北京华英达网络系统设计方案

北京求真学校网络工程部

目 录

第一章 用户需求分析

1.1 建设目标
网络信息化建设作为一个衡量现代化科研院所发展水平的重要依据，其信息化建设将关系到科研水平的先进程度。网络信息系统的建设是重要的基础设施，是提高管理和科研水平不可缺少的支撑环境。我们根据用户的需求情况，确定其信息化建设主要有以下目标：

本着建设一个有较高信息化程度的目的，建立一个综合性的、应用型的网系统，采用结构化布线作为传输基础，构架一个高性能、高灵活性和先进性的网络系统平台。

1.2 贵单位网络系统需求特点
根据贵单位网络系统需求的分析，我们总结出以下特点：

需求分析
企业的主要部门由以下几个部门组成。
办公室

财务办公室

网络室

生产部

生产计划组

成品库组

综合组

技术部

质量部

市场部

经介绍分司在同一写字楼且同一楼层，适合采用流行的成熟局域网技术（100 M和千兆以太网技术）建设一个网络。全公司由大约30台左右机器需要联网。

功能需求分析
网络连通性
为各部门业务系统的服务器和办公电脑提供网络接入，为当前的业务应用及今后的业务系统提供一个快速可靠的网络环境。将网络环境将成熟的才用以太网技术，并支持IP、IPX、netbios网络协议。

同时网络还要提供到集团网络和Internet的接入。

基本办公应用
文件及打印共享功能

通过这个功能部门间可以快速的交换报表、图纸、声音图像等各类电子文件信息。

通过这个功能还可以充分节省打印机资源，便于打印机的管理。

电子邮件功能

内部电子邮件

企业内部的公文，通知，和各种指令的传送。实现无纸化办公，提高办公效率，节约办公成本。

因特网电子邮件

实现与因特网电子邮件系统的连接，通过企业自己的电子邮箱与世界范围内的客户，供应商及合作伙伴方便的信息沟通。

因特网浏览

对主要领导及科研，销售等人员提供因特网浏览功能，以便更迅速的掌握行业动态，供需信息及跟踪新技术的发展。

安全需求
计算机病毒防护

从近期企业安全现状看，网络病毒泛滥以成为企业最重要的安全威胁。轻则导致系统停机业务终断，严重更可导致重要数据的破坏和泄漏，造成重大经济和信誉损失。

重要数据保护

企业内部重要数据（如：财务、工资、技术机密、商业机密）等需采取严格的保护措施，以放置来自企业内部及外部恶意用户的窃取、破坏及非法篡改。因此网络系统设计必须提供严格的数据保护机制。

因特网访问控制

避免员工将正常上班时间用于上网、聊天等活动，甚至从因特网感染病毒、木马程序等恶意代码。网络必须能够严格限制可以访问因特网的员工数量。

特点1：整体规划设计

贵单位鉴于其自身的特点和实际情况，网络系统建设的基本原则为进行整体规划设计，建设一个高可用性、高可靠性、先进、开放、可扩展的网络系统。网络系统建设的主要内容为确定合适的技术，在用户原有网络的基础之上规划整个网络系统，构造网络系统基本骨架，满足目前的应用需求和保证在未来的几年内本网络系统的网络技术的先进性和处于国内领先水平。

特点2：要求较高的性能/价格比

本网络系统既要拥有世界先进的技术，又要拥有少投入这一较高的经济性设计需求，要求贵单位网络系统要有高的性能/价格比。

1.3系统设计原则
在我们的设计里采用如下原则：

实用性与先进性

　　在网络系统的设计中，首先要考虑的是实用性和易于操作性、易于管理和维护，易于用户掌握和学习使用。采用技术成熟的网络技术和设备及通信技术，同时要考虑对现有设备和资源的充分利用，保护用户原有的投资。

　　当前信息技术发展迅速，新的设备不断涌现并趋于成熟，在满足实用性的基础上，起点要高，应尽量选用先进的技术及通信设施，将网络系统的技术水平定位在一个较高的层次上，以适应未来发展的需要。

开放性与标准化

　　在总体设计中，应采用开放式的体系结构，使系统易于扩充，使相对独立的分系统易于进行组合调整。有适应外界环境变化的能力, 即在外界环境改变时, 系统可以不作修改或仅作小量修改就能在新环境下运行。

　　系统选用的协议标准和设备要符合国际标准或工业标准，将不同应用环境和不同的系统优势有机地结合起来。也就是说，要使系统的硬件环境、通讯环境、软件环境、操作平台之间的相互间依赖减至最小，发挥各自优势。同时，要保证系统的互联，为信息的互通和应用的互操作创造有利的条件。

可靠性与安全性

系统安全可靠运行是整个系统建设的基础。鉴于网络系统作为基础设施的重要性，要求系统要有较高的可靠性，各个系统应具有监督和管理能力，要适当考虑关键设备和线路的冗余，能够进行在线修复、更换和扩充。要确保系统的正确性、数据传输的正确性，以及为防止异常情况所必须的的保护性设施。楼内布线系统要保证无信号泄漏和不受干扰，保证数据传输的安全可靠。

经济性与可扩充性

网络系统的建设，要从经济性着眼，在完成系统目标的基础上，力争用最少的钱办最多的事。

建成的系统必须具有良好的可扩充性和升级能力，并且其扩充和升级必须要以最小的浪费为前提。

第二章 综合布线系统设计
2.1结构化布线系统综述
建筑物综合布线系统（PDS，Premises Distribution System）又称开放式布线系统（Open Cabling Systems）是一种在建筑物和建筑群中综合数据传输的网络系统。它是把建筑物内部的语音交换、智能数据处理设备及其它广义的数据通信设施相互连接起来，并采用必要的设备同建筑物外部数据网络或电话局线路相连接。其系统包括所有建筑物与建筑群内部用以交连以上的电缆和相关的布线器件。

PDS是一套综合的布线系统，它是针对计算机与通信的配线系统而设计的，这也就表明它可满足各种不同的计算机与通信的要求。

2.2 结构化布线系统设计
根据贵单位对布线的需求，我们建议贵单位采用综合布线系统。贵单位的综合布线系统包括楼内干线子系统（垂直干线和水平干线子系统）、工作区子系统、设备间子系统、管理子系统、建筑群子系统几个部分。具体设计如下：

2.2.1 设计依据
2.2.1.1 标准:
· IEEE 802.3 100Base-T

· EIA/TIA 568 EIA/TIA 569 EIA/TIA-TSB.36/40 工业标准及国际商贸建筑布线标准

· ISO/IEC JTC1/SC25/WG3

· ANSI FDDI/TPDDI 100Mbps

· ANSI/EIA/TIA-568A（商业建筑电信布线系统标准）

· ANSI /EIA/TIA-569（电信走道和空间的商用建筑标准）

· ANSI /EIA/TIA-606（商用建筑电信设施的管理标准）

· TSB67（电信系统公告67号—UTP布线现场测试标准）

2.2.1.2 安装与设计规范
· 中国建筑电气设计规范

· 工业企业通信设计规范

· 建设智能化系统工程设计管理暂行规定

· 建筑与建筑群综合布线系统工程施工及验收规范

· THE SIEMON COMPANG 布线系统设计总则

· 市内电话线路工程施工及验收技术规范

2.2.1.3 基础资料
贵单位提供的招标文件、主楼平面图和信息点分布情况，以及与用户交互的一些数据。

2.2.2 设计目标的确定及布线系统的组成和器件选择原则
2.2.2.1 设计目标的确定
结构化综合布线系统是当今最先进最流行的建筑物布线系统，已成为国际上办公大楼的弱电布线标准。在国内它已成为建筑物电气规范。它能够满足任何特定建筑物及建筑网络的布线要求，完全开放化，既支持集中式网络系统，又支持集中式网络系统；支持不同厂家，不同类别的网络产品；满足目前和未来发展的需要。

简言之，采用结构化综合布线系统，将使整个网络系统具有实用性、灵活性、可拓性以及真正的开放性。一次布线，在十五到二十年内，其系统性能不会下降，功能不会落后，不会因为网络配置的变化、办公地点的变化等原因而如旧式布线方法那样重复土木工程，破坏建筑物原有结构，增加不必要的投资，从而能够真正达到一次投资、长年受益。正是基于上述特点，我们向您推荐选用结构化布线系统作为高速信息通路及传输介质平台，结构化综合布线系统具有如下特点：

实用性－能支持各种数据流通: 多媒体技术以及信息管理系统等，并且能够适应现代和未来技术的发展。保证15-20年不落后。

灵活性－即任意信息点能够连接不同类型的设备，如微机、终端、打印机、服务器等。

可靠性－即保证整个系统长期可靠运行，采用星型拓朴结构及无屏蔽双绞线保证了系统的高可靠性。

开放性－即能支持任何厂家的任意网络产品，支持目前应用的网络技术及将来新的高速网络技术。

模块化－结构化布线系统中除去固定建筑物内的水平线缆外其所有的接插件都应是积木式的标准件，以方便使用、管理和扩充。

扩展化－实施后的结构化布线系统是可扩充的，以便将来更大的需求时，很容易将设备增加到目前的应用系统中。

经济性－一次性投资，维护费用极低，使整体投资达到最少。

2.2.2.2 布线系统的组成和器件选择原则
根据结构化布线系统的设计思想，本设计方案包括：

l 设备间子系统－连接主机及通信设备，总配线架等。

l 管理子系统－分布在一些楼层，管理各层的水平布线，连接相应的网络设备。

l 水平子系统－将工作区引至管理子系统。

l 工作区子系统－为用户提供一个统一的接口标准，以可满足高速数据传输的标准，用户界面接口一律采用RJ-45标准插座。

l 垂直子系统－将分管理间与主管理间连接起来，分布在大楼的垂直管线中。

综合布线系统的示意图如下所示：

器件选择原则

信息插座：

信息插座全部采用超5类信息插座，支持高速数据传输和语音传输。

水平线缆:

4对超五类非屏蔽双绞线支持高速数据传输及话音传输。

垂直主干线缆:

超五类双绞线支持高速数据传输。

配线架:

超五类标准RJ-45端口跳线架。

19英寸标准光纤配线架。

建筑群线缆:

4芯单模光纤。

上述布线系统的主要器件以模块化方式组合成一个端到端的智能布线系统，其中数据传输将支持100Base-T、ATM、千兆等宽带传输技术(其中光纤主干传输可以保证千兆传输)。全部双绞线和信息插座模块采用超五类产品，这样对于用户来说全部的信息口都可以用来应用与信息、语音、多媒体等，便于用户灵活调整等。

根据用户要求的实际情况，我们根据选择具有最高性能价格比的产品的原则，推荐用户选用AVAYA的产品。

根据系统的性能价格比我们推荐使用美国AVAYA的布线产品。

AVAYA布线产品，作为业界的主流产品，具有高质量品质的特性。并且AVAYA的布线产品外观美观，性能价格比比较高，适合贵单位。

2.2.3 综合布线系统设计概要
根据贵单位综合布线系统的实际应用情况，采用星型结构，以分厂网络中心为中心采用星型结构分别向各个建筑物的分管理中心，然后在建筑物的分管理中心以星型结构，采用超五类非屏蔽双绞线作为传输介质，在本建筑物中进行综合布线。根据贵单位提出的需求情况，确定了布线建筑物中的房间内铺设信息点，其中室内布线铺设信息点约为100个， 我们把所有的信息点均采用超五类的材料，即在工作区、水平、垂直、主管理间之间全部按照超五类信息点的标准来进行设计。

综合布线系统中的传输介质除光纤外采用全部超五类介质，插座统一采用超五类信息插座。在整个系统中设置了一个系统总管理间，在建筑物中设置了楼层分管理间。

建筑物内部的线缆的走向按照建筑物的实际情况，线缆从楼内的管理间引出，经楼内的线槽和线管铺设到工作区（办公室等）的信息插座位置。

2.2.4 综合布线系统详细设计
根据我们现在对综合布线系统的需求了解情况，按照前面所提到的设计原则和设计依据，对其综合布线系统作了以下的设计。

综合布线系统的各个子系统的详细说明如下：

2.2.4.1 工作区子系统详细设计
对所有的信息点我们均选用超5类信息接口。各房间信息插座与面板一起，固定在离地面三十公分的位置，（一些特殊信息点可以根据用户的具体要求安装在用户指定的位置）。

因为在建筑物中，没有预埋管线和铺设电缆桥架，所以我们采用信息插座明装的方法，指在这些建筑物的工作区中，按照用户的要求，采用超五类信息插座插座，安装在距离地面30公分的位置处（即把信息插座盒安装在墙面上）。

工作区子系统是指建筑物内所有的设有信息点办公室布线系统部分，它包括信息模块、面板等。这几个主要部分构成了工作区子系统。整个信息插座安装在墙面上，信息插座距地面三十公分。为了避免强电的干扰，信息插座的位置要与电源保持一定的距离，既信息插座与电源插座的距离至少保持40公分。水平双绞线缆按照T568B的标准端接在信息插座内的超五类模块上面，另一端按照T568B的标准端接在配线间的超五类配线架上。如下图所示电源与信息插座的距离表示：

根据不同的建筑物的实际情况，工作区子系统的布置情况不太相同，一般办公楼的

工作区子系统见下图所示：

如果房间内铺设了防静电地板或其他架空的地板（如一些计算机机房），我们可以利用其地板下的空间进行信息点的配置，如下图所示：

线槽容量的计算也应根据水平线的外径来确定

即：线槽的横截面积 = 水平线截面积之和 X 3

地面线槽也需整体连接，然后接地。

也可以把信息插座安装在机房内防静电地板的下面在每个工作台下面的地板上留出引线孔（为了连接设备跳线使用）。

工作区内共计30个信息点，根据贵单位所提供的主楼的平面图以及数据点的分布情况，有的房间（工作区）内根据信息点的分布数量可以配置双口信息插座，有的房间（工作区）内根据信息点的分布数量只能配置单口信息插座。而东办公楼的信息点因为没有具体的房间分布情况所以全部按照单口信息插座进行配置。

工作区所需信息插座情况如下：

建筑物
信息点数量
所需双口信息插座数量
配置单口信息插座数量

一楼 30个
30套
30套

工作区的信息插座选用AVAYA的双口和单口信息插座。每个信息插座有4部分组成：信息模块、面板、模块支架和墙盒。

在本工程中双口信息插座有以下四部分组成：

◆ 双孔MDVO英式面板（86mmX86mm）（订货号：A0410455）：白色面板、耐火塑料、UL94V-0。

◆ MDVO UTP模块支架英式（22.5mmX45mm）（订货号：A0410451）：白色、耐火塑料、UL94V-0、1端口、用来做模块托板（支架）、带有遮蔽盖以保护模块遮挡灰尘。

◆ EZ-MDVO UTP PS5模块（20mmX20mmX32mm）（订货号：AX100647）：手压式模块，白色、耐火塑料、UL94V-0、1端口、超五类标准、8针连接器，遵从FCC 68分部、子部。耐用性：1000次咬合。触点材料：镀有50微英寸金镍的磷光铜。

◆ 国标86墙盒：白色、耐火塑料。

在本工程中单口信息插座有以下四部分组成：

◆ 单孔MDVO英式面板（86mmX86mm）（订货号：A0410460）：白色面板、耐火塑料、UL94V-0。

◆ MDVO UTP模块支架英式（22.5mmX45mm）（订货号：A0410451）：白色、耐火塑料、UL94V-0、1端口、用来做模块托板（支架）、带有遮蔽盖以保护模块遮挡灰尘。

◆ EZ-MDVO UTP PS5模块（20mmX20mmX32mm）（订货号：AX100647）：手压式模块，白色、耐火塑料、UL94V-0、1端口、超五类标准、8针连接器，遵从FCC 68分部、子部。耐用性：1000次咬合。触点材料：镀有50微英寸金镍的磷光铜。

◆ 国标86墙盒：白色、耐火塑料。

具体的安装方式为：国标86墙盒按照用户指定的位置安装在墙面上，超五类模块（PS 5）固定在MDVO UTP模块支架上，然后把支架安装在面板上，最后固定在墙盒上。

每套双口信息插座有两个信息模块、一个双口面板、两个模块支架、一个国标86墙盒组成。

每套单口信息插座有一个信息模块、一个单口面板、一个模块支架、一个国标86墙盒组成。

AVAYA超五类信息插座的在100MHz下测量到的最小平均值如下所示：

2.2.4.2 管理子系统详细设计
管理子系统是整个综合布线系统的中心单元。我们根据贵单位综合布线系统的实际情况，在本方案中设置一个主管理间、若干个建筑物管理间。

在管理间中放置网络设备及配线架，通过配线架管理建筑物之间的连接设备和楼层用户信息点的正常运行，进行维护及灵活使用。配线架采用标准24口、48口超五类配线架（RJ-45接口）。

在管理子系统中，我们可以进行整个系统的跳线管理，我们可以灵活地分配给用户连接方式，以及语音、数据之间的灵活变动。管理间主要是用来管理网络核心设备，用来实现工作区引出的线缆与配线架之间的端接；网络设备与各个信息点之间的一一对应的连接。

管理间中主要放置主机设备、网络设备、通信设备、主配线架（MDF）和分支配线架（IDF）。从其它建筑物铺设过来的光纤通过融接尾纤连接到主配线架（MDF）光纤配线架上。主管理间内的主机等站点通过跳线连接到分支配线架（IDF）上，其中的网络设备通过光纤跳线连接到主配线架（MDF）上。

为方便日后的更改、增加、维护，必须要对整个布线系统的电缆、连接硬件、空间、走道等进行统一管理。布线系统的管理由EIA/TIA 606来规范。

在管理间中的配线柜及其安装在配线柜（机柜）中的配线架等设备为管理子系统的主要部分。在本方案设计中配线柜（机柜）为标准19英寸立式机柜。配线架为24口和48口标准超五类配线架。

AVAYA超五类配线架的在100MHz下测量到的最小平均值如下所示：

2.2.4.3 水平干线子系统详细设计
在贵单位综合布线系统中的水平子系统部分全部采用超五类非屏蔽双绞线。

水平子系统是指从管理间到工作区子系统的综合布线系统部分，它包括线缆、线管、线槽。水平子系统的线缆一端端接在工作区的信息插座上，另一端端接在管理间的配线架上。水平线缆通过线管、线槽进行保护。

整个水平干线子系统的线槽全部采用带槽盖的材料，做到全部密封，以防止鼠咬，潮湿等，做到对水平线缆的保护。同时采用带有槽盖的线槽（而不是主要采用线管）作为建筑物内布线的主要水平辅助材料，有利于日后线路的维护和检查。

水平线缆在线槽的保护下，从管理间引出，经房间内的支干线槽引致每一个办公室内，端接到信息插座上。

水平线缆的长度对整个系统的性能至关重要，按照综合布线的设计标准从管理间到信息插座的距离不超过90米。而水平线缆是整个系统用线的主要部分。一般情况下，在综合布线系统的设计中，双绞线的数量按照以下的公式来进行计算：

线缆的长度根据下面的公式来计算：

最短长度=最短水平距离+室内长度+层高

最长长度=最大水平距离+室内长度+层高

平均长度=（最短长度+最长长度）/2*弹性系数

每箱线缆最多可铺设信息点数量

每箱线缆可铺设信息点数量=每箱线缆长度/平均线缆长度

需要线缆数量（箱）

需要线缆数量（箱）=信息点数量/每箱线缆可铺设信息点数量

根据上面的计算公式和上面的管理间的分配情况，以及招标书中提供的一些建筑物的数据我们得出下面的结果：

建筑物名称
信息点数量
线缆平均长度
所需线缆数量

二楼
26个
50米
2箱

所选用的双绞线为AVAYA超五类双绞线，1000英尺/每箱。

2.2.5 信息点、配线架及色标管理方案：
对于综合布线系统来说，线缆的铺设、配线架的安装及端接、信息点的安装及端接只是系统中一个部分，要使综合布线系统完成以后，能够得到很好的利用和很方便、很灵活的管理与维护，要对整个系统中的信息点、配线架及色标制订一个标准、系统的管理方案，尤其是贵单位综合布线系统，是一个复杂的系统，如果对于其中任何一个部分标示不清，都会给以后的管理和维护造成很大的麻烦与不便。

为了使贵单位综合布线系统易于管理和方便今后的维护，太极计算机公司对综合布线系统的管理将严格按照ANSI/TIA/EIA-606标准来进行。

2.2.5.1 信息点及配线架编号及色标方案实施
整个管理系统包括5个重要的组成部分：

识别名称：每个指定于某一电信部件的识别名称是唯一的；

标 识：必须将标识安全地附着在部件上或标在部件本身上；

记 录：电信设备记录应包括有关所需特定安装的特定信息;

图 ：包括水平电缆终接的位置。所有的电信插座及所有的主干电缆每个终接和电缆的识别名称必须表现在图上；

工作次序：布线、终接及接合器维持并保存在文档上，以便于维修和变更。由工作次序影响的记录必须要更新。工作次序的布线部分包括电缆识别名称和类型、连接硬件识别名称和类型、接合器识别名称和类型。

电信设备的主要要素包括三个部分：

2.2.5.2 布线子系统管理
布线子系统：

电缆

连接硬件

连接硬件位置

接合器

通道和空间管理

接地和焊接管理

当电缆、连接硬件、连接硬件位置或任何布线系统的相关部分安装或变更后，其相关的标识、记录、报告、图必须要生成和更新。

电缆的管理

电缆识别名称：

作为到电缆记录的连接，每个电缆有一个唯一的识别名称。例如：多模光纤#9(Multimode Optical Fiber #9)用MOF009作为识别名称，五类UTP电缆#5(Cat.5 UTP Cable #00005)用 SC500005作为识别名称。

电缆标识：

水平和主干子系统电缆从两端标识，电缆或它的标识标上其识别名称。

电缆记录：

电缆记录包括电缆识别名称、电缆类型、连接硬件位置（两端），包括任何未终接的、损伤的或可用的对/导体。到连接硬件位置和接合器记录的连接（LINKAGES）都将保留。电缆记录中类型区包括生产商和牌号。

连接硬件的管理

连接硬件识别名称：

每个连接硬件都指定一个唯一的识别名称，并作为其记录的连接。例如，C4R6是一个用在主干终端跳接第四列第六行的连接硬件。

连接硬件标识：

一个唯一的识别名称标识在每个连接硬件上、其盖上或其标识上。

连接硬件记录：

连接硬件记录包括连接硬件识别名称、类型及损伤的位置。

连接硬件位置的管理

连接硬件位置识别名称：

每个连接硬件位置有一个唯一的识别名称，连接硬件位置识别名称中包含连接硬件的识别名称，以形成连接对应关系。例如，P001：001A可以指用于数据部分的快速跳接板1（P001），数据口1（001）；P001：001B可以指用于语音部分的快速挑接板1（P001），语音口1（001）。配线架的颜色分配为数据采用红色，语音采用蓝色。连接硬件位置的唯一识别名称标识在连接硬件、它的盖上或其标识上。

连接硬件位置记录：

连接硬件位置记录包括连接硬件位置的识别名称、类型、及电缆对/导体数目，到电缆和连接硬件的连接必须进行维护。

接合器的管理

接合器的识别名称和标识：

每个接合器上都标上唯一的识别名称。

接合器记录：

接合器的识别名称和类型要记录下来，另外到电缆记录的连接必须保持。

用户码应该指定在连接硬件位置记录的电信插座上。

2.2.5.3 通道和空间管理
通道识别名称：

每个通道应该有一个唯一的识别名称。

通道标识：

通道应该在其位于TC、ER、EF的终端处标识其唯一的识别名称。对于环形的通道应该每隔一段有一标识。

通道记录：

附加的标识用于通道的中间位置，或规则地标识在通道上。每个通道记录包含通道的识别名称、通道类型、通道的填充度、填充媒体等。保持到电缆记录、空间记录（两端）、其他通道记录和接地记录的连接。

通道报告：

有一个通道的总结报告，列出所有的通道、他们的类型、填充度和负载媒体。

空间识别名称：

包含跳接的空间标识有唯一的识别名称。

空间标识：

所有的包含跳接的空间都有标识，且标识标在空间入口处。

空间记录：

空间记录包含空间识别名称和空间类型。

空间报告：

有一个空间总结报告，包括类型及位置。

空间图：

维持空间图，该图画出了空间的位置和尺寸，以及其识别名称。

空间工作次序：

所有包括空间变更的工作次序都会存档，所有由工作次序影响的记录都会更新。

2.2.5.4 接地和焊接管理
接地和焊接必须要按照适用的法规进行管理。

2.2.5.5 标识和彩色编码
标识分为三类：粘贴、插入、其他

彩色电缆标识：同一电缆用彩色编码标识，两端使用同一颜色。

按照ANSI/TIA/EIA标准的彩色编码如下：

白： 第一级主干

红： 留待未来使用

灰： 第二级主干

黄： 杂类

蓝： 水平电缆终接

绿： 网络连接

紫： 通用设备

橙： 分界点

棕： 楼间主干

第三章 网络系统平台的建设
网络建设目标
北京华英达项目目标是为各部门信息建设搭建基础网络平台，并为各部门提供基本的信息共享，电子邮件，因特网信息查询等网络功能。促进企业的现代化管理水平的提高，促进企业综合竞争能力的提升。

网络建设原则
经济实用
网络的设计建设应当从企业实际需求出发，确保网络系统能够满足当前及未来一段时间的需求情况。在设计上结合自身需求及网络技术的发展现状选择最为经济实用产品，避免完全照搬别人的网络模式造成不必要的浪费。

良好的扩展能力
当前信息技术发展迅速，自动化办公、客户资源管理、生产管理、库存管理、销售管理、物流管理及企业资源管理（ERP）等技术日益成熟，因此在网络设计时除满足近期客户需求外还应尽可能提供良好的升级和扩容能力以避免投资的浪费。

易于维护管理
网络系统应易于维护管理，从而避免企业在网络维护上过多的投入，同时也保证的系统的稳定性和可维护性。

良好的安全保障
网络系统除提供了便捷的信息交换通道外，也给企业内的信息系统带来了极大的安全风险。因此网络设计方案必须能够提供完善的解决方案。

第四章 应用系统
因特网访问控制
局域网出口防火墙支持丰富的安全策略设计，网络管理员可以通过以下访问控制列表形式严格限制内部网络用户对internet的访问。

原地址

（用户）
目标地址
服务
允许/拒绝
时间

用户A
www.sina.com.cn
http
允许
工作时间

用户A
Smtp.sina.net
SMTP
允许
任何时间

……





任何用户
任何地址
任何服务
拒绝
任何时间

通过恰当的规则设计达到只有合法人员在允许的时间浏览因特网和收发邮件的目的。

4.4 安全系统
网络技术发展到今天,应用越来越多,这时当一个机构将其内部网络与外部网络(INTERNET,INTERNET 等)相连接之后,所关心的一个主要问题就是安全.当机构的内部数据和网络设施暴露给INTERNET,INTERNET上的黑客时,网络管理员越来越关心网络的安全.为了提供所需级别的保护,机构需要安全策略来防止非法用户访问内部网络上的资源和非法向外传递内部信息.即使一个机构的内部网没有连接到外部网上,它也需要建立内部的安全策略来管理用户对部分网络的访问并对敏感或秘密数据提供保护.

防火墙就是这样的系统(或一组系统),它能增强机构内部网络的安全性.防火墙系统决定了那些内部服务可以被外界访问;外界的那些人可以访问内部的那些可以访问的服务,以及那些外部服务可以被内部人员访问.

要使一个防火墙有效,所有来自和去往外部网的信息都必须经过防火墙的检查.防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透.

防火墙的类型有多种,而且技术也在不断地发展,但是防火墙的原理是相同的,都是检测并过滤所有通向外部网的信息和从外部网传来的信息,保护网络内部敏感数据不被偷窃和破坏,并记录来往信息发生的时间,地点和操作.

防火墙技术主要经历了包过滤技术,代理技术和状态监视技术三个阶段.

包过滤防火墙的安全方式是IP地址检验.在互连网上,所有信息都以包的形式传输,包括发送者的IP地址和接受者的IP地址.位于接收方网络出口的包过滤式防火墙会检查所有信息包中发送方的IP地址,接收方的IP地址,TCP端口,TCP链路状态,并按照网管人员预先设定的过滤原则过滤信息包,那些不符合规定的IP地址会被防火墙过滤掉,以保证网络系统的安全.这是一种基于网络层的安全技术,对于应用层上的黑客行为无能为力.

代理技术是比单一真的包过滤更为有效的安全保护手段.它通常运行在两个网络之间,对于用户来说象一个真的服务器,但是对于外部网络接受呼叫的服务器来说它又是一台客户机.当代理服务器接受到用户请求后会检查用户的请求是否合法.如果合法,代理服务器会象一台客户机一样取回所需要的信息再转发给客户.代理服务器将内部用户和外界隔离开来,从外面只能看到代理服务器,而看不到任何内部资源.但是代理服务器没有从根本上解决包过滤技术的缺陷,在应用技术方面也有不足之处,而且一旦网络内部站点数量大量增加的情况下就会导致速度缓慢.

状态监视技术是第三代网络安全技术.状态监视器的监测模块在不影响网络安全正常工作大前提下,采用抽取相关数据的方法对网络通信的各层进行监测,抽取部分数据作为以后安全决策的参考.监测模块支持多种协议和应用的程序,因此可以方便地实现应用和服务的扩充.另外,状态监视器还监测RPC和UDP端口信息,而包过滤和代理网关都不支持此类端口.这样,通过对各层进行监测,状态监视器从而实现保证网络安全的目的.

在现在一个安全机制比较健全的网络中,对以上三种网络技术都要充分考虑,既在路由器上设置过滤功能,配置安装了防火墙软件的堡垒主机,配置代理服务器.

在本网络系统的设计中我们配置了比较健全的安全机制:在与外部网络接口处配置一台防火墙,并且在。.

我们在本网络系统中选择使用的是国产NETSCREEN5GT防火墙系统。该防火墙的一些性能特点如下：

◆ 防火墙软硬件一体化设计：可以发挥硬件最高效能，提高系统自身安全性。而一般软件防火墙需要昂贵的高档工作站或高档微机支持，同时系统安全性受操作系统本身安全问题的影响。即：使用软件防火墙不仅会要求用户提供硬件平台支持，且防火墙的安全性还要依赖于操作系统。

◆ 支持各种标准服务及用户自定义服务：可以支持的协议标准是评价一个防火墙系统的重要指标之一。网络卫士防火墙基于TCP/IP及IPX协议，支持Internet网络的各种服务(如Web browser, E-mail, FTP, Telnet等)和基于TCP协议的所有应用程序，支持UDP一类非连接协议的各种应用程序。而且，还支持数据库访问这样的商务应用程序和象Real Audio, VDOLive和Internet Phone这样的多媒体应用程序。用户不必担心使用防火墙后，出现某些服务失效的副作用。另外，如果用户需要，网络卫士防火墙系统支持用户自定义的服务。

◆ 高扩展性：网络卫士防火墙系统标准型号的基本配置为3个10/100BASE-TX接口，根据用户需求，还可配置其它类型的网络接口，如10/100BASE-FX接口；在网络接口数量上，高端型号防火墙最多可扩展为14个接口，以发挥防火墙的最大功效。

◆ 网络卫士防火墙的抗攻击能力：

网络卫士防火墙采用专用安全操作系统，有完整的安全信任属性，安全级别高；

网络卫士防火墙可以提供无IP地址技术，使攻击者找不到攻击着力点，抗攻击特性很好；

网络卫士防火墙具有较强的防攻击能力，如防IP假冒攻击、防源路由攻击、防极小碎片攻击等；

防电子欺骗（防IP地址欺骗）：网络卫士防火墙的防电子欺骗功能是保证数据包的IP地址与网关通信接口相符，防止通过修改IP地址的方法进行非授权访问；

攻击检测功能：网络卫士防火墙系统可以检测到对网络或内部主机的所有TCP/UDP扫描以及多种拒绝服务攻击，如SynFlooding攻击等；

对外部扫描以及攻击的响应能力。网络卫士防火墙可以对来自外部网络的扫描和多种攻击进行实时响应。

抗DOS/DDOS攻击：拒绝服务攻击是一种常见的攻击方式，网络卫士防火墙系统不但可以识别此类型攻击，而且可以对抗DOS攻击（防止DOS攻击是不可能的），使受保护主机免于瘫痪。

◆网络卫士防火墙采用多种主要的网络安全机制：

多端口结构：网络卫士防火墙具有三个或三个以上独立的网络接口，将受控网络从物理上分开，提高了安全保护和性能，同时方便网络连接。

透明连接方式：网络卫士防火墙利用了透明防火墙技术，可以使防火墙在网络中不被探测及访问，提高防火墙本身安全性，更有效保护受控网络，降低了系统登录的安全风险和出错概率。

多级过滤技术：为保证系统的安全性和提高保护能力，增强控制的灵活性，网络卫士防火墙采用了多级过滤措施，提供基于硬件地址、网络地址、TCP端口和用户的鉴别与控制方式。

网络地址转换技术：网络卫士防火墙利用NAT技术能透明地对内部地址作转换，使外部网络无法了解内部网络结构，提高受控网络安全性，同时解决用户保留地址的互连接入问题。

安全服务器网络（SSN）：为适应越来越多的用户向Internet上提供服务时对服务器保护的需要，网络卫士防火墙采用特别的策略对用户的公开服务器实施保护，它利用独立网络接口连接公开服务器网络，公开服务器网络既是内部网的一部分，又与内部网物理隔离，这就是安全服务器网络（SSN）技术。它既实现了对公开服务器自身的安全保护，同时也避免了公开服务器对内部网的安全威胁。

用户鉴别：为了降低防火墙在Telnet、FTP等服务和远程管理上的安全风险，鉴别功能必不可少，网络卫士防火墙采用一次性口令认证系统来作为用户的鉴别手段。

入侵检测：入侵检测技术集成在网络卫士防火墙系统中，构成新一代防火墙系统。它通过实时截获网络数据流，发现网络违规模式和未授权的网络访问尝试，当触发敏感策略，能够根据系统安全设置作出反应，包括实时报警、事件日志等。

应用控制：网络卫士防火墙对常用高层应用（HTTP、FTP）做了更详细控制，如HTTP命令级（GET，POST，HEAD）及URL级，FTP命令级（GEI，PUT）及文件控制，从而对重点服务器进行应用层的安全保护，如控制用户访问的路径，控制用户的“读”、“写”权利等。

审计管理：网络卫士防火墙产品的日志审计功能十分健全，有对系统管理体系的分类日志（管理日志、通信事件日志），也有按日期对应的运行日志。日志内容包括事件时间及事件摘要等。

流量统计与控制：流量不足是网络管理者遇到的最大麻烦之一，由于一些用户使用FTP之类大量消耗网络资源的应用，占用了大部分流量，影响了其它用户正常使用网络。对于专线用户，这个问题特别严重。网络卫士防火墙系统使用流量规则可方便对受控对象的流量进行控制，以防止线路资源的非许可消耗，有效地管理通道资源，从而使网络得到充分利用。

用户定制服务：网络卫士防火墙使用模块化设计，可依据用户的特定安全需求定制。

防火墙的抗攻击能力： 作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的重要功能。网络卫士防火墙系统采取了多种安全措施，可以防范Internet环境中针对防火墙的攻击，如：抗IP 假冒攻击、抗口令字探询攻击、抗网络安全性分析等。

DOS/DDOS反应能力：防火墙通过对保护目标主机的通信状态跟踪，发现DOS攻击，并根据通信状态记录对攻击行为作出反应，保证服务器的正常运行。

◆ 防火墙基本功能

支持多种工作模式，可以透明接入与透明连接，不影响原有网络设计和配置；也可以路由模式接入，提供路由功能；还有独创的混合工作模式，使透明模式和路由模式同时工作，极大提高网络应用的灵活性

支持本地和远程管理方式,远程管理包括GUI管理和Telnet管理

远程管理提供多种安全措施

支持命令行和GUI方式的管理与配置

提供灵活的访问控制功能（如基于地址、协议、端口、用户、流量的访问控制），支持各种应用和各类协议

基于时间的访问控制

应用安全控制：HTTP、FTP的协议命令过滤，URL访问控制，文件访问控制

IP地址翻译（NAT）功能，特有的在透明工作模式下地址翻译功能

IP及TCP/UDP端口映射功能，即反向NAT功能，可以IP级映射，TCP/UDP端口级映射

IP与MAC地址绑定

防止控制区域间的IP欺骗

提供对公开服务器的安全保护

一次性口令认证机制

用户级权限控制

用户与IP列表绑定

入侵检测

抗DoS/DDOS攻击

提供流量统计与控制功能

防火墙日志、审计

较强的计费功能和计费开发接口

支持QoS

防火墙双机热备份与负载均衡

提供对防火墙配置规则的静态测试功能

完整的协议兼容性

然而，防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。这种安全策略应该包括在单位制定的安全说明中，告诉用户他们应有的责任，单位规定的网络访问、服务访问、本地和远程的用户认证、接入和拔出、磁盘和数据加密、病毒防护措施，以及操作员、使用人员的培训等。所有有可能受到网络攻击的地方都必须以同样的安全级别加以保护，仅仅设立放火墙系统，而没有安全策略，那么防火墙的作用就会大打折扣。

我们可以根贵单位的具体情况制定网络系统总体策略。这一总体安全策略定义了安全防御的方方面面。首先，我们必须知道在本网络系统中保护的是什么，再者我们所制定的安全策略必须建立在精心进行的安全分析、风险评估和需求分析基础之上。这一安全策略的制定是以贵单位的详细应用为基础进行的。

第五章 工程组织管理和售后服务
5.1工程组织
我工程部组织精干力量，成立贵单位网络系统项目组，负责贵单位网络系统工程的实施，根据整个工程的实际情况和任务成立若干个职能分明的小组，精心设计、精心组织、精心施工，确保优质高效地完成整个工程的圆满完成。

1、工程领导小组：由工程部专门负责大型项目的经理牵头、各个参与实施本工程技术部门的负责人共同组成工程领导小组。

2、工程技术小组：由工程部专门分管负责参与有关网络系统建设项目的工程技术人员组成，参与贵单位网络系统的投标和建设工作。具体负责整个网络系统的方案设计（包括总体方案设计和分期工程方案设计），设备选型、采购和验收以及布线施工、网络互连调试过程中的技术指导。方案的调整与更改必须由工程技术小组进行设计或认可。

3．工程实施小组: 有具有丰富施工经验的工程技术人员进行工程实施。具体承担整个网络系统建设的现场施工监督，网络互连设备、局网设备、布线系统的安装、调试、维护与培训等各项任务，工程实施小组根据施工过程中的具体情况向工程设计小组提出更改与调整意见。

4、商务协调小组: 具体负责系统工程进行中与商务活动有关的各项事务，例如：与有关外贸公司的交流，设备订货、催货和商检等事宜。

5.2工程质量管理
为确保整个网络系统的高质量完成，我们将遵守有关的国际标准(ISO9000)和国内质量标准，从系统的设计，到原料及设备的采购、运输、贮存、现场安装、调试以及网络的调试，全部过程进行严格的质量控制。

5.3文档管理
在网络实施过程中，由我们建立严密的文件档案，其中收集有用户需求报告、网络系统总体方案、工程方案、各种工程纪要、协议以及有关合同副本、分阶段验收报告，系统整体验收报告、调试报告、设备清单以及摆放位置明细表，各种网络互连设备的出厂证书，技术手册等等文档资料。待整个网络系统通过验收后，将全部文档交由用户保管。

文档管理是工程质量管理的一个重要辅助手段，也有助于整个网络系统建成后的顺利移交。

5.4 产品的质量保证

5.4.1网络系统硬件的质量保证
对网络系统中适应的硬件，我们将严格按照合同中确定的型号和厂牌予以提供，每套硬件设备附有元生产厂商的质量保证书和全套随机资料。

5.4.1布线系统的品质认证
所有布线，端口必须经过传输测试认证，并按通用惯例质保15年，我工程部推荐的布线产品，均有以下品质认证，即设备验收合格后十五年内， 因设备质量问题发生故障，免费更换 。因用户使用或管理不当造成设备损坏， 有偿提供设备配件 。

5.5 系统集成及售后服务
工程部将负责贵单位网络系统的布线和网络系统软硬件平台的系统集成与应用集成。集成的内容主要包括：

l 网络系统方案设计；

l 布线系统设计；

l 网络设备采购验收及安装调试；

l 布线系统施工及测试；

l 主机系统，软硬件采购、验收及安装、调试；

l 软件平台(网络管理软件平台、网络管理应用软件等)安装与调试

l Internet连接；

l Internet应用调试(域名服务、电子邮件、3W服务、FTP等)；

l 专项应用软件集成。

公司提供如下的技术支持与服务：

l 现场技术指导：

包集成商在现场的网络及主机安装过程中向用户进行现场技术咨询、介绍和指导，系统安装调试结束后的现场技术指导和培训(保修期内免费，保修期外酌情收费)。

l 通过电话，传真，信件，E－mail等方式解答用户在实际使用过程中遇到的技术难题。

l 系统保修和维护。

l 在保修期内定期访问用户，了解系统使用情况(至少3个月一次)。