計(jì)算機(jī)畢業(yè)論文--網(wǎng)絡(luò)公司構(gòu)架之淺談

1、<p><b>　　本科生畢業(yè)設(shè)計(jì) </b></p><p><b>　　網(wǎng)絡(luò)公司構(gòu)架之淺談</b></p><p>　　院 系　計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 </p><p>　　專 業(yè)　計(jì)算機(jī)科學(xué)與技術(shù) 　 </p><p><b>　　摘 要</b

2、></p><p>　　隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題。網(wǎng)絡(luò)的安全性、保密性、可靠穩(wěn)定性，對(duì)于企業(yè)和一些跨區(qū)域?qū)ｉT從事特定業(yè)務(wù)的部門，非常重要。所以有一個(gè)良好的網(wǎng)絡(luò)構(gòu)架那是必須的。</p><p>　　關(guān)鍵字：網(wǎng)絡(luò)規(guī)劃，路由，交換機(jī)</p><p><b>　　Abstract</b></p>&l

3、t;p>　　With the rapid development of the Internet, network security has become a potential huge problems. Network security, privacy, reliable stability, for enterprises and some cross area to specialize in particular b

4、usiness department, is very important. So there's a good network structure that is a must. </p><p>　　Keyboard：The network planning, routing, switches </p><p><b>　　目 錄</b></p&

5、gt;<p>　　緒 論- 1 -</p><p>　　第一章項(xiàng)目需求分析- 1 -</p><p>　　項(xiàng)目背景- 1 -</p><p>　　1.1.需求分析- 2 -</p><p>　　第二章 網(wǎng)絡(luò)總體建設(shè)目標(biāo)- 3 -</p><p>　　2.1網(wǎng)絡(luò)建設(shè)目標(biāo)- 3 -<

6、/p><p>　　2.2網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容及要求- 3 -</p><p>　　2.3網(wǎng)絡(luò)設(shè)計(jì)原則- 4 -</p><p>　　第三章 網(wǎng)絡(luò)總體設(shè)計(jì)- 5 -</p><p>　　3.1 網(wǎng)絡(luò)總體拓?fù)鋱D- 5 -</p><p>　　3.2 網(wǎng)絡(luò)層次化設(shè)計(jì)- 6 -</p><p>

7、　　第四章 路由設(shè)計(jì)- 7 -</p><p>　　4.1 路由協(xié)議選擇- 7 -</p><p>　　4.2 路由規(guī)劃拓?fù)鋱D- 9 -</p><p>　　4.3 IP地址規(guī)劃- 9 -</p><p>　　第五章 網(wǎng)絡(luò)安全解決方案- 11 -</p><p>　　5.1 網(wǎng)絡(luò)邊界安全威脅分析- 11 -

8、</p><p>　　5.2 網(wǎng)絡(luò)內(nèi)部安全威脅分析- 13 -</p><p>　　5.3 安全產(chǎn)品選型原則- 13 -</p><p>　　5.4 網(wǎng)絡(luò)常用技術(shù)介紹- 13 -</p><p>　　第六章 產(chǎn)品簡(jiǎn)介- 16 -</p><p>　　第七章 項(xiàng)目實(shí)施計(jì)劃- 17 -</p>&l

9、t;p>　　7.1 項(xiàng)目組織結(jié)構(gòu)- 17 -</p><p>　　7.2 項(xiàng)目人員分工- 18 -</p><p>　　7.3 項(xiàng)目實(shí)施前的準(zhǔn)備工作- 18 -</p><p>　　7.4 安裝前的場(chǎng)地準(zhǔn)備- 19 -</p><p>　　7.5 核心及各網(wǎng)點(diǎn)的安裝調(diào)試- 20 -</p><p>　　

10、第八章 網(wǎng)絡(luò)測(cè)試- 20 -</p><p>　　8.1 網(wǎng)絡(luò)測(cè)試目的- 20 -</p><p>　　8.2 測(cè)試文檔- 21 -</p><p>　　第九章 總部實(shí)驗(yàn)文檔- 23 -</p><p>　　一、實(shí)驗(yàn)拓?fù)? 23 -</p><p>　　二、實(shí)驗(yàn)配置- 24 -</p>&l

11、t;p>　　第十章 服務(wù)器配置- 45 -</p><p>　　一、DNS- 45 -</p><p>　　二、AD- 48 -</p><p>　　三、MAIL- 57 -</p><p>　　四、web- 60 -</p><p>　　五、FTP- 65 -</p><p&g

12、t;　　六、FILE- 69 -</p><p>　　七、ISA- 76 -</p><p><b>　　結(jié) 束 語(yǔ)2</b></p><p>　　參 考 文 獻(xiàn)77</p><p><b>　　附 錄78</b></p><p><b>　　致 謝3

13、</b></p><p><b>　　緒 論</b></p><p>　　網(wǎng)絡(luò)發(fā)展存在的幾個(gè)方面的差異，將會(huì)在中小型企業(yè)中特別是偏遠(yuǎn)和經(jīng)濟(jì)相對(duì)落后的企業(yè)，網(wǎng)絡(luò)發(fā)展建設(shè)迫在眉睫，網(wǎng)絡(luò)建設(shè)隨后帶來(lái)的安全性問(wèn)題就成為一個(gè)艱巨而又長(zhǎng)期的問(wèn)題。而在目前網(wǎng)絡(luò)管理安全技術(shù)人員短缺、安全意識(shí)相對(duì)淡薄的情況下，如何能夠在網(wǎng)絡(luò)建設(shè)初期或正在建設(shè)過(guò)程中盡早的建立起網(wǎng)絡(luò)安全意識(shí)

14、，了解網(wǎng)絡(luò)安全存在的威脅，選拔和培養(yǎng)自己的安全人才，新的安全人員能夠了解和掌握基本安全防范措施，制定適合本單位網(wǎng)絡(luò)安全的安全實(shí)施計(jì)劃，最大限度的避免和減少網(wǎng)絡(luò)威脅給企業(yè)帶來(lái)不必要的損失。本課題研究的目的和意義就是:在以上這些方面，為中小型企業(yè)網(wǎng)絡(luò)建設(shè)及網(wǎng)絡(luò)安全管理提供參考指導(dǎo)和幫助，同時(shí)，在一些安全技術(shù)上，給出分析和經(jīng)過(guò)具體實(shí)踐的解決方案。 國(guó)內(nèi)的目前情況是網(wǎng)絡(luò)建設(shè)工程通常由網(wǎng)絡(luò)服務(wù)提供商(ISP)或者網(wǎng)絡(luò)工程公司根據(jù)用戶需求提

15、供設(shè)計(jì)方案，往往是公司方面的意見占上風(fēng)，而企業(yè)方因?yàn)閷?duì)網(wǎng)絡(luò)建設(shè)了解較少并且缺乏這一方面的技術(shù)人員，從而變成了單方面的策略模式;其二，公司方面為方便日后的維護(hù)等工作，在安全等方面更多注重設(shè)備的選型。但是，網(wǎng)絡(luò)運(yùn)行、應(yīng)用和安全的主要工作在于建設(shè)之后，存在許多動(dòng)態(tài)可變的因素。除了工程</p><p><b>　　一章項(xiàng)目需求分析</b></p><p><b>　

16、　項(xiàng)目背景</b></p><p>　　河北承德露露股份有限公司坐落于承德市高新技術(shù)產(chǎn)業(yè)開發(fā)區(qū)，注冊(cè)資金為2億人民幣，現(xiàn)為萬(wàn)向三農(nóng)有限公司（法人）控股的上市公司。公司于1997年年底在深交所上市，成為國(guó)內(nèi)飲料行業(yè)首批上市公司之一。其總公司人數(shù)600人，分公司400人，公司以發(fā)展民族飲料為目標(biāo)，堅(jiān)持走科技興廠的道路，本著“高起點(diǎn)引進(jìn)、高速度發(fā)展、創(chuàng)造高效益”的原則，使技術(shù)裝備水平居國(guó)內(nèi)領(lǐng)先地位，從而使公

17、司的生產(chǎn)能力、科技含量有了更大的提高。 </p><p>　　公司發(fā)展穩(wěn)健，成長(zhǎng)性良好，連續(xù)多年名列深市排行榜前列。公司堅(jiān)持用優(yōu)質(zhì)的產(chǎn)品回報(bào)消費(fèi)者，用良好的信譽(yù)、投資回報(bào)率答謝支持露露的廣大投資者。 </p><p>　　公司理念為：視品質(zhì)為生命堅(jiān)持質(zhì)量第一，生產(chǎn)高品質(zhì)產(chǎn)品是露露企業(yè)的信念。露露嚴(yán)格把控產(chǎn)品質(zhì)量關(guān)，從不在質(zhì)量上投機(jī)取巧，因?yàn)槁堵秷?jiān)信只有真正為消費(fèi)者提供高品質(zhì)產(chǎn)品，才能使消費(fèi)

18、者享受到健康營(yíng)養(yǎng)，企業(yè)也因此才能立于不敗之地。</p><p>　　所以本項(xiàng)目的目標(biāo)是：建立一個(gè)世紀(jì)規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴(kuò)展性與可用性并且具備可管理易維護(hù)的網(wǎng)絡(luò)及系統(tǒng)平臺(tái)，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率”。</p><p><b>　　需求分析</b></p><p>　　項(xiàng)目建設(shè)關(guān)鍵因素

19、分析</p><p>　　通過(guò)對(duì)整個(gè)項(xiàng)目建設(shè)的理解和分析，我們認(rèn)為整個(gè)項(xiàng)目建設(shè)需要考慮一下幾個(gè)關(guān)鍵因素</p><p>　　所選擇產(chǎn)品設(shè)備的成熟度</p><p>　　對(duì)于露露集團(tuán)的客戶來(lái)說(shuō)，信息化程度高，客戶較多，所以對(duì)于設(shè)備的選擇，一定要是世界知名的、設(shè)計(jì)先進(jìn)的、技術(shù)理念成熟的產(chǎn)品。</p><p>　　建立和維護(hù)需要的人力成本</

20、p><p>　　知識(shí)管理時(shí)代需要處理海量信息的時(shí)代，僅僅依靠人工的操作時(shí)無(wú)法滿足用戶需求的，系統(tǒng)應(yīng)該擁有高度的自動(dòng)化，給員工的操作和維護(hù)負(fù)擔(dān)就越少，從另一層面也節(jié)省了投資。</p><p>　　易用性及實(shí)用性的考慮</p><p>　　建設(shè)項(xiàng)目的系統(tǒng)使用性、可維護(hù)性是首要考慮問(wèn)題，如果一個(gè)系統(tǒng)搭建起來(lái)，實(shí)用性差、維護(hù)不方便，不能滿足項(xiàng)目建設(shè)目標(biāo)，不能發(fā)揮信息服務(wù)和支撐的

21、作用。從這個(gè)角度看，只是管理平臺(tái)需要具有非常優(yōu)秀的易用性和實(shí)用性。</p><p>　　系統(tǒng)穩(wěn)定性及高性能考慮</p><p>　　系統(tǒng)需要支持長(zhǎng)時(shí)間的不間斷工作，能夠支持多客戶的并發(fā)訪問(wèn)，在客戶和信息不斷增長(zhǎng)的情況下，系統(tǒng)應(yīng)該提供高性能穩(wěn)定的服務(wù)。</p><p><b>　　安全性</b></p><p>　　安全性

22、是任何一個(gè)大企業(yè)的關(guān)心的問(wèn)題，所以整個(gè)系統(tǒng)需要具有非常周密的安全性考慮。</p><p><b>　　擴(kuò)展性</b></p><p>　　對(duì)于一個(gè)系統(tǒng)，一定要考慮到系統(tǒng)今后的擴(kuò)展和升級(jí)，所以整個(gè)系統(tǒng)應(yīng)該有良好的構(gòu)架，具有良好的擴(kuò)展能力。</p><p>　　具體項(xiàng)目建設(shè)因素分析</p><p>　　我們本次的項(xiàng)目建設(shè)范圍

23、為總部和分部。</p><p><b>　　總部：</b></p><p>　　本地區(qū)具有本公司重要信息，分為幾個(gè)重要區(qū)域：數(shù)據(jù)中心，服務(wù)器，核心交換區(qū)。數(shù)據(jù)中心區(qū)域存儲(chǔ)本公司機(jī)密，其需要性能好，穩(wěn)定性好，安全可靠；核心交換區(qū)能高速安全可靠的交換數(shù)據(jù)，它需要性能佳，穩(wěn)定性好，冗余性好，可擴(kuò)展性好。因此我們?cè)谠O(shè)計(jì)時(shí)會(huì)著重考慮這些因素。</p><p&

24、gt;<b>　　分部：</b></p><p>　　本地區(qū)相當(dāng)于總部的子區(qū)域，因此總部可以知道其內(nèi)部的網(wǎng)絡(luò)構(gòu)架，并合理利用其資源。相對(duì)來(lái)講，為了防止機(jī)密流失，我們會(huì)防止其分部進(jìn)入總部的骨干區(qū)域。</p><p>　　在當(dāng)今的市場(chǎng)，對(duì)于以上的技術(shù)分析，都有相應(yīng)的設(shè)備對(duì)其進(jìn)行完善，對(duì)公司的網(wǎng)絡(luò)運(yùn)營(yíng)有很大幫助。</p><p>　　第二章 網(wǎng)絡(luò)總體

25、建設(shè)目標(biāo)</p><p><b>　　網(wǎng)絡(luò)建設(shè)目標(biāo)</b></p><p>　　貴公司目前網(wǎng)絡(luò)尚不完善，我們的建設(shè)目標(biāo)是：完善公司的高層核心網(wǎng)絡(luò)和服務(wù)器，使其內(nèi)部員工在工作時(shí)間內(nèi)僅可以訪問(wèn)共享資源，上網(wǎng)查資料，收發(fā)郵件，絕對(duì)杜絕員工于工作時(shí)間玩游戲，聊天等。建設(shè)一個(gè)具有高可用性、高可靠性、先進(jìn)、開放、可擴(kuò)展的智能信息化網(wǎng)絡(luò)系統(tǒng)。</p><p>

26、;　　網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容及要求</p><p><b>　　骨干核心層網(wǎng)絡(luò)設(shè)計(jì)</b></p><p>　　企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的核心網(wǎng)主要完成整個(gè)企業(yè)集團(tuán)內(nèi)部不同地域企業(yè)之間的高速數(shù)據(jù)路由轉(zhuǎn)發(fā)，以及維護(hù)全網(wǎng)路由的計(jì)算。鑒于集團(tuán)企業(yè)的用戶數(shù)量眾多，業(yè)務(wù)復(fù)雜，數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)難免遇到擁塞、阻塞等情況，所以需要用到QOS技術(shù)。</p><p>　　在骨干核心

27、層中，我們采用核心路由交換機(jī)組成一個(gè)環(huán)形多機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案。為提高核心網(wǎng)絡(luò)的健壯性，防止單臺(tái)設(shè)備失效造成的網(wǎng)絡(luò)中斷，實(shí)現(xiàn)鏈路的安全保障，本方案骨干核心層環(huán)網(wǎng)中可以采用HSRP（熱備份路由協(xié)議）技術(shù)。對(duì)于各個(gè)業(yè)務(wù)VLAN可以指向這個(gè)虛擬的IP地址作為網(wǎng)關(guān)，因此應(yīng)用HSRP技術(shù)為核心交換機(jī)提供了一個(gè)可靠的網(wǎng)關(guān)地址，以實(shí)現(xiàn)在核心層核心交換機(jī)之間進(jìn)行設(shè)備的冗余，一主兩備，共用一個(gè)虛擬的IP地址和MAC地址，通過(guò)內(nèi)部的協(xié)議傳輸機(jī)制

28、可以自動(dòng)進(jìn)行工作角色的切換。進(jìn)而雙引擎、雙電源的設(shè)計(jì)為網(wǎng)絡(luò)高效處理集中數(shù)據(jù)提供了可靠的保障。另外，我們還采用CHANNEL（鏈路捆綁技術(shù)）技術(shù)，提高鏈路的高效利用,可以把兩條物理鏈路捆綁成一條虛擬的鏈路,可以避免環(huán)路。鏈路捆綁技術(shù)是把多條鏈路捆綁起來(lái)，為了提高帶寬，出入流量可以在多個(gè)成員接口之間分擔(dān)，也可以加大鏈路的利用率。而且鏈路捆綁技術(shù)用來(lái)做冗余，將兩條物理鏈路捆綁成一條，可以使同時(shí)使用的帶寬變?yōu)閮杀?，?shù)據(jù)在兩條鏈路上同時(shí)發(fā)送數(shù)據(jù)。

29、當(dāng)某個(gè)成員接口出現(xiàn)故障時(shí)，流量會(huì)自動(dòng)切換到其他可用的成員接口上，并且進(jìn)行無(wú)縫切換，不會(huì)影響到數(shù)據(jù)的傳輸，從而提</p><p><b>　　核心層網(wǎng)絡(luò)設(shè)計(jì)</b></p><p>　　企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的核心層網(wǎng)絡(luò)主要完成園區(qū)內(nèi)各個(gè)匯集層設(shè)備之間的數(shù)據(jù)交換和與骨干核心層網(wǎng)絡(luò)之間的路由轉(zhuǎn)發(fā)。本層采用CISCO WS-C3560G-24TS-S 核心路由交換機(jī)作為企業(yè)生產(chǎn)辦

30、公網(wǎng)絡(luò)的園區(qū)核心路由交換設(shè)備，CISCO WS-C3560G-24TS-S 具有強(qiáng)大的業(yè)務(wù)和路由交換的處理能力，能提供 VPN 、Qos、策略路由、NAT、PPPOE/WEB/802.1X/L2TP 認(rèn)證等豐富業(yè)務(wù)能力，并可通過(guò)內(nèi)置防火墻模塊實(shí)現(xiàn)各種強(qiáng)大的網(wǎng)絡(luò)安全策略，可以充分滿足企業(yè)不同園區(qū)網(wǎng)絡(luò)的高速數(shù)據(jù)交換和支持多業(yè)務(wù)功能的要求，并能夠提供完善的安全防御策略，保障企業(yè)園區(qū)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。 </p><p>

31、<b>　　匯聚層網(wǎng)絡(luò)設(shè)計(jì)</b></p><p>　　匯聚層網(wǎng)絡(luò)主要完成企業(yè)各園區(qū)內(nèi)辦公樓和相關(guān)單位的內(nèi)接入交換機(jī)的匯聚及數(shù)據(jù)交換和VLAN終結(jié)，在本方案中采用WS-C2960-24TT-L 交換機(jī)多層交換機(jī)作為匯聚層的交換機(jī)。WS-C2960-24TT-L 交換機(jī)在提供高密度千兆端口接入的同時(shí)還能夠滿足匯聚層智能高速處理的需要，并能夠靈活的部署在網(wǎng)絡(luò)邊緣的各個(gè)位置。能夠同時(shí)提供多個(gè)高

32、速專用堆疊端口和百兆光口/電口。這些交換機(jī)都具備較強(qiáng)的多業(yè)務(wù)提供的能力。為用戶提供豐富、高性能價(jià)比的組網(wǎng)選擇。</p><p><b>　　接入層網(wǎng)絡(luò)設(shè)計(jì)</b></p><p>　　以往傳統(tǒng)企業(yè)網(wǎng)絡(luò)接入層的建設(shè)中并不關(guān)注于安全控制和QOS提供的能力，而將網(wǎng)絡(luò)的安全防御措施和QOS保障依賴于網(wǎng)絡(luò)的匯聚層或骨干層設(shè)備，這給匯聚層和骨干層設(shè)備帶來(lái)了巨大的壓力，往往內(nèi)網(wǎng)病毒

33、泛濫成災(zāi)后導(dǎo)致骨干層設(shè)備癱瘓，使網(wǎng)絡(luò)沒(méi)有QOS服務(wù)質(zhì)量的保障。</p><p>　　Cisco WS-C2918-48TC-C(思科二層交換機(jī))是滿足高安全、多業(yè)務(wù)承載、高性能網(wǎng)絡(luò)環(huán)境的換機(jī)，具備傳統(tǒng)二層交換機(jī)大容量、高性能等優(yōu)點(diǎn)，同時(shí)還具有領(lǐng)先的安全特性，進(jìn)一步加強(qiáng)了企業(yè)網(wǎng)絡(luò)對(duì)邊緣接入層的安全控制能力。用戶可以根據(jù)需要來(lái)訂制自身的安全策略并部署在此交換機(jī)上。該產(chǎn)品具備的端口帶寬限制、端口鏡像、QOS、端口安全、

34、廣播風(fēng)暴抵制等功能可以很好的協(xié)助用戶實(shí)現(xiàn)網(wǎng)絡(luò)的管理和維護(hù)。除此之外，此交換機(jī)還具備多個(gè)專用堆疊接口，可以滿足樓層，樓宇內(nèi)多個(gè)交換機(jī)高性能匯聚的需要。</p><p><b>　　冗余/負(fù)載均衡設(shè)計(jì)</b></p><p>　　冗余和負(fù)載均衡的設(shè)計(jì)是網(wǎng)絡(luò)設(shè)計(jì)的重要部分，是保證網(wǎng)絡(luò)整體可靠性能的重要手段。但是投資也將增加。部分企業(yè)網(wǎng)在早期的建設(shè)中由于成本的原因并未在設(shè)計(jì)中

35、考慮到冗余的問(wèn)題，而在優(yōu)化工作中則需從網(wǎng)絡(luò)鏈路和網(wǎng)絡(luò)設(shè)備兩方面著手。冗余和負(fù)載均衡設(shè)計(jì)可以貫穿整個(gè)層次化結(jié)構(gòu)。我們采用了PVST（每vlan生成樹協(xié)議）技術(shù)，它為每個(gè)在網(wǎng)絡(luò)中配置的VLAN維護(hù)一個(gè)生成樹實(shí)例，減少了生成樹拓?fù)涞目偡秶?，增?qiáng)了可擴(kuò)張性并減少了收斂時(shí)間，提供快速回復(fù)和更好的可靠性。并且防止了環(huán)路，實(shí)現(xiàn)了負(fù)載均衡，數(shù)據(jù)的備份和冗余。萬(wàn)一網(wǎng)絡(luò)中某條路徑失效時(shí)，冗余鏈路可以提供另一條路徑，使網(wǎng)絡(luò)能夠及時(shí)的正常運(yùn)行，高效合理的利用好

36、網(wǎng)絡(luò)當(dāng)中的每條可用鏈路。</p><p><b>　　服務(wù)器冗余設(shè)計(jì)</b></p><p>　　企業(yè)網(wǎng)中服務(wù)器、大型機(jī)，如網(wǎng)絡(luò)存儲(chǔ)服務(wù)器，SQL Server服務(wù)器，其存儲(chǔ)的數(shù)據(jù)對(duì)于企業(yè)來(lái)說(shuō)至關(guān)重要，一些核心數(shù)據(jù)被視為企業(yè)的生命。一方面它對(duì)企業(yè)的重要性毋庸置疑，另一方面，由于這些數(shù)據(jù)的性質(zhì)決定了其較大的被訪問(wèn)量，這個(gè)對(duì)服務(wù)器提出了穩(wěn)定和快速的要求。為此，我們采用的是

37、輪詢的方法，輪詢是基站為終端分配帶寬的一種處理流程，這種分配可以是針對(duì)單個(gè)終端或是一組終端的。輪詢是基于終端的，帶寬的請(qǐng)求總是基于CID，而分配則是基于終端。為一組終端和連接分配帶寬實(shí)際上是定義帶寬請(qǐng)求競(jìng)爭(zhēng)機(jī)制，這種分配不是使用一個(gè)單獨(dú)的消息，而是上行鏈路映射消息中包含的一系列分配機(jī)制，這樣使得每個(gè)服務(wù)器都能夠更好、更快的工作，提高了工作效率，更充分的利用了每個(gè)服務(wù)器。</p><p>　　本網(wǎng)絡(luò)中應(yīng)具備有多臺(tái)服

38、務(wù)器設(shè)備，包括DB SERVER 數(shù)據(jù)庫(kù)服務(wù)器，WEB 等應(yīng)用服務(wù)器，NEWS，MALL等通訊服務(wù)器以及多媒體服務(wù)器等。</p><p><b>　　網(wǎng)絡(luò)設(shè)計(jì)原則</b></p><p>　　為構(gòu)建高質(zhì)量的網(wǎng)絡(luò)，再網(wǎng)絡(luò)建設(shè)中要堅(jiān)持以下原則：</p><p>　　高可靠性：網(wǎng)絡(luò)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵，保證在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性的網(wǎng)絡(luò)

39、產(chǎn)品設(shè)備，充分考慮冗余、容錯(cuò)和備份能力，同時(shí)合理設(shè)計(jì)網(wǎng)絡(luò)構(gòu)架，制定可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的可靠運(yùn)行。</p><p>　　技術(shù)先進(jìn)性：在保證滿足基本業(yè)務(wù)應(yīng)用的同時(shí)，又要體現(xiàn)出網(wǎng)絡(luò)的先進(jìn)性。再網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來(lái)，充分考慮到網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來(lái)發(fā)展趨勢(shì)。</p><p>　　高性能：骨干網(wǎng)絡(luò)的性能是整個(gè)網(wǎng)絡(luò)良好運(yùn)行

40、的基礎(chǔ)，在設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)、語(yǔ)音、圖像）的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為業(yè)務(wù)的擴(kuò)展。</p><p>　　標(biāo)準(zhǔn)開放性：支持國(guó)際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國(guó)際標(biāo)準(zhǔn)的大型的動(dòng)態(tài)路由協(xié)議等開放協(xié)議，有利于以保證與其他網(wǎng)絡(luò)之間的平滑連接互通，以及將來(lái)網(wǎng)絡(luò)的擴(kuò)展。</p><p>　　可管理性：選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，具有對(duì)設(shè)備、端口等的管理及流量統(tǒng)計(jì)分析，并可提供

41、保障自動(dòng)報(bào)警。</p><p>　　可擴(kuò)展性：根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)充和升級(jí)，最大程度的減少對(duì)網(wǎng)絡(luò)構(gòu)架和現(xiàn)有設(shè)備的調(diào)整。</p><p>　　安全性：制定統(tǒng)一的網(wǎng)絡(luò)安全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性，做到業(yè)務(wù)數(shù)據(jù)的安全傳遞和網(wǎng)絡(luò)設(shè)備不受黑客攻擊。</p><p>　　經(jīng)濟(jì)性：在充分利用現(xiàn)有資源的情況下，最大限度地降低網(wǎng)絡(luò)系統(tǒng)的總體投資，有計(jì)劃、有

42、步驟地實(shí)施，在保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級(jí)。</p><p>　　第三章 網(wǎng)絡(luò)總體設(shè)計(jì)</p><p>　　3.1 網(wǎng)絡(luò)總體拓?fù)鋱D</p><p>　　考慮到總公司的實(shí)際需求，建議采用兩臺(tái)Cisco Catalyst3560 做雙機(jī)熱備，用Cisco 專有熱備份路由協(xié)議技術(shù)（HSRP），根據(jù)需求配置成多組HSRP；同時(shí)雙機(jī)還可以做負(fù)

43、載均衡。</p><p>　　這樣設(shè)計(jì)不但保證網(wǎng)絡(luò)的高可用性和穩(wěn)定性，還能夠充分利用現(xiàn)有設(shè)</p><p>　　備的資源，以避免單臺(tái)核心設(shè)備的負(fù)載太重而導(dǎo)致的網(wǎng)絡(luò)性能問(wèn)題。</p><p>　　如上圖所示，整體網(wǎng)絡(luò)可以根據(jù)功能劃分為總部核心網(wǎng)絡(luò)、內(nèi)聯(lián)接入包括辦公網(wǎng)絡(luò)、數(shù)據(jù)中心、分公司接入等，各區(qū)域相對(duì)獨(dú)立，通過(guò)</p><p>　　核心網(wǎng)絡(luò)進(jìn)

44、行數(shù)據(jù)的交互。</p><p>　　各區(qū)域可以各自建立交換網(wǎng)絡(luò)、路由接入、網(wǎng)絡(luò)安全體系，可</p><p>　　以有獨(dú)立的安全策略、數(shù)據(jù)流量控制等個(gè)體的特性，而需要和其他區(qū)</p><p>　　域的設(shè)備進(jìn)行通訊的時(shí)候，則必須遵守核心網(wǎng)絡(luò)區(qū)的策略。</p><p>　　3.2 網(wǎng)絡(luò)層次化設(shè)計(jì)</p><p>　　隨著網(wǎng)絡(luò)

45、技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長(zhǎng)，分布式的網(wǎng)絡(luò)服</p><p>　　務(wù)和交換已經(jīng)移至用戶級(jí)，由此形成了一個(gè)新的、更適應(yīng)現(xiàn)代的高速</p><p>　　大型網(wǎng)絡(luò)的分層設(shè)計(jì)模型。這種分級(jí)方法被稱為“多層設(shè)計(jì)”。多層</p><p>　　設(shè)計(jì)有以下一些好處：</p><p>　　多層設(shè)計(jì)是模塊化的，網(wǎng)絡(luò)容量可隨著日后網(wǎng)絡(luò)節(jié)點(diǎn)的增加而不</p

46、><p><b>　　斷增大。</b></p><p>　　多層網(wǎng)絡(luò)有很大的確定性，因此在運(yùn)行和擴(kuò)展過(guò)程中進(jìn)行故障查</p><p><b>　　找和排除非常簡(jiǎn)單。</b></p><p>　　多層網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)最有效地利用多種第3 層業(yè)務(wù)，包括分段﹑負(fù)</p><p>　　載分擔(dān)

47、和故障恢復(fù)等。</p><p>　　在分層網(wǎng)絡(luò)中運(yùn)用智能第3 層業(yè)務(wù)可以大大減少因配置不當(dāng)或</p><p>　　故障設(shè)備引起的一般問(wèn)題。</p><p>　　多層模式使網(wǎng)絡(luò)的移植更為簡(jiǎn)單易行，因?yàn)樗Ａ袅嘶诼酚善?lt;/p><p>　　和交換機(jī)的網(wǎng)絡(luò)原有的尋址方案，對(duì)以往的網(wǎng)絡(luò)有很好的兼容性。</p><p>　　另

48、外分層結(jié)構(gòu)也能夠?qū)W(wǎng)絡(luò)的故障進(jìn)行很好的隔離。</p><p>　　針對(duì)實(shí)際情況我們可以采用三層結(jié)構(gòu)模型。 三層結(jié)構(gòu)模型劃分</p><p>　　為三個(gè)層次，即核心層、分布層、接入層。每個(gè)層次完成不同的功能。</p><p><b>　　核心層</b></p><p>　　核心層作為整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心，其主要功能是高速、可

49、靠的進(jìn)</p><p><b>　　行數(shù)據(jù)交換。</b></p><p><b>　　分布層</b></p><p>　　分布層主要進(jìn)行接入層的數(shù)據(jù)流量匯聚，并對(duì)數(shù)據(jù)流量進(jìn)行訪問(wèn)</p><p>　　控制。包括訪問(wèn)控制列表、VLAN 路由等等。</p><p><b&g

50、t;　　接入層</b></p><p>　　接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。主要是進(jìn)行VLAN</p><p>　　的劃分、與分布層的連接等等。</p><p><b>　　核心層設(shè)計(jì)</b></p><p>　　核心交換區(qū)的作用是盡快地提供所有的區(qū)域間的數(shù)據(jù)交換。我們</p><p

51、>　　推薦使用兩臺(tái)Cisco Catalyst 3560交換機(jī)完成此項(xiàng)功能。兩臺(tái)3560</p><p>　　交換機(jī)高性能、可靠性、可用性是我們主要考慮的因素。本區(qū)的安全</p><p>　　性可以由邊界防火墻提供，如有需要在3560 上面可以部署安全策略，使得核心交換區(qū)的安全性進(jìn)一步地增強(qiáng)。</p><p>　　Cisco Catalyst 3560 系列憑

52、借眾多智能服務(wù)將控制擴(kuò)展到網(wǎng)絡(luò)</p><p>　　邊緣，其中包括先進(jìn)的服務(wù)質(zhì)量 (QOS)、可預(yù)測(cè)性能、高級(jí)安全性和全面的管理。它提供帶集成永續(xù)性的出色控制，將永續(xù)性集成到硬件和軟件中，縮短了網(wǎng)絡(luò)停運(yùn)時(shí)間。Cisco Catalyst 3560 系列的模塊化架構(gòu)、介質(zhì)靈活性和可擴(kuò)展性減少了重復(fù)運(yùn)營(yíng)開支，提高了投資回報(bào)（ROI），從而在延長(zhǎng)部署壽命的同時(shí)降低了擁有成本。</p><p>&

53、lt;b>　　接入層設(shè)計(jì)</b></p><p>　　接入層交換機(jī)采用思科的WS-C2960 以千兆以太鏈路和匯聚交換機(jī)相連接，并為用戶終端提供10/100M 自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。辦公系統(tǒng)所需的各種服務(wù)器如辦公自動(dòng)化服務(wù)器、郵件服務(wù)器、DHCP 服務(wù)器等組成服務(wù)器群，數(shù)據(jù)中心的多種金融系統(tǒng)應(yīng)用服務(wù)器, 連接到匯聚交換機(jī)的千兆模塊上面,因此，內(nèi)部的局域網(wǎng)是

54、采用三層結(jié)構(gòu)組建。</p><p><b>　　內(nèi)聯(lián)接入</b></p><p>　　內(nèi)聯(lián)接入的作用是用于連接上海期貨機(jī)房和北京辦公網(wǎng)絡(luò)。我們推薦使用兩臺(tái)Cisco 2800系列路由器通過(guò)SDH/DDN線路完成此項(xiàng)功能。</p><p>　　由于總部網(wǎng)絡(luò)和分部機(jī)房屬于公司的內(nèi)部網(wǎng)絡(luò)的一部分，因此可信度很高；接入時(shí)主要作用是生產(chǎn)運(yùn)營(yíng)系統(tǒng)的數(shù)據(jù)交換

55、，查詢等等和管理以及監(jiān)控?？偨Y(jié)以上的原因，內(nèi)聯(lián)路由器與核心交換網(wǎng)絡(luò)間不需要配置額外的防火墻。</p><p><b>　　第四章 路由設(shè)計(jì)</b></p><p>　　4.1 路由協(xié)議選擇</p><p>　　開放式最短路徑優(yōu)先（Open Shortest Path First，OSPF）協(xié)議是一種為IP網(wǎng)絡(luò)開發(fā)的內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議，由IET

56、F開 發(fā)并推薦使用。</p><p>　　OSPF定義了5種分組：Hello分組用于建立和維護(hù)連接；數(shù)據(jù)庫(kù)描述分組初始化路由器的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫(kù)；當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫(kù)中的某部分信息已經(jīng)過(guò)時(shí)后，路由器發(fā)送鏈路狀態(tài)請(qǐng)求分組，請(qǐng)求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來(lái)主動(dòng)擴(kuò)散自己的鏈路狀態(tài)數(shù)據(jù)庫(kù)或?qū)︽溌窢顟B(tài)請(qǐng)求分組進(jìn)行響應(yīng)；由于OSPF直接運(yùn)行在IP層，協(xié)議本身要提供確認(rèn)機(jī)制，鏈路狀態(tài)應(yīng)答分組是對(duì)鏈路狀態(tài)更新分組進(jìn)行確認(rèn)

57、。</p><p>　　OSPF協(xié)議由三個(gè)子協(xié)議組成：Hello協(xié)議、交換協(xié)議和擴(kuò)散協(xié)議。其中Hello協(xié)議負(fù)責(zé)檢查鏈路是否可用，并完成指定路由器及備份指定路由器；交換協(xié)議完成“主”、“從”路由器的指定并交換各自的路由數(shù)據(jù)庫(kù)信息；擴(kuò)散協(xié)議完成各路由器中路由數(shù)據(jù)庫(kù)的同步維護(hù)。</p><p>　　OSPF協(xié)議主要優(yōu)點(diǎn)：</p><p>　　為了克服距離矢量路由選擇協(xié)議

58、的缺點(diǎn)，開發(fā)了鏈路狀態(tài)選擇協(xié)議。</p><p>　　鏈路狀態(tài)路由選擇協(xié)議僅在網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)才生成路由選擇更新。</p><p>　　鏈路狀態(tài)路由選擇協(xié)議具體如下特征：</p><p>　　快速響應(yīng)網(wǎng)絡(luò)變化 .</p><p>　　在網(wǎng)絡(luò)變化時(shí)發(fā)送觸發(fā)更新 .</p><p>　　以較低的頻率發(fā)送定期更新，被稱為鏈

59、路狀態(tài)刷新（LSU）.</p><p><b>　　SPF算法</b></p><p>　　最短路徑優(yōu)先（SPF）路由算法，又稱Dijkstra算法，所有的OSPF路由器并執(zhí)行SPF算法，根據(jù)路由器的拓?fù)鋽?shù)據(jù)庫(kù)構(gòu)造出來(lái)以他自己為根結(jié)點(diǎn)的最短路徑樹。這個(gè)最短路徑樹就生成了路由表。</p><p>　　OSPF規(guī)定有層次的網(wǎng)路結(jié)構(gòu)，OSPF將網(wǎng)絡(luò)分

60、為若干區(qū)域：</p><p>　　傳輸區(qū)域（骨干區(qū)域）：主要的功能為快速高效的傳輸IP分組的OSPF區(qū)域，中轉(zhuǎn)區(qū)域?qū)⑵渌愋偷腛SPF區(qū)域連接起來(lái)。</p><p>　　常規(guī)區(qū)域（非骨干區(qū)域）：主要功能是為了連接用戶和資源的OSPF區(qū)域</p><p>　　骨干區(qū)域的區(qū)域號(hào)必須為0。所以的常規(guī)區(qū)域必須與骨干區(qū)域相連。</p><p>　　層次

61、化區(qū)域的優(yōu)點(diǎn)：便于管理。</p><p><b>　　最小化路由表</b></p><p>　　將拓?fù)渥兏绊懴拗圃趨^(qū)域內(nèi)</p><p>　　將LSA變更泛洪限制在范圍內(nèi) </p><p>　　OSPF路由器在完全鄰接之前,所經(jīng)過(guò)的幾個(gè)狀態(tài):</p><p>　　Down:此狀態(tài)還沒(méi)有與其他路由

62、器交換信息。首先從其ospf接口向外發(fā)送hello分組，還并不知道DR(若為廣播網(wǎng)絡(luò))和任何其他路由器。發(fā)送hello分組使用組播地址224.0.0.5。</p><p>　　Attempt: 只適于NBMA網(wǎng)絡(luò),在NBMA網(wǎng)絡(luò)中鄰居是手動(dòng)指定的,在該狀態(tài)下,路由器將使用HelloInterval取代PollInterval來(lái)發(fā)送Hello包。</p><p>　　Init: 表明在Dea

63、dInterval里收到了Hello包,但是2-Way通信仍然沒(méi)有建立起來(lái)。</p><p>　　two-way: 雙向會(huì)話建立,而RID彼此出現(xiàn)在對(duì)方的鄰居列表中。(若為廣播網(wǎng)絡(luò)：例如：以太網(wǎng)。在這個(gè)時(shí)候應(yīng)該選舉DR,BDR)。</p><p>　　ExStart: 信息交換初始狀態(tài)，在這個(gè)狀態(tài)下,本地路由器和鄰居將建立Master/Slave關(guān)系,并確定DD Sequence Numb

64、er,路由器ID大的的成為Master.</p><p>　　Exchange: 信息交換狀態(tài)，本地路由器和鄰居交換一個(gè)或多個(gè)DBD分組（也叫DDP) 。DBD包含有關(guān)LSDB中LSA條目的摘要信息)。</p><p>　　Loading: 信息加載狀態(tài)：收到DBD后,將收到的信息同LSDB中的信息進(jìn)行比較。如果DBD中有更新的鏈路狀態(tài)條目，則向?qū)Ψ桨l(fā)送一個(gè)LSR，用于請(qǐng)求新的LSA 。&

65、lt;/p><p>　　Full: 完全鄰接狀態(tài),鄰接間的鏈路狀態(tài)數(shù)據(jù)庫(kù)同步完成，通過(guò)鄰居鏈路狀態(tài)請(qǐng)求列表為空且鄰居狀態(tài)為L(zhǎng)oading判斷。</p><p>　　另外OSPF還有自己的自制系統(tǒng)即AS 自治系統(tǒng)（autonomous system）：一組相互管理下的網(wǎng)絡(luò)，它們共享同一個(gè)路由選擇方法，自治系統(tǒng)由地區(qū)再劃分并必須由IANA分配一個(gè)單獨(dú)的16位數(shù)字。地區(qū)通常連接到其他地區(qū)，使用路由器

66、創(chuàng)建一個(gè)自治系統(tǒng)。</p><p>　　為了保持骨干區(qū)域與普通區(qū)域的連通性，需要虛鏈路。</p><p>　　虛鏈路(Virtual Link)</p><p>　　以下兩種情況需要使用到虛鏈路:</p><p>　　1. 通過(guò)一個(gè)非骨干區(qū)域連接到一個(gè)骨干區(qū)域。</p><p>　　2. 通過(guò)一個(gè)非骨干區(qū)域連接一個(gè)分段

67、的骨干區(qū)域兩邊的部分區(qū)域。</p><p>　　虛鏈接是一個(gè)邏輯的隧道（Tunnel）,配置虛鏈接的一些規(guī)則:</p><p>　　1. 虛鏈接必須配置在2個(gè)ABR之間。</p><p>　　2. 虛鏈接所經(jīng)過(guò)的區(qū)域叫Transit Area,它必須擁有完整的路由信息。</p><p>　　3. Transit Area不能是Stub Are

68、a。</p><p>　　4. 盡可能的避免使用虛鏈接,它增加了網(wǎng)絡(luò)的復(fù)雜程度和加大了排錯(cuò)的難度。</p><p>　　4.2 路由規(guī)劃拓?fù)鋱D</p><p>　　4.3 IP地址規(guī)劃</p><p>　　標(biāo)識(shí)網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)。IP 地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相</p><p>　　適應(yīng)，既要有效地利用地址空間，

69、又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活</p><p>　　性，同時(shí)能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變</p><p><b>　　化的收斂速度。</b></p><p>　　我們根據(jù)以下幾個(gè)原則來(lái)分配IP 地址：</p><p>　　唯一性：一個(gè)IP 網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP 地址</p>

70、;<p>　　簡(jiǎn)單性：地址分配應(yīng)簡(jiǎn)單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡(jiǎn)化路</p><p><b>　　由表的款項(xiàng)</b></p><p>　　連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路由總結(jié)(Route</p><p>　　Summarization)，大大縮減路由表，提高路由算法的效率</p><p>

71、　　可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)</p><p>　　能保證地址總結(jié)所需的連續(xù)性</p><p>　　靈活性：地址分配應(yīng)具有靈活性，可借助可變長(zhǎng)子網(wǎng)掩碼技術(shù)</p><p>　　(VLSM Variable-Length Subnet Mask)，以滿足多種路由策略的優(yōu)</p><p>　　化，充分利用地址空間

72、。</p><p>　　第五章 網(wǎng)絡(luò)安全解決方案</p><p>　　5.1 網(wǎng)絡(luò)邊界安全威脅分析</p><p>　　與非安全網(wǎng)絡(luò)的互聯(lián)面臨的安全問(wèn)題與網(wǎng)絡(luò)內(nèi)部的安全是不同的，主要的原因是攻擊人是不可控的，攻擊是不可溯源的，也沒(méi)有辦法去“封殺”，一般來(lái)說(shuō)網(wǎng)絡(luò)邊界上的安全問(wèn)題主要有下面幾個(gè)方面：</p><p>　　1、 信息泄密：網(wǎng)絡(luò)上的資

73、源是可以共享的，但沒(méi)有授權(quán)的人得到了他不該得到的資源，信息就泄露了。一般信息泄密有兩種方式：</p><p>　　攻擊者(非授權(quán)人員)進(jìn)入了網(wǎng)絡(luò)，獲取了信息，這是從網(wǎng)絡(luò)內(nèi)部的泄密 </p><p>　　合法使用者在進(jìn)行正常業(yè)務(wù)往來(lái)時(shí)，信息被外人獲得，這是從網(wǎng)絡(luò)外部的泄密</p><p>　　2、 入侵者的攻擊：互聯(lián)網(wǎng)是世界級(jí)的大眾網(wǎng)絡(luò)，網(wǎng)絡(luò)上有各種勢(shì)力與團(tuán)體。入侵就

74、是有人通過(guò)互聯(lián)網(wǎng)進(jìn)入你的網(wǎng)絡(luò)(或其他渠道)，篡改數(shù)據(jù)，或?qū)嵤┢茐男袨?，造成你網(wǎng)絡(luò)業(yè)務(wù)的癱瘓，這種攻擊是主動(dòng)的、有目的、甚至是有組織的行為。</p><p>　　3、 網(wǎng)絡(luò)病毒：與非安全網(wǎng)絡(luò)的業(yè)務(wù)互聯(lián)，難免在通訊中帶來(lái)病毒，一旦在你的網(wǎng)絡(luò)中發(fā)作，業(yè)務(wù)將受到巨大沖擊，病毒的傳播與發(fā)作一般有不確定的隨機(jī)特性。這是“無(wú)對(duì)手”、“無(wú)意識(shí)”的攻擊行為。</p><p>　　4、 木馬入侵：木馬的發(fā)展是

75、一種新型的攻擊行為，他在傳播時(shí)象病毒一樣自由擴(kuò)散，沒(méi)有主動(dòng)的跡象，但進(jìn)入你的網(wǎng)絡(luò)后，便主動(dòng)與他的“主子”聯(lián)絡(luò)，從而讓主子來(lái)控制你的機(jī)器，既可以盜用你的網(wǎng)絡(luò)信息，也可以利用你的系統(tǒng)資源為他工作，比較典型的就是“僵尸網(wǎng)絡(luò)”。</p><p>　　來(lái)自網(wǎng)絡(luò)外部的安全問(wèn)題，重點(diǎn)是防護(hù)與監(jiān)控。來(lái)自網(wǎng)絡(luò)內(nèi)部的安全，人員是可控的，可以通過(guò)認(rèn)證、授權(quán)、審計(jì)的方式追蹤用戶的行為軌跡，也就是我們說(shuō)的行為審計(jì)與合軌性審計(jì)。</p

76、><p>　　由于有這些安全隱患的存在，在網(wǎng)絡(luò)邊界上，最容易受到的攻擊方式有下面幾種：</p><p>　　1、 黑客入侵：入侵的過(guò)程是隱秘的，造成的后果是竊取數(shù)據(jù)與系統(tǒng)破壞。木馬的入侵也屬于黑客的一種，只是入侵的方式采用的病毒傳播，達(dá)到的效果與黑客一樣。</p><p>　　2、 病毒入侵：病毒就是網(wǎng)絡(luò)的蛀蟲與垃圾，大量的自我繁殖，侵占系統(tǒng)與網(wǎng)絡(luò)資源，導(dǎo)致系統(tǒng)性能下降

77、。病毒對(duì)網(wǎng)關(guān)沒(méi)有影響，就象“走私”團(tuán)伙，一旦進(jìn)入網(wǎng)絡(luò)內(nèi)部，便成為可怕的“瘟疫”，病毒的入侵方式就象“水”的滲透一樣，看似漫無(wú)目的，實(shí)則無(wú)孔不入。</p><p>　　3、 網(wǎng)絡(luò)攻擊：網(wǎng)絡(luò)攻擊是針對(duì)網(wǎng)絡(luò)邊界設(shè)備或系統(tǒng)服務(wù)器的，主要的目的是中斷網(wǎng)絡(luò)與外界的連接，比如DOS攻擊，雖然不破壞網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)，但阻塞了應(yīng)用的帶寬，可以說(shuō)是一種公開的攻擊，攻擊的目的一般是造成你服務(wù)的中斷。</p><p&g

78、t;　　5.2 網(wǎng)絡(luò)內(nèi)部安全威脅分析</p><p>　　公司內(nèi)部網(wǎng)絡(luò)的風(fēng)險(xiǎn)分析主要針對(duì)整個(gè)內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)，主要表現(xiàn)為以下幾個(gè)方面：</p><p>　　1..內(nèi)部用戶的非授權(quán)訪問(wèn)；內(nèi)部的資源也不是對(duì)任何的員工都開放的，也需要有相應(yīng)的訪問(wèn)權(quán)限。內(nèi)部用戶的非授權(quán)的訪問(wèn)，更容易造成資源和重要信息的泄漏。</p><p>　　2.內(nèi)部用戶的誤操作；由于內(nèi)部用戶的計(jì)算機(jī)造作

79、的水平參差不</p><p>　　齊，對(duì)于應(yīng)用軟件的理解也各不相同，如果一部分軟件沒(méi)有相應(yīng)的對(duì)</p><p>　　誤操作的防范措施，極容易給服務(wù)系統(tǒng)和其他主機(jī)造成危害。</p><p>　　內(nèi)部用戶的惡意攻擊；就網(wǎng)絡(luò)安全來(lái)說(shuō)，據(jù)統(tǒng)計(jì)約有70％左右</p><p>　　的攻擊來(lái)自內(nèi)部用戶，相比外部攻擊來(lái)說(shuō)，內(nèi)部用戶具有更得天獨(dú)厚</p&

80、gt;<p>　　的優(yōu)勢(shì)，因此，對(duì)內(nèi)部用戶攻擊的防范也很重要。</p><p>　　設(shè)備的自身安全性也會(huì)直接關(guān)系到各種系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。例如，路由設(shè)備存在路由信息泄漏、交換機(jī)和路由器設(shè)備配置風(fēng)險(xiǎn)等。</p><p>　　3.重要服務(wù)器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒(méi)有及</p><p>　　時(shí)的發(fā)現(xiàn)并且進(jìn)行修復(fù)，將會(huì)為網(wǎng)絡(luò)的安全帶

81、來(lái)很多不安定的因素。</p><p>　　重要服務(wù)器的當(dāng)機(jī)或者重要數(shù)據(jù)的意外丟失，都將會(huì)造成內(nèi)部的業(yè)務(wù)無(wú)法正常運(yùn)行。</p><p>　　4.安全管理的困難，對(duì)于眾多的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備，安全策</p><p>　　略的配置和安全事件管理的難度很大。</p><p>　　5.3 安全產(chǎn)品選型原則</p><p>　

82、　公司網(wǎng)絡(luò)屬于一個(gè)行業(yè)的專用網(wǎng)絡(luò)，因此在安全產(chǎn)品的選型</p><p>　　上，必須慎重，選型的原則包括：</p><p>　　1.安全保密產(chǎn)品的接入應(yīng)不明顯影響網(wǎng)絡(luò)系統(tǒng)運(yùn)行效率，并且滿足</p><p>　　工作的要求，不影響正常的業(yè)務(wù)；</p><p>　　2.安全保密產(chǎn)品必須滿足上面提出的安全需求，保證整個(gè)公司企業(yè)網(wǎng)絡(luò)的安全性。<

83、/p><p>　　3.安全保密產(chǎn)品必須通過(guò)國(guó)家主管部門指定的測(cè)評(píng)機(jī)構(gòu)的檢測(cè)；</p><p>　　4.安全保密產(chǎn)品必須具備自我保護(hù)能力；</p><p>　　5.安全保密產(chǎn)品必須符合國(guó)家和國(guó)際上的相關(guān)標(biāo)準(zhǔn)；</p><p>　　6.安全產(chǎn)品必須操作簡(jiǎn)單易用，便于簡(jiǎn)單部署和集中管理</p><p>　　5.4 網(wǎng)絡(luò)常用技術(shù)介

84、紹</p><p><b>　　HSRP 協(xié)議</b></p><p>　　我們使用HSRP來(lái)實(shí)現(xiàn)對(duì)故障路由器的接管,HSRP中文解釋是熱備份路由協(xié)議，其含義是系統(tǒng)中有多臺(tái)路由器，它們組成一個(gè)“熱備份組”，這個(gè)組形成一個(gè)虛擬路由器。在任一時(shí)刻，一個(gè)組內(nèi)只有一個(gè)路由器是活動(dòng)的，并由它來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動(dòng)路由器發(fā)生了故障，將選擇一個(gè)備份路由器來(lái)替代活動(dòng)路由器，但是在本網(wǎng)

85、絡(luò)內(nèi)的主機(jī)看來(lái)，虛擬路由器沒(méi)有改變。所以主機(jī)仍然保持連接，沒(méi)有受到故障的影響，這樣就較好地解決了路由器切換的問(wèn)題。</p><p><b>　　VLAN 技術(shù)</b></p><p>　?。╒irtual Local Area Network）即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。IEEE 于1999

86、年頒布了用以標(biāo)準(zhǔn)化VLAN 實(shí)現(xiàn)方案的802.1Q 協(xié)議標(biāo)準(zhǔn)草案。</p><p>　　VLAN 技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN 邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個(gè)VLAN 都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN 有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個(gè)VLAN 內(nèi)的各個(gè)工作站無(wú)須被放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理L

87、AN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。</p><p><b>　　Trunk 技術(shù)</b></p><p>　　一般的交換機(jī)端口只能屬于一個(gè)VLAN，對(duì)于多個(gè)VLAN 需要跨過(guò)</p><p>　　多臺(tái)交換機(jī)，就需要用到Trunk 技術(shù)。Trun

88、k 是指交換機(jī)之間或交換</p><p>　　機(jī)與路由器之間VLAN 之間的連接，VLAN 信息通過(guò)Trunk 在交換機(jī)之間或路由器之間傳遞，從而可以將VLAN 跨越整個(gè)網(wǎng)絡(luò)，而不僅僅是局限在一臺(tái)交換機(jī)上。Cisco 支持802.1Q、ISL 的技術(shù)。其中IEEE 802.1q 是業(yè)界的標(biāo)準(zhǔn)協(xié)議，而ISL 是CISCO 專有的協(xié)議，用于在一條鏈路上封裝多個(gè)VLAN 的信息。ISL 技術(shù)得到了Intel 等廠商的大

89、力支持，TagSwitching 被3Com 及Lucent Cajun 支持。</p><p>　　對(duì)于CISCO 交換機(jī)的Trunk 端口，既可以指定它的封裝協(xié)議為802.1q 或ISL，也可以通過(guò)DTP 協(xié)議（Dynamic Trunking Protocol）</p><p>　　自動(dòng)協(xié)商。DTP 協(xié)議主要用于處理Trunk 端口的802.1q 和ISL 封裝</p>

90、<p>　　協(xié)議的自動(dòng)協(xié)商，對(duì)于不同廠家的交換機(jī)互連時(shí)很有幫助。</p><p>　　對(duì)Trunk 的定義只能在快速以太網(wǎng)端口和千兆以太網(wǎng)端口上進(jìn)行，它既可以是單個(gè)的快速以太網(wǎng)端口或千兆以太網(wǎng)端口，也可以是快速以太網(wǎng)通道（FEC）或千兆以太網(wǎng)通道（GEC）。雖然我們采用的是思科交換機(jī)，但是最為一個(gè)標(biāo)準(zhǔn)的、開放、先進(jìn)的網(wǎng)絡(luò)系統(tǒng)，我們推薦是用IEEE802.1Q 標(biāo)準(zhǔn)協(xié)議。</p><

91、p>　　Spanning-Tree協(xié)議</p><p>　　在局域網(wǎng)中是不允許出現(xiàn)環(huán)路的，而為了實(shí)現(xiàn)冗余和負(fù)載的均衡，通常會(huì)有多條鏈路的連接，這樣就會(huì)引入環(huán)路。為了解決這個(gè)矛盾，推出了STP 協(xié)議。STP 算法會(huì)將網(wǎng)絡(luò)中的連接生成一個(gè)樹，通過(guò)特定的算法自動(dòng)將優(yōu)先權(quán)高的鏈路激活，將優(yōu)先權(quán)低的鏈路阻塞，保證在網(wǎng)絡(luò)中任何時(shí)候都不會(huì)出現(xiàn)環(huán)路。如果網(wǎng)絡(luò)的連接狀況發(fā)生了變化，STP 算法會(huì)自動(dòng)地重新計(jì)算新的連接關(guān)系，重

92、新選出新的活動(dòng)的連接。STP 算法會(huì)造成網(wǎng)絡(luò)的暫時(shí)的不穩(wěn)定狀態(tài)，該轉(zhuǎn)換時(shí)間在30秒之內(nèi)，亦即在30 秒之內(nèi)網(wǎng)絡(luò)會(huì)重新恢復(fù)到穩(wěn)定狀態(tài)。STP 對(duì)于終端是透明的，終端感覺不到STP 的操作過(guò)程。在交換機(jī)上可以通過(guò)修改端口的優(yōu)先級(jí)來(lái)改變連接的優(yōu)先權(quán)，使得STP 算法將高優(yōu)先權(quán)的連接作為活動(dòng)連接，例如：兩個(gè)交換機(jī)之間有兩條鏈路連接，一條是光纖連接，另一條是雙絞線連接，由于光纖連接明顯要比雙絞線連接更穩(wěn)定、更可靠，我們可以將交換機(jī)上的光纖端口的優(yōu)

93、先權(quán)設(shè)定成比雙絞線端口更高的優(yōu)先權(quán)，這樣STP 算法就會(huì)將光纖連接作為活動(dòng)連接，而將雙絞線連接阻塞。Cisco 交換機(jī)的一個(gè)非常有用的特性就是可以對(duì)每個(gè)VLAN 設(shè)置Spanning -Tree ,而不是對(duì)整個(gè)</p><p>　　CISCO 交換機(jī)端口支持每VLAN 的生成樹協(xié)議，每個(gè)端口都可設(shè)置基于VLAN 的Cost 或Priority 參數(shù)，從而實(shí)現(xiàn)在多條路徑上的負(fù)載均衡能力。目前多數(shù)廠商都支持STP 協(xié)

94、議，但是不允許多個(gè)STP 域。采用多個(gè)STP 域顯然可以獲得比單個(gè)域高的網(wǎng)絡(luò)可靠性。</p><p><b>　　QOS</b></p><p>　　為了防止數(shù)據(jù)包的傳輸質(zhì)量，為了解決這個(gè)問(wèn)題，就用到了QOS技術(shù)。</p><p>　　服務(wù)質(zhì)量（Quality of Service，QOS）是網(wǎng)絡(luò)（互聯(lián)網(wǎng)）傳輸質(zhì)量和服務(wù)可用性的度量。服務(wù)可用性

95、是QOS的重要基礎(chǔ)要素。成功實(shí)現(xiàn)QOS的前提是網(wǎng)絡(luò)基礎(chǔ)構(gòu)造必須高度可靠。它是指網(wǎng)絡(luò)為某特定數(shù)據(jù)流提供優(yōu)良服務(wù)（滿足或超過(guò)業(yè)務(wù)要求的服務(wù)質(zhì)量）的能力。承載數(shù)據(jù)流的底層網(wǎng)絡(luò)技術(shù)包括幀中繼、ATM、以太、SONET/SDH和PTN網(wǎng)絡(luò)等。QOS利用以下特性提供優(yōu)良的、更可預(yù)知的網(wǎng)絡(luò)服務(wù)：</p><p><b>　　提供專用帶寬；</b></p><p><b>

96、　　降低丟包率；</b></p><p>　　管理和避免網(wǎng)絡(luò)擁塞；</p><p>　　對(duì)網(wǎng)絡(luò)流量整形（shaping）；</p><p><b>　　設(shè)置數(shù)據(jù)優(yōu)先級(jí)。</b></p><p><b>　　決定QOS的因素</b></p><p>　　端到端（en

97、d-to-end）QOS是指從網(wǎng)絡(luò)一端到另一端的QOS，這種QOS是全路程的QOS，不是點(diǎn)到點(diǎn)的。端到端（end-to-end）QOS也是指網(wǎng)絡(luò)能夠?yàn)樘囟〝?shù)據(jù)提供所要求服務(wù)質(zhì)量的能力。決定這種能力的因素有以下幾種。</p><p>　　（1）帶寬（Bandwidth）--帶寬描述了網(wǎng)絡(luò)設(shè)備的接口或網(wǎng)絡(luò)鏈路在單位時(shí)間（秒）內(nèi)發(fā)送或傳送的比特量。帶寬越大表示單位時(shí)間內(nèi)傳送的數(shù)據(jù)量越大，越能夠保證服務(wù)質(zhì)量。</p

98、><p>　?。?）丟包率（Loss）--指未被接收到的數(shù)據(jù)包占總發(fā)送數(shù)據(jù)包的比率。丟包率是網(wǎng)絡(luò)可靠性的一個(gè)參數(shù)。如果網(wǎng)絡(luò)高度可靠，則在非擁塞情況下丟包率應(yīng)該是0。在擁塞情況下，如果使用了QOS，則QOS將決定選擇丟棄哪些數(shù)據(jù)包來(lái)緩解擁塞。</p><p>　?。?）延遲（Delay）--一個(gè)數(shù)據(jù)包從發(fā)送端被發(fā)送出去到達(dá)接收端所經(jīng)歷的有限時(shí)間。如語(yǔ)音，它的延遲就是指從講話者說(shuō)出口，到接聽者聽到

99、聲音這段時(shí)間。如果延遲過(guò)大，超過(guò)了規(guī)定值，就表明網(wǎng)絡(luò)所提供的服務(wù)質(zhì)量低，不能滿足業(yè)務(wù)要求。</p><p>　　（4）抖動(dòng)（Jitter）--也稱延遲變量（delay variation），用來(lái)描述不同數(shù)據(jù)包在端到端傳輸中的不同延遲。如一個(gè)數(shù)據(jù)包從源端到目的端用時(shí)100ms，而其后的數(shù)據(jù)包經(jīng)由同一條路徑時(shí)卻花費(fèi)125ms，那么抖動(dòng)就是25ms。終端設(shè)備上的應(yīng)用軟件，如Media Player，可以使用緩沖區(qū)來(lái)彌補(bǔ)

100、由抖動(dòng)造成的質(zhì)量下降，但它不能補(bǔ)償數(shù)據(jù)包到達(dá)時(shí)間的瞬時(shí)變化，這也會(huì)造成緩沖區(qū)的過(guò)載或欠載運(yùn)行，導(dǎo)致業(yè)務(wù)質(zhì)量降級(jí)。如在網(wǎng)上看電影時(shí)，視頻播放仍然不夠流暢。</p><p>　　網(wǎng)絡(luò)對(duì)任何組織都是非常重要的。它承載著大量的應(yīng)用，包括實(shí)時(shí)語(yǔ)音、高質(zhì)量視頻和對(duì)延遲敏感的數(shù)據(jù)等，這就要求網(wǎng)絡(luò)必須能夠通過(guò)管理帶寬、延遲、抖動(dòng)和丟包率等參數(shù)提供可預(yù)測(cè)、可管理，甚至有時(shí)是可保證的服務(wù)。</p><p>　

101、　QOS就是用于達(dá)到這一目標(biāo)的技術(shù)和工具。QOS的目標(biāo)是形成一個(gè)聚合的、對(duì)于用戶來(lái)說(shuō)透明的網(wǎng)絡(luò)，在這個(gè)聚合的網(wǎng)絡(luò)平臺(tái)上，各種數(shù)據(jù)共存且并不公平地競(jìng)爭(zhēng)網(wǎng)絡(luò)資源，加上重要應(yīng)用的數(shù)據(jù)被網(wǎng)絡(luò)設(shè)備賦予較高的優(yōu)先級(jí)或得到優(yōu)先服務(wù)，這樣這些應(yīng)用的服務(wù)質(zhì)量就不會(huì)降低至不可用的地步了。</p><p><b>　　第六章 產(chǎn)品簡(jiǎn)介</b></p><p>　　Cisco 2800 系列

102、集成多業(yè)務(wù)路由器</p><p>　　思科系統(tǒng)公司推出了一個(gè)全新的集成多業(yè)務(wù)路由器系列，它進(jìn)®行了專門的優(yōu)化，可安全、線速地同時(shí)提供數(shù)據(jù)、話音和視頻服務(wù)，重新定義了最佳大型企業(yè)和中小型企業(yè)路由。模塊化Cisco 2800 系列集成多業(yè)務(wù)路由器. 建立在思科20 年的領(lǐng)先地位及創(chuàng)新技術(shù)的基礎(chǔ)之上，智能地將數(shù)據(jù)、安全性和話音服務(wù)內(nèi)嵌于單一永續(xù)系統(tǒng)，能快速、可擴(kuò)展地提供關(guān)鍵任務(wù)業(yè)務(wù)應(yīng)用。Cisco 2800

103、系列的獨(dú)特集成系統(tǒng)架構(gòu)提供了最高業(yè)務(wù)靈活性和投資保護(hù)。</p><p>　　Cisco 2800 系列由四個(gè)新平臺(tái)組成：Cisco 2801、Cisco 2811、Cisco</p><p>　　2821 和Cisco 2851。與相似價(jià)位的前幾代思科路由器相比，Cisco</p><p>　　2800 系列的性能提高了五倍、安全性和話音性能提高了十倍、具有<

104、/p><p>　　全新內(nèi)嵌服務(wù)選項(xiàng)，且大大提高了插槽性能和密度，同時(shí)保持了對(duì)目</p><p>　　前Cisco 1700 系列和Cisco 2600 系列中現(xiàn)有90 多種模塊中大多數(shù)</p><p>　　模塊的支持，從而提供了極大的性能優(yōu)勢(shì)。</p><p>　　Cisco 2800 系列能以線速為多條T1/E1/xDSL 連接提供多種高質(zhì)量并

105、發(fā)服務(wù)。這些路由器提供了內(nèi)嵌加密加速和主板話音數(shù)字信號(hào)處理器（DSP）插槽；入侵保護(hù)和防火墻功能；集成化呼叫處理和語(yǔ)音留言；用于多種連接需求的高密度接口；以及充足的性能和插槽密度，以用于未來(lái)網(wǎng)絡(luò)擴(kuò)展和高級(jí)應(yīng)用。</p><p>　　Cisco Catalyst 3560 系列集成交換機(jī)</p><p>　　思科新推出的Cisco Catalyst 3560 系列交換機(jī)是一個(gè)創(chuàng)新的產(chǎn)品<

106、;/p><p>　　系列，它結(jié)合業(yè)界領(lǐng)先的易用性和最高的冗余性，里程碑地提升了堆</p><p>　　疊式交換機(jī)在局域網(wǎng)中的工作效率。這個(gè)新的產(chǎn)品系列采用了最新的</p><p>　　思科StackWise 技術(shù)，不但實(shí)現(xiàn)高達(dá)32Gbps 的堆疊互聯(lián)，還從物理</p><p>　　上到邏輯上使若干獨(dú)立交換機(jī)在堆疊時(shí)集成在一起，便于用戶建立一<

107、;/p><p>　　個(gè)統(tǒng)一、高度靈活的交換系統(tǒng)--就好像是一整臺(tái)交換機(jī)一樣。這代表</p><p>　　了堆疊式交換機(jī)新的工業(yè)技術(shù)水平和標(biāo)準(zhǔn)。</p><p>　　對(duì)于中型組織和企業(yè)分支機(jī)構(gòu)而言，Cisco Catalyst 3560 系列可以通過(guò)提供配置靈活性，支持融合網(wǎng)絡(luò)模式，已經(jīng)自動(dòng)配置智能化網(wǎng)絡(luò)服務(wù)，降低融合應(yīng)用的部署難度，適應(yīng)不斷變化的業(yè)務(wù)需求。此外，Cisc

108、o Catalyst 3750 系列針對(duì)高密度千兆位以太網(wǎng)部署進(jìn)行了專門的優(yōu)化，其中包含多種可以滿足接入、匯聚或者小型網(wǎng)絡(luò)骨干網(wǎng)連接需求的交換機(jī)。</p><p>　　Cisco Catalyst 3560 系列可以使用標(biāo)準(zhǔn)多層軟件鏡像（SMI）或者增強(qiáng)多層軟件鏡像（EMI）。SMI 功能集包括先進(jìn)的服務(wù)質(zhì)量（QOS）、速率限制、訪問(wèn)控制列表（ACL）和基本的靜態(tài)和路由信息協(xié)議（RIP）路由功能。EMI可以提供一

109、組更加豐富的企業(yè)級(jí)功能，包括先進(jìn)的、基于硬件的IP 單播和組播路由。</p><p>　　思科StackWise 技術(shù)是一種針對(duì)千兆位以太網(wǎng)優(yōu)化的、先進(jìn)的堆疊架構(gòu)。該技術(shù)的設(shè)計(jì)目的是及時(shí)地對(duì)設(shè)備添加、移除和重新部署做出反應(yīng)，同時(shí)保持穩(wěn)定的性能。利用特殊的堆疊互聯(lián)電纜和堆疊軟件，思科StackWise 技術(shù)最多可以將9 臺(tái)單獨(dú)的Cisco Catalyst 3750 交換機(jī)連接到一個(gè)統(tǒng)一的邏輯單元中。堆疊相當(dāng)于一個(gè)

110、單一的交換單元，由一個(gè)從成員交換機(jī)中選出的主交換機(jī)管理。主交換機(jī)可以自動(dòng)地創(chuàng)建和升級(jí)所有的交換信息和可選的路由表。一個(gè)工作中的堆疊可以在不中斷服務(wù)的情況下，添加新的成員或者移除舊的成員。</p><p>　　Cisco Catalyst 2960 系列集成交換機(jī)</p><p>　　Cisco Catalyst 2960 系列智能以太網(wǎng)交換機(jī)是一個(gè)全新的、固定配置的獨(dú)立設(shè)備系列，提供桌面快

111、速以太網(wǎng)和千兆以太網(wǎng)連接，可為入門級(jí)企業(yè)、中型市場(chǎng)和分支機(jī)構(gòu)網(wǎng)絡(luò)提供增強(qiáng)LAN 服務(wù)。Catalyst 2960 系列具有集成安全特性，包括網(wǎng)絡(luò)準(zhǔn)入控制(NAC)、高級(jí)服務(wù)質(zhì)量(QOS)和永續(xù)性，可為網(wǎng)絡(luò)邊緣提供智能服務(wù)。憑借Cisco Catalyst 2960 系列提供的廣泛安全特性，企業(yè)可保護(hù)重要信息，防止未授權(quán)人員接入網(wǎng)絡(luò)，確保私密性及維持不間斷運(yùn)行。</p><p>　　思科基于身份的網(wǎng)絡(luò)服務(wù)(IBNS

112、)解決方案提供了身份驗(yàn)證、訪問(wèn)控制和安全策略管理，可保護(hù)網(wǎng)絡(luò)連接和資源。Catalyst 2960 系列中的IBNS 可防止未授權(quán)接入，并確保用戶只獲得其指定權(quán)利。它能動(dòng)態(tài)管理網(wǎng)絡(luò)接入的具體層次。使用802.1x 標(biāo)準(zhǔn)和思科安全訪問(wèn)控制服務(wù)器（ACS），無(wú)論用戶在何處連接到網(wǎng)絡(luò)中，都可在驗(yàn)證基礎(chǔ)上分配到一個(gè)VLAN。此設(shè)置使IT 部門能在不影響用戶移動(dòng)性的情況下，以最低管理開銷實(shí)施強(qiáng)大的安全策略。</p><p>

113、;　　為防止拒絕服務(wù)攻擊和其他攻擊，可用ACL 根據(jù)源和目的地MAC地址、IP 地址或TCP/UDP 端口來(lái)拒絕分組，從而限制對(duì)網(wǎng)絡(luò)敏感部分的訪問(wèn)。ACL 查詢?cè)谟布型瓿?，故此在?shí)施基于ACL 的安全性時(shí)不會(huì)影響轉(zhuǎn)發(fā)性能。</p><p>　　端口安全性可根據(jù)與以太網(wǎng)端口相連的設(shè)備的MAC 地址，來(lái)限制以太網(wǎng)端口上的訪問(wèn)。它也可用于限制插入一個(gè)交換機(jī)端口的總設(shè)備數(shù)目，因此可使交換機(jī)免遭MAC 泛洪攻擊，降低了惡

114、意無(wú)線接入點(diǎn)或集線器接入的風(fēng)險(xiǎn)。</p><p>　　憑借動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)監(jiān)聽，可以只允許來(lái)自不可信用戶端口的DHCP 請(qǐng)求（但不允許響應(yīng)）進(jìn)入網(wǎng)絡(luò)，從而防止DHCP 電子欺騙。此外，DHCP 接口跟蹤器(選項(xiàng)82) 特性可為主機(jī)IP 地址請(qǐng)求添加交換機(jī)端口ID，有助于實(shí)現(xiàn)對(duì)于IP 地址分配的精確控制。MAC 地址通知特性可向管理站發(fā)送報(bào)警，從而監(jiān)控網(wǎng)絡(luò)和跟蹤用戶，以使網(wǎng)絡(luò)管理員知道用戶何時(shí)、從何處進(jìn)