新型制造工厂网络平台建设毕业论文.doc 47页

'新型制造工厂网络平台建设毕业论文目录第1章引言1第2章需求分析12.1项目背景12.2需求分析2第3章网络总体建设目标23.1项目建设目标23.2网络设计原则33.3网络及系统建设内容与要求3第4章网络总体设计44.1背景44.2预见网络拓扑描述44.2.1全局拓扑图44.2.2总部拓扑图54.2.3分部拓扑图64.3网络层次化设计64.3.1核心层设计64.3.2汇聚层设计64.3.3接入层设计7第5章路由交换设计75.1路由协议选择75.2路由规划拓扑图85.3IP地址规划85.3.1总部IP地址规划：95.3.2分部IP地址规划：9第6章网络安全解决方案106.1网络边界安全威胁分析106.2网络内部安全威胁分析116.3安全产品选型原则11第7章网络技术介绍117.1VLAN技术：127.1.1使用VLAN技术的优势：127.1.2VLAN划分127.2VTP技术：137.2.1VTP有三种工作模式：VTPServer、VTPClient和VTPTransparent。137.2.2使用VTP技术的优势：13 7.3STP生成树协议：137.3.1使用STP协议的优势：137.4EthernetChannel：137.4.1以太通道的特点：147.4.2使用Etherchannel的优势：147.4.3以太通道的特点：147.4.4以太通道的规则：参与捆绑的端口必须属于同一个VLAN，或者都是中继模式147.5Trunk技术147.6HSRP路由热备份：147.6.1使用HSRP的优势：157.7DHCP：157.8VPN技术：157.8.1Site-to-SiteVPN167.8.2EasyVPN167.9QOS技术：167.9.1QOS的服务模型有三种常见模式：167.10NAT技术：177.10.1NAT的类型有：177.10.2使用静态NAT技术到的优势：177.11ACL访问控制列表177.11.1ACL的分类：187.11.2ACL的特点：187.12IOS防火墙:187.13OSPF协议197.13.1OSPF协议的优点：207.13.2OSPF的网络类型20第8章设备简介218.1路由器218.2交换机228.2.1三层交换机228.2.2二层交换机：238.3服务器248.3.1联想万全R520248.3.2惠普ProLiant258.4备份缓存：268.5UPS电源：278.6PC机：278.7笔记本电脑：288.8打印机：298.9传真机：298.10IP电话：308.11烟雾防火报警器：318.12网络硬盘录像机：318.13监视器：328.14监控摄像：328.15集团电话：33 第9章服务器设计359.1DNS服务器359.2Apache服务器359.3Sendmail服务器369.4FTP服务器379.5DHCP服务器37第10章项目实施计划3710.1项目实施计划和周期3710.1.1项目实施计划：3710.1．2基本环境要求3910.1.3我方人员行为规范3910.1.4工程合格规范3910.2售后服务3910.2.1售后服务细则：3910.2.2售后服务工作的划归3910.2.3售后服务的管理人员的资格3910.2.4资料存档3910.2.5建立联系制度4010.2.6建立定期检查和回访制度，制定回访联系单40结束语41参考文献42致谢43 第1章引言随着全球性的计算机互联网络的迅速发展和普及，越来越多的企业都认识到网络改变了整个信息产业的面貌，改变了整个经济体制结构的变化，也从根本上加强促进了群体工作成员之间的信息交流、资源共享、科学计算及技术合作等，进而推进了教育、科研及经济生产的发展。随之网络技术及网络互联平台也在企业的残酷竞争中脱颖而出，计算机网络规模不断扩大，网络结构日益复杂，计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应作整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据、数据做全面的防范。信息安全防范体系显示安全防范是一个动态过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。XX公司是一家即将成立的新型的制造企业，在企业内部实现资源高度共享，为生产、办公、管理提供服；实现办公自动化，提供总部与分部、分部、与分部之间通迅的出入口，提高工作效率和管理水平；及时、准确、可靠地收集、处理、存储、传输企业的办公、管理信息，实现企业资源和社会资源的有机结合；实现音频数字化资源共享、集中管理；建立企业网络管理应用系统。以顺应时代的发展趋势，充分利用现代化技术来进一步提高管理质量和办公效率。44 第1章需求分析2.1项目背景XX公司是一家即将成立的新型制造工厂，网络平台建设为总部和五个外设分部共六个网络互联平台建设。总部设计用户节点数为1000，各个分部地为10-50个用户。需要“建立一个设计规范、功能完备、性能优良、安全可靠、技术先进和实用性、兼容性、冗余、容错性、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台，以高效率，高速度，低成本的方式提高公司员工的工作效率与执行效率”。2.2需求分析本项目的网络可以划分成XX公司总部为数据中心，及5个分部网络。需要设计网络架构、IP地址架构、系统架构。其中，XX公司总部为数据中心，核心交换区，交易所接入等。数据中心作为网络互通的存放地，其性能、稳定性、安全性，、可靠性的要求最高，因此我们在设计的时候，应该考虑到这些要求。而核心交换区的功能是高速可靠地交换数据，因此该部分的设计应考虑性能和可靠性的平衡。交易所接入作为外联单位接入区域，其安全性应该是放在第一位，同时，网络互通离不开交易所的连接，因此也应该考虑冗余性。XX公司总部办公网络作为内部互联单位，可信度较高，用WEB、FTP、E-MAIL、DNS、DHCP等内部服务器为员工提供内部信息，外部使用RAS服务器提供漫游员工所使用的信息。对于有些部门还要屏蔽一些网络访问（如聊天工具、种菜站点）等。因此其内部网络的可用性是首先考虑的因素。考虑到网络的安全性和可靠性，分部所需求的信息，都是由总部发起的。分部访问外网和总部采用VPN技术，通过VPN隧道保证传送信息的安全。而XX公司总部与外网连接的，需要考虑其可访问性。INTERNET用户接入，需要考虑安全性和冗余性。当前的网络管理范畴比较广，包括设备管理、资源管理、故障管理、性能管理、安全管理等。在网络规模相对较大的时候，合适的网络系统可以帮助用户方便管理网络内的设备及运行情况，以提高网络的运行效率。44 第1章网络总体建设目标3.1项目建设目标XX公司网络项目工程的建设目标：1.建立一个设计规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台，以高效率，高速度，低成本的方式提高公司员工的工作效率与执行效率。2.工程项目完成后，网络平台总部内有大型服务器提供服务，外接分支机构网络平台的设计用户节点数，要求这些用户和总部之间能够高速连接并且保证与总部通信的可靠性和可行性。3.同时要求总部内部安全机制能够提高。保证内网安全同时保证各台服务器的安全。3.2网络设计原则作为一家优秀的系统集成商，向用户提供的不仅仅是设备，而是整套的技术与服务。我们始终坚持“高标准，高性能”的原则。在方案设计时，我们将严格遵循以下设计原则：1.高可靠性----网络系统的稳定性是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络结构，制定可靠地网络备份策略，保证网络具有故障自愈的能力，最大限制地支持各个系统的正常运行。2.灵活性及可扩展性-----根据未来业务的增长和变化，网络可以平滑地扩展和升级，最大限制地减少对网络架构和设备的调整。3.高性能-----承载网络性能是网络通讯系统良好运行的基础，设计中心必须保障网络及设备的高吞吐能力，保证各种信息（数据，语音，图像）的高质量传输，才能使网络不成为各项业务开展的瓶颈。4.性价比高----网络方案的设计必须充分考虑投资保护。3.3网络及系统建设内容与要求我们把整个网络分为内部交换网络设计、网络出口设计，网络安全设计三大部分：对于内部交换网络我们采用传统分层设计。内部交换网络分成核心层、汇聚层和接入层三大部分。1.44 核心层作为整个网络系统的核心，其主要功能是高速、可靠的进行数据交换。为加速数据的快速转发，我们在核心层采用以太通道技术，增加网络带宽，提高数据转发效率。为提高网络链路的冗余性，解决局域网中的网络中断问题，采用HSRP路由热备份技术进行热备，STP技术，保证链路的冗余性等，使用VLAN技术进行虚拟局域网的划分，保证网络的高效。1.汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务,认证管理等.通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层。汇聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定，因此在汇聚层使用VALN技术进行虚拟局域网的划分，为了保证链路的冗余性采用STP技术。2.接入层主要提供最终用户接入网络的途径。主要进行vlan的划分等。对于边界网络，网络的安全是一个需要考虑的重要因素，所以应部署相应的安全策略以防止黑客攻击，边界设备的冗余设计也是需要考虑的，防止单点故障。因此，除了在选择设备是考虑安全机制因素外，还在总部与分部间使用VPN技术，来保障局域网与局域网之间互访的可靠性和高效性。对于服务器，采用Raid5磁盘阵列，数据除第一次用完全备份后，以后每天做增量备份，备份的的服务器或设备单独放置其他全安地点。44 第1章网络总体设计4.1背景XX公司是一家即将成立的新型制造工厂，网络平台建设为总部和五个外设分部共六个网络互联平台建设。总部设计用户节点数为1000，各个分部地为10-50个用户。需要“建立一个设计规范、功能完备、性能优良、安全可靠、技术先进和实用性、兼容性、冗余、容错性、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台，以高效率，高速度，低成本的方式提高公司员工的工作效率与执行效率”。4.2预见网络拓扑描述4.2.1全局拓扑图4.2.2总部拓扑图44 4.2.3分部拓扑图4.3网络层次化设计根据XX公司的实际情况，我们把整个网络分为局域网络设计、网络安全设计和Internet网络互联设计几大部分。在局域网络设计中采取分层网络设计。其分层网络主要包括核心层、分布层和接入层三大部分。核心层核心层作为整个网络系统的核心，其主要功能是高速、可靠的进行数据交换。所以在设计时首要目标是追求高速，其次才考虑系统开销较大的功能。分布层44 分布层主要进行接入层的数据流量汇聚，并对数据流量进行访问控制。同时，分布层是核心层的边界，它将影响核心层高速的因素局限在一个较小的范围，处理工作组访问，定义广播/组播域等。接入层接入层主要提供最终用户接入网络的途径。主要是进行vlan的划分、与分布层的连接等4.3.1核心层设计核心交换区的作用是尽快地提供所有区域的数据交换。因此我们推荐核心层采用两台CiscoWS-C3560G-24TS-S三层千兆交换机，以实现路由热备、链路聚合、冗余和负载均衡以及实现VLAN技术。4.3.2汇聚层设计汇聚层是连接接入层和核心层的网络设备，为接入层提供数据的汇聚、传输、管理、分发处理.汇聚层为接入层提供基于策略的连接，如地址合并，协议过滤，路由服务。认证管理等.通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层。汇聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定。因此在这项设计中我们将采用CiscoCatalyst2950T-24作为汇聚层的交换机，用于实现VLAN技术划分多个虚拟局域网，保障网络的高效；实现STP技术在达到交换机间的冗余连接的同时，避免网络环路的出现；实现VTP技术防止不需要的广播信息从一个VLAN泛洪到VTP域中所有的中继链路。4.3.3接入层设计接入层是指网络中直接面向用户连接或访问的部分。接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。在本网络中接入为各个分公司的交换机，因为分公司的所有数据流都必须经过它来传输所以它同样要求具备高稳定性和高可靠性。根据XX公司总部与分部网络节点数的实际情况，在XX公司总部局域网的设计中，接入层采用CiscoWS-C2960G-48TC-L交换机，而在各分部的局域网接入层中则采用CiscoWS-C2960-24TC-L交换机，VLAN技术划分多个虚拟局域网，保障网络的高效；实现STP技术在达到交换机间的冗余连接的同时，避免网络环路的出现；实现VTP技术防止不需要的广播信息从一个VLAN泛洪到VTP域中所有的中继链路。44 第1章路由交换设计5.1路由协议选择为了达到路由快速收敛、寻址以及方便网络管理员管理的目的，我建议采用动态路由协议，目前较好的动态路由协议是OSPF协议和EIGRP协议，OSPF以协议标准化强，支持厂家多，受到广泛应用，而EIGRP协议由Cisco公司发明，只有Cisco公司自己的产品支持，属于私有性质，其他厂商设备不支持。考虑网络的扩展性、公开性、投资的保护等原因，建议采用OSPF路由协议和静态路由相结合的路由方式。给予OSPF协议的特质，XX公司总部规划为area0，内部网络设备都规划为area0。各区域接入路由器根据区域不同使用动态协议，或者静态协议。各个分部分别规划为area1-5区域。5.2路由规划拓扑图44 5.3IP地址规划IP地址规划在网络设计中的作用举足轻重。直接影响整个网络运营的效率。IP地址设计的总原则是简单、易管理、以扩展。IP地址是TCP/IP协议中的网络层逻辑地址，它被用来唯一地标识网络中的一个节点。IP地址空间的分配，要与网络层次结构相适应，既要有效利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。5.3.1总部IP地址规划：网络单元VLAN-IDIP地址网关上网方式IP获取方式行政部2192.168.1.1-62/26192.168.1.1NATDHCP财务部3192.168.1.65-126/26192.168.1.65NATDHCP技术部4192.168.1.129-190/26192.168.1.129NATDHCP企业文化部5192.168.1.193-254/26192.168.1.193NATDHCP项目经理部6192.168.2.1-30/27192.168.2.1NATDHCP信息科7192.168.2.33-62/27192.168.2.33NATDHCP信息办8192.168.2.65-94/27192.168.2.65NATDHCP教育中心9192.168.2.97-126/27192.168.2.97NATDHCP人力资源部10192.168.2.129-158/27192.168.2.129NATDHCP外连部11192.168.3.1-62/26192.168.3.1NATDHCP品保部12192.168.3.65-126/26192.168.3.65NATDHCP仓储中心13192.168.3.129-190/26192.168.3.129NATDHCP安全环保部14192.168.4.1-126/25192.168.4.1NATDHCP制造技术部15192.168.4.129-254/25192.168.4.129NATDHCP44 采供部16192.168.5.1-254/24192.168.5.1NATDHCP生产部17192.168.6.0-7.254/24192.168.6.1/192.168.7.1NATDHCP服务器集群192.168.8.0/24192.168.8.1NAT手动5.3.2分部IP地址规划：网络单元VLAN-IDIP地址网关上网方式IP获取方式项目经理2192.168.10.1-30/27192.168.10.1NATDHCP行政部3192.168.10.33-62/27192.168.10.33NATDHCP财务部部4192.168.10.65-94/27192.168.10.65NATDHCP外联部5192.168.10.97-126/27192.168.10.97NATDHCP技术部6192.168.10.129-158/27192.168.10.129NATDHCP企业文化部7192.168.10.161-190/27192.168.10.161NATDHCP采供部8192.168.10.193-222/27192.168.10.193NATDHCP人力资源部9192.168.10.225-254/27192.168.10.225NATDHCP其他分部IP地址规划方法同上。44 第1章网络安全解决方案通过对该项目的要求分析,我们在网络安全方面主要考虑的问题如下:1、必须考虑这个方案的安全性和稳定性、可管理性和维护性，以及能够满足未来网络发展的需要。2、目前网络地址（总部和分部）已经统一规划，不能更改。VPN建设不能和原来的专线网络建设发生冲突。3、对于分部的网络，采用路由器和VPN隧道技术，实现和总部网络互通。6.1网络边界安全威胁分析网络的边界隔离着不同功能或地域的多个网络区域，由于各功能不同，相连网络的密集也不同，这样的网络直接相连，必然存在危险，下面就是对该项目网络边界安全问题的分析。1、XX公司总部网络与各级单元的连接，可能遭到来自各地的越权访问、恶意攻击和计算机病毒的入侵。2、内部的各个功能网络通过骨干交换相互连接，这样重要的部门或专网将遭到来自其他部门的越权访问。这些越权访问可能包括恶意的攻击、误操作等，但后果都将导致重要信息泄漏或者网络瘫痪。6.2网络内部安全威胁分析XX公司总部内部及分部内部网络风险可能表现在以下几个方面：1、内部用户的非授权访问。总部内部的资源并非对任何员工开放，也需有相应的访问权限。内部用户的非授权访问更容易造成资源和重要信息的泄漏。2、内部用户的误操作。由于内部用户的失误操作也极容易给服务器和其他主机造成危害。3、内部用户的恶意攻击。相对与外部攻击来说，内部攻击更是容易，因此，对内部用户攻击的防范也很重要。4、设备自身安全性也会直接关系到网络的正常运转。44 5、重要的服务器或操作系统自身存在安全的漏洞，也将会为网络的安全带来很多不安定的因素。6.3安全产品选型原则该项目的网络属于专用网络，因此在安全产品的选型上应慎重，其选型的原则包括：1、安保产品的接入不能明显影响网络系统的运行效率，并满足工作需要，不影响正常工作。2、安保产品必须通过国家主管部门指定的测评机构的检测。3、安保产品必须具备自保能力。4、安保产品必须符合国家和国际上的相关标准。5、安保产品必须操作简单易用，便于简单部署和集中管理。第1章网络技术介绍7.1VLAN技术：VLAN（VirtualLocalAreaNetwork，虚拟局域网）技术主要为了解决交换机在进行局域网互连时无法限制广播的问题。可以把一个LAN划分成多个逻辑Vlan，每个Vlan是一个广播域，Vlan内的主机间通信和在一个LAN内一样，而Vlan间则不能直接互通，这样，广播报文被限制在一个Vlan内。7.1.1使用VLAN技术的优势：通过划分VLAN子网，能划小了广播域，避免了广播风暴的产生。提高交换网络的交换效率，保证网络稳定，提高网络安全性，根据Ambow公司内部网络机构的需求，采用VLAN技术来划分企业网络，一个VLAN可以将公司部门、项目组或者服务器组将不同地理位置的工作站划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在子网之间移动，VLAN提供了网段和机构的弹性组合机制，VLAN技术很好的解决了网络管理的问题，能实现网络监督与管理的自动化，从而更有效的进行网络监控。7.1.2VLAN划分1、根据端口划分Vlan以交换机端口划分网络成员，配置过成简单明了，是常用的一种方式。44 2、根据MAC地址划分VLAN根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪VLAN。这种划分方法的优点是当用户物理位置移动时，VLAN不用重新配置，缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，管理员的配置工作量非常大。3、根据网络层划分VLAN根据每个主机的网络层地址或协议类型划分。4、根据IP组播划分VLANIP组播实际上也是一种VLAN的定义，即认为一个组播就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。5、基于规则的VLAN也称为基于策略的VLAN。这是最灵活的VLAN划分方法，具有自动配置的能力，整个网络可以非常方便地通过路由器扩展网络规模。6、按用户定义、非用户授权划分VLAN基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAn管理的认证后才可以加入一个Vlan。7.2VTP技术：VTP（VLANTrunkingProtocol）：是Vlan中级协议，也称为虚拟局域网干道协议。VTP协议是思科的专用协议，大多数的Catalys交换机都支持该协议，VTP可以减少Vlan的相关管理任务。7.2.1VTP有三种工作模式：VTPServer、VTPClient和VTPTransparent。7.2.2使用VTP技术的优势：使用VTP技术，主要是为了防止不需要的广播信息从一个vlan泛洪到VTP域中所有的中继链路。Vtp修剪允许交换机协商将那些VLAN分配到中继链路另一端的端口，因此剪除未分配到远程交换机端口的VLAN。VTP修剪功能默认为禁用，可以使用全局配置命令vtppruning启用vtp修剪，只需要在域内一台VTP服务器交换机上启用修剪功能即可。7.3STP生成树协议：44 STP(SpanningTreeProtocol)生成树协议该协议的目的是在实现交换机之间的冗余连接的同时，避免网络环路的出现，实现网络的高可靠性。逻辑上断开环路，防止广播风暴的产生。当线路出现故障，断开的接口被激活，恢复通信，起到线路备份的作用。Stp使用生成树算法（STA）计算网络中的那些交换机端口应配置为阻塞以防止出现环路。所有参与STP的交换机互相交换BPDU帧， BPDU帧是运行STP的交换机之间交换的包含STP消息的帧。每个BPDU都包含一个BID，用于标识发送该BPDU的交换机。7.3.1使用STP协议的优势：根据所设计的拓扑图，采用生成树的协议，该协议的目的是在实现交换机之间的冗余连接的同时，避免网络环路的出现，实现网络的高可靠性，它实现在交换机之间传递桥接。，当逻辑上断开环路，防止广播风暴的产生，当线路出现故障，断开的借口呗激活，恢复通信，起备份线路的作用。7.4EthernetChannel：以太通道也称为以太端口捆绑、端口聚集或以太链路聚集。以太通道为交换机提供了端口捆绑的技术，将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组；同一聚合组内的多条物理链路视为一条逻辑链路。链路聚合可以实现出/入负荷在聚合组中各个成员端口之间分担，以增加带宽。同时，同一聚合组的各个成员端口之间彼此动态备份，提高了连接可靠性。7.4.1以太通道的特点：1.以太网通道最多可以捆绑8条物理链路，可以是双绞线，也可以是光纤。2.以太通道的规则：参与捆绑的端口必须属于同一个VLAN，或者都是中继模式3.如果端口配置是中继模式，则链路中的两个端口必须都是中继模式4.所有参与捆绑的端口的物理参数必须相同，例如全部为半双工或者全部为全双工。7.4.2使用Etherchannel的优势：GEC技术一方面为我们提供了一种扩展网络带宽的手段，另一方面，它还为连接提供了容错。平时，网络流量是被分摊得到构成GEC/FEC的2条或多条物理链路上，如果其中一条链路发生故障，该故障链路上的物理流量会立刻被重新分配到其他正常的流量上，congenial达到了容错的目的。7.4.3以太通道的特点：以太网通道最多可以捆绑8条物理链路，可以是双绞线，也可以是光纤。44 7.4.4以太通道的规则：参与捆绑的端口必须属于同一个VLAN，或者都是中继模式7.5Trunk技术Trunk是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。基于端口汇聚（Trunk）功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量，大幅度提供整个网络能力。是带宽扩展和链路备份的一个重要途径。TRUNK把多个物理端口捆绑在一起当作一个逻辑端口使用，可以把多组端口的宽带叠加起来使用。TRUNK技术可以实现TRUNK内部多条链路互为备份的功能，即当一条链路出现故障时，不影响其他链路的工作，同时多链路之间还能实现流量均衡。7.6HSRP路由热备份：HSRP(HotStandbyRouterProtocol)是CISCO公司制定的专有路由器备份协议，支持多台路由器形成热备而消除单台设备失效造成的网络中断。HSRP允许在一个局域网（以太网，令牌环，FDDI）上或ISL封装的VLAN上的多个路由器共享一个虚拟IP地址和MAC地址，共享地址的一组路由器被配置成HSRP组，组中每一个路由器配置一个组IP地址和优先级。存在一个路由器是活跃激活的，接受所有合法网络IP/MAC地址包，如果激活的路由器发生故障，组中的另一个路由器激活并接收包。7.6.1使用HSRP的优势：我们使用HSRP来实现故障路由器的接管。HSRP协议是Cisco公司制定的专有路由器备份协议，支持多台路由器形成备份而消除单台设备失效造成的网络中断。比且确保了当网络边缘或接入链路出现故障时，用户通信能迅速并透明的恢复，并为此IP网络提供了冗余性。HSRP支持在某个路由器出现故障时可以快速的进行默认网关的切换，通过共同提供一个IP地址和MAC地址，两个或者多个路由器可以做为一个虚拟路由器，当某个路由器出现故障时，其他路由器可以无缝的接替它进行路由选择。，这样就很好的解决了路由器切换的问题。为了把网络阻塞降到最底限度，网络中只有活路由器和备份路由器可以在完成HSRP协议选择过程后发送一次HSRP消息包。如果活路由器失效，则备份路由器将取代它作为新的活路由器工作。而当备份路由器失效或者它变成了活路由器时，另外一个路由器将被选为备份路由器。44 7.7DHCP：DHCP动态主机设置协议（DynamicHostConfigurationProtocol,DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。7.8VPN技术：虚拟专用网（vpn）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN技术分为L2LP、GRE、IPsec。IPSec(Internet协议安全)是一个工业标准网络安全协议，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。7.8.1Site-to-SiteVPNSite-to-SiteVPN就是站点到站点的VPN。IPSec（IPSecurity）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议。IPSec包括报文验证头协议AH（协议号51）和报文安全封装协议ESP（协议号50）两个协议。IPSec有隧道（tunnel）和传送（transport）两种工作方式它提供两个安全协议：1、AH(AuthenticationHeader)报文认证头协议MD5(MessageDigest5)SHA1(SecureHashAlgorithm)2、ESP(EncapsulationSecurityPayload)封装安全载荷协议DES(DataEncryptionStandard)3DES其他的加密算法：Blowfish，blowfish、cast安全特性：数据机密性（Confidentiality）、数据完整性（Data44 Integrity）、数据来源认证（DataAuthentication）、反重放（Anti-Replay）7.8.2EasyVPNEasyVPN又名ezVPN，是Cisco专用VPN技术。它分为EASYVPNSERVER和EASYVPNREMOTE两种，EASYVPNSERVER是REMOT--ACCESSVPN专业设备。配置复杂，支持POLICYPUSHING等特性，现在的900、1700、PIX、VPN3002和ASA等很多设备都支持。此种技术应用在中小企业居多。如Cisco金睿系类的路由器都有整合easyVPN。7.9QOS技术：QualityofService（服务质量）是指网络通信过程中，允许用户业务在丢包率、延迟、抖动和带宽等方面获得可预期的服务水平。IPQoS目标是：避免并管理IP网络拥塞、减少IP报文的丢失率、调控IP网络的流量、为特定用户或特定业务提供专用带宽、支撑IP网络上的实时业务。7.9.1QOS的服务模型有三种常见模式：Best-Effortservice模型：是目前Internet的缺省服务模型，主要实现技术是先进先出队列(FIFO)。Integratedservice模型：通过信令向网络申请特定的QoS服务，网络在流量参数描述的范围内，预留资源以承诺满足该请求。Differentiatedservice模型：当网络出现拥塞时，根据业务的不同服务等级约定，有差别地进行流量控制和转发来解决拥塞问题。7.10NAT技术：NAT（NetworkAddressTranslation，网络地址转换）是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公网IP地址代表较多的私网IP地址的方式，将有助于减缓可用IP地址空间的枯竭。7.10.1NAT的类型有：1.静态NAT(StaticNAT)2.动态地址NAT(PooledNAT)3.网络地址端口转换NAPT（Port－LevelNAT）7.10.2使用静态NAT技术到的优势：44 1对于内部通讯可以利用私网地址，如果需要与外部通讯或访问外部资源，则可通过将私网地址转换成公网地址来实现。2通过公网地址与端口的结合，可使多个私网用户共用一个公网地址3通过静态映射，不同的内部服务器可以映射到同一个公网地址。外部用户可通过公网地址和端口访问不同的内部服务器，同时还隐藏了内部服务器的真实IP地址，从而防止外部对内部服务器乃至内部网络的攻击行为。4方便网络管理，如通过改变映射表就可实现私网服务器的迁移，内部网络的改变也很容易。7.11ACL访问控制列表访问控制列表（AccessControlList，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段。ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议（IP、AppleTalk以及IPX）的情况，那么，用户必须定义三种ACL来分别控制这三种协议的数据包。7.11.1ACL的分类：目前有两种主要的ACL:标准ACL和扩展ACL、通过命名、通过时间。　　标准的ACL使用1~99以及1300~1999之间的数字作为表号，扩展的ACL使用100~199以及2000~2699之间的数字作为表号。　　标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。　　扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。　　在标准与扩展访问控制列表中均要使用表号，而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目，这样可以让我们在使用过程中方便地进行修改。　44 随着网络的发展和用户要求的变化，从IOS12.0开始，思科（CISCO）路由器新增加了一种基于时间的访问列表。通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。7.11.2ACL的特点：1.ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。2.ACL可以限制网络流量、提高网络性能。3.ACL可以根据数据包的协议，指定数据包的优先级4.ACL提供对通信流量的控制手段5.ACL是提供网络安全访问的基本手段7.12IOS防火墙:所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙技术，最初是针对Internet网络不安全因素所采取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。功能：防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。7.13OSPF协议开放式最短路径优先（OpenShortestPathFirst，OSPF）协议是一种为IP网络44 开发的内部网关路由选择协议，由IETF开发并推荐使用。OSPF协议由三个子协议组成：Hello协议、交换协议和扩散协议。其中Hello协议负责检查链路是否可用，并完成指定路由器及备份指定路由器；交换协议完成“主”、“从”路由器的指定并交换各自的路由数据库信息；扩散协议完成各路由器中路由数据库的同步维护。OSPF协议采用链路状态协议算法，每个路由器维护一个相同的链路状态数据库，保存整个AS的拓扑结构（在AS不划分的情况下）。一旦每个路由器有了完整的链路状态数据库，该路由器就可以自己为根，构造最短路径路径树，然后再根据最短路径构造路径表。对于大型的网络，为了进一步减少路由协议通信流量，利于管理和计算。OSPF将整个AS划分为若干个区域，区域内的路由器维护一个相同的链路状态数据库，保存该区域的拓扑图结构。OSPF路由器相互间交换信息，但交换的信息不是路由，而是链路状态。OSPF定义了5种分组：Hello分组用于建立和维护邻居关系；数据库描述分组初始化路由器的网络拓扑数据库；当发现数据库中的某部分信息已经过时后，路由器发送链路状态请求分组，请求邻站提供更新信息；路由器使用链路状态更新分组来主动扩展自己的链路状态数据库或对链路状态请求分组进行相应；由于OSPF直接运行在IP层，协议本身要提供确认机制，链路状态应答分组状态更新分组进行确认。相对于其他协议，OSPF有许多优点。OSPF支持各种不同鉴别机制（如简单口令验证，MD5加密验证等），并且允许各个系统或区域采用互不相同的鉴别机制；提供负载均衡功能，如果计算出道某个目的站有若干条费用相同的路由，OSPF路由器会把通信流量均匀地分配给这几条路由，沿这几条路由把该分组发送出去；在一个自制系统内可划分出若干个区域，每一个区域根据自己的拓扑结构计算最短路径，这样减少了OSPF路由实现的工作量；OSPF属于动态的自适应协议，对于网络的拓扑结构变化可以迅速的作出反应，进行相应调整，提供短的收敛期，使路由表尽快稳定化，并且与其它路由协议相比，OSPF在对网络拓扑变化的处理过程中仅需要最少的通信流量；OSPF提供点到多点接口，支持CIDR(无类路由)地址。7.13.1OSPF协议的优点：OSPF能够在自己的链路状态数据库内表示整个网络，这极大地减少了收敛时间，并且支持大型异构网络的互联，提供了一个异构网络间通过同一种协议交换网络信息的途径，并且不容易出现错误的路由信息。OSPF支持通往相同目的的多重路径。OSPF使用路由标签区分不同的外部路由。OSPF支持路由验证，只有互相通过路由验证的路由器之间才能交换路由信息；并且可以对不同的区域定义不同的验证方式，从而提高了网络的安全性。OSPF支持费用相同的多条链路上的负载均衡。44 OSPF是一个非族类路由协议，路由信息不受跳数的限制，减少了因分级路由带来的子网分离问题。OSPF支持VLSM和非族类路由查表，有利于网络地址的有效管理OSPF使用AREA对网络进行分层，减少了协议对CPU处理时间和内存的需求。7.13.2OSPF的网络类型OSPF定义的5种网络类型:1.点到点网络(point-to-point)2.广播型网络(broadcast)3.非广播型(NBMA)网络(non-broadcast)4.点到多点网络(point-to-multipoint)5.虚链接(virtuallink)l点到点网络,比如T1线路,是连接单独的一对路由器的网络,点到点网络上的有效邻居总是可以形成邻接关系的,在这种网络上,OSPF包的目标地址使用的是224.0.0.5,这个组播地址称为AllSPFRouters.l广播型网络,比如以太网,TokenRing和FDDI,这样的网络上会选举一个DR和BDR,DR/BDR的发送的OSPF包的目标地址为224.0.0.5,运载这些OSPF包的帧的目标MAC地址为0100.5E00.0005;而除了DR/BDR以外发送的OSPF包的目标地址为224.0.0.6,这个地址叫AllDRouters.lNBMA网络,比如X.25,FrameRelay,和ATM,不具备广播的能力,因此邻居要人工来指定,在这样的网络上要选举DR和BDR,OSPF包采用unicast的方式l点到多点网络是NBMA网络的一个特殊配置,可以看成是点到点链路的集合.在这样的网络上不选举DR和BDR.l虚链接:OSPF包是以unicast的方式发送44 第1章设备简介8.1路由器Cisco2821路由器由于采用模块化的设计风格，特别适合中型企业的一款路由器。作为Cisco2800系列的产品，Cisco2821能以线速为多条T1/E1/xDSL连接提供多种高质量并发服务。Cisco2821它建立在思科20年的领先地位及创新技术的基础之上，智能地将数据、安全性和话音服务内嵌于单一永续系统，能快速、可扩展地提供关键任务业务应用。缺省配置DRAM为256MB，最大可达1GB，配备了2个10/100/1000Mbps的以太网端口，4个接口卡插槽以及11个扩展插槽，每个插槽可支持HWIC，WIC，VIC，或VWIC模块，还带有一个网络模块插槽，支持NM，NME和NME-X模块，内置防火墙等。Cisco2821集成多业务路由器支持全套传输协议、服务质量(QoS)工具，以及先进的安全和话音应用，将高应用性与高可靠性相结合，可满足中小型分支机构和中小型企业对于目前和未来应用日益提高的需求。44 Cisco3825是一款集成多业务路由器平台，其上的思科IP通信特性包括实施松散连接在一起的半自动业务解决方案所需的高级特性和服务，包括呼叫处理、呼叫控制协议、服务质量（QoS）、模拟和数字接口、排队、编程、语音留言和自动职守。企业分支机构、商业办公室和中小型办公室可以使用业界最广泛、最全面的语音和安全服务，并直接嵌入并集成到业界领先的路由平台上，以提高性能和永续性。8.2交换机8.2.1三层交换机CiscoWS-C3560G-24TS-S三层千兆交换机，它提供了24个以太网10/100/1000端口，4个SFP千兆位以太网端口，采用思科IP电话和CiscoAironet无线LAN接入点，以及任何IEEE44 802.3af兼容终端设备的部署，提供了较低的总体拥有成本(TCO)。以太网电源使客户无需再为每台支持PoE的设备提供墙壁电源，免除了在IP电话和无线LAN部署中所必不可少的额外布线。支持24个15.4W的同步全供电PoE端口，从而获得了最佳上电设备支持。8.2.2二层交换机：CiscoWS-C2960G-48TC-L是一款48口全千兆交换机，隶属于CiscoCatalyst2960系列智能以太网交换机产品，该系列产品提供桌面快速以太网和10/100/1000千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强LAN服务。CiscoCatalyst2960系列智能以太网交换机集成安全特性，包括网络准入控制(NAC)，高级服务质量(QoS)和永续性，为网络边缘提供智能服务，为网络边缘提供了智能特性，如先进的访问控制列表(ACL)和增强安全特性。CiscoWS-C2960G-48TC-L2960系列双介质上行链路端口提供了千兆以太网上行链路灵活性，可以使用铜缆或光纤上行链路端口—每个介质上行链路端口都有一个10/100/1000以太网端口和一个小型可插拔(SFP)千兆以太网端口，在使用时其中一个端口激活，但不能同时使用这两个端口2960系列通过高级QoS、精确速率限制、ACL和组播服务，实现了网络控制和带宽优化；通过多种验证方法、数据加密技术和基于用户、端口和MAC地址的网络准入控制，实现了网络安全性；通过思科网络助理，简化了网络配置、升级和故障诊断；并使用Smartports自动配置特定应用。44 CiscoWS-C2960-24TC-L是一款24口千兆交换机，隶属于CiscoCatalyst2960系列智能以太网交换机产品，它是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和10/100/1000千兆以太网连接，适用于入门级企业、中型市场和分支机构网络，有助于提供增强LAN服务。Catalyst2960系列具有集成安全特性，包括网络准入控制(NAC)、高级服务质量(QoS)和永续性，可为网络边缘提供智能服务。该系列还包括一系列针对网络管理员所作的硬件改进，包括双介质（或有线）千兆以太网上行链路配置，允许网络管理员使用铜缆端口或光纤上行链路端口。另外，可加速网络中的桌面千兆位(GTTD)传输。8.3服务器8.3.1联想万全R520联想万全R520 G7XeonE5620联想万全R520G7是新一代至强5500服务器，是一款专为互联网44 近线存储应用、中小企业和政府教育机构应用量身打造的主流两路机架式服务器平台。R520G7服务器将性价比高、数据续航稳定、管理便捷、高效节能等特点汇聚一身，可轻松满足用户与日俱增的数据存储需求，并承载各类用户多样化的IT应用。联想万全R520G7支持双路英特尔至强5500/5600处理器，通过全新处理器间QPI总线互联的系统架构，将处理器间的连接带宽提升至25.6GB/s。同时，R520G7集成三通道内存控制器，配合高速DDR3内存，使CPU与内存间的数据带宽高达32GB/s，整体计算性能较上代产品提升100%。标配1颗IntelXeonE5620处理器，核心频率2.4GHz，四核共享12MB三级缓存，4.86GT/sQPI总线。标配2*2GBECCDDR3内存，存储方面，R520G7扩展能力优秀，最高支持12块3.5寸热插拔硬盘，对于非结构性数据存储需求巨大的互联网近线存储应用可轻松应对。不仅如此，R520G7服务器在主板上集成了8口SAS控制器，并可兼容支持SATAII硬盘，为用户提供了更加灵活的选择机会。标配1块146GBSAS硬盘。为了切实解决用户日益增长的应用需求与服务器扩容能力限制的矛盾，万全R520G7支持3个全高PCI-E扩展插槽，能完全满足外挂存储负载均衡与链路冗余的需求。R520G7多达7个USB接口的设计，也为用户带来了强大的功能扩展能力。网络方面集成双千兆以太网网卡，标配单电源。在管理方面，联想R520G7支持慧眼IV专业版管理系统，可以监控处理器、主板、机箱温度，电压，系统风扇转速等底层硬件健康信息，支持远程开关机、远程定位的功能。通过慧眼IV管理系统，系统管理员可远程接管被管联想R520G7服务器的键盘、鼠标、显示器，支持远程的图形界面监控，支持远程安装操作系统、驱动程序、应用软件等。8.3.2惠普ProLiant惠普ProLiantDL360G7(579243-AA1)惠普ProLiantDL360G7标配1颗IntelXeonE5506处理器，核心频率2.1344 GHz，四核共享4MB三级缓存，4.8GT/sQPI总线，4G内存存储，最高可扩展192G，18个DDR3插槽，2个千兆接口，支持热插拔。8.4备份缓存：RG-iS1000/2000是一款应用了最新网络存储技术开发的IPSAN网络存储系统。它具备大容量、高性能、全方位资料保护、系统备份架构设计等优点，最能符合网络存储快速增长的需求。性能最佳的硬件RAIDRG-iS1000/2000采用硬件RAID技术，RG-iS1000/2000的高级交换RAID体系结构可发挥串行ATA（SATA）的威力，最优化的硬件XORRAID5/6引擎提供真正基于RAID的硬件和智能驱动管理功能，在同类产品中具有最佳的硬件RAID性能。硬件RAID控制器的速率超过每秒700兆字节（MB/sec）持续RAID-5读出和400MB/secRAID-5顺序写入，CPU的应用不到3％。1.支持RAID级别0、1、10、5、50、单硬盘（JBOD）、62.点对点、无阻塞交换体系结构可以获得最高性能3.支持热插拔和热备份，保证数据的可用性4.动态扇区修复，可以使数据受到严密保护5.S.M.A.R.T.磁盘驱动器监控，确保可靠性6.紧急情况快速恢复，避免固件在升级过程中发生掉电7.基于浏览器的管理工具可靠的数据保存：1.具热插拔功能的硬盘插槽，标准配置可容纳16个SATA硬盘，储存容量可达12TB（使用750GBSATA硬盘）。44 1.RAID0、1、5、10、50、JBOD、6磁盘阵列技术，RAID1、5、6具自动重建及热备援功能。2.在线直接控制RAID状态，在线增减及规划储存空间，支持Multi-Volume功能，扩充更具弹性。支持单一超大档案(>2GB)。3.数据及系统设定可快速或周期性的备份(恢复)到本机磁带机、USB硬盘或远程Unix/Linux主机的磁带机、硬盘。4.提供多台RG-iS1000/2000之间通过局域网络或因特网进行周期性数据同步加密传输功能。可与另一台RG-iS1000/2000做远程资料同步（双机热备份）。5.磁盘快照(Snapshot)功能，可设定低容量提醒、在线容量增减等功能。8.5UPS电源：山特C10K是在线式UPS，UPS额定容量为10KVA，电源效率为85%；输出电压为220V，输出电压频率范围为50±0.1%Hz；输入电压范围为176-276V，输入电压频率范围为46-54Hz；适应的工作环境温度为0～40℃，湿度为20%-90%，存储温度为-25-55℃，存储湿度为5%-90%。8.6PC机：44 联想启天M7300（i3550/2GB/500GB）联想启天M7300（i3550/2GB/500GB）台式商用，Intel酷睿I3550M；500G硬盘；2G内存，DDR31333MHz；主频3.2GHz；独立显卡，512MB显存容量；支持HighDefinitionAudio，立体声音效；1000Mbps以太网卡；并配备抗菌防水键盘，光电鼠标。整机性能良好适合商用。8.7笔记本电脑：惠普421（LJ718PA）14英寸，英特尔酷睿2双核T6670处理器，主频2.2GHz，320GB硬盘，2GB内存DDR31066MHz，支持DVD刻录，集成200万像素摄像头，1000Mbps以太网卡，无线网卡支持802.11a/g/n无线协议。44 8.8打印机：爱普生StylusPhotoR270爱普生STYLUSPHOTOR270打印出的照片品质优异超群。突破性MSDT新智能墨滴变换技术、横纹消除技术和多脉冲技术，带来了前所未有的速度的大幅度提升。打印一张6寸照片只需13秒的体验，不仅会带给您绝妙而满意的体验，更为您的商务助一臂之力。新的世纪真彩照片墨令照片色域更宽广，画面层次更丰富多彩，并且有更长的保存性。8.9传真机：44 三星371P三星SF-371P具有很好的经济性，可通过呼叫方ID功能拦截垃圾传真，有效减少不必要的耗材消耗;升级的省墨模式，至少能够减少25%的墨粉消耗，达到了真正的高效传真。同时具有大容量内存、防倾斜自动文档传输以及诸多智能化功能，即使在传真中途墨水或者纸张用完，也有足够的空间可将传真先行保存，待更换完毕再打印出来，为用户提供最大的方便。性能上，三星SF-371P具有传真、复印、打印及扫描的功能。它采用喷墨打印技术，打印速度为15秒/页，具有15页自动输稿器容量，采用USB2.0打印端口。传真上，它应用了速度为14.4Kbps的调制解调器传输文档，传输时间仅为6秒。在纸张处理方面，它配备50页纸仓输入容量，支持A4最大幅面输出。扫面方面，它采用CIS扫描方式，拥有210mm的扫描宽度。8.10IP电话：CISCO7905是一个价格低廉的普通IP电话，可以提供一组核心的业务功能。它特别适用于大型企业和电信运营商应用，并可以部署在下列终端用户环境中：大型企业，中小型企业（SMB），小型办公室和家庭办公室（SOHO）。它还适用于通常使用单线电话的场合，例如咖啡厅、休息室、门厅和生产厂房等。CISCO7905基于像素的显示屏--基于像素的显示屏可以帮助用户直观地使用各种呼叫功能。四个软键可以动态地为用户提供呼叫选项。滚动条使用户可以方便地浏览显示信息。"菜单"键--该键使用户可以迅速查看各种信息，例如呼叫日志和电话设备。用户可以接收语音邮件信息。用户可以显示未接电话、已拨电话和已接电话。用户可以进行不同的设置，例如振铃类型和显示屏的对比度。"保持"键--这个可以发亮的按键可以通过红灯指示，告诉用户一个呼叫正处于保持状态。一个音量调节滑轮可以对听筒和振铃的音量进行分贝级的调节。一个支持助听功能的听筒（符合美国残疾人法案[ADA]的要求）位置固定的支架可以提供最佳的显示效果，让用户舒适地使用所有按钮和按键。用户可以卸除支架，通过电话底部的安装孔将其安装在墙上。44 8.11烟雾防火报警器：深圳市宏强安防科技有限公司生产的吸顶感烟烟感探头防火报警器具有，独立式吸顶安装，安装简单，无需调试；内置专用IC，性能稳定、灵敏度高；采用光学原理的烟雾检测室，能够准确的探测到火灾初期产生的烟雾；能对报警器进行模拟报警测试；自带蜂鸣器，可独立报警；9V电池电源供电，监视状态电流<10uA，报警电流<12mA；低电压报警功能，当电池电压低于6.8V后，发出提示音提醒用户换电池的性能。报警响度：响度≥85dB； 环境条件：温度-10℃～+60℃，相对湿度≤95%RH（40±2℃）； 保护面积：报警器安装高度6米以下，保护面积为60平方米。 外型尺寸:Φ140X41mm8.12网络硬盘录像机：帝视尼DSN-DVR8016HDSN-DVR8016H16路网络数字硬盘录像机DSN-DVR8016H16路网络数字硬盘录像机采用了工业级嵌入式微控制器，采用嵌入式LINUX操作系统，可实现同时多路录像，同时录像回放，同时网络操作，支持1/4/8/9/16画面浏览，而且这款产品配有4个SATA硬盘接口，支持最大1TB的硬盘，海量数据也能实现存储。产品特点：1.16路视频输入全实时录像44 1.支持VGA,CVBS同时显示输出2.支持4个通道录像同步回放3.支持手机预览(WindowsMobile、Symbian、iPhone、Android、BlackBerry)4.采用标准H.264压缩算法5.支持多种DDNS(花生壳,3322,dyndns)6.支持鼠标高速云台功能方便云台控制7.4个SATA硬盘接口，支持TB级硬盘8.13监视器：索尼LMD-1410索尼LMD-1410配备一系列模拟标清信号接口，包括NTSC和PAL模拟复合信号，Y/C，和525i或625i分量信号，以及RGB信号。通过安装选配的BKM-320D输入适配器，LMD-2020和LMD-1420还可以接收SD-SDI输入信号。8.14监控摄像：摄像头翔飞SF-603A44 翔飞SF-603A彩色防水红外线CCD摄像机主要参数：1.像素: PAL: 752H×582V  NTSC:768H×494V2.信号制式: PAL/NTSC3.足以媲美480线效果,欢迎广大用户朋友对比测试4.最低照度: 0LUX(红外灯开启）5.信噪比:≥48dB6.视频输出幅度:1.0Vp-p/75Ω7.自动增益控制: 自动8.白平衡方式:自动跟踪9.逆光补偿方式:自动10.曝光模式: 电子曝光11.电子快门: 1/50(1/60)-1/100000秒12.伽马校正:0.4513.同步方式:内同步14.红外线作用距离：50m15.镜头: 4mm,6mm,8mm,12mm,16mm(默认发8MM）8.15集团电话：44 昌德讯108MR昌德通讯108MR集团电话有如下性能：1外线8分机,不可扩容.功能简介:1、12秒数码录音,可设置电脑值班及人工值班,各外线值班方式可任意设定。 2、总台来电显示。 3、远程维护功能,可通过打电话方式协助客户完成对交换机的编程指令(适用于2外线8分机以上的机型)。 4、多级服务等级限制：服务等级有多个等级,有长途等级、市话等级、农话等级、内线等级、开放号码等级等,可以灵活控制分机的打出,使话费降到最低点.还可以对呼出号码进行灵活分组,对分组字头可以设定呼出限制(适用于2外线8分机以上的机型)。 5、外线转移后无人接听交换机会做回振处理。 6、弹性编码。 7、自动值班不拨号处理,当外线呼入听完提示音后,若对方长时间按不拨号,可设定外线是接入总机还是切断通话。 8、代接外线、预约外线、选择外线、代拨外线、外线转移、三方通话、外线保留。44 第1章服务器设计建设一个互动式网站，来实现企业内部员工的信息交流，并提供电子邮件服务;为访问该网站的internet用户提供虚拟社区服务，实现电子邮件、论坛、在线实时通信和公告栏等功能，通过这些简单实用的功能，公司可以达到吸引客户访问、建立知名度、探索客户需求、提供客户支持及关心、保持客户关系、建立信任等目的。9.1DNS服务器DNS服务器是(DomainNameSystem或者DomainNameService)域名系统或者域名服务,域名系统为Internet上的主机分配域名地址和IP地址。用户使用域名地址，该系统就会自动把域名地址转为IP地址。域名服务是运行域名系统的Internet工具。执行域名服务的服务器称之为DNS服务器，通过DNS服务器来应答域名服务的查询。两种真正DNS的查询模式递归式(Recursive):DNS客户端向DNSServer的查询模式，这种方式是将要查询的封包送出去问，就等待正确名称的正确响应，这种方式只处理响应回来的封包是否是正确响应或是说是找不到该名称的错误讯息。　交谈式(Interactive):DNSServer间的查询模式，由Client端或是DNSServer上所发出去问，这种方式送封包出去问，所响应回来的资料不一定是最后正确的名称位置，但也不是如上所说的响应回来是错误讯息，他响应回来告诉你最接近的IP位置，然后再到此最接近的IP上去寻找所要解析的名称，反复动作直到找到正确位置。9.2Apache服务器Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上，由于其跨平台和安全性被广泛使用，是最流行的Web服务器端软件之一。Apache源于NCSAhttpd服务器，经过多次修改，成为世界上最流行的Web服务器软件之一。Apache取自“apatchyserver”的读音，意思是充满补丁的服务器，因为它是自由软件，所以不断有人来为它开发新的功能、新的特性、修改原来的缺陷。Apache的特点是简单、速度快、性能稳定，并可做代理服务器来使用。本来它只用于小型或试验Internet网络，后来逐步扩充到各种Unix系统中，尤其对Linux的支持相当完美。Apache有多种产品，可以支持SSL技术，支持多个虚拟主机。Apache是以进程为基础的结构，进程要比线程消耗更多的系统开支，不太适合于多处理器环境，因此，在一个Apache44 Web站点扩容时，通常是增加服务器或扩充群集节点而不是增加处理器。到目前为止Apache仍然是世界上用的最多的Web服务器，市场占有率达60%左右。世界上很多著名的网站如Amazon、Yahoo!、W3Consortium、FinancialTimes等都是Apache的产物，它的成功之处主要在于它的源代码开放、有一支开放的开发队伍、支持跨平台的应用（可以运行在几乎所有的Unix、Windows、Linux系统平台上）以及它的可移植性等方面。Apacheweb服务器软件拥有以下特性：　　l支持最新的HTTP/1.1通信协议　　l拥有简单而强有力的基于文件的配置过程　　l支持通用网关接口　　l支持基于IP和基于域名的虚拟主机　　l支持多种方式的HTTP认证　　l集成Perl处理模块　　l集成代理服务器模块　　l支持实时监视服务器状态和定制服务器日志　　l支持服务器端包含指令(SSI)　　l支持安全Socket层(SSL)　　l提供用户会话过程的跟踪　　l支持FastCGI　　l通过第三方模块可以支持JavaServlets9.3Sendmail服务器sendmail是最重要的邮件传输代理程序。理解电子邮件的工作模式是非常重要的。一般情况下，我们把电子邮件程序分解成用户代理，传输代理和投递代理。用户代理用来接受用户的指令，将用户的信件传送至信件传输代理，如：outlookexpress、foxmail等。而投递代理则从信件传输代理取得信件传送至最终用户的邮箱，如：procmail。　　当用户试图发送一封电子邮件的时候，他并不能直接将信件发送到对方的机器上，用户代理必须试图去寻找一个信件传输代理，把邮件提交给它。信件传输代理得到了邮件后，首先将它保存在自身的缓冲队列中，然后，根据邮件的目标地址，信件传输代理程序将找到应该对这个目标地址负责的邮件传输代理服务器，并且通过网络将邮件传送给它。对方的服务器接收到邮件之后，将其缓冲存储在本地，直到电子邮件的接收者查看自己的电子信箱。　　44 显然，邮件传输是从服务器到服务器的，而且每个用户必须拥有服务器上存储信息的空间（称为信箱）才能接受邮件（发送邮件不受这个限制）。可以看到，一个邮件传输代理的主要工作是监视用户代理的请求，根据电子邮件的目标地址找出对应的邮件服务器，将信件在服务器之间传输并且将接收到的邮件缓冲或者提交给最终投递程序。有许多的程序可以作为信件传输代理，但是sendmail是其中最重要的一个，事实证明它可以支持数千甚至更多的用户，而且占用的系统资源相当少。不过，sendmail的配置十分复杂，因此,也有人使用另外的一些工具，如qmail、postfix等等。　　当sendmail程序得到一封待发送的邮件的时候，它需要根据目标地址确定将信件投递给对应的服务器，这是通过DNS服务实现的。9.4FTP服务器FTP服务器是在互联网上提供存储空间的计算机，它们依照FTP协议提供服务。FTP的全称是FileTransferProtocol(文件传输协议)。顾名思义，就是专门用来传输文件的协议。简单地说，支持FTP协议的服务器就是FTP服务器。9.5DHCP服务器DHCP动态主机设置协议（DynamicHostConfigurationProtocol,DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。首先，DHCP服务器必须是一台安装有Windows2000Server/AdvancedServer系统的计算机；其次，担任DHCP服务器的计算机需要安装TCP/IP协议，并为其设置静态IP地址、子网掩码、默认网关等内容。44 第1章项目实施计划10.1项目实施计划和周期10.1.1项目实施计划：考虑到XX公司项目的工程量、质量与涉及面等因素，在此工程实施前必需有严密的进度控制和精心的组织安排。我们根据本方案确定的项目目标以及具体建设要求，对建设任务以及工程进度进行综合安排计划，具体各个部分的实施可以视工程情况相互协调、齐头并进。项目任务分解：序号任务内容描述1方案调整与合同签订完成投标文件修改，确定XX公司建设项目订购的硬件设备和软件。2项目组成立正式合同签订后，将成立工程项目组，任命项目经理，确定最终的项目组成员，并以书面形式正式通知XX公司用户。3设备采购按照XX公司建设项目合同中关于设备购货有关条款和议定的日期，组织设备软、硬件的购置工作。4前期调研对XX公司用户安装现场的电源、地线、空间、照明等工程实施时必需的安装环境进行调查确认，并做好系统安装准备。5详细方案设计对XX公司组网项目最终确定的总体方案作实施等方案设计。6施工准备XX公司组网建设项目工程施工前，四川西斯德公司项目组将进行一些必要的准备工作。7设备交货设备到货并发送到XX公司用户指定地点并进行设备验收，按照合同的软、硬件清单签收到货的设备。8设备安装与节点调试按照合同要求、技术方案和工程安装实施计划，完成XX公司组网建设项目合同内各子系统的安装调试工作，包括试点项目实施、全面实施准备、项目全面实施等内容。9系统联合调试XX公司组网建设项目系统安装完成后，对整个设备及系统在实际环境中进行整体调试。10系统初验根据XX公司组网建设项目合同要求，对系统进行验收。44 11系统试运行XX公司组网建设项目系统在初步验收后投入试运行。12系统终验系统投入正常工作。实施周期：为了保证XX公司网络化建设项目顺利、有序实施，按时完成。制定了详尽的项目进度计划。因为该项目实施点分部较广，且不是同步实施，各个实施点项目实施时间以签订“XX公司网络化建设‘分支机构’协议”为准，协议签订后10个工作日内到货，实施时间预计一周。10.1．2基本环境要求a)用户自己申请上网链路，线路到交换机距离不得超过10米；b)要求各点用户完整填写《CISCO产品安装情况调查表》；c)提供adslmodem的电源插孔、CISCO设备电源插孔（美标），modem要有网络接头；d)在规定时间内必须积极配合我方人员完成安装。10.1.3我方人员行为规范本项目总体实施人员安排：项目角色实施人员联系电话项目经理杨小冲Xxxxxxxxxxxxxx项目副经理张婷Xxxxxxxxxxxxxx项目设计、安全技术顾问邢培杰Xxxxxxxxxxxxxx项目技术工程师丁爽Xxxxxxxxxxxxxx项目设备采购员赵亚洲Xxxxxxxxxxxxxx项目质量检测员赵阳Xxxxxxxxxxxxxx10.1.4工程合格规范1、项目完成后，各点的服务器、电脑都可以正确运行，运行VOIP电话。2、提供工程验收单给相关人员签字。《工程验收单》。3、每个cisco设备上贴上标签，表明以下内容：节点编号。10.2售后服务10.2.1售后服务细则：44 为保证系统稳定可靠正常运行，特制定本细则：10.2.2售后服务工作的划归售后服务工作在本公司划归技术质量管理部指定专人管理，建立管理档案。10.2.3售后服务的管理人员的资格售后服务和管理人员必须具备大专以上学历，专业工程师职称，有三年以上的网络工程安装经验，并经本公司业务培训，完成所有学习项目，并具备上岗资格。10.2.4资料存档工程验收合格后，工程部在资料存档的同时，交给售后服务人员全部技术资料并作工程情况介绍。10.2.5建立联系制度售后服务人员应及时和甲方有关人员联系，帮助甲方有关人员熟悉操作规程、规范和排除障碍等问题，互相留下服务电话和人员姓名。10.2.6建立定期检查和回访制度，制定回访联系单各类网络设施每月定期回访检查一次。对回访的情况必须做好回访记录，存档备查。44 结束语如何保障网络的安全对于网络管理人员是一个需要长久解决的巨大难题。在网络日益发达的今天，一旦网络安全受到威胁，企业的生产与办公会受到极大的影响。构建网络时，从网络的结构入手，以各类安全硬件设备为保障，使用质量较好的杀毒软件，不断提高自身的网络管理技术水平，是目前解决网络安全的主要手段。笔者愿与广大技术人员一起，致力于提高网络安全的工作。在经过了两个多月的学习和工作，我终于完成了《网络工程路由交换项目设计》的论文。从接到论文题目到实现，再到论文的完成，每走一步对我来说都是新的尝试与挑战，这也是我在大学期间独立完成的最大的项目。在设计的过程中，出现过很多问题，但都在老师和同学的帮助下顺利解决了，遇到的问题主要有以下几点：拓扑设计问题：主要是网络层次结构选择的问题；设备选型问题：详细分析了具体需求和应用才到的解决。总之，通过毕业设计，我深刻体会到要做好一个完整的事情，需要有系统的思维方式和方法，对待要解决的问题，要耐心，要善于运用已有的资源来充实自己。同时我也深刻的认识到，在对待一个新事物时，一定要从整体考虑，只有这样才能高效率的解决问题。在这段时间里，我学到了很多知识，也得到了很多体会，对ISA、IPTABLES防火墙等相关技术有了更多的了解，我学会了独立的学习和试验，查看相关的资料和书籍，让自己头脑中模糊的概念逐渐清晰，使自己非常稚嫩的作品一步步完善起来，每一次改进都是我学习的收获。 虽然我的论文不是很成熟，还有很多不足之处，当看着自己的作品，我感觉到这次的经历也会使我终身受益，我感受到做论文是要真真正正用心去做的一件事情，是真正的自己学习和研究的过程，没有学习就不可能有研究的能力，没有自己的研究，就不会有所突破，那也就不叫论文了。希望这次的经历能让我在以后学习中激励我继续进步。44 参考文献[1]万振凯等．网络操作系统：windowsServer2003管理与应用[M]．北京：清华大学出版社；北京交通大学出版社，2008.8[2]高升，邵玉梅．WindowsServer2003系统管理（第二版）[M].北京:清华大学出版社,2007.5[3]刘化君．网络安全技术[M]．北京：机械工业出版社，2010.5[4]陈萍．Linux网络服务器配置与管理[M]：[M]，北京：机械工业出版社，2010.144 致谢时光如梭，转瞬即逝，伴随着这篇论文的完成，我的两年大学生活就这样悄然的画上了句号。虽说这样短促的大学并不完美，但是他依然充实了我的生活，陶冶了我的情操，武装了我的思想。在本文完成之际，无论我的设计是否真正成功，是否能够真正的投入使用，然而这里的面每一个控件的绘制，每一行语句的调试，每一段文本的输入之中都有我求真的态度，务实的汗水。设计时间虽然短暂，但我却从中学到了很多的东西。我由衷地感谢关怀、教诲、帮助、支持和鼓励我完成学业的老师、朋友。也许因为时间的短促，所以更懂得珍惜；也许因为曾经的愚昧，所以更渴求对知识的汲取。然而生活就这样，每每到了一个阶段结束的时候，我们总是感慨时光飞逝的太过无情，惋惜曾经的我们还是错过了太多。 但是，生活毕竟是生活，我们无需花时间去悲悯时间的无情，锱铢生活的完缺。我们依然要昂首向前看，向前走，怀着感恩的心对帮助、关心、爱护过自己的人以答谢。因此，我首先由衷的感谢我的老师朱永超，2个多月来他在学习、项目上一直对我悉心指导，严格要求、热情鼓励，为我创造了很多锻炼提高的机会。老师洞察全局、高屋建瓴，为我的论文的顺利完成指出了很好的方向，朱永超老师渊博的知识、兢兢业业的工作态度、对生活的热爱，对家人的挚爱，对学生和朋友的关爱，都使我的人生受益匪浅。其次，还要感谢和我一起作毕业设计的同学们，他们在本次设计中勤奋工作，克服了许多困难来完成此次毕业设计，并承担了大部分的工作量。如果没有他们的努力工作，此次设计的完成将变得非常困难。然后还要感谢大学两年来所有的老师，为我们打下计算机网络技术专业知识的基础；同时还要感谢所有的同学们，正是因为有了你们的支持和鼓励。此次毕业设计才会顺利完成。最后，我还要再次向我的老师、同学们、朋友们以及在毕业设计过程中给予我很大帮助的朱永超老师表示真心的感谢！44'