【正文】 著目錄復(fù)制而達(dá)到 DNS 復(fù)制的目的。另外，目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶身份并控制其對(duì)網(wǎng)絡(luò)資源的訪問。 華南資訊科技有限公司 報(bào)社 網(wǎng)絡(luò)改造 28 網(wǎng)絡(luò)管理的設(shè)計(jì) 華南資訊科技有限公司 報(bào)社 網(wǎng)絡(luò)改造 29 第三章 網(wǎng)絡(luò)安全解決方案 活動(dòng)目錄 的設(shè)計(jì) 活動(dòng)目錄的設(shè)計(jì) 目錄服務(wù)的一個(gè)重大發(fā)展趨勢(shì)是跨平臺(tái)發(fā)展和跨應(yīng)用發(fā)展。其地址是全球唯一的。 如下圖所示， VLAN1 和 VLAN2 通過 兩臺(tái) 3750 之間 的一對(duì)交換機(jī)端口，通過 VLAN TRUNK 技術(shù)（ ），不同的 VLAN 通過不同的標(biāo)識(shí)來區(qū)分，也就是說，在入口交換機(jī)（譬如 下面的 3750）上給 VLAN 打上標(biāo)記，不同的 VLAN通過一對(duì)交換機(jī)端口的一條鏈路到達(dá)出口（譬如 上面的 3750）交換機(jī)時(shí)，在 上華南資訊科技有限公司 報(bào)社 網(wǎng)絡(luò)改造 25 面的 3750 交換機(jī)上區(qū)分出不同的 VLAN（通 過標(biāo)識(shí)），這種解決方案可以有效的利用交換機(jī)的寶貴的端口資源，節(jié)約投資，同樣達(dá)到系統(tǒng)要求的效果。 華南資訊科技有限公司 報(bào)社 網(wǎng)絡(luò)改造 23 VLAN之間路由實(shí)現(xiàn) 在劃分了 VLAN 的環(huán)境下，各 VLAN 成員之間不能直接訪問，不同 VLAN之間的流量必須經(jīng)過路由，這一功能可以由三層以太網(wǎng)交換機(jī)的多層交換引擎來完成。網(wǎng)絡(luò)管理人員可以通過創(chuàng)建虛擬局域網(wǎng)把需要訪問關(guān)鍵信息的用戶與普通用戶區(qū)別開來組成獨(dú)立的虛擬網(wǎng)，使重要數(shù)據(jù)免受外界侵害?；蛘哒f，虛擬網(wǎng)絡(luò)技術(shù)，就是把一組用戶分配在同一個(gè)廣播域，在該廣播域上的廣播流量只有其成員才能收 到。例如，將所有分屬于各 部門 的 終端用戶 組合在一起，使他們?cè)谧龉舱n的作業(yè)時(shí)，可以使用相同的服務(wù)器，構(gòu)成一個(gè)虛擬的 工作組 。這里僅僅說明分配的原則。 在地址劃分時(shí)需要考慮網(wǎng)絡(luò)的接入層的擴(kuò) 展；需要為網(wǎng)絡(luò)的擴(kuò)展預(yù)留地址空間。 接入層交換機(jī)基本配置： a、 host name b、密碼 c、管理地址 d、啟用 tel e、劃分 vlan 參考命令（不全） Switchconfigure terminal Switch(config)vlan 10 Switch(configvlan)exit Switch(config)interface range fastEther 0/112 Switch(configifrange)switchport access vlan 10 Switch(configifrange)exit f、 設(shè)置 trunk 端口 g、啟用端口安全特性，做 mac 地址綁定 參考命令（不全） Switchconfigure Switch(config)interface fastEther 0/1 Switch(config)switchport mode access Switch(configif)switchport portsecurity 手工配置 PC1 的 MAC 地址為安全 MAC 地址 Switch(configif)switchport portsecurity macaddress 配置端口最多允許 1 個(gè)安全 MAC 地址，即保證只有 PC1 可以接入到此端口 Switch(configif)switchport portsecurity maximum 1 配置當(dāng)產(chǎn)生地址違規(guī)時(shí)關(guān)閉端口 Switch(configif)switchport portsecurity violation shutdown h、 啟用 arpcheck，防止中毒的機(jī)器發(fā)起 ARP 攻擊 參考命令 Switch(config) switchport portsecurity arpcheck i、 配置 MSTP 保證不產(chǎn)生環(huán)路 j、 ACL a、 host name b、密碼 華南資訊科技有限公司 報(bào)社 網(wǎng)絡(luò)改造 18 c、管理地址 d、啟用 tel e、劃分 vlan 參考命令（不全） Switchconfigure terminal Switch(config)vlan 10 Switch(configvlan)exit Switch(config)interface range fastEther 0/112 Switch(configifrange)switchport access vlan 10 Switch(configifrange)exit f、 設(shè)置 trunk 端口 g、啟用端口安全特性，做 mac 地址綁定 參考命令（不全） Switchconfigure Switch(config)interface fastEther 0/1 Switch(config)switchport mode access Switch(configif)switchport portsecurity 手工配置 PC1 的 MAC 地址為安全 MAC 地址 Switch(configif)switchport portsecurity macaddress 配置端口最多允許 1 個(gè)安全 MAC 地址，即保證只有 PC1 可以接入到此端口 Switch(configif)switchport portsecurity maximum 1 配置當(dāng)產(chǎn)生地址違規(guī)時(shí)關(guān)閉端口 Switch(configif)switchport portsecurity violation shutdown h、 啟用 arpcheck，防止中毒的機(jī)器發(fā)起 ARP 攻擊 參考命令 Switch(config) switchport portsecurity arpcheck i、 配置 MSTP 保證不產(chǎn)生環(huán)路 其他交換機(jī)設(shè)備選型 用戶所使用的服務(wù)器設(shè)備大體上可以分為兩類，一類屬于對(duì)內(nèi)辦公應(yīng)用服務(wù)器，這些服務(wù)器不需要與外網(wǎng)發(fā)生數(shù)據(jù)通信，只為內(nèi)部網(wǎng)絡(luò)用戶提供數(shù)據(jù) 傳輸和存儲(chǔ)應(yīng)用，因此我們可以考慮到把它們放置于一個(gè)統(tǒng)一的數(shù)據(jù)中心內(nèi)，通過防火墻設(shè)備和 IPS 設(shè)備提供保護(hù)和訪問控制，通過具體應(yīng)用的策略的調(diào)整來對(duì)需要訪問數(shù)據(jù)中心的終端和用戶的訪問進(jìn)行審計(jì)和管理。 單臺(tái) S6506R 的具體配置： ? 8 個(gè)可擴(kuò)展插槽的機(jī)箱，標(biāo)配雙電源冗余 ? 1 塊管理 引擎模塊（提供 384G 背板交換能力） ? 1 塊電源模塊 ? 1 塊 20 端 口 10/100/1000M RJ45 模塊 ? 1 塊 20 端口 GigE 千兆 光纖 端口模塊 規(guī)格配置 ◇ 基本規(guī)格 華南資訊科技有限公司 報(bào)社 網(wǎng)絡(luò)改造 14 設(shè)備類型 企業(yè)級(jí)交換機(jī) 內(nèi)存 BOOTROM:1MB,FLASHMemory:16MB 處理器 MPC8245 或 8260 交換方式 存儲(chǔ) 轉(zhuǎn)發(fā) 背板帶寬 (Gbps) 1638 包轉(zhuǎn)發(fā)率 10 Mbps: 14,880 pps， 100 Mbps: 148,810 pps ，1000 Mbps: 1,488,100 pps 是否支持 VLAN 支持 MAC 地址表 32k ◇ 網(wǎng)絡(luò) 支持網(wǎng)絡(luò)標(biāo)準(zhǔn) IEEE 、 IEEE 、 IEEE 、 IEEE 、 IEEE 、 IEEE 、 IEEE 、OSPF、 RIP1/ GMRP、 GVRP、 DVMRP、 IGMP、 IEEE 傳輸速率 (Mbps) 10/100/1000/10000 ◇ 端口 端口類型 10BaseT，100BaseT,1000BASEX,1000BaseT,10GBase 模塊化插槽數(shù) 6 ◇ 其它 網(wǎng)管功能 支持基于 SNMP 支持 RMON,支持 Web 管理、 HGMP V2 是否支持全雙工 全雙工 堆疊 不支持 ◇ 電氣規(guī)格 額定電壓 (V) 48VDC 額定功率 (W) 800 ◇ 外觀特征 重量 (Kg) ≤80kg 長(zhǎng)度 (mm) 436 寬度 (mm) 480 高度 (mm) ◇ 環(huán)境條件 工作溫度 (℃) 0～ 45℃ 工作濕度 10％～ 90％無凝結(jié) 工作高度 (米 ) 3000 華南資訊科技有限公司 報(bào)社 網(wǎng)絡(luò)改造 15 存儲(chǔ)溫度 (℃) － 30～ 60℃ 存儲(chǔ)濕度 10％～ 90％無凝結(jié) 存儲(chǔ)高度 (米 ) 6000 核心層交換機(jī)基本配置： a、 host name b、密碼 c、管理地址 （ 設(shè)置 Loopback 地址 ） d、啟用 tel e、劃分 vlan，設(shè)置 vlan 的網(wǎng)關(guān) f、 設(shè)置 trunk 端口 g、 配置 MSTP 保證不產(chǎn)生環(huán)路 h、 配置 VRRP 實(shí)現(xiàn)負(fù)載均衡 i、設(shè)置 缺省路由和路由協(xié)議 接入 層設(shè)計(jì) 我們建議用戶采用 高性能模塊化交換機(jī)作為用戶匯聚層交換機(jī)（即分布層） ，分別通過 2 條千兆兆鏈路采用雙歸 方式與核心交換機(jī)互聯(lián)；匯聚層交換機(jī)與核心層交換機(jī)之間形成雙鏈路全冗余連接，以增強(qiáng)整體網(wǎng)絡(luò)的容錯(cuò)和故障隔離能力。因此 ，在網(wǎng)絡(luò)的核心節(jié)點(diǎn)上建議采用較高端的設(shè)備，從而通過網(wǎng)絡(luò)設(shè)備的冗余也提高了網(wǎng)絡(luò)系統(tǒng)的冗余和彈性。 設(shè)備的冗余 是指在兩個(gè)物理節(jié)點(diǎn)間的網(wǎng)絡(luò)設(shè)備，為了防止由于網(wǎng)絡(luò)設(shè)備的故障導(dǎo)致網(wǎng)絡(luò)通信故障的發(fā)生，而在節(jié)點(diǎn)間采用冗余設(shè)備。 在實(shí)際連接中，我們采用高靈活 性的星型網(wǎng)絡(luò)拓?fù)?，星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)具有維護(hù)管理簡(jiǎn)單、擴(kuò)展容易等優(yōu)點(diǎn)，并且有利于構(gòu)建合理的網(wǎng)絡(luò)結(jié)構(gòu)，同時(shí)也便于將來網(wǎng)絡(luò)規(guī)模的擴(kuò)展。 ? 匯聚層： 主要是完成網(wǎng)絡(luò)流量的安全控制機(jī)制，以使核心網(wǎng)和接入訪問層環(huán)境隔離開來。其次，網(wǎng)絡(luò)設(shè)備的網(wǎng)管系統(tǒng)能夠統(tǒng)一管理接入層及核心層的交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，對(duì)用戶和業(yè)務(wù)制定的 QoS 策略應(yīng)能夠在網(wǎng)管平臺(tái)上統(tǒng)一配置并方便地加載到網(wǎng)絡(luò)設(shè)備中 去，而無需對(duì)設(shè)備及端口一一配置。 （ 2）安全性與可靠性原則 為 保證日?qǐng)?bào)社新大樓 各項(xiàng) 關(guān)鍵 業(yè)務(wù)的安全、可靠應(yīng)用，網(wǎng)絡(luò)設(shè)計(jì)必須具有高可靠性，決不能出現(xiàn)單點(diǎn)故障或者因?yàn)槟┒说墓收蠈?dǎo)致整個(gè)系統(tǒng)崩潰。 日?qǐng)?bào)社正先正使用天融信 4000 系列防火墻作為邊界安全設(shè)備，搬入新大樓后， 4000 的性能無法滿足新的辦公需求，用戶想考慮 防火墻雙機(jī)及增加其他安全設(shè)備的整體安全解決方案。 合作伙伴是直接通過光纖接入到內(nèi)網(wǎng)，沒有做任何的安全措施。今后也必將壯大于這片沃土。 在過去的一年里， 本市 傳媒集團(tuán)通過資源橫向整合，強(qiáng)化了集團(tuán)在媒體市場(chǎng)的優(yōu)勢(shì)地位。 一喜，集團(tuán)屬下的報(bào)業(yè)、電臺(tái)、電視臺(tái)集中宣傳了近期在產(chǎn)業(yè)升級(jí)方面所做的各種努力 和創(chuàng)新，展示整合一年來形成的實(shí)力。就跨媒體的發(fā)展以及在 本市 實(shí)現(xiàn)媒體融合，尋求全國(guó)知名高校的理論支撐，并希望使 本市傳媒團(tuán)隊(duì)的素質(zhì)快速提升。 市委副書記則再次表達(dá)了市委市政府對(duì) 本市 傳媒發(fā)展所寄予的厚望，希望 本市 媒體要在構(gòu)建和諧 本市 中有所作為，更好地為五區(qū)基層服務(wù)，更緊密地與 企業(yè)結(jié)合，更廣泛地與市內(nèi)外媒體合作。 用戶需求 報(bào)社 即將搬入新大樓，以新的姿態(tài)來迎接新的工作。也有可能利用工作時(shí)間下載與工作無關(guān)的軟件或其 他軟件，占用了大量的帶寬，降低了工作效率等等。 整體方案設(shè)計(jì) 根據(jù)我公司對(duì)用戶網(wǎng)絡(luò)項(xiàng)目的理解，我公司提供了一套詳細(xì)的設(shè)計(jì)方案。接入層、匯聚層和核心層交換機(jī)均能夠支持通過增加板卡或進(jìn)行堆疊提高端口密度。采用這樣的結(jié)構(gòu)所建設(shè)的網(wǎng)絡(luò)具有良好的擴(kuò)充性、管理性，因?yàn)樾碌淖泳W(wǎng)模塊和新的網(wǎng)絡(luò)技術(shù)能被更容易集成到整個(gè)系統(tǒng)中，而不破壞已存在的骨干網(wǎng)。訪問網(wǎng)主要用來支撐客戶端機(jī)器對(duì)服務(wù)器的訪問，主要是指接入路由器、交換機(jī)、終端訪 問用戶。 網(wǎng)絡(luò)鏈路的冗余 是指到在兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)間的網(wǎng)絡(luò)鏈路，為了防止由于網(wǎng)絡(luò)鏈路中斷導(dǎo)致網(wǎng)絡(luò)通訊故障的發(fā)生，而分別采用兩條網(wǎng)絡(luò)鏈路。因此通常會(huì)在網(wǎng)絡(luò)的核心節(jié)點(diǎn)上采用設(shè)備的冗余，來保證網(wǎng)絡(luò)的冗余，提供核心網(wǎng)絡(luò)的可靠性。 （ 1）每臺(tái)核心交換機(jī)通過配置的多模千兆光纖接口通過多模光纖與各樓層的接入交換機(jī)相連，實(shí)現(xiàn)接入交換機(jī)的雙歸屬上行，可以有效的提高網(wǎng)絡(luò)的帶寬以及網(wǎng)絡(luò)的可靠性和冗余性； （ 2）在核心交換區(qū)的可靠性方面，除了設(shè)備本身可以提供交換背板、交換引擎模塊、電源、 I/O