一、概述
北京石油管理干部学院为了满足园区的不断发展和在校工作人员以及学员对信息网络系统的要求和加强其管理系统,拟对现有的计算机局域网络系统进行改造。在满足校园办公和学员使用的同时,接入Internet,并承载服务系统、财务管理系统、资金结算系统、人力资源管理系统、工程管理系统、档案管理系统等多种应用,是一个高速、稳定、安全、可靠、成熟的高性能系统。
1.1.设计依据
²校园建筑平面图 ²学校信息管理部门提出的功能需求 ²国际和国内有关网络、数据系统的标准
1.2.设计范围
²校园局域网系统的改造设计²Internet接入²网络安全改造²网络计费系统建设
1.3.设计内容
l网络架构
²IP地址规划²虚拟局域网规划²系统管理²Internet接入
l网络安全
l计费软件和管理系统
l系统软硬件清单
l计算机机房要求
二、技术规范和标准
本设计依据的标准有:
²有关的网络技术国际标准²RFC有关文件 ²民用建筑数据标准(接地)EIA/TIA-607
²民用建筑数据管理标准EIA/TIA-606²局域网标准IEEE802.3
²数据光缆的一般要求GB/T7427-87 ²光纤分布式数据接口高速局域网标准ANSIFDDI
²综合业务数字网基本数据速率接口标准CCITTISDA
三、网络设计方案
3.1.内部网络的连接
本局域网系统的网络结构采用区域化的结构设计,使网络具有良好的扩充性、可管理性,依据应用层次的不同将网络划分成不同的区域,包括核心交换区、关键业务区及服务器存储区、互连网信息发布区、普通楼层办公区、系统内广域信息接入区等。各个区域均通过接入交换机与核心交换机冗余连接,实现清晰的系统边界,整个系统的拓扑如下图所示:
整个系统的拓扑
从功能上,整个局域网系统可以分为三个部分。分别是:
各楼及楼群网络部分
校园局域网部分用来连接内部所有的桌面PC机。局域网部分以图书馆网络机房为中心,下设各个楼配线间。局域网核心配置2台三层高端千兆交换机作为整个网络的核心交换机,所有楼及楼群交换机则通过多模光纤分别连接到两台核心交换机上。其中公寓各楼及公共场所部分(主要是学员使用笔记本电脑上网部分)的网络通过会聚交换机经防火墙后接入核心交换机,以保护整体的校园网不被外来病毒或系统侵犯。
计算机机房网络部分
数据中心网络主要用来连接校园的服务器系统,是为学校的教学、经营和管理提供高效服务的关键系统。在数据中心上运行的业务系统众多,包括办公自动化系统、网站系统、数据备份、安全防范系统、人事工资系统、仓库服务系统等,为分布的各业务终端提供高效、稳定、可靠的端到端服务。
内网区域和核心子网核心交换机使用全千兆交换机接入所有内网服务器和核心子网服务器。内网区域和子网核心交换机与局域网核心交换机之间采用千兆光接口互联。
外部网络连接部分
校园局域网与外部网络的连接主要包括:与校园广域网的互联,以及公网(internet)的互联二个部分。其中的Internet连接向网络运营商(CNC)租用带宽,通过中国石油通信公司为校园局域网提供Internet出口。由核心交换机提供接口,经过路由器、防火墙连接到ISP设备。
整个学校局域网采用核心层和汇聚层两层结构,核心层到汇聚层的网络带宽为千兆,汇聚层到各楼层信息点的网络带宽为百兆。同时核心层及汇聚层网络支持多种千兆以太网接口(千兆多模、千兆电口)以及链路聚合技术,实现主干链路的高速互通。
局域网系统中交换机均支持基于端口的管理、认证,可网管、远程开关交换机端口,并支持SNMP协议,全网支持802.1q,可以做VLANTRUNK,同时两台骨干交换机之间实现负载均衡。
3.2.与Internet的连接
在保留现有的通过集团公司广域网链路进入到互联网的情况下,校园局域网用户可通过Internet服务商进行互联后实现局域网用户对Internet的统一访问,Internet的出口带宽为一个10M连接到互联网服务提供商。以满足校园局域网用户对Internet的访问需求,具体的网络连接示意图如下:
网络连接示意图
出口路由器的以太接口连接到ISP的传输设备,实现局域网出口路由器与ISP的网络互联,同时为了增加局域网内部的网络安全性,在公网和局域网连接处部署了一台防火墙,用于对公网方向的网络攻击和非授权访问进行隔离和控制,同时也保护公网服务器。同时考虑到公网服务器容易受到来自公网的非法攻击,本设计在公网dmz区域部署一台公网入侵检测系统(IDS),以便对来自公网的访问流量进行监控和隔离。
3.3.校园办公网络
校园办公网络(包括综合楼、东西教学楼办公室部分、后勤食堂等场所)主要为在学校工作人员提供局域网基础设施和上网服务。具体需求分为:
1、普通用户:需要一个能够承载内部数据、语音、视频应用的高速局域网,能够高速访问校园网、集团公司网络。并保证网络的安全和独立。
2、VIP用户使用:在普通用户的基础上,需要访问校园广域网和internet。
3、下属的部门:与原设计的其他部门一致,作为校园总部局域网的一部分,按照部门相应的权限访问集团应用,广域网和internet。
同时考虑方案的经济性,并尽量减少对总部局域网络的影响。
因此本次设计网络为:
将现有的网络平行迁移到新的双联核心网络交换机上。
各楼及楼层交换机之间通过千兆光口互连。在隔离防火墙上进行设置,允许普通用户以共享方式访问internet,由此可以满足用户的基本需求。
3.4.公寓及公共网络
公寓各房间网络和公共场所如图书馆、教室等场所网络主要为在学校参加培训和学习的学员提供局域网基础设施和上网服务。具体需求分为:
4、普通学员用户:需要一个能够承载内部数据、语音、视频应用的高速局域网。能够高速访问internet。并保证网络的安全和独立。
同时集团需要将普通学员用户与校园总部局域网络隔离。
5、VIP用户使用:在普通用户的基础上,需要访问校园广域网。
6、下属的部门:与原设计的其他部门一致,作为校园总部局域网的一部分,按照部门相应的权限访问集团应用,广域网和internet。
同时考虑方案的经济性,并尽量减少对总部局域网络的影响。
因此本次设计网络为:
在中心机房增加千兆隔离防火墙一台,双归上联核心交换机。
通过光纤,将现有的各公寓楼的网络接入到公寓B座的会聚交换机上,然后接入核心交换机。
各楼及楼层交换机之间通过千兆光口互连。在隔离防火墙上进行设置,允许普通用户以共享方式访问internet,由此可以满足用户的基本需求。
3.5.与广域网和internet的连接
校园将扩建现有广域网系统,在保留通过与集团公司的2M专线连接外,增加10M与internet直接通过运营商连接的通道,实现校园内部的数据、语音及多媒体信息的传输及共享。本次设计在校园总机房建设1台核心路由器设备,系统配置要求满足未来几年内的与集团公司或其他兄弟公司的接入。核心路由器通过广域网防火墙实现与核心交换机的连接。
3.6.各楼及楼层设备配置
根据各楼的综合布线点数,进行相应的设备配置设计,同时保证校园整体网络的可靠性、安全性。
本次的楼层交换机主要使用现有的设备,对部分有必要和需要扩充的楼及楼层预留部分备用交换机。
四、IP地址规划与设备命名
针对校园的网络实际情况,对除WWW服务器、邮件服务器和其它必须配置公网地址的设备外,内部终端设备一律采用私网IP地址。为了保证校园总部网络建设的完整性和延续性,将视频会议、部门、临时员工区域、学员公寓、公用区域等IP地址统一规划。
4.1.IP地址的分类
按照IETF相关建议的规定,IP地址被分成公有地址和私有地址两大类。公有地址由全球互联网信息中心负责统一的规划,在各个大洲,各个国家有专门的机构负责分配,在我国通常是由CNNIC负责分配的。采用公有地址的数据包可以在整个互联网上得到传递。私有地址是仅限于企业内部使用的地址,任何一个企业都可以自由的使用,但是携带这些地址的IP包是不能在互联网上传递的。IETF规定了三个私有地址段:10.0.0.0—10.255.255.255;172.16.0.0—172.31.255.255;192.168.0.0—192.168.255.255。
公有地址还是私有地址,主要根据用户的业务需求来确定。校园网络系统的建设主要用于内部数据的传递,所以网间地址和核心交换机的内部地址口可以采用私有地址,但需要进行外部访问时可以转换成公有地址,而对外提供服务的服务器地址可以采用一一映射的静态转换方式,实现外部用户对公网DMZ区服务器的访问。
使用公有地址对外连接进行访问,不必进行地址转换。但是因为公网用户也容易访问这些地址,所以安全危险性也比较大,而且公有地址比较少,规划分配都不太方便,地址不够时,还必须重新申请;而私有地址,尽管对外访问或由外对内访问都需要进行地址转换,但是因为它们的所含的资源很丰富,可以比较灵活地分配,网络扩展比较容易,另外,使用私有地址的网络,有一定的隐蔽性,外部用户不容易访问。
IP地址的合理规划,可以使网络结构清晰,便于管理,便于扩容,减少路由协议和策略控制的复杂性。
IP地址的规划需要根据用户各节点的实际需求确定具体的分配方案。
针对校园的实际情况,除WWW服务器、邮件服务器和其它必须配置公网地址的设备外,其它内部网络设备一律采用私网IP地址。其中:10.0.0.0—10.255.255.255包括约1650万IP地址,172.16.0.0—172.31.255.255包括约104万IP地址,192.168.0.0—192.168.255.255包括约6万IP地址。可以根据实际网络规模进行选择。
4.2.IP地址规划原则
²简单性:
地址的分配应该简单,避免在主干上采用复杂的掩码方式;
²连续性:
为同一个网络区域分配连续的网络地址,便于采用Summarization及CIDR(ClasslessInterdomainRouting)技术缩减路由表的表项,加快路由器的收敛速度,也可以减少网络中广播的路由信息的大小,提高路由器的处理效率;
²可扩充性:
考虑到信息网络的飞速发展,为一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍然能够保持地址的连续性,满足网络信息平台未来发展的需要;
²灵活性:
地址分配不应该仅基于某个网络路由策略的优化方案,而应该便于多数路由策略在该地址分配方案上实现优化,满足各种用户接入的需要;
²可管理性:
地址的分配应该有层次,某个局部单位IP地址的变化不要影响全局网络;
²安全性:
网络内应按工作内容划分成不同网段即子网,以便进行管理;
²高利用率:
合理使用地址块,并且采用VLSM技术,提高IP地址利用效率。
4.3.IP地址编码结构和分配
本设计方案校园使用1个A类的地址段:10.0.0.0~10.255.255.255地址段,校园总部局域网需要规划的IP地址包括:
1)领导IP地址
2)各部门IP地址
3)公用区域IP地址 4)学员公寓区域IP地址 5)核心服务器区IP地址
6)公网服务器IP地址 7)内网服务器IP地址 8)局域网设备管理IP地址
9)局域网设备互联IP地址
考虑到校园局域网络建设的延续性,IP地址应统一进行规划,现阶段采用A类地址段中的10.1.0.0—10.1.255.255和10.2.0.0—10.2.255.255这2个B类的地址数量来规划校园局域网的IP地址分配。在分配地址时,领导、部门、临时员工、公共区域分配的地址段为:10.2.0.0—10.2.255.255。
2.4.设备命名
为了使路由器易于管理与维护,除了为每一台路由器设置Loopback管理地址外,对路由器进行合理命名是必要的。在此我们规划出校园系统核心层、接入层各交换机、防火墙、路由器的命名方案。
命名方案:Rn1-C{B、A}-节点名缩写
R:表示此设备为路由器。 SW:表示此设备为交换机。 FW:表示此设备为防火墙。
n1:节点路由器编号,范围从1开始递增。 C:表示为核心层设备 A:表示为接入层设备。
节点名缩写:参照国家域名中的缩写。
例子:HYDROLAN-C-SW1-ZB
表示:水利水电校园局域网总部(ZB)的第一台核心交换机。
三、VLAN规划
虚拟网络的局域网技术将共享介质改为独享介质,解决了冲突域的问题,大大提高网络速度。为了充分发挥交换机的功能,本方案采用虚拟局域网技术,该技术把一台交换机划分成不同的广播域,即产生了多个VLAN,虚拟网络技术打破了地理环境的制约,在不改动网络物理连接的情况下,可以任意将工作站在工作组或子网之间移动,工作站组成逻辑工作组或虚拟子网,提高信息系统的运作性能,均衡网络数据流量,合理利用硬件及信息资源。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低网络维护费用。同时通过VLAN的划分来对新大楼内部的不同区域和用户的访问权限进行控制,具体实现方法请参见《网络安全系统》的“网络安全实施策略”部分。
3.1.VLAN划分的原则
简化管理
对于移动办公的用户,管理员可以简单地配置网络端口,把用户划入新的VLAN当中,不必作任何改动;
提升网络性能
通过限定广播域,减少了网络上不必要的流量,提升了网络的性能,减少了广播数据报文对客户端设备的不必要的影响;
提高网络的安全性
限定了广播范围,减少了不法用户获取信息的机会。
3.2.VLAN划分
根据校园局域网IP地址划分及校园实际需求,本设计建议对校园局域网进行VLAN划分,具体如下:
|
序号 |
VLAN部门 |
VLAN号 |
|
1 |
领导 |
|
|
2 |
人力资源部/办公室 |
|
|
3 |
财务部/资产 |
|
|
4 |
信息部 |
|
|
5 |
后勤部 |
|
|
6 |
教学 |
|
|
7 |
审计部 |
|
|
8 |
监察部 |
|
|
9 |
党群工作部 |
|
|
10 |
临时员工区域 |
|
|
11 |
教学区地址 |
|
|
12 |
公共场所地址(包括食堂) |
|
|
13 |
学员公寓区域 |
|
|
14 |
核心服务器区域 |
|
|
15 |
公网服务器区域 |
|
|
16 |
内网服务器区域 |
|
四、DNS解析
局域网内有提供服务的服务器,在合适的设备上配备DNS功能,为外部用户的访问或者内部用户的访问提供域名的解析。提供DNS服务不会对服务器的性能产生大的压力,但是对设备的可靠性要求很高,必须能够稳定工作,一旦宕机,用户将无法访问这些服务器。
对外提供服务的服务器,如果已经委托外部的DNS服务器进行了域名解析,则可以继续通过委托方式进行地址解析,也可以由自己的服务器完成域名解析。
为了便于统一管理和对内部多种服务的便利访问,本设计配置了DNS服务器,为全网用户提供域名解析服务。
五、路由协议及策略
路由协议是路由设备之间实现路由信息共享的一种机制,它允许路由设备之间相互交换和维护各自的路由表。当一台路由设备的路由表由于某种原因发生变化时,它需要及时地将这一变化通知与之相连接的其他路由设备,以保证数据的正确传递。路由协议不承担网络上终端用户之间的数据传输任务。路由器和交换机中用于TCP/IP的路由协议包括RIP(路由信息协议),RoutingInformationProtocol)、OSPF(OpenShortestPathFirst)、NLSP(Netware链路服务协议,NetwareLinkServicesProtocol)。
网络中典型的路由选择方式有两种:静态路由和动态路由。
静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的,即它不会传递给其他的路由器。当然,你也可以通过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境,因为在这样的环境中,网络管理员易于清楚地了解网络的拓扑结构,便于设置正确的路由信息。同时与动态路由协议相比,静态路由协议从网络运行过程中相对比较稳定,不会出现路由震荡,从而更加有利于网络的稳定运行。
静态路由是在路由器中设置的固定的路由表。除非网络管理员干预,否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映,一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中,静态路由优先级最高。当动态路由与静态路由发生冲突时,以静态路由为准。
动态路由协议可以及时地动态获取网络拓扑信息,引导IP数据报文逐步转发到达目的地,使IP网络具备了很好的灵活性和扩展性。例如使用动态路由协议的IP网络能够在一条传输路径中断时,自动选择其他的路径继续执行数据转发;同样,在网络中增加了新的传输路径时,IP网络也可在很短时间内获得并传播拓扑变化信息,对网络资源实现灵敏和合理的应用。不同的路由协议有各自的特点,分别适用于不同的条件之下。
选择适当的路由协议需要考虑以下因素:
1)网络的拓扑结构
2)网络节点数量
3)与其他网络的互连要求
4)管理和安全上的要求
5.1.路由协议
路由协议对一个大网络来说,选择一个合适的路由协议是非常重要的,不恰当的选择有时对网络是致命的,路由协议对网络的稳定高效运行、网络在拓朴变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展都有很重要的影响。
采用动态路由协议可以及时地动态获取网络拓扑信息,引导IP数据报文逐步转发到达目的地,使IP网络具备了很强的灵活性和扩展性。在一条传输路径中断时,自动选择其他的路径继续执行数据转发;同样,在网络中增加了新的传输通道或设备时,IP网络也可在很短时间内获得并传播拓扑变化信息,对网络资源实现灵敏和合理的应用。然而不同的动态路由协议有各自的特点,分别适用于不同的条件之下。动态路由是网络中的路由器之间相互通信,传递路由信息,利用收到的路由信息更新路由器表的过程。它能实时地适应网络结构的变化。如果路由更新信息表明发生了网络变化,路由选择软件就会重新计算路由,并发出新的路由更新信息。这些信息通过各个网络,引起各路由设备重新启动其路由算法,并更新各自的路由表以动态地反映网络拓扑变化。动态路由适用于网络规模大、网络拓扑复杂的网络。当然,各种动态路由协议会不同程度地占用网络带宽和CPU资源。
由于静态路由和动态路由有各自的特点和适用范围,因此在网络中动态路由通常作为静态路由的补充。当一个分组在路由器中进行寻径时,路由设备首先查找静态路由,如果查到则根据相应的静态路由转发分组;否则再查找动态路由。
根据本次校园网络结构和未来局域网应用系统的发展情况,本次局域网系统我们建议采用静态路由与动态路由相结合的方式进行部署。
5.2.路由策略
与路由协议配合使用的路由策略用于增强网络管理者对路由协议的控制管理。上层路由协议在与对端路由器进行路由信息交换时,可能需要只接收或发布一部分满足给定条件的路由信息;路由协议在引入其它路由协议路由信息时,可能需要只引入一部分满足条件的路由信息,并对所引入的路由信息的某些属性进行设置以使其满足本协议的要求。路由策略则为路由协议提供实现这些功能的手段。
路由策略由一系列的规则组成,这些规则大体上分为三类,分别作用于路由发布、路由接收和路由引入过程。路由策略也常被称为路由过滤,因为定义一条策略等同于定义一组过滤器,并在接收、发布一条路由信息或在不同协议间进行路由信息交换前应用这些过滤器。
交换机设备支持的路由策略主要有路由映像(RouteMap)定义、分发定义等限制规则。路由策略的应用,对增强网络的可管理性具有重要的实用价值。对于校园局域网的路由策略方面,需要考虑校园内部各局域网区域的流量以及业务类别来进一步进行规划。
六、KVM系统
随着校园网络应用系统规模的扩大,网络机房未来服务器数量大致会有20~30台,本设计配置一套KVM切换系统,用于服务器的集中统一管理,系统连接方式如下图所示:
系统连接方式
KVM切换系统包括三个组成部分:智能服务器接口电缆、矩阵交换机和用户工作站。该系统应用灵活,系统通过标准5类双绞线与用户终端连接,拥有良好的扩展能力。所有操作人员在监控室就可以对网络机房内的服务器或网络设备进行访问和操作。操作人员根据管理员设定的权限经过设备认证后,可对指定的服务器进行访问。所有人员的登入日志由该系统软件记录,用户在控制室对任意一个用户端工作站必须经过用户认证,才能进入该切换系统。
本方案采用矩阵交换机实现用户控制30台服务器。每台服务器连接一个智能转换线缆,通过标准网线(Cat5、Cat5e、Cat6等)直接连接到一台矩阵交换机的主机接口,矩阵交换机的用户控制接口通过网线连接到机房外的控制室,用户通过用户工作站实现对服务器的控制,系统的基本功能如下:
控制用户:管理员用户对网络机房服务器中的任何1台服务器进行切换操作,操作用户端使用键盘操作,不同的用户根据不同的权限控制不同的服务器。
切换方式:用户管理席位采用图形化屏幕菜单,所有的控制由鼠标或者键盘来完成,系统具备自动扫描功能,可监视不同系统的运行状态,同时可实现多个用户同时访问同1台主机。
实用性:该系统支持包括PS/2、SUN、USB服务器和各种终端服务器及串口设备,VGA、SVGA显示器,最大分辨率本地端可达1900x1600@75Hz。
连接线缆:服务器到控制终端采用标准的网线连接。
扩展性:满足将来服务器的扩展性,KVM系统支持产品之间的级连,最多可以达到8用户无阻塞控制512台服务器。
七、网络安全系统
校园网络安全系统包括防火墙系统、IDS入侵监测系统、网络防病毒系统以及VPN系统等四个部分内容。
7.1.防火墙系统
防火墙系统是隔离在网络与网络之间的一道防御系统,是一种由硬件平台构成的网络安全系统,用来在两个网络之间实施进出控制策略。本次在校园局域网中为了保护局域网核心子网区域重要服务器的数据安全,同时为校园广大网络用户提供高速网络连接,在核心子网区域部署一台防火墙,并采用千兆接口双路由的方式连接到局域网核心层,从而实现对核心服务器区域进行保护和对该区域服务器的高速访问。防火墙具体部署方式如下:
防火墙具体部署方式
防火墙应采用有着业界领先的功能和特点,主要体现在以下几点:
第三代包过滤状态检测技术
采用基于状态检测的包过滤技术,快速实现基于源/目的IP地址,服务,用户,组(网络,服务)和时间的精细粒度访问控制。
无缝虚拟专网(VPN)支持既可以利用因特网IP通道为用户提供具有保密性、安全性、低成本、配置简单的虚拟专网服务,也可以为移动的用户提供一个安全访问公司内部资源的途径,通过对PPTP协议的支持,用户可以从外部虚拟拨号,从而进入公司内部网络。
体贴入微的流量管理
允许网络管理员监测、分析和根据不同类型实时分配网络带宽,确保对于流量要求苛刻的企业,最大限度的满足网络管理的需求。
先进的内核代理和透明代理
先进的内核级代理技术,提供优异的代理效率和特殊网络应用的安全性。支持HTTP,TELNET,FTP,ICMP等丰富全面的应用代理,支持透明、双向和多线程的特性,极大的方便了用户的使用并提供高性能的连接速度。
全面的地址翻译解决方案
完全遵循RFC1631标准,支持多种网络地址翻译方式和双向地址翻译能力,为用户提供完整的地址转换解决方案。多样化的地址翻译包括:静态地址翻译,动态地址翻译和端口重定向能力。
基于时间控制的网络访问黑名单
提供阻止主机黑名单功能,对Internet上的恶意站点及不希望内部员工在上班期间访问的站点进行按照时间段的阻止,同时对内部滥用网络资源的IP进行按时间段阻止其向外访问。
透明模式包过滤网桥
支持透明网桥功能,在不改变用户原有拓扑和资源设置的基础上,实现基于状态检测的包过滤,为用户提供全面的安全控制解决方案。
丰富的日志与强大审计分析能力
提供丰富的日志信息,用户可根据特定的需要进行设置(不做日志、系统日志、访问控制策略日志、应用层协议日志、应用层内容日志、VPN日志、HA日志)。独创的网络实时监测信息,可详细审计命令级操作,便于入侵行为的分析和追踪,大大提高防火墙的审计分析的有效性。
支持远程集中管理
通过数字证书认证、管理主机地址认证等完善的认证措施与管理信息的加密传输实现全局防火墙设备的集中管理,实现统一的安全策略部署,保证各环节安全策略的一致性,提供了整个系统的安全强度。
网络流量统计
支持对流经防火墙的数据流字节数的统计功能,根据用户定义的统计规则分段采样数据并进行保留,用户可以随时通过生成的直观的统计图了解防火墙的各个时段的工作负荷和数据类型。
网络连接数统计
网络连接数与状态检测类防火墙的动态状态表资源密不可分,防火墙能够通过远程管理Web界面或本地液晶显示屏实时统计当前活动连接数,曾达到的最大连接数与TCP,UDP,ICMP的连接次数。
7.2.入侵检测系统
考虑到校园总部局域网对网络安全的特殊需求,保证校园局域网的高级别安全性,应在校园局域网中对安全级别要求较高的区域部署IDS入侵监测系统,作为防火墙的有益补充。防火墙由于性能的限制通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙更是形同虚设。为了在网络安全的层次和网络安全区域方面进一步加强,应在局域网络中建立一套入侵监测系统。IDS入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术。入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。入侵检测系统功能主要有:
识别黑客常用入侵与攻击手段
入侵检测技术通过分析各种攻击的特征,可以全面快速地识别探测攻击、拒绝服务攻击、缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻击手段,并做相应的防范。一般来说,黑客在进行入侵的第一步探测、收集网络及系统信息时,就会被IDS捕获,向管理员发出警告。
监控网络异常数据
IDS系统会对网络中不正常的数据连接做出反应,保证网络数据的合法性;任何不符合网络安全策略的网络数据都会被IDS侦测到并警告。
鉴别对系统漏洞及后门的利用
IDS系统一般带有系统漏洞及后门的详细信息,通过对网络数据包连接的方式、连接端口以及连接中特定的内容等特征分析,可以有效地发现网络数据中针对系统漏洞进行的非法行为。
完善网络安全管理
IDS通过对攻击或入侵的检测及反应,可以有效地发现和防止大部分的网络犯罪行为,给网络安全管理提供了一个集中、方便、有效的工具。使用IDS系统的监测、统计分析、报表功能,可以进一步完善网络管理。
入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。
7.3.网络防病毒系统
目前校园局域网系统内部网络系统目前与Internet无直接连接通道,局域网与外部网络之间有三个不同的网络有连接,虽然外部网络与内部局域网之间均部署了防火墙系统,数据包经过时均须通过防火墙验证数据的合法性,但是从病毒防治角度来看仍存在着受到来自以数据流为载体的潜在病毒威胁,特别是蠕虫病毒的入侵。另外局域网中的各种应用服务器、客户机都可能会受到病毒的传播,因为病毒的攻击方式多种多样,有通过电子邮件、传统介质(光盘、软盘等)传播等等,一旦受到感染,便会迅速传播,会给日常的工作和生产带来极大的威胁,甚至一些高速传播并具备网络攻击能力的病毒,将占用大量的网络带宽,可能导致网络瘫痪。
本次我方结合在电力系统大量的部署经验,提供校园局域网系统整体防毒方案,在校园局域网进行防止、查杀以及控制病毒的策略和方法,方案的要点如下:
1.构建集中控管的整体防毒系统,从病毒传播途径和病毒驻留场所两方面进行有效防范,消除网络病毒对整个校园网络系统的破坏和干扰。
2.完整全面的安全防护解决方案,管控到各个信息的出入口;
3.在新病毒爆发前期,应能够采取迅速有效的措施,快速有效地阻断病毒的传播途径,将新病毒对校园网络系统的损害降到最低;
4.建立方便、有效的集中控制管理中心,实现对全公司防毒产品的集中管理,灵活设置防毒策略和部署策略;
5.方便生成病毒日志总报表和各分支机构报表,便于对整个网络系统的安全状况进行有效评估;
6.整个系统部署、管理、升级非常方便,不需要过多的人工干预;
7.防毒系统对原有业务系统和开发系统的影响小,系统兼容性好;
8.防毒系统具备脆弱性评估服务,能扫描与已知病毒和恶意软件攻击相关联的系统漏洞,并推荐采取以消除这些漏洞的处理措施;
7.4.VPN系统
为实现校园人员安全的远程、移动办公需求,配置一套SSLVPN系统,移动用户可以通过Internet实现对公司局域网的访问。
总部的公网防火墙配置IPSecVPN功能,未来下属单位按需要配置IPSecVPN网关,通过Internet组成虚拟网络,用于不具备专线接入条件的广域网节点下属单位,作为广域网的补充。
网络拓扑如下图所示:
由于IPSec和SSL是在Internet网络中的不同网络层来进行安全加密处理,以建立网络安全通道,因此在网络的安全管理等级上,各有所长。
从安全性能考虑,IPSec和SSL这两种安全协议,并没有好坏之分,而是针对不同的应用。
SSLVPN通过标准的Web浏览器访问校园应用,使出差人员通过任意一台接入Internet的计算机访问校园总部网络,使用方便,提高了工作效率,同时,SSLVPN不需要配置和维护远程客户端或软件,因此简单易用。
对于校园广域网的VPN应用,在总部部署SSLVPN仅能提供下属节点对校园总部的单向访问,不满足校园广域网组网的需求。因此,需要使用IPSecVPN,实现不具备专线接入条件的下属节点与校园总部的互访。IPSecVPN在实现上需要在总部及下属节点各配置一套基于IPSec的VPN网关,系统支持OA应用及软视频的功能。
鉴于目前同时支持IPSec和SSL协议的产品厂家很少,建议本期配置一套SSLVPN,用于校园远程/移动办公,同时考虑校园未来广域网的应用,建议校园总部的公网出口防火墙具有IPSecVPN功能,校园各下属节点设备配置时可以采取两种方案,一是尚无防火墙的节点购置具有IPSecVPN功能的防火墙,已有防火墙的节点建议配置IPSecVPN网关。
7.5.网络安全实施策略
校园局域网的安全需要结合局域网未来业务的实际需求、局域网与广域网的结合以及公网接入系统的建设综合考虑。
根据网络安全性的需求,可以把整个局域网分成多个区域来管理。每个区域的划分方式以及区域和区域之间的关系和访问权限需结合用户设备的具体情况和对安全的实际考虑来确定。
区域的划分一般通过VLAN划分、网段分割等技术手段实现,区域之间访问的权限控制和管理通过三层设备或防火墙进行。
实现方案为:将领导、财务及各部门、不同类型的服务器、网络设备和防火墙、公共区域的信息点、无线接入点(AP)等分别划为不同的网段和VLAN,并在防火墙中设置不同的访问控制权限。校园局域网提供的访问资源包括:
1.公网,包括公网应用服务器;
2.广域网,包括基于广域网的应用服务器;
3.局域网内公开信息,如内部公开主页;
4.局域网通用应用,如OA、VOD以及局域网的通用应用和数据服务器;
5.部门专用应用和数据服务器;
6.机密应用和数据服务器。
具体的划分和权限考虑如下:
领导分在一个单独的网段和VLAN内,千兆到桌面,拥有1-6项全部资源的访问权力,同时不能被其他用户访问;
财务及各部门分别划分在不同的网段和VLAN内,百兆到桌面,拥有1-4项资源的访问权力,各部门可以访问本部门的应用服务器,对其他部门应用服务器的访问权限视工作需要确定;
不同类型的服务器按照网络中的位置来划分包括基于公网的服务器、基于广域网的服务器、基于局域网的服务器。按照所属部门又可以分为不同类型和种类的应用服务器。
基于公网的服务器可以被所有公网用户访问;基于局域网的服务器则只能为总部局域网用户访问,不能被广域网用户和公网用户访问;同时基于局域网的服务器按照部门应用分类,只能被具有相应权限的部门用户访问,无关部门的用户则不能访问。
网络设备和防火墙划分为单独的网段,满足设备使用的需要。
公共区域可以分为:会议室,办公室,楼道和会客室等几类,连接到公共区域信息点的终端应采用DHCP的方式来获得IP地址.
访问权限表如下所示:
|
区域 |
公网 |
广域网 |
内部公开信息 |
局域网通用应用 |
部门专
用应用 |
机密
应用 |
|
会议室 |
可 |
可 |
否 |
否 |
否 |
否 |
|
办公室 |
可 |
可 |
否 |
否 |
否 |
否 |
|
楼道、会客室 |
可 |
否 |
否 |
否 |
否 |
否 |
系统实施后只开放最小权限,可根据需要随时进行调整。
所有学员及公寓管理部分单独划分网段,并同意进行管理和计费,同时在公寓和校园其他管理部门间设置防火墙。
临时员工可以根据需要提供从公网接入到部门应用不同级别的权限,并且可以将公用区域或办公室任意端口按需要划归临时员工使用,临时员工离开后可以将端口恢复低权限设置。
八、IP组播协议应用
8.1.IP组播协议实现
组播协议根据网络不同的位置可以分为两大类协议:用于二层网络组员管理的组管理协议和用于路由器之间的组播路由协议。
IP组播协议实现
(1)组管理协议
组管理协议是指在一个VLAN或一个IP子网内部对组成员进行维护和管理的组播协议,包括IGMPv1,IGMPv2。
当组播主机希望加入指定的组播组并且开始接收组信息时,它们就发送IGMP消息以通知本地的组播路由器。主机也可以通知本地的组播路由器,表示主机希望离开IP组播组,并因此对接收组播组信息不再感兴趣。事实上,IGMP是一个严重超载的协议,特别是在抑制LAN交换机上组播信息扩散的时候,由于IGMP的工作机制,只有采用IGMP窃听(IGMPSnooping)的方式,随时窃听主机与路由器之间的IGMP会话,进而屏蔽非组成员的组播流量。
(2)组播路由协议
目的在于为组播流量提供路由信息,以最优的路径树结构确保组播信息在多IP子网的环境中有效的转发,主要包括DVMRP,MOSPF,PIM-DM,PIM-SMV2、MSDP等协议。
我们推荐在校园局域网环境中的组播路由协议选择PIM协议,因为DVMRP和MOSPF实际上是RIP和OSPF单播路由协议的延伸,必须依赖原协议构建、维护和更新自己的组播路由表。而PIM则不管哪一种单播路由选择协议,甚至是静态路由,PIM都可以使用这些信息实现组播转发,因此,PIM是与协议无关的。尽管我们倾向于将PIM成为组播路由协议,事实上是使用现存的单播路由表去实现组播转发功能,而不是维护一个分离的组播路由表。因为PIM不必保持它自己的路由表,所以它不需要像其他协议那样发送或接收组播路由更新,相对于其他组播协议,PIM的开销降低了许多。
PIM组播协议又分为PIM-DM(PIM密集模式)和PIM-SM(PIM稀疏模式),后者也就是PIM-SM是本次网络设计的最佳选择。
8.2.组播实施建议方案
目前大多数路由交换设备厂家设备完整的支持IGMPv1、v2,DVMRP,PIM-SM和MSDP。根据校园局域网的具体情况,我方有以下建议:
1、媒体服务器和客户端PC到路由器之间采用IGMPv1或v2,根据具体的应用软件支持情况而定;
2、媒体服务器的组播地址从225.0.0.0~238.255.255.255之间分配,具体分配策略要根据具体业务开展情况再定;客户端PC的多媒体软件只要设置了与服务器一致的组播地址,就可以像电视选频道一样选择相应的多媒体业务;
3、域内组播路由协议采用PIM-SM,为了增强可靠性,校园总部局域网的2台核心交换机作RP,核心两台RP之间互为冗余备份,其他楼层交换机设置为AUTO-RP;
4、为了减少人工配置路由器的工作量和便于日后的维护、管理,其它节点三层交换机通过AutoRPDiscovery(自动RP发现)找到RP。
九、服务质量保证
校园局域网需要承载多种业务,为保证公司系统业务的正常及时处理,需要对不同业务实施不同的QOS策略。对于公司的关键业务,需要优先保证这些业务的时延、带宽和丢包率;而对于其它业务来说,也应当有相应的QOS策略来提供不同的服务质量保证。在规划网络QOS设计时,遵循以下的原则:
正常情况下QOS是通过带宽来保证的,带宽利用率达到60%可考虑扩容。
网络设备的容量不成为瓶颈。
网络故障或突发流量情况下QOS策略生效。
任何时候都优先保证实时业务。
9.1.体系结构的选择
为了在Internet上提供QoS,IETF提出了许多服务模型和协议,其中比较突出的有IntServ(IntegratedServices)模型和DiffServ(DifferentiatedServices)模型。
IntServ模型要求网络中的所有节点(包括核心节点)都记录每个经过的应用流的资源预留状态,需要通过IP包头识别出所有的用户应用流(进行MF分类),同时为每个经过的应用流设置单独的内部队列以分别进行监管(Policing)、调度(Scheduling)、整形(Shaping)等操作。对于现在大型运营网络中的节点,这种应用流(活动的)的数量非常庞大,会远远超出节点设备所能够处理的能力,而且可扩展性差,仅适合在小规模网络中使用。
DiffServ模型的基本原理是将网络中的流量分成多个类,每个类接受不同的处理,尤其是网络出现拥塞时不同的类会享受不同的优先处理,从而得到不同的丢弃率、时延以及时延抖动。在DiffServ的体系结构下,IETF已经定义了EF(ExpediteForwarding)、AF1-AF4(AssuredForwarding)、BE(BestEffort)等六种标准PHB(Per-hopBehavior)及业务。此外,有些厂商实现了基于TOS的分类服务(COS),并且这类设备已经应用在一些现有的运营网络。COS和DiffServ类似,不过比DiffServ更简单,并且不象DiffServ那样定义了一组标准的业务。DiffServ对聚合的业务类提供QoS保证,可扩展性好,便于在大规模网络中使用。本次工程推荐使用DeffServ机制实现QOS。
9.2.Diffserv区别服务模型
由于Intserv综合服务模型暴露出的以上缺陷,IETF为此制定了相对扩展性较强的方案来保证IP网络的服务质量QoS,即Diffserv区别服务模型。
Diffserv体系模型的核心思想是:在网络边界将数据流按QoS要求进行简单分类,不同的类在网络节点的每次转发中实现不同的转发特性。Diffserv体系使得网络能够提供给每个用户不同等级和质量的服务。用户(或网络边界节点)通过设置每个数据包的DS字段(IPv4首标中的服务类型(ToS)字段或Ipv6首标中的通信类(TrafficClass字段)的值要求特定的服务等级。其中,被设置的DS字段被称为区分服务码点(DSCP)。在每个支持Diffserv的网络节点中,这个DS值将数据报映射到一类转发行为PHB(Per-HopBehavior)中去,从而在转发中区别对待。可设定每个服务等级上所能发送的最大数据率。超过此最大速率的数据包或被丢弃,或无法享受到它所要求的服务。Diffserv网络最大的特征是其可扩容性。此体系将许多复杂的控制移到了网络边界,使内部节点能对叠加之后的数据流进行处理,而不必对每个数据流分别处理,从而大大减小了网络内部应该记录的状态,简化了网络各节点的操作。
在Diffserv体系中定义了三种服务质量,分别为尽力而为服务(BE)、奖赏服务(EF)和保证服务(AF),其中奖赏服务是指将网络带宽中的一小部分带宽分配给奖赏服务用户使用,主要用于实时服务;而保证服务是提供比尽力而为服务尽可能好的服务质量,其与尽力而为服务的区别在于当网络拥塞时先丢弃尽力而为分组。
9.3.QOS实现方式
为了保证关键应用的网络带宽,将对应用按重要等级进行分类,在网络上,实现对不同等级的应用提供优先权不同的质量服务。关键应用如视频会议、重要数据通信的服务质量将给予绝对的保证,而对带宽、延迟和丢包率要求不严格的应用,在网络带宽充足的情况下将予以保证,在网络带宽不足的情况下,将预先舍弃,以保证关键应用。
针对校园的局域网环境,在局域网网络边缘设备可以采用IPQoS复杂流分类技术对不同业务数据报文设置不同的DSCP/TOS标记,并根据需要采用流量监管技术(CAR)对带宽进行限制;携带DSCP/TOS标记的业务报文在核心层网络的路由器上,根据DSCP/TOS标识进行简单流分类,并根据不同业务设置的DSCP/TOS标记,配置相应的队列以及队列带宽保证,由三层设备根据数据流情况采用高效的队列管理技术(WRED/SARED)以及队列调度技术(LLQ/PQ)对用户的需求做保证。
十、网络管理系统
随着信息技术的发展,为提高生产及办公效率,现代企业越来越多地应用了信息技术,对于企业网络的依赖性也越来越大。企业网络上通常承载着企业的生产及办公系统,网络如果发生问题,会对企业的生产及正常运作产生严重的影响。业界的经验证明,选择一个优秀的网络管理系统是保证企业网络最大可用性的有效手段。
本次针对校园用户比较关心的问题,同时通过对于网管系统长期用户需求的收集、整理,提出了自己的企业网络管理解决方案,旨在为用户提供实用、易用、和可用的网络管理产品。网络管理软件充分考虑企业网用户对网络管理的需求,通过拓扑管理、故障管理、性能管理等功能,使得用户可以清楚地了解网络组网状况、网络设备和服务器的工作状态;掌握网络中的已经出现和将要出现的问题;并通过图形化数据分析出设备的流量趋势等变化的时间规律,为合理安排网络使用以及网络扩容提供依据。通过网络配置管理功能,实现了设备软件、配置文件的统一管理,并通过设备管理功能实现了对单个设备的监控和管理,从而最大限度地降低管理维护成本。
在本次校园总部办公楼局域网系统中也应部署一套网络管理系统,为更充分地利用现有网络设备资源,保证系统平稳、高效、安全可靠地运行,网络管理系统可满足以下功能:
可以支持Web浏览方式;
能进行集中管理,因为在网络环境存在于多个楼层,而且规模有可能继续扩大。网管系统需设立在中心主机房,采用集中式管理方式,对整个网络及所有节点网络设备进行监控、管理;
高效的自动发现能力,发现要求当网络上有IP地址的所有设备状态发生改变时,能够自动发现并图示所有网段的网络节点,并用层次拓扑图反映整个网络的连接情况;
可对多种网络设备(路由器、交换机)进行具体的监控及配置;
具有关键的网络性能(网络吞吐量、用户应答时间、线路丢包率、时延以及线路利用率等)监视分析和报告的能力;
能预先设置阈值,当发现某网络设备或节点发生断电、网卡出问题或专线发生故障,则可根据预定义的级别产生自动动作,包括弹出式窗口显示或立即发出相应的报警声音、寻呼、电子邮件或打印告警信息等;
提供易于使用的图形用户界面,操作简单、界面友好;网络系统的控制是一致的,管理人员可以很容易地将新的和已有的应用程序集成到网管软件的接口和相关的框图中;
具有数据采集功能,能够自动采集网管人员选定的数据目标的历史信息,跟踪信息,从而在问题发生之前可以采取预防措施,之后可分析问题所在;
提供事件与问题管理功能,能够快速识别、定位并解决网络故障以维护网络环境正常运行;
提供简便易用的报表功能,包括网络性能、可用性、网络资产状况和网络事件报表等。
网管软件将路由器和交换机管理功能与基于Web的最新技术结合在一起。并提供一系列网络集中操作的应用,包括对网络的集中配置、错误监测及故障处理等,使得网络管理员能够更加有效地管理网络。并且提供浏览器接口,可以方便地从网络的任何地方查看网络拓扑图及性能信息,并对网络设备进行配置和管理。
十一、服务器及存储系统
根据校园业务应用系统建设需求,本期建设应用服务器8台,数据库服务器2台(双机热备)。8台应用服务器均为文件级存储,2台数据库服务器为数据库级存储。初期数据量总容量按照2T进行考虑。
为了实现数据的高速、集中的存储,及时的备份,保证数据的安全性;同时考虑数据与应用相分离,便于应用系统的迁移,以及为下一步建设数据中心做好准备。因此需要建设一套兼顾文件与数据库存储,数据的备份,以及数据共享的存储备份系统。
考虑引进NAS引擎一套,实现数据基于文件级别的统一存储,同时NAS引擎支持多种文件格式和协议,从而实现数据的充分共享。引进磁盘阵列系统一套,实现数据库数据的统一存储,并制定相应的安全策略。与此同时,为了充分保证数据的安全性,需要建立相应的数据备份策略和数据恢复机制,将重要数据定期的备份到SATA盘阵中,以备在误操作和设备损坏时进行数据恢复。
为了满足集团未来3年左右的发展需要,并保证投资的经济性,所设计的存储备份系统需要可以平滑扩展。
服务器及存储系统
本次考虑到目前系统中同主盘阵列连接的服务器数量较少,因此主磁盘阵列可以利用3个FC光纤接口,分别同两台数据库服务器,NAS网关,备份服务器同备份磁盘阵列相连。其数据存储备份的功能,数据流程与方案1完全相同。
在充分满足系统建设需求的前提下,本着尽量节省成本的原则,在当前建设阶段可以暂时不考虑采用光纤交换机,未来随着接入光纤网络服务器数量的增加,系统扩展只需加入相应的光纤交换机即可,无需变动系统结构,从而实现整个存储备份系统的平滑扩展。
十二、网络计费系统
由于北京石油管理干部学院的学院大多为中短期干部培训,学员无论是在房间,还是在课堂以及其他公共场所,对网络的使用都相当的大,为了维护网络的安全和使用,对网络使用进行管理和计费显得十分必要。
根据要求,在本次核心网络升级的过程中建议配备网络管理和计费系统。整个系统可以满足学校对网络管理、公寓系统计费、公共场所计费的要求。
图:网络计费系统框图
系统提供多种灵活的计费策略,储值卡、网吧计时,包月、包天、包半天、包小时、封顶的大量策略;
可以同时为酒店内部网络人员上网提供上网认证和管理功能;
提供带宽管理功能,对不同级别的客户、酒店内部人员业务分的不同,分配相应的带宽;
提供BT等限流功能,保障网络的通畅,不会被客人滥用网络资源;
DHCP实时状态查看占用的IP数,及时释放资源;
提供在线客房状态查看,在线客户数,使用VPN客房等。
即插即用,不需要任何设置。
帐单到房间。
对公共场所的管理可以按照单独的VLAN划分,同公寓一样进行管理。
另外,根据学员和管理的实际需求,还可以建设认证系统,通过对学员登记入住时的用户名和密码,经系统认证后上网,并计费和管理。
十三、网络机房要求与UPS供电
13.1.工作环境要求
13.1.1温度与相对湿度
(1)工作温度:短期0℃~45℃ 长期15℃~30℃
(2)工作湿度:短期20%~80%
长期40%~60%
(3)存贮温度:-20℃~+70℃
(4)存贮湿度:10%~85%
短期工作条件指连续不超过48小时和每年累计不超过15天。
13.1.2震动
数据设备的机柜及网络设备进行抗震加固,达到抗里氏7级地震的能力。
13.1.3接地电阻
接地电阻小于1Ω。
13.1.4防静电
采用半导电地面涂料、半导电活动地板或铺设半导电地胶板,加强抗静电措施。
13.1.5防尘
网络机房应满足下述清洁度要求:
(1)直径大于5um灰尘的浓度≤3×104粒/m3
(2)计算机机房中应无爆炸、导电、导磁性和腐蚀性尘埃
13.1.6抗电磁干扰
网络机房具有抗外界电磁干扰的屏蔽效应
数据设备在0.01~10000MHz频率范围内,受到电场强度为140dBuV/m的外界电磁干扰时,不出现故障和性能的下降
在交流、直流电源线对和信号线对受到下表所示0.01~10000MHz频率范围的外界电磁干扰电流时,数据设备不出现故障和性能的下降
13.1.7空调
为了保证以上的工作环境要求,新计算机机房安装机房专用空调,为网络系统设备提供良好的工作环境,从而保障数据系统的正常、可靠运行。
13.2.电源与接地
13.2.1电源
市电交流电源为三相380V±10%和单相220V±10%,频率为50Hz±5%,线电压波形畸变率小于5%。
13.2.2UPS电源
为了保障整个校园网络系统的稳定和安全,需要在图书馆中心机房配备UPS电源系统。系统按照单机40KVA和1小时供电配置设备,其中电池可以架设在图书馆一层机房的电池间内。
13.2.3防雷接地
防雷接地与均压
在建筑物屋顶敷设闭合避雷均压网(带),并与大楼的接地网连接,屋顶所有预埋件必须与接地网可靠连接。机房内围绕机房敷设环型接地母线,环型接地母线、房顶闭合均压带以及接地网之间至少应用四条对称布置的连接线互相连接。
网络机房设备接地
保护接地(设备机壳接地E)
将因绝缘损坏而带电的电气设备对地电压降到安全值以下的接地。
工作接地(包括交流供电中性线接地和直流供电接地N)
在正常或事故情况下,为保证电气设备可靠地运行而采取的接地。
计算机机房内所有设备的金属外壳和框架、保护接地、工作接地均以最短距离与环形接地母线连接,保护接地和工作接地与同一楼内的动力装置、建筑物避雷装置共用一个联合接地系统。
十四、系统软硬件清单
|
序号 |
设备名称 |
数量 |
说明 |
|
一.Internet接入路由器 |
|
1 |
Internet接入路由器 |
1台 |
至少2个10/100M-BASE-TX以太接口; |
|
二.交换机 |
|
1 |
核心交换机 |
2台 |
每台至少配置50个千兆光口;48个10/100M以太接口;双电源、风扇 |
|
2 |
各楼接入交换机A |
2台 |
24口10/100M以太网交换机;2个千兆光口 |
