2021-2022收藏的精品资料毕业论文企业大型网络规划与设计.docx

毕 业 论 文论文题目: *企业大型网络规划与设计*企业大型网络规划与设计摘要：网络技术发展到现在已经相当成熟，人们因为互联网而改变了他们的生活，企业通过局域网的建设充分发挥了信息系统在生产中的作用。本论文叙述了通过对关键技术的应用，结合相关网络知识对一家大型*企业的网络进行了整体规划设计。结合实际需求，通过对网络架构组建方案的设计、基于安全的网络配置方案设计、服务器架设方案设计、企业网络高级服务设计等方面的研究，详尽的探讨了对该网络进行规划设计时遇到的关键性问题，以及网络相关的服务，给出了网络规划设计解决方案。关键词：*企业，网络，信息安全，无线局域网Cigarette enterprise network planning and designAbstract：The network technology has been quite mature up till now. People's lives have been changed because of the Internet, Enterprises make full use of the system of information in the production through the construction of local area network (LAN) This paper is about making an overall planning and design in a network of a large tobacoo manufacturing enterprise by applying some key technologies and related network knowledge. Combined with the actual demand,through studying the design of the network infrastructure, the design of security-based network configuration solution, the design of the infrastructure of sever farm, the design of advance services, this paper discusses in detail some key problems we met in desiging the network, the service related to the network design. and gives a solution to network planning and designKeywords：tobacco companies, network，information technology security, wireless local area network1 绪论1.1 项目背景在*行业大力推进联合重组、做大做强的形势下，为进一步提高制造工艺技术水平、增强企业的品牌竞争能力、提升企业的经济效益，*启动“*”*项目。项目将充分响应国家*“努力将项目建成国内一流水平”的指示，发扬“敢想敢拼、善谋善为”的企业精神，打造“国内一流、国际先进”的*制造基地，使公司成为中国*工业少数几个强势企业之一奠定基础。“*”*项目，将企业搬迁至新厂区。整个项目占地约*亩，规模年产*，项目一期建筑面积*万平方米，总投资约*亿元。为了在异地*中更好地发挥信息化系统的作用，企业要求对网络进行整体的规划、设计。2 网络技术原理2.1 路由技术路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表，路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本工程案例设计中，内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。路由器是外网进入企业网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表（Access Control List，ACL）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护1。2.2 交换技术传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了企业网数据交换服务质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网（Virtual LAN，VLAN）的概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（Vlan Trunking Protocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性，在企业网内部数据交换的部署是分层进行的。企业网数据交换设备可以划分为三个层次：接入层、分布层、核心层。接入层为所有的终端用户提供一个接入点；分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能；核心层将各分布层交换机互连起来进行穿越企业网骨干的高速数据交换。在本工程案例设计中，也将采用这三层进行分开设计、配置2。2.3 远程访问技术远程访问也是企业网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型：专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同，花费也不相同。企业用户可以根据所需带宽、本地服务可用性、花费等因素综合考虑，选择一种适合企业自身需要的广域网接入方案。在本工程案例设计中，分别采用专线连接的VPN和PBR两种方式实现远程访问需求3。2.4 VLANVLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一技术主要应用于交换机和路由器中，但主流应用还是在三层交换机之中。通过将局域网内的设备逻辑地而不是物理地划分成一个个不同的广播域（或称虚拟LAN，即VLAN），两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。不同的VLAN之间的通讯是需要有路由来完成的4。2.5 DHCPDHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)缩写。它分为两个部份：一个是服务器端，而另一个是客户端。所有的 IP 网络设定数据都由 DHCP 服务器集中管理，并负责处理客户端的 DHCP 要求；而客户端则会使用从服务器分配下来的IP环境数据。比较起 BOOTP ，DHCP 透过 "租约" 的概念，有效且动态的分配客户端的 TCP/IP 设定，而且，作为兼容考虑，DHCP 的分配形式 首先，必须至少有一台 DHCP 工作在网络上面，它会监听网络的 DHCP 请求，并与客户端磋商 TCP/IP 的设定环境。DHCP是BOOTP的扩展，是基于C/S模式的，它提供了一种动态指定IP地址和配置参数的机制。这主要用于大型网络环境和配置比较困难的地方。DHCP服务器自动为客户机指定IP地址，指定的配置参数有些和IP协议并不相关，但这必没有关系，它的配置参数使得网络上的计算机通信变得方便而容易实现了。DHCP使IP地址的可以租用，对于许多拥有许多台计算机的大型网络来说，每台计算机拥有一个IP地址有时候可能是不必要的。租期从1分钟到100年不定，当租期到了的时候，服务器可以把这个IP地址分配给别的机器使用。客户也可以请求使用自己喜欢的网络地址及相应的配置参数5。2.6 VPNVPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或WINDOWS2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网3。2.7 PVSTPVST: Per-VLAN Spanning Tree（每VLAN生成树） PVST是解决在虚拟局域网上处理生成树的CISCO特有解决方案PVST为每个虚拟局域网运行单独的生成树实例一般情况下PVST要求在交换机之间的中继链路上运行CISCO的ISL。 每VLAN生成树 (PVST)为每个在网络中配置的VLAN维护一个生成树实例。它使用ISL中继和允许一个VLAN中继当被其它VLANs的阻塞时将一些VLANs转发。尽管PVST对待每个VLAN作为一个单独的网络，它有能力(在第2层)通过一些在主干和其它在另一个主干中的不引起生成树循环的Vlans中的一些VLANs来负载平衡通信6。2.8 HSRPHSRP：热备份路由器协议（HSRP：Hot Standby Router Protocol）热备份路由器协议（HSRP）的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说，当源主机不能动态知道第一跳路由器的 IP 地址时，HSRP 协议能够保护第一跳路由器不出故障。该协议中含有多种路由器，对应一个虚拟路由器。HSRP 协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。负责转发数据包的路由器称之为主动路由器（Active Router）。一旦主动路由器出现故障，HSRP 将激活备份路由器（Standby Routers）取代主动路由器。HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器（Standby Routers）承接主动路由器的所有任务，并且不会导致主机连通中断现象。HSRP 运行在 UDP 上，采用端口号1985。路由器转发协议数据包的源地址使用的是实际 IP 地址，而并非虚拟地址，正是基于这一点，HSRP 路由器间能相互识别7。2.9 AAA认证AAA-身份验证 (Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。AAA ，认证(Authentication)：验证用户的身份与可使用的网络服务;授权(Authorization)：依据认证结果开放网络服务给用户;计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。整个系统在网络管理与安全问题中十分有效。首先，认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合，那么对用户认证通过。如果不符合，则拒绝提供网络连接。接下来，用户还要通过授权来获得操作相应任务的权限。比如，登陆系统后，用户可能会执行一些命令来进行操作，这时，授权过程会检测用户是否拥有执行这些命令的权限。简单而言，授权过程是一系列强迫策略的组合，包括：确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证，他们也就被授予了相应的权限。最后一步是帐户，这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息，还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”7。2.10 ACL内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段。ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。 例如：某部门要求只能使用 WWW 这个功能，就可以通过ACL实现； 又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。3 网络技术方案3.1 总体架构*项目整个基础网络分为两大块，办公大楼网络和生产厂区网络。办公大楼网络设立一个主中心和三个分中心，分别为主中心机房、服务器机房、办公大楼汇聚和技术中心汇聚。生产厂区设立三个分中心，分别为卷包中控室、制丝中控室和能源管理中心。各分中心、互联网区域、外联区域、网络安全区域与主中心核心交换机相连进行业务通讯。网络拓扑架构如下：针对新厂区网络情况分析，我们可以看到业务系统对于网络的需求主要由7个部分组成：核心网络区域设计：核心网络区域的设计主要包括核心交换机、互联网区域、外联区域和网络安全区域设计。服务器区域设计：服务器区域的设计主要包括服务器机房内网络基础设备的设计。办公大楼设计：办公大楼设计主要为办公大楼、技术中心和实验室基础网络的设计。生产厂区设计：生产厂区设计主要为卷包中控、制丝中控和能源管理中心基础网络设计。无线网络设计：无线网络设计主要为办公大楼、技术中心、卷包中控、制丝中控和能源管理中心无线网络的设计。整体路由设计：厂区整体基础网络设备路由设计及与互联网区域、外联区域、物流网、高架库、制丝集控等各边缘区域路由设计。3.2 核心网络区域设计核心网络区域包括整体网络核心交换机、互联网接入区域、外联区域和安全区域，所有设备均部署在办公大楼五楼信息中心机房内。核心网络区域拓扑结构如下图：3.2.1 核心交换机设计核心交换机是整个网络的核心，支撑整个体系架构的运作，同时，它和办公网，生产网，Internet接入网，无线网络，数据中心连接，负责各网数据交换。此处的数据转发性能直接关系到全网的业务运行。作为厂区网络核心节点，其可靠性也需格外关注。我司选用两台思科高性能Cisco Nexus 7000系列核心交换机互为冗余，以提供尽可能最好的系统级冗余性。为了确保核心网络高带宽和高稳定性的要求，核心交换机与各汇聚交换机互连采用万兆光纤互连，与其它设备互连采用千兆光纤互连。从维护和运行的角度说，冗余拓扑结构可实现绝好的收敛性和可用性。两台Cisco Nexus 7000 都配置双电源，单引擎， 48口10/100/1000M电口，48口千兆光口以及32口万兆板卡，万兆板卡用于两台Nexus 7000互联和连接各个子网。3.2.2 外联区域设计外联区域为分厂与公司总部以及老厂房的互连区域，与公司总部采用两条裸光纤进行互连，与老厂房采用一条裸光纤进行互连，待老厂房设备搬迁完成后，互连设备和线路即可拆除。与公司总部互连路由器我司选用两台Cisco 3945集成多业务路由器。与老厂房互连路由器我司选用一台Cisco 3945集成多业务路由器。三台CISCO 3945路由器默认4个千兆接口其中两个为COMBO接口。另外各配了一块千兆70公里远距离单模模块用于与*公司总部双链路进行互连，和与中山南路77号原厂单链路进行互连。3.2.3 互联网区域设计互联网区域这里有两个运营商出口，其中一个运营商出口用于新厂区服务器提供MAIL、WEB等互联网业务和员工互联网业务访问。另一个运营商出口用于互联网VPN接入。考虑到安全性，在电信互联网出口部署一台高性能juniper NS-ISG-2000防火墙，提供NAT地址转换和DMZ区服务器地址映射，另外为了使得电信出口支持SSL VPN功能，我司配置了一台juniper SA 700 SSL VPN设备。在运营商二互联网出口部署一台思科ASA 5520 VPN防火墙提供SSL VPN功能，并配置50个SSL VPN许可证，提供SSL VPN接入。使互联网用户通过SSL VPN访问新厂区内部网络，进行业务访问和远程技术维护工作。在互联网防火墙的DMZ区部署一台思科48口千兆交换机，用于DMZ区服务器接入，提供互联网业务。3.2.4 安全区域设计随着网络技术的发展，网络系统潜在面临着各种类型的威胁，包括内部和外部威胁，已知和未知威胁。一般来说，内部威胁比外部威胁的损失更高、破坏性更大，同时，外部威胁发生的频率却更高。这些威胁，都对网络自身的稳定运行带来了极大的安全隐患，问题一旦发作，会导致网络设备资源耗尽，网络带宽被塞满，网络系统无法正常工作，使得企业业务不能有效进行，应用系统被侵入或篡改，造成的损失非常巨大，后果极为严重。本次项目内部基础网络安全主要包括以下几个系统：防火墙系统、入侵检测系统、漏洞扫描系统、安全审计系统和身份认证系统。3.2.5 入侵检测系统设计在本次项目中，外联边界入侵检测系统部署在外联边界防火墙之后，对通过防火墙过滤的信息进行4-7层的检测。入侵检测系统探测器采用并联的方式部署，但入侵检测与防护系统在线部署是当前的趋势，在线的部署能够实时的检测并抵御攻击，相比单纯的检测，安全级别更高。但在线的部署也对入侵检测与防护设备的性能，检测能力提出了更高的要求。考虑到上述因素，在满足标书技术要求的基础上，我司选用用思科的IPS 4260系列入侵检测系统。思科 IPS 4200系列传感器和Cisco IPS传感器软件是思科入侵防御解决方案的核心组件。凭借思科 IPS传感器软件的内置防御技术，思科 IPS 4200系列传感器能准确地检测、分类和终止恶意流量的传输。3.2.6 漏洞扫描系统设计由于网络具有开放性，使主机、网络设备直接面对大量的攻击的可能。攻击可能来自于网络的各个方面。而日益增加的网络攻击手段，也不断地降低网络的安全性。操作系统的日益复杂，协议本身的安全漏洞，都是对网络的大量威胁。我司选用启明星辰硬件漏洞扫描系统，定期对络进行漏洞扫描和安全评估，网络安全评估系统是对Internet和Intranet中所有部件如WEB站点、防火墙、路由器、TCP/IP及相关协议服务进行实践性扫描、分析和评估，发现并报告系统中存在的弱点和漏洞，评估安全风险，建议补救措施。3.2.7 安全审计系统设计当用户的计算机网络扩展到包含了许多主机和应用系统时，管理与安全相关的事件变成越来越复杂的任务。而操作系统本身虽然提供审计工具，但起不到多大作用。它们缺少直观的界面、提供的功能有限，给出含义模糊甚至无用的事件消息。本地操作系统的审计工具提供有限的功能，给出含义模糊的或者甚至无用的事件消息。其中主要存在的问题：审计记录会增大并被覆写。审计数据在本地写入和丢弃。发生在不同主机上的事件不能关联起来。在本地审计记录中产生了如此大量的数据以至于无法发现重要的事件。不能跨平台分析审计记录。审计人员这为每一环境使用不同的审计工具。因此需要的是一个能清楚地将相关数据与安全性以及系统管理员联系起来，并产生快速评价与响应的解决方案。此外，随着电脑黑客的攻击和客户的电子商务环境日趋复杂，快速发现访问模式和访问行为中的可疑情况已经成为客户的一个基本需求。安全审计系统使电子商务安全信息触手可及。这一综合安全审计解决方案可以有效地收集和分析来自异构服务器和其它来源的事件数据，使系统管理员能够轻松识别电子商务环境中潜在的恶意系统活动。 该系统收集用户范围内的安全和系统审计信息，同时不会像其它审计产品那样会降低系统性能或造成网络流量阻塞。同时它克服了UNIX/Windows NT 管理障碍，是一个真正的跨平台安全事件管理解决方案。该系统能提供的基本审计和分析功能，可以帮助客户明显地降低受到来自外界和内部的恶意侵袭的风险。而且电子签名法的出台，使得强审计的日志可以作为给犯罪份子定罪的法律依据！本次项目我司选用启明星辰CA500安全审计系统。3.2.8 身份认证系统设计网络信息安全是指通过保护网络程序、数据或者设备，使其免受非授权使用或访问，来达到保护信息和资源、保护客户和用户、保证私有性等目的。为了确保在各种攻击下，网络程序和数据在服务器、物理信道和主机上的安全性，网络安全必须有效地实现以下各种功能：身份认证（Authentication）鉴定信息的真实性，核实源实体与接受实体是否与宣称的一致。授权（Authorization）用一些特殊的参数表明访问（或存取）的权限。保密性（Confidentiality）使信息只被授权用户享用，确保通信机密。完整性（Integrity）确保数据的完整和准确。不可否认（Nonrepudiation）验明身份后，不能够拒绝传送和接受。在所有功能中，身份认证（Authentication）是最基本最重要的环节，即使将授权、保密性、完整性、不可否认等环节做得很完善，但如果盗用了合法的帐号和口令登录系统，系统仍然认为他是合法用户，给予他相应的访问权限，使系统处于危险状态。为了解决无线用户和外来用户有线接入的安全，我司选用思科ACS身份认证系统，对无线和有线用户进行身份认证提高网络安全性。3.2.9 网络管理系统设计通过在网络中心安装集中网管系统，通过带内的方式实现对整网设备的统一管理，提供集中、统一、分级、分权的网元管理、网络管理功能。网管系统采用先进的组件化结构，通过SNMP协议由网管中心服务器发出管理信息报文，各宽带网络设备上的网管代理进行本设备运行状态，数据信息的收集，然后通过SNMP协议将本网络设备的网管信息上报给网管中心服务器，由网管中心服务器统一对上报的网管信息进行处理和分析，然后通过SNMP协议下发控制命令，由各设备网管代理接收控制命令后，完成对本设备的管理和控制。综合网管系统提供如下管理能力：3.2.10 拓扑管理拓扑管理用于构造并管理整个通信网络的网络拓扑结构，通过自动上载网络设备的拓扑数据形成与实际网络拓扑结构相同的网络拓扑视图。运行中通过对网络设备进行定时（根据用户设定的每一设备的状态与配置轮询间隔时间）的轮循监视与设备上报TRAP或告警处理，保证显示网络视图与实际网络拓扑一致，用户可通过浏览网络视图来实时了解整个网络的运行情况。网管系统的拓扑视图是采用分层结构的，其中拓扑顶层显示的子图称为视图，根据被管对象的种类和实际需求抽象出了几种视图显示在拓扑的顶层，目前包含了三个逻辑视图（IP设备视图、交换设备视图和接入设备视图）和一个物理视图。在这些视图下是子网，它是具有相同属性的设备的集合，在子网下就是具体的网络设备，子网也可以再包含子网。其中逻辑视图中只包含了各自类型的网络设备，它反映了网络设备之间的逻辑关系，而物理视图中的子图和设备是用户自己设定的，用户可以根据地理位置去创建物理子图并定义它们之间的连接关系。IP视图用于IP层网络拓扑的管理，描述整个基于IP路由器的IP网络的网络层拓扑结构，主要包括路由器、LAN Switch、接入服务器和计算机等IP设备。基于IP路由器的网络拓扑结构分成两层，上层由路由器和IP子网组成，IP子网表示某一传输类型的物理网络，如以太网，Frame Relay网等，在同一IP子网下的所有设备具有同样的IP子网地址设置；路由器和IP子网之间通过路由器端口连接，如以太网口，Frame Relay广域网口等。路由器和路由器之间的连接有两种：一是通过IP子网连接，如两路由器通过以太网或Frame Relay网互连；二是直接的点到点连接，如PPP连接等。 物理视图用于反映网络设备之间的物理关系和连接，用户可以自由创建物理子网，在物理子网中加入逻辑子网中已经存在的设备，建立它们之间的连接关系。拓扑管理主要操作有增删设备或子网，查看节点、链路或子网的状态， 通过定时轮询或手动启动对任一设备的状态或配置数据轮询，实时刷新拓扑显示数据。拓扑管理还具有改变背景图象、设置网络对象属性、保存拓扑视图修改、查找网络对象、显示网络对象信息、拓扑视图显示效果设置等功能。用户可对每个子网设置背景图象（gif）格式，背景图象的大小根据窗口大小自动调整。3.2.11 配置管理网管系统提供全网浏览树和设备面板图对配置进行维护。全网浏览树把网络中的所有设备按不同的分组方式组织在一个树形结构中，操作者可灵活切换要进行配置操作的设备。对所有设备和设备组件的操作都通过右键菜单来完成。用户右键点中待管理的对象，系统将自动弹出该设备或设备组件所对应的管理菜单，所有设备和设备组件（如端口等）的配置、实时性能管理功能都可通过该右键菜单完成。本浏览树可装载并显示所有路由器，以及其它支持SNMP协议的设备端口数据，在浏览树中的端口显示数据包括：端口状态，端口索引，端口类型，IP地址，掩码设置（如设置有），用户右键点中该端口即可弹出该端口所对应的配置菜单。通过在拓扑图上双击拓扑设备节点启动设备面板图，在面板视图上对设备进行配置；设备面板图和全网浏览树所提供的配置功能是完全一样的。在面板上进行配置显得更直观，提供设备的机架视图，实时显示各单板的状态和告警信息，对于面板中的每个单板节点，提供右键弹出菜单，该菜单是针对该单板的一系列的应用，包括配置，性能、维护管理等；而全网浏览树则是提供了一种对全网设备进行管理的手段， 在配置较多的设备时比较方便。3.2.12 故障管理故障管理主要包括对全网设备的告警信息和运行信息进行实时监控，查询设备的历史告警信息和运行信息，定义发送过来的SNMP Trap，查询和配置设备的告警表。故障管理系统收集和处理设备告警。设备告警包括Snmp Trap和MML格式的告警，前者告警来源为SNMP设备，大部分数据通信设备支持SNMP。 Trap和Alarm可以同屏显示也可以分屏显示。（以下叙述中“告警”如无特殊说明包括 Snmp Trap 和 MML Alarm）。故障管理系统包括故障管理后台、实时告警显示、历史告警显示、Trap规则定义工具，故障监视面板和当前故障窗口。故障管理后台接收设备告警、写数据库、发送给实时告警前台显示，如果有其他应用关心某些类型的告警，还要上报给该应用。实时告警显示从故障后台实时接收设备告警并显示；历史告警显示从数据库检索告警并显示；实时告警显示和历史告警显示都支持过滤条件，可以检索指定设备（一个或多个）的告警，也可以按类别检索指定类型的告警。Trap规则定义工具主要是定义Snmp Trap的描述信息。因为Snmp Trap是二进制编码，Trap规则定义了该二进制流中各字段的描述信息。故障管理后台接收设备发送的Trap后根据当前的 Trap 规则定义对 Trap 进行解释，将解释后得到的告警数据写入历史告警库，并发送给前台程序。 MML Alarm本身是ASCII字符流，故障后台经过适当的字段定位后直接入库和发送给前台进程。故障监视面板为您提供了一个直观的了解设备故障情况的工具，它可以提供单个设备或所有设备的告警状态数据，实时刷新状态数据，并可以通过激活当前告警窗口为您提供告警的详细数据。它由六个代表不同级别故障的告警灯来显示设备故障状态，当有未恢复且并未被确认的情况下告警灯转亮，在没有该级别告警或所有该级别告警已经被确认的情况下变为灰色。每个告警灯的下方分别列出该级别故障的总数和已经被确认的记录数。当前故障窗口反映了设备的当前故障数据，缺省状态进入时会显示所有设备当前时刻所有未恢复的告警。并随时实时刷新数据。在故障监视面板中选取当前设备告警明细表功能也可以激活当前告警窗口。3.2.13 性能管理用户可以获得网络的各种当前性能数据，并可以设置性能的门限值，当性能超过门限时，网络以告警的方式通知网管系统。用户也可以收集一定时间段内的性能数据，并保存在数据库中，以做进一步的分析。 该应用提供三种方式对采集来的数据进行显示：折线图方式、直方图方式和饼图方式。折线图方式在一个窗口内可显示一定时间范围内的各个对象表达式的值；直方图方式在一个窗口内只显示某一采集时间点的各个对象表达式的值；饼图方式显示的是某一数据采集点各个对象表达式之间的比例值。用户在此应用中还可以设置对性能数据轮循的间隔，采集数据的显示比例和显示颜色。我司选用思科CISCO WORKS2000作为网络基础设备的管理系统。CiscoWorks Windows 是全面的网络管理软件，它为简单地管理中小型企业网络或工作组提供功能强大的工具集。动态的状态、统计以及全面的配置信息等可用于 Cisco 路由器、交换机、集线器和访问服务器。3.3 服务器区域设计根据服务器区域设计，拓扑如下：服务器区域部署两台思科高性能Catalyst 6509交换机互为冗余备份，同时在6509交换机上各配置一块FWSM防火墙模块用于对服务器区域的安全防护。每台6509另外配置了一块48口光纤模块和一块48口千兆电口模块，用于小型机及服务器接入，配置一块万兆光纤模块用于与网络核心区域设备nexus7000互连。服务器区域有两排服务器机柜，每一排机柜各部署一台思科3750-12S和一台3750-48TS交换机，两台3750通过堆叠模块进行堆叠，用于PC服务器光纤及铜缆接入。3.4 办公大楼区域设计办公大楼共有12个弱电间，各弱电间信息点位情况如下表：序号区域中心机房位置弱电间编号电脑信息点+考勤无线AP点LED1一区上部设备间弱电机柜1-2E722一区下部设备间弱电机柜1-2F1343三区左上弱电间(一层)1-1D6284三区左上弱电间(四层)1-4D4855三区右上弱电间(一层)1-1C3976三区右上弱电间(四层)1-4C5147三区左下弱电间(一层)1-1A57818三区左下弱电间(二层)1-2A66139三区左下弱电间(五层)1-5A1121210三区右下弱电间(一层)1-1B405111三区右下弱电间(二层)1-2B831412三区右下弱电间(五层)1-5B11213根据办公大楼信息点，办公大楼网络拓扑图如下：办公大楼汇聚交换机采用两台思科4506互为冗余，汇聚交换机配置14个万兆接口模块用于与核心交换机nexus 7000互连和楼层交换机接入。配置48口千兆电口模块用于服务器接入和日常网络维护。考虑到办公大楼业务的重要性，所有接入交换机采用万兆上联至两台思科4506汇聚交换机。办公大楼楼层交换机我司选用思科2960-S系列可堆叠交换机，部署10台思科48口万兆POE交换机和2台思科24口万兆POE交换机用于无线AP POE供电接入和万兆上联汇聚交换机，另外配置2台48口千兆交换机和4台24口千兆交换机用于终端接入。3.5 技术中心区域设计技术中心区域包括技术中心和实验实，其中技术中心有8个弱电间，实验室有5个弱电间，实验室弱电间与技术中心弱电间共用，但是设备互为独立。各弱电间信息点位情况如下表：序号区域中心机房位置弱电间编号电脑信息点+考勤无线AP点技术中心1四区上部弱电间(一层)2-1B6372四区上部弱电间(三层)(汇聚层)2-3B62113四区上部弱电间(四层)2-4B814四区下部弱电间(一层)2-1A6065四区下部弱电间(二层)2-2A2456四区下部弱电间(三层)2-3A3597四区中部弱电间(二层)2-2C102138五区弱电间(一层)2-1D886实验室1四区下部弱电间(二层)2-2A202四区下部弱电间(三层)2-3A253四区上部弱电间(三层)(汇聚层)2-3B464四区下部弱电间(四层)2-4A1325四区上部弱电间(四层)2-4B60根据技术中心区域信息点位，技术中心网络拓扑图如下：技术中心汇聚交换机采用两台思科4506互为冗余备份，每台汇聚交换机配置2端口万兆光纤模块用于与核心交换机nexus7000相连，配置一块24口千兆光纤模块用于楼层交换机接入，配置48口千兆电口模块用于服务器接入和日常网络维护。技术中心楼层交换机选用思科2960-S系列可堆叠交换机，部署4台48口千兆PO