【正文】 免個(gè)別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開放性和互連互通，滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需要；開放的接口，支持良好的維護(hù)和管理手段，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。 企業(yè) 網(wǎng)絡(luò)應(yīng)能代表目前較為先進(jìn)的網(wǎng)絡(luò)技術(shù)，提供能夠跟蹤主流、前沿網(wǎng)絡(luò)技術(shù)的綜合網(wǎng)絡(luò)環(huán)境，應(yīng)與社會(huì)發(fā)展相適應(yīng)。三層網(wǎng)絡(luò) 架構(gòu)設(shè)計(jì) 的網(wǎng)絡(luò) 包括 三個(gè)層次：核心層（網(wǎng)絡(luò)的高速交換主干）、 匯聚層 （提供基于策略的連接）、 接入層 （將工作站接入網(wǎng)絡(luò)）。因?yàn)楹诵膶邮蔷W(wǎng)絡(luò)的樞紐中心，重要性突出。在匯聚層 中，應(yīng)該選用支持 三層交換技術(shù) 和 VLAN 的 交換機(jī) ，以達(dá)到網(wǎng)絡(luò)隔離和分段的目的。 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 模塊化、分層設(shè)計(jì)具有功能分工明確、結(jié)構(gòu)清晰、易于搭建維護(hù)、便于擴(kuò)展等眾多優(yōu)點(diǎn)，是現(xiàn)代局域網(wǎng)技術(shù)最流行的拓?fù)浣Y(jié)構(gòu)。核心層和路由器配置浮動(dòng)路由，鏈路冗余保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)目煽啃浴?產(chǎn)品如下圖： 10 圖 323 H3C S512028LI 交換機(jī) H3C S512028PLI 參數(shù)： 主要參數(shù) 傳輸速率 ： 10/100/1000Mbps 交換方式 ：存儲(chǔ) 轉(zhuǎn)發(fā) 背板帶寬 ： 192Gbps 包轉(zhuǎn)發(fā)率 ： 42Mpps 端口參數(shù) 端口結(jié)構(gòu)： 非模塊化 端口數(shù)量 ： 28個(gè) 傳輸模式 ：支持全雙工 功能特性 QOS：支持 IEEE 組播管理：支持 IGMP Snoopingv1/v2/v3 網(wǎng)絡(luò)管理：支持 SNMP， WEB網(wǎng)管，內(nèi)置 H3C WiNet 內(nèi)嵌式網(wǎng)管軟件 支持 認(rèn)證 支持 IP+MAC+端口的綁定 路由器選擇 H3C MSR 5040 功能特點(diǎn)： 多業(yè)務(wù)開放路由器 擴(kuò)展性很好，網(wǎng)絡(luò)超級(jí)穩(wěn)定，傳輸速率高，功能很強(qiáng)大，能 滿足企業(yè)的多種需求。這種技術(shù)可以把一個(gè)物理局域網(wǎng) 劃分成多個(gè)虛擬局域網(wǎng)，每個(gè) VLAN 就是一個(gè)廣播域， VLAN 內(nèi)的主機(jī)間通信就和在一個(gè) LAN 內(nèi)一樣，而 VLAN 間的主機(jī)則不能直接互通，這樣，廣播數(shù)據(jù)幀被限制在一個(gè) VLAN 內(nèi)。表現(xiàn)為將各部門接入的接口集中，統(tǒng)一劃分在一個(gè) VLAN 分段里，具體劃分如下表： 部門 Vlan 部門 Vlan 客服部 Vlan 10 銷售部 Vlan 20 人事部 Vlan 30 財(cái)務(wù)部 Vlan 40 培訓(xùn)部 Vlan 50 經(jīng)理辦公室 Vlan 60 會(huì)議室 Vlan 70 服務(wù)器 Vlan 100 IP 地址規(guī)劃 內(nèi)網(wǎng) IP 地址規(guī)劃 IP 地址是用戶在網(wǎng)絡(luò)中的主機(jī)標(biāo)識(shí)。為了實(shí)現(xiàn)數(shù)據(jù)識(shí)別，網(wǎng)絡(luò)設(shè)備需要一系列的匹配條件對(duì)報(bào)文進(jìn)行分類，這些條件可以是報(bào)文的源地址、目的地址、端口號(hào)、協(xié)議類型等。 （ 1）、基本 ACL（序號(hào)為 2020~2999）：只根據(jù)報(bào)文的 IP 地址信息制定規(guī)則。 指定序列號(hào)的同時(shí)，可以為 ACL 指定一個(gè)名稱，稱為命名的 ACL。 實(shí)例一： 考慮到財(cái)務(wù)部門的安全性，需要配置 ACL 來控制訪問權(quán)限。 [RTA]acl number 3000 [RTAacladv3000]rule 0 permit tcp source sourceport eq 進(jìn)入 路由器與外網(wǎng)相連的接口 指定應(yīng)用方向?yàn)?outbound， 這樣指定 了 客服部對(duì)外網(wǎng)的 WWW 訪問權(quán)限而不影響客服部在內(nèi)網(wǎng)的訪問。用于實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問公共網(wǎng)絡(luò)的功能，還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。 動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有 IP 地址轉(zhuǎn)換為公用 IP 地址時(shí)， IP 地址是不確定的，是隨機(jī)的，所有被授權(quán)訪問上 Inter 的私有 IP 地址可隨機(jī)轉(zhuǎn)換為任何指定的合法 IP 地址?？梢圆捎脛?dòng)態(tài)轉(zhuǎn)換的方式。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。 在互聯(lián)網(wǎng)中進(jìn)行路由選擇要使用路由器，路由器只是根據(jù)所收到的數(shù)據(jù)報(bào)頭的目的地址選擇一個(gè)合適的路徑，將數(shù)據(jù)包傳送到下一個(gè)路由器，路徑上最后的路由器負(fù)責(zé)將數(shù)據(jù)包送交目的主機(jī)。所以在簡(jiǎn)單的拓?fù)渲?，靜態(tài)路由是最好的選擇。 21 在網(wǎng)絡(luò)中，配置兩條等價(jià)路由（不同下一跳）可實(shí)現(xiàn)路由的負(fù)載分擔(dān)，而修改兩條等價(jià)路由的優(yōu)先級(jí)，即可實(shí)現(xiàn)路由的備份。所以，在組建局域網(wǎng)的同時(shí)，網(wǎng)絡(luò)安全成為一個(gè)重要的指標(biāo)。同時(shí)設(shè)置 ACL，具體的對(duì)特定用戶組做隔離保護(hù)（如財(cái)務(wù)部等），更加有效的解決了內(nèi)部網(wǎng)絡(luò)人為攻擊的難題。開啟防火墻的其它安全功能，并時(shí)常檢查日志文件，對(duì)敏感、特殊的網(wǎng)絡(luò)訪問進(jìn)行及時(shí)的添加隔離處理。還要有專門的網(wǎng)絡(luò)管理員，管理、維護(hù)網(wǎng)絡(luò)的日常運(yùn)作，保證網(wǎng)絡(luò)的安全性和暢通。 23 結(jié)論 在這科技騰飛的時(shí)代，網(wǎng)絡(luò)信息決定著企業(yè)的命運(yùn)，網(wǎng)絡(luò)經(jīng)濟(jì)把握著公司的命脈。除此，網(wǎng)絡(luò)還應(yīng)做到模塊化、系統(tǒng)化，不僅減少的管理維護(hù)的成本，更能提升網(wǎng)絡(luò)本身的業(yè)務(wù)處理能力和網(wǎng)絡(luò)的辦公效率。 本次設(shè)計(jì)主要用到的技術(shù)： （ 1）、 VLAN（虛擬局域網(wǎng)）隔離技術(shù)。 24 致謝 在論文完成之際，要特別感謝以下陪伴我度過學(xué)習(xí)生涯的人，是你們對(duì)我的熱情關(guān)懷和無盡的幫助使我懂得了書本上學(xué)不到的人生哲理。而老師淵博的學(xué)識(shí)、教學(xué)的嚴(yán)謹(jǐn)和認(rèn)真工作的態(tài)度更是值得我學(xué)習(xí)，在此向周老師表示真誠的感謝。感謝老師在高職的五年里對(duì)我的學(xué)習(xí)、生活的幫助，以及人生之路的指引，謝謝老師。 感謝我所有共同生活、一起學(xué)習(xí)過的朋友們，你們的陪伴和支持讓我的人生更加多彩。 感謝康普教育中心所有 老師對(duì)我的支持和幫助，感謝錢老師的培訓(xùn)。在許老師的諄諄教誨和細(xì)心的指導(dǎo)下，我從接觸網(wǎng)絡(luò)技術(shù)到具備專業(yè)知識(shí)，累積豐富的專業(yè)技能。在論文的書寫全過程中，周晶老師傾注了大量的心血和汗水。 （ 3）、 ACL（訪問控制列表）保證數(shù)據(jù)的安全性。 在本次實(shí)例中，也感覺到自己實(shí)踐經(jīng)驗(yàn)和理論知識(shí)的不足以及知識(shí)掌握的不牢，警醒我在以后的學(xué)習(xí)工作要更加努 力勤奮。 通過本次的論文設(shè)計(jì)，我學(xué)到了很多知識(shí)。本次設(shè)計(jì)中，殺毒軟統(tǒng)一安裝金山毒霸企業(yè)版，以保護(hù)終端用戶的數(shù)據(jù)安全。在物理安全上，公司需配備專門的網(wǎng)絡(luò)機(jī)房和標(biāo)準(zhǔn)的網(wǎng)絡(luò)機(jī)柜，以存放網(wǎng)絡(luò)設(shè)備。 其次，為公司專門配置了網(wǎng)絡(luò)安全設(shè)備 —— 防火墻。 首先，利用設(shè)備自身提供的安全技術(shù)，從數(shù)據(jù)傳輸上控制安 全。具體配置如下： 配置一： 配置默認(rèn)路由，下一跳地址為路由 RTA 接口的 IP 地址 ，靜態(tài)路由默認(rèn)優(yōu)先級(jí)為 60 [SW3A]ip routestatic 配置備份路由，下一跳地址為 SW3B 接口的 IP 地址 ，修改路由優(yōu) 先級(jí)為 100 [SW3A]ip routestatic preference 100 配置二： 配置默認(rèn)路由，下一跳地址為路由 RTA 接口的 IP 地址 ，靜態(tài)路由默認(rèn)優(yōu)先級(jí)為 60 [SW3B]ip routestatic 配置備份路由，下一跳地址為 SW3A 接口的 IP 地址 ，修改路由優(yōu)先級(jí)為 100 [SW3B]ip routestatic preference 100 22 5 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)帶給人們?cè)S多便利，加快了人類發(fā)展的進(jìn)程。為解決類似的問題，應(yīng)在核心和路由器之間配置路由備份。 路由分為直連路由、靜態(tài)路由和動(dòng)態(tài)路由（ RIP,OSPF,BGP 等）。 20 例如租用的公網(wǎng) IP 地址為 、 24—— ，在路由器的具體配置如下： 通過 ACL 定義一條 rule，匹配源地址屬于 [RTA]acl number 2020 [RTAaclbasic2020]rule 0 permit source 配置 NAT 地址池 1 用于地址轉(zhuǎn)換，地址池中的地址從 到 [RTA]nat addressgroup 1 進(jìn)入接口視圖 [RTA]interface Ether 0/0/0 將地址池 1 與 acl 2020 關(guān)聯(lián)，并在接口出口方向上應(yīng)用 NAT [RTAEther0/0/0]nat outbound 2020 addressgroup 1 路由協(xié)議 路由器提供了將異構(gòu)網(wǎng)絡(luò)互連起來的機(jī)制，實(shí)現(xiàn)將一個(gè)數(shù)據(jù)包從一個(gè) 網(wǎng)絡(luò)發(fā)送到另一個(gè)