玉环文化局网络方案(cisco6509).doc

第 章 计算机网络方案第一节 需求概述1.工程目标本项目为玉环县科委文化局所属科技文化艺术中心计算机网络的建设。根据用户提出的要求，玉环县科技文化艺术中心计算机网络系统的建设目标就是要建立技术先进、扩展性强、能覆盖所有功能区域的主干网络，将玉环县科技文化艺术中心的各种PC机、工作站、终端设备和局域网连接起来，并与有关广域网相连，形成结构合理、内外沟通的计算机网络系统，并在此基础上建立能满足日常业务、办公和管理需要的软硬件环境，开发各类信息库和应用系统，为科委、文化局、大剧院提供充分的网络信息服务。局域网系统按以下设计原则进行设计:以可扩展性为设计基础,以安全性为设计的核心,以方便应用为智能化设计的主导思想,以先进性为设计标准。因此,网络系统采用星型结构，用超五类线和光缆及其他网络设备,建成一个外可连因特网,内部共享数据信息先进的局域网的计算机网络。计算机网络主干千兆，到用户为10/100M自适应网。 本方案将以二楼弱电间（网管中心）为中心,将建筑内信息资源,通过高性能的网络设备连接起来,组成分布式、开放性的网络系统。在此基础上开发运行功能完善的网络服务和应用系统，确保实用、高效、安全、可靠的运行环境；具备与外部广域网的多种连接方式，可与外部实现方便，快捷的连接，为各种自动化、信息管理系统提供快速、准确的服务平台。实现资源共享、信息共享。为提高玉环县科委科技文化艺术中心计算机网络化水平，改善电子化办公和智能化管理，满足用户不断增长的需求，增强社会竞争能力及提高经济和社会效益，提供高质量的服务，打下坚实的基础。1.1 总体需求分析l 硬件产品的选型应考虑开放性、标准性、兼容性，要考虑到一旦主干网技术发展，不至于使主要的硬件产品被淘汰。l 网络管理产品的选型及软件选购应强调方便、实用、安全、可靠，能满足现在实际使用要求，并充分考虑到今后的发展。l 现建工程中应考虑和广域网的联接，并应为以后发展预留接口，能平滑联接。l 考虑办公、信息和管理系统的要求，用户的使用要求。1.2 布线基本要求网管中心暂定设在二楼。 信息点的布置基本如下：位置电脑点J-010J-0276J-0318J-0433J-0574J-060合计201综合布线的情况可参看投标书中关于“综合布线”的部分。1.3 网络应用需求在信息社会里，信息的及时收集和传递利用是至为重要的。通过网络系统可实现与外界的联系，实现各单位部门间的信息交流，远程访问以及异地办公等等。互联网是信息的海洋，利用互联网，可方便、快速地查阅和得到各种信息，其有利于各部门的自动化办公和决策管理。用网络与外界进行信息交流（如文件资料传输）快捷方便，经济实惠。因此，拥有网络系统，能使用户更加有效地收集及传递信息，同时，减少了人为的错误因素，提高了自动化程度和收益。计算机网络系统的建设是建立在建筑楼群内结构化综合布线基础上，采用先进的网络技术，组建各种应用需求的网络。玉环县科委科技文化艺术中心网络，考虑现在应用和将来发展的需求，一般会包含有较多的多媒体信息（声音、图形、图像）及各种数据信息，因此，该网络系统我们建议选用具有足够带宽的局域交换网络。交换技术的发展应为网络建设提供点对点的连接，把传统共享局域网的“独占”式网络结构，转变成一个平行处理系统。系统为每一个用户提供一条通道，提供1000Mbps主干的系统能力。由于网络应用需要交互式的多媒体信息数据通信以及与INTERNET的连接，网络应采用基于INTRANET的网络结构。其包含：建立在TCPIP协议基础上的计算机网络；一台或者多台运行支持多进程、多线程、多处理器的操作系统的物理服务器；大量用于桌面支持图像显示并可以运行浏览器软件的客户机；运行在服务器上的提供各种应用支持的软件服务器。网络的应用平台是在网络平台的基础上选择的一组面向应用的软件产品。基于InternetIntranet技术，并能对多媒体信息收集、加工、存储和发布提供全方位支持。当今Internet已经风靡全球，采用Internet模式开发计算机网络系统也已成为目前流行的方法，即采用Internet的WEB服务器技术。这种方式的优点在于客户端界面统一，都采用浏览器，使用方便，容易掌握；另外采用浏览器/WEB方式的最大特点是应用软件的升级、修改等，都只需在服务器端操作，不需改动客户端软件，为安装和维护带来很大的方便。在Internet系统中，中心需配置服务器向网络提供服务。一般来说，包括以下几种：数据库服务：信息服务中心需配置的信息供用户查询，为有效地组织和管理各种信息，我们建议将信息存放在数据库中，数据库服务器需对存放在数据库中的数据库做大量的查询，因此要求数据库服务器要有较强的CPU处理能力及磁盘处理速度。WWW服务：HTML文本可灵活地将各种格式的数据库组织在一起，WWW浏览器提供了使用简洁、功能强劲的查询界面。我们建议使用WWW技术作为统一的信息服务界面。WWW服务器接受用户的查询，通过CGI等方式与提供给用户。因此WWW服务器需要有强大的输入输出能力。电子邮件服务：提供电子邮件（E-Mail）服务。根据用户的具体应用情况，我们在本方案中建议第一步把以上的服务功能（或部分的服务功能）分别集中到二台服务器中进行统一管理，在一段时间应用熟练之后，第二步再根据实际情况和用户的具体应用要求增添各种服务，以利于系统的不断完善。理论上接入Internet具有多种方式，包括拨号方式、ISDN、DDN、帧中继、ADSL、CABLE MODEM、ATM等等。由于受到价格和服务的限制，同时建立Web站点需要固定的IP地址，所以通常采用DDN或者帧中继的方式接入。DDN能够获得高质量的稳定的带宽，但价格相对于帧中继略高。帧中继价格略低，但所占带宽与其他用户相关，在总体线路繁忙的时候将受到影响（能够保证具有特定的带宽）。在选择接入形式时，还会受到ISP所提供服务的影响，在很多地区，两种服务并不同时提供。在本方案中我们建议使用路由器，通过DDN专线与广域网相连。网络传输协议选用TCP/IP协议作为网络系统的传输协议，主要原因是因为Internet就是使用TCP/IP协议，所以与Internet进行连接，选用TCP/IP是最佳选择。在网络系统的专线的连接中可通过光纤与相关设备直接连接实现。第二节 总体设计1.设计目标 在计算机网络项目中的设计上，一定要保持先进的架构，不但要考虑到目前的应用，也要考虑到今后的发展及不久的将来在进行全国高速网络互连的需求，为今后的工作打好基础。同时，为实现诸多用途的网络业务,满足多样化的应用需求，在网络协议方面，本科技中心的网络也将是一个同时支持多种协议的网络。我们的方案是以满足用户的需求为前提,采用下面所述的原则和依据进行设计以达到既满足用户目前需求又兼顾长远利益，而且能保护用户现有投资的目的。2.组网原则l 先进性与实用性相结合：网络规划应建立在用户需求调研的基础上，既考虑采用先进的组网技术，同时也必须考虑原有的计算机资源和有限的投资。l 网络有效性原则：网络有效性体现在网络的承载能力和对资源的共享能力两个方面，不同类型的网络在负荷加重的情况下其承载能力不同。高负荷下往往出现利用率下降，甚至出现拥塞与瓶颈。对于网络承载能力，令牌访问控制优于竞争访问，交换型优于共享型。资源共享应合理选择分布式数据库平台，并采用Client/Server模式的网络结构。l 合理选择网络平台：选择网络硬件及软件平台，采用标准接口以保证网络的开放性、兼容性及互操作性。保证网络平台具有良好的向上，向下兼容性，应用软件在平台上的可移植性。l 坚持网络建设与应用开发并行：一个良好的网络系统应包括网络与应用服务两部分，通常建网周期短，而应用开发时间长，应在建网的同时进行应用软件的开发。l 与广域网（WAN）互连主要用于两个方面，其一是远程用户利用电话网交换线路（拨号用户）或少量的专线相连，其二是通过宽带（如电信的宽带工程）接入广域网,访问Internet。在本方案中我们建议与电信目前网络工程所提供的宽带接口相连，以提供上网功能并共享其中的网络服务。l 网络的一致性和可扩性：网络设备选型特别是主干网设备尽可能保持一致性，避免采用多个厂家产品，否则在网络平台选取和网络管理上将增加难度。设备选型及布线系统则应考虑网络发展的扩充与升级。3.设备选型原则 l 先进性原则 系统设计应考虑所选设备及技术是目前业界最先进、成熟的主流产品。l 实用性原则整个系统简单、经济、实用，不作过多的设计，能完全满足当前实际应用的需要，而且极易操作，并便于今后的设备的增加和升级。l 可靠性原则 系统设计的构架及所选设备具有高可靠性，以保证系统安全、可靠地运行。l 开放性原则整个系统支持现有的和新改进的国际和工业标准，并且支持多厂家的产品。l 安全性原则采用多种防范措施，防止误操作、漏操作和肆意地破获，能确保整个系统的运行安全。l 可扩充性原则 系统应具有可伸缩性，以满足用户对应用系统不断扩充的需要。l 系统性能价格比原则 整个系统应考虑性价比，使用户以最少的投资得到最优秀的产品和良好的服务。4.网络总体设计考虑我们认为当今网络的发展远远超出了单纯追求基本连通的历史阶段。我们在网络连通基础上需要更高要求的网络服务内容，包括网络服务质量，安全性服务，高可靠性，可扩展性等增值服务。 在此基础上，我公司认为多层次的网络管理也是网络成功与否的一个关键所在。统计数据表明，网络的建设成本品在总体成本的三分之一。网络的运营管理成本都要消耗总成本的三分之二左右。因此有效的网络管理可以大大节省网络的运营管理开销，是网络的重要组成部分之一。 网络方案总体结构基于三层模型：即网络硬件的互连环境层，网络软件的增值服务层及多层次网络管理层。其中网络硬件互连环境主要指传统意义上的网络互连设备，包括交换机，路由器，拨号访问服务器等设备环境。5.几种主要网络技术分析 由于计算机技术的快速发展，磁盘容量和主存容量迅速扩大，时钟频率不断提高，操作系统、应用软件等更加趋于复杂高级，用户界面更加直观友好，这些都使网络的负载越来越重，第一代网络技术已接近其负荷极限，成为系统的瓶颈。这同时又刺激了网络技术的迅速发展。最近几年新技术不断问世，下面把几种主要的网络技术作为一些简单分析。l 常规以太网 常规的10Mbps以太网在CSMA/CD 协议下可传输几公里的距离，CSMA/CD协议可以保证访问的公平性。以太网站在传输数据前要检查通信介质上的载波信号，若载波存在，说明介质被占用，该站点必须推迟传送信息。CSMA/CD协议的碰撞检查机制使站点可以测出两个以上站点同时传送所引起的碰撞，碰撞出现时，没一个有关站点都停止传送，并等待一个随机的时间间隔后在传送，以减少碰撞的可能性。如有多次碰撞，每个有关站点采用“指数退避”算法计算重发的时间间隔，使间隔随碰撞的次数增加。以太网的使用经验表明，一旦网络的平均使用率超过30%，随机后退延迟机制引起的访问延迟将变得明显。所以，网络重载时，即使只有几个并发的图像会话也会使网络变得拥挤不堪。传统的以太网使用同轴电缆作为通信介质。细同轴电缆价格低，但线路脆弱且传输距离短。粗同轴电缆可靠性稍好，但费用较高。同轴电缆传输距离较长时，需用中继器连接，增加了线路的延迟和维护难度。l 双绞线100Mps以太网 以太网的发展受限制于一个物理规律，即数据的传输速率与距离之积为一恒定值。也就是说，数据传输速率越大，能传送的距离就越小。以太网在开发初期，选择的“10Mbps速率传输几公里”的折衷方案是相当成功的。随着对网络数据传输速率要求的不断提高，10Mbps相比只作了较少的改进：保持了原有的数据链路操作并保留了传统以太网的帧格式，这使得网段之间的桥接或路由变得容易，设备简单。根据介质访问协议的不同，目前有两种不同的10Mbps以太网标准。一种称为100BaseVG标准，由HP、IBM等公司支持；另一种称为100Base-Tx标准，由3Com、Intel等公司支持。 100BaseVG采用“请求优先级查询”的全新介质访问方法100 BaseVG网络中的两个终端站之间不能直接互连。需要有100Mbps的多端口中继器来运行网络。在这种中继器内有一个设备用于查询各个端口，调整端口的“请求优先权”，保证拥挤时访问的公平性。 100Base-Tx 立足于尽可能使100Mbps以太网与以太网的原始定义相接近，因此就可以仍旧采用传统的CSMA/CD介质访问方式。这使得100Base-Tx技术服务器和网络交换设备之间的点对点链路上的应用特别有效，而100BaseVG查询机构的复杂性使只有在多站点的以太网上才表现出优越性。100Mbps以太网采用的通信介质为五类非屏蔽双绞线（UTP-5）或三类非屏蔽双绞线（UTP-3），成本低。这两种技术都有最大传输距离不超过几百米的限制（100BaseX为100米，100BASEvg为200米），因此，它们只限于在工作组群的环境里应用。高速以太网（100BASE-X）属共享型与竞争型访问信道机制，用CSMA/CD技术防止冲突。在工作站数量较多且重负荷下，信道利用率下降，易于出现拥塞与瓶颈，在企业网中高速以太网应与交换技术共同采用，高速以太网（100BASE-X）是面向工作组的网络结构。交换型网络提高背板总线速率，改变传统局域网共享方式，确保每个端口速率不因工作站增多而下降。交换技术可完成一对一或一对多交换与广播，从交换机制上可分为两种，即多背板总线桥接型交换和高速背板总线时隙交换，显然后者性能优于前者。高档交换型集线器每个端口除保证带宽外还具有网桥功能，支持生成树（IEE802.1d）算法。交换型局域网最具有吸引力的是具有虚拟网段功能，而不受物理位置限制，虚拟LAN间可对广播隔离，从而有效避免广播风暴。l 光纤以太网光纤以太网系统结构化的光缆提供了分布的以太网主干网，而不采用粗缆作主干网。所谓结构化的光纤是指网络呈星型或者说放射形的拓扑结构。星型拓扑结构与传统的以太网的区别就是星型拓扑结构允许以太主干网从多端口的网络集线器上以扇形方式连接同一建筑物里的集线器，或者连到一个复杂的厂区里的其它建筑物的集线器上。光纤以太网在传输速度和传输距离方面都有很大的灵活性。光纤以太网系统的特征为：a. 可以连接到基于电缆的IEEE802.3和EthernetV2.0产品,保护了现有的投资;b. 100%的CSMA/CD性能,保证了网络的效率和数据的完整性;c. 提供了很多链路和介质的指示灯,便于从一个集中的位置诊断本地或远地的介质和硬件相关的故障;d. 产品按照EIA/ANSI委员会采用的62.5/125um光纤标准进行了优化,保证了以太网的资金受到保护,并允许过度到FDDI;e. 互连光纤集线器时不需使用中继器,这样便于光纤主干线到许多基于同轴电缆的局域网的连接,因为每个局域网上有的中继器可能已经达到了最大的允许数目;f. 备份输出光纤线和可选的电源板大大地延长了网络的正常运行时间.l FDDI 网络 FDDI是一种高速局域网技术,以100Mbps的传输速率运行,用令牌传送协议,拓扑结构也类似于令牌环,不过它可以是单环或双环.可以使用的通信介质包括传输距离达100米以上的五类非屏蔽双绞线(UTP-5)、多模光纤，它们的传输距离最大可达2公里。因此，它适合于作为现有以太网或令牌环网的目前应用相对减少。 FDDI的主要局限在于，它的数据包格式与以太网或令牌控制，在重负荷下承载能力强，性能优于100BASE-X。网络同步传输采用分布时钟，为了节省占用频宽利用5B/4B编码，并通过调制达到光纤使用频段。FDDI具有良好的可靠性措施，一旦线路或设备出现故障可自动旁路故障，具有自愈功能。典型产品有DEC公司HUB900，Cisco公司Catalyst5000，3COM公司Lanplex2500，BAY公司N5000等。l ATM 网络 ATM是一种基于交换器的联网技术，完全不同于传统的网络，是对网络概念的一种革命。ATM变换器的每个端口对应一个工作站。ATM交换器和网站之间的链路可使用多种速率、服务器和网络的连接采用100Mbps光纤链路；用户工作站采用25Mbps到51Mbps速率的非屏蔽双绞线链路。ATM网的数据传输是面向连接的，站点在发送数据之前要建立数据传输会话（虚连接），需首先确定两个站点之间的路径，然后沿着数据传输路径向交换器提供信息。每一个虚连接只建立一次路径并设置一个虚连接标识符。这样，具有该连接标识符的单元可沿着路径由硬件执行交换操作。所以，ATM技术把联网任务分为路径确定和数据传输这样两个基本部分分别完成。 ATM基于信元交换，采用VP及VC复用，具有高带宽（155Mbps 和620 Mbps）,低延时，采用统计时分复用，动态带宽适配，先进的流量及拥塞控制技术。针对不同类型业务具有相应的ATM适配层（AAL1-AAL5），因此适于多媒体业务传输。布线系统及主干网设备选型应尽可能为向ATM过渡留有扩充可能。 ATM有着极广阔的发展前景，可应用于工作组环境、局域网和广域网，它提供了一个完整的联网结构体系。l 千兆网 以太网是目前使用最广泛的网络技术，千兆以太网是以太网技术的最新发展。它在速度上比传统以太网快100倍，而技术上却与以太网兼容，同时使用CSMA/CD和MAC协议，使得升级费用大大低于向ATM升级的费用。随着有关千兆以太网标准在98年6月已确定，主要规定已明确：在MAC/PLS层上实现1000Mbps的传输速率；仍采用IEEE802.3标准规定的以太网数据帧格式并保留IEEE802.3标准定义的最大帧和最小帧长度;在10/100/1000M以太网之间转接简单,可平滑升级；在1000Mbps速率时可以进行全/半双工操作；网络上支持星形拓扑结构；仍使用CSMA/CD冲突检测并实现在每个碰撞域里可有一个中继器；在物理层上要求至少能够支持多模光纤传输距离最大为500米、单模光纤传输距离最大为3000米。 千兆以太网的优势：简易性 简易性是千兆以太网所具有的价值。千兆以太网采用与以太网同样的帧格式，无需转换。千兆以太网与以太网兼容，同样使用CSMA/CD和MAC协议，在10/100/1000M以太网之间转换简单。 同样千兆以太网并没有本质上改变对骨干网络的设计方法。对大多数人认为这是一个要点，通常人们在处理所熟悉的技术时会有比较便宜和一种舒适的感觉，而且可以减少培训的时间和所需掌握的新技术。另外一种考虑是千兆以太网网络可通过对现有网络升级而不需要进行彻底改变来实现，但实际上升级的难度很大程度上决定于已经存在的基础设备情况。协议的开销问题 ATM网络的另外一个主要问题就是在48字节的信元中需要5字节的协议开销。这样一个10.4%的开销可以认为是对网络带宽的浪费。这个开销还要加进40字节的IP包头。目前市场中有着象电视会议系统（video conferencing）或者(video on demand)这样纯ATM应用，这种应用中ATM协议的开销就如同IP包和MAC帧的协议开销一样不可避免。因此，ATM的效率是同应用相关的。应用主流是IP方向发展 随着Internet的兴起，IP应用已成为市场的主流，通过在IP网上实施H.323标准的实时控制与实时传输协议RTCP/RTP、资源预留协议RSVP等，能够较好地解决IP网上服务质量保证的问题。6.网络结构的选择根据以上的分析，本方案采用千兆以太网的技术。整个网络结构采用星型结构的布局，中心在二楼网管中心。于是此间就形成了一级网络，配备二级交换机后组成了整个计算机网络，下面连接到具体的用户。网络主干采用千兆光纤主干，通过交换机到桌面。总体内容如下：1） 主干网络结构采用放射性（即星形）结构的千兆交换式以太网和光纤快速以太网相结合，采用光纤作传输介质联接各设备间，并采用具有千兆交换能力的以太网交换机作为网络主干交换机。2） 连接到信息点，以超五类双绞线作传输介质； 3） 采用综合布线系统作为网络的线路基础；4） 能实行VLAN划分与管理；5） 主干网汇接各子网，形成中心交换；6） 建成Internet应用环境；7） 在网络中心可选择设置WWW服务器、E-MAIL服务器、数据库服务器及网管工作站等进行集中控制和管理。7.网络防雷、防过压设计对网络会产生瞬间过压而影响网络的主要原因见下表： 分 类 产生过压的原因雷击直接雷雷击直接电源或信号线感应雷静电感应电磁感应线路浪涌 故障浪涌相线与地短路引起的过电压一相开路引起的过电压其他原因系统开关过电压无负载时开关切断电源容性或感性开关整流其他原因电磁感应电磁及无线电干扰使用冲击钻、无绳电话等静电感应人体静电、摩擦静电等对雷击和过压的防护可从以下几方面考虑：建筑物防雷 安装优化避雷针是建筑物防雷的有效措施，在本方案中不考虑这方面的费用。电源系统防护 电源系统是计算机网络受雷击等影响产生过压的主要原因，一般地方只要加上防雷插座来起到防护作用，一般来说好的防雷插座应具备以下特点：通流容量应大于5000安培（越大越好）限制电压应低于600V（越低越好）工作电压范围越宽越好信号系统防护网络的信号联络无非是通过网卡、MODEM和线缆，信号系统浪涌电压的主要来源是感应雷击、电磁干扰和静电干扰。本系统建筑物之间的连接采用光缆，本身抗干扰能力较强，而其他线缆都在建筑物内隔离布线，MODEM因是与远端网络连接，遭受干扰的可能性较大，可采用用于MODEM的防雷抗浪涌保护器，一般MODEM保护器要求具备以下特点：通流容量应在50-100安培左右（太小影响保护效果，太大可能会造成损耗大）插入损耗越小越好（至少小于0.5128Kb/s)反映速度越快越好(至少在1/1000000000000秒之内)第三节 详细设计1.综合布线系统的设计关于综合布线的设计请参看“综合布线”方案。2.应用系统平台设计应用系统一般有如下三种模式：文件服务器模式、客户/服务器模式、浏览器/服务器模式。文件服务器方式基本被淘汰，只在小规模应用中会采用，客户/服务器方式是进几年普遍采用的模式，而浏览器/服务器方式是近年随着Internet的发展而起来越多的人在采用的模式，在性能和功能上正在不断得到加强。我们在本方案中采用后两种方式相结合。下面对浏览器/服务器这一心得模式作简要介绍：当今Internet已经风靡全球，采用Internet模式开发办公自动化系统也已成为目前流行的方法，即采用Internet的WEB服务器技术。这种方式的优点在于客户端界面统一，都采用浏览器，使用方便，容易掌握；另外采用浏览器/WEB方式的最大特点是应用软件的升级、修改等，都只需在服务器端操作，不需改动客户端软件，为安装和维护带来很大的方便。在Internet系统中，中心需配置多台服务器向客户提供服务。一般来说，包括以下几种： 数据库服务器：信息服务中心需配置的信息供用户查询，为有效地组织和管理各种信息，我们建议将信息存放在数据库中，数据库服务器需对存放在数据库中的数据库做大量的查询，因此要求数据库服务器要有较强的CPU处理能力及磁盘处理速度。 WWW服务器：HTML文本可灵活地将各种格式的数据库组织在一起，WWW浏览器提供了使用简洁、功能强劲的查询界面。我们建议使用WWW技术作为统一的信息服务界面。WWW服务器接受用户的查询，通过CGI等方式与提供给用户。因此WWW服务器需要有强大的输入输出能力。 电子邮件服务器：提供电子邮件（E-Mail）服务。 其他服务器：提供如远程登录服务、新闻服务、VOD点播服务等。 3.网络安全性和保密性设计 为防止网络不受理未授权用户的侵扰，或防止用户无意识地对网络的侵害。 具体而言，须防止如下情况： 对一些机要数据如财务状况、机要文件的窃取。 对数据的非授权修改、增删。 病毒的干扰。 对网络环境的意外或灾难性破坏，如掉电、火灾等。 网络系统的安全性和保密性可从以下几方面加以保证：（1） 用户权限的口令鉴别当用户要进入网络系统时，必须提供代表其身份的口令。只有授权用户才可以进入网络。（2） 文件存取权限的控制不同的网络用户对文件具有不同的存取权限。只有超级用户才有对文件的全部存取权，而普通用户只能对某些文件具有存取权限。除网络系统本身应提供的存取控制外，操作系统、数据系统、数据库系统应用软件也须有相应的存取控制。（3） 对于采用微机DOS/Windows 系统作为服务器和工作站操作系统的网点而言，可利用各种防病毒软件或硬件。（4） 对网络环境的严格管理和维护、定期检查、测试关键的网络设备、通信线路以及供电等配制设施，防止未授权用户和带病毒软件进入网络系统。网络安全性分层实施如下：（一） 网络节点的安全网络节点的安全性主要依靠防火墙保证，放火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的判断与警告。通讯的记录提供全面的记录，以备对系统安全性进行监视与审核。（二） 通讯的安全性通讯的安全性依靠Netscope公司制订的技术标准安全插座SSL3.0（Security Socket Layer）实现.SSL是界于TCP/IP层及各类应用(FTP、Telnet等)之间的一层，它对传统的网络数据包进行加密处理，确保网络传输的数据包不会被第三者监听或篡改。应用程序的安全性应用程序的安全性可以通过操作系统提供的能力来保证。（三） 用户的接入和认证安全包括两方面的技术：一是确保只有经授权的用户才能进入某些重要部门网；另一种是提供一种方法来生成数字签名，从而保证操作不被否认。（四） 安全管理对员工进行网络安全知识教育，制订相应的安全规则和措施。（五）与广域网连接的安全性整个内部网与广域网连相接，以访问Internet，必须考虑到系统的安全性。第一级是访问路由器，其中已包含了多种保护系统安全性的功能，包括访问控制（Access List）、包过滤（Package Filtering ）等功能。第二级系统中可配置硬件防火墙及网关服务器，本方案中推荐采取了软件防火墙技术。（方案中未列入该项费用，用户可根据实际情况做出选择）用户可以方便地在网络架构上构建自己的安全网络或安全通道。可选择采用网关服务器方式，在代理服务器上安装了两块网卡，其中一块网卡与系统内部局域网连接，另一块网卡与广域网相连，访问Internet。这样，系统内部网络与外部网络就被网关机隔离开来了，内部网络与外部网络的信息交换需要通过网关机来进行，通过网关机可以控制内外部网络信息交换的方式和内容，从而达到了保护内部网络的目的。第四节 产品选择目前千兆以太网已成为一种成熟的组网技术，它的造价低于ATM网，其有效带宽却比622Mbps ATM还高。千兆以太网已成为Intranet主干网组网的主要技术，现在的千兆以太网技术可以用于组建100km范围内的城域网。根据本大楼目前的应用情况及贵方提出的要求，本方案选用了千兆以太网技术。主干为千兆，10/100M自适应或100Mbps交换到桌面。基于以上设计原则，经过周密考虑，根据各厂商技术实力、产品技术水平和市场占有率及性能价格比良好的联想公司的网络产品。本方案以1台思科的WS-C6509作为中心交换机，以5台WS-C3548-XL-EN和2台WS-C3524-XL-EN作为二级交换机。其中WS-C6509是专为满足对千兆位密度、数据和语音集成、LAN/WAN/MAN集中、可扩展性、高可用性、以及主干/分布、服务器整合和服务供应商环境中智能多层交换的不端增长的需求而设计的，具有高可扩展性和性能/价格比的中心交换机。Cisco Systems Catalyst 3500 XL系列是一个可扩展、可堆叠的10/100和Gigabit Ethernet交换机系列，提供优异的性能、可管理性和灵活以及无与伦比的投资保护。这一低成本、高性能的交换解决方案系列提供下一代可堆叠的交换。由于交换机都支持VLAN，所以整个网络可以实现VLAN的设置及其应有的功能。本方案配置组成的网络，充分考虑了今后用户数量增加可能。采用现在的交换机系统可为今后的扩展创造了条件，同时通过支持VLAN功能，应用虚拟网的设置技术，就可以方便地实现各功能部门网络的划分。本方案建议根据应用需要将整个网络划分成若干个虚网，以利于性能的发挥和方便的管理。本方案设计主干采用光纤，中心交换机与二级交换机之间通过千兆光纤模块连接，通过10M/100M自适应交换机到桌面。整个网络的主干达到了1000Mbps，并且可实现100M到桌面，实现了用户现在的应用要求和今后可能遇到的在多媒体应用的前提下对网络速度的要求。1.主要网络设备配置的大致清单如下：楼号配置及数量J-01WS-C6509*1J-02WS-C3548*2J-03WS-C3524*1J-04WS-C3548*1J-05WS-C3548*2J-06WS-C3524*12.网络操作系统选择考虑到玉环县科委科技文化艺术中心的具体情况，结合目前发展的趋势，我们建议选择WIN 2000 SERVER作为网络的操作系统。在数据库服务器和应用服务器领域中，目前流行的操作系统平台主要有UNIX和MS WINDOWS 两种，这两种平台各有优点。因此，操作系统主要在UNIX与两者之间做出选择。WIND0WS 操作系统发展到现在经历了近十年时间，诞生的一个重要目标就是与UNIX竞争。在新兴的办公自动化网络小型应用系统中取得了优势。纵观的发展历程，它的主要优点是：1）有明确的设计目标，即与UNIX竞争企业操作系统市场，并继承WIND0WS的优势。技术较为先进，与量大面广的WIND0WS有统一的界面，且两者结合较紧密，能很好的兼容WINDOWS的丰富应用软件。2）安装、使用、管理都比较方便。此外，厂商针对平台对网络设备及主机系统所开发的网管平台和网管系统也很简易、实用。3）在价格及市场开拓能力等方面也较UNIX有优势。一个基于UNIX服务器的系统所需要的支持和服务人员将远远超过基于作为服务器的系统，由于UNIX的变种比较多，如果购买太多不同厂商的UNIX系统。还需要不同的专门人员。此外UNIX操作系统本身是一种纷繁复杂、博大精深的操作系统，它的维护需要支持人员具有更高的专业水来。基于以上的分析对比，这两种主要操作系统将并存，相互渗透。UNIX系统由于其坚固的系统核心以及20多年的发展，已经成为目前基于大型高端服务器操作系统的最佳选择，但是对于一般的用户来说，UNIX不容易操作和管理。因此，我们建议采用WINDOWS 2000 Server为网络操作系统平台。由于最新发展以及市场逐渐对它的认可，微软公司又在上集成了多个应用软件。另外，从客户考虑，WINDOWS已经成为了事实上的唯一选择，故选择其作为网络操作系统是最佳选择。WINDOWS 2000 Server平台容易安装管理和使用；与用户端的WINDOWS 98以及后期的版本连接非常方便；支持多种通信协议；网络管理功能强大；支持中文集成了SQL7.0；集成了EXCHANGE 5.5；集成了PROXY2.0；因为WINDOWS 98已经事实地成为了客户端操作软件，所以我们推荐玉环县科委科技文化艺术中心网络的客户端软件为WINDOWS 98。3.网络管理网络管理的目的在于提供一种对计算机网络进行规划、设计、操作、运行、管理、监视、分析、控制、评估和扩展等手段。从而以合理的代价，优化整个系统资源，提供正常、安全、可靠、有效、充分、用户友好的服务。网络管理系统应满足以下要求：- 首先网络管理系统应具有同时支持网络监视和控制两方面的能力。网络监视功能是为了掌握当前运行状态；而网络控制功能是采取措施影响网络的运行。- 能够管理网络各协议层。现代网络体系结构是层次结构的。网络的功能及其实现是分层的，不同层次的协议完成不同的功能，各层都有其运行状态，因此通用的网络管理系统应能管理各协议层。- 尽可能大的管理范围。管理点到点的网络通信，不仅管理基本的网络设备，还应该管理应用层的功能。- 尽可能小的系统开销。管理尽可能多的协议层和尽可能大的范围是以增大系统开销为代价的。应该根据实际情况对网络管理的范围和所需的系统开销进行统一、合理的分配和选择。- 可以管理不同厂家的网络设备。网络管理和运行应该不受具体厂家设备的限制。- 容纳不同的网络管理系统。尽可能容纳不同的网络管理功能，形成全网统一的管理和运行机制的集中式网络管理系统是十分重要的。- 为了加强不同部门的管理，要求网络能提供虚网划分。4.全面的网络管理由于整个网络系统使用多种网络设备，十分复杂，信息点比较多，所以需要全面的网络管理，包括网络设备管理、端口管理、VLAN的灵活划分及管理等。因此，网络设备必须具有良好的可管理性，以便于管理和维护。要利用先进的网络管理软件，使得可以通过网管工作站监测整个网络的运行状况，合理分配网络资源、动态配置网络负载、迅速确定网络故障位置等。以下我们先介绍一下虚拟局域网（VLAN）的情况。虚拟局域网虚拟网络（Virtual LAN）是近几年发展起来的一种新兴网络技术。VLAN是当今局域网的重要组成部分，是衡量局域网优劣的重要特征之一。VLAN是在交换环境中为了克服网络物理分段的限制而建立的逻辑网络段。在，即可通过VLAN来区分管理不同的部门。VLAN在物理网络的基础上，能根据需要灵活的分出许多逻辑网络，从而摆脱了建筑物、楼层、地址空间等物理地域限制，以及因为位于布线柜或路由器附近而造成的对用户实际需要灵活地建立逻辑的专用网络，使网络更安全，更便于管理，使畅通性和带宽更有保证。VLAN技术为网络设计带来了实质性变化：碰撞域缩小、广播隔离交换端口智能化物理边界不存在对带宽更有力控制，同时在链路拥挤时配置和重新分配流量简化了用户移动时配置和重新布线的过程集中式管理，提供关于流量和广播状态的详细报告以及VLAN组大小和组成的统计数据用于跨VLAN通讯的路由功能等VLAN具有以下技术特点：VLAN有基于网络协议类型、网络交换机端口、网络链路层地址、网络层地址定义等多种形式。对于网络，VLAN的使用根据管理者的权限和需求，可以跳过物理上的限制，将局域网内任意地点的信息点划到某一个网段之中，使之享有管理者确认的权利和范围，并且加以安全的隔离，这种应用对银行金融的业务管理而言是非常重要的。VLAN在逻辑上等价于广播域。更具体来说，可以将VLAN类比成一组最终用户的集合。这些用户可以处在不同的物理局域网上，但他们之间可以像在同一个局域网上那样自行通信，而且不受物理位置的限制。在这里，网络的定义和划分与物理位置和物理连接是没有任何必然联系的。网络管理员可以根据不同的需要，通过相应的网络软件灵活地建立和配置虚拟网，并为每个VLAN分配它所需要的带宽。因为通过采用VLAN，可以设置成每个子网的用户不能访问其他子网的资源，从而使得网络的安全性得到很大的改善。使用VLAN的另一个目的是建立虚拟工作组模型。当小区的VLAN建成之后，某一部门或分支机构的职员可以在虚拟工作组模式下共享同一个“局域网”。这样，绝大多数的网络流量都限制在VLAN广播域内部了。当部门内的某一个成员移动到另一个网络位置上时，他所使用工作站不需要做任何改动。相反，一个用户根本不用移动他的工作站就可以调整到另一个部门去。管理人员只需要在控制台上简单地敲几个键或一下鼠标就可以了。网络管理软件本方案我们准备采用CISCO的CISCO WORKS FOR WINDOWS作为网络管理系统软件。在大多数IT环境中，网络复杂程度已超出了人们的控制范围，这一点即使您不是IT专家也能十分清楚地了解。Windows 服务器在公司中不断涌现，移动办公人员、全新IT网站和Internet的迅猛发展要求网络持续变化，而新技术与网络密集型应用也不断面世。在这种变化的环境下，IT主管需要可解决下列紧迫问题的解决方案：我该如何在这样一个持续变化的复杂环境中找出网络破坏的原因呢？在将Internet作为网络的扩展时，我该如何管理无法预计的流量波动及其带来的更高安全风险？我该如何控制网络带宽以确保满足业务提交要求？我该如何管理网络并准确预测网络发展要求，以确保达到所需的响应时间水平？我该如何使客户满意？CiscoWorksForWindows产品提供了一组用于中、小企业网络管理的解决方案。这些解决方案重点针对网络中的关键领域，如广域网（WAN）的优化、基于交换机的局域网（LAN）管理、保护远程和本地虚拟专网的安全以及度量所有网络类型中的服务级别协议。正在不断扩展的CiscoWorks2000产品线提供了在所需要的任何时间和地点进行端对端管理解决方案部署所需要的灵活性。 LAN管理解决方案（LMS） 路由WAN管理解决方案（RWAN） VPN/安全管理解决方案（VMS） 服务管理解决方案（SMS） - 这些解决方案以基于Web的CiscoWorksForWindows管理服务器为基础，该服务器提供了管理应用集成所需要的公共服务。这些服务导致了数据共享和系统处理过程集成度的增加，从而提高了系统管理的整体性能。 -从介绍可看出，配合网管软件，结合思科的WS-C6509和WS-C3500系列交换机构成交换网络，并且通过路由器与Internet连接，就可以建构一个完善网络了。广域网使用路由器，可通过DDN专线或ISDN与外界INTERNET相连(如可通过电信宽带网接入等)。网络传输协议选用TCP/IP协议作为网络系统的传输协议，主要原因是因为Internet就是使用TCP/IP协议，所以与Internet进行连接，选用TCP/IP是最佳选择。以下为我们为贵方设计的网络中涉及到的主要网络设备的介绍： WS-C6509Catalyst 6000家族包括Catalyst 6500系列和Catalyst 6000系列，为园区网络提供一系列新的高性能多层交换解决方案。Catalyst 6000家族旨在满足主干网/分布和服务器集合环境中对千兆位可伸缩性、高可用性及多层交换的增加需求，提供卓越的可伸缩性和性价比，支持广泛的接口密度、性能和高可用性选项.通过提供应用智能、服务质量机制和安全，客户可以更加有效地利用他们的网!络增加客户服务（例如多点传送和ERP应用），而不会牺牲网络性能。如果与Cisco IOS的广泛网络服务相结合，Catalyst 6000家族能够提供园区内部网所需的强大管理、用户移动性、安全性、高可用性和多媒体支持。可缩放的快速以太网和千兆位以太网主干密度、高性能多层交换及主干中的政策执行。最多支持384个10/100以太网、192个10OFX快速以太网和130个千兆位以太网端口一业界最高水平。多层交换，在Catalyst 6500系列交换机上可以扩展到150 Mpps。卓越的可缩放性和性价比。使用交叉交换网体系结构的Cisco 6500系列可以将自己的交换带宽提高到256Gbps。通过支持以成熟的Cisco快速转发（CEF）体系结构为基础的基于硬件的转发功能，这一平台提供了优异的控制面板可扩展性，为电子商务和Cisco内容交付网络提供了智能交换体系结构。通过分布式转发，转发信息被分发到智能板卡，这一方式进一步增强了平台的性能并提供了无与伦比的系统性能和可扩展性级别。 9插槽竖直机箱是为符合网络设备创建系统（NEBS） Level 3而设计的，具有前后对流功能，非常适宜用于服务供应商环境。它也适用于那些将前后对流作为首选的企业客户环境。 通过协议不相关的多点传送（PIM）、Internet群组管理协议（IGMP）、Cisco群组管理协议（CGMP）和GARP多点传送注册协议（GMRP）提供有效的内部网多媒体和多点传送支持。支持关键任务应用的广泛服务质量（QoS）特性。Catalyst 6000家族可以支持处理关键任务应用所要求的多种网络弹性和易服务性级别。为确保高系统可用性，Catalyst 6000系列能够支持设备级的容错，包括以下选项： 冗余监管器 冗余、负载共享性质的电源（直流和交流） 冗余系统时钟 冗余上行链路 冗余交换机网络（只对Catalyst 6500系列）技术规格 标准网络协议 IEEE 802.1Q, 802.1p, 802.3x 以太网：IEEE 802.3, 10BASE-T和10BASE-FL 快速以太网：IEEE 802.3u, 100BASE-TX, 100BASE-FX 千兆位以太网：IEEE 802.3z, 802.3ab 网络管理 - CWSI图形用户接口（GUI）管理，包括但并不局限于： CiscoView VlanDirectorTM 软件 TrafficDirectorTM软件 Cisco发现协议 VTP SNMP代理V.1（RFC 1155-1157） SNMPv2c Cisco工作组管理信息库（MIB） 以太网MIB（RFC 1643） 以太网转发器MIB（RFC 1516） SNMP MIB II （RFC 1213） RMON （RFC 1757） 接口表（RFC 1573） 网桥MIB（RFC 1493） SMT 7.3 （RFC 1285） 增强SPAN 端口探测和连接控制 基于文本和CLI的用户熟悉的路由器接口 标准Cisco IOS软件安全性功能：密码和TACACS+ 用于管理访问的远程登录、TFTP和BOOTP WS-C3500 XLCisco