《2022年智能大厦中计算机网络系统设计.docx》由会员分享,可在线阅读,更多相关《2022年智能大厦中计算机网络系统设计.docx(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选学习资料 - - - - - - - - - 个人资料整理 仅限学习使用智能大厦中地运算机网络系统设计中国物流信息中心 孔东智能大厦中地网络系统设计是整个楼宇治理系统地基础, 本文通过对一幢智能大厦地网络系统实例进行剖析 , 着重探讨了如何设计出一个安全、高性能地运算机网络系统 . 智能大厦是信息时代地产物 , 是信息技术、自动掌握技术与现代建筑艺术地奇妙集成 , 也是综合经济实力地象征 . 智能大厦一般包括大厦自动掌握系统、办公自动系统和通信系统三个部分 , 如今地进展趋势是这些系统都在公共高速运算机网络上进行集成. 因此 , 在建筑物内建立一个综合集成地运算机网络系统 , 实现网络集成
2、成为部署各种治理系统地基础 . 智能大厦中地网络系统智能大厦通常会有多家不同地公司入住, 传统地大厦仅向大厦内入住地公司供应Internet接入 ,而运算机网络系统由各进驻公司自行建设. 现在地进展趋势是在智能大厦内实现统一治理地运算机网络系统 . 智能大厦内地运算机网络系统包括以下组成部分 : 1. 网络平台 : 为大厦内地租户供应统一地 Internet 接入 , 供应可以传输数据、语音、视频型号地网络交换平台 . 2. 数据中心 : 建设一个环境良好地数据中心机房 , 为大厦内地租户供应机架资源 , 租户可以将各自地服务器系统、储备系统放在智能大厦统一供应地数据中心中 . 3. 治理平台
3、 : 完成整个网络系统地治理功能 , 供应用户治理功能 . 智能大厦对网络系统地详细要求如下 : 网络系统稳固 , 网络设备要具有高牢靠性和安全性 . 整个网络地网络设备要支持统一地网络治理 , 便于今后地爱护和扩容 . 每个楼层汇聚点要能实现多个 VLAN网段地划分 , 为各独立公司供应内部划分 VLAN地需求 . 在大楼内部 , 只有经过认证地企业人员可以使用网络 , 防止其他非认证人员上网 , 保证网络安全. 需要保证用户只能拜访本公司地各种业务服务器, 包括远程和楼内本企业用户, 未经授权地用户不得拜访 . 各进驻公司地远程用户可以通过 VPN方式拜访本企业内部地服务器内容 . 要求独
4、立公司内部人员可以进行相互拜访 , 不同独立公司人员之间不能互访 , 但要考虑特定人员要求建立互访关系 . 1 / 7 名师归纳总结 - - - - - - -第 1 页,共 7 页精选学习资料 - - - - - - - - - 进驻企业为同一集团公司时个人资料整理仅限学习使用. , 要求答应某些高权限人员可以对其他企业地服务器进行拜访全部地网络节点都可以拜访 Internet, 并且在拜访 Internet 之前要经过确认 , 未经确认地节点不答应拜访 Internet. 能够统计各独立公司上网使用 Internet 地数据总量和时间 , 并建立使用 Internet 地日志 . 可以便利
5、地配置、治理全部地客户端 . 依据 1 层大厅和 2 层多功能厅人员流淌地特性 , 实现有线和无线网络同时接入 , 并且要考虑无线接入地安全认证问题 . 要考虑各独立公司财务部门单独建网地要求 . 要充分考虑整体网络地安全性 . 智能大厦地组网结构经典地局域网组网模型将网络结构分为核心层、汇聚层和接入层 机网络系统通常要包含以下部分 : . 参考这种结构 , 智能大厦地运算核心层 : 核心层通常配置两台核心交换机, 以保证网络核心地高牢靠性, 假如配置一台核心交换机 , 就要求核心交换机配置双主控引擎和双电源 核心交换机地千兆连接 . 接入层 : 接入层交换机通常可以供应. 核心层通常仍要承担
6、各业务应用子系统服务器群与48 端口或者 24 端口 , 接入层交换机通过千兆连接到核心层交换机 , 可以使用堆叠地方式扩展端口密度 . 防火墙 : 采纳千兆或者百兆防火墙将内网与外网分别 换机分别 . , 采纳千兆防火墙将服务器群区与核心交无线网络 : 将无线 AP接入到就近地汇聚点 , 掩盖不简单布线地宽敞场所 . 网络防病毒软件 : 采纳企业级网络防病毒软件 , 确保进驻用户地运算机及服务器群地安全 . 漏洞扫描系统 : 用于检测网络中存在安全隐患地设备 , 找出系统中存在地安全漏洞 , 准时进行修补 . 网络认证系统: 用于防止非法用户登录到网络中, 窃取网络数据 . . 网络治理系统
7、: 用于对全网地监控, 帮忙网络治理员快速精确地定位网络中显现地故障方案实例如图 1 所示 , 网络核心交换机采纳华为 3Com公司地一台 S6506R多业务核心交换机 . 为保证网络地牢靠性 , 在核心交换机上配置了冗余引擎和电源 . 引擎选用 Silence III 引擎 , 交换容量为 384Gbps, 包2 / 7 名师归纳总结 - - - - - - -第 2 页,共 7 页精选学习资料 - - - - - - - - - 个人资料整理 仅限学习使用转发率为 198Mpps.S6506R可以供应万兆接口板 , 将来可平滑升级到万兆 . S6506R采纳最长匹配、逐包转发地方式, 在保
8、持线速性能和低成本地基础上, 制造性地解决了传统交换机地缺陷 , 能够有效抗击网络“ 红色代码” 、“ 冲击波” 等病毒地攻击 , 更加适合大规模、多业务, 复杂流量拜访地网络 . 接入交换机选用华为 3Com公司地 S3000 系列 . 接入交换机放置在各楼汇聚层地弱电配线间机柜内. 各汇聚层交换机采纳 48 端口和 24 端口两种二层交换机 , 具有可治理到端口地才能 . 华为 3Com公司地 S3000 系列交换机硬件能够识别、处理四到七层地应用业务流, 全部端口都具有单独地数据包过滤、区分不同应用流 , 并依据不同地流进行不同地治理和掌握 , 对网络中有病毒特点地运算机 , 可以直接封
9、堵其端口 , 使有病毒地设备与网络断开 , 防止病毒在网络中地传播 . 在智能大厦设置独立地数据中心 . 数据中心交换机使用华为 3Com公司地 S6502.S6502 地交换引擎内置于接口板中 , 交换容量可达 192Gbps. 在 S6502 上配置 10/100/1000M RJ45 千兆接口板 , 用于连接网卡为 100M或 1000M接口地服务器 , 随着服务器数量地增加 , 可以敏捷地扩充相应地板卡 , 以适应各进驻公司业务地进展 . 为了保证数据中心地安全性 , 在数据中心前部署一台千兆防火墙 . Internet 出口路由器选用华为 3Com公司地 AR4640.AR4640采
10、纳双总线结构 , 包转发才能可达350Kpps, 假如使用增强引擎 , 包转发性能可提升到 1Mpps. 1 网络安全设计为了保证网络系统地安全性, 除了部署传统地防火墙、IDS、漏洞扫描等系统之外, 对终端地接入3 / 7 名师归纳总结 - - - - - - -第 3 页,共 7 页精选学习资料 - - - - - - - - - 个人资料整理 仅限学习使用进行掌握越来越成为一种重要地安全掌握手段 出手 , 进行立体防备 . . 智能大厦地网络安全解决方案地基本思路是从多方面防火墙是网络系统地核心基础防护设备 , 它可以对整个网络进行网络区域分割 , 供应基于 IP 地址和 TCP/IP
11、服务端口等地拜访掌握 , 防火墙地部署从以下几个方面考虑 : 1)在 Internet 出口部署防火墙在整个局域网地 Internet 出口部署华为 3Com公司地 Secpath100F 防火墙 . 对外地服务器 , 如Web、 E-mail 服务器放在防火墙地 DMZ区如图 2 所示) . 2)服务器区部署防火墙在核心交换机与服务器区交换机之间配置防火墙 , 服务器区防火墙部署华为 3Com公司地Secpath1000F 如图 3 所示) . 除了部署传统地防火墙之外 , 仍应当对用户能否接入网络进行掌握 . 3)端点准入防备利用华为3Com端点准入防备 EAD,Endpoint Admi
12、ssion Control)模块 , 从用户终端准入掌握入手, 整合网络接入掌握与终端安全产品, 通过安全客户端、安全策略服务器、网络设备以及第三方软件地联动 , 对接入网络地用户终端强制实施企业安全策略 , 严格掌握终端用户地网络使用行为 , 以加强用户终端地主动防备才能 , 大幅度提高网络安全 . EAD在用户接入网络前 , 通过统一治理地安全策略强制检查用户终端地安全状态 , 并依据对用户终端安全状态地检查结果实施接入掌握策略, 对不符合企业安全标准地用户进行“ 隔离” 并强制用户进行病毒库升级、系统补丁安装等操作. 在保证用户终端具备自防备才能并安全接入地前提下, 通过动态4 / 7
13、名师归纳总结 - - - - - - -第 4 页,共 7 页精选学习资料 - - - - - - - - - 安排 ACL、VLAN合理掌握用户地网络权限个人资料整理仅限学习使用, 提升整网地安全防备才能. EAD地应用是从信息安全角度动身 , 基于现有地网络环境 , 通过软硬件设备对网络安全进行加固 , 基本思想是采纳认证检查隔离加固治理地安全闭环治理 . 认证 : 对接入网络地用户身份进行分析 , 依据用户身份动态安排用户使用网络地权限 . 检查 : 依据需求制定安全策略和防病毒策略 查和病毒扫描 . , 依据安全策略对接入网络地用户终端进行安全检隔离 : 对有安全问题和安全隐患地用户终
14、端进行隔离 , 以免其感染网络域中地其他用户终端和整个网络 . 加固 : 帮忙有安全问题和安全隐患地用户终端进行安全修补和加固 络, 使用网络资源 . , 以便其能够正常进入网治理 : 供应对有安全问题地终端定位统计功能 , 供应用户日志查询功能 , 供应安全策略编辑、修改功能等 . 通过制定新地安全策略 , 连续保证网络地安全 .EAD 系统地应用模型如图 4 所示 . EAD方案可以依据角色对网络接入用户实施不同地安全检查策略并授予不同地网络拜访权限 . 其原理性地流程如下: , 确认是合法用户后, 安全客户端仍要检测病毒软件和补丁安装1. 用户上网后第一进行身份认证情形 , 上报 CAM
15、S. 2. CAMS 检测补丁安装、病毒库版本等是否合格 , 假如合格进入步骤 7. 3. 假如不合格 ,CAMS通知接入设备 S30/50 系列或其他 EAD使能地交换机), 将该用户地拜访权限限制到隔离区内 . 此时 , 用户只能拜访补丁服务器、病毒服务器等安全资源 , 因此不会受到外部病毒和攻击地威逼 . 4. 安全客户端通知用户进行补丁和病毒库地升级操作 . 5. 用户升级完成后 , 可重新进行安全认证 . 假如合格就解除隔离 , 进入步骤 7. 5 / 7 名师归纳总结 - - - - - - -第 5 页,共 7 页精选学习资料 - - - - - - - - - 6. 假如用户补
16、丁升级不胜利个人资料整理仅限学习使用, 用户仍旧无法拜访其他网络资源, 回到步骤 4. 7. 用户可以正常拜访其他授权ACL、VLAN)地网络资源 . EAD系统地应用具有以下特点 : 严格地身份认证支持用户与设备 IP 地址、接入端口、VLAN、用户 IP 地址和 MAC地址等硬件信息地绑定认证 , 增强用户认证地安全性 , 防止账号盗用和非法接入 . 可以与 Windows 域治理器、第三方邮件系统 必需支持 LDAP协议)地统一认证 , 防止用户记忆多个用户名和密码 . 完备地安全评估EAD可以帮忙治理员加强对终端用户地治理, 集中部署终端安全策略. 对终端安全状态进行评估, 使得只有符
17、合企业安全标准地终端才能准许拜访网络, 确保企业安全策略地统一. “ 危急” 用户隔离限制系统补丁、病毒库版本不准时更新或已感染病毒地用户终端地拜访权限 , 只能拜访病毒服务器、补丁服务器等用于系统修复地网络资源 . 用户上网过程中 , 假如终端发生感染病毒等安全大事 ,EAD系统可实时隔离该“ 危急” 终端 . 基于角色地服务EAD可基于终端用户地角色 , 向安全客户端下发系统配置地接入掌握策略 , 依据用户角色权限规范用户地网络使用行为 . 终端用户地 ACL拜访策略、动态 VLAN、是否禁止使用代理、是否禁止使用双网卡以及病毒监控策略等安全措施均可由治理员统一治理和实施 . 2对移动办公
18、地支持本案例在 Internet 出口部署了防火墙 , 全部未经许可地用户都无法通过 Internet 拜访到公司内网. 但是在许多情形下 , 出差在外地地员工或者在家办公地员工需要通过 Internet 拜访公司内部资源, 如何保证拜访地安全性呢?这里设计采纳 IPsec VPN 地方式保证拜访地安全性 . 本方案采纳地华为 3Com地出口路由器 AR4640和出口防火墙 Secpath100F 均支持 IPsec VPN 功能, 可以作为移动办公用户地 VPN接入网关 . 假如使用 AR4640作为 VPN网关 , 就 AR4640地外网口必需使用有效 IP 地址 . 假如使用 Secpa
19、th100F 作为 VPN接入网关 , 就 Secpath100F 地外网口必需使用有效IP 地址 . 为了保证 AR4640和 Secpath100F 都具备比较好地性能, 方案设计将 VPN网关功能和NAT功能分开 , 使用 Secpath100F 作为 VPN接入网关 , 使用 AR4640作为 NAT设备 . 如图 5 所示 , 移动办公 出差)员工第一连接到 Internet, 然后通过客户端软件 , 向 VPN网关AR4640或者 Secpath100F )发起连接恳求 ,VPN网关接受用户地恳求后 , 将恳求转交给认证服务器 , 进行基于用户身份地认证;认证不通过 , 将恳求拒绝
20、;认证通过 ,VPN 网关将为移动用户创建 IPsec VPN隧道 , 保证重要信息在 Internet 地传输过程中不失密 . 这样 , 出差员工就可以通过 internet 安全地拜访公司内网资源 . 6 / 7 名师归纳总结 - - - - - - -第 6 页,共 7 页精选学习资料 - - - - - - - - - 个人资料整理 仅限学习使用3方案特点在本网络建设应用方案中 , 设备选型是以国内排名前列地设备厂家为招标对象 , 降低了设备选购成本, 同时实现了以高档交换机作为核心交换机 , 建立以千兆为主干地先进地以太交换网络 . 1)高性能和牢靠性 核心交换机采纳双交换引擎和冗余
21、电源方式替代双机热备份方式 , 削减了网络总体投资 , 同时确保了交换机工作地牢靠性;接入交换机千兆光纤上联到核心交换机 , 满意了网络中数据、语音、视频传输时地主干带宽要求;服务器区交换机采纳插槽式可扩充地三层百兆 / 千兆自适应交换机 , 可以针对服务器地数量敏捷地扩充板卡 , 达到各进驻公司应用地要求 . 2)安全性 所选接入交换机端口采纳了 ACL技术 , 保证了对接入端口地掌握 . 通过使用硬件防火墙实现网络地安全隔离;通过部署华为 3Com公司地 EAD解决方案 , 确保只有合法用户才能接入到网络中来 , 从而保证接入用户地安全性;通过网络防病毒软件 , 对网络中服务器供应防病毒爱护;使用漏洞扫描设备 , 对网络中存在安全漏洞地设备进行安全提示 , 预防病毒对存在漏洞地设备进行攻击 . 7 / 7 名师归纳总结 - - - - - - -第 7 页,共 7 页