畢業(yè)論文-企業(yè)大型網(wǎng)絡(luò)規(guī)劃與設(shè)計

1、<p><b>　　畢 業(yè) 論 文</b></p><p>　　論文題目: ****企業(yè)大型網(wǎng)絡(luò)規(guī)劃與設(shè)計</p><p>　　****企業(yè)大型網(wǎng)絡(luò)規(guī)劃與設(shè)計</p><p><b>　　摘要：</b></p><p>　　網(wǎng)絡(luò)技術(shù)發(fā)展到現(xiàn)在已經(jīng)相當成熟，人們因為互聯(lián)網(wǎng)而改變了他們的生活，

2、企業(yè)通過局域網(wǎng)的建設(shè)充分發(fā)揮了信息系統(tǒng)在生產(chǎn)中的作用。</p><p>　　本論文敘述了通過對關(guān)鍵技術(shù)的應(yīng)用，結(jié)合相關(guān)網(wǎng)絡(luò)知識對一家大型****企業(yè)的網(wǎng)絡(luò)進行了整體規(guī)劃設(shè)計。結(jié)合實際需求，通過對網(wǎng)絡(luò)架構(gòu)組建方案的設(shè)計、基于安全的網(wǎng)絡(luò)配置方案設(shè)計、服務(wù)器架設(shè)方案設(shè)計、企業(yè)網(wǎng)絡(luò)高級服務(wù)設(shè)計等方面的研究，詳盡的探討了對該網(wǎng)絡(luò)進行規(guī)劃設(shè)計時遇到的關(guān)鍵性問題，以及網(wǎng)絡(luò)相關(guān)的服務(wù)，給出了網(wǎng)絡(luò)規(guī)劃設(shè)計解決方案。</p&g

3、t;<p>　　關(guān)鍵詞：****企業(yè)，網(wǎng)絡(luò)，信息安全，無線局域網(wǎng)</p><p>　　Cigarette enterprise network planning and design</p><p><b>　　Abstract：</b></p><p>　　The network technology has been quit

4、e mature up till now. People's lives have been changed because of the Internet, Enterprises make full use of the system of information in the production through the construction of local area network (LAN) </p>

5、<p>　　This paper is about making an overall planning and design in a network of a large tobacoo manufacturing enterprise by applying some key technologies and related network knowledge. Combined with the actual de

6、mand,through studying the design of the network infrastructure, the design of security-based network configuration solution, the design of the infrastructure of sever farm, the design of advance services, this paper disc

7、usses in detail some key problems we met in desiging the network, the se</p><p>　　Keywords：tobacco companies, network，information technology security, wireless local area network</p><p><b&g

8、t;　　緒論</b></p><p><b>　　項目背景</b></p><p>　　在****行業(yè)大力推進聯(lián)合重組、做大做強的形勢下，為進一步提高制造工藝技術(shù)水平、增強企業(yè)的品牌競爭能力、提升企業(yè)的經(jīng)濟效益，********啟動“******”********項目。項目將充分響應(yīng)國家**********“努力將項目建成國內(nèi)一流水平”的指示，發(fā)揚“敢想敢

9、拼、善謀善為”的企業(yè)精神，打造“國內(nèi)一流、國際先進”的****制造基地，使公司成為中國****工業(yè)少數(shù)幾個強勢企業(yè)之一奠定基礎(chǔ)。</p><p>　　“******”************項目，將企業(yè)搬遷至新廠區(qū)。整個項目占地約****畝，規(guī)模年產(chǎn)*******，項目一期建筑面積******萬平方米，總投資約**億元。為了在異地****中更好地發(fā)揮信息化系統(tǒng)的作用，企業(yè)要求對網(wǎng)絡(luò)進行整體的規(guī)劃、設(shè)計。</

10、p><p><b>　　網(wǎng)絡(luò)技術(shù)原理</b></p><p><b>　　路由技術(shù)</b></p><p>　　路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時選擇最佳路徑的能力。除了可以完成主要的路由任務(wù)，利用訪問控制列表，路由器還可以用來完成以路由器為中心的流量控

11、制和過濾功能。在本工程案例設(shè)計中，內(nèi)網(wǎng)用戶不僅通過路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過3層交換機上的路由功能進行數(shù)據(jù)包交換。</p><p>　　路由器是外網(wǎng)進入企業(yè)網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問控制列表（Access Control List，ACL）是保護內(nèi)網(wǎng)安全的有效手段。一個設(shè)計良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成

12、一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進行縝密的設(shè)計，來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實施保護[1]。</p><p><b>　　交換技術(shù)</b></p><p>　　傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層。現(xiàn)代交換技術(shù)還實現(xiàn)了第3層交

13、換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強了企業(yè)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要?，F(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的概念。VLAN將廣播域限制在單個VLAN內(nèi)部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術(shù)來實現(xiàn)。當網(wǎng)絡(luò)管理人員需要管理的交換機數(shù)量眾多時，可以使用VLAN中繼協(xié)議（Vlan

14、 Trunking Protocol，VTP）簡化管理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負擔和工作強度。為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴展性，在企業(yè)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進行的。企業(yè)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次：接入層、分布層、核心層。接入層為所有的終端用戶提供一個接入點；分布層除了負責將訪問層交換機進行匯集外，還

15、為整個交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能；核</p><p><b>　　遠程訪問技術(shù)</b></p><p>　　遠程訪問也是企業(yè)網(wǎng)絡(luò)必須提供的服務(wù)之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務(wù)。遠程訪問有三種可選的服務(wù)類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花費也不相同。企業(yè)用戶可以根據(jù)所需帶寬、本地服務(wù)可用性、花費

16、等因素綜合考慮，選擇一種適合企業(yè)自身需要的廣域網(wǎng)接入方案。在本工程案例設(shè)計中，分別采用專線連接的VPN和PBR兩種方式實現(xiàn)遠程訪問需求[3]?！?lt;/p><p><b>　　VLAN</b></p><p>　　VLAN（Virtual Local Area Network）的中文名為"虛擬局域網(wǎng)"。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)

17、段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一技術(shù)主要應(yīng)用于交換機和路由器中，但主流應(yīng)用還是在三層交換機之中。</p><p>　　通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個不同的廣播域（或稱虛擬LAN，即VLAN），兩臺計算機有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 </p><

18、p>　　VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。不同的VLAN之間的通訊是需要有路由來完成的[4]。</p><p><b>　　DHCP</b></p><p>　　DHCP 是 Dynamic Host Co

19、nfiguration Protocol(動態(tài)主機分配協(xié)議)縮寫。它分為兩個部份：一個是服務(wù)器端，而另一個是客戶端。所有的 IP 網(wǎng)絡(luò)設(shè)定數(shù)據(jù)都由 DHCP 服務(wù)器集中管理，并負責處理客戶端的 DHCP 要求；而客戶端則會使用從服務(wù)器分配下來的IP環(huán)境數(shù)據(jù)。比較起 BOOTP ，DHCP 透過 "租約" 的概念，有效且動態(tài)的分配客戶端的 TCP/IP 設(shè)定，而且，作為兼容考慮，DHCP 的分配形式 首先，必須至少有一

20、臺 DHCP 工作在網(wǎng)絡(luò)上面，它會監(jiān)聽網(wǎng)絡(luò)的 DHCP 請求，并與客戶端磋商 TCP/IP 的設(shè)定環(huán)境。</p><p>　　DHCP是BOOTP的擴展，是基于C/S模式的，它提供了一種動態(tài)指定IP地址和配置參數(shù)的機制。這主要用于大型網(wǎng)絡(luò)環(huán)境和配置比較困難的地方。DHCP服務(wù)器自動為客戶機指定IP地址，指定的配置參數(shù)有些和IP協(xié)議并不相關(guān)，但這必沒有關(guān)系，它的配置參數(shù)使得網(wǎng)絡(luò)上的計算機通信變得方便而容易實現(xiàn)了。D

21、HCP使IP地址的可以租用，對于許多擁有許多臺計算機的大型網(wǎng)絡(luò)來說，每臺計算機擁有一個IP地址有時候可能是不必要的。租期從1分鐘到100年不定，當租期到了的時候，服務(wù)器可以把這個IP地址分配給別的機器使用?？蛻粢部梢哉埱笫褂米约合矚g的網(wǎng)絡(luò)地址及相應(yīng)的配置參數(shù)[5]。</p><p><b>　　VPN</b></p><p>　　VPN的英文全稱是“Virtual P

22、rivate Network”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費用，也不用購買路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一

23、，目前在交換機，防火墻設(shè)備或WINDOWS2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。</p><p>　　虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證

24、數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)[3]。</p><p><b>　　PVST</b></p><p>　　PVST: Per-VLAN Spanning Tree（每VLAN生成樹） </p><

25、;p>　　PVST是解決在虛擬局域網(wǎng)上處理生成樹的CISCO特有解決方案．PVST為每個虛擬局域網(wǎng)運行單獨的生成樹實例．一般情況下PVST要求在交換機之間的中繼鏈路上運行CISCO的ISL。 </p><p>　　每VLAN生成樹 (PVST)為每個在網(wǎng)絡(luò)中配置的VLAN維護一個生成樹實例。它使用ISL中繼和允許一個VLAN中繼當被其它VLANs的阻塞時將一些VLANs轉(zhuǎn)發(fā)。盡管PVST對待每個VLAN作為

26、一個單獨的網(wǎng)絡(luò)，它有能力(在第2層)通過一些在主干和其它在另一個主干中的不引起生成樹循環(huán)的Vlans中的一些VLANs來負載平衡通信[6]。</p><p><b>　　HSRP</b></p><p>　　HSRP：熱備份路由器協(xié)議（HSRP：Hot Standby Router Protocol）</p><p>　　熱備份路由器協(xié)議（HS

27、RP）的設(shè)計目標是支持特定情況下 IP 流量失敗轉(zhuǎn)移不會引起混亂、并允許主機使用單路由器，以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。換句話說，當源主機不能動態(tài)知道第一跳路由器的 IP 地址時，HSRP 協(xié)議能夠保護第一跳路由器不出故障。該協(xié)議中含有多種路由器，對應(yīng)一個虛擬路由器。HSRP 協(xié)議只支持一個路由器代表虛擬路由器實現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過程。終端主機將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。</p>

28、<p>　　負責轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動路由器（Active Router）。一旦主動路由器出現(xiàn)故障，HSRP 將激活備份路由器（Standby Routers）取代主動路由器。HSRP 協(xié)議提供了一種決定使用主動路由器還是備份路由器的機制，并指定一個虛擬的 IP 地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。如果主動路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動路由器的所有任務(wù)，并且不會導致主機連通中斷現(xiàn)象。&

29、lt;/p><p>　　HSRP 運行在 UDP 上，采用端口號1985。路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使用的是實際 IP 地址，而并非虛擬地址，正是基于這一點，HSRP 路由器間能相互識別[7]。</p><p><b>　　AAA認證</b></p><p>　　AAA-----身份驗證 (Authentication)、授權(quán) (Authoriz

30、ation)和統(tǒng)計 (Accounting)Cisco開發(fā)的一個提供網(wǎng)絡(luò)安全的系統(tǒng)。</p><p>　　AAA ，認證(Authentication)：驗證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù);授權(quán)(Authorization)：依據(jù)認證結(jié)果開放網(wǎng)絡(luò)服務(wù)給用戶;計帳(Accounting)：記錄用戶對各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計費系統(tǒng)。整個系統(tǒng)在網(wǎng)絡(luò)管理與安全問題中十分有效。</p><p>

31、　　首先，認證部分提供了對用戶的認證。整個認證通常是采用用戶輸入用戶名與密碼來進行權(quán)限審核。認證的原理是每個用戶都有一個唯一的權(quán)限獲得標準。由AAA服務(wù)器將用戶的標準同數(shù)據(jù)庫中每個用戶的標準一一核對。如果符合，那么對用戶認證通過。如果不符合，則拒絕提供網(wǎng)絡(luò)連接。</p><p>　　接下來，用戶還要通過授權(quán)來獲得操作相應(yīng)任務(wù)的權(quán)限。比如，登陸系統(tǒng)后，用戶可能會執(zhí)行一些命令來進行操作，這時，授權(quán)過程會檢測用戶是否擁

32、有執(zhí)行這些命令的權(quán)限。簡單而言，授權(quán)過程是一系列強迫策略的組合，包括：確定活動的種類或質(zhì)量、資源或者用戶被允許的服務(wù)有哪些。授權(quán)過程發(fā)生在認證上下文中。一旦用戶通過了認證，他們也就被授予了相應(yīng)的權(quán)限?！∽詈笠徊绞菐?，這一過程將會計算用戶在連接過程中消耗的資源數(shù)目。這些資源包括連接時間或者用戶在連接過程中的收發(fā)流量等等。可以根據(jù)連接過程的統(tǒng)計日志以及用戶信息，還有授權(quán)控制、賬單、趨勢分析、資源利用以及容量計劃活動來執(zhí)行帳戶過程。<

33、/p><p>　　驗證授權(quán)和帳戶由AAA服務(wù)器來提供。AAA服務(wù)器是一個能夠提供這三項服務(wù)的程序。當前同AAA服務(wù)器協(xié)作的網(wǎng)絡(luò)連接服務(wù)器接口是“遠程身份驗證撥入用戶服務(wù) (RADIUS)”[7]。</p><p><b>　　ACL</b></p><p>　　內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策

34、略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達到對訪問進行控制的目的。簡而言之，ACL可以過濾網(wǎng)絡(luò)中的流量，控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。</p><p>　　ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如，ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級。</p><p>　　ACL提供對通信流量的控制手段。例如，ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網(wǎng)段的通信流量。&

35、lt;/p><p>　　ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。ACL允許主機A訪問人力資源網(wǎng)絡(luò)，而拒絕主機B訪問。</p><p>　　ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，用戶可以允許E-mail通信流量被路由，拒絕所有的Telnet通信流量。 例如：某部門要求只能使用 WWW 這個功能，就可以通過ACL實現(xiàn)； 又例如，為了某部門的保密性，不允許其訪問外網(wǎng)，也不允

36、許外網(wǎng)訪問它，就可以通過ACL實現(xiàn)。</p><p><b>　　網(wǎng)絡(luò)技術(shù)方案</b></p><p><b>　　總體架構(gòu)</b></p><p>　　************項目整個基礎(chǔ)網(wǎng)絡(luò)分為兩大塊，辦公大樓網(wǎng)絡(luò)和生產(chǎn)廠區(qū)網(wǎng)絡(luò)。辦公大樓網(wǎng)絡(luò)設(shè)立一個主中心和三個分中心，分別為主中心機房、服務(wù)器機房、辦公大樓匯聚和技術(shù)中

37、心匯聚。生產(chǎn)廠區(qū)設(shè)立三個分中心，分別為卷包中控室、制絲中控室和能源管理中心。各分中心、互聯(lián)網(wǎng)區(qū)域、外聯(lián)區(qū)域、網(wǎng)絡(luò)安全區(qū)域與主中心核心交換機相連進行業(yè)務(wù)通訊。</p><p><b>　　網(wǎng)絡(luò)拓撲架構(gòu)如下：</b></p><p>　　針對新廠區(qū)網(wǎng)絡(luò)情況分析，我們可以看到業(yè)務(wù)系統(tǒng)對于網(wǎng)絡(luò)的需求主要由7個部分組成：</p><p>　　核心網(wǎng)絡(luò)區(qū)域

38、設(shè)計：核心網(wǎng)絡(luò)區(qū)域的設(shè)計主要包括核心交換機、互聯(lián)網(wǎng)區(qū)域、外聯(lián)區(qū)域和網(wǎng)絡(luò)安全區(qū)域設(shè)計。</p><p>　　服務(wù)器區(qū)域設(shè)計：服務(wù)器區(qū)域的設(shè)計主要包括服務(wù)器機房內(nèi)網(wǎng)絡(luò)基礎(chǔ)設(shè)備的設(shè)計。</p><p>　　辦公大樓設(shè)計：辦公大樓設(shè)計主要為辦公大樓、技術(shù)中心和實驗室基礎(chǔ)網(wǎng)絡(luò)的設(shè)計。</p><p>　　生產(chǎn)廠區(qū)設(shè)計：生產(chǎn)廠區(qū)設(shè)計主要為卷包中控、制絲中控和能源管理中心基礎(chǔ)網(wǎng)絡(luò)

39、設(shè)計。</p><p>　　無線網(wǎng)絡(luò)設(shè)計：無線網(wǎng)絡(luò)設(shè)計主要為辦公大樓、技術(shù)中心、卷包中控、制絲中控和能源管理中心無線網(wǎng)絡(luò)的設(shè)計。</p><p>　　整體路由設(shè)計：廠區(qū)整體基礎(chǔ)網(wǎng)絡(luò)設(shè)備路由設(shè)計及與互聯(lián)網(wǎng)區(qū)域、外聯(lián)區(qū)域、物流網(wǎng)、高架庫、制絲集控等各邊緣區(qū)域路由設(shè)計。</p><p><b>　　核心網(wǎng)絡(luò)區(qū)域設(shè)計</b></p>&l

40、t;p>　　核心網(wǎng)絡(luò)區(qū)域包括整體網(wǎng)絡(luò)核心交換機、互聯(lián)網(wǎng)接入?yún)^(qū)域、外聯(lián)區(qū)域和安全區(qū)域，所有設(shè)備均部署在辦公大樓五樓信息中心機房內(nèi)。核心網(wǎng)絡(luò)區(qū)域拓撲結(jié)構(gòu)如下圖：</p><p><b>　　核心交換機設(shè)計</b></p><p>　　核心交換機是整個網(wǎng)絡(luò)的核心，支撐整個體系架構(gòu)的運作，同時，它和辦公網(wǎng)，生產(chǎn)網(wǎng)，Internet接入網(wǎng)，無線網(wǎng)絡(luò)，數(shù)據(jù)中心連接，負責各網(wǎng)

41、數(shù)據(jù)交換。此處的數(shù)據(jù)轉(zhuǎn)發(fā)性能直接關(guān)系到全網(wǎng)的業(yè)務(wù)運行。作為廠區(qū)網(wǎng)絡(luò)核心節(jié)點，其可靠性也需格外關(guān)注。我司選用兩臺思科高性能Cisco Nexus 7000系列核心交換機互為冗余，以提供盡可能最好的系統(tǒng)級冗余性。為了確保核心網(wǎng)絡(luò)高帶寬和高穩(wěn)定性的要求，核心交換機與各匯聚交換機互連采用萬兆光纖互連，與其它設(shè)備互連采用千兆光纖互連。從維護和運行的角度說，冗余拓撲結(jié)構(gòu)可實現(xiàn)絕好的收斂性和可用性。</p><p>　　兩臺C

42、isco Nexus 7000 都配置雙電源，單引擎， 48口10/100/1000M電口，48口千兆光口以及32口萬兆板卡，萬兆板卡用于兩臺Nexus 7000互聯(lián)和連接各個子網(wǎng)。</p><p><b>　　外聯(lián)區(qū)域設(shè)計</b></p><p>　　外聯(lián)區(qū)域為分廠與公司總部以及老廠房的互連區(qū)域，與公司總部采用兩條裸光纖進行互連，與老廠房采用一條裸光纖進行互連，待老

43、廠房設(shè)備搬遷完成后，互連設(shè)備和線路即可拆除。</p><p>　　與公司總部互連路由器我司選用兩臺Cisco 3945集成多業(yè)務(wù)路由器。與老廠房互連路由器我司選用一臺Cisco 3945集成多業(yè)務(wù)路由器。</p><p>　　三臺CISCO 3945路由器默認4個千兆接口其中兩個為COMBO接口。另外各配了一塊千兆70公里遠距離單模模塊用于與****公司總部雙鏈路進行互連，和與中山南路77

44、號原廠單鏈路進行互連。</p><p><b>　　互聯(lián)網(wǎng)區(qū)域設(shè)計</b></p><p>　　互聯(lián)網(wǎng)區(qū)域這里有兩個運營商出口，其中一個運營商出口用于新廠區(qū)服務(wù)器提供MAIL、WEB等互聯(lián)網(wǎng)業(yè)務(wù)和員工互聯(lián)網(wǎng)業(yè)務(wù)訪問。另一個運營商出口用于互聯(lián)網(wǎng)VPN接入?？紤]到安全性，在電信互聯(lián)網(wǎng)出口部署一臺高性能juniper NS-ISG-2000防火墻，提供NAT地址轉(zhuǎn)換和DMZ

45、區(qū)服務(wù)器地址映射，另外為了使得電信出口支持SSL VPN功能，我司配置了一臺juniper SA 700 SSL VPN設(shè)備。在運營商二互聯(lián)網(wǎng)出口部署一臺思科ASA 5520 VPN防火墻提供SSL VPN功能，并配置50個SSL VPN許可證，提供SSL VPN接入。使互聯(lián)網(wǎng)用戶通過SSL VPN訪問新廠區(qū)內(nèi)部網(wǎng)絡(luò)，進行業(yè)務(wù)訪問和遠程技術(shù)維護工作。在互聯(lián)網(wǎng)防火墻的DMZ區(qū)部署一臺思科48口千兆交換機，用于DMZ區(qū)服務(wù)器接入，提供互聯(lián)網(wǎng)

46、業(yè)務(wù)。</p><p><b>　　安全區(qū)域設(shè)計</b></p><p>　　隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)系統(tǒng)潛在面臨著各種類型的威脅，包括內(nèi)部和外部威脅，已知和未知威脅。一般來說，內(nèi)部威脅比外部威脅的損失更高、破壞性更大，同時，外部威脅發(fā)生的頻率卻更高。這些威脅，都對網(wǎng)絡(luò)自身的穩(wěn)定運行帶來了極大的安全隱患，問題一旦發(fā)作，會導致網(wǎng)絡(luò)設(shè)備資源耗盡，網(wǎng)絡(luò)帶寬被塞滿，網(wǎng)絡(luò)系統(tǒng)無

47、法正常工作，使得企業(yè)業(yè)務(wù)不能有效進行，應(yīng)用系統(tǒng)被侵入或篡改，造成的損失非常巨大，后果極為嚴重。</p><p>　　本次項目內(nèi)部基礎(chǔ)網(wǎng)絡(luò)安全主要包括以下幾個系統(tǒng)：防火墻系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、安全審計系統(tǒng)和身份認證系統(tǒng)。</p><p><b>　　入侵檢測系統(tǒng)設(shè)計</b></p><p>　　在本次項目中，外聯(lián)邊界入侵檢測系統(tǒng)部署在

48、外聯(lián)邊界防火墻之后，對通過防火墻過濾的信息進行4-7層的檢測。入侵檢測系統(tǒng)探測器采用并聯(lián)的方式部署，但入侵檢測與防護系統(tǒng)在線部署是當前的趨勢，在線的部署能夠?qū)崟r的檢測并抵御攻擊，相比單純的檢測，安全級別更高。但在線的部署也對入侵檢測與防護設(shè)備的性能，檢測能力提出了更高的要求。考慮到上述因素，在滿足標書技術(shù)要求的基礎(chǔ)上，我司選用用思科的IPS 4260系列入侵檢測系統(tǒng)。思科 IPS 4200系列傳感器和Cisco IPS傳感器軟件是思科入

49、侵防御解決方案的核心組件。憑借思科 IPS傳感器軟件的內(nèi)置防御技術(shù)，思科 IPS 4200系列傳感器能準確地檢測、分類和終止惡意流量的傳輸。</p><p><b>　　漏洞掃描系統(tǒng)設(shè)計</b></p><p>　　由于網(wǎng)絡(luò)具有開放性，使主機、網(wǎng)絡(luò)設(shè)備直接面對大量的攻擊的可能。攻擊可能來自于網(wǎng)絡(luò)的各個方面。而日益增加的網(wǎng)絡(luò)攻擊手段，也不斷地降低網(wǎng)絡(luò)的安全性。操作系統(tǒng)的

50、日益復(fù)雜，協(xié)議本身的安全漏洞，都是對網(wǎng)絡(luò)的大量威脅。</p><p>　　我司選用啟明星辰硬件漏洞掃描系統(tǒng)，定期對絡(luò)進行漏洞掃描和安全評估，網(wǎng)絡(luò)安全評估系統(tǒng)是對Internet和Intranet中所有部件如WEB站點、防火墻、路由器、TCP/IP及相關(guān)協(xié)議服務(wù)進行實踐性掃描、分析和評估，發(fā)現(xiàn)并報告系統(tǒng)中存在的弱點和漏洞，評估安全風險，建議補救措施。</p><p><b>　　安

51、全審計系統(tǒng)設(shè)計</b></p><p>　　當用戶的計算機網(wǎng)絡(luò)擴展到包含了許多主機和應(yīng)用系統(tǒng)時，管理與安全相關(guān)的事件變成越來越復(fù)雜的任務(wù)。而操作系統(tǒng)本身雖然提供審計工具，但起不到多大作用。它們?nèi)鄙僦庇^的界面、提供的功能有限，給出含義模糊甚至無用的事件消息。本地操作系統(tǒng)的審計工具提供有限的功能，給出含義模糊的或者甚至無用的事件消息。其中主要存在的問題：</p><p>　　審計記

52、錄會增大并被覆寫。</p><p>　　審計數(shù)據(jù)在本地寫入和丟棄。</p><p>　　發(fā)生在不同主機上的事件不能關(guān)聯(lián)起來。</p><p>　　在本地審計記錄中產(chǎn)生了如此大量的數(shù)據(jù)以至于無法發(fā)現(xiàn)重要的事件。</p><p>　　不能跨平臺分析審計記錄。</p><p>　　審計人員這為每一環(huán)境使用不同的審計工具。&l

53、t;/p><p>　　因此需要的是一個能清楚地將相關(guān)數(shù)據(jù)與安全性以及系統(tǒng)管理員聯(lián)系起來，并產(chǎn)生快速評價與響應(yīng)的解決方案。此外，隨著電腦黑客的攻擊和客戶的電子商務(wù)環(huán)境日趨復(fù)雜，快速發(fā)現(xiàn)訪問模式和訪問行為中的可疑情況已經(jīng)成為客戶的一個基本需求。</p><p>　　安全審計系統(tǒng)使電子商務(wù)安全信息觸手可及。這一綜合安全審計解決方案可以有效地收集和分析來自異構(gòu)服務(wù)器和其它來源的事件數(shù)據(jù)，使系統(tǒng)管理員能

54、夠輕松識別電子商務(wù)環(huán)境中潛在的惡意系統(tǒng)活動。 </p><p>　　該系統(tǒng)收集用戶范圍內(nèi)的安全和系統(tǒng)審計信息，同時不會像其它審計產(chǎn)品那樣會降低系統(tǒng)性能或造成網(wǎng)絡(luò)流量阻塞。同時它克服了UNIX/Windows NT 管理障礙，是一個真正的跨平臺安全事件管理解決方案。該系統(tǒng)能提供的基本審計和分析功能，可以幫助客戶明顯地降低受到來自外界和內(nèi)部的惡意侵襲的風險。而且電子簽名法的出臺，使得強審計的日志可以作為給犯罪份子定罪

55、的法律依據(jù)！</p><p>　　本次項目我司選用啟明星辰CA500安全審計系統(tǒng)。</p><p><b>　　身份認證系統(tǒng)設(shè)計</b></p><p>　　網(wǎng)絡(luò)信息安全是指通過保護網(wǎng)絡(luò)程序、數(shù)據(jù)或者設(shè)備，使其免受非授權(quán)使用或訪問，來達到保護信息和資源、保護客戶和用戶、保證私有性等目的。為了確保在各種攻擊下，網(wǎng)絡(luò)程序和數(shù)據(jù)在服務(wù)器、物理信道和主

56、機上的安全性，網(wǎng)絡(luò)安全必須有效地實現(xiàn)以下各種功能：</p><p>　　身份認證（Authentication）鑒定信息的真實性，核實源實體與接受實體是否與宣稱的一致。</p><p>　　授權(quán)（Authorization）用一些特殊的參數(shù)表明訪問（或存?。┑臋?quán)限。</p><p>　　保密性（Confidentiality）使信息只被授權(quán)用戶享用，確保通信機密。&

57、lt;/p><p>　　完整性（Integrity）確保數(shù)據(jù)的完整和準確。</p><p>　　不可否認（Nonrepudiation）驗明身份后，不能夠拒絕傳送和接受。</p><p>　　在所有功能中，身份認證（Authentication）是最基本最重要的環(huán)節(jié)，即使將授權(quán)、保密性、完整性、不可否認等環(huán)節(jié)做得很完善，但如果盜用了合法的帳號和口令登錄系統(tǒng)，系統(tǒng)仍然認為

58、他是合法用戶，給予他相應(yīng)的訪問權(quán)限，使系統(tǒng)處于危險狀態(tài)。</p><p>　　為了解決無線用戶和外來用戶有線接入的安全，我司選用思科ACS身份認證系統(tǒng)，對無線和有線用戶進行身份認證提高網(wǎng)絡(luò)安全性。</p><p><b>　　網(wǎng)絡(luò)管理系統(tǒng)設(shè)計</b></p><p>　　通過在網(wǎng)絡(luò)中心安裝集中網(wǎng)管系統(tǒng)，通過帶內(nèi)的方式實現(xiàn)對整網(wǎng)設(shè)備的統(tǒng)一管理，提

59、供集中、統(tǒng)一、分級、分權(quán)的網(wǎng)元管理、網(wǎng)絡(luò)管理功能。網(wǎng)管系統(tǒng)采用先進的組件化結(jié)構(gòu)，通過SNMP協(xié)議由網(wǎng)管中心服務(wù)器發(fā)出管理信息報文，各寬帶網(wǎng)絡(luò)設(shè)備上的網(wǎng)管代理進行本設(shè)備運行狀態(tài)，數(shù)據(jù)信息的收集，然后通過SNMP協(xié)議將本網(wǎng)絡(luò)設(shè)備的網(wǎng)管信息上報給網(wǎng)管中心服務(wù)器，由網(wǎng)管中心服務(wù)器統(tǒng)一對上報的網(wǎng)管信息進行處理和分析，然后通過SNMP協(xié)議下發(fā)控制命令，由各設(shè)備網(wǎng)管代理接收控制命令后，完成對本設(shè)備的管理和控制。綜合網(wǎng)管系統(tǒng)提供如下管理能力：</

60、p><p><b>　　拓撲管理</b></p><p>　　拓撲管理用于構(gòu)造并管理整個通信網(wǎng)絡(luò)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，通過自動上載網(wǎng)絡(luò)設(shè)備的拓撲數(shù)據(jù)形成與實際網(wǎng)絡(luò)拓撲結(jié)構(gòu)相同的網(wǎng)絡(luò)拓撲視圖。運行中通過對網(wǎng)絡(luò)設(shè)備進行定時（根據(jù)用戶設(shè)定的每一設(shè)備的狀態(tài)與配置輪詢間隔時間）的輪循監(jiān)視與設(shè)備上報TRAP或告警處理，保證顯示網(wǎng)絡(luò)視圖與實際網(wǎng)絡(luò)拓撲一致，用戶可通過瀏覽網(wǎng)絡(luò)視圖來實時了解整個

61、網(wǎng)絡(luò)的運行情況。</p><p>　　網(wǎng)管系統(tǒng)的拓撲視圖是采用分層結(jié)構(gòu)的，其中拓撲頂層顯示的子圖稱為視圖，根據(jù)被管對象的種類和實際需求抽象出了幾種視圖顯示在拓撲的頂層，目前包含了三個邏輯視圖（IP設(shè)備視圖、交換設(shè)備視圖和接入設(shè)備視圖）和一個物理視圖。在這些視圖下是子網(wǎng)，它是具有相同屬性的設(shè)備的集合，在子網(wǎng)下就是具體的網(wǎng)絡(luò)設(shè)備，子網(wǎng)也可以再包含子網(wǎng)。其中邏輯視圖中只包含了各自類型的網(wǎng)絡(luò)設(shè)備，它反映了網(wǎng)絡(luò)設(shè)備之間的邏

62、輯關(guān)系，而物理視圖中的子圖和設(shè)備是用戶自己設(shè)定的，用戶可以根據(jù)地理位置去創(chuàng)建物理子圖并定義它們之間的連接關(guān)系。</p><p>　　IP視圖用于IP層網(wǎng)絡(luò)拓撲的管理，描述整個基于IP路由器的IP網(wǎng)絡(luò)的網(wǎng)絡(luò)層拓撲結(jié)構(gòu)，主要包括路由器、LAN Switch、接入服務(wù)器和計算機等IP設(shè)備?；贗P路由器的網(wǎng)絡(luò)拓撲結(jié)構(gòu)分成兩層，上層由路由器和IP子網(wǎng)組成，IP子網(wǎng)表示某一傳輸類型的物理網(wǎng)絡(luò)，如以太網(wǎng)，F(xiàn)rame Rela

63、y網(wǎng)等，在同一IP子網(wǎng)下的所有設(shè)備具有同樣的IP子網(wǎng)地址設(shè)置；路由器和IP子網(wǎng)之間通過路由器端口連接，如以太網(wǎng)口，F(xiàn)rame Relay廣域網(wǎng)口等。路由器和路由器之間的連接有兩種：一是通過IP子網(wǎng)連接，如兩路由器通過以太網(wǎng)或Frame Relay網(wǎng)互連；二是直接的點到點連接，如PPP連接等。 </p><p>　　物理視圖用于反映網(wǎng)絡(luò)設(shè)備之間的物理關(guān)系和連接，用戶可以自由創(chuàng)建物理子網(wǎng)，在物理子網(wǎng)中加入邏輯子網(wǎng)中已

64、經(jīng)存在的設(shè)備，建立它們之間的連接關(guān)系。</p><p>　　拓撲管理主要操作有增刪設(shè)備或子網(wǎng)，查看節(jié)點、鏈路或子網(wǎng)的狀態(tài)， 通過定時輪詢或手動啟動對任一設(shè)備的狀態(tài)或配置數(shù)據(jù)輪詢，實時刷新拓撲顯示數(shù)據(jù)。</p><p>　　拓撲管理還具有改變背景圖象、設(shè)置網(wǎng)絡(luò)對象屬性、保存拓撲視圖修改、查找網(wǎng)絡(luò)對象、顯示網(wǎng)絡(luò)對象信息、拓撲視圖顯示效果設(shè)置等功能。用戶可對每個子網(wǎng)設(shè)置背景圖象（gif）格式，背

65、景圖象的大小根據(jù)窗口大小自動調(diào)整。</p><p><b>　　配置管理</b></p><p>　　網(wǎng)管系統(tǒng)提供全網(wǎng)瀏覽樹和設(shè)備面板圖對配置進行維護。</p><p>　　全網(wǎng)瀏覽樹把網(wǎng)絡(luò)中的所有設(shè)備按不同的分組方式組織在一個樹形結(jié)構(gòu)中，操作者可靈活切換要進行配置操作的設(shè)備。對所有設(shè)備和設(shè)備組件的操作都通過右鍵菜單來完成。用戶右鍵點中待管理的

66、對象，系統(tǒng)將自動彈出該設(shè)備或設(shè)備組件所對應(yīng)的管理菜單，所有設(shè)備和設(shè)備組件（如端口等）的配置、實時性能管理功能都可通過該右鍵菜單完成。</p><p>　　本瀏覽樹可裝載并顯示所有路由器，以及其它支持SNMP協(xié)議的設(shè)備端口數(shù)據(jù)，在瀏覽樹中的端口顯示數(shù)據(jù)包括：端口狀態(tài)，端口索引，端口類型，IP地址，掩碼設(shè)置（如設(shè)置有），用戶右鍵點中該端口即可彈出該端口所對應(yīng)的配置菜單。</p><p>　　通

67、過在拓撲圖上雙擊拓撲設(shè)備節(jié)點啟動設(shè)備面板圖，在面板視圖上對設(shè)備進行配置；設(shè)備面板圖和全網(wǎng)瀏覽樹所提供的配置功能是完全一樣的。在面板上進行配置顯得更直觀，提供設(shè)備的機架視圖，實時顯示各單板的狀態(tài)和告警信息，對于面板中的每個單板節(jié)點，提供右鍵彈出菜單，該菜單是針對該單板的一系列的應(yīng)用，包括配置，性能、維護管理等；而全網(wǎng)瀏覽樹則是提供了一種對全網(wǎng)設(shè)備進行管理的手段， 在配置較多的設(shè)備時比較方便。</p><p><

68、;b>　　故障管理</b></p><p>　　故障管理主要包括對全網(wǎng)設(shè)備的告警信息和運行信息進行實時監(jiān)控，查詢設(shè)備的歷史告警信息和運行信息，定義發(fā)送過來的SNMP Trap，查詢和配置設(shè)備的告警表。</p><p>　　故障管理系統(tǒng)收集和處理設(shè)備告警。設(shè)備告警包括Snmp Trap和MML格式的告警，前者告警來源為SNMP設(shè)備，大部分數(shù)據(jù)通信設(shè)備支持SNMP。 Trap

69、和Alarm可以同屏顯示也可以分屏顯示。（以下敘述中“告警”如無特殊說明包括 Snmp Trap 和 MML Alarm）。</p><p>　　故障管理系統(tǒng)包括故障管理后臺、實時告警顯示、歷史告警顯示、Trap規(guī)則定義工具，故障監(jiān)視面板和當前故障窗口。故障管理后臺接收設(shè)備告警、寫數(shù)據(jù)庫、發(fā)送給實時告警前臺顯示，如果有其他應(yīng)用關(guān)心某些類型的告警，還要上報給該應(yīng)用。實時告警顯示從故障后臺實時接收設(shè)備告警并顯示；歷史

70、告警顯示從數(shù)據(jù)庫檢索告警并顯示；實時告警顯示和歷史告警顯示都支持過濾條件，可以檢索指定設(shè)備（一個或多個）的告警，也可以按類別檢索指定類型的告警。Trap規(guī)則定義工具主要是定義Snmp Trap的描述信息。因為Snmp Trap是二進制編碼，Trap規(guī)則定義了該二進制流中各字段的描述信息。故障管理后臺接收設(shè)備發(fā)送的Trap后根據(jù)當前的 Trap 規(guī)則定義對 Trap 進行解釋，將解釋后得到的告警數(shù)據(jù)寫入歷史告警庫，并發(fā)送給前臺程序。 MM

71、L Alarm本身是ASCII字符流，故障后臺經(jīng)過適當?shù)淖侄味ㄎ缓笾苯尤霂旌桶l(fā)送給前臺進程。故障監(jiān)視面板為您提供了一個直觀的了解設(shè)備故障情況的工具，它可以提供單個設(shè)備或所有設(shè)備的告警狀態(tài)數(shù)據(jù)，實時刷新狀態(tài)數(shù)據(jù)，并可以通過激活當前告警窗口為您提供告警的詳細數(shù)據(jù)。它由六個代表不同級別故障的告警</p><p><b>　　性能管理</b></p><p>　　用戶可以獲得

72、網(wǎng)絡(luò)的各種當前性能數(shù)據(jù)，并可以設(shè)置性能的門限值，當性能超過門限時，網(wǎng)絡(luò)以告警的方式通知網(wǎng)管系統(tǒng)。用戶也可以收集一定時間段內(nèi)的性能數(shù)據(jù)，并保存在數(shù)據(jù)庫中，以做進一步的分析。 該應(yīng)用提供三種方式對采集來的數(shù)據(jù)進行顯示：折線圖方式、直方圖方式和餅圖方式。折線圖方式在一個窗口內(nèi)可顯示一定時間范圍內(nèi)的各個對象表達式的值；直方圖方式在一個窗口內(nèi)只顯示某一采集時間點的各個對象表達式的值；餅圖方式顯示的是某一數(shù)據(jù)采集點各個對象表達式之間的比例值。用戶在

73、此應(yīng)用中還可以設(shè)置對性能數(shù)據(jù)輪循的間隔，采集數(shù)據(jù)的顯示比例和顯示顏色。</p><p>　　我司選用思科CISCO WORKS2000作為網(wǎng)絡(luò)基礎(chǔ)設(shè)備的管理系統(tǒng)。CiscoWorks Windows 是全面的網(wǎng)絡(luò)管理軟件，它為簡單地管理中小型企業(yè)網(wǎng)絡(luò)或工作組提供功能強大的工具集。動態(tài)的狀態(tài)、統(tǒng)計以及全面的配置信息等可用于 Cisco 路由器、交換機、集線器和訪問服務(wù)器。</p><p>&

74、lt;b>　　服務(wù)器區(qū)域設(shè)計</b></p><p>　　根據(jù)服務(wù)器區(qū)域設(shè)計，拓撲如下：</p><p>　　服務(wù)器區(qū)域部署兩臺思科高性能Catalyst 6509交換機互為冗余備份，同時在6509交換機上各配置一塊FWSM防火墻模塊用于對服務(wù)器區(qū)域的安全防護。每臺6509另外配置了一塊48口光纖模塊和一塊48口千兆電口模塊，用于小型機及服務(wù)器接入，配置一塊萬兆光纖模塊用

75、于與網(wǎng)絡(luò)核心區(qū)域設(shè)備nexus7000互連。</p><p>　　服務(wù)器區(qū)域有兩排服務(wù)器機柜，每一排機柜各部署一臺思科3750-12S和一臺3750-48TS交換機，兩臺3750通過堆疊模塊進行堆疊，用于PC服務(wù)器光纖及銅纜接入。</p><p><b>　　辦公大樓區(qū)域設(shè)計</b></p><p>　　辦公大樓共有12個弱電間，各弱電間信息點

76、位情況如下表：</p><p>　　根據(jù)辦公大樓信息點，辦公大樓網(wǎng)絡(luò)拓撲圖如下：</p><p>　　辦公大樓匯聚交換機采用兩臺思科4506互為冗余，匯聚交換機配置14個萬兆接口模塊用于與核心交換機nexus 7000互連和樓層交換機接入。配置48口千兆電口模塊用于服務(wù)器接入和日常網(wǎng)絡(luò)維護?？紤]到辦公大樓業(yè)務(wù)的重要性，所有接入交換機采用萬兆上聯(lián)至兩臺思科4506匯聚交換機。</p&g

77、t;<p>　　辦公大樓樓層交換機我司選用思科2960-S系列可堆疊交換機，部署10臺思科48口萬兆POE交換機和2臺思科24口萬兆POE交換機用于無線AP POE供電接入和萬兆上聯(lián)匯聚交換機，另外配置2臺48口千兆交換機和4臺24口千兆交換機用于終端接入。</p><p><b>　　技術(shù)中心區(qū)域設(shè)計</b></p><p>　　技術(shù)中心區(qū)域包括技術(shù)中

78、心和實驗實，其中技術(shù)中心有8個弱電間，實驗室有5個弱電間，實驗室弱電間與技術(shù)中心弱電間共用，但是設(shè)備互為獨立。各弱電間信息點位情況如下表：</p><p>　　根據(jù)技術(shù)中心區(qū)域信息點位，技術(shù)中心網(wǎng)絡(luò)拓撲圖如下：</p><p>　　技術(shù)中心匯聚交換機采用兩臺思科4506互為冗余備份，每臺匯聚交換機配置2端口萬兆光纖模塊用于與核心交換機nexus7000相連，配置一塊24口千兆光纖模塊用于樓

79、層交換機接入，配置48口千兆電口模塊用于服務(wù)器接入和日常網(wǎng)絡(luò)維護。技術(shù)中心樓層交換機選用思科2960-S系列可堆疊交換機，部署4臺48口千兆POE交換機和4臺24口千兆POE交換機用于無線AP POE供電接入和終端接入，另外4臺48口千兆交換機用于終端接入。</p><p>　　實驗室通過部署一臺思科3560 12口千兆光纖交換機作為匯聚交換機提供樓層交換機接入，另外與技術(shù)中心匯聚交換機之間通過部署一臺思科ASA

80、5540防火墻用于安全隔離。實驗室樓層交換機同樣選用思科2960-S系列可堆疊交換機，通過部署5臺48口千兆交換機和3臺24口千兆交換機用于終端接入。</p><p><b>　　卷包中控區(qū)域設(shè)計</b></p><p>　　卷包中控區(qū)域包括卷包中控和卷包數(shù)采。其中卷包中控有10個弱電間，卷包數(shù)采有4個弱電間，各弱電間信息點如下表：</p><p&

81、gt;　　根據(jù)信息點情況，卷包中控網(wǎng)絡(luò)拓撲如下：</p><p>　　卷包中控匯聚交換機采用兩臺思科4506互為冗余備份，每臺匯聚交換機配置2端口萬兆光纖模塊用于與核心交換機nexus7000相連，配置一塊24口千兆光纖模塊用于樓層交換機接入，配置48口千兆電口模塊用于服務(wù)器接入和日常網(wǎng)絡(luò)維護。卷包中控樓層交換機選用思科2960-S系列可堆疊交換機，部署1臺48口千兆POE交換機用于無線AP POE供電接入和終端

82、接入，另外部署4臺48口千兆交換機和5臺24口千兆交換機用于終端接入。在卷包中控匯聚交換機與物流網(wǎng)絡(luò)之間部署兩臺思科ASA5540防火墻用于安全隔離。</p><p>　　卷包數(shù)采網(wǎng)絡(luò)分為生產(chǎn)網(wǎng)絡(luò)和管理網(wǎng)絡(luò)，生產(chǎn)網(wǎng)絡(luò)選用思科IE3000系列工業(yè)交換機，共部署一臺思科3750-M交換機作為匯聚交換機，另外部署5臺24口IE3000、2臺16口IE3000和1臺8口IE3000工業(yè)交換機用于生產(chǎn)網(wǎng)絡(luò)終端接入。管理網(wǎng)絡(luò)

83、接入交換機選用思科2960-S系列交換機，通過部署一臺思科3560 12口千兆光纖交換機作為匯聚交換機提供樓層交換機接入，另外部署1臺48口千兆POE交換機和2臺24口千兆POE交換機用于無線AP POE供電接入和終端接入，部署1臺48口千兆交換機和1臺24口千兆交換機用于終端接入。卷包數(shù)采生產(chǎn)網(wǎng)絡(luò)和管理網(wǎng)絡(luò)與卷包中控匯聚交換機之間部署一臺思科ASA5540防火墻用于安全隔離。</p><p><b>

84、　　制絲中控區(qū)域設(shè)計</b></p><p>　　制絲中控區(qū)域包括制絲中控和制絲車間，其中制絲中控有5個弱電間，制絲車間有9個弱電間。各弱電間信息點情況如下：</p><p>　　根據(jù)制絲中控區(qū)域信息點情況，制絲中控網(wǎng)絡(luò)拓撲圖如下：</p><p>　　制絲中控匯聚交換機采用兩臺思科6509互為冗余備份，每臺匯聚交換機配置4端口萬兆光纖模塊用于與核心交換

85、機nexus7000相連，配置一塊FWSM防火墻模塊，開啟虛擬防火墻功能，用于與高架庫和制絲集控網(wǎng)絡(luò)的安全隔離。配置一塊24口千兆光纖模塊用于樓層交換機接入，配置48口千兆電口模塊用于服務(wù)器接入和日常網(wǎng)絡(luò)維護。制絲中控樓層交換機選用思科2960-S系列可堆疊交換機，部署2臺48口千兆POE交換機用于無線AP POE供電接入和終端接入，另外4臺24口千兆交換機用于終端接入。</p><p>　　制絲車間匯聚交換機通

86、過部署兩臺思科3560 12口千兆光纖交換機作為匯聚交換機提供樓層交換機接入，另外與制絲中控匯聚交換機之間通過兩條光纖鏈路進行互連。制絲車間樓層交換機同樣選用思科2960-S系列可堆疊交換機，通過部署9臺24口千兆交換機用于終端接入。</p><p>　　能源管理中心區(qū)域設(shè)計</p><p>　　能源管理中心區(qū)域共有15個弱電間，各弱電間信息點情況如下表：</p><p

87、>　　根據(jù)能源管理中心信息點，能源管理網(wǎng)絡(luò)拓撲圖如下：</p><p>　　能源管理中心匯聚交換機采用兩臺思科4506互為冗余備份，每臺匯聚交換機配置2端口萬兆光纖模塊用于與核心交換機nexus7000相連，配置一塊24口千兆光纖模塊用于樓層交換機接入，配置48口千兆電口模塊用于服務(wù)器接入和日常網(wǎng)絡(luò)維護。部署兩臺思科ASA5540防火墻用于與能源管理生產(chǎn)網(wǎng)絡(luò)安全隔離。能源管理中心樓層交換機選用思科2960-

88、S系列可堆疊交換機，部署2臺48口千兆POE交換機和2臺24口千兆POE交換機用于無線AP POE供電接入和終端接入，另外1臺48口千兆交換機和5臺24口千兆交換機用于終端接入。</p><p><b>　　安防互聯(lián)區(qū)域設(shè)計</b></p><p>　　安防網(wǎng)絡(luò)將直接與辦公管理網(wǎng)核心交換機相連，考慮到網(wǎng)絡(luò)的安全性，在安防網(wǎng)絡(luò)與辦公管理網(wǎng)之間部署一臺思科ASA5540防

89、火墻，用于與安防網(wǎng)絡(luò)的安全隔離。</p><p><b>　　無線網(wǎng)絡(luò)設(shè)計</b></p><p>　　本項目的無線網(wǎng)絡(luò)采用集中控制式的無線網(wǎng)絡(luò)架構(gòu)。</p><p>　　集中控制式的無線網(wǎng)絡(luò)同樣采用層次化的設(shè)計思路，可分為4個層次：無線終端層、無線接入層、有線傳輸層、網(wǎng)絡(luò)控制層。</p><p>　　無線終端層主要由筆

90、記本終端，無線手持設(shè)備， WIFI話機等組成。為無線網(wǎng)絡(luò)訪問的發(fā)起方。</p><p>　　無線接入層包括不同類型的無線接入點，可能有室內(nèi)AP，室外型AP，甚至可以是MESH AP?？梢砸罁?jù)不同的環(huán)境，選取不同需求的無線接入點設(shè)備。無線接入點通過有線傳輸層和無線控制器建立專用隧道進行通信。</p><p>　　有線傳輸層為無線網(wǎng)數(shù)據(jù)的有線承載體，包括接入層交換機，匯聚層交換機等。</

91、p><p>　　網(wǎng)絡(luò)控制器包括無線控制器，無線定位設(shè)備，無線網(wǎng)絡(luò)網(wǎng)管等。無線控制器作為無線數(shù)據(jù)的終結(jié)點，將數(shù)據(jù)轉(zhuǎn)發(fā)給有線網(wǎng)絡(luò)，并提供豐富的智能化的無線網(wǎng)絡(luò)功能，提高無線網(wǎng)絡(luò)服務(wù)質(zhì)量。無線網(wǎng)管則提供一個一體化，高效率的網(wǎng)絡(luò)管理平臺。</p><p>　　本項目無線接點分布情況如下表：</p><p>　　具體無線拓撲圖如下：</p><p>　　辦

92、公大樓和技術(shù)中心無線接點均在辦公大樓內(nèi)，所以我司選用153臺思科3502I無線AP作為室內(nèi)AP。聯(lián)合工房、能源管理中心和卷包數(shù)無線接點均在廠房內(nèi)，所以我司選用42臺思科3502I無線AP作為車間AP，每臺車間AP均配置了2.4G和5G天線。</p><p><b>　　無線控制器</b></p><p>　　無線網(wǎng)絡(luò)控制層需要對不同的對象進行安全權(quán)限及網(wǎng)絡(luò)接入能力等方

93、面的控制。思科提供的網(wǎng)絡(luò)控制層可以根據(jù)不同的用戶對象做出不同的控制反應(yīng)，比如根據(jù)不同用戶群進行不同的安全策略并且返回不同的服務(wù)質(zhì)量和服務(wù)控制參數(shù)。這樣，通過網(wǎng)絡(luò)控制層，每種用戶群都可以訪問相應(yīng)的資源，并且得到相應(yīng)的服務(wù)質(zhì)量保證和安全保證。</p><p>　　在思科統(tǒng)一無線網(wǎng)絡(luò)中，無線接入點只執(zhí)行實時的802.11操作。管理和控制功能都由無線控制器執(zhí)行，無線控制器由眾多無線接入點所共享。無線接入點只執(zhí)行第一層和第

94、二層的功能，幀在這兩層進入或離開RF域，無線接入點完全依賴于無線控制器來執(zhí)行其它功能，如用戶認證、安全策略管理以及RF信道和輸出功率的選擇。這種勞動分工被稱為split-MAC架構(gòu)，正常的MAC操作被分到兩個不同的地方。無線網(wǎng)絡(luò)中的每個無線接入點都如此，它們必須將自己綁定到一個無線控制器才能啟動并支持無線客戶端。無線控制器成為無線網(wǎng)絡(luò)的中央樞紐，支持分散在有線網(wǎng)絡(luò)中的大量無線接入點。</p><p>　　無線接入

95、點與無線控制器之間的綁定是通過建立一條隧道，用于傳輸與802.11相關(guān)的消息和客戶端數(shù)據(jù)。無線接入點和無線控制器可以位于同一個IP子網(wǎng)中，也可以位于兩個完全不同的IP子網(wǎng)，而且這兩個IP子網(wǎng)可以位于不同的地方。</p><p>　　無線接入點和無線控制器必須使用數(shù)字證書彼此認證對方，這樣可以在每臺設(shè)備成為思科統(tǒng)一無線網(wǎng)絡(luò)的一部分前正確地對其進行認證，有助于確保惡意無線接入點和無線控制器無法進入網(wǎng)絡(luò)。</p&

96、gt;<p>　　我司選用思科5508無線控制器一臺，用于對無線AP的統(tǒng)一接入管理。</p><p><b>　　無線網(wǎng)管</b></p><p>　　隨著網(wǎng)絡(luò)中的設(shè)備數(shù)量不斷增多，不可避免地需要一個網(wǎng)絡(luò)管理平臺進行有效地管理和監(jiān)控。思科無線控制系統(tǒng)WCS是業(yè)界支持無線網(wǎng)絡(luò)規(guī)劃、配置、管理和移動服務(wù)的領(lǐng)先平臺，它提供了一個強大的基礎(chǔ)平臺，使網(wǎng)絡(luò)管理員能從

97、中央地點設(shè)計、控制和監(jiān)控無線網(wǎng)絡(luò)，簡化運營并降低總擁有成本。</p><p>　　憑借WCS，網(wǎng)絡(luò)管理員可擁有單一解決方案，來進行RF預(yù)測、策略配置、網(wǎng)絡(luò)優(yōu)化、排障、用戶跟蹤、安全監(jiān)控和無線網(wǎng)絡(luò)系統(tǒng)管理。強大的圖形化界面使無線網(wǎng)絡(luò)的部署和運營簡單且經(jīng)濟有效，詳細的趨勢和分析報告使WCS可為持續(xù)網(wǎng)絡(luò)運營提供重要作用。</p><p>　　WCS運行在Windows或者Linux服務(wù)器平臺上，

98、有一個內(nèi)嵌數(shù)據(jù)庫。它提供了可管理數(shù)百個思科無線控制器的可擴展性，而這些無線控制器可管理數(shù)千思科無線接入點。</p><p>　　思科WCS使無線網(wǎng)絡(luò)的配置、監(jiān)控和管理就如同有線系統(tǒng)管理一樣簡便高效。它包括以下核心功能：</p><p>　　思科WCS提供的工具能幫助網(wǎng)絡(luò)管理員查看其無線網(wǎng)絡(luò)的布局，并持續(xù)監(jiān)控無線網(wǎng)絡(luò)性能。它可以查看無線網(wǎng)絡(luò)中現(xiàn)有設(shè)備包括無線控制器，無線AP，以及無線客戶端的

99、現(xiàn)有狀態(tài)及統(tǒng)計信息。這些信息包括：網(wǎng)絡(luò)設(shè)備的狀態(tài)，性能；無線終端的狀態(tài)，性能；無線RF環(huán)境的狀態(tài)等等，為無線網(wǎng)絡(luò)的管理提供了重要的數(shù)據(jù)。</p><p>　　同時，WCS可以提供詳細的熱點圖，顯示了所輸入的地面之上的RF覆蓋范圍。思科WCS還提供了一個門戶，用戶能通過它獲得思科無線控制器所提供的實時RF管理功能，包括信道分配和接入點發(fā)射功率設(shè)置。此外，思科WCS能快速查看覆蓋盲區(qū)、報警和關(guān)鍵的使用統(tǒng)計數(shù)據(jù)，實現(xiàn)了

100、方便的無線局域網(wǎng)監(jiān)控。</p><p>　　思科WCS只需要將無線控制添加入系統(tǒng)，就可自動發(fā)現(xiàn)相關(guān)控制器上的無線AP以及這些AP上的無線客戶端，無需手工添加AP。這樣的自動發(fā)現(xiàn)功能極大的簡化了無線網(wǎng)絡(luò)的管理工作。</p><p>　　思科WCS在網(wǎng)絡(luò)報告和對噪音級別、信噪比、干擾、信號強度、客戶端、控制器、接入點、安全和性能等進行快速搜索的基礎(chǔ)上，支持網(wǎng)絡(luò)故障排除。藉此，網(wǎng)絡(luò)管理員能在無線

101、網(wǎng)絡(luò)的所有層次隔離和解決問題。另外，還提供了一個客戶端故障排除工具和支持與Cognio Spectrum Expert集成，以便對客戶端設(shè)備和非Wi-Fi干擾故障排除。</p><p>　　客戶端故障排除工具：一個內(nèi)置的客戶端故障排除工具允許網(wǎng)絡(luò)管理員快速方便地對客戶端問題進行故障排除。故障排除面板上顯示詳細的客戶端信息，以幫助網(wǎng)絡(luò)管理員快速進行故障排除。該工具包括一個總結(jié)頁面，上面列出了所定義的問題和建議采取的

102、故障排除行動，以及日志分析，它從控制器獲取日志消息，提供詳細事件歷史記錄。該工具能幫助網(wǎng)絡(luò)管理員通過逐步方式，對客戶端從物理層到網(wǎng)絡(luò)層進行問題糾錯。</p><p>　　思科WCS支持可定制的安全訪客接入，在保持其無線網(wǎng)絡(luò)安全的同時，使客戶、供應(yīng)商和合作伙伴都能在受控情況下接入其無線網(wǎng)絡(luò)。借助思科訪客接入，管理員能向無線控制器上載一個HTML文件，以替代基于無線控制器的默認訪客登錄頁面。管理員能先預(yù)覽定制頁，然后

103、再激活它并選擇顯示默認訪客屏幕還是定制登錄屏幕。 </p><p>　　訪客用戶配置人員能夠根據(jù)時間和日期來安排和定制自動訪客接入，并在訪客到達前通過電子郵件向他們發(fā)送登錄信息，對訪客進行預(yù)配置。此外還能定義思科WCS園區(qū)、建筑物或樓層區(qū)域，來根據(jù)網(wǎng)絡(luò)地點限制訪客用戶的接入。密碼能自動生成，也能人工定義。</p><p><b>　　主要設(shè)備選型</b></p&

104、gt;<p>　　核心交換機CISCO nexus 7000（2臺）</p><p>　　制絲中控匯聚交換機CISCO 6509（2臺）</p><p>　　制絲中控防火墻模塊CISCO FWSM（2臺）</p><p>　　萬兆匯聚交換機CISCO 4506（2臺）</p><p>　　千兆匯聚交換機CISCO 4506（6臺

105、）</p><p>　　千兆匯聚光纖交換機CISCO 3560-E（4臺）</p><p>　　48口萬兆POE交換機CISCO 2960S（10臺）</p><p>　　24口萬兆POE交換機CISCO 2960S（2臺）</p><p>　　48口千兆POE交換機CISCO 2960S（10臺）</p><p>　

106、　24口千兆POE交換機CISCO 2960S（8臺）</p><p>　　48口千兆交換機CISCO 2960S（19臺）</p><p>　　24口千兆交換機CISCO 2960S（35臺）</p><p>　　工業(yè)以太網(wǎng)匯聚交換機CISCO 3750-M（1臺）</p><p>　　24口工業(yè)以太網(wǎng)交換機CISCO IE3000（5臺）