【正文】 它為網(wǎng)絡(luò)訪問提供了第一層訪問控制。利用現(xiàn)有的安全管理軟件加強對以上三個方面的管理是當(dāng)前解決局域網(wǎng)安全的關(guān)鍵所在。目前網(wǎng)絡(luò)管理工作量最大的部分是客戶端安全部分，對網(wǎng)絡(luò)的安全運行威脅最大的也同樣是客戶端安全管理。機柜內(nèi)的布線空間也是需要提前考慮的，因為當(dāng)機柜內(nèi)的功率密度提高時，設(shè)備后部的線纜將明顯增加風(fēng)阻，所以必須考慮線纜管理及走線空間的問題。另一方面，機柜內(nèi)的設(shè)備需要供電以及與機柜外部進行通信。例如，把熱負荷最大的設(shè)備安裝在機柜中部位置，以便獲得最大的配風(fēng)風(fēng)量。當(dāng)機柜內(nèi)設(shè)備增加到一定數(shù)量時，由地板出風(fēng)口送出的冷風(fēng)風(fēng)量將不能滿足所有設(shè)備的需求，從而形成部分IT設(shè)備配風(fēng)不足而過熱。一方面，機柜內(nèi)的設(shè)備需要溫度、濕度適宜并且風(fēng)量充足的冷風(fēng)（冷空氣）。需要注意的是如果大樓里安裝有“中央空調(diào)”的話，機房里也必須安裝獨立的空調(diào)，因為中央空調(diào)不可能24小時都開著，上班的時間可以利用中央空調(diào)，下班和星期節(jié)假日的時候，如果服務(wù)器、網(wǎng)絡(luò)設(shè)備需要正常運行的話，則必須要開機房里的獨立空調(diào)。制冷系統(tǒng)（空調(diào)）涉及到機房的整個物理環(huán)境，包括空調(diào)、地板、機柜及房間布局等諸多方面；因此UPS和空調(diào)我們也要考慮好將它們放置在一個合適的位置。供電系統(tǒng)和制冷系統(tǒng)是計算機機房的兩個重要部分。所以，機柜必須提供充足的線纜通道，能從機柜頂部、底部進出線纜。在網(wǎng)絡(luò)布局中，每個機柜最好留點空間，便于以后網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備的擴充，綜合布線柜里有可能除了網(wǎng)絡(luò)布線外，還有能布置電話線，所以要在機柜里留下一定空間。配線架不僅僅是便于管理線對，而且可以防止串?dāng)_，增加線對的隔離空間，提供360度的線對隔離。配線架通常安裝在機柜里，配線架的一面是RJ45口，并標(biāo)有編號；另一面是跳線接口，上面也標(biāo)有編號，這些編號和上面的RJ45口的編號是一一對應(yīng)的。服務(wù)器擺放好后，它的所有I/O線全部從機柜的后方引出（機架服務(wù)器的所有接口也在后方），統(tǒng)一安置在機柜的線槽中，一般貼有標(biāo)號，便于管理。我們經(jīng)常接觸到的放置機房里有網(wǎng)絡(luò)機柜、服務(wù)器機柜以及綜合布線柜，從這三個機柜的名字就可以看出它們各自所起的作用；一般來說，網(wǎng)絡(luò)設(shè)備如交換機、路由器、防火墻、加密機等以及網(wǎng)絡(luò)通信設(shè)備如光端機、調(diào)制解調(diào)器等是放置在網(wǎng)絡(luò)機柜的；服務(wù)器機柜的寬度為19英寸，高度以U為單位 （1U==），通常有1U，2U，3U，4U幾種標(biāo)準(zhǔn)的服務(wù)器。這些設(shè)備之所以有這樣一種結(jié)構(gòu)類型，是因為它們都按國際機柜標(biāo)準(zhǔn)進行設(shè)計，這樣大家的平面尺寸就基本統(tǒng)一，可把一起安裝在一個大型的立式標(biāo)準(zhǔn)機柜中。為了確保網(wǎng)絡(luò)、計算機系統(tǒng)穩(wěn)定、安全、可靠地運行，以及保障機房工作人員有良好的工作環(huán)境，做到技術(shù)先進、經(jīng)濟合理、安全適用、確保質(zhì)量，符合國家有關(guān)的機房設(shè)計規(guī)定。由于雙絞線的傳輸距離是100米，在95米才能獲得最佳的網(wǎng)絡(luò)傳輸質(zhì)量。交換層與網(wǎng)絡(luò)節(jié)點之間，我們就可以采用普通的超五類非屏蔽雙絞線。接入層與匯聚層之間的雙絞線，可以選擇超五類屏蔽雙絞線，以使網(wǎng)絡(luò)性能得到最大的提升。布線是連接網(wǎng)絡(luò)接入層、匯聚層、交換層和網(wǎng)絡(luò)節(jié)點的重要環(huán)節(jié)。交換層是整個網(wǎng)絡(luò)中的中間層，連接著匯聚層和網(wǎng)絡(luò)節(jié)點，是決定我們整體網(wǎng)絡(luò)傳輸質(zhì)量的很重要的一個環(huán)節(jié)。對于接入層來說，選擇一個合理的接入設(shè)備，是最關(guān)鍵的，而且我們要根據(jù)接入設(shè)備選擇合適的帶寬。有了好的機房，網(wǎng)絡(luò)設(shè)備就有了好的“家”，組建的IT網(wǎng)絡(luò)應(yīng)當(dāng)通過布線系統(tǒng)將機房和辦公地點互聯(lián)起來，確保網(wǎng)絡(luò)的正常運行。(二) 可靠性組網(wǎng)無論怎樣布局，最終的目的是保證我們的局域網(wǎng)的所有設(shè)備能可靠穩(wěn)定地運行，使得網(wǎng)絡(luò)能正常運轉(zhuǎn)。設(shè)置完成后，業(yè)務(wù)主機就算建成了。但對于Window 2000和Window XP專業(yè)版，系統(tǒng)并不提供“FTP站點操作員”賬戶添加與刪除功能，只提供Administrator一個管理賬號。至于“FTP站點操作員”選項，是用來添加或刪除本業(yè)務(wù)主機具有一定權(quán)限的賬戶。 ：進入“安全賬戶”選項卡，有“允許匿名連接”和“僅允許匿名連接”兩項，默認為“允許匿名連接”，此時業(yè)務(wù)主機提供匿名登錄。設(shè)置賬戶及其權(quán)限：很多FTP站點都要求用戶輸入用戶名和密碼才能登錄，這個用戶名和密碼就叫賬戶。在“屬性”中，我們可以設(shè)置業(yè)務(wù)主機的名稱、IP、端口、訪問賬戶、FTP目錄位置、用戶進入FTP時接收到的消息等。 設(shè)置：電腦重啟后，業(yè)務(wù)主機就開始運行了，但還要進行一些設(shè)置。安裝完后需要重啟。在該選項前的“√”背景色是灰色的，這是因為Window XP默認并不安裝FTP服務(wù)組件。 安裝：Window XP默認安裝時不安裝IIS組件，需要手工添加安裝。accesslist 110 deny tcp any any eq 1068accesslist 110 deny tcp any any eq 2046accesslist 110 deny udp any any eq 2046accesslist 110 deny tcp any any eq 4444accesslist 110 deny udp any any eq 4444accesslist 110 deny tcp any any eq 1434accesslist 110 deny udp any any eq 1434accesslist 110 deny tcp any any eq 5554accesslist 110 deny tcp any any eq 9996accesslist 110 deny tcp any any eq 6881accesslist 110 deny tcp any any eq 6882accesslist 110 deny tcp any any eq 16881accesslist 110 deny udp any any eq 5554accesslist 110 deny udp any any eq 9996accesslist 110 deny udp any any eq 6881accesslist 110 deny udp any any eq 6882accesslist 110 deny udp any any eq 16881accesslist 110 permit ip any any可以根據(jù)實際需要將此ACL應(yīng)用于任一接口，或者添加一些屏蔽軟件的端口，達到管理內(nèi)部員工的目的，也可以用局域網(wǎng)內(nèi)部的管理軟件，更加直接方便，并且易于操作。accesslist 11 permit accesslist 11 permit accesslist 11 permit accesslist 11 deny accesslist 11 permit any進入vlan 11ip accessgroup 11 out把訪問控制列表11應(yīng)用在VLAN 11 OUT方向上，財務(wù)部內(nèi)部可以互訪問，可以訪問服務(wù)器網(wǎng)段和網(wǎng)絡(luò)打印機網(wǎng)絡(luò)，可以訪問市場部網(wǎng)段，但不能訪問設(shè)計部網(wǎng)段。部門 IP地址公網(wǎng)地址 路由器內(nèi)部IP 核心交換外部IP Web服務(wù)器 業(yè)務(wù)主機 通訊機 網(wǎng)絡(luò)打印機 財務(wù)部 設(shè)計部 市場部 為了直觀方便，配置需求全部在配置命令中加以單點說明，并且配置命令量大反復(fù)，這里只列出重點命令。值得注意的是，APIPA分配的IP地址只適用于一個子網(wǎng)的網(wǎng)絡(luò)。因為APIPA范圍內(nèi)指定的IP地址是由網(wǎng)絡(luò)編號機構(gòu)（IANA）所保留的，這個范圍內(nèi)的任何IP地址都不用于Internet。如果無法建立與DHCP服務(wù)器的連接，則計算機改為使用APIPA自動尋址方式，并自動配置TCP/IP協(xié)議。自動專用IP尋址自動專用IP尋址（APIPA，Automatic Private IP Addressing）可以為沒有DHCP服務(wù)器的單網(wǎng)段網(wǎng)絡(luò)提供自動配置TCP/IP協(xié)議的功能。默認情況下，Windows 98/me/2000/XP系統(tǒng)都使用DHCP來進行IP地址的分配，所以，如果仍然選擇DHCP來分配和管理IP地址，網(wǎng)管工作將會減輕很多，而且可以很方便地配置客戶機。DHCP服務(wù)器維護著一個容納有許多IP地址的地址池，并根據(jù)計算機的請求而出租。DHCP服務(wù)器為其客戶端提供IP地址、子網(wǎng)掩碼和默認網(wǎng)關(guān)地址等各種配置。具體的配置方法如下，在完成網(wǎng)卡驅(qū)動程序的安裝之后，重新啟動計算機進入系統(tǒng)，用鼠標(biāo)右鍵單擊桌面上的“網(wǎng)上鄰居”圖標(biāo)，選擇屬性，這時可以發(fā)現(xiàn)在其中已經(jīng)自動安裝好了TCP/IP協(xié)議，選擇并單擊它下面的“屬性”按鈕，這時會彈出TCP/IP屬性的對話框，在“IP地址”選項卡里，把“自動獲取IP地址”改為“指定IP地址”，這時原本灰色的不能填寫的IP地址和子網(wǎng)掩碼就可以由自己來指定了。不過，默認網(wǎng)關(guān)和DNS地址必須是計算機所在的網(wǎng)段中的IP地址，而不能填寫其他網(wǎng)段中的IP地址。手工設(shè)置的IP地址為靜態(tài)IP地址，在沒有重新配置之前，計算機將一直擁有該IP地址。在以手工方式進行設(shè)置時，需要為網(wǎng)絡(luò)中的每一臺計算機分別設(shè)置4項IP地址信息（IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)和DNS服務(wù)器地址）。具體采用哪種IP地址分配方式，可由網(wǎng)絡(luò)管理員根據(jù)網(wǎng)絡(luò)規(guī)模和網(wǎng)絡(luò)應(yīng)用等具體情況而定。其次，就是IP地址的分配方式了。因為這樣做會受到將來網(wǎng)絡(luò)狀況變化的限制，假如不久后企業(yè)決定又要購進一批計算機，整個網(wǎng)絡(luò)就可能因為選取的IP地址不合適而導(dǎo)致重新設(shè)計。小型企業(yè)可以選擇“”地址段，大中型企業(yè)則可以選擇“”或””地址段。接下來，就應(yīng)該著手處理專用IP地址的分配了。但考慮到單位內(nèi)部的具體應(yīng)用情況，使用代理服務(wù)器是最恰當(dāng)不過的了。如此看來，代理服務(wù)器要比單純的NAT更適合大中型網(wǎng)絡(luò)的Internet共享接入。當(dāng)網(wǎng)絡(luò)用戶發(fā)出下一Internet請求時，服務(wù)器將首先檢查緩存中是否保存有該頁面的內(nèi)容，如果有，立即從緩存中調(diào)出并返還給請求者；如果沒有，則向Internet發(fā)送請求，并再次將訪問結(jié)果保存起來，以備其他用戶訪問之需。簡單地說，就是只能簡單地進行IP地址轉(zhuǎn)換，而無法實現(xiàn)文件緩存，從而降低了Internet訪問流量，無法實現(xiàn)快速的Internet訪問。除了路由器、ADSL或電纜調(diào)制解調(diào)器網(wǎng)關(guān)等硬件設(shè)備外，Windows XP/2000/Me/98系統(tǒng)中的“Internet連接共享”也可以實現(xiàn)NAT，還能廣泛地適用于各種類型的Internet接入方式。應(yīng)引起注意的是，NAT池中動態(tài)分配的外部IP地址全部被占用后，后續(xù)的NAT的IP地址轉(zhuǎn)換申請將會失敗。采用NAT池意味著可以在內(nèi)部網(wǎng)中定義很多的內(nèi)部用戶，通過動態(tài)分配的辦法，共享很少的幾個外部IP地址。下面以使用NAT池為例來做進一步說明。PAT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上。其中，靜態(tài)NAT設(shè)置起來最為簡單，內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址。NAT有3種類型，即靜態(tài)NAT（Static NAT）、NAT池（pooled NAT）和端口NAT（PAT）。也就是說，對于一個局域網(wǎng)而言，無論其中有多少臺計算機，只需要有一個可全局路由的IP地址即可。采用NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）方式既然不接入Internet的網(wǎng)絡(luò)可以任意使用專用IP地址，那么能不能有這樣一個方案，即在網(wǎng)絡(luò)內(nèi)部使用專用IP地址，連接到Internet的時候使用公網(wǎng)IP地址，同時在公網(wǎng)地址與私有地址之間有一個對應(yīng)的轉(zhuǎn)換關(guān)系呢?正是基于這種想法，產(chǎn)生了NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）。當(dāng)然，如果打開的計算機數(shù)量太多，那么，后面的計算機就無法獲得IP地址。那么我們就考慮，如果他們不在同一時間使用，可不可以采取這種策略：把所有的計算機集中起來管理，等到有人提出使用請求的時候，分配其中的任意一臺計算機給他，而他用完之后就把使用權(quán)收回，這樣既可以保證所有的人都有機會使用計算機，又不會造成計算機的“浪費”。 動態(tài)分配IP地址如果網(wǎng)絡(luò)中有很多臺計算機，且又不是所有的計算機都同時使用，那么不妨采用動態(tài)分配IP地址的方式。所以一般只在下面兩種情況下才采用這種方案：IP地址數(shù)量大于網(wǎng)絡(luò)中的計算機數(shù)量。靜態(tài)分配IP地址也就是給每臺計算機分配一個固定的公網(wǎng)IP地址。一、可全局路由（公網(wǎng)）的IP地址的分配方式毫無疑問，Internet網(wǎng)絡(luò)中的每一臺計算機都需要一個IP地址，然而，在目前IP地址資源非常緊缺的情況下，想從Internet接入商那里獲取足夠的IP地址簡直是不可能的。若欲減少廣播域，最根本的解決辦法就是劃分VLAN，然后為每個VLAN分別指定不同的IP網(wǎng)段。需要注意的是，不要以為同一網(wǎng)絡(luò)的計算機分配不同的IP地址，就可以提高網(wǎng)絡(luò)傳輸效率。為網(wǎng)絡(luò)設(shè)備的管理VLAN分配一個獨立的IP地址段，以避免發(fā)生與網(wǎng)絡(luò)設(shè)備管理IP的地址沖突，從而影響遠程管理的實現(xiàn)。，以獲取更多的IP網(wǎng)段，并使每個子網(wǎng)中所容納的計算機數(shù)量都較少。通常情況下，不要采用過大的子網(wǎng)掩碼，每個網(wǎng)段的計算機數(shù)量都不要超過250臺計算機。所以，除非必要，應(yīng)當(dāng)盡量避免使用上述兩個C類地址段。在選擇專用（私有）IP地址時，應(yīng)當(dāng)注意以下幾點：為每個網(wǎng)段都分配一個C類IP地址段。二、局域網(wǎng)絡(luò)IP地址的規(guī)劃注意事項隨著公網(wǎng)IP地址日趨緊張，中小企業(yè)往往只能得到一個或幾個真實的C類IP地址。如果企業(yè)網(wǎng)絡(luò)沒有提供DNS服務(wù)，DNS服務(wù)器的IP地址應(yīng)當(dāng)是ISP的DNS服務(wù)器。那么，對于企業(yè)網(wǎng)絡(luò)而言，這個IP地址是什么呢?如果采用合法廠地址，該網(wǎng)關(guān)由ISP提供；如果采用私有IP地址，該網(wǎng)關(guān)就是代理服務(wù)器或路由器內(nèi)部端口的IP地址。從一個網(wǎng)絡(luò)向另一個網(wǎng)絡(luò)發(fā)送信息，也必須經(jīng)過一道“關(guān)口”，這道關(guān)口就是網(wǎng)關(guān)。這是因為每個子網(wǎng)都會保留全0地址作為網(wǎng)絡(luò)號，保留全1地址作