大中型企業(yè)網(wǎng)絡規(guī)劃設計方案new

1、畢 業(yè) 論 文論文題目 大中型企業(yè)網(wǎng)絡規(guī)劃 設計方案 學 院 中國農(nóng)業(yè)大學 專業(yè)年級 計算機科學與技術姓名學號 指導教師 職 稱 （年月）中國農(nóng)業(yè)大學教務處制中國農(nóng)業(yè)大學學士學位論文 大中型企業(yè)網(wǎng)絡規(guī)劃設計方案中文摘要在信息技術迅猛發(fā)展的今天，網(wǎng)絡技術已經(jīng)滲透到各行各業(yè)，它帶來了大量的新知識、新技術，徹底改變了我們?nèi)粘Ｉ罴肮ぷ鞣绞?。它開闊了人們的眼界，使工作及生活的效率得以提高，網(wǎng)絡技術的迅猛普及最終將使我們受益匪淺，使我們以全新的理念及高效率的工作方式迎接新技術革命的挑戰(zhàn)。本文以網(wǎng)絡工程設計與規(guī)劃為題，闡述了如何規(guī)劃與設計一個大中型網(wǎng)絡的具體實現(xiàn)步驟，通過網(wǎng)絡需求收集以及對網(wǎng)絡層次、拓撲、

2、流量、地址、路由、安全等方面進行分析為最終的網(wǎng)絡設計方案構建提供決策的依據(jù)。論文分為：網(wǎng)絡方案設計概述、設備的選型、網(wǎng)絡系統(tǒng)設計特點例等幾個方面進行具體的闡述。關鍵字：網(wǎng)絡層次、流量分析、地址規(guī)劃、安全管理。AbstractIn today's rapid development of information technology, network technology has already permeated all walks of life, it brings a lot of new knowledge, new technology, completely changed

3、 our daily life and work. It broaden people's horizons to the efficiency of work and life can be improved, the rapid popularization of network technology will ultimately benefit us, so we have to new ideas and ways of working efficiently to meet the challenges of the new technological revolution

4、.The main idea of this paper is network engineering design & planning, It explains how to plan and design a concrete implementation steps, Medium and large networks,The decision-making depends on the analysis network requirements gathering & network level, topology, traffic, address, ro

5、uting, security and other aspects.The Paper divided in several aspects, include an overview of network design equipment selection network system design features.Keywords: network level, traffic analysis, address the planning, safety management.目錄引言41、網(wǎng)絡方案設計概述41.1項目背景41.2建立目標41.3設計原則42、設備選型62.1系統(tǒng)功能62

6、.2系統(tǒng)環(huán)境要求63、網(wǎng)絡系統(tǒng)規(guī)劃設計73.1系統(tǒng)結構73.1.1.系統(tǒng)特點分析73.1.2.結構設計73.2冗余性設計93.2.1.采用HSRP熱備份協(xié)議技術93.2.2.HSRP工作原理103.2.3.系統(tǒng)的可靠性103.2.4.負載均衡103.2.5.系統(tǒng)的高安全性103.3系統(tǒng)擴容方案103.3.1.核心交換機的冗余與擴容103.3.2.接入交換機的冗余與擴容103.4VLAN的劃分及IP地址分配113.4.1.VLAN的設計方案113.4.2.IP地址原則113.4.3.IP地址和Vlan具體劃分123.5網(wǎng)絡安全方案143.5.1.網(wǎng)絡安全概述143.5.2.網(wǎng)絡安全體系結構143

7、.5.3.安全管理原則153.5.4.安全管理的實現(xiàn)164、總結175、參考文獻186、致謝19中國農(nóng)業(yè)大學畢業(yè)設計（論文）任務書20引言網(wǎng)絡飛速的發(fā)展，滲透了各行各業(yè)。在今天的時代大環(huán)境中，企業(yè)只有在技術上領先才能在競爭中擁有優(yōu)勢地位。商務應用、電子郵件、網(wǎng)絡技術、路由交換機、千兆以太網(wǎng)和策略聯(lián)網(wǎng)等不斷涌現(xiàn)，優(yōu)化這些應用，同時設置新應用。新應用如VOIP電話、視頻會議等，正在改變?nèi)藗冮_展工作的方式，同時也改變著單位團體使用網(wǎng)絡的方式。選擇一體化網(wǎng)絡的解決方案，是符合時代潮流，并且是提高工作效率的有效途徑。1、 網(wǎng)絡方案設計概述1.1 項目背景本方案為某單位辦公樓的網(wǎng)絡系統(tǒng)建設，主樓地上9層，

8、地下一層，裙樓3層。主樓作為辦公實驗樓，裙樓作為會堂及展廳。本系統(tǒng)主要為內(nèi)部工作人員提供內(nèi)部局域網(wǎng)以及與Internet的安全連接，承載智能大廈的弱電系統(tǒng)各項數(shù)據(jù)信息的傳輸。1.2 建立目標A. 建立光纖骨干網(wǎng)，提供內(nèi)部高速、高效、安全的信息高速公路；B. 網(wǎng)管中心形成具有信息轉發(fā)、存儲、共享、綜合處理、查詢服務等能力的核心交換系統(tǒng)； C. 充分考慮系統(tǒng)的安全性，提供系統(tǒng)數(shù)據(jù)備份等安全問題解決方案；D. 充分考慮可擴充性，網(wǎng)絡系統(tǒng)可以很方便的升級和擴充；E. 建立以信息交換、信息發(fā)布和查詢應用為主的網(wǎng)絡應用基礎環(huán)境，為企業(yè)的管理提供先 進的支持手段。整個網(wǎng)絡系統(tǒng)技術領先，安全實用，操作、維護方

9、便；網(wǎng)絡結構采用兩層結構，分為核心層、接入層。1.3 設計原則結合整個實際應用和發(fā)展要求，在進行網(wǎng)絡系統(tǒng)改造設計時，主要應遵循以下原則：（1） 高性能：網(wǎng)絡要求具有數(shù)據(jù)、圖像、語音等多媒體實時同步通訊能力。主干網(wǎng)提供可保證的服務質量和充足的帶寬。采用最新科技，以適應大量數(shù)據(jù)傳輸以及多媒體信息的傳輸。整個系統(tǒng)在國內(nèi)五到十年內(nèi)保持領先的水平，并具有長足的發(fā)展能力，以適應未來網(wǎng)絡技術的發(fā)展。如：具有三層及以上線速交換能力；支持靈活的跨網(wǎng)絡交換機（主干、部門）的基于IP、端口、MAC地址的VLAN劃分功能。（2） 高可靠性：網(wǎng)絡系統(tǒng)是日常業(yè)務和各種應用系統(tǒng)的基礎設施，應保證工作日和重點時期不間斷運行。

10、整個網(wǎng)絡有足夠的冗余，設備在發(fā)生故障時能以熱插拔的方式在最短時間內(nèi)加以修復。同時，在核心層采用雙機容災設置，降低了由系統(tǒng)故障引起的停滯時間?？煽啃赃€充分考慮網(wǎng)絡系統(tǒng)的性價比，使整個網(wǎng)絡具有一定的容錯能力，減少單點故障。（3） 標準化：所有網(wǎng)絡設備都符合有關國際標準以保證不同廠家網(wǎng)絡設備之間的互操作性和網(wǎng)絡系統(tǒng)的開放性。（4） 高可用度和冗余：核心交換機采用雙機熱備容災式設計，主控、電源、端口卡、制冷設備等關鍵部位均有硬件冗余，單個部件的故障不影響網(wǎng)絡的正常運行，可用度超過99.99%。關鍵部件具有熱插拔功能，可保證在部件的更換或增加時不影響網(wǎng)絡正常運行。（5） 可擴充性和可擴展性：所有網(wǎng)絡設備

11、不但滿足當前需要，并在擴充模塊后，滿足可預見將來需求。網(wǎng)絡設計要考慮當前應用和今后網(wǎng)絡的發(fā)展，便于向更新技術的升級與銜接。要留有擴充余量，包括端口數(shù)量和帶寬的升級能力。（6） 易管理性：網(wǎng)絡設備應易于管理，易于維護，操作簡單，易學，易用，便于進行網(wǎng)絡配置，發(fā)現(xiàn)故障。（7） 三層交換與VLAN的結合：在網(wǎng)絡中，各個部門可根據(jù)實際情況靈活的進行VLAN的劃分，在整個網(wǎng)絡中使用虛擬技術，以便提供網(wǎng)絡的安全性和靈活性。中心設備和骨干設備能提供高速的VLAN路由和高性能的三層數(shù)據(jù)包處理。（8） 支持多媒體：支持文本、語音、圖形、圖像及音頻、視頻等多種媒體信息的傳輸、查詢服務，具有多種基于優(yōu)先級隊列的Qo

12、S保證，多媒體應用對服務質量有很高的要求，如帶寬，延遲的變化等，需要網(wǎng)絡對服務質量(QoS)有很好的支持。（9） 安全性：網(wǎng)絡系統(tǒng)的數(shù)據(jù)和文件多數(shù)要求具有高度的安全性，因此，網(wǎng)絡系統(tǒng)本身要有較高的安全性，對使用的信息進行嚴格的權限管理，在技術上提供先進的、可靠的、全面的安全方案和應急措施，確保系統(tǒng)萬無一失。同時符合國家關于網(wǎng)絡安全標準和管理條例。（10） 實用性：系統(tǒng)建設首先要從系統(tǒng)的實用性角度出發(fā)，未來國際園內(nèi)部的信息傳輸都將依賴于計算機網(wǎng)絡系統(tǒng)，所以系統(tǒng)設計必須具有很強的實用性，滿足不同用戶信息服務的實際需要，具有很高的性能價格比，能為多種應用系統(tǒng)提供強有力的支持平臺；同時應很好地利用現(xiàn)有

13、設備資源，保護用戶的已有投資。2、 設備選型本次方案計算機網(wǎng)絡交換設備我方選用國產(chǎn)H3C公司的產(chǎn)品。對于核心交換機我方選用兩臺ERS 8610系列交換機，ERS 8610系列交換機支持廣泛的接口類型和密度。接入層交換機我方均選用ERS 4500系列智能以太網(wǎng)交換機，該系列交換機是一個固定配置的獨立設備系列，提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，可提供增強LAN服務。LS-3100系列具有集成安全特性，包括網(wǎng)絡準入控制(NAC)、高級服務質量(QoS)和永續(xù)性，可為網(wǎng)絡邊緣提供智能服務。主要性能指標參見主要設備技術指標。與外部網(wǎng)絡連接的安全網(wǎng)關，我們選用H3C公司的NS-SecPath F1000

14、-S-AC，它可以提供業(yè)界領先的狀態(tài)防火墻和IP安全（IPSec）虛擬專用網(wǎng)服務，具有更強的處理能力和集成化的、基于硬件的IPSec加速功能。中心配置2臺核心交換機互為備份，接入層配15臺48口交換機和3臺24口交換機。2.1 系統(tǒng)功能本次網(wǎng)絡系統(tǒng)實現(xiàn)以下功能：A. 適應桌面計算機處理、I/O能力大幅度提高的現(xiàn)狀，發(fā)揮桌面機的網(wǎng)絡性能，提高桌面機的訪問帶寬；達到主干10000M，10M/100M自適應交換到桌面。B. 適應連網(wǎng)規(guī)模大、總流量大的情況，合理分布流量，實現(xiàn)流量隔離和控制；C. 提供對應用服務器的特別支持；D. 適應部門多、層次復雜的特點，合理進行網(wǎng)絡劃分，實現(xiàn)有效的安全訪問控制和運

15、行管理。E. 能夠向未來的高速網(wǎng)絡技術和不斷出現(xiàn)的新應用過渡。F. 保護已有投資，使原有的設備和網(wǎng)絡能夠平穩(wěn)升級。G. 實現(xiàn)網(wǎng)絡互聯(lián)，解決互聯(lián)網(wǎng)絡帶來的安全問題和管理問題。H. 適應數(shù)據(jù)集中型應用的發(fā)展趨勢，為客戶/服務器的應用環(huán)境提供支撐。I. 增加網(wǎng)絡系統(tǒng)的運行可靠性，核心設備實現(xiàn)冗余，降低故障隱患，提高系統(tǒng)的可管理性。J. 適應機構建制和工作流程，提供多層次的安全保障。2.2 系統(tǒng)環(huán)境要求工作溫度要求：范圍在0-45；工作濕度要求：范圍在10%-85%(非冷凝)；供電要求：保證每個設備間、配線間的供電功率在所屬設備額定功率總和的1-1.5倍之間，并保持穩(wěn)定；安裝間距要求：設備安裝間距保證

16、在1U。3、 網(wǎng)絡系統(tǒng)規(guī)劃設計3.1 系統(tǒng)結構3.1.1. 系統(tǒng)特點分析目前網(wǎng)絡系統(tǒng)拓撲結構有四種分析：(一) 星型拓撲結構(二) 總線拓撲結構(三) 環(huán)型拓撲結構(四) 樹型拓撲結構序號結構分類優(yōu)點缺點備注1星型拓撲結構（1）控制簡單。 （2）故障診斷和隔離容易。 （3）方便服務。（1）電纜長度和安裝工作量可觀。 （2）中央節(jié)點的負擔較重，形成瓶頸。 （3）各站點的分布處理能力較低。2總線拓撲結構（1）總線結構所需要的電纜數(shù)量少。 （2）總線結構簡單，又是無源工作，有較高的可靠性。 （3）易于擴充，增加或減少用戶比較方便。（1）總線的傳輸距離有限，通信范圍受到限制。 （2）故障診斷和隔離較困

17、難。 （3）分布式協(xié)議不能保證信息的及時傳送，不具有實時功能3環(huán)型拓撲結構（1）電纜長度短。 （2）增加或減少工作站時，僅需簡單的連接操作。 （3）可使用光纖。（1）節(jié)點的故障會引起全網(wǎng)故障。 （2）故障檢測困難。 （3）環(huán)形拓撲結構的媒體訪問控制協(xié)議都采用令牌傳達室遞的方式，在負載很輕時，信道利用率相對來說就比較低。4樹型拓撲結構（1）易于擴展。 （2）故障隔離較容易。各個節(jié)點對根的依賴性太大。3.1.2. 結構設計根據(jù)上表結構特點的對比和項目的實際環(huán)境需求，本次網(wǎng)絡建設拓撲結構為分層的集中式結構或稱星型分級拓撲。本系統(tǒng)根據(jù)實際情況，采用三級星型網(wǎng)絡結構。星型結構便于集中控制，因為端用戶之間

18、的通信必須經(jīng)過中心站。由于這一特點，也帶來了易于維護和安全等優(yōu)點，端用戶設備因為故障而停機時不會影響其它端用戶間的通信。但中心系統(tǒng)必須具有極高的可靠性，因為一旦它損壞，整個系統(tǒng)便趨于癱瘓。二級星型結構如下：網(wǎng)絡系統(tǒng)設計如下：A. 主干網(wǎng)匯接各子網(wǎng)，形成中心交換；B. 子網(wǎng)通過高速交換鏈路連接到主干網(wǎng)；C. 實行全網(wǎng)范圍的集中VLANs劃分與管理；D. 核心網(wǎng)絡采用雙機熱備容災方式；E. 在網(wǎng)絡中心進行集中控制和管理；F. 桌面機連接到基層網(wǎng)段上，服務器、工作站連接到高層網(wǎng)絡；G. 流量劃分層次，跨越基層網(wǎng)段的流量匯接到工作組子網(wǎng)，跨越工作組子網(wǎng)的流量匯接到主干；H. 在完善的網(wǎng)絡基礎之上，系統(tǒng)

19、提供基本的Internet服務。本項目計算機網(wǎng)絡總體上分為兩個層次的結構：核心層，接入層。核心層：核心層主要為網(wǎng)絡系統(tǒng)提供一條高帶寬、高容量、高可靠性的高速信息公路，為監(jiān)控數(shù)據(jù)查看與存儲提供高速的數(shù)據(jù)交換通路。該層由兩臺核心交換機互為熱備構成，提供若干個千兆以太網(wǎng)絡光纖端口以及第三層路由交換功能。接入層：接入層提供了連接各信息點的匯集功能，通過本層將各信息點匯總連接到核心層，由核心層實現(xiàn)信息交換。接入層由各樓層的交換機構成，各樓層交換機與核心交換機之間以雙千兆光纖連接，每一臺接入交換機分別兩臺核心交換機，以保證網(wǎng)絡鏈路的高可靠性。計算機網(wǎng)絡拓撲圖如下：服務器核心交換機-雙機熱備接入層交換機會堂

20、1-3層服務器服務器核心交換機-雙機熱備接入層交換機展廳接入層交換機各樓層B1-93.2 冗余性設計核心層采用兩臺核心交換機熱備容災的方式，實現(xiàn)網(wǎng)絡主干的冗余。下面就對實現(xiàn)網(wǎng)絡主干冗余的技術進行介紹。3.2.1. 采用HSRP熱備份協(xié)議技術HSRP即熱備份路由器協(xié)議，實現(xiàn)HSRP的條件是系統(tǒng)中有至少兩臺路由設備，它們組成一個“熱備份組”，這個組形成一個虛擬路由器。在任一時刻，一個組內(nèi)只有一個路由器是活動的，并由它來轉發(fā)數(shù)據(jù)包，如果活動路由器發(fā)生了故障，將選擇一個備份路由器來替代活動路由器，但是在本網(wǎng)絡內(nèi)的主機看來，虛擬路由器沒有改變。所以主機仍然保持連接，沒有受到故障的影響，這樣就較好地解決了

21、路由器切換的問題。 在使用HSRP時，一組路由器的工作將一致的表現(xiàn)為局域網(wǎng)上通往主機的一個虛擬路由器的工作。這組路由器就稱為一個 HSRP組，或備份組。這個組中將選出一個路由器來負責轉發(fā)由主機發(fā)給虛擬路由器的數(shù)據(jù)包。這個路由器就是所謂的活路由器。另一臺路由器將被選為備份路由器。在活路由器失效的情況下，備份路由器將承擔活路由器的包的轉發(fā)功能。即使你可以任意制定運行HSRP的路由器的數(shù)量，但只有活路由器才能轉發(fā)發(fā)送給虛擬路由器的數(shù)據(jù)包。 在某個局域網(wǎng)里，多個熱備組可以共存和重疊。每個備份組都仿效一個虛擬路由器。對于每個備份組來說都有一個為別人所知的MAC地址，以及一個IP地址。

22、而這個IP地址應該是這個局域網(wǎng)中第一個子網(wǎng)中的地址，但必須不同于設置在所有路由器端口上的地址和局域網(wǎng)中主機的地址，甚至包括為其他HSRP組設的地址。3.2.2. HSRP工作原理HSRP利用一個優(yōu)先級方案來決定哪個配置了HSRP的路由設備成為默認的主動路由設備。如果一個路由設備的優(yōu)先級設置的比所有其他路由設備的優(yōu)先級高，則該路由設備成為主動路由設備。路由設備的缺省優(yōu)先級是100，所以如果只設置一個路由設備的優(yōu)先級高于100，則該路由設備將成為主動路由設備。 3.2.3. 系統(tǒng)的可靠性由于本方案的路由模塊之間采用HSRP（熱備份冗余協(xié)議）協(xié)議，保證了兩臺路由模塊中的任意一臺出現(xiàn)故障，或路由模塊的

23、廣域網(wǎng)口出現(xiàn)故障，都會迅速切換到另外一臺自動接替其工作，并且不引起其他節(jié)點的路由表重新計算，從而提高網(wǎng)絡的穩(wěn)定性。3.2.4. 負載均衡因為每個接入層交換機都分別和兩臺核心交換機相聯(lián)，我們可以在兩臺核心交換機上的交換備板上劃分出各自的VLAN，某個子網(wǎng)VLAN在左側路由模塊上的HSRP的優(yōu)先級較高，這個VLAN使用左邊交換機的交換機備板交換數(shù)據(jù)；某個子網(wǎng)VLAN在右側路由器上的HSRP的優(yōu)先級較高，這個VLAN使用左邊交換機的交換機備板交換數(shù)據(jù)。這樣可以充分利用了帶寬資源，而且實現(xiàn)了負載均衡。3.2.5. 系統(tǒng)的高安全性由于各虛擬網(wǎng)之間不能直接進行通訊，而必須通過路由器轉發(fā)，為高級的安全控制提

24、供了可能，增強了網(wǎng)絡的安全性。在大規(guī)模的網(wǎng)絡中，它們之間的數(shù)據(jù)是保密的，相互之間只能提供接口數(shù)據(jù)，其它數(shù)據(jù)是保密的?？梢酝ㄟ^劃分虛擬局域網(wǎng)對不同部門進行隔離。3.3 系統(tǒng)擴容方案在網(wǎng)絡組建初期，網(wǎng)絡端口和模塊配置相應較少，隨著業(yè)務量的不斷增加，對網(wǎng)絡的需求量會越來越大，因此要求網(wǎng)絡交換設備具有較強的端口擴展性和冗余度。3.3.1. 核心交換機的冗余與擴容本系統(tǒng)采用的核心交換機為模塊化智能交換機，目前端口配置為1路萬兆光口，15路千兆光口，24路千兆電口，光口冗余度達到15%。并且在日后網(wǎng)絡系統(tǒng)容量需要增加時，只要增加相應接口卡即可輕松進行系統(tǒng)擴容。3.3.2. 接入交換機的冗余與擴容本系統(tǒng)采用

25、的接入交換機為智能化交換機，目前配置為15臺48路交換機、3臺24路交換機，目前自用網(wǎng)絡所占用的端口數(shù)為355個，僅占用總端口量的1/2，剩余端口均為預留端口，冗余度極大，完全可以保證在一段時間內(nèi)的正常使用。當網(wǎng)絡需求量超出目前配置的端口量時，只需要增加接入交換機和相關的光模塊即可實現(xiàn)接入層的擴容，根據(jù)目前的網(wǎng)絡配置情況，接入層可允許的擴容數(shù)量為18臺，如仍需增加接入交換機，則需要增加相應的核心交換機板卡。3.4 VLAN的劃分及IP地址分配3.4.1. VLAN的設計方案VLAN的實現(xiàn)方式有兩種：靜態(tài)和動態(tài)。靜態(tài)實現(xiàn)是網(wǎng)絡管理員將交換機端口分配給某一個VLAN，這是一種最經(jīng)常使用的配置方式，

26、容易實現(xiàn)和監(jiān)視，而且比較安全。 動態(tài)實現(xiàn)方式中，管理員必須先建立一個較復雜的數(shù)據(jù)庫，例如輸入要連接的網(wǎng)絡設備的MAC地址及相應的VLAN號，這樣當網(wǎng)絡設備接到交換機端口時交換機自動把這個網(wǎng)絡設備所連接的端口分配給相應的VLAN。動態(tài)VLAN的配置可以基于網(wǎng)絡設備的MAC地址、IP地址、應用或者所使用的協(xié)議。實現(xiàn)動態(tài)VLAN時候一般情況下使用管理軟件來進行管理。在CISCO交換機上可以使用VLAN管理策略服務器（VMPS）實現(xiàn)基于MAC地址的動態(tài)VLAN配置。VMPS是MAC地址與VLAN的映射表。這種配置的優(yōu)點是網(wǎng)絡管理員維護管理相應的數(shù)據(jù)庫，而不用關心用戶使用哪一個端口，但是每次新用戶加入時

27、需要做較復雜的手工配置?；贗P地址的動態(tài)配置中，交換機通過查閱網(wǎng)絡層的地址自動將用戶分配到不同的虛擬局域網(wǎng)。 這次VLAN的劃分考慮到，動態(tài)VLAN維護非常復雜、許多安全策略不能很好地得到應用，所以我們建議這次VLAN的劃分采用靜態(tài)的方式。通過改變掩碼的設置，把原有的IP地址，以部門為單位劃分成不同的網(wǎng)段。在交換機上分別建立各個VLAN的網(wǎng)關，在接入層交換機上把端口分別劃入各自的VLAN中，通過在交換機上建立訪問控制列表，控制VLAN之間是否可以通訊，通過在接入層的端口上實施安全策略，來提高網(wǎng)絡的安全性。把每個專業(yè)的本地服務器，都劃分到一個VLAN中，然后通過實施應用層的安全策略，來控制有哪

28、些員工可以訪問不同專業(yè)的本地服務器。這樣可以安全的實施資源分配，減少網(wǎng)管人員的日常工作量。3.4.2. IP地址原則IP地址是TCP/IP協(xié)議族中的網(wǎng)絡層邏輯地址，它被用來唯一地標識網(wǎng)絡中的一個節(jié)點。通常用于IP地址分配的技術有：可變長子網(wǎng)掩碼技術(VLSM¾Variable lengthSubnetMask)和路徑疊合技術(Route Summarization)。IP地址的分配遵循以下幾個原則：唯一性：一個IP網(wǎng)絡中不能有兩個主機采用相同的IP地址。簡單性：地址分配應簡單易于管理，降低網(wǎng)絡擴展的復雜性，簡化路由表的項。連續(xù)性：連續(xù)地址在層次結構網(wǎng)絡中易于進行路徑疊合，大大縮減路由

29、表，提高路由算法的效率?？蓴U展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡規(guī)模擴展時能保證地址疊合所需的連續(xù)性。靈活性：地址分配應具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。3.4.3. IP地址和Vlan具體劃分1）Vlan與IP地址段見下表：VLAN 號用途VLAN類型備注1默認VLAN10159段虛擬交換機Access主交換機業(yè)務板的29-32口VLAN，用于連接外網(wǎng)（159段）設備，VLAN IP:159.226.34.254(外網(wǎng)主網(wǎng)關)20點對點VLAN IPAccess192.168.1.58，主交換機業(yè)務板端口16的VLAN IP,鏈接入口光纖，對端IP:192.1

30、68.1.57100(99)地下1層接入交換機(因為100IPS已用，現(xiàn)改為99)1011層接入交換機1022層接入交換機1033層接入交換機1044層接入交換機1055層接入交換機1066層接入交換機1077層接入交換機1088層接入交換機1099層接入交換機200展廳接入交換機201會堂1層接入交換機202會堂2層接入交換機203會堂3層接入交換機2）設備IP/VLAN/DHCP區(qū)間劃分位置管理IP私網(wǎng)IP空間網(wǎng)關地址VLAN號說明核心交換機172.16.10.1地下一層(B1)172.16.10.10010.10.100.110.10.100.25410.10.100.199已改為99，

31、100不能用1層(L1)172.16.10.10110.10.101.110.10.101.25410.10.101.11012層(L2)172.16.10.10210.10.102.110.10.102.25410.10.102.11023層(L3)172.16.10.10310.10.103.110.10.103.25410.10.103.11034層(L4)172.16.10.10410.10.104.110.10.104.25410.10.104.11045層(L5)172.16.10.10510.10.105.110.10.105.25410.10.105.11056層(L6)172

32、.16.10.10610.10.106.110.10.106.25410.10.106.11067層(L7)172.16.10.10710.10.107.110.10.107.25410.10.107.1107保密層8層(L8)172.16.10.10810.10.108.110.10.108.25410.10.108.11089層(L9)172.16.10.10910.10.109.110.10.109.25410.10.109.1109展廳172.16.10.20010.10.200.110.10.200.25410.10.200.1200會堂1層172.16.10.20110.10.20

33、1.110.10.201.25410.10.201.1201會堂2層172.16.10.20210.10.202.110.10.202.25410.10.202.1102會堂3層172.16.10.20310.10.203.110.10.203.25410.10.203.12033.5 網(wǎng)絡安全方案3.5.1. 網(wǎng)絡安全概述網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。 網(wǎng)絡安全從其本質上來講就是網(wǎng)絡上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡上信息的機密性、完整性、可用性、可控性和可審查性的相關技

34、術和理論都屬于網(wǎng)絡安全范圍。網(wǎng)絡安全包括五個基本要素：機密性、完整性、可用性、可控性與可審查性。機密性：確保信息不暴露給未授權的實體或進程。完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。可用性：得到授權的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權者的工作?？煽匦裕嚎梢钥刂剖跈喾秶鷥?nèi)的信息流向及行為方式?？蓪彶樾裕簩Τ霈F(xiàn)的網(wǎng)絡安全問題提供調(diào)查的依據(jù)和手段。3.5.2. 網(wǎng)絡安全體系結構通過對網(wǎng)絡的全面了解，按照安全策略的要求及風險分析的結果，整個網(wǎng)絡措施應按系統(tǒng)體系建立。 具體的安全控制系統(tǒng)由以下兩個方面組成：物理安全、網(wǎng)絡安全。1）物理安全保證計算機信

35、息系統(tǒng)各種設備的物理安全是整個計算機信息系統(tǒng)安全的前提。物理安全是保護計算機網(wǎng)絡設備、設施以及其它媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤和各種計算機犯罪行為導致的破壞過程。2）網(wǎng)絡安全網(wǎng)絡安全系統(tǒng)（主機、服務器）安全反病毒系統(tǒng)安全檢測入侵檢測審計分析網(wǎng)絡運行安全備份與恢復應急、災難恢復局域網(wǎng)、子網(wǎng)安全訪問控制（防火墻）網(wǎng)絡安全檢測（1） 內(nèi)外網(wǎng)隔離及訪問控制系統(tǒng)防火墻是一種網(wǎng)絡安全保障手段,是網(wǎng)絡通信時執(zhí)行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網(wǎng)絡的權限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個需要保護的網(wǎng)絡遭外界因素的干擾和破壞。在邏輯上，防火墻是一個分離器

36、，一個限制器，也是一個分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡和Internet之間地任何活動，保證了內(nèi)部網(wǎng)絡地安全；在物理實現(xiàn)上，防火墻是位于外部網(wǎng)與核心交換機之間硬件設備，起到對進出信息分析過濾的作用。防火墻系統(tǒng)能增強機構內(nèi)部網(wǎng)絡的安全性，它決定了哪些內(nèi)部服務可以被外界訪問；外界的哪些人可以訪問內(nèi)部的哪些服務，以及哪些外部服務可以被內(nèi)部人員訪問。要使一個防火墻有效，所有來自和去往Internet的信息都必須經(jīng)過防火墻，接受防火墻的檢查，只允許授權的數(shù)據(jù)通過。在內(nèi)部網(wǎng)與外部網(wǎng)之間，設置防火墻（包括分組過濾與應用代理）實現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制是保護內(nèi)部網(wǎng)安全的最主要、同時也是最有效、最經(jīng)濟的措施之一。防

37、火墻主要通過分組過濾、應用代理兩種技術作為防范手段。 a) 分組過濾（Packet filtering）：用在網(wǎng)絡層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉發(fā)到相應的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。b) 應用代理（Application Proxy）：也叫應用網(wǎng)關（Application Gateway），它作用在應用層，特點是完全“阻隔”了網(wǎng)絡通信流，通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層通信流的作用。實際中的應用網(wǎng)關通常由專用工作站實現(xiàn)。（2） 網(wǎng)絡反病毒由于在網(wǎng)絡環(huán)境下，計算機病

38、毒有不可估量的威脅性和破壞力，一次計算機病毒的防范是網(wǎng)絡安全性建設中重要的一環(huán)。網(wǎng)絡反病毒技術包括預防病毒、檢測病毒和消毒三種技術：a) 預防病毒技術：它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進而阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)進行破壞。這類技術有，加密可執(zhí)行程序、引導區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制（如防病毒卡等）。b) 檢測病毒技術：它是通過對計算機病毒的特征來進行判斷的技術，如自身校驗、關鍵字、文件長度的變化等。c) 分析病毒技術：它通過對計算機病毒的分析，開發(fā)出具有刪除病毒程序并恢復原文件的軟件。網(wǎng)絡反病毒技術的具體實現(xiàn)方法包括對網(wǎng)絡服務器中的文件進

39、行頻繁地掃描和監(jiān)測；在工作站上用防病毒芯片和對網(wǎng)絡目錄及文件設置訪問權限等。鑒于實際情況，我方建議業(yè)主方增加一套網(wǎng)絡版殺毒軟件，以應對網(wǎng)絡中存在的病毒威脅。3.5.3. 安全管理原則網(wǎng)絡信息系統(tǒng)的安全管理主要基于三個原則。1）多人負責原則 每一項與安全有關的活動，都必須有兩人或多人在場。這些人應是系統(tǒng)主管領導指派的，他們忠誠可靠，能勝任此項工作；他們應該簽署工作情況記錄以證明安全工作已得到保障。以下各項是與安全有關活動：（1） 訪問控制使用證件的發(fā)放與回收；（2） 信息處理系統(tǒng)使用的媒介發(fā)放與回收；（3） 處理保密信息；（4） 硬件和軟件的維護；（5） 系統(tǒng)軟件的設計、實現(xiàn)和修改；（

40、6） 重要程序和數(shù)據(jù)的刪除和銷毀等；2）任期有限原則一般地講，任何人最好不要長期擔任與安全有關的職務，以免使他認為這個職務是專有的或永久性的。為遵循任期有限原則，工作人員應不定期地循環(huán)任職，強制實行休假制度，并規(guī)定對工作人員進行輪流培訓，以使任期有限制度切實可行。3）職責分離原則在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情，除非系統(tǒng)主管領導批準。出于對安全的考慮，下面每組內(nèi)的兩項信息處理工作應當分開。3.5.4. 安全管理的實現(xiàn)信息系統(tǒng)的安全管理部門應根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應的管理制度或采用相應的規(guī)范。具體工作是：1）根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級。2） 根據(jù)確定的安全等級，確定安全管理的范圍。3） 制訂相應的機房出入管理制度：對于安全等級要求較高的系統(tǒng)，要實行