計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案

經(jīng)典word整理文檔，僅參考，雙擊此處可刪除頁眉頁腳。本資料屬于網(wǎng)絡(luò)整理，如有侵權(quán)，請(qǐng)聯(lián)系刪除，謝謝！絡(luò)系統(tǒng)本方案將涉及以下范圍：系統(tǒng)需求概述網(wǎng)絡(luò)設(shè)計(jì)原則網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)設(shè)備選型網(wǎng)絡(luò)的安全性系統(tǒng)需求概述隨著網(wǎng)絡(luò)技術(shù)，信息通信領(lǐng)域的長足發(fā)展，網(wǎng)絡(luò)經(jīng)濟(jì)，知識(shí)經(jīng)濟(jì)再不是IT等高科技行業(yè)的專利，企業(yè)正利用其行業(yè)特點(diǎn)，汲取網(wǎng)絡(luò)技術(shù)精華，努力創(chuàng)造著制造業(yè)的又一個(gè)春天。未來是美好的，但現(xiàn)實(shí)不可回避。大多數(shù)企業(yè)對(duì)電子商務(wù)的一般認(rèn)識(shí)是電子商務(wù)能幫貿(mào)易公司、批發(fā)配送公司，孰不知電子商務(wù)已對(duì)傳統(tǒng)的制造業(yè)形成了巨大沖擊。在這種形式下，面對(duì)企業(yè)規(guī)模的擴(kuò)大，新廠區(qū)的啟用，為了加強(qiáng)生產(chǎn)經(jīng)營管理，提高企業(yè)生產(chǎn)水平和管理水平，使之成為領(lǐng)導(dǎo)市場的現(xiàn)代化企業(yè)，并為浙江生迪光電有限公司的長遠(yuǎn)發(fā)展提供更好的條件提出了網(wǎng)絡(luò)系統(tǒng)建設(shè)方案。提出了非常高的要求。作為系統(tǒng)運(yùn)行的支撐平臺(tái)，更是重中之重。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)整體安全系統(tǒng)以及整個(gè)系統(tǒng)集成建設(shè)是否成功，變得尤其重要。實(shí)施的經(jīng)驗(yàn)積累，我們認(rèn)為，本次關(guān)于景興限公司計(jì)算機(jī)網(wǎng)絡(luò)核心系統(tǒng)的總體需求可以概括為：1、實(shí)現(xiàn)企業(yè)的信息化管理，提高經(jīng)濟(jì)管理水平和服務(wù)質(zhì)量，實(shí)現(xiàn)企業(yè)的經(jīng)濟(jì)效益與社會(huì)效益的同步增長。在此基礎(chǔ)上發(fā)展企業(yè)的決策支持輔助信息系統(tǒng)，因此我們計(jì)算機(jī)網(wǎng)絡(luò)核心系統(tǒng)也將緊緊圍繞著這些應(yīng)用展開。2、建設(shè)機(jī)房與相應(yīng)的網(wǎng)絡(luò)系統(tǒng)。3、建立比較完備的安全防護(hù)體系，實(shí)現(xiàn)信息系統(tǒng)的安全保障。4、系統(tǒng)必須保持一定的先進(jìn)性、可擴(kuò)展性、高可用性、高穩(wěn)定性、易維護(hù)性。網(wǎng)絡(luò)設(shè)計(jì)原則（1）先進(jìn)性與成熟性相結(jié)合在構(gòu)建系統(tǒng)時(shí)絞盡腦汁地在技術(shù)的先進(jìn)性與成熟性之間尋求平衡。先進(jìn)而不成熟的技術(shù)不敢用，而太成熟的技術(shù)又意味著過時(shí)和淘汰。本方案充分考慮了先進(jìn)性與成熟性相結(jié)合。（2）合理、靈活的體系結(jié)構(gòu)從長遠(yuǎn)角度來看，也可以提供很好的投資保護(hù)。（3）系統(tǒng)的開放性協(xié)議來實(shí)施網(wǎng)絡(luò)連接，保證現(xiàn)在和將來與其他系統(tǒng)的可連通性。我們采用工業(yè)標(biāo)準(zhǔn)的硬件設(shè)備，以保證獲得大多數(shù)廠商的長期技術(shù)支持。（4）系統(tǒng)的高可靠性設(shè)計(jì)方案不但要保證理論上可行，更重要的是實(shí)際上可用,要充分考慮具體情況，充分滿足網(wǎng)絡(luò)需求。到最低。（5）一體化的網(wǎng)絡(luò)管理隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和系統(tǒng)復(fù)雜程度的增加，網(wǎng)絡(luò)管理和故障排除變得越來越困難,本方案將提供先進(jìn)而完善的網(wǎng)絡(luò)管理工具。（6）系統(tǒng)可擴(kuò)充性網(wǎng)絡(luò)設(shè)備的內(nèi)部模塊的擴(kuò)充方式來實(shí)現(xiàn)系統(tǒng)升級(jí)，保證原有投資。（7）系統(tǒng)安全性系統(tǒng)安全性包括保障網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)信息的完整性。（8）系統(tǒng)易維護(hù)性意系統(tǒng)的可維護(hù)性。（9）充分考慮性價(jià)比成方案書和產(chǎn)品選型，本方案充分考慮到這一點(diǎn)。（10）完善的本地支持服務(wù)構(gòu)建一個(gè)系統(tǒng)最重要的還要考慮到系統(tǒng)能按時(shí)保質(zhì)地開通，并能保持它的連續(xù)正常地運(yùn)行。集成商及其設(shè)備廠家提供的服務(wù)，特別是本地支持服務(wù)的及時(shí)響應(yīng)和質(zhì)量是系統(tǒng)能否成功的關(guān)鍵因素之一。我公司為美國網(wǎng)思科Cisco嘉興地區(qū)的認(rèn)證代理商及本公司完善的服務(wù)中心是本方案書履行及系統(tǒng)持續(xù)正常運(yùn)行的可靠保證。主要技術(shù)要求1.采用成熟、先進(jìn)的計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)；2.統(tǒng)一技術(shù)規(guī)范、標(biāo)準(zhǔn)和方案，統(tǒng)—組織實(shí)施；3.以標(biāo)準(zhǔn)化為基礎(chǔ)實(shí)現(xiàn)系統(tǒng)的開發(fā)性、可擴(kuò)展性、異構(gòu)網(wǎng)絡(luò)的互聯(lián)能力；4.注意避免網(wǎng)絡(luò)設(shè)計(jì)上出現(xiàn)信息流傳輸?shù)钠款i效應(yīng)，信息的安全性以保證網(wǎng)絡(luò)每天可靠地運(yùn)行；5.通信和數(shù)據(jù)的安全，建立完善的網(wǎng)絡(luò)安全管理機(jī)制；6.網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)設(shè)計(jì)總體考慮當(dāng)今網(wǎng)絡(luò)的發(fā)展正遠(yuǎn)遠(yuǎn)超出了單純追求基本連通的歷史階段。我們?cè)诰W(wǎng)絡(luò)連通基礎(chǔ)上QOS高可靠性，Scalability可擴(kuò)展性等增值服務(wù)。在此基礎(chǔ)上，多層次的網(wǎng)絡(luò)管理也是網(wǎng)絡(luò)成功與否的一個(gè)關(guān)鍵所在。統(tǒng)計(jì)數(shù)據(jù)表明，網(wǎng)絡(luò)的建設(shè)成本在總成本的三分之一。網(wǎng)絡(luò)的運(yùn)營管理成本都要消耗總成本的三分之二左網(wǎng)絡(luò)總體設(shè)計(jì)在現(xiàn)在的計(jì)算機(jī)網(wǎng)絡(luò)通信應(yīng)用中，信息流已不再是單純的數(shù)據(jù)，同時(shí)還有聲音、圖像和視頻等多媒體信息。系統(tǒng)設(shè)計(jì)和管理人員的一個(gè)很自然的選擇就是盡可能向用戶提供財(cái)根據(jù)有限公司的需要，我們推薦景興公司采用100M/1000M以太網(wǎng)，既適用于目前數(shù)據(jù)交換又能滿足于多媒體傳輸,100M/1000M以太網(wǎng)在先進(jìn)、成熟、實(shí)用、升級(jí)擴(kuò)展、開放性與互連方便等方面都具有明顯的特點(diǎn)：1）高可靠性（HighAvailability）2）高性能(HighPerformance)3）高可擴(kuò)展性(HighScalability)4）高品質(zhì)的網(wǎng)絡(luò)服務(wù)質(zhì)量（QOS）景興公司網(wǎng)絡(luò)系統(tǒng)采用集中分布式二層網(wǎng)絡(luò)結(jié)構(gòu)，建成主干為1000M光纜連接，100M網(wǎng)線到桌面的新廠區(qū)網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)拓?fù)浼罢f明辦公樓機(jī)房新增核心交換機(jī)Cisco4507R1臺(tái)配置最新的第六代萬兆引擎2塊保證技術(shù)的先進(jìn)性，同時(shí)引擎320G的交換容量保證網(wǎng)絡(luò)數(shù)據(jù)的線速轉(zhuǎn)發(fā)，萬兆接口預(yù)留以后萬兆接入，2塊引擎互為冗余；另配置冗余電源；配置48口10/100/1000M電口板1塊提供服務(wù)器群、AP及辦公樓內(nèi)重要信息點(diǎn)接入；配置24口SFP光口板2塊通過單模光纖模塊連接各接入交換機(jī)；核心交換機(jī)共7個(gè)插槽，預(yù)留2個(gè)插槽為將來擴(kuò)容。辦公樓機(jī)房各樓層新增48口或者24口10/100M接入交換機(jī)負(fù)責(zé)本樓層內(nèi)各信息點(diǎn)接入網(wǎng)絡(luò)，交換機(jī)通過雙路單模光纖模塊捆綁（提供雙向4G速率，保證網(wǎng)路的冗余）接入核心交換機(jī)。網(wǎng)絡(luò)設(shè)備選型景興公司網(wǎng)絡(luò)系統(tǒng)中，主干核心交換機(jī)是肩負(fù)所有設(shè)備互連、交換處理的重要設(shè)備，并具有可靠性高，交換處理能力強(qiáng)、擴(kuò)展性能好等特點(diǎn)。一.核心交換機(jī)Cisco4507R:景興公司網(wǎng)絡(luò)系統(tǒng)中,核心三層交換機(jī)采用美國思科Cisco4507R交換機(jī),交換機(jī)采用了優(yōu)化的體系架構(gòu)，可以實(shí)現(xiàn)高性能的全線速的第二層和第三層交換，滿足網(wǎng)絡(luò)骨干大流量、多應(yīng)用、高可靠的需求。并提供一流的性能、可管理性和靈活性以及無與倫比的投資保護(hù)。二.樓層交換機(jī)采用思科二層網(wǎng)管10/100M可以交換機(jī)WS-C2918。三.公司網(wǎng)絡(luò)IP地址的規(guī)劃與VLAN的劃分如下:A:由于有限公司的數(shù)據(jù)信息點(diǎn)有公司多個(gè),現(xiàn)將IP地址規(guī)劃為C類網(wǎng)段,具體如下:服務(wù)器無線來賓可靠性與安全保密性局域網(wǎng)在網(wǎng)絡(luò)層中不安全的地方1）不安全的地方黑客就對(duì)可以對(duì)信息包進(jìn)行分析，那么本廣播域的信息傳遞都會(huì)暴露在黑客面前。2）網(wǎng)絡(luò)分段網(wǎng)絡(luò)分段是保證安全的一項(xiàng)重要措施，同時(shí)也是一項(xiàng)基本措施，其指導(dǎo)思想在于將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問的目的。網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式：物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層（ISO／OSI模型中的第一層和第二層）上分為若干同段，各同段相互之間無法進(jìn)行直接通訊。目前，許多交換機(jī)都有一定的訪問控制能力，可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的物理分段。邏輯分段則是指將整個(gè)系統(tǒng)在網(wǎng)絡(luò)層（ISO／OSI模型中的第三層）上進(jìn)行分段。例如，對(duì)于TCP／IP網(wǎng)絡(luò)，可把網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)間必須通過路由器、路由交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接，利用這些中間設(shè)備（含軟件、硬件）的安全機(jī)制來控制各子網(wǎng)間的訪問。在實(shí)際應(yīng)用過程中。通常采取物理分段與邏輯分段相結(jié)合的方法來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全性控制。3）VLAN的實(shí)現(xiàn)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換器和VLAN技術(shù)后，實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊，除非設(shè)置了監(jiān)聽口，信息交換也不會(huì)存在監(jiān)聽和插入（改變）問題。由以上運(yùn)行機(jī)制帶來的網(wǎng)絡(luò)安全的好處是顯而易見的：＊信息只到達(dá)應(yīng)該到達(dá)的地點(diǎn)。因此、防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。＊通過虛擬網(wǎng)設(shè)置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。但是，虛擬網(wǎng)技術(shù)也帶來了新的安全問題：執(zhí)行虛擬網(wǎng)交換的設(shè)備越來越復(fù)雜，從而成為被攻擊的對(duì)象。基于網(wǎng)絡(luò)廣播原理的入侵監(jiān)控技術(shù)在高速交換網(wǎng)絡(luò)內(nèi)需要特殊的設(shè)置?；贛AC的VLAN不能防止MAC欺騙攻擊。采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基于交換機(jī)端口。但這要求整個(gè)網(wǎng)絡(luò)桌面使用交換端口或每個(gè)交換端口所在的網(wǎng)段機(jī)器均屬于相同的VLAN。4）VLAN之間的安全劃分原則VLAN分VLAN，可以將總部中的服務(wù)器系統(tǒng)單獨(dú)劃作一個(gè)VLAN，如數(shù)據(jù)庫服務(wù)器、電子郵LeaderVLAN，并且控制LVLAN與其他VLANLVLAN查看其他VLANVLAN不能訪問LVLAN的信息。VLAN之內(nèi)的連接采用交換實(shí)現(xiàn)，VLAN與VLAN之間采用路由LVLAN與其他VLAN之間的單向信息流動(dòng)，需要在LVLAN與其他VLAN之間設(shè)置一個(gè)GauntletVLAN與VLAN之間的信息交流。網(wǎng)絡(luò)安全的措施防火墻防火墻并非萬能，但對(duì)于網(wǎng)絡(luò)安全來說還是必不可少的。它是位于兩個(gè)網(wǎng)絡(luò)之間的按照系統(tǒng)管理員預(yù)先定義好的規(guī)則來控制數(shù)據(jù)包的進(jìn)出。大部分防火墻都采用了以下三種工作方式中的一種或多種；使用一個(gè)過濾器來檢查數(shù)據(jù)包的來源和目的地，根據(jù)管理員的規(guī)定接收或拒絕數(shù)據(jù)包；掃描數(shù)據(jù)包，查找與應(yīng)用相關(guān)的數(shù)據(jù)；在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行模式檢查，看是否符合已知“友好”數(shù)據(jù)包的位(bit)模式。網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)的安全管理措施1．為確保網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行和數(shù)據(jù)可靠共享，局域網(wǎng)系統(tǒng)／網(wǎng)站所實(shí)現(xiàn)的安全措施包括：通信對(duì)方鑒別參與通信的一方可以檢驗(yàn)對(duì)方的身份，鑒別其真?zhèn)魏驮L問權(quán)限?？刹捎谩皢畏借b別”和“互相鑒別”兩種方式；數(shù)據(jù)發(fā)方鑒別在無連接的通信中，接收方鑒別發(fā)送數(shù)據(jù)方身份后方才接收數(shù)據(jù)，以防止欺騙數(shù)據(jù)的侵入；訪問控制只有授權(quán)用戶才能進(jìn)入特定的局域網(wǎng)，使用網(wǎng)絡(luò)資源；數(shù)據(jù)保護(hù)保證專用數(shù)據(jù)不被無權(quán)用戶獲取，這是通過控制訪問或數(shù)據(jù)加密實(shí)現(xiàn)的；業(yè)務(wù)流分析防護(hù)網(wǎng)絡(luò)中某些特定的業(yè)務(wù)流出現(xiàn)的頻度，長度和信息來源等等，也具有一定的保密意義。本措施即是對(duì)特定的業(yè)務(wù)信息流進(jìn)行必要的屏蔽，以避免無權(quán)用戶通過分析這些業(yè)務(wù)流而獲取有用信息；數(shù)據(jù)完整性保護(hù)發(fā)方和收方確認(rèn)2．?dāng)?shù)據(jù)安全措施和保密性數(shù)據(jù)的安全性表現(xiàn)在以下幾個(gè)方面：1）防止因硬件故障造成的數(shù)據(jù)破壞我們通過采用優(yōu)質(zhì)、高性能的設(shè)備和采用切實(shí)可行的系統(tǒng)容錯(cuò)技術(shù)可以完全保證因硬件故障造成的數(shù)據(jù)破壞。2）保證數(shù)據(jù)不被竊取和破壞建立相應(yīng)的安全管理機(jī)制和在用戶中樹立安全意識(shí)，防止泄密事件發(fā)生，以保證數(shù)據(jù)不被竊取。3）防止病毒破壞一方面，要求網(wǎng)上的用戶不要隨意拷貝外來磁盤和下載網(wǎng)上文件，不要隨意使用盜版光盤，防止病毒進(jìn)入網(wǎng)絡(luò)；另一方面使用殺毒軟件對(duì)工作站進(jìn)行病毒清理，在網(wǎng)上安裝防病毒軟件，也是一種防止網(wǎng)上病毒侵蝕的有效途徑。4）防止人為破壞和“黑客”攻擊采用INTERNET防火墻技術(shù)，在和INTERNET連接的通道上設(shè)立防火墻，屏蔽本系統(tǒng)的IP地址，對(duì)出入的數(shù)據(jù)包進(jìn)行過濾，防止“黑客”通過INTERNET攻擊本系統(tǒng)。同時(shí)網(wǎng)絡(luò)之間也需進(jìn)行數(shù)據(jù)包的過濾，防止有人通過系統(tǒng)破壞網(wǎng)絡(luò)。保證整個(gè)系統(tǒng)的安全。在系統(tǒng)內(nèi)部建立一整套嚴(yán)密的帳戶和口令管理機(jī)制，可以有效的防止人為破壞。3.硬件設(shè)備的安全選擇優(yōu)質(zhì)的硬件設(shè)備是保證系統(tǒng)安全可靠的前提條件即全系統(tǒng)的硬件設(shè)備：包括服務(wù)器、核心交換機(jī)、路由器、PC工作站等等的安全性。硬件設(shè)備的安全性主要由設(shè)備本身的性能和系統(tǒng)采用容錯(cuò)技術(shù)來保證。最主要的是決定于設(shè)備本身的性能，所以我們選擇了世界著名網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商美國思科Cisco公司的防火墻產(chǎn)品。防火墻采用思科ASA系列自防御ASA5540。C