網絡冗餘設計畢業論文

工業應用的迫切需求是網絡的不間斷性，冗餘網絡在現場的應用保證了網絡的穩定性和安全性。以下是網絡冗餘設計畢業論文，歡迎閱讀。

對公司內網中冗餘備份架構的設計與工作原理進行詳細的分析。方法：以公司持續發展爲根本指導思想，從公司OA系統的建設與優化出發，從設計原則、系統設計和網絡幾個方面對公司網冗餘備份架構系統的設計詳細論述。結果：透過本文論述，對公司網冗餘備份以及系統架構有詳細的瞭解，從而實現科學的系統設計，促進公司管理效率的提升。結論：公司網冗餘備份架構在提高公司網執行速度、促進公司執行效率方面有着十分突出的作用，值得推廣應用。

一、設計背景

公司資訊化系統是指計算機技術、資訊技術及自動化技術等現代科學技術在工作用中全過程的統稱。公司的資訊化系統從2007年公司成立開始到目前已經成爲公司生產、建設、經營、管理、科研、設計等的重要組成部分，在安全生產、節能降耗、降低成本、縮短工期、提高勞動生產率等方面取得了明顯的經濟效益和社會效益。

目前公司的資訊化系統涵蓋了OA辦公自動化系統、檔案管理系統、人力資源系統、NC財務系統、高清視頻會議系統、內外網檔案交換系統、生產實施監管系統、工業視頻監控系統、生產管理系統等各種應用系統。上述應用系統都是透過公司的核心網絡執行的，網絡穩定與安全對整個資訊化系統起着至關重要的作用。

在公司資訊化系統中，核心網絡層處於公司資訊化系統的中心，網絡中的大量數據都透過網絡核心層設備進行交換，同時承擔不同VLAN之間路由的功能。核心層設備一旦宕機，整個網絡即面臨癱瘓。因此，在網絡設計中，核心設備的選擇，一方面要求其具有強大的數據交換能力，另一方面要求其具有較高的可靠性，一般選擇高端核心三層交換機。同時爲進一步提高核心層的可靠性，避免核心層設備宕機造成整個網絡癱瘓，一般在覈心層再放置一臺設備，作爲另一臺設備的備份，一旦主用設備整機出現故障，立即切換到備用設備，確保網絡核心層的高度可靠性。

二、設計依據和原則

2.1 設計依據與參考檔案

《集團公司資訊化規劃修編》

《關於實施集團資訊化“雙網模式”網絡架構改造的通知》

《關於規範雙網建設深化設計方案中網絡安全產品選型的通知》

《關於集團廣域網擴容的通知》

《關於雙網建設驗收有關事宜的通知》

《關於進行高清視頻會議系統改造的通知》

《關於制定2011年雙網建設最終方案及投資估算的通知》

2.2 設計原則

公司資訊系統設計必須遵循的以下原則：

2.2.1統一規劃、統一實施

公司資訊化網絡系統是一個統一的網絡，其資訊安全系統必須統一規劃、統一設計、統一實施、統一管理。

2.2.2多層次防禦、主動防禦

對於重要的資訊系統，不能僅僅依靠一種防範的措施，而是必須建立多級防範體系，從多方面、多層次對系統進行保護。對系統的保護要採用積極的主動防範措施進行。

2.2.3技術與管理相結合原則

任何一個計算機系統都是一個複雜的系統工程，其中涉及產品生產過程和人的因素，因此它的安全總體解決方案，必須在考慮技術解決方案的同時充分考慮管理、法律、法規方面的制約和調控作用。單靠技術或單靠管理都不可能真正解決安全問題的，必須堅持技術和管理相結合的原則。

2.2.4先進性和可行性相結合的原則

在工程實施過程中既要考慮先進性更要考慮可行性，如果只考慮先進性將會產生很大的風險。因爲一個不可行的安全策略形同虛設。

2.2.5分層次、分級別的安全防護原則

鑑於資訊系統的特殊性和其特點，對安全要求比較高。由於資訊網的用戶級別劃分的嚴格性、系統的複雜性，安全方案要體現安全的多層次、多級別的原則。

三、系統建設

3.1 內網網絡冗餘性可靠性建設

3.1.1系統整體冗餘性建設

在公司資訊化系統中，核心網絡層處於公司資訊化系統的中心，網絡中的大量數據都透過網絡核心層設備進行交換，同時承擔不同VLAN之間路由的功能。核心層設備一旦宕機，整個網絡即面臨癱瘓。因此，在公司的網絡設計中，核心設備的選擇了具有強大的數據交換能力和較高的可靠性。同時，爲進一步提高核心層的可靠性，避免核心層設備宕機造成整個網絡癱瘓，一般在覈心層再放置一臺設備，作爲另一臺設備的備份，一旦主用設備整機出現故障，立即切換到備用設備，確保網絡核心層的高度可靠性。增強網絡的關鍵節點的冗餘度和可靠性。

3.1.2內網核心冗餘的建設

採用了2臺模組化三層交換機――Cisco? Catalyst?6509E，每臺6509E提供10G的接口2個，48個10/100/1000以太網電口，48個千兆以太網光端口。Cisco Catalyst 6500系列是思科重要的智能多層模組化交換機，交換矩陣支援720Gbps背板帶寬，可持續轉發速率達400Mpps，每個插槽支援40Gbps第四到七層內容/應用交換和負載均衡;支援集成化饋線電源和高密度電話(T1/E1和FXS)線卡;支援進階特性和QoS，用於支援語音、視頻和關鍵數據應用;在單一機箱中支援10FL、10/100、100-FX(單模和多模)、10/100/1000、千兆位以太網、萬千兆位以太網、T1/E1到OC-48的接口靈活性;單一系統中10/100/1000端口密度達576個端口，支援從T1/E1到OC-48的WAN連接;支援硬件加速智能服務，包括進階網絡管理功能、互聯網協議版本6(Ipv6)和多協議標籤交換(MPLS)、網絡地址轉換、GRE等;多協議路由，同時也傳統協議和服務。

3.1.3業務服務器接入區冗餘建設 　　在該區域部署2臺三層全千兆交換機―Cisco? Catalyst?3750G-48TS，每臺交換機提供48 個10/100/1000以太網電口，4個千兆位以太網SFP端口，以滿足服務器的'冗餘接入Cisco Catalyst 3750G系列透過提供配置靈活性、支援融合網絡模式及自動進行智能網絡服務配置，簡化了融合應用的部署，並可針對不斷變化的業務需求進行調整。此外，Cisco Catalyst 3750G系列針對高密度千兆位以太網部署進行了優化，包括多種交換機，以滿足接入、匯聚或小型網絡骨幹連接需求。

3.1.4集團公司接入區冗餘建設

將該區域部署2臺Cisco CISCO3925E路由器，分別與到集團公司的兩條廣域網線路相連實現與集團總部冗餘備份的互聯互通。Cisco 3900 系列集成多業務路由器均提供嵌入式硬件加密加速、支援語音和視頻的數字信號處理器 (DSP) 插槽、 可選防火牆、入侵預防、呼叫處理、語音信箱以及應用程序服務。此外，這些平臺還支援業界最廣泛的有線和無線連接選項，如 T1/E1、T3/E3、xDSL、銅纜和光纖 GE。

3.1.5三級單位接入區冗餘的建設

在該區域除原有的一臺Cisco 7200 VXR路由器外再部署一臺Cisco 7200 VXR路由器，採用不同運營商的線路冗餘實現與下屬各電廠互聯互通。Cisco 7200 VXR系列路由器能夠透過一個小巧的機箱提供優異的性價比、靈活性和豐富的功能。Cisco 7200 VXR 系列是一款經過優化的多服務OC3/GE邊緣路由器，非常適於作爲電信運營商(小型POP)或者企業網絡邊緣的廣域網匯聚器、一個企業廣域網網關、一個高端可管理CPE 、用於提供數據中心連接，或者作爲一個小型的核心路由器。憑藉硬件支援的IPSec 加密模組以及強大的防火牆和VRF 感知IPSec/NAT 支援，Cisco 7200 適於提供集成安全服務。

3.2 廣域網鏈路冗餘建設

公司的廣域網鏈路連接設計應該與集團公司形成，冗餘的動態路由結構，將網絡的結構改造成雙設備(2臺CISCO 3925路由器)、雙線路上連，初步規劃動態路由採用OSPF動態路由協議與集團公司對聯，廣域網鏈路透過採用2條來自不同運營商的資源，任何一個節點出現線路或設備故障不會影響整體網絡的執行，實現網絡的冗餘架構。

3.3 網絡安全域的細分與冗餘的防火牆部署

爲進一步加強網絡的安全建設，細化業務內網的安全區域。

在對公司的網絡規劃中，將公司網絡規劃中原來沒有獨立劃分出來的內網業務服務區和內網公司用戶接入區、集團廣域網接入區和下屬公司廣域網接入區進行了細緻的安全區域劃分，根據組織結構、業務需求、資訊系統功能、安全等級的不同，劃分爲四個安全區域：

1、內網業務服務區：所有內網業務系統存放的區域。

2、內網公司用戶接入區：員工辦公終端區域。

3、集團廣域網接入區：與集團相連接的廣域網區域。

4、下屬公司廣域網接入區：與下屬單位相連接的廣域網區域。

並在這些相互隔離的區域中間部署冗餘的防火牆，在確保網絡安全的同時保證網絡的冗餘性和可靠性。

四、網絡管理

4.1 網絡維護

着重建設網絡信任體系和應急機制、建立多層次的網絡與資訊安全防禦系統、建設從設備安全到用戶安全的整體安全防護體系，實現網絡與資訊安全的可控、能控、在控。在不斷完善資訊安全責任制的同時，適時開展了重點網絡和資訊系統資訊安全檢查活動，逐步推進資訊安全風險評估和等級保護工作。透過加強了資訊安全應急隊伍建設，組織網絡與資訊安全應急演練。逐步形成全公司統一指揮、協調聯動、資訊暢通的應急聯動體系。

在網絡運維管理過程中，注重加強網絡執行監測，及時發現並消除安全隱患，有效地遏制了各種有害資訊傳播，嚴防網絡攻擊破壞活動，杜絕各類安全事故發生，確保了通信、重要資訊系統正常執行。

在日常運維管理嚴格按照運維要求每週網管人員對機房內所有網絡產品都要進行檢查，觀察各個設備信號燈是否工作正常，並做好相關記錄。按時對路由器和交換機、防火牆的執行的配置檔案進行備份，根據的要求和硬、軟件條件來調整配置。維護設備各模組，使之正常執行，保證網絡暢通，降低丟包率和延時間(延時與廠商的硬件和網絡帶寬以及協議有關)。每個月第一個星期檢查內外網殺毒軟件、內網防病毒網關、IDS等設備的升級情況，並做好記錄，如未及時升級的手動升級，做定期的訪問日誌檢查及防火牆Policy 檢查和軟件的升級。

網絡故障通常有以下幾種可能：物理層中物理設備相互連接失敗或者硬件及線路本身的問題;數據鏈路層的網絡設備的接口配置問題;網絡層網絡協議配置或操作錯誤;傳輸層的設備性能或通信擁塞問題;上三層IOS或網絡應用程序錯誤。診斷網絡故障的過程應該沿着OSI七層模型從物理層開始向上進行。首先檢查物理層，然後檢查數據鏈路層，以此類推，設法確定通信失敗的故障點，直到系統通信正常爲止。

4.2 制定合理有效網絡安全管理策略

面對網絡安全的脆弱性，除了在網絡設計上增加安全服務功能，完善系統的安全保密措施外，還必須花大力氣加強網絡的安全管理制度建設。因爲諸多的不安全因素恰恰反映在組織管理和人員管理等方面，而這又是網絡安全所必須考慮的基本問題。建設了切實可行的安全管理制度。

4.2.1 安全管理策略原則

公司的網絡資訊系統的安全管理基於三個原則：

多人負責原則：每項與安全有關的活動都必須有兩人或多人在場。這些人應是系統主管領導指派的，應忠誠可靠，能勝任此項工作。

領導直接管理原則：一般地講，任何資訊系統的都應該有部門或直接領導管理。 　　職責分離原則：除非系統主管領導批准，在資訊處理系統工作的人員不要打聽、瞭解或參與職責以外、與安全有關的任何事情。

4.2.2 制定合理有效的管理策略

資訊系統的安全管理部門應根據管理原則和該系統處理數據的保密性，制訂相應的管理制度或採用相應的規範。具體工作是：

根據工作的重要程度，確定該系統的安全等級 。

根據確定的安全等級，確定每個人安全管理的範圍。

制訂相應的機房出入管理制度。

對於安全等級要求較高的系統，要實行分區控制，限制工作人員出入與己無關的區域。出入管理可安裝自動識別登記系統，採用指紋鎖、身份卡等手段，對人員進行識別、登記管理。

制訂嚴格的操作規程，操作規程要根據職責分離和多人負責的原則，各負其責，不能超越自己的管轄範圍;

制訂完備的系統維護制度，維護時，要首先經主管部門批准，並有安全管理人員在場，故障原因、維護內容和維護前後的情況要詳細記錄;

定期安全檢查：維繫系統的安全不只是在建設時期的事情，而是長期維護的過程，需要定期根據安全制度、輔助一些技術手段進行檢查，及時發現漏洞彌補漏洞，防患於未然;

制訂應急措施，要制訂在緊急情況下，系統如何儘快恢復的應急措施，使損失減至最小;

建立人員僱用和解聘制度，對工作調動和離職人員要及時調整相應的授權。

安全系統需要由人來計劃和管理，任何系統安全設施也不能完全由計算機系統獨立承擔系統安全保障的任務。一方面，各級領導一定要高度重視並積極支援有關係統安全方面的各項措施。其次，對各級用戶的培訓也十分重要，只有各級用戶對網絡安全性都有了深入瞭解後，才能降低網絡資訊系統的安全風險。

五、結束語

總之，制定系統安全策略、安裝網絡安全系統只是網絡系統安全性實施的第一步，只有組織機構均嚴格執行網絡安全的各項規定，認真維護各自負責的分系統的網絡安全性，才能保證整個系統網絡的整體安全性。