【正文】 ..第一章．概述 建筑群網(wǎng)絡(luò)建設(shè)背景 當(dāng)前，人類社會(huì)正處于一個(gè)偉大的轉(zhuǎn)折時(shí)期，社會(huì)信息化的程度已被看作是一個(gè)國(guó)家現(xiàn)代化水平和綜合國(guó)力的重要標(biāo)志。在這個(gè)信息時(shí)代，各個(gè)單位各個(gè)部門(mén)的信息技術(shù)建設(shè)是極其重要的。網(wǎng)絡(luò)系統(tǒng)建成后，將為辦公大樓提供高效率的辦公環(huán)境，實(shí)現(xiàn)無(wú)紙化協(xié)同辦公。實(shí)現(xiàn)主干千兆，并且千兆交換到桌面的高效網(wǎng)絡(luò)系統(tǒng)。因此本次組網(wǎng)力爭(zhēng)做到下面幾個(gè)方面：1. 建成較完善的局域網(wǎng)管理信息網(wǎng)絡(luò)體系。2. 建立高效的網(wǎng)絡(luò)管理中心，整個(gè)公司網(wǎng)絡(luò)的關(guān)鍵設(shè)備,如中心交換機(jī)、服務(wù)器、利用高效的網(wǎng)管軟件、安全策略，可對(duì)整個(gè)公司網(wǎng)絡(luò)實(shí)施管理和監(jiān)控。4．建立高效協(xié)同的辦公環(huán)境，保證各部分的的工作人員可以有良好的交流環(huán)境，使其相互之間的協(xié)作更加緊密，更利于發(fā)揮自己的潛能，為公司創(chuàng)造更多的價(jià)值。6．根據(jù)不同的部門(mén)劃分不同的VLAN，保證各個(gè)部門(mén)之間的獨(dú)立性，控制各個(gè)VALN之間的訪問(wèn)。對(duì)網(wǎng)絡(luò)的性能也做了優(yōu)化，選用良好的設(shè)備，保證系統(tǒng)的高可用性。此處主要分析辦公網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和網(wǎng)絡(luò)運(yùn)營(yíng)方面相關(guān)的內(nèi)容，主要有以下幾方面的特點(diǎn)： 對(duì)Internet的訪問(wèn)需求：將根據(jù)辦公大樓實(shí)際需要，選擇出口網(wǎng)絡(luò)的帶寬，通過(guò)ISP接入Internt。 用戶管理的需求：。 網(wǎng)絡(luò)管理的需求：整個(gè)網(wǎng)絡(luò)的關(guān)鍵設(shè)備,如中心交換機(jī)、服務(wù)器、利用高效的網(wǎng)管軟件、安全策略，可對(duì)整個(gè)公司網(wǎng)絡(luò)實(shí)施管理和監(jiān)控。2) 利用高性能的網(wǎng)絡(luò)安全防御設(shè)備，在網(wǎng)絡(luò)的出口處屏蔽掉病毒及黑客的攻擊，保護(hù)內(nèi)網(wǎng)數(shù)據(jù)的安全。 網(wǎng)絡(luò)安全需求分析和對(duì)策隨著以網(wǎng)絡(luò)為核心的信息技術(shù)目新月異的發(fā)展，尤其是Internet/Intranet在全球的迅速普及，網(wǎng)絡(luò)安全問(wèn)題正日益成為人們關(guān)注的頭號(hào)焦點(diǎn)。首先應(yīng)該鼓勵(lì)公司網(wǎng)絡(luò)內(nèi)部的互訪，以使資源得到最大限度的共享。一般情況下，內(nèi)部攻擊所造成的危外部入侵要大得多，這是因?yàn)閮?nèi)部入侵者不像外部黑客，很少是因?yàn)楹闷嫘内厔?shì)他們進(jìn)絡(luò)攻擊行為，其中隱藏著較復(fù)雜的與內(nèi)部有關(guān)的動(dòng)機(jī)。如果辦公網(wǎng)絡(luò)內(nèi)部的重要核心資源不加以有效的保護(hù)，那么內(nèi)部惡性入侵成的危害比外部非法入侵還要大。通常我們利用數(shù)據(jù)竊聽(tīng)功能進(jìn)行網(wǎng)絡(luò)故障的排除或進(jìn)行流量分析。 IP欺騙；當(dāng)位于網(wǎng)絡(luò)內(nèi)部或外部的黑客主機(jī)模仿成為一臺(tái)可信賴的計(jì)算機(jī)時(shí)，就稱其進(jìn)行了IP欺騙。這種攻擊的主要目的是使某種服務(wù)不能被正常使用，而且這種攻擊通常是通過(guò)破壞網(wǎng)絡(luò)、操作系統(tǒng)或應(yīng)用程序,來(lái)致使某些服務(wù)不能被正常使用 。一旦他們擁有了用戶的賬號(hào)和密碼，他們就擁有了和該用戶完全相同的權(quán)利。黑客通常是通過(guò)使用網(wǎng)絡(luò)數(shù)據(jù)竊聽(tīng)以及路由和傳輸協(xié)議進(jìn)行這種攻擊的。 應(yīng)用層攻擊； 黑客可以通過(guò)幾種不同的方法實(shí)施應(yīng)用層攻擊。利用這些弱點(diǎn)，黑客能夠獲得合法的帳號(hào)，從而得以訪問(wèn)計(jì)算機(jī)。應(yīng)用層攻擊永遠(yuǎn)不可能被完全消除，因?yàn)樾碌囊资芄酎c(diǎn)總會(huì)不斷出現(xiàn)，但可以部署更智能的設(shè)備減少非法攻擊。典型的一個(gè)例子是公司的周邊網(wǎng)絡(luò)連接，另外一個(gè)例子是位于安全設(shè)備外側(cè)的系統(tǒng)與位于安全設(shè)備內(nèi)側(cè)的系統(tǒng)之間有信任關(guān)系。 未授權(quán)訪問(wèn)；未授權(quán)訪問(wèn)不是指某種具體的攻擊，而是指當(dāng)今網(wǎng)絡(luò)中發(fā)生的多數(shù)攻擊。特洛伊木馬實(shí)際上是一種攻擊工具，可以獲取用戶非常有用的信息。換句話說(shuō)，網(wǎng)絡(luò)安全不可能做到零風(fēng)險(xiǎn)。信息安全并不僅僅局限于通信保密，其實(shí)網(wǎng)絡(luò)信息安全牽扯到方方面問(wèn)題，是一個(gè)極其復(fù)雜的工程。主要措施有：實(shí)時(shí)監(jiān)控企業(yè)的安全狀態(tài)、提供應(yīng)變安全策略的能力，對(duì)現(xiàn)有的安全系統(tǒng)實(shí)施漏洞檢查等，以防患于未然。為了確保網(wǎng)絡(luò)的絕對(duì)安全，僅僅在安全技術(shù)上采取種種措施還是不夠的，還要有一個(gè)有效的網(wǎng)絡(luò)安全管理體制。任何一個(gè)部門(mén)或分系統(tǒng)都應(yīng)該在該制度下運(yùn)轉(zhuǎn)，服從統(tǒng)一的安全策略?，F(xiàn)在將要建設(shè)的是實(shí)現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享，應(yīng)用三層交換，提供全面的QoS保障服務(wù)，使網(wǎng)絡(luò)安全可靠，從而實(shí)現(xiàn)內(nèi)部管理、信息流動(dòng)、管理自動(dòng)化，而且還要通過(guò)Internet對(duì)外提供服務(wù)，提供可增值可管理的業(yè)務(wù)，整網(wǎng)必須具備高性能、高安全性、高可靠性，可管理、可增值特性以及開(kāi)放性、兼容性、可擴(kuò)展性。根據(jù)我們對(duì)辦公網(wǎng)絡(luò)功能要求的理解，在方案的設(shè)計(jì)中，我們貫穿著以下設(shè)計(jì)思想： 高可靠性－網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，設(shè)備充分考慮冗余、容錯(cuò)能力；合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運(yùn)行。技術(shù)先進(jìn)性和實(shí)用性―在保證滿足企業(yè)業(yè)務(wù)、應(yīng)用系統(tǒng)業(yè)務(wù)的同時(shí)，要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。高性能―骨干網(wǎng)絡(luò)性能是整個(gè)網(wǎng)絡(luò)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)、圖象）的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為業(yè)務(wù)開(kāi)展的瓶頸。靈活性及可擴(kuò)展性―根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)充和升級(jí)，最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，具有對(duì)設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析，及可提供故障自動(dòng)報(bào)警。保證關(guān)鍵數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的可信性。經(jīng)濟(jì)性，就是在充分利用現(xiàn)有資源的情況下，最大限度地降網(wǎng)絡(luò)系統(tǒng)的總體投資，有計(jì)劃、有步驟地實(shí)施，在保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有設(shè)備或做必要的升級(jí)。動(dòng)態(tài)路由協(xié)議OSPF具有在路由器和高端交換機(jī)上自動(dòng)配置的能力，并且其開(kāi)銷較低，功能強(qiáng)，支持的網(wǎng)絡(luò)規(guī)模大，特別適合于大型的辦公網(wǎng)絡(luò)。在OSPF的劃分上有兩種方式，一種是全部劃入骨干域，一種是劃分骨干和分支域。在局域網(wǎng)中一般為了負(fù)載均衡而采用OSPF協(xié)議，對(duì)路由選路和收斂的要求不高，因此可以只劃分一個(gè)區(qū)域，即area 0，所有設(shè)備都位于area 0中。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。具體分配時(shí)要遵循以下原則：唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址；簡(jiǎn)單性：地址分配應(yīng)簡(jiǎn)單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡(jiǎn)化路由表項(xiàng)連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址疊合所需的連續(xù)性靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。當(dāng)辦公網(wǎng)網(wǎng)絡(luò)地址分配或采用混合網(wǎng)絡(luò)地址接入時(shí)，要求辦公網(wǎng)能提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能，對(duì)私網(wǎng)地址進(jìn)行轉(zhuǎn)換。 無(wú)線方案當(dāng)今社會(huì)無(wú)線網(wǎng)絡(luò)以成為新一代的潮流，無(wú)論是在機(jī)關(guān)單位還是在企業(yè)、教育、醫(yī)療等單位。無(wú)線現(xiàn)在給大家?guī)?lái)了很大的方便，如果一個(gè)網(wǎng)絡(luò)中缺少了無(wú)線網(wǎng)絡(luò)，就好像一個(gè)人缺少一只手一樣，工作起來(lái)很不方便。只需一次投入就可以解決所有問(wèn)題，其零布線費(fèi)用是有線網(wǎng)絡(luò)所不能比擬的。在擴(kuò)展性方面，有線網(wǎng)絡(luò)的擴(kuò)展性比較弱，如果要增加新用戶，而原有布線所預(yù)留的端口又不夠用的話，那就要進(jìn)行從新部署線纜等工作，雖然電纜本身不貴，但是改造起來(lái)比較麻煩。在無(wú)線網(wǎng)絡(luò)技術(shù)在不斷的發(fā)展與改善，其發(fā)展前景是良好的，但是在很多場(chǎng)合下，有線接入技術(shù)并不真的比無(wú)線網(wǎng)絡(luò)有更多的優(yōu)勢(shì)。從總體上去分析的話,無(wú)線是現(xiàn)代網(wǎng)絡(luò)中的一部分是不可分割的一部分。第一代無(wú)線局域網(wǎng)主要是采用Fat AP，每一臺(tái)AP都要單獨(dú)進(jìn)行配置，費(fèi)時(shí)、費(fèi)力、費(fèi)成本；第二代無(wú)線局域網(wǎng)融入了無(wú)線網(wǎng)關(guān)功能但還是不能集中進(jìn)行管理和配置，其管理性和安全性以及對(duì)有線網(wǎng)絡(luò)的依賴成為了第一代和第二代WLAN產(chǎn)品發(fā)展的瓶頸，由于這一代技術(shù)的AP儲(chǔ)存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰匙，Radius client的安全密碼 (secret) 等，而AP又是分散在建筑物中的各個(gè)位置，一旦AP的配置被盜取讀出并修改，其無(wú)線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。在這樣的環(huán)境下，基于無(wú)線交換機(jī)技術(shù)的第三代WLAN