工业园区计算机系统集成方案

1、用户需求

XX生物是以研究、开发及生产现代医药制品为主的高科技企业，地处深圳市高新区中区，总占地面积12,000平方米，总部位于深圳市深南中路国际文化大厦。

XX园分为办公研发楼和生产制济楼。办公研发楼共6层，有数据信息点约423个；生产制济楼有信息点约27个，合计信息点450个，采用超五类综合布线系统，网络主干采用千兆以太网技术，采用百兆以太网技术到桌面的同时并安装部份无线网访问点，以方便移动用户和学术交流。局域网按部门划分VLAN，以增强网络系统的安全性能的同时隔离广播风瀑，以增强网络的性能。建成后的局域网要能与公司总部以及宝安高新区XX园进行联网，以实现数据的实时交换。建成后的局域网将通过高新区信息网接入Internet，以方便员工上网查询资料，同时要能通过VPN与一些关联合作伙伴进行数据交换。由于XX生物是以研究、开发及生产各种多肽产品为主的高新技术企业，因此对网络安全性能的要求非常高。

2、网络系统设计原则

1．设备的先进性与成熟性

采取目前已经在业界经过考验、证明成熟、可靠的设备，既有技术的先进性，又有很高的性能价格比；

2．网络的开放性和兼容性的原则

选择符合国际标准的网络软硬件产品，有很好的互换、扩展和升级能力，并能与现有的网络设备兼容；

3．网络的灵活性和可升级的原则

网络系统能够适应各种网络应用系统，易于今后向更先进的技术升级 4．网络的可管理性和易维护性原则

可配置网管软件，采用具有可管理的网络设备，以便合理规划网络资源和控制网络运行。整个网络应结构合理，层次划分清楚且具有相对独立性，便于管理和维护。 5．网络系统的安全性

充分考虑网络系统的安全性能，即要满足内部员工上INTERNET查询资料，通过VPN实现与总部和其它办事处数据的可靠传输，外部用户通过INTERNET访问公司网站，又要防止重要数据被窃取和网络黑客的攻击。 6．网络的可靠性与稳定性原则

充分考虑系统设备的容余备份，在主设备故障时，系统能迅速切换到备份设备上，从而保证系统安全、稳定、可靠的运行； 7．经济、实用的原则

方案应具有良好的性能价格比，在条件满足系统需求的条件下，尽量减少投资。

3、网络系统设计方案 3.1、网络拓朴图

WLANPrinter管理VLANServer公司总部F5:7XC2950科研VLANF1:C4006INTERNET关联企业F3:7XC2950管理VLANFirewallDMZCisco 3640F1:4XC2950销售VLANF1:C4006宝安分公司WEB生产VLAN生产:2XC2950百兆链路百兆备份链路千兆链路千兆备份链路局 域 网广 域 网翰 宇 生 物 网 络 拓 朴 图

3.2、网络设计说明及产品选型 3.2.1、园区局域网设计说明

本方案选用两台Catalyst4006交换机作为主干交换机，配置三层交换模块以完成局域网内VLAN间的数据交换。两台Catalyst4006主干交换机通过两条千兆链路捆绑相连，形成4G 吞吐量的TRUNK，实现主干交换机间的千兆级无阻塞数据交换。通过对SPANTREE的设置，使交换机F1：C4006-1为F4、F5和F6楼用户的主交换机，同时作为F1、F2和F3楼用户的热备份交换机；使交换机F1：C4006-2为F1、F2和F3楼用户的主交换机，同时作为F4、F5和F6楼用户的热备份交换机。当主用交换机故障时，系统将在很短的时间内自动切换至备用交换机上，这样有效地避免了由于设备单点故障而导至的系统瘫痪，保证系

统安全、可靠的运行。

接入层交换机选用Catalyst2950，通过两条千兆链路分别与两台主备用交换机相联。由于XX园数据信息大约有450个，是一个比较大型的计算机网络，为了保证建成后的网络的可靠性能和数据传输的安全性，建议将XX园局域网划分成若干个虚拟局域网即VLAN，各个VLAN相对独立，有效地隔离了广播风瀑，提高了网络的性能。VLAN间的数据交换可通过Catalyst4006交换机的三层交换功能来实现，并以包过滤的形式仅允许特权用户可以进行VLAN间的访问，普通用户只能进行VLAN内的数据交换，增强了网络的安全性能。

VLAN的规划可以按部门划分为：财务VLAN、管理VLAN、科研VLAN、生产VLAN、销售VLAN、无线用户VLAN等，即按用户的需求任意划分，Catalyst2950交换机支持1024个VLAN。

划分VLAN有如下优点： （1）增加了网络连接的灵活性

网络管理员对网络上工作站可以按业务功能，而不必按地理位置分组。VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用VLAN后，这部分管理费用大大降低。

实现VLAN的一个更具重要意义的目标是实现虚拟工作组模型。这个模型的概念即如果在园区网环境中完全实现VLAN的话，同一个部门的成员看上去是共享同一个网段，他们绝大多数的网络流量分布于同一个VLAN广播域。一个成员移动到了新的物理位置，他可以不改变工作站的配置而保留原来的工作组关系。相反，如果一个成员需要改变他的工作组关系时，他并不需要改变他的物理位置。网络管理工作可以简化到只需改变用户的VLAN成员关系。

（2）控制网络上的广播风暴

随着网络向交换结构转变，人们失去了路由器提供的防火墙功能。这样广播风暴将发送到每一个交换端口，这就是常说的整个网络是一个广播域。使用交换网络的优势是可以提供低延时和高吞吐量。缺点是增加了整个交换网络的广播风暴。

VLAN可以提供建立防火墙的机制，防止交换网络的过量广播风暴。使用VLAN可以将某个交换端口或用户赋予某一个特定的VLAN组，该VLAN组可以在一个交换网中，也可以跨接多个交换机，在一个VLAN中的广播风暴不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播风暴。这样可以减少广播流量，释放带宽给用户应用，减少广播风暴的产生。

（3）增加网络的安全性

人们在LAN上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效的容易实现的方法是将网络分段成几个不同的广播组，也就是划分VLAN。将保密的、关键性的数据放入一个VLAN，网络管理员通过限制VALN中用户的数量,禁止未经允许而访问VLAN中的应用.交换机端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。

（4） 加了集中化的管理控制

通过集中化的VLAN管理程序,网络管理员可以确定VLAN组,分配特定用户和交换机端口给这些VLAN组,设置安全性等级,限制广播域的大小,通过冗余链路负载分担网络流量,跨越交换机配置VLAN通信,监控交通流量和VLAN使用的网络带宽.这些能力有效地提高了网络管理程序的可控性、灵活性和监视能力，减少了管理的费用。

Cisco Catalyst4006交换机简介

Catalyst4006交换机是具备高性能的、易于管理的、灵活配置的千兆以太网交换机。其特性如下：

1）Catalyst 4000 系列提供高性能的企业交换解决方案，它利用多千兆比特结构，为10/100/1000Mbit以太网交换提供智能第二层业务。

2）一个经济有效的模块化6插槽机箱，它为企业或分支机构中的每一个用户提供集成化配线间的好处。新 Catalyst 4006功能包括可伸缩的交换、高达240端口的10/100密度以及多协议第三层 IP、IPX 和 IP 多路传输交换。

3）Catalyst4006交换机配置了Cisco最新的第三代引擎Catalyst 4006Supervisor Engine II，将非阻塞的第2/3/4层交换与增强的控制结合在一起，从而让企业和城域以太网用户在部署基于互联网的应用时具有业务灵活性。第2层和第3/4层的交换被集成到Catalyst Supervisor Engine II上的单一硬件引擎中，Cisco Catalyst 4006 Supervisor Engine II在硬件上既为第2层也为第3/4层通信提供高达64Gbps的交换矩阵和48Mpps的数据包转发率。这是一种针对多媒体应用进行优化的平台，并具有先进的多播支持。

4）Cisco Catalyst 4006 Supervisor Engine II是Catalyst 4000系列中第一个自然支持Cisco IOS软件的管理引擎，从而使多层交换可以实现单一的Cisco IOS配置和软件管理维护。

Catalyst 4006的主要功能包括:

· 完善的QoS: 基于2/3/4层的集成QoS、通信量管理功能分类、根据32,000个 QoS 策略来区分关键任务和时间敏感业务的优先次序。系统能够通过其机制（如根据客户、网络和应用信息制订输入输出计划）对带宽密集型话务进行流量整形和速度限制。 · 可以预测的性能: 硬件中第2层和第3/4层通信的转发线速高达48 Mpps。交换性能独立于路由表项的数量以及激活的高级第3层服务。

· 先进的安全性: 支持32,000条第2/3/4层访问控制表项，以及用户鉴别和客户机安全等其他先进的安全功能。

· 全面管理: 基于Web的配置管理和控制所有端口的管理从总体上减少了网络管理单元。

· 64Gbps无阻塞交换矩阵。

· 48Mpps第2层数据包转发率（硬件）。 · 48Mpps第3/4层转发率

Cisco Catalyst2950交换机简介

Cisco Systems Catalyst 2950 XL系列是一系列可扩展、可堆叠的10/100和千兆位以太网交换机，提供最佳的性能、可管理性和灵活性以及无与伦比的投资保护。该系列低成本、高性能的交换解决方案通过一个独立的高速堆叠总线保留珍贵的桌面端口，提供下一代可堆叠的交换。Cisco的突破性交换机集群技术将堆叠域扩展到单个配线间之外，能使用户最多互连16个Catalyst 2900 XL和Catalyst 1900交换机，组建一个灵活的单一IP地址管理网络，而不受它们的地理位置限制。 关键特性

· 8.8Gbps的交换背板，最高转发速率每秒钟660万个数据包，最大转发带宽4.4 Gbps，所有10/100端口提供线速性能。

· 内置的千兆位以太网端口适合插入各种GBIC收发器，包括Cisco GigaStack GBIC、1000BaseSX和1000BaseLX/LH GBIC。

· 低成本的2端口Cisco GigaStack GBIC通过在菊花链连接中提供1 Gbps的连接，或者在专用的交换机到交换机连接中提供2 Gbps的连接，提供广泛的高度可配置的堆叠和性能选项。

3.2.2、园区广域网设计说明

（1）园区广域网拓朴图如下：

公司总部INTERNETISDN关联企业Cisco 3640翰宇生物园 LAN宝安分公司翰 宇 生 物 广 域 网 拓 朴 图

（2）XX生物企业网互联

XX生物企业网互联，建议采用DDN或帧中继的方式与公司总部相连，保证与公司总部和各分部间的信息传递，同时也可传递图像数据，实现视频会议；传递语音数据，实现VOIP等。为了增强广域网的可靠性，可采用ISDN拨号备份技术。当DDN或帧中继线路故障时，ISDN可迅速自动拨通总部，代替DDN或帧中继线路传递数据，不影响通迅；当帧中继线路故障恢复时，ISDN将自动断开与对方的连接，从而节省了

通迅费用。网络设备建议选用Cisco3640路由器，配置WIC-2T广域网模块和NM-4B S/T ISDN模块。

（3）XX生物企业网INTERNET 的接入

XX生物园INTERNET 的接入可通过高新区信息网以10M共享或独占的形式接入INTERNET。高新区信息网络是深圳电信IP宽带城域网的一部份，以1G的带宽接接入电信城域网，在深圳市率先实现电信网、电视网、计算机网的三网合一，主要为高新区企业提供高速上网及IP TV 等宽带服务。

（4）XX生物与关联企业的VPN互联

由于XX生物及其关联企业局域网都接入了INTERNET，都有公有IP地址，若两

端设备都支持VPN。可以充分利用INTERNET ，在XX生物和关联企业局域网间建立一条虚拟数据通道，以IPSEC数据加密的形式进行VPN数据通讯，IPSEC数据加密的形式有DES，3DES等，能保证私有数据在公网上的安全传输。

Cisco 3640路由器简介

由于XX生物园接入路由器同时需提供INTERNET接入、与公司总部的联网、VPN通迅等业务，因此对路由器的要求比较高，建议利用CISCO 3640路由器作接入路由器。 Cisco 3600系列是一个适合大中型企业Internet服务供应商的模块化、多功能访问平台家族。Cisco 3600系列拥有70多个模块化接口选项，提供语音/数据集成、虚拟专网（VPN）、拨号访问和多协议数据路由解决方案。通过利用CIsco的语音/传真网络模块，Cisco 3600系列允许客户在单个网络上合并语音、传真和数据流量。高性能的模块化体系结构保护了客户的网络技术投资，并将多个设备的功能集成到一个可管理的解决方案之中。3600捆绑还可用于抓住特定的RAS机遇。

Cisco 3600系列的特性：

Cisco 3600系列使ISDN接口密度和性能价格比达到一个新的水平。Cisco 3640有四个网络模块槽；Cisco 3620有两个。每个网络模块槽可以容纳多种网络模块接口卡，支持以太网和一系列WAN技术，它具有如下特性：

· 在一个平台中结合了拨号访问、先进的局域网到局域网路由服务、ATM连接以及语音、视频和数据的多服务集成。 · 模块化、可伸缩的设计提供性能、可伸缩性、灵活性和投资保护。 · 高密度ISDN PRI功能。

· 预配置的BRI和PRI调制解调器捆绑。

· 集成了Cisco IOS软件（产品定价中包括IP IOS软件）。 · 完全支持VPN。

3.2.3、园区网络安全设计说明

XX生物是以研究、开发及生产各种多肽产品为主的高新技术企业，技术保密要求程度非常高，因此防止重要数据被窃取和网络黑客的攻击，对网络安全性能的要求非常高。

我们选择Cisco Secure PIX防火墙525作为XX生物园的防火墙。Cisco Secure PIX防火墙525提供的承载级的性能可以满足大型企业网络和服务提供商的需要。作为世界领先的Cisco Secure PIX防火墙系列的组成部分，PIX 525能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。该防火墙将静态防火墙和IP安全（IPSec）虚拟专网（VPN）功能与千兆位以太网吞吐量灵活地结合在一起。

PIX 525是一种能够提供空前保护能力的通用防火墙设备。它与PIX操作系统（OS）紧密集成在一起，该操作系统是一种消除了安全漏洞和性能退化开销的专用固化系统。PIX525防火墙的核心是基于自适应安全算法（ASA）的一种保护机制，它可以提供面向静态连接的防火墙功能，能够进行28万个并发连接，370Mbps净文本(clear text)吞吐量，并同时防止常见的拒绝服务（DoS）攻击。

另外，PIX 525还是一种能够通过公网安全传输数据的全功能VPN网关，它支持使用56位数据加密标准（DES）或168位3DES对VPN应用进行站点到站点和远程访问。PIX 525的集成VPN功能可以得到VPN加速卡（VAC）选件的支持，能够提供100 Mbps的吞吐量和2000个IPSec隧道。

高可用性通过部署一个冗余的热备用单元来实现，该故障切换选件通过自动静态同步维护了同时连接。这保证了即使是在系统故障情况下，也能够维护对话，并且保证切换过程对网络用户而言是透明地完成。另外，PIX 525还允许您向交流或直流型号添加可选的冗余、热插拔电源，使其成为一种真正的容错安全设备。 其主要性能指标如下：

1、 保护方案基于适应性安全算法（ASA），能提供任何其它防火墙都不能提供的最高

安全保护。

2、 获专利的“Cut-Through Proxy”特性能提供传统代理服务器无法匹敌的高性能 3、 安装简单，维护方便，因而降低了购置成本 4、 透明支持所有通用TCP/IP Internet 服务， 如万维网（WWW），文件传输协议（FTP）、

Telner、Archie、Gopher 和rlogin

5、 支持多媒体数据类型， 包括Progressive网络公司的Real Auido , Xing 技术公司的

Steamworks，White Pines公司的CUSeeMe，VocalTe公司的Internet Phone，VDOnet公司的VDO Live，Microfost公司的NetShow和Uxtrema公司的Web Theater2 6、 支持H323兼容的视频会议应用，包括Intel的InternetVideoPhone和Microsoft的

NetMeeting

7、 无需因安装而停止运行 8、 无需升级主机或路由器

9、 完全可以从未注册的内部主机访问外部Internet 10、 能与基于Cisco IOS 的路由器互操作

3.2.4、园区无线网（WLAN）设计设计说明

在XX园主办公楼的会议室、多功能厅等办公场所，由于场地面积大，工作站安放位置不明确，采用综合布线很难满足整个场所及移动用户的需求，因此建议采用无线网，在会议室、多功能厅等办公场所安放一无线访问点，便可满足整个场所的用户方便的接入局域网，不再受综合布线信息点安装位置的限制。在XX园无线网方案中，我们建议选用CISCO ACCESS POINT 342作为接入设备。

WLAN 的加密认证

IEEE 802.11标准提供了两个方案来对无线LAN中的WEP密钥进行定义。第一种方案中，无线子系统中所有的工作站（包括客户机和访问点）共享一套四个缺省的密钥。当一个客户机得到缺省的密钥后，它可以安全地和系统中其它所有的工作站进行通信。这种缺省密钥的问题在于它们越是广泛地进行分配，也就越有可能暴露。在第二种方案中，每个客户机建立和其它工作站\"密钥映射\"关系。这种方案工作起来更为安全，因为拥有密钥的工作站更少。

我们所提供的无线LAN安全解决方案，利用基于标准的和开放的结构，充分利用802.11b安全部件，提供最高级别的可用安全性，实现从一个中央控制点进行有效的安全管理。在用户进行网络登录之前，与访问点通信的无线客户机并不能获得网络访问权。

用户在网络登录对话框或与之功能相似的对话框中键入用户名和口令之后，客户机和RADIUS服务器（或其它验证服务器）通过用户所提供的用户名和口令进行双向的身份验证，对被验证的客户机进行检验。RADIUS服务器和客户机利用客户机所提供的特定WEP密钥进行登录对话连接。所有敏感的信息如口令等都受到保护，不会被被动监听和其它攻击方法所截获。

这个过程的顺序如下：

• 无线客户机与访问点进行通信。

• 在登录到网络之前，访问点拒绝所有客户机的对网络资源的访问。

• 客户机上的用户在网络登录对话框或类似功能的对话框中提供用户名和口令。 • 利用802.11X和EAP，无线LAN上的客户机和RADIUS服务器通过访问点进行双向身份验证。有几种验证身份的方法备选。在Cisco的身份验证方法中，RADIUS服务器发送一个验证询问信息到客户机。客户机利用用户提供的单向口令散列信息来生成对询问的响应，并把这个响应送到RADIUS服务器。RADIUS服务器根据它的用户数据库中的信息，自己产生一个响应，并与客户机所送来响应进行比较。一旦RADIUS服务器验证了客户机的身份，上述过程逆向重复。 • 当这个双向的验证过程全部完成后，RADIUS服务器和客户机确定一个有别于客户机的WEP密钥，并为客户机提供合适级别的网络访问权限，为个人台式机提供与有线交换部分相似的安全性。然后，客户机加载密钥，准备把它应用到登录会话过程中。 • RADIUS服务器通过有线LAN发送一个称为会话密钥的WEP密钥到访问点。 • 访问点利用会话密钥对广播密钥进行加密，把经过加密的密钥送到客户机，客户机利用会话密钥进行解密。

• 客户机和访问点激活WEP，并把会话和广播密钥应用到后续会话的所有通信过程中。

Cisco ACCESS POINT 342简介

Cisco Aironet 340系列（见下图），它是一种综合的无线网卡和接入点产品，能够

保证公司和企业将无线局域连接的自由性和灵活性集成到自己的信息系统中，保证各种客户端设备的网络用户可以保持与LAN的无缝、非中断式接入的条件下自由地移动地点。

Cisco Aironet 342系列产品具有如下特征：

·11Mbps性能

·与有线网络等效的安全性 ·无线连接的自由性和灵活性 ·与IEEE 802.11b的互操作性

Aironet 342系列包括一整套无线网卡，包括用于笔记本和台式机无线连接的PC卡、个人计算机接口（PCI）卡和行业标准结构（ISA）卡。

Aironet 342系列接入点提供了无与伦比的管理功能，包括用来简化网络引导功能的全功能Web接口，同时还提供了各种天线选件来保证真正适用于所有环境。

Aironet 342系列基于直序扩谱（DSSS）技术，工作在2.4GHz频段，数据传输类似于以太网，速率可达每秒11Mbps。Aironet 342系列的高速度和吞吐量保证了企业内高带宽需求数据如多媒体数据流和大型数据文件的有效无线传输。

为了保证小型公司和大型企业的安全性需求，Cisco还提供高达128位的有线等效保密（WEP）功能，该功能是802.11标准中定义的一种可选安全性机制，主要目的在于保证无线连接媒介的链路完整性等同于电缆连接。WEP与标准的认证功能集成在一起，可以提供与传统有线LAN等效的数据安全性水平。

Cisco Aironet 342系列技术规范 支持的数据率 网络标准 频段 无线传输方法 媒体访问协议 支持的网络 1、2、5.5和11Mbps IEEE 802.11b 2400-2483.4MHz 直序扩谱（DSSS） 带有冲突避免的载波侦听多址访问（CSMA/CA） Microsoft Windows 2000、98、95NT和CE 在1Mbps时为DBPSK 调制 在2Mbps时为DQPSK 在5.5和11Mbps时为CCK 11个信道（美国、加拿大和日本） 工作信道 13个信道（ETSI） 无重叠信道 漫游 质量保证

3个 遵循IEEE 802.11b，具备Cisco增强的漫游功能 一年以上：接入点