本站小編為你精心準備了集團基礎架構的網絡系統論文參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

1網絡綜合接入研究

網絡綜合接入是整個網絡的基礎，該部分包括互聯網出口、網絡架構及接入節點。后續業務及辦公將更依賴于互聯網資源，為了保證互聯網出口的暢通無阻，依據廈門軌道交通集團網絡規模約為1000個用戶數的用戶規模，本研究建議引入兩條20M互聯網專線，并采用兩大運營商的網絡資源，為解決跨南北運營商的網絡，本研究建議引入電信和聯通用兩大運營商的網絡資源。網絡架構依分層設計的思路，本研究建議采用網絡扁平化設計，采用二層結構，壓縮掉匯聚層，形成核心層和接入層，提高轉發效率，核心層是承擔整體網絡的核心交換，因此應充分考慮其高可用性。

1.1互聯網出口研究為了保證互聯網出口網絡鏈路的暢通性、穩定性和可靠性，保證網絡服務的質量，消除單點故障，減少停機時間，本研究建議引入兩大運營商（電信、聯通）的互聯網專線，從而實現不間斷、高效率的政務服務。基于上述考慮，本研究建議在廈門軌道交通集團互聯網出口部署網絡鏈路負載均衡設備，以實現以下兩種場景下多條鏈路的負載均衡：（1）內部辦公人員和網絡工作站在訪問互聯網服務和網站時，能夠在不同互聯網出口鏈路中動態地分配和負載均衡，這也被稱為出站流量的負載均衡。（2）互聯網絡的外部用戶在外部訪問內部網站和應用系統時，也能夠動態地在多條鏈路上平衡分配，并在一條鏈路中斷的時候能夠智能地自動切換到另外一條鏈路到達服務器和應用系統，這也被稱作為入站流量的負載均衡。

1.2核心層研究本研究建議核心層采用兩臺核心交換機，通過VRRP實現全容錯的核心層接入。VRRP全稱VirtualRouterRedundancyProtocol（虛擬路由冗余協議）。簡單來說，VRRP是一種容錯協議，它保證當主機的下一跳路由器壞掉時，可以及時的由另一臺路由器來代替，從而保持通訊的連續性和可靠性。為了使VRRP工作，首先要創建一個虛擬IP地址和MAC地址，這樣在這個網絡中就加入了一個虛擬路由器。而這個網絡上的主機與虛擬路由器通信，無需了解這個網絡上物理路由器的任何信息。一個虛擬路由器由一個主路由器（MASTER）和若干個備份路由器（BACKUP）組成，主路由器實現真正的轉發功能。當主路由器出現故障時，備份路由器成為新的主路由器，接替它的工作。在廈門軌道交通集團中心機房部署兩臺核心交換機，通過VRRP及MSTP技術實現鏈路及設備冗余及負載，避免單臺核心交換機故障而造成整個業務系統的中斷。考慮網絡的安全、穩定可靠性，本研究建議網絡設備采用知名品牌。

1.3接入層研究為了保證各樓層高可用性、高密度的客戶端接入，本研究建議每臺接入層交換機通過雙鏈路與兩臺核心交換機對接，并開啟生成樹避免環路，保證骨干線路千/萬兆的鏈路，另一方面通過trunk將各樓層所需的VLAN傳遞下來，并通過接口劃分指定的VLAN。為了保證安全，各VLAN之間互訪控制通過核心交換機ACL（訪問控制列表）統一控制。也可以通過VLAN實現各應用系統虛擬專網專用，保證安全性及投資回報。3.4網絡接入點研究根據統計1號及2號樓網絡信息點列表，本研究建議各樓層的交換機（交換機端口20%預留）配套如下表據上述列表統計，24端口樓層交換機為3臺，48端口樓層交換機為17臺。

2網絡安全保障研究

網絡是整個信息化的基礎平臺，網絡給企業帶來極大的方便，但同時也帶來一些安全隱患，網絡上蠕蟲病毒，來自互聯網黑客的攻擊等。網絡安全保障研究考慮的安全設備包括防火墻、上網行為管理、SSLVPN、入侵防護及WEB應用防火墻，上述安全設備功能簡單描述如下：（1）防火墻：是隔離互聯網與內網的第一道屏障，用于實現內外網隔離。（2）上網行為管理：可以保障企業互聯網資源的有效利用，避免單個用戶下載行為而造成互聯網帶寬瓶頸。（3）SSLVPN：通過簡單網頁方式建立的VPN通道，可以保障移動辦公人員安全高效地訪問公司的內部資源。（4）入侵防護：可以及時準確地攔截黑客的各種攻擊行為。（5）WEB應用防火墻：可避免網站被篡改而造成各種經濟及聲譽上的損失。以上這些網絡安全防護設備對于保證企業網絡環境的健康、穩定運行缺一不可。

2.1互聯網邊界安全研究成功的DDoS攻擊（DistributedDenialofservice分布式拒絕服務，即很多DOS攻擊源一起攻擊某臺服務器）所帶來的損失是巨大的。DDoS攻擊之下的廈門軌道交通集團所有網站性能急劇下降，無法正常處理用戶的正常訪問請求，造成客戶訪問失敗；服務質量協議（SLA）也會受到破壞，帶來高額的服務賠償。同時，提供商的信譽也會蒙受損失，而這種危害又常常是長期性的。利潤下降、生產效率降低、IT開支增高以及相應問題訴諸法律而帶來的費用增加等等，這些損失都是由于DDoS攻擊造成的。廈門軌道交通集團未來基于互聯網業務應用（例如交通信息、網上購票等）將越來越多，面臨DDoS攻擊機會將越來越大。廈門軌道交通集團在互聯網邊界區必須部署強有力抗DDOS攻擊能力的防火墻，并實現三大安全區域的劃分：外網、內網和DMZ（demilitarizedzone隔離區，是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區，這個緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內，在這個小網絡區域內可以放置一些必須公開的服務器設施，如企業Web服務器、FTP服務器和論壇等。另一方面，通過這樣一個DMZ區域，更加有效地保護了內部網絡，因為這種網絡部署，比起一般的防火墻方案，對攻擊者來說又多了一道關卡）區。

2.2移動辦公遠程安全接入研究針對部分互聯網移動辦公用戶需要通互聯網安全高效地訪問內部的業務應用系統，本研究建議配置相應的SSLVPN解決方案，它可以實現免VPN客戶維護，又可以保證用戶可以通過互聯網安全高效地訪問廈門軌道交通集團的業務系統。

2.3上網行為管理研究廈門軌道交通集團為了方便員工工作而開通的互聯網專線，員工可自由訪問互聯網資源。但互聯網也暴露出雙刃劍的特性：一方面員工的上網條件得到改善，公司總部組織運營效率得到了較大的提升，隨著業務可持續性要求的不斷提高，也發現網絡給企業帶來很多的安全隱患，互聯網資源被濫用的問題也日益嚴峻。過去，員工通過與同事閑聊來打發上班時間。隨著計算機和互聯網的普及，員工有了更多的選擇，網上購物、與好友聊天、下載手機鈴聲、在線欣賞音樂、下載電影、收發個人郵件、在論壇上舞文弄墨……。只要員工有興趣，他們就能在上班時間盡情享受互聯網帶來的樂趣。很多員工一打開電腦就會開始各種下載工作，包括BT、電騾、迅雷這些網絡資源的“吞噬者”，這些員工在大量下載電影和軟件的同時卻在不停地抱怨網速太慢。這些行為嚴重影響其他員工的正常業務辦公（比如通過互聯網專線上傳一些數據等）。同時，不管員工有意還是無意，他們都能夠而且有辦法去訪問一些對組織網絡基礎設施有害的內容，帶來的病毒、蠕蟲和木馬，均可隨著簡單的鼠標點擊輕而易舉地侵入軌道辦公系統內網。如何在最大利用互聯網優勢的同時，避免以上互聯網資源被濫用所引發的安全隱患及其他各類問題，本研究建議：通過技術設備和規章制度的相結合，根據業務需求規范不同網絡應用優先級，實現網絡流量、帶寬的總體規劃，通過合理規劃并實施流量帶寬分配，保障核心關鍵業務平穩運行，指導員工正確使用單位的網絡資源，從而對局域網的上網行為進行有效管理。本研究建議在廈門軌道交通集團互聯網出口部署上網行為控制設備。通過基于網絡應用類型以及用戶多樣化的帶寬管理需求，將單條物理帶寬劃分為多條虛擬線路實現差異化管理，同時又將每條虛擬線路劃分為多個虛擬子通道來對應管理不同類型的網絡應用（能夠為關鍵業務及應用靜態預留帶寬策略，保證指定帶寬絕不會被其他應用搶占；為指定應用行為提供帶寬限制策略，保障帶寬不會被其濫用；能夠為指定應用的帶寬需求提供動態帶寬保證，即將指定應用未占用的帶寬動態共享給其他應用，最大限度的提高了網絡帶寬的利用率）；通過基于P2P行為特征的智能識別技術，實現對加密的、版本泛濫的、同一版本多次變種的、不常見的P2P應用進行識別，為有效的管控P2P應用；基于內容的網頁智能識別技術，對網站內容進行智能識別，自動學結出某類網站的特征與共性進而對用戶訪問網頁所產生的流量進行差異化管理；基于文件類型的精確識別，有效管控HTTP、FTP文件上傳、下載流量，保證網絡帶寬的合理利用。以此來幫助互聯網用戶控制和管理對互聯網的使用，包括對網頁訪問過濾、網絡應用控制、帶寬流量管理、信息收發審計、用戶行為分析等。通過部署上網行為管理能達到以下效果：（1）入網管理，有效管理上網用戶數量；（2）無線準入機制；（3）設置專門上網的電腦；（4）防止機密信息泄漏和法律違規事件；（5）審計內網用戶發送郵件；（6）審計內網用戶訪問網站；（7）審計內網用戶使用聊天工具的內容；（8）因人而設上網權限；（9）帶寬及流量管理；（10）通過控制P2P流量，限制下載；（11）合理利用帶寬細致劃分與分配帶寬資源。

2.4入侵保護研究依據廈門軌道交通集團未來網絡和相關業務情況分析結果，本研究建議在廈門軌道交通集團內部網絡部署入侵保護系統IPS，以最大化地保護網絡信息安全，減少及有效避免以下安全風險：（1）網絡互連帶來的安全風險由于業務需要，廈門軌道交通集團網絡需連接互聯網，業務或辦公數據在網絡上傳輸，而網絡設備、主機系統都不同程度存在一些安全漏洞，攻擊者可以利用存在的漏洞進行破壞，可能引起數據破壞、業務中斷甚至系統宕機，將嚴重影響廈門軌道交通集團網絡的正常運行。（2）攻擊快速傳播引發的安全風險目前利用漏洞傳播的蠕蟲、病毒、間諜軟件、DDoS攻擊、垃圾郵件等混合威脅越來越多，傳播速度加快，留給人們響應的時間越來越短，使用戶來不及對入侵做出響應，比如蠕蟲爆發將造成廈門軌道交通集團網絡癱瘓。入侵檢測系統IDS雖然能檢測出攻擊行為，但無法有效阻斷攻擊。另外，網絡防病毒系統屬于被動防護，對于新的未知蠕蟲病毒，防病毒軟件無法檢測出。因此如何保證廈門軌道交通集團網絡在安裝最新安全補丁之前，網絡不會被蠕蟲、病毒、黑客等攻擊造成網絡癱瘓。入侵保護系統IPS（IntrusionPreventionSystem）提供一種主動的、實時的防護，其設計旨在對常規網絡流量中的惡意數據包進行檢測，阻止入侵活動，預先對攻擊性的流量進行自動攔截，使它們無法造成損失，而不是簡單地在傳送惡意流量的同時或之后發出警報。IPS是通過直接串聯到網絡鏈路中而實現這一功能的，即IPS接收到外部數據流量時，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進內部網絡。

2.5WEB應用防護研究隨著廈門軌道交通集團將來互聯網業務的應用越來越廣泛，其社會影響力將越來越大，一旦平臺網站被攻擊將無法對外提供服務或被篡改，該情況將對廈門軌道交通集團造成極大的負面影響，因此本研究建議在DMZ區部署針對網頁防篡改的WEB應用防火墻。傳統的邊界安全設備，如防火墻，作為整體安全策略中不可缺少的重要部分，局限于自身的產品定位和防護深度，不能有效地針對Web應用攻擊提供完善的防御能力。因此，廈門軌道交通集團對外服務的網站有必要采用專業的安全防護系統，有效地防止各類攻擊、降低網站安全風險。合理的WEB應用防火墻可以包含事前、事中、事后的事件有效管理。事前，ICEYEWAF提供Web應用漏洞掃描功能，檢測Web應用程序是否存在SQL注入、跨站腳本漏洞。事中，對黑客入侵行為、SQL注入/跨站腳本等各類Web應用攻擊、DDoS攻擊進行有效檢測、阻斷及防護。事后，針對當前的安全熱點問題，網頁篡改及網頁掛馬，提供診斷功能，降低安全風險，維護網站的公信度。

3網管中心研究

健康、穩定的網絡環境，除了需要良好硬件網絡基礎環境，還需要配套后臺的網絡運維管理軟件，此次網管中心網絡運維管理軟件包括補丁及防毒中心、數據備份中心、文檔加密系統及桌面管理系統。

3.1補丁及防毒研究目前絕大多數病毒傳播的途徑是網絡。對于一個網絡系統而言，針對病毒的入侵渠道和病毒集散地進行防護是最有效的防治策略。因此，對每一個病毒可能的入口，部署相應的反病毒軟件，實時檢測其中是否有病毒，是構建一個完整有效反病毒體系的關鍵。來自系統外部（Internet或外網）的病毒入侵：這是目前病毒進入最多的途徑。因此在與外部連接的網關處進行病毒攔截是效率最高，耗費資源最少的措施。可以使進入內部系統的病毒數量大為減少。網絡郵件/群件系統：如果網絡內采用了自己的郵件/群件系統實施辦公和信息自動化，那么一旦有某個用戶感染了病毒，通過郵件方式該病毒將以幾何級數在網絡內迅速傳播，并且很容易導致郵件系統負荷過大而癱瘓。因此在郵件系統上部署反病毒也顯得尤為重要。文件服務器：文件資源共享是網絡提供的基本功能。文件服務器大大提高了資源的重復利用率，并且能對信息進行長期有效的存儲和保護。但是一旦服務器本身感染了病毒，就會對所有的訪問者構成威脅。因此文件服務器也需要設置反病毒保護。終端機：病毒最后的入侵途徑就是最終的桌面用戶。隨著智能手機、隨著各種網絡應用的增多，智能手機和筆記本計算機的普及，網絡邊界逐漸消失，網絡結構趨于開放；由于網絡共享的便利性，某個感染病毒的桌面機可能隨時會感染其它的機器，或是被種上了黑客程序而向外傳送機密文件。因此在網絡內對所有的客戶機進行防毒控制也是非常重要的。本研究建議廈門軌道集團本部部署補丁及防毒中心，通過補丁及防毒中心統一管理及控制集團內所有終端機及服務器的補丁審批及病毒庫更新。

3.2數據備份研究鑒于IT網絡環境的不穩定性，及可能發生的硬件損壞、人為誤操作、存儲故障等造成的數據損壞和業務停頓，或火災、地震等自然災害帶來的毀滅性破壞，信息系統的安全保障也提出新的要求：系統的數據、文件等需要得到妥善的保護，丟失后要能快速恢復；電子檔案資料要實現歸檔并能在異地保存。因此本研究建議廈門軌道集團本部部署數據備份中心，數據備份中心除了提供備份軟件外，還需配套專用的磁盤備份設備，為集團提供集備份、容災和存儲為一體的創新型備份存儲方案。通過部署數據中心以期能達到以下效果：從PC到Windows到Linux和Unix服務器環境的集中備份，并采用NAS、IPSAN和FCSAN多種存儲架構相結合的方式滿足用戶數據共享和集中存儲的需求。

3.3文檔加密研究行政辦公文檔、經營文檔、技術文檔三類文檔在企業運作活動中密不可分又相對獨立。如：研發類的技術文檔希望在技術體系內部使用，不能輕易流轉到行政管理部門，而企業經營文檔，特別是一些敏感的經營信息，只能在受控的少數經營部門，如：財務、總辦等部門使用。文檔如何在本體系內充分共享，支撐業務活動，同時又受控地流轉到其它部門，是文檔安全保護需要重點解決的問題。另外，任何企業和外部有千絲萬縷的聯系，如：行政監管部門、客戶、供應商等，如何能將相關地文檔和外部合作伙伴交換，同時保證其安全性，也是文檔安全管理要解決的問題。在行政辦公文檔、經營文檔、技術文檔相關的體系內部，文檔的安全保護也必須考慮文檔的日常使用和流轉、文檔管理規范的遵守和落實、文檔保護相關的技術手段等方面的統一協調，達到安全和效率的平衡，即對文檔進行適當的保護又不影響企業正常的業務運作。達到這一定，必須充分考慮文檔操作流程、文檔管控措施、文檔保護技術手段的要求，使三者有機地融合在一起。因此本研究建議在廈門軌道交通集團部署文檔加密系統，以期能達成以下效果：客戶端動態加解密區域文件復制或保存時自動強制加密。文件打開時自動解密。對用戶來說，該過程是完全透明的，不改變用戶的使用習慣。無論是另存為其他文件格式，還是使用進程名欺騙的方式都能對文檔有效加密。無論通過存儲（USB、光盤、軟驅、ZIP盤等）或網絡（Email、FTP、Windows共享等）或是其它傳輸介質與方法（紅外、藍牙等），均在保護范疇內。（1）拷貝粘貼及拖拽控制：允許從外部復制進受控文檔，但不允許從受控文檔向外復制粘貼（包括郵件或者即時通訊工具），用戶在受控文檔間的拷貝粘貼、拖拽均可正常使用。（2）文檔權限管理：文檔具有閱讀、編輯、打印的權限控制。對外發文檔除了上述功能外還需加上時間限制以及次數限制功能，該文檔超過一定時間或打開次數就無法再使用，而且對于作者可實行再授權功能。用戶端對文檔的任何操作都有詳細的操作日志，其檢索功能對文檔的非法操作能快速定位。用戶終端的自我防護、客戶端程序及加解密模塊不能輕易的在非認證或授權的情況下被終止或激活。系統能控制客戶端的打印、截屏、錄屏等功能，但此功能僅限于對受保護的文檔進行控制，而非受保護的文件使用還是靈活的。員工因工需要挾帶筆記本出差或在出差過程中需要對一些密文解密外發時系統應提供一套完整的離線管理和解決方法。

3.4桌面管理研究在現代企業環境下，一個IT的管理部門需要花費大量的人力物力來維護企業的計算機運行環境。同時，由于計算機設備的更新和變化，財務部門對企業的計算機設備的管理和統計經常處于一種無序及手工統計的狀態，當設備更新頻繁時，原本的設備管理記錄往往由于管理的滯后和對實際情況的掌握程度不夠無法及時更新，從而造成設備管理的混亂還會造成時間的遲滯，影響企業的運行效率，給企業帶來損失。如何解決這些痛苦的管理問題？您需要一套高效和易于使用的桌面管理解決方案。本研究建議在廈門軌道交通集團內部署桌面管理系統，通過部署該系統以期能達到以下效果。（1）資產管理軟硬件資產信息收集，動態掌握全網IT資產現狀可定義的資產變更警報，可以全面監控客戶端的IT資產與配置的變化，例如，客戶端的內存、硬盤的變化，以及IP地址的變化等等，避免企業IT資產的流失。全面的資產報告，集成超過120種報表，并使用最新的自定義報告引擎，使創建自定義報表更加方便。便于資產統計、盤點。（2）遠程支持幫助管理員對被管理設備進行遠程支持，減少大量的現場支持及電話支持工作，提高服務支持的響應速度。集成多種桌面支持工具，包括：遠程控制、遠程對話、遠程文件傳輸、遠程執行、遠程重啟、遠程關機、遠程桌面畫圖等等。可根據網絡帶寬憂化的遠程桌面支持，節省企業遠程支持費用。（3）軟件分發向跨網絡的大批客戶端進行軟件（辦公及應用軟件）的遠程安裝或卸載；幫助企業進行軟件的統一部署、升級、維護。支持應用軟件修復，使用戶的業務可持續運行。支持“推”和“拉”的兩種軟件分發方式。支持軟件分發的斷點續傳。支持任務完成，保證任務執行的完整性。支持軟件分發向導，使軟件分發更加簡單。自帶軟件差異打包工具和腳本編輯工具。（4）操作系統分發和配置遷移對遠程客戶端進行硬盤映像的捕獲或部署，實現硬盤備份/恢復，支持多種操作系統映像分發格式：Ghost、Image、PowerQuest等等。支持操作系統的配置遷移：從Windows98/2000向WindowsXP/2003遷移。用戶帳戶信息；應用程序設置，模板及關聯文件；桌面設置（MyDocs；映射的驅動器；打印機；壁紙；屏幕設置等）。支持裸機的操作系統分發，可幫助客戶為批量裸機快速部署操作系統及應用程序。

4結束語

本研究通過對廈門軌道集團臨時辦公樓的具體網絡需求進行調研，結合具體網絡規模用戶數需求，借鑒大集團辦公網絡相關規范，研究廈門軌道交通集團的網絡系統基礎架構，并考慮網絡未來的可擴展性。但我也認識到，隨著廈門軌道交通集團將來互聯網業務的應用越來越廣泛，對應的網絡系統使用及防護需求亦不斷變化，因此對于集團網絡系統基礎架構的研究工作也將任重而道遠，該研究只有起點沒有終點。

作者：盧志勇單位：廈門市路橋信息工程有限公司