網(wǎng)絡工程畢業(yè)設計--公司網(wǎng)絡設計方案

1、<p>　　LANZHOU UNIVERSITY OF TECHNOLOGY</p><p><b>　　畢業(yè)設計</b></p><p>　　題 目 華迪信息技術(shù)有限公司網(wǎng)絡設計方案</p><p>　　學生姓名 *** </p><p>　　學 號 *** </p>

2、<p>　　專業(yè)班級 09級計算機科學與技術(shù)（1）班 </p><p>　　指導教師 </p><p>　　學 院 計算機與通信學院 </p><p>　　答辯日期 2013.6.11 </p><p>　　華迪信息技術(shù)有限公司網(wǎng)絡設計方案</p><p>　　Hwa

3、dee information technology limited company of network design</p><p><b>　　摘要</b></p><p>　　現(xiàn)今的計算機網(wǎng)絡技術(shù)飛速發(fā)展，使用網(wǎng)絡進行信息傳輸已成為社會運行的一種基本方式。隨著辦公信息化、自動化的需求，各單位為提高辦公效率，促進信息交流，適應現(xiàn)代化辦公的要求，需要組建企業(yè)辦公局

4、域網(wǎng)。組建企業(yè)局域網(wǎng)所涉及的方方面面很多，首先需要一個正確的設計規(guī)劃，然后需要處理布線、網(wǎng)絡設備選型與配置、服務器設備選型與配置、網(wǎng)絡軟件的安裝等方面，這都需要按部就班的逐一實現(xiàn)，最后還需要進行正常的日常維護，本設計就如何規(guī)劃和設計企業(yè)局域網(wǎng)進行淺述。</p><p>　　本設計首先從總體上對公司網(wǎng)絡建設的基本需求進行了分析研究，確定企業(yè)網(wǎng)絡拓撲結(jié)構(gòu)、綜合布線設計原則、中心機房規(guī)劃與設計、網(wǎng)絡設備選擇等。從各個方

5、面對企業(yè)局域網(wǎng)建設提出了規(guī)劃的方案，以期對企業(yè)局域網(wǎng)的建設做出貢獻。本畢業(yè)設計課題將主要以華迪公司網(wǎng)絡規(guī)劃與設計過程可能用到的各種技術(shù)及實施方案為設計方向，為公司網(wǎng)的建設提供理論依據(jù)和實踐指導。</p><p>　　關鍵詞：企業(yè)局域網(wǎng)；網(wǎng)絡拓撲結(jié)構(gòu)；綜合布線；VLAN；防火墻</p><p><b>　　Abstract</b></p><p>

6、;　　The current rapid development of computer network technology,the use of information transmission network has become a basic way of operation.With the office of information and automation needs of various units to impr

7、ove the office efficiency and facilitate the exchange of information，to adapt to modern office requirements,the need for organizing enterprise office LAN. A lot of organizing enterprise LAN aspects involved,first of all

8、need a proper design and planning,and then have to deal with ca</p><p>　　In this paper,The first design the basic demand of construction company network from the overall analysis, determine the enterprise ne

9、twork topology structure, integrated wiring design principles, center room planning and design, network equipment selection. From the aspects of the planning and construction scheme of enterprise LAN, in order to contrib

10、ute to the construction of enterprise LAN, Various technical and implementation scheme of the graduation design task will be mainly Hwadee network</p><p>　　KeyWords:Enterprise:LAN;Network;topology;structure;

11、Integratedwiring;VLAN;Firewall</p><p><b>　　目錄</b></p><p><b>　　摘要I</b></p><p>　　AbstractII</p><p>　　第一章 公司描述1</p><p>　　第二章 需求分析3

12、</p><p>　　2.1 現(xiàn)有狀況和新需求3</p><p>　　2.2 系統(tǒng)設計原則3</p><p>　　2.3 網(wǎng)絡建設需求5</p><p>　　2.3.1硬件需求5</p><p>　　2.3.2軟件需求6</p><p>　　2.4 互聯(lián)網(wǎng)接入要求6</p>

13、;<p>　　2.5 服務器要求6</p><p>　　2.6 網(wǎng)絡管理與安全要求6</p><p><b>　　2.7 QoS8</b></p><p>　　2.8 可行性分析8</p><p>　　第三章 總體方案設計9</p><p>　　3.1 網(wǎng)絡邏輯方案設計9

14、</p><p>　　3.2 關鍵技術(shù)構(gòu)思設計10</p><p>　　3.2.1雙核心熱冗余備份設計10</p><p>　　3.2.2鏈路匯聚技術(shù)11</p><p>　　3.2.4VLAN劃分技術(shù)11</p><p>　　3.2.5VPN技術(shù)12</p><p>　　第四章 詳細

15、方案設計14</p><p>　　4.1網(wǎng)絡拓撲設計14</p><p>　　4.1.1網(wǎng)絡拓撲圖及設計說明14</p><p>　　4.1.2主要設備選型說明15</p><p>　　4.2 綜合布線設計24</p><p>　　4.2.1工作區(qū)子系統(tǒng)設計介紹25</p><p>

16、　　4.2.2水平干線子系統(tǒng)設計介紹25</p><p>　　4.2.3管理子系統(tǒng)設計介紹26</p><p>　　4.2.4垂直主干線子系統(tǒng)設計介紹26</p><p>　　4.2.5設備間子系統(tǒng)設計介紹27</p><p>　　4.2.6建筑群子系統(tǒng)設計介紹27</p><p>　　4.3 冗余設計28

17、</p><p>　　4.1 網(wǎng)絡中心機房規(guī)劃與設計29</p><p>　　4.5 系統(tǒng)與應用軟件的選型與設計31</p><p>　　4.6 無線補充網(wǎng)絡規(guī)劃設計32</p><p>　　第五章 VLAN、IP劃分方案33</p><p>　　5.1 Vlan、Ip技術(shù)介紹33</p>&l

18、t;p>　　5.1.1地址規(guī)劃和分配原則33</p><p>　　5.1.2劃分VLAN的作用及原則35</p><p>　　5.2 VLAN、IP劃分方案（VLSM/CIDR）36</p><p>　　第六章 網(wǎng)絡管理與安全方案37</p><p>　　6.1 網(wǎng)絡管理方案37</p><p>　　6

19、.2 網(wǎng)絡安全方案38</p><p>　　第七章 測試與驗收40</p><p>　　7.1 測試目標及其驗收標準40</p><p>　　7.1.1測試方式40</p><p>　　7.1.2測試指標41</p><p>　　7.2 網(wǎng)絡系統(tǒng)的試運行41</p><p>　　7.

20、3 網(wǎng)絡系統(tǒng)的驗收41</p><p>　　7.4 網(wǎng)絡交接與維護42</p><p>　　7.4.1網(wǎng)絡系統(tǒng)交接42</p><p>　　7.4.2網(wǎng)絡系統(tǒng)維護42</p><p>　　第八章 項目預算43</p><p>　　8.1 布線材料清單及報價43</p><p>　　8

21、.2 網(wǎng)絡設備清單及報價44</p><p><b>　　設計總結(jié)47</b></p><p><b>　　參考文獻48</b></p><p>　　附錄一 英文資料原文49</p><p>　　附錄二 英文資料譯文49</p><p><b>　　致謝

22、62</b></p><p><b>　　公司描述</b></p><p>　　華迪信息技術(shù)有限公司位于四川省成都郫縣，是一家以培訓為主，軟件研發(fā)為輔的中小企業(yè)，占地約1000畝，公司員工約100人左右，培訓學生600人左右。下面是公司的物理位置分布圖，如圖1.1所示：</p><p>　　圖1.1 華迪物理區(qū)域圖</p>

23、;<p>　　四川華迪信息技術(shù)有限公司新建大樓包括教學區(qū)和辦公區(qū)，旁邊有一座學生公寓，另洛陽分公司和重慶公公司（辦事處）通過電信專線連入成都總部，本設計主要設計成都的網(wǎng)絡方案。四川華迪網(wǎng)絡包括3個區(qū)域，其中辦公樓包括80個數(shù)據(jù)點，80個語音點，宿舍區(qū)包括150個數(shù)據(jù)點，150個語音點，教學樓包括480個數(shù)據(jù)點，50個語音點。下表1.1是公司的信息點分布情況：</p><p>　　表1.1 華迪公司信

24、息點分布表</p><p><b>　　需求分析</b></p><p>　　2.1 現(xiàn)有狀況和新需求</p><p>　　成都華迪是一家集計算機培訓、軟件研發(fā)、電子政務的中小企業(yè)，原始的網(wǎng)絡設備陳舊且破損嚴重，寬帶速度低，網(wǎng)絡故障頻發(fā)，并且許多應用軟件效率低，與新的PC系統(tǒng)兼容性差，嚴重阻礙了公司業(yè)務的發(fā)展，使公司在市場競爭中處于不利地位。為

25、了加快公司信息化建設，新的企業(yè)網(wǎng)將建設一個以辦公自動化、電子商務、業(yè)務綜合管理、多媒體視頻會議、遠程通訊、信息發(fā)布及網(wǎng)絡教學為核心，以現(xiàn)代網(wǎng)絡技術(shù)為依托，技術(shù)先進、擴展性強，將公司的的各種辦公室、多媒體會議室、PC終端設備、應用系統(tǒng)通過網(wǎng)絡連接起來，實現(xiàn)內(nèi)、外溝通的現(xiàn)代化計算機網(wǎng)絡系統(tǒng)。該網(wǎng)絡系統(tǒng)是支持辦公自動化、財務管理、ERP以及各應用系統(tǒng)運行的基礎設施，為了確保這些關鍵應用系統(tǒng)的正常運行、安全和發(fā)展，系統(tǒng)必須具備如下的特性：<

26、;/p><p>　　1、公司網(wǎng)要求采用千兆以太網(wǎng)主干交換機，10M/100M交換到桌面。結(jié)構(gòu)化的綜合布線，采用先進穩(wěn)定的設備，保證教學和辦公的網(wǎng)速流暢。提供一套可監(jiān)控，易管理，可擴展，易升級的高效網(wǎng)絡系統(tǒng)。建成的網(wǎng)絡留有冗余，滿足企業(yè)今后對網(wǎng)絡發(fā)展的需求，</p><p>　　2、主流的軟件應用系統(tǒng)，包括財務系統(tǒng)、多媒體教學系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、自動化辦公系統(tǒng)等。</p><p

27、>　　2.2 系統(tǒng)設計原則</p><p>　　系統(tǒng)設計原則需要滿足以下要求：</p><p>　　統(tǒng)一性：網(wǎng)絡要統(tǒng)一規(guī)劃，分步實施，便于網(wǎng)絡管理。</p><p>　　完整性：整個網(wǎng)絡的系統(tǒng)功能、數(shù)據(jù)安全、網(wǎng)絡管理等方面應有充分的保證。</p><p>　　實用性：當今世界計算機和通信技術(shù)處于高速發(fā)展階段，新的技術(shù)和新的產(chǎn)品不斷的出現(xiàn)

28、，但是一些新的技術(shù)和設備往往存在不成熟和不完善等問題，需要在使用過程中不斷的完善，但給用戶帶來的問題將是：系統(tǒng)不穩(wěn)定、不可靠，存在安全隱患，而且造成了大量不必要的資金浪費，運行和維護費用大大增加。所以本系統(tǒng)在充分滿足系統(tǒng)應用需求的前提下，應采用先進的、成熟的、實用性強的技術(shù)和產(chǎn)品，不盲目的追求設備的高檔、技術(shù)的超前。以免造成不必要的資金浪費，從而使系統(tǒng)具有較強的實用性。</p><p>　　可靠性與有效性：網(wǎng)絡系

29、統(tǒng)作為其他應用系統(tǒng)的基礎，如發(fā)生系統(tǒng)癱瘓，其造成的損失是難以估量的，因此系統(tǒng)必須可靠地連續(xù)運行，即系統(tǒng)設計必須從系統(tǒng)結(jié)構(gòu)、設計方案、設備選擇、廠商的技術(shù)服務與維修響應能力、設備備件供應能力等方面考慮，使故障發(fā)生的可能性盡可能少，影響面盡可能小.它應該能實現(xiàn)內(nèi)部辦公事務和外部事務處理的整合。</p><p>　　適應性：用戶信息網(wǎng)站應采用大型關系數(shù)據(jù)庫,模塊化等先進成熟的技術(shù)方法,在給用戶提供了極大的靈活性的同時,

30、也有效地保證了系統(tǒng)的可靠性。</p><p>　　可擴展性：由于計算機和通信技術(shù)的不斷發(fā)展，用戶的需求也在隨著時間的推移不斷的發(fā)生變化，以及由于應用軟件種類和業(yè)務數(shù)量的增加，功能的強化，系統(tǒng)軟件的升級將對主機和網(wǎng)絡系統(tǒng)提出更高的要求，網(wǎng)絡構(gòu)造應具有高度的擴展性,以降低系統(tǒng)擴充的投入成本,并滿足信息技術(shù)高速發(fā)展的需要.能適應2-3年內(nèi)的業(yè)務增長和突發(fā)性事件的需要,確保各級系統(tǒng)的可擴充性和先進性,并注意設備的冗余設計

31、以及網(wǎng)絡的負載均衡。</p><p>　　安全性：信息安全是企業(yè)信息網(wǎng)實施的第一要素,網(wǎng)絡系統(tǒng)不但要能夠?qū)崿F(xiàn)功能,更重要的是要穩(wěn)定安全. 因此,應采取如下技術(shù)以增強網(wǎng)絡的安全性:設備的安全性,應用級的安全性,網(wǎng)絡級的安全性,數(shù)據(jù)級的安全性。合理的網(wǎng)絡安全控制，可以使應用環(huán)境中的信息資源得到有效的保護可以有效的控制網(wǎng)絡的訪問，靈活的實施網(wǎng)絡的安全控制策略。在企業(yè)園區(qū)網(wǎng)絡中，關鍵應用服務器、核心網(wǎng)絡設備，只有系統(tǒng)管理

32、人員才有操作、控制的權(quán)力。應用客戶端只有訪問共享資源的權(quán)限，網(wǎng)絡應該能夠阻止任何的非法操作。在園區(qū)網(wǎng)絡設備上應該可以進行基于協(xié)議、基于Mac地址、基于IP地址的包過濾控制功能。在大規(guī)模園區(qū)網(wǎng)絡的設計上，劃分虛擬子網(wǎng)，一方面可以有效的隔離子網(wǎng)內(nèi)的大量廣播，另一方面隔離網(wǎng)絡子網(wǎng)間的通訊，控制了資源的訪問權(quán)限，提高了網(wǎng)絡的安全性。在設計園區(qū)網(wǎng)的原則上必須強調(diào)網(wǎng)絡安全控制能力，使網(wǎng)絡可以任意連接，又可以從第二層、第三層控制網(wǎng)絡的訪問。</

33、p><p>　　可管理性：網(wǎng)絡中的任何設備均可以通過網(wǎng)絡管理平臺進行控制，網(wǎng)絡的設備狀態(tài)，故障報警等都可以通過網(wǎng)管平臺進行監(jiān)控，通過網(wǎng)絡管理平臺簡化管理工作，提高網(wǎng)絡管理的效率。在進行網(wǎng)絡設計時，選擇先進的網(wǎng)絡管理軟件是必不可少的。網(wǎng)絡管理軟件應用于網(wǎng)絡的設備配置，網(wǎng)絡拓撲結(jié)構(gòu)表示，網(wǎng)絡設備的狀態(tài)顯示，網(wǎng)絡設備的故障事件報警，網(wǎng)絡流量統(tǒng)計分析以及計費等。網(wǎng)管軟件的應用可以提高網(wǎng)絡管理的效率，減輕網(wǎng)絡管理人員的負擔。網(wǎng)

34、絡管理的目標是實現(xiàn)零管理，基于策略的管理方式，網(wǎng)絡管理是通過制定統(tǒng)一的策略，由管理策略服務器進行全局控制的。基于Web的網(wǎng)管界面，是網(wǎng)管軟件的發(fā)展趨勢，靈活的操作方式簡化了管理人員的工作。在設計園區(qū)網(wǎng)的設備選擇上，要求網(wǎng)絡設備支持標準的網(wǎng)絡管理協(xié)議SNMP，同時支持RMON/RMONII協(xié)議，核心設備要求支持 RAP (遠程分析端口) 協(xié)議，實施充分的網(wǎng)絡管理功能。在設計園區(qū)網(wǎng)的原則上應該要求設備的可管理性，同時先進的網(wǎng)管軟件可以支持網(wǎng)

35、絡維護、監(jiān)控、配置等功能。</p><p>　　經(jīng)濟性：在充分滿足系統(tǒng)應用需求的前提下，應采用先進的，成熟的，實用性強的技術(shù)和產(chǎn)品，不盲目追求設備的高檔，技術(shù)的超前，以免造成不必要的資金浪費，從而使系統(tǒng)具有較強的經(jīng)濟性，采用性價比高的方案，盡可能降低造價，實現(xiàn)最優(yōu)的性能價格比。</p><p>　　標準性：滿足最新、最高的布線系統(tǒng)標準（如國家標準：CECS 72:97和CECS 89:97

36、、國際標準：ISO/IEC 11801、歐洲標準：EN50173等），本方案要求可滿足目前最新的6類的技術(shù)標準（草案）的要求。</p><p>　　2.3 網(wǎng)絡建設需求</p><p>　　網(wǎng)絡在日常辦公環(huán)境中起著至關重要的作用，企業(yè)網(wǎng)的運作模式會帶來大量動態(tài)的www應用數(shù)據(jù)傳輸，這就要求網(wǎng)絡有足夠的主干帶寬和擴展能力。同時，一些新的應用類型，如網(wǎng)絡教學、視頻直播/廣播、文件共享等，也對網(wǎng)

37、絡提出了支持多點廣播和寬帶高速接入的要求。中心機房到匯聚層節(jié)點采用4兆光纖（多模）連接，匯聚層到接入層采用百兆的五類線（或者超五類）連接。有了硬件的強硬支持，軟件的穩(wěn)定可靠是網(wǎng)絡的靈魂。</p><p><b>　　2.3.1硬件需求</b></p><p>　　華迪主樓包括教學區(qū)和辦公區(qū)，華迪公司中心機房位于教學區(qū)一樓配線間，通過光纜與其他配線間相連。主干1000M

38、帶寬，以100M接入到工作臺桌面；整個華迪信息公司大樓分為左右兩半部份，左右兩部份相距150米，采用光纖連接。學生公寓和華迪主樓通過光纖（500m）相連；中心采用三層交換機實現(xiàn)網(wǎng)絡交換路由，可采用千兆光模塊。</p><p>　　硬件是華迪總部所使用的設備，在能滿足所有系統(tǒng)的要求的前提下，采用先進、成熟、完善、實用性強的技術(shù)和產(chǎn)品，不盲目追求設備的高檔，以及技術(shù)的超前。選擇符合需求的服務器、交換機、路由器、防火墻

39、等網(wǎng)絡設備，以及線纜、機柜、等綜合布線設備，必須符合系統(tǒng)設計原則。</p><p><b>　　2.3.2軟件需求</b></p><p>　　主機系統(tǒng)應采用國際上較新的主流技術(shù)，并具有良好的向后擴展能力。系統(tǒng)具有高的可靠性和有效性,能長時間連續(xù)工作，并有糾錯措施.支持通用型數(shù)據(jù)庫，如sql、oracle等.具有廣泛的軟件支持,軟件兼容性好，并應支持多種傳輸協(xié)議。能與

40、Internet互聯(lián),可提供互聯(lián)網(wǎng)的應用。如WWW瀏覽服務,FTP文件傳輸服務，E-email電子郵件服務等服務。應支持SNMP網(wǎng)絡管理協(xié)議,具有良好的可管理性和可維護性。</p><p>　　2.4 互聯(lián)網(wǎng)接入要求</p><p>　　互聯(lián)網(wǎng)接入是通過特定的信息采集與共享的傳輸通道，利用電話線撥號接入（PSTN）、ISDN、xDSL、光纖寬帶接入等接入傳輸技術(shù)完成用戶與IP廣域網(wǎng)的高帶寬

41、、高速度的物理連接。華迪公司為了構(gòu)建辦公網(wǎng)絡，合理控制辦公用戶互聯(lián)網(wǎng)接入與訪問，同時滿足費用實惠，傳輸性能可靠的需求，外網(wǎng)要求通過硬件防火墻接入，在成都這一區(qū)域通過租用電信部門的FR/DDN專線接入，移動用戶通過虛擬專有網(wǎng)絡(VPN)接入華迪總公司辦公區(qū)。</p><p><b>　　2.5 服務器要求</b></p><p>　　一臺OA服務器，一臺FTP服務器，一

42、臺系統(tǒng)管理服務器（DHCP/DNS/WINS），一臺外網(wǎng)WEB服務器（可兼做外網(wǎng)VPN訪問），兩臺ERP數(shù)據(jù)庫服務器（雙機熱備）。服務器可根據(jù)需要配置成性能好普通主機，以節(jié)約成本。可以7*24小時不間斷為公司提供服務。</p><p>　　2.6 網(wǎng)絡管理與安全要求</p><p>　　網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄

43、露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。網(wǎng)絡安全主要表現(xiàn)在以下幾個方面：網(wǎng)絡的物理安全、網(wǎng)絡拓撲結(jié)構(gòu)安全、網(wǎng)絡系統(tǒng)安全、應用系統(tǒng)安全和網(wǎng)絡管理的安全等。華迪公司屬于園區(qū)網(wǎng)，安全需求有自己的獨特性和普遍性。先進的設備需要有管理及維護的相關保障，才能為公司的穩(wěn)定、高效的運作，減少不必要的麻煩，提高辦公、教學和通信的效率，在選擇設備和產(chǎn)品時，本方案盡量選擇同一個且在同行中具有較高影響力的廠家（Cisco公司產(chǎn)品），這樣即方便管理，又為以后

44、的擴充及維護帶來便利，同時還具有較高的可靠性和安全性。</p><p><b>　　硬件實體的安全</b></p><p>　　網(wǎng)絡系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網(wǎng)絡工程的設計和施工中，必須優(yōu)先考慮保護人和網(wǎng)絡設備不受電、火災和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的

45、安全；必須建設防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須考慮計算機及其他弱電耐壓設備的防雷?？傮w來說物理安全的風險主要有，地震、水災、火災等環(huán)境事故；電源故障；人為操作失誤或錯誤；設備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機多冗余的設計；機房環(huán)境及報警系統(tǒng)、安全意識等，因此要注意這些安全隱患，同時還要盡量避免網(wǎng)絡的物理安全風險。</p><p>　　物理措施：例如，保護網(wǎng)絡關鍵設備(如交換機、大型計

46、算機等)，制定嚴格的網(wǎng)絡安全規(guī)章制度，采取防輻射、防火以及安裝不間斷電源（UPS）等措施。</p><p>　　應用系統(tǒng)和操作平臺的安全</p><p>　　訪問控制：對用戶訪問網(wǎng)絡資源的權(quán)限進行嚴格的認證和控制。例如，在交換機路由器上進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的權(quán)限，控制網(wǎng)絡設備配置的權(quán)限等等。</p><p>　　數(shù)據(jù)加密：

47、加密是保護數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止計算機網(wǎng)絡病毒，安裝網(wǎng)絡防病毒系統(tǒng)。</p><p>　　漏洞掃描系統(tǒng)：采用最先進的漏洞掃描系統(tǒng)定期對工作站、服務器、交換機等進行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細可靠的安全性分析報告，為提高網(wǎng)絡安全整體水平產(chǎn)生重要依據(jù)。</p><p>　　部署IDS入侵檢測系統(tǒng)：為信息系統(tǒng)提供安全體系管理、監(jiān)控，

48、渠護及緊急情況服務。</p><p>　　部署防火墻：在防火墻上設置ACL（訪問控制列表），禁止存在安全脆弱性的服務進出網(wǎng)絡，并抗擊來自各種路線的攻擊。在防火墻上可以很方便的監(jiān)視網(wǎng)絡的安全性，并產(chǎn)生報警，網(wǎng)絡管理員必須審計并記錄所有通過防火墻的重要信息。</p><p>　　網(wǎng)絡版殺毒產(chǎn)品部署：安裝市場主流的殺毒軟件，阻止病毒在網(wǎng)內(nèi)感染、傳播和發(fā)作。</p><p>

49、;　　網(wǎng)絡上網(wǎng)行為管理：網(wǎng)絡安全最重要的還是要思想上高度重視，網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網(wǎng)絡安全制度與策略是真正實現(xiàn)網(wǎng)絡安全的基礎。</p><p><b>　　2.7 QoS</b></p><p>　　QoS（Quality of Service）服務質(zhì)量，是網(wǎng)絡的一種安全機制， 是用來解決網(wǎng)絡延遲和阻塞等問題的一種技

50、術(shù)。 在正常情況下，如果網(wǎng)絡只用于特定的無時間限制的應用系統(tǒng)，并不需要QoS，比如Web應用，或E-mail設置等。但是對關鍵應用和多媒體應用就十分必要。當網(wǎng)絡過載或擁塞時，QoS 能確保重要業(yè)務量不受延遲或丟棄，同時保證網(wǎng)絡的高效運行。</p><p>　　對于網(wǎng)絡業(yè)務，服務質(zhì)量包括傳輸?shù)膸挕魉偷臅r延、數(shù)據(jù)的丟包率等。在網(wǎng)絡中可以通過保證傳輸?shù)膸?、降低傳送的時延、降低數(shù)據(jù)的丟包率以及時延抖動等措施來提高服

51、務質(zhì)量。</p><p>　　華迪公司需要實時教學系統(tǒng)和視頻會議的穩(wěn)定傳輸，同時保證語音服務的通暢，通過MPLS流量工程得到需要QoS的應用，通過流量約定（SLA,Service Level Agreement服務等級協(xié)議）給數(shù)據(jù)流設定優(yōu)先級，以此在網(wǎng)絡/協(xié)議層面上，根據(jù)相互商定的尺度，設定有保障的性能、通過量、延遲等界限。一些特定形式的網(wǎng)絡數(shù)據(jù)流需要定義服務質(zhì)量，例如：多媒體流要求有保障的通過量，IP電話需要嚴

52、格的抖動和延遲限制，性命攸關的應用系統(tǒng)，例如遠程電子操作。</p><p><b>　　2.8 可行性分析</b></p><p>　　通過對該企業(yè)主樓的現(xiàn)場調(diào)查和需求分析后，對其可行性進行分析。</p><p>　　技術(shù)上可行：該系統(tǒng)所需硬件設備，市場上銷售且價格較低，操作系統(tǒng)采用linux、Windows系列操作系統(tǒng)，數(shù)據(jù)庫采用mysql，

53、這些軟件已被大量應用，技術(shù)上都比較成熟。因此在技術(shù)上是可行的。</p><p>　　經(jīng)濟上可行：網(wǎng)絡企業(yè)主要的是實現(xiàn)辦公自動化和信息化。網(wǎng)絡是網(wǎng)絡企業(yè)發(fā)展的命脈和根本，沒有網(wǎng)絡該類型企業(yè)無法發(fā)展。因此，這項投入是企業(yè)必須的。因此經(jīng)濟上沒有問題。</p><p>　　管理上可行：整個公司的辦公資料是通過辦公服務器集中存儲處理的，整個網(wǎng)絡設備都是集中的機房并且具有專人進行維護。因此可以達到了集

54、中管理。管理上是可行的。</p><p>　　綜上所述，設計建設該網(wǎng)絡項目在技術(shù)上、經(jīng)濟上、管理上都是可行的。</p><p><b>　　總體方案設計</b></p><p>　　根據(jù)華迪的地理位置圖設計總體方案，四川華迪信息技術(shù)有限公司新建大樓包括教學區(qū)，辦公區(qū)、學生公寓，另洛陽分公司和重慶公公司（辦事處）通過電信專線連入成都總部。本次設計

55、主要建設成都華迪的網(wǎng)絡，根據(jù)第二章的需求，華迪的主體網(wǎng)絡分布情況如下圖：</p><p>　　圖3.1 華迪總體網(wǎng)絡覆蓋圖</p><p>　　3.1 網(wǎng)絡邏輯方案設計</p><p>　　下圖3.2是成都華迪的網(wǎng)絡拓撲邏輯方案設計：</p><p>　　圖3.2 邏輯方案設計圖</p><p>　　華迪公司新辦公大樓

56、網(wǎng)絡設計遵循分層設計的原則，網(wǎng)絡從核心層、匯聚層、接入層星形分布，以先進的成熟的網(wǎng)絡應用技術(shù)設計和規(guī)劃該公司網(wǎng)絡系統(tǒng)，從實際出發(fā)，正確的規(guī)劃和設計計算機網(wǎng)絡，為企業(yè)實現(xiàn)數(shù)據(jù)共享、資源共享，提供穩(wěn)定的信息交換和網(wǎng)絡系統(tǒng)服務。整個局域網(wǎng)絡采用多層數(shù)據(jù)交換原則設計，這樣的設計方案使得整個局域網(wǎng)的運維管理，以及網(wǎng)絡故障排除變的更加簡單，減少了網(wǎng)絡管理員的工作負責性，并且使未來的升級變的更簡單且迅速。</p><p>　　

57、3.2 關鍵技術(shù)構(gòu)思設計</p><p>　　3.2.1雙核心熱冗余備份設計</p><p>　　為保障網(wǎng)絡具有99.999%的電信級高可靠性，實施時采用雙核心、雙鏈路的設計方案。該方式的好處在于，任意一臺核心交換機的故障，或者任意一條上行鏈路的故障，均不會影響網(wǎng)絡的穩(wěn)定運行，備用交換機或備用線路會智能地啟用起來。</p><p>　　圖3.3 熱冗余備份示意圖&l

58、t;/p><p>　　要實現(xiàn)這樣的熱冗余備份機制，需要在核心交換機上啟用VRRP（虛擬熱冗余備份協(xié)議）和MSTP（多生成樹協(xié)議）。VRRP協(xié)議主要用于兩臺核心設備面向接入用戶虛擬出一個實時可用的IP地址，實現(xiàn)核心設備間的智能熱備份；MSTP協(xié)議則主要用于避免VLAN內(nèi)部出現(xiàn)環(huán)路，配合VRRP協(xié)議實現(xiàn)線路的智能熱備份。核心交換機與出口路由器之間啟用動態(tài)路由協(xié)議，實現(xiàn)與VRRP/MSTP的配合切換。</p>

59、<p>　　3.2.2鏈路匯聚技術(shù)</p><p>　　鏈路聚合（Link Aggregation）又稱Trunk，是指將多個物理端口捆綁在一起，成為一個邏輯端口，以實現(xiàn)出/ 入流量在各成員端口中的負荷分擔，交換機根據(jù)用戶配置的端口負荷分擔策略決定報文從哪一個成員端口發(fā)送到對端的交換機。當交換機檢測到其中一個成員端口的鏈路發(fā)生故障時，就停止在此端口上發(fā)送報文，并根據(jù)負荷分擔策略在剩下鏈路中重新計算報文

60、發(fā)送的端口，故障端口恢復后再次重新計算報文發(fā)送端口。鏈路聚合在增加鏈路帶寬、實現(xiàn)鏈路傳輸彈性和冗余等方面是一項很重要的技術(shù)。</p><p>　　邏輯鏈路的帶寬增加了大約(n-1)倍，這里，n為聚合的路數(shù)。另外，聚合后，可靠性大大提高，因為，n條鏈路中只要有一條可以正常工作，則這個鏈路就可以工作。除此之外，鏈路聚合可以實現(xiàn)負載均衡。因為，通過鏈路聚合連接在一起的兩個（或多個）交換機（或其他網(wǎng)絡設備），通過內(nèi)部控制

61、，也可以合理地將數(shù)據(jù)分配在被聚合連接的設備上，實現(xiàn)負載分擔。</p><p>　　捆綁接口必須屬于同一vlan。如果是truck，捆綁端口必須屬于truck模式；具有相同的 native-vlan ID；每個接口都必須有相同的速度和雙工模式；生成樹設置必須一致。 </p><p>　　圖3.4 鏈路聚合示意圖</p><p>　　鏈路聚合在接入層

62、面可以增加帶寬和線路冗余，起到負載均衡的效果，同時同一VLAN和部門的成員訪問更加迅速。</p><p>　　3.2.4VLAN劃分技術(shù)</p><p>　　VLAN（Virtual Local Area Network）稱為虛擬局域網(wǎng)，是指在邏輯上將物理的LAN分成不同小的邏輯子網(wǎng)，每一個邏輯子網(wǎng)就是一個單獨的播域。簡單地說，就是將一個大的物理的局域網(wǎng)（LAN）在交換機上通過軟件劃分成若

63、干個小的虛擬的局域網(wǎng)（VLAN）。因為交換機通信的原理就是要通過“廣播”來發(fā)現(xiàn)通往的目的MAC地址，以便在交換機內(nèi)部的MAC數(shù)據(jù)庫建立MAC地址表，而廣播不能跨越不同網(wǎng)段。</p><p>　　VLAN技術(shù)的出現(xiàn)，使得管理員根據(jù)實際應用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏 輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理 上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，而不是

64、從物理上劃分，所以同一個 VLAN內(nèi)的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理LAN網(wǎng)段 。由VLAN的特點可知，一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設備投資、簡化網(wǎng)絡管理、提高網(wǎng)絡的安全性。 VLAN除了能將網(wǎng)絡劃 分為多個廣播域，從而有效地控制廣播風暴的發(fā)生，以及使網(wǎng)絡的拓撲結(jié)構(gòu)變得非常靈活的優(yōu)點外，還可以用于控制網(wǎng)絡中不同部門、不同站點之間的互相訪問。<

65、/p><p>　　通過劃分VLAN子網(wǎng)，能劃小了廣播域，避免了數(shù)據(jù)碰撞在大的物理LAN內(nèi)產(chǎn)生嚴重后果的可能，也避免了廣播風暴的產(chǎn)生。提高交換網(wǎng)絡的交換效率，保證網(wǎng)絡穩(wěn)定。提高網(wǎng)絡安全性，通過劃分VLAN，LAN被劃分不同子網(wǎng)段，因此不能直接通信。必要的通信必須經(jīng)過路由來實現(xiàn)，因此可在路由器（或三層交換機）上配置訪問列表來進行跨子網(wǎng)段的授權(quán)訪問，從而提高公司內(nèi)部網(wǎng)絡訪問的安全性。方便網(wǎng)絡管理：采用VLAN技術(shù)來劃分公司

66、網(wǎng)絡，一個VLAN可以根據(jù)不同的部門、辦公室或者服務器組將不同地理位置的工作站劃分為一個邏輯網(wǎng)段。在不改動網(wǎng)絡物理連接的情況下可以任意地將工作站在子網(wǎng)之間移動，VLAN提供了網(wǎng)段和機構(gòu)的彈性組合機制。VLAN技術(shù)很好的解決了網(wǎng)絡管理的問題，能實現(xiàn)網(wǎng)絡監(jiān)督與管理的自動化，從而更有效的進行網(wǎng)絡監(jiān)控。</p><p>　　3.2.5VPN技術(shù)</p><p>　　VPN屬于遠程訪問技術(shù)，簡單地說

67、就是利用公網(wǎng)鏈路架設私有網(wǎng)絡。例如公司員工出差到外地，他想訪問企業(yè)內(nèi)網(wǎng)的服務器資源，這種訪問就屬于遠程訪問。VPN的解決方法是在內(nèi)網(wǎng)中架設一臺VPN服務器，VPN服務器有兩塊網(wǎng)卡，一塊連接內(nèi)網(wǎng)，一塊連接公網(wǎng)。外地員工在當?shù)剡B上互聯(lián)網(wǎng)后，通過互聯(lián)網(wǎng)找到VPN服務器，然后利用VPN服務器作為跳板進入企業(yè)內(nèi)網(wǎng)。為了保證數(shù)據(jù)安全，VPN服務器和客戶機之間的通訊數(shù)據(jù)都進行了加密處理。有了數(shù)據(jù)加密，就可以認為數(shù)據(jù)是在一條專用的數(shù)據(jù)鏈路上進行安全傳輸

68、，就如同專門架設了一個專用網(wǎng)絡一樣。但實際上VPN使用的是互聯(lián)網(wǎng)上的公用鏈路，因此只能稱為虛擬專用網(wǎng)。即：VPN實質(zhì)上就是利用加密技術(shù)在公網(wǎng)上封裝出一個數(shù)據(jù)通訊隧道。有了VPN技術(shù)，用戶無論是在外地出差還是在家中辦公，只要能上互聯(lián)網(wǎng)就能利用VPN非常方便地訪問內(nèi)網(wǎng)資源。</p><p><b>　　詳細方案設計</b></p><p><b>　　4.1網(wǎng)絡

69、拓撲設計</b></p><p>　　4.1.1網(wǎng)絡拓撲圖及設計說明</p><p>　　根據(jù)華迪公司辦公大樓的的建筑分布及需求分析，設計出如下網(wǎng)絡拓撲結(jié)構(gòu)，華迪公司的網(wǎng)絡拓撲圖如下所示：</p><p>　　拓撲圖請聯(lián)系QQ：1165093813，家的時候就說是請教畢業(yè)設計，也可以發(fā)郵件至QQ郵箱聯(lián)系</p><p>　　圖4.

70、1 華迪新辦大樓拓撲結(jié)構(gòu)圖</p><p>　　在進行拓撲設計時，我們首先從實際情況出發(fā)，華迪公司是由一棟實訓樓和一棟辦公樓。整體來說并非是大型的網(wǎng)絡，并且對網(wǎng)絡速度沒有巨大的要求，主要是建立一個相對穩(wěn)定，可靠易于維護的拓撲型網(wǎng)絡。大多數(shù)的網(wǎng)絡都可以被層次性劃分為三個邏輯服務單元：核心骨干網(wǎng)(Backbone)、匯聚網(wǎng)(Distribute)和接入網(wǎng)(Local－access)，模塊化網(wǎng)絡設計方法的目標在于把一個

71、大型的網(wǎng)絡元素劃分成一個個互連的網(wǎng)絡層次。</p><p>　　本設計方案整體結(jié)構(gòu)主要采用星型結(jié)構(gòu)的層次模型，在教學區(qū)一樓設一個網(wǎng)管中心，管理公司內(nèi)所有網(wǎng)絡及核心設備，為核心層。公司內(nèi)部分為三個區(qū)，辦公區(qū)，教學區(qū)以及學生公寓區(qū)，各區(qū)各設一個匯聚層交換機，負責區(qū)域到中心的連接，此為匯聚層。余下樓層交換機到桌面為接入層。</p><p>　　整個網(wǎng)絡可分為五個區(qū)域，外聯(lián)網(wǎng)區(qū)，教學區(qū)，辦公區(qū)，學

72、生公寓區(qū)，網(wǎng)絡管理中心區(qū)，其中網(wǎng)絡管理中心放置在教學區(qū)一樓。各區(qū)的樓房配線間位于各區(qū)建筑物的一樓。</p><p>　　建筑區(qū)域之間采用單模光纖，垂直子系統(tǒng)采用室內(nèi)多模光纖，以保障主干網(wǎng)絡1000M的帶寬要求，水平子系統(tǒng)采用超五類UTP，保障100M帶寬到桌面。</p><p>　　在和外聯(lián)網(wǎng)相連部分采用硬件防火墻，防火墻DMZ區(qū)放置對外服務的WEB/FTP服務器，同時兼做外網(wǎng)VPN服務器

73、。并且在防火墻和內(nèi)網(wǎng)處采用IDS病毒入侵檢測系統(tǒng)，對服務器和內(nèi)網(wǎng)進行審計和檢測。</p><p>　　4.1.2主要設備選型說明</p><p>　　核心層交換機（2臺）</p><p>　　cisco的網(wǎng)絡設備一直是行業(yè)老大，在這里我們采用cisco6506比較高端的交換機，Cisco6506的交換機高度模塊化，提供插槽的可擴展，電源的可擴展，引擎的可擴展。為日后

74、公司的發(fā)展擴容打好基礎。下面是思科WS-C6506樣圖：</p><p>　　圖4.2 思科WS-C6506樣圖</p><p>　　思科 WS-C6506 詳細參數(shù)表如下：</p><p>　　表4.1 思科 WS-C6506 詳細參數(shù)表</p><p>　　核心交換機搭載的網(wǎng)絡接口板型號為S-X6524-100FX-MMC，該模塊接口卡屬

75、6500系列交換機模塊，如下是它的參數(shù)表：</p><p>　　圖4.3 S-X6524-100FX-MMC模塊參數(shù)表</p><p>　　根據(jù)用戶需求，主干設計保證1000M帶寬，到工作臺桌面保證100M接入，中心采用三層交換機實現(xiàn)網(wǎng)絡交換路由，采用千兆光模塊。中心我們選擇三層交換機實現(xiàn)數(shù)據(jù)的高速交換同時實現(xiàn)局域網(wǎng)路由。因此同時選擇購買WS-X6516-GBIC作為千兆光模塊實現(xiàn)與匯聚

76、層的連接依次實現(xiàn)千兆主干網(wǎng)，百兆到桌面，它是16端口千兆位以太網(wǎng)光纖接口模塊。</p><p>　　如上核心交換機設計的優(yōu)點：</p><p>　　可靠性和可擴展性：模塊化設計，雙電源的設計保證了中心交換機的供電的冗余。</p><p>　　性價比：cisco6506與其他廠商同類產(chǎn)品相比更有競爭力。</p><p>　　Cisco IOS軟

77、件模塊化：模塊化提高了運營效率，最大限度地縮短了停機時間。實施模塊化后，Cisco IOS子系統(tǒng)能作為獨立、可自行恢復的進程運行，通過故障抑制和狀態(tài)化進程重啟，縮短了計劃外停機時間；通過子系統(tǒng)運行中軟件升級（ISSU）簡化了軟件改動，集成了嵌入式事件管理器（EEM），從而能在進程級自動控制策略。</p><p>　　最高PoE 可擴展性：提供了支持高密度PoE 部署所需的電源可擴展性；6 插槽和9 插槽機箱（C6

78、506-E和 C6509-E 型號）的設計超越了當前的6000W 電源；E 系列機箱支持所有現(xiàn)有控制引擎、線卡、交換矩陣和軟件版本</p><p>　　Supervisor Engine 720 ：面向企業(yè)核心、分布層和數(shù)據(jù)中心：高達720Gbps 的交換矩陣連接和高達40Mpps 的交換性能；支持全新加速思科快速轉(zhuǎn)發(fā)（CEF720）和分布式思科快速轉(zhuǎn)發(fā)（dCEF720）接口模塊；通過硬件支持IPv6 和MPLS

79、；支持第三層路由協(xié)議。</p><p>　　Supervisor Engine 32：面向智能配線間以及經(jīng)濟高效的低端核心和分布層部署；擁有一條到模塊的32Gbps共享總線連接；支持高達15Mpps的交換性能；集中第二層、第三層轉(zhuǎn)發(fā)，有2種型號：8端口1GE型號或2 端口10GbE 上行鏈路。</p><p>　　2、匯聚層交換機 （4臺）</p><p>　　用戶

80、需求是千兆主干，百兆到桌面。所以為了達到以上用戶需求，考慮到核心層交換機我們必須選擇配有光纖接口的交換設備，而cisco3750就適合這一要求，具有1000兆光纖接口，它不僅能支持二層而且還能支持三層服務，同時采用與核心交換機相同的cisco的設備達到系統(tǒng)很好兼容性的要求，便于管理。</p><p>　　圖4.3 CISCO WS-C3750-24TS-E樣圖</p><p>　　CISC

81、O WS-C3750-24TS-E的詳細參數(shù)表如下所示：</p><p>　　表4.4 CISCO WS-C3750-24TS-E的詳細參數(shù)表</p><p>　　匯聚層如此選材設計的優(yōu)點：</p><p>　　Cisco Catalyst 3750 系列交換機是一款適用于中型機構(gòu)和大型企業(yè)分支機構(gòu)的創(chuàng)新產(chǎn)品。該交換機采用了Cisco StackWise技術(shù)，通過結(jié)

82、合易用性和可堆疊交換機的最高永續(xù)性，提高了局域網(wǎng)運行效率。適用于需要低密度接入，具有交換機堆疊功能、第二層以上或第三層特性，以及一或多條光纖上行鏈路的網(wǎng)絡。</p><p>　　可用性：802.1S/W支持基于標準的容錯性、負載均衡和迅速恢復；Flexlink特性提供了不到100ms的快速收斂；PVST+ 則通過允許流量在冗余鏈路上傳輸，增加了可用帶寬。</p><p>　　Cisco S

83、tackWise 技術(shù)：單一IP 地址和單一命令行界面（CLI）簡化了管理；32-Gbps 永續(xù)架構(gòu)加速了收斂；1∶N堆疊采用了冗余和第三層上行鏈路永續(xù)性、跨堆疊Cisco EtherChannel 技術(shù)及QoS，提高了可用性；自動配置和Cisco IOS 軟件版本檢查和升級加速了部署過程；交換機的熱添加和刪除能保持堆疊持續(xù)運行。</p><p>　　370W PoE 簡化了IP 電話、無線和視頻監(jiān)視部署；智能電

84、源管理特性增強了控制能力，有助于更好地利用功率預算；PoE 與快速以太網(wǎng)或千兆以太網(wǎng)型號相結(jié)合，能最大限度地利用現(xiàn)有基礎設施投資。</p><p>　　接入交換機 （36臺）</p><p>　　為了達到系統(tǒng)最佳的兼容性我們繼續(xù)采用cisco的設備，根據(jù)百兆到桌面的要求，cisco2950較低的端口密度和價格，高性能10/100Mbps 連接便能達到要求。并提供24接口，支持堆疊。如下是C

85、ISCO WS-C2950-24樣圖：</p><p>　　圖4.4 CISCO WS-C2950-24樣圖</p><p>　　下表是CISCO WS-C2950-24的詳細參數(shù)表：</p><p>　　表4.5 CISCO WS-C2950-24的詳細參數(shù)表</p><p>　　Cisco Catalyst 2950 在接入層選材和設計的

86、優(yōu)點：</p><p>　　Cisco Catalyst 2950 系列交換機是小型、獨立、可管理的交換機，帶8 個快速以太網(wǎng)端口和一條集成快速以太網(wǎng)或千兆以太網(wǎng)上行鏈路。 這些交換機是專門為在終端用戶工作間配線間外使用而設計的，擁有堅固的金屬外殼，無風扇，因此運行安靜，便于在墻壁或桌下安裝，安全的鎖定槽可防竊，它還配備了一條電纜導槽，可以保護以太網(wǎng)電纜和交換機。</p><p>　　網(wǎng)絡

87、管理提供了集中管理和配置，以簡化部署及后續(xù)維護；基于PC；適用于最多不超過20 個設備的網(wǎng)絡快速設置，Web 瀏覽器工具支持簡單的交換機設置，以便新手也能完成基本配置。</p><p>　　4、入侵檢測系統(tǒng)：IDS</p><p>　　品牌型號：鷹眼入侵檢測分布型NIDS100-D1E </p><p>　　系統(tǒng)：分布式單探頭百兆檢測引擎</p>&

88、lt;p><b>　　功能特點：</b></p><p>　　a、強大的入侵檢測能力，可識別30大類、上千種入侵行為，如后門程攻擊、分布式拒絕服務攻擊、遠程溢出攻擊、帳號試探性攻擊、FTP攻擊、Ping攻擊、Netbios 攻擊、遠程服務攻擊、掃描攻擊、郵件服務器攻擊、遠程登錄攻擊、簡單文件傳輸服務攻擊等。</p><p>　　b、高性能的核心抓包機制。<

89、/p><p>　　c、功能強大的事件管理。</p><p>　　d、多樣化的報警響應方式。</p><p>　　e、大規(guī)模網(wǎng)絡下的入侵檢測能力。</p><p>　　f、強大的協(xié)作聯(lián)動能力。</p><p>　　g、靈活的入侵規(guī)則定制。</p><p>　　h、可持續(xù)的規(guī)則庫升級。</p>

90、;<p>　　i、完備的自身安全性。</p><p>　　j、方便易用的WEB管理方式。</p><p>　　k、同時，鷹眼網(wǎng)絡入侵檢測系統(tǒng)具有以下六種報警響應方式：數(shù)據(jù)庫報、電子郵件報警、SNMP TRAP告警、SYSLOG告警主動切斷、防火墻聯(lián)動響應。</p><p>　　5、服務器：(5臺)</p><p>　　因為公司

91、的規(guī)模小，要建立一個100多人的OA辦公系統(tǒng)，且WEB服務器平時訪問量不大，、FTP服務器只用于員工資源的上傳與下載，從可靠性和節(jié)省角度出發(fā)，打算公司的服務器采用組裝服務器。</p><p>　　表4.6 服務器配置表</p><p>　　Intel至強4核心處理器，大容量擴展內(nèi)存，大容量磁盤陣列，英特爾5500芯片組服務器主板，為了數(shù)據(jù)安全，用RAID 0+1保證速度和數(shù)據(jù)備份。WEB服

92、務器對安全穩(wěn)定要有一定保障，為了7*24小時不間斷供電，所以在預算充足下考慮低端的UPSX2電源。</p><p>　　六、防火墻 （1臺）</p><p>　　1.品牌型號：龍馬衛(wèi)士防火墻 WLMB-1000SX </p><p>　　2.接口及帶寬：2*1000M+1*100M</p><p><b>　　選購理由：</b

93、></p><p>　?。?）傳統(tǒng)防火墻一般是以IP地址為核心進行訪問監(jiān)控，而新一代的龍馬衛(wèi)士防火墻是以用戶為核心進行訪問監(jiān)控，實現(xiàn)了用戶的認證，授權(quán)，記帳（AAA）功能。</p><p>　　認證（Authentication）：用來證明用戶的真實身份，如：“我是用戶Bob，我的密碼證明了我確實是?！碑斢脩敉ㄟ^防火墻進行訪問時，首先需要對其身份進行認證，認證方式簡單方便，認證的工具

94、可以是任何支持認證的網(wǎng)頁瀏覽器如Microsoft Internet Explorer（IE）或Netscape，身份認證是基于密碼技術(shù)的，對管理員用戶名和口令在傳輸時進行加密，并且，對防火墻和控制端之間通過網(wǎng)絡傳輸?shù)乃袛?shù)據(jù)全部加密，這樣有效地防止了在網(wǎng)絡傳輸過程中數(shù)據(jù)被竊聽、篡改，達到更高可靠性的身份認證。龍馬衛(wèi)士防火墻支持多種認證方式，如用戶名和口令，一次性口令認證（OTP）、PAM、PAP/CHAP、MS-CHAP、NT-Dom

95、ain、Radius、Kerberos、LDAP等，并可以根據(jù)用戶需求擴展其他認證方式。</p><p>　　授權(quán)（Authorization）：在經(jīng)過了認證后，授權(quán)決定了該用戶可以進行何種訪問活動，如：“用戶Bob可以對主機NT_host進行Telnet訪問?！饼堮R衛(wèi)士防火墻可以對所有用戶進行分組管理，對用戶組進行授權(quán)。認證通過后確定用戶所屬的用戶組，系統(tǒng)將檢查安全策略中對此用戶組的授權(quán)。用戶被授權(quán)后所有的資源

96、訪問能夠進行記錄實現(xiàn)記帳。</p><p>　　記帳（Accounting）：記錄了用戶實際上進行的訪問活動，如某個用戶進行了何種訪問，對誰進行了訪問等信息，如：“用戶早10：00從自己的主機對主機NT_host進行了Telnet訪問?！饼堮R衛(wèi)士防火墻跟蹤所有用戶的訪問記錄，為系統(tǒng)審計，發(fā)現(xiàn)入侵活動等提供分析依據(jù)。</p><p>　　龍馬衛(wèi)士防火墻的AAA模塊主要由網(wǎng)絡訪問服務器（NAS

97、）以及認證控制服務器（ACS）兩部分組成。認證控制服務器是一個標準的Radius認證服務器，完全遵循RFC2865、2866和部分2869的規(guī)范。并以用戶為核心，同時具有授權(quán)和記帳等功能。認證控制服務器可以為任何支持Radius協(xié)議的其他防火墻，路由器和撥號服務器等提供認證服務。認證控制服務器支持多種認證方式，并可以根據(jù)用戶需求擴展其他認證方式。同時，認證控制服務器還支持認證代理，可以將認證轉(zhuǎn)發(fā)給其他的Radius認證服務器。龍馬衛(wèi)士防

98、火墻的認證控制服務器的結(jié)構(gòu)高度模塊化，具有良好的可擴展性，并能夠擴展新的認證方式。龍馬衛(wèi)士防火墻還為AAA服務提供管理工具。管理工具采用B/S結(jié)構(gòu)，通過瀏覽器來管理認證服務器上的用戶、進程、日志等，并且可以進行遠程管理，界面友好，使用方便。</p><p>　　實時的連接狀態(tài)監(jiān)控功能包過濾是防火墻中的一項主要安全技術(shù)，它通過防火墻對進出網(wǎng)絡的數(shù)據(jù)流進行控制與操作。龍馬衛(wèi)士防火墻不僅根據(jù)數(shù)據(jù)包的地址、方向、協(xié)議、服

99、務、端口、訪問時間進行訪問控制，同時還對任何網(wǎng)絡連接和會話的當前狀態(tài)進行分析和監(jiān)控。傳統(tǒng)防火墻的包過濾只是與規(guī)則表進行匹配，對符合規(guī)則的數(shù)據(jù)包進行處理，不符合規(guī)則的丟棄。由于是基于規(guī)則的檢查，屬于同一連接的不同包毫無任何聯(lián)系，每個包都要依據(jù)規(guī)則順序過濾，這樣隨著安全規(guī)則的增加，勢必會使防火墻的性能大幅度的降低，造成網(wǎng)絡擁塞。甚至黑客會采用IP Spoofing的辦法將自己的非法包偽裝成屬于某個合法的連接。這樣的包過濾既缺乏效率又容易產(chǎn)生

100、安全漏洞。</p><p>　　龍馬衛(wèi)士防火墻采用了基于連接狀態(tài)檢查的包過濾，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，通過規(guī)則表與連接狀態(tài)表的共同配合，大大地提高了系統(tǒng)的性能和安全性。龍馬衛(wèi)士防火墻在進行包的檢測時不僅將其看成是獨立的單元，同時還要考慮與它的前面包的關聯(lián)性。而無連接的包過濾規(guī)則沒有考慮這些內(nèi)在的關聯(lián)信息，對每個數(shù)據(jù)包都進行孤立的規(guī)則檢測，這樣就降低了傳輸效率和安全性。尤其值得一提的是，對于

101、基于UDP協(xié)議、ICMP的應用來說，是很難用簡單的包過濾技術(shù)進行處理的，因為UDP協(xié)議本身對于順序錯誤或丟失的包，是不做糾錯或重傳的。而ICMP與IP位于同一層，它被用來傳送IP的差錯和控制信息。龍馬衛(wèi)士防火墻在對基于UDP協(xié)議的連接處理時，會為UDP建立虛擬的連接，同樣能夠?qū)B接過程狀態(tài)進行監(jiān)控。通過規(guī)則與連接狀態(tài)的共同配合，達到包過濾的高效與安全?？梢赃@么說，能夠?qū)崿F(xiàn)對UDP、ICMP協(xié)議的實時狀態(tài)監(jiān)控，是龍馬衛(wèi)士防火墻有別于其它廠

102、商防火墻的顯著特點之一。</p><p>　　動態(tài)過濾技術(shù),在進行網(wǎng)絡通訊時，應用程序的端口必須打開才能進行通訊。傳統(tǒng)防火墻一般采用的是靜態(tài)過濾技術(shù)，即事先打開很多端口以滿足各種應用的需要，但是有時某些應用程序的端口是動態(tài)變化的，如FTP、H.323、視頻會議等應用，事先打開的端口很難滿足這種動態(tài)變化的需要，而且如果事先打開的端口過多，可能造成很多不安全的隱患，為了解決這些問題，在龍馬衛(wèi)士防火墻中，使用了動態(tài)過濾

103、技術(shù)。動態(tài)過濾技術(shù)指的是根據(jù)實際應用的需要，為合法的訪問連接動態(tài)地打開其所需要的端口，在訪問結(jié)束時自動地將打開的端口關閉。這樣在實際應用中，事先只需打開極少數(shù)必須打開的端口，在建立合法的訪問連接時再適當打開某些需要的端口，當連接結(jié)束時，自動地關閉相應的端口，這樣能夠有效的防止系統(tǒng)存在的‘開口’隱患，解決了事先打開的端口不能滿足應用程序的需求等問題，并能在最大程度上挫敗黑客的惡意進攻。</p><p>　　IP地址

104、盜用自動檢測技術(shù)每一塊網(wǎng)絡接口都具有一個唯一的物理標識號碼，也就是MAC地址。龍馬衛(wèi)士防火墻提供了將網(wǎng)絡接口的IP地址同它的MAC地址進行綁定的功能，因此即使某一用戶盜用IP地址，在通過防火墻時也因接口的MAC地址不匹配而拒絕通過。龍馬衛(wèi)士防火墻給用戶提供一種自動搜索局域網(wǎng)內(nèi)給定網(wǎng)段的MAC地址的方法，能夠自動獲取所有IP地址對應的MAC地址，有效地防止IP地址欺騙。這樣，防火墻能夠自動監(jiān)視內(nèi)部IP地址資源的使用情況。</p>

105、;<p>　　靈活多樣的網(wǎng)絡地址轉(zhuǎn)換（NAT）龍馬衛(wèi)士防火墻利用NAT技術(shù)對內(nèi)部地址做轉(zhuǎn)換，使外部網(wǎng)絡無法了解內(nèi)部網(wǎng)絡的結(jié)構(gòu)，使黑客很難對內(nèi)部網(wǎng)的一個用戶發(fā)起攻擊。同時允許內(nèi)部網(wǎng)絡使用自己定制的IP地址和專用網(wǎng)絡，防火墻能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。并且，無論防火墻工作在何種模式（路由，透明，混合）下，都能實現(xiàn)NAT功能。龍馬衛(wèi)士防火墻不僅提供了傳統(tǒng)的“內(nèi)部網(wǎng)到外部網(wǎng)”，“外部網(wǎng)到內(nèi)部網(wǎng)”NAT功

106、能，而且提供任意網(wǎng)絡接口的地址轉(zhuǎn)換功能，規(guī)則能夠根據(jù)源地址范圍，目的地址范圍，端口以及協(xié)議等精密匹配。地址轉(zhuǎn)換分為源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換，另外，為了適應復雜的網(wǎng)絡結(jié)構(gòu)，防火墻還提供外部網(wǎng)絡到內(nèi)部網(wǎng)絡的源地址轉(zhuǎn)換功能。也就是說，對于任何一個網(wǎng)絡接口，可以進行向外的源地址轉(zhuǎn)換，向內(nèi)的目的地址轉(zhuǎn)換以及向內(nèi)的源地址轉(zhuǎn)換三種NAT。</p><p>　　4.2 綜合布線設計</p><p>　　綜

107、合布線系統(tǒng)是建筑物或建筑群內(nèi)的信息傳輸系統(tǒng)。它使話音和數(shù)據(jù)通信設備、交換機設備、信息管理系統(tǒng)及設備控制系統(tǒng)彼此相連，也使這些設備與外部通信網(wǎng)絡相連接。它包括建筑物到外部網(wǎng)絡或電話局線路上的連線、與工作區(qū)的話音或數(shù)據(jù)終端之間的所有電纜及相關聯(lián)的布線部件。布線系統(tǒng)由不同系列的部件組成，其中包括：傳輸介質(zhì)、線路管理硬件、連接器、插座、插頭、適配器、傳輸電子線路、電器保護設備和支持硬件</p><p>　　本綜合布線系統(tǒng)