《(精品)CAV计算机网络osaing.diandian系统设计》由会员分享,可在线阅读,更多相关《(精品)CAV计算机网络osaing.diandian系统设计(10页珍藏版)》请在金锄头文库上搜索。
1、CAV计算机网络系统设计第一节、 广域网设计http:/ 根据用户需求分析,分布在全国各地的CAV主控中心和辅控中心采取就近连入ChinaNET的方式,通过基于TCP/IP的互连网络实现系统的广域连接。同时,为了实现网络电子交易,还需与ChinaEDI连接。 同租用专门的链路连接各节点的广域连网方式相比,这种连网方式具有下述优点:系统建设周期短;系统建设成本低;系统拓扑结构简单,不需要考虑复杂的路由规划;系统开放性好;由于是利用开放的Internet建立企业网络(Intranet),网络的安全性是系统设计时必须考虑的问题。本设计方案设计从两个方面保障广域网连接的安全性:1在各节点与ChinaN
2、ET连接处设立防火墙网关,防止未经授权的非法访问;2各节点与ChinaNET连接时考虑链路冗余;由于利用公网实现广域连接,不再需要绞尽脑汁地考虑冗余拓扑结构,但为了提供稳定地连接,保障不间断地提供服务,可以在系统设计时考虑在核心节点和ChinaNET之间采用双路由,如在使用DDN链路的同时用ISDN作为备份。3利用VPN实现安全的企业网信息传输;通过VPN技术使用Internet 的开放、分式基础结构通过安全隧道(IP Tunnel)在各受保护的局域网间的信息传输经过加密的私有数据可以提高网络安全保障。第二节、局域网设计一、系统结构根据用户需求,局域网的建设包括主控中心局域网的建设和三个辅控中
3、心局域网的建设。由于北京主控中心与北京辅控中心在物理上在一起,所谓主控、辅控的区别只是逻辑上的划分,因此进行局域网设计时,我们将它们合为一个节点统一设计。广州辅控中心和上海辅控中心仅仅只是物理位置的不同,系统功能完全相同,因此我们只描述一个辅控中心的系统设计。遵照系统说明书的要求,建议采用如下具体的网络建设方案: 各辅控中心、主控中心的网络均采用星型结构,中心局域网采用Fast Ethernet交换机作为核心,各个功能子系统根据各自承担功能的特点,分别以10M或100M Ethernet的方式接入此交换机。部门交换机(3Com的Switch 1100)采用100M Ethernet的方式接入核
4、心交换机,为部门网络设备提供10M 交换式以太网环境。 各功能子系统构成相对独立的VLAN,便于管理和安全控制。 北京辅控、主控中心节点的网络物理连接图如下所示:图 18辅控中心的网络物理连接如图十九所示。与北京节点基本相同。图 19二、用户接入子系统根据“系统说明书”所述用户需求,CAV网络系统应具备拨号用户接入功能,各个网络节点提供16-32个物理接入端口。各网络节点用户接入子系统采用Cisco 2511作为拨号拨号接入路由器,通过在接入路由器的异步口连接一定端口数量的16口Modem Pool连接PSTN,面向内部管理人员、CAV会员单位和广大用户提供访问信息网络服务平台和企业专网的途径
5、。对于通过PSTN拨号接入CAV的用户必须经RADIUS Server进行认证、授权和计费,用户接入帐号全网统一,可以实现异地漫游。通过接入路由器的设置,可以根据用户帐号实现对不同的接入用户提供不同的物理网络访问权限,例如对某些用户只允许访问某些网端或只能使用某些网络服务(WWW,E-Mail等)而不允许它访问其他网端,使用别的网络服务。三、网络互联子系统网络互联子系统提供与社会信息源、CHINANET、ChinaEDI的互联功能,包括网络层的连接、应用层的连接。其中网络层连接由LAN交换机、NAT防火墙、Internet连接路由器等组成。各节点采用Cisco2503作为Internet接入路
6、由器,Cisco PIX520作为NAT防火墙,通过128K-512K DDN专线与ChianNET连接。Cisco2503同时支持DDN接口和ISDN BRI,建议可选择128K ISDN BRI 链路作为核心节点的备份链接。四、系统服务子系统 系统服务子系统提供标准INTERNET服务、电子商务服务等功能,包括WWW服务/虚拟WWW服务、DNS、用户应用服务(Mail、Fax、FTP、News、BBS)、多媒体服务(例如:Video、Music、Radio等)、导航服务,网络交易等服务功能。交易服务器是系统服务子系统的核心,北京主控中心、辅控中心共用一套交易服务器,采用两台HP 9000
7、K370 和RAID磁盘阵列构成双机热备份系统。上海、广州各辅控中心的信息/交易服务器选择HP 9000 D280,采用磁盘阵列实现交易数据可靠存储,将来业务发展后可以方便的将交易服务器系统升级为双机热备份。第三节、IP地址与域名规划 众所周知,IP地址是Internet上的“电话号码”,任何一个网络设备或主机要成为Internet上的独立可识别节点,都需要有一个在Internet上唯一的IP地址。目前IP地址资源在全球范围内都非常匮乏,我国更是如此。申请 DDN专线时分配的Internet合法IP地址数量十分有限。因此,必需合理规划IP地址的分配,既满足网络互联、资源互访的要求,又要减少对I
8、nternet合法IP地址资源的占用。各节点IP地址的分配采用Internet合法IP与内部保留IP地址相结合的方式。网内的设备均采用Internet保留IP编址,同时采用Cisco的PIX设备利用NAT技术实现保留IP与合法IP之间的动态转换功能。下图是一个应用PIX实现NAT的示例: 图 20 内部保留IP地址的分配应采用CIDR技术统一分配,保持连续性,合法IP地址的使用也应保持对应的连续性,以减少PIX网关内部地址转换表和地址池的记录数目,以提高PIX的效率。域名系统由域名空间和资源记录;域名服务器;解析器组成。由于使用保留IP地址,我们建议CAV网络各节点采用一套域名、两套IP解析机
9、制。在内设一台DNS服务器供内部网络域名IP解析使用,同时利用ChinaNET提供的DNS Server完成Internet域名IP解析使用。如图二十一所示:图 21 Internet域名服务提供两个重要的基本功能:域名解析和邮件服务。域名解析功能是不言自明的; 邮件服务是指利用邮件交换机记录提供邮件交换机的域名查询。 由于使用保留IP地址和两套域名IP机制, 因此要对内部用户提 供Internet邮 件 功 能, 必须在两套域名IP之间进行配合:对于不同的IP网之间的邮件需要指定相应的邮件交换机相互转发,但域名保持一个命名。第四节、系统安全策略 随着INTERNET的不断发展及网络商业用途的
10、增加,网络系统的安全得到了越来越多的重视。作为基于INTERNET技术的电子商务网络系统,其安全性问题更需要放在一个重要的位置。 从计算机安全学的观点分层进行分析,计算机网络的安全包括以下几个方面:首先是物理层的安全,即主机及路由器等网络硬件设备物理上的安全;其次是网络结构的安全,即整个网络不应该由于局部的故障而导致瘫痪;第三层是网络操作系统的安全;最高层则为网络应用,包括信息传输的安全。 在以上四层的安全性问题中,物理层的安全主要由硬件设备及机房的设计来保证,网络结构的安全,主要由网络拓扑结构设计及网络协议的选用来保证。在这里我们将主要描述操作系统及应用层的安全问题。另外,作为一个电子商务网
11、络,还必须考虑交易系统的的安全性、信源及用户的安全性,交易系统的安全性设计在第三章已有详细设计,对于信源及用户的安全性我们将从防火墙的设计数据的存贮及传输等方面予以阐述。一、网络物理安全 网络的物理安全问题主要有:网络硬件设备本身的故障问题;因机房环境,火灾等导致的设备故障问题;因机房结构设计或管理所导致的主机设备物理入侵问题。为提高网络的物理安全性,主要对策有: 选用高可靠性硬件设备,对于重要的服务器采用双机或多机的冗余设计方案; 提高对机房的环境及检测报警系统的要求,注意工程的配套设计及工程质量; 加强机房的防盗管理及操作人员的安全意识培训,以避免设备被盗或从终端被入侵。二、网络结构安全
12、网络结构安全主要由网络拓扑结构的设计及网络协议的选用来保证,主要有以下两方面: 在网络拓扑结构设计中考虑冗余路由,包括传输线路的冗余及拓扑结构上的冗余。本方案的网络设计充分考虑到安全性问题,尽量保证传输线路和设备的冗余。 在全网采用动态路由协议,如OSPF等。 采用放火墙进行访问控制。三、操作系统安全 操作系统的安全问题是当前网络安全中最为重要的,也是最复杂的。 长期以来,UNIX一直作为INTERNET的支撑操作系统而存在,(或者说,INTERNET是和UNIX共同发展起来的),由于INTERNET及UNIX从体系结构到通信协议的广泛开放性(甚至UNIX的源码也是公开的),系统发展中一些不可
13、避免的安全漏洞就必然的暴露于网络黑客(HACKER)并且被广泛的传播,从而造成了很多的安全问题。(必须提出的是,虽然UNIX在发展过程中有不少的安全漏洞,但已经发现的问题均已经在很短的时间内被各UNIX厂商解决,如果随时注意安装补丁(PATCH)或最新版的软件,UNIX操作系统的安全性仍然是有保证的。) 固然操作系统有着已经发现或仍然没有发现的安全漏洞,但是大部分的安全问题却是由于系统管理所导致的,例如:密码设置不当且不定期修改,文件权限设置不对,NFS、WWW服务器等配置不当。为提高操作系统的安全性,我们在系统设计中综合采用以下对策: 通过防火墙或路由器中ACL(ACCESS CONTROL LIST)的设计,禁止本地拨号用户及网络黑客对没有必要开放的主机及端口的访问; 在主机上利用TCP WRAPPER控制特定服务所允许的客户机地址范围,并进行记录(LOG);
