單位局域網(wǎng)的建設(shè)—畢業(yè)論文

1、論論文文摘摘要要 隨著信息化的不斷發(fā)展，網(wǎng)絡(luò)的運(yùn)用越來越普遍，辦公自 動(dòng)化、工作無紙化在各個(gè)單位越來越普及。為響應(yīng)低碳環(huán)保， 公文無紙化已成為一個(gè)趨勢，隨著這個(gè)趨勢發(fā)展各單位都需建 立自己的局域網(wǎng)，在局域網(wǎng)內(nèi)傳輸信息、公文，做到信息高速 傳輸共享保密。本畢業(yè)設(shè)計(jì)就是為檢察院建立一個(gè)獨(dú)立的局域 網(wǎng)系統(tǒng)，它包含辦公自動(dòng)化系統(tǒng)、案件管理系統(tǒng)、實(shí)時(shí)審訊系 統(tǒng)、視頻會(huì)話系統(tǒng)、保密系統(tǒng)等，為各工作人員日常辦公辦案 提供便捷的服務(wù)。本畢業(yè)設(shè)計(jì)主要依據(jù)網(wǎng)絡(luò)管理技術(shù)、綜合布 線技術(shù)、計(jì)算機(jī)通信技術(shù)等開展實(shí)施，為檢察院的綜合樓布線 及網(wǎng)絡(luò)通信管理提供理論依據(jù)和設(shè)計(jì)方案。 關(guān)鍵字：局域網(wǎng)、計(jì)算機(jī)網(wǎng)絡(luò)、服務(wù)器、防火墻

2、 abstractabstract with the continuous development of information technology, network isused more and more widely, the paper more popular in various units andoffice automation, no work. in response to a low carbon environmental protection, official business without paper has become a trend, with thet

3、rend of the development of each unit are required to establish their ownlocal area network, the transmission of information, document in the local area network, to achieve high-speed transmission of information sharingconfidential. this graduation design is to establish an independent networksystem

4、for the procuratorate, including office automation system, case management system, real- time interrogation system, video conversation system, security system, to provide convenient services for daily officestaff. this graduation design is mainly based on the network management technology, integrate

5、d wiring technology, computer communication technology to carry out the implementation, provides the theory basis and the design scheme for the procuratorate building wiring and networkcommunication management. keywords: lan, computer network, server, firewall。 目目錄錄 前 言.1 第一章 計(jì)算機(jī)局域網(wǎng)概述 .2 一. 計(jì)算機(jī)局域網(wǎng).2

6、 1.計(jì)算機(jī)網(wǎng)絡(luò)的分類 .2 2.計(jì)算機(jī)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu) .3 二. 計(jì)算機(jī)網(wǎng)絡(luò)的相關(guān)技術(shù).4 1.網(wǎng)絡(luò)結(jié)構(gòu)層次 .4 2.ip 地址和 mac 地址.5 3.網(wǎng)絡(luò)協(xié)議 .7 4.ieee 局域網(wǎng)系列標(biāo)準(zhǔn).8 三. 傳輸介質(zhì)及網(wǎng)絡(luò)設(shè)備.9 1.網(wǎng)卡 .9 2.交換機(jī) .9 3.路由器 .10 4.傳輸介質(zhì) .10 第二章 檢察院局域網(wǎng)的建設(shè) .12 一. 項(xiàng)目背景.12 二. 需求分析.12 三. 設(shè)計(jì)思路.13 1.總體設(shè)計(jì)原則 .13 2.總體功能 .14 四. 網(wǎng)絡(luò)建設(shè).14 1.網(wǎng)絡(luò)拓?fù)鋱D .14 2.網(wǎng)絡(luò)層次 .15 3.交換機(jī)的具體部署 .16 4.局域網(wǎng)中其他設(shè)備及軟件 .17 5

7、.vlan 劃分.18 6.ip 地址規(guī)劃.18 7.設(shè)備選型 .19 結(jié) 論.26 參考文獻(xiàn).27 致 謝.28 前前 言言 現(xiàn)今是一個(gè)互聯(lián)網(wǎng)的時(shí)代，計(jì)算機(jī)的發(fā)展日新月異，隨著 計(jì)算機(jī)的發(fā)展網(wǎng)絡(luò)已經(jīng)慢慢溶入我們的生活，無論在工作、交 友、信息傳輸?shù)雀鱾€(gè)方面網(wǎng)絡(luò)都做著突出的貢獻(xiàn)，網(wǎng)絡(luò)充斥著 我們的周圍，現(xiàn)在的我們已經(jīng)離不開網(wǎng)絡(luò)。 隨著網(wǎng)絡(luò)的發(fā)展，信息化的進(jìn)展，互聯(lián)網(wǎng)在資源共享，信 息的實(shí)時(shí)傳輸，人與人異地交流都起到重要作用。局域網(wǎng)的區(qū) 域獨(dú)立性，高傳輸效率，保密性無疑在單位的工作中起到很好 的效果。將單位的各個(gè)獨(dú)立的計(jì)算機(jī)通過互聯(lián)設(shè)備連接起來， 在物理與軟件上與互聯(lián)網(wǎng)相隔離，起到單位內(nèi)部的信息

8、保密， 不外傳；同時(shí)單位內(nèi)部各計(jì)算機(jī)之間能起到很好的信息傳輸與 共享功能。 本次檢察院網(wǎng)絡(luò)建設(shè)項(xiàng)目以局域網(wǎng)為基礎(chǔ)，結(jié)合計(jì)算機(jī)軟 硬件技術(shù)架設(shè)的，能與上下院相連且相對(duì)獨(dú)立。能為院內(nèi)各工 作人員提供先進(jìn)的辦公及辦案自動(dòng)化、資源共享、實(shí)時(shí)傳輸、 公文傳閱、數(shù)字簽名等功能。 第第一一章章 計(jì)計(jì)算算機(jī)機(jī)局局域域網(wǎng)網(wǎng)概概述述 計(jì)算機(jī)網(wǎng)絡(luò)分廣域網(wǎng)、城域網(wǎng)、局域網(wǎng)。本論文主要運(yùn)用 的是局域網(wǎng)技術(shù)，為方便讀者更系統(tǒng)的了解，對(duì)網(wǎng)絡(luò)做簡要概 述。 一一. .計(jì)計(jì)算算機(jī)機(jī)局局域域網(wǎng)網(wǎng) 網(wǎng)絡(luò)由各個(gè)計(jì)算機(jī)互聯(lián)而成，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)在企業(yè)、事 業(yè)、學(xué)校、政府機(jī)關(guān)等地方成為不可缺少的工具。網(wǎng)絡(luò)的定義 是： “一些相互連接的、以

9、共享資源為目的的、自治的計(jì)算機(jī) 的集合。最簡單的計(jì)算機(jī)我拿過來就是只有兩臺(tái)計(jì)算機(jī)和連接 它們的一條鏈路，即兩個(gè)節(jié)點(diǎn)和一條鏈路。因?yàn)闆]有第三臺(tái)計(jì) 算機(jī)，因此不存在交換的問題。最龐大的計(jì)算機(jī)網(wǎng)絡(luò)就是因特 網(wǎng)。它由非常多的計(jì)算機(jī)網(wǎng)絡(luò)通過許多路由器互聯(lián)而成。因此 因特網(wǎng)也稱為“網(wǎng)絡(luò)的網(wǎng)絡(luò)” 。另外，從網(wǎng)絡(luò)媒介的角度來看， 計(jì)算機(jī)網(wǎng)絡(luò)可以看做是由多臺(tái)計(jì)算機(jī)通過特定的設(shè)備與軟件連 接起來的一種新的傳播媒介” 。 1. 計(jì)算機(jī)網(wǎng)絡(luò)的分類 網(wǎng)絡(luò)按照傳輸距離可以分為一下 3 種： 1) 局域網(wǎng)（local area networks，簡稱 lan） 。 指在某一區(qū)域內(nèi)由多臺(tái)計(jì)算機(jī)互聯(lián)成的計(jì)算機(jī)組。一般是 方圓幾

10、千米以內(nèi)。局域網(wǎng)可以實(shí)現(xiàn)文件管理、應(yīng)用軟件共享、 打印機(jī)共享、工作組內(nèi)的日程安排、電子郵件和傳真通信服務(wù) 等功能。局域網(wǎng)是封閉型的，可以由辦公室內(nèi)的兩臺(tái)計(jì)算機(jī)組 成，也可以由一個(gè)公司內(nèi)的上千臺(tái)計(jì)算機(jī)組成。 2) 廣域網(wǎng)（wide area networks，簡稱 wan） 。 也稱遠(yuǎn)程網(wǎng)（long haul network ） 。通?？缃雍艽蟮奈锢?范圍，所覆蓋的范圍從幾十公里到幾千公里，它能連接多個(gè)城 市或國家，或橫跨幾個(gè)洲并能提供遠(yuǎn)距離通信，形成國際性的 遠(yuǎn)程網(wǎng)絡(luò)。 3) 城域網(wǎng)（metropolitan area network，簡稱 man） 。 是在一個(gè)城市范圍內(nèi)所建立的計(jì)算機(jī)通信網(wǎng)

11、，簡稱 man。 屬寬帶局域網(wǎng)。由于采用具有有源交換元件的局域網(wǎng)技術(shù)，網(wǎng) 中傳輸時(shí)延較小，它的傳輸媒介主要采用光纜，傳輸速率在 l00 兆比特/秒以上。man 的一個(gè)重要用途是用作骨干網(wǎng)，通過 它將位于同-城市內(nèi)不同地點(diǎn)的主機(jī)、數(shù)據(jù)庫，以及 lan 等互 相聯(lián)接起來，這與 wan 的作用有相似之處，但兩者在實(shí)現(xiàn)方法 與性能上有很大差別。 2. 計(jì)算機(jī)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu) 網(wǎng)絡(luò)拓?fù)渚褪蔷W(wǎng)絡(luò)中計(jì)算機(jī)、纜線以及其他通信部件構(gòu)成 的幾何布局。計(jì)算機(jī)網(wǎng)絡(luò)的拓?fù)溆卸喾N類型，并且是隨著網(wǎng)絡(luò) 技術(shù)的不斷發(fā)展而不斷涌現(xiàn)與完善。 1) 總線型（bus） 將各節(jié)點(diǎn)的設(shè)備用同一根網(wǎng)線連接起來，所有主機(jī)共享同 一通信介質(zhì)，拓

12、撲結(jié)構(gòu)如圖 1.1。在總線電纜上任何一處的松 動(dòng)和脫離都會(huì)引起網(wǎng)絡(luò)無法運(yùn)行，且由于布線問題故障的定位 及修復(fù)比較困難，維護(hù)比較困難 圖 1.1 總線型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 2) 星形（star） 星型拓?fù)渚W(wǎng)絡(luò)以中央節(jié)點(diǎn)為中心，由中央節(jié)點(diǎn)與其他節(jié)點(diǎn) 相連接組成，如圖 1.2 所示。中央節(jié)點(diǎn)機(jī)一般為集線器或交換 機(jī)，除了中心節(jié)點(diǎn)之外的任何節(jié)點(diǎn)故障或節(jié)點(diǎn)的增減都不影響 網(wǎng)絡(luò)中的其他節(jié)點(diǎn)工作，從而實(shí)現(xiàn)了網(wǎng)絡(luò)便于維護(hù)、便于管理 的優(yōu)越性。 圖 1.2 星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 3) 樹形（tree） 當(dāng)一臺(tái)集線器或交換機(jī)的端口數(shù)量不足以連接所有的計(jì)算 機(jī)或者需要聯(lián)網(wǎng)的計(jì)算機(jī)分布比較分散，可以再串聯(lián)第二級(jí)星 型網(wǎng)絡(luò)，如圖

13、 1.3 所示，這就是樹形拓?fù)浣Y(jié)構(gòu)。 圖 1.3 樹形網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 4) 環(huán)形（ring） 網(wǎng)絡(luò)中各節(jié)點(diǎn)通過環(huán)路接口，鏈接到一條首尾相連的閉合 環(huán)形通信線路中，如圖 1.4 所示。環(huán)網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的故 障都會(huì)影響整個(gè)網(wǎng)絡(luò)傳輸。 圖 1.4 環(huán)形網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 二二. .計(jì)計(jì)算算機(jī)機(jī)網(wǎng)網(wǎng)絡(luò)絡(luò)的的相相關(guān)關(guān)技技術(shù)術(shù) 1. 網(wǎng)絡(luò)結(jié)構(gòu)層次 國際標(biāo)準(zhǔn)化組織未來連接不同設(shè)備的網(wǎng)絡(luò)體系結(jié)構(gòu)，于 1984 年提出開放系統(tǒng)互聯(lián)參考模型 osi（open system interconnection） 。它被分成 7 層，這 7 個(gè)層次分別定義了不 同的功能。幾乎所有的網(wǎng)絡(luò)都是基于這種體系結(jié)構(gòu)的模型進(jìn)行 改進(jìn)并定

14、義的，這些層次從上到下分別是應(yīng)用層、表示層、會(huì) 話層、運(yùn)輸層、網(wǎng)絡(luò)層，數(shù)據(jù)鏈路層和物理層，其中物理層是 位于體系結(jié)構(gòu)的最低層，它定義了 osi 網(wǎng)絡(luò)中的物理特性和電 氣特性。osi 參考模型及工作過程如圖 1.5 所示。 應(yīng)用層 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 網(wǎng)絡(luò)層 傳輸層 會(huì)話層 表示層 應(yīng)用層 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 網(wǎng)絡(luò)層 傳輸層 會(huì)話層 表示層 數(shù)據(jù) 比特序列 幀 分組包 報(bào)文 數(shù)據(jù)單元 數(shù)據(jù)單元 應(yīng)用進(jìn)程a應(yīng)用進(jìn)程b數(shù)據(jù) 傳 輸 介 質(zhì) 主機(jī)a主機(jī)b 圖 1.5 osi 七層體系結(jié)構(gòu)及數(shù)據(jù)流說明 tcp/ip（transmission control protocol/internet proto

15、col,傳輸控制協(xié)議和互連網(wǎng)協(xié)議）縮寫，tcp/ip 體系結(jié) 構(gòu)是當(dāng)前應(yīng)用于 internet 網(wǎng)絡(luò)中的體系結(jié)構(gòu)，它是由 osi 結(jié)構(gòu) 演變來的，它沒有表示層，只有應(yīng)用層、運(yùn)輸層，互聯(lián)層和網(wǎng) 絡(luò)接口層。 2. ip 地址和 mac 地址 2.12.1 ipip 地址地址 1) ip 地址 網(wǎng)絡(luò)地址唯一指定了每一個(gè)網(wǎng)絡(luò)，同一網(wǎng)絡(luò)中的每臺(tái)計(jì)算 機(jī)都共享相同的網(wǎng)絡(luò)地址，并用它作為自己 ip 地址的一部分。 例如，在 ip 地址 6 中，172.16 就是這個(gè)網(wǎng)絡(luò)地址。 主機(jī)地址是在一個(gè)網(wǎng)絡(luò)中用來標(biāo)識(shí)每臺(tái)計(jì)算機(jī)的，它是一 個(gè)唯一的標(biāo)識(shí)符。在 ip 地址為 6

16、 的這個(gè)例子中， 30.56 就是這個(gè)主機(jī)的地址。 ip 地址分為 a、b、c、d、e 五類，圖 1.6 解釋了這 5 個(gè)網(wǎng) 絡(luò)的類別關(guān)系，表 1.1 說明了這幾類地址的范圍及掩碼。 圖 1.6 ip 地址分類 掩碼掩碼 a 類 -55 b 類 -55 c 類 .-55 d 類 -55 e 類 -55 表 1.1 i

17、p 地址范圍 2) 私有 ip 地址 私有地址可以被用于私有網(wǎng)絡(luò)，只是它們不可以路由通過 internet，這個(gè)設(shè)計(jì)主要是為了滿足廣泛需要的安全目的，同 時(shí)也很有效地節(jié)省了寶貴的 ip 地址空間，表 1.2 是被保留的私 有 ip 地址列表。 地址類地址類被保留的地址空間被保留的地址空間 a 類 -55 b 類 -55 c 類 -55 表 1.2 私有地址列表 3) 特殊 ip 地址 在 ip 地址中除了定義了私有 ip 地址外，還定義了如下 ip 地址在網(wǎng)絡(luò)通信

18、時(shí)所表示的特殊意義，這些地址不可用于一般 的 ip 地址配置。 ：表示所有網(wǎng)絡(luò)，在路由表中指向默認(rèn)網(wǎng)關(guān)。 55：在路由表中表明 ip 廣播地址。 ：本地回送地址，既指向本機(jī)。 2.22.2 macmac 地址地址 每塊網(wǎng)卡出廠時(shí)，就被賦予唯一的物理地址作為標(biāo)識(shí)，這 樣的物理地址稱為 mac 地址。mac 地址由 6 個(gè)字節(jié)組成，用 16 進(jìn)制數(shù)表示，6 個(gè)字節(jié)中前 3 個(gè)為制造網(wǎng)卡廠商的標(biāo)識(shí)，后 3 個(gè)字節(jié)為網(wǎng)卡序列號(hào)，因此每一個(gè)網(wǎng)卡的 mac 地址在全球是獨(dú) 一無二的。 3. 網(wǎng)絡(luò)協(xié)議 網(wǎng)絡(luò)協(xié)議是通信雙方共同遵守的約定和規(guī)范，網(wǎng)絡(luò)設(shè)備

19、必 須安裝或設(shè)置各種網(wǎng)絡(luò)協(xié)議之后才能完成數(shù)據(jù)的傳輸和發(fā)送， 在校園局域網(wǎng)上用到的協(xié)議主要有，icp/ip 協(xié)議、ipx/spx 協(xié) 議等。 3.13.1 tcp/iptcp/ip 協(xié)議協(xié)議 tcp/ip 協(xié)議是目前在網(wǎng)絡(luò)中應(yīng)用得最廣泛的協(xié)議，icp/ip 實(shí)際上是一個(gè)關(guān)于 internet 的標(biāo)準(zhǔn)，并隨著的 internet 廣泛 應(yīng)用而風(fēng)靡全球，它也成為局域網(wǎng)的首選協(xié)議。tcp/ip 是一種 分層協(xié)議，它共被分為個(gè) 4 層次，大約包含近期 100 個(gè)非專有 協(xié)議，通過這些協(xié)議，可以高效和可靠地實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)之間 的互連。tcp/ip 協(xié)議中的核心協(xié)議有 tcp（傳輸控制協(xié)議） 、 udp（用

20、戶數(shù)據(jù)報(bào)協(xié)議）和 ip（因特網(wǎng)協(xié)議） 。tcp/ip 協(xié)議組模 型如圖 1.7： 應(yīng)用層 telnet 網(wǎng)絡(luò)接口 互聯(lián)層 傳輸層 smtpftpdnssnmprip tcpudp arp ip icmpigmp ethernetatmtoken ringframe relay tcp/ip protocol suite 圖 1.7 tcp/ip 協(xié)議組 1) tcp 協(xié)議 tcp 協(xié)議可以在網(wǎng)絡(luò)用戶啟動(dòng)的軟件應(yīng)用進(jìn)程之間建立通 信會(huì)話，并實(shí)現(xiàn)數(shù)據(jù)流量控制和錯(cuò)誤檢測，這樣就可以在不可 靠的網(wǎng)絡(luò)上提供可靠的端到端數(shù)據(jù)傳輸。udp 協(xié)議是一種無連 接的協(xié)議，它在傳輸數(shù)據(jù)之前不建立連接，也不提供良好的

21、可 靠性和差錯(cuò)檢查，只僅僅依賴于校驗(yàn)來保證可靠性。udp 不進(jìn) 行流量控制，沒有序列或者確認(rèn)，因此它處理和傳輸數(shù)據(jù)的速 度快，還被用來傳輸關(guān)鍵的網(wǎng)絡(luò)狀態(tài)消息。 2) ip 協(xié)議 ip 協(xié)議的基本功能是提供數(shù)據(jù)傳輸、數(shù)據(jù)包編址、數(shù)據(jù)包 路由，分段等。通過 ip 編址約定，可以成功地將數(shù)據(jù)通過路由 傳輸?shù)秸_的網(wǎng)絡(luò)或者子網(wǎng)。每個(gè)網(wǎng)絡(luò)站點(diǎn)具有一個(gè) 32 位的 ip 地址，它和 48 位 mac 地址一起協(xié)作，完成網(wǎng)絡(luò)通信，ip 協(xié) 議也是一種無連接的協(xié)議。 3) telnet 協(xié)議 telnet 協(xié)議允許一個(gè)用戶在遠(yuǎn)程客戶端采用虛擬終端的方 式訪問另一臺(tái)機(jī)器上的資源。 4) ftp 協(xié)議 文件傳輸協(xié)

22、議(ftp)實(shí)際上就是傳輸文件的協(xié)議，它可以應(yīng) 用在任意兩臺(tái)主機(jī)之間，它不僅僅是一個(gè)協(xié)議，它同時(shí)也是一 個(gè)程序。ftp 允許執(zhí)行對(duì)目錄和文件的訪問，并且可以完成特 定類型的目錄操作，例如將文件重新定位到不同的目錄中。 5) smtp 協(xié)議 簡單郵件傳輸協(xié)議(wsmtp)對(duì)應(yīng)于我們普遍使用的被稱為 e-mail 的應(yīng)用，它描述了郵件投遞中的假脫機(jī)、排列及方法。 smtp 用來發(fā)送郵件，pop3 用來接收郵件。 6) dns 協(xié)議 域名解析服務(wù)(dns)將計(jì)算機(jī)域名與其 ip 地址一一對(duì)應(yīng)， 從而建立起具有嚴(yán)密邏輯關(guān)系的域名服務(wù)系統(tǒng)，就是把人工輸 入的計(jì)算機(jī)網(wǎng)絡(luò)和主機(jī)的名字翻譯為 ip 地址，然后

23、利用網(wǎng)絡(luò)軟 件根據(jù) ip 地址實(shí)線各種網(wǎng)絡(luò)功能。 7) dhcp 協(xié)議 動(dòng)態(tài)主機(jī)配置協(xié)議（dhcp）可以為接入網(wǎng)絡(luò)的客戶計(jì)算機(jī) 動(dòng)態(tài)分配 ip 地址，它可以工作在小型甚至超大型網(wǎng)絡(luò)環(huán)境中， 并使得對(duì)這些網(wǎng)絡(luò)的管理和操作更為簡單、更為容易。 4. ieee 局域網(wǎng)系列標(biāo)準(zhǔn) ieee802 系列標(biāo)準(zhǔn)是由美國電子和電器工程師學(xué)會(huì) （ieee）制定的，這個(gè)標(biāo)準(zhǔn)的大部分內(nèi)容已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò) 技術(shù)的國際標(biāo)準(zhǔn)。隨著局域網(wǎng)技術(shù)的發(fā)展，ieee802 系列標(biāo)準(zhǔn) 在不斷的擴(kuò)大和發(fā)展，目前已經(jīng)定義并發(fā)布如下標(biāo)準(zhǔn)。 ieee802.1 標(biāo)準(zhǔn)：定義了局域網(wǎng)體系結(jié)構(gòu)和網(wǎng)絡(luò)互聯(lián)，網(wǎng) 絡(luò)管理和性能測量。 ieee802.2

24、 標(biāo)準(zhǔn)：定義了 osi 的數(shù)據(jù)鏈路層的兩個(gè)子層的 功能。 ieee802.3 標(biāo)準(zhǔn)：定義了 cdma/cd 總線 mac 子層和物理層 規(guī)范。 ieee802.4 標(biāo)準(zhǔn)：定義了令牌總線 mac 子層和物理層規(guī)范。 ieee802.5 標(biāo)準(zhǔn)：定義了令牌環(huán)網(wǎng) mac 子層和物理層規(guī)范。 ieee802.6 標(biāo)準(zhǔn)：定義了城域網(wǎng) mac 子層和物理層規(guī)范。 ieee802.7 標(biāo)準(zhǔn)：定義了寬帶網(wǎng)技術(shù)。 ieee802.8 標(biāo)準(zhǔn)：定義了光纖傳輸技術(shù)。 ieee802.9 標(biāo)準(zhǔn)：定義了綜合語音和數(shù)據(jù)局域網(wǎng)技術(shù)。 ieee802.10 標(biāo)準(zhǔn)：定義了可互操作的局域網(wǎng)安全規(guī)范。 ieee802.11 標(biāo)準(zhǔn)：定義

25、了無線局域網(wǎng)技術(shù)。 ieee802.12 標(biāo)準(zhǔn)：定義了新型高速局域網(wǎng)技術(shù)。 三三. .傳傳輸輸介介質(zhì)質(zhì)及及網(wǎng)網(wǎng)絡(luò)絡(luò)設(shè)設(shè)備備 網(wǎng)絡(luò)設(shè)備主要是指硬件系統(tǒng)，各種網(wǎng)絡(luò)設(shè)備之間是有著相 互關(guān)聯(lián)而不是相互獨(dú)立的，每一部分在網(wǎng)絡(luò)中有著不同的作用， 缺一不可，只有把這些設(shè)備通過一定的形式連起來才能組成一 個(gè)完整的網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)設(shè)備主要包括網(wǎng)卡、集線器、交換機(jī)、 路由器、傳輸介質(zhì)等。 1. 網(wǎng)卡 網(wǎng)卡（簡稱 nic） ，也網(wǎng)絡(luò)適配卡或網(wǎng)絡(luò)接口卡，網(wǎng)卡作為 計(jì)算機(jī)與網(wǎng)絡(luò)連接的接口，是不可缺少的網(wǎng)絡(luò)設(shè)備之一。無論 是雙絞線網(wǎng)絡(luò)、同軸電纜網(wǎng)絡(luò)還是光纜網(wǎng)絡(luò)，都必須借助于相 應(yīng)類型的網(wǎng)卡才能實(shí)現(xiàn)與計(jì)算機(jī)的連接，是計(jì)算機(jī)與

26、局域網(wǎng)相 互連接的惟一接口。每塊網(wǎng)卡上都有一個(gè)世界惟一的 id 號(hào)，也 就是 mac（media access control）地址，計(jì)算機(jī)在連入網(wǎng)絡(luò) 之后，就是依靠這個(gè) id 號(hào)才能實(shí)現(xiàn)在不同計(jì)算機(jī)之間的通信和 信息交換。網(wǎng)卡有很多種，不同類型的網(wǎng)絡(luò)需要使用不同種類 的網(wǎng)卡，不同速度的網(wǎng)絡(luò)需求也要使用不同的網(wǎng)卡。如根據(jù)帶 寬來分的話，有 10mbit/s 網(wǎng)卡、10/100mit/s 自適應(yīng)網(wǎng)卡和 1000mbit/s 網(wǎng)卡；如按總線分，有 isa 總線、pci 總線、 pcmcia 總線網(wǎng)卡等。 2. 交換機(jī) 交換機(jī)，也稱交換式集線器，是專門設(shè)計(jì)的，使各計(jì)算機(jī) 能夠相互高速通信的獨(dú)享帶寬的

27、網(wǎng)絡(luò)設(shè)備。作為高性能的集線 設(shè)備，隨著價(jià)格的不斷降低，交換機(jī)已逐步取代了集線器而成 為集線設(shè)備的首選。由交換機(jī)構(gòu)建的交換式網(wǎng)絡(luò)系統(tǒng)不僅擁有 高速的傳輸速率，而且交換延時(shí)很小，使得信息的傳輸效率大 大提高，適合于大數(shù)據(jù)量并且使用非常頻繁的網(wǎng)絡(luò)通信，被廣 泛應(yīng)用于各種類型的多媒體和數(shù)據(jù)傳輸網(wǎng)絡(luò)。交換機(jī)具有很強(qiáng) 的網(wǎng)絡(luò)管理功能，它能自動(dòng)根據(jù)網(wǎng)絡(luò)通信的使用情況來動(dòng)態(tài)管 理網(wǎng)絡(luò)，因?yàn)榻粨Q機(jī)采用了獨(dú)享網(wǎng)絡(luò)帶寬的設(shè)計(jì)。 3. 路由器 路由器除了有連接不同的網(wǎng)絡(luò)物理分支和不同的通信媒介、 過濾和隔離網(wǎng)絡(luò)數(shù)據(jù)流及建立路由表，還有控制和管理復(fù)雜的 路徑、控制流量、分組分段、防止網(wǎng)絡(luò)風(fēng)暴及在網(wǎng)絡(luò)分支之間 提供安全屏

28、障層等到功能。根據(jù)路由設(shè)備的組成可以分為軟路 由和硬路由。根據(jù)路由表的設(shè)置方式可以將路由器分為靜態(tài)的 和動(dòng)態(tài)的。路由器工作在網(wǎng)絡(luò)層，因此它可以在網(wǎng)絡(luò)層交換和 路由數(shù)據(jù)幀，訪問的是對(duì)方的網(wǎng)絡(luò)地址。當(dāng)數(shù)據(jù)幀到達(dá)路由器 后，路由器查看數(shù)據(jù)幀的目標(biāo)地址，并在路由表查看到達(dá)目標(biāo) 地址的路徑，根據(jù)路徑的代價(jià)，選擇一條最佳的路徑，然后把 數(shù)據(jù)幀沿這條路徑發(fā)送給目標(biāo)地址。 4. 傳輸介質(zhì) 網(wǎng)絡(luò)要求把各個(gè)獨(dú)立的計(jì)算機(jī)連接起來的，這樣就必然要 求有一種介質(zhì)將計(jì)算機(jī)連接起來，這就是傳輸介質(zhì)，局域網(wǎng)的 傳輸介質(zhì)可分為有線介質(zhì)和無線介質(zhì)兩種，一般情況下都是用 有線介質(zhì)的，因?yàn)樗姆€(wěn)定性高，連接可靠，無線介質(zhì)只是在 特殊

29、環(huán)境下才使用的傳輸方式。常用的有線介質(zhì)主要有以下幾 類。 4.14.1 同軸電纜同軸電纜 同軸電纜以硬銅線為芯，外包一層絕緣材料。這層絕緣材 料用密織的網(wǎng)狀導(dǎo)體環(huán)繞，網(wǎng)外又覆蓋一層保護(hù)性材料。同軸 電纜有許多種不同的規(guī)格，最常用是細(xì)同軸電纜和粗同軸電纜。 細(xì)同軸電纜主要用于建筑物內(nèi)的網(wǎng)絡(luò)連接，而粗同軸電纜則常 用于建筑物間相連。它們的區(qū)別在于粗同軸電纜屏蔽更好，能 傳輸更遠(yuǎn)的距離。 4.24.2 雙絞線雙絞線 雙絞線是綜合布線工程中最常用的一種傳輸介質(zhì)。雙絞線 由兩根具有絕緣保護(hù)層的銅導(dǎo)線組成。把兩根絕緣的銅導(dǎo)線按 一定密度互相絞在一起，可降低信號(hào)干擾的程度，每一根導(dǎo)線 在傳輸中輻射的電波會(huì)被

30、另一根線上發(fā)出的電波抵消，與其他 傳輸介質(zhì)相比，雙絞線在傳輸距離、信道寬度和數(shù)據(jù)傳輸速度 等方面均受到一定限制，但價(jià)格較為低廉。目前，雙絞線可分 為非屏蔽雙絞線和屏蔽雙絞線。 根據(jù)電氣性能以及產(chǎn)品推出的 先后順序，雙絞線分為三類、四類、五類、超五類、六類、七 類等，最常用的是五類 utp 雙絞線，傳輸速率可達(dá) 100mbit/s。 4.34.3 光纖光纖 光纖是一種直接為 50100um 的柔軟的、能傳導(dǎo)光波的介質(zhì)， 一般由玻璃制造。光纖分為：傳輸點(diǎn)模數(shù)類分單模光纖(single mode fiber)和多模光纖(multi mode fiber)。單模光纖的纖芯 直徑很小，在給定的工作波長上

31、只能以單一模式傳輸，傳輸頻 帶寬，傳輸容量大。多模光纖是在給定的工作波長上，能以多 個(gè)模式同時(shí)傳輸?shù)墓饫w，與單模光纖相比，多模光纖的傳輸性 能較差。 第第二二章章 檢檢察察院院 局局域域網(wǎng)網(wǎng)的的建建設(shè)設(shè) 一一. .項(xiàng)項(xiàng)目目背背景景 檢察院新辦公樓為兩幢多層建筑，主樓為 5 層，其中負(fù)一 層為車庫、配電房及辦案區(qū)，副樓為食堂及控告申訴，案件管 理中心，另附有小機(jī)房一個(gè)用以與主樓光纖連接。網(wǎng)絡(luò)設(shè)計(jì)的 主要功能是為用戶提供同步的網(wǎng)上辦公、信息共享、案件管理， 實(shí)現(xiàn)各部門各人員之間的信息交流和信息資源共享，實(shí)現(xiàn)內(nèi)部 局域網(wǎng)與 internet 以及上下院的專網(wǎng)連接。支持辦公自動(dòng)化、 辦案無紙化、資源共

32、享和法律證據(jù)查閱等。 二二. .需需求求分分析析 檢察院局域網(wǎng)建成后將以局域網(wǎng)為基礎(chǔ)，承載院內(nèi)部 oa 系 統(tǒng)、辦案系統(tǒng)、審訊系統(tǒng)、案件管理系統(tǒng)、視頻會(huì)議系統(tǒng)、電 話專網(wǎng)系統(tǒng)、對(duì)外網(wǎng)站等。該網(wǎng)絡(luò)建成后需要與互聯(lián)網(wǎng)連接同 時(shí)要與上級(jí)網(wǎng)連接。 鑒于以上用戶需求，此次局域網(wǎng)建設(shè)需達(dá)到一下要求： 確保網(wǎng)絡(luò)的高可用性、高可靠性、高效率和高保密性， 核心交換機(jī)和匯聚層交換機(jī)具有高交換速率、大吞吐量， 保證院內(nèi)部的各項(xiàng)工作穩(wěn)定正常。 著力于網(wǎng)絡(luò)的安全性，禁止非法接入，構(gòu)筑一道全方位 的立體安全屏障。 確保為用戶提供針對(duì)不同信息系統(tǒng)和網(wǎng)絡(luò)安全等級(jí)需要 的綜合性安全策略和計(jì)劃。 確保采用的產(chǎn)品符合中華人民共和國

33、有關(guān)信息安全的法 律和規(guī)范。 三三. .設(shè)設(shè)計(jì)計(jì)思思路路 1. 總體設(shè)計(jì)原則 網(wǎng)絡(luò)系統(tǒng)的建設(shè)和設(shè)計(jì)，要從檢察信息化建設(shè)的實(shí)際需要 出發(fā)，緊緊圍繞檢察院辦公辦案系統(tǒng)的應(yīng)用需求和發(fā)展；采用 成熟的先進(jìn)技術(shù)，把握主流技術(shù)的發(fā)展方向，不僅要考慮到將 來的需求，還將為系統(tǒng)的擴(kuò)充留有余地。這兩者的完善結(jié)合是 在設(shè)計(jì)本系統(tǒng)方案時(shí)的思考和遵循的原則?；谝陨峡紤]我們 在網(wǎng)絡(luò)設(shè)計(jì)時(shí)遵循以下原則： 1.11.1 網(wǎng)絡(luò)可靠性原則網(wǎng)絡(luò)可靠性原則 網(wǎng)絡(luò)設(shè)計(jì)過程中網(wǎng)絡(luò)拓?fù)鋺?yīng)采用穩(wěn)定可靠的形式，如：雙 路由網(wǎng)絡(luò)拓?fù)洌h(huán)行網(wǎng)絡(luò)結(jié)構(gòu)。因?yàn)樗鼈兗纯扇哂鄠浞?，安?性又可以得到保障，核心層交換可采用高端交換設(shè)備和光纖技 術(shù)的主干鏈

34、路（trunk）來實(shí)現(xiàn)較高的容錯(cuò)性，這樣就可以避免 單點(diǎn)故障的出現(xiàn)，網(wǎng)絡(luò)結(jié)構(gòu)使用雙鏈路，雙核心交換設(shè)備，雙 路由備份可靠措施，都可以使校園網(wǎng)可靠性和實(shí)用性得到大大 的提高。 1.21.2 網(wǎng)絡(luò)可擴(kuò)展性原則網(wǎng)絡(luò)可擴(kuò)展性原則 檢察內(nèi)網(wǎng)擴(kuò)展性包含 2 層意思（一）：新的內(nèi)部科室可以 很簡單的建立并加入內(nèi)網(wǎng) （二）：未來軟硬件的升級(jí)能無縫隙 的與現(xiàn)有網(wǎng)絡(luò)結(jié)合 可見，檢察內(nèi)網(wǎng)絡(luò)設(shè)計(jì)時(shí)不但要適應(yīng)當(dāng)下技術(shù)需求，還要 對(duì)未來的硬件設(shè)備增加及軟件升級(jí)做出準(zhǔn)確預(yù)算和留有空間， 以保證未來軟硬件的需求，保障網(wǎng)絡(luò)可靠性。 1.31.3 網(wǎng)絡(luò)實(shí)用性和可管理性原則網(wǎng)絡(luò)實(shí)用性和可管理性原則 檢察內(nèi)網(wǎng)系統(tǒng)設(shè)計(jì)在性價(jià)格比方面要

35、尋求平衡點(diǎn)，既要實(shí) 用也得便宜，在預(yù)算允許的調(diào)節(jié)下盡量采購先進(jìn)的設(shè)備以保證 一段時(shí)間內(nèi)符合院內(nèi)部對(duì)網(wǎng)絡(luò)的需求，檢察內(nèi)區(qū)網(wǎng)應(yīng)基于簡單 網(wǎng)絡(luò)管理協(xié)議（snmp） ，可以使用可視化管理界面和操作方式， 方便管理，從而真正起到實(shí)用性，網(wǎng)絡(luò)規(guī)劃要精心合理，做到 不浪費(fèi)，為未來升級(jí)留有空間。 1.41.4 網(wǎng)絡(luò)安全性原則網(wǎng)絡(luò)安全性原則 對(duì)物理層及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，操作系統(tǒng)及應(yīng)用軟件要求具備 相應(yīng)的安全檢測機(jī)制，邊界網(wǎng)關(guān)應(yīng)該構(gòu)筑防火墻，安裝殺毒軟 件，對(duì)網(wǎng)關(guān)路由器進(jìn)行必要的安全性過濾，如訪問控制列表 acl 配置，用戶身份認(rèn)證，數(shù)據(jù)加密，密鑰等技術(shù)來保障內(nèi)網(wǎng) 的安全。 2. 總體功能 1.網(wǎng)絡(luò)的設(shè)計(jì)架構(gòu)采用以太

36、網(wǎng)的總線形拓?fù)浣Y(jié)構(gòu)。 2.路由器要求支持靜態(tài)路由、rip、ospf 等路由協(xié)議，支 持多種接入方式。分內(nèi)接上級(jí)院專網(wǎng)，外接內(nèi)外網(wǎng)。 3.防火墻要求：配置 1000m 防火墻，吞吐量不低于 100mbps，具有圖形化管理，超強(qiáng)的抗攻擊免疫能力，有日志管 理功能，防止蠕蟲自動(dòng)侵入，防止局域網(wǎng)內(nèi)的惡意掃描。 4.本網(wǎng)絡(luò)需具備人性化的管理功能，具有較高的信息吞吐 量，具備語音、視頻、加密傳輸數(shù)據(jù)的功能； 5.本網(wǎng)絡(luò)能支持多媒體教學(xué)、會(huì)議和學(xué)術(shù)交流、辦公自動(dòng) 化、物業(yè)管理、互聯(lián)網(wǎng)應(yīng)用(諸如遠(yuǎn)程教學(xué)、流媒體應(yīng)用、音視 頻會(huì)議、ftp 以及遠(yuǎn)程信息交換)及文體娛樂等方面的應(yīng)用。 6.網(wǎng)絡(luò)信息中心機(jī)房用于放置

37、衛(wèi)生局局域網(wǎng)核心網(wǎng)絡(luò)設(shè)備、 服務(wù)器、數(shù)據(jù)、語音總配線架等。涉及的網(wǎng)絡(luò)功能包括網(wǎng)絡(luò)運(yùn) 行管理、網(wǎng)絡(luò)信息管理、網(wǎng)絡(luò)安全管理、局域網(wǎng)數(shù)據(jù)中心四個(gè) 方面。網(wǎng)絡(luò)中心機(jī)房電源由變電所提供兩路 380v/50hz 電源， 在機(jī)房經(jīng)雙電源自動(dòng)切換裝置由兩路 40kva 在線式 ups 不間斷 電源供給,一路供給核心網(wǎng)絡(luò)設(shè)備及服務(wù)器存儲(chǔ)集群,另一路專 門供給兩臺(tái)一主一備的精密制冷空調(diào)。并要預(yù)留 80kva 電源線 纜以備日后擴(kuò)容需要。 7網(wǎng)絡(luò)信息中心機(jī)房中服務(wù)器存儲(chǔ)系統(tǒng)要求加入 kvm 切換 系統(tǒng),與新加裝機(jī)柜配套配置 kvm 切換器,要求帶顯示設(shè)備及輸 入設(shè)備,可控制該機(jī)柜內(nèi)所有服務(wù)器設(shè)備.并將多個(gè) kvm

38、連接入 環(huán)境監(jiān)測系統(tǒng),使得我信息中心操作人員可在管理區(qū)直接進(jìn)行服 務(wù)器操作,而不用進(jìn)入設(shè)備區(qū). 四四. .網(wǎng)網(wǎng)絡(luò)絡(luò)建建設(shè)設(shè) 局域網(wǎng)作為網(wǎng)絡(luò)的數(shù)據(jù)交互中心，其擴(kuò)展的重要性、安全 性、冗余性、可靠性以及所承載的巨大數(shù)據(jù)流量的轉(zhuǎn)發(fā)性能對(duì) 網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、 、設(shè)備選擇和技術(shù)實(shí)施等方面要求非常高，必 需全面體現(xiàn)出該網(wǎng)絡(luò)結(jié)構(gòu)的高可靠性、高擴(kuò)展性、高安全性， 從而確保網(wǎng)絡(luò)的穩(wěn)定運(yùn)轉(zhuǎn)，滿足業(yè)務(wù)處理的需求。 1. 網(wǎng)絡(luò)拓?fù)鋱D 圖 2.2 網(wǎng)絡(luò)拓?fù)鋱D 2. 網(wǎng)絡(luò)層次 整個(gè)石景山衛(wèi)生局局域網(wǎng)可劃分為以下二部分： 2.12.1 核心層核心層 選用思科 4507 交換機(jī)作為核心交換機(jī)，使用光纖連接到匯 聚層交換機(jī)，以實(shí)

39、現(xiàn)核心設(shè)備的高冗余性、高可靠性及網(wǎng)絡(luò)的 高擴(kuò)展性的需求。 核心層功能核心層功能：核心層是網(wǎng)絡(luò)的高速骨干必需最大現(xiàn)代的實(shí) 現(xiàn)數(shù)據(jù)線性轉(zhuǎn)發(fā)并具備高可靠性。 設(shè)備選擇設(shè)備選擇：選用思科 4507 交換機(jī)作為構(gòu)成局域網(wǎng)的核心， 以達(dá)到高可靠性的連接，配備 11 個(gè)光纖模塊與接入交換機(jī)相連。 2.22.2 接入層接入層 石景山衛(wèi)生局新樓投入使用后，每個(gè)信息點(diǎn)通過相鄰的接 入交換機(jī)接入局域網(wǎng)，各樓層的接入交換機(jī)通過匯聚交換機(jī)相 連形成一個(gè)統(tǒng)一的、便于管理的、高速的獨(dú)立傳輸單元。 接入層功能：承載終端設(shè)備所有數(shù)據(jù)流量的轉(zhuǎn)發(fā)及與中心 設(shè)備的數(shù)據(jù)交互。 設(shè)備選擇：接入層交換機(jī)采用思科 2960 設(shè)備，9 臺(tái) 4

40、8 口 交換機(jī)，2 臺(tái) 24 口交換機(jī)，每臺(tái)交換機(jī)配備 1 個(gè)光模塊，通過 光纖與匯聚層交換機(jī)連接。 3. 交換機(jī)的具體部署 3.13.1 信息點(diǎn)分布信息點(diǎn)分布 序號(hào)序號(hào)樓層樓層數(shù)據(jù)信息數(shù)據(jù)信息 點(diǎn)點(diǎn) 實(shí)際使用實(shí)際使用 點(diǎn)數(shù)點(diǎn)數(shù) 光纖點(diǎn)光纖點(diǎn) 北辦公樓北辦公樓 14f94461 23f94461 32f94461 41f94461 5-1f10101 南辦公樓南辦公樓 15f62401 24f62401 33f62401 42f62401 51f69401 6-1f331 合計(jì)數(shù)合計(jì)數(shù) 據(jù)點(diǎn)據(jù)點(diǎn) 7067063973971111 表 2.1 信息點(diǎn)分布 3.23.2 交換機(jī)部署交換機(jī)部署 1)

41、 網(wǎng)絡(luò)機(jī)柜 在南樓、北樓每層豎井內(nèi)各放置一架標(biāo)準(zhǔn) 19 英寸網(wǎng)絡(luò)機(jī)柜， 機(jī)柜內(nèi)放置 100 端口配線架。 2) 接入交換機(jī) 在北樓 1、2、3、4 層，南樓 1、2、3、4、5 層豎井內(nèi)網(wǎng)絡(luò) 機(jī)柜中各安裝 1 臺(tái) 48 口思科 2960 交換機(jī)，每臺(tái)交換機(jī)配備 1 個(gè)單模光模塊與核心交換機(jī)連接，滿足每層信息點(diǎn)數(shù)量的需求。 在南、北樓地下一層豎井內(nèi)網(wǎng)絡(luò)機(jī)柜中各安裝 1 臺(tái) 24 口思 科 2960 交換機(jī)，每臺(tái)交換機(jī)配備 1 個(gè)單模光模塊與核心交換機(jī) 連接，滿足每層信息點(diǎn)數(shù)量的需求。 3) 核心交換機(jī) 在網(wǎng)絡(luò)機(jī)房（位于南樓 2 層）安裝思科 4507 設(shè)備作為核心 交換機(jī)，選擇單模光口，分別與大

42、樓豎井內(nèi)的二層交換機(jī)連接， 同時(shí)為網(wǎng)絡(luò)中心的服務(wù)器提供接入。 4. 局域網(wǎng)中其他設(shè)備及軟件 其他網(wǎng)絡(luò)設(shè)備包括路由器、防火墻、服務(wù)器及相關(guān)軟件等， 均放置在南樓 2 層網(wǎng)絡(luò)機(jī)房內(nèi) 4.14.1 路由器路由器 路由器采用思科 2821 設(shè)備最為局域網(wǎng)的出口，支持靜態(tài)路 由、rip、ospf 等路由協(xié)議，支持多條撥號(hào)訪問、多種接入方 式。配置 4 各快速以太網(wǎng)接口，與 internet 及石景山政務(wù)網(wǎng)連 接。 4.24.2 防火墻防火墻 采用 asa5520 設(shè)備作為網(wǎng)絡(luò)防火墻，配置 100m 防火墻，吞 吐量不低于 100mbps，具備 nas、vpn（吞吐量不低于 40mbps） ， 圖形化配置

43、方式，有日志管理功能。 4.34.3 服務(wù)器服務(wù)器 共設(shè)置 7 臺(tái)服務(wù)器滿足石景山局域網(wǎng)內(nèi)各種業(yè)務(wù)系統(tǒng)的支 撐，分別為 dhcp/ftp 服務(wù)器、www/dns 服務(wù)器、oa 服務(wù)器、電 子郵件服務(wù)器、網(wǎng)絡(luò)管理服務(wù)器、會(huì)議錄播服務(wù)器、防病毒服 務(wù)器。服務(wù)器采用惠普 ml150 設(shè)備。 4.44.4 軟件軟件 每臺(tái)服務(wù)器上均安裝相應(yīng)的功能軟件，操作系統(tǒng)統(tǒng)一采用 windows server 2003，殺毒軟件采用與石景山政務(wù)網(wǎng)統(tǒng)一的 kill 系統(tǒng)。 5. vlan 劃分 在網(wǎng)絡(luò)內(nèi)進(jìn)行 vlan 劃分的目的主要是為了抑制廣播風(fēng)暴， 提高網(wǎng)絡(luò)運(yùn)行效率，同時(shí)還可以根據(jù)需求對(duì)不同的類型的用戶 進(jìn)行隔離

44、，配合相應(yīng)的地址分配策略，提高網(wǎng)絡(luò)安全性。為進(jìn) 一步加強(qiáng)網(wǎng)絡(luò)的安全性和可管理性，需要指定嚴(yán)格的整體網(wǎng)絡(luò) vlan 劃分方案，使網(wǎng)絡(luò)具有管理、身份認(rèn)證、控制網(wǎng)絡(luò)流量、 ip 地址綁定等功能。 5.15.1 vlanvlan 劃分的四種策略劃分的四種策略 1) 基于端口的 vlan 劃分 基于端口的 vlan 劃分是最簡單、最有效的 vlan 劃分方法。 該方法只需要網(wǎng)絡(luò)管理員針對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分 配租戶在不同的邏輯網(wǎng)段中即可。 2) 基于 mac 地址的 vlan 基于 mac 地址的 vlan 劃分其實(shí)就是基于工作站、服務(wù)器的 vlan 組合。適用于較小的網(wǎng)絡(luò)規(guī)模。 3) 基于路由

45、的 vlan 劃分 路由協(xié)議工作在七層協(xié)議的第三層-網(wǎng)絡(luò)層，即基于 ip 和 ipx 協(xié)議的轉(zhuǎn)發(fā)。該方式允許一個(gè) vlan 跨越多個(gè)交換機(jī)，或一 個(gè)端口位于多個(gè) vlan 中。 4) 基于策略的 vlan 劃分 基于策略的 vlan 劃分是一種比較有效直接的方式。這主要 取決于在 vlan 劃分中所采用的策略。 5.25.2 石景山衛(wèi)生局石景山衛(wèi)生局 vlanvlan 劃分劃分 1) 公共區(qū)域，例如圖書館、會(huì)客室、教室、會(huì)議室、多功能廳 等，根據(jù)端口進(jìn)行 vlan 劃分； 2) 辦公區(qū)域根據(jù)不同的部門劃入為不同的 vlan； 3) 為敏感部門和個(gè)人，如財(cái)務(wù)部、酒店管理人員等劃分獨(dú)立 vlan；

46、 4) 核心機(jī)房中的服務(wù)器等設(shè)備根據(jù)各自的 mac 地址劃分 vlan。 6. ip 地址規(guī)劃 石景山衛(wèi)生局的 ip 地址分配建議采用動(dòng)態(tài)地址分配 （dhcp）方式和靜態(tài) ip 地址分配結(jié)合的方式，公共區(qū)域部分的 網(wǎng)絡(luò)建議采用 dhcp 方式，做到即插即用。匯聚交換機(jī)起三層功 能，可以根據(jù) vlan 不同的 ip 地址池，這樣每個(gè) vlan 對(duì)應(yīng)一 個(gè) ip 地址段，不同 vlan 的用戶 ip 地址不在同一個(gè)子網(wǎng)；也可 以多個(gè) vlan 共用一個(gè) ip 地址池。 辦公區(qū)域網(wǎng)絡(luò)建議采用靜態(tài) ip 地址方式，這種方式便于管 理和維護(hù)。每個(gè)員工分配固定的 ip 地址和賬號(hào)/密碼，對(duì)于固 定位置的用

47、戶，還可以采用 ip 地址/mac 地址和交換機(jī)端口綁 定的方式，提高安全性。 辦公區(qū)域和公共區(qū)域采用不同的 ip 地址段，以便在三層交 換機(jī)上實(shí)現(xiàn)基于 ip 地址的訪問控制，實(shí)現(xiàn)不同區(qū)域的隔離。 7. 設(shè)備選型 7.17.1 核心交換機(jī)核心交換機(jī) 思科 4500 系列交換機(jī)將無阻塞第二 到第四層交換與最優(yōu)控制相集成，有助于 部署關(guān)鍵業(yè)務(wù)應(yīng)用的大型企業(yè)、中小型企 業(yè)和城域以太網(wǎng)客戶提供業(yè)務(wù)永久性。思 科 4500 系列交換機(jī)提供多種智能服務(wù)， 其中包括先進(jìn)的服務(wù)質(zhì)量(qos)、可預(yù)測性能、告警安全性和全 面的管理。它提供帶集成永久性的出色控制，將永續(xù)性集成到 硬件和軟件中，縮短了網(wǎng)絡(luò)停用時(shí)間，

48、有助于確保員工的效率。 它的模塊化架構(gòu)、介質(zhì)靈活性和可擴(kuò)展性減少了重復(fù)運(yùn)營開支。 圖 2.3 思科 4507 1) 思科 4507 設(shè)備的優(yōu)勢 性能性能：提供了帶寬可隨端口的添加二擴(kuò)展的高級(jí)交換解決 方案，提供線速第二到第三層 10/100/1000m 位交換。第二層交 換可擴(kuò)展到 136gbps、102mpps,第三到第四層交換也可擴(kuò)展到 136gbps、102mpps。 端口密度端口密度：可達(dá)到一個(gè)機(jī)箱中 384 個(gè)以太網(wǎng)端口，支持 10/100/1000 自動(dòng)檢測，自動(dòng)協(xié)商千兆以太網(wǎng)連接，可選萬兆 以太網(wǎng)上行鏈路接口。 高級(jí)安全性高級(jí)安全性：支持 802.1x、訪問控制列表（acl） 、

49、ssh 協(xié) 議、動(dòng)態(tài) arp 檢測(dai)、源 ip 防護(hù)和 vlan 等安全特性。 功能透明的線卡功能透明的線卡：只需要添加一個(gè)新的交換管理引擎即可 輕松地將所有系統(tǒng)端口升級(jí)到更高層的交換功能，而無需更換 現(xiàn)有線卡和布線。 到桌面的千兆連接到桌面的千兆連接：采用自動(dòng)檢測技術(shù)的 10/100/1000base-t 三速線卡和端口模塊，無需更換線卡即可 將快速以太網(wǎng)升速到 1000m。 基于硬件的組播基于硬件的組播：采用協(xié)議獨(dú)立型組播(pim)密集和疏松 模式、互聯(lián)網(wǎng)小組管理協(xié)議(igmp)和思科群組管理協(xié)議支持基 于標(biāo)準(zhǔn)和經(jīng)思科技術(shù)增強(qiáng)的高效多媒體聯(lián)網(wǎng)，且對(duì)性能無影響。 ciscocisco

50、 netflownetflow 服務(wù)服務(wù)：用于 supervisor engine iv 和 v 的 cisco netflow 服務(wù)卡支持硬件中的統(tǒng)計(jì)數(shù)據(jù)獲取，用于基 于流量和基于 vlan 的統(tǒng)計(jì)監(jiān)控。 針對(duì)關(guān)鍵任務(wù)應(yīng)用的帶寬保護(hù)針對(duì)關(guān)鍵任務(wù)應(yīng)用的帶寬保護(hù)：當(dāng)部署 supervisor engine iv、v 或 v-10ge 時(shí)，在實(shí)施 qos 或安全特性時(shí)不會(huì)降 低轉(zhuǎn)發(fā)性能，繼續(xù)一全線速轉(zhuǎn)發(fā)分組。 到桌面的光纖連接到桌面的光纖連接：24 和 48 端口線卡提供了光纜設(shè)計(jì)的 安全性和永續(xù)性，使之極適于有距離限制、入侵漏洞或 rf 干擾 的網(wǎng)絡(luò)。 2) 思科 4507 的主要性能指標(biāo) 傳輸

51、速率傳輸速率 10mbps/100mbps/1000mbps 網(wǎng)絡(luò)標(biāo)準(zhǔn)網(wǎng)絡(luò)標(biāo)準(zhǔn) ieee 802.3、ieee 802.3u、ieee 802.3z、ieee 802.3x、ieee 802.3ab、ieee 802.1q、ieee 802.1d、ieee 802.1w、ieee 802.1s、ieee 802.1x、ieee 802.3af 端口數(shù)量端口數(shù)量 240 接口介質(zhì)接口介質(zhì) 100base-tx、10/100/1000base-t、1000base- sx、 1000base-lx/lh、1000base-zx 傳輸模式傳輸模式 支持全雙工 背板帶寬背板帶寬 100gbps vla

52、nvlan 支持支持 支持 macmac 地址表地址表 32k 模塊化插槽數(shù)模塊化插槽數(shù) 7 指示面板指示面板 風(fēng)扇制冷：包含在熱插入/熱取出單元中；良好： 綠色（良好） ；故障：紅色（錯(cuò)誤） ；支持 snmp mib 尺寸尺寸(mm)(mm) 439.7317487.4 重量重量(kg)(kg) 20.07 其他技術(shù)參數(shù)其他技術(shù)參數(shù) 7 個(gè)總插槽數(shù)：2 個(gè)交換管理引擎插槽；超 級(jí)引擎冗余性（只限 supervisor engine ii-plus,iv 和 v） ； 支持的交換管理引擎 supervisor engine ii-plus，iv，v；5 個(gè)線路卡插槽；2 個(gè)電源機(jī)架數(shù)量；支持交

53、流輸入電源 ；支持 直流輸入電源；集成 poe（ip 電話和無線接入點(diǎn)）支持 ；1 個(gè) 風(fēng)扇機(jī)架；19 英寸機(jī)架安裝位置 7.27.2 接入交換機(jī)接入交換機(jī) cisco catalyst 2960 系列智能以太網(wǎng)交換機(jī)是一個(gè)全新 的、固定配置的獨(dú)立設(shè)備系列，提供桌面快速以太網(wǎng)和 10/100/1000 千兆以太網(wǎng)連接，可為入門級(jí)企業(yè)、中型市場和 分支機(jī)構(gòu)網(wǎng)絡(luò)提供增強(qiáng) lan 服務(wù)。 cisco catalyst 2960 提供： 集成安全特性，包括網(wǎng)絡(luò)準(zhǔn)入 控制(nac) 高級(jí)服務(wù)質(zhì)量(qos)和永續(xù)性 為網(wǎng)絡(luò)邊緣提供智能服務(wù) 圖 2.4 思 科 2960 cisco catalyst 296

54、0 系列智能以太網(wǎng)交換機(jī)是一個(gè)全新 的、固定配置的獨(dú)立設(shè)備系列，提供桌面快速以太網(wǎng)和 10/100/1000 千兆以太網(wǎng)連接，適用于入門級(jí)企業(yè)、中型市場 和分支機(jī)構(gòu)網(wǎng)絡(luò)，有助于提供增強(qiáng) lan 服務(wù)。catalyst 2960 系列具有集成安全特性，包括網(wǎng)絡(luò)準(zhǔn)入控制(nac)、高級(jí)服務(wù)質(zhì) 量(qos)和永續(xù)性，可為網(wǎng)絡(luò)邊緣提供智能服務(wù)。 該系列還包括一系列針對(duì)網(wǎng)絡(luò)管理員所作的硬件改進(jìn)，包 括雙介質(zhì)（或有線）千兆以太網(wǎng)上行鏈路配置，允許網(wǎng)絡(luò)管理 員使用銅纜端口或光纖上行鏈路端口。另外，它包括一款 24 端 口千兆以太網(wǎng)交換機(jī)，可加速網(wǎng)絡(luò)中的桌面千兆位(gttd)傳輸。 特性特性指標(biāo)指標(biāo) 轉(zhuǎn)發(fā)帶寬

55、（gbps） 13.6 每秒分組數(shù)(mpps) 10.1 支持的 mac 地址 8000 內(nèi)存 64m 千兆端口（sfp/gbic）密度 0 10/100/1000m 端口密度 2 10/100m 密度 48 供電模式交流 功耗 45w 設(shè)備規(guī)格（長寬高）23.644.54.4 厘米 表 2.2 思科 2960 的主要技術(shù)指標(biāo) 7.37.3 思科思科 28212821 路由器路由器 模塊化 cisco 2800 系列集成多 業(yè)務(wù)路由器建立在思科 20 年的領(lǐng)先地 位及創(chuàng)新技術(shù)的基礎(chǔ)之上，智能地將 數(shù)據(jù)、安全性和話音服務(wù)內(nèi)嵌于單一永續(xù)系統(tǒng)，能快速、可擴(kuò) 展地提供關(guān)鍵任務(wù)業(yè)務(wù)應(yīng)用。cisco 28

56、00 系列的獨(dú)特集成系統(tǒng) 架構(gòu)提供了最高業(yè)務(wù)靈活性和投資保護(hù)。cisco 2800 系列能以 線速為多條t1/e1/xdsl 連接提供多種高質(zhì)量并發(fā)服務(wù)。這些路 由器提供了內(nèi)嵌加密加速和主板話音數(shù)字信號(hào)處理器（dsp）插 槽；入侵保護(hù)和防火墻功能；集成化呼叫處理和語音留言；用 于多種連接需求的高密度接口；以及充足的性能和插槽密度， 以用于未來網(wǎng)絡(luò)擴(kuò)展和高級(jí)應(yīng)用。 圖 2.5 思科 2821 路由器 產(chǎn)品架構(gòu)產(chǎn)品架構(gòu) dram 缺省: 256 mb 最大: 1 gb 固定 usb 1.1 端口 2 板載 lan 端口 210/100/1000 板載 aim (內(nèi)部) 插 槽 2 接口卡插槽 4

57、個(gè)插槽， 每個(gè)插槽可支持 hwic， wic， vic， 或 vwic 模塊 網(wǎng)絡(luò)模塊插槽 1 個(gè)插槽， 支持 nm， nme 和 nme-x 模塊 擴(kuò)展話音模塊插槽 1 主板上的 pvdm 插槽 3 基于硬件的集成加密 有 vpn 硬件加速 (在主 板上) des， 3des， aes 128， aes 192， 和 aes 256 可選集成饋線電源 (poe) 有，需要 ac-ip 電源 控制臺(tái)端口(高達(dá) 115.2 kbps) 1 輔助端口(高達(dá) 115.2 kbps) 1 機(jī)架安裝 19 和 23 英寸選項(xiàng) 電源要求電源要求 交流輸入電壓 100-240 vac，自動(dòng)調(diào)節(jié) 交流輸入頻率

58、 4763 hz 交流輸入電流 3a (110v)；2a (230v) 交流輸入電涌電流 最大 50a，1 個(gè)周期 (包括48v 電源) ac-ip 最大饋線配電 240w ac-ip 輸入電流 8a (110v)；4a (230v) ac-ip 輸入電涌電流 最大 50a，1 個(gè)周期 (包括48v 電源) 直流輸入電壓 24-60 vdc， 正負(fù)自動(dòng)調(diào)節(jié) 直流輸入電流 12a (24v)；5a (60v)；起始電流 50a10 ms 功耗交流，無 ip 電 話支持 280w (955 btu/hr) 功耗直流 300w (1024 btu/hr) 環(huán)境參數(shù)環(huán)境參數(shù) 工作溫度 32-104f

59、(0-40c) 工作濕度 5-95%，非冷凝 非工作溫度 4-149f (20- 65c) 工作高度 (每 1000 ft 降低 1.5c) 27.5c 15 kft ；35c 3km/10 kft ；40c 海平面 尺寸 (h x w x d) 3.5 x 17.25 x 16.4 in. (88.9 x 438.2 x 416.6 mm) 機(jī)架高度 2ru 重量 (全配置) 25 lb (11.4 kg) 噪音級(jí)別(最低/最高) 44 dba，正常工作溫度(90f/32.2 c) 53 dba (最大風(fēng)扇速度) 表 2.3 思科 2821 的主要技術(shù)指標(biāo) 7.47.4 asa5520asa

60、5520 防火墻防火墻 cisco asa 5200 系列自適應(yīng)安全設(shè)備將最佳的安全服務(wù)、 vpn 服務(wù)與 cisco 創(chuàng)新性的自適應(yīng)識(shí)別和緩解（aim）架構(gòu)結(jié)合， 是一套高度靈活的解決方案。cisco asa 5200 系列是思科自防 御網(wǎng)絡(luò)技術(shù)的關(guān)鍵產(chǎn)品，可以有效防止網(wǎng)絡(luò)攻擊的擴(kuò)散，控制 網(wǎng)絡(luò)行為和應(yīng)用流量，并提供靈活的 vpn 連接。因此，它的出 現(xiàn)為用戶提供了一個(gè)強(qiáng)大的多功能網(wǎng)絡(luò)安全設(shè)備家族，可以有 效地保護(hù)中小型企業(yè)的網(wǎng)絡(luò)和業(yè)務(wù)，同時(shí)幫助企業(yè)縮減總體部 署和運(yùn)營成本，避免全面的安全保障所可能導(dǎo)致的復(fù)雜性。 cisco asa 5500 系列在單一平臺(tái)上集成了多種主流技術(shù)， 支持在更多