计算机系统集成设计技术方案

计算机系统集成设计技术方案计算机系统集成设计技术方案1.1、用户需求XX生物是以研究、开发及生产现代医药制品为主的高科技企业，地处深圳市高新区中区，总占地面积12,000平方米，总部位于深圳市深南中路国际文化大厦。XX园分为办公研发楼和生产制济楼。办公研发楼共6层，有数据信息点约423个；生产制济楼有信息点约27个，合计信息点450个，采用超五类综合布线系统，网络主干采用千兆以太网技术，采用百兆以太网技术到桌面的同时并安装部份无线网访问点，以方便移动用户和学术交流。局域网按部门划分VLAN，以增强网络系统的安全性能的同时隔离广播风瀑，以增强网络的性能。建成后的局域网要能与公司总部以及宝安高新区XX园进行联网，以实现数据的实时交换。建成后的局域网将通过高新区信息网接入Internet，以方便员工上网查询资料，同时要能通过VPN与一些关联合作伙伴进行数据交换。由于XX生物是以研究、开发及生产各种多肽产品为主的高新技术企业，因此对网络安全性能的要求非常高。计算机系统集成设计技术方案全文共20页，当前为第1页。1.2、网络系统设计原则计算机系统集成设计技术方案全文共20页，当前为第1页。1．设备的先进性与成熟性采取目前已经在业界经过考验、证明成熟、可靠的设备，既有技术的先进性，又有很高的性能价格比；2．网络的开放性和兼容性的原则选择符合国际标准的网络软硬件产品，有很好的互换、扩展和升级能力，并能与现有的网络设备兼容；3．网络的灵活性和可升级的原则网络系统能够适应各种网络应用系统，易于今后向更先进的技术升级4．网络的可管理性和易维护性原则可配置网管软件，采用具有可管理的网络设备，以便合理规划网络资源和控制网络运行。整个网络应结构合理，层次划分清楚且具有相对独立性，便于管理和维护。5．网络系统的安全性充分考虑网络系统的安全性能，即要满足内部员工上INTERNET查询资料，通过VPN实现与总部和其它办事处数据的可靠传输，外部用户通过INTERNET访问公司网站，又要防止重要数据被窃取和网络黑客的攻击。6．网络的可靠性与稳定性原则计算机系统集成设计技术方案全文共20页，当前为第2页。充分考虑系统设备的容余备份，在主设备故障时，系统能迅速切换到备份设备上，从而保证系统安全、稳定、可靠的运行；计算机系统集成设计技术方案全文共20页，当前为第2页。7．经济、实用的原则方案应具有良好的性能价格比，在条件满足系统需求的条件下，尽量减少投资。1.3、网络系统设计方案1.3.1、网络拓朴图计算机系统集成设计技术方案全文共20页，当前为第3页。1.3.2、网络设计说明及产品选型计算机系统集成设计技术方案全文共20页，当前为第3页。、园区局域网设计说明本方案选用两台Catalyst4006交换机作为主干交换机，配置三层交换模块以完成局域网内VLAN间的数据交换。两台Catalyst4006主干交换机通过两条千兆链路捆绑相连，形成4G吞吐量的TRUNK，实现主干交换机间的千兆级无阻塞数据交换。通过对SPANTREE的设置，使交换机F1：C4006-1为F4、F5和F6楼用户的主交换机，同时作为F1、F2和F3楼用户的热备份交换机；使交换机F1：C4006-2为F1、F2和F3楼用户的主交换机，同时作为F4、F5和F6楼用户的热备份交换机。当主用交换机故障时，系统将在很短的时间内自动切换至备用交换机上，这样有效地避免了由于设备单点故障而导至的系统瘫痪，保证系统安全、可靠的运行。计算机系统集成设计技术方案全文共20页，当前为第4页。接入层交换机选用Catalyst2950，通过两条千兆链路分别与两台主备用交换机相联。由于XX园数据信息大约有450个，是一个比较大型的计算机网络，为了保证建成后的网络的可靠性能和数据传输的安全性，建议将XX园局域网划分成若干个虚拟局域网即VLAN，各个VLAN相对独立，有效地隔离了广播风瀑，提高了网络的性能。VLAN间的数据交换可通过Catalyst4006交换机的三层交换功能来实现，并以包过滤的形式仅允许特权用户可以进行VLAN间的访问，普通用户只能进行VLAN内的数据交换，增强了网络的安全性能。计算机系统集成设计技术方案全文共20页，当前为第4页。VLAN的规划可以按部门划分为：财务VLAN、管理VLAN、科研VLAN、生产VLAN、销售VLAN、无线用户VLAN等，即按用户的需求任意划分，Catalyst2950交换机支持1024个VLAN。划分VLAN有如下优点：（1）增加了网络连接的灵活性网络管理员对网络上工作站可以按业务功能，而不必按地理位置分组。VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用VLAN后，这部分管理费用大大降低。实现VLAN的一个更具重要意义的目标是实现虚拟工作组模型。这个模型的概念即如果在园区网环境中完全实现VLAN的话，同一个部门的成员看上去是共享同一个网段，他们绝大多数的网络流量分布于同一个VLAN广播域。一个成员移动到了新的物理位置，他可以不改变工作站的配置而保留原来的工作组关系。相反，如果一个成员需要改变他的工作组关系时，他并不需要改变他的物理位置。网络管理工作可以简化到只需改变用户的VLAN成员关系。（2）控制网络上的广播风暴计算机系统集成设计技术方案全文共20页，当前为第5页。随着网络向交换结构转变，人们失去了路由器提供的防火墙功能。这样广播风暴将发送到每一个交换端口，这就是常说的整个网络是一个广播域。使用交换网络的优势是可以提供低延时和高吞吐量。缺点是增加了整个交换网络的广播风暴。计算机系统集成设计技术方案全文共20页，当前为第5页。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播风暴。使用VLAN可以将某个交换端口或用户赋予某一个特定的VLAN组，该VLAN组可以在一个交换网中，也可以跨接多个交换机，在一个VLAN中的广播风暴不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播风暴。这样可以减少广播流量，释放带宽给用户应用，减少广播风暴的产生。（3）增加网络的安全性人们在LAN上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效的容易实现的方法是将网络分段成几个不同的广播组，也就是划分VLAN。将保密的、关键性的数据放入一个VLAN，网络管理员通过限制VALN中用户的数量,禁止未经允许而访问VLAN中的应用.交换机端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。加了集中化的管理控制计算机系统集成设计技术方案全文共20页，当前为第6页。通过集中化的VLAN管理程序,网络管理员可以确定VLAN组,分配特定用户和交换机端口给这些VLAN组,设置安全性等级,限制广播域的大小,通过冗余链路负载分担网络流量,跨越交换机配置VLAN通信,监控交通流量和VLAN使用的网络带宽.这些能力有效地提高了网络管理程序的可控性、灵活性和监视能力，减少了管理的费用。计算机系统集成设计技术方案全文共20页，当前为第6页。CiscoCatalyst4006交换机简介Catalyst4006交换机是具备高性能的、易于管理的、灵活配置的千兆以太网交换机。其特性如下：1）Catalyst4000系列提供高性能的企业交换解决方案，它利用多千兆比特结构，为10/100/1000Mbit以太网交换提供智能第二层业务。2）一个经济有效的模块化6插槽机箱，它为企业或分支机构中的每一个用户提供集成化配线间的好处。新Catalyst4006功能包括可伸缩的交换、高达240端口的10/100密度以及多协议第三层IP、IPX和IP多路传输交换。计算机系统集成设计技术方案全文共20页，当前为第7页。3）Catalyst4006交换机配置了Cisco最新的第三代引擎Catalyst4006SupervisorEngineII，将非阻塞的第2/3/4层交换与增强的控制结合在一起，从而让企业和城域以太网用户在部署基于互联网的应用时具有业务灵活性。第2层和第3/4层的交换被集成到CatalystSupervisorEngineII上的单一硬件引擎中，CiscoCatalyst4006SupervisorEngineII在硬件上既为第2层也为第3/4层通信提供高达64Gbps的交换矩阵和48Mpps的数据包转发率。这是一种针对多媒体应用进行优化的平台，并具有先进的多播支持。计算机系统集成设计技术方案全文共20页，当前为第7页。4）CiscoCatalyst4006SupervisorEngineII是Catalyst4000系列中第一个自然支持CiscoIOS软件的管理引擎，从而使多层交换可以实现单一的CiscoIOS配置和软件管理维护。Catalyst4006的主要功能包括:·完善的QoS:基于2/3/4层的集成QoS、通信量管理功能分类、根据32,000个QoS策略来区分关键任务和时间敏感业务的优先次序。系统能够通过其机制（如根据客户、网络和应用信息制订输入输出计划）对带宽密集型话务进行流量整形和速度限制。·可以预测的性能:硬件中第2层和第3/4层通信的转发线速高达48Mpps。交换性能独立于路由表项的数量以及激活的高级第3层服务。·先进的安全性:支持32,000条第2/3/4层访问控制表项，以及用户鉴别和客户机安全等其他先进的安全功能。·全面管理:基于Web的配置管理和控制所有端口的管理从总体上减少了网络管理单元。·64Gbps无阻塞交换矩阵。计算机系统集成设计技术方案全文共20页，当前为第8页。·48Mpps第2层数据包转发率（硬件）。计算机系统集成设计技术方案全文共20页，当前为第8页。·48Mpps第3/4层转发率CiscoCatalyst2950交换机简介CiscoSystemsCatalyst2950XL系列是一系列可扩展、可堆叠的10/100和千兆位以太网交换机，提供最佳的性能、可管理性和灵活性以及无与伦比的投资保护。该系列低成本、高性能的交换解决方案通过一个独立的高速堆叠总线保留珍贵的桌面端口，提供下一代可堆叠的交换。Cisco的突破性交换机集群技术将堆叠域扩展到单个配线间之外，能使用户最多互连16个Catalyst2900XL和Catalyst1900交换机，组建一个灵活的单一IP地址管理网络，而不受它们的地理位置限制。关键特性·8.8Gbps的交换背板，最高转发速率每秒钟660万个数据包，最大转发带宽4.4Gbps，所有10/100端口提供线速性能。·内置的千兆位以太网端口适合插入各种GBIC收发器，包括CiscoGigaStackGBIC、1000BaseSX和1000BaseLX/LHGBIC。计算机系统集成设计技术方案全文共20页，当前为第9页。·低成本的2端口CiscoGigaStackGBIC通过在菊花链连接中提供1Gbps的连接，或者在专用的交换机到交换机连接中提供2Gbps的连接，提供广泛的高度可配置的堆叠和性能选项。计算机系统集成设计技术方案全文共20页，当前为第9页。、园区广域网设计说明（1）园区广域网拓朴图如下：（2）XX生物企业网互联计算机系统集成设计技术方案全文共20页，当前为第10页。XX生物企业网互联，建议采用DDN或帧中继的方式与公司总部相连，保证与公司总部和各分部间的信息传递，同时也可传递图像数据，实现视频会议；传递语音数据，实现VOIP等。为了增强广域网的可靠性，可采用ISDN拨号备份技术。当DDN或帧中继线路故障时，ISDN可迅速自动拨通总部，代替DDN或帧中继线路传递数据，不影响通迅；当帧中继线路故障恢复时，ISDN将自动断开与对方的连接，从而节省了通迅费用。网络设备建议选用Cisco3640路由器，配置WIC-2T广域网模块和NM-4BS/TISDN模块。计算机系统集成设计技术方案全文共20页，当前为第10页。（3）XX生物企业网INTERNET的接入XX生物园INTERNET的接入可通过高新区信息网以10M共享或独占的形式接入INTERNET。高新区信息网络是深圳电信IP宽带城域网的一部份，以1G的带宽接接入电信城域网，在深圳市率先实现电信网、电视网、计算机网的三网合一，主要为高新区企业提供高速上网及IPTV等宽带服务。（4）XX生物与关联企业的VPN互联由于XX生物及其关联企业局域网都接入了INTERNET，都有公有IP地址，若两端设备都支持VPN。可以充分利用INTERNET，在XX生物和关联企业局域网间建立一条虚拟数据通道，以IPSEC数据加密的形式进行VPN数据通讯，IPSEC数据加密的形式有DES，3DES等，能保证私有数据在公网上的安全传输。计算机系统集成设计技术方案全文共20页，当前为第11页。Cisco3640路由器简介计算机系统集成设计技术方案全文共20页，当前为第11页。由于XX生物园接入路由器同时需提供INTERNET接入、与公司总部的联网、VPN通迅等业务，因此对路由器的要求比较高，建议利用CISCO3640路由器作接入路由器。Cisco3600系列是一个适合大中型企业Internet服务供应商的模块化、多功能访问平台家族。Cisco3600系列拥有70多个模块化接口选项，提供语音/数据集成、虚拟专网（VPN）、拨号访问和多协议数据路由解决方案。通过利用CIsco的语音/传真网络模块，Cisco3600系列允许客户在单个网络上合并语音、传真和数据流量。高性能的模块化体系结构保护了客户的网络技术投资，并将多个设备的功能集成到一个可管理的解决方案之中。3600捆绑还可用于抓住特定的RAS机遇。Cisco3600系列的特性：Cisco3600系列使ISDN接口密度和性能价格比达到一个新的水平。Cisco3640有四个网络模块槽；Cisco3620有两个。每个网络模块槽可以容纳多种网络模块接口卡，支持以太网和一系列WAN技术，它具有如下特性：计算机系统集成设计技术方案全文共20页，当前为第12页。·在一个平台中结合了拨号访问、先进的局域网到局域网路由服务、ATM连接以及语音、视频和数据的多服务集成。计算机系统集成设计技术方案全文共20页，当前为第12页。·模块化、可伸缩的设计提供性能、可伸缩性、灵活性和投资保护。·高密度ISDNPRI功能。·预配置的BRI和PRI调制解调器捆绑。·集成了CiscoIOS软件（产品定价中包括IPIOS软件）。·完全支持VPN。、园区网络安全设计说明XX生物是以研究、开发及生产各种多肽产品为主的高新技术企业，技术保密要求程度非常高，因此防止重要数据被窃取和网络黑客的攻击，对网络安全性能的要求非常高。我们选择CiscoSecurePIX防火墙525作为XX生物园的防火墙。CiscoSecurePIX防火墙525提供的承载级的性能可以满足大型企业网络和服务提供商的需要。作为世界领先的CiscoSecurePIX防火墙系列的组成部分，PIX525能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。该防火墙将静态防火墙和IP安全（IPSec）虚拟专网（VPN）功能与千兆位以太网吞吐量灵活地结合在一起。计算机系统集成设计技术方案全文共20页，当前为第13页。PIX525是一种能够提供空前保护能力的通用防火墙设备。它与PIX操作系统（OS）紧密集成在一起，该操作系统是一种消除了安全漏洞和性能退化开销的专用固化系统。PIX525防火墙的核心是基于自适应安全算法（ASA）的一种保护机制，它可以提供面向静态连接的防火墙功能，能够进行28万个并发连接，370Mbps净文本(cleartext)吞吐量，并同时防止常见的拒绝服务（DoS）攻击。计算机系统集成设计技术方案全文共20页，当前为第13页。另外，PIX525还是一种能够通过公网安全传输数据的全功能VPN网关，它支持使用56位数据加密标准（DES）或168位3DES对VPN应用进行站点到站点和远程访问。PIX525的集成VPN功能可以得到VPN加速卡（VAC）选件的支持，能够提供100Mbps的吞吐量和2000个IPSec隧道。高可用性通过部署一个冗余的热备用单元来实现，该故障切换选件通过自动静态同步维护了同时连接。这保证了即使是在系统故障情况下，也能够维护对话，并且保证切换过程对网络用户而言是透明地完成。另外，PIX525还允许您向交流或直流型号添加可选的冗余、热插拔电源，使其成为一种真正的容错安全设备。其主要性能指标如下：保护方案基于适应性安全算法（ASA），能提供任何其它防火墙都不能提供的最高安全保护。获专利的“Cut-ThroughProxy”特性能提供传统代理服务器无法匹敌的高性能计算机系统集成设计技术方案全文共20页，当前为第14页。安装简单，维护方便，因而降低了购置成本计算机系统集成设计技术方案全文共20页，当前为第14页。透明支持所有通用TCP/IPInternet服务，如万维网（WWW），文件传输协议（FTP）、Telner、Archie、Gopher和rlogin支持多媒体数据类型，包括Progressive网络公司的RealAuido,Xing技术公司的Steamworks，WhitePines公司的CUSeeMe，VocalTe公司的InternetPhone，VDOnet公司的VDOLive，Microfost公司的NetShow和Uxtrema公司的WebTheater2支持H323兼容的视频会议应用，包括Intel的InternetVideoPhone和Microsoft的NetMeeting无需因安装而停止运行无需升级主机或路由器完全可以从未注册的内部主机访问外部Internet能与基于CiscoIOS的路由器互操作、园区无线网（WLAN）设计设计说明计算机系统集成设计技术方案全文共20页，当前为第15页。在XX园主办公楼的会议室、多功能厅等办公场所，由于场地面积大，工作站安放位置不明确，采用综合布线很难满足整个场所及移动用户的需求，因此建议采用无线网，在会议室、多功能厅等办公场所安放一无线访问点，便可满足整个场所的用户方便的接入局域网，不再受综合布线信息点安装位置的限制。在XX园无线网方案中，我们建议选用CISCOACCESSPOINT342作为接入设备。计算机系统集成设计技术方案全文共20页，当前为第15页。WLAN的加密认证IEEE802.11标准提供了两个方案来对无线LAN中的WEP密钥进行定义。第一种方案中，无线子系统中所有的工作站（包括客户机和访问点）共享一套四个缺省的密钥。当一个客户机得到缺省的密钥后，它可以安全地和系统中其它所有的工作站进行通信。这种缺省密钥的问题在于它们越是广泛地进行分配，也就越有可能暴露。在第二种方案中，每个客户机建立和其它工作站"密钥映射"关系。这种方案工作起来更为安全，因为拥有密钥的工作站更少。我们所提供的无线LAN安全解决方案，利用基于标准的和开放的结构，充分利用802.11b安全部件，提供最高级别的可用安全性，实现从一个中央控制点进行有效的安全管理。在用户进行网络登录之前，与访问点通信的无线客户机并不能获得网络访问权。计算机系统集成设计技术方案全文共20页，当前为第16页。用户在网络登录对话框或与之功能相似的对话框中键入用户名和口令之后，客户机和RADIUS服务器（或其它验证服务器）通过用户所提供的用户名和口令进行双向的身份验证，对被验证的客户机进行检验。RADIUS服务器和客户机利用客户机所提供的特定WEP密钥进行登录对话连接。所有敏感的信息如口令等都受到保护，不会被被动监听和其它攻击方法所截获。计算机系统集成设计技术方案全文共20页，当前为第16页。这个过程的顺序如下：•无线客户机与访问点进行通信。•在登录到网络之前，访问点拒绝所有客户机的对网络资源的访问。•客户机上的用户在网络登录对话框或类似功能的对话框中提供用户名和口令。•利用802.11X和EAP，无线LAN上的客户机和RADIUS服务器通过访问点进行双向身份验证。有几种验证身份的方法备选。在Cisco的身份验证方法中，RADIUS服务器发送一个验证询问信息到客户机。客户机利用用户提供的单向口令散列信息来生成对询问的响应，并把这个响应送到RADIUS服务器。RADIUS服务器根据它的用户数据库中的信息，自己产生一个响应，并与客户机所送来响应进行比较。一旦RADIUS服务器验证了客户机的身份，上述过程逆向重复。•当这个双向的验证过程全部完成后，RADIUS服务器和客户机确定一个有别于客户机的WEP密钥，并为客户机提供合适级别的网络访问权限，为个人台式机提供与有线交换部分相似的安全性。然后，客户机加载密钥，准备把它应用到登录会话过程中。计算机系统集成设计技术方案全文共20页，当前为第17页。•RADIUS服务器通过有线LAN发送一个称为会话密钥的WEP密钥到访问点。计算机系统集成设计技术方案全文共20页，当前为第17页。•访问点利用会话密钥对广播密钥进行加密，把经过加密的密钥送到客户机，客户机利用会话密钥进行解密。•客户机和访问点激活WEP，并把会话和广播密钥应用到后续会话的所有通信过程中。CiscoACCESSPOINT342简介CiscoAironet340系列（见下图），它是一种综合的无线网卡和接入点产品，能够保证公司和企业将无线局域连接的自由性和灵活性集成到自己的信息系统中，保证各种