被允许,并监视网络运行状态。
1.5.3网络安全面临的威胁
(1)系统的漏洞
(2)黑客攻击:A﹑拒接服务访问;B﹑口令破解;C﹑电子邮件炸弹;D﹑Web攻击。 (3)病毒入侵:络已成为病毒传播的主要途径,病毒通过网络入侵,具有更高的传播速度和更大的传播范围,其破坏性也不言而喻,有些恶性的病毒会造成系统瘫痪﹑数据破坏,严重地危害到网络安全。
(4)网络配置管理不当:网络配置管理不当会造成非法授权访问。网络管理员在配置网络时,往往因为用户权限设置过大﹑开放不必要的服务端口,或者一般用户因为疏忽,丢失帐号和口令,从而造成非授权访问,给网络造成危害,有时候甚至是致命的。
(5)网络安全设计功能要求:
在网络络中,由于服务器与Internet相连,要求设置防火墙,入侵检测,病毒防范等一系列安全防范手段,其产品应是获得国家保密局、国家公安部、国家信息安全测评认证中心等相关单位认可的产品,并应以国产安全产品为主,要求有相关的成功应用案例。
1.6 网络扩展性分析
网络的升级扩展包括以下方面: (1)接入能力扩展:
接入能力是指交换机接入用户数的能力。这种扩展要求通常出现在网络边缘,由于用户数目的增加,现有交换机端口数目不够,需要进行端口数目的扩展
(2)处理能力扩展 :
处理能力是指交换机的数据转发能力,一般是指三层转发能力。这种要求通常出现在网络的汇聚层或核心层。随着用户业务的发展,业务数据流较大时,或对业务数据流有较多的QOS或安全策略时,交换机的转发能力不足就会影响业务。
(3)带宽扩展:
带宽扩展通常出现在不同的网络层次间,如接入层和汇聚层,汇聚层和核心层。由于桌面接入的主流都已经是100MB,而100MB交换机的上联端口通常为1000MB,在满负荷情况下,也才能满足10个端口的线速上联,而现在交换机动辄24口,48口,因此在某些情况下,需要进行上联带宽的扩展。
(4)平滑扩展:
随着用户对网络的依赖性越来越强,网络的中断可能会给用户带来巨大的损失。即使是要进行网络的扩展升级,用户也希望不要对现存的网络有影响。这就要求网络的扩展具有平滑不中断的特性。同时,在网络扩展中,能够保护原有设备的投资,不造成投资浪费。
3
第二章 网络设计方案
2.1 网络的设计要求
网络总体设计方案的科学性,应该体现在能否满足以下基本要求方面:①整体规划安排;②先进性、开放性和标准化相结合;③结构合理,便于维护;④高效实用;⑤支持宽带多媒体业务;⑥能够实现快速信息交流、协同工作和形象展示。
2.2 网络的设计原则
先进性:系统设计应采用国际上先进且成熟的技术,并能适应目前及今后潜在的局域网络互联的技术要求。
可扩展性:要充分考虑到今后网络的发展,在网络、服务器以及软件系统的设计上保证系统性能能够平滑升级,保护现有投资。即应满足广域网连接端口与局域网连接端口的可扩展性,软件系统功能模块的可扩充性。
可靠性:为保证信息能够及时可靠地发布,信息中心的系统应能保障不间断运行,在系统设计上应考虑关键部件采用冗余设计和容错技术,通讯子网间应留有备用信道。
开放性:网络信息中心所采用的技术遵循国际标准,不仅要和现有的设备能够完全互连互通,而且能与未来网络技术发展相适应,因此网络系统须采用及支持局域网、广域网、路由等国际标准协议。系统平台应采用最流行的操作系统,数据库需支持SQL并支持各种标准的数据交换;整个系统应符合当前多种技术发展的趋势和规范,保证系统平滑扩展。系统应支持多种介质连接,支持多种网络规程和网络协议:中心能保障不同速率网络的无缝连接。
易管理性:为保障信息中心的正常运行,网络必须易于管理,易于操作使用和开发,网管软件应支持网络的拓扑视图、网段与端口监控;网络流量及错误统计,并具有计费管理功能;网络故障的定位、诊断、修复和自动隔离。
安全性:网络应在具有开放性的同时,保证其安全性。要制定合适的安全策略,建立有效的网络安全制度:对网络运行性能和资源访问控制进行实时有效的监控和日志纪录;保证通信传递的安全性,采用可靠的网络通信设备。
2.3 网络拓扑结构的设计
2.3.1 网络拓扑结构总述
从各方面考虑,选择了星形拓扑做为新疆华洋建筑安装工程有限公司的拓扑结构。 星形拓扑是由中央节点和通过点到通信链路接到中央节点的各个站点组成。
4
图2-1 星型网络示意图 图 2-2 星型网络实物图
网络拓扑结构的选择往往和传输介质的选择、介质访问控制方法的确 定等紧密相关。选择拓扑结构时,应该考虑的主要因素有以下几点:
1、费用。不论选用什么样的拓扑结构都需进行安装,如电缆布线等。 要降低安装费用,就需要对拓扑结构、传输介质、传输距离等相关因素进 行分析,选择合理的方案。
2、灵活性。在设计网络时,考虑到设备和用户需求的变迁,拓扑结构 必须具有一定的灵活性,能被容易地重新配置。此外,还要考虑原有站点 的删除、新站点的加入等问题。
3、可靠性。在LAN中有两类故障:一类是网络中个别结点损坏,这只影 响局部;另一类是网络本身无法运行。拓扑结构的选择要使故障的检测和 隔离较为方便。
网络可采用以太网的结构,物理上由服务器,路由器,工作站,操作终端通过集线器形成星型结构共同构成局域网。星型拓扑由中央节点和通过点对点链路接到中央节点的各分节点组成,中央节点执行集中式通信控制策略,减轻各分节点之间的处理负担。星型网络与其他几种结构相比,具有如下优点:
(1)中央节点、集线器集中一处,方便提供服务和网络重新配置;
(2)网络中连接点往往容易产生故障,在星型拓扑中,单点失败只影响一个设备,不会导致全网崩溃;
(3)由于每个分节点直接到达中央节点,容易检测和隔离故障,可方便地将故障点从系统中删除;
(4)星型网中任何连接只涉及中央节点和分节点,因此控制介质访问的方法很简单。 星型拓扑结构广泛应用于网络管理集中于中央节点的场合,由于分布式计算环境的流行,以集线器/交换机为中心的星型拓扑结构被大量采用。
根据公司的具体情况,建议整个网络系统采用星型拓扑结构,采用光纤和5类双绞线连接加上百兆交换机,实现真正的百兆连接(到桌面)。其中服务器和交换机放置在专用计算机房,并配置网络ups。这种网络结构的优势在于非常灵活,网络中任何一台机器出现故障,对网络整体都不会构成很大影响。另外由于财务系统的封闭性,可以在网络中建立分支结构,既便于财务人员从主干获取信息,也保证财务信息的安全。
5
2.3.2 网络拓扑图
图2-3新疆华洋建筑安装工程有限公司网络拓扑结构图
2.4 网络设备的选择
组建计算机网络,特别是LAN范畴的网络, 正确选择网络设备是重要的任务之一。这里所谈的网络设备的选择有两种含义:一种是从应用需要出发所进行的选择;另一种是从众多厂商的产品中选择性能/价比高的产品。在LAN环境下, 通常涉及的网络设备有下述一些:用于连接到LAN的网卡;构成LAN的集线器;用于进行LAN互连的网桥和路由器;服务器;工作站;磁盘控制器;网络打印机;网络拓扑结构;电缆类型等。服务器、工作站、硬盘驱动器、磁盘控制器等都不应归类到网络设备。但在组建网络时这些设备都不可少,所以在这里也要介绍一些网络环境下对这些设备的要求。
网络硬件设备中还包括服务器、PC机、大容量存储设备和投影仪、电视墙、摄像机等。在建设网络的过程中应根据企业具体情况,选择不同性能与价格的硬件设备,既能满足企业各方面的要求,又符合公司的经济状况。
2.4.1链路选择
1.楼内局域网连接技术
楼内局域网采用快速交换式以太网,通过超5类双绞线按照星状拓扑结构进行连接。保证了用
6
户的100M交换到桌面的要求。
2.广域网技术
本方案设计的网络给出一路到INTERNET。
2.4.2 网络设备选型
计算机与计算机或工作站与服务器连接时,除了通信线路外,还需要一些中介设备,它们包括:传输介质连接设备、网络适配器、集线器设备、交换机设备、Internet接入设备、路由器等。
根据知名品牌主流网络产品性能、功能和技术,结合网络应用实际情况和发展趋势,网络方案中的交换机设备和网络平台选用以下系列产品。
1、常用的传输介质连接设备有以下一些:T型连接器、RJ-45非屏蔽双绞线连接器、DB-25(RS-232)接口、DB-15接口、V35同步接口、光纤、交换机等;网络适配器也称网络接口卡,它作为一种I/O接口卡插入在主机板和数据总线的扩展槽上,网络适配器是网络通信的主要瓶颈之一,它的质量好坏将直接影响网络功能和网上运行应用软件的效果;集线器作为网络传输介质间的中央节点,克服了介质单一道路的缺陷。
(1)交换机
作为接入层交换机,它直接与用户进行连接,可能遭受到各种各样的网络攻击,因此,对网络安全性要求很高,另一方面必须提供灵活的用户管理手段,我们认为,作为接入交换机,应该满足以下几点需求:
①高密度的堆叠
由于办公区信息点集中,用户数量大,要求较多的端口数,因此交换机应该至少能够提供8台以上的堆叠,既能满足接入需求,和级联相比效率又比较高。
②强大的ACL功能
由于直接连接用户,因此可能遭受到的攻击也比较多,交换机应该支持丰富的ACL设置,例如基于IP的ACL、基于MAC的ACL或是基于IP-MAC的ACL,以便有效抵御恶意攻击和防止病毒泛滥。
基于以上考虑,在本方案中,选择使用港湾公司μHammer24E作为接入交换机。 港湾μHammer24E特性:
μHammer24E是港湾网络新开发的增强型千兆以太网交换机,可广泛应用于智能小区的楼宇、小区中心以及运营商驻地网,也可作为企业工作组级交换机。
μHammer24E基于高性能的ASIC,具有12.8G无阻塞交换结构,保证所有端口可线速工作在全双工状态。μHammer24E采用灵活的模块化结构设计,除提供24个固定的10/100BaseTx接口外,还提供两个扩展槽可以用来连接高速主干链路。开放式扩展槽可以配置不同的模块,包括1百兆光模块(单模/多模)或1端口千兆光模块(单模/多模),用户可根据实际需要灵活选配。
μHammer24E交换机采用港湾网络拥有自主知识产权的HammerOS网络操作系统,在保证系统的高性能和稳定性的同时,还提供了强大的系统控制功能。用户可以进行完善的安全策略制定和
7