青海经贸委内部城域网系统10页Word格式文档下载.docx
《青海经贸委内部城域网系统10页Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《青海经贸委内部城域网系统10页Word格式文档下载.docx(9页珍藏版)》请在冰豆网上搜索。
网络结构的可靠性和稳定性
在网络拓扑结构的设计上,力求简洁,作好冗余,符合网络发展的方向。
网络设备的可靠性
网络设备的可靠性取决于设备生产的厂家,注重设备的可靠性应选择著名厂家的产品,Cisco生产的产品可靠性高;
网络系统与应用系统接口的可靠性
选用的网络系统的接口与应用系统接口兼容并可靠。
2.1.3可维护性原则
系统必须易于维护,在系统建设和开发过程中的每个环节,都必须遵循有关国际、国家标准。
2.1.4可扩展性原则
随着数据量的增加和运行节点的扩展,系统对硬件软件的要求会不断提高,系统采用的所有硬件、软件的选型必须考虑可扩展性的要求。
2.1.5开放性和互联性原则
网络要与INTERNET互联,相互共享资源,必须是一个支持多种协议和接口的开放式网络,只有这样才能够实现与现有的和未来的网络系统互联。
系统中每种设备、软件必须具有良好的开放性,所有硬、软件都应遵循业界相关标准,支持开放的标准接口,使整个系统成为一个统一的整体,而不致产生运行上的“孤岛”。
2.1.6系统安全性原则
由于本系统提供面向INTRANET各个方向的信息服务,所以既要向各类用户提供各种方式的信息服务,也要保护系统数据的安全性,整个系统具有良好的安全管理功能,从各个层面和角度都具有相应的安全机制,确保系统安全和信息安全。
2.1.7可管理性原则
在整个局域网络中,联入网络的网络设备、终端设备多、分布广、网络运行情况复杂,网络设备应该具有很好的可管理性,以便于管理和维护。
利用先进的网络管理软件,可以通过网管工作站监测整个网络的运行状况、迅速确定网络故障位置、合理分配网络资源、动态配置网络负载等。
2.1.8系统易用性和友好性原则
提供友好的用户操作界面,具备直观易用的人机界面。
第3章
系统设计方案
根据甲方需求,北京康博金桥技贸有限公司向青海经贸委提出自己的系统设计方案:
根据甲方的需求,我们建议该信息系统的建设应从以下几个方面进行。
1、内部局域网系统的建立:
已有(略)
2、内部广域网系统的建立:
因经贸委与二级单位需要长时间进行互连访问,因此我们建议配置能够连接DDN接口的路由器,通过该路由器不仅能够连接DDN线路,满足所有连接在局域网上的上级单位用户对二级单位以及二级单位对上级单位的访问,还能在需要时通过DDN访问远端的服务器。
乙方推荐路由器可选用Cisco公司的1700/3600系列路由器。
路由器选用Cisco公司的1700/3600系列路由器,配合使用各种接口,可满足各种应用环境。
3、网络管理:
为了实现对网络的管理,乙方推荐选用Cisco公司的网络管理软件CiscoWork2000(已有)。
4、网络安全:
为了保证整个网络系统的安全,乙方推荐选用Cisco公司的网络安全产品,如PIXFIREWALL、CiscoIOS防火墙及其他产品。
5、使用UPS(不间断电源)来保护网络设备的正常工作,可防止断电时数据的丢失及断电对应用系统的破坏(已有)。
3.1、网络平台分析
通过研究网络发展的情况和当今流行的网络选型,局域网中采用10/100/1000M以太网交换机做为网络的主要连接设备,构成标准的交换式以太网。
10/100/1000M交换型以太网为高性能的经济性网络模型,拥有成熟的技术及产品,建造10/100/1000M以太网,不仅节约资金和时间,而且可以与现有的以太网实现无缝连接。
3.2、网络系统安全策略分析
随着Internet的广泛应用,网络安全的重要性愈发显著,近来国内数家网站均遭到了不同程度的攻击,造成了巨大损失,因此网络系统的安全性也成为网络建设中的一个重要的问题。
我们认为在考虑网络安全的过程中,应该考虑以下五方面的问题:
网络是否安全?
操作系统是否安全?
用户是否安全?
应用程序是否安全?
数据是否安全?
下面我们针对每一层的网络安全问题简单的阐述和分析。
3.2.1网络层的安全性
网络层安全性的核心问题是网络能否得到控制,即:
是不是任何一个IP地址的用户都能进入网络。
通过网络通道对网络系统进行访问时,每一个用户都会有一个独立的IP地址,这个IP地址能够大致表明用户的来源地址和来源系统。
目标站点通过对来源IP分析,能够初步判断来自这一IP的数据是否安全,是否会对本网络系统造成危害,以及来自这一IP的用户是否有权使用本网络的数据。
一旦发现某些数据来自不可信任的IP地址,系统便会自动将这些数据阻挡在系统之外。
并且大多数系统能够自动记录那些曾经造成过危害的IP地址,使得它们的数据免于遭受第二次危害。
用于解决网络层安全性问题的产品主要有防火墙产品。
防火墙的主要目的在于判断来源IP,将危害或XX的IP数据拒之于系统之外,而只让安全的IP数据通过。
主要目的在于保证公司内部的关键数据能够安全地借助公共网络进行频繁的交换。
3.2.2系统的安全性
在系统安全性问题中,主要考虑的问题有两个:
一是病毒对于网络的威胁;
二是黑客对网络的破坏和侵入。
病毒的主要传播途径已经由过去的软盘、光盘等存储介质变成了网络,多数病毒不仅能够直接感染网络上的计算机,也能够在网络上对自身进行复制。
电子邮件、文件传输以及网络页面中的恶意Java小程序和ActiveX控件,甚至文档文件都能够携带对网络和系统有破坏作用的病毒,网络防病毒工具必须能够针对网络中可能的病毒入口进行防护。
对于黑客而言,他们的主要目的在于窃取数据和非法修改系统,其手段之一是窃取合法用户的口令,在合法身份的掩护下进行非法操作;
其手段之二是利用网络操作系统的某些非法但不为系统管理员和合法用户所知的操作指令。
要弥补这些漏洞,我们需要专门的系统风险评估工具,在完成了这些工作之后,操作系统自身的安全性问题将在一定程度上得到保障。
3.2.3用户的安全性
对于用户的安全性问题,所要考虑的问题是:
是否只允许那些真正被授权的用户使用系统中资源和数据?
首先要做的是对用户进行分组管理,并且这种分组管理应该是针对安全性问题。
应该根据不同的安全级别将用户分成若干等级,每一等级的用户只能访问到与其等级相对应的系统资源和数据。
其次应该考虑的是强有力的身份认证,其目的是确保用户的密码不被他人猜测到。
在大型的应用系统中,有时会存在多重的登录体系,用户如需进入最高层的应用,往往需要多次输入多个不同密码,如果管理不严,多重密码也会造成安全上的漏洞。
所以在某些先进的登录系统中,用户只需要输入一次密码,系统就能够自动识别用户的安全级别,从而使用户进入不同的应用层次。
这种单一的登录体系要比多重登录体系提供更强大的安全性。
3.2.4应用程序的安全性
在这一层中我们需要回答的问题是:
是否只有合法的用户才能对特定的数据进行合法的操作?
这涉及两方面的问题:
一是应用程序对数据的合法权限;
二是应用程序对用户的合法权限。
例如在公司内部,上级部门的应用程序可以存取下级部门的数据。
同级部门的数据存取也应有所限制,例如同一部门不同业务的应用程序也不能互相访问对方的数据,一方面可以避免数据的意外损坏,另一方面也是出于安全性问题的考虑。
3.2.5数据的安全性
数据的安全性所要回答的问题是:
机密数据是否还处于机密状态?
在数据的存取过程中,机密的数据即使处于安全的空间,也要对其进行加密处理,以保证万一数据失窃,偷窃者(如网络黑客)也读不懂其中的数据内容。
这是一种比较被动的安全手段,但往往能收到最好的效果。
从上述分析中可以看出,网络安全是一个综合性的问题,不仅需要相应设备,更需要严格的管理制度。
因此,我们建议在网络平台的建设中分步建立安全体系,选择相应的软硬件产品,建立完善的信息系统管理制度,培养用户网络安全的意识,最终建立一个高效安全的网络平台系统。
3.3、局域网网络产品的选择(已有,略)
3.4、广域网网络产品的选择:
1、中心路由器的选择:
Cisco3600是世界第一个真正的多功能应用支持平台,在单独一个服务器上广泛支持分支机构/企业拨号访问应用,LAN到LAN或者路由选择应用以及多服务应用。
它提供前所未有的模块化选项,可使用多种不同的网络模块,它还具有强大的灵活性,可针对客户的不同应用环境,提供各种配置选项,而且最重要的是,它具有支持所有这些应用的优质运行性能。
Cisco3640服务器配有四个网络模块,Cisco3620有两个,拨号连接由一个系列提供综合业务数字网(ISDN)主要速率接口插槽(PRI)ISDN基本速率接口(BRI)的网络模块,集成数字调制解调器,高密度的异步接口插槽以及异步/同步串行接口共同支持。
LAN和WAN连接由一系列支持以太网、令牌环以及各种WAN技术的混合介质卡提供。
路由选择应用由高密度以太网和一个单端口,自动感应的快速以太网网络模块来提供支持。
最后,多服务应用由综合语言网络模块支持。
对于有些企业分支机构,现有的路由选择硬件已不能满足其需求,需要采用新一代的硬件用于其"
大型分支"
应用。
Cisco3600可为它们提供一种非常理想的升级方式。
Cisco3600系列的灵活性可支持各种用于大型分支机构办公环境的不同解决方案。
不论你的需求在不同地方变化有多大,Cisco3600平台的性能和多样性一定可满足你的需要,而且价格合算。
比如,一个使用ISDN连接到其总部的分支机构,在一年的时间内由于网络传输量的增加,可能需要专用的帧中继服务一但不需要对配线间进行大规模升级。
作为一个多功能解决方案,你可以依靠Cisco3600平台的出众性能、安全性以及灵活性来满足你未来多年的需要。
与具有综合管理、配置以及单供应商支持的一台多功能设备相比,管理、配置以及支持多台设备的费用就显得相当昂贵。
此外,CiscoIOSTM软件包含许多可提供安全性、可靠性以及WAN优化的功能,在任何应用环境中,都可以使用CiscoIOSA功能来控制不断上升的WAN费用。
例如,Cisco3600服务器支持请示拨号路由选择(DDR)和备用拨号,同时支持ProtocolSpoofing和SnapshotRouting,从而减少不必要的WAN传输。
为了更进一步减少WAN费用增加有效带宽,CiscoIOS软件支持在帧中继、专线以及拨号网络上的数据压缩。
CiscoIOS软件拥有广泛的多媒体功能,可以支持诸如在WAN上的电话会议那样的新型应用。
资源预保留协议(RSVP)、非协议依赖性的多点广播(PIM)以及加权公平排队(WF)等功能可以保证一贯的服务质量以及较高的应用可用性。
Cisco3600为大型分支机构提供的多种功能
Cisco3600的目标是满足大型分支机构不断发展的需要。
各大型分支机构可以定义为这样的一个分支机构。
其最初的网络硬件已不能满足其需要,需要增加高密度拨号连接服务品支持和额外路由选择等功能,同时,需要一个开放式结构,以满足将来数字用户线路(DSL),语音、影像以及异步传输模式(ATM)的需要。
Cisco3600在一个模块化的机箱中有不同的模块选择可以最大限度地保护用户投资,其性能可以处理上述不同的需要,而且还有能力满足分支机构将来的发展需求。
例如,作为一个ISDN连接解决方案,配有集成数字调制解调器的Cisco3600ISDNPRI连接服务器非常适合那些机架空间有限的分支机构。
客户或者在家办公的人可以拨打一个本地访问号码,然后通过路由选择连接到WAN上的服务,从而可以节省线路费用。
一个使用配有E1WAN接口卡的混合介质局域网LAN模块的备份T1趾行连接也能提供局域网连接。
在一个Cisco3600机箱中可以安装多达60个数字调制解调器,以简化管理工作,节省机架空间,并且保证与你其的Cisco网络的互操作性。
作为一个远程分布式连接服务器。
Cisco3600最适合使用一个分散的拨号网络架构中。
例如,出于地理位置上的考虑,要求一个服务供应商布置最大地理位置的分散POP。
Cisco3600配有冗余LAN接口,包括提供数据回拖到聚合点,同时,它的冗余LAN接口,包括提供快速以太网以及令牌网的功能,可以灵活地置于各种不同的LAN环境中。
Cisco3600提供多协议拨号连接
企业和分支机构都越来越体会到有必要将网络连接延伸到广泛的远程用户,包括雇员、供应商、客户以及合作伙伴。
成功的远程连接意味着能够几次透明地连接到任何地点的用户,同时可支持任何协议。
远程和移动用户的不同需要使ISDN和异步连接都变得十分必要,今天,用户希望获得与本地访问同样的连接服务质量。
为了满足这种要求,远程访问服务器必须成为整个网络解决方案的一部分,并且和它一起扩展以满足不断增长的远程访问的需要。
功能
全功能的CiscoISO
Cisco3600是Cisco整套端到端拨号连接解决方案中的一部分。
没有任何其它的供应商能够向远程用户提供这么多的Intermir访问以及企业扩展选择。
而且CiscoISO软件有能力在用户负担得起的前提下布置拨号虚拟专用网络(DialVPNS),使Cisco产品的功能又得到了相应的提升。
用户还能够通过数据压缩等带宽优化技术来节省开支,并且可以布置高质量的网络安全防火墙以及数据加密功能。
安全性
安全已成为今天大多数网络管理者关心的主要问题,Cisco3600,问题配合广为流行、功能强大的CiscoISO软件,可以为客户核心网络提供全面的安全保障。
对于远程用户环境,Cisco3600将该项已被证明是有效的核心安全技术扩展到混合介质拨入站点。
CiscoISO软件支持的安全功能包括访问清单、侵入事件记录、远程访问拨入用户服务(RADIUS)、KerberosV以及具有验证、授权和记帐(AAA)的TACACS。
管理
Cisco3600提供一套称为CiscoWorks的完善的图形用户界面(GUI)管理工具,可对Cisco3600机箱及其相关网络模块进行图形化的配置、监控和调试。
Cisco配置管理功能向网络管理者提供对网络统计数据的完全控制以及在一个中央控制中心配置和调节网络操作的能力。
CiscoISO软件包含全面的故障分析工具,可以大大减少问题隔离和恢复所需的时间和费用。
针对Cisco3600提供的内部调制解调器,一套先进的可选调制解调器管理功能可供使用,它提供广泛的带宽优化功能,可以帮助分支机构和企业客户降低运行地理位置分散的广域网络的重复费用。
调制解调器管理功能集包括呼人过程监视hardandbusyout、分组、一个用户定义的警告域值以及统计功能。
管理人员可查看调制解调器的调制配置、调制解调器协议、调制解调器EIA/TI-B2信号状态。
调制解调器发送和接收速率以及模拟信噪比等实时(当时或以前的呼叫)。
调制解调器可以用管理网络其它部分的相同工具来管理,从而为网络管理者提供了一个在中央管理点进行管理的解决方案。
可扩展性
Cisco采用了多机箱多链路点对点协议(MMP),使客房开始时可以建立一个规模的网络,在需要时候再扩展额外的访问服务器,而同时还能够使用拨号访问。
拥有中型拨入池的企业和分支机构网络管理员间能够容易地扩展和集成其访问网络架构,以聚合多个服务器上的多个呼叫,从而为其最终用户提供一个更高带宽的解决方案。
当服务供应商和企业客户利用分布式网络的可靠性建立具有弹性的网络系统时,这些可扩展功能对他们是非常重要的。
多链路点到点协议(MP)使用户可利用ISDN连接的优势,并且可以使用两个B通道达到128kbps数据吞吐量。
异步用户如果在其工作站上获得支持,使用两个通过两条电话线连接的调制器,他们也能够受益于该功能。
为了满足用户不断增长的需求,需要扩展Cisco3600解决方案,而MMP支持是实现这种扩展的一个关键因素。
MMP使呼叫能够被"
链接"
起来,而不管每个呼叫被置于哪个物理机箱,从而能将Cisco3600机箱堆放起来并视为一个拨入池。
Cisco3600平台
高度模块化的Cisco3600系列访问服务器具有惊人的多功能性,可以单一机箱内支持分支机构/企业拨号访问应用,局域网到局域网(LAN-to-LAN)或路由选择应用以及多服务应用。
这些独有的特性使Cisco3600系列成为大型分支机构理想的平台。
Cisco将继续为Cisco3600系列开发新的解决方案,以助你保持领先的地位。
Cisco提供前所未有的模块化选项,可以使用多种网络模块,还有巨大的灵活性,配有各种适合客户专用应用环境的可配置选择,而且最重要的是,Cisco具有支持所有这些应用的优质运行性能。
Cisco3600系列概览
下表详细列出了目前可提供的Cisco3600系列的平台和网模块。
对于邮电客户来说,直流电源是唯一选择,Cisco3600产品提供直流型号这些电源也可作为备用件订购,而且它们都是现场可替换部件(FRUs),备用电源在清单的编号为PWR3620-DC=3640-DC=。
总结
当不断增长的计算能力在改变着大型分支机构网络的面貌时,高度模块化的Cisco3600系列访问服务器可以在未来几年内保护你的投资。
Cisco将继续为Cisco3600系列开发新的解决方案,以帮助你保持领先地位。
Cisco3600具有在单一机箱内支持分支机构/企业拨号访问应用、局域网到局域网(LAN-to-LAN)或路由选择应用以及多服务应用等惊人的多功能性,是大型分支机构最理想的平台。
它提供前所未有的模块化选择,可以使用多种网络模块,配有多种适合客户专用应用环境的可配置选择的灵活性,而且最重要的是,它具有支持所有这些应用高性能。
单一供应商、端到端网络解决方案的好处具有强烈的吸引力。
作为全球网络化企业的一部分,大型分支机构必须能够充分利用今天和明天Internet/Intranet网络发展方向的多媒体应用。
Cisco3600系列是一个具有优越性能和灵活性的全面解决方案,您可以依赖它,迎接未来的挑战。
你知道你正在和一个可以依赖的供应商合作。
Cisco系统公司以其出色的服务和支持,以及世人皆知的高性、高可靠性和标准的高技术,支持每一个它生产的产品。
所以我们选择CISCO3640路由器(已有)作为中心路由器,我们在中心路由上加装DDN模块。
2、二级单位路由器的选择:
Cisco1700系列模块化访问路由器为中小型企业和小型分支机构提供灵活、安全的访问解决方案。
Cisco1700系列的模块化体系结构能使用户定制一个满足其目前访问要求的安全访问解决方案,能使他们经济有效地实施新应用,包括虚拟专网(VPN)访问、多服务语音/数据集成和宽带服务。
集成的网络功能包括1个可选的防火墙、CSU/DSU和VPN特性,减少了部署及管理时间和努力。
Cisco1720支持传统的数据访问应用以及目前和未来的新广域网服务,包括VPN和宽带技术。
除数据应用之外,Cisco1750还支持集成的多服务语音/传真/数据应用。
企业可以从一个稳健的数据访问解决方案开始,然后在准备就绪时经济有效地集成语音和传真。
在这里我们选择CISCO1720作为二级单位的路由器。
升级会员 