2.3、设计目标
本次项目设计目标:为桂林理工大学建设一个至少能满足各种信息应用系统(包括图书馆信息系统)所需的、具有良好扩充能力和标准化水平的基础网络设施。详细的设计目标如下:
●总体网络功能
建设一个可靠、稳定、具有可伸缩性和扩展性的千兆主干网络,能满足日益增加的网络应用需求和不断增加的信息用户;
●Internet 接入
提供稳定、可管理可控制的上网环境; ●网络安全
本项目需求更强调的是全网范围的安全性,包括:物理安全、网络边界安全、行为管理、设备安全、应用安全等;
●服务器及存储建设
建设内网图书馆信息系统服务器,并提供大容量存储; ●视频监控系统
在图书馆内安装视频监控系统,通过网络加强图书馆管理工作; ●门禁系统及RFID应用
在图书馆内安装门禁系统及RFID应用,在减轻图书馆管理工作强度上提供更便利、高效的服务;
●网络传输性能和 QOS
为保障端到端的数据传输服务质量,满足关键性任务的传输要求,可采用 QOS 技术实现关键任务的排队、延时、丢包及抖动等详细的网络性能参数;
●网络扩展性(可伸缩性)
网络可伸缩性主要体现在对网络规模扩大和应用部署的支持方面,如接入访问机构增加、应用类型变化等;
●高性价比和投资保护
在顾及系统先进性的同时要充分考虑到性能和系统造价以及技术发展趋势和设备投资保护的问题;
2.4、设计原则
●稳定性和可靠性
网络中单点故障不会使局部网络失去与整个网络的连接,多点故障不会造成整个网络被分成几个互不相连的部分。
一个多业务的网络系统,将承载非常多的业务。如果网络瘫痪将是非常可怕的严重问题,所以说稳定性代表着网络必须能够提供全天候24小时不间断服务和不影响整个网络服务的前提下进行安全维护和故障修复。传输网络系统作为整个应用系统的基础,其可靠性和稳定性直接关系到业务应用的好坏。网络系统的故障可能直接给业务应用带来灾难性的损失。网络系统的可靠性主要是要防止在网络上出现因某一点出现故障,而导致全网瘫痪,如某个设备或某条线路出现故障而对整个网络系统产生影响,即避免单点故障。我们一向十分注重网络设备的稳定性。核心层设备的可靠性必须保证最高级别,应具有完整的容错结构。
●标准化和易扩展性
网络的结构,技术和产品的标准化,结构的易扩展,技术和产品的可连续性。 为了保证网络系统的有效性和实用性,同时又保证该网络系统在一定时期内不落后,我们在网络系统设计时,并不是一味追求高配置、高速率,而是在保证网络系统的先进性的同时,充分利用用户现有资源,选择具有良好扩展性和升级能力的网络设备,设计出具有良好扩展性的网络拓扑,以保证整个网络系统的可扩展性及升级能力。这具体表现在以下几个方面:
1、选用了具有良好开放性的网络协议和平台,易于扩充、升级; 2、用户端网络操作系统选用适合于多种媒体访问技术和多种高层协议的系统;在网络应用扩展时可以在原设计基础上无缝升级。
●实用性
根据现在的需求和可以预见的需求增长情况设计网络系统,不追求空洞的技术先进性,避免追求高档和最新技术花费的巨大代价。
网络系统的构造提供了信息传输的载体,它的目的是使应用系统上的数据可靠、有效地在各客户机及服务器之间传输,也就是说,应根据应用系统的需要来决定网络的架构。因此,构造网络时决不仅仅是构造一个通道,而是从满足应用系统的需要为出发点,通过应用系统的功能分布(包括声音、图形、图象等多媒
体)来决定网络上的数据流量、数据流和路由选择。建立统一的建网模式,保证在具体连网时可根据实际情况灵活组网。
●安全性和保密性
在本网络系统中,由于网络分布广、节点多,因此必须防止网络不受未授权用户的侵扰,或防止内部用户无意识地对网络的侵害。具体而言,必须防止如下情况:
1、对一些机要数据,机要文件的窃取;
2、外部(公网)的非法访问; 3、黑客攻击;
4、对数据的非授权修改、增删;
5、对网络系统的蓄意破坏;病毒的干扰;
6、对网络环境的意外或灾难性破坏,如掉电、火灾等。
因此,在设计本网络系统中,可以从几个方面保证网络系统的安全性和保密性:
1、防火墙技术:防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它可通过监测、限制、更改通过防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。防火墙的主要安全功能包括:
(1)、网络访问控制 (2)、网络访问安全审计 (3)、内容安全扫描
2、防病毒技术:从防病毒产品对计算机病毒的作用来讲,防病毒技术可直观地分为病毒预防技术、病毒检测技术及病毒清除技术。防病毒产品的主要实现技术途径为:
(1)、客户端防病毒技术 (2)、服务器防病毒技术 (3)、病毒网关技术
3、安全监控技术:安全监控技术是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开
网络连接等。实时入侵检测能力能够阻止来自外部网络黑客的入侵,和对付来自内部网络的攻击。入侵检测系统可分为两类:
(1)、基于主机 (2)、基于网络
基于主机的入侵检测系统用于保护关键应用服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视,如 Web 服务器应用。 基于网络的入侵检测系统用于实时监控网络关键路径的信息。
对网络环境的严格管理和维护、定期检查、测试关键的网络设备、通信线路以及供电等配套设施和环境。
●其它
网络系统的物理结构、逻辑结构和地址空间的层次化和模块化,利于网络的构建和扩展;
适应多业务发展需求,提供高质量的可服务于图象,话音,数据的业务网; 网络系统应具有很好的收敛性和可扩展性,同时其网络额外开销是极小的,且受到国际标准的支持,保证不同设备见的互通性;
全网可进行统一或分布管理,网络维护简单有效。
大学图书馆的网络设计是基于一个模块化、层次化的设计思想,这也是对网络进行高效管理的首选方法。
●模块化设计
所谓模块化就是将整个网络按功能和安全需求分为若干个组件,这些组件之间有一定的安全边界,组件内部具有完整的网络设计。模块化设计的好处在于:
1.解决各网络之间的冲突问题; 2.简化安装和后台设备管理; 3.易于故障检测和分离问题;
4.易于执行不同类型的服务和安全方针; 5.易于扩展和替代原来的技术。 一个典型的模块化设计如下图所示:
大学图书馆的网络设计可以借鉴这种思想,对各种不同种类,不同安全等级的业务进行模块划分,并且相互之间的访问将受到控制。当然,在实际情况中并不一定要求严格按照上诉模块划分,而是根据实际情况灵活运用,做适当的裁剪与调整。
●层次化设计 层次化网络设计模型
对于大型网络,可以采用业界通用3层模型“核心层-汇聚层-接入层”层次化网络设计模型。
核心层
核心层的主要提供不同网络模块之间优化传输服务,将分组尽可能快地从一个网络传到另一个网络,通常要保证核心层具有很高的可靠性、最佳的网络性