第一篇:小型企业办公楼建网络规划方案
小型企业办公楼建网络规划方案
1.文件服管理系统
这是最基本的应用服务,服务器相当于一个信息系统的大仓库,保证用户和服务器磁盘子系统之间快速传递数据。在服务器的各个子系统中,对系统性能影响最大的首先是网络子系统,其次是磁盘子系统,再次是内存容量。
2.数据库服务
对系统各方面(除网络子系统外)性能要求最高的应用,如财务、库存和人事管理应用等。需要高性能CPU和快速的磁盘子系统来满足大量的随机I/O请求及数据传送。服务器瓶颈依次为:内存、磁盘子系统和CPU。1.防火墙系统
防火墙作为内部网络与外部网络之间的第一道安全屏障,是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛, 是最先受到人们重视的网络安全技术,是实施安全防范的系统,可被认为是一种访问控制机制,用于确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。
对于小型企业的办公楼网络设计建议是用代理防火墙:代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务(如多媒体)。现要较为流行的代理服务器软件是WinGate和Proxy Server。防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
1)总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
2)防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。3.邮件服务
扮演电子邮件路由器和仓库的角色。服务器瓶颈依次为:网络子系统、内存、磁盘子系统和CPU。
4.杀毒软件的选择这里介绍几款比较直流的沙土软件概况 KILL企业版 V6.0
冠群金辰公司推出的KILL企业版是一款优秀的网络杀毒软件,包括KILL企业版管理服务器、KILL企业版客户端、远程安装工具组件。这些组件的主要功能是:
(1)KILL企业版管理服务器:可同Windows NT/2000/XP的性能监视器紧密集成,并可在Windows管理台实现对系统中Unix、Linux和NetWare服务器的病毒扫描管理,利用丰富的图表形式可以动态实时监视全网中所有关键服务器的安全状况,实现对整个防病毒系统的中央集中控管,并可实时配置全网的杀毒和报警置,分发报警及升级信息等。
2.)KILL企业版客户端:可以对联网或未联网的计算机进行病毒防护,即可独立配置,也可接受KILL企业版管理服务器的集中管理。
(3)远程安装工具:可使KILL企业版管理服务器端一次性在多台目标机器上安装KILL企业版客户端。强大的集中管理
KILL企业版可同Windows NT/2000/XP的性能监视器紧密集成,利用丰富的图表形式动态实时表现服务器的防病毒软件运行状况和病毒活动情况。管理员仅需在管理台前打开性能监视器就可以动态实时监视全网中所有关键服务器的安全状况。
在大型的网络中,管理员可以根据现有的网络管理结构对防病毒系统进行规划,管理员通过中央控制台能够实现对整个防病毒系统的中央集中控管,对客户端的完全控制。对客户端的管理时不需要在客户端驻留任何远程管理程序,彻底杜绝了由于防病毒远程管理程序的安全漏洞和后门而导致的整个网络范围的安全隐患。
KILL企业版防病毒软件能够在企业的所有主流操作系统平台上安装运行,并可在Windows管理台实现对系统中Unix、Linux和NetWare服务器的病毒扫描管理。
先进的病毒扫描技术
KILL企业版采用业界领先的双引擎扫描方式:InoculateIT和Vet两大世界著名病毒扫描引擎,帮助企业构建一个多层防范的防病毒体系,这是KILL企业版最主要的一个特性之一。用户还可以根据实际使用情况调配系统资源占有率,并可利用系统低谷期或空闲期采用多种病毒扫描方式,确保查杀病毒过程不会影响用户系统的使用。
安全智能的安装升级方式
KILL企业版可采用服务器端推送方式或者通过在服务器端设置登录脚本等方式,实现在Windows 95/98/ME/NT/2000/XP等平台的自动安装,并且无需重新启动计算机即可马上使用。在后续的特征码、引擎升级时同样无需重启。采用增量升级方式可有效减少防毒软件升级产生的网络负载,更采用独一无二的技术,无需指明升级模式,即可自动进行判断使用全升级还是增量升级。
KILL产品采用数字签名技术对病毒升级特征码进行保护,在升级前进行签名校验,确认无误后才进行升级,从而杜绝病毒冒充升级文件侵害用户系统,并且病毒特征文件可实现从控制台到客户端的自动分发和升级。
当然,该软件在报警日志和杀毒能力上也十分出色。KV杀毒王网络版
江民新科技术有限公司(简称江民科技)成立于1996年,是中国主要的杀毒软件生产厂商之一。本次参加测试的KV杀毒王网络版是江民科技最近新推出的网络杀毒软件,该软件包括控制中心、控制台、杀毒客户端等几个部分:(1)控制中心:智能识别系统环境,对Windows域用户,自动安装网络版客户端。自动升级系统定时检查新版本,升级包自动分发局域网内的各服务器与客户端,全网版本同步更新。自动报警客户端发现病毒后,自动上报至中央控制中心,第一时间掌握网内安全状况。
(2)控制台:是杀毒王网络版集中控制的核心,对整个系统的操作都可以从这里发出,一般控制台会随服务器安装而安装,不过你也可以在定制安装里面进行选择来安装,控制台不是一定要安装在网络版服务器上,你可以选择任意安装一台机器进行安装,这样,可以方便网络管理员从不同的地方来操作管理整个网络的病毒防御系统。
(3)杀毒客户端:是杀毒王网络版的杀毒先锋,直接安装于服务器和各种客户端上,秉承了江民科技以前单机杀毒软件的有点,可以高效的查杀计算机病毒。安装使用简单方便
杀毒王网络版的安装简单方便,对软硬件的要求较低,无需数据库、LDAP、IIS、Apache的支持,极大的减轻了中小型企业的负担。并且,杀毒王网络版继承了单机版杀毒软件的风格,符合Windows用户的使用习惯,简单易用。灵活的功能设置
杀毒王网络版的组件简单使用,控制台可以安装于网络中的任何一个位置,管理简单方便,并且整个网络杀毒组件的部署与网络拓扑结构无关,部署灵活。杀毒王网络版可以自动分析Windows网络的拓扑结构,能够有效的规划部署网络防毒组件,并且可以自动识别Windows网络中域控制器,可以自动对域用户进行安装部署。另外,杀毒王网络版还提供了多种辅助工具,如智能升级、病毒隔离、引导区备份、IE修复等功能,可以实现病毒定义和杀毒引擎的升级、数据备份、系统修复等功能。
江民公司提供的杀毒王网络版,提供了常用的网络控制管理功能,可以满足中小型企业的Windows网络杀毒的需要,可以根据用户的需求进行定制,并且具有价格低廉的优势,25用户版本在千元一下,非常适合中小企业或部门的网络杀毒。Symantec AntiVirus企业版 V8.0
赛门铁克公司推出的Symantec AntiVirus企业版是一款优秀的网络杀毒软件,包括Symantec服务器、系统中心控制台、Symantec Client Security、Symantec Packager和Alert Management Server组件构成。这些组件的主要功能是:(1)Symantec系统中心:管理控制台,在Windows NT/2000/XP Professional计算机上运行。可以执行各种操作,比如向工作站和服务器分发企业版病毒防护,更新病毒定义,管理运行客户端程序。
(2)Symantec 企业版服务器:可以将配置和病毒定义文件分装到各个客户端,并且可以对服务器进行病毒防护。
(3)Symantec企业版客户端:可以对联网或未联网的计算机进行病毒防护,并且可以接受系统中心的集中管理。
(4)Live Update:可以进行病毒和引擎的升级,并可以通过服务器进行分装。(5)Symantc Packager:可以创建、修改和部署自己的定制安装包。
(6)Alert Management Server:可以提供病毒警报功能,可以通过多种方式和文本格式向系统管理员进行报警。强大的集中管理
Symantec的Symantec AntiVirus的管理控制台是使用Windows NT自身提供的Console集成在一起的,使用习惯符合Windows的常用风格,易用性较好,用户可以对网络中的服务器客户端进行分组设置,可以制定单个组的杀毒策略,管理简单方便,并且可以支持多层次的网络拓扑结构,可以方便的对网络防毒的规模进行扩展。另外,Symantec AntiVirus具有中心隔离的设置,管理员可以在网络中设置统一有效的病毒隔离区,通过“数字免疫系统”对启发式检测到的新病毒或不可识别的病毒进行集中管理,并可以将可疑文件自动转发到“Symantec安全响应中心”进行处理。灵活的可定制性
该系统具有较灵活的定制行,尤其对于客户端的配置设置上,系统可以根据最终用户的需要对各个子项进行单独的锁定,这是Symantec AntiVirus企业版最主要的一个特性之一,通过这样的设置,管理员可以灵活的设置对于客户端的要求,体现了赛门铁克公司以人为本的设计思想。强大安全的升级模式
LiveUpdate 是 Symantec 公司的一项技术,它能使已经安装的 Symantec 产品自动连接到 Symantec 服务器,以进行程序和病毒定义的更新。这种连接可以通过 Internet连接或企业内部网络连接实现。对于企业内部网络连接方式,本实用程序解决了两个可能出现的问题,用户将更新下载到一台计算机,然后再将其分装给所有用户。这种方式十分适合应用于基于屏蔽子网防火墙的网络,可以通过升级停火区的服务器而升级整个子网的网络杀毒软件,在保证网络安全的基础上,保证了网络杀毒软件的时效性。
另外,该软件在报警日志和杀毒能力上也十分出色。
朝华·安博士网络防病毒系统朝华·安博士网络防病毒系统是朝华公司推出的一款优秀的网络杀毒软件,基于策略服务器技术,包括策略代理服务器、策略服务器、策略管理中心和杀毒客户端模块组件构成。这些组件的主要功能是:
(1)策略代理服务器:设置于公司内部计算机中,承担与计算机与策略服务器的通信工作。
(2)策略服务器:是该产品的核心组件进行策略的存储管理和分发。
(3)策略管理中心:是管理人员进行一系列管理工作的控制台。可以设置各项防毒、杀毒策略,可以远程控制杀毒客户端模块进行扫描或清除。(4)杀毒客户端:进行计算机病毒的扫描和清除。灵活的部署和集中式管理
使用策略中心,可以根据用户具体环境正确地对杀毒模块进行自动分布和设置。不仅如此,还可以对网络杀毒客户端以外的其他软件一并进行分布安装和运行,根据分布和运行的程序的种类,通过远距离服务器可以对站点运行所需要的工作一并进行处理。策略中心软件提供了以网络为基础的简单的代理程序分布功能。如果已经生成了组群结构,管理人员只要单击群组,便可以创建分布给组群内部每个单元的具有基本设置的代理程序脚本,将其在朝华·安博士策略中心管理服务器上注册,便创建了可以供用户下载的网页。
策略中心软件采用了具有超强扩展性和灵活性的LDAP目录服务进行集中式管理。通过利用OpenLDAP目录服务,对复杂的用户及组群信息和产品信息、策略信息提供服务。通过具有扩展性的策略服务器设计,对今后产品的升级及修改设置便可以灵活地加以处理。并可以根据个别或特定组群对网络杀毒客户端的防病毒软件参数配置的要求,可以通过管理员控制台自由地进行生成、修改和删除。这里所指的安全策略,是包括网络杀毒客户端环境设定在内的,定期自动引擎更新的间隔、更新服务器地址等等,来实现公司内部所要求的整个防病毒安全策略。
另外,该软件还提供了数据库和LDAP备份和恢复的工具,可以在数据丢失后进行恢复,有效保障了数据的安全。集中日志管理和统计报告
安装在各个用户计算机的客户端防病毒软件的病毒扫描记录,可以通过策略代理程序,储存于中心的服务器中,这样就可以实现日志的集中管理。在发生病毒的同时,可以实时地显示出发生病毒的计算机的信息、病毒名称,以及发生的时间等信息。该软件还提供了报告中心的模块,通过该模块就可以生成侵入本公司内部的所有种类病毒的有关各种统计及报告。对于集中到中央服务器的数据库内的病毒的相关记录信息,管理人员可以根据组群、使用者、日期及病毒的不同,按照所希望得到的形式轻而易举地获取相关统计资料。并且可以将这些相关资料以电子表格或HTML的形式显示或进行编辑。
朝华·安博士网络防病毒系统在集中管理、网络部署和日志统计等方面具有较强的能力,适合不同企事业单位的网络防毒的要求。
相对而言,该软件的杀毒模块的功能就略显单薄,但是也已经可以满足用户的杀毒要求。总的来说该产品对于安全性上的考虑是该产品最大的优势,在保证网络安全的基础上进行网络病毒的防护,这应该也是网络防毒软件的发展一个主要的发展方向。
由以前几款网络杀毒软件的介绍,个人推荐是使用KV杀毒王网络版
(江民新科技术有限公司)4.Web服务
服务器的性能是由网站内容来决定的。如果Web站点是静态的,系统瓶颈依次是:网络子系统和内存。如果Web服务器主要进行密集计算(例如动态产生Web页),系统瓶颈依次是:内存、CPU、磁盘子系统和网络子系统。UPS不仅是提供断电保护,而且更注重提供恒稳的电流。对敏感“娇气”的电子设备和系统,UPS是必不可少的重要伙伴。
随着科技的发展和进步,UPS的智能化程度越来越高,市场上的UPS产品也越来越多,用户如何选择最适当的UPS产品,请关注行业专家的推荐。目前市场上UPS产品很多,新一代高技术指标的网络智能型在线式UPS设备,容量从300VA到4800KVA, 采用世界先进的高集成的IGBT技术,具备全数字多微处理器控制系统,同时融合进最新的通信技术与协议,配备电源管理软件。但是并非每一个用户都需要这种先进的UPS。针对不同网络规模的企业、不同应用的用户,市场上有不同的UPS产品供应。
硬件要求
创建家庭或小型办公网络时需要以下几个基本组件:
1.计算机:要建立网络需要两台或多台计算机。
2.网络适配器:通常称网络接口卡为网络适配器,可以将计算机连成网络,并允许这些计算机之间相互通讯。网络适配器可以连接在计算机的 USB 端口,也可以安装在计算机内部某个可用的 PCI 扩展槽中。
3.网络集线器和电缆:集线器用于在中枢位置连接多台计算机。集线器通常用于将两台或多台计算机连成以太网网络。如果要使用家庭电话线网络适配器(HPNA)通过电话线来连接计算机,或者要使用无线适配器来连接,则不需要集线器。使用以太网或 HPNA 时,需要用电缆将它们连接到集线器或电话线路。还可以使用 IEEE 1394 网络适配器。
4.调制解调器:这包括 28.8 或 56 Kbps 调制解调器、无线调制解调器、综合业务数字网络 ISDN、数字订户线路 DSL 以及电缆调制解调器。创建家庭或小型办公网络的步骤
步骤 1:
规划网络:将包含每台计算机和打印机的房间或办公室描绘在一份图表中。或者,将每台计算机上的硬件登记在一份表格中。
步骤2:
注意记录每台计算机插接的硬件,例如调制解调器和网络适配器。
步骤3:
选择“Internet 连接共享”(ICS)主机。建议该计算机运行 Windows XP Home Edition 或 Windows XP Professional 并配备可正常工作的 Internet 连接。
步骤4:
确定家庭或小型办公网络所需的网络适配器类型:以太网、家庭电话线网络适配器(HPNA),无线适配器或 IEEE 1394 适配器。
步骤5:
列出您需要购买的硬件。这包括调制解调器、网络适配器、集线器和线缆。
步骤6:
购买硬件。
步骤7:
安装网络适配器和调制解调器,以便在每台计算机上创建网络连接。
步骤8:
将计算机物理地连接在一起。将线缆插进集线器、电话插孔以及计算机中。
步骤9:
打开所有计算机和打印机。
步骤10:
确保您的 ICS 主机有激活的 Internet 连接。(要建立 Internet 连接,请运行“新建连接向导”)。
步骤11:
在 ICS 主机上运行 Windows XP Professional 网络安装向导。
步骤12:
在网络中的其他计算机上运行“网络安装向导”,可以使用软盘对网络中的其它计算机进行配置。
网络拓扑结构图
第二篇:小型企业网络建设方案
小型企业网络建设方案
摘要:随着网络的逐步普及,中小型企业的建设是企业向信息化发展的必然选择,企业网络系统是一个非常庞大而复杂的系统,它不仅为企业现代化、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能提供多种应用服务,使信息能及时、准确地传送给各个系统。而中小型企业工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的,因此本文主要以中小型局域网络建设过程可能用到的各种技术及实施方案为设计方向,为中小型企业的建设提供理论依据和实践指导。
关键词:网络设计 网络逻辑 安全
一、网络设计需求分析
公司共有两层楼,一楼主要为营销部、人事部、技术部和网络中心,二楼是会议室、总经理办公室、秘书部、企划部、科研部和财务部。要求企业内部主机和部分局域网用户能同时上INTERNET,并要求财务部和研发部只有总经理有权访问,其它部门可以相互访问,企划部和人事部上班时间不能访问外网,各部门均有流量限制,楼内有OA办公系统、财务管理系统、FTP服务器、DNS服务器、WEB服务器,故要有路由,防火墙,核心交换,二层交换,服务器等。为了方便用户接入和扩展,路由、三层、汇聚层设备都安置在网络中心,接入层设备安置在办公室。为了使网络通信时安全可以使用划分VLAN并在三层交换上做访问控制列表以使不同VLAN之间不能互相访问,为了做到上网时间的控制,在三层交换上会使用到访问控制列表。网络需求:(1)信息的共享;
(2)公司管理;
(3)办公自动化;
(4)高速Internet 冲浪。网络功能:
(1)建立公司自己的网站,可向外界发布信息,并进行网络上的业务。
(2)要求供销部可以连接Internet,与各企业保持联络,接受订单及发布本公司产品信息。其他部门都不能连接Internet,但要求公司内部由网络连接。
(3)公司内部网络实现资源共享,以提高工作效率。
(4)建立网络时应注意网络的扩展性,以方便日后的网络升级和增加计算机。
(5)在公司内部建立公司的数据库,如员工档案,业务计划,会议日程等。
二、网络逻辑设计
网络拓扑结构设计:对于用户即将建设的网络系统来说,想要建设成为一个覆盖范围广、网络性能优良、具有很强扩展能力和升级能力的网络,在起初的设计中就必须采用层次化的网络设计原则。采用这样的结构所建设的网络具有良好的扩充性、管理性,因为新的子网模块和新的网络技术能被更容易集成到整个系统中,而不破坏已存在的骨干网。大多数的网络都可以被层次性划分为三个逻辑服务单元:核心骨干网(Backbone)、汇聚网(Distribute)和接入网(Local-access),模块化网络设计方法的目标在于把一个大型的网络元素划分成一个个互连的网络层次。整个网络由核心层、汇聚层和接入层两大部分组成。核心层是由CISCO WS-C3560-48TS-S企业级核心路由交换机组成。汇聚层由CISCO WS-C3560-24TS-S路由交换机组成。接入层是由接入层楼层交换机CISCO WS-C2918-24TC-C组成。
以行政楼中心机房为中心,下属部门为接入点的星型连接方式。现阶段出于用户的应用和先进性考虑,通过千兆光纤连接。各楼层的办公网是以星型的方式千兆直接连接到各汇聚机房的汇聚交换机上后,由汇聚交换机通过千兆接到核心交换机。我们可采用千兆路由交换机与各 LAN 网段的交换机(Switch)连接而组成星型网络,实现千兆核心网络到各楼层,百兆到桌面,满足各种应用的需要。核心层交换机与服务器群的相连是以千兆以太网的方式。
内部网络设计: 核心层主要功能是给下层各业务汇聚节点提供 IP 业务平面高速承载和交换通道,负责进行数据的高速转发,同时核心层是局域网的骨干,是局域网互连的关键。对核心骨干网络设备的部署应为能够提供高带宽、大容量的核心路由交换设备,同时应具备极高的可靠性,能够保证24小时全天候不间断运行,也就必须考虑设备及链路的冗余性、安全性,而且核心骨干设备同时还应拥有非常好的扩展能力,以便随着网络的发展而发展。基于对核心层的功能及作用,根据用户的实际需求,本方案中对网络系统中核心层由CISCO系列的企业级核心交换机WS-C3560-48TS-S组成。其主要任务是提供高性能、高安全性的核心数据交换、QoS 和为接入层提供高密度的上联端口。为整个大楼宽带办公网提供交换和路由的核心,完成各个部分数据流的中央汇集和分流。同时为数据中心的服务器提供千兆高速连接。
VLAN的设计:根据各个办公室的地理位置来划分VLAN,如果同一栋楼内包含很多部门,而这些部门的职能和工作内容又有很大的区别,我们就可以在楼内按照部门来划分VLAN。另外,如果某个部门需要跨越很多建筑物,分布范围比较广,例如部门A 分布的很散,在很多交换机上都预留了部门 A 的信息点,我们则可以按照交换机的位置来设置 VLAN,这样,部门A就可能对应多个VLAN,如果部门A所对应的VLAN之间需要通信的话,我们可以通过VLAN间的路由来实现。这样做的好处是:可以减少广播数据包对网络主干的影响。因为如果将部门A 全部划分到一个 VLAN 中,而这些 VLAN 又跨越了网络主干,分布在众多不同的交换机上,这样如果有广播包时,这些广播包必然会在网络的主干上传输,然后到达相应的交换机上,也就占用了网络主干的带宽,容易造成其他业务的时延。为了减少传输冲突,提高系统整体性能和网络处理能力,另外,还考虑到网络良好的管理性,易于维护和安全策略的实施,针对用户网络系统的实际情况,可以把功能(应用)相近的设备群组划分到同一VLAN,不同部门的设备划分到不同VLAN 中去,这样就能够通过访问控制列表技术实施安全策略。限制未授权的用户访问重要的服务器和数据库。
外部网络设计:该企业网络用户为对Internet进行访问,而且为了保证其安全性,要求能够访问Internet的用户与不能访问Internet的用户进行完全的物理隔离,则需要另建立一套网络系统(简称为外网)。网络用户(即外网用户)通过外网布线系统接至各楼层的交换机,汇总到外网的主交换机后,接入到防火墙上,防火墙通过 IP 地址转换功能(NAT),将网络用户(即外网用户)的私有 IP 地址转换成Internet公网 IP 地址,通过光电转换器与电信相连的方式访问Internet,以使该企业网络内外网互相独立,达到完全的物理隔离的目的。
网管系统的设计:网络管理系统时对整个网络进行监视、控制和维护管理,以提高网络的有效性、利用率、安全性和可靠性。网络管理系统由网管中心、网管单元、管理信息库和网络管理协议四部分组成。网管中心是网管人员和管理信息系统间的接口,它将网管人员的命令转换为对实际网元的监视和控制。网管单元在每个节点执行各项网络管理任务,采集网络资源信息,存储本地相关数据并响应网管人员命令。管理信息库(MIB)存放各种网络管理信息的特征参数和逻辑结构。网络管理协议按规约执行网管人员与网管单元和管理信息库之间的通信。该企业网络系统设一个网管中心,该中心设在行政楼机房,负责对全网进行管理。
三、网络安全设计
外网安全设计:防火墙系统:采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行保护。入侵检测系统:采用入侵检测设备,作为防火墙的功能互补,提供对监控网段的攻击的实时报警和积极响应。病毒防护系统:强化病毒防护系统的应用策略和管理策略,增强病毒防护有效性。
内网安全设计:访问控制,通过密码、口令(不定期修改、定期保存密码与口令)等禁止非授权用户对服务器的访问,以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。网络管理软件系统:使网管人员对网络中的实时数据流量情况能够清晰了解。掌握整个网络使用流量的平均标准,定位网络流量的基线,及时发现网络是否出现异常流量并控制带宽。
内外网安全之间设计:VPN系统:对远程办公人员及分支机构提供方便的IPSec VPN接入,保护数据传输过程中的安全,实现用户对服务器系统的受控访问。移动用户管理系统:对内部笔记本电脑在外出后,接入内部网进行安全控制,确保笔记本设备的安全性。有效防止病毒或黑客程序被携带进内网。内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全访问需求,可以利用三层交换机来划分虚拟子网(VLAN)。同时通过在不同VLAN间做限制来实现不同资源的访问控制。通过虚拟子网的划分,既方便局域网络的互联,又能够实现访问控制。
四、网络备份设计
1、拨号路由备份
使用路由器AUX备份端口建立一条拨号线路,防止专线故障时业务中断。
2、热备份路由协议(HSRP)
如果主路由器发生故障,它就不会广播Hello报文,HSRP一直在监听这个报文,一旦它在Hold Time内未收到Hello报文,就认为主路由器发生故障,将虚拟路由器接收到的数据包交给备份路由器,发生主备份路由器切换。但如果主路由器恢复正常后,它就会重新广播Hello报文,由于它发送的Hello报文具有最高优先级,所以HSRP仍然选择它来完成路由工作,再次发生主备份路由器之间的切换。
五、布线设计
企业综合布线系统由工作区子系统、水平布线子系统、垂直干线子系统、管理子系统和建筑群子系统组成。它的设计原则如下:
(1)开放性
严格按照IEEE802、EIA/TIA 568等工业及建筑布线标准和中国建筑电气设计/工业企业通信设计规范。
(2)实用性
适应企业现在和将来发展的需要,具备数据通信、语音通信和图像通信的功能。
(3)灵活性
布线系统中任一信息点能够很方便地与多种类型设备(如电话、计算机、检测器件以及传真等)进行连接。
(4)可扩展性
布线系统具有较强的可扩展性,在将来需要时可以很容易地将所扩充的设备连接到系统中来,实现各种网络服务与应用。
(5)经济性
综合布线系统是一种既具有良好的初期投资特性,即在今后若干年中不增加新的投资情况下仍能保持建筑物的先进性,又是具有极高的性能价格比的高科技产品。通常情况下,综合布线系统的使用寿命为15年。
(6)可靠性
综合布线系统采用高品质的材料和组合压接的方式构成一套高标准的信息通道。每条通道都采用专用仪器校核线路衰减、串音、信噪比,以保证其电气性能不会造成交叉干扰。所以,北方公司应采用综合布线系统,才能更好的发挥千兆局域网的威力。
六、网络系统管理与维护
(1)更新
WEB页面的版面、样式、内容的更新;公司共享资料的更新;网络教室、软件下载内容的更新;聊天室及电子论坛的维护等工作由管理员进行。各种报表、数据库更新,信息发布由各部门管理员从本地登录服务器进行。
(2)备份
由于考虑最低投资,未采用磁带机备份,而使用磁盘镜像技术容错,这样不但得到完整的数据备份,而且还提高了系统的性能。
(3)诊断
INTRANET采用TCP/IP协议,在网络的调试中主要采用了以下几个诊断程序: Ping;Ipconfig;Nbtstat;Netstat;Hostname
(4)磁盘整理
虽然Windows系统自身包括磁盘碎片整理程序,建议采用第三方的程序Diskeeper定期整理磁盘碎片。
第三篇:网络规划方案
XXXX工程 网络规划方案
XXXX公司 XXXX年XX月
目录
第一章 项目概述 3 第二章 技术介绍 4 第三章 原有网络改造建议 5 3.1 原有网络拓扑结构 5 3.2 原有网络分析 5 第四章 解决方案 6 4.1 新建网络拓扑结构 6 4.2 新建网络分析 6 4.3 设备命名规则 6 4.4 接口描述规则 6 4.5 IP地址规划 7 4.5.1设备管理地址(Loopback地址)4.5.2 互联接口地址 7 4.5.3用户地址 8 4.6 VLAN规划 8 4.7 路由协议规划 8 4.7.1 静态路由 8 4.7.2 OSPF协议规划 9 Router id 9 区域的规划 9 cost值的规划 9 OSPF中需要引入的路由 9 4.7.2 ISIS协议规划 9 NET 9 网络层次的规划 10 Metric值的规划 10 ISIS中需要引入的路由 10 4.7.3 BGP规划 10 自治系统的规划 11 反射器的规划 11 BGP属性规划 11 路由策略的规划 12 4.8 MPLS-VPN规划 12 4.9 Qos的规划 13 4.10 NTP的规划 13 4.12 网络管理 14 4.13 网络安全 14 4.13.1 网络安全概述 14 4.13.1 本期工程安全建议 15 第五章 配置举例 16
第一章 项目概述
主要描述整个项目的背景,通过项目的建设所要达到的目标。可以从市场的文档中摘取。要求,写明项目的背景,工程结束后,整个网络所要达到的要求,对于工程的要求,项目中所使用的设备。
第二章 技术介绍
主要是整个项目中应用的一些技术原理的介绍,主要介绍项目中使用的新技术或关键技术。介绍清楚技术的原理即可,篇幅不用太长,不用介绍项目中使用的所有技术,只用选关键的重要的技术进行介绍即可。如果项目中没有值得介绍的技术,该章可以省去。
第三章 原有网络改造建议
3.1 原有网络拓扑结构
如果涉及到网络整改,画出原有网络的拓扑结构。如果只是新建网络,该部分可以省去。
3.2 原有网络分析
分析原有网络的数据流向以及网络结构,路由协议运行情况,指出原有网络存在的不足,提出改进建议。如果不涉及网络改造,该部分可以省去。
第四章 解决方案
4.1 新建网络拓扑结构
画出新建网络的拓扑结构。
4.2 新建网络分析
分析新建网络的网络结构和数据流向。指出新建网络可以达到的功能(如:负载分担,路由备份等)。
4.3 设备命名规则
为了标识网络设备、便于管理网络设备,应该为网络中每一台设备赋予名称标识,设备命名的基本原则为:
1、能表示出网络设备的类型
2、能表示出网络设备的物理位置
3、能表示出网络设备所属的网络层次
4、相同物理位置和网络层次的网络设备由不同序号区分
5、能反映出该设备的业务属性和网元功能
本次工程的设备命名规范如下:
对设备的hostname命名进行统一的规划,如客户有自己的命名规范,应和客户协商确定;如客户没有自己的命名规范,按照公司软件质量检查标准进行设置
举例说明: 举例说明设备命名
4.4 接口描述规则
为了标识设备端口,便于后期维护,应为没一个接口设置接口描述,接口描述的基本规则为:
1、能表示出端口的对端网元设备
2、能表示出端口的类型
3、能反映出对端端口所在板卡的物理槽位
本次工程的接口描述规范如下:
对设备接口的description进行统一的规划,如客户有自己的命名规范,应和客户协商确定;如客户没有自己的命名规范,按照公司软件质量检查标准进行设置
举例说明: 举例说明接口描述
4.5 IP地址规划
IP地址规划的结果直接影响到网络运行的质量,以下是几点IP地址规划的基本原则:
唯一性:
一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术,也尽量不要规划为相同的地址。连续性:
连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率。扩展性:
地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性。实意性:
“望址生义”,好的IP地址规划使每个地址具有实际含义,看到一个地址就可以大至判断出该地址所属的设备。这是IP地址规划中最具技巧型和艺术性的部分。最完美的方式是得出一个IP地址公式,以及一些参数及系数,通过计算得出每一个需要用到的IP地址。
对于IP地址的规划,一般可以分为以下几个部分:Loopback地址、设备互联地址、用户地址,下面就对这几个部分进行详细设计。
对ip地址进行统一的规划,具体规划可以分为以下几个部分(根据情况不同,可以进行增减)
4.5.1设备管理地址(Loopback地址)
对设备的管理地址进行统一的规划,列出所有设备的管理地址。Loopback地址尽量采用单独的一段连续地址,便于维护,掩码使用32位
4.5.2 互联接口地址
对于设备间的接口地址进行统一的规划,列出所有设备之间的互连地址。互联地址也尽量采用一段连续地址,便于维护,掩码使用30位
4.5.3用户地址
对最终用户使用地址进行统一的规划,需要给出不同的用户所使用的网段的详细列表。
4.6 VLAN规划
对于涉及到交换机需要划分vlan的,对vlan的划分规则进行统一的规划,尽量将VLAN段和具体业务相关联
4.7 路由协议规划
路由规划时有一些基本原则,见下:
最短距离:尽量使得IGP最短路径是传输最短距离,因为在 骨干网中,端到端时延主要来自于传输时延。进一步,备份路径应尽量通过次短的传输距离,以减少主备切换带来的时延抖动
快速收敛:快速发现故障并作出响应,使得系统从故障中尽快恢复,避免路由黑洞和路由循环
路由可控、可预测,采用清晰、明确、简单的路由策略,摈弃过于复杂和精细的设计,避免给运营部署带来的困难
提高稳定性,正确判断网络故障,避免频繁的路由计算和刷新
负载分担,提高网络资源利用率和系统可靠性
路由协议的规划从IGP、EGP两个方面来进行设计。
对网络中使用的路由协议进行规划,说明在整个网络中所要使用的路由协议,以及各个路由协议如何使用。
4.7.1 静态路由
对静态路由进行规划,说明在网络中的什么地方要使用静态路由,配置哪些静态路由。
4.7.2 OSPF协议规划
对OSPF路由协议进行规划,其中包括在什么设备上运行OSPF路由协议,一共使用了哪几个区域,各个链路的COST值定为多少,要向OSPF协议中引入哪些路由等等。如果不使用OSPF协议,此节略去。
Router id 确定OSPF路由器的Router id,一般采用设备的Loopback地址。
区域的规划
标出使用几个区域,每个区域都包括哪些路由器。需要考虑区域的可扩展性,如首先使用Area0,另外需要划分分支区域时,可以考虑将地域位置做为划分参考。在规划区域时,可以同时考虑区域的特性,如属于stub区域、NSSA区域等等
cost值的规划
规划各条链路的花费值,以保证整个路由的选择能够按照预先设想的进行。可以采用两种方式确定:一是根据链路带宽,选择一个参考带宽,然后和实际带宽进行比较得出得值确定;另外一个根据设计得流量模型直接指定Cost值,明确路由走向
OSPF中需要引入的路由
规划出都有哪些路由需要引入OSPF协议中。在引入路由的时候,需要采用什么样的控制访问列表。
4.7.2 ISIS协议规划
对ISIS路由协议进行规划,其中包括在什么设备上运行ISIS路由协议,该设备属于哪个Level,各个链路的Metric值定为多少,要向ISIS协议中引入哪些路由等等。如果不使用ISIS协议,此节略去。
NET ISIS协议中的NET值,相当于OSPF中的Router id的概念,它是由NSAP通过设置NSEL字段为0转化而来的,用来标识一台运行ISIS的路由设备。其组成结构如下图所示:
AFI:可以官方申请,或者使用私有的49,这个值在目前的IP网络中只起到标识的作用
AREA ID:预先统一规划的区域号,对于骨干网来说,可以采用当地的电话号码区号,也可以使用本系统AS号,建议采用电话号码区号,便于记忆维护
System ID:某台设备在一个区域中的标识,在一个区域中保持唯一性,通常的使用MAC地址或者IP地址做为设备的System ID,建议采用设备的Loopback接口地址,便 于维护和习惯记忆
通过Loopback地址具体演化为SystemID的举例如下:
某点Loopback地址如下:10.0.0.1
010.000.000.001
0100.0000.0001 示例最后的NET值为:86.0010.0100.0000.0001.00
本次工程的NET规则如下 : 确定本次工程NET值设定规则,列出设备节点具体的NET值。
网络层次的规划
ISIS协议和OSPF协议一样,同样采用层次结构,ISIS协议的层次结构通过LEVEL1和LEVEL2两个层次表示。LEVEL1区域比较特殊,类型于OSPF中的Stub区域,该类区域中只有该区域内路由,访问区域外部采用缺省路由的方式,在组网使用时有一些限制。LEVEL2区域相当于OSPF中的骨干区域,规划时需注意LEVEL2的连续性。根据具体组网环境及业务确定网络层次的划分,Metric值的规划
规划各条链路的花费值,以保证整个路由的选择能够按照预先设想的进行。可以采用两种方式确定:一是根据链路带宽,选择一个参考带宽,然后和实际带宽进行比较得出得值确定;另外一个根据设计得流量模型直接指定Metric值,明确路由走向
ISIS中需要引入的路由
规划出都有哪些路由需要引入ISIS协议中。在引入路由的时候,需要采用什么样的控制访问列表。
4.7.3 BGP规划
对BGP协议进行一下规划,包括在哪些路由器上运行BGP路由协议,网络中存在哪些AS,是否使用路由反射器,联盟等属性。需要向BGP中注入哪些路由信息。
自治系统的规划
网络中使用几个AS,各个AS的都包括哪些路由器,这些路由器之间的邻居关系是什么样的。可以使用的私有AS:64512-65535
反射器的规划
在一个AS内部,IBGP邻居必须是全连接的,由于IBGP邻居通常数量较多,如果全连接会造成N平方问题,为了解决这个问题,可以网络中使用RR(路由反射器)的形式解决。
1、尽量选取独立的RR,保持RR的稳定性
2、如不能选取独立RR,尽量选取核心位置路由器做为RR,且保证性能上能够承受
3、尽量采用RR的冗余配置,即在一个cluster中配置两台RR,Client双上行到两个RR,实现出口备份
4、如果网络规模较大,且层次结构呈现比较规则的两层结构,可采用多级RR的形式实现
地点 Cluster-id RR路由器 Client路由器 备注
根据工程的组网结构和具体的设备类型,确定网络采用几级路由反射器,确定网络中哪些路由器作为路由反射器,哪些设备作为它的客户机。
BGP属性规划
BGP可以通过大量的属性设置控制路由的选择和走向,常用的属性有LocalPre、MED、AS-Path、团体属性。
对本次工程的流量模型进行描述,将流量模型与进行这些属性的设置相对应,如相关属性无涉及可将该段删除。
LocalPref:
LocalPref是BGP的一个知名任选属性,其可以用来确定AS的出口流量的走向,其值缺省为100,数值越大越优先,本次工程的LocalPref配置为:
LocalPref设定条件 LocalPref值
MED:
MED是BGP的一个可选非传递属性,其只传播到相邻的AS,其可以用来确定AS的入口流量的走向,其值缺省为0,数值越小越优先,本次工程的MED配置为:
MED设定条件 MED值
AS-Path:
AS-Path属性是BGP的必遵属性,其为一个途经AS的列表,它主要作用为消除路由环路,但是其同时可以用来进行选路,即通过在AS-Path中附加AS号的方式改变AS-Path 的长度。
AS-Path设定条件 AS-Path附加值
团体属性:
团体属性可以对一组具有相同特征的路由进行标记,从而在路由选择和控制的过程中做为依据。
团体属性设定条件 团体属性值
路由策略的规划
指出需要将哪些路由引入BGP,使用什么方法引入,如何使用路由进行备份。
4.8 MPLS-VPN规划
MPLS是多协议标签交换协议的简称。采用MPLS VPN技术可以把物理上单一的IP网络分解成逻辑上隔离的网络,并且每个VPN单独构成一个独立的地址空间,即VPN之间可以重用地址,在分配地址时不必考虑是否会与其他的VPN发生冲突,只需要考虑在本VPN之内不冲突即可,这样可以解决IP网络地址不足的问题,也方便网络的扩展和变更。
MPLS VPN的网络构造由服务提供商来完成。在这种网络构造中,由服务提供商向用户提供VPN服务,用户感觉不到公共网络的存在,就好像拥有独立的网络资源一样。
为了实现MPLS VPN功能,除了新建网络之外,更多的需求是在已有的传统IP网络上实现MPLS VPN的功能。这样,既保护了原有网络投资,又适应了企业用户的新的需求,实现业务的增值。MPLS VPN网络中,有三种设备:CE、PE和P路由器,CE是用户直接与服务提供商相连的边缘设备,可以是路由器、交换机或者终端;PE是骨干网中的边缘设备,它直接与用户的CE相连;P 路由器是骨干网中不与CE直接相连的设备。P 路由器并也不知道有VPN的存在,仅仅负责骨干网内部的数据传输,但其必须能够支持MPLS协议,并使能该协议;PE位于服务提供商网络的边缘,所有的VPN的构建、连接和管理工作都是在PE上进行的。
对网络中使用的MPLS的参数进行规划。包括哪些路由器运行MPLS协议,哪些设备做PE,哪些设备做CE,网络中存在几个VPN,这些VPN的互通需求有什么样的。
4.9 Qos的规划
IP QoS(Quality of Service)是指IP网络的一种能力,即在跨越多种底层网络技术(FR、ATM、Ethernet、SDH等)的IP网络上,为特定的业务提供其所需要的服务。衡量IP QoS的技术指标包括:
1)带宽/吞吐量指数据包在网络的两个节点之间传送的平均往返时间; 3)抖动指在网络传输过程中丢失报文的百分比,用来衡量网络正确转发用户数据的能力; 5)可用性-指网络可以为用户提供服务的时间的百分比。
不同的用户及业务对IP QoS技术指标的要求是不同的,通过有效地实施各项IP QoS技术,使得网络运营商能够有效地控制网络资源及其使用,能够在单一IP网络平台上融合语音、视频及数据等多种业务,能够在现有网络上细分客户、针对不同的客户需求提供特色的差别业务、以便能迅速获得利益回报、从而进一步扩大市场占有率、提高市场竞争力。
DiffServ(包括IP和MPLS)是目前成熟可行的QoS保证机制,可扩展性好,便于大规模部署,建议本期工程采用
对网络中业务类型按照QOS要求进行描述分类。
4.10 NTP的规划
在运营电信业务的网络中,需要采用网络时间协议NTP对网络设备进行时间同步(或称为“授时”)。网络时间协议(NTP)用来使网络内所有的路由器和主机同步。由于各节点认证、计费或其他审计信息中包含的时间信息必须统一相对于同一时间标准,因此全网设备必须统一到同一时间标准上。
NTP协议采用服务器-客户端模型。首先需要设立一个具有精确时钟源的网络时间服务器,然后网络中的路由器设备作为这个网络时间服务器的客户端,他们之间运行NTP协议,从而校对和调整路由器的时间,达到全网时间同步的目的。
本次工程的NTP方案如下:
如果网络中需要使用NTP,对NTP进行规划。否则删除本节
4.12 网络管理
对整个网络的网络管理方案进行规划,使用什么网管,设置哪些节点为种子节点。SNMP团体名的规划。对于比较大的网络,规划一、二级网管都是哪些。
4.13 网络安全 4.13.1 网络安全概述
网络安全包括业务安全、设备安全和数据安全等几个方面。
业务安全指用户业务流不被非法截获、破坏、假冒等。由于不同的用户有不同的安全要求,一般用户的上网业务和政府机关公文传递以及军事机密的传递都有着完全不同的安全要求。一般由用户设备实现端到端的加密来实现用户业务的安全。设备安全指网络设备包括网管系统应当防止网络管理员之外的任何人或组织对网络设备和网管系统配置、资源、诊断系统的有意或无意的访问、破坏和假冒和攻击。要求网络设备和网管系统应提供有效的认证措施,拒绝并记录非法的入侵,采取有效的手段防止其他攻击。
设备安全还包括在常见的自然现象对设备的破坏。设备应当满足国家标准规定的防雷击、防静电,并能够在正常的机房温度、湿度等条件下长期稳定的运行。
数据安全指设备和网管系统的配置数据、统计信息、诊断信息、历史记录、文档以及软件版本、补丁等不会丢失、错漏。数据安全一般主要管理手段来实现,比如,对数据的定期备份等。随着网络应用的日益普及,尤其是在一些特别场合的应用,网络安全成为日益迫切的需求。网络安全包括两层含义:其一是内部局域网的安全,其二是外部数据交换的安全。路由器作为内部网络与外部网络之间通讯的关键设备,有必要提供充分的安全保护功能。
总体而言:全网的安全策略包括网络安全策略,节点安全策略,数据安全策略,和持续安全策略。网络安全策略:主要保证网络拓扑机构的合理性,全网各个节点之间的连接线路的可用性。节点安全策略:主要保证各个节点内的设备不受攻击,保证服务不中断。
数据安全策略:保证系统重要数据得到及时有效的备份保护,并避免受到非法使用者的篡改等。持续安全策略:能够从发展的角度,对系统的安全缺陷进行及时跟踪和修正,保证网络的长期安全性。
4.13.1 本期工程安全建议
对本次工程中整个网络中所采用的安全策略进行规划。
第五章 配置举例
如果用户要求,给出一些设备的典型配置
第四篇:中小企业网络规划方案
小型企业网络改进方案
第一、小型企业网络规划分析
随着信息技术的快速发展,小型企业的业务将进一步的电子化,与Internet的联系将更加紧密。他们也需要信息基础平台去支撑业务高速发展。这样没有信息技术背景的企业也将会对网络建设有主动诉求。任何决策的科学性和可靠性都是以信息为基础的,信息和决策是同一管理过程中的两个方面,因此行业信息化也就成了人们所讨论并实践着的重要课题,众多行业巨擘纷纷上马各种应用方案且取得了巨大的成功,使信息化建设更具吸引力。
相对于大型应用群体而言,中小型企业的信息化建设工程通常有规模较小,结构简单的特点,综合资金投入、专业人才以及未来发展等因素,网络的实用性、安全性与拓展性(升级改造能力)是中小企业实现信息化建设的主要要求,因此,成本低廉、操作简易、便于维护并能满足业务运作需要的网络办公环境是这一领域的真正需求。针对绝大多数中小型企业集中办公这一现实特点,我们设计的中小企业信息化常用解决方案,能够较好地发挥企业网的使用效果和水平,具有很强的代表性。
应用场景: 小型局域网需要什么样的网络,通常它们的建网需求也大部分还停留在能上网,共享办公设备资源,共享文件资源,能运行OA(办公自动化)软件协同工作上;只有少部分将业务流程移植到INTERNET上来运行(这得有能力开发自己的WEB后台程序)。但还有一些有敏感数据的电脑(如:财务,合同方案文档,发展战略计划),这些公司是拒绝它们连入网络,而宁愿这些电脑成为信息孤岛。一个原因是实现安全的成本过高,企业无法承受;一个原因是对安全措施不信任。
对于网络应用单纯,结构相对简单的小型局域网络。有些用户可能还不需要高性能的网络,但对网络有较多了解的IT型小企业可能就喜欢接受最新的网络技术,但都寻求成本较低。一般应用于小型的IT公司,广告、装饰设计公司,咨询公司,会计师、律师事务所,小型商业流通企业等应用环境。
小型企业网络方案:
本文针对目前国内最常见的两种宽带接入类型——ADSL,光纤以太网来展开。
我们都知道最容易实现而且带宽可以接受的接入类型是ADSL,分别有中国电信,中国网通,中国铁通提供。普遍是1M--4M的出口速率,资费会越来越低。而光纤以太网针对于小区,写字楼等集团用户,采用的模式是光纤到小区或建筑物,然后以太网至用户。用户内部局域网出去的还是营运商的本地局域网,这段的速度是10-100M,但从营运商的局域网接光纤至营运商的城域网(中心机房)可能是2-10M。所以会常有一个现象,当同时上网用户数较少时,网络速度会飞快,但较多时又会慢下来。这种方式开户时会比ADSL贵,而资费差不多。用户应因地制宜选择合适的接入类型,但若想在本地建自己企业的网站和FTP,实现语音和视频,方便INTERNET上用户访问,建议还是选择ADSL。因为若选择光纤以太网方式,您的局域网将处在运营商的内网之内(因为绝大多数的运营商给它的内网分配的是“私有地址”),无法实现INTERNET的访问。
两种较低成本的共享上网方案类型:宽带路由器共享代理,代理服务器共享代理。下面分别介绍: 方案一:ADSL / 光纤以太网+宽带路由器+交换机
本方案最关键的设备是宽带路由器,处于小型企业局域网的核心。宽带路由器是针对家庭级、SOHO级及小型企业应用的网关设备。它集成了路由、交换、安全防火墙等功能于一体,针对于小型用户简单而又实用的需求特点,价格远远低于用作网关的服务器和传统路由器,完全可以在家用到小型企业的应用中代替这些网关设备。
宽带路由器一般特性:
·广域网端口(WAN):标准是提供1个10/100M的自适应WAN端口。少数产品甚至有2个WAN口。有两个WAN口的宽带路由器能接两路宽带,如两路512K的ADSL,或两条宽带运营商的LAN,这样的连接将成倍地接高接入的速率,实现接入的相互备份和负载均衡,使小企业局域网与外面网络的连接更稳健。
·共享Internet访问:所有局域网计算机可以通过地址翻译(NAT)共享一条宽带线路连接上互联网。
·支持LAN接入:支持在使用以太网接入(FTTx+LAN)时,使用固定或动态的IP地址。
·支持DSL:持在使用ADSL时,使用固定或动态的IP地址(PPPoE拨号方式)。
·支持路由:静态和动态路由(RIP I,RIP II)
·局域网端口(LAN):集成了4端口交换机,每个端口10/100M自适应。
·DHCP服务器:可以作为局域网的DHCP服务器为网内计算机提供DHCP服务。DHCP(动态主机分配协议)可以给局域网中的计算机动态分配IP地址以及网关地址、DNS服务器等信息。
宽带路由器高级特性: ·虚拟服务器(DMZ):支持虚拟服务器设置,既方便了Internet用户访问内部开放的计算机,如对外的www.xiexiebang.comm IP518H等。
图
(一)本方案的另一网络设备是交换机,我们采用全交换星形网络拓朴结构,所以可以选购快速以太网24口交换机。现在市面上见到的这类交换机的牌子是最多的了,技术已经非常成熟。所以一般都能胜任方案的需要。本案例中我们选择在低端交换机市场较有名气的D-LINK 的产品DES-1024D交换机(见图2)。背板带宽4.8Gbps,百兆包转发率148,800 pps,VLAN支持。
图
(二)方案一的网络拓朴图如下:(见图3 ADSL方式,图4 LAN方式)。
图
(三)图
(四)我们可以看到除了宽带接入类型不同外(一个是ADSL,另一个是LAN),也就是广域网部分不同,企业的局域网部分完全相同。在这里我们把提供WEB、FTP等互联网服务的服务器接到Netgear RP614宽带路由器的LAN口上,并设置相应的虚拟服务器(DMZ)。其他大部分的企业内网计算机(包括OA服务器)则连至D-Link DES-1024D交换机,并通过交换机连至Netgear RP614宽带路由器的其他LAN口。另外就是根据手册的指示在宽带路由器上做ADSL拨号用户密码的设置或者LAN的动态或者静态IP设置;进行访问控制、安全防火墙设置。
方案二:ADSL / 光纤以太网+代理服务器+交换机
用代理服务器来作为网关设备执行INTERNET代理共享在以前一直是小型企业普遍采用的方案。因为可以轻易地用网关软件(WINGATE,SYSGATE,WINROUTE)来实现这一点。但这里我们介绍利用WINDOWS SERVER 2000 的系统所带的代理软件来实现。这样我们既可以实现共享代理,又可在代理服务器上实现WEB,FTP,MAIL服务器的功能。这种方案的安全性较低,您可能还需要在这个服务器上安装防火墙软件(比如:Microsoft ISA)。本方案的网络拓朴图如下:(图5 ADSL方式和图6 LAN方式)
图
(五)图
(六)用 Windows 2000来实现Internet 连接共享(ICS)功能,可以按以下步骤设置: 1.在控制面板中,双击网络和拨号连接。
2.右键单击要共享的连接(也就是接入外线路的那张网卡),然后单击属性。3.在共享选项卡上,单击选中启用此连接的 Internet 连接共享复选框。Internet 连接共享功能,专用于小型办公网络或家庭网络,在这些网络中,网络配置和 Internet 连接由共享连接由所在的 Windows 2000 计算机进行管理。此计算机是唯一的 Internet 连接、唯一的 Internet 网关,并由它建立所有内部网络地址。在启用 ICS 之后,不要修改默认网络配置。包括分发的专用 IP 地址范围(DHCP 分配符)、启用或禁用 DNS、配置公用 IP 地址的范围,以及配置入站映射等项目。连接向外的那张网卡要配置网络提供商分配的IP地址,所以这种共享方式不适合于ADSL拨号宽带接入,而只适合有固定IP的宽带接入类型。另外Windows Server 2000中GUEST用户必须有,而且“帐号永不过期”,要不然,客户机就无法访问服务器的共享资源。
对于10-20人的小企业的有线组网,我们仍推荐使用宽带路由器,因为优点显而易见。表现在不用传统路由器或代理网关服务器,节省大笔费用;相对于代理网关服务器而言,网络更稳定,受网络病毒侵害的机会较小。
第二、小型企业服务器规划分析:
小型企业的信息系统通常的情况是:网络应用不很成熟,规模不大,一般有30人左右的小规模网络环境。在具体应用中通常以单功能应用为主。这类企业往往仅单一地使用下面的应用,包括财务系统、办公自动化系统、CAD、库存管理系统或人事等管理系统等,或者同时使用其中的两三种应用。这类企业用户的数量占我国企业总数的60%左右。
造成这种情况的原因是小企业技术力量相对比较薄弱,资金也不够充分。因此,一些企业的信息系统在应用方面还存在不少问题。其中服务器的选择特别突出。例如,到某企业有由一个6台计算机组成的小局域网,其中服务器是一台装有两路Pentium Ⅲ Xeon(内置1MB缓存)并带有热插拔硬盘的部门级服务器,用作域控制器和文件共享。
再过了一段时间后,用户对这台服务器颇有微词: 体积很大,噪音不小,每天的开机时间特别漫长,更糟糕的是速度并不快。总之,花钱不少,效果却非常不理想。
此类小企业用户不在少数。他们在组建网络时,在信息系统的设备,尤其是系统的心脏——服务器的选择方面,通常表现出很大的困惑。而面对小企业用户的代理商和集成商,在常见的应用与服务器选择的关系上通常也是一知半解,使得应用更加不理想,不利于中小企业信息化的开展。根据多年的服务经验,对小型企业选购服务器提出一些建议,供用户参考。
一、服务器选购策略
选择一款合适的服务器来满足用户的需要,需要对服务器使用有一个正确的理解。在进行服务器选配时,应根据以下3个方面来考虑。
1.网络环境及应用软件
是指整个系统主要做什么应用。具体来说就是服务器支持的用户数量、用户类型、处理的数据量等方面内容。不同的应用软件工作机理不同,对服务器选配的要求区别很大,常见的应用可以分为文件服务、Web服务、一般应用和数据库等。2.可用性
服务器是整个网络的核心,不但在性能上能够满足网络应用需求,而且还要具有不间断地向网络客户提供服务的能力。实际上,服务器的可靠运行是整个系统稳定发挥功能的基础。
3.服务器选配
服务器类型,如低端、中端和高端的分类,只是确定了服务器所能支持的最大用户数。但要用好服务器,还需要优化配置,用最小的代价获得最佳的性能。
二、常见应用分析 在中小企业环境中,常见应用可以概括为以下几种,它们对服务器的要求各有所侧重。下面为了描述方便,把服务器划分为4个功能模块,即CPU、内存、磁盘子系统和网络子系统。
1.文件服务
这是最基本的应用服务,服务器相当于一个信息系统的大仓库,保证用户和服务器磁盘子系统之间快速传递数据。在服务器的各个子系统中,对系统性能影响最大的首先是网络子系统,其次是磁盘子系统,再次是内存容量,而对CPU的要求一般不高。
2.数据库服务
对系统各方面(除网络子系统外)性能要求最高的应用,如财务、库存和人事管理应用等。需要高性能CPU和快速的磁盘子系统来满足大量的随机I/O请求及数据传送。服务器瓶颈依次为:内存、磁盘子系统和CPU。
3.邮件服务
扮演电子邮件路由器和仓库的角色。服务器瓶颈依次为:网络子系统、内存、磁盘子系统和CPU。
4.Web服务
服务器的性能是由网站内容来决定的。如果Web站点是静态的,系统瓶颈依次是:网络子系统和内存。如果Web服务器主要进行密集计算(例如动态产生Web页),系统瓶颈依次是:内存、CPU、磁盘子系统和网络子系统。
5.多媒体服务
负责媒体控制及媒体流在网络上传输的功能,I/O吞吐量对服务器性能起着关键的影响。视频服务器的瓶颈依次是: 网络子系统、磁盘子系统和内存。音频服务对服务器硬件配置要求很低,现在的服务器子系统一般不会成为瓶颈。
6.终端服务
执行各种应用程序并把结果传送给用户,所有负载均加在服务器上。系统的瓶颈通常依次为: 内存、CPU、网络子系统。
7.主域控制器 主域控制器是网络、用户和计算机的管理中心,负责提供安全的网络工作环境。主域控制器不但响应用户的登录需求,而且在服务器间同步和备份用户帐号、WINS和DHCP数据库等,另外,主域控制器还做DNS服务。系统瓶颈是网络子系统、内存。
三、可用性的影响
一台经常死机的服务器是不可忍受的,由此所造成的损失不仅仅是时间的浪费,还可能使多日的工作量付之流水。现在越来越多的人已经意识到系统可用性的重要性。
可用性通常用系统的理论正常运行时间和实际使用时间百分比来衡量。例如,我们说一系统提供24×7环境下99%的可用性,也就意味着一年可能要停机88小时,这对大部分用户来说是都是不能接受的。99.999%的可用性可以保证系统一年停机的时间在5.25分钟之内,但是这种系统的价格非常昂贵。
服务器的可用性主要取决于2个方面:一个是服务器本身的质量,具体体现在服务器厂商专业的设计、严格的质量控制以及市场的长期验证三点上;另一个是对易损部件采取的保护措施,比如: 采用网卡冗余技术、磁盘阵列技术、电源冗余技术、双机或集群方案等来保证网络、磁盘、电源甚至整个主机的在线冗余。
在低档服务器中,通常采用以下措施来提高单机的可用性。
1.IDE RAID
通过廉价的磁盘阵列提供数据冗余功能。磁盘故障是服务器硬件故障的主体,故障率高达52%。数据丢失的危害也是惊人的,造成大量时间、人力的浪费。目前IDE RAID能够实现RAID-0、RAID-
1、RAID-0+1共三种方式,其中RAID-0不具备数据冗余功能,但能显著提高磁盘子系统的性能。
2.ECC技术
可以检查出两位内存错、并能够纠正一位错,来保证内存、缓存中数据的高可靠性。
3.服务器专用电源
可以保证系统有一个洁净的用电环境,减少各种隐性故障的发生,而劣质电源容易引起各种古怪故障,如电路中的高频串扰会造成系统经常性的崩溃、低频震荡则会烧毁电子元器件于无形,这类故障也增加了维修难度。
4.附加措施
如防尘网的设计、多个风扇的散热(有的服务器还具有自动调节风扇转速功能),可以帮助服务器在普通环境中也能稳定运行。
四、服务器选择的多样性 目前中小企业在选购服务器时,通常在高档商用PC、伪服务器以及低档服务器三种产品之间选择。下面分别对这三种服务器作一简单分析。
1.高档商用PC
PC工作在单用户和单线程环境中,与服务器的多用户环境有显著的不同。PC在设计时采用不同部件选型、配置的策略,如增强的显示性能、相对较差的网络子系统等。高档PC的目标是进军低档工作站市场。
2.伪服务器
最差劲的是用PC的处理器芯片、服务器的名来充当服务器,稍微好一些的服务器采用部分服务器技术,如专业电源等。
3.低档服务器
通常兼顾性能、可扩展性、可用性和可管理性等多个性能指标,兼容多种操作系统以支持多种网络环境。此种产品的缺点(也是辨别方法)是:体积大(通常外形不够美观)、噪音大(散热风扇多)、功率大。
五、操作系统配置
一个性能优良的信息系统除了取决于网络硬件设备的性能和网络结构设计外,很大程度地受到局域网中服务器的操作系统性能的影响。作为工作组级服务器的操作系统,在选择上应考虑系统的可靠性,即是否能负担大量用户的服务请求,以较快的速度处理数据,合理地排列服务等问题;系统是否方便使用和管理,在单机和联机环境中,易用性都是最大化雇员工作效率和满意度的关键因素,与此同时,降低成本也是绝大多数企业优先考虑的问题。
目前,考虑连接局域网与广域网方面的性能,连入Internet几乎是目前所有企业用户的选择,在选择服务器操作系统时一定要注意系统在兼容局域网与广域网连接方面的能力,这样才能使企业真正地融入世界。在局域网中,用户一般要实现文件共享、打印机共享、网络服务共享等功能,因而服务器的操作系统必须能较好地完成上述操作。
目前Microsoft公司推出的Windows 2000就是这样一款针对局域网客户机的操作系统软件,Windows 2000的综合特性使其很快成为所有企业中工作组级服务器上的主流操作系统。其标准的安全性、可管理性和可靠性等强大功能,是目前小企业用户首选的操作系统。
另外,对于某些高级用户,尤其是政府等对安全比较关注的用户来说,他们本身具备较强的技术实力,可以考虑采用Linux操作系统。
目前,服务器厂商还推出完全方案化的产品——功能服务器,即把操作系统和应用系统直接安装在服务器中,以实现某些特定功能,如E通教育功能服务器,它主要是采用Linux系统,具有非常好的稳定性和易用性,而且不需要用户对Linux有深入了解就可以使用。
六、服务器选配方法
国内市场上,服务器厂商多达十几个,低档服务器更有几十款之多。下面结合联想T220来谈谈服务器配置问题。
1.磁盘子系统
上面已经提过磁盘的故障概率及危害,不如直接配置双硬盘做RAID-1,因为现在硬盘的价格已降到了冰点,既提高了磁盘读取数据的性能,又保护了数据,可使用户高枕无忧。2.内存
在小型用户环境中,内存通常得不到重视,用户往往花费更多的时间关注CPU的性能。由于Windows 2000就要消耗100MB以上的内存,再加上应用,所以系统最少应配置512MB内存,配置到1GB也不为过。请牢牢记住,提高内存容量通常是提高服务器性能的最有效的方法。
3.CPU 通常不会成为系统瓶颈。但对于需要CPU进行密集型的运算,如数据库类应用,CPU的作用就很巨大。记住:如果再增加一颗CPU,内存容量要同时加倍,才能有效发挥CPU的性能。
4.网卡
低端应用环境中,1000Mbps网卡足够了。联想T220支持双网卡还支持网络冗余(ALB)功能。既提高网络子系统的吞吐量,又保证了线路冗余。
下面针对小型企业的常见应用,提供一个服务器的配置推荐方案,见附表。
最后,需要指出的是,小企业非常关心服务器的可扩充性。可扩充性主要体现在计算性能的提升和存储容量的增长,新出的联想T220,在价格完全满足小型网络用户需求的情况下,仍然在这两方面有充分考虑。联想T220采用双处理器的系统设计,目前,设计主频已达到3.2GHz,用户可以在初期购买单CPU配置,待到企业增长或数据量增大时,可以升级为双CPU,其运算能力将大大提高,也保护了先前的投资。至联想T220服务器在存储方面,采用先进的RAID技术,最大支持160GB×4的硬盘容量和SCSIraid技术,为用户的业务扩展预留了足够的空间。
总之,小型企业选购服务器,一定要根据自己的实际应用情况,合理选择型号和配置,做到既满足需求,又经济实惠。
第三、办公自动化软件
一.简介功能: 本方案我们为用户设计了一整套的办公自动化的方案参考。其中分为以下几个子系统:收文管理子系统,发文管理子系统,会议管理子系统,档案管理子系统,电子公告子系统,个人办公子系统,今日工作与电子邮件子系统 二.网络总体方案
1.方案图:(参考公司网络拓扑)
2.机器配置:(参见服务器配置可见本方案服务器建议方案)3.软件架构:(参见公司具体运营框架和流程)三.主要采用的技术 A.按应用分类:
1.事件跟踪型应用
主要特征:是一些连续变动的主观信息的组合,与很多介入这些信息的用户有频繁的人机交互。2.广播通知型应用
主要特征:信息相对静止,时间上较为严格,针对各个用户。3.时间规划型
主要特征:集成Lotus Organizer,可对时间、活动安排做详细管理 4.讨论型
主要特征:支持结构化和非结构化的组织间通讯。它提供了关于共同感兴趣的主题的论坛,组织成员可以提出新的问题或对现有问题提出自己的见解。如意见箱等 5.业务自动化流: 主要特征:这是涵该最广的一类应用,它可能包含上述的某种应用。业务流应用利用宏自动完成日程任务,如将报表邮寄给各部门,发出提示或催办函,在特定的时间间隔执行成批文档的更新。
对本方案的各个子功能进行分析,可以看出每一项子功能都具有上面5种应用类型的特征,因此可以很方便的在LOTES上实现这些功能。下面给出对各子系统的分析:
公文管理子系统-----------------------业务自动化流+事件跟踪型 档案管理子系统-----------------------业务自动化流+广播通知型 政务信息管理------------------------业务自动化流+广播通知型+事件跟踪型
会议管理------------------------业务自动化流+时间规划型 大事记要管理------------------------业务自动化流+广播通知型 值班管理------------------------业务自动化流+事件跟踪型 接待管理------------------------业务自动化流+事件跟踪型 机关考核------------------------业务自动化流+事件跟踪型 领导活动安排------------------------时间规划型
领导批示管理------------------------广播通知型+事件跟踪型 领导讲话管理------------------------广播通知型+事件跟踪型 电子邮件------------------------NOTE邮件 文字处理------------------------NOTES文字处理 通讯录------------------------NOTES文档管理器 电子公告------------------------讨论型+广播通知型 日程安排------------------------时间规划型
B:技术特点:
1.安全控制
安全性对于OA系统是至关重要的,没有安全保障的信息系统可以是一种潜在的威胁,是完全不可取得。
安全性通常包含三个方面的含义:服务器的访问控制、数据库的访问控制、数据的访问控制。本系统采用NOTES技术,因此我们将系统安全机制分成以下三部分:物理安全性、网络安全性与NOTES安全性。物理安全性控制谁可以直接操作机器以及能执行和种操作。网络安全性管理谁可以通过网络端口访问操作系统。NOTES安全性
前两项属于物理或网络级的安全管理。对于第三项应用级的安全管理NOTES提供4级安全措施。2.验证:
通过用户“身份证”文件和口令证实用户身份。3.电子签名:
通过数字签名来检验发送者的可靠性和数据在传输过程种是否被修改过。4.加密: 利用RSA算法,通过双密匙对数据库、文档、字段进行加密,无论数据在服务器、工作站还是在传输中均可进行。
5.存取控制:用户在访问所有网络资源之前都会被验证是否有对此资源的访问权限及何种访问权限。
6.界面设计:界面在做到友好、美观的基础上还要做到统一化,个性化。统一化是指统一人员使用的界面不应有特别大的变化。个性化是指不同的人员根据权限不同,具体工作不同而在界面上有着能体现个性物件。四.各子系统的应用程序简介:
1.收文管理子系统:
该子系统实现对外单位来文的登记、拟办、传阅、办理结果的登记、整 理和归档等操作,处理反馈、催办、统计、查询等任务。2.发文管理子系统
本子系统用于保存和处理各级单位发文(如部发文、司发文、局发文、办公厅发文、公司发文等。)一份发文逐级通过主办单位的审批,最后提交领导签发。重要的是,管理员可以使用本单位设计的发文稿纸,根据“人员管理”配制的情况,动态生成匹配的流程定义。3.会议管理子系统:
会议管理子系统主要用于制定会议安排和发会议通知、记录会议纪要。会议召集人在选择与会人员时能够方便地查看这些人员在会议召开期间是否空闲,制定出合理的会议安排,从而确保会议的出席率,提高会议的效率。
4.档案管理子系统: 档案工作主要是文件的分类、分卷及查询。由于以前的文件没有输入计算机,所以无法通过计算机系统查找。
在本系统建成后,公文、会议纪要等文件将自动流入相应的档案库。系统可以按成文时间、类别、起草单位等方式分类。通过对文件的分类工作,用户可以通过网络方便的查询所要的文件。5.电子公告子系统:
象日常办公中公告板一样,本库提供一个发布各种公共信息如公告、通知、或启事等的场所。用户只需要到本系统发布一项消息就可以通告整个单位的有关人员。而用户只需到本系统查询就可以获得单位的所有公告的信息。
6.个人办公子系统:
用户可以用它来保存、管理任何有价值的资料。这些资料可以是用户摘录自书报杂志的,可以是从其他数据库拷贝过来的,也可以是用户起草过的文件副本等等,内容不限。7.今日工作与电子邮件子系统:
本系统是用户处理日常办公室事物的主要场所。所有发送给用户的文件、讨论、催办和会议通知等都是由系统作为邮件的连接对象送来的,用户只需要使用本系统即可完成传到用户处的发文、收文、签报、传阅件、请示和报告等各种公文的处理工作,还可参与查看通知用户参加的会议安排情况。
第五篇:关于公司网络规划方案
关于公司网络规划方案
一、总体网络走向
1、外网由光纤专线接入路由器(带路由功能的三层交换机),路由器3个端口接3个24口子交换机,然后由交换机连接到各个工作区域。1路端口接服务器。
2、工作机相互访问用同一段位IP,包括访问服务器。特点:整个网络走向清晰明确,利于管理
二、各设备配置
1、所有工作机分配固定IP地址。分配方式如下:
①ip1-ip10分配给服务器,无线路由器,监控,打印机,打卡机等设备。
②ip11-ip136 分配给办公楼使用。
③ip141-ip200 分配给车间使用。(每个车间20个IP)
④ip200-ip250 作为动态IP地址。随机分配给外来客户使用
⑤ip251-ip254 保留,作为测试以及管理使用。
注:其中ip137,ip138。分配给宿舍给宿舍使用!预留2个IP:分别是IP139,IP140。
2、所有工作电脑需要重新安装系统分配IP、计算机名、加入域等操作。
3、按照每台电脑的工作需求分配工作权限。
三、服务器配置
1、域控制器:有效管理电脑以及提高员工的工作效率。
2、服务器上配置域服务器。创建管理用户。
3、服务器上配置FTP服务器,用于上传和下载等操作。
4,、服务器上配置文件服务器,用于在局域网共享等操作。
四、日常维护管理
1、固定时间检查各设备之间的连接,检查是否有网线松动的现象。
2、固定时间检查各设备的运行环境是否健康。
3、通过上网行为管理,观察是否有效的提高计算机的工作效率。
4、整理数据,记录下来。
五、需要购置设备
企业级路由器或者3层交换机(1台)、无线路由器(根据实际情况购买)、超五类网线(1箱)、光碟(1盒)、水晶头(1盒)
六、备用方案
把公司所有工作设备按工作区域分成4个网段,每个网段按照不同的工作需求分配工作权限。
七、方案特点
1、信息共享:做到了信息统一存放、统一管理、各个业务共享。减少重复录入、避免信息不一致,提高工作效率。
2、系统维护功能强:可以方便地设置、添加和随时调整各管理部门的相关业务处理,机构的变化,方便地设置各部门、人员的管理权限和业务处理权限增强了系统的通用性和灵活性。