一套完整的计算机网络系统方案

1、WOR/式前言:计算机网络系统在弱电系统设计中算是比较难的,设备的选型,一般都是由厂家技术人员提供,但是一般的技术方案我们还是要会做的正文：一、需求分析计算机网络是用通信线路和通信设备,将分散在不同地点并具有独立功能的多个计算机系统互相连接,根据国际标准的网络协议进行数据通信.实现网络中的硬件、软件、数据库等资源共享的计算机群.工程内的计算机网络的通信线路就是综合布线系统,其他智能化系统,如：一卡通系统、平安防范系统和 交换机系统等系统均要基于楼内的局域网系统进行数据交换、 传输和资源共享,因此计算机网络担负着整个工程数据信息交换的重任,必需建设一套性能超群、稳定可靠的网络系统.二、设计原那么

2、网络系统的建设不同于一般的智能化系统的建设,有自己独有的特点： 一要网络功能强大,满足系统日常繁重的数据交换重任；二要稳定可靠,不能由于产品质量等原因影响日常工作；三要满足平安要求,具备抵御各种常见的网络攻击、病毒侵袭等功能,最后网络系统的治理还要简便.为了更好的满足用户的需求,在本次网络系统方案设计中,我们认为应当把握住以下几个原那么： 技术上应到达相当的先进性,性能上应能适应现在日新月异开展的网络应专业资料整理WOR/式用,比方对数据、多媒体等多元信息传输的适应水平等,从而使网络平台在较长时间内不落后；支持多种集成化效劳,如防火墙、IPSEC VPN、防御 DDOSWEB VPN、内容交换

3、等多种效劳. 网络传输应具备高可靠性、高平安性,具备在由现故障时提供备用或应急举措的水平；支持NSF/SSO(状态切换),从而能在路由引擎切换时,维持路由协议的稳定,并保持第二层至第四层信息转发的状态表,不影响VoIP、网络视频等对丢包敏感的业务. 网络应具有优异的开放性和升级扩展水平,易于对外互连,并提供最正确的用户投资保护.如硬件支持IPV6,系统可平滑扩展等水平；支持多种国际 /国家标准协议,便于系统的升级、扩充,以及与其它系统或厂家的设备的互连、互通. 网络应易于维护、易于治理.发生故障时一般网管人员也能进行简单维护,并在短时间内恢复. 系统主要设备均采用广泛应用且具有良好性能价格比的

4、产品,既考虑节省投资,又保证产品的先进性和可用性.三、设计依据?智能建筑设计标准?(GB/T50314-2000)?智能建筑工程建设标准?(DBJ14-S5-2022 )?建筑物与建筑群综合布线系统工程设计标准?(GB/T50311-2000)?建筑物与建筑群综合布线系统工程验收标准?(GB/T50312-2000)?电子计算机机房设计标准?(GB50174-93)电子计算机场地通用标准?(G8/T2887-2000 )专业资料整理WOR/式四、系统设计1、工程概况工程分住宅局部、商业局部和百货局部.根据综合布线系统的设计,以下的网络系统设计均以此为根底；语音设计充分考虑系统容量及今后的扩展.

5、在地下室等 信号不通畅的地方安装 信号放大器.2、具体设计2.1 构架设计根据工程综合布线配线间的分布,网络拓扑结构应为星型,分两级：核心层和接入层,并且应具备以下设备：交换机、路由器和防火墙等.根据综合布线的点位设计,共设置3个接入层,根据点位数量,设置不同类型的接入层交换机, 根据前端 核心层要根据点位设置满足功能要求的核心交换机及路由器点位设计,采用程控 机进行治理.2.2 交换机的选择(1)核心交换机： 核心交换机主要用于治理整个工程的数据点,办公系统的数据交换大局部是在这个平台上完成的,因此核心交换机必须功能强大、性能可靠.(2)接入交换机:接入层是直接与用户相连的设备,一个高性能的

6、网络除了核心、会聚设备性能要求强劲之外,最重要的接入交换机不仅要求保证线速的交换, 限制等功能,保证网络治理策略的一致性.2.3路由及防火墙设计建议使用路由和交换一体化机,支持环是数量最大的接入交换机.同时要提供良好的用户认证、治理和平安8到24个不等的交换以太网接口,多专业资料整理WOR/式个100/1000M 以太网交换端口,产品的交换端口均支持VLAN的戈fj分,可以满足大多数中小企业的组网及不同业务隔离的要求.用户只需一台交换路由器,无需购置交换机设备,便可实现Internet 的接入,节约用户网络建设的费用、增强用户应用的方便性.具有100/1000M 以太网WAN接口,可实现单由口

7、线路的通信.防火墙通常位于企业网络的边缘,使得内部网络与Internet 之间或者与其他外部网络互相隔离,并限制网络互访从而保护企业内部网络.设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的平安治理.整个外网建设的核心是防火墙,通过防火墙完成三个区域的交汇.它连接的三个区域分别是：外部区域,即Internet 区域,我们将会通过防火墙的100/1000M端口实现到INTERNET的连接,这个区域是相对不平安的,不可信的区域；内网区域,即我们通常所说的正常的局域网区域,是内部的可控的区域.这个区域是相对平安的、可信赖的；DMZ区域非军事区域,用来放置行政大楼需要向Intern

8、et 提供信息效劳的主机,我们之所以把它独立由来,而不是放置在内网,是为了预防类似“特洛伊牧马之类的病毒将之做为跳板,攻击内网的其它效劳器.它的平安性和可信赖的程度介于内网区域和外网区域之间.这样,通过防火墙可操作的区域的分割,我们就根本上实现了内外网络的物理的隔离,与此同时,配合防火墙的访问限制策略的定制和实施,我们将可以满足甲方的关于访问限制方面的严格需求.2.4 网络平安设计专业资料整理WOR/式从体系结构来看,平安体系应该是一个多层次、多方面的结构.通过分析,我们将工程的网络平安性在体系结构上分为四个级别：网络级平安、应用级平安、系统级平安和企业级平安.A网络级平安治理 的主要内容包括

9、：1 .对网络设备,如交换机的平安治理,保证网络的正常运行.2 .提供链路层加密,保证数据在广域网上传输的平安性；3 .配置防火墙,保证内部网的边界平安.4 .划分虚拟局域网VLAN :在本次网络建设中,我们在三次交换机上进行了 VLAN划分,因此我们应该限制各VLAN之间的相互访问,实事上,绝大部分的VLAN之间并没有访问的需求.那么我们如何实现跨越不同VLAN之间的限制访问呢？答案就是基于VLAN的访问限制列表.访问限制列表是实现访问限制策略的一项重要的手段,它可以针对IP数据包的源地址,目的地址,源端口,目的端口进行限制,人为的允许和禁止此类数据包的转发. 其中,源地址和目的地址可以是一

10、段地址,也可以是某个独立的地址.这样,在我们完成IP 地址规划后,某一个VLAN内的IP地址非常整洁,我们可以针对该段VLAN 进行访问限制的设定,对于没有访问需求的数据流通过访问限制列表禁止,从而提升网络的平安性和可治理性.另外,对于局部VLAN内,存在这样的情况：局部主机可以允许跨VLAN主机的访问,而该VLAN内其它主机那么禁止跨VLAN主机的访问.对于这种问题,我们仍然通过访问限制列表的方式来实现.我们知道,访问限制列表可以基于一个网段,也可以基于某个具体的IP地址,对于此类情况,我们只需要添加局部基于某些IP地址的访问限制列表语句,专业资料整理WOR/式就可以轻松的实现上述功能.B应

11、用级平安主要目的是在应用层保证各种应用系统OA系统及其他业务系统的信息访问合法性,保证合法用户根据授权合法的访问数据.应用层在ISO的体系层次中处于较高的层次,因而其平安防护也是较高级的.应用层的平安防护是面向用户和应用程序的.应用层采用身份认证和授权治理系统作为平安防护手段,实现高级的平安防护.C系统级的平安 主要是从操作系统的角度考虑系统平安举措,预防不法分子利用操作系统的一些BUG后门取得对系统的非法操作权限.系统级平安管理的主要内容包括：1. 配置操作系统,使其到达尽可能高的平安级别；2. 及时检测、发现操作系统存在的平安漏洞；3. 对发现的操作系统平安漏洞做由及时、正确的处理.1. 内部平安治理.由于从统计数字来看,70%以上的网络攻击行为是来自企业内部的.2. 计算机病毒防范.历年来,全世界各地由于病毒入侵所造成的损失均怵目惊心、数不胜数. 尤其现在病毒通过网络广泛传播,影响面极大,造成危害也极大,其对系统和数据的破坏性是原来单机系统时所不能比较的.另一方面,现在有很多黑客程序,如Back Orifice 、NETSPY等,在传播其探测器程序时采取的都是类似病毒的机制.专业资料整理WOR/式五、系统功能随着现代计算机应用的高速开展,特别是诸如图形、音频、视频等多媒体信息和技术在治理信息系统、科研设计等领域的广泛应用,为网络平台的建设