住宅小区网络系统方案《网络工程》课程设计.docx

《住宅小区网络系统方案《网络工程》课程设计.docx》由会员分享，可在线阅读，更多相关《住宅小区网络系统方案《网络工程》课程设计.docx（39页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络工程课程设计题目：住宅小区网络系统方案系别：计算机系专业：计算机科学与技术年级： 08级姓名： *学号： 0*9班级： 科学与技术2班指导教师： *2010年 12 月 30 日目录第一章 需求分析与设计原则31.2 网络设计总体要求51.3 网络设计的技术要求51.3.1主干层网络承载能力61.3.2 接入能力61.3.3可靠性和自愈能力61.3.4拥塞控制与服务质量保障71.3.5网络的扩展能力81.3.6与其他网络的互联81.3.7通信协议的支持81.3.8网络管理与安全体系9第二章 综合布线- 10 -2.1工作区子系统- 10 -2.2水平子系统- 10 -2.3管理子系统- 1

2、1 -2.4垂直干线子系统- 12 -2.5设备间子系统- 13 -2.6建筑群子系统- 14 -2.7各子系统说明- 14 -2.7.1工作区子系统- 14 -2.7.2 水平子系统- 15 -2.7.3管理子系统- 16 -2.7.4垂直干线子系统- 17 -2.7.5设备间子系统- 18 -2.8管线方案- 18 -2.8.1水平子系统布线要求- 19 -2.8.2管理子系统设计建议- 20 -第三章 网络拓扑结构.- 20 -3.1、环形拓扑结构- 21 -3.2、总线形拓扑结构- 21 -3.3星形拓扑结构- 21 -3.4网络拓扑图- 23 -第四章 防御系统- 23 -4.1设计

3、原则- 23 -4.2安全策略- 24 -4.3防御系统- 25 -4.3.1物理安全- 25 -4.3.2防火墙技术- 26 -4.3.3入侵检测- 26 -4.3.4安全服务- 27 -第五章 小区网设备选型- 28 -5.1小区网核心层设备- 29 -5.2小区网汇聚层设备- 29 -5.3小区网接入层设备- 30 -5.4小区网服务器、路由器设备- 31 -第六章 虚拟网划分- 32 -6.1 VLAN的发展与现状- 32 -6.2 VLAN及IP划分- 33 -6.3路由器配置- 34 -6.4交换机配置- 35 -第七章 小结- 38 -第八章 参考文献- 38 -第一章 需求分析

4、与设计原则 1.1 项目概况随着计算机网络技术的进步，网络用户的所有传统业务和新型业务都将在数据网中传输，使投资和营运成本大为下降，并进一步推动用户上网的建设步伐。经多次同用户进行沟通，我们对广州市XX集团网络规划和应用有了一定的了解，结合我们以前对信息网络的认识和建设经验，并根据目前网络应用水平和预测今后一段时期可能普及的网络应用，对XX集团智能小区网络系统需求进行详细的分析。实现了综合布线的住宅小区，如果仅从信息服务功能这方面考虑，对住户来说最有吸引力、用得最多的应该是小区提供的Internet应用和服务。随着网络应用的日益普及，上网将成为住户的必然需求，方便快捷的Internet服务将是

5、人们梦寐以求的。因此小区的信息网络系统应首先能为住户提供各种基本的Internet服务，如让住户能够浏览WWW，能收发Email，进行文件传输，网上炒股等。但是仅从信息方面考虑是不够的，我们还要考虑另外一个非常重要的方面那就是应用方面，因为小区网络仅从上网这个角度来考虑是片面的，也是浪费的。我们设计的小区网络方案，不仅仅是接入Internet的功能，更重要是有小区自己的应用，那样才能显示小区整体优势。小区信息网络系统包括利用WEB服务器和数据库服务器，为小区的物业管理部门和住户提供小区各种网络应用，例如通过社区公告栏，架起住户与住户，住户与物业管理部门的沟通的桥梁。通过小区网络上的综合电子商务

6、平台，住户与商家可以利用小区网络实现网上购物、网上交易等安全、快捷的电子商务活动。用户还可通过小区网络与物业管理部门联系，要求维修服务或进行投诉；物业部门可在网上发布收费通知，而用户可在网上查询水电煤气的使用和收费情况。小区内部网还可以为住户提供网上游戏，网上聊天室等娱乐项目。小区的物业管理部门内部可通过小区的网络实现办公自动化，通过数据库管理住户资料、内部员工资料和小区物业数据，而小区内的商家也能通过小区的网络发展自己的应用。小区的网络系统还应该便于对住户的网络访问权限进行管理，同时应该具有足够的安全性，防止来自各种网络的入侵。信息系统对终端用户来说，应该简单易用，因此访问操作要尽力统一到W

7、WW界面下。小区的网络服务不仅仅提供由小区到外部的访问通道，还要提供由外部到小区的访问途径，通过建造小区的Internet网站，向外提供房地产咨询、网上订购、网上预约看房等服务，使之成为外部了解小区的一个窗口，可为小区的开发商树立良好形象，促进住房销售。如向小区提供上述服务，业主可以根据目前住户人数及高峰期访问量选择以何种方式上网，如DDN专线、ISDN、PSTN拨号上网，根据我们以往的工程经验，并考虑到小区用户总数，建议使用DDN专线与外界连接，这样设计为住户提供了快捷的Internet服务。考虑到网络信息技术的飞速发展，为了以后能提供IP电话、电子商务、远程教学、远程医疗、家庭办公等宽带多

8、媒体应用，以及许多目前还难以预测的其他应用，系统还应具有相当强的扩展能力。所以，一个好的网络系统对于一个小区是十分必要的。1.2 网络设计总体要求 小区网络系统在总体上需满足以下几个原则：u 先进性：采用世界先进的第2/3层交换机，提供高速的网络传输。u 普遍性：采用的设备和网络方案是经典的、成熟的、已被普遍应用的。u 统一性：必须遵循技术规范方案及规划，科学地统一建设。u 必须随着需求的变化，充分留有扩充余地。u 安全性及可管理性：应注意保证整个系统的可管理性和整个系统的安全性、可靠性。1.3 网络设计的技术要求根据上述总体要求，技术上必须提供相应的支持和保证。整个网络在技术上定位为千兆以太

9、网主干网络，以光纤和双绞线为主要传输介质，因而对网络协议透明，故可以配置成以IP协议为主的高速IP网络。网络至少包括包括如下几个要素：u 网络结构的优化。网络体系结构要体现在网络层的层次化体系结构，可以减少对传统传输体系的依赖。u 包转发的优化。适合大型、高速宽带网络的特征，提供高速包转发机制。u 带宽优化。在合理的QoS控制下，最大限度的利用带宽。u 稳定性优化。最大限度的利用故障恢复方面快速切换的能力，快速恢复网络连接，提供符合高速宽带网络要求的可靠性和稳定性。下面从主干层、接入层、可靠性、QoS、扩展性、网络互联、通信协议、网管与安全等方面论述广州市XX集团智能小区网络系统的技术要求。1

10、.3.1主干层网络承载能力主干网核心千兆交换机6509和第二级千兆交换机4006设备并通过CISCO 7206 提供高速的广域网连接，提供高可靠性、高性能的带宽。主干网设备第二级交换机的无阻塞第二层交换容量为24Gbps，多层交换能力为6Mpps，具备足够的能力满足高速端口之间的无丢包线速交换。 主干网设备的交换模块或接口模块应提供足够的缓存和拥塞控制机制，避免前向拥塞时的丢包。建议的数据包缓存大小为每端口512K字节。1.3.2 接入能力接入的核心是第二级主干交换机，与第三层中心交换机采用2M DDN速率连接。网络设计应考虑提供足够的链路冗余能力、设备冗余能力，以及网络的容灾能力，提供安全可

11、靠的连接服务。 第二级交换机向第三级交换机1900系列提供100兆的光纤接口，每台4006交换机最大可提供120个百兆光纤口，用户计算机采用交换式10M与1900系列相连，可提供比传统共享网络高得多的带宽。1.3.3可靠性和自愈能力包括链路冗余、模块冗余、设备冗余等要求。u 链路冗余。在主干连接(主干设备之间)具备可靠的线路冗余方式。建议采用负载均衡的冗余方式，即通常情况下两条连接均提供数据传输，并互为备份。主线路切换到备份线路的时间应小于10秒。u 模块冗余。主要设备(的所有模块和环境部件应具备1+1或1：N热备份的功能，切换时间小于3秒。所有模块具备热插拔的功能。系统具备99.999%以上

12、的可用性。u 设备冗余。提供由两台或两台以上设备组成一个虚拟设备备件库的能力。当其中一个设备因故障停止工作时，另一台设备上的模块可以直接用到故障设备上。1.3.4拥塞控制与服务质量保障拥塞控制和服务质量保障(QoS)是高速网络的重要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样，网络的数据流量突发是不可避免的，因此，网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。u 业务分类COS。网络设备应支持68种业务分类(COS)。当用户终端不提供业务分类信息时，网络设备应根据用户所在网段、应用类型、流量大小等自动对业务进行分类。u 接入速率控制CAR。接入本网络的业务应遵守其接入

13、速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。u 队列机制QUEUING。具有先进的队列机制进行拥塞控制，对不同等级的业务进行不同的处理，包括时延的不同和丢包率的不同。u 先期拥塞控制WRED。当网络出现真正的拥塞时，瞬间大量的丢包会引起大量TCP数据同时重发，加剧网络拥塞的程度并引起网络的不稳定。网络设备应具备先进的技术，在网路出现拥塞前就自动采取适当的措施，进行先期拥塞控制，避免瞬间大量的丢包现象。u 资源预留RSVP。对非常重要的特殊应用，应可以采用保留带宽资源的方式保证其QoS。1.3.5网络的扩展能力 网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的

14、扩展，以及网络规模的扩展能力。u 交换容量扩展。交换容量应具备在现有基础上继续扩充48倍容量的能力，以适应业务急速膨胀的现实。u 端口密度扩展。设备的端口密度应能满足网络扩容时设备间互联的需要。u 主干带宽扩展。主干带宽应具备48倍甚至更高的带宽扩展能力，以适应业务急速膨胀的现实。u 广域网扩展。在广域网的接入层可以在未来运行IP Over DWDM、IP Over SDH等技术，建立起整个集团内部的高速IP宽带城域网。1.3.6与其他网络的互联u 保证与INTERNET国内国际出口的无缝连接。u 保证与现有网络的无缝互联。u 保证与下属网络或上级网络的无缝互联。1.3.7通信协议的支持u 可

15、以支持TCP/IP、IPX、DECNET、APPLE-TALK等协议。设备商应提供服务营运级别的网络通信软件和网际操作系统。u 支持RIP、RIPv2、OSPF、IGRP、IS-IS等多种国际标准路由协议。1.3.8网络管理与安全体系u 支持整个网络系统各种网络设备的统一网络管理。u 支持故障管理、记帐管理、配置管理、性能管理和安全管理五大功能。u 支持系统级的管理，包括系统分析、系统规划等；支持基于策略的管理，对策略的修改能够立即反应到所有相关设备中。u 网络设备支持多级管理权限，支持RADIUS、TACACS+等认证机制。u 支持安全监控和控制机制，当发现存在安全漏洞和遭到攻击时，应及时通

16、知网络管理人员，并应自动采取适当的措施予以保护。第二章 综合布线从功能上看，综合布线系统包括工作区子系统、水平子系统、管理子系统、垂直干线子系统、设备间子系统、建筑群子系统。 2.1工作区子系统工作区指从由水平系统而来的用户信息插座延伸至数据终端设备的连接线缆和适配器组成。工作区的UTP/FTP跳线为软线（Patch Cable）材料，即双绞线的芯线为多股细铜丝，最大长度不能超过5M。 2.2水平子系统水平子系统指从楼层配线间至工作区用户信息插座。由用户信息插座、水平电缆、配线设备等组成。综合布线中水平子系统是计算机网络信息传输的重要组成部分。采用星型拓扑结构，每个信息点均需连接到管理子系统。

17、由UTP线缆构成。最大水平距离：90m（295ft）。指从管理间子系统中的 配线架的JACK端口至工作区的信息插座的电缆长度。工作区的patch cord、连接设备的patch cord、cross-connection线的总长度不能超过10M。水平布线系统施工是综合布线系统中最大量的工作，在建筑物施工完成后，不易变更。因此要施工严格， 保证链路性能。综合布线的水平线缆可采用五类、超五类双绞线、也可采用屏蔽双绞线。甚至可以采用光纤到桌面。 2.3管理子系统在综合布线六个系统中对管理子系统的理解定义上各标准、厂商有所差异，单单从布线的角度上看，称之为楼层配线间或电信间是合理的，而且也形象化；但从

18、综合布线系统最终应用-数据、语音网络的角度去理解，称之为管理子系统更合理。它是综合布线系统区别与传统布线系统的一个重要方面，更是综合布线系统灵活性、可管理性的集中体现。因此在慧锦综合布线系统中称之为管理子系统。管理子系统设置在楼层配线房间、是水平系统电缆端接的场所，也是主干系统电缆端接的场所；由大楼主配线架、楼层分配线架、跳线、转换插座等组成。用户可以在管理子系统中更改、增加、交接、扩展线缆。用于改变线缆路由。建议采用合适的线缆路由和调整件组成管理子系统。管理子系统提供了与其他子系统连接的手段，使整个布线系统与其连接的设备和器件构成一个有机的整体。调整管理子系统的交接则可安排或重新安排线路路由

19、、因而传输线路能够延伸到建筑物内部各个工作区。是综合布线系统灵活性的集中体现。管理子系统三种应用：水平/干线连接；主干线系统互相连接；入楼设备的连接。线路的色标标记管理可在管理子系统中实现。 2.4垂直干线子系统垂直干线子系统由连接主设备间至各楼层配线间之间的线缆构成。其功能主要是把各分层配线架与主配线架相连。用主干电缆提供楼层之间通信的通道，使整个布线系统组成一个有机的整体。垂直干线子系统Topology结构采用分层星型拓扑结构，每个楼层配线间均需采用垂直主干线缆连接到大楼主设备间。垂直主干采用25对大对数线缆时，每条25对大对数线缆对于某个楼层而言是不可再分的单位。垂直主干线缆和水平系统线

20、缆之间的连接需要通过楼层管理间的跳线来实现。垂直主干线缆安装原则：从大楼主设备间主配线架上至楼层分配线间各个管理分配线架的铜线缆安装路径要避开高EMI电磁干扰源区域（如马达、变压器），并符合ANSI TIA/EIA-569安装规定。电缆安装性能原则：保证整个使用周期中电缆设施的初始性能和连续性能。大楼垂直主干线缆长度小于90M时，建议按设计等级标准来计算主干电缆数量；但每个楼层至少配置一条CAT5 UPT/FPT做主干。大楼垂直主干线缆长度大于90M，则每个楼层配线间至少配置一条室内六芯多模光纤做主干。主配线架在现场中心附近、保持路由最短原则。 2.5设备间子系统设备间子系统是一个集中化设备区

21、，连接系统公共设备，如PBX、局域网(LAN)、主机、建筑自动化和保安系统，及通过垂直干线子系统连接至管理子系统。设备间子系统是大楼中数据、语音垂直主干线缆终接的场所；也是建筑群来的线缆进入建筑物终接的场所；更是各种数据语音主机设备及保护设施的安装场所。建议设备间子系统设在建筑物中部或在建筑物的一、二层，位置不应远离电梯，而且为以后的扩展留有余地，不建议在顶层或地下室。建议建筑群来的线缆进入建筑物时应有相应的过流、过压保护设施。设备间子系统空间要按ANSI/TIA/EIA-569要求设计。设备间子系统空间用于安装电信设备、连接硬件、接头套管等。为接地和连接设施、保护装置提供控制环境；是系统进行

22、管理、控制、维护的场所。设备间子系统所在的空间还有对门窗、天花板、电源、照明、接地的要求。 2.6建筑群子系统当小区的建筑物之间有语音、数据、图象等相联的需要时，由二个及以上建筑物的数据、电话、视频系统电缆组成建筑群子系统。包括大楼设备间子系统配线设备、室外线缆等。可能的路由：架空电缆、直埋电缆、地下管道穿电缆。建筑群子系统介质选择原则： 楼和楼之间在二公里以内、传输介质为室外光纤、可采用埋入地下或架空(4M以上)方式、需要避开动力线、注意光纤弯曲半径建筑群子系统施工要点：包括路由起点、终点；线缆长度、入口位置、媒介类型、所需劳动费用以及材料成本计算。建筑群子系统所在的空间还有对门窗、天花板、

23、电源、照明、接地的要求。 2.7各子系统说明 2.7.1工作区子系统包括所有用户实际使用区域。共设数据点500个、语音点500个。为满足办公环境信息高速传输具体情况，数据点、语音点全部采用五类非屏蔽信息模块，使用国标双口防尘墙上型插座面板。数据点、语音点在每层分布如下表：工作区子系统数据、语音分布表2.7.2 水平子系统水平子系统是由建筑物各管理间至各工作区之间的电缆构成。为了满足高速率数据传输，数据、语音传输选用五类非屏蔽四对双绞线。各楼层所需水平电缆长度统计如下表：数据点、语音点水平电缆长度统计表备注： 每根水平电缆平均长度按（最长最短）21.1+2*楼层高计算。 每标准箱为1000英尺（

24、305米）。22500米305米/箱=73.77箱，订74箱非屏蔽双绞线。2.7.3管理子系统管理子系统连接水平电缆和垂直干线。是综合布线系统中关键的一环，常用设备包括快接式配线架、理线架、跳线和必要的网络设备。数据系统层管理间设备配置表语音系统层管理间设备配置表2.7.4垂直干线子系统垂直干线子系统由连接设备间与各层管理间的干线构成。其任务是将各楼层管理间的信息，传递到设备间并送至最终接口。垂直干线的设计必须满足用户当前的需求，同时又能适合用户今后的要求。为达此目的，我们采用6芯多模室内光缆，支持数据信息的传输，采用5类25对非屏蔽电缆，支持语音信息的传输。数据主干光纤长度统计表语音主干电缆

25、长度统计表备注：每标准UTP25对电缆轴1000英尺（305米）。400米305米/轴=1.31轴，订2轴。2.7.5设备间子系统设备间子系统是整个布线系统的中心单元，计算机中心设在一层，电话主机房设在一层。实现每层楼汇接来的电缆的最终管理。计算机中心设备统计表电话主机房设备统计表2.8管线方案原则上尽量利用大厦已经铺好的管路，对不满足布线要求的管路，需重新铺管的部位，应尽可能减少对建筑环境的破坏。2.8.1水平子系统布线要求水平子系统连接配线间和信息出口。水平布线距离应不超过90米，信息口到终端设备连接线，和配线架之间连接线之和不超过10米。两种走线方式：采用走吊顶的轻型槽型电缆桥架的方式这

26、种方式适用于大型建筑物。为水平线缆提供机械保护和支持的装配式槽型电缆桥架，是一种闭合式金属桥架，安装在吊顶内，从弱电竖井引向设有信息点的房间，在由预埋在墙内的不同规格的铁管，将线路引到墙上的暗装铁盒内。综合布线系统的水平布线是放射型的，线路量大，因此线槽容量的计算很重要，按照标准的线槽设计方法，应根据水平线缆的直径来确定线槽的容量即：线槽的横截面积 = 水平线路横截面积3线槽的材料为冷轧合金板，表面可进行相应处理，如镀锌、喷塑、烤漆等，线槽可以根据情况选用不同的规格。为保证线缆的转弯半径，线槽需配以相应规格的分支配件，以提供线路路由的转弯自如。为确保线路的安全，应使槽体有良好的接地端，金属线槽

27、、金属软管、金属桥架及分配线机柜均需整体连接，然后接地，如不能确定信息出口准确位置，拉线时可先将线缆盘在吊顶内的出线口，待具体位置确定后，再引到信息出口。采用地面线槽走线方式这种方式适应于大开间的办公间，有密集的地面型信息出口的情况，建议先在地面垫层中预埋金属线槽或线槽地板。主干槽从弱电竖井引出，沿走廊引向设有信息点的各房间，再用支架槽引向房间内的信息点出线口，强电线路可以与弱电线路平等配置，但需分隔于不同的线槽中，这样可以向每一个用户提供一个包括数据、话音、不间断电源、照明电源出口的集成面板，真正作到在一个清洁的环境中，实现办公自动化。由于地面垫层中可能会有消防等其它系统的线路，所以必须由建

28、筑设计单位根据管线设计人员提出要求，综合个系统的实际情况，完成地面线槽路由部分的设计，线槽容量的计算应根据水平线的外经来确定。即：线槽的横截面积 = 水平线路横截面积32.8.2管理子系统设计建议管理子系统是整个配线系统的中心单元，它的布放、选型及环境条件的考虑是否恰当，都直接影响到将来信息系统的正常运行和使用的灵活性，室内照明不低于150Lx，室内应提供UPS电源配电盘，以保证网络设备运行及维护的供电。 每个电源插座的容量不小于300W，管理子系统（配线室）应尽量靠近弱电竖井旁，而弱电竖井应尽量在大楼的中间，以方便布线并节省投资。 设备室的环境条件如下： 温度保持在8-27摄氏度之间 湿度保

29、持在30%-50%之间 通风良好，室内无尘第三章 网络拓扑结构.目前常用的数据网络拓扑结构有三种，它们是环形、总线形和星形结构三种。3.1、环形拓扑结构 网络的一个例子是令牌环局域网，它的传输速率为 4Mbit/s 和16Mbit/s，这种网络结构最早由 IBM 推出，但现在被其他厂家采用。在令牌环网络中，拥有令牌的设备允许在网络中传输数据。这样可以保证在某一时间内网络中只有一台设备可以传送信息。 3.2、总线形拓扑结构 总线形拓扑结构是局域网主要的拓扑结构之一。总线形拓扑结构的优点是：结构简单，容易实现，易于扩展，可靠性较好。总线形拓扑结构的主要特点如下：总线型局域网的介质访问控制方法采用的

30、是“共享介质”方式；所有结点都连接到一条作为公共传输介质的总线上；总线传输介质通常采用同轴电缆或双绞线；所有结点都可以通过总线传输介质以“广播”方式发送或接收数据，因此出现“冲突（collision）”是不可避免的；“冲突”会造成传输失败；必须解决多个结点访问总线的介质访问控制（MAC， medium access control）问题。 总线形网络使用一定长度的电缆，也就是必要的高速通信链路将设备连接在一起。设备可以在不影响系统中其他设备工作的情况下从总线中取下。总线形网络中最主要的实现就是以太网，它目前已经成为局域网的标准。连接在总线上的设备通过监察总线上传送的信息来检查发给自己的数据。当

31、两个设备想在同一时间内发送数据时，以太网上将发生碰撞现象，但是使用一种叫作载波侦听多重访问/碰撞监测(CSMA/CD) 的协议可以将碰撞的负面影响降到最低。 3.3星形拓扑结构 在出现交换式局域网（switched LAN）后，才真正出现了物理结构与逻辑结构统一的星形拓扑结构。交换局域网的中心结点是一种局域网交换机。在典型的交换局域网中，结点可以通过点对点线路与局域网交换机连接，局域网交换机可以在多对通信结点之间建立并发的逻辑连接。星形网的组成通过中心设备将许多点到点连接。在电话网络中，这种中心结构是PABX。在数据网络中，这种设备是主机或集线器。在星形网中，可以在不影响系统其他设备工作的情况

32、下，非常容易地增加和减少设备。综合上述，按组网规则，规划网络要规划到未来的三到五年。并且在未来，公司的电脑会不断增加。比较三种结构，星形连接在将用户接入网络时具有更大的灵活性。当系统不断发展或系统发生重大变化时，这种优点将变得更加突出，所以选择星形网络最好。具体网络拓扑结构如下页所示：一区四区五区三区二区带双网卡的网络服务器1中心交换机网络服务器2带路由功能的VDSL Modem二级交换机PCPCPCPCPC二级交换机PCPCPCPCPC二级交换机PCPCPCPCPC二级交换机PCPCPCPCPC二级交换机PCPCPCPCPC3.4网络拓扑图第四章 防御系统4.1设计原则针对网络系统实际情况，

33、解决网络的安全保密问题是当务之急，考虑技术难度及经费等因素，设计时应遵循如下思想：1大幅度地提高系统的安全性和保密性；2保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性； 3易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；4尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展；5安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；6安全与密码产品具有合法性，及经过国家有关管理部门的认可或认证；7分步实施原则：分级管理 分步实施。4.2安全策略1采用漏洞扫描技术，对重要网络设备进行风险评估，保证信息系统尽量在最优的状况下运行。2采用各种安全技术，构筑防御系统，主

34、要有：(1) 防火墙技术：在网络的对外接口，采用防火墙技术，在网络层进行访问控制。(2) NAT技术：隐藏内部网络信息。(3) VPN：虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来，构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用，而事实上并非如此。(4）网络加密技术(Ipsec) ：采用网络加密技术，对公网中传输的IP包进行加密和封装，实现数据传输的保密性、完整

35、性。它可解决网络在公网的数据传输安全性问题，也可解决远程用户访问内网的安全问题。(5) 认证：提供基于身份的认证，并在各种认证机制中可选择使用。(6) 多层次多级别的企业级的防病毒系统：采用多层次多级别的企业级的防病毒系统，对病毒实现全面的防护。(7）网络的实时监测：采用入侵检测系统，对主机和网络进行监测和预警，进一步提高网络防御外来攻击的能力。3实时响应与恢复：制定和完善安全管理制度，提高对网络攻击等实时响应与恢复能力。4建立分层管理和各级安全管理中心。4.3防御系统采用防火墙技术、NAT技术、VPN技术、网络加密技术（Ipsec）、身份认证技术、多层次多级别的防病毒系统、入侵检测技术，构成

36、网络安全的防御系统。4.3.1物理安全物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。为保证信息网络系统的物理安全，还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。这是政府、军队、金融机构在兴建信息中心时首要的设置的条件。为保证网络的正常运行，在物理安全方面应采取如下措施：1产品保障方面：主要指产品采购、运输、安装等方面的安全措施。 2运行安全方面：网络中的设备，特别是安全类产品在使用过程中，必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系

37、统，应设置备份系统。 3防电磁辐射方面：所有重要涉密的设备都需安装防电磁辐射产品，如辐射干扰机。 4保安方面：主要是防盗、防火等，还包括网络系统所有网络设备、计算机、安全设备的安全防护。4.3.2防火墙技术防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监视了内部网络和Internet之间地任何活动，保证了内部网络地安全；在物理实现上，防火墙是位于网络特殊位置地以组硬件设备路由器、计算机或其

38、他特制地硬件设备。防火墙可以是独立地系统，也可以在一个进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构：（1）屏蔽路由器：又称包过滤防火墙。（2）双穴主机：双穴主机是包过滤网关的一种替代。（3）主机过滤结构：这种结构实际上是包过滤和代理的结合。（4）屏蔽子网结构：这种防火墙是双穴主机和被屏蔽主机的变形。根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换NAT、代理型和监测型。4.3.3入侵检测入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础

39、结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现：1监视、分析用户及系统活动； 2系统构造和弱点的审计； 3识别反映已知进攻的活动模式并向相关人士报警；4异常行为模式的统计分析；5评估重要系统和数据文件的完整性； 6 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。4.3.4安全服务网络是个动态的系统，它的变化包括网络设备的调整，网络配置的变化，各种操

40、作系统、应用程序的变化，管理人员的变化。即使最初制定的安全策略十分可靠，但是随着网络结构和应用的不断变化，安全策略可能失效，必须及时进行相应的调整。针对以上问题和网管人员的不足，下面介绍一系列比较重要的网络服务。包括：u 通信伙伴认证通信伙伴认证服务的作用是通信伙伴之间相互确庥身份，防止他人插入通信过程。认证一般在通信之前进行。但在必要的时候也可以在通信过程中随时进行。认证有两种形式，一种是检查一方标识的单方认证，一种是通信双方相互检查对方标识的相互认证。通信伙伴认证服务可以通过加密机制，数字签名机制以及认证机制实现。u 访问控制访问控制服务的作用是保证只有被授权的用户才能访问网络和利用资源。

41、访问控制的基本原理是检查用户标识，口令，根据授予的权限限制其对资源的利用范围和程度。例如是否有权利用主机CPU运行程序，是否有权对数据库进行查询和修改等等。访问控制服务通过访问控制机制实现。u 数据保密数据保密服务的作用是防止数据被无权者阅读。数据保密既包括存储中的数据，也包括传输中的数据。保密查以对特定文件，通信链路，甚至文件中指定的字段进行。数据保密服务可以通过加密机制和路由控制机制实现。u 业务流分析保护业务流分析保护服务的作用是防止通过分析业务流，来获取业务量特征，信息长度以及信息源和目的地等信息。业务流分析保护服务可以通过加密机制，伪装业务流机制，路由控制机制实现。u 数据完整性保护

42、数据完整性保护服务的作用是保护存储和传输中的数据不被删除，更改，插入和重复，必要时该服务也可以包含一定的恢复功能。数据完整性保护服务可以通过加密机制，数字签名机制以及数据完整性机制实现u 签字签字服务是用发送签字的办法来对信息的接收进行确认，以证明和承认信息是由签字者发出或接收的。这个服务的作用在于避免通信双方对信息的来源发生争议。签字服务通过数字签名机制及公证机制实现。第五章 小区网设备选型本小区网设备选型中，采用了华为S5328C-EI-24S核心层交换机、华为Quidway S3952P-SI汇聚层交换机、以及若干个3COM(H3C)华为 S1526接入层交换机，其各层设备具体性能参数如

43、下：5.1小区网核心层设备核心层采用华为S5328C-EI-24S交换机，其具体参数如下：华为S5328C-EI-24S主要参数交换机类型运营级千兆以太网交换机应用层级三层传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE802.3, IEEE802.3u, IEEE802.3d, IEEE802.3ab, IEEE802.3x端口结构模块化端口数量28接口介质24个100/1000Base-X SFP, 4个10/100/1000Base-T Combo, 上行2个10GE XFP插卡或者4个1000Base-X SFP传输模式全双工交换方式存储-转发背板带宽256Gbp

44、s包转发率66MppsVLAN支持支持QOS支持支持网管支持支持网管功能支持Telnet 远程配置、维护、支持SNMPv1/v2/v3、RMON、iManager 网管系统、集群管理HGMP、支持系统日志、分级告警MAC地址表32K安全性用户分级管理和口令保护、支持防止DoS、ARP 攻击功能、支持IP、MAC、端口的组合绑定、支持端口隔离、支持MAC 地址黑洞、支持MAC 地址学习数目限制、支持IEEE 802.1X 认证, 支持单端口最大用户数限制、支持AAA 认证, 支持Radius、TACACS+等多种方式、支持SSH V2.0、支持CPU 保护功能尺寸(mm)44242043.6 m

45、m重量(Kg)8kg5.2小区网汇聚层设备汇聚层采用华为Quidway S3952P-SI作为交换机，其具体参数如下：华为Quidway S3952P-SI主要参数交换机类型部门级交换机应用层级三层传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE802.3, IEEE802.3u, IEEE802.3d, IEEE802.3ab, IEEE802.3x端口结构固定端口端口数量48接口介质100BASE-TX、10/100/1000Base-T、1000BASE-SX、1000BASE-FX传输模式全双工交换方式存储-转发背板带宽17.6Gbps包转发率13.2MbpsVL

46、AN支持支持QOS支持支持网管支持支持网管功能通过Console 口配置, 支持SNMP, 支持RMON1, 2, 3, 9组MIB, 支持华为iManager N2000 DMS网管系统, 支持WEB 网管, 支持系统日志, 分级告警MAC地址表16k尺寸(mm)44026043.6重量(Kg)4kg5.3小区网接入层设备接入层采用3COM(H3C)华为 S1526作为交换机，其具体参数如下：3COM(H3C)华为 S1526主要参数交换机类型3COM(H3C)华为 S1526 可管理接入24口10/100M机架交换机应用层级二层传输速率10/100Mbps网络标准IEEE802.3 10BASE-T