1、第九章 计算机网络系统 本方案将包含以下范围:系统需求概述网络设计标准网络系统设计网络设备选型网络安全性9.1 系统需求概述伴随网络技术,信息通信领域长足发展,网络经济,知识经济再不是IT等高科技行业专利,企业正利用其行业特点,汲取网络技术精华,努力发明着制造业又一个春天。未来是美好,但现实不可回避。大多数企业对电子商务通常认识是电子商务能帮助企业进行网上购物、网上交易,仅是一个新兴企业运作模式,比较适适用于商业型企业、贸易企业、批发配送企业,孰不知电子商务已对传统制造业形成了巨大冲击。 在这种形式下,面对企业规模扩大,新厂区启用,为了加强生产经营管理,提升企业生产水平和管理水平,使之成为领导
2、市场现代化企业,并为浙江生迪光电长远发展提供愈加好条件提出了网络系统建设方案。对于景兴企业网络系统建设这么一个复杂系统工程,在硬件、软件、网络等方面全部提出了很高要求。作为系统运行支撑平台,更是重中之重。计算机网络系统、网络整体安全系统和整个系统集成建设是否成功,变得尤其关键。依据对企业弱电设计和和企业相关部门深入沟通,结合我企业以往对企业系统实施经验积累,我们认为,此次相关景兴限企业计算机网络关键系统总体需求能够概括为:1、实现企业信息化管理,提升经济管理水平和服务质量,实现企业经济效益和社会效益同时增加。在此基础上发展企业决议支持辅助信息系统,所以我们计算机网络关键系统也将紧紧围绕着这些应
3、用展开。2、建设机房和对应网络系统。3、建立比较完备安全防护体系,实现信息系统安全保障。4、系统必需保持一定优异性、可扩展性、高可用性、高稳定性、易维护性。9.2 网络设计标准(1)优异性和成熟性相结合多年来信息技术飞速发展,用户在构建信息系统时有了很大选择余地,但也使用户在构建系统时绞尽脑汁地在技术优异性和成熟性之间寻求平衡。优异而不成熟技术不敢用,而太成熟技术又意味着过时和淘汰。本方案充足考虑了优异性和成熟性相结合。(2)合理、灵活体系结构“结构先行”是构建任何系统先例,信息系统也不例不停改变情况下,调整适应,从长远角度来看,也能够提供很好投资保护。(3)系统开放性系统开放性表现在信息系统
4、可互连及工业标准相容。我们采取国际互连网信息协议来实施网络连接,确保现在和未来和其它系统可连通性。我们采取工业标准硬件设备,以确保取得大多数厂商长久技术支持。(4)系统高可靠性设计方案不仅要确保理论上可行,更关键是实际上可用,要充足考虑具体情况,充足满足网络需求。为了使网络可靠地运行,本方案选择了高品质、高性能价格比产品,把故障率降低到最低。(5)一体化网络管理伴随网络规模扩大和系统复杂程度增加,网络管理和故障排除变得越来越困难,本方案将提供优异而完善网络管理工具。(6)系统可扩充性全部系统主机及信息设备均可支持更高速度处理和信息要求。我们选择了适宜本网络系统要求配置,并设置了满足更高性能要求
5、时接口(光纤专线),方便经过增加网络设备内部模块扩充方法来实现系统升级,确保原有投资。(7)系统安全性系统安全性包含保障网络服务可用性和网络信息完整性。(8)系统易维护性充足考虑企业网络系统实际情况,在系统总体设计时选择熟悉操作系统平台,注意系统可维护性。(9)充足考虑性价比作为系统集成商,我们一贯标准是在尽可能节省用户投资前提下,提供最优集成方案书和产品选型,本方案充足考虑到这一点。(10)完善当地支持服务构建一个系统最关键还要考虑到系统能按时保质地开通,并能保持它连续正常地运行。集成商及其设备厂家提供服务,尤其是当地支持服务立即响应和质量是系统能否成功关键原因之一。我企业为美国网思科Cis
6、co嘉兴地域认证代理商及本企业完善服务中心是本方案书推行及系统连续正常运行可靠确保。关键技术要求1. 采取成熟、优异计算机和网络技术;2. 统一技术规范、标准和方案,统组织实施;3. 以标准化为基础实现系统开发性、可扩展性、异构网络互联能力;4. 注意避免网络设计上出现信息流传输瓶颈效应,信息安全性以确保网络天天可靠地运行;5. 通信和数据安全,建立完善网络安全管理机制;6. 采取可靠、优异、高效、功效丰富网络管理设备和建立完善、合理规章制度。9.3 网络系统设计 9.3.1 网络设计总体考虑当今网络发展正远远超出了单纯追求基础连通历史阶段。我们在网络连通基础上需要更高要求网络服务内容,包含Q
7、OS网络服务质量,Security安全性服务,Reliability高可靠性,Scalability可扩展性等增值服务。在此基础上,多层次网络管理也是网络成功是否一个关键所在。统计数据表明,网络建设成本在总成本三分之一。网络运行管理成本全部要消耗总成本三分之二左右。所以有效网络管理能够大大节省网络运行管理开销,是网络关键组成部分之一。9.3.2 网络总体设计在现在计算机网络通信应用中,信息流已不再是单纯数据,同时还有声音、图像和视频等多媒体信息。系统设计和管理人员一个很自然选择就是尽可能向用户提供财力许可最大带宽。依据需要,我们推荐景兴企业采取100M/1000M 以太网,既适适用于现在数据交
8、换又能满足于多媒体传输, 100M/1000M以太网在优异、成熟、实用、升级扩展、开放性和互连方便等方面全部含有显著特点:1) 高可靠性(HighAvailability)2) 高性能 (HighPerformance)3) 高可扩展性 (HighScalability)4) 高品质网络服务质量(QOS)景兴企业网络系统采取集中分布式二层网络结构,建成主干为1000M光缆连接,100M网线到桌面新厂区网络系统。9.4 网络拓扑及说明办公楼机房新增关键交换机Cisco4507R 1台配置最新第六代万兆引擎2块确保技术优异性,同时引擎320G交换容量确保网络数据线速转发,万兆接口预留以后万兆接入,
9、2块引擎互为冗余;另配置冗余电源;配置48口10/100/1000M电口板1块提供服务器群、AP及办公楼内关键信息点接入;配置24口SFP光口板2块经过单模光纤模块连接各接入交换机;关键交换机共7个插槽,预留2个插槽为未来扩容。办公楼机房各楼层新增48口或24口10/100M接入交换机负责本楼层内各信息点接入网络,交换机经过双路单模光纤模块捆绑(提供双向4G速率,确保网路冗余)接入关键交换机。9.5 网络设备选型景兴企业网络系统中,主干关键交换机是担负全部设备互连、交换处理关键设备,并含有可靠性高,交换处理能力强、扩展性能好等特点。一. 关键交换机Cisco4507R:景兴企业网络系统中, 关
10、键三层交换机采取美国思科Cisco4507R交换机 , 交换机采取了优化体系架构,能够实现高性能全线速第二层和第三层交换,满足网络骨干大流量、多应用、高可靠需求。并提供一流性能、可管理性和灵活性和无和伦比投资保护。 二.楼层交换机采取思科二层网管10/100M能够交换机WS-C2918。 三. 企业网络IP地址计划和VLAN划分以下:A:因为数据信息点有企业多个,现将IP地址计划为C类网段,具体以下:地点计算机IP地址网段上网192.168.10.1-192.168.10.254企业领导192.168.20.1-192.168.20.254ERP网络192.168.30.1-192.168.3
11、0.254财务192.168.40.1-192.168.40.254服务器192.168.50.1-192.168.50.254无线192.168.60.1-192.168.60.254贵宾192.168.1.1-192.168.1.2549.6 可靠性和安全保密性9.6.1局域网在网络层中不安全地方1)不安全地方 因为局域网中采取广播方法,所以,若在某个广播域中能够侦听到全部信息包,黑客就对能够对信息包进行分析,那么本广播域信息传输全部会暴露在黑客面前。2)网络分段 网络分段是确保安全一项关键方法,同时也是一项基础方法,其指导思想在于将非法用户和网络资源相互隔离,从而达成限制用户非法访问目标
12、。网络分段可分为物理分段和逻辑分段两种方法: 物理分段通常是指将网络从物理层和数据链路层(ISOOSI模型中第一层和第二层)上分为若干同段,各同段相互之间无法进行直接通讯。现在,很多交换机全部有一定访问控制能力,可实现对网络物理分段。逻辑分段则是指将整个系统在网络层(ISOOSI模型中第三层)上进行分段。比如,对于TCPIP网络,可把网络分成若干IP子网,各子网间必需经过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)安全机制来控制各子网间访问。在实际应用过程中。通常采取物理分段和逻辑分段相结合方法来实现对网络系统安全性控制。3)VLAN实现虚拟网技术关键基于多
13、年发展局域网交换技术(ATM和以太网交换)。交换技术将传统基于广播局域网技术发展为面向连接技术。所以,网管系统有能力限制局域网通讯范围而无需经过开销很大路由器。以太网从本质上基于广播机制,但应用了交换器和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。由以上运行机制带来网络安全好处是显而易见:信息只抵达应该抵达地点。所以、预防了大部分基于网络监听入侵手段。经过虚拟网设置访问控制,使在虚拟网外网络节点不能直接访问虚拟网内节点。不过,虚拟网技术也带来了新安全问题:实施虚拟网交换设备越来越复杂,从而成为被攻击对象。基于网络广播原理入侵监控技术在高速
14、交换网络内需要特殊设置。基于MACVLAN不能预防MAC欺骗攻击。采取基于MACVLAN划分将面临假冒MAC地址攻击。所以,VLAN划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在网段机器均属于相同VLAN。4)VLAN之间安全划分标准 VLAN划分方法目标是确保系统安全性。所以,能够根据系统安全性来划分VLAN,能够将总部中服务器系统单独划作一个VLAN,如数据库服务器、电子邮件服务器等。也能够根据机构设置来划分VLAN,如将领导所在网络单独作为一个Leader VLAN(LVLAN),其它部门(或下级机构)分别作为一个VLAN,而且控制LVLAN和其它VLAN之间
15、单向信息流向,即许可LVLAN查看其它VLAN相关信息,其它VLAN不能访问LVLAN信息。VLAN之内连接采取交换实现,VLAN和VLAN之间采取路由实现。因为路由控制能力有限,不能实现LVLAN和其它VLAN之间单向信息流动,需要在LVLAN和其它VLAN之间设置一个Gauntlet防火墙作为安全隔离设备,控制VLAN和VLAN之间信息交流。9.6.2网络安全方法防火墙 防火墙并非万能,但对于网络安全来说还是必不可少。它是在两个网络之间屏障,一个是内部网络(可信赖网络),另一个是外部网络(不可信赖网络),防火墙根据系统管理员预先定义好规则来控制数据包进出。大部分防火墙全部采取了以下三种工作
16、方法中一个或多个;使用一个过滤器来检验数据包起源和目标地,依据管理员要求接收或拒绝数据包;扫描数据包,查找和应用相关数据;在网络层对数据包进行模式检验,看是否符合已知“友好”数据包位(bit)模式。9.6.3网络系统实现安全管理方法1为确保网络系统安全运行和数据可靠共享,局域网系统网站所实现安全方法包含:通信对方判别 参与通信一方能够检验对方身份,判别其真伪和访问权限。可采取“单方判别”和“相互判别”两种方法;数据发方判别 在无连接通信中,接收方判别发送数据方身份后方才接收数据,以预防欺骗数据侵入;访问控制 只有授权用户才能进入特定局域网,使用网络资源;数据保护 确保专用数据不被无权用户获取,
17、这是经过控制访问或数据加密实现;业务流分析防护网络中一些特定业务流出现频度,长度和信息起源等等,也含有一定保密意义。本方法即是对特定业务信息流进行必需屏蔽,以避免无权用户经过分析这些业务流而获取有用信息;数据完整性保护发方和收方确定2数据安全方法和保密性数据安全性表现在以下多个方面:1) 预防因硬件故障造成数据破坏 我们经过采取优质、高性能设备和采取切实可行系统容错技术能够完全确保因硬件故障造成数据破坏。2) 确保数据不被窃取和破坏 建立对应安全管理机制和在用户中树立安全意识,预防泄密事件发生,以确保数据不被窃取。3) 预防病毒破坏 首先,要求网上用户不要随意拷贝外来磁盘和下载网上文件,不要随
18、意使用盗版光盘,预防病毒进入网络;其次使用杀毒软件对工作站进行病毒清理,在网上安装防病毒软件,也是一个预防网上病毒侵蚀有效路径。4) 预防人为破坏和“黑客”攻击采取INTERNET防火墙技术,在和INTERNET连接通道上设置防火墙,屏蔽本系统IP地址,对出入数据包进行过滤,预防“黑客”经过INTERNET攻击本系统。同时网络之间也需进行数据包过滤,预防有些人经过系统破坏网络。确保整个系统安全。在系统内部建立一整套严密帐户和口令管理机制,能够有效预防人为破坏。3.硬件设备安全选择优质硬件设备是确保系统安全可靠前提条件 即全系统硬件设备:包含服务器、关键交换机、路由器、PC工作站等等安全性。 硬
19、件设备安全性关键由设备本身性能和系统采取容错技术来确保。最关键是决定于设备本身性能,所以我们选择了世界著名网络设备生产厂商美国思科Cisco企业防火墙产品。防火墙采取思科ASA系列自防御ASA5540。Cisco ASA 5500 系列自适应安全设备支持:用户化:依据企业政策和具体接入需要,个性化安全系统。灵活性:伴随企业成长和改变,您能方便地添加新功效或从一台设备升级至另一台设备。高级安全性:充足利用内容安全、加密、身份验证、授权和入侵防御等方面最新技术。简单易行:使用一台设备即可轻松进行安装、管理和监控。高级网络功效:设置虚拟专用网络 (VPN),以确保移动和远程工作人员安全访问企业资源,或基于职责在合作伙伴及其它办事处之间创建 VPN。确保网络安全性和可靠性关键目标是让职员实时信赖它。Cisco ASA 5500 系列自适应安全设备是你第一道和最好防线。
浙ICP备2021020529号-1 | 浙B2-20240490 
