【正文】 是備份路由器的機(jī)制，并指定一個(gè)虛擬的 IP 地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。由于涉及的建筑物較多，規(guī)模較大，應(yīng)此將其定位為智能化園區(qū)綜合布線系統(tǒng)。針對(duì)以上要求 ,對(duì)計(jì)算機(jī)內(nèi)網(wǎng)綜合布線系統(tǒng)提出自己的解決方案。 (3) 內(nèi)、外網(wǎng)隔離 過硬盤隔離卡及雙布線系統(tǒng)、雙網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)辦公內(nèi)網(wǎng)與外網(wǎng)隔離。本系統(tǒng) 基于 思科的 GNS3 平臺(tái)，用思科命令開發(fā) ， 使用各種相關(guān)技術(shù)，如 IPSEC VPN ,HSRP 等，實(shí)現(xiàn)各部門的功能，能夠運(yùn)用在實(shí)際開發(fā)中，模擬平臺(tái)與實(shí)際基本無差別，所以說在技術(shù)上是可行的 [6]。 支持： IPsec、 L2TP、 GRE、 MPLSVPN 規(guī)范。 可設(shè)計(jì)和擴(kuò)展性分析 隨著技術(shù)不斷發(fā)展，新的標(biāo)準(zhǔn)和功能不斷增加，網(wǎng)絡(luò)設(shè)備必須可以通過網(wǎng)絡(luò)進(jìn)行升級(jí)，以提供更先進(jìn)、更多的功能。在企業(yè)園區(qū)網(wǎng)絡(luò)中，關(guān)鍵應(yīng)用服務(wù)器、核心網(wǎng)絡(luò)設(shè)備，只有系統(tǒng)管理人員才有操作、控制的權(quán)力。在設(shè)計(jì)園區(qū)網(wǎng)的原則上必 須強(qiáng)調(diào)網(wǎng)絡(luò)安全控制能力，使網(wǎng)絡(luò)可以任意連接，又可以從第二層、第三層控制網(wǎng)絡(luò)的訪問 [7]。 網(wǎng)絡(luò)結(jié)構(gòu)穩(wěn)定性 當(dāng)增加 /擴(kuò)充應(yīng)用子系統(tǒng)時(shí)，不影響網(wǎng)絡(luò)的整體結(jié)構(gòu)以及整體性能，對(duì)關(guān)鍵的網(wǎng)絡(luò)連接采用主備方式，已保證數(shù)據(jù)的傳輸?shù)目煽啃浴? 網(wǎng) 絡(luò)的可管理性要求：網(wǎng)絡(luò)中的任何設(shè)備均可以通過網(wǎng)絡(luò)管理平臺(tái)進(jìn)行控制，網(wǎng)絡(luò)的設(shè)備狀態(tài)，故障報(bào)警等都可以通過網(wǎng)管平臺(tái)進(jìn)行監(jiān)控， 通過網(wǎng)絡(luò)管理平臺(tái)簡化管理工作，提高網(wǎng)絡(luò)管理的效率 [8]。網(wǎng)絡(luò)管理的目標(biāo)是實(shí)現(xiàn)零管理，基于策略的管理方式，網(wǎng)絡(luò)管理是通過制定統(tǒng)一的策略，由管理策略服務(wù)器進(jìn)行全局控制的。 綜合布線系統(tǒng)的結(jié)構(gòu) 綜合布線系統(tǒng)部分結(jié)構(gòu)如下圖 31 所示： 圖 3– 1 系統(tǒng)部分結(jié)構(gòu)規(guī)劃圖 根據(jù)綜合布線國際 標(biāo)準(zhǔn) ISO 11801 的定義，綜合布線系統(tǒng)可由以下子系統(tǒng)組成。水平布線提供大樓網(wǎng) 絡(luò)通信系統(tǒng)到用戶終端設(shè)備的信息傳輸。大樓配線間和樓層配線間通常也用于放置網(wǎng)絡(luò)設(shè)備和其他有源設(shè)備。建筑群布線子系統(tǒng)提供了各建筑物間通信網(wǎng)絡(luò)連接和信息交換的通道。 建筑物內(nèi)采用先進(jìn)的超五類非屏蔽布線系統(tǒng) ,根 據(jù)技術(shù)規(guī)范，選用高性能 UTP 非屏蔽系統(tǒng)，傳輸參數(shù)可達(dá)到 200MHz，通道傳輸性能在 200 MHz 時(shí) ACR3dB, 250MHz 時(shí) ACR 0 dB，通道傳輸性能不低于招標(biāo)技術(shù)要求所附性能參數(shù)表的要求。第一分部與主樓相距 50 米，第二分部與主樓相距也是 50 米，第三分部與主樓相距 5 公里，第四分部與主 樓相距 8公里，另分公司武漢有自己的辦公樓。因特網(wǎng)接入的變化，只影響接入的變化，對(duì)園區(qū)網(wǎng)絡(luò)沒有影響；而園區(qū)網(wǎng)絡(luò)的變化對(duì)因特網(wǎng)接入部分影響較小。 降低各個(gè)子公司之間的網(wǎng)絡(luò)關(guān)聯(lián)度 將各個(gè)子公司之間的網(wǎng)絡(luò)的關(guān)聯(lián)度降低到最低的策略，可 以最大限度的減少各個(gè)子公司網(wǎng)絡(luò)之間的相互影響，便于分別管理，或者在不同子公司擴(kuò)展網(wǎng)絡(luò)的新應(yīng)用。 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 10 園區(qū)總體結(jié)構(gòu)示意圖 服 務(wù) 器 集 群數(shù) 據(jù) 同 步 鏡 像 故 障 自 動(dòng) 切 換數(shù) 據(jù) 備 份 服 務(wù) 器核 心 層接入層上 網(wǎng)行 為管 理及 防火 墻分 公 司使 用 基 于I p s e c 的V P N 技 術(shù)上 網(wǎng) 圖 4– 1 總體結(jié)構(gòu)圖 路由交換模塊設(shè)計(jì) 為了使企業(yè)園區(qū) 網(wǎng)高效、穩(wěn)定的運(yùn)行，便于管理與維護(hù)，對(duì)局域網(wǎng)交換和路由技術(shù)的相關(guān)方面進(jìn)行了規(guī)范設(shè)計(jì)，包括 VLAN、 STP、 ACL、 HSRP、 IPsec VPN 等。 VLAN 設(shè)計(jì)規(guī)范 企業(yè)內(nèi)的局域網(wǎng)進(jìn)行 VLAN劃分 ,可以減少網(wǎng)絡(luò)內(nèi)的廣播數(shù)據(jù)包 ,提高網(wǎng)絡(luò)運(yùn)行效率 。 100110 保留 1831 任意 用戶地址 表 4– 3 具體 IP 地址分配表 機(jī)構(gòu) 地址空間 用途 /21 總部應(yīng)用類 1 微機(jī)室工作人員地址空間 地址空間 地址空間 地址空間 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 12 地址空間 人員地址空間 地址空間 地址空間 分部 1 人員全部地址空間 人員全部地址空間 人員全部地址空間 人員全部地址空間 子公司 1的應(yīng)用類 1后勤部工作人員全部地址空間 工作人員全部地址空間 人員全部地址空間 人員全部地址空間 分部 2 人員全部地址空間 ..人員全部地址空間 人員全部地址空間 人員全部地址空間 人員全部地址空間 工作人員全部地址空間 人員全部地址空間 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 13 人員全部地址空間 分部 3 人員全部地址空間 人員全部地址空間 人員全部地址空間 人員全部地址空間 人員全部地址空間 工作人員全部地址空間 人員全部地址空間 人員全部地址空間 分部 4 人員全部地址空間 人員全部地址空間 人員全部地址空間 人員全部地址空間 人員全部地址空間 工作人員全部地址空間 人員全部地址空間 人員全部地址空間 武漢分公司（ 5） 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 14 人員全部地址空間 人員全部地址空間 人員全部地址空間 人員全部地址空間 人員全部地址空間 工作人員全部地址空間 人員全部地址空間 人員全部地址空間 其中，在項(xiàng)目實(shí)施的時(shí)候，接入層交換機(jī)的 IP 地址建議使用網(wǎng)管類地址空間10.*.，多層交換機(jī)的 IP 地址的 LOOPBACK 接口的 IP 地址建議使用網(wǎng)管類地址10.*.35.*/32；所有匯聚層設(shè)備互聯(lián) IP 地址使建議使用互聯(lián)類空間 ，相互備份的 2 臺(tái)匯聚層設(shè)備的 IP 地址建議使用互聯(lián)類地址空間10.*.。當(dāng)網(wǎng)絡(luò)邊緣設(shè)備或接入電路出現(xiàn)故障時(shí)， HSRP 提供 了一個(gè)較好的解決方案，它能夠確保用戶通信迅速并透明地恢復(fù)，以此為 IP 網(wǎng)絡(luò)提供冗余性、容錯(cuò)和增強(qiáng)的路由選擇功能。啟用 HSRP 協(xié)議之后，這個(gè)地址就是 HSRP 的虛擬地址。 熱備份優(yōu)先級(jí)：在主用的多層交換機(jī)了，某個(gè) VLAN 虛擬接口的熱備份優(yōu)先級(jí)是 120。 具體配置模塊圖如下 43 所示： 圖 4– 3 HSRP 配置模塊圖 ACL 訪問控制列表模塊 訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。這些指令列表用來告訴路由器哪能些數(shù)據(jù)包可以收、哪能數(shù)據(jù)包需要拒絕。 基于時(shí)間的訪問控制列表對(duì)網(wǎng)絡(luò)的流量進(jìn)行的相應(yīng)的優(yōu)化，能夠有效分配網(wǎng)絡(luò)流量，在不同的時(shí)間段給予不同的部門相適應(yīng)的流量，保證網(wǎng)絡(luò)高效安全的運(yùn)行，實(shí)現(xiàn)預(yù)期效果。利用 OSPF 的路由器首先必須收集有關(guān)的鏈路狀態(tài)信息，并根據(jù)企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 19 一定的算法計(jì)算出到每個(gè)節(jié)點(diǎn)的最短路徑。當(dāng)一個(gè)區(qū)內(nèi)的路由器出了故障時(shí)并不影響自治域內(nèi)其它區(qū)路由器的正常工作，這也給網(wǎng)絡(luò)的管理、維護(hù)帶來方便 [13]。 生成樹配置圖如 48 所示： 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 20 圖 4– 8 生成樹協(xié)議配置圖 IPsec VPN 功能模塊 IPsec VPN 通過 Inter 建立了一個(gè)通訊的隧道，通過這個(gè)通訊的隧道，就可以建立起網(wǎng)絡(luò)的連接。 設(shè)計(jì)中采用了 GRE隧道模式，全局啟用 ISAKMP并定義對(duì)等體及其 PSK（預(yù)共享密鑰） ，定義 IKE 策略， Ipsec 轉(zhuǎn)換集，基于 ESP 的加密等技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)傳輸?shù)陌踩煽?，子公司和總部的高效連接。 IPsec VPN 功能模塊拓?fù)鋱D如 49 所示： 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 22 圖 4– 9 Ipsec VPN 拓?fù)鋱D 在總部與分公司的連接通信中，為了保證通信的安全高效性，使 用了 IPsec VPN 技術(shù)來實(shí)現(xiàn)異地的通信，通過互聯(lián)網(wǎng)傳輸，為自己建立一條隧道，使用 GRE 隧道技術(shù)，采用了 IPsec VPN 的封裝協(xié)議，使用加密算法，身份認(rèn)證及共享密鑰機(jī)制，實(shí)現(xiàn)了公司各部門之間數(shù)據(jù)的安全傳輸。同時(shí)需要建立 WEB 服務(wù)器，用于在互聯(lián)網(wǎng)上發(fā)布企業(yè)信息。本方案采用 Windows 系統(tǒng)提供的域模式來組織和管理全部系統(tǒng)資源，采用域的模式，不僅可以集中存儲(chǔ)網(wǎng)絡(luò)對(duì)象，并且管理簡單，即實(shí)現(xiàn)了集中管理，又可以滿足不同公司自身的安全需求。 OU 的設(shè)計(jì) 企業(yè)的 OU 設(shè)計(jì)目的是為了使用用戶管理更有效率，結(jié)構(gòu)更加清晰，并能夠使系統(tǒng)的管理結(jié)構(gòu)與集團(tuán)的商業(yè)模型相匹配。 組的管理 為了滿足集團(tuán)用戶管理的需求，更好的在網(wǎng)絡(luò)中管理用戶權(quán)限的分配，使系統(tǒng)的管理得到最大的簡化，方案中采用 AGDLP 策略及 AGUDLP 策略。其次，在方案設(shè)計(jì)中，充分應(yīng)用 Window 系統(tǒng)提供的組策略功能，利用組策略，可以在每個(gè)公司的域中設(shè)計(jì)安全策略。 防火墻功能： ISA 服務(wù)器位于企業(yè)網(wǎng)絡(luò)和外網(wǎng)之間，采用三網(wǎng)卡分別連接內(nèi)網(wǎng)和外網(wǎng)和 DZM 區(qū)，充分利用防火墻的角色，并利用網(wǎng) 站和內(nèi)容規(guī)則來限制用戶能夠訪問的網(wǎng)站。 安全策略：在 Windows 系統(tǒng)中的域模式下，安全策略是保護(hù)系統(tǒng)及用戶在工作環(huán)境不被破壞的重要工具，在本方案中采用了組策略這個(gè)工具對(duì)全部系統(tǒng)提供安全保護(hù)，由于集團(tuán)各個(gè)子公司采用獨(dú)立的管理模式，所以在每個(gè)域中單獨(dú)設(shè)置組策略，并使組策略應(yīng)用到每個(gè)域中的用戶和計(jì)算機(jī)。 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 27 IPsec VPN 功能模塊測試 Ipsec VPN 測試成功圖如 63 所示： 圖 6– 3 Ipsec VPN 測試成功圖 基于 ESP 加密的抓包圖如 64 所示： 圖 6– 4Ipsec VPN 測試成功圖 IPsec VPN 配置完成以后，采用了 GRE 隧道模式，全局啟用 I。在本方案中，根據(jù)集團(tuán)的目前的需求，建立了基本的組策略： (1)密 碼長度最小值為 7 (2)密碼最長存留期為 30 天 (3)密碼過期期限為 50 天 (4)帳戶鎖定閥值為 5 次無效登陸 (5)啟動(dòng)密碼必須符合復(fù)雜性需求策略 6 測試和驗(yàn)證規(guī)則有效性 HSRP 功能模塊測試 在拓?fù)湓O(shè)備上配置完熱備份協(xié)議以后，進(jìn)行相應(yīng)的功能測試，測試其能夠?qū)崿F(xiàn)雙機(jī)熱備，實(shí)現(xiàn)鏈路的冗余備份，經(jīng)過測試成功實(shí)現(xiàn) HSRP 功能。 服務(wù)器發(fā)布：利用 ISA 服務(wù)器將企業(yè)中的郵件和 WEB 服務(wù)器發(fā)布到互聯(lián)網(wǎng)上，保證外部用戶可以訪問公司的 WEB服務(wù)器，并將公司用戶可以與外部客戶利用郵件交換信息。具體的設(shè)計(jì)方案如下： 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 25 ISA Server： ISA Server 是微軟公司出品的軟件防火墻代理服務(wù)器產(chǎn)品，它不僅可以起到代理服務(wù)器的緩存作用，也能實(shí)現(xiàn)防火墻的功能，通過軟件防火墻上設(shè)置過濾規(guī)則，可以控制內(nèi)部用戶對(duì)網(wǎng)站的訪問，同時(shí)利用其提供的服務(wù)器發(fā)布功能，也可以將企業(yè)內(nèi)部的服務(wù) 器發(fā)布到 Inter 上，提供互聯(lián)網(wǎng)的訪問，在本方案的設(shè)計(jì)中，主要利用了網(wǎng)站過濾和服務(wù)器發(fā)布的功能，在集團(tuán)中心即房安裝和配置 ISA 服務(wù)器，繼承防火墻功能和代理服務(wù)器的功能，將集團(tuán)總部及子公司的 WEB 服務(wù)器及 MAIL 服務(wù)器發(fā)布到互聯(lián)網(wǎng)上。在本域內(nèi)的權(quán)限的分配，可以使用 AGDLP 策略，在域間的權(quán)限分配，使得 AGDLP 策略，依次將用戶加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權(quán)限授予指定的域本地組，采用這樣的方式，不僅可以使用戶的組織和權(quán)限分配簡單，也可以減少域間的復(fù)制流量，從而提高系統(tǒng)的性能 [16]。 用戶管理 為了規(guī)范用戶帳戶的管理，系統(tǒng)中所有的用戶采用統(tǒng)一的命名規(guī)范，每個(gè)用戶在網(wǎng)絡(luò)中擁有唯一的登陸名。采用這種結(jié)構(gòu)，可以將網(wǎng)絡(luò)中的全部資源，分散到每個(gè)域的域控制器中存儲(chǔ)，減少了每臺(tái)域控制器的信息存儲(chǔ)，從而減少復(fù)制流量和網(wǎng)絡(luò)對(duì)象的查詢時(shí)間。系統(tǒng)建立完成后，要求能滿足企業(yè)各方面的應(yīng)用需求，包括辦公自動(dòng)化，郵件收發(fā)，信息共享和發(fā)布，員工帳戶管理，系統(tǒng)安全管理等 [15]。如果想擴(kuò)大企業(yè)園區(qū)的拓?fù)鋼浣Y(jié)構(gòu)可以增加交換機(jī)的級(jí)聯(lián)，實(shí)現(xiàn)端口密度的擴(kuò)充，增加相同結(jié)構(gòu)，實(shí)現(xiàn)擴(kuò)展，同時(shí)增加路由數(shù)量實(shí)現(xiàn)多級(jí)擴(kuò)充，對(duì)設(shè)備的配置基本相同，最終實(shí)現(xiàn)了企業(yè)的良好的擴(kuò)展性，增大園區(qū)規(guī)模，也保證了數(shù)據(jù)的高效傳輸。同時(shí)兩個(gè)公司基于隧道配置相應(yīng)的 IP 地址保證了通過互聯(lián)網(wǎng)傳輸?shù)陌踩?。如果一方?nat 之后，那就比較羅嗦了。 動(dòng)態(tài)路由配置圖如 47 所示： 圖 4– 7 OSPF 動(dòng)態(tài)路由配置圖 生成樹算 法的網(wǎng)橋協(xié)議 STP(Spanning Tree Protocol),它通過生成生成樹保證一個(gè)已知的網(wǎng)橋在網(wǎng)絡(luò)拓?fù)渲醒匾粋€(gè)環(huán)動(dòng)態(tài)工作網(wǎng)橋與其他網(wǎng)橋交換 BPDU消息來監(jiān)測環(huán)路，然后關(guān)閉選擇的網(wǎng)橋接口取消環(huán)路 ,統(tǒng)指 IEEE802 與 RIP 不同， OSPF 將一個(gè)自治域再劃分為區(qū)，相應(yīng)地即有兩種類型的路由選擇方式：當(dāng)源和目的地在同一區(qū)時(shí)，采用區(qū)內(nèi)路由選擇；當(dāng)源和目的地在不同區(qū)時(shí)，則采用區(qū)間路由選擇。 基于時(shí)間的 ACL 配置圖如 45 所示： 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 18