公司網(wǎng)絡規(guī)劃與設計 畢業(yè)論文

1、<p><b>　　畢業(yè)設計（論文）</b></p><p>　　作 者： 學 號： </p><p>　　系 部： 信 息 工 程 系 </p><p>　　專 業(yè)： 計算機網(wǎng)絡技術(shù) </p>&l

2、t;p>　　題 目： xx有限公司網(wǎng)絡規(guī)劃與設計 </p><p>　　2013 年 4 月 </p><p>　　畢業(yè)設計（論文）中文摘要</p><p>　　畢業(yè)設計（論文）外文摘要</p><p><b>　　目錄</b></p><p><b>　　1 引

3、言1</b></p><p><b>　　1.1研究背景1</b></p><p><b>　　1.2研究意義2</b></p><p>　　1.3企業(yè)網(wǎng)絡建設目標2</p><p>　　1.4論文的組織3</p><p>　　2 企業(yè)網(wǎng)網(wǎng)絡設備與需求

4、設計分析4</p><p>　　2.1企業(yè)網(wǎng)網(wǎng)絡設備4</p><p>　　2.2 企業(yè)網(wǎng)絡需求設計分析6</p><p>　　3 企業(yè)網(wǎng)網(wǎng)絡技術(shù)9</p><p>　　3.1 VLAN技術(shù)9</p><p>　　3.2 WLAN技術(shù)10</p><p>　　3.3 網(wǎng)絡安全技術(shù)

5、10</p><p>　　4 企業(yè)網(wǎng)絡架構(gòu)分析及解決方案14</p><p>　　4.1 企業(yè)網(wǎng)絡架構(gòu)分析14</p><p>　　4.2 企業(yè)網(wǎng)絡架構(gòu)解決方案23</p><p>　　5 公司網(wǎng)絡設計方案27</p><p>　　5.1總公司網(wǎng)絡設計方案27</p><p>　　

6、5.2分公司網(wǎng)絡設計方案37</p><p>　　6 企業(yè)級網(wǎng)絡設計方案的測試與驗收40</p><p>　　6.1物理測試40</p><p>　　6.2功能性測試40</p><p><b>　　結(jié)論42</b></p><p><b>　　致謝43</b>

7、</p><p><b>　　參考文獻43</b></p><p><b>　　1 引言</b></p><p><b>　　1.1研究背景</b></p><p>　　為適應企業(yè)信息化的發(fā)展，滿足日益增長的通訊需求和網(wǎng)絡的穩(wěn)定運行，如今的大型企業(yè)網(wǎng)絡建設比傳統(tǒng)企業(yè)網(wǎng)絡建設

8、提出更高的要求，主要表現(xiàn)在如下幾個方面：</p><p>　　1）現(xiàn)代大型企業(yè)網(wǎng)絡需要高帶寬和高性能，以滿足企業(yè)員工日益增長的通訊需求。隨著計算機技術(shù)的多樣化發(fā)展，基于網(wǎng)絡的各種應用日益增多，如今的企業(yè)網(wǎng)絡已經(jīng)發(fā)展成為一個多業(yè)務承載平臺，它不僅要繼續(xù)承載企業(yè)的辦公自動化和WEB瀏覽等簡單的數(shù)據(jù)業(yè)務，還要承載涉及企業(yè)生產(chǎn)運營的各種業(yè)務應用系統(tǒng)數(shù)據(jù)，以及帶寬和時延都要求很高的IP電話、視頻會議等多媒體業(yè)務，因此數(shù)據(jù)流

9、量將大大增加，尤其是對核心網(wǎng)絡的數(shù)據(jù)交換能力提出前所未有的要求。</p><p>　　2）現(xiàn)代大型企業(yè)網(wǎng)絡需要更高的可靠性和實時性，用以保障企業(yè)生產(chǎn)運營的正常進行。隨著企業(yè)各種業(yè)務需要在計算機網(wǎng)絡上進行操作，如何保障企業(yè)網(wǎng)絡無中斷運行已經(jīng)成為保證企業(yè)正常的生產(chǎn)運營的關(guān)鍵。現(xiàn)代大型企業(yè)網(wǎng)絡在可靠性設計方面主要應從三方面考慮：首先是設備級可靠性設計，這里不僅要考察網(wǎng)絡設備是否實現(xiàn)了關(guān)鍵部件的冗余備份，還要從網(wǎng)絡設備整

10、體設計架構(gòu)、處理引擎種類等多方面去考察；其次是業(yè)務的可靠性設計，這里要注意網(wǎng)絡設備在故障倒換過程中是否對業(yè)務的正常運行有影響；再次是鏈路的可靠性設計，以太網(wǎng)的鏈路安全來自于它的多路徑選擇，所以在企業(yè)網(wǎng)絡建設時要考慮網(wǎng)絡設備是否能夠提供有效的鏈路自愈手段和快速重路由協(xié)議的支持。</p><p>　　3）現(xiàn)代大型企業(yè)網(wǎng)絡應提供更完善的網(wǎng)絡安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟損失。傳統(tǒng)企業(yè)網(wǎng)絡的安全措施

11、主要是通過部署防火墻、IDS、殺毒軟件以及配合交換機或路由器的訪問列表來實現(xiàn)對于病毒和黑客攻擊的防御，但實踐證明這些被動的防御措施并不能有效的解決企業(yè)網(wǎng)絡的安全問題。在企業(yè)網(wǎng)絡已經(jīng)成為公司生產(chǎn)運營的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡必須要有一整套從用戶接入控制，病毒報文識別到主動抑制的一系列安全控制手段，才能有效的保證企業(yè)網(wǎng)絡的穩(wěn)定運行。</p><p><b>　　1.2研究意義</b>&l

12、t;/p><p>　　網(wǎng)絡設計人員通常有能力創(chuàng)建出一個符合要求的企業(yè)網(wǎng)絡，但當問題出現(xiàn)的時候，他們卻不能采用構(gòu)建網(wǎng)絡時的思維來解決這些問題。每一次對網(wǎng)絡的升級、打補丁以及修改都會進一步增加網(wǎng)絡的復雜性。這些問題可能導致網(wǎng)絡難以被人理解，也不易于故障排除。隨著時間的推移，可能導致網(wǎng)絡不如預期的那樣運行良好，隨著網(wǎng)絡規(guī)模的不斷增長而不能很好的擴展，并且不能達到客戶的需求。解決這一問題的方法就是采用規(guī)范化、系統(tǒng)化的手段來構(gòu)

13、建企業(yè)網(wǎng)絡。結(jié)構(gòu)化系統(tǒng)分析的主要目標是能夠更準確的描述用戶需求，但在實際工作中，用戶的需求常常被設計人員忽略或理解錯誤。另一個目標是將項目分解成更易被維護與修改的模塊，使其便于管理。對于大型的網(wǎng)絡設計項目，模塊化顯得十分必要。設計應該依功能劃分，從而使項目更容易管理。傳統(tǒng)的企業(yè)網(wǎng)一般在一個VLAN中，所有的網(wǎng)絡設備處于同一個廣播域內(nèi)，網(wǎng)絡帶寬利用率低，網(wǎng)絡故障多。容易受到蠕蟲等電腦病毒的攻擊，網(wǎng)絡的安全性、穩(wěn)定性、可可靠不能得到保障。合

14、理地規(guī)劃和設計企業(yè)網(wǎng)絡環(huán)境，采用當今流行的網(wǎng)絡三層架構(gòu)，再使用VLAN技術(shù)來合理地劃分網(wǎng)絡區(qū)域，可以有效地隔離網(wǎng)絡廣播風暴，阻斷網(wǎng)絡攻擊，方便網(wǎng)絡的日常維護和管理</p><p>　　企業(yè)網(wǎng)絡建設是一個長期、復雜的工程，設備的配置和管理是其中的主要內(nèi)容。開展企業(yè)網(wǎng)絡設計及實施方案應用研究，是為數(shù)字化企業(yè)建設提供一個可靠的運行平臺，是數(shù)字化企業(yè)安全、穩(wěn)定、可靠運行的基礎，對企業(yè)網(wǎng)絡建設和應用具有重要的指導意義。&l

15、t;/p><p>　　1.3企業(yè)網(wǎng)絡建設目標</p><p>　　隨著科技的不斷發(fā)展，公司的規(guī)模不斷擴大，占地面積也在擴大，員工企業(yè)網(wǎng)絡設計與實現(xiàn)的數(shù)量也在日益增多。目前的網(wǎng)絡已經(jīng)不能滿足當前發(fā)展的需要，主要表現(xiàn)為網(wǎng)絡不穩(wěn)定，網(wǎng)絡抖動現(xiàn)象頻發(fā)，線路連線成本高，周期長，不易管理，安全性差，網(wǎng)絡功能性差，因此建立一個規(guī)范的高效的辦公網(wǎng)絡體系對于公司來說迫在眉睫。</p><p&

16、gt;　　公司將要通過建設一個高速、安全、可靠、可擴充的網(wǎng)絡系統(tǒng)以實現(xiàn)企業(yè)內(nèi)部信息的高度共享和快速傳遞，實現(xiàn)信息的及時交流和全面管理，同時集團領導能夠?qū)崟r、全面、準確地掌握全集團的科研、管理、財務、人事等各方面情況，建立出口信道，以便與Internet互聯(lián)。系統(tǒng)總體設計將本著總體規(guī)劃、分布實施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進性、高度的安全性和可靠性，同時具有良好的開放性和可擴展性。本著為企業(yè)著想，合理使用建設資金，使系統(tǒng)經(jīng)濟可行。公司網(wǎng)絡

17、的主要功能包括:文件傳輸(FTP)、郵件系統(tǒng)(Mall)、數(shù)據(jù)庫服務(DB、WEB服務器)、分布式數(shù)據(jù)存儲、容災備份、在線信息發(fā)布、在線信息咨詢與反饋、數(shù)據(jù)庫查詢、信息共享、本文將圍繞網(wǎng)絡基礎構(gòu)建進行詳細研究討論。</p><p><b>　　1.4論文的組織</b></p><p>　　論文第一章介紹課題來源、研究的內(nèi)容和目的。第二章介紹企業(yè)網(wǎng)中常用的網(wǎng)絡設備，以及

18、網(wǎng)絡設備的主要特點及應用。第三章介紹了常用的網(wǎng)絡技術(shù)，以及相關(guān)網(wǎng)絡技術(shù)在企業(yè)網(wǎng)建設中的應用。第四章介紹了企業(yè)網(wǎng)絡架構(gòu)分析及解決方案。第五章講述了企業(yè)網(wǎng)總體企業(yè)網(wǎng)絡設計及實施方案，以及VLAN的劃分和IP地址的分配。第六章主要是測試與驗收。</p><p>　　2 企業(yè)網(wǎng)網(wǎng)絡設備與需求設計分析</p><p>　　2.1企業(yè)網(wǎng)網(wǎng)絡設備</p><p><b&g

19、t;　　2.1.1路由器</b></p><p>　　路由器是工作在OSI參考模型第三層(網(wǎng)絡層)的網(wǎng)絡設備，其主要功能是檢查數(shù)據(jù)包中與網(wǎng)絡層相關(guān)的信息，然后根據(jù)某些規(guī)則轉(zhuǎn)發(fā)數(shù)據(jù)包。即實現(xiàn)將一個數(shù)據(jù)包從一個網(wǎng)絡發(fā)送到另一個網(wǎng)絡。然而，路由器不但要檢查數(shù)據(jù)包中的數(shù)據(jù)鏈路層的信息，還要檢查數(shù)據(jù)包中的其它信息，所以，路由器要有較高的數(shù)據(jù)處理和數(shù)據(jù)轉(zhuǎn)發(fā)能力。</p><p>　　路由器

20、是連接不同網(wǎng)段或不同網(wǎng)絡協(xié)議的網(wǎng)絡設備。在網(wǎng)絡中進行數(shù)據(jù)傳輸時，路由器根據(jù)所收到的數(shù)據(jù)報頭中的目的地址，選擇一個合適的路徑，然后將數(shù)據(jù)包傳送到下一個路由器，并以此類推，路徑上最后的路由器負責將數(shù)據(jù)包傳送給目的主機。路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的依據(jù)是路由表。表中每條路由項都指明數(shù)據(jù)包到某子網(wǎng)或某主機應通過路由器的哪個物理端口發(fā)送，以及下一跳地址，并將數(shù)據(jù)包最終傳送到目的主機。</p><p>　　a)目的地址/子網(wǎng)掩碼<

21、;/p><p>　　目的地址/子網(wǎng)掩碼(Destination/Mask)，即NetworkDestination和Netmask，用來標識仲數(shù)據(jù)報文的目的主機或目的網(wǎng)絡地址。</p><p><b>　　b)下一跳地址</b></p><p>　　下一跳地址(Next一hop)，即網(wǎng)關(guān)(Gateway)，是最接近目的網(wǎng)絡的下一個路由設備地址。&l

22、t;/p><p><b>　　c)度量值</b></p><p>　　度量值(Metric)，說明IP數(shù)據(jù)包需要經(jīng)過多少跳才能到達目標。主要用于說明到達目標網(wǎng)絡還需要經(jīng)過多少個路由設備進行轉(zhuǎn)發(fā)，路由器依據(jù)度量值選擇一條較優(yōu)的路徑發(fā)送IP數(shù)據(jù)包，保證IP數(shù)據(jù)包能更快的到達目的。</p><p>　　d)默認路由(Defaultroute)</p

23、><p>　　默認路由(Defaultroute)，是0.0.0.0/0，子網(wǎng)掩碼長度為0，表明此路由匹配所有的IP地址。默認路由是一種特殊的靜態(tài)路由，能夠匹配所有IP地址。但因為默認路由的子網(wǎng)掩碼最短，所以只有在沒有其它路由匹配的數(shù)據(jù)包的情況下，系統(tǒng)才會選擇默認路由轉(zhuǎn)發(fā)數(shù)據(jù)包。</p><p><b>　　2.1.2 防火墻</b></p><p&g

24、t;　　防火墻(Firewall)放置在用戶和外部網(wǎng)絡之間，用于將內(nèi)部網(wǎng)和外部外部網(wǎng)絡(如Internet)分開，保護內(nèi)部網(wǎng)絡設備和用戶的.安全。從使用范圍來看，主要分為個人防火墻和網(wǎng)絡防火墻，分別用于保護個人計算機和一個網(wǎng)絡內(nèi)的計算機。從結(jié)構(gòu)組成來看，主要分為軟件防火墻和硬件防火墻，軟件防火墻主要應用于中小型企業(yè)網(wǎng)絡環(huán)境或大型企業(yè)的局部網(wǎng)絡環(huán)境，而在數(shù)據(jù)流量較大的企業(yè)網(wǎng)絡環(huán)境中，通常使用性能更高的硬件防火墻。采用IP封包過濾技術(shù)的防火

25、墻運作在TCP/IP協(xié)議堆棧上，稱為網(wǎng)絡層防火墻。它以枚舉的方式工作，只允許符合特定規(guī)則的封包通過，其余的一概禁止通過防火墻。也可以選擇“否定規(guī)則”，即不符合規(guī)則的封包允許通過。這些規(guī)則通?？梢越?jīng)由管理員定義或修改，許多防火墻設備都內(nèi)置了一些默認規(guī)則。有些防火墻還能利用封包的第二章企業(yè)網(wǎng)網(wǎng)絡設備多樣屬性來進行過濾，例如:來源IP地址、來源端口號、目的IP地址、目的端口號、服務類型(如WWW或是FTP)。也可以根據(jù)通信協(xié)議、TTL值、來源

26、的網(wǎng)域名稱或網(wǎng)段等屬性來進行過濾。最新開發(fā)的防火墻技術(shù)多是在TCP/IP堆棧的“應用層”上運作，稱為應用層防火墻?？梢詫κ褂脼g覽</p><p><b>　　2.1.3 交換機</b></p><p>　　在目前普遍使用的局域網(wǎng)中，交換式以太網(wǎng)技術(shù)已經(jīng)基本替代了共享式以太網(wǎng)技術(shù)，交換機也基本取代了集線器，成為局域網(wǎng)中非常重要的網(wǎng)絡設備，負責在主機之間快速轉(zhuǎn)發(fā)數(shù)據(jù)幀。&

27、lt;/p><p><b>　　a)二層交換機</b></p><p>　　二層交換機工作在數(shù)據(jù)鏈路層，可以識別數(shù)據(jù)包中的MAC地址信息，根據(jù)MAC地址進行轉(zhuǎn)發(fā)，并將這些MAC地址與對應的端口信息保存在交換機的MAC地址表中。交換機采用CSMA/CD機制檢測和避免沖突，交換機各個端口能夠獨立進行沖突檢測、發(fā)送和接收數(shù)據(jù)，相互之間沒有干擾。因此，交換機的各個端口屬于不同的沖

28、突域，各端口獨享帶寬。二層交換機主要安裝在網(wǎng)絡的接入層，用于連接網(wǎng)絡終端設備。</p><p><b>　　b)三層交換機</b></p><p>　　大型局域網(wǎng)絡一般按照部門、地域等因素劃分成一個個小的局域網(wǎng)，這提高了網(wǎng)絡的安全可靠性，同時也阻斷了網(wǎng)絡內(nèi)部設備之間的網(wǎng)際互訪。單純的使用二層交換機不能實現(xiàn)網(wǎng)際互訪，使用路由器又會增加網(wǎng)絡建設成本，限制網(wǎng)絡的速度和網(wǎng)絡規(guī)

29、模，目前一般多采用具有路由功能的三層交換機解決以上問題。三層交換機也稱為路由交換機，它綜合實現(xiàn)了路由和二層交換機的功能。路由器相當于存在交換機中的一個路由軟件模塊，實現(xiàn)三層路由轉(zhuǎn)發(fā);而交換機相當于二層交換機模塊，實現(xiàn)VLAN內(nèi)的二層快速轉(zhuǎn)發(fā)。工作時采用一次尋址多次轉(zhuǎn)發(fā)的機制，加快了大型局域網(wǎng)絡內(nèi)部數(shù)據(jù)的快速轉(zhuǎn)發(fā)。</p><p><b>　　c)四層交換機</b></p>&l

30、t;p>　　四層交換機能夠工作在OSI參考模型的第四層，它的數(shù)據(jù)傳輸不僅僅依據(jù)以C地址或源/目標IP地址，而且依據(jù)TCP/UDP(第四層)應用端口號。第四層交換功能就像是虛IP，指向物理服務器。它傳輸?shù)臉I(yè)務服從的協(xié)議多種多樣，有HTTP、FTP、NFS、Telnet或其他協(xié)議。這些業(yè)務在物理服務器基礎上，需要復雜的載量平衡。在IP數(shù)據(jù)傳輸時，業(yè)務類型由終端TCP或UDP端口地址來決定，即同時由源端和終端IP地址、TCP和UDP端口

31、共同決定。四層交換機現(xiàn)在只有思科等少數(shù)公司有應用產(chǎn)品，其他公司多數(shù)還處于研發(fā)階段，市場使用較少。</p><p>　　2.2 企業(yè)網(wǎng)絡需求設計分析</p><p>　　2.2.1 網(wǎng)絡需求</p><p>　　目前，公司分為總公司和分公司兩心、大型服務器和接入等，分公司與總公司出差的員工利用VPN網(wǎng)關(guān)能夠時刻訪問公要為其分析當前面臨的主要問題，確定公司基礎上選擇設計

32、適合的網(wǎng)絡結(jié)構(gòu)和網(wǎng)絡技術(shù)各方面詳細闡述。</p><p>　　a)企業(yè)寬帶性能需求</p><p>　　隨著計算機技術(shù)的高速發(fā)展，集團公要承載企業(yè)的辦公自動化、WEB瀏覽等運營的各種業(yè)務應用以及帶寬和時延都很高因此，數(shù)據(jù)量大大增加，這就要求必須增骨干層必須具有千兆位級帶寬和處理性能，個暢通無阻的“高品質(zhì)”大型企業(yè)網(wǎng)，從增長的需求。</p><p><b>

33、　　b)穩(wěn)定可靠需求</b></p><p>　　隨著公司的發(fā)展多種業(yè)務應用都將絡通信將成為企業(yè)正常運營的保障。因此，才能保證網(wǎng)絡的實時暢通?，F(xiàn)代企業(yè)網(wǎng)絡在可靠性設計上主要有以設備的可靠性:不但網(wǎng)絡設備的關(guān)鍵部引擎種類，整體設計構(gòu)架也都要考慮到。業(yè)務的可靠性:當網(wǎng)絡設備發(fā)生問題進務的正常運行。</p><p><b>　　c)服務質(zhì)量需求</b></

34、p><p>　　為了滿足企業(yè)網(wǎng)承載多種業(yè)務的需求，就必OS保障。隨著企業(yè)發(fā)展，企業(yè)的業(yè)務不斷增多也在增加，如果單純的增大帶寬不能夠保障數(shù)據(jù)夠?qū)τ诰o急的應用事件和不同重要程度的事件進數(shù)據(jù)流。另外企業(yè)網(wǎng)絡也能夠智能化的調(diào)度網(wǎng)絡務的帶寬、優(yōu)先級、時延等。大型企業(yè)網(wǎng)絡系統(tǒng)務的保障。</p><p><b>　　d)網(wǎng)絡安全需求</b></p><p>　　

35、為了阻止黑客和病毒的攻擊，最大程度的減提供更安全更完善的解決方案。傳統(tǒng)的企業(yè)網(wǎng)墻、IDS、殺毒軟件等，以及配合交換機和路擊，但實踐證明這些被動的防御措施并不能有代企業(yè)網(wǎng)絡必須要有一整套從用戶接入控制、安全控制手段，以保障企業(yè)網(wǎng)絡的穩(wěn)定運行。</p><p>　　e)網(wǎng)絡智能化管理需求</p><p>　　為了適應網(wǎng)絡規(guī)模日益擴大、維護工作更加方案應更加智能。</p><

36、p><b>　　2.2.2設計分析</b></p><p><b>　　a)設計目標</b></p><p>　　在網(wǎng)絡層面上，建設一個以現(xiàn)代網(wǎng)絡技術(shù)為覆蓋公司主要樓宇的企業(yè)主干網(wǎng)，將企業(yè)的網(wǎng)連接起來，并與有關(guān)廣域網(wǎng)相連，以便在的信息資源。在此基礎上形成結(jié)構(gòu)合理、研發(fā)、交流和管理工作的軟硬件環(huán)境，開發(fā)人員提供充分的網(wǎng)絡信息服務。系統(tǒng)總體設計

37、將本著總體規(guī)劃，分布實性、高度的安全可靠性，同時，具有良好的合理使用建設資金，使系統(tǒng)經(jīng)濟可行。</p><p><b>　　b)設計原則</b></p><p>　　本著少花錢辦大事的原則，充分利用有限的投資，在保證網(wǎng)絡先進行的前提下，選用性能價格比最好的設備，企業(yè)網(wǎng)建設遵循以下原則:</p><p><b>　　1） 先進性<

38、/b></p><p>　　以先進、成熟的網(wǎng)絡通信技術(shù)進行組網(wǎng)，支持數(shù)據(jù)、軟件等實際應用，用基于交換的技術(shù)替代傳統(tǒng)的基于路由的技術(shù)。</p><p>　　2） 標準化和開放性</p><p>　　網(wǎng)絡協(xié)議采用符合IS0等技術(shù)標準，包括IEEE、ITUT、ANSI等制定的協(xié)議，采用遵從國際和國家標準的網(wǎng)絡設備。</p><p><b

39、>　　3）可靠性和可用性</b></p><p>　　選用高可靠性的產(chǎn)品和技術(shù)，充分考慮系統(tǒng)在程序運行時的應變能力和容錯能力，確保整個系統(tǒng)的安全與可靠。</p><p>　　4) 靈活性和兼容性</p><p>　　選用符合國際發(fā)展潮流的國際標準的軟件技術(shù)，使系統(tǒng)具有可靠、可擴展和可升級等特點，保證今后可迅速采用計算機網(wǎng)絡發(fā)展的新技術(shù)，同時為現(xiàn)存不

40、同的網(wǎng)絡設備、小型機、工作站、服務器和微機等設備提供入網(wǎng)和互聯(lián)手段。</p><p>　　5) 實用性和經(jīng)濟性</p><p>　　從實用性和經(jīng)濟性出發(fā)，著眼于近期目標和長期的發(fā)展，選用先進的設備，進行最佳性能組合，利用有限的投資構(gòu)造一個性能最佳的網(wǎng)絡系統(tǒng)。</p><p>　　6) 擴展性和升級能力</p><p>　　網(wǎng)絡設計應具有良好的

41、擴展性和升級能力，選用具有良好升級能力和擴展性企業(yè)網(wǎng)絡設計與實現(xiàn)的設備。在以后對該網(wǎng)絡進行升級和擴展時，必須能保護現(xiàn)有投資。應支持多種網(wǎng)絡協(xié)議、多種高層協(xié)議和多媒體應用。</p><p><b>　　7) 網(wǎng)絡的靈活性</b></p><p>　　系統(tǒng)的靈活性主要表現(xiàn)在軟件配置與負載平衡等方面，配合交換機產(chǎn)品與路由器產(chǎn)品支持的最先進的虛擬網(wǎng)絡技術(shù)，整個網(wǎng)絡系統(tǒng)可以通過

42、軟件快速簡便地將用戶或用戶組從一個網(wǎng)絡轉(zhuǎn)移到另一個網(wǎng)絡，可以跨越辦公室、辦公樓，而無需任何硬件的改變，以適應結(jié)構(gòu)的變化。同時也可以通過平衡網(wǎng)絡的流量，以提高網(wǎng)絡的性能。</p><p>　　3 企業(yè)網(wǎng)網(wǎng)絡技術(shù)</p><p>　　3.1 VLAN技術(shù)</p><p>　　VLAN(VirtualLocalAreaNetwork，虛擬局域網(wǎng))是為解決以太網(wǎng)的廣播問題

43、和安全性而提出的一種技術(shù)，它在以太網(wǎng)幀的基礎上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)可以限制廣播范圍，并能夠形成虛擬工作組動態(tài)管理網(wǎng)絡。避免了交換機所有端口都處于一個廣播域內(nèi)，導致一臺計算機發(fā)出的廣播幀，局域網(wǎng)中的所有計算機都能接收到，保證局域網(wǎng)的有限網(wǎng)絡資源不會被無用的廣播信息所占用。VLAN通過將局域網(wǎng)內(nèi)的設備按照邏輯地址劃分成一個個網(wǎng)段，而

44、不是物理地劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興技術(shù)。IEEE于1999年頒布了用以標準化VLAN實現(xiàn)方案的802.IQ協(xié)議標準草案，VLAN技術(shù)允許將一個物理的LAN劃分成多邏輯上的LAN，也稱為虛擬局域網(wǎng)，或VLAN。每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。由于它是邏輯地而不是物理地劃分，所以，同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站可以不屬于同一個物

45、理LAN網(wǎng)段。一個VLAN</p><p>　　a)基于端口的VLAN劃分</p><p>　　基于端口的VLAN是最簡單、最有效的VLAN劃分方法，它按照設備端口來定義VLAN成員。將指定端口加入到指定VLAN中之后，該端口就可以轉(zhuǎn)發(fā)指定VLAN的數(shù)據(jù)幀。是當前最常用的VLAN劃分方法。</p><p>　　b)基于MAC地址的VLAN劃分</p>

46、<p>　　基于MAC地址的劃分是根據(jù)每個主機的MAC地址來劃分VLAN。交換機維護一張VLAN映射表，這個VLAN表記錄MAC地址和VLAN的對應關(guān)系。這種方法是初始配置時，所有用戶的MAC地址都需要收集，并逐個配置，如果用戶很多，配置的工作量是很大的，此外，這種劃分的方式也導致了交換機執(zhí)行效率降低。實際應用中使用較少。</p><p>　　c)基于協(xié)議的VLAN劃分</p><p

47、>　　基于協(xié)議的VLAN劃分是根據(jù)端口收到的報文所屬的協(xié)議或協(xié)議族類型來給報文分配不同的VLANID?？捎脕韯澐諺LAN的協(xié)議族有IP、IPX等。交換機從端口接收到以太網(wǎng)幀后，根據(jù)幀中所封裝的協(xié)議類型來確定報文所屬的VLAN，然后將數(shù)據(jù)幀自動劃分到指定的VLAN中傳輸。因為目前網(wǎng)絡中絕大多數(shù)主機都運行IP協(xié)議，運行其他協(xié)議的主機很少，，實際當中應用比較少見。</p><p>　　d)基于子網(wǎng)的VLAN劃分&

48、lt;/p><p>　　基于IP子網(wǎng)的VLAN是根據(jù)報文源IP地址及子網(wǎng)掩碼作為依據(jù)來進行劃分的。設備從端口接收到報文后，根據(jù)報文中的源IP地址，找到與現(xiàn)有VLAN的對應關(guān)系，然后根據(jù)IP地址，自動將相應的網(wǎng)絡終端劃分到對應的VLAN中。這種VLAN劃分方法管理配置靈活，網(wǎng)絡用戶自由移動位置而不需要重新配置主機或交換機。但是，這種方法也有它不足的一面，因為為了判斷用戶屬性，必須檢查每個數(shù)據(jù)包的網(wǎng)絡層地址，這將耗費交換

49、機大量資源，并且同一個端口可能存在多個VLAN用戶，這對廣播的抑制效率有所下降，因此實際應用也較少。</p><p>　　3.2 WLAN技術(shù)</p><p>　　WLAN(wireleSSLoealAreaNetwork，無線局域網(wǎng))技術(shù)，是指應用無線通信技術(shù)將網(wǎng)絡終端設備互連起來，以無線信道作為傳輸介質(zhì)的計算機局域網(wǎng)。WLAN是有線網(wǎng)絡的重要補充和延伸，并成為計算機網(wǎng)絡中一個非常重要的

50、組成部分。無線局域網(wǎng)本質(zhì)的特點是不再使用通信電纜將計算機與網(wǎng)絡連接起來，而通過無線的方式連接，從而使網(wǎng)絡的構(gòu)建和終端的移動更加靈活。有線以太網(wǎng)MAC層標準協(xié)議為CSMA/CD(CarriersenseMultipleAeeesswithCollisionDetection，載波偵聽多點接入/沖突檢測)，而無線網(wǎng)絡無法做到?jīng)_突檢測，于是采用了CSMA/CA(CarrierSenseMultipleAeeeSSwithCollisionAv

51、oidanee，載波偵聽多點接入/避免沖撞)。有線以太網(wǎng)有沖突檢測功能，無線以太網(wǎng)沒有沖突檢測功能。當網(wǎng)絡中存在信號沖突時，CSMA/CD可以及時檢測出來并進行回避，而CSMA/CA是在數(shù)據(jù)發(fā)送前，通過避讓機制杜絕了沖突的發(fā)生。</p><p>　　3.3 網(wǎng)絡安全技術(shù)</p><p>　　網(wǎng)絡安全是指網(wǎng)絡硬件平臺及其之上傳輸?shù)男畔⒌陌踩W(wǎng)絡安全技術(shù)就是保護網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中

52、的數(shù)據(jù)不被破壞、更改、泄露，系統(tǒng)能夠連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。網(wǎng)絡安全涉及的內(nèi)容包括技術(shù)方面的問題和管理方面的問題，技術(shù)方面主要防范非法攻擊和破壞，管理方面主要防范人為因素對網(wǎng)絡安全的影響，只有兩個方面相互補充，才能保證網(wǎng)絡的安全性。下面是網(wǎng)絡安全的常用關(guān)鍵技術(shù)。</p><p>　　a)ACL包過濾技術(shù)</p><p>　　ACL(Access Control List，訪問控

53、制列表)，是由一系列有順序的規(guī)則組成，這些規(guī)則(rule)是由數(shù)據(jù)包的源地址、目的地址、端口號等定義成匹配條件，并執(zhí)行允許(permit)或拒絕(deny)操作。ACL包過濾技術(shù)是應用在網(wǎng)絡設備的接口上的，網(wǎng)絡設備根據(jù)ACL包過濾的配置條件對進入和離開的數(shù)據(jù)包進行過濾，即決定對數(shù)據(jù)包是放行或丟棄。使用時需要先定義ACL，然后在網(wǎng)絡設備的接口上應用ACL策略。ACL可以限制網(wǎng)絡流量、提高網(wǎng)絡性能。如，可以根據(jù)數(shù)據(jù)包的協(xié)議配置ACL規(guī)劃，指

54、定某些數(shù)據(jù)包可以優(yōu)先級通過;而另一些數(shù)據(jù)包的優(yōu)先級別相對較低，在網(wǎng)絡相對繁忙時，傳輸速度下降或數(shù)據(jù)被丟棄。ACL還是提供網(wǎng)絡安全訪問的基本手段。通過配置ACL規(guī)則，可以設定允許某些主機訪問某些主機和網(wǎng)絡，而拒絕某些主機訪問另一些主機或網(wǎng)絡。合理配置和使用ACL可以極大地提高網(wǎng)絡的安全性、可靠性、穩(wěn)定性等，是保證網(wǎng)絡正常運行的主要技術(shù)。</p><p><b>　　b)NAT技術(shù)</b><

55、;/p><p>　　NAT(網(wǎng)絡地址轉(zhuǎn)換)是將一個IP數(shù)據(jù)報報頭中的IP地址轉(zhuǎn)換為另一個IP地址的過程，主要用于實現(xiàn)私有網(wǎng)絡訪問外部網(wǎng)絡的功能。常見的NAT技術(shù)有一對一地址轉(zhuǎn)換、多對一地址轉(zhuǎn)換、多對多地址轉(zhuǎn)換等。</p><p><b>　　c)NAT的實現(xiàn)</b></p><p>　　方式主要有靜態(tài)轉(zhuǎn)換、動態(tài)轉(zhuǎn)換、端口多路復用(PAT)。<

56、/p><p><b>　　1)靜態(tài)轉(zhuǎn)換</b></p><p>　　是IP地址對是一對一的轉(zhuǎn)換，可以實現(xiàn)內(nèi)部網(wǎng)絡的私有IP地址轉(zhuǎn)換與公有IP地址之間的轉(zhuǎn)換。主要用于發(fā)布企業(yè)網(wǎng)絡服務器，對服務器具有隱藏和保護的作用。</p><p><b>　　2)動態(tài)轉(zhuǎn)換</b></p><p>　　是IP地址多對多的

57、轉(zhuǎn)換，_可以實現(xiàn)內(nèi)部網(wǎng)絡的多個私有IP地址與外部多個公有IP地址之間的轉(zhuǎn)換。主要用于ISP提供的合法IP地址略少于網(wǎng)絡內(nèi)部的計算機數(shù)量的情況，可以采用動態(tài)轉(zhuǎn)換的方式實現(xiàn)內(nèi)部用戶的共享外網(wǎng)連接。</p><p><b>　　3)端口多路復用</b></p><p>　　是內(nèi)部網(wǎng)絡多個IP地址對應外部一個或多個IP地址的轉(zhuǎn)換方式，通過端口號來建立內(nèi)部計算機IP地址與外部計

58、算機IP地址的端口對應關(guān)系。主要用于內(nèi)部網(wǎng)絡的所有用戶可共享一個或多個合法外部IP地址實現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網(wǎng)絡內(nèi)部的所有主機，有效避免來自Internet的攻擊。端口多路復用是目前企業(yè)應用最多的共享上網(wǎng)方式。</p><p><b>　　d)AAA技術(shù)</b></p><p>　　AAA(Authentiea

59、tion，AuthorizationandAeeounting，認證、授權(quán)和計費)是一套綜合性的安全架構(gòu)體系，提供了用戶認證、授權(quán)和計費等三種安全功能，采用客戶端服務器模式。與其他安全技術(shù)一起配合使用，可極大地提高網(wǎng)絡系統(tǒng)的安全性 。</p><p><b>　　1)認證</b></p><p>　　認證系統(tǒng)用于判斷訪問用戶的身份，確認訪問者是否為合法的網(wǎng)絡用戶。在網(wǎng)

60、絡中一般由認證服務器提供用戶認證功能。</p><p><b>　　2)授權(quán)</b></p><p>　　對通過認證的用戶根據(jù)用戶類別不同賦予用戶不同的權(quán)限，確定用戶所能夠得到的服務，以及可以訪問的網(wǎng)絡資源。</p><p>　　d)交換機端口安全技術(shù)</p><p>　　交換機的端口安全技術(shù)主要是基于802.lx協(xié)議，

61、提供了有線和無線局域網(wǎng)的安全，主要使用端口隔離和端口綁定技術(shù)，用于提供網(wǎng)絡的安全性。</p><p><b>　　1)端口隔離技術(shù)</b></p><p>　　使用端口隔離技術(shù)可以實現(xiàn)同一個VLAN內(nèi)端口之間的隔離，用戶將端口加入到隔離組中，就可以實現(xiàn)端口之間二層數(shù)據(jù)的隔離，使用同一VLAN內(nèi)的用戶也不能相互直接訪問，使用端口隔離技術(shù)可以提供更加安全、靈活的組網(wǎng)方案。

62、</p><p><b>　　2)端口綁定技術(shù)</b></p><p>　　交換機支持“MAC”、“MAC+IP”和“MAC+IP+端口”等綁定功能，實現(xiàn)了設備對轉(zhuǎn)發(fā)數(shù)據(jù)的過濾控制，提高網(wǎng)絡的安全性，配置交換機的綁定功能后，只有指定了MAC、仲的主機才能在確定的連接端口發(fā)送和接收數(shù)據(jù)，訪問網(wǎng)絡資源。</p><p>　　e)VPN虛擬專用網(wǎng)技術(shù)

63、</p><p>　　現(xiàn)在對企業(yè)網(wǎng)絡資源的訪問不只在企業(yè)內(nèi)部完成，有時還要通過互聯(lián)網(wǎng)訪問企業(yè)網(wǎng)絡內(nèi)部資源，如何保證數(shù)據(jù)傳輸?shù)陌踩允蔷W(wǎng)絡訪問必須解決的問題。VPN技術(shù)正是為了解決遠程訪問安全性而提出的技術(shù)方案。</p><p>　　VPN技術(shù)是在企業(yè)網(wǎng)一端口設置VPN服務器，遠程用戶在互聯(lián)網(wǎng)上建立一條虛擬專用通道，連接到企業(yè)網(wǎng)的VPN服務器，這條通道邏輯上的獨立的，不受其他網(wǎng)絡傳輸數(shù)據(jù)的影

64、響，因此具有較高的安全性。VPN技術(shù)已經(jīng)在廣泛應用于網(wǎng)絡的遠程接入。</p><p>　　4 企業(yè)網(wǎng)絡架構(gòu)分析及解決方案</p><p>　　4.1 企業(yè)網(wǎng)絡架構(gòu)分析</p><p>　　4.1.1物理層分析</p><p>　　物理層是0SI(OpenSystemIntereonLnection)參考模型中的第一層，同時，在構(gòu)建網(wǎng)絡中也是

65、最基礎的一層，它為境設備之間的數(shù)據(jù)通信提供傳輸媒體以及互聯(lián)設備，為數(shù)據(jù)傳輸提供可靠的環(huán)境。在物理層的搭建中選擇何種網(wǎng)絡技術(shù)決定了未來網(wǎng)絡是否成功，是否具有高性能和擴展性，在進行網(wǎng)絡更新時能否實現(xiàn)平滑過渡。而網(wǎng)絡技術(shù)有很多，例如以太網(wǎng)、百兆以太網(wǎng)、FDDI、TokenRing、ATM、千兆以太網(wǎng)。其中百兆太網(wǎng)在局域網(wǎng)中應用的最廣泛。百兆以太網(wǎng)是一個成熟的組網(wǎng)技術(shù)，造價比較低，但性價比高，在企業(yè)網(wǎng)絡的接入層與匯聚層的應用能夠很好的解決企業(yè)網(wǎng)

66、絡的瓶頸問題。</p><p>　　FDDI也是一個成熟的組網(wǎng)技術(shù)，但是它造價高，技術(shù)復雜，而且很難升級，不適合本次改造項目。</p><p>　　ATM技術(shù)成熟而且復雜，是多媒體應用系統(tǒng)的理想平臺，但帶寬利用率低，不適合本次改造項目。</p><p>　　由于本次網(wǎng)絡項目要求，桌面達到百兆位的帶寬，骨干達到千兆位的帶寬，因此在選擇組網(wǎng)技術(shù)上我們選擇百兆以太網(wǎng)技術(shù)應

67、用于接入與匯聚層，在核心層我們采用千兆以太網(wǎng)技術(shù)。下面是有關(guān)百兆以太網(wǎng)和千兆以太網(wǎng)涉及的技術(shù)參數(shù)說明。</p><p><b>　　a)百兆以太網(wǎng)</b></p><p>　　快速以太網(wǎng)又稱百兆以太網(wǎng)，主要解決網(wǎng)絡帶寬在局域網(wǎng)絡應用中的瓶頸問題。其協(xié)議標準為1995年頒布的IEEE802.3u，可支持100Mb/s的數(shù)據(jù)傳輸速率，并且支持共享式與交換式兩種使用環(huán)境，在

68、交換式以太網(wǎng)環(huán)境中可以實現(xiàn)全雙工通信。</p><p>　　1) 100Base一T4</p><p>　　l00Base一T4是為了利用大量的3類音頻級布線而設計的。它使用4對雙絞線，3對用于同時傳送數(shù)據(jù)，第4對用于沖突檢測時的接收信道，信號頻率為25MHz，企業(yè)網(wǎng)絡設計與實現(xiàn)因而可以使用數(shù)據(jù)級3、4或5類非屏蔽雙絞線，也可以使用音頻級3類線纜。最大網(wǎng)段長度為1O0m，采用EIA568

69、布線標準;由于沒有專用的發(fā)送或接收線路，所以100Base一T4不能進行全雙工操作;100Base一T4采用比曼徹斯特編碼更高級的6B/6T編碼法。</p><p>　　2) 1OOBase一TX</p><p>　　使用兩對5類非屏蔽雙絞線或1類屏蔽雙絞線，一對用于發(fā)送據(jù)，另一對用于接收數(shù)據(jù)，最大網(wǎng)段的長度為100m，布線符合EIA568標準;采用4B/SB編碼法，使其可以125MHz

70、的串行數(shù)據(jù)流來傳送數(shù)據(jù);使用MLT-3(多電平傳輸一3)波形法來降低信號頻率到41.6MHz(=125/3)。100Base一TX是100Base一T中使用最廣的物理層規(guī)范。</p><p>　　3） 100Base一FX</p><p>　　使用多模(62.5或125um)或單模光纜，連接器可以是MIC/FDDI連接器、ST連接器或廉價的SC連接器。最大網(wǎng)段長度根據(jù)連接方式不同而變化，

71、例如，對于多模光纖的交換機一交換機連接或交換機一網(wǎng)卡連接最大允許長度為412m，如果是全雙工鏈路，則可達到Z000m。100Base一FX主要用于高速主干網(wǎng)，或遠距離連接，或有強電氣干擾的環(huán)境，或要求高安全保密鏈接的環(huán)境。</p><p><b>　　b)千兆位以太網(wǎng)</b></p><p>　　千兆位以太網(wǎng)基本保留了原有以太網(wǎng)的幀結(jié)構(gòu)，所以向下和以太網(wǎng)與快速以太網(wǎng)完

72、全兼容，從而原有的10Mb/S以太網(wǎng)或快速以太網(wǎng)可以方便地升級到千兆位以太網(wǎng)。千兆位以太網(wǎng)標準實際上包括支持光纖傳輸?shù)腎EEE802.3z和支持銅纜傳輸?shù)腎EEE802.3ab兩大部分。</p><p>　　1） 100Base一LX</p><p>　　1OOBase一LX是一種使用長波激光作為信號源的網(wǎng)絡介質(zhì)技術(shù)，在收發(fā)器上配置波長為1270nm一1355nm(一般為1300nm)的激

73、光傳輸器，既可以驅(qū)動多模光纖，又可以驅(qū)動單模光纖，連接光纖所使用的SC型光纖連接器與快速以太網(wǎng)IOOFX所使用的連接器的型號相同。looBase一LX可采用芯徑為50um和62.5um的多模光纖，工作波長為850nln，全雙工下最長傳輸距離為550m，數(shù)據(jù)編碼方法為SB/IOB，適用于作為大樓網(wǎng)絡系統(tǒng)的主干通路。</p><p>　　l000Base一LX可采用芯徑為9um的單模光纖，工作波長為1300nm或IS

74、50nm，數(shù)據(jù)編碼方法為8B/10B，適用于校園或城域主干網(wǎng)。</p><p>　　2） 10OOBase一SX</p><p>　　1000Base一SX是一種使用短波激光作為信號源的網(wǎng)絡介質(zhì)技術(shù)，收發(fā)器上所配置的波長為77Onm一860nm(一般為88Onm)的激光傳輸器不支持單模光纖，只能驅(qū)動多模光纖。l000Base一sx采用芯徑為62.5um和50um的多模光纖。使用62.5m多

75、模光纖全雙工模式下最長有效距離為275m;使用50um多模光纖全雙工模式下最長有效距離為550m。1000Base一SX所采用的數(shù)據(jù)編碼方法為8B/10B，所使用的光纖連接器與1O00Base一LX一樣也是SC型連接器，適用于作為大樓網(wǎng)絡系統(tǒng)的主干通路。</p><p>　　3） 1000Base一CX</p><p>　　1000Base一Cx使用一種特殊規(guī)格的IS0高質(zhì)量平衡雙絞線對的

76、屏蔽銅纜作為網(wǎng)絡介質(zhì)，最長傳輸距離為25m，傳輸速率為1.25Gb/s，使用9芯D型連接器連接電纜，系統(tǒng)數(shù)據(jù)編碼方法采用SB/IOB，1000Base一CX適用于交換機之間的短距離連接，尤其適用于千兆位主干交換機和主服務器之間的短距離連接，適用于集群網(wǎng)絡設備的互連，例如機房內(nèi)連接網(wǎng)絡服務器。</p><p>　　4） 1000Base一T</p><p>　　1000Base一T采用4對5

77、類UTP雙絞線，傳輸距離為100m，傳輸速率為1Gb/s，主要用于結(jié)構(gòu)化布線中同一層建筑的通信，從而可以利用以太網(wǎng)或快速以太網(wǎng)已鋪設的UTP電纜，也可被用作大樓內(nèi)的網(wǎng)絡主干。</p><p>　　4.1.2鏈路層分析</p><p>　　數(shù)據(jù)鏈路層是OSI參考模型中的第二層，主要用來完成數(shù)據(jù)鏈路的建立、拆除。對數(shù)據(jù)的檢錯、糾錯是數(shù)據(jù)鏈路層的基本任務。在數(shù)據(jù)鏈路層我們會采用VLAN (Vir

78、tualLAN虛擬局域網(wǎng))技術(shù)來解決部門間信息隔離的問題，同時也方便對各部門的管理。對外我們采用PPP協(xié)議來保障鏈路的鏈接。</p><p>　　a)IEEESO2.IQ</p><p>　　IEEE802.IQ規(guī)范為標識帶有VLAN成員信息的以太網(wǎng)幀建立一種標準方法。IEEE802.IQ標準定義了VLAN網(wǎng)橋操作，從而允許在橋接局域網(wǎng)結(jié)構(gòu)中實現(xiàn)定義、企業(yè)網(wǎng)絡設計與實現(xiàn)運行以及管理VLAN

79、拓撲結(jié)構(gòu)等操作。802.IQ標準主要用來解決如何將大型網(wǎng)絡劃分為多個小網(wǎng)絡，如此廣播和組播流量就不會占據(jù)更多的帶寬。此外802.IQ標準還提供了更高的網(wǎng)絡段間安全性。</p><p><b>　　b)PPP協(xié)議</b></p><p>　　PPP(Point-to-Point Protoeol點到點協(xié)議)是為在同等單元之間傳輸數(shù)據(jù)包的簡單鏈路設計的鏈路層協(xié)議。這種鏈路

80、提供全雙工操作，并按照順序傳遞數(shù)據(jù)包。1992年IntemetITF成立了一個小組來指定點到點的數(shù)據(jù)鏈路協(xié)議一InternEt標準。該標準命名為PPP(Point-to-Point Protoeol)即點到點協(xié)議，經(jīng)過1993年和1994年的修訂，現(xiàn)在已成為因特網(wǎng)的正式標準。PPP是一種分層的協(xié)議，最初由LCP發(fā)起對鏈路的建立、配置和測試。LCP初始化后，通過一種或多種“網(wǎng)絡控制協(xié)議(NCP)”來傳送特定協(xié)議族的通信。在RFC1332文

81、檔中描述的IP協(xié)議控制協(xié)議(IPCP)允許在PPP鏈路上傳輸IP分組。PPP提供了一種在點對點的鏈路上封裝多協(xié)議數(shù)據(jù)報的標準方法。它具有以下特性:</p><p>　　1） 能夠控制數(shù)據(jù)鏈路的建立; </p><p>　　2) 能夠?qū)P地址進行分配和使用;</p><p>　　3）允許同時采用多種網(wǎng)絡協(xié)議; </p><p>　　4)

82、 能夠配置和測試數(shù)據(jù)鏈路;</p><p>　　5） 支持身份驗證; </p><p>　　6) 有協(xié)商選項，能夠?qū)W(wǎng)絡層的地址和數(shù)據(jù)壓縮等進行協(xié)商。</p><p>　　4.1.3網(wǎng)絡層分析</p><p>　　網(wǎng)絡層是OSI參考模型的第三層，在這一層網(wǎng)絡設備利用路由協(xié)議為數(shù)據(jù)包選擇合適路徑將數(shù)據(jù)送到目的地。路由協(xié)議

83、的作用是用來維護路由信息，建立路由表，決定最佳路徑。在網(wǎng)絡層路由協(xié)議有很多，根據(jù)路由選擇協(xié)議的算法不同劃分如下:</p><p>　　a) 距離矢量(Distance Vector):根據(jù)距離矢量算法，確定網(wǎng)絡中節(jié)點的方向與距離。包括RIP路由協(xié)議及IGRP(CISCO私有協(xié)議)路由協(xié)議。</p><p>　　b） 鏈路狀態(tài)(Link-state):根據(jù)鏈路狀態(tài)算法，計算生成網(wǎng)絡的拓撲

84、。包括OSPF路由協(xié)議與IS-IS路由協(xié)議。</p><p>　　c） 混合算法(Hybird):根據(jù)距離矢量和鏈路狀態(tài)的某些方面進行集成。包括EIGRP路由協(xié)議(CISCO私有協(xié)議)。</p><p>　　d)距離矢量路由協(xié)議</p><p>　　距離矢量名稱的由來是因為路由是以矢量(距離、方向)的方式通告出去，其中距離是根據(jù)度量定義的，方向是根據(jù)下一跳路由器定義

85、的。比如，“某一路由器X的方向可以到達目標Y，距此5跳距離”。這個表述隱含了每個路由器都向鄰接路由器學習它們所觀察的路由信息，然后在再向外通告自己觀察到的路由信息。因為每個路由器在信息上都依賴于鄰接路由器，而鄰接路由器又從它們的鄰居那里學習路由，依次類推，所以距離矢量路由選擇協(xié)議有時又被認為是“依照傳聞進行路由選擇”的協(xié)議。屬于距離矢量路由選擇協(xié)議如下:</p><p>　　1） IP路由選擇信息協(xié)議(RIP)

86、 </p><p>　　2) Xerox網(wǎng)絡系統(tǒng)的XNSRIP </p><p>　　3) CISCO的Intemet網(wǎng)管路由選擇協(xié)議(IGRP) </p><p>　　4) DEC的DNA階段4 </p><p>　　5) AppleTalk的路由選擇表維護協(xié)議(RTMP)</p&g

87、t;<p>　　e)鏈路狀態(tài)路由協(xié)議如下:</p><p>　　1) IP開放式最短路徑優(yōu)先(OSPF)</p><p>　　2) CLNS或IPIS0的中介系統(tǒng)到中介系統(tǒng)(IS一IS)</p><p>　　3) DEC的DNS階段5</p><p>　　4) Novell的Netware鏈路服務協(xié)議(NLSP)在本次項目

88、中，由于網(wǎng)絡設備比較多，網(wǎng)絡環(huán)境也相對復雜，為了能夠在最企業(yè)網(wǎng)絡設計與實現(xiàn)短時間內(nèi)達到鏈路聚合，提高網(wǎng)絡效率，我們選擇OSPF來作為項目實施的路由協(xié)議。</p><p>　　4.1.4網(wǎng)絡安全分析</p><p>　　網(wǎng)絡安全是網(wǎng)絡建設中最重要的組成部分，只有具有高安全性的網(wǎng)絡才能夠保障公司內(nèi)部數(shù)據(jù)的安全，保障公司的利益不受侵害。在網(wǎng)絡安全構(gòu)建中有如下必要的技術(shù)。</p>&

89、lt;p><b>　　a)身份驗證技術(shù)</b></p><p>　　PAP驗證:密碼認證協(xié)議(Password AuthenticationProtocol)是PPP協(xié)議集中一種鏈路控制協(xié)議，主要是通過使用二次握手提供一種對等節(jié)點的建立認證的簡單方法，建立在初始鏈路確定的基礎上。CHAP驗證:PPP挑戰(zhàn)握手認證協(xié)議(CHAP:ChallengeHandshake Authenticat

90、ionProtocol)通過三次握手周期性校驗對端身份，在初始鏈路建立時完成，可以在鏈路建立之后在任何時候重復進行。</p><p><b>　　b)加密技術(shù)</b></p><p>　　加密技術(shù)是電子商務采用的主要安全保密措施，是最常用的安全保密手段，加密可以利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼(加密)傳送，到達目的地后再用相同或不同的手段還原(解密)。加密技術(shù)包括兩個

91、元素:算法和密鑰。算法是將普通的文本(或者可以理解的信息)與一串數(shù)字(密鑰)的結(jié)合從而產(chǎn)生不可理解的密文的步驟，密鑰是用來對數(shù)據(jù)進行編碼和解碼的一種算法。在安全保密中，可通過適當?shù)拿荑€體制分為對稱密鑰體制和非對稱密鑰體制兩種。相應地，對數(shù)據(jù)加密的技術(shù)分為兩類，即對稱加密(私人密鑰加密)和非對稱加密(公開密鑰加密)。對稱加密以數(shù)據(jù)加密標準算法為典型代表。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公

92、開而解密密鑰需要保密。</p><p><b>　　c)防火墻安全技術(shù)</b></p><p>　　隨著Internet的日益普及，互聯(lián)網(wǎng)上的瀏覽訪問不僅使數(shù)據(jù)傳輸量增加，網(wǎng)絡被攻擊的可能性增大，而且由于Internet的開放性，網(wǎng)絡安全防護的方式發(fā)生了根本變化，使得安全問題更為復雜。傳統(tǒng)的網(wǎng)絡強調(diào)統(tǒng)一而集中的管理和控制，可采取加密、認證、訪問控制、審計以及日志等多種

93、技術(shù)手段，且它們的實施可由通信雙方共同完成:而由于Internet是一個開放的全球網(wǎng)絡，其網(wǎng)絡結(jié)構(gòu)錯綜復雜，因此安全防護方式截然不同。Internet的安全技術(shù)涉及傳統(tǒng)的網(wǎng)絡安全技術(shù)和分布式網(wǎng)絡安全技術(shù)，且主要是用來解決如何利用Internet進行安全通信，同時保護內(nèi)部網(wǎng)絡免受外部攻擊。在此情形下，防火墻技術(shù)應運而生。防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同而分為很多類型，但總體來講可分為包過濾、應用級網(wǎng)關(guān)和代理服務器等幾大類型。<

94、;/p><p>　　1） 數(shù)據(jù)包過濾型防火墻</p><p>　　數(shù)據(jù)包過濾(Packet Filtering)技術(shù)是在網(wǎng)絡層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設置的過濾邏輯，被稱為訪問控制列表。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。數(shù)據(jù)包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用，網(wǎng)絡性能和透明性好，它通常安裝

95、在路由器上。路由器是內(nèi)部網(wǎng)絡與Internet連接必不可少的設備，因此在原有網(wǎng)絡上增加這樣的防火墻幾乎不需要任何額外的費用。數(shù)據(jù)包過濾防火墻的缺點有二:一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊;二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。分組過濾或包過濾，是一種通用、廉價、有效的安全手段。之所以通用，因為它不針對各個具體的網(wǎng)絡服務采取特殊的處理方式;之所以廉價，因為大多數(shù)路

96、由器都提供分組過濾功能;之所以有效，因為它能很大程度的滿足安全要求。所根據(jù)的信息來源于IP、TCP或UDP包頭。包過濾的優(yōu)點是不用改動客戶機和主機上的應用程序，因為它工作在網(wǎng)絡層和傳輸層，與應用層無關(guān)。但其弱點也是明顯的:據(jù)以過濾</p><p>　　2） 應用級網(wǎng)關(guān)型防火墻</p><p>　　應用級網(wǎng)關(guān)是在網(wǎng)絡應用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡應用服務協(xié)議使用指定的數(shù)據(jù)過

97、濾邏輯，并在過濾的同時，對數(shù)據(jù)包進行必要的分析、登記和統(tǒng)計，形成報告。實際中的應用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。數(shù)據(jù)包過濾和應用網(wǎng)關(guān)防火墻有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯，則防火墻內(nèi)外的計算機系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡結(jié)構(gòu)和運行狀態(tài)，這有利于實施非法訪問和攻擊。</p><p>　　3） 代理服務器型防火墻</p>

98、;<p>　　代理服務也稱鏈路級網(wǎng)關(guān)或TCP通道，也有人將它歸于應用級網(wǎng)關(guān)一類。它是對數(shù)據(jù)包過濾和應用網(wǎng)關(guān)技術(shù)的缺點而引入的防火墻技術(shù)，其特點是將所有跨越防火墻的網(wǎng)絡通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應用層“鏈接”，由兩個終止代理服務器上的“鏈接”來實現(xiàn)，外部計算機的網(wǎng)絡鏈路只能到達服務器，從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。此外，代理服務也對過往的數(shù)據(jù)包進行分析、注冊登記，形成報告，同時當發(fā)現(xiàn)被攻擊跡象時會向

99、網(wǎng)絡管理員發(fā)出警報，并保留攻擊痕跡。應用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點。它工作在OSI模型的最高層，掌握著應用系統(tǒng)中可用作安全決策的全部信息。</p><p>　　4） 復合型防火墻口</p><p>　　由于對更高安全性的要求，常把基于包過濾的方法與基于應用代理的方法結(jié)合起來，形成復合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機防火墻體系結(jié)構(gòu):在該結(jié)構(gòu)中，分組過濾路由器或防火

100、墻與hiternet相連，同時一個堡壘機安裝在內(nèi)部網(wǎng)絡，通過在分組過濾路由器或防火墻上過濾規(guī)則的設置，使堡壘機成為Internet上其它節(jié)點所能到達的唯一節(jié)點，這確保了內(nèi)部網(wǎng)絡不受未授權(quán)外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu):堡壘機放在一個子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Intemett及內(nèi)部網(wǎng)絡分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘主機和分組過濾路由器共同構(gòu)成了整個防火墻的安全基礎。由此可見在

101、網(wǎng)絡安全中，很重要的一個部分可以說是防火墻。防火墻的可靠性直接關(guān)系到整個網(wǎng)絡的安全。因此，必須在Intemct和內(nèi)部網(wǎng)之間建立起一道防火墻。使從內(nèi)部網(wǎng)到外部網(wǎng)以及外部網(wǎng)到內(nèi)部網(wǎng)的所有信息都必須通過防火墻;只有經(jīng)過本地安全策略授權(quán)的信息流，才能通過防火墻;防火墻本身必須是安全的，不能被侵入。</p><p>　　d)入侵檢測安全技術(shù)</p><p>　　IDS(入侵檢測系統(tǒng))是Intrusi

102、on Detection System的縮寫。入侵檢測技術(shù)是網(wǎng)絡安全體系的一種防范措施，具有能夠識別針對網(wǎng)絡和主機資源的惡意攻擊并將日志發(fā)送到管理控制臺的能力。一臺IDS類似于一個普通的數(shù)據(jù)包嗅探器。他讀取所有數(shù)據(jù)包，并將這些數(shù)據(jù)包和己知的攻擊特性相對比。形象的說，入侵檢測系統(tǒng)就是一臺網(wǎng)絡攝像機，能夠捕獲并記錄網(wǎng)絡上的所有數(shù)據(jù)，同時它也是一臺智能攝像機，能夠分析網(wǎng)絡數(shù)據(jù)上搜索并提煉出可疑的、異常的網(wǎng)絡數(shù)據(jù)信息，它還是一臺高清晰的X光攝像

103、機，能夠穿透一些偽裝，抓住數(shù)據(jù)包中的實際內(nèi)容，它更是一臺負責的保安員攝像機，能夠?qū)θ肭中袨樽詣拥倪M行反擊。在網(wǎng)絡安全體系中，入侵檢測系統(tǒng)是唯一一個通過數(shù)據(jù)和行為模式判斷其是否有效的系統(tǒng)。這里有一個形象的比喻，防火墻是一道門，阻止一類人群的進入，但無法阻止合法的一類人群中的破壞分子，也不能阻止內(nèi)部的破壞行為，而訪問控制系統(tǒng)可以不讓權(quán)限低的人做越權(quán)行為，但無法限制高級權(quán)限的人實施破壞動作。入侵檢測系統(tǒng)同樣是一種終止針對網(wǎng)絡的攻擊的能力，提供

104、了如下的防御機制:</p><p>　　1）探測——識別和發(fā)現(xiàn)針對網(wǎng)絡和終端的惡意攻擊行為</p><p>　　2）防御——終止識別和發(fā)現(xiàn)的攻擊行為</p><p>　　3）反應——避免以后系統(tǒng)在遭受同樣的惡意攻擊</p><p>　　4）報警——遭遇到攻擊行為后，發(fā)出報警信息</p><p>　　5）丟棄——如果檢測

105、到攻擊行為的數(shù)據(jù)包，則選擇立即丟棄此數(shù)據(jù)包</p><p>　　6）阻止——拒絕來自攻擊源頭的流量</p><p><b>　　e)VPN安全技術(shù)</b></p><p>　　為保證數(shù)據(jù)傳輸?shù)臋C密性和完整性，建議在網(wǎng)絡中采用VPN系統(tǒng)，在遠程前置機和防火墻之間統(tǒng)一安裝VPN設備。</p><p>　　VPN可以有效實現(xiàn)的

106、技術(shù):</p><p>　　1）防止竊聽攻擊，采用機密技術(shù)，如Rc一4，DEs，3DEs，和AEs。</p><p>　　2）保證數(shù)據(jù)包的完整性，比如采用了MDS和SHA技術(shù)。</p><p>　　3）防止中間人攻擊，采用身份驗證技術(shù)，比如預共享密鑰或數(shù)字證書。</p><p>　　4）防止重放攻擊使用序列號保護數(shù)據(jù)。</p>

107、<p>　　4.1.5管理層分析</p><p>　　網(wǎng)絡管理的目的是提供一種對計算機進行規(guī)劃、設計、操作運行、管理、監(jiān)控、分析等的手段，從而充分利用資源、提供可靠的服務。當前，網(wǎng)絡的規(guī)模越來越大，用戶日益增多，結(jié)構(gòu)也更加復雜，傳統(tǒng)網(wǎng)絡管理已為網(wǎng)絡管理員增加了嚴重的工作負擔，因此建立一套科學完善的網(wǎng)絡管理系統(tǒng)是十分必要的。</p><p>　　a)網(wǎng)絡管理系統(tǒng)的功能</p&

108、gt;<p>　　一個網(wǎng)絡管理系統(tǒng)應具有以下功能:</p><p>　　1）應具有同時支持網(wǎng)絡監(jiān)視和控制兩方面的功能。 </p><p>　　2) 能夠管理網(wǎng)絡各協(xié)議層。</p><p>　　3）應盡可能大的管理范圍。 </p><p>　　4) 應盡可能小的系統(tǒng)開銷。</p>

109、<p>　　5）可管理不同廠家的網(wǎng)絡設備。 </p><p>　　6）可容納不同的網(wǎng)絡管理系統(tǒng)。</p><p>　　7）網(wǎng)絡管理的標準化。</p><p>　　b)網(wǎng)絡管理系統(tǒng)的構(gòu)成</p><p>　　一個網(wǎng)絡管理系統(tǒng)由多個部件組成，包括網(wǎng)絡管理協(xié)議、網(wǎng)絡管理工作站、代理和管理信息庫等。</p>