您的当前位置：首页正文

企业局域网规划设计

来源：九壹网

摘要-------------------------------------------------01页一、功能需求分析--------------------------------------01页

（一）功能需求分析--------------------------------01页（二）企业内部资料、组织架构----------------------01页（三）简化作业管理流程、相对达到无纸化办公--------02页（四）支持决策------------------------------------02页（五）外出人员与公司沟通--------------------------02页（六）接入INTERNET功能---------------------------02页二、局域网设计方案概述--------------------------------02页

（一）设计目标------------------------------------02页（二）设计原则------------------------------------02页三、局域网规划设计方案--------------------------------03页

（一）技术规范------------------------------------03页（二）网络层次划分--------------------------------04页（三）网络IP子网划分-----------------------------04页（四）网络流量规划--------------------------------05页（五）以太网交换技术------------------------------06页（六）虚拟交换技术--------------------------------07页（七）硬件系统结构及硬件选择----------------------08页（八）软件系统结构--------------------------------10页（九）安全策略------------------------------------12页四、本方案的系统特点----------------------------------14页

（一）合理的系统结构------------------------------14页（二）可靠的安全防护------------------------------14页（三）充分的扩展性--------------------------------14页（四）稳定的系统性能------------------------------14页结论--------------------------------------------------15页参考文献----------------------------------------------15页

天津科技大学远程与成人教育学院毕业论文

企业局域网规划设计

【摘要】根据公司发展需求，满足用户信息资源需求，搭建扩展性好、安全性高、适应性广的企业网络平台。

【关键字】企业局域网、设计、计算机网络

一、功能需求分析（一）功能需求分析

迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。国内越来越多的企业也已经或正在考虑使用Internet/Intranet技术，以建设企业规划化的信息处理系统。通过Internet与外部世界交换信息，本企业与全世界联系起来，极大地提高了信息收集的能力和效率。

企业内部网（Intranet）是国际互连网（Internet）技术在企业内部或封闭的用户群内的应用。简单地说，Intranet是使用Internet技术，特别是TCP/IP协议而建成的企业内部网络。这种技术允许不同计算机平台进行互通，且不用考虑其位置。也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问。

随着Intranet技术的不断发展，计算机已经逐渐应用到企业中的各个关键部分，极大的提高了企业的工作效率。（二）企业内部资料、组织架构

本企业是生产射频接插件的科技技术型企业；企业由4个生产中心组成；每个生产中心由办公楼和生产、装配中心大楼组成。

企业

办公楼办公楼生产装配生产装配

生产中心1 生产中心2

按管理方的要求，一般一个生产中心局域网信息点共有222个。其中办公楼60个，分别分布在3个楼层、生产、装配中心136个分布于5层楼层，平房的26个信息点用于一层的阶梯教室和企业辅助管理部门。各楼之间以光缆连接，构成企业局域网；企业局域网的中心机房设在办公楼的三层西侧。生产、装配中心的配线间设在三楼东侧的北面；根据企业安排，信息点的具体分布是：

办公楼生产、装配中心合平房计一层二层三层一层二层三层四层 22 20 18 30 30 30 28 26 204 60 118 26 204 第 1 页共 17 页

天津科技大学远程与成人教育学院毕业论文

为适应企业将来对各种网络应用的需求，另外随着技术和工艺的进步，考虑到目前各类布线材料在价格方面比较接近，因此拟对所有信息点都按超五类UTP标准布线，每个信息点可实现不低于100Mb的带宽，这样不仅可支持一般的企业信息管理应用对网络传输带宽的要求，而且完全支持MPEG-2等格式的多媒体信息传输。

此布线方案只考虑数据信息点布线，不涉及语音信息点及其设备。（三）简化作业管理流程，相对达到无纸办公

本企业是生产射频接插件的科技技术型企业，生产全部使用ERP系统。输入由电脑和鼠标完成。输出则基本由联网打印机完成。基本达到了无纸办公。（四）支持决策，能在短时间内获得信息

高速的内部网中各个信息点，能及时的传递业务信息，供应信息，生产信息，管理信息。供管理层及时决策。（五）外出人员与公司沟通

WWW应用是Intranet的标志性应用，核心的应用服务集中在WWW服务器上完成。因而对于WWW服务器的设计首要考虑的就是服务器性能问题，另外考虑到将来在Intranet平台上做应用开发的可能，对于WWW服务器同数据库互联的问题也应作为重点考虑。（六）接入INTERNET功能

对广域网的连接需求主要表现在：能够与国际互联网连接，与国际交流信息；能够与CERNET国内各个单位交流信息。C11inaNet连接、与国内各个单位交流信息。满足出差在外的校领导及其它公务人员及时与学校保持联络。为此应通过DDN、无线网等公用或者专用数据网络与CERNET连接，再连到Internet。

对办公楼的网络布线按照国际有关计算机网络通信的标准进行设计。申请正式IP和域名，配置路由器，安装Server（资源共享，Web），完成与Internet的连接，整体网络既可在内部使用，又可与外网互联访问Internet，实现与外界的数据交换。

二、局域网设计方案概述（一）设计目标：按功能需求要求

1. 根据企业对信息点的安排和网络应用的需求制定合理的企业网络工程总体建设规划和实施方案；

2. 对企业办公楼、生产、装配中心和平房辅助管理部门等几座主要建筑物实施局域网结构化布线；

3. 完成从办公楼的网络中心分别到生产、装配中心和阶梯教室所在平房的2条主干网光缆的铺设；

4. 实现企业核心交换机与二级交换机的连接、安装、配置和调试； 5. 实施对新购服务器和部分微机网络工作站的连接和入网调试。（二）设计原则 1.先进性。我们设计的网络方案采用三层分布式结构。核心层选用包括了锐捷网络高性能的万兆以太网交换机，可以实现对全网的数据进行高速无阻塞的交换，负责路由管理、网络管理、网络服务、核心数据处理等。

汇聚层由锐捷网络STAR-S4909/S3550-12G全千兆路由交换机组成，负责接入层汇聚，提供高速无阻塞的链路到核心层，抑制广播风暴和分流核心数据处理压力等，可实施分布式三层，大大提升网络性能。

第 2 页共 17 页

天津科技大学远程与成人教育学院毕业论文

接入层选用提供上联千兆，10/100M桌面接入，并在全部采用认证和流控等手段进行接入控制，充分满足用户的高速接入等，并可灵活扩展，增加端口密度。选用STAR-S2100。

采用WINDOWS SERVER 2003操作系统

2.安全可靠性。可靠性：对工作站、服务器、交换机及其他主要相关设备在厂家、品牌、服务等方面进行充分调研、论证、选择，确保硬件设备的基本品质。采用WINDOWS 2000作为网络操作系统，并以“数据库”的方式建立各种生产、装配中心和管理应用系统，保证网络系统和应用系统的安全稳定。

容错技术采用：双工磁盘技术

在网络系统上建立起两套同样的且同步工作的文件服务器，如果其中一个出现故障，另一个将立即自动投入系统，接替发生故障的文件服务器的全部工作。

3.实用性。企业组网的方案在接入交换机将用户账号、MAC地址与端口的捆绑实现高效的用户控制；采用网络管理系统TCLView，使网络易维护、易管理，可实施性好。

4.可扩展性。可扩展性：网络核心层、汇聚层采用模块化交换机，按照需求灵活配置各种模块，做到既满足需求，由留有余地。整个网络架构采用三层结构，使网络具有较好的伸缩性、可以根据网络建设的不同阶段灵活配置和扩展，具有能不断吸收新技术、新方法的功能。

5.开放性。本次设计的中央集成管理系统将是一个完全开放性的系统，通过编制系统的接口软件将解决不同系统和产品间接口协议的“标准化”，以使他们之间具备“互操作性”。所有接口均基于标准的TCP/IP数据接口协议和内容。系统的开放性设计完全遵循国际主流标准以及工业标准。三、局域网规划设计方案（一）技术规范 1. 网络体系结构：

（说明：企业网络总拓扑结构）

第 3 页共 17 页

天津科技大学远程与成人教育学院毕业论文

（说明：办公大楼总拓扑结构）

（二）网络层次划分

核心层：核心层配置设备承担的任务主要是通过核心层设备与汇聚层间信息的交流、分发与管理，因此核心层设备是整个网络的中心枢纽，应具有强大的交换能力，保证不会发生信息拥塞；强大的安全防护能力，保证不会因单点故障而影响整个系统的正常运行；有效的故障恢复能力,保证任何一种单点故障都能在短时间内迅速予以恢复。

汇聚层：汇聚层设备承担的任务，一是构造本地网络核心，二是通过核心设备实现与其他部分大量信息交换。汇聚层设备具备较高的吞吐能力和上连带宽，同时还具备强有力的用户访问控制能力（即三、四层交换能力、虚网功能）。

接入层：接入层的功能在于将各种媒体、各种速度、任何地方的最终用户接入IP网络。这一层主要实现各单位终端节点设备的接入，并上连到网络汇聚层。这一层网络建设可以根据各节点的具体情况分期分批建设。（三）网络IP子网划分

根据企业安排，信息点的具体分布是：

办公楼生产、装配中心合平房计一层二层三层一层二层三层四层 22 20 18 30 30 30 28 26 204 60 118 26 204

把一个大网缩小为若干小网，叫子网（作动词），而要把一个或几个小网扩大为一个大网，叫超网，后者一般应用于电信等其它领域，我们不作讨论。

划分IP子网，有利于我们搞好系统维护，合理配置系统资源，减少资源浪费，企业信息点以楼层划分。

根据192.168.0.0的保留地址划分企业内部局域网，属于C类地址，子网掩码255.255.255.0。

根据结构分析，生产、装配中心一层，数量最大，30台，为每个楼层划分单独的网段公式：2N-2=Hosts

第 4 页共 17 页

天津科技大学远程与成人教育学院毕业论文

2N-2=30 N=5 N代表掩码中0的个数，5个零则意味着二进制掩码为11100000，即十进制的224．加上前面24个1，1 的总数为27个。

子网掩码255.255.255.224

确定掩码规则以后，就要确认每一个子网的具体地址段。

当前的IP地址192.168.1.0的最后一位是0，二进制表示为00000000；而我们已经算出的掩码255.255.255.224的最后一位是224，二进制表示为11100000

00000000 11100000 与结果：0 00000000

00100000

11100000 结果：32 与 00100000

去除网络回环地址，广播地址

依次类推

办公楼一层 192.168.1.32 办公楼二层 192.168.1.64 办公楼三层 192.168.1.96

生产、装配中心一层 192.168.1.128 生产、装配中心二层 192.168.1.160 生产、装配中心三层 192.168.1.192 生产、装配中心四层 192.168.1.224 （四）网络流量规划

一个设计成功的企业网，其网络流量合理，系统各部分负载均衡。那么什么是网络流量呢？网络流量简而言之就是网络上传输的数据量。就像要根据来往车辆的多少和流向来设计道路的宽度和连接方式一样，根据网络流量设计企业网络是十分必要的。

“80 /20”规则：在传统网络中，一般将使用相同应用程序的用户放到同一工作组中，他们经常使用的服务器也放在一起。工作组位于同一物理网段或VLAN（虚拟局域网）中。这样做的目的是将网络上客户机与服务器之间产生的数据流量限制在同一网段中。在同一网段，可以使用带宽相对高的交换机连接客户机和服务器，而不必使用带宽相对较低的路由器。

将大部分网络流量控制在本地的这种网络设计模式，被称为“80/20规则”，即80%的网络流量是本地流量（采用交换机交换数据），在同一网段中传输；只

第 5 页共 17 页

天津科技大学远程与成人教育学院毕业论文

有20%的网络流量才需要通过网络主干（路由器或三层交换机）。

“80/20”规则中的“80”和“20”不能简单地理解为数字，应该理解为网络流量分布的方式，即大部分网络流量局限在本地工作组，小部分流量通过网络主干。因此在实际网络设计中，只要大部分网络流量在本地、小部分网络流量通过主干，就认为它符合了“80/20”规则，而不管实际的数字比例是多少。后面谈及的“20/80”规则也是如此。

按照“80/20”规则，分支交换机可以使用不支持VLAN的交换机，如全向的QS-6924交换机，这样能够大大降低不必要的开支。当然使用支持VLAN的交换机产品就更好了，如果以后想划分子网也比较方便，全向系列交换机中，带有“V”的型号具有VLAN功能，如QS-532V交换机、QS-516V交换机等。

随着网络应用的逐渐丰富，“80/20”规则已经不能完全满足网络设计的需要。而一种被称为“集中存储、分布计算”的模式逐渐得到推广。集中存储，就是数据集中在网络中心存储，如已经得到普遍使用的Web服务、电子邮件系统和逐渐流行的VOD（视频点播）、多媒体资源库等；分布计算，就是数据被下载到各个工作站上处理，如使用网络上的多媒体资源库制作多媒体课件等。

在“集中存储、分布计算”的网络应用模式下，对网络流量的要求已经大大偏离了“80/20”规则，一种新的规则应运而生，这就是“20/80”规则。在符合“20/80”规则的网络中，只有大约20%的网络流量局限在本地工作组，而大约80%网络流量经过网络主干传输。

这种网络流量模式的转变，给企业网主干交换机带来了很大的负荷。因此理想状态下主干交换机应该能够提供与下面连接的支干交换机相匹配的性能，即提供线速三层交换，也就是说，下面的支干交换机能够跑多快，上面的主干交换机也应该能够跑多快。

同样，如果网络中有许多按功能划分的VLAN，这些VLAN也很难管理。在以往的“80/20”规则中，服务器往往分布在VLAN中，因此对于各工作组来说，访问起来比较快。但是在“20/80”规则中，服务器往往集中在网络中心，因此对于各工作组，必须实现跨VLAN的访问。

没有三层交换机，VLAN之间无法通信，VLAN类似于硬盘的逻辑分区，可以简单地理解为把同一硬盘划分成不同的硬盘盘符。但是与逻辑盘不同的是，VLAN之间通信可不像把文件从一个逻辑盘复制到另一个逻辑盘那样简单，而是必须依靠路由器才能使VLAN之间相互通信。

因此符合“20/80”规则的大中型网络必须使用三层交换机，如神州数码D-Link的 DES-6706交换机。

企业网适用哪一条规则

在企业网络环境中，有的地方“80/20”规则适用，数据流量一般局限在本地子网中，如果将专用的服务器架设在网络中心，必将大大增加网络主干的负担。有的地方“20/80”规则适用，比如电子邮件服务器、Web服务器等，是任何网络用户都会使用的，就应当放置在网络主干上，如果放在某一个子网中，不仅增加该子网的负担，其他子网的用户访问起来也会很慢。（五）以太网交换技术

以太网交换技术具有许多类型，各自宣传其具有不同的优点；通过简单的鼠标即可增加、移动和改变往来落的结构；比网桥和路由器更为有效地进行网络分段；为高性能工作站或服务器提供高宽带。网络管理者渴望采用这些技术，但是首先他们想了解各种以太网交换技术。当前有两种以太网交换技术：静态

第 6 页共 17 页

天津科技大学远程与成人教育学院毕业论文

以太网交换和动态以太网交换。

1.静态以太网交换。静态以太网交换是为网络管理者通过软件来完成网络配置的增加、移动及改变而设计的。静态以太网交换工作与传统的共享式网络环境。所以称为“静态”是由于需要网络管理员的人工干预，既每次网络节点的移动和增加，网络管理员必须通过网络管理软件进行操作。一旦一次静态交换操作完成，用户或工作站将被移到一个新的共享网段，并且一直呆在那里直到另一次新的操作。

静态交换允许网络管理员在一个ＨＵＢ内将用户容易地从一个共享局域网总线移到另外一个共享局域网总线。，集线器的以太网总线１是由工程部８台工作站共享的以太网网段。而以太网总线４是由市场部的工作站所共享）的网段，以上两个网段都是传统的共享局域网。当工程部某位工程师调至市场部，希望将其工作站连至市场部局域网段（以太网总线４）时，该如何操作？

对静态以太网交换，网络管理员只需通过网络管理工作站的集线器图形界面，用鼠标将调离的工程师工作站所对应的端口从总线１拉至总线４即可。这种改变只需几秒钟的时间。而传统的方法，则需网络管理员通过查线、拨号、重新布线等一系列的工作才能完成。显然，在网络结构需经常改变的场合，静态交换以太网极为适宜。静态交换不能改变带宽(性能), 用户唯一可以提高网络性能的方法是将工作站从拥挤的网段移到空闲的网段。只有动态以太网交换才可以增加标准以太网的带宽(性能)。

2.动态以太网交换。动态以太网交换最初设计思路来源于电话网, 即在一个系统内同时按需存在许多点-点会话.动态以太网交换可以在不改变标准以太网节点设备的同时( 即工作站和服务器采用标准的以太网卡,驱动程序,电缆和应用程序),极大地提高网络的带宽.其工作过程如下:交换机检查来自PC的数据包; 交换机识别该数据包的源地址和目的地址;交换机动态打开专用的10Mbps链路,将数据包由源地址端口传送至目的地址端口。

动态交换检查由A工作站发往B工作站的数据包,在A与B 之间动态建立一专用的10Mbps链路.显然,不象传统的共享以太网, 数据包不是发往网络上的所有工作站,而是对每一数据传输产生专用的10Mbps链路.而连接到动态交换上的工作站及服务器仍使用标准的以太网卡,驱动程序,电缆及应用程序。

在动态交换的内部,标准以太网的冲突式网络存取机制(CSMA/CD)不再存在, 与以太网相依存的\"冲突\"显著变小或不复存在, 每一用户昀可独立享受局域网的全部带宽(以太网10Mbps),所有的数据包都通过专用的点对点10Mbps链路进行交换,因此以太网交换为诸如客户机/服务器应用,分布式数据库,图像处理,CAD,甚至多媒体等数据密集型网络应用提供了足够的带宽。因为数据不昌传送到所有的端口,网络也难以被窃听,所以动态交换环境比共享式以太网更加安全.

动态交换同时检查所有数据包,同时开辟许多的10Mbps 专用链路以完成并行的数据通信。这样在任何时间内可以存在许多专用的源-目的以太网。动态交换以太网的这种并行的,点对点特性与电话网相似,同时也与FTM相近。一旦一个独立的端口通信完成,动态交换释放此链路。因此,动态交换的带宽流量是按需的,这种按需带宽特性是ATM网的另一特性.但因动态以太网交换是建立在标准以太网基础上( 标准接口卡,驱动,电缆和应用) , 用户可以保留其在原有以太网上的投资和基础上, 获得像ATM一样的专用带宽及安全保密性。（六）虚拟交换技术

第 7 页共 17 页

天津科技大学远程与成人教育学院毕业论文

1.VLAN技术的概述及其优点。VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。

传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的带宽；而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。

VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在一个VLAN内部，划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。

另外，VLAN具有灵活性和可扩张性等特点，方便于网络维护和管理，这两个特点正是现代局域网设计必须实现的两个基本目标，在局域网中有效利用虚拟局域网技术能够提高网络运行效率。

2.VLAN的实现。VLAN的实现方式有两种：静态和动态。静态实现是网络管理员将交换机端口分配给某一个VLAN，这是一种最经常使用的配置方式，容易实现和监视，而且比较安全。

动态实现方式中，管理员必须先建立一个较复杂的数据库，例如输入要连接的网络设备的MAC地址及相应的VLAN号，这样当网络设备接到交换机端口时交换机自动把这个网络设备所连接的端口分配给相应的VLAN。动态VLAN的配置可以基于网络设备的MAC地址、IP地址、应用或者所使用的协议。实现动态VLAN时候一般情况下使用管理软件来进行管理。在CISCO交换机上可以使用VLAN管理策略服务器（VMPS）实现基于MAC地址的动态VLAN配置。VMPS是MAC地址与VLAN的映射表。这种配置的优点是网络管理员维护管理相应的数据库，而不用关心用户使用哪一个端口，但是每次新用户加入时需要做较复杂的手工配置。基于IP地址的动态配置中，交换机通过查阅网络层的地址自动将用户分配到不同的虚拟局域网。（七）硬件系统结构硬件选择

1.网络接入层。STAR-S2100系列交换机具有高安全特性，有效防御病毒和网络攻击，控制用户非法接入； STAR-S2100系列交换机可提供多种安全机制，如专家级ACL功能（可以对MAC地址＋IP地址＋VLAN号＋传输端口号＋协议类型＋时间ACL的任意组合）可以防止红色代码病毒、冲击波病毒；端口和MAC、IP绑定可以控制SYN Flood攻击；支持IGMP源端口检查，有效控制非法组播源，提高多媒体组播业务的正常运行证。种种安全策略的实施保证了数字图书馆全网的稳定、安全运行。

基于流的带宽限制保证网络发挥的最大效能

STAR-S2100可以基于VLAN ID、用户ID、IP地址等多种分类方式为不同应用提供不同的接入服务策略。STAR-S2100的用户带宽控制技术采用了类似ATM的CBR方式，利用大容量的缓存为突发数据流整形，不但可以将带宽控制

第 8 页共 17 页

天津科技大学远程与成人教育学院毕业论文

精确到Kbps级别，而且有效防止了突发数据包的丢失。

STAR-S2100系列交换机均支持基于流的QoS策略，具备MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用以及不同应用所需要的服务质量特性提供服务，有效地保障了用户关键业务的高速运行。

接入层采用先进的堆叠技术，弹性扩展网络 cisco的29系列可以堆叠在一起来使用。堆叠是通过集线器的背板连接起来的，它是一种建立在芯片级上的连接，如2个24口交换机堆叠起来的效果就像是一个48口的交换机，优点是不会产生瓶颈的问题。

堆叠(Stack)和级联(Uplink)是多台交换机或集线器连接在一起的两种方式。它们的主要目的是增加端口密度。但它们的实现方法是不同的。简单地说，级联可通过一根双绞线在任何网络设备厂家的交换机之间，集线器之间，或交换机与集线器之间完成。而堆叠只有在自己厂家的设备之间，且此设备必须具有堆叠功能才可实现。级联只需单做一根双绞线(或其他媒介)，堆叠需要专用的堆叠模块和堆叠线缆，而这些设备可能需要单独购买。交换机的级联在理论上是没有级联个数限制的(注意：集线器级联有个数限制，且10M和100M的要求不同)，而堆叠各个厂家的设备会标明最大堆叠个数。多个设备级联会产生级联瓶颈。两个交换机通过堆叠连接在一起，堆叠线缆将能提供高于1G的背板带宽，极大地减低了瓶颈。

在网络接入层选用的是锐捷网络系列千兆智能可堆叠交换机STAR-S2100系列。这个系列的产品都是全线速可堆叠千兆智能交换机，提供智能的流分类和完善的服务质量（QoS）以及组播管理特性，并可以实施灵活多样的ACL访问控制。S2100系列以极高的性价比为各类型网络提供完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、安全、智能的企业网新需求。

2.网络汇聚层。千兆干线、百兆交换到桌面；彻底解决带宽问题。汇聚层由锐捷STAR-S4909/S3550-12G全千兆路由交换机组成，负责接入层汇聚，提供高速无阻塞的链路到核心层，抑制广播风暴和分流核心数据处理压力等，可实施分布式三层，大大提升网络性能。

强大的组播支持能力；组播业务作为未来最具潜力的业务之一，得到了前所未有的重视。随着宽带技术的不断发展，FTP、HTTP、SMTP等传统数据业务已经难以满足人们对信息业务的需求，视频点播、远程教学、新闻发布、网络电视等业务将成为新一轮运营竞争的焦点。这类新型业务的特点是，由一个服务器（媒体流服务器）发布信息，接收端数量很大，可能成千上万个，而且具体数目不固定。

强大的组播支持：视频组播应用是目前高校多媒体教学和数字化企业的应用重点，企业网络对组播的支持能力是企业网建设要考虑的重点。汇聚交换机STAR-S4909提供多种组播支持技术，包括IGMP snooping、IGMP、PIM（SM、DM），DVMRP，保证了网络中提供组播服务时的带宽合理占用。

QOS服务质量保障；端到端的服务质量保证（QOS）：从核心到汇聚到接入系列智能交换机，能够自动识别数据类型，区别业务重要性，保证关键数据得到更高的网络带宽。提供多种流分类技术和多种QOS技术，包括SP、WRR、WFQ、WRED、CAR、HOL等，为各种应用的带宽保障提供需要的支持技术。

3.网络核心层。主干可以升级至万兆，万兆以太网采用了IEEE802.3以太

第 9 页共 17 页

天津科技大学远程与成人教育学院毕业论文

网媒体访问控制（MAC）协议、IEEE802.3以太网帧格式，以及IEEE802.3帧的最大和最小尺寸。万兆以太网是以太网在速度和距离方面的进步，采用全双工技术，不需要应用低速的、半双工的CSMA/CD协议。在其他方面，万兆以太网保留了初期以太网模型的精髓，因而可以和现有以太网环境无缝融合，支持客户已有应用。

RG-S6800系列交换机提供目前主流的三种万兆局域网传输标准：10GBASE-R、10GBASE-W、10GBASE-LX4，三种传输标准在数据链路层以上都相同，差别在于物理层。10GBASE-R用于传统的以太网环境，而10GBASE-W可与OC-192电路、SONET/SDH设备一起运行，保护传统基础投资，使运营商能够在不同地区通过城域网提供端到端以太网。10GBSE-LX4则使用WDM波分复用技术进行数据传输。用户数据量的大量增加，以及语音、视频多业务应用需求增加，再加上对网络安全性、可扩展性、高QoS保障等方面的日益增强和千兆到桌面的实现。另外，万兆产品价格的下调也是推动万兆产品成功应用的关键所在。

在网络的核心层部署的是锐捷网络万兆核心骨干路由交换机RG-S6806。RG-S6806提供了冗余管理模块、冗余电源模块、各种模块热拔插等高可靠性功能，作为一款万兆骨干核心交换机，其背板宽带为256G，三层包转发速率可达143 Mpps，具备128个快速以太网端口、96个千兆光纤端口和8个万兆端口，为接入层提供高速无阻塞的路由交换。同时，RG-S6806通过千兆双绞线连接服务器集群。

协议支持丰富；提供多种生成树协议，包括802.1D、802.1W、802.1S等协议，满足客户各种网络环境收敛需求；特色安全技术

复杂功能硬件实现，做到板卡分布式处理

RG-S6806对全网的数据进行高速无阻塞的交换，将原有国外设备主要负责的路由交换任务平移到RG-S6806上，在RG-S6806上实现路由管理、网络管理、网络服务和核心数据处理等，RG-S6806超强的数据处理能力，支持负载均衡、冗于备份、QOS、ACL和策略路由等强大的功能，同时，板卡支持分布式处理和热插拔。（八）软件系统结构

1.服务管理软件。中文图形化网络管理平台：StarView网络管理软件可以提供简单、清晰的设备管理图、拓扑状态图和流量分析图，将企业网管理工作量降到最低程度；

网络拓扑查看：StarView可自动生成图形化网络拓扑结构图，并且识别网络内各种网络设备和IP设备，一目了然查看整个企业网的网络拓扑情况；

网络设备管理：StarView不仅可以管理锐捷系列网络设备，还可以通过公共接口提供对其他品牌网络设备和服务器的管理；

网络节点监控：StarView可提供实时的网络各节点的网络性能监控，并通过矢量图的形式进行远程查看，当发生网络故障的时候，系统可以自动向网络管理员发出报警信号；

2.网络服务管理。

（1）网管工作站设计。网络管理是企业网必须考虑的关键技术，这里的网络管理主要指网络设备及其系统的管理，它包括配置、性能、安全、故障管理等，网络管理设计需要在配置每个网络设备时，都选择具有网络管理代理的、驻留有网络管理协议的设备。网络管理设计的另一方面，是配置一个网络管理中心，配置网络管理平台，在平台上运行管理每个网络设备的应用软件。网

第 10 页共 17 页

天津科技大学远程与成人教育学院毕业论文

管软件应能够支持对网络进行设备级和系统级的管理，并能支持通用浏览器进行网络设备的管理及配置。

（2）WWW服务器设计。WWW应用是Intranet的标志性应用，最核心的应用服务集中在WWW服务器上完成。因而对于WWW服务器的设计首要考虑的就是服务器性能问题，另外考虑到将来在Intranet平台上做应用开发的可能，对于WWW服务器同数据库互联的问题也应作为重点考虑。因为WWW服务器是被大量实时访问的超文本服务器，它要求在支持大量网络实时访问、磁盘空间、I/O吞吐能力、快速处理能力等方面具有较高的要求。IIS服务器的配置；IIS是一个信息服务系统，主要是建立在服务器一方。服务器接收从客户发来的请求并处理它们的请求，而客户机的任务是提出与服务器的对话。只有实现了服务器与客户机之间信息的交流与传递，Internet/Intranet的目的才可能实现。在Windows2000中集成了IIS5.0版，这是Windwos2000中最重要的Web技术，同时也使得它成为一个功能强大的Internet/Intranet Web应用服务器。具体设置如下：与配置DNS类似地，打开“配置服务器”界面，单击“Web/媒体服务器”；选择“Web服务器”，在右边窗口中单击“打开”链接，此时出现Internet信息服务窗口；展开后，可以看到默认的FTP站点等站点信息，右击“默认的Web站点”->选“属性”->“主目录”可设置本地路径、权限等；选“文档”卡片，可设置默认文档顺序。将公司内部首页以defalt.htm命名，并将其覆盖 C:\\Inetpub\\wwwroot\\defalt.htm。

（3）DNS服务器设计。建立Intranet，其中一个必不可少的组成部分就是DNS（域名系统）。IP地址和机器名称的统一管理由DNS（Domain Name System）来完成的。单击“开始”->“管理工具”->“配置服务器”->“联网”->“DNS”->“管理”DNS 启动“DNS”管理界面。单击“操作”菜单下的命令“连接到计算机” 选定“这台计算机”和“立即连接到指定计算机”然后“确定”，此时服务器机器名出现在管理窗口中，本实例为：LBFS，依次单击LBFS、正向搜索区域、xgzd.com前面的扩展分支号“+”，出现域名xgzd.com时，在xgzd.com上右击，在弹出菜单中选取“新建域命令单击，输入新域名，本例为：toplan ，确定后在xgzd.com目录下出现toplan目录，右键单击此目录，选择“新建主机”命令出现“新建主机”对话框，依次输入主机名称和IP地址，主机名称：www ，IP地址为192.168.0.1。然后点击“添加主机”按钮，再添加三个主机，分别为：ftp、 mail、 news IP地址均为：192.168.0.1。经过以上设置后，我们已经建立了四个主机，对应的域名分别为： www.xgzd.com 用于内部主页服务； ftp.xgzd.com 用于文件传送服务； mail.xgzd.com 用于内部电子邮件系统； news.xgzd.com 用于内部新闻组。

（4）FTP服务器的设计。FTP是Internet中一种广泛使用的服务，主要用来在两台机器之间（甚至是一同系统）传输文件。FTP采用C/S模式，FTP客户软件必须与远程FTP服务器建立连接并登录后才能进行文件传输。为了实现有效的FTP连接和登录，用户必须在FTP服务器进行注册，建立帐号，拥有合法的用户名和口令。

（5）E-mail服务器设计。为了作到Intranet内部Mail系统同公共

Internet Mail系统的平滑对接，要求采用Internet公共标准的通用MAIL系统，在内部的MAIL系统同外部通信时需要一个Proxy应用作适当的转接服务，进行相应的地址转换工作。

（6）Proxy服务器的设计。代理服务器是作为内部私有网络和INTERNET

第 11 页共 17 页

天津科技大学远程与成人教育学院毕业论文

之间的一个网关。通过代理方式，首先可以大大降低网络使用费，另外代理可以保护局域网的安全，起到防火墙的作用。（九）安全策略

1.病毒防治。

（1）禁用没用的服务。Windows提供了许许多多的服务。 Telnet就是一个非常典型的例子。在Windows2003的服务中是怎么解释的：“允许远程用户登录到系统并且使用命令行运行控制台程序” 。建议禁止该服务还有一个值得一提的就是NetBIOS。Windows还有许多服务，在此不做过多地介绍。可以根据自己实际情况禁止某些服务。禁用不必要的服务，除了可以减少安全隐患。（2）打补丁。Microsoft公司时不时就会在网上免费提供一些补丁，可以去打补丁。除了可以增强兼容性外，更重要的是堵上已发现的安全漏洞。

（3）反病毒控制。选择一流的反病毒软件。用反病毒软件的根本目的是防病毒。另外，安装反病毒软件后必须对其进行必要的设置和时刻开启反病毒监控。这样才能发挥其最大的威力。

2.建立防火墙。网络地址转化—NAT ；网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过外部网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过外部网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

3.网络的保密措施。

（1）堵住服务器操作系统安全漏洞。任何网络操作系统的安全性都是相对的，无论是UNIX还是NT都存在安全漏洞，他们的站点会不定期发布系统补丁，系统管理员应定期下载，及时堵住系统漏洞。

（2）注意保护系统管理员的密码。用户名和密码应当设置合理，口令应大小写混合，最好加上特殊字符和数字，至少不能少于16位，同时应定期修改；口令不得以明文方式存放在系统中；建立帐号锁定机制，当同一帐号的密码校验错误若干次时，自动断开连接并锁定该帐号。

（3）关闭不必要的服务端口。谨慎开放缺乏安全保障的端口：很多黑客攻击程序是针对特定服务和特定服务端口的。常用服务端口有：WEB：80，SMTP：25，POP3：110，可根据情况选择关闭；比较危险(很可能存在系统漏洞)的服务端口：TELNET：23，FINGER：79，建议关闭掉；对必须打开的服务(如SQL数据库等)进行安全检查。

（4）制定完善的安全管理制度。定期使用网络管理软件对整个局域网进行监控，发现问题及时防范。定期使用黑客软件攻击自己的系统，以便发现漏洞，及时补救。谨慎利用共享软件，不应随意下载使用共享软件。做好数据的备份工作，有了完整的数据备份。

第 12 页共 17 页

天津科技大学远程与成人教育学院毕业论文

（5）注意WEB服务的安全问题。WEB编程人员编写的CGI、ASP、PHP等程序存在的问题，会暴露系统结构或使服务目录可读写，这样黑客入侵的发挥空间就更大。在给WEB服务器上传前，要进行脚本安全检查。

（6）警惕DOS攻击和DDOS攻击。DOS攻击和DDOS攻击可以使网站系统失去与互联网通信的能力，甚至于系统崩溃。建议：如果有条件允许的话，可以使用具有DOS和DDOS防护的防火墙。

4.数据的安全性和完整性措施。数据安全性和完整性就是数据的安全技术；为了解决上述问题，就必须利用另外一种安全技术----数字签名。PKI（Public Key Infrastructure）技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触，因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术，他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构（CA）、注册机构（RA）、策略管理、密钥（Key）与证书（Certificate）管理、密钥备份与恢复、撤消系统等功能模块的有机结合。

（1）认证机构。CA（Certification Authority）就是这样一个确保信任度的权威实体，它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书，任何相信该CA的人，按照第三方信任原则，也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的，这不仅与密码学有关系，而且与整个PKI系统的构架和模型有关。此外，灵活也是CA能否得到市场认同的一个关键，它不需支持各种通用的国际标准，能够很好地和其他厂家的CA产品兼容。

（2）注册机构。RA（Registration Authority）是用户和CA的接口，它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记，也必须支持远程登记。要确保整个PKI系统的安全、灵活，就必须设计和实现网络化、安全的且易于操作的RA系统。

（3）策略管理。在PKI系统中，制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求，并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时，这些策略应该符合密码学和系统安全的要求，科学地应用密码学与网络安全的理论，并且具有良好的扩展性和互用性。

（4）密钥备份和恢复。为了保证数据的安全性，应定期更新密钥和恢复意外损坏的密钥是非常重要的，设计和实现健全的密钥管理方案，保证安全的密钥备份、更新、恢复，也是关系到整个PKI系统强健性、安全性、可用性的重要因素。

（5）证书管理与撤销系统。证书是用来证明证书持有者身份的电子介质，它是用来绑定证书持有者身份和其相应公钥的。通常，这种绑定在已颁发证书的整个生命周期里是有效的。但是，有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消，证书撤消的理由是各种各样的，可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制，随时查询被撤消的证书。国外的PKI应用已经

第 13 页共 17 页

天津科技大学远程与成人教育学院毕业论文

开始，开发PKI的厂商也有多家。许多厂家，如Baltimore、Entrust等推出了可以应用的PKI产品，有些公司如VeriSign等已经开始提供PKI服务。网络许多应用正在使用PKI技术来保证网络的认证、不可否认、加解密和密钥管理等。尽管如此，总的说来PKI技术仍在发展中。按照国外一些调查公司的说法，PKI系统仅仅还是在做示范工程。IDC公司的Internet安全分析家认为：PKI技术将成为所有应用的计算基础结构的核心部件，包括那些越出传统网络界限的应用。B2B电子商务活动需要的认证、不可否认等只有PKI产品才有能力提供这些功能。

四、本方案的系统特点（一）合理的系统结构

企业主干采用具有第三层交换功能的千兆位以太网(Gigabit Ethernet)以满足广大用户的各种要求。企业网建设应能保护企业网的投资,要求企业网的管理方案与管理策略.主干设备应能满足10,000用户接入访问的要求。支持IP多目广播(Multicast)与服务质量(Qos)或服务类型(CoS),满足远程教育的需求。支持虚拟网络(VLAN).网管软件应具备对接入层交换设备进行远程可操作的能力。（二）可靠的安全防护

软件采用反病毒软件，关键数据传递使用数字签名技术；网络骨干线路的冗余备份,网络核心设备的冗余备份和电源冗余备份等方面保证校园网的可靠性。内部网络之间,内部网络与外部公共网之间的互联,利用VLAN/ ELAN ,防火墙等对访问进行控制,确保网络的安全。（三）充分的扩展余地

主干网络设备的选型及其模块,插槽个数,管理软件和网络整体结构,以及技术的开放性和对相关协议的支持等方面,来保证网络系统的开放性和扩充性。（四）稳定的系统性能

对使用负担较重的服务器,可以建立多快速以太网通道和服务器负载平衡来提高访问服务器性能。

采用VLAN技术,根据不同的部门和用户需要划分不同子网,并赋予一定的访问权限,配合NAT技术,大大提高了整个网络的安全性和可管理性.同时对网络骨干进行了备份,充分考虑了冗余性,降低了网络瘫痪的可能。关键的服务器都采用多快速以太网通道技术,使访问速度成倍提高。

第 14 页共 17 页

天津科技大学远程与成人教育学院毕业论文

【结论】中小型企业Intranet建设不仅需要一个良好科学的规划设计、技术分析和实施维护过程，而且需要企业领导的重视和参与，这样才能将Intranet技术与中小型企业的计算机应用、相结合，使企业能够高效运行。通过中小型企业的Intranet，实现高效灵活、使用方便、功能先进的办公自动化系统。此办公自动化系统，不仅可以为企业决策机关提高工作效率、提高重要的技术基础，有助于不同部门之间、不同区域之间的信息交流，同时可以使世界各国更好地了解企业，加强企业与世界的交流。

迅速发展的Internet正在对整个世界的信息产业带来巨大的变革和深远的影响。国内越来越多的企业、国家单位也已经或正在考虑使用Internet/Intranet技术，以建设其规范化的信息处理系统。

【参考文献】

[01]王利，张玉祥，杨良怀著《计算机网络实用教程》北京：清华大学

出版社，2005

[02]张海藩著《软件工程导论（第四版）》北京：清华大学出版社，2003 [03]王春森著《系统设计师》北京：清华大学出版社，2001

[04]卢开澄著《计算机网络中的数据保密与安全》北京：清华大学出版

社，2002

[05]郑阿奇著《计算机网络原理与应用》北京：电子工业出版社，2001 [06]文雨著《局域网组建、管理与维护教程》北京：海洋出版社,2003 [07]张凤翔著《局域网组建与维护实例》上海：交通大学出版社,2000 [08]焦照君著《局域网组建快速入门》北京：希望电子出版社，2002 [09]姜勇著《局域网组建实用培训教程》北京：清华大学出版社,2003 [10]戚文静著《网络安全与管理》北京：中国水利水电出版社,2002 [11]顾巧论著《计算机网络安全》北京：科学出版社,2004

[12]马树奇著《网络安全从入门到精通(第二版)》北京：电子工业出版

社,2004

[13]杨青著《别碰我的电脑！黑客攻防与网络安全》北京：中国电力

出版社,2003

[14]Andrew S. Tanenbaum 著《计算机网络》北京：清华大学出版社，

2002

[15]谢希仁著《计算机网络》北京：电子工业出版社，2001 [16]吴功宜著《计算机网络》北京：清华大学出版社，2000

[17]（美）彼德森，戴维著，叶新铭等译《计算机网络系统方法》北

京：机械工业出版社，2003

[18]孔宪君，吕滨著《计算机网络操作系统原理与应用》北京：机械工

业出版社，2002

[19]王卫亚等主编，李晓莉等编著《计算机网络：原理、应用和实现》

北京：清华大学出版社，2004

[20]顾巧论等编著《计算机网络安全》上海：上海电视大学出版社，

2003

第 15 页共 17 页

天津科技大学远程与成人教育学院毕业论文

[21]董吉文，徐龙玺主编《计算机网络技术与应用》北京：电子工业出

版社，2001

[22]张连永等编著《计算机网络基础应用教程》北京：清华大学出版

社，2000

[23]赵阿群等编著《计算机网络基础》山东：北方交通大学出版社，2003 [24]张建忠，徐敬东编著《计算机网络实验指导书》北京：清华大学

出版社，2001 [25]（美） Jeanna Matthews 著，李毅超译《计算机网络实验教程》北

京：人民邮电出版社，2003

[26]崔鑫，吕昌泰编著《计算机网络实验指导》北京：清华大学出版

社，2002

[27]于维洋等编著《计算机网络基础教程与实验指导》北京：清华大

学出版社，2002

[28]石硕主编《计算机网络实验技术》北京：电子工业出版社，2001 [29]（美） Lorenzo Cantoni 、（美）Stefano Tardini 《Internet》

Routledge，2006

[30]（美）Kalen Delaney 、Sunil Agarwal 、 Craig Freedman 、Ron

Talmage 、 Adam Machanic《Inside Microsoft® SQL Server(TM) 2005: Query Tuning and Optimization》 Microsoft Press，2007

第 16 页共 17 页

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文