【導讀】校區(qū)內有辦公樓、教學樓、圖。書館、宿舍樓各一座，各樓均假設為6層。校園網(wǎng)的管理機構學院網(wǎng)絡中心位于辦公樓。園網(wǎng)連接了這4座樓，并接入了因特網(wǎng)。它的基本任務是確定系統(tǒng)必須完成哪些工作，對目標系統(tǒng)提出完整、準確、清。晰和具體的要求?；p少辦公開支提高辦公效率等。用百兆的五類線連接。通?？紤]，建議數(shù)據(jù)信息點的接入用交換10/100Mbps. 自適應以太網(wǎng)端口接入，以便能較經(jīng)濟的提供較高的帶寬。整個方案設計的目的是建設一個。高性能的寬帶多媒體校園網(wǎng)。的普遍采用可以大大提高教學效果。宿舍區(qū)內都配備了無線信號發(fā)射器，實現(xiàn)了wlan. SERVER架設起一個FTP服務器。地址則是一臺計算機連入互聯(lián)網(wǎng)的唯一標識。因此在網(wǎng)絡規(guī)劃與設計中，VLAN及IP地址規(guī)

　　

【正文】 AN）的劃分，使整個校園網(wǎng)更具 有可規(guī)劃性、安全性及可靠性。 系統(tǒng)安全，保密性高，中心交換機支持第三層路由功能，虛擬網(wǎng)絡方便 管理、提高網(wǎng)絡安全與性能。 支持多媒體應用包括多媒體教室、電子閱覽室、多媒體教學。 所有網(wǎng)絡設備支持多種協(xié)議，支持多媒體傳輸，如 IP 語 音傳輸、電視會 議、視頻點播等應用。 功能強大的專業(yè)網(wǎng)管系統(tǒng)，使網(wǎng)絡管理從單純的配置管理擴展到設備配 置和網(wǎng)絡健康狀況等多個方面，管理界面友好，使用靈活方便。 系統(tǒng)具有很強的可擴展性和投資保護性。選用的中心交換機為模塊化結 構，具有較強的可擴展性。 1 實驗 6 實驗項目： 系統(tǒng)集成投標書制作 (編碼： E1205406) 實驗目的： 了解系統(tǒng)集成招投標的流程，會制作簡單的系統(tǒng)集成投標書。 實驗儀器： 能上網(wǎng) 的 PC 機。 原理概述： 目前所有政府部門、國家撥款的事業(yè)單位、國有企業(yè)的采購行為都要進行公開招標，有些民營企業(yè)的采購行為也要進行公開招標。根據(jù)國家規(guī)定，公開招標有規(guī)范的流程，而且對投標書的內容、格式也有要求，不符合要求的投標書不可能投標成功。 實驗內容步驟： 系統(tǒng)集成網(wǎng)絡架構 解決 方案建議書 2 目錄 一、 項目背景 二、 系統(tǒng)總體設計 方案 技術需求 網(wǎng)絡拓撲的基本雛形 三、 內部局域網(wǎng)設計 內部局域網(wǎng)的組網(wǎng)方式及體系結構 內部局域網(wǎng)的選型及配置 核心層交換機 匯聚層交換機 接入層交換機 四、 設備配置清單 五、 網(wǎng)絡體系的安全設計 六、 綜合布線的設計與實施 七、 日常運營 八、 補充說明 3 一、項目背景 為使企業(yè)內能夠方便快捷的實現(xiàn)網(wǎng)絡資源共享、全網(wǎng)接入 Inter 等目標，計劃建設自己的企業(yè)園區(qū)網(wǎng)絡，希望通過這個新建的網(wǎng)絡，提供一個安全、可靠、可擴展、高效的網(wǎng)絡環(huán)境，將多個辦公地點連接到一起，同時實現(xiàn)公司內部的信息保密隔離，以及對于公網(wǎng)的安全訪問。 該企業(yè)的具體環(huán)境如下： ⑴ 企業(yè)具有多個辦公地點，且相距較近，最遠不超過 500 米 。 ⑵ 辦公地點具有的部門較多，例如業(yè)務部、財務部、綜合部等，為主要的辦公場所，因此這部分的交換網(wǎng)絡對可用性和可靠性要求較高。員工宿舍也具備上網(wǎng)條件。 ⑶ 公司已經(jīng)申請到了三個公網(wǎng) IP 地址，供企業(yè)內網(wǎng)接入使用 。 ⑷ 公司內部使用私網(wǎng) 地址 。 針對以上技術要求我們做出以下方案要求： 第一部分 對該企業(yè)進行需求分析（包括企業(yè)概述、業(yè)務需求、環(huán)境需求、通信量需求、安全需求、管理需求等） 第二部分 對企業(yè)網(wǎng)絡進行邏輯設計（包括網(wǎng)絡結構設計、核心層、匯聚層和接入層的設計，根據(jù)需求畫出網(wǎng)絡拓撲圖，制作出詳細的 IP 地址規(guī)劃和 vlan 劃分表格） 第三部分 對企業(yè)網(wǎng)絡進行技術選型（包括主干網(wǎng)技術選型、路由協(xié)議選型、 NAT、 ACL 等技術，概況描述選擇某項技術的原因） 第四部分 對企業(yè)網(wǎng)絡進行物理設計（包括核心層、匯聚層和物理層設備選型，并對所選設備主 要技術指標、功能以及在本企業(yè)方案中起到的作用進行介紹，防火墻和服務器的設計可考慮，也可不做） 第五部分 網(wǎng)絡安全與管理設計（包括防火墻的應用，網(wǎng)管的應用等） 系統(tǒng)的設計原則： ⑴ 充分滿足功能上的需求。 ⑵ 結構和性能上都留足余量和升級空間。 ⑶ 遵循業(yè)界先進標準。 ⑷ 本著結構合理，高效低成本的原則。 ⑸ 用戶使用上和管理上的靈活性。 4 二、系統(tǒng)總體設計方案 技術需求（采用先進的網(wǎng)絡通信技術完成企業(yè)網(wǎng)絡的建設） 方案采用層次結構設計。核心層采用兩臺模塊化、高性能交換機，互為冗余。核心交換機之間用兩條光纖連接，通過鏈路的捆綁技術實現(xiàn)雙千兆或雙萬兆的高帶寬。 分布層使用三層交換機，通過兩條光纖上連到兩臺核心交換機，實現(xiàn)在冗余線路上 的負載均衡和上行鏈路發(fā)生故障時的快速恢復。分布層交換機通過光纖連接到接入層交換機，并通過其三層交換功能實現(xiàn)接入層虛網(wǎng)之間的數(shù)據(jù)交換。 在主干連接 (主干設備之間、與匯聚設備之間的連接 )具備可靠的線路冗余方式，采用負載均衡的冗余方式，即通常情況下兩條連接均提供數(shù)據(jù)傳輸， 并互為備份。主線路切換到備份線路的時間應小于 500ms，高速的網(wǎng)絡自愈特性應可以保證不會引起 IP路由的重新計算。 設備冗余 在核心節(jié)點使用兩臺核心 設備 提供設備級冗余，當其中一個設備因故障停止工作時，另一臺設備自動接替其工作，并且不引起其他節(jié)點的路由表重新計算，從而提高網(wǎng)絡的穩(wěn)定性。 路由冗余 網(wǎng)絡的結構設計應提供足夠的路由冗余功能，在上述冗余特性仍不能解決問題時，數(shù)據(jù)鏈應尋找其他路徑達到目的地址。 可管理性和易維護性 網(wǎng)絡需要很高的可管理性，特別是在數(shù)據(jù)、視頻等多業(yè)務的網(wǎng)絡系統(tǒng)里，要使用可管理的網(wǎng)絡設備，可以識別關鍵資源，根據(jù)流量狀況以及網(wǎng)絡性能配置閾值并為不同的應用提供不同的帶寬，使所有的服務能夠順利完成。 隨著系統(tǒng)的投入運行和系統(tǒng)資源的不斷增加，網(wǎng)絡系統(tǒng)應具有很好的易維護性，使管理人員易于維護，減少不必要的額外勞動，提高工作效率。 匯聚層是樓群或小區(qū)的信息匯聚點 ,是連接接入層和核心層的網(wǎng)絡設備 ,為接入層提供數(shù)據(jù)的匯聚 \傳輸 \管理 \分發(fā)處理 .匯聚層為接入層提供基于策略的連接 ,如地址合并 ,協(xié)議過濾 ,路由服務 ,認證管理等 .通過網(wǎng)段劃分 (如 VLAN)與網(wǎng)絡隔離可以防止某些網(wǎng)段的問題蔓延和影響到核心層 .匯聚層同時也可以提供接入層虛擬網(wǎng)之間的互連 ,控制和限制接入層對核心層的訪問 ,保證核心層的安全和穩(wěn)定 . 匯聚層設備一般采用可管理的三層交換機或堆疊式交換機以達到帶寬和傳輸性能的要求。其設備性能較好，但價格高于接入層設備，而且對環(huán)境的要求也較高，對電磁輻射、溫度、濕度和空氣潔凈度等都有一定的要求。匯聚層設備之間以及匯聚層設備與核心層設備之間多采用光纖互聯(lián)，以提高系統(tǒng)的傳輸性能和吞吐量。 5 一般來說，用戶訪問控制會安排在接 入層，但這并非絕對，也可以安排在匯聚層進行。在匯聚層實現(xiàn)安全控制和身份認證時，采用的是集中式的管理模式。當網(wǎng)絡規(guī)模較大時，可以設計綜合安全管理策略，例如在接入層實現(xiàn)身份認證和 MAC 地址綁定，在匯聚層實現(xiàn)流量控制和訪問權限約束。 入層采用二層交換機，通過光纖或雙絞線連接到分布層交換機。對工作站密集的區(qū)域，可采用交換機堆疊。 網(wǎng)絡采用虛網(wǎng)設計，服務器劃入單獨虛網(wǎng)，并根據(jù)功能歸入不同的虛網(wǎng)。服務器通過雙鏈路分別連接到兩臺核心交換機，通過核心交換機的三層交換功能實現(xiàn)服務器和其它虛網(wǎng)之間的數(shù)據(jù)交換，制定安全規(guī)則為服務器提供安全保護。 web 服務器 ,信息系統(tǒng)服務器 ,代理服務器 ,各占用一個公網(wǎng) IP,信息系統(tǒng) ,代理用兩張網(wǎng)卡 ,外面設 VLAN vlan 是在帶有 vlan 功能的交換機（比如 tplink2109 之類的）中劃分，服務器直接連到交換機中， vlan交換機的每個口都能做 uplink 用 為了方便管理最好是用靜態(tài) ip 以 8 口 valn 交 換機為例，具體劃分如下： 劃分 vlan 為兩個組 2345 和 3456， 78 可用作 trunk 交換機 1網(wǎng)段 1： ，分配 vlan 口 2345，服務器 1 接 vlan 口 3，交換機 1 接 vlan口 5 交換機 2網(wǎng)段 2： ，分配 vlan 口 3456，服務器 2 接 vlan 口 4，交換機 2 接 vlan口 6 這樣服務器 1 和 2，在 vlan 中的位置是 vlan 口 3 和 4，所以他們能夠同時在網(wǎng)段 1 和 2 因此實現(xiàn)了跨網(wǎng)段工作，兩個局域網(wǎng) 就可以實現(xiàn)互訪 另外的兩個 ip 可以用于內部用于管理的計算機使用虛擬地址以便組建企業(yè)內部的管理信息系統(tǒng)和信息發(fā)布系統(tǒng) 這樣可以實現(xiàn)三個局域網(wǎng)，然后用一個 16 口的 vlan 實現(xiàn)三網(wǎng)互通 最好還要有個監(jiān)控的機器遠程管理這三個局域網(wǎng) 在網(wǎng)絡中心使用模塊化路由設備，可以采用 E1 等多種形式的鏈路連接分支單位的路由器，中心與分支單位在專線鏈路上可采用 MPLVPN 等技術隔離業(yè)務，提供更高的安全等級。Inter 出口配置防火墻，保護內網(wǎng)，根據(jù)需要還可以配置 IDS/IPS 等安全檢測工具，為企業(yè)提供一個安全可靠的環(huán)境 網(wǎng)絡。 中小型企業(yè)的信息化具有規(guī)模較小，結構簡單的特點。資金投入少、短期回報高、穩(wěn)定 性好是中小型企業(yè)的信息化最關心的問題。 方案圍繞中小企業(yè)應用特點和所關心的要點，采用二層結構設計。配置一臺多層交換機作為網(wǎng)絡的中心，服務器與接入交換機直接連接在核心交換機上。采用虛網(wǎng)技術，按照企業(yè)實際需求規(guī)劃虛網(wǎng)，數(shù)據(jù)等服務器與工作站隔離，在核心交換機上做安全規(guī)則，隔離業(yè)務和訪問限制。 WEB 服務器部署在防火墻安全內，企業(yè)內部通過防火墻接入 Inter。 6 對于分支機構分布地域廣的企業(yè)，廣域網(wǎng)已是必不可缺少的。廣域網(wǎng)絡傳統(tǒng)的連接方式是租用專線，專線不但建設成本高，而且后期維護投入也很大。 IP VPN 技術的出現(xiàn)，為企業(yè)建立廉價、快速的廣域網(wǎng)提供了條件，以低成本的代價便可建立快速、安全的現(xiàn)代企業(yè)廣域網(wǎng)信息系統(tǒng)。 方案采用 IP VPN 技術，只需在總部和分支機構安裝 VPN 服務器，便可完成高安全 、低成本、高效率的企業(yè)廣域網(wǎng)。 ●高安全 VPN 網(wǎng)絡解決方案不僅支持 IPSEC、 GRE、 PPTP 等協(xié)議，以及 IDEA、DES、 3DES 加密算法，同時還可通過 IKE、共享秘鑰進行身份認證等方式，防止諸如 DoS、PING 包等多種方式的攻擊，不但為企業(yè)的應用系統(tǒng)提供專用、安全、高效的網(wǎng)絡應用環(huán)境，還具備移動用戶接入的功能。 ●高效率 下屬成員單位隨時與總部保持連接，網(wǎng)絡速度快，信息交換迅速及時。 ●低成本 不改變企業(yè)現(xiàn)有 Inter 接入方式，設備投入少，以極低的建設資金為企業(yè)創(chuàng)造更多效益 ....... 網(wǎng)絡拓撲的基本雛形