《办公楼网络技术.doc》由会员分享,可在线阅读,更多相关《办公楼网络技术.doc(23页珍藏版)》请在金锄头文库上搜索。
1、澳洋医院办公楼及综合楼网络方案澳洋医院办公楼及综合楼网络方案目录第一章概述31.1建筑群网络建设背景31.2建网需求分析31.2.1 一般建网需求31.2.2 网络安全需求分析和对策4第二章总体网络设计和网络特点72.1 网络设计的原则72.2 网络拓扑82.3 方案说明82.4方案特色技术简介102.4.1 路由规划102.4.2 IP地址规划112.5无线方案122.5.1无线网络优势122.5.2无线局域网总体架构选择122.5.3供电问题132.5.4频率规划132.5.5频率复用142.5.6信号覆盖范围控制152.5.7 AP防盗设计152.5.8 多SSID接入162.5.9 A
2、P射频和SSID控制162.6网络设备选型162.6.1出口路由器162.6.2 防火墙162.6.3 核心交换机172.6.4 IPS插卡(入侵检测)172.6.5 ACG插卡(流控设备)182.6.6 汇聚交换机182.6.7 接入交换机182.6.8 无线控制器(AC)182.6.9 无线接入点(AP)192.6.10 网管系统19第三章网络设备集中统一管理解决方案213.1 网络管理概述213.2 网络管理需求分析213.3 网络管理总体设计22非物质文化遗产是指各族人民世代传承的,与群众生活密切相关的各种传统文化表现形式和文化空间,包括民俗活动、表演艺术、传统知识和技能以及与之相关的
3、器具、实物、手工制品等澳洋医院办公楼及综合楼网络方案第一章概述1.1 建筑群网络建设背景 当前,人类社会正处于一个伟大的转折时期,社会信息化的程度已被看作是一个国家现代化水平和综合国力的重要标志。在这个信息时代,各个单位各个部门的信息技术建设是极其重要的。因此在信息社会的今天,网络信息系统的建设尤其重要。网络系统建成后,将为办公大楼提供高效率的办公环境,实现无纸化协同办公。网络系统的设计必须兼顾先进性、高可靠性、容错性、灵活性与安全性,提供一套可监控、易管理、可扩展、易升级的高效网络系统。实现主干千兆,并且千兆交换到桌面的高效网络系统。本次组网是按照下面几点大的目标来考虑的,在一个健全成熟的网
4、络体系中,这几个点是必备的。因此本次组网力争做到下面几个方面:1. 建成较完善的局域网管理信息网络体系。实现局域网内部的可靠连接,实现网络内部各部门、各人员信息的交流与资源的共享。2. 建立高效的网络管理中心,整个公司网络的关键设备,如中心交换机、服务器、路由器等都集中安装在网络中心.公司网络建成后,利用高效的网管软件、安全策略,可对整个公司网络实施管理和监控。3. 建立高可靠性的网络系统,保证网络运行不间断。4建立高效协同的办公环境,保证各部分的的工作人员可以有良好的交流环境,使其相互之间的协作更加紧密,更利于发挥自己的潜能,为公司创造更多的价值。5进行策略控制,严格控制内网用户的操作权限,
5、给不同的人员分配不同的权限。6根据不同的部门划分不同的VLAN,保证各个部门之间的独立性,控制各个VALN之间的访问。经过这样的设计后,建设后的网络是一个高效的、功能完善的、安全的、可管理的网络。对网络的性能也做了优化,选用良好的设备,保证系统的高可用性。1.2 建网需求分析1.2.1 一般建网需求办公网网络在实际的建设过程当中,应当充分考虑到本次组网的多业务以及本企业的特点等应用需求,如:员工对服务器的访问,公网用户对服务器的访问,涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。此处主要分析办公网络基础设施建设和网络运营方面相关的内容,主要有以下几方面的特点:1、 对Interne
6、t的访问需求:将根据办公大楼实际需要,选择出口网络的带宽,通过ISP接入Internt。从而可以满足企业员工的上网需求,可以满足外网访问公司WEB、FTP、MAIL等服务器,利于公司做好对外宣传和服务。2、 用户管理的需求:。对用户带宽进行控制的需求,要求设备能对用户的带宽进行控制,辟如限制为64K 、256K、512K、1M、2M、5M、10M等等级。3、 网络管理的需求:整个网络的关键设备,如中心交换机、服务器、路由器等都集中安装在网络中心.公司网络建成后,利用高效的网管软件、安全策略,可对整个公司网络实施管理和监控。 4、 安全管理的需求:1) 在当前的网络环境下,如何保障办公网络的安全
7、成为各个公司在组建网时不得不考虑的问题,目前主要攻击手段有DOS、DDOS、IP欺骗、未授权访问等。2) 利用高性能的网络安全防御设备,在网络的出口处屏蔽掉病毒及黑客的攻击,保护内网数据的安全。5、 组播业务的需求随着多种业务的融合,特别是可控组播的需求将随着企业信息化的深入而体现出来。1.2.2 网络安全需求分析和对策随着以网络为核心的信息技术目新月异的发展,尤其是Internet/Intranet在全球的迅速普及,网络安全问题正日益成为人们关注的头号焦点。对于本企业网络来说,内部信息网络系统的安全涉及到两个方面的问题:l 如何有效防止来自外网的非法攻击;l 如何有效防止来自于网络内部,包括
8、管理人员的误操作以及某些恶意的内部攻击;对于后者往往是信息主管的重视程度往往不足。首先应该鼓励公司网络内部的互访,以使资源得到最大限度的共享。但同时安全意识不能丢。一般情况下,内部攻击所造成的危外部入侵要大得多,这是因为内部入侵者不像外部黑客,很少是因为好奇心趋势他们进络攻击行为,其中隐藏着较复杂的与内部有关的动机。他们一般非常熟悉网络内部环境,攻击手段隐秘。如果办公网络内部的重要核心资源不加以有效的保护,那么内部恶性入侵成的危害比外部非法入侵还要大。从办公网的网络结构来看,主要存在的危险有以下几点:1、 数据窃听;数据窃听是一种软件应用,它可以捕获通过某个冲突域的所有网络数据。通常我们利用数
9、据窃听功能进行网络故障的排除或进行流量分析。但黑客可以利用它获取一些非常有用且敏感的信息,比如用户名和密码等。2、 IP欺骗;当位于网络内部或外部的黑客主机模仿成为一台可信赖的计算机时,就称其进行了IP欺骗。黑客可通过两种方式达到上述目的:l 可以使用一个位于可靠网络IP地址范围内的IP地址;l 可以使用一个既可靠又能够访问网络上特定资源的授权外部IP址;3、 拒绝服务(DoS); 拒绝服务攻击(DoS) 的目的通常并不是进入某个网络或获取其中的信息。这种攻击的主要目的是使某种服务不能被正常使用,而且这种攻击通常是通过破坏网络、操作系统或应用程序,来致使某些服务不能被正常使用 。4、 密码攻击
10、;黑客可以采用几种不同的方法实施密码攻击,包括暴力破解,特洛伊木马方式,IP欺骗与数据窃听方式等。一旦他们拥有了用户的账号和密码,他们就拥有了和该用户完全相同的权利。5、 中间人攻击;进行中间人攻击要求黑客能够访问在网上传输的网络数据。黑客通常是通过使用网络数据窃听以及路由和传输协议进行这种攻击的。这种攻击的主要目的是窃取信息、截获正在传输中的会话以便访问专用网络资源、进行流量分析以获取关于一个网络及其用途的信息、拒绝服务、破坏传输数据以及在网络会话中插入新的信息。6、 应用层攻击; 黑客可以通过几种不同的方法实施应用层攻击。最常用的一种方法是利用服务器上普通软件的常见弱点,包括邮件发送、超文
11、本传输协议(HTTP)以及FTP。利用这些弱点,黑客能够获得合法的帐号,从而得以访问计算机。与应用层攻击相关的一个主要问题是这些攻击经常使用被允许穿越安全设备的端口。应用层攻击永远不可能被完全消除,因为新的易受攻击点总会不断出现,但可以部署更智能的设备减少非法攻击。7、 信任关系利用;指非授权用户利用网络内部的某种信任关系进行攻击的行为。典型的一个例子是公司的周边网络连接,另外一个例子是位于安全设备外侧的系统与位于安全设备内侧的系统之间有信任关系。当外部系统被破坏时,它可以利用这种信任关系攻击内部的系统。8、 未授权访问;未授权访问不是指某种具体的攻击,而是指当今网络中发生的多数攻击。9、 病
12、毒与特洛伊木马; 病毒是指与另一个程序相连的不良软件,专门在用户的工作站上执行某种破坏性功能。特洛伊木马实际上是一种攻击工具,可以获取用户非常有用的信息。 针对上面所述的安全隐患,我们应该采取以下措施:对网络而言,零风险意味着网络几乎关闭,根本不能提供网络服务,这是不可取的。换句话说,网络安全不可能做到零风险。购买了高性能的网络安全产品并不意味着信息主管可以高枕无忧。信息安全并不仅仅局限于通信保密,其实网络信息安全牵扯到方方面问题,是一个极其复杂的工程。要实施一个完整的网络与信息安全体系,至少应包括三个方面的措施:一是企业的规章制度及安全教育等外部软环境,在该方面企业的主要领导扮演重要的角色;
13、二是技术方面的措施,如入侵防御技术,防火墙技术、网络防毒、信息加密存储通信,身份验证,授权等,但只有技术措施并不能保证百分之百的安全;三是审计和管理措施,该方面措施同时包含了技术与社会措施。主要措施有:实时监控企业的安全状态、提供应变安全策略的能力,对现有的安全系统实施漏洞检查等,以防患于未然。总之,要实施安全的系统,应三管齐下。为了确保网络的绝对安全,仅仅在安全技术上采取种种措施还是不够的,还要有一个有效的网络安全管理体制。网络安全管理制度的核心是围绕着用户的账户和口令而展开的。任何一个部门或分系统都应该在该制度下运转,服从统一的安全策略。第二章总体网络设计和网络特点2.1 网络设计的原则早
14、期的企业办公网络主要是共用内部系统主机资源,共享简单数据库,多以二层交换为主,很少有三层应用,存在安全、可管理性较差、无业务增值能力 等方面的问题。现在将要建设的是实现内部全方位的数据共享,应用三层交换,提供全面的QoS保障服务,使网络安全可靠,从而实现内部管理、信息流动、管理自动化,而且还要通过Internet对外提供服务,提供可增值可管理的业务,整网必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。基于办公网业务需求的深入理解,结合自身产品和技术特点,我们通过完善的网络解决方案,为企业提供“可管理、可增值、可持续发展”的精品网络。根据我们对办公网络功能要求
15、的理解,在方案的设计中,我们贯穿着以下设计思想: 高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,设备充分考虑冗余、容错能力;合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的正常运行。网络设备在出现故障时应便于诊断和排除,充分体现计算机网络的高可靠性。技术先进性和实用性在保证满足企业业务、应用系统业务的同时,要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑网络应用的现状和未来发展趋势。高性能骨干网络性能是整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、图象)的高质量传输,才能使网络不成为业务开展的瓶颈。标准开放性支持国际上通用的网络协议、路由协议等开放的协议标准,有利于保证与其它网络设备的互通,及与各种网络平滑连接互通,以及将来网络的扩展。灵活性及可扩展性根据未来业务的增长和变化,网络可以平滑地扩充和升级,最大程度的减少对网络架构和现有设备的调整。可管理性对网络实行集中监测、分权管理,并统一分配带宽资源。选用先进的网
