【文章內(nèi)容簡介】 一種方案是使用靜態(tài)地址分配，但必須加強 MAC 地址的管理。 用動態(tài) IP 地址分配（ DHCP）的最大優(yōu)點是客戶端網(wǎng)絡(luò)的配置非常簡單，在沒有管理員的幫助和 干預(yù)的情況下，用戶自己便可以對網(wǎng)絡(luò)進(jìn)行連接設(shè)置。但是，因為 IP 地址是動態(tài)分配的，網(wǎng)管員不能從 IP 地址上鑒定客戶的身份，相應(yīng)的IP層管理將失去作用。而且使用動態(tài) IP 地址分配需要設(shè)置額外 DHCP 服務(wù)器。 使用靜態(tài) IP地址分配可以對各部門進(jìn)行合理的 IP 地址規(guī)劃，能夠在第三層上方便地跟蹤管理， 再加上 對 網(wǎng)卡 MAC 地址的管理， 網(wǎng)絡(luò)就會具有更好的可管理性。但如果網(wǎng)絡(luò)規(guī)模較大，則 IP 地址管理的工作量就相當(dāng)大。 綜合以上考慮，由于一期規(guī)劃整個信息點的規(guī)模不是很大，因此從網(wǎng)絡(luò)安全的角度出發(fā)，我們建議采用靜態(tài)地址分配的方法。并結(jié) 合中心交換機的第三層交換功能，進(jìn)行子網(wǎng)的劃分，一方面可以降低網(wǎng)絡(luò)風(fēng)暴的發(fā)生，另一方面也加強了網(wǎng)絡(luò)的安全性。 當(dāng)隨著以后各期規(guī)劃的實施，整個網(wǎng)絡(luò)信息的規(guī)模不斷擴大，則可以考慮采用DHCP 動態(tài) IP 地址分配的方案，設(shè)立專門的 DHCP 服務(wù)器進(jìn)行動態(tài) IP地址分配。12 同樣可以基于中心交換機的 VLAN 功能進(jìn)行配置，劃分網(wǎng)段，根據(jù)各個二級單位信息點所在的網(wǎng)段進(jìn)行動態(tài)地址分配。 內(nèi)部網(wǎng)絡(luò) IP地址分配 內(nèi)部網(wǎng)部分可以使用保留地址。根據(jù) IANA 的規(guī)定，以下三段地址作為保留地址，可以由用戶自由使用，并只需保證企業(yè)范圍內(nèi)的唯一性。 保留地址如下：（ 1 個 A 類地址）（ ChinaNet 使用該地址段） 至 （ 16 個 B 類地址） 至 （ 256 個 C類地址） 我們建議內(nèi)部網(wǎng)絡(luò)采用保留 IP地址 ，子網(wǎng)掩碼 ，則最多可以提供 254x254=64516 個 IP 地址， 254 個子網(wǎng)，在可以預(yù)見的將來能夠滿足信息點增長的要求。如果子網(wǎng)數(shù)大于 254 個，則可以通過修改子網(wǎng)掩碼的方式擴展。 分配原則：我們把 （ n 從 1 到 254）稱作一個二級子網(wǎng)，原則上網(wǎng)絡(luò)中心、機關(guān)大樓和每個二級單位各分配一個二級子網(wǎng)。根據(jù)二級單位的規(guī)模和信息點的數(shù)量，可以根據(jù)需要進(jìn)行調(diào)整。每個二級單位應(yīng)指定專人負(fù)責(zé)本子網(wǎng)的 IP 地址分配和管理工作，并和網(wǎng)絡(luò)管理員協(xié)同工作，確保 IP 地址管理的效率。 對于重要的 IP地址（比如領(lǐng)導(dǎo)使用的 IP地址和各個服務(wù)器使用的 IP地址），采取 IP 地址和 MAC 地址綁定的方法，來保證 IP 地址不被盜用。這種綁定可以在PIX 防火墻上實現(xiàn)。 外部網(wǎng)絡(luò) IP地址分配 但是 內(nèi)部服務(wù)器中的 WWW 服務(wù)器 、 EMAIL 服務(wù)器 等都需要和外界通訊我們解決這個問題， 我們可以 申請一定數(shù)量的合法 IP 地址，并綁定在在 防火墻的外部網(wǎng)卡上，然后通過 IP 映射 （ NAT，介紹 PIX防火墻時有詳細(xì)描述） 使發(fā)給其中X 一個 IP 地址的包轉(zhuǎn)發(fā)至內(nèi)部的 WWW 服務(wù)器上，然后再將該內(nèi)部 WWW 服務(wù)器響應(yīng)包偽裝成該合法 IP發(fā)出的包。 具體過程如下圖所示： 13 我們假設(shè)以下情景： ISP 分配給 服務(wù)器的 ip 為： 內(nèi)部 IP： ,真實 IP： ISP 分配給 EMAIL 服務(wù)器的 IP 為： 內(nèi)部 IP： ， 真實 ip： PIX 防火墻的 IP 地址分別為：內(nèi)網(wǎng)接口 eth1： ， 外網(wǎng)接口 eth0： 通過設(shè)置 PIX 把 真實 IP 綁定到防火墻的外網(wǎng)接口 ，并在 PIX 上定義好 NAT 規(guī)則，這樣， 所有目的 IP 為 和 的數(shù)據(jù)包都將分別被轉(zhuǎn)發(fā)給 和 ；而所有來自 和 192. 的 數(shù) 據(jù) 包 都 將 分 別 被 偽 裝 成 由 和 202. ，從而也就實現(xiàn)了 IP映射 。 需要申請合法 IP地址的服務(wù)器包括： INTERNET 接入路由器、 WWW 服務(wù)器、 EMAIL服務(wù)器、防火墻。 ISP 網(wǎng)絡(luò) IP地址分配 一個內(nèi)部子網(wǎng)分配給撥號訪問服務(wù)器，共有 254 個 IP地址，可以滿足 240個用戶的接入需要。檔 ISP 系統(tǒng)擴容時，可以相應(yīng)增加子網(wǎng)的數(shù)量即可。撥號用14 戶采用動態(tài) IP 地址分配的方法。 為了方便管理， ISP 分配給用戶的 IP 地址都是 內(nèi)部 IP 地址 ， 可以訪問內(nèi)部網(wǎng)絡(luò) 。 如果需要訪問 Interet，則同樣由 PIX 實現(xiàn) IP 地 址轉(zhuǎn)換。 域名管理 X已注冊域名 。 從 Inter 訪問 WWW服務(wù)器時， Inter 上的域名解析指向 PIX 防火墻，由防火墻進(jìn)行地址轉(zhuǎn)換指向 WWW 服務(wù)器。 從內(nèi)部網(wǎng)絡(luò)訪問 WWW 服務(wù)器時，首先在內(nèi)部 DNS 服務(wù)器進(jìn)行域名解析，即可得到 WWW 服務(wù)器的 IP地址。如果需要訪問 Inter 上的資源，則使用外部 DNS服務(wù)器進(jìn)行域名解析，得到目的地的 IP地址。 VLAN VLAN 即 Virtual LAN，表示虛擬局域網(wǎng)，簡稱虛網(wǎng)。它依靠邏輯設(shè)定將原來物理上互連的一個局域網(wǎng)絡(luò)劃分為多個虛擬網(wǎng)段，劃分的依據(jù)可為設(shè)備所連的端口、用戶節(jié)點的 MAC 地址等。整個網(wǎng)絡(luò)可以根據(jù)管理的要求、地理位置和片區(qū)的劃分來設(shè)置相應(yīng)的 VLAN（虛擬子網(wǎng)）， VLAN 技術(shù)可以將不同 VLAN 之間的用戶隔離，保證安全性。劃分的結(jié)果使得同一虛網(wǎng)內(nèi)數(shù)據(jù)可自由通訊，而不同虛網(wǎng)間的數(shù)據(jù)交流則需要通過具有第三層路由功能的設(shè)備來完成。 思科公司的 Catalyst 交換機系列都支持 VLAN 的設(shè)定和 ISL、 兩種以太網(wǎng) VLAN 標(biāo)識技術(shù)。 本方案 設(shè)備從核心層交換機 CISCO catalyst 6500、訪問層交換機 ,到接入層交換機設(shè)備都支持 IEEE VLAN 標(biāo)準(zhǔn)，保證了該項技術(shù)的順利實施。這樣，通過在接入層交換機為用戶配置不同的 VLAN，進(jìn)行端口隔離，所有的用戶端口只能通過核心交換機來實現(xiàn)互連。辦公大樓的訪問層采用 CISCO catalyst 3550三層交換機 ,部門之間的 VLAN 信息可以通過它來轉(zhuǎn)發(fā)可以減少核心層交換機的負(fù)擔(dān) ,在核心層交換機通過 ACL（訪問控制列表）進(jìn)行相應(yīng)的控制，使得用戶的訪問得到完全的控制。 建議采用如下方式劃分 子網(wǎng)： ? 子網(wǎng)一：網(wǎng)絡(luò)中心，包括 數(shù)據(jù)庫服務(wù)器， EMAIL 服務(wù)器， WWW 服務(wù)器和 DNS 服務(wù)器，網(wǎng)管工作站，代理服務(wù)器，計費服務(wù)器和訪問15 服務(wù)器等。 ? 子網(wǎng)二：機關(guān)大樓，包括公司領(lǐng)導(dǎo)和機關(guān)各處室 ? 子網(wǎng)三：電訊公司 ? 其它每個聯(lián)網(wǎng)二級單位均分配一個子網(wǎng)， 每一個二級單位屬于一個VLAN，以此提高整個網(wǎng)絡(luò)的可靠性和可用性。由于 Catalyst6509最高可以提供 150M 的第三層轉(zhuǎn)發(fā)，因此這種子網(wǎng)劃分方式不但可以提供高可用性，同時還降低網(wǎng)絡(luò)風(fēng)暴的可能性，更好地滿足了業(yè)務(wù)的需要。 互聯(lián)網(wǎng)接入方案 1 Inter 接入概述 在網(wǎng)絡(luò)中心，租用專線（ X 計劃采用虛擬光纖接入方式）接入到Inter/ChinaNET 中，利用 Inter/ ChinaNET 的物理線路資源來實現(xiàn)廣域網(wǎng)絡(luò)連接。向全球范圍實現(xiàn)信息發(fā)布，展示企業(yè)形象；并通過對訪問用戶的權(quán)限管理、口令驗證、數(shù)字加密等技術(shù)進(jìn)行不同訪問級別的管理，從而實現(xiàn)對企業(yè)集團(tuán)內(nèi)部訪問、合作伙伴訪問、及普通瀏覽訪問等不同類型訪問者的控制，保證實用性和安全性。 網(wǎng)絡(luò)連接示意參圖。 移動辦公 全國分支機構(gòu) Inter/ China 訪問服務(wù)器 PSTN/ISDN 訪問用戶 接入路由器 . . . . . . 16 圖 當(dāng)采用 Inter 上的 Web訪問方式時， 公司在 Inter 上建立自己的 Web網(wǎng)站，將要發(fā)布的信息放在 Web 上供用戶查詢、下載， Web服務(wù)器通過防火墻與公司的 Intra 相連。在 Web 服務(wù)器上開辟一定的區(qū)域通過不同等級的授權(quán)供各分支機構(gòu)、出差人員等與總部中心進(jìn)行通信。也為電子商務(wù)打下基礎(chǔ)。 2 CISCO 3640 路由器介紹 為保證 Inter連接的可靠性和將來的流量擴展，選用高性能的 CISCO3640路由器做為 Inter 接入服務(wù)平臺。 Cisco 3600 系列是適合大中型企業(yè)較小型 Inter 服務(wù)供應(yīng)商的一系列模塊化多 服務(wù)訪問平臺。 Cisco 3600 系列擁有70多個模塊化接口選項，為數(shù)據(jù)、語音、視頻、混合撥號訪問、虛擬專網(wǎng) (VPN)和多協(xié)議數(shù)據(jù)路由提供解決方案。高性能模塊化體系結(jié)構(gòu)可以保護(hù)客戶的網(wǎng)絡(luò)拓?fù)渫顿Y，并將多個設(shè)備的功能集成到一個可管理的解決方案中。 Cisco 3640 提供更高的密度、更大的性能和更多擴展功能。 Cisco 3640 平臺的新增功能和性能可以啟動新的應(yīng)用，例如分組語音集合及 T1/E1 IMA 到 OC3 范圍的分支機構(gòu) ATM 訪問。 Cisco 3600 系列多服務(wù)平臺通過以下許多語音 功能大大增強：數(shù)字語音接口 (T1 和 E1)上增加的幀中繼語音 (VoFR)和 ATM 語音 (VoATMAALS)支持。目前所有數(shù)字接口還支持 QSIG，包括 T1/E1 和 BRI。其他增強包括 OPX、幀中繼 VoIP 及增強的排隊功能性。此外，與 Call Manager 軟件版本協(xié)作的一個特性使這些產(chǎn)品成為 PBX 和 PSTN IP 電話的完美網(wǎng)關(guān)，從而啟動了呼叫轉(zhuǎn)移、保持和會議等應(yīng)用。 本方案路由器選型和配置 考慮到一期規(guī)劃中的實際應(yīng)用需要，本方案選擇 CISCO 3640 路由器，除了提供 Inter 接入外，也提供與遠(yuǎn)程分支的連接。主要配置如下： 四插槽 3640 路由器，帶 AC 電源， (產(chǎn)品定價中包括 IP 軟件 )； 3640 IOS 軟件 2口 快速 以太網(wǎng) 2 個廣域網(wǎng)卡插槽 17 1口廣域網(wǎng) 高速 串口卡 以上配置完全可以滿足一期規(guī)劃中 INTERNET 高速連接的需要。 安全方案 網(wǎng)絡(luò)安全是當(dāng)前 IT 業(yè)最受關(guān)注的環(huán)節(jié)。在 X 的企業(yè)網(wǎng)建設(shè)中，內(nèi)部網(wǎng)與Inter/ ChinaNET 公眾網(wǎng)的連接是重要環(huán)節(jié)。因此，需要著重解決好總部的防火墻方案。 本方案網(wǎng)絡(luò)安全配置概述 由于 路由器防火墻只能作為過濾器，并不能把內(nèi)部網(wǎng) 絡(luò)結(jié)構(gòu)從入侵者眼前隱藏起來 ， 只要允許外部網(wǎng)絡(luò)上的計算機直接訪問內(nèi)部網(wǎng)絡(luò)上的計算機，就存在著攻擊者可以損害內(nèi)部局域網(wǎng)上機器的安全性，并從那里攻擊其他計算機的可能性。 因此 為了保證企業(yè)內(nèi)部網(wǎng)的安全，防止非法入侵，需要使用專用的防火墻計算機。 因此，本方案采用兩層防火墻加上應(yīng)用系統(tǒng)的身份認(rèn)證和權(quán)限管理四層安全措施，來保證網(wǎng)絡(luò)安全和應(yīng)用安全。由于費用原因，本方案采取臨時措施協(xié)助X進(jìn)行病毒防范。 第一層 軟件防火墻 通過 CISCO 的路有器和訪問服務(wù)器本身具有的包過濾功能和代理服務(wù)器的內(nèi)外網(wǎng)隔離功能實現(xiàn)。 第二層 硬件防火 墻 即選用 CISCO SECURE PIX 525防火墻 ，該產(chǎn)品 經(jīng)過了美國安全事務(wù)處 (NSA)的認(rèn)證，同時通過中國公安部安全檢測中心的認(rèn)證 。具體配置 為： CISCO SECURE PIX 525 4個 100M 以太網(wǎng)端口 128M 內(nèi)存 600MHZ CPU 第三層 身份認(rèn)證 用戶使用應(yīng)用系統(tǒng)，不管是從內(nèi)部網(wǎng)絡(luò)登錄，還是撥號訪問，還是通過INTERNET 訪問公司網(wǎng)絡(luò)，首先需要通過嚴(yán)格的身份認(rèn)證。只有合法的用戶才能使用應(yīng)用系統(tǒng)。 第四層 權(quán)限管理 每個使用網(wǎng)絡(luò)的用戶將受到嚴(yán)格的權(quán)限限制。一般而言，網(wǎng)絡(luò)管理員不得從18 事業(yè)務(wù)操作，普通用戶不能進(jìn)行網(wǎng)絡(luò)管理。 六 網(wǎng)絡(luò)物理結(jié)構(gòu)設(shè)計 隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，傳統(tǒng)建筑中的供風(fēng)、暖通、給排水、通訊、通信、監(jiān)控等都變得可控起來，傳統(tǒng)建筑正在朝可控制和管理的智能方向發(fā)展，即智能化大廈，信息社會在飛速發(fā)展中不斷出現(xiàn)的新需求也是傳統(tǒng)建筑所無法滿足的。 結(jié)構(gòu)化綜合布線系統(tǒng)（ SCS）是智能化園區(qū)的基礎(chǔ)，有了好的結(jié)構(gòu)化綜合布線系統(tǒng)，整個企業(yè)園區(qū)很容易就能成為智能園區(qū)，為企業(yè)各層次用戶提供最佳、最便捷的服務(wù)。 、設(shè)計原則 ? 實用性：這是第一位的，也是系統(tǒng)的最終目的；該布線系統(tǒng)不僅能夠為計 算機網(wǎng)絡(luò)系統(tǒng)服務(wù)，而且也應(yīng)當(dāng)能夠很容易加入樓宇控制部分，實現(xiàn)智能化大樓。 ? 可靠性：網(wǎng)絡(luò)中心是廠區(qū)的中心樞紐所在，對結(jié)構(gòu)化布線系統(tǒng)和以后的應(yīng)用系統(tǒng)的可靠性要求是相當(dāng)嚴(yán)格的，它應(yīng)能防止各種可能出現(xiàn)的故障性癱瘓。 ? 開放性：這實際上是對布線系統(tǒng)和辦公網(wǎng)建設(shè)的要求。 ? 易擴性：布線系統(tǒng)和網(wǎng)絡(luò)的投資保護(hù)和節(jié)省很大程度上是取決于系統(tǒng)能否擴展以及標(biāo)準(zhǔn)化、開放性和設(shè)計容量等。 ? 先進(jìn)性：在技術(shù)成熟實用的基礎(chǔ)上，提供最先進(jìn)的實用產(chǎn)品和技術(shù)，它也是保證高水平實用技術(shù)的條件。 ? 可維護(hù)性：對于大規(guī)模的布線系統(tǒng)和大范圍分布的網(wǎng)絡(luò)，其差錯與 故障診斷，維護(hù)和重組，系統(tǒng)重配置等功能是必不可少的。 、總體設(shè)計思路 為滿足