【正文】 系統(tǒng)提供的組策略功能，利用組策略，可以在每個(gè)公司的域中設(shè)計(jì)安全策略。組的管理為了滿足集團(tuán)用戶管理的需求，更好的在網(wǎng)絡(luò)中管理用戶權(quán)限的分配，使系統(tǒng)的管理得到最大的簡(jiǎn)化，方案中采用AGDLP策略及AGUDLP策略。OU的設(shè)計(jì)企業(yè)的OU設(shè)計(jì)目的是為了使用用戶管理更有效率，結(jié)構(gòu)更加清晰，并能夠使系統(tǒng)的管理結(jié)構(gòu)與集團(tuán)的商業(yè)模型相匹配。本方案采用Windows系統(tǒng)提供的域模式來(lái)組織和管理全部系統(tǒng)資源，采用域的模式，不僅可以集中存儲(chǔ)網(wǎng)絡(luò)對(duì)象，并且管理簡(jiǎn)單，即實(shí)現(xiàn)了集中管理，又可以滿足不同公司自身的安全需求。同時(shí)需要建立WEB服務(wù)器，用于在互聯(lián)網(wǎng)上發(fā)布企業(yè)信息。IPsec VPN功能模塊拓?fù)鋱D如49所示：圖4–9 Ipsec VPN拓?fù)鋱D在總部與分公司的連接通信中，為了保證通信的安全高效性，使用了IPsec VPN技術(shù)來(lái)實(shí)現(xiàn)異地的通信，通過(guò)互聯(lián)網(wǎng)傳輸，為自己建立一條隧道，使用GRE隧道技術(shù)，采用了IPsec VPN的封裝協(xié)議，使用加密算法，身份認(rèn)證及共享密鑰機(jī)制，實(shí)現(xiàn)了公司各部門(mén)之間數(shù)據(jù)的安全傳輸。設(shè)計(jì)中采用了GRE隧道模式，全局啟用ISAKMP并定義對(duì)等體及其PSK（預(yù)共享密鑰），定義IKE策略，Ipsec 轉(zhuǎn)換集，基于ESP的加密等技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)傳輸?shù)陌踩煽?，子公司和總部的高效連接。生成樹(shù)配置圖如48所示：圖4–8 生成樹(shù)協(xié)議配置圖 IPsec VPN功能模塊IPsec VPN通過(guò)Internet建立了一個(gè)通訊的隧道，通過(guò)這個(gè)通訊的隧道，就可以建立起網(wǎng)絡(luò)的連接。當(dāng)一個(gè)區(qū)內(nèi)的路由器出了故障時(shí)并不影響自治域內(nèi)其它區(qū)路由器的正常工作，這也給網(wǎng)絡(luò)的管理、維護(hù)帶來(lái)方便[13]。利用OSPF的路由器首先必須收集有關(guān)的鏈路狀態(tài)信息，并根據(jù)一定的算法計(jì)算出到每個(gè)節(jié)點(diǎn)的最短路徑?；跁r(shí)間的訪問(wèn)控制列表對(duì)網(wǎng)絡(luò)的流量進(jìn)行的相應(yīng)的優(yōu)化，能夠有效分配網(wǎng)絡(luò)流量，在不同的時(shí)間段給予不同的部門(mén)相適應(yīng)的流量，保證網(wǎng)絡(luò)高效安全的運(yùn)行，實(shí)現(xiàn)預(yù)期效果。這些指令列表用來(lái)告訴路由器哪能些數(shù)據(jù)包可以收、哪能數(shù)據(jù)包需要拒絕。具體配置模塊圖如下43所示：圖4–3 HSRP配置模塊圖 ACL訪問(wèn)控制列表模塊訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。熱備份優(yōu)先級(jí)：在主用的多層交換機(jī)了，某個(gè)VLAN虛擬接口的熱備份優(yōu)先級(jí)是120。啟用HSRP協(xié)議之后，這個(gè)地址就是HSRP的虛擬地址。當(dāng)網(wǎng)絡(luò)邊緣設(shè)備或接入電路出現(xiàn)故障時(shí)，HSRP提供了一個(gè)較好的解決方案，它能夠確保用戶通信迅速并透明地恢復(fù)，以此為IP網(wǎng)絡(luò)提供冗余性、容錯(cuò)和增強(qiáng)的路由選擇功能。100110保留1831任意用戶地址表4–3具體IP地址分配表 機(jī)構(gòu)地址空間用途集團(tuán)全部地址空間總部全部地址空間總部網(wǎng)管類(lèi)全部地址總部互聯(lián)類(lèi)全部地址總部應(yīng)用類(lèi)全部地址總部因特網(wǎng)全部地址 /21總部應(yīng)用類(lèi)1微機(jī)室工作人員地址空間總部應(yīng)用類(lèi)1財(cái)務(wù)部工作人員地址空間總部應(yīng)用類(lèi)1行政部工作人員地址空間總部應(yīng)用類(lèi)1研發(fā)部工作人員地址空間總部應(yīng)用類(lèi)1后勤部工作人員地址空間總部應(yīng)用類(lèi)1人力資源部工作人員地址空間總部應(yīng)用類(lèi)1業(yè)務(wù)部工作人員地址空間總部應(yīng)用層1生產(chǎn)部工作人員地址空間分部1子公司1全部地址空間子公司1網(wǎng)管類(lèi)全部地址空間子公司1互聯(lián)類(lèi)全部地址空間子公司1應(yīng)用類(lèi)全部地址空間子公司1因特網(wǎng)全部地址子公司1的應(yīng)用類(lèi)1微機(jī)室工作人員全部地址空間子公司1的應(yīng)用類(lèi)1財(cái)務(wù)部工作人員全部地址空間子公司1的應(yīng)用類(lèi)1行政部工作人員全部地址空間子公司1的應(yīng)用類(lèi)1研發(fā)部工作人員全部地址空間子公司1的應(yīng)用類(lèi)1后勤部工作人員全部地址空間子公司1的應(yīng)用類(lèi)1人力資源部工作人員全部地址空間子公司1的應(yīng)用類(lèi)1業(yè)務(wù)部工作人員全部地址空間子公司1的應(yīng)用類(lèi)1生產(chǎn)部工作人員全部地址空間分部2子公司2全部地址空間子公司2網(wǎng)管類(lèi)全部地址空間子公司2互聯(lián)類(lèi)全部地址空間子公司2應(yīng)用類(lèi)全部地址空間子公司2因特網(wǎng)全部地址子公司1的應(yīng)用類(lèi)1微機(jī)室工作人員全部地址空間..子公司2的應(yīng)用類(lèi)1財(cái)務(wù)部工作人員全部地址空間子公司2的應(yīng)用類(lèi)1行政部工作人員全部地址空間子公司2的應(yīng)用類(lèi)1研發(fā)部工作人員全部地址空間子公司2的應(yīng)用類(lèi)1后勤部工作人員全部地址空間子公司2的應(yīng)用類(lèi)1人力資源部工作人員全部地址空間子公司2的應(yīng)用類(lèi)1業(yè)務(wù)部工作人員全部地址空間子公司2的應(yīng)用類(lèi)1生產(chǎn)部工作人員全部地址空間分部3子公司3全部地址空間子公司3網(wǎng)管類(lèi)全部地址空間子公司3互聯(lián)類(lèi)全部地址空間子公司3應(yīng)用類(lèi)全部地址空間子公司3因特網(wǎng)全部地址子公司3的應(yīng)用類(lèi)1微機(jī)室工作人員全部地址空間子公司3的應(yīng)用類(lèi)1財(cái)務(wù)部工作人員全部地址空間子公司3的應(yīng)用類(lèi)1行政部工作人員全部地址空間子公司3的應(yīng)用類(lèi)1研發(fā)部工作人員全部地址空間子公司3的應(yīng)用類(lèi)1后勤部工作人員全部地址空間子公司3的應(yīng)用類(lèi)1人力資源部工作人員全部地址空間子公司3的應(yīng)用類(lèi)1業(yè)務(wù)部工作人員全部地址空間子公司3的應(yīng)用類(lèi)1生產(chǎn)部工作人員全部地址空間分部4子公司4全部地址空間子公司4網(wǎng)管類(lèi)全部地址空間子公司4互聯(lián)類(lèi)全部地址空間子公司4應(yīng)用類(lèi)全部地址空間子公司4因特網(wǎng)全部地址子公司4的應(yīng)用類(lèi)1微機(jī)室工作人員全部地址空間子公司4的應(yīng)用類(lèi)1財(cái)務(wù)部工作人員全部地址空間子公司4的應(yīng)用類(lèi)1行政部工作人員全部地址空間子公司4的應(yīng)用類(lèi)1研發(fā)部工作人員全部地址空間子公司4的應(yīng)用類(lèi)1后勤部工作人員全部地址空間子公司4的應(yīng)用類(lèi)1人力資源部工作人員全部地址空間子公司4的應(yīng)用類(lèi)1業(yè)務(wù)部工作人員全部地址空間子公司4的應(yīng)用類(lèi)1生產(chǎn)部工作人員全部地址空間武漢分公司（5）子公司5全部地址空間子公司5網(wǎng)管類(lèi)全部地址空間子公司5互聯(lián)類(lèi)全部地址空間子公司5應(yīng)用類(lèi)全部地址空間北京子公司因特網(wǎng)全部地址子公司5的應(yīng)用類(lèi)1微機(jī)室工作人員全部地址空間子公司5的應(yīng)用類(lèi)1財(cái)務(wù)部工作人員全部地址空間子公司5的應(yīng)用類(lèi)1行政部工作人員全部地址空間子公司5的應(yīng)用類(lèi)1研發(fā)部工作人員全部地址空間子公司5的應(yīng)用類(lèi)1后勤部工作人員全部地址空間子公司5的應(yīng)用類(lèi)1人力資源部工作人員全部地址空間子公司5的應(yīng)用類(lèi)1業(yè)務(wù)部工作人員全部地址空間子公司5的應(yīng)用類(lèi)1生產(chǎn)部工作人員全部地址空間其中，在項(xiàng)目實(shí)施的時(shí)候，接入層交換機(jī)的IP地址建議使用網(wǎng)管類(lèi)地址空間10.*.，多層交換機(jī)的IP地址的LOOPBACK接口的IP地址建議使用網(wǎng)管類(lèi)地址10.*.35.*/32；，相互備份的2臺(tái)匯聚層設(shè)備的IP地址建議使用互聯(lián)類(lèi)地址空間10.*.。 VLAN設(shè)計(jì)規(guī)范企業(yè)內(nèi)的局域網(wǎng)進(jìn)行VLAN劃分,可以減少網(wǎng)絡(luò)內(nèi)的廣播數(shù)據(jù)包,提高網(wǎng)絡(luò)運(yùn)行效率。 園區(qū)總體結(jié)構(gòu)示意圖圖4–1總體結(jié)構(gòu)圖 路由交換模塊設(shè)計(jì)為了使企業(yè)園區(qū)網(wǎng)高效、穩(wěn)定的運(yùn)行，便于管理與維護(hù)，對(duì)局域網(wǎng)交換和路由技術(shù)的相關(guān)方面進(jìn)行了規(guī)范設(shè)計(jì)，包括VLAN、STP、ACL、HSRP、IPsec VPN等。 降低各個(gè)子公司之間的網(wǎng)絡(luò)關(guān)聯(lián)度 將各個(gè)子公司之間的網(wǎng)絡(luò)的關(guān)聯(lián)度降低到最低的策略，可以最大限度的減少各個(gè)子公司網(wǎng)絡(luò)之間的相互影響，便于分別管理，或者在不同子公司擴(kuò)展網(wǎng)絡(luò)的新應(yīng)用。因特網(wǎng)接入的變化，只影響接入的變化，對(duì)園區(qū)網(wǎng)絡(luò)沒(méi)有影響；而園區(qū)網(wǎng)絡(luò)的變化對(duì)因特網(wǎng)接入部分影響較小。第一分部與主樓相距50米，第二分部與主樓相距也是50米，第三分部與主樓相距5公里，第四分部與主樓相距8公里，另分公司武漢有自己的辦公樓。建筑物內(nèi)采用先進(jìn)的超五類(lèi)非屏蔽布線系統(tǒng),根據(jù)技術(shù)規(guī)范，選用高性能UTP 非屏蔽系統(tǒng)，傳輸參數(shù)可達(dá)到200MHz，通道傳輸性能在200 MHz 時(shí)ACR3dB, 250MHz 時(shí)ACR 0 dB，通道傳輸性能不低于招標(biāo)技術(shù)要求所附性能參數(shù)表的要求。建筑群布線子系統(tǒng)提供了各建筑物間通信網(wǎng)絡(luò)連接和信息交換的通道。大樓配線間和樓層配線間通常也用于放置網(wǎng)絡(luò)設(shè)備和其他有源設(shè)備。水平布線提供大樓網(wǎng)絡(luò)通信系統(tǒng)到用戶終端設(shè)備的信息傳輸。 　綜合布線系統(tǒng)的結(jié)構(gòu)綜合布線系統(tǒng)部分結(jié)構(gòu)如下圖31所示：圖3–1 系統(tǒng)部分結(jié)構(gòu)規(guī)劃圖根據(jù)綜合布線國(guó)際標(biāo)準(zhǔn)ISO 11801的定義，綜合布線系統(tǒng)可由以下子系統(tǒng)組成。網(wǎng)絡(luò)管理的目標(biāo)是實(shí)現(xiàn)零管理，基于策略的管理方式，網(wǎng)絡(luò)管理是通過(guò)制定統(tǒng)一的策略，由管理策略服務(wù)器進(jìn)行全局控制的。網(wǎng)絡(luò)的可管理性要求：網(wǎng)絡(luò)中的任何設(shè)備均可以通過(guò)網(wǎng)絡(luò)管理平臺(tái)進(jìn)行控制，網(wǎng)絡(luò)的設(shè)備狀態(tài)，故障報(bào)警等都可以通過(guò)網(wǎng)管平臺(tái)進(jìn)行監(jiān)控，通過(guò)網(wǎng)絡(luò)管理平臺(tái)簡(jiǎn)化管理工作，提高網(wǎng)絡(luò)管理的效率[8]。網(wǎng)絡(luò)結(jié)構(gòu)穩(wěn)定性當(dāng)增加/擴(kuò)充應(yīng)用子系統(tǒng)時(shí)，不影響網(wǎng)絡(luò)的整體結(jié)構(gòu)以及整體性能，對(duì)關(guān)鍵的網(wǎng)絡(luò)連接采用主備方式，已保證數(shù)據(jù)的傳輸?shù)目煽啃浴Ｔ谠O(shè)計(jì)園區(qū)網(wǎng)的原則上必須強(qiáng)調(diào)網(wǎng)絡(luò)安全控制能力，使網(wǎng)絡(luò)可以任意連接，又可以從第二層、第三層控制網(wǎng)絡(luò)的訪問(wèn)[7]。在企業(yè)園區(qū)網(wǎng)絡(luò)中，關(guān)鍵應(yīng)用服務(wù)器、核心網(wǎng)絡(luò)設(shè)備，只有系統(tǒng)管理人員才有操作、控制的權(quán)力。 可設(shè)計(jì)和擴(kuò)展性分析隨著技術(shù)不斷發(fā)展，新的標(biāo)準(zhǔn)和功能不斷增加，網(wǎng)絡(luò)設(shè)備必須可以通過(guò)網(wǎng)絡(luò)進(jìn)行升級(jí)，以提供更先進(jìn)、更多的功能。支持：IPsec、L2TP、GRE、MPLSVPN規(guī)范。本系統(tǒng)基于思科的GNS3平臺(tái)，用思科命令開(kāi)發(fā)，使用各種相關(guān)技術(shù)，如IPSEC VPN ,HSRP等，實(shí)現(xiàn)各部門(mén)的功能，能夠運(yùn)用在實(shí)際開(kāi)發(fā)中，模擬平臺(tái)與實(shí)際基本無(wú)差別，所以說(shuō)在技術(shù)上是可行的[6]。(3) 內(nèi)、外網(wǎng)隔離過(guò)硬盤(pán)隔離卡及雙布線系統(tǒng)、雙網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)辦公內(nèi)網(wǎng)與外網(wǎng)隔離。針對(duì)以上要求,對(duì)計(jì)算機(jī)內(nèi)網(wǎng)綜合布線系統(tǒng)提出自己的解決方案。由于涉及的建筑物較多，規(guī)模較大，應(yīng)此將其定位為智能化園區(qū)綜合布線系統(tǒng)。HSRP 協(xié)議提供了一種決定使用主動(dòng)路由器還是備份路由器的機(jī)制，并指定一個(gè)虛擬的 IP 地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。HSRP 協(xié)議只支持一個(gè)路由器代表虛擬路由器實(shí)現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過(guò)程。與此相關(guān)的信息是當(dāng)時(shí)兩個(gè)VPN節(jié)點(diǎn)的IP地址，隧道名稱(chēng)、雙方的密鑰[4]。它應(yīng)該能夠連接 Internet，有可能是直接連接，比如adsl、電話撥號(hào)等等，也可能是通過(guò)nat方式，例如：小區(qū)寬帶、cdma上網(wǎng)、鐵通線路等等。IPSEC協(xié)議通過(guò)包封裝技術(shù)，能夠利用Internet可路由的地址，封裝內(nèi)部網(wǎng)絡(luò)的IP地址，實(shí)現(xiàn)異地網(wǎng)絡(luò)的互通。IPSEC引進(jìn)了完整的安全機(jī)制，包括加密、認(rèn)證和數(shù)據(jù)防篡改功能。如果不深入探究IPSEC的過(guò)于詳細(xì)的內(nèi)容，我們對(duì)于IPSEC大致按照以下幾個(gè)方面理解。 基于時(shí)間訪問(wèn)列表的設(shè)計(jì)中，用timerange 命令來(lái)指定時(shí)間范圍的名稱(chēng)，然后用absolute命令，或者一個(gè)或多個(gè)periodic命令來(lái)具體定義時(shí)間范圍[3]。思科（CISCO）路由器新增加了一種基于時(shí)間的訪問(wèn)列表。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。電腦資料的可以備份，同時(shí)遇到事件通知，可以通過(guò)郵件輕松完成，及時(shí)高效準(zhǔn)確[2]。 企業(yè)信息系統(tǒng)的研究意義擁有企業(yè)信息系統(tǒng)是現(xiàn)代化餐飲業(yè)的標(biāo)志，它對(duì)企