大楼网络系统设计方案Word格式文档下载.doc
《大楼网络系统设计方案Word格式文档下载.doc》由会员分享,可在线阅读,更多相关《大楼网络系统设计方案Word格式文档下载.doc(35页珍藏版)》请在冰豆网上搜索。
2.4广域网接入方式 8
第3章本方案系统设计 9
3.1网络拓扑结构图 10
3.2系统结构和特点介绍 10
3.2.1网络主干选型 10
3.2.2内网结构选型 11
3.2.3本系统的可扩展性 11
3.2.4方案特点:
11
第4章主要产品简介 12
4.1第3层交换机 12
4.2二级交换机 14
4.3接入设备 26
4.4防火墙 30
4.5服务器 31
4.5.1IBMSystemx3650M27947I01其具体特点如下:
32
4.5.2惠普ProliantML150G6(AU659A)其具体特点如下:
33
第5章设备清单 34
第1章需求分析
1.1用户组网需求
大楼网络方案设计:
一栋大楼有四层楼,其中第一层133个信息点,第二、四层231个信息点,第三层179个信息点。
全楼要建设一个计算机网络,网络设计指标如下:
(1)每个信息点要求10M/100M自适应,交换到桌面;
(2)主干交换机要求速度为1000M;
(3)能控制网络分段及VLAN的灵活划分;
(4)具有网管特性;
(5)可连入Internet;
(6)可接收零散客户拨号入网。
1.2方案设计原则
设计应立足于先进且成熟的主流技术和产品,在技术开放和高度集成的基础上,进行高层次的应用开发。
在保证高度安全可靠的前提下,做到系统容易使用、可维护性高和可扩展性强。
“技术先进、安全可靠、处理高效、灵活通用”是系统设计的总原则。
具体如下:
1)实用性原则
确保系统具有良好的系统性能、友好的用户界面、较高的处理效率,便于掌握、使用和维护,并采用成熟的技术。
2)先进性原则
采用先进而且成熟的计算机软件技术,使系统具有较高的技术水平和较长的生命周期。
3)安全可靠原则
系统采用基于主机安全、网络安全、数据安全、应用安全等一整套安全解决策略。
系统要有强大的安全保障能力、纠错功能和自动恢复能力。
必须对整个操作系统和数据有计划进行在线备份,在遭到以外破坏时,能有效恢复。
4)可伸缩性原则
系统应当既能处理低负荷,也能处理大容量的操作;
用户只需定义业务逻辑,无需更改程序就能增删功能;
所有界面均可定制,满足用户对界面的个性化要求。
5)标准使用原则
制定编码和接口标准时,依此遵循国际标准、国家标准、行业标准或行业惯例。
6)可扩展性原则
采用模块化、组件化设计原则,满足各项业务拓展需要,保证业务需求更改的适应性。
在进行软件的设计时,应当充分考虑到系统业务特点和政策变化因素,保证具有较强的并发处理能力及开放性、灵活性、可重构性、可扩展性和可维护性。
7)兼容性原则
对于所选软件、硬件系统及平台,一方面能很好地适应开发和使用的需要;
另一方面,能很好地适应将来软硬件和系统的升级以及系统扩展的需要。
8)操作简捷原则
友好的人机界面,统一的页面风格,操作简单快捷。
1.3硬件和结构要求
与Internet网络连接网络部分需要内外网隔离防火墙、WEB网站互联网隔离防火墙,各信息点之间的通信需要二层交换机,各信息点之间的VLAN划分需要三层交换机,中心业务主机及存储、文件通讯、Email服务器、WEB服务器和数据库服务器,其它办公辅助设备:
网管PC,笔记本电脑,扫描仪,复印机,数码摄像机,网管工具,打印机等。
1.4软件要求
1.4.1网络操作系统和数据库系统的安全性
信息系统的安全涉及到技术与管理、网络与应用等诸多问题,其中网络操作系统和数据库系统的安全是整个安全系统的基础。
一.网络操作系统安全措施
1)及时安装补丁程序
网络操作系统开发商提供的最新的补丁程序,不但完善了系统功能,还增强了操作系统安全性,如WindowsServer2003的ServicePack1。
2)开启审计功能
有的网络操作系统提供了审计功能,可以对关键用户、关键数据文件进行审计稽核。
由于审计记录可以由唯一的专门的用户账户进行管理,因此,可以由一个人掌管管理员账户,另外一个人掌管审计。
通过对每个内部工作人员分配独自的账户,可以清楚地记录其操作日志。
3)运行的安全管理
运行的安全管理主要包括用户、口令、权限、登录限制和访问审计等内容。
用户权限的设置必须遵循最小化原则,用户组的权限必须是组成员的最小权限,登录限制必须包括站点限制、登录时间限制和最大连接数,减低非法用户入侵的可能性。
二.数据库系统的安全
1)数据库系统的安全性要求
数据库的完整性;
元素的完整性;
可审计性;
访问控制;
用户认证;
可获性等。
2)数据库系统的基本安全架构
用户分类。
一般将权限分为三类:
数据库登录权限类、资源管理权限类和数据库管理员权限类。
数据分类。
建立视图。
审计功能。
监视各用户对数据库施加的动作。
有两种方式的审计,即用户审计和系统审计。
数据库系统的安全主要通过数据库软件(如:
Oracle,SyBase,SQLServer)进行设置。
三.网络防病毒
随着网络时代日新月异的发展,计算机病毒的传播方式也由传统的介质(软盘、光盘等)传播发展成为主要依靠网络途径,面对计算机病毒的这种发展趋势,如何建立一套真正有效的网络防病毒体系是网络环境下反病毒关键。
本系统采用了网络版防病毒软件。
网络版防病毒软件可以提高网络管理员的工作效率,可以实现全网远程安装杀毒软件、全网统一升级、全网统一扫描的功能,而且可以生成全面细致的反病毒报告,让网管员可以快速了解网内的病毒攻防情况,从而调整自己的网络防病毒策略。
第2章本方案主要网络技术介绍
2.1交换技术
传统的局域网交换机是一种二层网络设备,它在操作过程中不断收集信息去建立起它本身的一个MAC地址表。
这个表相当简单,基本上说明了某个MAC地址是在哪个端口上被发现的。
这样当交换机收到一个以太网包时,它便会查看一下该以太网包的目的MAC地址,核对一下自己的地址表以确认该从哪个端口把包发出去。
但当交换机收到一个不认识的包时,也就是说如果目的MAC地址不在MAC地址表中,交换机便会把该包“扩散”出去,即从所有端口发出去,就如同交换机收到一个广播包一样,这就暴露出传统局域网交换机的弱点:
不能有效的解决广播、异种网络互连、安全性控制等问题。
因此,产生了交换机上的VLAN(虚拟局域网)技术。
2.2VLAN技术
VLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。
一个VLAN可以在一个交换机或者跨交换机实现。
VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。
基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。
传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽;
而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。
VLAN相当于OSI参考模型的第二层的广播域,能够将广播风暴控制在一个VLAN内部,划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。
不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。
网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。
另外,VLAN具有灵活性和可扩张性等特点,方便于网络维护和管理,这两个特点正是现代局域网设计必须实现的两个基本目标,在局域网中有效利用虚拟局域网技术能够提高网络运行效率。
2.3第3层交换
传统的交换技术是在OSI网络标准模型中的第二层――数据链路层进行操作的,而三层交换技术在网络模型中的第三层实现了分组的高速转发。
简单的说,三层交换技术就是“二层交换技术+三层转发”。
三层交换技术的出现,解决了局域网中网段划分之后网段中的子网必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。
具有路由功能的第3层交换技术
第3层交换技术是1997年前后才开始出现的一种交换技术,最初是为了解决广播域的问题。
经过多年发展,第3层交换技术已经成为构建多业务融合网络的主要力量。
在大规模局域网中,为了减小广播风暴的危害,必须把大型局域网按功能或地域等因素划分成多个小局域网,这样必然导致不同子网间的大量互访,而单纯使用第2层交换技术,却无法实现子网间的互访。
为了从技术上解决这个问题,网络厂商利用第3层交换技术开发了3层交换机,也叫做路由交换机,它是传统交换机与路由器的智能结合。
简单地说,可以处理网络第3层数据转发的交换技术就是第3层交换技术。
从硬件上看,在第3层交换机中,与路由器有关的第3层路由硬件模块,也插接在高速背板/总线上。
这种方式使得路由模块可以与需要路由的其它模块间,高速交换数据,从而突破了传统的外接路由器接口速率的限制。
3层交换机是为IP设计的,接口类型简单,拥有很强的3层包处理能力,价格又比相同速率的路由器低得多,非常适用于大规模局域网络。
第3层交换技术到今天已经相当成熟,同时,3层交换机也从来没有停止过发展。
第3层交换技术及3层交换设备的发展,必将在更深层次上推动整个社会的信息化变革,并在整个网络中获得越来越重要的地位。
2.4广域网接入方式
目前较常使用的广域网接入方式有:
DDN(DigitalDataNetwork),帧中继,ISDN。
本方案的广域网接入方式选用通过网关路由器接入帧中继网。
帧中继(FrameRelay)是在分组交换网的基础上,结合数字专线技术而产生的数据业务网络。
在某种程度上它可被认为是一种“快速分组交换网”。
它是当前数据通信中一项重要的业务网络技术。
用户的LAN一般通过网关路由器接入帧中继网;
若路由器不具有标准的帧中继UNI接口规程,则在路由器和帧中继网间还需增加帧中继拆/装设备(FRAD)。
其主要优势表现为:
同分组交换网相比,它简化了相关协议,提高了传输速度。
它只完成OSI七层协议中物理层和数据链路层的功能,而将流量控制、纠错等功能留给智
能终端完成。
故其数据链路层协议(LAPD协议)在可靠的基础上相对简化,从而减小了
传输时延,提高了传输速度(速率范围一般亦为9.6Kbps~2.048Mbps)。
另外,它所采
用的LAPD链路层协议,能够顺利承载IP、IPX、SNA等常用协议。
它采用了PVC技术。
帧中继网络可提供的基本业务有两种,即PVC(PermanentVirtualCircuit)和SVC(SwitchedVirtualCircuit),但目前的帧中继网络只提供PVC业务。
所谓PVC是指在网管定义完成后,通信双方的电路在用户看来是永久连接的,但实际上只有在用户准备发送数据时网络才真正把传输带宽分配给用户。
采用了统计复用技术。
它使得帧中继的每一条线路和网络端口都可由多个终端用户按信息流(即PVC)实现共享,即能在单一物理连接上提供多个逻辑连接。
显然,它大大地提高了网络资源的利用率。
用户费用相对经济。
由于网络的信息流基于数据包,采用了
升级会员 