搜索
网络结构设计1网络设计原则2网络系统的设计3网络拓扑结构4设备选型5网络安全设计6网络管理软件1网络设计原则采用先进成熟的技术和设计思想,运用先进的集成技术路线,以先进、实用、开放、安全、使用方便和易于操作为原则,突出系统功能的实用性,尽快投入使用,发挥较好的效能。计算机技术的发展十分迅速,更新换代周期越来越短。所以,选购设备要充分注意先进性,选择硬件要预测到未来发展方向,选择软件要考虑开放性,工具性和软件集成优势。网络设计要考虑通信发展要求,因此,主要、关键设备需要具有很高的性价比。1网络设计原则系统的设计既要在相当长的时间内保证其先进性,还应本着实用的原则,在实用的基础上追求先进性,使系统便于联网,实现信息资源共享。易于维护管理,具有广泛兼容性,同时为适应企业实际情况,设备应具有使用灵活、操作方便的汉字、图形处理功能。目前,计算机网络与外部网络互连互通日益增加,都直接或间接与国际互连网连接。因此,系统方案设计需考虑系统的可靠性、信息安全性和保密性的要求。1网络设计原则网络设计方案设计原则和需求分析,可以方便地进行设备扩充和适应工程的变化,以及灵活地进行软件版本的更新和升级,保护用户的投资。目前,网络向多平台、多协议、异种机、异构型网络共存方向发展,其目标是将不同机器、不同操作系统、不同的网络类型连成一个可协同工作的一个整体。所以所选网络的通迅协议要符合国际标准,为将来系统的升级、扩展打下良好的基础。1网络设计原则采用结构化、模块化的设计形式,满足系统及用户各种不同的应用要求,适应业务调整变化。采用的技术标准必须按照国际标准和国家标准与规范,保证系统的延续性和可靠性。满足系统目标与功能目标,总体方案设计合理,满足用户的应用要求,便于系统维护,以及系统二次开发与移植。2网络系统的设计中心交换机为整个网络的核心,它对整个网络的性能、可靠性起决定作用,它连接各个物理子网,管理网络内信息交换(包括多媒体信息),控制VLAN间访问,保证信息安全。因此,选用中心交换机除了提供高速的网络连接之外,还具有多种信息的管理控制能力。全部的网络设备均支持高效的Intranet多媒体和多点广播技术,为多媒体和多点广播应用等提供端到端的带宽保证。网络采用层次结构,不仅逻辑结构清晰,管理方便;更重要的是大多数的数据流量(主要是同一部门或工作组内)的交换在汇聚层交换机上直接处理,不经过中心设备,节省主干带宽,提高利用率。2网络系统的设计有一定的前瞻性,不仅满足当前网上应用,也为向将来更高性能的升级作好了准备:网络具有的伸缩性,升级和扩展主要只集中在网络中心,添加新的接口模块,即可实现用户和信息点的扩充,升级模块即可大量提高主干带宽;中心配置两台多层交换机,网络结构就能连接成高可靠性的、真正的中心交换机互备份和上联线路冗余。配合热备份路由协议和热备份双服务器主机系统,在整个系统内消除单点故障,提供高可用性的应用服务系统。2网络系统的设计虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。3网络拓扑结构根据地理位置及信息点的数量和未来覆盖面扩充等多方面原因,将网络划分若干个区域。划分区域主要考虑以下几个方面:可以减轻中央核心交换机的负担、管理上方便、便于未来的连接扩充。整个网络划分为三个层次:核心层、汇聚层和接入层。核心层网络选择千兆或万兆以太网。网络中心将放置两台高端三层千兆交换机和一台边界路由器。交换机间的连接要求是高带宽连接。汇聚层交换机要求至少两路上行链路连至两台核心层交换机上,采用快速收敛的路由协议实现故障切换和负载均衡,当某一链路出现意外,也可以从另外一路上连。汇聚层交换的下连交换机都为接入层网络。4设备选型核心层最长的网络正常运行时间--利用平台、电源、控制引擎、交换矩阵和集成网络服务冗余性提供1~3秒的状态故障切换,提供应用和服务连续性统一在一起的融合网络环境,减少关键业务数据和服务的中断。可扩展性能--利用分布式转发体系结构提供高达400Mpps的转发性能。能够适应未来发展并保护投资的体系结构--在同一种机箱中支持三代可互换、可热插拔的模块,以提高IT基础设施利用率,增大投资回报,并降低总体拥有成本。卓越的服务集成和灵活性--将安全和内容等高级服务与融合网络集成在一起,提供从10/100和10/100/1000以太网到万兆以太网,从DS0到OC-48的各种接口和密度,并能够在任何部署项目中端到端执行。4设备选型汇聚层利用千兆以太网SFP上行链路顺利移植到万兆以太网;在交换管理引擎上提供集成式NetFlow,通过基于用户的速率限制实施精确流量控制;为提供更加灵活的策略,能够为每个端口和VLAN实施不同的QoS;能够防止可变IP信息攻击;端口安全、DHCP侦听、ARP检测和IP源防护能够防止黑客从第二层及以上发动拒绝服务(DoS)攻击或破坏网络;速率限制以出口和入口限速器的方式出现,可以控制每个VLAN的流量,防止DoS攻击。SupervisorEngineV-10GE支持基于用户的速率限制;802.1X及其扩展性能防止非法用户和设备接入网络,例如恶意接入点;硬件Netflow可用于主动发现网络流量异常,并采取相应措施。它使用的访问控制列表可在交换端口和路由端口上提供,以便进行二到七层流量控制;4设备选型接入层接入层交换机适用于小型企业布线室或分支机构环境,结合了10/100/1000和PoE配置,实现最高生产率和投资保护,并可部署新应用,如IP电话、无线接入、视频监视、建筑物管理系统和远程视频访问等。客户可在整个网络范围中部署智能服务,如高级QoS、速率限制、访问控制列表、组播管理和高性能IP路由等,且同时保持传统LAN交换的简洁性。网络软件的提供,是一个集中管理应用,可简化交换机、路由器和无线接入点的管理任务。大大简化了融合网络和智能网络服务的实施;支持增强的802.1x(IBNS)。5网络安全设计加密系统具有良好的网络兼容性和可扩展性,实现防窃取、防篡改、防破坏三大功能。按照国家主管部门对政府办公网络安全保密性的相应法规和规定,要保障系统内部信息的安全,我们主要应该做到处理秘密级、机密级信息的系统与不涉及保密信息的系统实行物理隔离,秘密级、机密级信息在网络上采取加密传输。防火墙有三个属性:所有进出内部网的数据包必须经过它;仅被本地安全策略所授权的数据包才能通过它;防火墙本身对攻击必须具有免疫能力。网络吞吐量(Mbps)300安全过滤带宽170Mbps网络端口3+1个管理快速以太网端口、可升级到5个快速以太网端口、1个SSM扩展插槽用户数限制无用户数限制入侵检测DoS5网络安全设计控制端口consoleVPN支持利用访问控制列表(AccessControlList,ACL)实安全防护防火墙操作系统IOS通过访问控制列表(ACL)技术支持包过滤防火墙技术,根据事先确定的安全策略建立相应的访问列表,可以对数据包、路由信息包进行拦截与控制,可以根据源/目的地址、协议类型、TCP端口号进行控制。这样,我们就可以在Extranet上建立第一道安全防护墙,屏蔽对内部网Intranet的非法访问。例如,我们可以通过ACL限制可以进入内部网络的外部网络甚至是某一台或几台主机;限制可以被访问的内部主机的地址;为保证主机的安全,可以限制外部用户对主机的一些危险应用如TELNET等。5网络安全设计利用地址转换(NetworkAddressTranslation,NAT)实现安全保护防火墙另外一个强大功能就是内外地址转换。进行IP地址转换由两个好处:其一是隐藏内部网络真正的IP地址,这可以使黑客(hacker)无法直接攻击内部网络,因为它不知道内部网络的IP地址及网络拓扑结构;另一个好处是可以让内部网络使用自己定义的网络地址方案,而不必考虑与外界地址冲突的情况。地址转换(NAT)技术运用在内部主机与外部主机之间的互相访问的时候,当内部访问者想通过路由器外出时,路由器首先对其进行身份认证----通过访问列表(ACL)核对其权限,如果通过,则对其进行地址转换,使其以一个对外公开的地址访问外部网络;当外部访问者想进入内部网时,路由器同样首先核对其访问权限,然后根据其目的地址(外部公开的地址),将其数据包送到经过地址转换的相应的内部主机。5网络安全设计VLAN(虚网)技术和VLAN路由技术VLAN技术用以实现对整个局域网的集中管理和安全控制。CISCO局域网交换机的一大优势是具备跨交换机的VLAN(虚网)划分和VLAN路由功能。虚网是将一个物理上连接的网络在逻辑上完全分开,这种隔离不仅是数据访问的隔离,也是广播域的隔离,就如同是物理上完全分离的网络一样,是一种安全的防护。通过VLAN路由实现对跨部门访问的控制,既保证了安全性,也提高了可管理性。MAC地址过滤策略在内部网中还可以利用交换机的MAC地址过滤功能对局域网的访问提供链路层的安全控制。MAC地址过滤能进一步实现对局域网的安全控制。局域网交换机具有MAC地址过滤功能,通过在交换机上对每个端口进行配置,可以禁止或允许特定MAC地址的源站点或目的站点,从而实现各站点5网络安全设计之间的访问控制。由于每块网卡有唯一的MAC地址,是固定不变的,只允许特定MAC地址的工作站通过特定的端口进行访问,所以对MAC地址的访问控制实际上就是对指定工作站这一物理设备的访问控制,由于MAC地址的不可改变,与对IP地址的过滤相比,具有更高的安全性。访问安全控制从确保网络访问的安全出发,路由器对所有远程拨号访问连接都由Radius设置AAA(AuthenticationAuthorizationAccount,即认证、授权、记帐)级安全控制,防止非法用户的访问。同时,在计费服务器上,也提供Radius认证方式,两者可以配合使用。(也可以只采用计费服务器上的Radius认证)。6网络管理软件网络管理性能是衡量一个网络系统性能高低的重要因素之一。网络管理系统完成设置网络设备、监控网络运行、保障网络安全,查找并隔离网络故障,记录网络中的各种事件以及划分虚拟网络等功能。总之,对所有网络上的信息进行统一管理。网管通常结合硬件和软件的手段来实施,对不同的拓扑结构及不同的物理和逻辑部分进行监控和分析。OSI定义网管系统支持传统五大网管功能:故障管理、配置管理、计费管理、安全管理以及性能管理。这些管理功能由网管系统和网络设备共同完成。网络管理的主要任务应落实在故障管理、配置管理和性能管理这三个方面。6网络管理软件1、配置管理网络节点插板、端口和冗余结构的配置和管理;网络节点访问口令的设置和更改。2、性能管理可以实时连续地收集网络运行的相关数据,可用数字和图形的方式显示网络运行的各种情况以及重要程度,需要时可发布指令到各节点,进行网络控制;可从相关节点收集业务量数据,进行统计、分类、记录归挡。使用这些信息为网络建设提供规划设计依据。3、故障管理能实时监视故障信息,并对其统计分析;可形成节点、中继线及用户端口的告警产生、告警内容和告警清除的统计报告。可实时修改状态图以反映此故障。