1、GA/T75-94安全防范工程程序与要求GA308-2001安全防范系统验收规则GB50394-2007入侵报警系统工程设计规范GB10408.1-2000入侵探测器通用技术条件GB/T16572-1996防盗报警中心控制台GB50395-2007视频安防监控系统工程设计规范GB50198-94民用闭路监视电视系统工程技术规范GB50464-2008视频显示系统工程技术规范GB50373-2006通信管道与通道工程设计规范GB50371-2006厅堂扩声系统设计规范GYJ25-86厅堂扩声系统声学特性指标CECS89:97工业企业调度电话和会议电话工程设计规范GB50174-2008电子信息系
2、统机房设计规范GB50462-2008电子信息系统机房施工及验收规范3.计算机网络系统原则一个计算机信息网络系统的设计,必须有一个好的设计指导思想。通过合理的选择结构化布线系统、网络结构、网络设备、操作系统以及开发环境,才能构成一个真正完善实用的网络信息系统。作为一家知名的系统集成商,我们拥有一流的信息管理、网络建设技术和丰富的应用开发经验。在对越秀区财政局办公大楼计算机网络系统的方案设计中,我们将按照下述原则进行系统的设计: 1.实用性充分满足越秀区财政局办公网络现在及未来的各种需求,让结构化布线系统真正为越秀区财政局的计算机网络建设提供强有力的支持。 2.采用标准技术本系统的设计均遵循国际
3、上现行的标准进行,提高系统的开放性,始终能随着技术的发展进行系统的扩充、升级和提高。 3.高可靠性一个实用的系统同时必须是可靠的,本设计通过合理而先进的网络系统设计及软、硬件的优化选型,以保证系统的可靠性与容错性,避免灾难性事故发生。 4.高性能、先进性本系统同时存在多种应用,数据交换将是大量的,因此要求系统具有很大的带宽。本设计将充分应用现有成熟的先进技术,选用先进的设备,提供高性能的系统,采用先进的软件技术,为越秀区财政局提供可靠、高效的服务。 5.高安全性在设计中,充分利用网络硬件、网络软件及系统提供的各种安全措施,既保证越秀区财政局各用户不仅能高效、快速地访问权限范围内的系统资源,也能
4、有效地阻止用户之间的非法侵入、非授权访问,保证各部门重要数据的安全性。 6.可维护性系统开通后,维护工作将是一个长期的工作,考虑到管理维护的可视化、层次化及控制的实时性,本设计将充分利用相应的图形化网络管理技术,真正做到系统的所有资源状况一目了然,能充分保证将设备故障控制在有限范围,保证整个大院各系统的正常运行。 同时,通过培训建立、健全用户的系统管理员队伍等相应手段降低维护工作量及难度,从而达到保证运行可靠及节省费用目的。 7.可扩展性及灵活性网络技术是不停发展的,用户的应用需求也是发展和变化的。在设计中,我们将充分考虑网络应用系统扩展升级的潜在要求,以及对各种不同结构、不同协议、不同标准的
5、网络及设备的支持,保证本系统能适应网络系统及应用系统的扩展和升级。 8.经济性在满足功能要求的前提下,尽可能做到少花钱,多办事,充分利用现有资源,尽可能提高系统性能价格比。针对医院办公大楼计算机网络系统的具体要求,我们提出如下的总体解决方案。4.计算机网络系统方案1网络通信联网协议TCP/IP :每种网络协议都有自己的优点,但是只有TCP/IP允许与Internet完全的连接。Telnet:远程登录访问协议,使其他跨省区域的子公司通过远程访问总部的内外,在远程访问时,会设置相应的ACL认证和相对的权限设置。SNMP网络管理协议:SNMP 用于在 IP 网络管理网络节点(服务器、工作站、路由器、
6、交换机及 HUBS 等)的一种标准协议,它是一种应用层协议。SNMP 使网络管理员能够管理网络效能,发现并解决网络问题以及规划网络增长。通过 SNMP 接收随机消息(及事件报告)网络管理系统获知网络出现问题。路由协议:RIP、IGRP、EIGRP、IS-IS和OSPF。2网络 IP 地址规划医院内网计划使用私有的A类IP地址。医院内的IP地址分配原则如下:医院使用IPv4地址方案。医院使用私有IP地址空间:10.0.0.0/8。医院使用VLSM(变长子网掩码)技术分配IP地址空间。医院IP地址分配满足集团的利用。医院IP地址分配满足便于路由汇聚。医院IP地址分配满足分类控制等。医院IP地址分配
7、满足未来公司网络扩容的需要。 3网络技术方案设计总体网络采用基于树型的双星型结构,使之具有链路冗余特性;整体网络规划为核心及服务器群区域,内部骨干区域(汇聚链路),接入层上联区域,客户端接入区域;核心交换机位于集团总部机房,并为双核心,使用双主干网络设计,保证主交换机网络的容错。在一台交换机出现故障的时候保障网络的正常运行,也不用手工切换和维护,保证网络的可靠性。采用全交换硬件体系结构,可实现全线速的IP交换;网络主干采用先进的千兆位以太交换技术,可最大限度地提高主干的数据传输速率。使用千兆网络保证网络交易速度与实时性,使用了FEC/GEC 技术实现网络带宽的扩展,适应网络不断扩展的要求。根据
8、需求概括,我们选择的是D-Link企业级的DES-8503万兆核心交换机为本次网路建设总部机房的核心交换;DES-8503万兆核心路由交换机作为新一代大容量、高密度、高性能、模块化核心路由交换机产品,其背板带宽高达3.2Tbps,包转发速率最大为952Mpps,具备二到四层线速交换能力。DES-8503万兆路由交换机基于先进的模块化理念进行设计,并采用了基于多处理器分布式处理机制和Crossbar空分交换结构的体系结构,关键模块均采用1:1冗余备份。可提供10GE、GE、FE等各种丰富的接口模块,并全面支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能。整个系统所具备的
9、高可靠性、高扩展性、强大的业务能力等特点可以满足各种网络核心层的建设需求。DES-8503(3个插槽)作为D-Link行业产品线核心交换机之一,可广泛的应用在各行业的IP网核心、企业数据中心、IP城域网核心和汇聚、校园网核心等场所,为用户提供多种业务接入、路由交换一体化的安全融合网络解决方案。ES-8503万兆核心路由交换机具有一下的优点:先进的系统架构:采用了分布式、模块化设计理念,并采用了基于多处理器分布式处理机制和Crossbar空分交换结构的体系结构。这保证了系统优异的转发性能、强大的业务能力和高度的可扩展性。高端口密度和线速路由及交换:具有丰富的接口类型,提供10GE、GE、FE等接
10、口。可以真正实现高端口密度和线速路由及交换。 大容量、高性能:支持高达952Mpps的路由包转发能力,并支持512K条第三层路由信息、512K第二层的MAC地址以及4096组VLAN、8K条安全和访问控制策略,保证了数据线速转发的要求。增强的业务功能:具有L2/L3/L4线速交换能力、具备QoS、MPLS、NAT、带宽控制、组播等高级性能,是定位于网络核心层、实现整体网络增值的优选设备。同时,提供基于硬件的流量分类和组播以及速率限制和先进的服务质量保证(QoS)机制,可为用户开展增值业务提供强大的支持。强大的安全功能:支持ACL安全过滤机制,可提供基于用户、地址、应用以及端口级的安全控制功能,
11、并支持IPSec、MPLSVPN特性。同时,支持基于端口不同优先级对列的和基于流的入口和出口带宽限制、uRPF、防DDOS攻击、SSH2.0安全管理、802.1x接入认证及透传,VLANID与MAC地址、端口号、IP地址捆绑等安全功能。此外,系统还具备完善的抗病毒机制,可以为网络运营提供全面的安全保证。支持IPv6:全面实现了各种IPv6协议技术,包括IPv4和IPv6双协议栈和基于手工配置隧道、自动配置隧道、6to4隧道等IPv4向IPv6的基本过渡技术。同时,实现了IPv6静态路由,支持BGP4/BGP4+、RIPng、OSPFv3等动态路由协议。全面支持二、三层MPLSVPN:二层MPL
12、SVPN支持Martini协议(VPWS)和VPLS、三层MPLSVPN采用RFC2547bis,具有良好的兼容性,可以与其他主流厂家的设备实现MPLSVPN业务的全面互通。电信级可靠性:系统的主控单元、电源等等关键模块均可以进行1:1方式的备份,无中断保护系统(HitlessProtectionSystem-HPS)为DES-8500的高可靠性提供了最重要的保证,在配置冗余控制模块的情况下,它能满足最苛刻的可靠性要求。同时,DES-8500的VRRP、STP、LACP等功能为用户提供了进一步的可靠性保证。统一的网管功能:支持RFC1213SNMP(简单网络管理协议),带内网管的形式可采用基于
13、Telnet的配置管理(CLI命令行的形式)或基于SNMP的配置管理(图形界面的形式),实现基于BroadDirector网管平台的统一网管。接入层为楼层的工作组及交换机。核心层与接入层以千兆以太网技术相连,传输速率达1Gbps,采用全双工通信可达2Gbps。其物理连接采用多模光缆相互连接,以提供物理层、链路层及IP层的冗余连接能力。核心交换:三层千兆交换机为整个网络的核心,它对整个网络的性能,可靠性起决定性作用,它连接各个物理子网,治理网络内信息交换(包括多媒体信息),控制VLAN间访问,保证信息安全。因此,我们选用的中心交换机除了提供高速的网络连接之外,还具有多种信息的治理和控制能力。全部
14、的网络设备均支持高效的Intranet多媒体和多点广播技术、治理协议(CGMP)等,为多媒体和多点广播应用如IPTV等提供端到端的带宽保证。网络采用分层结构,不仅逻辑结构清楚,治理方便;更重要的是大多数的数据流量(主要是同一部门或工作组内)的交换在次级节点分布交换机上直接处理,不经中心设备,节省主干带宽,提高利用率。有一定的前瞻性,不仅满足当前网上应用,也为将来更高性能的升级作好了预备:网络具有良好的伸缩性,升级和扩展主要只集中在网络中心,添加新的接口模块,即可实现用户和信息点的扩充;增加光纤连接即可大量提高主干带宽;中心增配另一台多层交换机,网络结构就能连接成可靠性的、真正的中心交换机互备份
15、和上联线路冗余。配合热备份路由协议和热备份双服务器主机系统,在整个系统内消除单点故障,提供高可用性的应用服务系统。汇聚交换及接入交换:二级交换机可以每个独立构成一个VLAN,也可以多个二层交换机构成一个VLAN。VLAN之间的路由由中心交换机负责。不同的部门/单位可以通过配置不同的VLAN等方式来隔离广播和信息流,不但可以提高网络效率,而且可以增强网络安全。而每台交换机上的10/100自适应端口又可以与下层100M到10M交换式集线器相连接。心交换机与二层交换机以1000M全双工的方式相连接。这样的连接结构可保证网络带宽的最大限度的合理应用。集团由总部机房采取一处连接Internet中,设置防
16、火墙等安全软件,并对外网的远程登录设置权限及相应的安全认证!4网络应用系统选择根据集团用户对操作系统的要求:操作系统要求选择最新版本,所选操作系统需要提供方便的更新与升级方法,服务器操作系统需要能够提供目录服务功能,服务器及客户机操作系统都需要支持TCP/IP协议,所选操作系统应能够方便的实现用户和权限的管理,秘选操作系统应能够运行大多数应用软件,例如办公软件、图像处理软件、CAD财等,我们选择Linux,它具有极高的稳定性、先天的安全性、软件安装的便利性、多任务、多使用者、免费或少许费用、有强大的网络功能、在相关软件的支持下,可实现WWW、FTP、DNS、DHCP、E-mail等服务。建立W
17、WW服务器,实现Internet上浏览和查询;建立FTP服务器,结合学校实际和需要逐步建立远程FTP服务;建立服务器把图文信息组织成分布式的超文本,并用信息指针指向存有相关信息的服务器,使用户可以方便地访问这些信息。当网上用户增多时,网络访问很频繁,通信量很大,随机性强。作为全校的通讯枢纽,需要配备高性能的服务器设备,主要的需求是高性能的、体系结构、高速通道和网络通道。建立域名服务器,各地名字服务器管理下属主机和子域,并由高一级名字服务器监管,但每个域至少需要配备一台以上的名字服务器。数据量不大,但访问频繁。建立数据库服务器能有高效的处理速度、较大的内存和磁盘空间、快速的系统和网络界面,较高的
18、可靠性,完善的系统备份功能和较好的可扩充性能。5网络安全系统设计内网安全设计:访问控制,通过密码、口令(不定期修改、定期保存密码与口令)等禁止非授权用户对服务器的访问,以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。外网安全设计:安装软件、硬件、防火墙,网络防病毒软件,客户端防病毒软件;利用代理服务器提供Internet与Intranet之间的防火墙功能;通过网管实时记录网络的运行状态。设置远程访问身份认证,防止垃圾邮件等。6网络管理维护设计根据集团和服务器应用模式及全网范围资源集中管理的原则,在集团总部机房建立
19、中心管理机房,统一网络中的交换设备的管理配置,虚网设计和配置,各种服务建立等。网管工作站对全网所有交换设备和路由设备进行统一管理、配置和维护;进行故障隔离、分析、统计、报警、设置;网管软件采用图形化界面,支持广泛的网管平台。5设备选型二、计算机网络系统序号设备名称技术说明单位数量型号品牌一、内网内网核心交换机1以太网交换机主机台2ES0Z1B03ACS0华为交流电源模块,300W4800W3交换路由引擎,提供24端口千兆/百兆以太网光口(SFP,LC),其中8端口可光电复用ES0D0S24XA002端口万兆以太网光接口模块2端口万兆以太网光接口模块(XFP,LC)5万兆光纤模块光模块-XFP-
20、10G-多模模块-(850nm,300m,LC)OMXD300006多模模块光模块-SFP-GE-多模模块-(850nm,0.55km,LC),为东楼已有设备配置4个14eSFP-GE-SX-MM850内网接入交换机24口百兆接入层交换机24个10/100Base-TX,2个10/100/1000Base-T与1000Base-X SFP COMBO,交流供电S2700-26TP-EI-AC48口百兆接入层交换机L2以太网交换机主机(48FE+4SFP+2GE Combo),交流供电S2700-52P-EI-AC堆叠线缆条LS2MCABLE000出口安全设备统一威胁管理设备主机统一威胁管理设备
21、主机,交流电源,国内版USG2210E内网无线设备无线控制器24端口千兆(4 SFP Combo+Slot插槽+PoE Plus)有线无线一体化交换机AC6605-26-PWR-64AP无线局域网智能室内放装型2.4/5GHz双频接入点-FIT23AP6010DN-AGN-CNPOE注入模块单端口POE注入单元(含25W电源,千兆,可并排安装)外网外网核心交换机L3以太网交换机主机24SFP+8GE Combo+2Slots-单交流电源S5700-28C-EI-24S光模块-SFP-GE-多模模块-(850nm,0.55km,LC)外网接入交换机以太网交换机主机,24个10/100Base-TX,2个10/100/1000Base-T与1000Base-X SFP COMBO,交流供电外网安全设备1GB CF卡1GB CF
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2