与网络相连的主机接口都需要有一个唯一的地址，该地址必须符合IP地址编码规则。

网络地址规划是指根据IP编制特点，为所设计的网络设备分配合适的IP地址，使之能够连网工作。

IP地址是32位的二进制数值，用于在TCP/IP通讯协议中标记每台计算机的地址。通常我们使用点式十进制来表示，如192.168.1.6等。也就是说IP地址有两种表示形式：二进制和点式十进制，一个32位IP地址的二进制是由4个8位域组成。即11000000 10101000 00000001 00000110 （192.168.1.6）。

每个IP地址又可分为两部分。即网络号部分和主机号部分：网络号表示其所属的网络段编号，主机号则表示该网段中该主机的地址编号。

在工程项目中，IP 地址规划与设计是项目中非常重要的一个环节，专业合理的IP地址设计方案对于整个项目的顺利实施、竣工、后期使用维护具有非常重要的意义。

2）IP地址分类

按照网络规模的大小，IP地址可以分为A、B、C、D、E五类，其中A、B、C类是三种主要的类型地址，D类专供多目传送用的多目地址，E类用于扩展备用地址。

A类IP地址

一个A类IP地址由1字节的网络地址和3字节主机地址组成，网络地址的最高位必须是“0”， 地址范围从1.0.0.0 到126.0.0.0。可用的A类网络有126个，每个网络能容纳1亿多个主机。 需要注意的是网络号不能为127，这是因为该网络号被保留用作回路及诊断功能。

B类IP地址

一个B类IP地址由2个字节的网络地址和2个字节的主机地址组成，网络地址的最高位必须是“10”，地址范围从128.0.0.0到191.255.255.255。可用的B类网络有16382个，每个网络能容纳6万多个主机。

C类IP地址

一个C类IP地址由3字节的网络地址和1字节的主机地址组成，网络地址的最高位必须是“110”。范围从192.0.0.0到223.255.255.255。C类网络可达209万余个，每个网络能容纳254个主机。

D类地址用于多点广播（Multicast）

D类IP地址第一个字节以“lll0”开始，它是一个专门保留的地址。它并不指向特定的网络，目前这一类地址被用在多点广播（Multicast）中。多点广播地址用来一次寻址一

组计算机，它标识共享同一协议的一组计算机。

E类IP地址

以“llll0”开始，为将来使用保留， 全零（“0.0.0.0”）地址对应于当前主机；全“1”的IP地址（“255.255.255.255”）是当前子网的广播地址。

IANA（Internet Assigned Numbers Authority）将A、B、C类地址的一部分保留下来，作为专用（私有）IP地址空间，专门用于各类专有网络（如企业网、校园网、行政网）的使用。这次的设计该企业所选用的就是私有IP地址。

3.5.2 IP地址规划

如果我们根据网络中计算机的数量来决定需采用的IP地址，这个方案肯定是行不通的。因为这样做会受到将来网络状况变化的，假如不久后企业决定又要购进一批计算机，整个网络就可能因为选取的IP地址不合适而导致重新设计。

其实网络的划分并不是很复杂，只要考虑到在可预见的将来的网络情况就可以了，同时要注重它的通用性及其稳定性。

为了使该企业网高效、稳定的运行，便于管理与维护，对局域网交换和路由技术的相关方面进行了规范设计，包括VTP、VLAN、STP、TRUNK、ETHERCHANNEL，HSRP，VPN等。作为二层的核心，只保证数据的高速转发。网络的可靠性由汇聚层的路由协议提供保证。 1．IP地址分配原则及方案

原则：可扩展、可汇总、易管理、易标识

在设计现有的IP地址时，充分考虑以后网络设备增多、用户增多、网络规模扩容等因素，为以后的网络发展预留了足够的IP 地址空间，值得一提的是，预留的IP 地址空间与目前正在使用的IP 地址空间应该是存在关联的，比如目前使用的IP 地址空间是192.168.1.0-192.168.5.0，预留的IP 地址空间为192.168.6.0-192.168.15.0，这样现有的IP 地址空间与预留的IP 地址空间就能汇总为一条192.168.0.0/20 的路由，这样的地址设计是具有良好的扩展性的

基于可以汇总原则，以模块为依据划分区域，在每个模块边缘，应该得到一个极为精简的前缀，从而使得网络可以较好地进行扩展。

易于管理，每一个模块应该有一个明确的IP地址段，能够使用该地址段进行网络管理。

易于标识， IP地址应该具备一定特征，以便于很好的识别出来。

根据以上原则，初步划分出32位各个位的作用。 IPv4的地址结构，各个位的使用规划如表： 0---7 企业标识 8--11 子公司标识 12--15 预留 16-18 类别标识 19—31 用户空间地址

其中各个部分的取值如表： 位 0--7 8--11 取值 00001010 0000 0001 0010 0011 0100 0101 0110 0111 12-15 16--18 0000 000 001 010 011 111 100-110 19--31 任意 含义 某某企业 保留 总部 子公司1 子公司2 子公司3 子公司4 子公司5 子公司6 缺省 保留 网管类 互联类 应用类 因特网类 保留 备注 私有地址 主楼的用户标识 子公司1的用户标识 子公司2的用户标识 子公司3的用户标识 子公司4的用户标识 子公司5的用户标识 子公司6的用户标识 交换机设备地址，路由器环回地址，网管工作站地址 交换机，路由器等设备之间互相连接用 集团OA类用 集团的因特网连接，因特网应用。 用户地址 1000-1111 保留 0000-1111 保留 说明：该企业共有七个公司，八个部门。在这里先取四位用于公司标识，其中八个子网用于以后的扩展公司，0000保留。接着后面的12-15保留，便于扩展标识。16-18用于公司的各个分类使用，其中也保留了子网用于扩展。

其中，16—18取值011的时候，即对应的是应用类，19—21是对企业部门的划分，因此对19—23位的使用进行以下的定义。

如图： 0---7 8--11 12--15 16-18 18--21 22—31 用户地址空间 集团标识

IP地址分配表：

子公司标识 预留 应用类 VLAN标识 根据以上的规定，具体的地址分配表如下图： 机构 企 业 总 部 地址空间 10.0.0.0/8 10.16.0.0/13 10.16..0/17 10.16.128.0/17 10.16.192.0/17 10.17.0.0/17 10.16.196.0 /21 10.16.200.0/21 10.16.204.0/21 10.16.208.0/21 10.16.212.0/21 10.16.216.0/21 10.16.220.0/21 10.16.224.0/21 子公司1 10.32.0.0/13 10.32..0/17 10.32.128.0/17 10.32.192.0/17 10.33.0.0/17 10.32.196.0/21 10.32.200.0/21 10.32.204.0/21 10.32.208.0/21 10.32.212.021 10.32.216.0/21 10.32.220.0/21 10.32.224.0/21 子公司2 10.48.0.0/13 用途 企业全部地址空间 总部全部地址空间 总部网管类全部地址 总部互联类全部地址 总部应用类全部地址 总部因特网全部地址 总部应用类网络监管工作人员地址空间 总部应用类财务部工作人员地址空间 总部应用类行政部工作人员地址空间 总部应用类研发部工作人员地址空间 总部应用类后勤部工作人员地址空间 总部应用类人力资源部工作人员地址空间 总部应用类计划营销部工作人员地址空间 总部应用层生产部工作人员地址空间 子公司1全部地址空间 子公司1网管类全部地址空间 子公司1互联类全部地址空间 子公司1应用类全部地址空间 子公司1因特网全部地址 子公司1的应用类网络监管工作人员全部地址空间 子公司1的应用类财务部工作人员全部地址空间 子公司1的应用类行政部工作人员全部地址空间 子公司1的应用类研发部工作人员全部地址空间 子公司1的应用类后勤部工作人员全部地址空间 子公司1的应用类人力资源部工作人员全部地址空间 子公司1的应用类计划营销部工作人员全部地址空间 子公司1的应用类生产部工作人员全部地址空间 子公司2全部地址空间 10.48..0/17 10.48.128.0/17 10.48.192.0/17 10.49.0.0/17 10.48.196.0/21 10.48..200.0/21 10.48.204.0/21 10.48.208.0/21 10.48.212.0/21 10.48.216.0/21 10.48.220.0/21 10.48.224.0/21 子公司2网管类全部地址空间 子公司2互联类全部地址空间 子公司2应用类全部地址空间 子公司2因特网全部地址 子公司1的应用类网络监管工作人员全部地址空间 子公司2的应用类财务部工作人员全部地址空间 子公司2的应用类行政部工作人员全部地址空间 子公司2的应用类研发部工作人员全部地址空间 子公司2的应用类后勤部工作人员全部地址空间 子公司2的应用类人力资源部工作人员全部地址空间 子公司2的应用类计划营销部工作人员全部地址空间 子公司2的应用类生产部工作人员全部地址空间 子公司3全部地址空间 子公司3网管类全部地址空间 子公司3互联类全部地址空间 子公司3应用类全部地址空间 子公司3因特网全部地址 子公司3的应用类网络监管工作人员全部地址空间 子公司3的应用类财务部工作人员全部地址空间 子公司3的应用类行政部工作人员全部地址空间 子公司3的应用类研发部工作人员全部地址空间 子公司3的应用类后勤部工作人员全部地址空间 子公司3的应用类人力资源部工作人员全部地址空间 子公司3的应用类计划营销部工作人员全部地址空间 子公司3的应用类生产部工作人员全部地址空间 子公司4全部地址空间 子公司4网管类全部地址空间 子公司4互联类全部地址空间 子公司4应用类全部地址空间 子公司4因特网全部地址 子公司4的应用类网络监管工作人员全部地址空间 子公司4的应用类财务部工作人员全部地址空间 子公司4的应用类行政部工作人员全部地址空间 子公司4的应用类研发部工作人员全部地址空间 子公司4的应用类后勤部工作人员全部地址空间 子公司4的应用类人力资源部工作人员全部地址空间 子公司4的应用类计划营销部工作人员全部地址空间 子公司3 10..0.0/13 10...0/17 10..128.0/17 10..192.0/17 10.65.0.0/17 10..196.0/21 10..200.0/21 10..204.0/21 10..208.0/21 10..212.0/21 10..216.0/21 10..220.0/21 10..224.0/21 子公司4 10.80.0.0/13 10.80..0/17 10.80.128.0/17 10.80.192.0/17 10.81.0.0/17 10.80.196.0/21 10.80.200.0/21 10.80.204.0/21 10.80.208.0/21 10.80.212.0/21 10.80.216.0/21 10.80.220.0/21 10.80.224.0/21 子公司5 10.96.0.0/13 10.96..0/17 10.96.128.0/17 10.96.192.0/17 10.97.0.0/17 10.96.196.0/21 10.96.200.0/21 10.96.204.0/21 10.96.208.0/21 10.96.212.0/21 10.96.216.0/21 10.96.220.0/21 10.96.224.0/21 子公司6 10.112.0.0/13 10.112..0/17 10.112.128.0/17 10.112.192.0/17 10.113.0.0/17 10.112.196.0/21 10.112.200.0./21 10.112.204.0./21 10.112.208.0./21 10.112.212.0./21 10.112.216.0./21 10.112.220.0./21 10.112.224.0/21

子公司4的应用类生产部工作人员全部地址空间 子公司5全部地址空间 子公司5网管类全部地址空间 子公司5互联类全部地址空间 子公司5应用类全部地址空间 子公司因特网全部地址 子公司5的应用类网络监管工作人员全部地址空间 子公司5的应用类财务部工作人员全部地址空间 子公司5的应用类行政部工作人员全部地址空间 子公司5的应用类研发部工作人员全部地址空间 子公司5的应用类后勤部工作人员全部地址空间 子公司5的应用类人力资源部工作人员全部地址空间 子公司5的应用类计划营销部工作人员全部地址空间 子公司5的应用类生产部工作人员全部地址空间 子公司6全部地址空间 子公司6网管类全部地址空间 子公司6互联类全部地址空间 子公司6应用类全部地址空间 子公司因特网全部地址 子公司6的应用类网络监管工作人员全部地址空间 子公司6的应用类财务部工作人员全部地址空间 子公司6的应用类行政部工作人员全部地址空间 子公司6的应用类研发部工作人员全部地址空间 子公司6的应用类后勤部工作人员全部地址空间 子公司6的应用类人力资源部工作人员全部地址空间 子公司6的应用类计划营销部工作人员全部地址空间 子公司6的应用类生产部工作人员全部地址空间 其中，在项目实施的时候，接入层交换机的IP地址建议使用网管类地址空间10.*.34.0/24，多层交换机的IP地址的LOOPBACK接口的IP地址建议使用网管类地址10.*.35.*/32；所有汇聚层设备互联IP地址使建议使用互联类空间10.16.65.0/27和10.16.65.32/27，相互备份的2台汇聚层设备的IP地址建议使用互联类地址空间10.*.65.248/29。

3.6 虚拟网规划

3.6.1 VLAN设计的目标

虚拟网的设计主要是满足企业园区主干网各部门灵活的进行网络逻辑结构的更改和配置。

虚拟网的作用主要有以下几点：

 VLAN具有隔离功能，广播信息只能在VLAN内传播

 划分不同的广播域，减少共享带宽的单元，从而有效地控制广播域。  划分不同的逻辑网段来实现虚拟工作组，不同部门之间的相互访

问，以此达到对网络安全的管理。

 将不同地理区域上属于同一部门的结点划分到同一虚拟网段上，便于

单位内部网络的建设和管理。

 VLAN减少由于网络站点的增加、移动和更改而增加的网络维护成本。  业务部门工作组的逻辑组合更为灵活，为网络的设计和管理提供方

便。

3.6.2 VLAN成员定义

VLAN成员定义的具体实现 按地址类型划分：

1） 基于端口的VLAN

 在这种VLAN的划分中，与“群组”这个概念有关。

 群组是指局域网交换机的一个集合。  每个交换机支持的群组数目有一定的。

 在网络规划时，必须考虑业务部门逻辑工作组的数量，并选择相应的

交换机型号，使得交换机的VLAN数量和处理性能满足业务应用需要。

 一个群组可以包括全网中不同交换机的端口，每个群组可以看作是一

个的通信域。

 如果不使用路由功能，则一个群组中的通信量不能转发到另一个群组

中，群组的特征如

2） 基于MAC地址划分的VLAN

这种VLAN划分方法灵活，但管理复杂

3） 基于第三层协议规则的VLAN

 IP地址的配置比较方便，可实现基于服务的配置。  对网络地址的检查比对MAC地址的检查开销大。

 根据IP地址，把具有相同第三层协议的网络站点归并成一个VLAN

这些站点连接的交换机端口构成一个广播域，以减少在同一网络环境下不同协议栈之间的相互干扰。

4） 基于网络地址的VLAN

 用IP地址和IP网络掩码划分网段。

 使用D类IP地址的组播（multicast）功能，所有接收到该信息的站

点只要回答确认信息即可成为该虚拟网成员。

5） 基于用户定义规则的VLAN

按分配方式划分

1）静态分配

 由管理人员直接设置虚拟网，一般按端口来分配；

 这种划分最大的缺点是如果某个工作站有移动(如移入另一个虚拟

网)， 则必须由管理人员重新人工配置，而交换机无法自动识别。 2）动态分配

 借助管理软件根据它们的MAC，IP地址等自动确定它们的从属；  当一台机器刚连入网络时，交换机端口还未分配， 交换机通过读取

该机的地址来动态地 将端口划入某个虚拟网；

 当主机移入另一个端口时，交换机能按地址动态地，自动地将其划

入相应的虚拟网。

 当端口出现未事先定义地址的机器时，能报警。 3）多虚拟器端口分配

使一个用户或者某端口可以同时访问多个虚拟网， 这样可以将一台网络服务器配置成可被多个业务部门(即虚拟网)同时访问, 也可以使它能同时访问多个虚拟网的资源， 还可以使多个虚拟网间的连接只由一个路由

端口即可完成。

不管哪种方式划分，同一个PC机可居于不同的VLAN。

3.6.2 企业网VLAN设计

对xx集团内的局域网进行VLAN划分,可以减少网络内的广播数据包,提高网络运行效率;可以区分不同的应用和用户,方便集团的管理与维护；通过VLAN 实现隔离和本地流量的功能：把工作内容相近的PC机、经常共享数据的信息点划分在同一个 VLAN 中可以提高网络效率；设定相应地访问权限可以增强网络安全。

基于以上设计思想以及VLAN的成员定义方式，xx企业采用基于端口的VLAN划分方法：每栋建筑物内的局域网根据部门划分成8个VLAN，用途如表3.6.2

VLAN划分用途表

VLAN VLAN1 VLAN2 VLAN3 VLAN4 VLAN5 VLAN6 VLAN7 VLAN8 用途 OA系统应用的行政管理部 OA系统应用的生产开发部 OA系统应用的人力资源部 OA系统应用的财务部 OA系统应用的技术研发部 OA系统应用的后勤服务部 OA系统应用的网络管理部 OA系统应用的计划销售部 3.7网络结构设计

3.7.1 网络拓扑结构

网络拓扑图是整个网络设计的关键部分，通过需求分析得到企业的具体信息，根据网络拓扑结构的要求最终得到拓扑图。

该企业有七个公司：一个总公司，六个子公司。每个公司一栋楼，每栋楼七层，八个部门分布在七个楼层中，根据信息点的分布，现得出部门分布情况：一层是机房，网络监管部门，负责对整个网络进行管理，对网速的要求和安全性要求较高，因此直接与核心层相连；二层和三层信息点多，分别为人力部和研发部，这两个部门连接到一个交换机，便于管理和汇聚；其余部门在四到七层，连接到一个交换机，也是为了便于管理和汇聚。

该网络为三层结构：核心层、汇聚层、接入层，网络拓扑图是根据这三层结构来规划的。 由于是中小型企业，我选择最快的为1000M网速，其次是100M、10/100M，这样的网速

已经足够了。

综上所诉，网络拓扑图如下：

1000M100M10/100M链路„„DDN总公司网络中心核心层汇聚层网管机房人力部其他部门研发部行政部财务部营销部接入层

3.7.2核心层设计

1）核心层作用

核心交换机位于网络中心，是整个局域网的灵魂。它对整个网络的性能、可靠性起决定性作用。它连接各个物理子网；负责高速地对端到端设备进行数据包交换；控制VLAN间访问；保证信息安全。

2）核心层网络技术

主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择适合集团园区网网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来向更新技术平滑过渡，保护用户的投资。

为主干网连接着服务器和楼层交换机，可局部采用千兆以太网。千兆以太网可提供 1Gbps的通信带宽，具有以太网简易性，比其它类似速率的通信技术价格低廉。千兆以太网还能在当前以太网基础上平滑过渡，这意味着现有的投资可以在合理的初始开销上延续到千兆以太网，不需要对技术支持人员和用户做重新培训，无需另外配置协议、购买中间部件，具有一定的前瞻性。

根据主干网的设计要求，我们选用千兆以太网技术作为主干网的设计策略。 目前流行的局域网、城域网技术主要包括以太网、快速以太网、ATM（异步传输模式）、FDDI、CDDI、千兆以太网等。在这些技术中，千兆以太网以其在局域网领域中支持高带宽、多传输介质、多种服务、保证QoS等特点正逐渐占据主流位置。

千兆位以太网技术（Gigabit Ethernet）

1）千兆位以太网技术以简单的以太网技术为基础，为网络主干提供1Gbps

的带宽。千兆位以太网技术以自然的方法来升级现有的以太网络、工作站、管理工具和管理人员的技能。

2）千兆以太网是相当成功的10Mbps以太网和100Mbps快速以太网连接标准的扩展。

3）千兆以太网通过载波扩展（Carrier Extension）、采用带中继、交换功能的网络设备以及多种激光器和光纤将连接距离扩展到从500米至3000米。 4）千兆位以太网能够提供更高的带宽，并且成为有强大伸缩性的以太网家族的第三个成员。

5）千兆位以太网的设计非常灵活，几乎对网络结构没有，可以是交换式、共享式的或基于路由器的。

6）千兆位以太网使用的传输介质有光纤、5类非屏蔽双绞线(UTP)或同轴电缆。

7）千兆位以太网的管理与以前使用和了解的以太网相同，使用千兆以太网，

主干和各网段及桌面已实现了无缝结合，网络管理变得容易了。 千兆以太网技术的优点：

技术简单，例如保留以太网的帧格式、管理工具和对网络概念上的认识.便于升级，从现有的传统以太网和快速以太网可以平滑地过渡到千兆以太网，并不需要掌握新的配置、管理与排除故障技术；网络投资可以得到保护，无需对用户进行再培训，也无需为额外的网络协议进行投资；千兆以太网有良好的互操作性，并具有向后兼容性;端口价格相对较低；可以提供10倍于快速以太网的传输速度。

网络技术选型结论

综上所述，在选择集团园区网网络技术时应该考虑如下：

1）长远来看如何保护现有投资。保护现有投资的有效途径就是在将来网络技术升级时还能使用现有的网络技术和产品。从目前的趋势来看，采用千兆以太网技术是最适宜的。

2）性能价格比。以太网，快速以太网，千兆以太网和ATM网三者性能状况由低到高，但是价格也是由低到高的。在建设xx集团园区网网络时要充分考虑到办公的资金有效使用，选择适用的网络技术是关键，因此选择华为网络产品实现是最佳选择。

3） 售后服务：xx集团园区网网络的使用，应该对售后服务问题加以重视。 在集团园区网网络建设中，在主干以及接入层的交换设备选择上，我们采用思科支持千兆以太网技术的交换机，从而使整个系统达到最优配置。

3）核心层交换机选择

 所选中心交换机首先要具有三层交换功能，能提供 VLAN 间的数据传输。  其次要具有足够数量高速网络接口，提供高速交换带宽和包转发速率。  具有多种信息管理和控制能力和QoS 功能。

由于xx企业园区网发展规模较大，需提供多媒体办公、办公自动化、远程互联、视频会议等复杂的网络应用，为便于管理，我们建议选用的交换机作为网络组建交换设备。选用1台Cisco6509交换机作为主干交换机实现1000M做主干100M到桌面的需求。

Cisco6509系列交换机支持堆叠技术，将来扩充端口极为灵活方便，不必改变原有网络的任何配置。通过增加堆叠交换机数量或做Port Trunking(端口干路)两种办法均可扩充网络规模；并且实现了本地化交换，改善了整个网络，使整个网络的性能发生了质的变化。选用千兆光纤模块，与主干上联，实现主干的千兆传输。Cisco6509系列交换机支持网管和堆叠，可以很容易地根据需要，通过堆叠扩充端口数量。另外，Cisco6509系列交换机建立在一个功能强大且绝对无阻塞的32G交换背板上，可以保证堆叠中的所有端口间实现无阻塞的线速交换。

此外，Cisco6509交换机，在安装千兆光纤模块的同时，还可以安装百兆光纤模块，完全可以适应现在或将来的楼内光纤布线，灵活性很强。

Cisco6509的 扩 展 性、 灵 活 性 和 功 能 性较强，借 助 各 种 功 能 模 块 能 有 效 的 满 足 新 企 业 内 部 网 的 所 有 需 求。

3.7.3汇聚层设计

考虑到集团要求每个子公司的网络自成体系，单个子公司的局域网广播数据流不能扩展到全网，单个子公司的网络故障不应该扩展到全网，汇聚层交换机也应该采用具有路由功能的多层交换机，以达到网络隔离和分段的目的。子公司的主交换机负责子公司内部的网络数据交换。

汇聚层设备选择CISCO公司的Catalyst3550系列的交换机，每个子公司的主交换机选择WS-C3550-48-EMI交换机。Catalyst3550交换机智能以太网交换机是一个新型的可堆叠的，多层次级交换机系列，可以提高水平的可用性，可扩展性，服务质量（QoS）,安全性和可改进网络运营的管理能力，从而提高网络的运行效率。

Catalyst 3550系列包括一系列快速以太网和千兆位以太网配置，可以用全套千兆位接口转换器（GBIC）设备提供强大的千兆位以太网连接；并将CISCO IOS软件中的一套第2-4层功能——IP路由、QoS、限速、访问控制列表（ACL）和多播服务扩展到边缘，堪称一款适用于企业和城域应用的强大选择。用户第一

次可以在整个网络中部署智能化的服务，例如先进的服务质量、速度、CISCO安全访问控制列表、多播管理和高性能的IP路由，并与引同时保持了传统LAN交换的简便性。通过高性能的IP路由实现了网络的可扩展性，利用基于硬件的IP路由和增强型 多层软件镜像，Catalyst 3550系列交换机可以在所有端口上提供高达17Mpps的线速路由；基于CISCO快速转发（CEF）的路由架构有助于提高可扩展性和性能，该体系结构扶持极高速的搜索功能，并可确保必要的稳定性和可扩展性，以满足未来的需求。凭借内置CISCO集群管理套件，Catalyst 3550 系列交换机可简化网络的部署。

WS-C3550-48-EMI交换机，有48个10/100和2个基于GBIC的1000BaseX端口，通过使用多层软件镜像（EMI），可以提供路由和多层交换功能，满足三层交换需求。可以满足服务器群的高密度，高速率的接入需要，也可以满足因特网接入的需求。

3.7.4接入层设计

1) 接入层作用

接入层交换机为楼层工作组级交换机，为每个用户提供100Mbps以太接入端口，负责将用户数据馈入网络。它直接完成本地数据交换，将其它网段数据送到核心层。通过 VLAN 的合理划分，方便用户在网络中移动，保证部门信息安全。

2) 接入层网络设备选型

在当今现有的高速局域网技术中，由于快速以太网（100BASE-T）性能优良、价格低廉、升级和维护方便，通常都将它作为首选。快速以太网在过去广泛接的10BASE-T以太网基础之上，提供向100Mbps的平滑、连续性的网络升级。

3)交换机的连接

工作站少的部门只需一台二层交换机，下联用户端，上联核心交换机，信息点分布密集的部门采用多台交换机堆叠或者级联，连接介质可以是光纤、双绞线。

4)交换机的选择

接入层交换机放置于楼层的设备间，用于终端用户的接入。应该能够提供

高密度的接入，对环境的适应能力强，运行稳定。

楼层接入设备选择CISCO公司的WS-C2950-48-EI智能以太网交换机。 WS-C2950-48-EI交换机属于Catalyst2950系列智能交换机。Catalyst2950系列是固定的配置，可堆叠的设备系列，提供了线速快速以太网和千兆位以

太网连接。Catalyst2950系列是有款最廉价的CISCO交换机产品系列，为中型网络和城域接入应用边缘提供了智能服务，可以为局域网提供极佳的性能和功能。这些的。10/100自适应交换机能够提供增强的服务质量（QoS）和组播管理特性，所有的这些都由易用，基于WEB的CISCO集群管理套件（CMS），和集成CISCOIOS软件来进行管理。带有100BASE上行链路的Catalyst2950交换机，可为中等规模的公司和企业分支机构 办公室提供理想的解决方案，以使他们能够拥有更高性能的千兆以太网主干。

WS-C2950-48-E交换机，有48个10/100端口，2个基于千兆接口转换器（GBIC）的1000BaseX端口，能够为用户提供千兆的光纤骨干和高密度度的接入端口；具有高达13.6Gbps的背板带宽，能够提供10.1Mpps的转发速率；增强型的IOS，能够支持250个VLAN，提供安全，QoS，管理等各方面的智能交换服务。

3.7.5服务器系列选型

1) 服务器系统的作用

服务器群的主要功能是为客户端提供各种网络服务，包括：资源共享、Web服务、文件传输、邮件服务、代理服务、聊天服务、流媒体服务、身份验证服务。

2）服务器的连接

服务器的连接位置可以很灵活，整个网络用户都公用的服务器直接连到核心交换机上，连接介质可以采用光纤或双绞线。各个部门单独使用的服务器可以连到部门交换机上，提供该部门的特定网络服务。 3）服务器软件的选择

1）网 络 管理中 心 作 为 企业园区 网 的 基 本 信 息 平 台 ，提 供 WWW、MAIL、DNS 等 服 务，通 过 INTERNET 出 口 向 全 球发布 信 息， 各 服 务 器 均 采 用 开 放 式 体 系 结 构，可 方 便 升 级 、扩 容。

2）数 据 服 务 器 采 用 1000M 网 卡 与 核 心 交 换 机 连 接 ， 其 余 服 务 器 均 通 过 100M 与 核 心 交 换 机 连 接 。

Windows产品其优点是：Windows Server 2003集成多种功能且对硬件要求不高，总体成本较低。工作站普遍使用Windows操作系统，服务器与客户端兼容性更好。Windows服务器系统提供图形化界面，减少配置和维护的工作量。

基于以上企业对服务器的要求以及服务器所应具有的功能，我们选择Windows系列的服务器。

WEB服务器

微软Windows Server 2003中的IIS 6.0为用户提供了集成的、可靠的、可扩展的、安全的及可管理的内联网、外联网和互联网Web服务器解决方案。IIS 6.0经过改善的结构可以完全满足全球客户的需求。 优点

IIS 6.0 和 Windows Server 2003在网络应用服务器的管理、可用性、可靠性、安全性、性能与可扩展性方面提供了许多新的功能。IIS 6.0同样增强了网络应用的开发与国际性支持。IIS 6.0和 Windows Server 2003提供了最可靠的、高效的、连接的、完整的网络服务器解决方案。 Web服务器更高的可靠性和可用性

IIS 6.0已经经过了广泛的重新设计，以提高Web服务器的可靠性和可用性。新的容错进程架构和其它功能特性可以帮助用户减少不必要的停机时间，并提高应用程序的可用性。 更加轻松的服务器管理

借助IIS 6.0，Web基础结构的管理工作变得比以往更加轻松和灵活，从而为企业节约IT管理成本带来了新的机遇。

更快捷的应用程序开发

通过提供一组全面完善的集成化应用程序服务和领先于业界的工具，Windows Server 2003应用程序环境大大改善了开发人员的工作效率和生产力。 更高的安全性

IIS 6.0远比IIS 4x 或 IIS 5x安全，它拥有很多新的功能特性，能够大大提高您的Web基础结构的安全性。此外，在默认状况下，IIS 6.0即处于“锁定”状态，同时具有最为可靠的超时设置和内容。

web应用服务器集群系统，是由一群同时运行同一个web应用的服务器组成的集群系统，在外界看来，就像是一个服务器一样。为了均衡集群服务器的负载，达到优化系统性能的目的，集群服务器将众多的访问请求，分散到系统中的不同节点进行处理。从而实现了更高的有效性和稳定性，而这也正是基于Web的企业

应用所必须具备的特性。

FTP服务器角色：配置文件服务器

文件服务器提供网络上的中心位置，可供您存储文件并通过网络与用户共享文件。当用户需要重要文件（比如项目计划）时，他们可以访问文件服务器上的文件，而不必在各自的计算机之间传送文件。如果您的网络用户需要对相同文件和可通过网络访问的应用程序的访问权限，就要将该计算机配置为文件服务器。

3.7.3 外连设计

为了从国际互联网获得大量的信息资源，使xx企业与国内外的广泛交流更快捷、更方便，同时又能直接将自己介绍给世界，本企业的外连设计考虑到以下要求：

3.6路由交换部分的设计

为了使旭日集团园区网高效、稳定的运行，便于管理与维护，对局域网交换和路由技术的相关方面进行了规范设计，包括VTP、VLAN、STP、TRUNK、ETHERCHANNEL，HSRP，VPN等。每一台都连接所有的汇聚层交换机，但相互之间并不连接（提高网络的故障收敛速度）。作为二层的核心，只保证数据的高速转发。网络的可靠性由汇聚层的路由协议提供保证。

VPN技术

Cisco6509系列以太网路由交换机支持VPN,VPN（虚拟专网）是利用公共网络资源(如公用电信网)为客户组建专用网的一种技术，它通过对网络数据进行封包和加密传输，在公网上传输私有数据，达到私有网络的安全级别，从而利用公网构

筑专网（即VPN）。它是一种逻辑上的专用网络，向用户提供专用网络所具有的功能，但本身却不是一个的物理网络。

3.7.5 系统扩展和技术升级

1）扩展性设计思想

根据业主的信息点需求情况，在网络的整体设计中充分考虑到网络的扩展性，主要从如下两个层次考虑：

1)整个网络结构的扩展性。整个网络主干采用星型拓扑结构，可以很容易地扩展主干节点。二级以下的节点也采用星型拓扑结构，可以很灵活地接入微机和工作站。

2)网络设备的扩展性。首先在网络主干允许的情况下，可以增加楼层Hub来扩展网络信息点。然后，可以增加二级节点交换机以增加交换的端口。最后，可以增加网络中心交换机加强模块升级到1000M带宽 主要体现在网络技术和通信设施的发展上：

 网络的分支采用了100M快速以太网技术，随着发展，可以向千兆位以太

网或者ATM网络转换。对于千兆位以太网，只要购买新的设备即可；对于ATM网络，可以使用局域网仿真技术实现平滑升级。这两种技术都保护现有的投资，使现有的网络不受影响。

 在需要的时候，可采用622M或2G的ATM技术，实现整个网络向更高速

率的升级。

2）核心层升级方案

 购买新功能模块，实现新的网络功能；  添加接口模块数量，实现用户和信息点的扩充；  改用光纤，提高主干带宽；

 提高主干带宽、实现主干线路互备份；

 增加一台三层交换机，采用多链路千兆以太网连接，消除单点故障。

3.7.6项目费用预算

3.7.6.设备费用

设备名称 品牌 标配 参数 数量 单价（元） 服务器 HP Proliant Intel Xeon 1600MHz最大内存容量6GB内存ECC DDR2 SDRAM 磁带机 StorageWorks DAT DAT160, DAT72, DDS-4技160(Q1581A) 术存储容量80 GB，压缩后存储容量160 GB 交换机 SF 102-24(SR224GT) 传输速率：50 1200 60000 8 7000 56000 10 10000 100000 合计（元） 10/100/1000Mbp 内存：32M WS-C2960-24TT-L 传输速率：10 3500 35000 10/100/1000Mbps内存：M WS-C3560G-24TS-S 传输速率：10/100/1000Mbps 内存：128M 防火墙 华为3Com Eudemon500 千兆级 防火墙 并发连接数 无网络吞吐量500Mpps 入侵检测DoS、IDS 机柜 TOPER Server TPS61042 2000x600x1000mm2米 42U 黑色 配线架 光纤盒 康普 康普 100对配线架 机柜式光纤收发器 100 6 100 850 10000 5100 9 5000 45000 1 30000 30000 2 14000 28000 5类线 总计

康普 —— 200米/箱 —— 2000 —— 100 —— 200000 569100 7.2项目费用

项目 线路类别 光纤接入 布线施工

合计611100RMB

初装 工 程设 备 （楼外） （楼内） 调 测 小 计 基本流量费 (元/ 年 ) 5000 10000 5000 1000 1000 7000 15000 2万 一次性费用（元） 专线使用费（元）

4.网络安全设计

1.1.网络安全设计原则

网络设计应该遵循开放性和标准化原则、可用性原则、高性能原则 、经济性原则 、可靠性原则、安全第一原则、适度的可扩展性原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS保证

· 实用性和经济性

系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设企业的网络系统。

· 先进性和成熟性

系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内企业网络仍占领先地位。

.可靠性和稳定性

在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间，TP-LINK网络作为国内知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。

· 安全性和保密性

在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，TP-LINK网络充分考虑安全性，针对小型企业的各种应用，有多种的保护机制，如划分VLAN、MAC地址绑定、802.1x、802.1d等。

· 可扩展性和易维护性

为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低了人力资源的费用，提高网络的易用性。

1.2.网络安全设计功能分析

影响网络安全的因素很多，保护网络安全的技术、手段也很多。一般来说，保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术，等等。为了保护网络系统的安全，必须结合网络的具体需求，将多种安全措施进行整合，建立一个完整的、立体的、多层次的网络安全防御体系，这样一个全面的网络安全解决方案，可以防止安全风险的各个方面的问题。 2、网络安全设计拓扑图 2.1 拓扑结构

2.2、网络拓扑图的规划

网络拓扑图是整个网络设计的关键部分，通过需求分析得到企业的具体信息，根据网络拓扑结构的要求最终得到拓扑图。

该网络为三层结构：核心层、汇聚层、接入层，网络拓扑图是根据这三层结构来规划的。 根据需要分为内网和两部分，分别实行不同的分级安全应对方案 安全设计： 采用：

防火墙系统:采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行保护。

入侵检测系统:采用入侵检测设备，作为防火墙的功能互补，提供对监控网段的攻击的实时报警和积极响应。

病毒防护系统:强化病毒防护系统的应用策略和管理策略，增强病毒防护有效性。 垃圾邮件过滤系统:过滤邮件，阻止垃圾邮件及病毒邮件的入侵。 并形成如下的网络安全体系模型

图为 网络与信息安全防范体系模型

内网安全设计：

访问控制，通过密码、口令（不定期修改、定期保存密码与口令）等禁止非授权用户对服务器的访问，以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。 对内部采用：

网络管理软件系统:使网管人员对网络中的实时数据流量情况能够清晰了解。掌握整个网络使用流量的平均标准，定位网络流量的基线，及时发现网络是否出现异常流量并控制带宽。

3.设计方案实施

3.1桌面安全系统

用户的重要信息都是以文件的形式存储在磁盘上，使用户可以方便地存取、修改、分发。这样可以提高办公的效率，但同时也造成用户的信息易受到攻击，造成泄密。特别是对于移动办公的情况更是如此。因此，需要对移动用户的文件及文件夹进行本地安全管理，防止文件泄密等安全隐患。

3.2病毒防护系统

基于单位目前网络的现状，在网络中添加服务器，用于安装IMSS。

（1)邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中，可防止病毒入侵到LotueNotes的数据库及电子邮件，实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作，并提供实时监控病毒流量的活动记录报告。ScanMail是Notes Domino Server使用率最高的防病毒软件。

（2)服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念，防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响，另一方面使所有服务器的防毒系统可以从单点进行部署，管理和更新。

（3)客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统，使管理者通过单点控制所有客户机上的防毒模块，并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式，不受Windows域管理模式的约束，除支持SMS，登录域脚本，共享安装以外，还支持纯Web的部署方式。

（4)集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件，支持跨域和跨网段的管理，并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置，TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发代理部署，网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报，给管理带来极大的便利。

3.3 vlanID身份认证系统

采用vlanID技术，可以标识每个合法用户，并且可以方便的记录管理用户的行为习惯，在网络管理中枢可以快捷的进行访问控制。

3.4访问控制“防火墙”

单位安全网由多个具有不同安全信任度的网络部分构成，在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷，从而构成了对网络安全的重要隐患。本设计方案选用四台网御防火墙，分别配置在高性能服务器和三个重要部门的局域网出入口，实现这些重要部门的访问控制。

通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙，通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段，彼此隔离。这样不仅保护了单位网络服务器，使其不受来自内部的攻击，也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。如果有人闯进您的一个部门，或者如果病毒开始蔓延，网段能够造成的损坏进一步扩大。

3.5信息加密、信息完整性校验

为有效解决办公区之间信息的传输安全，可以在多个子网之间建立起的安全通道，通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。

SJW-22网络密码机系统组成

网络密码机（硬件）:是一个基于专用内核，具有自主版权的高级通信保护控制系统。

本地管理器（软件）:是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。

中心管理器（软件）:是一个安装于中心管理平台（Windows系统）上的对全网的密码机设备进行统一管理的系统软件。

3.6安全审计系统

根据以上多层次安全防范的策略，安全网的安全建设可采取“加密”、“外防”、“内审”相结合的方法，“内审”是对系统内部进行监视、审查，识别系统是否正在受到攻击以及内部机密信息是否泄密，以解决内层安全。

安全审计系统能帮助用户对安全网的安全进行实时监控，及时发现整个网络上的动态，发现网络入侵和违规行为，忠实记录网络上发生的一切，提供取证手段。作为网络安全十分重要的一种手段，安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。

在安全网中使用的安全审计系统应实现如下功能：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。

安全审计系统是针对目前网络发展现状及存在的安全问题，面向企事业的网络管理人员而设计的一套网络安全产品，是一个分布在整个安全网范围内的网络安全监视监测、控制系统。

（1）安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上，其监视目标主机的人机界面操作、监控RAS连接、监控网络连接情况及共享资源的使用情况。安全监控中心是管理平台和监控平台，网络管理员通过安全监控中心为主机传感器设定监控规则，同时获得监控结果、报警信息以及日志的审计。主要功能有文件保护审计和主机信息审计。

①文件保护审计：文件保护安装在审计中心，可有效的对被审计主机端的文件进行管理规则设置，包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。

②主机信息审计:对网络内公共资源中，所有主机进行审计，可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。

（2)资源监控系统主要有四类功能。

①监视屏幕:在用户指定的时间段内，系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。

②监视键盘:在用户指定的时间段内，截获Host Sensor Program用户的所有键盘输入，用户实时控制键盘截获的开始和结束。

③监测监控RAS连接：在用户指定的时间段内，记录所有的RAS连接信息。用户实时控制ass连接信息截获的开始和结束。当gas连接非法时，系统将自动进行报警或挂断连接的操作。

④监测监控网络连接：在用户指定的时间段内，记录所有的网络连接信息(包括:TCP， UDP，NetBios）。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表，当出现非法连接时，系统将自动进行报警或挂断连接的操作。

单位内网中安全审计系统采集的数据来源于安全计算机，所以应在安全计算机安装主机传感器，保证探头能够采集进出网络的所有数据。安全监控中心安装在信息中心的一台主机上，负责为主机传感器设定监控规则，同时获得监控结果、报警信息以及日志的审计。单位内网中的安全计算机为600台，需要安装600个传感器。

3.7入侵检测系统IDS

入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全的立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国际入侵检测产品市场的蓬勃发展就可以看出。

根据网络流量和保护数据的重要程度，选择IDS探测器（百兆）配置在内部关键子网的交换机处放置，核心交换机放置控制台，监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。

在单位安全内网中，入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间，通过实时截取网络上的是数据流，分析网络通讯会话轨迹，寻找网络攻击模式和其他网络违规活动。

3.8漏洞扫描系统

本内网网络的安全性决定了整个系统的安全性。在内网高性能服务器处配置一台网络隐患扫描I型联动型产品。I型联动型产品适用于该内网这样的高端用户，I型联动型产品由手持式扫描仪和机架型扫描服务器结合一体，网管人员就可以很方便的实现了集中管理的功能。网络人员使用I型联动型产品，就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描，可以实现和IDS、防火墙联动，尤其适合于制定全网统一的安全策略。同时移动式扫描仪可以跨越网段、穿透防火墙，实现分布式扫描，服务器和扫描仪都支持定时和多IP地址的自动扫描，网管人员可以很轻松的就可以进行整个网络的扫描，根据系统提供的扫描报告，配合我们提供的三级服务体系，大大的减轻了工作负担，极大的提高了工作效率。

联动扫描系统支持多线程扫描，有较高的扫描速度，支持定时和多IP地址的自动扫描，网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Web方式的远程管理，网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫描仪。移动式扫描仪使用灵活，可以跨越网段、穿透防火墙，对重点的服务器和网络设备直接扫描防护，这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性，最大可能地消除安全隐患。

在防火墙处部署联动扫描系统，在部门交换机处部署移动式扫描仪，实现放火墙、联动扫描系统和移动式扫描仪之间的联动，保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性，最大可能的消除安全隐患，尽可能早地发现安全漏洞并进行修补，优化资源，提高网络的运行效率和安全性。

本次系统设计人员责任矩阵

人员 童月红 任务 需求分析 Cisco模拟 张艳 IP地址规划与管理 网络拓扑图 蔡亚康 网络安全设计 网络管理维护 滕升龙 布线系统组成 综合布线设计 刘佳 网络结构设计 设备选型 时间计划 6.7-6.9 6.12-6.14 6.8-6.9 6.10-6.12 6.10-6.13 6.11-6.14 6.8-6.13 6.9-6.13 6.8-6.11 6.9-6.13