某某造船公司网络设计方案.doc

1、烟台浩通造船有限公司网络建设方案目录1.用户需求分析21.1概述21.2项目背景21.3 用户需求分析21.4 企业网的设计目标31.41 系统建设设计原则32.企业网络中心数据交换部分设计42.1烟台浩通造船有限公司网络现状42.2网络方案描述42.2.1企业网络方案描述42.2.2烟台浩通造船有限公司全网解决方案52.2.2.1路由器分析52.2.2.2防火墙62.2.2.3核心交换机分析72.2.2.4接入层交换设备分析及配置82.3网络安全设计92.3.1 VLAN策略102.3.2用户身份唯一标识102.4.3用户网络资源访问控制策略113.项目实施方案113.1工程管理与实施113

2、.1.1工程目标113.1.2工程内容113.1.3工程管理的主要内容123.1.4工程实施阶段的组织结构133.1.4.1人员安排133.2 售后服务、支持与承诺133.2.1工程合作承诺143.2.2服务优势143.2.3技术支持与售后服务体系143.231售后服务内容143.24硬件设备保修承诺151.用户需求分析1.1概述当前由于网络、数据库及与之相关的应用技术不断发展，尤其国际互联网（Internet）和内部网（Intranet）技术的广泛应用，世界正在迈入网络中心计算（NetworkCentricComputing）时代。人们传统的交互和工作模式正在改变。处在不同地理位置的人们可以

3、共享数据，使用群件技术（GroupWare）进而能够协同工作；各企业部门间数据的存储、传输、应用等的不断成熟；以上这些技术的发展对企业传统的计算机业务系统产生变革，使用户能更方便、更直观的使用系统，也使系统的性能更完善、功能更强大。为了满足公司的实际需要，专业系统信息化整体解决方案应运而生。它利用先进的网络技术、软件技术、信心交流，将公司的实际应用延伸到企业的最前沿，其显示了强大的可用性，全面提高企业效率，从而推动企业网和互连通全面进入实用阶段。1.2项目背景公司原系蓬莱市第二造船厂，农业部定点船用螺旋桨生产厂家之一，是一个集科研制造维修于一体的中型工业企业。通过网络升级改造，使企业融入正规的

4、国际大环境，进而与WTO接轨。通过建设一个高速、安全、可靠、可扩充的网络系统，实现企业内信息的高度共享、传递，交流及管理信息化，企业领导能及时、全面、准确地掌握全集团的科研、管理、财务、人事等各方面情况，建立出口信道，实现与Internet互联。系统总体设计将本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性，同时具有良好的开放性、可扩展性。本着为企业着想，合理使用建设资金，使系统经济可行。1.3 用户需求分析设计一个网络，首先要为用户分析目前面临的主要问题，确定用户对网络的真正需求，并在结合未来可能的发展要求的基础上选择、设计合适的网络结构和网络技术，提供用户满意的高质

5、服务。还要注意到由于逻辑上业务网和管理网必须分开，所以建成后企业网应能提供多个网段的划分和隔离，并能做到灵活改变配置，以适应企业办公环境的调整和变化，即VLAN的整体划分。1.4 企业网的设计目标在网络层面上，建设一个以现代网络技术为依托，技术先进、扩展性强、能覆盖全校主要楼宇的企业主干网络，将企业的各种PC机、工作站、终端设备和局域网连接起来，并与有关广域网相连，在网上宣传自己和获取Internet网上的信息资源。形成结构合理、内外沟通的企业计算机网络系统，在此基础上建立能满足研发、交流和管理工作的软硬件环境，开发各类信息库和应用系统，为企业各类人员提供充分的网络信息服务。1.41 系统建设

6、设计原则建设烟台浩通造船有限公司企业网络，本着少花钱办大事的原则，充分利用有限的投资，在保证网络先进性的前提下，选用性能价格比最好的设备，我们认为企业网建设应该遵循以下原则： 先进性 以先进、成熟的网络通信技术进行组网，支持数据、软件等实际应用，用基于交换的技术替代传统的基于路由的技术。 标准化和开放性 网络协议采用符合ISO及其他标准，如：IEEE、ITUT、ANSI等制定的协议，采用遵从国际和国家标准的网络设备。 可靠性和可用性 选用高可靠的产品和技术，充分考虑系统在程序运行时的应变能力和容错能力，确保整个系统的安全与可靠。 灵活性和兼容性 选用符合国际发展潮流的国际标准的软件技术，以便系

7、统有可靠性强、可扩展和可升级等特点，保证今后可迅速采用计算机网络发展出现的新技术，同时为现存不同的网络设备、小型机、工作站、服务器、和微机等设备提供入网和互连手段。 实用性和经济性 从实用性和经济性出发，着眼于近期目标和长期的发展，选用先进的设备，进行最佳性能组合，利用有限的投资构造一个性能最佳的网络系统。 安全性和保密性 在接入Internet的情况下，必须保证网上信息和各种应用系统的安全。 扩展性和升级能力 网络设计应具有良好的扩展性和升级能力，选用具有良好升级能力和扩展性的设备。在以后对该网络进行升级和扩展时，必须能保护现有投资。应支持多种网络协议、多种高层协议和多媒体应用。 网络的灵活

8、性 系统的灵活性主要表现在软件配置与负载平衡等方面，配合交换机产品与路由器产品支持的最先进的虚拟网络技术，整个网络系统可以通过软件快速简便地将用户或用户组从一个网络转移到另一个网络，可以跨越办公室、办公楼，而无需任何硬件的改变，以适应机构的变化。同时也可以通过平衡网络的流量，以提高网络的性能。2.企业网络中心数据交换部分设计2.1烟台浩通造船有限公司网络现状 烟台浩通造船有限公司已有七层楼,将布250个信息点。根据公司要求防火墙采用ASA5510，路由器采用思科2811，核心交换机采用思科3560系列，接入层选择linksys SRW22 G4系列。2.2网络方案描述2.2.1企业网络方案描述

9、根据烟台浩通造船有限公司网络的建设要求，整个网络采用星型结构的层次化设计，由两个层次组成：核心层和接入层。网络中心配置了一台Cisco Catalyst 3560系列交换机作为企业的核心层交换机。接入层部分交换机配置linksys SRW224G4系列。2.2.2烟台浩通造船有限公司全网解决方案烟台浩通造船有限公司网络中心的cisco2811连接外网和asa5510防火墙，防火墙链接内网，Catalyst 3560核心路由交换机上已配置24个以太网10/100端口，通过百兆双绞线直接连接二层智能交换机linksys SRW224G4，再通过10/100兆双绞线接到其他各部门，这样烟台浩通造船有

10、限公司的企业网就成为一体了。下面是烟台浩通造船有限公司企业整网的拓扑图： 烟台浩通造船有限公司的整个网络的核心是Catalyst 3560交换机。通过Catalyst 3560可以作整网的规划，可以根据需要把整个企业的功能相同的子网划在一个VLAN（虚拟局域网）当中。2.2.2.1路由器分析Cisco 2811路由器能以线速为多条T1/E1/xDSL连接提供多种高质量并发服务，提供了内嵌加密加速和主板话音数字信号处理器（DSP）插槽；入侵保护和防火墙功能；集成化呼叫处理和语音留言；用于多种连接需求的高密度接口；以及充足的性能和插槽密度，以用于未来网络扩展和高级应用。路由器类型 : 模块化路由器

11、最大Flash内存: 256MB最大DRAM内存: 760MB固定局域网接口: 10/100Mbps2扩展插槽: 4个控制端口: Console支持VPN/支持Qos/内置防火墙路由器网络协议: IEEE 802.3X路由器网管协议: Cisco ClickStart,SNMP安全标准: UL 60950:CAN/CSA C22.2 No. 60950,IEC 60950,EN 60950-1,AS/NZS 609502.2.2.2防火墙Cisco ASA 5500 系列自适应安全设备是思科专门设计的解决方案，将最高的安全性和出色VPN服务与创新的可扩展服务架构有机地结合在一起。作为思科自防御

12、网络的核心组件，Cisco ASA 5500系列能够提供主动威胁防御，在网络受到威胁之前就能及时阻挡攻击，控制网络行为和应用流量，并提供灵活的VPN连接。思科强大的多功能网络安全设备系列不但能为保护家庭办公室、分支机构、中小企业和大型企业网络提供广泛而深入的安全功能，还能降低实现这种新安全性相关的总体部署和运营成本及复杂性。并发连接数: 50,000/130,000网络吞吐量: 300 Mbps用户数量: 无限制是否支持 VPN: 支持安全标准: UL 1950, CSA C22.2 No. 950, EN 60950 IEC 60950, AS/NZS3260, TS0012.2.2.3核心

13、交换机分析核心交换设备作为整个企业网络的核心交换平台，其提供的转发性能、交换容量、可扩展性、可靠性等决定了整个网络的建设质量。我们选用思科3560系列作为企业网的核心。Cisco Catalyst 3560-24TS-24个以太网10/100端口，2个小型SFP千兆位以太网端口。性能：32Gbps转发带宽 基于64字节分组的转发速率：6.6Mpps128MB DRAM 32MB闪存最多可以配置12000 个MAC地址 最多可以配置11000 个单播路由 最多可以配置1000 个IGMP群组和组播路由 Cisco Catalyst 3560-24TS可配置的最大传输单元（MTU）为9000字节，

14、最大以太网帧为9018字节（大型帧），用于千兆位以太网端口上的桥接；最大1546字节，用于10/100端口上多协议标签交换（MPLS）标记帧的桥接。Cisco Catalyst 3560系列交换机是一个固定配置、企业级、IEEE 802.3af和思科预标准以太网供电（PoE）交换机系列，工作在快速以太网和千兆位以太网配置下。Catalyst 3560交换机，适用于小型企业布线室或分支机构环境，结合了10/100/1000和PoE配置，实现最高生产率和投资保护，并可部署新应用，如IP电话、无线接入、视频监视、建筑物管理系统和远程视频访问亭。客户可在整个网络范围中部署智能服务，如高级QoS、速率限

15、制、访问控制列表、组播管理和高性能IP路由等，且同时保持传统LAN交换的简洁性。2.2.2.4接入层交换设备分析及配置根据接入层设备要求，接入层交换机我们选用linksys SRW224G4智能可管理以太网交换机。linksys SRW224G4智能可管理以太网交换机能为你的网络用户提供非阻塞、线速的 10/100Mbps 网络连接，并提供多种到骨干网络的连接方式 24 个 10/100Mbps 端口可将你的工作站连接起来。同时，4 个内建的 10/100/1000BaseTX 端口可以 1000Mbps 的连接速度连接到你的其它交换机或骨干网。并且 MiniGBIC 扩展槽允许你使用其它的传

16、输介质，如光纤。 用它的 Web 管理和配置方式能够使你能够轻松的管理 64 个 VLAN 和多达 8 个端口聚合。当然，你也可以使用控制台口对它进行配置。非阻塞、线速的交换可以以你网络能够传送的速度来转发数据包。当然，地址学习和老化可以防止数据传输错误，流量控制可以帮助你预防数据包冲突。每端口的两个服务质量队列可以让你通过 802.1p 来管理数据传输的优先等级。此款交换机也提供广播风暴抑止、MAC 地址学习，包过滤和端口安全等功能。 所有端口都具有 MDI/MDI-X 线缆自动侦测功能，所有你无需担忧你的线缆类型。端口协商能够自动调节端口连接速度，使其工作在半双工或者是全双工模式。Head

17、-of-line 调度可预防你的高速客户端连接陷入低速的数据传输当中，存储转发交换方式可防止损坏的数据包传输到你的网络中去。无论你对你的网络要求有多么严格，这款 Linksys 出品的具有 Web 管理界面的 24 端口 10/100Mbps + 4端口 10/100/1000Mbps 的交换机都是你可以信赖的高速的、可扩展、高可靠的交换机Cisco linksys SRW224G4智能可管理以太网交换机产品类型：千兆以太网型,可网管型传输方式：存储转发方式背板带宽： 12.8Gbps包转发率 ：10 Mbps:14880pps/100 Mbps:148810pps/1000 Mbps:1,4

18、88100pps接口类型：10/100Base-T端口,10/100/1000BASE-T端口接口数目：28口传输速率：10M/100Mbps,10M/100M/1000Mbps堆叠：不可堆叠支持网络标准：IEEE 802.3,IEEE 802.3u,IEEE 802.3ab,IEEE 802.1q,IEEE 802.1pVLAN支持：同时支持 64 个 VLAN网管功能:支持,Web接口管理,通过Telnet 和HTTP进行安全的管理是否支持全双工:支持MAC地址表: 8K2.3网络安全设计网络安全是任何一个网络建设时必须要考虑的重要问题，对于企业网络这个问题更加突出。企业网的环境更加复杂，

19、学生的知识水平都较高，容易接受新事物并勇于尝试，这样就给企业网络带来了许多不稳定因素，因此在网络优化中必须要考虑到整个系统的安全性。思科网络的交换机和路由器等网络设备在安全性方面有着丰富实用的功能，便于实现整体网络安全。为了实现整个网络的整体安全，我们做出以下建议。2.3.1 VLAN策略整个网络可以根据管理的要求按照地理位置、部门甚至是单个用户的划分来设置相应的VLAN（虚拟子网），VLAN技术可以将不同VLAN之间的用户隔离，保证安全性。VLAN之间的访问只能通过3层功能来实现。VLAN在物理网络的基础上，能根据需要灵活的设置出许多逻辑网络，从而摆脱了建筑物、楼层、地址空间等物理地域限制，

20、以及因为位于布线柜或路由器附近而造成的对用户组的限制，能根据用户实际需要灵活地建立逻辑的专用网络，使网络更安全性、更便于管理、更畅通性和带宽更有保证。VLAN技术为网络设计带来的实质性变化有：（1）交换端口智能化；（2）物理边界不复存在；（3）用户按逻辑关系分组；（4）更有力地控制带宽，能在链路拥挤时配置和重新分配流量；（5）简化了用户移动时配置和重新布线的过程；（6）集中式管理，提供关于流量和广播状态的详细报告以及VLAN组大小和组成的统计数据；（7）用于跨VLAN通讯的路由功能等。VLAN有基于网络协议类型、网络交换机端口、网络链路层地址和网络层地址定义等多种形式。基于交换机端口的VLAN

21、是大多数网络交换机厂家都能提供性能。依据端口划分网络成员关系，扩大了交换机的传输性能，便于通过GUI进行管理和网络控制，能确保数据包不会漏入其它区域，增强了VLAN之间的安全性。2.3.2用户身份唯一标识通过港湾系列多层智能交换机或者接入层智能交换机支持的IP地址MAC地址交换机端口的三者绑定的方式来唯一标识接入用户的身份，进一步保证用户接入的安全。并能实现端口反查功能追查恶意访问用户。2.4.3用户网络资源访问控制策略通过港湾系列多层智能交换机或者接入层智能交换机完善的ACL访问控制功能，能对各类上网用户的网络访问资源进行严格控制。思科系列智能交换机支持基于源/目的MAC地址、源/目的IP地

22、址、源/目的TCP/UDP端口号、IP协议及以上方式组合的各种灵活的ACL访问控制来控制各类上网用户的网络资源访问权限。3.项目实施方案3.1工程管理与实施3.1.1工程目标烟台浩通造船有限公司网络建设工程的主要目标是：以网络技术为依托，以各种信息设施为支持，以应用软件和资源为基础，以实现企业信息交流为目的，为烟台浩通造船有限公司提供全方位应用服务的信息化网络环境。本工程将按合同的约定工期之内完成网络系统建设。3.1.2工程内容烟台浩通造船有限公司网络建设工程涉及到崭新的计算机技术，系统建设同时，所包含的工程实施内容比较繁杂，简单地分类概括：1工程实施计划的协调和安排根据系统建设的实际进程和安

23、装环境情况，以及设备供货周期，到货情况制定切实可行的实施计划。需要和烟台浩通造船有限公司协调，安排好具体时间，保证顺利按照计划实施的同时，不影响现有的正常业务。2设备的到货、验收及发放采购的设备，将在签订合同后10天内到货。所到的设备将在烟台浩通造船有限公司统一验货后再进行发放和调试安装。3网络设备的安装调试网络设备的安装调试是本期项目设备中，最重要的部分，是企业网应用平台的基础，因此其调试安装很重要，必须有严密的规划和设计，才能保证以后的服务器应用系统可以很快的正常接入。6子系统试运行、联调测试在各个子系统安装调试完毕之后可以进行试运行，主要是看网络设备的功能和效果。保障系统功能和性能达到合

24、同及技术方案要求，整理联调结果并审查和存档。7整个系统的验收按照甲方的要求，严格执行到货验收、子系统验收、和整个工程验收，验收的标准是合同中的技术方案。8用户培训培训是最终用户能否良好地使用系统的关键步骤，也是工程实施的关键内容。烟台浩通造船有限公司网络建设工程的培训包括网络基础知识、网络设备安装调试等几个部分。在培训过程中，我们将联合厂商选用经验丰富的培训教师和最新的培训资料，保证培训质量。9系统交接在系统验收完毕之后，必须将工程实施过程中形成的文档移交给用户，并且帮助最终的甲方用户使用和管理整个系统。10售后12个月的技术支持和服务整个系统验收之后，根据合同要求，将向甲方提供12个月的系统

25、集成售后保修服务期，在保修期内提供故障检查、维修服务和技术咨询服务，如校正和更换有缺陷的零部件和设备，对用户的技术咨询进行解答。这是本工程的重要内容之一。采用的各种设备和软件的保修和售后服务将按合同中要求的执行，合同中没有特殊要求的，按厂家的标准执行。3.1.3工程管理的主要内容在烟台浩通造船有限公司网络建设过程中，我们公司将组织有效的机构层次，明确职责和任务，编制详细可行的质量管理手册，科学有效地进行工程管理和质量保证活动，明确规定实施工程系统所需要的各种的质量保证措施，从而保证整个工程高效、优质、安期地完成，确保整个系统能符合工程的需求，同时兑现我们公司对工程实施质量的承诺。3.1.4工程

26、实施阶段的组织结构3.1.4.1人员安排为了保证烟台浩通造船有限公司网络的网络建设，我公司将从人员上给予充分的保证，特成立项目组，人员安排如下：项目决策组：吕保林项目现场负责人：郭长城、吕保林网络设备组：姜学福、王涛服务器组：黄云庆、姜学福应用服务平台：汤明、郭长城文档组：郭长城培训组：各技术组成员兼培训组成员质量监督组：由公司领导、决策组、项目负责人兼任3.1.42测试验收标准烟台浩通造船有限公司网络建设各子系统实施的测试验收标准如下：网络系统：达到企业所要求实现的功能，经试运行30日的测试，系统稳定运行为通过验收。3.2 售后服务、支持与承诺售后技术支持与服务是一个将企业与客户连接在一起的

27、桥梁，对于一个具体的网络系统应用者来说，网络系统有效应用的保证来源于三个方面：一是有高水准的产品；二是有掌握基本技能的系统维护人员；三是有掌握网上办公基本技能的网络使用者。而这些人员的缺乏是目前中国大多数用户存在的问题。我们公司以自己坚强的技术和资源实力为后盾，所提供的服务已远远超出了传统的针对故障排除的响应支持概念，而是依据网络系统和应用系统的生命周期，从计划、设计到实施和日常运作、提供系统规划，设计，项目管理实施到到网络系统维护，应用系统维护等各种服务，帮助用户掌握和利用最新的网络技术，提高网络系统的整体回报率。3.2.1工程合作承诺为了把烟台浩通造船有限公司网络系统建设好，运行好，我们承

28、诺在工程进展过程中，邀请烟台浩通造船有限公司网络信息中心的管理人员参与工程，熟悉网络的设计、安装、调试和管理细节，扶上马，送一程的交钥匙工程，使得网管人员能够很快上手，运行得好的网络才是真正的好工程。指派公司级领导亲自督导项目进展过程，在人员、资金、设备上重点保证，保障工程顺利实施。给用户以最快速的技术响应支持，保证1小时内响应。3.2.2服务优势 公司通过建立符合ISO9000系列的规范要求的规范管理运作流程，确保为用户提供高质量的技术服务和支持。公司拥有以下系统来保证客户服务工作高质量进行：我公司将对每次为客户的技术服务做详尽的记录，建立FAQ库，以便于客户网络系统及应用系统进行高效维护和

29、良性的运转，同时也为网络拓展、系统升级等提供必要的技术参考信息。用户的满意是我们最大的成就，这是我公司客户服务工程师的工作信条。我公司将竭尽全力为客户提供满意的产品及服务。3.2.3技术支持与售后服务体系3.231售后服务内容现场维修服务在系统维护期内，若系统出现问题而通过电话无法解决的问题，我公司将提供现场维修服务，确认问题的原因：如问题的产生是系统配置问题或系统使用不当造成等，我公司工程师将诊断并排除系统故障；如问题是硬件设备损坏造成的。我公司提供所有必要的人力、备件和材料以保证系统恢复正常运行；更换的备件将是新的或具有新备件的同等的质量。被更换的备件将有工程师带回。培训服务每个工程的最终

30、使用者是客户，我们公司在长期的工程实施和技术服务过程中发现，用户的技术水平的高低是决定工程能否顺利实施的关键内容，也是决定整个系统能否长期、稳定地运行下去的最重要的因素之一。所以，我公司始终将对客户的培训工作作为客户服务中最重要的环节之一。你可选择在公司授课培训、现场培训、第三方培训等方式。具体培训内容由双方协商定。主动式系统集成服务在这里我们强调一种主动服务概念，这是我们的一种服务优势，也是我们对客户的投资与信任负责的具体体现。我们承诺，将不定期对客户各系统和应用进行巡检，内容包括检查网络及服务器等硬件设备的运行状态，是否需要对硬件设备进行检修，有无坏件，是否需要更换；是否需要对路由器进行优

31、化配置，是否需要路由器软件升级；软件系统的应用情况，是否需要帮助加强应用；服务器数据资源运行情况是否良好，是否需要对数据进行重新整理，以达到最佳运行效果等等。（具体服务内容可与客户商定）服务体现客户价值，优质的服务将给客户带来意想不到的价值增值，稳定的系统运行所带来的良好社会效益更是不能用价值来衡量的。我们的主动式系统集成服务解除了客户的后顾之忧，防患于未然，确保系统平稳、无故障运行。3.24硬件设备保修承诺在信息网络建设项目中，所有的硬件设备都有保修承诺。我们将为客户提供诸如应用技术咨询、服务器故障诊断、故障部件更换、操作系统故障排除、网络应用故障排除等一系列服务，我们还同业界领先公司有着密

32、切的合作，借助他们的领先技术与成功经验，可以为企业提供极其安全、可靠的维护服务。系统集成以后，我们公司承诺提供三年免费保修，在保修期内我们将随时对用户的要求进行响应，到达用户现场，帮助用户解决问题，同时还提供网络优化的建议。我公司将帮助用户培养出自己的管理维护队伍，保证现场维护期满后，用户能维护系统的正常运行。在现场维护期满后我公司仍提供电话咨询服务，在用户网络出现重大问题时，仍可以到达现场。我公司还将不定期的对用户进行回访。 网络设备清单及价格设备名称型号单价数量价格路由器Cisco 281112500112500防火墙思科 ASA 551025000125000核心交换机Cisco Catalyst 3560-24TS14500114500接入层交换机Cisco linksys SRW224G435001035000安装服务费1500合计88500设备名称型号单价数量价格路由器Cisco 281112500112500防火墙思科 ASA 551025000125000核心交换机Cisco Catalyst 3560-24TS14500114500接入层交换机Cisco linksys SRW248G46500532500安装服务费1500合计86000 16