【正文】 8 遠(yuǎn)程登錄協(xié)議（ Tel） Tel 是應(yīng)用層的協(xié)議，它為用戶(hù)提供了在本地計(jì)算機(jī)上完成遠(yuǎn)程主機(jī)工作的能力。 在滿足實(shí)用性的基礎(chǔ)上具備一定的超前。為了緩解這種攻擊，具體的過(guò)濾將防止公共服務(wù)器向其他任何地點(diǎn)發(fā)出任何未授權(quán)請(qǐng) 求。匯聚層 交換機(jī) 采用三層交換機(jī)， 實(shí)現(xiàn) 接入層的告訴匯聚功能以及 VLAN 間 路由實(shí)現(xiàn)。在 VLAN中，網(wǎng)絡(luò)被邏輯地分割成廣播域，由 VLAN 成員所發(fā)送的信息幀或數(shù)據(jù)包僅在 VLAN 內(nèi)的成員之間傳送，而不是向網(wǎng)上的所有工作站發(fā)送。基于端口的 VLAN 的優(yōu)點(diǎn)是配置起來(lái)非常方便，只要在交換機(jī)上進(jìn)行相關(guān)的設(shè)置就可以了，適用于網(wǎng)絡(luò)環(huán)境比較固定的情況。用 此種方式構(gòu)成的 VLAN 就是一些 MAC 地址的集合 ，它解決了網(wǎng)絡(luò)處理站點(diǎn)的移動(dòng)問(wèn)題。設(shè)備選型是網(wǎng)絡(luò)工程中非常重要的一環(huán)，設(shè)備選型的好壞直接影響系統(tǒng)的實(shí)用性、穩(wěn)定性、可靠性和系統(tǒng)的費(fèi)用。網(wǎng)卡有很多種，不同類(lèi)型的網(wǎng)絡(luò)需要使用不同種類(lèi)的網(wǎng)卡，不同速度的網(wǎng)絡(luò)需求也要使用不同 的網(wǎng)卡。基帶電纜僅僅用于數(shù)字傳輸，數(shù)據(jù)率可達(dá) 10Mbps。 在內(nèi)部網(wǎng)絡(luò)通過(guò)安全網(wǎng)卡訪問(wèn)外部網(wǎng)絡(luò)時(shí) ,將產(chǎn)生一個(gè)映射記錄 。星型網(wǎng)絡(luò)幾乎是 Ether（ 以太網(wǎng) ）網(wǎng)絡(luò)專(zhuān)用。憑借一系列快速以太網(wǎng)和千兆位以太網(wǎng)配置， Cisco Catalyst 3550 系列堪稱(chēng)一款適用于企業(yè)接入應(yīng)用的強(qiáng)大選擇。 要為所有的設(shè)備設(shè)置口令。 ． VLAN 設(shè)計(jì)規(guī)范 公司 內(nèi)的局域網(wǎng)進(jìn)行 VLAN 劃分 ， 可以減少網(wǎng)絡(luò)內(nèi)的廣播數(shù)據(jù)包 ， 提高網(wǎng)絡(luò)運(yùn)行效率 ； 可以區(qū)分不同的應(yīng)用和用戶(hù) ， 方便集團(tuán)的管理與維護(hù) 。即使是多播和廣播報(bào)文也不會(huì)被復(fù)制多份，也要通過(guò)對(duì)地址的邏輯計(jì)算 ，將流量平衡分配到不同的端口上。 不僅從軟件上，而且從硬件上也支持等價(jià)路由是 Cisco6509 系列以太網(wǎng)路由交換機(jī)與業(yè)界類(lèi)似產(chǎn)品相比顯著的優(yōu)點(diǎn) 。 主要參考文獻(xiàn)資料 : 張立云主編：《計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)教程》清華大學(xué)出版社， 2021 年 4 月第一版 29 《組網(wǎng)技術(shù)與配置（第二版）》 王相林編著，清華大學(xué)出版社， 。限于知識(shí)水平，在此就不再寫(xiě)了。 等價(jià)路由（ ECMP） 除了從設(shè)備級(jí)支持三層轉(zhuǎn)發(fā)容錯(cuò)協(xié)議 VRRP 之外， Cisco6509 系列以太網(wǎng)路由 27 交換機(jī)還支持 等價(jià)路由（ ECMP） 。在 做 了鏈路聚合的端口之間可以做冗余備份和負(fù)載分擔(dān)。 作為二層的核心，只保證數(shù)據(jù)的高速轉(zhuǎn)發(fā)。通過(guò)將設(shè)備安置在獨(dú)立的設(shè)備間中，并增加門(mén)禁系統(tǒng)，確保只有授權(quán)的管理和維護(hù)人員才能接觸到物理設(shè)備。為了讓這些私有IP 地址能夠在公共 INTERNET 使用，讓使用這樣 IP 地址的工作站能夠訪問(wèn)INTERNET 上的資源，我們必須對(duì)這樣私有 IP 地址作 NAT（ work address translation）即網(wǎng)絡(luò)地址轉(zhuǎn)換。 星型結(jié)構(gòu)： 是用集線器或交換機(jī)作為網(wǎng)絡(luò)的中央節(jié)點(diǎn)，網(wǎng)絡(luò)中的每一臺(tái)計(jì)算機(jī)都通過(guò)網(wǎng)卡 連接到中央節(jié)點(diǎn)，計(jì)算機(jī)之間通過(guò)中央節(jié)點(diǎn)進(jìn)行信息交換，各節(jié)點(diǎn)呈星狀分布而得名。 網(wǎng)絡(luò)地址轉(zhuǎn)化 （ NAT）技術(shù)分析 NAT屬接入廣域網(wǎng) (WAN)技術(shù) ,是一種將私有 (保留 )地址轉(zhuǎn)化為 公有 (合法 )IP地址 的轉(zhuǎn)換技術(shù) ， 它被廣泛應(yīng)用于各種類(lèi)型 Inter 接入方式和各種類(lèi)型的網(wǎng)絡(luò)中。同軸電纜分 50Ω 基帶電纜和 75Ω 寬帶電纜兩類(lèi)。無(wú)論是雙絞線網(wǎng)絡(luò)、同軸電纜網(wǎng)絡(luò)還是光纜網(wǎng)絡(luò)，都必須借助于相應(yīng)類(lèi)型的網(wǎng)卡才能實(shí)現(xiàn)與計(jì)算機(jī)的連接，是計(jì)算機(jī)與局域網(wǎng)相互連接的惟一接口。 綜上所分析 本設(shè)計(jì) 采用劃分 VLAN 的方式是 基于端口的方法 。 MAC 地址是連接在網(wǎng)絡(luò)中的每個(gè)設(shè)備網(wǎng)卡的物理地址，由 IEEE 控制，全球找不到兩塊具有相同 MAC 地址的網(wǎng)卡。 基于端口的劃分方法 將交換機(jī)中的某些端口定義為一個(gè)單獨(dú)的區(qū)域，從而形成一個(gè) VLAN。 VLAN 作為一種網(wǎng)絡(luò)分段技術(shù)，可將廣播風(fēng)暴限制在一個(gè) VLAN 內(nèi)部，避免影響其他網(wǎng)段。 交換機(jī) 工作組交換機(jī)采用可網(wǎng)管交換機(jī)，實(shí)現(xiàn)對(duì)每臺(tái)接入計(jì)算機(jī)的控制，實(shí)現(xiàn) VLAN（虛擬網(wǎng)）的劃分，確保最大限度的網(wǎng)絡(luò)訪問(wèn)安全。從過(guò)濾的角度講，除了將公共服務(wù)區(qū)域的信息流限定到相關(guān)地址和端口外，在相反的方向上也在進(jìn)行過(guò)濾。 可擴(kuò)展性 ：隨業(yè)務(wù)不斷發(fā)展而擴(kuò)展 可擴(kuò)展性： 網(wǎng)絡(luò) 的 核心層 采用模塊化路由器 Cisco 2811， 匯聚層采用模塊化交換機(jī) ,按照 需求靈活配置各種模塊 ,做到既滿足需求 ,由留有余地。 由支持Inter 文件傳輸?shù)母鞣N規(guī)則所組成的集合。 TCP/IP 是一種分層協(xié)議，它共被分為個(gè) 4 層 次，大約包含近期 100 個(gè)非專(zhuān)有協(xié)議，通過(guò)這些協(xié)議，可以高效和可靠地實(shí)現(xiàn)計(jì)算機(jī)系 7 統(tǒng)之間的互連。因?yàn)檫B接線路都比較短，中間幾乎不會(huì)愛(ài)任何干擾，所以局域網(wǎng)還具有始終一致的低誤碼率。 交換機(jī) 要求采用主流、成熟、信譽(yù)和售后服務(wù)均佳的產(chǎn)品，核心交換機(jī)采用三層交換機(jī)，支持 VLAN 等功能， 能較好解決突發(fā)數(shù)據(jù)量和密集服務(wù)請(qǐng)求的實(shí)時(shí)響應(yīng)問(wèn)題， 在內(nèi)部用戶(hù)終端進(jìn)行視頻信號(hào)、數(shù)據(jù)交換時(shí)交換引擎不會(huì)出現(xiàn)過(guò)載現(xiàn)象和數(shù)據(jù)包碰撞、丟失的現(xiàn)象，還要考慮預(yù)防瓶頸出現(xiàn)和補(bǔ)救的相應(yīng)措施。通過(guò)信息化提高企業(yè)的競(jìng)爭(zhēng)力已成為大多數(shù)中小企業(yè)的共識(shí)，但尚有不少企業(yè)的管理 者往往認(rèn)為買(mǎi)了電腦就萬(wàn)事大吉，卻不知來(lái)建立企業(yè)內(nèi)部的局域網(wǎng)并聯(lián) 接 Inter。網(wǎng)絡(luò)需要 具有多主機(jī)跨平臺(tái)主機(jī)連接能力 ,數(shù)據(jù)集中存放、集中管理、數(shù)據(jù)有效共享、存儲(chǔ)空間共享、統(tǒng)一安全備份，可實(shí)現(xiàn)無(wú)人值守、自動(dòng)實(shí)施備份策略，備份 LANFREE、 SERVERLESS 等功能， 為全面集中管理和數(shù)據(jù)倉(cāng)庫(kù)的建設(shè)奠定堅(jiān)實(shí)的基礎(chǔ) 系統(tǒng)要求 廣泛的設(shè)備支持 ：所有操作系統(tǒng)及選擇的服務(wù)應(yīng)盡量廣泛的支持各種硬件設(shè)備 ； 穩(wěn)定性 ：系統(tǒng)的運(yùn)行應(yīng)具有高穩(wěn)定性，保障 7*24 的高性能無(wú)故障運(yùn)行。組網(wǎng)時(shí)也就相對(duì)很容易連接。 UDP 協(xié)議是一種無(wú)連接的協(xié)議，它在傳輸數(shù)據(jù)之前不建立連接，也不提供良好的可靠性和差錯(cuò)檢查 ，只僅僅依賴(lài)于校驗(yàn)來(lái)保證可靠性。在終端使用者的電腦上使用 tel 程序，用它連接到服務(wù)器。當(dāng)企業(yè)不斷的發(fā)展、新的技術(shù)不斷涌現(xiàn)的情況下。例如，應(yīng)該對(duì) Web 服務(wù)器進(jìn)行過(guò)濾，以便使其不能自身產(chǎn)生請(qǐng)求，而只能回答來(lái)自客戶(hù)機(jī)的請(qǐng)求。 防火墻 是一項(xiàng)協(xié)助確保信息安全的設(shè)備，會(huì)依照特定的規(guī)則，允許或是限制傳輸?shù)? 12 數(shù)據(jù)通過(guò)。這樣可減少主干網(wǎng)的流量，提高網(wǎng)絡(luò)速度。不足之處是不夠靈活，當(dāng)一臺(tái)計(jì)算 14 機(jī)需要從一個(gè)端口移動(dòng)到另一個(gè)新的端口，而新端口與舊端口不屬于同一個(gè) VLAN 時(shí)，要修改端口的 VLAN設(shè)置，或在用戶(hù)計(jì)算機(jī)上重新配置網(wǎng)絡(luò)地址，這 樣才能加入到新的 VLAN 中。對(duì)于連接于交換機(jī)端口的工作站來(lái)說(shuō)，在它們初始化時(shí)，相應(yīng)的交換機(jī)要在 VLAN 的管理 信息庫(kù)中檢查 MAC 地址，從而動(dòng)態(tài)地匹配該端口到相應(yīng)的 VLAN 中。 設(shè)備選型依據(jù)主要是根據(jù)選型原則，對(duì)不同廠家的產(chǎn)品的不同型號(hào)進(jìn)行綜合全面的比較，選擇滿足系統(tǒng)需求的、先進(jìn)、性能價(jià)格比高的設(shè)備。如根據(jù)帶寬來(lái)分的話，有 10Mbit/s 網(wǎng)卡、 10/100Mit/s 自適應(yīng)網(wǎng)卡和 1000Mbit/s 網(wǎng)卡；如按總線分，有 ISA 總線、 PCI 總線、 PCMCIA 總線網(wǎng)卡等。 同軸電纜是由中心導(dǎo)體、絕緣材料層、網(wǎng)狀織物構(gòu)成的屏蔽層以及外部隔離材料層組成。 系統(tǒng)將外出的源地址和源 端口映射為一個(gè)偽裝的地址和端口 ， 讓這個(gè)偽裝的地址和端口通過(guò)非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接 ,這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址 。 這類(lèi)網(wǎng)絡(luò)目前用的最多的傳輸介質(zhì)是雙絞線，如常見(jiàn)的五類(lèi)線、超五類(lèi)雙絞線等。 接入層網(wǎng)絡(luò) 采用 Cisco WSC2950G48EI（配置 1000M 光 電模塊） 23 Cisco Catalyst 2950 系列智能 以太網(wǎng)交換機(jī) 是一個(gè)固定配置、可堆疊的獨(dú)立設(shè)備系列，提供了線速快速以太網(wǎng)和千兆位以太網(wǎng)連接。要為每一臺(tái)設(shè)備配置 Console 口令， AUX 口令(?)， VTY 口令，特權(quán)口令等 在口令方面，需要制定管理制度并嚴(yán)格執(zhí)行。 冗余電源 Cisco6509 系列以太網(wǎng) 交換機(jī) 提供了 RPS 電源備份接口，可以對(duì)設(shè)備提供一 25 對(duì)一的電源備份和保護(hù)，也可以 以一路直流電源對(duì)多臺(tái)支持 RPS 接口的設(shè)備進(jìn)行備份和保護(hù) 。 Cisco6509 系 列以太網(wǎng)交換機(jī)系統(tǒng)在二層和三層對(duì)硬件查表 未命中的新地址進(jìn)行監(jiān)控 （？） 。以前部分路由交換機(jī)雖然也宣稱(chēng)支持等價(jià)路由，但實(shí)際上只是從軟件上支持，對(duì)軟件轉(zhuǎn)發(fā)的報(bào)文可以使用等價(jià)路由，但對(duì)于由硬件直接轉(zhuǎn)發(fā)的報(bào)文，則只能從一條固定 路徑轉(zhuǎn)發(fā)。 《 路由器配置與管理完全手冊(cè) , Cisco 篇 》 王達(dá)編著，華中科技大學(xué)出版社， 。 總 結(jié) 需要說(shuō)明的是，一個(gè)完整的企業(yè)網(wǎng)網(wǎng)絡(luò)系統(tǒng)不僅只包含上述的設(shè)備或系統(tǒng)，還包括像入侵檢測(cè)系統(tǒng)等其它的系統(tǒng)組成部分。并且主用的匯聚層交換機(jī)配置占先權(quán)。這樣在生成樹(shù)協(xié)議（ STP）和其 他二層協(xié)議上看，作了鏈路聚合的所有物理端口被視為同一個(gè)端口。每一臺(tái)都連接所有的 匯聚層交換機(jī) ， 但相互之間并不連接（提高網(wǎng)絡(luò)的故障收斂速度）。提高設(shè)備的物理安全性， 是最基本的要求。在本企業(yè)網(wǎng)設(shè)計(jì)中，整個(gè)企業(yè)網(wǎng)的 VLAN 及 IP 編址方案如下表所示： 在下面我們需要注意的是： 這樣的 IP 地址是私有 IP 地址，它不能在公共網(wǎng)絡(luò)中使用，但是為什么我們要這樣做呢？因?yàn)? 22 針對(duì)當(dāng)前現(xiàn)狀， IP 地址緊缺，我們不可能也不應(yīng)該為每一臺(tái)工作站申請(qǐng)一個(gè)公有 IP 地址，這樣不僅可以緩解 IP 地址不足的情況，而且也可以為企業(yè)建設(shè)一個(gè)企業(yè)網(wǎng)節(jié)約不少的開(kāi)支，那這樣且不是不能夠訪問(wèn) INTERNET。采用總線拓補(bǔ)結(jié)構(gòu)的網(wǎng)絡(luò)有 10Base2 以太網(wǎng) ,10Base5 以太網(wǎng) ,以及 ARC 網(wǎng)。 故而本方案把 WEB 服務(wù)器和 Email服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器和 FTP 服務(wù)器兼做使用。常用的有線介質(zhì)主要有以下幾類(lèi) ： 同軸電纜 可分為基帶同軸電纜和寬帶同軸電纜（即網(wǎng)絡(luò)同軸電纜和視頻同軸電纜）。 網(wǎng)卡 網(wǎng)卡（簡(jiǎn)稱(chēng) NIC），也網(wǎng)絡(luò)適配卡或網(wǎng)絡(luò)接口卡，網(wǎng)卡作為計(jì)算機(jī)與網(wǎng)絡(luò)連接的接口，是不可缺少的網(wǎng)絡(luò)設(shè)備之一。這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的(相對(duì)于前面兩種方法 )。在Windows 中可用 “ipconfig/all”命令來(lái)查看這一地址。 、 VLAN 的劃分方法 VLAN 技術(shù)對(duì)工作組的劃分方法有兩 種一種是基于端口的劃分方法另外一種是基于 MAC 地址的劃分方法。 13 、 使用 VLAN 技術(shù) 的優(yōu)點(diǎn) VLAN 的優(yōu)點(diǎn)主要體現(xiàn)在以下 3 個(gè)方面： 控制廣播風(fēng)暴 網(wǎng)絡(luò)管理必須解決因大量廣播信息帶來(lái)帶寬消耗的問(wèn)題。在這里值得進(jìn)一步說(shuō)明的是，如果讓內(nèi)部計(jì)算機(jī)直接通過(guò)路由器訪問(wèn)外部網(wǎng)絡(luò)， 必須做 NAT 轉(zhuǎn)換，當(dāng)并發(fā)連接較大時(shí)，做 NAT 轉(zhuǎn)換非常占資源，最好考慮有帶 NAT 模塊的路由器或?qū)ｉT(mén)的 NAT 設(shè)備。擁有公共地址的服務(wù)器通過(guò)在防火墻上使用半開(kāi)放連接限制能夠防止 TCP SYN Flooding 洪 ， 該攻擊以多個(gè)隨機(jī)的源主機(jī)地址向目的路由器發(fā)送 SYN 包，而在收到目的路由器的 SYN ACK后并不回應(yīng)，這樣，目的路由器就為這些源主機(jī)建立了大量的連接隊(duì)列，而且由于沒(méi)有收到 ACK 一直維護(hù)著這些隊(duì)列，造成了資源的大量消耗而不能向正常請(qǐng)求提供服務(wù) ,甚至導(dǎo)致路由器崩潰 .服務(wù)器要等待超時(shí) (Time Out)才能斷開(kāi)已分配的資源 。 實(shí)用性 ：性能指標(biāo)能滿足各項(xiàng)業(yè)務(wù)處理能力 企業(yè)組網(wǎng)的方案在 接入 層 交換機(jī) 將用 MAC地址與端口的捆綁實(shí)現(xiàn)高效的用戶(hù)控制 。它屬于網(wǎng)絡(luò)協(xié)議組的應(yīng)用層。 是 Inter 最基本的協(xié)議 ， 簡(jiǎn)單地說(shuō)，就是由網(wǎng)絡(luò)層的 IP 協(xié)議和傳輸層的 TCP 協(xié)議組成的。 ，在廣域網(wǎng)中用電話線連接的計(jì)算機(jī)一般也只有 2040Kpbs 的速率。 主干網(wǎng)負(fù)責(zé)各個(gè)子網(wǎng)和應(yīng)用服務(wù)的連接，網(wǎng)絡(luò)協(xié)議采用 TCP/IP 協(xié)議，整個(gè)網(wǎng)絡(luò)應(yīng)考慮語(yǔ)音、視頻、數(shù)據(jù)等的綜合應(yīng)用。 信息化能夠有效重復(fù)和加強(qiáng)協(xié)作，從而提高效率。 可管理性 ：系統(tǒng)中應(yīng)提供盡量多的管理方式和管理工具，便于系統(tǒng)管理員在任何