(完整word版)网络系统设计方案

1.系统需求

项目的弱电系统总体设计要求是“理念先进、技术一流、经济实用和今后良好的扩展性”，满足用户的特殊要求，达到国家建设部智能化建筑的甲级标准并通过验收。项目中的计算机网络系统将为建筑内信息系统提供稳定、可靠、安全的信息流通环境。网络系统是xxxxx工程中的重要系统，它将作为多种应用系统的系统沟通平台，包括管理系统，业务系统等，因此网络系统应定位于提供高性能，高可靠的系统设计。

2.设计原则

●可靠性

xxxxx工程的信息应用系统具有较高的可靠性要求，这决定了作为信息传输平台的网络系统也具有高度的可靠性。

●高性能

网络中可能存在复杂多元的应用系统，如多媒体应用，办公自动化，专业应用等，对网络的负载能力要较高要求。

●可扩展性和可升级性

目前xxxxx工程处于一期建设中，将来还将建设二级工程，网络系统将逐步扩大，同时随着应用系统的逐步完善，网络系统也将进行相应的扩展和升级，因此网络应具有良好的可升级扩展性。

●易管理、易维护

xxxxx工程中网络系统分布于多个建筑物中，同时网络系统中承载的应用系统重要性较高，因此网络系统需具有良好的可管理性，降低维护成本，放患于未然，保障业务系统的正常运行。

●安全性

根据xxxxx工程业主的特殊定位，网络要求有极高的安全性要求。

3.总体设计

3.1主干技术选型

选择合理的网络主干技术对一个大型网络来说十分重要，它关系到网络的服务品质和可持续发展的特性。网络主干包括主干网设备之间及其与汇聚点核心设备之间的连接。

对于xxxxx工程，我们选择采用千兆以太网GE技术、相对于其他宽带主干技术，它和以太网，快速以太网有更好的兼容性，在园区网规模或中小型城域网中具有最高的性能价格比。

3.2局域网结构

采取何种网络结构和建筑分布，应用需求均有较大的关系。通常在大型网络的设计中，网络结构分为三层，即核心、分布和接入层。核心层提供网络的核心路由交换功能，分布层负责将接入层设备汇聚进入核心层，接入层提供提供终端用户的接入网络。每个层次的网络专注于其功能要求，使网络设计模块化，便于管理和扩展。

对于xxxxx工程，相对于园区网，网络分布在较大范围内，包括信息中心/办公区，科研办公区，对外接待区，服务中心，生活设施区，辅助用房，休闲中心及将来得二期建筑。根据布线结构，科研办公区为一点数较大的单体建筑，将再设立两级配线间，简化了线缆结构，相应网络结构为二层结构和三层结构相结合的方式，即对于科研办公区，通过核心交换机，分布层交换机，接入交换机三级结构，而对于其他分配线间则通过核心交换机，接入交换机的二级结构(见后图)。

根据xxxxx工程需求，网络中包含内网和外网，通常内网中运行业务系统，办公自动化系统及专网应用等，外网运行互联网应用。业务系统具有较高的可靠性要求，因此网络结构上，内网网络主干需要更高的可靠性，内网网络核心采用了两台骨干交换机，分别和分布层交换机通过千兆光纤连接，从而形成了一个全网无单点故障的骨干网络。而外网出

于应用需求和成本的考虑，可采用单骨干交换机的架构，如下图：

3.3广域网连接

广域网方面通常包括互联网接入和专网接入。

互联网接入提供对互联网访问，目前互联网宽带接入的方式有ADSL、CableModem、ATM、宽带城域网等，ADSL和CableModem通常用作个人用户或小型公司的宽带接入，ATM需要专用接入设备，成本太高。而宽带城域网是通过光纤由ISP处引入，通过转换器转为以太网口接入用户设备，该种接入方式的接入带宽可由运营商端进行准确而灵活的限速，符合了xxxxx工程随着应用的发展逐步增加互联网接入带宽的需求，在接入设备上也无需专用广域网接入设备，可通过防火墙直接接入即可。

专网连接用于和相关单位或企业的网络连接，即Extranet。根据我方的工程经验和对专网互联技术的了解，专网连接通常有DDN/FR(帧中继)/ATM的专线连接、远程拨号连接以及构建在公网上的VPN专网等多种方式，ATM方式价格较高；远程拨号连接由于速率较低，通常作为备份方式；而VPN通过公网传输，存在一定的风险性。因此综合考虑，如租用运营商线路，出于安全性的考虑，可采用通过DDN/FR电信专线的方式，或直接通过自建的内部城域光缆网连接。

由于连接了公网和外部专网，安全性是必须考虑的，为此需配置防火墙设备，防火墙提供了较普通网络设备具有更完善的安全手段，提供了对内外网隔离和防外部攻击等特性。

如网络存在一些提供外部访问的应用，如专网业务应用等，这些网段的安全性级别高于外网，但低于内网，我们可将这些网段通过防火墙的第三个或第四个等网口接入，该区域被称为DMZ区（非军事区），DMZ区介于内外网之间，可作为缓冲地带，DMZ区的安全问题不会直接威胁到内网。广域网连接示意图如下：

3.4网络管理

根据xxxxx工程的特点，我们认为网络管理系统应具有以下特点：

●以应用系统为导向，在最大程度上保证应用系统运行的高稳定性。

●开放易用，在采用先进技术同时不会增加业务运行的人工维护成本。

●提供丰富的管理特性，满足复杂网络环境中的多方面管理需求。

●所提供的管理功能模块尽量相互集成。

网络中的所有网络资源，如交换机的设备工作状态、网络性能、通讯延时等应均可通过直观的人机介面进行监控、管理。使网络管理员不但可以改正出现的问题，还可以发现潜在问题。因此我们认为网管系统的主要功能应包括拓扑管理，故障管理，配置管理和性

能管理等功能。

3.5信息安全管理

根据xxxxx工程的安全定位，信息安全管理是xxxxx工程中一个较重要的网络应用，它关系到网络中各种重要数据，应用的安全性，直接影响xxxxx工程的正常运作。对于xxxxx 工程，安全管理可以从以下几方面考虑：

●网络设备自身的安全性

提供对网络设备配置访问的安全性，应采用严格的用户认证访问，安全的Telnet

和SNMP机制等措施，保证网络设备被安全访问。

●网络交换设备的安全策略

根据应用系统，用户终端的分类和安全需求，通过划分虚网，设置访问控制权限，以及限制路由等策略，提供底层数据访问的安全性。

●专用安全设备和系统

除了网络设备本身可以提供的安全性，还应配置安全设备以提供专门的安全策略。

1)防火墙防护

主要提供不同网段间的访问控制，应用控制，实时防攻击等能力，防火墙采用状

态检测技术，可动态判断流经数据包的合法性，大大提高了访问安全性。

2)入侵检测

作为一种被动式安全防范，安全威胁可以来自内部和外部，防火墙只能控制其他

网段对安全网段的访问，但对于内部或少量通过了防火墙的攻击访问就无法控制，为此采用入侵检测探测系统，实时监测重要网段，重要服务器的访问数据，一旦

发现非法访问和攻击行为即发出警报，从而最快速度的发现出现的安全问题。

3)身份认证等技术

对于远程拨号或重要网段接入用户，常要求通过身份认证赋予接入权限，为此需

提供专用的身份认证服务器，提供基于Radius，TACAS+等一系列动态认证服务。

4)防病毒软件和数据备份

对于应用级的数据安全，可配置防病毒软件。为提供其易用性，可采用Server

-Client架构的防病毒软件，由服务器自动向客户端分发最新的防病毒代码。4.网络方案设计

4.1设计概述

充分考虑了xxxxx项目的建筑结构，现状和发展前景，结合我公司丰富的工程经验，我们认为其网络系统的设计应本着高标准，高性能，整体规划，逐步实施的原则进行，网络系统即能满足相当长时间内的用户需求，又可在将来根据应用系统的发展和网络规模的发展，轻松地进行可靠性，性能，容量等多方面的扩展和升级，从而为用户提供性能价格比最佳，具有良好扩展能力的网络解决方案。

本次建设中局域网部分采用了二级结构设计。内网部分，主干交换机采用两台高性能，高可靠性核心交换机，通过双千兆链路连接接入层交换机，内网通过路由器和电信运营商的专线连接业务专网，并通过防火墙对网络进行安全隔离和防护。内网还通过配置入侵检测探测器提供对重要数据网段，如办公自动化，业务用数据区提供特殊的安全监控。

外网部分，配置单台核心交换机，通过千兆链路连接接入层交换机，并通过防火墙接入互联网，网络拓扑结构如下图：

内网网络拓扑

外网网络拓扑

4.2核心交换机

核心交换机担负着全网的数据交换，其性能很大程度决定了整体网络的性能，根据xxxxx工程的实际情况，我们认为核心交换机主要应具备以下特点：

●可靠性

核心交换机提供了全网数据的交换，其可靠性决定了整体网络的稳定和可靠。其可靠性应体现在多方面，包括：

1)物理层设计

核心交换机应具备关键部件的冗余，包括电源、风扇、管理模块等，放置部件的偶然性故障导致的核心交换机，乃至全网故障；模块应具备热拔插特性，保证故障处理时网络服务的延续性；背板采用无源背板设计，进一步加强系统可靠性。

2)链路层特性

支持多种链路层冗余协议，包括STP及其扩展协议，链路捆绑协议等。

3)网络层特性

提供丰富的三层路由协议，同时支持网关冗余协议（如VRRP）。

●高交换能力和端口密度

根据xxxxx工程布线的特点，一期内外网各有30余个分配线间，总布线点数各为3000个左右，二期规划还各将增加20余个分配线间，这样要求核心交换机具有较高的千兆端口密度，可满足接入大量分配线间的需求，而网络系统是这样一个高密度，大规模的网络，网络中存在丰富的多元化的应用系统，这些均要求核心交换机具有较高的交换性能，其指标体现在背板容量、包转发率等数据上。

●丰富的网络特性

为提供网络中多种应用支持，如对时延敏感的音视频应用，对数据可靠性要求较高的关键应用，网络应提供较强的QoS和Policing的功能，同时为提供网络内部的安全性，它应支持丰富的安全特性，如基于2-4层信息的线速访问控制等。

4.3分布层交换机

分布层交换机用于科研办公区，由于该区共有11个三级配线间需接入，分布层交换机作为多个接入交换机的汇聚点，也需物理结构上的关键部件冗余设计，并具有较高的千兆端口密度和分布层网络设备性能，如数据包转发能力，Qos，安全性等特性。

4.4接入交换机

对于楼层接入，由于xxxxx工程中分配线间点数平均分布在70-80个点间，首先接入交换机尽量采用高端口密度的交换机产品（如48个10/100M接入端口），其次为提供端到端的网络特性，接入交换机也应具有较丰富的网络特性和较高的网络性能。具体表现在：

●交换性能

提供快速数据转发，主要体现在接入交换机的背板容量和包转发率等指标。

●网络特性

提供高性能的Qos控制能力，保证真正端到端的Qos能力，同时具有丰富的接入安全特性，如802.1X，基于Mac地址的接入安全特性等。

根据综合布线系统，对于内网和外网，交换机数据端口可按布线点的一定比例配置，暂按布线量的60%配置，如下表：

外网数据点和交换机配置：

内网数据点和交换机配置：

4.5广域网接入

●防火墙

在xxxxx工程中，防火墙用于在互联网接入和专网连接处，提供对内网数据保护，在防火墙的选择上，主要应考虑其安全特性，数据转发性能等，安全特性指防火墙设备具备主流的安全策略(如基于包的动态状态判断)，提供主流的安全防护特性，同时在数据吞吐量，每秒可新建会话数，总会话数方面具有良好的特性指标。

●路由器

路由器在xxxxx工程中的定位是提供专网接入，产品选择上应和应用相配合，当xxxxx 作为专网分支节点时，只需路由器只需具备一定的数据包转发率和较丰富的网络特性即可，当xxxxx作为专网中的中心节点时，则路由器还应具有一定的广域网端口密度和更高的数据包转发性能和扩展能力。

4.6网络管理系统

网管系统也有助于网络系统的管理，网络故障的迅速定位和排除，提高网络的可用性。网管系统的主要功能应包括拓扑管理，故障管理，配置管理和性能管理等功能。为提供良好的使用界面，网管系统应提供图形化设备和拓扑显示，可实时监视设备流量，设备故障等多种信息。

4.7信息安全管理

信息安全管理是xxxxx项目中一个较重要的网络应用，它关系到网络中各种重要数据，应用的安全性，直接影响xxxxx项目的正常运作。

4.7.1网络设备管理的安全性

网络设备访问的安全性，关系到网络设备配置数据的安全性，如果网络设备本身被非法访问，非法入侵者将随意修改设备配置，整个网络将无安全性可言。网络设备本身的安全性主要应考虑良好的用户认证访问体系，网管数据传输的安全性。

首先对于设备的访问可基于中央用户认证系统，这样便于大批量网络设备的用户认证信息的维护。

其次网管数据应加密传输，通常网管工作是通过网管软件的SNMP（简单网络管理协议）和Telnet远程登录进行，传统的SNMP和Telnet数据均通过明文传输，当恶意用户通过Sniffer等系统进行网络监听时，有可能截获其数据包，从而获得访问信息，因此所有设备的管理应采用加密的网管方式进行访问。

xxxxx项目的网管软件应采用SNMP V3，其定义于RFC 2271中，和SNMPv1和SNMPv2相比，SNMPv3增加了三个新的安全机制：身份验证，加密和访问控制。由于使用了私钥（privKey）和验证密钥（authKey）来实现加密，其安全性大大提高。

对于Telnet应用，目前主要缺陷是：

●没有口令保护，远程用户的登陆传送的帐号和密码都是明文，使用普通的sniffer

都可以被截获

●没有强力认证过程。只是验证连接者的帐户和密码。

●没有完整性检查。传送的数据无法知道是否完整的，而不是被篡改过的数据。

●传送的数据都没有加密。

因此对于Telnet应用，应采用SSH加密的方式，SSH采用了公钥和密钥相结合的方式，提高数据的安全性和完整性。

4.7.2网络设备的安全特性

安全性是网络设备较重要的特性，根据网络设备的定位区别和应用的部署，需要不同的安全策略。

xxxxx项目中网络中的应用系统是复杂和多元化的，包括多媒体，办公自动化、业务系统系统等，其安全性要求各不相同，而对于互联网接入区，也有专网接入，DMZ区网段等

多个区域，因此应对不同的安全区域设备不同的安全策略。

●互联网接入和专网接入

系统通过防火墙接入互联网，该部分的安全性主要体现在防火墙上的安全设置。系统通过路由器和专网连接专网，其安全性体现在路由器，防火墙的多个区域安全信任关系的设置，具体策略设置将根据实际网络规划决定。

●接入和接入交换机

分布和接入交换机上可对网络进行二层隔离，即划分虚网，虚网使各网段在二层不可互通，提供了二层访问极高的安全性。而对于某些安全性要求较特殊网段，还可考虑采用接入安全特性，如802.1x基于用户认证的端口接入，基于Mac地址的端口接入安全等。从而在用户接入时提供最高的安全特性。

●核心交换机

由于接入交换机只提供二层接入，因此全网的三层交换主要由核心交换机提供，为此需提供严格的安全访问控制特性，具备增强的安全特性，考虑到网络核心交换的性能需要，应可提供基于2-4层线速的访问控制。

4.7.3专用安全设备

除了上述安全措施，为提供更高一级的安全性，我们还可以为网络配置了入侵检测器和用户认证服务器及防病毒软件等，实现完善的信息安全。

●用户身份认证

对于xxxxx项目，用户认证可用于网络设备管理，以及基于802.1x的用户接入。我们可以根据实际情况考虑配置用户认证系统，支持TACACS+和RADIUS等认证方式。

●入侵检测探测器

对于某些特殊网段，如办公自动化系统，业务系统等专用数据存储区域，除了主动防攻击，安全访问控制，还应提供被动式防范，即检测已突破了其他安全防范的访问数据，可以考虑部署侵检测探测器，监测重要网段，重要服务器的访问数据，一旦发现非法访问和攻击行为即发出警报，从而最快速度的发现出现的安全问题。

●其他措施

此外，还可以提供其他应用级的安全措施，如防病毒等措施，防病毒系统可采用了由中心服务器自动分发代码，提供系统防病毒的实时性和易操作性。

5.附件