【正文】 研、經(jīng)濟(jì)、教育等各個(gè)領(lǐng)域，也不可避免地改變著傳統(tǒng)的企業(yè)人事的工作模式，利用當(dāng)前蓬勃發(fā)展的以計(jì)算機(jī)和網(wǎng)絡(luò)為主導(dǎo)的現(xiàn)代信息技術(shù)則是企業(yè)實(shí)現(xiàn)現(xiàn)代化工作的必不可少的技術(shù)基礎(chǔ)。 在現(xiàn)今的網(wǎng)絡(luò)建設(shè)中 ，企業(yè)網(wǎng)的建設(shè)是非常重 要的，企業(yè)網(wǎng)內(nèi)部各種不同業(yè)務(wù)的開展是企業(yè)網(wǎng)發(fā)展迅速的最主要原因。提供 網(wǎng)絡(luò) 安全機(jī)制，滿足 公司 信息安全的要求 ， 具有較高的性價(jià)比 ， 未來升級擴(kuò)展容易，保護(hù)用戶投資 ； 用戶使用簡單、維護(hù)容易 ，為用戶提供 良好的售后服務(wù) 。； UPS 電源的配備，配置要保證網(wǎng)絡(luò)中所有的服務(wù)器、交換機(jī)、路由器、集線器等設(shè)備的連續(xù)、正常地運(yùn)轉(zhuǎn)；網(wǎng)絡(luò)帶寬的分配：應(yīng)根據(jù)所屬單位網(wǎng)絡(luò)的信息流量情況合理分配網(wǎng)段，以充分利用網(wǎng)絡(luò)帶寬，提高網(wǎng)絡(luò)的運(yùn)行效率。可管理性：系統(tǒng)中應(yīng)提供盡量多的管理方式和管理工具，便于系統(tǒng)管理員在任何位置方便的對整個(gè)系統(tǒng)進(jìn)行管理 。允許網(wǎng)絡(luò)集成，使用三層交換來代替路由，能實(shí)現(xiàn)與廣域網(wǎng)的集成功能；網(wǎng)絡(luò)中使用的設(shè)備、技術(shù)和協(xié)議完全符合國際通用的標(biāo)準(zhǔn)，兼容現(xiàn)有的網(wǎng)絡(luò)環(huán)境，提供良好的互聯(lián)性；要求網(wǎng)絡(luò)提供足夠的帶寬，豐富的接口形式，滿足用戶對應(yīng)用帶寬的基本要求，并保留一定的余量供擴(kuò)展使用，最大可能地降低網(wǎng)絡(luò)傳輸延遲；要求網(wǎng)絡(luò)有很高的可靠性、穩(wěn)定性及冗余，網(wǎng)絡(luò)能夠提供良好的安全性策略，能避免內(nèi)部操作失誤造成的損害和來自外部的惡意攻擊。網(wǎng)絡(luò)設(shè)備在滿足功能與性能的基礎(chǔ)上必須具有良好的 性價(jià)比 。美國電氣和電子工程師協(xié)會（ IEEE）局域網(wǎng)標(biāo)準(zhǔn)委員會員會曾提出局域網(wǎng)的一些具體特征： 局域網(wǎng)在通信距離有一定的限制，一般在 1~2Km 的地域范圍內(nèi)。 局域網(wǎng)一般是一個(gè)單位或部門專用的 ，所以管理起很方便。不同的網(wǎng)絡(luò)，層的名字、數(shù)量、內(nèi)容和功能都不盡相同。 OSI 是開放系統(tǒng)互連基本 參 考 模型 OSI/RM（ Open System Interconnection Reference Model）縮寫，它被分成 7 層，這 7 個(gè)層次分別定義了不同的功能。 TCP/IP協(xié)議 TCP/IP 協(xié)議是目前在網(wǎng)絡(luò)中應(yīng)用得最廣泛的協(xié)議， ICP/IP 實(shí)際上是一個(gè)關(guān)于 Inter 的標(biāo)準(zhǔn)，并隨著的 Inter 廣泛應(yīng)用而風(fēng)靡全球，它也成為局域網(wǎng)的首選協(xié)議。 UDP 不進(jìn)行流量控制，沒有序列或者確認(rèn)，因此它處理和傳輸數(shù)據(jù)的速度快，還被用來傳輸關(guān)鍵的網(wǎng)絡(luò)狀態(tài)消息。 (HTTP) HTTP(HyperText Transfer Protocol ),超文本傳輸協(xié)議 )是 WWW 瀏覽器和 WWW服務(wù)器之 間的應(yīng)用層協(xié)議，是用于分布式協(xié)作超文本信息系統(tǒng)的、通用的、面向?qū)ο蟮膮f(xié)議， HTTP 協(xié)議還是基于 TCP/IP 協(xié)議之上的應(yīng)用層協(xié)。 8 設(shè)計(jì)原則 先進(jìn)性 ：采用主流網(wǎng)絡(luò)體系、運(yùn)行系統(tǒng)和設(shè)備產(chǎn)品 我們設(shè)計(jì)的網(wǎng)絡(luò)方案采用三層分布式結(jié)構(gòu)。 服務(wù)器設(shè)備 采用 曙光服務(wù)器，網(wǎng)絡(luò)操作系統(tǒng)采用 WINDOWS SERVER 2020 操作系統(tǒng) ；具有很好的安全性。 容錯(cuò)技術(shù)采用：雙工磁盤技術(shù) 在網(wǎng)絡(luò)系統(tǒng)上建立起兩套同樣的且同步工作的文件服務(wù) 器 ,如果其中一個(gè)出現(xiàn)故障 ,另一個(gè)將立即自動投入系統(tǒng) ,接替發(fā)生故障的文件服務(wù)器的全部工作。 開放性 本次設(shè)計(jì)的中央集成管理系統(tǒng)將是一個(gè)完全開放性的系統(tǒng) ,通過編制系統(tǒng)的接口軟件將解決不同系統(tǒng)和產(chǎn)品間接口協(xié)議的 “ 標(biāo)準(zhǔn)化 ”, 以使他們之間具備“ 互操作性 ” 。 安全分析 接入模塊 擁有公共地址的服務(wù)器是最容易被攻擊的。 防火墻為通過防火墻發(fā)起的會話提供了連接狀態(tài)執(zhí)行操作以及詳細(xì)的過濾。為了緩解這種攻擊，具體的過濾將防止公共服務(wù)器向其他任何地點(diǎn)發(fā)出任何未授權(quán)請 10 求。 企業(yè) 內(nèi)部 局域網(wǎng)模塊 交換機(jī)的主要功能是交換生產(chǎn)與管理信息流并為公司和管理服務(wù)器以及用戶提供 連接。低端路由器主要適用中小辦公網(wǎng)絡(luò)的應(yīng)用，考慮的一個(gè)主要因素是端口數(shù)量，另外還要看包交換能力和 NAT 轉(zhuǎn)換能力。 接入層 交換機(jī)采用擁有千兆端口的可網(wǎng)管交換機(jī)實(shí)現(xiàn)與 核心路由器 的高速連接，避免可能產(chǎn)生的網(wǎng)絡(luò)瓶頸。硬件防火墻的硬件和軟件都單獨(dú)進(jìn)行設(shè)計(jì)，有專用網(wǎng)絡(luò)芯片處理數(shù)據(jù)包。 WWW 服務(wù)器：是網(wǎng)絡(luò)運(yùn)行的核心服務(wù)器，通常兼作域名服務(wù)器、 FTP 服務(wù)器。 公網(wǎng) IP 地址數(shù) 由于對外服務(wù)器要求有固定的公網(wǎng) IP 地址，路由器也要求有固定的公網(wǎng) IP地址，以及 NAT 地址池也需要有固定的公網(wǎng) IP 地址，因此，必須向 ISP 提供商申請一定數(shù)量的公網(wǎng) IP 地址，對于 中、 小型網(wǎng)絡(luò)來講， 8 個(gè)勉強(qiáng)可以，對于大型局域網(wǎng)來說，要求 16 個(gè)以上才能夠用。 、 使用 VLAN 技術(shù) 的優(yōu) 點(diǎn) 可以控制網(wǎng)絡(luò)廣播 在沒有應(yīng)用 VLAN 技術(shù)的局域網(wǎng)內(nèi)的整個(gè)網(wǎng)絡(luò)都是廣播域，這樣就使得網(wǎng)內(nèi)的一臺設(shè)備發(fā)出網(wǎng)絡(luò)廣播時(shí)，在局域網(wǎng)內(nèi)的任何一臺設(shè)備的借口都能接收到廣播，因此當(dāng)網(wǎng)絡(luò)內(nèi)的設(shè)備越來越多時(shí)，網(wǎng)絡(luò)上的廣播也就越來越多，占用的時(shí)間和資源也就越來越多，當(dāng)廣播多到一定的數(shù)量時(shí)，就會影響到正常的信息的傳送。還有就是在 公司的局域網(wǎng)中各個(gè)部門要求的安全等級是不一樣的，例如 公司財(cái)務(wù)處 和 公司其他部門 之間的網(wǎng)絡(luò)就有著不一樣的訪問者和用戶，因此我們可以應(yīng)用 VLAN 技術(shù)把 財(cái)務(wù)處和公司的其他 網(wǎng)絡(luò)分到不同的工作組中。 基于端口的劃分方法 這種劃分 VLAN 的方法是根據(jù)以太網(wǎng)交換機(jī)的端口來劃分，比如 Cisco 48 口交換機(jī) 的 114 端口為 VLAN1， 1527 為 VLAN1， 2848 為 VLAN1，當(dāng)然，這些屬于同一 VLAN 的端口可以不連續(xù)，如何配置，如果有多個(gè)交換機(jī)，例如，可以指定交換機(jī) l 的 l8 端口和交換機(jī) 2 的 17 端口為同一 VLAN，即同一 VLAN 可以跨越數(shù)個(gè)以太網(wǎng)交換機(jī)，根據(jù)端口劃分是目前定義 VLAN 的最廣泛應(yīng)用的方法， IEEE 規(guī)定了依據(jù)以太網(wǎng)交換機(jī)的端口來劃分 VLAN 的國際標(biāo)準(zhǔn)。 基于 MAC 地址的劃分方法 這種方法劃分 VLAN，要求交換機(jī)對站點(diǎn)的 MAC 地址進(jìn)行跟蹤，在新站點(diǎn)入網(wǎng)時(shí)．需要把它添加到相應(yīng)的 VLAN 中。 基于網(wǎng)絡(luò)協(xié)議的劃分 VLAN 按網(wǎng)絡(luò)層協(xié)議來劃分 ,可分為 IP、 IPX、 DEC、 AppleTalk、 Banyan等 VLAN 網(wǎng)絡(luò)。 這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置所屬的 VLAN， 14 而且可以根據(jù)協(xié)議類型來劃分 VLAN，這對網(wǎng)絡(luò)管理者來說很重要，還有，這種方法不需要附加的幀標(biāo)簽來識別 VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。設(shè)備選型是網(wǎng)絡(luò)工程中非常重要的一環(huán)，設(shè)備選型的好壞直接影響系統(tǒng)的實(shí)用性、穩(wěn)定性、可靠性和系統(tǒng)的費(fèi)用。 （ 2）擴(kuò)展性考慮 ： 在網(wǎng)絡(luò)的層次結(jié)構(gòu)中，主干設(shè)備選擇應(yīng)預(yù)留一定的能力，以便對系統(tǒng)進(jìn)行擴(kuò)充和改進(jìn)。無論是雙絞線網(wǎng)絡(luò)、同軸電纜網(wǎng)絡(luò)還是光纜網(wǎng)絡(luò)，都必須借助于相應(yīng)類型的網(wǎng)卡才能實(shí)現(xiàn)與計(jì)算機(jī)的連接，是計(jì)算機(jī)與局域網(wǎng)相互連接的惟一接口。從目前校園網(wǎng)建設(shè)的實(shí)際情況來看，工作站網(wǎng)卡選擇 PCI 總線的 10M/100Mbit/s 自適應(yīng)網(wǎng)卡最適合。交換機(jī)具有很強(qiáng)的網(wǎng)絡(luò)管理功能，它能自動根據(jù)網(wǎng)絡(luò)通信的使用情況來動態(tài)管理網(wǎng)絡(luò)，因?yàn)榻粨Q機(jī)采用了獨(dú)享網(wǎng)絡(luò)帶寬的設(shè)計(jì)。路由器工作在網(wǎng)絡(luò)層，因此它可以在網(wǎng)絡(luò)層交換和路由數(shù)據(jù)幀，訪問的是對方的網(wǎng)絡(luò)地址。 同軸電纜 同軸電纜以硬銅線為芯，外包一層絕緣材料。它們的區(qū)別在于粗同軸電纜屏蔽更好，能傳輸更遠(yuǎn)的距離。把兩根絕緣的銅導(dǎo)線按一定密度互相絞在一起，可降低信號干擾的程度，每一根導(dǎo)線在傳輸中輻射的電波會被另一根線上發(fā)出的電波抵消，與其他傳輸介質(zhì)相比，雙絞線在傳輸距離、信道寬度和數(shù)據(jù)傳輸速度等方面均受到一定限 制，但價(jià)格較為低廉。單模光纖的纖芯直徑很小，在給定的工作波長上只能以單一模式傳輸，傳輸頻帶寬，傳輸容量大。 網(wǎng)絡(luò)地址轉(zhuǎn)化 （ NAT）技術(shù)分析 網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把 IP地址轉(zhuǎn)換成臨時(shí)的 ,外部的 ,注冊的 IP地址標(biāo)準(zhǔn) .它允許具有私有 IP 地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng) .它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的 IP 地址 . 在內(nèi)部網(wǎng)絡(luò)通過安全 網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí) ,將產(chǎn)生一個(gè)映射記錄 .系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口 ,讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接 ,這樣對外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址 .在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí) ,它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況 ,而只是通過一個(gè)開放的 IP地址和端口來請求訪問 .OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全 .當(dāng)符合規(guī)則時(shí) ,防火墻認(rèn)為訪問是安全的 ,可以接受訪問請求 ,也可以將連接請求映射到不同的內(nèi)部計(jì)算機(jī)中 .當(dāng)不符合規(guī)則時(shí) ,防火墻認(rèn)為該訪問是不安全的 ,不能被接受 ,防火墻將屏蔽外部的連接請求 .網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的 ,不需要用戶進(jìn)行設(shè)置 ,用戶只要進(jìn)行常規(guī)操作即可 . 第 三 章、局域網(wǎng)規(guī)劃設(shè)計(jì)方案 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)選擇 現(xiàn)在應(yīng)用最廣泛的拓?fù)浣Y(jié)構(gòu)有總線型、環(huán)型和星型拓?fù)淙N。它的優(yōu)點(diǎn)是連接簡單 ,易布線 ,不用中斷設(shè)備 ,成本較低 ,是最常 18 用的局域網(wǎng)拓補(bǔ)結(jié)構(gòu)之一。 交換機(jī) 是網(wǎng)絡(luò)的中央布線中心 ,各計(jì)算機(jī)通過 交換機(jī) 和其它計(jì)算機(jī)通信 ,星 形網(wǎng)絡(luò)也稱為集中式網(wǎng)絡(luò)。采用星型結(jié)構(gòu)的網(wǎng)絡(luò)有 10BaseT 以太網(wǎng) ,100BaseT 以太網(wǎng) ,令牌環(huán)網(wǎng) ,FDDI 網(wǎng)絡(luò) CDDI 網(wǎng)絡(luò) ,ATM 網(wǎng)。這種結(jié)構(gòu)的特點(diǎn)是：連接費(fèi)用較低 ,比較適合家庭等小型網(wǎng)絡(luò)的連接；每臺微機(jī)都相同于一個(gè)中斷器；要新增用戶比較困難；網(wǎng)絡(luò)的可靠性差 ,不易管理采用環(huán)狀拓補(bǔ)結(jié)構(gòu)的網(wǎng)絡(luò)的有。本企業(yè)網(wǎng)設(shè)計(jì)方案主要由以下幾部分組成：交換模塊、廣域網(wǎng)接入模塊、服務(wù)器模塊，整個(gè)網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖如下所示： 19 企業(yè)網(wǎng)整體拓?fù)浣Y(jié)構(gòu)圖 VLAN 及 IP 地址規(guī)劃 在一個(gè)大、中型網(wǎng)絡(luò)里， VLAN 的劃分是必不可少的步驟之一。憑借一系列快速以太網(wǎng)和千兆位以太網(wǎng)配置， Cisco Catalyst 3550 系列堪稱一款適用于企業(yè)接入應(yīng)用的強(qiáng)大選擇。 c、 外部訪問網(wǎng)絡(luò)采用 CISCO2811 路由器和 CISCO 專用防火墻（配置 1000M光電模塊） 路由器采用 Cisco 2811 路由器， Cisco 2811 路由器包含兩個(gè)同步 Serial口與 2 個(gè)以太網(wǎng)接口， 支持 傳輸速率 是 10/100Mbps，同時(shí)還包括一個(gè)控制口和一個(gè)輔助端口，用于遠(yuǎn)程和本地管理、軟件的安裝等 ,支持 Qos 接口 Console 具有 內(nèi)置防火墻 功能；采用 CISCO 專用防火墻 。 一個(gè)網(wǎng)絡(luò)的安全，首先要有嚴(yán)格和有效執(zhí)行的管理制度。 通過以下幾個(gè)技術(shù)方面的實(shí)施，可以在一定程度上保障網(wǎng)絡(luò)的安全： ? 提高設(shè)備的物理安全性 ? 配置設(shè)備的口令 ? 進(jìn)行 VTP 域的認(rèn)證 ? 園區(qū)網(wǎng)用戶的接入控制 ? 應(yīng)用系統(tǒng)的訪問控制 ? 因特網(wǎng)的接入安全控制 ⑴ 提高設(shè)備的物理安全性