【正文】 并且要有良好的市場形象與售后技術(shù)支持，便于維護(hù)、升級(jí)。為了實(shí)現(xiàn)基本的網(wǎng)絡(luò)辦公自動(dòng)化，建設(shè)安全、健壯的辦公局域網(wǎng)，網(wǎng)絡(luò)結(jié)構(gòu)將達(dá)到高效且具有良好的可擴(kuò)展性，采用信息安全交換裝置實(shí)現(xiàn)必要的信息傳輸。新建網(wǎng)絡(luò)系統(tǒng)可滿足公司各項(xiàng)管理需要，同時(shí)考慮今后功能和信息增長的要求，選擇的計(jì)算機(jī)以及網(wǎng)絡(luò)設(shè)備具有先進(jìn)性，適應(yīng)越來越多的信息種類（聲音、動(dòng)畫等多媒體數(shù)據(jù)）以及信息量的處理及傳輸要求。根據(jù)不同部門的需求實(shí)現(xiàn)不同的安全級(jí)別。為防黑客入侵、病毒的影響，保證公司數(shù)據(jù)的安全，采用 PIX防火墻技術(shù)。這樣才能在網(wǎng)絡(luò)、信息通常的基礎(chǔ)上為貴公司帶來更大的利潤。PPP 協(xié)議是目前廣域網(wǎng)上應(yīng)用最廣泛的協(xié)議之一，它的優(yōu)點(diǎn)在于簡單、具備用戶驗(yàn)證能力、可以解決 IP分配等。PPPoE 即保護(hù)了用戶方的以太網(wǎng)資源，又完成了ADSL的接入要求，是目前 ADSL接入方式中應(yīng)用最廣泛的技術(shù)標(biāo)準(zhǔn)。（如人事考勤系統(tǒng)，財(cái)務(wù)報(bào)價(jià)系統(tǒng)等等）的核心數(shù)據(jù)的存放地，其性能、穩(wěn)定性、安全性、可靠性的要求最高，因此我們?cè)谠O(shè)計(jì)的時(shí)候，會(huì)著重考慮這些需要，并采用PIX防火墻技術(shù)提高網(wǎng)絡(luò)性能的安全性、可靠性。，我們將安全性放在第一位，同時(shí)，生產(chǎn)運(yùn)營系統(tǒng)的運(yùn)行離不開網(wǎng)絡(luò)和數(shù)據(jù)中心的連接，因此冗余性的考慮也是必須的。，可信度較高，內(nèi)部網(wǎng)絡(luò)的可用性是我們首要考慮因素，因此我們將劃分VLAN以提高各部門的網(wǎng)絡(luò)互聯(lián)性及可用性。我們公司在面對(duì)網(wǎng)絡(luò)規(guī)模相對(duì)較大的時(shí)候，將采取合適的網(wǎng)管系.6統(tǒng)以幫助客戶方便管理網(wǎng)絡(luò)內(nèi)的設(shè)備及運(yùn)行情況，提高網(wǎng)絡(luò)的運(yùn)行效率 網(wǎng)絡(luò)總體建設(shè)目標(biāo) 網(wǎng)絡(luò)建設(shè)目標(biāo)1）網(wǎng)絡(luò)互聯(lián)能夠?qū)崿F(xiàn)遠(yuǎn)程用戶從不安全的互聯(lián)網(wǎng)安全可靠的接入本市內(nèi)分部公司內(nèi)網(wǎng)，訪問網(wǎng)內(nèi)資源和使用相應(yīng)的應(yīng)用系統(tǒng)；2）獨(dú)立性能夠根據(jù)用戶的需要有選擇地對(duì)需要的業(yè)務(wù)數(shù)據(jù)進(jìn)行加密（采用 DES、3DES、MD5…） ，不需要加密的數(shù)據(jù)和 Inter接入業(yè)務(wù)可以不受到影響；3）網(wǎng)絡(luò)安全性（iptables，asa，isa，pix，acl）采用防火墻技術(shù)以提高網(wǎng)絡(luò)的安全性。硬件實(shí)現(xiàn)處理速度快、可靠性高、費(fèi)用較貴,而軟件實(shí)現(xiàn)則相對(duì)價(jià)格較低,同時(shí)便于版本升級(jí)和維護(hù)。ACL 是應(yīng)用在路由器接口的指令列表，這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。通過靈活地增加訪問控制列表，acl 可以當(dāng)作一種網(wǎng)絡(luò)控制的有力工具，用來過濾流入和流出路由器接口的數(shù)據(jù)包。在路由器的接口上配置訪問控制列表后，可以對(duì)入站接口、出站接口及通過路由器中繼的數(shù)據(jù)包進(jìn)行安全檢測。如未明確的為每一內(nèi)部系統(tǒng)和應(yīng)用進(jìn)行配置，則只允許單方向的連接（從內(nèi)部到外部） 。受防火墻保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部的網(wǎng)絡(luò)，而另一邊則稱為外部的網(wǎng)絡(luò)?？梢允褂?PIX防火墻來保護(hù)與管理內(nèi)部的網(wǎng)絡(luò)，它可以用于網(wǎng)絡(luò)的邊界（ perimeter） ，也可以用于連接網(wǎng)絡(luò)邊界與外部網(wǎng)絡(luò)的非軍事化區(qū)（DMZ .7Demilitarized Zone） 。PIX 允許從已有的專用網(wǎng)絡(luò)到 INTERNET的安全訪問，具有擴(kuò)展和重新配置 TCP/IP網(wǎng)絡(luò)而無需考慮 IP地址缺乏的能力。這種擴(kuò)展要求通常出現(xiàn)在網(wǎng)絡(luò)邊緣，由于用戶數(shù)目的增加，現(xiàn)有交換機(jī)端口數(shù)目不夠，需要進(jìn)行端口數(shù)目的擴(kuò)展 處理能力擴(kuò)展 處理能力是指交換機(jī)的數(shù)據(jù)轉(zhuǎn)發(fā)能力，一般是指三層轉(zhuǎn)發(fā)能力。隨著用戶業(yè)務(wù)的發(fā)展，業(yè)務(wù)數(shù)據(jù)流較大時(shí)，或?qū)I(yè)務(wù)數(shù)據(jù)流有較多的 QOS或安全策略時(shí)，交換機(jī)的轉(zhuǎn)發(fā)能力不足就會(huì)影響業(yè)務(wù)。由于桌面接入的主流都已經(jīng)是 100MB，而 100MB交換機(jī)的上聯(lián)端口通常為 1000MB，在滿負(fù)荷情況下，也才能滿足 10個(gè)端口的線速上聯(lián)，而現(xiàn)在交換機(jī)動(dòng)輒 24口，48 口，因此在某些情況下，需要進(jìn)行上聯(lián)帶寬的擴(kuò)展。同時(shí)，在網(wǎng)絡(luò)擴(kuò)展中，能夠保護(hù)原有設(shè)備的投資，不造成投資浪費(fèi)。5）網(wǎng)絡(luò)通信效率此次網(wǎng)絡(luò)建設(shè)所選用的設(shè)備具有很高的速率，不僅能滿足當(dāng)前用戶數(shù)量下的需求，也為將來的擴(kuò)展留有充分空間。 　　 標(biāo)準(zhǔn)化、層次化、模塊化和易擴(kuò)展的網(wǎng)絡(luò)系統(tǒng)：包括網(wǎng)絡(luò)的結(jié)構(gòu)、技術(shù)及產(chǎn)品。 　　 穩(wěn)定、可靠的網(wǎng)絡(luò)系統(tǒng)：網(wǎng)絡(luò)中單點(diǎn)故障不會(huì)使局部網(wǎng)絡(luò)失去與整個(gè)網(wǎng)絡(luò)的連接，多點(diǎn)故障不會(huì)造成整個(gè)網(wǎng)絡(luò)被分成幾個(gè)互不相連的部分。 .8　　 注重經(jīng)濟(jì)實(shí)用性的網(wǎng)絡(luò)系統(tǒng)：根據(jù)目前的需求和可預(yù)見的需求增長情況設(shè)計(jì)網(wǎng)絡(luò)，不追求空洞的技術(shù)先進(jìn)，避免追求高檔和最新技術(shù)花費(fèi)巨大代價(jià)。 　　 高安全性的網(wǎng)絡(luò)系統(tǒng)：系統(tǒng)的各環(huán)節(jié)均必須具有良好的抗電磁干擾特性，整個(gè)系統(tǒng)與外界的防火墻功能包括防火墻技術(shù)、PPP 技術(shù)及地址轉(zhuǎn)換、硬件加密、備份中心、Callback 等技術(shù)。 網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容及要求建設(shè)內(nèi)容：1．公司網(wǎng)絡(luò)的現(xiàn)在只適應(yīng)于小型公司的發(fā)展，拓?fù)湫枰匦碌囊?guī)劃。要求：、采用結(jié)構(gòu)化網(wǎng)絡(luò)根據(jù)企業(yè)的需求，把網(wǎng)絡(luò)設(shè)計(jì)成有層次和有結(jié)構(gòu)的同一體，即結(jié)構(gòu)化網(wǎng)絡(luò)。這樣的網(wǎng)絡(luò)結(jié)構(gòu)性強(qiáng)，層次清晰，整個(gè)系統(tǒng)的運(yùn)行和應(yīng)用既有各自的相對(duì)獨(dú)立性，又具有合理的數(shù)據(jù)流向、有層次和有結(jié)構(gòu)的統(tǒng)一體。(2)、網(wǎng)絡(luò)的可伸縮性和虛擬化網(wǎng)絡(luò)的虛擬化對(duì)于解決網(wǎng)絡(luò)中用戶應(yīng)隸屬于哪個(gè)小組級(jí)網(wǎng)絡(luò)、用戶應(yīng)經(jīng)常訪問哪些資源等問題提供了靈活的方法，使得用戶所在的物理位置和邏輯位置可以相互獨(dú)立。、網(wǎng)絡(luò)架構(gòu)的綜合分析：(1)、考慮整個(gè)方案的安全性和穩(wěn)定性，可管理型和維護(hù)性以及能夠滿足未來網(wǎng)絡(luò)發(fā)展的需求。(3)、實(shí)現(xiàn)公司電信、網(wǎng)通的雙出口的網(wǎng)絡(luò)提供線路負(fù)責(zé)均衡，同時(shí)為服務(wù)器開啟負(fù)載均衡功能，提高服務(wù)器的處理性能。這種鏈路提供全雙工操作，并按照順序傳遞數(shù)據(jù)包。 網(wǎng)絡(luò)設(shè)計(jì)原則作為一家優(yōu)秀的系統(tǒng)集成商，向用戶提供的不僅僅是設(shè)備，而是整套的技術(shù)與服務(wù)。并且安全措施能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改和升級(jí)。——安全措施需要公司人員去完成，如果措施過于復(fù)雜，對(duì)員工的要求過高，本身就降低了安全性措施的采用不影響系統(tǒng)的正常運(yùn)行。——我們將充分考慮到公司網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來發(fā)展趨勢(shì)，我們將建立一個(gè)可拓展的網(wǎng)絡(luò)，既滿足公司目前的使用，又能為未來公司的發(fā)展提供支持。針對(duì)安全體系的特性，我們可以采用統(tǒng)一規(guī)劃、分步實(shí)施的原則。網(wǎng)絡(luò)安全防范體系包含：物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全和安全管理。物理層的安全主要體現(xiàn)在通信線路的可靠性（線路備份、網(wǎng)管軟件、傳輸介質(zhì)） ，軟硬件設(shè)備安全性（替換設(shè)備、拆卸設(shè)備、增加設(shè)備） ，設(shè)備的備份，防災(zāi)害能力、防干擾能力，設(shè)備的運(yùn)行環(huán)境（溫度、濕度、煙塵） ，不間斷電源保障，等等。主要表現(xiàn)在三方面，一是操作系統(tǒng)本身的缺陷帶來的不安全因素，主要包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等。三是病毒對(duì)操作系統(tǒng)的威脅。4．應(yīng)用的安全性（應(yīng)用層安全） 　　該層次的安全問題主要由提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性產(chǎn)生，包括 Web服務(wù)、電子郵件系統(tǒng)、DNS 等。5．管理的安全性（管理層安全） 　　安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等。網(wǎng)絡(luò)安全是整體的、動(dòng)態(tài)的。安全設(shè)備不是指單一的某種安全設(shè)備，而是指幾種安全設(shè)備的綜合。所以，建立網(wǎng)絡(luò)安全系統(tǒng)不是一勞永逸的事情。第 3 章 網(wǎng)絡(luò)總體設(shè)計(jì) 網(wǎng)絡(luò)總體拓?fù)鋱D由于考慮到總公司的實(shí)際需求，我們給貴公司設(shè)計(jì)的方案是采用兩臺(tái)路由雙線接入負(fù)載均衡，都在路由端口上做nat轉(zhuǎn)換節(jié)約ip地址。用Cisco 專有熱備份路由協(xié)議技術(shù)，根據(jù)需求配置成多組HSRP；同時(shí)雙機(jī)還可以做負(fù)載均衡。如上圖所示，這是總部內(nèi)網(wǎng)的架構(gòu)，整體網(wǎng)絡(luò)可以根據(jù)功能劃分為總部核心網(wǎng)絡(luò)、內(nèi)聯(lián)接入包括辦公網(wǎng)絡(luò)，各部門相對(duì)獨(dú)立，通過核心網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的交互。.12在這里，我們對(duì)總公司的實(shí)際情況考慮，在總公司和分公司之間建立PPP專線連接，讓分公司和總司可以進(jìn)行安全的數(shù)據(jù)交換，對(duì)于虛擬分部（可擴(kuò)展），我們根據(jù)距離和施工的情況建立PPP專線或者VPN，來進(jìn)行對(duì)數(shù)據(jù)的保護(hù)和有效傳輸，對(duì)于在外出差員工我們用easyVPN的方式來讓外部員工進(jìn)行內(nèi)部連接 網(wǎng)絡(luò)層次化設(shè)計(jì)隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)絡(luò)需求量的不斷增長，分布式的網(wǎng)絡(luò)服務(wù)和交換已經(jīng)移至用戶級(jí)，由此形成了一個(gè)新的、更適應(yīng)現(xiàn)代的高速大型網(wǎng)絡(luò)的分層設(shè)計(jì)模型。多層網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)能最有效地利用多種業(yè)務(wù)，包括負(fù)載分擔(dān)和故障恢復(fù)等。多層模式使網(wǎng)絡(luò)的移植更為簡單易行，因?yàn)樗Ａ袅嘶诼酚善骱徒粨Q機(jī)的網(wǎng)絡(luò)原有的尋址方案，對(duì)以往的網(wǎng)絡(luò)有很好的兼容性。 核心層為網(wǎng)絡(luò)提供骨干組件或高速交換組件，高效速度傳輸是核心層的目標(biāo)。核心層具有如下幾個(gè)特性：高可靠性、提供冗余、提供容錯(cuò)、能夠迅速適應(yīng)網(wǎng)絡(luò)變化、低延時(shí)、可管理性良好、網(wǎng)絡(luò)直徑限定和網(wǎng)絡(luò)直徑一致。在一個(gè)層次化網(wǎng)絡(luò)中，應(yīng)該具有一致的網(wǎng)絡(luò)直徑。限定網(wǎng)絡(luò)的直徑，能夠提供可預(yù)見的性能，.13排除故障也容易一些。在核心層中，網(wǎng)絡(luò)的控制功能最好盡量少在骨干層上實(shí)施。核心層設(shè)備將占投資的主要部分。因?yàn)楹诵膶邮蔷W(wǎng)絡(luò)的樞紐部分，網(wǎng)絡(luò)流量最大，因此需要提供高帶寬。匯聚層完成網(wǎng)絡(luò)訪問的策略控制、廣播域的定義、VLAN間的路由、數(shù)據(jù)包處理、過濾尋址及其他數(shù)據(jù)處理的任務(wù)。 匯聚層是連接接入層和核心層的網(wǎng)絡(luò)設(shè)備,為接入層提供數(shù)據(jù)的匯聚\傳輸\管理\分,如地址合并,協(xié)議過濾,路由服務(wù),認(rèn)證管理(如VLAN)聚層同時(shí)也可以提供接入層虛擬網(wǎng)之間的互連,控制和限制接入層對(duì)核心層的訪問,保證核心層的安全和穩(wěn)定。 匯聚層設(shè)備一般采用可管理的三層交換機(jī)或堆疊式交換機(jī)以達(dá)到帶寬和傳輸性能的要求。匯聚層設(shè)備之間以及匯聚層設(shè)備與核心層設(shè)備之間多采用光纖互聯(lián)，以提高系統(tǒng)的傳輸性能和吞吐量。在匯聚層實(shí)現(xiàn)安全控制和身份認(rèn)證時(shí)，采用的是集中式的管理模式。 接入層向本地網(wǎng)段提供用戶接入、主要提供網(wǎng)絡(luò)分段、廣播能力、多播能力、介質(zhì)訪問的安全性、MAC地址的過濾和路由發(fā)現(xiàn)等任務(wù)。接入層目的是允許終端用戶連接到網(wǎng)絡(luò)，因此在接入層我們將采用具有低成本和高端口密度特性的交換機(jī)。在傳輸.14速度上，現(xiàn)代接入交換機(jī)大都提供多個(gè)具有10M/100M/1000M自適應(yīng)能力的端口。當(dāng)然我們也應(yīng)該考慮端口密度的問題接入層由無線網(wǎng)卡、AP和L2Switch組成，按照寬帶網(wǎng)絡(luò)的定義，接入層的主要功能是完成用戶流量的接入和隔離?！　〗尤雽咏粨Q機(jī)一般用于直接連接電腦，具有低成本和高端口密度特性。接入層交換機(jī)端口的output 指交換機(jī)端口向服務(wù)器傳輸?shù)臄?shù)據(jù)，即是服務(wù)器收到的數(shù)據(jù)。我們推薦使用Cisco Catalyst 3750三臺(tái)三層交換機(jī)為網(wǎng)絡(luò)提供可靠、高速、安全的服務(wù)。這個(gè)產(chǎn)品系列采用了最新的思科StackWise智能堆疊技術(shù)，不但實(shí)現(xiàn)高達(dá)32Gbps的堆疊互聯(lián)，還從物理上到邏輯上使若干獨(dú)立交換機(jī)在堆疊時(shí)集成在一起，便于用戶建立一個(gè)統(tǒng)一、高度靈活的交換系統(tǒng) 就好像是一整臺(tái)交換機(jī)一樣。3750系列最多可以將9個(gè)交換機(jī)堆疊在一起，構(gòu)成一個(gè)統(tǒng)一的邏輯單元，其中總共包含468個(gè)以太網(wǎng)或以太網(wǎng)供電10/100端口或者252個(gè)以太網(wǎng)10/100/1000端口、或9個(gè)10GB以太網(wǎng)端口。3750系列可以使用標(biāo)準(zhǔn)多層軟件鏡像（SMI）或者增強(qiáng)多層軟件鏡像（EMI）。EMI可以提供一組更加豐富的企業(yè)級(jí)功能，包括先進(jìn)的、基于硬件的IP單播和組播路由。接入層交換機(jī)一般用于直接連接辦公系統(tǒng)，具有低成本和高端口密度特性。接入層交換機(jī)端口的 output 指交換機(jī)端口向服務(wù)器傳輸?shù)臄?shù)據(jù)，即是服務(wù)器收到的數(shù)據(jù)。接入層是最終用戶(員工) 與網(wǎng)絡(luò)的接口，它應(yīng)該提供即插即用的特性，同時(shí)應(yīng)該非常易于使用和維護(hù)。 內(nèi)聯(lián)接入內(nèi)聯(lián)接入的作用是用于連接北京總部和北京分部。由于總部網(wǎng)絡(luò)和分部機(jī)房屬于公司的內(nèi)部網(wǎng)絡(luò)的一部分，因此我們將著重重視數(shù)據(jù)的安全性、可靠性。第4章 路由設(shè)計(jì) 路由協(xié)議選擇OSPF全稱為開放式最短路徑優(yōu)先協(xié)議（Open ShortestPath First），OSPF采用鏈路狀態(tài)協(xié)議算法，每個(gè)路由器維護(hù)一個(gè)相同的鏈路狀態(tài)數(shù)據(jù)庫，保存整個(gè)AS的拓?fù)浣Y(jié)構(gòu)。對(duì)于大型的網(wǎng)絡(luò)，為了進(jìn)一步減少路由協(xié)議通信流量，利于管理和計(jì)算，OSPF將整個(gè)AS劃分為若干個(gè)區(qū)域，區(qū)域內(nèi)的路由器維護(hù)一個(gè)相同的鏈路狀態(tài)數(shù)據(jù)庫，保存該區(qū)域的拓?fù)浣Y(jié)構(gòu)。.16 路由規(guī)劃拓?fù)鋱D IP 地址規(guī)劃標(biāo)識(shí)網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)。我們根據(jù)以下幾個(gè)原則來分配IP 地址：唯一性：一個(gè)IP 網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP 地址簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表的款項(xiàng)連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路由總結(jié)(RouterSummarization)，大大縮減路由表，提高路由算法的效率可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址總結(jié)所需的連續(xù)性靈活性：地址分配應(yīng)具有靈活性，可借助可變長子網(wǎng)掩碼技術(shù)(VLSM VariableLength Sub Mask)，以滿足多種路由策略的優(yōu)化，充分利用地址空間。 防 止 來 自 網(wǎng) 絡(luò) 外 界 的 入 侵 就要 在 網(wǎng) 絡(luò) 邊 界 上 建 立 可 靠 的 安 全 防 御 措 施 。一 般 來 說 網(wǎng) 絡(luò) 邊 界 上 的 安 全 問 題 主 要 有 下 面 幾 個(gè) 方 面 ：、 信 息 泄 密 ： 網(wǎng) 絡(luò) 上 的 資 源 是 可 以 共 享 的 ， 但 沒 有 授 權(quán) 的 人 得 到 了 他 不 該 得 到的 資 源 ， 信 息 就 泄 露 了 。、 入 侵 者 的 攻 擊 ： 互 聯(lián) 網(wǎng) 是 世 界 級(jí) 的 大 眾 網(wǎng) 絡(luò) ， 網(wǎng) 絡(luò) 上 有 各 種 勢(shì) 力 與 團(tuán) 體 。我 們 給 貴 公 司 設(shè) 計(jì) 的 pix 防 火 墻 能 設(shè) 計(jì) 策 略 ， 規(guī) 定 可 以 訪 問 的 服 務(wù) ， 哪 些 人 可 以訪 問 ， 防 止 一 些 不 必 要 的 入 侵 攻 擊 。這 是 “無 對(duì) 手 ”、 “無 意 識(shí) ”的 攻 擊 行 為