大厦计算机网络系统.doc

1、第一章 计算机网络系统概 述长春大厦计算机网络系统（以下简称大厦网络）作为长春大厦 3A智能化系统的核心骨干支持架构，担负着为业务办公系统（OA） 、楼宇自动化控制系统（BA）以及通信自动化系统（CA）的运作提供一个可靠、稳定网络环境的重要任务。大厦网络系统从拓扑结构上分成网络平台、系统主机以及软件平台三大部分组成。在网络平台的局域网设计中我们采用了 Cisco 交换机冗余作为网络的核心交换层，桌面接入交换机也采用 Cisco 交换机并加上堆叠模块，为每个桌面提供 100Mbps 全交换连接。在广域网接入部分，我们通过采用 Cisco 路由器来实现区院网络远程接入、远程控制管理、Interne

2、t 出口，同时配置了 IOS 内置防火墙来加强安全防护。系统主机包括数据库主机和 WWW 服务器。我们选择了在可靠性和安全性方面性能卓越的 HP 服务器作为业务办公数据库主机。同时为了保证服务器的可靠性，我们将两台 HP 服务器实现双机容错。在软件平台方面，我们采用目前流行的 Windows 2000 Server 网络操作系统作为系统软件平台，同时采用 MS SQL Server 2000 作为数据库系统，采用 MS Exchange2000 作为电子邮件系统，这些软件产品都是美国微软公司出品，能够很好的融合在一起。下面我们将从系统规划、系统设计、设备选型等三个方面来进行详细阐述一、 系统总

3、体规划1、设计目标1) 为大厦中各个楼层、写字间的办公自动化以及楼宇自动化控制系统、BMS 系统中的各子系统提供一个安全稳定可靠的运行控制和集成管理核心网络环境；22) 根据实际需要提供不同的网络接入方式和速率，以实现用户对数据、图象、声音等信息的高效处理；3) 预留广域网接口，以便可根据需要提供 Internet 的接入，为与外界的信息交流和事务协作创造良好的信息通路，并提供提供远程接入和管理控制以及移动办公的服务接口；4) 提供丰富的网络服务，实现广泛的软件、硬件资源共享，避免重复投资，发挥系统最大效益；5) 主机系统应具有高度的可靠性，能 7x24 小时不间断工作，并有容错措施；还应具备

4、很高的安全性，以保证网络中机密数据的合法访问；具有广泛的软件支持，软件兼容性好，并支持多种传输协议；6) 主机系统应享有较好的性价比和较低的总拥有成本，并具有良好的向后扩展能力和一定的先进性；主机系统应易于使用和维护；7) 所有网络设备都具备高性能，应有足够的吞吐量；应考虑容错技术实现高可靠性。2、设计原则1) 安全性和可靠性：整个系统必须具有高度的安全性、可靠性和稳定性；2) 成熟性和先进性：应采用被实践证明为技术成熟且领先的技术设备，最大限度地满足现在业务和未来发展的需求；3) 开放性和可扩展性：应考虑未来发展的需要，使系统与未来扩展的设备具有互联性和互操作性，又便于升级、换代，使整个系统

5、可以随着科学技术的发展与进步，不断得到充实、完善、改进和提高，并且能很方便地融于全球信息网络中；4) 集成性和可管理性：充分考虑系统所涉及的各子系统的集成和信息共享，保证系统总体上的先进性和合理性，采用集中管理、操作和分散控制的模式；5) 经济性：系统应具有较高的性能价格比。33、系统结构我们将大厦计算机网络系统分为网络平台、系统主机、软件平台三个组成部分，其中核心网络由主干交换机组（核心层）和桌面接入交换机群（访问层） 、路由器（边缘层）构成，并在逻辑上通过 VLAN(虚拟专用子网)技术根据功能划分为业务办公网、智能楼宇网以及广域网三个子网；系统主机包括业务办公数据库主机、业务办公应用软件主

6、机以及楼宇智能服务器；软件平台包括网络操作系统、业务应用软件、数据库系统、BA 的应用管理软件等。二、 网络平台设计大厦计算机网络系统做为一个 3A 智能化系统的网络基础，实际上由局域网和广域网两部分组成，下面我们对这两部分做具体详细的设计。41、局域网设计1）主流网络结构概述及技术分析目前在局域网组网技术中比较成熟和应用较多的技术有以下几方面网络类型：Ethernet:10M、100M、千兆以太网，ATM:25M、155M、622M、2.4G，DDN:64K、128K、1M、2M，X.25:64KFDDI:100M 面临淘汰。在端口数据分配上也分为共享式和交换式，在以上几个方面中网络类型的选

7、择是关键，目前的主要技术之争是发生在以太网和 ATM之间的，这两种技术各有短长，我们在下面进行具体的阐述并作出选择。 以太网和快速以太网快速以太网实际上是 10Mbps 以太网的 100Mbps 版本，所以它的运行速度要比10Mbps 以太网快十倍。在用户已经很熟悉传统以太网的情况下，快速以太网相对其他高速网络技术更容易被掌握和接受，它可以应用在共享式和主干环境下，提供高带宽的共享式网络或主干连接，同时也可以应用在交换式环境下，提供优异的服务质量(QoS)。快速以太网与传统的以太网技术相似，毋庸赘言，此外它还具备以下优点： 快速以太网和普通以太网同样遵循 CSMA/CD 协议，现有的 10Ba

8、seT 网络设备可以相当简便地升级到快速以太网，保护用户原有的投资，与其它新型网络技术相比，更方便地使现有的 10MbpsLAN 无缝连接到 100MbpsLAN 上。 100BaseT 集线器和网络接口卡，只需要比 10BaseT 同样的设备多花少量费用就可提供比普通以太网高 10 倍的性能。因此，100BaseT 具备较高的性能价格比。 快速以太网(100BaseT)已得到 IEEE 任命标准为 802.3u，并得到了所有的主流网络厂商的支持。 千兆以太网技术5千兆以太网是相当成功的 10Mbps 以太网和 100Mbps 快速以太网连接标准的扩展。IEEE 已批准千兆位以太网工程 IEE

9、E802.3z。千兆位以太网和已充分建立的以太网与快速以太网的节点完全匹配。最初的以太网规范由帧格式定义，且支持 CSMA/CD 协议、全双工、流控制和由 IEEE802.3 标准定义的管理项目，千兆位以太网将使用所有这些规范。总之，千兆位以太网和管理员以前使用和了解的以太网相同，所不同是仅仅是比快速以太网快十倍和它与当前的高带宽需求应用程序相协调的额外特性，而且和日益增强的服务器和台式计算机的功能相匹配。我们可以看到主干和各网段及桌面已实现了无缝结合，网络管理变得不再让用户望而生畏。 ATM 技术ATM 技术相对以太网来说是一种较为为新型的技术，它基于面向连接，提供QOS 保障，在实时数据传

10、送，预留带宽方面有不可比拟的优越性，特别适合实时多媒体的交互式通讯和一些突发性的数据传送要求，它针对不同的数据通讯类型会给予不同的质量保证，另外小信元有利于速率的不断提高，但由于其技术成熟度不够，和目前直接基于 ATM 的应用类型还比较少，它的优越性受到了限制，另外它的元件和设备价格昂贵是另一个不利与推广的弱点。2) 网络 技术选择下面我们根据实际应用需要以及网络功能、性能、安全性等多方面来做具体的比较分析：我们想通过下面的二组表格对两种技术就目前的现况做出全面的比较。表一：千兆位以太网在具有以前 ATM 所有的功能之外，还能提供一个更为综合性的解决方案。功能 千兆位以太网 ATMIP 匹配性

11、 Yes 需要 RFG1577 或 PNNI 操作以太网信息包 Yes 需要 LANE 或从信源到包的转换处理多媒体 Yes Yes,但是要改变应用程序服务质量 Yes,有 RSVP 和801.1QYes,有 SVGS表二：千兆位以太网能完成许多 ATM 的功能，但是有价格低、更易和 LAN 结构融合的优点。6功能 ATM 以太网和快速以太网 千兆位以太网端口之间 Yes Yes可升级性 Yes Yes连接定位 Yes YesQoS Yes Yes低费用 Yes Yes协调性 Yes Yes标准化 Yes Yes软件 Yes Yes易集成性 Yes Yes以上的比较表明千兆以太网以许多方式发送

12、最初期望 ATM 实现的优点,而且可以容易的、经济的多地执行。综上所述，根据大厦实际应用情况，我公司建议采用千兆以太网作为技术定位的局域网网络方案。3) 网络拓朴结构我们对该网络的拓扑结构确定如下：74) 局域网络具体设计根据可靠性及稳定性的设计原则，网络建设将采用新型的 Clustering 技术，核心交换机采用智能支持 100/1000M 的企业级交换机。桌面接入交换机组由带 GBIC 堆叠模块的 100M 交换机来完成，而且具备很强的扩充能力。所有工作站都通过 100M 网卡连接到桌面接入交换机组上，使 100M 全交换到桌面。中心计算机房的业务办公数据库主机和应用软件服务器、楼宇智能服

13、务器等设备直接通过铜缆线路与核心交换机上的 100M 以太网口连接。中心机房内的网管工作站以及一些工作站可直接连接到主干交换机上。在不改变网络技术情况下的扩展方式：随着业务的增加，网络站点数量的增加，楼层配线间的交换机上 100M 端口数目必然会不够。这时我们可以采用增加桌面接8入交换机的方式来扩展。这样就能提供了更多的接入端口，为以后增加更多的设备提供了良好的扩充余地。2、广域网设计国际互联网的一大特点就是能开放、充分地提供各种信息,区检察院对外部门的各种资料、档案、数据库的上网使检察院的服务更加完善,更好地为社会服务。并且与国际互联网的连接可以获得大量的信息资源，同时能将区检察院介绍给世界

14、。大厦网络系统通过一台高性能的并具备安全防护能力的路由器使用 ISP 提供的 DDN 数字线路连接到国际互联网。工作站均可通过路由器的 Internet 网关浏览 Internet 上的资讯。大厦还可建立自己的 WEB 服务器并连接到互联网上，提供内部的 E-Mail、 BBS、NEWS 等服务。3、网络管理网络管理是一个复杂网络必须考虑的关键技术问题，这里的网络管理主要指网络设备管理，包括网络设备配置管理，网络性能管理，和网络设备故障管理。网络管理设计需要在配置每个网络设备时，都选择具有网络管理代理的，驻留有网络管理协议的设备，网络管理设计的另一方面，是配置一个网络管理中心，它一般是一台微机

15、，配置网络管理平台，在平台上运行管理每个网络设备的应用软件。网络管理是保持当今的企业网络以高峰效率运行的一个关键工具。网络管理可以帮助您决定网络中的故障、性能和配置变化。 我们设计的网络管理方案在我们的网络硬件中结合了软件工具以及 IOS 的特性。9通过运用 CiscoWorks2000 工具，Cisco 提供自动发现网络设备、跟踪和审计配置变化、监控和记录设备活动以及跟踪和监控终端站连接上的性能数据和报表的能力。CISCO IOS 管理特性允许您同步化所有网络事件，将这些事件记录到系统日志服务器以便监控和分析，监控设备的特定事件，在报警发出时发送通知。 将所有这些结合在一起能使网络管理员保持

16、跟踪其网络，最大限度地提高其效率和生产力。网络管理员不仅仅在局域网内通过一台 PC 监控管理全部的网络设备，还可以通过远程拨入访问的方式异地监控管理区院的网络设备。网络管理软件的介绍-CiscoWorks2000CiscoWorks2000 是一系列基于 Internet 标准的产品，用于管理 Cisco 企业网络和设备。 CiscoWorks2000 为配置、管理、监控和故障诊断路由广域网提供一系列强大的企业管理应用，大大降低了它们的复杂性。 CiscoWorks2000 提供配置、管理、监控和故障诊断工具。该基于 Web 的解决方案带有管理局域网交换和路由环境的应用，是面向 Cisco 交

17、换机管理的 CWSI Campus 捆绑的下一代产品。CiscoWorks2000 能使用户分析网络流量模式，排除协议相关的问题，建立积极的报警，在用户受到影响之前提前检测出问题，执行趋势分析。104、网络采用的协议标准本网络以 TCP/IP 为主要协议，因为 TCP/IP 协议是美国国防部门制定的一套计算机网络协议，是目前众多计算机网络最流行的协议，以它为基础组建的 Internet网是目前国际上规模最大的计算机网间网，它虽不是国际标准，但却是一种事实上的工业标准协议，采用 TCP/IP 为网络主要协议，可保证与 CHINANET 和 Internet保持一致，还可支持 IPX，DECNET

18、 等其它协议。真正实现于国际互联网的无缝连接。从计算机网络通讯的观点来看，TCP/IP 网络实质上可称为 IP 网络，它是由许多 IP网关（或称为 IP 路由器）通过若干直接连通的通信线路（点到点通信）形成一个计算机通信网络。在 IP 网点上再接入主机，子网便构成一个互联的计算机网络，这些安装了 TCP/IP 的各类计算机间需要通信时，它就不再要求设置协议转换开关，而且主要的网络服务都可建立在 TCP/IP 服务器上。三、系统主机设计当前主流的主机平台主要是 AS/400（OS/400） 、UNIX 主机、PC SERVER 的结构： AS/400（OS/400）：是一种比较安全和稳健的网络服

19、务器结构，拥有无可匹敌的可伸缩性、可靠性和安全性。但是价格比较昂贵。 UNIX 主机：是一种传统的网络服务器结构，管理比较复杂，扩展能力不好，可靠性较高，但安全方面存在一些漏洞。 PC SERVER：是一种目前比较流行的服务器结构。管理简单方便，价格适中，系统开销合理，运行效率较高。根据大厦的实际应用情况，我们选用 PC Server 的系统主机平台。11四、软件平台设计1、系统软件根据上面主机平台的设计，我们采用的是美国微软公司出品的 Windows2000 操作系统和 SQL Server 2000 数据库系统作为业务数据库主机的系统软件。2、电子邮件系统软件考虑到兼容性，我们选择了同是微

20、软公司出品的基于平台 MS Exchange 2000 作为电子邮件系统。五、系统安全设计安全是在网络建设中需要认真分析、综合考虑的关键问题。下面我们将从 3 个方面来讨论保障网络安全的若干措施。1、主机安全采用网段分离技术，把网络上相互间没有直接关系的系统主机分布在不同的网段，由于各网段间不能直接互访，从而减少各系统被正面攻击的机会。网段分离可以采用物理方式以及逻辑方式来实现。在物理上，我们将大厦网络分为内部业务子网和外部访问子网两网段；在逻辑上运用虚拟专用网技术（VLAN） ，将应用服务器和工作站根据具体情况分别放在不同的虚拟子网上。另外，在安全方面有一个最基本的原则：系统的安全性与它被暴

21、露的程度成反比。因此，建议将对外信息发布的服务器与内部业务应用服务器隔离，由于将数据库和内部业务应用主机封闭在系统内部，增加了系统的安全性。同时使用代理技术，不允许直接访问业务主机，所有的应用连接都通过代理来完成，这不仅仅增强了业务主机的隐蔽性，也提高了业务处理效率。122、数据安全在网络上运行的软件需要通过网络收发数据，要确保数据安全就必须采用一些安全保障方式。1)用户口令加密存储和传输目前，绝大多数应用仍采用口令来确保安全，口令需要通过网络传输，并且作为数据存储在计算机硬盘中。如果用户口令仍以原码的形式存储和传输，一旦被读取或窃听，入侵者将能以合法的身份进行非法操作，绝大多数的安全防范措施

22、将会失效。所以用户口令需要采取加密方式存储和传输。2)分设操作员分设操作员的方式在许多单机系统中早已使用。在网络系统中，应增加管理员、一般使用员等多种操作员类型，以便对用户的网络行为进行限制。3）日志记录和分析完整的日志不仅要包括用户的各项操作，而且还要包括网络中数据接收的正确性、有效性及合法性的检查结果，为日后网络安全分析提供依据。对日志的分析还可用于预防入侵，提高网络安全。例如，如果分析结果表明某用户某日失败注册次数高达 20 次，就可能是入侵者正在尝试该用户的口令。3、网络安全在内部网络设计中主要考虑的是网络的可靠性和性能，而如何确保网络安全也是一个不容忽视的问题。为进一步保证系统安全，

23、还要在网络中对防火墙和路由等方面做特殊考虑。路由为了避免入侵者侵入内部资源，应仔细进行路由配置。路由技术虽然能阻止对内部网段的访问，但不能约束外界公开网段的访问。为了确保网络的安全运转，避免让入侵者借助公开网段对内部网构成威胁，我们有必要使用防火墙技术对此进行限定。防火墙路由器通常都具有过滤型防火墙功能。这一功能通俗地说就是由路由器过滤掉13非正常 IP 包，把大量的非法访问隔离在路由器之外。过滤的主要依据在源、目的IP 地址和网络访问所使用的 TCP 或 UDP 端口号。几乎所有的应用都有其固定的 TCP或 UDP 端口号，通过对端口号的限制，可以限定网络中运行的应用。六、产品选型1、网络设

24、备选型1) 主干交换机目前生产交换机的厂商比较多，著名的有 Intel、3COM、Cisco 等。Intel 公司虽然具备很强大的芯片设计开发及生产能力，但是其交换机产品线不全，它的产品性价比不高。3COM 公司的交换机设备虽然在以前占据了很大的市场份额，但是目前3COM 公司的交换机技术已经跟不上潮流了，而 3COM 已将自己的交换机产品部卖给了其他公司并不再进行产品线的后续开发。Cisco 公司是著名的专业网络设备设计生产厂商，具备其专有网际操作系统IOS，不但技术先进而且其交换机产品线很齐全，它的产品有很高的性价比。并且Cisco 公司对政府行业的支持力度很大。主干交换机是整个网络的核心

25、，本方案网络建设要求具备连接达 300 个网络站点的交换能力，应用对主干服务器的访问及其数据流量对主干交换机的性能要求很高。通过以上分析本方案主干交换机确定采用 Cisco 公司的 Cisco Catalyst 3524XL。Cisco Catalyst 3524XL 系列是一系列可扩展、可堆叠的 10/100 和千兆位以太网交换机，提供最佳的性能、可管理性和灵活性以及无与伦比的投资保护。 142) 桌面接入交换机我们采用交换机而不使用共享式集线器到桌面是由于区检察院实际使用情况是主要表现在集中突发性，即各职能工作站同时使用同一软件的情况比较多，如果使用共享到桌面，网络就会产生拥阻而影响速度，

26、因此在大型局域网中应使用百兆交换到桌面。我们认为区检察院在十兆与百兆交换机中应选择百兆交换，因为 10 兆虽然在目前网络使用中刚刚能达到要求，但是已经不适应功能越来越强的计算机与新的应用软件的发展，更不适应更快的计算机通讯产品的要求，将成为它们之间最大的瓶颈。同时考虑到与主干交换机的兼容性以及无缝融合。建议采用与主干交换机同厂商的产品。因此我们将采用 Cisco 公司的 3524XL 交换机通过作为本网工作组级接入交换机组，直接连接各职能工作站。通过 Cisco 先进的、独特的堆叠技术将第一期的100 个站点分成 4 个网段，每个网段采用 1 台 3524XL 交换机。另外我们通过虚网技术，使

27、每个办公室或每个部门之间的互访得到有效的管理和控制，提高网络的安全性。以合理价格实现工作组与终端设备的 100Mbps 连接的可扩展交换机，Cisco Catalyst 3524XL 是将专用快速以太网式的性能扩展到整个网络的理想选择，它可使用户的终端设备、服务器及其它网络设施享受这种高性能的解决方案。这种高性能的解决方案可随网络的成长而自由地扩展。2、路由器考虑到 Internet 和其他网络的连接(如 CHINANET 等)，目前设计的局域网都要考虑对广域网络的连接，更广的资源和更多的应用将是在各种广域连接中发现。目前，越来越多的企事业建立了自己的 WEB。因此，能否有效地连接 Inter

28、net 是区检察院内部网建立的一个重要的目标。Cisco 公司是路由器的鼻祖，其路由器技术已经成为了业界默认的标准，并且Cisco 路由器的高性能在业界中也是首屈一指的。目前安全已成为今天大多数网络15管理者关心的主要问题，Cisco 路由器配合广为流行、功能强大、业界领先的 Cisco IOS 软件，可以为客户核心网络提供全面的安全保障。Cisco 2600 系列是 Cisco 数据/语音/视频集成方案的一个关键成员，提供业界最广泛的基于 IP 和帧中继的端到端分组电话解决方案。Cisco 2600 对通道传输提供强大的加密功能。这种加密功能使用具有 144 位加密钥匙的 Blowfish

29、算法。与此相比，一些竞争对手的方案只具有 40 到 128 位长的加密钥匙。由此可见其加密功能的强大。任何数据在进入公用网域之前都将被加密并打成标准的 IP 包。由于加密是针对整个数据流的，所以原始的源地址和目标地址将被隐蔽起来，不会被潜在的黑客所发现。确保您的私人通讯数据通过公用网域时的安全。而且 Cisco 2600 系列路由器与竞争产品相比具有以下优势： 多方面 WAN 协议选择Cisco 2600 系列路由器支持今天最被广为使用的网络协议，包括 IP、Novell IPX 和 AppleTalk，和一系列路由协议。 卓越的带宽优势Cisco 2600 系列路由器比任何其他厂商产品都有更

30、多的特性，从而减少 WAN 服务费用。数据压缩和多个流量优先技术确保重要数据的整体性。与此同时，协议哄骗、Snapshot Routing、BOD 和 DOD 等技术也确保象 ISDN 那样按使用时间计价的服务耗费最低。 加强的多媒体和 VLAN 支持IGMP、RSVP、PIM、WFQ、SMRP 和中转连接（ISL） ，使 Cisco 3600 系列路由器能够支持音频和视频服务应用，以及虚拟局域网。没有任何一个竞争方案能提供这些特点。 卓越的安全性用户辨别和扩展 Access List 只允许获准的流量进入网络，它应用事件登记和审查追踪、编码、和虚拟专有网络透纳等技术提高网络的安全。没有任何其

31、他厂商可达到这样多种的安全特性。根据以上分析和区检察院网络系统的实际需求，我们选择了 Cisco 2621 路由16器。它是大厦网络对外的出口，也可以作为保护内部网的第一道防火墙。采用DDN 线路与 Internet 连接，以 64KB2MB 带宽支持内部网络的应用，而且性能非常稳定。3、系统主机根据前面的系统平台设计，我们选择了 PC Server 系统平台。在众多的 PC Server 产品中，我们根据大厦的具体情况以及实际应用，选择了 HP NetServer 服务器。惠普最新推出的 HP NetServers 性能更出色，可靠性更高，尽可满足您对部门级服务器苛刻的要求。这款集性能、存储

32、和高可用等顶尖技术于一身的部门级惠普服务器拥有原本只有高端服务器才具备的特性。HP NetServer 具有高端服务器的性能，但仍保持了部门级服务器的价格。HP NetServer 易于设置、易于备份、易于进行故障排除及易于扩展。所有这些特点使得 HP NetServer 当之无愧地成为内部几乎没有设置 IT 支持的企业的最佳解决方案。 所以我们选择了 HP NetServer 服务器。4、软件平台Microsoft 微软公司的系列软件是目前 PC Server 上最好的系统软件，我们采用它的 Windows 2000 Server 简体中文版作为网络操作系统，SQL Server 2000简体中文版作为数据库系统，Exchange 2000 作为电子邮件系统。