【正文】 是備份路由器的機制，并指定一個虛擬的 IP 地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。由于涉及的建筑物較多，規(guī)模較大，應(yīng)此將其定位為智能化園區(qū)綜合布線系統(tǒng)。針對以上要求 ,對計算機內(nèi)網(wǎng)綜合布線系統(tǒng)提出自己的解決方案。 (3) 內(nèi)、外網(wǎng)隔離 過硬盤隔離卡及雙布線系統(tǒng)、雙網(wǎng)絡(luò)設(shè)備實現(xiàn)辦公內(nèi)網(wǎng)與外網(wǎng)隔離。本系統(tǒng) 基于 思科的 GNS3 平臺，用思科命令開發(fā) ， 使用各種相關(guān)技術(shù)，如 IPSEC VPN ,HSRP 等，實現(xiàn)各部門的功能，能夠運用在實際開發(fā)中，模擬平臺與實際基本無差別，所以說在技術(shù)上是可行的 [6]。 支持： IPsec、 L2TP、 GRE、 MPLSVPN 規(guī)范。 可設(shè)計和擴展性分析 隨著技術(shù)不斷發(fā)展，新的標(biāo)準(zhǔn)和功能不斷增加，網(wǎng)絡(luò)設(shè)備必須可以通過網(wǎng)絡(luò)進(jìn)行升級，以提供更先進(jìn)、更多的功能。在企業(yè)園區(qū)網(wǎng)絡(luò)中，關(guān)鍵應(yīng)用服務(wù)器、核心網(wǎng)絡(luò)設(shè)備，只有系統(tǒng)管理人員才有操作、控制的權(quán)力。在設(shè)計園區(qū)網(wǎng)的原則上必 須強調(diào)網(wǎng)絡(luò)安全控制能力，使網(wǎng)絡(luò)可以任意連接，又可以從第二層、第三層控制網(wǎng)絡(luò)的訪問 [7]。 網(wǎng)絡(luò)結(jié)構(gòu)穩(wěn)定性 當(dāng)增加 /擴充應(yīng)用子系統(tǒng)時，不影響網(wǎng)絡(luò)的整體結(jié)構(gòu)以及整體性能，對關(guān)鍵的網(wǎng)絡(luò)連接采用主備方式，已保證數(shù)據(jù)的傳輸?shù)目煽啃浴? 網(wǎng) 絡(luò)的可管理性要求：網(wǎng)絡(luò)中的任何設(shè)備均可以通過網(wǎng)絡(luò)管理平臺進(jìn)行控制，網(wǎng)絡(luò)的設(shè)備狀態(tài)，故障報警等都可以通過網(wǎng)管平臺進(jìn)行監(jiān)控， 通過網(wǎng)絡(luò)管理平臺簡化管理工作，提高網(wǎng)絡(luò)管理的效率 [8]。網(wǎng)絡(luò)管理的目標(biāo)是實現(xiàn)零管理，基于策略的管理方式，網(wǎng)絡(luò)管理是通過制定統(tǒng)一的策略，由管理策略服務(wù)器進(jìn)行全局控制的。 綜合布線系統(tǒng)的結(jié)構(gòu) 綜合布線系統(tǒng)部分結(jié)構(gòu)如下圖 31 所示： 圖 3– 1 系統(tǒng)部分結(jié)構(gòu)規(guī)劃圖 根據(jù)綜合布線國際 標(biāo)準(zhǔn) ISO 11801 的定義，綜合布線系統(tǒng)可由以下子系統(tǒng)組成。水平布線提供大樓網(wǎng) 絡(luò)通信系統(tǒng)到用戶終端設(shè)備的信息傳輸。大樓配線間和樓層配線間通常也用于放置網(wǎng)絡(luò)設(shè)備和其他有源設(shè)備。建筑群布線子系統(tǒng)提供了各建筑物間通信網(wǎng)絡(luò)連接和信息交換的通道。 建筑物內(nèi)采用先進(jìn)的超五類非屏蔽布線系統(tǒng) ,根 據(jù)技術(shù)規(guī)范，選用高性能 UTP 非屏蔽系統(tǒng)，傳輸參數(shù)可達(dá)到 200MHz，通道傳輸性能在 200 MHz 時 ACR3dB, 250MHz 時 ACR 0 dB，通道傳輸性能不低于招標(biāo)技術(shù)要求所附性能參數(shù)表的要求。第一分部與主樓相距 50 米，第二分部與主樓相距也是 50 米，第三分部與主樓相距 5 公里，第四分部與主 樓相距 8公里，另分公司武漢有自己的辦公樓。因特網(wǎng)接入的變化，只影響接入的變化，對園區(qū)網(wǎng)絡(luò)沒有影響；而園區(qū)網(wǎng)絡(luò)的變化對因特網(wǎng)接入部分影響較小。 降低各個子公司之間的網(wǎng)絡(luò)關(guān)聯(lián)度 將各個子公司之間的網(wǎng)絡(luò)的關(guān)聯(lián)度降低到最低的策略，可 以最大限度的減少各個子公司網(wǎng)絡(luò)之間的相互影響，便于分別管理，或者在不同子公司擴展網(wǎng)絡(luò)的新應(yīng)用。 企業(yè)網(wǎng)設(shè)計與優(yōu)化 10 園區(qū)總體結(jié)構(gòu)示意圖 服 務(wù) 器 集 群數(shù) 據(jù) 同 步 鏡 像 故 障 自 動 切 換數(shù) 據(jù) 備 份 服 務(wù) 器核 心 層接入層上 網(wǎng)行 為管 理及 防火 墻分 公 司使 用 基 于I p s e c 的V P N 技 術(shù)上 網(wǎng) 圖 4– 1 總體結(jié)構(gòu)圖 路由交換模塊設(shè)計 為了使企業(yè)園區(qū) 網(wǎng)高效、穩(wěn)定的運行，便于管理與維護(hù)，對局域網(wǎng)交換和路由技術(shù)的相關(guān)方面進(jìn)行了規(guī)范設(shè)計，包括 VLAN、 STP、 ACL、 HSRP、 IPsec VPN 等。 VLAN 設(shè)計規(guī)范 企業(yè)內(nèi)的局域網(wǎng)進(jìn)行 VLAN劃分 ,可以減少網(wǎng)絡(luò)內(nèi)的廣播數(shù)據(jù)包 ,提高網(wǎng)絡(luò)運行效率 。 100110 保留 1831 任意 用戶地址 表 4– 3 具體 IP 地址分配表 機構(gòu) 地址空間 用途 /21 總部應(yīng)用類 1 微機室工作人員地址空間 地址空間 地址空間 地址空間 企業(yè)網(wǎng)設(shè)計與優(yōu)化 12 地址空間 人員地址空間 地址空間 地址空間 分部 1 人員全部地址空間 人員全部地址空間 人員全部地址空間 人員全部地址空間 子公司 1的應(yīng)用類 1后勤部工作人員全部地址空間 工作人員全部地址空間 人員全部地址空間 人員全部地址空間 分部 2 人員全部地址空間 ..人員全部地址空間 人員全部地址空間 人員全部地址空間 人員全部地址空間 工作人員全部地址空間 人員全部地址空間 企業(yè)網(wǎng)設(shè)計與優(yōu)化 13 人員全部地址空間 分部 3 人員全部地址空間 人員全部地址空間 人員全部地址空間 人員全部地址空間 人員全部地址空間 工作人員全部地址空間 人員全部地址空間 人員全部地址空間 分部 4 人員全部地址空間 人員全部地址空間 人員全部地址空間 人員全部地址空間 人員全部地址空間 工作人員全部地址空間 人員全部地址空間 人員全部地址空間 武漢分公司（ 5） 企業(yè)網(wǎng)設(shè)計與優(yōu)化 14 人員全部地址空間 人員全部地址空間 人員全部地址空間 人員全部地址空間 人員全部地址空間 工作人員全部地址空間 人員全部地址空間 人員全部地址空間 其中，在項目實施的時候，接入層交換機的 IP 地址建議使用網(wǎng)管類地址空間10.*.，多層交換機的 IP 地址的 LOOPBACK 接口的 IP 地址建議使用網(wǎng)管類地址10.*.35.*/32；所有匯聚層設(shè)備互聯(lián) IP 地址使建議使用互聯(lián)類空間 ，相互備份的 2 臺匯聚層設(shè)備的 IP 地址建議使用互聯(lián)類地址空間10.*.。當(dāng)網(wǎng)絡(luò)邊緣設(shè)備或接入電路出現(xiàn)故障時， HSRP 提供 了一個較好的解決方案，它能夠確保用戶通信迅速并透明地恢復(fù)，以此為 IP 網(wǎng)絡(luò)提供冗余性、容錯和增強的路由選擇功能。啟用 HSRP 協(xié)議之后，這個地址就是 HSRP 的虛擬地址。 熱備份優(yōu)先級：在主用的多層交換機了，某個 VLAN 虛擬接口的熱備份優(yōu)先級是 120。 具體配置模塊圖如下 43 所示： 圖 4– 3 HSRP 配置模塊圖 ACL 訪問控制列表模塊 訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。這些指令列表用來告訴路由器哪能些數(shù)據(jù)包可以收、哪能數(shù)據(jù)包需要拒絕。 基于時間的訪問控制列表對網(wǎng)絡(luò)的流量進(jìn)行的相應(yīng)的優(yōu)化，能夠有效分配網(wǎng)絡(luò)流量，在不同的時間段給予不同的部門相適應(yīng)的流量，保證網(wǎng)絡(luò)高效安全的運行，實現(xiàn)預(yù)期效果。利用 OSPF 的路由器首先必須收集有關(guān)的鏈路狀態(tài)信息，并根據(jù)企業(yè)網(wǎng)設(shè)計與優(yōu)化 19 一定的算法計算出到每個節(jié)點的最短路徑。當(dāng)一個區(qū)內(nèi)的路由器出了故障時并不影響自治域內(nèi)其它區(qū)路由器的正常工作，這也給網(wǎng)絡(luò)的管理、維護(hù)帶來方便 [13]。 生成樹配置圖如 48 所示： 企業(yè)網(wǎng)設(shè)計與優(yōu)化 20 圖 4– 8 生成樹協(xié)議配置圖 IPsec VPN 功能模塊 IPsec VPN 通過 Inter 建立了一個通訊的隧道，通過這個通訊的隧道，就可以建立起網(wǎng)絡(luò)的連接。 設(shè)計中采用了 GRE隧道模式，全局啟用 ISAKMP并定義對等體及其 PSK（預(yù)共享密鑰） ，定義 IKE 策略， Ipsec 轉(zhuǎn)換集，基于 ESP 的加密等技術(shù)，實現(xiàn)網(wǎng)絡(luò)傳輸?shù)陌踩煽?，子公司和總部的高效連接。 IPsec VPN 功能模塊拓?fù)鋱D如 49 所示： 企業(yè)網(wǎng)設(shè)計與優(yōu)化 22 圖 4– 9 Ipsec VPN 拓?fù)鋱D 在總部與分公司的連接通信中，為了保證通信的安全高效性，使 用了 IPsec VPN 技術(shù)來實現(xiàn)異地的通信，通過互聯(lián)網(wǎng)傳輸，為自己建立一條隧道，使用 GRE 隧道技術(shù)，采用了 IPsec VPN 的封裝協(xié)議，使用加密算法，身份認(rèn)證及共享密鑰機制，實現(xiàn)了公司各部門之間數(shù)據(jù)的安全傳輸。同時需要建立 WEB 服務(wù)器，用于在互聯(lián)網(wǎng)上發(fā)布企業(yè)信息。本方案采用 Windows 系統(tǒng)提供的域模式來組織和管理全部系統(tǒng)資源，采用域的模式，不僅可以集中存儲網(wǎng)絡(luò)對象，并且管理簡單，即實現(xiàn)了集中管理，又可以滿足不同公司自身的安全需求。 OU 的設(shè)計 企業(yè)的 OU 設(shè)計目的是為了使用用戶管理更有效率，結(jié)構(gòu)更加清晰，并能夠使系統(tǒng)的管理結(jié)構(gòu)與集團(tuán)的商業(yè)模型相匹配。 組的管理 為了滿足集團(tuán)用戶管理的需求，更好的在網(wǎng)絡(luò)中管理用戶權(quán)限的分配，使系統(tǒng)的管理得到最大的簡化，方案中采用 AGDLP 策略及 AGUDLP 策略。其次，在方案設(shè)計中，充分應(yīng)用 Window 系統(tǒng)提供的組策略功能，利用組策略，可以在每個公司的域中設(shè)計安全策略。 防火墻功能： ISA 服務(wù)器位于企業(yè)網(wǎng)絡(luò)和外網(wǎng)之間，采用三網(wǎng)卡分別連接內(nèi)網(wǎng)和外網(wǎng)和 DZM 區(qū)，充分利用防火墻的角色，并利用網(wǎng) 站和內(nèi)容規(guī)則來限制用戶能夠訪問的網(wǎng)站。 安全策略：在 Windows 系統(tǒng)中的域模式下，安全策略是保護(hù)系統(tǒng)及用戶在工作環(huán)境不被破壞的重要工具，在本方案中采用了組策略這個工具對全部系統(tǒng)提供安全保護(hù)，由于集團(tuán)各個子公司采用獨立的管理模式，所以在每個域中單獨設(shè)置組策略，并使組策略應(yīng)用到每個域中的用戶和計算機。 企業(yè)網(wǎng)設(shè)計與優(yōu)化 27 IPsec VPN 功能模塊測試 Ipsec VPN 測試成功圖如 63 所示： 圖 6– 3 Ipsec VPN 測試成功圖 基于 ESP 加密的抓包圖如 64 所示： 圖 6– 4Ipsec VPN 測試成功圖 IPsec VPN 配置完成以后，采用了 GRE 隧道模式，全局啟用 I。在本方案中，根據(jù)集團(tuán)的目前的需求，建立了基本的組策略： (1)密 碼長度最小值為 7 (2)密碼最長存留期為 30 天 (3)密碼過期期限為 50 天 (4)帳戶鎖定閥值為 5 次無效登陸 (5)啟動密碼必須符合復(fù)雜性需求策略 6 測試和驗證規(guī)則有效性 HSRP 功能模塊測試 在拓?fù)湓O(shè)備上配置完熱備份協(xié)議以后，進(jìn)行相應(yīng)的功能測試，測試其能夠?qū)崿F(xiàn)雙機熱備，實現(xiàn)鏈路的冗余備份，經(jīng)過測試成功實現(xiàn) HSRP 功能。 服務(wù)器發(fā)布：利用 ISA 服務(wù)器將企業(yè)中的郵件和 WEB 服務(wù)器發(fā)布到互聯(lián)網(wǎng)上，保證外部用戶可以訪問公司的 WEB服務(wù)器，并將公司用戶可以與外部客戶利用郵件交換信息。具體的設(shè)計方案如下： 企業(yè)網(wǎng)設(shè)計與優(yōu)化 25 ISA Server： ISA Server 是微軟公司出品的軟件防火墻代理服務(wù)器產(chǎn)品，它不僅可以起到代理服務(wù)器的緩存作用，也能實現(xiàn)防火墻的功能，通過軟件防火墻上設(shè)置過濾規(guī)則，可以控制內(nèi)部用戶對網(wǎng)站的訪問，同時利用其提供的服務(wù)器發(fā)布功能，也可以將企業(yè)內(nèi)部的服務(wù) 器發(fā)布到 Inter 上，提供互聯(lián)網(wǎng)的訪問，在本方案的設(shè)計中，主要利用了網(wǎng)站過濾和服務(wù)器發(fā)布的功能，在集團(tuán)中心即房安裝和配置 ISA 服務(wù)器，繼承防火墻功能和代理服務(wù)器的功能，將集團(tuán)總部及子公司的 WEB 服務(wù)器及 MAIL 服務(wù)器發(fā)布到互聯(lián)網(wǎng)上。在本域內(nèi)的權(quán)限的分配，可以使用 AGDLP 策略，在域間的權(quán)限分配，使得 AGDLP 策略，依次將用戶加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權(quán)限授予指定的域本地組，采用這樣的方式，不僅可以使用戶的組織和權(quán)限分配簡單，也可以減少域間的復(fù)制流量，從而提高系統(tǒng)的性能 [16]。 用戶管理 為了規(guī)范用戶帳戶的管理，系統(tǒng)中所有的用戶采用統(tǒng)一的命名規(guī)范，每個用戶在網(wǎng)絡(luò)中擁有唯一的登陸名。采用這種結(jié)構(gòu)，可以將網(wǎng)絡(luò)中的全部資源，分散到每個域的域控制器中存儲，減少了每臺域控制器的信息存儲，從而減少復(fù)制流量和網(wǎng)絡(luò)對象的查詢時間。系統(tǒng)建立完成后，要求能滿足企業(yè)各方面的應(yīng)用需求，包括辦公自動化，郵件收發(fā)，信息共享和發(fā)布，員工帳戶管理，系統(tǒng)安全管理等 [15]。如果想擴大企業(yè)園區(qū)的拓?fù)鋼浣Y(jié)構(gòu)可以增加交換機的級聯(lián)，實現(xiàn)端口密度的擴充，增加相同結(jié)構(gòu)，實現(xiàn)擴展，同時增加路由數(shù)量實現(xiàn)多級擴充，對設(shè)備的配置基本相同，最終實現(xiàn)了企業(yè)的良好的擴展性，增大園區(qū)規(guī)模，也保證了數(shù)據(jù)的高效傳輸。同時兩個公司基于隧道配置相應(yīng)的 IP 地址保證了通過互聯(lián)網(wǎng)傳輸?shù)陌踩?。如果一方?nat 之后，那就比較羅嗦了。 動態(tài)路由配置圖如 47 所示： 圖 4– 7 OSPF 動態(tài)路由配置圖 生成樹算 法的網(wǎng)橋協(xié)議 STP(Spanning Tree Protocol),它通過生成生成樹保證一個已知的網(wǎng)橋在網(wǎng)絡(luò)拓?fù)渲醒匾粋€環(huán)動態(tài)工作網(wǎng)橋與其他網(wǎng)橋交換 BPDU消息來監(jiān)測環(huán)路，然后關(guān)閉選擇的網(wǎng)橋接口取消環(huán)路 ,統(tǒng)指 IEEE802 與 RIP 不同， OSPF 將一個自治域再劃分為區(qū)，相應(yīng)地即有兩種類型的路由選擇方式：當(dāng)源和目的地在同一區(qū)時，采用區(qū)內(nèi)路由選擇；當(dāng)源和目的地在不同區(qū)時，則采用區(qū)間路由選擇。 基于時間的 ACL 配置圖如 45 所示： 企業(yè)網(wǎng)設(shè)計與優(yōu)化 18