网络搭建方案设计书(cankao)

xx队组网大赛

方

案

设

计

书

二零一零年八月

目录

一、需求分析 (3)

1.1工程项目概况 (3)

1.2需求分析 (3)

二、方案设计原则 (4)

三、网络方案设计 (5)

3.1网络拓扑结构介绍 (5)

3.2网络拓扑图 (6)

3.3 方案项目建设重点问题处理 (6)

3.4网络设计 (7)

3.4.1广域网互连设计 (7)

3.4.2骨干核心层网络设计 (8)

3.4.3汇聚层网络设计 (8)

3.4.4接入层网络设计 (8)

3.4.5网络安全设计 (9)

3.4.6冗余/负载均衡设计 (9)

3.4.6.1线路冗余 (10)

3.4.6.2设备冗余/负载均衡设计 (11)

3.4.6.3服务器冗余设计 (11)

3.4.10 IP地址规划原则 (12)

四、网络安全及管理机制 (13)

5.1完善的安全机制 (13)

5.2GSN全局安全网络 (14)

5.3解决安全威胁 (14)

5.4VPN (虚拟专用网) (14)

六、配置清单 (15)

七、方案的扩展性考虑 (15)

一、需求分析

1.1工程项目概况

华山医院是卫生部直属复旦大学（原上海医科大学）附属的一所综合性教学医院。建院于1907年，前身是中国红十字会总院，是上海地区中国人最早创办的医院，1992年首批通过国家三级甲等医院评审，目前已成为一所国家高层次的医疗机构，并为全国医疗、预防、教学、科研相结合的技术中心，在国内外享有较高的声誉。

随着医疗行业信息化的发展，为了认真贯彻卫生部召开的关于加快医卫系统信息化建设及管理的会议精神，进一步推进我院的信息化建设，了解国际医疗信息化发展动态，吸收新的技术和管理经验，提高我院信息化应用的管理水平，使我院经济效益和社会效益双丰收，逐步加快医院的信息化建设步伐。

在选取“飞”的翅膀时，计算机网络解决方案的选取是关键。你所代表的网络公司以其卓越的产品性能、丰富的产品种类和完善的服务体系，综合考虑了华山对网络安全、网络管理、可靠性、可管理性、可扩展性和高性能的特殊需要，精选出适合华山医院的网络建设的解决方案。

具体要求：

1)网络设计采用先进、可靠、成熟、高性能、可扩展的网络架构及技

术，从硬件设备、软件策略控制两个方面来保证核心、骨干网络的

高可靠、高性能及易维护性；

2)网络设计充分考虑该医院网络的特殊性，以及不同业务、不同部门

之间的数据安全，综合考虑网络设计的逻辑结构以及区域划分；

3)网络设计充分考虑避免环路；

4)网络设计要解决校内用户对外部网络的访问需求，且要实现社保

局、医保、银行、干保四条vpn出口；

5)网络设计需对DoS攻击、ARP欺骗/攻击、广播风暴等网络攻击行

为有较强的防范能力；

1.2需求分析

华山医院的网络系统建设应在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上系统能力上要保持五年左右的先进性。并且从用户的利益出发，一个好的系统应当给用户一定的自由度，而不是束缚住他们的手脚，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。

根据以上种种特性需求，网络设备核心层、汇聚层、接入层产品，选择锐捷网络。锐捷网络是国内领先的网络厂商，其对医疗行业有着深刻的了解，其产品、方案与服务在医疗行业有成熟和广泛的应用，而且能通过智能、安全及可靠的网络设备连为一体，来构建网络系统的设计目标，保障其顺利进行。

根据以上描述，结合实际建网情况和前期网络建设，在充分研究了目前国内外网络界对园

区网设计所采用的各种网络主干技术,并充分考虑到技术发展的主流和趋势后，建议选择万兆以太网为目标，构建华山医院的网络建设，设计“万兆核心、千兆支干、千兆交换桌面”的网络拓扑结构，根据需求分析，结合对应用系统的考虑，提出本期网络系统的设计目标：高性能、高可靠性、高稳定性、高安全性、可管理、可增值的智能安全网络。

二、方案设计原则

本方案的设计将在追求性能优越、经济实用的前提下，本着严谨、慎重的态度，从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计，力图使该系统真正成为符合该医院的网络系统。

从技术措施角度来讲，在网络的设计和实现中，本方案严格遵守了以下原则：

●实用性和集成性

系统的软硬件设计、还是集成，均以适用为第一宗旨，在系统充分适应医院信息化的需求的基础上进而再来考虑其他的性能。该系统所包含的内容很多，必须能将各种先进的软硬件设备有效地集成在一起，使系统的各个组成部分能充分发挥作用，协调一致的进行高效工作。

●标准性和开往性

只有支持标准性和开放性的系统，才能支持与其它开放型系统一起协同工作，在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准，以便能和不同厂家的开放性产品在同一网络中同时共存。通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。

●先进性和安全性

系统所有的组成要素均应充分地考虑其先进性。不能一味地追求实用而忽略先进，只有将当今最先进的技术和我们的实际应用要求紧密结合，才能获得最大的系统性能和效益。

网络的安全是事关重要的，在某些情况下，宁可牺牲系统的部分功能也必须保证系统的安全。

●成熟性和高可靠性

作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。网络硬件体系结构在实际应用中能经过较长时间的考验，在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案，并通到较多的第三方开发商和用户在全球的广泛支持和使用。同时，应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品，以适应系统未来的发展需要。

可靠性也是衡量一个计算机应用系统的重要标准之一。在确保系统网络环境中单独设备稳定、可靠运行的前提下，还需要考虑网络整体的容错能力、安全性及稳定性，使系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施，如对关键应用的主干设备考虑有适当的冗余。应急处理信息系统能够全天候工作，达到每周7*24小时工作的要求。

一个高可用性的系统才能使用户的投资真正得到回报。

●可维护性和可管理性

整个信息网络系统中的互连设备，应是使用方便、操作简单易学，并便于维护。对复杂和庞大的网络，要求有强有力的网络管理手段，以便合理的管理网络资源，监视网络状态及控制网络的运行，因此，网络所选的网络设备应支持多种协议，管理员能方便进行网络管理、维护甚至修复。

在设计和实现时，必须充分考虑整个系统的便于维护性，以使系统万一发生故障时能提供有效手段及时进行恢复，尽量减少损失。

可扩充性和兼容性

网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理接连、产品支持等方面具有扩充与升级换代的可能，采用的产品要遵循通用的工业标准，以便不同的设备能方便灵活地接连入网并满足系统规模扩充的要求。

为了使所实现系统能够在应用发生变化的情况下保护原有的开发投资，在设计系统时，应将系统按功能做成模块化的，可根据需要增加和删除功能模块

三、网络方案设计

3.1网络拓扑结构介绍

在此次医疗网的设计中，我们采用层次化模型来设计网络拓扑结构。所谓“层次化”模型，就是将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计，也能够应用于广域网的设计。

在大中型校园网设计中，使用层次化模型有许多好处，列举如下：

1、节省成本

在采用层次模型之后，各层次各司其职，不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽，减少了对系统资源的浪费。

2、易于理解

层次化设计使得网络结构清晰明了，可以在不同的层次实施不同难度的管理，降低了管理成本。

3、易于扩展

在网络设计中，模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中，而不会蔓延到网络的其他地方。

4、易于排错

层次化设计能够使网络拓扑结构分解为易于理解的子网，网络管理者能够轻易地确定网络故障的范围，从而简化了排错过程。

3.2网络拓扑图

图1 网络拓扑图

3.3 方案项目建设重点问题处理

本方案很好地解决了用户要求的五个问题，即网络高可靠、高性能问题，安全问题，带宽问题，稳定性问题，兼容性、可扩充性问题问题。

●网络高可靠、高性能、稳定性问题处理：

由于该网络为承载新医院数字化运行的基础骨干，核心、骨干设备一旦出现问题会影响到全网，使的网络效率下降，甚至造成全网的宕机。因此，我们采用：（1）双出口+策略路由+链路互备 +VRRP的技术；

双出口：核心层运用双核心结构，减少了核心层交换机各自的负担，提高了网络流量的控制管理度和安全度。

策略路由：在内部网络通往广域网上，运用策略路由技术使内部不同的用户通过不同的路有器出口出去，减少了核心路由器的负载，使整个网络更加顺畅流通。

链路互备：整个网络各层链路都采用了链路备份，既提高了设备的利用率，也保证了各个网络的管理、安全、顺畅。

VRRP+MSTP：这种技术让路由器组提供了一个冗余网关地址，它保证网络的主路由器失效时，可以及时的由备分来实现路由器来替代，从而保持通讯的连续性和可靠性。

（2）Qos服务体系：提高网络通信质量、保障关键应用，使整个网络运营畅通。

●网络安全问题处理：

（1）采用GSN系统：GSN全局安全网络中运用SMP（安全管理平台）、SAM（安全认证

管理）、SEP（安全修复平台）、CA服务系统等等安全管理系统大大提高了整个网络的安全管理，并且能够对全网的所有安全事件、网络病毒攻击行为、用户行为和用户主机安全信息进行深入分析和全局监控。

能够对全网的所有安全事件、网络病毒攻击行为、用户行为和用户主机安全信息进行深入分析和全局监控，同时在核心层、汇聚层、楼层汇聚层所使用的产品全部具有网络病毒和攻击的防护能力，且NFPP、CPP、防DDOS攻击、非法数据包检测、数据加密、防源IP 地址欺骗等等，避免了传统软件实现方式对整机性能的影响，SSHv1/v2的加密登陆和管理功能，避免管理信息明文传输引发的潜在威胁。

（2）采用了RG-IDS入侵检测设备：本方案还分别在核心交换机和服务器群旁应采用了RG-IDS入侵检测设备。这种设计不但保证了外部与内部数据安全的传输，同时也为服务器群提供了良好的工作环境，从而保证了内部局域网和外部网络在不同的环境中做到安全防护，足以应对突发事件，保持网络稳定、通畅。

（3）防火墙HA技术：在通往广域网上采用两个防火墙"双机热备", "双机互备"技术，大大提高了整个网络的安全性和可靠性。

（4）防病毒服务器和防火墙/VPN网关：入侵检测、攻击预警、网络病毒防范、访问控制、用户监控、安全邮件代理等多种网络安全及网络管理功能，同时集成了IPSecVPN 模块，为企业建立远程内部网络提供了完善的一体化解决方案。

●管理计费问题：统一认证，针对校园网开放式的信息点造成的安全隐患，全网接

入采用统一认证技术。

（1）基于端口的认证就是将 AAA 认证与端口保护相结合，保证了只有合法授权的用户才能使用网络或外部网络，而且还能对网络的使用情况进行审计。

（2）RG-NTD配合日志审计服务器还可以方便的实现基于用户身份的网络访问行为的日志、设备日志、应用日志的管理与分析，为安全事件的审计提供准确可信的数据支持

●带宽问题：使用万兆互连双核心结构，使网络核心设备不但可以互相备份，而且

有效的减轻流量负荷，使设备时刻保持稳定和高效。

●兼容性、开放性和可扩充性问题：

锐捷网络系列交换机遵循所有的国际标准，其核心交换机采用模块化设计，完全满足与其它厂商硬件、软件的兼容性要求，只需简单地添加相应的端口模块即可实现网络的扩容，从而满足校园网不断增长的应用需求，使用户投资得到充分利用。核心层使用的锐捷网络RS-8606E路由交换机有良好的扩展性，可以为将来的网络实现轻松扩展。

3.4网络设计

3.4.1广域网互连设计

RG-WALL1600E防火墙采用锐捷网络自主开发的RG-SecOS和独创的分类算法使得它的高速性能不受策略数和会话数多少的影响，产品安装前后丝毫不会影响网络速度；同时，RG-WAL1600E 在内核层处理所有数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。另外，RG-WALL 具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。

RG-WALL1600E支持深度状态检测、外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持PPTP、

L2TP、IPSec和SSL等多种全面的VPN业务，可以构建多种形式的VPN；提供强大的路由能力，支持静态/RIP/OSPF/路由策略及策略路由；支持双机状态热备，支持Active/Active和

Active/Standby两种工作模式以及丰富的QoS特性，充分满足客户对网络高可靠性的要求。

3.4.2骨干核心层网络设计

RG-S8606是高性能、大容量的级核心路由交换机，其采用世界最先进的硬件技术，使其能够提供100G平台高速包处理技术来增强海量业务处理能力，从业务驱动的角度实现IP核心网络质的飞跃。

同时强大的安全稳定保障：关键部件的安全稳定；采用硬件方式提供多种病毒和攻击防护。设备管理安全提供NFPP、CPP、防DDOS攻击、非法数据包检测、数据加密、防源IP地址欺骗等等，避免了传统软件实现方式对整机性能的影响。优秀的接入安全功能，使得RG-S8606核心路由交换机成为了核心层网络的不二选择。

在骨干核心层中，我们采用两台锐捷RG-S8606 核心路由交换机组成一个环形多机热备份的核心交换机系统解决方案。为提高核心网络的健壮性，实现链路的安全保障，本方案骨干核心层环网中可以采用VRRP（虚拟路由器冗余协议）和动态负载均衡技术。对于各个业务VLAN 可以指向这个虚拟的IP地址作为网关，因此应用VRRP技术为核心交换机提供一个可靠的网关地址，以实现在核心层核心交换机之间进行设备的硬件冗余，一主一备，共用一个虚拟的IP地址和MAC地址，通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网络高效处理大集中数据提供了可靠的保障。

3.4.3汇聚层网络设计

汇聚层网络主要完成各楼层和相关部门的内接入交换机的汇聚及数据交换和VLAN终结，在本方案中采用锐捷网络的RG-S5750交换机多层交换机作为汇聚层面的交换机。

RG-S5750交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处理的需要,并能够加灵活的部署在网络边缘的各个位置。能够同时提供多个高速专用堆叠端口和百兆、千兆光口/电口。这些交换机都具备较强的多业务提供能力，可支持包括智能的CCL、MPLS、组播在内的各种业务。为用户提供丰富、高性价比的组网选择。

网络时间协议保证交换机时间的准确性，并与网络中时间服务器时间统一化，方便日志信息和流量信息的分析、故障诊断等管理。

Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理。

3.4.4接入层网络设计

以往传统医院网络接入层的建设中并不关注于安全控制和QOS提供能力，而将网络的安全防御措施和QOS保障依赖于网络的汇聚层或骨干层设备，这给汇聚层和骨干层设备带来了巨大的压力，往往内网病毒泛滥成灾后导致骨干层设备瘫机，使网络没有QOS服务质量保障。

RG-S2951XG是一款全线速可堆叠千兆智能交换机，提供智能的流分类和完善的服务质量（QoS）以及组播管理特性，并可以实施灵活多样的ACL访问控制。可通过SNMP、Telnet、Web和Console口等多种方式提供丰富的管理。S2126S以极高的性价比为各类型网络提供完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、安

全、智能的医院网新需求。

3.4.5网络安全设计

3.4.5.1 RG-IDS入侵检测设备

本方案分别在核心交换机和服务器群旁应用了RG-IDS入侵检测设备。这种设计不但保证了外部与内部数据安全的传输，同时也为服务器群提供了良好的工作环境，从而保证了内部局域网和外部网络的正常运行。

3.4.5.2 RG-WALL 1600千兆防火墙/VPN网关

RG-WALL 2000是一种针对大型园区网、医院网与电信服务运营商而设计的业界领先的集成多种安全功能的千兆线速硬件防火墙。它可以在提供强大的安全功能并维持300万个并发连接地情况下，依然能够对不同大小的包保持千兆线速吞吐能力。其功能包括防火墙、基于IPsec的VPN、内容过滤、应用代理等。这些特性使得它可以为医院和服务提供商的网络提供安全防护服务。

3.4.5.3GSN全局安全解决方案

GSN全局安全网络中运用SMP（安全管理平台）、SAM（安全认证管理）、SEP（安全修复平台）、CA服务系统等等安全管理系统大大提高了整个网络的安全管理，并且能够对全网的所有安全事件、网络病毒攻击行为、用户行为和用户主机安全信息进行深入分析和全局监控。

GSN自动学习

3.4.6冗余/负载均衡设计

冗余设计是网络设计的重要部分，是保证网络整体可靠性能的重要手段。但是投资也将增加。部分医院网络在早期的建设中由于成本的原因并未在设计中考虑冗余问题，而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化结构，每个冗余设计都有针对性，可以选择其中一部分或几部分应用到网络中以针对重要的应用。

万一网络中某条路径失效时，冗余链路可以提供另一条物理路径。可采用GEC链路聚合（IEEE802.3ad）实现端口级冗余，以克服某个端口或线路引起的故障。也可采用生成树协议（IEEE802.1d）提供设备级的冗余连接。此外，我们在设计中提供不同物理方向的双归属、双路由保护。

3.4.6.1线路冗余

在医院网骨干核心层，医院网络边界拓扑结构由于采用了环形多机热备份的核心交换机系统解决方案，所以在线路冗余方面的要求较高，对于线路的冗余要求，我们采用100GE 线路对两台医院网骨干核心层设备进行环行双向备份，并使用业界领先的VRRP（虚拟路由器冗余协议）来对其作为冗余线路的协议保障。以GEC作为N*1000M主干链路，通过这个链路连接骨干网交换机，具备万兆扩展能力；接入交换机采用10/100/1000M自适应端口连接桌面系统，多千兆链路连接到汇聚层。

GEC路具有链路聚合和冗余保证两大特性，下面我们将对它们依次进行介绍

链路聚合：

DEC链路聚合IEEE802.3ad示意如图：

图解：可使用一条物理链路在不同品牌交换机之间、交换机和服务器间提供聚合的高速通道，在不增加投资的情况下，扩大交换带宽，使关键连接的传输效率更高冗余保证：

链路聚合中，成员互相动态备份。当某一链路中断时，其它成员能够迅速接替其工作。与生成树协议不同，链路聚合启用备份的过程对聚合之外是不可见的，而且启用备份过程只在聚合链路内，与其它链路无关，切换可在数毫秒内完成。

综合分析以上各主流方案的优缺点，从性能与成本及拓展性等方面的综合考虑出发，我们决定采用GEC骨干核心网络100GE拓展的方式作为其链路选择及备份选择。

3.4.6.2设备冗余/负载均衡设计

负载均衡建立在现有网络结构之上，它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量，加强网络数据处理能力，提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题，服务就近提供，实现地理位置无关性 ;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效。

在此方案中，在网络的每个关键结点，我们在设计时都做到了对其有效的冗余备份和负载均衡。在网络的骨干核心层上。我们采用了两台锐捷网络的RG-S8606高密度多业务IPV6核心路由交换机组建高性能的核心网络平台，在对骨干核心层提供足够的网络接点和接入需求的同时最大限度的为网络提供了有效的冗余保障和负载均衡。在核心层的每个区块，我们都采用了两台锐捷网络的RG-S8606度多业务IPV6核心路由交换机做到冗余与负载均衡。在汇聚层的每个区块，我采用了多台锐捷网络的RG-S5750和STAR-S4909多层交换机做到冗余与负载均衡。

在本方案的设计中，出现了两个以上的交换区块和需要提供冗余连接的时候，我们采用了双核心配置。如下图，我们给出了从接入层到汇聚层再到核心层的双核心配置。

双核心拓扑结构提供了两条等代价路径和双倍的带宽。每个核心交换机连接着数目相同的子网到第三层汇聚设备上。每个交换区块都有冗余的连接到核心交换机上，因此形成两条不同的，但是等代价的连接。如果一条核心设备发生故障，还是能够收敛，因为汇聚层设备的路由选择表中还有另一条到核心设备的路由。第3层路由选择协议在核心中起链路选择的作用，VRRP提供快速错误恢复。核心层不需要STP，因为在核心交换机间没有冗余的第2层连接。

3.4.6.3服务器冗余设计

医院网中服务器、大型机，如网络存储服务器，SQL Server服务器，其存储的数据对于医院来说致关重要，一些核心数据被视为医院的生命。一方面它对医院重要性毋庸质疑，另一方面，由于这些数据的性质决定了其较大的被访问量，这个对服务器提出了稳定和快速的要求。如果宕机,后果是技术是保障计算机系统的可靠性是重中之重。为此，我们采用的是双机热备技术，此技术能够有效的满足核心服务器高效，稳定的高要求。而且相对于其它成本技术来说，这是比较有经济价成效的技术。

Server 1 Server 2

服务器双机热备技术

具体技术实现：每个核心服务器均具有两个以太网接口（可以通过安装双网卡实现），在此基础上，以上图为例，DB服务器A与DB服务器B先分别利用自己的一个以太网接口实现两个服务器之间的直连，每个服务器另外的一个接口则与服务器区的网络实现互连，以达到双机热备的目的。因此增加服务器的稳定性与高效性。

本网络中应具有多台服务器设备，包括DB SERVER数据库服务器，WEB,CATALOG等应用服务器，NEWS,MAIL等通讯服务器及多媒体服务器等。

3.4.10 IP地址规划原则

我们在对医院网IP地址编址设计和分配利用时，遵循了以下几个原则：

1）、自治：整个医疗网络被划分成几个大的自治区域，每个大自治区域中又被划分成几个小的自治区域。

2）、有序：我们按照自治原则将网络进行逻辑划分后，就根据地域、设备分布及区域内用户数量来进行子网规划。我们在编址设计选择的顺序是自上而下的顺序，即采用了业界领先的自顶向下网络设计（Top-Down Network Design）方法。

3）、可持续性：考虑到园区内网络用户数将持续高速增长，网络所要承载的业务量和业务种类越来越多，这使得网络需要频频进行技术升级、改造和扩容。所以，在进行地址分配时我们为网络的每个部分留有部分地址冗余，这样保证网络的可持续发展。

4）、可聚合：在路由表急剧膨胀情况下，可聚合原则是网络地址分配时所必须遵守的最高原则，可聚合原则要求在进行地址规划时，应提供足够的路由冗余功能。

5）、尽量节约IPv4地址：由于IPv4地址越来越少，所以对于IPv4地址的使用需要格外节约。IPv4地址的节约可以通过动态编址技术和NAT技术等来实现。

6）、闲置IP地址回收利用：对于已分配出去的静态IP地址进行定期追踪管理，对长时间闲置的IP地址可经过确认后回收重复利用。

此次方案的设计，我们决定采用一个内部私有C类地址（192.168.0.0）对医院的网络设备编址。由于从方案本身的网络拓扑图采用了典型的层次化设计，所以对ip地址的编址设计也应采取层次化的设计来完成，并采用VLSM来拓展有限的IP地址。

四、网络安全及管理机制

5.1完善的安全机制

医院各楼层交换机通过内在的多种安全机制可有效防止和控制病毒传播和网络流量

攻击，控制非法用户使用网络，保证合法用户合理化使用网络，如端口安全、端口隔离、ACL、端口 ARP 报文合法性检查、基于数据流的带宽限速、六元素绑定等等，满足医院

网加强对访问者进行控制、限制非授权用户通信的需求；在汇聚、核心交换设备设置由硬

件实现 ACL，对病毒进行过滤，我们选用的汇聚、核心交换设备都支持SPOH，所以在使

用ACL 时将不会影响整个交换机的性能。

1．硬件实现端口与 MAC 地址和用户IP 地址的绑定，严格限定端口上用户接入；

2．通过 Private VLAN 可以在交换机的同一 VLAN 中提供端口之间的通讯或安全隔离，确保数据流进入有效端口，而不会被发送到其它端口，即解决了因传统 802.1QVLAN 造成全网 VID 资源不够的问题，同时又无需利用安全规则资源即能达到隔离不同用户

以及不同组用户之间通讯的功能，充分保护用户隐私；

3．支持业界特有的 IGMP 源端口检查，有效杜绝非法组播源播放和大量占用大量网

络带宽，提高网络安全性；

4．提供极为有效的Port Blocking 功能，避免端口受到其它端口发送的广播包、

多播包等报文的干扰，有效减轻端口负载负担，提高端口带宽，保护用户 PC 更高效安全

地运行；

5．基于源 IP 地址控制的 Telnet 和 Web 设备访问控制，增强了设备网管的安全性，避免黑客恶意攻击和控制设备；

6．提供加密传输Secure Shell（SSH），保证管理设备信息的安全性，防止黑客攻

击和控制设备；

7．可灵活控制 2-7 层数据报文，使得任何一个用户 PC 上的任何一种应用报文通过网络都能得到有效控制，充分保障了网络的安全和合理化使用。

5.2GSN全局安全网络

GSN系统能够对全网的所有安全事件、网络病毒攻击行为、用户行为和用户主机安全信息进行深入分析和全局监控。通过这种实时全网侦测，可以在第一时间内将网络异常现象通过接入层隔离出网络，使得网络异常现象完全不影响核心网络；在发现安全问题后能自动对用户进行安全事件告警，并迅速根据用户身份选择将用户隔离到安全修复区域或自动阻断异常数据流。这一方案目前在包括集美大学在内的各医院取得了较好的应用效果，例证之一就是：盛极一时并造成巨大影响的熊猫烧香病毒，在这些学校都悄然无声。

此外，通过部署GSN全局安全，还能轻松的进行主机信息获取；实现主机完整性（HI）规则（通过一系列规则的定义，约定了对用户主机的准入标准）；利用先进的“免疫性”ARP 防病毒防攻击技术，彻底解决ARP木马等病毒/攻击带来的网络中断事故的影响。

5.3解决安全威胁

在医院网络已经成为公司生产运营的重要组成部分的今天，现代医院网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，才能有效的保证医院网络的稳定运行。

1.防冲击波病毒

随着蠕虫病毒等的攻击手段呈多元化发展，单一的防护措施已经无能为力保卫校园网络安全。IDS 只能根据预先定义的策略进行检测，对新的攻击方式无能为力，或者当 IDS 侦测到某终端用户感染病毒后，只能将相关信息形成报告通知网管人员，等待处理。然而，此时受感染的用户可能已经通过网络散播到了校园网络的各个角落。

2.来自网络内部的恶意或误操作攻击

据相关数字显示，目前，网络遭受的恶意攻击 90％以上是来自于内部，诸如窃取他人密码等重要信息、盗打 IP 电话、校园一卡通金额被盗等事件时有发生。对此，如果仅仅倚靠被动的监测方式，就给事后追查“嫌疑人”的网管人员制造了难以逾越的瓶颈。

5.4 VPN (虚拟专用网)

虚拟专用网(virtual private network)是一种在公用网络上通过创建隧道，封装数据模拟的一种私有专用链路。隧道起一个提供逻辑上点对点连接的作用，从隧道的一端到另外一端支持数据身份验证和加密。由于数据本身也要进行加密，所以即使通过公共网络，它仍然是安全的，因为即便数据包在通过网络结点时被拦截（如经过服务器时）但只要拦截者没有密钥。就无法查看包的内容。

六、配置清单

七、方案的扩展性考虑

本方案中所采取的技术与产品充分考虑到了网络未来的升级与发展，无论从医院未来网络的扩展到广域网的建设都作了周密的考虑。目前市场上支持IPv6的网络产品大多数都是通过软件实现IPv6技术，通过软件实现IPv6技术使得CPU成为了一个瓶颈，性能受到限制，这在很大程度上制约了基于IPv6的应用的发展和推广。

因此在我们的IPv6实验网的建设中，应该突破这一瓶颈，建议采用硬件实现IPv6技术的成熟产品，从而在性能上保障IPv6技术的科研，应用发展的需要。

再是由于系统选择的是最成熟与标准的快速以太网技术，把网络已构筑了高速和坚固的信息高速公路，面对未来的发展将处于非常有利的境界，未来的网络世界将更加美好！

网络设计方案范本

网络设计方案

校园网络设计方案 设计者：王帆 11月

目录 1 校园网需求分析................................................................ 错误!未定义书签。 1.1 网络基本情况 .......................................................... 错误!未定义书签。 1.2网络需求分析 .......................................................... 错误!未定义书签。 2 网络总体设计.................................................................... 错误!未定义书签。 2.1网络架构分析 .......................................................... 错误!未定义书签。 2.2 设计思路 .................................................................. 错误!未定义书签。 2.3 校园网的设计原则 .................................................. 错误!未定义书签。 2.4 网络三层结构设计 .................................................. 错误!未定义书签。 2.4.1 主干网核心层设计 ......................................... 错误!未定义书签。 2.4.2 园区内汇聚层设计 ......................................... 错误!未定义书签。 2.5 IP规划与VLAN ........................................................ 错误!未定义书签。 2.5.1 IP地址的分配原则 ........................................ 错误!未定义书签。 3.5.2 公网地址分配................................................. 错误!未定义书签。 2.5.3专用网的IP地址规划 .................................... 错误!未定义书签。 2.5.4专用网中vlan划分 ........................................ 错误!未定义书签。 2.6 设备选型 .................................................................. 错误!未定义书签。 2.6.1 核心交换机设备选型 ..................................... 错误!未定义书签。 2.6.2汇聚层设备选型............................................. 错误!未定义书签。 2.6.3 接入层设备选型 ............................................. 错误!未定义书签。

学院网络设计方案书

K学院网络工程项目规划设计方案 XXXX公司 XXXX年XX月

【设计场景描述】 K学院是一所省属全日制专科层次的高等职业技术学院，学院占地面积为300多亩，现有在校学生5000多名，教职工400多名。学院现有办公楼1栋、教学楼2栋、图书馆1栋、实验楼1栋、科技中心1栋、计算机中心1栋，公寓楼4栋、后勤楼2栋。学院主要建筑分布如图4-1所示： 图4-1 K学院主要建筑物分布图 为适应信息时代的要求，提升学校教学水平，学院决定建立覆盖全校的校园网，实现网络化教学。请根据用户需求给出切实可靠的组网方案。 K学院网络设计方案书 本文档根据K学院的情况及用户的需求，给出了切实可行的网络工程组建及实施方案。 1．需求分析 需求分析是网络建设的第一步，本方案从建筑物布局、信息点分布、应用需求、系统维护和培训需求等几方面进行需求分析。 1）建筑物布局 K学院建筑物布局如图1所示。本方案打算将该校园网的网络中心（设备间）安排在计算机中心楼，由计算机中心楼到各建筑物间的最远距离不超过500m，故采用多模光纤作为主要的传输介质来架设校园网主干。楼宇内部采用超5类非屏蔽双绞线作为主要的传输介质。网络主干线缆的走向与建筑物的走向完全一致。

图1 K学院建筑物布局图2）信息点分布 经实地勘察，该校园网的信息点分布如表1所示:

表1 K学院校园网信息点分布情况表 3）应用需求 经分析，本校园网的应用需求如下。 （1）建立以计算中心为核心，连接校园各楼宇的校园主干网络。要求主干网带宽达到1000Mpbs。 （2）按校园内不同用户的需求，划分相应的子网，以方便网络管理、提高网络性能。各子网的带宽至少达到100Mbps。 （3）在整个校园网内实现资源共享，为教学、科研、管理提供服务。 （4）建立基于网络的教育管理及办公自动化系统，实现行政、教学、教务、科研、后勤、财务等日常事务的网络化管理。 （5）建立网络教学系统，提供教师电子备课、课件制作、多媒体演示、学生多媒体交互式学习、网络考试、自动教学评估等功能。 （6）建立电子图书馆，提供电子阅览功能。 （7）建立安全、高速的Internet连接，实现内外互通。 （8）提供常用的Internet应用，包括学校网站、邮件系统、文件传输等。 （9）为校园网提供一定的安全保障，防止黑客入侵和破坏，保证校园网安全。 （10）为校园网提供简单有效的网络管理措施，实现对整个校园网的管理和控制。 （11）为校园网提供相应的容错功能，防止在校园网出现故障时导致整个网络瘫痪。 4）系统维护和培训需求 在校园网建成后，需要对K学院大部教职员工进行基本的网络应用培训。同时，需要为学院培训至少两名网络维护人员，使其能独立完成常规的网络管理与维护。 2．设计原则 为保证校园网的建设质量，在建设过程中坚持以下建网原则。 1）实用性原则。计算机技术发展迅速，新技术、新设备层出不穷。在网络建设过程中没有必要盲目追求新技术、新设备，而应坚持“实用”、“够用”的原则，尽量选择成熟可靠的技术和设备，以取得最佳性价比。 2）开放性原则。在网络建设过程中应尽量选择开放的标准和技术，以便和其他网络系统兼容，也有利于未来的网络扩充。 3）高可靠性/高可用性原则。较高的可靠性和可用性可以保证网络建成后顺利运行，不会因网络故障而

中小型企业网络规划设计方案

湖南工业职业技术学院 工程项目实践报告 项目名称：企业网络规划与设计 院(系)：信息工程系 专业：计算机网络 班级：s2011-2-22 学生姓名：朱佳才 指导教师：黄晗文 完成时间：2014.3.23

目录 No table of contents entries found. 一．工程概况 公司有一栋独立大楼，高4层，每层面积2000平方米。由研发技术部（成员60人，分成硬件（25）和软件（35）2大部门）、生产部（主要产品是手持电子产品，110人，管理人员10人）和市场部（30个销售，10个工程师）组成。还有一般企业都有的后勤部门和财务部门等。公司管理层组成：董事会，1个总经理，3个副总经理。3个总监。

二．需求分析 1. 用户需求 公司网络需求主要有以下几点： (1).1层为市场部和后勤部； 2层为生产部； 3层为研发技术部； 4层为公司内部管理人员办公室和财务部。 (2). 各部门都有各自独立的文件服务器，且文件服务器通常不允许跨部门访问。.但管理层办公室可以访问四个部门的文件服务器。 (3). 公司内部的计算机间采用公司内部的电子邮件系统和IM（即时通讯）系统联系。 (4). 公司内部网络与Interner之间采用10M光纤接入。 (5). 公司内部架设Web服务器，对Internet提供公司的形象和电子商务服务。 (6). 财务部可以访问财务数据服务器，其他部门不能访问财务数据服务器。 (7). 为保证安全，Internet与公司内部网络间应该采用防护措施，防止外界对内部网络未经授权的访问。 (8). 具体要求： WWW服务

E-mail、FTP服务 集团内行政管理 拨号上网服务 文件服务管理系统 数据库服务 防火墙系统 邮件服务 视频会议系统 2.稳定可靠需求 现代企业的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通，保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来，网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企业网络在可靠性设计方面主要应从以下3个方面考虑。 （1）、设备的可靠性设计：不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察。 （2）、业务的可靠性设计：网络设备在故障倒换过程中，是否对业务的正常运行有影响。 （3）、链路的可靠性设计：以太网的链路安全来自于多路径选择，所以在企业网络建设时，要考虑网络设备是否能够提供有效的链路自愈手段，以及快速重路由协议的支持。

网络设计方案模板范文

网络设计方案模板

目录 第1章设计概述.......................................................... 错误!未定义书签。 1.1现状分析 ................................................................ 错误!未定义书签。 1.2网络需求分析 ........................................................ 错误!未定义书签。 1.3信息点统计 ............................................................ 错误!未定义书签。第2章网络系统设计 .................................................. 错误!未定义书签。 2.1设计思想 ................................................................ 错误!未定义书签。 2.2设计目标 ................................................................ 错误!未定义书签。 2.3网络三层架构设计................................................. 错误!未定义书签。 2.3.1 核心设备选型................................................... 错误!未定义书签。 2.3.2 汇聚设备选型................................................... 错误!未定义书签。 2.3.3 接入设备选型................................................... 错误!未定义书签。 2.4网络总体规划 ........................................................ 错误!未定义书签。 2.4.1 XX拓扑图 ......................................................... 错误!未定义书签。 2.4.2 总体规划 .......................................................... 错误!未定义书签。 2.5IP地址及VLAN划分.............................................. 错误!未定义书签。 2.6网络安全管理 ........................................................ 错误!未定义书签。 2.6.1 威胁网络安全因素分析 ................................... 错误!未定义书签。 2.6.2 网络管理的内容............................................... 错误!未定义书签。 2.6.3 安全接入和配置............................................... 错误!未定义书签。 2.6.4 拒绝服务的防止............................................... 错误!未定义书签。

校园网络规划设计方案

校园网络设计方案

第一章建网原则 实际上，我国中小学所耗费的信息技术投入远不止上述经费。国人在进行投入的过程中总是追求时髦、讲面子。不考虑学校的实际情况，严重脱离中国的国情和经济发展现状，要知道我们一直是世界上人均收入排名在一百多位的发展中国家。 接着全国兴起了装备计算机的热潮，重点中学和好一点的乡镇中小学开始全面装备286、386计算机，当时的计算机每台近两万元左右，使用不到两年，软件升级，WINDOS全面取代DOS系统，286、386计算机全面淘汰（由此全国又损失数百亿元）.这时候486计算机全面登场，并立即淘汰，586以及档次与配置更高的计算机面世。我们的学校在这场计算机的变革中，就不停的跟在后面赶，不停的被淘汰，由于有些学校领导片面追求时髦、面子，而给学校和国家造成了无法估计的损失。 现在教育部提出：一定的时间内在国内普及信息技术教育，实行"校校通"工程；可是由于一些大的计算机厂家在不停的炒作，进行误导，使得我们有些学校校长、少数教育领导干部头脑发热起来了，认为：校校通就是校园网，校园网就是计算机网；学校为了完成上面下达的任务，不顾本校的实际情况，不顾当地的实际情况，大规模的建

设计算机网，造成学校大量负债，而这个所谓的校园网自从建立起 来后就面临着淘汰，为什么呢？目前，我国大部份的学校连基本的广播网、有线电视网都没有，有的学校的教师连计算机的最简单的常识也没有，更谈不上如何使用它们。在上述情况下，我们在进行校园网建设的过程中应该保持清醒的头脑，花最少的钱、获得最大的效果。 校园网络作用主体不清 建立一个好的校园网络系统包括广播系统、教学管理系统、计算机网络系统等等。计算机网络系统是校园网络系统中的一个组成部份。他们之间是相互补充、相互完善，而不是相互取代的。建设校园网的目的是用于老师传授知识和学生获得知识。传授知识有三种方式：图像，声音，文字。现在一般的人重视的是文字方面知识传授,而忽略 了用图像和声音进行大众的知识传授。文字是声音和图像的补充和记载。从传播知识的作用范围来讲，广播系统传播的范围最广。从设备的增值性来看：最实用的是计算机，其次是教育系统应用软件和广播系统。因此，我们在建校园网时，应先从简易经济和适用的系统做起，再建计算。 第二章校园网的规划设计 2．1校园网建设核心 随着网络规模的扩大和用户数量迅速增加，并且由于院校合并形成了分布于多个校区的校园网，网络结构日趋复杂，网络结点数剧

大型园区网络设计方案

xxx有限公司 大型园区网络设计方案 文件编号： 受控状态： 分发号： 修订次数：第 1.0 次更改持有者：

西南交通大学组网设计方案 大 型 园 区 网 络

西南交大一队 第一章概述 前言 在二十一世纪教育改革中，世界各国都在加快教育现代化的步伐，其信息化程度的高低已成为当今世界衡量一个国家综合国力的重要标志。 中国教育信息化在经过过去几年的建设后，国家教育科研网（CERNET）骨干已基本建成。大部分高校也已建设了自己的校园网络，对校内提供ISP服务。国家要求在今后5年内完成教育上网，即所有高校、职业学校、中学和小学拥有自己的校园网，并建设校园网将各个校区互联并提供与国家教育科研网和各运营商互联的接口。 总体设计原则 1.先进性原则：计算机网络的先进性将通过网络构架的先进性、硬件设备的先进性、传输速率和协议选择、信息系统的先进性来体现。 2.实用性原则：采用的技术路线、产品应经过实践检验，被证明是成熟可靠的，设计结果能满足客户的需求并且行之有效。 3.可靠性原则：校园计算机网络的可靠性将通过选择能可靠运行的网络结构、选择可靠的网络和计算机硬件设备，以及选择可靠的网络操作系统和信息应用系统来体现。 4.安全性原则：通过加强内部访问控制和外部访问控制两方面来保证网络和信息安全。 5．开放性原则：采用标准通用的网络协议和信息传递方式，保证系统的开放性。 6.易管理性原则：从网络的结构和网络设备的易管理性来体现。网管员可以在网络的任意端口通过Web对设备进行管控，设备的所有端口的状态都会实时地显示出来。控制整个网络安全高效地运行。

7.经济性原则：相对国防、金融等机构，学校对网络建设的投入显然较低，这就要求建成的网络经济实用，具备很高的性能价格比;在技术性能和价格的平衡中，技术性能优先，兼顾价格校园网网络设计需求 1网络的应用 1、大容量的教学资源库、课件资源库。 2、Web、E-MAIL、FTP、BBS视频服务器、数据库服务器的应用。 3、办公自动化及办公收发文系统。 4、远程教育服务。 5、各种流媒体和各种应用平台服务 6、Intranet以及Internet技术应用。 2校园网络主干 校园网络主要涉及40栋大楼：网络中心设在大楼1。 集团共20个部门，分别在A、B、C、D楼各5各，每个部门用户数在100个左右。 1．主干采用千兆以太网，到桌面10/100兆自适应连接； 2．接入交换机至大楼交换机之间采用1000M互连； 3．大楼交换机至核心交换机之间采用1000M互联； 4．分别通过两个路由器连接到教育科研网CERNET和chinanet，实现与INTERNET的互联。 5．内部网络采用Intranet应用模式架构整个应用信息系统 6．骨干网技术要求 1) 满足对多媒体数据的要求，避免主干网络瓶颈的出现； 2) 提供子网划分、虚拟网技术和能力，解决内部网络的路由，实现较高的内部路由性能； 3) 具有高可靠性； 4) 保证传输的服务质量，提供必要的服务质量(QOS)、服务级别(COS)和服务类型(TOS)等； 5) 主干交换机的背叛交换容量不小于50G; 6) 高性能价格比。 7．布线系统技术要求

网络设计方案模板

目录 第1章设计概述 (2) 1.1现状分析 (2) 1.2网络需求分析 (2) 1.3信息点统计 (3) 第2章网络系统设计 (3) 2.1设计思想 (3) 2.2设计目标 (4) 2.3网络三层架构设计 (4) 2.3.1 核心设备选型 (4) 2.3.2 汇聚设备选型 (5) 2.3.3 接入设备选型 (5) 2.4网络总体规划 (5) 2.4.1 XX拓扑图 (5) 2.4.2 总体规划 (5) 2.5IP地址及VLAN划分 (6) 2.6网络安全管理 (6) 2.6.1 威胁网络安全因素分析 (6) 2.6.2 网络管理的容 (7) 2.6.3 安全接入和配置 (8) 2.6.4 拒绝服务的防止 (9) 2.6.5 访问控制 (9) 第3章综合布线方案设计 (10) 3.1综合布线的设计原则 (10) 3.2结构化综合布线系统的组成及设计 (11) 3.2.1工作区子系统网络设计 (12) 3.2.2 配线子系统网络设计 (13) 3.2.3 干线子系统网络设计 (13) 3.2.4 设备间子系统网络设计 (14) 3.2.5 管理子系统网络设计 (14) 3.2.6 建筑群子系统其网络设计 (15) 第4章工程投资预算 (16) 4.1网络设备清单 (16) 4.2线缆清单 (16) 4.3布线材料清单 (16) 4.4人工费用 (16) 第5章结论 (17)

第1章设计概述 1.1 现状分析 校园网络建设的目的在于提供信息的传递速率和效率，在于使教师能更有效，更方便地教，学生能更主动，更积极地学，从而提升整个学校的现代化教育，教学水平。校园网是“数字化校园”的传输平台，一个可靠，高效，安全的网络是建设数字化校园的坚实基础。随着高校信息化的深度发展，学校的教学办公和管理等活动将越来越依赖校园网络。因此构建一个高效，实用，稳定可靠，安全的网络平台，是高校网络建设考虑的重点。 1.2 网络需求分析 校园网是学校进行教育教学、科研、各项管理工作和各类信息交流沟通的应用平台，是一个集成相关软件系统和硬件设备于一体的具有综合功能的宽带计算机局域网，为学校提供了一个日常教学、科研、管理和通讯的综合性网络应用环境。进入信息时代需要培养学生的一种重要能力就是获取信息和处理信息的能力，网络正是架起了一座交流和获取信息的桥梁。毋庸置疑，在21世纪，中国每一所学校都应该建立起自己的校园网。通过校园网将计算机应用于教学的各个环节，从而师生可以通过校园网络进行备课、教学、查阅资料、多媒体教学软件开发与演示、师生之间互相通信、浏览因特网等，所以它对

企业网络规划设计方案

企业网络规划设计方 案

XXX企业网络安全综合设计方案 重庆电子工程职业学院 冉亚东 2011年11月

目录 第一章设计背景分析 (3) 第二章需求分析 (3) 2.1设计需求 (3) 2.2 网络设计需求分析 (4) 2.3 功能需求分析 (4) 2.4 环境需求分析 (5) 2.5 性能需求分析 (5) 第三章网络组网技术选型 (6) 第四章网络拓扑图 (9) 4.1 网络拓扑结构图 (9) 4.2 VLAN划分及编制方案 (10) 第五章设备清单及所需网络设备介绍 (11) 第六章网络PDS系统设计 (21) 第七章网络储存设计 (22) 7.1 存储备份必要性分析 (22) 7.2 基于HP SERVER的数据存储与备份方案 (22)

7.3 备份工作实现自动化 (25) 7.4 实现跨平台备份 (25) 第八章网络安全设计 (26) 8.1 概要安全风险分析 (26) 8.2 实际安全风险分析 (26) 8.3 网络系统的安全原则 (27) 8.4 安全产品 (27) 8.5 风险评估 (28) 8.6 安全服务 (29) 8.7 网络维护 (29) 参考文献 (30) 第一章设计背景分析 当今世界信息化浪潮席卷正全球。因特网的迅猛发展不仅带动了信息产业和国民经济地迅猛增长，也为企业的发展带来了勃勃生机。以因特网为代表的信息技术的发展不仅直接牵动了企业科技的创新和生产力的提高，也逐渐成为提高企业竞争力的重要力量。就在我们为我国小企业网络建设拍掌击节的时

候，我们也注意到这样一个事实，即我国小企业网络建设和应用中存在着许多问题。总结一下，主要有以下几点：首先，服务器接入访问成为瓶颈。这一问题主要出自于软件应用体系的变化，因为C/S、W/S等软件应用模式的演变，服务器的数据运算和传输负荷也在不断提高，导致的直接结果就是服务器需要不断升级。服务器的发展，技术发展。一个企业建立网络成了企业成长的关键部分。 随着信息技术的发展的，企业对信息要求越来越高；当今社会人员流动越来越频繁，使得管理工作也变的越来越复杂。如何管理好企业内部的信息，成为企业管理中一个大的问题。如果能实现信息管理的自动化，无疑将给公司带来很大的方便。办公自动化（OA）是将现代化办公化和计算机网络功能结合起来的一种新型的办公方式，是当前新技术革命中一个非常活跃和具有很强生命力的技术应用领域，是信息化社会的产物。企业内部办公系统能够建立企业自身的一套职务体系，每个职务有其所对应的职级、所需基本信息及对信息的使用资格。允许合法的使用者通过网络对企业职员的人事信息、公司的流水帐目信息、核销单的流向信息、账单的生成和查询及同行各个企业的信息进行管理。信息成了公司发展不可却少的动力。 第二章需求分析 2.1 设计需求 在中国中小企业占到全国工业企业的97%以上，是中国的经济命脉。在今天竞争激烈的市场环境下，许多中小型企业都在追求高效的管理与沟通方法，

大型网络建设方案设计(草)

重庆XXX技术有限公司 网络建设方案（草） 一、组建局域网的目标 利用服务器，通过交换机、路由器连接所有电脑及办公系统，实现各办公区域及生产厂区的数据共享及与In ternet相结合的网络。 满足公司领导、员工对公司信息的共享与交流（可实现用户权限控制）采用服务器可实现认证服务、数据库服务、代理服务、邮件服务、打印服务、Web服务等，有效降低成本。通过100M的光纤接入方式，与In ter net连接。通过服务器连接宽带，内部工作站通过多层交换机连通后，即可实现所有工作站同时上网，进行Web浏览、E-mail 发送。轻松实现文件共享、打印共享，减少办公设备开支。建立企业WEB、邮件服务器，实现企业内部Intranet，建立以Web为标准的企业各项工作流程，逐步实现各项电子商务。 二、需求分析 1.总体需求分析 网络系统的建设主要是为厂区办公服务，厂区网络系统内每天有大量信息数据和管理信息数据处理，对网络性能有非常高的要求，必须确保整个厂区企业网正常稳定的运作。通过对目前主要网络技术进行分析，决定采用千兆以太网。 2.对局域网所需求计算机的分析 经计算总共大约有1200台左右电脑接入系统。

3.网络节点需求分析与分布 本设计共规划8个子网，分别是办公大楼网、宿舍网、食堂网、厂区1网、厂区2网、厂区3网、厂区4网、其它预留网。每个子网各有200台左右计算机，各分配20M带宽?每个子网的200台计算机采用星型拓扑结构与楼层交换机相连，每个子网配备5台100M 的楼层交换机。5台交换机通过光纤连接到1000M的楼层核心交换机上，楼层核心交换机在通过光纤连接到中心交换机。核心交换机通 过防火墙与互联网连接。核心交换机还与局域网中其他应用服务器相连，防火墙与WEB服务器相连,WEB服务器连接着数据库服务器。 三、设计原则 根据厂区的建设要求和当今计算机信息技术发展状况，个人认为 该系统的建设要充分考虑到可靠性、安全性、灵活性、扩展性、先进性、实用性等，特别是要设计中要考虑以下几个主要的原则： 1）可扩展性原则 在设计上应注重兼容性、连续性，依据标准化和模块化的设计思想，不仅在体系结构上保持很大的开放性，而且同时能够提供多种灵活可变的接口，使系统今后的扩展非常方便，保护系统的投资。 2）实用性原则 信息化系统建设是手段而不是目的，因此必须紧密结合业务需要，应用系统应能替代部分繁重、重复的手工作业，且能使得整个管理系统更易于操作和维护。 3）先进性

办公楼网络规划方案

计科系办公楼网络系统集成 二零一一年六月 目录 1网络集成系统需求分析.............................................................................. 错误！未指定书签。 1.1.网络现状............................................................................................. 错误！未指定书签。 1.2需求分析............................................................................................. 错误！未指定书签。 1.3.应用需求............................................................................................. 错误！未指定书签。 1.4用户性能分析.................................................................................... 错误！未指定书签。 1.4.1.楼层结构分析：........................................................................ 错误！未指定书签。 1.4. 2.楼层使用分析............................................................................ 错误！未指定书签。 1.4.3.环境分析.................................................................................... 错误！未指定书签。 1.4.4.网络分析.................................................................................... 错误！未指定书签。 1.4.5.接点分析.................................................................................... 错误！未指定书签。 1.5网络管理需求..................................................................................... 错误！未指定书签。 2.网络系统设计 ............................................................................................. 错误！未指定书签。 2.1网络设计原则..................................................................................... 错误！未指定书签。 2.2网络拓扑图及相关命令..................................................................... 错误！未指定书签。 2.3 IP地址规划和VLAN设计................................................................ 错误！未指定书签。 2.3.1 IP规划....................................................................................... 错误！未指定书签。 2.3.2 VLAN设计................................................................................ 错误！未指定书签。 2.4.办公楼网络专项设计......................................................................... 错误！未指定书签。 2.4.1网络管理.................................................................................... 错误！未指定书签。 2.4.2网络安全性................................................................................ 错误！未指定书签。 2.4.3网络扩展性设计........................................................................ 错误！未指定书签。 2.5网络操作系统选择............................................................................. 错误！未指定书签。 2.6应用系统选型..................................................................................... 错误！未指定书签。 3.网络系统集成使用的主要设备.................................................................. 错误！未指定书签。

公司网络安全方案设计书

网络安全方案设计书 公司网络安全隐患与需求分析 1.1 网络现状公司计算机通过内部网相互连接与外网互联，在内部网络中，各服务部门计算机在同一网段，通过交换机连接。如下图所示： 1.2 安全隐患分析 1.2.1 应用系统的安全隐患应用系统的安全跟具体的应用有关，它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面。应用的安全性也是动态的。需要对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。主要有文件服务器的安全风险、数据库服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等。 1.2.2 管理的安全隐患管理方面的安全隐患包括：内部管理人员或员工图方便省事，不设置用户口令，或者设置的口令过短和过于简单，导致很容易破解。责任不清，使用相同的用户名、口令，导致权限管理混乱，信息泄密。用户权限设置过大、开放不必要的服务端口，或者一般用户因为疏忽，丢失帐号和口令，从而造成非授权访问，以及把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。可能造成极大的安全风险。 1.2.3 操作系统的安全漏洞计算机操作系统尤其服务器系统是被攻击的重点，如果操作系统因本身遭到攻击，则不仅影响机器本身而且会消耗大量的网络资源，致使整个网络陷入瘫痪。 1.2.4 病毒侵害 一旦有主机受病毒感染，病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的其他主机，可能造成信息泄漏、文件丢失、机器不能正常运行等。

2.1 需求分析 公司根据业务发展需求，建设一个小型的企业网，有Web、Mail 等服务器和办公区客 户机。企业分为财务部门和综合部门，需要他们之间相互隔离。同时由于考虑到Internet 的安全性，以及网络安全等一些因素。因此本企业的网络安全构架要求如下： 1. 根据公司现有的网络设备组网规划； 2. 保护网络系统的可用性； 3. 保护网络系统服务的连续性； 4. 防范网络资源的非法访问及非授权访问； 5. 防范入侵者的恶意攻击与破坏； 6. 保护企业信息通过网上传输过程中的机密性、完整性； 7. 防范病毒的侵害； 8. 实现网络的安全管理。 通过了解公司的需求与现状，为实现网络公司的网络安全建设实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用情况进行追踪，防范外来计算机的侵入而造成破坏。通过网络的改造，使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要 （1）构建良好的环境确保企业物理设备的安全 （2）划分VLAN 控制内网安全 （3）安装防火墙体系 （4）安装防病毒服务器 （5）加强企业对网络资源的管理 如前所述，公司信息系统存在较大的风险，网络信息安全的需求主要体现在如下几点： （1）公司信息系统不仅需要安全可靠的计算机网络，也需要做好系统、应用、数据各方面的安全防护。为此，要加强安全防护的整体布局，扩大安全防护的覆盖面，增加新的安全防护手段。 （2）网络规模的扩大和复杂性的增加，以及新的攻击手段的不断出现，使公司计算机网络安全面临更大的挑战，原有的产品进行升级或重新部署。 （3）信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求，为此要制定健全的管理制度和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。 （4）信息安全防范是一个动态循环的过程，如何利用专业公司的安全服务，做好事前、事中和事后的各项防范工作，应对不断出现的各种安全威胁，也是公司面临的重要课题。

中学校园网络规划设计方案

摘要 随着计算机、网络应用的不断普及，学校管理也相应的发生着变化。如何能更加充分的利用学校现有的教学资源进行教学、管理，又能达到事半功倍的效果？校园网的实施为学校提供了很好的解决方法。校园网的建设是现代教育发展的必然趋势，建设校园网不仅能够更加合理有效地利用学校现有的各种资源，而且为学校未来的不断发展奠定了基础，使之能够适合信息时代的要求。校园网络的建设及其与Internet的互联，已经成为教育领域信息化建设的当务之急。校园网工程是一项技术性较强的综合工程，它涉及到网络交换设备、路由设备、服务器与工作站、校园网应用软件、传输介质等许多方面。本文简要地讨论了校园网络规划设计中涉及到的网络技术、规划设计方法、网络性能及应用分析等问题，为校园网络的规划、设计和升级改造等方面在技术及应用上提供参考，以使在建或规划中的校园网络具备较高的整体性能。 关键词：校园网络；规划设计；无线网络局域网技术；

目录 摘要 (1) 一、需求分析 (4) （一）目的 (4) （二）该校园网实现的主要功能 (4) 1.共享国内外信息资源 (4) 2.www浏览 (4) 3.电子邮件系统（E-mail） (4) 4.匿名FTP服务 (4) 5.电子公告牌BBS. (4) 6.网络考试 (4) 7.CIMS、MIS等教学科研实验网 (4) 8.建立电子图书馆，提供联网查询 (4) （三）该校园网技术方案的特点 (5) 1.先进性 (5) 2.标准化 (5) 3.实际性 (5) 4.经济性 (5) 5.易维护性 (5) （四）网络接入技术和网络访问策略 (5) 1.建立虚拟网 (5) 2.网络管理 (5) 3.网络安全需求分析 (6) 4.广域网连接 (6) 二、网络规划设计 (7) （一）网络规划原则 (7) 1.实用性与先进性 (7) 2.开放性与标准化 (7) 3.可靠性与安全性 (7) 4.经济性与可扩充性 (7) (二) 网络拓朴图 (8) （三）网络技术的选择 (8)

园区网络设计方案

网络设计与组网综合大作业 目录 网络设计与组网综合大作业 ..........................................................................................................I 目录 ..............................................................................................................................................I 第一章绪论 .. (2) 1.1 概况 (2) 1.2 主要内容 (2) 第二章园区网概述 (3) 2.1 园区网含义 (3) 2.2 园区网特点 (3) 2.3 园区网发展趋势 (3) 第三章园区网设计 (4) 3.1 需求分析 (4) 3.2 网络设计原则 (4) 3.3 网络模型设计 (5) 3.4 园区网络拓扑图 (7) 3.5 IP地址规划 (7) 3.6VLAN规划 (8) 3.7 路由协议选择 (8) 3.8配置规范 (10) 第四章网络安全设计 (12) 4.1 VLAN技术 (12) 4.2 VPN技术 (13) 4.3 防火墙技术 (13) 第五章网络模拟实现 (14) 5.1 模拟器介绍 (14) 5.2 模拟环境拓扑图 (14)

5.3 需求实现 (15) 5.4 配置步骤 (16) 第六章总结 (17) 第一章绪论 1.1 概况 随着计算机网络的迅速发展，曾经在园区网中被大量使用的10M/100M以太网技术、ATM技术已经渐渐不能适应现在的业务需求，作为园区主干网， 10M/100M以太网作为主干网络核心技术带宽不足的弊病渐渐凸显，已经严重影 响着园区网络的运行效率，目前仍有许多大型园区网络在使用ATM技术，这样 的网络面临两个问题：VLAN间路由的性能不能满足网络需求，并且ATM技术 正在逐步被淘汰。现在，千兆以至10G级别以太网技术正逐渐成为园区网络主 干的主流技术。因此，许多大型园区网络面临技术改造或者重新设计。 1.2 主要内容 本文主要做了以下两个方面的工作： 第一，介绍了园区网络的含义、特点，按网络设计与组网课程的要求方法规划设计一个完整的园区网络。 第二，使用华为的eNSP对网络进行了简单的模拟，以实现网络的互通互联，对各层设备进行了配置。 I

网络方案设计思路讲解学习

网络方案设计 （假想一个大型企业） 一. 分析客户需求 1. 简要描述企业规模、经营业务 2. 当前该企业网络现状分析： 3. 企业网络需求分析： 二、网络设计原则 1. 实用性 2. 先进性 3. 可扩展性 4. 高可用性 三、方案设计 1. 选用合适的网络技术 局域网：VLAN技术 广域网：DDN专线SDH专线MPLS-VPN ( 实现业务分离) 互连网：100 M光纤联通、电信双线冗余 2. 选用合适的网络设备 不同模块采用的产品要满足该模块的功能实现，并留下一定的扩展性，以满足今后网络扩容的需要。 核心层：CISCO 6509 2 台 汇聚层：CISCO 3560 / 3750 2 台 接入层：CISCO 2960 40台 广域网路由器：CISCO 3845 3台 防火墙：CISCO ASA 5520 或天融信千兆防火墙任一型号3台 3. 网络拓扑设计 ●交换拓扑设计

●路由拓扑设计 4. 网络技术分析 4.1全网IP地址规划

郑州总部采用172.16.0.0/16网段，划分子网，安排各个部门；西安和上海分支采用172.17.0.0/16和172.18.0.0/16网段，并划分子网。 中转路径: 192.168.1.0 /24 192.168.2.0/24 192.168.3.0/24 ……. 192.168.20.0 广域网连接西安 192.168.30.0 广域网连接上海 园区网用户: 172.16.0.0/16 行政部VLAN10 172.16.10.0/24 人事部VLAN20 172.16.20.0/24 财务部VLAN30 172.16.30.0/24 企管部VLAN40 172.16.40.0/24 厂房一区VLAN50 172.16.50.0/24 厂房二区VLAN60 172.16.60.1/24 营销中心VLAN70 172.16.70.0/24 科研楼VLAN80 172.16.80.0/24 服务器群组一( OA / 文件…): VLAN 110 172.16.110.0/24 服务器群组二( 内部WWW / FTP…): VLAN 120 172.16.120.0/24 4.2交换技术分析 4.2.1 为优化网络性能，减少广播对网络的影响，及方便对合部门的安全管理，分别 在核心层65-1和65-2上划分VLAN 50-120, 在接入层35-1和35-2上划分 VLAN10,20,30,40P安排各个部门。具体划分如下： 35-1和35-2 行政部VLAN10 人事部VLAN20 财务部VLAN30 企管部VLAN40 65-1和65-2 厂房一区VLAN50 厂房二区VLAN60 营销中心VLAN70 科研楼VLAN80 4.2.2 HSRP的实施: 简要阐述HSRP的作用：略 S35-1 作为VLAN10和VLAN20的主网关, 同时作为VLAN30和VLAN40的备用网关. S35-2 作为VLAN30和VLAN40的主网关, 同时作为VLAN10和VLAN20的备