1、。 目 录 中文摘要 .5 Abstract.6 第一章 概 述 .7 第二章 需求分析 .8 2.1 系统现状分析 .8 2.2 现行运作中存在的问题 .8 2.3 办公自动化网络应提供如下功能 .9 第三章 系统分析 .10 3.1 技术要求 .10 3.2 方案要求 .10 3.3 网络设备的要求 .11 3.4 办公自动化功能概述 .11 3.5 网络方案逻辑结构图 .12 3.6 网络方案物理结构图 .13 第四章 网络及系统平台总体设计 .14 4.1 网络系统规划 .14 4.2 结点分布及地址分配 .14 4.2.1 节点分布 .14 4.2.2 地址分配 .15 4.3 网络
2、设备选型 .16 4.3.1 主要网络产品性能说明 .16 4.3.2 外网部分 .20 4.4 服务器设备选择 .21 第五章 系统及数据的安全设计 .23 5.1 网络安全性 .23 5.2 数据安全性 .23 5.3 病毒防护 .23 第六章 综合布线设计 .25 6.1 设计依据 .25 6.2 布线系统设计 .25 6.3 与计算机网络系统配合 .25 结束语 .27 致 谢 .28 参考文献 .29 1 中文摘要 本论文是根据某企业单位实际情况,在原有电脑设施的基础上,建立企业内部 的局域网并与 Internet 网相连接,这一网络化建设,是实现企业信息化管理的发 展方向。本毕业设
3、计课题将主要以我们单位企业局域网网络建设过程可能用到的各 种技术及实施方案为设计方向,为我们企业量身定做了一套信息化建设网络方案, 为我们企业网络的建设提供理论依据和实践指导。 关键词: 局域网、Internet、计算机网络、网络协议、服务器、网络拓扑图 2 3 第一章 概 述 随着计算机信息产业技术的普及和发展,各企业单位的计算机应用越来越广泛。 通过信息化提高企业的竞争力已成为大多数企业的共识,但尚有不少企业的管理者往 往认为买了电脑就万事大吉,却不知来建立企业内部的局域网并联接国际网联网信 息化能够有效重复和加强协作,从而提高效率。企业要实现信息化管理,首要的条件 就是建立企业局域网,然
4、后在该系统的基础上开发应用各种基础和专业软件。网络化 可以有效地实现企业内部的资源共享、信息发布、技术交流、生产组织。此外,还可 以通过这个网络连接到世界上其它计算机,使得企业方便地实现与外部的交流。 企业网的建设是一项非常复杂的系统工程,企业作为一个特殊的网络应用环境, 它的建设与使用都有其自身的特点。在选择局域网的网络技术时要体现开放式、分布 式、安全可靠,维护简单的原则。局域网技术是一项在 20 世纪 70 年代发展起来的计 算机互联技术,经过多年的发展,技术已经成熟,并得到了广泛的应用,局域网技术 成为网络技术的重要组成部分。对企业内部建立企业局域网,对外应能联入外围工业 区和外围厂,
5、这两点在网络规划时都应考虑到,因而根据此特点和公司各单位的部门 划分,内部电脑可分为以下四种类型:一是生产用电脑,二是管理用电脑,三是财务 用电脑,四是劳资系统电脑。根据中小企业的规模、网络系统的复杂程度、网络应用 的程度,用户对于网络的需求也各不相同,对于中小企业内部网,主要实现资源共享功 能,通信服务功能,多媒体功能,远程 VPN 拨入服务功能等等。 4 第二章 需求分析 2.1 系统现状分析 一、企业组网需求 1企业内共计 300 台计算机,2 台服务器; 2分布在 2 栋 5 层楼中,每层楼高 4 米,两栋楼间距为 30 米,每座楼高 20 米, 长 60 米,宽 18 米,每层楼有
6、12 个工作间,1 个会议室。 3要将 2 栋大楼的所有房间成一个局域网,每个工作间要求有 3 个信息点,会议 室要求有 4 个信息点。 4要求在一个楼中建立一个中心机房,另一座楼在适当的位置建立二级交换机房。 5要求局域网主干线路为千兆,到桌面为百兆。 6要求有内部 Web 服务、 FTP 服务、DHCP 服务、DNS 服务、邮件服务、防火 墙、防病毒系统、备份系统等。 (学生至少选择三个服务进行配置,服务器平台自省选 择。 ) 7本企业有业务部门、财务部门、材料部门、工程部门、后勤部门、客服部门、 经理室共七个单位,要求,每个单位要有自己独立的账号来访问本单位的 FTP 服务器。 8其中业
7、务部门占用 20 个工作间,财务部门占用 6 个工作间,材料部门占用 15 个工作间,工程部门占用 20 工作间,后勤部门占用 15 个工作间,经理室占用 3 个工 作间,客服部门占用 30 个工作间。 91 号楼分配给业务和客服部门,以及后勤部门的七个工作间 2 号楼分配给其它剩余的部门 10要求每个部门之间,计算机不能直接互相访问,经理室可以与所有部门通信 2.2 现行运作中存在的问题 (1) 传统的办公模式受到极大的挑战 随着社会的发展,企业内部个部门所管理的事物和对象越来越多,涉及面越来越 广,要求越来越高。因此,这就要求办公效率越来越高、信息传递的速度越来越快, 5 这使传统的办公模
8、式和环境受到极大的挑战,落后的办公手段已经不能适应发展的需 要,严重阻碍发展的步伐。 (2) 内部、外部的信息交流不畅 企业内部管理活动有其自身的特点,在整个企业操作运行过程中所产生的和需要 处理的数据和信息分布广、量大,而且环环相扣、连续不断,交流非常频繁。目前这 些数据和信息基本上都是靠人工进行管理,就算有的地方应用了计算机进行管理,但 也是孤立的,没有形成全地区范围的计算机网络,完全靠报表、文件或电话进行数据 的传递。处理数据和信息已是非常困难的事情,而数据和信息的传递就更难了,这必 然造成付出大量的人力、物力,但还达不到我们希望的目标。 2.3 办公自动化网络应提供如下功能 1、连接企
9、业内部所有部门的 PC。 2、通过权限设定用户浏览 Internet,同时接收、查询浏览国内外的资讯和电子邮 件。 3、提供丰富的网络服务,实现广泛的软件,硬件资源共享,包括:提供基本的 Internet 网络服务功能:如电子邮件、文件传输、电子公告牌等。 4、实现系统各个管理机构的办公自动化,应具备内容: 管理部门办公自动化系统实现局内的无纸化传输以及实现对全局内部业务流程 的自动流转;信息系统的相关发布、查询;有效数据的收集、分析、辅助决策。 确保权限使用的安全性,文件的保密性,以及物理,网络,服务器,应用程序 的安全性。 在文件的审批过程中可以跟踪审批的进度、修改审批流程,退回流程(流程
10、简 单灵活) ,并可保留审批过程中的修改痕迹。 实现局域网及互联网邮件系统的信息交换。 系统实现自动处理信息的功能,将工作人员从繁杂的劳动解脱出来。 及时提醒功能的提升,与手机短信等相结合,保证工作人员无论身处何地都能 及时收到工作上的紧急通知和重要消息。 6 第三章 系统分析 3.1 技术要求 (1) 网络技术现状分析 目前在局域网组网技术中比较成熟和应用较多的技术有以下几方面网络类型: Ethernet:10M、100M、Giga 以太网, ATM:25M、155M、622M、2.4G, FDDI:100M 面临淘汰。 在端口数据分配上也分为共享式和交换式。 网间数据交换核心方面分为路由和
11、三层交换两种技术。 在以上几个方面中网络类型的选择是关键,目前的主要技术之争是发生在以太网 和 ATM 之间的,这两种技术各有短长。 ATM 技术相对以太网来说是一种较为为新型的技术,它基于面向连接,提供 QOS 保 障,在实时数据传送,预留带宽方面有不可比拟的优越性,特别适合实时多媒体的交 互式通讯和一些突发性的数据传送要求,它针对不同的数据通讯类型会给予不同的质 量保证,另外小信元有利于速率的不断提高,但由于其技术成熟度不够,和目前直接 基于 ATM 的应用类型还比较少,它的优越性受到了限制,另外它的元件和设备价格昂 贵是另一个不利与推广的弱点。 以太网技术相对成熟,而且多数应用基于以太网
12、开发,所以决定了目前它在网络 中占主导地位,受多数用户的青睐。在此我们推荐使用千兆以太网技术,它在技术上 由快速以太网衍生出来、性能价格比高,现在相关技术已经稳定,并且非常适合企业 网络使用。在此方案中我们选择千兆以太网与三层交换作为技术定位的基本模式。 (2) 主机系统要求 主机系统应采用国际上较新的主流技术,并具有良好的向后扩展能力; 主机系统应具有高的可靠性,能长时间连续工作,并有容错措施; 支持通用大型数据库,如 SQL、Oracle、lotus domino 等; 具有广泛的软件支持,软件兼容性好,并支持多种传输协议; 能与 Internet 互联,可提供互联网的应用,如 WWW 浏
13、览服务、FTP 文件传输 服务、E-mail 电子邮件服务; 支持 SNMP 网络管理协议,具有良好的可管理性和可维护性; 3.2 方案要求 该企业网络方案要求网络稳定,因此应采用成熟的技术,并尽可能采用先进的 7 技术; 为了网络良好维护性,及网络安全性考虑,应采用国际统一标准,以拥有广泛 的支持厂商,最大限度的采用同一厂家的产品,同时尽可能选择国内产品; 企业办公中需要用到大量的数据交流,因此方案应合理分配带宽,使用户不受 网上“塞车”的影响; 根据企业办公业务的需要及安全性的考虑,需要方案的设计中,尤其是在办公 的局域网内能够实现虚拟网(VLAN)连接; 企业中现在已经有一定数量的网络设
14、备,PC 机设备,及其他相关设备,考虑 对用户现有网络的平滑过度,需要使现有陈旧设备尽量保持较好的利用价值; 3.3 网络设备的要求 高性能;所有网络设备都应足够的吞吐量; 高可靠性和高可用性;应考虑多种容错技术; 可管理性;所有网络设备均可用适当的网管软件进行监控、管理和设置; 采用国际统一的标准; 3.4 办公自动化功能概述 (1) 领导办公 为领导设立自己的平台,只看到自己的办公项目,所设定的项目为个人最常用的 项目。是具有共性的个人办公事务处理。 1、当日要务 当日要务中包括活动安排、收文管理、发文管理等栏目。领导 每天对重要的信息, 活动安排,会议安排,文件签发等情况有全面的了解。
15、2、工作监督 工作监督系统包括对收文管理、发问管理、督办管理、议案管理、信息管理、会 议管理、活动管理、请假管理、用印管理、行政复议管理、侨眷认定管理等监督功能。 3、常用批语 提供领导常用的批语,并可以进行即时填加修改等。 4、个人邮箱 个人邮箱功能进行扩展,除邮件的收发还可以进行个人的业务办公,包括以下功 能 邮件收发 可以进行邮件的收、发、保存、修改、删除以及附加附件、群发等功能 。 8 通讯录 记录联系人、个人通讯名单等信息,方便查找。 个人记事本 对重要事项进行记录,备忘等。 待办事宜 记录个人待办事务,可通过邮件进行到时提醒的功能。 活动安排 包括领导的活动和会议安排的时间、地点等
16、信息。 视频会议 提供对视频会议接口支持。 3.5 网络方案逻辑结构图 图 3.3 逻辑结构图 核心层是网络的高速交换主干,具有可靠性、高效性、冗余性、容错性、可管理 性、适应性、低延时性的性能。该方案中网络办公需要进行频繁的数据交换,尤其是 在进行视频会议时。 因此在核心层,采用高带宽的千兆交换机。同时核心层设备采用双机冗余热备份, 使用负载均衡功能。 汇聚层是接入层和核心层的“中介” ,在工作站接入核心层前先做汇聚,以减轻核 9 心层设备的负荷。在汇聚层实施策略、安全、工作组接入、VLAN 间的路由、进行源地 址或目的地址过滤。 接入层提供本地工作站接入。 3.6 网络方案物理结构图 10
17、 第四章 网络及系统平台总体设计 4.1 网络系统规划 本方案中主干网包括两个中心交换机、一个核心路由器、1 个防火墙和一系列的楼 层交换机。政务办公网为本次方案的核心部分,对全网数据交换的要求较高。因此要 求: 高性能,具有高速交换的能力; 多功能,可同时连接并支持多种网络环境,如以太网/高速以太网/FDDI/ATM 等; 高可靠性,具有冗余电源,模块可热插拨及一定的自动切换能力,不存在“单 点故障” ; 可扩展性,具有多槽机箱结构,可升级和扩展,可配制高端口密度和大吞吐量 的扩展卡; 很强的管理特性,支持通用的网管协议,如 SNMP/RMON/RMON2 等。 具有良好的技术升级特性,可以
18、实现由现有网络向未来网络技术的平滑过度, 保护原有投资。 作为外网是指为了方便工作、查阅资料和对外发布信息而放在 Internet 网上工作 的部分服务器和工作站。 为保证信息系统安全、可靠、724 小时不间断运行,网络为星型连接,企业内部 办公和各点连接链路的速度为百兆连接,网络交换连接主干需要达到千兆(含千兆) 以上 另外由于采用交换式以太网技术,不仅可以实现用户对高带宽的需求,而且其价 格适中,还易于维护及管理,因而本方案具有较高的性能价格比。 4.2 结点分布及地址分配 4.2.1 节点分布 该企业电脑分布在 2 栋 5 层楼中,每层楼高 4 米,两栋楼间距为 30 米,每座楼高 20
19、 米,长 60 米,宽 18 米,每层楼有 12 个工作间,1 个会议室。要将 2 栋大楼的所有 房间成一个局域网,每个工作间要求有 3 个信息点,会议室要求有 4 个信息点。8其 中业务部门占用 20 个工作间,财务部门占用 6 个工作间,材料部门占用 15 个工作间, 工程部门占用 20 工作间,后勤部门占用 15 个工作间,经理室占用 3 个工作间,客服 11 部门占用 30 个工作间。 表 4.1 节点分布表 序号 单位名称 信息点数 1 业务部 40 2 财务部 12 3 材料部 30 4 工程部 40 5 客服部 60 6 经理室 10 7 后勤部 30 8 网管部 10 9 其他
20、部门 68 网络在企业自动化系统中起着至关重要的作用。大量的文件和业务数据会通过网 络传输,这就要求网络有足够的主干带宽和扩展能力。 除上述考虑外,由于办公环境中各部门、各职能单位在一起办公为了保密和安全 的角度考虑,要求每个部门之间,计算机不能直接互相访问,经理室可以与所有部门 通信,需要将网络在逻辑上划分几个不同的网段。建成后网络应能通过 QOS 技术提供 多个网段的划分和隔离,并能做到灵活改变配置,以适应日后环境的调整和变化。 4.2.2 地址分配 企业内部楼共 300 个节点,根据部门分工职能及安全需要划分 3 个 VLAN,具体分 配情况如下: 表 4.2 IP 地址分配表 序号 V
21、LAN 号 部门 IP 地址 业务部 192.168.11.0/40 客服部 192.168.12.0/60 1 VLAN10 后勤部 192.168.13.0/30 财务部 192.168.16.0/20 材料部 192.168.17.0/30 工程部 192.168.18.0/40 2 VLAN20 经理室 192.168.19.0/20 后勤部 192.168.21.0/503 VLAN30 网管 192.168.22.0/20 12 其他 192.168.23.0/100 4.3 网络设备选型 该网络为企业网络。网络设备的选型基于安全性的考虑尽可能实现国产化,统一 化;因此网络设备主要
22、使用华为公司的产品。防火墙等相关产品也尽量实现国产化以 支持民族产业。 在设计网络时,主干选用千兆以太网技术,核心路由器为 Quidway NetEngine 80,核心交换机选择华为 3COM 公司的 Quidway S6506, ;楼层交换机为 Quidway S3526C,并选用 1 端口 1000Base-SX(550)模块进行交换机之间的连接。连接企业的 路由选择 Quidway R2631E。如图所示: 图 4.1 网络设备图 4.3.1 主要网络产品性能说明 1、 核心路由器: Quidway NetEngine 80: Quidway NetEngine 80 核心路由器是华为
23、公司推出的高端网络产品,主要应用在 IP 骨干网、IP 城域网骨干层以及各种大型 IP 网络的核心位置。基于分布式的网络处理 器硬件转发和无阻塞交换技术,其电信级可靠性、线速转发性能、完善的 QoS 机制、 丰富的业务处理能力、优异的扩展能力,满足不断增长的数据和互联网业务对网络骨 干设备的需求。NE80 是 IP 骨干网和 IP 城域网向宽带化、安全化、业务化发展的重要 源动力。 13 图 4.2 NE80 外观图 该方案采用 NE80 路由主要基于以下考虑:核心路由要求较高的转发速率及交换容 量,NE80 转发性能高达 400Mpps,交换容量最高达 640Gbps 完全可以满足办公业务数
24、据 转发的要求;NE80 上 20 个槽位其中 16 个业务槽位可以满足扩展接口的需要; NE80 全面支持 IPv4 和 IPv6 双协议栈;支持丰富的 IPv4 向 IPv6 的过渡技术,为以后网络 升级提供了良好的扩展性。NE80 支持 RIP、OSPF、IS-IS、BGP-4 等路由协议;路由表 容量支持 170 万。可满足该方案的要求。 NE80 的产品特点: 分布式第五代路由器 NE80 作为第五代路由器采用了业界高性能网络处理器技术,充分继承了第四代全 分布式硬件处理的架构,有机地结合了软件的灵活性和硬件的高性能,又具备快速良 好的业务升级和扩展能力,最大限度地保证用户投资。 N
25、E80 都可以仅通过软件升级方式提供硬件的 IPv6 转发性能,不需重新购买 IPv6 硬件设备,为用户节省了大量费用,充分保护用户投资,体现出第五代路由器的优异 的扩展能力。 业务丰富 NE80 基于分布式硬件处理,具备高性能的网络业务能力,提供全面的 MPLS VPN 业务,胜任高性能 P/PE 应用,提供高品质、安全和多层次的 MPLS VPN 解决方案; 提供高性能组播能力;提供千兆线速 NAT 等各种业务。 NE80 具备快速良好的业务扩展能力,全面支持 IPv6。 强大的路由能力、线速的转发性能 NE80 支持 IP/MPLS 分布式转发,路由能力强大,适合 IP 骨干网应用,支持
26、大路 由表,支持丰富的路由协议包括 RIP、OSPF、IS-IS、BGP4 和多播路由协议,在复杂 路由环境下稳定自如。 电信级可靠性 NE80 各关键部件包括路由处理系统、交换网系统、时钟系统、电源、管理总线全 部为冗余热备份,实现基于状态的热切换和不间断的路由转发;所有组件支持热插拔; 采用无源背板设计;提供热补丁技术,实现软件完全平滑升级;提供 IP/MPLS 快速重 路由、接口自动保护切换(MSP) 、虚拟路由冗余协议(VRRP) 、RPR 自愈环网(IPS) 等保护机制,有效保证了全网运行的高速可靠。 2、核心交换机: Quidway S6506: Quidway S6500 系列高
27、端多业务交换机是华为 3Com 公司面向 IP 城域网、大型 企业网及园区网用户的系列大容量、高密度、模块化的二、三层线速以太网交换机产 品。为域网、园区网、数据中心提供超高速链路,构建端到端以太网络,打造低成本、 14 高性能、具有丰富业务支持能力的高性能网络。Quidway S6500 提供大容量、高密度、 模块化的二、三层线速转发性能,同时具有丰富的业务功能、强大的 QoS 保障、完善 的安全管理机制和电信级的高可靠设计,完全满足行业客户和运营商用户对多业务、 高可靠、大容量、模块化的需求。主要作为企业的核心交换机或城域网汇聚层交换机。 该系列包括 S6502(2 槽) ,S6503 (
28、4 槽) ,S6506(7 槽) ,S6506R(8 槽) 。 图 4.3 S6506 外观图 该方案使用 S6506 核心交换机基于以下考虑:核心交换机上需要实现 VRRP(虚 拟路由冗余协议)及负载均衡。S6506 的 Port Trunking 支持最大支持 8 个 GE 或 16 个 FE 的捆绑可以该方案中对核心交换的要求。另外选用 Slience III 96G 双路由交换引 擎实现 VTP Server 的备份。选用 4 端口千兆以太网电口12 端口千兆以太网 SFP 光口 扩展模块满足设备节点的需要。S6506 支持生成树 /快速生成树协议,符合 IEEE 802.1D/802
29、.1w/802.1S 标准,支持 BPDU TUNNEL,避免了在局域网内交换机在建立必 要冗余的同时产生的环路问题。 S6506 的产品特点: 先进的体系结构 S6500 采用全分布式体系结构设计,通过 Crossbar 技术进行高速报文交换,从而 大大提升了路由交换机的转发性能和扩充能力。Crossbar 交换网芯片内置于主控板, 不再单独占用设备槽位,可提供高达 768G 的交换容量。 强大的 QoS 能力和精细化用户管理 每端口支持 8 个硬件队列,带宽控制粒度可达 64Kbps;强大的用户管理、认证计 费功能支持;支持 CAMS(综合访问控制管理服务器)系统,提供专业用户管理、 计费
30、解决方案;内置 IEEE 802.1x 认证服务器功能。内置 DHCP SERVER 功能。 运营级可靠性设计 系统采用分布式结构; S6500 系列所有单板支持热插拔;支持 STP/RSTP/MSTP 协议和 VRRP 协议,能够满足苛刻的电信级网络可靠性要求;支持双路电源供电。 完善的安全机制 支持标准 Radius 协议,同时提供 Radius+功能;支持 TACAS+协议;HCBM (华为可控组播管理协议)功能支持;保证对用户的精确认证。支持 SSH V1/2。基于 最长匹配的路由方式,保证了所有报文均获得相同的转发性能。对“红码病毒”和 15 “冲击波病毒”的攻击具有天生的防御能力。
31、 无与伦比的性能价格比 S6500 提供系列化机箱和系列化超级引擎,可以根据不同组网需要进行灵活配置; S6500 提供多种高密度百兆、千兆、万兆接口板,有效简化网络结构、降低建网成本; S6502 无需专门的主控交换引擎,主控交换功能内置于接口板内部,进一步降低建网 成本。 强大的扩展性能 S6500 具有强大的性能和业务扩展能力;背板带宽高达 1.6Tbps;可以实现灵活的 智能化业务能力,如 NAT/MPLS/IP v6 等高级业务特性,从而有效保障用户的投资。 3、楼层交换机: Quidway S3526C: Quidway S3500 系列快速智能三层交换机是华为 3Com 公司为充
32、分满足高 QoS 保 证的需求而推出的智能型以太网交换机,包括 S3526C、S3526E-FS、S3526E-FM 三款 类型。Quidway S3500 系列快速智能三层交换机支持 L2L7 层的流分类,在流分类 的基础上可以进行 ACL 和 QoS 方面的多种操作,提供完善的路由协议、VLAN 控制、 流量交换、QoS 保证的机制,以及完备的业务控制和用户管理能力,可作为关注业务 管理控制能力的局域网/企业网、业务网和驻地网的汇聚三层交换机。 图 4.4 S3526C 外观图 该方案使用 S3526C 基于如下考虑:局域网内的普通 PC 机器为了安全考虑需要划 分为 5 个 VLAN,S
33、3526C 支持最多 256 个 VLAN,支持 isolate-user-vlan,可以隔离用 户,节省 VLAN 资源,局域网内有近 200 点的 PC 机,另有视频终端 6 个,S3526C 的 基于带宽百分比的广播风暴的抑制技术,可有效的抑制广播风暴。支持 STP 协议,支 持日志 QuidView 网管系统可以利用软件进行方便的设备配置及管理。两个前扩展模块 插槽可插一个 1 端口 1000Base-SX 模块(550m)满足线路要求。 S3526C 产品特点: 完备的安全智能控制策略: Quidway S3500 系列快速智能三层交换机支持 802.1x 认证,在用户接入网络时完
34、成必要的身份认证,还可以通过灵活的 MAC、IP 、VLAN、PORT 任意组合绑定,有 效的防止非法用户访问网络。 支持多种 ACL 访问控制策略,能够对用户访问网络资源的权限进行设置,保证网 络的受控访问。 丰富的 QoS 策略: Quidway S3500 系列快速智能三层交换机 通过对 ACL 的引用来完成 QoS 流分类 16 规则的定义,支持基于二层、三层、四层和端口的信息作为匹配依据的复杂流分类; 根据服务质量要求的为不同数据流网络流量设置传输优先级标记,满足视频、语音等 重要应用的需求。 支持带宽控制功能,确保进入交换机的特定业务流一个最小的带宽,即使在网络 拥塞时,也能满足一
35、定的丢包、时延及时延抖动等 QoS 需求。 多样的管理方式: Quidway S3500 系列快速智能三层交换机支持 SNMP,可支持 Open View 等通用 网管平台,以及 Quidview、iManager 网管系统。支持 Web 网管, TELNET,HGMP 集群管理,使设备管理更方便。 4.3.2 外网部分 在设计外网时,路由器使用 Quidway R3640E,交换机使用 Quidway S3026F, 出口为国产知名品牌的防火墙天融信网络卫士 4000-UF。 天融信网络卫士 4000-UF: 严格的安全区域保护 NGFW4000-UF 采用多安全区域体系,NGFW4000-
36、UF 防火墙的每个物理接口对 应一个独立的防火区域,每个区域的安全策略只对该区域有效。每个区域可以单独设 置自己的默认安全策略,所有对该区域的访问都将匹配与该区域对应的安全策略。也 可以设定是否允许从该区域PING 、TELNET 以及管理防火墙。可以定义某个接口连 接的网络为安全服务器网络(SSNSecurity Server Network ),将提供信息访问服 务的服务器安装于该网络区域内,与内、外网络从物理上隔离开来,并提供专门的安 全保护。 图 4.5 网络卫士 4000-UF 外观图 NGFW4000-UF一般情况下,SSN 主机不允许主动向内、外网发起连接请求,只 允许向内、外网
37、回应其请求数据包;外网用户也只能访问SSN 上的主机,不能访问内 部网主机。即SSN 与外部网之间受防火墙保护,同时SSN 与内部网之间也受防火墙保 护,即使SSN 受破坏,内部网络仍处于防火墙保护之下。同时NGFW4000-UF 提供的 SSN 保护功能针对用户最常提供的Web 访问服务进行专门保护,能定时检查SSN 区 Web服务器,进行校验,一旦发现服务器被入侵修改,能够根据备份的信息及时恢复 服务器内容,将服务器被入侵修改造成的影响减至最小。 强大的 VPN 功能 NGFW 4000-UF支持内建VPN 功能模块。选择拥有VPN 功能的NGFW4000-UF,就 能够与VPN 体系中的
38、VPN网关、Windows 客户端,当然也包括另外的启用了VPN 功 17 能的NGFW 4000-UF互通。它们之间可以建立加密隧道进行加密通信,形成虚拟专用 网,借助互联网组建安全可靠的私有网络。NGFW 4000-UF防火墙支持内嵌VPN 模块 支持,支持IPSEC、IKE等国际标准,支持国家有关密码管理部门批准的密码算法;支 持网关到网关、网关到远程客户端的隧道。 NGFW 4000-UF无缝集成VPN 功能,就相当于一台VPN 网关与一台防火墙两套系 统组合起来,更好地管理维护,而且由于是内建的功能支持,功能间的结合更加平滑 易用,并且可以实现防火墙能对密文和解密后的明文进行多层次的
39、安全控制,提供更 高的安全性。 该方案中使用网络卫士 4000-UF 是基于网络安全的考虑,企业网络对安全要求较 高,保证高效办公的同时又要保证政务办公网的安全,因此政务办公网和 Internet 外网 络必须进行隔离,NGFW 4000-UF 的 SSN 技术可以满足这一要求。对于 Internet 用户, 考虑到有些领导在出差时期需要进行移动办公,移动办公基于安全的考虑使用 VPN 拨 号,因此要求防火墙具有强大的 VPN 功能,在保证移动办公的同时,又保证了政务办 公网的安全。 4.4 服务器设备选择 根据该企业信息系统平台的应用系统对服务器的要求及对系统平台的规划,服务器 主要放置在办
40、公大楼的中心机房的办公区和外网区,通过对应用系统地分析,系统平 台需要以下服务器系统: 图 4.6 服务器设备图 在综合考虑了系统的先进性、实用性、成熟性、可用性、可靠性和可扩展性等方 面的因素,考虑此次办公管理系统对服务器平台的性能要求选择以下服务器: 18 数据库服务器:采用两台浪潮英信系列高端服务器英信 NF380 做双机集群系统, 选用主频为 Intel XEON MP3.0MHz/4M 的 CPU 两块,内存为 2G,服务器硬盘采用 36.4G 二块做 RAID1 来保护操作系统的安全。连接一台磁盘阵列柜,组成双机系统。 磁盘阵列柜配置 73G 热插拔硬盘 10 块,采用 Raid0
41、+1 技术对硬盘进行容错保护。服务 器操作系统以及数据库程序文件安装在本机上,数据文件保存在磁盘阵列中。 操作系统采用 Windows Server 2003 企业版。通过 Microsoft Cluster 系统集群软件 实现双机热备,运行甲骨文公司的 Oracle9i 数据库软件组成业务的支撑平台 ,同时提供 信息门户系统的信息存储。 办公应用服务器:考虑到办公的数据量和办公服务器的重要性,采用两台浪潮英 信系列服务器为用户提供办公业务。主服务器采用高端服务器英信 NF190,选用主频 为 Intel XEON MP2.8MHz/2M 的 CPU 两块,内存为 2G,服务器硬盘采用 73G
42、 五块做 RAID5 来保护操作系统的安全。备用服务器采用服务器英信 NF130 G2,选用主频为 Intel XEON MP2.8MHz/1M 的 CPU 两块,内存为 2G,服务器硬盘采用 73G 五块做 RAID5 来保护操作系统的安全。 操作系统采用 Windows Server 2003 标准版。应用软件采用 IBM 公司的 Lotus Domino/Note 消息平台为该企业提供办公业务。 DNS 服务器:采用浪潮英信系列服务器 NF130 G2 一台,选用主频为 Intel XEON 2.8MHz/512K 的 CPU 两块,内存为 2G,服务器硬盘采用 36.4G 二块做 RA
43、ID1 来保护 操作系统的安全。操作系统采用 Windows Server 2003 标准版,运行 DNS 服务来进行 域名解析服务,并于邮件服务器相配合完成邮件的内、外网的收发工作。 防病毒服务器:采用浪潮英信系列服务器 NF130 G2 一台,选用主频为 Intel XEON 2.8MHz/512K 的 CPU 一块,内存为 1G,服务器硬盘采用 36.4G 二块做 RAID1 来保护操作系统的安全。操作系统采用 Windows Server 2003 标准版,安装诺顿网络防 病毒软件,最为整个网络的病毒防护和管理中心,对所有的客户端进行统一的病毒代 码升级和管理工作。 视频服务器:采用一
44、台中太视讯的 Penteview 6088 mcu,128Kbps-2Mbps 会议带宽 范围可以满足该企业视频会议的需求。可提供 24 个点会议服务,满足视频会议 17 个 节点的需要。 WEB 服务器:采用浪潮英信系列服务器 NF130 G2 一台,选用主频为 Intel XEON 2.8MHz/512K 的 CPU 两块,内存为 2G,服务器硬盘采用 36.4G 二块做 RAID1 来保护 操作系统的安全。操作系统采用 Windows Server 2003 标准版,运行 IIS Server 6.0 来进 行网站的发布,通过此网站来实现对用户 Internet 平台的统一界面。能够为客
45、户提供通 过 Internet 进行办公信息、的发布和查询等功能。 认证服务器:采用华为的 CAMS 综合访问管理服务器,该服务器采用 Linux 9 系统 平台,Oracle9.0 数据库。CAMS 作为网络中的用户管理核心,在基本的 AAA(Authorization、Authentication and Accounting)功能之上, 提供了强大的 19 管理、维护和安全控制平台,实现网络的可管理、可运营和高安全。 第五章 系统及数据的安全设计 5.1 网络安全性 (1) 物理安全:政务办公网络是对安全性要求教高的网络,需要实现同外网隔离, 同时要保证可以实现移动办公,因此需使用硬件防
46、火墙对内外网络进行隔离,并使用 VPN 的 128 的加密技术,VPN 数据包在 Internet 中传输时,Internet 上的用户只看到公 用的 IP 地址,看不到数据包内包含的专有网络地址保证通信 的安全。 (2) 业务安全:办公楼内有多个不同的办公部门,不同职能的办公部门之间,特 别是对安全要求比较高的部门,例如财务办,该办公室需要划分在一个独立 VLAN 内。 将不同的工作部门划分在不同的 VLAN 内,使工作部门实现相互的隔离,保证了业务 之间的安全。各个部门如果有必要进行通信则通过路由进行通信。并在接入层交换机 上做访问控制。 (3) 网络设备安全:所有服务器均通过两条链路连接
47、到两台核心交换机上核心交 换机采用双机热备。核心交换机使用双引擎备份,一台 VTP Sever ,一台备份 VTP Server,并起用 VRRP。 5.2 数据安全性 通过对服务器系统数据的定期备份,可以形成冗余性的数据安全。当数据库方面 出现严重问题,不能够正常运行,需要进行恢复时,就能利用最近一次的备份文件, 将数据库恢复到备份时刻的状态,减少或避免出现数据大量丢失的严重故障,增强系 统和数据的安全性,减少整个系统恢复到正常运行状态的时间,缩短系统停机时间, 降低系统管理员的维护工作量,提高整个系统的安全性、可靠性、可维护性。同时数 据库服务器采用双机热备,保证了信息系统能够不间断的运行
48、。 5.3 病毒防护 因为在网络中存在大量客户端及各种应用的服务器,由于个人使用不规范或其它 原因,随时会出现客户端机器或服务器感染计算机病毒的可能,如果没有一个有效的 病毒防护措施及解决方案,就会对整个网络中的各个应用造成很大的影响。所以病毒 20 防护系统是不可缺少的一部分。这次主要考虑应用所有微软操作系统的网络中。 鉴于 Symantec 在对各种系统平台的全面支持上,防病毒技术的先进上,良好的可 管理性上的优势,本方案中采用 Symantec 的网络防病毒产品,将防病毒系统分为工作 站防病毒,服务器防毒,防病毒管理三个方面。 (1) 工作站防病毒 对于工作站的操作系统,因为其大部分操作
49、系统为 Windows 系列的操作系统,根 据工作站的系统类型,分别安装 Norton AntiVirus for windows3X/95/98/2000/xp,实现对 系统,磁盘,可移动磁盘,光盘以及调制解调器连接所收发文件的病毒防护。 (2) 服务器防病毒 对于内部网络的计算机,建议使用一台运行 2003 操作系统的机器作为防病毒的服 务器,一般为了管理方便,应该把 Symantec System Center(SSC)和防病毒服务器安装在 同一台服务器上进行管理。 (3) 防病毒管理 计算机病毒的防护主要从技术和管理两方面着手,重在管理。系统设计时,配备 有针对性的防病毒软件,积极预防和防止各种计算机病毒,同时,指定必要的计算机 应用方面的规章制度。 21 第六章 综合布线设计 6.1 设计依据 依据标准: a.IEEE802 标准 b.EIA/TIA 568 工业标准及国际商务建筑布线标准 c.EIA/TIA 569 国际商务建筑布线管理标准 安装与设计规范: a.建筑与建筑群综合布线系统工程设计规
Copyright © 2018-2021 Wenke99.com All rights reserved
工信部备案号:浙ICP备20026746号-2
公安局备案号:浙公网安备33038302330469号
本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。