《《计算机网络课程设计》大作业图文(共48页).doc》由会员分享,可在线阅读,更多相关《《计算机网络课程设计》大作业图文(共48页).doc(48页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上中国石油大学远程教育学院2012-2014-三学期计算机网络课程设计大作业题目:*研发中心网络系统方案专业:计算机科学与技术班级:学生姓名:孟劭陵学号: 2013年 06 月目录第一章综述 (31.1网络设计背景分析 (31.2网络设计采用的方法和原则 (3第二章用户需求分析 (42.1网络功能性需求分析 (42.2网络非功能性需求分析 (42.2.1网络拓扑结构需求分析 (42.2.2网络性能需求分析 (42.2.3网络可靠性需求分析 (42.2.4网络安全需求分析 (5第三章网络拓扑结构设计 (53.1网络拓扑结构 (53.2网络硬件结构 (6一、核心层 (6二、
2、接入层 (6三、网络管理结构优化建议(VLAN划分 (73.3网络地址规划 (7一、IP地址分配的原则 (7二、IP地址的规划 (8第四章网络性能设计 (8产品技术特点 (9第五章网络可靠性设计 (14第六章网络安全设计 (15第七章网络物理设计 (177.1网络传输介质的选择 (177.2网络综合布线设计 (18第八章课程设计总结与体会 (33第一章综述1.1网络设计背景分析随着科技的发展,对于公司、企业、政府机构、银行等系统而言,信息日益成为关键性的资源,必须精确、高速地传输于各类通讯设备、数据处理设备之间。用户普遍希望尽可能地改进通讯系统,根据需要配置完整、灵活的结构。然而传统建筑采用的
3、布线技术致使各子系统互不兼容,无法适应技术的高速发展;管路拥挤,配线投资巨大而且重复;这个问题随着公司、企业、政府部门的成长、设备的更新、人员和办公环境的变动而日益严重:局部的变动引发全局的变动,降低个人效率,对整体工作产生不良影响。尤其随着 ISDN ( 综合业务数字网 和 INTERNET ( 国际互联网络 的应用和推广,传统布线根本无法满足要求。因此,寻求合理、优化、弹性、稳定和易扩展的布线技术,成为建设者的当务之急。它必须满足当前的需求,并有能力迎接未来的挑战。研发中心网络建设,是建设企业信息化的重要部分,整个网络覆盖整栋大楼六层楼,是信息化建设的基础部分,并提供公司Internet接
4、入、公司上网等服务。建立完整的企业Intranet构架体系该环境基于开放的网络技术和开放的网络应用平台,这种方式是目前国际上企业内部网中广泛采用的成熟技术,它基于广域网也就是国际通行的Internet技术,以经济、可靠的方式将企业内部各部门、各站点连接起来,除了应用软件的运行,还提供电子邮件、电子公告、信息共享、群件、目录服务、文件存取、打印服务等功能,实现方便和灵活的信息共享和交换。网络管理网络管理是网络高效、经济安全、可靠工作的保证,最重要的概念在于分布处理、集中管理的模式。具体的网络工具能提供生动的图形界面,反映出网络上所有服务器、工作站的工作状态,对网络环境作同步协同的监控,而且使用起
5、来很方便。1.2网络设计采用的方法和原则设计原则:高性能:无论从骨干到接入都使用宽带设备、线路和技术,使网络的性能与目前新兴的高速网络相当,甚至更好。高可靠性:由于人们对于网络的依赖性越来越强,作为网络的服务和运营商来讲,保障网络不间断的运行和使用是十分重要的。开放性和标准化:网络的发展速度很快,各种技术层出不穷,这就要求网络的技术要采用标准的技术和设备,以方便将来技术的过渡和设备的升级,以及与不同厂家的产品实现方便的互联。可管理性:大型的网络自然需要更加方便的管理和监控,以保障网络的高效率运行。安全性:随着网络安全问题的日益突出,这是目前网络建设当中不可缺少的部分。可维护性:保障骨干网络设备
6、即使出现故障也能够不间断运行或中断时间减少到最小程度,同时来更换损坏的设备。第二章用户需求分析2.1网络功能性需求分析用户对网络的要求:高速、无阻塞,满足公司办公信息化,办公自动化,多媒体应用质量保证等需求。安全可靠。提供可靠的保障网络易于管理、并可直接管理用户。2.2网络非功能性需求分析网络操作系统采用Windows 2008SERVER作为网络操作系统,具有性能可靠、支持完善、升级稳定、维护方便、界面友好、配套软件最多、易于学习、伸缩性强等特点。 Windows 2008SERVER可以实现文件共享、打印共享以及系统中的帐户管理。数据库系统根据对中型零售企业的业务调研,通过对其主要业务种类
7、、业务流量的分析,我们推荐数据库系统选用MS SQL Server数据库。客户端操作系统客户端桌面操作系统采用美国微软公司的Windows 7。2.2.1网络拓扑结构需求分析根据研发中心网络需求的特点,建议采用千兆技术,在整个网络设计上采用了分层的结构,分为核心层、接入层。整体网络2.2.2网络性能需求分析高性能:无论从骨干到接入都使用宽带设备、线路和技术,使网络的性能与目前新兴的高速网络相当,甚至更好。2.2.3网络可靠性需求分析高可靠性:由于人们对于网络的依赖性越来越强,作为网络的服务和运营商来讲,保障网络不间断的运行和使用是十分重要的。2.2.4网络安全需求分析安全性:随着网络安全问题的
8、日益突出,这是目前网络建设当中不可缺少的部分。第三章网络拓扑结构设计3.1网络拓扑结构根据研发中心网络需求的特点,建议采用千兆技术,在整个网络设计上采用了分层的结构,分为核心层、接入层。整体网络拓扑结构如下: 3.2网络硬件结构一、核心层核心层设置一个核心节点,建在中心机房。核心交换机处于网络的核心位置,不仅是网络的核心,还是数据中心服务器的核心交换机,应该具有高性能的吞吐量,线速的交换能力,强大的应用功能,还要有足够的扩展能力。本方案建议采用一台核心交换机,都能够提供不小于64Gbps的无阻塞线速交换能力,达到48Mpps的包转发能力,提供至少4个接口模块插槽。有多种高带宽接口模块选择。配置
9、至少12个多模千兆光口,分别连接接入层节点交换机。每台配置一个24口100Base-T百兆以太网接口模块,用于连接应用服务器、防火墙等。二、接入层接入层共有12个接入节点,每层2个,分布在各个楼层,接入层交换机应具有线速的交换性能,千兆上联端口,并且能支持多模光纤和单模光纤,应该有足够的10/100M端口。根据接入节点接入端口的需求不同,可分别提供24口或者48口10/100M自适应以太网接口的交换机。1、中心区接入点下面是每个接入节点的具体配置。(1一楼一楼接入终端设备采用多模千兆光纤链路连接中心节点交换机,需要67个10/100Base-T端口。配置二台48口交换机,提供96个10/100
10、Base-T接入端口;配置两个1000Base-SX短距离多模千兆光口,分别上联中心区汇聚节点交换机。(2二楼二楼接入终端设备采用多模千兆光纤链路连接中心节点交换机,需要102个10/100Base-T端口。配置一台48口交换机,提供48个10/100Base-T接入端口;配置一个1000Base-SX短距离多模千兆光口,上联中心区汇聚节点交换机。同时再配置一台24口和一台48口交换机,提供70个10/100Base-T接入端口;配置一个1000Base-SX短距离多模千兆光口,上联中心区汇聚节点交换机。(3三楼三楼接入终端设备采用多模千兆光纤链路连接中心节点交换机,需要120个10/100B
11、ase-T端口。配置一台48口和一台24口交换机,提供70个10/100Base-T接入端口;配置一个1000Base-SX短距离多模千兆光口,上联中心区汇聚节点交换机。同时再配置一台48和一台24口交换机,提供70个10/100Base-T接入端口;配置一个1000Base-SX短距离多模千兆光口,上联中心区汇聚节点交换机。(4四楼四楼接入终端设备采用多模千兆光纤链路连接中心节点交换机,需要150个10/100Base-T端口。配置二台48口交换机,提供94个10/100Base-T接入端口;配置一个1000Base-SX短距离多模千兆光口,上联中心区汇聚节点交换机。同时再配置一台48口和一
12、台24口交换机,提供70个10/100Base-T接入端口;配置一个1000Base-SX短距离多模千兆光口,上联中心区汇聚节点交换机。(5五楼五楼接入终端设备采用多模千兆光纤链路连接中心节点交换机,需要137个10/100Base-T端口。配置二台48口交换机,提供94个10/100Base-T接入端口;配置一个1000Base-SX短距离多模千兆光口,上联中心区汇聚节点交换机。同时再配置一台48口和一台24口交换机,提供70个10/100Base-T接入端口;配置一个1000Base-SX短距离多模千兆光口,上联中心区汇聚节点交换机。(6六楼五楼接入终端设备采用多模千兆光纤链路连接中心节点
13、交换机,需要160个10/100Base-T端口。配置二台48口交换机,提供94个10/100Base-T接入端口;配置一个1000Base-SX短距离多模千兆光口,上联中心区汇聚节点交换机。同时再配置二台48口交换机,提供94个10/100Base-T接入端口;配置一个1000Base-SX短距离多模千兆光口,上联中心区汇聚节点交换机。三、网络管理结构优化建议(VLAN划分的用户结构比较复杂,有的部门分布在不同的地理区域,按照就近接入接入节点的原则,一个部门可能分别接入到不同的接入节点,甚至这些接入节点属于不同的汇聚层节点。如果按照同一个部门划分到同一个VLAN的原则,这些分散部门的用户的接
14、入端口可能要跨越核心层交换机才能划分到同一个VLAN中,如果存在这样的VLAN,对于将来的网络维护会带来很大的难度。本方案我们配置的核心层、接入层交换机均支持线速交换功能,建议在网络核心层采用VLAN 间路由方式、接入层全部采用交换方式,只在接入节点交换机上划分根据需要划分VLAN。划分VLAN 的作用就是缩小广播域,隔离第二层的广播风暴。建议除了按部门考虑以外,还要考虑每个VLAN中的计算机数量,从经验上来说,通常在不超过100台左右划分一个VLAN较合适。这样,按地域方式划分VLAN,用户就近接入各节点,同一个部门都在同一台接入交换机上的,如果数量不多就划分到同一个VLAN,如果数量过大,
15、建议划分成多个VLAN,分散在不同地域的部门的用户合并到就近的部门的VLAN中。如果是同一个部门又不在同一个VLAN中的用户通信,通过第三层IP路由的方式实现。例如:采用FTP方式传输文件,只要知道对方计算机的IP地址,就可以通信了,如果有网上邻居应用的需求,可以设置一台WINS代理服务器,通过第三层IP路由也可以实现网上邻居共享。通过这样的规划,简化了网络管理的复杂程度,也清晰了IP地址规划的层次,对于网络的路由管理也降低了难度。有些部门或单位可能会用二层的交换机或HUB接入到接入节点,接入的二层交换机不需要做任何设置,直接接入到其所属部门的VLAN中,其二层的交换机或HUB所连接的用户自然
16、会属于其部门的VLAN中。如果有私自改动IP地址的用户,如果IP地址冲突,也只能影响到其所属VLAN下的冲突用户,不会影响网络的其它用户。3.3网络地址规划内部办公系统网络属于区域性的网络,具有一定的独立性。建议在网络内部采用10.0.0.010.255.255.255 ,或者192.168.0.0-192.168.255.255网段保留地址。一、IP地址分配的原则1.简单性:地址的分配应该简单,避免在主干上采用复杂的掩码方式。2.连续性:为同一个网络区域分配连续的网络地址,便于采用SUMMARIZATION及CIDR(CLASSLESS INTER-DOMAIN ROUTING技术缩减路由表
17、的表项,提高路由器的处理效率。3.可扩充性:为一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍然能够保持地址的连续性。4.灵活性:地址分配不应该基于某个网络路由策略的优化方案,应该便于多数路由策略在该地址分配方案上实现优化。5.可管理性:地址的分配应该有层次,某个局部的变动不要影响上层、全局。6.安全性:网络内应按工作内容划分成不同网段即子网以便进行管理。二、IP地址的规划从管理、运营维护方面考虑,根据不同的用户分配不通的IP地址段,对于不同应用的用户或不同权限的用户,分配不同的网段。例如,需要访问Internet的用户分配10.x.x.x 网段的IP地址,不需要访问Inte
18、rnet的用户分配192.168.x.x网段的IP地址,这样非常容易区分和控制这些用户,采用对此网段的限制即可限制用户的访问。再如网络设备的互联IP地址和管理IP地址采用单独的一个IP网段,加强了网络设备的安全性。下面以10.x.x.x网段为例,说明划分IP地址的方法,在具体实施时,可以对不同的用户换用不同的IP地址网段。将IP地址10.X.X.X划分出三个部分:(1网络设备和设备互联IP地址段,网络设备包括核心节点设备、接入层设备、服务器等。共有一个核心节点,20多个接入层节点。考虑将来的网络的扩展。核心层的VLAN 地址为对应VLAN的第一个地址,比如10.1.1.1等等,依次类推。接入层
19、设备的IP地址为对应VLAN的最后240后的IP地址,比如10.1.1.254等等,依次类推。(2服务器和管理员IP地址段,考虑将来的网络的扩展,预留服务器和管理员网段10.1.0.0-10.10.0.0(3天各单位的IP地址段,系统内部单位较多,考虑将来的发展。小的单位分配1-2个C类地址段。大的单位分配4-5个C类地址段。分配地址段为10.11.0.0以后的网段。按地理位置和网络拓扑结构,以每个接入节点为一个区域,将各单位分厂的用户IP 地址段分成5个部分。保证以每个核心节点为中心,接入设备和接入用户的IP地址有一定的连续性。第四章网络性能设计(1 抗毁性是指系统在人为破坏下的可靠性,例如
20、部分线路或者节点失效后,系统是否能提供一定程度的服务。(2 生存性是在随机破坏下系统的可靠性。随机性破坏是指系统部件因为自然老化等造成的自然失效。生存性主要反映随机性破坏和网络拓扑结构对系统可靠性的影响。(3 有效性是一种基于业务性能的可靠性。有效性主要反映在网络信息系统的部件失效的情况下,满足业务性能要求的程度。提高网络系统可靠性的方法,除了保证系统本身的质量和规范的管理外,网络设计中主要是设计冗余部件,即构建网络系统的备份体系,增强系统的容错能力。在信息系统中,完整的备份体系还应该包括运行环境备份、业务数据备份、备份策略和恢复方案。OmniSwitch7000系列电信级交换机产品简介Omn
21、iSwitch 7000系列被设计用于支持从基本网络需求直到挑战性的网络需求,包括:高可用性,高性能,和可扩展性,智能多层交换,日益增加的千兆以太网交换密度,局域网融合和一系列其他特性。Omniswitch 7000系列是Alcatel最佳网络体系结构的关键元素,设计用于提供因特网商务应用,包括电子商务,供应链管理,和工作资源优化。OmniSwitch 7000系列交换机是一种智能化的多层交换平台,具有无与伦比的可用性和智能性。这种新型交换平台是阿尔卡特公司下一代交换机-OmniSwitch 7000/8000系列的组成部分,它是为基于IP的通信和关键性业务而设计制造的。OmniSwitch
22、7000系列提供了运营商级的特性和交换性能,并且为用户提供了极为方便的网络和系统管理,可以满足几乎所有用户的需求。这种新型交换平台特别为语音与数据融合需求而进行了系统优化,可以提供线速的、无阻塞的高密度千兆以太网交换、分布式的多层安全性、运营商级别的可靠性(99.999%、智能化的交换和路由服务,最为关键的是-所有这一切全部是线速的。OmniSwitch 7000具有极其丰富的特性,从而使它成为下列多种网络环境的理想选择:大/中规模企业网千兆城域网(核心层和汇聚层服务提供商和数据中心(IDC其它专用网络,如广电、电力、交通、金融、教育专网等产品技术特点用于网络骨干层、汇聚层(城域网、专网、企业
23、网等适用于融合的网络环境全分布式架构可扩展性-模块化软件设计运营商级别的可用性99.999%的电信级可靠性智能持续交换-不丢一个包映像回转-智能预防任何软件错误、配置错误、升级错误一切部件冗余备份支持标准VRRP、802.3w、802.3ad、OSPF ECMP等定位于网络骨干层的优势128 Gbps 交换容量60Mpps吞吐量10 Gig 就绪最多达192个千兆以太网端口支持服务器负载均衡(SLB超大帧支持极其优秀的性价比在汇聚层支持网络融合最佳的可用性-运营商级在线供电接口模块集成第三层服务极为丰富的网络服务全面的QoS支持专家模式/简化模式广泛的路由/过滤机制同时OmniSwitch 7
24、800支持以下交换机技术:(1 OmniSwitch 7800具备高可靠性,采用完全冗余性和分布式设计。允许配置管理模块、交换背板、电源及冷却系统、系统软件冗余,支持模块的热插拔,无任何单点故障;(2支持多种类型的接口模块,包括100Base_TX、100Base_FX、 1000Base_SX、1000Base_LX和1000Base_LH/ZX等;(3所有接口模块均具备本地三层交换能力(即分布式三层交换;(4交换机的配置必须支持分布式策略执执行,这些策略包括ACL(AccessControl List,访问控制列表、QoS(服务质量保证、NAT(网络地址翻译、SLL(服务器负载均衡等;(5
25、可提供多层次(物理层、数据链路层、网络层恢复机制的能力;支持基于标准的802.1w快速生成树协议和链路聚合技术;(6连接其它交换机的所有接口模块都为线速三层模块;(7支持IP、IPX协议、支持RIP、RIP2、OSPF、BGP等协议;(8支持IGMP、PIM等组播协议;(9支持1024以上个VLAN,支持多种VLAN策略;支持802.1Q,802.1p;(10支持端口的组播和广播抑制(11支持超大帧(Jumbo Frame(12提供拥塞控制和避免功能;(13支持802.1x协议;(14设备支持DHCP中继;(15设备可以支持端口镜像的功能;(16国际唯一的通过权威评测机构Tolly Group
26、(电信级可靠性、服务质量保证和线速性能测试认证的交换机,Tolly Group证明了阿尔卡特OmniSwitch8000/7000/6000系列交换机具有电信级的可靠性、性能和QoS等特性,适用于数据/语音/视频融合的下一代网络;(17通过中国网络世界的一系列测试认证,证明了阿尔卡特OmniSwitch8000/7000/6000系列适用于数据/语音/视频融合的下一代网络,具有电信级可靠性、基于业务的安全性、线速的智能性等。OmniSwitch 7000是阿尔卡特“端到端”解决方案的基础,可以用于企业网络(楼宇/园区的核心或者边缘,满足现在和将来关键性应用网络的需求。OmniSwitch 70
27、00 系列线速的交换和路由,配合高效的网络可用特性以及久经考验的QOS能力,使得它非常适合支持IP-融合应用,例如在同一个基础架构中同时存在数据和语音。Alcatel OmniSwitch 7000 系列高性能的QoS优先级处理能力,使得它可以支持如下举例的融合应用。在这个企业网网络拓扑中,在核心层采用OmniSwitch7800,在边缘则是OmniSwitch 7700交换机。工作组交换机比如Alcatel OmniStack 6124/6148,以及其他基于IP的设备和它们通过10/100Mbps和千兆连接。在整个网络实施了第2/3/4层交换和第三层路由,同时还有基于标准的IEEE802.
28、1Q VLAN和链路捆绑。OmniSwitch 7000 系列交换机的QoS特性确保流量分类以及为融合的媒体应用实施适当的优先化。 阿尔卡特OmniStack6100系列交换机 OmniStack6124/6148交换机是阿尔卡特OmniStack产品系列中最新增加的高性价比、可堆叠工作组交换机。OmniStack6124/6148是阿尔卡特针对下一代数据、语音和视频融合的企业组网需求而专门设计的。OmniStack6124/6148堆叠支持线速交换性能和多种高速上联模块选项,同时每个堆叠单元均支持802.1Q、802.1p、端口聚合和IP组播。OmniStack 6124 和6148提供灵活
29、的、完善的特性以及增强的QoS功能,可确保您的投资不会因网络的发展扩充而受到损失:主要特点包括:线速交换支持双管理模块支持冗余堆叠环路,确保数据的持续转发支持Back Pressure和802.3x 流控方式,防止数据包丢失支持生成树算法,确保网络通信更可靠支持标准的802.1Q VLAN 标识,实现与其它厂家交换机的互操作支持802.1p和DSCP(Differentiated Services Code Point,支持多媒体和实时应用支持IP组播侦听,支持实时组播应用如视频会议和音频流支持端口镜像,实时监测任何端口的流量支持多种管理方式:SNMP/RMON、WEB、带外控制口和Telne
30、t第五章网络可靠性设计网络的安全运行,对信息网网络的可靠性提出了很高的要求。特别随着各部门的信息化、数字化办公,可以说一旦网络服务器等中断,将会使整个办公陷于瘫痪,引起严重的后果。因此在网络的设计实施中必须对网络的可靠性进行详尽的考虑和设计。网络系统的可靠性由两个大部分组成,即网络的可靠性和应用系统的可靠性。应用系统的可靠性主要由服务器、存储设备、应用程序、数据库等的可靠性构成,在其它系统建议中说明;网络的可靠性则包括网络拓扑组网结构的可靠性及组网设备可靠性,下面对政务信息网中网络的可靠性设计进行说明。1、采用分布式体系结构:分布式体系结构是提高可靠性的基础,与集中式体系设备相比较,分布式体系
31、设备除性能可以通过插入更多的接口处理板提高整体性能外,更为关键的是将管理、路由转发、接口处理等功能分配在不同的部件上,协同工作,分布式体系可以分散故障风险、隔离故障、提供冗余配置,提高系统的自动恢复能力;如管理部件故障,只需要更换这部分板件,不影响其他功能。而且,分布式体系结构可以提高组网的物理可靠性,如在城域网环网组网中,每个骨干节点都有两条GE接口与相邻的两个节点互联,从路由上提高了可靠性。但如果是集中式体系,则当节点设备出现故障时,这个节点两个GE口都会失效,造成节点所带网络的中断;而采用分布式结构时,可以将这两个接口分别配置到不同的接口板上,这样,无论这台设备的管理单元、交换转发单元,
32、还是单一接口出现故障,都可以保证至少有一条路径是连通的,该节点网络都不会中断。2、关键部件冗余:采用分布式体系下,对设备的关键部件,如主控管理单元、交换转发单元等,进行冗余构造配置,保证系统在工作中不会全部失效。3、实时热备份机制:在系统软件及硬件的支持下,关键部件在发生故障能自动启动备份系统,而且主备之间的切换要能够实时热倒换,即运行中即使发生设备故障切换也不会对网络业务造成影响。4、热插拔特性:设备任意单板需要支持热插拔特性,保证系统出现故障需要维护,或系统需要升级扩展时,不需要停机处理,保证网络的724小时不间断运行。5、冗余电源支持:冗余电源负载分担及备份供电可保障系统具有可靠的能量源
33、。6、散热系统:散热系统使设备长时间运行而不至因为系统升温过高出现故障,冗余风扇等散热装置可以增加设备的运行时间及减少故障发生。具备这些特性的网络设备是保障网络高可靠运行的基础第六章网络安全设计随着网络的快速发展,网络也成为计算机病毒传播的一个重要途经,采取有效的方法,防止网络病毒的传播是现在网络安全的一个重要方面。内部办公系统网络是一个较大规模的系统。整个网络和外部隔离,其网络中心有多台服务器。网络上连接的PC机有800台左右。对于这样大的一个用户群,非常需要一个整体的防病毒方案来保护整个网络的安全和稳定运行。通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案
34、来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,可用性:授权实体有权访问数据机密性:信息不暴露给未授权实体或进程完整性:保证数据不被未授权修改可控性:控制授权范围内的信息流向及操作方式可审查性:对出现的安全问题提供依据与手段访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。安全审计:是识别与防止网络攻击行
35、为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏针对企业现阶段网络系统的网络结构和业务流程,结合企业今后进行的网络化应用范围的拓展考虑,企业网主要的安全威胁和安全漏洞包括以下几方面:(1内部窃密和破坏由于企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等,因此这种风险是必须采取措施进行防范
36、的。(2搭线(网络窃听这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具,在INTERNET网络安全的薄弱处进入INTERNET,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息的内容。对企业网络系统来讲,由于存在跨越INTERNET的内部通信(与上级、下级这种威胁等级是相当高的,因此也是本方案考虑的重点。(3假冒这种威胁既可能来自企业网内部用户,也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部
37、用户通过假冒的方式获取其不能阅读的秘密信息。(4完整性破坏这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/3 数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于XXX 企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。(5其它网络的攻击企业网络系统是接入到INTERNET上的,这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全
38、措施进行防范。(6管理及操作人员缺乏安全知识由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要。这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。(7雷击由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备
39、损坏,造成严重后果。因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏,有必要对整个网络系统采取相应的防雷措施。第七章网络物理设计7.1网络传输介质的选择无屏蔽双绞线 UTP ( Unshield Twisted Pair 可用于所有配线子系统,可传输 70V 以下几乎所有的弱电信号,包括数据、语音、控制和图像信号等,是结构化布线的基础介质。UTP 采用先进的平衡式传输方式,利用差值传送,减少了外界的干扰,与以往的同轴电缆和屏蔽双绞线相比大大提高了抗干扰能力。UTP 分 3类和 5类两种。3类 UTP 支持 10M bps数据传输和语音、低频控制信号,5类 U
40、TP 支持 155M bps ATM 数据传输,目前最高支持 622M bps ATM 数据传输。光缆( Optical Fiber 主要用于建筑群间和主干子系统。与UTP相比,光缆传输信号的特点是:高带宽(最高可达 Multi-Gigabit 几十亿位每秒;适用范围广(支持各种网络包括 10Base-F、令牌网、 FDDI、 100Base-FX、100VG-AnyLan、 ATM、1000Base-FX;超长传输距离;高可靠性、保密性、抗干扰能力强;易于安装、维护、管理;使用周期长,可通过更换光纤复用设备可不断提高光纤的使用周期。 Fiber Optic Cable 4-Pair Unsh
41、ielded Twisted-Pair (UTP Cable电缆配线架分多种系列和型号,设计完善,使用颜色编码,容易追踪和跳线,体积小,比传统配线箱节省50%空间;快接式跳线易于管理、维修。配线板系列使用模块化接口,可直接端接各种网络设备。光缆配线箱模块式结构,易于扩充插接耦合装置,接续容易。分埋入型、表面型、双孔、单孔等多种型号,适应于墙面、家具表面或地面安装。标准RJ45的8芯接线符合ISDN标准。7.2网络综合布线设计八十年代以来,有线电视、消防报警、安保监控、计算机网络、 X.25、DDN 、无线通讯等技术在大型建筑工程中被广泛使用,现代建筑早已超出了传统“挡风遮雨”的范畴,成为人们日
42、常生活、工作的中心。弱电系统象神经网络一样遍布每个角落,在带来便利的同时,也产生了诸多问题:一、线路繁多,检修困难。电话系统使用传统音频线,闭路电视使用同轴电缆,不同的电脑系统使用不同的网络电缆,这些线路标准不一,施工动作重复,建筑物内线路繁杂,检修、维护十分不便。二、互不兼容,缺乏灵活性。电脑和电话的线路互不相关,网络电缆各不相同,如果办公室改变用途,只能重新拉线,这对已完成装修的大楼是无法接受的,不但消耗人力物力,更加剧了线路混乱,造成故障隐患。三、设计封闭,缺乏扩展性和统一标准。由于各类系统独立设计,无法统筹,应用新技术只有另起炉灶。当代科技日新月异,新技术不断涌现,百年大计和保持领先不
43、可兼得实在是建筑艺术重大的遗憾。四、故障繁多,缺乏可靠性。各系统无统一标准,导致互相干扰。据统计,大型楼宇 70%的日常故障因线路而起,“三日一小修,半月一大修”,给工作和生活带来很大的困扰,何况损失惊人。北方电讯 IBDN 改变以往不同系统线缆的不一致性,统一采用62.5 / 125 多模光缆、 8.3 / 125 单模光缆以及专门设计的无屏蔽双绞线( UTP 作为传输介质,仅 UTP 在传输带宽及抗干扰性能方面就比传统的双绞线和细缆有了极大的提高,它可以支持高达100M bps 的数据传输,五类线缆更全面支持 155M bps ATM 与622M bps ATM 数据传输。由于 IBDN
44、将不同系统的传输介质统一起来,从而提供了真正面向未来、技术先进的模块化、灵活及完整的布线系统。7.2.1 IBDN的定义IBDN( Integrated Building Distribution Network 全名为“建筑物结构化布线系统”,它是为适应 ISDN (综合业务数据网 的需求而特别设计的配线系统。通过应用高品质的标准材料,采用组合压接方式,很容易将其组合成完整的系统。采用普通UTP 即可传送话音、数据和图像信号,并能连接 IBM 、Wang 、DEC 、HP 等电脑网络和安全报警监控系统;采用光缆及高品质的双绞线更可传送高速数据、高精度图像并符合未来 FDDI ( Fiber
45、Distributed Data Interface 传输介质标准。信息处理系统的发展对信息传输的快速、便捷、安全可靠和稳定的要求日益提高。新建楼宇的网络对内要兼容不同的网络设备、主机、终端、PC及外设,构成灵活的拓扑结构,具备足够的扩展能力;对外则通过与中国公共数据网 ( CHINA PAC 、综合业务数字网 ( ISDN 与国内外的新闻机构、信息中心互连,组成全方位、多通道的信息系统。既适应当前需要,又充分考虑到未来。北方电讯的IBDN通过一次性的布线投资,可以解决 15年甚至更长时间的楼宇布线问题。北方电讯的结构化布线系统为用户提供了完善的大厦网络布线系统,全面负责用户建筑(群布线的设计
46、和工程质量。7.2.2 IBDN的结构下图即为IBDN系统的典型结构示意: IBDN 由六个独立的子系统组成:a工作区子系统( WORK AREA 由终端设备连接到信息插座的连线(或软线组成。常用终端设备是计算机(PC、工作站、终端、打印机、电话、摄像头、监控头等设备。b管理子系统( ADMINISTRATION 由交连、互连和I/O组成。交连和互连允许将通信线路定位或重新定位到建筑物的不同部分,以便能更容易地管理通信线路。I/O 位于用户工作区和其它房间,使用户在移动终端设备时能方便地进行插拔。c水平子系统( HRIZONTAL 将干线子系统线路延伸到用户工作区。水平布线子系统处在一个楼层上
47、,并端接于信息插座。常用 1010 或1061 型的双绞线实现这种连接。d干线子系统( RISER ;BACK BONE 提供建筑物的干线(馈电线电缆的路由,实现主控计算机设备、程控机 PBX 和各管理子系统间的连接。常用通信介质是大对数双绞线和光纤。e设备子系统( EQUIPMENT 由设备间的电缆、连接器和硬件组成,它把公共系统的各种设备( PBX 或计算机主机 互连起来实现布线系统与设备的连接。主要为配合不同设备的适配器。f校园子系统( CAMPUS 实现布线系统在建筑群中楼宇间的连接。 7.2.3 IBDN 的特点完整的产品- IBDN提供一套完整的产品,包括双绞线(铜线及光缆传输线、匹配器、接线箱、电子装置、保护设备、安装维护工具、管理软件及工程服务。模块化- IBDN精心的设计使得用最小的附加布线与变化即可实现系统的搬迁、扩充与重新安装。综合通道- 作为基本链路的综合通道连接楼宇内及室外的各种低压装置。信息路径具备共享传感信息及综合系统的能力。灵活性- 北方电讯的IBDN设计使用北方电讯设施网络管理系统,它带有电子话音及数据通信电缆。使用该系统减少了对传统管路的需求,同时提供了结构化的设计来实现与管理系统