【正文】 ? 硬件實(shí)現(xiàn)端口與 MAC 地址和用戶 IP 地址的綁定，嚴(yán)格限定端口上用戶接入； ? 通過將端口設(shè)為保護(hù)端口即可簡(jiǎn)單方便地隔離用戶之間信息互通，不必占用VLAN 資源； ? 通過 Private V。 ? 強(qiáng)大的事件追查功能 系統(tǒng)中豐富的日志信息和便捷的追查工具能使網(wǎng)絡(luò)管理員在面對(duì)異常事件時(shí)，能及時(shí)作出反應(yīng)，迅速找出幕后“黑手”。還能 對(duì)不同的用戶數(shù)據(jù)設(shè)定業(yè)務(wù)優(yōu)先級(jí) 以保證重要數(shù)據(jù)能得到更好的服務(wù) 。 ? 異常網(wǎng)絡(luò)事件的審計(jì)和追查 當(dāng)異常網(wǎng)絡(luò)事件發(fā)生后，如何盡快的追根溯源，找出幕后“黑手”，防止事件的再 次發(fā)生，成了網(wǎng)絡(luò)維護(hù)人員不得不面對(duì)的棘手問題。由于沒有帶寬限制和優(yōu)先級(jí)設(shè)置，一些重要用戶和重要應(yīng)用得不到必要的帶寬保證而影響了工作。核心交換機(jī)擁有 1000M 出口聯(lián) 接企業(yè) 網(wǎng)，各層設(shè)備全部支持線速交換，給用戶提供了真正的高帶寬網(wǎng)絡(luò)，對(duì)未來高帶 寬的寬帶業(yè)務(wù)提供了強(qiáng)大的支撐能力 。 企業(yè) 網(wǎng)絡(luò)中心放置路由交換機(jī)上 行通過 GE 接至互聯(lián)網(wǎng) ， GE 可以是單?；蛘叨嗄?，到時(shí)可以按使用的情況進(jìn)行擴(kuò)展，使出口不會(huì)成為企業(yè) 網(wǎng) 瓶頸。 企業(yè) 網(wǎng)用戶較多，一定要建立一套合理可行的安全管理制度 ， 只有制度和設(shè)備的完美結(jié)合才能真正提高 企業(yè) 網(wǎng)的安全水平。主要是指將各種安全系統(tǒng)或設(shè)備集中控管、綜合分析。 應(yīng)用層安全 (1) 應(yīng)用層的安全措施主要有以下幾點(diǎn)： (2) 各應(yīng)用系統(tǒng)自身的加固； (3) 建立身份認(rèn)證 系統(tǒng)； (4) 建立安全審計(jì)系統(tǒng)； (5) 建立備份系統(tǒng) 。安全等級(jí)差別較大的邊界需要采用防火墻來控制 ， 如 企業(yè) 內(nèi)網(wǎng)、 企業(yè) 外網(wǎng)和 Inter 之間，利用防火墻進(jìn)行訪問控制和內(nèi)容過濾 ， 可有效地解決需求中提到的多種威脅 ； (3) 防止內(nèi)外的攻擊威脅。下面主要討論以下幾方面的網(wǎng)絡(luò)層安全防護(hù) ： (1) 劃分安全子網(wǎng)。定義一個(gè)網(wǎng)絡(luò)或各網(wǎng)絡(luò)內(nèi)不同安全等級(jí)的部分為不同的安全域。 網(wǎng)絡(luò)層安全 企業(yè) 網(wǎng)中局域網(wǎng)數(shù)目較多，根據(jù)需要多個(gè)網(wǎng)絡(luò)可能要互相聯(lián)接。 系統(tǒng)安全 系 統(tǒng)層主要解決的是由于各種操作系統(tǒng)、數(shù)據(jù)庫、及相關(guān)產(chǎn)品的安全漏洞和病毒造成的威脅。在設(shè)備集中的管理間安裝干擾器防止由于 第 24 頁 設(shè)備輻射造成的信息泄漏。 物理層安全 物理層的安全主要包括環(huán)境、設(shè)備及線路的安全。 企業(yè)外網(wǎng)主要指 企業(yè) 提供對(duì)外服務(wù)的服務(wù)器群、與 電信 的接入以及遠(yuǎn)程移動(dòng)辦公用戶的接入等 ，認(rèn)真分析可以總結(jié)出 企業(yè) 網(wǎng)面臨著如下的安全威脅 ： (1) 各種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞帶來的安全威脅； (2) Inter 網(wǎng)絡(luò)用戶對(duì) 企業(yè) 網(wǎng)存在非法訪問或惡意入侵的威脅 ； (3) 來自 企業(yè) 網(wǎng)內(nèi)外的各種病毒的威脅，外部用戶可能通過郵件以及文件傳輸?shù)葘⒉《編?企業(yè) 內(nèi)網(wǎng) ， 內(nèi)部職工 可能由于使用盜版介質(zhì)將病毒帶入 企業(yè) 內(nèi) ； (4) 內(nèi)部用戶對(duì) Inter 的非法訪問威脅，如瀏覽黃色、暴力、反動(dòng)等網(wǎng)站，以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入 企業(yè) 內(nèi)網(wǎng)； (5) 內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對(duì)網(wǎng)絡(luò)及服務(wù)器發(fā)起 DOS/DDOS 攻擊，導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用； (6) 企業(yè) 網(wǎng)內(nèi)的 職工即時(shí)通信工具（比如： OICQ） ，目前針對(duì) 該類工具 的黑客程序隨處可 見； (7) 可能會(huì)因?yàn)?企業(yè) 網(wǎng)內(nèi)管理人員以及全體 職工 的安全意識(shí)不強(qiáng)、管理制度 不健全，帶來 企業(yè) 網(wǎng)的 威脅 。 企業(yè) 網(wǎng)總體上分為 企業(yè) 內(nèi)網(wǎng)和 企業(yè) 外網(wǎng)。 好的擴(kuò)展性：提供良好的堆疊功能，同時(shí)支持不同設(shè)備的混合堆疊，從而保證了網(wǎng)絡(luò)的平滑升級(jí)和降低了擴(kuò)建成本。 高可靠性：支持 STP/RSTP 生成樹協(xié)議。 使用 Catalyst 2960 作為本方案設(shè)計(jì)的接入交換機(jī)，它 支持全線速的二層交換，同時(shí)具備如下特性： 完備的安全智能控制策略：支持 認(rèn)證 ，還可以通過靈活的 MAC、 IP、 VLAN、PORT 任意組合綁定，有效的防止非法用戶訪問網(wǎng)絡(luò)?；谝陨峡紤]，所選的服務(wù)器必須具有高可靠性， I/O 吞吐能力強(qiáng)，數(shù)據(jù)處理快，可擴(kuò)展性和可管理性良好的特點(diǎn) 。因此對(duì)服務(wù)器的網(wǎng)絡(luò)響應(yīng)能力在很大程度上體現(xiàn)了服務(wù)器的硬件體系結(jié)構(gòu)設(shè)計(jì)的合理性、 CPU 或 CPU 組（ SMP）對(duì)操作系統(tǒng)的進(jìn)程或線程的分配能力以及磁盤 I/O 的性能。服 務(wù)器的選擇標(biāo)準(zhǔn)很大程度上取決于中心客戶的類型和應(yīng)用種類。 CISCO 3640 也是 CISCO 多服務(wù)行列中的一員，它支持連接語音線路、電話和專用分組交換機(jī)（ PBX），提供 LAN 介質(zhì)、串行接口、 ISDN 連接、語音連接及數(shù)字 MODEM 等接口 ， 所以 選擇 CISCO 3600 系列還是更高系列 ， 取決于所需支持的不同類型的接口的數(shù)目，這些新系列的路由器一般有更強(qiáng)的處理能力、支持更多的可配置接口，然而情況并不總是這樣，一些 CISCO 早期推向市場(chǎng)的撥號(hào)訪問服務(wù)器就不能處理由多個(gè)接口同時(shí)提供出的多個(gè)連接 。在十兆與百兆交換機(jī)中應(yīng)選擇百兆交換，因?yàn)?10 兆雖然在 有些職工的 網(wǎng)絡(luò)使用中剛剛能達(dá)到要求，但是已經(jīng)不適應(yīng)功能越來越強(qiáng)的計(jì)算機(jī)與新的應(yīng)用軟件的發(fā)展， 更不適應(yīng)更快的計(jì)算機(jī)通訊產(chǎn)品的要求，將成為它們之間最大的瓶頸。 在性能方面，通過使用 Supervisor III 或 Supervisor II+ 只支持第二層，但是能夠支持64Gbit/s，同時(shí) 具有很強(qiáng)的擴(kuò)展性及多業(yè)務(wù)特性，可以滿 足未來企業(yè)豐富的業(yè)務(wù)需求及提供投資保護(hù) 。 因此本次方案設(shè)計(jì)采用 Catalyst 4506 交換機(jī)，它采用了 Supervisor Engine V10GE 的領(lǐng)先引擎，它的最高性能可以達(dá)到 102Mpps 和 136Gbit/s， 在遠(yuǎn)程辦公室環(huán)境中，這類交換機(jī)即可以作為單臺(tái)交換機(jī)發(fā)揮作用，也可以作為包含少量交換機(jī)的中小型網(wǎng)絡(luò)的園區(qū)主干交換機(jī)。 園區(qū) 主干交換機(jī) 園區(qū) 主干交換 機(jī)是指連接服務(wù)器及樓與樓之間、層與層之間的數(shù)據(jù)交換設(shè)備。辦公司樓、研發(fā) 樓、 生產(chǎn)間、職工公寓等樓宇采 用高性能匯聚層交換機(jī)，以保證建筑樓信息點(diǎn)對(duì)交換機(jī)端口密度的要求和網(wǎng)絡(luò)性能與可靠性的要求。 園區(qū) 主干網(wǎng)中心節(jié)點(diǎn)配置核心路由交換機(jī)，該交換機(jī)上配置第 三層交換模塊和網(wǎng)絡(luò)監(jiān)控模塊，以實(shí)現(xiàn)網(wǎng)絡(luò)動(dòng)態(tài)管理和虛擬局域網(wǎng)。 園區(qū) 主干網(wǎng)以企業(yè)網(wǎng)絡(luò)中心的主機(jī)房為中心節(jié)點(diǎn)向外輻射，通過各部門所在的建筑樓節(jié)點(diǎn)構(gòu)成 園區(qū) 主干網(wǎng)。 該方案 IP 編址及 VLAN 劃分如下： 表 51 VLAN劃分表 VLAN號(hào) VLAN名稱 IP網(wǎng)段 默認(rèn)網(wǎng)關(guān) 說明 VLAN 1 192． 168． 0． 0/24 192． 168． 0． 254 管理 VLAN VLAN 10 CWB 192． 168． 1． 0/24 192． 168． 1． 254 財(cái)務(wù)部 VLAN VLAN 20 SCB 192． 168． 2． 0/24 192． 168． 2． 254 市場(chǎng)部 VLAN VLAN 30 CHB 192． 168． 3． 0/24 192． 168． 3． 254 策劃部 VLAN VLAN 50 KFZX 192． 168． 5． 0/24 192． 168． 5． 254 客服中心 VLAN VLAN 60 CGB 192． 168． 6． 0/24 192． 168． 6． 254 采購部 VLAN VLAN 70 RFB 192． 168． 7． 0/24 192． 168． 7． 254 研發(fā)部 VLAN VLAN 100 SERVER 192． 168． 100． 0/24 192． 168． 100． 254 服務(wù)器組 VLAN 第 21 頁 核心層設(shè)計(jì)及設(shè)備選型 企業(yè) 網(wǎng)是各種應(yīng)用的統(tǒng)一通信平臺(tái)，平均無故障時(shí)間以及故障恢復(fù)時(shí)間要保持在一個(gè)可容忍的許可范圍 之內(nèi)。特別是當(dāng)某網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后，會(huì)不 停地向網(wǎng)絡(luò)發(fā)送廣播，從而導(dǎo)致網(wǎng)絡(luò)風(fēng)暴，使網(wǎng)絡(luò)通信陷于癱瘓。通過將 企業(yè) 網(wǎng)絡(luò)劃分為虛擬子網(wǎng)（ VLAN），可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。 IP 編址方案及 VLAN 劃分 IP 地址規(guī)劃根據(jù)所分配的公網(wǎng) IP 地址和內(nèi)部私 有 網(wǎng) IP 地址分配，地址可分為 二 大塊，一塊是分配多個(gè) C 類公網(wǎng) IP 地址，作為和國際互聯(lián)網(wǎng)互連的地址， 一部分企業(yè)相關(guān)的 域名就解析在這片地址上， 同時(shí)提供給企業(yè)用戶上網(wǎng)時(shí)的 NAT 轉(zhuǎn)換用，如果條件允許，可以申請(qǐng)多個(gè)運(yùn)營商的線路， 關(guān)鍵服務(wù)器 及應(yīng)用可以 擁有兩 條線路的 公網(wǎng) IP，分別跨接在 不同的運(yùn)營商 上 進(jìn)行相互備份 。 在核心層采用三層交換機(jī) Catalyst 4506 系列部署，可以增加網(wǎng)絡(luò)擴(kuò)展性，提高性能及 第 20 頁 可用性，增強(qiáng)網(wǎng)絡(luò)安全性。 在接入層， Catalyst 2960 系列交換機(jī)通過生成樹提供第二層冗余。 它采用了星形拓樸結(jié)構(gòu)，它相對(duì)其他拓樸結(jié)構(gòu)來說，星形拓樸將用戶接入網(wǎng)絡(luò)時(shí)具有更大的靈活性。它的 園區(qū)主干和建筑物分布子 模塊 沒有十分明確的三層設(shè)計(jì)區(qū)分，在功能配置基本上是 緊縮到 一層 中去 （即 Core Switch 所在層），因?yàn)?缺乏明顯分開的園區(qū)主干 和建筑物分布子模塊，并且園區(qū)主干子模塊中的 密度是有限的，所以在 每個(gè) 建筑物分布子模塊中 采用 多臺(tái)二層交換機(jī)（ Catalyst 2960）進(jìn)行 堆疊 即可 ，在此方案中， 出于 可 擴(kuò)展性 、一次性投資成本 、網(wǎng)絡(luò)的傳輸性能及長(zhǎng)遠(yuǎn) 規(guī)劃等方面因素 考慮 ， 前期先 采用堆疊模式 即可滿足所有用戶的接入問題，當(dāng)用戶增加到一定的 數(shù)量 之后，出于 交換機(jī) 堆疊數(shù)量的限制，可以 選擇增加多一臺(tái)建筑物分布子模塊來做匯聚的交換設(shè)備 ，這樣一樣可以 做到 后續(xù)有很 強(qiáng)的擴(kuò)展性 ，通過這種設(shè)計(jì)，可以使用該企業(yè)達(dá)到滿足現(xiàn)有需求的同時(shí)很好的降低了成本且不失后期的擴(kuò)展性 （如上拓樸圖示） 。 網(wǎng)絡(luò)拓樸設(shè)計(jì) 本次 該 企業(yè)網(wǎng)絡(luò)設(shè)計(jì)方案主要由以下四大部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問模塊、服務(wù)器群。 總體設(shè)計(jì)是 企業(yè) 網(wǎng)建設(shè)的總體思路和工程藍(lán)圖，是搞好 企業(yè) 網(wǎng)建設(shè)的核心任務(wù)。 第 18 頁 5 企業(yè)網(wǎng)絡(luò)的總體設(shè)計(jì) 企業(yè) 網(wǎng) 絡(luò)建設(shè) 不只是涉及技術(shù)方面，而是包括 了 網(wǎng)絡(luò)設(shè)施、應(yīng)用平臺(tái)、信息資源、專業(yè)應(yīng)用、人員素質(zhì)等眾多成份的綜合化系統(tǒng) 。 第 16 頁 用戶需求調(diào)查 表 41 用戶需求調(diào)查 地址 建筑物 可靠性 /可用性 網(wǎng)絡(luò)需求 安全性 可擴(kuò)展性 樓層數(shù) 信息點(diǎn)數(shù) 主要應(yīng)用 辦公樓一 1棟4層 /棟 白天工作狀態(tài)良好，網(wǎng)絡(luò)運(yùn)行正常 下載 300KB/s上傳 100KB/s 中 好 4 120 OA辦公、產(chǎn)品設(shè)計(jì) 、資源共享、 Inter 服務(wù)等 辦公樓二 1棟4層 /棟 白天工作狀態(tài)良好，網(wǎng)絡(luò)運(yùn)行正常 下載 300KB/s上傳 100KB/s 中 好 4 100 OA辦公、產(chǎn)品設(shè)計(jì)、資源共享、 Inter 服務(wù)等 研發(fā)樓 1棟3層 /棟 白天工作狀態(tài)良好 ,網(wǎng)絡(luò)正常運(yùn)行 下載 500kB/s上傳 200KB/s 高 好 3 70 系統(tǒng)測(cè)試、產(chǎn)品開發(fā)、員工培訓(xùn) 、應(yīng)用 軟件學(xué)習(xí)、Inter 服務(wù) 等 生產(chǎn)車間 1棟4層 /棟 全日制不停機(jī)工作 下載 400KB/s上傳 100KB/s 中 良好 4 50 系統(tǒng)應(yīng)用 、資源共享、 OA辦公、 Inter 服務(wù)等 職工公寓1~3 3棟6層 /棟 白天工作狀態(tài)良好 ,網(wǎng)絡(luò)正常運(yùn)行 下載 200KB/s上傳 50KB/s 低 良好 18 130 資源共享、員工 學(xué)習(xí) 及娛樂 、應(yīng)用軟件學(xué)習(xí)、Inter 服務(wù) 等 網(wǎng)絡(luò)需求 分析 根據(jù) 該 企業(yè)應(yīng)用需求進(jìn)行分析，最終 決定 采用以下 網(wǎng)絡(luò)部署 方案解決 該 企業(yè)的 各項(xiàng) 需求： 1). 申請(qǐng)一條 15M 的帶寬 ，以滿足 500 臺(tái)計(jì)算機(jī)訪問 Inter； 2). 申請(qǐng)九個(gè)公網(wǎng) IP 地址： 分配給 inter 接入路由器的串行接口，另外八個(gè) IP 地址： ； 3). 購買一臺(tái) CISCO 路由器 CISCO 3640 以實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)連接到 inter，購買一臺(tái)防火墻以實(shí)現(xiàn)內(nèi) 部 與外 部 的安全過濾 ； 4). 企業(yè)目前有 500 臺(tái)計(jì)算機(jī)連入網(wǎng)絡(luò)，考慮到在未來五年內(nèi)可能會(huì)有所增加，預(yù)計(jì)增加幅度為 100 臺(tái)，總共有 600 臺(tái)， 出于前期一次性設(shè)備投 資成本過高但又不失擴(kuò)展性的 第 17 頁 要求 ,所以采用了匯聚層與接入層暫時(shí)相合并的設(shè)計(jì)辦法， 因此 在各棟樓之間 按用戶數(shù)量 部署 適當(dāng)數(shù)據(jù)量的接入層交換機(jī) 48 口 Catalyst 2960，設(shè)計(jì)方案 共 計(jì) 13 臺(tái)設(shè)備，為了方便管理及后續(xù)的擴(kuò)展性，接入層交換機(jī)按需采用堆疊式部署及配置； 5). 將各個(gè)部門劃分在不同的 VLAN，包括服務(wù)器群和管理 VLAN 一共需要 7 個(gè) VLAN； 6). 將 WEB 服務(wù)、郵件服務(wù)器、 FTP 服務(wù)器 及業(yè)務(wù)應(yīng)用系統(tǒng)服務(wù)器 直接與核心交換機(jī)CISCO 4501 連接，置于管理機(jī)房，方便管理，同時(shí)配置 ACL 控制各部