計算機網(wǎng)絡系統(tǒng)設計方案

經(jīng)典word整理文檔，僅參考，雙擊此處可刪除頁眉頁腳。本資料屬于網(wǎng)絡整理，如有侵權，請聯(lián)系刪除，謝謝！絡系統(tǒng)本方案將涉及以下范圍：系統(tǒng)需求概述網(wǎng)絡設計原則網(wǎng)絡系統(tǒng)設計網(wǎng)絡設備選型網(wǎng)絡的安全性系統(tǒng)需求概述隨著網(wǎng)絡技術，信息通信領域的長足發(fā)展，網(wǎng)絡經(jīng)濟，知識經(jīng)濟再不是IT等高科技行業(yè)的專利，企業(yè)正利用其行業(yè)特點，汲取網(wǎng)絡技術精華，努力創(chuàng)造著制造業(yè)的又一個春天。未來是美好的，但現(xiàn)實不可回避。大多數(shù)企業(yè)對電子商務的一般認識是電子商務能幫貿(mào)易公司、批發(fā)配送公司，孰不知電子商務已對傳統(tǒng)的制造業(yè)形成了巨大沖擊。在這種形式下，面對企業(yè)規(guī)模的擴大，新廠區(qū)的啟用，為了加強生產(chǎn)經(jīng)營管理，提高企業(yè)生產(chǎn)水平和管理水平，使之成為領導市場的現(xiàn)代化企業(yè)，并為浙江生迪光電有限公司的長遠發(fā)展提供更好的條件提出了網(wǎng)絡系統(tǒng)建設方案。提出了非常高的要求。作為系統(tǒng)運行的支撐平臺，更是重中之重。計算機網(wǎng)絡系統(tǒng)、網(wǎng)絡整體安全系統(tǒng)以及整個系統(tǒng)集成建設是否成功，變得尤其重要。實施的經(jīng)驗積累，我們認為，本次關于景興限公司計算機網(wǎng)絡核心系統(tǒng)的總體需求可以概括為：1、實現(xiàn)企業(yè)的信息化管理，提高經(jīng)濟管理水平和服務質量，實現(xiàn)企業(yè)的經(jīng)濟效益與社會效益的同步增長。在此基礎上發(fā)展企業(yè)的決策支持輔助信息系統(tǒng)，因此我們計算機網(wǎng)絡核心系統(tǒng)也將緊緊圍繞著這些應用展開。2、建設機房與相應的網(wǎng)絡系統(tǒng)。3、建立比較完備的安全防護體系，實現(xiàn)信息系統(tǒng)的安全保障。4、系統(tǒng)必須保持一定的先進性、可擴展性、高可用性、高穩(wěn)定性、易維護性。網(wǎng)絡設計原則（1）先進性與成熟性相結合在構建系統(tǒng)時絞盡腦汁地在技術的先進性與成熟性之間尋求平衡。先進而不成熟的技術不敢用，而太成熟的技術又意味著過時和淘汰。本方案充分考慮了先進性與成熟性相結合。（2）合理、靈活的體系結構從長遠角度來看，也可以提供很好的投資保護。（3）系統(tǒng)的開放性協(xié)議來實施網(wǎng)絡連接，保證現(xiàn)在和將來與其他系統(tǒng)的可連通性。我們采用工業(yè)標準的硬件設備，以保證獲得大多數(shù)廠商的長期技術支持。（4）系統(tǒng)的高可靠性設計方案不但要保證理論上可行，更重要的是實際上可用,要充分考慮具體情況，充分滿足網(wǎng)絡需求。到最低。（5）一體化的網(wǎng)絡管理隨著網(wǎng)絡規(guī)模的擴大和系統(tǒng)復雜程度的增加，網(wǎng)絡管理和故障排除變得越來越困難,本方案將提供先進而完善的網(wǎng)絡管理工具。（6）系統(tǒng)可擴充性網(wǎng)絡設備的內(nèi)部模塊的擴充方式來實現(xiàn)系統(tǒng)升級，保證原有投資。（7）系統(tǒng)安全性系統(tǒng)安全性包括保障網(wǎng)絡服務的可用性和網(wǎng)絡信息的完整性。（8）系統(tǒng)易維護性意系統(tǒng)的可維護性。（9）充分考慮性價比成方案書和產(chǎn)品選型，本方案充分考慮到這一點。（10）完善的本地支持服務構建一個系統(tǒng)最重要的還要考慮到系統(tǒng)能按時保質地開通，并能保持它的連續(xù)正常地運行。集成商及其設備廠家提供的服務，特別是本地支持服務的及時響應和質量是系統(tǒng)能否成功的關鍵因素之一。我公司為美國網(wǎng)思科Cisco嘉興地區(qū)的認證代理商及本公司完善的服務中心是本方案書履行及系統(tǒng)持續(xù)正常運行的可靠保證。主要技術要求1.采用成熟、先進的計算機和網(wǎng)絡技術；2.統(tǒng)一技術規(guī)范、標準和方案，統(tǒng)—組織實施；3.以標準化為基礎實現(xiàn)系統(tǒng)的開發(fā)性、可擴展性、異構網(wǎng)絡的互聯(lián)能力；4.注意避免網(wǎng)絡設計上出現(xiàn)信息流傳輸?shù)钠款i效應，信息的安全性以保證網(wǎng)絡每天可靠地運行；5.通信和數(shù)據(jù)的安全，建立完善的網(wǎng)絡安全管理機制；6.網(wǎng)絡系統(tǒng)設計網(wǎng)絡設計總體考慮當今網(wǎng)絡的發(fā)展正遠遠超出了單純追求基本連通的歷史階段。我們在網(wǎng)絡連通基礎上QOS高可靠性，Scalability可擴展性等增值服務。在此基礎上，多層次的網(wǎng)絡管理也是網(wǎng)絡成功與否的一個關鍵所在。統(tǒng)計數(shù)據(jù)表明，網(wǎng)絡的建設成本在總成本的三分之一。網(wǎng)絡的運營管理成本都要消耗總成本的三分之二左網(wǎng)絡總體設計在現(xiàn)在的計算機網(wǎng)絡通信應用中，信息流已不再是單純的數(shù)據(jù)，同時還有聲音、圖像和視頻等多媒體信息。系統(tǒng)設計和管理人員的一個很自然的選擇就是盡可能向用戶提供財根據(jù)有限公司的需要，我們推薦景興公司采用100M/1000M以太網(wǎng)，既適用于目前數(shù)據(jù)交換又能滿足于多媒體傳輸,100M/1000M以太網(wǎng)在先進、成熟、實用、升級擴展、開放性與互連方便等方面都具有明顯的特點：1）高可靠性（HighAvailability）2）高性能(HighPerformance)3）高可擴展性(HighScalability)4）高品質的網(wǎng)絡服務質量（QOS）景興公司網(wǎng)絡系統(tǒng)采用集中分布式二層網(wǎng)絡結構，建成主干為1000M光纜連接，100M網(wǎng)線到桌面的新廠區(qū)網(wǎng)絡系統(tǒng)。網(wǎng)絡拓撲及說明辦公樓機房新增核心交換機Cisco4507R1臺配置最新的第六代萬兆引擎2塊保證技術的先進性，同時引擎320G的交換容量保證網(wǎng)絡數(shù)據(jù)的線速轉發(fā)，萬兆接口預留以后萬兆接入，2塊引擎互為冗余；另配置冗余電源；配置48口10/100/1000M電口板1塊提供服務器群、AP及辦公樓內(nèi)重要信息點接入；配置24口SFP光口板2塊通過單模光纖模塊連接各接入交換機；核心交換機共7個插槽，預留2個插槽為將來擴容。辦公樓機房各樓層新增48口或者24口10/100M接入交換機負責本樓層內(nèi)各信息點接入網(wǎng)絡，交換機通過雙路單模光纖模塊捆綁（提供雙向4G速率，保證網(wǎng)路的冗余）接入核心交換機。網(wǎng)絡設備選型景興公司網(wǎng)絡系統(tǒng)中，主干核心交換機是肩負所有設備互連、交換處理的重要設備，并具有可靠性高，交換處理能力強、擴展性能好等特點。一.核心交換機Cisco4507R:景興公司網(wǎng)絡系統(tǒng)中,核心三層交換機采用美國思科Cisco4507R交換機,交換機采用了優(yōu)化的體系架構，可以實現(xiàn)高性能的全線速的第二層和第三層交換，滿足網(wǎng)絡骨干大流量、多應用、高可靠的需求。并提供一流的性能、可管理性和靈活性以及無與倫比的投資保護。二.樓層交換機采用思科二層網(wǎng)管10/100M可以交換機WS-C2918。三.公司網(wǎng)絡IP地址的規(guī)劃與VLAN的劃分如下:A:由于有限公司的數(shù)據(jù)信息點有公司多個,現(xiàn)將IP地址規(guī)劃為C類網(wǎng)段,具體如下:服務器無線來賓可靠性與安全保密性局域網(wǎng)在網(wǎng)絡層中不安全的地方1）不安全的地方黑客就對可以對信息包進行分析，那么本廣播域的信息傳遞都會暴露在黑客面前。2）網(wǎng)絡分段網(wǎng)絡分段是保證安全的一項重要措施，同時也是一項基本措施，其指導思想在于將非法用戶與網(wǎng)絡資源相互隔離，從而達到限制用戶非法訪問的目的。網(wǎng)絡分段可分為物理分段和邏輯分段兩種方式：物理分段通常是指將網(wǎng)絡從物理層和數(shù)據(jù)鏈路層（ISO／OSI模型中的第一層和第二層）上分為若干同段，各同段相互之間無法進行直接通訊。目前，許多交換機都有一定的訪問控制能力，可實現(xiàn)對網(wǎng)絡的物理分段。邏輯分段則是指將整個系統(tǒng)在網(wǎng)絡層（ISO／OSI模型中的第三層）上進行分段。例如，對于TCP／IP網(wǎng)絡，可把網(wǎng)絡分成若干IP子網(wǎng)，各子網(wǎng)間必須通過路由器、路由交換機、網(wǎng)關或防火墻等設備進行連接，利用這些中間設備（含軟件、硬件）的安全機制來控制各子網(wǎng)間的訪問。在實際應用過程中。通常采取物理分段與邏輯分段相結合的方法來實現(xiàn)對網(wǎng)絡系統(tǒng)的安全性控制。3）VLAN的實現(xiàn)將傳統(tǒng)的基于廣播的局域網(wǎng)技術發(fā)展為面向連接的技術。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。以太網(wǎng)從本質上基于廣播機制，但應用了交換器和VLAN技術后，實際上轉變?yōu)辄c到點通訊，除非設置了監(jiān)聽口，信息交換也不會存在監(jiān)聽和插入（改變）問題。由以上運行機制帶來的網(wǎng)絡安全的好處是顯而易見的：＊信息只到達應該到達的地點。因此、防止了大部分基于網(wǎng)絡監(jiān)聽的入侵手段。＊通過虛擬網(wǎng)設置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡節(jié)點不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點。但是，虛擬網(wǎng)技術也帶來了新的安全問題：執(zhí)行虛擬網(wǎng)交換的設備越來越復雜，從而成為被攻擊的對象?；诰W(wǎng)絡廣播原理的入侵監(jiān)控技術在高速交換網(wǎng)絡內(nèi)需要特殊的設置?；贛AC的VLAN不能防止MAC欺騙攻擊。采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基于交換機端口。但這要求整個網(wǎng)絡桌面使用交換端口或每個交換端口所在的網(wǎng)段機器均屬于相同的VLAN。4）VLAN之間的安全劃分原則VLAN分VLAN，可以將總部中的服務器系統(tǒng)單獨劃作一個VLAN，如數(shù)據(jù)庫服務器、電子郵LeaderVLAN，并且控制LVLAN與其他VLANLVLAN查看其他VLANVLAN不能訪問LVLAN的信息。VLAN之內(nèi)的連接采用交換實現(xiàn)，VLAN與VLAN之間采用路由LVLAN與其他VLAN之間的單向信息流動，需要在LVLAN與其他VLAN之間設置一個GauntletVLAN與VLAN之間的信息交流。網(wǎng)絡安全的措施防火墻防火墻并非萬能，但對于網(wǎng)絡安全來說還是必不可少的。它是位于兩個網(wǎng)絡之間的按照系統(tǒng)管理員預先定義好的規(guī)則來控制數(shù)據(jù)包的進出。大部分防火墻都采用了以下三種工作方式中的一種或多種；使用一個過濾器來檢查數(shù)據(jù)包的來源和目的地，根據(jù)管理員的規(guī)定接收或拒絕數(shù)據(jù)包；掃描數(shù)據(jù)包，查找與應用相關的數(shù)據(jù)；在網(wǎng)絡層對數(shù)據(jù)包進行模式檢查，看是否符合已知“友好”數(shù)據(jù)包的位(bit)模式。網(wǎng)絡系統(tǒng)實現(xiàn)的安全管理措施1．為確保網(wǎng)絡系統(tǒng)的安全運行和數(shù)據(jù)可靠共享，局域網(wǎng)系統(tǒng)／網(wǎng)站所實現(xiàn)的安全措施包括：通信對方鑒別參與通信的一方可以檢驗對方的身份，鑒別其真?zhèn)魏驮L問權限?？刹捎谩皢畏借b別”和“互相鑒別”兩種方式；數(shù)據(jù)發(fā)方鑒別在無連接的通信中，接收方鑒別發(fā)送數(shù)據(jù)方身份后方才接收數(shù)據(jù)，以防止欺騙數(shù)據(jù)的侵入；訪問控制只有授權用戶才能進入特定的局域網(wǎng)，使用網(wǎng)絡資源；數(shù)據(jù)保護保證專用數(shù)據(jù)不被無權用戶獲取，這是通過控制訪問或數(shù)據(jù)加密實現(xiàn)的；業(yè)務流分析防護網(wǎng)絡中某些特定的業(yè)務流出現(xiàn)的頻度，長度和信息來源等等，也具有一定的保密意義。本措施即是對特定的業(yè)務信息流進行必要的屏蔽，以避免無權用戶通過分析這些業(yè)務流而獲取有用信息；數(shù)據(jù)完整性保護發(fā)方和收方確認2．數(shù)據(jù)安全措施和保密性數(shù)據(jù)的安全性表現(xiàn)在以下幾個方面：1）防止因硬件故障造成的數(shù)據(jù)破壞我們通過采用優(yōu)質、高性能的設備和采用切實可行的系統(tǒng)容錯技術可以完全保證因硬件故障造成的數(shù)據(jù)破壞。2）保證數(shù)據(jù)不被竊取和破壞建立相應的安全管理機制和在用戶中樹立安全意識，防止泄密事件發(fā)生，以保證數(shù)據(jù)不被竊取。3）防止病毒破壞一方面，要求網(wǎng)上的用戶不要隨意拷貝外來磁盤和下載網(wǎng)上文件，不要隨意使用盜版光盤，防止病毒進入網(wǎng)絡；另一方面使用殺毒軟件對工作站進行病毒清理，在網(wǎng)上安裝防病毒軟件，也是一種防止網(wǎng)上病毒侵蝕的有效途徑。4）防止人為破壞和“黑客”攻擊采用INTERNET防火墻技術，在和INTERNET連接的通道上設立防火墻，屏蔽本系統(tǒng)的IP地址，對出入的數(shù)據(jù)包進行過濾，防止“黑客”通過INTERNET攻擊本系統(tǒng)。同時網(wǎng)絡之間也需進行數(shù)據(jù)包的過濾，防止有人通過系統(tǒng)破壞網(wǎng)絡。保證整個系統(tǒng)的安全。在系統(tǒng)內(nèi)部建立一整套嚴密的帳戶和口令管理機制，可以有效的防止人為破壞。3.硬件設備的安全選擇優(yōu)質的硬件設備是保證系統(tǒng)安全可靠的前提條件即全系統(tǒng)的硬件設備：包括服務器、核心交換機、路由器、PC工作站等等的安全性。硬件設備的安全性主要由設備本身的性能和系統(tǒng)采用容錯技術來保證。最主要的是決定于設備本身的性能，所以我們選擇了世界著名網(wǎng)絡設備生產(chǎn)廠商美國思科Cisco公司的防火墻產(chǎn)品。防火墻采用思科ASA系列自防御ASA5540。C