计算机网络系统设计方案

1、第九章 计算机网络系统 本方案将涉及以下范围：系统需求概述网络设计原则网络系统设计网络设备选型网络的安全性9.1 系统需求概述随着网络技术，信息通信领域的长足发展，网络经济，知识经济再不是IT等高科技行业的专利，企业正利用其行业特点，汲取网络技术精华，努力创造着制造业的又一个春天。未来是美好的，但现实不可回避。大多数企业对电子商务的一般认识是电子商务能帮助企业进行网上购物、网上交易，仅是一种新兴的企业运作模式，比较适用于商业型企业、贸易公司、批发配送公司，孰不知电子商务已对传统的制造业形成了巨大冲击。 在这种形式下，面对企业规模的扩大，新厂区的启用，为了加强生产经营管理，提高企业生产水平和管理

2、水平，使之成为领导市场的现代化企业，并为浙江生迪光电有限公司的长远发展提供更好的条件提出了网络系统建设方案。对于景兴公司网络系统建设这样一个复杂的系统工程，在硬件、软件、网络等方面都提出了非常高的要求。作为系统运行的支撑平台，更是重中之重。计算机网络系统、网络整体安全系统以及整个系统集成建设是否成功，变得尤其重要。根据对企业的弱电设计以及与企业有关部门的深入沟通，结合我公司以往对企业系统实施的经验积累，我们认为，本次关于景兴限公司计算机网络核心系统的总体需求可以概括为：1、实现企业的信息化管理，提高经济管理水平和服务质量，实现企业的经济效益与社会效益的同步增长。在此基础上发展企业的决策支持辅助

3、信息系统，因此我们计算机网络核心系统也将紧紧围绕着这些应用展开。2、建设机房与相应的网络系统。3、建立比较完备的安全防护体系，实现信息系统的安全保障。4、系统必须保持一定的先进性、可扩展性、高可用性、高稳定性、易维护性。9.2 网络设计原则（1）先进性与成熟性相结合近年来信息技术飞速发展，用户在构建信息系统时有了很大的选择余地，但也使用户在构建系统时绞尽脑汁地在技术的先进性与成熟性之间寻求平衡。先进而不成熟的技术不敢用，而太成熟的技术又意味着过时和淘汰。本方案充分考虑了先进性与成熟性相结合。（2）合理、灵活的体系结构“结构先行”是构建任何系统的先例，信息系统也不例不断变化的情况下，调整适应,从

4、长远角度来看，也可以提供很好的投资保护。（3）系统的开放性系统的开放性体现在信息系统的可互连及工业标准的相容。我们采用国际互连网信息协议来实施网络连接，保证现在和将来与其他系统的可连通性。我们采用工业标准的硬件设备，以保证获得大多数厂商的长期技术支持。（4）系统的高可靠性设计方案不但要保证理论上可行，更重要的是实际上可用,要充分考虑具体情况，充分满足网络需求。为了使网络可靠地运行，本方案选用了高品质、高性能价格比的产品，把故障率降低到最低。（5）一体化的网络管理随着网络规模的扩大和系统复杂程度的增加，网络管理和故障排除变得越来越困难,本方案将提供先进而完善的网络管理工具。（6）系统可扩充性所有

5、的系统主机及信息设备均可支持更高速度的处理和信息要求。我们选择了合适本网络系统要求的配置，并设置了满足更高性能要求时的接口（光纤专线），以便通过增加网络设备的内部模块的扩充方式来实现系统升级，保证原有投资。（7）系统安全性系统安全性包括保障网络服务的可用性和网络信息的完整性。（8）系统易维护性充分考虑公司网络系统的实际情况，在系统总体设计时选用熟悉的操作系统平台，注意系统的可维护性。（9）充分考虑性价比作为系统集成商，我们一贯的原则是在尽可能节省用户投资的前提下，提供最优的集成方案书和产品选型，本方案充分考虑到这一点。（10）完善的本地支持服务构建一个系统最重要的还要考虑到系统能按时保质地开通

6、，并能保持它的连续正常地运行。集成商及其设备厂家提供的服务，特别是本地支持服务的及时响应和质量是系统能否成功的关键因素之一。我公司为美国网思科Cisco嘉兴地区的认证代理商及本公司完善的服务中心是本方案书履行及系统持续正常运行的可靠保证。主要技术要求1. 采用成熟、先进的计算机和网络技术；2. 统一技术规范、标准和方案，统组织实施；3. 以标准化为基础实现系统的开发性、可扩展性、异构网络的互联能力；4. 注意避免网络设计上出现信息流传输的瓶颈效应，信息的安全性以保证网络每天可靠地运行；5. 通信和数据的安全，建立完善的网络安全管理机制；6. 采用可靠、先进、高效、功能丰富的网络管理设备和建立完

7、善、合理的规章制度。9.3 网络系统设计 9.3.1 网络设计总体考虑当今网络的发展正远远超出了单纯追求基本连通的历史阶段。我们在网络连通基础上需要更高要求的网络服务内容，包括QOS网络服务质量，Security安全性服务，Reliability高可靠性，Scalability可扩展性等增值服务。在此基础上，多层次的网络管理也是网络成功与否的一个关键所在。统计数据表明，网络的建设成本在总成本的三分之一。网络的运营管理成本都要消耗总成本的三分之二左右。因此有效的网络管理可以大大节省网络的运营管理开销，是网络的重要组成部分之一。9.3.2 网络总体设计在现在的计算机网络通信应用中，信息流已不再是单

8、纯的数据，同时还有声音、图像和视频等多媒体信息。系统设计和管理人员的一个很自然的选择就是尽可能向用户提供财力允许的最大带宽。根据有限公司的需要，我们推荐景兴公司采用100M/1000M 以太网，既适用于目前数据交换又能满足于多媒体传输, 100M/1000M以太网在先进、成熟、实用、升级扩展、开放性与互连方便等方面都具有明显的特点：1） 高可靠性（HighAvailability）2） 高性能 (HighPerformance)3） 高可扩展性 (HighScalability)4） 高品质的网络服务质量（QOS）景兴公司网络系统采用集中分布式二层网络结构，建成主干为1000M光缆连接，100

9、M网线到桌面的新厂区网络系统。9.4 网络拓扑及说明办公楼机房新增核心交换机Cisco4507R 1台配置最新的第六代万兆引擎2块保证技术的先进性，同时引擎320G的交换容量保证网络数据的线速转发，万兆接口预留以后万兆接入，2块引擎互为冗余；另配置冗余电源；配置48口10/100/1000M电口板1块提供服务器群、AP及办公楼内重要信息点接入；配置24口SFP光口板2块通过单模光纤模块连接各接入交换机；核心交换机共7个插槽，预留2个插槽为将来扩容。办公楼机房各楼层新增48口或者24口10/100M接入交换机负责本楼层内各信息点接入网络，交换机通过双路单模光纤模块捆绑（提供双向4G速率，保证网路

10、的冗余）接入核心交换机。9.5 网络设备选型景兴公司网络系统中，主干核心交换机是肩负所有设备互连、交换处理的重要设备，并具有可靠性高，交换处理能力强、扩展性能好等特点。一. 核心交换机Cisco4507R:景兴公司网络系统中, 核心三层交换机采用美国思科Cisco4507R交换机 , 交换机采用了优化的体系架构，可以实现高性能的全线速的第二层和第三层交换，满足网络骨干大流量、多应用、高可靠的需求。并提供一流的性能、可管理性和灵活性以及无与伦比的投资保护。 二.楼层交换机采用思科二层网管10/100M可以交换机WS-C2918。 三. 公司网络IP地址的规划与VLAN的划分如下:A:由于有限公司

11、的数据信息点有公司多个,现将IP地址规划为C类网段,具体如下:地点计算机IP地址网段上网192.168.10.1-192.168.10.254公司领导192.168.20.1-192.168.20.254ERP网络192.168.30.1-192.168.30.254财务192.168.40.1-192.168.40.254服务器192.168.50.1-192.168.50.254无线192.168.60.1-192.168.60.254来宾192.168.1.1-192.168.1.2549.6 可靠性与安全保密性9.6.1局域网在网络层中不安全的地方1）不安全的地方 由于局域网中采用广播

12、方式，因此，若在某个广播域中可以侦听到所有的信息包，黑客就对可以对信息包进行分析，那么本广播域的信息传递都会暴露在黑客面前。2）网络分段 网络分段是保证安全的一项重要措施，同时也是一项基本措施，其指导思想在于将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。网络分段可分为物理分段和逻辑分段两种方式： 物理分段通常是指将网络从物理层和数据链路层（ISOOSI模型中的第一层和第二层）上分为若干同段，各同段相互之间无法进行直接通讯。目前，许多交换机都有一定的访问控制能力，可实现对网络的物理分段。逻辑分段则是指将整个系统在网络层（ISOOSI模型中的第三层）上进行分段。例如，对于TCPIP

13、网络，可把网络分成若干IP子网，各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备（含软件、硬件）的安全机制来控制各子网间的访问。在实际应用过程中。通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。3）VLAN的实现虚拟网技术主要基于近年发展的局域网交换技术（ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。

14、由以上运行机制带来的网络安全的好处是显而易见的：信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是，虚拟网技术也带来了新的安全问题：执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。基于MAC的VLAN不能防止MAC欺骗攻击。采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。4）VLAN之间的安全划分原则 V

15、LAN的划分方式的目的是保证系统的安全性。因此，可以按照系统的安全性来划分VLAN，可以将总部中的服务器系统单独划作一个VLAN，如数据库服务器、电子邮件服务器等。也可以按照机构的设置来划分VLAN，如将领导所在的网络单独作为一个Leader VLAN（LVLAN），其他部门（或下级机构）分别作为一个VLAN，并且控制LVLAN与其他VLAN之间的单向信息流向，即允许LVLAN查看其他VLAN的相关信息，其他VLAN不能访问LVLAN的信息。VLAN之内的连接采用交换实现，VLAN与VLAN之间采用路由实现。由于路由控制的能力有限，不能实现LVLAN与其他VLAN之间的单向信息流动，需要在LV

16、LAN与其他VLAN之间设置一个Gauntlet防火墙作为安全隔离设备，控制VLAN与VLAN之间的信息交流。9.6.2网络安全的措施防火墙 防火墙并非万能，但对于网络安全来说还是必不可少的。它是位于两个网络之间的屏障，一个是内部网络（可信赖的网络），另一个是外部网络（不可信赖的网络），防火墙按照系统管理员预先定义好的规则来控制数据包的进出。大部分防火墙都采用了以下三种工作方式中的一种或多种；使用一个过滤器来检查数据包的来源和目的地，根据管理员的规定接收或拒绝数据包；扫描数据包，查找与应用相关的数据；在网络层对数据包进行模式检查，看是否符合已知“友好”数据包的位(bit)模式。9.6.3网络系

17、统实现的安全管理措施1为确保网络系统的安全运行和数据可靠共享，局域网系统网站所实现的安全措施包括：通信对方鉴别 参与通信的一方可以检验对方的身份，鉴别其真伪和访问权限。可采用“单方鉴别”和“互相鉴别”两种方式；数据发方鉴别 在无连接的通信中，接收方鉴别发送数据方身份后方才接收数据，以防止欺骗数据的侵入；访问控制 只有授权用户才能进入特定的局域网，使用网络资源；数据保护 保证专用数据不被无权用户获取，这是通过控制访问或数据加密实现的；业务流分析防护网络中某些特定的业务流出现的频度，长度和信息来源等等，也具有一定的保密意义。本措施即是对特定的业务信息流进行必要的屏蔽，以避免无权用户通过分析这些业务

18、流而获取有用信息；数据完整性保护发方和收方确认2数据安全措施和保密性数据的安全性表现在以下几个方面：1） 防止因硬件故障造成的数据破坏 我们通过采用优质、高性能的设备和采用切实可行的系统容错技术可以完全保证因硬件故障造成的数据破坏。2） 保证数据不被窃取和破坏 建立相应的安全管理机制和在用户中树立安全意识，防止泄密事件发生，以保证数据不被窃取。3） 防止病毒破坏 一方面，要求网上的用户不要随意拷贝外来磁盘和下载网上文件，不要随意使用盗版光盘，防止病毒进入网络；另一方面使用杀毒软件对工作站进行病毒清理，在网上安装防病毒软件，也是一种防止网上病毒侵蚀的有效途径。4） 防止人为破坏和“黑客”攻击采用INTERNET防火墙技术，在和INTERN