06计算机网络系统技术方案

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

目 录

第一章、计算机网络系统 .................................................... 3 1 工程概况 .............................................................. 3 2 网络总体需求 .......................................................... 3

2.1 高可靠性 .................................................................... 4 2.2 网络安全性 .................................................................. 4 2.3 高性能 ...................................................................... 5 2.4 第三层交换和VLAN划分的结合 ................................................. 5 2.5 对多媒体应用的支持 .......................................................... 5 2.6 可扩展性 .................................................................... 6

3 核心层设计 ............................................................ 6 4 接入层设计 ........................................................... 11 5 网络拓扑图 ........................................................... 14 6 网络管理设计 ......................................................... 16 7 网络安全 ............................................................. 17

7.1 安全目标 ................................................................. 17 7.2 安全措施 ................................................................. 18 7.3 网络层的安全措施 ........................................................... 19 7.4 NetST产品特征 .............................................................. 19

8 广域网设计 ........................................................... 21 9 方案特点及优势 ....................................................... 22

9.1 业界最高的网络性能 ......................................................... 22 9.2 多层次的高可靠性 ........................................................... 22 9.3 虚拟网的安全性和灵活性 ..................................................... 23

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

9.4 高性能的硬件快速分类 ....................................................... 23 9.5 高安全性 ................................................................... 23 9.6 充分的网络服务质量(QOS)保证 ................................................ 24

第二章、无线网络系统 ..................................................... 25 1 概述 ................................................................. 25 2 需求分析 ............................................................. 25

2.1 功能与要求 ................................................................. 25 2.2 AVAYA(WaveLAN)无线网络 ..................................................... 26 2.3 网络结构设计方案 ....................................................... 26 2.4 产品特点 ................................................................... 27 2.5 无线网卡 ................................................................... 28 2.6 APII无线网桥 ............................................................... 28

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

第一章、计算机网络系统

1 工程概况

陕西延长中煤榆林能源化工有限公司工业园区局域网的此次宽带IP网络互连是其为进行今后网络应用而组建的网络，本方案完全是在许多大型网络设计与集成的经验基础上，并结合用户的实际需求以及多应用网络平台的研究成果、各种网络通信层次的测试得到的相应数据的基础上做出的。所以完全能满足陕西延长中煤榆林能源化工有限公司工业园区现在和今后一段时期的需求，通过本方案，将使陕西延长中煤榆林能源化工有限公司工业园区的网络变的更加高效，更加易管理、安全、易运营，并且是，整个的网络建设也完全依据逐步投资的原则，进而保证了陕西延长中煤榆林能源化工有限公司工业园区局域网投资的合理性。

工业园区信息化是社会发展的必然趋势，陕西延长中煤榆林能源化工有限公司工业园区作为五星级工业园区，除需建设自身的工业园区办公、业务信息网络（包括财产管理系统、POS系统、工业园区管理信息系统），还需为生产提供宽带上网服务。计算机网络系统的建设一方面对陕西延长中煤榆林能源化工有限公司工业园区经营和管理水平的提高产生相当大的推动作用，另一方面还对提高工业园区服务水平，改善客房环境和办公条件提供了平台。

我们在设计陕西延长中煤榆林能源化工有限公司工业园区时采用的基本思想是： 高起点、高标准、经济实用、适度超前

因此，根据“高起点、讲效率、少花钱、保质量、保安全”的原则和“整体建设要坚持高标准、有特色”的要求，在深入细致地调查研究和认真分析实际需求的基础上，按照“实用、经济、成熟、先进、安全、可靠”的技术路线完成设计。

2 网络总体需求

网络综合布线先期实施。其水平布线采用六类双绞线，汇接于各楼层配线间，各楼层配线间设有配线架，垂直布线采用光纤从中心机房铺设到各楼层配线间。网络部分自身办

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

公所用，需要一次性完成局域网建设，会议室网络需要对视频会议进行良好的支持，同时在客房设置信息点，供住店客人上INTERNET使用。整个网络需连入INTERNET，并要求能网络的安全性提供有效的保障。

通过对陕西延长中煤榆林能源化工有限公司工业园区用户需求的研究，结合对用户网络的考虑，工业园区计算机网络主干应具备以下特性，满足工业园区网络应用的需求，并保证建成后的网络在一个较长的时间内具有较强的可用性和一定的先进性：

2.1 高可靠性

要求整个系统采用具有高可靠性的总体设计，采用的技术应当是相对成熟的技术；在关键环节均应有冗余备份设计，在关键的网络设备和主机设备上消除单点失效; 在网络骨干上要提供备份链路，提供冗余路由。在网络设备上要提供冗余配置，设备在发生故障时能以热插拔的方式在最短时间内进行恢复，把故障对网络系统的影响减少到最小，避免由于网络故障造成用户损失；设计中所选用的设备本身应具有较高的可靠性；在系统软件和应用软件方面必须注重系统的安全保密工作，采用具有较高安全级别的系统软件，引入具有可靠功能的专用网络安全产品；在对后期培训工作的安排中，加强对有关工作人员系统安全知识培训及处理突发故障能力的培训。

系统安全可靠运行是整个系统建设的基础。鉴于网中信息的重要性，要求网络系统要有较高的可靠性，各级网络应具有网络监督和管理能力，要适当考虑关键设备和线路的冗余，能够进行在线修复，更换和扩充。要确保系统的正确性，数据传输的正确性，以及为防止异常情况所必须的保护性设施。

2.2 网络安全性

在网络安全业界，有一个广为传播的说法：“三分技术，七分管理”。安全技术和安全产品仅仅是为信息网络实施安全管理提供了技术层面的手段，而这些技术和产品能否起到其应有的作用，更大程度取决于对这些安全技术的应用，对安全产品的配置，以及在网络应用环境下硬件设备、软件系统和用户等各种综合因素的作用。因此，在安全系统建设工程中，必须充分重视用户的安全，加强对用户安全意识的培训，加强安全常识的教育，加强安全系统的使用培训。

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

本工业园区的计算机网络作为一个支持多个部门、支持众多住店客人、同时和Internet存在连接的网络，网络安全性在整个网络中是个很重要的问题，我们应该采用一定手段控制网络的安全性，以保证网络正常运行。网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问。可以用身份认证、VLAN划分等技术有效地控制内部用户的行为，比如杜绝对IP地址的盗用和侦听用户口令等，同时也能够利用防火墙控制外部人员对网络的访问；网络系统还应具备高度的数据安全性和保密性，能够防止非法侵入和信息泄漏。

2.3 高性能

工业园区计算机网络系统要求具有较高的数据通信能力和较大的带宽；并在主干网上提供较强的可扩展性。为了及时、迅速地处理网络上传送的数据，网络应有较高的网络主干速度。网络设备必须具备高速处理能力，提供高速数据链路，保证网络高吞吐能力，满足各种应用（如：视频会议系统）对网络带宽的需求；

在各部门的工作组中采用交换技术，以保证在工作中网络的快速响应速度，用于提供较高的工作效率。

2.4 第三层交换和VLAN划分的结合

在网络主干中要支持三层交换及VLAN划分。根据各个部门分配或用户定义的其它策略进行相应的VLAN的灵活划分，在整个网络中使用虚拟网技术，以提高网络的安全性和灵活性。网络中心设备和骨干设备能够提供线速的VLAN之间的路由和高性能的第三层的数据包的处理。

2.5 对多媒体应用的支持

支持多媒体应用。在工业园区网络中会有多种多媒体应用，整个网络在服务质量(QoS)、预留宽带设置、合理进行带宽管理方面应提供优良的品质。

计算机网络要求具有数据，图像，话音等多媒体实时通讯能力；并在主干网上提供足够的带宽和可保证的服务质量，满足大量用户对带宽的基本需要，并保留一定的余量供突发的数据传输使用，最大可能地降低网络传输的延迟。

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

2.6 可扩展性

随着技术的发展、业务的增多，网络的规模也会逐渐扩大。初期采用的设备必须支持以后的网络平滑的扩容，保证在网络的成长过程中，网上业务不会受到影响。

系统建设要考虑将来的扩展和升级，以免人力物力、财力的浪费。网络设计不仅要满足当前的要求，还要为将来的扩展留有余地，保护投资。网络设计采用国际标准的技术和符合标准的设备，系统软件或硬件升级都不影响整个系统的运行。系统上结点的增减也应不影响系统的正常运行。

建成的网络系统必须具有良好的可扩充性和升级能力，并且其扩充和升级必须要以最低成本花费为前提。

随着用户应用规模的不断扩大，要求网络可以方便地扩充容量，支持更多的用户及应用；随着网络技术的不断发展，网络必须能够平滑地过渡到新的技术和设备，保证用户现有的投资。

3 核心层设计

陕西延长中煤榆林能源化工有限公司工业园区系统项目的建设将基于综合布线的基础架构。因此，陕西延长中煤榆林能源化工有限公司工业园区的建设将紧密结合陕西延长中煤榆林能源化工有限公司工业园区的网络布线结构。根据用户的现有和未来需求，陕西延长中煤榆林能源化工有限公司工业园区拓扑结构采用星型二级结构，即核心层和接入层。现有陕西延长中煤榆林能源化工有限公司工业园区网络结构以中心机房为中心，分别向各工业园区楼层和会议室辐射，主要采用多模光纤的布线。

陕西延长中煤榆林能源化工有限公司工业园区中心机房数据子网构成局域网的核心层，其他各楼层的数据子网构成工业园区局域网的接入层。

陕西延长中煤榆林能源化工有限公司工业园区中心机房作为工业园区的核心层将实现服务器与客户端之间的高速数据交换。因此，核心层网络设备要求提供高带宽、大容量的核心路由交换设备。核心设备应具备极高的可靠性，能够保证7*24小时全天候不间断运行。核心设备同时应拥有非常好的扩展能力，以便随着网络的发展而发展。各边界的交换机构成了院部局域网的接入层。接入层主要实现本地和本地与中心之间数据的传输。因此，

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

接入层网络设备要求具备一定的带宽和一定数量端口，满足数据传输的要求。

核心层与接入层之间通过1000M以太网实现连接。形成了星形结构。如下图所示。

随着陕西延长中煤榆林能源化工有限公司工业园区管理信息系统的丰富和数据量的增加。在未来，通过在陕西延长中煤榆林能源化工有限公司工业园区中增加千兆连接数量，即可以实现网络的中继带宽升级，同时实现网络可靠性的增加。

根据需求，我们在核心层中心机房配置Nortelnetworks的Passport8600高端三层交换机作为中心侧三层交换机，实现中心本地数据子网的高速数据交换。在接入层配置Nortelnetworks的Baystack420和Baystack470作为接入层二层交换机，实现本地子网的高速数据交换。同时，接入层通过N*1000M实现和核心层的连接。

从网络实际应用的角度看核心交换机主要用于信息点的接入层交换机的集中，对于大容量的核心设备的责任是处理业务流量，保证各网络的正常运行。核心层不只作简单的数据交换，而且进行全网的大容量处理、广播抑制、拥塞管理、流控、整体安全等智能功能。对将来网络的扩容与升级都带来很多不利的影响。

所以，根据合理的设计原则，满足实际的网络应用需求，需要有一个拥有一个容量可扩展的智能交换机来充当核心层的网络设备，同时提供可与核心配合实现整体的智能功能包括2/3/4层的访问控制，并且可对用户进行安全的认证，可以有策略的透传二层的业务信息。另一方面，可在核心层合理的对网络各层的广播进行抑制，有效减轻网络核心的不必要压力，以减少核心业务主机的数据包与广播包的碰撞产生的错误，这也是全方位提高

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

网络的性能，更高效的利用网络的带宽的一个必要手段。

根据陕西延长中煤榆林能源化工有限公司工业园区标书所要求的内容，在核心层配置完全满足并高于标书指标要求的骨干三层路由交换机Passport8600及网络管理系统。

根据陕西延长中煤榆林能源化工有限公司工业园区局域网信息点分布的实际情况，以及工业园区对网络系统性能上的需求，我方选用Nortel（北电）的Passport8610交换机配置在核心中心，通过 Passport8610产品核心接入交换机的业务，高速交换后通过光纤上连到广域网。Passport8610具有十个插槽，提供丰富的业务插卡类型，能够满足用户灵活的网络扩容需求。而且Passport8610具有大容量128G的交换容量，96Mpps的吞吐量，其可提供第2层到第7层的数据流量转发，产品具体介绍如下：

北电网络的Passport 8600系列路由交换机专为高性能的企业、运营商和服务供应商网络而设计。在企业网络中，Passport 8600可以提供当今的VOIP等关键任务应用所要求的性能和可靠性。在运营商和服务供应商网络中，Passport 8600可以提供当今的高级IP基础设施所要求的较高性能和可用性。

作为一种基于机箱的以太网交换平台，Passport 8600系列交换机提供线速第2层到第7 层流量分类、过滤、转发和路由功能。基于硬件的线速性能可以实现快速有效的流量分类、策略实施和过滤，有益于对时间敏感的应用，如视频和音频、以及创收性的应用，如服务质量和个性化内容。Passport 8600系列交换机是一种强劲、安全、智能化的平台，由于其性能、智能性以及99.999%的可靠性，使这种平台具有真正的竞争优势。

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

Passport 8600的图形化配置界面

Passport 8600提供：

? ? ?

线速第2层到第7层流量分类 多层冗余，实现99.999%的可靠性

10/100/1000以太网、 ATM、PoS、10 Gig 及 WDM的支持提供了集成智能性带宽连接

? ? ?

无缝LAN/MAN/WAN 连接

每个端口具有八个基于策略的硬件队列 512千兆/秒的背板交换容量

高可用性

?

完全冗余机座：N+1电源、双重风扇托架

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

? ? ? ? ?

可选择交流或直流电源

热插拔机座组件，例如电源供应和风扇托架

热插拔交换机结构/CPU模块，有关详细资料，请查阅模块数据表 热插拔接口模块，有关详细资料，请查阅模块数据表

使用分布式Multi-Link Trunking(MLT)和LinkSafe的恢复提升器、主干和服务器连接

? ?

增强Spanning TreeFastStart技术，减少Layer2链接上的趋同时间

虚拟路由器冗余协议(VRRP)，在网关发生故障情况下提供负载平衡和自动恢复

低拥有成本

? ? ? ?

经得起未来考验的机座，内置了支持未来发展的技术

对机座、电源供应、风扇托架和接口模块等方面的节约减少了维护和支持费用 基于Web的Optivity设备和网络管理 支持Optivity端到端策略管理

高可用性

? ?

高可用性特点，将99.999％正常运行时提供给网络管理员 多重QoS级别使系统潜伏时间减少到最小运行简单性

运行简单性

? ?

灵活并简单易用的管理选择和配置选择

高级安全功能，使您的网络免于未经授权的入侵者闯入

低拥有成本

?

简单的集成平台，可以满足所有企业和MAN的需求

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

?

所有的系统组件和接口模块都可从前面板接入，减少了接线盒和数据中心的占地空间要求

?

系统组件对6槽机座和10槽机座（8006和8010）通用，许多接口模块能够与其它北电网络的交换机共享，减少花费和维护成本

4 接入层设计

根据陕西延长中煤榆林能源化工有限公司工业园区网络系统标书所要求的内容，在接入层配置完全满足标书指标要求的可堆叠二层交换机Baystack420或Baystack470。

根据工业园区各个楼层配线间的分布以及工业园区对网络部分的需求，我们在本方案中选用了Nortel（北电）的BayStack 420-24T交换机作为楼层交换机。

北电网络BayStack 420 10/100/1000Mbps第二层以太网交换机日前开始在全亚太地区发售。BayStack 420提供的是面向中小企业的低成本、高性能的解决方案。它使用方便，能改善网络性能，让客户的投资物有所值。

BayStack 420适用于中小企业以及大公司分支机构这类应用环境。它可作为独立的交换机使用，也可用作一个可升级、可层叠的解决方案。该解决方案可实现每层多达8台交换机、共192个端口的扩展。BayStack420 10/100/1000第二层以太网交换机在一个合理的性价比范围内具备了性能好、安全性高、可实现网络管理等特点。

BayStack420提供了强大的连网管理选项，包括一个基于Web的界面以及对SNMP网络管理协议的支持。对于一个完整的BayStack420叠层，可仅仅使用一个IP地址，将其作为一个单独的网络单元来管理。BayStack420能在没有包损失的情况下实现线速率，从而确保服务器连接的高带宽，避免网络瓶颈出现。

BayStack 420可作为独立的交换机使用，也可用作一个可升级、可层叠的解决方案。该解决方案可实现每层多达8台交换机 、共192个端口的扩展。BayStack420 10/100/1000第二层以太网交换机在一个合理的性价比范围内具备了性能好、安全性高、可实现网络管

理等特点。

BayStack420提供了强大的连网管理选项，包括一个基于Web的界面以及对SNMP网络管理协议的支持。对于一个完整的BayStack420叠层，可仅仅使用一个IP地址，将其作

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

为一个单独的网络单元来管理。BayStack420能在没有包损失的情况下实现线速率，从而

确保服务器连接的高带宽，避免网络瓶颈出现。

易于使用的GUI管理。通过从www.nortelnetworks.com免费下载设备管理软件，可以很容易对BayStack 420交换机进行配置和管理。

在工业园区会议室我们采用Baystack 470作为楼层交换机，Baystack 470具有良好

的QOS保证，所以对将来的视频会议有很好的支持。 Baystack 470具有以下特点：

o o o

48口10/100M第2层以太网交换机，2个GBIC插槽，一个内建堆叠模块 强大的堆叠功能：

支持一个堆叠内达到384各高密度端口数，堆叠具备自愈能力，小出了单点故障，内建堆叠模块。

o o

弹性链路和GBIC上联：

通过MLT,DMLT提高了链路的冗余，2个内建的GBIC模块提供了最大可能的上联能力

o o o

安全性：

强大的安全访问控制和流量保护功能 QoS保障的网络可用性

考虑到会议室举行一些大的会议和有视频会议的需求，所以我们在设计时考虑采用两条光纤进行备份，提高网络的可靠性。由于会议室的信息点相对比较多，所以采用具有48口的BayStack 470作为接入交换机。其它在工业园区楼层信息点多的地方采用BayStack

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

420堆叠来扩充端口数。Baystack420可实现8台交换机的堆叠。因此，采用Baystack420对于未来网络的扩展有很大的好处。因此，接入层二层交换机Baystack420和Baystack470完全满足并超出标书的性能指标和参数指标，以及所要求的全部标准协议。

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

5 网络拓扑图

中心三层交换机Passport8600通过1000Base_SX接口模块连接工业园区各楼层和会议室。通过100M接口模块实现服务器、网管工作站的连接，同时可以连接其它的业务和生产服务器。

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

中心的Passport8600三层交换机为机箱式多协议大型交换机，机箱插槽为最多10个。第二层、第三层转发吞吐能力为96Mpps。最多可支持384个10/100Base_TX端口和64个1000Base_LX端口。VLAN的数量可达到2013个。同时支持电源、风扇、中心CPU/交换矩阵的均衡负载和热备份功能。

作为核心交换设备，各种业务流及应用的数据都经过此来进行路由、交换，当网络流量大的时候，应该能够确保优先级高的数据能够得到传输保证，也就是QoS（Quality of Service）保证，另外视频、语音等流媒体需要进行持续的传输，一旦出现时延和拥塞，语音质量和视频的画面质量就得不到保证，出现画面马赛克以及语音停顿等问题。

Passport 8600核心交换机很好的解决了这个问题，在每个数据端口具备了硬件队列，通过每个端口上的硬件芯片，识别出不同的应用，并将不同的应用根据用户定义的策略，将它们分配到不同的优先级，从而保证优先级高的数据得到优先传输。比如：可以将VOD视频点播等设置到最高级别，保证绝对优先级，这样保证在客户端看到的画面没有抖动、马赛克、黑屏；同样，我们可以把业务数据设置在高优先级、上因特网设置为最低优先级，以保证正常业务数据的传递。

因此，中心三层交换机Passport8600完全满足并超出标书的性能指标和参数指标，

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

以及所要求的全部标准协议。

6 网络管理设计

网络系统的所有设备都应是可管理的，应支持远程监控及故障的过程诊断和恢复。通过网络管理工具，可以方便地监控网络运行情况，对出现的问题及时解决，对网络的优化通过依据。另外，网络的设计应采用简单易用的网络技术，降低运行维护的费用。

强有力的网管软件是有效地进行网络管理的助手，网管软件应能够支持对网络进行设备级和系统级的管理，并能支持通用浏览器进行网络设备的管理及配置。

为便于集中监控管理整个网络系统，可以设置一台网管服务器。网管服务器对整个网络的运行情况以便及时发现潜在的问题，并且在出现问题时及时准确的定位问题所在位置，以便及时解决，如：网管服务器软件图形化显示的设备及端口状态颜色可以表示该设备的当前状态。同时网管服务器还可以集中对整个网络交换机设备进行配置。在中心机房网管工作站上安装Optivity软件用于对全网上路由器的连接连接进行可视化管理和监控。

对于陕西延长中煤榆林能源化工有限公司工业园区部局域网这样规模的网络，管理是非常重要的一项工作。为此本方案配置了一套运行在WINDOWS2000操作系统上的Optivity网管软件，用于管理Nortelnetworks的全部网络产品(包括Passport和交换机等)。它可以分别管理到每台网络设备，监视其状态；网管软件可以管理到每台设备的面板，各个端口的状态和配置情况等。通过Optivity，我们完全可实现网管系统的5大功能，即失效管理、配置管理、安全管理、性能管理和计费管理。

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

Optivity网管软件

7 网络安全

7.1 安全目标

(1) 确保陕西延长中煤榆林能源化工有限公司工业园区内部各类信息在存储、获取、传递和处理过程中保持完整、真实、可用和不被非法泄露的特性。各类信息的获取、存储、处理和传递必须满足陕西延长中煤榆林能源化工有限公司工业园区行政和业务的层次管理和授权管理需要，由此制定的安全策略必须体现陕西延长中煤榆林能源化工有限公司工业园区的安全管理意志。

(2) 确保陕西延长中煤榆林能源化工有限公司工业园区与国际互联网（Internet）的互连必须能防范来自陕西延长中煤榆林能源化工有限公司工业园区外部的各种形式的攻击，对外发布的信息保持完整、真实和可用特性。

陕西延长中煤榆林能源化工有限公司工业园区网络系统的安全体系结构

陕西延长中煤榆林能源化工有限公司工业园区网络的安全体系基于TCP/IP网络协议

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

框架，通过多种安全机制在TCP/IP的各个层次上实现能满足相关应用安全需求的安全服务，达到网络信息安全的目的。具体应用所需要的安全服务，取决于该应用所能承受的最大安全风险程度。一般来说，风险承受程度越高，所需安全服务越少，反之亦然。安全体系结构见下图。

应用层安全 OA MIS 网络服务层安全 SSH S/MIME 传输层安全 IP协议层安全 IPsec ISAKMP 网络接口层安全 X.25 DDN PSTN FR 卫星 … … Radius … … 安全管理 安全保障 安全策略 安全评估 图 安全体系结构

物理安全 7.2 安全措施

网络安全管理的内容包括：保护网络资源不受内部或外部的恶意攻击和破坏，保护网络的配置不受非法的修改；保护网络设备不受内部或外部的恶意、非恶意攻击和破坏；阻止反动的、黄色的信息在网上流动和传播等等。这些问题的解决除加强思想教育和组织管理外，最根本的办法就是采取有利的措施加强网络运行管理，采用各种保护措施维护津泰达国际会议工业园区的安全。应当建立各种安全规章制度，如值班制度、系统安全运行制度等；完善各种事故保护系统，如防火系统、防盗系统、电源安全保护系统等。

津泰达国际会议工业园区网络的安全策略强调全面保护、规范管理和提高效率。我们采用下面的措施保证网络的安全。

? 建立网络用户使用网络资源的规章制度。 ? 严格划分不同工作人员的权限。

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

? 严格设定各种信息资源、设备资源的使用权限。 ? 关键信息的传输采用端到端的专用加密工具。 ? 完善认证/授权的技术控制手段。 ? 采用分布授权/集中控制的安全策略。 ? 采用数字签名技术和第三方确认的控制措施。 ? 加强用户管理，防止非法侵入。

? 加强对用户从网上卸下的软件进行病毒检查； ? 定时备份系统，防止系统崩溃。 ? 加强组织管理，完善各项规章制度。

通信安全和数据安全是津泰达国际会议工业园区网络安全措施的主要内容。安全管理是网络管理的关键内容，需要在不同的层次上实现。本项目在下面的多个层次上实现了比较完整的安全管理：

7.3 网络层的安全措施

考虑到本工业园区的网络安全性，我们在接入ChinaNet广域线路与本工业园区局域网之间布置硬件防火墙NetST（。

NetST防火墙是清华同方公司自主开发的一款功能强大的网络安全产品，NetST防火墙位于内部网络与外部网络的连接处，对进出内部网络的所有数据进行检查，符合一定的访问控制规则的数据才允许通过，否则要拒绝或修改数据，并能检测出可能的非法内外网络入侵，及时进行处理和记录，保证网络安全。 产品概述

7.4 NetST产品特征

NetST防火墙是清华得实充分利用自身的优势，结合国内外信息安全的最新技术及国内用户特点开发的具有自主知识产权的网络安全产品。

NetST防火墙拥有极高的性价比，其创新、独特的软硬件体系结构，将高速的网络性能、高度的安全性能与简单易用的特点有机地结合在一起，是一套全面、创新、高安全性、高性能的网络安全系统。

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

NetST防火墙位于内部网络与外部网络的连接处，对进出内部网络的所有数据进行检查，符合一定的访问控制规则的数据才允许通过，否则要拒绝或修改数据，并能检测出可能的非法内外网络入侵，及时进行处理和记录，保证网络安全。

NetST防火墙能有效地防止黑客入侵，抵御来自外部网络的攻击，保证内部系统的资料不被盗取，可为电信、邮政、政府、教育、能源、金融、企业等各部门现有的网络提供最有效、最彻底的保安措施。与传统的软件防火墙不同，NetST防火墙是一体化的硬件结构，综合了网络级包过滤、应用级代理服务器和动态电路级包过滤等技术，可以根据IP地址和TCP/IP协议制订相应的防火墙安全策略，以审查TCP/IP包，拒绝或授权访问。具有系统管理、安全策略、日志管理、安全检测等多项强大的安全功能，是一套全面、创新、高安全性、高性能的网络安全系统。 主要功能如下：

1．网络地址转换

NetST防火墙系统支持动态、静态、双向网络地址转换。NetST防火墙提供了静态NAT和动态NAT两种方法，源NAT和目的NAT 两种NAT方式。 2．IP包过滤

端口过滤：即指定为某些端口提供服务。

服务过滤：即协议过滤。NetST防火墙系统支持现有的95种通信协议和730种应用服务，包括WWW、FTP、POP3、数据库服务、多媒体服务、Microsoft网络服务等等。

地址过滤：IP地址过滤是指定为某些IP地址的计算机提供相关服务。 3．HTTP协议内容过滤 4．FTP协议内容过滤 5．邮件内容过滤 6．用户身份访问控制

用户身份认证：一次口令认证、IP/MAC绑定 7．入侵检测功能：实时检测是否有入侵行为 8．防火墙日志管理

9．方便而强大的管理功能：防火墙的强大的功能轻松配置完成。

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

4. 合理的造价，与租用线路和有线布线比较，无线方式应该有更加合理的价格和更高的性能。

2.2 AVAYA(WaveLAN)无线网络

无线局域网指的是采用无线传输媒介的计算机网络，结合了最新的计算机网络技术和无线通信技术。首先，无线局域网是有线局域网的延伸。使用无线技术来发送和接收数据，减少了用户的连线需求。

1991年美国AT&T公司率先推出了的无线局域网产品AVAYA(WaveLAN)。主要由朗讯科技公司贝尔实验室科学家制定的IEEE802.11协议标准的出台，是无线局域网发展的里程碑，它为无线局域网的设计、与现存有线网络的互连以及宽带网络的发展提供了标准。生产厂家在802.11标准和联盟协议的基础上，实现产品的标准化。

AVAYA(WaveLAN)无线网络具有如下特点：

首先具有网络功能，实现资源共享，具有各种网络服务功能，可广泛用于不间断以太网数据传输，速率已达11M。

由于无线局域网和移动计算网络具有高数据传输速率、高安全可靠性、使用和安装灵活以及与现有的有线网络兼容等特点，因此，它们在现代计算机通信网中占据了很重要的位置。

朗讯科技推出的AVAYA(WaveLAN)无线局域网产品符合美国/欧洲以及世界的电磁辐射标准。在世界各区域销售的产品满足不同地区对于ISM和功率及辐射的要求，在中国，采用2.4G的开放民用频率，无需许可证。30毫瓦功率也远低于无线电委员会要求。

AVAYA(WaveLAN)/IEEE的多级安全保密措施，极大地增强无线网络的安全可靠性，而且用户还可增加一些附属功能以达到更高的保密性，如设置网络服务器的用户password等。加上AVAYA(WaveLAN)独有的保密功能，无线网络则已具有同有线局域网络甚至更高级别的保密特性。 2.3

网络结构设计方案

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

与有线局域网相比较，无线局域网具有开发运营成本低、时间短，投资回报快，易扩展，受自然环境、地形及灾害影响小，组网灵活快捷等优点。可实现\任何人在任何时间，任何地点以任何方式与任何人通信\，弥补了传统有线局域网的不足。随着IEEE802.11标准的制定和推行，无线局域网的产品将更加丰富，不同产品的兼容性将得到加强。现在无线网络的传输率已达到和超过了10Mbps，并且还在不断变快。目前无线局域网除能传输语音信息外，还能顺利地进行图形、图像及数字影像等多种媒体的传输。而且随着ATM无线局域网的投入使用，其数据传输率将达到20M～25Mbps，可更好地满足用户的需求。另一方面无线局域网以空气为介质，传输的信号可跨越很宽的频段，数据不容易被窃取，保证了网络传输的安全性。

2.4 产品特点

Avaya公司的产品提供了配置信息（IP配置、AP配置）分发给网上其他同厂商产品的功能，而当你对一个AP进行固件升级后，同样可以将固件分发给网上其他的AP并自动完成升级工作。对于一个大型网络来说，且不说抱着笔记本用串口线对每一个AP进行配置和升级，仅仅是坐在一台计算机前用网管软件和Web对十几个乃至几十个AP分别配置，这一功能极大的节省了网络管理员的劳动强度。

Avaya提供的驱动程序最为全面，除常见的Windows 95、Windows NT 4.0、Windows98、Windows2000、Windows ME之外，还包括了DOS、Windows 3.1、Windows CE 、Linux以及MacOS的驱动。其他厂商提供的网卡驱动也基本覆盖了常用的Windows 95、98、NT、

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

2000平台。

对于一些企业及高端用户来说，通过RADIUS功能可以得到更好的安全性。客户端和RADIUS服务器通过用户所提供的用户名和口令进行双向的身份验证，对被验证的客户机进行检验。所有敏感的信息如口令等都受到保护，不会被被动监听和其他攻击方法所截获。共有四家厂商的产品支持RADIUS功能：Avaya、Cisco、Enterasys与Nokia。在访问列表方面，Avaya与Cisco的产品表现最好，可以支持2048台机器。但是Cisco的价格较高。

此外，在地址协议过滤方面，Avaya能够支持MAC地址过滤、IP地址过滤和协议过滤，在此次评测中提供了最完善的地址协议过滤功能。

2.5 无线网卡

一个无线网卡主要包括NIC（网卡）单元、扩频通信机和天线三个组成功能块。NIC单元属于数据链路层，由它负责建立主机与物理层之间的连接。扩频通信机与物理层建立了对应关系，实现无线电信号的接收与发射。当计算机要接收信息时，扩频通信机通过网络天线接收信息，并对该信息进行处理，判断是否要发给NIC单元，如是则将信息帧上交给NIC单元，否则丢弃掉。如果扩频通信机发现接收到的信号有错，则通过天线发送给对方一个出错信息，通知发送端重新发送此信息帧。当计算机要发送信息时，主机先将待发送的信息传给NIC单元，由NIC单元首先监测信道是否空闲，若空便立即发送，否则暂不发送，并继续监测。由此看出，无线局域网采用IEEE802.3定义的有线网的CSMA/CD（载体监听多路访问/冲突检测）的工作方式。

2.6 APII无线网桥

APII无线网桥是连接有线网络和无线网络的桥梁，用于将有线

的以太网信息包桥接到无线的网络连接上，同时对无线连接的频率资源、分布密度、流量等作出分配和设置。经过软件升级，可升级为无线路由器。APII具有1个RJ-45的以太网端口和一个10Base-5的同轴以太网BNC端口。APII使用标准的220V，50Hz交流电源。有两个扩展槽，用于网卡插入。

高性能无线网桥提供了10/100MB以太网支持

Avaya Wireless AP II接入网桥为符合802.11b标准的11Mbit/s Avaya Wireless企业级解

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

决方案提供了无线接入网桥。Avaya Wireless AP II扩大了有线以太网络的范围，使得移动用户和布线困难的位置能够简便的接入网络。其独特的体系结构带有双PC卡插槽。与上一代产品WavePoin-II相比，AP II增加了以UTP电缆作为传输介质的10/100Mb以太网支持。

Avaya Wireless AP II的优点：

保护投资

双PC卡插槽允许灵活地使用AvayaWireless无线电技术。通过更换AvayaWireless PC卡，可以非常简便的升级到更新的无线电技术，保护在Avaya Wireless基础设施中的投资。

使网络容量提高一倍

使用两张Avaya Wireless网卡，每张网卡可以在不同频率的信道上运行。 建立无线骨干网

在仓库和零售商店等大型开放区域中，其体系结构支持无线到无线桥接功能。这允许扩展无线网络，而不需扩展有线骨干网。

降低网络管理成本

基于Windows@的，符合SNMP标准的Avaya Wireless AP管理器，可以简便的配置Avaya Wireless AP II接入网桥。您还可以使用这一软件集中管理、控制和远程监视企业级Avaya Wireless网络。

防止非法接入

把管理权限限定在经过授权的工作站。该系统提供了四种综合安全水平：

? -直序跳频技术 ? -按网络名称封闭系统 ? -访问控制表 ? -RC4加密

业内广泛的互操作能力和符合标准

Avaya Wireless AP II接入网桥技术规范 主要特点 -双PC卡插槽体系结构 -无线到无线桥接 中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

管理 LED 接口 -10/100Mb以太网支持 -符合IEEE 802.11b(Wi-Fi)标准 -生成树算法 -IEEE 802.1D透明桥接 -选择性协议过滤 -访问控制表和基于无线的认证 -DHCP和BOOTP -多信道支持 -漫游支持 -基于RC4的加密支持 -Avaya Wireless AP管理器软件 -符合SNMP MIB II,802.3,802.1D和802.11 MIB标准 -基于Windows的用户界面 -TRAPS: 加电、认证、上连/下连 -站点勘查工具 -远程点到点诊断 四个LED: 电源 以太局域网活动 Avaya Wireless插槽A活动 Avaya Wireless插槽B活动 以太网802.3 100Base-T (RJ 45连接器) Avaya Wireless 为Avaya Wireless PC卡提供了两个插槽 RS-232 中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

外观尺寸 重量 电源 工作温度 机械规范 50mm x 185mm x 261mm(2.0in x 7.3in x 102.in) 1.75公斤（3.86磅） 综合模块 自感应100/240 VAC 50/60 Hz 0.2A 0oC到+40oC (20%-80%,相对湿度) -模块化设计 -塑料盖 -金属模板，允许放在墙上、天花板或桌子上。 因此，我们选用AVAYA公司的APII无线接入网桥完全满足并超出标书的性能指标和参数指标，以及所要求的全部标准协议。

中软国际有限公司

陕西延长中煤榆林能源化工项目---计算机网络系统技术方案

外观尺寸 重量 电源 工作温度 机械规范 50mm x 185mm x 261mm(2.0in x 7.3in x 102.in) 1.75公斤（3.86磅） 综合模块 自感应100/240 VAC 50/60 Hz 0.2A 0oC到+40oC (20%-80%,相对湿度) -模块化设计 -塑料盖 -金属模板，允许放在墙上、天花板或桌子上。 因此，我们选用AVAYA公司的APII无线接入网桥完全满足并超出标书的性能指标和参数指标，以及所要求的全部标准协议。

中软国际有限公司

本文来源：https://www.bwwdw.com/article/uw3x.html