1、第一章 計算機網絡系統概 述長春××大廈計算機網絡系統（以下簡稱××大廈網絡）作為長春××大廈3A智能化系統的核心骨干支持架構，擔負著為業務辦公系統（OA）、樓宇自動化控制系統（BA）以及通信自動化系統（CA）的運作提供一個可靠、穩定網絡環境的重要任務。××大廈網絡系統從拓撲結構上分成網絡平臺、系統主機以及軟件平臺三大部分組成。在網絡平臺的局域網設計中我們采用了Cisco 交換機冗余作為網絡的核心交換層，桌面接入交換機也采用Cisco 交換機并加上堆疊模塊，為每個桌面提供100Mbps全交換連接。在廣域網接入部分，

2、我們通過采用Cisco 路由器來實現區院網絡遠程接入、遠程控制管理、Internet出口，同時配置了IOS內置防火墻來加強安全防護。系統主機包括數據庫主機和WWW服務器。我們選擇了在可靠性和安全性方面性能卓越的HP 服務器作為業務辦公數據庫主機。同時為了保證服務器的可靠性，我們將兩臺HP 服務器實現雙機容錯。在軟件平臺方面，我們采用目前流行的Windows 2000 Server網絡操作系統作為系統軟件平臺，同時采用MS SQL Server 2000作為數據庫系統，采用MS Exchange2000作為電子郵件系統，這些軟件產品都是美國微軟公司出品，能夠很好的融合在一起。下面我們將從系統規劃

3、、系統設計、設備選型等三個方面來進行詳細闡述 一、 系統總體規劃1、設計目標1) 為大廈中各個樓層、寫字間的辦公自動化以及樓宇自動化控制系統、BMS系統中的各子系統提供一個安全穩定可靠的運行控制和集成管理核心網絡環境；2) 根據實際需要提供不同的網絡接入方式和速率，以實現用戶對數據、圖象、聲音等信息的高效處理；3) 預留廣域網接口，以便可根據需要提供Internet的接入，為與外界的信息交流和事務協作創造良好的信息通路，并提供提供遠程接入和管理控制以及移動辦公的服務接口；4) 提供豐富的網絡服務，實現廣泛的軟件、硬件資源共享，避免重復投資，發揮系統最大效益；5) 主機系統應具有高度的可靠性，能

4、7x24小時不間斷工作，并有容錯措施；還應具備很高的安全性，以保證網絡中機密數據的合法訪問；具有廣泛的軟件支持，軟件兼容性好，并支持多種傳輸協議；6) 主機系統應享有較好的性價比和較低的總擁有成本，并具有良好的向后擴展能力和一定的先進性；主機系統應易于使用和維護；7) 所有網絡設備都具備高性能，應有足夠的吞吐量；應考慮容錯技術實現高可靠性。2、設計原則1) 安全性和可靠性：整個系統必須具有高度的安全性、可靠性和穩定性；2) 成熟性和先進性：應采用被實踐證明為技術成熟且領先的技術設備，最大限度地滿足現在業務和未來發展的需求；3) 開放性和可擴展性：應考慮未來發展的需要，使系統與未來擴展的設備具有

5、互聯性和互操作性，又便于升級、換代，使整個系統可以隨著科學技術的發展與進步，不斷得到充實、完善、改進和提高，并且能很方便地融于全球信息網絡中；4) 集成性和可管理性：充分考慮系統所涉及的各子系統的集成和信息共享，保證系統總體上的先進性和合理性，采用集中管理、操作和分散控制的模式；5) 經濟性：系統應具有較高的性能價格比。3、系統結構 我們將××大廈計算機網絡系統分為網絡平臺、系統主機、軟件平臺三個組成部分，其中核心網絡由主干交換機組（核心層）和桌面接入交換機群（訪問層）、路由器（邊緣層）構成，并在邏輯上通過VLAN(虛擬專用子網)技術根據功能劃分為業務辦公網、智能樓宇網以及

6、廣域網三個子網；系統主機包括業務辦公數據庫主機、業務辦公應用軟件主機以及樓宇智能服務器；軟件平臺包括網絡操作系統、業務應用軟件、數據庫系統、BA的應用管理軟件等。二、 網絡平臺設計××大廈計算機網絡系統做為一個3A智能化系統的網絡基礎，實際上由局域網和廣域網兩部分組成，下面我們對這兩部分做具體詳細的設計。1、局域網設計1）主流網絡結構概述及技術分析目前在局域網組網技術中比較成熟和應用較多的技術有以下幾方面網絡類型：Ethernet:10M、100M、千兆以太網，ATM:25M、155M、622M、2.4G，DDN:64K、128K、1M、2M，X.25:64KFDDI:10

7、0M 面臨淘汰。在端口數據分配上也分為共享式和交換式，在以上幾個方面中網絡類型的選擇是關鍵，目前的主要技術之爭是發生在以太網和ATM之間的，這兩種技術各有短長，我們在下面進行具體的闡述并作出選擇。è 以太網和快速以太網快速以太網實際上是10Mbps以太網的100Mbps版本，所以它的運行速度要比10Mbps以太網快十倍。在用戶已經很熟悉傳統以太網的情況下，快速以太網相對其他高速網絡技術更容易被掌握和接受，它可以應用在共享式和主干環境下，提供高帶寬的共享式網絡或主干連接，同時也可以應用在交換式環境下，提供優異的服務質量(QoS)。快速以太網與傳統的以太網技術相似，毋庸贅言，此外它還具備

8、以下優點： 快速以太網和普通以太網同樣遵循CSMA/CD協議，現有的10BaseT網絡設備可以相當簡便地升級到快速以太網，保護用戶原有的投資，與其它新型網絡技術相比，更方便地使現有的10MbpsLAN無縫連接到100MbpsLAN上。 100BaseT集線器和網絡接口卡，只需要比10BaseT同樣的設備多花少量費用就可提供比普通以太網高10倍的性能。因此，100BaseT具備較高的性能價格比。 快速以太網(100BaseT)已得到IEEE任命標準為802.3u，并得到了所有的主流網絡廠商的支持。è 千兆以太網技術千兆以太網是相當成功的10Mbps以太網和100Mbps快速以太網連接標

9、準的擴展。IEEE已批準千兆位以太網工程IEEE802.3z。千兆位以太網和已充分建立的以太網與快速以太網的節點完全匹配。最初的以太網規范由幀格式定義，且支持CSMA/CD協議、全雙工、流控制和由IEEE802.3標準定義的管理項目，千兆位以太網將使用所有這些規范。總之，千兆位以太網和管理員以前使用和了解的以太網相同，所不同是僅僅是比快速以太網快十倍和它與當前的高帶寬需求應用程序相協調的額外特性，而且和日益增強的服務器和臺式計算機的功能相匹配。我們可以看到主干和各網段及桌面已實現了無縫結合，網絡管理變得不再讓用戶望而生畏。è ATM技術ATM技術相對以太網來說是一種較為為新型的技術，

10、它基于面向連接，提供QOS保障，在實時數據傳送，預留帶寬方面有不可比擬的優越性，特別適合實時多媒體的交互式通訊和一些突發性的數據傳送要求，它針對不同的數據通訊類型會給予不同的質量保證，另外小信元有利于速率的不斷提高，但由于其技術成熟度不夠，和目前直接基于ATM的應用類型還比較少，它的優越性受到了限制，另外它的元件和設備價格昂貴是另一個不利與推廣的弱點。2) 網絡技術選擇下面我們根據實際應用需要以及網絡功能、性能、安全性等多方面來做具體的比較分析：我們想通過下面的二組表格對兩種技術就目前的現況做出全面的比較。表一：千兆位以太網在具有以前ATM所有的功能之外，還能提供一個更為綜合性的解決方案。功能

11、千兆位以太網ATMIP匹配性Yes需要RFG1577或PNNI操作以太網信息包Yes需要LANE或從信源到包的轉換處理多媒體YesYes,但是要改變應用程序服務質量Yes,有RSVP和801.1QYes,有SVGS表二：千兆位以太網能完成許多ATM的功能，但是有價格低、更易和LAN結構融合的優點。功能ATM以太網和快速以太網千兆位以太網端口之間YesYes可升級性YesYes連接定位YesYesQoSYesYes低費用YesYes協調性YesYes標準化YesYes軟件YesYes易集成性YesYes以上的比較表明千兆以太網以許多方式發送最初期望ATM實現的優點,而且可以容易的、經濟的多地執行

12、。綜上所述，根據××大廈實際應用情況，我公司建議采用千兆以太網作為技術定位的局域網網絡方案。3) 網絡拓樸結構我們對該網絡的拓撲結構確定如下：4) 局域網絡具體設計根據可靠性及穩定性的設計原則，網絡建設將采用新型的Clustering技術，核心交換機采用智能支持100/1000M的企業級交換機。桌面接入交換機組由帶GBIC堆疊模塊的100M交換機來完成，而且具備很強的擴充能力。所有工作站都通過100M網卡連接到桌面接入交換機組上，使100M全交換到桌面。中心計算機房的業務辦公數據庫主機和應用軟件服務器、樓宇智能服務器等設備直接通過銅纜線路與核心交換機上的100M以太網口連接

13、。中心機房內的網管工作站以及一些工作站可直接連接到主干交換機上。 在不改變網絡技術情況下的擴展方式：隨著業務的增加，網絡站點數量的增加，樓層配線間的交換機上100M端口數目必然會不夠。這時我們可以采用增加桌面接入交換機的方式來擴展。這樣就能提供了更多的接入端口，為以后增加更多的設備提供了良好的擴充余地。 2、廣域網設計國際互聯網的一大特點就是能開放、充分地提供各種信息,區檢察院對外部門的各種資料、檔案、數據庫的上網使檢察院的服務更加完善,更好地為社會服務。并且與國際互聯網的連接可以獲得大量的信息資源，同時能將區檢察院介紹給世界。××大廈網絡系統通過一臺高性能的并具備安全防護

14、能力的路由器使用ISP提供的DDN數字線路連接到國際互聯網。工作站均可通過路由器的Internet網關瀏覽Internet上的資訊。××大廈還可建立自己的WEB服務器并連接到互聯網上，提供內部的E-Mail、BBS、NEWS等服務。3、網絡管理網絡管理是一個復雜網絡必須考慮的關鍵技術問題，這里的網絡管理主要指網絡設備管理，包括網絡設備配置管理，網絡性能管理，和網絡設備故障管理。網絡管理設計需要在配置每個網絡設備時，都選擇具有網絡管理代理的，駐留有網絡管理協議的設備，網絡管理設計的另一方面，是配置一個網絡管理中心，它一般是一臺微機，配置網絡管理平臺，在平臺上運行管理每個網絡設

15、備的應用軟件。網絡管理是保持當今的企業網絡以高峰效率運行的一個關鍵工具。網絡管理可以幫助您決定網絡中的故障、性能和配置變化。 我們設計的網絡管理方案在我們的網絡硬件中結合了軟件工具以及IOS的特性。 通過運用 CiscoWorks2000工具，Cisco 提供自動發現網絡設備、跟蹤和審計配置變化、監控和記錄設備活動以及跟蹤和監控終端站連接上的性能數據和報表的能力。CISCO IOS 管理特性允許您同步化所有網絡事件，將這些事件記錄到系統日志服務器以便監控和分析，監控設備的特定事件，在報警發出時發送通知。 將所有這些結合在一起能使網絡管理員保持跟蹤其網絡，最大限度地提高其效率和生產力。網絡管理員

16、不僅僅在局域網內通過一臺PC監控管理全部的網絡設備，還可以通過遠程撥入訪問的方式異地監控管理區院的網絡設備。網絡管理軟件的介紹-CiscoWorks2000CiscoWorks2000是一系列基于 Internet 標準的產品，用于管理 Cisco 企業網絡和設備。 CiscoWorks2000為配置、管理、監控和故障診斷路由廣域網提供一系列強大的企業管理應用，大大降低了它們的復雜性。 CiscoWorks2000提供配置、管理、監控和故障診斷工具。該基于 Web 的解決方案帶有管理局域網交換和路由環境的應用，是面向 Cisco 交換機管理的 CWSI Campus 捆綁的下一代產品。Cisc

17、oWorks2000 能使用戶分析網絡流量模式，排除協議相關的問題，建立積極的報警，在用戶受到影響之前提前檢測出問題，執行趨勢分析。4、網絡采用的協議標準本網絡以TCP/IP 為主要協議，因為TCP/IP協議是美國國防部門制定的一套計算機網絡協議，是目前眾多計算機網絡最流行的協議，以它為基礎組建的Internet網是目前國際上規模最大的計算機網間網，它雖不是國際標準，但卻是一種事實上的工業標準協議，采用TCP/IP為網絡主要協議，可保證與CHINANET和Internet保持一致，還可支持IPX，DECNET等其它協議。真正實現于國際互聯網的無縫連接。從計算機網絡通訊的觀點來看，TCP/IP網

18、絡實質上可稱為IP網絡，它是由許多IP網關（或稱為IP路由器）通過若干直接連通的通信線路（點到點通信）形成一個計算機通信網絡。在IP網點上再接入主機，子網便構成一個互聯的計算機網絡，這些安裝了TCP/IP的各類計算機間需要通信時，它就不再要求設置協議轉換開關，而且主要的網絡服務都可建立在TCP/IP服務器上。三、系統主機設計當前主流的主機平臺主要是AS/400（OS/400）、UNIX主機、PC SERVER的結構：l AS/400（OS/400）：是一種比較安全和穩健的網絡服務器結構，擁有無可匹敵的可伸縮性、可靠性和安全性。但是價格比較昂貴。l UNIX主機：是一種傳統的網絡服務器結構，管理

19、比較復雜，擴展能力不好，可靠性較高，但安全方面存在一些漏洞。l PC SERVER：是一種目前比較流行的服務器結構。管理簡單方便，價格適中，系統開銷合理，運行效率較高。根據××大廈的實際應用情況，我們選用PC Server的系統主機平臺。四、軟件平臺設計1、系統軟件根據上面主機平臺的設計，我們采用的是美國微軟公司出品的Windows2000操作系統和SQL Server 2000數據庫系統作為業務數據庫主機的系統軟件。2、電子郵件系統軟件 考慮到兼容性，我們選擇了同是微軟公司出品的基于平臺MS Exchange 2000作為電子郵件系統。五、系統安全設計安全是在網絡建設中需

20、要認真分析、綜合考慮的關鍵問題。下面我們將從3個方面來討論保障網絡安全的若干措施。1、主機安全采用網段分離技術，把網絡上相互間沒有直接關系的系統主機分布在不同的網段，由于各網段間不能直接互訪，從而減少各系統被正面攻擊的機會。網段分離可以采用物理方式以及邏輯方式來實現。在物理上，我們將××大廈網絡分為內部業務子網和外部訪問子網兩網段；在邏輯上運用虛擬專用網技術（VLAN），將應用服務器和工作站根據具體情況分別放在不同的虛擬子網上。另外，在安全方面有一個最基本的原則：系統的安全性與它被暴露的程度成反比。因此，建議將對外信息發布的服務器與內部業務應用服務器隔離，由于將數據庫和內部

21、業務應用主機封閉在系統內部，增加了系統的安全性。同時使用代理技術，不允許直接訪問業務主機，所有的應用連接都通過代理來完成，這不僅僅增強了業務主機的隱蔽性，也提高了業務處理效率。2、數據安全在網絡上運行的軟件需要通過網絡收發數據，要確保數據安全就必須采用一些安全保障方式。1)用戶口令加密存儲和傳輸目前，絕大多數應用仍采用口令來確保安全，口令需要通過網絡傳輸，并且作為數據存儲在計算機硬盤中。如果用戶口令仍以原碼的形式存儲和傳輸，一旦被讀取或竊聽，入侵者將能以合法的身份進行非法操作，絕大多數的安全防范措施將會失效。所以用戶口令需要采取加密方式存儲和傳輸。2)分設操作員分設操作員的方式在許多單機系統中

22、早已使用。在網絡系統中，應增加管理員、一般使用員等多種操作員類型，以便對用戶的網絡行為進行限制。3）日志記錄和分析完整的日志不僅要包括用戶的各項操作，而且還要包括網絡中數據接收的正確性、有效性及合法性的檢查結果，為日后網絡安全分析提供依據。對日志的分析還可用于預防入侵，提高網絡安全。例如，如果分析結果表明某用戶某日失敗注冊次數高達20次，就可能是入侵者正在嘗試該用戶的口令。3、網絡安全在內部網絡設計中主要考慮的是網絡的可靠性和性能，而如何確保網絡安全也是一個不容忽視的問題。為進一步保證系統安全，還要在網絡中對防火墻和路由等方面做特殊考慮。路由為了避免入侵者侵入內部資源，應仔細進行路由配置。路由

23、技術雖然能阻止對內部網段的訪問，但不能約束外界公開網段的訪問。為了確保網絡的安全運轉，避免讓入侵者借助公開網段對內部網構成威脅，我們有必要使用防火墻技術對此進行限定。防火墻路由器通常都具有過濾型防火墻功能。這一功能通俗地說就是由路由器過濾掉非正常IP包，把大量的非法訪問隔離在路由器之外。過濾的主要依據在源、目的IP地址和網絡訪問所使用的TCP或UDP端口號。幾乎所有的應用都有其固定的TCP或UDP端口號，通過對端口號的限制，可以限定網絡中運行的應用。六、產品選型1、網絡設備選型1) 主干交換機 目前生產交換機的廠商比較多，著名的有Intel、3COM、Cisco等。Intel公司雖然具備很強大

24、的芯片設計開發及生產能力，但是其交換機產品線不全，它的產品性價比不高。3COM公司的交換機設備雖然在以前占據了很大的市場份額，但是目前3COM公司的交換機技術已經跟不上潮流了，而3COM已將自己的交換機產品部賣給了其他公司并不再進行產品線的后續開發。Cisco公司是著名的專業網絡設備設計生產廠商，具備其專有網際操作系統IOS，不但技術先進而且其交換機產品線很齊全，它的產品有很高的性價比。并且Cisco公司對政府行業的支持力度很大。主干交換機是整個網絡的核心，本方案網絡建設要求具備連接達300個網絡站點的交換能力，應用對主干服務器的訪問及其數據流量對主干交換機的性能要求很高。通過以上分析本方案主

25、干交換機確定采用Cisco公司的Cisco Catalyst 3524XL。Cisco Catalyst 3524XL系列是一系列可擴展、可堆疊的10/100和千兆位以太網交換機，提供最佳的性能、可管理性和靈活性以及無與倫比的投資保護。 2) 桌面接入交換機我們采用交換機而不使用共享式集線器到桌面是由于區檢察院實際使用情況是主要表現在集中突發性，即各職能工作站同時使用同一軟件的情況比較多，如果使用共享到桌面，網絡就會產生擁阻而影響速度，因此在大型局域網中應使用百兆交換到桌面。我們認為區檢察院在十兆與百兆交換機中應選擇百兆交換，因為10兆雖然在目前網絡使用中剛剛能達到要求，但是已經不適應功能越來

26、越強的計算機與新的應用軟件的發展，更不適應更快的計算機通訊產品的要求，將成為它們之間最大的瓶頸。 同時考慮到與主干交換機的兼容性以及無縫融合。建議采用與主干交換機同廠商的產品。 因此我們將采用Cisco公司的3524XL交換機通過作為本網工作組級接入交換機組，直接連接各職能工作站。通過Cisco先進的、獨特的堆疊技術將第一期的100個站點分成4個網段，每個網段采用1臺3524XL交換機。另外我們通過虛網技術，使每個辦公室或每個部門之間的互訪得到有效的管理和控制，提高網絡的安全性。以合理價格實現工作組與終端設備的100Mbps連接的可擴展交換機，Cisco Catalyst 3524XL是將專用

27、快速以太網式的性能擴展到整個網絡的理想選擇，它可使用戶的終端設備、服務器及其它網絡設施享受這種高性能的解決方案。這種高性能的解決方案可隨網絡的成長而自由地擴展。2、路由器考慮到Internet和其他網絡的連接(如CHINANET等)，目前設計的局域網都要考慮對廣域網絡的連接，更廣的資源和更多的應用將是在各種廣域連接中發現。目前，越來越多的企事業建立了自己的WEB。因此，能否有效地連接Internet是區檢察院內部網建立的一個重要的目標。Cisco公司是路由器的鼻祖，其路由器技術已經成為了業界默認的標準，并且Cisco路由器的高性能在業界中也是首屈一指的。目前安全已成為今天大多數網絡管理者關心的

28、主要問題，Cisco 路由器配合廣為流行、功能強大、業界領先的 Cisco IOS 軟件，可以為客戶核心網絡提供全面的安全保障。Cisco 2600 系列是 Cisco 數據/語音/視頻集成方案的一個關鍵成員，提供業界最廣泛的基于 IP 和幀中繼的端到端分組電話解決方案。Cisco 2600對通道傳輸提供強大的加密功能。這種加密功能使用具有144位加密鑰匙的Blowfish算法。與此相比，一些競爭對手的方案只具有40到128位長的加密鑰匙。由此可見其加密功能的強大。任何數據在進入公用網域之前都將被加密并打成標準的IP包。由于加密是針對整個數據流的，所以原始的源地址和目標地址將被隱蔽起來，不會被潛在的黑客所發現。確保您的私人通訊數據通過公用網域時的安全。而且Cisco 2600系列路由器與競爭產品相比具有以下優勢：l 多方面WAN協議選擇Cisco 2600系列路由器支持今天最被廣為使用的網絡協議，包括IP、Novell IPX和AppleTalk，和一系列路由協議。l 卓越的