飛機(jī)場網(wǎng)絡(luò)規(guī)劃與設(shè)計[文檔在線提供]

1、飛機(jī)場網(wǎng)絡(luò)規(guī)劃與設(shè)計文檔在線提供課程設(shè)計報告課程設(shè)計名稱：機(jī)場網(wǎng)絡(luò)規(guī)劃與設(shè)計系 ： 三系學(xué)生姓名：周崛起班 級：計算機(jī)（3）班學(xué) 號：20090805322成 績：指導(dǎo)教師：沈洋開課時間：2011 學(xué)年2 學(xué)期目錄一、需求分析二、 系統(tǒng)總體設(shè)計1、網(wǎng)絡(luò)的體系結(jié)構(gòu)2、設(shè)備選型3、網(wǎng)絡(luò)管理三、網(wǎng)絡(luò)規(guī)劃的原則要求3.1 可靠性和穩(wěn)定性3.2 可管理性3.3 超前性3.4 網(wǎng)絡(luò)的拓展性3.5 網(wǎng)絡(luò)的開放性3.6 網(wǎng)絡(luò)的靈活性3.7 遵從 INTERNET 的技術(shù)要求四、網(wǎng)絡(luò)建設(shè)的實施步驟4.1 服務(wù)器系統(tǒng)的規(guī)劃4.2 內(nèi)部網(wǎng)和直屬單位的連接4.3 提供 INTERNET 用戶訪問4.4 IP的規(guī)劃4.

2、5 網(wǎng)絡(luò)安全的實現(xiàn)五、安全技術(shù)5.1 系統(tǒng)安全5.2 網(wǎng)絡(luò)安全5.3 信息安全5.4 如何實現(xiàn)防火墻六、總結(jié)參考資料一.需求分析計算機(jī)網(wǎng)絡(luò)的迅速發(fā)展和普及，改變了整個信息管理的面貌，使信息 管理從以單個計算機(jī)為中心發(fā)展到以網(wǎng)絡(luò)為中心， 并為計算機(jī)技術(shù)在工業(yè)、商業(yè)、 教學(xué)、科研、管理等領(lǐng)域中的應(yīng)用提供了一個全新的網(wǎng)絡(luò)通信環(huán)境，也從根本上加強(qiáng)并促進(jìn)了群體工作成員之間的信息交流、 資源共享、科學(xué)計算、技術(shù)合作及 有效管理等，進(jìn)而推動了生產(chǎn)、管理、科研及教學(xué)事業(yè)的發(fā)展。企業(yè)的生產(chǎn)、經(jīng) 營環(huán)境的改善，必須以現(xiàn)代化的集成生產(chǎn)管理系統(tǒng)和高度自動化的信息技術(shù)為依 托，將企業(yè)的各個生產(chǎn)部門構(gòu)成一個有機(jī)的整體，

3、而不是自動化程度很高的“孤 島”的簡單疊加。目前，信息化程度已成為衡量一個國家、一個地區(qū)、一個單位綜合實力的 重要標(biāo)志。黨中央和國務(wù)院對我國信息化工作非常重視，信息化建設(shè)已作為一項 重要工作領(lǐng)導(dǎo)小組，并指出了 “統(tǒng)籌規(guī)劃、聯(lián)合建設(shè)、統(tǒng)一標(biāo)準(zhǔn)、專項結(jié)合”的 十六字指導(dǎo)方針。隨著信息化建設(shè)的不斷深入發(fā)展，原有人工管理方式已不能適 應(yīng)現(xiàn)代管理需要。從目前來講，主要需求分為如下幾個方面：1、網(wǎng)絡(luò)系統(tǒng)中心在機(jī)場計算機(jī)信息管理中心。2、整個網(wǎng)絡(luò)采用先進(jìn)的網(wǎng)絡(luò)結(jié)構(gòu)，以滿足傳輸、存儲和處理數(shù)據(jù)、等信 息的需要。3、各應(yīng)用單位通過XX機(jī)場計算機(jī)信息中心和INTERNET 接通。4、滿足網(wǎng)上的集成辦公系統(tǒng)和電子商

4、務(wù)業(yè)務(wù)系統(tǒng)的需求。5、完整統(tǒng)一的系統(tǒng)管理平臺。本系統(tǒng)的需求特點根據(jù)用戶的需求及應(yīng)用的特點，我們認(rèn)為本網(wǎng)絡(luò)系統(tǒng)具有如下特點：網(wǎng)絡(luò)規(guī)模較大本地網(wǎng)絡(luò)上的用戶多個，將來會進(jìn)一步發(fā)展。因此，網(wǎng)絡(luò)的設(shè)計要留下充 分的發(fā)展余地。比如，服務(wù)器及工作站的網(wǎng)絡(luò)傳輸速度要能夠適應(yīng)業(yè)務(wù)不斷 增長的需要，網(wǎng)絡(luò)能夠支持將來電視會議及多媒體等新業(yè)務(wù)以適應(yīng)新應(yīng)用的飛機(jī)場網(wǎng)絡(luò)規(guī)劃與設(shè)計文檔在線提供 先進(jìn)性XX機(jī) 場 網(wǎng) 絡(luò) 系 統(tǒng) 利用 當(dāng) 今計 算 機(jī) 與 通 訊 科 學(xué) 技 術(shù) 的 先 進(jìn)成果，在一個高 起 點 基礎(chǔ) 上 發(fā) 展 ， 保 障系 統(tǒng) 具有 較 長 的 生 命 周 期 ， 使 XX 機(jī)場網(wǎng)絡(luò)系統(tǒng)不會落后于技術(shù)的

5、發(fā)展，同時也不會造成資源浪費。不然，會極大地影響系統(tǒng) 的進(jìn)一步開拓。 性能要求較高為 了 滿 足 各 種 工 作 站 的 應(yīng) 用 的 要 求 ，服 務(wù) 器 的 網(wǎng) 絡(luò) 接 口 應(yīng) 該 有 比 較 高 的 吞 吐 能 力 。 服 務(wù) 器 的 網(wǎng) 絡(luò) 傳 輸 速 率 要 在 100Mbps 以 上 ； 工 作 站 的 網(wǎng) 絡(luò) 傳 輸 速 率也應(yīng)該滿足一定的要求。而且，隨著業(yè)務(wù)的開展，對網(wǎng)絡(luò)傳輸速率的要求 會不斷提高。因此，要求網(wǎng)絡(luò)設(shè)備應(yīng)具有比較高的容量，滿足系統(tǒng)發(fā)展的需 要。而且，采用的網(wǎng)絡(luò)技術(shù)應(yīng)該提供多種速率的連接接口，滿足系統(tǒng)對服務(wù) 器帶寬的要求。 高可靠性網(wǎng) 絡(luò) 的 可 靠 性 要 求 高

6、，采 用 容 錯 技 術(shù) 或 設(shè) 備 級 的 備 份 保 證 網(wǎng) 絡(luò) 系 統(tǒng) 的 正 常工作。 擴(kuò)展性未來網(wǎng)絡(luò)上許多用戶對網(wǎng)絡(luò)帶寬有更高的要求，如網(wǎng)絡(luò)上的電子商務(wù)系統(tǒng)的應(yīng)用，都使這些用戶對網(wǎng)絡(luò)的帶寬有特殊的要，所以網(wǎng)絡(luò)要求提供這方面的擴(kuò)展功能。二、 系統(tǒng)總體設(shè)計1 、網(wǎng)絡(luò)的體系結(jié)構(gòu)基于以上的設(shè)計原則，我們提出網(wǎng)絡(luò)的建設(shè)采用分布式的體系結(jié)構(gòu)。網(wǎng)絡(luò)的大體結(jié)構(gòu)可分為以下二級網(wǎng)絡(luò)結(jié)構(gòu)形式，即：中速網(wǎng)快速交換Ethernet 。通過一級交換機(jī)(CISCO CATALYST5000 ) ，可以使用100Base-FL 或 100Base-Tx ，連接到各樓層的二級以太網(wǎng)交換機(jī)，到用戶桌面端口的速率 為 1

7、0Mbps ，足以滿足業(yè)務(wù)應(yīng)用的需求。低速網(wǎng) 廣域網(wǎng) ( WAN ) 。 在 XX 機(jī)場網(wǎng)絡(luò)信息系統(tǒng)中，隨時通過廣域網(wǎng)直接與Internet等國內(nèi)外信息高速公路接軌快速以太網(wǎng)技術(shù)傳統(tǒng) 10Mbps 以太網(wǎng)的設(shè)計中數(shù)據(jù)傳輸速率受距離的制約，也就是給定的傳輸速率只能維持在一個給定的范圍之內(nèi)。發(fā)送的速率越大，數(shù)據(jù)傳送的有效距離也就越短，相反發(fā)送的速率越低，數(shù)據(jù)傳送的有效距離也就越大。因此有一種改進(jìn)的方案就是可以把覆蓋幾公里的10Mbps的以太網(wǎng)的傳輸距離局限在幾百米范圍內(nèi)，而傳送速率提高到100Mbps,實現(xiàn)高速傳輸。這樣就相應(yīng)的出現(xiàn)了一種高速網(wǎng)絡(luò)解決方案一快速以太網(wǎng)，目前快速以太網(wǎng)基本包括100B

8、ase-TX 與 100Base-FL 兩種技術(shù)形式，100Mbps 快速以太網(wǎng)與10Mbps 以太網(wǎng)的最初定義盡可能保持一致，并遵從傳統(tǒng)CSMA/CD 的訪問控制協(xié)議，100Base-TX 采用 2 對 UTP 5雙絞線，或4 對 UTP 3 雙絞線，而100Base-FL 采用多模光纖作為傳輸介質(zhì)，網(wǎng)絡(luò)拓?fù)渑c10M 以太網(wǎng)完全相同。目前，有許多種不同的100Base-X 建議，其中有些建議借用了最初為 FDDI 開發(fā)的傳輸技術(shù)，以減少與這種技術(shù)相關(guān)的芯片開發(fā)?？焖僖蕴W(wǎng)在介質(zhì)訪問方法的簡化方面，和在建立服務(wù)器與聯(lián)網(wǎng)交換設(shè)備（例如： 路由器或?qū)Ｓ靡蕴W(wǎng)交換機(jī)）之間的點到點鏈路通訊方面較其他網(wǎng)

9、絡(luò)技術(shù)更具吸引力。快速以太網(wǎng)開發(fā)的主要技術(shù)障礙是CSMA/CD 協(xié)議沖突檢測部分，而全雙工以太網(wǎng)則是在原有雙絞線傳輸系統(tǒng)的基礎(chǔ)上，在傳輸和接受方向上各自使用一對雙絞線，給以太網(wǎng)站點提供了各自獨立的傳輸和接受通道，這樣可以極大避免網(wǎng)絡(luò)沖突的產(chǎn)生提高網(wǎng)絡(luò)帶寬的利用率，也給快速以太網(wǎng)的發(fā)展掃清了障礙。采用快速以太網(wǎng)的優(yōu)勢是：* 技術(shù)已經(jīng)十分成熟* 目前現(xiàn)有網(wǎng)絡(luò)拓?fù)錈o需改變* 目前網(wǎng)絡(luò)協(xié)議不需更改* 價格較低* 提供多媒體服務(wù)，容易向ATM 、千兆以太網(wǎng)升級這也是目前應(yīng)用最廣泛的、產(chǎn)品最成熟的高速網(wǎng)絡(luò)技術(shù)，造價較低。因此，我們采用以太網(wǎng)技術(shù)作為XX 機(jī)場網(wǎng)絡(luò)信息系統(tǒng)的主干網(wǎng)絡(luò)建設(shè)，利用其技術(shù)成熟，易擴(kuò)

10、展、維護(hù)的特點，同時也滿足了系統(tǒng)應(yīng)用的要求。XX 機(jī)場網(wǎng)絡(luò)配置拓?fù)鋱D如下飛機(jī)場網(wǎng)絡(luò)規(guī)劃與設(shè)計文檔在線提供服務(wù)器2設(shè)備選型2.1 路由器選型網(wǎng)絡(luò)線路采用DDN ,滿足了系統(tǒng)對實時性、多媒體服務(wù)的要求；每個接入端口采用以太 網(wǎng)技術(shù)，充分利用了以太網(wǎng)技術(shù)靈活、快捷的特點，構(gòu)建系統(tǒng)桌面平臺。根據(jù)的路由器選型 原則，我們決定選用以下網(wǎng)絡(luò)設(shè)備。我們選用了二臺 CISCO公司的ROUTER 2610作為系統(tǒng)的主路由器，連接到 XX機(jī)場 小學(xué)和XX機(jī)場機(jī)場中學(xué)。2.2 其它網(wǎng)絡(luò)產(chǎn)品選型集線器（HUB）: CATALYST2924傳輸線：AT&T 5類UTP雙絞線、增裝8芯多模光纖飛機(jī)場網(wǎng)絡(luò)規(guī)劃與設(shè)計文檔在線提

11、供3 、網(wǎng)絡(luò)管理XX機(jī)場網(wǎng)絡(luò)信息系統(tǒng)是一個設(shè)計機(jī)構(gòu)，為了優(yōu)化網(wǎng)絡(luò)傳輸，充分發(fā)揮網(wǎng)絡(luò) 設(shè)備性能，對系統(tǒng)進(jìn)行統(tǒng)一管理，我們選用了 CISCO公司的功能強(qiáng)大的網(wǎng)絡(luò)管理 軟件CiscoWorks Windows50,它具有完善的SNMPt理能力。包括設(shè)置、性能和 容錯管理功能。Cisco 通過重點開發(fā)基于Internet 的體系結(jié)構(gòu)的優(yōu)勢，提供更大的可訪問性以及簡化網(wǎng)絡(luò)管理工具、任務(wù)和進(jìn)程，正在改變傳統(tǒng)的網(wǎng)絡(luò)管理。Cisco 的網(wǎng)絡(luò)管理策略-Assured Network Services 引導(dǎo)著網(wǎng)絡(luò)管理從傳統(tǒng)應(yīng)用程序轉(zhuǎn)向具備下列特征的基于Web 的模型：基于標(biāo)準(zhǔn)簡化工具、任務(wù)和進(jìn)程與 NMS 平臺和

12、一般管理產(chǎn)品的Web 級集成能夠為管理路由器、交換機(jī)和訪問服務(wù)器提供端到端解決方案通過將發(fā)現(xiàn)的設(shè)備知識與CCO 和第三方應(yīng)用知識集成，創(chuàng)建一個管理內(nèi)部網(wǎng)CiscoWorks Windows 是一個適合中小企業(yè)網(wǎng)絡(luò)的全面網(wǎng)絡(luò)管理解決方案。該經(jīng)濟(jì)有效而又易于學(xué)習(xí)的產(chǎn)品為管理基于Cisco 的交換機(jī)、路由器、集線器和訪問服務(wù)器網(wǎng)絡(luò)提供一系列強(qiáng)大的監(jiān)控和配置工具。通過使用Ipswitch的WhatsUp Gold,您還可以監(jiān)控打印機(jī)、工作站、服務(wù)器和重要的網(wǎng)絡(luò)服務(wù)。CiscoWorks Windows 5.0 含有下列組件：CiscoView 5.0 版 - 提供 Cisco 設(shè)備的圖形后視圖和前視圖

13、；動態(tài)的色標(biāo)圖形顯示簡化了設(shè)備狀態(tài)監(jiān)控；特定設(shè)備的組件診斷、設(shè)備配置和應(yīng)用發(fā)布。Ipswitch 公司的 WhatsUp Gold 4.05 版 - 提供網(wǎng)絡(luò)發(fā)現(xiàn)、映象、監(jiān)控和報警跟蹤。閾值管理器-增強(qiáng)了在Cisco RMON 啟動的設(shè)備上設(shè)定閾值的能力，降低了管理開銷，改進(jìn)了故障診斷功能。StackMaker - 允許用戶將特定類型的多個Cisco 設(shè)備結(jié)合在單個堆疊中，并在單個窗口中可視地管理它們。顯示命令- 顯示詳細(xì)的路由器系統(tǒng)和協(xié)議信息，而無需用戶記住復(fù)雜的Cisco IOS 命令行語言和語法。三、網(wǎng)絡(luò)規(guī)劃的原則要求1、設(shè)計原則計算機(jī)網(wǎng)絡(luò)平臺是計算機(jī)應(yīng)用的基礎(chǔ)。建立一套安全可靠、先進(jìn)穩(wěn)

14、定的網(wǎng)絡(luò)系統(tǒng)，可以保證各種應(yīng)用系統(tǒng)的正常進(jìn)行以及機(jī)場內(nèi)部各種大型設(shè)計的運作。而且，通過Internet 的連接功能，用戶可以訪問其它機(jī)場以及Internet 等，或者在外地通過電話線進(jìn)行遠(yuǎn)程辦公，提供了全新的辦公模式。通過信息交換和新聞瀏覽等加強(qiáng)各辦公處室之間的聯(lián)系和協(xié)作，提高辦公效率?？梢栽诰W(wǎng)上快速查尋到機(jī)場和社會發(fā)展的各種信息資料以及全國各地的各類信息。我們在設(shè)計機(jī)場網(wǎng)絡(luò)信息系統(tǒng)時，應(yīng)著重考慮以下原則：3.1 可靠性和穩(wěn)定性XX 機(jī)場網(wǎng)絡(luò)信息系統(tǒng)對于保證設(shè)計院內(nèi)部的管理工作以及為各部門開展業(yè)務(wù)工作、進(jìn)行高效、準(zhǔn)確的辦公決策提供信息服務(wù)具有重大的意義。從而，精確、不間斷的數(shù)據(jù)傳輸與存儲變得十

15、分重要，既追求極高的可靠性又不能投入過大的資金，系統(tǒng)應(yīng)具有一定的容錯能力，主要表現(xiàn)在以下幾個方面：* 局域網(wǎng)主干網(wǎng)絡(luò)設(shè)備（如：交換機(jī)及系統(tǒng)主服務(wù)器）應(yīng)配置不間斷電源（UPS） ，如資金允許的情況下可作主干設(shè)備的備份，即將所有計算機(jī)節(jié)點分別連接在不同的局域網(wǎng)主干設(shè)備上，主干設(shè)備之間采用高速連接，這樣即可以提高網(wǎng)絡(luò)的處理能力又可起到備份作用。通過以上分析，在XX 機(jī)場網(wǎng)絡(luò)信息系統(tǒng)的網(wǎng)絡(luò)設(shè)計中，如果充分考慮了所選用服務(wù)器及網(wǎng)絡(luò)設(shè)備產(chǎn)品的性能、穩(wěn)定性、服務(wù)器及數(shù)據(jù)的備份、局域網(wǎng)主干設(shè)備及連接線路的備份等幾個方面的因素，則可以將XX 機(jī)場網(wǎng)絡(luò)信息系統(tǒng)的網(wǎng)絡(luò)建成一個極為穩(wěn)定可靠的系統(tǒng)，保證應(yīng)用系統(tǒng)良好、穩(wěn)

16、定的運行狀態(tài)。3.2 可管理性XX 機(jī)場信息系統(tǒng)的網(wǎng)絡(luò)具有面積大，網(wǎng)點多等特點，因此需要對網(wǎng)絡(luò)活動進(jìn)行控制 和管理。 網(wǎng)絡(luò)管理員能夠在不改變系統(tǒng)運行的情況下對網(wǎng)絡(luò)進(jìn)行調(diào)整，不管網(wǎng)絡(luò)設(shè)備的物理位置在何處，網(wǎng)絡(luò)都應(yīng)該是可以控制的。計算機(jī)網(wǎng)絡(luò)系統(tǒng)的管理功能一般包括五部分內(nèi)容： 失效管理計算機(jī)網(wǎng)絡(luò)系統(tǒng)的失效管理是最基本的網(wǎng)絡(luò)管理功能，它負(fù)責(zé)檢測網(wǎng)絡(luò)中的各種故障，主要包括網(wǎng)絡(luò)結(jié)點和通信線路兩種故障。在大型計算機(jī)系統(tǒng)中，發(fā)現(xiàn)失效故障時，往往不能具體確定故障所在的具體位置。有時候，所發(fā)現(xiàn)的故障是隨機(jī)性的，需要經(jīng)過很長時間的跟蹤和分析， 才能找到其產(chǎn)生的原因。這就需要有一個故障管理系統(tǒng)科學(xué)地管理網(wǎng)絡(luò)所發(fā)現(xiàn)的所

17、有故障， 具體記錄每一個故障的產(chǎn)生，跟蹤分析，以至最后確定并改正故障的全過程。因此，失效管理包括以下內(nèi)容：A 發(fā)現(xiàn)問題B 隔離問題C 解決問題使用失效管理技術(shù)可以更快、更容易地發(fā)現(xiàn)并解決網(wǎng)絡(luò)故障。根據(jù) XX 機(jī)場網(wǎng)絡(luò)信息系統(tǒng)的網(wǎng)絡(luò)分布特點，應(yīng)用失效性管理對于及時準(zhǔn)確的發(fā)現(xiàn)故障所在是非常必要的。配置管理一個計算機(jī)網(wǎng)絡(luò)系統(tǒng)是由多種多樣的設(shè)備連接而成，這些設(shè)備組成網(wǎng)絡(luò)的各種物理結(jié)構(gòu)和邏輯結(jié)構(gòu)，這些結(jié)構(gòu)中的設(shè)備有許多參數(shù)、狀態(tài)和名字等至關(guān)重要的信息。另外， 上述網(wǎng)絡(luò)設(shè)備及其互連和互操作的信息可能是經(jīng)常變化的，這就需要有一個全網(wǎng)的設(shè)備配置管理系統(tǒng)，統(tǒng)一科學(xué)地管理上述信息，以便利用這些信息使網(wǎng)絡(luò)更有效地工

18、作。性能管理一個計算機(jī)系統(tǒng)運行的性能如何，對于系統(tǒng)設(shè)計者來說是首先要考慮的問題。但是， 由于網(wǎng)絡(luò)規(guī)模的龐大和影響網(wǎng)絡(luò)性能的不定因素太多。一般很難一下子設(shè)計出運行性能很好的大型網(wǎng)絡(luò)。提高網(wǎng)絡(luò)性能的一般方法是，先初步地設(shè)計并建設(shè)網(wǎng)絡(luò)，在網(wǎng)絡(luò)的運行過程中，對網(wǎng)絡(luò)性能進(jìn)行靜態(tài)和動態(tài)統(tǒng)計分析，根據(jù)分析結(jié)果，對網(wǎng)絡(luò)配置和參數(shù)進(jìn)行調(diào)查，逐步達(dá)到最佳。如果需要要做出調(diào)整較大時，就考慮擴(kuò)充或重建網(wǎng)絡(luò)。性能管理在于對網(wǎng)絡(luò)硬件、軟件及介質(zhì)的性能測量。主要指標(biāo)包括整體的吞吐量、使用率、誤碼率和響應(yīng)時間等。利用這些性能數(shù)據(jù)，管理人員就可分析網(wǎng)絡(luò)瓶頸，調(diào)整網(wǎng)絡(luò)帶寬。記帳管理記帳管理記錄每個用戶及每群用戶對網(wǎng)絡(luò)資源的使用情

19、況，使管理人員能及時調(diào)整資源分配，保證每個用戶的服務(wù)質(zhì)量；同時也禁止或許可某些用戶對特定資源的訪問。安全管理安全管理是對網(wǎng)絡(luò)信息訪問權(quán)限的控制過程，由于網(wǎng)絡(luò)上存在著敏感數(shù)據(jù)，為禁止非授權(quán)用戶對它的訪問，就要對網(wǎng)絡(luò)上的用戶進(jìn)行一些訪問權(quán)限的設(shè)置，同時也要盡可能發(fā)現(xiàn)某些“黑客” ，阻止對網(wǎng)絡(luò)資源的非法訪問及嘗試。市政設(shè)計院網(wǎng)絡(luò)信息系統(tǒng)在建成以后，將通過 Internet 與國內(nèi)外同行進(jìn)行交流等，因此，保證內(nèi)部保密信息的安全是網(wǎng)絡(luò)管理的重要部分。安全管理的功能涉及一個計算機(jī)系統(tǒng)的安全管理政策，根據(jù)這一政策設(shè)計和實現(xiàn)的網(wǎng)絡(luò)安全管理系統(tǒng)，可以管理網(wǎng)絡(luò)結(jié)構(gòu)的不同層次，從基本網(wǎng)絡(luò)訪問功能到網(wǎng)絡(luò)應(yīng)用系統(tǒng)功能。

20、3.3 超前性超前性和先進(jìn)性是每一個計算機(jī)網(wǎng)絡(luò)系統(tǒng)建設(shè)期望達(dá)到的目標(biāo)，但是隨著計算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展，先進(jìn)的、新的網(wǎng)絡(luò)技術(shù)面臨著技術(shù)和產(chǎn)品上不十分成熟的問題，而原有的成熟的網(wǎng)絡(luò)技術(shù)和產(chǎn)品又勢必被新的技術(shù)所取代，是采用原有的成熟的網(wǎng)絡(luò)技術(shù)而承擔(dān)投資保護(hù)的風(fēng)險，還是直接采用最新的技術(shù)而冒著產(chǎn)品不成熟、標(biāo)準(zhǔn)不統(tǒng)一的風(fēng)險是網(wǎng)絡(luò)設(shè)計人員一直所爭論的焦點；所謂網(wǎng)絡(luò)設(shè)計的超前性則是將網(wǎng)絡(luò)系統(tǒng)看成一個系統(tǒng)工程，不但要設(shè)計到它的產(chǎn)生還要設(shè)計它的發(fā)展和未來，將著眼點放在目前的應(yīng)用系統(tǒng)及現(xiàn)有的技術(shù)并考慮以最小的代價來適應(yīng)網(wǎng)絡(luò)技術(shù)的不斷的發(fā)展，使現(xiàn)有系統(tǒng)能夠與業(yè)務(wù)需求同步增長，在系統(tǒng)規(guī)模在急驟擴(kuò)張中亦不需要重新進(jìn)行系

21、統(tǒng)規(guī)劃與設(shè)計。3.4 網(wǎng)絡(luò)的拓展性隨著 Internet 的不斷發(fā)展及網(wǎng)上應(yīng)用的不斷擴(kuò)展，系統(tǒng)應(yīng)可以隨時增加網(wǎng)絡(luò)設(shè)備或模板來擴(kuò)展整個網(wǎng)絡(luò)，例如在局域網(wǎng)中增加交換機(jī)設(shè)備與原有設(shè)備形成容錯連接擴(kuò)展網(wǎng)絡(luò)性能； 另外由于所選所有網(wǎng)絡(luò)產(chǎn)品應(yīng)都能夠支持從低到高多種通訊協(xié)議，用戶可以不增加任何投資， 通過選擇通訊協(xié)議和通信速率來提高網(wǎng)絡(luò)傳輸速度，降低系統(tǒng)運行費用。另外，在用戶端應(yīng)選用可堆疊或模塊化產(chǎn)品具有很好的開放性，可以十分方便的擴(kuò)充網(wǎng)絡(luò)的容量。3.5 網(wǎng)絡(luò)的開放性支持多種通訊協(xié)議所選擇的網(wǎng)絡(luò)設(shè)備應(yīng)支持多種網(wǎng)絡(luò)協(xié)議，局域網(wǎng)應(yīng)具備向未來網(wǎng)絡(luò)技術(shù)順利過渡連接的途徑，在廣域網(wǎng)上應(yīng)具備不增加任何投資實現(xiàn)X.25、

22、 DDN 、 Frame Relay、 ISDN 、 E1 等通訊協(xié)議的轉(zhuǎn)換和提升。支持多種傳輸介質(zhì)XX 機(jī)場網(wǎng)絡(luò)信息系統(tǒng)是一個多協(xié)議、多介質(zhì)的網(wǎng)絡(luò)，一些部門原來已有自己的網(wǎng)絡(luò)。本網(wǎng)絡(luò)建成之后應(yīng)能將舊網(wǎng)絡(luò)接入，所以需支持如非屏蔽雙絞線(UTP)、 光纖等多種傳輸介質(zhì)支持多種主機(jī)互連由于系統(tǒng)互連全部采用國際標(biāo)準(zhǔn)的網(wǎng)絡(luò)層通訊協(xié)議TCP/IP,所以具有很好的開放性，因為所有的主機(jī)系統(tǒng)生產(chǎn)廠商都努力使自己的產(chǎn)品遵循TCP/IP 標(biāo)準(zhǔn)，所以可以很方便的實現(xiàn)多種主機(jī)的互連。3.6 網(wǎng)絡(luò)的靈活性作為 XX 機(jī)場網(wǎng)絡(luò)信息系統(tǒng)的應(yīng)用環(huán)境，系統(tǒng)的靈活性主要表現(xiàn)在軟件配置與負(fù)載平衡等方面，配合交換機(jī)產(chǎn)品與路由器產(chǎn)品

23、支持的最先進(jìn)的虛擬網(wǎng)絡(luò)技術(shù)，整個網(wǎng)絡(luò)系統(tǒng)可以通過軟件快速簡便地將用戶或用戶組從一個網(wǎng)絡(luò)轉(zhuǎn)移到另一個網(wǎng)絡(luò)，可以跨越辦公室、辦公樓甚至城市，而無需任何硬件的改變，以適應(yīng)機(jī)構(gòu)的變化。同時也可以通過用戶及用戶組的改變來平衡網(wǎng)絡(luò)的流量，以提高網(wǎng)絡(luò)的性能。XX 機(jī)場本系統(tǒng)中選擇的等交換機(jī)配合網(wǎng)絡(luò)管理軟件，系統(tǒng)管理員可以方便靈活地配置管理網(wǎng)絡(luò)。3.7 遵從 INTERNET 的技術(shù)要求隨著 Internet 應(yīng)用的不斷普及，越來越多的信息交流是在Internet 上實現(xiàn)，XX 機(jī)場也將與國際Internet 相連，實現(xiàn)同國內(nèi)外同行的信息交流，并為用戶提供遠(yuǎn)程服務(wù)，因此，在設(shè)計上除遵從前面的原則，還應(yīng)考慮以下

24、兩個方面：開放性、標(biāo)準(zhǔn)化。開放性Internet 的基本特點是其開放性，為此所選設(shè)備必須支持TCP/IP 標(biāo)準(zhǔn)，與符合標(biāo)準(zhǔn)的設(shè)備之間具有良好的互操作性，并根據(jù)上級節(jié)點的統(tǒng)一規(guī)劃形成一個遵循統(tǒng)一標(biāo)準(zhǔn)的完全開放系統(tǒng)。標(biāo)準(zhǔn)化在統(tǒng)一網(wǎng)絡(luò)通信協(xié)議的前提下，應(yīng)盡量選用Internet 上最通用的設(shè)備，以便于開展網(wǎng)絡(luò)軟件應(yīng)用，同時應(yīng)選擇常用設(shè)備型號，減少不必要的不同型號產(chǎn)品，以便于操作和維護(hù)。四、網(wǎng)絡(luò)建設(shè)的實施步驟4.1 服務(wù)器系統(tǒng)的規(guī)劃XX 機(jī)場原先WWW 服務(wù)器和PROXY 服務(wù)器是在同一臺物理服務(wù)器上，現(xiàn)將 WWW服務(wù)器和PROXY 服務(wù)器分開，用 HP NETSERVER LH6000 做 WWW

25、服務(wù)器， 原 PROXY 服務(wù)器保持不變。規(guī)劃后有WWW 服務(wù)器、PROXY 服務(wù)器、EMAIL 服務(wù)器、數(shù)據(jù)庫服務(wù)器、托管服務(wù)器五臺獨立的服務(wù)器，分別連接到XX 機(jī)場計算機(jī)信息中心的中心交換機(jī)上。4.2 內(nèi)部網(wǎng)和直屬單位的連接通過 CISCO 路由器與直屬單位進(jìn)行信息交流，把內(nèi)部網(wǎng)與直屬單位的內(nèi)部網(wǎng)絡(luò)（ LAN ）連接起來。分別通過一臺CISCO 路由器 2610走 DDN 把 XX 機(jī)場中學(xué)、XX 機(jī)場小學(xué)連接到 XX 機(jī)場計算機(jī)信息中心4.3 提供 Internet 用戶訪問使用 DDN 專線把 XX 機(jī)場小學(xué)、XX 機(jī)場中學(xué)連接到XX 機(jī)場計算機(jī)信息中心，XX 機(jī)場小學(xué)、 XX 機(jī)場中

26、學(xué)通過XX 機(jī)場計算機(jī)信息中心的PROXY 服務(wù)器接入Internet， XX 機(jī)場小學(xué)、 XX 機(jī)場中學(xué)主要用戶還可以查詢市機(jī)場計算機(jī)信息中心主頁信息及電子商務(wù)等在內(nèi)的主頁內(nèi)容。飛機(jī)場網(wǎng)絡(luò)規(guī)劃與設(shè)計文檔在線提供4.4 IP的規(guī)劃1.使用一個內(nèi)部的A類地址：;使用相同的自然掩碼內(nèi)部用戶用 DHCP 進(jìn)行 IP 分配。DHCP: 0-542 .機(jī)場小學(xué)的IP分配：10.120-55使用相同的自然掩碼 3 .機(jī)場中學(xué)的IP分配：-55使用相同的自然掩碼 255.0.0

27、.04 .通過PIX將映射內(nèi)部郵件服務(wù)器、 WEB服務(wù)器成Internet地址；主機(jī)名IP地址子網(wǎng)掩碼備注DHCP服務(wù)器數(shù)據(jù)庫服務(wù)器信息中心ROUTER4WWW服務(wù)器6托管服務(wù)器7/68MAIL服務(wù)器0機(jī)場小學(xué)ROUTER機(jī)場小學(xué)終端/255機(jī)場中學(xué)ROUTER機(jī)場中學(xué)終端

28、/2554.5網(wǎng)絡(luò)安全的實現(xiàn)連接Internet采用PIX作為防火墻，通過PIX的安全設(shè)置可使 黑客無所作為，以保證內(nèi)部網(wǎng)絡(luò)不受Internet用戶的攻擊；內(nèi)部網(wǎng)絡(luò)之間的安全性，機(jī)場與各直屬單位之間通過路由器連接，限制一些應(yīng)用端口，過濾一些來自直屬單位的廣播包及IP包，保證機(jī)場網(wǎng)絡(luò)不受直屬單位網(wǎng)絡(luò)的影響；內(nèi)部用戶通過Proxy代理訪問Internet,可對IP用戶使用管理, 時間進(jìn)行控制，以達(dá)到Internet訪問的整體控制效果。五、安全技術(shù)由于XX機(jī)場連入Internet,為用戶提供各種信息服務(wù)。資源共享和開放是 Internet特點, 所以 Internet 的安全機(jī)制很

29、松散；而XX 機(jī)場網(wǎng)絡(luò)信息系統(tǒng)要求有較高的安全性，其內(nèi)部的許多數(shù)據(jù)和文件嚴(yán)禁未經(jīng)授權(quán)的訪問。因此， 設(shè)計與開發(fā)保證內(nèi)部各種信息的安全機(jī)制是實現(xiàn)該網(wǎng)絡(luò)順利運行的關(guān)鍵。Internet 上的安全技術(shù)可分為三部分：系統(tǒng)安全、信息安全和網(wǎng)絡(luò)安全。5.1 系統(tǒng)安全系統(tǒng)安全保證一個主機(jī)系統(tǒng)的安全，主要包括主機(jī)系統(tǒng)的密碼安全、重要服務(wù)器如SendMail 、 FTP 和數(shù)據(jù)庫等大型應(yīng)用系統(tǒng)的安全。本建議在主機(jī)系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的選型上，已經(jīng)充分考慮了系統(tǒng)的安全性。另外， Internet 上提供了很多實用的工具來加強(qiáng)系統(tǒng)的安全，比如 Crack 程序， 它本是一個系統(tǒng)密碼的破譯工具，但可利用它來尋找系統(tǒng)上較脆

30、弱的密碼；npasswd 是一個經(jīng)過完善的系統(tǒng)工具，使用它可增加用戶密碼破譯的難度。系統(tǒng)越復(fù)雜，其缺點和漏洞就會越多，比如著名的蠕蟲病毒就利用了系統(tǒng)Sendmail 程序的漏洞，為了加固大型應(yīng)用系統(tǒng)的安全，Internet上有很多專用的站點來發(fā)布這些系統(tǒng)的安全漏洞及bug,從而改進(jìn)安全措施。系統(tǒng)安全性包括兩方面的內(nèi)容：系統(tǒng)運行安全性和數(shù)據(jù)信息安全性。其中， 系統(tǒng)運行安全性主要指計算機(jī)、網(wǎng)絡(luò)設(shè)備的可靠性與穩(wěn)定性。設(shè)備可靠性在 XX 機(jī)場網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)中，我們分別采用了CISCO 和 HP 公司的產(chǎn)品作為系統(tǒng)的網(wǎng)絡(luò)設(shè)備和應(yīng)用服務(wù)器。所選用的設(shè)備都是兩家公司的高可靠性產(chǎn)品之一，所有部件支持熱插拔

31、功能，可以通過在線維修和硬軟件現(xiàn)場升級而不影響系統(tǒng)的正常運行。為了發(fā)揮網(wǎng)絡(luò)設(shè)備的最大性能，對整個系統(tǒng)進(jìn)行有效的監(jiān)控和管理，我們選用了CISCO公司強(qiáng)大的網(wǎng)絡(luò)管理軟件CISCOWORKS WINDOWS ， 它具有發(fā)現(xiàn)并排除故障的功能，這也保證了系統(tǒng)的正常運行。數(shù)據(jù)信息安全性主要涉及一個計算機(jī)系統(tǒng)的安全管理政策，根據(jù)這一政策設(shè)計和實現(xiàn)的網(wǎng)絡(luò)安全管理系統(tǒng)，可以管理網(wǎng)絡(luò)結(jié)構(gòu)的不同層次，從基本網(wǎng)絡(luò)訪問功能到網(wǎng)絡(luò)應(yīng)用系統(tǒng)功能。在 XX 機(jī)場網(wǎng)絡(luò)信息系統(tǒng)中，我們采用了六級安全機(jī)制：路由器級（包過濾）、硬件防火墻級、網(wǎng)管級、操作系統(tǒng)級、數(shù)據(jù)庫級、應(yīng)用級，涵蓋了從物理層到應(yīng)用層的所有范圍。路由器級第一道防火墻

32、采用Cisco2610 路由器實現(xiàn)包過濾，完成系統(tǒng)的訪問控制功能，屏蔽掉關(guān)鍵服務(wù)器的MAC 地址， 禁止外部對內(nèi)部某些重要主機(jī)的訪問，同時禁止內(nèi)部對外部某些站點或網(wǎng)絡(luò)的訪問。防火墻級系統(tǒng)采用Cisco 公司的最新的防火墻產(chǎn)品PIX520 ，它是一種硬件解決方案。主要優(yōu)點在于，比其它防火墻方式更安全有效，而且，更好的支持多媒體信息的傳輸，使用與管理更方便。PIX 具有雙以太網(wǎng)口（內(nèi)部網(wǎng)與DMZ 各一個） ；可組成虛擬專用網(wǎng)并加密；在防止非法侵入的同時還可有效的限制內(nèi)部對外的訪問。網(wǎng)管級利用 CISCO 公司 CISCOWORKS WINDOWS 的網(wǎng)管功能，劃分VLAN ?？梢詫⒉煌幨业慕K端分

33、配到不同的網(wǎng)段上，在優(yōu)化網(wǎng)絡(luò)流量的同時，也限制了用戶對其它網(wǎng)段的訪問。操作系統(tǒng)級我們選用Windows NT 作為服務(wù)器操作系統(tǒng)，它采用了增強(qiáng)的安全措施，通過登陸認(rèn)證、用戶授權(quán)、信息加密等安全機(jī)制限制了用戶對關(guān)鍵數(shù)據(jù)的非法操作。數(shù)據(jù)庫級（ORACLE ） ORACLE 支持維護(hù)管理數(shù)據(jù)庫服務(wù)器、各種數(shù)據(jù)庫設(shè)備，對象（ 包括表），用戶及擁有的權(quán)限等，建立具有不同訪問權(quán)限的多種類型的用戶組，并能對用戶進(jìn)行分組授權(quán)。ORACLE 完全滿足NCSC 的 C2 級安全標(biāo)準(zhǔn)，并早已通過相應(yīng)的標(biāo)準(zhǔn)測試，在B1 級的操作系統(tǒng)上，ORACLE 早已提供滿足NCSC 的 B1 級或 ITSEC 的 ITSE。5.

34、2 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全的主要技術(shù)是防火墻技術(shù)（ Firewall ） ， 防火墻技術(shù)的核心思想是在不安全的網(wǎng)間網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。目前其實現(xiàn)方式有兩種，即基于包過濾（PacketFilter）的防火墻和基于代理（Proxy）的防火墻。包過濾型防火墻處在網(wǎng)絡(luò)層，根據(jù) IP包的包頭信息來對信息的訪問進(jìn)行控制，而IP 包的包頭主要包括以下信息：IP 包的源地址、目的地址、包類型、端口號，因此包過濾型防火墻主要完成基于地址和端口的過濾功能?；诖淼姆阑饓?，也叫應(yīng)用層防火墻，處于應(yīng)用層，可對IP 地址和發(fā)生在該IP 地址上的具體應(yīng)用進(jìn)行控制，由于它能識別應(yīng)用協(xié)議，因此可對應(yīng)用的整個過程進(jìn)

35、行控制，比如在應(yīng)用建立時的密碼驗證、在 FIP應(yīng)用中允許某站點 get而不允許put等等。這兩種防火墻各有優(yōu)缺點，包過濾型防火墻由于基于網(wǎng)絡(luò)層，因此對用戶來說比較透明，但它一般采用“沒被禁止的就是允許的”這一策略，在它失效時，網(wǎng)絡(luò)是暢通的，這時內(nèi)部網(wǎng)絡(luò)將失去安全的屏障，而應(yīng)用層防火墻采用 “沒被允許的就是禁止的”這一策略，在它失效時，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)是隔離的，因此應(yīng)用層防火墻要比包過濾型防火墻安全。大多數(shù)路由器均支持包過濾功能，比如在Cisco 路由器上可以通過設(shè)置稱為access-list 的過濾規(guī)則來實現(xiàn)包過濾功能：禁止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的某些重要機(jī)器的訪問，禁止內(nèi)部網(wǎng)絡(luò)主機(jī)對Inter

36、net 上部分站點的訪問；并可利用端口號來選擇控制的應(yīng)用協(xié)議，比如 TELNET的端口號為23、 FTP 的端口號為21、 WWW 的端口號為80 等，這樣就可以設(shè)置一些較復(fù)雜的規(guī)則，比如可以允許某臺機(jī)器對Internet 具有 Email 訪問功能，卻不能利用等?；诎^濾防火墻的商業(yè)產(chǎn)品主要有Sun 公司的 SunScreen 和 Check Point 公司的Firewall-1 , SunScreen在硬件上采用一個不帶顯示器的Sparc2工作站，并在其上插了四塊以太網(wǎng)卡，在軟件上利用改造過的、更安全的專用于防火墻的操作系統(tǒng)，SunScreen 的四塊網(wǎng)卡均無 IP 地址，可實現(xiàn)兩路透

37、明的橋接過濾功能，因此它相當(dāng)于一個黑盒子，用戶無法檢測到它的存在，同時SunScreen又是一個具有硬件加密功能的設(shè)備，可實現(xiàn)安全的私有網(wǎng)絡(luò)SVPN ； Firewall-1 也是基于包過濾的防火墻的產(chǎn)品，除了完成包過濾功能外，還具有對部分應(yīng)用協(xié)議的識別功能，比純包過濾產(chǎn)品更安全。此外，Internet 上也有很多免費的包過濾軟件，比如基于PC DOS 環(huán)境的 Kbridge 和 Drawbridge 等。Internet 的安全代理服務(wù)器軟件主要分為兩種：一種直接利用原有TCP/IP 應(yīng)用的客戶，比如 Unix 系統(tǒng)的telnet、 ftp 應(yīng)用等，在這種方式下，用戶想訪問Internet

38、時，比須先登錄到代理所在的工作站上，然后才能訪問；另一種方式是利用與代理服務(wù)器配套的客戶軟件，這種方式在訪問Internet 時不需先登錄到代理服務(wù)器軟件的典型代表分別是：TIS 公司的 FWTK ( FireWall ToolKit )和 SOCKS。 FWTK 服務(wù)器由一組代理服務(wù)組成，包才FTP代理、TELNET代理、HTTP代理、Gopher代理、SMTP代理等，由于FWTK 軟件是一種應(yīng)用層的代理軟件，因此，對應(yīng)于每一個應(yīng)用都需要一個代理。FWTK 軟件具有靈活的控制手段和詳細(xì)的記錄功能，它的源碼可在 Internet 上免費獲得。5.3 信息安全信息安全是一項十分敏感的問題。由于I

39、nternet上有許多可用來做竊聽的工具，比如snuffer等， 因此明文信息在Internet 網(wǎng)上傳輸是不安全的。TCP/IP 協(xié)議本身不提供任何信息安全方面措施，因此必須另外開發(fā)。目前，Internet 上的信息加密有兩種途徑：基于IP 層的信息加密和基于應(yīng)用層的信息加密，基于應(yīng)用層的信息加密是傳統(tǒng)的方法，用戶在發(fā)送信息前，利用加密工具先將信息加密，然后才發(fā)送出去，接收方可利用相應(yīng)的解密工具還原信息；基于IP 的信息加密是Internet 上的一種新技術(shù)，它對IP 包進(jìn)行加密，對于應(yīng)用層的用戶來說是透明的，用戶無需在傳送數(shù)據(jù)前進(jìn)行加密，數(shù)據(jù)的安全是通過IP 層自動實現(xiàn)的，但是這種應(yīng)用要求發(fā)送方和接收方采用同樣的技術(shù)、同樣的產(chǎn)品，目前已有采用這種技術(shù)的產(chǎn)品出現(xiàn)，比如Sun公司的防火墻 SunScreen就具有此功能。利用基于IP包的信息加密技術(shù)可在Internet上實現(xiàn)安全的私有網(wǎng)絡(luò)SVPN ( Secure Virtual Private Network ) 。信息加/解密技術(shù)可分為兩種體系，即單密鑰的加密體系和雙密鑰的加密體系，單密鑰的加密體系在加密和解密時采用相同的密鑰，如著名的加密算法DES;雙密鑰的加密方法又叫公開密鑰的加密方法，加密和解密時采用不同的密鑰，即公開密鑰和私人密鑰，如著名的RSA 算法。這兩種加密體系在Inter