【正文】 基于 Mac 地址、基于 IP 地址的包過濾控制功能。 易操作可管理性分析 提供中文方式的圖形用戶界面，簡(jiǎn)單易學(xué)，方便實(shí)用。在設(shè)計(jì)園區(qū)網(wǎng)的設(shè)備選擇上，要求網(wǎng)絡(luò)設(shè)備支持標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理協(xié)議 SNMP，同時(shí)支持 RMON/RMONII 協(xié)議，核心設(shè)備要企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 7 求支持 RAP (遠(yuǎn)程分析端口 ) 協(xié)議，實(shí)施充分的網(wǎng)絡(luò)管理功能。該子系統(tǒng)亦包括各配線間的配線架，跳接線等。整個(gè)園區(qū)設(shè)備間機(jī)房安置在總部大樓的 10 樓，各分公司的設(shè)備間機(jī)房安置在各分公司的一樓。 總體方案設(shè)計(jì)策略 為了實(shí)現(xiàn)以上網(wǎng)絡(luò)設(shè)計(jì)原則，使企業(yè)園區(qū)網(wǎng)絡(luò)具有良好的 擴(kuò)展性能力和靈活的便于管理，易于維護(hù)，在網(wǎng)絡(luò)設(shè)計(jì)上采用了一下策略。 統(tǒng)一標(biāo)準(zhǔn)，統(tǒng)一網(wǎng)絡(luò) 網(wǎng)絡(luò)規(guī)模的擴(kuò)大對(duì)于企業(yè)的管理提出了嚴(yán)格的要求， 俗話說無規(guī)矩不成方圓，必須有統(tǒng)一的 IP 應(yīng)用標(biāo)準(zhǔn)（ IP 地址，路由協(xié)議），安全標(biāo)準(zhǔn)， 接入標(biāo)準(zhǔn)和網(wǎng)絡(luò)管理平臺(tái)，才能實(shí)現(xiàn)真正的統(tǒng)一管理，便于集團(tuán)的管理和網(wǎng)絡(luò)策略的實(shí)施。 建議每棟建筑物內(nèi)的局域網(wǎng)劃分 8 個(gè) 1 指旭日集團(tuán)的 OA 類應(yīng)用。另外，通過多個(gè)熱備份組，路由器可以提供冗余備份，并在不同的 IP 子網(wǎng)上實(shí)現(xiàn)負(fù)載分擔(dān) [11]。 具體主要配置命令如下： STP 根網(wǎng)橋配置（將核心交換機(jī) SW1 配置為根網(wǎng)橋） sw1(config)spanningtree vlan 1 priority 0 //最高優(yōu)先級(jí) sw1(config)spanningtree vlan 8 priority 0 sw1(config)spanningtree vlan 10 priority 0 sw1(config)spanningtree vlan 11 priority 0 sw1(config)spanningtree vlan 12 priority 0 STP 備份根網(wǎng)橋配置（將核心交換機(jī) SW2 配置為備份根網(wǎng)橋） sw2(config)spanningtree vlan 1 priority 4096 //次高優(yōu)先級(jí) sw2(config)spanningtree vlan 8 priority 4096 sw2(config)spanningtree vlan 10 priority 4096 sw2(config)spanningtree vlan 11 priority 4096 SW1 的 HSRP 配置 sw1(config)interface vlan 8 sw1(configif)standby 8 ip //配置 HSRP 組 8 的虛 IP sw1(configif)standby 8 priority 120 //配置 HSRP 組 8 的優(yōu)先級(jí) sw1(configif)standby 8 preempt // 配置 HSRP 組 8 的搶占 sw1(configif)exit sw1(config)interface vlan 10 sw1(configif)standby 10 ip //配置 HSRP 組 10 的虛 IP sw1(configif)standby 10 priority 120 //配置 HSRP 組 10 的優(yōu)先級(jí) sw1(configif)standby 10 preempt // 配置 HSRP 組 10 的搶占 sw1(configif)standby 10 track fastEther 0/12 30 //配置 HSRP 組 10 跟蹤上連接口，上連接口DOWN 則優(yōu)先級(jí)減 30 sw1(configif)exit sw1(configif)standby 11 ip //配置 HSRP 組 11 的虛 IP sw1(configif)standby 11 preempt // 配置 HSRP 組 11 的搶占 sw1(configif)exit 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 16 sw1(config)interface vlan 12 sw1(configif)standby 12 ip //配置 HSRP 組 12 的虛 IP sw1(configif)standby 12 priority 120 //配置 HSRP 組 12 的優(yōu)先級(jí) sw1(configif)standby 12 preempt // 配置 HSRP 組 12 的搶占 sw1(configif)exit （優(yōu)先級(jí)默認(rèn)為 100） 主要命令如上所示，其他設(shè)備的進(jìn)行相應(yīng)的配置，三層交換機(jī)是配置的核心， STP生成樹協(xié)議， HSRP 等的具體配置都在其上邊進(jìn)行，同時(shí)為不同部門之間劃分 VLAN 同時(shí)配置相應(yīng)的 IP 和虛擬 IP，分配端口；在二層交換機(jī)上劃分相應(yīng)的 VLAN，需要的同時(shí) 可以配置管理 IP，可以使用交換機(jī)的疊加原理，便于公司人員的擴(kuò)充，兩個(gè)二層交換機(jī)的VLAN 劃分要相同，最后接入的用戶分屬于不同部門不同 VLAN，最后測(cè)試成功，完成鏈路的冗余備份，總司出口為 R1，在其上邊配置了 ACL 訪問控制列表，同時(shí)優(yōu)化擴(kuò)充為基于時(shí)間的控制列表，配置完成后接著配置實(shí)現(xiàn)與分公司之間通信的 IPsec VPN 隧道技術(shù)。 訪問控制列表不但可以起到控制網(wǎng) 絡(luò)流量、流向的作用，而且在很大程度上起到保護(hù)網(wǎng)絡(luò)設(shè)備、服務(wù)器的關(guān)鍵作用。 與 RIP 不同， OSPF 將一個(gè)自治域再劃分為區(qū)，相應(yīng)地即有兩種類型的路由選擇方式：當(dāng)源和目的地在同一區(qū)時(shí)，采用區(qū)內(nèi)路由選擇；當(dāng)源和目的地在不同區(qū)時(shí)，則采用區(qū)間路由選擇。如果一方在 nat 之后，那就比較羅嗦了。如果想擴(kuò)大企業(yè)園區(qū)的拓?fù)鋼浣Y(jié)構(gòu)可以增加交換機(jī)的級(jí)聯(lián)，實(shí)現(xiàn)端口密度的擴(kuò)充，增加相同結(jié)構(gòu)，實(shí)現(xiàn)擴(kuò)展，同時(shí)增加路由數(shù)量實(shí)現(xiàn)多級(jí)擴(kuò)充，對(duì)設(shè)備的配置基本相同，最終實(shí)現(xiàn)了企業(yè)的良好的擴(kuò)展性，增大園區(qū)規(guī)模，也保證了數(shù)據(jù)的高效傳輸。采用這種結(jié)構(gòu)，可以將網(wǎng)絡(luò)中的全部資源，分散到每個(gè)域的域控制器中存儲(chǔ)，減少了每臺(tái)域控制器的信息存儲(chǔ)，從而減少復(fù)制流量和網(wǎng)絡(luò)對(duì)象的查詢時(shí)間。在本域內(nèi)的權(quán)限的分配，可以使用 AGDLP 策略，在域間的權(quán)限分配，使得 AGDLP 策略，依次將用戶加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權(quán)限授予指定的域本地組，采用這樣的方式，不僅可以使用戶的組織和權(quán)限分配簡(jiǎn)單，也可以減少域間的復(fù)制流量，從而提高系統(tǒng)的性能 [16]。 服務(wù)器發(fā)布：利用 ISA 服務(wù)器將企業(yè)中的郵件和 WEB 服務(wù)器發(fā)布到互聯(lián)網(wǎng)上，保證外部用戶可以訪問公司的 WEB服務(wù)器，并將公司用戶可以與外部客戶利用郵件交換信息。 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 27 IPsec VPN 功能模塊測(cè)試 Ipsec VPN 測(cè)試成功圖如 63 所示： 圖 6– 3 Ipsec VPN 測(cè)試成功圖 基于 ESP 加密的抓包圖如 64 所示： 圖 6– 4Ipsec VPN 測(cè)試成功圖 IPsec VPN 配置完成以后，采用了 GRE 隧道模式，全局啟用 I。 防火墻功能： ISA 服務(wù)器位于企業(yè)網(wǎng)絡(luò)和外網(wǎng)之間，采用三網(wǎng)卡分別連接內(nèi)網(wǎng)和外網(wǎng)和 DZM 區(qū)，充分利用防火墻的角色，并利用網(wǎng) 站和內(nèi)容規(guī)則來限制用戶能夠訪問的網(wǎng)站。 組的管理 為了滿足集團(tuán)用戶管理的需求，更好的在網(wǎng)絡(luò)中管理用戶權(quán)限的分配，使系統(tǒng)的管理得到最大的簡(jiǎn)化，方案中采用 AGDLP 策略及 AGUDLP 策略。本方案采用 Windows 系統(tǒng)提供的域模式來組織和管理全部系統(tǒng)資源，采用域的模式，不僅可以集中存儲(chǔ)網(wǎng)絡(luò)對(duì)象，并且管理簡(jiǎn)單，即實(shí)現(xiàn)了集中管理，又可以滿足不同公司自身的安全需求。 IPsec VPN 功能模塊拓?fù)鋱D如 49 所示： 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 22 圖 4– 9 Ipsec VPN 拓?fù)鋱D 在總部與分公司的連接通信中，為了保證通信的安全高效性，使 用了 IPsec VPN 技術(shù)來實(shí)現(xiàn)異地的通信，通過互聯(lián)網(wǎng)傳輸，為自己建立一條隧道，使用 GRE 隧道技術(shù)，采用了 IPsec VPN 的封裝協(xié)議，使用加密算法，身份認(rèn)證及共享密鑰機(jī)制，實(shí)現(xiàn)了公司各部門之間數(shù)據(jù)的安全傳輸。 生成樹配置圖如 48 所示： 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 20 圖 4– 8 生成樹協(xié)議配置圖 IPsec VPN 功能模塊 IPsec VPN 通過 Inter 建立了一個(gè)通訊的隧道，通過這個(gè)通訊的隧道，就可以建立起網(wǎng)絡(luò)的連接。利用 OSPF 的路由器首先必須收集有關(guān)的鏈路狀態(tài)信息，并根據(jù)企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 19 一定的算法計(jì)算出到每個(gè)節(jié)點(diǎn)的最短路徑。這些指令列表用來告訴路由器哪能些數(shù)據(jù)包可以收、哪能數(shù)據(jù)包需要拒絕。 熱備份優(yōu)先級(jí)：在主用的多層交換機(jī)了，某個(gè) VLAN 虛擬接口的熱備份優(yōu)先級(jí)是 120。當(dāng)網(wǎng)絡(luò)邊緣設(shè)備或接入電路出現(xiàn)故障時(shí)， HSRP 提供 了一個(gè)較好的解決方案，它能夠確保用戶通信迅速并透明地恢復(fù)，以此為 IP 網(wǎng)絡(luò)提供冗余性、容錯(cuò)和增強(qiáng)的路由選擇功能。 VLAN 設(shè)計(jì)規(guī)范 企業(yè)內(nèi)的局域網(wǎng)進(jìn)行 VLAN劃分 ,可以減少網(wǎng)絡(luò)內(nèi)的廣播數(shù)據(jù)包 ,提高網(wǎng)絡(luò)運(yùn)行效率 。 降低各個(gè)子公司之間的網(wǎng)絡(luò)關(guān)聯(lián)度 將各個(gè)子公司之間的網(wǎng)絡(luò)的關(guān)聯(lián)度降低到最低的策略，可 以最大限度的減少各個(gè)子公司網(wǎng)絡(luò)之間的相互影響，便于分別管理，或者在不同子公司擴(kuò)展網(wǎng)絡(luò)的新應(yīng)用。第一分部與主樓相距 50 米，第二分部與主樓相距也是 50 米，第三分部與主樓相距 5 公里，第四分部與主 樓相距 8公里，另分公司武漢有自己的辦公樓。建筑群布線子系統(tǒng)提供了各建筑物間通信網(wǎng)絡(luò)連接和信息交換的通道。水平布線提供大樓網(wǎng) 絡(luò)通信系統(tǒng)到用戶終端設(shè)備的信息傳輸。網(wǎng)絡(luò)管理的目標(biāo)是實(shí)現(xiàn)零管理，基于策略的管理方式，網(wǎng)絡(luò)管理是通過制定統(tǒng)一的策略，由管理策略服務(wù)器進(jìn)行全局控制的。 網(wǎng)絡(luò)結(jié)構(gòu)穩(wěn)定性 當(dāng)增加 /擴(kuò)充應(yīng)用子系統(tǒng)時(shí)，不影響網(wǎng)絡(luò)的整體結(jié)構(gòu)以及整體性能，對(duì)關(guān)鍵的網(wǎng)絡(luò)連接采用主備方式，已保證數(shù)據(jù)的傳輸?shù)目煽啃?。在企業(yè)園區(qū)網(wǎng)絡(luò)中，關(guān)鍵應(yīng)用服務(wù)器、核心網(wǎng)絡(luò)設(shè)備，只有系統(tǒng)管理人員才有操作、控制的權(quán)力。 支持： IPsec、 L2TP、 GRE、 MPLSVPN 規(guī)范。 (3) 內(nèi)、外網(wǎng)隔離 過硬盤隔離卡及雙布線系統(tǒng)、雙網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)辦公內(nèi)網(wǎng)與外網(wǎng)隔離。由于涉及的建筑物較多，規(guī)模較大，應(yīng)此將其定位為智能化園區(qū)綜合布線系統(tǒng)。 HSRP 協(xié)議只支持一個(gè)路由器代表虛擬路由器實(shí)現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過程。它應(yīng)該能夠連接 Inter，有可能是直接連接，比如 adsl、電話撥號(hào)等等，也可能是通過 nat 方式，例如：小區(qū)寬帶、 cdma上網(wǎng)、鐵通線路等等。 IPSEC 引進(jìn)了完整的安全機(jī)制，包括加密、認(rèn)證和數(shù)據(jù)防篡改功能。 基于時(shí)間訪問列表的設(shè)計(jì)中，用 timerange 命令來指定 時(shí)間范圍的名稱，然后用absolute 命令，或者一個(gè)或多個(gè) periodic 命令來具體定義時(shí)間范圍 [3]。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 2 企業(yè)信息系統(tǒng)的研究意義 擁有企業(yè)信息系統(tǒng)是現(xiàn)代化餐飲業(yè)的標(biāo)志，它對(duì)企業(yè)的服務(wù)質(zhì)量、管理水平和經(jīng)濟(jì)效益都有至關(guān)重要的影響。 (4) 具有較好的可擴(kuò)展性，為今后的網(wǎng)絡(luò)擴(kuò)容作好準(zhǔn)備 。計(jì)算機(jī)網(wǎng)絡(luò)的技術(shù)發(fā)展相當(dāng)迅速，攻擊手段也是層出不窮。 南 陽 理 工 學(xué) 院 本科生畢業(yè)設(shè)計(jì) (論文 ) 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 Design and Optimization of Enterprise Network 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 南 陽 理 工 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì) (論文 ) 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 Design and Optimization of Enterprise Network 南陽理工學(xué)院 Nanyang Institute of Technology 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 [摘 要 ] 二十一世紀(jì)是信息化世紀(jì)， 辦公自動(dòng)化、網(wǎng)絡(luò)化、信息化、已經(jīng)成為一種必不可少的必備條件，因此企業(yè)需要加強(qiáng)自身的網(wǎng)絡(luò)建設(shè)，提高自己的競(jìng)爭(zhēng)力，促進(jìn)自己的發(fā)展。 同時(shí)隨著計(jì)算機(jī)網(wǎng)絡(luò)越來越深入到人們生活中的各個(gè)方面，計(jì)算機(jī)網(wǎng)絡(luò)安全性也就變的越來越重要。 (3) 完全符合開放性規(guī)范，將業(yè)界優(yōu)秀的產(chǎn)品集成于該綜合網(wǎng)絡(luò)平臺(tái)之中。設(shè)備在選型上要是擁有足夠?qū)嵙褪袌?chǎng)份額的主流產(chǎn)品，同時(shí)也要有好的售后服務(wù)。 2 關(guān)鍵技術(shù)介紹 ACL 簡(jiǎn)介 ACL 是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。首先定義一個(gè)時(shí)間范圍，然后在原來的各種訪問列表的基礎(chǔ)上應(yīng)用它。原來的 TCP/IP 體系中間，沒有包括基于安全的設(shè)計(jì)，任何人，只要能夠搭入線路，即可分析所有的通訊數(shù)據(jù)。在 VPN 組網(wǎng)中間，屬于組網(wǎng)的一個(gè)通訊節(jié)點(diǎn)。 HSRP：熱備份路由器協(xié)議（ HSRP： Hot Standby Router Protocol），是 cisco 平臺(tái)一種特有的技術(shù)，是 cisco