计算机网络系统实施方案

2. 计算机网络系统1. 计算机网络系统概述芝罘医院大楼的网络系统建设共包括 2套网络 -内网及外网，两套网完全物 理隔离。内网主要是完成芝罘医院内部的日常办公网络， 外网是为芝罘医院提供访问 互联网及接入监控及LED等系统的网络。内网设计 2 台核心进行虚拟化配置， 接入层交换机通过双千兆光纤链路连接 核心交换机。外网采用单核心设计。互联网主要是提供日常办公平台并提供访问互联网的服务， 在网络的出口设 置 1 台安全网关。 内网接入接入层交换机配置：24 口接入层交换机 3台。48 口接入层交换机 5台。 外网接入接入层交换机配置：24 口接入层交换机 2台。48 口接入层交换机 3台。2. 计算机网络系统依据GB/T 50314-2006 智能建筑设计标准GB/T50339-2003智能建筑工程质量验收规范JGJ16-2008民用建筑电气设计规范GB50045-95高层民用建筑设计防火规范（2005版）GB50054-2011低压配电设计规范GB50057-2010建筑物防雷设计规范（2000版）GB50343-2004建筑物电子信息系统防雷技术规范GB50303-2002建筑电气工程施工质量验收规范GB50311-2007建筑与建筑群综合布线系统工程设计规范GB50312-2007建筑与建筑群综合布线系统工程验收规范GB50200-94有线电视系统工程设计规范GB50384-2004安全防范工程技术规范GA/T75-94安全防范工程程序与要求GA308-2001安全防范系统验收规则GB50394-2007入侵报警系统工程设计规范GB10408.1-2000入侵探测器通用技术条件GB/T16572-1996防盗报警中心控制台GB50395-2007视频安防监控系统工程设计规范GB50198-94民用闭路监视电视系统工程技术规范GB50464-2008视频显示系统工程技术规范GB50373-2006通信管道与通道工程设计规范GB50371-2006厅堂扩声系统设计规范GYJ25-86厅堂扩声系统声学特性指标CECS8：9 97工业企业调度电话和会议电话工程设计规范GB50174-2008电子信息系统机房设计规范GB50462-2008电子信息系统机房施工及验收规范3. 计算机网络系统原则一个计算机信息网络系统的设计， 必须有一个好的设计指导思想。 通过合理的选 择结构化布线系统、网络结构、网络设备、操作系统以及开发环境，才能构成一 个真正完善实用的网络信息系统。作为一家知名的系统集成商， 我们拥有一流的信息管理、 网络建设技术和丰富的 应用开发经验。 在对越秀区财政局办公大楼计算机网络系统的方案设计中， 我们 将按照下述原则进行系统的设计：1. 实用性充分满足越秀区财政局办公网络现在及未来的各种需求， 让结构化布线系统真正 为越秀区财政局的计算机网络建设提供强有力的支持。2. 采用标准技术本系统的设计均遵循国际上现行的标准进行， 提高系统的开放性， 始终能随着技 术的发展进行系统的扩充、升级和提高。3. 高可靠性一个实用的系统同时必须是可靠的，本设计通过合理而先进的网络系统设计及软、硬件的优化选型，以保证系统的可靠性与容错性，避免灾难性事故发生。4. 高性能、先进性本系统同时存在多种应用， 数据交换将是大量的，因此要求系统具有很大的带宽。 本设计将充分应用现有成熟的先进技术，选用先进的设备，提供高性能的系统， 采用先进的软件技术，为越秀区财政局提供可靠、高效的服务。5. 高安全性在设计中，充分利用网络硬件、网络软件及系统提供的各种安全措施， 既保证越 秀区财政局各用户不仅能高效、快速地访问权限范围内的系统资源， 也能有效地 阻止用户之间的非法侵入、非授权访问，保证各部门重要数据的安全性。6. 可维护性系统开通后，维护工作将是一个长期的工作，考虑到管理维护的可视化、层次化 及控制的实时性，本设计将充分利用相应的图形化网络管理技术， 真正做到系统 的所有资源状况一目了然，能充分保证将设备故障控制在有限范围， 保证整个大 院各系统的正常运行。同时，通过培训建立、健全用户的系统管理员队伍等相应手段降低维护工作量及难度，从而达到保证运行可靠及节省费用目的。7. 可扩展性及灵活性网络技术是不停发展的，用户的应用需求也是发展和变化的。 在设计中，我们将 充分考虑网络应用系统扩展升级的潜在要求，以及对各种不同结构、不同协议、 不同标准的网络及设备的支持，保证本系统能适应网络系统及应用系统的扩展和 升级。8. 经济性在满足功能要求的前提下，尽可能做到少花钱，多办事，充分利用现有资源，尽 可能提高系统性能价格比。针对医院办公大楼计算机网络系统的具体要求，我们提出如下的总体解决方案。4. 计算机网络系统方案1网络通信联网协议TCP/IP :每种网络协议都有自己的优点，但是只有 TCP/IP允许与In ternet完全的连接。Telnet :远程登录访问协议，使其他跨省区域的子公司通过远程访问 总部的内外，在远程访问时，会设置相应的 ACL认证和相对的权限 设置。SNMF网络管理协议：SNMP用于在IP网络管理网络节点（服务器、 工作站、路由器、交换机及 HUBS等）的一种标准协议，它是一种 应用层协议。SNMP使网络管理员能够管理网络效能，发现并解决 网络问题以及规划网络增长。通过 SNMP接收随机消息（及事件报 告）网络管理系统获知网络出现问题。路由协议： RIP 、 IGRP 、 EIGRP 、 IS-IS 和 OSPF2 网络 IP 地址规划医院内网计划使用私有的 A 类 IP 地址。医院内的 IP 地址分配原 则如下：医院使用 IPv4 地址方案。医院使用私有 IP 地址空间： 。医院使用 VLSM（ 变长子网掩码 ）技术分配 IP 地址空间。 医 院 IP 地址分配满足集团的利用。 医院 IP 地址分配满足便于路由汇聚。 医院IP地址分配满足分类控制等。医院IP地址分配满足未来公司网 络扩容的需要。3 网络技术方案设计总体网络采用基于树型的双星型结构，使之具有链路冗余特性； 整体网络规划为核心及服务器群区域，内部骨干区域（汇聚链路） ， 接入层上联区域，客户端接入区域；核心交换机位于集团总部机房， 并为双核心，使用双主干网络设计，保证主交换机网络的容错。在一 台交换机出现故障的时候保障网络的正常运行， 也不用手工切换和维 护，保证网络的可靠性。采用全交换硬件体系结构，可实现全线速的 IP 交换；网络主干采用先进的千兆位以太交换技术，可最大限度地 提高主干的数据传输速率。使用千兆网络保证网络交易速度与实时 性，使用了 FEC/GEC 技术实现网络带宽的扩展，适应网络不断扩展 的要求。根据需求概括，我们选择的是D-Link企业级的DES-8503万兆核 心交换机为本次网路建设总部机房的核心交换；DES-850万兆核心路由交换机作为新一代大容量、高密度、高性能、模块化核心路由交换 机产品，其背板带宽高达3.2Tbps，包转发速率最大为952Mpps具备 二到四层线速交换能力。DES-8503兆路由交换机基于先进的模块化 理念进行设计，并采用了基于多处理器分布式处理机制和 Crossbar 空分交换结构的体系结构，关键模块均采用 1:1 冗余备份。可提供 10GE GE FE等各种丰富的接口模块，并全面支持IPv4、IPv6、MPLS NAT组播、QoS带宽控制等业务功能。整个系统所具备的高可靠性、 高扩展性 强大的业务能力等特点可以满足各种网络核心层的建设需 求。DES-8503 （3个插槽）作为D-Link行业产品线核心交换机之一， 可广泛的应用在各行业的 IP 网核心 企业数据中心 IP 城域网核心 和汇聚 校园网核心等场所，为用户提供多种业务接入 路由交换一 体化的安全融合网络解决方案。ES-8503万兆核心路由交换机具有一下的优点：先进的系统架构： 采用了分布式 模块化设计理念， 并采用了基于多 处理器分布式处理机制和 Crossbar 空分交换结构的体系结构。这保 证了系统优异的转发性能 强大的业务能力和高度的可扩展性。高端口密度和线速路由及交换：具有丰富的接口类型，提供10GE GE FE等接口。可以真正实现高端口密度和线速路由及交换。大容量、高性能：支持高达952Mpps的路由包转发能力，并支持512K 条第三层路由信息、512K第二层的MACfe址以及 4096组VLAN 8K 条安全和访问控制策略，保证了数据线速转发的要求。增强的业务功能： 具有 L2/L3/L4 线速交换能力 具备 QoS MPLSNAT 带宽控制、组播等高级性能，是定位于网络核心层、实现整体网络增 值的优选设备。 同时，提供基于硬件的流量分类和组播以及速率限制 和先进的服务质量保证(QoS机制，可为用户开展增值业务提供强 大的支持。强大的安全功能：支持ACL安全过滤机制，可提供基于用户、地址、 应用以及端口级的安全控制功能，并支持 IPSec、MPLS VPN特性。 同时，支持基于端口不同优先级对列的和基于流的入口和出口带宽限 制、uRPF防DDO攻击、SSH2.0安全管理、802.1x接入认证及透传， VLAN ID与MAC地址、端口号、IP地址捆绑等安全功能。此外，系 统还具备完善的抗病毒机制，可以为网络运营提供全面的安全保 证。支持IPv6 :全面实现了各种IPv6协议技术，包括IPv4和IPv6双协议 栈和基于手工配置隧道、自动配置隧道、 6to4隧道等IPv4向IPv6的 基本过渡技术。同时，实现了 IPv6静态路由，支持BGP4/BGP4+RIPng、 OSPF v等动态路由协议。全面支持二、三层 MPLS VPN 二层 MPLS VPN支持 Martini 协议 (VPWS和VPLS三层 MPLS VPN采用RFC2547bis,具有良好的兼容性，可以与其他主流厂家的设备实现MPLS VPN业务的全面互通。电信级可靠性： 系统的主控单元、电源等等关键模块均可以进行 1:1 方 式 的 备 份 ， 无 中 断 保 护 系 统(HitlessProtectionSystem - HPS 为 DES-850啲高可靠性 提供了最重要的保证， 在配置冗余控制模块的情况下， 它能满足最苛 刻的可靠性要求。同时，DES-850啲VRRPSTR LACP等功能为用户 提供了进一步的可靠性保证。统一的网管功能：支持RFC 1213 SNM（简单网络管理协议），带 内网管的形式可采用基于 Telnet 的配置管理（ CLI 命令行的形式） 或基于SNMP的配置管理（图形界面的形式），实现基于Broad Director 网管平台的统一网管。接入层为楼层的工作组及交换机。 核心层与接入层以千兆以太网 技术相连，传输速率达IGbps采用全双工通信可达2Gbps其物理连 接采用多模光缆相互连接，以提供物理层、链路层及 IP 层的冗余连 接能力。核心交换： 三层千兆交换机为整个网络的核心， 它对整个网络的 性能，可靠性起决定性作用，它连接各个物理子网，治理网络内信息 交换（包括多媒体信息），控制VLAN间访问，保证信息安全。因此， 我们选用的中心交换机除了提供高速的网络连接之外， 还具有多种信 息的治理和控制能力。全部的网络设备均支持高效的 Intranet 多媒 体和多点广播技术、治理协议（CGMP等，为多媒体和多点广播应用如 IPTV 等提供端到端的带宽保证。网络采用分层结构，不仅逻辑结构 清楚，治理方便；更重要的是大多数的数据流量 （主要是同一部门或 工作组内 ） 的交换在次级节点分布交换机上直接处理， 不经中心设备， 节省主干带宽，提高利用率。有一定的前瞻性，不仅满足当前网上应 用，也为将来更高性能的升级作好了预备：网络具有良好的伸缩性， 升级和扩展主要只集中在网络中心， 添加新的接口模块， 即可实现用 户和信息点的扩充； 增加光纤连接即可大量提高主干带宽； 中心增配 另一台多层交换机， 网络结构就能连接成可靠性的、 真正的中心交换 机互备份和上联线路冗余。 配合热备份路由协议和热备份双服务器主 机系统，在整个系统内消除单点故障， 提供高可用性的应用服务系统。汇聚交换及接入交换 ：二级交换机可以每个独立构成一个 VLAN， 也可以多个二层交换机构成一个 VLAN VLAN之间的路由由中心交换 机负责。不同的部门/单位可以通过配置不同的 VLAN等方式来隔离广 播和信息流，不但可以提高网络效率，而且可以增强网络安全。而每 台交换机上的10/100自适应端口又可以与下层100M到10M交换式集 线器相连接。心交换机与二层交换机以1000M全双工的方式相连接。 这样的连接结构可保证网络带宽的最大限度的合理应用。 集团由总部 机房采取一处连接 Internet 中，设置防火墙等安全软件，并对外网 的远程登录设置权限及相应的安全认证！4 网络应用系统选择根据集团用户对操作系统的要求：操作系统要求选择最新版本， 所选操作系统需要提供方便的更新与升级方法， 服务器操作系统需要 能够提供目录服务功能， 服务器及客户机操作系统都需要支持 TCP/IP 协议，所选操作系统应能够方便的实现用户和权限的管理， 秘选操作 系统应能够运行大多数应用软件，例如办公软件、图像处理软件、 CAD财等，我们选择Linux，它具有极高的稳定性、先天的安全性、软件安装的便利性、多任务、多使用者、免费或少许费用、有强大的网络功能、在相关软件的支持下， 可实现 WWW 、FTP、DNS、DHCP、 E-mail 等服务。建立WWW服务器，实现In ternet上浏览和查询；建立FTP服务 器，结合学校实际和需要逐步建立远程 FTP服务；建立Web服务 器把图文信息组织成分布式的超文本， 并用信息指针指向存有相关信 息的服务器，使用户可以方便地访问这些信息。当网上用户增多时， 网络访问很频繁，通信量很大，随机性强。作为全校的通讯枢纽，需 要配备高性能的服务器设备，主要的需求是高性能的CPU、 SMP 体系结构、高速I/O通道和网络通道。建立域名服务器DNS,各地名字服务器管理下属主机和子域，并由高一级名字服务器监管， 但每个域至少需要配备一台以上的名字服务器DNS数据量不大， 但访问频繁。 建立数据库服务器能有高效的处理速度、 较大的内存和 磁盘空间、快速的I/O系统和网络界面，较高的可靠性，完善的系 统备份功能和较好的可扩充性能。5 网络安全系统设计内网安全设计： 访问控制，通过密码、口令（不定期修改、定期保存 密码与口令） 等禁止非授权用户对服务器的访问， 以及对办公自动化 平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设 置、 ARP 病毒的防御、数据完整、审计记录、防病毒入侵。外网安全设计： 安装软件、硬件、防火墙，网络防病毒软件，客户端 防病毒软件；利用代理服务器提供 In ternet与Intranet之间的防火墙 功能；通过网管实时记录网络的运行状态。设置远程访问身份认证， 防止垃圾邮件等。6网络管理维护设计根据集团和服务器应用模式及全网范围资源集中管理的原则，在集团总部机房建立中心管理机房，统一网络中的交换设备的管理配 置，虚网设计和配置，各种服务建立等。网管工作站对全网所有交换 设备和路由设备进行统一管理、配置和维护；进行故障隔离、分析、 统计、报警、设置；网管软件采用图形化界面，支持广泛的网管平台。5设备选型二、计算机网络系统序号设备名称技术说明单位数量型号品牌一、内网内网核心交换机1以太网交换 机主机以太网交换机主机台2ES0Z1B03ACS0华为2交流电源模块,300W交流电源模块,300W台4800W华为3交换路由引 擎,提供24端 口千兆/百兆 以太网光口 (SFP丄C),其 中8端口可光 电复用交换路由引擎，提供24端口 千兆/百兆以太网光口(SFP,LC),其中8端口可光电复用台2ES0D0S24XA00华为42端口万兆以 太网光接口 模块2端口万兆以太网光接口模块(XFP,LC)台25万兆光纤模 块光模块-XFP-10G-多模模块 -(850nm,300m, LC)台4OMXD30000华为6多模模块光模块-SFP-GE-多模模块 -(850nm,0.55km,LC)，为东 楼已有设备配置4个台14eSFP-GE-SX-MM850华为内网接入交换机124 口百兆接 入层交换机24 个 10/100Base-TX,2 个 10/100/1000Base-T 与 1000Base-X SFP COMBOS 流供电台3S2700-26TP-EI-AC华为248 口百兆接 入层交换机L2以太网交换机主机(48FE+4SFP+2Gombo)交流供电台5S2700-52P-EI-AC华为3多模模块光模块-SFP-GE-多模模块 -(850nm,0.55km,LC)，为东 楼已有设备配置4个台14eSFP-GE-SX-MM850华为4堆叠线缆条3LS2MCABLE000华为出口安全设备1统一威胁管 理设备主机统一威胁管理设备主机，交 流电源，国内版台1USG2210E华为内网无线设备1无线控制器24端口千兆(4 SFP Combo+Slot 插槽 +PoEPlus)有线无线一体化交换 机台1AC6605-26-PWR-64AF华为3无线局域网 智能室内放 装型2.4/5GHZ 双频接入点-FIT无线局域网智能室内放装型2.4/5GHZ双频接入点 -FIT台23AP6010DN-AGN-CN华为4POE注入模块单端口 POE注入单元(含 25W电源,千兆,可并排安 装)台23华为外网外网核心交换机1L3以太网交 换机主机24SFP+8GE Combo+2Slots-单交流电源台1S5700-28C-EI-24S华为2多模模块光模块-SFP-GE-多模模块-(850nm,0.55km,LC)台5eSFP-GE-SX-MM850华为外网接入交换机124 口百兆接 入层交换机以太网交换机主机,24个10/100Base-TX,2 个10/100/1000Base-T 与1000Base-X SFP COMBOS 流供电台2S2700-26TP-EI-AC华为248 口百兆接 入层交换机L2以太网交换机主机(48FE+4SFP+2GICombo)交流供电台3S2700-52P-EI-AC华为3多模模块光模块-SFP-GE-多模模块-(850nm,0.55km,LC)台5eSFP-GE-SX-MM850华为外网安全设备1统一威胁管统一威胁管理设备主机，交台1USG2210E华为理设备主机流电源，国内版21GB CF 卡1GB CF卡台11GB CF