XX网络实验室方案(60页)

xxxxxx网络实验室网络实验室 方案建议书方案建议书 xxxxxxxxxxxx 有限公司有限公司 二零零一年二零零一年x x月月 第 2 页 承蒙贵单位对有限公司的厚爱和信任 承蒙贵单位对有限公司的厚爱和信任 给予我公司为贵单位提供网络实验系统方给予我公司为贵单位提供网络实验系统方 案的设计机会 我公司深感荣幸并深表谢案的设计机会 我公司深感荣幸并深表谢 意 意 XxxXxx 有限公司希望本着诚挚 科学的态度 有限公司希望本着诚挚 科学的态度 充分考虑贵方的要求 应用国际上成熟的充分考虑贵方的要求 应用国际上成熟的 技术和我们丰富的设计施工经验 提供最技术和我们丰富的设计施工经验 提供最 佳的设计方案和优质的服务 佳的设计方案和优质的服务 第 3 页 目目 录录 第第 1 章章公司介绍公司介绍 1 1 1 XX公司介绍 1 1 2 XX代理资讯产品 1 1 2 1 Compaq多线产品 1 1 2 2朗讯结构化综合布线系统 1 1 2 3 MICROSOFT软件系统 1 1 2 4 NOVELL网络系统 1 1 2 5 CISCO网络设备 1 1 2 6佳能办公自动化产品 2 第第 2 章章系统需求系统需求 3 第第 3 章章系统设计原则系统设计原则 4 3 1 系统设计原则 4 3 1 1先进性成熟性原则 4 3 1 2可靠性和稳定性原则 4 3 1 3可维护性原则 4 3 1 4可扩展性原则 5 3 1 5开放性和互联性原则 5 3 1 6系统安全性原则 5 3 1 7可管理性原则 5 3 1 8系统易用性和友好性原则 5 第第 4 章章系统设计方案系统设计方案 6 4 1 网络平台分析 6 4 2 网络系统安全策略分析 7 4 2 1网络层的安全性 7 4 2 2系统的安全性 7 4 2 3用户的安全性 8 4 2 4应用程序的安全性 8 4 2 5数据的安全性 9 4 3 网络产品的选择 9 第第 5 章章网络系统设计方案网络系统设计方案 12 5 1 网络系统连接方案 12 5 2 千兆以太网和千兆铜缆技术 13 5 3 INTERNET 连接方案 15 5 4 远程访问解决方案 16 5 5 网络系统安全方案 16 5 6 VPN 应用方案 18 5 7 网络管理 22 5 8 网络拓扑结构 23 5 9 网络系统系统原理图 23 第 4 页 第第 6 章章系统结构与产品清单系统结构与产品清单 24 6 1 系统结构图 24 第第 7 章章信息系统产品介绍信息系统产品介绍 25 7 1 CISCO公司 CATALYST 6000 系列交换机 25 7 2 CISCO公司 CATALYST 3500XL 系列智能型交换机 30 7 3 CATALYST2900XL 系列交换机 31 7 4 CISCO 3600 路由器 33 7 5 防火墙 34 7 6 CISCO 网络管理软件 35 7 6 1CiscoWorks 功能介绍 35 7 6 2VLAN Director的功能介绍 38 7 6 3ATM director的功能介绍 41 7 7 企业级网络测试仪 F68X 系列 42 第第 8 章章项目的实施项目的实施 62 8 1 项目的实施原则 62 8 1 1遵章守纪原则 62 8 1 2不影响客户工作原则 62 8 1 3灵活时间原则 62 8 1 4系统安全原则 62 8 1 5数据安全备份原则 62 8 1 6充分测试原则 62 8 1 7充分沟通原则 62 8 2 项目的人员组织 62 8 3 项目进度安排 64 8 3 1进度安排表 64 8 4 进度安排说明 65 8 4 1订货 到货进度 65 8 4 2系统调试进度 65 8 5 项目验收 65 8 6 产品验收 66 8 7 系统安装调试验收 66 8 8 运行测试验收 66 第第 9 章章XX 的售后服务的售后服务 68 9 1 XX 对售后服务的承诺 68 9 2 XX 的服务类型包括 68 9 2 1热线电话 68 9 2 2现场排除故障 68 9 3 保修期后的维护 68 9 4 服务报告 69 9 5 XX 对服务的承诺 69 第第 10 章章系统配置报价系统配置报价 70 第 1 页 第第1章章 xx公司介绍公司介绍 1 1 xx 公司介绍公司介绍 1 2 xx 代理资讯产品代理资讯产品 1 2 1 Compaq 多线产品多线产品 Armada 笔记本 Compaq 台式机商用机 ProLiant 服务器 PC 图形工作站 Compaq Alpha 服务器 1 2 2朗讯结构化综合布线系统朗讯结构化综合布线系统 端到端全线综合布线产品 非屏蔽双绞线 单模 多模光纤 配线架设备 连接器件 系统工具 1 2 3 MICROSOFT 软件系统软件系统 全线微软软件产品 1 2 4 NOVELL 网络系统网络系统 Netware 网络操作系统 Netware 相关应用系统 1 2 5 CISCO 网络设备网络设备 CISCO 路由器 CISCO 网络交换机 CISCO 访问产品 第 2 页 1 2 6佳能办公自动化产品佳能办公自动化产品 佳能传真机 佳能复印机 佳能打印机 佳能缩微机 第 3 页 第第2章章 系统需求系统需求 用户需求描述用户需求描述 xx 项目甲方 为了利用网络信息技术提高信息技术水平 将建立 Cisco 网络实验室系 统 其具体需求如下 建立 Cisco 网络架构 与生产管理单位 辅助生产及后勤的互连 完善的网络应用系统 高效的 Internet 访问 电视会议 见 IPTV 方案 安全 有效的网络管理 第 4 页 第第3章章 系统设计系统设计原则原则 根据甲方需求 XX 有限公司 项目乙方 提出自己的系统设计原则和设计方案 3 1 系统设计原则系统设计原则 系统的建设对于甲方的信息技术水平的发展提高具有深远的价值 在系统建设过程 中 根据用户的需求 整个系统的网络结构 网络选型 网络应用系统均以先进性 成熟性 可靠性 开放性 安全性为原则进行设计 网络平台的设计遵循以下设计原则 3 1 1先进性成熟性原则先进性成熟性原则 设计立足先进技术 相对成熟可靠 符合网络发展的方向 以适应大量数据传输以 及多媒体信息的传输 整个系统争取在三至五年内保持先进的水平 并具有扩展能力 以适应未来网络技术的发展 保证系统各项功能 性能指标都达到较高水准 3 1 2可靠性和稳定性原则可靠性和稳定性原则 系统的运行具有极高的可靠性 具有良好的容错性能 在一定灾难发生时 仍能保 证系统不间断运行 网络大量传输的是重要的用户数据 设计上应严格注意如何保证网络系统的可靠 性和运行的稳定性 其中包括 网络结构的可靠性和稳定性 在网络拓扑结构的设计上 力求简洁 作好冗余 符合网络发展的方向 网络设备的可靠性 网络设备的可靠性取决于设备生产的厂家 注重设备的可靠性应选择著 名厂家的产品 Cisco 生产的产品可靠性高 网络系统与应用系统接口的可靠性 选用的网络系统的接口与应用系统接口兼容并可靠 3 1 3可维护性原则可维护性原则 系统必须易于维护 在系统建设和开发过程中的每个环节 都必须遵循有关国际 国家标准 第 5 页 3 1 4可扩展性原则可扩展性原则 随着数据量的增加和运行节点的扩展 系统对硬件软件的要求会不断提高 系统采 用的所有硬件 软件的选型必须考虑可扩展性的要求 3 1 5开放性和互联性原则开放性和互联性原则 网络要与 INTERNET 互联 相互共享资源 必须是一个支持多种协议和接口的开 放式网络 只有这样才能够实现与现有的和未来的网络系统互联 系统中每种设备 软件必须具有良好的开放性 所有硬 软件都应遵循业界相关标 准 支持开放的标准接口 使整个系统成为一个统一的整体 而不致产生运行上的 孤岛 3 1 6系统安全性原则系统安全性原则 由于本系统提供面向 INTERNET INTRANET 各个方向的信息服务 所以既要向各 类用户提供各种方式的信息服务 也要保护系统数据的安全性 整个系统具有良好的 安全管理功能 从各个层面和角度都具有相应的安全机制 确保系统安全和信息安全 3 1 7可管理性可管理性原则原则 在整个局域网络中 联入网络的网络设备 终端设备多 分布广 网络运行情况复 杂 网络设备应该具有很好的可管理性 以便于管理和维护 利用先进的网络管理软 件 可以通过网管工作站监测整个网络的运行状况 迅速确定网络故障位置 合理分 配网络资源 动态配置网络负载等 3 1 8系统易用性和友好性原则系统易用性和友好性原则 提供友好的用户操作界面 具备直观易用的人机界面 第 6 页 第第4章章 系统设计方案系统设计方案 根据甲方需求 XX 项目乙方 提出自己的系统设计方案 根据甲方的需求 XX 建议该信息系统的建设应从以下几个方面进行 1 系统的建立 XX 建议使用以太网作为网络系统的建设标准 以太网是一种最通用 的网络技术 其技术发展很快 从 10Mbps 100Mbps 直至千兆 其配置 扩展灵活 造 价便宜 乙方推荐以太网交换机可选用 Cisco 公司的系列以太网交换机 Cisco Catalyst 6000 4000 3500 2900 中心交换设备由一台以太网交换机 Cisco Catalyst 6509 组成 Catalyst 6000 和 6500 系 列交换机都支持广泛的接口类型和密度 包括最高可以支持 576 个 10 100 以太网端口 288 个 100BASE FX 快速以太网端口以及 194 个千兆位以太网端口 这些数字在行业内是 最高的 客户还可以使用快速以太通道或千兆位以太通道技术集中最多 8 个物理快速以太 网或千兆位以太网链路 使逻辑连接容量最高可以达到 16Gbps Catalyst 6000 系列提供 了行业领先的千兆位以太网交换解决方案 可以满足当今要求最高的和快速增长的企业和 服务供应商网络的要求 网络节点交换机选用 Cisco Catalyst 3500 2900 1900 具有优良的 性能价格比 可适宜于各种应用环境 2 Internet 共享 甲方的员工需要长时间对 Internet 进行访问 因此 XX 建议配置能 够连接 DDN 接口的路由器 通过该路由器不仅能够连接 DDN 线路 满足所有连接在局 域网上的用户对 Internet 的访问 还能在需要时通过 DDN 访问远端的服务器 乙方推荐路由器可选用 Cisco 公司的 2600 3600 系列路由器 路由器选用 Cisco 公司的 2600 3600 系列路由器 配合使用各种接口 可满足各种应 用环境 3 网络管理 为了实现对网络的管理 乙方推荐选用 Cisco 公司的网络管理软件 CiscoWork2000 4 网络安全 为了保证整个网络系统的安全 乙方推荐选用 Cisco 公司的网络安全 产品 如 PIXFIREWALL Cisco IOS 防火墙及其他产品 5 使用 UPS 不间断电源 来保护网络设备的正常工作 可防止断电时数据的丢失 及断电对应用系统的破坏 6 用我们内部的大型企业网的资源 使用 CISCO 的 IPTV 技术 4 1 网络平台分析网络平台分析 通过研究网络发展的情况和当今流行的网络选型 本方案决定在局域网中采用 10 100M 以太网交换机做为网络的主要连接设备 构成标准的交换式以太网 10 100M 交换型以太网为高性能的经济性网络模型 拥有成熟的技术及产品 建造 10 100M 以太网 不仅节约资金和时间 而且可以与现有的以太网实现无缝连接 第 7 页 4 2 网络系统安全策略分析网络系统安全策略分析 随着 Internet 的广泛应用 网络安全的重要性愈发显著 近来国内数家网站均遭到了 不同程度的攻击 造成了巨大损失 因此网络系统的安全性也成为网络建设中的一个重要 的问题 XX 认为在考虑网络安全的过程中 应该考虑以下五方面的问题 网络是否安全 操作系统是否安全 用户是否安全 应用程序是否安全 数据是否安全 下面我们针对每 一层的网络安全问题简单的阐述和分析 4 2 1网络层的安全性网络层的安全性 网络层安全性的核心问题是网络能否得到控制 即 是不是任何一个 IP 地址的用户 都能进入网络 通过网络通道对网络系统进行访问时 每一个用户都会有一个独立的 IP 地址 这个 IP 地址能够大致表明用户的来源地址和来源系统 目标站点通过对来源 IP 分析 能够初 步判断来自这一 IP 的数据是否安全 是否会对本网络系统造成危害 以及来自这一 IP 的 用户是否有权使用本网络的数据 一旦发现某些数据来自不可信任的 IP 地址 系统便会 自动将这些数据阻挡在系统之外 并且大多数系统能够自动记录那些曾经造成过危害的 IP 地址 使得它们的数据免于遭受第二次危害 用于解决网络层安全性问题的产品主要有防火墙产品和 VPN 虚拟专用网 防火墙 的主要目的在于判断来源 IP 将危害或未经授权的 IP 数据拒之于系统之外 而只让安全 的 IP 数据通过 一般来说 公司的内部网络若与公众 Internet 相连 则应该在二者之间 设置防火墙产品 以防止公司内部数据的外泄 VPN 主要解决的是数据传输的安全性问题 如果公司在地域上跨度较大 使用专网 专线过于昂贵 则可以考虑使用 VPN 其主要目 的在于保证公司内部的关键数据能够安全地借助公共网络进行频繁的交换 4 2 2系统的安全性系统的安全性 在系统安全性问题中 主要考虑的问题有两个 一是病毒对于网络的威胁 二是黑客 对网络的破坏和侵入 病毒的主要传播途径已经由过去的软盘 光盘等存储介质变成了网 络 多数病毒不仅能够直接感染网络上的计算机 也能够在网络上对自身进行复制 电子 邮件 文件传输以及网络页面中的恶意 Java 小程序和 ActiveX 控件 甚至文档文件都能 够携带对网络和系统有破坏作用的病毒 网络防病毒工具必须能够针对网络中可能的病毒 入口进行防护 第 8 页 对于黑客而言 他们的主要目的在于窃取数据和非法修改系统 其手段之一是窃取合 法用户的口令 在合法身份的掩护下进行非法操作 其手段之二是利用网络操作系统的某 些非法但不为系统管理员和合法用户所知的操作指令 要弥补这些漏洞 我们需要专门的 系统风险评估工具 在完成了这些工作之后 操作系统自身的安全性问题将在一定程度上 得到保障 4 2 3用户的安全性用户的安全性 对于用户的安全性问题 所要考虑的问题是 是否只允许那些真正被授权的用户使用 系统中资源和数据 首先要做的是对用户进行分组管理 并且这种分组管理应该是针对安全性问题 应该 根据不同的安全级别将用户分成若干等级 每一等级的用户只能访问到与其等级相对应的 系统资源和数据 其次应该考虑的是强有力的身份认证 其目的是确保用户的密码不被他 人猜测到 在大型的应用系统中 有时会存在多重的登录体系 用户如需进入最高层的应用 往 往需要多次输入多个不同密码 如果管理不严 多重密码也会造成安全上的漏洞 所以在 某些先进的登录系统中 用户只需要输入一次密码 系统就能够自动识别用户的安全级别 从而使用户进入不同的应用层次 这种单一的登录体系要比多重登录体系提供更强大的安 全性 4 2 4应用程序的安全性应用程序的安全性 在这一层中我们需要回答的问题是 是否只有合法的用户才能对特定的数据进行合法 的操作 这涉及两方面的问题 一是应用程序对数据的合法权限 二是应用程序对用户的合法 权限 例如在公司内部 上级部门的应用程序可以存取下级部门的数据 同级部门的数据 存取也应有所限制 例如同一部门不同业务的应用程序也不能互相访问对方的数据 一方 面可以避免数据的意外损坏 另一方面也是出于安全性问题的考虑 4 2 5数据的安全性数据的安全性 数据的安全性所要回答的问题是 机密数据是否还处于机密状态 第 9 页 在数据的存取过程中 机密的数据即使处于安全的空间 也要对其进行加密处理 以 保证万一数据失窃 偷窃者 如网络黑客 也读不懂其中的数据内容 这是一种比较被动 的安全手段 但往往能收到最好的效果 从上述分析中可以看出 网络安全是一个综合性的问题 不仅需要相应设备 更需要 严格的管理制度 因此 JOS 建议在网络平台的建设中分步建立安全体系 选择相应的软 硬件产品 建立完善的信息系统管理制度 培养用户网络安全的意识 最终建立一个高效 安全的网络平台系统 4 3 网络产品的选择网络产品的选择 网络产品的选择从以下几方面考虑 1 关键业务的保证 关键业务的保证 网络中传输的信息数据非常之多 但其中有一些应用是关键性的和对时延敏感度较高 的 如视频会议 IP 电话等 如何保证这些业务的优先权和带宽分配 是目前网络建设 和管理中越来越重要的问题 具体到本网络系统中 要实现关键业务数据的优先权保证 网络设备应具有流量侦察 控制进入和流量分级的能力 能够对数据进行有效的过滤和分级 同时网络设备应能根据 数据级别进行有效的拥塞控制和时序排列 完成 QoS 的实现 Cisco 的 Catalyst6000 系 列产品可以对数据进行基于 IEEE802 1Q 的 CoS 分级 这些产品的独特功能保证了 Cisco 的网络解决方案可以充分保证关键业务的优先级别 2 高可靠性 高可靠性 网络系统的可靠性依赖于许多因素 绝不仅仅是网络设备硬件冗余备份那么简单 还 要涉及到 链路备份 负载均衡和链路故障时网络的收敛能力 Cisco 的网络交换设备都支持双上联口 Catalys6000 系列交换机都提供冗余的高速 上联口 它们还支持基于 VLAN 的 Spanning Tree 和 Uplink Fast 技术 可以在链路故障 时更迅速地实现收敛 恢复正常通信 3 多媒体支持 多媒体支持 第 10 页 多媒体技术往往占用较多的带宽 广泛应用于远程教学 虚拟工作和音频视频会议等 这些应用大部分都需要采用多点广播机制来实现其具体操作 网络设备如支持多点广播技 术 可以大大减少网络中的带宽占用 避免网络拥塞 Cisco 的分布层网络交换设备均支持 CGMP Cisco 组管理协议 和 IGMP 可以实现线速 的多点广播传送和动态的加入退出多点广播组的处理 核心层网络设备除具有以上能力外 更可以实现线速多点广播的路由处理 并支持扩展性极高的多点广播路由协议 4 强大的管理功能 易管理性 强大的管理功能 易管理性 Catalyst 6000 家族提供了一组全面的管理工具 可以提供所要求的网络可视性和控制 功能 Catalyst 系列交换机的管理是通过 CiscoWorks2000 进行的 通过适当的配置 可 以实现对端对端设备 VLAN 通信流和策略的管理 Cisco 资源管理器是一种基于 Web 的 管理工具 当与 CiscoWorks2000 联合使用时 可以提供自动化清单收集 软件部署 容 易实现的网络变化跟踪 设备可用性视图以及故障环境的快速隔离 通过将交换机中的嵌入式智能代理与 CiscoWorks2000 一种功能强大的网络管理应 用 结合起来 可以实现策略管理功能 CiscoWorks2000 将为所有的 Cisco 网络服务提 供策略管理 包括 QoS 组播 安全性 网络弹性以及用户移动性 策略管理是使用 Cisco 虚拟管理策略服务器 VMPS 实现的 所有 Cisco 6000 家族交换机都配置了 VMPS VMPS 为所有的 Cisco 网络服务提供了策略实现所要求的数据库信息 Catalyst 6000 家族交换机上的嵌入式智能代理包括了对 Cisco 发现协议的支持 能够提供网络拓扑发现和映射服务以及 Cisco 虚拟主干协议 VTP 支持动态 VLAN 和跨 所有交换机的动态主干配置 每一端口上的嵌入式智能远程监视 RMON 代理可以提供强 大的通信流监视和控制功能 每端口能够支持 4 个 RMON 群组 包括统计群组 历史群组 事件群组和报警群组 使用集成网络分析模块 NAM 或交换机探测器可以对 Catalyst 6000 家族交换机上 更多的 RMON 群组进行监视 Catalyst 6000 的 NAM 除了可以支持交换机监视 SMON 和 高容量 RMON HC RMON 还可以全面支持 RMON 1 和 RMON 2 NAM 不仅通过故障隔离和 故障诊断能够帮助保持网络的正常运转 还可以帮助执行趋势分析和容量管理 增强交换端口分析器 ESPAN 功能使用户能够将任何端口或 VLAN 上的通信流映像 到另一个以太网或快速以太网端口 以通过一个 NAM 或 RMON SwitchProbe 进行分析 此 外 还可以通过主干连接从远程主机上对 SPAN 端口进行配置 从而实现中央管理和监视 还可以使用作为 Cisco IOS 软件一部分的 NetFlow 技术来收集详细的通信流统计数据 以 进行战术性的网络设计和战略性的网络规划 RSPAN 功能支持跨网络中多个交换机实现源 端口和目的端口之间的网络通信流镜像 以通过一个 SwitchProbe 设备或其它的 RMON 探 测器来进行分析 第 11 页 通过一个连接到控制台 辅助接口的终端或调制解调器 可以实现对本地带外管 理的支持 通过简单网络管理协议 SNMP 远程登录客户机 BOOTP 以及小文件传输传 输协议 TFTP 可以支持远程带内管理 5 安全性 安全性 网络系统连接了每一个接入用户 也带来了很多安全上的问题 目前的安全管理多集 中在对某个设备或分布层设备的手动处理上 而 Cisco 为局域网提供了完善的端到端安全 解决方案 它通过一系列认证 授权和动态核查的机制实现了对用户的权限认证和相应地 址分配 防止对网络资源的非法访问并动态核查网络中的访问是否合法 6 扩展性 扩展性 前面已经论述过网络的发展趋势是越来越多的用户 越来越多的应用 越来越大的带 宽需求和越来越高的性能要求 这不仅需要目前选择合适的技术 更要看到重要的是网络 要有良好的可扩展性以不断适应新的情况 在不重新部署网络的情况下 Cisco 为用户提供了方便网络升级途径 Cisco 独特的 堆叠技术可以使用户非常迅速的增加网络用户 同时也不占用以前设备的端口及带宽 网络设备的选择应该充分考虑并尽量满足上述的几个要求 网络设备应能提供一系列网络设备的选择应该充分考虑并尽量满足上述的几个要求 网络设备应能提供一系列 相关的功能特性并能互相配合 以形成一个完善的局域网解决方案 在本方案中我们选择相关的功能特性并能互相配合 以形成一个完善的局域网解决方案 在本方案中我们选择 了了 Cisco 公司公司 Catalyst 6000 交换机作为网络交换设备 从以上分析中可以看出 交换机作为网络交换设备 从以上分析中可以看出 Cisco Catalyst 系列交换机完全能够满足网络平台建设的要求 系列交换机完全能够满足网络平台建设的要求 第 12 页 第第5章章 网络系统设计方案网络系统设计方案 5 1 网络系统连接方案网络系统连接方案 为了确保网络传输带宽 充分发挥布线系统的性能 并为今后的网络发展奠定基础 在解决方案中 整个网络采用层次化网络拓扑结构 核心层采用 Cisco Catalyst 6000 第三 层交换机 为什么选用第三层交换机呢 从应用上来看 Internet 和 Intranet 迅猛发展 跨 网络 跨地域的 B S 计算模式得到广泛的应用 这一切对路由器提出更高的要求 路由器 的高费用 低性能使它成为网络的瓶颈 但由于网络间互连的需求 它又是不可缺少的并 处于网络的核心位置 可以说 当网络技术发展到这个地步时 网络的核心 路由器技 术的革新已刻不容缓 所以 应该说 越来越复杂的应用对路由器技术提出了严峻的挑战 为此 第三层交换技术应运而生 第三层交换机在网络的核心层得到了普遍应用 在本方 案中 通过这个交换机可以实现高带宽 大容量网络层路由交换功能 使网络管理者能方 便地监督和管理网络 同时 又能将主干网带宽提升到千兆速度 分布层交换机 Catalyst 3500 与接入层交换机 Catalyst 3500 2900 之间可采用多链路冗余连接 用以保证负载均衡 及线路备份 该技术可以在交换机之间或者交换机与服务器之间实现负载均衡及线路冗余 当两个交换机之间的一条线路出现故障 传输的数据会快速自动切换到另外一条线路上进 行传输 不影响网络系统的正常工作 无需人工干预 在路由连接方面采用了 Cisco 3600 路由器 同时采用 Cisco PIXFIREWALL 防火墙 用以提供全面的访问控制策略和安全防 护能力 XX 建议选用一台 Cisco Catalyst 6000 背板式交换机 使用千兆以太网模块 作为网络 系统的中心计算机 同时在节点选用支持千兆上联端口的工作组交换机 用于连接计算机 设备 选用背板式交换机 在充分满足用户当前需求的同时 还具有灵活的可扩展性 今 后 用户可根据业务发展的需要划分 VLAN 增加网络模块 提高网络容量 扩大网络系 统的用户连接数量 以满足不断增长的用户需求 整个网络在网络的划分上 利用 Cisco 交换机支持网管功能划分 VLAN 虚拟子网 网络中心子网为网络的主干系统 其余子网按功能划分 办公子网 多媒体教室 IC 卡 系统 宿舍子网 图书馆子网 并受到网络中心的监控 由于 Cisco 交换机能够根据不 同的规则 如端口 功能 协议等 在同一个网络中设置不同的虚拟子网 所以子网的划 分 管理非常容易 Cisco 还提供了 VLAN 虚拟子网内部的优化通信 并支持子网内部端 第 13 页 口间的直接通信 大大降低了用户对网络中心的访问 防止了网络中心的拥塞现象 对于 不同子网的通讯 采用了密码访问的方式 大大增强了信息的安全性 5 2 千兆以太网和千兆铜缆技术千兆以太网和千兆铜缆技术 千兆以太网成主流千兆以太网成主流 千兆以太网 Gigabit Ethernet 技术是一种基于传统以太网的新型技术 此技术一经 提出就得到了网络界人士的普遍关注 它的不断发展与成熟 使得被业界一致公认的网络 主干升级技术 ATM 失去了原有的吸引力 众多网络管理人员纷纷将注意力转移到了千兆 位以太网技术上 虽然 ATM 在广域网的主干建设中地位目前还无法动摇 但在企业局域 网 包括园区网 中 千兆位以太网已开始占据优势 而在目前风起云涌的城域网 MAN 建设中 千兆以太网与 ATM 也平分秋色 而且大有后来居上之势 千兆位以 太网的产品和解决方案也应运而生 千兆以太网与以太网的差别只在于速度的提升 它仍保留了 802 3 标准 以太网帧格 式以及 802 3 管理的对象规格 因此 企业网升级到千兆以太网后 原有的应用程序 操 作系统 网络协议和网络管理平台仍可以保留 网络管理人员对熟悉千兆以太网付出的代 价更小 千兆铜缆技术千兆铜缆技术 由于网络中多媒体数据流量的不断增多 提高网络速度已成为各网络服务公司亟待解 决的问题 千兆以太网是解决这一问题的有效技术之一 由于千兆以太网以前要用价格较 贵的光纤为载体 因此没有得到最为广泛的推广 目前 Cisco 推出了一系列千兆铜缆产 品 可以在铜缆 五类线 上实现千兆以太网 即 1000Base T 技术 这对广大网络用户 来说 无疑是个好消息 千兆铜缆技术 1000Base T 能在五类线上提供 1000Mbps 的传输带宽 而五类线是 在 LAN 体系中最广泛采用的物理媒体 IEEE 的标准化委员会早在 1999 年六月就正式批 准 1000Base T 成为一种以太网标准 谁需要千兆网络谁需要千兆网络 简而言之 千兆网络的动力来自两方面 1 主干带宽提高的需要 目前随着快速以太网技术的成熟 快速以太网设备价格飞速下降 桌面用户快速向 100Mbps 技术迁移时 在主干网中就将需要 Gbps 的传输能力 而传统的 80 20 规则 第 14 页 网络边缘的流量占整个网络流量的 80 而流经主干的流量仅占 20 的 翻转 网 络边缘的流量占整个网络流量的 20 而流经主干的流量仅占 80 也要求更高的主干 带宽 2 广泛应用的带宽密集型应用的需要 新的和正在出现的带宽密集型应用 持续推动着对带宽的需求 尤其是大量的浏览器 服务器 B S 应用对带宽提出了几乎是无休止的需求 总的来说 网络计算 Network Computering 前所未有地将客户端设备 网络交换和 传输设备 服务器端设备紧密连接在一起 这三部分犹如箍成一个木桶的三块木板 任何 一部分设备的性能提高都会对其它部分提出更高的要求 从目前来看 由于技术 市场等 多方面的原因 客户端和服务器端计算能力提升非常迅速 网络交换和传输日益成为瓶颈 市场呼唤廉价和高效的网络交换和传输技术出现 千兆以太网技术则可以让网络核心部分 包括主干网和服务器子网 简单地升级 急切需要千兆铜缆技术急切需要千兆铜缆技术 千兆铜缆技术 1000Base T 可以将以太网 10 100 Mbps 的性能提升到 1000 Mbps 灵活的 10 100 和 10 100 1000 连接可以为现有的以 100 Mbps 为基础的网络提供平滑的过 渡 千兆铜缆技术 1000Base T 是现有的性能价格比最佳的高速网络技术 1000BASE T 能够继续支持现有的已经过实际检验的快速以太网和以太网技术 而且与以太网 快速 以太网技术具有相同的成本曲线 千兆铜缆技术 1000Base T 技术具有比光纤千兆网络 1000Base SX 更突出的性能价格比 千兆铜缆技术 1000Base T 可以保护以太网的设备和设施投资 其中包括在五类线设施 上的已有投资 五类线是现今最主要的水平线缆传输介质 同时也是构建基本 骨干网络 线缆的重要选择之一 它可以用来连接不同的楼层配线盒 重新布线是既费时而又需要大 量投资 而采用千兆铜缆技术 1000Base T 则不需要重新布线 谁需要千兆铜缆技术 谁需要千兆铜缆技术 数据库和备份应用 这些应用需要处理分布在许多不同的服务器和存储系统中的 Gb 甚或 Tb 数量级的数据 对带宽有大量需求的应用 在用户端处理能力不断提高 网络流量不断攀升的今天 对网络带宽的不断追求 是确保网络畅通的主要途径 随着用户端 PC 处理器速度的不断 第 15 页 提高 用户端应用软件的日益增多 网络需要传输 CAD CAM CAE 工程制图和数据库 文件等信息 这些包含大量文字 图像及其他语音等多媒体信息的文件 要求越来越大的 带宽 对延时十分敏感的应用 最终用户需要网络具有更高的性能和稳定性 特别是多媒体 信息在网络中的传输 更需要网络能够低时延 高品质地传输信息 出版 多媒体图像和科学模型应用 网络向多媒体网络的发展是信息时代的需要 也 是企业网络的发展必然趋向 语音 图像及视频等多媒体信息不断加入网络 会使原本拥 挤的网络被多媒体信息所阻塞 除了桌面连接选择之外 网络中不断添加的交换机也进一步加大了带宽上的压力 分 布于网络边缘的交换机极大地增加了业务量 因为会有大量的数据需要在工作组 服务器 或骨干网络的层次上汇聚 5 3 Internet 连接方案连接方案 为了满足甲方对 Internet 访问的需求 XX 建议申请一条 DDN 专线与 ISP 连接 并申 请合法的 IP 地址 为构建独立的 MAIL 系统 WEB 服务器打下基础 今后待时机成熟可选 用光纤直接与 ISP 连接 替代现有的 DDN 接入 实际连接时 网络用户均通过连接在网络 交换机上的代理服务器与路由器连接 路由器利用相应的通讯线路接入 ISP 网络用户对 Internet 访问的管理通过代理服务器进行 同时 将甲方内部具有合法 IP 地址的设备如 WWW 服务器 MAIL 服务器等构成一个 IP 子网 公司内部其它设备构成另一个 IP 子网 两个 IP 子网分别设置防火墙 以防止非法 用户的入侵 两个 IP 子网之间通过路由协议进行连接 选用一台 Cisco 3640 路由器作为 Internet 接入设备 实现广域网的路由连接 该路 由器是一款为中 大规模级别用户提供方便 快速 灵活 安全的网络互连的路由设备 可用于连接远程局域网 分支机构或实现 Internet 接入 该路由器可以通过 DDN 专线 Frame Relay X 25 ISDN 拨号等方式与 Internet 相连 还可以按照需要灵活配置多种 广域网端口模块 提供宽带 QoS 保证的远程多媒体服务 这样 在接入方面为用户提供 了更多选择 另外 本方案在安全方面给予了考虑 方案中在接入路由器后设置一台 Cisco 硬件防火墙 该防火墙可及时追踪 Internet 的黑客攻击行为和方法 实现了抗攻 击和反攻击的安全策略 为用户提供安全可靠的服务 在网络中也可实现实时邮件病毒检 第 16 页 测 实时检测是否有入侵行为 进行快速的流量过滤 访问控制和加密 防止外部非法用 户的侵入以及内部用户对外部网络的不安全访问等 5 4 远程访问解决方案远程访问解决方案 甲方远程拨号系统主要为甲方员工提供远程访问服务 以便于员工实时访问内部网络 查询相关资料 XX 建议采用电话线路作为远程通讯线路 申请 8 条电话线路 在 Cisco 3640 路由器中加入 8 端口 Modem 模块 连接 8 条电话线路 员工可通过电话拨号的方式实 现对局域网的远程访问 在局中心与我们科技档案楼信息中心 我们用中心路由器通过三个 2M 的微波与我们 科技档案楼的分中心路由器相连 5 5 网络系统安全方案网络系统安全方案 随着 Internet 的广泛应用 网络安全的重要性愈发显著 近来国内数家网站均遭到了 不同程度的攻击 造成了巨大损失 因此网络系统的安全性也成为在本次网络建设中的一 个重要问题 XX 认为在考虑网络安全的过程中 应该考虑以下五方面的问题 网络是否 安全 操作系统是否安全 用户是否安全 应用程序是否安全 数据是否安全 下面我们 针对每一层的网络安全问题简单的阐述和分析 网络层的安全性网络层的安全性 网络层安全性的核心问题是网络能否得到控制 即 是不是任何一 个 IP 地址的用户都能进入网络 通过网络通道对网络系统进行访问时 每一个用户都会有一个独立的 IP 地址 这个 IP 地址能够大致表明用户的来源地址和来源系统 目标站点通过对来源 IP 分析 能够初 步判断来自这一 IP 的数据是否安全 是否会对本网络系统造成危害 以及来自这一 IP 的 用户是否有权使用本网络的数据 一旦发现某些数据来自不可信任的 IP 地址 系统便会 自动将这些数据阻挡在系统之外 并且大多数系统能够自动记录那些曾经造成过危害的 IP 地址 使得它们的数据免于遭受第二次危害 用于解决网络层安全性问题的产品主要有防火墙产品和 VPN 虚拟专用网 防火墙 的主要目的在于判断来源 IP 将危害或未经授权的 IP 数据拒之于系统之外 而只让安全 的 IP 数据通过 一般来说 公司的内部网络若与公众 Internet 相连 则应该在二者之间 设置防火墙产品 以防止公司内部数据的外泄 VPN 主要解决的是数据传输的安全性问题 第 17 页 如果公司在地域上跨度较大 使用专网 专线过于昂贵 则可以考虑使用 VPN 其主要目 的在于保证公司内部的关键数据能够安全地借助公共网络进行频繁的交换 系统的安全性系统的安全性 在系统安全性问题中 主要考虑的问题有两个 一是病毒对于网络的 威胁 二是黑客对网络的破坏和侵入 病毒的主要传播途径已经由过去的软盘 光盘等存 储介质变成了网络 多数病毒不仅能够直接感染网络上的计算机 也能够在网络上对自身 进行复制 电子邮件 文件传输以及网络页面中的恶意 Java 小程序和 ActiveX 控件 甚 至文档文件都能够携带对网络和系统有破坏作用的病毒 网络防病毒工具必须能够针对网 络中可能的病毒入口进行防护 对于黑客而言 他们的主要目的在于窃取数据和非法修改系统 其手段之一是窃取合 法用户的口令 在合法身份的掩护下进行非法操作 其手段之二是利用网络操作系统的某 些非法但不为系统管理员和合法用户所知的操作指令 要弥补这些漏洞 我们需要专门的 系统风险评估工具 在完成了这些工作之后 操作系统自身的安全性问题将在一定程度上 得到保障 用户的安全性用户的安全性 对于用户的安全性问题 所要考虑的问题是 是否只允许那些真正被 授权的用户使用系统中资源和数据 首先要做的是对用户进行分组管理 并且这种分组管理应该是针对安全性问题 应该 根据不同的安全级别将用户分成若干等级 每一等级的用户只能访问到与其等级相对应的 系统资源和数据 其次应该考虑的是强有力的身份认证 其目的是确保用户的密码不被他 人猜测到 在大型的应用系统中 有时会存在多重的登录体系 用户如需进入最高层的应用 往 往需要多次输入多个不同密码 如果管理不严 多重密码也会造成安全上的漏洞 所以在 某些先进的登录系统中 用户只需要输入一次密码 系统就能够自动识别用户的安全级别 从而使用户进入不同的应用层次 这种单一的登录体系要比多重登录体系提供更强大的安 全性 应用程序的安全性应用程序的安全性 在这一层中我们需要回答的问题是 是否只有合法的用户才能对 特定的数据进行合法的操作 第 18 页 这涉及两方面的问题 一是应用程序对数据的合法权限 二是应用程序对用户的合法 权限 例如在公司内部 上级部门的应用程序可以存取下级部门的数据 同级部门的数据 存取也应有所限制 例如同一部门不同业务的应用程序也不能互相访问对方的数据 一方 面可以避免数据的意外损坏 另一方面也是出于安全性问题的考虑 数据的安全性数据的安全性 数据的安全性所要回答的问题是 机密数据是否还处于机密状态 在数据的存取过程中 机密的数据即使处于安全的空间 也要对其进行加密处理 以 保证万一数据失窃 偷窃者 如网络黑客 也读不懂其中的数据内容 这是一种比较被动 的安全手段 但往往能收到最好的效果 从上述分析中可以看出 网络安全是一个综合性的问题 不仅需要相应设备 更需要 严格的管理制度 在甲方网络建设中 网络安全的问题涉及到内网与 Internet 之间 外 部用户与内部用户之间 以及数据分层管理 远程访问等多方面的问题 因此 XXX 建议在 一期工程建设中主要解决各子网之间的网络安全问题 即解决网络层的安全问题 其他层 面的问题 待网络系统建设完成后再加以完善 网络层安全主要依靠防火墙实现 在本方案中我们选择了一台 Cisco 公司的硬件防 火墙 PIX FIREWALL 在网络中心安装一台支持二个以太网端口的 Cisco PIX 防火墙 分别 对甲方内部 IP 子网及放置 MAIL 服务器 WEB 服务器的 IP 子网进行保护 5 6 VPN 应用方案应用方案 针对不同的用户要求 VPN 有三种解决方案 远程访问虚拟网 Access VPN 企业 内部虚拟网 Intranet VPN 和企业扩展虚拟网 Extranet VPN 这三种类型的 VPN 分别 与传统的远程访问网络 企业内部的 Intranet 以及企业网和相关合作伙伴的企业网所构成 的 Extranet 相对应 Access VPN Access VPN 通过一个拥有与专用网络相同策略的共享基础设施 提供对企业内部网或 外部网的远程访问 Access VPN 能使用户随时 随地以其所需的方式访问企业资源 Access VPN 包括模拟 拨号 ISDN 数字用户线路 xDSL 移动 IP 和电缆技术 能够 安全地连接移动用户 远程工作者或分支机构 如图 1 所示 Access VPN 最适用于公司内部经常有流动人员远程办公的情况 出差员工利用当地 ISP 提供的 VPN 服务 就可以和公司的 VPN 网关建立私有的隧道连接 RADIUS 服务器可对 员工进行验证和授权 保证连接的安全 同时负担的电话费用大大降低 Access VPN 的优点如下 第 19 页 减少用于相关的调制解调器和终端服务设备的资金及费用 简化网络 实现本地拨号接入的功能来取代远距离接入或 800 电话接入 这样能显著降低远距离通信 的费用 极大的可扩展性 简便地对加入网络的新用户进行调度 远端验证拨入用户服务 RADIUS 基于标准 基于策略功能的安全服务 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来 Intranet VPN 越来越多的企业需要在全国乃至世界范围内建立各种办事机构 分公司 研究所等 各个 分公司之间传统的网络连接方式一般是租用专线 显然 在分公司增多 业务开展越来越 广泛时 网络结构趋于复杂 费用昂贵 利用 VPN 特性可以在 Internet 上组建世界范围 内的 Intranet VPN 利用 Internet 的线路保证网络的互联性 而利用隧道 加密等 VPN 特 性可以保证信息在整个 Intranet VPN 上安全传输 Intranet VPN 通过一个使用专用连接的 共享基础设施 连接企业总部 远程办事处和分支机构 企业拥有与专用网络的相同政策 包括安全 服务质量 QoS 可管理性和可靠性 如图 2 所示 Intranet VPN 的优点如下 减少 WAN 带宽的费用 能使用灵活的拓扑结构 包括全网孔连接 新的站点能更快 更容易地被连接 通过设备供应商 WAN 的连接冗余 可以延长网络的可用时间 Extranet VPN 随着信息时代的到来 各个企业越来越重视各种信息的处理 希望可以提供给客户最快捷 方便的信息服务 通过各种方式了解客户的需要 同时各个企业之间的合作关系也越来越 多 信息交换日益频繁 Internet 为这样的一种发展趋势提供了良好的基础 而如何利用 Internet 进行有效的信息管理 是企业发展中不可避免的一个关键问题 利用 VPN 技术可 以组建安全的 Extranet 既可以向客户 合作伙伴提供有效的信息服务 又可以保证自身 的内部网络的安全 第 20 页 图 1 Access VPN 应用示意图 Extranet VPN 通过一个使用专用连接的共享基础设施 将客户 供应商 合作伙伴或兴趣 群体连接到企业内部网 企业拥有与专用网络的相同政策 包括安全 服务质量 QoS 可管理性和可靠性 如图 3 所示 Extranet VPN 结构的主要好处是 能容易地对外部网进行部署和管理 外部网的连接可以 使用与部署内部网和远端访问 VPN 相同的架构和协议进行部署 主要的不同是接入许可 外部网的用户被许可只有一次机会连接到其合作人的网络 Cisco VPN 方案方案 目前大型网络厂商都把虚拟专用网络作为重要市场目标 诸如 3Com Cisco Nortel Networks Lucent 和 Shiva 公司等公司纷纷出击 提供各具特色的 VPN 解决方案 图 2 Intranet VPN 应用示意图 第 21 页 图 3 extrant VPN 应用示意图 Cisco EVPN Cisco 推出的企业级虚拟专用网 EVPN 全面解决方案 在可扩展的平台 安全性 服 务 应用和管理五大 VPN 实施要素方面具有基于标准的开放式体系结构 可扩充的和端 到端的网络互联能力 和专用网络一样 Cisco 为 VPN 提供了有保障的