一套完整的计算机网络系统方案
- 格式:docx
- 大小:21.02 KB
- 文档页数:7
前言:
计算机网络系统在弱电系统设计中算是比较难的,设备的选型,一般都是由厂家技术人员提供,但是一般的技术方案我们还是要会做的
正文:
一、需求分析
计算机网络是用通信线路和通信设备,将分散在不同地点并具有独立功能的多个计算机系统互相连接,按照国际标准的网络协议进行数据通信。实现网络中的硬件、软件、数据库等资源共享的计算机群。
项目内的计算机网络的通信线路就是综合布线系统,其他智能化系统,如:一卡通系统、安全防范系统和电话交换机系统等系统均要基于楼内的局域网系统进行数据交换、传输和资源共享,因此计算机网络担负着整个项目数据信息交换的重任,必需建设一套性能超群、稳定可靠的网络系统。
二、设计原则
网络系统的建设不同于一般的智能化系统的建设,有自己独有的特点:一要网络功能强大,满足系统日常繁重的数据交换重任;二要稳定可靠,不能因为产品质量等原因影响日常工作;三要满足安全要求,具备抵御各种常见的网络攻击、病毒侵袭等功能,最后网络系统的管理还要简便。为了更好的满足用户的需求,在本次网络系统方案设计中,我们认为应当把握住以下几个原则:
●技术上应达到相当的先进性,性能上应能适应现在日新月异发展的网络应
用,比如对数据、多媒体等多元信息传输的适应能力等,从而使网络平台在较长时间内不落后;支持多种集成化服务,如防火墙、IPSEC VPN、防御DDOS、WEB VPN、内容交换等多种服务。
●网络传输应具备高可靠性、高安全性,具备在出现故障时提供备用或应急措施的能力;支持NSF/SSO(状态切换),从而能在路由引擎切换时,维持路由协议的稳定,并保持第二层至第四层信息转发的状态表,不影响VoIP、网络视频等对丢包敏感的业务。
●网络应具有优异的开放性和升级扩展能力,易于对外互连,并提供最佳的用户投资保护。如硬件支持IPV6,系统可平滑扩展等能力;支持多种国际/国家标准协议,便于系统的升级、扩充,以及与其它系统或厂家的设备的互连、互通。
●网络应易于维护、易于管理。发生故障时一般网管人员也能进行简单维护,并在短时间内恢复。
●系统主要设备均采用广泛应用且具有良好性能价格比的产品,既考虑节省投资,又保证产品的先进性和可用性。
三、设计依据
➢《智能建筑设计标准》(GB/T50314-2000)
➢《智能建筑工程建设标准》(DBJ14-S5-2004)
➢《建筑物与建筑群综合布线系统工程设计规范》(GB/T50311-2000)
➢《建筑物与建筑群综合布线系统工程验收规范》(GB/T50312-2000)➢《电子计算机机房设计规范》(GB50174-93)
➢《电子计算机场地通用规范》(G8/T2887-2000)
四、系统设计
1、工程概况
项目分住宅部分、商业部分和百货部分。根据综合布线系统的设计,以下的网络系统设计均以此为基础;语音设计充分考虑系统容量及今后的扩展。
在地下室等手机信号不通畅的地方安装手机信号放大器。
2、具体设计
2.1构架设计
根据项目综合布线配线间的分布,网络拓扑结构应为星型,分两级:核心层和接入层,并且应具备以下设备:交换机、路由器和防火墙等。根据综合布线的点位设计,共设置3个接入层,根据点位数量,设置不同类型的接入层交换机,核心层要根据点位设置满足功能要求的核心交换机及路由器。电话根据前端电话点位设计,采用程控电话机进行管理。
2.2交换机的选择
(1)核心交换机:核心交换机主要用于管理整个项目的数据点,办公系统的数据交换大部分是在这个平台上完成的,因此核心交换机必须功能强大、性能可靠。
(2)接入交换机:接入层是直接与用户相连的设备,一个高性能的网络除了核心、汇聚设备性能要求强劲之外,最重要的一环是数量最大的接入交换机。接入交换机不仅要求保证线速的交换,同时要提供良好的用户认证、管理和安全控制等功能,保证网络管理策略的一致性。
2.3路由及防火墙设计
建议使用路由和交换一体化机,支持8到24个不等的交换以太网接口,多
个100/1000M以太网交换端口,产品的交换端口均支持VLAN的划分,可以满足大多数中小企业的组网及不同业务隔离的要求。用户只需一台交换路由器,无需购买交换机设备,便可实现Internet的接入,节约用户网络建设的费用、增强用户应用的方便性。具有100/1000M以太网WAN接口,可实现单出口线路的通信。
防火墙通常位于企业网络的边缘,使得内部网络与Internet之间或者与其他外部网络互相隔离,并限制网络互访从而保护企业内部网络。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
整个外网建设的核心是防火墙,通过防火墙完成三个区域的交汇。它连接的三个区域分别是:
外部区域,即Internet区域,我们将会通过防火墙的100/1000M端口实现到INTERNET的连接,这个区域是相对不安全的,不可信的区域;
内网区域,即我们通常所说的正常的局域网区域,是内部的可控的区域。这个区域是相对安全的、可信赖的;
DMZ区域(非军事区域),用来放置行政大楼需要向Internet提供信息服务的主机,我们之所以把它独立出来,而不是放置在内网,是为了防止类似“特洛伊牧马”之类的病毒将之做为跳板,攻击内网的其它服务器。它的安全性和可信赖的程度介于内网区域和外网区域之间。
这样,通过防火墙可操作的区域的分割,我们就基本上实现了内外网络的物理的隔离,与此同时,配合防火墙的访问控制策略的定制和实施,我们将可以满足甲方的关于访问限制方面的严格需求。
2.4网络安全设计
从体系结构来看,安全体系应该是一个多层次、多方面的结构。通过分析,我们将项目的网络安全性在体系结构上分为四个级别:网络级安全、应用级安全、系统级安全和企业级安全。
A)网络级安全管理的主要内容包括:
1.对网络设备,如交换机的安全管理,保证网络的正常运行。
2.提供链路层加密,保证数据在广域网上传输的安全性;
3.配置防火墙,保证内部网的边界安全。
4.划分虚拟局域网(VLAN):在本次网络建设中,我们在三次交换机上进行了VLAN划分,因此我们应该控制各VLAN之间的相互访问,实事上,绝大部分的VLAN之间并没有访问的需求。那么我们如何实现跨越不同VLAN之间的限制访问呢?答案就是基于VLAN的访问控制列表。
访问控制列表是实现访问控制策略的一项重要的手段,它可以针对IP数据包的源地址,目的地址,源端口,目的端口进行控制,人为的允许和禁止此类数据包的转发。其中,源地址和目的地址可以是一段地址,也可以是某个独立的地址。这样,在我们完成IP地址规划后,某一个VLAN内的IP地址非常整齐,我们可以针对该段VLAN进行访问控制的设定,对于没有访问需求的数据流通过访问控制列表禁止,从而提升网络的安全性和可管理性。
另外,对于部分VLAN内,存在这样的情况:部分主机可以允许跨VLAN 主机的访问,而该VLAN内其它主机则禁止跨VLAN主机的访问。对于这种问题,我们仍然通过访问控制列表的方式来实现。
我们知道,访问控制列表可以基于一个网段,也可以基于某个具体的IP地址,对于此类情况,我们只需要添加部分基于某些IP地址的访问控制列表语句,