【正文】 將多達(dá)13臺(tái)交換機(jī)進(jìn)行堆疊。我們可以采用S2026C堆疊的方式，可實(shí)現(xiàn)300點(diǎn)以上的信息點(diǎn)的接入。同時(shí)，為了加速與網(wǎng)絡(luò)核心層的業(yè)務(wù)傳輸，它利用其固有的服務(wù)質(zhì)量（QoS）管理功能、線速轉(zhuǎn)發(fā)功能和一致的網(wǎng)絡(luò)管理的簡(jiǎn)潔性，可在有限的預(yù)算范圍內(nèi)實(shí)現(xiàn)端到端的CISCO組網(wǎng)方案。 主干網(wǎng)絡(luò)可靠性考慮由于****大學(xué)占地面積大，考慮到網(wǎng)絡(luò)設(shè)備日常的管理維護(hù)不方便，因此規(guī)劃需充分考慮網(wǎng)絡(luò)的可靠性，主要包括：178。 在校區(qū)光纜布線時(shí)通過(guò)星型結(jié)構(gòu)＋環(huán)網(wǎng)結(jié)構(gòu)連接核心和匯聚節(jié)點(diǎn)，提供基于鏈路的可靠性；178。 核心及主匯聚設(shè)備選用相同品牌產(chǎn)品，核心層考慮配置兩臺(tái)核心交換機(jī)互為備份；178。 核心主節(jié)點(diǎn)設(shè)備選擇可靠性較高的產(chǎn)品，同時(shí)考慮一定模塊的冗余，同時(shí)采用ESRP或VRRP協(xié)議在匯聚層交換機(jī)上將各子網(wǎng)網(wǎng)關(guān)相互備份；各樓宇配線間接入設(shè)備通過(guò)一路千兆上聯(lián)到匯聚點(diǎn)設(shè)備上。遠(yuǎn)期也可根據(jù)應(yīng)用情況，接入設(shè)備采用雙路千兆線路上聯(lián)到不同的兩個(gè)匯聚點(diǎn)設(shè)備上，提高可靠性，避免由于匯聚層設(shè)備發(fā)生問(wèn)題影響整個(gè)區(qū)域內(nèi)樓宇網(wǎng)絡(luò)的癱瘓。 INTERNET訪問(wèn)設(shè)計(jì)隨著大學(xué)城的擴(kuò)建，網(wǎng)絡(luò)安全問(wèn)題更顯得必要和突出。為保障****大學(xué)新校區(qū)網(wǎng)絡(luò)建設(shè)的安全，建議在新校區(qū)INTRANET設(shè)備中增添防火墻設(shè)備，以免遭來(lái)自INTERNET和大學(xué)城內(nèi)部的黑客攻擊。INTRANET接入設(shè)備的選型，建議統(tǒng)一采用CISCO設(shè)備，以提高可管理性并簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜度。在外部網(wǎng)出口的地方配置一臺(tái)Cisco 3825路由器，具有2個(gè)10/100/1000M以太網(wǎng)口，其中1口連接內(nèi)部網(wǎng)，另1口提供Internet的接入。Cisco 3825路由器具有2個(gè)網(wǎng)絡(luò)模塊插槽，將來(lái)出口增加時(shí)，可再配置合適的模塊，提供該出口的連接。Cisco 3825是新型的路由器，其性能達(dá)到350Kpps的包轉(zhuǎn)發(fā)率。約等于150Mbps的處理能力。所以對(duì)于百兆的出口而言，Cisco 3825的處理能力完全能夠滿足數(shù)據(jù)包處理的需要。而且，Cisco 3825集成了入侵防護(hù)系統(tǒng)（Intrusion Prevention System，IPS）功能。相比傳統(tǒng)的入侵檢測(cè)系統(tǒng)IDS，絕大多數(shù) IDS 系統(tǒng)都是被動(dòng)的，而不是主動(dòng)性的，也就是說(shuō)，在攻擊實(shí)際發(fā)生之前，它們往往無(wú)法預(yù)先發(fā)出警報(bào)。入侵防護(hù)系統(tǒng)IPS則傾向于提供主動(dòng)性的防護(hù)，其設(shè)計(jì)旨在預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS 是通過(guò)直接嵌入到網(wǎng)絡(luò)流量中而實(shí)現(xiàn)這一功能的，即通過(guò)一個(gè)網(wǎng)絡(luò)端口接收來(lái)自外部系統(tǒng)的流量，經(jīng)過(guò)檢查確認(rèn)其中不包含異?；顒?dòng)或可疑內(nèi)容后，再通過(guò)另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來(lái)，有問(wèn)題的數(shù)據(jù)包，以及所有來(lái)自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能夠在 IPS 設(shè)備中被清除掉。在防火墻的選擇上，選用CISCO PIX535系列防火墻，提供兩個(gè)千兆接口分別接入到邊緣路由器和內(nèi)部交換設(shè)備，除向校園內(nèi)部用戶提供防護(hù)功能外，還可提供NAT服務(wù)，提供內(nèi)外網(wǎng)地址轉(zhuǎn)換功能。 路由協(xié)議設(shè)計(jì)作為大型園區(qū)網(wǎng)和大型廣域網(wǎng)的結(jié)合體，合理的選擇路由協(xié)議是網(wǎng)絡(luò)能否發(fā)揮最佳設(shè)計(jì)性能的關(guān)鍵。如果使用靜態(tài)路由，會(huì)帶來(lái)大量繁瑣的配置工作，且可能隨著網(wǎng)絡(luò)應(yīng)用情況的變化容易出現(xiàn)錯(cuò)誤卻不易查出，管理成本相對(duì)較高。因此考慮動(dòng)態(tài)路由協(xié)議，以方便網(wǎng)絡(luò)的管理，提高網(wǎng)管的綜合效率。動(dòng)態(tài)路由協(xié)議應(yīng)具備下面基本特點(diǎn)：應(yīng)為國(guó)際標(biāo)準(zhǔn)的路由協(xié)議，考慮不同廠商設(shè)備間的互通；路由協(xié)議本身不應(yīng)對(duì)網(wǎng)絡(luò)帶寬產(chǎn)生大的負(fù)載；支持負(fù)載均衡，由于網(wǎng)絡(luò)拓?fù)淇紤]了多處的dualhoming，因此需要充分利用冗余的線路及端口；收斂時(shí)間短，在由于多種原因造成網(wǎng)絡(luò)實(shí)際連接拓?fù)浒l(fā)生變化時(shí)，在較短的時(shí)間里收斂生成穩(wěn)定的路由表；擴(kuò)展性強(qiáng)，可以適應(yīng)將來(lái)網(wǎng)絡(luò)的擴(kuò)展，做平滑的過(guò)渡。按照以上原則，我們使用國(guó)際標(biāo)準(zhǔn)OSPF路由協(xié)議，它具有以下特性：1．通過(guò)維護(hù)一個(gè)鏈路狀態(tài)數(shù)據(jù)庫(kù)，使用基于Dijkstra的SPF路由算法，實(shí)現(xiàn)快速收斂；2．使用Hello包來(lái)建立和維護(hù)路由器之間的鄰接關(guān)系；3．使用域(area)來(lái)建立兩個(gè)層次的網(wǎng)絡(luò)拓?fù)?，使網(wǎng)絡(luò)結(jié)構(gòu)層次分明，易于擴(kuò)展；4．具有域間路由聚合的能力，有效減少核心層路由設(shè)備的路由表項(xiàng)，提高工作效率；5．都是無(wú)類(classless)協(xié)議，支持靈活高效的IP地址劃分；6．通過(guò)選舉指派路由器（Designed Router）來(lái)代替網(wǎng)絡(luò)廣播，使路由協(xié)議本身對(duì)網(wǎng)絡(luò)帶寬的消耗很低；7．具有認(rèn)證的能力，防止路由欺騙；8．支持負(fù)載均衡路由的能力，充分利用冗余的帶寬。 無(wú)線接入設(shè)計(jì)****大學(xué)的網(wǎng)絡(luò)結(jié)構(gòu)中，在會(huì)議室，圖書館等場(chǎng)所網(wǎng)絡(luò)建設(shè)中，包含了無(wú)線網(wǎng)絡(luò)部分，提供了有線網(wǎng)絡(luò)良好的延伸和補(bǔ)充。****大學(xué)一直在為教職工和學(xué)生提供完善的數(shù)據(jù)服務(wù)。為了能實(shí)現(xiàn)讓學(xué)生們?cè)谡n堂上和校園圖書館內(nèi)接入網(wǎng)絡(luò)的技術(shù)，我們的設(shè)計(jì)中采用了業(yè)界領(lǐng)先的Cisco Aironet系列無(wú)線設(shè)備。在具體的網(wǎng)絡(luò)環(huán)境搭建中，無(wú)線網(wǎng)的應(yīng)用不像傳統(tǒng)布線那樣明確和直觀，由于無(wú)線網(wǎng)應(yīng)用中存在種種不確定性，在無(wú)線接入點(diǎn)（AP）的分布和無(wú)線信號(hào)的強(qiáng)弱方面，必須經(jīng)過(guò)實(shí)驗(yàn)才可以最終確定無(wú)線網(wǎng)的優(yōu)勢(shì)在于它的靈活性和方便性，可用來(lái)彌補(bǔ)有線局域網(wǎng)絡(luò)之不足，以達(dá)到網(wǎng)絡(luò)延伸之目的，下列情形可能須要無(wú)線局域網(wǎng)絡(luò)；u 無(wú)固定工作場(chǎng)所的使用者u 追求靈活和方便的休閑場(chǎng)所u 有線局域網(wǎng)絡(luò)架設(shè)受環(huán)境限制的場(chǎng)所u 作為有線局域網(wǎng)絡(luò)的備用系統(tǒng)無(wú)線數(shù)據(jù)解決方案通過(guò)接入設(shè)備體現(xiàn)其作用，接入設(shè)備通過(guò)以11Mbps的速度發(fā)送電磁波譜來(lái)傳送數(shù)據(jù)，覆蓋的范圍可達(dá)400500米（距離越遠(yuǎn)速度越慢，視具體環(huán)境而定）。規(guī)劃采用無(wú)線網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)師生在校園內(nèi)隨時(shí)、隨地的接入需要，擴(kuò)展網(wǎng)絡(luò)的使用范圍，特別在露天廣場(chǎng)、湖邊等環(huán)境優(yōu)美的休閑場(chǎng)所提供無(wú)線接入，同時(shí)可體現(xiàn)校區(qū)數(shù)字化校園網(wǎng)絡(luò)應(yīng)用的水平。組網(wǎng)拓?fù)鋱D如下所示：無(wú)線網(wǎng)絡(luò)拓?fù)鋱D有線網(wǎng)絡(luò)的規(guī)模較大、終端數(shù)量較多、對(duì)網(wǎng)絡(luò)傳輸要求高，如果將無(wú)線網(wǎng)絡(luò)加載在現(xiàn)有有線網(wǎng)絡(luò)之上會(huì)加重有線網(wǎng)絡(luò)負(fù)擔(dān)，因此綜合這些因素考慮，可以額外布一套有線網(wǎng)絡(luò)用以承載無(wú)線網(wǎng)絡(luò)，以緩解有線網(wǎng)絡(luò)的壓力。此外，考慮到本無(wú)線網(wǎng)絡(luò)規(guī)模大、覆蓋范圍廣、用戶數(shù)多的特點(diǎn)，對(duì)網(wǎng)絡(luò)性能和用戶認(rèn)證都提出了很高要求，如果將全無(wú)線網(wǎng)絡(luò)都劃到一個(gè)虛網(wǎng)內(nèi)，則會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能，因此我司建議將全無(wú)線網(wǎng)絡(luò)根據(jù)無(wú)線網(wǎng)絡(luò)覆蓋的功能區(qū)域及用戶數(shù)劃分為幾個(gè)子網(wǎng)，每個(gè)無(wú)線子網(wǎng)分別由一臺(tái)無(wú)線網(wǎng)絡(luò)控制器AC2010（以下簡(jiǎn)稱WNC AC2010）進(jìn)行控制，而在中心有一臺(tái)接入服務(wù)器OCAMAR Access Server（以下簡(jiǎn)稱OCAMAR AS），負(fù)責(zé)為各無(wú)線子網(wǎng)提供用戶賬號(hào)的集中統(tǒng)一管理和計(jì)費(fèi)。另外考慮某大學(xué)整個(gè)校園的基本無(wú)盲點(diǎn)的覆蓋，為保證信號(hào)覆蓋全面又無(wú)信號(hào)間的干擾情況產(chǎn)生，我們?cè)谠O(shè)計(jì)時(shí)采用了在室內(nèi)天饋系統(tǒng)，在室外才用大功率發(fā)射的方案，盡量減少AP的數(shù)量，增加天線擴(kuò)大無(wú)線接入點(diǎn)的覆蓋范圍。在無(wú)線接入點(diǎn)的選擇方面，選用54M AP作為整個(gè)校區(qū)的覆蓋。采用天饋系統(tǒng)的AP，選用Aironet1231GK9A，可拆換天線的AP；未用天饋系統(tǒng)的AP，選用Aironet 1120GK9A，來(lái)節(jié)省成本。設(shè)計(jì)指標(biāo)：各信號(hào)輸出點(diǎn)信號(hào)強(qiáng)度16－20dbm；～（FCC）分為channelchannelchannel11三個(gè)完全不干擾頻段設(shè)計(jì)；目標(biāo)覆蓋區(qū)域信號(hào)強(qiáng)度78dbm。 網(wǎng)絡(luò)管理網(wǎng)絡(luò)的可管理性是網(wǎng)絡(luò)的一個(gè)重要組成部分，尤其在復(fù)雜的網(wǎng)絡(luò)系統(tǒng)中,網(wǎng)絡(luò)管理就顯的更加重要。網(wǎng)絡(luò)管理一般分為五大部分：故障管理、配置管理、性能管理、安全管理和帳號(hào)管理。u 故障管理 檢測(cè)、隔離和修正網(wǎng)絡(luò)故障。u 配置管理 根據(jù)基準(zhǔn)線修改和跟蹤網(wǎng)絡(luò)設(shè)備的配置變化。它也提供跟蹤網(wǎng)絡(luò)設(shè)備操作系統(tǒng)版本的功能。u 帳號(hào)管理 指跟蹤網(wǎng)絡(luò)資源使用，并據(jù)此提供帳單服務(wù)。u 性能管理 指測(cè)量網(wǎng)絡(luò)行為和傳輸?shù)陌途W(wǎng)絡(luò)段的效率。性能管理包括協(xié)議、應(yīng)用服務(wù)和響應(yīng)時(shí)間等。u 安全管理 指保持和傳送論證、授權(quán)信息，如passpowrd和秘鑰等。通過(guò)使用審計(jì)、log等功能進(jìn)一步增加網(wǎng)絡(luò)的安全性。為了保證整個(gè)網(wǎng)絡(luò)安全、可靠、穩(wěn)定、高效的運(yùn)行，需要進(jìn)行嚴(yán)格、規(guī)范、科學(xué)的管理，主要需求如下：A、分布式監(jiān)控：在網(wǎng)絡(luò)中心建立監(jiān)控中心，負(fù)責(zé)收集所有網(wǎng)絡(luò)的運(yùn)行狀況，主機(jī)的運(yùn)行信息，主要包括：軟硬件信息、系統(tǒng)資源（內(nèi)存、硬盤等）的使用情況等，各類信息視其重要程度，收集的頻率也不同，一般為5分鐘至1小時(shí)，收集的包大小從5K至100K不等，由監(jiān)控的對(duì)象和內(nèi)容所決定；B、安全管理：對(duì)所有主機(jī)的關(guān)鍵資源進(jìn)行安全性設(shè)置，防止非法的訪問(wèn)；C、用戶管理：對(duì)各主機(jī)上的用戶帳戶進(jìn)行統(tǒng)一管理；D、軟件分發(fā)：由分發(fā)服務(wù)器進(jìn)行系統(tǒng)軟件和應(yīng)用軟件的分發(fā)；E、遠(yuǎn)程控制：對(duì)上網(wǎng)終端進(jìn)行控制，要求可以監(jiān)控到各終端的屏幕狀況，但對(duì)網(wǎng)絡(luò)帶寬要求較高；F、網(wǎng)絡(luò)拓?fù)涔芾恚簩?duì)各單位的所有子網(wǎng)能夠進(jìn)行直觀的管理，按照設(shè)備連接的邏輯關(guān)系對(duì)拓?fù)浣Y(jié)構(gòu)能夠進(jìn)行層次劃分，在各層拓?fù)浣Y(jié)構(gòu)圖中實(shí)時(shí)反映各類設(shè)備的連接狀態(tài)，為故障定位等功能的實(shí)現(xiàn)提供基礎(chǔ)；各設(shè)備的狀態(tài)刷新實(shí)時(shí)性要求較高，每次刷新時(shí)對(duì)網(wǎng)絡(luò)流量有一定的影響；G、故障報(bào)警與定位：網(wǎng)絡(luò)發(fā)生故障后要能在管理員窗口彈出報(bào)警窗，指示所發(fā)生的事件，為故障處理提供參考和依據(jù)，以更快地定位故障，及時(shí)處理。同時(shí)還能夠根據(jù)各關(guān)鍵結(jié)點(diǎn)的工作情況提示，及早做好故障的預(yù)防和預(yù)處理；H、設(shè)備配置管理：將網(wǎng)絡(luò)設(shè)備的配置管理集成在統(tǒng)一的管理界面中，在全局網(wǎng)絡(luò)拓?fù)鋱D中點(diǎn)擊網(wǎng)絡(luò)設(shè)備，能夠出現(xiàn)相應(yīng)的管理界面，在此管理界面中能夠進(jìn)行設(shè)備全部功能的配置，彌補(bǔ)先前管理方式的不足；I、網(wǎng)絡(luò)流量監(jiān)測(cè)：能夠監(jiān)測(cè)網(wǎng)絡(luò)之間特別是廣域網(wǎng)之間的流量，監(jiān)控網(wǎng)絡(luò)的繁忙程度，對(duì)網(wǎng)絡(luò)帶寬的利用率進(jìn)行分析，能及時(shí)掌握網(wǎng)絡(luò)的瓶頸所在，為網(wǎng)絡(luò)通道的調(diào)整和擴(kuò)充提供可靠數(shù)據(jù)。網(wǎng)絡(luò)管理軟件采用Cisco Works2000網(wǎng)絡(luò)管理軟件來(lái)實(shí)現(xiàn)統(tǒng)一的管理。網(wǎng)管軟件CISCO WORKS 2000是一系列基于SNMP的互連網(wǎng)絡(luò)管理軟件應(yīng)用程序，能夠?yàn)榫W(wǎng)管員提供一系列強(qiáng)大的功能，如清晰的了解網(wǎng)絡(luò)狀況、及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)故障、方便的遠(yuǎn)程處理設(shè)備故障、遠(yuǎn)程設(shè)備版本升級(jí)等。CiscoWorks2000中包含Campus 、 Cisco 、 Content Flow Monitor 、Resoure Manager 、 TafficDierctor等五個(gè)應(yīng)用軟件包。整個(gè)網(wǎng)絡(luò)從網(wǎng)絡(luò)中心的核心交換機(jī)到主干節(jié)點(diǎn)交換機(jī)，到中心路由器、邊界路由器、訪問(wèn)服務(wù)器，都是采用CISCO公司的配套產(chǎn)品，使整個(gè)網(wǎng)絡(luò)具有完整的一致性，統(tǒng)一的網(wǎng)絡(luò)管理和統(tǒng)一的流量控制。 安全性設(shè)計(jì)隨著網(wǎng)絡(luò)的應(yīng)用日益普及，網(wǎng)絡(luò)用戶越來(lái)越多，網(wǎng)絡(luò)的安全性成為了所有網(wǎng)絡(luò)服務(wù)的提供者最關(guān)心的問(wèn)題之一。網(wǎng)絡(luò)系統(tǒng)中的安全性問(wèn)題包括網(wǎng)絡(luò)中信息系統(tǒng)的安全性和網(wǎng)絡(luò)本身固有的安全性。保證系統(tǒng)的安全性要從管理和技術(shù)角度同時(shí)考慮，通過(guò)制定不同的安全策略來(lái)達(dá)到特定的安全要求。網(wǎng)絡(luò)的安全策略在實(shí)現(xiàn)時(shí)主要針對(duì)兩種情況，一種是網(wǎng)絡(luò)系統(tǒng)自身的安全問(wèn)題，如路由器的安全隱患、匿名FTP的安全隱患、TELNET的安全隱患等，可以通過(guò)對(duì)各種關(guān)鍵系統(tǒng)設(shè)備的加以控制來(lái)消除；另一種是給用戶提供的各種服務(wù)是否安全，主要體現(xiàn)在網(wǎng)絡(luò)應(yīng)用上，如用戶的數(shù)據(jù)或信息在網(wǎng)絡(luò)傳遞過(guò)程中的安全控制。其中網(wǎng)絡(luò)系統(tǒng)自身的安全程度將直接影響到整個(gè)系統(tǒng)的可用性和穩(wěn)定性，它是系統(tǒng)安全的基礎(chǔ)。一個(gè)系統(tǒng)存在的安全問(wèn)題可能主要來(lái)源于兩方面：或者是安全控制機(jī)構(gòu)有故障；或者是系統(tǒng)安全定義有缺陷。前者是一個(gè)軟件可靠性問(wèn)題，可以用優(yōu)秀的軟件設(shè)計(jì)技術(shù)配合特殊的安全方針加以克服；而后者則需要精確描述安全系統(tǒng)。網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全體系應(yīng)包含：訪問(wèn)控制通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的訪問(wèn)控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前檢查安全漏洞通過(guò)對(duì)安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無(wú)效攻擊監(jiān)控通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取響應(yīng)的行動(dòng)（如斷開網(wǎng)絡(luò)連接、記錄攻擊過(guò)程、跟蹤攻擊源等）加密通訊主動(dòng)的加密通訊，可使攻擊者不能了解、修改敏感信息認(rèn)證良好的認(rèn)證體系可防止攻擊者假冒合法用戶備份和恢復(fù)良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)多層防御攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)設(shè)立安全監(jiān)控中心為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護(hù)及緊急情況服務(wù) 本地主機(jī)系統(tǒng)的安全考慮計(jì)算機(jī)病毒是伴隨著計(jì)算機(jī)而產(chǎn)生的，它同時(shí)隨著計(jì)算機(jī)技術(shù)的發(fā)展而發(fā)展，在網(wǎng)絡(luò)環(huán)境中，計(jì)算機(jī)病毒更易于傳播，其對(duì)系統(tǒng)的危害也是明顯的，在實(shí)驗(yàn)室管理網(wǎng)建設(shè)中，由于該網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)完全隔離，而且主要運(yùn)行辦公網(wǎng)內(nèi)部的公文流轉(zhuǎn)、文件交換、信息共享，辦公自動(dòng)化等，其危害主要來(lái)源于內(nèi)部用戶。因此，在實(shí)驗(yàn)室管理網(wǎng)中對(duì)計(jì)算機(jī)的保護(hù)主要在于安全規(guī)范管理。比如，不允許使用外來(lái)軟盤、U盤等移動(dòng)存儲(chǔ)介質(zhì)，防止受病毒感染的移動(dòng)介質(zhì)影響該終端，從而傳播給其他終端。我們建議采用網(wǎng)絡(luò)與單機(jī)相結(jié)合的方式來(lái)避免計(jì)算機(jī)病毒的危害。一方面采用網(wǎng)絡(luò)防病毒軟件保護(hù)服務(wù)器，同時(shí)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)病毒的監(jiān)控、報(bào)警和實(shí)時(shí)清除；另一方面也要定期對(duì)工作站用單機(jī)的防病毒軟件進(jìn)行殺病毒。對(duì)防病毒軟件統(tǒng)一管理，及時(shí)升級(jí)，確保系統(tǒng)沒有病毒的危害。 內(nèi)部網(wǎng)安全控制VLAN技術(shù)通過(guò)VLAN的劃分，利用中心交換機(jī)上高性能路由模塊的管理和控制，可以控制內(nèi)部各VLAN間的訪問(wèn)，例如VLAN中的某個(gè)IP地址只允許訪問(wèn)該VLAN內(nèi)部的資源，或某個(gè)VLAN只允許其它VLAN的用戶以HTTP或FTP等方式對(duì)它進(jìn)行訪問(wèn)等，這樣就可以有效的限制VLAN間訪問(wèn)的范圍和權(quán)限。方案中所選交換機(jī)均支持虛網(wǎng)功能，可將相同職能的辦公室及信息點(diǎn)化并為同一個(gè)VLAN，通過(guò)IEEE ，可以實(shí)現(xiàn)跨交換機(jī)的VLAN設(shè)置，因此VLAN的設(shè)置不會(huì)受到地理位置的限制。中心配置Catalyst6509以線速交換VLAN信息，消除以往在路由處理上的瓶頸，提高了網(wǎng)絡(luò)效率。MAC地址的過(guò)濾對(duì)于重要的網(wǎng)段何部門，其接入交換機(jī)上可以考慮通過(guò)MAC過(guò)濾方式對(duì)接入