網(wǎng)絡系統(tǒng)設計方案

經典word整理文檔，僅參考，雙擊此處可刪除頁眉頁腳。本資料屬于網(wǎng)絡整理，如有侵權，請聯(lián)系刪除，謝謝！系統(tǒng)需求項目的弱電系統(tǒng)總體設計要求是“理念先進、技術一流、經濟實用和今后良好的擴展計算機網(wǎng)絡系統(tǒng)將為建筑內信息系統(tǒng)提供穩(wěn)定、可靠、安全的信息流通環(huán)境。網(wǎng)絡系統(tǒng)是xxxxx工程中的重要系統(tǒng)，它將作為多種應用系統(tǒng)的系統(tǒng)溝通平臺，包括管理系統(tǒng)，業(yè)務系統(tǒng)等，因此網(wǎng)絡系統(tǒng)應定位于提供高性能，高可靠的系統(tǒng)設計。設計原則可靠性xxxxx系統(tǒng)也具有高度的可靠性。高性能網(wǎng)絡中可能存在復雜多元的應用系統(tǒng)，如多媒體應用，辦公自動化，專業(yè)應用等，對網(wǎng)絡的負載能力要較高要求?？蓴U展性和可升級性目前xxxxx工程處于一期建設中，將來還將建設二級工程，網(wǎng)絡系統(tǒng)將逐步擴大，同時隨著應用系統(tǒng)的逐步完善，網(wǎng)絡系統(tǒng)也將進行相應的擴展和升級，因此網(wǎng)絡應具有良好的可升級擴展性。易管理、易維護xxxxx高，因此網(wǎng)絡系統(tǒng)需具有良好的可管理性，降低維護成本，放患于未然，保障業(yè)務系統(tǒng)的正常運行。安全性xxxxx工程計算機網(wǎng)絡系統(tǒng)技術方案根據(jù)xxxxx工程業(yè)主的特殊定位，網(wǎng)絡要求有極高的安全性要求。總體設計3.1主干技術選型選擇合理的網(wǎng)絡主干技術對一個大型網(wǎng)絡來說十分重要，它關系到網(wǎng)絡的服務品質和可持續(xù)發(fā)展的特性。網(wǎng)絡主干包括主干網(wǎng)設備之間及其與匯聚點核心設備之間的連接。對于xxxxx工程，我們選擇采用千兆以太網(wǎng)GE技術、相對于其他寬帶主干技術，它和以太網(wǎng)，快速以太網(wǎng)有更好的兼容性，在園區(qū)網(wǎng)規(guī)?；蛑行⌒统怯蚓W(wǎng)中具有最高的性能價格比。3.2局域網(wǎng)結構網(wǎng)絡結構分為三層，即核心、分布和接入層。核心層提供網(wǎng)絡的核心路由交換功能，分布層負責將接入層設備匯聚進入核心層，接入層提供提供終端用戶的接入網(wǎng)絡。每個層次的網(wǎng)絡專注于其功能要求，使網(wǎng)絡設計模塊化，便于管理和擴展。對于xxxxx工程，相對于園區(qū)網(wǎng)，網(wǎng)絡分布在較大范圍內，包括信息中心/辦公區(qū)，科研辦公區(qū)，對外接待區(qū)，服務中心，生活設施區(qū)，輔助用房，休閑中心及將來得二期建筑。根據(jù)布線結構，科研辦公區(qū)為一點數(shù)較大的單體建筑，將再設立兩級配線間，簡化了線纜結構，相應網(wǎng)絡結構為二層結構和三層結構相結合的方式，即對于科研辦公區(qū)，通過核心交換機，分布層交換機，接入交換機三級結構，而對于其他分配線間則通過核心交換機，接入交換機的二級結構(見后圖)。根據(jù)xxxxx工程需求，網(wǎng)絡中包含內網(wǎng)和外網(wǎng)，通常內網(wǎng)中運行業(yè)務系統(tǒng)，辦公自動化系統(tǒng)及專網(wǎng)應用等，外網(wǎng)運行互聯(lián)網(wǎng)應用。業(yè)務系統(tǒng)具有較高的可靠性要求，因此網(wǎng)絡結構上，內網(wǎng)網(wǎng)絡主干需要更高的可靠性，內網(wǎng)網(wǎng)絡核心采用了兩臺骨干交換機，分別和分布層交換機通過千兆光纖連接，從而形成了一個全網(wǎng)無單點故障的骨干網(wǎng)絡。而外網(wǎng)出第頁計算機網(wǎng)絡系統(tǒng)技術方案于應用需求和成本的考慮，可采用單骨干交換機的架構，如下圖：和CableModem需要專用接入設備，成本太高。而寬帶城域網(wǎng)是通過光纖由ISP處引入，通過轉換器轉為以太網(wǎng)口接入用戶設備，該種接入方式的接入帶寬可由運營商端進行準確而靈活的限速，符合了xxxxx工程隨著應用的發(fā)展逐步增加互聯(lián)網(wǎng)接入帶寬的需求，在接入設備上也無需專用廣域網(wǎng)接入設備，可通過防火墻直接接入即可。專網(wǎng)連接用于和相關單位或企業(yè)的網(wǎng)絡連接，即Extranet。根據(jù)我方的工程經驗和對DDN/FR(幀中繼)/ATM及構建在公網(wǎng)上的VPN方式價格較高；遠程撥號連接由于速率較低，通常作為備份方式；而VPN通過公網(wǎng)傳輸，存在一定的風險性。因此綜合考慮，如租用運營商線路，出于安全性的考慮，可采用通過DDN/FR電信專線的方式，或直接通過自建的內部城域光纜網(wǎng)連接。由于連接了公網(wǎng)和外部專網(wǎng)，安全性是必須考慮的，為此需配置防火墻設備，防火墻計算機網(wǎng)絡系統(tǒng)技術方案如網(wǎng)絡存在一些提供外部訪問的應用，如專網(wǎng)業(yè)務應用等，這些網(wǎng)段的安全性級別高于外網(wǎng)，但低于內網(wǎng)，我們可將這些網(wǎng)段通過防火墻的第三個或第四個等網(wǎng)口接入，該區(qū)域被稱為DMZ區(qū)介于內外網(wǎng)之間，可作為緩沖地帶，DMZ區(qū)的安全問題不會直接威脅到內網(wǎng)。廣域網(wǎng)連接示意圖如下：網(wǎng)絡中的所有網(wǎng)絡資源，如交換機的設備工作狀態(tài)、網(wǎng)絡性能、通訊延時等應均可通過直觀的人機介面進行監(jiān)控、管理。使網(wǎng)絡管理員不但可以改正出現(xiàn)的問題，還可以發(fā)現(xiàn)潛在問題。因此我們認為網(wǎng)管系統(tǒng)的主要功能應包括拓撲管理，故障管理，配置管理和性xxxxx工程計算機網(wǎng)絡系統(tǒng)技術方案能管理等功能。3.5信息安全管理根據(jù)xxxxx工程的安全定位，信息安全管理是xxxxx工程中一個較重要的網(wǎng)絡應用，它工程，安全管理可以從以下幾方面考慮：網(wǎng)絡設備自身的安全性提供對網(wǎng)絡設備配置訪問的安全性，應采用嚴格的用戶認證訪問，安全的Telnet和SNMP機制等措施，保證網(wǎng)絡設備被安全訪問。網(wǎng)絡交換設備的安全策略根據(jù)應用系統(tǒng)，用戶終端的分類和安全需求，通過劃分虛網(wǎng)，設置訪問控制權限，以及限制路由等策略，提供底層數(shù)據(jù)訪問的安全性。專用安全設備和系統(tǒng)1)防火墻防護主要提供不同網(wǎng)段間的訪問控制，應用控制，實時防攻擊等能力，防火墻采用狀態(tài)檢測技術，可動態(tài)判斷流經數(shù)據(jù)包的合法性，大大提高了訪問安全性。2)入侵檢測作為一種被動式安全防范，安全威脅可以來自內部和外部，防火墻只能控制其他為此采用入侵檢測探測系統(tǒng)，實時監(jiān)測重要網(wǎng)段，重要服務器的訪問數(shù)據(jù)，一旦發(fā)現(xiàn)非法訪問和攻擊行為即發(fā)出警報，從而最快速度的發(fā)現(xiàn)出現(xiàn)的安全問題。3)身份認證等技術對于遠程撥號或重要網(wǎng)段接入用戶，常要求通過身份認證賦予接入權限，為此需提供專用的身份認證服務器，提供基于Radius，TACAS+等一系列動態(tài)認證服務。4)防病毒軟件和數(shù)據(jù)備份對于應用級的數(shù)據(jù)安全，可配置防病毒軟件。為提供其易用性，可采用Server第頁計算機網(wǎng)絡系統(tǒng)技術方案充分考慮了xxxxx項目的建筑結構，現(xiàn)狀和發(fā)展前景，結合我公司豐富的工程經驗，我們認為其網(wǎng)絡系統(tǒng)的設計應本著高標準，高性能，整體規(guī)劃，逐步實施的原則進行，網(wǎng)絡系統(tǒng)即能滿足相當長時間內的用戶需求，又可在將來根據(jù)應用系統(tǒng)的發(fā)展和網(wǎng)絡規(guī)模的發(fā)展，輕松地進行可靠性，性能，容量等多方面的擴展和升級，從而為用戶提供性能價格比最佳，具有良好擴展能力的網(wǎng)絡解決方案。高可靠性核心交換機，通過雙千兆鏈路連接接入層交換機，內網(wǎng)通過路由器和電信運營商的專線連接業(yè)務專網(wǎng)，并通過防火墻對網(wǎng)絡進行安全隔離和防護。內網(wǎng)還通過配置入侵檢測探測器提供對重要數(shù)據(jù)網(wǎng)段，如辦公自動化，業(yè)務用數(shù)據(jù)區(qū)提供特殊的安全監(jiān)控。外網(wǎng)部分，配置單臺核心交換機，通過千兆鏈路連接接入層交換機，并通過防火墻接入互聯(lián)網(wǎng)，網(wǎng)絡拓撲結構如下圖：計算機網(wǎng)絡系統(tǒng)技術方案核心交換機擔負著全網(wǎng)的數(shù)據(jù)交換，其性能很大程度決定了整體網(wǎng)絡的性能，根據(jù)xxxxx工程的實際情況，我們認為核心交換機主要應具備以下特點：可靠性核心交換機提供了全網(wǎng)數(shù)據(jù)的交換，其可靠性決定了整體網(wǎng)絡的穩(wěn)定和可靠。其可靠性應體現(xiàn)在多方面，包括：核心交換機應具備關鍵部件的冗余，包括電源、風扇、管理模塊等，放置部件的偶然性故障導致的核心交換機，乃至全網(wǎng)故障；模塊應具備熱拔插特性，保證故障處理時網(wǎng)絡服務的延續(xù)性；背板采用無源背板設計，進一步加強系統(tǒng)可靠性。2)鏈路層特性xxxxx工程計算機網(wǎng)絡系統(tǒng)技術方案根據(jù)xxxxx30300020端口密度，可滿足接入大量分配線間的需求，而網(wǎng)絡系統(tǒng)是這樣一個高密度，大規(guī)模的網(wǎng)絡，網(wǎng)絡中存在豐富的多元化的應用系統(tǒng)，這些均要求核心交換機具有較高的交換性能，其指標體現(xiàn)在背板容量、包轉發(fā)率等數(shù)據(jù)上。豐富的網(wǎng)絡特性為提供網(wǎng)絡中多種應用支持，如對時延敏感的音視頻應用，對數(shù)據(jù)可靠性要求較高的QoS和Policing它應支持豐富的安全特性，如基于2-4層信息的線速訪問控制等。4.3分布層交換機分布層交換機用于科研辦公區(qū)，由于該區(qū)共有11個三級配線間需接入，分布層交換機作為多個接入交換機的匯聚點，也需物理結構上的關鍵部件冗余設計，并具有較高的千兆端口密度和分布層網(wǎng)絡設備性能，如數(shù)據(jù)包轉發(fā)能力，Qos，安全性等特性。4.4接入交換機xxxxx工程中分配線間點數(shù)平均分布在70-80換機盡量采用高端口密度的交換機產品（如48個10/100M的網(wǎng)絡特性，接入交換機也應具有較豐富的網(wǎng)絡特性和較高的網(wǎng)絡性能。具體表現(xiàn)在：交換性能提供快速數(shù)據(jù)轉發(fā)，主要體現(xiàn)在接入交換機的背板容量和包轉發(fā)率等指標。網(wǎng)絡特性提供高性能的QosQos性，如802.1X，基于Mac地址的接入安全特性等。按布線量的60%配置，如下表：第頁xxxxx工程計算機網(wǎng)絡系統(tǒng)技術方案外網(wǎng)數(shù)據(jù)點和交換機配置：內網(wǎng)數(shù)據(jù)點和交換機配置：4.5廣域網(wǎng)接入防火墻在xxxxx工程中，防火墻用于在互聯(lián)網(wǎng)接入和專網(wǎng)連接處，提供對內網(wǎng)數(shù)據(jù)保護，在防火墻的選擇上，主要應考慮其安全特性，數(shù)據(jù)轉發(fā)性能等，安全特性指防火墻設備具備主流的安全策略(如基于包的動態(tài)狀態(tài)判斷)，提供主流的安全防護特性，同時在數(shù)據(jù)吞吐量，每秒可新建會話數(shù)，總會話數(shù)方面具有良好的特性指標。路由器路由器在xxxxxxxxxx當xxxxx作為專網(wǎng)中的中心節(jié)點時，則路由器還應具有一定的廣域網(wǎng)端口密度和更高的數(shù)據(jù)包轉發(fā)性能和擴展能力。4.6網(wǎng)絡管理系統(tǒng)網(wǎng)管系統(tǒng)的主要功能應包括拓撲管理，故障管理，配置管理和性能管理等功能。為提供良好的使用界面，網(wǎng)管系統(tǒng)應提供圖形化設備和拓撲顯示，可實時監(jiān)視設備流量，設備故障等多種信息。4.7信息安全管理信息安全管理是xxxxx項目中一個較重要的網(wǎng)絡應用，它關系到網(wǎng)絡中各種重要數(shù)據(jù)，應用的安全性，直接影響xxxxx項目的正常運作。第頁xxxxx工程計算機網(wǎng)絡系統(tǒng)技術方案4.7.1網(wǎng)絡設備管理的安全性網(wǎng)絡設備訪問的安全性，關系到網(wǎng)絡設備配置數(shù)據(jù)的安全性，如果網(wǎng)絡設備本身被非法訪問，非法入侵者將隨意修改設備配置，整個網(wǎng)絡將無安全性可言。網(wǎng)絡設備本身的安全性主要應考慮良好的用戶認證訪問體系，網(wǎng)管數(shù)據(jù)傳輸?shù)陌踩浴Ｊ紫葘τ谠O備的訪問可基于中央用戶認證系統(tǒng)，這樣便于大批量網(wǎng)絡設備的用戶認證信息的維護。和Telnet遠程登錄進行，傳統(tǒng)的SNMP和Telnet數(shù)據(jù)均通過明文傳輸，當惡意用戶通過Sniffer等系統(tǒng)進行網(wǎng)絡監(jiān)聽時，有可能截獲其數(shù)據(jù)包，從而獲得訪問信息，因此所有設備的管理應采用加密的網(wǎng)管方式進行訪問。xxxxx項目的網(wǎng)管軟件應采用SNMPV3，其定義于RFC2271中，和SNMPv1和SNMPv2相比，和驗證密鑰（authKey）來實現(xiàn)加密，其安全性大大提高。對于Telnet應用，目前主要缺陷是：沒有口令保護，遠程用戶的登陸傳送的帳號和密碼都是明文，使用普通的sniffer都可以被截獲沒有強力認證過程。只是驗證連接者的帳戶和密碼。沒有完整性檢查。傳送的數(shù)據(jù)無法知道是否完整的，而不是被篡改過的數(shù)據(jù)。傳送的數(shù)據(jù)都沒有加密。因此對于Telnet應用，應采用SSH加密的方式，SSH采用了公鑰和密鑰相結合的方式，提高數(shù)據(jù)的安全性和完整性。4.7.2網(wǎng)絡設備的安全特性安全性是網(wǎng)絡設備較重要的特性，根據(jù)網(wǎng)絡設備的定位區(qū)別和應用的部署，需要不同的安全策略。統(tǒng)系統(tǒng)等，其安全性要求各不相同，而對于互聯(lián)網(wǎng)接入?yún)^(qū)，也有專網(wǎng)接入，DMZ區(qū)網(wǎng)段等第頁xxxxx工程計算機網(wǎng)絡系統(tǒng)技術方案多個區(qū)域，因此應對不同的安全區(qū)域設備不同的安全策略?；ヂ?lián)網(wǎng)接入和專網(wǎng)接入系統(tǒng)通過防火墻接入互聯(lián)網(wǎng)，該部分的安全性主要體現(xiàn)在防火墻上的安全設置。系統(tǒng)通過路由器和專網(wǎng)連接專網(wǎng)，其安全性體現(xiàn)在路由器，防火墻的多個區(qū)域安全信任關系的設置，具體策略設置將根據(jù)實際網(wǎng)絡規(guī)劃決定。接入和接入交換機分布和接入交換機上可對網(wǎng)絡進行二層隔離，即劃分虛網(wǎng)，虛網(wǎng)使各網(wǎng)段在二層不可互通，提供了二層訪問極高的安全性。而對于某些安全性要求較特殊網(wǎng)段，還可考慮等。從而在用戶接入時提供最高的安全特性。核心交換機由于接入交換機只提供二層接入，因此全網(wǎng)的三層交換主要由核心交換機提供，為此需提供嚴格的安全訪問控制特性，具備增強的安全特性，考慮到網(wǎng)絡核心交換的性能需要，應可提供基于2-4層線速的訪問控制。4.7.3專用安全設備除了上述安全措施，為提供更高一級的安全性，我們還可以為網(wǎng)絡配置了入侵檢測器和用戶認證服務器及防病毒軟件等，實現(xiàn)完善的信息安全。用戶身份認證以根據(jù)實際情況考慮配置用戶認證系統(tǒng)，支