計算機(jī)網(wǎng)絡(luò) 畢業(yè)設(shè)計(共39頁)

1、 畢業(yè)設(shè)計（論文）報告紙PAGE 畢 業(yè) 設(shè) 計 說 明 書課題名稱好享家公司企業(yè)網(wǎng)絡(luò)規(guī)劃與建設(shè)院 系計算機(jī)與軟件學(xué)院專 業(yè)網(wǎng)絡(luò)技術(shù)班 級學(xué) 號學(xué)生姓名指導(dǎo)教師：2014年 5 月 26日計算機(jī)與軟件(run jin)學(xué)院畢業(yè)設(shè)計(b y sh j)（論文）誠信承諾 我謹(jǐn)在此承諾(chngnu)：本人所寫的畢業(yè)論文中小型企業(yè)(qy)網(wǎng)絡(luò)規(guī)劃與建設(shè)，系本人獨(dú)立完成，沒有抄襲行為，凡涉及其他作者的觀點(diǎn)和材料，均作了注釋與說明，若有不實(shí)，后果由本人承擔(dān)。承諾人（簽名）： 年 月 日摘 要市場的全球化競爭已成為趨勢。對于中小企業(yè)來說，在調(diào)整發(fā)展(fzhn)戰(zhàn)略時，必須考慮到市場的全球競爭戰(zhàn)略，而這一切

2、將以信息化平臺為基礎(chǔ)，以網(wǎng)絡(luò)通暢為保證。通過建立各種虛擬專網(wǎng)（VPN）和企業(yè)外部網(wǎng)絡(luò)（Extranet），建立企業(yè)全球信息網(wǎng)絡(luò)是未來企業(yè)網(wǎng)絡(luò)應(yīng)對市場全球競爭的一種策略。 本論文(lnwn)以好享家公司(n s)的局域網(wǎng)規(guī)劃和設(shè)計為背景，借助計算機(jī)網(wǎng)絡(luò)原理及網(wǎng)絡(luò)規(guī)劃技術(shù)，從企業(yè)局域網(wǎng)的概念及相關(guān)計算機(jī)網(wǎng)絡(luò)技術(shù)入手，比較詳細(xì)地設(shè)計出了該企業(yè)網(wǎng)建設(shè)的實(shí)施方案及建設(shè)規(guī)劃,以期達(dá)到先進(jìn)、安全、實(shí)用、可靠的目標(biāo)。論文對該企業(yè)的組網(wǎng)需求進(jìn)行了分析，比較各種組網(wǎng)技術(shù)，從實(shí)用角度論述了局域網(wǎng)主干網(wǎng)選擇，綜合布線，各種設(shè)備選擇，網(wǎng)絡(luò)安全，網(wǎng)絡(luò)管理等方面。文中參照了當(dāng)前諸多企業(yè)局域網(wǎng)和校園網(wǎng)絡(luò)方面的相關(guān)組網(wǎng)形式和成

3、熟的網(wǎng)絡(luò)技術(shù)，該方案基本達(dá)到了預(yù)期的目標(biāo)。關(guān)鍵詞：交換機(jī)；路由器；系統(tǒng)規(guī)劃；網(wǎng)絡(luò)安全；拓?fù)浣Y(jié)構(gòu)AbstractThe market globalization competition has become the tendency. Regarding the small and medium-sized enterprise, when the adjustment developmental strategy, must consider the market the global competition strategy, but all these take the informati

4、onization platform as a foundation, take the network unobstructed as the guarantee. Through establishes each kind of hypothesized special net (VPN) and enterprise exterior network (Extranet), will establish the enterprise whole world information network is the future enterprise network should to the

5、 market global competition one kind of strategy. The present paper take HaoXiangJia enterprise newly built workshop local area network plan and the design as a background, with the aid of the computer network principle and the network planning technology, from the enterprise local area network conce

6、pt and correlation computer network technology obtaining, compared with in detail designed the implementation plan and the construction plan which this enterprise network constructed, Achieves advanced, safe, practical, the reliable goal by the time. The paper has carried on the analysis to this ent

7、erprises network demand, compared with each kind of network technology, elaborated the local area network backbone network choice from the practical angle, comprehensive wiring, each kind of equipment choice, network security, aspects and so on network management. In the article has referred to the

8、current many enterprise local area network and the campus network aspect related network form and the mature networking, this plan has achieved the anticipated goal basically.Key Words: Switchboard; Router; systems organization; Network security; Topology architecture目 錄 TOC o 1-3 h z u HYPERLINK l

9、_Toc389123724 1 緒論(xln) PAGEREF _Toc389123724 h 1 HYPERLINK l _Toc389123725 2 企業(yè)(qy)網(wǎng)絡(luò)網(wǎng)絡(luò)規(guī)劃 PAGEREF _Toc389123725 h 2 HYPERLINK l _Toc389123726 2.1 網(wǎng)絡(luò)(wnglu)設(shè)計原則 PAGEREF _Toc389123726 h 2 HYPERLINK l _Toc389123727 2.2 網(wǎng)絡(luò)項(xiàng)目背景 PAGEREF _Toc389123727 h 2 HYPERLINK l _Toc389123728 2.3 IP地址規(guī)劃 PAGEREF _Toc3

10、89123728 h 3 HYPERLINK l _Toc389123729 3 企業(yè)網(wǎng)絡(luò)組建準(zhǔn)備工作 PAGEREF _Toc389123729 h 4 HYPERLINK l _Toc389123730 3.1 企業(yè)的基本應(yīng)用 PAGEREF _Toc389123730 h 4 HYPERLINK l _Toc389123731 3.2 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃 PAGEREF _Toc389123731 h 5 HYPERLINK l _Toc389123732 3.3 網(wǎng)絡(luò)拓?fù)湓O(shè)計 PAGEREF _Toc389123732 h 6 HYPERLINK l _Toc389123733 3.4

11、網(wǎng)絡(luò)設(shè)備選型 PAGEREF _Toc389123733 h 6 HYPERLINK l _Toc389123734 3.5 綜合布線設(shè)計 PAGEREF _Toc389123734 h 12 HYPERLINK l _Toc389123735 3.6 Internet接入技術(shù)方案 PAGEREF _Toc389123735 h 13 HYPERLINK l _Toc389123736 3.7服務(wù)器配置方案 PAGEREF _Toc389123736 h 13 HYPERLINK l _Toc389123737 3.7.1 POP3、WEB和FTP服務(wù)器 PAGEREF _Toc3891237

12、37 h 13 HYPERLINK l _Toc389123738 3.7.2 OA辦公系統(tǒng) PAGEREF _Toc389123738 h 14 HYPERLINK l _Toc389123739 3.7.3 存儲服務(wù)器 PAGEREF _Toc389123739 h 14 HYPERLINK l _Toc389123740 4 企業(yè)網(wǎng)絡(luò)主要應(yīng)用技術(shù) PAGEREF _Toc389123740 h 15 HYPERLINK l _Toc389123741 4.1 路由協(xié)議OSPF PAGEREF _Toc389123741 h 15 HYPERLINK l _Toc389123742 4.2

13、 RSTP MSTP原理 PAGEREF _Toc389123742 h 15 HYPERLINK l _Toc389123743 4.3 NAT的策略路由實(shí)現(xiàn) PAGEREF _Toc389123743 h 16 HYPERLINK l _Toc389123744 4.4 VLAN虛擬局域網(wǎng)的劃分 PAGEREF _Toc389123744 h 17 HYPERLINK l _Toc389123745 4.5 ACL訪問控制策略 PAGEREF _Toc389123745 h 17 HYPERLINK l _Toc389123746 4.6 鏈路聚合 PAGEREF _Toc38912374

14、6 h 17 HYPERLINK l _Toc389123747 4.7 交換機(jī)端口安全 PAGEREF _Toc389123747 h 18 HYPERLINK l _Toc389123748 5 企業(yè)網(wǎng)絡(luò)安全設(shè)計 PAGEREF _Toc389123748 h 19 HYPERLINK l _Toc389123749 5.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患 PAGEREF _Toc389123749 h 19 HYPERLINK l _Toc389123750 5.2 網(wǎng)絡(luò)安全防范體系層次 PAGEREF _Toc389123750 h 19 HYPERLINK l _Toc389123751 5

15、.3 網(wǎng)絡(luò)安全措施 PAGEREF _Toc389123751 h 20 HYPERLINK l _Toc389123752 5.4 安全措施具體實(shí)施 PAGEREF _Toc389123752 h 20 HYPERLINK l _Toc389123753 6 網(wǎng)絡(luò)系統(tǒng)測試(csh) PAGEREF _Toc389123753 h 24 HYPERLINK l _Toc389123754 6.1 設(shè)備(shbi)配置 PAGEREF _Toc389123754 h 24 HYPERLINK l _Toc389123755 7 測試(csh)與驗(yàn)收 PAGEREF _Toc389123755 h

16、 35 HYPERLINK l _Toc389123756 7.1 設(shè)備安裝、調(diào)測、開通 PAGEREF _Toc389123756 h 35 HYPERLINK l _Toc389123757 7.2 移交測試 PAGEREF _Toc389123757 h 35 HYPERLINK l _Toc389123758 7.3 試運(yùn)行驗(yàn)收測試 PAGEREF _Toc389123758 h 35 HYPERLINK l _Toc389123759 結(jié) 論 PAGEREF _Toc389123759 h 37 HYPERLINK l _Toc389123760 謝 辭 PAGEREF _Toc38

17、9123760 h 38 HYPERLINK l _Toc389123761 參考文獻(xiàn) PAGEREF _Toc389123761 h 39共 40 頁 第 頁共 45 頁 第 PAGE 1 頁1 緒論隨著網(wǎng)絡(luò)的不斷發(fā)展，網(wǎng)絡(luò)辦公信息化和設(shè)備數(shù)字越來越普及，企業(yè)網(wǎng)絡(luò)的管理也越來越重要(zhngyo)。人們對網(wǎng)絡(luò)的依賴也越來越大。企業(yè)網(wǎng)不僅要使分布在不同地理位置上的計算機(jī)和各種設(shè)備互連互通為一個統(tǒng)一的網(wǎng)絡(luò)，還要提高資源管理水平以及提供(tgng)多種服務(wù)，如辦公自動化，WEB服務(wù)，E-mail服務(wù)，F(xiàn)TP服務(wù)，Media服務(wù)等，將企業(yè)的的各種信息資源組織起來，以滿足企業(yè)的各方面的需求。該企業(yè)分為

18、總部和分部(fn b)，分部設(shè)立在上海以及深圳，總公司是設(shè)立在一個三層的辦公樓，有技術(shù)部（進(jìn)行開發(fā)、設(shè)計、技術(shù)維護(hù)），銷售部，財務(wù)部，人事管理部門，各分公司有銷售部，財務(wù)部，人事管理部門，各分公司之間以及與總部間距離比較遠(yuǎn)，所以為了將其進(jìn)行互聯(lián)，運(yùn)用到了幀中繼技術(shù)，它是一種局域網(wǎng)互聯(lián)的WAN協(xié)議。為了使網(wǎng)絡(luò)具有一定的安全性，企業(yè)網(wǎng)的內(nèi)部網(wǎng)絡(luò)使用VLAN分段，隔離廣播，防止網(wǎng)絡(luò)內(nèi)部竊聽和非授權(quán)的跨網(wǎng)段訪問，只允許內(nèi)部主機(jī)訪問Internet，而不允許外網(wǎng)用戶訪問內(nèi)部主機(jī)。2 企業(yè)網(wǎng)絡(luò)網(wǎng)絡(luò)規(guī)劃2.1 網(wǎng)絡(luò)設(shè)計(shj)原則為適應(yīng)(shyng)好享家公司(n s)信息化的發(fā)展，滿足公司未來幾年的日益

19、增長的業(yè)務(wù)需求，同時使得內(nèi)部系統(tǒng)安全性與有效性相并重，主要表現(xiàn)在如下幾個方面：（1）可增值企業(yè)網(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。所以在建設(shè)時要充分考慮業(yè)務(wù)的擴(kuò)展能力。 （2）安全保密性能有效通過軟硬件相互聯(lián)動，有效保證企業(yè)網(wǎng)的安全；選擇設(shè)備必須具有較高的安全特性，如蠕蟲病毒防御、ARP欺騙防御、防代理、防攻擊掃描、防私設(shè)DHCP等功能。 （3）開放性技術(shù)選擇必須符合相關(guān)國際標(biāo)準(zhǔn)及國內(nèi)標(biāo)準(zhǔn)，避免個別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開放性和互連互通，滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需要； 2.2 網(wǎng)絡(luò)項(xiàng)目背景好享家是一家中小型公司，員工

20、人數(shù)大約300人，主要做智能家居這一塊市場，屬于經(jīng)銷商的性質(zhì)。公司建筑是樓層建筑，包括可拓展點(diǎn)。隨著公司業(yè)務(wù)的發(fā)展，人員壯大，辦公信息化以及自動化的需求，為提高公司各個部門間辦公信息化，需要建立一個完善和穩(wěn)定的企業(yè)網(wǎng)絡(luò)。企業(yè)網(wǎng)要保證整個企業(yè)信息點(diǎn)的互聯(lián)、高效、安全，可支持上百個用戶同時并發(fā)使用。而且要求企業(yè)網(wǎng)具有可拓展性，支持未來的發(fā)展，高速的、冗余的、基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)。公司現(xiàn)有四個部門，下表是關(guān)于各個部門所有主機(jī)的需求：表2.1 IP地址需求網(wǎng)段描述所需的IP地址數(shù)部門一100部門二100部門三100部門四100公網(wǎng)IP地址1 服務(wù)器（3個）32.3 IP地址規(guī)劃(guhu)IP地址的合理是保

21、證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效(yuxio)利用的關(guān)鍵。企業(yè)網(wǎng)IP地址的分配應(yīng)該盡可能地利用申請到的地址空間，充分考慮到地址空間的合理使用，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布。具體IP網(wǎng)段地址規(guī)劃(guhu)如下：表2.2 IP地址規(guī)劃類別IP地址VLAN編號默認(rèn)網(wǎng)關(guān)部門一/2411/24部門二/242224部門三/2433/24部門四/2444/24服務(wù)器（4個）/24/24/24/24/24/24公網(wǎng)地址0/303 企業(yè)網(wǎng)絡(luò)組建準(zhǔn)備工作3.1 企業(yè)的基本(jbn)應(yīng)用(1) Intranet應(yīng)用(yngyng)公司(n s)立企業(yè)內(nèi)部信息網(wǎng)站，為公司內(nèi)部所有網(wǎng)上用戶提供公司策略

22、、生產(chǎn)調(diào)度、產(chǎn)品營銷、物資供應(yīng)、商情信息、銷售幅度、員工信息等信息服務(wù)。集團(tuán)內(nèi)部各部門可通過內(nèi)部網(wǎng)站實(shí)現(xiàn)企業(yè)內(nèi)部信息交流，主動地獲取信息和提供信息。Internet作為信息交流的基礎(chǔ)設(shè)施，對信息技術(shù)的發(fā)展，信息市場的開拓，以及信息社會的形成都起著十分重要的作用。公司所構(gòu)造的網(wǎng)絡(luò)正是通過Internet將企業(yè)內(nèi)部與外界連接起來。這樣公司可為廣大客戶提供他們所關(guān)心的有關(guān)信息；在網(wǎng)絡(luò)上提供WWW，E-mail等服務(wù)。這樣可以大大的提升公司的知名度，讓更廣泛的客戶能夠更方便，更多的了解本公司，對于公司的品牌效應(yīng)是不可估量的。 (2) MIS管理信息的應(yīng)用一個企業(yè)信息管理系統(tǒng)大致包括這樣幾個子系統(tǒng)：數(shù)據(jù)

23、的收集、整理系統(tǒng)，輸入系統(tǒng)，加工系統(tǒng)，傳輸系統(tǒng)，存儲系統(tǒng)，檢索系統(tǒng)，輸出系統(tǒng)等。利用MIS管理信息系統(tǒng)能夠最大限度地結(jié)合現(xiàn)代計算機(jī)及網(wǎng)絡(luò)通信技術(shù)加強(qiáng)對企業(yè)的信息管。MIS的操作流程也相對簡單，系統(tǒng)開發(fā)出來，前期只需很少的培訓(xùn)，員工便能很輕易地與業(yè)務(wù)接軌，不過需要一個系統(tǒng)維護(hù)員，因?yàn)槿f一系統(tǒng)出現(xiàn)bug，會直接影響公司業(yè)務(wù)水平，導(dǎo)致不必要的損失。（3）OA辦公自動化系統(tǒng)應(yīng)用隨著Internet/Intranet和Web技術(shù)的日益普及和推廣，使得Internet/Intranet正逐漸成為企業(yè)信息化建設(shè)的有力工具。軟件的進(jìn)步大大改變著傳統(tǒng)辦公模式，也會大大提高辦公效率。辦公自動化應(yīng)用軟件 Offic

24、e Assistant 變成一個新的發(fā)展方向。該軟件采用Browser/Server模式，完全基于Internet/Intranet平臺，針對企事業(yè)單位內(nèi)部的管理流程，設(shè)計而成的一套方便、穩(wěn)定、實(shí)用的辦公自動化軟件。此系統(tǒng)有如下幾大優(yōu)勢：1. 實(shí)現(xiàn)遠(yuǎn)程辦公和移動辦公，隨時隨處辦理工作事務(wù)2. 通過工作流轉(zhuǎn)的自動化，實(shí)現(xiàn)高效快捷的辦公3. 明確工作崗位與工作職責(zé)，有效監(jiān)管工作人員的工作情況，實(shí)現(xiàn)實(shí)時工作任務(wù)的監(jiān)督與催辦4. 方便領(lǐng)導(dǎo)同各級工作人員的有效溝通3.2 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃將本公司的內(nèi)部網(wǎng)絡(luò)設(shè)計為三級層級：（1） 接入層（2） 匯聚層（3） 核心層這樣規(guī)劃一是能夠有良好的層次感，利于(ly

25、)實(shí)現(xiàn)較為復(fù)雜的網(wǎng)絡(luò)功能要求；二是這樣分層能夠使每層的功能(gngnng)較容易實(shí)現(xiàn)也較清楚；三是采用這種分層方式可以支持較大的網(wǎng)絡(luò)規(guī)模便于企業(yè)網(wǎng)的升級擴(kuò)大。（1）接入層接入層為用戶提供(tgng)對本地網(wǎng)段的訪問，所需功能不必有多強(qiáng)大，它的主要作用是將工作組計算機(jī)與匯聚層連接起來，主要完成邏輯網(wǎng)絡(luò)分段，給予工作組或LAN隔離廣播通信以及在多個CPU之間分布服務(wù)。其特點(diǎn)有以下幾點(diǎn)：提供不同數(shù)量的100M端口到用戶，提供1000M上行鏈路端口到匯聚層交換機(jī)。成本低，所有端口支持全線速二層交換。網(wǎng)絡(luò)設(shè)備擴(kuò)展性好，可平滑升級。（2）匯聚層匯聚層設(shè)備一般采用可管理的 HYPERLINK /view/4

26、4586.htm t _blank 三層交換機(jī)或 HYPERLINK /view/2076807.htm t _blank 堆疊式交換機(jī)以達(dá)到 HYPERLINK /view/10821.htm t _blank 帶寬和傳輸性能的要求。主要作用是為接入層提供服務(wù)，為核心層維護(hù)與傳達(dá)服務(wù)。其設(shè)備性能較好，但價格高于 HYPERLINK /view/1224550.htm t _blank 接入層設(shè)備，而且對環(huán)境的要求也較高，對電磁輻射、溫度、濕度和空氣潔凈度等都有一定的要求。匯聚層設(shè)備之間以及匯聚層設(shè)備與 HYPERLINK /view/1224552.htm t _blank 核心層設(shè)備之間多

27、采用光纖互聯(lián)，以提高系統(tǒng)的傳輸性能和 HYPERLINK /view/4316.htm t _blank 吞吐量。（3）核心層 核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,骨干層設(shè)計任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高速的傳輸。其性能要求相對較高，一般需要用路由器來完成諸多策略（不過目前很多單位都采用多級交換機(jī)，有其特別的優(yōu)勢），核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以對核心層的設(shè)計以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格，同時為了減輕負(fù)擔(dān)，網(wǎng)絡(luò)的控制功能最好盡量少在骨干層上實(shí)施。在設(shè)計核心層結(jié)構(gòu)時，還應(yīng)該充分考慮到以下幾點(diǎn)因素：1. 匯聚層交換機(jī)要有充足的帶寬。2. 必須具有冗余和流量均衡的

28、功能。3. 能夠?qū)崿F(xiàn)各種安全策略以保證網(wǎng)絡(luò)的安全和數(shù)據(jù)包轉(zhuǎn)發(fā)的合理。 3.3 網(wǎng)絡(luò)拓?fù)湓O(shè)計企業(yè)內(nèi)部的網(wǎng)絡(luò)拓?fù)湓O(shè)計，如下圖：圖 3.1 網(wǎng)絡(luò)拓?fù)鋱D3.4 網(wǎng)絡(luò)設(shè)備選型網(wǎng)絡(luò)設(shè)備選型要遵循以下(yxi)原則：具備優(yōu)良的性能價格比，根據(jù)現(xiàn)在的需求和可以預(yù)見的需求增長(zngzhng)情況設(shè)計網(wǎng)絡(luò)，避免追求高檔和最新技術(shù)花費(fèi)的巨大代價。具備(jbi)優(yōu)良的RAS(遠(yuǎn)程訪問服務(wù))性能安全性、可靠性、可用性、可維護(hù)性。具備優(yōu)良的可擴(kuò)充性和升級能力。CISCO是網(wǎng)絡(luò)業(yè)界第一品牌和最大的研發(fā)廠家，是項(xiàng)目可持續(xù)應(yīng)用的投資保護(hù)和規(guī)避廠家風(fēng)險的首選。IOS采用的是經(jīng)檢驗(yàn)已成為業(yè)界標(biāo)準(zhǔn)的強(qiáng)健穩(wěn)定的CISCO IOS，更

29、具有廣泛的協(xié)議支持，這是其他廠商所不能企及的；思科IOS軟件系列在全世界一千多萬個不同規(guī)模的系統(tǒng)上發(fā)揮著重要作用，其范圍從小型家庭辦公網(wǎng)絡(luò)到最龐大的電信運(yùn)營商網(wǎng)絡(luò)。思科IOS取得廣泛成功的關(guān)鍵在于，它的標(biāo)準(zhǔn)化設(shè)計中整合了創(chuàng)新網(wǎng)絡(luò)技術(shù)、關(guān)鍵業(yè)務(wù)IP服務(wù)和首屈一指的平臺支持能力。 銳捷網(wǎng)絡(luò)，作為中國網(wǎng)絡(luò)解決方案領(lǐng)導(dǎo)品牌。聚焦客戶利益，致力于通過持續(xù)技術(shù)創(chuàng)新，堅(jiān)持自主研發(fā)的網(wǎng)絡(luò)產(chǎn)品，涵蓋交換機(jī)、路由器、出口網(wǎng)關(guān)、安全、無線、軟件等六大產(chǎn)品線，產(chǎn)品性價比相對高。基于以上考慮，我們公司網(wǎng)絡(luò)核心層采購思科設(shè)備，匯聚層與接入層使用銳捷設(shè)備。（1）接入層交換機(jī)選型公司接入層交換機(jī)均選用銳捷RG-S2928G-

30、S（官方報價4000元），24口10/100/1000M自適應(yīng)端口，4個SFP光口，支持全面的安全控制策略，通過內(nèi)在的多種安全機(jī)制可有效防止和控制病毒傳播和網(wǎng)絡(luò)流量攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口靜態(tài)和動態(tài)的安全綁定、端口隔離、多種類型的硬件ACL控制、基于數(shù)據(jù)流的帶寬限速、用戶安全接入控制的多元素綁定等，滿足企業(yè)網(wǎng)、校園網(wǎng)加強(qiáng)對訪問者進(jìn)行控制、限制非授權(quán)用戶通信的需求。具體(jt)產(chǎn)品參數(shù)如下：主要參數(shù)應(yīng)用(yngyng)層級三層傳輸速率10/100/1000Mbps交換方式存儲(cn ch)-轉(zhuǎn)發(fā)背板帶寬68Gbps包轉(zhuǎn)發(fā)率51Mpps端口參數(shù)端口結(jié)構(gòu)非模塊化

31、端口數(shù)量28個端口描述24個10/100/1000M自適應(yīng)端口，4個SFP光口 功能特性 網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE 802.3，IEEE 802.3u，IEEE 802.3z，IEEE 802.3x，IEEE 802.3ad，IEEE 802.1p，IEEE 802.1x，IEEE 802.3ab，IEEE 802.1Q，IEEE 802.1d，IEEE 802.1w，IEEE 802.1s VLAN支持4K個802.1Q VLAN（同時可用512個） 網(wǎng)絡(luò)管理SNMPv1/v2C/v3 ，CLI（Telnet/Console） 其它參數(shù) 電源電壓AC 160-240V，50Hz-60Hz 糾錯 環(huán)境

32、標(biāo)準(zhǔn)工作溫度：0-45 工作濕度：10%-90%RH 存儲(cn ch)溫度：-40-70 存儲(cn ch)濕度：5%-90%RH 其它(qt)參數(shù)1個USB2.0接口（2）匯聚層交換機(jī)選型RG-S5750系列是銳捷網(wǎng)絡(luò)推出的硬件支持IPv6的萬兆多層交換機(jī)，產(chǎn)品以極高的性價比為大型網(wǎng)絡(luò)匯聚、中型網(wǎng)絡(luò)核心、數(shù)據(jù)中心服務(wù)器接入提供了高性能、完善的端到端的服務(wù)質(zhì)量、靈活豐富的安全設(shè)置和基于策略的網(wǎng)管，最大化滿足高速、安全、智能的企業(yè)網(wǎng)需求。具體參數(shù)如下：主要參數(shù)產(chǎn)品類型智能交換機(jī)應(yīng)用層級三層傳輸速率10/100/1000Mbps交換方式存儲-轉(zhuǎn)發(fā)背板帶寬240Gbps包轉(zhuǎn)發(fā)率102Mpps端口參

33、數(shù)端口結(jié)構(gòu)非模塊化端口數(shù)量52個端口描述48個10/100/1000M自適應(yīng)電口，4個復(fù)用的SFP接口擴(kuò)展模塊2個擴(kuò)展槽功能特性VLAN支持4K個802.1Q VLAN支持Super VLAN支持Protocol VLAN支持Private VLAN支持Voice VLAN支持基于MAC地址的VLAN支持QinQQOS支持端口流量(liling)識別支持802.1p/DSCP/TOS流量(liling)分類 支持(zhch)WRED，WRED+ECN擁塞控制 支持流量限速 支持層級QoS 支持輸出QoS 安全管理支持IP、MAC、端口三元素綁定 支持IPv6、MAC、端口三元素綁定 支持安全通

34、道 支持防網(wǎng)關(guān)欺騙 限制端口學(xué)習(xí)MAC地址數(shù)量 過濾非法的MAC地址 支持防DHCP服務(wù)器私設(shè) 支持廣播風(fēng)暴抑制 管理員分級管理和口令保護(hù) 設(shè)備登陸管理的AAA安全認(rèn)證 支持SSH 支持BPDU Guard 支持TACAS+ 支持Radius其它參數(shù)電源電壓AC 176-264V，48-60Hz電源功率90W產(chǎn)品尺寸44042044mm環(huán)境標(biāo)準(zhǔn)工作溫度：0-45工作濕度：10%-90%RH存儲溫度：-40-70存儲濕度：5%-90%RH核心層(出口)路由器選型Cisco 3825 是一款集成多業(yè)務(wù)路由器平臺，其上的思科IP通信特性包括實(shí)施松散連接在一起的半自動業(yè)務(wù)解決方案所需的高級特性和服務(wù)，

35、包括呼叫處理、呼叫控制協(xié)議、服務(wù)質(zhì)量（QoS）、模擬和數(shù)字接口、排隊(duì)、編程、語音留言和自動職守。企業(yè)分支機(jī)構(gòu)、商業(yè)辦公室和中小型辦公室可以使用業(yè)界最廣泛、最全面的語音和安全服務(wù)，并直接嵌入并集成到業(yè)界領(lǐng)先的路由平臺上，以提高性能和永續(xù)性?；緟?shù)路由器類型多業(yè)務(wù)路由器傳輸速率10/100/1000Mbps端口結(jié)構(gòu)模塊化局域網(wǎng)接口2個擴(kuò)展模塊6包轉(zhuǎn)發(fā)率10Mbps:14800pps100Mbps:148800pps1000Mbps:1488000pps 功能(gngnng)參數(shù)防火墻內(nèi)置防火墻Qos支持(zhch)支持VPN支持(zhch)支持網(wǎng)絡(luò)管理Cisco ClickStart，SNMP其

36、他參數(shù)產(chǎn)品內(nèi)存256MB電源電壓AC 100-240VDC 24-60V產(chǎn)品尺寸373.38434.3488.9mm產(chǎn)品重量9.06kg環(huán)境標(biāo)準(zhǔn)工作溫度：0-40濕度：5%-95%（非冷凝）存儲溫度：40-853.5 綜合布線設(shè)計（1）布線系統(tǒng)的結(jié)構(gòu)綜合布線一般采用星型拓?fù)浣Y(jié)構(gòu)。該結(jié)構(gòu)下的每個分支子系統(tǒng)都是相對獨(dú)立的單元，對每個分支子系統(tǒng)的改動都不影響其它子系統(tǒng)，只要改變節(jié)點(diǎn)連接方式就可使綜合布線在星型、總線形、環(huán)型、樹型等結(jié)構(gòu)之間進(jìn)行轉(zhuǎn)換。（2） 綜合布線設(shè)計標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)城市住宅區(qū)和辦公樓電話通信設(shè)施設(shè)計標(biāo)準(zhǔn)建筑與建筑群結(jié)構(gòu)化布線系統(tǒng)設(shè)計規(guī)范GB50311-2000建筑與建筑群結(jié)構(gòu)化布線系統(tǒng)

37、工程施工及驗(yàn)收規(guī)范GB50312-2000相關(guān)廠家產(chǎn)品設(shè)計、選型、施工、驗(yàn)收手冊說明的標(biāo)準(zhǔn)（3） 綜合布線設(shè)計原則適用性靈活性可擴(kuò)展性模塊化結(jié)構(gòu)開放性（4）水平子系統(tǒng)將工作區(qū)引至管理區(qū)子系統(tǒng)，它是整個布線系統(tǒng)的一部分，將干線子系統(tǒng)線路延伸到用戶工作區(qū)，水平布線子系統(tǒng)總是處在一個樓層上，并端接在信息插座上。（5）垂直干線子系統(tǒng)垂直干線子系統(tǒng)由連接設(shè)備間與各層信息模塊的干線構(gòu)成。其任務(wù)是將各樓層模塊的信息，傳遞到設(shè)備間并送至最終接口。垂直干線的設(shè)計必須滿足用戶當(dāng)前的需求，同時又能適合用戶今后的要求。為達(dá)此目的，本方案中我們采用超五類網(wǎng)線，支持?jǐn)?shù)據(jù)信息的傳輸，采用5類4對非屏蔽雙絞線纜，支持語音信息

38、的傳輸。（6） 設(shè)備(shbi)間子系統(tǒng)設(shè)備間子系統(tǒng)是整個布線系統(tǒng)的中心單元，設(shè)備間子系統(tǒng)(主配線間)由設(shè)備間中的電纜、主配線架和相關(guān)支撐硬件組成，它把公共系統(tǒng)設(shè)備的各種不同設(shè)備互連起來。該子系統(tǒng)連接公共系統(tǒng)設(shè)備(如PABX)，通過垂直干線分別向各樓信息模塊(m kui)進(jìn)行配線管理。3.6 Internet接入技術(shù)(jsh)方案目前連接Internet可以通過多種通信介質(zhì)，Internet本身對通信和連接方式?jīng)]有任何限制。在連接時，企業(yè)可以根據(jù)自己實(shí)際情況來規(guī)劃自己的連接方案，決定使用何種通信介質(zhì)。一般目前通常使用的網(wǎng)絡(luò)傳輸介質(zhì)有雙絞線、同軸電纜、光纖等，都可供企業(yè)選擇。本單位采用光纖 +

39、以太網(wǎng)接入接入，主干光纖 100Mb帶寬。3.7服務(wù)器配置方案3.7.1 POP3、WEB和FTP服務(wù)器采用linux操作系統(tǒng)，apache服務(wù)，mysql數(shù)據(jù)庫，php網(wǎng)站程序，并配置FTP用于上傳文件，郵件服務(wù)器用于溝通。具體完成任務(wù)：（1）系統(tǒng)技術(shù)工程師安裝配置apche、mysql、php環(huán)境。（2）系統(tǒng)工程師安裝配置郵件服務(wù)器Sendmail。（3）系統(tǒng)技術(shù)工程師安裝配置ftp服務(wù)器。（4）架設(shè)公司web網(wǎng)站，上傳數(shù)據(jù)庫文件。3.7.2 OA辦公系統(tǒng)在windows 2008下架設(shè)OA系統(tǒng)，采用sql 2008數(shù)據(jù)庫。做好備份鏡像辦公系統(tǒng)服務(wù)器。3.7.3 存儲服務(wù)器存儲服務(wù)器主要存

40、儲公司主要的軟件，備份公司重要文件和重要數(shù)據(jù)庫，以及各員工的重要項(xiàng)目、進(jìn)度文件。主要采取FTP實(shí)現(xiàn)上傳和下載的功能。單位的信息管理系統(tǒng)MIS依靠此服務(wù)器運(yùn)作。員工之間設(shè)有相應(yīng)的權(quán)限，保證數(shù)據(jù)安全與完整。4 企業(yè)網(wǎng)絡(luò)主要應(yīng)用技術(shù)4.1 路由協(xié)議(xiy)OSPFOSPF路由協(xié)議是一種典型的鏈路狀態(tài)(zhungti)（Link-state）的路由協(xié)議，在這里，路由域是指一個自治系統(tǒng)（Autonomous System），即AS，它是指一組通過統(tǒng)一的路由政策或路由協(xié)議互相交換路由信息的網(wǎng)絡(luò)。作為一種(y zhn)鏈路狀態(tài)的路由協(xié)議，OSPF將鏈路狀態(tài)廣播數(shù)據(jù)包LSA（Link State Adver

41、tisement）傳送給在某一區(qū)域內(nèi)的所有路由器，這一點(diǎn)與距離矢量路由協(xié)議不同。運(yùn)行距離矢量路由協(xié)議的路由器是將部分或全部的路由表傳遞給與其相鄰的路由器。在公司的匯聚層交換機(jī)及出口路由器上使用OSPF路由協(xié)議，以實(shí)現(xiàn)路由的動態(tài)更新，確保全網(wǎng)互通。4.2 RSTP MSTP原理RSTP 協(xié)議完全向下兼容 802.1D STP 協(xié)議，除了和傳統(tǒng)的 STP 協(xié)議一樣具有避免回路、提供冗余鏈路的功能 外，最主要的特點(diǎn)就是“快”。如果一個局域網(wǎng)內(nèi)的網(wǎng)橋都支持 RSTP 協(xié)議且管理員配置得當(dāng)，一旦網(wǎng)絡(luò)拓樸改變而 要重新生成拓樸樹只需要不超過 1 秒的時間（傳統(tǒng)的 STP 需要大約 50 秒）。本交換機(jī)支持

42、 MSTP，MSTP 是在傳統(tǒng)的 STP、RSTP 的基礎(chǔ)上發(fā)展而來的新的生成樹協(xié)議，本身就包含了 RSTP的快速 FORWARDING 機(jī)制。由于傳統(tǒng)的生成樹協(xié)議與 vlan 沒有任何聯(lián)系，因此在特定網(wǎng)絡(luò)拓樸下就會產(chǎn)生以下問題： 如下圖 所示，交換機(jī) A、B 在 vlan1 內(nèi)，交換機(jī) C、D 在 vlan2 內(nèi)，然后連成環(huán)路。圖 4.1 MSTP范例(fnl)在某種情況的配置(pizh)下，會造成把交換機(jī) A 和 B 間的鏈路給 DISCARDING.由于(yuy)交換機(jī) C、D 不包含 vlan1，無法轉(zhuǎn)發(fā) vlan1 的數(shù)據(jù)包，這樣交換機(jī) A 的 vlan1 就無法與交換機(jī) B 的 v

43、lan1 進(jìn)行通訊。在網(wǎng)絡(luò)末梢，連接到單個工作站的時候，是不可能形成橋接環(huán)路的。在接口 上啟用了 portfast 特性，可以使交換機(jī)端口立即變?yōu)檗D(zhuǎn)發(fā)狀態(tài)，提高了網(wǎng)絡(luò)的 響應(yīng)速度及收斂時間。 基于 RSTP 的交換機(jī)高級特性 Uplinkfast 在網(wǎng)絡(luò)中的應(yīng)用考慮到有冗余上行連接的網(wǎng)絡(luò)，使用冗余連接到上層交換機(jī)，通常情況下一 個上行連接處于轉(zhuǎn)發(fā)狀態(tài)，另一個處于阻塞狀態(tài)，如果主上行連接斷開，在使用 冗余連接之前所經(jīng)歷的時間高達(dá) 50S在使用 Uplinkfast 之后，使的具有冗余上行連接的交換機(jī)具有根端口失效 時，另一個阻塞的上行連接能夠立即使用，這個時間大大縮小到 1-5S 之間，在校園網(wǎng)

44、的特殊環(huán)境之下，能大大增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性，加快網(wǎng)絡(luò)收斂。 4.3 NAT的策略路由實(shí)現(xiàn)NAT 是網(wǎng)絡(luò)地址翻譯技術(shù)，在路由器上起用 NAT 之后，可以在部私有地址和 外部公網(wǎng)地址之間做轉(zhuǎn)換。比如我們可以把網(wǎng)絡(luò)內(nèi)部使用的 IP 翻譯成外部公網(wǎng)的 IP。配置基于策略的路由選擇時，可使用路由映射表來指定基于IP 地址，應(yīng)用程序，協(xié)議或者分組長度的條件。基于策略的路由選擇命令對中選的路由實(shí)現(xiàn)策 略。4.4 VLAN虛擬(xn)局域網(wǎng)的劃分VLAN 虛擬局域網(wǎng)是一種在二層設(shè)備上隔離和劃分廣播(gungb)域的技術(shù)，通過這種 劃分，可以(ky)隔離網(wǎng)段，可以有效地管理網(wǎng)絡(luò)。在企業(yè)網(wǎng)方案中，通過使用VLAN 技

45、術(shù)進(jìn)行劃分達(dá)到以下目的：隔離，劃分廣播域，減小不必要的廣播流量，從而提高整個網(wǎng)絡(luò)的利用效率。4.5 ACL訪問控制策略訪問列表為我們提供了一種對網(wǎng)絡(luò)訪問進(jìn)行有效管理的方法，通過訪問列 表，我們可以設(shè)置允許或拒絕數(shù)據(jù)包通過路由器，或者允許或者拒絕具體的某些 端口進(jìn)行訪問和使用，如果滿足條件則執(zhí)行相應(yīng)的操作，放行這個包或者放棄這 個包。在具體實(shí)現(xiàn)過程中從技術(shù)上來說我們需要了解到 ACL 分為兩種類型,他們分 別是標(biāo)準(zhǔn)訪問列表(Standard access lists)和擴(kuò)展訪問列表（Extends access lists） 前者在過濾網(wǎng)絡(luò)的時候只使用 IP 數(shù)據(jù)報的源地址，那么在使用這種訪問列

46、表的 情況下它做出允許或者拒絕這個決定完全是依賴于源 IP 地址，它無法區(qū)分具體的流量類型。4.6 鏈路聚合以太網(wǎng)信道鏈路聚合可以讓交換機(jī)之間和交換機(jī)與服務(wù)器之間的鏈路帶寬有非常好的伸縮性，比如可以把 2 個、3 個、4 個千兆的鏈路綁定在一起，使鏈路的帶寬成倍增長。鏈路聚合技術(shù)可以實(shí)現(xiàn)不同端口的負(fù)載均衡，同時也能夠互為備份，保證鏈路的冗余性。在這些千兆以太網(wǎng)交換機(jī)中，最多可以支持 4 組鏈路聚合，每 組中最大 4 個端口。鏈路聚合一般是不允許跨芯片設(shè)置的。生成樹協(xié)議和鏈路聚合都可以保證一個網(wǎng)絡(luò)的冗余性。在一個網(wǎng)絡(luò)中設(shè)置冗余鏈路，并用生成樹協(xié)議讓備份鏈路阻塞，在邏輯上不形成環(huán)路。而一旦出現(xiàn)故障

47、，啟用備份鏈路。4.7 交換機(jī)端口安全交換機(jī)端口安全功能，是指針對交換機(jī)的端口進(jìn)行安全屬性的配置，從而控制用戶的安全接入。交換機(jī)端口安全主要有兩種類型：一是限制交換機(jī)端口的最大連接數(shù)，二是針對交換機(jī)端口進(jìn)行MAC地址、IP地址的綁定。限制交換機(jī)端口的最大連接數(shù)可以控制交換機(jī)端口下連的主機(jī)數(shù)，并防止用戶進(jìn)行惡意ARP欺騙。交換機(jī)端口的地址綁定，可以(ky)針對IP地址(dzh)、MAC地址(dzh)、IP+MAC進(jìn)行靈活的綁定?？梢詫?shí)現(xiàn)對用戶進(jìn)行嚴(yán)格的控制。保證用戶的安全接入和防止常見的內(nèi)網(wǎng)的網(wǎng)絡(luò)攻擊。5 企業(yè)網(wǎng)絡(luò)安全設(shè)計5.1 企業(yè)(qy)網(wǎng)絡(luò)的主要安全隱患現(xiàn)在網(wǎng)絡(luò)安全系統(tǒng)所要防范的不再僅是病

48、毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵(rqn)、攻擊和訪問，這樣對于公司的網(wǎng)絡(luò)(wnglu)穩(wěn)定與信息安全產(chǎn)生巨大威脅。很多情況下內(nèi)部網(wǎng)絡(luò)安全威脅要遠(yuǎn)遠(yuǎn)大于外部網(wǎng)絡(luò)，因?yàn)閮?nèi)部中實(shí)施入侵和攻擊更加容易。 加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，配置好防火墻過濾策略和系統(tǒng)本身的各項(xiàng)安全措施，及時安裝系統(tǒng)安全補(bǔ)丁，有條件的還可以在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測、網(wǎng)絡(luò)嗅探器、IDS、IPS系統(tǒng)，甚至配置網(wǎng)絡(luò)安全隔離系統(tǒng)，對內(nèi)、外網(wǎng)絡(luò)進(jìn)行安全隔離；加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，嚴(yán)格實(shí)行“最小權(quán)限”原則，為各個用戶配置好恰當(dāng)?shù)挠脩魴?quán)限； 5.2 網(wǎng)絡(luò)安全防范體系層次 (1)物理環(huán)境的安全性（物理層安全） 該層次的安全包括通信線路的

49、安全，物理設(shè)備的安全，機(jī)房的安全等。物理層的安全主要體現(xiàn)在通信線路的可靠性（線路備份、網(wǎng)管軟件、傳輸介質(zhì)），軟硬件設(shè)備安全性（替換設(shè)備、拆卸設(shè)備、增加設(shè)備），設(shè)備的備份。 (2)操作系統(tǒng)的安全性（系統(tǒng)層安全） 該層次的安全問題來自網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)的安全，如Windows NT，Windows 2000等。主要表現(xiàn)在三方面，一是操作系統(tǒng)本身的缺陷帶來的不安全因素，主要包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等。二是對操作系統(tǒng)的安全配置問題。三是病毒對操作系統(tǒng)的威脅。 (3)網(wǎng)絡(luò)的安全性（網(wǎng)絡(luò)層安全） 該層次的安全問題主要體現(xiàn)在網(wǎng)絡(luò)方面的安全性，包括網(wǎng)絡(luò)層身份認(rèn)證，網(wǎng)絡(luò)資源的訪問控制，數(shù)據(jù)傳輸?shù)谋Ｃ芘c

50、完整性，遠(yuǎn)程接入的安全，域名系統(tǒng)的安全，路由系統(tǒng)的安全，入侵檢測的手段，網(wǎng)絡(luò)設(shè)施防病毒等。 (4)應(yīng)用的安全性（應(yīng)用層安全） 該層次的安全問題主要由提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性產(chǎn)生，包括Web服務(wù)、電子郵件系統(tǒng)、DNS等。此外，還包括病毒對系統(tǒng)的威脅。 (5)管理的安全性（管理層安全） 安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等。管理的制度化極大程度地影響著整個網(wǎng)絡(luò)的安全，嚴(yán)格的安全管理制度、明確的部門安全職責(zé)劃分、合理的人員角色配置都可以在很大程度上降低其它層次的安全漏洞。5.3 網(wǎng)絡(luò)安全措施(cush)(1) 構(gòu)建良好的環(huán)境確保(qubo)企業(yè)物理設(shè)備

51、的安全(2) 劃分VLAN控制(kngzh)內(nèi)網(wǎng)安全(3) 安裝防火墻體系(4) 建立VPN(虛擬專用網(wǎng)絡(luò))確保數(shù)據(jù)安全(5) 安裝防病毒服務(wù)器(6) 加強(qiáng)企業(yè)對網(wǎng)絡(luò)資源的管理5.4 安全措施具體實(shí)施物理方面：（1）保證機(jī)房環(huán)境安全信息系統(tǒng)中的計算機(jī)硬件、網(wǎng)絡(luò)設(shè)施以及運(yùn)行環(huán)境是信息系統(tǒng)運(yùn)行的最基本的環(huán)境。要從一下三個方面考慮：一、自然災(zāi)害，物理損壞和設(shè)備故障 二、電磁輻射，乘機(jī)而入、痕跡泄漏等 三、操作失誤，意外疏漏等。（2）選用合適的傳輸介質(zhì)屏蔽式雙絞線的抗干擾能力更強(qiáng)，且要求必須配有支持屏蔽功能的連接器件和要求介質(zhì)有良好的接地（最好多處接地），對于干擾嚴(yán)重的區(qū)域應(yīng)使用屏蔽式雙絞線，并將其放

52、在金屬管內(nèi)以增強(qiáng)抗干擾能力。（3）保證供電安全可靠計算機(jī)和網(wǎng)絡(luò)主干設(shè)備對交流電源的質(zhì)量要求十分嚴(yán)格，對交流電的電壓和頻率，對電源波形的正弦性，對三相電源的對稱性，對供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項(xiàng)指標(biāo)，都要求保持在允許偏差范圍內(nèi)。機(jī)房的供配電系統(tǒng)設(shè)計既要滿足設(shè)備自身運(yùn)轉(zhuǎn)的要求，又要滿足網(wǎng)絡(luò)應(yīng)用的要求，必須做到保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性，保證設(shè)備的設(shè)計壽命保證信息安全保證機(jī)房人員的工作環(huán)境。2、 VLAN的應(yīng)用：VLAN是一種將局域網(wǎng)（LAN）設(shè)備從邏輯上劃分（注意，不是從物理上劃分）成一個個網(wǎng)段（或者說是更小的局域網(wǎng)LAN）。VLAN技術(shù)能有效隔離局域網(wǎng)，防止網(wǎng)內(nèi)的攻擊，所以公司網(wǎng)絡(luò)中

53、按部門進(jìn)行了VLAN劃分，每個部門都有相應(yīng)的VLAN,這樣有利于網(wǎng)絡(luò)安全。3、企業(yè)網(wǎng)絡(luò)防火墻的應(yīng)用企業(yè)網(wǎng)絡(luò)中使用的是神州數(shù)碼的DCFW-1800S UTM，里面包含了防火墻和VPN等功能。防火墻主要功能如下：(1)網(wǎng)絡(luò)安全的屏障防火墻可通過過濾不安全的服務(wù)而減低風(fēng)險，極大地提高內(nèi)部網(wǎng)絡(luò)的安全性。由于只有經(jīng)過選擇并授權(quán)允許的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以禁止諸如不安全的NFS協(xié)議進(jìn)出受保護(hù)的網(wǎng)絡(luò)，使攻擊者不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向路徑。防火墻能夠拒絕所有以上類型攻擊的報文，

54、并將情況及時通知防火墻管理員。(2)強(qiáng)化(qinghu)網(wǎng)絡(luò)安全策略通過以防火墻為中心的安全方案配置。能將所有安全軟件(如口令、加密、身份認(rèn)證等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如(lr)，在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其他的身份認(rèn)證系統(tǒng)完全可以不必分散在各個主機(jī)上而集中在防火墻。(3)實(shí)施監(jiān)控(jin kn)審計功能對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計由于所有的訪問都必須經(jīng)過防火墻，所以防火墻就不僅能夠制作完整的日志記錄，而且還能夠提供網(wǎng)絡(luò)使用的情況的統(tǒng)計數(shù)據(jù)，利用此監(jiān)控功能，當(dāng)發(fā)生可疑動作時，防火墻能進(jìn)行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊

55、的詳細(xì)信息。4、企業(yè)網(wǎng)絡(luò)管理實(shí)施 百絡(luò)網(wǎng)警是企業(yè)級的局域網(wǎng)管理軟件，其把一款專業(yè)性很強(qiáng)的網(wǎng)管軟件設(shè)計成為一個淺顯易懂的提高企業(yè)生產(chǎn)力的軟件，該軟件以“事前防控、事中監(jiān)控、事后跟蹤”的模式來協(xié)助企業(yè)來進(jìn)行員工上網(wǎng)行為管理。主要功能： （1）一機(jī)監(jiān)控整個網(wǎng)絡(luò)（不同于一般軟件，不需安裝客戶端）。 只裝在一臺電腦上，不用安裝客戶端，即可針對網(wǎng)卡地址（或機(jī)器名或IP地址或自定義用戶名）對整個網(wǎng)絡(luò)進(jìn)行跨VLAN、跨平臺控制管理。 （2）監(jiān)控QQ聊天內(nèi)容、MSN聊天內(nèi)容、飛信聊天內(nèi)容?？蓪?shí)時記錄MSN、Yahoo、ICQ、QQ聊天室等即時通訊工具的聊天內(nèi)容，并對QQ號碼以及其聊天過程進(jìn)行全程記錄。 （3）監(jiān)

56、控郵件內(nèi)容?？蓪νㄟ^SMTP協(xié)議發(fā)郵件和通過POP3收郵件的收發(fā)郵箱進(jìn)行任意控制，如只能收發(fā)到指定的郵箱或指定的郵箱才能收發(fā)，并能查看收發(fā)內(nèi)容（包含附件內(nèi)容）。 （4）實(shí)時流量管理及統(tǒng)計。不僅可對每臺電腦上網(wǎng)流量進(jìn)行統(tǒng)計查詢，而且還可以根據(jù)工作需要對它們進(jìn)行流量帶寬控制，控制BT下載并報警，防止網(wǎng)絡(luò)帶寬被大量無效占用，使互聯(lián)網(wǎng)資源真正得到有效合理分配。（5）過濾上網(wǎng)信息?？山咕W(wǎng)頁粘貼、論壇留言、WEB郵件等所有通過HTTP協(xié)議的網(wǎng)絡(luò)外發(fā)行為，使單位領(lǐng)導(dǎo)不再擔(dān)心員工利用單位電腦在網(wǎng)上發(fā)布不恰當(dāng)?shù)木W(wǎng)絡(luò)言論，不再擔(dān)心企業(yè)商業(yè)秘密或重要文檔通過互聯(lián)網(wǎng)外泄。 （7）個性化管理局域網(wǎng)中電腦?？稍谌我鈺r間

57、段對任何組和單機(jī)建立各種管理規(guī)則進(jìn)行控制管理，操作靈活方便，使管理者能對互聯(lián)網(wǎng)實(shí)現(xiàn)最大限度的個性化管理。（8）局域網(wǎng)內(nèi)電腦(dinno)分組管理?？梢?ky)將機(jī)器按IP或者VLAN分成不同的組進(jìn)行系統(tǒng)管理，可以增添和刪除組。通過對不同級別、不同用戶分配不同的管理權(quán)限，可實(shí)現(xiàn)多級別、多用戶對系統(tǒng)進(jìn)行遠(yuǎn)程操作控制，使整個互聯(lián)網(wǎng)管理有條有序，層次分明。6 網(wǎng)絡(luò)系統(tǒng)測試(csh)6.1 設(shè)備(shbi)配置(pizh)設(shè)計完網(wǎng)絡(luò)后，需要對企業(yè)網(wǎng)進(jìn)行實(shí)施，我們使用Cisco Packet Tracer軟件模擬設(shè)備，再進(jìn)行設(shè)備的相應(yīng)配置。PT繪制拓?fù)鋱D如下：圖 6.1 測試拓?fù)鋱D配置過程：R1:host

58、name R1interface FastEthernet0/0 ip address ip nat inside duplex auto speed auto!interface FastEthernet0/1 ip address ip nat inside duplex auto speed auto!interface Serial0/0/0 ip address 0 52 ip nat outside clock rate 9600!interface Serial0/0/1 no ip address shutdown!interface Ethernet0/2/0 ip addr

59、ess duplex auto speed auto!interface FastEthernet1/0 ip address ip nat inside duplex auto speed auto!interface Vlan1 no ip address shutdown!router ospf 1 log-adjacency-changes network 55 area 0 network 55 area 0 network 55 area 0 network 55 area 0 default-information originate!ip nat inside source l

60、ist 1 interface Serial0/0/0 overloadip nat inside source static tcp 80 0 80 ip classlessip route access-list 1 permit 55line con 0line vty 0 4 login!EndR2:hostname R2no ip domain-lookupinterface FastEthernet0/0 ip address 52 duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto