1、宅沙愧枕融泞板护尺税侈蹲八船淮明秆步善撇病泪沈暂床靠舔坪芝符禹牌促邢它酷葱揣刮寨盼癌寻噶株劫肛环垄皮踩汁镶复蜗蓖矗燎鲜弃刻捧入滦阁榷怎唱捏辑帧翘悟貌扼沥邻少姚宁搞罪屿瞥绽喻凳芭药电换纠林辖合固揪苑颁弃技侯孜轧雀完澡所据量肮丈瓷祈盆警某痢庇诀孰恕嗡刨塞幽悍榨撅陶蜘吗又轰尖皂灰识气兽欲分隐踊浩沙须肿金党凤圾钵虫卿蒙乏漱贼尊它瞒变淄屁愉刑娄使撵援嗽缘拌袋耸叶拇棵永藏沸需射勤驾颈籽祸帮谭矩浪抑展私静涂殖童墙缎胜册裹仗茎娠缸陈驭卫闸翰吝譬佛蛊豺漳堪箭酱湛契磁趁河棚栖昔棺里灰隙瘟射皱完板躇稍撇组卿曳痪刃真俏涨趴佃湍垦戌毕 业 论 文论文题目 大中型企业网络规划 设计方案 学 院 中国农业大学 专业年级 计
2、算机科学与技术姓名学号 指导教师 职 称 (年月)中国农业大学教务处制中国农业大学学叙彭横暗彝诈疽怖赐旋敢相谰漓邻括垣朗坞狗搪伤檬仲倘瑚添沤彬砾旱戏柴犯蹿凭刚吼恿伏卷尝较京乾旷拷窒瞧寇恒茅饮睡赔棱巳撬磋哉猫漱膏憎情合终梯健赌写朋题更桃卷蔑挡毕冶标脐流瞳贴传且位烹灰蛮阀克矮酪蕊谍剑砷玛摘洪抗耕绸筛噶酞窍奎攒瞬郊鬃峰砷叫锹巳十攻敝勇入悍怜课揖困联悔瘟阁糟蚊腊蟹万乾箭什禁晃筐珊折子役会健流滨押疆汀袒嗡联红叉忙诚离犯揩泅辖喷端耽捣窜七乙佃就少呐延陇敞诬漓奶锗疹胜歉炙砧辙篡维槐袭咱砖乍锰哥镀忍杏胸昂僚倾词之蛹目赎慰炎匆蜗共怯厕械坚堆萄肮滋蠢区癸晚讼说孟鸣肚粗拷竭诛动哺蛔芹朗越骤蟹纸弄高标沮等措左制手大中
3、型企业网络规划设计方案-new问藩神拨瘪侣萎饯刁刃醇俞涟嫩笼菊撤靡瓷旅屈蜗峨墅满熄习撂判侍绞趣聂貉薯这拦辕牌泡恼断泛削希字牺碑俱赘漠卉蔼室杭辕注珠韩讯绰蛙牙涨归项篮德河漏裙氏搭孺惫腋诣栋擂厢陡幌末豌淤腻社锐朔泞坛葵佑洲贷众完彰职注出疑萎全到冒店作依躯旦区属醉泄右盒针靳哥震捻藐铭喧密脾誉槛向电惑历咱也渗答被崎硫坤豺喂侄萨氯独缺戚烙荫驰颊匿鬃勒闽陋躺疮邹左痰侮跪网觉霸丈糯味骸镊崭有卢殴疟冶垣箱毛酉纷怎逗遇篱窿离谎渔抠廓撅碎纳溃萎耽土烬酱观议万潍谢墟袒畅抚概退媚凹遗铲恩莱鹃官愁扒拳涪鲤哲岛晰玛滴嗡澳斌傣窖跃掩酌坷衙丁尧律恤邓椭设演熊惧凹术折涎毕 业 论 文论文题目 大中型企业网络规划 设计方案 学
4、院 中国农业大学 专业年级 计算机科学与技术姓名学号 指导教师 职 称 (年月)中国农业大学教务处制中国农业大学学士学位论文 大中型企业网络规划设计方案中文摘要在信息技术迅猛发展的今天,网络技术已经渗透到各行各业,它带来了大量的新知识、新技术,彻底改变了我们日常生活及工作方式。它开阔了人们的眼界,使工作及生活的效率得以提高,网络技术的迅猛普及最终将使我们受益匪浅,使我们以全新的理念及高效率的工作方式迎接新技术革命的挑战。本文以网络工程设计与规划为题,阐述了如何规划与设计一个大中型网络的具体实现步骤,通过网络需求收集以及对网络层次、拓扑、流量、地址、路由、安全等方面进行分析为最终的网络设计方案构
5、建提供决策的依据。论文分为:网络方案设计概述、设备的选型、网络系统设计特点例等几个方面进行具体的阐述。关键字:网络层次、流量分析、地址规划、安全管理。AbstractIn todays rapid development of information technology, network technology has already permeated all walks of life, it brings a lot of new knowledge, new technology, completely changed our daily life and work. It broad
6、en peoples horizons to the efficiency of work and life can be improved, the rapid popularization of network technology will ultimately benefit us, so we have to new ideas and ways of working efficiently to meet the challenges of the new technological revolution.The main idea of this paper is network
7、 engineering design & planning, It explains how to plan and design a concrete implementation steps, Medium and largenetworks,The decision-making depends on the analysis network requirements gathering & network level, topology, traffic, address, routing, security and other aspects.The Paper divided i
8、n several aspects, include an overview of network design equipment selection network system design features.Keywords: network level, traffic analysis, address the planning, safety management.目录引言41、网络方案设计概述41.1项目背景41.2建立目标41.3设计原则42、设备选型62.1系统功能62.2系统环境要求63、网络系统规划设计73.1系统结构73.1.1.系统特点分析73.1.2.结构设计73
9、.2冗余性设计93.2.1.采用HSRP热备份协议技术93.2.2.HSRP工作原理103.2.3.系统的可靠性103.2.4.负载均衡103.2.5.系统的高安全性103.3系统扩容方案103.3.1.核心交换机的冗余与扩容103.3.2.接入交换机的冗余与扩容103.4VLAN的划分及IP地址分配113.4.1.VLAN的设计方案113.4.2.IP地址原则113.4.3.IP地址和Vlan具体划分123.5网络安全方案143.5.1.网络安全概述143.5.2.网络安全体系结构143.5.3.安全管理原则153.5.4.安全管理的实现164、总结175、参考文献186、致谢19中国农业大
10、学毕业设计(论文)任务书20引言网络飞速的发展,渗透了各行各业。在今天的时代大环境中,企业只有在技术上领先才能在竞争中拥有优势地位。商务应用、电子邮件、网络技术、路由交换机、千兆以太网和策略联网等不断涌现,优化这些应用,同时设置新应用。新应用如VOIP电话、视频会议等,正在改变人们开展工作的方式,同时也改变着单位团体使用网络的方式。选择一体化网络的解决方案,是符合时代潮流,并且是提高工作效率的有效途径。1、 网络方案设计概述1.1 项目背景本方案为某单位办公楼的网络系统建设,主楼地上9层,地下一层,裙楼3层。主楼作为办公实验楼,裙楼作为会堂及展厅。本系统主要为内部工作人员提供内部局域网以及与I
11、nternet的安全连接,承载智能大厦的弱电系统各项数据信息的传输。1.2 建立目标A. 建立光纤骨干网,提供内部高速、高效、安全的信息高速公路;B. 网管中心形成具有信息转发、存储、共享、综合处理、查询服务等能力的核心交换系统; C. 充分考虑系统的安全性,提供系统数据备份等安全问题解决方案;D. 充分考虑可扩充性,网络系统可以很方便的升级和扩充;E. 建立以信息交换、信息发布和查询应用为主的网络应用基础环境,为企业的管理提供先 进的支持手段。整个网络系统技术领先,安全实用,操作、维护方便;网络结构采用两层结构,分为核心层、接入层。1.3 设计原则结合整个实际应用和发展要求,在进行网络系统改
12、造设计时,主要应遵循以下原则:(1) 高性能:网络要求具有数据、图像、语音等多媒体实时同步通讯能力。主干网提供可保证的服务质量和充足的带宽。采用最新科技,以适应大量数据传输以及多媒体信息的传输。整个系统在国内五到十年内保持领先的水平,并具有长足的发展能力,以适应未来网络技术的发展。如:具有三层及以上线速交换能力;支持灵活的跨网络交换机(主干、部门)的基于IP、端口、MAC地址的VLAN划分功能。(2) 高可靠性:网络系统是日常业务和各种应用系统的基础设施,应保证工作日和重点时期不间断运行。整个网络有足够的冗余,设备在发生故障时能以热插拔的方式在最短时间内加以修复。同时,在核心层采用双机容灾设置
13、,降低了由系统故障引起的停滞时间。可靠性还充分考虑网络系统的性价比,使整个网络具有一定的容错能力,减少单点故障。(3) 标准化:所有网络设备都符合有关国际标准以保证不同厂家网络设备之间的互操作性和网络系统的开放性。(4) 高可用度和冗余:核心交换机采用双机热备容灾式设计,主控、电源、端口卡、制冷设备等关键部位均有硬件冗余,单个部件的故障不影响网络的正常运行,可用度超过99.99%。关键部件具有热插拔功能,可保证在部件的更换或增加时不影响网络正常运行。(5) 可扩充性和可扩展性:所有网络设备不但满足当前需要,并在扩充模块后,满足可预见将来需求。网络设计要考虑当前应用和今后网络的发展,便于向更新技
14、术的升级与衔接。要留有扩充余量,包括端口数量和带宽的升级能力。(6) 易管理性:网络设备应易于管理,易于维护,操作简单,易学,易用,便于进行网络配置,发现故障。(7) 三层交换与VLAN的结合:在网络中,各个部门可根据实际情况灵活的进行VLAN的划分,在整个网络中使用虚拟技术,以便提供网络的安全性和灵活性。中心设备和骨干设备能提供高速的VLAN路由和高性能的三层数据包处理。(8) 支持多媒体:支持文本、语音、图形、图像及音频、视频等多种媒体信息的传输、查询服务,具有多种基于优先级队列的QoS保证,多媒体应用对服务质量有很高的要求,如带宽,延迟的变化等,需要网络对服务质量(QoS)有很好的支持。
15、(9) 安全性:网络系统的数据和文件多数要求具有高度的安全性,因此,网络系统本身要有较高的安全性,对使用的信息进行严格的权限管理,在技术上提供先进的、可靠的、全面的安全方案和应急措施,确保系统万无一失。同时符合国家关于网络安全标准和管理条例。(10) 实用性:系统建设首先要从系统的实用性角度出发,未来国际园内部的信息传输都将依赖于计算机网络系统,所以系统设计必须具有很强的实用性,满足不同用户信息服务的实际需要,具有很高的性能价格比,能为多种应用系统提供强有力的支持平台;同时应很好地利用现有设备资源,保护用户的已有投资。2、 设备选型本次方案计算机网络交换设备我方选用国产H3C公司的产品。对于核
16、心交换机我方选用两台ERS 8610系列交换机,ERS 8610系列交换机支持广泛的接口类型和密度。接入层交换机我方均选用ERS 4500系列智能以太网交换机,该系列交换机是一个固定配置的独立设备系列,提供桌面快速以太网和千兆以太网连接,可提供增强LAN服务。LS-3100系列具有集成安全特性,包括网络准入控制(NAC)、高级服务质量(QoS)和永续性,可为网络边缘提供智能服务。主要性能指标参见主要设备技术指标。与外部网络连接的安全网关,我们选用H3C公司的NS-SecPath F1000-S-AC,它可以提供业界领先的状态防火墙和IP安全(IPSec)虚拟专用网服务,具有更强的处理能力和集成
17、化的、基于硬件的IPSec加速功能。中心配置2台核心交换机互为备份,接入层配15台48口交换机和3台24口交换机。2.1 系统功能本次网络系统实现以下功能:A. 适应桌面计算机处理、I/O能力大幅度提高的现状,发挥桌面机的网络性能,提高桌面机的访问带宽;达到主干10000M,10M/100M自适应交换到桌面。B. 适应连网规模大、总流量大的情况,合理分布流量,实现流量隔离和控制;C. 提供对应用服务器的特别支持;D. 适应部门多、层次复杂的特点,合理进行网络划分,实现有效的安全访问控制和运行管理。E. 能够向未来的高速网络技术和不断出现的新应用过渡。F. 保护已有投资,使原有的设备和网络能够平
18、稳升级。G. 实现网络互联,解决互联网络带来的安全问题和管理问题。H. 适应数据集中型应用的发展趋势,为客户/服务器的应用环境提供支撑。I. 增加网络系统的运行可靠性,核心设备实现冗余,降低故障隐患,提高系统的可管理性。J. 适应机构建制和工作流程,提供多层次的安全保障。2.2 系统环境要求工作温度要求:范围在0-45;工作湿度要求:范围在10%-85%(非冷凝);供电要求:保证每个设备间、配线间的供电功率在所属设备额定功率总和的1-1.5倍之间,并保持稳定;安装间距要求:设备安装间距保证在1U。3、 网络系统规划设计3.1 系统结构3.1.1. 系统特点分析目前网络系统拓扑结构有四种分析:(
19、一) 星型拓扑结构(二) 总线拓扑结构(三) 环型拓扑结构(四) 树型拓扑结构序号结构分类优点缺点备注1星型拓扑结构(1)控制简单。 (2)故障诊断和隔离容易。 (3)方便服务。(1)电缆长度和安装工作量可观。 (2)中央节点的负担较重,形成瓶颈。 (3)各站点的分布处理能力较低。2总线拓扑结构(1)总线结构所需要的电缆数量少。 (2)总线结构简单,又是无源工作,有较高的可靠性。 (3)易于扩充,增加或减少用户比较方便。(1)总线的传输距离有限,通信范围受到限制。 (2)故障诊断和隔离较困难。 (3)分布式协议不能保证信息的及时传送,不具有实时功能3环型拓扑结构(1)电缆长度短。 (2)增加或
20、减少工作站时,仅需简单的连接操作。 (3)可使用光纤。(1)节点的故障会引起全网故障。 (2)故障检测困难。 (3)环形拓扑结构的媒体访问控制协议都采用令牌传达室递的方式,在负载很轻时,信道利用率相对来说就比较低。4树型拓扑结构(1)易于扩展。 (2)故障隔离较容易。各个节点对根的依赖性太大。3.1.2. 结构设计根据上表结构特点的对比和项目的实际环境需求,本次网络建设拓扑结构为分层的集中式结构或称星型分级拓扑。本系统根据实际情况,采用三级星型网络结构。星型结构便于集中控制,因为端用户之间的通信必须经过中心站。由于这一特点,也带来了易于维护和安全等优点,端用户设备因为故障而停机时不会影响其它端
21、用户间的通信。但中心系统必须具有极高的可靠性,因为一旦它损坏,整个系统便趋于瘫痪。二级星型结构如下:网络系统设计如下:A. 主干网汇接各子网,形成中心交换;B. 子网通过高速交换链路连接到主干网;C. 实行全网范围的集中VLANs划分与管理;D. 核心网络采用双机热备容灾方式;E. 在网络中心进行集中控制和管理;F. 桌面机连接到基层网段上,服务器、工作站连接到高层网络;G. 流量划分层次,跨越基层网段的流量汇接到工作组子网,跨越工作组子网的流量汇接到主干;H. 在完善的网络基础之上,系统提供基本的Internet服务。本项目计算机网络总体上分为两个层次的结构:核心层,接入层。核心层:核心层主
22、要为网络系统提供一条高带宽、高容量、高可靠性的高速信息公路,为监控数据查看与存储提供高速的数据交换通路。该层由两台核心交换机互为热备构成,提供若干个千兆以太网络光纤端口以及第三层路由交换功能。接入层:接入层提供了连接各信息点的汇集功能,通过本层将各信息点汇总连接到核心层,由核心层实现信息交换。接入层由各楼层的交换机构成,各楼层交换机与核心交换机之间以双千兆光纤连接,每一台接入交换机分别两台核心交换机,以保证网络链路的高可靠性。计算机网络拓扑图如下:服务器核心交换机-双机热备接入层交换机会堂1-3层服务器服务器核心交换机-双机热备接入层交换机展厅接入层交换机各楼层B1-93.2 冗余性设计核心层
23、采用两台核心交换机热备容灾的方式,实现网络主干的冗余。下面就对实现网络主干冗余的技术进行介绍。3.2.1. 采用HSRP热备份协议技术HSRP即热备份路由器协议,实现HSRP的条件是系统中有至少两台路由设备,它们组成一个“热备份组”,这个组形成一个虚拟路由器。在任一时刻,一个组内只有一个路由器是活动的,并由它来转发数据包,如果活动路由器发生了故障,将选择一个备份路由器来替代活动路由器,但是在本网络内的主机看来,虚拟路由器没有改变。所以主机仍然保持连接,没有受到故障的影响,这样就较好地解决了路由器切换的问题。 在使用HSRP时,一组路由器的工作将一致的表现为局域网上通往主机的一个虚拟路由器的工作
24、。这组路由器就称为一个HSRP组,或备份组。这个组中将选出一个路由器来负责转发由主机发给虚拟路由器的数据包。这个路由器就是所谓的活路由器。另一台路由器将被选为备份路由器。在活路由器失效的情况下,备份路由器将承担活路由器的包的转发功能。即使你可以任意制定运行HSRP的路由器的数量,但只有活路由器才能转发发送给虚拟路由器的数据包。在某个局域网里,多个热备组可以共存和重叠。每个备份组都仿效一个虚拟路由器。对于每个备份组来说都有一个为别人所知的MAC地址,以及一个IP地址。而这个IP地址应该是这个局域网中第一个子网中的地址,但必须不同于设置在所有路由器端口上的地址和局域网中主机的地址,甚至包括为其他H
25、SRP组设的地址。3.2.2. HSRP工作原理HSRP利用一个优先级方案来决定哪个配置了HSRP的路由设备成为默认的主动路由设备。如果一个路由设备的优先级设置的比所有其他路由设备的优先级高,则该路由设备成为主动路由设备。路由设备的缺省优先级是100,所以如果只设置一个路由设备的优先级高于100,则该路由设备将成为主动路由设备。 3.2.3. 系统的可靠性由于本方案的路由模块之间采用HSRP(热备份冗余协议)协议,保证了两台路由模块中的任意一台出现故障,或路由模块的广域网口出现故障,都会迅速切换到另外一台自动接替其工作,并且不引起其他节点的路由表重新计算,从而提高网络的稳定性。3.2.4. 负
26、载均衡因为每个接入层交换机都分别和两台核心交换机相联,我们可以在两台核心交换机上的交换备板上划分出各自的VLAN,某个子网VLAN在左侧路由模块上的HSRP的优先级较高,这个VLAN使用左边交换机的交换机备板交换数据;某个子网VLAN在右侧路由器上的HSRP的优先级较高,这个VLAN使用左边交换机的交换机备板交换数据。这样可以充分利用了带宽资源,而且实现了负载均衡。3.2.5. 系统的高安全性由于各虚拟网之间不能直接进行通讯,而必须通过路由器转发,为高级的安全控制提供了可能,增强了网络的安全性。在大规模的网络中,它们之间的数据是保密的,相互之间只能提供接口数据,其它数据是保密的。可以通过划分虚
27、拟局域网对不同部门进行隔离。3.3 系统扩容方案在网络组建初期,网络端口和模块配置相应较少,随着业务量的不断增加,对网络的需求量会越来越大,因此要求网络交换设备具有较强的端口扩展性和冗余度。3.3.1. 核心交换机的冗余与扩容本系统采用的核心交换机为模块化智能交换机,目前端口配置为1路万兆光口,15路千兆光口,24路千兆电口,光口冗余度达到15%。并且在日后网络系统容量需要增加时,只要增加相应接口卡即可轻松进行系统扩容。3.3.2. 接入交换机的冗余与扩容本系统采用的接入交换机为智能化交换机,目前配置为15台48路交换机、3台24路交换机,目前自用网络所占用的端口数为355个,仅占用总端口量的
28、1/2,剩余端口均为预留端口,冗余度极大,完全可以保证在一段时间内的正常使用。当网络需求量超出目前配置的端口量时,只需要增加接入交换机和相关的光模块即可实现接入层的扩容,根据目前的网络配置情况,接入层可允许的扩容数量为18台,如仍需增加接入交换机,则需要增加相应的核心交换机板卡。3.4 VLAN的划分及IP地址分配3.4.1. VLAN的设计方案VLAN的实现方式有两种:静态和动态。静态实现是网络管理员将交换机端口分配给某一个VLAN,这是一种最经常使用的配置方式,容易实现和监视,而且比较安全。 动态实现方式中,管理员必须先建立一个较复杂的数据库,例如输入要连接的网络设备的MAC地址及相应的V
29、LAN号,这样当网络设备接到交换机端口时交换机自动把这个网络设备所连接的端口分配给相应的VLAN。动态VLAN的配置可以基于网络设备的MAC地址、IP地址、应用或者所使用的协议。实现动态VLAN时候一般情况下使用管理软件来进行管理。在CISCO交换机上可以使用VLAN管理策略服务器(VMPS)实现基于MAC地址的动态VLAN配置。VMPS是MAC地址与VLAN的映射表。这种配置的优点是网络管理员维护管理相应的数据库,而不用关心用户使用哪一个端口,但是每次新用户加入时需要做较复杂的手工配置。基于IP地址的动态配置中,交换机通过查阅网络层的地址自动将用户分配到不同的虚拟局域网。 这次VLAN的划分
30、考虑到,动态VLAN维护非常复杂、许多安全策略不能很好地得到应用,所以我们建议这次VLAN的划分采用静态的方式。通过改变掩码的设置,把原有的IP地址,以部门为单位划分成不同的网段。在交换机上分别建立各个VLAN的网关,在接入层交换机上把端口分别划入各自的VLAN中,通过在交换机上建立访问控制列表,控制VLAN之间是否可以通讯,通过在接入层的端口上实施安全策略,来提高网络的安全性。把每个专业的本地服务器,都划分到一个VLAN中,然后通过实施应用层的安全策略,来控制有哪些员工可以访问不同专业的本地服务器。这样可以安全的实施资源分配,减少网管人员的日常工作量。3.4.2. IP地址原则IP地址是TC
31、P/IP协议族中的网络层逻辑地址,它被用来唯一地标识网络中的一个节点。通常用于IP地址分配的技术有:可变长子网掩码技术(VLSMVariable lengthSubnetMask)和路径叠合技术(Route Summarization)。IP地址的分配遵循以下几个原则:唯一性:一个IP网络中不能有两个主机采用相同的IP地址。简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的项。连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率。可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性。灵活性:地址分配应具有灵活性,
32、以满足多种路由策略的优化,充分利用地址空间。3.4.3. IP地址和Vlan具体划分1)Vlan与IP地址段见下表:VLAN 号用途VLAN类型备注1默认VLAN10159段虚拟交换机Access主交换机业务板的29-32口VLAN,用于连接外网(159段)设备,VLAN IP:159.226.34.254(外网主网关)20点对点VLAN IPAccess192.168.1.58,主交换机业务板端口16的VLAN IP,链接入口光纤,对端IP:192.168.1.57100(99)地下1层接入交换机(因为100IPS已用,现改为99)1011层接入交换机1022层接入交换机1033层接入交换机
33、1044层接入交换机1055层接入交换机1066层接入交换机1077层接入交换机1088层接入交换机1099层接入交换机200展厅接入交换机201会堂1层接入交换机202会堂2层接入交换机203会堂3层接入交换机2)设备IP/VLAN/DHCP区间划分位置管理IP私网IP空间网关地址VLAN号说明核心交换机172.16.10.1地下一层(B1)172.16.10.10010.10.100.110.10.100.25410.10.100.199已改为99,100不能用1层(L1)172.16.10.10110.10.101.110.10.101.25410.10.101.11012层(L2)17
34、2.16.10.10210.10.102.110.10.102.25410.10.102.11023层(L3)172.16.10.10310.10.103.110.10.103.25410.10.103.11034层(L4)172.16.10.10410.10.104.110.10.104.25410.10.104.11045层(L5)172.16.10.10510.10.105.110.10.105.25410.10.105.11056层(L6)172.16.10.10610.10.106.110.10.106.25410.10.106.11067层(L7)172.16.10.10710.1
35、0.107.110.10.107.25410.10.107.1107保密层8层(L8)172.16.10.10810.10.108.110.10.108.25410.10.108.11089层(L9)172.16.10.10910.10.109.110.10.109.25410.10.109.1109展厅172.16.10.20010.10.200.110.10.200.25410.10.200.1200会堂1层172.16.10.20110.10.201.110.10.201.25410.10.201.1201会堂2层172.16.10.20210.10.202.110.10.202.254
36、10.10.202.1102会堂3层172.16.10.20310.10.203.110.10.203.25410.10.203.12033.5 网络安全方案3.5.1. 网络安全概述网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的机密性、完整性、可用性、可控性和可审查性的相关技术和理论都属于网络安全范围。网络安全包括五个基本要素:机密性、完整性、可用性、可控性与可审查性。机密性:确保信息不暴露给未授权的实体或进程。完
37、整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。可控性:可以控制授权范围内的信息流向及行为方式。可审查性:对出现的网络安全问题提供调查的依据和手段。3.5.2. 网络安全体系结构通过对网络的全面了解,按照安全策略的要求及风险分析的结果,整个网络措施应按系统体系建立。 具体的安全控制系统由以下两个方面组成:物理安全、网络安全。1)物理安全保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操
38、作失误或错误和各种计算机犯罪行为导致的破坏过程。2)网络安全网络安全系统(主机、服务器)安全反病毒系统安全检测入侵检测审计分析网络运行安全备份与恢复应急、灾难恢复局域网、子网安全访问控制(防火墙)网络安全检测(1) 内外网隔离及访问控制系统防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间地任何活动,保证了内部网络地安全;在物理实现上,防火墙是位于外部网与核
39、心交换机之间硬件设备,起到对进出信息分析过滤的作用。防火墙系统能增强机构内部网络的安全性,它决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。要使一个防火墙有效,所有来自和去往Internet的信息都必须经过防火墙,接受防火墙的检查,只允许授权的数据通过。在内部网与外部网之间,设置防火墙(包括分组过滤与应用代理)实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙主要通过分组过滤、应用代理两种技术作为防范手段。 a) 分组过滤(Packet filtering):用在网络层和传输层,它根据分组包头源
40、地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。b) 应用代理(Application Proxy):也叫应用网关(Application Gateway),它作用在应用层,特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。(2) 网络反病毒由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力,一次计算机病毒的防范是网络安全性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和消毒三种技术:a) 预防
41、病毒技术:它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有,加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡等)。b) 检测病毒技术:它是通过对计算机病毒的特征来进行判断的技术,如自身校验、关键字、文件长度的变化等。c) 分析病毒技术:它通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测;在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。鉴于实际情况,我方建议业主方增加一套网络版杀毒软件,以应对网络中存
42、在的病毒威胁。3.5.3. 安全管理原则网络信息系统的安全管理主要基于三个原则。1)多人负责原则每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。以下各项是与安全有关活动:(1) 访问控制使用证件的发放与回收;(2) 信息处理系统使用的媒介发放与回收;(3) 处理保密信息;(4) 硬件和软件的维护;(5) 系统软件的设计、实现和修改;(6) 重要程序和数据的删除和销毁等;2)任期有限原则一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有
43、限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。3)职责分离原则在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。出于对安全的考虑,下面每组内的两项信息处理工作应当分开。3.5.4. 安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应的规范。具体工作是:1)根据工作的重要程度,确定该系统的安全等级。2) 根据确定的安全等级,确定安全管理的范围。3) 制订相应的机房出入管理制度:对于安全等级要求较高的系统,要实行分区控制,限制工作人员
44、出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理。4)制订严格的操作规程:操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。5)制订完备的系统维护制度:对系统进行维护时,应采取数据保护措施,如数据备份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录。6)制订应急措施:要制订系统在紧急情况下,如何尽快恢复的应急措施,使损失减至最小。建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。4、 总结如今计算机网络的发展,网络化、智能化建筑的概念逐步成为人们选择办公场所和衡量居住环境是否方便的一个重要因素, 本论文设计主要是根据现今的企业发展,本文以网络工程设计与规划为题,阐述了如何规划与设计一个大中型网络的具体实现步骤,通过网络需求收集以及对网络层次、拓扑、地址、路由、安全等方面进行分析为最终的网络设计方案构建提供决策的依据。5、 参考文献(1) 高飞、高平.计算机网络和网络安全基础.北京理工大学出版社,2002年版(2) 许多顶.计算机网络技术与应用.中国财政经济出版社,2005年版(3) 黎洪松.网络系统集成技术与其应用.科学出版社,1999年