【正文】 研、經濟、教育等各個領域，也不可避免地改變著傳統(tǒng)的企業(yè)人事的工作模式，利用當前蓬勃發(fā)展的以計算機和網絡為主導的現代信息技術則是企業(yè)實現現代化工作的必不可少的技術基礎。 在現今的網絡建設中 ，企業(yè)網的建設是非常重 要的，企業(yè)網內部各種不同業(yè)務的開展是企業(yè)網發(fā)展迅速的最主要原因。提供 網絡 安全機制，滿足 公司 信息安全的要求 ， 具有較高的性價比 ， 未來升級擴展容易，保護用戶投資 ； 用戶使用簡單、維護容易 ，為用戶提供 良好的售后服務 。； UPS 電源的配備，配置要保證網絡中所有的服務器、交換機、路由器、集線器等設備的連續(xù)、正常地運轉；網絡帶寬的分配：應根據所屬單位網絡的信息流量情況合理分配網段，以充分利用網絡帶寬，提高網絡的運行效率?？晒芾硇裕合到y(tǒng)中應提供盡量多的管理方式和管理工具，便于系統(tǒng)管理員在任何位置方便的對整個系統(tǒng)進行管理 。允許網絡集成，使用三層交換來代替路由，能實現與廣域網的集成功能；網絡中使用的設備、技術和協議完全符合國際通用的標準，兼容現有的網絡環(huán)境，提供良好的互聯性；要求網絡提供足夠的帶寬，豐富的接口形式，滿足用戶對應用帶寬的基本要求，并保留一定的余量供擴展使用，最大可能地降低網絡傳輸延遲；要求網絡有很高的可靠性、穩(wěn)定性及冗余，網絡能夠提供良好的安全性策略，能避免內部操作失誤造成的損害和來自外部的惡意攻擊。網絡設備在滿足功能與性能的基礎上必須具有良好的 性價比 。美國電氣和電子工程師協會（ IEEE）局域網標準委員會員會曾提出局域網的一些具體特征： 局域網在通信距離有一定的限制，一般在 1~2Km 的地域范圍內。 局域網一般是一個單位或部門專用的 ，所以管理起很方便。不同的網絡，層的名字、數量、內容和功能都不盡相同。 OSI 是開放系統(tǒng)互連基本 參 考 模型 OSI/RM（ Open System Interconnection Reference Model）縮寫，它被分成 7 層，這 7 個層次分別定義了不同的功能。 TCP/IP協議 TCP/IP 協議是目前在網絡中應用得最廣泛的協議， ICP/IP 實際上是一個關于 Inter 的標準，并隨著的 Inter 廣泛應用而風靡全球，它也成為局域網的首選協議。 UDP 不進行流量控制，沒有序列或者確認，因此它處理和傳輸數據的速度快，還被用來傳輸關鍵的網絡狀態(tài)消息。 (HTTP) HTTP(HyperText Transfer Protocol ),超文本傳輸協議 )是 WWW 瀏覽器和 WWW服務器之 間的應用層協議，是用于分布式協作超文本信息系統(tǒng)的、通用的、面向對象的協議， HTTP 協議還是基于 TCP/IP 協議之上的應用層協。 8 設計原則 先進性 ：采用主流網絡體系、運行系統(tǒng)和設備產品 我們設計的網絡方案采用三層分布式結構。 服務器設備 采用 曙光服務器，網絡操作系統(tǒng)采用 WINDOWS SERVER 2020 操作系統(tǒng) ；具有很好的安全性。 容錯技術采用：雙工磁盤技術 在網絡系統(tǒng)上建立起兩套同樣的且同步工作的文件服務 器 ,如果其中一個出現故障 ,另一個將立即自動投入系統(tǒng) ,接替發(fā)生故障的文件服務器的全部工作。 開放性 本次設計的中央集成管理系統(tǒng)將是一個完全開放性的系統(tǒng) ,通過編制系統(tǒng)的接口軟件將解決不同系統(tǒng)和產品間接口協議的 “ 標準化 ”, 以使他們之間具備“ 互操作性 ” 。 安全分析 接入模塊 擁有公共地址的服務器是最容易被攻擊的。 防火墻為通過防火墻發(fā)起的會話提供了連接狀態(tài)執(zhí)行操作以及詳細的過濾。為了緩解這種攻擊，具體的過濾將防止公共服務器向其他任何地點發(fā)出任何未授權請 10 求。 企業(yè) 內部 局域網模塊 交換機的主要功能是交換生產與管理信息流并為公司和管理服務器以及用戶提供 連接。低端路由器主要適用中小辦公網絡的應用，考慮的一個主要因素是端口數量，另外還要看包交換能力和 NAT 轉換能力。 接入層 交換機采用擁有千兆端口的可網管交換機實現與 核心路由器 的高速連接，避免可能產生的網絡瓶頸。硬件防火墻的硬件和軟件都單獨進行設計，有專用網絡芯片處理數據包。 WWW 服務器：是網絡運行的核心服務器，通常兼作域名服務器、 FTP 服務器。 公網 IP 地址數 由于對外服務器要求有固定的公網 IP 地址，路由器也要求有固定的公網 IP地址，以及 NAT 地址池也需要有固定的公網 IP 地址，因此，必須向 ISP 提供商申請一定數量的公網 IP 地址，對于 中、 小型網絡來講， 8 個勉強可以，對于大型局域網來說，要求 16 個以上才能夠用。 、 使用 VLAN 技術 的優(yōu) 點 可以控制網絡廣播 在沒有應用 VLAN 技術的局域網內的整個網絡都是廣播域，這樣就使得網內的一臺設備發(fā)出網絡廣播時，在局域網內的任何一臺設備的借口都能接收到廣播，因此當網絡內的設備越來越多時，網絡上的廣播也就越來越多，占用的時間和資源也就越來越多，當廣播多到一定的數量時，就會影響到正常的信息的傳送。還有就是在 公司的局域網中各個部門要求的安全等級是不一樣的，例如 公司財務處 和 公司其他部門 之間的網絡就有著不一樣的訪問者和用戶，因此我們可以應用 VLAN 技術把 財務處和公司的其他 網絡分到不同的工作組中。 基于端口的劃分方法 這種劃分 VLAN 的方法是根據以太網交換機的端口來劃分，比如 Cisco 48 口交換機 的 114 端口為 VLAN1， 1527 為 VLAN1， 2848 為 VLAN1，當然，這些屬于同一 VLAN 的端口可以不連續(xù)，如何配置，如果有多個交換機，例如，可以指定交換機 l 的 l8 端口和交換機 2 的 17 端口為同一 VLAN，即同一 VLAN 可以跨越數個以太網交換機，根據端口劃分是目前定義 VLAN 的最廣泛應用的方法， IEEE 規(guī)定了依據以太網交換機的端口來劃分 VLAN 的國際標準。 基于 MAC 地址的劃分方法 這種方法劃分 VLAN，要求交換機對站點的 MAC 地址進行跟蹤，在新站點入網時．需要把它添加到相應的 VLAN 中。 基于網絡協議的劃分 VLAN 按網絡層協議來劃分 ,可分為 IP、 IPX、 DEC、 AppleTalk、 Banyan等 VLAN 網絡。 這種方法的優(yōu)點是用戶的物理位置改變了，不需要重新配置所屬的 VLAN， 14 而且可以根據協議類型來劃分 VLAN，這對網絡管理者來說很重要，還有，這種方法不需要附加的幀標簽來識別 VLAN，這樣可以減少網絡的通信量。設備選型是網絡工程中非常重要的一環(huán)，設備選型的好壞直接影響系統(tǒng)的實用性、穩(wěn)定性、可靠性和系統(tǒng)的費用。 （ 2）擴展性考慮 ： 在網絡的層次結構中，主干設備選擇應預留一定的能力，以便對系統(tǒng)進行擴充和改進。無論是雙絞線網絡、同軸電纜網絡還是光纜網絡，都必須借助于相應類型的網卡才能實現與計算機的連接，是計算機與局域網相互連接的惟一接口。從目前校園網建設的實際情況來看，工作站網卡選擇 PCI 總線的 10M/100Mbit/s 自適應網卡最適合。交換機具有很強的網絡管理功能，它能自動根據網絡通信的使用情況來動態(tài)管理網絡，因為交換機采用了獨享網絡帶寬的設計。路由器工作在網絡層，因此它可以在網絡層交換和路由數據幀，訪問的是對方的網絡地址。 同軸電纜 同軸電纜以硬銅線為芯，外包一層絕緣材料。它們的區(qū)別在于粗同軸電纜屏蔽更好，能傳輸更遠的距離。把兩根絕緣的銅導線按一定密度互相絞在一起，可降低信號干擾的程度，每一根導線在傳輸中輻射的電波會被另一根線上發(fā)出的電波抵消，與其他傳輸介質相比，雙絞線在傳輸距離、信道寬度和數據傳輸速度等方面均受到一定限 制，但價格較為低廉。單模光纖的纖芯直徑很小，在給定的工作波長上只能以單一模式傳輸，傳輸頻帶寬，傳輸容量大。 網絡地址轉化 （ NAT）技術分析 網絡地址轉換是一種用于把 IP地址轉換成臨時的 ,外部的 ,注冊的 IP地址標準 .它允許具有私有 IP 地址的內部網絡訪問因特網 .它還意味著用戶不許要為其網絡中每一臺機器取得注冊的 IP 地址 . 在內部網絡通過安全 網卡訪問外部網絡時 ,將產生一個映射記錄 .系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口 ,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接 ,這樣對外就隱藏了真實的內部網絡地址 .在外部網絡通過非安全網卡訪問內部網絡時 ,它并不知道內部網絡的連接情況 ,而只是通過一個開放的 IP地址和端口來請求訪問 .OLM防火墻根據預先定義好的映射規(guī)則來判斷這個訪問是否安全 .當符合規(guī)則時 ,防火墻認為訪問是安全的 ,可以接受訪問請求 ,也可以將連接請求映射到不同的內部計算機中 .當不符合規(guī)則時 ,防火墻認為該訪問是不安全的 ,不能被接受 ,防火墻將屏蔽外部的連接請求 .網絡地址轉換的過程對于用戶來說是透明的 ,不需要用戶進行設置 ,用戶只要進行常規(guī)操作即可 . 第 三 章、局域網規(guī)劃設計方案 網絡拓撲結構選擇 現在應用最廣泛的拓撲結構有總線型、環(huán)型和星型拓撲三種。它的優(yōu)點是連接簡單 ,易布線 ,不用中斷設備 ,成本較低 ,是最常 18 用的局域網拓補結構之一。 交換機 是網絡的中央布線中心 ,各計算機通過 交換機 和其它計算機通信 ,星 形網絡也稱為集中式網絡。采用星型結構的網絡有 10BaseT 以太網 ,100BaseT 以太網 ,令牌環(huán)網 ,FDDI 網絡 CDDI 網絡 ,ATM 網。這種結構的特點是：連接費用較低 ,比較適合家庭等小型網絡的連接；每臺微機都相同于一個中斷器；要新增用戶比較困難；網絡的可靠性差 ,不易管理采用環(huán)狀拓補結構的網絡的有。本企業(yè)網設計方案主要由以下幾部分組成：交換模塊、廣域網接入模塊、服務器模塊，整個網絡系統(tǒng)的拓撲結構圖如下所示： 19 企業(yè)網整體拓撲結構圖 VLAN 及 IP 地址規(guī)劃 在一個大、中型網絡里， VLAN 的劃分是必不可少的步驟之一。憑借一系列快速以太網和千兆位以太網配置， Cisco Catalyst 3550 系列堪稱一款適用于企業(yè)接入應用的強大選擇。 c、 外部訪問網絡采用 CISCO2811 路由器和 CISCO 專用防火墻（配置 1000M光電模塊） 路由器采用 Cisco 2811 路由器， Cisco 2811 路由器包含兩個同步 Serial口與 2 個以太網接口， 支持 傳輸速率 是 10/100Mbps，同時還包括一個控制口和一個輔助端口，用于遠程和本地管理、軟件的安裝等 ,支持 Qos 接口 Console 具有 內置防火墻 功能；采用 CISCO 專用防火墻 。 一個網絡的安全，首先要有嚴格和有效執(zhí)行的管理制度。 通過以下幾個技術方面的實施，可以在一定程度上保障網絡的安全： ? 提高設備的物理安全性 ? 配置設備的口令 ? 進行 VTP 域的認證 ? 園區(qū)網用戶的接入控制 ? 應用系統(tǒng)的訪問控制 ? 因特網的接入安全控制 ⑴ 提高設備的物理安全性