资源预览内容
第1页 / 共21页
第2页 / 共21页
第3页 / 共21页
第4页 / 共21页
第5页 / 共21页
第6页 / 共21页
第7页 / 共21页
第8页 / 共21页
第9页 / 共21页
第10页 / 共21页
亲,该文档总共21页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
计算机网络及安全系统1. 概述32. 网络需求分析32.1 网络建设目标32.2 网络系统平台需求32.3 网络需求分析43. 技术架构策略53.1 技术架构总体设计目标53.1.1 高可用性53.1.2 高安全性53.1.3 可扩展性63.1.4 可管理性63.1.5 先进性63.2 技术架构设计原则63.2.1 网络基础设施架构原则63.2.1.1 层次化原则63.2.1.2 模块化原则73.2.1.3 标准化原则83.2.2 安全架构设计原则83.2.2.1 整体性原则83.2.2.2 平衡性原则83.2.2.3 可靠性、安全性原则93.2.2.4 多重保护原则93.2.2.5 可管理、易操作原则93.2.2.6 适应性、灵活性原则93.2.2.7 技术与管理并重原则93.2.2.8 一致性原则94. 网络基础设施架构设计104.1 大厦局域网设计104.1.1 大厦局域网总体设计方案104.1.2 中心交换区域设计114.1.3 楼层交换区域设计114.1.4 无线区域设计124.1.5 网络管理系统145. 网络、桌面、系统整体安全防护体系设计155.1 网络基础设施安全防护175.2 基于身份认证的网络服务205.3 安全系统的部署215.3.1 在系统层面215.3.2 在网络层面225.3.4 在管理层面22计算机网络及安全系统1. 概述随着计算机技术和现代通讯技术的迅速发展,先进的科学技术及设备不断的应用到各个领域。人们的信息化意识不断加强,对信息的自动化处理手段的需求也越来越强烈。电子化的发展与普及,高速的信息交流,无不给各行各业的发展带来了强大的推动。基于这一前提, .勘探开发研究院信息数据大楼为适应时代的发展,建设一个实用、高效、科学的办公环境是非常必要的。因此,在企业内部采用计算机技术和现代通讯技术,提供一套完善的计算机信息服务网,不仅在内部系统之间传输话音、数据、图像,还可以安全地进行数据交换以及方便地与国内外互通信息、查阅资料,实现资源共享,以适应当今信息全球化的需要。即通过对建筑的结构、系统、服务和管理四个基本要素以及它们之间的内在关联的最优化组合,来提供一个投资合理、又具有高效、实用的工作环境。我们将从技术角度,根据我们对最新、前沿且成熟的技术的理解,为.勘探开发研究院信息数据大楼提供专业的建议,并尽我们的努力,提供最好的服务,使网络系统充分满足企业发展的需要。以辅助.勘探开发研究院信息数据大楼从高起点上置身于市场竞争中,立足长远、求发展。2. 网络需求分析2.1 网络建设目标.勘探开发研究院信息数据大楼信息系统基础设施建设包括内部网、外部网两个部分。局域网是.勘探开发研究院信息数据大楼所有业务应用的底层建筑,因此必须从保障业务系统高效、稳定和安全的运行等方面,优化设计局域网系统。大厦的内部网采用传统的有线网络系统,用于大厦工作人员的日常办公使用。大厦外网系统采用无线覆盖系统,主要用于大厦内的工作人员和访客登录互联网。2.2 网络系统平台需求.勘探开发研究院信息数据大楼为11层建筑,地上9层,地下2层,每层建筑面积约为平方米,总共约平方米。中心机房设在B1层,除F9、B1、B2三层外,每层设置独立的设备间(弱电间)。从物理上讲,.勘探开发研究院信息数据大楼的网络系统要求隔离成两个独立的网络,即:内网和外网,其中只有外网可以通过网络安全防护系统、在有权限的条件下浏览互联网。拟在大厦内部部署无线网络接入点(AP)32个,即18层每层部署4个AP,以达到无线无缝覆盖的目的。根据大厦的现状以及基本需求,我们总结出以下扩展的需求:l 性能需求:以1000Mbps的光纤做主干(预留升级至万兆传输的能力),终端信息点带宽达到10/100/1000Mbps。l 应用需求:高质量的信息网络。.勘探开发研究院信息数据大楼信息平台应用系统主要包括ERP系统、邮件系统、财务系统、人力资源管理系统、办公OA系统等几大应用系统,除了有线应用以外,还要拓展无线网络及其他应用。因此,随着应用水平的提高,在网络上传输的信息不仅仅是数字、文字和图形,将逐步增加语音、视频等高带宽的应用。l 安全需求:一方面要保证网络内部对Internet以及广域网的安全可靠访问,禁止未经授权的外部非法用户访问;另一方面又要求能有效隔离内部各子网之间未经授权的相互访问。l 网络管理需求:建成的网络要求可进行集中式、可视化图形管理,可发现网络拓扑,网络管理员可及时发现网络故障点并予以排除,可依据探测到的MAC地址来确定相应的用户,并可及时隔离非法访问用户,以保证整个网络高效、安全、可靠的运转。2.3 网络需求分析结合以上用户应用的实际需求,分析用户的网络需求如下:l 多层分布式网络结构可保证整个网络的高性能运行。l VLAN技术的应用,一方面保证了网络相对于重要数据的内部安全性,另一方面,VLAN的划分减少了整个网络的广播域,从而提升了网络的整体性能。l 基于网络设备的管理功能,使得网络管理员利用一台计算机、一个IP地址即可对整个网络进行集中式管理、维护。l 智能的QoS(质量保证)、PoS(优先队列)服务,以及RSVP(资源预留协议)技术,使得基于应用的网络流量得以进行有效控制,保证了网络中关键数据的可靠传输。l 硬件防火墙的应用,保证了内部网络的高安全性。l 硬件入侵检测系统的应用,保证了网络对外的高安全性。3. 技术架构策略3.1 技术架构总体设计目标3.1.1 高可用性对于.勘探开发研究院信息数据大楼这类综合信息网络,高可用性是进行网络设计的基本目标。高可用性是指:一方面要保证导致网络不可用的设备的故障时间极短;另一方面,还要保证网络能够满足各类数据传输的需求,不会因性能下降而导致不可接受的响应时间。在达到高可用性的目标网络设计中要把先进的技术与现有的成熟技术结合起来,充分考虑到使用单位的网络应用的现状和未来发展趋势。设计中将采用高可靠性的网络产品和完备的网络备份策略来满足可靠性的要求,对于不同层次的设备和线路进行不同级别的可靠性设计,使网络具有故障自愈的能力。可靠性设计不仅包括网络设备等物理设计的可靠性,同时包括路由等逻辑设计的可靠性。.勘探开发研究院信息数据大楼的骨干网络的可用性应当达到99.999%的目标。3.1.2 高安全性特殊的业务性质决定了网络安全对于.勘探开发研究院信息数据大楼有着极为重要的意义,在网络设计过程中采用一体化的网络安全设计思想,从而充分保证大厦网络核心骨干、边缘接入多个部分网络访问的高安全性,将来可以实现到自防御网络体系的平滑升级。3.1.3 可扩展性业务的发展对网络的需求是不断变化的,网络应用系统为了满足这些需求也会随之变化。面对不断变化的情况和需求,网络应当能够快速和有效的反应。因此,网络必须具备良好的可扩展性,应支持核心业务系统的不断扩展,适应未来业务的发展和变化。同时,网络结构应当能够变化,具有灵活的伸缩能力,网络设备可以扩充和升级。3.1.4 可管理性随着网络规模的不断扩大和网络的不断复杂,网络的维护量随之增加。整个网络的可管理性变得尤为重要。因此,数据中心网络系统应当具有统一的可管理性,建立统一的网络管理平台。不仅实现对网络设备的管理,同时实现对网络策略的管理和不同协议的多级维护。3.1.5 先进性采用国际领先的网络产品和相关技术,支持业界最丰富的网络应用协议,支持现有业务和将来增加的新业务,保证骨干网上各类业务可靠传输和服务质量,满足.勘探开发研究院信息数据大楼未来5年以上业务快速发展的需求。3.2 技术架构设计原则设计原则包括了设计方案涉及的范围、设计所要遵循的规则和设计的指导思想。以下在分别介绍网络基础设施的架构设计原则,和安全防护体系的设计原则。3.2.1 网络基础设施架构原则3.2.1.1 层次化原则在.勘探开发研究院信息数据大楼未来网络架构设计中,为了实现一个可管理的、可靠的、高性能网络,我们将采用层次化的方法,将网络分为核心层和接入层两个层次进行设计。这种层次结构划分方法也是目前国内外网络建设中普遍采用的网络拓扑结构。在这种结构下,各个层次的网络设备各司其职又相互协同工作,从而有效保证了整个网络的高可靠性、高性能、高安全性和灵活的扩展性。其每一层的网络设备功能描述如下:l 核心层:提供高速的二层、三层交换骨干 核心层不进行终端系统的连接; 核心层不实施影响高速交换性能的ACL等功能。l 接入层:提供终端系统的网络接入,通过VLAN定义实现接入的隔离。网络接入层具有以下特点: 接入层接入端口规划容量根据实际使用情况具有一定的扩展性; 各功能分区的接入层相对独立; 不同类型的接入层应各自分开,连接到对应功能区的分布层。上述层次结构内部中的核心层、分布层需要采用冗余的架构来保障该层功能的稳定可靠。网络拓扑结构层次化的总体设计思想是目前国内外网络中最常用的设计理念,它为.勘探开发研究院信息数据大楼网络带来了以下多方面的优点:l 快速定位故障一旦网络的某一层次出现故障,可以快速进行故障定位而不会影响到其它网络层,这对.勘探开发研究院信息数据大楼网络核心数据交易尤为重要;l 可扩展性:随着数据中心业务的增加,当核心网络需要扩展时,可以作为一个业务功能模块直接接入到核心网络,具有良好的扩展性;l 简单性:通过将网络分成许多小单元,降低了网络的整体复杂性,使故障排除更容易,能隔离广播风暴的传播、防止路由循环等潜在的问题;l 设计的灵活性:使网络容易升级到最新的技术,升级任意层次的网络不会对其他层次造成影响,无需改变整个环境;l 可管理性:层次结构使单个网络设备的配置的复杂性大大降低,更易管理;l 优化的整体结构:采用分层设计,有利于充分优化网络在各个层次上的功能和性能,使各层专注于本层的功能实现。3.2.1.2 模块化原则为了实现.勘探开发研究院信息数据大楼网络的高可用性、高安全性、可扩展性,应采用模块化的方式对整个网络进行安全区域的划分,从而使连接在网络上的各个业务系统应实现一定程度的隔离。通过在局域网第三层设备上要在不同的VLAN间设置访问控制列表,以实现VLAN之间的访问控制,对于核心数据区等的重要区域间需要通过防火墙隔离。3.2.1.3 标准化原则网络设计中所用的各种管理信令、接口规程、协议须符合国际标准,便于扩展和网络的互连互通。支持国际上各种通用标准的网络协议和标准等,支持大型的动态路由协议,支持策略路由功能。保证与其它网络(如公共数据网、金融网络、银行内其它网络)之间的平滑连接。3.2.2 安全架构设计原则网络安全建设是一个系统工程,.勘探开发研究院信息数据大楼网络安全体系建设应按照“统一规划、统筹安排,统一标准、相互配套”的原则进行,采用先进的“平台化”建设思想,
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号