一套完整的計算機網(wǎng)絡(luò)系統(tǒng)方案

1、文檔來源為：從網(wǎng)絡(luò)收集整理,word版本可編輯.歡迎下載支持前言：計算機網(wǎng)絡(luò)系統(tǒng)在弱電系統(tǒng)設(shè)計中算是比較難的，設(shè)備的選型，一般都是由 廠家技術(shù)人員提供，但是一般的技術(shù)方案我們還是要會做的正文：一、需求分析計算機網(wǎng)絡(luò)是用通信線路和通信設(shè)備，將分散在不同地點并具有獨立功能的 多個計算機系統(tǒng)互相連接，按照國際標準的網(wǎng)絡(luò)協(xié)議進行數(shù)據(jù)通信。實現(xiàn)網(wǎng)絡(luò)中 的硬件、軟件、數(shù)據(jù)庫等資源共享的計算機群。項目內(nèi)的計算機網(wǎng)絡(luò)的通信線路就是綜合布線系統(tǒng)，其他智能化系統(tǒng)，如： 一卡通系統(tǒng)、安全防范系統(tǒng)和電話交換機系統(tǒng)等系統(tǒng)均要基于樓內(nèi)的局域網(wǎng)系統(tǒng) 進行數(shù)據(jù)交換、傳輸和資源共享，因此計算機網(wǎng)絡(luò)擔負著整個項目數(shù)據(jù)信息交換 的

2、重任，必需建設(shè)一套性能超群、穩(wěn)定可靠的網(wǎng)絡(luò)系統(tǒng)。二、設(shè)計原則網(wǎng)絡(luò)系統(tǒng)的建設(shè)不同于一般的智能化系統(tǒng)的建設(shè)， 有自己獨有的特點：一要 網(wǎng)絡(luò)功能強大，滿足系統(tǒng)日常繁重的數(shù)據(jù)交換重任； 二要穩(wěn)定可靠，不能因為產(chǎn) 品質(zhì)量等原因影響日常工作；三要滿足安全要求，具備抵御各種常見的網(wǎng)絡(luò)攻擊、 病毒侵襲等功能，最后網(wǎng)絡(luò)系統(tǒng)的管理還要簡便。為了更好的滿足用戶的需求， 在本次網(wǎng)絡(luò)系統(tǒng)方案設(shè)計中，我們認為應當把握住以下幾個原則：文檔來源為：從網(wǎng)絡(luò)收集整理,word版本可編輯.歡迎下載支持技術(shù)上應達到相當?shù)南冗M性，性能上應能適應現(xiàn)在日新月異發(fā)展的網(wǎng)絡(luò)應 用，比如對數(shù)據(jù)、多媒體等多元信息傳輸?shù)倪m應能力等， 從而使網(wǎng)絡(luò)平臺

3、在較長 時間內(nèi)不落后；支持多種集成化服務，如防火墻、IPSEC VPN、防御DDOS、WEB VPN、內(nèi)容交換等多種服務。網(wǎng)絡(luò)傳輸應具備高可靠性、高安全性，具備在出現(xiàn)故障時提供備用或應急 措施的能力；支持NSF/SSO （狀態(tài)切換），從而能在路由引擎切換時，維持路由 協(xié)議的穩(wěn)定，并保持第二層至第四層信息轉(zhuǎn)發(fā)的狀態(tài)表，不影響 VoIP、網(wǎng)絡(luò)視 頻等對丟包敏感的業(yè)務。網(wǎng)絡(luò)應具有優(yōu)異的開放性和升級擴展能力， 易于對外互連，并提供最佳的 用戶投資保護。如硬件支持IPV6,系統(tǒng)可平滑擴展等能力；支持多種國際/國家 標準協(xié)議，便于系統(tǒng)的升級、擴充，以及與其它系統(tǒng)或廠家的設(shè)備的互連、 互通。網(wǎng)絡(luò)應易于維護、

4、易于管理。發(fā)生故障時一般網(wǎng)管人員也能進行簡單維護， 并在短時間內(nèi)恢復。系統(tǒng)主要設(shè)備均采用廣泛應用且具有良好性能價格比的產(chǎn)品，既考慮節(jié)省投資，又保證產(chǎn)品的先進性和可用性。三、設(shè)計依據(jù)? 智能建筑設(shè)計標準（GB/T50314-2000）? 智能建筑工程建設(shè)標準（DBJ14-S5-2004(GB/T50311-2000)? 建筑物與建筑群綜合布線系統(tǒng)工程設(shè)計規(guī)范文檔來源為：從網(wǎng)絡(luò)收集整理,word版本可編輯.歡迎下載支持?建筑物與建筑群綜合布線系統(tǒng)工程驗收規(guī)范(GB/T50312-2000)?電子計算機機房設(shè)計規(guī)范(GB50174-93?電子計算機場地通用規(guī)范(G8/T2887-2000)四、系統(tǒng)設(shè)

5、計1、工程概況項目分住宅部分、商業(yè)部分和百貨部分。根據(jù)綜合布線系統(tǒng)的設(shè)計，以下的 網(wǎng)絡(luò)系統(tǒng)設(shè)計均以此為基礎(chǔ)；語音設(shè)計充分考慮系統(tǒng)容量及今后的擴展。在地下室等手機信號不通暢的地方安裝手機信號放大器。2、具體設(shè)計構(gòu)架設(shè)計根據(jù)項目綜合布線配線間的分布，網(wǎng)絡(luò)拓撲結(jié)構(gòu)應為星型，分兩級：核心層 和接入層，并且應具備以下設(shè)備：交換機、路由器和防火墻等。根據(jù)綜合布線的 點位設(shè)計，共設(shè)置3個接入層，根據(jù)點位數(shù)量，設(shè)置不同類型的接入層交換機， 核心層要根據(jù)點位設(shè)置滿足功能要求的核心交換機及路由器。電話根據(jù)前端電話點位設(shè)計，采用程控電話機進行管理。交換機的選擇(1)核心交換機：核心交換機主要用于管理整個項目的數(shù)據(jù)點

6、，辦公系統(tǒng) 的數(shù)據(jù)交換大部分是在這個平臺上完成的，因此核心交換機必須功能強大、性能 可靠文檔來源為：從網(wǎng)絡(luò)收集整理,word版本可編輯.歡迎下載支持.(2)接入交換機：接入層是直接與用戶相連的設(shè)備，一個高性能的網(wǎng)絡(luò)除 了核心、匯聚設(shè)備性能要求強勁之外，最重要的一環(huán)是數(shù)量最大的接入交換機。 接入交換機不僅要求保證線速的交換，同時要提供良好的用戶認證、管理和安全控制等功能，保證網(wǎng)絡(luò)管理策略的一致性。路由及防火墻設(shè)計建議使用路由和交換一體化機，支持 8到24個不等的交換以太網(wǎng)接口，多 個100/1000M以太網(wǎng)交換端口，產(chǎn)品的交換端口均支持 VLAN的劃分，可以滿 足大多數(shù)中小企業(yè)的組網(wǎng)及不同業(yè)務隔

7、離的要求。用戶只需一臺交換路由器，無 需購買交換機設(shè)備，便可實現(xiàn)Internet的接入，節(jié)約用戶網(wǎng)絡(luò)建設(shè)的費用、增強 用戶應用的方便性。具有100/1000M以太網(wǎng)WAN接口，可實現(xiàn)單出口線路的通 信。防火墻通常位于企業(yè)網(wǎng)絡(luò)的邊緣，使得內(nèi)部網(wǎng)絡(luò)與 Internet之間或者與其他 外部網(wǎng)絡(luò)互相隔離，并限制網(wǎng)絡(luò)互訪從而保護企業(yè)內(nèi)部網(wǎng)絡(luò)。 設(shè)置防火墻目的都 是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡化網(wǎng)絡(luò)的安全管理。整個外網(wǎng)建設(shè)的核心是防火墻，通過防火墻完成三個區(qū)域的交匯。它連接的 三個區(qū)域分別是：外部區(qū)域，即Internet區(qū)域，我們將會通過防火墻的 100/1000M端口實現(xiàn)到 INTERNE

8、T的連接，這個區(qū)域是相對不安全的，不可信的區(qū)域；內(nèi)網(wǎng)區(qū)域，即我們通常所說的正常的局域網(wǎng)區(qū)域，是內(nèi)部的可控的區(qū)域。這 個區(qū)域是相對安全的、可信賴的;文檔來源為：從網(wǎng)絡(luò)收集整理,word版本可編輯.歡迎下載支持DMZ區(qū)域（非軍事區(qū)域）,用來放置行政大樓需要向Internet提供信息服務 的主機，我們之所以把它獨立出來，而不是放置在內(nèi)網(wǎng)，是為了防止類似“特洛 伊牧馬”之類的病毒將之做為跳板，攻擊內(nèi)網(wǎng)的其它服務器。它的安全性和可信 賴的程度介于內(nèi)網(wǎng)區(qū)域和外網(wǎng)區(qū)域之間。這樣，通過防火墻可操作的區(qū)域的分割，我們就基本上實現(xiàn)了內(nèi)外網(wǎng)絡(luò)的物 理的隔離，與此同時，配合防火墻的訪問控制策略的定制和實施，我們將可以

9、滿足甲方的關(guān)于訪問限制方面的嚴格需求。網(wǎng)絡(luò)安全設(shè)計從體系結(jié)構(gòu)來看，安全體系應該是一個多層次、多方面的結(jié)構(gòu)。通過分析， 我們將項目的網(wǎng)絡(luò)安全性在體系結(jié)構(gòu)上分為四個級別：網(wǎng)絡(luò)級安全、應用級安全、系統(tǒng)級安全和企業(yè)級安全。A）網(wǎng)絡(luò)級安全管理 的主要內(nèi)容包括：.對網(wǎng)絡(luò)設(shè)備，如交換機的安全管理，保證網(wǎng)絡(luò)的正常運行。.提供鏈路層加密，保證數(shù)據(jù)在廣域網(wǎng)上傳輸?shù)陌踩裕?配置防火墻，保證內(nèi)部網(wǎng)的邊界安全。4劃分虛擬局域網(wǎng)（VLAN ）:在本次網(wǎng)絡(luò)建設(shè)中，我們在三次交換機上進行 了 VLAN劃分，因此我們應該控制各 VLAN之間的相互訪問，實事上，絕大部 分的VLAN之間并沒有訪問的需求。那么我們?nèi)绾螌崿F(xiàn)跨越不同

10、VLAN之間的限制訪問呢？答案就是基于 VLAN的訪問控制列表。文檔來源為：從網(wǎng)絡(luò)收集整理,word版本可編輯.歡迎下載支持訪問控制列表是實現(xiàn)訪問控制策略的一項重要的手段，它可以針對IP數(shù)據(jù)包的源地址，目的地址，源端口，目的端口進行控制，人為的允許和禁止此類數(shù) 據(jù)包的轉(zhuǎn)發(fā)。其中，源地址和目的地址可以是一段地址， 也可以是某個獨立的地 址。這樣，在我們完成IP地址規(guī)劃后，某一個VLAN內(nèi)的IP地址非常整齊，我 們可以針對該段 VLAN進行訪問控制的設(shè)定，對于沒有訪問需求的數(shù)據(jù)流通過 訪問控制列表禁止，從而提升網(wǎng)絡(luò)的安全性和可管理性。另外，對于部分 VLAN內(nèi)，存在這樣的情況：部分主機可以允許跨

11、VLAN 主機的訪問，而該 VLAN內(nèi)其它主機則禁止跨 VLAN主機的訪問。對于這種問 題，我們?nèi)匀煌ㄟ^訪問控制列表的方式來實現(xiàn)。我們知道，訪問控制列表可以基于一個網(wǎng)段，也可以基于某個具體的IP地址，對于此類情況，我們只需要添加部分基于某些IP地址的訪問控制列表語句， 就可以輕松的實現(xiàn)上述功能。B）應用級安全主要目的是在應用層保證各種應用系統(tǒng)（OA系統(tǒng)及其他業(yè)務 系統(tǒng)）的信息訪問合法性，確保合法用戶根據(jù)授權(quán)合法的訪問數(shù)據(jù)。 應用層在ISO 的體系層次中處于較高的層次，因而其安全防護也是較高級的。應用層的安全防 護是面向用戶和應用程序的。應用層采用身份認證和授權(quán)管理系統(tǒng)作為安全防護 手段，實現(xiàn)高

12、級的安全防護。C）系統(tǒng)級的安全主要是從操作系統(tǒng)的角度考慮系統(tǒng)安全措施，防止不法分 子利用操作系統(tǒng)的一些 BUG、后門取得對系統(tǒng)的非法操作權(quán)限。系統(tǒng)級安全管 理的主要內(nèi)容包括：文檔來源為：從網(wǎng)絡(luò)收集整理,word版本可編輯.歡迎下載支持1.配置操作系統(tǒng)，使其達到盡可能高的安全級別；2,及時檢測、發(fā)現(xiàn)操作系統(tǒng)存在的安全漏洞；3.對發(fā)現(xiàn)的操作系統(tǒng)安全漏洞做出及時、正確的處理。D）企業(yè)級安全 主要包括以下兩個方面的內(nèi)容：1.內(nèi)部安全管理。因為從統(tǒng)計數(shù)字來看,70%以上的網(wǎng)絡(luò)攻擊行為是來自 企業(yè)內(nèi)部的。2,計算機病毒防范。歷年來，全世界各地因為病毒入侵所造成的損失均怵 目驚心、數(shù)不勝數(shù)。尤其現(xiàn)在病毒通過網(wǎng)絡(luò)廣泛傳播， 影響面極大，造 成危害也極大，其對系統(tǒng)和數(shù)據(jù)的破壞性是原來單機系統(tǒng)時所不能比擬 的。另一方面，現(xiàn)在有很多黑客程序，如Back Orfice、NETSPY等，在傳播其“探測器”程序時采取的都是類似病毒的機制。五、系統(tǒng)功能隨著現(xiàn)代計算機應用的高速發(fā)展，特別是諸如圖形、音頻、視頻等多媒體信 息和技術(shù)在管理信息系統(tǒng)、科研設(shè)計等領(lǐng)域的廣泛應用，為網(wǎng)絡(luò)平臺的建設(shè)提出 了更高的要求。