中小型企业网络建设需求分析

　安博实训平台资源 网络工程 路由交换方向 网络项目技术建议书 易阳科技网络公司 二零一一年三月

　第 1 1 章项目需求分析 1.1.项目背景 隆康集团是一家以开发中高端精品住宅为主营业务的全国性房 地产开发企业。于 8 1998 年集资 0 1000 万 在中国北京上市，集房地产 开发，建筑施工，于一体综合性防地产公司，总部设在北京，本市设 有分公司。

　总公司部门结构：（总计：5 155 人）

　部门 工程部 市场部 人事部 财务部 网络部 销售部 总经理 人数 5 45 人 2 32 人 0 30 人 9 9 人 5 5 人 2 32 人 2 2 人

　分公司部门结构：（总计：4 64 人）

　部门 工程部 市场部 人事部 财务部 网络部 销售部 经理 人数 8 18 人 5 15 人 3 13 人 3 3 人 5 5 人 9 9 人 1 1 人 随着科技的发展，北京隆康集团的规模不断扩大，北京隆康集 团的占地面积不断的扩大，管理人员的队伍不断的扩大。目前的网络 结构已经不能满足当前发展的需求。主要表现再有网络不稳定，网络 抖动现象频发，采用的网络线路连接存在成本高，周期长，不易管理， 不宜实施等难题。因此建立一个设计规范、功能完备、性能优良、安 全可靠、有良好的扩展性与可用性并且具备可管理易维护的网络及系 统平台，以高效率，高速度，低成本的方式提高公司员工的工作效率 与执行效率是十分必要的。所以我们要采用高端的计算机，网络设备， 软件，以先进，成熟的网络通信技术进行组网及先进的系统集成技术 和管理模式。建立

　一个高效的办公网络体系是该公司迫在眉睫的任 务。

　将贵公司内部形成高效、通畅、安全的网络体系，实现公文管 理、资源共享、打印管理的电子化、网络化。对外连接到 internet , 是公司保持与分公司及外界先进事物和合作伙伴、 公司客户的密切联 系。网络中的各类服务器设备、客户机设备、网络设备以及各种操作 系统、应用软件将考虑技术上的先进性、国内外及各行业的通用性， 并且要有良好的市场形象与售后技术支持，便于维护、升级。选购的 同时，将考虑在满足功能与性能的基础上的最优性价比。

　为了实现基本的网络办公白动化，建设安全、健壮的办公局域网， 网络结构将达到高效且具有良好的可扩展性， 采用信息安全交换装置 实现必要的信息传输。建成一个快速高效、通畅、安全的办公网络。

　新建网络系统可满足公司各项管理需要，同时考虑今后功能和信息增 长的要求，选择的计算机以及网络设备具有先进性， 适应越来越多的 信息种类（声音、动画等多媒体数据）以及信息量的处理及传输要求。

　主机系统采用主流的网络操作系统，达到快速响应、安全稳定的运行， 利用严格的权限设置，完善对公文的管理。根据不同部门的需求实现 不同的安全级别。通过网络系统实现全公司统一的打印管理服务。

　为 防黑客入侵、病毒的影响，保证公司数据的安全，采用 X PIX 防火墙技 术。

　这样的工程项目需要加入新型设备进行改造， 为公司提供安全 的便捷的网络服务，还要为外接分支机构的网络进行改造， 以便与分 公司进行安全可靠的信息传输。这样才能在网络、信息通常的基础上 为贵公司带来更大的利润。由此看来急需采用新型的网络设备， 建立 安全、高效的互联网络，是隆康集团和新建分支机构的当前首要任务。

　1.2.需求分析 根据贵公司的需求，我们规划了一个大致拓扑图: 中国国内企业都希望能具有克争力并提周效率， 这就必须对市场需 求作出及时有力的响应，从而引发了依赖互联网来获取、共享信息的 趋势，这样才能进一步提高效率进而推动未来增长。

　基于隆康集团 网络改造和扩建的实际情况，我们驿阳集团的网络项目的网络架构可 以划分总部和分部，其中，总部地点分为数据中心、核心交换区、大 型服务器和接入等。

　在外网上对于总公司与分公司和出差员工的实际情况，我们将 用 p ppp 的方式来实现总部与分部之间的文件的传输，用 easy- -n vpn 的方 式来实现总部与出差员工之间的联系。

　1. 数据中心作为公司生产运营系统（如人事考勤系统，财务报价 系统等等）的核心数据的存放地，其性能、稳定性、安全性、可靠性 的要求最高，因此我们在设计的时候，会着重考虑这些需要，并采用 X PIX 防火墙技术提高网络性能的安全隹、可靠性。

　2. 核心交换区的功能是高速可靠地交换数据，该部分的设计需考 虑性能和可用性的平衡，因此我们将采用多核的数据处理器提高数据 的传输效率。

　3. 分支机构接入区域，我们将安全性放在第一位，同时，生产运 营系统的运行离不开网络和数据中心的连接， 因此冗余性的考虑也是 必须的。因此我们公司将采用 T HSRP ST 我术解决冗余问题。

　4. 各分部地点办公网络做为内部互联单位， 可信度较高，内部网 络的可用性是我们首要考虑因素，因此我们将划分 A VLA 阻提高各部门 的网络互联性及可用

　性。

　5. 由于当前业界的网络管理范畴较广，包括设备管理、资源管理、 故障管理、性能管理、安全管理等等。我们公司在面对网络规模相对 较大的时候，将采取合适的网管系统以帮助客户方便管理网络内的设 备及运行情况，提高网络的运行效率 网络数据存储备份管理 要确保企业数据得到有效的保护，并在故障出现时迅速准确的予以 恢复，以最大限度减小企业可能的损失，实现业务的持续、正常运转。

　企业对网络存储备份管理的要求包括：确保服务器系统及关键业务数 据--数据库数据的可管理性、高安全性、完整性及易恢复性；存储备 份系统应能很好地支持异构平台系统的应用环境； 存储备份要求在不 中断数据库应用的前提下实施，易于管理；在满足性能的条件下进行 无人值守在线存储备份，一旦发生灾难时，应能以最快速度恢复到距 灾难点尽可能近的数据。

　第 2 2 章网络总体建设目标 1 2.1 网络建设目标 网络系统的建设目标为：营造一个高效、稳定的内部网络环境， 同时外联T INTERNET 以先进、成熟的网络应用技术，设计和规划网络 系统；采用先进的计算机、网络设备和软件，以及先进的系统集成技 术，构建一个高效的办公网络。实现数据共享、资源共享，提供稳定 的信息交换和网络系统服务平台。主要包括

　以下方面：

　1. 能够实现远程用户从不安全的互联网安全可靠的接入， 访问网内资 源并使用相应的应用系统； 2 2 能够根据用户的需要有选择地对需要的业务数据进行加密 (DESRSA,MD5，不需要加密的数据和 t Internet 接入业务可以不受 到影响； 3. 搭建公司核心网络及服务器，以实现生产、销售等系统的高效运行。

　各公司用户能够进行资源共享，并能够进行上网查资料，电子邮件， 对外发布网站等等。

　4. 确保企业内网的安全性（ iptables , asa, isa , pix , acl , dos.ddos、 ARP 信息传输安全：通过建立 p ppp 认证、采用有别于光纤及 D DD 陪线所 采用之传统明文传输的密文传输方式， 保证信息传输的完整性、保密 性及不可抵赖性，把安全真正掌握在用户手里。而且我公司网关性能 稳定可靠，其高达 0 40000 小时的平均无故障工作时间可为系统长期稳 定运行提供强有力的保证. 4.

　 要求计算机网络系统满足系统集成的网络平台需求， 并考虑对 设备投资保护，保证未来 15 ---0 20 年内的系统扩展。

　5. 要对员工用户安全、帐户管理、用户管理、网络访问控制等， 提供日志功能。

　6. 按照“高效能、低成本”的要求，采用核心交换层、接入层的 网络结构，

　易于维护。

　7 7 通过多种网络技术组建一个高效、稳定、可靠、易管理、安全 的企业网络。

　8.WEE®务器：公司在 C CNNIC 处申请了域名，搭建公司门户站点。

　同时公司有白己的内网域名，发布公司动态等信息。

　9 9 良好的售后服务支持。

　2 2.2 网络及系统建设内容及要求 建设内容：

　1. 使出差人员能够安全的访问公司内部网络 2. 分公司能够定期与总公司进行视频会议 3 3 必须考虑整个方案的安全性和稳定性、可管理性和维护性，以及 能够满足未来网络发展的需要。

　4 4.总公司已经建立了邮件系统、b web 系统、p erp 系统等应用系统，以 便于与员工，分公司之间的联系。

　5 5 保证网络设备每个端口的带宽足够用， 能迅速转发，实现资源的 共享，对此连接客户机的二层交换机采用百兆交换机， 每个端口都能 提供百兆传输速率。

　6 6 公司内部一台三层交换掌控着所有的部门，如果一旦 n down 则 不能给全公司创造服务影响公司的正常运行 7 7 必须有效控制病毒传播和网络攻击，对此方案采用一款针对目前广 泛存在的dos.ddos、R AR 哽件防火墙，并为客户端安装 p arp 软件防火 墙、杀毒软件。

　a a ）

　可提供管理模块冗余，保障网络的高可用性。

　b b ）

　必须方便以后拓展，对此主干网采用千兆以太网，保证以后拓 展也有足够带宽，星型的网络结构也方便以后拓展。

　2 2 c c ）

　便于管理，对此方案所采用的智能设备使网络管理变得方便有 效。

　d d ）

　需要足够的数据存储空间和方便的数据管理，对此采用 S NAS 网 络附属存储技术对数据进行存储和管理 要求: 1. 考虑整个方案的安全性和稳定性，可管理型和维护性以及能 够满足未来网络发展的需求。

　2. 实现公司电信、网通的双出口的网络提供线路负责均衡，同时 为服务器开启负载均衡功能，提高服务器的处理性能。

　3. 要实现创建一个投资成本低，高带宽，可靠性强，安全性高的以 及灵活性好的可扩展的网络，实现没有地区之间的差异，要实现员 工之间的互联，以及内部人员在 t internet 上的安全接入。

　3 2.3 网络设计原则 作为一家优秀的系统集成商，向用户提供的不仅仅是设备，而是 整套的技术与服务。我们将严格遵循以下设计原则：

　可靠性和可用性 需用高可靠的产品和技术，充分考虑系统在程序运行是的应变能力和 容错能力，确保整个系统的安全和可靠。我公司网关性能稳定可靠， 其高达 0 40000 小时的平均无故障工作时间可为系统长期稳定运行提 供强有力的保证

　设备的兼容性 选用符合国际发展潮流的国际标准的软件技术，以便系统有可靠性 强，可扩展和可升级等特点，保证今后可迅速采用计算机网络发展出 现的新技术，同时为显存的网络设备，小型机，工作站，服务器。和 微机等设备提供入网和互联手段。

　实用性和经济性 从实用性和经济性出发，着眼于近期目标和长期的发展，选用先进的 设备，进行最佳性能组合，利用有限的投资机构造一个性能最佳的网 络系统。

　扩张性和升级能力 网络设计据用良好的的扩展性和升级能力， 选用具有良好的升级能力 和扩展性的设备。在以后对该网络进行升级和扩展时， 必须保护现有 投资。应支持多种网络协议，多种高层协议和多媒体应用。使系统网 络的扩展非常容易，同时又不会带来安全隐患。如需增加或者废除客 户的接入，只需在中心点设备上相应的增加或者废除用户即可， 而无 其他操作。

　网络的灵活性 系统的灵活性主要表现在软件配置和负载均衡等方面， 配合交换及成 品与路由器产品的支持的最先进的虚拟网络技术， 整个网络系统可以 通过软件快速简便的将用户或用户组从一个网络转移到另一个网络， 可以跨域办公室，办公楼，而无需任何硬件的改变，以适应机构的变 化。同时也可以通过平衡的网络流量，以提高网络的性能。

　网络互联 能够实现远程用户从不安全的互联网安全可靠的接入分公司内网， 访

　问网内资源和使用相应的应用系统； 独立性 能够根据用户的需求有选择地对需要的业务数据进行加密， 不需要加 密的数据和 t Internet 接入业务可以不受到影响; 网络安全性 信息传输安全：通过建立 p ppp 加密认证、采用有别于光纤及 DDN 专线所采用之传统明文传输的密文传输方式，保证信息传输的完整 性、保密性及不可抵赖性，把安全真正掌握在用户手里。

　处理能力扩展 对于处理能力的升级，通常都是更换交换处理模块米达到目的 。

　对于机架式总线交换的交换机而言， 可以更换交换引擎。对于盒式交 换机而言，则只能更换更高性能的交换机。另外还有一种方法，就是 通过增加交换机的数量，在仔细的规划和复杂的配置后，将数据流量 分担到两台设备上。

　带宽扩展 为了解决带宽不足问题，传统的技术是使用 LACP 务多条链路绑定在一起来 增加带宽，或者更换上联端口速率更快的交换机。

　5 5 ）网络通信效率 此次网络建设所选用的设备具有很高的速率， 不仅能满足当前用户数 量下的需求，也为将来的扩展留有充分空间。

　1 1、高性能的网络系统：速度快、无阻塞、延迟低，具有先进灵活 的 S QoS 寺性，

　能适应多种业务需求。

　2 2、标准化、层次化、模块化和易扩展的网络系统：包括网络的结构、 技术及产品。信息接入点分布合理、灵活、充足并有扩展空间。

　3 3、 稳定、可靠的网络系统：网络中单点故障不会使局部网络失去与 整个网络的连接，多点故障不会造成整个网络被分成几个互不相连的 部分。网络主干的传输介质采用容错冗余设计。

　4 4、 注重经济实用性的网络系统：根据目前的需求和可预见的需求增 长情况设计网络，不追求空洞的技术先进，避免追求高档和最新技术 花费巨大代价。

　5 5、 易管理和易维护的网络系统：全网可进行统一或分布管理，网络 维护简单有效。

　6 6、 高安全性的网络系统：系统的各环节均必须具有良好的抗电磁干 扰特性，整个系统与外界的防火墙功能包括防火墙技术、、硬件加密、 备份中心、 Callback等技术。

　7 7、 综合布线系统设计与实施一次到位；网络系统一次规划、分步实 施，网络设备先按开通率 30%配置，并具有方便扩展功能。

　4 4 ）系统扩展性（兼并子公司，白建分部，第二分部暂时与总部失去 联系）和变更的灵活性 良好的扩展性就意味着网络具备良好的持续改进能力。

　业务的不断发 展，接入用户数的增多，数据流量的加大，这些都对网络提出扩展升 级的需求。

　接入能力扩展

　为了解决端口不足问题，对盒式交换机无非通过两种办法来解决：

　1 1 换更高端口密度的交换机。

　2 2 增加交换机数量。对核心机架式交换机则通过插接口卡增加端 口数目。

　网络通信效率 此次网络建设所选用的设备具有很高的加密速率， 不仅能满足当 前用户数量下的需求，也为将来的扩展留有充分空间。

　1 1、 高性能的网络系统：速度快、无阻塞、延迟低，具有先进灵 活的 QoS特性，能适应多种业务需求。

　2 2、 标准化、层次化、模块化和易扩展的网络系统：包括网络的 结构、技术及产品。信息接入点分布合理、灵活、充足并有扩展空间。

　3 3、 稳定、可靠的网络系统：网络中单点故障不会使局部网络失 去与整个网络的连接，多点故障不会造成整个网络被分成几个互不相 连的部分。网络主干的传输介质采用容错冗余设计。

　4 4、 注重经济实用性的网络系统：根据目前的需求和可预见的需 求增长情况设计网络，不追求空洞的技术先进，避免追求高档和最新 技术花费巨大代价。

　5 5、 易管理和易维护的网络系统：全网可进行统一或分布管理， 网络维护简单有效。

　高安全性的网络系统：系统的各环节均必须具有良好的抗电磁 干扰特性，整个系统与外界的防火墙功能包括防火墙技术、 p ppp 认证

　综合布线系统设计与实施一次到位； 网络系统一次规划、分步实 施，网络设备先按开通率 30%配置，并具有方便扩展功能。

　可评价性 如何预先评价一个安全设计并验证其网络的安全性， 这需要通过 国家有关网络信息安全测评认证机构的评估来实现。

　网络安全是整体的、动态的。网络安全的整体性是指一个安全系 统的建立，即包括采用相应的安全设备，又包括相应的管理手段。安 全设备不是指单一的某种安全设备， 而是指几种安全设备的综合。网 络安全的动态性是指网络安全是随着环境、 时间的变化而变化的，在 一定环境下是安全的系统，环境发生变化了（如更换了某个机器）

　， 原来安全的系统就变的不安全了 ； 在一段时间里安全的系统，时间发 生变化了 （如今天是安全的系统，可能因为黑客发现了某种系统的漏 洞，明天就会变的不安全了），原来的系统就会变的不安全。所以， 建立网络安全系统不是一劳永逸的事情。

　针对安全体系的特性，我们可以采用"统一规划、分步实施"的原 则。具体而言，我们可以先对网络做一个比较全面的安全体系规划， 然后，根据我们网络的实际应用状况，先建立一个基础的安全防护体 系，保证基本的、应有的安全性。随着今后应用的种类和复杂程度的 增加，再在原来基础防护体系之上，建立增强的安全防护体系。

　对于企业行业网络安全体系的建立，我们建议采取以上的原则， 先对整个网络进行整体的安全规划， 然后，根据实际状况建立一个从 防护--检测--响应的基础的安全防护体系，提高整个网络基础的安全 性，保证应用系统的安全性。