遼東學(xué)院企業(yè)網(wǎng)絡(luò)工程設(shè)計方案

1 遼東學(xué)院企業(yè)網(wǎng)絡(luò)工程設(shè)計方案 一、需求分析 （一）網(wǎng)絡(luò)構(gòu)建背景需求 為了適應(yīng)業(yè)務(wù)的發(fā)展和國際化的需要，積極參與國家信息化進程，提高管理水平，展現(xiàn)全新的形象，某廠準(zhǔn)備建立一個現(xiàn)代化的機構(gòu)內(nèi)部網(wǎng)，實現(xiàn)信息的共享、協(xié)作和通訊，并和 下屬各個 部門互連，并在此基礎(chǔ)上開發(fā)建設(shè)現(xiàn)代化的企業(yè)應(yīng)用系統(tǒng)，實現(xiàn)智能型、信息化、快節(jié)奏、高效率的管理模式。總體目標(biāo)是建立該企業(yè)的辦公業(yè)務(wù)信息網(wǎng)絡(luò)交換平臺，集成下屬各部門信息網(wǎng)絡(luò)系統(tǒng)，功能齊全、技術(shù)先進、集成化的網(wǎng)絡(luò)系統(tǒng)。 （二）網(wǎng)絡(luò)應(yīng)用需求 1、 實現(xiàn)企業(yè)局域網(wǎng)與其他各網(wǎng)絡(luò)之間的安全、高速 數(shù)據(jù)訪問交換 。 2、 采用 理服務(wù)，實現(xiàn)企業(yè)所有站點通過電腦網(wǎng)絡(luò)高速訪問 3、 建立 務(wù)器，實現(xiàn)企業(yè)在 的信息發(fā)布，使公司內(nèi)外的人員能夠即使了解公司的最新信息。 4、 建立郵件服務(wù)器，實現(xiàn)企業(yè)工作人員與上級機構(gòu)、分支機構(gòu)等的電子信息的傳遞。 5 、 構(gòu) 建 起 企 業(yè) 運 行 基 于 網(wǎng) 絡(luò) 設(shè) 計 的 客 戶 機 / 服務(wù)器 ) 或覽器 /服務(wù)器 )結(jié)構(gòu)的辦公自動化系統(tǒng)、各種信息管理系統(tǒng)的網(wǎng)絡(luò)硬件平臺和系統(tǒng)運行平臺。 公司 用是作為我們設(shè)計網(wǎng)絡(luò)一期的依據(jù)，因此，我們從公司 用及應(yīng)用發(fā)展入手，分析目前及未來發(fā)展的公司 用，并根據(jù)這些應(yīng)用的自身特點，從帶寬需求、傳輸時延、傳輸?shù)目煽啃浴鬏數(shù)陌踩缘纫蛩貋矸治?，綜合考慮并總結(jié)出公司 用的發(fā)展需求。 （三）網(wǎng)絡(luò)技術(shù)需求 1、主干網(wǎng)絡(luò)采用速率為 1000交換技術(shù)。作為公司主干的支撐網(wǎng)絡(luò)，要求安全可靠，并可實現(xiàn)主干網(wǎng)絡(luò)冗余、鏈路容錯等功能。 2、系統(tǒng)各層網(wǎng)絡(luò)之間良好互聯(lián)。 3、千兆交換機與主機服務(wù)器之間良好互聯(lián)。 4、 具有良好便捷網(wǎng)絡(luò)管理平臺。網(wǎng)管系統(tǒng)是開放式網(wǎng)管平臺，并可以對全網(wǎng)進行故障管理、配置管理、性能管理、事物處理管理、流量控制管理、日志管理、多廠家產(chǎn) 2 品管理、 理、效率管理和圖形化管理。 5、網(wǎng)絡(luò)骨干設(shè)備具有較高的可靠性；核心設(shè)備支持熱插拔，具有容錯設(shè)計。 6、網(wǎng)絡(luò)設(shè)備具有較好的擴展性，系統(tǒng)能夠平滑升級及擴充。 7、采用國際標(biāo)準(zhǔn) P 協(xié)議。 （四）功能需求 設(shè)計 的 網(wǎng)絡(luò) 要達(dá)到的功能 如下： (1)信息的共享 功能 ； (2)公司管理； (3)辦公自動化； (4)高速 浪 ； （ 5）網(wǎng)絡(luò)的各個桌 面用戶可共享數(shù)據(jù)庫、共享打印機，實現(xiàn)辦公自動化系統(tǒng)中的各功能； （ 6）通信服務(wù)功能； （ 7）最終用戶通過廣域網(wǎng)連接可以收發(fā)電子郵件、實現(xiàn) 用、接入互聯(lián)網(wǎng)、進行安全的廣域網(wǎng)訪問； （ 8）多媒體功能； （ 9）支持多媒體組播，具有卓越的服務(wù)質(zhì)量保證功能； （ 10）遠(yuǎn)程 入訪問功能； （ 11）系統(tǒng)支持遠(yuǎn)程 入，外地員工可利用 程訪問公司資源。 （五）網(wǎng)絡(luò)安全需求 網(wǎng)絡(luò)安全主要解決訪問互聯(lián)網(wǎng)及中心服務(wù)器的安全問題，考慮以下因素： 1、公司網(wǎng)與 相連后具有“防火墻” 過濾功能，以防止網(wǎng)絡(luò)黑客入侵網(wǎng)絡(luò)系統(tǒng)； 2、良好的認(rèn)證體系可防止假冒合法用戶的攻擊； 3、良好的備份和恢復(fù)機制，可在攻擊造成損失時，幫助系統(tǒng)盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)； 4、多層防御，攻擊者在突破第一道防線后，應(yīng)有多層防御可以延緩或阻斷其到達(dá)攻擊目標(biāo)； 5、通過 址轉(zhuǎn)換功能隱藏內(nèi)部信息，這樣可以使攻擊者不能了解系統(tǒng)內(nèi)的基本情況； 6、設(shè)立安全監(jiān)控中心為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護及緊急情況服務(wù)。 3 二、 網(wǎng)絡(luò)規(guī)劃設(shè)計 （一）設(shè)計目標(biāo) 該企業(yè)網(wǎng)絡(luò)系統(tǒng)應(yīng)是一個以寬帶 為目標(biāo)，建立數(shù)據(jù)、語音、 視頻三網(wǎng)合一的一體化內(nèi)部辦公網(wǎng)絡(luò)和外部寬帶。網(wǎng)絡(luò)系統(tǒng)應(yīng)實現(xiàn)虛擬局域網(wǎng)（ 功能，以保證全網(wǎng)的良好性能及網(wǎng)絡(luò)安全性。主干網(wǎng)交換機應(yīng)具有很高的包交換速度，整個網(wǎng)絡(luò)應(yīng)具有高速的三層交換功能。主干網(wǎng)絡(luò)應(yīng)該采用成熟的、可靠的千兆以太網(wǎng)技術(shù)作為網(wǎng)絡(luò)系統(tǒng)主干。同時該網(wǎng)應(yīng)選用先進的網(wǎng)管軟件，建立完善的網(wǎng)絡(luò)管理體系；在設(shè)備方面，應(yīng)選擇有成功案例的網(wǎng)絡(luò)廠商的設(shè)備，同時為 號用戶和移動用戶提供接口，網(wǎng)絡(luò)還應(yīng)具有良好的擴展性。 （二）設(shè)計原則 1、 遵循中國公眾多媒體通信網(wǎng)技術(shù)體制、中國公眾多媒體通信 網(wǎng)工程實施技術(shù)要求以及其它國家相關(guān)標(biāo)準(zhǔn)和技術(shù)體制。 2、 采用層次化設(shè)計，網(wǎng)絡(luò)結(jié)構(gòu)的不同部分有不同的功能，使網(wǎng)絡(luò)具有優(yōu)良的結(jié)構(gòu)。 3、 優(yōu)化網(wǎng)絡(luò)和系統(tǒng)結(jié)構(gòu)，并在各個層面考慮冗余和備份，使系統(tǒng)具有較高的容錯能力和應(yīng)變能力，以保證系統(tǒng)的可靠和有效運作 。 4、 選用的技術(shù)確保開放性、可移植性、兼容性和 可 擴展性。 采用通用的國際標(biāo)準(zhǔn)和協(xié)議，不采用有礙網(wǎng)絡(luò)互通的廠家特有性能。 5、 提供有效的安全保密措施，確保整個網(wǎng)絡(luò)的安全。重要網(wǎng)絡(luò)設(shè)備應(yīng)有適當(dāng)?shù)娜哂鄠浞荨?6、 盡量詳細(xì)準(zhǔn)確，減低工程的復(fù)雜程度，使系統(tǒng)建設(shè)和改造 的工作量減至最少，以保證工程的順利和有效完成。 （三）設(shè)計要求 1、 實用性：網(wǎng)絡(luò)建設(shè)從應(yīng)用實際需求出發(fā)，堅持為領(lǐng)導(dǎo)決策服務(wù)，為經(jīng)營管理服務(wù)，為生產(chǎn)建設(shè)服務(wù)。另外，如果是對現(xiàn)有網(wǎng)絡(luò)升級改造，還應(yīng)該充分考慮如何利用現(xiàn)有資源，盡量發(fā)揮設(shè)備效益。 2、 適度先進性：規(guī)劃局域網(wǎng)，不但要滿足用戶當(dāng)前的需要，還應(yīng)該有一定技術(shù)前瞻性和用戶需求預(yù)見性，考慮到能夠滿足未來幾年內(nèi)用戶對網(wǎng)絡(luò)功能和帶寬的需要。采 4 用成熟的先進技術(shù)，兼顧未來的發(fā)展趨勢，即量力而行，又適當(dāng)超前，留有發(fā)展余地。 3、 經(jīng)濟性：要求價格適中，設(shè)備及耗材要求采用質(zhì) 量過硬，物美價廉，投資預(yù)算不超過 20 萬。 4、 安全可靠性：確保網(wǎng)絡(luò)可靠運行，在網(wǎng)絡(luò)的關(guān)鍵部分應(yīng)具有容錯能力，提供公共網(wǎng)絡(luò)連接、通信鏈路、服務(wù)器等全方位的安全管理系統(tǒng)。 5、 開放性：采用國際標(biāo)準(zhǔn)通信協(xié)議、標(biāo)準(zhǔn)操作系統(tǒng)、標(biāo)準(zhǔn)網(wǎng)管軟件、采用符合標(biāo)準(zhǔn)的設(shè)備，保證整個系統(tǒng)具有開放特點，增強與異機種、異構(gòu)網(wǎng)的互聯(lián)能力。 6、 可擴展性：系統(tǒng)便于擴展，保證前期的投資的有效性與后期投資的連續(xù)性 7、 安全保密性：為了保證網(wǎng)上信息的安全和各種應(yīng)用系統(tǒng)的安全，在規(guī)劃時就要為局域網(wǎng)考慮一個周全的安全保密方案。 （四）設(shè)備分析 根據(jù)對 網(wǎng)絡(luò)需求的考察，根據(jù)合理性、實用性和節(jié)約費用等原則進行設(shè)備選擇 ： 1、 基于路由器和交換機的局部網(wǎng)間的互聯(lián)是最好的解決方案。網(wǎng)絡(luò)協(xié)議方面，以網(wǎng)際協(xié)議（ 為校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)的公用網(wǎng)絡(luò)協(xié)議實行標(biāo)準(zhǔn)化，使用 為標(biāo)準(zhǔn)傳輸協(xié)議，在以后對網(wǎng)絡(luò)進行擴充以與其它的網(wǎng)絡(luò)互連時，可以跨越多個平臺自然而然地提供互操作能力和無縫連接功能 。 2、 在主干網(wǎng)建設(shè)時，選擇 統(tǒng)產(chǎn)品，它能夠以極具競爭力的價格提供所有技術(shù)，為我們提供一個集成化、高性能、靈活、可伸縮、安全和高性能價格比的解決方案的標(biāo)準(zhǔn)。 3、 在局部網(wǎng)建設(shè)方面，選 擇使用 備作為骨干網(wǎng)基礎(chǔ)設(shè)施的基礎(chǔ)。 夠高速傳輸數(shù)據(jù)，同時通過它們 一體化的網(wǎng)絡(luò)解決方案。 4、 計算機終端設(shè)備的選型既考慮性能、價格比、設(shè)備的運行維護費用，也考慮設(shè)備的可擴充性，確保系統(tǒng)主要設(shè)備的投入在整個系統(tǒng)的生命周期內(nèi)能得到充分利用并具有強健靈活的體系結(jié)構(gòu)。同時，也考慮局部子網(wǎng)對硬件和信息流量的要求，必須能夠提供專用的高速帶寬，以處理日常數(shù)據(jù)信息和峰值操作，并能夠支持各種新技術(shù)和新增用戶。 5、 安 全性是另一個關(guān)鍵要求，要保證能夠安全地接入 （五） 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計 在用戶的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計中，我們建議采用層次化的結(jié)構(gòu)設(shè)計。 對于用戶即將建設(shè)的網(wǎng)絡(luò)系統(tǒng)來說，想要建設(shè)成為一個覆蓋范圍廣、網(wǎng)絡(luò)性能優(yōu)良、 5 具有很強擴展能力和升級能力的網(wǎng)絡(luò)，在起初的設(shè)計中就必須采用層次化的網(wǎng)絡(luò)設(shè)計原則。采用這樣的結(jié)構(gòu)所建設(shè)的網(wǎng)絡(luò)具有良好的擴充性、管理性，因為新的子網(wǎng)模塊和新的網(wǎng)絡(luò)技術(shù)能被更容易集成到整個系統(tǒng)中，而不破壞已存在的骨干網(wǎng)。 大多數(shù)的網(wǎng)絡(luò)都可以被層次性劃分為三個邏輯服務(wù)單元：核心骨干網(wǎng) (匯聚網(wǎng) (接入網(wǎng) (模塊化網(wǎng)絡(luò)設(shè)計方法的目標(biāo)在于把一個大型的網(wǎng)絡(luò)元素劃分成一個個互連的網(wǎng)絡(luò)層次。層次性結(jié)構(gòu)如下圖 一 所示。 圖一 根據(jù)項目的具體需求及現(xiàn)有的光纖結(jié)構(gòu)，結(jié)合網(wǎng)絡(luò)建設(shè)的基本理論和原則，各入網(wǎng)部門的實際情況，應(yīng)用需求，資金條件和遠(yuǎn)，近目標(biāo)等各方面的要求，設(shè)計出該網(wǎng)絡(luò)為拓?fù)浣Y(jié)構(gòu)為分層的集中式結(jié)構(gòu)或稱星型分級拓?fù)洹?內(nèi)部網(wǎng)絡(luò)拓?fù)鋱D： 6 圖二 網(wǎng)絡(luò)邏輯拓?fù)浣Y(jié)構(gòu)如圖 二 所示。它是在基于高端路由交換機的基礎(chǔ)之上而設(shè)計的新的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。簡要說明如下 ： 整個網(wǎng)絡(luò)由核心層、匯聚層和接入層兩大部分組成。 核心層是由 業(yè)級核心路由交換機組成。 匯聚層 是 由 由交換機組成。 接入層是由接入層樓層交換機 成。 主要網(wǎng)絡(luò)設(shè)備列表： 拓?fù)浣Y(jié)構(gòu) 設(shè)備型號 數(shù)量（臺） 核心層路由交換機 匯聚層路由交換機 接入層樓層交換機 6 以行政樓中心機房為中心，下屬部門為接入點的星型連接方式。現(xiàn)階段出于用戶的應(yīng)用和先進性考慮，通過千兆光纖連接。 各樓層的辦公網(wǎng)是以星型的方式千兆直接連接到各匯聚機房的匯聚交換機上后，由匯聚交換機通過千兆接到核心交換機。我們可采用千兆路由交換機與各 段的交 7 換機（ 接而組成星型網(wǎng)絡(luò)，實現(xiàn)千兆核心網(wǎng)絡(luò)到各樓層，百兆到桌面，滿足各種應(yīng)用的需要。 核心層交換機與服務(wù)器群的相連是以千兆以太網(wǎng)的方式。 （六） 內(nèi)部網(wǎng)絡(luò)設(shè)計 1 核心層交換機的設(shè)計 核心層主要功能是給 下層各業(yè)務(wù)匯聚節(jié)點提供 務(wù)平面高速承載和交換通道，負(fù)責(zé)進行數(shù)據(jù)的高速轉(zhuǎn)發(fā)，同時核心層是局域網(wǎng)的骨干，是局域網(wǎng)互連的關(guān)鍵。對核心骨干網(wǎng)絡(luò)設(shè)備的部署應(yīng)為能夠提供高帶寬、大容量的核心路由交換設(shè)備，同時應(yīng)具備極高的可靠性，能夠保證 24 小時全天候不間斷運行，也就必須考慮設(shè)備及鏈路的冗余性、安全性，而且核心骨干設(shè)備同時還應(yīng)擁有非常好的擴展能力，以便隨著網(wǎng)絡(luò)的發(fā)展而發(fā)展。 基于對核心層的功能及作用，根據(jù)用戶的實際需求，本方案中對網(wǎng)絡(luò)系統(tǒng)中核心層由 列的企業(yè)級核心交換機 成 。其主要任務(wù)是提供高性能、高安全性的核心數(shù)據(jù)交換、 為接入層提供高密度的上聯(lián)端口。為整個大樓寬帶辦公網(wǎng)提供交換和路由的核心，完成各個部分?jǐn)?shù)據(jù)流的中央?yún)R集和分流。同時為數(shù)據(jù)中心的服務(wù)器提供千兆高速連接。 根據(jù)該企業(yè)的建筑分布及網(wǎng)絡(luò)規(guī)模，以行政樓的中心機房作為整個網(wǎng)絡(luò)系統(tǒng)的核心節(jié)點。核心節(jié)點由 2 臺同檔次的網(wǎng)絡(luò)核心設(shè)備構(gòu)成，它們互為備份且流量負(fù)載均衡。 2臺網(wǎng)絡(luò)核心交換機作為整個網(wǎng)絡(luò)的核心層設(shè)備，為各個匯聚層和接入層交換機提供上聯(lián)。同時提供了各個服務(wù)器的可靠接入。 由于 路 由交換機，也即同時具有第二層和第三層的交換能力，為了充分利用資源，將 務(wù)器、 E 務(wù)器、數(shù)據(jù)庫服務(wù)器、文件 務(wù)器、認(rèn)證的服務(wù)器（ 及網(wǎng)管設(shè)備等通過千兆直接連人核心交換機，以解決帶寬瓶頸，充分利用核心交換機的交換能力。 核心交換機作為信息網(wǎng)絡(luò)的核心設(shè)備，性能的優(yōu)劣直接影響到整個網(wǎng)絡(luò)運行。在設(shè)備的選型上必須考慮到有足夠的背板帶寬，包交換能力，是否支持設(shè)備的冗余，安全性，擴展性等各種性能。企業(yè)級核心交換機 全滿足上述的各項要求。 企 業(yè)級核心路由交換機 性能特性及技術(shù)指標(biāo)如下： 交換機類：企業(yè)級交換機 應(yīng)用層級：三層 接口介質(zhì)： 10/100 1008 傳輸速率： 1000 端口數(shù)量： 48 背板帶寬： 32 持：支持 網(wǎng)管功能：網(wǎng)管功能 包轉(zhuǎn)發(fā)率： 址： 12k 網(wǎng)絡(luò)標(biāo)準(zhǔn)： 端口結(jié)構(gòu)：非模塊化 2 匯聚層交換機的設(shè)計 匯聚層主要完 成的任務(wù)是對各業(yè)務(wù)接入節(jié)點的業(yè)務(wù)匯聚、管理和分發(fā)處理，是完成網(wǎng)絡(luò)流量的安全控制機制，以使核心網(wǎng)和接入訪問層環(huán)境隔離開來；同時匯聚層起著承上啟下的作用，對上連接至核心層，對下將各種寬帶數(shù)據(jù)業(yè)務(wù)分配到各個接入層的業(yè)務(wù)節(jié)點，匯聚層位于中心機房或下聯(lián)單位的分配線間，主要用于匯聚接入路由器以及接入交換機。 因此對匯聚層的交換機部署時必須考慮交換機必須具有足夠的可靠性和冗余度，防止網(wǎng)絡(luò)中部分接入層變成孤島；還必須具有高處理能力，以便完成網(wǎng)絡(luò)數(shù)據(jù)會聚、轉(zhuǎn)發(fā)處理；具有靈活、優(yōu)化的網(wǎng)絡(luò)路由處理能力，實現(xiàn)網(wǎng)絡(luò)匯聚的優(yōu)化。而且 規(guī)劃匯聚層時建議匯聚層節(jié)點的數(shù)量和位置應(yīng)根據(jù)業(yè)務(wù)和光纖資源情況來選擇；匯聚層節(jié)點可采用星形連接，每個匯聚層節(jié)點保證與兩個不同的核心層節(jié)點連接。 根據(jù)匯聚層在整個網(wǎng)絡(luò)中的作用以及用戶的實際需求，本方案中匯聚層共設(shè)計了 3個節(jié)點，即：行政樓、生產(chǎn)車間和運輸樓（工段辦）。 匯聚層網(wǎng)絡(luò)設(shè)備全部采用了 換機。該交換機支持各種高級路由協(xié)議，如 播、 由。 匯聚路由交換機 性能特性及技術(shù)指標(biāo)如下： 交換機類：企業(yè)級交換機 應(yīng)用層級：三層 接口介質(zhì)： 10/100 100 傳輸速率： 1000 端口數(shù)量： 24 背板帶寬： 32 持：支持 9 網(wǎng)管功能： 管理 3 接入層交換機的設(shè)計 接入層主要用來支撐客戶端機器對服務(wù)器的訪問，主要是指接入路由器、交換機、終端訪問用戶。它利用多種接入技術(shù)，迅速覆蓋至用戶節(jié)點，將不同地理分布的用戶快速有效地接入到信息網(wǎng)的匯聚。對上連 接至匯聚層和核心層，對下進行帶寬和業(yè)務(wù)分配，實現(xiàn)用戶的接入。 根據(jù)我們所借鑒的項目設(shè)計經(jīng)驗，匯聚層節(jié)點與接入層節(jié)點可考慮采用星形連接，每個接入層節(jié)點與兩個匯聚層節(jié)點連接。當(dāng)接入層采用其它結(jié)構(gòu)（如環(huán)行）連接到匯聚層時，建議提供兩條不同路由通道。 根據(jù)接入層處在網(wǎng)絡(luò)系統(tǒng)中所起的作用以及用戶的實際需求，本方案中接入層部分由 司的 換機構(gòu)成。其主要功能是為該區(qū)域下屬各部門的網(wǎng)絡(luò)用戶提供大量性價比極高的 10/100 兆網(wǎng)絡(luò)接口，并與信息中心的核心交換機通過 1000 兆光纖 鏈路互聯(lián)為接入的用戶提供高速上聯(lián)。 接入層樓層交換機 性能特性及技術(shù)指標(biāo)情況如下： 交換機類：快速以太網(wǎng)交換機 應(yīng)用層級：二層 傳輸速率： 1000000M 端口數(shù)量： 24 背板帶寬： 16 持：支持 網(wǎng)管功能： 覽器 包轉(zhuǎn)發(fā)率： 址： 8K 網(wǎng)絡(luò)標(biāo)準(zhǔn)： 02 端口結(jié)構(gòu)：非模塊化 交換方式：存 儲 產(chǎn)品內(nèi)存： 64 傳輸模式：支持全雙工 網(wǎng)管支持：支持 模塊化插： 2 10 4軟件選擇 1、名稱： 數(shù)據(jù)庫 品牌： i 型號規(guī)格： i 標(biāo)準(zhǔn)版 (5 用戶 ) 2、 名稱： 務(wù)器 品牌： 型號規(guī)格： 5000 用戶 美國億郵公司專業(yè)郵件系統(tǒng) 3、名稱： 服務(wù)器操作系統(tǒng) 品牌： 微軟 型號規(guī)格： 000 教育中文標(biāo)準(zhǔn)版 (5 客戶 ) 4、 名稱： 服務(wù)器操作系統(tǒng) 品牌： 型號規(guī)格： 5、名稱： 000 品牌： 微軟 型號規(guī)格： 育中文標(biāo)準(zhǔn)版 (5 客戶 ) 5 址的設(shè)計 （ 1） 址規(guī)劃和分配原則 1） 根據(jù)目前網(wǎng)絡(luò)結(jié)構(gòu)和以后擴展，遵循以下原則進行 址分配。 址必須唯一，一個 址對應(yīng)一臺數(shù)據(jù)通訊設(shè)備； 同一網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于規(guī)劃，同時提高路由器尋徑效率； 址的分配應(yīng)該有層次性，某個局部的變動不影響網(wǎng)絡(luò)的其它部分； 用可變長子網(wǎng)掩碼技術(shù)，要求采用支持可變長子網(wǎng)掩碼技術(shù)的 P 協(xié)議族； 便路由匯總，縮減路由表條目，提高路由器處理效率。 要考慮到 址的使用現(xiàn)狀，又要考慮到未來信息網(wǎng)絡(luò)的發(fā)展，為各單位分配合理的地址空間，在網(wǎng)絡(luò)上盡可能少地做 少網(wǎng)絡(luò)設(shè)備 理負(fù)擔(dān)和加快網(wǎng)絡(luò)訪問速度。 2）業(yè)務(wù)地址的劃分可以按照兩個原則來分配： 個部門一個獨立的網(wǎng)段；這種方案適合業(yè)務(wù)種類單一的情況，管理方便。 種業(yè)務(wù)一 個網(wǎng)段，所有的地市同一業(yè)務(wù)使用同一網(wǎng)段，這種方案適合業(yè)務(wù)之間互訪的控制。 （ 2） 網(wǎng)絡(luò)地址分配 址規(guī)劃和分配包括以下內(nèi)容： 1）設(shè)備及互連鏈路地址規(guī)劃與分配 2）業(yè)務(wù)地址規(guī)劃與分配 11 3）服務(wù)器地址規(guī)劃與分配 根據(jù)以上 址的劃分原則，本方案建議 設(shè)計如下： A 段（行政樓、門衛(wèi)）： 2 B 段（生產(chǎn)車間、產(chǎn)區(qū)辦）： 3 C 段（運輸樓、工段辦）： 7 6 設(shè)計 （ 1） 劃分的作用及原則 虛擬局域網(wǎng)的英文縮寫，它最簡明的描述就是可以實現(xiàn)將連接在同一個物理網(wǎng)絡(luò)上面的主機分組，使它們看起來就象連接在不同的網(wǎng)絡(luò)上一樣。我們可以通過 網(wǎng)絡(luò)分段，各個網(wǎng)段可以共用同一套網(wǎng)絡(luò)設(shè)備，節(jié)約了網(wǎng)絡(luò)硬件的開銷，同時在遷移中所需的工作量也大幅度降低了，從而降低了連網(wǎng)成本。 在用戶的企業(yè)局域網(wǎng)系統(tǒng)中，我們建議基于 準(zhǔn)實現(xiàn) 在 計中，我們使用 到兩個目的： 第一，不同業(yè)務(wù)部門之間的隔離和通信控制； 第二，廣播范圍抑制。 （ 2） 分 建議根據(jù)各個辦公室的地理位置來劃分 如果同一棟樓內(nèi)包含很多部門，而這些部門的職能和工作內(nèi)容又有很大的區(qū)別，我們就可以在樓內(nèi)按照部門來劃分 另外，如果某個部門需要跨越很多建筑物，分布范圍比較廣，例如部門 A 分布的很散，在很多交換機上都預(yù)留了部門 A 的信息點，我們則可以按照交換機的位置來設(shè)置 樣，部門 A 就可能對應(yīng)多個 果 部門 A 所對應(yīng)的 間需要通信的話，我們可以通過 的路由來實現(xiàn)。這樣做的好處是：可以減少廣播數(shù)據(jù)包對網(wǎng)絡(luò)主干的影響。因為如果將部門 A 全部劃分到一個 ，而這些 跨越了網(wǎng)絡(luò)主干，分布在眾多不同的交換機上，這樣如果有廣播包時，這些廣播包必然會在網(wǎng)絡(luò)的主干上傳輸，然后到達(dá)相應(yīng)的交換機上，也就占用了網(wǎng)絡(luò)主干的帶寬，容易造成其他業(yè)務(wù)的時延。 為了減少傳輸沖突，提高系統(tǒng)整體性能和網(wǎng)絡(luò)處理能力，另外，還考慮到網(wǎng)絡(luò)良好的管理性，易于維護和安全策略的實施，針對用戶網(wǎng)絡(luò)系統(tǒng)的實際情況，可以 把功能（應(yīng)用）相近的設(shè)備群組劃分到同一 同部門的設(shè)備劃分到不同 去，這樣就能夠通過訪問控制列表技術(shù)實施安全策略。限制未授權(quán)的用戶訪問重要的服務(wù)器和 12 數(shù)據(jù)庫。 （ 3） 間安全控制 在用戶網(wǎng)絡(luò)系統(tǒng)中，由于在中心使用了三層核心交換機，因此所有的 間的訪問都需要通過三層核心交換機進行，因此可以通過 問控制列表）控制 樣就可以允許高優(yōu)先級的 訪問低優(yōu)先級的 ，而低優(yōu)先級的 不能訪問或有限的訪問高優(yōu)先級 。 （七） 外部 網(wǎng)絡(luò)設(shè)計 該企業(yè)網(wǎng)絡(luò)用戶為對 行訪問，而且為了保證其安全性，要求能夠訪問用戶與不能訪問 用戶進行完全的物理隔離，則需要另建立一套網(wǎng)絡(luò)系統(tǒng) (簡稱為外網(wǎng) )。網(wǎng)絡(luò)用戶 (即外網(wǎng)用戶 ) 通過外網(wǎng)布線系統(tǒng)接至各樓層的交換機，匯總到外網(wǎng)的主交換機后，接入到防火墻上，防火墻通過 址轉(zhuǎn)換功能（ 將網(wǎng)絡(luò)用戶 (即外網(wǎng)用戶 )的私有 址轉(zhuǎn)換成 網(wǎng) 址，通過光電轉(zhuǎn)換器與電信相連的方式訪問 使該企業(yè)網(wǎng)絡(luò)內(nèi)外網(wǎng)互相獨立，達(dá)到 完全的物理隔離的目的。 與外部網(wǎng)絡(luò)互連的設(shè)備是帶防火墻的路由器，根據(jù)需要選擇企業(yè)級路由器 性能特性及技術(shù)指標(biāo)情況如下： 端口結(jié)構(gòu)：非模塊化 廣域網(wǎng)接： 2 個 局域網(wǎng)接： 4 個 傳輸速率： 10/100/1000 網(wǎng)絡(luò)管理： 理 用戶數(shù)量： 800 臺 防火墻：內(nèi)置防火墻 持：支持 持：支持 處理器： 64 位全千兆網(wǎng)絡(luò)芯片 網(wǎng)絡(luò)安全：支持網(wǎng)站過濾 上網(wǎng)限制 狀態(tài)指示： 度，電源， 電源功 率：最大 25W 環(huán)境標(biāo)準(zhǔn)：工作溫度： 0 工作 其它性能： 纖、以太網(wǎng)、 13 三、綜合布線設(shè)計 （一）綜合布線概述 現(xiàn)代科技的進步使計算機及網(wǎng)絡(luò)技術(shù)飛速發(fā)展，提供越來越強大的計算機處理能力和網(wǎng)絡(luò)通信能力。計算機及網(wǎng)絡(luò)通信技術(shù)的應(yīng)用大大提高了現(xiàn)代企業(yè)的生產(chǎn)管理效率，降低運作成本，并使得現(xiàn)代企業(yè)能更快速有效地獲取市場信息，及時決策反應(yīng)，提供更快捷更滿意的客戶服務(wù)，在競爭中保持領(lǐng)先。計算機及網(wǎng)絡(luò)通信技術(shù)的應(yīng)用已經(jīng)成為企業(yè)成功的一個關(guān)鍵因素。 綜合布線系統(tǒng)就是為了順應(yīng)發(fā)展需求而特別設(shè)計的一 套布線系統(tǒng)。對于現(xiàn)代化的大樓來說，就如 人 體內(nèi)的神經(jīng)，它采用了一系列高質(zhì)量的標(biāo)準(zhǔn)材料，以模塊化的組合方式，把語音、數(shù)據(jù)、圖像和部分控制信號系統(tǒng)用統(tǒng)一的傳輸媒介進行綜合，經(jīng)過統(tǒng)一的規(guī)劃設(shè)計，綜合在一套標(biāo)準(zhǔn)的布線系統(tǒng)中，將現(xiàn)代建筑的三大子系統(tǒng)有機地連接起來，為現(xiàn)代建筑的系統(tǒng)集成提供了物理介質(zhì)?？梢哉f結(jié)構(gòu)化布線系統(tǒng)的成功與否直接關(guān)系到現(xiàn)代化的大樓的成敗，選擇一套高品質(zhì)的綜合布線系統(tǒng)是至關(guān)重要的。 計算機及通信網(wǎng)絡(luò)均依賴布線系統(tǒng)作為網(wǎng)絡(luò)連接的物理基礎(chǔ)和信息傳輸?shù)耐ǖ馈鹘y(tǒng)的基于特定的單一應(yīng)用的專用布線技術(shù)因缺乏靈活性 和發(fā)展性，已不能適應(yīng)現(xiàn)代企業(yè)網(wǎng)絡(luò)應(yīng)用飛速發(fā)展的需要。而新一代的結(jié)構(gòu)化布線系統(tǒng)能同時提供用戶所需的數(shù)據(jù)、話音、傳真、視像等各種信息服務(wù)的線路連接，它使話音和數(shù)據(jù)通信設(shè)備、交換機設(shè)備、信息管理系統(tǒng)及設(shè)備控制系統(tǒng)、安全系統(tǒng)彼此相連，也使這些設(shè)備與外部通信網(wǎng)絡(luò)相連接。它包括建筑物到外部網(wǎng)絡(luò)或電話局線路上的連線、與工作區(qū)的話音或數(shù)據(jù)終端之間的所有電纜及相關(guān)聯(lián)的布線部件。布線系統(tǒng)由不同系列的部件組成，其中包括：傳輸介質(zhì)、線路管理硬件、連接器、插座、插頭、適配器 、 傳輸電子線路、電器保護設(shè)備和支持硬件 等。 （二）綜合布線系 統(tǒng)的特點 相對于以往的布線，綜合布線系統(tǒng)的特點可以概況為： 實用性 ： 實施后 ， 布線系統(tǒng)將能夠適應(yīng)現(xiàn)代和未來通信技術(shù)的發(fā)展，并且實現(xiàn)話音、數(shù)據(jù)通信等信號的統(tǒng)一傳輸 。 靈活性 ： 布線系統(tǒng)能滿足各種應(yīng)用的要求，即任一信息點能夠連接不同類型的終端設(shè)備，如電話、計算機、打印機、電腦終端、傳真機、各種傳感器件以及圖 像 監(jiān)控設(shè)備等。 模塊化 ： 綜合布線系統(tǒng)中除去固定于建筑物內(nèi)的水平纜線外，其余所有的接插件都是基本式的標(biāo)準(zhǔn)件，可互連所有話音、數(shù)據(jù)、圖 像 、網(wǎng)絡(luò)和樓宇自動化設(shè)備，以方便使用、搬遷、更改、擴容和管理。 14 擴展性 ： 綜合布線系 統(tǒng)是可擴充的，以便將來有更大的用途時 ， 很容易將新設(shè)備擴充進去。 經(jīng)濟性 ： 采用綜合布線系統(tǒng)后可以使管理人員減少，同時，因為模塊化的結(jié)構(gòu)，工作難度大大降低了日后因更改或搬遷系統(tǒng)時的費用。 通用性 ： 對符合國際通信標(biāo)準(zhǔn)的各種計算機和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)均能適應(yīng)，對不同傳遞速度的通信要求均能適應(yīng)，可以支持和容納多種計算機網(wǎng)絡(luò)的運行。 （三）綜合 布線系統(tǒng) 的結(jié)構(gòu) 根據(jù)國際標(biāo)準(zhǔn) 定義，結(jié)構(gòu)化布線系統(tǒng)可由以下系統(tǒng)組成：工作區(qū)子系統(tǒng) 、 水平干線子系統(tǒng) 、 垂直干線子系統(tǒng) 、 設(shè)備間子系統(tǒng) 、 管理子系統(tǒng) 、 建筑群子系統(tǒng)。 整個建筑的綜 合布線系統(tǒng)是將各種不同組成部分構(gòu)成一個有機的整體，而不是像傳統(tǒng)的布線那樣自成體系，互不相干，也很難互通。 1工作區(qū) 子系統(tǒng) 工作區(qū)子系統(tǒng)（ 它是由 線與信息 插 座所連接的設(shè)備（終端或工作站）組成的。其中，信息 插 座有墻上型、地面型、桌上型等多種。 在進行終端設(shè)備和 I/O 連接時，可能需要某種傳輸電子裝置，但這種裝置并不是工作區(qū)子系統(tǒng)的一部分。例如，調(diào)制解調(diào)器，它能為終端與其他設(shè)備之間的兼容性傳輸距離的延長提供所需的轉(zhuǎn)換信號，但不能說是工作區(qū)子系統(tǒng)的一部分。 工作區(qū) 子系統(tǒng)中所使用的連接器必須具備有國際 準(zhǔn)的 8 位接口，這種接口能接收樓宇自動化系統(tǒng)所有低壓信號以及高速數(shù)據(jù)網(wǎng)絡(luò)信息和數(shù)碼聲頻信號。工作區(qū)子系統(tǒng)設(shè)計時要注意如下要點 ： （ 1） 從 座到設(shè)備間的連線用雙絞線，一般不要超過 5m； （ 2） 座必須安裝在墻壁上或不易碰到的地方，插座距離地面 30上 ； （ 3） 配線架上的信息模塊與信息插座和插頭的線纜的制作要采用同一標(biāo)準(zhǔn)，如68A 或 568B，不可接錯。 2水平干線子系統(tǒng) 水平干線子系統(tǒng)（ 稱為水平子系統(tǒng)。水平干線子系統(tǒng)是整個布線系統(tǒng)的一部分 ， 它是從工作區(qū)的信息插座開始到管理間子系統(tǒng)的配線架 。 結(jié)構(gòu)一般為星狀結(jié)構(gòu)，它與垂直干線子系統(tǒng)的區(qū)別在于：水平干線子系統(tǒng)總是在一個樓層上，僅與信息插座、管理間連接。在綜合布線系統(tǒng)中，水平干線子系統(tǒng)由 4 對 屏蔽雙絞線）組成，能支持大多數(shù)現(xiàn)代化通信設(shè)備，如果有磁場干擾或信息保密時可用屏蔽雙絞線。在高寬帶應(yīng)用時，可以采用光纜。 15 從用戶工作區(qū)的信息插座開始，水平布線子系統(tǒng)在交叉處連接，或在小型通信系統(tǒng)中的以下任何一處進行互聯(lián)：遠(yuǎn)程（衛(wèi)星）通信接線間、干線 接線間或設(shè)備間。在設(shè)備間中，當(dāng)終端設(shè)備位于同一樓層時，水平干線子系統(tǒng)將在干線接線間或遠(yuǎn)程通信（衛(wèi)星）接線間的交叉連接處連接。 在水平干線子系統(tǒng)的設(shè)計中，綜合布線的設(shè)計必須具有全面介質(zhì)設(shè)施方面的知識，能夠向用戶或用戶的決策者提供完善而又經(jīng)濟的設(shè)計。 考慮用戶的需求， 設(shè)計時要注意如下要點 ： （ 1） 水平干線子系統(tǒng)用線一般為雙絞線 ； （ 2） 長度一般不超過 90m； （ 3） 用線必須走線槽或在天花板吊頂內(nèi)布線，盡量不走地面線槽 ； （ 4） 用 五 類雙絞線可傳輸速 率 為 100s，用超五類雙絞線可傳輸速率為 1s； （ 5） 確定介質(zhì)布線方法和線纜的走向 ； （ 6） 確定距服務(wù)接線間距離最近的 I/O 位置 ； （ 7） 確定距服務(wù)接線間距離最遠(yuǎn)的 I/O 位置 ； （ 8） 計算水平區(qū)所需線纜長度。 3垂直干線子系統(tǒng) 垂直干線子系統(tǒng)也稱骨干子系統(tǒng)（ 它是整個建筑物綜合布線系統(tǒng)的一部分。它提供建筑物的干線電纜，負(fù)責(zé)連接管理間子系統(tǒng)到設(shè)備間子系統(tǒng)的子系統(tǒng)，一般使用光纜或選用大對數(shù)的非屏蔽雙絞線。它也提供了建筑物垂直干線電纜的路由。該子系統(tǒng)通常是在兩個單元之間，特別是在位于中央結(jié)點的公共系統(tǒng)設(shè)備處 提供多個線路設(shè)施。該子系統(tǒng)由所有的布線電纜組成，或由導(dǎo)線和光纜以及將此光纜連到其他地方的相關(guān)支撐硬件組合而成。傳輸介質(zhì)可能包括一幢多層建筑物的樓層之間垂直布線的內(nèi)部電纜或從主要單元如計算機房或設(shè)備間和其他干線接線間來的電纜。 為了與建筑群的其他建筑物進行通信，干線子系統(tǒng)將中繼線交叉連接點和網(wǎng)絡(luò)接口（由電話局提供的網(wǎng)絡(luò)設(shè)施的一部分）連接起來。網(wǎng)絡(luò)接口通常放在設(shè)備相鄰的房間。 垂直干線子系統(tǒng)還包括如下幾項 ： （ 1） 垂直干線或遠(yuǎn)程通信（衛(wèi)星）接線間、設(shè)備間之間的豎向或橫向的電纜走向用的通道 ； （ 2） 設(shè)備間和網(wǎng)絡(luò)接 口之間的連接電纜或設(shè)備與建筑群子系統(tǒng)各設(shè)施間的電纜 ； （ 3） 垂直干線接線間與各遠(yuǎn)程通信（衛(wèi)星）接線間之間的連接電纜 ； （ 4） 主設(shè)備間和計算機主機房之間的干線電纜 。 設(shè)計 與安裝 時要注意如下要點 ： 16 （ 1） 垂直干線子系統(tǒng)一般選用 超五類 纜或多模光纖 ，以提高傳輸速率 ； （ 2） 光纜可選用多模的（室外遠(yuǎn)距離的），也可以是單模的（室內(nèi)） ； （ 3） 垂直干線電纜的拐彎處不要直角拐彎，應(yīng)有相當(dāng)?shù)幕《?，以防光纜受損 ； （ 4） 垂直電纜要求安裝在 內(nèi)或槽內(nèi) ，架空電纜要防止雷擊 ； （ 5） 確定每層樓的干線要求和防雷電的設(shè)施 ； （ 6） 滿足整幢大樓干線要求和防雷擊的設(shè)施。 4設(shè)備間子系統(tǒng) 設(shè)備間子系統(tǒng)也稱設(shè)備子系統(tǒng)（ 設(shè)備間子系統(tǒng)由電纜、連接器和相關(guān)支撐硬件組成。它把各種公共系統(tǒng)設(shè)備的多種不同設(shè)備互聯(lián)起來，其中包括郵電部門的光纜、同軸電纜、程控交換機等。設(shè)計時注意要點如下 ： （ 1） 設(shè)備間要有足夠的空間保障設(shè)備的存放 ； （ 2） 設(shè)備間要有良好的工作環(huán)境（溫度、濕度） ； （ 3） 設(shè)備間的建設(shè)標(biāo)準(zhǔn)應(yīng)按機房建設(shè)標(biāo)準(zhǔn)設(shè)計 ，要有性能良好的接地保護系統(tǒng) 。 5管理子系統(tǒng) 管理間子系統(tǒng)（ 交連、互聯(lián)和 I/O 組成。管理間為連接其他子系統(tǒng)提供手段，它是連接垂直干線子系統(tǒng)和水平干線子系統(tǒng)的設(shè)備，其主要設(shè)備是配線架、 機柜、電源。 交連和互聯(lián)允許將通信線路定位或重定位在建筑物的不同部分，以便能更容易地管理通信線路。 I/O 位于用戶工作區(qū)和其他房間或辦公室，使在移動終端設(shè)備時能夠方便地進行插拔。在使用跨接線或插入線時，交叉連接允許將端接在單元一端的電纜上的通信線路連接到端接在單元另一端的電纜上的線路?？缃泳€是一根很短的單根導(dǎo)線，可將交叉連接處的二根導(dǎo)線端點連 接起來；插入線包含幾根導(dǎo)線，而且每根導(dǎo)線末端均有一個連接器。插入線為重新安排線路提供了一種簡易的方法。 互聯(lián)與交叉連接的目的相同，但它不使用跨接線或插入線，只使用帶插頭的導(dǎo)線、插座、適配器。互聯(lián)和交叉連接也適用于光纖。在遠(yuǎn)程通信（衛(wèi)星）接線區(qū)，如果是安裝在墻上的布線區(qū)，交叉連接可以不要插入線，因為線路經(jīng)常是通過跨接線連接到 I/ 設(shè)計時要注意如下要點： （ 1） 配線架的配線對數(shù)可由管理的信息點數(shù)決定 ； （ 2） 利用配線架的跳線功能，可使布線系統(tǒng)實現(xiàn)靈活、多功能的能力 ； （ 3） 配線 柜一般由配線模塊、配線架和 理線面板組成； （ 4） 管理間子系統(tǒng)應(yīng)有足夠的空間放置配線架和網(wǎng)絡(luò)設(shè)備（ 換 機 等） ； 17 （ 5） 網(wǎng)絡(luò)設(shè)備需配有安全接地保護系統(tǒng)和功率匹配的凈化電源或 （ 6） 設(shè)備房間內(nèi) 保持一定的溫度和濕度， 以利于設(shè)備維護 。 6 建筑群子系統(tǒng) 該子系統(tǒng)將一個建筑物的電纜延伸到另外一些建筑物中的通信設(shè)備和裝置上，是結(jié)構(gòu)化布線系統(tǒng)的一部分，支持提供樓群之間通信所需的硬件。它由大對數(shù)電纜、光纜和入樓處線纜上的過流、過壓電氣保護設(shè)備等相關(guān)硬件組成，常用介質(zhì)是光纜。 設(shè)計中進入主設(shè)備間的所有光纖、大對數(shù)電纜、電信電纜都采用金 屬橋架或鋼管進行硬件保護，同時采用 對保護器對銅纜予以電氣保護，避免人員和設(shè)備免遭外部電壓和電流的傷害。 本方案中的建筑群子系統(tǒng)包括與電信部門的電纜 /光纜連接，及將來與職工住宅小區(qū)的連接；住宅小區(qū)通過光纜主干與辦公樓連接，可使辦公區(qū)、住宅區(qū)共享一條寬帶，實現(xiàn)家庭辦公的需要，節(jié)省網(wǎng)絡(luò)使用費。 （四）系統(tǒng)總體設(shè)計 根據(jù)公司建筑物的結(jié)構(gòu)以及綜合布線的設(shè)計方案，規(guī)劃出線纜走向，綜合布線的各個系統(tǒng)以及線纜的大致走向的示意圖如圖 示。 圖 合布線的示意圖 18 （五）系統(tǒng)結(jié)構(gòu)設(shè)計描述 在企業(yè)網(wǎng)絡(luò) 的規(guī)劃與設(shè)計的布線設(shè)計中，我們針對辦公樓的建筑布局、信息點分布及弱電井位置等實際情況，在樓層配線間的設(shè)計上進行了優(yōu)化配置：既考慮了樓層配線架的安裝位置盡量不占用辦公區(qū)域，便于管理；也考慮了使用上的靈活性及水平線纜90m 的要求。根據(jù)公司對上網(wǎng)的要求，我們采用高帶寬的光纖接入。在綜合布線的整個過程中我們依照以下設(shè)計原則： 以“滿足客戶的需求”為第一前提，適當(dāng)超前，統(tǒng)一規(guī)劃； 先進性：選擇的產(chǎn)品要技術(shù)領(lǐng)先期長、產(chǎn)品豐富，價格適中；具有大容量、高速率，能適應(yīng)將來發(fā)展的應(yīng)用； 可擴展性：布線系統(tǒng)不但要能滿足現(xiàn)階段的 業(yè)務(wù)需求，還要滿足將來業(yè)務(wù)增長和新技術(shù)發(fā)展的要求； 便于升級：計算機網(wǎng)絡(luò)技術(shù)以驚人的速度向前發(fā)展，因此系統(tǒng)的設(shè)計要便于升級； 高可靠性：綜合布線系統(tǒng)是網(wǎng)絡(luò)應(yīng)用所依賴的基礎(chǔ)，因此選擇的系統(tǒng)產(chǎn)品要具備較好的可靠性和抗干擾性； 標(biāo)準(zhǔn)化：通訊協(xié)議和接口符合國際標(biāo)準(zhǔn)，并應(yīng)是今后的發(fā)展主流； 開放性：能容納不同廠家的設(shè)備和不同的網(wǎng)絡(luò)平臺； 安全性：具有保證信息不被竊、不丟失的機制； 實用性：系統(tǒng)拓?fù)浣Y(jié)構(gòu)滿足公司的各種應(yīng)用要求； 設(shè)計、施工、運營與服務(wù)：強調(diào)以人為本的設(shè)計思想，為用戶提供安全、舒適、方便、快捷、高效、工作 環(huán)境； 由于布線系統(tǒng)有很長的使用期，反復(fù)布線只會造成投資上的浪費和時間上的消耗。因此，在設(shè)計時盡量做到統(tǒng)一規(guī)劃，注重實用，適當(dāng)超前，一次達(dá)到較為先進的水平。 19 四、 網(wǎng)絡(luò)安全設(shè)計 網(wǎng)絡(luò)安全是一種策略及管理，而不僅僅是某一種產(chǎn)品，是一個系統(tǒng)工程，它包括了物理層、網(wǎng)絡(luò)層、應(yīng)用層等一系列安全措施和策略。從外在上安全包括五個基本要素：機密性、完整性、可用性、可控性與可審查性。 1、 機密性：確保信息不暴露給未授權(quán)的實體或進程。 2、 完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。 3、 可 用性：得到授權(quán)的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。 4、 可控性：可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。 5、 可審查性：對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。 （一） 網(wǎng)絡(luò)安全設(shè)計 通常認(rèn)為，安全是三分技術(shù)，七分管理，因此我們建議該企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全保護措施： 1 人員角色劃分 要對用戶網(wǎng)絡(luò)進行有效的安全管理，必須對系統(tǒng)的使用人員和管理人員的不同角色進行清晰的劃分，不同的角色擁有不同的權(quán)限和職責(zé)，互相制約，共同保障整個系統(tǒng)的安全性。 對于用戶網(wǎng)絡(luò)系統(tǒng)涉及的各類 人員，我們建議劃分如下角色： (1) 決策專家。 (2) 安全管理員。 (3) 審計員。 (4) 系統(tǒng)管理員。 2 路由認(rèn)證和保護 路由認(rèn)證（ 就是運行于不同設(shè)備的相同的動態(tài)路由協(xié)議之間，對相互傳遞的路由刷新報文進行的確認(rèn)，以便使得設(shè)備能夠接受真正而安全的路由刷新報文。 任何運行一個不支持路由認(rèn)證的路由協(xié)議，都存在著巨大的安全隱患。某些惡意的攻擊者可以利用這些漏洞，向網(wǎng)絡(luò)發(fā)送不正確或者不一致的路由刷新，由于設(shè)備無法證實這些刷新，而使得設(shè)備被欺騙，最終導(dǎo)致網(wǎng)絡(luò)的癱瘓。 目前，多數(shù)路由協(xié)議支持 路由認(rèn)證，并且實現(xiàn)的方式大體相同。認(rèn)證過程有基于明 20 文的，也有基于更安全的 驗。 證與明文認(rèn)證的過程類似，只不過密鑰不在網(wǎng)絡(luò)上以明文方式直接傳送。路由器將使用 法產(chǎn)生一個密鑰的 “消息摘要 ”。這個消息摘要將代替密鑰本身發(fā)送出去。這樣可以保證沒有人可以在密鑰傳輸?shù)倪^程中竊取到密鑰信息。使用 證算法的路由協(xié)議有： 本 2 關(guān)閉 能服務(wù) 有些 性對局域網(wǎng)來說是有用的，但對廣域網(wǎng)或城域網(wǎng)節(jié)點的設(shè)備是不適用的。如果 這些特性被惡意攻擊者利用，會增加網(wǎng)絡(luò)的危險，因此，網(wǎng)絡(luò)設(shè)備應(yīng)具備關(guān)