网络工程实习报告.doc

网络工程实习报告姓名：王煜 学号：N100801519指导教师：徐逸卿 时间：2013-121 概述1. 项目背景 在当今社会，随着计算机网络技术的飞速发展，信息传输网络已经成为人们生产生活中不可或缺的重要组成部分。随着办公单位信息以及各单元自动化需要提高办公效率，从而进一步满足现代办公的快速，精确要求，需要建立企业办公与管理一体化的局域网。参与局域网内的组成有很多方面，首先需要一个适当的设计和规划，然后需要处理的布线，网络设备的选择和配置，服务器设备的选择和配置，网络软件的安装等，需要一步一步的执行，并且，还需要日常的维护。这一切促使了网络技术进一步发展。2. 用户当前状况 某企业总部共由5栋楼组成，分为管理办公楼1栋（3层），生产车间3栋（单层），库房1栋（2层）。其中，管理办公楼1，2层有8间办公室，每间布设8个信息点，三楼有3间厂长办公室，每间布设2个信息点，1间会议室布设4个信息点，1间网络机房布设20个信息点，安装www服务器一台用来对外发布产品信息，一台电子邮件服务器，企业管理服务器2台（1台备份），vpn设备1台，防火墙1台，广域网接入路由器1台，内部核心交换机1台。生产车间每栋都要部署20个信息点，安装企业管理服务器1台，并配备无线局域网。而库房每层布设4个信息点，安装企业管理服务器1台。3. 项目建设的必要性 总部与外地办事处均用VPN设备连接，组成了一个虚拟的局域网，总部通过接入的路由器接入Internet。必须要安装企业管理软件系统，便于统筹与管理众多的主机，为避免产生网络安全问题，而产生较高的网络安全需求。为便于管理企业内部众多上网的主机，而必须配备有统一的管理软件，以便于进行统一管理。2 需求分析1. 网络建设的目的与原则 便于对局域网内各个主机进行统一的管理，从而加强企业内部的统一性，对员工的日常工作也能进行很好的协调，必要的管理软件，也能对内部主机上网进行管理，而企业网络安全也能得到一定程度的保障。2.投资规模 投资规模：一定时期一个国家或一个部门，一个地区，有关单位在固定资产再生产活动中投入的以货币形态表现的物化劳动和活劳动的总量。这其中，又分年度投资规模和在建投资规模。年度投资规模是指一年内一个国家或一个部门、一个地区、一个单位投入到固定资产再生产方面的资金总量，是一个国家或地区在一年内实际完成的固定资产投资额，反映了一年内投入在固定资产再生产上的人力、物力、财力的数量。年度投资规模应与当年的国力相适应。在建投资规模是指一个国家或一个部门、一个地区、一个单位当年施工的建设项目全部建成交付使用所需的投资额，包括以前年度已完成的投资以及本年度和以后年度继续建设所需要的投资，反映了一定年份全国实际铺开的建设战线的长短。在建投资规模应与一定时期的国力相适应。企业架设每个信息点都需要的成本，VPN设备，电子邮件服务器，广域网接入路由器等设备成本，架设期间雇佣工人，完成内部网络所开发的软件成本，都在考虑范围之内。3. 信息点状况及应用程序 信息点管理办公楼中，一层二层每层都要布设160个信息点，三层布设30个；3个生产车间每个布设20个；库房2层，每层布设4个。信息流量当属管理办公楼最快，因配备有多种配套设备。应用程序要适应企业整体的管理要求，在关键应用与多媒体应用方面也能配套，不致使企业内部系统出现拥堵的情况。在QoS方面，尽量采用链路效率机制，用于改善链路的性能，间接提高企业的QoS。着重抓QoS，减少丢包率，延迟，传输顺序出错以及传输路径出错，在带宽一定的基础下，对各应用及业务的特点，对网络资源进行合理的规划与分配，最终实现网络资源的高效利用。4. 其他方面 对于广域网接入问题，为避免员工在工作期间上网休闲，要对企业内部的局域网进行有效而且统一的管理，可安装管理监视软件，若发现与工作无关的网络内容，即向管理办公楼3层主机报告，从而有效的进行管理。广域网一旦接入，便存在企业内部资料被窃取的可能性，因此，要安装防火墙，设置加密软件对企业内部资料进行加密，预防黑客的侵袭。通过上述环节即提高了员工的工作效率，又能很好的协调员工之间的工作，不使员工产生讨厌工作的心理，而且很好的进行了统筹管理，可谓一举多得。3 技术调研1. 主流网络传输技术 传输技术 Transmission technology 指充分利用不同信道的传输能力构成一个完整的传输系统，使信息得以可靠传输的技术。传输系统是通信系统的重要组成部分，传输技术主要依赖于具体信道的传输特性。信道分为有线信道和无线信道。有线信道又可进一步细分为架空明线（传输能力一般不超过12个话路），对称电缆（用于载波通信的高频电缆一对芯线的传输能力可达120个话路），同轴电缆（其传输能力可达18003600个话路），光缆（单模光纤的传输能力已可达若干万个话路）等；无线信道又可进一步分为地波传播（如级长波，超长波，长波，短波等），天波传播（即经电离层反射传播，如短波），视距传播（如超短波，微波）等。由于不同信道有各自适用的频率范围，信源的信号必须通过“调制”到给定的频率范围才能进行传输，故调制技术是传输技术的关键之一。由于企业房间都是固定的，使用光纤传输具有稳定性，流畅性。2. 网络互连技术 包括路由，交换，远程访问3个方面，即通过路由等设备将网络连通，成为一个整体，具体包括了网络技术基础、IP编址、路由器基本配置、路由器安全管理、IP路由原理、RIP动态路由协议原理与配置、OSPF动态路由协议原理与配置、交换机原理与基本配置、生成树协议原理与配置、远程访问技术基础、HDLC及PPP原理与配置。而企业内部，更是需要这种技术，以便于企业进行统一的管理。3. 网络接入技术 接入技术要解决的问题是如何将用户连接到各种网络上。作为网络中与用户相连的最后一段线路上所采用的技术，接入技术已成为目前网络技术的一大热点，为了提供端到端的宽带连接，宽带接入是必须要解决的一个问题。其中具体包括了光纤接入（光纤是目前传输速率最高的传输介质，在主干网中已大量的采用了光纤。如果将光纤应用到用户环路中，就能满足用户将来各种宽带业务的要求。可以说，光纤接入是宽带接入网的最终形式，但目前要完全抛弃现有的用户网络而全部重新铺设光纤，对于大多数国家和地区来说还是不经济、不现实的。）、同轴接入（同轴电缆也是传输带宽比较大的一种传输介质，目前的CATV网就是一种混合光纤铜轴网络，主干部分采用光纤，用同轴电缆经分支器介入各家各户。混合光纤/铜轴（HFC）接入技术的一大优点是可以利用现有的CATV网，从而降低网络接入成本。）、铜线接入（铜线接入是指以现有的电话线为传输介质，利用各种先进的调制技术和编码技术、数字信号处理技术来提高铜线的传输速率和传输距离。但是铜线的传输带宽毕竟有限，铜线接入方式的传输速率和传输距离一直是一对难以调和的矛盾，从长远的观点来看，铜线接入方式很难适应将来宽带业务发展的需要。）、无线接入（无线用户环路是指利用无线技术为固定用户或移动用户提供电信业务，因此无线接入可分为固定无线接入和移动无线接入，采用的无线技术有微波、卫星等。无线接入的优点有：初期投入小，能迅速提供业务，不需要铺设线路，因而可以省去浦县的大量费用和时间；比较灵活，可以随时按照需要进行变更、扩容，抗灾难性比较强）。4. 网络安全技术 网络安全技术指致力于解决诸如如何有效进行介入控制，以及如何保证数据传输的安全性的技术手段，主要包括物理安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。具体分为虚拟网技术（虚拟网技术主要基于局域网交换技术(ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。）、防火墙技术（网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.）、病毒防护技术（(1) 阻止病毒的传播。在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。(2) 检查和清除病毒。使用防病毒软件检查和清除病毒。(3) 病毒数据库的升级。病毒数据库应不断更新，并下发到桌面系统。(4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。）、入侵检测技术（入侵检测系统是新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够缩短hacker入侵的时间。）、安全扫描技术（安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。安全扫描工具通常也分为基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。）、认证和数字签名技术（认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。）、VPN技术（企业总部和各分支机构之间采用internet网络进行连接，由于internet是公用网络，因此，必须保证其安全性。我们将利用公共网络实现的私用网络称为虚拟私用网(VPN)。）、应用系统的安全技术（由于应用系统的复杂性，有关应用平台的安全问题是整个安全体系中最复杂的部分。下面的几个部分列出了在Internet/Intranet中主要的应用平台服务的安全问题及相关技术。1、域名服务Internet域名服务为Internet/Intranet应用提供了极大的灵活性。几乎所有的网络应用均利用域名服务。但是，域名服务通常为hacker提供了入侵网络的有用信息，如服务器的IP、操作系统信息、推导出可能的网络结构等。同时，新发现的针对BIND-NDS实现的安全漏洞也开始发现，而绝大多数的域名系统均存在类似的问题。如由于DNS查询使用无连接的UDP协议，利用可预测的查询ID可欺骗域名服务器给出错误的主机名-IP对应关系。因此，在利用域名服务时，应该注意到以上的安全问题。主要的措施有：(1) 内部网和外部网使用不同的域名服务器，隐藏内部网络信息。(2) 域名服务器及域名查找应用安装相应的安全补丁。(3) 对付Denial-of-Service攻击，应设计备份域名服务器。2、Web Server应用安全Web Server是企业对外宣传、开展业务的重要基地。由于其重要性，成为Hacker攻击的首选目标之一。Web Server经常成为Internet用户访问公司内部资源的通道之一，如Web server通过中间件访问主机系统，通过数据库连接部件访问数据库，利用CGI访问本地文件系统或网络系统中其它资源。但Web服务器越来越复杂，其被发现的安全漏洞越来越多。为了防止Web服务器成为攻击的牺牲品或成为进入内部网络的跳板，我们需要给予更多的关心：(1) Web服务器置于防火墙保护之下。(2) 在Web服务器上安装实时安全监控软件。(3) 在通往Web服务器的网络路径上安装基于网络的实时入侵监控系统。(4) 经常审查Web服务器配置情况及运行日志。(5) 运行新的应用前，先进行安全测试。如新的CGI应用。(6) 认证过程采用加密通讯或使用X.509证书模式。(7) 小心设置Web服务器的访问控制表。3、电子邮件系统安全电子邮件系统也是网络与外部必须开放的服务系统。由于电子邮件系统的复杂性，其被发现的安全漏洞非常多，并且危害很大。加强电子邮件系统的安全性，通常有如下办法：(1) 设置一台位于停火区的电子邮件服务器作为内外电子邮件通讯的中转站(或利用防火墙的电子邮件中转功能)。所有出入的电子邮件均通过该中转站中转。(2) 同样为该服务器安装实施监控系统。(3) 该邮件服务器作为专门的应用服务器，不运行任何其它业务(切断与内部网的通讯)。(4) 升级到最新的安全版本。4、 操作系统安全市场上几乎所有的操作系统均已发现有安全漏洞，并且越流行的操作系统发现的问题越多。对操作系统的安全，除了不断地增加安全补丁外，还需要：(1) 检查系统设置(敏感数据的存放方式，访问控制，口令选择/更新)。(2) 基于系统的安全监控系统。）。5. 网络管理技术 网络管理包括对硬件、软件和人力的使用、综合与协调，以便对网络资源进行监视、测试、配置、分析、评价和控制，这样就能以合理的价格满足网络的一些需求，如实时运行性能、服务质量等。网络管理常简称为网管。包含SNMP协议，CMIS/CMIP协议、CMOT协议、LMMP协议。又分为故障管理（故障管理是网络管理中最基本的功能之一。用户都希望有一个可靠的计算机网络。当网络中某个组成失效时，网络管理器必须迅速查找到故障并及时排除。通常不大可能迅速隔离某个故障，因为网络故障的产生原因往往相当复杂，特别是当故障是由多个网络组成共同引起的。在此情况下，一般先将网络修复，然后再分析网络故障的原因。分析故障原因对于防止类似故障的再发生相当重要。）、网络配置管理（配置管理同样相当重要。它初始化网络、并配置网络，以使其提供网络服务。配置管理是一组对辨别、定义、控制和监视组成一个通信网络的对象所必要的相关功能，目的是为了 实现某个特定功能或使网络性能达到最优。）、网络性能管理（性能管理估价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制。性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能。性能管理收集分析有关被管网络当前状况的数据信息，并维持和分析性能日志。）、网络计费管理（计费管理记录网络资源的使用，目的是控制和监测网络操作的费用和代价。它对一些公共商业网络尤为重要。它可以估算出用户使用网络资源可能需要的费用和代价，以及已经使用的资源。网络管理员还可规定用户可使用的最大费用，从而控制用户过多占用和使用网络 资源。）、网络安全管理（网络资源的访问控制，通过管理路由器的访问控制链表，完成防火墙的管理功能，即从网络层(1P）和传输层(TCP）控制对网络资源的访问，保护网络内部的设备和应用服务，防止外来的攻击。告警事件分析，接收网络对象所发出的告警事件，分析员安全相关的信息（如路由器登录信息、SNMP认证失败信息），实时地向管理员告警，并提供历史安全事件的检索与分析机制，及时地发现正在进行的攻击或可疑的攻击迹象。主机系统的安全漏洞检测，实时的监测主机系统的重要服务（如WWW，DNS等）的状态，提供安全监测工具，以搜索系统可能存在的安全漏洞或安全隐患，并给出弥补的措施）五大功能。6. 国内外主流网络设备厂商的网络设备 Cisco Nexus 7000系列交换机：表1. 产品规格项目 说明产品兼容性 支持所有Nexus 7000系列模块软件兼容性 Cisco NX-OS 4.0或更高版本(最低要求) 选项 空气过滤器可锁定的机箱前门性能 通过控制引擎和交换矩阵模块，提供480 Mpps (IPv4单播)的包转发能力可靠性和可用性 故障间平均时间(MTBF): 264,552小时所有冗余组件支持热插拔(OIR)：控制引擎、交换矩阵、电源和风扇架MIB 支持SNMP 3、2c和1；如需详细的MIB支持信息，请参见Cisco NX-OS软件版本说明网络管理 思科数据中心网络管理器(DCNM) 4.0 Cisco VFrame Data Center 1.2 编程界面 XML CLI Cisco DCNM 4.0 Web服务物理尺寸 可用机架空间：21个机架单元(21RU) 10插槽机箱：2个专用控制引擎和8个I/O模块5个交换矩阵模块插槽3个电源插槽尺寸(长x 宽 x 高)：36.5 x 17.3 x 33.1英寸 (92.7 x 43.9 x 84.1 厘米) 包括电缆管理架和机箱门的机箱高度是38 英寸(96.5厘米) 设备安装在一个标准的19英寸(482.6毫米) EIA机架上重量纯机箱：200磅(90公斤) 完全配置：500磅 (227公斤) 电源要求：110到240 VAC 环境参数 空气流通方向：前后上下流通工作温度：32到104F (0到40C) 工作相对湿度：5到90%，非冷凝工作高度：500到13,123 英尺(机构认证为0-6500英尺) 地震: Zone 4，GR63 楼面荷载: 每平方英尺190磅工作振动GR63, Section 5.4.2 ETS 300 019-1-3, Class 3.1, Section 5.5 存放的海拔高度：1000到30,000英尺存放温度：40到158F (40到70C) 存放相对湿度：5到95%，非冷凝热耗散：最大12,000W/机箱(实际耗散较低，视机箱配置而定) 安全 UL/CSA/IEC/EN 60950-1 AS/NZS 60950 华为3com交换设备S7600系列路由交换机的主要特性S7602-SS7602S7603-SS7603S7606-SS7606S7606-VS7610交换容量双向192Gbps双向320Gbps双向480Gbps 双向800Gbps 双向768Gbps双向800Gbps双向800Gbps双向1152Gbps包转发率142Mpps60Mpps274 Mpps90 Mpps488Mpps180Mpps180Mpps773Mpps槽位数量444588812业务槽位数量223366610冗余设计电源、主控冗余电源、主控冗余电源冗余电源、主控冗余电源冗余电源、主控冗余电源、主控冗余电源、主控冗余二层特性支持IEEE 802.1P(CoS优先级)支持IEEE 802.1Q（VLAN）支持IEEE 802.1d（STP）/802.1w（RSTP）/802.1s（MSTP）支持IEEE 802.1ad（QinQ），灵活QinQ和Vlan mapping广播/组播/未知单播报文的抑制功能静态端口聚合/LACP/跨板聚合Jumbo Frame（9K）802.3x流控支持，支持反压方式流控Loopback Dection三层特性静态路由RIPv1/v2OSPFv2IS-ISBGP/BGPv4IP路由策略GR for BGP/IS-IS/OSPF组播IGMP Snooping v1/v2/v3组播VLANIGMP v1/v2/v3IGMP ProxyPIM-DMPIM-SMPIM-SSMACL/QoS二层ACL/基本ACL/高级ACL基于VLAN的ACL流量监管CAR 流量整形Shaping优先级Mark/Remark报文重定向策略路由队列调度：SP/WRR/SP+WRR/WFQH-QoS拥塞避免机制：WRED/TD 流量统计端口镜像RSPAN对Telnet/SSH用户的ACL控制对通过SNMP访问交换机的用户的ACL控制MPLSVLL (Martini)VPLS/H-VPLSMPLS L3 VPNLER, LSRLDP, MP-BGP Multi VRF安全机制Dynamic VLANAAA/RADIUS/HWTACACSSSH v1.5/2.0SFTP可靠性双主控主备倒换1+1电源备份所有单板、模块支持热插拔VRRP v2/v3RRPPSmartLinkGR for OSPF, ISIS, BGPBFD for OSPF, ISIS, BGP, LDP系统管理文件系统管理配置文件管理FTPTFTPMAC地址表管理设备管理SNMPv1/v2c/v3RMON I： 1、2、3、9组NTP外形尺寸（WHD）mm4361774004RU4361774004RU4361774004RU436x441.7x42010RU436x575.05x42013RU436x575.05x42013RU436x930.6 x 42021RU436x708 x42016RU重量（满配置）15Kg15Kg15Kg25Kg35Kg35Kg45Kg 200,000 hours温度工作温度：0到 40存储温度：-40到 70湿度工作湿度: 10% 到 90% RH存储湿度:5% 到 95% RH为满足高效，安全，多业务的下一代企业需求，开发出如下：产品型号RG-S3760-24RG-S3760-48RG-S3760-12SFP/GT固定端口24端口10/100M自适应端口，4个SFP接口，4个复用的10/100/1000M电口48端口10/100M自适应端口，4个SFP接口，4个复用的10/100/1000M电口12个SFP接口和12个10/100/1000BASE-T的RJ45 接口，光口和电口复用可用SFP模块Mini-GBIC-SX：单口1000BASE-SX mini GBIC转换模块（LC接口）；Mini-GBIC-LX：单口1000BASE-LX mini GBIC转换模块（LC接口）；Mini-GBIC-LH40：单口1000BASE-LH mini GBIC转换模块（LC接口），40km；Mini-GBIC-ZX50：单口1000BASE-ZX mini GBIC转换模块（LC接口），50km；Mini-GBIC-ZX80：单口1000BASE-ZX mini GBIC转换模块（LC接口），80km背板37.6Gbps37.6Gbps48GbpsIPv4包转发速率L2：线速（9.6Mpps）L2：线速（13.2Mpps）L2：线速（18Mpps）L3：线速（9.6Mpps）L3：线速（13.2Mpps）L3：线速（18Mpps）IPv6包转发速率L2：线速（9.6Mpps）L2：线速（13.2Mpps）L2：线速（18Mpps）L3：线速（9.6Mpps）L3：线速（13.2Mpps）L3：线速（18 Mpps）MAC16K802.1q VLAN4KIPv4 ACL支持灵活多样的硬件ACL，如标准IP ACL（基于IP地址的硬件ACL）、扩展IP ACL（基于IP地址、TCP/UDP端口号的硬件ACL）、MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）、专家级ACL （可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间等灵活组合的硬件ACL）、时间ACL等，提高对各种网络病毒和网络攻击的防御能力IPv6 ACL & QoS支持源/目的IPv6地址、源/目的端口、IPv6报文头的流量类型（Traffic class）、时间选项的硬件IPv6 ACL 和IPv6 QoSL2协议IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q (GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMP Snooping v1/v2/v3、RLDPL3协议IPv6、OSPFv1/v2、OSPF v3、RIPv1/v2、PIM（DM/SM/SSM）、DVMRP、VRRP、IGMPv1/v2/v3IPv6协议支持ICMPv6、IPv6动态路由协议OSPFv3、支持多种Tunnel隧道技术（如手工配置隧道、6to4隧道和 ISATAP隧道等）Defeat IP Scan（防IP扫描）支持管理协议SNMPv1/v2c/v3、Web(JAVA)、CLI(Telnet /Console)、RMON(1,2,3,9)、SSH、SNTP、NTP、Syslog其它协议Protocol VLAN、Super Vlan、DHCP Server、DHCP Client、DHCP Relay、DNS Client、Bootp、Proxy ARP、免费ARPJumbo Frame支持网络介质和最大传输距离1000BASE-SX：波长850nm，62.5/125um多模光纤线的最大传输距离为220m；50/125um多模光纤线的最大传输距离为500m；1000BASE-LX：波长1310nm，62.5/125um多模光纤线的最大传输距离为550m；50/125um多模光纤线的最大传输距离为550m；9/125um单模光纤线的最大传输距离为10Km；1000BASE-LH：波长1310nm，9/125um单模光纤线的最大传输距离为40Km；1000BASE-ZX：波长1550nm，9/125um单模光纤线的最大传输距离为50Km和80Km两种；尺寸（长 宽高mm）440 240 44mm440 325 44mm440 335 44mm电源160VAC240VAC50Hz60Hz功耗40W44W40W温度工作温度: 0C 到 45C存储温度:-40C 到 70C湿度工作湿度: 10% 到 90% RH存储湿度:5% 到 90% RH还包括如下类型的开发与实现 技术参数参数描述产品型号RG-S2924GRG-S2927XGRG-S2951XG固定端口24个10/100/1000M电口，4个复用的SFP千兆光纤接口24个10/100/1000M电口，4个复用的SFP千兆光纤接口，3个万兆扩展槽48个10/100/1000M电口，4个复用的SFP千兆光纤接口，3个万兆扩展槽可用SFP模块l Mini-GBIC-SX：单口1000BASE-SX mini GBIC转换模块（LC接口）；l Mini-GBIC-LX：单口1000BASE-LX mini GBIC转换模块（LC接口）；l Mini-GBIC-LH：单口1000BASE-LX mini GBIC转换模块（LC接口），40Km；l Mini-GBIC-ZX50：单口1000BASE-ZX mini GBIC转换模块（LC接口），50km；l Mini-GBIC-ZX80：单口1000BASE-ZX mini GBIC转换模块（LC接口），80kml 1端口XENPAK接口万兆转接板l 1端口XFP接口万兆转接板l 万兆光纤接口模块（300米），需配合M5700-01XENPAK转接板使用l 万兆光纤LR接口模块（10公里），需配合M5700-01XENPAK转接板使用l 万兆光纤ER接口模块（40公里），需配合M5700-01XENPAK转接板使用l 万兆光纤SR接口模块（300米），需配合M5700-01XFP转接板使用l 万兆光纤LR接口模块（10公里），需配合M5700-01XFP转接板使用l 万兆光纤ER接口模块（40公里），需配合M5700-01XFP转接板使用交换容量48Gbps108G156G包转发速率36Mpps81Mpps117MppsMAC16K802.1q VLAN4KIPv4 ACL支持多种硬件ACL：l 标准IP ACL（基于IP地址的硬件ACL）l 扩展IP ACL（基于IP地址、传输层端口号的硬件ACL）l MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）l 基于时间ACLl 专家级ACL（可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间灵活组合的硬件ACL)IPv6 ACL & QoS支持源/目的IPv6地址、源/目的端口、IPv6报文头的流量类型（Traffic class）、时间选项的硬件IPv6 ACL 和IPv6 QoSL2协议IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IEEE802.1x、IGMP Snooping v1/v2/v3、RLDPIPv6基础协议IPv6编址、邻居发现协议（ND）、ICMPv6、无状态自动配置、PMTU管理协议SNMPv1/v2C/v3、CLI(Telnet/Console)、RMON(1,2,3,9)、SSH、Syslog、NTP/SNTPSNMPv6、SSH/Telnet v6、FTP/TFTP v6、DNS v6、NTP for v6、设备登陆管理的AAA安全认证（IPv4/IPv6）其它协议DHCP Relay、DHCP SnoopingJumbo Frame支持尺寸（长 宽 高）440260 44mm440350 44mm440400 44mm电源176VAC240VAC，50Hz60Hz功耗40W70W125W温度工作温度： 0 到 45存储温度：-40C 到 70C湿度工作湿度： 10% 到 90% RH存储湿度： 5% 到 90% RH RG-S4009可通过SNMP、Telnet、Web和Console等多种方式为企业级用户提供丰富的管理方式，极高的性价比为各类型网络提供多层交换、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、安全、智能的企业网新需求。特别适合作为企业级网络核心层、宽带社区楼栋核心层、电子政务网核心层等层次化、高流量、高安全、高管理需求的大中型网络环境的核心交换机。产品型号RG-S4009端口配置全模块化，共9个模块插槽（1个用于管理引擎模块）模块8口10/100M自适应RJ45接口模块4口百兆多模光纤接口模块4口百兆单模光纤接口模块2口SFP接口千兆以太网模块2口千兆铜缆以太网模块L2协议IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3ab、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.1Q(GVRP)、IEEE802.1d、IEEE802.1w、IEEE802.1s、IGMP SnoopingL3协议OSPF、RIPV1、RIPV2、IGMP管理协议SNMPv1/v2、CLI(Telnet /Console)、Web、RMON(1,2,3,9)、SSH、Syslog其它协议EAPS、BOOTP、DHCP Relay背板64Gbps包转发速率L2：线速（24Mpps）L3：线速（24 Mpps）MAC地址32K802.1Q VLAN4KACLIP标准ACL（基于IP地址的硬件ACL）、IP扩展ACL（基于IP地址、传输层端口号的硬件ACL）、MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）、基于时间ACL、专家级ACL （可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间灵活组合的硬件ACL）端口镜像支持，可分别基于输入/输出流的镜像网络介质和最大传输距离1000BASE-SX（波长850nm）：62.5/125um多模光纤线的最大传输距离为220m；50/125um多模光纤线的最大传输距离为500m； 1000BASE-LX（波长1310nm）：62.5/125um多模光纤线的最大传输距离为550m；50/125um多模光纤线的最大传输距离为550m；9/125um单模光纤线的最大传输距离为10Km；1000BASE-ZX（波长1550nm）：9/125um单模光纤线的最大传输距离为50Km和80Km两种；10/100/1000BASE-T：使用5类UTP或STP最大传输距离为100m；尺寸(宽高深)440 mm 360 mm163mm电源AC 160V240V，48Hz60Hz温度工作温度：0到 50 存储温度：-40 到 70湿度工作湿度: 10% 到 90% RH 存储湿度:5% 到 90% RH4 网络设计方案在企业内部网络中，只能使用专用（私有）IP地址段。在选择专用（私有）IP地址时，应当注意以下几点：1、为每个网段都分配一个C类IP地址段，建议使用192.168.2.0-192.168.254.0段IP地址。由于某些网络设备（如宽带路由器或无线路由器）或应用程序（如ICS）拥有自动分配IP地址功能，而且默认的IP地址池往往位于192.168.0.0和192.168.1.0段，因此，在采用该IP地址段时，往往容易导致IP地址冲突或其他故障。所以，除非必要，应当尽量避免使用上述两个C类地址段。2、可采用C类地址的子网掩码，如果有必要，可以采用变长子网掩码。通常情况下，不要采用过大的子网掩码，每个网段的计算机数量都不要超过250台计算机。同一网段的计算机数量越多，广播包的数量越大，有效带宽就损失得越多，网络传输效率也越低。3、即使选用10.0.0.1-10.255.255.254或172.16.0.1-172.31.255.254段IP地址，也建议采用255.255.255.0作为子网掩码，以获取更多的IP网段，并使每个子网中所容纳的计算机数量都较少。当然，如果必要，可以采用变长子网掩码，适当增加可容纳的计算机数量。4、为网络设备的管理WLAN分配一个独立的IP地址段，以避免发生与网络设备管理IP的地址冲突，从而影响远程管理的实现。基于同样的原因，也要将所有的服务器划分至一个独立的网段。需要注意的是，不要以为同一网络的计算机分配不同的IP地址，就可以提高网络传输效率。事实上，同一网络内的计算机仍然处于同一广播域，广播包的数量不会由于IP地址的不同而减少，所以，仅仅是为计算机指定不同网段，并不能实现划分广播域的目的。若欲减少广播域，最根本的解决办法就是划分VLAN，然后为每个VLAN分别指定不同的IP网段。交换机 如上图所示，需1个3层管网交换机，5个2层管网交换机，共需要大概5000+2000=7000元路由器 使用T-Link 4孔的话，每个100元左右，管理办公楼中，1层2层共需要32个，3层的话，厂长办公室每个1个，会议室1个，机房需要5个，管理办公楼共需要39个。生产车间的话，每个车间5个，3个需要15个。库房的话，2层，每层1个，共需2个。共56*100=5600元。防火墙防火墙(英文：firewall)是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。需要1个，中型企业，大概在1W元左右。VPN设备 使用领航VPN，性价比在国内是比较高的，价格是目前国内品牌中最便宜的，性能相当稳定，大概30元每月。5. VLAN划分使用端口划分VLAN许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。6. 软件系统 软件系统是由系统软件，应用软件，支撑软件组成的。它包括操作系统、语言处理系统、数据库系统、分布式软件系统和人机交互系统等。购买企业管理软件除了要选择具有符合你企业的功能之外，还要看中购买企业的服务。价格不能太低，比如几百块。如果是自主研发的话，成本也不只几百块吧。如果不是自主研发，那么以后的技术支持可能就成问题了。但是如果价格过高，可能一般的公司也不容易接受。青岛金智电子科技有限公司自主研发的金智企业综合管理系统，价格适中，并且从你开始试用到购买再到后期的升级都会有专属客服给你服务，会将你所有的疑问都更好更快的解决。5 网络布线设计方案 布线系统主要部件1. 配线架使用超5类非屏蔽24口配线架，国产的话价格为120到300元之间，办公楼使用5个的话，按120元来算，要花费600元，3个生产车间要用到6*120 也就是720元，库房3个的话，用360元，共需话费1680元。2. 机柜健标机柜：19寸国际标准，42U网络机柜（高2米、宽0.6米、深0.6米）价格2000左右；42U服务器网络机柜（高2米、宽0.6米、深0.8米）价格2500左右，（高2米、宽0.6米、深0.96米）价格3000左右。使用最便宜的2000左右，管理办公楼每个房间都用到1个的话，共21个房间，大概要42000，3个单层生产车间，1个2层库房，最少需要10000，最少共需要52000元。3. 双绞线按1元1米来算，假设每个信息点都插有1根1米双绞线，所有信息点价格=64+64+6+4+20+20*3+4*2=226元。4. 光纤光缆建筑物内部在500米以内，使用多模光纤，8芯一般是3元每米，管理办公楼3层，纵向大概10米，横向要铺设的话，8个房间，房间长度按每个10米，就是80米，中间加上走道的话，应该有100米，宽度5米左右，一层2层共需要10+（100*2+5*16）*2=570米，3层较为特殊，3间办公室大概需要60米，1间会议室需要50米，1间机房大概需要60米，这样1栋楼共需要750米，也就是2250元。生产车间应该要大一点，每个长宽算20米，3个共需要720元。库房有2层，考虑到是仓库类，长度30米，宽度30米，共需要240*3=720元。光是建筑内部，多模8芯光纤就需要3690元。