论文部分内容阅读
计算机局域网是基于各单位业务需求,以实现单位内部的信息传输、交换、共享,为各应用子系统提供信息传输通道而建立的网络平台。
1、网络结构
基于网络安全及信息安全考虑,省中心局域网设计为普通网和涉密网,两网实行物理隔离,即构筑两套互相独立的结构化布线系统。本节内容涉及的既是普通网。
局域网连接Internet的部分称为普通网。该网络主干带宽为千兆,终端带宽为百兆。即楼层交换机利用内置的千兆以太网接口通过多膜光纤实现与核心交换机的连接,同时配置足够的楼层交换机,提供足够的100M以太网接入端口,满足网络用户的需求,确保100M到桌面的网络性能。该网络的高带宽不仅满足数据和语音的传输,也实现网上视频信号传输,基本具备了三网合一的功能。
由于在未来的网络运行中有业务网络和办公网络等多种专业网的共存,不同专业网络之间的数据相对敏感,为了确保网络管理的方便和网络结构的清晰,有必要将各个专网进行分割,故要求核心交换设备必须具有支持虚拟子网(VLAN)设计和第三层交换的能力。
2、网络建设
⑴网络核心层
核心层是局域网络的中枢。本系统的核心层设计采用一台Catalyst 4006交换机作为主干交换机(见图1-2)。为了提高网络核心的高可靠性和高性能,在Catalyst4006交换机中配置了千兆以太网接口模块、冗余电源、第三层路由模块等设备,为网络核心提供高速核心交换和第三层路由等关键服务。
在Catalyst 4006上,配置四个6端口千兆以太网模块,用于与分布层互连,一个48口百兆交换模块,满足中心本地设备的接入需求。
图1-2 Cisco Catalyst 4006交换机
⑵网络分布层
分布层的主要任务是为网络用户提供网络接入能力。根据网络现状调研和用戶需求分析,在分布层应为用户提供总数不低于200结点的100M以太网接入端口,以满足现有网络用户的需求,确保100M到桌面的网络性能。此外还需充分考虑近期新增用户接入点的扩展和均匀分布。
⑶虚拟子网(VLAN)
对于一个大型的局域网络来说,VLAN的划分是非常重要的功能,它为限制全网范围的广播和多点广播提供了有效的手段。在网络建设中选择切实可行的技术进行VLAN的灵活划分,能够跨越交换机划分VLAN,高性能地实现 VLAN之间的路由,并能提供一些基于VLAN的安全特性。
在本建设方案中,由于采用的中心网络设备是Cisco公司的Catalyst 4006交换机,这使得可以很方便的进行全网范围内的VLAN划分和路由(参见图1-3)。在各楼层交换机上,根据业务需求或部门分类能够实现基于端口或MAC地址划分不同的VLAN并使其与IP子网相符合。更进一步,还可以利用服务器上的用户名(及其相应的口令)来划分VLAN,使VLAN划分更加灵活方便,而且由于有用户口令的保护使得VLAN的访问更加安全。利用Cisco公司提供的这种动态VLAN解决方案,还能够很方便的实现移动办公,并能够有效防止非法设备
户名(及其相应的口令)来划分VLAN,使VLAN划分更加灵活方便,而且由于有用户口令的保护使得VLAN的访问更加安全。利用Cisco公司提供的这种动态VLAN解决方案,还能够很方便的实现移动办公,并能够有效防止非法设备接入网络。
网络管理
1、RME网络管理核心
RME(Resource Manager Essentials)是一种适用于Cisco路由器、交换及接入服务器的功能强大、基于Web的网络管理解决方案。它的浏览器接口可轻松接入到对网络正常运转时间至关重要的信息。Resource Manager Essential使管理网络库存和设备变化、归档和查寻配置文件及迅速采用新的软件版本的工作一体化,帮助排除关键网络设备的基本连接状态的故障,并提供硬件容量规划所需的信息。
2、CM园区网管理
CM承袭了Cisco Works for Switched Internetworks 的功能。CM园区网是一种管理Cisco Catalyst 和LightStream 交换机的综合管理解决方案,它在单个设备和整个网络范围的基础上提供广泛的网络搜索和显示、配置、LAN/WAN业务及性能管理功能。
3、网络流量管理
网络流量管理工具是综合性的网络流量监视,网络排错工具。它结合网络探索器,NAM网络分析模块的使用,提供了30多种应用,用以监视网络的性能,网络的应用,网络排错,和网络历史数据统计,图形化显示和各种网络分析报告。
图1-3 VLAN划分原理示意图
网络安全
整体安全策略和安全体系建设如下:
1、实体安全
通过建设符合安全标准的机房环境,加强设备及场地安全管理等措施,提高实体安全水平。
2、政务内、外网的物理隔离
根据国家规定,政务内外网必须完全物理隔离。政务外网与因特网逻辑隔离。
3、多层防御
采取防火墙、代理技术控制网络行为;采取端口扫描、帮助发现系统漏洞,;
采取访问控制技术防止非法用户访问未授权数据。通过多种技术的结合达到保障网络安全的目的。
4、建立政务信任体系
首先建设部门网范围内的认证系统,条件成熟时,在国家有关部门的指导下,建立以PKI为基础的水利部认证中心,管理水利系统内部用户的注册、颁证、认证和授权。
5、攻击监控
采用入侵监测的技术从网络级、系统级、数据库级和应用级全面加强内部审计,防范内部人员的破坏。
6、加固技术平台
各类网络服务器要采用安全级别高的平台。要选用安全的操作系统和数据库管理系统。要采用适当的备份措施,包括建设异地备份中心。
7、病毒防范
随着计算机技术的不断发展,计算机病毒也变得越来越复杂,其扩散速度也越来越快,对计算机系统构成极大的威胁。为确保水利信息系统能正常、安全、高效地运行,必须加强对计算机病毒的防范。配置防毒墙和网络杀毒软件能有效抵御网络病毒的袭击。
8、检查安全漏洞:对安全漏洞进行周期性的检查,使得绝大多数攻击即使到达攻击目标也无破坏性;
1、网络结构
基于网络安全及信息安全考虑,省中心局域网设计为普通网和涉密网,两网实行物理隔离,即构筑两套互相独立的结构化布线系统。本节内容涉及的既是普通网。
局域网连接Internet的部分称为普通网。该网络主干带宽为千兆,终端带宽为百兆。即楼层交换机利用内置的千兆以太网接口通过多膜光纤实现与核心交换机的连接,同时配置足够的楼层交换机,提供足够的100M以太网接入端口,满足网络用户的需求,确保100M到桌面的网络性能。该网络的高带宽不仅满足数据和语音的传输,也实现网上视频信号传输,基本具备了三网合一的功能。
由于在未来的网络运行中有业务网络和办公网络等多种专业网的共存,不同专业网络之间的数据相对敏感,为了确保网络管理的方便和网络结构的清晰,有必要将各个专网进行分割,故要求核心交换设备必须具有支持虚拟子网(VLAN)设计和第三层交换的能力。
2、网络建设
⑴网络核心层
核心层是局域网络的中枢。本系统的核心层设计采用一台Catalyst 4006交换机作为主干交换机(见图1-2)。为了提高网络核心的高可靠性和高性能,在Catalyst4006交换机中配置了千兆以太网接口模块、冗余电源、第三层路由模块等设备,为网络核心提供高速核心交换和第三层路由等关键服务。
在Catalyst 4006上,配置四个6端口千兆以太网模块,用于与分布层互连,一个48口百兆交换模块,满足中心本地设备的接入需求。
图1-2 Cisco Catalyst 4006交换机
⑵网络分布层
分布层的主要任务是为网络用户提供网络接入能力。根据网络现状调研和用戶需求分析,在分布层应为用户提供总数不低于200结点的100M以太网接入端口,以满足现有网络用户的需求,确保100M到桌面的网络性能。此外还需充分考虑近期新增用户接入点的扩展和均匀分布。
⑶虚拟子网(VLAN)
对于一个大型的局域网络来说,VLAN的划分是非常重要的功能,它为限制全网范围的广播和多点广播提供了有效的手段。在网络建设中选择切实可行的技术进行VLAN的灵活划分,能够跨越交换机划分VLAN,高性能地实现 VLAN之间的路由,并能提供一些基于VLAN的安全特性。
在本建设方案中,由于采用的中心网络设备是Cisco公司的Catalyst 4006交换机,这使得可以很方便的进行全网范围内的VLAN划分和路由(参见图1-3)。在各楼层交换机上,根据业务需求或部门分类能够实现基于端口或MAC地址划分不同的VLAN并使其与IP子网相符合。更进一步,还可以利用服务器上的用户名(及其相应的口令)来划分VLAN,使VLAN划分更加灵活方便,而且由于有用户口令的保护使得VLAN的访问更加安全。利用Cisco公司提供的这种动态VLAN解决方案,还能够很方便的实现移动办公,并能够有效防止非法设备
户名(及其相应的口令)来划分VLAN,使VLAN划分更加灵活方便,而且由于有用户口令的保护使得VLAN的访问更加安全。利用Cisco公司提供的这种动态VLAN解决方案,还能够很方便的实现移动办公,并能够有效防止非法设备接入网络。
网络管理
1、RME网络管理核心
RME(Resource Manager Essentials)是一种适用于Cisco路由器、交换及接入服务器的功能强大、基于Web的网络管理解决方案。它的浏览器接口可轻松接入到对网络正常运转时间至关重要的信息。Resource Manager Essential使管理网络库存和设备变化、归档和查寻配置文件及迅速采用新的软件版本的工作一体化,帮助排除关键网络设备的基本连接状态的故障,并提供硬件容量规划所需的信息。
2、CM园区网管理
CM承袭了Cisco Works for Switched Internetworks 的功能。CM园区网是一种管理Cisco Catalyst 和LightStream 交换机的综合管理解决方案,它在单个设备和整个网络范围的基础上提供广泛的网络搜索和显示、配置、LAN/WAN业务及性能管理功能。
3、网络流量管理
网络流量管理工具是综合性的网络流量监视,网络排错工具。它结合网络探索器,NAM网络分析模块的使用,提供了30多种应用,用以监视网络的性能,网络的应用,网络排错,和网络历史数据统计,图形化显示和各种网络分析报告。
图1-3 VLAN划分原理示意图
网络安全
整体安全策略和安全体系建设如下:
1、实体安全
通过建设符合安全标准的机房环境,加强设备及场地安全管理等措施,提高实体安全水平。
2、政务内、外网的物理隔离
根据国家规定,政务内外网必须完全物理隔离。政务外网与因特网逻辑隔离。
3、多层防御
采取防火墙、代理技术控制网络行为;采取端口扫描、帮助发现系统漏洞,;
采取访问控制技术防止非法用户访问未授权数据。通过多种技术的结合达到保障网络安全的目的。
4、建立政务信任体系
首先建设部门网范围内的认证系统,条件成熟时,在国家有关部门的指导下,建立以PKI为基础的水利部认证中心,管理水利系统内部用户的注册、颁证、认证和授权。
5、攻击监控
采用入侵监测的技术从网络级、系统级、数据库级和应用级全面加强内部审计,防范内部人员的破坏。
6、加固技术平台
各类网络服务器要采用安全级别高的平台。要选用安全的操作系统和数据库管理系统。要采用适当的备份措施,包括建设异地备份中心。
7、病毒防范
随着计算机技术的不断发展,计算机病毒也变得越来越复杂,其扩散速度也越来越快,对计算机系统构成极大的威胁。为确保水利信息系统能正常、安全、高效地运行,必须加强对计算机病毒的防范。配置防毒墙和网络杀毒软件能有效抵御网络病毒的袭击。
8、检查安全漏洞:对安全漏洞进行周期性的检查,使得绝大多数攻击即使到达攻击目标也无破坏性;