06计算机网络系统技术方案.docx
《06计算机网络系统技术方案.docx》由会员分享,可在线阅读,更多相关《06计算机网络系统技术方案.docx(22页珍藏版)》请在冰豆网上搜索。
06计算机网络系统技术方案
第一章、计算机网络系统
1工程概况
陕西延长中煤榆林能源化工有限公司工业园区局域网的此次宽带IP网络互连是其为进行今后网络应用而组建的网络,本方案完全是在许多大型网络设计与集成的经验基础上,并结合用户的实际需求以及多应用网络平台的研究成果、各种网络通信层次的测试得到的相应数据的基础上做出的。
所以完全能满足陕西延长中煤榆林能源化工有限公司工业园区现在和今后一段时期的需求,通过本方案,将使陕西延长中煤榆林能源化工有限公司工业园区的网络变的更加高效,更加易管理、安全、易运营,并且是,整个的网络建设也完全依据逐步投资的原则,进而保证了陕西延长中煤榆林能源化工有限公司工业园区局域网投资的合理性。
工业园区信息化是社会发展的必然趋势,陕西延长中煤榆林能源化工有限公司工业园区作为五星级工业园区,除需建设自身的工业园区办公、业务信息网络(包括财产管理系统、POS系统、工业园区管理信息系统),还需为生产提供宽带上网服务。
计算机网络系统的建设一方面对陕西延长中煤榆林能源化工有限公司工业园区经营和管理水平的提高产生相当大的推动作用,另一方面还对提高工业园区服务水平,改善客房环境和办公条件提供了平台。
我们在设计陕西延长中煤榆林能源化工有限公司工业园区时采用的基本思想是:
高起点、高标准、经济实用、适度超前
因此,根据“高起点、讲效率、少花钱、保质量、保安全”的原则和“整体建设要坚持高标准、有特色”的要求,在深入细致地调查研究和认真分析实际需求的基础上,按照“实用、经济、成熟、先进、安全、可靠”的技术路线完成设计。
2网络总体需求
网络综合布线先期实施。
其水平布线采用六类双绞线,汇接于各楼层配线间,各楼层配线间设有配线架,垂直布线采用光纤从中心机房铺设到各楼层配线间。
网络部分自身办公所用,需要一次性完成局域网建设,会议室网络需要对视频会议进行良好的支持,同时在客房设置信息点,供住店客人上INTERNET使用。
整个网络需连入INTERNET,并要求能网络的安全性提供有效的保障。
通过对陕西延长中煤榆林能源化工有限公司工业园区用户需求的研究,结合对用户网络的考虑,工业园区计算机网络主干应具备以下特性,满足工业园区网络应用的需求,并保证建成后的网络在一个较长的时间内具有较强的可用性和一定的先进性:
2.1高可靠性
要求整个系统采用具有高可靠性的总体设计,采用的技术应当是相对成熟的技术;在关键环节均应有冗余备份设计,在关键的网络设备和主机设备上消除单点失效;在网络骨干上要提供备份链路,提供冗余路由。
在网络设备上要提供冗余配置,设备在发生故障时能以热插拔的方式在最短时间内进行恢复,把故障对网络系统的影响减少到最小,避免由于网络故障造成用户损失;设计中所选用的设备本身应具有较高的可靠性;在系统软件和应用软件方面必须注重系统的安全保密工作,采用具有较高安全级别的系统软件,引入具有可靠功能的专用网络安全产品;在对后期培训工作的安排中,加强对有关工作人员系统安全知识培训及处理突发故障能力的培训。
系统安全可靠运行是整个系统建设的基础。
鉴于网中信息的重要性,要求网络系统要有较高的可靠性,各级网络应具有网络监督和管理能力,要适当考虑关键设备和线路的冗余,能够进行在线修复,更换和扩充。
要确保系统的正确性,数据传输的正确性,以及为防止异常情况所必须的保护性设施。
2.2网络安全性
在网络安全业界,有一个广为传播的说法:
“三分技术,七分管理”。
安全技术和安全产品仅仅是为信息网络实施安全管理提供了技术层面的手段,而这些技术和产品能否起到其应有的作用,更大程度取决于对这些安全技术的应用,对安全产品的配置,以及在网络应用环境下硬件设备、软件系统和用户等各种综合因素的作用。
因此,在安全系统建设工程中,必须充分重视用户的安全,加强对用户安全意识的培训,加强安全常识的教育,加强安全系统的使用培训。
本工业园区的计算机网络作为一个支持多个部门、支持众多住店客人、同时和Internet存在连接的网络,网络安全性在整个网络中是个很重要的问题,我们应该采用一定手段控制网络的安全性,以保证网络正常运行。
网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问。
可以用身份认证、VLAN划分等技术有效地控制内部用户的行为,比如杜绝对IP地址的盗用和侦听用户口令等,同时也能够利用防火墙控制外部人员对网络的访问;网络系统还应具备高度的数据安全性和保密性,能够防止非法侵入和信息泄漏。
2.3高性能
工业园区计算机网络系统要求具有较高的数据通信能力和较大的带宽;并在主干网上提供较强的可扩展性。
为了及时、迅速地处理网络上传送的数据,网络应有较高的网络主干速度。
网络设备必须具备高速处理能力,提供高速数据链路,保证网络高吞吐能力,满足各种应用(如:
视频会议系统)对网络带宽的需求;
在各部门的工作组中采用交换技术,以保证在工作中网络的快速响应速度,用于提供较高的工作效率。
2.4第三层交换和VLAN划分的结合
在网络主干中要支持三层交换及VLAN划分。
根据各个部门分配或用户定义的其它策略进行相应的VLAN的灵活划分,在整个网络中使用虚拟网技术,以提高网络的安全性和灵活性。
网络中心设备和骨干设备能够提供线速的VLAN之间的路由和高性能的第三层的数据包的处理。
2.5对多媒体应用的支持
支持多媒体应用。
在工业园区网络中会有多种多媒体应用,整个网络在服务质量(QoS)、预留宽带设置、合理进行带宽管理方面应提供优良的品质。
计算机网络要求具有数据,图像,话音等多媒体实时通讯能力;并在主干网上提供足够的带宽和可保证的服务质量,满足大量用户对带宽的基本需要,并保留一定的余量供突发的数据传输使用,最大可能地降低网络传输的延迟。
2.6可扩展性
随着技术的发展、业务的增多,网络的规模也会逐渐扩大。
初期采用的设备必须支持以后的网络平滑的扩容,保证在网络的成长过程中,网上业务不会受到影响。
系统建设要考虑将来的扩展和升级,以免人力物力、财力的浪费。
网络设计不仅要满足当前的要求,还要为将来的扩展留有余地,保护投资。
网络设计采用国际标准的技术和符合标准的设备,系统软件或硬件升级都不影响整个系统的运行。
系统上结点的增减也应不影响系统的正常运行。
建成的网络系统必须具有良好的可扩充性和升级能力,并且其扩充和升级必须要以最低成本花费为前提。
随着用户应用规模的不断扩大,要求网络可以方便地扩充容量,支持更多的用户及应用;随着网络技术的不断发展,网络必须能够平滑地过渡到新的技术和设备,保证用户现有的投资。
3核心层设计
陕西延长中煤榆林能源化工有限公司工业园区系统项目的建设将基于综合布线的基础架构。
因此,陕西延长中煤榆林能源化工有限公司工业园区的建设将紧密结合陕西延长中煤榆林能源化工有限公司工业园区的网络布线结构。
根据用户的现有和未来需求,陕西延长中煤榆林能源化工有限公司工业园区拓扑结构采用星型二级结构,即核心层和接入层。
现有陕西延长中煤榆林能源化工有限公司工业园区网络结构以中心机房为中心,分别向各工业园区楼层和会议室辐射,主要采用多模光纤的布线。
陕西延长中煤榆林能源化工有限公司工业园区中心机房数据子网构成局域网的核心层,其他各楼层的数据子网构成工业园区局域网的接入层。
陕西延长中煤榆林能源化工有限公司工业园区中心机房作为工业园区的核心层将实现服务器与客户端之间的高速数据交换。
因此,核心层网络设备要求提供高带宽、大容量的核心路由交换设备。
核心设备应具备极高的可靠性,能够保证7*24小时全天候不间断运行。
核心设备同时应拥有非常好的扩展能力,以便随着网络的发展而发展。
各边界的交换机构成了院部局域网的接入层。
接入层主要实现本地和本地与中心之间数据的传输。
因此,接入层网络设备要求具备一定的带宽和一定数量端口,满足数据传输的要求。
核心层与接入层之间通过1000M以太网实现连接。
形成了星形结构。
如下图所示。
随着陕西延长中煤榆林能源化工有限公司工业园区管理信息系统的丰富和数据量的增加。
在未来,通过在陕西延长中煤榆林能源化工有限公司工业园区中增加千兆连接数量,即可以实现网络的中继带宽升级,同时实现网络可靠性的增加。
根据需求,我们在核心层中心机房配置Nortelnetworks的Passport8600高端三层交换机作为中心侧三层交换机,实现中心本地数据子网的高速数据交换。
在接入层配置Nortelnetworks的Baystack420和Baystack470作为接入层二层交换机,实现本地子网的高速数据交换。
同时,接入层通过N*1000M实现和核心层的连接。
从网络实际应用的角度看核心交换机主要用于信息点的接入层交换机的集中,对于大容量的核心设备的责任是处理业务流量,保证各网络的正常运行。
核心层不只作简单的数据交换,而且进行全网的大容量处理、广播抑制、拥塞管理、流控、整体安全等智能功能。
对将来网络的扩容与升级都带来很多不利的影响。
所以,根据合理的设计原则,满足实际的网络应用需求,需要有一个拥有一个容量可扩展的智能交换机来充当核心层的网络设备,同时提供可与核心配合实现整体的智能功能包括2/3/4层的访问控制,并且可对用户进行安全的认证,可以有策略的透传二层的业务信息。
另一方面,可在核心层合理的对网络各层的广播进行抑制,有效减轻网络核心的不必要压力,以减少核心业务主机的数据包与广播包的碰撞产生的错误,这也是全方位提高网络的性能,更高效的利用网络的带宽的一个必要手段。
根据陕西延长中煤榆林能源化工有限公司工业园区标书所要求的内容,在核心层配置完全满足并高于标书指标要求的骨干三层路由交换机Passport8600及网络管理系统。
根据陕西延长中煤榆林能源化工有限公司工业园区局域网信息点分布的实际情况,以及工业园区对网络系统性能上的需求,我方选用Nortel(北电)的Passport8610交换机配置在核心中心,通过Passport8610产品核心接入交换机的业务,高速交换后通过光纤上连到广域网。
Passport8610具有十个插槽,提供丰富的业务插卡类型,能够满足用户灵活的网络扩容需求。
而且Passport8610具有大容量128G的交换容量,96Mpps的吞吐量,其可提供第2层到第7层的数据流量转发,产品具体介绍如下:
北电网络的Passport8600系列路由交换机专为高性能的企业、运营商和服务供应商网络而设计。
在企业网络中,Passport8600可以提供当今的VOIP等关键任务应用所要求的性能和可靠性。
在运营商和服务供应商网络中,Passport8600可以提供当今的高级IP基础设施所要求的较高性能和可用性。
作为一种基于机箱的以太网交换平台,Passport8600系列交换机提供线速第2层到第7层流量分类、过滤、转发和路由功能。
基于硬件的线速性能可以实现快速有效的流量分类、策略实施和过滤,有益于对时间敏感的应用,如视频和音频、以及创收性的应用,如服务质量和个性化内容。
Passport8600系列交换机是一种强劲、安全、智能化的平台,由于其性能、智能性以及99.999%的可靠性,使这种平台具有真正的竞争优势。
Passport8600的图形化配置界面
Passport8600提供:
∙线速第2层到第7层流量分类
∙多层冗余,实现99.999%的可靠性
∙10/100/1000以太网、ATM、PoS、10Gig及WDM的支持提供了集成智能性带宽连接
∙无缝LAN/MAN/WAN连接
∙每个端口具有八个基于策略的硬件队列
∙512千兆/秒的背板交换容量
高可用性
∙完全冗余机座:
N+1电源、双重风扇托架
∙可选择交流或直流电源
∙热插拔机座组件,例如电源供应和风扇托架
∙热插拔交换机结构/CPU模块,有关详细资料,请查阅模块数据表
∙热插拔接口模块,有关详细资料,请查阅模块数据表
∙使用分布式Multi-LinkTrunking(MLT)和LinkSafe的恢复提升器、主干和服务器连接
∙增强SpanningTreeFastStart技术,减少Layer2链接上的趋同时间
∙虚拟路由器冗余协议(VRRP),在网关发生故障情况下提供负载平衡和自动恢复
低拥有成本
∙经得起未来考验的机座,内置了支持未来发展的技术
∙对机座、电源供应、风扇托架和接口模块等方面的节约减少了维护和支持费用
∙基于Web的Optivity设备和网络管理
∙支持Optivity端到端策略管理
高可用性
∙高可用性特点,将99.999%正常运行时提供给网络管理员
∙多重QoS级别使系统潜伏时间减少到最小运行简单性
运行简单性
∙灵活并简单易用的管理选择和配置选择
∙高级安全功能,使您的网络免于XX的入侵者闯入
低拥有成本
∙简单的集成平台,可以满足所有企业和MAN的需求
∙所有的系统组件和接口模块都可从前面板接入,减少了接线盒和数据中心的占地空间要求
∙系统组件对6槽机座和10槽机座(8006和8010)通用,许多接口模块能够与其它北电网络的交换机共享,减少花费和维护成本
4接入层设计
根据陕西延长中煤榆林能源化工有限公司工业园区网络系统标书所要求的内容,在接入层配置完全满足标书指标要求的可堆叠二层交换机Baystack420或Baystack470。
根据工业园区各个楼层配线间的分布以及工业园区对网络部分的需求,我们在本方案中选用了Nortel(北电)的BayStack420-24T交换机作为楼层交换机。
北电网络BayStack42010/100/1000Mbps第二层以太网交换机日前开始在全亚太地区发售。
BayStack420提供的是面向中小企业的低成本、高性能的解决方案。
它使用方便,能改善网络性能,让客户的投资物有所值。
BayStack420适用于中小企业以及大公司分支机构这类应用环境。
它可作为独立的交换机使用,也可用作一个可升级、可层叠的解决方案。
该解决方案可实现每层多达8台交换机、共192个端口的扩展。
BayStack42010/100/1000第二层以太网交换机在一个合理的性价比范围内具备了性能好、安全性高、可实现网络管理等特点。
BayStack420提供了强大的连网管理选项,包括一个基于Web的界面以及对SNMP网络管理协议的支持。
对于一个完整的BayStack420叠层,可仅仅使用一个IP地址,将其作为一个单独的网络单元来管理。
BayStack420能在没有包损失的情况下实现线速率,从而确保服务器连接的高带宽,避免网络瓶颈出现。
BayStack420可作为独立的交换机使用,也可用作一个可升级、可层叠的解决方案。
该解决方案可实现每层多达8台交换机、共192个端口的扩展。
BayStack42010/100/1000第二层以太网交换机在一个合理的性价比范围内具备了性能好、安全性高、可实现网络管理等特点。
BayStack420提供了强大的连网管理选项,包括一个基于Web的界面以及对SNMP网络管理协议的支持。
对于一个完整的BayStack420叠层,可仅仅使用一个IP地址,将其作为一个单独的网络单元来管理。
BayStack420能在没有包损失的情况下实现线速率,从而确保服务器连接的高带宽,避免网络瓶颈出现。
易于使用的GUI管理。
通过从免费下载设备管理软件,可以很容易对BayStack420交换机进行配置和管理。
在工业园区会议室我们采用Baystack470作为楼层交换机,Baystack470具有良好的QOS保证,所以对将来的视频会议有很好的支持。
Baystack470具有以下特点:
o48口10/100M第2层以太网交换机,2个GBIC插槽,一个内建堆叠模块
o 强大的堆叠功能:
o支持一个堆叠内达到384各高密度端口数,堆叠具备自愈能力,小出了单点故障,内建堆叠模块。
o 弹性链路和GBIC上联:
o通过MLT,DMLT提高了链路的冗余,2个内建的GBIC模块提供了最大可能的上联能力
o 安全性:
o强大的安全访问控制和流量保护功能
o QoS保障的网络可用性
考虑到会议室举行一些大的会议和有视频会议的需求,所以我们在设计时考虑采用两条光纤进行备份,提高网络的可靠性。
由于会议室的信息点相对比较多,所以采用具有48口的BayStack470作为接入交换机。
其它在工业园区楼层信息点多的地方采用BayStack420堆叠来扩充端口数。
Baystack420可实现8台交换机的堆叠。
因此,采用Baystack420对于未来网络的扩展有很大的好处。
因此,接入层二层交换机Baystack420和Baystack470完全满足并超出标书的性能指标和参数指标,以及所要求的全部标准协议。
5网络拓扑图
中心三层交换机Passport8600通过1000Base_SX接口模块连接工业园区各楼层和会议室。
通过100M接口模块实现服务器、网管工作站的连接,同时可以连接其它的业务和生产服务器。
中心的Passport8600三层交换机为机箱式多协议大型交换机,机箱插槽为最多10个。
第二层、第三层转发吞吐能力为96Mpps。
最多可支持384个10/100Base_TX端口和64个1000Base_LX端口。
VLAN的数量可达到2013个。
同时支持电源、风扇、中心CPU/交换矩阵的均衡负载和热备份功能。
作为核心交换设备,各种业务流及应用的数据都经过此来进行路由、交换,当网络流量大的时候,应该能够确保优先级高的数据能够得到传输保证,也就是QoS(QualityofService)保证,另外视频、语音等流媒体需要进行持续的传输,一旦出现时延和拥塞,语音质量和视频的画面质量就得不到保证,出现画面马赛克以及语音停顿等问题。
Passport8600核心交换机很好的解决了这个问题,在每个数据端口具备了硬件队列,通过每个端口上的硬件芯片,识别出不同的应用,并将不同的应用根据用户定义的策略,将它们分配到不同的优先级,从而保证优先级高的数据得到优先传输。
比如:
可以将VOD视频点播等设置到最高级别,保证绝对优先级,这样保证在客户端看到的画面没有抖动、马赛克、黑屏;同样,我们可以把业务数据设置在高优先级、上因特网设置为最低优先级,以保证正常业务数据的传递。
因此,中心三层交换机Passport8600完全满足并超出标书的性能指标和参数指标,以及所要求的全部标准协议。
6网络管理设计
网络系统的所有设备都应是可管理的,应支持远程监控及故障的过程诊断和恢复。
通过网络管理工具,可以方便地监控网络运行情况,对出现的问题及时解决,对网络的优化通过依据。
另外,网络的设计应采用简单易用的网络技术,降低运行维护的费用。
强有力的网管软件是有效地进行网络管理的助手,网管软件应能够支持对网络进行设备级和系统级的管理,并能支持通用浏览器进行网络设备的管理及配置。
为便于集中监控管理整个网络系统,可以设置一台网管服务器。
网管服务器对整个网络的运行情况以便及时发现潜在的问题,并且在出现问题时及时准确的定位问题所在位置,以便及时解决,如:
网管服务器软件图形化显示的设备及端口状态颜色可以表示该设备的当前状态。
同时网管服务器还可以集中对整个网络交换机设备进行配置。
在中心机房网管工作站上安装Optivity软件用于对全网上路由器的连接连接进行可视化管理和监控。
对于陕西延长中煤榆林能源化工有限公司工业园区部局域网这样规模的网络,管理是非常重要的一项工作。
为此本方案配置了一套运行在WINDOWS2000操作系统上的Optivity网管软件,用于管理Nortelnetworks的全部网络产品(包括Passport和交换机等)。
它可以分别管理到每台网络设备,监视其状态;网管软件可以管理到每台设备的面板,各个端口的状态和配置情况等。
通过Optivity,我们完全可实现网管系统的5大功能,即失效管理、配置管理、安全管理、性能管理和计费管理。
Optivity网管软件
7网络安全
7.1安全目标
(1)确保陕西延长中煤榆林能源化工有限公司工业园区内部各类信息在存储、获取、传递和处理过程中保持完整、真实、可用和不被非法泄露的特性。
各类信息的获取、存储、处理和传递必须满足陕西延长中煤榆林能源化工有限公司工业园区行政和业务的层次管理和授权管理需要,由此制定的安全策略必须体现陕西延长中煤榆林能源化工有限公司工业园区的安全管理意志。
(2)确保陕西延长中煤榆林能源化工有限公司工业园区与国际互联网(Internet)的互连必须能防范来自陕西延长中煤榆林能源化工有限公司工业园区外部的各种形式的攻击,对外发布的信息保持完整、真实和可用特性。
陕西延长中煤榆林能源化工有限公司工业园区网络系统的安全体系结构
陕西延长中煤榆林能源化工有限公司工业园区网络的安全体系基于TCP/IP网络协议框架,通过多种安全机制在TCP/IP的各个层次上实现能满足相关应用安全需求的安全服务,达到网络信息安全的目的。
具体应用所需要的安全服务,取决于该应用所能承受的最大安全风险程度。
一般来说,风险承受程度越高,所需安全服务越少,反之亦然。
安全体系结构见下图。
应用层安全
安全管理
安全管理
OA
MIS
…
网络服务层安全
SSH
S/MIME
Radius
…
传输层安全
IP协议层安全
IPsec
ISAKMP
…
网络接口层安全
X.25
DDN
PSTN
FR
卫星
…
安全保障
安全策略
安全评估
物理安全
图安全体系结构
7.2安全措施
网络安全管理的内容包括:
保护网络资源不受内部或外部的恶意攻击和破坏,保护网络的配置不受非法的修改;保护网络设备不受内部或外部的恶意、非恶意攻击和破坏;阻止反动的、黄色的信息在网上流动和传播等等。
这些问题的解决除加强思想教育和组织管理外,最根本的办法就是采取有利的措施加强网络运行管理,采用各种保护措施维护津泰达国际会议工业园区的安全。
应当建立各种安全规章制度,如值班制度、系统安全运行制度等;完善各种事故保护系统,如防火系统、防盗系统、电源安全保护系统等。
津泰达国际会议工业园区网络的安全策略强调全面保护、规范管理和提高效率。
我们采用下面的措施保证网络的安全。
●建立网络用户使用网络资源的规章制度。
●严格划分不同工作人员的权限。
●严格设定各种信息资源、设备资源的使用权限。
●关键信息的传输采用端到端的专用加密工具。
●完善认证/授权的技术控制手段。
●采用分布授权/集中控制的安全策略。
●采用数字签名技术和第三方确认的控制措施。
●加强用户管理,防止非法侵入。
●加强对用户从网上卸下的软件进行病毒检查;
●定时备份系统,防止系统崩溃。
●加强组织管理,完善各项规章制度。
通信安全和数据安全是津泰达国际会议工业园区网络安全措施的主要内容。
安全管理是网络管理的关键内容,需要在不同的层次上实现。
本项目在下面的多个层次上实现了比较完整的安全管理:
7.3网络层的安全措施
考虑到本工业园区的网络安全性,我们在接入ChinaNet广域线路与本工业园区局域网之间布置硬件防火墙NetST(。
NetST防火墙是清华同方公司自主开发的一款功能强大的网络安全产品,NetST防火墙位于内部网络与外部网络的连接处,对进出内部网络的所有数据进行检查,符合一定的访问控制规则的数据才允许通过,否则要拒绝或修改数据,并能检测出可能的非法内外网络入侵,及时进行处理和记录,保证网络安全。
产品概述
7.4NetST产品特征
升级会员 