經典word整理文檔，僅參考，雙擊此處可刪除頁眉頁腳。本資料屬于網絡整理，如有侵權，請聯系刪除，謝謝！系統需求項目的弱電系統總體設計要求是“理念先進、技術一流、經濟實用和今后良好的擴展計算機網絡系統將為建筑內信息系統提供穩定、可靠、安全的信息流通環境。網絡系統是xxxxx工程中的重要系統，它將作為多種應用系統的系統溝通平臺，包括管理系統，業務系統等，因此網絡系統應定位于提供高性能，高可靠的系統設計。設計原則可靠性xxxxx系統也具有高度的可靠性。高性能網絡中可能存在復雜多元的應用系統，如多媒體應用，辦公自動化，專業應用等，對網絡的負載能力要較高要求。可擴展性和可升級性目前xxxxx工程處于一期建設中，將來還將建設二級工程，網絡系統將逐步擴大，同時隨著應用系統的逐步完善，網絡系統也將進行相應的擴展和升級，因此網絡應具有良好的可升級擴展性。易管理、易維護xxxxx高，因此網絡系統需具有良好的可管理性，降低維護成本，放患于未然，保障業務系統的正常運行。安全性xxxxx工程計算機網絡系統技術方案根據xxxxx工程業主的特殊定位，網絡要求有極高的安全性要求。總體設計3.1主干技術選型選擇合理的網絡主干技術對一個大型網絡來說十分重要，它關系到網絡的服務品質和可持續發展的特性。網絡主干包括主干網設備之間及其與匯聚點核心設備之間的連接。對于xxxxx工程，我們選擇采用千兆以太網GE技術、相對于其他寬帶主干技術，它和以太網，快速以太網有更好的兼容性，在園區網規模或中小型城域網中具有最高的性能價格比。3.2局域網結構網絡結構分為三層，即核心、分布和接入層。核心層提供網絡的核心路由交換功能，分布層負責將接入層設備匯聚進入核心層，接入層提供提供終端用戶的接入網絡。每個層次的網絡專注于其功能要求，使網絡設計模塊化，便于管理和擴展。對于xxxxx工程，相對于園區網，網絡分布在較大范圍內，包括信息中心/辦公區，科研辦公區，對外接待區，服務中心，生活設施區，輔助用房，休閑中心及將來得二期建筑。根據布線結構，科研辦公區為一點數較大的單體建筑，將再設立兩級配線間，簡化了線纜結構，相應網絡結構為二層結構和三層結構相結合的方式，即對于科研辦公區，通過核心交換機，分布層交換機，接入交換機三級結構，而對于其他分配線間則通過核心交換機，接入交換機的二級結構(見后圖)。根據xxxxx工程需求，網絡中包含內網和外網，通常內網中運行業務系統，辦公自動化系統及專網應用等，外網運行互聯網應用。業務系統具有較高的可靠性要求，因此網絡結構上，內網網絡主干需要更高的可靠性，內網網絡核心采用了兩臺骨干交換機，分別和分布層交換機通過千兆光纖連接，從而形成了一個全網無單點故障的骨干網絡。而外網出第頁計算機網絡系統技術方案于應用需求和成本的考慮，可采用單骨干交換機的架構，如下圖：和CableModem需要專用接入設備，成本太高。而寬帶城域網是通過光纖由ISP處引入，通過轉換器轉為以太網口接入用戶設備，該種接入方式的接入帶寬可由運營商端進行準確而靈活的限速，符合了xxxxx工程隨著應用的發展逐步增加互聯網接入帶寬的需求，在接入設備上也無需專用廣域網接入設備，可通過防火墻直接接入即可。專網連接用于和相關單位或企業的網絡連接，即Extranet。根據我方的工程經驗和對DDN/FR(幀中繼)/ATM及構建在公網上的VPN方式價格較高；遠程撥號連接由于速率較低，通常作為備份方式；而VPN通過公網傳輸，存在一定的風險性。因此綜合考慮，如租用運營商線路，出于安全性的考慮，可采用通過DDN/FR電信專線的方式，或直接通過自建的內部城域光纜網連接。由于連接了公網和外部專網，安全性是必須考慮的，為此需配置防火墻設備，防火墻計算機網絡系統技術方案如網絡存在一些提供外部訪問的應用，如專網業務應用等，這些網段的安全性級別高于外網，但低于內網，我們可將這些網段通過防火墻的第三個或第四個等網口接入，該區域被稱為DMZ區介于內外網之間，可作為緩沖地帶，DMZ區的安全問題不會直接威脅到內網。廣域網連接示意圖如下：網絡中的所有網絡資源，如交換機的設備工作狀態、網絡性能、通訊延時等應均可通過直觀的人機介面進行監控、管理。使網絡管理員不但可以改正出現的問題，還可以發現潛在問題。因此我們認為網管系統的主要功能應包括拓撲管理，故障管理，配置管理和性xxxxx工程計算機網絡系統技術方案能管理等功能。3.5信息安全管理根據xxxxx工程的安全定位，信息安全管理是xxxxx工程中一個較重要的網絡應用，它工程，安全管理可以從以下幾方面考慮：網絡設備自身的安全性提供對網絡設備配置訪問的安全性，應采用嚴格的用戶認證訪問，安全的Telnet和SNMP機制等措施，保證網絡設備被安全訪問。網絡交換設備的安全策略根據應用系統，用戶終端的分類和安全需求，通過劃分虛網，設置訪問控制權限，以及限制路由等策略，提供底層數據訪問的安全性。專用安全設備和系統1)防火墻防護主要提供不同網段間的訪問控制，應用控制，實時防攻擊等能力，防火墻采用狀態檢測技術，可動態判斷流經數據包的合法性，大大提高了訪問安全性。2)入侵檢測作為一種被動式安全防范，安全威脅可以來自內部和外部，防火墻只能控制其他為此采用入侵檢測探測系統，實時監測重要網段，重要服務器的訪問數據，一旦發現非法訪問和攻擊行為即發出警報，從而最快速度的發現出現的安全問題。3)身份認證等技術對于遠程撥號或重要網段接入用戶，常要求通過身份認證賦予接入權限，為此需提供專用的身份認證服務器，提供基于Radius，TACAS+等一系列動態認證服務。4)防病毒軟件和數據備份對于應用級的數據安全，可配置防病毒軟件。為提供其易用性，可采用Server第頁計算機網絡系統技術方案充分考慮了xxxxx項目的建筑結構，現狀和發展前景，結合我公司豐富的工程經驗，我們認為其網絡系統的設計應本著高標準，高性能，整體規劃，逐步實施的原則進行，網絡系統即能滿足相當長時間內的用戶需求，又可在將來根據應用系統的發展和網絡規模的發展，輕松地進行可靠性，性能，容量等多方面的擴展和升級，從而為用戶提供性能價格比最佳，具有良好擴展能力的網絡解決方案。高可靠性核心交換機，通過雙千兆鏈路連接接入層交換機，內網通過路由器和電信運營商的專線連接業務專網，并通過防火墻對網絡進行安全隔離和防護。內網還通過配置入侵檢測探測器提供對重要數據網段，如辦公自動化，業務用數據區提供特殊的安全監控。外網部分，配置單臺核心交換機，通過千兆鏈路連接接入層交換機，并通過防火墻接入互聯網，網絡拓撲結構如下圖：計算機網絡系統技術方案核心交換機擔負著全網的數據交換，其性能很大程度決定了整體網絡的性能，根據xxxxx工程的實際情況，我們認為核心交換機主要應具備以下特點：可靠性核心交換機提供了全網數據的交換，其可靠性決定了整體網絡的穩定和可靠。其可靠性應體現在多方面，包括：核心交換機應具備關鍵部件的冗余，包括電源、風扇、管理模塊等，放置部件的偶然性故障導致的核心交換機，乃至全網故障；模塊應具備熱拔插特性，保證故障處理時網絡服務的延續性；背板采用無源背板設計，進一步加強系統可靠性。2)鏈路層特性xxxxx工程計算機網絡系統技術方案根據xxxxx30300020端口密度，可滿足接入大量分配線間的需求，而網絡系統是這樣一個高密度，大規模的網絡，網絡中存在豐富的多元化的應用系統，這些均要求核心交換機具有較高的交換性能，其指標體現在背板容量、包轉發率等數據上。豐富的網絡特性為提供網絡中多種應用支持，如對時延敏感的音視頻應用，對數據可靠性要求較高的QoS和Policing它應支持豐富的安全特性，如基于2-4層信息的線速訪問控制等。4.3分布層交換機分布層交換機用于科研辦公區，由于該區共有11個三級配線間需接入，分布層交換機作為多個接入交換機的匯聚點，也需物理結構上的關鍵部件冗余設計，并具有較高的千兆端口密度和分布層網絡設備性能，如數據包轉發能力，Qos，安全性等特性。4.4接入交換機xxxxx工程中分配線間點數平均分布在70-80換機盡量采用高端口密度的交換機產品（如48個10/100M的網絡特性，接入交換機也應具有較豐富的網絡特性和較高的網絡性能。具體表現在：交換性能提供快速數據轉發，主要體現在接入交換機的背板容量和包轉發率等指標。網絡特性提供高性能的QosQos性，如802.1X，基于Mac地址的接入安全特性等。按布線量的60%配置，如下表：第頁xxxxx工程計算機網絡系統技術方案外網數據點和交換機配置：內網數據點和交換機配置：4.5廣域網接入防火墻在xxxxx工程中，防火墻用于在互聯網接入和專網連接處，提供對內網數據保護，在防火墻的選擇上，主要應考慮其安全特性，數據轉發性能等，安全特性指防火墻設備具備主流的安全策略(如基于包的動態狀態判斷)，提供主流的安全防護特性，同時在數據吞吐量，每秒可新建會話數，總會話數方面具有良好的特性指標。路由器路由器在xxxxxxxxxx當xxxxx作為專網中的中心節點時，則路由器還應具有一定的廣域網端口密度和更高的數據包轉發性能和擴展能力。4.6網絡管理系統網管系統的主要功能應包括拓撲管理，故障管理，配置管理和性能管理等功能。為提供良好的使用界面，網管系統應提供圖形化設備和拓撲顯示，可實時監視設備流量，設備故障等多種信息。4.7信息安全管理信息安全管理是xxxxx項目中一個較重要的網絡應用，它關系到網絡中各種重要數據，應用的安全性，直接影響xxxxx項目的正常運作。第頁xxxxx工程計算機網絡系統技術方案4.7.1網絡設備管理的安全性網絡設備訪問的安全性，關系到網絡設備配置數據的安全性，如果網絡設備本身被非法訪問，非法入侵者將隨意修改設備配置，整個網絡將無安全性可言。網絡設備本身的安全性主要應考慮良好的用戶認證訪問體系，網管數據傳輸的安全性。首先對于設備的訪問可基于中央用戶認證系統，這樣便于大批量網絡設備的用戶認證信息的維護。和Telnet遠程登錄進行，傳統的SNMP和Telnet數據均通過明文傳輸，當惡意用戶通過Sniffer等系統進行網絡監聽時，有可能截獲其數據包，從而獲得訪問信息，因此所有設備的管理應采用加密的網管方式進行訪問。xxxxx項目的網管軟件應采用SNMPV3，其定義于RFC2271中，和SNMPv1和SNMPv2相比，和驗證密鑰（authKey）來實現加密，其安全性大大提高。對于Telnet應用，目前主要缺陷是：沒有口令保護，遠程用戶的登陸傳送的帳號和密碼都是明文，使用普通的sniffer都可以被截獲沒有強力認證過程。只是驗證連接者的帳戶和密碼。沒有完整性檢查。傳送的數據無法知道是否完整的，而不是被篡改過的數據。傳送的數據都沒有加密。因此對于Telnet應用，應采用SSH加密的方式，SSH采用了公鑰和密鑰相結合的方式，提高數據的安全性和完整性。4.7.2網絡設備的安全特性安全性是網絡設備較重要的特性，根據網絡設備的定位區別和應用的部署，需要不同的安全策略。統系統等，其安全性要求各不相同，而對于互聯網接入區，也有專網接入，DMZ區網段等第頁xxxxx工程計算機網絡系統技術方案多個區域，因此應對不同的安全區域設備不同的安全策略。互聯網接入和專網接入系統通過防火墻接入互聯網，該部分的安全性主要體現在防火墻上的安全設置。系統通過路由器和專網連接專網，其安全性體現在路由器，防火墻的多個區域安全信任關系的設置，具體策略設置將根據實際網絡規劃決定。接入和接入交換機分布和接入交換機上可對網絡進行二層隔離，即劃分虛網，虛網使各網段在二層不可互通，提供了二層訪問極高的安全性。而對于某些安全性要求較特殊網段，還可考慮等。從而在用戶接入時提供最高的安全特性。核心交換機由于接入交換機只提供二層接入，因此全網的三層交換主要由核心交換機提供，為此需提供嚴格的安全訪問控制特性，具備增強的安全特性，考慮到網絡核心交換的性能需要，應可提供基于2-4層線速的訪問控制。4.7.3專用安全設備除了上述安全措施，為提供更高一級的安全性，我們還可以為網絡配置了入侵檢測器和用戶認證服務器及防病毒軟件等，實現完善的信息安全。用戶身份認證以根據實際情況考慮配置用戶認證系統，支