论文部分内容阅读
[摘要]营房在面临各种问题的情况下如何根据自身条件将网络建成高性能、可扩展、可管理的实用而安全稳定的网络,是自始至终关注的问题,也是网络建设的目标。
[关键词]营房 网络拓扑 安全 三层交换机
中图分类号:TP3 文献标识码:A 文章编号:1671—7597(2009)1010067—01
营房的网络架设以军地网络系统为依托,由服务器、终端机、数据库、千兆位以太网口交换机、路由器以及网线组成。为官兵提供快速浏览军地两网信息的平台。
一、网络设计原则
(一)安全性。众所周知军营的信息安全是重中之重,为了防止内部信息流落到外网,应提高安全标准,相应的提高防火墙的安全等级,集成包过滤防火墙、电路层防火墙和应用防火墙三种技术,只有符合安全规则的网络连接和访问才可以通过防火墙,保障数据的安全性。以及做到内外网不在同一计算机上共用,存储器分开管理的措施,防止非法访问者通过互联网络对网络节点进行攻击。从网络设备来讲,防止外部攻击主要靠入侵设备和路由器实现。
(二)实用性。实用就是说营房应根据自身的实际情况充分考虑将来的发展需求,在进行网络设计时既要对已有的设备加以利用,保护原有投资,又要集中财力,提高新购设备的档次,获得良好的性价比。以节省开支为基础尽量争取获得无偿的赞助。
(三)稳定性。网络建设的最终目的是保证网络能稳定地运作。决定网络稳定性的因素很多,首先是网络结构设计及网络布线是否合理;其次是设备的性能和稳定性,特别是核心设各;再次是冗余部件,如电源冗余、管理模块冗余、链路冗余等;除此之外,还有网络节点管理、网络安全防范等。
(四)可扩展。随着营房不断的完善和扩展,起始组建的网络就面临不断地完善和扩充。网络核心设备及布线是今后网络运行的根本。如果所建网络不能满足将来一定时期内的需求,那么今后再改造网络、更换设备及重复土木工程的费用将会很高,造成资源浪费。
二、网络设计与实现
(一)机房的规划及实施要求。对于双有线局域网来说,需要对机房和办公楼进行科学合理的布线。因此设计网络时必须考虑到机房的设备布局和布线系统的合理搭配。为了确保网络、计算机系统稳定、安全可靠地运行,以及保障机房工作人员有良好的工作环境,做到技术先进、经济合理、安全适用,符合部队颁布的《电子计算机机房设计规范》标准要求。
1,确定各网络总线拓扑结构。总线网络的拓扑结构是指用现场总线网络互连的各种现场设备的物理布局,网络的拓扑和波特率一起决定了网络的可用性、可靠性和实时性。一旦网络通信电缆敷设完毕。现场条件的限制使重新修改网络拓扑变得困难,必须在整个设计工作的开始阶段就重视网络拓扑的设计。
本方案使用总线型、树型、星型、菊花链型连接及以上方式的混合结构构建PROFIBUS网络在高波特率通信下。DP网段严禁出现就地DP设备到总线主干网的连接分支线。应使用菊花链型连接PA网段容许使用分支线连接就地PA设备和总线主干网。就地PA设备和PA分配器构成星型连接。PA分配器之间形成总线型连接。
2,防患。首先防静电。静电会对计算机运行造成随机故障,而且还会导致某些元器件、双级性电路等被击穿和毁坏。其次防火。在机房设计时,重点要考虑机房的消防灭火方案。设计时可以根据消防防火级别来确定机房的设计方案。防潮湿。机房里的湿度应保持在20%~50%为宜,机房的温度应保持在15℃~35℃摄氏度,安装空调来调节温、湿度是解决此问题最好的办法。鉴于停电会造成空调关机,我们还应装空调来电自动启动装置。
3,供电及机柜安装。供电系统和制冷系统是计算机机房的两个重要部分。在供电系统中,一般采用在线的LPS供电方式。网络设备采用机架式的结构,如交换机、路由器、硬件防火墙等。全部安装在一个大型的立式标准机柜中。这样做的好处非常明显:一方面可以使设备占用最小的空间,另一方面则便于与其它网络设备的连接和管理,同时机房内也会显得整洁、美观。
(二)布线系统的规划及实施要求。机房是网络布局的基础,网络布线是网络建设的根本,通过网络布线将机房和各区域信息点的网络设备互联起来,使网络正常运行。由于营区馆节点较多,所以我们可以采取交换层、汇聚层、接入层三个网络层次的设计,在此基础上进行布线。布线是连接网络接八层、汇聚层、交换层和网络节点的重要环节。在布线时,最好使用专门的通道,而且不要与电源线,空调线等具有辐射的线路混合布线。
1,交换层。交换层是整个网络的核心,因此该设备选择是最关键的。本次方案所采用的所有交换机都支持802.1认证。考虑认证的效率,本次认证建议采用E系列接入层交换机来完成。并能够提供强大的AC地址绑定等功能。交换层设备分别与军地两条主干用千兆光纤连接,这就要求交换层设备必须有千兆以上的网络吞吐量,而且还必须担任路由器的角色。一些新型馆选用三层交换机作为交换层设备。为了提高网络带宽,可以将两对以上光纤设置成端口聚合链路(Trunk)连接到网络,也可避免因单点故障导致网络瘫痪。
2,汇聚层。汇聚层设备是营房整体网络的核心部分,负责接入层设各的汇聚,是业务的高速转发和网络服务质量的保障。在建网时采用千兆光纤连接到交换层交换机和接入层设备。基于现有网络业务并考虑网络的发展,使用两台汇聚设备之间采用多个千兆端口聚合链路连接,形成互为备份、负载均衡的网络核心交换体系,保证在任何一台核心交换机损坏的情况下,网络仍可以正常工作。同时为了方便管理和维护网络以及日后网络升级和改造,建网时选择支持网络管理功能的汇聚层网络设备。
3,接入层。接入层连接着汇聚层和网络节点,是决定我们整体网络传输质量的重要环节。每台交换机通过两条千兆链路分别连接到两台汇聚交换机上,把其中一条链路作为备份链路。目前千兆网络技术非常成熟,营房接入层到终端的网络设备选千兆带宽。
(三)网络安全设计。传统的安全防护是通过防火墙来实现,只能对网络的L3-L4层数据进行病毒防护,但是不能对应用层进行抵御。入侵防御系统可以实施在线部署,并可以实现在线检测和实时阻断,对内网的病毒传播进行有效的抑制,对外网病毒攻击和来自应用层的黑客攻击可以实施在线阻断。具体功能如下:1,应用层保护。保护数据服务器的应用软件和操作系统,0应用LO/S和VOIP应用,有效抵制来自蠕虫病毒,特洛伊木马,DDS攻击和内部攻击等。2,基础设施保护。保护所有在线网络设备,如,路由器,交换机,防火墙等,有效抵制来自各种病毒,DDS攻击,S-F攻击和异常流量等。3,性能保护。保护出网带宽,服务器以及关键的应用和流量,有效抵制P2P应用,未授权的应用和DDS攻击。
(四)网络管理。要实现安全稳定的网络建设,实时可靠的管理是密不可分的因此,就要相应的网络管理员进行培训已达到要求。除此之外综合网络管理软件的使用也很重要。
[关键词]营房 网络拓扑 安全 三层交换机
中图分类号:TP3 文献标识码:A 文章编号:1671—7597(2009)1010067—01
营房的网络架设以军地网络系统为依托,由服务器、终端机、数据库、千兆位以太网口交换机、路由器以及网线组成。为官兵提供快速浏览军地两网信息的平台。
一、网络设计原则
(一)安全性。众所周知军营的信息安全是重中之重,为了防止内部信息流落到外网,应提高安全标准,相应的提高防火墙的安全等级,集成包过滤防火墙、电路层防火墙和应用防火墙三种技术,只有符合安全规则的网络连接和访问才可以通过防火墙,保障数据的安全性。以及做到内外网不在同一计算机上共用,存储器分开管理的措施,防止非法访问者通过互联网络对网络节点进行攻击。从网络设备来讲,防止外部攻击主要靠入侵设备和路由器实现。
(二)实用性。实用就是说营房应根据自身的实际情况充分考虑将来的发展需求,在进行网络设计时既要对已有的设备加以利用,保护原有投资,又要集中财力,提高新购设备的档次,获得良好的性价比。以节省开支为基础尽量争取获得无偿的赞助。
(三)稳定性。网络建设的最终目的是保证网络能稳定地运作。决定网络稳定性的因素很多,首先是网络结构设计及网络布线是否合理;其次是设备的性能和稳定性,特别是核心设各;再次是冗余部件,如电源冗余、管理模块冗余、链路冗余等;除此之外,还有网络节点管理、网络安全防范等。
(四)可扩展。随着营房不断的完善和扩展,起始组建的网络就面临不断地完善和扩充。网络核心设备及布线是今后网络运行的根本。如果所建网络不能满足将来一定时期内的需求,那么今后再改造网络、更换设备及重复土木工程的费用将会很高,造成资源浪费。
二、网络设计与实现
(一)机房的规划及实施要求。对于双有线局域网来说,需要对机房和办公楼进行科学合理的布线。因此设计网络时必须考虑到机房的设备布局和布线系统的合理搭配。为了确保网络、计算机系统稳定、安全可靠地运行,以及保障机房工作人员有良好的工作环境,做到技术先进、经济合理、安全适用,符合部队颁布的《电子计算机机房设计规范》标准要求。
1,确定各网络总线拓扑结构。总线网络的拓扑结构是指用现场总线网络互连的各种现场设备的物理布局,网络的拓扑和波特率一起决定了网络的可用性、可靠性和实时性。一旦网络通信电缆敷设完毕。现场条件的限制使重新修改网络拓扑变得困难,必须在整个设计工作的开始阶段就重视网络拓扑的设计。
本方案使用总线型、树型、星型、菊花链型连接及以上方式的混合结构构建PROFIBUS网络在高波特率通信下。DP网段严禁出现就地DP设备到总线主干网的连接分支线。应使用菊花链型连接PA网段容许使用分支线连接就地PA设备和总线主干网。就地PA设备和PA分配器构成星型连接。PA分配器之间形成总线型连接。
2,防患。首先防静电。静电会对计算机运行造成随机故障,而且还会导致某些元器件、双级性电路等被击穿和毁坏。其次防火。在机房设计时,重点要考虑机房的消防灭火方案。设计时可以根据消防防火级别来确定机房的设计方案。防潮湿。机房里的湿度应保持在20%~50%为宜,机房的温度应保持在15℃~35℃摄氏度,安装空调来调节温、湿度是解决此问题最好的办法。鉴于停电会造成空调关机,我们还应装空调来电自动启动装置。
3,供电及机柜安装。供电系统和制冷系统是计算机机房的两个重要部分。在供电系统中,一般采用在线的LPS供电方式。网络设备采用机架式的结构,如交换机、路由器、硬件防火墙等。全部安装在一个大型的立式标准机柜中。这样做的好处非常明显:一方面可以使设备占用最小的空间,另一方面则便于与其它网络设备的连接和管理,同时机房内也会显得整洁、美观。
(二)布线系统的规划及实施要求。机房是网络布局的基础,网络布线是网络建设的根本,通过网络布线将机房和各区域信息点的网络设备互联起来,使网络正常运行。由于营区馆节点较多,所以我们可以采取交换层、汇聚层、接入层三个网络层次的设计,在此基础上进行布线。布线是连接网络接八层、汇聚层、交换层和网络节点的重要环节。在布线时,最好使用专门的通道,而且不要与电源线,空调线等具有辐射的线路混合布线。
1,交换层。交换层是整个网络的核心,因此该设备选择是最关键的。本次方案所采用的所有交换机都支持802.1认证。考虑认证的效率,本次认证建议采用E系列接入层交换机来完成。并能够提供强大的AC地址绑定等功能。交换层设备分别与军地两条主干用千兆光纤连接,这就要求交换层设备必须有千兆以上的网络吞吐量,而且还必须担任路由器的角色。一些新型馆选用三层交换机作为交换层设备。为了提高网络带宽,可以将两对以上光纤设置成端口聚合链路(Trunk)连接到网络,也可避免因单点故障导致网络瘫痪。
2,汇聚层。汇聚层设备是营房整体网络的核心部分,负责接入层设各的汇聚,是业务的高速转发和网络服务质量的保障。在建网时采用千兆光纤连接到交换层交换机和接入层设备。基于现有网络业务并考虑网络的发展,使用两台汇聚设备之间采用多个千兆端口聚合链路连接,形成互为备份、负载均衡的网络核心交换体系,保证在任何一台核心交换机损坏的情况下,网络仍可以正常工作。同时为了方便管理和维护网络以及日后网络升级和改造,建网时选择支持网络管理功能的汇聚层网络设备。
3,接入层。接入层连接着汇聚层和网络节点,是决定我们整体网络传输质量的重要环节。每台交换机通过两条千兆链路分别连接到两台汇聚交换机上,把其中一条链路作为备份链路。目前千兆网络技术非常成熟,营房接入层到终端的网络设备选千兆带宽。
(三)网络安全设计。传统的安全防护是通过防火墙来实现,只能对网络的L3-L4层数据进行病毒防护,但是不能对应用层进行抵御。入侵防御系统可以实施在线部署,并可以实现在线检测和实时阻断,对内网的病毒传播进行有效的抑制,对外网病毒攻击和来自应用层的黑客攻击可以实施在线阻断。具体功能如下:1,应用层保护。保护数据服务器的应用软件和操作系统,0应用LO/S和VOIP应用,有效抵制来自蠕虫病毒,特洛伊木马,DDS攻击和内部攻击等。2,基础设施保护。保护所有在线网络设备,如,路由器,交换机,防火墙等,有效抵制来自各种病毒,DDS攻击,S-F攻击和异常流量等。3,性能保护。保护出网带宽,服务器以及关键的应用和流量,有效抵制P2P应用,未授权的应用和DDS攻击。
(四)网络管理。要实现安全稳定的网络建设,实时可靠的管理是密不可分的因此,就要相应的网络管理员进行培训已达到要求。除此之外综合网络管理软件的使用也很重要。