1、、尸 、-前言：計算機網絡系統在弱電系統設計中算是比較難的， 設備的選型， 一般都是由 廠家技術人員提供，但是一般的技術方案我們還是要會做的正文：一、需求分析計算機網絡是用通信線路和通信設備， 將分散在不同地點并具有獨立功能的 多個計算機系統互相連接， 按照國際標準的網絡協議進行數據通信。 實現網絡中 的硬件、軟件、數據庫等資源共享的計算機群。項目內的計算機網絡的通信線路就是綜合布線系統，其他智能化系統，如： 一卡通系統、安全防范系統和電話交換機系統等系統均要基于樓內的局域網系統 進行數據交換、傳輸和資源共享， 因此計算機網絡擔負著整個項目數據信息交換 的重任，必需建設一套性能超群、穩定可靠的

2、網絡系統。二、設計原則網絡系統的建設不同于一般的智能化系統的建設， 有自己獨有的特點： 一要 網絡功能強大， 滿足系統日常繁重的數據交換重任； 二要穩定可靠， 不能因為產 品質量等原因影響日常工作； 三要滿足安全要求， 具備抵御各種常見的網絡攻擊、 病毒侵襲等功能，最后網絡系統的管理還要簡便。為了更好的滿足用戶的需求， 在本次網絡系統方案設計中，我們認為應當把握住以下幾個原則：技術上應達到相當的先進性， 性能上應能適應現在日新月異發展的網絡應 用，比如對數據、 多媒體等多元信息傳輸的適應能力等， 從而使網絡平臺在較長 時間內不落后；支持多種集成化服務，如防火墻、 IPSEC VPN 、防御 D

3、DOS、 WEB VPN 、內容交換等多種服務。網絡傳輸應具備高可靠性、 高安全性，具備在出現故障時提供備用或應急措施的能力；支持NSF/SSO (狀態切換)，從而能在路由引擎切換時，維持路由 協議的穩定，并保持第二層至第四層信息轉發的狀態表，不影響VoIP、網絡視頻等對丟包敏感的業務。網絡應具有優異的開放性和升級擴展能力， 易于對外互連， 并提供最佳的 用戶投資保護。如硬件支持IPV6，系統可平滑擴展等能力；支持多種國際/國家 標準協議，便于系統的升級、 擴充，以及與其它系統或廠家的設備的互連、 互通。網絡應易于維護、 易于管理。發生故障時一般網管人員也能進行簡單維護， 并在短時間內恢復。系

4、統主要設備均采用廣泛應用且具有良好性能價格比的產品， 既考慮節省 投資，又保證產品的先進性和可用性。三、設計依據智能建筑設計標準 ( GB/T50314-2000)智能建筑工程建設標準 ( DBJ14-S5-2004)建筑物與建筑群綜合布線系統工程設計規范 ( GB/T50311-2000)建筑物與建筑群綜合布線系統工程驗收規范 (GB/T50312-2000)電子計算機機房設計規范 (GB50174-93)電子計算機場地通用規范 (G8/T2887-2000)四、系統設計1、工程概況項目分住宅部分、 商業部分和百貨部分。 根據綜合布線系統的設計， 以下的 網絡系統設計均以此為基礎；語音設計充

5、分考慮系統容量及今后的擴展。在地下室等手機信號不通暢的地方安裝手機信號放大器。2、具體設計2.1構架設計根據項目綜合布線配線間的分布， 網絡拓撲結構應為星型， 分兩級： 核心層 和接入層，并且應具備以下設備：交換機、路由器和防火墻等。根據綜合布線的 點位設計，共設置 3 個接入層，根據點位數量，設置不同類型的接入層交換機， 核心層要根據點位設置滿足功能要求的核心交換機及路由器。 電話根據前端電話 點位設計，采用程控電話機進行管理。2.2交換機的選擇(1)核心交換機： 核心交換機主要用于管理整個項目的數據點，辦公系統 的數據交換大部分是在這個平臺上完成的， 因此核心交換機必須功能強大、 性能 可

6、靠。2）接入交換機： 接入層是直接與用戶相連的設備，一個高性能的網絡除了核心、匯聚設備性能要求強勁之外，最重要的一環是數量最大的接入交換機。 接入交換機不僅要求保證線速的交換， 同時要提供良好的用戶認證、 管理和安全 控制等功能，保證網絡管理策略的一致性。2.3路由及防火墻設計建議使用路由和交換一體化機，支持 8到 24個不等的交換以太網接口，多 個 100/1000M 以太網交換端口，產品的交換端口均支持 VLAN 的劃分，可以滿 足大多數中小企業的組網及不同業務隔離的要求。 用戶只需一臺交換路由器， 無 需購買交換機設備，便可實現 Internet 的接入，節約用戶網絡建設的費用、增強 用

7、戶應用的方便性。 具有 100/1000M 以太網 WAN 接口，可實現單出口線路的通 信。防火墻通常位于企業網絡的邊緣，使得內部網絡與 Internet 之間或者與其他 外部網絡互相隔離， 并限制網絡互訪從而保護企業內部網絡。 設置防火墻目的都 是為了在內部網與外部網之間設立唯一的通道，簡化網絡的安全管理。整個外網建設的核心是防火墻， 通過防火墻完成三個區域的交匯。 它連接的 三個區域分別是：外部區域，即 Internet 區域，我們將會通過防火墻的 100/1000M 端口實現到 INTERNET 的連接，這個區域是相對不安全的，不可信的區域；內網區域，即我們通常所說的正常的局域網區域，是

8、內部的可控的區域。這 個區域是相對安全的、可信賴的；DMZ 區域（非軍事區域） ，用來放置行政大樓需要向 Internet 提供信息服務 的主機，我們之所以把它獨立出來，而不是放置在內網，是為了防止類似“特洛 伊牧馬” 之類的病毒將之做為跳板， 攻擊內網的其它服務器。 它的安全性和可信 賴的程度介于內網區域和外網區域之間。這樣，通過防火墻可操作的區域的分割， 我們就基本上實現了內外網絡的物 理的隔離， 與此同時，配合防火墻的訪問控制策略的定制和實施， 我們將可以滿 足甲方的關于訪問限制方面的嚴格需求。2.4網絡安全設計從體系結構來看，安全體系應該是一個多層次、多方面的結構。通過分析， 我們將項

9、目的網絡安全性在體系結構上分為四個級別： 網絡級安全、應用級安全、 系統級安全和企業級安全。A）網絡級安全管理 的主要內容包括：1對網絡設備，如交換機的安全管理，保證網絡的正常運行。2提供鏈路層加密，保證數據在廣域網上傳輸的安全性；3配置防火墻，保證內部網的邊界安全。4.劃分虛擬局域網（ VLAN ）：在本次網絡建設中，我們在三次交換機上進行 了 VLAN 劃分，因此我們應該控制各 VLAN 之間的相互訪問，實事上，絕大部 分的 VLAN 之間并沒有訪問的需求。那么我們如何實現跨越不同 VLAN 之間的 限制訪問呢？答案就是基于 VLAN 的訪問控制列表。訪問控制列表是實現訪問控制策略的一項重

10、要的手段，它可以針對 IP 數據 包的源地址，目的地址，源端口，目的端口進行控制，人為的允許和禁止此類數 據包的轉發。 其中，源地址和目的地址可以是一段地址， 也可以是某個獨立的地 址。這樣，在我們完成 IP 地址規劃后，某一個 VLAN 內的 IP 地址非常整齊，我 們可以針對該段 VLAN 進行訪問控制的設定，對于沒有訪問需求的數據流通過 訪問控制列表禁止，從而提升網絡的安全性和可管理性。另外，對于部分 VLAN 內，存在這樣的情況：部分主機可以允許跨 VLAN 主機的訪問，而該 VLAN 內其它主機則禁止跨 VLAN 主機的訪問。對于這種問 題，我們仍然通過訪問控制列表的方式來實現。我們

11、知道，訪問控制列表可以基于一個網段，也可以基于某個具體的 IP 地 址，對于此類情況，我們只需要添加部分基于某些 IP 地址的訪問控制列表語句， 就可以輕松的實現上述功能。B）應用級安全主要目的是在應用層保證各種應用系統（0A系統及其他業務 系統）的信息訪問合法性， 確保合法用戶根據授權合法的訪問數據。 應用層在 ISO 的體系層次中處于較高的層次， 因而其安全防護也是較高級的。 應用層的安全防 護是面向用戶和應用程序的。 應用層采用身份認證和授權管理系統作為安全防護 手段，實現高級的安全防護。C）系統級的安全主要是從操作系統的角度考慮系統安全措施，防止不法分子利用操作系統的一些 BUG、后門

12、取得對系統的非法操作權限。系統級安全管 理的主要內容包括：1. 配置操作系統，使其達到盡可能高的安全級別；2. 及時檢測、發現操作系統存在的安全漏洞；3. 對發現的操作系統安全漏洞做出及時、正確的處理。D) 企業級安全 主要包括以下兩個方面的內容：1. 內部安全管理。因為從統計數字來看， 70%以上的網絡攻擊行為是來自 企業內部的。2. 計算機病毒防范。 歷年來，全世界各地因為病毒入侵所造成的損失均怵目驚心、數不勝數。 尤其現在病毒通過網絡廣泛傳播， 影響面極大，造 成危害也極大，其對系統和數據的破壞性是原來單機系統時所不能比擬 的。另一方面，現在有很多黑客程序，如Back Orifice、 NETSPY 等，在傳播其 "探測器"程序時采取的都是類似病毒的機制。五、系統功能隨著現代計算機應用的高速發展， 特別是諸如圖形、 音頻、視頻等多媒體信 息和技術在管理信息系統、 科研設計等領域的廣泛應用， 為網絡平臺的建設提出 了更高的要求。本方案可以實現以下目標及功能：a) 建立寬帶網絡