1、xxx网络实验室方案建议书xxxxxx 有限公司二零零一年x月第 2 页承蒙贵单位对有限公司的厚爱和信任,给予我公司为贵单位提供网络实验系统方案的设计机会,我公司深感荣幸并深表谢意。Xxx 有限公司希望本着诚挚、科学的态度,充分考虑贵方的要求,应用国际上成熟的技术和我们丰富的设计施工经验,提供最佳的设计方案和优质的服务。第 3 页目 录第 1 章 公司介绍 11.1、 XX 公司介绍 .11.2、 XX 代理资讯产品 .11.2.1 Compaq 多线产品 .11.2.2 朗讯结构化综合布线系统 11.2.3 MICROSOFT 软件系统 11.2.4 NOVELL 网络系统 11.2.5 C
2、ISCO 网络设备 .11.2.6 佳能办公自动化产品 2第 2 章 系统需求 3第 3 章 系统设计原则 43.1、 系统设计原则 43.1.1 先进性成熟性原则 43.1.2 可靠性和稳定性原则 43.1.3 可维护性原则 43.1.4 可扩展性原则 53.1.5 开放性和互联性原则 53.1.6 系统安全性原则 53.1.7 可管理性原则 53.1.8 系统易用性和友好性原则 5第 4 章 系统设计方案 64.1、 网络平台分析 64.2、 网络系统安全策略分析 74.2.1 网络层的安全性 74.2.2 系统的安全性 74.2.3 用户的安全性 84.2.4 应用程序的安全性 84.2
3、.5 数据的安全性 94.3、 网络产品的选择 9第 5 章 网络系统设计方案 125.1、 网络系统连接方案 125.2、 千兆以太网和千兆铜缆技术 135.3、 INTERNET 连接方案 .155.4、 远程访问解决方案 165.5、 网络系统安全方案 165.6、 VPN 应用方案 185.7、 网络管理 225.8、 网络拓扑结构 235.9、 网络系统系统原理图 23第 4 页第 6 章 系统结构与产品清单 246.1、 系统结构图 24第 7 章 信息系统产品介绍 257.1、 CISCO 公司 CATALYST 6000 系列交换机 .257.2、 CISCO 公司 CATAL
4、YST 3500XL 系列智能型交换机 .307.3、 CATALYST2900XL 系列交换机 317.4、 CISCO 3600 路由器 337.5、 防火墙 347.6、 CISCO 网络管理软件 .357.6.1 CiscoWorks 功能介绍 357.6.2 VLAN Director 的功能介绍 387.6.3 ATM director 的功能介绍 .417.7、 企业级网络测试仪 F68X 系列 .42第 8 章 项目的实施 628.1、 项目的实施原则 628.1.1 遵章守纪原则 628.1.2 不影响客户工作原则 628.1.3 灵活时间原则 628.1.4 系统安全原则
5、628.1.5 数据安全备份原则 628.1.6 充分测试原则 628.1.7 充分沟通原则 628.2、 项目的人员组织 628.3、 项目进度安排 648.3.1 进度安排表 648.4、 进度安排说明 658.4.1 订货、到货进度 658.4.2 系统调试进度 658.5、 项目验收 658.6、 产品验收 668.7、 系统安装调试验收 668.8、 运行测试验收 66第 9 章 XX 的售后服务 .689.1、 XX 对售后服务的承诺 .689.2、 XX 的服务类型包括: .689.2.1 热线电话 689.2.2 现场排除故障 689.3、 保修期后的维护: 689.4、 服务
6、报告 699.5、 XX 对服务的承诺 .69第 10 章 系统配置报价 70第 1 页第1章 xx公司介绍 1.1、 xx 公司介绍1.2、 xx 代理资讯产品1.2.1 Compaq 多线产品Armada 笔记本Compaq 台式机商用机ProLiant 服务器PC 图形工作站Compaq Alpha 服务器1.2.2 朗讯结构化综合布线系统端到端全线综合布线产品:非屏蔽双绞线单模、多模光纤配线架设备连接器件系统工具1.2.3 MICROSOFT 软件系统全线微软软件产品1.2.4 NOVELL 网络系统Netware 网络操作系统Netware 相关应用系统1.2.5 CISCO 网络设
7、备CISCO 路由器CISCO 网络交换机CISCO 访问产品第 2 页1.2.6 佳能办公自动化产品佳能传真机佳能复印机佳能打印机佳能缩微机第 3 页第2章 系统需求用户需求描述xx(项目甲方 )为了利用网络信息技术提高信息技术水平,将建立 Cisco 网络实验室系统,其具体需求如下: 建立 Cisco 网络架构 与生产管理单位、辅助生产及后勤的互连 完善的网络应用系统 高效的 Internet 访问 电视会议(见 IPTV 方案) 安全、有效的网络管理第 4 页第3章 系统设计原则根据甲方需求,XX 有限公司(项目乙方)提出自己的系统设计原则和设计方案3.1、 系统设计原则系统的建设对于甲
8、方的信息技术水平的发展提高具有深远的价值。在系统建设过程中,根据用户的需求,整个系统的网络结构、网络选型、网络应用系统均以先进性、成熟性、可靠性、开放性、安全性为原则进行设计。网络平台的设计遵循以下设计原则:3.1.1 先进性成熟性原则设计立足先进技术,相对成熟可靠,符合网络发展的方向,以适应大量数据传输以及多媒体信息的传输。整个系统争取在三至五年内保持先进的水平,并具有扩展能力,以适应未来网络技术的发展。保证系统各项功能、性能指标都达到较高水准。3.1.2 可靠性和稳定性原则系统的运行具有极高的可靠性,具有良好的容错性能。在一定灾难发生时,仍能保证系统不间断运行。网络大量传输的是重要的用户数
9、据,设计上应严格注意如何保证网络系统的可靠性和运行的稳定性,其中包括: 网络结构的可靠性和稳定性 在网络拓扑结构的设计上,力求简洁,作好冗余,符合网络发展的方向。 网络设备的可靠性网络设备的可靠性取决于设备生产的厂家,注重设备的可靠性应选择著名厂家的产品,Cisco 生产的产品可靠性高;网络系统与应用系统接口的可靠性选用的网络系统的接口与应用系统接口兼容并可靠。3.1.3 可维护性原则系统必须易于维护,在系统建设和开发过程中的每个环节,都必须遵循有关国际、国家标准。第 5 页3.1.4 可扩展性原则随着数据量的增加和运行节点的扩展,系统对硬件软件的要求会不断提高,系统采用的所有硬件、软件的选型
10、必须考虑可扩展性的要求。3.1.5 开放性和互联性原则网络要与 INTERNET 互联,相互共享资源,必须是一个支持多种协议和接口的开放式网络,只有这样才能够实现与现有的和未来的网络系统互联。系统中每种设备、软件必须具有良好的开放性,所有硬、软件都应遵循业界相关标准,支持开放的标准接口,使整个系统成为一个统一的整体,而不致产生运行上的“孤岛” 。3.1.6 系统安全性原则由于本系统提供面向 INTERNET/INTRANET 各个方向的信息服务,所以既要向各类用户提供各种方式的信息服务,也要保护系统数据的安全性,整个系统具有良好的安全管理功能,从各个层面和角度都具有相应的安全机制,确保系统安全
11、和信息安全。3.1.7 可管理性原则在整个局域网络中,联入网络的网络设备、终端设备多、分布广、网络运行情况复杂,网络设备应该具有很好的可管理性,以便于管理和维护。利用先进的网络管理软件,可以通过网管工作站监测整个网络的运行状况、迅速确定网络故障位置、合理分配网络资源、动态配置网络负载等。3.1.8 系统易用性和友好性原则提供友好的用户操作界面,具备直观易用的人机界面。第 6 页第4章 系统设计方案根据甲方需求,XX(项目乙方)提出自己的系统设计方案:根据甲方的需求,XX 建议该信息系统的建设应从以下几个方面进行。1、系统的建立:XX 建议使用以太网作为网络系统的建设标准。以太网是一种最通用的网
12、络技术,其技术发展很快,从 10Mbps、100Mbps 直至千兆;其配置、扩展灵活,造价便宜。乙方推荐以太网交换机可选用 Cisco 公司的系列以太网交换机 Cisco Catalyst 6000/4000/3500/2900。中心交换设备由一台以太网交换机 Cisco Catalyst 6509 组成,Catalyst 6000 和 6500 系列交换机都支持广泛的接口类型和密度,包括最高可以支持 576 个 10/100 以太网端口、288 个 100BASE-FX 快速以太网端口以及 194 个千兆位以太网端口-这些数字在行业内是最高的。客户还可以使用快速以太通道或千兆位以太通道技术集
13、中最多 8 个物理快速以太网或千兆位以太网链路,使逻辑连接容量最高可以达到 16Gbps。Catalyst 6000 系列提供了行业领先的千兆位以太网交换解决方案,可以满足当今要求最高的和快速增长的企业和服务供应商网络的要求,网络节点交换机选用 Cisco Catalyst 3500/2900/1900,具有优良的性能价格比,可适宜于各种应用环境。2、Internet 共享:甲方的员工需要长时间对 Internet 进行访问,因此 XX 建议配置能够连接 DDN 接口的路由器,通过该路由器不仅能够连接 DDN 线路,满足所有连接在局域网上的用户对 Internet 的访问,还能在需要时通过 D
14、DN 访问远端的服务器。乙方推荐路由器可选用 Cisco 公司的 2600/3600 系列路由器。路由器选用 Cisco 公司的 2600/3600 系列路由器,配合使用各种接口,可满足各种应用环境。3、网络管理:为了实现对网络的管理,乙方推荐选用 Cisco 公司的网络管理软件CiscoWork2000。4、网络安全:为了保证整个网络系统的安全,乙方推荐选用 Cisco 公司的网络安全产品,如 PIXFIREWALL、Cisco IOS 防火墙及其他产品。5、使用 UPS(不间断电源)来保护网络设备的正常工作,可防止断电时数据的丢失及断电对应用系统的破坏。6、用我们内部的大型企业网的资源,使
15、用 CISCO 的 IPTV 技术4.1、 网络平台分析通过研究网络发展的情况和当今流行的网络选型,本方案决定在局域网中采用10/100M 以太网交换机做为网络的主要连接设备,构成标准的交换式以太网。10/100M 交换型以太网为高性能的经济性网络模型,拥有成熟的技术及产品,建造10/100M 以太网,不仅节约资金和时间,而且可以与现有的以太网实现无缝连接。第 7 页4.2、 网络系统安全策略分析随着 Internet 的广泛应用,网络安全的重要性愈发显著,近来国内数家网站均遭到了不同程度的攻击,造成了巨大损失,因此网络系统的安全性也成为网络建设中的一个重要的问题。XX 认为在考虑网络安全的过
16、程中,应该考虑以下五方面的问题:网络是否安全?操作系统是否安全?用户是否安全?应用程序是否安全?数据是否安全?下面我们针对每一层的网络安全问题简单的阐述和分析。 4.2.1 网络层的安全性网络层安全性的核心问题是网络能否得到控制,即:是不是任何一个 IP 地址的用户都能进入网络。 通过网络通道对网络系统进行访问时,每一个用户都会有一个独立的 IP 地址,这个IP 地址能够大致表明用户的来源地址和来源系统。目标站点通过对来源 IP 分析,能够初步判断来自这一 IP 的数据是否安全,是否会对本网络系统造成危害,以及来自这一 IP 的用户是否有权使用本网络的数据。一旦发现某些数据来自不可信任的 IP
17、 地址,系统便会自动将这些数据阻挡在系统之外。并且大多数系统能够自动记录那些曾经造成过危害的IP 地址,使得它们的数据免于遭受第二次危害。 用于解决网络层安全性问题的产品主要有防火墙产品和 VPN(虚拟专用网)。防火墙的主要目的在于判断来源 IP,将危害或未经授权的 IP 数据拒之于系统之外,而只让安全的 IP 数据通过。一般来说,公司的内部网络若与公众 Internet 相连,则应该在二者之间设置防火墙产品,以防止公司内部数据的外泄。VPN 主要解决的是数据传输的安全性问题,如果公司在地域上跨度较大,使用专网、专线过于昂贵,则可以考虑使用 VPN。其主要目的在于保证公司内部的关键数据能够安全
18、地借助公共网络进行频繁的交换。 4.2.2 系统的安全性在系统安全性问题中,主要考虑的问题有两个:一是病毒对于网络的威胁;二是黑客对网络的破坏和侵入。病毒的主要传播途径已经由过去的软盘、光盘等存储介质变成了网络,多数病毒不仅能够直接感染网络上的计算机,也能够在网络上对自身进行复制。电子邮件、文件传输以及网络页面中的恶意 Java 小程序和 ActiveX 控件,甚至文档文件都能够携带对网络和系统有破坏作用的病毒,网络防病毒工具必须能够针对网络中可能的病毒入口进行防护。 第 8 页对于黑客而言,他们的主要目的在于窃取数据和非法修改系统,其手段之一是窃取合法用户的口令,在合法身份的掩护下进行非法操
19、作;其手段之二是利用网络操作系统的某些非法但不为系统管理员和合法用户所知的操作指令。要弥补这些漏洞,我们需要专门的系统风险评估工具,在完成了这些工作之后,操作系统自身的安全性问题将在一定程度上得到保障。 4.2.3 用户的安全性对于用户的安全性问题,所要考虑的问题是:是否只允许那些真正被授权的用户使用系统中资源和数据? 首先要做的是对用户进行分组管理,并且这种分组管理应该是针对安全性问题。应该根据不同的安全级别将用户分成若干等级,每一等级的用户只能访问到与其等级相对应的系统资源和数据。其次应该考虑的是强有力的身份认证,其目的是确保用户的密码不被他人猜测到。 在大型的应用系统中,有时会存在多重的
20、登录体系,用户如需进入最高层的应用,往往需要多次输入多个不同密码,如果管理不严,多重密码也会造成安全上的漏洞。所以在某些先进的登录系统中,用户只需要输入一次密码,系统就能够自动识别用户的安全级别,从而使用户进入不同的应用层次。这种单一的登录体系要比多重登录体系提供更强大的安全性。 4.2.4 应用程序的安全性在这一层中我们需要回答的问题是:是否只有合法的用户才能对特定的数据进行合法的操作? 这涉及两方面的问题:一是应用程序对数据的合法权限;二是应用程序对用户的合法权限。例如在公司内部,上级部门的应用程序可以存取下级部门的数据。同级部门的数据存取也应有所限制,例如同一部门不同业务的应用程序也不能
21、互相访问对方的数据,一方面可以避免数据的意外损坏,另一方面也是出于安全性问题的考虑。 4.2.5 数据的安全性数据的安全性所要回答的问题是:机密数据是否还处于机密状态? 第 9 页在数据的存取过程中,机密的数据即使处于安全的空间,也要对其进行加密处理,以保证万一数据失窃,偷窃者(如网络黑客)也读不懂其中的数据内容。这是一种比较被动的安全手段,但往往能收到最好的效果。从上述分析中可以看出,网络安全是一个综合性的问题,不仅需要相应设备,更需要严格的管理制度。因此,JOS 建议在网络平台的建设中分步建立安全体系,选择相应的软硬件产品,建立完善的信息系统管理制度,培养用户网络安全的意识,最终建立一个高
22、效安全的网络平台系统。4.3、 网络产品的选择网络产品的选择从以下几方面考虑:1、关键业务的保证网络中传输的信息数据非常之多,但其中有一些应用是关键性的和对时延敏感度较高的(如视频会议、IP 电话等),如何保证这些业务的优先权和带宽分配,是目前网络建设和管理中越来越重要的问题。 具体到本网络系统中,要实现关键业务数据的优先权保证,网络设备应具有流量侦察、控制进入和流量分级的能力,能够对数据进行有效的过滤和分级,同时网络设备应能根据数据级别进行有效的拥塞控制和时序排列,完成 QoS 的实现。Cisco 的 Catalyst6000 系列产品可以对数据进行基于 IEEE802.1Q 的 CoS 分
23、级,这些产品的独特功能保证了 Cisco的网络解决方案可以充分保证关键业务的优先级别。 2、高可靠性网络系统的可靠性依赖于许多因素,绝不仅仅是网络设备硬件冗余备份那么简单,还要涉及到、链路备份、负载均衡和链路故障时网络的收敛能力。 Cisco 的网络交换设备都支持双上联口, Catalys6000 系列交换机都提供冗余的高速上联口,它们还支持基于 VLAN 的 Spanning Tree 和 Uplink Fast 技术,可以在链路故障时更迅速地实现收敛,恢复正常通信。 3、多媒体支持第 10 页多媒体技术往往占用较多的带宽,广泛应用于远程教学、虚拟工作和音频视频会议等,这些应用大部分都需要采
24、用多点广播机制来实现其具体操作,网络设备如支持多点广播技术,可以大大减少网络中的带宽占用,避免网络拥塞。 Cisco 的分布层网络交换设备均支持 CGMP(Cisco 组管理协议)和 IGMP,可以实现线速的多点广播传送和动态的加入退出多点广播组的处理,核心层网络设备除具有以上能力外,更可以实现线速多点广播的路由处理,并支持扩展性极高的多点广播路由协议。 4、强大的管理功能、易管理性- Catalyst 6000 家族提供了一组全面的管理工具,可以提供所要求的网络可视性和控制功能。Catalyst 系列交换机的管理是通过 CiscoWorks2000 进行的,通过适当的配置,可以实现对端对端设
25、备、VLAN、通信流和策略的管理。Cisco 资源管理器是一种基于 Web 的管理工具,当与 CiscoWorks2000 联合使用时,可以提供自动化清单收集、软件部署、容易实现的网络变化跟踪、设备可用性视图以及故障环境的快速隔离。 - 通过将交换机中的嵌入式智能代理与 CiscoWorks2000(一种功能强大的网络管理应用)结合起来,可以实现策略管理功能。CiscoWorks2000 将为所有的 Cisco 网络服务提供策略管理,包括 QoS、组播、安全性、网络弹性以及用户移动性。策略管理是使用Cisco 虚拟管理策略服务器(VMPS)实现的。所有 Cisco 6000 家族交换机都配置了
26、VMPS,VMPS 为所有的 Cisco 网络服务提供了策略实现所要求的数据库信息。 - Catalyst 6000 家族交换机上的嵌入式智能代理包括了对 Cisco 发现协议的支持,能够提供网络拓扑发现和映射服务以及 Cisco 虚拟主干协议(VTP),支持动态 VLAN 和跨所有交换机的动态主干配置。每一端口上的嵌入式智能远程监视(RMON)代理可以提供强大的通信流监视和控制功能-每端口能够支持 4 个 RMON 群组,包括统计群组、历史群组、事件群组和报警群组。 - 使用集成网络分析模块(NAM)或交换机探测器可以对 Catalyst 6000 家族交换机上更多的 RMON 群组进行监视
27、。Catalyst 6000 的 NAM 除了可以支持交换机监视(SMON)和高容量 RMON(HC-RMON),还可以全面支持 RMON-1 和 RMON-2。NAM 不仅通过故障隔离和故障诊断能够帮助保持网络的正常运转,还可以帮助执行趋势分析和容量管理。 - 增强交换端口分析器(ESPAN)功能使用户能够将任何端口或 VLAN 上的通信流映像到另一个以太网或快速以太网端口,以通过一个 NAM 或 RMON SwitchProbe 进行分析。此外,还可以通过主干连接从远程主机上对 SPAN 端口进行配置,从而实现中央管理和监视。还可以使用作为 Cisco IOS 软件一部分的 NetFlow
28、 技术来收集详细的通信流统计数据,以进行战术性的网络设计和战略性的网络规划。RSPAN 功能支持跨网络中多个交换机实现源端口和目的端口之间的网络通信流镜像,以通过一个 SwitchProbe 设备或其它的 RMON 探测器来进行分析。 第 11 页- 通过一个连接到控制台/辅助接口的终端或调制解调器,可以实现对本地带外管理的支持。通过简单网络管理协议(SNMP)、远程登录客户机、BOOTP 以及小文件传输传输协议(TFTP)可以支持远程带内管理。 5、安全性网络系统连接了每一个接入用户,也带来了很多安全上的问题。目前的安全管理多集中在对某个设备或分布层设备的手动处理上,而 Cisco 为局域网
29、提供了完善的端到端安全解决方案。它通过一系列认证、授权和动态核查的机制实现了对用户的权限认证和相应地址分配,防止对网络资源的非法访问并动态核查网络中的访问是否合法。 6、扩展性前面已经论述过网络的发展趋势是越来越多的用户、越来越多的应用、越来越大的带宽需求和越来越高的性能要求,这不仅需要目前选择合适的技术,更要看到重要的是网络要有良好的可扩展性以不断适应新的情况。 在不重新部署网络的情况下,Cisco 为用户提供了方便网络升级途径,Cisco 独特的堆叠技术可以使用户非常迅速的增加网络用户,同时也不占用以前设备的端口及带宽。 网络设备的选择应该充分考虑并尽量满足上述的几个要求,网络设备应能提供
30、一系列相关的功能特性并能互相配合,以形成一个完善的局域网解决方案。在本方案中我们选择了 Cisco 公司 Catalyst 6000 交换机作为网络交换设备。从以上分析中可以看出,Cisco Catalyst 系列交换机完全能够满足网络平台建设的要求。第 12 页第5章 网络系统设计方案5.1、 网络系统连接方案为了确保网络传输带宽,充分发挥布线系统的性能,并为今后的网络发展奠定基础,在解决方案中,整个网络采用层次化网络拓扑结构,核心层采用 Cisco Catalyst 6000 第三层交换机。为什么选用第三层交换机呢?从应用上来看,Internet 和 Intranet 迅猛发展,跨网络、跨
31、地域的 B/S 计算模式得到广泛的应用,这一切对路由器提出更高的要求。路由器的高费用、低性能使它成为网络的瓶颈。但由于网络间互连的需求,它又是不可缺少的并处于网络的核心位置。可以说,当网络技术发展到这个地步时,网络的核心路由器技术的革新已刻不容缓。所以,应该说,越来越复杂的应用对路由器技术提出了严峻的挑战,为此,第三层交换技术应运而生,第三层交换机在网络的核心层得到了普遍应用。在本方案中,通过这个交换机可以实现高带宽、大容量网络层路由交换功能,使网络管理者能方便地监督和管理网络,同时,又能将主干网带宽提升到千兆速度。分布层交换机 Catalyst 3500 与接入层交换机 Catalyst 3
32、500/2900 之间可采用多链路冗余连接,用以保证负载均衡及线路备份。该技术可以在交换机之间或者交换机与服务器之间实现负载均衡及线路冗余。当两个交换机之间的一条线路出现故障,传输的数据会快速自动切换到另外一条线路上进行传输,不影响网络系统的正常工作,无需人工干预。在路由连接方面采用了 Cisco 3600路由器,同时采用 Cisco PIXFIREWALL 防火墙,用以提供全面的访问控制策略和安全防护能力。XX 建议选用一台 Cisco Catalyst 6000 背板式交换机,使用千兆以太网模块,作为网络系统的中心计算机。同时在节点选用支持千兆上联端口的工作组交换机,用于连接计算机设备。选
33、用背板式交换机,在充分满足用户当前需求的同时,还具有灵活的可扩展性。今后,用户可根据业务发展的需要划分 VLAN 增加网络模块,提高网络容量,扩大网络系统的用户连接数量,以满足不断增长的用户需求。整个网络在网络的划分上,利用 Cisco 交换机支持网管功能划分 VLAN(虚拟子网) 。网络中心子网为网络的主干系统,其余子网按功能划分(办公子网、多媒体教室、IC 卡系统、宿舍子网、图书馆子网) ,并受到网络中心的监控。由于 Cisco 交换机能够根据不同的规则(如端口、功能、协议等)在同一个网络中设置不同的虚拟子网,所以子网的划分、管理非常容易。Cisco 还提供了 VLAN 虚拟子网内部的优化
34、通信,并支持子网内部端第 13 页口间的直接通信,大大降低了用户对网络中心的访问,防止了网络中心的拥塞现象。对于不同子网的通讯,采用了密码访问的方式,大大增强了信息的安全性。5.2、 千兆以太网和千兆铜缆技术千兆以太网成主流千兆以太网(Gigabit Ethernet)技术是一种基于传统以太网的新型技术,此技术一经提出就得到了网络界人士的普遍关注,它的不断发展与成熟,使得被业界一致公认的网络主干升级技术 ATM 失去了原有的吸引力。众多网络管理人员纷纷将注意力转移到了千兆位以太网技术上。虽然 ATM 在广域网的主干建设中地位目前还无法动摇,但在企业局域网(包括园区网)中,千兆位以太网已开始占据
35、优势。而在目前风起云涌的城域网(MAN )建设中,千兆以太网与 ATM 也平分秋色,而且大有后来居上之势。千兆位以太网的产品和解决方案也应运而生。千兆以太网与以太网的差别只在于速度的提升,它仍保留了 802.3 标准、以太网帧格式以及 802.3 管理的对象规格。因此,企业网升级到千兆以太网后,原有的应用程序、操作系统、网络协议和网络管理平台仍可以保留。网络管理人员对熟悉千兆以太网付出的代价更小。千兆铜缆技术由于网络中多媒体数据流量的不断增多,提高网络速度已成为各网络服务公司亟待解决的问题。千兆以太网是解决这一问题的有效技术之一。由于千兆以太网以前要用价格较贵的光纤为载体,因此没有得到最为广泛
36、的推广。目前,Cisco 推出了一系列千兆铜缆产品,可以在铜缆(五类线)上实现千兆以太网,即 1000Base-T 技术。这对广大网络用户来说,无疑是个好消息。千兆铜缆技术(1000Base-T )能在五类线上提供 1000Mbps 的传输带宽,而五类线是在 LAN 体系中最广泛采用的物理媒体。IEEE 的标准化委员会早在 1999 年六月就正式批准 1000Base-T 成为一种以太网标准。谁需要千兆网络简而言之,千兆网络的动力来自两方面:(1)主干带宽提高的需要目前随着快速以太网技术的成熟,快速以太网设备价格飞速下降。桌面用户快速向100Mbps 技术迁移时,在主干网中就将需要 Gbps
37、的传输能力。而传统的“80/20 规则”第 14 页(网络边缘的流量占整个网络流量的 80,而流经主干的流量仅占 20)的“翻转” (网络边缘的流量占整个网络流量的 20,而流经主干的流量仅占 80) ,也要求更高的主干带宽。(2)广泛应用的带宽密集型应用的需要新的和正在出现的带宽密集型应用,持续推动着对带宽的需求,尤其是大量的浏览器/服务器(B/S)应用对带宽提出了几乎是无休止的需求。总的来说,网络计算(Network Computering)前所未有地将客户端设备、网络交换和传输设备、服务器端设备紧密连接在一起,这三部分犹如箍成一个木桶的三块木板,任何一部分设备的性能提高都会对其它部分提出
38、更高的要求。从目前来看,由于技术、市场等多方面的原因,客户端和服务器端计算能力提升非常迅速,网络交换和传输日益成为瓶颈,市场呼唤廉价和高效的网络交换和传输技术出现。千兆以太网技术则可以让网络核心部分(包括主干网和服务器子网)简单地升级。急切需要千兆铜缆技术千兆铜缆技术(1000Base-T )可以将以太网 10/100 Mbps 的性能提升到 1000 Mbps。灵活的 10/100 和 10/100/1000 连接可以为现有的以 100 Mbps 为基础的网络提供平滑的过渡。千兆铜缆技术(1000Base-T )是现有的性能价格比最佳的高速网络技术。 1000BASE-T 能够继续支持现有的
39、已经过实际检验的快速以太网和以太网技术,而且与以太网/快速以太网技术具有相同的成本曲线。千兆铜缆技术(1000Base-T)技术具有比光纤千兆网络 (1000Base-SX)更突出的性能价格比。千兆铜缆技术(1000Base-T )可以保护以太网的设备和设施投资,其中包括在五类线设施上的已有投资。五类线是现今最主要的水平线缆传输介质;同时也是构建基本/骨干网络线缆的重要选择之一,它可以用来连接不同的楼层配线盒。重新布线是既费时而又需要大量投资,而采用千兆铜缆技术(1000Base-T )则不需要重新布线。谁需要千兆铜缆技术?数据库和备份应用。这些应用需要处理分布在许多不同的服务器和存储系统中的
40、 Gb甚或 Tb 数量级的数据。对带宽有大量需求的应用,在用户端处理能力不断提高,网络流量不断攀升的今天,对网络带宽的不断追求,是确保网络畅通的主要途径。随着用户端 PC 处理器速度的不断第 15 页提高,用户端应用软件的日益增多,网络需要传输 CAD/CAM/CAE、工程制图和数据库文件等信息,这些包含大量文字、图像及其他语音等多媒体信息的文件,要求越来越大的带宽。对延时十分敏感的应用。最终用户需要网络具有更高的性能和稳定性,特别是多媒体信息在网络中的传输,更需要网络能够低时延、高品质地传输信息。出版、多媒体图像和科学模型应用。网络向多媒体网络的发展是信息时代的需要,也是企业网络的发展必然趋
41、向。语音、图像及视频等多媒体信息不断加入网络,会使原本拥挤的网络被多媒体信息所阻塞。除了桌面连接选择之外,网络中不断添加的交换机也进一步加大了带宽上的压力。分布于网络边缘的交换机极大地增加了业务量,因为会有大量的数据需要在工作组、服务器或骨干网络的层次上汇聚。5.3、 Internet 连接方案为了满足甲方对 Internet 访问的需求,XX 建议申请一条 DDN 专线与 ISP 连接,并申请合法的 IP 地址,为构建独立的 MAIL 系统,WEB 服务器打下基础。今后待时机成熟可选用光纤直接与 ISP 连接,替代现有的 DDN 接入。实际连接时,网络用户均通过连接在网络交换机上的代理服务器
42、与路由器连接,路由器利用相应的通讯线路接入 ISP,网络用户对Internet 访问的管理通过代理服务器进行。同时,将甲方内部具有合法 IP 地址的设备如 WWW 服务器、MAIL 服务器等构成一个 IP子网,公司内部其它设备构成另一个 IP 子网,两个 IP 子网分别设置防火墙,以防止非法用户的入侵,两个 IP 子网之间通过路由协议进行连接。选用一台 Cisco 3640 路由器作为 Internet 接入设备,实现广域网的路由连接。该路由器是一款为中、大规模级别用户提供方便、快速、灵活、安全的网络互连的路由设备,可用于连接远程局域网、分支机构或实现 Internet 接入。该路由器可以通过
43、 DDN 专线、Frame Relay、X.25、ISDN 拨号等方式与 Internet 相连,还可以按照需要灵活配置多种广域网端口模块,提供宽带、QoS 保证的远程多媒体服务,这样,在接入方面为用户提供了更多选择。另外,本方案在安全方面给予了考虑,方案中在接入路由器后设置一台Cisco 硬件防火墙,该防火墙可及时追踪 Internet 的黑客攻击行为和方法,实现了抗攻击和反攻击的安全策略,为用户提供安全可靠的服务。在网络中也可实现实时邮件病毒检第 16 页测、实时检测是否有入侵行为、进行快速的流量过滤、访问控制和加密、防止外部非法用户的侵入以及内部用户对外部网络的不安全访问等。5.4、 远
44、程访问解决方案甲方远程拨号系统主要为甲方员工提供远程访问服务,以便于员工实时访问内部网络,查询相关资料。XX 建议采用电话线路作为远程通讯线路,申请 8 条电话线路,在 Cisco 3640 路由器中加入 8 端口 Modem 模块,连接 8 条电话线路,员工可通过电话拨号的方式实现对局域网的远程访问。在局中心与我们科技档案楼信息中心,我们用中心路由器通过三个 2M 的微波与我们科技档案楼的分中心路由器相连。5.5、 网络系统安全方案随着 Internet 的广泛应用,网络安全的重要性愈发显著,近来国内数家网站均遭到了不同程度的攻击,造成了巨大损失,因此网络系统的安全性也成为在本次网络建设中的
45、一个重要问题。XX 认为在考虑网络安全的过程中,应该考虑以下五方面的问题:网络是否安全?操作系统是否安全?用户是否安全?应用程序是否安全?数据是否安全?下面我们针对每一层的网络安全问题简单的阐述和分析。 网络层的安全性:网络层安全性的核心问题是网络能否得到控制,即:是不是任何一个 IP 地址的用户都能进入网络。 通过网络通道对网络系统进行访问时,每一个用户都会有一个独立的 IP 地址,这个IP 地址能够大致表明用户的来源地址和来源系统。目标站点通过对来源 IP 分析,能够初步判断来自这一 IP 的数据是否安全,是否会对本网络系统造成危害,以及来自这一 IP 的用户是否有权使用本网络的数据。一旦
46、发现某些数据来自不可信任的 IP 地址,系统便会自动将这些数据阻挡在系统之外。并且大多数系统能够自动记录那些曾经造成过危害的IP 地址,使得它们的数据免于遭受第二次危害。 用于解决网络层安全性问题的产品主要有防火墙产品和 VPN(虚拟专用网)。防火墙的主要目的在于判断来源 IP,将危害或未经授权的 IP 数据拒之于系统之外,而只让安全的 IP 数据通过。一般来说,公司的内部网络若与公众 Internet 相连,则应该在二者之间设置防火墙产品,以防止公司内部数据的外泄。VPN 主要解决的是数据传输的安全性问题,第 17 页如果公司在地域上跨度较大,使用专网、专线过于昂贵,则可以考虑使用 VPN。
47、其主要目的在于保证公司内部的关键数据能够安全地借助公共网络进行频繁的交换。 系统的安全性:在系统安全性问题中,主要考虑的问题有两个:一是病毒对于网络的威胁;二是黑客对网络的破坏和侵入。病毒的主要传播途径已经由过去的软盘、光盘等存储介质变成了网络,多数病毒不仅能够直接感染网络上的计算机,也能够在网络上对自身进行复制。电子邮件、文件传输以及网络页面中的恶意 Java 小程序和 ActiveX 控件,甚至文档文件都能够携带对网络和系统有破坏作用的病毒,网络防病毒工具必须能够针对网络中可能的病毒入口进行防护。 对于黑客而言,他们的主要目的在于窃取数据和非法修改系统,其手段之一是窃取合法用户的口令,在合
48、法身份的掩护下进行非法操作;其手段之二是利用网络操作系统的某些非法但不为系统管理员和合法用户所知的操作指令。要弥补这些漏洞,我们需要专门的系统风险评估工具,在完成了这些工作之后,操作系统自身的安全性问题将在一定程度上得到保障。 用户的安全性:对于用户的安全性问题,所要考虑的问题是:是否只允许那些真正被授权的用户使用系统中资源和数据? 首先要做的是对用户进行分组管理,并且这种分组管理应该是针对安全性问题。应该根据不同的安全级别将用户分成若干等级,每一等级的用户只能访问到与其等级相对应的系统资源和数据。其次应该考虑的是强有力的身份认证,其目的是确保用户的密码不被他人猜测到。 在大型的应用系统中,有
49、时会存在多重的登录体系,用户如需进入最高层的应用,往往需要多次输入多个不同密码,如果管理不严,多重密码也会造成安全上的漏洞。所以在某些先进的登录系统中,用户只需要输入一次密码,系统就能够自动识别用户的安全级别,从而使用户进入不同的应用层次。这种单一的登录体系要比多重登录体系提供更强大的安全性。 应用程序的安全性:在这一层中我们需要回答的问题是:是否只有合法的用户才能对特定的数据进行合法的操作? 第 18 页这涉及两方面的问题:一是应用程序对数据的合法权限;二是应用程序对用户的合法权限。例如在公司内部,上级部门的应用程序可以存取下级部门的数据。同级部门的数据存取也应有所限制,例如同一部门不同业务的应用程序也不能互相访问对方的数据,一方面可以避免数据的意外损坏,另一方面也是出于安全性问题的考虑。 数据的安全性:数据的安全性所要回答的问题是:机密数据是否还处于机密状态? 在数据的存取过程中,机密的数据即使处于安全的空间,也要对其进行加密处理,以保证万一数据失窃,偷窃者(如网络黑客)也读不懂其中的数据内容。这是一种比较被动的安全手段,但往往能收到最好的效果。从上述分析中可以看出,网络安全是一个综合性的问题,不仅需要相应设备,更需要严格的管理制度。在甲方网络建设中,网络安全的问题涉及到内网与 Internet 之间,外部用户与内部用户之间
