【正文】 整個 AS 劃分為若干個區(qū)域，區(qū)域內(nèi)的路由器維護(hù)一個相同的鏈路狀態(tài)數(shù)據(jù)庫，保存該區(qū)域的拓?fù)浣Y(jié)構(gòu)。 Cisco Catalyst 2960 系列智能以太網(wǎng)交換機(jī)是一個全新的、固定配置的獨(dú)立設(shè)備系列，提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，可為入門級企業(yè)、中型市場和分支機(jī)構(gòu)網(wǎng)絡(luò)提供增強(qiáng) LAN 服務(wù)。這個新的產(chǎn)品系列采用了最新的思 StackWise 技術(shù)，不但實(shí)現(xiàn)高達(dá) 32Gbps 的 堆疊互聯(lián)，還從物理上到邏輯上使若干獨(dú)立交換機(jī)在堆疊時集成在一起，便于用戶建立一個統(tǒng)一、高度靈活的交換系統(tǒng) ， 就好像是一整臺交換機(jī)一樣。 核心層設(shè)計(jì) 核心交換機(jī)通過配置高性能交換路由引擎、冗余電源，來實(shí)現(xiàn)整個網(wǎng)絡(luò)系統(tǒng)的高可用和高可靠性。多層模式使網(wǎng)絡(luò)的移植更為簡單易行，因?yàn)樗Ａ艨椿诼酚善骱徒粨Q機(jī)的網(wǎng)絡(luò)原有的尋址方案，對以往的網(wǎng)絡(luò)有很好的兼容性。樹形拓?fù)渫ǔ２捎猛S電纜作為傳輸介質(zhì)，而且使用寬帶傳輸技術(shù)。 （ 9）網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強(qiáng)大的性能，以滿足用戶日益增長的通信需求。 用戶現(xiàn)實(shí)需求 （ 1）實(shí)現(xiàn)公司內(nèi)部資源共享，即文件服務(wù)器，但是對不同的資源要有相應(yīng)的權(quán)限。 （ 2）高性能 —— 承載網(wǎng)絡(luò)性能是網(wǎng)絡(luò)通訊系統(tǒng)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)、語音、圖象）的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為金融公司各項(xiàng)業(yè)務(wù)開展的瓶頸。將傳統(tǒng)的管理模式轉(zhuǎn)變到數(shù)字化的現(xiàn)代管理模式，有助于各類資 源的系統(tǒng)整合，長遠(yuǎn)來看將提高公司在未來市場經(jīng)濟(jì)中的競爭力。 信息技術(shù)自誕生之日起，就對金融行業(yè)產(chǎn)生了深遠(yuǎn)的影響，尤其是上世紀(jì) 90年代以來，隨著金 融服務(wù)業(yè)全球化和競爭日益劇烈 ， 促使金融公司加快運(yùn)用各種新的信息技術(shù)手段來提高公司管理水平 ， 可以說金融業(yè)已經(jīng)成為信息技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展的最大收益者之一。公司網(wǎng)已經(jīng)越來越多地被人們提到，利用網(wǎng)絡(luò)技術(shù)，現(xiàn)代企業(yè)可以在客戶、合作伙伴、員工之間實(shí)現(xiàn)優(yōu)化的信息溝通，公司網(wǎng)絡(luò)的優(yōu)劣直接關(guān)系到公司能否獲得關(guān)鍵的競爭優(yōu)勢。 關(guān)鍵詞 ：網(wǎng)絡(luò)層次化； 熱備份； 虛擬局域網(wǎng)； 控制列表； 防火墻東華理工 大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） ABSTRACT II ABSTRACT As the highspeed development of the work technique, the quality of enterprise work has already bee one of the standards that measure the petition ability of the enterprise. Aiming at the characteristics of the certificate profession, this paper will introduce an overall design of professional work applying for enterprise. Seriously Considering the load balance and stability of the work, we adopt three layers structure in the design. Core Layer adopts two equipments to master slave scratching and duplicate copy with the protocol of Cisco HSRP. Convergence layer adopts double link and the core is connected, to improve link stability and dual link bundling improves the work link bandwidth utilization, all gateway in convergence layer avoid broadcasting arrived at the core, improve the utilization rate of core routing to achieve high speed data forwarding routing protocol chooses the protocol of OSPF, which has high security and rapidly converging. The server applications set the point on introducing the method of creation and software selection for the mon enterprise server applications, such as DHCP, the mail server and the FTP server etc. In order to set up a safety, fuelefficient and reliable enterprise work, we put forward the VLAN technique, the fire wall technique for the different needs in resisting the safety threaten. Keywords: Hierarchical Network。 畢業(yè)設(shè)計(jì)（論文 ） 題 目： 企業(yè)局域網(wǎng)規(guī)劃和設(shè)計(jì) Title： Enterprise LAN planning and design 系 別： 軟件學(xué)院 專 業(yè)： 網(wǎng)絡(luò)工程 學(xué) 號： 08114132 學(xué)生姓名： 張 偉 指導(dǎo)教師： 王 志 波 二零一二 年 三 月東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 摘要 I 摘 要 網(wǎng)絡(luò)技術(shù)高速發(fā)展的今天，企 業(yè)網(wǎng)絡(luò)的優(yōu)劣已經(jīng)成為衡量 企業(yè)競爭力的標(biāo)準(zhǔn)之一。對于網(wǎng)絡(luò)中可能存在的安全威脅，針對不同的需求，方案中提出了 VLAN 技術(shù)、訪問控制列表、防火墻技術(shù)等安全解決方案，以求構(gòu)建一個安全、高效、可考性業(yè)務(wù)網(wǎng)絡(luò)。公司內(nèi)部網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提升企業(yè)核心競爭力的關(guān)鍵因素。只有充分利用現(xiàn)代網(wǎng)絡(luò)技術(shù)，組建好企業(yè)的局域網(wǎng)，才能為企業(yè)插上騰飛的翅膀，帶來企業(yè)的蓬勃發(fā)展。 公司要在激烈的市場競爭中處于有利的位置，就要保持高水平的服務(wù)質(zhì)量和良好的運(yùn)營成本控制。 考慮到金融行業(yè)數(shù)據(jù)的重要性、保密性，為了保證多想金融業(yè)務(wù)的順利進(jìn)行，保證網(wǎng)絡(luò)的不間斷運(yùn)行，網(wǎng)絡(luò)平臺應(yīng)具有以下一些特點(diǎn)： （ 1）高可靠性 —— 網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵 保證，在 設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持各個系統(tǒng)的正常運(yùn)行。 （ 7）靈活性及可擴(kuò)展性 —— 根據(jù)未來業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)可以平滑 地?cái)U(kuò)充東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 需求分 析 3 和升級，減少最大程度的減少對網(wǎng)絡(luò)架構(gòu)和設(shè)備的調(diào)整。 （ 8）網(wǎng)絡(luò)管理需求：網(wǎng)絡(luò)調(diào)試期間 最消耗人力與物力的線纜故障定位工作，網(wǎng)絡(luò)運(yùn)行期間對不同用戶靈活的服務(wù)策略部署、訪問權(quán)限控制、以及網(wǎng)絡(luò)日志審計(jì)和病毒控制能力等方面的管理工作 。它有一個帶分支的根，還可再延伸出若干子分支。多層次東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 網(wǎng)絡(luò)整體設(shè)計(jì) 5 網(wǎng)絡(luò)有很大的確定性，因此在運(yùn)行和擴(kuò)展過程中進(jìn)行故障查找和排出非常簡單。主要進(jìn)行 VLAN 的換分、與分布層的連接等。 Cisco Catalyst 3750 系列交換機(jī)是一個創(chuàng)新的產(chǎn)品系列，它結(jié)合業(yè)界領(lǐng)先的易用性和最高的冗余性，里程碑地提升了堆疊式交換機(jī)在局域網(wǎng)中的工作效率。辦公系統(tǒng)所需的各種服務(wù)器如郵件服務(wù)器、 DHCP 服務(wù)器等組成服務(wù)器群，連接到匯聚交換機(jī)的 千兆模塊上面 ， 因此，內(nèi)部的局域網(wǎng)采用三層結(jié)構(gòu)組建。對于大型的網(wǎng)絡(luò)，為了進(jìn)一步減少路由協(xié)議通信流量，利于管理和計(jì)算。 VLAN 的劃分及 IP地址規(guī)劃和設(shè)備命名規(guī)則 LAN 的劃分一般有三種方法，一是基于端口、二是基于 MAC 地址、最后是基于路由的劃分。 舉例說明 ： XSXRMYYBYXZYCISCO65061 表示： XXXXX樓一樓的思科 CISCO 6506。 設(shè)備編號：處于同一位置，同類設(shè)備的編碼順序，為一位阿拉拍數(shù)字，按 19的順序編號。常見的郵件服務(wù)器軟件有很多，例如：微軟 Exchange Server 、 MDaemon Server、 WinWebMail 、 IMail Server 等等。 新的基于查詢的通訊組列表，它現(xiàn)在支持動態(tài)地實(shí)時查找成員。 WEB 服務(wù)器 WEB 服務(wù)器也稱為 WWW（ WORLD WIDE WEB） 服務(wù)器，主要功能是提供網(wǎng)上信息瀏覽服務(wù)。它的成功之處主要在于它的源代碼開放、有一支開放的開發(fā)隊(duì)伍、支持跨平臺的應(yīng)用 （ 可以運(yùn)行在幾乎所有的 Unix、Windows、 Linux 系統(tǒng)平臺上 ） 以及它的可移植性等方面。重要服務(wù)器的當(dāng)機(jī)或者重要數(shù)據(jù)的意外丟失，都將會造成公司日常辦公無法進(jìn)行。 外網(wǎng)安全方面主體是在防火墻上進(jìn)行設(shè)置，外網(wǎng)安全劃分為三個區(qū)域，公網(wǎng)區(qū)域（ Inter、黨政外網(wǎng)）、 DMZ 區(qū)域（服務(wù)器區(qū)域）、內(nèi)部用戶區(qū)域。選型的原則包括： （ 1） 安全保密產(chǎn)品的接入應(yīng)不明顯影響網(wǎng)絡(luò)系統(tǒng)運(yùn)行效率，并且滿足工作的要求，不影響正常的網(wǎng)上金融交易和辦公； （ 2） 安全保密產(chǎn)品必須通過國家主管部門指定的測評機(jī)構(gòu)的檢測； （ 3） 產(chǎn) 品必須具備自我保護(hù)能力； （ 4） 安全保密產(chǎn) 品必須符合國家和國際上的相關(guān)標(biāo)準(zhǔn)； （ 5） 安全產(chǎn)品必須操作簡單易用，便于簡單部署和集中管理。 各個 VLAN 之間數(shù)據(jù)的傳輸，必須經(jīng)過 Trunk 鏈路。這些指令列表用來告訴路由器哪 些數(shù)據(jù)包可以收、哪些 數(shù)據(jù)包需要拒絕。有的部門可能對信息的保密要求沒有那么高，那么就可以使用擴(kuò)展訪問列表，只對某一端口的數(shù)據(jù)進(jìn)行控制，如 tel 等。 企業(yè) 網(wǎng)防火墻的網(wǎng)絡(luò)安全策略采取第一種安全控制的方針，確定所有可以被提供的服務(wù)以及它們的安全特性，然后開放這些服務(wù)，并將所有其它未被列入的服務(wù)排斥在外，禁止訪問。對于要保護(hù)的大部分內(nèi)部網(wǎng)絡(luò)，一般情況下禁止所有來自互聯(lián)網(wǎng)用戶的訪問；而由內(nèi)部網(wǎng)絡(luò)劃分出去的 DMZ 區(qū)，因需為互聯(lián)網(wǎng)應(yīng)用提供相關(guān) 的服務(wù)，這些服務(wù)器上所安裝的服務(wù)非常少，所允許的權(quán)限非常低，真正有服務(wù)器數(shù)據(jù)是在受保護(hù)的內(nèi)部網(wǎng)絡(luò)主機(jī)東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 防火墻配置 18 上，所以黑客攻擊這些服務(wù)器沒有任何意義，既不能獲取什么有用的信息，也不能通過攻擊它而獲得過高的網(wǎng)絡(luò)訪問權(quán)限。在此拓?fù)浣Y(jié)構(gòu)中，邊界路由器與防火墻就一起組成了兩道安全防線，并且在這兩者之間可以設(shè)置一個 DMZ 區(qū)，用來放置那些允許外部用戶訪問的公用服務(wù)器設(shè)施。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透 明的訪問，同時阻止了外部未授權(quán)訪問者對專用網(wǎng)絡(luò)的非法訪問 ； 防火墻還 支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個子網(wǎng)之間的安全訪問； （ 5） 入侵檢測 ： 通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。 設(shè)置接口的 區(qū)域 ： set interface interface zone zone unset interface interface zone 設(shè) 置接口的 IP 地址 ： set interface interface ip ip_addr/mask set interface interface ip unnumbered interface interface2 unset interface interface ip ip_addr 接口管理設(shè)置 ： set interface manage{identreset|nsmgmt|ping|snmp|ssh|ssl|tel|webui} unset interface interface manage{identreset|nsmgmt|ping|snmp|ssh|tel|webui} WebUI：允許接口通過 Web 用戶界面 （ WebUI） 接收 HTTP 管理信息流。 Ping： 選此選項(xiàng)將允許 NetScreen 設(shè)備響應(yīng) ICMP 回應(yīng)請求，以確定是否可通過網(wǎng)絡(luò)訪問特定的 IP 地址。但是可以通過 IP 地址與用戶的綁定，因?yàn)橛脩羰强梢钥缇W(wǎng)段的。另外對 DHCP 用戶的支持，如果在用 DHCP 服務(wù)器來動態(tài)分配 IP 地址的網(wǎng)絡(luò)中，主機(jī)沒有固定的 IP 地址，解決方法是設(shè)置防火墻支持基于 MAC 地址的訪問控制，在配置之前，先不添 IP 地址，只添加網(wǎng)卡的 MAC 地址，開機(jī)后自動將獲得的 IP 地址傳給防火墻，防火墻根據(jù)這個 IP 地址與 MAC 地址進(jìn)行綁定來實(shí)現(xiàn)訪問控制，這種方式可以實(shí)現(xiàn) IP 地址與 MAC 地址的