1.1施工范围
1.1.1办公楼内综合布线;
1.1.2办公网络系统集成;
1.1.3厂房办公室局域网络布线及光纤接入办公网络;
1.1.4财务服务器与主网络物理隔离,以保证财务数据的绝对安全。
1.2设备需求
1.2.1办公网络办公楼和厂房的机房设备
机房电源要求为UPS供电;机房地板要求为抗静电的活动地板;保证数据安全的防火墙;确保财务数据的安全的物理隔离器;机房接地的避雷处理、机柜、相关服务器与交换机,要求能满足全部工作站的网络需求。
1.2.2新办公楼和厂房的网络布线
要求性能价格比较高的双绞线和信息插座。
1.2.3办公楼和厂房的光缆敷设
要求使用流行的多模光缆。
1.3质量需求
要求网络设计合理,达到设计要求。
第二章 系统设计方案
2.1系统拓朴设计
2.1.1、工程目标
实现办公楼内综合布线;
千兆主干网络,百兆到桌面;
实现办公网络的系统集成;
厂房办公室局域网络布线及光纤接入办公网络;
保障所长、书记及财务室数据资料的安全;
保证网络高效运转;
2.1.2、工程设计原则
1、实用原则:一切从实际出发,遵照实际情况确定方案的选择与实施,长春市试验机研究所的网络不仅要追求较高的标准,而且还要充分考虑到目前工作需要,并留出适度的拓展空间,以备将来升级的需要。
2、先进原则:利用最先进的计算机技术来建设网络平台和应用系统,并不断跟踪国内外的最新技术动态,保持系统的先进性。
3、经济原则:在设备选型上,对具有相似功能的产品进行全面的比较,用有限的资金购买更多的、性能价格比更高的产品。
4、高效原则:动员多方力量,团结合作,相互配合,使系统的建设得以高效率地进行。
2.1.3、系统物理简图
2.1.4逻辑布线图
2.2、设计说明
根据我公司经验及用户的具体需求,特设计如上图所示的网络拓朴图。现针对此拓扑图详细说明如下:
整个星型网络的实现主要有以下几个方面:主网络控制中心的构成、CAD设计中心网络、工厂办公区网络、财务网络的物理隔离、主体办公楼各层网络的建设、与Internet互连的实现。
2.2.1主网络控制中心的构成
主网络控制中心设在405室,集中放置交换设备和服务器(包括网络机柜、主交换机、CAD设计中心交换机、办公网络服务器、CAD设计中心服务器、对外服务器、防火墙、Internet接入设备等)。选用2台Cisco3550-48交换机作为整个办公网的主交换机,主交换机分别利用光纤和UTP线缆连接CAD设计中心交换机、厂区交换机和服务器群,用上联端口连接防火墙。防火墙采用标准3端口,上连ISP下连办公网,实现整个网络共享上网;中立区端口连接外部WWW、MAIL、DNS主机,实现对外宣传及联络。
2.2.2 CAD设计中心的网络建设和实现
为了保证CAD设计网络的独立运行,应单独为CAD设计网络配置自己的服务器和二级交换机,同时为了能满足网络的快速访问,要求将文件服务器、程序服务器和工作站共同连接在同一台二级交换机上。CAD设计中心采用Cisco3550-48交换机,为便于管理也放置于主控制室,并用光纤连接到主交换机。
2.2.3 工厂办公区网络的建设和实现
工厂办公区网络通过地下多模室外光纤实现与主办公区网络的连接。由于已经预先留有光纤通道,建议利用地下管道敷设;厂区办公室放置一台Cisco2950-24交换机,通过光纤与主交换机连接,将厂区的工作站连入办公网络。办公用电脑通过UTP线缆连到Cisco2950-24。
2.2.4 财务网络的物理隔离
本方案中所谓“物理隔离”是指财务网络不直接或间接地连接主办公网络。物理安全的目的是保护财务服务器的硬件实体和通信链路以及财务数据免受人为破坏和搭线窃听攻击。只有使财务网络和主办公网络物理隔离,才能真正保证财务服务器的内部信息不受来自主办公网络和互联网的黑客攻击。这样,便将财务网络和主办公网络划定了明确的安全边界,使得网络的可控性增强,便于内部管理。
通过敷设双UTP线缆,设置切换开关,实现财务网络与主网络的物理隔离。由网络控制中心交换机(Cisco3550-48)和财务交换机(Cisco2950-24)各引一根UTP双绞线到用户办公室与切换器相连,隔离器再与用户主机相连。利用切换器可以方便的实现用户主机与财务网、主办公网络的手动切换,进而实现了财务网络与主办公网络的物理隔离,保证了财务数据的安全性。
2.2.5外部服务器
从经济实用角度,外部服务器(包括WWW、MAIL、DNS)合并采用一台服务器,通过防火墙利用2M光纤实现与Internet的互连。
第三章 系统集成方案
3.1网络操作系统
网络操作系统的选用应该能够满足计算机网络系统的功能要求、性能要求,一般要做到网络维护简单,具有高级容错功能,容易扩充和可靠,具有广泛的第三方厂商的产品支持、保密性好、费用低。作为本系统的网络服务器,不仅要求提供强大而灵活的基本网络服务,同时应成为一个应用服务(C/S应用,INTRANET应用)的强大支持平台,我们选择WINDOWS 2000作为整个系统的网络操作系统。WINDOWS 2000结合了Windows98的用户界面,进一步简化了安装、使用和管理过程,在WINDOWS 2000中增加了几个管理向导,这些向导提供了实时的指导,能够在最普通的操作中对系统管理员进行训练; WINDOWS 2000提供了强大的网络管理功能,并可以管理观察网络上其他服务器及远程工作站。它的多重加密设计,能防止各种侵害并保障数据安全,不同级别的用户或管理员有不同的口令,明确管理责任且使用时不造成困扰。先进的保护设计(如RAID5,硬盘镜象, UPS控制...)能防止硬件损坏或掉电造成的损失。特殊设计的文件管理系统(NTFS)能在数十秒内恢复数百兆硬盘的工作能力。NTFS能运行在一般微机或多处理器超级微机(速度远超过小型机的速度)之上,提供最优越的价格性能比,当硬件升级时不必重新学习和编程。多种网络协议均能相互通讯,不需转换而使速度降低,并能与 N0VELL及多种小型机共存于网络上和实现文件共享。而且它提供了强大的管理网络的能力。它又是32位网络操作系统,进而保证系统的先进性。并且它上市时间早,系统功能己在实际得到充分的证实。另外, WINDOWS 2000对Microsoft Internet上Information Server (IIS)的直接集成,以及Index Server、Microsoft Internet Explorer和Microsoft Frontpage Web管理工具的加入,使得WINDOWS 2000成为一个比以往产品更强大的Internet/Intranet平台。通过提供更高级的互联性、可靠性。基本服务以及分布式计算机网络中传递商业关键信息所必要的管理工具,WINDOWS 2000为本系统提供了可靠、有效和高性能的网络操作。
3.2网络安全机制
Windows2000本身具有多种安全防卫机制。
作为新一代的企业级网络操作系统,Windows 2000在安全特性方面的设计注重了三个方面:
1.对于基于Internet的新型企业的支持。 Windows 2000的设计突破了原有的企业网络和Internet的界限,满足移动办公、远程工作和随时随地接入Internet进行通信和电子商务的需要。
2.微软在Windows 2000中提供的是一个安全性框架,并不偏重于任何一种特定的安全特性、新的安全协议、加密服务提供者或者第三方的验证技术,可以方便地使其结合到Windows 2000的安全服务提供者接口(SSPI)中,供用户选用。
3.考虑到用户向下兼容的需要,Windows 2000可以完全无缝地对Windows NT 4.0的网络提供支持,提供对Windows NT 4.0中采用的NTLM(NT LAN Manager)安全验证机制的支持。用户可以选择依照自己的步调迁移到Windows 2000中替代NTLM的Kerberos安全验证机制。
从下图中可以看到,通过Windows 2000实现了应用协议和底层安全验证协议的分离。不管是NTLM、Kerberos、Secure Channel(Schannel,是Web访问的常用验证方法),还是DPA(分布式口令认证,社团/内容网站常用的验证方法),它们对于应用层来说都是一致的。
[本文共有 2 页,当前是第 1 页] <<上一页 下一页>>
您的位置:
