一套完整的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)方案

1、文檔來(lái)源為：從網(wǎng)絡(luò)收集整理,word版本可編輯.歡迎下載支持前言：計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在弱電系統(tǒng)設(shè)計(jì)中算是比較難的，設(shè)備的選型，一般都是由 廠家技術(shù)人員提供，但是一般的技術(shù)方案我們還是要會(huì)做的正文：一、需求分析計(jì)算機(jī)網(wǎng)絡(luò)是用通信線路和通信設(shè)備，將分散在不同地點(diǎn)并具有獨(dú)立功能的 多個(gè)計(jì)算機(jī)系統(tǒng)互相連接，按照國(guó)際標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議進(jìn)行數(shù)據(jù)通信。實(shí)現(xiàn)網(wǎng)絡(luò)中 的硬件、軟件、數(shù)據(jù)庫(kù)等資源共享的計(jì)算機(jī)群。項(xiàng)目?jī)?nèi)的計(jì)算機(jī)網(wǎng)絡(luò)的通信線路就是綜合布線系統(tǒng)，其他智能化系統(tǒng)，如： 一卡通系統(tǒng)、安全防范系統(tǒng)和電話交換機(jī)系統(tǒng)等系統(tǒng)均要基于樓內(nèi)的局域網(wǎng)系統(tǒng) 進(jìn)行數(shù)據(jù)交換、傳輸和資源共享，因此計(jì)算機(jī)網(wǎng)絡(luò)擔(dān)負(fù)著整個(gè)項(xiàng)目數(shù)據(jù)信息交換 的

2、重任，必需建設(shè)一套性能超群、穩(wěn)定可靠的網(wǎng)絡(luò)系統(tǒng)。二、設(shè)計(jì)原則網(wǎng)絡(luò)系統(tǒng)的建設(shè)不同于一般的智能化系統(tǒng)的建設(shè)， 有自己獨(dú)有的特點(diǎn)：一要 網(wǎng)絡(luò)功能強(qiáng)大，滿足系統(tǒng)日常繁重的數(shù)據(jù)交換重任； 二要穩(wěn)定可靠，不能因?yàn)楫a(chǎn) 品質(zhì)量等原因影響日常工作；三要滿足安全要求，具備抵御各種常見(jiàn)的網(wǎng)絡(luò)攻擊、 病毒侵襲等功能，最后網(wǎng)絡(luò)系統(tǒng)的管理還要簡(jiǎn)便。為了更好的滿足用戶的需求， 在本次網(wǎng)絡(luò)系統(tǒng)方案設(shè)計(jì)中，我們認(rèn)為應(yīng)當(dāng)把握住以下幾個(gè)原則：文檔來(lái)源為：從網(wǎng)絡(luò)收集整理,word版本可編輯.歡迎下載支持技術(shù)上應(yīng)達(dá)到相當(dāng)?shù)南冗M(jìn)性，性能上應(yīng)能適應(yīng)現(xiàn)在日新月異發(fā)展的網(wǎng)絡(luò)應(yīng) 用，比如對(duì)數(shù)據(jù)、多媒體等多元信息傳輸?shù)倪m應(yīng)能力等， 從而使網(wǎng)絡(luò)平臺(tái)

3、在較長(zhǎng) 時(shí)間內(nèi)不落后；支持多種集成化服務(wù)，如防火墻、IPSEC VPN、防御DDOS、WEB VPN、內(nèi)容交換等多種服務(wù)。網(wǎng)絡(luò)傳輸應(yīng)具備高可靠性、高安全性，具備在出現(xiàn)故障時(shí)提供備用或應(yīng)急 措施的能力；支持NSF/SSO （狀態(tài)切換），從而能在路由引擎切換時(shí)，維持路由 協(xié)議的穩(wěn)定，并保持第二層至第四層信息轉(zhuǎn)發(fā)的狀態(tài)表，不影響 VoIP、網(wǎng)絡(luò)視 頻等對(duì)丟包敏感的業(yè)務(wù)。網(wǎng)絡(luò)應(yīng)具有優(yōu)異的開(kāi)放性和升級(jí)擴(kuò)展能力， 易于對(duì)外互連，并提供最佳的 用戶投資保護(hù)。如硬件支持IPV6,系統(tǒng)可平滑擴(kuò)展等能力；支持多種國(guó)際/國(guó)家 標(biāo)準(zhǔn)協(xié)議，便于系統(tǒng)的升級(jí)、擴(kuò)充，以及與其它系統(tǒng)或廠家的設(shè)備的互連、 互通。網(wǎng)絡(luò)應(yīng)易于維護(hù)、

4、易于管理。發(fā)生故障時(shí)一般網(wǎng)管人員也能進(jìn)行簡(jiǎn)單維護(hù)， 并在短時(shí)間內(nèi)恢復(fù)。系統(tǒng)主要設(shè)備均采用廣泛應(yīng)用且具有良好性能價(jià)格比的產(chǎn)品，既考慮節(jié)省投資，又保證產(chǎn)品的先進(jìn)性和可用性。三、設(shè)計(jì)依據(jù)? 智能建筑設(shè)計(jì)標(biāo)準(zhǔn)（GB/T50314-2000）? 智能建筑工程建設(shè)標(biāo)準(zhǔn)（DBJ14-S5-2004(GB/T50311-2000)? 建筑物與建筑群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范文檔來(lái)源為：從網(wǎng)絡(luò)收集整理,word版本可編輯.歡迎下載支持?建筑物與建筑群綜合布線系統(tǒng)工程驗(yàn)收規(guī)范(GB/T50312-2000)?電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范(GB50174-93?電子計(jì)算機(jī)場(chǎng)地通用規(guī)范(G8/T2887-2000)四、系統(tǒng)設(shè)

5、計(jì)1、工程概況項(xiàng)目分住宅部分、商業(yè)部分和百貨部分。根據(jù)綜合布線系統(tǒng)的設(shè)計(jì)，以下的 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)均以此為基礎(chǔ)；語(yǔ)音設(shè)計(jì)充分考慮系統(tǒng)容量及今后的擴(kuò)展。在地下室等手機(jī)信號(hào)不通暢的地方安裝手機(jī)信號(hào)放大器。2、具體設(shè)計(jì)構(gòu)架設(shè)計(jì)根據(jù)項(xiàng)目綜合布線配線間的分布，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)應(yīng)為星型，分兩級(jí)：核心層 和接入層，并且應(yīng)具備以下設(shè)備：交換機(jī)、路由器和防火墻等。根據(jù)綜合布線的 點(diǎn)位設(shè)計(jì)，共設(shè)置3個(gè)接入層，根據(jù)點(diǎn)位數(shù)量，設(shè)置不同類型的接入層交換機(jī)， 核心層要根據(jù)點(diǎn)位設(shè)置滿足功能要求的核心交換機(jī)及路由器。電話根據(jù)前端電話點(diǎn)位設(shè)計(jì)，采用程控電話機(jī)進(jìn)行管理。交換機(jī)的選擇(1)核心交換機(jī)：核心交換機(jī)主要用于管理整個(gè)項(xiàng)目的數(shù)據(jù)點(diǎn)

6、，辦公系統(tǒng) 的數(shù)據(jù)交換大部分是在這個(gè)平臺(tái)上完成的，因此核心交換機(jī)必須功能強(qiáng)大、性能 可靠文檔來(lái)源為：從網(wǎng)絡(luò)收集整理,word版本可編輯.歡迎下載支持.(2)接入交換機(jī)：接入層是直接與用戶相連的設(shè)備，一個(gè)高性能的網(wǎng)絡(luò)除 了核心、匯聚設(shè)備性能要求強(qiáng)勁之外，最重要的一環(huán)是數(shù)量最大的接入交換機(jī)。 接入交換機(jī)不僅要求保證線速的交換，同時(shí)要提供良好的用戶認(rèn)證、管理和安全控制等功能，保證網(wǎng)絡(luò)管理策略的一致性。路由及防火墻設(shè)計(jì)建議使用路由和交換一體化機(jī)，支持 8到24個(gè)不等的交換以太網(wǎng)接口，多 個(gè)100/1000M以太網(wǎng)交換端口，產(chǎn)品的交換端口均支持 VLAN的劃分，可以滿 足大多數(shù)中小企業(yè)的組網(wǎng)及不同業(yè)務(wù)隔

7、離的要求。用戶只需一臺(tái)交換路由器，無(wú) 需購(gòu)買交換機(jī)設(shè)備，便可實(shí)現(xiàn)Internet的接入，節(jié)約用戶網(wǎng)絡(luò)建設(shè)的費(fèi)用、增強(qiáng) 用戶應(yīng)用的方便性。具有100/1000M以太網(wǎng)WAN接口，可實(shí)現(xiàn)單出口線路的通 信。防火墻通常位于企業(yè)網(wǎng)絡(luò)的邊緣，使得內(nèi)部網(wǎng)絡(luò)與 Internet之間或者與其他 外部網(wǎng)絡(luò)互相隔離，并限制網(wǎng)絡(luò)互訪從而保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)。 設(shè)置防火墻目的都 是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡(jiǎn)化網(wǎng)絡(luò)的安全管理。整個(gè)外網(wǎng)建設(shè)的核心是防火墻，通過(guò)防火墻完成三個(gè)區(qū)域的交匯。它連接的 三個(gè)區(qū)域分別是：外部區(qū)域，即Internet區(qū)域，我們將會(huì)通過(guò)防火墻的 100/1000M端口實(shí)現(xiàn)到 INTERNE

8、T的連接，這個(gè)區(qū)域是相對(duì)不安全的，不可信的區(qū)域；內(nèi)網(wǎng)區(qū)域，即我們通常所說(shuō)的正常的局域網(wǎng)區(qū)域，是內(nèi)部的可控的區(qū)域。這 個(gè)區(qū)域是相對(duì)安全的、可信賴的;文檔來(lái)源為：從網(wǎng)絡(luò)收集整理,word版本可編輯.歡迎下載支持DMZ區(qū)域（非軍事區(qū)域）,用來(lái)放置行政大樓需要向Internet提供信息服務(wù) 的主機(jī)，我們之所以把它獨(dú)立出來(lái)，而不是放置在內(nèi)網(wǎng)，是為了防止類似“特洛 伊牧馬”之類的病毒將之做為跳板，攻擊內(nèi)網(wǎng)的其它服務(wù)器。它的安全性和可信 賴的程度介于內(nèi)網(wǎng)區(qū)域和外網(wǎng)區(qū)域之間。這樣，通過(guò)防火墻可操作的區(qū)域的分割，我們就基本上實(shí)現(xiàn)了內(nèi)外網(wǎng)絡(luò)的物 理的隔離，與此同時(shí)，配合防火墻的訪問(wèn)控制策略的定制和實(shí)施，我們將可以

9、滿足甲方的關(guān)于訪問(wèn)限制方面的嚴(yán)格需求。網(wǎng)絡(luò)安全設(shè)計(jì)從體系結(jié)構(gòu)來(lái)看，安全體系應(yīng)該是一個(gè)多層次、多方面的結(jié)構(gòu)。通過(guò)分析， 我們將項(xiàng)目的網(wǎng)絡(luò)安全性在體系結(jié)構(gòu)上分為四個(gè)級(jí)別：網(wǎng)絡(luò)級(jí)安全、應(yīng)用級(jí)安全、系統(tǒng)級(jí)安全和企業(yè)級(jí)安全。A）網(wǎng)絡(luò)級(jí)安全管理 的主要內(nèi)容包括：.對(duì)網(wǎng)絡(luò)設(shè)備，如交換機(jī)的安全管理，保證網(wǎng)絡(luò)的正常運(yùn)行。.提供鏈路層加密，保證數(shù)據(jù)在廣域網(wǎng)上傳輸?shù)陌踩裕?配置防火墻，保證內(nèi)部網(wǎng)的邊界安全。4劃分虛擬局域網(wǎng)（VLAN ）:在本次網(wǎng)絡(luò)建設(shè)中，我們?cè)谌谓粨Q機(jī)上進(jìn)行 了 VLAN劃分，因此我們應(yīng)該控制各 VLAN之間的相互訪問(wèn)，實(shí)事上，絕大部 分的VLAN之間并沒(méi)有訪問(wèn)的需求。那么我們?nèi)绾螌?shí)現(xiàn)跨越不同

10、VLAN之間的限制訪問(wèn)呢？答案就是基于 VLAN的訪問(wèn)控制列表。文檔來(lái)源為：從網(wǎng)絡(luò)收集整理,word版本可編輯.歡迎下載支持訪問(wèn)控制列表是實(shí)現(xiàn)訪問(wèn)控制策略的一項(xiàng)重要的手段，它可以針對(duì)IP數(shù)據(jù)包的源地址，目的地址，源端口，目的端口進(jìn)行控制，人為的允許和禁止此類數(shù) 據(jù)包的轉(zhuǎn)發(fā)。其中，源地址和目的地址可以是一段地址， 也可以是某個(gè)獨(dú)立的地 址。這樣，在我們完成IP地址規(guī)劃后，某一個(gè)VLAN內(nèi)的IP地址非常整齊，我 們可以針對(duì)該段 VLAN進(jìn)行訪問(wèn)控制的設(shè)定，對(duì)于沒(méi)有訪問(wèn)需求的數(shù)據(jù)流通過(guò) 訪問(wèn)控制列表禁止，從而提升網(wǎng)絡(luò)的安全性和可管理性。另外，對(duì)于部分 VLAN內(nèi)，存在這樣的情況：部分主機(jī)可以允許跨

11、VLAN 主機(jī)的訪問(wèn)，而該 VLAN內(nèi)其它主機(jī)則禁止跨 VLAN主機(jī)的訪問(wèn)。對(duì)于這種問(wèn) 題，我們?nèi)匀煌ㄟ^(guò)訪問(wèn)控制列表的方式來(lái)實(shí)現(xiàn)。我們知道，訪問(wèn)控制列表可以基于一個(gè)網(wǎng)段，也可以基于某個(gè)具體的IP地址，對(duì)于此類情況，我們只需要添加部分基于某些IP地址的訪問(wèn)控制列表語(yǔ)句， 就可以輕松的實(shí)現(xiàn)上述功能。B）應(yīng)用級(jí)安全主要目的是在應(yīng)用層保證各種應(yīng)用系統(tǒng)（OA系統(tǒng)及其他業(yè)務(wù) 系統(tǒng)）的信息訪問(wèn)合法性，確保合法用戶根據(jù)授權(quán)合法的訪問(wèn)數(shù)據(jù)。 應(yīng)用層在ISO 的體系層次中處于較高的層次，因而其安全防護(hù)也是較高級(jí)的。應(yīng)用層的安全防 護(hù)是面向用戶和應(yīng)用程序的。應(yīng)用層采用身份認(rèn)證和授權(quán)管理系統(tǒng)作為安全防護(hù) 手段，實(shí)現(xiàn)高

12、級(jí)的安全防護(hù)。C）系統(tǒng)級(jí)的安全主要是從操作系統(tǒng)的角度考慮系統(tǒng)安全措施，防止不法分 子利用操作系統(tǒng)的一些 BUG、后門取得對(duì)系統(tǒng)的非法操作權(quán)限。系統(tǒng)級(jí)安全管 理的主要內(nèi)容包括：文檔來(lái)源為：從網(wǎng)絡(luò)收集整理,word版本可編輯.歡迎下載支持1.配置操作系統(tǒng)，使其達(dá)到盡可能高的安全級(jí)別；2,及時(shí)檢測(cè)、發(fā)現(xiàn)操作系統(tǒng)存在的安全漏洞；3.對(duì)發(fā)現(xiàn)的操作系統(tǒng)安全漏洞做出及時(shí)、正確的處理。D）企業(yè)級(jí)安全 主要包括以下兩個(gè)方面的內(nèi)容：1.內(nèi)部安全管理。因?yàn)閺慕y(tǒng)計(jì)數(shù)字來(lái)看,70%以上的網(wǎng)絡(luò)攻擊行為是來(lái)自 企業(yè)內(nèi)部的。2,計(jì)算機(jī)病毒防范。歷年來(lái)，全世界各地因?yàn)椴《救肭炙斐傻膿p失均怵 目驚心、數(shù)不勝數(shù)。尤其現(xiàn)在病毒通過(guò)網(wǎng)絡(luò)廣泛傳播， 影響面極大，造 成危害也極大，其對(duì)系統(tǒng)和數(shù)據(jù)的破壞性是原來(lái)單機(jī)系統(tǒng)時(shí)所不能比擬 的。另一方面，現(xiàn)在有很多黑客程序，如Back Orfice、NETSPY等，在傳播其“探測(cè)器”程序時(shí)采取的都是類似病毒的機(jī)制。五、系統(tǒng)功能隨著現(xiàn)代計(jì)算機(jī)應(yīng)用的高速發(fā)展，特別是諸如圖形、音頻、視頻等多媒體信 息和技術(shù)在管理信息系統(tǒng)、科研設(shè)計(jì)等領(lǐng)域的廣泛應(yīng)用，為網(wǎng)絡(luò)平臺(tái)的建設(shè)提出 了更高的要求。