一套完整的计算机网络系统方案

前言 前言 计算机网络系统在弱电系统设计中算是比较难的 设备的选型 一般都是 由厂家技术人员提供 但是一般的技术方案我们还是要会做的 正文 正文 一 需求分析一 需求分析 计算机网络是用通信线路和通信设备 将分散在不同地点并具有独立功能 的多个计算机系统互相连接 按照国际标准的网络协议进行数据通信 实现网 络中的硬件 软件 数据库等资源共享的计算机群 项目内的计算机网络的通信线路就是综合布线系统 其他智能化系统 如 一卡通系统 安全防范系统和电话交换机系统等系统均要基于楼内的局域网系 统进行数据交换 传输和资源共享 因此计算机网络担负着整个项目数据信息 交换的重任 必需建设一套性能超群 稳定可靠的网络系统 二 设计原则二 设计原则 网络系统的建设不同于一般的智能化系统的建设 有自己独有的特点 一 要网络功能强大 满足系统日常繁重的数据交换重任 二要稳定可靠 不能因 为产品质量等原因影响日常工作 三要满足安全要求 具备抵御各种常见的网 络攻击 病毒侵袭等功能 最后网络系统的管理还要简便 为了更好的满足用 户的需求 在本次网络系统方案设计中 我们认为应当把握住以下几个原则 技术上应达到相当的先进性 性能上应能适应现在日新月异发展的网络 2 应用 比如对数据 多媒体等多元信息传输的适应能力等 从而使网络平台在 较长时间内不落后 支持多种集成化服务 如防火墙 IPSEC VPN 防御 DDOS WEB VPN 内容交换等多种服务 网络传输应具备高可靠性 高安全性 具备在出现故障时提供备用或应 急措施的能力 支持 NSF SSO 状态切换 从而能在路由引擎切换时 维持 路由协议的稳定 并保持第二层至第四层信息转发的状态表 不影响 VoIP 网 络视频等对丢包敏感的业务 网络应具有优异的开放性和升级扩展能力 易于对外互连 并提供最佳 的用户投资保护 如硬件支持 IPV6 系统可平滑扩展等能力 支持多种国际 国家标准协议 便于系统的升级 扩充 以及与其它系统或厂家的设备的互连 互通 网络应易于维护 易于管理 发生故障时一般网管人员也能进行简单维 护 并在短时间内恢复 系统主要设备均采用广泛应用且具有良好性能价格比的产品 既考虑节 省投资 又保证产品的先进性和可用性 三 设计依据三 设计依据 智能建筑设计标准 GB T50314 2000 智能建筑工程建设标准 DBJ14 S5 2004 建筑物与建筑群综合布线系统工程设计规范 GB T50311 2000 建筑物与建筑群综合布线系统工程验收规范 GB T50312 2000 电子计算机机房设计规范 GB50174 93 3 电子计算机场地通用规范 G8 T2887 2000 四 系统设计四 系统设计 1 1 工程概况 工程概况 项目分住宅部分 商业部分和百货部分 根据综合布线系统的设计 以下 的网络系统设计均以此为基础 语音设计充分考虑系统容量及今后的扩展 在地下室等手机信号不通畅的地方安装手机信号放大器 2 2 具体设计 具体设计 2 12 1 构架设计构架设计 根据项目综合布线配线间的分布 网络拓扑结构应为星型 分两级 核心 层和接入层 并且应具备以下设备 交换机 路由器和防火墙等 根据综合布 线的点位设计 共设置 3 个接入层 根据点位数量 设置不同类型的接入层交 换机 核心层要根据点位设置满足功能要求的核心交换机及路由器 电话根据 前端电话点位设计 采用程控电话机进行管理 2 22 2 交换机的选择交换机的选择 1 1 核心交换机 核心交换机 核心交换机主要用于管理整个项目的数据点 办公系统 的数据交换大部分是在这个平台上完成的 因此核心交换机必须功能强大 性 能可靠 2 2 接入交换机 接入交换机 接入层是直接与用户相连的设备 一个高性能的网络除 了核心 汇聚设备性能要求强劲之外 最重要的一环是数量最大的接入交换机 接入交换机不仅要求保证线速的交换 同时要提供良好的用户认证 管理和安 全控制等功能 保证网络管理策略的一致性 4 2 32 3 路由及防火墙设计路由及防火墙设计 建议使用路由和交换一体化机 支持 8 到 24 个不等的交换以太网接口 多 个 100 1000M 以太网交换端口 产品的交换端口均支持 VLAN 的划分 可以满 足大多数中小企业的组网及不同业务隔离的要求 用户只需一台交换路由器 无需购买交换机设备 便可实现 Internet 的接入 节约用户网络建设的费用 增强用户应用的方便性 具有 100 1000M 以太网 WAN 接口 可实现单出口线 路的通信 防火墙通常位于企业网络的边缘 使得内部网络与 Internet 之间或者与其 他外部网络互相隔离 并限制网络互访从而保护企业内部网络 设置防火墙目 的都是为了在内部网与外部网之间设立唯一的通道 简化网络的安全管理 整个外网建设的核心是防火墙 通过防火墙完成三个区域的交汇 它连接 的三个区域分别是 外部区域 即 Internet 区域 我们将会通过防火墙的 100 1000M 端口实现 到 INTERNET 的连接 这个区域是相对不安全的 不可信的区域 内网区域 即我们通常所说的正常的局域网区域 是内部的可控的区域 这个区域是相对安全的 可信赖的 DMZ 区域 非军事区域 用来放置行政大楼需要向 Internet 提供信息服务 的主机 我们之所以把它独立出来 而不是放置在内网 是为了防止类似 特 洛伊牧马 之类的病毒将之做为跳板 攻击内网的其它服务器 它的安全性和 可信赖的程度介于内网区域和外网区域之间 这样 通过防火墙可操作的区域的分割 我们就基本上实现了内外网络的 物理的隔离 与此同时 配合防火墙的访问控制策略的定制和实施 我们将可 5 以满足甲方的关于访问限制方面的严格需求 2 42 4 网络安全设计网络安全设计 从体系结构来看 安全体系应该是一个多层次 多方面的结构 通过分析 我们将项目的网络安全性在体系结构上分为四个级别 网络级安全 应用级安 全 系统级安全和企业级安全 A A 网络级安全管理 网络级安全管理的主要内容包括 1 对网络设备 如交换机的安全管理 保证网络的正常运行 2 提供链路层加密 保证数据在广域网上传输的安全性 3 配置防火墙 保证内部网的边界安全 4 划分虚拟局域网 VLAN 在本次网络建设中 我们在三次交换机上进 行了 VLAN 划分 因此我们应该控制各 VLAN 之间的相互访问 实事上 绝大 部分的 VLAN 之间并没有访问的需求 那么我们如何实现跨越不同 VLAN 之间 的限制访问呢 答案就是基于 VLAN 的访问控制列表 访问控制列表是实现访问控制策略的一项重要的手段 它可以针对 IP 数据 包的源地址 目的地址 源端口 目的端口进行控制 人为的允许和禁止此类 数据包的转发 其中 源地址和目的地址可以是一段地址 也可以是某个独立 的地址 这样 在我们完成 IP 地址规划后 某一个 VLAN 内的 IP 地址非常整 齐 我们可以针对该段 VLAN 进行访问控制的设定 对于没有访问需求的数据 流通过访问控制列表禁止 从而提升网络的安全性和可管理性 另外 对于部分 VLAN 内 存在这样的情况 部分主机可以允许跨 VLAN 主机的访问 而该 VLAN 内其它主机则禁止跨 VLAN 主机的访问 对于这种问 题 我们仍然通过访问控制列表的方式来实现 6 我们知道 访问控制列表可以基于一个网段 也可以基于某个具体的 IP 地 址 对于此类情况 我们只需要添加部分基于某些 IP 地址的访问控制列表语句 就可以轻松的实现上述功能 B B 应用级安全 应用级安全主要目的是在应用层保证各种应用系统 OA 系统及其他业 务系统 的信息访问合法性 确保合法用户根据授权合法的访问数据 应用层在 ISO 的体系层次中处于较高的层次 因而其安全防护也是较高级的 应用层的 安全防护是面向用户和应用程序的 应用层采用身份认证和授权管理系统作为 安全防护手段 实现高级的安全防护 C C 系统级的安全 系统级的安全主要是从操作系统的角度考虑系统安全措施 防止不法 分子利用操作系统的一些 BUG 后门取得对系统的非法操作权限 系统级安全 管理的主要内容包括 1 配置操作系统 使其达到尽可能高的安全级别 2 及时检测 发现操作系统存在的安全漏洞 3 对发现的操作系统安全漏洞做出及时 正确的处理 D D 企业级安全 企业级安全主要包括以下两个方面的内容 1 内部安全管理 因为从统计数字来看 70 以上的网络攻击行为是来 自企业内部的 2 计算机病毒防范 历年来 全世界各地因为病毒入侵所造成的损失均 怵目惊心 数不胜数 尤其现在病毒通过网络广泛传播 影响面极大 造成危害也极大 其对系统和数据的破坏性是原来单机系统时所不能 比拟的 另一方面 现在有很多黑客程序 如 Back Orifice NETSPY 等 在传播其 探测器 程序时采取的都是类似病毒的机制 7 五 系统功能五 系统功能 随着现代计算机应用的高速发展 特别是诸如图形 音频 视频等多媒体 信息和技术在管理信息系统 科研设计