第1篇:网络冗余设计毕业论文
网络冗余设计毕业论文
工业应用的迫切需求是网络的不间断性,冗余网络在现场的应用保证了网络的稳定性和安全性。以下是网络冗余设计毕业论文,欢迎阅读。
对公司内网中冗余备份架构的设计与工作原理进行详细的分析。方法:以公司持续发展为根本指导思想,从公司OA系统的建设与优化出发,从设计原则、系统设计和网络几个方面对公司网冗余备份架构系统的设计详细论述。结果:通过本文论述,对公司网冗余备份以及系统架构有详细的了解,从而实现科学的系统设计,促进公司管理效率的提升。结论:公司网冗余备份架构在提高公司网运行速度、促进公司运行效率方面有着十分突出的作用,值得推广应用。
一、设计背景
公司信息化系统是指计算机技术、信息技术及自动化技术等现代科学技术在工作用中全过程的统称。公司的信息化系统从2007年公司成立开始到目前已经成为公司生产、建设、经营、管理、科研、设计等的重要组成部分,在安全生产、节能降耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的经济效益和社会效益。
目前公司的信息化系统涵盖了OA办公自动化系统、档案管理系统、人力资源系统、NC财务系统、高清视频会议系统、内外网文件交换系统、生产实施监管系统、工业视频监控系统、生产管理系统等各种应用系统。上述应用系统都是通过公司的核心网络运行的,网络稳定与安全对整个信息化系统起着至关重要的作用。
在公司信息化系统中,核心网络层处于公司信息化系统的中心,网络中的大量数据都通过网络核心层设备进行交换,同时承担不同VLAN之间路由的功能。核心层设备一旦宕机,整个网络即面临瘫痪。因此,在网络设计中,核心设备的选择,一方面要求其具有强大的数据交换能力,另一方面要求其具有较高的可靠性,一般选择高端核心三层交换机。同时为进一步提高核心层的可靠性,避免核心层设备宕机造成整个网络瘫痪,一般在核心层再放置一台设备,作为另一台设备的备份,一旦主用设备整机出现故障,立即切换到备用设备,确保网络核心层的高度可靠性。
二、设计依据和原则
2.1 设计依据与参考文件
《集团公司信息化规划修编》
《关于实施集团信息化“双网模式”网络架构改造的通知》
《关于规范双网建设深化设计方案中网络安全产品选型的通知》
《关于集团广域网扩容的通知》
《关于双网建设验收有关事宜的通知》
《关于进行高清视频会议系统改造的通知》
《关于制定2011年双网建设最终方案及投资估算的通知》
2.2 设计原则
公司信息系统设计必须遵循的以下原则:
2.2.1统一规划、统一实施
公司信息化网络系统是一个统一的网络,其信息安全系统必须统一规划、统一设计、统一实施、统一管理。
2.2.2多层次防御、主动防御
对于重要的信息系统,不能仅仅依靠一种防范的措施,而是必须建立多级防范体系,从多方面、多层次对系统进行保护。对系统的保护要采用积极的主动防范措施进行。
2.2.3技术与管理相结合原则
任何一个计算机系统都是一个复杂的系统工程,其中涉及产品生产过程和人的因素,因此它的安全总体解决方案,必须在考虑技术解决方案的同时充分考虑管理、法律、法规方面的制约和调控作用。单靠技术或单靠管理都不可能真正解决安全问题的,必须坚持技术和管理相结合的原则。
2.2.4先进性和可行性相结合的原则
在工程实施过程中既要考虑先进性更要考虑可行性,如果只考虑先进性将会产生很大的风险。因为一个不可行的安全策略形同虚设。
2.2.5分层次、分级别的安全防护原则
鉴于信息系统的特殊性和其特点,对安全要求比较高。由于信息网的用户级别划分的严格性、系统的复杂性,安全方案要体现安全的多层次、多级别的原则。
三、系统建设
3.1 内网网络冗余性可靠性建设
3.1.1系统整体冗余性建设
在公司信息化系统中,核心网络层处于公司信息化系统的中心,网络中的大量数据都通过网络核心层设备进行交换,同时承担不同VLAN之间路由的功能。核心层设备一旦宕机,整个网络即面临瘫痪。因此,在公司的网络设计中,核心设备的选择了具有强大的数据交换能力和较高的可靠性。同时,为进一步提高核心层的可靠性,避免核心层设备宕机造成整个网络瘫痪,一般在核心层再放置一台设备,作为另一台设备的备份,一旦主用设备整机出现故障,立即切换到备用设备,确保网络核心层的高度可靠性。增强网络的关键节点的冗余度和可靠性。
3.1.2内网核心冗余的建设
采用了2台模块化三层交换机――Cisco? Catalyst?6509E,每台6509E提供10G的接口2个,48个10/100/1000以太网电口,48个千兆以太网光端口。Cisco Catalyst 6500系列是思科重要的智能多层模块化交换机,交换矩阵支持720Gbps背板带宽,可持续转发速率达400Mpps,每个插槽支持40Gbps第四到七层内容/应用交换和负载均衡;支持集成化馈线电源和高密度电话(T1/E1和FXS)线卡;支持高级特性和QoS,用于支持语音、视频和关键数据应用;在单一机箱中支持10FL、10/100、100-FX(单模和多模)、10/100/1000、千兆位以太网、万千兆位以太网、T1/E1到OC-48的接口灵活性;单一系统中10/100/1000端口密度达576个端口,支持从T1/E1到OC-48的WAN连接;支持硬件加速智能服务,包括高级网络管理功能、互联网协议版本6(Ipv6)和多协议标签交换(MPLS)、网络地址转换、GRE等;多协议路由,同时也传统协议和服务。
3.1.3业务服务器接入区冗余建设 在该区域部署2台三层全千兆交换机―Cisco? Catalyst?3750G-48TS,每台交换机提供48 个10/100/1000以太网电口,4个千兆位以太网SFP端口,以满足服务器的冗余接入Cisco Catalyst 3750G系列通过提供配置灵活性、支持融合网络模式及自动进行智能网络服务配置,简化了融合应用的部署,并可针对不断变化的业务需求进行调整。此外,Cisco Catalyst 3750G系列针对高密度千兆位以太网部署进行了优化,包括多种交换机,以满足接入、汇聚或小型网络骨干连接需求。
3.1.4集团公司接入区冗余建设
将该区域部署2台Cisco CISCO3925E路由器,分别与到集团公司的两条广域网线路相连实现与集团总部冗余备份的互联互通。Cisco 3900 系列集成多业务路由器均提供嵌入式硬件加密加速、支持语音和视频的数字信号处理器 (DSP) 插槽、 可选防火墙、入侵预防、呼叫处理、语音信箱以及应用程序服务。此外,这些平台还支持业界最广泛的有线和无线连接选项,如 T1/E1、T3/E3、xDSL、铜缆和光纤 GE。
3.1.5三级单位接入区冗余的建设
在该区域除原有的一台Cisco 7200 VXR路由器外再部署一台Cisco 7200 VXR路由器,采用不同运营商的线路冗余实现与下属各电厂互联互通。Cisco 7200 VXR系列路由器能够通过一个小巧的机箱提供优异的性价比、灵活性和丰富的功能。Cisco 7200 VXR 系列是一款经过优化的多服务OC3/GE边缘路由器,非常适于作为电信运营商(小型POP)或者企业网络边缘的广域网汇聚器、一个企业广域网网关、一个高端可管理CPE 、用于提供数据中心连接,或者作为一个小型的核心路由器。凭借硬件支持的IPSec 加密模块以及强大的防火墙和VRF 感知IPSec/NAT 支持,Cisco 7200 适于提供集成安全服务。
3.2 广域网链路冗余建设
公司的广域网链路连接设计应该与集团公司形成,冗余的动态路由结构,将网络的结构改造成双设备(2台CISCO 3925路由器)、双线路上连,初步规划动态路由采用OSPF动态路由协议与集团公司对联,广域网链路通过采用2条来自不同运营商的资源,任何一个节点出现线路或设备故障不会影响整体网络的运行,实现网络的冗余架构。
3.3 网络安全域的细分与冗余的防火墙部署
为进一步加强网络的安全建设,细化业务内网的安全区域。
在对公司的网络规划中,将公司网络规划中原来没有独立划分出来的内网业务服务区和内网公司用户接入区、集团广域网接入区和下属公司广域网接入区进行了细致的安全区域划分,根据组织结构、业务需求、信息系统功能、安全等级的不同,划分为四个安全区域:
1、内网业务服务区:所有内网业务系统存放的区域。
2、内网公司用户接入区:员工办公终端区域。
3、集团广域网接入区:与集团相连接的广域网区域。
4、下属公司广域网接入区:与下属单位相连接的广域网区域。
并在这些相互隔离的区域中间部署冗余的防火墙,在确保网络安全的同时保证网络的'冗余性和可靠性。
四、网络管理
4.1 网络维护
着重建设网络信任体系和应急机制、建立多层次的网络与信息安全防御系统、建设从设备安全到用户安全的整体安全防护体系,实现网络与信息安全的可控、能控、在控。在不断完善信息安全责任制的同时,适时开展了重点网络和信息系统信息安全检查活动,逐步推进信息安全风险评估和等级保护工作。通过加强了信息安全应急队伍建设,组织网络与信息安全应急演练。逐步形成全公司统一指挥、协调联动、信息畅通的应急联动体系。
在网络运维管理过程中,注重加强网络运行监测,及时发现并消除安全隐患,有效地遏制了各种有害信息传播,严防网络攻击破坏活动,杜绝各类安全事故发生,确保了通信、重要信息系统正常运行。
在日常运维管理严格按照运维要求每周网管人员对机房内所有网络产品都要进行检查,观察各个设备信号灯是否工作正常,并做好相关记录。按时对路由器和交换机、防火墙的运行的配置文件进行备份,根据的要求和硬、软件条件来调整配置。维护设备各模块,使之正常运行,保证网络畅通,降低丢包率和延时间(延时与厂商的硬件和网络带宽以及协议有关)。每个月第一个星期检查内外网杀毒软件、内网防病毒网关、IDS等设备的升级情况,并做好记录,如未及时升级的手动升级,做定期的访问日志检查及防火墙Policy 检查和软件的升级。
网络故障通常有以下几种可能:物理层中物理设备相互连接失败或者硬件及线路本身的问题;数据链路层的网络设备的接口配置问题;网络层网络协议配置或操作错误;传输层的设备性能或通信拥塞问题;上三层IOS或网络应用程序错误。诊断网络故障的过程应该沿着OSI七层模型从物理层开始向上进行。首先检查物理层,然后检查数据链路层,以此类推,设法确定通信失败的故障点,直到系统通信正常为止。
4.2 制定合理有效网络安全管理策略
面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理制度建设。因为诸多的不安全因素恰恰反映在组织管理和人员管理等方面,而这又是网络安全所必须考虑的基本问题。建设了切实可行的安全管理制度。
4.2.1 安全管理策略原则
公司的网络信息系统的安全管理基于三个原则:
多人负责原则:每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的,应忠诚可靠,能胜任此项工作。
领导直接管理原则:一般地讲,任何信息系统的都应该有部门或直接领导管理。 职责分离原则:除非系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。
4.2.2 制定合理有效的管理策略
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应的规范。具体工作是:
根据工作的重要程度,确定该系统的安全等级 。
根据确定的安全等级,确定每个人安全管理的范围。
制订相应的机房出入管理制度。
对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可安装自动识别登记系统,采用指纹锁、身份卡等手段,对人员进行识别、登记管理。
制订严格的操作规程,操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围;
制订完备的系统维护制度,维护时,要首先经主管部门批准,并有安全管理人员在场,故障原因、维护内容和维护前后的情况要详细记录;
定期安全检查:维系系统的安全不只是在建设时期的事情,而是长期维护的过程,需要定期根据安全制度、辅助一些技术手段进行检查,及时发现漏洞弥补漏洞,防患于未然;
制订应急措施,要制订在紧急情况下,系统如何尽快恢复的应急措施,使损失减至最小;
建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。
安全系统需要由人来计划和管理,任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面,各级领导一定要高度重视并积极支持有关系统安全方面的各项措施。其次,对各级用户的培训也十分重要,只有各级用户对网络安全性都有了深入了解后,才能降低网络信息系统的安全风险。
五、结束语
总之,制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步,只有组织机构均严格执行网络安全的各项规定,认真维护各自负责的分系统的网络安全性,才能保证整个系统网络的整体安全性。
第2篇:网络冗余设计相关
2009上半年 试题一
某公司有1个总部和2个分部,各个部门都有自己的局域网。该公司申请了4个C类IP地址块202.114.10.0/24~202.114.13.0/24。公司各部门通过帧中继网络进行互联,网络拓扑结构如图1-1所示。
【问题1】请根据图1-1完成R0路由器的配置:
R0(config)#interface s0/0
(进入串口配置模式)
R0(config-if)# ip addre 202.114.13.1(1)
(设置IP地址和掩码)
R0(config)# encapsulation(2)
(设置串口工作模式)
【问题2】Switch0、Switch1、Switch2和Switch3均为二层交换机。总部拥有的IP地址块为202.114.12.0/24。Switch0的端口e0/24与路由器R2的端口e0/0相连,请根据图1-1路由器完成R2及Switch0的配置。
R2(config)#interface fastethernet 0/0.1 R2(config-subif)#encapsulation dot1q
(3)
R2(config-subif)#ip addre 202.114.12.1 255.255.255.192
R2(config)#interface fastethernet 0/0.2 R2(config-subif)#encapsulation dot1q
(4)
R2(config-subif)#ip addre 202.114.12.65 255.255.255.192
R2(config)#interface fastethernet 0/0.3 R2(config-subif)#encapsulation dot1q
(5)
R2(config-subif)#ip addre 202.114.12.129 255.255.255.192
Switch0(config)#interface f0/24 Switch0(config-if)# switchport mode(6)
Switch0(config-if)#switchport trunk encapsulation(7)
【问题3】若主机A与Switch1的e0/2端口相连,请完成Switch1相应端口设置。
Switch1(config)#interface e0/2 Switch1(config-if)
#(8)
(设置端口为接入链路模式)Switch1(config-if)
#(9)
(把e0/2分配给VLAN 100)若主机A与主机D通信,请填写主机A与D之间的数据转发顺序。
主机A→
(10)
→主机D。
A.Switch1→Switch0→R2(s0/0)→Switch0→Switch2 B.Switch1→Switch0→R2(e0/0)→Switch0→Switch2 C.Switch1→Switch0→R2(e0/0)→R2(s0/0)→R2(e0/0)→Switch0→Switch2 D.Switch1→Switch0→Switch2
【问题4】为了部门A中用户能够访问服务器Server1,请在R0上配置一条特定主机路由。
R0(config)#ip route 202.114.10.253(11)(12)
2008上半年 试题五
某公司租用了一段C类地址203.12.11.0/24~203.12.14.0/24,如图5-1所示。其网间地址是172.11.5.14/24。要求网内所有PC都能上网。
【问题1】接入层交换机Switch1的端口24为trunk口,其余各口属于vlan11,请解释下列命令并完成交换机的配置。Switch1#config terminal Switch1(config)#interface f0/2
4(进入端口24配置模式)Switch1(config-if)# switchport mode trunk
(1)
Switch1(config-if)#switchport trunk encapsulation dotlq
(2)
Switch1# vlan database Switch1(vlan)# vlan 11 name lab0(3)
Switch1(config)#interface f0/9
(进入f0/9的配置模式)Switch1(config-if)
#(4)
(设置端口为接入链路模式)Switch1(config-if)
#(5)
(把f0/9分配给VLAN11)
【问题2】以下两个配置中错误的是
(6),原因是
(7)
。A. Switch0(config)#interface gigabitEthernet 0/3
Switch0(config-if)#switchport mode trunk
Switch0(config-if)#switchport trunk encapsulation dot1q
Switch0(config)#exit Switch0# vlan database Switch0(vlan)# vlan 2100 name lab02 B. Switch0(config)#interface gigabitEthernet 0/3 Switch0(config-if)#switchport mode trunk Switch0(config-if)#switchport trunk encapsulation ISL Switch0(config)#exit Switch0# vlan database Switch0(vlan)# vlan 2100 name lab02 解析:“trunk采用ISL格式时,vlan ID最大为1023”,【问题3】Switch1的f0/24口接在Switch0的f0/2口上,请根据图5-1完成或解释以下Switch0的配置命令。
Switch0(config)# interface
(8)
(进入虚子接口)Switch0(config-if)#ip addre 203.12.12.1 255.255.255.0 Switch0(config-if)# no shutdown
(9)
Switch0(config-if)# standby 1 ip 203.12.12.2
53(建HSRP组并设虚IP地址)Switch0(config-if)# standby 1 priority 110
(10)
Switch0(config-if)# standby 1 preempt
(11)
2007上半年 试题五
图5-1是VLAN配置的结构示意图。
【问题1】请阅读下列SwitchA的配置信息,并在(1)~(5)处解释该语句的作用。
Switch> enable
(进入特权模式)Switch# config terminal
(进入配置模式)Switch(config)# hostname SwitchA
(1)
SwitchA# vlan database
(2)
SwitchA(vlan)# vtp server
(3)
SwitchA(vlan)# vtp domain vtpserver
(4)
SwitchA(vlan)# vtp pruning
(5)
【问题2】下面是交换机完成Trunk的部分配置,请根据题目要求,完成下列配置。
SwitchA(config)# interface f0/3
(进入端口3配置模式)SwitchA(config-if)# switchport
(6)
(设置当前端口为Trunk模式)
SwitchA(config-if)# switchport trunk allowed
(7)
(设置允许所有vlan通过)
【问题3】下面是交换机完成端口配置的过程,请根据题目要求,完成下列配置。
SwitchA(config)# interface f0/7
(进入端口7配置模式)SwitchA(config-if)
#(8)
(设置端口为静态vlan访问模式)SwitchA(config-if)
#(9)
(把端口7分配给vlan10)
【问题4】下面是基于端口权值的负载均衡配置过程SwitchA(config)# interface f0/(进入端口2配置模式)SwitchA(config-if)# spanning-tree vlan 10 port-priority 10
(将vlan10的端口权值设为10)SwitchA(config-if)# exit SwitchA(config)# interface f0/3(进入端口3配置模式)SwitchA(config-if)# spanning-tree vlan 20 port-priority 10
(将vlan20的端口权值设为10)
1.不同Trunk上不同VLAN的权值不同,在默认情况下,其权值为(10)。
2.按照上述配置,VLAN20的数据通过SwitchA的(11)口发送和接收数据。
2006下半年 试题一
某学校计划建立校园网,拓扑结构如图C5-1-1所示。该校园网分为核心、汇聚、接入三层,由交换模块、广域网接入模块、远程访问模块和服务器群四大部分组成。
【问题1】在校园网设计过程中,划分了很多VLAN,采用了VTP来简化管理。将(1)~(5)处空缺信息填写在答题纸对应的解答栏内。1.VTP信息只能在(1)
端口上传播。
2.运行VTP的交换机可以工作在三种模式:
(2)、(3)、(4)。
3.共享相同VLAN数据库的交换机构成一个
(5)。
【问题2】该校园网采用了异步拨号进行远程访问,异步封装协议采用了PPP协议。将(6)~(9)处空缺信息填写在答题纸对应的解答栏内。
1.异步拨号连接属于远程访问中的电路交换服务,远程访问中另外两种可选的服务类型是:
(6)
和(7)
。2.PPP提供了两种可选身份认证方法,它们分别是
(8)
和(9)。
(6)~(7)分组交换 专线连接(8)~(9)PAP CHAP
【问题3】该校园网内交换机数量较多,交换机间链路复杂,为了防止出现环路,需要在各交换机上运行
(10)。
【问题4】该校园网在安全设计上采用分层控制方案,将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层,对各层的安全采取不同的技术措施。从备选答案中选择信息,将(11)~(14)处空缺信息填写在答题纸对应的解答栏内。
(11)~(14)处备选答案:
A.IP地址绑定 B.数据库安全扫描 C.虚拟专用网(VPN)技术 D.防火墙
第3篇:网络冗余备份应急演练
冗余网络应急演练
演练背景:
根据我院等级评审工作的要求和《上海市医院信息系统等级保护》文件的相关精神,为了确保医院在网络系统故障期间的正常医疗秩序,熟悉网络冗余备份系统容灾备份方案的操作流程和操作规范,决定进行网络冗余备份系统应急演练,以确保在网络冗余备份系统故障期间病人能正常就医。
演练时间:
2012年6月13日星期三下午16:00-16:20
演练范围:
网络系统使用和维护部门:门急诊医生工作站、住院部护士工作站、门急诊药房、门诊办公室、医学影像科、检验科、信息中心
演练方案:
16:00
1.模拟系统故障,停止网络系统正式交换机的使用,启动应急预案。
2.各部门在接到启动应急预案指令后,启动相应的应急措施,进入紧急状态。16:05
1.信息中心将网络系统,切换至系统构建之初即搭建的应急交换机,通知相关部门
