【正文】 顯示詳細(xì)的客戶端信息，以幫助網(wǎng)絡(luò)管理員快速進(jìn)行故障排除。思科WCS還提供了一個(gè)門戶，用戶能通過(guò)它獲得思科無(wú)線控制器所提供的實(shí)時(shí)RF管理功能，包括信道分配和接入點(diǎn)發(fā)射功率設(shè)置。強(qiáng)大的圖形化界面使無(wú)線網(wǎng)絡(luò)的部署和運(yùn)營(yíng)簡(jiǎn)單且經(jīng)濟(jì)有效，詳細(xì)的趨勢(shì)和分析報(bào)告使WCS可為持續(xù)網(wǎng)絡(luò)運(yùn)營(yíng)提供重要作用。無(wú)線控制器成為無(wú)線網(wǎng)絡(luò)的中央樞紐，支持分散在有線網(wǎng)絡(luò)中的大量無(wú)線接入點(diǎn)。 無(wú)線控制器無(wú)線網(wǎng)絡(luò)控制層需要對(duì)不同的對(duì)象進(jìn)行安全權(quán)限及網(wǎng)絡(luò)接入能力等方面的控制?？梢砸罁?jù)不同的環(huán)境，選取不同需求的無(wú)線接入點(diǎn)設(shè)備。部署兩臺(tái)思科ASA5540防火墻用于與能源管理生產(chǎn)網(wǎng)絡(luò)安全隔離。卷包數(shù)采生產(chǎn)網(wǎng)絡(luò)和管理網(wǎng)絡(luò)與卷包中控匯聚交換機(jī)之間部署一臺(tái)思科ASA5540防火墻用于安全隔離。實(shí)驗(yàn)室通過(guò)部署一臺(tái)思科3560 12口千兆光纖交換機(jī)作為匯聚交換機(jī)提供樓層交換機(jī)接入，另外與技術(shù)中心匯聚交換機(jī)之間通過(guò)部署一臺(tái)思科ASA5540防火墻用于安全隔離。服務(wù)器區(qū)域有兩排服務(wù)器機(jī)柜，每一排機(jī)柜各部署一臺(tái)思科375012S和一臺(tái)375048TS交換機(jī)，兩臺(tái)3750通過(guò)堆疊模塊進(jìn)行堆疊，用于PC服務(wù)器光纖及銅纜接入。 該應(yīng)用提供三種方式對(duì)采集來(lái)的數(shù)據(jù)進(jìn)行顯示：折線圖方式、直方圖方式和餅圖方式。故障監(jiān)視面板為您提供了一個(gè)直觀的了解設(shè)備故障情況的工具，它可以提供單個(gè)設(shè)備或所有設(shè)備的告警狀態(tài)數(shù)據(jù)，實(shí)時(shí)刷新狀態(tài)數(shù)據(jù)，并可以通過(guò)激活當(dāng)前告警窗口為您提供告警的詳細(xì)數(shù)據(jù)。（以下敘述中“告警”如無(wú)特殊說(shuō)明包括 Snmp Trap 和 MML Alarm）。用戶右鍵點(diǎn)中待管理的對(duì)象，系統(tǒng)將自動(dòng)彈出該設(shè)備或設(shè)備組件所對(duì)應(yīng)的管理菜單，所有設(shè)備和設(shè)備組件（如端口等）的配置、實(shí)時(shí)性能管理功能都可通過(guò)該右鍵菜單完成。路由器和路由器之間的連接有兩種：一是通過(guò)IP子網(wǎng)連接，如兩路由器通過(guò)以太網(wǎng)或Frame Relay網(wǎng)互連；二是直接的點(diǎn)到點(diǎn)連接，如PPP連接等。網(wǎng)管系統(tǒng)采用先進(jìn)的組件化結(jié)構(gòu)，通過(guò)SNMP協(xié)議由網(wǎng)管中心服務(wù)器發(fā)出管理信息報(bào)文，各寬帶網(wǎng)絡(luò)設(shè)備上的網(wǎng)管代理進(jìn)行本設(shè)備運(yùn)行狀態(tài)，數(shù)據(jù)信息的收集，然后通過(guò)SNMP協(xié)議將本網(wǎng)絡(luò)設(shè)備的網(wǎng)管信息上報(bào)給網(wǎng)管中心服務(wù)器，由網(wǎng)管中心服務(wù)器統(tǒng)一對(duì)上報(bào)的網(wǎng)管信息進(jìn)行處理和分析，然后通過(guò)SNMP協(xié)議下發(fā)控制命令，由各設(shè)備網(wǎng)管代理接收控制命令后，完成對(duì)本設(shè)備的管理和控制。為了確保在各種攻擊下，網(wǎng)絡(luò)程序和數(shù)據(jù)在服務(wù)器、物理信道和主機(jī)上的安全性，網(wǎng)絡(luò)安全必須有效地實(shí)現(xiàn)以下各種功能：身份認(rèn)證（Authentication）鑒定信息的真實(shí)性，核實(shí)源實(shí)體與接受實(shí)體是否與宣稱的一致。此外，隨著電腦黑客的攻擊和客戶的電子商務(wù)環(huán)境日趨復(fù)雜，快速發(fā)現(xiàn)訪問模式和訪問行為中的可疑情況已經(jīng)成為客戶的一個(gè)基本需求。本地操作系統(tǒng)的審計(jì)工具提供有限的功能，給出含義模糊的或者甚至無(wú)用的事件消息。 漏洞掃描系統(tǒng)設(shè)計(jì)由于網(wǎng)絡(luò)具有開放性，使主機(jī)、網(wǎng)絡(luò)設(shè)備直接面對(duì)大量的攻擊的可能。這些威脅，都對(duì)網(wǎng)絡(luò)自身的穩(wěn)定運(yùn)行帶來(lái)了極大的安全隱患，問題一旦發(fā)作，會(huì)導(dǎo)致網(wǎng)絡(luò)設(shè)備資源耗盡，網(wǎng)絡(luò)帶寬被塞滿，網(wǎng)絡(luò)系統(tǒng)無(wú)法正常工作，使得企業(yè)業(yè)務(wù)不能有效進(jìn)行，應(yīng)用系統(tǒng)被侵入或篡改，造成的損失非常巨大，后果極為嚴(yán)重。 互聯(lián)網(wǎng)區(qū)域設(shè)計(jì)互聯(lián)網(wǎng)區(qū)域這里有兩個(gè)運(yùn)營(yíng)商出口，其中一個(gè)運(yùn)營(yíng)商出口用于新廠區(qū)服務(wù)器提供MAIL、WEB等互聯(lián)網(wǎng)業(yè)務(wù)和員工互聯(lián)網(wǎng)業(yè)務(wù)訪問。為了確保核心網(wǎng)絡(luò)高帶寬和高穩(wěn)定性的要求，核心交換機(jī)與各匯聚交換機(jī)互連采用萬(wàn)兆光纖互連，與其它設(shè)備互連采用千兆光纖互連。生產(chǎn)廠區(qū)設(shè)計(jì)：生產(chǎn)廠區(qū)設(shè)計(jì)主要為卷包中控、制絲中控和能源管理中心基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì)。 例如：某部門要求只能使用 WWW 這個(gè)功能，就可以通過(guò)ACL實(shí)現(xiàn)； 又例如，為了某部門的保密性，不允許其訪問外網(wǎng)，也不允許外網(wǎng)訪問它，就可以通過(guò)ACL實(shí)現(xiàn)。ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能?！∽詈笠徊绞菐?，這一過(guò)程將會(huì)計(jì)算用戶在連接過(guò)程中消耗的資源數(shù)目。由AAA服務(wù)器將用戶的標(biāo)準(zhǔn)同數(shù)據(jù)庫(kù)中每個(gè)用戶的標(biāo)準(zhǔn)一一核對(duì)。 AAA認(rèn)證AAA身份驗(yàn)證 (Authentication)、授權(quán) (Authorization)和統(tǒng)計(jì) (Accounting)Cisco開發(fā)的一個(gè)提供網(wǎng)絡(luò)安全的系統(tǒng)。HSRP 協(xié)議只支持一個(gè)路由器代表虛擬路由器實(shí)現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過(guò)程。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)[3]。 VPNVPN的英文全稱是“Virtual Private Network”，翻譯過(guò)來(lái)就是“虛擬專用網(wǎng)絡(luò)”。所有的 IP 網(wǎng)絡(luò)設(shè)定數(shù)據(jù)都由 DHCP 服務(wù)器集中管理，并負(fù)責(zé)處理客戶端的 DHCP 要求；而客戶端則會(huì)使用從服務(wù)器分配下來(lái)的IP環(huán)境數(shù)據(jù)?！?VLANVLAN（Virtual Local Area Network）的中文名為虛擬局域網(wǎng)。接入層為所有的終端用戶提供一個(gè)接入點(diǎn)；分布層除了負(fù)責(zé)將訪問層交換機(jī)進(jìn)行匯集外，還為整個(gè)交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能；核心層將各分布層交換機(jī)互連起來(lái)進(jìn)行穿越企業(yè)網(wǎng)骨干的高速數(shù)據(jù)交換?，F(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的概念。在本工程案例設(shè)計(jì)中，內(nèi)網(wǎng)用戶不僅通過(guò)路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過(guò)3層交換機(jī)上的路由功能進(jìn)行數(shù)據(jù)包交換。s lives have been changed because of the Internet, Enterprises make full use of the system of information in the production through the construction of local area network (LAN) This paper is about making an overall planning and design in a network of a large tobacoo manufacturing enterprise by applying some key technologies and related network knowledge. Combined with the actual demand,through studying the design of the network infrastructure, the design of securitybased network configuration solution, the design of the infrastructure of sever farm, the design of advance services, this paper discusses in detail some key problems we met in desiging the network, the service related to the network design. and gives a solution to network planning and designKeywords：tobacco panies, network，information technology security, wireless local area network1 緒論 項(xiàng)目背景在****行業(yè)大力推進(jìn)聯(lián)合重組、做大做強(qiáng)的形勢(shì)下，為進(jìn)一步提高制造工藝技術(shù)水平、增強(qiáng)企業(yè)的品牌競(jìng)爭(zhēng)能力、提升企業(yè)的經(jīng)濟(jì)效益，********啟動(dòng)“******”********項(xiàng)目。關(guān)鍵詞：****企業(yè)，網(wǎng)絡(luò)，信息安全，無(wú)線局域網(wǎng)Cigarette enterprise network planning and designAbstract：The network technology has been quite mature up till now. People39。除了可以完成主要的路由任務(wù)，利用訪問控制列表，路由器還可以用來(lái)完成以路由器為中心的流量控制和過(guò)濾功能。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了企業(yè)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。企業(yè)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個(gè)層次：接入層、分布層、核心層。在本工程案例設(shè)計(jì)中，分別采用專線連接的VPN和PBR兩種方式實(shí)現(xiàn)遠(yuǎn)程訪問需求[3]。它分為兩個(gè)部份：一個(gè)是服務(wù)器端，而另一個(gè)是客戶端?？蛻粢部梢哉?qǐng)求使用自己喜歡的網(wǎng)絡(luò)地址及相應(yīng)的配置參數(shù)[5]。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。該協(xié)議中含有多種路由器，對(duì)應(yīng)一個(gè)虛擬路由器。路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使用的是實(shí)際 IP 地址，而并非虛擬地址，正是基于這一點(diǎn)，HSRP 路由器間能相互識(shí)別[7]。認(rèn)證的原理是每個(gè)用戶都有一個(gè)唯一的權(quán)限獲得標(biāo)準(zhǔn)。一旦用戶通過(guò)了認(rèn)證，他們也就被授予了相應(yīng)的權(quán)限。簡(jiǎn)而言之，ACL可以過(guò)濾網(wǎng)絡(luò)中的流量，控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。例如，用戶可以允許Email通信流量被路由，拒絕所有的Telnet通信流量。辦公大樓設(shè)計(jì)：辦公大樓設(shè)計(jì)主要為辦公大樓、技術(shù)中心和實(shí)驗(yàn)室基礎(chǔ)網(wǎng)絡(luò)的設(shè)計(jì)。我司選用兩臺(tái)思科高性能Cisco Nexus 7000系列核心交換機(jī)互為冗余，以提供盡可能最好的系統(tǒng)級(jí)冗余性。另外各配了一塊千兆70公里遠(yuǎn)距離單模模塊用于與****公司總部雙鏈路進(jìn)行互連，和與中山南路77號(hào)原廠單鏈路進(jìn)行互連。一般來(lái)說(shuō)，內(nèi)部威脅比外部威脅的損失更高、破壞性更大，同時(shí)，外部威脅發(fā)生的頻率卻更高。憑借思科 IPS傳感器軟件的內(nèi)置防御技術(shù)，思科 IPS 4200系列傳感器能準(zhǔn)確地檢測(cè)、分類和終止惡意流量的傳輸。它們?nèi)鄙僦庇^的界面、提供的功能有限，給出含義模糊甚至無(wú)用的事件消息。因此需要的是一個(gè)能清楚地將相關(guān)數(shù)據(jù)與安全性以及系統(tǒng)管理員聯(lián)系起來(lái)，并產(chǎn)生快速評(píng)價(jià)與響應(yīng)的解決方案。 身份認(rèn)證系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)信息安全是指通過(guò)保護(hù)網(wǎng)絡(luò)程序、數(shù)據(jù)或者設(shè)備，使其免受非授權(quán)使用或訪問，來(lái)達(dá)到保護(hù)信息和資源、保護(hù)客戶和用戶、保證私有性等目的。 網(wǎng)絡(luò)管理系統(tǒng)設(shè)計(jì)通過(guò)在網(wǎng)絡(luò)中心安裝集中網(wǎng)管系統(tǒng)，通過(guò)帶內(nèi)的方式實(shí)現(xiàn)對(duì)整網(wǎng)設(shè)備的統(tǒng)一管理，提供集中、統(tǒng)一、分級(jí)、分權(quán)的網(wǎng)元管理、網(wǎng)絡(luò)管理功能。基于IP路由器的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分成兩層，上層由路由器和IP子網(wǎng)組成，IP子網(wǎng)表示某一傳輸類型的物理網(wǎng)絡(luò)，如以太網(wǎng)，F(xiàn)rame Relay網(wǎng)等，在同一IP子網(wǎng)下的所有設(shè)備具有同樣的IP子網(wǎng)地址設(shè)置；路由器和IP子網(wǎng)之間通過(guò)路由器端口連接，如以太網(wǎng)口，F(xiàn)rame Relay廣域網(wǎng)口等。對(duì)所有設(shè)備和設(shè)備組件的操作都通過(guò)右鍵菜單來(lái)完成。 Trap和Alarm可以同屏顯示也可以分屏顯示。 MML Alarm本身是ASCII字符流，故障后臺(tái)經(jīng)過(guò)適當(dāng)?shù)淖侄味ㄎ缓笾苯尤霂?kù)和發(fā)送給前臺(tái)進(jìn)程。用戶也可以收集一定時(shí)間段內(nèi)的性能數(shù)據(jù)，并保存在數(shù)據(jù)庫(kù)中，以做進(jìn)一步的分析。每臺(tái)6509另外配置了一塊48口光纖模塊和一塊48口千兆電口模塊，用于小型機(jī)及服務(wù)器接入，配置一塊萬(wàn)兆光纖模塊用于與網(wǎng)絡(luò)核心區(qū)域設(shè)備nexus7000互連。技術(shù)中心樓層交換機(jī)選用思科2960S系列可堆疊交換機(jī)，部署4臺(tái)48口千兆POE交換機(jī)和4臺(tái)24口千兆POE交換機(jī)用于無(wú)線AP POE供電接入和終端接入，另外4臺(tái)48口千兆交換機(jī)用于終端接入。管理網(wǎng)絡(luò)接入交換機(jī)選用思科2960S系列交換機(jī)，通過(guò)部署一臺(tái)思科3560 12口千兆光纖交換機(jī)作為匯聚交換機(jī)提供樓層交換機(jī)接入，另外部署1臺(tái)48口千兆POE交換機(jī)和2臺(tái)24口千兆POE交換機(jī)用于無(wú)線AP POE供電接入和終端接入，部署1臺(tái)48口千兆交換機(jī)和1臺(tái)24口千兆交換機(jī)用于終端接入。 能源管理中心區(qū)域設(shè)計(jì)能源管理中心區(qū)域共有15個(gè)弱電間，各弱電間信息點(diǎn)情況如下表：序號(hào)區(qū)域中心機(jī)房位置弱電間編號(hào)電腦信息點(diǎn)無(wú)線AP點(diǎn)1辦公輔房一層弱電間(匯聚層)41A5752辦公輔房一層弱電間141B4323辦公輔房一層弱電間241C1914生產(chǎn)區(qū)弱電間41D3　5消防值班控制室41E9　6綜合庫(kù)弱電間51A44　7污水處理站值班室71A9　8香精香料配送中心控制室91A5　9廢品庫(kù)及垃圾站101A16510地下油罐及油泵房值班室81A5　11物流東大門及門衛(wèi)室值班室141A4　12物流西大門及門衛(wèi)室值班室131A4　13主大門及門衛(wèi)室(監(jiān)控室)111A8　14主大門及門衛(wèi)室(監(jiān)控室)111B7　15次大門及門衛(wèi)室(監(jiān)控室)121A8　根據(jù)能源管理中心信息點(diǎn)，能源管理網(wǎng)絡(luò)拓?fù)鋱D如下：能源管理中心匯聚交換機(jī)采用兩臺(tái)思科4506互為冗余備份，每臺(tái)匯聚交換機(jī)配置2端口萬(wàn)兆光纖模塊用于與核心交換機(jī)nexus7000相連，配置一塊24口千兆光纖模塊用于樓層交換機(jī)接入，配置48口千兆電口模塊用于服務(wù)器接入和日常網(wǎng)絡(luò)維護(hù)。無(wú)線接入層包括不同類型的無(wú)線接入點(diǎn)，可能有室內(nèi)AP，室外型AP，甚至可以是MESH AP。聯(lián)合工房、能源管理中心和卷包數(shù)無(wú)線接點(diǎn)均在廠房?jī)?nèi)，所以我司選用42臺(tái)思科3502I無(wú)線AP作為車間AP。無(wú)線網(wǎng)絡(luò)中的每個(gè)無(wú)線接入點(diǎn)都如此，它們必須將自己綁定到一個(gè)無(wú)線控制器才能啟動(dòng)并支持無(wú)線客戶端。憑借WCS，網(wǎng)絡(luò)管理員可擁有單一解決方案，來(lái)進(jìn)行RF預(yù)測(cè)、策略配置、網(wǎng)絡(luò)優(yōu)化、排障、用戶跟蹤、安全監(jiān)控和無(wú)線網(wǎng)絡(luò)系統(tǒng)管理。同時(shí)，WCS可以提供詳細(xì)的熱點(diǎn)圖，顯示了所輸入的地面之上的RF覆蓋范圍?？蛻舳斯收吓懦ぞ撸阂粋€(gè)內(nèi)置的客戶端故障排除工具允許網(wǎng)絡(luò)管理員快速方便地對(duì)客戶端問題進(jìn)行故障排除。此外還能定義思科WCS園區(qū)、建筑物或樓層區(qū)域，來(lái)根據(jù)網(wǎng)絡(luò)地點(diǎn)限制訪客用戶的接入。 酷睿? i7 640LM處理器()/英特爾174。 Int Ant。思