2020年计算机网络系统设计方案.pdf

计 算 机 网 络 系 统 设计 方 案文档仅供参考，不当之处，请联系改正。第九章计算机网络系统本方案将涉及以下范围：系统需求概述网络设计原则网络系统设计网络设备选型网络的安全性9.1系统需求概述随着网络技术，信息通信领域的长足发展，网络经济，知识经济再不是IT等高科技行业的专利，企业正利用其行业特点，汲取网络技术精华，努力创造着制造业的又一个春天。未来是美好的，但现实不可回避。大多数企业对电子商务的一般认识是电子商务能帮助企业进行网上购物、网上交易，仅是一种新兴的企业运作模式，比较适用于商业型企业、贸易公司、批发配送公司，孰不知电子商务已对传统的制造业形成了巨大冲击。在这种形式下，面对企业规模的扩大，新厂区的启用，为了加强生产经营管理，提高企业生产水平和管理水平，使之成为领导市场的现代化企业，并为浙江生迪光电有限公司的长远发展提供更好的条件提出了网络系统建设方案。文档仅供参考，不当之处，请联系改正。对于景兴公司网络系统建设这样一个复杂的系统工程，在硬件、软件、网络等方面都提出了非常高的要求。作为系统运行的支撑平台，更是重中之重。计算机网络系统、网络整体安全系统以及整个系统集成建设是否成功，变得特别重要。根据对企业的弱电设计以及与企业有关部门的深入沟通，结合我公司以往对企业系统实施的经验积累，我们认为，本次关于景兴限公司计算机网络核心系统的总体需求能够概括为：1、实现企业的信息化管理，提高经济管理水平和服务质量，实现企业的经济效益与社会效益的同步增长。在此基础上发展企业的决策支持辅助信息系统，因此我们计算机网络核心系统也将紧紧围绕着这些应用展开。2、建设机房与相应的网络系统。3、建立比较完备的安全防护体系，实现信息系统的安全保障。4、系统必须保持一定的先进性、可扩展性、高可用性、高稳定性、易维护性。9.2网络设计原则(1)先进性与成熟性相结合近年来信息技术飞速发展，用户在构建信息系统时有了很大的选择余地，但也使用户在构建系统时绞尽脑汁地在技术的先进性与成熟性之间寻求平衡。先进而不成熟的技术不敢用，而太成文档仅供参考，不当之处，请联系改正。熟的技术又意味着过时和淘汰。本方案充分考虑了先进性与成熟性相结合。(2)合理、灵活的体系结构“结构先行”是构建任何系统的先例，信息系统也不例不断变化的情况下，调整适应，从长远角度来看，也能够提供很好的投资保护。(3)系统的开放性系统的开放性体现在信息系统的可互连及工业标准的相容。我们采用国际互连网信息协议来实施网络连接，保证现在和将来与其它系统的可连通性。我们采用工业标准的硬件设备，以保证获得大多数厂商的长期技术支持。(4)系统的高可靠性设计方案不但要保证理论上可行，更重要的是实际上可用，要充分考虑具体情况，充分满足网络需求。为了使网络可靠地运行，本方案选用了高品质、高性能价格比的产品，把故障率降低到最低。(5)一体化的网络管理随着网络规模的扩大和系统复杂程度的增加，网络管理和故障排除变得越来越困难,本方案将提供先进而完善的网络管理工具。(6)系统可扩充性所有的系统主机及信息设备均可支持更高速度的处理和信息文档仅供参考，不当之处，请联系改正。要求。我们选择了合适本网络系统要求的配置，并设置了满足更高性能要求时的接口(光纤专线)，以便经过增加网络设备的内部模块的扩充方式来实现系统升级，保证原有投资。(7)系统安全性系统安全性包括保障网络服务的可用性和网络信息的完整性。(8)系统易维护性充分考虑公司网络系统的实际情况，在系统总体设计时选用熟悉的操作系统平台，注意系统的可维护性。(9)充分考虑性价比作为系统集成商，我们一贯的原则是在尽可能节省用户投资的前提下，提供最优的集成方案书和产品选型，本方案充分考虑到这一点。(1 0)完善的本地支持服务构建一个系统最重要的还要考虑到系统能按时保质地开通，并能保持它的连续正常地运行。集成商及其设备厂家提供的服务，特别是本地支持服务的及时响应和质量是系统能否成功的关键因素之一。我公司为美国网思科Cisco嘉兴地区的认证代理商及本公司完善的服务中心是本方案书履行及系统持续正常运行的可靠保证。主要技术要求1.采用成熟、先进的计算机和网络技术；文档仅供参考，不当之处，请联系改正。2 .统一技术规范、标准和方案，统一组织实施；3 .以标准化为基础实现系统的开发性、可扩展性、异构网络的互联能力；4 .注意避免网络设计上出现信息流传输的瓶颈效应，信息的安全性以保证网络每天可靠地运行；5 .通信和数据的安全，建立完善的网络安全管理机制；6 .采用可靠、先进、高效、功能丰富的网络管理设备和建立完善、合理的规章制度。9.3 网络系统设计9.3.1 网络设计总体考虑当今网络的发展正远远超出了单纯追求基本连通的历史阶段。我们在网络连通基础上需要更高要求的网络服务内容，包括Q O S 网络服务质量，S e c u r i t y 安全性服务，R e l i a b i l i t y 高可靠性，S c a l a b i l i t y 可扩展性等增值服务。在此基础上，多层次的网络管理也是网络成功与否的一个关键所在。统计数据表明，网络的建设成本在总成本的三分之一。网络的运营管理成本都要消耗总成本的三分之二左右。因此有效的网络管理能够大大节省网络的运营管理开销，是网络的重要组成部分之一。文档仅供参考，不当之处，请联系改正。9.3.2网络总体设计在现在的计算机网络通信应用中，信息流已不再是单纯的数据，同时还有声音、图像和视频等多媒体信息。系统设计和管理人员的一个很自然的选择就是尽可能向用户提供财力允许的最大带宽。根据有限公司的需要，我们推荐景兴公司采用1 0 0 M/1 0 0 0 M以太网，既适用于当前数据交换又能满足于多媒体传输，1 0 0 M/1 0 0 0 M 以太网在先进、成熟、实用、升级扩展、开放性与互连方便等方面都具有明显的特点：1)高可靠性(H i g h A v a i l a b i l i ty)2)高 性 能(H i g h P e rf o rm a n c e)3)高可扩展性(H i g h S c a l a b i l i ty)4)高品质的网络服务质量(Q O S)景兴公司网络系统采用集中分布式二层网络结构，建成主干为 1 0 0 0 M 光缆连接，1 0 0 M 网线到桌面的新厂区网络系统。文档仅供参考，不当之处，请联系改正。9.4网络拓扑及说明景兴新办公大楼网络拓扑办公楼机房新增核心交换机C i sc o 4 5 0 7 R 1台配置最新的第六代万兆引擎2块保证技术的先进性，同时引擎3 2 0 G 的交换容量保证网络数据的线速转发，万兆接口预留以后万兆接入，2块引擎互为冗余；另配置冗余电源；配 置 4 8 口 1 0/1 0 0/1 0 0 0 M 电口板1块提供服务器群、A P 及办公楼内重要信息点接入；配置2 4 口 S F P光 口 板 2 块经过单模光纤模块连接各接入交换机；核心交换机共7 个插槽，预留2 个插槽为将来扩容。办公楼机房各楼层新增4 8 口或者24 口 10/100M 接入交换机负责本楼层内各信息点接入网络，交换机经过双路单模光纤模块捆 绑（提供双向4 G 速率，保证网路的冗余）接入核心交换机。文档仅供参考，不当之处，请联系改正。9.5网络设备选型景兴公司网络系统中，主干核心交换机是肩负所有设备互连、交换处理的重要设备，并具有可靠性高，交换处理能力强、扩展性能好等特点。一.核心交换机Cisco4507R:景兴公司网络系统中，核心三层交换机采用美国思科Cisco4507R交 换 机，交换机采用了优化的体系架构，能够实现高性能的全线速的第二层和第三层交换，满足网络骨干大流量、多应用、高可靠的需求。并提供一流的性能、可管理性和灵活性以及无与伦比的投资保护。文档仅供参考，不当之处，请联系改正。二.楼层交换机采用思科二层网管10/100M 能够交换机W S-C 29 18O三.公司网络I P 地址的规划与V L A N 的划分如下：A:由于有限公司的数据信息点有公司多个,现将I P地址规划为C类网段,具体如下：地点计算机IP 地址网段上网192.168.10.1-192.168.10.254公司领导192.168.20.1-192.168.20.254ERP网络192.168.30.1-192.168.30.254财务192.168.40.1-192.168.40.254服务器192.168.50.1-192.168.50.254无线192.168.60.1-192.168.60.254来宾192.168.1.1-192.168.1.2549.6可靠性与安全保密性9.6.1局域网在网络层中不安全的地方1）不安全的地方由于局域网中采用广播方式，因此，若在某个广播域中文档仅供参考，不当之处，请联系改正。能够侦听到所有的信息包，黑客就对能够对信息包进行分析，那么本广播域的信息传递都会暴露在黑客面前。2）网络分段网络分段是保证安全的一项重要措施，同时也是一项基本措施，其指导思想在于将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。网络分段可分为物理分段和逻辑分段两种方式：物理分段一般是指将网络从物理层和数据链路层（I S O /0S I 模型中的第一层和第二层）上分为若干同段，各同段相互之间无法进行直接通讯。当前，许多交换机都有一定的访问控制能力，可实现对网络的物理分段。逻辑分段则是指将整个系统在网络层（I S O/0S I 模型中的第三层）上进行分段。例如，对于T C P/I P 网络，可把网络分成若干I P 子网，各子网间必须经过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备（含软件、硬件）的安全机制来控制各子网间的访问。在实际应用过程中。一般采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。3）V L A N的实现虚拟网技术主要基于近年发展的局域网交换技术（A T M 和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通文档仅供参考，不当之处，请联系改正。讯的范围而无需经过开销很大的路由器。以太网从本质上基于广播机制，但应用了交换器和V L A N技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。由以上运行机制带来的网络安全的好处是显而易见的：*信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。*经过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。可是，虚拟网技术也带来了新的安全问题：执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。基于M A C 的V L A N 不能防止M A C 欺骗攻击。采用基于M A C 的 V L A N 划分将面临假冒M A C 地址的攻击。因此，V L A N 的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的V L A N。4）V L A N 之间的安全划分原则V L A N 的划分方式的目的是保证系统的安全性。因此，能够按照系统的安全性来划分V L A N,能够将总部中的服务器系统单独划作一个V L A N,如数据库服务器、电子邮件服务器等。也能够按照机构的设置来划分V L A N,如将领导所在的网文档仅供参考，不当之处，请联系改正。络单独作为一个L e a d e r V L A N （L V L A N）,其它部门（或下级机构）分别作为一个V L A N,而且控制L V L A N 与其它V L A N 之间的单向信息流向，即允许L V L A N 查看其它V L A N 的相关信息，其它V L A N 不能访问L V L A N 的信息。V L A N 之内的连接采用交换实现，V L A N 与 V L A N 之间采用路由实现。由于路由控制的能力有限，不能实现L V L A N 与其它V L A N 之间的单向信息流动，需要在L V L A N 与其它V L A N 之间设置一个Ga u n t l e t 防火墙作为安全隔离设备，控制V L A N 与 V L A N 之间的信息交流。9.6.2网络安全的措施防火墙防火墙并非万能，但对于网络安全来说还是必不可少的。它是位于两个网络之间的屏障，一个是内部网络（可信赖的网络），另一个是外部网络（不可信赖的网络），防火墙按照系统管理员预先定义好的规则来控制数据包的进出。大部分防火墙都采用了以下三种工作方式中的一种或多种；使用一个过滤器来检查数据包的来源和目的地，根据管理员的规定接收或拒绝数据包；扫描数据包，查找与应用相关的数据；在网络层对数据包进行模式检查，看是否符合已知“友好”数据包的位（b i t）模式。文档仅供参考，不当之处，请联系改正。9.6.3 网络系统实现的安全管理措施1.为确保网络系统的安全运行和数据可靠共享，局域网系统/网站所实现的安全措施包括：通信对方鉴别参与通信的一方能够检验对方的身份，鉴别其真伪和访问权限。可采用“单方鉴别”和“互相鉴别”两种方式；数据发方鉴别在无连接的通信中，接收方鉴别发送数据方身份后方才接收数据，以防止欺骗数据的侵入；访问控制只有授权用户才能进入特定的局域网，使用网络资源；数据保护保证专用数据不被无权用户获取，这是经过控制访问或数据加密实现的；业务流分析防护网络中某些特定的业务流出现的频度，长度和信息来源等等，也具有一定的保密意义。本措施即是对特定的业务信息流进行必要的屏蔽，以避免无权用户经过分析这些业务流而获取有用信息；数据完整性保护发方和收方确认2.数据安全措施和保密性文档仅供参考，不当之处，请联系改正。数据的安全性表现在以下几个方面：1）防止因硬件故障造成的数据破坏我们经过采用优质、高性能的设备和采用切实可行的系统容错技术能够完全保证因硬件故障造成的数据破坏。2）保证数据不被窃取和破坏建立相应的安全管理机制和在用户中树立安全意识，防止泄密事件发生，以保证数据不被窃取。3）防止病毒破坏一方面，要求网上的用户不要随意拷贝外来磁盘和下载网上文件，不要随意使用盗版光盘，防止病毒进入网络；另一方面使用杀毒软件对工作站进行病毒清理，在网上安装防病毒软件，也是一种防止网上病毒侵蚀的有效途径。4）防止人为破坏和“黑客”攻击采用I N T E R N E T 防火墙技术，在和I N T E R N E T 连接的通道上设立防火墙，屏蔽本系统的I P 地址，对出入的数据包进行过滤，防 止“黑客”经 过I N T E R N E T 攻击本系统。同时网络之间也需进行数据包的过滤，防止有人经过系统破坏网络。保证整个系统的安全。在系统内部建立一整套严密的帐户和口令管理机制，能够有效的防止人为破坏。3.硬件设备的安全选择优质的硬件设备是保证系统安全可靠的前提条件即全系统的硬件设备：包括服务器、核心交换机、路由文档仅供参考，不当之处，请联系改正。器、P C 工作站等等的安全性。硬件设备的安全性主要由设备本身的性能和系统采用容错技术来保证。最主要的是决定于设备本身的性能，因此我们选择了世界著名网络设备生产厂商美国思科C i s c o 公司的防火墙产品。防火墙采用思科A S A 系列自防御A S A 5 5 4 0oC i sc o A S A 5 5 0 0 系列自适应安全设备支持：用户化：根据公司政策和具体接入需要，个性化安全系统。灵活性：随着公司的成长和变化，您能方便地添加新功能或从一台设备升级至另一台设备。高级安全性：充分利用内容安全、加密、身份验证、授权和入侵防御等方面的最新技术。简单易行：使用一台设备即可轻松进行安装、管理和监控。高级网络功能：设置虚拟专用网络(V P N),以确保移动和远程工作人员安全的访问公司资源，或基于职责在合作伙伴及其它办事处之间创立V P N o确保网络安全性和可靠性的主要目的是让员工实时信赖它。C i sc o文档仅供参考，不当之处，请联系改正。A S A 5 5 0 0 系列自适应安全设备是你的第一道和最佳防线。