2.3.1.5 安全管理体制
安全系统只能提供技术手段和措施,但人为的因素不可忽略,只有确立健全的安全管理体制,设立相应的安全管理岗位,从制度上加以严格管理。
2.3.2 内网安全:
运用多种技术,如VLAN、防病毒体系等,对各个部门、系所访问进行控制,各单位之间在未授权的情况下不能互相访问,保证系统内部的安全。内网对安全的需求包括VLAN设置需求、防病毒系统需求、网络管理需求和网络系统管理等。
2.3.2.1 VLAN设置需求
企业网络内部的环境比较复杂,而且各子网的分布区域广,网络用户多,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,必须要对它进行详尽的设计,尽可能防护到网络的每一节点。
2.3.2.2 防病毒系统需求
针对防病毒危害性极大并且传播极为迅速,必须配备从单机到服务器的整套防病毒软件,实现全网的病毒安全防护。
2.3.2.3 网络管理需求
此次建设的企业网络系统是一个相当复杂的计算机网络,包含多种设备和技术。随着系统复杂度的增加,会给系统管理带来成指数增加的管理工作量。为此必须要设计一套健全的管理系统。针对系统的功能采取相应的管理措施。
2.3.2.4 网络系统管理
系统中包含大量的网络设备,必须为其配置功能强大的管理系统,该系统应具有以下功能:
(1)虚拟网管理、分配;
(2)对所有网络设备端口的监视和管理; (3)对网络流量的监测和管理;
(4)对所有网络设备的远程管理和控制,包括网络端口设备的开放和关闭;
7
(5)整个网络的故障监测,故障自动报警功能; (6)整个网络性能的统计和分析报告。
8
3. 组建局域网的设计目标和原则
3.1 核心交换机的高数据处理性能
核心交换机满足网络中心海量数据交换的要求,连接中心的通讯链路带宽满足应用的性能要求。
在Intranet网络应用环境中心,WWW服务器,FTP服务器,E-Mail服务器,DHCP服务器,支撑着整个企业的应用服务。各部门用户客户端软件,透过网络访问中心服务器,请求应用,查询数据库。网络的负载流量主要是从边缘设备到核心的数据交换,随着业务的发展,网络规模的扩展,以及应用的信息交换量增加,使得网络通常会在核心发生通讯瓶颈现象,改善局域网的网络数据交换性能,往往是首先扩充核心交换机的交换性能,增加边缘设备到核心的数据通讯带宽,以减轻整个网络的瓶颈,使得应用软件的性能和效率得到提高。因此在设计局域网的原则上,首先应该考虑满足网络规模所要求的核心设备数据交换处理能力,以及边缘设备到核心的链路带宽。
3.2 核心交换机的高可靠性
核心交换机关键部件可以实现冗余工作,可以在线更换(热插拔),故障的恢复时间在秒级间隔内完。通过H3C专有的VRRP技术可以配置双核心交换,在发生故障时自动切换到备用交换机,确保数据不发生丢包。
随着信息化社会的飞速发展,普遍采用了Intranet应用模式,实现管理和生产自动化,提高管理效率,管理水平。支持单位应用的基础设施是网络。它直接影响到办公应用环境,交易、生产、开发、设计等业务环境,财务管理,部品管理等环境,信息检索、数据库查询、Internet浏览等支持正常运行的必要服务设施功能。网络的可靠性要求是保障应用环境正常运行的首要条件,网络要求可靠性的同时,要求网络具有高可用性。网络设备的选择,尤其是核心机箱式设备,应该可以配置冗余部件,关键部件不存在单一故障点,也就是说,像交换机的电源、风扇、交换引擎、管理模块这些部件可以冗余备份,其中之一任何部件的损坏,不会影响设备的正常运行,不会影响网络的连通。提供网络设备的可靠性,容错性的另一个要求是设备损坏部件更换时,不需要停机,更换部件后不需要重新启动,也就是说部件的更换可以进行在线操作,这样可以使停机的时间降低到最小。在设计局域网的原则上提高网络的高可靠性、高可用性原则是至关重要的,不仅要求设备的部件冗余,同时要求网络的链路冗余,
9
以保证网络可以在任何时间、任何地点提供信息访问服务。
3.3 核心交换机的灵活扩充性
核心交换机应该具备灵活的端口扩充能力,模块扩充能力,满足网络规模的扩充。同时提高性能,满足更高性能的要求。
在设计局域网的方案上,首先是满足现有规模的网络用户的需求,同时考虑到业务发展、规模的扩大,应该设计网络具有用户端口的扩充能力。核心设备是整个网络的枢纽,用户端口数的扩充,需要增加配线间边缘工作组的设备,增加边缘设备的同时,要求连接核心骨干设备的端口数相应增加,因此核心设备应该可以通过增加模块来灵活地增加端口数。核心设备的机箱设计应该具备强大的背板带宽,足够多的负载插槽容量。对于交换机来说,核心交换引擎应该可以满足最大配置下,无阻塞的进行端口数据包交换,模块的扩充不影响交换性能。采用分布式交换结构是实现这一原则的最佳方案,分布式交换机结构实现了交换机的并行数据交换处理,优化了网络的性能,本地交换和全局交换相结合的分布式结构减少了交换引擎的压力。因此在设计大规模网络的原则上普遍采用分布式交换机实现灵活的模块、端口扩充能力。
3.4 网络的安全性
可以有效的控制网络的访问,灵活的实施网络的安全控制策略。
网络的安全性对局域网的设计是非常重要的,合理的网络安全控制,可以使应用环境中的资源得到有效的保护。在网络中,关键应用服务器、核心网络设备,只有系统管理人员才有操作、控制的权力。应用客户端只有应用访问的权限,网络应该能够阻止黑客的任何非法操作。在网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模网络的设计上,划分虚拟子网,一方面可以有效的隔离子网内的大量广播,另一方面隔离网络子网间的通讯,控制了资源的访问权限,提高了网络的安全性。在设计局域网的原则上必须强调网络安全控制能力,使网络可以任意连接,又可以从第二层、第三层控制网络的访问。
3.5 网络的可管理性
网络中的任何设备均可以通过网络管理平台进行控制,网络的设备状态,故障报警等都可以通过网管平台进行监控,通过网络管理平台简化管理工作,提高网络管理的效率。
在设计局域网时,选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置,网络拓扑结构表示,网络设备的状态的显示,网络设备的故障事件报警,网络流量统计分析以及计费等等。网管软件的应用可以提高网络管理的效率,
10
减轻网络管理人员的负担。网络管理的目标是实现零管理,基于策略的管理方式,网络管理是通过制定统一的策略,由管理策略服务器进行全局控制的。基于Web的网管界面,是网管软件的发展趋势,灵活的操作方式简化了管理人员的工作。在设计局域网的设备选择上,要求网络设备支持标准的网络管理协议SNMP,同时支持RMON/RMONII协议,核心设备要求支持RAP(远程分析端口)协议,实施充分的网络管理功能。在设计局域网的原则上应该要求设备的可管理性,同时先进的网管软件可以支持网络维护、监控、配置等功能。
网络设备采用开放技术、支持标准协议:采用标准的协议保护用户的投资,提高设备的互操作性。
局域网的设备要求具有可互操作性,设备的技术采用开放技术,协议标准,支持跨平台之间的相互连接与通讯。在设计网络的原则上,发挥不同厂商产品的专用先进技术同时,必须强调考察设备的技术、协议的标准性。
11