所在位置首頁>智能建筑
                      計算機網絡系統

                       

                      近年來隨著信息時代的到來和信息技術的飛速發展,技術進步正在從各個方面推動著企業的發展。企業的生產、物流和管理等各個方面都越來越多的依賴于計算機網絡技術的支持,信息技術的發展正在改變著企業生產的工作環境和工作方式。要使企業的運營良性循環、可持續發展,就必須擁有強大雄厚的信息化基礎設施和先進的信息化管理為企業運營創造必要的、良好的條件。

                      面對信息化革命的挑戰,以大廈辦公網絡建設為契機,加速大廈內部信息化建設,建立高效管理信息系統平臺,全面提高計算機應用水平,對全面提升大廈核心競爭能力,提高節目質量、經濟效益和現代化管理水平有著十分重要的作用,是一項具有戰略意義的基礎工作。

                      IT技術最終是為企業服務的,技術只有在實踐中才能真正轉化成生產力,才能體現出價值。隨著企業的不斷發展,新的業務和需求不斷涌現,對質量、效率和管理水平的要求不斷提高,越來越需要一個跨越部門和系統的協同工作的現代化工作環境,使得各系統信息資源得到充分有效的利用,特別是各系統及分支機構之間的信息共享和交換以及在各系統之上的綜合信息的提供和服務等方面的要求尤為突出。

                      因此,在大廈網絡信息化規劃中,我們將以辦公網絡建設為契機,設計一個覆蓋整個大廈各個單位、各個系統的計算機網絡平臺,實現大廈的網絡統一管理,實現各公司單位內部信息資源的相對獨立。同時,建立起一套完整的系統建設和管理規范,使得未來建立的任何系統都在統一的架構和模式下完成設計和實施。未來大廈的IT系統應當始終是一個有機的整體,資源得到盡可能大的利用、信息相互聯通并得到盡可能大的共享。

                      1. 需求分析

                      計算機網絡系統設計的目標是在建設網絡系統,滿足整合數據、OA平臺等對基礎設施提出的各種新需求,同時能夠方便靈活的引入并利用各種最新技術。即:一方面,它能適應未來大集中系統的需要,滿足不斷發展變化的業務需求;另一方面,它要能兼顧到技術的發展趨勢,方便用戶未來靈活便捷地引入各種先進、實用的技術。網絡部分設計階段主要完成的具體工作如下:

                      l 實現大廈網絡及企業辦公網絡高速、穩定、可靠連接

                      l 實現大廈業務網絡穩定、可靠、高速設計

                      l 實現大廈互聯網出口設計

                      l 實現大廈遠程接入設計

                      l 提出大廈網絡可靠性、可用性設計

                      l 提出網絡設備安全管理設計

                      根據大廈現狀及未來業務發展規劃,大廈網絡建設的主要實現如下目標:

                      以新大廈網絡建設為契機,以大廈主體為中心,建立全面統一、共享、規范的網絡系統體系架構。建立滿足未來管理和業務發展要求的全臺網絡系統總體架構,以滿足系統資源和信息資源整合的需要,規范和統一新應用系統的技術架構和開發方法,同時逐步調整現有的系統結構。

                      實現大廈統一的網絡管理平臺,逐步實現全臺各網絡系統的集中管理、綜合使用,提供高質量信息服務,高效及時的信息交流環境。通過信息化建設的實施使計算機系統中的信息得到最大效率使用,為大廈的經營目標及發展戰略制定、各級領導的決策工作提供信息支持,提高企業管理水平和工作效率。

                      建立大廈統一的安全管理平臺,加強系統安全性,建立統一系統安全認證體系,充分保障大廈主要業務系統信息的安全。從網絡規劃、操作系統以及業務系統等各個層次上統一考慮安全措施,并充分考慮易操作性。這其中包括網絡的多級安全區域的規劃與設計、各業務系統在多級網絡中的部署與互通、系統運行狀況的監控和管理以及防入侵、防病毒等措施的統一規劃、設計與部署。

                      確保系統資源的有效管理和運行,整合系統資源,加強系統資源的有效管理,提高系統資源的利用率,降低系統運行成本。提高系統的可靠性,切實保障播出及關鍵業務的正常運轉。

                      2. 建設最終目標

                      1、系統穩定、安全可靠,內部信息共享,且可迅速傳遞各類信息

                      對系統之間的信息交換進行總體上的統一規劃和設計,最終實現各子系統之間的互聯互通,實現信息共享和信息交互,完成信息在不同系統間的傳遞。

                      2、提高信息化工作效率

                      建設一個全數字化、網絡化的網絡系統,通過網絡技術標準平臺,避免傳統設備之間不兼容的問題,提高各種設備間的通配性,提高設備的使用效率。

                      3、統一的安全管理措施

                      從網絡規劃、操作系統以及業務系統等各個層次上統一考慮安全措施,并充分考慮易操作性。這其中包括網絡的多層次安全的規劃與設計、系統運行狀況的監控和管理以及防攻擊、防病毒等措施的統一規劃、設計與部署。

                      3. 網絡建設原則

                      根據大廈網絡分析結果、結合現代網絡技術發展趨勢,我們確定本次網絡設計所采用的總的指導原則如下:

                      (一)安全可靠性原則

                      大廈網絡的設計必須遵循可靠性的原則,設計中應盡最大可能減少因大廈網絡故障而造成的業務無法正常進行的現象的發生(如:因服務器或網絡故障造成用戶無法訪問業務系統,進而無法進行正常業務的現象等);同時,設計中還應注重信息安全體系的建設,提高大廈網絡的整體安全性,進一步保證數據安全。

                      (二)先進成熟性原則

                      大廈網絡的設計應具有產品和技術先進性,先進的產品和技術是未來系統性能的保證。在信息技術飛速發展的今天,我們選擇的產品和技術應具有一定的前瞻性,能夠適應未來一段時間(4-5 年)業務需求及技術發展變化的需要。 同時,盡可能兼顧產品和技術的成熟性,增強大廈網絡的整體穩定性。

                      (三)開放與可擴展性原則

                      大廈網絡的設計應選擇開放式設計的產品或技術,滿足系統間靈活的信息交互的需要。同時,充分考慮產品可擴展性,滿足不斷發展變化的業務和技術需求 。

                      (四)統一標準化原則

                      大廈網絡的設計應該堅持標準化的原則,采用業界公認的行業或技術標準,降低管理復雜度。同時,堅持統一化的原則(如:統一vlan劃分,統一的ip address分配等)應盡可能采用統一的標準。

                      (五)經濟性原則

                      大廈網絡的設計必須實用、經濟,應該盡量利用現有資源,堅持在先進、高性能前提下合理投資,以期在成本最佳的前提下獲得最大的經濟效益和社會效益。

                      4. 網絡設計方案

                      大廈網絡技術的選擇不僅關系到整個網絡系統性能的好壞,還涉及到未來整個網絡系統如何有效地與新技術接軌和升級的問題,希望一次投入,可以滿足和適應不斷發展的應用環境;對設計者來講,網絡技術的選擇首先應立足滿足于目前的需求,選擇一種適當的有發展前途的網絡技術。

                      采用何種技術來構建網絡系統應考慮如下幾個方面:

                      ? 按照新一代網絡技術結構來設計網絡系統;

                      ? 按照模塊化、結構化的原則設計,便于擴充和升級;

                      ? 考慮技術的先進性,但以實用性及技術的成熟性和簡易性為主;

                      ? 在網絡建成后,提供基本的服務和應用,充分體現和發揮網絡的價值與效益。

                      網絡技術選擇的關鍵是考察這種技術是否能夠滿足用戶的需要,并且在一定階段內是否有擴展能力。當今,網絡主干技術的選擇多種多樣,究竟什么是符合計算機網絡系統的技術,需要我們認真考慮。在網絡技術的選擇中,根據前述用戶需求和分析可以得出需要高速網絡技術來滿足應用的需要,隨著業務需求的不斷升級,桌面接入的帶寬升級已經成為當前網絡建設的一個主題,經歷了長時間的醞釀后,隨著千兆網卡的普及、千兆端口價格的不斷下降以及萬兆下移的快速發展,“百兆到桌面,千兆局域網”已經在國內很多區域、行業的應用中成為實際需求。

                      千兆骨干網的優勢在于網絡起點較高,一步到位。網絡帶寬高,可以承載各種多媒體業務。網絡穩定可靠,不易阻塞。以上這些特點特別適合目前的一些新建局域網絡項目需求,對網絡帶寬、穩定性要求較高,要求網絡先進,需要承載大量多媒體數據業務的高帶寬業務。

                      這一切都預示著網絡主干應該提供更高或更容易擴展的帶寬能力。在本方案設計在核心、接入層均采用高速千兆技術,是應用的需要,也是今后應用發展的需要,

                      因此,在此次大廈網絡建設中,核心層網絡采用千兆以太網技術,通過光纖連接接入層設備,接入層也采用千兆直達各個企業單位接入。核心交換機支持高密度千兆以太網端口接入能力,以便在今后平滑擴容。

                      5. 網絡整體設計

                      網絡的結構是層次化的,正確理解網絡層次的劃分和每個層次的主要作用,有助于我們合理選擇網絡拓撲和網絡技術。大型網絡從理論上可以劃分為三個層次,即核心層(Core Layer)、分布層(Distribution Layer)和訪問層(Access Layer)。

                      u 核心層主要承擔高速數據交換的任務,同時要為各匯聚節點提供最佳傳輸通道。

                      u 匯聚層的主要任務是把大量來自接入層的訪問路徑進行匯聚和集中,承擔路由聚合和訪問控制的任務。這就要求匯聚層設備必須具備良好的可擴展性,必須使用模塊化的體系結構,可通過增加板卡提高端口密度,以便匯接更多的接入層設備。

                      接入層的主要任務是完成用戶的接入,它直接和用戶連接,可能遭受ARP風暴、MAC掃描、ICMP風暴、帶寬攻擊等等攻擊方式,對安全性的要求很高,另一方面必須提供靈活的用戶管理手段。

                      a) 網絡系統中心交換設備連接拓撲圖

                      b) 網絡核心層交換機

                      智能大廈的網絡將能覆蓋有網絡信息點接入需求的全部功能區,包括中心機房和配線間,并通過專用出口設備連接外部Internet網絡。

                      智能大廈的網絡中心作為全網的心臟,向用戶的應用業務系統源源不斷的提供安全的信息血液,保證整個智能大廈的外網信息系統的可靠運行。因此,作為整個網絡平臺的神經中樞,網絡核心層是全網數據傳輸的中心,不僅要保證7*24小時的穩定運行,各種應用服務器的數據能夠被穩定可靠的傳輸到終端系統,同時,還要協調全網的數據流量和訪問策略,在提供信息服務的同時,保證網絡中心自身的安全。

                      c) 在網絡的可靠性和穩定性保障方面,網絡核心設計采用高密度多業務核心路由交換機系列交換機

                      接入層設計交換機

                      為了解決網絡病毒防護、ARP欺騙防護和網絡DDOS攻擊防護,對接入交換機的安全特性提出了很高的要求,因此采用安全接入交換機。該系列交換機支持所有端口的全線速轉發,滿足了網絡流量成倍提高和多媒體業務的迅速增長的需要。在提供高性能、高帶寬的同時,交換機除了提供智能的流分類、完善的服務質量(QOS)和組播應用管理特性,并可以根據網絡的實際使用環境,實施靈活多樣的安全控制策略,有效防止和控制病毒傳播和網絡攻擊,控制非法用戶接入和使用網絡,保證合法的用戶合理化地使用網絡資源,充分保障了網絡高效安全、網絡合理化使用和運營,并豐富的ACL功能,有效的保證了網絡安全。

                      d) 無線AP交換機

                      e) 互聯網出口交換機

                      6. 網絡安全解決方案

                      防火墻安全策略

                      我們建議在防火墻上啟用以下安全策略:

                      1. 啟用以下抗攻擊防范功能:包括多種DoS/DDoS攻擊防范(CC、SYN flood、DNS Query Flood等)、ARP欺騙攻擊的防范、TCP報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能;靜態和動態黑名單功能;MAC和IP綁定功能。

                      2. 啟用應用層內容過濾:可以有效的識別和控制網絡中的各種P2P模式的應用,并且對這些應用采取限流的控制措施,有效保護網絡帶寬;能夠識別和控制IM協議,如QQ、MSN等;支持郵件過濾,提供SMTP郵件地址、標題、附件和內容過濾;支持網頁過濾,提供HTTP URL和內容過濾;支持應用層過濾,提供Java/ActiveX Blocking和SQL注入攻擊防范。

                      3. 配置透明模式。

                      接入層交換機上的安全策略

                      1、防ARP攻擊

                      ARP攻擊包括中間人攻擊(Man In The Middle)和仿冒網關兩種類型:

                      中間人攻擊:按照 ARP 協議的原理,為了減少網絡上過多的 ARP 數據通信,一個主機,即使收到的 ARP 應答并非自己請求得到的,它也會將其插入到自己的 ARP 緩存表中,這樣,就造成了“ ARP 欺騙”的可能。如果黑客想探聽同一網絡中兩臺主機之間的通信(即使是通過交換機相連),他會分別給這兩臺主機發送一個 ARP 應答包,讓兩臺主機都“誤”認為對方的 MAC 地址是第三方的黑客所在的主機,這樣,雙方看似“直接”的通信連接,實際上都是通過黑客所在的主機間接進行的。黑客一方面得到了想要的通信內容,另一方面,只需要更改數據包中的一些信息,成功地做好轉發工作即可。在這種嗅探方式中,黑客所在主機是不需要設置網卡的混雜模式的,因為通信雙方的數據包在物理上都是發送給黑客所在的中轉主機的。

                      仿冒網關:攻擊者冒充網關發送免費ARP,其它同一網絡內的用戶收到后,更新自己的ARP表項,后續,受攻擊用戶發往網關的流量都會發往攻擊者。此攻擊導致用戶無法正常和網關通信。而攻擊者可以憑借此攻擊而獨占上行帶寬。

                      應對——ARP入侵檢測(ARP Intrusion Detection)

                      在DHCP的網絡環境中,使能DHCP Snooping功能,交換機會記錄用戶的IP和MAC信息,形成IP+MAC+Port+VLAN的綁定記錄。交換機利用該綁定信息,可以判斷用戶發出的ARP報文是否合法。使能對指定VLAN內所有端口的ARP檢測功能,即對該VLAN內端口收到的ARP報文的源IP或源MAC進行檢測,只有符合綁定表項的ARP報文才允許轉發;如果端口接收的ARP報文的源IP或源MAC不在DHCP Snooping動態表項或DHCP Snooping靜態表項中,則ARP報文被丟棄。這樣就有效的防止了非法用戶的ARP攻擊。

                      2、防止地址仿冒

                      常見的地址欺騙種類有 MAC欺騙、IP欺騙、IP/MAC欺騙,其目的一般為偽造身份或者獲取針對IP/MAC的特權。當目前較多的是攻擊行為:如Ping Of Death、SYN flood、ICMP Unreachable Storm等,另外病毒和木馬的攻擊也具有典型性,比如偽造源地址攻擊公網上的 DNS服務器,直接目的是希望通過DNS服務器對偽造源地址的響應和等待,造成DDOS攻擊,并以此擴大攻擊效果。

                      應對——IP Source Check

                      對于DHCP用戶,使能DHCP Snooping后, 結合IP+MAC+Port+VLAN的綁定表項下發硬件ACL,使端口上只能通過符合該綁定的IP報文,對于不符合綁定關系的直接丟棄。由于該功能由硬件實現,不影響交換機的CPU性能。對于靜態IP的用戶,通過配置靜態的綁定表項,也可以完成該功能。

                      3、防止DHCP攻擊

                      在某些情況下,入侵者可以將一個DHCP 服務器加入網絡,令其“冒充”這個網段的DHCP 服務器。這讓入侵者可以為缺省的網關和域名服務器(DNS 和WINS)提供錯誤的DHCP 信息,從而將客戶端指向黑客的主機。這種誤導讓黑客獲得其他用戶對保密信息的訪問權限,例如用戶名和密碼,而其他用戶對攻擊一無所知。

                      應對——DHCP Snooping

                      如前所述DHCP Snooping能夠過濾來自網絡中主機或其他設備的非信任DHCP報文,其中包括對應交換機上不信任的端口的客戶端IP地址、MAC地址、端口號、VLAN編號、租用和綁定類型等消息。交換機支持在每個VLAN基礎上啟用DHCP Snooping特性。

                      因此,通過使用DHCP Snooping 特性中的端口信任特性來防止用戶私自設置DHCP server。一旦在設備上指定專門的DHCP server服務器的接入端口則其他端口的DHCP server的報文將被全部丟棄。

                      4、防止MAC地址攻擊

                      MAC地址攻擊是利用模擬發包軟件發送大量的源MAC變化的報文,使交換機的MAC地址表溢出,后續的報文由于無法進行MAC學習,報文會在VLAN內廣播,攻擊者可以利用廣播的報文,進行監聽或者占用網絡流量,使網絡擁塞。

                      應對——端口安全(Port Security)

                      端口安全(Port Security)是一種對網絡接入進行控制的安全機制,用來防范基于MAC地址的攻擊。可以實現基于MAC地址允許/限制流量,或者設定每個端口允許的MAC地址的最大數量,使得某個特定端口上的MAC地址可以由管理員靜態配置,或者由交換機動態學習。

                      如果某個端口上的MAC地址超過最大允許量,或者在該端口發現帶有非法源MAC的數據幀,設備將會斷開端口連接、或過濾把此MAC地址的報文以保證端口安全性;或者發送trap信息通知網絡管理員進行監控和相關操作。

                      5、防止網絡環路

                      應對——端口環回檢測(loopback-detection)

                      與生成樹STP協議用于避免不同端口間行程環路不同,端口環回則可以用于發現交換機一個端口下的環路。交換機在端口上按照VLAN定時發送檢測報文,如果發出去的報文能從同一個端口收上來,那么證明該端口上有環路。發現環路后,交換機會發trap告警或者使端口處于受控狀態,以防止環路風暴的擴大。

                      最新高清无码专区 - 视频 - 在线观看 - 影视资讯 - 新赏网