计算机网络系统设计方案

经典word整理文档，仅参考，双击此处可删除页眉页脚。本资料属于网络整理，如有侵权，请联系删除，谢谢！络系统本方案将涉及以下范围：系统需求概述网络设计原则网络系统设计网络设备选型网络的安全性系统需求概述随着网络技术，信息通信领域的长足发展，网络经济，知识经济再不是IT等高科技行业的专利，企业正利用其行业特点，汲取网络技术精华，努力创造着制造业的又一个春天。未来是美好的，但现实不可回避。大多数企业对电子商务的一般认识是电子商务能帮贸易公司、批发配送公司，孰不知电子商务已对传统的制造业形成了巨大冲击。在这种形式下，面对企业规模的扩大，新厂区的启用，为了加强生产经营管理，提高企业生产水平和管理水平，使之成为领导市场的现代化企业，并为浙江生迪光电有限公司的长远发展提供更好的条件提出了网络系统建设方案。提出了非常高的要求。作为系统运行的支撑平台，更是重中之重。计算机网络系统、网络整体安全系统以及整个系统集成建设是否成功，变得尤其重要。实施的经验积累，我们认为，本次关于景兴限公司计算机网络核心系统的总体需求可以概括为：1、实现企业的信息化管理，提高经济管理水平和服务质量，实现企业的经济效益与社会效益的同步增长。在此基础上发展企业的决策支持辅助信息系统，因此我们计算机网络核心系统也将紧紧围绕着这些应用展开。2、建设机房与相应的网络系统。3、建立比较完备的安全防护体系，实现信息系统的安全保障。4、系统必须保持一定的先进性、可扩展性、高可用性、高稳定性、易维护性。网络设计原则（1）先进性与成熟性相结合在构建系统时绞尽脑汁地在技术的先进性与成熟性之间寻求平衡。先进而不成熟的技术不敢用，而太成熟的技术又意味着过时和淘汰。本方案充分考虑了先进性与成熟性相结合。（2）合理、灵活的体系结构从长远角度来看，也可以提供很好的投资保护。（3）系统的开放性协议来实施网络连接，保证现在和将来与其他系统的可连通性。我们采用工业标准的硬件设备，以保证获得大多数厂商的长期技术支持。（4）系统的高可靠性设计方案不但要保证理论上可行，更重要的是实际上可用,要充分考虑具体情况，充分满足网络需求。到最低。（5）一体化的网络管理随着网络规模的扩大和系统复杂程度的增加，网络管理和故障排除变得越来越困难,本方案将提供先进而完善的网络管理工具。（6）系统可扩充性网络设备的内部模块的扩充方式来实现系统升级，保证原有投资。（7）系统安全性系统安全性包括保障网络服务的可用性和网络信息的完整性。（8）系统易维护性意系统的可维护性。（9）充分考虑性价比成方案书和产品选型，本方案充分考虑到这一点。（10）完善的本地支持服务构建一个系统最重要的还要考虑到系统能按时保质地开通，并能保持它的连续正常地运行。集成商及其设备厂家提供的服务，特别是本地支持服务的及时响应和质量是系统能否成功的关键因素之一。我公司为美国网思科Cisco嘉兴地区的认证代理商及本公司完善的服务中心是本方案书履行及系统持续正常运行的可靠保证。主要技术要求1.采用成熟、先进的计算机和网络技术；2.统一技术规范、标准和方案，统—组织实施；3.以标准化为基础实现系统的开发性、可扩展性、异构网络的互联能力；4.注意避免网络设计上出现信息流传输的瓶颈效应，信息的安全性以保证网络每天可靠地运行；5.通信和数据的安全，建立完善的网络安全管理机制；6.网络系统设计网络设计总体考虑当今网络的发展正远远超出了单纯追求基本连通的历史阶段。我们在网络连通基础上QOS高可靠性，Scalability可扩展性等增值服务。在此基础上，多层次的网络管理也是网络成功与否的一个关键所在。统计数据表明，网络的建设成本在总成本的三分之一。网络的运营管理成本都要消耗总成本的三分之二左网络总体设计在现在的计算机网络通信应用中，信息流已不再是单纯的数据，同时还有声音、图像和视频等多媒体信息。系统设计和管理人员的一个很自然的选择就是尽可能向用户提供财根据有限公司的需要，我们推荐景兴公司采用100M/1000M以太网，既适用于目前数据交换又能满足于多媒体传输,100M/1000M以太网在先进、成熟、实用、升级扩展、开放性与互连方便等方面都具有明显的特点：1）高可靠性（HighAvailability）2）高性能(HighPerformance)3）高可扩展性(HighScalability)4）高品质的网络服务质量（QOS）景兴公司网络系统采用集中分布式二层网络结构，建成主干为1000M光缆连接，100M网线到桌面的新厂区网络系统。网络拓扑及说明办公楼机房新增核心交换机Cisco4507R1台配置最新的第六代万兆引擎2块保证技术的先进性，同时引擎320G的交换容量保证网络数据的线速转发，万兆接口预留以后万兆接入，2块引擎互为冗余；另配置冗余电源；配置48口10/100/1000M电口板1块提供服务器群、AP及办公楼内重要信息点接入；配置24口SFP光口板2块通过单模光纤模块连接各接入交换机；核心交换机共7个插槽，预留2个插槽为将来扩容。办公楼机房各楼层新增48口或者24口10/100M接入交换机负责本楼层内各信息点接入网络，交换机通过双路单模光纤模块捆绑（提供双向4G速率，保证网路的冗余）接入核心交换机。网络设备选型景兴公司网络系统中，主干核心交换机是肩负所有设备互连、交换处理的重要设备，并具有可靠性高，交换处理能力强、扩展性能好等特点。一.核心交换机Cisco4507R:景兴公司网络系统中,核心三层交换机采用美国思科Cisco4507R交换机,交换机采用了优化的体系架构，可以实现高性能的全线速的第二层和第三层交换，满足网络骨干大流量、多应用、高可靠的需求。并提供一流的性能、可管理性和灵活性以及无与伦比的投资保护。二.楼层交换机采用思科二层网管10/100M可以交换机WS-C2918。三.公司网络IP地址的规划与VLAN的划分如下:A:由于有限公司的数据信息点有公司多个,现将IP地址规划为C类网段,具体如下:服务器无线来宾可靠性与安全保密性局域网在网络层中不安全的地方1）不安全的地方黑客就对可以对信息包进行分析，那么本广播域的信息传递都会暴露在黑客面前。2）网络分段网络分段是保证安全的一项重要措施，同时也是一项基本措施，其指导思想在于将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。网络分段可分为物理分段和逻辑分段两种方式：物理分段通常是指将网络从物理层和数据链路层（ISO／OSI模型中的第一层和第二层）上分为若干同段，各同段相互之间无法进行直接通讯。目前，许多交换机都有一定的访问控制能力，可实现对网络的物理分段。逻辑分段则是指将整个系统在网络层（ISO／OSI模型中的第三层）上进行分段。例如，对于TCP／IP网络，可把网络分成若干IP子网，各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备（含软件、硬件）的安全机制来控制各子网间的访问。在实际应用过程中。通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。3）VLAN的实现将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。由以上运行机制带来的网络安全的好处是显而易见的：＊信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。＊通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是，虚拟网技术也带来了新的安全问题：执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。基于MAC的VLAN不能防止MAC欺骗攻击。采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。4）VLAN之间的安全划分原则VLAN分VLAN，可以将总部中的服务器系统单独划作一个VLAN，如数据库服务器、电子邮LeaderVLAN，并且控制LVLAN与其他VLANLVLAN查看其他VLANVLAN不能访问LVLAN的信息。VLAN之内的连接采用交换实现，VLAN与VLAN之间采用路由LVLAN与其他VLAN之间的单向信息流动，需要在LVLAN与其他VLAN之间设置一个GauntletVLAN与VLAN之间的信息交流。网络安全的措施防火墙防火墙并非万能，但对于网络安全来说还是必不可少的。它是位于两个网络之间的按照系统管理员预先定义好的规则来控制数据包的进出。大部分防火墙都采用了以下三种工作方式中的一种或多种；使用一个过滤器来检查数据包的来源和目的地，根据管理员的规定接收或拒绝数据包；扫描数据包，查找与应用相关的数据；在网络层对数据包进行模式检查，看是否符合已知“友好”数据包的位(bit)模式。网络系统实现的安全管理措施1．为确保网络系统的安全运行和数据可靠共享，局域网系统／网站所实现的安全措施包括：通信对方鉴别参与通信的一方可以检验对方的身份，鉴别其真伪和访问权限。可采用“单方鉴别”和“互相鉴别”两种方式；数据发方鉴别在无连接的通信中，接收方鉴别发送数据方身份后方才接收数据，以防止欺骗数据的侵入；访问控制只有授权用户才能进入特定的局域网，使用网络资源；数据保护保证专用数据不被无权用户获取，这是通过控制访问或数据加密实现的；业务流分析防护网络中某些特定的业务流出现的频度，长度和信息来源等等，也具有一定的保密意义。本措施即是对特定的业务信息流进行必要的屏蔽，以避免无权用户通过分析这些业务流而获取有用信息；数据完整性保护发方和收方确认2．数据安全措施和保密性数据的安全性表现在以下几个方面：1）防止因硬件故障造成的数据破坏我们通过采用优质、高性能的设备和采用切实可行的系统容错技术可以完全保证因硬件故障造成的数据破坏。2）保证数据不被窃取和破坏建立相应的安全管理机制和在用户中树立安全意识，防止泄密事件发生，以保证数据不被窃取。3）防止病毒破坏一方面，要求网上的用户不要随意拷贝外来磁盘和下载网上文件，不要随意使用盗版光盘，防止病毒进入网络；另一方面使用杀毒软件对工作站进行病毒清理，在网上安装防病毒软件，也是一种防止网上病毒侵蚀的有效途径。4）防止人为破坏和“黑客”攻击采用INTERNET防火墙技术，在和INTERNET连接的通道上设立防火墙，屏蔽本系统的IP地址，对出入的数据包进行过滤，防止“黑客”通过INTERNET攻击本系统。同时网络之间也需进行数据包的过滤，防止有人通过系统破坏网络。保证整个系统的安全。在系统内部建立一整套严密的帐户和口令管理机制，可以有效的防止人为破坏。3.硬件设备的安全选择优质的硬件设备是保证系统安全可靠的前提条件即全系统的硬件设备：包括服务器、核心交换机、路由器、PC工作站等等的安全性。硬件设备的安全性主要由设备本身的性能和系统采用容错技术来保证。最主要的是决定于设备本身的性能，所以我们选择了世界着名网络设备生产厂商美国思科Cisco公司的防火墙产品。防火墙采用思科ASA系列自防御ASA5540。C