2022年2022年计算机网络系统设计解决方案 .pdf

《2022年2022年计算机网络系统设计解决方案 .pdf》由会员分享，可在线阅读，更多相关《2022年2022年计算机网络系统设计解决方案 .pdf（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机网络系统设计解决方案工业园区信息化是社会发展的必然趋势，工业园区除需建设自身的工业园区办公、业务信息网络（包括财产管理系统、POS系统、 工业园区管理信息系统） ，还需为生产提供宽带上网服务。 计算机网络系统的建设一方面对工业园区经营和管理水平的提高产生相当大的推动作用，另一方面还对提高工业园区服务水平，改善办公环境和办公条件提供了平台。1.1、设计原则（1）安全性原则：系统应能提供较高的安全手段，防止系统外部成员的非法侵入以及操作人员的越级操作。安全性是信息化建设的基础保障。出于安全及保密因素，现代信息化建设工程对安全性有很高的要求。 设计的过程中必须依据国家各种有关安全法规政策，对硬

2、件支撑平台的访问控制、信息加密等方面进行完善考虑，在网络架构上根据功能划分相应的区域，使用如防火墙、入侵防御、加密设备对信息过滤、隔离、数据加密等手段， 同时采用虚拟网划分及目前较流行的VPN及安全认证等技术，防止非法用户、非法信息及病毒的入侵和泄密名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 9 页 - - - - - - - - - 事件的发生。 同时还要在纪念馆内部建立健全各种相关安全管理制度，确保全网的安全。（2）可靠性原则：要保证系统运行可靠，极高的平均无故障

3、时间和极短的设备修复时间。网络的运行必须保证相当高的可靠性，以满足工作及信息传输的安全与稳定。为了保证网络的可靠性，防止局部故障引起整个网络系统的瘫痪，避免网络出现单点故障。设计中应考虑在硬件支撑平台关键设备使用设备冗余备份和链路备份，在系统出现故障时，能够在最短的时间内恢复系统的正常运作，实现系统的长期稳定可用。对重要数据进行差错控制、 数据备份与灾难恢复等手段保证信息传输的完整可靠。（3）实用性原则：以现行需求为基础，充分考虑发展的需要来确定规模。（4）冗余性原则：特别注重网络硬件系统自身在突发事件时的可用性，以冗余备份的设计方式加以保障。冗余主要包括以下几点：链路冗余在主干连接 (主干设

4、备之间、 与汇聚设备之间的连接) 具备可靠的线路冗余方式，采用负载均衡的冗余方式，即通常情况下两条连接均提供数据传输，并互为备份。模块冗余名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 9 页 - - - - - - - - - 主要设备 ( 主干设备和业务汇聚点的核心设备) 的引擎和关键部件采用双模块，提供模块级冗余，并可热插拔。当其中一个部件因故障停止工作时，另一部件自动接替其工作，并且不引起其他节点的路由表重新计算，从而提高网络的稳定性和可靠性。路由冗余网络的结构设

5、计应提供足够的路由冗余功能，在上述冗余特性仍不能解决问题时，数据链应寻找其他路径达到目的地址。1.2、设计要求 起点高：采用当今国际上先进的技术和产品。 高规划、分步实施：充分考虑纪念馆规划，为今后的网络发展打下良好的基础。 实用性：规划将以满足实际需要为原则，并使用成熟、稳定、标准的核心网络交换设备，实现纪念馆各部分之间的相互通讯。 开放性：设计开放的系统结构，选用符合国际标准的开放性产品， 系统软、 硬件配置采用模块化、开放式结构，以适应系统灵活组网、扩展和系统提升的需要。 可靠性：系统配置应采用有长期动态寿命的产品，回避使用短期过渡性技术的产品。名师资料总结 - - -精品资料欢迎下载

6、- - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 9 页 - - - - - - - - - 可扩充性：方案要求随着纪念馆网络信息点数量的增加，应能方便地接入；能向新产品、新技术平稳过渡。 互联性：整个系统需充分考虑各个子系统之间的互联，资源共享、信息共享，具有对突发事件的响应能力以及和上级单位通信和视频的功能。1.3、总体网络设计网络方案总体设计以“高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统”为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法，构建全三层交换技术的IP 主干网

7、络。经过合理规划，针对本次网络系统建设的具体需求，在网络设计时采用层次化和模块化思想设计，网络可实现百兆用户接入、千兆骨干交换的高速数据连接。从网络的逻辑结构来看，结合纪念馆业务系统需求的特点，网络系统建议采用三层结构构建：核心层、汇聚层、接入层。采用分层的网络结构，网络结构更清晰、扩展性好、便于管理维护、节省投资成本。通过应用智能管理平台、高性能核心设备、高性价比的千兆接入交换设备、用户端点准入防御系统、全面的智能管理系统来构建纪念馆网络系统，使得网络系统具有先进性、稳定性、安全性以及维护管理方便等众多特点，完全可以满名师资料总结 - - -精品资料欢迎下载 - - - - - - - -

8、- - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 9 页 - - - - - - - - - 足用户现在及未来3-5 年内的发展需要。1.3.1 、网络详细设计网络设计为三层组网架构：核心、汇聚、接入。本方案计算机网络系统结合工业园区自身的特点，主要包含弱电安防系统设备组网、办公内网和互联外网。网络拓扑结构设计如下图所示：为简化管理、提高系统性能、提高可靠性，在核心交换机、数据中心交换机、汇聚交换机上采用虚拟化技术。采用虚拟化技术后，可以达到以下功能特点：从单播、组播、单播/ 组播混合、吞吐量、转发能力等性能指标都是传统热备方式的两倍，网络故障收

9、敛时间毫秒级。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 9 页 - - - - - - - - - 1.3.2 、无线 WLAN 设计为提高接入的灵活性，计划在纪念馆各楼层部署无线接入点 AP ，对室内会议室、报告厅、办公室、展区等进行无线覆盖。采用支持802.11n 技术的双频AP进行部署，能够提供无线网络的性能。当前主流的无线组网模式采用的是FIT AP组网， FIT AP组网能够很好的支持无线漫游、无线负载均衡及统一的流量管理等功能，真正实现无线网络的运营需求

10、。FIT AP组网包含无线控制器、 POE交换机、无线AP 、无线管理系统等4 个部分： (1) 、无线控制器：提供无线AP的注册、软件版本、配置文件、信道、射频的设置等功能。（2） 、POE交换机： POE交换机主要实现通过网线给AP供电，从而简化无线网络部署的难度及复杂度。（3） 、无线 AP ：主要用户实现WLAN 信号的覆盖。（4） 、无线管理系统： 实现无线设备的故障发现，告警处理及无线用户的认证等功能。1.3.3 、网络管理系统为提高网络中心运维管理效率，同时降低管理难度，在数据中心区部署网络管理软件。主要包含以下几个方面的管理内容：名师资料总结 - - -精品资料欢迎下载 - -

11、 - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 9 页 - - - - - - - - - 1、网络设备管理：提供对网络设备的面板管理、告警管理、性能管理及拓扑管理。2、无线设备管理：提供无线业务拓扑、无线AP 、AC及 POE的管理。3、终端准入管理：提供有线无线用户的身份准入、安全检查、补丁及病毒的自动升级等功能。1.3.4 、防火墙系统防护网络边界安全一般是采用防火墙等成熟产品和技术实现网络的访问控制，采用安全检测手段防范非法用户的主动入侵。在防火墙上通过设置安全策略增加对服务器的保护，必要时还可以启用防火墙的N

12、AT功能隐藏网络拓扑结构，使用日志来对非法访问进行监控，使用防火墙与交换机、入侵防御联动功能形成动态、自适应的安全防护平台。?防火墙对服务器群的保护由于各种应用服务器等公开服务器属于对外提供公开服务的主机系统，因此对于这些公开服务器的保护也是十分必要的；具体可以利用防火墙划分DMZ （Demilitarized Zone）区，将公开服务器连接在千兆防火墙的DMZ 区上。对于防火墙系统而言， 其接口分别可以自行定义为DMZ（安全服务器网络）区、内网区、外网区共三个区域。DMZ （安名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名

13、师精心整理 - - - - - - - 第 7 页，共 9 页 - - - - - - - - - 全服务器网络）区是为适应越来越多的用户向Internet上提供服务时对服务器保护的需要，防火墙采用特别的策略对用户的公开服务器实施保护，它利用独立网络接口连接公开服务器网络，公开服务器网络既是内部网的一部份，又与内部网物理隔离。既实现了对公开服务器自身的安全保护，同时也避免了公开服务器对内部网的安全威胁。?防火墙对核心业务网的保护对于核心内部业务网部分，在实施策略时， 也可以配置防火墙工作与透明模式下，并设置只允许核心内部网能够访问外界有限分配资源，而不允许外界网络访问核心内部网信息资源或只允许

14、访问有限资源；也可以在防火墙上配置NAT或MAP策略，能够更好地隐藏内部网络地址结构等信息，从而更好地保护核心内部网的系统安全。1.3.5 、建立内部入侵防御机制虽然网络中已部署了防火墙，但是，在网络的运行维护中，IT 部门仍然发现网络的带宽利用率居高不下、而应用系统的响应速度越来越慢，只好提升带宽并升级服务器，可过不了多久问题再次出现。而实际上，业务增长速度并没有这样快，业务流量占用带宽不会达到这样的数量，这是目前各大公司网络都可能存在的问题。并不是当初网络设计不周，而是自2003 年以来，蠕虫、点到点，入侵技术日益滋长并名师资料总结 - - -精品资料欢迎下载 - - - - - - -

15、- - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 9 页 - - - - - - - - - 演变到应用层面（L7）的结果，而这些有害代码总是伪装成客户正常业务进行传播，目前部署的防火墙其软硬件设计当初仅按照其工作在L2-L4 时的情况考虑，不具有对数据流进行综合、深度监测的能力，自然就无法有效识别伪装成正常业务的非法流量，结果蠕虫、攻击、间谍软件、点到点应用等非法流量轻而易举地通过防火墙开放的端口进出网络，如下图所示：蠕虫、 P2P等非法流量穿透防火墙这就是为何用户在部署了防火墙后，仍然遭受入侵以及蠕虫、病毒、拒绝服务攻击的困扰。事实上，员工的PC 都需要访问 Internet，所以存在被病毒感染和黑客控制的可能，蠕虫可以穿透防火墙并迅速传播，导致主机瘫痪，吞噬宝贵网络带宽，而P2P 等应用，利用80 端口进行协商，然后利用开放的 UDP进行大量文件共享， 导致机密泄漏和网络拥塞，对系统的危害极大。为了能够让防火墙具备深入的监测能力，许多厂商都基于名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 9 页 - - - - - - - - -