一套完整的计算机网络系统方案

1、欢迎下载内容仅供参考前言：厂家技术人员提供，但是一般的技术方案我们还是要会做的正文：一、需求分析的硬件、软件、数据库等资源共享的计算机群。二、设计原则病毒侵袭等功能，最后网络系统的管理还要简便。为了更好的满足用户的需求， 在本次网络系统方案设计中，我们认为应当把握住以下几个原则：时间内不落后；支持多种集成化服务，如防火墙、IPSEC VPN、防御 DDOSWEB VPN、内容交换等多种服务。措施的能力；支持NSF/SS（状态切换协议的稳定，并保持第二层至第四层信息转发的状态表，不影响 VoIP、网络视频等对丢包敏感的业务。用户投资保护。如硬件支持IPV6/并在短时间内恢复。投资，又保证产品的先

2、进性和可用性。三、设计依据（GB/T50314-2000）（DBJ14-S5-2004）（GB/T50311-2000）（GB/T50312-2000）（GB50174-93）（G8/T2887-2000） 四、系统设计1、工程概况网络系统设计均以此为基础；语音设计充分考虑系统容量及今后的扩展。在地下室等手机信号不通畅的地方安装手机信号放大器。2、具体设计构架设计根据项目综合布线配线间的分布，网络拓扑结构应为星型，分两级：核心层和接入层，并且应具备以下设备：交换机、路由器和防火墙等。根据综合布线的点位设计，共设置 3 个接入层，根据点位数量，设置不同类型的接入层交换机， 核心层要根据点位设置满

3、足功能要求的核心交换机及路由器。电话根据前端电话点位设计，采用程控电话机进行管理。交换机的选择核心交换机：核心交换机主要用于管理整个项目的数据点，办公系统可靠。接入交换机：接入层是直接与用户相连的设备，一个高性能的网络除路由及防火墙设计建议使用路由和交换一体化机，支持 8 到 24个 100/1000M 以太网交换端口，产品的交换端口均支持 VLAN 的划分，可以满需购买交换机设备，便可实现 Internet100/1000M 以太网 WAN信。防火墙通常位于企业网络的边缘，使得内部网络与Internet是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。三个区域分别是：外部区域，即

4、Internet 区域，我们将会通过防火墙的 100/1000M 端口实现到INTERNET 的连接，这个区域是相对不安全的，不可信的区域；内网区域，即我们通常所说的正常的局域网区域，是内部的可控的区域。这个区域是相对安全的、可信赖的；DMZ 区域（非军事区域，用来放置行政大楼需要向 Internet 提供信息服务足甲方的关于访问限制方面的严格需求。网络安全设计从体系结构来看，安全体系应该是一个多层次、多方面的结构。通过分析， 系统级安全和企业级安全。网络级安全管理的主要内容包括： 1提供链路层加密，保证数据在广域网上传输的安全性；配置防火墙，保证内部网的边界安全。划分虚拟局域网VLAN了 V

5、LAN 划分，因此我们应该控制各 VLAN 之间的相互访问，实事上，绝大部分的 VLAN 之间并没有访问的需求。那么我们如何实现跨越不同 VLAN 之间的限制访问呢？答案就是基于 VLAN 的访问控制列表。访问控制列表是实现访问控制策略的一项重要的手段，它可以针对 IP 数据包的源地址，目的地址，源端口，目的端口进行控制，人为的允许和禁止此类数IP 地址规划后，某一个VLAN 内的 IP们可以针对该段 VLAN 进行访问控制的设定，对于没有访问需求的数据流通过访问控制列表禁止，从而提升网络的安全性和可管理性。另外，对于部分 VLAN 内，存在这样的情况：部分主机可以允许跨 VLAN 主机的访问

6、，而该 VLAN 内其它主机则禁止跨 VLAN 主机的访问。对于这种问题，我们仍然通过访问控制列表的方式来实现。我们知道，访问控制列表可以基于一个网段，也可以基于某个具体的 IP 地IP就可以轻松的实现上述功能。应用级安全(OA手段，实现高级的安全防护。系统级的安全子利用操作系统的一些 BUG、后门取得对系统的非法操作权限。系统级安全管理的主要内容包括：配置操作系统，使其达到尽可能高的安全级别；及时检测、发现操作系统存在的安全漏洞；对发现的操作系统安全漏洞做出及时、正确的处理。企业级安全主要包括以下两个方面的内容：企业内部的。Back Orifice、NETSPY 等， 在传播其探测器程序时采取的都是类似病毒的机制。五、系统功能了更高的要求。本方案可以实现以