一套完整的计算机网络系统方案

1、文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持前言：计算机网络系统在弱电系统设计中算是比较难的，设备的选型，一般都是由 厂家技术人员提供，但是一般的技术方案我们还是要会做的正文：一、需求分析计算机网络是用通信线路和通信设备，将分散在不同地点并具有独立功能的 多个计算机系统互相连接，按照国际标准的网络协议进行数据通信。实现网络中 的硬件、软件、数据库等资源共享的计算机群。项目内的计算机网络的通信线路就是综合布线系统，其他智能化系统，如： 一卡通系统、安全防范系统和电话交换机系统等系统均要基于楼内的局域网系统 进行数据交换、传输和资源共享，因此计算机网络担负着整个项目数据信息交换 的

2、重任，必需建设一套性能超群、稳定可靠的网络系统。二、设计原则网络系统的建设不同于一般的智能化系统的建设， 有自己独有的特点：一要 网络功能强大，满足系统日常繁重的数据交换重任； 二要稳定可靠，不能因为产 品质量等原因影响日常工作；三要满足安全要求，具备抵御各种常见的网络攻击、 病毒侵袭等功能，最后网络系统的管理还要简便。为了更好的满足用户的需求， 在本次网络系统方案设计中，我们认为应当把握住以下几个原则：文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持技术上应达到相当的先进性，性能上应能适应现在日新月异发展的网络应 用，比如对数据、多媒体等多元信息传输的适应能力等， 从而使网络平台

3、在较长 时间内不落后；支持多种集成化服务，如防火墙、IPSEC VPN、防御DDOS、WEB VPN、内容交换等多种服务。网络传输应具备高可靠性、高安全性，具备在出现故障时提供备用或应急 措施的能力；支持NSF/SSO （状态切换），从而能在路由引擎切换时，维持路由 协议的稳定，并保持第二层至第四层信息转发的状态表，不影响 VoIP、网络视 频等对丢包敏感的业务。网络应具有优异的开放性和升级扩展能力， 易于对外互连，并提供最佳的 用户投资保护。如硬件支持IPV6,系统可平滑扩展等能力；支持多种国际/国家 标准协议，便于系统的升级、扩充，以及与其它系统或厂家的设备的互连、 互通。网络应易于维护、

4、易于管理。发生故障时一般网管人员也能进行简单维护， 并在短时间内恢复。系统主要设备均采用广泛应用且具有良好性能价格比的产品，既考虑节省投资，又保证产品的先进性和可用性。三、设计依据? 智能建筑设计标准（GB/T50314-2000）? 智能建筑工程建设标准（DBJ14-S5-2004(GB/T50311-2000)? 建筑物与建筑群综合布线系统工程设计规范文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持?建筑物与建筑群综合布线系统工程验收规范(GB/T50312-2000)?电子计算机机房设计规范(GB50174-93?电子计算机场地通用规范(G8/T2887-2000)四、系统设

5、计1、工程概况项目分住宅部分、商业部分和百货部分。根据综合布线系统的设计，以下的 网络系统设计均以此为基础；语音设计充分考虑系统容量及今后的扩展。在地下室等手机信号不通畅的地方安装手机信号放大器。2、具体设计构架设计根据项目综合布线配线间的分布，网络拓扑结构应为星型，分两级：核心层 和接入层，并且应具备以下设备：交换机、路由器和防火墙等。根据综合布线的 点位设计，共设置3个接入层，根据点位数量，设置不同类型的接入层交换机， 核心层要根据点位设置满足功能要求的核心交换机及路由器。电话根据前端电话点位设计，采用程控电话机进行管理。交换机的选择(1)核心交换机：核心交换机主要用于管理整个项目的数据点

6、，办公系统 的数据交换大部分是在这个平台上完成的，因此核心交换机必须功能强大、性能 可靠文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持.(2)接入交换机：接入层是直接与用户相连的设备，一个高性能的网络除 了核心、汇聚设备性能要求强劲之外，最重要的一环是数量最大的接入交换机。 接入交换机不仅要求保证线速的交换，同时要提供良好的用户认证、管理和安全控制等功能，保证网络管理策略的一致性。路由及防火墙设计建议使用路由和交换一体化机，支持 8到24个不等的交换以太网接口，多 个100/1000M以太网交换端口，产品的交换端口均支持 VLAN的划分，可以满 足大多数中小企业的组网及不同业务隔

7、离的要求。用户只需一台交换路由器，无 需购买交换机设备，便可实现Internet的接入，节约用户网络建设的费用、增强 用户应用的方便性。具有100/1000M以太网WAN接口，可实现单出口线路的通 信。防火墙通常位于企业网络的边缘，使得内部网络与 Internet之间或者与其他 外部网络互相隔离，并限制网络互访从而保护企业内部网络。 设置防火墙目的都 是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。整个外网建设的核心是防火墙，通过防火墙完成三个区域的交汇。它连接的 三个区域分别是：外部区域，即Internet区域，我们将会通过防火墙的 100/1000M端口实现到 INTERNE

8、T的连接，这个区域是相对不安全的，不可信的区域；内网区域，即我们通常所说的正常的局域网区域，是内部的可控的区域。这 个区域是相对安全的、可信赖的;文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持DMZ区域（非军事区域）,用来放置行政大楼需要向Internet提供信息服务 的主机，我们之所以把它独立出来，而不是放置在内网，是为了防止类似“特洛 伊牧马”之类的病毒将之做为跳板，攻击内网的其它服务器。它的安全性和可信 赖的程度介于内网区域和外网区域之间。这样，通过防火墙可操作的区域的分割，我们就基本上实现了内外网络的物 理的隔离，与此同时，配合防火墙的访问控制策略的定制和实施，我们将可以

9、满足甲方的关于访问限制方面的严格需求。网络安全设计从体系结构来看，安全体系应该是一个多层次、多方面的结构。通过分析， 我们将项目的网络安全性在体系结构上分为四个级别：网络级安全、应用级安全、系统级安全和企业级安全。A）网络级安全管理 的主要内容包括：.对网络设备，如交换机的安全管理，保证网络的正常运行。.提供链路层加密，保证数据在广域网上传输的安全性；.配置防火墙，保证内部网的边界安全。4划分虚拟局域网（VLAN ）:在本次网络建设中，我们在三次交换机上进行 了 VLAN划分，因此我们应该控制各 VLAN之间的相互访问，实事上，绝大部 分的VLAN之间并没有访问的需求。那么我们如何实现跨越不同

10、VLAN之间的限制访问呢？答案就是基于 VLAN的访问控制列表。文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持访问控制列表是实现访问控制策略的一项重要的手段，它可以针对IP数据包的源地址，目的地址，源端口，目的端口进行控制，人为的允许和禁止此类数 据包的转发。其中，源地址和目的地址可以是一段地址， 也可以是某个独立的地 址。这样，在我们完成IP地址规划后，某一个VLAN内的IP地址非常整齐，我 们可以针对该段 VLAN进行访问控制的设定，对于没有访问需求的数据流通过 访问控制列表禁止，从而提升网络的安全性和可管理性。另外，对于部分 VLAN内，存在这样的情况：部分主机可以允许跨

11、VLAN 主机的访问，而该 VLAN内其它主机则禁止跨 VLAN主机的访问。对于这种问 题，我们仍然通过访问控制列表的方式来实现。我们知道，访问控制列表可以基于一个网段，也可以基于某个具体的IP地址，对于此类情况，我们只需要添加部分基于某些IP地址的访问控制列表语句， 就可以轻松的实现上述功能。B）应用级安全主要目的是在应用层保证各种应用系统（OA系统及其他业务 系统）的信息访问合法性，确保合法用户根据授权合法的访问数据。 应用层在ISO 的体系层次中处于较高的层次，因而其安全防护也是较高级的。应用层的安全防 护是面向用户和应用程序的。应用层采用身份认证和授权管理系统作为安全防护 手段，实现高

12、级的安全防护。C）系统级的安全主要是从操作系统的角度考虑系统安全措施，防止不法分 子利用操作系统的一些 BUG、后门取得对系统的非法操作权限。系统级安全管 理的主要内容包括：文档来源为：从网络收集整理,word版本可编辑.欢迎下载支持1.配置操作系统，使其达到尽可能高的安全级别；2,及时检测、发现操作系统存在的安全漏洞；3.对发现的操作系统安全漏洞做出及时、正确的处理。D）企业级安全 主要包括以下两个方面的内容：1.内部安全管理。因为从统计数字来看,70%以上的网络攻击行为是来自 企业内部的。2,计算机病毒防范。历年来，全世界各地因为病毒入侵所造成的损失均怵 目惊心、数不胜数。尤其现在病毒通过网络广泛传播， 影响面极大，造 成危害也极大，其对系统和数据的破坏性是原来单机系统时所不能比拟 的。另一方面，现在有很多黑客程序，如Back Orfice、NETSPY等，在传播其“探测器”程序时采取的都是类似病毒的机制。五、系统功能随着现代计算机应用的高速发展，特别是诸如图形、音频、视频等多媒体信 息和技术在管理信息系统、科研设计等领域的广泛应用，为网络平台的建设提出 了更高的要求。