【正文】 著目錄復(fù)制而達到 DNS 復(fù)制的目的。另外，目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗證用戶身份并控制其對網(wǎng)絡(luò)資源的訪問。 華南資訊科技有限公司 報社 網(wǎng)絡(luò)改造 28 網(wǎng)絡(luò)管理的設(shè)計 華南資訊科技有限公司 報社 網(wǎng)絡(luò)改造 29 第三章 網(wǎng)絡(luò)安全解決方案 活動目錄 的設(shè)計 活動目錄的設(shè)計 目錄服務(wù)的一個重大發(fā)展趨勢是跨平臺發(fā)展和跨應(yīng)用發(fā)展。其地址是全球唯一的。 如下圖所示， VLAN1 和 VLAN2 通過 兩臺 3750 之間 的一對交換機端口，通過 VLAN TRUNK 技術(shù)（ ），不同的 VLAN 通過不同的標(biāo)識來區(qū)分，也就是說，在入口交換機（譬如 下面的 3750）上給 VLAN 打上標(biāo)記，不同的 VLAN通過一對交換機端口的一條鏈路到達出口（譬如 上面的 3750）交換機時，在 上華南資訊科技有限公司 報社 網(wǎng)絡(luò)改造 25 面的 3750 交換機上區(qū)分出不同的 VLAN（通 過標(biāo)識），這種解決方案可以有效的利用交換機的寶貴的端口資源，節(jié)約投資，同樣達到系統(tǒng)要求的效果。 華南資訊科技有限公司 報社 網(wǎng)絡(luò)改造 23 VLAN之間路由實現(xiàn) 在劃分了 VLAN 的環(huán)境下，各 VLAN 成員之間不能直接訪問，不同 VLAN之間的流量必須經(jīng)過路由，這一功能可以由三層以太網(wǎng)交換機的多層交換引擎來完成。網(wǎng)絡(luò)管理人員可以通過創(chuàng)建虛擬局域網(wǎng)把需要訪問關(guān)鍵信息的用戶與普通用戶區(qū)別開來組成獨立的虛擬網(wǎng)，使重要數(shù)據(jù)免受外界侵害?；蛘哒f，虛擬網(wǎng)絡(luò)技術(shù)，就是把一組用戶分配在同一個廣播域，在該廣播域上的廣播流量只有其成員才能收 到。例如，將所有分屬于各 部門 的 終端用戶 組合在一起，使他們在做公共課的作業(yè)時，可以使用相同的服務(wù)器，構(gòu)成一個虛擬的 工作組 。這里僅僅說明分配的原則。 在地址劃分時需要考慮網(wǎng)絡(luò)的接入層的擴 展；需要為網(wǎng)絡(luò)的擴展預(yù)留地址空間。 接入層交換機基本配置： a、 host name b、密碼 c、管理地址 d、啟用 tel e、劃分 vlan 參考命令（不全） Switchconfigure terminal Switch(config)vlan 10 Switch(configvlan)exit Switch(config)interface range fastEther 0/112 Switch(configifrange)switchport access vlan 10 Switch(configifrange)exit f、 設(shè)置 trunk 端口 g、啟用端口安全特性，做 mac 地址綁定 參考命令（不全） Switchconfigure Switch(config)interface fastEther 0/1 Switch(config)switchport mode access Switch(configif)switchport portsecurity 手工配置 PC1 的 MAC 地址為安全 MAC 地址 Switch(configif)switchport portsecurity macaddress 配置端口最多允許 1 個安全 MAC 地址，即保證只有 PC1 可以接入到此端口 Switch(configif)switchport portsecurity maximum 1 配置當(dāng)產(chǎn)生地址違規(guī)時關(guān)閉端口 Switch(configif)switchport portsecurity violation shutdown h、 啟用 arpcheck，防止中毒的機器發(fā)起 ARP 攻擊 參考命令 Switch(config) switchport portsecurity arpcheck i、 配置 MSTP 保證不產(chǎn)生環(huán)路 j、 ACL a、 host name b、密碼 華南資訊科技有限公司 報社 網(wǎng)絡(luò)改造 18 c、管理地址 d、啟用 tel e、劃分 vlan 參考命令（不全） Switchconfigure terminal Switch(config)vlan 10 Switch(configvlan)exit Switch(config)interface range fastEther 0/112 Switch(configifrange)switchport access vlan 10 Switch(configifrange)exit f、 設(shè)置 trunk 端口 g、啟用端口安全特性，做 mac 地址綁定 參考命令（不全） Switchconfigure Switch(config)interface fastEther 0/1 Switch(config)switchport mode access Switch(configif)switchport portsecurity 手工配置 PC1 的 MAC 地址為安全 MAC 地址 Switch(configif)switchport portsecurity macaddress 配置端口最多允許 1 個安全 MAC 地址，即保證只有 PC1 可以接入到此端口 Switch(configif)switchport portsecurity maximum 1 配置當(dāng)產(chǎn)生地址違規(guī)時關(guān)閉端口 Switch(configif)switchport portsecurity violation shutdown h、 啟用 arpcheck，防止中毒的機器發(fā)起 ARP 攻擊 參考命令 Switch(config) switchport portsecurity arpcheck i、 配置 MSTP 保證不產(chǎn)生環(huán)路 其他交換機設(shè)備選型 用戶所使用的服務(wù)器設(shè)備大體上可以分為兩類，一類屬于對內(nèi)辦公應(yīng)用服務(wù)器，這些服務(wù)器不需要與外網(wǎng)發(fā)生數(shù)據(jù)通信，只為內(nèi)部網(wǎng)絡(luò)用戶提供數(shù)據(jù) 傳輸和存儲應(yīng)用，因此我們可以考慮到把它們放置于一個統(tǒng)一的數(shù)據(jù)中心內(nèi)，通過防火墻設(shè)備和 IPS 設(shè)備提供保護和訪問控制，通過具體應(yīng)用的策略的調(diào)整來對需要訪問數(shù)據(jù)中心的終端和用戶的訪問進行審計和管理。 單臺 S6506R 的具體配置： ? 8 個可擴展插槽的機箱，標(biāo)配雙電源冗余 ? 1 塊管理 引擎模塊（提供 384G 背板交換能力） ? 1 塊電源模塊 ? 1 塊 20 端 口 10/100/1000M RJ45 模塊 ? 1 塊 20 端口 GigE 千兆 光纖 端口模塊 規(guī)格配置 ◇ 基本規(guī)格 華南資訊科技有限公司 報社 網(wǎng)絡(luò)改造 14 設(shè)備類型 企業(yè)級交換機 內(nèi)存 BOOTROM:1MB,FLASHMemory:16MB 處理器 MPC8245 或 8260 交換方式 存儲 轉(zhuǎn)發(fā) 背板帶寬 (Gbps) 1638 包轉(zhuǎn)發(fā)率 10 Mbps: 14,880 pps， 100 Mbps: 148,810 pps ，1000 Mbps: 1,488,100 pps 是否支持 VLAN 支持 MAC 地址表 32k ◇ 網(wǎng)絡(luò) 支持網(wǎng)絡(luò)標(biāo)準(zhǔn) IEEE 、 IEEE 、 IEEE 、 IEEE 、 IEEE 、 IEEE 、 IEEE 、OSPF、 RIP1/ GMRP、 GVRP、 DVMRP、 IGMP、 IEEE 傳輸速率 (Mbps) 10/100/1000/10000 ◇ 端口 端口類型 10BaseT，100BaseT,1000BASEX,1000BaseT,10GBase 模塊化插槽數(shù) 6 ◇ 其它 網(wǎng)管功能 支持基于 SNMP 支持 RMON,支持 Web 管理、 HGMP V2 是否支持全雙工 全雙工 堆疊 不支持 ◇ 電氣規(guī)格 額定電壓 (V) 48VDC 額定功率 (W) 800 ◇ 外觀特征 重量 (Kg) ≤80kg 長度 (mm) 436 寬度 (mm) 480 高度 (mm) ◇ 環(huán)境條件 工作溫度 (℃) 0～ 45℃ 工作濕度 10％～ 90％無凝結(jié) 工作高度 (米 ) 3000 華南資訊科技有限公司 報社 網(wǎng)絡(luò)改造 15 存儲溫度 (℃) － 30～ 60℃ 存儲濕度 10％～ 90％無凝結(jié) 存儲高度 (米 ) 6000 核心層交換機基本配置： a、 host name b、密碼 c、管理地址 （ 設(shè)置 Loopback 地址 ） d、啟用 tel e、劃分 vlan，設(shè)置 vlan 的網(wǎng)關(guān) f、 設(shè)置 trunk 端口 g、 配置 MSTP 保證不產(chǎn)生環(huán)路 h、 配置 VRRP 實現(xiàn)負載均衡 i、設(shè)置 缺省路由和路由協(xié)議 接入 層設(shè)計 我們建議用戶采用 高性能模塊化交換機作為用戶匯聚層交換機（即分布層） ，分別通過 2 條千兆兆鏈路采用雙歸 方式與核心交換機互聯(lián)；匯聚層交換機與核心層交換機之間形成雙鏈路全冗余連接，以增強整體網(wǎng)絡(luò)的容錯和故障隔離能力。因此 ，在網(wǎng)絡(luò)的核心節(jié)點上建議采用較高端的設(shè)備，從而通過網(wǎng)絡(luò)設(shè)備的冗余也提高了網(wǎng)絡(luò)系統(tǒng)的冗余和彈性。 設(shè)備的冗余 是指在兩個物理節(jié)點間的網(wǎng)絡(luò)設(shè)備，為了防止由于網(wǎng)絡(luò)設(shè)備的故障導(dǎo)致網(wǎng)絡(luò)通信故障的發(fā)生，而在節(jié)點間采用冗余設(shè)備。 在實際連接中，我們采用高靈活 性的星型網(wǎng)絡(luò)拓撲，星型網(wǎng)絡(luò)拓撲結(jié)構(gòu)具有維護管理簡單、擴展容易等優(yōu)點，并且有利于構(gòu)建合理的網(wǎng)絡(luò)結(jié)構(gòu)，同時也便于將來網(wǎng)絡(luò)規(guī)模的擴展。 ? 匯聚層： 主要是完成網(wǎng)絡(luò)流量的安全控制機制，以使核心網(wǎng)和接入訪問層環(huán)境隔離開來。其次，網(wǎng)絡(luò)設(shè)備的網(wǎng)管系統(tǒng)能夠統(tǒng)一管理接入層及核心層的交換機、路由器等網(wǎng)絡(luò)設(shè)備，對用戶和業(yè)務(wù)制定的 QoS 策略應(yīng)能夠在網(wǎng)管平臺上統(tǒng)一配置并方便地加載到網(wǎng)絡(luò)設(shè)備中 去，而無需對設(shè)備及端口一一配置。 （ 2）安全性與可靠性原則 為 保證日報社新大樓 各項 關(guān)鍵 業(yè)務(wù)的安全、可靠應(yīng)用，網(wǎng)絡(luò)設(shè)計必須具有高可靠性，決不能出現(xiàn)單點故障或者因為末端的故障導(dǎo)致整個系統(tǒng)崩潰。 日報社正先正使用天融信 4000 系列防火墻作為邊界安全設(shè)備，搬入新大樓后， 4000 的性能無法滿足新的辦公需求，用戶想考慮 防火墻雙機及增加其他安全設(shè)備的整體安全解決方案。 合作伙伴是直接通過光纖接入到內(nèi)網(wǎng)，沒有做任何的安全措施。今后也必將壯大于這片沃土。 在過去的一年里， 本市 傳媒集團通過資源橫向整合，強化了集團在媒體市場的優(yōu)勢地位。 一喜，集團屬下的報業(yè)、電臺、電視臺集中宣傳了近期在產(chǎn)業(yè)升級方面所做的各種努力 和創(chuàng)新，展示整合一年來形成的實力。就跨媒體的發(fā)展以及在 本市 實現(xiàn)媒體融合，尋求全國知名高校的理論支撐，并希望使 本市傳媒團隊的素質(zhì)快速提升。 市委副書記則再次表達了市委市政府對 本市 傳媒發(fā)展所寄予的厚望，希望 本市 媒體要在構(gòu)建和諧 本市 中有所作為，更好地為五區(qū)基層服務(wù)，更緊密地與 企業(yè)結(jié)合，更廣泛地與市內(nèi)外媒體合作。 用戶需求 報社 即將搬入新大樓，以新的姿態(tài)來迎接新的工作。也有可能利用工作時間下載與工作無關(guān)的軟件或其 他軟件，占用了大量的帶寬，降低了工作效率等等。 整體方案設(shè)計 根據(jù)我公司對用戶網(wǎng)絡(luò)項目的理解，我公司提供了一套詳細的設(shè)計方案。接入層、匯聚層和核心層交換機均能夠支持通過增加板卡或進行堆疊提高端口密度。采用這樣的結(jié)構(gòu)所建設(shè)的網(wǎng)絡(luò)具有良好的擴充性、管理性，因為新的子網(wǎng)模塊和新的網(wǎng)絡(luò)技術(shù)能被更容易集成到整個系統(tǒng)中，而不破壞已存在的骨干網(wǎng)。訪問網(wǎng)主要用來支撐客戶端機器對服務(wù)器的訪問，主要是指接入路由器、交換機、終端訪 問用戶。 網(wǎng)絡(luò)鏈路的冗余 是指到在兩個網(wǎng)絡(luò)節(jié)點間的網(wǎng)絡(luò)鏈路，為了防止由于網(wǎng)絡(luò)鏈路中斷導(dǎo)致網(wǎng)絡(luò)通訊故障的發(fā)生，而分別采用兩條網(wǎng)絡(luò)鏈路。因此通常會在網(wǎng)絡(luò)的核心節(jié)點上采用設(shè)備的冗余，來保證網(wǎng)絡(luò)的冗余，提供核心網(wǎng)絡(luò)的可靠性。 （ 1）每臺核心交換機通過配置的多模千兆光纖接口通過多模光纖與各樓層的接入交換機相連，實現(xiàn)接入交換機的雙歸屬上行，可以有效的提高網(wǎng)絡(luò)的帶寬以及網(wǎng)絡(luò)的可靠性和冗余性； （ 2）在核心交換區(qū)的可靠性方面，除了設(shè)備本身可以提供交換背板、交換引擎模塊、電源、 I/O