飞机场网络规划与设计 文档在线提供.docx
《飞机场网络规划与设计 文档在线提供.docx》由会员分享,可在线阅读,更多相关《飞机场网络规划与设计 文档在线提供.docx(20页珍藏版)》请在冰豆网上搜索。
飞机场网络规划与设计文档在线提供
课程设计报告
课程设计名称:
机场网络规划与设计
系:
三系
学生姓名:
周崛起
班级:
计算机(3)班
学号:
20090805322
成绩:
指导教师:
沈洋
开课时间:
2011学年2学期
目录
一、需求分析
二、系统总体设计
1、网络的体系结构
2、设备选型
3、网络管理
三、网络规划的原则要求
3.1可靠性和稳定性
3.2可管理性
3.3超前性
3.4网络的拓展性
3.5网络的开放性
3.6网络的灵活性
3.7遵从INTERNET的技术要求
四、网络建设的实施步骤
4.1服务器系统的规划
4.2内部网和直属单位的连接
4.3提供INTERNET用户访问
4.4IP的规划
4.5网络安全的实现
五、安全技术
5.1系统安全
5.2网络安全
5.3信息安全
5.4如何实现防火墙
六、总结
参考资料
一.需求分析
计算机网络的迅速发展和普及,改变了整个信息管理的面貌,使信息管理从以单个计算机为中心发展到以网络为中心,并为计算机技术在工业、商业、教学、科研、管理等领域中的应用提供了一个全新的网络通信环境,也从根本上加强并促进了群体工作成员之间的信息交流、资源共享、科学计算、技术合作及有效管理等,进而推动了生产、管理、科研及教学事业的发展。
企业的生产、经营环境的改善,必须以现代化的集成生产管理系统和高度自动化的信息技术为依托,将企业的各个生产部门构成一个有机的整体,而不是自动化程度很高的“孤岛”的简单叠加。
目前,信息化程度已成为衡量一个国家、一个地区、一个单位综合实力的重要标志。
党中央和国务院对我国信息化工作非常重视,信息化建设已作为一项重要工作领导小组,并指出了“统筹规划、联合建设、统一标准、专项结合”的十六字指导方针。
随着信息化建设的不断深入发展,原有人工管理方式已不能适应现代管理需要。
从目前来讲,主要需求分为如下几个方面:
1、网络系统中心在机场计算机信息管理中心。
2、整个网络采用先进的网络结构,以满足传输、存储和处理数据、等信息的需要。
3、各应用单位通过XX机场计算机信息中心和INTERNET接通。
4、满足网上的集成办公系统和电子商务业务系统的需求。
5、完整统一的系统管理平台。
本系统的需求特点
根据用户的需求及应用的特点,我们认为本网络系统具有如下特点:
★网络规模较大
本地网络上的用户多个,将来会进一步发展。
因此,网络的设计要留下充分的发展余地。
比如,服务器及工作站的网络传输速度要能够适应业务不断增长的需要,网络能够支持将来电视会议及多媒体等新业务以适应新应用的需求。
★先进性
XX机场网络系统利用当今计算机与通讯科学技术的先进成果,在一个高起点基础上发展,保障系统具有较长的生命周期,使XX机场网络系统不会落后于技术的发展,同时也不会造成资源浪费。
不然,会极大地影响系统的进一步开拓。
★性能要求较高
为了满足各种工作站的应用的要求,服务器的网络接口应该有比较高的吞吐能力。
服务器的网络传输速率要在100Mbps以上;工作站的网络传输速率也应该满足一定的要求。
而且,随着业务的开展,对网络传输速率的要求会不断提高。
因此,要求网络设备应具有比较高的容量,满足系统发展的需要。
而且,采用的网络技术应该提供多种速率的连接接口,满足系统对服务器带宽的要求。
★高可靠性
网络的可靠性要求高,采用容错技术或设备级的备份保证网络系统的正常工作。
★扩展性
未来网络上许多用户对网络带宽有更高的要求,如网络上的电子商务系统的应用,都使这些用户对网络的带宽有特殊的要,所以网络要求提供这方面的扩展功能。
二、系统总体设计
1、网络的体系结构
基于以上的设计原则,我们提出网络的建设采用分布式的体系结构。
网络的大体结构可分为以下二级网络结构形式,即:
中速网—快速交换Ethernet。
通过一级交换机(CISCOCATALYST5000),可以使用100Base-FL或100Base-Tx,连接到各楼层的二级以太网交换机,到用户桌面端口的速率为10Mbps,足以满足业务应用的需求。
低速网—广域网(WAN)。
在XX机场网络信息系统中,随时通过广域网直接与Internet等国内外信息高速公路接轨
快速以太网技术
传统10Mbps以太网的设计中数据传输速率受距离的制约,也就是给定的传输速率只能维持在一个给定的范围之内。
发送的速率越大,数据传送的有效距离也就越短,相反发送的速率越低,数据传送的有效距离也就越大。
因此有一种改进的方案就是可以把覆盖几公里的10Mbps的以太网的传输距离局限在几百米范围内,而传送速率提高到100Mbps,实现高速传输。
这样就相应的出现了一种高速网络解决方案─快速以太网,目前快速以太网基本包括100Base-TX与100Base-FL两种技术形式,100Mbps快速以太网与10Mbps以太网的最初定义尽可能保持一致,并遵从传统CSMA/CD的访问控制协议,100Base-TX采用2对UTP—5双绞线,或4对UTP—3双绞线,而100Base-FL采用多模光纤作为传输介质,网络拓扑与10M以太网完全相同。
目前,有许多种不同的100Base-X建议,其中有些建议借用了最初为FDDI开发的传输技术,以减少与这种技术相关的芯片开发。
快速以太网在介质访问方法的简化方面,和在建立服务器与联网交换设备(例如:
路由器或专用以太网交换机)之间的点到点链路通讯方面较其他网络技术更具吸引力。
快速以太网开发的主要技术障碍是CSMA/CD协议冲突检测部分,而全双工以太网则是在原有双绞线传输系统的基础上,在传输和接受方向上各自使用一对双绞线,给以太网站点提供了各自独立的传输和接受通道,这样可以极大避免网络冲突的产生提高网络带宽的利用率,也给快速以太网的发展扫清了障碍。
采用快速以太网的优势是:
*技术已经十分成熟
*目前现有网络拓扑无需改变
*目前网络协议不需更改
*价格较低
*提供多媒体服务,容易向ATM、千兆以太网升级
这也是目前应用最广泛的、产品最成熟的高速网络技术,造价较低。
因此,我们采用以太网技术作为XX机场网络信息系统的主干网络建设,利用其技术成熟,易扩展、维护的特点,同时也满足了系统应用的要求。
XX机场网络配置拓扑图如下:
2设备选型
2.1路由器选型
网络线路采用DDN,满足了系统对实时性、多媒体服务的要求;每个接入端口采用以太网技术,充分利用了以太网技术灵活、快捷的特点,构建系统桌面平台。
根据的路由器选型原则,我们决定选用以下网络设备。
我们选用了二台CISCO公司的ROUTER2610作为系统的主路由器,连接到XX机场小学和XX机场机场中学。
2.2其它网络产品选型
集线器(HUB):
CATALYST2924
传输线:
AT&T5类UTP双绞线、垲装8芯多模光纤
3、网络管理
XX机场网络信息系统是一个设计机构,为了优化网络传输,充分发挥网络设备性能,对系统进行统一管理,我们选用了CISCO公司的功能强大的网络管理软件CiscoWorksWindows5.0,它具有完善的SNMP管理能力。
包括设置、性能和容错管理功能。
Cisco通过重点开发基于Internet的体系结构的优势,提供更大的可访问性以及简化网络管理工具、任务和进程,正在改变传统的网络管理。
Cisco的网络管理策略-AssuredNetworkServices引导着网络管理从传统应用程序转向具备下列特征的基于Web的模型:
基于标准
简化工具、任务和进程
与NMS平台和一般管理产品的Web级集成
能够为管理路由器、交换机和访问服务器提供端到端解决方案
通过将发现的设备知识与CCO和第三方应用知识集成,创建一个管理内部网
CiscoWorksWindows是一个适合中小企业网络的全面网络管理解决方案。
该经济有效而又易于学习的产品为管理基于Cisco的交换机、路由器、集线器和访问服务器网络提供一系列强大的监控和配置工具。
通过使用Ipswitch的WhatsUpGold,您还可以监控打印机、工作站、服务器和重要的网络服务。
CiscoWorksWindows5.0含有下列组件:
CiscoView5.0版-提供Cisco设备的图形后视图和前视图;动态的色标图形显示简化了设备状态监控;特定设备的组件诊断、设备配置和应用发布。
Ipswitch公司的WhatsUpGold4.05版-提供网络发现、映象、监控和报警跟踪。
阈值管理器-增强了在CiscoRMON启动的设备上设定阈值的能力,降低了管理开销,改进了故障诊断功能。
StackMaker-允许用户将特定类型的多个Cisco设备结合在单个堆叠中,并在单个窗口中可视地管理它们。
显示命令-显示详细的路由器系统和协议信息,而无需用户记住复杂的CiscoIOS命令行语言和语法。
三、网络规划的原则要求
1、设计原则
计算机网络平台是计算机应用的基础。
建立一套安全可靠、先进稳定的网络系统,可以保证各种应用系统的正常进行以及机场内部各种大型设计的运作。
而且,通过Internet的连接功能,用户可以访问其它机场以及Internet等,或者在外地通过电话线进行远程办公,提供了全新的办公模式。
通过信息交换和新闻浏览等加强各办公处室之间的联系和协作,提高办公效率。
可以在网上快速查寻到机场和社会发展的各种信息资料以及全国各地的各类信息。
我们在设计机场网络信息系统时,应着重考虑以下原则:
3.1可靠性和稳定性
XX机场网络信息系统对于保证设计院内部的管理工作以及为各部门开展业务工作、进行高效、准确的办公决策提供信息服务具有重大的意义。
从而,精确、不间断的数据传输与存储变得十分重要,既追求极高的可靠性又不能投入过大的资金,系统应具有一定的容错能力,主要表现在以下几个方面:
*局域网主干网络设备(如:
交换机及系统主服务器)应配置不间断电源(UPS),如资金允许的情况下可作主干设备的备份,即将所有计算机节点分别连接在不同的局域网主干设备上,主干设备之间采用高速连接,这样即可以提高网络的处理能力又可起到备份作用。
通过以上分析,在XX机场网络信息系统的网络设计中,如果充分考虑了所选用服务器及网络设备产品的性能、稳定性、服务器及数据的备份、局域网主干设备及连接线路的备份等几个方面的因素,则可以将XX机场网络信息系统的网络建成一个极为稳定可靠的系统,保证应用系统良好、稳定的运行状态。
3.2可管理性
XX机场信息系统的网络具有面积大,网点多等特点,因此需要对网络活动进行控制和管理。
网络管理员能够在不改变系统运行的情况下对网络进行调整,不管网络设备的物理位置在何处,网络都应该是可以控制的。
计算机网络系统的管理功能一般包括五部分内容:
失效管理
计算机网络系统的失效管理是最基本的网络管理功能,它负责检测网络中的各种故障,主要包括网络结点和通信线路两种故障。
在大型计算机系统中,发现失效故障时,往往不能具体确定故障所在的具体位置。
有时候,所发现的故障是随机性的,需要经过很长时间的跟踪和分析,才能找到其产生的原因。
这就需要有一个故障管理系统科学地管理网络所发现的所有故障,具体记录每一个故障的产生,跟踪分析,以至最后确定并改正故障的全过程。
因此,失效管理包括以下内容:
A发现问题
B隔离问题
C解决问题
使用失效管理技术可以更快、更容易地发现并解决网络故障。
根据XX机场网络信息系统的网络分布特点,应用失效性管理对于及时准确的发现故障所在是非常必要的。
配置管理
一个计算机网络系统是由多种多样的设备连接而成,这些设备组成网络的各种物理结构和逻辑结构,这些结构中的设备有许多参数、状态和名字等至关重要的信息。
另外,上述网络设备及其互连和互操作的信息可能是经常变化的,这就需要有一个全网的设备配置管理系统,统一科学地管理上述信息,以便利用这些信息使网络更有效地工作。
性能管理
一个计算机系统运行的性能如何,对于系统设计者来说是首先要考虑的问题。
但是,由于网络规模的庞大和影响网络性能的不定因素太多。
一般很难一下子设计出运行性能很好的大型网络。
提高网络性能的一般方法是,先初步地设计并建设网络,在网络的运行过程中,对网络性能进行静态和动态统计分析,根据分析结果,对网络配置和参数进行调查,逐步达到最佳。
如果需要要做出调整较大时,就考虑扩充或重建网络。
性能管理在于对网络硬件、软件及介质的性能测量。
主要指标包括整体的吞吐量、使用率、误码率和响应时间等。
利用这些性能数据,管理人员就可分析网络瓶颈,调整网络带宽。
记帐管理
记帐管理记录每个用户及每群用户对网络资源的使用情况,使管理人员能及时调整资源分配,保证每个用户的服务质量;同时也禁止或许可某些用户对特定资源的访问。
安全管理
安全管理是对网络信息访问权限的控制过程,由于网络上存在着敏感数据,为禁止非授权用户对它的访问,就要对网络上的用户进行一些访问权限的设置,同时也要尽可能发现某些“黑客”,阻止对网络资源的非法访问及尝试。
市政设计院网络信息系统在建成以后,将通过Internet与国内外同行进行交流等,因此,保证内部保密信息的安全是网络管理的重要部分。
安全管理的功能涉及一个计算机系统的安全管理政策,根据这一政策设计和实现的网络安全管理系统,可以管理网络结构的不同层次,从基本网络访问功能到网络应用系统功能。
3.3超前性
超前性和先进性是每一个计算机网络系统建设期望达到的目标,但是随着计算机及网络技术的发展,先进的、新的网络技术面临着技术和产品上不十分成熟的问题,而原有的成熟的网络技术和产品又势必被新的技术所取代,是采用原有的成熟的网络技术而承担投资保护的风险,还是直接采用最新的技术而冒着产品不成熟、标准不统一的风险是网络设计人员一直所争论的焦点;所谓网络设计的超前性则是将网络系统看成一个系统工程,不但要设计到它的产生还要设计它的发展和未来,将着眼点放在目前的应用系统及现有的技术并考虑以最小的代价来适应网络技术的不断的发展,使现有系统能够与业务需求同步增长,在系统规模在急骤扩张中亦不需要重新进行系统规划与设计。
3.4网络的拓展性
随着Internet的不断发展及网上应用的不断扩展,系统应可以随时增加网络设备或模板来扩展整个网络,例如在局域网中增加交换机设备与原有设备形成容错连接扩展网络性能;另外由于所选所有网络产品应都能够支持从低到高多种通讯协议,用户可以不增加任何投资,通过选择通讯协议和通信速率来提高网络传输速度,降低系统运行费用。
另外,在用户端应选用可堆叠或模块化产品具有很好的开放性,可以十分方便的扩充网络的容量。
3.5网络的开放性
支持多种通讯协议
所选择的网络设备应支持多种网络协议,局域网应具备向未来网络技术顺利过渡连接的途径,在广域网上应具备不增加任何投资实现X.25、DDN、FrameRelay、ISDN、E1等通讯协议的转换和提升。
支持多种传输介质
XX机场网络信息系统是一个多协议、多介质的网络,一些部门原来已有自己的网络。
本网络建成之后应能将旧网络接入,所以需支持如非屏蔽双绞线(UTP)、光纤等多种传输介质.
支持多种主机互连
由于系统互连全部采用国际标准的网络层通讯协议TCP/IP,所以具有很好的开放性,因为所有的主机系统生产厂商都努力使自己的产品遵循TCP/IP标准,所以可以很方便的实现多种主机的互连。
3.6网络的灵活性
作为XX机场网络信息系统的应用环境,系统的灵活性主要表现在软件配置与负载平衡等方面,配合交换机产品与路由器产品支持的最先进的虚拟网络技术,整个网络系统可以通过软件快速简便地将用户或用户组从一个网络转移到另一个网络,可以跨越办公室、办公楼甚至城市,而无需任何硬件的改变,以适应机构的变化。
同时也可以通过用户及用户组的改变来平衡网络的流量,以提高网络的性能。
XX机场本系统中选择的等交换机配合网络管理软件,系统管理员可以方便灵活地配置管理网络。
3.7遵从INTERNET的技术要求
随着Internet应用的不断普及,越来越多的信息交流是在Internet上实现,XX机场也将与国际Internet相连,实现同国内外同行的信息交流,并为用户提供远程服务,因此,在设计上除遵从前面的原则,还应考虑以下两个方面:
开放性、标准化。
开放性
Internet的基本特点是其开放性,为此所选设备必须支持TCP/IP标准,与符合标准的设备之间具有良好的互操作性,并根据上级节点的统一规划形成一个遵循统一标准的完全开放系统。
标准化
在统一网络通信协议的前提下,应尽量选用Internet上最通用的设备,以便于开展网络软件应用,同时应选择常用设备型号,减少不必要的不同型号产品,以便于操作和维护。
四、网络建设的实施步骤
4.1服务器系统的规划
XX机场原先WWW服务器和PROXY服务器是在同一台物理服务器上,现将WWW服务器和PROXY服务器分开,用HPNETSERVERLH6000做WWW服务器,原PROXY服务器保持不变。
规划后有WWW服务器、PROXY服务器、EMAIL服务器、数据库服务器、托管服务器五台独立的服务器,分别连接到XX机场计算机信息中心的中心交换机上。
4.2内部网和直属单位的连接
通过CISCO路由器与直属单位进行信息交流,把内部网与直属单位的内部网络(LAN)连接起来。
分别通过一台CISCO路由器2610走DDN把XX机场中学、XX机场小学连接到XX机场计算机信息中心
4.3提供Internet用户访问
使用DDN专线把XX机场小学、XX机场中学连接到XX机场计算机信息中心,XX机场小学、XX机场中学通过XX机场计算机信息中心的PROXY服务器接入Internet,XX机场小学、XX机场中学主要用户还可以查询市机场计算机信息中心主页信息及电子商务等在内的主页内容。
4.4IP的规划
1.使用一个内部的A类地址:
10.0.0.0;使用相同的自然掩码255.0.0.0内部用户用DHCP进行IP分配。
DHCP:
10.1.1.20—10.1.1.254
2.机场小学的IP分配:
10.1.2.0---10.1.2.255使用相同的自然掩码255.0.0.0
3.机场中学的IP分配:
10.1.3.0---10.1.3.255使用相同的自然掩码255.0.0.0
4.通过PIX将映射内部邮件服务器、WEB服务器成Internet地址;
主机名
IP地址
子网掩码
备注
DHCP服务器
数据库服务器
信息中心ROUTER
202.103.130.64
255.255.255.0
WWW服务器
202.103.130.66
255.255.255.0
托管服务器
202.103.130.67/68
255.255.255.0
MAIL服务器
202.103.130.70
255.255.255.0
机场小学ROUTER
10.1.2.1
255.0.0.0
机场小学终端
10.1.2.2/255
255.0.0.0
机场中学ROUTER
10.1.3.1
255.0.0.0
机场中学终端
10.1.3.2/255
255.0.0.0
4.5网络安全的实现
连接Internet采用PIX作为防火墙,通过PIX的安全设置可使黑客无所作为,以保证内部网络不受Internet用户的攻击;
内部网络之间的安全性,机场与各直属单位之间通过路由器连接,限制一些应用端口,过滤一些来自直属单位的广播包及IP包,保证机场网络不受直属单位网络的影响;
内部用户通过Proxy代理访问Internet,可对IP用户使用管理,时间进行控制,以达到Internet 访问的整体控制效果。
五、安全技术
由于XX机场连入Internet,为用户提供各种信息服务。
资源共享和开放是Internet特点,所以Internet的安全机制很松散;而XX机场网络信息系统要求有较高的安全性,其内部的许多数据和文件严禁XX的访问。
因此,设计与开发保证内部各种信息的安全机制是实现该网络顺利运行的关键。
Internet上的安全技术可分为三部分:
系统安全、信息安全和网络安全。
5.1系统安全
系统安全保证一个主机系统的安全,主要包括主机系统的密码安全、重要服务器如SendMail、FTP和数据库等大型应用系统的安全。
本建议在主机系统和数据库系统的选型上,已经充分考虑了系统的安全性。
另外,Internet上提供了很多实用的工具来加强系统的安全,比如Crack程序,它本是一个系统密码的破译工具,但可利用它来寻找系统上较脆弱的密码;npasswd是一个经过完善的系统工具,使用它可增加用户密码破译的难度。
系统越复杂,其缺点和漏洞就会越多,比如著名的蠕虫病毒就利用了系统Sendmail程序的漏洞,为了加固大型应用系统的安全,Internet上有很多专用的站点来发布这些系统的安全漏洞及bug,从而改进安全措施。
系统安全性包括两方面的内容:
系统运行安全性和数据信息安全性。
其中,系统运行安全性主要指计算机、网络设备的可靠性与稳定性。
设备可靠性
在XX机场网络信息系统的建设中,我们分别采用了CISCO和HP公司的产品作为系统的网络设备和应用服务器。
所选用的设备都是两家公司的高可靠性产品之一,所有部件支持热插拔功能,可以通过在线维修和硬软件现场升级而不影响系统的正常运行。
为了发挥网络设备的最大性能,对整个系统进行有效的监控和管理,我们选用了CISCO公司强大的网络管理软件CISCOWORKSWINDOWS,它具有发现并排除故障的功能,这也保证了系统的正常运行。
数据信息安全性主要涉及一个计算机系统的安全管理政策,根据这一政策设计和实现的网络安全管理系统,可以管理网络结构的不同层次,从基本网络访问功能到网络应用系统功能。
在XX机场网络信息系统中,我们采用了六级安全机制:
路由器级(包过滤)、硬件防火墙级、网管级、操作系统级、数据库级、应用级,涵盖了从物理层到应用层的所有范围。
路由器级第一道防火墙采用Cisco2610路由器实现包过滤,完成系统的访问控制功能,屏蔽掉关键服务器的MAC地址,禁止外部对内部某些重要主机的访问,同时禁止内部对外部某些站点或网络的访问。
防火墙级系统采用Cisco公司的最新的防火墙产品PIX520,它是一种硬件解决方案。
主要优点在于,比其它防火墙方式更安全有效,而且,更好的支持多媒体信息的传输,使用与管理更方便。
PIX具有双以太网口(内部网与DMZ各一个);可组成虚拟专用网并加密;在防止非法侵入的同时还可有效的限制内部对外的访问。
网管级利用CISCO公司CISCOWORKSWINDOWS的网管功能,划分VLAN。
可以将不同处室的终端分配到不同的网段上,在优化网络流量的同时,也限制了用户对其它网段的访问。
操作系统级我们选用WindowsNT作为服务器操作系统,它采用了增强的安全措施,通过登陆认证、用户授权、信息加密等安全机制限制了用户对关键数据的非法操作。
数据库级(ORACLE)ORACLE支持维护管理数据库服务器、各种数据库设备,对象(包括表),用户及拥有的权限等,建立具有不同访问权限的多种类型的用户组,并能对用户进行分组授权。
ORACLE完全满足NCSC的C2级安全标准,并早已通过相应
升级会员 