物流公司网络信息化部署方案与设计0609

XX物流公司网络信息化部署方案与设计

【摘 要】在经济全球化发展中，物流行业已从传统的物质资料运动发展为利用信息技术为消费者提供低成本的服务，这就是现代企业物流。现代物流是企业供应链中的一部分，是为了满足客户的需要将物品、服务和相关信息从原始点向消费点有效益地流动以及存储的计划、执行和有效控制的过程。

物流领域网络化的基础也是信息化，这里指的网络化有两层含义：一是物流配送系统的计算机通信网络，包括物流配送中心与供应商或制造商的联系要通过计算机网络，另外与下游顾客之间的联系也要通过计算机网络通信，比如物流配送中心向供应商提出定单这个过程，就可以使用计算机通信方式，借助于增殖网上的电子定货系统(EOS)和电子数据交换技术(EDI)来自动实现，物流配送中心通过计算机网络收集下游客户的定货的过程也可以自动完成；二是组织的网络化，即所谓的企业内部网(Intranet)。比如，台湾的电脑业在90年代创造出了“全球运筹式产销模式”，这种模式的基本点是按照客户定单组织生产，生产采取分散形式，即将全世界的电脑资源都利用起来，采取外包的形式将一台电脑的所有零部件、元器件、芯片外包给世界各地的制造商去生产，然后通过全球的物流网络将这些零部件、元器件和芯片发往同一个物流配送中心进行组装，由该物流配送中心将组装的电脑迅速发给订户。这一过程需要有高效的物流网络支持，当然物流网络的基础是信息、电脑网络。

物流的网络化是物流信息化的必然，是电子商务下物流活动的主要特征之一。当今世界Internet等全球网络资源的可用性及网络技术的普及为物流的网络化提供了良好的外部环境，物流网络化不可阻挡。

【关键词】物流；局域网；虚拟局域网；路由器；交换机；防火墙

1

引 言

随着网络、数据库及与之相关的应用技术不断发展，尤其国际互联网(Internet)和内部网 (Intranet)技术的广泛应用，世界正在迈入网络中心计算(Network Centric Computing)时代。物流行业也从传统的物质资料运动发展为利用信息技术为消费者提供低成本的服务。

物流信息化的定义是：利用信息技术整合企业内部的业务流程，使企业向着规模经营、网络化运作的方向发展。物流信息化是物流企业相互融合的重要手段。物流行业正以信息技术为手段，向综合性物流企业发展，积极发展第三方物流，实现物流的社会化、专业化、规模化，大幅度提升物流产业的优势。

当今世界全球信息网络资源的可用性及网络技术的普及性为物流的网络化提供了良好的技术支持，物流网络化必将迅速发展。今后数年，我国全国性物流系统的基础建设如各种物流通路、大型物流中心的建设将会有较快发展，现代化的物流配送系统亦将逐步成熟。所以，积极整合物流资源，实现物流系统战略性功能重组；完善综合性运输体系，构建促进高新技术产业带发展的现代物流支撑系统；建立物流信息平台，构筑现代化全程电子物流网络，成为当今物流行业信息化的首要任务。

2

第一章 需求分析

1.1 网络以及应用现状

XX物流公司网络信息化部署项目涉及总公司局域网安全建设以及与公司仓库和公司老客户之间的专网连接，基本情况如下：

总公司有独立的Internet出口，总公司局域网与公司仓库局域网是两个单独的网络，没有直接相连，总公司访问公司仓库数据库通过Internet进行，公司老客户也是能过Internet与总公司进行连接。总公司没有架构WEB服务，所以暂还没有电子商务业务。 目前网络当中存在如下问题：

? 由于公司业务的扩展，办公电脑的增多，原有网络交换机性能出现瓶颈，需要增加更多性能更高的网络交换机和路由器。

? 由于网络带宽增大，上网用户增多，原有软件防火墙系统性能出现瓶颈，需要部署更高性能的防火墙。

? 原有防火墙系统版本较老，功能较弱，需要功能更强大的防火墙系统，提供更高精细粒度的安全控制。

? 没有网关防病毒系统，在内部网络中，网络蠕虫病毒以及POP3，SMTP， IMAP ，HTTP，FTP等网络病毒猖獗。

? 内部网络IP地址没有采取技术措施固定，没有划分VLAN，没有进行有效安全隔离，致使攻击行为很容易发生，且不易找到攻击者。

? 没有部署VPN，外出用户无法通过Internet安全的访问公司内网，总公司访问仓库数据库不安全。

? 没有对来自Internet的流量进行内容过滤。

? 对于网络流量没有进行带宽控制，如果内部电脑中了蠕虫病毒的计算机就可能导致整个网络堵塞。

1.2 网络建设目标

物流信息化是物流行业发展和建设的目标，网络的建设是物流信息化基础和平台。本设计就物流公司的网络平台子系统、服务平台两个方面来部署：

3

网络平台子系统建设：

1、具有高速、安全、可靠、简便管理的网络平台，作为物流信息化数据业务及其它业务的统一承载和传输平台。

2、具有高性能、高速度的网络服务器系统，让客户机有高速的查询浏览速度。 3、具有能够与INTERNET相连接的WEB服务器，使用户能够通过INTERNET查询、检索相关信息。

4、具有高性能的数据服务器以存储大量的客户信息、沟通资料。 安全和管理功能建设：

1.网络管理功能：网络管理要形成基于统一网管、简便直观、功能强大的网管系统，能对所有网络互连设备及网络服务器的运行状态进行监控和管理。 2.网络安全和信息加密：建立先进而实用的网络安全体系，确保信息在传输、利用和管理过程中的安全。

4

第二章 系统设计原则和关键技术说明

2.1 系统设计原则

为实现物流公司网络高质、高效互联的目标要求，在网络设计构建中，应始终坚持以下建网原则： (1) 高可靠性

网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力；合理设计网络架构，制定可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。网络设备在出现故障时应便于诊断和排除，充分体现计算机网络的高可靠性。 (2) 技术先进性和实用性

在保证满足物流公司业务、应用系统业务的同时，要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来发展趋势。 (3) 高性能

骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、图像）的高质量传输，才能使网络不成为业务开展的瓶颈。 (4) 标准开放性

支持国际上通用的网络协议、路由协议等开放的协议标准，有利于保证与其他网络（如中国教育网、公共数据网、学校之间等其他网络）之间的平滑连接互通，以及将来网络的扩展。 (5) 灵活性及可扩展性

根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度地减少对网络架构和现有设备的调整。 (6) 可管理性

对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析及故障自动报警功能。 (7) 安全性

制定统一的网络安全策略，整体考虑网络平台的安全性。保证关键数据不被

5

非法窃取、篡改或泄漏，使数据具有极高的可信性。 (8) 兼容性和经济性

兼容性，能够最大限度地保证公司现有各种计算机软、硬件资源的可用性和连续性，为不同的现存网络提供互联和升级的手段，保证各种在用计算机系统（包括工作站、服务器和微机等设备）的互连入网，充分利用现有网络资源，发挥高速网络的优势。经济性，就是在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有设备或做必要的升级。

2.2 系统设计目标

本课题设计就是本市XX物流公司为实例，XX物流公司内部网络增设防火墙等设备，交换机配置VLAN，路由器配置策略，保证总部内数据安全。同时增设WEB服务器，实施电子商务业务，根据业务需求实施公司总部、仓库之间和老客户的VPN专网部署。网络建设完成后，保证公司总部局域网状态稳定，仓库数据库访问安全，公司基于网络的业务运转正常。

2.3 关键技术说明

2.3.1 局域网技术的特点

局域网LAN (Local Area Network)，是指范围在几十米到几千米内办公楼群或校园内的计算机相互连接所构成的计算机网络。一个局域网可以容纳几台至几千台计算机。按局域网现在的特性看，计算机局域网被广泛应用于校园、工厂及企事业单位的个人计算机或工作站的组网方面。从广义上讲，局域网(LAN)是联网距离有限的数据通信系统，它支持各种通信设备的互连，并以廉价的媒体提供宽频带的通信来完成信息交换和资源共享，而且通常是为用户自己所专有的。 局域网经过了近三十年的发展，尤其是快速以太网(100Mb/s)和吉比特以太网(1Gb/s)、10吉比特以太网(10Gb/s)进入市场后，以太网已经在局域网市场中占据了绝对优势。现在以太网几乎成了局域网的同义词，因此本次毕业设计中主要讨论以太网技术。 (1) 传统以太网

以太网（Ethernet）是以CSMA/CD方式工作的典型网络。由于以太网的工业

6

标准是由DEC、Intel和Xerox三家公司合作制定，故又称为DIX规范。在此基础上，IEEE802委员会的802工作组于1983年制定了第一个IEEE的以太网标准，其编号为802.3，数据率为10Mb/s。 (2) 快速以太网

快速以太网（Fast Ethernet）是传统以太网的100Mbps版本，是以太网最直接和简单的延伸。它可以应用在共享式环境下，同时也可以应用在交换式环境下，并可作为主干技术提供优异的服务质量。快速以太网和传统以太网同样遵循CSMA/CD协议，最方便的实现10Mbps LAN无缝连接到100Mbps LAN上，最大限度的保护用户的现有投资。 (3) 吉比特以太网

吉比特以太网（Gigabit Ethernet）又称为千兆以太网，是IEEE802.3z以太网的标准，传输速度为每秒1000兆位（即1Gbps）。应用于大型信息网，能与现有的10Mbps以太网和100Mbps快速以太网连接。它可取代100Mbps FDDI网，也是ATM技术的强劲对手。吉比特以太网采用同样的CSMA/CD协议，同样的帧格式，是现有以太网最自然的升级途径，使用户对原有设备的投资得以保护。

2.3.2 虚拟局域网技术的特点

1. VLAN的定义

VLAN是英文Virtual Local Area Network的缩写，即虚拟局域网。一方面，VLAN建立在局域网交换机的基础之上；另一方面，VLAN是局域交换网的灵魂。这是因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。

这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。

VLAN与普通局域网从原理上讲没有什么不同，但从用户使用和网络管理的角度来看，VLAN与普通局域网最基本的差异体现在：VLAN并不局限于某一网络或物理范围，VLAN中的用户可以位于一个园区的任意位置，甚至位于不同的国家。

2. VLA N的优点 (1) 控制网络的广播风暴

7

采用VLAN技术，可将某个交换端口划到某个VLAN中，而一个VLAN的广播风暴不会影响其它VLAN的性能。 (2) 确保网络安全

共享式局域网之所以很难保证网络的安全性，是因为只要用户插入一个活动端口，就能访问网络。而VLAN能限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某台设备的MAC地址，因此VLAN能确保网络的安全性。 (3) 简化网络管理

网络管理员能借助于VLAN技术轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络，其成员可能遍及全国或全世界，此时，网络管理员只需设置几条命令，就能在几分钟内建立该项目的VLAN网络，其成员使用VLAN网络，就像在本地使用局域网一样。

2.3.3 VPN专网技术的特点

VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一 样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或Windows 2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。

虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。 虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

2.3.4 防火墙技术的特点

防火墙是网络安全的屏障，配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指一个由软件或和硬件设备组合而成，处于企业

8

或网络群体计算机与外界通道之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。当一个网络接上Internet之后，系统的安全除了考虑计算机病毒、系统的健壮性之外，更主要的是防止非法用户的入侵，而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分，可实现内部网络中重点网段的隔离，从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。防火墙技术一般分为两类：网络级防火墙和应用级防火墙。网络级防火墙主要是用来防止整个网络出现外来非法入侵。属于这类的有分组过滤器和授权服务器。前者检查所有流入本网络的信息，然后拒绝不符合实现制定好的一套准则的数据，而后者则是检查用户的登录是否合法。应用级防火墙主要从应用程序来进行接入控制。同时防火墙在网络安全防护方面也存在着明显的不足，它不能防止内部攻击；不能防止未经过防火墙的攻击；不能取代杀毒软件；也不易防止反弹端口木马攻击。

我们在物流总公司及地方分支机构的网络构建上应用防火墙的设置，这就相当于给整个网络加上了一道“大门”，所有的访问者必须进过防火墙才可以进入，这样我们就可以首先将一部分非法用户隔离在网络之外并组织一部分计算即将病毒的侵入。

2.3.5 入侵检测技术的特点

入侵检测系统(Intrusion Detection System简称IDS)是从多种计算机系统及网络系统中收集信息，再通过这此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门，它能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击；在入侵攻击过程中，能减少入侵攻击所造成的损失；在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及

9

时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

入侵检测技术的功能主要体现在以下方面：监视分析用户及系统活动，查找非法用户和合法用户的越权操作。检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞；识别反映已知进攻的活动模式并向相关人士报警；对异常行为模式的统计分析；能够实时地对检测到的入侵行为进行反应；评估重要系统和数据文件的完整性；可以发现新的攻击模式。

我们使用入侵检测技术作为防火墙的后的第二道防线，防火墙是我们的“大门”那么当入侵者通过“大门”进入院子（内部网络）开始进行攻击时，入侵检测系统将第一时间发现并报警提醒，驱逐不法入侵攻击。并在被入侵之后收集相关信息。添加到应对策略中，避免再次被同类型的手段入侵。这样就进一步的将一些不被授权的访问者驱逐，再次提升网络的安全级别，使我们的网络更加安全。

2.3.6 数据加密技术的特点

与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。

数据加密技术主要分为数据传输加密和数据存储加密。数据加密过程就是通过加密系统把原始的数字信息(明文)，按照加密算法变换成与明文完全不同得数字信息(密文)的过程。数据加密主要用于对动态信息的保护。动态数据的攻击分为主动攻击和被动攻击。对于主动攻击，虽无法避免，但却可以有效地检测；而对于被动攻击，虽无法检测，但却可以避免，实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法，这种变换是受“密钥”控制的。在传统的加密算法中，加密密钥与解密密钥是相同的，或者可以由其中一个推知另一个，称为“对称密钥算法”。这样的密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信急，也可以用该密钥解密信息，DES是对称加密算法中最具代表性的算法。如果加密/解密过程各有不相干的密钥，构成加密/解密的密钥对，则称这种加密算法为“非对称加密算法”或称为“公钥加密算法”，相应的加密/解密密钥分别称为“公钥”和“私钥”。在公钥加密算法中，公钥是公开的，任何人可以用公钥加密信息，再将密文发送给私钥拥有者。私钥是保密的，用于解密其接收的公钥加密过的信息。典型的公钥加密算法如RSA是目前使用比较广泛的加密算法。在保障信息安全各种功能特

10

性的诸多技术中，密码技术是信息安全的核心和关键技术，通过数据加密技术，可以在一定程度上提高数据传输的安全性，保证传输数据的完整性。

2.3.6 防病毒技术的特点

随着计算机技术的不断发展，计算机病毒变得越来越复杂和高级，对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件，从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上，即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒，一旦病毒入侵网络或者从网络向其它资源传染，网络防病毒软件会立刻检测到并加以删除。

正是由于病毒的存在，我们需使用防病毒技术来防止病毒的入侵，或者在病毒已经入侵的情况下，及时的发现并清除，以保护公司的网络处于一个安全、稳定、不受病毒侵害的环境。使公司的正常工作与交流能够正常的进行。

11

第三章 系统总体方案设计

3.1 局域网方案选择与实现

物流企业输送的是各种货物，对于他们的客户来说，需要随时了解货物的动态信息；另一方面，对于物流企业内部管理，庞大的资金动作，实时的库存，各种经营数据、财务数据都需要及时反馈到公司的管理部门，以便对数据进行集中管理，这些特点决定了物流企业，必须建立内部网络来实时处理业务。

3.1.1 网络结构设计

1. 网络需求特点

●

以百兆交换设备构建主干，实现百兆交换到桌面，主干要求支持第三层交换

技术；

●●●

具有良好的可扩展性，并且要便于网络管理员进行日常维护； 实现内、外物理隔离，保证网络内部数据的安全；

控制服务的优先级和质量，可以根据特定的地址、协议来划分优先级，满足

重要应用的带宽需求；

●

多种路由协议支持；

室内布线材料选用超五类非屏蔽双绞线，合理安排配线间位置，尽量避免传

●

输距离超长情况的发生。 2. 网络总体结构

基于设计中使用的例子——XX物流公司网络信息化部署，现就总公司办公局域网的应用需求，设置一个配线间作为整个系统的网管中心，其他各楼层通过超五类100M双绞线连接到核心交换机。公司同部门员工内网访问由用户接入层交换机来完成数据包的解析和计算，由交换机来完成同一网段内的数据包转发，三层交换机来完成不同网段VLAN之间的数据转发，整个网络数据流向合理。并可以通过核心层的链路冗余和设备冗余，实现了数据的快速转发和全网的链路冗余（生成树Spanning Tree），排除了单一故障点，保证了网络应用的安全稳定。实现主干链路的冗余和数据流量的均衡分布。

3.1.2 网络设备配置

1. 核心层设备

由于设计中，物流公司网络发展规模较大，未来需提供多个部门的等复杂的

12

网络应用，为便于管理，将选用交换机作为网络组建交换设备。选用1台C3750交换机作为主干交换机实现100M做主干100M到桌面的需求。

2. 接入层设备

在工作区的楼层交换，采用了思科的C2918以太网交换机与中心交换互连，并与终端用户连接，所有的链路都实现100M到桌面的需求。综上所述，整个网络配置以太网交换机C3750为核心，从硬件设计实现上提供了完善的系统可靠性保证方案，通过这些方法的合理组合运用，可以保证网络在各种不同的网络流量情况下，实现系统的高可靠性和可用性，并实现网络流量的负载均衡，提高网络的整体运行效率。

3.1.3 局域网拓朴图

Internet物流系统路由器防火墙核心层交换机Mail服务器DMZ区域Web服务器OA系统内网服务器 接入层交换机………财务部Vlan 2资料部Vlan 3运输部Vlan 4市场部Vlan 5

XX物流总公司办公网拓扑图

3.2 广域网方案选择与实现

XX物流公司在全市设有公司总部及多个分站和仓库，分公司和仓库与总部经常有数据信息交互以及同步使用现行的C/S结构物流管理系统的需求。另外，公司还采用了内部邮件、办公OA等系统，也迫切需要让分支机构享受总部的信

13

息化成果。但由于地域的限制，此系统也只能在公司总部局域网内使用，外地分支机构用户要获取物流管理系统中的运单、报价是、客户等方面的信息，只能通过发邮件、打电话、发传真等方式来解决，实时性、安全性都不高，并加大了人工处理的工作量。

3.2.1 网络结构设计

1. 组网技术分析

在国内宽带未普及之前，有些物流企业采取了分支机构用户电话长途拔号来访问总部服务器，这种方式速度慢、不支持几个分支机构同时接入总部，而且支付的通讯费用高。

随着近期网络的发展，解决远程分支机构和总部互联有两种常用的方式，一是租用DDN专线，二是通过VPN建立虚拟的专线网络。DDN联网方式由于费用昂贵，实施周期长，无法解决出差移动人员的接入，正在逐步地被高速发展的Internet VPN联网方式所取代。 2. VPN组网 具体网络结构如下：

PC物流系统数据库物流系统OA系统PC公司仓库公司内网VPN安全网关InternetVPNDMZ区域VPN安全网关总部集成全功能VPN客户端只要浏览器即可实现移动办公Web服务器Mail服务器公司总部客户 2客户 1

14

第四章 系统硬软件设计

4.1 中心机房

中心机房是整个公司网络系统的核心，包括服务器、工作站(控制台)、交换机、路由器、防火墙等网络设备。主要是为用户以及员工提供IT服务的地方，小的十几平米，一般放置一到二个机柜，大的上万平米放置上千个机柜，甚至更多，机房的温度和湿度以及防静电措施都有严格的要求，非专业项目人员一般不能进入，机房里的服务器运行着很多业务，机房很重要，没有了机房，工作、生活都会受到极大影响，所以每个机房都要有专业人员管理，保证业务正常运行。

4.1.1 中心机房的性能指标

1.环境要求: 室内温度应保持在10℃～27℃，相对湿度应保持在60％～80％. 2.电源要求：中心机房根据实际需要应配备独立三相交流电源，单相交流电压为220伏，频率50～60HZ，功率5～15千瓦，其电压变动按国家B级要求不能大于-10%～+7%；周波变化不能大于-0.5 Hz～+0.5Hz。

3.接地装置:中心机房一定要有良好的接地系统，这是计算机设备稳定、可靠、安全工作的保证。按国家标准，一般交流工作接地值应≤4Ω；安全保护接地值也应≤4Ω。

4.静电要求:静电是引起计算机故障的重要原因之一。计算机机房的地板是静电产生的主要来源，因此中心机房必须安装和使用防静电活动地板。一般应采用全钢防静电地板，其系统电阻值应≦10Ω。

4.2 工作站

工作站是管理员的操作终端，在物理实体上可以是一台普通PC机，也可以是便携式笔记本，其上装有操作终端软件，支持TCP/IP传输协议。管理员通过操作终端登录中心服务器，可以对系统中各种参数进行配置，可以进行任务的配置与下发，可以进行网络设备的管理与维护，以及测试数据的调用和查看等。工作站可以安装在任何地方。为了便于管理员接入系统，可以在系统和Internet之间设一安装有防火墙的网关，这样管理员通过笔记本电脑可以随时随地接入系统。

15

4.2 服务器

服务器是网络运行、管理和提供服务的中枢，在网络系统中具有十分重要的意义，它的选择直接影响网络的整体性能。 1．以主机类型分类

（1）采用大型机、中型机和小型机作为网络服务器

使用这种服务器作为网络主机可使网络系统具有非常强的容错性和扩充性，可以保证数据的完整和可靠。

（2）采用PC专用服务器作为网络服务器

一般的PC专用服务器把大型机和小型机的超强的数据和事物处理能力、完善的数据保护能力、多级容错能力、较强的扩充能力和PC服务器的操作简单、兼容性强、价格低等融为一体，尤其是一些关键技术的突破和采用，使PC服务的功能和指标得以进一步和发展，已经冲击了中小型机的市场，有些PC服务器的性能可与小型匹敌。

（3）采用高档PC机作为服务器

随着PC机快速的发展，功能愈来愈强，采用PC机作服务器价格低、兼容性强、扩充性能好、易操作、升级方便。 2．从用途上分类 （1）运算服务器

运算服务器是进行快速事务处理的运算系统，它的性能主要取决于服务器中CPU的运算速度。 （2）网络文件服务器

网络文件服务器是网络逻辑结构的中心，主要为网络用户提供文件共享的存储服务，因此它主要要求有一个快速的I/O通道、快速响应的磁盘和海量的高速存储器。

（3）数据库服务器

数据库服务器主要提供数据库的存储、计算等事物处理，要有功能较强的CPU，更高速的I/O通道，以便于提高数据库的访问速度，减少网络瓶颈。 3．影响服务器性能的主要因素

16

对于服务器本身的选择来看，首先应该考虑CPU的性能。其次存储器的大小是影响服务器运行性能的另一个主要因素，内存大时，可以减少内存与外存间数据交换的次数。

4.服务器主流产品介绍 目前主要的Unix服务产品有：

（1）DEC Alpha Server(2000、4000、8000)； （2）SGI:Origin200、 Origin2000； （3）SUN: Ultra Enterprise； （4）IBM:AS/400、RS/6000；

（5）HP:HP 9000D、HP9000K、HP9000T；

4.3 主要的网络设备

4.3.1 核心层交换机

Catalyst 3750-24TS配有24个10/100端口和2个SFP上行链路：对于中型机构和企业分支机构来说， Cisco Catalyst 3750系列通过提供配置灵活性、支持融合网络模式及自动进行智能网络服务配置，简化了融合应用的部署，并可针对不断变化的业务需求进行调整。此 外，Cisco Catalyst 3750系列针对高密度千兆位以太网部署进行了优化，包括多种交换机，以满足接入、汇聚或小型网络骨干连接需求。

Cisco Catalyst 3750系列可采用标准多层软件镜像（SMI）或增强多层软件镜像（EMI）。SMI特性集包括高级服务质量(QoS)、限速、访问控制列表(ACL)， 以及基本静态和路由信息协议(RIP)路由功能。EMI则提供了更为丰富的企业级特性集，包括先进的基于硬件的IP单播和组播路由。

4.3.2 接入层交换机

Cisco Catalyst 2918-24TT-C配有24个10/100以太网端口和2个

10/100/1000BAST-T上行端口。Cisco Catalyst 2918系列交换机是面向中国市场中小规模网络部署的入门级固定配置交换机。Catalyst 2918采用简体中文的设备面板和图形化界面，以特优的性价比，为入门级配线间和小型分支机构提供桌面快速以太网和千兆上行网络连接。Cisco Catalyst 2918 系列通过提供完备的入门级安全策略、服务质量(QoS)和可用性功能，降低了企业网络总体拥有成本。该

17

系列交换机还为中国企业用户提供了从非智能集线器和 不可管理的交换机向便于扩展的可管理网络迁移的简便的途径。

4.3.2 主干路由器

Cisco Systems通过Cisco 2600系列将企业级的通用性、集成和功能扩展到了创建以机构。随着新服务和应用的面市，Cisco 2600系列的模块化体系结构能够提供适应网络技术变化所需的通用性。Cisco 2600系列配置了强大的RISC处理器，能够支持当今不断发展的网络中所需的高级服务质量（QoS）、安全和网络集成特性。通过将多个独立设备的功能集 成到一个单元之中，Cisco 2600系列降低了管理远程网络的复杂性。Cisco 2600系列与Cisco 1600、1700和3600系列共享模块化接口，为Internet、内部网访问、多服务语音/数据集成、模拟和数字拨号访问服务、VPN访问、ATM 访问集中、VLAN以及路由带宽管理等应用提供经济有效的解决方案。

4.3.3 防火墙及VPN网关

Cisco ASA 5500 系列 SSL/IPsec VPN版能够为任何方案连接提供灵活的VPN技术，每台设备可以扩展到同时支持5000名用户。它通过 SSL、数据报传输层安全性（DTLS）、IPsec VPN 客户端技术、高级无客户端SSL VPN功能以及网络敏感型站点到站点 VPN 连接提供易于管理的全通道网络接入，使移动用户、远程站点、合同商和商业合作伙伴都能通过公共网络建立安全连接。由于取消了扩展和保护VPN所需要的辅助 设备，因而降低了VPN的部署和运作成本。

4.4 网管系统

网管系统包括网管工作站、网管软件。

在计算机网络的质量体系中，网络管理是一个关键环节，网络管理的质量也会直接影响网络的运行质量。因此，一般来讲，计算机系统有一定规模并连网的单位，就有网管的需求，尤其是办公地点分布于各处的单位，有了网管系统为网络把脉，就可查看全网的网络连接关系，检查各种设备可能出现的问题，检测网络性能瓶颈出在何处，并进行自动处理或远程修复，促进网络的高效运转。 网络管理就是通过某种方式对网络状态进行调整，使网络能正常、高效地运行。其目的很明确，就是使网络中的各种资源得到更加高效的利用，当网络出现故障时，能及时作出报告和处理，并协调、保持网络的高效运行等。从实际应用的角度出发，网管的主要内容包括：

18

拓扑管理：自动发现网络内的所有设备（包括三层设备和二层设备），能够正确地产生拓扑结构图并自动更新。

故障管理：将所有网络设备的故障相互联系起来，对故障进行隔离并采取恢复措施。

配置管理：提供跟踪变化的能力，为网络上的所有设备配置、安装和分配软件。

性能管理：提供一个连续的、可从中监视网络性能和资源位置。

服务级别管理：在用户与服务提供者之间定义服务级别协议，并检查用户所要求的服务是否被满足。

帮助台：设立呼叫受理中心，接受来自用户的故障报告以及自动发现网络的故障，经过特定的程序解决故障。

19

第五章 网络系统调试

5.1 系统调试思路

前面几章对如何设计一个较为完整的局域网网络进行了详细的介绍。当网络初具规模后，还应该对网络的整体运行情况做一下细致的测试和评估。主要的测试内容应该包括：

??对管理IP地址的测试。

??对相同VLAN内的通信进行测试。 ??对不同VLAN内的通信进行测试。 ??对冗余链路的工作状态进行测试。 ??对广域网接入路由器上的ACL进行测试。 ??对VPN远程访问服务进行测试。 ??对各种服务器提供的服务进行测试。 具体的测试步骤，如下给出相关测试、诊断命令。

5.2 交换机、路由器以及主要网络设备的配置

在工程实施过程中，涉及到的网络设备主要包括：路由器和中心交换机以及楼层交换机。

5.1.1 交换机的主要配置：

C3750-ZBVlan1:192.168.1.1Vlan2:192.168.2.1Vlan3:192.168.3.1Vlan4:192.168.4.1Vlan5:192.168.5.1G1/0/1F0/24G1/0/2F0/24G1/0/3F0/24 C2918-ZLIP:192.168.3.2G1/0/4F0/24 C2918-YSIP:192.168.4.2 C2918-SCIP:192.168.5.2 C2918-CWIP:192.168.2.2……财务部Vlan 2资料部Vlan 3运输部Vlan 4市场部Vlan 5

20

1. 接入层交换机的主要配置(以C2918-CW交换机为例)

(config)#hostname C2918-CW /修改交换机名 C2918-CW(config)#username cisco privilege 15 password cisco /设置用户的认证口令为加密方式，口令为 cisco C2918-CW(config)#int vlan 1 /进入管理VLAN1接口 C2918-CW(config-if)#ip add 192.168.2.2 255.255.255.0

/配置交换机管理IP地址，用于测试连通性

C2918-CW(config-if)#no sh C2918-CW(config)#line vty 0 4 C2918-CW(config-line)#login local C2918-CW(config)#line vty 5 15 C2918-CW(config-line)#no login C2918-CW(config)#line console 0 C2918-CW(config-line)#login local

2.核心层交换机的主要配置(主要是VLAN配置) (config)#hostname C3750-ZB C3750-ZB (config)#vlan 2 name CW C3750-ZB (config)#vlan 3 name ZL C3750-ZB (config)#vlan 4 name YS C3750-ZB (config)#vlan 5 name SC C3750-ZB(config)#int vlan 1

C3750-ZB(config-if)#ip address 192.168.1.1 255.255.255.0 C3750-ZB(config-if)#no shutdown C3750-ZB(config-if)#int vlan 2

C3750-ZB(config-if)#ip address 192.168.2.1 255.255.255.0 C3750-ZB(config-if)#no shutdown C3750-ZB(config-if)#int vlan 3

C3750-ZB(config-if)#ip address 192.168.3.1 255.255.255.0 C3750-ZB(config-if)#no shutdown C3750-ZB(config)#int vlan 4

C3750-ZB(config-if)#ip address 192.168.4.1 255.255.255.0 C3750-ZB(config-if)#no shutdown C3750-ZB(config)#int vlan 5

C3750-ZB(config-if)#ip address 192.168.5.1 255.255.255.0

21

C3750-ZB(config-if)#no shutdown C3750-ZB(config-if)#exit C3750-ZB(config)#ip routing C3750-ZB(config)#no ip do loo

5.1.2 防火墙的主要配置：

实现以下功能：

1、内网中的所有用户可以防问Internet和DMZ中的WEB服务器。 2、外网的用户可以防问DMZ区的Web平台。

3、DMZ区的WEB服务器可以防问内网中的SQL数据库服务器和外网中的其它服务器。

注：DMZ区WEB服务器作为应用服务器，使用内网中的数据库服务器。 ASA 5500(config)# nameif ethernet0 outside security0 ASA 5500(config)# nameif ethernet1 inside security100 ASA 5500(config)# nameif ethernet2 dmz security50

/初始化Pix防火墙, 给每个边界接口分配一个名字，并指定安全级别

ASA 5500(config)# ip address outside 222.134.135.98 255.255.255.252 ASA 5500(config)# ip address inside 192.168.1.1 255.255.255.0 ASA 5500(config)# ip address dmz 10.0.0.1 255.255.255.0

/给每个接口分配IP地址

ASA 5500(config)# route outside 0.0.0.0 0.0.0.0 222.134.135.97 1 ASA 5500(config)# route dmz 10.0.0.0 255.255.255.0 10.0.0.1 1 ASA 5500(config)# route insi 192.168.1.0 255.255.255.0 192.168.1.1 1 ASA 5500(config)#route outside 222.134.135.96 255.255.255.252

222.134.135.98 1

/为Pix防火墙每个接口定义一条静态或缺省路由

ASA 5500(config)# dhcpd address 192.168.1.2-192.168.1.100 inside ASA 5500(config)# dhcpd dns 202.102.152.3 202.102.134.68 ASA 5500(config)# dhcpd enable inside

/配置Pix防火墙作为内部用户的DPCH服务器

ASA 5500(config)# nat (inside) 10 192.168.1.0 255.255.255.0 ASA 5500(config)# nat (dmz) 10 10.0.0.0 255.255.255.0 ASA 5500(config)# global (outside) 10 interface

ASA 5500(config)# global (dmz) 10 10.0.0.10-10.0.0.254 netmask

255.255.255.0

22

/通过设置NAT和PAT来实现高安全级别接口上的主机对低安全级别接口上的主机的防问。

static (dmz,outside) tcp interface www 10.0.0.2 www dns netmask

255.255.255.255 0 0

access-list outside_access_in line 1 permit tcp any interface outside access-group 101 in interface outside

static (inside,dmz) 10.0.0.9 192.168.1.200 netmask 255.255.255.255 0 access-list dmz_access_in line 1 permit tcp any any access-group dmz_access_in in interface dmz

/通过静态内部转换可以实现DMZ区的主机对内网中的主机的防问。

5.3 相关测试、诊断命令

1.标准ping命令。用于测试设备间的物理连通性。 ping 172.31.255.253

C:\\Documents and Settings\\zfzx>ipconfig Windows IP Configuration Ethernet adapter 本地连接:

Connection-specific DNS Suffix . : IP Address. . . . . . . . . . . . : 192.168.1.2 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.1.1 C:\\Documents and Settings\\zfzx>ping 172.31.255.253 Pinging 172.31.255.253 with 32 bytes of data:

Reply from 172.31.255.253: bytes=32 time=2ms TTL=126 Reply from 172.31.255.253: bytes=32 time=1ms TTL=126 Reply from 172.31.255.253: bytes=32 time=2ms TTL=126 Reply from 172.31.255.253: bytes=32 time=2ms TTL=126 Ping statistics for 172.31.255.253:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:

Minimum = 1ms, Maximum = 2ms, Average = 1ms

2. 命令show brief interface用于显示各接口的状态及参数简单信息。

dis bri int

Interface Link Protocol-link Protocol type Main IP Aux0 DOWN DOWN PPP -- Ethernet0/0 UP UP ETHERNET 172.31.255.1

23

Ethernet0/1 DOWN DOWN ETHERNET 192.168.1.1 NULL0 UP UP (spoofing) NULL --

Serial2/0 UP UP PPP 192.168.168.1 Serial2/1 UP UP PPP 192.168.168.25 Serial2/2 UP UP PPP 192.168.168.9 Serial2/3 UP UP PPP 192.168.168.13

3．命令show ip route用于显示当前路由表内容

GuoKuZhiFu-Route-AR2831-4E1-F>dis ip rout Routing Table: public net

Destination/Mask Protocol Pre Cost Nexthop Interface 127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoopBack0 127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0 172.31.255.0/24 DIRECT 0 0 172.31.255.1 Ethernet0/0 172.31.255.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0 192.168.1.0/24 STATIC 60 0 192.168.168.2 Serial2/0 192.168.3.0/24 STATIC 60 0 192.168.168.10 Serial2/2 192.168.4.0/24 STATIC 60 0 192.168.168.14 Serial2/3 192.168.7.0/24 STATIC 60 0 192.168.168.26 Serial2/1 192.168.168.0/30 DIRECT 0 0 192.168.168.1 Serial2/0 192.168.168.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0 192.168.168.2/32 DIRECT 0 0 192.168.168.2 Serial2/0 192.168.168.8/30 DIRECT 0 0 192.168.168.9 Serial2/2 192.168.168.9/32 DIRECT 0 0 127.0.0.1 InLoopBack0 192.168.168.10/32 DIRECT 0 0 192.168.168.10 Serial2/2 192.168.168.12/30 DIRECT 0 0 192.168.168.13 Serial2/3 192.168.168.13/32 DIRECT 0 0 127.0.0.1 InLoopBack0 192.168.168.14/32 DIRECT 0 0 192.168.168.14 Serial2/3 192.168.168.24/30 DIRECT 0 0 192.168.168.25 Serial2/1 192.168.168.25/32 DIRECT 0 0 127.0.0.1 InLoopBack0 192.168.168.26/32 DIRECT 0 0 192.168.168.26 Serial2/1

24

第六章 总结

本毕业设计从物流公司网络信息化部署的建设思想、目标、可以选用的网络技术以及对网络设备的介绍和选择等多方面的论述，使我们对物流网建设工程有了一个比较深入的了解，物流网络建设作为一项重要的系统工程，它的所用到的各种技术是多方面的，即有网络技术、工程施工技术，也有管理制度等各个方面的知识。随着信息技术与通信技术的飞速发展及人们对网络性能要求的提高，各种网络新技术、新思想等必将产生并不断得到完善和发展。使得更多更好的建网思想和技术应用到新的物流网的建设及改造之中，物流网的功能也将得到很大的提高与扩充。网络技术的发展是永无止境的，在前进的过程中必将有更多的知识需要我们去学习与研究，并能将其应用到实际的网络工程建设之中。

由于物流网功能齐全，技术含量高，接触面广，在网络设计、规划和建设中都非常复杂，在在论述中不可能面面具到，同时也由于本人的知识水平有限，文中的不足和错误在所难免，敬请各位老师多多指点和更正。

本篇毕业设计（论文）的完成，首先感谢母校的辛勤培育之恩，使我学到了许多新的知识，给了我一个好的实习环境。特别是在校园进行局域网建设期间，本人得到了一个好的学习与实践的机会。

本设计是在学院老师的指导下完成的，老师广博的知识、诚恳的为人，使我受益匪浅，在学习和生活上都给予我许多的指导和照顾。在学校学习期间，还得到了多位老师的指点与帮助，我在此对传授我知识的各位老师表示崇高的敬意和诚挚的谢意。此外，在我的学习及实习期间，还得到了同班同学们的支持和鼓励，我对这些同学表示我衷心的感谢

25

【参考文献】

【1】宋煜纬.网络规化技术教程[Ｍ].北京:国防工业出版社,2002. 【2】孙建华.网络系统管理——Linux[Ｍ]. 北京:人民邮电出版社,2002. 【3】赵兵.计算机维护与维修教程[Ｍ].北京:人民邮电出版社,2002. 【4】陈明.网络设计教程[Ｍ].北京:清华大学出版社,2004.

【5】陈俊良.计算机网络系统集成与方案实例[Ｍ].北京:机械工业出版社,2001. 【6】谢希仁.计算机网络[Ｍ].北京:电子工业出版社,2003.

【7】来宾.综合布线与网络工程[Ｍ].北京：冶金工业出版社,2003.

【8】张浩军.计算机网络操作系统：Windows 2000 Server 管理与配置[Ｍ].北京:中国水利水电出版社,2003.

【9】张仁斌.网络安全技术[Ｍ].北京:清华大学出版社,2004.

【10】倪鹏云.计算机网络系统结构分析[Ｍ].北京:国防工业出版社,1999.

【11】飞思科技产品研发中心.纵横四海——局域网组建与管理[Ｍ].北京:电子工业出版社,2002.

26

【参考文献】

【1】宋煜纬.网络规化技术教程[Ｍ].北京:国防工业出版社,2002. 【2】孙建华.网络系统管理——Linux[Ｍ]. 北京:人民邮电出版社,2002. 【3】赵兵.计算机维护与维修教程[Ｍ].北京:人民邮电出版社,2002. 【4】陈明.网络设计教程[Ｍ].北京:清华大学出版社,2004.

【5】陈俊良.计算机网络系统集成与方案实例[Ｍ].北京:机械工业出版社,2001. 【6】谢希仁.计算机网络[Ｍ].北京:电子工业出版社,2003.

【7】来宾.综合布线与网络工程[Ｍ].北京：冶金工业出版社,2003.

【8】张浩军.计算机网络操作系统：Windows 2000 Server 管理与配置[Ｍ].北京:中国水利水电出版社,2003.

【9】张仁斌.网络安全技术[Ｍ].北京:清华大学出版社,2004.

【10】倪鹏云.计算机网络系统结构分析[Ｍ].北京:国防工业出版社,1999.

【11】飞思科技产品研发中心.纵横四海——局域网组建与管理[Ｍ].北京:电子工业出版社,2002.

26

本文来源：https://www.bwwdw.com/article/1ii5.html