【正文】 t，ACL）是保護(hù)內(nèi)網(wǎng)安全的有效手段。在本工程案例設(shè)計(jì)中，內(nèi)網(wǎng)用戶不僅通過路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過3層交換機(jī)上的路由功能進(jìn)行數(shù)據(jù)包交換。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時(shí)選擇最佳路徑的能力。為了在異地****中更好地發(fā)揮信息化系統(tǒng)的作用，企業(yè)要求對(duì)網(wǎng)絡(luò)進(jìn)行整體的規(guī)劃、設(shè)計(jì)?！?*****”************項(xiàng)目，將企業(yè)搬遷至新廠區(qū)。s lives have been changed because of the Internet, Enterprises make full use of the system of information in the production through the construction of local area network (LAN) This paper is about making an overall planning and design in a network of a large tobacoo manufacturing enterprise by applying some key technologies and related network knowledge. Combined with the actual demand,through studying the design of the network infrastructure, the design of securitybased network configuration solution, the design of the infrastructure of sever farm, the design of advance services, this paper discusses in detail some key problems we met in desiging the network, the service related to the network design. and gives a solution to network planning and designKeywords：tobacco panies, network，information technology security, wireless local area network1 緒論 項(xiàng)目背景在****行業(yè)大力推進(jìn)聯(lián)合重組、做大做強(qiáng)的形勢(shì)下，為進(jìn)一步提高制造工藝技術(shù)水平、增強(qiáng)企業(yè)的品牌競(jìng)爭(zhēng)能力、提升企業(yè)的經(jīng)濟(jì)效益，********啟動(dòng)“******”********項(xiàng)目。結(jié)合實(shí)際需求，通過對(duì)網(wǎng)絡(luò)架構(gòu)組建方案的設(shè)計(jì)、基于安全的網(wǎng)絡(luò)配置方案設(shè)計(jì)、服務(wù)器架設(shè)方案設(shè)計(jì)、企業(yè)網(wǎng)絡(luò)高級(jí)服務(wù)設(shè)計(jì)等方面的研究，詳盡的探討了對(duì)該網(wǎng)絡(luò)進(jìn)行規(guī)劃設(shè)計(jì)時(shí)遇到的關(guān)鍵性問題，以及網(wǎng)絡(luò)相關(guān)的服務(wù)，給出了網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)解決方案。畢 業(yè) 論 文論文題目: 企業(yè)大型網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)企業(yè)大型網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)摘要：網(wǎng)絡(luò)技術(shù)發(fā)展到現(xiàn)在已經(jīng)相當(dāng)成熟，人們因?yàn)榛ヂ?lián)網(wǎng)而改變了他們的生活，企業(yè)通過局域網(wǎng)的建設(shè)充分發(fā)揮了信息系統(tǒng)在生產(chǎn)中的作用。本論文敘述了通過對(duì)關(guān)鍵技術(shù)的應(yīng)用，結(jié)合相關(guān)網(wǎng)絡(luò)知識(shí)對(duì)一家大型****企業(yè)的網(wǎng)絡(luò)進(jìn)行了整體規(guī)劃設(shè)計(jì)。關(guān)鍵詞：****企業(yè)，網(wǎng)絡(luò)，信息安全，無線局域網(wǎng)Cigarette enterprise network planning and designAbstract：The network technology has been quite mature up till now. People39。項(xiàng)目將充分響應(yīng)國家**********“努力將項(xiàng)目建成國內(nèi)一流水平”的指示，發(fā)揚(yáng)“敢想敢拼、善謀善為”的企業(yè)精神，打造“國內(nèi)一流、國際先進(jìn)”的****制造基地，使公司成為中國****工業(yè)少數(shù)幾個(gè)強(qiáng)勢(shì)企業(yè)之一奠定基礎(chǔ)。整個(gè)項(xiàng)目占地約****畝，規(guī)模年產(chǎn)*******，項(xiàng)目一期建筑面積******萬平方米，總投資約**億元。2 網(wǎng)絡(luò)技術(shù)原理 路由技術(shù)路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。除了可以完成主要的路由任務(wù)，利用訪問控制列表，路由器還可以用來完成以路由器為中心的流量控制和過濾功能。路由器是外網(wǎng)進(jìn)入企業(yè)網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。一個(gè)設(shè)計(jì)良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。 交換技術(shù)傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了企業(yè)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。VLAN將廣播域限制在單個(gè)VLAN內(nèi)部，減小了各VLAN間主機(jī)的廣播通信對(duì)其他VLAN的影響。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時(shí)，可以使用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）簡(jiǎn)化管理，它只需在單獨(dú)一臺(tái)交換機(jī)上定義所有VLAN。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。企業(yè)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個(gè)層次：接入層、分布層、核心層。在本工程案例設(shè)計(jì)中，也將采用這三層進(jìn)行分開設(shè)計(jì)、配置[2]。它可以為家庭辦公用戶和出差在外的員工提供移動(dòng)接入服務(wù)。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花費(fèi)也不相同。在本工程案例設(shè)計(jì)中，分別采用專線連接的VPN和PBR兩種方式實(shí)現(xiàn)遠(yuǎn)程訪問需求[3]。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)不同的廣播域（或稱虛擬LAN，即VLAN），兩臺(tái)計(jì)算機(jī)有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號(hào)，它們各自的廣播流也不會(huì)相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。不同的VLAN之間的通訊是需要有路由來完成的[4]。它分為兩個(gè)部份：一個(gè)是服務(wù)器端，而另一個(gè)是客戶端。比較起 BOOTP ，DHCP 透過 租約 的概念，有效且動(dòng)態(tài)的分配客戶端的 TCP/IP 設(shè)定，而且，作為兼容考慮，DHCP 的分配形式 首先，必須至少有一臺(tái) DHCP 工作在網(wǎng)絡(luò)上面，它會(huì)監(jiān)聽網(wǎng)絡(luò)的 DHCP 請(qǐng)求，并與客戶端磋商 TCP/IP 的設(shè)定環(huán)境。這主要用于大型網(wǎng)絡(luò)環(huán)境和配置比較困難的地方。DHCP使IP地址的可以租用，對(duì)于許多擁有許多臺(tái)計(jì)算機(jī)的大型網(wǎng)絡(luò)來說，每臺(tái)計(jì)算機(jī)擁有一個(gè)IP地址有時(shí)候可能是不必要的?？蛻粢部梢哉?qǐng)求使用自己喜歡的網(wǎng)絡(luò)地址及相應(yīng)的配置參數(shù)[5]。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。這就好比去電信局申請(qǐng)專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購買路由器等硬件設(shè)備。虛擬專用網(wǎng)（VPN）被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。 PVSTPVST: PerVLAN Spanning Tree（每VLAN生成樹） PVST是解決在虛擬局域網(wǎng)上處理生成樹的CISCO特有解決方案．PVST為每個(gè)虛擬局域網(wǎng)運(yùn)行單獨(dú)的生成樹實(shí)例．一般情況下PVST要求在交換機(jī)之間的中繼鏈路上運(yùn)行CISCO的ISL。它使用ISL中繼和允許一個(gè)VLAN中繼當(dāng)被其它VLANs的阻塞時(shí)將一些VLANs轉(zhuǎn)發(fā)。 HSRPHSRP：熱備份路由器協(xié)議（HSRP：Hot Standby Router Protocol）熱備份路由器協(xié)議（HSRP）的設(shè)計(jì)目標(biāo)是支持特定情況下 IP 流量失敗轉(zhuǎn)移不會(huì)引起混亂、并允許主機(jī)使用單路由器，以及即使在實(shí)際第一跳路由器使用失敗的情形下仍能維護(hù)路由器間的連通性。該協(xié)議中含有多種路由器，對(duì)應(yīng)一個(gè)虛擬路由器。終端主機(jī)將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。一旦主動(dòng)路由器出現(xiàn)故障，HSRP 將激活備份路由器（Standby Routers）取代主動(dòng)路由器。如果主動(dòng)路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動(dòng)路由器的所有任務(wù)，并且不會(huì)導(dǎo)致主機(jī)連通中斷現(xiàn)象。路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使用的是實(shí)際 IP 地址，而并非虛擬地址，正是基于這一點(diǎn)，HSRP 路由器間能相互識(shí)別[7]。AAA ，認(rèn)證(Authentication)：驗(yàn)證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù)。計(jì)帳(Accounting)：記錄用戶對(duì)各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計(jì)費(fèi)系統(tǒng)。　首先，認(rèn)證部分提供了對(duì)用戶的認(rèn)證。認(rèn)證的原理是每個(gè)用戶都有一個(gè)唯一的權(quán)限獲得標(biāo)準(zhǔn)。如果符合，那么對(duì)用戶認(rèn)證通過。接下來，用戶還要通過授權(quán)來獲得操作相應(yīng)任務(wù)的權(quán)限。簡(jiǎn)單而言，授權(quán)過程是一系列強(qiáng)迫策略的組合，包括：確定活動(dòng)的種類或質(zhì)量、資源或者用戶被允許的服務(wù)有哪些。一旦用戶通過了認(rèn)證，他們也就被授予了相應(yīng)的權(quán)限。這些資源包括連接時(shí)間或者用戶在連接過程中的收發(fā)流量等等。驗(yàn)證授權(quán)和帳戶由AAA服務(wù)器來提供。當(dāng)前同AAA服務(wù)器協(xié)作的網(wǎng)絡(luò)連接服務(wù)器接口是“遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù) (RADIUS)”[7]。簡(jiǎn)而言之，ACL可以過濾網(wǎng)絡(luò)中的流量，控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。例如，ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級(jí)。例如，ACL可以限定或簡(jiǎn)化路由更新信息的長(zhǎng)度，從而限制通過路由器某一網(wǎng)段的通信流量。ACL允許主機(jī)A訪問人力資源網(wǎng)絡(luò)，而拒絕主機(jī)B訪問。例如，用戶可以允許Email通信流量被路由，拒絕所有的Telnet通信流量。3 網(wǎng)絡(luò)技術(shù)方案 總體架構(gòu)************項(xiàng)目整個(gè)基礎(chǔ)網(wǎng)絡(luò)分為兩大塊，辦公大樓網(wǎng)絡(luò)和生產(chǎn)廠區(qū)網(wǎng)絡(luò)。生產(chǎn)廠區(qū)設(shè)立三個(gè)分中心，分別為卷包中控室、制絲中控室和能源管理中心。網(wǎng)絡(luò)拓?fù)浼軜?gòu)如下：針對(duì)新廠區(qū)網(wǎng)絡(luò)情況分析，我們可以看到業(yè)務(wù)系統(tǒng)對(duì)于網(wǎng)絡(luò)的需求主要由7個(gè)部分組成：核心網(wǎng)絡(luò)區(qū)域設(shè)計(jì)：核心網(wǎng)絡(luò)區(qū)域的設(shè)計(jì)主要包括核心交換機(jī)、互聯(lián)網(wǎng)區(qū)域、外聯(lián)區(qū)域和網(wǎng)絡(luò)安全區(qū)域設(shè)計(jì)。辦公大樓設(shè)計(jì)：辦公大樓設(shè)計(jì)主要為辦公大樓、技術(shù)中心和實(shí)驗(yàn)室基礎(chǔ)網(wǎng)絡(luò)的設(shè)計(jì)。無線網(wǎng)絡(luò)設(shè)計(jì)：無線網(wǎng)絡(luò)設(shè)計(jì)主要為辦公大樓、技術(shù)中心、卷包中控、制絲中控和能源管理中心無線網(wǎng)絡(luò)的設(shè)計(jì)。 核心網(wǎng)絡(luò)區(qū)域設(shè)計(jì)核心網(wǎng)絡(luò)區(qū)域包括整體網(wǎng)絡(luò)核心交換機(jī)、互聯(lián)網(wǎng)接入?yún)^(qū)域、外聯(lián)區(qū)域和安全區(qū)域，所有設(shè)備均部署在辦公大樓五樓信息中心機(jī)房?jī)?nèi)。此處的數(shù)據(jù)轉(zhuǎn)發(fā)性能直接關(guān)系到全網(wǎng)的業(yè)務(wù)運(yùn)行。我司選用兩臺(tái)思科高性能Cisco Nexus 7000系列核心交換機(jī)互為冗余，以提供盡可能最好的系統(tǒng)級(jí)冗余性。從維護(hù)和運(yùn)行的角度說，冗余拓?fù)浣Y(jié)構(gòu)可實(shí)現(xiàn)絕好的收斂性和可用性。 外聯(lián)區(qū)域設(shè)計(jì)外聯(lián)區(qū)域?yàn)榉謴S與公司總部以及老廠房的互連區(qū)域，與公司總部采用兩條裸光纖進(jìn)行互連，與老廠房采用一條裸光纖進(jìn)行互連，待老廠房設(shè)備搬遷完成后，互連設(shè)備和線路即可拆除。與老廠房互連路由器我司選用一臺(tái)Cisco 3945集成多業(yè)務(wù)路由器。另外各配了一塊千兆70公里遠(yuǎn)距離單模模塊用于與****公司總部雙鏈路進(jìn)行互連，和與中山南路77號(hào)原廠單鏈路進(jìn)行互連。另一個(gè)運(yùn)營商出口用于互聯(lián)網(wǎng)VPN接入。在運(yùn)營商二互聯(lián)網(wǎng)出口部署一臺(tái)思科ASA 5520 VPN防火墻提供SSL VPN功能，并配置50個(gè)SSL VPN許可證，提供SSL VPN接入。在互聯(lián)網(wǎng)防火墻的DMZ區(qū)部署一臺(tái)思科48口千兆交換機(jī)，用于DMZ區(qū)服務(wù)器接入，提供互聯(lián)網(wǎng)業(yè)務(wù)。一般來說，內(nèi)部威脅比外部威脅的損失更高、破壞性更大，同時(shí)，外部威脅發(fā)生的頻率卻更高。本次項(xiàng)目?jī)?nèi)部基礎(chǔ)網(wǎng)絡(luò)安全主要包括以下幾個(gè)系統(tǒng)：防火墻系統(tǒng)、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、安全審計(jì)系統(tǒng)和身份認(rèn)證系統(tǒng)。入侵檢測(cè)系統(tǒng)探測(cè)器采用并聯(lián)的方式部署，但入侵檢測(cè)與防護(hù)系統(tǒng)在線部署是當(dāng)前的趨勢(shì)，在線的部署能夠?qū)崟r(shí)的檢測(cè)并抵御攻擊，相比單純的檢測(cè)，安全級(jí)別更高。考慮到上述因素，在滿足標(biāo)書技術(shù)要求的基礎(chǔ)上，我司選用用思科的IPS 4260系列入侵檢測(cè)系統(tǒng)。憑借思科 IPS傳感器軟件的內(nèi)置防御技術(shù)，思科 IPS 4200系列傳感器能準(zhǔn)確地檢測(cè)、分類和終止惡意流量的傳輸。攻擊可能來自于網(wǎng)絡(luò)的各個(gè)方面。操作系統(tǒng)的日益復(fù)雜，協(xié)議本身的安全漏洞，都是對(duì)網(wǎng)絡(luò)的大量威脅。 安全審計(jì)系統(tǒng)設(shè)計(jì)當(dāng)用戶的計(jì)算機(jī)網(wǎng)絡(luò)擴(kuò)展到包含了許多主機(jī)和應(yīng)用系統(tǒng)時(shí)，管理與安全相關(guān)的事件變成越來越復(fù)雜的任務(wù)。它們?nèi)鄙僦庇^的界面、提供的功能有限，給出含義模糊甚至無用的事件消息。其中主要存在的問題：審計(jì)記錄會(huì)增大并被覆寫。發(fā)生在不同主機(jī)上的事件不能關(guān)聯(lián)起來。不能跨平臺(tái)分析審計(jì)記錄。因此需要的是一個(gè)能清楚地將相關(guān)數(shù)據(jù)與安全性以及系統(tǒng)管理員聯(lián)系起來，并產(chǎn)生快速評(píng)價(jià)與響應(yīng)的解決方案。安全審計(jì)系統(tǒng)使電子商務(wù)安全信息觸手可及。 該系統(tǒng)收集用戶范圍內(nèi)的安全和系統(tǒng)審計(jì)信息，同時(shí)不會(huì)像其它審計(jì)產(chǎn)品那樣會(huì)降低系統(tǒng)性能或造成網(wǎng)絡(luò)流量阻塞。該系統(tǒng)能提供的基本審計(jì)和分析功能，可以幫助客戶明顯地降低受到來自外界和內(nèi)部的惡意侵襲的風(fēng)險(xiǎn)。 身份認(rèn)證系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)信息安全是指通過保護(hù)網(wǎng)絡(luò)程序、數(shù)據(jù)或者設(shè)備，使其免受非授權(quán)使用或訪問，來達(dá)到保護(hù)信息和資源、保護(hù)客戶和用戶、保證私有性等目的。授權(quán)（Authorization）用一些特殊的參數(shù)表明訪問（或存?。┑臋?quán)限。完整性（Integrity）確保數(shù)據(jù)的完整和準(zhǔn)確。在所有功能中，身份認(rèn)證（Authentication）是最基本最重要的環(huán)節(jié)，即使將授權(quán)、保密性、完整性、不可否認(rèn)等環(huán)節(jié)做得很完善，但如果盜用了合法的帳號(hào)和口令登錄系統(tǒng)，系統(tǒng)仍然認(rèn)為他是合法用戶，給予他相應(yīng)的訪問權(quán)限，使系統(tǒng)處于危險(xiǎn)狀態(tài)。 網(wǎng)絡(luò)管理系統(tǒng)設(shè)計(jì)通過在網(wǎng)絡(luò)中心安裝集中網(wǎng)管系統(tǒng)，通過帶內(nèi)的方式實(shí)現(xiàn)對(duì)整網(wǎng)設(shè)備的統(tǒng)一管理，提供集中、統(tǒng)一、分級(jí)、分權(quán)的網(wǎng)元管理、網(wǎng)絡(luò)管理功能。綜合網(wǎng)管系統(tǒng)提供如下管理能力： 拓?fù)涔芾硗負(fù)涔芾碛糜跇?gòu)造并管理整個(gè)通信網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，通過自動(dòng)上載網(wǎng)絡(luò)設(shè)備的拓?fù)鋽?shù)據(jù)形成與實(shí)際網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)相同的網(wǎng)絡(luò)拓?fù)湟晥D。網(wǎng)管系統(tǒng)的拓?fù)湟晥D是采用分層結(jié)構(gòu)的，其