網(wǎng)絡系統(tǒng)設計方案

系統(tǒng)需求項目的弱電系統(tǒng)總體設計規(guī)定是“理念先進、技術一流、經(jīng)濟實用和此后良好的擴展性”，滿足顧客的特殊規(guī)定，到達國家建設部智能化建筑的甲級原則并通過驗收。項目中的計算機網(wǎng)絡系統(tǒng)將為建筑內(nèi)信息系統(tǒng)提供穩(wěn)定、可靠、安全的信息流通環(huán)境。網(wǎng)絡系統(tǒng)是xxxxx工程中的重要系統(tǒng)，它將作為多種應用系統(tǒng)的系統(tǒng)溝通平臺，包括管理系統(tǒng)，業(yè)務系統(tǒng)等，因此網(wǎng)絡系統(tǒng)應定位于提供高性能，高可靠的系統(tǒng)設計。設計原則可靠性xxxxx工程的信息應用系統(tǒng)具有較高的可靠性規(guī)定，這決定了作為信息傳播平臺的網(wǎng)絡系統(tǒng)也具有高度的可靠性。高性能網(wǎng)絡中也許存在復雜多元的應用系統(tǒng)，如多媒體應用，辦公自動化，專業(yè)應用等，對網(wǎng)絡的負載能力要較高規(guī)定。可擴展性和可升級性目前xxxxx工程處在一期建設中，未來還將建設二級工程，網(wǎng)絡系統(tǒng)將逐漸擴大，同步伴隨應用系統(tǒng)的逐漸完善，網(wǎng)絡系統(tǒng)也將進行對應的擴展和升級，因此網(wǎng)絡應具有良好的可升級擴展性。易管理、易維護xxxxx工程中網(wǎng)絡系統(tǒng)分布于多種建筑物中，同步網(wǎng)絡系統(tǒng)中承載的應用系統(tǒng)重要性較高，因此網(wǎng)絡系統(tǒng)需具有良好的可管理性，減少維護成本，放患于未然，保障業(yè)務系統(tǒng)的正常運行。安全性根據(jù)xxxxx工程業(yè)主的特殊定位，網(wǎng)絡規(guī)定有極高的安全性規(guī)定。總體設計主干技術選型選擇合理的網(wǎng)絡主干技術對一種大型網(wǎng)絡來說十分重要，它關系到網(wǎng)絡的服務品質(zhì)和可持續(xù)發(fā)展的特性。網(wǎng)絡主干包括主干網(wǎng)設備之間及其與匯聚點關鍵設備之間的連接。對于xxxxx工程，我們選擇采用千兆以太網(wǎng)GE技術、相對于其他寬帶主干技術，它和以太網(wǎng)，迅速以太網(wǎng)有更好的兼容性，在園區(qū)網(wǎng)規(guī)?；蛑行⌒统怯蚓W(wǎng)中具有最高的性能價格比。局域網(wǎng)構造采用何種網(wǎng)絡構造和建筑分布，應用需求均有較大的關系。一般在大型網(wǎng)絡的設計中，網(wǎng)絡構造分為三層，即關鍵、分布和接入層。關鍵層提供網(wǎng)絡的關鍵路由互換功能，分布層負責將接入層設備匯聚進入關鍵層，接入層提供提供終端顧客的接入網(wǎng)絡。每個層次的網(wǎng)絡專注于其功能規(guī)定，使網(wǎng)絡設計模塊化，便于管理和擴展。對于xxxxx工程，相對于園區(qū)網(wǎng)，網(wǎng)絡分布在較大范圍內(nèi)，包括信息中心/辦公區(qū)，科研辦公區(qū)，對外接待區(qū)，服務中心，生活設施區(qū)，輔助用房，休閑中心及未來得二期建筑。根據(jù)布線構造，科研辦公區(qū)為一點數(shù)較大的單體建筑，將再設置兩級配線間，簡化了線纜構造，對應網(wǎng)絡構造為二層構造和三層構造相結合的方式，即對于科研辦公區(qū)，通過關鍵互換機，分布層互換機，接入互換機三級構造，而對于其他分派線間則通過關鍵互換機，接入互換機的二級構造(見后圖)。根據(jù)xxxxx工程需求，網(wǎng)絡中包括內(nèi)網(wǎng)和外網(wǎng)，一般內(nèi)網(wǎng)中運行業(yè)務系統(tǒng)，辦公自動化系統(tǒng)及專網(wǎng)應用等，外網(wǎng)運行互聯(lián)網(wǎng)應用。業(yè)務系統(tǒng)具有較高的可靠性規(guī)定，因此網(wǎng)絡構造上，內(nèi)網(wǎng)網(wǎng)絡主干需要更高的可靠性，內(nèi)網(wǎng)網(wǎng)絡關鍵采用了兩臺骨干互換機，分別和分布層互換機通過千兆光纖連接，從而形成了一種全網(wǎng)無單點故障的骨干網(wǎng)絡。而外網(wǎng)出于應用需求和成本的考慮，可采用單骨干互換機的架構，如下圖：廣域網(wǎng)連接廣域網(wǎng)方面一般包括互聯(lián)網(wǎng)接入和專網(wǎng)接入?；ヂ?lián)網(wǎng)接入提供對互聯(lián)網(wǎng)訪問，目前互聯(lián)網(wǎng)寬帶接入的方式有ADSL、CableModem、ATM、寬帶城域網(wǎng)等，ADSL和CableModem一般用作個人顧客或小型企業(yè)的寬帶接入，ATM需要專用接入設備，成本太高。而寬帶城域網(wǎng)是通過光纖由ISP處引入，通過轉(zhuǎn)換器轉(zhuǎn)為以太網(wǎng)口接入顧客設備，該種接入方式的接入帶寬可由運行商端進行精確而靈活的限速，符合了xxxxx工程伴隨應用的發(fā)展逐漸增長互聯(lián)網(wǎng)接入帶寬的需求，在接入設備上也無需專用廣域網(wǎng)接入設備，可通過防火墻直接接入即可。專網(wǎng)連接用于和有關單位或企業(yè)的網(wǎng)絡連接，即Extranet。根據(jù)我方的工程經(jīng)驗和對專網(wǎng)互聯(lián)技術的理解，專網(wǎng)連接一般有DDN/FR(幀中繼)/ATM的專線連接、遠程撥號連接以及構建在公網(wǎng)上的VPN專網(wǎng)等多種方式，ATM方式價格較高；遠程撥號連接由于速率較低，一般作為備份方式；而VPN通過公網(wǎng)傳播，存在一定的風險性。因此綜合考慮，如租用運行商線路，出于安全性的考慮，可采用通過DDN/FR電信專線的方式，或直接通過自建的內(nèi)部城域光纜網(wǎng)連接。由于連接了公網(wǎng)和外部專網(wǎng)，安全性是必須考慮的，為此需配置防火墻設備，防火墻提供了較一般網(wǎng)絡設備具有更完善的安全手段，提供了對內(nèi)外網(wǎng)隔離和防外部襲擊等特性。如網(wǎng)絡存在某些提供外部訪問的應用，如專網(wǎng)業(yè)務應用等，這些網(wǎng)段的安全性級別高于外網(wǎng)，但低于內(nèi)網(wǎng)，我們可將這些網(wǎng)段通過防火墻的第三個或第四個等網(wǎng)口接入，該區(qū)域被稱為DMZ區(qū)（非軍事區(qū)），DMZ區(qū)介于內(nèi)外網(wǎng)之間，可作為緩沖地帶，DMZ區(qū)的安全問題不會直接威脅到內(nèi)網(wǎng)。廣域網(wǎng)連接示意圖如下：網(wǎng)絡管理根據(jù)xxxxx工程的特點，我們認為網(wǎng)絡管理系統(tǒng)應具有如下特點：以應用系統(tǒng)為導向，在最大程度上保證應用系統(tǒng)運行的高穩(wěn)定性。開放易用，在采用先進技術同步不會增長業(yè)務運行的人工維護成本。提供豐富的管理特性，滿足復雜網(wǎng)絡環(huán)境中的多方面管理需求。所提供的管理功能模塊盡量互相集成。網(wǎng)絡中的所有網(wǎng)絡資源，如互換機的設備工作狀態(tài)、網(wǎng)絡性能、通訊延時等應均可通過直觀的人機介面進行監(jiān)控、管理。使網(wǎng)絡管理員不僅可以改正出現(xiàn)的問題，還可以發(fā)現(xiàn)潛在問題。因此我們認為網(wǎng)管系統(tǒng)的重要功能應包括拓撲管理，故障管理，配置管理和性能管理等功能。信息安全管理根據(jù)xxxxx工程的安全定位，信息安全管理是xxxxx工程中一種較重要的網(wǎng)絡應用，它關系到網(wǎng)絡中多種重要數(shù)據(jù)，應用的安全性，直接影響xxxxx工程的正常運作。對于xxxxx工程，安全管理可以從如下幾方面考慮：網(wǎng)絡設備自身的安全性提供對網(wǎng)絡設備配置訪問的安全性，應采用嚴格的顧客認證訪問，安全的Telnet和SNMP機制等措施，保證網(wǎng)絡設備被安全訪問。網(wǎng)絡互換設備的安全方略根據(jù)應用系統(tǒng)，顧客終端的分類和安全需求，通過劃分虛網(wǎng)，設置訪問控制權限，以及限制路由等方略，提供底層數(shù)據(jù)訪問的安全性。專用安全設備和系統(tǒng)除了網(wǎng)絡設備自身可以提供的安全性，還應配置安全設備以提供專門的安全方略。防火墻防護重要提供不一樣網(wǎng)段間的訪問控制，應用控制，實時防襲擊等能力，防火墻采用狀態(tài)檢測技術，可動態(tài)判斷流經(jīng)數(shù)據(jù)包的合法性，大大提高了訪問安全性。入侵檢測作為一種被動式安全防備，安全威脅可以來自內(nèi)部和外部，防火墻只能控制其他網(wǎng)段對安全網(wǎng)段的訪問，但對于內(nèi)部或少許通過了防火墻的襲擊訪問就無法控制，為此采用入侵檢測探測系統(tǒng)，實時監(jiān)測重要網(wǎng)段，重要服務器的訪問數(shù)據(jù)，一旦發(fā)現(xiàn)非法訪問和襲擊行為即發(fā)出警報，從而最迅速度的發(fā)現(xiàn)出現(xiàn)的安全問題。身份認證等技術對于遠程撥號或重要網(wǎng)段接入顧客，常規(guī)定通過身份認證賦予接入權限，為此需提供專用的身份認證服務器，提供基于Radius，TACAS+等一系列動態(tài)認證服務。防病毒軟件和數(shù)據(jù)備份對于應用級的數(shù)據(jù)安全，可配置防病毒軟件。為提供其易用性，可采用Server-Client架構的防病毒軟件，由服務器自動向客戶端分發(fā)最新的防病毒代碼。網(wǎng)絡方案設計設計概述充足考慮了xxxxx項目的建筑構造，現(xiàn)實狀況和發(fā)展前景，結合我企業(yè)豐富的工程經(jīng)驗，我們認為其網(wǎng)絡系統(tǒng)的設計應本著高原則，高性能，整體規(guī)劃，逐漸實行的原則進行，網(wǎng)絡系統(tǒng)即能滿足相稱長時間內(nèi)的顧客需求，又可在未來根據(jù)應用系統(tǒng)的發(fā)展和網(wǎng)絡規(guī)模的發(fā)展，輕松地進行可靠性，性能，容量等多方面的擴展和升級，從而為顧客提供性能價格比最佳，具有良好擴展能力的網(wǎng)絡處理方案。本次建設中局域網(wǎng)部分采用了二級構造設計。內(nèi)網(wǎng)部分，主干互換機采用兩臺高性能，高可靠性關鍵互換機，通過雙千兆鏈路連接接入層互換機，內(nèi)網(wǎng)通過路由器和電信運行商的專線連接業(yè)務專網(wǎng)，并通過防火墻對網(wǎng)絡進行安全隔離和防護。內(nèi)網(wǎng)還通過配置入侵檢測探測器提供對重要數(shù)據(jù)網(wǎng)段，如辦公自動化，業(yè)務用數(shù)據(jù)區(qū)提供特殊的安全監(jiān)控。外網(wǎng)部分，配置單臺關鍵互換機，通過千兆鏈路連接接入層互換機，并通過防火墻接入互聯(lián)網(wǎng)，網(wǎng)絡拓撲構造如下圖：內(nèi)網(wǎng)網(wǎng)絡拓撲外網(wǎng)網(wǎng)絡拓撲關鍵互換機關鍵互換機肩負著全網(wǎng)的數(shù)據(jù)互換，其性能很大程度決定了整體網(wǎng)絡的性能，根據(jù)xxxxx工程的實際狀況，我們認為關鍵互換機重要應具有如下特點：可靠性關鍵互換機提供了全網(wǎng)數(shù)據(jù)的互換，其可靠性決定了整體網(wǎng)絡的穩(wěn)定和可靠。其可靠性應體目前多方面，包括：物理層設計關鍵互換機應具有關鍵部件的冗余，包括電源、風扇、管理模塊等，放置部件的偶爾性故障導致的關鍵互換機，乃至全網(wǎng)故障；模塊應具有熱拔插特性，保證故障處理時網(wǎng)絡服務的延續(xù)性；背板采用無源背板設計，深入加強系統(tǒng)可靠性。鏈路層特性支持多種鏈路層冗余協(xié)議，包括STP及其擴展協(xié)議，鏈路捆綁協(xié)議等。網(wǎng)絡層特性提供豐富的三層路由協(xié)議，同步支持網(wǎng)關冗余協(xié)議（如VRRP）。高互換能力和端口密度根據(jù)xxxxx工程布線的特點，一期內(nèi)外網(wǎng)各有30余個分派線間，總布線點數(shù)各為3000個左右，二期規(guī)劃還各將增長20余個分派線間，這樣規(guī)定關鍵互換機具有較高的千兆端口密度，可滿足接入大量分派線間的需求，而網(wǎng)絡系統(tǒng)是這樣一種高密度，大規(guī)模的網(wǎng)絡，網(wǎng)絡中存在豐富的多元化的應用系統(tǒng)，這些均規(guī)定關鍵互換機具有較高的互換性能，其指標體目前背板容量、包轉(zhuǎn)發(fā)率等數(shù)據(jù)上。豐富的網(wǎng)絡特性為提供網(wǎng)絡中多種應用支持，如對時延敏感的音視頻應用，對數(shù)據(jù)可靠性規(guī)定較高的關鍵應用，網(wǎng)絡應提供較強的QoS和Policing的功能，同步為提供網(wǎng)絡內(nèi)部的安全性，它應支持豐富的安全特性，如基于2-4層信息的線速訪問控制等。分布層互換機分布層互換機用于科研辦公區(qū)，由于該區(qū)共有11個三級配線間需接入，分布層互換機作為多種接入互換機的匯聚點，也需物理構造上的關鍵部件冗余設計，并具有較高的千兆端口密度和分布層網(wǎng)絡設備性能，如數(shù)據(jù)包轉(zhuǎn)發(fā)能力，Qos，安全性等特性。接入互換機對于樓層接入，由于xxxxx工程中分派線間點數(shù)平均分布在70-80個點間，首先接入互換機盡量采用高端口密度的互換機產(chǎn)品（如48個10/100M接入端口），另一方面為提供端到端的網(wǎng)絡特性，接入互換機也應具有較豐富的網(wǎng)絡特性和較高的網(wǎng)絡性能。詳細表目前：互換性能提供迅速數(shù)據(jù)轉(zhuǎn)發(fā)，重要體目前接入互換機的背板容量和包轉(zhuǎn)發(fā)率等指標。網(wǎng)絡特性提供高性能的Qos控制能力，保證真正端到端的Qos能力，同步具有豐富的接入安全特性，如802.1X，基于Mac地址的接入安全特性等。根據(jù)綜合布線系統(tǒng)，對于內(nèi)網(wǎng)和外網(wǎng)，互換機數(shù)據(jù)端口可按布線點的一定比例配置，暫按布線量的60%配置，如下表：外網(wǎng)數(shù)據(jù)點和互換機配置：內(nèi)網(wǎng)數(shù)據(jù)點和互換機配置：廣域網(wǎng)接入防火墻在xxxxx工程中，防火墻用于在互聯(lián)網(wǎng)接入和專網(wǎng)連接處，提供對內(nèi)網(wǎng)數(shù)據(jù)保護，在防火墻的選擇上，重要應考慮其安全特性，數(shù)據(jù)轉(zhuǎn)發(fā)性能等，安全特性指防火墻設備具有主流的安全方略(如基于包的動態(tài)狀態(tài)判斷)，提供主流的安全防護特性，同步在數(shù)據(jù)吞吐量，每秒可新建會話數(shù)，總會話數(shù)方面具有良好的特性指標。路由器路由器在xxxxx工程中的定位是提供專網(wǎng)接入，產(chǎn)品選擇上應和應用相配合，當xxxxx作為專網(wǎng)分支節(jié)點時，只需路由器只需具有一定的數(shù)據(jù)包轉(zhuǎn)發(fā)率和較豐富的網(wǎng)絡特性即可，當xxxxx作為專網(wǎng)中的中心節(jié)點時，則路由器還應具有一定的廣域網(wǎng)端口密度和更高的數(shù)據(jù)包轉(zhuǎn)發(fā)性能和擴展能力。網(wǎng)絡管理系統(tǒng)網(wǎng)管系統(tǒng)也有助于網(wǎng)絡系統(tǒng)的管理，網(wǎng)絡故障的迅速定位和排除，提高網(wǎng)絡的可用性。網(wǎng)管系統(tǒng)的重要功能應包括拓撲管理，故障管理，配置管理和性能管理等功能。為提供良好的使用界面，網(wǎng)管系統(tǒng)應提供圖形化設備和拓撲顯示，可實時監(jiān)視設備流量，設備故障等多種信息。信息安全管理信息安全管理是xxxxx項目中一種較重要的網(wǎng)絡應用，它關系到網(wǎng)絡中多種重要數(shù)據(jù)，應用的安全性，直接影響xxxxx項目的正常運作。網(wǎng)絡設備管理的安全性網(wǎng)絡設備訪問的安全性，關系到網(wǎng)絡設備配置數(shù)據(jù)的安全性，假如網(wǎng)絡設備自身被非法訪問，非法入侵者將隨意修改設備配置，整個網(wǎng)絡將無安全性可言。網(wǎng)絡設備自身的安全性重要應考慮良好的顧客認證訪問體系，網(wǎng)管數(shù)據(jù)傳播的安全性。首先對于設備的訪問可基于中央顧客認證系統(tǒng)，這樣便于大批量網(wǎng)絡設備的顧客認證信息的維護。另一方面網(wǎng)管數(shù)據(jù)應加密傳播，一般網(wǎng)管工作是通過網(wǎng)管軟件的SNMP（簡樸網(wǎng)絡管理協(xié)議）和Telnet遠程登錄進行，老式的SNMP和Telnet數(shù)據(jù)均通過明文傳播，當惡意顧客通過Sniffer等系統(tǒng)進行網(wǎng)絡監(jiān)聽時，有也許截獲其數(shù)據(jù)包，從而獲得訪問信息，因此所有設備的管理應采用加密的網(wǎng)管方式進行訪問。xxxxx項目的網(wǎng)管軟件應采用SNMPV3，其定義于RFC2271中，和SNMPv1和SNMPv2相比，SNMPv3增長了三個新的安全機制：身份驗證，加密和訪問控制。由于使用了私鑰（privKey）和驗證密鑰（authKey）來實現(xiàn)加密，其安全性大大提高。對于Telnet應用，目前重要缺陷是：沒有口令保護，遠程顧客的登陸傳送的帳號和密碼都是明文，使用一般的sniffer都可以被截獲沒有強力認證過程。只是驗證連接者的帳戶和密碼。沒有完整性檢查。傳送的數(shù)據(jù)無法懂得與否完整的，而不是被篡改正的數(shù)據(jù)。傳送的數(shù)據(jù)都沒有加密。因此對于Telnet應用，應采用SSH加密的方式，SSH采用了公鑰和密鑰相結合的方式，提高數(shù)據(jù)的安全性和完整性。網(wǎng)絡設備的安全特性安全性是網(wǎng)絡設備較重要的特性，根據(jù)網(wǎng)絡設備的定位區(qū)別和應用的布署，需要不一樣的安全方略。xxxxx項目中網(wǎng)絡中的應用系統(tǒng)是復雜和多元化的，包括多媒體，辦公自動化、業(yè)務系統(tǒng)系統(tǒng)等，其安全性規(guī)定各不相似，而對于互聯(lián)網(wǎng)接入?yún)^(qū)，也有專網(wǎng)接入，DMZ區(qū)網(wǎng)段等多種區(qū)域，因此應對不一樣的安全區(qū)域設備不一樣的安全方略?；ヂ?lián)網(wǎng)接入和專網(wǎng)接入系統(tǒng)通過防火墻接入互聯(lián)網(wǎng)，該部分的安全性重要體目前防火墻上的安全設置。系統(tǒng)通過路由器和專網(wǎng)連接專網(wǎng)，其安全性體目前路由器，防火墻的多種區(qū)域安全信任關系的設置，詳細方略設置將根據(jù)