畢業(yè)論文---計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)

1、<p><b>　　第一章 緒論</b></p><p>　　1.1計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)及其應(yīng)用</p><p>　　1.1.1計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)</p><p>　　（1）計(jì)算機(jī)網(wǎng)絡(luò)的定義：計(jì)算機(jī)網(wǎng)絡(luò)是利用通訊設(shè)備和通信線路將地理位置不同的、具有獨(dú)立功能的多臺(tái)計(jì)算機(jī)系統(tǒng)遵循約定的通信協(xié)議互連成一個(gè)規(guī)模大、功能強(qiáng)的網(wǎng)絡(luò)系統(tǒng)，用功能完善的網(wǎng)絡(luò)軟件

2、(即網(wǎng)絡(luò)通信協(xié)議、信息交換方式和網(wǎng)絡(luò)操作系統(tǒng)等)來實(shí)現(xiàn)交互通信、資源共享、信息交換、綜合信息服務(wù)、協(xié)同工作以及在線處理等功能的系統(tǒng)。</p><p>　?。?）計(jì)算機(jī)網(wǎng)絡(luò)的分類：計(jì)算機(jī)網(wǎng)絡(luò)有多種分類方法,常見的分類有：</p><p>　　①計(jì)算機(jī)網(wǎng)絡(luò)按照地理范圍劃分為：局域網(wǎng)、城域網(wǎng)、廣域網(wǎng)和互聯(lián)網(wǎng)四種；</p><p>　?、诎赐?fù)浣Y(jié)構(gòu)劃分為：總線型、星型、環(huán)型

3、、樹型和網(wǎng)狀網(wǎng)；　</p><p>　?、郯唇粨Q方式劃分為：線路交換網(wǎng)、存儲(chǔ)轉(zhuǎn)發(fā)交換網(wǎng)和混合交換網(wǎng)；</p><p>　?、馨磦鬏攷挿绞竭M(jìn)行劃分為：基帶網(wǎng)和寬帶網(wǎng)；</p><p>　?、莅淳W(wǎng)絡(luò)中使用的操作系統(tǒng)分為：NetWare網(wǎng)、Windows NT網(wǎng)和Unix網(wǎng)等；</p><p>　?、薨磦鬏敿夹g(shù)分為：廣播網(wǎng)、非廣播多路訪問網(wǎng)、點(diǎn)到

4、點(diǎn)網(wǎng)。</p><p>　?。?）計(jì)算機(jī)網(wǎng)絡(luò)的主要功能有四個(gè)方面：　　①資源共享。計(jì)算機(jī)網(wǎng)絡(luò)的主要目的是共享資源。共享的資源有：硬件資源、軟件資源、數(shù)據(jù)資源。其中共享數(shù)據(jù)資源是計(jì)算機(jī)網(wǎng)絡(luò)最重要的目的?！　、跀?shù)據(jù)通信。數(shù)據(jù)通信是指利用計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)不同地理位置的計(jì)算機(jī)之間的數(shù)據(jù)傳送，運(yùn)用技術(shù)手段實(shí)現(xiàn)網(wǎng)絡(luò)間的信息傳遞。這是計(jì)算機(jī)網(wǎng)絡(luò)的最基本的功能，也是實(shí)現(xiàn)其他功能的基礎(chǔ)。如電子郵件、傳真、遠(yuǎn)程數(shù)據(jù)交換等。　?、?/p>

5、分布處理。分布處理指當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)中的某個(gè)計(jì)算機(jī)系統(tǒng)負(fù)荷過重時(shí)，可以將其處理的任務(wù)傳送到網(wǎng)絡(luò)中的其它計(jì)算機(jī)系統(tǒng)中，以提高整個(gè)系統(tǒng)的利用率。對(duì)于大型的綜合性的科學(xué)計(jì)算和信息處理，通過適當(dāng)?shù)乃惴?，將任?wù)分散到網(wǎng)絡(luò)中不同的計(jì)算機(jī)系統(tǒng)上進(jìn)行分布式的處理。促進(jìn)分布式數(shù)據(jù)處理和分布式數(shù)據(jù)庫的發(fā)展。利用網(wǎng)絡(luò)實(shí)現(xiàn)分布處理，建立性能優(yōu)良、可靠性高的分布式數(shù)據(jù)庫系統(tǒng)?！?④綜合信息服務(wù)。當(dāng)今的信息化社會(huì)中，各行各業(yè)每時(shí)每刻都要產(chǎn)生大量的信息需要及時(shí)的處理

6、，而計(jì)算機(jī)網(wǎng)絡(luò)在其中起著十分重要的作用。</p><p>　　1.1.2計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用</p><p>　　在計(jì)算機(jī)網(wǎng)絡(luò)時(shí)代，人們對(duì)計(jì)算機(jī)和互聯(lián)網(wǎng)的利用必將會(huì)滲透到社會(huì)生產(chǎn)和生活的各個(gè)方面，通過計(jì)算機(jī)和網(wǎng)絡(luò)的功能，將會(huì)給企業(yè)的生產(chǎn)和經(jīng)營(yíng)活動(dòng)的開展以及老百姓的工作和生活帶來極大的便利。在互聯(lián)網(wǎng)的聯(lián)系和溝通下，各種信息傳播的速度將加快，企業(yè)和個(gè)人對(duì)網(wǎng)絡(luò)信息的依賴程度也將不斷加深，信息需求程度

7、相對(duì)較大的部門將成為未來社會(huì)中創(chuàng)造高附加值的行業(yè)。并通過他們帶動(dòng)相關(guān)知識(shí)產(chǎn)業(yè)的進(jìn)步和發(fā)展，甚至帶動(dòng)全社會(huì)的經(jīng)濟(jì)結(jié)構(gòu)的優(yōu)化調(diào)整，推動(dòng)社會(huì)經(jīng)濟(jì)的全面進(jìn)步。</p><p>　　經(jīng)濟(jì)時(shí)代的到來，人們通過計(jì)算機(jī)網(wǎng)絡(luò)的連接，打破了原先在時(shí)間和空間上的阻隔，在無形中拉近了人與人之間的距離，也在一定程度上擴(kuò)大了我們生存的空間，網(wǎng)絡(luò)給我們提供了超乎尋常的方便和成功。但是，網(wǎng)絡(luò)也給社會(huì)帶來了更多的挑戰(zhàn)，它要求我們要以更高的層次去面

8、對(duì)新的生活和環(huán)境，同時(shí)不斷地改變我們的思想和行為，我們要抓住網(wǎng)絡(luò)時(shí)代帶給我們機(jī)遇，不斷努力推動(dòng)人類社會(huì)向更的高階段發(fā)展。 </p><p>　　1.2計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)的基本內(nèi)容</p><p>　　要進(jìn)行企業(yè)網(wǎng)絡(luò)的總體設(shè)計(jì)，包括的內(nèi)容有以下幾點(diǎn)：</p><p>　　（1）進(jìn)行對(duì)象研究和需求調(diào)查，弄清辦公的性質(zhì)、任務(wù)和改革發(fā)展的特點(diǎn)，對(duì)辦公的信息化環(huán)境進(jìn)行準(zhǔn)確的描述，

9、明確系統(tǒng)建設(shè)的需求和條件；</p><p>　?。?）在應(yīng)用需求分析的基礎(chǔ)上，確定辦公I(xiàn)ntranet服務(wù)類型，進(jìn)而確定系統(tǒng)建設(shè)的具體目標(biāo)，包括網(wǎng)絡(luò)設(shè)施、站點(diǎn)設(shè)置、開發(fā)應(yīng)用和管理等方面的目標(biāo)；</p><p>　?。?）確定網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和功能，根據(jù)應(yīng)用需求、建設(shè)目標(biāo)和辦公主要建筑分布特點(diǎn)，進(jìn)行系統(tǒng)分析和設(shè)計(jì)；</p><p>　?。?）確定技術(shù)設(shè)計(jì)的原則要求，如在技

10、術(shù)選型、布線設(shè)計(jì)、設(shè)備選擇、軟件配置等方面的標(biāo)準(zhǔn)和要求；</p><p>　?。?）規(guī)劃安排ZH公司辦公網(wǎng)網(wǎng)絡(luò)建設(shè)的實(shí)施步驟。</p><p>　　現(xiàn)在所謂的網(wǎng)絡(luò)多是一些系統(tǒng)集成商基于先進(jìn)的硬件設(shè)備提出的解決方案,是設(shè)備集成。由于網(wǎng)絡(luò)技術(shù)是一門比較新的技術(shù),致使許多人產(chǎn)生了重視硬件,輕視軟件的想法,國(guó)內(nèi)斥資開發(fā)這方面軟件的軟件公司也很少,造成了軟件匱乏的局面。只注重有形的網(wǎng)絡(luò)的建設(shè)而忽略了

11、無形的文化的建設(shè)是網(wǎng)絡(luò)失敗的最關(guān)鍵的原因。這里所指的無形的文化是指人們的觀念、工作方式、利益結(jié)構(gòu)、辦公的管理運(yùn)作模式等看不見、摸不著的東西。從某種意義上講,網(wǎng)絡(luò)的建設(shè)絕不僅僅只是涉及到技術(shù)問題,而是會(huì)引申到更深的層次,也就是說信息技術(shù)所帶來的一場(chǎng)革命會(huì)徹底改變我們的生活方式和工作方式。目前的網(wǎng)絡(luò)系統(tǒng)集成多數(shù)是先進(jìn)的設(shè)備的集成,少則幾十萬,一般幾百萬,多則幾千萬?；◣装偃f采用ATM技術(shù)建起來的網(wǎng)絡(luò),只用來進(jìn)行文件共享。</p>

12、<p>　　基于以上的一些狀況，計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)的目標(biāo)應(yīng)該是：</p><p>　　(1)網(wǎng)絡(luò)平臺(tái)搭建：建設(shè)一個(gè)以辦公自動(dòng)化、計(jì)算機(jī)輔助辦公、現(xiàn)代計(jì)算機(jī)辦公網(wǎng)文化及辦公自動(dòng)化為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、能覆蓋主要樓宇的辦公網(wǎng)主干網(wǎng)絡(luò)，將辦公的各種PC機(jī)、工作站、終端設(shè)備和局域網(wǎng)連接起來，并與有關(guān)單位局域網(wǎng)通過INTERNET進(jìn)行遠(yuǎn)程互連，在網(wǎng)上宣傳自己和獲取Internet網(wǎng)上資

13、源。</p><p>　　(2)辦公自動(dòng)化：形成結(jié)構(gòu)合理、內(nèi)外溝通的辦公網(wǎng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，在此基礎(chǔ)上建立能滿足辦公、科研和管理工作需要的軟硬件環(huán)境，開發(fā)各類信息庫和應(yīng)用系統(tǒng)，為辦公各類人員提供充分的網(wǎng)絡(luò)信息服務(wù)。系統(tǒng)總體設(shè)計(jì)將本著總體規(guī)劃、分布實(shí)施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進(jìn)性、高度的安全可靠性，同時(shí)具有良好的開放性、可擴(kuò)展性。</p><p>　　(3)防盜監(jiān)控：根據(jù)辦公網(wǎng)實(shí)際情況，建

14、立監(jiān)控防盜系統(tǒng).要求達(dá)到全方位觀察、記錄各主要場(chǎng)所的人員活動(dòng)情況，及時(shí)發(fā)現(xiàn)各種安全隱患和違章行為，便于有效處理及制止事故的進(jìn)一步發(fā)展，更為某些事件日后的調(diào)查、處理提供了直觀的查詢資料，以創(chuàng)造安全的生活環(huán)境及完善各項(xiàng)管理。</p><p>　　(4)無線辦公網(wǎng)絡(luò)：基于網(wǎng)絡(luò)設(shè)計(jì)先進(jìn)性方面的考慮，在方案設(shè)計(jì)中我們采用了無線網(wǎng)絡(luò)技術(shù)。</p><p>　　(5)防雷系統(tǒng)：為了保證網(wǎng)絡(luò)安全我們應(yīng)該采

15、用防雷系統(tǒng)，這樣的網(wǎng)絡(luò)可以有效的避免雷擊對(duì)網(wǎng)絡(luò)設(shè)備的危害。</p><p>　　1.3本次設(shè)計(jì)的主要內(nèi)容</p><p>　　完成廣域網(wǎng)和局域網(wǎng)的物理設(shè)計(jì)、拓?fù)湓O(shè)計(jì)、地址規(guī)劃、安全設(shè)計(jì)等，根據(jù)主要的技術(shù)指標(biāo)滿足公司計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)需求。實(shí)現(xiàn)在該公司網(wǎng)內(nèi)各種不同應(yīng)用的信息資源通過高性能的網(wǎng)絡(luò)設(shè)備相互連接起來，形成ZH公司網(wǎng)區(qū)內(nèi)部的Intranet系統(tǒng)。</p><p>

16、　　對(duì)ZH公司網(wǎng)絡(luò)總體的設(shè)計(jì)，首先要進(jìn)行對(duì)象研究和需求調(diào)查，弄清公司辦公的性質(zhì)、任務(wù)和改革發(fā)展的特點(diǎn)，對(duì)公司的信息化環(huán)境進(jìn)行準(zhǔn)確的描述，明確系統(tǒng)建設(shè)的需求和條件；其次，在應(yīng)用需求分析的基礎(chǔ)上，確定Intranet服務(wù)類型，進(jìn)而確定系統(tǒng)建設(shè)的具體目標(biāo)，包括網(wǎng)絡(luò)設(shè)施、站點(diǎn)設(shè)置、開發(fā)應(yīng)用和管理等方面的目標(biāo)；第三是確定網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和功能，根據(jù)應(yīng)用需求、建設(shè)目標(biāo)和辦公主要建筑分布特點(diǎn)，進(jìn)行系統(tǒng)分析和設(shè)計(jì)。第四是確定技術(shù)設(shè)計(jì)的原則要求，如在技術(shù)選型

17、、布線設(shè)計(jì)、設(shè)備選擇、軟件配置等方面的標(biāo)準(zhǔn)和要求。在為該公司設(shè)計(jì)的網(wǎng)絡(luò)中要能充分體現(xiàn)網(wǎng)絡(luò)的靈活性，盡量使用層次結(jié)構(gòu)使單個(gè)設(shè)備的配置的復(fù)雜性大大降低，更易管理。通過將網(wǎng)絡(luò)分成許多小單元，降低網(wǎng)絡(luò)的整體復(fù)雜性，使排除故障更容易，能隔離廣播風(fēng)暴的傳播、防止路由循環(huán)等潛在的問題。</p><p>　　第二章 系統(tǒng)需求分析</p><p>　　2.1 網(wǎng)絡(luò)設(shè)計(jì)需求分析概述</p>&l

18、t;p>　　為適應(yīng)企業(yè)信息化的發(fā)展，滿足日益增長(zhǎng)的通信需求和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，現(xiàn)在的企業(yè)網(wǎng)絡(luò)建設(shè)比傳統(tǒng)企業(yè)網(wǎng)絡(luò)建設(shè)有更高的要求，主要表現(xiàn)在如下幾個(gè)方面：</p><p><b>　　（1）帶寬性能需求</b></p><p>　　現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強(qiáng)大的性能，以滿足用戶日益增長(zhǎng)的通信需求。隨著計(jì)算機(jī)技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天

19、的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個(gè)多業(yè)務(wù)承載平臺(tái)。不僅要繼續(xù)承載企業(yè)的辦公自動(dòng)化，Web瀏覽等簡(jiǎn)單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及企業(yè)生產(chǎn)運(yùn)營(yíng)的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和時(shí)延都要求很高的IP電話、視頻會(huì)議等多媒體業(yè)務(wù)。因此，數(shù)據(jù)流量將大大增加，尤其是對(duì)核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的要求。另外，隨著千兆位端口成本的持續(xù)下降，千兆位到桌面的應(yīng)用會(huì)在不久的將來成為企業(yè)網(wǎng)的主流。</p><p><b>　?。?

20、）穩(wěn)定可靠需求</b></p><p>　　現(xiàn)代企業(yè)的網(wǎng)絡(luò)應(yīng)具有更全面的可靠性設(shè)計(jì)，以實(shí)現(xiàn)網(wǎng)絡(luò)通信的實(shí)時(shí)暢通，保障企業(yè)生產(chǎn)運(yùn)營(yíng)的正常進(jìn)行。隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計(jì)算機(jī)網(wǎng)絡(luò)上來，網(wǎng)絡(luò)通信的無中斷運(yùn)行已經(jīng)成為保證企業(yè)正常生產(chǎn)運(yùn)營(yíng)的關(guān)鍵。</p><p>　　現(xiàn)代企業(yè)網(wǎng)絡(luò)在可靠性設(shè)計(jì)方面主要應(yīng)從以下3個(gè)方面考慮：</p><p>　　①設(shè)備的可靠性設(shè)計(jì)

21、：不僅要考察網(wǎng)絡(luò)設(shè)備是否實(shí)現(xiàn)了關(guān)鍵部件的冗余備份，還要從網(wǎng)絡(luò)設(shè)備整體設(shè)計(jì)架構(gòu)、處理引擎種類等多方面去考察。</p><p>　?、跇I(yè)務(wù)的可靠性設(shè)計(jì)：網(wǎng)絡(luò)設(shè)備在故障倒換過程中，是否對(duì)業(yè)務(wù)的正常運(yùn)行有影響。</p><p>　　③鏈路的可靠性設(shè)計(jì)：以太網(wǎng)的鏈路安全來自于多路徑選擇，所以在企業(yè)網(wǎng)絡(luò)建設(shè)時(shí)，要考慮網(wǎng)絡(luò)設(shè)備是否能夠提供有效的鏈路自愈手段，以及快速重路由協(xié)議的支持。</p>

22、<p><b>　　（3）網(wǎng)絡(luò)安全需求</b></p><p>　　現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟(jì)損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施主要是通過部署防火墻、IDS、殺毒軟件，以及配合交換機(jī)或路由器的ACL來實(shí)現(xiàn)對(duì)病毒和黑客攻擊的防御，但實(shí)踐證明這些被動(dòng)的防御措施并不能有效地解決企業(yè)網(wǎng)絡(luò)的安全問題。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運(yùn)營(yíng)的重

23、要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入控制，病毒報(bào)文識(shí)別到主動(dòng)抑制的一系列安全控制手段，這樣才能有效地保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。</p><p><b>　?。?）應(yīng)用服務(wù)需求</b></p><p>　　現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具備更智能的網(wǎng)絡(luò)管理解決方案，以適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴(kuò)大，維護(hù)工作更加復(fù)雜的需要。當(dāng)前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為"以應(yīng)用為中心&quo

24、t;的信息基礎(chǔ)平臺(tái)，網(wǎng)絡(luò)管理能力的要求已經(jīng)上升到了業(yè)務(wù)層次，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管理需求的發(fā)展。</p><p>　　2.2公司業(yè)務(wù)需求分析</p><p>　　我們將為ZH公司設(shè)計(jì)企業(yè)網(wǎng)，現(xiàn)將該公司的需求告知如下：</p><p><b>　?。?）公司布局</b></p><p>　　八個(gè)子公司有

25、六個(gè)子公司在ZH工業(yè)園內(nèi)各的建筑物里面，公司為15層的主樓，六個(gè)本地子公司都是7層樓，外地兩個(gè)子公司12層樓。第一子公司與主樓相距50米，第二子公司與主樓相距也是50米，第三、四、五子公司與主樓相距5公里，第六子公司與主樓相距8公里，另兩個(gè)子公司在北京和廣州各自有自己的辦公樓。</p><p><b>　?。?）具體用戶需求</b></p><p>　?、倬W(wǎng)絡(luò)設(shè)備配置

26、：配備網(wǎng)絡(luò)交換設(shè)備，實(shí)現(xiàn)樓宇間的千兆光纖連接，保證未來各應(yīng)用系統(tǒng)的實(shí)施以及滿足集團(tuán)各種計(jì)算機(jī)應(yīng)用系統(tǒng)的大信息量的傳輸</p><p>　?、诰W(wǎng)管系統(tǒng)設(shè)計(jì)：提供可以對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理的中文圖形界面工具，使系統(tǒng)維護(hù)人員可以集中控制網(wǎng)絡(luò)的所有設(shè)備</p><p>　?、蹆?nèi)、外網(wǎng)隔離：過硬盤隔離卡及雙布線系統(tǒng)、雙網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)辦公內(nèi)網(wǎng)與外網(wǎng)隔離。</p><p>　　2.

27、3網(wǎng)絡(luò)性能需求分析</p><p>　　ZH公司屬于地域跨度較廣，分支機(jī)構(gòu)較多，網(wǎng)絡(luò)規(guī)模較大的企業(yè)集團(tuán)。所以推薦網(wǎng)絡(luò)的核心層采用萬兆位核心路由器構(gòu)建一個(gè)高性能、高帶寬的萬兆位數(shù)據(jù)傳輸平臺(tái)，在各公司的核心（即網(wǎng)絡(luò)的骨干層）采用多業(yè)務(wù)路由器構(gòu)建一個(gè)路由交換一體化的平臺(tái)，實(shí)現(xiàn)所有園區(qū)網(wǎng)匯聚層設(shè)備的千兆位匯聚交換路由，在接入層推薦用戶采用安全智能以太網(wǎng)交換機(jī)完成企業(yè)用戶的接入。</p><p>　

28、　在性能和安全性上應(yīng)滿足公司員工的網(wǎng)絡(luò)應(yīng)用需求，對(duì)響應(yīng)時(shí)間不作特殊要求；為保障網(wǎng)絡(luò)中心設(shè)備的安全運(yùn)行要求在網(wǎng)絡(luò)中心提供不間斷電源；在遵循經(jīng)濟(jì)實(shí)用、成熟先進(jìn)和安全可靠先進(jìn)的技術(shù)原則的前提下，最大限度地考慮采用符合發(fā)展趨勢(shì)的新技術(shù)；網(wǎng)絡(luò)設(shè)備必須采用成熟先進(jìn)的技術(shù)，所以采用的標(biāo)準(zhǔn)要求統(tǒng)一，支持目前業(yè)界最新的網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)的標(biāo)準(zhǔn)必須符合國(guó)際/國(guó)家標(biāo)準(zhǔn)，并且擁有廣泛的支持廠商；網(wǎng)絡(luò)設(shè)備要求具有高可靠性、高穩(wěn)定性和高可用性；網(wǎng)絡(luò)設(shè)備要求提供足夠的帶

29、寬；網(wǎng)絡(luò)設(shè)備要求具有擴(kuò)展性和可升級(jí)性，能夠適應(yīng)用戶數(shù)量和擴(kuò)展，能夠保證未來網(wǎng)絡(luò)升級(jí)時(shí)的平穩(wěn)銜接，保證網(wǎng)絡(luò)通信介質(zhì)、網(wǎng)絡(luò)基本設(shè)計(jì)核心的向后歉容性；要求網(wǎng)絡(luò)易于管理，支持網(wǎng)絡(luò)的拓?fù)湟晥D、網(wǎng)段與端口的監(jiān)控；網(wǎng)絡(luò)流量及錯(cuò)誤統(tǒng)計(jì)，具備計(jì)費(fèi)管理、故障定位、診斷、修復(fù)和自動(dòng)隔離等功能；要求網(wǎng)絡(luò)具有高的安全性。在要求網(wǎng)絡(luò)具有開放性的同時(shí)，要求保證其安全性。</p><p>　?。?）核心層網(wǎng)絡(luò)設(shè)計(jì)</p><

30、p>　　核心層網(wǎng)絡(luò)主要完成企業(yè)集團(tuán)內(nèi)部不同地域企業(yè)之間的高速數(shù)據(jù)路由轉(zhuǎn)發(fā)，以及維護(hù)全網(wǎng)路由的計(jì)算。為提高核心網(wǎng)絡(luò)的健壯性，實(shí)現(xiàn)鏈路的穩(wěn)定、安全保障，核心層環(huán)網(wǎng)中采用ERRP（以太網(wǎng)冗余環(huán)網(wǎng)保護(hù)技術(shù)）技術(shù)，提供自愈保護(hù)倒換功能，實(shí)現(xiàn)核心網(wǎng)絡(luò)的高可靠性。</p><p>　?。?）骨干層網(wǎng)絡(luò)設(shè)計(jì)</p><p>　　骨干層網(wǎng)絡(luò)主要完成園區(qū)內(nèi)各匯聚層設(shè)備之間的數(shù)據(jù)交換，以及核心層網(wǎng)絡(luò)之間的

31、路由轉(zhuǎn)發(fā)，可以選擇高性能多業(yè)務(wù)路由器方案。</p><p>　　高性能多業(yè)務(wù)路由器方案采用多業(yè)務(wù)路由器作為園區(qū)核心路由交換設(shè)備，實(shí)現(xiàn)業(yè)務(wù)、路由、交換一體化的設(shè)計(jì)架構(gòu)，具有強(qiáng)大的業(yè)務(wù)和路由處理能力，提供諸如MPLS VPN、QoS、策略路由、NAT、PPPoE/802.1x/ L2TP認(rèn)證等豐富業(yè)務(wù)能力；并可借助內(nèi)置防火墻模塊方式，實(shí)現(xiàn)各種強(qiáng)大的網(wǎng)絡(luò)安全策略，以充分滿足不同園區(qū)網(wǎng)絡(luò)的高速數(shù)據(jù)交換和多業(yè)務(wù)功能支持的要

32、求，提供完善的安全防御策略，保障企業(yè)園區(qū)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。該方案非常適合提供大量的遠(yuǎn)程安全訪問，但局域網(wǎng)的傳輸性能可能會(huì)受到一定的影響。</p><p>　?。?）匯聚層網(wǎng)絡(luò)設(shè)計(jì)</p><p>　　匯聚層網(wǎng)絡(luò)主要完成園區(qū)內(nèi)辦公樓宇和相關(guān)單位接入層交換機(jī)的匯聚，以及數(shù)據(jù)交換和VLAN終結(jié)。建議采用千兆位多層交換機(jī)作為匯聚層交換機(jī)，在提供高密度千兆位端口接入的同時(shí)，滿足匯聚層智能高速處理的需要

33、。同時(shí)，還應(yīng)具備較強(qiáng)的多業(yè)務(wù)提供能力，支持包括智能的ACL、MPLS、組播在內(nèi)的各種業(yè)務(wù)，為用戶提供豐富、高性價(jià)比的組網(wǎng)選擇。</p><p>　　（4）接入層網(wǎng)絡(luò)設(shè)計(jì)</p><p>　　傳統(tǒng)的接入層設(shè)計(jì)往往并不關(guān)注安全控制和QoS能力，而是將其交付給匯聚層去處理，從而給匯聚層交換機(jī)帶來巨大的處理壓力，導(dǎo)致內(nèi)網(wǎng)病毒泛濫成災(zāi)，匯聚層交換機(jī)和關(guān)鍵設(shè)備也因此而癱瘓，無法真正有效地實(shí)現(xiàn)網(wǎng)絡(luò)安全和

34、QoS服務(wù)質(zhì)量保障。</p><p>　　由此可見，接入層交換機(jī)應(yīng)當(dāng)滿足高安全、多業(yè)務(wù)承載、高性能的網(wǎng)絡(luò)需求，除必須滿足大容量、高性能等基本要求外，還應(yīng)當(dāng)具備相當(dāng)?shù)陌踩匦?，如CPU防攻擊能力、防流量攻擊病毒的能力、防組播、廣播攻擊的能力，使交換機(jī)能夠智能地自動(dòng)阻斷或隔離內(nèi)外部的攻擊和網(wǎng)絡(luò)病毒，從而進(jìn)一步加強(qiáng)企業(yè)網(wǎng)絡(luò)對(duì)邊緣接入層面的安全控制能力。此外，交換機(jī)還應(yīng)具備專用堆疊接口，可以滿足樓層、樓宇內(nèi)多個(gè)交換機(jī)高性

35、能匯聚的需要。</p><p>　　第三章 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案</p><p>　　3.1網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)基本原則</p><p>　?。?）開放性和標(biāo)準(zhǔn)化原則</p><p>　　首先采用國(guó)家標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)，其次采用廣為流行的、實(shí)用的工業(yè)標(biāo)準(zhǔn)，只有這樣，網(wǎng)絡(luò)系統(tǒng)內(nèi)部才能方便地從外部網(wǎng)絡(luò)快速獲取信息。同時(shí)還要求在授權(quán)后網(wǎng)絡(luò)內(nèi)部的部分信息可以對(duì)外開放

36、，保證網(wǎng)絡(luò)系統(tǒng)適度的開放性。我們?cè)谶M(jìn)行網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)時(shí)，在有標(biāo)準(zhǔn)可執(zhí)行的情況下，一定要嚴(yán)格按照相應(yīng)的標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)。采用開放的標(biāo)準(zhǔn)后就可以充分保障網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的延續(xù)性,保證互連簡(jiǎn)單易行。</p><p>　?。?）實(shí)用性與先進(jìn)性兼顧原則</p><p>　　在網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)時(shí)首先應(yīng)該以注重實(shí)用為原則，緊密結(jié)合具體應(yīng)用的實(shí)際需求。在選擇具體的網(wǎng)絡(luò)技術(shù)時(shí)一定要同時(shí)考慮當(dāng)前及未來一段時(shí)間內(nèi)主流應(yīng)用的技

37、術(shù)，不要一味地追求新技術(shù)和新產(chǎn)品，一方面新的技術(shù)和產(chǎn)品還有一個(gè)成熟的過程，立即選用時(shí)則可能會(huì)出現(xiàn)各種意想不到的問題；另一方面，最新技術(shù)的產(chǎn)品價(jià)格肯定非常昂貴，會(huì)造成不必要的資金浪費(fèi)。在以太局域網(wǎng)技術(shù)中，目前千兆位以下的以太網(wǎng)技術(shù)都已非常成熟，產(chǎn)品價(jià)格也已降到了合理的水平，但萬兆位以太網(wǎng)技術(shù)還沒有得到普及應(yīng)用，相應(yīng)的產(chǎn)品價(jià)格仍相當(dāng)昂貴，所以如果沒有十分的必要，則不要選擇萬兆位以太網(wǎng)技術(shù)的產(chǎn)品。</p><p>&l

38、t;b>　?。?）可用性原則 </b></p><p>　　網(wǎng)絡(luò)的可用性原則決定了所設(shè)計(jì)的網(wǎng)絡(luò)系統(tǒng)是否能滿足用戶應(yīng)用和穩(wěn)定運(yùn)行的需求。網(wǎng)絡(luò)的“可用性"表現(xiàn)在網(wǎng)絡(luò)的“可靠性”和“穩(wěn)定性"，要求網(wǎng)絡(luò)系統(tǒng)能長(zhǎng)時(shí)間穩(wěn)定運(yùn)行，而不要經(jīng)常出現(xiàn)這樣或那樣的問題。否則給用戶帶來的損失可能是非常巨大的，特別是大型、外貿(mào)、電子商務(wù)類型的企業(yè)。網(wǎng)絡(luò)系統(tǒng)的“可用性’’通常是由網(wǎng)絡(luò)設(shè)備的“可用性&qu

39、ot;決定的，主要體現(xiàn)在服務(wù)器、交換機(jī)、路由器、防火墻等重負(fù)荷設(shè)備上。這就要求在選購這些設(shè)備時(shí)一定不要一味地貪圖廉價(jià)，而要選擇一些國(guó)內(nèi)、外主流品牌、應(yīng)用主流技術(shù)和成熟型號(hào)產(chǎn)品。</p><p><b>　?。?）安全第一原則</b></p><p>　　現(xiàn)在的網(wǎng)絡(luò)幾乎時(shí)刻受到外界的安全威脅，稍有不慎就會(huì)被那些病毒、黑客入侵，致使整個(gè)網(wǎng)絡(luò)陷入癱瘓。在一個(gè)安全措施完善的計(jì)

40、算機(jī)網(wǎng)絡(luò)中，不僅要部署病毒防護(hù)系統(tǒng)、防火墻隔離系統(tǒng)，還可能要部署入侵檢測(cè)、木馬查殺系統(tǒng)和物理隔離系統(tǒng)等。</p><p><b>　　3.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)</b></p><p>　　3.2.1星形拓?fù)?</p><p>　　星形拓?fù)涫怯芍醒牍?jié)點(diǎn)和通過點(diǎn)到到通信鏈路接到中央節(jié)點(diǎn)的各個(gè)站點(diǎn)組成。星形拓?fù)浣Y(jié)構(gòu)具有以下優(yōu)點(diǎn)：</p>&l

41、t;p><b>　?。?）控制簡(jiǎn)單</b></p><p>　?。?）故障診斷和隔離容易</p><p><b>　　（3）方便服務(wù)</b></p><p>　　星形拓?fù)浣Y(jié)構(gòu)的缺點(diǎn)：</p><p>　?。?）電纜長(zhǎng)度和安裝工作量可觀</p><p>　?。?）中央節(jié)點(diǎn)

42、的負(fù)擔(dān)較重，形成瓶頸</p><p>　?。?）各站點(diǎn)的分布處理能力較低 </p><p>　　星形拓?fù)浣Y(jié)構(gòu)示意圖見下圖3-1：</p><p>　　圖3-1 星形拓?fù)浣Y(jié)構(gòu)示意圖</p><p>　　3.2.2總線拓?fù)?</p><p>　　總線拓?fù)浣Y(jié)構(gòu)采用一個(gè)信道作為傳輸媒體，所有站點(diǎn)都通過相應(yīng)的硬件接口直接連到這一

43、公共傳輸媒體上，該公共傳輸媒體即稱為總線。</p><p>　　總線拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn)：</p><p>　?。?）總線結(jié)構(gòu)所需要的電纜數(shù)量少</p><p>　　（2）總線結(jié)構(gòu)簡(jiǎn)單，又是無源工作，有較高的可靠性</p><p>　　（3）易于擴(kuò)充，增加或減少用戶比較方便</p><p>　　總線拓?fù)浣Y(jié)構(gòu)示意圖見下圖3-2

44、：</p><p>　　圖3-2 總線拓?fù)浣Y(jié)構(gòu)示意圖</p><p><b>　　3.2.3環(huán)形拓?fù)?lt;/b></p><p>　　環(huán)形拓?fù)渚W(wǎng)絡(luò)由站點(diǎn)和連接站的鏈路組成一個(gè)閉合環(huán)。環(huán)形拓?fù)涞膬?yōu)點(diǎn)有以下幾點(diǎn)：</p><p><b>　?。?）電纜長(zhǎng)度短</b></p><p>

45、　?。?）增加或減少工作站時(shí)，僅需簡(jiǎn)單的連接操作</p><p><b>　?。?）可使用光纖</b></p><p>　　環(huán)形拓?fù)涞娜秉c(diǎn)有以下幾點(diǎn)：</p><p>　?。?）節(jié)點(diǎn)的故障會(huì)引起全網(wǎng)故障</p><p><b>　?。?）故障檢測(cè)困難</b></p><p>

46、　　環(huán)形拓?fù)浣Y(jié)構(gòu)示意圖見下圖3-3:</p><p>　　圖3-3環(huán)形拓?fù)浣Y(jié)構(gòu)示意圖</p><p><b>　　3.2.4樹形拓?fù)?lt;/b></p><p>　　樹形拓?fù)鋸目偩€拓?fù)溲葑兌鴣?，形狀像一棵倒置的樹，頂端是樹根，樹根以下帶分支，每個(gè)分支還可再帶子分支。樹形拓?fù)涞膬?yōu)點(diǎn)有：</p><p>　?。?）易于擴(kuò)充。樹形

47、結(jié)構(gòu)可以延伸出很多分支和子分支，這些新節(jié)點(diǎn)和新分支都能容易地加入網(wǎng)內(nèi)。    （2）故障隔離較容易。如果某一分支的節(jié)點(diǎn)或線路發(fā)生故障，很容易將故障分支與整個(gè)系統(tǒng)隔離開來。</p><p>　　樹形拓?fù)涞娜秉c(diǎn)：各個(gè)節(jié)點(diǎn)對(duì)根的依賴性太大。樹形拓?fù)浣Y(jié)構(gòu)示意圖見下圖3-4:</p><p>　　圖3-4樹形拓?fù)浣Y(jié)構(gòu)示意圖</p><p>　

48、　由于樹形拓?fù)湟子跀U(kuò)充。樹形結(jié)構(gòu)可以延伸出很多分支和子分支，這些新節(jié)點(diǎn)和新分支都能容易地加入網(wǎng)內(nèi), 而且很容易將故障分支與整個(gè)系統(tǒng)隔離開來。所以我選用樹形和分層結(jié)合的拓?fù)浣Y(jié)構(gòu)。網(wǎng)絡(luò)拓?fù)淇倛D見下圖3-5：</p><p>　　圖3-5 網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　對(duì)該拓?fù)鋱D的主要說明如下：</p><p>　?。?）公司基本布局：</p><p

49、>　　八個(gè)子公司有六個(gè)子公司在ZH工業(yè)園內(nèi)各的建筑物里面，公司為15層的主樓，六個(gè)本地子公司都是7層樓，外地兩個(gè)子公司12層樓。第一子公司與主樓相距50米，第二子公司與主樓相距也是50米，第三、四、五子公司與主樓相距5公里，第六子公司與主樓相距8公里，另兩個(gè)子公司在北京和廣州各自有自己的辦公樓。各子公司部門結(jié)構(gòu)：這八個(gè)分公司都有各自的信息中心（15人），財(cái)務(wù)部（20人），公司辦公室及行政部（20人），生產(chǎn)部（200人），研發(fā)部（3

50、0人），企劃部（10人），業(yè)務(wù)部（80人），人力資源部（10人）總公司行政劃分也是如此，人數(shù)比例大致類似八個(gè)子公司。</p><p>　?。?）對(duì)此拓?fù)鋱D的詳細(xì)說明：</p><p>　?、僭诰W(wǎng)絡(luò)拓樸結(jié)構(gòu)方面，選用分層的樹型拓樸結(jié)構(gòu)，將企業(yè)網(wǎng)整體劃分為核心層、匯聚層和接入層三個(gè)邏輯層次。各建筑物之間采用光纖進(jìn)行互連，樓內(nèi)采用非屏蔽雙絞線布線，在同一幢樓的匯聚層和接入層交換機(jī)之間也采用、雙絞

51、線進(jìn)行連接全網(wǎng)設(shè)一個(gè)核心結(jié)點(diǎn)，位于網(wǎng)絡(luò)中心。ZH公司內(nèi)所有主干線路均匯聚在此節(jié)點(diǎn)。內(nèi)接口由雙絞線和網(wǎng)絡(luò)核心三層路由交換機(jī)連接，外接口通過10M光纖專線和機(jī)房連接；如圖所示：核心交換機(jī)通過1000M雙絞線與服務(wù)器和網(wǎng)管工作站連接，通過1000M光纖和匯聚層交換機(jī)連接；對(duì)企業(yè)網(wǎng)的各部分服務(wù)器，通過1000M雙絞線與核心三層路由交換機(jī)連接。</p><p>　?、谥鞲删W(wǎng)采用第三層交換的千兆高速以太網(wǎng)、子網(wǎng)為第三層或第二

52、層的千兆或百兆交換的快速以太網(wǎng)，桌面實(shí)現(xiàn)第二層交換的百兆接入。</p><p>　　③以核心交換機(jī)為中心，核心層是網(wǎng)絡(luò)的主干，需要轉(zhuǎn)發(fā)非常龐大的流量，核心層交換機(jī)還應(yīng)支持聚合萬兆鏈接。網(wǎng)絡(luò)接入層，匯聚層，核心層節(jié)點(diǎn)位置的地理分布情況是網(wǎng)絡(luò)接入層節(jié)點(diǎn)設(shè)置在用戶建筑物內(nèi)，因?yàn)榻尤雽咏K端設(shè)備（PC）較多，所以將匯聚層節(jié)點(diǎn)設(shè)置在接入層一起。因?yàn)榻尤胗脩糨^多，且是內(nèi)部交換網(wǎng)絡(luò)，因此網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備交換機(jī)要采用高性能，具備大型交

53、換能力的設(shè)備。匯聚層設(shè)備之間以及匯聚層設(shè)備與核心層設(shè)備之間多采用光纖互聯(lián)，以提高系統(tǒng)的傳輸性能和吞吐量。同時(shí)對(duì)服務(wù)器的處理能力要求也比較高。同時(shí)考慮到內(nèi)網(wǎng)用戶數(shù)據(jù)的安全性要求不高并加大網(wǎng)絡(luò)建設(shè)和管理成本，但是為了改善主干鏈路數(shù)據(jù)流量的壓力，增強(qiáng)網(wǎng)絡(luò)性能，所以采用將服務(wù)器主機(jī)安排在匯聚層。</p><p>　　3.3 VPN網(wǎng)絡(luò)技術(shù)設(shè)計(jì)</p><p>　　3.3.1 VPN技術(shù)介紹<

54、/p><p>　　VPN(虛擬專用網(wǎng))是一個(gè)通過公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立的一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)之間安全通信的虛擬專用線路。由于VPN是

55、在Internet上臨時(shí)建立的安全專用虛擬網(wǎng)絡(luò)，用戶就節(jié)省了租用專線的費(fèi)用，在運(yùn)行的資金支出上，除了購買VPN設(shè)備，企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)線路費(fèi)用，也節(jié)省了長(zhǎng)途電話費(fèi)。這就是VPN價(jià)格低廉的原因。</p><p>　　3.3.2 VPN技術(shù)的特點(diǎn)</p><p>　　VPN技術(shù)的主要有以下特點(diǎn)：</p><p>　?。?）安全保障：雖然

56、實(shí)現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問。 </p><p>　　（2）服務(wù)質(zhì)量保證（QoS）：VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量

57、保證的要求差別較大。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。 </p><p>　?。?）可擴(kuò)充

58、性和靈活性：VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，可以滿足同時(shí)傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。 </p><p>　　（4）可管理性：從用戶角度和運(yùn)營(yíng)商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上，VPN管理主要包括安全管理、設(shè)備管理、配置管理

59、、訪問控制列表管理、QoS管理等內(nèi)容。</p><p>　　3.3.3 VPN網(wǎng)絡(luò)的安全設(shè)計(jì)</p><p>　　要想保證VPN數(shù)據(jù)流的安全，需要綜合使用諸如身份識(shí)別、隧道和加密等技術(shù)?；贗P的VPN在兩個(gè)網(wǎng)絡(luò)設(shè)備之間提供了IP隧道，這些隧道要么是站點(diǎn)到站點(diǎn)的，要么是客戶端到站點(diǎn)的。在兩個(gè)設(shè)備之間發(fā)送的數(shù)據(jù)是經(jīng)過加密的，這樣就可以在已有的IP網(wǎng)絡(luò)上建立起安全的網(wǎng)絡(luò)路徑。隧道技術(shù)就是一種在

60、因特網(wǎng)上的兩個(gè)設(shè)備之間建立虛擬路徑或者點(diǎn)對(duì)點(diǎn)連接方式。大多數(shù)的VPN的實(shí)現(xiàn)都是使用隧道在兩個(gè)設(shè)備之間建立一個(gè)私有網(wǎng)絡(luò)路徑。</p><p>　　3.3.4 VPN技術(shù)的優(yōu)勢(shì)</p><p>　?。?）信息的安全性。VPN（虛擬專用網(wǎng)絡(luò)）采用安全隧道技術(shù)向用戶提供無縫的和安全的端到端連接服務(wù)，確保信息資源的安全。</p><p>　?。?）方便的擴(kuò)充性。用戶可以利用虛

61、擬專用網(wǎng)絡(luò)技術(shù)方便地重構(gòu)企業(yè)專用網(wǎng)絡(luò)實(shí)現(xiàn)異地業(yè)務(wù)人員的遠(yuǎn)程接入，加強(qiáng)與客戶、合作伙伴之間的聯(lián)系，以進(jìn)一步適應(yīng)虛擬企業(yè)的新型企業(yè)組織形式。</p><p>　　（3）方便的管理。VPN將大量的網(wǎng)絡(luò)管理工作放到互聯(lián)網(wǎng)絡(luò)服務(wù)提供者(ISP)一端來統(tǒng)一實(shí)現(xiàn)，從而減輕了企業(yè)內(nèi)部網(wǎng)絡(luò)管理的負(fù)擔(dān)。同時(shí)VPN也提供信息傳輸、路由等方面的智能特性及其與其他網(wǎng)絡(luò)設(shè)備相獨(dú)立的特性，也便于用戶進(jìn)行網(wǎng)絡(luò)管理。</p><

62、;p>　?。?）顯著的成本效益。利用現(xiàn)有互聯(lián)網(wǎng)絡(luò)發(fā)達(dá)的網(wǎng)絡(luò)構(gòu)架組建企業(yè)內(nèi)部專用網(wǎng)絡(luò)，從而節(jié)省了大量的投資成本及后續(xù)的運(yùn)營(yíng)維護(hù)成本。</p><p>　　3.3.5 VPN的系統(tǒng)設(shè)計(jì)</p><p>　　VPN的系統(tǒng)設(shè)計(jì)主要有以下幾點(diǎn)：</p><p><b>　　（1）網(wǎng)絡(luò)結(jié)構(gòu)分析</b></p><p>　　隨著

63、ZH公司的不斷發(fā)展壯大，企業(yè)的計(jì)算機(jī)應(yīng)用和網(wǎng)絡(luò)規(guī)模也越來越普及，總部與各個(gè)分支機(jī)構(gòu)之間的溝通的需求也越來越大，因此通過信息化的手段來進(jìn)行數(shù)據(jù)的交換和備份，給企業(yè)帶來極大的工作便利性，促進(jìn)了企業(yè)的生產(chǎn)發(fā)展。</p><p>　　同時(shí)，本著安全的原則，將公司的信息資源最大作用的發(fā)揮。對(duì)ZH公司網(wǎng)絡(luò)先進(jìn)行網(wǎng)絡(luò)邊界的劃分，控制好外部網(wǎng)絡(luò)對(duì)本企業(yè)的訪問，由于ZH公司的分支機(jī)構(gòu)分布在各地，所以信息數(shù)據(jù)的交換尤其重要。<

64、/p><p>　?。?）VPN系統(tǒng)設(shè)計(jì)原則</p><p>　　在ZH公司VPN系統(tǒng)的設(shè)計(jì)過程中，我們始終遵循以下原則：</p><p>　　①系統(tǒng)工程原則：在系統(tǒng)設(shè)計(jì)和實(shí)施過程中，嚴(yán)格遵循系統(tǒng)工程的觀點(diǎn)和方法進(jìn)行工作。自始至終考慮到系統(tǒng)的整體性、層次性、相關(guān)性、目的性、時(shí)間性和環(huán)境的適應(yīng)性。</p><p>　?、谟脩舻谝坏脑瓌t：系統(tǒng)設(shè)計(jì)的邏輯

65、模型必須符合用戶的要求，完成系統(tǒng)提出的目標(biāo)和功能。以需求為核心，無論是產(chǎn)品選型、部署還是體系搭建，都必須圍繞安全需求進(jìn)行，保證安全投資的合理性和目標(biāo)的準(zhǔn)確實(shí)現(xiàn)。</p><p>　　③先進(jìn)性和實(shí)用性原則：采用先進(jìn)的設(shè)計(jì)思想和設(shè)計(jì)方法，盡量采用國(guó)內(nèi)、外先進(jìn)技術(shù)，使本系統(tǒng)在國(guó)內(nèi)具有一定的先進(jìn)水平。采用先進(jìn)技術(shù)，必須符合實(shí)際情況，堅(jiān)持一切從實(shí)際出發(fā)，一切為用戶著想的原則，系統(tǒng)的建立以用戶的需要作為設(shè)計(jì)的出發(fā)點(diǎn)和歸宿，求

66、得先進(jìn)性和實(shí)用性相統(tǒng)一，獲取最佳效益。</p><p>　　④可靠性原則：系統(tǒng)設(shè)計(jì)應(yīng)確保系統(tǒng)運(yùn)行的正確性和數(shù)據(jù)傳輸?shù)恼_性，防止和恢復(fù)由內(nèi)在因素和危機(jī)環(huán)境造成的錯(cuò)誤和災(zāi)難性故障，確保系統(tǒng)獲取可靠性。</p><p>　?、菘刹僮餍栽瓌t：可操作性是指系統(tǒng)應(yīng)盡量便于用戶的理解、學(xué)習(xí)、掌握和使用，人機(jī)界面友好，方便操作和維護(hù)。在本網(wǎng)絡(luò)設(shè)計(jì)中，ZH公司VPN網(wǎng)絡(luò)結(jié)構(gòu)圖見下圖3-6：</p&g

67、t;<p>　　要實(shí)現(xiàn)VPN連接，企業(yè)內(nèi)部網(wǎng)中必須配置一臺(tái)VPN服務(wù)器，VPN服務(wù)器是用來接受來自VPN客戶機(jī)的連接請(qǐng)求。VPN服務(wù)器一段連接到企業(yè)內(nèi)部專用網(wǎng)，另一端連接到Internet，VPN服務(wù)器必須擁有一個(gè)公用的IP地址。在VPN連接中數(shù)據(jù)必須經(jīng)過加密，經(jīng)過封裝、加密后，在隧道上傳輸數(shù)據(jù)。</p><p>　　圖3-6 VPN網(wǎng)絡(luò)結(jié)構(gòu)圖</p><p>　　3.4 主

68、要網(wǎng)絡(luò)設(shè)計(jì)分析</p><p><b>　　(1)核心層</b></p><p>　　在分層網(wǎng)絡(luò)拓?fù)渲校诵膶邮蔷W(wǎng)絡(luò)的主干，需要轉(zhuǎn)發(fā)非常龐大的流量。通過執(zhí)行和查看各種流量報(bào)告和用戶群分析確定所需要的轉(zhuǎn)發(fā)速率。核心層的可用性也很關(guān)鍵，因此應(yīng)盡可能的提供較多的冗余。相對(duì)于第二層功能，第三層冗余功能在硬件出現(xiàn)故障時(shí)的收斂速度更快。核心層交換機(jī)還需要支持鏈路聚合功能，以確保為

69、分布層交換機(jī)發(fā)送到核心層交換機(jī)的流量提供足夠的帶寬。核心層交換機(jī)還應(yīng)支持聚合萬兆鏈接。這樣可以讓對(duì)應(yīng)的分布層交換機(jī)盡可能高效的向核心層傳送流量。核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,骨干層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能最好盡量少在骨干層上實(shí)施。核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以對(duì)核心層的設(shè)計(jì)以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格。核心層設(shè)備將占投資的主要部分。</p><

70、p><b>　　(2)匯聚層</b></p><p>　　匯聚層是連接接入層和核心層的網(wǎng)絡(luò)設(shè)備,為接入層提供數(shù)據(jù)的匯聚、傳輸理\分發(fā)處理.匯聚層為接入層提供基于策略的連接.通過網(wǎng)段劃分(如VLAN)與網(wǎng)絡(luò)隔離可以防止某些網(wǎng)段的問題蔓延和影響到核心層.匯聚層同時(shí)也可以提供接入層虛擬網(wǎng)之間的互連,控制和限制接入層對(duì)核心層的訪問,保證核心層的安全和穩(wěn)定。匯聚層的功能主要是連接接入層節(jié)點(diǎn)和核心

71、層中心。匯聚層設(shè)計(jì)為連接本地的邏輯中心，仍需要較高的性能和比較豐富的功能。匯聚層設(shè)備一般采用可管理的三層交換機(jī)或堆疊式交換機(jī)以達(dá)到帶寬和傳輸性能的要求。其設(shè)備性能較好，但價(jià)格高于接入層設(shè)備，而且對(duì)環(huán)境的要求也較高，對(duì)電磁輻射、溫度、濕度和空氣潔凈度等都有一定的要求。匯聚層設(shè)備之間以及匯聚層設(shè)備與核心層設(shè)備之間多采用光纖互聯(lián)，以提高系統(tǒng)的傳輸性能和吞吐量。一般來說，用戶訪問控制會(huì)安排在接入層，但這并非絕對(duì)，也可以安排在匯聚層進(jìn)行。在匯聚層

72、實(shí)現(xiàn)安全控制和身份認(rèn)證時(shí)，采用的是集中式的管理模式。</p><p><b>　　(3)接入層 </b></p><p>　　接入層是為最終用戶提供訪問的網(wǎng)絡(luò)。接入層負(fù)責(zé)將用戶終端鏈接到網(wǎng)絡(luò)中，提供最靠近用戶的服務(wù)。接入層在網(wǎng)絡(luò)工程中面臨很多困難，如網(wǎng)絡(luò)設(shè)備工作在環(huán)境溫度變化大，灰塵多，電壓不穩(wěn)定等復(fù)雜環(huán)境中，容易影像設(shè)備工作的穩(wěn)定性。接入層網(wǎng)絡(luò)設(shè)備大多分散在用戶工作

73、附近，設(shè)備品種繁多，地點(diǎn)分散，造成網(wǎng)絡(luò)管理工作的困難。接入層網(wǎng)絡(luò)設(shè)備往往價(jià)格便宜，容易出現(xiàn)質(zhì)量問題，對(duì)網(wǎng)絡(luò)穩(wěn)定性影響很大。</p><p><b>　?。?）防火墻設(shè)計(jì)</b></p><p>　　防火墻是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊,以免其在目標(biāo)計(jì)算

74、機(jī)上被執(zhí)行。防火墻具有很好的網(wǎng)絡(luò)安全保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。</p><p>　　3.5 VLAN劃分與IP地址分配</p><p>　　(1)VLAN劃分的原因</p><p>　　VLAN(虛擬局域網(wǎng))是一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)， 其中的計(jì)算機(jī)就像是被同一網(wǎng)線連接在一起，而實(shí)際上它們可能分處于

75、局域網(wǎng)的不同區(qū)域。VLAN更多的是通過軟件而非硬件來實(shí)現(xiàn)，因此這使得它具有很高的靈活性。VLAN的一個(gè)主要特性就是提供了更多的管理控制，減少了相對(duì)日常管理開銷，提供了更大的配置靈活性。VLAN模擬了一組終端設(shè)備，即使它們處于不同的物理網(wǎng)段上，也不受物理位置的限制。VLAN的作用是使得同一VLAN中的成員之間能夠通信，而不同VLAN用戶之間是相互隔離的，如果需要通信必須通過路由設(shè)備。VLAN使網(wǎng)絡(luò)管理簡(jiǎn)單化，可以減少工作站移動(dòng)和變化所需的

76、費(fèi)用，方便地進(jìn)行邏輯分組，添加、刪除和修改用戶信息以及通過網(wǎng)絡(luò)流量測(cè)試工具進(jìn)行計(jì)費(fèi)等工作。此外VLAN可以將廣播風(fēng)暴遏制在本 VLAN的范圍之內(nèi)，其他VLAN用戶不受影響，大大節(jié)約了網(wǎng)絡(luò)帶寬，提高了帶寬利用率。</p><p>　　VLAN的特性包括：</p><p>　?、佼?dāng)用戶從一個(gè)地點(diǎn)移動(dòng)到另一個(gè)地點(diǎn)時(shí)，簡(jiǎn)化了配置操作和過程修改</p><p>　?、诋?dāng)網(wǎng)絡(luò)阻

77、塞時(shí)，可以重新調(diào)節(jié)流量分布</p><p>　　③提供流量與廣播行為的詳細(xì)報(bào)告，同時(shí)統(tǒng)計(jì)VLAN邏輯區(qū)域的規(guī)模與組成</p><p>　?、芴峁└鶕?jù)實(shí)際情況在VLAN中增加和減少用戶的靈活性。</p><p>　　(2)VLAN主要有以下幾種劃分方式：</p><p>　?、倩诙丝趧澐值腣LAN</p><p>　　

78、基于端口劃分的VLAN是最常用的VLAN劃分方法，應(yīng)用也最為廣泛、最有效，目前絕大多數(shù)VLAN協(xié)議的交換機(jī)都提供這種VLAN配置方法。這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的交換端口來劃分的，它是將VLAN交換機(jī)上的物理端口和VLAN交換機(jī)內(nèi)部的PVC(永久虛電路)端口分成若干個(gè)組，每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)獨(dú)立的VLAN交換機(jī)。</p><p>　　對(duì)于不同部門需要互訪時(shí)，可通過路由器轉(zhuǎn)發(fā)，并配合基于M

79、AC地址的端口過濾。對(duì)某站點(diǎn)的訪問路徑上最靠近該站點(diǎn)的交換機(jī)、路由交換機(jī)或路由器的相應(yīng)端口上，設(shè)定可通過的MAC地址集。這樣就可以防止非法入侵者從內(nèi)部盜用IP地址從其他可接入點(diǎn)入侵的可能。</p><p>　　②基于MAC地址劃分VLAN</p><p>　　這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來劃分，即對(duì)每個(gè)MAC地址的主機(jī)都配置他屬于哪個(gè)組，它實(shí)現(xiàn)的機(jī)制就是每一塊網(wǎng)卡都對(duì)應(yīng)

80、唯一的MAC地址，VLAN交換機(jī)跟蹤屬于VLAN MAC的地址。這種方式的VLAN允許網(wǎng)絡(luò)用戶從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置時(shí)，自動(dòng)保留其所屬VLAN的成員身份。</p><p>　　由這種劃分的機(jī)制可以看出，這種VLAN的劃分方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，VLAN不用重新配置，因?yàn)樗腔谟脩?，而不是基于交換機(jī)的端口。這種方法的缺點(diǎn)是初始化時(shí)，所有的用戶都必須進(jìn)行

81、配置，如果有幾百個(gè)甚至上千個(gè)用戶的話，配置是非常累的，所以這種劃分方法通常適用于小型局域網(wǎng)。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN組的成員，保存了許多用戶的MAC地址，查詢起來相當(dāng)不容易。</p><p>　?、刍诰W(wǎng)絡(luò)層協(xié)議劃分VLAN</p><p>　　VLAN按網(wǎng)絡(luò)層協(xié)議來劃分，可分為IP、IPX、DECnet、AppleT

82、alk、Banyan等VLAN網(wǎng)絡(luò)。這種按網(wǎng)絡(luò)層協(xié)議來組成的VLAN，可使廣播域跨越多個(gè)VLAN交換機(jī)。而且，用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動(dòng)，但其VLAN成員身份仍然保留不變。</p><p>　　這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對(duì)網(wǎng)絡(luò)管理者來說很重要，還有，這種方法不需要附加的幀標(biāo)簽來識(shí)別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點(diǎn)是效

83、率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的，一般的交換機(jī)芯片都可以自動(dòng)檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)禎頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時(shí)也更費(fèi)時(shí)。當(dāng)然，這與各個(gè)廠商的實(shí)現(xiàn)方法有關(guān)。</p><p>　?、芨鶕?jù)IP組播劃分VLAN</p><p>　　IP 組播實(shí)際上也是一種VLAN的定義，即認(rèn)為一個(gè)IP組播組就是一個(gè)VLAN。這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)

84、，因此這種方法具有更大的靈活性，而且也很容易通過路由器進(jìn)行擴(kuò)展，主要適合于不在同一地理范圍的局域網(wǎng)用戶組成一個(gè)VLAN，不適合局域網(wǎng)，主要是效率不高。</p><p>　　⑤按策略劃分VLAN</p><p>　　基于策略組成的VLAN能實(shí)現(xiàn)多種分配方法，包括VLAN交換機(jī)端口、MAC地址、IP地址、網(wǎng)絡(luò)層協(xié)議等。網(wǎng)絡(luò)管理人員可根據(jù)自己的管理模式和本單位的需求來決定選擇哪種類型的VLAN

85、。</p><p>　?、薨从脩舳x、非用戶授權(quán)劃分VLAN</p><p>　　基于用戶定義、非用戶授權(quán)來劃分VLAN，是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò)，根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計(jì)VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認(rèn)證后才可以加入一個(gè)VLAN。</p><p>　　（3）VLAN的具體劃分方案

86、</p><p>　　根據(jù)ZH公司實(shí)際情況，本設(shè)計(jì)中采用了基于端口劃分VLAN。</p><p>　　按端口劃分方法，這是最常應(yīng)用的一種VLAN劃分方法，應(yīng)用也最為廣泛、最有效，目前絕大多數(shù)VLAN協(xié)議的交換機(jī)都提供這種VLAN配置方法。這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的交換端口來劃分的，它是將VLAN交換機(jī)上的物理端口和VLAN交換機(jī)內(nèi)部的永久虛電路端口分成若干個(gè)組，每個(gè)組構(gòu)成一

87、個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)獨(dú)立的VLAN交換機(jī)。</p><p>　　該設(shè)計(jì)的方案是：企業(yè)的用戶主要分布于八個(gè)部分：1、信息中心：（15人）2、財(cái)務(wù)部：（20人）3、行政部：（20人）4、生產(chǎn)部：（200人）5、業(yè)務(wù)部（80人）6、人力資源部：（10人）7、研發(fā)部：（30人）8、企劃部：(10人) 。主要對(duì)這八個(gè)部分用戶單獨(dú)劃分VLAN，以確保相應(yīng)部門網(wǎng)絡(luò)資源不被盜用或破壞。</p><p>　

88、　對(duì)于不同部門需要互訪時(shí)，可通過路由器轉(zhuǎn)發(fā)，并配合基于MAC地址的端口過濾。對(duì)某站點(diǎn)的訪問路徑上最靠近該站點(diǎn)的交換機(jī)、路由交換機(jī)或路由器的相應(yīng)端口上，設(shè)定可通過的MAC地址集。這樣就可以防止非法入侵者從內(nèi)部盜用IP地址從其他可接入點(diǎn)入侵的可能。</p><p>　　這種劃分的方法的優(yōu)點(diǎn)是定義VLAN成員時(shí)非常簡(jiǎn)單，只要將所有的端口構(gòu)成一個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)獨(dú)立的VLAN交換機(jī)?，F(xiàn)為了公司相應(yīng)部分網(wǎng)絡(luò)資源的安全性需

89、要，特別是對(duì)于像財(cái)務(wù)部、研發(fā)部、信息中心、企劃部等這樣的敏感部門，其網(wǎng)絡(luò)上的信息不想讓太多的人可以隨便進(jìn)出，于是采用VLAN的方法來解決以上問題。在公司內(nèi)部網(wǎng)絡(luò)中劃分VLAN，有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、限制不同工作組間的用戶互訪，提高網(wǎng)絡(luò)的安全性。</p><p><b>　　(4)IP地址分配</b></p><p>　　計(jì)算機(jī)的 IP地址也分成兩

90、部分.分別為網(wǎng)絡(luò)標(biāo)識(shí)和主機(jī)標(biāo)識(shí)。同一個(gè)物理網(wǎng)絡(luò)上的所有主機(jī)都用同一個(gè)網(wǎng)絡(luò)標(biāo)識(shí)。網(wǎng)絡(luò)上的一個(gè)主機(jī)(包括網(wǎng)絡(luò)上工作站，服務(wù)器和路由器等)都有一個(gè)主機(jī)標(biāo)識(shí)與其對(duì)應(yīng)。IP地址的4個(gè)字節(jié)劃分為2個(gè)部分，一部分用以標(biāo)明具體的網(wǎng)絡(luò)段.即網(wǎng)絡(luò)標(biāo)識(shí)，另一部分用以標(biāo)明具體的節(jié)點(diǎn)，即主機(jī)標(biāo)識(shí)，也就是說某個(gè)網(wǎng)絡(luò)中的特定的計(jì)算機(jī)號(hào)碼.。由于網(wǎng)絡(luò)中包含的計(jì)算機(jī)有可能不一樣多，有的網(wǎng)絡(luò)可能含有較多的計(jì)算機(jī).也有的網(wǎng)絡(luò)包含較少的計(jì)算機(jī)。于是人們按照網(wǎng)絡(luò)規(guī)模的大小，把3

91、2位地址信息設(shè)成三種定位的劃分方式。</p><p>　　對(duì)A類B類C類IP地址主要說明如下：</p><p><b>　　①A類IP地址 </b></p><p>　　一個(gè)A類IP地址是指.在IP地址的四段號(hào)碼中。第一段號(hào)碼為網(wǎng)絡(luò)號(hào)碼，剩下的三段號(hào)碼為本地計(jì)算機(jī)的號(hào)碼，如果用二進(jìn)制表示IP地址的話，A類IP地址就由1字節(jié)的網(wǎng)絡(luò)地址和3字節(jié)主機(jī)

92、地址組成.網(wǎng)絡(luò)地址的最高位必須是0。A類IP地址中網(wǎng)絡(luò)的標(biāo)識(shí)長(zhǎng)度為7位.主機(jī)標(biāo)識(shí)的長(zhǎng)度為24位，A類網(wǎng)絡(luò)地址數(shù)量較少，可以用于主機(jī)數(shù)達(dá)1600多萬臺(tái)的大型網(wǎng)絡(luò)。 ②B類IP地址</p><p>　　一個(gè)B類IP地址的四段號(hào)碼中,前兩段號(hào)碼為網(wǎng)絡(luò)號(hào)碼，B類IP地址就由2字節(jié)的網(wǎng)絡(luò)地址和2字節(jié)主機(jī)地址組成，網(wǎng)絡(luò)地址的最高位必須是10。B類IP地址中網(wǎng)絡(luò)的標(biāo)識(shí)長(zhǎng)度為14位，主機(jī)標(biāo)識(shí)的長(zhǎng)度為16位，B類網(wǎng)絡(luò)地址適

93、用于中等規(guī)模規(guī)模的網(wǎng)絡(luò)，每個(gè)網(wǎng)絡(luò)所能容納的計(jì)算機(jī)數(shù)為6萬多臺(tái)。</p><p><b>　　③C類IP地址 </b></p><p>　　一個(gè)C類IP地址是指在IP地址的四段號(hào)碼中，前三段號(hào)碼為網(wǎng)絡(luò)號(hào)碼.剩下的一段號(hào)碼為本地計(jì)算機(jī)的號(hào)碼，如果用二進(jìn)制表示IP地址的話，C類IP地址就由3字節(jié)的網(wǎng)絡(luò)地址和1字節(jié)主機(jī)地址組成，網(wǎng)絡(luò)地址的最高位必須是110。C類IP地址中網(wǎng)絡(luò)

94、的標(biāo)識(shí)長(zhǎng)度為21位，主機(jī)標(biāo)識(shí)的長(zhǎng)度為8位，C類網(wǎng)絡(luò)地址數(shù)量較多，適用于小規(guī)模的局域網(wǎng)絡(luò)，每個(gè)網(wǎng)絡(luò)最多只能包含254臺(tái)計(jì)算機(jī)。</p><p>　　IP地址分配見下表及附錄C：</p><p>　　表3-1外部服務(wù)器IP規(guī)劃</p><p>　　表3-2 內(nèi)部服務(wù)器IP規(guī)劃 </p><p>　　表3-3 VLAN的劃分</p>

95、<p>　　子公司3、4、5、6、以及北京、廣州公司的VLAN劃分見附錄C</p><p>　　3.6 網(wǎng)絡(luò)隔離設(shè)計(jì)</p><p>　?。?）網(wǎng)絡(luò)隔離設(shè)計(jì)概述</p><p>　　現(xiàn)在人們?cè)谙硎芑ヂ?lián)網(wǎng)所帶來的豐富、便捷的信息同時(shí)，也日益感受到頻繁的網(wǎng)絡(luò)攻擊、病毒泛濫、非授權(quán)訪問、信息泄密等問題所帶來的困擾。傳統(tǒng)的安全產(chǎn)品可以以不同的方式滿足我們保護(hù)數(shù)據(jù)

96、和網(wǎng)絡(luò)安全的需要，但不可能完全解決網(wǎng)絡(luò)間信息的安全交換問題，因?yàn)楦鞣N安全技術(shù)都有其局限性。為保護(hù)重要內(nèi)部系統(tǒng)的安全，必須實(shí)行物理隔離。物理隔離卡是物理隔離的低級(jí)實(shí)現(xiàn)形式，一個(gè)物理隔離卡只能管一臺(tái)個(gè)人計(jì)算機(jī)，需要對(duì)每臺(tái)計(jì)算機(jī)進(jìn)行配置，每次切換都需要開關(guān)機(jī)一次，極為不便。雙硬盤的硬件平臺(tái)管理很繁瑣，也會(huì)使得整個(gè)網(wǎng)絡(luò)的架設(shè)和維護(hù)費(fèi)用顯著升高。</p><p>　　所謂物理隔離，是指內(nèi)部網(wǎng)不得直接或間接地連接公共網(wǎng)即國(guó)際

97、互聯(lián)網(wǎng)。眾所周知，國(guó)際互聯(lián)網(wǎng)是國(guó)際化、開放和互聯(lián)為特點(diǎn)的，而安全度和開放度永遠(yuǎn)是一對(duì)矛盾。雖然目前可以利用防火墻、代理服務(wù)器、入侵監(jiān)測(cè)等技術(shù)手段來抵御來自互聯(lián)網(wǎng)的非法入侵，但至今這些技術(shù)手段都還存在許多漏洞，還不能徹底保證內(nèi)網(wǎng)信息的絕對(duì)安全，只有使內(nèi)部網(wǎng)和公共網(wǎng)實(shí)現(xiàn)物理隔離，才能真正保證黨政機(jī)關(guān)的內(nèi)部信息網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的黑客攻擊。此外，物理隔離也為企業(yè)內(nèi)部網(wǎng)劃定了明確的安全邊界，使得網(wǎng)絡(luò)的可控性增強(qiáng)，便于內(nèi)部管理。 </p&g

98、t;<p>　　（2）安全隔離網(wǎng)閘技術(shù)原理</p><p>　　隔離網(wǎng)閘是一種由專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，能夠在物理隔離的網(wǎng)絡(luò)之間進(jìn)行適度的安全數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。</p><p>　　網(wǎng)閘的基本原理是：切斷網(wǎng)絡(luò)之間的通用協(xié)議連接；將數(shù)據(jù)包進(jìn)行分解或重組為靜態(tài)數(shù)據(jù)；對(duì)靜態(tài)數(shù)據(jù)進(jìn)行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和代碼掃描等；確認(rèn)后的安全數(shù)據(jù)流入內(nèi)部單元；內(nèi)部用戶

99、通過嚴(yán)格的身份認(rèn)證機(jī)制獲取所需數(shù)據(jù)。</p><p>　　當(dāng)用戶的網(wǎng)絡(luò)需要保證高強(qiáng)度的安全，同時(shí)又與其它不信任網(wǎng)絡(luò)進(jìn)行信息交換的情況下，如果采用物理隔離卡，信息交換的需求將無法滿足，如果采用防火墻，則無法防止內(nèi)部信息泄漏和外部病毒、黑客程序的滲入，安全性無法保證。在這種情況下，隔離網(wǎng)閘能夠同時(shí)滿足這兩個(gè)要求，又避免了物理隔離卡和防火墻的不足之處，是物理隔離網(wǎng)絡(luò)之間數(shù)據(jù)交換的最佳選擇。</p><

100、;p>　　隔離網(wǎng)閘與防火墻有以下幾點(diǎn)不同：</p><p>　?、俑綦x網(wǎng)閘采用雙主機(jī)系統(tǒng)，內(nèi)端機(jī)與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接，外端機(jī)與外網(wǎng)連接。這種雙系統(tǒng)模式徹底將內(nèi)網(wǎng)保護(hù)起來，即使外網(wǎng)被黑客攻擊，甚至癱瘓，也無法對(duì)內(nèi)網(wǎng)造成傷害，防火墻是單主機(jī)系統(tǒng)。 ②隔離網(wǎng)閘采用自身定義的私有通訊協(xié)議，避免了通用協(xié)議存在的漏洞，防火墻采用通用通訊協(xié)議即TCP/IP協(xié)議。 ③隔離網(wǎng)閘采用專用硬件控制技術(shù)保證內(nèi)外

101、網(wǎng)之間沒有實(shí)時(shí)連接，而防火墻必須保證實(shí)時(shí)連接。 ④隔離網(wǎng)閘對(duì)外網(wǎng)的任何響應(yīng)都保證是內(nèi)網(wǎng)合法用戶發(fā)出的請(qǐng)求應(yīng)答，即被動(dòng)響應(yīng)，而防火墻則不會(huì)對(duì)外網(wǎng)響應(yīng)進(jìn)行判斷，也即主動(dòng)響應(yīng)。這樣，網(wǎng)閘就避免了木馬和黑客的攻擊。</p><p>　　(3)網(wǎng)絡(luò)隔離設(shè)計(jì)方案</p><p>　　我們應(yīng)選用專用硬件和模塊化的工作組件設(shè)計(jì)，集成安全隔離、實(shí)時(shí)信息交換、協(xié)議分析、內(nèi)容檢測(cè)、訪問控制，安全決策等多

102、種安全功能為一體，適合部署于不同安全等級(jí)的網(wǎng)絡(luò)間，在實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)安全隔離的同時(shí)，實(shí)現(xiàn)高速的、安全的數(shù)據(jù)交換，提供可靠的信息交換服務(wù)。其內(nèi)部包括3個(gè)模塊，即外網(wǎng)主機(jī)模塊、內(nèi)網(wǎng)主機(jī)模塊和隔離交換模塊。內(nèi)、外網(wǎng)主機(jī)模塊具有獨(dú)立運(yùn)算單元和存儲(chǔ)單元，分別連接可信及不可信網(wǎng)絡(luò)，對(duì)訪問請(qǐng)求進(jìn)行預(yù)處理，以實(shí)現(xiàn)安全應(yīng)用數(shù)據(jù)的剝離。隔離交換模塊采用專用的雙通道隔離交換卡實(shí)現(xiàn)，通過內(nèi)嵌的安全芯片完成內(nèi)外網(wǎng)主機(jī)模塊間安全的數(shù)據(jù)交換。隔離交換模塊固化控制邏輯，與

103、內(nèi)外網(wǎng)模塊間只存在內(nèi)存緩沖區(qū)的讀寫操作，沒有任何網(wǎng)絡(luò)協(xié)議和數(shù)據(jù)包的轉(zhuǎn)發(fā)。隔離模塊中的交換卡內(nèi)嵌安全芯片，采用高速全雙工流水線設(shè)計(jì)，內(nèi)部吞吐速率達(dá)2Gbps，完全可以滿足高速數(shù)據(jù)交換的需要。</p><p>　　(4)網(wǎng)絡(luò)安全隔離優(yōu)點(diǎn)：</p><p>　?、俎D(zhuǎn)換便捷當(dāng)兩種狀態(tài)轉(zhuǎn)換時(shí)，是通過鼠標(biāo)點(diǎn)擊操作系統(tǒng)上的切換鍵，即進(jìn)入一個(gè)熱啟動(dòng)過程，切換時(shí)，系統(tǒng)通過硬件重啟信號(hào)重新啟動(dòng)，這樣，PC的

104、內(nèi)存所有數(shù)據(jù)被消除，兩個(gè)狀態(tài)分別是有獨(dú)立的操作系統(tǒng)，并獨(dú)立導(dǎo)入，兩個(gè)硬盤分區(qū)不會(huì)同時(shí)激活。</p><p>　?、跀?shù)據(jù)交換為了安全的保證，兩個(gè)分區(qū)不能直接交換數(shù)據(jù)，但是用戶可以通過我們的一個(gè)獨(dú)特的設(shè)計(jì)，來安全方便地實(shí)現(xiàn)數(shù)據(jù)交換，即在兩個(gè)分區(qū)以外，網(wǎng)絡(luò)安全隔離在硬盤上另外設(shè)置了一個(gè)功能區(qū)，功能區(qū)在PC處于不同的狀態(tài)下轉(zhuǎn)換，即在兩個(gè)狀態(tài)下，功能區(qū)均表現(xiàn)為硬盤的D盤，各個(gè)分區(qū)可以通過功能區(qū)作為一個(gè)過渡區(qū)來交換數(shù)據(jù)。當(dāng)

105、然根據(jù)用戶需要，也可創(chuàng)建單向的安全通道，即數(shù)據(jù)只能從公共區(qū)向安全區(qū)轉(zhuǎn)移，但不能逆向轉(zhuǎn)移，從而保證安全區(qū)的數(shù)據(jù)安全。</p><p>　?、郯踩珔^(qū)控制基于安全威脅來自內(nèi)外兩方面的關(guān)系，即除了外來的黑客攻擊、病毒發(fā)布以外，系統(tǒng)內(nèi)部有意或無意的泄密，也是必須防止的威脅。因此，網(wǎng)絡(luò)安全隔離卡可以對(duì)安全區(qū)作只讀控制，即可禁止內(nèi)部使用者以軟驅(qū)、光驅(qū)復(fù)制數(shù)據(jù)或纂改安全區(qū)的數(shù)據(jù)。本方案網(wǎng)絡(luò)隔離結(jié)構(gòu)圖見下圖3-7：</p&

106、gt;<p>　　圖3-7 網(wǎng)絡(luò)隔離結(jié)構(gòu)圖</p><p>　　ZH公司內(nèi)網(wǎng)與外網(wǎng)之間使用隔離網(wǎng)閘連接，它們的數(shù)據(jù)交換過程如下：當(dāng)內(nèi)網(wǎng)與外網(wǎng)之間無數(shù)據(jù)交換時(shí)，隔離網(wǎng)閘與內(nèi)網(wǎng)，隔離網(wǎng)閘與外網(wǎng)，內(nèi)網(wǎng)與外網(wǎng)是完全斷開的，即是三者之間不存在物理連接和邏輯連接，當(dāng)內(nèi)網(wǎng)數(shù)據(jù)需要傳輸?shù)酵饩W(wǎng)時(shí)，首先隔離交換模塊發(fā)起對(duì)外內(nèi)網(wǎng)網(wǎng)非TCP/IP的數(shù)據(jù)連接請(qǐng)求，然后內(nèi)網(wǎng)主機(jī)模塊會(huì)依據(jù)安全策略對(duì)訪問請(qǐng)求進(jìn)行預(yù)處理，判斷是否符

107、合訪問控制策略，并依據(jù)RFC或定制策略對(duì)數(shù)據(jù)包進(jìn)行應(yīng)用層協(xié)議檢查和內(nèi)容過濾，檢驗(yàn)其有效載荷的合法性和安全性。一旦數(shù)據(jù)包通過了安全檢查，內(nèi)網(wǎng)主機(jī)模塊會(huì)對(duì)數(shù)據(jù)包進(jìn)行格式化，將每個(gè)合法數(shù)據(jù)包的傳輸信息和傳輸數(shù)據(jù)分別轉(zhuǎn)換成專有格式數(shù)據(jù)，存放在緩沖區(qū)等待被隔離交換模塊處理。再使用隔離交換模塊把存放在內(nèi)網(wǎng)主機(jī)緩沖區(qū)的數(shù)據(jù)寫進(jìn)隔離交換模塊的隔離卡中。由于隔離交換子系統(tǒng)采用互斥機(jī)制，在讀寫一端主機(jī)模塊的數(shù)據(jù)前先中止對(duì)另一端的操作，確保隔離交換系統(tǒng)不會(huì)同