網(wǎng)絡(luò)工程畢業(yè)設(shè)計(jì)--公司網(wǎng)絡(luò)設(shè)計(jì)方案

1、<p>　　LANZHOU UNIVERSITY OF TECHNOLOGY</p><p><b>　　畢業(yè)設(shè)計(jì)</b></p><p>　　題 目 華迪信息技術(shù)有限公司網(wǎng)絡(luò)設(shè)計(jì)方案</p><p>　　學(xué)生姓名 *** </p><p>　　學(xué) 號(hào) *** </p>

2、<p>　　專業(yè)班級(jí) 09級(jí)計(jì)算機(jī)科學(xué)與技術(shù)（1）班 </p><p>　　指導(dǎo)教師 </p><p>　　學(xué) 院 計(jì)算機(jī)與通信學(xué)院 </p><p>　　答辯日期 2013.6.11 </p><p>　　華迪信息技術(shù)有限公司網(wǎng)絡(luò)設(shè)計(jì)方案</p><p>　　Hwa

3、dee information technology limited company of network design</p><p><b>　　摘要</b></p><p>　　現(xiàn)今的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)飛速發(fā)展，使用網(wǎng)絡(luò)進(jìn)行信息傳輸已成為社會(huì)運(yùn)行的一種基本方式。隨著辦公信息化、自動(dòng)化的需求，各單位為提高辦公效率，促進(jìn)信息交流，適應(yīng)現(xiàn)代化辦公的要求，需要組建企業(yè)辦公局

4、域網(wǎng)。組建企業(yè)局域網(wǎng)所涉及的方方面面很多，首先需要一個(gè)正確的設(shè)計(jì)規(guī)劃，然后需要處理布線、網(wǎng)絡(luò)設(shè)備選型與配置、服務(wù)器設(shè)備選型與配置、網(wǎng)絡(luò)軟件的安裝等方面，這都需要按部就班的逐一實(shí)現(xiàn)，最后還需要進(jìn)行正常的日常維護(hù)，本設(shè)計(jì)就如何規(guī)劃和設(shè)計(jì)企業(yè)局域網(wǎng)進(jìn)行淺述。</p><p>　　本設(shè)計(jì)首先從總體上對(duì)公司網(wǎng)絡(luò)建設(shè)的基本需求進(jìn)行了分析研究，確定企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、綜合布線設(shè)計(jì)原則、中心機(jī)房規(guī)劃與設(shè)計(jì)、網(wǎng)絡(luò)設(shè)備選擇等。從各個(gè)方

5、面對(duì)企業(yè)局域網(wǎng)建設(shè)提出了規(guī)劃的方案，以期對(duì)企業(yè)局域網(wǎng)的建設(shè)做出貢獻(xiàn)。本畢業(yè)設(shè)計(jì)課題將主要以華迪公司網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)過程可能用到的各種技術(shù)及實(shí)施方案為設(shè)計(jì)方向，為公司網(wǎng)的建設(shè)提供理論依據(jù)和實(shí)踐指導(dǎo)。</p><p>　　關(guān)鍵詞：企業(yè)局域網(wǎng)；網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；綜合布線；VLAN；防火墻</p><p><b>　　Abstract</b></p><p>

6、;　　The current rapid development of computer network technology,the use of information transmission network has become a basic way of operation.With the office of information and automation needs of various units to impr

7、ove the office efficiency and facilitate the exchange of information，to adapt to modern office requirements,the need for organizing enterprise office LAN. A lot of organizing enterprise LAN aspects involved,first of all

8、need a proper design and planning,and then have to deal with ca</p><p>　　In this paper,The first design the basic demand of construction company network from the overall analysis, determine the enterprise ne

9、twork topology structure, integrated wiring design principles, center room planning and design, network equipment selection. From the aspects of the planning and construction scheme of enterprise LAN, in order to contrib

10、ute to the construction of enterprise LAN, Various technical and implementation scheme of the graduation design task will be mainly Hwadee network</p><p>　　KeyWords:Enterprise:LAN;Network;topology;structure;

11、Integratedwiring;VLAN;Firewall</p><p><b>　　目錄</b></p><p><b>　　摘要I</b></p><p>　　AbstractII</p><p>　　第一章 公司描述1</p><p>　　第二章 需求分析3

12、</p><p>　　2.1 現(xiàn)有狀況和新需求3</p><p>　　2.2 系統(tǒng)設(shè)計(jì)原則3</p><p>　　2.3 網(wǎng)絡(luò)建設(shè)需求5</p><p>　　2.3.1硬件需求5</p><p>　　2.3.2軟件需求6</p><p>　　2.4 互聯(lián)網(wǎng)接入要求6</p>

13、;<p>　　2.5 服務(wù)器要求6</p><p>　　2.6 網(wǎng)絡(luò)管理與安全要求6</p><p><b>　　2.7 QoS8</b></p><p>　　2.8 可行性分析8</p><p>　　第三章 總體方案設(shè)計(jì)9</p><p>　　3.1 網(wǎng)絡(luò)邏輯方案設(shè)計(jì)9

14、</p><p>　　3.2 關(guān)鍵技術(shù)構(gòu)思設(shè)計(jì)10</p><p>　　3.2.1雙核心熱冗余備份設(shè)計(jì)10</p><p>　　3.2.2鏈路匯聚技術(shù)11</p><p>　　3.2.4VLAN劃分技術(shù)11</p><p>　　3.2.5VPN技術(shù)12</p><p>　　第四章 詳細(xì)

15、方案設(shè)計(jì)14</p><p>　　4.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)14</p><p>　　4.1.1網(wǎng)絡(luò)拓?fù)鋱D及設(shè)計(jì)說明14</p><p>　　4.1.2主要設(shè)備選型說明15</p><p>　　4.2 綜合布線設(shè)計(jì)24</p><p>　　4.2.1工作區(qū)子系統(tǒng)設(shè)計(jì)介紹25</p><p>

16、　　4.2.2水平干線子系統(tǒng)設(shè)計(jì)介紹25</p><p>　　4.2.3管理子系統(tǒng)設(shè)計(jì)介紹26</p><p>　　4.2.4垂直主干線子系統(tǒng)設(shè)計(jì)介紹26</p><p>　　4.2.5設(shè)備間子系統(tǒng)設(shè)計(jì)介紹27</p><p>　　4.2.6建筑群子系統(tǒng)設(shè)計(jì)介紹27</p><p>　　4.3 冗余設(shè)計(jì)28

17、</p><p>　　4.1 網(wǎng)絡(luò)中心機(jī)房規(guī)劃與設(shè)計(jì)29</p><p>　　4.5 系統(tǒng)與應(yīng)用軟件的選型與設(shè)計(jì)31</p><p>　　4.6 無線補(bǔ)充網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)32</p><p>　　第五章 VLAN、IP劃分方案33</p><p>　　5.1 Vlan、Ip技術(shù)介紹33</p>&l

18、t;p>　　5.1.1地址規(guī)劃和分配原則33</p><p>　　5.1.2劃分VLAN的作用及原則35</p><p>　　5.2 VLAN、IP劃分方案（VLSM/CIDR）36</p><p>　　第六章 網(wǎng)絡(luò)管理與安全方案37</p><p>　　6.1 網(wǎng)絡(luò)管理方案37</p><p>　　6

19、.2 網(wǎng)絡(luò)安全方案38</p><p>　　第七章 測(cè)試與驗(yàn)收40</p><p>　　7.1 測(cè)試目標(biāo)及其驗(yàn)收標(biāo)準(zhǔn)40</p><p>　　7.1.1測(cè)試方式40</p><p>　　7.1.2測(cè)試指標(biāo)41</p><p>　　7.2 網(wǎng)絡(luò)系統(tǒng)的試運(yùn)行41</p><p>　　7.

20、3 網(wǎng)絡(luò)系統(tǒng)的驗(yàn)收41</p><p>　　7.4 網(wǎng)絡(luò)交接與維護(hù)42</p><p>　　7.4.1網(wǎng)絡(luò)系統(tǒng)交接42</p><p>　　7.4.2網(wǎng)絡(luò)系統(tǒng)維護(hù)42</p><p>　　第八章 項(xiàng)目預(yù)算43</p><p>　　8.1 布線材料清單及報(bào)價(jià)43</p><p>　　8

21、.2 網(wǎng)絡(luò)設(shè)備清單及報(bào)價(jià)44</p><p><b>　　設(shè)計(jì)總結(jié)47</b></p><p><b>　　參考文獻(xiàn)48</b></p><p>　　附錄一 英文資料原文49</p><p>　　附錄二 英文資料譯文49</p><p><b>　　致謝

22、62</b></p><p><b>　　公司描述</b></p><p>　　華迪信息技術(shù)有限公司位于四川省成都郫縣，是一家以培訓(xùn)為主，軟件研發(fā)為輔的中小企業(yè)，占地約1000畝，公司員工約100人左右，培訓(xùn)學(xué)生600人左右。下面是公司的物理位置分布圖，如圖1.1所示：</p><p>　　圖1.1 華迪物理區(qū)域圖</p>

23、;<p>　　四川華迪信息技術(shù)有限公司新建大樓包括教學(xué)區(qū)和辦公區(qū)，旁邊有一座學(xué)生公寓，另洛陽分公司和重慶公公司（辦事處）通過電信專線連入成都總部，本設(shè)計(jì)主要設(shè)計(jì)成都的網(wǎng)絡(luò)方案。四川華迪網(wǎng)絡(luò)包括3個(gè)區(qū)域，其中辦公樓包括80個(gè)數(shù)據(jù)點(diǎn)，80個(gè)語音點(diǎn)，宿舍區(qū)包括150個(gè)數(shù)據(jù)點(diǎn)，150個(gè)語音點(diǎn)，教學(xué)樓包括480個(gè)數(shù)據(jù)點(diǎn)，50個(gè)語音點(diǎn)。下表1.1是公司的信息點(diǎn)分布情況：</p><p>　　表1.1 華迪公司信

24、息點(diǎn)分布表</p><p><b>　　需求分析</b></p><p>　　2.1 現(xiàn)有狀況和新需求</p><p>　　成都華迪是一家集計(jì)算機(jī)培訓(xùn)、軟件研發(fā)、電子政務(wù)的中小企業(yè)，原始的網(wǎng)絡(luò)設(shè)備陳舊且破損嚴(yán)重，寬帶速度低，網(wǎng)絡(luò)故障頻發(fā)，并且許多應(yīng)用軟件效率低，與新的PC系統(tǒng)兼容性差，嚴(yán)重阻礙了公司業(yè)務(wù)的發(fā)展，使公司在市場(chǎng)競(jìng)爭(zhēng)中處于不利地位。為

25、了加快公司信息化建設(shè)，新的企業(yè)網(wǎng)將建設(shè)一個(gè)以辦公自動(dòng)化、電子商務(wù)、業(yè)務(wù)綜合管理、多媒體視頻會(huì)議、遠(yuǎn)程通訊、信息發(fā)布及網(wǎng)絡(luò)教學(xué)為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)，將公司的的各種辦公室、多媒體會(huì)議室、PC終端設(shè)備、應(yīng)用系統(tǒng)通過網(wǎng)絡(luò)連接起來，實(shí)現(xiàn)內(nèi)、外溝通的現(xiàn)代化計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。該網(wǎng)絡(luò)系統(tǒng)是支持辦公自動(dòng)化、財(cái)務(wù)管理、ERP以及各應(yīng)用系統(tǒng)運(yùn)行的基礎(chǔ)設(shè)施，為了確保這些關(guān)鍵應(yīng)用系統(tǒng)的正常運(yùn)行、安全和發(fā)展，系統(tǒng)必須具備如下的特性：<

26、;/p><p>　　1、公司網(wǎng)要求采用千兆以太網(wǎng)主干交換機(jī)，10M/100M交換到桌面。結(jié)構(gòu)化的綜合布線，采用先進(jìn)穩(wěn)定的設(shè)備，保證教學(xué)和辦公的網(wǎng)速流暢。提供一套可監(jiān)控，易管理，可擴(kuò)展，易升級(jí)的高效網(wǎng)絡(luò)系統(tǒng)。建成的網(wǎng)絡(luò)留有冗余，滿足企業(yè)今后對(duì)網(wǎng)絡(luò)發(fā)展的需求，</p><p>　　2、主流的軟件應(yīng)用系統(tǒng)，包括財(cái)務(wù)系統(tǒng)、多媒體教學(xué)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、自動(dòng)化辦公系統(tǒng)等。</p><p

27、>　　2.2 系統(tǒng)設(shè)計(jì)原則</p><p>　　系統(tǒng)設(shè)計(jì)原則需要滿足以下要求：</p><p>　　統(tǒng)一性：網(wǎng)絡(luò)要統(tǒng)一規(guī)劃，分步實(shí)施，便于網(wǎng)絡(luò)管理。</p><p>　　完整性：整個(gè)網(wǎng)絡(luò)的系統(tǒng)功能、數(shù)據(jù)安全、網(wǎng)絡(luò)管理等方面應(yīng)有充分的保證。</p><p>　　實(shí)用性：當(dāng)今世界計(jì)算機(jī)和通信技術(shù)處于高速發(fā)展階段，新的技術(shù)和新的產(chǎn)品不斷的出現(xiàn)

28、，但是一些新的技術(shù)和設(shè)備往往存在不成熟和不完善等問題，需要在使用過程中不斷的完善，但給用戶帶來的問題將是：系統(tǒng)不穩(wěn)定、不可靠，存在安全隱患，而且造成了大量不必要的資金浪費(fèi)，運(yùn)行和維護(hù)費(fèi)用大大增加。所以本系統(tǒng)在充分滿足系統(tǒng)應(yīng)用需求的前提下，應(yīng)采用先進(jìn)的、成熟的、實(shí)用性強(qiáng)的技術(shù)和產(chǎn)品，不盲目的追求設(shè)備的高檔、技術(shù)的超前。以免造成不必要的資金浪費(fèi)，從而使系統(tǒng)具有較強(qiáng)的實(shí)用性。</p><p>　　可靠性與有效性：網(wǎng)絡(luò)系

29、統(tǒng)作為其他應(yīng)用系統(tǒng)的基礎(chǔ)，如發(fā)生系統(tǒng)癱瘓，其造成的損失是難以估量的，因此系統(tǒng)必須可靠地連續(xù)運(yùn)行，即系統(tǒng)設(shè)計(jì)必須從系統(tǒng)結(jié)構(gòu)、設(shè)計(jì)方案、設(shè)備選擇、廠商的技術(shù)服務(wù)與維修響應(yīng)能力、設(shè)備備件供應(yīng)能力等方面考慮，使故障發(fā)生的可能性盡可能少，影響面盡可能小.它應(yīng)該能實(shí)現(xiàn)內(nèi)部辦公事務(wù)和外部事務(wù)處理的整合。</p><p>　　適應(yīng)性：用戶信息網(wǎng)站應(yīng)采用大型關(guān)系數(shù)據(jù)庫,模塊化等先進(jìn)成熟的技術(shù)方法,在給用戶提供了極大的靈活性的同時(shí),

30、也有效地保證了系統(tǒng)的可靠性。</p><p>　　可擴(kuò)展性：由于計(jì)算機(jī)和通信技術(shù)的不斷發(fā)展，用戶的需求也在隨著時(shí)間的推移不斷的發(fā)生變化，以及由于應(yīng)用軟件種類和業(yè)務(wù)數(shù)量的增加，功能的強(qiáng)化，系統(tǒng)軟件的升級(jí)將對(duì)主機(jī)和網(wǎng)絡(luò)系統(tǒng)提出更高的要求，網(wǎng)絡(luò)構(gòu)造應(yīng)具有高度的擴(kuò)展性,以降低系統(tǒng)擴(kuò)充的投入成本,并滿足信息技術(shù)高速發(fā)展的需要.能適應(yīng)2-3年內(nèi)的業(yè)務(wù)增長和突發(fā)性事件的需要,確保各級(jí)系統(tǒng)的可擴(kuò)充性和先進(jìn)性,并注意設(shè)備的冗余設(shè)計(jì)

31、以及網(wǎng)絡(luò)的負(fù)載均衡。</p><p>　　安全性：信息安全是企業(yè)信息網(wǎng)實(shí)施的第一要素,網(wǎng)絡(luò)系統(tǒng)不但要能夠?qū)崿F(xiàn)功能,更重要的是要穩(wěn)定安全. 因此,應(yīng)采取如下技術(shù)以增強(qiáng)網(wǎng)絡(luò)的安全性:設(shè)備的安全性,應(yīng)用級(jí)的安全性,網(wǎng)絡(luò)級(jí)的安全性,數(shù)據(jù)級(jí)的安全性。合理的網(wǎng)絡(luò)安全控制，可以使應(yīng)用環(huán)境中的信息資源得到有效的保護(hù)可以有效的控制網(wǎng)絡(luò)的訪問，靈活的實(shí)施網(wǎng)絡(luò)的安全控制策略。在企業(yè)園區(qū)網(wǎng)絡(luò)中，關(guān)鍵應(yīng)用服務(wù)器、核心網(wǎng)絡(luò)設(shè)備，只有系統(tǒng)管理

32、人員才有操作、控制的權(quán)力。應(yīng)用客戶端只有訪問共享資源的權(quán)限，網(wǎng)絡(luò)應(yīng)該能夠阻止任何的非法操作。在園區(qū)網(wǎng)絡(luò)設(shè)備上應(yīng)該可以進(jìn)行基于協(xié)議、基于Mac地址、基于IP地址的包過濾控制功能。在大規(guī)模園區(qū)網(wǎng)絡(luò)的設(shè)計(jì)上，劃分虛擬子網(wǎng)，一方面可以有效的隔離子網(wǎng)內(nèi)的大量廣播，另一方面隔離網(wǎng)絡(luò)子網(wǎng)間的通訊，控制了資源的訪問權(quán)限，提高了網(wǎng)絡(luò)的安全性。在設(shè)計(jì)園區(qū)網(wǎng)的原則上必須強(qiáng)調(diào)網(wǎng)絡(luò)安全控制能力，使網(wǎng)絡(luò)可以任意連接，又可以從第二層、第三層控制網(wǎng)絡(luò)的訪問。</

33、p><p>　　可管理性：網(wǎng)絡(luò)中的任何設(shè)備均可以通過網(wǎng)絡(luò)管理平臺(tái)進(jìn)行控制，網(wǎng)絡(luò)的設(shè)備狀態(tài)，故障報(bào)警等都可以通過網(wǎng)管平臺(tái)進(jìn)行監(jiān)控，通過網(wǎng)絡(luò)管理平臺(tái)簡化管理工作，提高網(wǎng)絡(luò)管理的效率。在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)，選擇先進(jìn)的網(wǎng)絡(luò)管理軟件是必不可少的。網(wǎng)絡(luò)管理軟件應(yīng)用于網(wǎng)絡(luò)的設(shè)備配置，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)表示，網(wǎng)絡(luò)設(shè)備的狀態(tài)顯示，網(wǎng)絡(luò)設(shè)備的故障事件報(bào)警，網(wǎng)絡(luò)流量統(tǒng)計(jì)分析以及計(jì)費(fèi)等。網(wǎng)管軟件的應(yīng)用可以提高網(wǎng)絡(luò)管理的效率，減輕網(wǎng)絡(luò)管理人員的負(fù)擔(dān)。網(wǎng)

34、絡(luò)管理的目標(biāo)是實(shí)現(xiàn)零管理，基于策略的管理方式，網(wǎng)絡(luò)管理是通過制定統(tǒng)一的策略，由管理策略服務(wù)器進(jìn)行全局控制的。基于Web的網(wǎng)管界面，是網(wǎng)管軟件的發(fā)展趨勢(shì)，靈活的操作方式簡化了管理人員的工作。在設(shè)計(jì)園區(qū)網(wǎng)的設(shè)備選擇上，要求網(wǎng)絡(luò)設(shè)備支持標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理協(xié)議SNMP，同時(shí)支持RMON/RMONII協(xié)議，核心設(shè)備要求支持 RAP (遠(yuǎn)程分析端口) 協(xié)議，實(shí)施充分的網(wǎng)絡(luò)管理功能。在設(shè)計(jì)園區(qū)網(wǎng)的原則上應(yīng)該要求設(shè)備的可管理性，同時(shí)先進(jìn)的網(wǎng)管軟件可以支持網(wǎng)

35、絡(luò)維護(hù)、監(jiān)控、配置等功能。</p><p>　　經(jīng)濟(jì)性：在充分滿足系統(tǒng)應(yīng)用需求的前提下，應(yīng)采用先進(jìn)的，成熟的，實(shí)用性強(qiáng)的技術(shù)和產(chǎn)品，不盲目追求設(shè)備的高檔，技術(shù)的超前，以免造成不必要的資金浪費(fèi)，從而使系統(tǒng)具有較強(qiáng)的經(jīng)濟(jì)性，采用性價(jià)比高的方案，盡可能降低造價(jià)，實(shí)現(xiàn)最優(yōu)的性能價(jià)格比。</p><p>　　標(biāo)準(zhǔn)性：滿足最新、最高的布線系統(tǒng)標(biāo)準(zhǔn)（如國家標(biāo)準(zhǔn)：CECS 72:97和CECS 89:97

36、、國際標(biāo)準(zhǔn)：ISO/IEC 11801、歐洲標(biāo)準(zhǔn)：EN50173等），本方案要求可滿足目前最新的6類的技術(shù)標(biāo)準(zhǔn)（草案）的要求。</p><p>　　2.3 網(wǎng)絡(luò)建設(shè)需求</p><p>　　網(wǎng)絡(luò)在日常辦公環(huán)境中起著至關(guān)重要的作用，企業(yè)網(wǎng)的運(yùn)作模式會(huì)帶來大量動(dòng)態(tài)的www應(yīng)用數(shù)據(jù)傳輸，這就要求網(wǎng)絡(luò)有足夠的主干帶寬和擴(kuò)展能力。同時(shí)，一些新的應(yīng)用類型，如網(wǎng)絡(luò)教學(xué)、視頻直播/廣播、文件共享等，也對(duì)網(wǎng)

37、絡(luò)提出了支持多點(diǎn)廣播和寬帶高速接入的要求。中心機(jī)房到匯聚層節(jié)點(diǎn)采用4兆光纖（多模）連接，匯聚層到接入層采用百兆的五類線（或者超五類）連接。有了硬件的強(qiáng)硬支持，軟件的穩(wěn)定可靠是網(wǎng)絡(luò)的靈魂。</p><p><b>　　2.3.1硬件需求</b></p><p>　　華迪主樓包括教學(xué)區(qū)和辦公區(qū)，華迪公司中心機(jī)房位于教學(xué)區(qū)一樓配線間，通過光纜與其他配線間相連。主干1000M

38、帶寬，以100M接入到工作臺(tái)桌面；整個(gè)華迪信息公司大樓分為左右兩半部份，左右兩部份相距150米，采用光纖連接。學(xué)生公寓和華迪主樓通過光纖（500m）相連；中心采用三層交換機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)交換路由，可采用千兆光模塊。</p><p>　　硬件是華迪總部所使用的設(shè)備，在能滿足所有系統(tǒng)的要求的前提下，采用先進(jìn)、成熟、完善、實(shí)用性強(qiáng)的技術(shù)和產(chǎn)品，不盲目追求設(shè)備的高檔，以及技術(shù)的超前。選擇符合需求的服務(wù)器、交換機(jī)、路由器、防火墻

39、等網(wǎng)絡(luò)設(shè)備，以及線纜、機(jī)柜、等綜合布線設(shè)備，必須符合系統(tǒng)設(shè)計(jì)原則。</p><p><b>　　2.3.2軟件需求</b></p><p>　　主機(jī)系統(tǒng)應(yīng)采用國際上較新的主流技術(shù)，并具有良好的向后擴(kuò)展能力。系統(tǒng)具有高的可靠性和有效性,能長時(shí)間連續(xù)工作，并有糾錯(cuò)措施.支持通用型數(shù)據(jù)庫，如sql、oracle等.具有廣泛的軟件支持,軟件兼容性好，并應(yīng)支持多種傳輸協(xié)議。能與

40、Internet互聯(lián),可提供互聯(lián)網(wǎng)的應(yīng)用。如WWW瀏覽服務(wù),FTP文件傳輸服務(wù)，E-email電子郵件服務(wù)等服務(wù)。應(yīng)支持SNMP網(wǎng)絡(luò)管理協(xié)議,具有良好的可管理性和可維護(hù)性。</p><p>　　2.4 互聯(lián)網(wǎng)接入要求</p><p>　　互聯(lián)網(wǎng)接入是通過特定的信息采集與共享的傳輸通道，利用電話線撥號(hào)接入（PSTN）、ISDN、xDSL、光纖寬帶接入等接入傳輸技術(shù)完成用戶與IP廣域網(wǎng)的高帶寬

41、、高速度的物理連接。華迪公司為了構(gòu)建辦公網(wǎng)絡(luò)，合理控制辦公用戶互聯(lián)網(wǎng)接入與訪問，同時(shí)滿足費(fèi)用實(shí)惠，傳輸性能可靠的需求，外網(wǎng)要求通過硬件防火墻接入，在成都這一區(qū)域通過租用電信部門的FR/DDN專線接入，移動(dòng)用戶通過虛擬專有網(wǎng)絡(luò)(VPN)接入華迪總公司辦公區(qū)。</p><p><b>　　2.5 服務(wù)器要求</b></p><p>　　一臺(tái)OA服務(wù)器，一臺(tái)FTP服務(wù)器，一

42、臺(tái)系統(tǒng)管理服務(wù)器（DHCP/DNS/WINS），一臺(tái)外網(wǎng)WEB服務(wù)器（可兼做外網(wǎng)VPN訪問），兩臺(tái)ERP數(shù)據(jù)庫服務(wù)器（雙機(jī)熱備）。服務(wù)器可根據(jù)需要配置成性能好普通主機(jī)，以節(jié)約成本?？梢?*24小時(shí)不間斷為公司提供服務(wù)。</p><p>　　2.6 網(wǎng)絡(luò)管理與安全要求</p><p>　　網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄

43、露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全主要表現(xiàn)在以下幾個(gè)方面：網(wǎng)絡(luò)的物理安全、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全、網(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用系統(tǒng)安全和網(wǎng)絡(luò)管理的安全等。華迪公司屬于園區(qū)網(wǎng)，安全需求有自己的獨(dú)特性和普遍性。先進(jìn)的設(shè)備需要有管理及維護(hù)的相關(guān)保障，才能為公司的穩(wěn)定、高效的運(yùn)作，減少不必要的麻煩，提高辦公、教學(xué)和通信的效率，在選擇設(shè)備和產(chǎn)品時(shí)，本方案盡量選擇同一個(gè)且在同行中具有較高影響力的廠家（Cisco公司產(chǎn)品），這樣即方便管理，又為以后

44、的擴(kuò)充及維護(hù)帶來便利，同時(shí)還具有較高的可靠性和安全性。</p><p><b>　　硬件實(shí)體的安全</b></p><p>　　網(wǎng)絡(luò)系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網(wǎng)絡(luò)工程的設(shè)計(jì)和施工中，必須優(yōu)先考慮保護(hù)人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動(dòng)力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的

45、安全；必須建設(shè)防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須考慮計(jì)算機(jī)及其他弱電耐壓設(shè)備的防雷。總體來說物理安全的風(fēng)險(xiǎn)主要有，地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機(jī)多冗余的設(shè)計(jì)；機(jī)房環(huán)境及報(bào)警系統(tǒng)、安全意識(shí)等，因此要注意這些安全隱患，同時(shí)還要盡量避免網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)。</p><p>　　物理措施：例如，保護(hù)網(wǎng)絡(luò)關(guān)鍵設(shè)備(如交換機(jī)、大型計(jì)

46、算機(jī)等)，制定嚴(yán)格的網(wǎng)絡(luò)安全規(guī)章制度，采取防輻射、防火以及安裝不間斷電源（UPS）等措施。</p><p>　　應(yīng)用系統(tǒng)和操作平臺(tái)的安全</p><p>　　訪問控制：對(duì)用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。例如，在交換機(jī)路由器上進(jìn)行用戶身份認(rèn)證，對(duì)口令加密、更新和鑒別，設(shè)置用戶訪問目錄和文件的權(quán)限，控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限等等。</p><p>　　數(shù)據(jù)加密：

47、加密是保護(hù)數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止計(jì)算機(jī)網(wǎng)絡(luò)病毒，安裝網(wǎng)絡(luò)防病毒系統(tǒng)。</p><p>　　漏洞掃描系統(tǒng)：采用最先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。</p><p>　　部署IDS入侵檢測(cè)系統(tǒng)：為信息系統(tǒng)提供安全體系管理、監(jiān)控，

48、渠護(hù)及緊急情況服務(wù)。</p><p>　　部署防火墻：在防火墻上設(shè)置ACL（訪問控制列表），禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抗擊來自各種路線的攻擊。在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報(bào)警，網(wǎng)絡(luò)管理員必須審計(jì)并記錄所有通過防火墻的重要信息。</p><p>　　網(wǎng)絡(luò)版殺毒產(chǎn)品部署：安裝市場(chǎng)主流的殺毒軟件，阻止病毒在網(wǎng)內(nèi)感染、傳播和發(fā)作。</p><p>

49、;　　網(wǎng)絡(luò)上網(wǎng)行為管理：網(wǎng)絡(luò)安全最重要的還是要思想上高度重視，網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來保障。建立和實(shí)施嚴(yán)密的計(jì)算機(jī)網(wǎng)絡(luò)安全制度與策略是真正實(shí)現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。</p><p><b>　　2.7 QoS</b></p><p>　　QoS（Quality of Service）服務(wù)質(zhì)量，是網(wǎng)絡(luò)的一種安全機(jī)制， 是用來解決網(wǎng)絡(luò)延遲和阻塞等問題的一種技

50、術(shù)。 在正常情況下，如果網(wǎng)絡(luò)只用于特定的無時(shí)間限制的應(yīng)用系統(tǒng)，并不需要QoS，比如Web應(yīng)用，或E-mail設(shè)置等。但是對(duì)關(guān)鍵應(yīng)用和多媒體應(yīng)用就十分必要。當(dāng)網(wǎng)絡(luò)過載或擁塞時(shí)，QoS 能確保重要業(yè)務(wù)量不受延遲或丟棄，同時(shí)保證網(wǎng)絡(luò)的高效運(yùn)行。</p><p>　　對(duì)于網(wǎng)絡(luò)業(yè)務(wù)，服務(wù)質(zhì)量包括傳輸?shù)膸?、傳送的時(shí)延、數(shù)據(jù)的丟包率等。在網(wǎng)絡(luò)中可以通過保證傳輸?shù)膸挕⒔档蛡魉偷臅r(shí)延、降低數(shù)據(jù)的丟包率以及時(shí)延抖動(dòng)等措施來提高服

51、務(wù)質(zhì)量。</p><p>　　華迪公司需要實(shí)時(shí)教學(xué)系統(tǒng)和視頻會(huì)議的穩(wěn)定傳輸，同時(shí)保證語音服務(wù)的通暢，通過MPLS流量工程得到需要QoS的應(yīng)用，通過流量約定（SLA,Service Level Agreement服務(wù)等級(jí)協(xié)議）給數(shù)據(jù)流設(shè)定優(yōu)先級(jí)，以此在網(wǎng)絡(luò)/協(xié)議層面上，根據(jù)相互商定的尺度，設(shè)定有保障的性能、通過量、延遲等界限。一些特定形式的網(wǎng)絡(luò)數(shù)據(jù)流需要定義服務(wù)質(zhì)量，例如：多媒體流要求有保障的通過量，IP電話需要嚴(yán)

52、格的抖動(dòng)和延遲限制，性命攸關(guān)的應(yīng)用系統(tǒng)，例如遠(yuǎn)程電子操作。</p><p><b>　　2.8 可行性分析</b></p><p>　　通過對(duì)該企業(yè)主樓的現(xiàn)場(chǎng)調(diào)查和需求分析后，對(duì)其可行性進(jìn)行分析。</p><p>　　技術(shù)上可行：該系統(tǒng)所需硬件設(shè)備，市場(chǎng)上銷售且價(jià)格較低，操作系統(tǒng)采用linux、Windows系列操作系統(tǒng)，數(shù)據(jù)庫采用mysql，

53、這些軟件已被大量應(yīng)用，技術(shù)上都比較成熟。因此在技術(shù)上是可行的。</p><p>　　經(jīng)濟(jì)上可行：網(wǎng)絡(luò)企業(yè)主要的是實(shí)現(xiàn)辦公自動(dòng)化和信息化。網(wǎng)絡(luò)是網(wǎng)絡(luò)企業(yè)發(fā)展的命脈和根本，沒有網(wǎng)絡(luò)該類型企業(yè)無法發(fā)展。因此，這項(xiàng)投入是企業(yè)必須的。因此經(jīng)濟(jì)上沒有問題。</p><p>　　管理上可行：整個(gè)公司的辦公資料是通過辦公服務(wù)器集中存儲(chǔ)處理的，整個(gè)網(wǎng)絡(luò)設(shè)備都是集中的機(jī)房并且具有專人進(jìn)行維護(hù)。因此可以達(dá)到了集

54、中管理。管理上是可行的。</p><p>　　綜上所述，設(shè)計(jì)建設(shè)該網(wǎng)絡(luò)項(xiàng)目在技術(shù)上、經(jīng)濟(jì)上、管理上都是可行的。</p><p><b>　　總體方案設(shè)計(jì)</b></p><p>　　根據(jù)華迪的地理位置圖設(shè)計(jì)總體方案，四川華迪信息技術(shù)有限公司新建大樓包括教學(xué)區(qū)，辦公區(qū)、學(xué)生公寓，另洛陽分公司和重慶公公司（辦事處）通過電信專線連入成都總部。本次設(shè)計(jì)

55、主要建設(shè)成都華迪的網(wǎng)絡(luò)，根據(jù)第二章的需求，華迪的主體網(wǎng)絡(luò)分布情況如下圖：</p><p>　　圖3.1 華迪總體網(wǎng)絡(luò)覆蓋圖</p><p>　　3.1 網(wǎng)絡(luò)邏輯方案設(shè)計(jì)</p><p>　　下圖3.2是成都華迪的網(wǎng)絡(luò)拓?fù)溥壿嫹桨冈O(shè)計(jì)：</p><p>　　圖3.2 邏輯方案設(shè)計(jì)圖</p><p>　　華迪公司新辦公大樓

56、網(wǎng)絡(luò)設(shè)計(jì)遵循分層設(shè)計(jì)的原則，網(wǎng)絡(luò)從核心層、匯聚層、接入層星形分布，以先進(jìn)的成熟的網(wǎng)絡(luò)應(yīng)用技術(shù)設(shè)計(jì)和規(guī)劃該公司網(wǎng)絡(luò)系統(tǒng)，從實(shí)際出發(fā)，正確的規(guī)劃和設(shè)計(jì)計(jì)算機(jī)網(wǎng)絡(luò)，為企業(yè)實(shí)現(xiàn)數(shù)據(jù)共享、資源共享，提供穩(wěn)定的信息交換和網(wǎng)絡(luò)系統(tǒng)服務(wù)。整個(gè)局域網(wǎng)絡(luò)采用多層數(shù)據(jù)交換原則設(shè)計(jì)，這樣的設(shè)計(jì)方案使得整個(gè)局域網(wǎng)的運(yùn)維管理，以及網(wǎng)絡(luò)故障排除變的更加簡單，減少了網(wǎng)絡(luò)管理員的工作負(fù)責(zé)性，并且使未來的升級(jí)變的更簡單且迅速。</p><p>　　

57、3.2 關(guān)鍵技術(shù)構(gòu)思設(shè)計(jì)</p><p>　　3.2.1雙核心熱冗余備份設(shè)計(jì)</p><p>　　為保障網(wǎng)絡(luò)具有99.999%的電信級(jí)高可靠性，實(shí)施時(shí)采用雙核心、雙鏈路的設(shè)計(jì)方案。該方式的好處在于，任意一臺(tái)核心交換機(jī)的故障，或者任意一條上行鏈路的故障，均不會(huì)影響網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，備用交換機(jī)或備用線路會(huì)智能地啟用起來。</p><p>　　圖3.3 熱冗余備份示意圖&l

58、t;/p><p>　　要實(shí)現(xiàn)這樣的熱冗余備份機(jī)制，需要在核心交換機(jī)上啟用VRRP（虛擬熱冗余備份協(xié)議）和MSTP（多生成樹協(xié)議）。VRRP協(xié)議主要用于兩臺(tái)核心設(shè)備面向接入用戶虛擬出一個(gè)實(shí)時(shí)可用的IP地址，實(shí)現(xiàn)核心設(shè)備間的智能熱備份；MSTP協(xié)議則主要用于避免VLAN內(nèi)部出現(xiàn)環(huán)路，配合VRRP協(xié)議實(shí)現(xiàn)線路的智能熱備份。核心交換機(jī)與出口路由器之間啟用動(dòng)態(tài)路由協(xié)議，實(shí)現(xiàn)與VRRP/MSTP的配合切換。</p>

59、<p>　　3.2.2鏈路匯聚技術(shù)</p><p>　　鏈路聚合（Link Aggregation）又稱Trunk，是指將多個(gè)物理端口捆綁在一起，成為一個(gè)邏輯端口，以實(shí)現(xiàn)出/ 入流量在各成員端口中的負(fù)荷分擔(dān)，交換機(jī)根據(jù)用戶配置的端口負(fù)荷分擔(dān)策略決定報(bào)文從哪一個(gè)成員端口發(fā)送到對(duì)端的交換機(jī)。當(dāng)交換機(jī)檢測(cè)到其中一個(gè)成員端口的鏈路發(fā)生故障時(shí)，就停止在此端口上發(fā)送報(bào)文，并根據(jù)負(fù)荷分擔(dān)策略在剩下鏈路中重新計(jì)算報(bào)文

60、發(fā)送的端口，故障端口恢復(fù)后再次重新計(jì)算報(bào)文發(fā)送端口。鏈路聚合在增加鏈路帶寬、實(shí)現(xiàn)鏈路傳輸彈性和冗余等方面是一項(xiàng)很重要的技術(shù)。</p><p>　　邏輯鏈路的帶寬增加了大約(n-1)倍，這里，n為聚合的路數(shù)。另外，聚合后，可靠性大大提高，因?yàn)椋琻條鏈路中只要有一條可以正常工作，則這個(gè)鏈路就可以工作。除此之外，鏈路聚合可以實(shí)現(xiàn)負(fù)載均衡。因?yàn)?，通過鏈路聚合連接在一起的兩個(gè)（或多個(gè)）交換機(jī)（或其他網(wǎng)絡(luò)設(shè)備），通過內(nèi)部控制

61、，也可以合理地將數(shù)據(jù)分配在被聚合連接的設(shè)備上，實(shí)現(xiàn)負(fù)載分擔(dān)。</p><p>　　捆綁接口必須屬于同一vlan。如果是truck，捆綁端口必須屬于truck模式；具有相同的 native-vlan ID；每個(gè)接口都必須有相同的速度和雙工模式；生成樹設(shè)置必須一致。 </p><p>　　圖3.4 鏈路聚合示意圖</p><p>　　鏈路聚合在接入層

62、面可以增加帶寬和線路冗余，起到負(fù)載均衡的效果，同時(shí)同一VLAN和部門的成員訪問更加迅速。</p><p>　　3.2.4VLAN劃分技術(shù)</p><p>　　VLAN（Virtual Local Area Network）稱為虛擬局域網(wǎng)，是指在邏輯上將物理的LAN分成不同小的邏輯子網(wǎng)，每一個(gè)邏輯子網(wǎng)就是一個(gè)單獨(dú)的播域。簡單地說，就是將一個(gè)大的物理的局域網(wǎng)（LAN）在交換機(jī)上通過軟件劃分成若

63、干個(gè)小的虛擬的局域網(wǎng)（VLAN）。因?yàn)榻粨Q機(jī)通信的原理就是要通過“廣播”來發(fā)現(xiàn)通往的目的MAC地址，以便在交換機(jī)內(nèi)部的MAC數(shù)據(jù)庫建立MAC地址表，而廣播不能跨越不同網(wǎng)段。</p><p>　　VLAN技術(shù)的出現(xiàn)，使得管理員根據(jù)實(shí)際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏 輯地劃分成不同的廣播域，每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理 上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，而不是

64、從物理上劃分，所以同一個(gè) VLAN內(nèi)的各個(gè)工作站沒有限制在同一個(gè)物理范圍中，即這些工作站可以在不同物理LAN網(wǎng)段 。由VLAN的特點(diǎn)可知，一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 VLAN除了能將網(wǎng)絡(luò)劃 分為多個(gè)廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點(diǎn)外，還可以用于控制網(wǎng)絡(luò)中不同部門、不同站點(diǎn)之間的互相訪問。<

65、/p><p>　　通過劃分VLAN子網(wǎng)，能劃小了廣播域，避免了數(shù)據(jù)碰撞在大的物理LAN內(nèi)產(chǎn)生嚴(yán)重后果的可能，也避免了廣播風(fēng)暴的產(chǎn)生。提高交換網(wǎng)絡(luò)的交換效率，保證網(wǎng)絡(luò)穩(wěn)定。提高網(wǎng)絡(luò)安全性，通過劃分VLAN，LAN被劃分不同子網(wǎng)段，因此不能直接通信。必要的通信必須經(jīng)過路由來實(shí)現(xiàn)，因此可在路由器（或三層交換機(jī)）上配置訪問列表來進(jìn)行跨子網(wǎng)段的授權(quán)訪問，從而提高公司內(nèi)部網(wǎng)絡(luò)訪問的安全性。方便網(wǎng)絡(luò)管理：采用VLAN技術(shù)來劃分公司

66、網(wǎng)絡(luò)，一個(gè)VLAN可以根據(jù)不同的部門、辦公室或者服務(wù)器組將不同地理位置的工作站劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在子網(wǎng)之間移動(dòng)，VLAN提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。VLAN技術(shù)很好的解決了網(wǎng)絡(luò)管理的問題，能實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)督與管理的自動(dòng)化，從而更有效的進(jìn)行網(wǎng)絡(luò)監(jiān)控。</p><p>　　3.2.5VPN技術(shù)</p><p>　　VPN屬于遠(yuǎn)程訪問技術(shù)，簡單地說

67、就是利用公網(wǎng)鏈路架設(shè)私有網(wǎng)絡(luò)。例如公司員工出差到外地，他想訪問企業(yè)內(nèi)網(wǎng)的服務(wù)器資源，這種訪問就屬于遠(yuǎn)程訪問。VPN的解決方法是在內(nèi)網(wǎng)中架設(shè)一臺(tái)VPN服務(wù)器，VPN服務(wù)器有兩塊網(wǎng)卡，一塊連接內(nèi)網(wǎng)，一塊連接公網(wǎng)。外地員工在當(dāng)?shù)剡B上互聯(lián)網(wǎng)后，通過互聯(lián)網(wǎng)找到VPN服務(wù)器，然后利用VPN服務(wù)器作為跳板進(jìn)入企業(yè)內(nèi)網(wǎng)。為了保證數(shù)據(jù)安全，VPN服務(wù)器和客戶機(jī)之間的通訊數(shù)據(jù)都進(jìn)行了加密處理。有了數(shù)據(jù)加密，就可以認(rèn)為數(shù)據(jù)是在一條專用的數(shù)據(jù)鏈路上進(jìn)行安全傳輸

68、，就如同專門架設(shè)了一個(gè)專用網(wǎng)絡(luò)一樣。但實(shí)際上VPN使用的是互聯(lián)網(wǎng)上的公用鏈路，因此只能稱為虛擬專用網(wǎng)。即：VPN實(shí)質(zhì)上就是利用加密技術(shù)在公網(wǎng)上封裝出一個(gè)數(shù)據(jù)通訊隧道。有了VPN技術(shù)，用戶無論是在外地出差還是在家中辦公，只要能上互聯(lián)網(wǎng)就能利用VPN非常方便地訪問內(nèi)網(wǎng)資源。</p><p><b>　　詳細(xì)方案設(shè)計(jì)</b></p><p><b>　　4.1網(wǎng)絡(luò)

69、拓?fù)湓O(shè)計(jì)</b></p><p>　　4.1.1網(wǎng)絡(luò)拓?fù)鋱D及設(shè)計(jì)說明</p><p>　　根據(jù)華迪公司辦公大樓的的建筑分布及需求分析，設(shè)計(jì)出如下網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，華迪公司的網(wǎng)絡(luò)拓?fù)鋱D如下所示：</p><p>　　拓?fù)鋱D請(qǐng)聯(lián)系QQ：1165093813，家的時(shí)候就說是請(qǐng)教畢業(yè)設(shè)計(jì)，也可以發(fā)郵件至QQ郵箱聯(lián)系</p><p>　　圖4.

70、1 華迪新辦大樓拓?fù)浣Y(jié)構(gòu)圖</p><p>　　在進(jìn)行拓?fù)湓O(shè)計(jì)時(shí)，我們首先從實(shí)際情況出發(fā)，華迪公司是由一棟實(shí)訓(xùn)樓和一棟辦公樓。整體來說并非是大型的網(wǎng)絡(luò)，并且對(duì)網(wǎng)絡(luò)速度沒有巨大的要求，主要是建立一個(gè)相對(duì)穩(wěn)定，可靠易于維護(hù)的拓?fù)湫途W(wǎng)絡(luò)。大多數(shù)的網(wǎng)絡(luò)都可以被層次性劃分為三個(gè)邏輯服務(wù)單元：核心骨干網(wǎng)(Backbone)、匯聚網(wǎng)(Distribute)和接入網(wǎng)(Local－access)，模塊化網(wǎng)絡(luò)設(shè)計(jì)方法的目標(biāo)在于把一個(gè)

71、大型的網(wǎng)絡(luò)元素劃分成一個(gè)個(gè)互連的網(wǎng)絡(luò)層次。</p><p>　　本設(shè)計(jì)方案整體結(jié)構(gòu)主要采用星型結(jié)構(gòu)的層次模型，在教學(xué)區(qū)一樓設(shè)一個(gè)網(wǎng)管中心，管理公司內(nèi)所有網(wǎng)絡(luò)及核心設(shè)備，為核心層。公司內(nèi)部分為三個(gè)區(qū)，辦公區(qū)，教學(xué)區(qū)以及學(xué)生公寓區(qū)，各區(qū)各設(shè)一個(gè)匯聚層交換機(jī)，負(fù)責(zé)區(qū)域到中心的連接，此為匯聚層。余下樓層交換機(jī)到桌面為接入層。</p><p>　　整個(gè)網(wǎng)絡(luò)可分為五個(gè)區(qū)域，外聯(lián)網(wǎng)區(qū)，教學(xué)區(qū)，辦公區(qū)，學(xué)

72、生公寓區(qū)，網(wǎng)絡(luò)管理中心區(qū)，其中網(wǎng)絡(luò)管理中心放置在教學(xué)區(qū)一樓。各區(qū)的樓房配線間位于各區(qū)建筑物的一樓。</p><p>　　建筑區(qū)域之間采用單模光纖，垂直子系統(tǒng)采用室內(nèi)多模光纖，以保障主干網(wǎng)絡(luò)1000M的帶寬要求，水平子系統(tǒng)采用超五類UTP，保障100M帶寬到桌面。</p><p>　　在和外聯(lián)網(wǎng)相連部分采用硬件防火墻，防火墻DMZ區(qū)放置對(duì)外服務(wù)的WEB/FTP服務(wù)器，同時(shí)兼做外網(wǎng)VPN服務(wù)器

73、。并且在防火墻和內(nèi)網(wǎng)處采用IDS病毒入侵檢測(cè)系統(tǒng)，對(duì)服務(wù)器和內(nèi)網(wǎng)進(jìn)行審計(jì)和檢測(cè)。</p><p>　　4.1.2主要設(shè)備選型說明</p><p>　　核心層交換機(jī)（2臺(tái)）</p><p>　　cisco的網(wǎng)絡(luò)設(shè)備一直是行業(yè)老大，在這里我們采用cisco6506比較高端的交換機(jī)，Cisco6506的交換機(jī)高度模塊化，提供插槽的可擴(kuò)展，電源的可擴(kuò)展，引擎的可擴(kuò)展。為日后

74、公司的發(fā)展擴(kuò)容打好基礎(chǔ)。下面是思科WS-C6506樣圖：</p><p>　　圖4.2 思科WS-C6506樣圖</p><p>　　思科 WS-C6506 詳細(xì)參數(shù)表如下：</p><p>　　表4.1 思科 WS-C6506 詳細(xì)參數(shù)表</p><p>　　核心交換機(jī)搭載的網(wǎng)絡(luò)接口板型號(hào)為S-X6524-100FX-MMC，該模塊接口卡屬

75、6500系列交換機(jī)模塊，如下是它的參數(shù)表：</p><p>　　圖4.3 S-X6524-100FX-MMC模塊參數(shù)表</p><p>　　根據(jù)用戶需求，主干設(shè)計(jì)保證1000M帶寬，到工作臺(tái)桌面保證100M接入，中心采用三層交換機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)交換路由，采用千兆光模塊。中心我們選擇三層交換機(jī)實(shí)現(xiàn)數(shù)據(jù)的高速交換同時(shí)實(shí)現(xiàn)局域網(wǎng)路由。因此同時(shí)選擇購買WS-X6516-GBIC作為千兆光模塊實(shí)現(xiàn)與匯聚

76、層的連接依次實(shí)現(xiàn)千兆主干網(wǎng)，百兆到桌面，它是16端口千兆位以太網(wǎng)光纖接口模塊。</p><p>　　如上核心交換機(jī)設(shè)計(jì)的優(yōu)點(diǎn)：</p><p>　　可靠性和可擴(kuò)展性：模塊化設(shè)計(jì)，雙電源的設(shè)計(jì)保證了中心交換機(jī)的供電的冗余。</p><p>　　性價(jià)比：cisco6506與其他廠商同類產(chǎn)品相比更有競(jìng)爭(zhēng)力。</p><p>　　Cisco IOS軟

77、件模塊化：模塊化提高了運(yùn)營效率，最大限度地縮短了停機(jī)時(shí)間。實(shí)施模塊化后，Cisco IOS子系統(tǒng)能作為獨(dú)立、可自行恢復(fù)的進(jìn)程運(yùn)行，通過故障抑制和狀態(tài)化進(jìn)程重啟，縮短了計(jì)劃外停機(jī)時(shí)間；通過子系統(tǒng)運(yùn)行中軟件升級(jí)（ISSU）簡化了軟件改動(dòng)，集成了嵌入式事件管理器（EEM），從而能在進(jìn)程級(jí)自動(dòng)控制策略。</p><p>　　最高PoE 可擴(kuò)展性：提供了支持高密度PoE 部署所需的電源可擴(kuò)展性；6 插槽和9 插槽機(jī)箱（C6

78、506-E和 C6509-E 型號(hào)）的設(shè)計(jì)超越了當(dāng)前的6000W 電源；E 系列機(jī)箱支持所有現(xiàn)有控制引擎、線卡、交換矩陣和軟件版本</p><p>　　Supervisor Engine 720 ：面向企業(yè)核心、分布層和數(shù)據(jù)中心：高達(dá)720Gbps 的交換矩陣連接和高達(dá)40Mpps 的交換性能；支持全新加速思科快速轉(zhuǎn)發(fā)（CEF720）和分布式思科快速轉(zhuǎn)發(fā)（dCEF720）接口模塊；通過硬件支持IPv6 和MPLS

79、；支持第三層路由協(xié)議。</p><p>　　Supervisor Engine 32：面向智能配線間以及經(jīng)濟(jì)高效的低端核心和分布層部署；擁有一條到模塊的32Gbps共享總線連接；支持高達(dá)15Mpps的交換性能；集中第二層、第三層轉(zhuǎn)發(fā)，有2種型號(hào)：8端口1GE型號(hào)或2 端口10GbE 上行鏈路。</p><p>　　2、匯聚層交換機(jī) （4臺(tái)）</p><p>　　用戶

80、需求是千兆主干，百兆到桌面。所以為了達(dá)到以上用戶需求，考慮到核心層交換機(jī)我們必須選擇配有光纖接口的交換設(shè)備，而cisco3750就適合這一要求，具有1000兆光纖接口，它不僅能支持二層而且還能支持三層服務(wù)，同時(shí)采用與核心交換機(jī)相同的cisco的設(shè)備達(dá)到系統(tǒng)很好兼容性的要求，便于管理。</p><p>　　圖4.3 CISCO WS-C3750-24TS-E樣圖</p><p>　　CISC

81、O WS-C3750-24TS-E的詳細(xì)參數(shù)表如下所示：</p><p>　　表4.4 CISCO WS-C3750-24TS-E的詳細(xì)參數(shù)表</p><p>　　匯聚層如此選材設(shè)計(jì)的優(yōu)點(diǎn)：</p><p>　　Cisco Catalyst 3750 系列交換機(jī)是一款適用于中型機(jī)構(gòu)和大型企業(yè)分支機(jī)構(gòu)的創(chuàng)新產(chǎn)品。該交換機(jī)采用了Cisco StackWise技術(shù)，通過結(jié)

82、合易用性和可堆疊交換機(jī)的最高永續(xù)性，提高了局域網(wǎng)運(yùn)行效率。適用于需要低密度接入，具有交換機(jī)堆疊功能、第二層以上或第三層特性，以及一或多條光纖上行鏈路的網(wǎng)絡(luò)。</p><p>　　可用性：802.1S/W支持基于標(biāo)準(zhǔn)的容錯(cuò)性、負(fù)載均衡和迅速恢復(fù)；Flexlink特性提供了不到100ms的快速收斂；PVST+ 則通過允許流量在冗余鏈路上傳輸，增加了可用帶寬。</p><p>　　Cisco S

83、tackWise 技術(shù)：單一IP 地址和單一命令行界面（CLI）簡化了管理；32-Gbps 永續(xù)架構(gòu)加速了收斂；1∶N堆疊采用了冗余和第三層上行鏈路永續(xù)性、跨堆疊Cisco EtherChannel 技術(shù)及QoS，提高了可用性；自動(dòng)配置和Cisco IOS 軟件版本檢查和升級(jí)加速了部署過程；交換機(jī)的熱添加和刪除能保持堆疊持續(xù)運(yùn)行。</p><p>　　370W PoE 簡化了IP 電話、無線和視頻監(jiān)視部署；智能電

84、源管理特性增強(qiáng)了控制能力，有助于更好地利用功率預(yù)算；PoE 與快速以太網(wǎng)或千兆以太網(wǎng)型號(hào)相結(jié)合，能最大限度地利用現(xiàn)有基礎(chǔ)設(shè)施投資。</p><p>　　接入交換機(jī) （36臺(tái)）</p><p>　　為了達(dá)到系統(tǒng)最佳的兼容性我們繼續(xù)采用cisco的設(shè)備，根據(jù)百兆到桌面的要求，cisco2950較低的端口密度和價(jià)格，高性能10/100Mbps 連接便能達(dá)到要求。并提供24接口，支持堆疊。如下是C

85、ISCO WS-C2950-24樣圖：</p><p>　　圖4.4 CISCO WS-C2950-24樣圖</p><p>　　下表是CISCO WS-C2950-24的詳細(xì)參數(shù)表：</p><p>　　表4.5 CISCO WS-C2950-24的詳細(xì)參數(shù)表</p><p>　　Cisco Catalyst 2950 在接入層選材和設(shè)計(jì)的

86、優(yōu)點(diǎn)：</p><p>　　Cisco Catalyst 2950 系列交換機(jī)是小型、獨(dú)立、可管理的交換機(jī)，帶8 個(gè)快速以太網(wǎng)端口和一條集成快速以太網(wǎng)或千兆以太網(wǎng)上行鏈路。 這些交換機(jī)是專門為在終端用戶工作間配線間外使用而設(shè)計(jì)的，擁有堅(jiān)固的金屬外殼，無風(fēng)扇，因此運(yùn)行安靜，便于在墻壁或桌下安裝，安全的鎖定槽可防竊，它還配備了一條電纜導(dǎo)槽，可以保護(hù)以太網(wǎng)電纜和交換機(jī)。</p><p>　　網(wǎng)絡(luò)

87、管理提供了集中管理和配置，以簡化部署及后續(xù)維護(hù)；基于PC；適用于最多不超過20 個(gè)設(shè)備的網(wǎng)絡(luò)快速設(shè)置，Web 瀏覽器工具支持簡單的交換機(jī)設(shè)置，以便新手也能完成基本配置。</p><p>　　4、入侵檢測(cè)系統(tǒng)：IDS</p><p>　　品牌型號(hào)：鷹眼入侵檢測(cè)分布型NIDS100-D1E </p><p>　　系統(tǒng)：分布式單探頭百兆檢測(cè)引擎</p>&

88、lt;p><b>　　功能特點(diǎn)：</b></p><p>　　a、強(qiáng)大的入侵檢測(cè)能力，可識(shí)別30大類、上千種入侵行為，如后門程攻擊、分布式拒絕服務(wù)攻擊、遠(yuǎn)程溢出攻擊、帳號(hào)試探性攻擊、FTP攻擊、Ping攻擊、Netbios 攻擊、遠(yuǎn)程服務(wù)攻擊、掃描攻擊、郵件服務(wù)器攻擊、遠(yuǎn)程登錄攻擊、簡單文件傳輸服務(wù)攻擊等。</p><p>　　b、高性能的核心抓包機(jī)制。<

89、/p><p>　　c、功能強(qiáng)大的事件管理。</p><p>　　d、多樣化的報(bào)警響應(yīng)方式。</p><p>　　e、大規(guī)模網(wǎng)絡(luò)下的入侵檢測(cè)能力。</p><p>　　f、強(qiáng)大的協(xié)作聯(lián)動(dòng)能力。</p><p>　　g、靈活的入侵規(guī)則定制。</p><p>　　h、可持續(xù)的規(guī)則庫升級(jí)。</p>

90、;<p>　　i、完備的自身安全性。</p><p>　　j、方便易用的WEB管理方式。</p><p>　　k、同時(shí)，鷹眼網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)具有以下六種報(bào)警響應(yīng)方式：數(shù)據(jù)庫報(bào)、電子郵件報(bào)警、SNMP TRAP告警、SYSLOG告警主動(dòng)切斷、防火墻聯(lián)動(dòng)響應(yīng)。</p><p>　　5、服務(wù)器：(5臺(tái))</p><p>　　因?yàn)楣?/p>

91、的規(guī)模小，要建立一個(gè)100多人的OA辦公系統(tǒng)，且WEB服務(wù)器平時(shí)訪問量不大，、FTP服務(wù)器只用于員工資源的上傳與下載，從可靠性和節(jié)省角度出發(fā)，打算公司的服務(wù)器采用組裝服務(wù)器。</p><p>　　表4.6 服務(wù)器配置表</p><p>　　Intel至強(qiáng)4核心處理器，大容量擴(kuò)展內(nèi)存，大容量磁盤陣列，英特爾5500芯片組服務(wù)器主板，為了數(shù)據(jù)安全，用RAID 0+1保證速度和數(shù)據(jù)備份。WEB服

92、務(wù)器對(duì)安全穩(wěn)定要有一定保障，為了7*24小時(shí)不間斷供電，所以在預(yù)算充足下考慮低端的UPSX2電源。</p><p>　　六、防火墻 （1臺(tái)）</p><p>　　1.品牌型號(hào)：龍馬衛(wèi)士防火墻 WLMB-1000SX </p><p>　　2.接口及帶寬：2*1000M+1*100M</p><p><b>　　選購理由：</b

93、></p><p>　?。?）傳統(tǒng)防火墻一般是以IP地址為核心進(jìn)行訪問監(jiān)控，而新一代的龍馬衛(wèi)士防火墻是以用戶為核心進(jìn)行訪問監(jiān)控，實(shí)現(xiàn)了用戶的認(rèn)證，授權(quán)，記帳（AAA）功能。</p><p>　　認(rèn)證（Authentication）：用來證明用戶的真實(shí)身份，如：“我是用戶Bob，我的密碼證明了我確實(shí)是?！碑?dāng)用戶通過防火墻進(jìn)行訪問時(shí)，首先需要對(duì)其身份進(jìn)行認(rèn)證，認(rèn)證方式簡單方便，認(rèn)證的工具

94、可以是任何支持認(rèn)證的網(wǎng)頁瀏覽器如Microsoft Internet Explorer（IE）或Netscape，身份認(rèn)證是基于密碼技術(shù)的，對(duì)管理員用戶名和口令在傳輸時(shí)進(jìn)行加密，并且，對(duì)防火墻和控制端之間通過網(wǎng)絡(luò)傳輸?shù)乃袛?shù)據(jù)全部加密，這樣有效地防止了在網(wǎng)絡(luò)傳輸過程中數(shù)據(jù)被竊聽、篡改，達(dá)到更高可靠性的身份認(rèn)證。龍馬衛(wèi)士防火墻支持多種認(rèn)證方式，如用戶名和口令，一次性口令認(rèn)證（OTP）、PAM、PAP/CHAP、MS-CHAP、NT-Dom

95、ain、Radius、Kerberos、LDAP等，并可以根據(jù)用戶需求擴(kuò)展其他認(rèn)證方式。</p><p>　　授權(quán)（Authorization）：在經(jīng)過了認(rèn)證后，授權(quán)決定了該用戶可以進(jìn)行何種訪問活動(dòng)，如：“用戶Bob可以對(duì)主機(jī)NT_host進(jìn)行Telnet訪問。”龍馬衛(wèi)士防火墻可以對(duì)所有用戶進(jìn)行分組管理，對(duì)用戶組進(jìn)行授權(quán)。認(rèn)證通過后確定用戶所屬的用戶組，系統(tǒng)將檢查安全策略中對(duì)此用戶組的授權(quán)。用戶被授權(quán)后所有的資源

96、訪問能夠進(jìn)行記錄實(shí)現(xiàn)記帳。</p><p>　　記帳（Accounting）：記錄了用戶實(shí)際上進(jìn)行的訪問活動(dòng)，如某個(gè)用戶進(jìn)行了何種訪問，對(duì)誰進(jìn)行了訪問等信息，如：“用戶早10：00從自己的主機(jī)對(duì)主機(jī)NT_host進(jìn)行了Telnet訪問?！饼堮R衛(wèi)士防火墻跟蹤所有用戶的訪問記錄，為系統(tǒng)審計(jì)，發(fā)現(xiàn)入侵活動(dòng)等提供分析依據(jù)。</p><p>　　龍馬衛(wèi)士防火墻的AAA模塊主要由網(wǎng)絡(luò)訪問服務(wù)器（NAS

97、）以及認(rèn)證控制服務(wù)器（ACS）兩部分組成。認(rèn)證控制服務(wù)器是一個(gè)標(biāo)準(zhǔn)的Radius認(rèn)證服務(wù)器，完全遵循RFC2865、2866和部分2869的規(guī)范。并以用戶為核心，同時(shí)具有授權(quán)和記帳等功能。認(rèn)證控制服務(wù)器可以為任何支持Radius協(xié)議的其他防火墻，路由器和撥號(hào)服務(wù)器等提供認(rèn)證服務(wù)。認(rèn)證控制服務(wù)器支持多種認(rèn)證方式，并可以根據(jù)用戶需求擴(kuò)展其他認(rèn)證方式。同時(shí)，認(rèn)證控制服務(wù)器還支持認(rèn)證代理，可以將認(rèn)證轉(zhuǎn)發(fā)給其他的Radius認(rèn)證服務(wù)器。龍馬衛(wèi)士防

98、火墻的認(rèn)證控制服務(wù)器的結(jié)構(gòu)高度模塊化，具有良好的可擴(kuò)展性，并能夠擴(kuò)展新的認(rèn)證方式。龍馬衛(wèi)士防火墻還為AAA服務(wù)提供管理工具。管理工具采用B/S結(jié)構(gòu)，通過瀏覽器來管理認(rèn)證服務(wù)器上的用戶、進(jìn)程、日志等，并且可以進(jìn)行遠(yuǎn)程管理，界面友好，使用方便。</p><p>　　實(shí)時(shí)的連接狀態(tài)監(jiān)控功能包過濾是防火墻中的一項(xiàng)主要安全技術(shù)，它通過防火墻對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行控制與操作。龍馬衛(wèi)士防火墻不僅根據(jù)數(shù)據(jù)包的地址、方向、協(xié)議、服

99、務(wù)、端口、訪問時(shí)間進(jìn)行訪問控制，同時(shí)還對(duì)任何網(wǎng)絡(luò)連接和會(huì)話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。傳統(tǒng)防火墻的包過濾只是與規(guī)則表進(jìn)行匹配，對(duì)符合規(guī)則的數(shù)據(jù)包進(jìn)行處理，不符合規(guī)則的丟棄。由于是基于規(guī)則的檢查，屬于同一連接的不同包毫無任何聯(lián)系，每個(gè)包都要依據(jù)規(guī)則順序過濾，這樣隨著安全規(guī)則的增加，勢(shì)必會(huì)使防火墻的性能大幅度的降低，造成網(wǎng)絡(luò)擁塞。甚至黑客會(huì)采用IP Spoofing的辦法將自己的非法包偽裝成屬于某個(gè)合法的連接。這樣的包過濾既缺乏效率又容易產(chǎn)生

100、安全漏洞。</p><p>　　龍馬衛(wèi)士防火墻采用了基于連接狀態(tài)檢查的包過濾，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，通過規(guī)則表與連接狀態(tài)表的共同配合，大大地提高了系統(tǒng)的性能和安全性。龍馬衛(wèi)士防火墻在進(jìn)行包的檢測(cè)時(shí)不僅將其看成是獨(dú)立的單元，同時(shí)還要考慮與它的前面包的關(guān)聯(lián)性。而無連接的包過濾規(guī)則沒有考慮這些內(nèi)在的關(guān)聯(lián)信息，對(duì)每個(gè)數(shù)據(jù)包都進(jìn)行孤立的規(guī)則檢測(cè)，這樣就降低了傳輸效率和安全性。尤其值得一提的是，對(duì)于

101、基于UDP協(xié)議、ICMP的應(yīng)用來說，是很難用簡單的包過濾技術(shù)進(jìn)行處理的，因?yàn)閁DP協(xié)議本身對(duì)于順序錯(cuò)誤或丟失的包，是不做糾錯(cuò)或重傳的。而ICMP與IP位于同一層，它被用來傳送IP的差錯(cuò)和控制信息。龍馬衛(wèi)士防火墻在對(duì)基于UDP協(xié)議的連接處理時(shí)，會(huì)為UDP建立虛擬的連接，同樣能夠?qū)B接過程狀態(tài)進(jìn)行監(jiān)控。通過規(guī)則與連接狀態(tài)的共同配合，達(dá)到包過濾的高效與安全?？梢赃@么說，能夠?qū)崿F(xiàn)對(duì)UDP、ICMP協(xié)議的實(shí)時(shí)狀態(tài)監(jiān)控，是龍馬衛(wèi)士防火墻有別于其它廠

102、商防火墻的顯著特點(diǎn)之一。</p><p>　　動(dòng)態(tài)過濾技術(shù),在進(jìn)行網(wǎng)絡(luò)通訊時(shí)，應(yīng)用程序的端口必須打開才能進(jìn)行通訊。傳統(tǒng)防火墻一般采用的是靜態(tài)過濾技術(shù)，即事先打開很多端口以滿足各種應(yīng)用的需要，但是有時(shí)某些應(yīng)用程序的端口是動(dòng)態(tài)變化的，如FTP、H.323、視頻會(huì)議等應(yīng)用，事先打開的端口很難滿足這種動(dòng)態(tài)變化的需要，而且如果事先打開的端口過多，可能造成很多不安全的隱患，為了解決這些問題，在龍馬衛(wèi)士防火墻中，使用了動(dòng)態(tài)過濾

103、技術(shù)。動(dòng)態(tài)過濾技術(shù)指的是根據(jù)實(shí)際應(yīng)用的需要，為合法的訪問連接動(dòng)態(tài)地打開其所需要的端口，在訪問結(jié)束時(shí)自動(dòng)地將打開的端口關(guān)閉。這樣在實(shí)際應(yīng)用中，事先只需打開極少數(shù)必須打開的端口，在建立合法的訪問連接時(shí)再適當(dāng)打開某些需要的端口，當(dāng)連接結(jié)束時(shí)，自動(dòng)地關(guān)閉相應(yīng)的端口，這樣能夠有效的防止系統(tǒng)存在的‘開口’隱患，解決了事先打開的端口不能滿足應(yīng)用程序的需求等問題，并能在最大程度上挫敗黑客的惡意進(jìn)攻。</p><p>　　IP地址

104、盜用自動(dòng)檢測(cè)技術(shù)每一塊網(wǎng)絡(luò)接口都具有一個(gè)唯一的物理標(biāo)識(shí)號(hào)碼，也就是MAC地址。龍馬衛(wèi)士防火墻提供了將網(wǎng)絡(luò)接口的IP地址同它的MAC地址進(jìn)行綁定的功能，因此即使某一用戶盜用IP地址，在通過防火墻時(shí)也因接口的MAC地址不匹配而拒絕通過。龍馬衛(wèi)士防火墻給用戶提供一種自動(dòng)搜索局域網(wǎng)內(nèi)給定網(wǎng)段的MAC地址的方法，能夠自動(dòng)獲取所有IP地址對(duì)應(yīng)的MAC地址，有效地防止IP地址欺騙。這樣，防火墻能夠自動(dòng)監(jiān)視內(nèi)部IP地址資源的使用情況。</p>

105、;<p>　　靈活多樣的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）龍馬衛(wèi)士防火墻利用NAT技術(shù)對(duì)內(nèi)部地址做轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，使黑客很難對(duì)內(nèi)部網(wǎng)的一個(gè)用戶發(fā)起攻擊。同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己定制的IP地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個(gè)主機(jī)的通信，確保每個(gè)分組送往正確的地址。并且，無論防火墻工作在何種模式（路由，透明，混合）下，都能實(shí)現(xiàn)NAT功能。龍馬衛(wèi)士防火墻不僅提供了傳統(tǒng)的“內(nèi)部網(wǎng)到外部網(wǎng)”，“外部網(wǎng)到內(nèi)部網(wǎng)”NAT功

106、能，而且提供任意網(wǎng)絡(luò)接口的地址轉(zhuǎn)換功能，規(guī)則能夠根據(jù)源地址范圍，目的地址范圍，端口以及協(xié)議等精密匹配。地址轉(zhuǎn)換分為源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換，另外，為了適應(yīng)復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，防火墻還提供外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的源地址轉(zhuǎn)換功能。也就是說，對(duì)于任何一個(gè)網(wǎng)絡(luò)接口，可以進(jìn)行向外的源地址轉(zhuǎn)換，向內(nèi)的目的地址轉(zhuǎn)換以及向內(nèi)的源地址轉(zhuǎn)換三種NAT。</p><p>　　4.2 綜合布線設(shè)計(jì)</p><p>　　綜

107、合布線系統(tǒng)是建筑物或建筑群內(nèi)的信息傳輸系統(tǒng)。它使話音和數(shù)據(jù)通信設(shè)備、交換機(jī)設(shè)備、信息管理系統(tǒng)及設(shè)備控制系統(tǒng)彼此相連，也使這些設(shè)備與外部通信網(wǎng)絡(luò)相連接。它包括建筑物到外部網(wǎng)絡(luò)或電話局線路上的連線、與工作區(qū)的話音或數(shù)據(jù)終端之間的所有電纜及相關(guān)聯(lián)的布線部件。布線系統(tǒng)由不同系列的部件組成，其中包括：傳輸介質(zhì)、線路管理硬件、連接器、插座、插頭、適配器、傳輸電子線路、電器保護(hù)設(shè)備和支持硬件</p><p>　　本綜合布線系統(tǒng)