【文章內(nèi)容簡介】 點主要分布在兩個不同的地方，則可以在該兩個節(jié)點密集的場所選用星型拓?fù)浣Y(jié)構(gòu)，然后使用總線拓?fù)浣Y(jié)構(gòu)將這兩個地方連接起來。 目前常用的局域網(wǎng)技術(shù)有以太網(wǎng)、快速以太網(wǎng)、FDDI、ATM等多種。其中交換式快速以太網(wǎng)以其技術(shù)成熟、組網(wǎng)靈活方便、設(shè)備支持廠家多、工程造價低 、性能優(yōu)良等特點，在局域網(wǎng)中被廣泛采用。對于網(wǎng)絡(luò)傳輸性能要求特別高的網(wǎng)絡(luò)可考慮采用ATM技術(shù)，但其網(wǎng)絡(luò)造價相當(dāng)高，技術(shù)也較復(fù)雜。所以，綜合以上考慮，本方案采用了快速以太網(wǎng)技術(shù)。 Intranet 的硬件配置 在選擇組成Intranet 的硬件時，著重應(yīng)考慮服務(wù)器的選擇。由于服務(wù)器在網(wǎng)絡(luò)中運行網(wǎng)絡(luò)操作系統(tǒng)、進行網(wǎng)絡(luò)管理或是提供網(wǎng)絡(luò)上可用共享資源，因此對服務(wù)器的選擇顯然不同于一般的普通客戶機，同時應(yīng)該按照服務(wù)器的不同類型 ，如Web服務(wù)器、數(shù)據(jù)庫服務(wù)器、打印服務(wù)器等而應(yīng)該有所側(cè)重。一般要求所選用的服務(wù)器具有大的存儲容量，數(shù)吉（G）或數(shù)十吉（G），以及具有足夠的內(nèi)存和較高的運行速度，內(nèi)存128M或以上，CPU主頻在500MHz或以上，而且可為多個CPU處理器，并且具有良好和可擴展性，以滿足將來更新?lián)Q代的需要，保證當(dāng)前的投資不至于在短時間內(nèi)便被消耗掉。 其余的硬件設(shè)備有路由器、交換機、集線器、網(wǎng)卡和傳輸介質(zhì)等。所選擇的這些設(shè)備應(yīng)具有良好的性能，能使網(wǎng)絡(luò)穩(wěn)定地運行。此外，在此前提下，還應(yīng)遵循經(jīng)濟性的原則。 Intranet 的軟件配置 軟件是Intranet的靈魂，它決定了整個Intranet的運行方式、用戶對信息的瀏覽方式、Web服務(wù)器與數(shù)據(jù)庫服務(wù)器之間的通信、網(wǎng)絡(luò)安全及網(wǎng)絡(luò)管理方式等，是網(wǎng)絡(luò)建設(shè)中極為重要的一環(huán)。 Intranet的軟件可分為服務(wù)器端軟件和客戶端軟件。客戶端軟件主要為瀏覽器，目前常用的瀏覽器軟件有Netscape Navigator、Microsoft Internet Explore等。服務(wù)器端軟件較為復(fù)雜，主要有網(wǎng)絡(luò)操作系統(tǒng)、Web服務(wù)器軟件、數(shù)據(jù)庫系統(tǒng)軟件、安全防火墻軟件和網(wǎng)絡(luò)管理軟件等。選擇網(wǎng)絡(luò)操作系統(tǒng)時，應(yīng)考慮其是否是一個高性能的網(wǎng)絡(luò)操作系統(tǒng)，是否支持多種網(wǎng)絡(luò)協(xié)議，是否支持多種不同的計算機硬件平臺，是否具有容錯技術(shù)和網(wǎng)絡(luò)管理功能等多方面因素。目前市場上主流的網(wǎng)絡(luò)操作系統(tǒng)有UNIX、Novell Netware和Windows NT等。如果企業(yè)網(wǎng)Intranet中大多數(shù)是于PC機為主體，建議選用Novell Netware和Windows NT。 VPN技術(shù)VPN一般指的是以公用開放的網(wǎng)絡(luò)（如Internet、幀中繼網(wǎng)、ATM網(wǎng)絡(luò)等）作為基本傳輸媒介，通過上層協(xié)議附加的多種技術(shù)，向最終用戶提供類似于專用網(wǎng)絡(luò)(Private network)性能的網(wǎng)絡(luò)服務(wù)技術(shù)。 VPN能夠利用公用骨干網(wǎng)絡(luò)的廣泛而強大的傳輸能力，降低企業(yè)內(nèi)部網(wǎng)絡(luò)/Intranet的建設(shè)成本，很大地提高用戶網(wǎng)絡(luò)運營和管理的靈活性。根據(jù)Infonetics研究公司的研究報告，VPN代替租用專線能使遠(yuǎn)程站點的聯(lián)接費用降低20％到47％。在遠(yuǎn)程撥入的情況下，能降低60％至80％的成本。VPN節(jié)約成本的原因主要有以下幾個方面： （1）VPN消除了主要設(shè)施之間的長途租賃線路；（2）模擬調(diào)制解調(diào)器和ISDN接入設(shè)備通過使用PSTN，消除了長途交換電話；（3）允許各用戶僅對實際使用的線路支付費用，避免空閑線路浪費的資金；（4）要求的設(shè)備少（通過一個解決方案提供Internet和VPN接入，不需單獨的調(diào)制解調(diào)器群、終端適配器、遠(yuǎn)程訪問服務(wù)器等等。由于Internet接入和VPN接入合二為一，還可以使用成本低廉的高速中繼線）；（5）最大限度地減少最終用戶的網(wǎng)絡(luò)設(shè)計和管理工作。VPN在公網(wǎng)上搭建專用網(wǎng)，安全問題是關(guān)鍵。目前大多數(shù)產(chǎn)品采用IP安全協(xié)議——IPsec，這是目前的國際標(biāo)準(zhǔn)。IPsec是基于第三層的安全技術(shù)，通過身份認(rèn)證、集成檢驗和密碼加密三條途徑來進行安全保障，采用公認(rèn)的ESP和DES（包括3DES）作為加密法。 在VPN所使用的技術(shù)中，隧道技術(shù)（Tunneling）是其核心。目前支持隧道技術(shù)的協(xié)議是點對點隧道協(xié)議——PPTP和第二層隧道協(xié)議L2TP，它們是Internet工程任務(wù)組IETF的國際標(biāo)準(zhǔn)。專用的企業(yè)內(nèi)部網(wǎng)和外部網(wǎng)則可以用通用路由封裝協(xié)議（GRE）來建立永久性的隧道。隧道協(xié)議所采用的方法是將用戶的整個數(shù)據(jù)包（包括附加的協(xié)議成份）作為網(wǎng)絡(luò)傳輸協(xié)議的凈荷(Payload)部分封裝后再進行傳輸。雖說VPN有諸般好處，但就目前的情況來看，由于廠家眾多，且據(jù)行家指出，VPN目前的實施采用的是點對點的配置，因此在應(yīng)用中還是存在一定難度。據(jù)說另外一些正在形成的國際標(biāo)準(zhǔn)，如MPLS（多協(xié)議標(biāo)記交換）正式出臺之后，VPN的實際應(yīng)用將會大大簡化。 一個網(wǎng)絡(luò)連接通常由三個部分組成：客戶機、傳輸介質(zhì)和服務(wù)器 。VPN同樣也由這三部分組成，不同的是VPN連接使用隧道作為傳輸通道，這個隧道是建立在公共網(wǎng)絡(luò)或?qū)Ｓ镁W(wǎng)絡(luò)基礎(chǔ)之上的，如：Internet或Intranet。 要實現(xiàn)VPN連接，企業(yè)內(nèi)部網(wǎng)絡(luò)方面連接企業(yè)內(nèi)部專用網(wǎng)絡(luò)，另一方面要連接到Internet，也就是說VPN服務(wù)器必須擁有一個公用的IP地址。當(dāng)客戶機通過VPN連接與專用網(wǎng)絡(luò)中的計算機進行通信時，先由ISP（Internet服務(wù)提供商）將所有的數(shù)據(jù)傳送到VPN服務(wù)器，然后再由VPN服務(wù)器負(fù)責(zé)將所有的數(shù)據(jù)傳送到目標(biāo)計算機。VPN使用三個方面的技術(shù)保證了通信的安全性：隧道協(xié)議、身份驗證和數(shù)據(jù)加密?？蛻魴C向VPN服務(wù)器發(fā)出請求，VPN服務(wù)器響應(yīng)請求并向客戶機發(fā)出身份質(zhì)詢，客戶機將加密的響應(yīng)信息發(fā)送到VPN服務(wù)器，VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫檢查該響應(yīng)，如果賬戶有效，VPN服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問權(quán)限，如果該用戶擁有遠(yuǎn)程訪問的權(quán)限，VPN服務(wù)器接受此連接。在身份驗證過程中產(chǎn)生的客戶機和服務(wù)器公有密鑰將用來對數(shù)據(jù)進行加密。 防火墻技術(shù) 由于需要與Internet互連，因此易受到非法用戶的入侵。為確保企業(yè)信息和機密的安全，需要在Intranet與Internet之間設(shè)置防火墻。防火墻可看作是一個過濾器，用于監(jiān)視和檢查流動信息的合法性。目前防火墻技術(shù)有以下幾種，即包過濾技術(shù)（Packet filter）、電路級網(wǎng)關(guān)（Circuit gateway）、應(yīng)用級網(wǎng)關(guān)（Application）、規(guī)則檢查防火墻（Stalaful Inspection）。 在實際應(yīng)用中，并非單純采用某一種，而是幾種的結(jié)合。 數(shù)據(jù)加密技術(shù) 數(shù)據(jù)加密技術(shù)是數(shù)據(jù)保護的最主要和最基本的手段。通過數(shù)據(jù)加密技術(shù)，把數(shù)據(jù)變成不可讀的格式，防止企業(yè)的數(shù)據(jù)信息在傳輸過程中被篡改、刪除和替換。 目前，數(shù)據(jù)加密技術(shù)大致可分為專用密匙加密（對稱密匙加密）和公用密匙加密（不對稱密匙加密）兩大類。在密碼通信中，這兩種加密方法都是常用的。專用密匙加密時需用戶雙方共同享有密匙，如DES方法，由于采用對稱編碼技術(shù)，使得專用密匙加密具有加密和解密非?？斓淖畲髢?yōu)點，能有硬件實現(xiàn)，使用于交換大量數(shù)據(jù)。但其最大問題是把密匙分發(fā)到使用該密碼的用戶手中。這樣做是很危險的，很可能在密匙傳送過程中發(fā)生失密現(xiàn)象（密匙被偷或被修改）。公用密匙加密采用與專用密匙加密不同的數(shù)學(xué)算法。有一把公用的加密密匙，如RSA方法 。其優(yōu)點是非法用戶無法通過公用密匙推導(dǎo)出解密密匙，因此保密性好，但運行效率低，不適于大量數(shù)據(jù)。所以在實際應(yīng)用中常將兩者結(jié)合使用，如通過公用密匙在通信開始時進行授權(quán)確認(rèn)，并確定一個公用的臨時專用密匙，然后再用專用密匙數(shù)據(jù)加密方式進行通信。 系統(tǒng)容錯技術(shù) 網(wǎng)絡(luò)中心是整個企業(yè)網(wǎng)絡(luò)和信息的樞紐，為了確保其能不間斷地運行，需采取一定的系統(tǒng)容錯技術(shù)： （1）網(wǎng)絡(luò)設(shè)備和鏈路冗余備份。網(wǎng)絡(luò)設(shè)備易發(fā)生故障的接口卡都保留適當(dāng)?shù)娜哂?，保證網(wǎng)絡(luò)的關(guān)鍵部分無單點故障。 （2）服務(wù)器冷備份。采用雙服務(wù)器，它們都安裝數(shù)據(jù)庫管理系統(tǒng)和Web服務(wù)器軟件，但兩臺服務(wù)器同時運行不同的任務(wù)，一臺運行數(shù)據(jù)庫系統(tǒng)，一臺運行Web服務(wù)器軟件，它們共享外部磁盤陳列，萬一一臺服務(wù)器出現(xiàn)故障，可以通過鍵入預(yù)先編好的命令，把任務(wù)切換到另一臺服務(wù)器上，確保系統(tǒng)在最短時間內(nèi)恢復(fù)正常運行。 （3）數(shù)據(jù)的實時備份。對數(shù)據(jù)進行實時備份，以保證數(shù)據(jù)的完整性和安全性，確保系統(tǒng)安全而穩(wěn)定低運行。如通過ARC Srever對數(shù)據(jù)提供雙鏡象冗余備份，或由SNA Server提供安全快捷的數(shù)據(jù)熱備份。 第3章 網(wǎng)絡(luò)設(shè)計方案 需求分析及設(shè)計原則 西安中鐵現(xiàn)代物流概況中鐵現(xiàn)代物流科技股份有限公司西安分公司是中鐵現(xiàn)代物流的西北區(qū)域業(yè)務(wù)指揮中心，同時是鐵道部在西北地區(qū)最大的物資集散中心。物流企業(yè)總部位于西安，是一家專業(yè)從事國內(nèi)物流、貨運、倉儲、運輸、裝卸、配送等服務(wù)為一體的現(xiàn)代化物流增值企業(yè)，分公司貨運站遍布全國主要西北地區(qū)幾十個大中小城市 ，主要分支機構(gòu)分布與西北的大型物流企業(yè)。物流企業(yè)位于西安的總公司的計算機局域網(wǎng)，需要連接100個左右的信息點，企業(yè)有6個左右的業(yè)務(wù)科室；位于全國的各個分公司規(guī)模大多在20人左右。 需求分析：（1）Internet信息交流：實現(xiàn)資源高度共享。（2）管理等提供Internet接入服務(wù)。（3）視頻會議系統(tǒng)：實現(xiàn)對視頻和音頻數(shù)據(jù)的多路組播和廣播。（4）Web信息發(fā)布。（5）電子郵件、公告牌、電視會議和產(chǎn)品信息查詢等服務(wù)。：（1）骨干層網(wǎng)絡(luò)采用速率為1000Mbps交換技術(shù)。作為公司主干的支撐網(wǎng)絡(luò)，要求安全可靠，并可實現(xiàn)主干網(wǎng)絡(luò)冗余、鏈路容錯等功能。（2）系統(tǒng)各層網(wǎng)絡(luò)之間良好互聯(lián)。（3）千兆交換機與主機服務(wù)器之間良好互聯(lián)。（4）具有良好便捷網(wǎng)絡(luò)管理平臺。網(wǎng)管系統(tǒng)是開放式網(wǎng)管平臺，并可以對全網(wǎng)進行故障管理、配置管理、性能管理、事物處理管理、流量控制管理、日志管理、效率管理和圖形化管理。（5）網(wǎng)絡(luò)骨干設(shè)備具有較高的可靠性；核心設(shè)備支持熱插拔，具有容錯設(shè)計。（6）網(wǎng)絡(luò)設(shè)備具有較好的擴展性，系統(tǒng)能夠平滑升級及擴充。（7）采用國際標(biāo)準(zhǔn)TCP/IP協(xié)議。：（1）配置管理：對初始安裝的支持，主要包括軟件、硬件資源工作參數(shù)的設(shè)定和校核等；網(wǎng)絡(luò)節(jié)點部件，如：插板、端口和冗余結(jié)構(gòu)的配置。：網(wǎng)管中心或終端可以通過人/機接口，根據(jù)不同業(yè)務(wù)特性要求，配置通路，建立點到點的連接。（2）性能管理性能管理主要包括：性能信息的收集、性能信息的存儲、閾值處理和報告形成等。包括CPU的利用率，BUFFER利用率，MEMORY的利用率等。（3）故障(或維護)管理故障(或維護)管理具有激活檢測、故障定位、告警監(jiān)視和校正非正常操作的功能。（4）安全管理安全管理可以避免非法接入網(wǎng)路，控制接入級別和范圍?？梢耘渲糜脩糇R別符、口令，以及登錄操作員的查詢指令等。：網(wǎng)絡(luò)安全主要解決訪問互聯(lián)網(wǎng)及中心服務(wù)器的安全問題，考慮以下因素：（1）公司網(wǎng)與Internet網(wǎng)相連后具有“防火墻”過濾功能，以防止網(wǎng)絡(luò)黑客入侵網(wǎng)絡(luò)系統(tǒng)。（2）通過特定網(wǎng)段及服務(wù)建立的訪問控制體系，系統(tǒng)將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。（3）對安全漏洞進行周期性的檢查，使得攻擊即使到達(dá)目標(biāo)，也使絕大多數(shù)攻擊無效。（4）通過特定網(wǎng)段及服務(wù)建立的攻擊監(jiān)控體系，系統(tǒng)可實時檢測出絕大多數(shù)攻擊，并采取相應(yīng)的行為(如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等)。（5）主動對通信信息進行加密，可使攻擊者不能了解、修改敏感信息。（6）良好的認(rèn)證體系可防止假冒合法用戶的攻擊。（7）良好的備份和恢復(fù)機制，可在攻擊造成損失時，幫助系統(tǒng)盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。（8）多層防御，攻擊者在突破第一道防線后，應(yīng)有多層防御可以延緩或阻斷其到達(dá)攻擊目標(biāo)。（9）通過NAT地址轉(zhuǎn)換功能隱藏內(nèi)部信息，這樣可以使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。（10）設(shè)立安全監(jiān)控中心為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護及緊急情況服務(wù)。 設(shè)計原則網(wǎng)絡(luò)的設(shè)計原則主要有以下幾點：（1