【正文】 它為網(wǎng)絡(luò)訪問提供了第一層訪問控制。利用現(xiàn)有的安全管理軟件加強(qiáng)對以上三個(gè)方面的管理是當(dāng)前解決局域網(wǎng)安全的關(guān)鍵所在。目前網(wǎng)絡(luò)管理工作量最大的部分是客戶端安全部分，對網(wǎng)絡(luò)的安全運(yùn)行威脅最大的也同樣是客戶端安全管理。機(jī)柜內(nèi)的布線空間也是需要提前考慮的，因?yàn)楫?dāng)機(jī)柜內(nèi)的功率密度提高時(shí)，設(shè)備后部的線纜將明顯增加風(fēng)阻，所以必須考慮線纜管理及走線空間的問題。另一方面，機(jī)柜內(nèi)的設(shè)備需要供電以及與機(jī)柜外部進(jìn)行通信。例如，把熱負(fù)荷最大的設(shè)備安裝在機(jī)柜中部位置，以便獲得最大的配風(fēng)風(fēng)量。當(dāng)機(jī)柜內(nèi)設(shè)備增加到一定數(shù)量時(shí)，由地板出風(fēng)口送出的冷風(fēng)風(fēng)量將不能滿足所有設(shè)備的需求，從而形成部分IT設(shè)備配風(fēng)不足而過熱。一方面，機(jī)柜內(nèi)的設(shè)備需要溫度、濕度適宜并且風(fēng)量充足的冷風(fēng)（冷空氣）。需要注意的是如果大樓里安裝有“中央空調(diào)”的話，機(jī)房里也必須安裝獨(dú)立的空調(diào)，因?yàn)橹醒肟照{(diào)不可能24小時(shí)都開著，上班的時(shí)間可以利用中央空調(diào)，下班和星期節(jié)假日的時(shí)候，如果服務(wù)器、網(wǎng)絡(luò)設(shè)備需要正常運(yùn)行的話，則必須要開機(jī)房里的獨(dú)立空調(diào)。制冷系統(tǒng)（空調(diào)）涉及到機(jī)房的整個(gè)物理環(huán)境，包括空調(diào)、地板、機(jī)柜及房間布局等諸多方面；因此UPS和空調(diào)我們也要考慮好將它們放置在一個(gè)合適的位置。供電系統(tǒng)和制冷系統(tǒng)是計(jì)算機(jī)機(jī)房的兩個(gè)重要部分。所以，機(jī)柜必須提供充足的線纜通道，能從機(jī)柜頂部、底部進(jìn)出線纜。在網(wǎng)絡(luò)布局中，每個(gè)機(jī)柜最好留點(diǎn)空間，便于以后網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備的擴(kuò)充，綜合布線柜里有可能除了網(wǎng)絡(luò)布線外，還有能布置電話線，所以要在機(jī)柜里留下一定空間。配線架不僅僅是便于管理線對，而且可以防止串?dāng)_，增加線對的隔離空間，提供360度的線對隔離。配線架通常安裝在機(jī)柜里，配線架的一面是RJ45口，并標(biāo)有編號；另一面是跳線接口，上面也標(biāo)有編號，這些編號和上面的RJ45口的編號是一一對應(yīng)的。服務(wù)器擺放好后，它的所有I/O線全部從機(jī)柜的后方引出（機(jī)架服務(wù)器的所有接口也在后方），統(tǒng)一安置在機(jī)柜的線槽中，一般貼有標(biāo)號，便于管理。我們經(jīng)常接觸到的放置機(jī)房里有網(wǎng)絡(luò)機(jī)柜、服務(wù)器機(jī)柜以及綜合布線柜，從這三個(gè)機(jī)柜的名字就可以看出它們各自所起的作用；一般來說，網(wǎng)絡(luò)設(shè)備如交換機(jī)、路由器、防火墻、加密機(jī)等以及網(wǎng)絡(luò)通信設(shè)備如光端機(jī)、調(diào)制解調(diào)器等是放置在網(wǎng)絡(luò)機(jī)柜的；服務(wù)器機(jī)柜的寬度為19英寸，高度以U為單位 （1U==），通常有1U，2U，3U，4U幾種標(biāo)準(zhǔn)的服務(wù)器。這些設(shè)備之所以有這樣一種結(jié)構(gòu)類型，是因?yàn)樗鼈兌及磭H機(jī)柜標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)，這樣大家的平面尺寸就基本統(tǒng)一，可把一起安裝在一個(gè)大型的立式標(biāo)準(zhǔn)機(jī)柜中。為了確保網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)穩(wěn)定、安全、可靠地運(yùn)行，以及保障機(jī)房工作人員有良好的工作環(huán)境，做到技術(shù)先進(jìn)、經(jīng)濟(jì)合理、安全適用、確保質(zhì)量，符合國家有關(guān)的機(jī)房設(shè)計(jì)規(guī)定。由于雙絞線的傳輸距離是100米，在95米才能獲得最佳的網(wǎng)絡(luò)傳輸質(zhì)量。交換層與網(wǎng)絡(luò)節(jié)點(diǎn)之間，我們就可以采用普通的超五類非屏蔽雙絞線。接入層與匯聚層之間的雙絞線，可以選擇超五類屏蔽雙絞線，以使網(wǎng)絡(luò)性能得到最大的提升。布線是連接網(wǎng)絡(luò)接入層、匯聚層、交換層和網(wǎng)絡(luò)節(jié)點(diǎn)的重要環(huán)節(jié)。交換層是整個(gè)網(wǎng)絡(luò)中的中間層，連接著匯聚層和網(wǎng)絡(luò)節(jié)點(diǎn)，是決定我們整體網(wǎng)絡(luò)傳輸質(zhì)量的很重要的一個(gè)環(huán)節(jié)。對于接入層來說，選擇一個(gè)合理的接入設(shè)備，是最關(guān)鍵的，而且我們要根據(jù)接入設(shè)備選擇合適的帶寬。有了好的機(jī)房，網(wǎng)絡(luò)設(shè)備就有了好的“家”，組建的IT網(wǎng)絡(luò)應(yīng)當(dāng)通過布線系統(tǒng)將機(jī)房和辦公地點(diǎn)互聯(lián)起來，確保網(wǎng)絡(luò)的正常運(yùn)行。(二) 可靠性組網(wǎng)無論怎樣布局，最終的目的是保證我們的局域網(wǎng)的所有設(shè)備能可靠穩(wěn)定地運(yùn)行，使得網(wǎng)絡(luò)能正常運(yùn)轉(zhuǎn)。設(shè)置完成后，業(yè)務(wù)主機(jī)就算建成了。但對于Window 2000和Window XP專業(yè)版，系統(tǒng)并不提供“FTP站點(diǎn)操作員”賬戶添加與刪除功能，只提供Administrator一個(gè)管理賬號。至于“FTP站點(diǎn)操作員”選項(xiàng)，是用來添加或刪除本業(yè)務(wù)主機(jī)具有一定權(quán)限的賬戶。 ：進(jìn)入“安全賬戶”選項(xiàng)卡，有“允許匿名連接”和“僅允許匿名連接”兩項(xiàng)，默認(rèn)為“允許匿名連接”，此時(shí)業(yè)務(wù)主機(jī)提供匿名登錄。設(shè)置賬戶及其權(quán)限：很多FTP站點(diǎn)都要求用戶輸入用戶名和密碼才能登錄，這個(gè)用戶名和密碼就叫賬戶。在“屬性”中，我們可以設(shè)置業(yè)務(wù)主機(jī)的名稱、IP、端口、訪問賬戶、FTP目錄位置、用戶進(jìn)入FTP時(shí)接收到的消息等。 設(shè)置：電腦重啟后，業(yè)務(wù)主機(jī)就開始運(yùn)行了，但還要進(jìn)行一些設(shè)置。安裝完后需要重啟。在該選項(xiàng)前的“√”背景色是灰色的，這是因?yàn)閃indow XP默認(rèn)并不安裝FTP服務(wù)組件。 安裝：Window XP默認(rèn)安裝時(shí)不安裝IIS組件，需要手工添加安裝。accesslist 110 deny tcp any any eq 1068accesslist 110 deny tcp any any eq 2046accesslist 110 deny udp any any eq 2046accesslist 110 deny tcp any any eq 4444accesslist 110 deny udp any any eq 4444accesslist 110 deny tcp any any eq 1434accesslist 110 deny udp any any eq 1434accesslist 110 deny tcp any any eq 5554accesslist 110 deny tcp any any eq 9996accesslist 110 deny tcp any any eq 6881accesslist 110 deny tcp any any eq 6882accesslist 110 deny tcp any any eq 16881accesslist 110 deny udp any any eq 5554accesslist 110 deny udp any any eq 9996accesslist 110 deny udp any any eq 6881accesslist 110 deny udp any any eq 6882accesslist 110 deny udp any any eq 16881accesslist 110 permit ip any any可以根據(jù)實(shí)際需要將此ACL應(yīng)用于任一接口，或者添加一些屏蔽軟件的端口，達(dá)到管理內(nèi)部員工的目的，也可以用局域網(wǎng)內(nèi)部的管理軟件，更加直接方便，并且易于操作。accesslist 11 permit accesslist 11 permit accesslist 11 permit accesslist 11 deny accesslist 11 permit any進(jìn)入vlan 11ip accessgroup 11 out把訪問控制列表11應(yīng)用在VLAN 11 OUT方向上，財(cái)務(wù)部內(nèi)部可以互訪問，可以訪問服務(wù)器網(wǎng)段和網(wǎng)絡(luò)打印機(jī)網(wǎng)絡(luò)，可以訪問市場部網(wǎng)段，但不能訪問設(shè)計(jì)部網(wǎng)段。部門 IP地址公網(wǎng)地址 路由器內(nèi)部IP 核心交換外部IP Web服務(wù)器 業(yè)務(wù)主機(jī) 通訊機(jī) 網(wǎng)絡(luò)打印機(jī) 財(cái)務(wù)部 設(shè)計(jì)部 市場部 為了直觀方便，配置需求全部在配置命令中加以單點(diǎn)說明，并且配置命令量大反復(fù)，這里只列出重點(diǎn)命令。值得注意的是，APIPA分配的IP地址只適用于一個(gè)子網(wǎng)的網(wǎng)絡(luò)。因?yàn)锳PIPA范圍內(nèi)指定的IP地址是由網(wǎng)絡(luò)編號機(jī)構(gòu)（IANA）所保留的，這個(gè)范圍內(nèi)的任何IP地址都不用于Internet。如果無法建立與DHCP服務(wù)器的連接，則計(jì)算機(jī)改為使用APIPA自動(dòng)尋址方式，并自動(dòng)配置TCP/IP協(xié)議。自動(dòng)專用IP尋址自動(dòng)專用IP尋址（APIPA，Automatic Private IP Addressing）可以為沒有DHCP服務(wù)器的單網(wǎng)段網(wǎng)絡(luò)提供自動(dòng)配置TCP/IP協(xié)議的功能。默認(rèn)情況下，Windows 98/me/2000/XP系統(tǒng)都使用DHCP來進(jìn)行IP地址的分配，所以，如果仍然選擇DHCP來分配和管理IP地址，網(wǎng)管工作將會(huì)減輕很多，而且可以很方便地配置客戶機(jī)。DHCP服務(wù)器維護(hù)著一個(gè)容納有許多IP地址的地址池，并根據(jù)計(jì)算機(jī)的請求而出租。DHCP服務(wù)器為其客戶端提供IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)地址等各種配置。具體的配置方法如下，在完成網(wǎng)卡驅(qū)動(dòng)程序的安裝之后，重新啟動(dòng)計(jì)算機(jī)進(jìn)入系統(tǒng)，用鼠標(biāo)右鍵單擊桌面上的“網(wǎng)上鄰居”圖標(biāo)，選擇屬性，這時(shí)可以發(fā)現(xiàn)在其中已經(jīng)自動(dòng)安裝好了TCP/IP協(xié)議，選擇并單擊它下面的“屬性”按鈕，這時(shí)會(huì)彈出TCP/IP屬性的對話框，在“IP地址”選項(xiàng)卡里，把“自動(dòng)獲取IP地址”改為“指定IP地址”，這時(shí)原本灰色的不能填寫的IP地址和子網(wǎng)掩碼就可以由自己來指定了。不過，默認(rèn)網(wǎng)關(guān)和DNS地址必須是計(jì)算機(jī)所在的網(wǎng)段中的IP地址，而不能填寫其他網(wǎng)段中的IP地址。手工設(shè)置的IP地址為靜態(tài)IP地址，在沒有重新配置之前，計(jì)算機(jī)將一直擁有該IP地址。在以手工方式進(jìn)行設(shè)置時(shí)，需要為網(wǎng)絡(luò)中的每一臺計(jì)算機(jī)分別設(shè)置4項(xiàng)IP地址信息（IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器地址）。具體采用哪種IP地址分配方式，可由網(wǎng)絡(luò)管理員根據(jù)網(wǎng)絡(luò)規(guī)模和網(wǎng)絡(luò)應(yīng)用等具體情況而定。其次，就是IP地址的分配方式了。因?yàn)檫@樣做會(huì)受到將來網(wǎng)絡(luò)狀況變化的限制，假如不久后企業(yè)決定又要購進(jìn)一批計(jì)算機(jī)，整個(gè)網(wǎng)絡(luò)就可能因?yàn)檫x取的IP地址不合適而導(dǎo)致重新設(shè)計(jì)。小型企業(yè)可以選擇“”地址段，大中型企業(yè)則可以選擇“”或””地址段。接下來，就應(yīng)該著手處理專用IP地址的分配了。但考慮到單位內(nèi)部的具體應(yīng)用情況，使用代理服務(wù)器是最恰當(dāng)不過的了。如此看來，代理服務(wù)器要比單純的NAT更適合大中型網(wǎng)絡(luò)的Internet共享接入。當(dāng)網(wǎng)絡(luò)用戶發(fā)出下一Internet請求時(shí)，服務(wù)器將首先檢查緩存中是否保存有該頁面的內(nèi)容，如果有，立即從緩存中調(diào)出并返還給請求者；如果沒有，則向Internet發(fā)送請求，并再次將訪問結(jié)果保存起來，以備其他用戶訪問之需。簡單地說，就是只能簡單地進(jìn)行IP地址轉(zhuǎn)換，而無法實(shí)現(xiàn)文件緩存，從而降低了Internet訪問流量，無法實(shí)現(xiàn)快速的Internet訪問。除了路由器、ADSL或電纜調(diào)制解調(diào)器網(wǎng)關(guān)等硬件設(shè)備外，Windows XP/2000/Me/98系統(tǒng)中的“Internet連接共享”也可以實(shí)現(xiàn)NAT，還能廣泛地適用于各種類型的Internet接入方式。應(yīng)引起注意的是，NAT池中動(dòng)態(tài)分配的外部IP地址全部被占用后，后續(xù)的NAT的IP地址轉(zhuǎn)換申請將會(huì)失敗。采用NAT池意味著可以在內(nèi)部網(wǎng)中定義很多的內(nèi)部用戶，通過動(dòng)態(tài)分配的辦法，共享很少的幾個(gè)外部IP地址。下面以使用NAT池為例來做進(jìn)一步說明。PAT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。其中，靜態(tài)NAT設(shè)置起來最為簡單，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。NAT有3種類型，即靜態(tài)NAT（Static NAT）、NAT池（pooled NAT）和端口NAT（PAT）。也就是說，對于一個(gè)局域網(wǎng)而言，無論其中有多少臺計(jì)算機(jī)，只需要有一個(gè)可全局路由的IP地址即可。采用NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）方式既然不接入Internet的網(wǎng)絡(luò)可以任意使用專用IP地址，那么能不能有這樣一個(gè)方案，即在網(wǎng)絡(luò)內(nèi)部使用專用IP地址，連接到Internet的時(shí)候使用公網(wǎng)IP地址，同時(shí)在公網(wǎng)地址與私有地址之間有一個(gè)對應(yīng)的轉(zhuǎn)換關(guān)系呢?正是基于這種想法，產(chǎn)生了NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）。當(dāng)然，如果打開的計(jì)算機(jī)數(shù)量太多，那么，后面的計(jì)算機(jī)就無法獲得IP地址。那么我們就考慮，如果他們不在同一時(shí)間使用，可不可以采取這種策略：把所有的計(jì)算機(jī)集中起來管理，等到有人提出使用請求的時(shí)候，分配其中的任意一臺計(jì)算機(jī)給他，而他用完之后就把使用權(quán)收回，這樣既可以保證所有的人都有機(jī)會(huì)使用計(jì)算機(jī)，又不會(huì)造成計(jì)算機(jī)的“浪費(fèi)”。 動(dòng)態(tài)分配IP地址如果網(wǎng)絡(luò)中有很多臺計(jì)算機(jī)，且又不是所有的計(jì)算機(jī)都同時(shí)使用，那么不妨采用動(dòng)態(tài)分配IP地址的方式。所以一般只在下面兩種情況下才采用這種方案：IP地址數(shù)量大于網(wǎng)絡(luò)中的計(jì)算機(jī)數(shù)量。靜態(tài)分配IP地址也就是給每臺計(jì)算機(jī)分配一個(gè)固定的公網(wǎng)IP地址。一、可全局路由（公網(wǎng)）的IP地址的分配方式毫無疑問，Internet網(wǎng)絡(luò)中的每一臺計(jì)算機(jī)都需要一個(gè)IP地址，然而，在目前IP地址資源非常緊缺的情況下，想從Internet接入商那里獲取足夠的IP地址簡直是不可能的。若欲減少廣播域，最根本的解決辦法就是劃分VLAN，然后為每個(gè)VLAN分別指定不同的IP網(wǎng)段。需要注意的是，不要以為同一網(wǎng)絡(luò)的計(jì)算機(jī)分配不同的IP地址，就可以提高網(wǎng)絡(luò)傳輸效率。為網(wǎng)絡(luò)設(shè)備的管理VLAN分配一個(gè)獨(dú)立的IP地址段，以避免發(fā)生與網(wǎng)絡(luò)設(shè)備管理IP的地址沖突，從而影響遠(yuǎn)程管理的實(shí)現(xiàn)。，以獲取更多的IP網(wǎng)段，并使每個(gè)子網(wǎng)中所容納的計(jì)算機(jī)數(shù)量都較少。通常情況下，不要采用過大的子網(wǎng)掩碼，每個(gè)網(wǎng)段的計(jì)算機(jī)數(shù)量都不要超過250臺計(jì)算機(jī)。所以，除非必要，應(yīng)當(dāng)盡量避免使用上述兩個(gè)C類地址段。在選擇專用（私有）IP地址時(shí)，應(yīng)當(dāng)注意以下幾點(diǎn)：為每個(gè)網(wǎng)段都分配一個(gè)C類IP地址段。二、局域網(wǎng)絡(luò)IP地址的規(guī)劃注意事項(xiàng)隨著公網(wǎng)IP地址日趨緊張，中小企業(yè)往往只能得到一個(gè)或幾個(gè)真實(shí)的C類IP地址。如果企業(yè)網(wǎng)絡(luò)沒有提供DNS服務(wù)，DNS服務(wù)器的IP地址應(yīng)當(dāng)是ISP的DNS服務(wù)器。那么，對于企業(yè)網(wǎng)絡(luò)而言，這個(gè)IP地址是什么呢?如果采用合法廠地址，該網(wǎng)關(guān)由ISP提供；如果采用私有IP地址，該網(wǎng)關(guān)就是代理服務(wù)器或路由器內(nèi)部端口的IP地址。從一個(gè)網(wǎng)絡(luò)向另一個(gè)網(wǎng)絡(luò)發(fā)送信息，也必須經(jīng)過一道“關(guān)口”，這道關(guān)口就是網(wǎng)關(guān)。這是因?yàn)槊總€(gè)子網(wǎng)都會(huì)保留全0地址作為網(wǎng)絡(luò)號，保留全1地址作