計(jì)算機(jī)網(wǎng)絡(luò)工程畢業(yè)論文

1、<p>　　網(wǎng) 絡(luò) 工 程</p><p><b>　　摘 要</b></p><p>　　在信息發(fā)達(dá)的網(wǎng)絡(luò)時(shí)代，計(jì)算機(jī)正以前所未有的速度普及到各個(gè)領(lǐng)域，滲透到各行各業(yè)和人們生活之中。社會(huì)、政治、經(jīng)濟(jì)和國(guó)防等方面越來(lái)越多地用計(jì)算機(jī)進(jìn)行信息收集、存貯、計(jì)算、加工和處理。計(jì)算機(jī)網(wǎng)絡(luò)作為計(jì)算機(jī)技術(shù)和通信技術(shù)相結(jié)合的產(chǎn)物，在這個(gè)時(shí)代發(fā)揮著它不可估量的作用，這

2、給計(jì)算機(jī)網(wǎng)絡(luò)的建設(shè)提出了新的挑戰(zhàn)，對(duì)實(shí)施網(wǎng)絡(luò)工程也提出了新的要求。</p><p>　　隨著信息網(wǎng)絡(luò)化的發(fā)展，許多中小型企業(yè)也走上了信息網(wǎng)絡(luò)化的道路，不斷的把自已的產(chǎn)品或業(yè)務(wù)通過(guò)互聯(lián)網(wǎng)的豐富資源，以利用電子商務(wù)平臺(tái)或搭建網(wǎng)站的方式進(jìn)行推銷。因此企業(yè)網(wǎng)絡(luò)系統(tǒng)就需要為企業(yè)現(xiàn)代化、綜合信息管理和辦公自動(dòng)化等一系列應(yīng)用提供基本操作平臺(tái)。而中小型企業(yè)工程建設(shè)中主要應(yīng)用了網(wǎng)絡(luò)技術(shù)中的重要分支局域網(wǎng)技術(shù)來(lái)建設(shè)與管理的，因此本畢

3、業(yè)設(shè)計(jì)課題將主要以中小型局域網(wǎng)絡(luò)建設(shè)過(guò)程可能用到的各種技術(shù)及實(shí)施方案為設(shè)計(jì)方向，為中小型企業(yè)的建設(shè)提供理論依據(jù)和實(shí)踐指導(dǎo)。</p><p>　　本課題共分29章，主要包括二大方面：windows和Linux。Windows主要內(nèi)容包括windows server 2003的安裝與基本配置、windows server 2003系統(tǒng)管理、windows網(wǎng)絡(luò)配置、windows DNS和DHCP服務(wù)器等；Linux主

4、要內(nèi)容包括Linux操作系統(tǒng)的安裝與基本配置、Linux網(wǎng)絡(luò)配置、samba服務(wù)器、ftp服務(wù)器、DNS服務(wù)器等各種網(wǎng)絡(luò)服務(wù)器的安裝與配置。本項(xiàng)目也解決了企業(yè)局域網(wǎng)之間的VPN搭建以及路由器和交換機(jī)的配置。</p><p>　　關(guān)鍵詞：局域網(wǎng)搭建；Linux服務(wù)器配置；windows管理；路由與交換配置</p><p><b>　　ABSTRACT</b></p

5、><p>　　In the network times, information developed computer is at unprecedented speed popularization in various fields, which permeates all walks of life and people life. The social, political, economic and sec

6、urity increasingly use the computer to carry on the information collection, storage, calculation, processing or treatment. The computer network as computer technology and communication technology, the combination of play

7、ing it in this era of inestimable role, which give computer network construct</p><p>　　Along with the development of the information networking, many small and medium-sized enterprise also took to the road o

8、f the information networking, constantly from already the product or business through Internet abundant natural resources to use e-commerce platform or build website way promote. Therefore enterprise network system will

9、need for enterprise modernization and comprehensive information management and office automation and so on a series of applied to provide basic operation platfo</p><p>　　This topic is divided into 29 chapter

10、, mainly including the largest aspects: Windows and Linux. Windows main contents include Windows server 2003 installation and basic configuration, Windows server 2003 system management, Windows network configuration, Win

11、dows DNS and a DHCP server etc; Linux main content includes the Linux operating system installation and basic configuration, Linux network configuration, samba server, FTP server, the DNS server, etc. Various kinds of we

12、b server installation a</p><p>　　Keywords: LAN build; Linux server configuration; Windows management; Routing and switching configuration</p><p><b>　　目 錄</b></p><p><

13、;b>　　第1章續(xù) 論1</b></p><p>　　第2章項(xiàng)目需求分析2</p><p>　　2.1、項(xiàng)目背景2</p><p>　　2.2、需求分析2</p><p>　　第3章網(wǎng)絡(luò)總體建設(shè)目標(biāo)5</p><p>　　3.1、網(wǎng)絡(luò)建設(shè)目標(biāo)5</p><p

14、>　　3.2、網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容及要求5</p><p>　　3.3、網(wǎng)絡(luò)設(shè)計(jì)原則5</p><p>　　第4章網(wǎng)絡(luò)總體設(shè)計(jì)7</p><p>　　4.1、網(wǎng)絡(luò)總體拓?fù)鋱D7</p><p>　　4.2、網(wǎng)絡(luò)層次化設(shè)計(jì)7</p><p>　　4.2.1、核心層設(shè)計(jì)7</p>&

15、lt;p>　　4.2.2、分布層設(shè)計(jì)7</p><p>　　4.3、總部與分部?jī)?nèi)聯(lián)接入7</p><p>　　第5章路由、交換設(shè)計(jì)9</p><p>　　5.1、設(shè)備選擇9</p><p>　　5.2、VLAN、子網(wǎng)及IP地址規(guī)劃（192.168.1.0-3.0）9</p><p>　　5.3

16、、路由協(xié)議9</p><p>　　5.4、交換技術(shù)9</p><p>　　5.5、IPV69</p><p>　　第6章服務(wù)器設(shè)計(jì)15</p><p>　　6.1、服務(wù)器的系統(tǒng)選擇15</p><p>　　6.2、DNS、DHCP、DC、FTP、Mail、Web—Apache服務(wù)器16</

17、p><p>　　第7章網(wǎng)絡(luò)安全解決方案17</p><p>　　7.1、網(wǎng)絡(luò)邊界安全威脅分析17</p><p>　　7.2、網(wǎng)絡(luò)內(nèi)部安全威脅分析18</p><p>　　7.3、安全產(chǎn)品選型原則18</p><p>　　7.4、解決方案18</p><p>　　7.4.1、I

18、SA防火墻和iptables防火墻19</p><p>　　7.4.2、病毒防護(hù)技術(shù)19</p><p>　　7.4.3、認(rèn)證和數(shù)字簽名技術(shù)19</p><p>　　第8章關(guān)鍵技術(shù)介紹20</p><p>　　8.1、VLAN20</p><p>　　8.2、VTP21</p>&l

19、t;p>　　8.3、STP21</p><p>　　8.4、EthernetChannel22</p><p>　　8.5、HSRP23</p><p>　　8.6、TRUNK24</p><p>　　8.7、NAT24</p><p>　　8.8、VPN25</p><

20、;p>　　8.9、DHCP25</p><p>　　8.10、ACL26</p><p>　　8.11、IOS防火墻26</p><p>　　8.11、 DMZ.....................................................26</p><p>　　第9章設(shè)備簡(jiǎn)介27</p

21、><p>　　9.1、思科WS-C4506系列交換機(jī)27</p><p>　　9.2、思科 3750系列三層交換機(jī)28</p><p>　　9.3、Cisco WS-C2950 系列集成交換機(jī)28</p><p>　　9.4、Cisco 2800系列集成多業(yè)務(wù)路由器29</p><p>　　9.5、Cis

22、co PIX-525-R-BUN系列防火墻29</p><p>　　9.6、IBM System x3650 M2服務(wù)器33</p><p>　　第10章項(xiàng)目實(shí)施計(jì)劃33</p><p>　　10.1、項(xiàng)目組織結(jié)構(gòu)33</p><p>　　10.2、項(xiàng)目人員分工34</p><p>　　10.3、工

23、程進(jìn)度計(jì)劃35</p><p>　　10.4、項(xiàng)目實(shí)施前的準(zhǔn)備工作35</p><p>　　10.5、安裝前的場(chǎng)地準(zhǔn)備35</p><p>　　10.6、核心及各網(wǎng)點(diǎn)的安裝調(diào)試37</p><p>　　第11章網(wǎng)絡(luò)測(cè)試37</p><p>　　11.1、網(wǎng)絡(luò)測(cè)試目的38</p>&l

24、t;p>　　11.2、測(cè)試文檔39</p><p>　　第12章基本配置40</p><p>　　12.1、總部基本配置41</p><p>　　12.1.1、網(wǎng)絡(luò)描述41</p><p>　　12.1.2、基本配置41</p><p>　　12.2、分部基本配置41</p>

25、<p>　　12.2.1、網(wǎng)絡(luò)描述41</p><p>　　12.2.2、基本配置41</p><p>　　第13章Trunk基本配置42</p><p>　　13.1、技術(shù)簡(jiǎn)介42</p><p>　　13.2、設(shè)備簡(jiǎn)介42</p><p>　　第14章VLAN配置43</p

26、><p>　　14.1、技術(shù)簡(jiǎn)介43</p><p>　　14.2、設(shè)備簡(jiǎn)介43</p><p>　　第15章VTP配置44</p><p>　　15.1、技術(shù)簡(jiǎn)介44</p><p>　　15.2、設(shè)備簡(jiǎn)介44</p><p>　　第16章以太網(wǎng)通道配置44</p&g

27、t;<p>　　16.1、技術(shù)簡(jiǎn)介44</p><p>　　16.2、設(shè)備簡(jiǎn)介44</p><p>　　第17章STP配置44</p><p>　　17.1、技術(shù)簡(jiǎn)介44</p><p>　　17.2、設(shè)備簡(jiǎn)介44</p><p>　　第18章OSPF配置45</p>

28、<p>　　18.1、技術(shù)簡(jiǎn)介45</p><p>　　18.2、設(shè)備簡(jiǎn)介45</p><p>　　第19章HSRP配置46</p><p>　　19.1、技術(shù)簡(jiǎn)介46</p><p>　　19.2、設(shè)備簡(jiǎn)介46</p><p>　　第20章GRE or IPSEC配置47</

29、p><p>　　20.1、技術(shù)簡(jiǎn)介47</p><p>　　20.2、設(shè)備簡(jiǎn)介47</p><p>　　第21章PPP配置54</p><p>　　21.1、PPP認(rèn)證55</p><p>　　21.2、配置PPP認(rèn)證55</p><p>　　22.2、ACL的作用55<

30、;/p><p>　　第23章DNS配置58</p><p>　　23.1、技術(shù)簡(jiǎn)介58</p><p>　　23.2、設(shè)備簡(jiǎn)介58</p><p>　　第24章Sendmail配置59</p><p>　　24.1、技術(shù)簡(jiǎn)介59</p><p>　　24.2、設(shè)備簡(jiǎn)介59&l

31、t;/p><p>　　第25章FTP配置59</p><p>　　25.1、技術(shù)簡(jiǎn)介59</p><p>　　25.2、設(shè)備簡(jiǎn)介59</p><p>　　第26章Web配置60</p><p>　　26.1、技術(shù)簡(jiǎn)介60</p><p>　　26.2、設(shè)備簡(jiǎn)介60</p

32、><p>　　第27章DHCP配置60</p><p>　　27.1、技術(shù)簡(jiǎn)介61</p><p>　　27.2、設(shè)備簡(jiǎn)介61</p><p>　　第28章Samba配置61</p><p>　　28.1、技術(shù)簡(jiǎn)介61</p><p>　　28.2、設(shè)備簡(jiǎn)介61</p&

33、gt;<p>　　第29章Iptables配置61</p><p>　　35.1、Iptables概述62</p><p>　　35.1.1、netfilter/iptables架構(gòu)62</p><p>　　35.1.2、關(guān)鍵術(shù)語(yǔ)62</p><p>　　35.1.3、iptables功能62</p&g

34、t;<p>　　35.2、實(shí)現(xiàn)目標(biāo)63</p><p>　　35.2.1、包過(guò)濾63</p><p>　　35.2.2、NAT63</p><p>　　結(jié) 束 語(yǔ)............................................... 65</p><p>　　參 考 文 獻(xiàn)66</p

35、><p>　　致 謝............................................... 67</p><p><b>　　續(xù) 論</b></p><p>　　信息網(wǎng)絡(luò)以它高效、快速、及時(shí)的服務(wù)，將信息迅速傳送到世界的每一角落，人們跨越時(shí)空的限制可以在任何時(shí)候、任何地點(diǎn)、以任何方式同任何人交流，信息網(wǎng)絡(luò)把廣闊的世界聯(lián)

36、系起來(lái)，而且比以往任何時(shí)候的聯(lián)系都更加緊密，信息網(wǎng)絡(luò)以它靈巧的手編織了世界普遍聯(lián)系之網(wǎng)。</p><p>　　對(duì)于各大企業(yè)而言，互聯(lián)網(wǎng)不但在信息的傳遞上具有很大的優(yōu)勢(shì)，而且合理利用就會(huì)使企業(yè)立于不敗之地。由于企業(yè)規(guī)模的不斷壯大和業(yè)務(wù)量的不斷增加，原有的工作方式已不能滿足現(xiàn)代企業(yè)的需要，特別是對(duì)突發(fā)事件的處理能力與速度的需求。隨著網(wǎng)絡(luò)技術(shù)的不斷成熟、網(wǎng)絡(luò)產(chǎn)品價(jià)格的不斷下降，以及對(duì)數(shù)據(jù)傳輸和信息交換需求的不斷增加，現(xiàn)

37、在各企業(yè)均正在或已搭建了企業(yè)內(nèi)部局域網(wǎng)，因?yàn)?，企業(yè)網(wǎng)絡(luò)的建設(shè)是企業(yè)向信息化發(fā)展的必然選擇。企業(yè)網(wǎng)絡(luò)為企業(yè)的現(xiàn)代化發(fā)展、綜合信息管理和辦公自動(dòng)化等一系列應(yīng)用提供了基礎(chǔ)平臺(tái)。</p><p>　　本設(shè)計(jì)結(jié)合中小企業(yè)實(shí)際需求，舉例分析、設(shè)計(jì)、配置、模擬組建了一個(gè)典型的中小企業(yè)網(wǎng)絡(luò)。</p><p><b>　　項(xiàng)目需求分析</b></p><p>&

38、lt;b>　　項(xiàng)目背景</b></p><p>　　公司是一家即將成立的一家制造工廠。本項(xiàng)目的目標(biāo)是：“建立一個(gè)設(shè)計(jì)規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴(kuò)</p><p>　　展性與可用性并且具備可管理易維護(hù)的網(wǎng)絡(luò)及系統(tǒng)平臺(tái)，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率”。</p><p>　　本期工程項(xiàng)目完成后，網(wǎng)絡(luò)平臺(tái)

39、總部?jī)?nèi)有大型服務(wù)器提供服務(wù)，外接分支機(jī)構(gòu)網(wǎng)絡(luò)平臺(tái)的設(shè)計(jì)用戶節(jié)點(diǎn)數(shù)總部為1000或更多用戶分部地為10-50個(gè)用戶。這些用戶分布在5個(gè)不同的地區(qū)，要求這些用戶和總部之間 能夠 高速連接并且保證與總部通信的可靠性和可行性。同時(shí)要求總部?jī)?nèi)部安全機(jī)制能夠提高。保證內(nèi)網(wǎng)安全同時(shí)保證各臺(tái)服務(wù)器的安全</p><p><b>　　需求分析</b></p><p><b>

40、　　設(shè)計(jì)目標(biāo)</b></p><p>　　現(xiàn)在網(wǎng)絡(luò)的發(fā)展日益迅速，一個(gè)良好的網(wǎng)絡(luò)化建設(shè)是公司運(yùn)行的基礎(chǔ)，本公司網(wǎng)絡(luò)建設(shè)完成后能滿足公司的管理需要，完善公司的管理制度，通過(guò)網(wǎng)絡(luò)使總公司和分公司之間實(shí)現(xiàn)資源共享，為此本公司網(wǎng)絡(luò)建設(shè)將達(dá)到以下目標(biāo)：</p><p>　　實(shí)現(xiàn)公司網(wǎng)絡(luò)化的管理，完成公司的處理，查詢，統(tǒng)計(jì)，分析。同時(shí)實(shí)現(xiàn)各部門的辦公自動(dòng)化，提高公司管理的工作效率。<

41、/p><p>　　保證網(wǎng)絡(luò)系統(tǒng)的開放性、可持續(xù)發(fā)展性，便于是現(xiàn)金后集成視頻開會(huì)，遠(yuǎn)程協(xié)助等功能</p><p>　　總公司和分公司之間以vpn的形式連接，公司與外部網(wǎng)絡(luò)相連要保證網(wǎng)絡(luò)的安全性，同時(shí)總公司和分公司之間實(shí)現(xiàn)數(shù)據(jù)共享和信息共享</p><p><b>　　設(shè)計(jì)原則</b></p><p>　　由于公司的規(guī)模、應(yīng)用范

42、圍和服務(wù)內(nèi)容隨著計(jì)算機(jī)應(yīng)用的不斷完善普及不斷增加，因此在網(wǎng)絡(luò)設(shè)計(jì)上必須重視網(wǎng)絡(luò)的拓展能力，網(wǎng)絡(luò)系統(tǒng)具有同意的系統(tǒng)平臺(tái)，具有平滑升級(jí)能力，使系統(tǒng)能滿足用戶對(duì)應(yīng)用處理不同程度的需求，以及逐步升級(jí)的發(fā)展規(guī)劃，以節(jié)約投資避免系統(tǒng)性能的閑置和浪費(fèi)，網(wǎng)絡(luò)的拓展包括：</p><p>　　網(wǎng)絡(luò)規(guī)模的擴(kuò)展，包括網(wǎng)絡(luò)的地理分歩，用戶數(shù)量的不斷增加。</p><p>　　應(yīng)用內(nèi)容得擴(kuò)展，ip主干網(wǎng)絡(luò)不僅擔(dān)負(fù)數(shù)

43、據(jù)傳輸?shù)娜蝿?wù)，包括其他視頻和語(yǔ)音服務(wù)也會(huì)不斷的增加到ip網(wǎng)絡(luò)中去，這就要求主干網(wǎng)絡(luò)設(shè)計(jì)必支持多種業(yè)務(wù)</p><p>　　網(wǎng)絡(luò)容量的擴(kuò)展，隨著規(guī)模和應(yīng)用的擴(kuò)展網(wǎng)絡(luò)的傳輸銅梁也必須能相應(yīng)的增加。</p><p>　　在設(shè)計(jì)網(wǎng)絡(luò)中，必須要保證各個(gè)網(wǎng)絡(luò)的安全性以及可擴(kuò)展性。</p><p>　　在整體的網(wǎng)絡(luò)設(shè)計(jì)中，我們還要保證總公司和分公司之間的連通性，安全性，以及出外人

44、員與總公司和分公司之間的連通性和安全性，要保證信息的安全傳送。</p><p>　　網(wǎng)絡(luò)的靈活性體現(xiàn)在連接方便，設(shè)備和管理簡(jiǎn)單、靈活，使用和維護(hù)方便。網(wǎng)絡(luò)的擴(kuò)充性表現(xiàn)于數(shù)量的增加、質(zhì)量的提高和新功能的擴(kuò)充。網(wǎng)絡(luò)主干設(shè)備應(yīng)該采用功能強(qiáng)、擴(kuò)充性好的設(shè)備，如模塊結(jié)構(gòu)，軟件可升級(jí)，背板總線速度高，吞吐量大，并在以下原則基礎(chǔ)上進(jìn)行網(wǎng)絡(luò)的設(shè)計(jì)：</p><p><b>　　實(shí)用性</b

45、></p><p>　　由于公司網(wǎng)絡(luò)的特點(diǎn)決定了網(wǎng)絡(luò)系統(tǒng)必需要有實(shí)用與經(jīng)濟(jì)性，實(shí)用性使網(wǎng)絡(luò)便于管理、維護(hù)，以減少網(wǎng)絡(luò)使用人員運(yùn)用網(wǎng)絡(luò)的難度，從而降低人為操作引起的網(wǎng)絡(luò)故障，并使更多的人掌握網(wǎng)絡(luò)的使用，根據(jù)學(xué)校的實(shí)際情況，由于公司的建設(shè)資金有限，建設(shè)網(wǎng)絡(luò)時(shí)考慮利用和保護(hù)先用的資源、充分發(fā)揮設(shè)備效益，而且要求網(wǎng)絡(luò)具有較高的性價(jià)比，所以在建設(shè)公司的網(wǎng)絡(luò)時(shí)一定要使用性價(jià)比高的網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備，以節(jié)約建設(shè)資金。&l

46、t;/p><p><b>　　先進(jìn)性</b></p><p>　　由于公司的業(yè)務(wù)多，有大量的數(shù)據(jù)信息需要處理，因此要求網(wǎng)絡(luò)有較高的數(shù)據(jù)通信能力和較大的數(shù)據(jù)帶寬，所以網(wǎng)絡(luò)設(shè)備必須具備高速處理數(shù)據(jù)的能力，在網(wǎng)絡(luò)結(jié)構(gòu)上使用技術(shù)先進(jìn)的高速網(wǎng)絡(luò)，才能滿足大量數(shù)據(jù)傳輸與處理的需要，只有保持技術(shù)的先進(jìn)性，才能使網(wǎng)絡(luò)系統(tǒng)適應(yīng)不斷更新?lián)Q代網(wǎng)絡(luò)技術(shù)，才能延長(zhǎng)網(wǎng)絡(luò)的使用期限，提高網(wǎng)絡(luò)用戶的投資

47、效益。</p><p><b>　　擴(kuò)展性</b></p><p>　　隨著網(wǎng)絡(luò)用戶的不斷增多，使得網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，所以在網(wǎng)絡(luò)設(shè)計(jì)時(shí)要求網(wǎng)絡(luò)能方便地進(jìn)行擴(kuò)充容量，才能支持用戶的需求，網(wǎng)絡(luò)系統(tǒng)應(yīng)用能隨不斷發(fā)展的網(wǎng)絡(luò)技術(shù)而能夠升級(jí)到的新的網(wǎng)絡(luò)技術(shù)和設(shè)備，從而延長(zhǎng)網(wǎng)絡(luò)系統(tǒng)的使用期限。</p><p><b>　　安全性</b>

48、</p><p>　　網(wǎng)絡(luò)安全對(duì)于網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)是十分重要的，它直接關(guān)系到網(wǎng)絡(luò)的正常使用，由于總公司和分公司進(jìn)行互聯(lián)，特別是internet的互聯(lián)，internet是一個(gè)開放式網(wǎng)絡(luò)系統(tǒng)，它的安全性是很差的，因此安全問(wèn)題更加重要，應(yīng)該采用一定的技術(shù)來(lái)控制網(wǎng)絡(luò)的安全性，從內(nèi)部和外部同時(shí)對(duì)網(wǎng)絡(luò)資源的訪問(wèn)進(jìn)行控制，當(dāng)前主要的網(wǎng)絡(luò)安全技術(shù)有，用戶身份驗(yàn)證，vlan劃分，防火墻等技術(shù)，網(wǎng)絡(luò)系統(tǒng)還具有高度的數(shù)據(jù)安全性和保密性。&

49、lt;/p><p><b>　　可靠性與穩(wěn)定性</b></p><p>　　網(wǎng)絡(luò)要求具有高度可靠性與穩(wěn)定性，能有效防止局部故障引起整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓，為實(shí)現(xiàn)上述目的，應(yīng)在網(wǎng)絡(luò)設(shè)計(jì)中提供拓?fù)浜驮O(shè)備的冗余和備份，使故障能在最短的時(shí)間內(nèi)進(jìn)行恢復(fù)，讓網(wǎng)絡(luò)故障的發(fā)生和損失降到最小。</p><p><b>　　公司內(nèi)部網(wǎng)絡(luò)的需求</b>

50、</p><p>　　由于總公司內(nèi)部員工的數(shù)量不斷的增多，因此網(wǎng)絡(luò)需要具有可擴(kuò)展性，由于業(yè)務(wù)的需要，需要傳送大量的圖形圖像信息，所以應(yīng)考慮設(shè)計(jì)用戶的帶寬需要，同時(shí)為了打造公司的知名度，公司要求建立自己的網(wǎng)站</p><p>　　用戶需求決定了該網(wǎng)絡(luò)系統(tǒng)的特殊性，按照用戶的要求網(wǎng)絡(luò)系統(tǒng)須事先以下功能：</p><p>　　1、信息共享。有關(guān)公司的各種公共資料，各種信息

51、。一些關(guān)于公司的最新消息等可通過(guò)網(wǎng)絡(luò)進(jìn)行查詢。</p><p>　　2、信息交流。可通過(guò)連接internet實(shí)現(xiàn)與外部資訊的交流和溝通，從而獲得當(dāng)今世界的最新信息。</p><p>　　3、通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)一個(gè)部門員工之間的交流</p><p>　　4、辦公自動(dòng)化。通過(guò)運(yùn)用先進(jìn)的計(jì)算機(jī)技術(shù)事先辦公自動(dòng)化。</p><p>　　總公司和分公司之間的

52、網(wǎng)絡(luò)需求</p><p>　　由于中公司和分公司之間相互通信的時(shí)候，要保證數(shù)據(jù)的安全性，保證公司網(wǎng)絡(luò)不被非法分子攻擊，我們應(yīng)該設(shè)置防火墻，來(lái)保證數(shù)據(jù)和傳遞信息的安全性?？偣竞头止局g架構(gòu)網(wǎng)絡(luò)很困難，不應(yīng)該使用網(wǎng)線，應(yīng)該使用vpn 隧道的方式；</p><p>　　我們?cè)诼酚善魃显O(shè)置防火墻</p><p><b>　　ISA防火墻</b>&l

53、t;/p><p>　　Chinaddos防火墻（硬件防火墻）</p><p><b>　　PIX防火墻</b></p><p><b>　　設(shè)置vpn時(shí)：</b></p><p>　　ipsec vpn；保證數(shù)據(jù)傳輸?shù)陌踩?lt;/p><p>　　easy vpn；當(dāng)有出差人員在外

54、時(shí)，應(yīng)該在總部或者分部設(shè)置easy vpn的服務(wù)端，在自己的電腦上設(shè)置easy vpn的客戶端；使用用戶名來(lái)登錄，保證其他人獲取自己的相關(guān)信息。</p><p><b>　　網(wǎng)絡(luò)總體建設(shè)目標(biāo)</b></p><p><b>　　網(wǎng)絡(luò)建設(shè)目標(biāo)</b></p><p>　　1、北京總部?jī)?nèi)有大型服務(wù)器提供服務(wù)，外接分支機(jī)網(wǎng)絡(luò)平臺(tái)

55、</p><p>　　2、要求這些分布用戶和總部之間能夠高速連接并且保證與總部通信的可靠性和可行性。</p><p>　　3、同時(shí)要求總部?jī)?nèi)部安全機(jī)制能夠提高。保證內(nèi)網(wǎng)安全同時(shí)保證各臺(tái)服務(wù)器的安全。</p><p>　　4、要求計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)滿足系統(tǒng)集成的網(wǎng)絡(luò)平臺(tái)需求可用性、安全性、可靠性和可擴(kuò)展性，網(wǎng)絡(luò)系統(tǒng)不間斷，選購(gòu)符合分支機(jī)構(gòu)及中心機(jī)房需求的高性價(jià)的網(wǎng)絡(luò)設(shè)備，

56、采用三層網(wǎng)絡(luò)結(jié)構(gòu)，來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全的需求。</p><p>　　5、網(wǎng)絡(luò)設(shè)備主要以核心交換區(qū)設(shè)備為主。并考慮對(duì)設(shè)備投資保護(hù)，保證未來(lái)幾年的系統(tǒng)擴(kuò)展，組建一個(gè)高效、穩(wěn)定、可靠、易管理、安全的企業(yè)網(wǎng)。 </p><p>　　3.2、 網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容及要求</p><p>　　根據(jù)該公司中心機(jī)房的網(wǎng)絡(luò)情況，我們把整個(gè)網(wǎng)絡(luò)分為內(nèi)部</p><p>

57、　　網(wǎng)絡(luò)交換網(wǎng)絡(luò)設(shè)計(jì)、網(wǎng)絡(luò)出口設(shè)計(jì)、網(wǎng)絡(luò)安全設(shè)計(jì)三部分。保證設(shè)計(jì)和實(shí)現(xiàn)上的標(biāo)準(zhǔn)化、功能框架的模塊化、充分考慮網(wǎng)絡(luò)的兼容性、整體方案的開放性、擴(kuò)展性和再開發(fā)性，同時(shí)還應(yīng)具備穩(wěn)定、可靠、速度快等特點(diǎn)。</p><p>　　北京總部數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)承載著該公司所有的關(guān)鍵核心業(yè)務(wù)。設(shè)計(jì)時(shí)，保證中心機(jī)房網(wǎng)絡(luò)的高可用性和穩(wěn)定性至關(guān)重要。而北京總部用FTP、MAIL等內(nèi)部服務(wù)器為員工提供總部?jī)?nèi)部信息。另外還要屏蔽部分網(wǎng)絡(luò)訪問(wèn)以

58、確保公司的工作有序正常的進(jìn)行。</p><p>　　在數(shù)據(jù)傳輸安全方面，總部和分部之間，我們架設(shè)VPN虛擬通道。VPN主要采用思想安全保證技術(shù)，分別是隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、和使用者與設(shè)備身份認(rèn)證技術(shù)。在安全方面，VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，同時(shí)保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。</p><p>　　對(duì)于邊界網(wǎng)絡(luò)接入（Internet接入稱為邊界

59、網(wǎng)絡(luò)），總部用Web服務(wù)器為用戶提供服務(wù)。使用交換機(jī)的vtp 技術(shù)使網(wǎng)絡(luò)內(nèi)有關(guān)Server的訪問(wèn)變的更加安全。因?yàn)榫W(wǎng)絡(luò)的安全性是一個(gè)非常重要的因素。而確保在網(wǎng)絡(luò)的邊界外部相應(yīng)的安全策略以防止黑客和各種惡意代碼的攻擊也變的至關(guān)重要，同時(shí)邊界中的設(shè)備的冗余設(shè)計(jì)也是設(shè)計(jì)考慮的一個(gè)重要環(huán)節(jié)，從而能夠有效地防止單點(diǎn)故障。</p><p>　　對(duì)于設(shè)備，我們采用性價(jià)比較高的設(shè)備。對(duì)于網(wǎng)絡(luò)帶寬，由于帶寬有限且租金昂貴，我們建議

60、用QOS技術(shù)進(jìn)行擁塞管理、擁塞避免、流量整形等策略對(duì)網(wǎng)絡(luò)上的流量進(jìn)行管理。</p><p>　　由于公司業(yè)務(wù)不斷發(fā)展壯大，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也會(huì)隨之發(fā)生變化，在采購(gòu)網(wǎng)絡(luò)設(shè)備時(shí)應(yīng)注意選擇擴(kuò)展性和兼容性強(qiáng)的設(shè)備，以便日后網(wǎng)絡(luò)拓?fù)涞淖儎?dòng)。</p><p><b>　　網(wǎng)絡(luò)設(shè)計(jì)原則</b></p><p>　　作為一家優(yōu)秀的系統(tǒng)集成商，向用戶提供的不僅僅是設(shè)

61、備，而是整套的技術(shù)與服務(wù)。我們始終堅(jiān)持“高標(biāo)準(zhǔn)，高性能”的原則。在方案設(shè)計(jì)時(shí)，我們將嚴(yán)格遵循以下設(shè)計(jì)原則：</p><p>　　高可靠性----網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)，制定可靠地網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限制地支持各個(gè)系統(tǒng)的正常運(yùn)行。</p><p>　　網(wǎng)絡(luò)安全性----由于企業(yè)網(wǎng)的特殊性，網(wǎng)絡(luò)

62、的安全性在本次網(wǎng)絡(luò)建設(shè)中是比較重要的，整個(gè)網(wǎng)絡(luò)必須保證萬(wàn)無(wú)一失的安全性，并對(duì)各個(gè)部門的信息要有嚴(yán)格分離保護(hù)的辦法，防止網(wǎng)絡(luò)黑客非法入侵。網(wǎng)絡(luò)系統(tǒng)應(yīng)配備全面的病毒防治和安全保護(hù)功能。</p><p>　　靈活性及可擴(kuò)展性-----根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)展和升級(jí)，最大限制地減少對(duì)網(wǎng)絡(luò)架構(gòu)和設(shè)備的調(diào)整。</p><p>　　先進(jìn)性------以先進(jìn)、成熟的網(wǎng)絡(luò)通信技術(shù)進(jìn)行組網(wǎng)

63、，支持?jǐn)?shù)據(jù)、語(yǔ)音和視頻圖像等多媒體應(yīng)用，采用基于交換的技術(shù)代替?zhèn)鹘y(tǒng)的基于路由的技術(shù)，并且能確保網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)產(chǎn)品在幾年內(nèi)基本滿足需求。</p><p>　　高性能-----承載網(wǎng)絡(luò)性能是網(wǎng)絡(luò)通訊系統(tǒng)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中心必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)，語(yǔ)音，圖像）的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為各項(xiàng)業(yè)務(wù)開展的瓶頸。</p><p>　　可管理性----網(wǎng)絡(luò)建設(shè)的一項(xiàng)重要

64、內(nèi)容是網(wǎng)絡(luò)管理，網(wǎng)絡(luò)的建設(shè)必須保證網(wǎng)絡(luò)運(yùn)行的可管理性。在優(yōu)秀的網(wǎng)絡(luò)管理之下，將大大提高網(wǎng)絡(luò)的運(yùn)行速率，并可迅速簡(jiǎn)便地進(jìn)行網(wǎng)絡(luò)故障的診斷。</p><p>　　經(jīng)濟(jì)性-----在滿足應(yīng)用要求的基礎(chǔ)上，盡可能降低造價(jià)。</p><p><b>　　網(wǎng)絡(luò)總體設(shè)計(jì)</b></p><p><b>　　網(wǎng)絡(luò)總體拓?fù)鋱D</b><

65、/p><p>　　我們根據(jù)公司的基本要求，畫出了簡(jiǎn)單的大致的網(wǎng)絡(luò)拓?fù)鋱D，在整個(gè)網(wǎng)絡(luò)拓?fù)鋱D中，我們?cè)诤诵脑O(shè)備上采用的是cisco 2821的路由器和兩臺(tái)三層交換機(jī)，在兩個(gè)三層交換機(jī)上我們做冗余備份，做鏈路捆綁，保證了數(shù)據(jù)的連通性，在核心設(shè)備上連接一個(gè)防火墻，保證了數(shù)據(jù)的安全性和總公司內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)安全的保密性，防止了竊取公司的數(shù)據(jù)。在總公司的拓?fù)渲?，我們?cè)诮尤雽拥腸isco WS-C4506-E的交換機(jī)，在交換機(jī)劃分了v

66、lan，vlan的劃分使我們易于管理。</p><p>　　圖4-1 企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖</p><p>　　在整個(gè)網(wǎng)絡(luò)拓?fù)鋱D中，我們采用采用了層次化的設(shè)計(jì)，核心層、分布層、接入層。這樣節(jié)省成本，使整個(gè)網(wǎng)絡(luò)拓?fù)涓忧逦?，由于各個(gè)層次的功能不同，因此易于我們排錯(cuò)。</p><p>　　4.2、 網(wǎng)絡(luò)層次化設(shè)計(jì)</p><p>　　隨著網(wǎng)絡(luò)技術(shù)

67、的需速發(fā)展和網(wǎng)上應(yīng)用量的增長(zhǎng)，分布式的網(wǎng)絡(luò)服務(wù)和交換已經(jīng)移至用戶級(jí)，有此形成一個(gè)新的、更適應(yīng)現(xiàn)代的高速大型網(wǎng)絡(luò)的分層設(shè)計(jì)模型，分層設(shè)計(jì)的好處：</p><p><b>　　1、節(jié)省成本</b></p><p>　　在采用層次模型之后，各層各司其職，不再同一個(gè)平臺(tái)上考慮所有的事情，層次化的模型，能更好的利用寬帶，減少對(duì)系統(tǒng)資源的浪費(fèi)。</p><p&

68、gt;<b>　　2、易于理解</b></p><p>　　層次化模型使網(wǎng)絡(luò)的拓?fù)涓逦髁?，在不同的層次?shí)施不同的管路，降低了管理的難度</p><p><b>　　3、易于擴(kuò)展</b></p><p>　　在網(wǎng)絡(luò)設(shè)計(jì)中模塊化具有的特性使網(wǎng)絡(luò)增長(zhǎng)時(shí)網(wǎng)絡(luò)的復(fù)雜性能夠限制在子網(wǎng)中，而不會(huì)蔓延到網(wǎng)絡(luò)的其他的地方</p&g

69、t;<p><b>　　4、易于排錯(cuò)</b></p><p>　　層次化設(shè)計(jì)能夠使網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分解成易于理解的子網(wǎng)，網(wǎng)絡(luò)者能夠輕易的確定網(wǎng)絡(luò)故障的范圍，從而簡(jiǎn)化了排錯(cuò)的過(guò)程</p><p>　　針對(duì)實(shí)際情況我們可以采用三層模型，三層結(jié)構(gòu)模型分為三個(gè)層次，即核心層、分布層、接入層。每個(gè)層次完成不同的功能。</p><p><b

70、>　　核心層：</b></p><p>　　核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,骨干層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能最好盡量少在骨干層上實(shí)施。核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以對(duì)核心層的設(shè)計(jì)以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格。核心層設(shè)備將占投資的主要部分。 核心層需要考慮冗余設(shè)計(jì)。</p><p><b>　

71、　匯聚層：</b></p><p>　　匯聚層的功能主要是連接接入層節(jié)點(diǎn)和核心層中心，匯聚層設(shè)計(jì)連接本地的邏輯中心，仍需要較高的性能和比較豐富的功能。匯聚層設(shè)備一般采用可管理的三層交換機(jī)或堆疊式交換機(jī)以達(dá)到帶寬和傳輸性能的要求，其設(shè)備性能較好，但價(jià)格高于接入層設(shè)備，而且對(duì)環(huán)境的要求也較高，匯聚層設(shè)備之間以及匯聚層設(shè)備與核心層設(shè)備之間多采用光纖互聯(lián)，以提高系統(tǒng)的傳輸性能和吞吐量。</p>

72、<p><b>　　接入層：</b></p><p>　　接入層的主要功能是完成用戶流量的接入和隔離，對(duì)于無(wú)線局域網(wǎng)wlan用戶，用戶終端通過(guò)無(wú)線網(wǎng)卡和無(wú)線接入點(diǎn)AP完成用戶接入。它可以共享、獨(dú)享或交換帶寬的方式為用戶提供入網(wǎng)的接口。</p><p><b>　　核心層設(shè)計(jì)</b></p><p>　　核心層主要

73、進(jìn)行數(shù)據(jù)的高速路由轉(zhuǎn)發(fā)，以及維護(hù)全網(wǎng)路由的計(jì)算，我們推薦使用cisco 2821的路由器來(lái)完成，它的高性能，可靠性，可用性，在核心層我們還應(yīng)該采用兩臺(tái)三層的交換機(jī)cisco 3750系類的交換機(jī)來(lái)完成，在核心層為了保證數(shù)據(jù)的安全性和保密性應(yīng)接入防火墻。</p><p><b>　　接入層設(shè)計(jì)</b></p><p>　　接入層是使用交換機(jī)相連，為用戶終端提供了接入的方

74、式，辦公系統(tǒng)所需要的服務(wù)器群，數(shù)據(jù)中心的多種系統(tǒng)應(yīng)用服務(wù)器，鏈接到會(huì)聚交換的模塊上，因此，內(nèi)部的局域網(wǎng)是采用三層結(jié)構(gòu)組建。在接入層使用的是cisco WS-C4506-E系列的交換機(jī)來(lái)完成。</p><p><b>　　總部與分部?jī)?nèi)聯(lián)接入</b></p><p>　　內(nèi)連接入的作用是用于鏈接外網(wǎng)的網(wǎng)絡(luò)。我們使用Cisco 2800系列的路由器通過(guò)SDH/DDN線路完成

75、此功能。</p><p>　　由于接入外網(wǎng)時(shí)需要考慮到安全問(wèn)題，因此，還需要接外部防火墻。</p><p><b>　　路由、交換設(shè)計(jì)</b></p><p><b>　　路由協(xié)議選擇</b></p><p>　　表5-1 網(wǎng)絡(luò)設(shè)備清單</p><p>　　VLAN、子網(wǎng)及

76、IP地址規(guī)劃（192.168.1.0-6.0）</p><p>　　IP地址的規(guī)劃在網(wǎng)絡(luò)設(shè)計(jì)中的作用是舉足輕重，直接影響整個(gè)網(wǎng)絡(luò)運(yùn)行的效率，IP地址設(shè)計(jì)的總原則是簡(jiǎn)單、易管理、易擴(kuò)展。</p><p>　　IP地址是TCP/IP協(xié)議族中的網(wǎng)絡(luò)層邏輯地址，它被用來(lái)唯一地標(biāo)識(shí)網(wǎng)絡(luò)的一個(gè)節(jié)點(diǎn)，IP地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)向適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同

77、時(shí)能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。</p><p>　　我們可以根據(jù)以下幾個(gè)原則來(lái)分配IP地址：</p><p>　　唯一性：一個(gè)IP網(wǎng)絡(luò)中不可能有兩個(gè)主機(jī)采用相同的IP地址</p><p>　　簡(jiǎn)單性：地址分配簡(jiǎn)單易于管理。降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡(jiǎn)化路由表的款項(xiàng)。</p><p>　　連續(xù)性：連續(xù)地址在層次

78、結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路由總結(jié)，大大縮減路由表，提高路由算法的效率。</p><p>　　可擴(kuò)展性：地址分配在每一層上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址總結(jié)所需要的連續(xù)性。</p><p>　　靈活性：地址分配應(yīng)具有靈活性，可借助可變長(zhǎng)子網(wǎng)掩碼即使，以滿足多種路由策略的優(yōu)化，充分利用地址空間。</p><p>　　1、(1)公司總部IP地址分配表如下： </

79、p><p>　　公司總部有九個(gè)部門，有1000個(gè)用戶分別為：銷售部、教學(xué)部、品質(zhì)保障部、財(cái)務(wù)部、公關(guān)部、人事部、行政部、調(diào)查部。</p><p>　　公司總部各個(gè)部門的ip地址規(guī)劃</p><p>　　表5-4 各個(gè)分部IP地址劃分</p><p>　　表5-5 公司總部VLAN劃分表</p><p><b>

80、;　　路由協(xié)議</b></p><p>　　為達(dá)到路由的快速收斂、尋址以及方便網(wǎng)絡(luò)管理員管理的目的，我們建議采用OSPF協(xié)議，因?yàn)槟壳拜^好的動(dòng)態(tài)路由協(xié)議是OSPF協(xié)議和EIGRP協(xié)議，它們都有認(rèn)證但是OSPF協(xié)議標(biāo)準(zhǔn)化強(qiáng)，支持廠家多，受到廣泛應(yīng)用，EIGRP是Cisco發(fā)明的，只有Cisco公司自己的產(chǎn)品支持，考慮到網(wǎng)絡(luò)的擴(kuò)展性、公開性、投資保護(hù)的原因，沃恩采用OSPF路由協(xié)議和動(dòng)態(tài)動(dòng)態(tài)的PAT技術(shù)，

81、因?yàn)镻AT技術(shù)是多對(duì)一，公司內(nèi)部可以使用私有的網(wǎng)絡(luò)地址，但是這些私有的網(wǎng)絡(luò)地址不能接入外網(wǎng)，因此要轉(zhuǎn)化成公有的地址，用動(dòng)態(tài)的NAT和PAT技術(shù)都可以把私有地址轉(zhuǎn)化成公有地址，但是PAT技術(shù)是多對(duì)一的技術(shù)，更廣泛的使用。</p><p>　　經(jīng)過(guò)各種協(xié)議之間的比對(duì)，我們認(rèn)為OSPF協(xié)議是最優(yōu)的選擇。</p><p><b>　　原因如下：</b></p>

82、<p>　　1、OSPF是真正的LOOP- FREE（無(wú)路由自環(huán)）路由協(xié)議。源自其算法本身的優(yōu)點(diǎn)。（鏈路狀態(tài)及最短路徑樹算法）</p><p>　　2、OSPF收斂速度快：能夠在最短的時(shí)間內(nèi)將路由變化傳遞到整個(gè)自治系統(tǒng)。</p><p>　　3、提出區(qū)域（area）劃分的概念，將自治系統(tǒng)劃分為不同區(qū)域后，通過(guò)區(qū)域之間的對(duì)路由信息的摘要，大大減少了需傳遞的路由信息數(shù)量。也使得路由信

83、息不會(huì)隨網(wǎng)絡(luò)規(guī)模的擴(kuò)大而急劇膨脹。</p><p>　　4、將協(xié)議自身的開銷控制到最小。見(jiàn)下：</p><p>　　1）用于發(fā)現(xiàn)和維護(hù)鄰居關(guān)系的是定期發(fā)送的是不含路由信息的hello報(bào)文，非常短小。包含路由信息的報(bào)文時(shí)是觸發(fā)更新的 機(jī)制。（有路由變化時(shí)才會(huì)發(fā)送）。但為了增強(qiáng)協(xié)議的健壯性，每180秒全部重發(fā)一次。</p><p>　　2）在廣播網(wǎng)絡(luò)中，使用組播地址（而

84、非廣播）發(fā)送報(bào)文，減少對(duì)其它不運(yùn)行ospf 的網(wǎng)絡(luò)設(shè)備的干擾。</p><p>　　3）在各類可以多址訪問(wèn)的網(wǎng)絡(luò)中（廣播，NBMA），通過(guò)選舉DR，使同網(wǎng)段的路由器之間的路由交換（同步）次數(shù)由 O（N*N）次減少為 O （N）次。</p><p>　　4）提出STUB區(qū)域的概念，使得STUB區(qū)域內(nèi)不再傳播引入的ASE路由 。</p><p>　　5）在ABR（區(qū)域邊

85、界路由器）上支持路由聚合，進(jìn)一步減少區(qū)域間的路由信息傳遞。</p><p>　　6）在點(diǎn)到點(diǎn)接口類型中，通過(guò)配置按需播號(hào)屬性（OSPF over On Demand Circuits），使得ospf不再定時(shí)發(fā)送hello報(bào)文及定期更新路由信息。只在網(wǎng)絡(luò)拓?fù)湔嬲兓瘯r(shí)才發(fā)送更新信息。</p><p>　　5、通過(guò)嚴(yán)格劃分路由的級(jí)別（共分四極），提供更可信的路由選擇。</p>&

86、lt;p>　　6、良好的安全性，ospf支持基于接口的明文及md5 驗(yàn)證。</p><p>　　7、OSPF適應(yīng)各種規(guī)模的網(wǎng)絡(luò)，最多可達(dá)數(shù)千臺(tái)。</p><p><b>　　交換技術(shù)</b></p><p>　　對(duì)于本次項(xiàng)目的核心交換機(jī)Cisco 4506，我們將采用建立在生成樹基礎(chǔ)上的多鏈路冗余鏈路。這樣不僅可以避免了由于網(wǎng)絡(luò)環(huán)路造成的

87、廣播風(fēng)暴等，還可以保證骨干交換機(jī)之間存在備份連接和負(fù)載均衡，完成高帶寬、大容量網(wǎng)絡(luò)層路由交換功能。這樣當(dāng)交換機(jī)之間的線路出現(xiàn)故障時(shí)，傳輸?shù)臄?shù)據(jù)會(huì)快速自動(dòng)切換到另外一條線路上進(jìn)行傳輸，不影響網(wǎng)絡(luò)系統(tǒng)的正常工作。</p><p>　　而對(duì)于匯聚層交換機(jī)Cisco 3750和接入層交換機(jī)Cisco 2811，我們將采用VTP、VLAN、HSRP等協(xié)議。使用VTP協(xié)議，可以把一臺(tái)交換機(jī)配置成VTP Server, 其余交

88、換機(jī)配置成VTP Client,這樣他們可以自動(dòng)學(xué)習(xí)到server上的VLAN 信息。這樣不僅可以少在多臺(tái)設(shè)備上配置同一個(gè)VLAN信息的工作量，而且還保持了VLAN配置的統(tǒng)一性。而VLAN 技術(shù)，則可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。不僅提高了網(wǎng)絡(luò)的安全性，而且成本低，性能高，節(jié)省了人力，具有很高的靈活性。HSRP 是熱備份路由協(xié)議。在北京總部和分部在匯聚層的交換機(jī)上我們采用熱備份協(xié)議，運(yùn)用兩臺(tái)交換機(jī)，當(dāng)其中的一臺(tái)出現(xiàn)

89、故障致使網(wǎng)絡(luò)不能正常通信時(shí)，備用的那臺(tái)馬上起到作用，避免了網(wǎng)絡(luò)的“短路”問(wèn)題。HSRP 實(shí)現(xiàn)容錯(cuò)備份功能，可以有效解決網(wǎng)絡(luò)不暢問(wèn)題，保證了網(wǎng)絡(luò)的可靠性。</p><p><b>　　IPV6 </b></p><p>　　由于IPV4網(wǎng)絡(luò)地址的資源有限，所以，為了提高網(wǎng)絡(luò)的可擴(kuò)展性，在本次網(wǎng)絡(luò)項(xiàng)目中所采用的設(shè)備，均支持IPV6。IPV6以其靈活的IP報(bào)文頭部格式，不僅

90、取代了IPV4中可變長(zhǎng)度的選項(xiàng)字段，而且也使路由器可以簡(jiǎn)單路過(guò)選項(xiàng)而不做任何處理，加快了報(bào)文處理速度，提高了吞吐量。而且IPV6還具有安全性、身份認(rèn)證和隱私權(quán)等特性。支持更多的服務(wù)類型，允許協(xié)議繼續(xù)演變，增加新的功能，使之適應(yīng)未來(lái)技術(shù)的發(fā)展。</p><p><b>　　服務(wù)器設(shè)計(jì)</b></p><p><b>　　服務(wù)器的系統(tǒng)選擇</b>&l

91、t;/p><p>　　服務(wù)器群的主要功能是為客戶端提供各種網(wǎng)絡(luò)服務(wù)，包括：資源共享、Web服務(wù)、文件傳輸、郵件服務(wù)、身份驗(yàn)證服務(wù)等等。</p><p>　　在本次項(xiàng)目中，除了DC服務(wù)器采用windows 2003操作系統(tǒng)，其它的服務(wù)器，我們將使用Linux操作系統(tǒng)。Linux操作系統(tǒng)有如下的優(yōu)點(diǎn)： </p><p><b>　　1、完全免費(fèi)</b>

92、</p><p><b>　　2、多用戶、多任務(wù)</b></p><p><b>　　3、良好的界面</b></p><p><b>　　4、豐富的網(wǎng)絡(luò)功能</b></p><p>　　5、可靠的安全、穩(wěn)定性能</p><p><b>　　6、

93、支持多種平臺(tái)</b></p><p>　　而針對(duì)于DC服務(wù)器，我們則采用windows 2003操作系統(tǒng)。因?yàn)榛顒?dòng)目錄服務(wù)是Windows操作系統(tǒng)平臺(tái)的中心組件之一。Windows Server 2003集成了多種功能且對(duì)硬件要求不高，總體成本較低。工作站普遍使用Windows操作系統(tǒng)，服務(wù)器與客戶端兼容性更好。Windows服務(wù)器系統(tǒng)提供圖形化界面，減少配置和維護(hù)的工作量。</p>&

94、lt;p>　　DNS、DHCP、DC、FTP、Mail、Web—Apache服務(wù)器</p><p>　　針對(duì)于各種服務(wù)的不同需求，我們推薦使用IBM System x3650 M2服務(wù)器。它以其優(yōu)良的性能，均能滿足各種服務(wù)的要求。</p><p>　　服務(wù)器型號(hào)：IBM System x3650 M2服務(wù)器</p><p><b>　　圖6-1 服

95、務(wù)器</b></p><p>　　表6-1 產(chǎn)品規(guī)格表</p><p>　　IBM System x3650 M2是IBM推出的最新一代x86服務(wù)器，采用Nehalem架構(gòu)的至強(qiáng)5500處理器，除性能上的提升外，2U高的System x3650 M2提供更大的存儲(chǔ)和I/O 靈活性，最多支持12個(gè)熱插拔存儲(chǔ)驅(qū)動(dòng)器和4個(gè) I/O 插槽。IBM x3650 M2 提供了功能豐富的

96、管理能力，涵蓋從電源管理一直到預(yù)測(cè)性硬件監(jiān)控。IBM System X3650 M2是IBM機(jī)架式服務(wù)器全新升級(jí)產(chǎn)品，和前作相比性能提升明顯，該服務(wù)器采用了Nehalem架構(gòu)處理器產(chǎn)品5500，使得IBM經(jīng)典的機(jī)架產(chǎn)品的在原有高品質(zhì)的特性下性能更加有效的發(fā)揮。此外X3650 M2還是一種穩(wěn)定可靠的業(yè)務(wù)關(guān)鍵型應(yīng)用程序服務(wù)器，可以最大程度地減小部署和支持成本。</p><p><b>　　網(wǎng)絡(luò)安全解決方案&

97、lt;/b></p><p>　　網(wǎng)絡(luò)邊界安全威脅分析</p><p>　　網(wǎng)絡(luò)的邊界隔離著不同功能或地域的多個(gè)網(wǎng)絡(luò)區(qū)域，由于職責(zé)</p><p>　　和功能的不同，項(xiàng)鏈網(wǎng)絡(luò)的密集也不同，這樣的網(wǎng)絡(luò)直連，必然存在著安全風(fēng)險(xiǎn)。安博總部算面臨的威脅是與外界的連接，可能遭來(lái)越權(quán)訪問(wèn)和惡意攻擊。內(nèi)部的各個(gè)功能網(wǎng)絡(luò)通過(guò)骨干交換機(jī)相連，這樣的話，重要的部門或者專網(wǎng)將遭到來(lái)

98、自其他部門的越權(quán)訪問(wèn)，誤操作等。導(dǎo)致網(wǎng)絡(luò)癱瘓。</p><p>　　網(wǎng)絡(luò)邊界隔離著不同功能或地域的多個(gè)網(wǎng)絡(luò)區(qū)域，存在著安全風(fēng)險(xiǎn)。我們應(yīng)用以下方法來(lái)杜絕這些存在的潛在的安全：</p><p>　　1、防火墻技術(shù)，防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全的有效管理，從總體上看防火墻應(yīng)該具有以下五大基本功能：過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、

99、出網(wǎng)絡(luò)的訪問(wèn)行為；封堵某些禁止行為；記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)測(cè)和告警。</p><p>　　2、通過(guò)vlan驚醒端口通訊和安全隔離，確保數(shù)據(jù)流進(jìn)入有效端口</p><p>　　3、可實(shí)現(xiàn)用戶賬號(hào)、MAC地址、IP地址、交換機(jī)IP、交換機(jī)端口等六大元素之間的靈活任意綁定，有效確認(rèn)用戶合法性和唯一性。</p><p>　　網(wǎng)絡(luò)內(nèi)部安全威脅分析&l

100、t;/p><p>　　主要是整個(gè)內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)，主要表現(xiàn)以下幾個(gè)方面：</p><p>　　內(nèi)部用戶的非授權(quán)訪問(wèn)：安博公司內(nèi)部的資源也不是對(duì)任何的員工都開放，也需要有相應(yīng)的訪問(wèn)權(quán)限。內(nèi)部用戶的非授權(quán)的訪問(wèn)，更容易造成資源和重要信息的泄漏。</p><p>　　內(nèi)部用戶的惡意攻擊，就網(wǎng)絡(luò)安全來(lái)說(shuō)，很大一部分的攻擊來(lái)自內(nèi)部用戶，相比外部攻擊來(lái)說(shuō)，內(nèi)部用戶具有更得天獨(dú)厚的優(yōu)勢(shì)

101、，因此，對(duì)內(nèi)部用戶攻擊的防范也很重要。</p><p>　　重要服務(wù)器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒(méi)有及時(shí)的發(fā)現(xiàn)并且進(jìn)行修復(fù)，將會(huì)為網(wǎng)絡(luò)的安全 帶來(lái)很多不安定的因素。</p><p>　　重要服務(wù)器的當(dāng)機(jī)或者重要數(shù)據(jù)的意外丟失，都將會(huì)造成安博公司的系統(tǒng)癱瘓，無(wú)法正常運(yùn)行。</p><p>　　安全管理的困難，對(duì)于眾多的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備，安全側(cè)略的配

102、置值和安全事件管理的難度很大。</p><p>　　7.3、 安全產(chǎn)品選型原則</p><p>　　公司屬于一個(gè)新興的公司但是我們想在搭建自己的網(wǎng)絡(luò)中具備各自的安全性，因此在安全產(chǎn)品的選型上，必須慎重，選型的原則包括：</p><p>　　安全保密產(chǎn)品的接入應(yīng)不明顯影響網(wǎng)絡(luò)系統(tǒng)運(yùn)行效率，并且滿足工作的要求，不影響正常的業(yè)務(wù)；</p><p>

103、;　　安全保密產(chǎn)品不許滿足上面提出的安全需求，保證整個(gè)公司網(wǎng)絡(luò)的安全性。</p><p>　　安全保密產(chǎn)品必須通過(guò)國(guó)家主管部門指定的測(cè)評(píng)機(jī)構(gòu)的檢測(cè)；</p><p>　　安全保密產(chǎn)品必須具備自我保護(hù)能力；</p><p>　　安全保密產(chǎn)品必須符合國(guó)家和國(guó)際上的相關(guān)標(biāo)準(zhǔn)；</p><p>　　安全產(chǎn)品必須操作簡(jiǎn)單易用，便于簡(jiǎn)單部署和集中管理。&

104、lt;/p><p>　　7.4、 解決方案</p><p>　　7.4.1 ISA防火墻和iptables防火墻</p><p>　　網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備.它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查,以決定

105、網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。</p><p><b>　　病毒防護(hù)技術(shù)</b></p><p>　　(1)阻止病毒的傳播</p><p>　　在防火墻、SMTP服務(wù)器、網(wǎng)絡(luò)服務(wù)器上安裝病毒過(guò)濾軟件。在桌面PC安裝病毒監(jiān)控軟件。 </p><p>　　(2)檢查和清除病毒</p><p

106、>　　使用防病毒軟件檢查和清除病毒。 </p><p>　　(3)病毒數(shù)據(jù)庫(kù)的升級(jí)</p><p>　　病毒數(shù)據(jù)庫(kù)應(yīng)不斷更新，并下發(fā)到桌面系統(tǒng)。 </p><p>　　(4)在防火墻及PC上安裝控制掃描軟件，禁止未經(jīng)許可的控件下載和安裝。</p><p><b>　　認(rèn)證和數(shù)字簽名技術(shù)</b></p>

107、<p><b>　　(1)認(rèn)證</b></p><p>　　1.路由器認(rèn)證，路由器和交換機(jī)之間的認(rèn)證</p><p>　　2.操作系統(tǒng)認(rèn)證，操作系統(tǒng)對(duì)用戶的認(rèn)證</p><p>　　3.撥號(hào)訪問(wèn)服務(wù)與客戶之間的認(rèn)證</p><p>　　4.電子郵件通訊雙方認(rèn)證</p><p><

108、b>　　(2)數(shù)字簽名技術(shù)</b></p><p>　　認(rèn)證過(guò)程通常涉及到加密和密鑰交換。</p><p>　　Password認(rèn)證</p><p>　　該種認(rèn)證方式是最常用的一種認(rèn)證方式，用于操作系統(tǒng)登錄、telnet等，但由于此種認(rèn)證方式過(guò)程不加密，即password容易被監(jiān)聽(tīng)和解密。 </p><p>　　使用摘要算法

109、的認(rèn)證 </p><p><b>　　基于PKI的認(rèn)證</b></p><p>　　使用公開密鑰體系進(jìn)行認(rèn)證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對(duì)稱加密、對(duì)稱加密、數(shù)字簽名等技術(shù)，很好地將安全性和高效率結(jié)合起來(lái)。這種認(rèn)證方法目前應(yīng)用在電子郵件、應(yīng)用服務(wù)器訪問(wèn)、客戶認(rèn)證、防火墻驗(yàn)證等領(lǐng)域。</p><p><b>　　關(guān)

110、鍵技術(shù)介紹</b></p><p><b>　　VLAN</b></p><p>　　VLAN（虛擬局域網(wǎng)）是對(duì)連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè)VLAN可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來(lái)進(jìn)行分組。基于交換

111、機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬問(wèn)題。</p><p>　　VLAN技術(shù)的出現(xiàn)，使得管理員根據(jù)實(shí)際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域，每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站沒(méi)有限制在同一個(gè)物理范圍中，即這些工作站可以在不同物理LAN網(wǎng)段。由VLA

112、N的特點(diǎn)可知，一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。</p><p>　　因此使用VLAN技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備可搭建安全可靠的網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員通過(guò)控制交換機(jī)的每一個(gè)端口來(lái)控制網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，同時(shí)VLAN和第三層第四層的交換結(jié)合使用能夠?yàn)榫W(wǎng)絡(luò)提供較好的安全措施。</p><p>

113、;　　原理：（virtual loal Area Network）即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新型技術(shù)，IEEE于1999年頒布了用以標(biāo)準(zhǔn)化vlan實(shí)現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。</p><p>　　Vlan技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域，每一個(gè)vlan都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有

114、著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個(gè)vlan內(nèi)的各個(gè)工作站無(wú)須被放置在同一個(gè)物理空間里，同一個(gè)vlan的廣播和單薄流量都不會(huì)轉(zhuǎn)發(fā)到其他vlan中，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。</p><p><b>　　優(yōu)點(diǎn)：</b></p><p><b>　　防范廣播風(fēng)暴 </b></p&g

115、t;<p><b>　　安全 </b></p><p><b>　　降低成本 </b></p><p><b>　　性能提高 </b></p><p><b>　　提高員工效率 </b></p><p>　　簡(jiǎn)化項(xiàng)目管理或應(yīng)用

116、管理 </p><p>　　增加了網(wǎng)絡(luò)連接的靈活性</p><p><b>　　VTP</b></p><p>　　原理：它是一個(gè)OSI參考模型第二層的通信協(xié)議，主要用于管理在同一個(gè)域的網(wǎng)絡(luò)范圍內(nèi)VLANs的建立、刪除和重命名。在一臺(tái)VTP Server 上配置一個(gè)新的VLAN時(shí)，該VLAN的配置信息將自動(dòng)傳播到本域內(nèi)的其他所有交換機(jī)。這些