【文章內(nèi)容簡(jiǎn)介】 一種方案是使用靜態(tài)地址分配，但必須加強(qiáng) MAC 地址的管理。 用動(dòng)態(tài) IP 地址分配（ DHCP）的最大優(yōu)點(diǎn)是客戶(hù)端網(wǎng)絡(luò)的配置非常簡(jiǎn)單，在沒(méi)有管理員的幫助和 干預(yù)的情況下，用戶(hù)自己便可以對(duì)網(wǎng)絡(luò)進(jìn)行連接設(shè)置。但是，因?yàn)?IP 地址是動(dòng)態(tài)分配的，網(wǎng)管員不能從 IP 地址上鑒定客戶(hù)的身份，相應(yīng)的IP層管理將失去作用。而且使用動(dòng)態(tài) IP 地址分配需要設(shè)置額外 DHCP 服務(wù)器。 使用靜態(tài) IP地址分配可以對(duì)各部門(mén)進(jìn)行合理的 IP 地址規(guī)劃，能夠在第三層上方便地跟蹤管理， 再加上 對(duì) 網(wǎng)卡 MAC 地址的管理， 網(wǎng)絡(luò)就會(huì)具有更好的可管理性。但如果網(wǎng)絡(luò)規(guī)模較大，則 IP 地址管理的工作量就相當(dāng)大。 綜合以上考慮，由于一期規(guī)劃整個(gè)信息點(diǎn)的規(guī)模不是很大，因此從網(wǎng)絡(luò)安全的角度出發(fā)，我們建議采用靜態(tài)地址分配的方法。并結(jié) 合中心交換機(jī)的第三層交換功能，進(jìn)行子網(wǎng)的劃分，一方面可以降低網(wǎng)絡(luò)風(fēng)暴的發(fā)生，另一方面也加強(qiáng)了網(wǎng)絡(luò)的安全性。 當(dāng)隨著以后各期規(guī)劃的實(shí)施，整個(gè)網(wǎng)絡(luò)信息的規(guī)模不斷擴(kuò)大，則可以考慮采用DHCP 動(dòng)態(tài) IP 地址分配的方案，設(shè)立專(zhuān)門(mén)的 DHCP 服務(wù)器進(jìn)行動(dòng)態(tài) IP地址分配。12 同樣可以基于中心交換機(jī)的 VLAN 功能進(jìn)行配置，劃分網(wǎng)段，根據(jù)各個(gè)二級(jí)單位信息點(diǎn)所在的網(wǎng)段進(jìn)行動(dòng)態(tài)地址分配。 內(nèi)部網(wǎng)絡(luò) IP地址分配 內(nèi)部網(wǎng)部分可以使用保留地址。根據(jù) IANA 的規(guī)定，以下三段地址作為保留地址，可以由用戶(hù)自由使用，并只需保證企業(yè)范圍內(nèi)的唯一性。 保留地址如下：（ 1 個(gè) A 類(lèi)地址）（ ChinaNet 使用該地址段） 至 （ 16 個(gè) B 類(lèi)地址） 至 （ 256 個(gè) C類(lèi)地址） 我們建議內(nèi)部網(wǎng)絡(luò)采用保留 IP地址 ，子網(wǎng)掩碼 ，則最多可以提供 254x254=64516 個(gè) IP 地址， 254 個(gè)子網(wǎng)，在可以預(yù)見(jiàn)的將來(lái)能夠滿(mǎn)足信息點(diǎn)增長(zhǎng)的要求。如果子網(wǎng)數(shù)大于 254 個(gè)，則可以通過(guò)修改子網(wǎng)掩碼的方式擴(kuò)展。 分配原則：我們把 （ n 從 1 到 254）稱(chēng)作一個(gè)二級(jí)子網(wǎng)，原則上網(wǎng)絡(luò)中心、機(jī)關(guān)大樓和每個(gè)二級(jí)單位各分配一個(gè)二級(jí)子網(wǎng)。根據(jù)二級(jí)單位的規(guī)模和信息點(diǎn)的數(shù)量，可以根據(jù)需要進(jìn)行調(diào)整。每個(gè)二級(jí)單位應(yīng)指定專(zhuān)人負(fù)責(zé)本子網(wǎng)的 IP 地址分配和管理工作，并和網(wǎng)絡(luò)管理員協(xié)同工作，確保 IP 地址管理的效率。 對(duì)于重要的 IP地址（比如領(lǐng)導(dǎo)使用的 IP地址和各個(gè)服務(wù)器使用的 IP地址），采取 IP 地址和 MAC 地址綁定的方法，來(lái)保證 IP 地址不被盜用。這種綁定可以在PIX 防火墻上實(shí)現(xiàn)。 外部網(wǎng)絡(luò) IP地址分配 但是 內(nèi)部服務(wù)器中的 WWW 服務(wù)器 、 EMAIL 服務(wù)器 等都需要和外界通訊我們解決這個(gè)問(wèn)題， 我們可以 申請(qǐng)一定數(shù)量的合法 IP 地址，并綁定在在 防火墻的外部網(wǎng)卡上，然后通過(guò) IP 映射 （ NAT，介紹 PIX防火墻時(shí)有詳細(xì)描述） 使發(fā)給其中X 一個(gè) IP 地址的包轉(zhuǎn)發(fā)至內(nèi)部的 WWW 服務(wù)器上，然后再將該內(nèi)部 WWW 服務(wù)器響應(yīng)包偽裝成該合法 IP發(fā)出的包。 具體過(guò)程如下圖所示： 13 我們假設(shè)以下情景： ISP 分配給 服務(wù)器的 ip 為： 內(nèi)部 IP： ,真實(shí) IP： ISP 分配給 EMAIL 服務(wù)器的 IP 為： 內(nèi)部 IP： ， 真實(shí) ip： PIX 防火墻的 IP 地址分別為：內(nèi)網(wǎng)接口 eth1： ， 外網(wǎng)接口 eth0： 通過(guò)設(shè)置 PIX 把 真實(shí) IP 綁定到防火墻的外網(wǎng)接口 ，并在 PIX 上定義好 NAT 規(guī)則，這樣， 所有目的 IP 為 和 的數(shù)據(jù)包都將分別被轉(zhuǎn)發(fā)給 和 ；而所有來(lái)自 和 192. 的 數(shù) 據(jù) 包 都 將 分 別 被 偽 裝 成 由 和 202. ，從而也就實(shí)現(xiàn)了 IP映射 。 需要申請(qǐng)合法 IP地址的服務(wù)器包括： INTERNET 接入路由器、 WWW 服務(wù)器、 EMAIL服務(wù)器、防火墻。 ISP 網(wǎng)絡(luò) IP地址分配 一個(gè)內(nèi)部子網(wǎng)分配給撥號(hào)訪(fǎng)問(wèn)服務(wù)器，共有 254 個(gè) IP地址，可以滿(mǎn)足 240個(gè)用戶(hù)的接入需要。檔 ISP 系統(tǒng)擴(kuò)容時(shí)，可以相應(yīng)增加子網(wǎng)的數(shù)量即可。撥號(hào)用14 戶(hù)采用動(dòng)態(tài) IP 地址分配的方法。 為了方便管理， ISP 分配給用戶(hù)的 IP 地址都是 內(nèi)部 IP 地址 ， 可以訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò) 。 如果需要訪(fǎng)問(wèn) Interet，則同樣由 PIX 實(shí)現(xiàn) IP 地 址轉(zhuǎn)換。 域名管理 X已注冊(cè)域名 。 從 Inter 訪(fǎng)問(wèn) WWW服務(wù)器時(shí)， Inter 上的域名解析指向 PIX 防火墻，由防火墻進(jìn)行地址轉(zhuǎn)換指向 WWW 服務(wù)器。 從內(nèi)部網(wǎng)絡(luò)訪(fǎng)問(wèn) WWW 服務(wù)器時(shí)，首先在內(nèi)部 DNS 服務(wù)器進(jìn)行域名解析，即可得到 WWW 服務(wù)器的 IP地址。如果需要訪(fǎng)問(wèn) Inter 上的資源，則使用外部 DNS服務(wù)器進(jìn)行域名解析，得到目的地的 IP地址。 VLAN VLAN 即 Virtual LAN，表示虛擬局域網(wǎng)，簡(jiǎn)稱(chēng)虛網(wǎng)。它依靠邏輯設(shè)定將原來(lái)物理上互連的一個(gè)局域網(wǎng)絡(luò)劃分為多個(gè)虛擬網(wǎng)段，劃分的依據(jù)可為設(shè)備所連的端口、用戶(hù)節(jié)點(diǎn)的 MAC 地址等。整個(gè)網(wǎng)絡(luò)可以根據(jù)管理的要求、地理位置和片區(qū)的劃分來(lái)設(shè)置相應(yīng)的 VLAN（虛擬子網(wǎng)）， VLAN 技術(shù)可以將不同 VLAN 之間的用戶(hù)隔離，保證安全性。劃分的結(jié)果使得同一虛網(wǎng)內(nèi)數(shù)據(jù)可自由通訊，而不同虛網(wǎng)間的數(shù)據(jù)交流則需要通過(guò)具有第三層路由功能的設(shè)備來(lái)完成。 思科公司的 Catalyst 交換機(jī)系列都支持 VLAN 的設(shè)定和 ISL、 兩種以太網(wǎng) VLAN 標(biāo)識(shí)技術(shù)。 本方案 設(shè)備從核心層交換機(jī) CISCO catalyst 6500、訪(fǎng)問(wèn)層交換機(jī) ,到接入層交換機(jī)設(shè)備都支持 IEEE VLAN 標(biāo)準(zhǔn)，保證了該項(xiàng)技術(shù)的順利實(shí)施。這樣，通過(guò)在接入層交換機(jī)為用戶(hù)配置不同的 VLAN，進(jìn)行端口隔離，所有的用戶(hù)端口只能通過(guò)核心交換機(jī)來(lái)實(shí)現(xiàn)互連。辦公大樓的訪(fǎng)問(wèn)層采用 CISCO catalyst 3550三層交換機(jī) ,部門(mén)之間的 VLAN 信息可以通過(guò)它來(lái)轉(zhuǎn)發(fā)可以減少核心層交換機(jī)的負(fù)擔(dān) ,在核心層交換機(jī)通過(guò) ACL（訪(fǎng)問(wèn)控制列表）進(jìn)行相應(yīng)的控制，使得用戶(hù)的訪(fǎng)問(wèn)得到完全的控制。 建議采用如下方式劃分 子網(wǎng)： ? 子網(wǎng)一：網(wǎng)絡(luò)中心，包括 數(shù)據(jù)庫(kù)服務(wù)器， EMAIL 服務(wù)器， WWW 服務(wù)器和 DNS 服務(wù)器，網(wǎng)管工作站，代理服務(wù)器，計(jì)費(fèi)服務(wù)器和訪(fǎng)問(wèn)15 服務(wù)器等。 ? 子網(wǎng)二：機(jī)關(guān)大樓，包括公司領(lǐng)導(dǎo)和機(jī)關(guān)各處室 ? 子網(wǎng)三：電訊公司 ? 其它每個(gè)聯(lián)網(wǎng)二級(jí)單位均分配一個(gè)子網(wǎng)， 每一個(gè)二級(jí)單位屬于一個(gè)VLAN，以此提高整個(gè)網(wǎng)絡(luò)的可靠性和可用性。由于 Catalyst6509最高可以提供 150M 的第三層轉(zhuǎn)發(fā)，因此這種子網(wǎng)劃分方式不但可以提供高可用性，同時(shí)還降低網(wǎng)絡(luò)風(fēng)暴的可能性，更好地滿(mǎn)足了業(yè)務(wù)的需要。 互聯(lián)網(wǎng)接入方案 1 Inter 接入概述 在網(wǎng)絡(luò)中心，租用專(zhuān)線(xiàn)（ X 計(jì)劃采用虛擬光纖接入方式）接入到Inter/ChinaNET 中，利用 Inter/ ChinaNET 的物理線(xiàn)路資源來(lái)實(shí)現(xiàn)廣域網(wǎng)絡(luò)連接。向全球范圍實(shí)現(xiàn)信息發(fā)布，展示企業(yè)形象；并通過(guò)對(duì)訪(fǎng)問(wèn)用戶(hù)的權(quán)限管理、口令驗(yàn)證、數(shù)字加密等技術(shù)進(jìn)行不同訪(fǎng)問(wèn)級(jí)別的管理，從而實(shí)現(xiàn)對(duì)企業(yè)集團(tuán)內(nèi)部訪(fǎng)問(wèn)、合作伙伴訪(fǎng)問(wèn)、及普通瀏覽訪(fǎng)問(wèn)等不同類(lèi)型訪(fǎng)問(wèn)者的控制，保證實(shí)用性和安全性。 網(wǎng)絡(luò)連接示意參圖。 移動(dòng)辦公 全國(guó)分支機(jī)構(gòu) Inter/ China 訪(fǎng)問(wèn)服務(wù)器 PSTN/ISDN 訪(fǎng)問(wèn)用戶(hù) 接入路由器 . . . . . . 16 圖 當(dāng)采用 Inter 上的 Web訪(fǎng)問(wèn)方式時(shí)， 公司在 Inter 上建立自己的 Web網(wǎng)站，將要發(fā)布的信息放在 Web 上供用戶(hù)查詢(xún)、下載， Web服務(wù)器通過(guò)防火墻與公司的 Intra 相連。在 Web 服務(wù)器上開(kāi)辟一定的區(qū)域通過(guò)不同等級(jí)的授權(quán)供各分支機(jī)構(gòu)、出差人員等與總部中心進(jìn)行通信。也為電子商務(wù)打下基礎(chǔ)。 2 CISCO 3640 路由器介紹 為保證 Inter連接的可靠性和將來(lái)的流量擴(kuò)展，選用高性能的 CISCO3640路由器做為 Inter 接入服務(wù)平臺(tái)。 Cisco 3600 系列是適合大中型企業(yè)較小型 Inter 服務(wù)供應(yīng)商的一系列模塊化多 服務(wù)訪(fǎng)問(wèn)平臺(tái)。 Cisco 3600 系列擁有70多個(gè)模塊化接口選項(xiàng)，為數(shù)據(jù)、語(yǔ)音、視頻、混合撥號(hào)訪(fǎng)問(wèn)、虛擬專(zhuān)網(wǎng) (VPN)和多協(xié)議數(shù)據(jù)路由提供解決方案。高性能模塊化體系結(jié)構(gòu)可以保護(hù)客戶(hù)的網(wǎng)絡(luò)拓?fù)渫顿Y，并將多個(gè)設(shè)備的功能集成到一個(gè)可管理的解決方案中。 Cisco 3640 提供更高的密度、更大的性能和更多擴(kuò)展功能。 Cisco 3640 平臺(tái)的新增功能和性能可以啟動(dòng)新的應(yīng)用，例如分組語(yǔ)音集合及 T1/E1 IMA 到 OC3 范圍的分支機(jī)構(gòu) ATM 訪(fǎng)問(wèn)。 Cisco 3600 系列多服務(wù)平臺(tái)通過(guò)以下許多語(yǔ)音 功能大大增強(qiáng)：數(shù)字語(yǔ)音接口 (T1 和 E1)上增加的幀中繼語(yǔ)音 (VoFR)和 ATM 語(yǔ)音 (VoATMAALS)支持。目前所有數(shù)字接口還支持 QSIG，包括 T1/E1 和 BRI。其他增強(qiáng)包括 OPX、幀中繼 VoIP 及增強(qiáng)的排隊(duì)功能性。此外，與 Call Manager 軟件版本協(xié)作的一個(gè)特性使這些產(chǎn)品成為 PBX 和 PSTN IP 電話(huà)的完美網(wǎng)關(guān)，從而啟動(dòng)了呼叫轉(zhuǎn)移、保持和會(huì)議等應(yīng)用。 本方案路由器選型和配置 考慮到一期規(guī)劃中的實(shí)際應(yīng)用需要，本方案選擇 CISCO 3640 路由器，除了提供 Inter 接入外，也提供與遠(yuǎn)程分支的連接。主要配置如下： 四插槽 3640 路由器，帶 AC 電源， (產(chǎn)品定價(jià)中包括 IP 軟件 )； 3640 IOS 軟件 2口 快速 以太網(wǎng) 2 個(gè)廣域網(wǎng)卡插槽 17 1口廣域網(wǎng) 高速 串口卡 以上配置完全可以滿(mǎn)足一期規(guī)劃中 INTERNET 高速連接的需要。 安全方案 網(wǎng)絡(luò)安全是當(dāng)前 IT 業(yè)最受關(guān)注的環(huán)節(jié)。在 X 的企業(yè)網(wǎng)建設(shè)中，內(nèi)部網(wǎng)與Inter/ ChinaNET 公眾網(wǎng)的連接是重要環(huán)節(jié)。因此，需要著重解決好總部的防火墻方案。 本方案網(wǎng)絡(luò)安全配置概述 由于 路由器防火墻只能作為過(guò)濾器，并不能把內(nèi)部網(wǎng) 絡(luò)結(jié)構(gòu)從入侵者眼前隱藏起來(lái) ， 只要允許外部網(wǎng)絡(luò)上的計(jì)算機(jī)直接訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī)，就存在著攻擊者可以損害內(nèi)部局域網(wǎng)上機(jī)器的安全性，并從那里攻擊其他計(jì)算機(jī)的可能性。 因此 為了保證企業(yè)內(nèi)部網(wǎng)的安全，防止非法入侵，需要使用專(zhuān)用的防火墻計(jì)算機(jī)。 因此，本方案采用兩層防火墻加上應(yīng)用系統(tǒng)的身份認(rèn)證和權(quán)限管理四層安全措施，來(lái)保證網(wǎng)絡(luò)安全和應(yīng)用安全。由于費(fèi)用原因，本方案采取臨時(shí)措施協(xié)助X進(jìn)行病毒防范。 第一層 軟件防火墻 通過(guò) CISCO 的路有器和訪(fǎng)問(wèn)服務(wù)器本身具有的包過(guò)濾功能和代理服務(wù)器的內(nèi)外網(wǎng)隔離功能實(shí)現(xiàn)。 第二層 硬件防火 墻 即選用 CISCO SECURE PIX 525防火墻 ，該產(chǎn)品 經(jīng)過(guò)了美國(guó)安全事務(wù)處 (NSA)的認(rèn)證，同時(shí)通過(guò)中國(guó)公安部安全檢測(cè)中心的認(rèn)證 。具體配置 為： CISCO SECURE PIX 525 4個(gè) 100M 以太網(wǎng)端口 128M 內(nèi)存 600MHZ CPU 第三層 身份認(rèn)證 用戶(hù)使用應(yīng)用系統(tǒng)，不管是從內(nèi)部網(wǎng)絡(luò)登錄，還是撥號(hào)訪(fǎng)問(wèn)，還是通過(guò)INTERNET 訪(fǎng)問(wèn)公司網(wǎng)絡(luò)，首先需要通過(guò)嚴(yán)格的身份認(rèn)證。只有合法的用戶(hù)才能使用應(yīng)用系統(tǒng)。 第四層 權(quán)限管理 每個(gè)使用網(wǎng)絡(luò)的用戶(hù)將受到嚴(yán)格的權(quán)限限制。一般而言，網(wǎng)絡(luò)管理員不得從18 事業(yè)務(wù)操作，普通用戶(hù)不能進(jìn)行網(wǎng)絡(luò)管理。 六 網(wǎng)絡(luò)物理結(jié)構(gòu)設(shè)計(jì) 隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，傳統(tǒng)建筑中的供風(fēng)、暖通、給排水、通訊、通信、監(jiān)控等都變得可控起來(lái)，傳統(tǒng)建筑正在朝可控制和管理的智能方向發(fā)展，即智能化大廈，信息社會(huì)在飛速發(fā)展中不斷出現(xiàn)的新需求也是傳統(tǒng)建筑所無(wú)法滿(mǎn)足的。 結(jié)構(gòu)化綜合布線(xiàn)系統(tǒng)（ SCS）是智能化園區(qū)的基礎(chǔ)，有了好的結(jié)構(gòu)化綜合布線(xiàn)系統(tǒng)，整個(gè)企業(yè)園區(qū)很容易就能成為智能園區(qū)，為企業(yè)各層次用戶(hù)提供最佳、最便捷的服務(wù)。 、設(shè)計(jì)原則 ? 實(shí)用性：這是第一位的，也是系統(tǒng)的最終目的；該布線(xiàn)系統(tǒng)不僅能夠?yàn)橛?jì) 算機(jī)網(wǎng)絡(luò)系統(tǒng)服務(wù)，而且也應(yīng)當(dāng)能夠很容易加入樓宇控制部分，實(shí)現(xiàn)智能化大樓。 ? 可靠性：網(wǎng)絡(luò)中心是廠(chǎng)區(qū)的中心樞紐所在，對(duì)結(jié)構(gòu)化布線(xiàn)系統(tǒng)和以后的應(yīng)用系統(tǒng)的可靠性要求是相當(dāng)嚴(yán)格的，它應(yīng)能防止各種可能出現(xiàn)的故障性癱瘓。 ? 開(kāi)放性：這實(shí)際上是對(duì)布線(xiàn)系統(tǒng)和辦公網(wǎng)建設(shè)的要求。 ? 易擴(kuò)性：布線(xiàn)系統(tǒng)和網(wǎng)絡(luò)的投資保護(hù)和節(jié)省很大程度上是取決于系統(tǒng)能否擴(kuò)展以及標(biāo)準(zhǔn)化、開(kāi)放性和設(shè)計(jì)容量等。 ? 先進(jìn)性：在技術(shù)成熟實(shí)用的基礎(chǔ)上，提供最先進(jìn)的實(shí)用產(chǎn)品和技術(shù)，它也是保證高水平實(shí)用技術(shù)的條件。 ? 可維護(hù)性：對(duì)于大規(guī)模的布線(xiàn)系統(tǒng)和大范圍分布的網(wǎng)絡(luò)，其差錯(cuò)與 故障診斷，維護(hù)和重組，系統(tǒng)重配置等功能是必不可少的。 、總體設(shè)計(jì)思路 為滿(mǎn)足