3.局域网设计
我们在局域网设计上将信息中心网络和机关局域网融为一体,采用一套物理网络设备,采用划分不同虚拟网段VLAN的办法隔离相应的网络,完成不同的功能 。具体参见附图4 。
局域网设计采用星型结构,采用专为需要千兆扩展、高度适用、多层交换的主从分布而服务器集中的应用环境设计的Catalyst 6509构成高速、稳定的网络主干,其具有较高的数据交换能力、VLAN划分、第三层交换能力等性能,支持交换背板可扩展到256Gbps,多层交换速度可扩展到150MPPS,结合其IOS广阔服务功能,Catalyst 6509具备强大的网络治理性,用户机动性,安全性,高可靠性和对多媒体的支持,能满足企业的内部网(Intranet)苛刻要求网络服务(如ERP)和网络语音图象使用 。为了保证系统的高度稳定,在主干交换机中分别配置冗余的主控(含引擎第三层路由模块)模块,这样主干交换机可以实现引擎、路由自动备份,保证系统的正常高效、运行 。并根据需要划分成多个不同的网段:数据中心网段、治理网段、开发网段等 。在机关配线间配置楼层交换机,采用两条千兆光纤Channel冗余上联主干交换机,保证了局域网的高可靠性接入功能 。
4.网络安全的设计
(1)Internet出口及防火墙区域设计
我们为北京烟草行业广域网设计统一的Internet出口,以确保对Internet访问的控制和保护内部企业网 。在建立北京市烟草专卖局独立的INTERNET出口时,考虑到INTERNET的开放性,我们选用一台CISCO PIX 520作为独立INTERNET出口处的防火墙,在上面建立DMZ网段 。其采用一种安全的、非UNIX系统的实时内核(kernel),避免了以UNIX系统为平台的“防火墙”技术所受到的攻击,支持多达16,000个同时链接;高达45Mbps的网络数据通过能力;安全的动态地址和静态地址翻译 。
(2)入侵探测IDS
我们采用IDS-4210 Sensor,服务于整个市局机关网络安全平台 。实时进行入侵检测,对合法流量和网络来说是透明的对未授权或企图破坏的动作,中断其访问网络或中止企图破坏的连接,实时响应拥有综合的攻击签名清单,可探测出大范围的攻击,并能探测出基于内容及有先后顺序的连续攻击 。
(3)网络防病毒设计
根据烟草专卖局网络设计,我们选用Norton AntiVirus for Windows2K的解决方案,市局信息中心建立一个控制中心和一级防病毒服务器、每个下属单位建立一个二级防病毒服务器及各个客户终端构成 。病毒定义码和扫描病毒引擎的更新由一级防病毒服务器及时分发,控制中心快速方便实现集中治理,对网络性能的影响非常小 。
(4)VPN加密技术
考虑到IC卡电子结算系统等非常重要的数据传输的保密性,我们在本项目中采用的是56位的IPSec DES加密技术和防篡改技术,组建行业VPN网络,对双向流动的数据进行加密,传输的数据就可以得到有效的保护 。
四、网络设计特点分析
在北京烟草广域网建设项目中,我们根据北京市烟草专卖局当前的需求和未来的发展,考虑全局,坚持长远发展规划,将计算机网络建设成一个起点高、安全可靠、易于扩充和升级、便于治理和使用的网络系统 。北京烟草广域网系统具有5大特点:
1.重点突出技术先进性
本系统在满足实用性的基础上,起点高,在要害环节中选用了代表先进的网络技术主流先进产品,确保选用的产品具备良好的先进性、通用性和权威性,用户会获得较好的支持和保障,所设计的系统拥有较长的寿命 。例如:CISCO公司的高端千兆交换机,千兆网以太网技术、VLAN技术、三层交换等技术,OSPF作为高效主干路由协议,建立一个技术先进成熟的网络 。
推荐阅读
- 淘宝里带hot的是什么意思
- 其人弗能应也的原因是 其人弗能应也的原因是什么
- 4的6倍是几个几 4的6倍代表几个几
- 孝文化的当代价值有哪些
- 我的世界迦米矿在哪里
- 魅族手机一键清除通知的基础操作
- 思科华为几种主流交换机的镜像配置方法
- 天冷给羊补点铜
- 重阳节手抄报内容图片 重阳节的手抄报怎么画
- 特殊病种有哪些待遇的