【文章內(nèi)容簡(jiǎn)介】 選用星型拓?fù)浣Y(jié)構(gòu)，然后使用總線拓?fù)浣Y(jié)構(gòu)將這兩個(gè)地方連接起來。 目前常用的局域網(wǎng)技術(shù)有以太網(wǎng)、快速以太網(wǎng)、FDDI、ATM等多種。其中交換式快速以太網(wǎng)以其技術(shù)成熟、組網(wǎng)靈活方便、設(shè)備支持廠家多、工程造價(jià)低 、性能優(yōu)良等特點(diǎn)，在局域網(wǎng)中被廣泛采用。對(duì)于網(wǎng)絡(luò)傳輸性能要求特別高的網(wǎng)絡(luò)可考慮采用ATM技術(shù)，但其網(wǎng)絡(luò)造價(jià)相當(dāng)高，技術(shù)也較復(fù)雜。所以，綜合以上考慮，本方案采用了快速以太網(wǎng)技術(shù)。 Intranet 的硬件配置 在選擇組成Intranet 的硬件時(shí)，著重應(yīng)考慮服務(wù)器的選擇。由于服務(wù)器在網(wǎng)絡(luò)中運(yùn)行網(wǎng)絡(luò)操作系統(tǒng)、進(jìn)行網(wǎng)絡(luò)管理或是提供網(wǎng)絡(luò)上可用共享資源，因此對(duì)服務(wù)器的選擇顯然不同于一般的普通客戶機(jī)，同時(shí)應(yīng)該按照服務(wù)器的不同類型 ，如Web服務(wù)器、數(shù)據(jù)庫服務(wù)器、打印服務(wù)器等而應(yīng)該有所側(cè)重。一般要求所選用的服務(wù)器具有大的存儲(chǔ)容量，數(shù)吉（G）或數(shù)十吉（G），以及具有足夠的內(nèi)存和較高的運(yùn)行速度，內(nèi)存128M或以上，CPU主頻在500MHz或以上，而且可為多個(gè)CPU處理器，并且具有良好和可擴(kuò)展性，以滿足將來更新?lián)Q代的需要，保證當(dāng)前的投資不至于在短時(shí)間內(nèi)便被消耗掉。 其余的硬件設(shè)備有路由器、交換機(jī)、集線器、網(wǎng)卡和傳輸介質(zhì)等。所選擇的這些設(shè)備應(yīng)具有良好的性能，能使網(wǎng)絡(luò)穩(wěn)定地運(yùn)行。此外，在此前提下，還應(yīng)遵循經(jīng)濟(jì)性的原則。 Intranet 的軟件配置 軟件是Intranet的靈魂，它決定了整個(gè)Intranet的運(yùn)行方式、用戶對(duì)信息的瀏覽方式、Web服務(wù)器與數(shù)據(jù)庫服務(wù)器之間的通信、網(wǎng)絡(luò)安全及網(wǎng)絡(luò)管理方式等，是網(wǎng)絡(luò)建設(shè)中極為重要的一環(huán)。 Intranet的軟件可分為服務(wù)器端軟件和客戶端軟件。客戶端軟件主要為瀏覽器，目前常用的瀏覽器軟件有Netscape Navigator、Microsoft Internet Explore等。服務(wù)器端軟件較為復(fù)雜，主要有網(wǎng)絡(luò)操作系統(tǒng)、Web服務(wù)器軟件、數(shù)據(jù)庫系統(tǒng)軟件、安全防火墻軟件和網(wǎng)絡(luò)管理軟件等。選擇網(wǎng)絡(luò)操作系統(tǒng)時(shí)，應(yīng)考慮其是否是一個(gè)高性能的網(wǎng)絡(luò)操作系統(tǒng)，是否支持多種網(wǎng)絡(luò)協(xié)議，是否支持多種不同的計(jì)算機(jī)硬件平臺(tái)，是否具有容錯(cuò)技術(shù)和網(wǎng)絡(luò)管理功能等多方面因素。目前市場(chǎng)上主流的網(wǎng)絡(luò)操作系統(tǒng)有UNIX、Novell Netware和Windows NT等。如果企業(yè)網(wǎng)Intranet中大多數(shù)是于PC機(jī)為主體，建議選用Novell Netware和Windows NT。 VPN技術(shù)VPN一般指的是以公用開放的網(wǎng)絡(luò)（如Internet、幀中繼網(wǎng)、ATM網(wǎng)絡(luò)等）作為基本傳輸媒介，通過上層協(xié)議附加的多種技術(shù)，向最終用戶提供類似于專用網(wǎng)絡(luò)(Private network)性能的網(wǎng)絡(luò)服務(wù)技術(shù)。 VPN能夠利用公用骨干網(wǎng)絡(luò)的廣泛而強(qiáng)大的傳輸能力，降低企業(yè)內(nèi)部網(wǎng)絡(luò)/Intranet的建設(shè)成本，很大地提高用戶網(wǎng)絡(luò)運(yùn)營和管理的靈活性。根據(jù)Infonetics研究公司的研究報(bào)告，VPN代替租用專線能使遠(yuǎn)程站點(diǎn)的聯(lián)接費(fèi)用降低20％到47％。在遠(yuǎn)程撥入的情況下，能降低60％至80％的成本。VPN節(jié)約成本的原因主要有以下幾個(gè)方面： （1）VPN消除了主要設(shè)施之間的長途租賃線路；（2）模擬調(diào)制解調(diào)器和ISDN接入設(shè)備通過使用PSTN，消除了長途交換電話；（3）允許各用戶僅對(duì)實(shí)際使用的線路支付費(fèi)用，避免空閑線路浪費(fèi)的資金；（4）要求的設(shè)備少（通過一個(gè)解決方案提供Internet和VPN接入，不需單獨(dú)的調(diào)制解調(diào)器群、終端適配器、遠(yuǎn)程訪問服務(wù)器等等。由于Internet接入和VPN接入合二為一，還可以使用成本低廉的高速中繼線）；（5）最大限度地減少最終用戶的網(wǎng)絡(luò)設(shè)計(jì)和管理工作。VPN在公網(wǎng)上搭建專用網(wǎng)，安全問題是關(guān)鍵。目前大多數(shù)產(chǎn)品采用IP安全協(xié)議——IPsec，這是目前的國際標(biāo)準(zhǔn)。IPsec是基于第三層的安全技術(shù)，通過身份認(rèn)證、集成檢驗(yàn)和密碼加密三條途徑來進(jìn)行安全保障，采用公認(rèn)的ESP和DES（包括3DES）作為加密法。 在VPN所使用的技術(shù)中，隧道技術(shù)（Tunneling）是其核心。目前支持隧道技術(shù)的協(xié)議是點(diǎn)對(duì)點(diǎn)隧道協(xié)議——PPTP和第二層隧道協(xié)議L2TP，它們是Internet工程任務(wù)組IETF的國際標(biāo)準(zhǔn)。專用的企業(yè)內(nèi)部網(wǎng)和外部網(wǎng)則可以用通用路由封裝協(xié)議（GRE）來建立永久性的隧道。隧道協(xié)議所采用的方法是將用戶的整個(gè)數(shù)據(jù)包（包括附加的協(xié)議成份）作為網(wǎng)絡(luò)傳輸協(xié)議的凈荷(Payload)部分封裝后再進(jìn)行傳輸。雖說VPN有諸般好處，但就目前的情況來看，由于廠家眾多，且據(jù)行家指出，VPN目前的實(shí)施采用的是點(diǎn)對(duì)點(diǎn)的配置，因此在應(yīng)用中還是存在一定難度。據(jù)說另外一些正在形成的國際標(biāo)準(zhǔn)，如MPLS（多協(xié)議標(biāo)記交換）正式出臺(tái)之后，VPN的實(shí)際應(yīng)用將會(huì)大大簡(jiǎn)化。 一個(gè)網(wǎng)絡(luò)連接通常由三個(gè)部分組成：客戶機(jī)、傳輸介質(zhì)和服務(wù)器 。VPN同樣也由這三部分組成，不同的是VPN連接使用隧道作為傳輸通道，這個(gè)隧道是建立在公共網(wǎng)絡(luò)或?qū)Ｓ镁W(wǎng)絡(luò)基礎(chǔ)之上的，如：Internet或Intranet。 要實(shí)現(xiàn)VPN連接，企業(yè)內(nèi)部網(wǎng)絡(luò)方面連接企業(yè)內(nèi)部專用網(wǎng)絡(luò)，另一方面要連接到Internet，也就是說VPN服務(wù)器必須擁有一個(gè)公用的IP地址。當(dāng)客戶機(jī)通過VPN連接與專用網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行通信時(shí)，先由ISP（Internet服務(wù)提供商）將所有的數(shù)據(jù)傳送到VPN服務(wù)器，然后再由VPN服務(wù)器負(fù)責(zé)將所有的數(shù)據(jù)傳送到目標(biāo)計(jì)算機(jī)。VPN使用三個(gè)方面的技術(shù)保證了通信的安全性：隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密?？蛻魴C(jī)向VPN服務(wù)器發(fā)出請(qǐng)求，VPN服務(wù)器響應(yīng)請(qǐng)求并向客戶機(jī)發(fā)出身份質(zhì)詢，客戶機(jī)將加密的響應(yīng)信息發(fā)送到VPN服務(wù)器，VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫檢查該響應(yīng)，如果賬戶有效，VPN服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問權(quán)限，如果該用戶擁有遠(yuǎn)程訪問的權(quán)限，VPN服務(wù)器接受此連接。在身份驗(yàn)證過程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來對(duì)數(shù)據(jù)進(jìn)行加密。 防火墻技術(shù) 由于需要與Internet互連，因此易受到非法用戶的入侵。為確保企業(yè)信息和機(jī)密的安全，需要在Intranet與Internet之間設(shè)置防火墻。防火墻可看作是一個(gè)過濾器，用于監(jiān)視和檢查流動(dòng)信息的合法性。目前防火墻技術(shù)有以下幾種，即包過濾技術(shù)（Packet filter）、電路級(jí)網(wǎng)關(guān)（Circuit gateway）、應(yīng)用級(jí)網(wǎng)關(guān)（Application）、規(guī)則檢查防火墻（Stalaful Inspection）。 在實(shí)際應(yīng)用中，并非單純采用某一種，而是幾種的結(jié)合。 數(shù)據(jù)加密技術(shù) 數(shù)據(jù)加密技術(shù)是數(shù)據(jù)保護(hù)的最主要和最基本的手段。通過數(shù)據(jù)加密技術(shù)，把數(shù)據(jù)變成不可讀的格式，防止企業(yè)的數(shù)據(jù)信息在傳輸過程中被篡改、刪除和替換。 目前，數(shù)據(jù)加密技術(shù)大致可分為專用密匙加密（對(duì)稱密匙加密）和公用密匙加密（不對(duì)稱密匙加密）兩大類。在密碼通信中，這兩種加密方法都是常用的。專用密匙加密時(shí)需用戶雙方共同享有密匙，如DES方法，由于采用對(duì)稱編碼技術(shù)，使得專用密匙加密具有加密和解密非?？斓淖畲髢?yōu)點(diǎn)，能有硬件實(shí)現(xiàn)，使用于交換大量數(shù)據(jù)。但其最大問題是把密匙分發(fā)到使用該密碼的用戶手中。這樣做是很危險(xiǎn)的，很可能在密匙傳送過程中發(fā)生失密現(xiàn)象（密匙被偷或被修改）。公用密匙加密采用與專用密匙加密不同的數(shù)學(xué)算法。有一把公用的加密密匙，如RSA方法 。其優(yōu)點(diǎn)是非法用戶無法通過公用密匙推導(dǎo)出解密密匙，因此保密性好，但運(yùn)行效率低，不適于大量數(shù)據(jù)。所以在實(shí)際應(yīng)用中常將兩者結(jié)合使用，如通過公用密匙在通信開始時(shí)進(jìn)行授權(quán)確認(rèn)，并確定一個(gè)公用的臨時(shí)專用密匙，然后再用專用密匙數(shù)據(jù)加密方式進(jìn)行通信。 系統(tǒng)容錯(cuò)技術(shù) 網(wǎng)絡(luò)中心是整個(gè)企業(yè)網(wǎng)絡(luò)和信息的樞紐，為了確保其能不間斷地運(yùn)行，需采取一定的系統(tǒng)容錯(cuò)技術(shù)： （1）網(wǎng)絡(luò)設(shè)備和鏈路冗余備份。網(wǎng)絡(luò)設(shè)備易發(fā)生故障的接口卡都保留適當(dāng)?shù)娜哂?，保證網(wǎng)絡(luò)的關(guān)鍵部分無單點(diǎn)故障。 （2）服務(wù)器冷備份。采用雙服務(wù)器，它們都安裝數(shù)據(jù)庫管理系統(tǒng)和Web服務(wù)器軟件，但兩臺(tái)服務(wù)器同時(shí)運(yùn)行不同的任務(wù)，一臺(tái)運(yùn)行數(shù)據(jù)庫系統(tǒng)，一臺(tái)運(yùn)行Web服務(wù)器軟件，它們共享外部磁盤陳列，萬一一臺(tái)服務(wù)器出現(xiàn)故障，可以通過鍵入預(yù)先編好的命令，把任務(wù)切換到另一臺(tái)服務(wù)器上，確保系統(tǒng)在最短時(shí)間內(nèi)恢復(fù)正常運(yùn)行。 （3）數(shù)據(jù)的實(shí)時(shí)備份。對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)備份，以保證數(shù)據(jù)的完整性和安全性，確保系統(tǒng)安全而穩(wěn)定低運(yùn)行。如通過ARC Srever對(duì)數(shù)據(jù)提供雙鏡象冗余備份，或由SNA Server提供安全快捷的數(shù)據(jù)熱備份。 第3章 網(wǎng)絡(luò)設(shè)計(jì)方案 需求分析及設(shè)計(jì)原則 西安中鐵現(xiàn)代物流概況中鐵現(xiàn)代物流科技股份有限公司西安分公司是中鐵現(xiàn)代物流的西北區(qū)域業(yè)務(wù)指揮中心，同時(shí)是鐵道部在西北地區(qū)最大的物資集散中心。物流企業(yè)總部位于西安，是一家專業(yè)從事國內(nèi)物流、貨運(yùn)、倉儲(chǔ)、運(yùn)輸、裝卸、配送等服務(wù)為一體的現(xiàn)代化物流增值企業(yè)，分公司貨運(yùn)站遍布全國主要西北地區(qū)幾十個(gè)大中小城市 ，主要分支機(jī)構(gòu)分布與西北的大型物流企業(yè)。物流企業(yè)位于西安的總公司的計(jì)算機(jī)局域網(wǎng)，需要連接100個(gè)左右的信息點(diǎn)，企業(yè)有6個(gè)左右的業(yè)務(wù)科室；位于全國的各個(gè)分公司規(guī)模大多在20人左右。 需求分析：（1）Internet信息交流：實(shí)現(xiàn)資源高度共享。（2）管理等提供Internet接入服務(wù)。（3）視頻會(huì)議系統(tǒng)：實(shí)現(xiàn)對(duì)視頻和音頻數(shù)據(jù)的多路組播和廣播。（4）Web信息發(fā)布。（5）電子郵件、公告牌、電視會(huì)議和產(chǎn)品信息查詢等服務(wù)。：（1）骨干層網(wǎng)絡(luò)采用速率為1000Mbps交換技術(shù)。作為公司主干的支撐網(wǎng)絡(luò)，要求安全可靠，并可實(shí)現(xiàn)主干網(wǎng)絡(luò)冗余、鏈路容錯(cuò)等功能。（2）系統(tǒng)各層網(wǎng)絡(luò)之間良好互聯(lián)。（3）千兆交換機(jī)與主機(jī)服務(wù)器之間良好互聯(lián)。（4）具有良好便捷網(wǎng)絡(luò)管理平臺(tái)。網(wǎng)管系統(tǒng)是開放式網(wǎng)管平臺(tái)，并可以對(duì)全網(wǎng)進(jìn)行故障管理、配置管理、性能管理、事物處理管理、流量控制管理、日志管理、效率管理和圖形化管理。（5）網(wǎng)絡(luò)骨干設(shè)備具有較高的可靠性；核心設(shè)備支持熱插拔，具有容錯(cuò)設(shè)計(jì)。（6）網(wǎng)絡(luò)設(shè)備具有較好的擴(kuò)展性，系統(tǒng)能夠平滑升級(jí)及擴(kuò)充。（7）采用國際標(biāo)準(zhǔn)TCP/IP協(xié)議。：（1）配置管理：對(duì)初始安裝的支持，主要包括軟件、硬件資源工作參數(shù)的設(shè)定和校核等；網(wǎng)絡(luò)節(jié)點(diǎn)部件，如：插板、端口和冗余結(jié)構(gòu)的配置。：網(wǎng)管中心或終端可以通過人/機(jī)接口，根據(jù)不同業(yè)務(wù)特性要求，配置通路，建立點(diǎn)到點(diǎn)的連接。（2）性能管理性能管理主要包括：性能信息的收集、性能信息的存儲(chǔ)、閾值處理和報(bào)告形成等。包括CPU的利用率，BUFFER利用率，MEMORY的利用率等。（3）故障(或維護(hù))管理故障(或維護(hù))管理具有激活檢測(cè)、故障定位、告警監(jiān)視和校正非正常操作的功能。（4）安全管理安全管理可以避免非法接入網(wǎng)路，控制接入級(jí)別和范圍。可以配置用戶識(shí)別符、口令，以及登錄操作員的查詢指令等。：網(wǎng)絡(luò)安全主要解決訪問互聯(lián)網(wǎng)及中心服務(wù)器的安全問題，考慮以下因素：（1）公司網(wǎng)與Internet網(wǎng)相連后具有“防火墻”過濾功能，以防止網(wǎng)絡(luò)黑客入侵網(wǎng)絡(luò)系統(tǒng)。（2）通過特定網(wǎng)段及服務(wù)建立的訪問控制體系，系統(tǒng)將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。（3）對(duì)安全漏洞進(jìn)行周期性的檢查，使得攻擊即使到達(dá)目標(biāo)，也使絕大多數(shù)攻擊無效。（4）通過特定網(wǎng)段及服務(wù)建立的攻擊監(jiān)控體系，系統(tǒng)可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取相應(yīng)的行為(如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等)。（5）主動(dòng)對(duì)通信信息進(jìn)行加密，可使攻擊者不能了解、修改敏感信息。（6）良好的認(rèn)證體系可防止假冒合法用戶的攻擊。（7）良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，幫助系統(tǒng)盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。（8）多層防御，攻擊者在突破第一道防線后，應(yīng)有多層防御可以延緩或阻斷其到達(dá)攻擊目標(biāo)。（9）通過NAT地址轉(zhuǎn)換功能隱藏內(nèi)部信息，這樣可以使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。（10）設(shè)立安全監(jiān)控中心為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護(hù)及緊急情況服務(wù)。 設(shè)計(jì)原則網(wǎng)絡(luò)的設(shè)計(jì)原則主要有以下幾點(diǎn)：（1）先進(jìn)性：目前，千兆以太網(wǎng)正在