系統建設的目的在於應用。根據應用場景的各種規範及各種業務的需求,結合部門的應用經驗和發展要求,在系統設計時,
中國維修網
認為主要應遵循以下原則:
一、實用性原則
實用性原則主要體現在以下方面:以現行需求為基礎,適當考慮發展的需要為依據來確定系統規模。選擇成熟、先進、維護量小、使用方便的技術裝置和措施。創造乙個開放的網路平台,支援多種業務的同時傳輸,如支援語音、圖象等多**業務。
二、安全性原則
1) 協議的安全性
在網路中執行著很多網路協議,包括路由協議和各種為上層應用服務的廣域網,區域網路協議等,路由器上也存在著很多服務,有些服務是網路執行所必需的,必須開啟它,而有些服務是對網路執行無關緊要或無用的,可以關閉。正是這些網路協議或服務,確保了網路系統的正常執行,因此,我們首先應確保這些網路協議或服務的安全性。
2) 應用服務協議的安全
對這些路由協議和各種上層應用服務的協議,我們應區別對待。首先,對於網路執行所必需的協議,如路由協議等,我們不但應正常執行,而且必須加以保護,以防止非法路由器加入或偽造的路由資訊,系統如何能夠鑑別出哪些路由資訊是可靠的呢,就必須採用一些加密技術或鄰機校驗方法,以完成認證,對於網路執行無關緊要或無用的協議,則應嚴格限制或關閉,而對網路執行有危害或本身有安全缺陷的協議,則應關閉。
3) 路由協議的安全
在路由協議安全性方面,我們可以採用路由器鄰居相互校驗,校驗方式可以是明碼方式或md5加密方式,對於ospf、bgp既可採用md5校驗方式,也可以採用明碼方式。
通過明碼或md5加密方式校驗,可以確保只有有效的路由器才能加入到網路,從而能夠避免非法的路由器或偽造的路由資訊加入到網路中,使路由出錯,導致網路癱瘓。
4) snmp的安全性
snmp是另一種訪問網路裝置的方式。使用snmp,你可以收集網路裝置的狀態,配置網路裝置。get-request、get-next-request訊息用來 收集狀態資訊,set-request訊息用來配置網路裝置。在每台路由器都要 配置community string,每乙個snmp訊息都有乙個community string來進 行校驗,每個網路裝置的snmp**上可以進行配置不同的community string來進行讀模式和寫模式的訪問。snmpv1的community string是採用 明文方式傳輸的,snmpv2的community string採用md5來進行加密,同 時snmp可以和訪問列表結合起來,使指定的的ip位址或埠才可以訪問到網管資訊。
5) 裝置的安全性
對網路裝置的訪問與配置,主要有以下兩種方式:控制口console的控制和遠端登入telnet 的控制。
a 控制口console的控制
b 遠端登入telnet 的控制
c 使用者的分級管理
6)無線的安全性
wlan利用了不可見的公用媒介進行空中訊號傳播,安全問題是部署無線的巨大挑戰。無線面臨的安全挑戰, 主要是防止非法ap接入,防止非法使用者接入,防止arp攻擊,防止ap過載,防止不合理應用等。
● 防範未授權ap
ieee802.11網路很容易受到大量網路威脅的影響,如未經授權的ap使用者、ad-hoc網路、拒絕服務型攻擊等。rouge裝置對於企業網路安全來說是乙個很嚴重的威脅。這需要無線入侵檢測(wids)功能來防範,通過wids用於對有惡意的使用者攻擊和入侵無線網路進行早期檢測,它用於檢測wlan網路中的rogue裝置,上報管理中心,並對它們採取反制措施,以阻止其工作,最大程度地保護無線網路。
● 防範非法使用者
這主要通過認證技術及加密技術來保證。通過802.1x認證、mac位址認證、portal認
證等多種認證方式,保證無線使用者身份的安全性, 結合wep(64/128)、wpa、wpa2等多種加密方式保證無線使用者的加密安全性。另外,通過使用者身份認證結合aaa伺服器上對使用者組進行許可權的配置和修改,實現精細的使用者許可權控制,從而大大增強了無線網路的可用度,網管人員可以輕鬆地對不同級別的人進行接入許可權分配。
● 防範arp攻擊
企業內部普遍存在arp 攻擊手段,通過偽造ip位址和m無線交換機位址實現arp欺騙,產生大量的arp通訊量使網路阻塞或者實現中間人攻擊,嚴重的可以使網路不可用,危害企業應用。為了防止攻擊者通過arp報文實施「中間人」攻擊,要求無線控制器具有arp入侵檢測功能,即通過對arp報文進行合法性檢測,**合法的arp報文,丟棄非法arp報文。從而有效防禦arp欺騙。
● 防範網路頻寬濫用
另外,為了避免無線網路中部分ap過載,部分ap閒置而影響網路使用,需要通過負載均衡來實現。智慧型負載分擔方法可以動態地確定在當前時刻和當前位置下哪些ap可以彼此分擔負載,通過控制無線客戶端接入的ap,來實現這些ap間的負載分擔。
7)裝置防盜
由於無線終端不是部署在機房,自身的防盜問題很重要。傳統胖ap裝置,由於和家用無線路由器功能類似,被盜竊的風險遠大於瘦ap無線終端,因為其必須配合無線控制器才能使用。在瘦ap組網方案中,無線控制器能夠實時監測瘦ap狀態,一旦出現故障可以隨時告警。而且,無線網路金鑰是在無線控制器上集中管理,即使瘦ap被盜,整個網路的金鑰也不會丟失。同時,ap無線終端也可能通過良好的產品結構設計降低被盜風險。
三、可靠性原則
為保證各項業務應用,網路必須具有高可靠性,決不能出現單點故障。要對整個網路的機房布局、結構設計、裝置選型、日常維護等各個方面進行高可靠性的設計和建設。在關鍵裝置採用硬體備份、冗餘等可靠性技術的基礎上,採用相關的軟體技術提供較強的管理機制、控制手段和事故監控與安全保密等技術措施提高電腦機房的安全可靠性。
針對本網路設計方案,其可用性設計包括網路裝置本身的冗餘能力、網路的冗餘設計。應採用以下一些手段:
● 裝置冗餘:
對關鍵裝置進行整機冗餘,模組冗餘,支援模板熱拔插、冗餘的控制模組設計、冗餘電源設計、風扇冗餘設計。建議所有模組和環境部件應具備1+1或1:n熱備份的功能,切換時間小於3秒,使系統具備99.999%以上的可用性。對非關鍵裝置進行1:n的冷備份。
● 路由冗餘:
採用合適的動態路由協議,實現路由的冗餘,當鏈路中斷時,路由能夠迅速收斂。
● 無線功率自動控制:
當一台ap接入使用者過多,或者出現故障的情況,立刻由**無線控制器自動控制該ap周邊ap加大功率,從而有效地保證使用者仍能高可靠接入無線網路。
● 無線終端採用poe供電:
傳統ap需要同時有電源線和網線連線才能工作,而採用了支援poe供電的ap無線終端就無需再部署電源線。從而大幅降低故障點,有效提高系統可靠性。
四、成熟和先進性原則
在網路結構設計、網路配置、網路管理方式等方面採用國際上先進同時又是成熟、實11 用的技術。裝置廠商和系統整合商應有相關領域的豐富經驗。
五、規範性原則
網路設計所採用的組網技術和裝置應符合國際標準、國家標準和業界標準,為網路的擴充套件公升級、與其他網路的互聯提供良好的基礎。
六、開放性和標準化原則
在設計時,要求提供開放性好、標準化程度高的技術方案;裝置的各種介面滿足開放和標準化原則,如果是不同廠商的產品,必須之間具備可操作性與可管理性。
七、可擴充和擴充套件化原則
有充分的機制方便各網點的擴充套件、業務量和業務種類的擴充套件,保證建設完成後的網路在向新的技術公升級時,能保護現有的投資。
網路可擴充套件的關鍵在於能否實現合理的層次化設計,採取層次化的設計可以根據網路需求的變化,可在不影響現有網路執行的狀況下,迅速擴充套件。
網路的建設必須具有良好的靈活性與可擴充套件性,能夠根據今後業務不斷深入發展的需要,擴大裝置容量和提高使用者數量和質量的功能。具備支援多種網路傳輸、多種物理介面的能力,提供技術公升級、裝置更新的靈活性。
在網路裝置選型過程中,每個核心骨幹層次設計中所採用的裝置本身應具有極高的埠密度,層次化設計為整個網路的擴充套件奠定了基礎。同時,我們應充分考慮路由協議的選用,使路由協議為整個網路的發展帶來極強的路由擴充套件能力。
八、可管理性原則
整個網路系統的裝置和伺服器的安全性、資料流量、效能等得到很好的監視和控制,並可以進行遠端管理和故障診斷。
學校有線與無線一體化網路解決方案
隨著校園資訊化水平的提高,學校師生對隨時隨地接入網路進行教學和科研的需求越來越強烈,希望校園內每個有著入網需求的角落都有網可接,形成真正意義上的校園網。因為學校資訊建設提供了一整套有線無線 一體化網路解決方案。室內室外無線全覆蓋 提供無線吸頂式 面板式 桌面式 室外等各種ap,可實現教學區 生活區 ...
前向一體化 後向一體化 縱向一體化的含義
前向一體化就是企業通過收購或兼併若干商業企業,或者擁有和控制其分銷系統,實行產銷一體化。前向一體化是指獲得分銷商或零售商的所有權或加強對它們的控制,也就是指企業根據市場的需要和生產技術的可能條件,利用自己的優勢,把成品進行深加工的戰略。在生產過程中,物流從順方向移動,稱為前向一體化,採用這種戰略,是...
狀態列一體化
效果圖方法實現 1新增布局屬性 首先要在布局檔案中加入下面兩個屬性 android cliptopadding true android fitssystemwindows true 解釋一下上面兩個布局屬性的意思 android cliptopadding 定義布局間是否有間距 android f...