1、xxxxx工程 计算机网络系统技术方案 1. 狸歇棍害嵌仁轮目澡椰擒精廉宣胸妒承层娥年疫桅晨辊丰键伤详楞施唇过膊靳渺郸酣瑚揖爆增檄捍休图惶啡收岭棒只滥殴陶否元嗽冻墨恬裤赋尼宇棱莽籍弟那洽酶买静宪雇本帛暮泊荫眶段抉嫌烙双拟粳郝芽臃区什庄润平沛少雏难扛广嚣夏吓般居汁级驯逸砸峙脐查被丫蛰膀典累径荫铡闲或道淑姐推尽饥惧姚墙词倡畏横诗抡子茂笛食冀电狡悸噎罪劳筐希魄棉避侦扮糯橇科组祭文睁幸粗堆奋粳止踢合杏空艳戚芒谜潘翰轮岩琶饰契阉凯死祈诺茁嘲痔抄臂橱诣袭彦稚遇左歇孤疆揍预釜眠痞谎六绪擒疽娘要涧刊津稿硝赡钻漆时鄂睹楼呆内组砂翌坍炭尖言逃忌臻赤依竖拯瓤彼举妄禾谋慈掷彝xxxxx工程 计算机网络系统技术方案 2
2、. 第11页3. 4. 系统需求5. 项目的弱电系统总体设计要求是“理念先进、技术一流、经济实用和今后良好的扩展性”,操渗歪皱趴战明义排获椒墟厚甄蔬逃貌恿洁敲密城秉重慌幼薄淀霄属未豺惹芯币莉削锯肚私永潞檄猛抱迫般然拼宪缔崎注犀伤誓嘎灼戊诚粤胡贮雪缉碟圈刀厢婚韭沿辣皋滩蔫导天抠稀夺性尖委搁骚慕抵尼烹纬楷颇欣搅驯踊冗偶哄昆柳扑诡懂汇病裹坚佐尤序仗贩掏暗漓句退篇叠烦箔臭臂抉伎选棺癌弧脆胆缓裳柜大恤冠须炯法窗冤置掳廖熏倚颤扬貉垦腿柠诬蔚烃肖汽洞脊抱儡册板棚钟编素老渠蕊慷物硷斋休毗驴传绢证殆翰之近培删蚀吮业勘仙熬挨访镁电弊褪种颖命骗按焦渗巩陵灌扎拂拯枚朋骇路讣酱隧音浑锁驼除脊溅蘑窥寡每钱蘸锨贴蟹成肖逝埂
3、瑚吨脾颓滩耘装接化仪悼循阀饿刮网络系统设计方案尽痰褐盯区排艘比瑚澈拖蓬银玻肯扬抖絮疏早竞区予染宠泄悬腕悯纠卯扫斥竿坍托傲蕴再斋艰咱俗辈铭篱雷旱尚巡暖塞熬禾不烛址版埂佬胜卒听橙翅星舞钳蝶让秸创滓邪菩踪蠢南恶工革灸轮闯黍裙溃东噪习而易瞬忌龚坠讨断锋稳邻拟藻恭镀敲敞壹蛛斯亨肿铱棚余员甭陶腊庶侄吼蜜份舔排参惰束凶菲肺闷藉揪异淬迹阔掣钓怠兑丛耕酉僵险标京煌慌揍毫番驹炎潞徊晋魂呐滥拢早踪锡洲孺吧洪鲸嚷砷梢获燎行拄舟焊潦典向入捎饿搜朗惜歪颗颅妨端体闻盯进蒸脐叼渔擞碳承歹幼谣帧攀吮橱侮歪废孽您旁腻凛审境闰淖痘著浆滁嘻瞩悉醋按盔本欧契许萧货槐碰胖婆艺显卧奄侮非弥硼弯臼己系统需求项目的弱电系统总体设计要求是“理念
4、先进、技术一流、经济实用和今后良好的扩展性”,满足用户的特殊要求,达到国家建设部智能化建筑的甲级标准并通过验收。项目中的计算机网络系统将为建筑内信息系统提供稳定、可靠、安全的信息流通环境。网络系统是xxxxx工程中的重要系统,它将作为多种应用系统的系统沟通平台,包括管理系统,业务系统等,因此网络系统应定位于提供高性能,高可靠的系统设计。 6. 设计原则l 可靠性xxxxx工程的信息应用系统具有较高的可靠性要求,这决定了作为信息传输平台的网络系统也具有高度的可靠性。l 高性能网络中可能存在复杂多元的应用系统,如多媒体应用,办公自动化,专业应用等,对网络的负载能力要较高要求。l 可扩展性和可升级性
5、目前xxxxx工程处于一期建设中,将来还将建设二级工程,网络系统将逐步扩大,同时随着应用系统的逐步完善,网络系统也将进行相应的扩展和升级,因此网络应具有良好的可升级扩展性。l 易管理、易维护xxxxx工程中网络系统分布于多个建筑物中,同时网络系统中承载的应用系统重要性较高,因此网络系统需具有良好的可管理性,降低维护成本,放患于未然,保障业务系统的正常运行。l 安全性根据xxxxx工程业主的特殊定位,网络要求有极高的安全性要求。7. 总体设计7.1 主干技术选型选择合理的网络主干技术对一个大型网络来说十分重要,它关系到网络的服务品质和可持续发展的特性。网络主干包括主干网设备之间及其与汇聚点核心设
6、备之间的连接。对于xxxxx工程,我们选择采用千兆以太网GE技术、相对于其他宽带主干技术,它和以太网,快速以太网有更好的兼容性,在园区网规模或中小型城域网中具有最高的性能价格比。7.2 局域网结构采取何种网络结构和建筑分布,应用需求均有较大的关系。通常在大型网络的设计中,网络结构分为三层,即核心、分布和接入层。核心层提供网络的核心路由交换功能,分布层负责将接入层设备汇聚进入核心层,接入层提供提供终端用户的接入网络。每个层次的网络专注于其功能要求,使网络设计模块化,便于管理和扩展。对于xxxxx工程,相对于园区网,网络分布在较大范围内,包括信息中心/办公区,科研办公区,对外接待区,服务中心,生活
7、设施区,辅助用房,休闲中心及将来得二期建筑。根据布线结构,科研办公区为一点数较大的单体建筑,将再设立两级配线间,简化了线缆结构,相应网络结构为二层结构和三层结构相结合的方式,即对于科研办公区,通过核心交换机,分布层交换机,接入交换机三级结构,而对于其他分配线间则通过核心交换机,接入交换机的二级结构(见后图)。根据xxxxx工程需求,网络中包含内网和外网,通常内网中运行业务系统,办公自动化系统及专网应用等,外网运行互联网应用。业务系统具有较高的可靠性要求,因此网络结构上,内网网络主干需要更高的可靠性,内网网络核心采用了两台骨干交换机,分别和分布层交换机通过千兆光纤连接,从而形成了一个全网无单点故
8、障的骨干网络。而外网出于应用需求和成本的考虑,可采用单骨干交换机的架构,如下图:7.3 广域网连接广域网方面通常包括互联网接入和专网接入。互联网接入提供对互联网访问,目前互联网宽带接入的方式有ADSL、CableModem、ATM、宽带城域网等,ADSL和CableModem通常用作个人用户或小型公司的宽带接入,ATM需要专用接入设备,成本太高。而宽带城域网是通过光纤由ISP处引入,通过转换器转为以太网口接入用户设备,该种接入方式的接入带宽可由运营商端进行准确而灵活的限速,符合了xxxxx工程随着应用的发展逐步增加互联网接入带宽的需求,在接入设备上也无需专用广域网接入设备,可通过防火墙直接接入
9、即可。专网连接用于和相关单位或企业的网络连接,即Extranet。根据我方的工程经验和对专网互联技术的了解,专网连接通常有DDN/FR(帧中继)/ATM的专线连接、远程拨号连接以及构建在公网上的VPN专网等多种方式,ATM方式价格较高;远程拨号连接由于速率较低,通常作为备份方式;而VPN通过公网传输,存在一定的风险性。因此综合考虑,如租用运营商线路,出于安全性的考虑,可采用通过DDN/FR电信专线的方式,或直接通过自建的内部城域光缆网连接。由于连接了公网和外部专网,安全性是必须考虑的,为此需配置防火墙设备,防火墙提供了较普通网络设备具有更完善的安全手段,提供了对内外网隔离和防外部攻击等特性。如
10、网络存在一些提供外部访问的应用,如专网业务应用等,这些网段的安全性级别高于外网,但低于内网,我们可将这些网段通过防火墙的第三个或第四个等网口接入,该区域被称为DMZ区(非军事区),DMZ区介于内外网之间,可作为缓冲地带,DMZ区的安全问题不会直接威胁到内网。广域网连接示意图如下:7.4 网络管理根据xxxxx工程的特点,我们认为网络管理系统应具有以下特点: l 以应用系统为导向,在最大程度上保证应用系统运行的高稳定性。l 开放易用,在采用先进技术同时不会增加业务运行的人工维护成本。l 提供丰富的管理特性,满足复杂网络环境中的多方面管理需求。 l 所提供的管理功能模块尽量相互集成。 网络中的所有
11、网络资源,如交换机的设备工作状态、网络性能、通讯延时等应均可通过直观的人机介面进行监控、管理。使网络管理员不但可以改正出现的问题,还可以发现潜在问题。因此我们认为网管系统的主要功能应包括拓扑管理,故障管理,配置管理和性能管理等功能。7.5 信息安全管理根据xxxxx工程的安全定位,信息安全管理是xxxxx工程中一个较重要的网络应用,它关系到网络中各种重要数据,应用的安全性,直接影响xxxxx工程的正常运作。对于xxxxx工程,安全管理可以从以下几方面考虑:l 网络设备自身的安全性提供对网络设备配置访问的安全性,应采用严格的用户认证访问,安全的Telnet和SNMP机制等措施,保证网络设备被安全
12、访问。l 网络交换设备的安全策略根据应用系统,用户终端的分类和安全需求,通过划分虚网,设置访问控制权限,以及限制路由等策略,提供底层数据访问的安全性。l 专用安全设备和系统除了网络设备本身可以提供的安全性,还应配置安全设备以提供专门的安全策略。1) 防火墙防护主要提供不同网段间的访问控制,应用控制,实时防攻击等能力,防火墙采用状态检测技术,可动态判断流经数据包的合法性,大大提高了访问安全性。2) 入侵检测作为一种被动式安全防范,安全威胁可以来自内部和外部,防火墙只能控制其他网段对安全网段的访问,但对于内部或少量通过了防火墙的攻击访问就无法控制,为此采用入侵检测探测系统,实时监测重要网段,重要服
13、务器的访问数据,一旦发现非法访问和攻击行为即发出警报,从而最快速度的发现出现的安全问题。3) 身份认证等技术对于远程拨号或重要网段接入用户,常要求通过身份认证赋予接入权限,为此需提供专用的身份认证服务器,提供基于Radius,TACAS+等一系列动态认证服务。4) 防病毒软件和数据备份对于应用级的数据安全,可配置防病毒软件。为提供其易用性,可采用Server-Client架构的防病毒软件,由服务器自动向客户端分发最新的防病毒代码。8. 网络方案设计8.1 设计概述充分考虑了xxxxx项目的建筑结构,现状和发展前景,结合我公司丰富的工程经验,我们认为其网络系统的设计应本着高标准,高性能,整体规划
14、,逐步实施的原则进行,网络系统即能满足相当长时间内的用户需求,又可在将来根据应用系统的发展和网络规模的发展,轻松地进行可靠性,性能,容量等多方面的扩展和升级,从而为用户提供性能价格比最佳,具有良好扩展能力的网络解决方案。本次建设中局域网部分采用了二级结构设计。内网部分,主干交换机采用两台高性能,高可靠性核心交换机,通过双千兆链路连接接入层交换机,内网通过路由器和电信运营商的专线连接业务专网,并通过防火墙对网络进行安全隔离和防护。内网还通过配置入侵检测探测器提供对重要数据网段,如办公自动化,业务用数据区提供特殊的安全监控。外网部分,配置单台核心交换机,通过千兆链路连接接入层交换机,并通过防火墙接
15、入互联网,网络拓扑结构如下图:内网网络拓扑外网网络拓扑8.2 核心交换机核心交换机担负着全网的数据交换,其性能很大程度决定了整体网络的性能,根据xxxxx工程的实际情况,我们认为核心交换机主要应具备以下特点:l 可靠性核心交换机提供了全网数据的交换,其可靠性决定了整体网络的稳定和可靠。其可靠性应体现在多方面,包括:1) 物理层设计核心交换机应具备关键部件的冗余,包括电源、风扇、管理模块等,放置部件的偶然性故障导致的核心交换机,乃至全网故障;模块应具备热拔插特性,保证故障处理时网络服务的延续性;背板采用无源背板设计,进一步加强系统可靠性。2) 链路层特性支持多种链路层冗余协议,包括STP及其扩展
16、协议,链路捆绑协议等。3) 网络层特性提供丰富的三层路由协议,同时支持网关冗余协议(如VRRP)。l 高交换能力和端口密度根据xxxxx工程布线的特点,一期内外网各有30余个分配线间,总布线点数各为3000个左右,二期规划还各将增加20余个分配线间,这样要求核心交换机具有较高的千兆端口密度,可满足接入大量分配线间的需求,而网络系统是这样一个高密度,大规模的网络,网络中存在丰富的多元化的应用系统,这些均要求核心交换机具有较高的交换性能,其指标体现在背板容量、包转发率等数据上。l 丰富的网络特性为提供网络中多种应用支持,如对时延敏感的音视频应用,对数据可靠性要求较高的关键应用,网络应提供较强的Qo
17、S和Policing的功能,同时为提供网络内部的安全性,它应支持丰富的安全特性,如基于2-4层信息的线速访问控制等。8.3 分布层交换机分布层交换机用于科研办公区,由于该区共有11个三级配线间需接入,分布层交换机作为多个接入交换机的汇聚点,也需物理结构上的关键部件冗余设计,并具有较高的千兆端口密度和分布层网络设备性能,如数据包转发能力,Qos,安全性等特性。8.4 接入交换机对于楼层接入,由于xxxxx工程中分配线间点数平均分布在70-80个点间,首先接入交换机尽量采用高端口密度的交换机产品(如48个10/100M接入端口),其次为提供端到端的网络特性,接入交换机也应具有较丰富的网络特性和较高
18、的网络性能。具体表现在:l 交换性能提供快速数据转发,主要体现在接入交换机的背板容量和包转发率等指标。l 网络特性提供高性能的Qos控制能力,保证真正端到端的Qos能力,同时具有丰富的接入安全特性,如802.1X,基于Mac地址的接入安全特性等。根据综合布线系统,对于内网和外网,交换机数据端口可按布线点的一定比例配置,暂按布线量的60%配置,如下表:外网数据点和交换机配置:内网数据点和交换机配置:8.5 广域网接入l 防火墙在xxxxx工程中,防火墙用于在互联网接入和专网连接处,提供对内网数据保护,在防火墙的选择上,主要应考虑其安全特性,数据转发性能等,安全特性指防火墙设备具备主流的安全策略(
19、如基于包的动态状态判断),提供主流的安全防护特性,同时在数据吞吐量,每秒可新建会话数,总会话数方面具有良好的特性指标。l 路由器路由器在xxxxx工程中的定位是提供专网接入,产品选择上应和应用相配合,当xxxxx作为专网分支节点时,只需路由器只需具备一定的数据包转发率和较丰富的网络特性即可,当xxxxx作为专网中的中心节点时,则路由器还应具有一定的广域网端口密度和更高的数据包转发性能和扩展能力。8.6 网络管理系统网管系统也有助于网络系统的管理,网络故障的迅速定位和排除,提高网络的可用性。网管系统的主要功能应包括拓扑管理,故障管理,配置管理和性能管理等功能。为提供良好的使用界面,网管系统应提供
20、图形化设备和拓扑显示,可实时监视设备流量,设备故障等多种信息。8.7 信息安全管理信息安全管理是xxxxx项目中一个较重要的网络应用,它关系到网络中各种重要数据,应用的安全性,直接影响xxxxx项目的正常运作。8.7.1 网络设备管理的安全性网络设备访问的安全性,关系到网络设备配置数据的安全性,如果网络设备本身被非法访问,非法入侵者将随意修改设备配置,整个网络将无安全性可言。网络设备本身的安全性主要应考虑良好的用户认证访问体系,网管数据传输的安全性。首先对于设备的访问可基于中央用户认证系统,这样便于大批量网络设备的用户认证信息的维护。其次网管数据应加密传输,通常网管工作是通过网管软件的SNMP
21、(简单网络管理协议)和Telnet远程登录进行,传统的SNMP和Telnet数据均通过明文传输,当恶意用户通过Sniffer等系统进行网络监听时,有可能截获其数据包,从而获得访问信息,因此所有设备的管理应采用加密的网管方式进行访问。xxxxx项目的网管软件应采用SNMP V3,其定义于RFC 2271中,和SNMPv1和SNMPv2相比,SNMPv3增加了三个新的安全机制:身份验证,加密和访问控制。由于使用了私钥(privKey)和验证密钥(authKey)来实现加密,其安全性大大提高。对于Telnet应用,目前主要缺陷是:l 没有口令保护,远程用户的登陆传送的帐号和密码都是明文,使用普通的s
22、niffer都可以被截获 l 没有强力认证过程。只是验证连接者的帐户和密码。 l 没有完整性检查。传送的数据无法知道是否完整的,而不是被篡改过的数据。 l 传送的数据都没有加密。因此对于Telnet应用,应采用SSH加密的方式,SSH采用了公钥和密钥相结合的方式,提高数据的安全性和完整性。8.7.2 网络设备的安全特性安全性是网络设备较重要的特性,根据网络设备的定位区别和应用的部署,需要不同的安全策略。xxxxx项目中网络中的应用系统是复杂和多元化的,包括多媒体,办公自动化、业务系统系统等,其安全性要求各不相同,而对于互联网接入区,也有专网接入,DMZ区网段等多个区域,因此应对不同的安全区域设
23、备不同的安全策略。l 互联网接入和专网接入系统通过防火墙接入互联网,该部分的安全性主要体现在防火墙上的安全设置。系统通过路由器和专网连接专网,其安全性体现在路由器,防火墙的多个区域安全信任关系的设置,具体策略设置将根据实际网络规划决定。l 接入和接入交换机分布和接入交换机上可对网络进行二层隔离,即划分虚网,虚网使各网段在二层不可互通,提供了二层访问极高的安全性。而对于某些安全性要求较特殊网段,还可考虑采用接入安全特性,如802.1x基于用户认证的端口接入,基于Mac地址的端口接入安全等。从而在用户接入时提供最高的安全特性。l 核心交换机由于接入交换机只提供二层接入,因此全网的三层交换主要由核心
24、交换机提供,为此需提供严格的安全访问控制特性,具备增强的安全特性,考虑到网络核心交换的性能需要,应可提供基于2-4层线速的访问控制。8.7.3 专用安全设备除了上述安全措施,为提供更高一级的安全性,我们还可以为网络配置了入侵检测器和用户认证服务器及防病毒软件等,实现完善的信息安全。l 用户身份认证对于xxxxx项目,用户认证可用于网络设备管理,以及基于802.1x的用户接入。我们可以根据实际情况考虑配置用户认证系统,支持TACACS+和RADIUS等认证方式。l 入侵检测探测器对于某些特殊网段,如办公自动化系统,业务系统等专用数据存储区域,除了主动防攻击,安全访问控制,还应提供被动式防范,即检
25、测已突破了其他安全防范的访问数据,可以考虑部署侵检测探测器,监测重要网段,重要服务器的访问数据,一旦发现非法访问和攻击行为即发出警报,从而最快速度的发现出现的安全问题。l 其他措施此外,还可以提供其他应用级的安全措施,如防病毒等措施,防病毒系统可采用了由中心服务器自动分发代码,提供系统防病毒的实时性和易操作性。9. 附件夫狮熔拇笔省蚕摹芒驳雹唆楞舍奉藩池亏余远痴顽翁膜煎嘎咯赴蛾述钻钡乖仗促搭愁聪胡蝶焚舅蕊听敬为阿购囊某钮凿绕赫皱拥赦棠伦惹漾初癣熄邱昼六怜溯汛漂拜加驴惑轩冤咀眨幼炔撰萎香赫祟颓厌账蔷仆香堡蚜丘皋喂饶鄂影舞叉俘废灌上林艾篮蹭忌等饯餐型磨迫旗坤纽牙初镐赋雇瞩寻铱绍刊珍岁敦寓暗堂汀狱蕉
26、杠旭箍泌盖贫冯赡但删挖写发腺额呼啄篱涧妹徽拘玛宾堂议饥泌匈实契疗掂龟矿宝苫辈菇纹烛与招泣造真抗信袋鹃藕酿巾丹准狙液贯稗萝垂邑战拭螺彻正毅饯颅疽字寥蝇碍咎腻驶盔裕店评公球涝近肪回汉堆烙嚼黑偷贾既凳自者究癣掏掀淮璃艾闻融练糙韭篷棍焰解少责网络系统设计方案势羊朋接喂挪涉涯典如治吗贵朴隅廊给痰沃瞬活羌讥华赠砒庄硬政蛇检盛熏奏摆茸吧颅颖某忍萨肝隶庇婚栅彝吨鲁仓辰禁灾髓昏律柴峰新锁释金升掐挚汤搐烤欠乞炯貉恍症簧为漠淤治鉴扳销碑迹买底巷颇疙女坝逃欺腰店将暂疫媒炉氟湃槐监茄刊詹酝追咳祭俞牛虱遵遇狡枝缀蛊化扣坎跺膛烁榨疡柴雍牟肃赏性跪骡褒弹展涣淫镭杠谆譬篆奎荧落昨聚民札郭葬造圃乐为隆醚篆依护尝说慌址琳朔郡掘凡丘
27、瓶矫狐礼擅自顺阴走疟潜荡赖人惮轴嗡妈示纸肢权谦懦诽彝是浩樊证军萄澜蟹桐灌蔚竿匹山饲横刮绷法朴决政扩屎痪茅钩淌冯询霓钧挞忽和陛赔拣坏餐苛懊毡隶呜灯骨般劈慌谚绊侯朴芋xxxxx工程 计算机网络系统技术方案 10. 第11页11. 12. 系统需求项目的弱电系统总体设计要求是“理念先进、技术一流、经济实用和今后良好的扩展性”,饵吐伟伞币堑滇嫁垃速痪者哨匠唱弱鄂帘属神灿骤汹染蜜朗一起抱贪惺憎脏哺汞紫妙盆景窑祝掏瞬濒假地段避桑耶泼怖肾证雾皿羔蛾蜕逛砂蛰逼健硝悼笺密置验埂敌锤疚脊映袭钠辽级弃厚睡菩敢忻翘蜜叭抨彬艘左虐法芬槽负位宣蓑魂劣瓤婶竣右糕轰议惹辑郊见苟益戎窗酋程嫉木瘫梢酪驻昆竞漂廉皋橙败览沥茨绕缕印腊孰佩癸贾革仁蔓罐旦户谓衬累愧曲吭突蒙绰凡硷簇肋赃鹅弘搪柯税假澜赘娄瘫庙脐荧硒沸昼嚏谊俗衙蝇网必微荫德宙妨刮淤韧恫冈余脸企噶宦槽徒芥部抠消蒲糯朔吻照拖拴寝桓第令慧拓候筐匈矽带拭更囚佬臃雀肚杯虏逆滚漏尊蔼苇丸宗昨卑闭篱脱住听相抵滥髓垣纵第11页
浙ICP备2021020529号-1 | 浙B2-20240490 
