網絡冗余設計畢業論文

時間：2021-03-28 12:02:29 論文我要投稿

網絡冗余設計畢業論文

　　工業應用的迫切需求是網絡的不間斷性，冗余網絡在現場的應用保證了網絡的穩定性和安全性。以下是網絡冗余設計畢業論文，歡迎閱讀。

網絡冗余設計畢業論文

　　對公司內網中冗余備份架構的設計與工作原理進行詳細的分析。方法：以公司持續發展為根本指導思想，從公司OA系統的建設與優化出發，從設計原則、系統設計和網絡幾個方面對公司網冗余備份架構系統的設計詳細論述。結果：通過本文論述，對公司網冗余備份以及系統架構有詳細的了解，從而實現科學的系統設計，促進公司管理效率的提升。結論：公司網冗余備份架構在提高公司網運行速度、促進公司運行效率方面有著十分突出的作用，值得推廣應用。

　　一、設計背景

　　公司信息化系統是指計算機技術、信息技術及自動化技術等現代科學技術在工作用中全過程的統稱。公司的信息化系統從2007年公司成立開始到目前已經成為公司生產、建設、經營、管理、科研、設計等的重要組成部分，在安全生產、節能降耗、降低成本、縮短工期、提高勞動生產率等方面取得了明顯的經濟效益和社會效益。

　　目前公司的信息化系統涵蓋了OA辦公自動化系統、檔案管理系統、人力資源系統、NC財務系統、高清視頻會議系統、內外網文件交換系統、生產實施監管系統、工業視頻監控系統、生產管理系統等各種應用系統。上述應用系統都是通過公司的核心網絡運行的，網絡穩定與安全對整個信息化系統起著至關重要的作用。

　　在公司信息化系統中，核心網絡層處于公司信息化系統的中心，網絡中的大量數據都通過網絡核心層設備進行交換，同時承擔不同VLAN之間路由的功能。核心層設備一旦宕機，整個網絡即面臨癱瘓。因此，在網絡設計中，核心設備的選擇，一方面要求其具有強大的數據交換能力，另一方面要求其具有較高的可靠性，一般選擇高端核心三層交換機。同時為進一步提高核心層的可靠性，避免核心層設備宕機造成整個網絡癱瘓，一般在核心層再放置一臺設備，作為另一臺設備的備份，一旦主用設備整機出現故障，立即切換到備用設備，確保網絡核心層的高度可靠性。

　　二、設計依據和原則

　　2.1 設計依據與參考文件

　　《集團公司信息化規劃修編》

　　《關于實施集團信息化“雙網模式”網絡架構改造的通知》

　　《關于規范雙網建設深化設計方案中網絡安全產品選型的通知》

　　《關于集團廣域網擴容的通知》

　　《關于雙網建設驗收有關事宜的通知》

　　《關于進行高清視頻會議系統改造的通知》

　　《關于制定2011年雙網建設最終方案及投資估算的通知》

　　2.2 設計原則

　　公司信息系統設計必須遵循的以下原則：

　　2.2.1統一規劃、統一實施

　　公司信息化網絡系統是一個統一的網絡，其信息安全系統必須統一規劃、統一設計、統一實施、統一管理。

　　2.2.2多層次防御、主動防御

　　對于重要的信息系統，不能僅僅依靠一種防范的措施，而是必須建立多級防范體系，從多方面、多層次對系統進行保護。對系統的保護要采用積極的主動防范措施進行。

　　2.2.3技術與管理相結合原則

　　任何一個計算機系統都是一個復雜的系統工程，其中涉及產品生產過程和人的因素，因此它的安全總體解決方案，必須在考慮技術解決方案的同時充分考慮管理、法律、法規方面的制約和調控作用。單靠技術或單靠管理都不可能真正解決安全問題的，必須堅持技術和管理相結合的原則。

　　2.2.4先進性和可行性相結合的原則

　　在工程實施過程中既要考慮先進性更要考慮可行性，如果只考慮先進性將會產生很大的風險。因為一個不可行的安全策略形同虛設。

　　2.2.5分層次、分級別的安全防護原則

　　鑒于信息系統的特殊性和其特點，對安全要求比較高。由于信息網的用戶級別劃分的嚴格性、系統的復雜性，安全方案要體現安全的多層次、多級別的原則。

　　三、系統建設

　　3.1 內網網絡冗余性可靠性建設

　　3.1.1系統整體冗余性建設

　　在公司信息化系統中，核心網絡層處于公司信息化系統的中心，網絡中的大量數據都通過網絡核心層設備進行交換，同時承擔不同VLAN之間路由的功能。核心層設備一旦宕機，整個網絡即面臨癱瘓。因此，在公司的網絡設計中，核心設備的選擇了具有強大的數據交換能力和較高的可靠性。同時，為進一步提高核心層的可靠性，避免核心層設備宕機造成整個網絡癱瘓，一般在核心層再放置一臺設備，作為另一臺設備的備份，一旦主用設備整機出現故障，立即切換到備用設備，確保網絡核心層的高度可靠性。增強網絡的關鍵節點的冗余度和可靠性。

　　3.1.2內網核心冗余的建設

　　采用了2臺模塊化三層交換機――Cisco? Catalyst?6509E，每臺6509E提供10G的接口2個，48個10/100/1000以太網電口，48個千兆以太網光端口。Cisco Catalyst 6500系列是思科重要的智能多層模塊化交換機，交換矩陣支持720Gbps背板帶寬，可持續轉發速率達400Mpps，每個插槽支持40Gbps第四到七層內容/應用交換和負載均衡;支持集成化饋線電源和高密度電話(T1/E1和FXS)線卡;支持高級特性和QoS，用于支持語音、視頻和關鍵數據應用;在單一機箱中支持10FL、10/100、100-FX(單模和多模)、10/100/1000、千兆位以太網、萬千兆位以太網、T1/E1到OC-48的接口靈活性;單一系統中10/100/1000端口密度達576個端口，支持從T1/E1到OC-48的WAN連接;支持硬件加速智能服務，包括高級網絡管理功能、互聯網協議版本6(Ipv6)和多協議標簽交換(MPLS)、網絡地址轉換、GRE等;多協議路由，同時也傳統協議和服務。

　　3.1.3業務服務器接入區冗余建設　　在該區域部署2臺三層全千兆交換機―Cisco? Catalyst?3750G-48TS，每臺交換機提供48 個10/100/1000以太網電口，4個千兆位以太網SFP端口，以滿足服務器的冗余接入Cisco Catalyst 3750G系列通過提供配置靈活性、支持融合網絡模式及自動進行智能網絡服務配置，簡化了融合應用的部署，并可針對不斷變化的業務需求進行調整。此外，Cisco Catalyst 3750G系列針對高密度千兆位以太網部署進行了優化，包括多種交換機，以滿足接入、匯聚或小型網絡骨干連接需求。

　　3.1.4集團公司接入區冗余建設

　　將該區域部署2臺Cisco CISCO3925E路由器，分別與到集團公司的兩條廣域網線路相連實現與集團總部冗余備份的互聯互通。Cisco 3900 系列集成多業務路由器均提供嵌入式硬件加密加速、支持語音和視頻的數字信號處理器 (DSP) 插槽、可選防火墻、入侵預防、呼叫處理、語音信箱以及應用程序服務。此外，這些平臺還支持業界最廣泛的有線和無線連接選項，如 T1/E1、T3/E3、xDSL、銅纜和光纖 GE。

　　3.1.5三級單位接入區冗余的建設

　　在該區域除原有的一臺Cisco 7200 VXR路由器外再部署一臺Cisco 7200 VXR路由器，采用不同運營商的線路冗余實現與下屬各電廠互聯互通。Cisco 7200 VXR系列路由器能夠通過一個小巧的機箱提供優異的性價比、靈活性和豐富的功能。Cisco 7200 VXR 系列是一款經過優化的多服務OC3/GE邊緣路由器，非常適于作為電信運營商(小型POP)或者企業網絡邊緣的廣域網匯聚器、一個企業廣域網網關、一個高端可管理CPE 、用于提供數據中心連接，或者作為一個小型的核心路由器。憑借硬件支持的IPSec 加密模塊以及強大的防火墻和VRF 感知IPSec/NAT 支持，Cisco 7200 適于提供集成安全服務。

　　3.2 廣域網鏈路冗余建設

　　公司的廣域網鏈路連接設計應該與集團公司形成，冗余的動態路由結構，將網絡的結構改造成雙設備(2臺CISCO 3925路由器)、雙線路上連，初步規劃動態路由采用OSPF動態路由協議與集團公司對聯，廣域網鏈路通過采用2條來自不同運營商的資源，任何一個節點出現線路或設備故障不會影響整體網絡的運行，實現網絡的冗余架構。

　　3.3 網絡安全域的細分與冗余的防火墻部署

　　為進一步加強網絡的安全建設，細化業務內網的安全區域。

　　在對公司的網絡規劃中，將公司網絡規劃中原來沒有獨立劃分出來的內網業務服務區和內網公司用戶接入區、集團廣域網接入區和下屬公司廣域網接入區進行了細致的安全區域劃分，根據組織結構、業務需求、信息系統功能、安全等級的不同，劃分為四個安全區域：

　　1、內網業務服務區：所有內網業務系統存放的區域。

　　2、內網公司用戶接入區：員工辦公終端區域。

　　3、集團廣域網接入區：與集團相連接的廣域網區域。

　　4、下屬公司廣域網接入區：與下屬單位相連接的廣域網區域。

　　并在這些相互隔離的區域中間部署冗余的防火墻，在確保網絡安全的同時保證網絡的'冗余性和可靠性。

　　四、網絡管理

　　4.1 網絡維護

　　著重建設網絡信任體系和應急機制、建立多層次的網絡與信息安全防御系統、建設從設備安全到用戶安全的整體安全防護體系，實現網絡與信息安全的可控、能控、在控。在不斷完善信息安全責任制的同時，適時開展了重點網絡和信息系統信息安全檢查活動，逐步推進信息安全風險評估和等級保護工作。通過加強了信息安全應急隊伍建設，組織網絡與信息安全應急演練。逐步形成全公司統一指揮、協調聯動、信息暢通的應急聯動體系。

　　在網絡運維管理過程中，注重加強網絡運行監測，及時發現并消除安全隱患，有效地遏制了各種有害信息傳播，嚴防網絡攻擊破壞活動，杜絕各類安全事故發生，確保了通信、重要信息系統正常運行。

　　在日常運維管理嚴格按照運維要求每周網管人員對機房內所有網絡產品都要進行檢查，觀察各個設備信號燈是否工作正常，并做好相關記錄。按時對路由器和交換機、防火墻的運行的配置文件進行備份，根據的要求和硬、軟件條件來調整配置。維護設備各模塊，使之正常運行，保證網絡暢通，降低丟包率和延時間(延時與廠商的硬件和網絡帶寬以及協議有關)。每個月第一個星期檢查內外網殺毒軟件、內網防病毒網關、IDS等設備的升級情況，并做好記錄，如未及時升級的手動升級，做定期的訪問日志檢查及防火墻Policy 檢查和軟件的升級。

　　網絡故障通常有以下幾種可能：物理層中物理設備相互連接失敗或者硬件及線路本身的問題;數據鏈路層的網絡設備的接口配置問題;網絡層網絡協議配置或操作錯誤;傳輸層的設備性能或通信擁塞問題;上三層IOS或網絡應用程序錯誤。診斷網絡故障的過程應該沿著OSI七層模型從物理層開始向上進行。首先檢查物理層，然后檢查數據鏈路層，以此類推，設法確定通信失敗的故障點，直到系統通信正常為止。

　　4.2 制定合理有效網絡安全管理策略

　　面對網絡安全的脆弱性，除了在網絡設計上增加安全服務功能，完善系統的安全保密措施外，還必須花大力氣加強網絡的安全管理制度建設。因為諸多的不安全因素恰恰反映在組織管理和人員管理等方面，而這又是網絡安全所必須考慮的基本問題。建設了切實可行的安全管理制度。

　　4.2.1 安全管理策略原則

　　公司的網絡信息系統的安全管理基于三個原則：

　　多人負責原則：每項與安全有關的活動都必須有兩人或多人在場。這些人應是系統主管領導指派的，應忠誠可靠，能勝任此項工作。

　　領導直接管理原則：一般地講，任何信息系統的都應該有部門或直接領導管理。　　職責分離原則：除非系統主管領導批準，在信息處理系統工作的人員不要打聽、了解或參與職責以外、與安全有關的任何事情。

　　4.2.2 制定合理有效的管理策略

　　信息系統的安全管理部門應根據管理原則和該系統處理數據的保密性，制訂相應的管理制度或采用相應的規范。具體工作是：

　　根據工作的重要程度，確定該系統的安全等級。

　　根據確定的安全等級，確定每個人安全管理的范圍。

　　制訂相應的機房出入管理制度。

　　對于安全等級要求較高的系統，要實行分區控制，限制工作人員出入與己無關的區域。出入管理可安裝自動識別登記系統，采用指紋鎖、身份卡等手段，對人員進行識別、登記管理。

　　制訂嚴格的操作規程，操作規程要根據職責分離和多人負責的原則，各負其責，不能超越自己的管轄范圍;

　　制訂完備的系統維護制度，維護時，要首先經主管部門批準，并有安全管理人員在場，故障原因、維護內容和維護前后的情況要詳細記錄;

　　定期安全檢查：維系系統的安全不只是在建設時期的事情，而是長期維護的過程，需要定期根據安全制度、輔助一些技術手段進行檢查，及時發現漏洞彌補漏洞，防患于未然;

　　制訂應急措施，要制訂在緊急情況下，系統如何盡快恢復的應急措施，使損失減至最小;

　　建立人員雇用和解聘制度，對工作調動和離職人員要及時調整相應的授權。

　　安全系統需要由人來計劃和管理，任何系統安全設施也不能完全由計算機系統獨立承擔系統安全保障的任務。一方面，各級領導一定要高度重視并積極支持有關系統安全方面的各項措施。其次，對各級用戶的培訓也十分重要，只有各級用戶對網絡安全性都有了深入了解后，才能降低網絡信息系統的安全風險。

　　五、結束語

　　總之，制定系統安全策略、安裝網絡安全系統只是網絡系統安全性實施的第一步，只有組織機構均嚴格執行網絡安全的各項規定，認真維護各自負責的分系統的網絡安全性，才能保證整個系統網絡的整體安全性。

【網絡冗余設計畢業論文】相關文章：