網絡系統設計方案

1. 系統需求 項目的弱電系統總體設計要求是“理念先進、技術一流、經濟實用和今后良好的擴展性”，滿足用戶的特殊要求，達到國家建設部智能化建筑的甲級標準并通過驗收。項目中的計算機網絡系統將為建筑內信息系統提供穩定、可靠、安全的信息流通環境。網絡系統是xxxxx工程中的重要系統，它將作為多種應用系統的系統溝通平臺，包括管理系統，業務系統等，因此網絡系統應定位于提供高性能，高可靠的系統設計。 2. 設計原則 l 可靠性 xxxxx工程的信息應用系統具有較高的可靠性要求，這決定了作為信息傳輸平臺的網絡系統也具有高度的可靠性。 l 高性能 網絡中可能存在復雜多元的應用系統，如多媒體應用，辦公自動化，專業應用等，對網絡的負載能力要較高要求。 l 可擴展性和可升級性 目前xxxxx工程處于一期建設中，將來還將建設二級工程，網絡系統將逐步擴大，同時隨著應用系統的逐步完善，網絡系統也將進行相應的擴展和升級，因此網絡應具有良好的可升級擴展性。 l 易管理、易維護 xxxxx工程中網絡系統分布于多個建筑物中，同時網絡系統中承載的應用系統重要性較高，因此網絡系統需具有良好的可管理性，降低維護成本，放患于未然，保障業務系統的正常運行。 l 安全性 根據xxxxx工程業主的特殊定位，網絡要求有極高的安全性要求。 3. 總體設計 3.1 主干技術選型 選擇合理的網絡主干技術對一個大型網絡來說十分重要，它關系到網絡的服務品質和可持續發展的特性。網絡主干包括主干網設備之間及其與匯聚點核心設備之間的連接。 對于xxxxx工程，我們選擇采用千兆以太網GE技術、相對于其他寬帶主干技術，它和以太網，快速以太網有更好的兼容性，在園區網規?；蛑行⌒统怯蚓W中具有最高的性能價格比。 3.2 局域網結構 采取何種網絡結構和建筑分布，應用需求均有較大的關系。通常在大型網絡的設計中，網絡結構分為三層，即核心、分布和接入層。核心層提供網絡的核心路由交換功能，分布層負責將接入層設備匯聚進入核心層，接入層提供提供終端用戶的接入網絡。每個層次的網絡專注于其功能要求，使網絡設計模塊化，便于管理和擴展。 對于xxxxx工程，相對于園區網，網絡分布在較大范圍內，包括信息中心/辦公區，科研辦公區，對外接待區，服務中心，生活設施區，輔助用房，休閑中心及將來得二期建筑。根據布線結構，科研辦公區為一點數較大的單體建筑，將再設立兩級配線間，簡化了線纜結構，相應網絡結構為二層結構和三層結構相結合的方式，即對于科研辦公區，通過核心交換機，分布層交換機，接入交換機三級結構，而對于其他分配線間則通過核心交換機，接入交換機的二級結構(見后圖)。 根據xxxxx工程需求，網絡中包含內網和外網，通常內網中運行業務系統，辦公自動化系統及專網應用等，外網運行互聯網應用。業務系統具有較高的可靠性要求，因此網絡結構上，內網網絡主干需要更高的可靠性，內網網絡核心采用了兩臺骨干交換機，分別和分布層交換機通過千兆光纖連接，從而形成了一個全網無單點故障的骨干網絡。而外網出于應用需求和成本的考慮，可采用單骨干交換機的架構，如下圖： 3.3 廣域網連接 廣域網方面通常包括互聯網接入和專網接入。 互聯網接入提供對互聯網訪問，目前互聯網寬帶接入的方式有ADSL、CableModem、ATM、寬帶城域網等，ADSL和CableModem通常用作個人用戶或小型公司的寬帶接入，ATM需要專用接入設備，成本太高。而寬帶城域網是通過光纖由ISP處引入，通過轉換器轉為以太網口接入用戶設備，該種接入方式的接入帶寬可由運營商端進行準確而靈活的限速，符合了xxxxx工程隨著應用的發展逐步增加互聯網接入帶寬的需求，在接入設備上也無需專用廣域網接入設備，可通過防火墻直接接入即可。 專網連接用于和相關單位或企業的網絡連接，即Extranet。根據我方的工程經驗和對專網互聯技術的了解，專網連接通常有DDN/FR(幀中繼)/ATM的專線連接、遠程撥號連接以及構建在公網上的VPN專網等多種方式，ATM方式價格較高；遠程撥號連接由于速率較低，通常作為備份方式；而VPN通過公網傳輸，存在一定的風險性。因此綜合考慮，如租用運營商線路，出于安全性的考慮，可采用通過DDN/FR電信專線的方式，或直接通過自建的內部城域光纜網連接。 由于連接了公網和外部專網，安全性是必須考慮的，為此需配置防火墻設備，防火墻提供了較普通網絡設備具有更完善的安全手段，提供了對內外網隔離和防外部攻擊等特性。如網絡存在一些提供外部訪問的應用，如專網業務應用等，這些網段的安全性級別高于外網，但低于內網，我們可將這些網段通過防火墻的第三個或第四個等網口接入，該區域被稱為DMZ區（非軍事區），DMZ區介于內外網之間，可作為緩沖地帶，DMZ區的安全問題不會直接威脅到內網。廣域網連接示意圖如下： 3.4 網絡管理 根據xxxxx工程的特點，我們認為網絡管理系統應具有以下特點： l 以應用系統為導向，在最大程度上保證應用系統運行的高穩定性。 l 開放易用，在采用先進技術同時不會增加業務運行的人工維護成本。 l 提供豐富的管理特性，滿足復雜網絡環境中的多方面管理需求。 l 所提供的管理功能模塊盡量相互集成。 網絡中的所有網絡資源，如交換機的設備工作狀態、網絡性能、通訊延時等應均可通過直觀的人機介面進行監控、管理。使網絡管理員不但可以改正出現的問題，還可以發現潛在問題。因此我們認為網管系統的主要功能應包括拓撲管理，故障管理，配置管理和性能管理等功能。 3.5 信息安全管理 根據xxxxx工程的安全定位，信息安全管理是xxxxx工程中一個較重要的網絡應用，它關系到網絡中各種重要數據，應用的安全性，直接影響xxxxx工程的正常運作。對于xxxxx工程，安全管理可以從以下幾方面考慮： l 網絡設備自身的安全性 提供對網絡設備配置訪問的安全性，應采用嚴格的用戶認證訪問，安全的Telnet和SNMP機制等措施，保證網絡設備被安全訪問。 l 網絡交換設備的安全策略 根據應用系統，用戶終端的分類和安全需求，通過劃分虛網，設置訪問控制權限，以及限制路由等策略，提供底層數據訪問的安全性。 l 專用安全設備和系統 除了網絡設備本身可以提供的安全性，還應配置安全設備以提供專門的安全策略。 1) 防火墻防護 主要提供不同網段間的訪問控制，應用控制，實時防攻擊等能力，防火墻采用狀態檢測技術，可動態判斷流經數據包的合法性，大大提高了訪問安全性。 2) 入侵檢測 作為一種被動式安全防范，安全威脅可以來自內部和外部，防火墻只能控制其他網段對安全網段的訪問，但對于內部或少量通過了防火墻的攻擊訪問就無法控制，為此采用入侵檢測探測系統，實時監測重要網段，重要服務器的訪問數據，一旦發現非法訪問和攻擊行為即發出警報，從而最快速度的發現出現的安全問題。 3) 身份認證等技術 對于遠程撥號或重要網段接入用戶，常要求通過身份認證賦予接入權限，為此需提供專用的身份認證服務器，提供基于Radius，TACAS+等一系列動態認證服務。 4) 防病毒軟件和數據備份 對于應用級的數據安全，可配置防病毒