某大樓計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案

PAGE1PAGE15第一章計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)概述某市××大廈計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)（以下簡(jiǎn)稱××大廈網(wǎng)絡(luò)）作為某市××大廈3A智能化系統(tǒng)的核心骨干支持架構(gòu)，擔(dān)負(fù)著為業(yè)務(wù)辦公系統(tǒng)（OA）、樓宇自動(dòng)化控制系統(tǒng)(BA)以及通信自動(dòng)化系統(tǒng)（CA）的運(yùn)作提供一個(gè)可靠、穩(wěn)定網(wǎng)絡(luò)環(huán)境的重要任務(wù).××大廈網(wǎng)絡(luò)系統(tǒng)從拓?fù)浣Y(jié)構(gòu)上分成網(wǎng)絡(luò)平臺(tái)、系統(tǒng)主機(jī)以及軟件平臺(tái)三大部分組成。在網(wǎng)絡(luò)平臺(tái)的局域網(wǎng)設(shè)計(jì)中我們采用了Cisco３５２４ＸＬ交換機(jī)冗余作為網(wǎng)絡(luò)的核心交換層,桌面接入交換機(jī)也采用Cisco３５２４ＸＬ交換機(jī)并加上堆疊模塊,為每個(gè)桌面提供100Mbps全交換連接.在廣域網(wǎng)接入部分，我們通過(guò)采用Cisco２６２１路由器來(lái)實(shí)現(xiàn)區(qū)院網(wǎng)絡(luò)遠(yuǎn)程接入、遠(yuǎn)程控制管理、Internet出口,同時(shí)配置了IOS內(nèi)置防火墻來(lái)加強(qiáng)安全防護(hù).系統(tǒng)主機(jī)包括數(shù)據(jù)庫(kù)主機(jī)和WWW服務(wù)器。我們選擇了在可靠性和安全性方面性能卓越的HP服務(wù)器作為業(yè)務(wù)辦公數(shù)據(jù)庫(kù)主機(jī)。同時(shí)為了保證服務(wù)器的可靠性，我們將兩臺(tái)HP服務(wù)器實(shí)現(xiàn)雙機(jī)容錯(cuò).在軟件平臺(tái)方面，我們采用目前流行的Windows2000Server網(wǎng)絡(luò)操作系統(tǒng)作為系統(tǒng)軟件平臺(tái),同時(shí)采用MSSQLServer2000作為數(shù)據(jù)庫(kù)系統(tǒng),采用MSExchange2000作為電子郵件系統(tǒng)，這些軟件產(chǎn)品都是美國(guó)微軟公司出品,能夠很好的融合在一起。下面我們將從系統(tǒng)規(guī)劃、系統(tǒng)設(shè)計(jì)、設(shè)備選型等三個(gè)方面來(lái)進(jìn)行詳細(xì)闡述一、系統(tǒng)總體規(guī)劃1、設(shè)計(jì)目標(biāo)為大廈中各個(gè)樓層、寫字間的辦公自動(dòng)化以及樓宇自動(dòng)化控制系統(tǒng)、BMS系統(tǒng)中的各子系統(tǒng)提供一個(gè)安全穩(wěn)定可靠的運(yùn)行控制和集成管理核心網(wǎng)絡(luò)環(huán)境；根據(jù)實(shí)際需要提供不同的網(wǎng)絡(luò)接入方式和速率，以實(shí)現(xiàn)用戶對(duì)數(shù)據(jù)、圖象、聲音等信息的高效處理；預(yù)留廣域網(wǎng)接口,以便可根據(jù)需要提供Internet的接入,為與外界的信息交流和事務(wù)協(xié)作創(chuàng)造良好的信息通路，并提供提供遠(yuǎn)程接入和管理控制以及移動(dòng)辦公的服務(wù)接口;提供豐富的網(wǎng)絡(luò)服務(wù)，實(shí)現(xiàn)廣泛的軟件、硬件資源共享，避免重復(fù)投資，發(fā)揮系統(tǒng)最大效益；主機(jī)系統(tǒng)應(yīng)具有高度的可靠性，能7x24小時(shí)不間斷工作,并有容錯(cuò)措施；還應(yīng)具備很高的安全性,以保證網(wǎng)絡(luò)中機(jī)密數(shù)據(jù)的合法訪問(wèn);具有廣泛的軟件支持，軟件兼容性好，并支持多種傳輸協(xié)議；主機(jī)系統(tǒng)應(yīng)享有較好的性價(jià)比和較低的總擁有成本，并具有良好的向后擴(kuò)展能力和一定的先進(jìn)性;主機(jī)系統(tǒng)應(yīng)易于使用和維護(hù);所有網(wǎng)絡(luò)設(shè)備都具備高性能，應(yīng)有足夠的吞吐量；應(yīng)考慮容錯(cuò)技術(shù)實(shí)現(xiàn)高可靠性。2、設(shè)計(jì)原則1）安全性和可靠性：整個(gè)系統(tǒng)必須具有高度的安全性、可靠性和穩(wěn)定性；2)成熟性和先進(jìn)性：應(yīng)采用被實(shí)踐證明為技術(shù)成熟且領(lǐng)先的技術(shù)設(shè)備，最大限度地滿足現(xiàn)在業(yè)務(wù)和未來(lái)發(fā)展的需求；開放性和可擴(kuò)展性：應(yīng)考慮未來(lái)發(fā)展的需要，使系統(tǒng)與未來(lái)擴(kuò)展的設(shè)備具有互聯(lián)性和互操作性,又便于升級(jí)、換代,使整個(gè)系統(tǒng)可以隨著科學(xué)技術(shù)的發(fā)展與進(jìn)步,不斷得到充實(shí)、完善、改進(jìn)和提高，并且能很方便地融于全球信息網(wǎng)絡(luò)中；集成性和可管理性：充分考慮系統(tǒng)所涉及的各子系統(tǒng)的集成和信息共享，保證系統(tǒng)總體上的先進(jìn)性和合理性，采用集中管理、操作和分散控制的模式;經(jīng)濟(jì)性：系統(tǒng)應(yīng)具有較高的性能價(jià)格比.3、系統(tǒng)結(jié)構(gòu)我們將××大廈計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)分為網(wǎng)絡(luò)平臺(tái)、系統(tǒng)主機(jī)、軟件平臺(tái)三個(gè)組成部分，其中核心網(wǎng)絡(luò)由主干交換機(jī)組（核心層）和桌面接入交換機(jī)群（訪問(wèn)層）、路由器（邊緣層)構(gòu)成，并在邏輯上通過(guò)VLAN（虛擬專用子網(wǎng)）技術(shù)根據(jù)功能劃分為業(yè)務(wù)辦公網(wǎng)、智能樓宇網(wǎng)以及廣域網(wǎng)三個(gè)子網(wǎng);系統(tǒng)主機(jī)包括業(yè)務(wù)辦公數(shù)據(jù)庫(kù)主機(jī)、業(yè)務(wù)辦公應(yīng)用軟件主機(jī)以及樓宇智能服務(wù)器;軟件平臺(tái)包括網(wǎng)絡(luò)操作系統(tǒng)、業(yè)務(wù)應(yīng)用軟件、數(shù)據(jù)庫(kù)系統(tǒng)、BA的應(yīng)用管理軟件等。網(wǎng)絡(luò)平臺(tái)設(shè)計(jì)××大廈計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)做為一個(gè)3A智能化系統(tǒng)的網(wǎng)絡(luò)基礎(chǔ)，實(shí)際上由局域網(wǎng)和廣域網(wǎng)兩部分組成,下面我們對(duì)這兩部分做具體詳細(xì)的設(shè)計(jì)。1、局域網(wǎng)設(shè)計(jì)1）主流網(wǎng)絡(luò)結(jié)構(gòu)概述及技術(shù)分析目前在局域網(wǎng)組網(wǎng)技術(shù)中比較成熟和應(yīng)用較多的技術(shù)有以下幾方面網(wǎng)絡(luò)類型：Ethernet：10M、100M、千兆以太網(wǎng)，ATM:25M、155M、622M、2.4G，DDN：64K、128K、1M、2M，X.25：64KFDDI：100M面臨淘汰。在端口數(shù)據(jù)分配上也分為共享式和交換式，在以上幾個(gè)方面中網(wǎng)絡(luò)類型的選擇是關(guān)鍵,目前的主要技術(shù)之爭(zhēng)是發(fā)生在以太網(wǎng)和ATM之間的，這兩種技術(shù)各有短長(zhǎng),我們?cè)谙旅孢M(jìn)行具體的闡述并作出選擇。以太網(wǎng)和快速以太網(wǎng)快速以太網(wǎng)實(shí)際上是10Mbps以太網(wǎng)的100Mbps版本，所以它的運(yùn)行速度要比10Mbps以太網(wǎng)快十倍。在用戶已經(jīng)很熟悉傳統(tǒng)以太網(wǎng)的情況下，快速以太網(wǎng)相對(duì)其他高速網(wǎng)絡(luò)技術(shù)更容易被掌握和接受，它可以應(yīng)用在共享式和主干環(huán)境下,提供高帶寬的共享式網(wǎng)絡(luò)或主干連接,同時(shí)也可以應(yīng)用在交換式環(huán)境下，提供優(yōu)異的服務(wù)質(zhì)量（QoS）.快速以太網(wǎng)與傳統(tǒng)的以太網(wǎng)技術(shù)相似，毋庸贅言，此外它還具備以下優(yōu)點(diǎn):=1\*GB3①快速以太網(wǎng)和普通以太網(wǎng)同樣遵循CSMA/CD協(xié)議，現(xiàn)有的10BaseT網(wǎng)絡(luò)設(shè)備可以相當(dāng)簡(jiǎn)便地升級(jí)到快速以太網(wǎng)，保護(hù)用戶原有的投資,與其它新型網(wǎng)絡(luò)技術(shù)相比，更方便地使現(xiàn)有的10MbpsLAN無(wú)縫連接到100MbpsLAN上。=2\＊GB3②100BaseT集線器和網(wǎng)絡(luò)接口卡,只需要比10BaseT同樣的設(shè)備多花少量費(fèi)用就可提供比普通以太網(wǎng)高10倍的性能.因此,100BaseT具備較高的性能價(jià)格比.=3\＊GB3③快速以太網(wǎng)(100BaseT）已得到IEEE任命標(biāo)準(zhǔn)為802.3u，并得到了所有的主流網(wǎng)絡(luò)廠商的支持.千兆以太網(wǎng)技術(shù)千兆以太網(wǎng)是相當(dāng)成功的10Mbps以太網(wǎng)和100Mbps快速以太網(wǎng)連接標(biāo)準(zhǔn)的擴(kuò)展。IEEE已批準(zhǔn)千兆位以太網(wǎng)工程IEEE802.3z.千兆位以太網(wǎng)和已充分建立的以太網(wǎng)與快速以太網(wǎng)的節(jié)點(diǎn)完全匹配.最初的以太網(wǎng)規(guī)范由幀格式定義，且支持CSMA/CD協(xié)議、全雙工、流控制和由IEEE802。3標(biāo)準(zhǔn)定義的管理項(xiàng)目，千兆位以太網(wǎng)將使用所有這些規(guī)范。總之，千兆位以太網(wǎng)和管理員以前使用和了解的以太網(wǎng)相同，所不同是僅僅是比快速以太網(wǎng)快十倍和它與當(dāng)前的高帶寬需求應(yīng)用程序相協(xié)調(diào)的額外特性，而且和日益增強(qiáng)的服務(wù)器和臺(tái)式計(jì)算機(jī)的功能相匹配。我們可以看到主干和各網(wǎng)段及桌面已實(shí)現(xiàn)了無(wú)縫結(jié)合,網(wǎng)絡(luò)管理變得不再讓用戶望而生畏。ATM技術(shù)ATM技術(shù)相對(duì)以太網(wǎng)來(lái)說(shuō)是一種較為為新型的技術(shù)，它基于面向連接，提供QOS保障,在實(shí)時(shí)數(shù)據(jù)傳送，預(yù)留帶寬方面有不可比擬的優(yōu)越性，特別適合實(shí)時(shí)多媒體的交互式通訊和一些突發(fā)性的數(shù)據(jù)傳送要求，它針對(duì)不同的數(shù)據(jù)通訊類型會(huì)給予不同的質(zhì)量保證，另外小信元有利于速率的不斷提高，但由于其技術(shù)成熟度不夠，和目前直接基于ATM的應(yīng)用類型還比較少,它的優(yōu)越性受到了限制，另外它的元件和設(shè)備價(jià)格昂貴是另一個(gè)不利與推廣的弱點(diǎn).2）網(wǎng)絡(luò)技術(shù)選擇下面我們根據(jù)實(shí)際應(yīng)用需要以及網(wǎng)絡(luò)功能、性能、安全性等多方面來(lái)做具體的比較分析：我們想通過(guò)下面的二組表格對(duì)兩種技術(shù)就目前的現(xiàn)況做出全面的比較。表一:千兆位以太網(wǎng)在具有以前ATM所有的功能之外，還能提供一個(gè)更為綜合性的解決方案。IP匹配性Yes需要RFG1577或PNNI操作以太網(wǎng)信息包Yes需要LANE或從信源到包的轉(zhuǎn)換處理多媒體YesYes，但是要改變應(yīng)用程序服務(wù)質(zhì)量Yes,有RSVP和801.1QYes,有SVGS表二：千兆位以太網(wǎng)能完成許多ATM的功能,但是有價(jià)格低、更易和LAN結(jié)構(gòu)融合的優(yōu)點(diǎn).端口之間YesYes可升級(jí)性YesYes連接定位YesYesQoSYesYes低費(fèi)用YesYes協(xié)調(diào)性YesYes標(biāo)準(zhǔn)化YesYes軟件YesYes易集成性YesYes以上的比較表明——千兆以太網(wǎng)以許多方式發(fā)送最初期望ATM實(shí)現(xiàn)的優(yōu)點(diǎn)，而且可以容易的、經(jīng)濟(jì)的多地執(zhí)行。綜上所述,根據(jù)××大廈實(shí)際應(yīng)用情況，我公司建議采用千兆以太網(wǎng)作為技術(shù)定位的局域網(wǎng)網(wǎng)絡(luò)方案。3）網(wǎng)絡(luò)拓樸結(jié)構(gòu)我們對(duì)該網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)確定如下：4)局域網(wǎng)絡(luò)具體設(shè)計(jì)根據(jù)可靠性及穩(wěn)定性的設(shè)計(jì)原則，網(wǎng)絡(luò)建設(shè)將采用新型的Clustering技術(shù)，核心交換機(jī)采用智能支持100/1000M的企業(yè)級(jí)交換機(jī).桌面接入交換機(jī)組由帶GBIC堆疊模塊的100M交換機(jī)來(lái)完成，而且具備很強(qiáng)的擴(kuò)充能力.所有工作站都通過(guò)100M網(wǎng)卡連接到桌面接入交換機(jī)組上，使100M中心計(jì)算機(jī)房的業(yè)務(wù)辦公數(shù)據(jù)庫(kù)主機(jī)和應(yīng)用軟件服務(wù)器、樓宇智能服務(wù)器等設(shè)備直接通過(guò)銅纜線路與核心交換機(jī)上的100M以太網(wǎng)口連接。中心機(jī)房?jī)?nèi)的網(wǎng)管工作站以及一些工作站可直接連接到主干交換機(jī)上。在不改變網(wǎng)絡(luò)技術(shù)情況下的擴(kuò)展方式:隨著業(yè)務(wù)的增加，網(wǎng)絡(luò)站點(diǎn)數(shù)量的增加，樓層配線間的交換機(jī)上100M端口數(shù)目必然會(huì)不夠。這時(shí)我們可以采用增加桌面接入交換機(jī)的方式來(lái)擴(kuò)展.這樣就能提供了更多的接入端口，為以后增加更多的設(shè)備提供了良好的擴(kuò)充余地。2、廣域網(wǎng)設(shè)計(jì)國(guó)際互聯(lián)網(wǎng)的一大特點(diǎn)就是能開放、充分地提供各種信息,區(qū)檢察院對(duì)外部門的各種資料、檔案、數(shù)據(jù)庫(kù)的上網(wǎng)使檢察院的服務(wù)更加完善，更好地為社會(huì)服務(wù)。并且與國(guó)際互聯(lián)網(wǎng)的連接可以獲得大量的信息資源，同時(shí)能將區(qū)檢察院介紹給世界。××大廈網(wǎng)絡(luò)系統(tǒng)通過(guò)一臺(tái)高性能的并具備安全防護(hù)能力的路由器使用ISP提供的DDN數(shù)字線路連接到國(guó)際互聯(lián)網(wǎng)。工作站均可通過(guò)路由器的Internet網(wǎng)關(guān)瀏覽Internet上的資訊?！痢链髲B還可建立自己的WEB服務(wù)器并連接到互聯(lián)網(wǎng)上，提供內(nèi)部的E-Mail、BBS、NEWS等服務(wù).3、網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理是一個(gè)復(fù)雜網(wǎng)絡(luò)必須考慮的關(guān)鍵技術(shù)問(wèn)題,這里的網(wǎng)絡(luò)管理主要指網(wǎng)絡(luò)設(shè)備管理,包括網(wǎng)絡(luò)設(shè)備配置管理，網(wǎng)絡(luò)性能管理，和網(wǎng)絡(luò)設(shè)備故障管理.網(wǎng)絡(luò)管理設(shè)計(jì)需要在配置每個(gè)網(wǎng)絡(luò)設(shè)備時(shí)，都選擇具有網(wǎng)絡(luò)管理代理的，駐留有網(wǎng)絡(luò)管理協(xié)議的設(shè)備,網(wǎng)絡(luò)管理設(shè)計(jì)的另一方面，是配置一個(gè)網(wǎng)絡(luò)管理中心，它一般是一臺(tái)微機(jī)，配置網(wǎng)絡(luò)管理平臺(tái),在平臺(tái)上運(yùn)行管理每個(gè)網(wǎng)絡(luò)設(shè)備的應(yīng)用軟件.網(wǎng)絡(luò)管理是保持當(dāng)今的企業(yè)網(wǎng)絡(luò)以高峰效率運(yùn)行的一個(gè)關(guān)鍵工具。網(wǎng)絡(luò)管理可以幫助您決定網(wǎng)絡(luò)中的故障、性能和配置變化。我們?cè)O(shè)計(jì)的網(wǎng)絡(luò)管理方案在我們的網(wǎng)絡(luò)硬件中結(jié)合了軟件工具以及IOS的特性.通過(guò)運(yùn)用CiscoWorks2000工具，Cisco提供自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備、跟蹤和審計(jì)配置變化、監(jiān)控和記錄設(shè)備活動(dòng)以及跟蹤和監(jiān)控終端站連接上的性能數(shù)據(jù)和報(bào)表的能力.CISCOIOS管理特性允許您同步化所有網(wǎng)絡(luò)事件，將這些事件記錄到系統(tǒng)日志服務(wù)器以便監(jiān)控和分析,監(jiān)控設(shè)備的特定事件,在報(bào)警發(fā)出時(shí)發(fā)送通知。將所有這些結(jié)合在一起能使網(wǎng)絡(luò)管理員保持跟蹤其網(wǎng)絡(luò)，最大限度地提高其效率和生產(chǎn)力.網(wǎng)絡(luò)管理員不僅僅在局域網(wǎng)內(nèi)通過(guò)一臺(tái)PC監(jiān)控管理全部的網(wǎng)絡(luò)設(shè)備，還可以通過(guò)遠(yuǎn)程撥入訪問(wèn)的方式異地監(jiān)控管理區(qū)院的網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)管理軟件的介紹——CiscoWorks2000CiscoWorks2000是一系列基于Internet標(biāo)準(zhǔn)的產(chǎn)品,用于管理Cisco企業(yè)網(wǎng)絡(luò)和設(shè)備。CiscoWorks2000為配置、管理、監(jiān)控和故障診斷路由廣域網(wǎng)提供一系列強(qiáng)大的企業(yè)管理應(yīng)用，大大降低了它們的復(fù)雜性.CiscoWorks2000提供配置、管理、監(jiān)控和故障診斷工具.該基于Web的解決方案帶有管理局域網(wǎng)交換和路由環(huán)境的應(yīng)用,是面向Cisco交換機(jī)管理的CWSICampus捆綁的下一代產(chǎn)品.CiscoWorks2000能使用戶分析網(wǎng)絡(luò)流量模式，排除協(xié)議相關(guān)的問(wèn)題,建立積極的報(bào)警,在用戶受到影響之前提前檢測(cè)出問(wèn)題，執(zhí)行趨勢(shì)分析。4、網(wǎng)絡(luò)采用的協(xié)議標(biāo)準(zhǔn)本網(wǎng)絡(luò)以TCP/IP為主要協(xié)議，因?yàn)門CP/IP協(xié)議是美國(guó)國(guó)防部門制定的一套計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議,是目前眾多計(jì)算機(jī)網(wǎng)絡(luò)最流行的協(xié)議，以它為基礎(chǔ)組建的Internet網(wǎng)是目前國(guó)際上規(guī)模最大的計(jì)算機(jī)網(wǎng)間網(wǎng)，它雖不是國(guó)際標(biāo)準(zhǔn),但卻是一種事實(shí)上的工業(yè)標(biāo)準(zhǔn)協(xié)議,采用TCP/IP為網(wǎng)絡(luò)主要協(xié)議，可保證與CHINANET和Internet保持一致,還可支持IPX，DECNET等其它協(xié)議。真正實(shí)現(xiàn)于國(guó)際互聯(lián)網(wǎng)的無(wú)縫連接。從計(jì)算機(jī)網(wǎng)絡(luò)通訊的觀點(diǎn)來(lái)看,TCP/IP網(wǎng)絡(luò)實(shí)質(zhì)上可稱為IP網(wǎng)絡(luò)，它是由許多IP網(wǎng)關(guān)（或稱為IP路由器)通過(guò)若干直接連通的通信線路(點(diǎn)到點(diǎn)通信）形成一個(gè)計(jì)算機(jī)通信網(wǎng)絡(luò)。在IP網(wǎng)點(diǎn)上再接入主機(jī)，子網(wǎng)便構(gòu)成一個(gè)互聯(lián)的計(jì)算機(jī)網(wǎng)絡(luò)，這些安裝了TCP/IP的各類計(jì)算機(jī)間需要通信時(shí)，它就不再要求設(shè)置協(xié)議轉(zhuǎn)換開關(guān),而且主要的網(wǎng)絡(luò)服務(wù)都可建立在TCP/IP服務(wù)器上。三、系統(tǒng)主機(jī)設(shè)計(jì)當(dāng)前主流的主機(jī)平臺(tái)主要是AS/400(OS/400）、UNIX主機(jī)、PCSERVER的結(jié)構(gòu)：AS/400（OS/400)：是一種比較安全和穩(wěn)健的網(wǎng)絡(luò)服務(wù)器結(jié)構(gòu)，擁有無(wú)可匹敵的可伸縮性、可靠性和安全性。但是價(jià)格比較昂貴.UNIX主機(jī)：是一種傳統(tǒng)的網(wǎng)絡(luò)服務(wù)器結(jié)構(gòu)，管理比較復(fù)雜，擴(kuò)展能力不好,可靠性較高，但安全方面存在一些漏洞。PCSERVER：是一種目前比較流行的服務(wù)器結(jié)構(gòu)。管理簡(jiǎn)單方便,價(jià)格適中，系統(tǒng)開銷合理，運(yùn)行效率較高。根據(jù)××大廈的實(shí)際應(yīng)用情況，我們選用PCServer的系統(tǒng)主機(jī)平臺(tái).四、軟件平臺(tái)設(shè)計(jì)1、系統(tǒng)軟件根據(jù)上面主機(jī)平臺(tái)的設(shè)計(jì),我們采用的是美國(guó)微軟公司出品的Windows2000操作系統(tǒng)和SQLServer2000數(shù)據(jù)庫(kù)系統(tǒng)作為業(yè)務(wù)數(shù)據(jù)庫(kù)主機(jī)的系統(tǒng)軟件.2、電子郵件系統(tǒng)軟件考慮到兼容性，我們選擇了同是微軟公司出品的基于２０００平臺(tái)MSExchange2000作為電子郵件系統(tǒng)。五、系統(tǒng)安全設(shè)計(jì)安全是在網(wǎng)絡(luò)建設(shè)中需要認(rèn)真分析、綜合考慮的關(guān)鍵問(wèn)題。下面我們將從3個(gè)方面來(lái)討論保障網(wǎng)絡(luò)安全的若干措施.1、主機(jī)安全采用網(wǎng)段分離技術(shù),把網(wǎng)絡(luò)上相互間沒有直接關(guān)系的系統(tǒng)主機(jī)分布在不同的網(wǎng)段,由于各網(wǎng)段間不能直接互訪,從而減少各系統(tǒng)被正面攻擊的機(jī)會(huì)。網(wǎng)段分離可以采用物理方式以及邏輯方式來(lái)實(shí)現(xiàn)。在物理上，我們將××大廈網(wǎng)絡(luò)分為內(nèi)部業(yè)務(wù)子網(wǎng)和外部訪問(wèn)子網(wǎng)兩網(wǎng)段;在邏輯上運(yùn)用虛擬專用網(wǎng)技術(shù)（VLAN），將應(yīng)用服務(wù)器和工作站根據(jù)具體情況分別放在不同的虛擬子網(wǎng)上。另外，在安全方面有一個(gè)最基本的原則：系統(tǒng)的安全性與它被暴露的程度成反比.因此，建議將對(duì)外信息發(fā)布的服務(wù)器與內(nèi)部業(yè)務(wù)應(yīng)用服務(wù)器隔離,由于將數(shù)據(jù)庫(kù)和內(nèi)部業(yè)務(wù)應(yīng)用主機(jī)封閉在系統(tǒng)內(nèi)部，增加了系統(tǒng)的安全性.同時(shí)使用代理技術(shù)，不允許直接訪問(wèn)業(yè)務(wù)主機(jī),所有的應(yīng)用連接都通過(guò)代理來(lái)完成，這不僅僅增強(qiáng)了業(yè)務(wù)主機(jī)的隱蔽性，也提高了業(yè)務(wù)處理效率.2、數(shù)據(jù)安全在網(wǎng)絡(luò)上運(yùn)行的軟件需要通過(guò)網(wǎng)絡(luò)收發(fā)數(shù)據(jù)，要確保數(shù)據(jù)安全就必須采用一些安全保障方式。1）用戶口令加密存儲(chǔ)和傳輸目前，絕大多數(shù)應(yīng)用仍采用口令來(lái)確保安全，口令需要通過(guò)網(wǎng)絡(luò)傳輸，并且作為數(shù)據(jù)存儲(chǔ)在計(jì)算機(jī)硬盤中。如果用戶口令仍以原碼的形式存儲(chǔ)和傳輸，一旦被讀取或竊聽，入侵者將能以合法的身份進(jìn)行非法操作，絕大多數(shù)的安全防范措施將會(huì)失效。所以用戶口令需要采取加密方式存儲(chǔ)和傳輸。2）分設(shè)操作員分設(shè)操作員的方式在許多單機(jī)系統(tǒng)中早已使用。在網(wǎng)絡(luò)系統(tǒng)中，應(yīng)增加管理員、一般使用員等多種操作員類型，以便對(duì)用戶的網(wǎng)絡(luò)行為進(jìn)行限制。3）日志記錄和分析完整的日志不僅要包括用戶的各項(xiàng)操作,而且還要包括網(wǎng)絡(luò)中數(shù)據(jù)接收的正確性、有效性及合法性的檢查結(jié)果，為日后網(wǎng)絡(luò)安全分析提供依據(jù)。對(duì)日志的分析還可用于預(yù)防入侵，提高網(wǎng)絡(luò)安全。例如，如果分析結(jié)果表明某用戶某日失敗注冊(cè)次數(shù)高達(dá)20次，就可能是入侵者正在嘗試該用戶的口令。3、網(wǎng)絡(luò)安全在內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)中主要考慮的是網(wǎng)絡(luò)的可靠性和性能，而如何確保網(wǎng)絡(luò)安全也是一個(gè)不容忽視的問(wèn)題。為進(jìn)一步保證系統(tǒng)安全，還要在網(wǎng)絡(luò)中對(duì)防火墻和路由等方面做特殊考慮。路由為了避免入侵者侵入內(nèi)部資源，應(yīng)仔細(xì)進(jìn)行路由配置。路由技術(shù)雖然能阻止對(duì)內(nèi)部網(wǎng)段的訪問(wèn)，但不能約束外界公開網(wǎng)段的訪問(wèn)。為了確保網(wǎng)絡(luò)的安全運(yùn)轉(zhuǎn)，避免讓入侵者借助公開網(wǎng)段對(duì)內(nèi)部網(wǎng)構(gòu)成威脅，我們有必要使用防火墻技術(shù)對(duì)此進(jìn)行限定。防火墻路由器通常都具有過(guò)濾型防火墻功能。這一功能通俗地說(shuō)就是由路由器過(guò)濾掉非正常IP包,把大量的非法訪問(wèn)隔離在路由器之外.過(guò)濾的主要依據(jù)在源、目的IP地址和網(wǎng)絡(luò)訪問(wèn)所使用的TCP或UDP端口號(hào)。幾乎所有的應(yīng)用都有其固定的TCP或UDP端口號(hào)，通過(guò)對(duì)端口號(hào)的限制，可以限定網(wǎng)絡(luò)中運(yùn)行的應(yīng)用.六、產(chǎn)品選型1、網(wǎng)絡(luò)設(shè)備選型1)主干交換機(jī)目前生產(chǎn)交換機(jī)的廠商比較多，著名的有Intel、3COM、Cisco等。Intel公司雖然具備很強(qiáng)大的芯片設(shè)計(jì)開發(fā)及生產(chǎn)能力，但是其交換機(jī)產(chǎn)品線不全，它的產(chǎn)品性價(jià)比不高.3COM公司的交換機(jī)設(shè)備雖然在以前占據(jù)了很大的市場(chǎng)份額，但是目前3COM公司的交換機(jī)技術(shù)已經(jīng)跟不上潮流了,而3COM已將自己的交換機(jī)產(chǎn)品部賣給了其他公司并不再進(jìn)行產(chǎn)品線的后續(xù)開發(fā)。Cisco公司是著名的專業(yè)網(wǎng)絡(luò)設(shè)備設(shè)計(jì)生產(chǎn)廠商，具備其專有網(wǎng)際操作系統(tǒng)IOS，不但技術(shù)先進(jìn)而且其交換機(jī)產(chǎn)品線很齊全,它的產(chǎn)品有很高的性價(jià)比。并且Cisco公司對(duì)政府行業(yè)的支持力度很大。主干交換機(jī)是整個(gè)網(wǎng)絡(luò)的核心，本方案網(wǎng)絡(luò)建設(shè)要求具備連接達(dá)300個(gè)網(wǎng)絡(luò)站點(diǎn)的交換能力，應(yīng)用對(duì)主干服務(wù)器的訪問(wèn)及其數(shù)據(jù)流量對(duì)主干交換機(jī)的性能要求很高.通過(guò)以上分析本方案主干交換機(jī)確定采用Cisco公司的CiscoCatalyst3524XL。CiscoCatalyst3524XL系列是一系列可擴(kuò)展、可堆疊的10/100和千兆位以太網(wǎng)交換機(jī),提供最佳的性能、可管理性和靈活性以及無(wú)與倫比的投資保護(hù)。2)桌面接入交換機(jī) 我們采用交換機(jī)而不使用共享式集線器到桌面是由于區(qū)檢察院實(shí)際使用情況是主要表現(xiàn)在集中突發(fā)性,即各職能工作站同時(shí)使用同一軟件的情況比較多,如果使用共享到桌面,網(wǎng)絡(luò)就會(huì)產(chǎn)生擁阻而影響速度，因此在大型局域網(wǎng)中應(yīng)使用百兆交換到桌面。我們認(rèn)為區(qū)檢察院在十兆與百兆交換機(jī)中應(yīng)選擇百兆交換，因?yàn)?0兆雖然在目前網(wǎng)絡(luò)使用中剛剛能達(dá)到要求,但是已經(jīng)不適應(yīng)功能越來(lái)越強(qiáng)的計(jì)算機(jī)與新的應(yīng)用軟件的發(fā)展,更不適應(yīng)更快的計(jì)算機(jī)通訊產(chǎn)品的要求，將成為它們之間最大的瓶頸。同時(shí)考慮到與主干交換機(jī)的兼容性以及無(wú)縫融合。建議采用與主干交換機(jī)同廠商的產(chǎn)品。因此我們將采用Cisco公司的3524XL交換機(jī)通過(guò)作為本網(wǎng)工作組級(jí)接入交換機(jī)組，直接連接各職能工作站.通過(guò)Cisco先進(jìn)的、獨(dú)特的堆疊技術(shù)將第一期的100個(gè)站點(diǎn)分成4個(gè)網(wǎng)段，每個(gè)網(wǎng)段采用1臺(tái)3524XL交換機(jī)。另外我們通過(guò)虛網(wǎng)技術(shù),使每個(gè)辦公室或每個(gè)部門之間的互訪得到有效的管理和控制，提高網(wǎng)絡(luò)的安全性。以合理價(jià)格實(shí)現(xiàn)工作組與終端設(shè)備的100Mbps連接的可擴(kuò)展交換機(jī)，CiscoCatalyst3524XL是將專用快速以太網(wǎng)式的性能擴(kuò)展到整個(gè)網(wǎng)絡(luò)的理想選擇，它可使用戶的終端設(shè)備、服務(wù)器及其它網(wǎng)絡(luò)設(shè)施享受這種高性能的解決方案。這種高性能的解決方案可隨網(wǎng)絡(luò)的成長(zhǎng)而自由地?cái)U(kuò)展.2、路由器考慮到Internet和其他網(wǎng)絡(luò)的連接（如CHINANET等)，目前設(shè)計(jì)的局域網(wǎng)都要考慮對(duì)廣域網(wǎng)絡(luò)的連接,更廣的資源和更多的應(yīng)用將是在各種廣域連接中發(fā)現(xiàn)。目前,越來(lái)越多的企事業(yè)建立了自己的WEB。因此，能否有效地連接Internet是區(qū)檢察院內(nèi)部網(wǎng)建立的一個(gè)重要的目標(biāo).Cisco公司是路由器的鼻祖,其路由器技術(shù)已經(jīng)成為了業(yè)界默認(rèn)的標(biāo)準(zhǔn)，并且Cisco路由器的高性能在業(yè)界中也是首屈一指的.目前安全已成為今天大多數(shù)網(wǎng)絡(luò)管理者關(guān)心的主要問(wèn)題，Cisco路由器配合廣為流行、功能強(qiáng)大、業(yè)界領(lǐng)先的CiscoIOS軟件,可以為客戶核心網(wǎng)絡(luò)提供全面的安全保障。Cisco2600系列是Cisco數(shù)據(jù)/語(yǔ)音/視頻集成方案的一個(gè)關(guān)鍵成員，提供業(yè)界最廣泛的基于IP和幀中繼的端到端分組電話解決方案。Cisco2600對(duì)通道傳輸提供強(qiáng)大的加密功能.這種加密功能使用具有144位加密鑰匙的Blowfish算法.與此相比，一些競(jìng)爭(zhēng)對(duì)手的方案只具有40到128位長(zhǎng)的加密鑰匙。由此可見其加密功能的強(qiáng)大。任何數(shù)據(jù)在進(jìn)入公用網(wǎng)域之前都將被加密并打成標(biāo)準(zhǔn)的IP包。由于加密是針對(duì)整個(gè)數(shù)據(jù)流的，所以原始的源地址和目標(biāo)地址將被隱蔽起來(lái)，不會(huì)被潛在的黑客所發(fā)現(xiàn)。確保您的私人通訊數(shù)據(jù)通過(guò)公用網(wǎng)域時(shí)的安全。而且Cisco2600系列路由器與競(jìng)爭(zhēng)產(chǎn)品相比具有以下優(yōu)勢(shì):多方面WAN協(xié)議選擇Cisco2600系列路由器支持今天最被廣為使用的網(wǎng)絡(luò)協(xié)議,包括IP、NovellIPX和AppleTalk，