1、CAV 计算机网络系统设计第一节、广域网设计http:/根据用户需求分析,分布在全国各地的 CAV 主控中心和辅控中心采取就近连入 ChinaNET 的方式,通过基于 TCP/IP 的互连网络实现系统的广域连接。同时,为了实现网络电子交易,还需与 ChinaEDI 连接。同租用专门的链路连接各节点的广域连网方式相比,这种连网方式具有下述优点:系统建设周期短;系统建设成本低;系统拓扑结构简单,不需要考虑复杂的路由规划;系统开放性好;由于是利用开放的 Internet 建立企业网络(Intranet) ,网络的安全性是系统设计时必须考虑的问题。本设计方案设计从两个方面保障广域网连接的安全性:1在各
2、节点与 ChinaNET 连接处设立防火墙网关,防止未经授权的非法访问;2各节点与 ChinaNET 连接时考虑链路冗余;由于利用公网实现广域连接,不再需要绞尽脑汁地考虑冗余拓扑结构,但为了提供稳定地连接,保障不间断地提供服务,可以在系统设计时考虑在核心节点和 ChinaNET 之间采用双路由,如在使用 DDN 链路的同时用 ISDN 作为备份。3利用 VPN 实现安全的企业网信息传输;通过 VPN 技术使用 Internet 的开放、分式基础结构通过安全隧道(IP Tunnel)在各受保护的局域网间的信息传输经过加密的私有数据可以提高网络安全保障。第二节、局域网设计一、系统结构根据用户需求,
3、局域网的建设包括主控中心局域网的建设和三个辅控中心局域网的建设。由于北京主控中心与北京辅控中心在物理上在一起,所谓主控、辅控的区别只是逻辑上的划分,因此进行局域网设计时,我们将它们合为一个节点统一设计。广州辅控中心和上海辅控中心仅仅只是物理位置的不同,系统功能完全相同,因此我们只描述一个辅控中心的系统设计。遵照系统说明书的要求,建议采用如下具体的网络建设方案:各辅控中心、主控中心的网络均采用星型结构,中心局域网采用 Fast Ethernet 交换机作为核心,各个功能子系统根据各自承担功能的特点,分别以10M 或 100M Ethernet 的方式接入此交换机。部门交换机(3Com 的 Swi
4、tch 1100)采用 100M Ethernet 的方式接入核心交换机,为部门网络设备提供 10M 交换式以太网环境。各功能子系统构成相对独立的 VLAN,便于管理和安全控制。北京辅控、主控中心节点的网络物理连接图如下所示:图 1辅控中心的网络物理连接如图十九所示。与北京节点基本相同。图 2二、用户接入子系统根据“系统说明书”所述用户需求,CAV 网络系统应具备拨号用户接入功能,各个网络节点提供 16-32 个物理接入端口。各网络节点用户接入子系统采用 Cisco 2511 作为拨号拨号接入路由器,通过在接入路由器的异步口连接一定端口数量的 16 口 Modem Pool 连接PSTN,面向
5、内部管理人员、CAV 会员单位和广大用户提供访问信息网络服务平台和企业专网的途径。对于通过 PSTN 拨号接入 CAV 的用户必须经 RADIUS Server 进行认证、授权和计费,用户接入帐号全网统一,可以实现异地漫游。通过接入路由器的设置,可以根据用户帐号实现对不同的接入用户提供不同的物理网络访问权限,例如对某些用户只允许访问某些网端或只能使用某些网络服务(WWW,E-Mail 等)而不允许它访问其他网端,使用别的网络服务。三、网络互联子系统网络互联子系统提供与社会信息源、CHINANET、ChinaEDI 的互联功能,包括网络层的连接、应用层的连接。其中网络层连接由 LAN 交换机、N
6、AT 防火墙、Internet 连接路由器等组成。各节点采用 Cisco2503 作为 Internet 接入路由器,Cisco PIX520 作为 NAT防火墙,通过 128K-512K DDN 专线与 ChianNET 连接。Cisco2503 同时支持 DDN接口和 ISDN BRI,建议可选择 128K ISDN BRI 链路作为核心节点的备份链接。四、系统服务子系统系统服务子系统提供标准 INTERNET 服务、电子商务服务等功能,包括 WWW服务/虚拟 WWW 服务、DNS、用户应用服务(Mail、Fax、FTP、News、BBS) 、多媒体服务(例如:Video、Music、Ra
7、dio 等) 、导航服务,网络交易等服务功能。交易服务器是系统服务子系统的核心,北京主控中心、辅控中心共用一套交易服务器,采用两台 HP 9000 K370 和 RAID 磁盘阵列构成双机热备份系统。上海、广州各辅控中心的信息/交易服务器选择 HP 9000 D280,采用磁盘阵列实现交易数据可靠存储,将来业务发展后可以方便的将交易服务器系统升级为双机热备份。第三节、IP 地址与域名规划众所周知,IP 地址是 Internet 上的“电话号码” ,任何一个网络设备或主机要成为 Internet 上的独立可识别节点,都需要有一个在 Internet 上唯一的 IP 地址。目前 IP 地址资源在全
8、球范围内都非常匮乏,我国更是如此。申请 DDN 专线时分配的 Internet 合法 IP 地址数量十分有限。因此,必需合理规划 IP 地址的分配,既满足网络互联、资源互访的要求,又要减少对 Internet 合法 IP 地址资源的占用。各节点 IP 地址的分配采用 Internet 合法 IP 与内部保留 IP 地址相结合的方式。网内的设备均采用 Internet 保留 IP 编址,同时采用 Cisco 的 PIX 设备利用 NAT技术实现保留 IP 与合法 IP 之间的动态转换功能。下图是一个应用 PIX 实现 NAT 的示例:图 3内部保留 IP 地址的分配应采用 CIDR 技术统一分配
9、,保持连续性,合法 IP地址的使用也应保持对应的连续性,以减少 PIX 网关内部地址转换表和地址池的记录数目,以提高 PIX 的效率。域名系统由域名空间和资源记录;域名服务器;解析器组成。由于使用保留 IP 地址,我们建议 CAV 网络各节点采用一套域名、两套 IP解析机制。在内设一台 DNS 服务器供内部网络域名 IP 解析使用,同时利用ChinaNET 提供的 DNS Server 完成 Internet 域名IP 解析使用。如图二十一所示:图 4Internet 域名服务提供两个重要的基本功能:域名解析和邮件服务。域名解析功能是不言自明的; 邮件服务是指利用邮件交换机记录提供邮件交换机的
10、域名查询。 由于使用保留 IP 地址和两套域名IP 机制, 因此要对内部用户提 供 Internet 邮 件 功 能, 必须在两套域名IP 之间进行配合:对于不同的 IP网之间的邮件需要指定相应的邮件交换机相互转发,但域名保持一个命名。第四节、系统安全策略随着 INTERNET 的不断发展及网络商业用途的增加,网络系统的安全得到了越来越多的重视。作为基于 INTERNET 技术的电子商务网络系统,其安全性问题更需要放在一个重要的位置。从计算机安全学的观点分层进行分析,计算机网络的安全包括以下几个方面:首先是物理层的安全,即主机及路由器等网络硬件设备物理上的安全;其次是网络结构的安全,即整个网络
11、不应该由于局部的故障而导致瘫痪;第三层是网络操作系统的安全;最高层则为网络应用,包括信息传输的安全。在以上四层的安全性问题中,物理层的安全主要由硬件设备及机房的设计来保证,网络结构的安全,主要由网络拓扑结构设计及网络协议的选用来保证。在这里我们将主要描述操作系统及应用层的安全问题。另外,作为一个电子商务网络,还必须考虑交易系统的的安全性、信源及用户的安全性,交易系统的安全性设计在第三章已有详细设计,对于信源及用户的安全性我们将从防火墙的设计数据的存贮及传输等方面予以阐述。一、网络物理安全网络的物理安全问题主要有:网络硬件设备本身的故障问题;因机房环境,火灾等导致的设备故障问题;因机房结构设计或
12、管理所导致的主机设备物理入侵问题。为提高网络的物理安全性,主要对策有: 选用高可靠性硬件设备,对于重要的服务器采用双机或多机的冗余设计方案; 提高对机房的环境及检测报警系统的要求,注意工程的配套设计及工程质量; 加强机房的防盗管理及操作人员的安全意识培训,以避免设备被盗或从终端被入侵。二、网络结构安全网络结构安全主要由网络拓扑结构的设计及网络协议的选用来保证,主要有以下两方面: 在网络拓扑结构设计中考虑冗余路由,包括传输线路的冗余及拓扑结构上的冗余。本方案的网络设计充分考虑到安全性问题,尽量保证传输线路和设备的冗余。 在全网采用动态路由协议,如 OSPF 等。 采用放火墙进行访问控制。三、操作
13、系统安全操作系统的安全问题是当前网络安全中最为重要的,也是最复杂的。长期以来,UNIX 一直作为 INTERNET 的支撑操作系统而存在, (或者说,INTERNET 是和 UNIX 共同发展起来的) ,由于 INTERNET 及 UNIX 从体系结构到通信协议的广泛开放性(甚至 UNIX 的源码也是公开的) ,系统发展中一些不可避免的安全漏洞就必然的暴露于网络黑客(HACKER)并且被广泛的传播,从而造成了很多的安全问题。 (必须提出的是,虽然 UNIX 在发展过程中有不少的安全漏洞,但已经发现的问题均已经在很短的时间内被各 UNIX 厂商解决,如果随时注意安装补丁(PATCH)或最新版的软件,UNIX 操作系统的安全性仍然是有保证的。 )固然操作系统有着已经发现或仍然没有发现的安全漏洞,但是大部分的安全问题却是由于系统管理所导致的,例如:密码设置不当且不定期修改,文件权限设置不对,NFS、WWW 服务器等配置不当。为提高操作系统的安全性,我们在系统设计中综合采用以下对策: 通过防火墙或路由器中 ACL(ACCESS CONTROL LIST)的设计,禁止本地拨号用户及网络黑客对没有必要开放的主机及端口的访问; 在主机上利用 TCP WRAPPER 控制特定服务所允许的客户机地址范围,并进行记录(LOG);
