網(wǎng)絡(luò)安全系統(tǒng)集成高職PPT完整全套教學(xué)課件

全套可編輯PPT課件單元2網(wǎng)絡(luò)綜合布線系統(tǒng)設(shè)計單元1網(wǎng)絡(luò)安全系統(tǒng)集成概述目錄單元3網(wǎng)絡(luò)工程設(shè)計單元5網(wǎng)絡(luò)工程的實施與測試驗收單元4網(wǎng)絡(luò)系統(tǒng)安全設(shè)計單元6網(wǎng)絡(luò)系統(tǒng)安全管理

引例描述

計算機網(wǎng)絡(luò)技術(shù)是計算機技術(shù)和通信技術(shù)的融合與交集，涉及多個交叉學(xué)科領(lǐng)域。如今，各行各業(yè)的大、中、小企事業(yè)單位都要組建網(wǎng)絡(luò)，應(yīng)當以用戶的網(wǎng)絡(luò)應(yīng)用需求和投資規(guī)模為出發(fā)點，綜合應(yīng)用計算機技術(shù)和網(wǎng)絡(luò)通信技術(shù)，合理選擇各種軟硬件產(chǎn)品，通過網(wǎng)絡(luò)集成商相關(guān)技術(shù)人員的集成設(shè)計、應(yīng)用開發(fā)、安裝組建、調(diào)試和培訓(xùn)、管理和維護等大量專業(yè)性工作和商務(wù)工作，使集成后的網(wǎng)絡(luò)安全系統(tǒng)具有良好的性價比，滿足用戶的實際需要，成為穩(wěn)定可靠的計算機網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)安全系統(tǒng)集成是一項綜合性很強的系統(tǒng)工程，本書主要介紹網(wǎng)絡(luò)安全系統(tǒng)的規(guī)劃、設(shè)計、組建和維?護。

學(xué)習(xí)目標

掌握網(wǎng)絡(luò)需求分析技能；具備開展需求調(diào)研、形成網(wǎng)絡(luò)安全需求報告的能力；具備理論聯(lián)系實際和團隊協(xié)作的素?養(yǎng)。

小明家的房子是兩室一廳，小明和父母都需要在家里使用計算機上網(wǎng)。為了避免沖突，小明家準備購買3臺PC（個人計算機）。其中，兩臺臺式計算機固定在客廳里上網(wǎng)，一臺筆記本電腦（帶有無線網(wǎng)卡）需要在家里的任何地方都能夠上?網(wǎng)。

任務(wù)場景

利用互聯(lián)網(wǎng)了解網(wǎng)絡(luò)系統(tǒng)集成的基本概念，認知網(wǎng)絡(luò)系統(tǒng)集成是一個發(fā)展的概念。歸納總結(jié)網(wǎng)絡(luò)系統(tǒng)集成的基本過程，知道每一過程的主要功能。

對比TCP/IP模型，認知網(wǎng)絡(luò)系統(tǒng)集成的體系結(jié)構(gòu)。

總結(jié)網(wǎng)絡(luò)系統(tǒng)集成項目能順利實施的主要要求有哪?些。

任務(wù)布置1.網(wǎng)絡(luò)系統(tǒng)集成的定義（1）網(wǎng)絡(luò)的概念。這里提到的網(wǎng)絡(luò)，指的是計算機網(wǎng)絡(luò)，如校園網(wǎng)、園區(qū)網(wǎng)、企業(yè)網(wǎng)等。從計算機網(wǎng)絡(luò)的概念來看，它含有系統(tǒng)集成成分，但不具有更專業(yè)的技術(shù)和工?藝。（2）系統(tǒng)的概念。系統(tǒng)是為實現(xiàn)特定功能，以達到某一目標而構(gòu)成的相互關(guān)聯(lián)的一個集合體。計算機網(wǎng)絡(luò)中的計算機、交換機、路由器、防火墻、系統(tǒng)軟件、應(yīng)用軟件、通信介質(zhì)等就體現(xiàn)了一個有機的、協(xié)調(diào)的集合?體。（3）集成的概念。集成是將一些孤立的事物和元素通過某種方式集中在一起，產(chǎn)生有機的聯(lián)系，從而構(gòu)成一個有機整體的過程和操作方法。因此，集成是一種過程、方法和手?段。、1.1.1網(wǎng)絡(luò)系統(tǒng)集成的概念1.網(wǎng)絡(luò)系統(tǒng)集成的定義網(wǎng)絡(luò)系統(tǒng)集成包含以下要?素。（1）目標：系統(tǒng)生命周期中與用戶利益始終保持一致的服?務(wù)。（2）方法：先進的理論+先進的手段+先進的技術(shù)+先進的管?理。（3）對象：計算機及通信硬件+計算機軟件+計算機使用者+管?理。（4）內(nèi)容：計算機網(wǎng)絡(luò)集成+信息和數(shù)據(jù)集成+應(yīng)用系統(tǒng)集?成。1.1.1網(wǎng)絡(luò)系統(tǒng)集成的概念

2.為什么需要網(wǎng)絡(luò)系統(tǒng)集成

網(wǎng)絡(luò)系統(tǒng)集成不是各種硬件和軟件的堆積，而是一種在系統(tǒng)整合、系統(tǒng)再生產(chǎn)過程中為滿足客戶需求的增值服務(wù)業(yè)務(wù)，是一種價值再創(chuàng)造的過程。從工程角度來看，網(wǎng)絡(luò)系統(tǒng)集成包括3個層面—技術(shù)集成、產(chǎn)品集成和應(yīng)用集成。1.1.1網(wǎng)絡(luò)系統(tǒng)集成的概念

網(wǎng)絡(luò)系統(tǒng)集成技術(shù)和產(chǎn)品集成涉及不同的標準和行業(yè)規(guī)范，其復(fù)雜性體現(xiàn)在4個方面—技術(shù)、成員、環(huán)境和約束1.1.2網(wǎng)絡(luò)系統(tǒng)集成的復(fù)雜性

1.較高的質(zhì)量水準 2.網(wǎng)絡(luò)系統(tǒng)建設(shè)速度快 3.交鑰匙解決方案 4.標準化配置1.1.3網(wǎng)絡(luò)系統(tǒng)集成的優(yōu)點

2．網(wǎng)絡(luò)安全結(jié)構(gòu)劃分

通常，從技術(shù)層面，按時間推移，將網(wǎng)絡(luò)系統(tǒng)集成過程粗略分為網(wǎng)絡(luò)需求分析、邏輯網(wǎng)絡(luò)設(shè)計、物理網(wǎng)絡(luò)設(shè)計、網(wǎng)絡(luò)安裝與調(diào)試、網(wǎng)絡(luò)驗收與維護等1.1.4網(wǎng)絡(luò)系統(tǒng)集成的基本過程1.1.5網(wǎng)絡(luò)系統(tǒng)集成的體系結(jié)構(gòu) 1.網(wǎng)絡(luò)工程甲方 2.網(wǎng)絡(luò)工程乙方 3.網(wǎng)絡(luò)工程監(jiān)理方1.1.6網(wǎng)絡(luò)系統(tǒng)集成的主體結(jié)構(gòu)1.1.6網(wǎng)絡(luò)系統(tǒng)集成的主體結(jié)構(gòu)網(wǎng)絡(luò)工程甲方是需要建設(shè)計算機網(wǎng)絡(luò)的單位，也稱用戶，是計算機網(wǎng)絡(luò)工程的提出者和投資方。甲方的人員組成主要包括行政聯(lián)絡(luò)人和技術(shù)聯(lián)絡(luò)人。

行政聯(lián)絡(luò)人是甲方的工程負責人，一般由甲方的行政領(lǐng)導(dǎo)擔任。

技術(shù)聯(lián)絡(luò)人是甲方的工程技術(shù)負責人甲方的職責是編制標書、組織招投標、監(jiān)督工程、組織網(wǎng)絡(luò)專家對計算機網(wǎng)絡(luò)工程進行可行性論證等。1.1.6網(wǎng)絡(luò)系統(tǒng)集成的主體結(jié)構(gòu)網(wǎng)絡(luò)工程乙方工程乙方是計算機網(wǎng)絡(luò)工程的承建者。網(wǎng)絡(luò)工程的量比較大，可以由多個公司承擔網(wǎng)絡(luò)工程的建設(shè)任務(wù)。乙方的主要職責是：編制投標書、簽訂工程合同、進行用戶需求調(diào)查、規(guī)劃設(shè)計、制訂實施計劃、產(chǎn)品選型、系統(tǒng)集成、合同規(guī)定的其它

工作等。經(jīng)銷商、系統(tǒng)集成商、開發(fā)商。1.1.6網(wǎng)絡(luò)系統(tǒng)集成的主體結(jié)構(gòu)網(wǎng)絡(luò)工程監(jiān)理方是指為了幫助用戶建設(shè)一個性價比最優(yōu)的網(wǎng)絡(luò)系統(tǒng)，在網(wǎng)絡(luò)工程建設(shè)過程中，給用戶提供前期咨詢、網(wǎng)絡(luò)方案論證、確定系統(tǒng)集成商、網(wǎng)絡(luò)質(zhì)量控制等服務(wù)。提供工程監(jiān)理服務(wù)的機構(gòu)就是監(jiān)理方，工程監(jiān)理方的人員組織包括總監(jiān)理工程師、監(jiān)理工程師、監(jiān)理人員等。網(wǎng)絡(luò)工程監(jiān)理方的主要職責是：幫助用戶做好需求分析、選擇好的系統(tǒng)集成商、控制工程進度、控制工程質(zhì)量、作好各項測試工作。 1.網(wǎng)絡(luò)需求分析。 2.規(guī)劃拓撲結(jié)構(gòu)。 3.選擇網(wǎng)絡(luò)技術(shù)。 4.確定互聯(lián)方式。 5.規(guī)劃IP地址。 6.選擇網(wǎng)絡(luò)設(shè)備。 7.網(wǎng)絡(luò)系統(tǒng)實施。

（1）訂購網(wǎng)絡(luò)產(chǎn)品。

（2）設(shè)備安裝調(diào)試。（3）整理技術(shù)文檔。任務(wù)實施單元2網(wǎng)絡(luò)綜合布線系統(tǒng)設(shè)計單元1網(wǎng)絡(luò)安全系統(tǒng)集成概述目錄單元3網(wǎng)絡(luò)工程設(shè)計單元5網(wǎng)絡(luò)工程的實施與測試驗收單元4網(wǎng)絡(luò)系統(tǒng)安全設(shè)計單元6網(wǎng)絡(luò)系統(tǒng)安全管理

引例描述

計算機網(wǎng)絡(luò)技術(shù)是計算機技術(shù)和通信技術(shù)的融合與交集，涉及多個交叉學(xué)科領(lǐng)域。如今，各行各業(yè)的大、中、小企事業(yè)單位都要組建網(wǎng)絡(luò)，應(yīng)當以用戶的網(wǎng)絡(luò)應(yīng)用需求和投資規(guī)模為出發(fā)點，綜合應(yīng)用計算機技術(shù)和網(wǎng)絡(luò)通信技術(shù)，合理選擇各種軟硬件產(chǎn)品，通過網(wǎng)絡(luò)集成商相關(guān)技術(shù)人員的集成設(shè)計、應(yīng)用開發(fā)、安裝組建、調(diào)試和培訓(xùn)、管理和維護等大量專業(yè)性工作和商務(wù)工作，使集成后的網(wǎng)絡(luò)安全系統(tǒng)具有良好的性價比，滿足用戶的實際需要，成為穩(wěn)定可靠的計算機網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)安全系統(tǒng)集成是一項綜合性很強的系統(tǒng)工程，本書主要介紹網(wǎng)絡(luò)安全系統(tǒng)的規(guī)劃、設(shè)計、組建和維?護。

學(xué)習(xí)目標

掌握網(wǎng)絡(luò)需求分析技能；具備開展需求調(diào)研、形成網(wǎng)絡(luò)安全需求報告的能力；具備理論聯(lián)系實際和團隊協(xié)作的素?養(yǎng)。

某知名外企ABC公司步入中國，在重慶建設(shè)了自己的中國總部。為滿足公司經(jīng)營、管理的需要，準備建立公司信息化網(wǎng)絡(luò)。ABC公司總部設(shè)有市場部、財務(wù)部、人力資源部、企劃部4個部門，并在上海、廣州兩地各設(shè)立一個公司分部。為了業(yè)務(wù)的開展，需要安全訪問公司內(nèi)部服務(wù)器。根據(jù)ABC公司的建網(wǎng)需求，在經(jīng)過競爭激烈的招投標后，從事網(wǎng)絡(luò)工程及系統(tǒng)集成業(yè)務(wù)的川海高新技術(shù)有限公司承接了ABC公司網(wǎng)絡(luò)組建項目，目前進入了項目的啟動階段。按照ABC公司網(wǎng)絡(luò)的設(shè)計要求，為了確保網(wǎng)絡(luò)部署成功，需要分析用戶需求、網(wǎng)絡(luò)設(shè)備選型，并制定項目實施流?程。

任務(wù)場景1.通過實地調(diào)查收集相關(guān)需求數(shù)據(jù)。2.對目標網(wǎng)絡(luò)需求進行分析。3.制定任務(wù)實施步驟。4.形成網(wǎng)絡(luò)安全分析文?檔。

任務(wù)布置1.2.1網(wǎng)絡(luò)需求分析與網(wǎng)絡(luò)需求調(diào)查的必要性BECDA建網(wǎng)動因應(yīng)用需求網(wǎng)絡(luò)覆蓋范圍內(nèi)外網(wǎng)通信條件建網(wǎng)約束條件回答為什么需要進行相關(guān)的網(wǎng)絡(luò)設(shè)計回答所建網(wǎng)絡(luò)應(yīng)包括哪些應(yīng)用系統(tǒng)以及需要解決的實際問題包括地理范圍、使用者范圍和數(shù)量，主要回答網(wǎng)絡(luò)有多大回答目前已有或可用的通信條件，目前狀況如何即定量、定性條件及經(jīng)費約束條件等1.網(wǎng)絡(luò)需求調(diào)查要解決的問題2.網(wǎng)絡(luò)需求調(diào)查為網(wǎng)絡(luò)需求分析提供基本素材1.2.1網(wǎng)絡(luò)需求分析與網(wǎng)絡(luò)需求調(diào)查的必要性通過需求調(diào)查可以獲取用戶的真正需求用戶所了解的需求與網(wǎng)絡(luò)工程人員理解的需求可能存在差異在項目開始之前，不能知曉真正的需求另外需求本身是一個動態(tài)變化的過程需求調(diào)查完成后，對需求說明書進行細化，對比較復(fù)雜的用戶需求還有進行建模分析，以幫助開發(fā)人員更好地了解需求因此將收集到的需求進行多次分析整理，直到雙方理解為止

3.網(wǎng)絡(luò)需求分析為項目設(shè)計提供基本依據(jù)

1.2.1網(wǎng)絡(luò)需求分析與網(wǎng)絡(luò)需求調(diào)查的必要性更好地評價網(wǎng)絡(luò)體?系能夠客觀地做出決?策提供完美的交互功?能提供網(wǎng)絡(luò)的移植功?能合理使用用戶的資?源1.2.2網(wǎng)絡(luò)需求調(diào)查方法和調(diào)查內(nèi)容決策者的建設(shè)思路用戶提供的歷史資料、行業(yè)資料和使用狀況等資料用戶技術(shù)人員的細節(jié)描述網(wǎng)絡(luò)使用者對網(wǎng)絡(luò)的需求1.需求來源1.2.2網(wǎng)絡(luò)需求調(diào)查方法和調(diào)查內(nèi)容問卷調(diào)查會議座談用戶訪談實地考察同行咨詢2.需求調(diào)查的方法1.2.2網(wǎng)絡(luò)需求調(diào)查方法和調(diào)查內(nèi)容3.需求調(diào)查的內(nèi)容一般狀況調(diào)查（每個網(wǎng)絡(luò)都因業(yè)務(wù)不同而有其不同的解決方案）也叫業(yè)務(wù)需求網(wǎng)絡(luò)使用環(huán)境、企業(yè)組織結(jié)構(gòu)、人員組成及分布內(nèi)、外網(wǎng)連接、發(fā)展狀況、企業(yè)和行業(yè)特點現(xiàn)有可用資源、投資預(yù)算、用戶期望目標1.2.2網(wǎng)絡(luò)需求調(diào)查方法和調(diào)查內(nèi)容3.需求調(diào)查的內(nèi)容性能需求調(diào)查（主要解決用戶體驗效果）也稱用戶需求網(wǎng)絡(luò)性能是指該系統(tǒng)完成任務(wù)的有效性、穩(wěn)定性和響應(yīng)速率性能需求調(diào)查決定系統(tǒng)性能檔次、所采用的技術(shù)和設(shè)備檔次性能需求涉及很多的具體方面，有總體網(wǎng)絡(luò)接入性能需求、交換機服務(wù)器等關(guān)鍵設(shè)備響應(yīng)性能需求、磁盤讀寫性能要求1.2.2網(wǎng)絡(luò)需求調(diào)查方法和調(diào)查內(nèi)容3.需求調(diào)查的內(nèi)容功能需求調(diào)查（考慮網(wǎng)絡(luò)本身運行和將來對其維護的需求）也稱網(wǎng)絡(luò)需求主要側(cè)重于網(wǎng)絡(luò)自身的功能，而不包括應(yīng)用系統(tǒng)是否配置網(wǎng)管系統(tǒng)、服務(wù)器管理系統(tǒng)、第三方數(shù)據(jù)備份和容災(zāi)系統(tǒng)、磁盤陣列系統(tǒng)、網(wǎng)絡(luò)存儲系統(tǒng)、服務(wù)器容錯系統(tǒng)是否需要多域，或多子網(wǎng)、多服務(wù)器更多的網(wǎng)絡(luò)功能需求還體現(xiàn)在具體的網(wǎng)絡(luò)設(shè)備上1.2.2網(wǎng)絡(luò)需求調(diào)查方法和調(diào)查內(nèi)容3.需求調(diào)查的內(nèi)容應(yīng)用需求調(diào)查（在網(wǎng)上做什么，涉及網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)服務(wù)）期望使用的操作系統(tǒng)、辦公系統(tǒng)、數(shù)據(jù)庫系統(tǒng)是哪些？打印、傳真和掃描業(yè)務(wù)是否多主要內(nèi)部網(wǎng)絡(luò)應(yīng)用是否需要使用公司內(nèi)（外）部的郵件服務(wù)是否需要用到公司內(nèi)（外）部網(wǎng)站服務(wù)是否需要用到一些特定的行業(yè)管理系統(tǒng)1.2.2網(wǎng)絡(luò)需求調(diào)查方法和調(diào)查內(nèi)容3.需求調(diào)查的內(nèi)容管理需求調(diào)查網(wǎng)絡(luò)管理的功能主要體現(xiàn)在配置管理、故障管理、性能管理、安全管理和記賬管理等幾個方面。安全需求調(diào)查

網(wǎng)絡(luò)安全的目標是使用戶的網(wǎng)絡(luò)財產(chǎn)和資源損失最小化安全性的基本要求是防止用戶網(wǎng)絡(luò)資源被盜用和破壞1.2.3網(wǎng)絡(luò)需求分析2.網(wǎng)絡(luò)業(yè)務(wù)需求分析（1）確定需要聯(lián)網(wǎng)的業(yè)務(wù)部門及相關(guān)人員，了解各個工作人員的基本業(yè)務(wù)流程以及網(wǎng)絡(luò)應(yīng)用類型、地點和使用方?法。（2）確定網(wǎng)絡(luò)系統(tǒng)的投資規(guī)模，預(yù)測網(wǎng)絡(luò)應(yīng)用的增長率（確定網(wǎng)絡(luò)的伸縮性需求）。（3）確定網(wǎng)絡(luò)的可靠性、可用性及網(wǎng)絡(luò)響應(yīng)時?間。（4）確定Web站點和Internet的連接?性。（5）確定網(wǎng)絡(luò)的安全性及有無遠程訪問需?求1.2.3網(wǎng)絡(luò)需求分析3.網(wǎng)絡(luò)管理需求分析（1）是否需要對網(wǎng)絡(luò)進行遠程管理，遠程管理可以幫助網(wǎng)絡(luò)管理員利用遠程控制軟件管理網(wǎng)絡(luò)設(shè)備，使網(wǎng)管工作更方便、更高?效。（2）誰來負責網(wǎng)絡(luò)管?理。（3）需要哪些管理功能，如是否需要計費，是否要為網(wǎng)絡(luò)建立域，選擇什么樣的域模式?等。（4）選擇哪個供應(yīng)商的網(wǎng)管軟件，是否有詳細的評?估。（5）選擇哪個供應(yīng)商的網(wǎng)絡(luò)設(shè)備，其可管理性如?何。（6）需不需要跟蹤和分析處理網(wǎng)絡(luò)運行信?息。1.2.3網(wǎng)絡(luò)需求分析4.網(wǎng)絡(luò)安全需求分析（1）企業(yè)敏感性數(shù)據(jù)的安全級別及其分布情?況。（2）網(wǎng)絡(luò)用戶的安全級別及其權(quán)?限。（3）可能存在的安全漏洞，這些漏洞對本系統(tǒng)的影響程度如?何。（4）網(wǎng)絡(luò)設(shè)備的安全功能要?求。（5）應(yīng)用系統(tǒng)安全要?求。（6）采用什么樣的殺毒軟件。（7）采用什么樣的防火墻技術(shù)方?案。（8）網(wǎng)絡(luò)遵循的安全規(guī)范和達到的安全級?別。1.2.3網(wǎng)絡(luò)需求分析5.外部聯(lián)網(wǎng)需求分析（1）是否接入Internet，內(nèi)網(wǎng)與外網(wǎng)是否需要隔?離。（2）采用哪種上網(wǎng)方?式。（3）與外部網(wǎng)絡(luò)連接的帶寬要?求。（4）是否要與某個專用網(wǎng)絡(luò)連?接。（5）上網(wǎng)用戶權(quán)限如何，采用何種收費方?式。1.2.3網(wǎng)絡(luò)需求分析6.網(wǎng)絡(luò)擴展性需求分析（1）企業(yè)需求的新增長?點。（2）已有的網(wǎng)絡(luò)設(shè)備和計算機資?源。（3）哪些設(shè)備需要淘汰？哪些設(shè)備還可以保留？（4）網(wǎng)絡(luò)節(jié)點和布線的預(yù)留比?率。（5）哪些設(shè)備（是否模塊化結(jié)構(gòu)）便于網(wǎng)絡(luò)擴展？（6）主機（CPU的數(shù)量、插槽數(shù)量、硬盤容量等）設(shè)備的升級性?能。（7）操作系統(tǒng)（升級方式）平臺的升級性?能。（8）所采用的網(wǎng)絡(luò)拓撲結(jié)構(gòu)是否便于添加網(wǎng)絡(luò)設(shè)備、改變網(wǎng)絡(luò)層次結(jié)構(gòu)？1.2.4網(wǎng)絡(luò)安全系統(tǒng)集成實例2.ABC公司網(wǎng)絡(luò)整體需求

按照部門進行網(wǎng)段劃分，同時保證部門間的廣播隔離；確保網(wǎng)絡(luò)帶寬主干千兆位，百兆位到桌面；網(wǎng)絡(luò)必須要有冗余機制，避免單點故障而導(dǎo)致全網(wǎng)癱瘓；公司網(wǎng)絡(luò)所有用戶能接入Internet；公司總部和分部內(nèi)網(wǎng)實現(xiàn)網(wǎng)絡(luò)互通。1.2.4網(wǎng)絡(luò)安全系統(tǒng)集成實例3.ABC公司網(wǎng)絡(luò)功能分析

為了實現(xiàn)總部和分部各部門二層隔離，在交換機上劃分VLAN；實現(xiàn)二層鏈路的冗余和負載均衡，在交換機上配置MSTP協(xié)議；實現(xiàn)網(wǎng)絡(luò)三層鏈路冗余和負載均衡，交換機上使用VRRP協(xié)議；保障核心網(wǎng)絡(luò)鏈路帶寬，實現(xiàn)流量的負載均衡，需在核心層交換機上做鏈路聚合；總部和分部的內(nèi)部網(wǎng)絡(luò)均采用RIPv2協(xié)議，用于建立通往內(nèi)部網(wǎng)絡(luò)中各個子網(wǎng)的傳輸路徑的路由項。使用OSPF協(xié)議用于建立隧道兩端經(jīng)過公共網(wǎng)絡(luò)的傳輸路徑和內(nèi)網(wǎng)用戶訪問Internet的傳輸路徑。分部網(wǎng)絡(luò)使用單臂路由技術(shù)實現(xiàn)VLAN間的路由；總部和分部使用NAT技術(shù)，實現(xiàn)內(nèi)部用戶訪問互聯(lián)網(wǎng)資源。1.2.4網(wǎng)絡(luò)安全系統(tǒng)集成實例4.ABC公司網(wǎng)絡(luò)工程設(shè)計網(wǎng)絡(luò)工程設(shè)計就是要明確采用哪些技術(shù)規(guī)范，構(gòu)筑一個滿足哪些應(yīng)用需求的網(wǎng)絡(luò)系統(tǒng)，從而為用戶要建設(shè)的網(wǎng)絡(luò)系統(tǒng)提供一套完整的實施方案。1.2.4網(wǎng)絡(luò)安全系統(tǒng)集成實例4.ABC公司網(wǎng)絡(luò)工程設(shè)計

邏輯網(wǎng)絡(luò)設(shè)計—網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計：由于ABC業(yè)務(wù)部門較多，同時還涉及與各分支機構(gòu)的互聯(lián)，從網(wǎng)絡(luò)架構(gòu)的合理性及易管理性方面考慮，整個ABC公司的網(wǎng)絡(luò)應(yīng)根據(jù)各種應(yīng)用的功能進行分區(qū)域規(guī)劃設(shè)計。1.2.4網(wǎng)絡(luò)安全系統(tǒng)集成實例4.ABC公司網(wǎng)絡(luò)工程設(shè)計

邏輯網(wǎng)絡(luò)設(shè)計—IP地址規(guī)劃：一方面確保子網(wǎng)的大小能夠符合相應(yīng)部門或連接對IP地址的需求，另一方面又盡量避免IP地址的浪費。

邏輯網(wǎng)絡(luò)設(shè)計—交換策略：對于有較高帶寬要求的部門，可以考慮使用LACP協(xié)議將多條物理鏈路聚合成一條邏輯鏈路。對于網(wǎng)絡(luò)的可靠性要求比較高的部門，可以在數(shù)據(jù)鏈路層引入冗余鏈路并運行STP。邏輯網(wǎng)絡(luò)設(shè)計—路由技術(shù)：由于在IP地址規(guī)劃中采用了VLSM技術(shù)，選擇無類別的路由選擇協(xié)議進行不同網(wǎng)段之間的路由。對于網(wǎng)絡(luò)的可靠性要求比較高的部門，可以在網(wǎng)絡(luò)層引入冗余設(shè)備和冗余鏈路并運行VRRP協(xié)議。1.2.4網(wǎng)絡(luò)安全系統(tǒng)集成實例4.ABC公司網(wǎng)絡(luò)工程設(shè)計邏輯網(wǎng)絡(luò)設(shè)計—廣域網(wǎng)技術(shù)：總部和分部之間使用廣域網(wǎng)連接，運行PPP協(xié)議。

邏輯網(wǎng)絡(luò)設(shè)計—網(wǎng)絡(luò)設(shè)備管理：網(wǎng)絡(luò)設(shè)備必須能夠遠程登錄進行配置管理，同時必須對所有的網(wǎng)絡(luò)設(shè)備上的操作系統(tǒng)及配置文件進行備份。1.2.4網(wǎng)絡(luò)安全系統(tǒng)集成實例4.ABC公司網(wǎng)絡(luò)工程設(shè)計網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)計

具體包括局域網(wǎng)技術(shù)的選擇、確定網(wǎng)絡(luò)設(shè)備及選擇不同的傳輸介質(zhì)。網(wǎng)絡(luò)部署

包括機房裝修和綜合布線，本書不做介紹。調(diào)試和驗收

網(wǎng)絡(luò)工程實施主要包括軟硬件設(shè)備的采購、安裝、配置、調(diào)試和培訓(xùn)等，通過系統(tǒng)綜合測試，一是為了充分暴露系統(tǒng)是否存在潛在的缺陷及薄弱環(huán)節(jié)，以便及時修復(fù)；二是檢驗系統(tǒng)的性能是否達到設(shè)計標準要求。1.2.4網(wǎng)絡(luò)安全系統(tǒng)集成實例5.ABC公司網(wǎng)絡(luò)安全總體要求全面有效地保護公司網(wǎng)絡(luò)設(shè)備及軟件系統(tǒng)的安全?？勺詣雍褪謩臃治鼍W(wǎng)絡(luò)安全狀況，實時監(jiān)測并及時記錄潛在的安全威脅。不影響公司信息系統(tǒng)的正常運行，具有很強的可用性和及時恢復(fù)性。滿足公司業(yè)務(wù)需求和企業(yè)可持續(xù)發(fā)展需求，具有很強的可擴展性和柔韌性。所采用的安全設(shè)備和技術(shù)通過我國安全產(chǎn)品管理部門的合法認證。1.2.4網(wǎng)絡(luò)安全系統(tǒng)集成實例6.ABC公司網(wǎng)絡(luò)安全工作任務(wù)對ABC公司網(wǎng)絡(luò)面臨的威脅及可能承擔的風險進行定性與定量的風險評估。對操作系統(tǒng)本身的缺陷以及可能承擔的風險進行定性與定量的風險評估。對應(yīng)用系統(tǒng)存在的問題、面臨的威脅及可能承擔的風險進行定性與定量的風險評估。制定該公司計算機網(wǎng)絡(luò)系統(tǒng)的安全策略和解決方案，確保該公司計算機網(wǎng)絡(luò)信息系統(tǒng)安全可靠地運行。1.2.4網(wǎng)絡(luò)安全系統(tǒng)集成實例7.ABC公司信息系統(tǒng)面臨的威脅

ABC公司信息網(wǎng)絡(luò)比較開放，終端數(shù)量較大，非常容易受到來自Internet本身的安全威脅。對公司自身來說，其科研人員承擔了大量的產(chǎn)品研制與開發(fā)任務(wù)，在開發(fā)過程中的數(shù)據(jù)需要采取嚴格的保護措施。公司網(wǎng)絡(luò)管理結(jié)構(gòu)相對復(fù)雜，沒有系統(tǒng)的安全管理和安全事件監(jiān)控機制。1.2.4網(wǎng)絡(luò)安全系統(tǒng)集成實例8.ABC公司網(wǎng)絡(luò)系統(tǒng)安全需求防止網(wǎng)絡(luò)廣播風暴影響系統(tǒng)關(guān)鍵業(yè)務(wù)的正常運轉(zhuǎn)，甚至導(dǎo)致系統(tǒng)的崩潰。嚴格控制各種人員對公司局域網(wǎng)的接入，防止公司內(nèi)部涉密信息的泄露?？刂乒揪W(wǎng)絡(luò)不同部門之間的相互訪問。實現(xiàn)公司局域網(wǎng)與其他網(wǎng)絡(luò)之間的安全，高效數(shù)據(jù)訪問。確保廣域網(wǎng)數(shù)據(jù)傳輸?shù)谋Ｃ苄浴＞W(wǎng)絡(luò)系統(tǒng)需要充分考慮到各種網(wǎng)絡(luò)設(shè)備的安全。1.2.4網(wǎng)絡(luò)安全系統(tǒng)集成實例9.ABC公司網(wǎng)絡(luò)安全風險分析整個網(wǎng)絡(luò)均采用開放的TCP/IP協(xié)議，面臨來自內(nèi)、外網(wǎng)用戶的各類攻擊的安全風險。面臨某些少數(shù)用戶發(fā)起的“拒絕服務(wù)、病毒傳播”等惡意攻擊的安全風險。面臨著某些重要信息（如核心交換機等網(wǎng)絡(luò)設(shè)備的配置信息）泄露的安全風險。對公司用戶的管理帶來較大的困難，同時可能導(dǎo)致整個網(wǎng)絡(luò)出現(xiàn)安全漏洞隱患。網(wǎng)絡(luò)中運行的關(guān)鍵業(yè)務(wù)，在高質(zhì)量數(shù)據(jù)傳輸?shù)那疤嵯拢仨氂谐浞值陌踩Ｕ稀?.2.4網(wǎng)絡(luò)安全系統(tǒng)集成實例10.ABC公司網(wǎng)絡(luò)安全策略制定業(yè)務(wù)需求和風險分析是安全策略制定的主要來源。安全策略規(guī)定了用戶、管理者和技術(shù)人員保護技術(shù)和信息資源的義務(wù)，也指明了訪問機構(gòu)的技術(shù)人員和信息資源人員都必須遵守的規(guī)則。安全策略一般包括總體的策略（一般不是某種特定的技術(shù)，而是一些與網(wǎng)絡(luò)運行有關(guān)的更加宏觀的因素）和具體的規(guī)則（組織機構(gòu)的最佳做法）。1.2.4網(wǎng)絡(luò)安全系統(tǒng)集成實例11.ABC公司網(wǎng)絡(luò)安全機制設(shè)計

ABC公司網(wǎng)絡(luò)安全機制設(shè)計物理安全機制設(shè)計：建立防輻射的屏蔽機柜，采用屏蔽雙絞線、屏蔽模塊和屏蔽配線架，配置防雷設(shè)備、UPS的安全配置以及防火系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)安全機制設(shè)計：使用VLAN來為網(wǎng)絡(luò)內(nèi)部提供安全性，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間使用防火墻，在網(wǎng)絡(luò)出口處安裝專用的入侵檢測系統(tǒng)，使用VPN來創(chuàng)立專用的網(wǎng)絡(luò)連接。信息安全保護設(shè)計：信息安全涉及信息的傳輸安全、信息存儲的安全以及網(wǎng)絡(luò)傳輸信息內(nèi)容的審計等方面。選擇加密技術(shù)和身份認證技術(shù)來保證網(wǎng)絡(luò)中信息數(shù)據(jù)的安全。1.2.4網(wǎng)絡(luò)安全系統(tǒng)集成實例12.ABC公司網(wǎng)絡(luò)安全集成技術(shù)身份驗證技術(shù)。信息加密技術(shù)。訪問控制技術(shù)。虛擬專用網(wǎng)絡(luò)技術(shù)。網(wǎng)絡(luò)設(shè)備安全加固技術(shù)。網(wǎng)絡(luò)防病毒技術(shù)。網(wǎng)絡(luò)安全設(shè)備部署。1.任務(wù)問題描述。2.任務(wù)需求分析。3.根據(jù)提示完成任?務(wù)。任務(wù)實施單元2網(wǎng)絡(luò)綜合布線系統(tǒng)設(shè)計單元1網(wǎng)絡(luò)安全系統(tǒng)集成概述目錄單元3網(wǎng)絡(luò)工程設(shè)計單元5網(wǎng)絡(luò)工程的實施與測試驗收單元4網(wǎng)絡(luò)系統(tǒng)安全設(shè)計單元6網(wǎng)絡(luò)系統(tǒng)安全管理

引例描述

物理網(wǎng)絡(luò)設(shè)計的任務(wù)是為設(shè)計的邏輯網(wǎng)絡(luò)選擇環(huán)境平臺，主要包括結(jié)構(gòu)化布線系統(tǒng)設(shè)計，為企業(yè)網(wǎng)絡(luò)選擇局域網(wǎng)和廣域網(wǎng)的技術(shù)及設(shè)備。由于邏輯網(wǎng)絡(luò)設(shè)計是物理網(wǎng)絡(luò)設(shè)計的基礎(chǔ)，因此邏輯網(wǎng)絡(luò)設(shè)計的商業(yè)目標、技術(shù)需求和網(wǎng)絡(luò)通信特征都會影響物理網(wǎng)絡(luò)設(shè)計。物理網(wǎng)絡(luò)設(shè)計成功與否，將會在未來數(shù)十年的運行中得到最好的印?證。

學(xué)習(xí)目標掌握網(wǎng)絡(luò)綜合布線相關(guān)用料計算、綜合布線系統(tǒng)工程設(shè)計的方法、網(wǎng)絡(luò)設(shè)備產(chǎn)品的查詢方法等技能；具備繪制網(wǎng)絡(luò)布線系統(tǒng)圖、編撰網(wǎng)絡(luò)綜合布線設(shè)計文檔的能力；具備精益求精、5S的職業(yè)素?養(yǎng)。

某大學(xué)新建一棟學(xué)生公寓樓，共6層，樓層高度為3m，每層36個房間，每個房間入住8名學(xué)生。該學(xué)生公寓樓土建工程已完成，學(xué)校要求在樓房裝修之前必須實施網(wǎng)絡(luò)綜合布線工程，以便實現(xiàn)每個學(xué)生以100Mb/s速率接入校園網(wǎng)，學(xué)生公寓樓則以1000Mb/s速率接入小區(qū)核心交換機。如果你是一名網(wǎng)絡(luò)布線管理員，請完成任務(wù)的需求分析和布線系統(tǒng)的詳細設(shè)?計。

任務(wù)場景利用互聯(lián)網(wǎng)了解綜合布線的相關(guān)國家技術(shù)標準、規(guī)范的要求。對工程實施的建筑物進行充分的調(diào)查研究。根據(jù)需求完成水晶頭、線纜、配線架、機柜、適配器等綜合布線用料計算。繪制綜合布線系統(tǒng)?圖。

任務(wù)布置

（1）布線系統(tǒng)是指由能夠支持電子信息設(shè)備相連的各種纜線、跳線、接插軟線和連接器件組成的系統(tǒng)。（2）綜合布線系統(tǒng)是建筑物或建筑群內(nèi)的傳輸網(wǎng)絡(luò)，既可以與電話交換系統(tǒng)和數(shù)據(jù)通信系統(tǒng)及其他信息管理系統(tǒng)彼此相連，又能夠使這些設(shè)備與外部通信網(wǎng)絡(luò)相連接。2.1.1綜合布線系統(tǒng)的概念2.1.2綜合布線系統(tǒng)的組成1.工作區(qū)子系統(tǒng)2.水平子系統(tǒng)3.垂直子系統(tǒng)4.管理間子系統(tǒng)5.設(shè)備間子系統(tǒng)6.進線間子系統(tǒng)7.建筑群子系統(tǒng)

在我國，與綜合布線系統(tǒng)有關(guān)的國家標準主要是GB50311—2016《綜合布線系統(tǒng)工程設(shè)計規(guī)范》和GB/T50312—2016《綜合布線系統(tǒng)工程驗收規(guī)范》等。GB50311—2016規(guī)定了綜合布線系統(tǒng)的基本結(jié)構(gòu)，如圖2-2所?示。2.1.3綜合布線系統(tǒng)的標準2.1.4綜合布線系統(tǒng)的距離規(guī)定

1.主干線路各個線段長度 ISO/IEC11801—2002-09和TIA/EIA568B.1標準對水平線纜、主干線纜的長度進行了規(guī)定，見表2-1。2.1.4綜合布線系統(tǒng)的距離規(guī)定

2.配線子系統(tǒng)各個線段長度

2.1.4綜合布線系統(tǒng)的距離規(guī)定

3.光纖線段的選擇

由于高速以太網(wǎng)對雙絞線的距離限制，大多數(shù)情況下，建筑群、干線子系統(tǒng)的雙絞線等線纜主要用于電話、報警信號等。網(wǎng)絡(luò)信號基本都不再使用雙絞線，而是由光纖替代。樓內(nèi)宜采用多模光纖；建筑物之間宜采用多?；騿文９饫w；與電信服務(wù)商相連時，應(yīng)采用單模光?纖。

2.1.5綜合布線系統(tǒng)的用料計算

1.RJ45水晶頭的需求量計算

m=n?

?4+n

4

5% （5-1）式中

m—RJ45?水晶頭的總需求量；n—信息點的總量；n

4

5%—富余?量。

2.1.5綜合布線系統(tǒng)的用料計算

2.信息模塊的需求量計算 m=n+n

3% （5-2）式中

m—信息模塊的總需求量；n—信息點的總量；n

3%—富余?量。

2.1.5綜合布線系統(tǒng)的用料計算

2.信息模塊的需求量計算其他與信息模塊相關(guān)的需求量要求如下：●信息插座面板的數(shù)量=信息模塊數(shù)÷信息插座面板的開口數(shù)●信息插座底盒的數(shù)量=信息插座面板的數(shù)量●光纖插座光纖適配器數(shù)＝光端口數(shù)＝光纖信息點數(shù)×2（每個光纖信息點需配2芯光纖）●光纖插座面板數(shù)＝光纖插座光纖適配器數(shù)÷光纖插座面板的光口數(shù)●光纖插座底盒數(shù)＝光纖插座面板數(shù)

2.1.5綜合布線系統(tǒng)的用料計算

3.雙絞線的用量計算

2.1.5綜合布線系統(tǒng)的用料計算

4.管道和線槽布放線纜的數(shù)量計算

在管道、線槽、橋架中布放線纜時，截面積利用率為

截面積利用率=管道（或線槽、橋架）截面積/線纜截面積

（5-5）管道內(nèi)布放線纜的數(shù)量為

（5-6）式中

n—管道中布放線纜根數(shù)；K—截面積利用?率。

2.1.5綜合布線系統(tǒng)的用料計算

5.配線架的數(shù)量計算

連接至管理間的每根電/光纜應(yīng)終接于相應(yīng)的配線模塊，即1根4對雙絞電纜應(yīng)全部固定終接在1個信息模塊通用插座上。配線模塊可按以下原則選擇：●多線對端子配線模塊可選用4對或5對卡接模塊，每個卡接模塊應(yīng)卡接1根4對雙絞線電纜。一般100對卡接端子容量的模塊可卡接24根（采用4對卡接模塊）或20根（采用5對卡接模塊）4對對絞電?纜?！?5對端子配線模塊可卡接1根25對大對數(shù)電纜或6根4對對絞電?纜?！窕鼐€式配線模塊（8或10回線）可卡接2根4對雙絞線或8/10回?線。●光纖連接器每個單工端口應(yīng)支持1芯光纖的連接，雙工端口則支持2芯光纖的連?接。

2.1.5綜合布線系統(tǒng)的用料計算

5.配線架的數(shù)量計算

（1）設(shè)備間中語音系統(tǒng)的110配線架的規(guī)格的計算公式為 （5-7）

式中V—設(shè)備間中語音配線架的數(shù)量；

Sv—語音干線的線纜對數(shù)之和；

F—所采用110配線架的規(guī)格，如果采用50對110配線架，則取F=100，其余以此類?推。按照式（5-7）計算的結(jié)果，一半用于垂直干線的連接，一半用于建筑群干線的連?接。

2.1.5綜合布線系統(tǒng)的用料計算

5.配線架的數(shù)量計算

設(shè)備間的快接式配線架用量的計算公式為

（5-8）

式中D—設(shè)備間快接式配線架的數(shù)量；

Sd—數(shù)據(jù)干線的4對雙絞線的根數(shù)；

F—所采用快接式配線架的規(guī)格，取值方法與式（5-7）中的F類?似。按照式（5-8）計算的結(jié)果，一半用于垂直子系統(tǒng)的連接，一半用于建筑群子系統(tǒng)的連?接。

2.1.5綜合布線系統(tǒng)的用料計算

5.配線架的數(shù)量計算

光纖配線架數(shù)量的計算公式為

（5-9）

式中Df—設(shè)備間光纖配線架的數(shù)量；

Sf—數(shù)據(jù)干線的光纖芯數(shù)之和；

F—所采用光纖配線架的規(guī)格，取值方法與式（5-7）中的F類?似。

如果計算樓層配線間的配線架數(shù)量時沒有考慮數(shù)據(jù)干線采用光纖的情況，則按照式（5-9）計算的結(jié)果1/3用于樓層配線，1/3用于設(shè)備間與垂直子系統(tǒng)的連接，1/3用于設(shè)備間與建筑群干線子系統(tǒng)的連?接。

2.1.5綜合布線系統(tǒng)的用料計算

6.機柜數(shù)量計算

從設(shè)備及線纜的放置及端接角度考慮，將配線架及后期準備購買的交換機等網(wǎng)絡(luò)設(shè)備放置于一個網(wǎng)絡(luò)機柜。每個機柜最好留一些空間，以便日后網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備的擴充，在綜合布線機柜中有可能除了網(wǎng)絡(luò)布線外，還要布置電話線，所以要在機柜中預(yù)留一定空間，這可以根據(jù)具體設(shè)備進行預(yù)?算。

2.1.5綜合布線系統(tǒng)的用料計算

7.跳線數(shù)量計算

（1）管理子系統(tǒng)：一般為1m的跳線，其數(shù)量與線路數(shù)量比為1∶1。（2）工作區(qū)子系統(tǒng)：一般每個位置都配置一條2m的跳線，數(shù)量與位置數(shù)比為1∶1，并適當留有余?量。（3）設(shè)備間子系統(tǒng)：數(shù)量與線路數(shù)量比為1∶1。

2.1.6綜合布線系統(tǒng)工程設(shè)計

1.設(shè)計概述

綜合布線系統(tǒng)工程設(shè)計實施的具體步驟如下：（1）分析用戶需?求。（2）盡可能全面地獲取工程相關(guān)的建筑資?料。（3）系統(tǒng)結(jié)構(gòu)設(shè)?計。（4）布線路由設(shè)?計。（5）繪制綜合布線施工?圖。（6）計算出綜合布線用料清?單。

2.1.6綜合布線系統(tǒng)工程設(shè)計

1.設(shè)計概述

某大學(xué)新建一棟學(xué)生公寓樓，共?6?層，樓層高度為?3m，每層?36?個房間，每個房間入住?8?名學(xué)生。該學(xué)生公寓樓土建工程已完成，學(xué)校要求在樓房裝修之前必須實施網(wǎng)絡(luò)綜合布線工程，以便實現(xiàn)每個學(xué)生以?100Mb/s?速率接入校園網(wǎng)，學(xué)生公寓樓則以?1000Mb/s?速率接入小區(qū)核心交換機。學(xué)生公寓樓的建筑平面圖如圖

所?示。

2.1.6綜合布線系統(tǒng)工程設(shè)計

2.需求分析

（1）確定設(shè)備間及樓層管理間的位置。（2）確定每個房間的信息點。（3）確定每個房間信息點的安裝位置。（4）確定每個房間信息點至樓層電信間的布線路由。（5）以樓層管理間為中心，現(xiàn)場測量最遠信息點和最近信息點的距離。（6）以設(shè)備間為中心，確定干線路由及距離。（7）確定設(shè)備間與小區(qū)中心機房的布線路由及距離。

2.1.6綜合布線系統(tǒng)工程設(shè)計

3.系統(tǒng)設(shè)計

本部分詳細內(nèi)容參見任務(wù)實施部?分。2.1.7綜合布線系統(tǒng)管理設(shè)計

1.電纜管理設(shè)計

（1）電纜標記。將塑料標牌或不干膠系在電纜端頭或貼到電纜表面。（2）插入標記。將硬紙片用顏色塊標識相應(yīng)線對的卡接位置。（3）場標記。場標記又稱區(qū)域標記，是一種色標標記。

2.1.6綜合布線系統(tǒng)工程設(shè)計

2.光纜管理設(shè)計

光纜管理采用單點管理方式，如圖所示

2.1.6綜合布線系統(tǒng)工程設(shè)計

2.光纜管理設(shè)計

光纜管理采用兩種標記，即交連標記和光纜標?記。（1）交連標?記。交連標記標在交連點。

2.1.6綜合布線系統(tǒng)工程設(shè)計

2.光纜管理設(shè)計

（2）光纜標記。光纜標記提供光纜遠端的位置和該光纜的特殊信息1.工作區(qū)子系統(tǒng)設(shè)計。2.水平子系統(tǒng)設(shè)計。3.管理間子系統(tǒng)設(shè)計。4.垂直子系統(tǒng)設(shè)計。5.設(shè)備間設(shè)計。6.建筑群子系統(tǒng)設(shè)計。7.進線間子系統(tǒng)設(shè)計。任務(wù)實施單元2網(wǎng)絡(luò)綜合布線系統(tǒng)設(shè)計單元1網(wǎng)絡(luò)安全系統(tǒng)集成概述目錄單元3網(wǎng)絡(luò)工程設(shè)計單元5網(wǎng)絡(luò)工程的實施與測試驗收單元4網(wǎng)絡(luò)系統(tǒng)安全設(shè)計單元6網(wǎng)絡(luò)系統(tǒng)安全管理

引例描述

物理網(wǎng)絡(luò)設(shè)計的任務(wù)是為設(shè)計的邏輯網(wǎng)絡(luò)選擇環(huán)境平臺，主要包括結(jié)構(gòu)化布線系統(tǒng)設(shè)計，為企業(yè)網(wǎng)絡(luò)選擇局域網(wǎng)和廣域網(wǎng)的技術(shù)及設(shè)備。由于邏輯網(wǎng)絡(luò)設(shè)計是物理網(wǎng)絡(luò)設(shè)計的基礎(chǔ)，因此邏輯網(wǎng)絡(luò)設(shè)計的商業(yè)目標、技術(shù)需求和網(wǎng)絡(luò)通信特征都會影響物理網(wǎng)絡(luò)設(shè)計。物理網(wǎng)絡(luò)設(shè)計成功與否，將會在未來數(shù)十年的運行中得到最好的印?證。

學(xué)習(xí)目標掌握網(wǎng)絡(luò)綜合布線相關(guān)用料計算、綜合布線系統(tǒng)工程設(shè)計的方法、網(wǎng)絡(luò)設(shè)備產(chǎn)品的查詢方法等技能；具備繪制網(wǎng)絡(luò)布線系統(tǒng)圖、編撰網(wǎng)絡(luò)綜合布線設(shè)計文檔的能力；具備精益求精、5S的職業(yè)素?養(yǎng)。

某大學(xué)新建一棟學(xué)生公寓樓，共6層，樓層高度為3m，每層36個房間，每個房間入住8名學(xué)生。該學(xué)生公寓樓土建工程已完成，學(xué)校要求在樓房裝修之前必須實施網(wǎng)絡(luò)綜合布線工程，以便實現(xiàn)每個學(xué)生以100Mb/s速率接入校園網(wǎng)，學(xué)生公寓樓則以1000Mb/s速率接入小區(qū)核心交換機。在完成布線系統(tǒng)綜合設(shè)計的基礎(chǔ)上，進一步完成網(wǎng)絡(luò)設(shè)備選型，最終形成網(wǎng)絡(luò)布線工程設(shè)計文檔，為后續(xù)招投標提供設(shè)計方?案。

任務(wù)場景研究交換機的重要性能指標。學(xué)習(xí)交換機的選型原則。探究層次網(wǎng)絡(luò)結(jié)構(gòu)中交換機選型方法和技巧。繪制綜合布線系統(tǒng)圖。綜合網(wǎng)絡(luò)系統(tǒng)布線詳細設(shè)計、設(shè)備選型和系統(tǒng)圖，撰寫綜合布線工程設(shè)計方?案。

任務(wù)布置1.交換機產(chǎn)品的種類

（1）根據(jù)交換機使用的網(wǎng)絡(luò)傳輸介質(zhì)及傳輸速度分類。2.2.1網(wǎng)絡(luò)設(shè)備的選型1.交換機產(chǎn)品的種類

（2）根據(jù)交換機應(yīng)用的網(wǎng)絡(luò)層次進行分類。2.2.1網(wǎng)絡(luò)設(shè)備的選型1.交換機產(chǎn)品的種類

（3）根據(jù)OSI的分層結(jié)構(gòu)分類。2.2.1網(wǎng)絡(luò)設(shè)備的選型2.交換機的重要性能指標

（1）端口類型。

①光纖端口：

②GBIC端口： ③SFP端口：2.2.1網(wǎng)絡(luò)設(shè)備的選型2.交換機的重要性能指標

（2）MAC地址表。

（3）包轉(zhuǎn)發(fā)速率。

包轉(zhuǎn)發(fā)速率=千兆端口數(shù)量×1.488Mp/s+百兆端口數(shù)量 ×0.1488Mp/s+其余端口數(shù)量×相應(yīng)的計算方法

（4）背板帶寬。

總帶寬=端口數(shù)×端口速率×2（全雙工模式）2.2.1網(wǎng)絡(luò)設(shè)備的選型3.交換機性能比較

（1）根據(jù)交換機使用的網(wǎng)絡(luò)傳輸介質(zhì)及傳輸速度分類。2.2.1網(wǎng)絡(luò)設(shè)備的選型4.交換機產(chǎn)品的選擇

（1）功能需求。

（2）擴展能力和先進性。

（3）價位。

（4）品牌。2.2.1網(wǎng)絡(luò)設(shè)備的選型1.一個配線間的布線系統(tǒng)

建筑A只有一個配線間，該建筑的所有用戶都連接到這個配線間，并通過光纖連接到網(wǎng)絡(luò)中心的建筑。用戶的信息點數(shù)量共計45（10+15+20=45）個。圖中交換機的選擇方法有多?種。2.2.2影響網(wǎng)絡(luò)設(shè)備選型的因素1.一個配線間的布線系統(tǒng)

（1）選擇一臺48口10/100BASE-T的交換機，并配置一個1000BASE-SX光纖端?口。

（2）也可以選擇兩臺24口10/100BASE-T的交換機進行堆疊，需要配置兩個1000BASE-T的堆疊端口和一個1000BASE-SX光纖端?口。

（3）還可以選擇兩臺24口10/100BASE-T交換機分別上連，配置兩個1000BASE-SX光纖端?口。2.2.2影響網(wǎng)絡(luò)設(shè)備選型的因素2.兩個配線間的布線系統(tǒng)

仍然以上述建筑為例。由于這棟建筑狹長，按照一個設(shè)備間的結(jié)構(gòu)設(shè)計，建筑物內(nèi)3層上的一些用戶信息點到配線間的距離超過90m，布線系統(tǒng)必須設(shè)置兩個配線間2.2.2影響網(wǎng)絡(luò)設(shè)備選型的因素 1.端口數(shù)量 2.支持網(wǎng)絡(luò)管理 3.支持VLAN 4.支持堆疊 5.千兆上連

2.2.3接入層交換機的選擇

（1）局域網(wǎng)的匯聚層設(shè)備是指接入交換機與核心交換機之間的匯聚交換機；

（2）而廣域網(wǎng)的匯聚層設(shè)備是指接入路由器與核心路由器之間的路由器。

（3）匯聚層交換機必須支持VLAN技術(shù)和三層交換功能，能夠?qū)崿F(xiàn)VLAN之間的通信和訪問控制。

2.2.4匯聚成交換機的選擇1.端口數(shù)量

2.2.5核心層交換機的選擇2.交換能力

交換機的交換能力一般是通過交換容量和吞吐量來衡量的。交換容量也稱背板帶寬，是指交換機的CPU和數(shù)據(jù)總線能夠處理的最大數(shù)據(jù)，用速率單位表示，一般為Gb/s。交換容量越大，交換能力就越強，成本也越高。

2.2.5核心層交換機的選擇3.擴展能力網(wǎng)絡(luò)的擴展能力是指在基本結(jié)構(gòu)和性能基本保持不變的情況下，現(xiàn)有規(guī)模的網(wǎng)絡(luò)可以增加連接用戶的端口數(shù)量。擴展能力主要體現(xiàn)在網(wǎng)絡(luò)的核心層，包括帶寬容量和端口容量的富余。網(wǎng)絡(luò)的可擴展能力可使網(wǎng)絡(luò)能夠適應(yīng)用戶單位一段時間內(nèi)的應(yīng)用需求變化，具體需要保留多少富余的端口應(yīng)視用戶單位未來的發(fā)展情況而定。

2.2.5核心層交換機的選擇4.確定設(shè)備型號和配置模塊

方案內(nèi)容

綜合布線的設(shè)計文檔主要由設(shè)計方案和施工圖樣兩部分組成2.方案編寫方法

通常使用微軟的Word編寫，注意內(nèi)容完整、美觀、無錯別字，裝訂也要盡量精美，以便給用戶留下好印?象。3.方案格式說明（1）封面。

（2）目錄。（3）引言。

（4）設(shè)計方?案。（5）施工圖?紙。2.2.6綜合布線工程設(shè)計文檔編制1.設(shè)計標準頁面。2.自行設(shè)計封面。3.設(shè)計三級目錄。4.撰寫正文內(nèi)容。5.參加成果分享。任務(wù)實施單元2網(wǎng)絡(luò)綜合布線系統(tǒng)設(shè)計目錄單元1

網(wǎng)絡(luò)安全系統(tǒng)集成概述單元5網(wǎng)絡(luò)工程的實施與測試驗收單元4網(wǎng)絡(luò)系統(tǒng)安全設(shè)計單元6網(wǎng)絡(luò)系統(tǒng)安全管理單元3網(wǎng)絡(luò)工程設(shè)計

引例描述網(wǎng)絡(luò)工程設(shè)計就是要明確采用哪些技術(shù)規(guī)范，構(gòu)筑一個滿足應(yīng)用需求的網(wǎng)絡(luò)系統(tǒng)，從而為用戶要建設(shè)的網(wǎng)絡(luò)系統(tǒng)提供一套完整的實施方案。網(wǎng)絡(luò)工程設(shè)計是一個把網(wǎng)絡(luò)需求目標向技術(shù)解決方案映射的過程，是網(wǎng)絡(luò)工程項目實施的重要依據(jù)，是網(wǎng)絡(luò)系統(tǒng)集成的核心內(nèi)容，其涉及兩個層面：物理層面的網(wǎng)絡(luò)設(shè)計，包括綜合布線系統(tǒng)設(shè)計、設(shè)備選型等；邏輯層面的網(wǎng)絡(luò)設(shè)計，主要工作是選擇能實現(xiàn)網(wǎng)絡(luò)需求的技?術(shù)。

學(xué)習(xí)目標

掌握網(wǎng)絡(luò)技術(shù)選擇、網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計、網(wǎng)絡(luò)地址規(guī)劃與設(shè)計和網(wǎng)絡(luò)系統(tǒng)路由設(shè)計等技能。具備規(guī)劃與設(shè)計可靠性高、擴展性好的互聯(lián)網(wǎng)絡(luò)系統(tǒng)的能力。具有大國工匠精神、團隊協(xié)作精神以及良好的社會公德。

如圖所示為某組織的網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計圖，請分析該網(wǎng)絡(luò)拓撲結(jié)構(gòu)是如何體現(xiàn)網(wǎng)絡(luò)工程設(shè)計的基本原則?的。

任務(wù)場景研究如何確定網(wǎng)絡(luò)設(shè)計目標。研究互為矛盾體的技術(shù)指標之間如何平衡。學(xué)習(xí)網(wǎng)絡(luò)體系結(jié)構(gòu)的基本知?識。

任務(wù)布置 1.組織目標

2.技術(shù)目標3.1.1網(wǎng)絡(luò)工程設(shè)計的目標

1.實用性原?則 2.開放性原?則 3.高可用性/可靠性原?則 4.安全性原?則 5.先進性原?則 6.可擴展性原?則 7.網(wǎng)絡(luò)設(shè)計的其他原?則3.1.2網(wǎng)絡(luò)工程設(shè)計的原則 1.物理層設(shè)計（1）確定在網(wǎng)絡(luò)的不同位置使用何種傳輸介質(zhì)

（2）確定物理層標準 2.MAC子層設(shè)計 3.網(wǎng)絡(luò)層設(shè)計

（1）幀格式轉(zhuǎn)換

（2）路由選擇

（3）地址解析3.1.3網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計可靠性分析。擴展性分析。安全系分析。先進性分析。開放性分析。

任務(wù)實施歸納總結(jié)

網(wǎng)絡(luò)工程建設(shè)目標關(guān)系到現(xiàn)在和將來幾年用戶方的網(wǎng)絡(luò)信息化水平及網(wǎng)絡(luò)應(yīng)用系統(tǒng)的成敗，因此，在網(wǎng)絡(luò)工程設(shè)計之前應(yīng)對設(shè)計原則進行平衡，并確定各項原則在方案設(shè)計中的優(yōu)先級。網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計指確定計算機網(wǎng)絡(luò)的層次結(jié)構(gòu)及每層所使用的協(xié)議。就局域網(wǎng)而言，它所覆蓋的層次主要包括物理層和數(shù)據(jù)鏈路層，其中設(shè)計的重點是物理層和MAC子層；而廣域網(wǎng)的物理線路和傳輸服務(wù)屬于電信公共網(wǎng)絡(luò)，不屬于計算機網(wǎng)絡(luò)物理層的設(shè)計范圍。計算機網(wǎng)絡(luò)用戶所要做的工作是選擇一種接入方式和租用某種傳輸服務(wù)，但是出于計算機網(wǎng)絡(luò)互聯(lián)的需要，還需設(shè)計高層的協(xié)議及互聯(lián)通信技?術(shù)。

某公司采用如圖所示的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，子網(wǎng)使用/24和/24，要求能夠隔離不同子網(wǎng)的廣播流量，避免廣播風暴的發(fā)生，解決網(wǎng)絡(luò)擁塞問題和提高網(wǎng)絡(luò)的健壯性，請給出網(wǎng)絡(luò)設(shè)計方?案。

任務(wù)場景探究VLAN技術(shù)。

探究STP技術(shù)。

探究鏈路聚合技術(shù)。

探究網(wǎng)關(guān)榮譽技術(shù)。

設(shè)計提高網(wǎng)絡(luò)可靠性的解決方案。

任務(wù)布置 1.初期成本估計 2.網(wǎng)絡(luò)服務(wù)評估 3.技術(shù)選項評價3.2.1網(wǎng)絡(luò)技術(shù)選擇的要素

1.VLAN實現(xiàn)途徑

（1）基于端口的VLAN

（2）基于MAC的VLAN

（3）基于協(xié)議的VLAN

（4）基于IP組播的VLAN 2.VLAN的分類

（1）管理VLAN

（2）本征VLAN

（3）業(yè)務(wù)VLAN

（4）語音VLAN3.2.2VLAN設(shè)計 3.本地VLAN和端到端VLAN

3.2.2VLAN設(shè)計本地VLAN端到端VLAN 4.VLAN間的通信

（1）用路由器實現(xiàn)VLAN間的路由。

（2）用802.1Q和子接口實現(xiàn)VLAN間的路由。

（3）使用SVI實現(xiàn)VLAN間的路由。 5.VLAN劃分原則

3.2.2VLAN設(shè)計 6.VLAN規(guī)劃建議

（1）不能將VLAN1作為業(yè)務(wù)VLAN、管理VLAN、本征VLAN來使?用。

（2）業(yè)務(wù)VLANID間保持間距，方便以后創(chuàng)建相近的VLAN。

（3）為每一個VLAN規(guī)劃VLAN描述符，增強可讀?性。

（4）每個VLAN內(nèi)支持的終端數(shù)目不宜超過64個。

（5）不宜劃分過多的VLAN。

（6）在Trunk鏈路上做VLAN修剪，提高網(wǎng)絡(luò)安全性和性?能。3.2.2VLAN設(shè)計 7.VLAN規(guī)劃要點

（1）確定在局域網(wǎng)中需要創(chuàng)建的VLAN個數(shù)，每個VLAN的ID、名稱、類型、對應(yīng)的IP網(wǎng)絡(luò)?號。

（2）確定交換機的哪些端口為Trunk，Trunk封裝協(xié)議是什么，Trunk允許哪些VLAN數(shù)據(jù)幀通過，哪個VLAN作為Trunk上的本征VLAN。

（3）確定交換機的哪些端口為接入端口，該接入端口指派給哪個VLAN。3.2.2VLAN設(shè)計 1.STP基本術(shù)語（1）網(wǎng)橋ID（8字節(jié)）

（2）端口ID（2字節(jié)）

（3）根路徑開銷

（4）根網(wǎng)橋

（5）根端口

（6）路徑開銷

（7）指定端口

3.2.3STP設(shè)計鏈路帶寬成本（修訂前）成本（修訂后）10Gb/s121000Mb/s14100Mb/s101910Mb/s100100常見路徑開銷 2.STP的工作過程（1）交換BPDU。

（2）選舉根網(wǎng)橋。

（3）選舉根端口。

3.2.3STP設(shè)計配置BPDU包含的相關(guān)參數(shù) 3.STP端口狀態(tài)

STP定義了5種端口狀態(tài)：Disabled、Blocking、Listening、Learning和Forwarding。 4.STP的計時器 5.RSTP的引入 6.MSTP的引入 MSTP基于實例計算出多棵生成樹，每一個實例可以包含一個或多個VLAN，每一個VLAN只能映射到一個實例。3.2.3STP設(shè)計

鏈路聚合的主要功能是將兩個交換機的多條鏈路捆綁形成邏輯鏈路，而其邏輯鏈路的帶寬就是所有物理鏈路帶寬之和。3.2.4鏈路聚合設(shè)計 1.流量平衡

鏈路聚合可以根據(jù)報文的MAC地址或IP地址進行流量平衡，即把流量平均地分配到聚合端口的成員鏈路中。3.2.4鏈路聚合設(shè)計 2.PAgP和LACP PAgP是思科專有協(xié)議，而LACP是IEEE802.3ad定義的國際標準協(xié)?議。 3.鏈路聚合應(yīng)用

（1）第二層接口（無Trunk）。

（2）第二層接口（有Trunk）。

（3）第三層接口。3.2.4鏈路聚合設(shè)計 1.VRRP簡介 VRRP是一種容錯協(xié)議，在提高可靠性的同時，簡化了主機的配置。

3.2.5冗余網(wǎng)關(guān)設(shè)計 2.VRRP的應(yīng)用

（1）VRRP主備模式。

（2）VRRP負載分擔模式。

（3）VRRP與MSTP的結(jié)合。

3.2.5冗余網(wǎng)關(guān)設(shè)計VLAN設(shè)計。鏈路聚合設(shè)計。MSTP+VRRP設(shè)計。參加成果分享。

任務(wù)實施歸納總結(jié)

技術(shù)通過具體的協(xié)議來實現(xiàn)，不同網(wǎng)絡(luò)層次上要運行不同的協(xié)議。要實現(xiàn)網(wǎng)絡(luò)需求的具體功能，需要選擇合適的協(xié)議來實現(xiàn)。本主題針對網(wǎng)絡(luò)技術(shù)的選擇要素、以太網(wǎng)系列技術(shù)選擇、VLAN設(shè)計（二層廣播隔離技術(shù)）、STP設(shè)計（二層環(huán)路避免技術(shù)）、鏈路聚合設(shè)計（提高鏈路級可靠性技術(shù)）和冗余網(wǎng)關(guān)設(shè)計（提高設(shè)備級可靠性技術(shù)）等內(nèi)容展開討論，并對這些主流網(wǎng)絡(luò)技術(shù)的典型應(yīng)用場景進行了詳細分?析。

某職業(yè)學(xué)院人員包括教師、學(xué)生、行政辦公和家屬人員，希望構(gòu)建一個所有人員能相互通信但相互隔離的網(wǎng)絡(luò)，需求如下：（1）網(wǎng)絡(luò)整體性能要求至少千兆主干，十兆到桌面；（2）便于擴展，滿足未來2年內(nèi)網(wǎng)絡(luò)用戶增加的需要；（3）確保網(wǎng)絡(luò)接入的安全接入和方便管理；（4）考慮核心骨干網(wǎng)絡(luò)的可靠性，滿足電信級不斷網(wǎng)要求；（5）根據(jù)教師、學(xué)生業(yè)務(wù)要求，需要網(wǎng)絡(luò)有一定的可靠性措施；（6）所有用戶均能訪問Internet，并提供一定的可靠性和安全性；（7）網(wǎng)絡(luò)實行集中化統(tǒng)一管?理。你如何設(shè)計滿足用戶的網(wǎng)絡(luò)拓撲?圖？

任務(wù)場景探究網(wǎng)絡(luò)拓撲結(jié)構(gòu)的類型及應(yīng)用場合。

研究層次結(jié)構(gòu)網(wǎng)絡(luò)模型。

分析網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計原則。

探究網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計內(nèi)?容。

任務(wù)布置 1.平面拓撲結(jié)構(gòu) 2.層次化拓撲結(jié)構(gòu)

3.3.1網(wǎng)絡(luò)拓撲結(jié)構(gòu)類型

目前的網(wǎng)絡(luò)分層設(shè)計模型采用三層網(wǎng)絡(luò)設(shè)計模型，三層網(wǎng)絡(luò)的層次依次分為核心層、匯聚層及接入層。3.3.2層次化網(wǎng)絡(luò)設(shè)計模型 1.接入層

接入層主要為最終用戶提供訪問網(wǎng)絡(luò)的能力，將用戶主機連接到網(wǎng)絡(luò)中，提供最靠近用戶的服務(wù)。 2.匯聚層

匯聚層的主要功能是匯聚網(wǎng)絡(luò)流量，屏蔽接入層的變化對核心層造成的影響。 3.核心層

核心層的主要功能是實現(xiàn)數(shù)據(jù)包高速交換，是所有流量的最終匯聚點和處理點。3.3.2層次化網(wǎng)絡(luò)設(shè)計模型 1.控制層次數(shù)量 2.控制網(wǎng)絡(luò)的接入 3.保持結(jié)構(gòu)的穩(wěn)定 4.保證優(yōu)先設(shè)計接入層 5.保證模塊邊界清晰3.3.3網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計原則 1.確定網(wǎng)絡(luò)設(shè)備總數(shù) 2.確定交換機端口類型和端口數(shù) 3.保留一定的網(wǎng)絡(luò)擴展所需的端口 4.確定可連接工作站總數(shù) 5.確定關(guān)鍵設(shè)備連接 6.確定與其他網(wǎng)絡(luò)連接3.3.4網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計內(nèi)容確定層次化結(jié)構(gòu)程度（三層結(jié)構(gòu)還是二層結(jié)構(gòu)）。從接入層開始，與網(wǎng)絡(luò)技術(shù)標準選型同步進行。

逐層針對節(jié)點歸類、鏈路數(shù)目、鏈路帶寬、可靠性、安全性以及層與層之間的連接性能需求等要素進行設(shè)?計。

參加成果分享。

任務(wù)實施歸納總結(jié)

網(wǎng)絡(luò)拓撲結(jié)構(gòu)是指忽略了網(wǎng)絡(luò)通信線路的距離遠近和線纜粗細程度，忽略通信節(jié)點大小和類型后，僅僅用點和直線來描述網(wǎng)絡(luò)的圖形結(jié)構(gòu)。網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計是網(wǎng)絡(luò)工程設(shè)計工作的核心內(nèi)容，網(wǎng)絡(luò)拓撲結(jié)構(gòu)像建筑物的基本框架，其重要性和地位是不言而喻的，可以從技術(shù)、性能、可靠性、可擴展性、安全、服務(wù)質(zhì)量和投資成本等多個方面分析和討?論。

如圖所示為某職業(yè)學(xué)院網(wǎng)絡(luò)系統(tǒng)的拓撲結(jié)構(gòu)，采用思科公司的網(wǎng)絡(luò)設(shè)備進行構(gòu)建。整個網(wǎng)絡(luò)由交換模塊、廣域網(wǎng)接入模塊、遠程訪問模塊、服務(wù)器群等4部分構(gòu)?成。

校園網(wǎng)內(nèi)部數(shù)據(jù)的交換是分層進行的，分為3個層次：接入層（WS-C2950-24）、匯聚層（CiscoCatalyst3550）、核心層（CiscoCatalyst4006）。廣域網(wǎng)接入模塊的功能由Cisco3640路由器來完成，通過串行接口S0/0使用DDN技術(shù)接入Internet；遠程訪問模塊采用集成在Cisco3640路由器中的異步Modem模塊NM-16AM提供遠程接入服務(wù)；服務(wù)器群模塊用來對校園網(wǎng)的接入用戶提供Web、DNS、FTP、E-mail等多種網(wǎng)絡(luò)服務(wù)。請給出IP地址規(guī)劃結(jié)?果。

任務(wù)場景回顧IP地址的基本概念和劃分子網(wǎng)的方法。

探究網(wǎng)絡(luò)命名方法。

研究IP地址編碼規(guī)則。

探究IP地址規(guī)劃方?法。

任務(wù)布置 1.樓棟命名設(shè)?計

為樓棟命名時，建議從樓棟功能上進行命名，取樓棟漢語拼音的第一個字母，然后給樓棟分別編號或同一類功能的樓棟歸在一起，統(tǒng)一用A、B等作為第一個字母，然后給樓棟的編號命名 2.設(shè)備間/管理間命名設(shè)?計

基本原則是：樓棟名-設(shè)備間序號統(tǒng)一采用01作為該樓棟的設(shè)備間，其他編號作為管理間使用3.4.1網(wǎng)絡(luò)命名設(shè)計方案

“是否便于聚合”是地址分配的基本原則，而聚合與否又與路由器緊密相關(guān)。因此，根據(jù)拓撲結(jié)構(gòu)（與路由器連接關(guān)系）分配地址是最有效的方法。3.4.2IP地址編碼規(guī)則 1.公有IP地址分?配 2.Loopback地址規(guī)?劃 3.設(shè)備互聯(lián)地?址 4.業(yè)務(wù)地?址3.4.3IP地址規(guī)劃技巧業(yè)務(wù)IP地址及VLAN規(guī)劃。設(shè)備互連IP地址規(guī)劃。

設(shè)備網(wǎng)管IP地址規(guī)?劃。

外網(wǎng)IP地址規(guī)?劃。

參加任務(wù)結(jié)果分?享。

任務(wù)實施歸納總結(jié)

計算機網(wǎng)絡(luò)中有4類地址，分別是MAC地址、IP地址、端口地址和域名，其中MAC地址是固化在網(wǎng)絡(luò)適配器中的地址，出廠就設(shè)置好了，一般不允許修改；端口號一般由開發(fā)人員指定或動態(tài)隨機分配，無須網(wǎng)絡(luò)工程師和用戶直接參與設(shè)計；IP地址是網(wǎng)絡(luò)中主機的邏輯地址，首先要考慮高效通信和使用方便的問題。另外，由于網(wǎng)絡(luò)規(guī)模和應(yīng)用場景的不同，不得不對IP地址的管理和擴展加以考慮。

如圖所示為某職業(yè)學(xué)院網(wǎng)絡(luò)系統(tǒng)的拓撲結(jié)構(gòu)，在網(wǎng)絡(luò)建設(shè)過程中，為了把學(xué)?？偛亢头植窟B為一體，需要實現(xiàn)學(xué)?？偛亢头植恐g網(wǎng)絡(luò)的互聯(lián)互通，對此做出整合，進行網(wǎng)絡(luò)規(guī)劃。假如你是一名網(wǎng)絡(luò)工程師，請在相關(guān)設(shè)備上部署靜態(tài)路由和動態(tài)路由，實現(xiàn)學(xué)?？偛颗c分部網(wǎng)絡(luò)的互聯(lián)互?通。

任務(wù)場景回顧靜態(tài)路由、動態(tài)路由的基本概念。

探究靜態(tài)路由的應(yīng)用場合和規(guī)劃方法。

研究動態(tài)路由的應(yīng)用場合和規(guī)劃要點。

任務(wù)布置 1.靜態(tài)路由應(yīng)用場合 2.靜態(tài)路由的分類

（1）標準靜態(tài)路由

（2）默認靜態(tài)路由

（3）匯總靜態(tài)路由

（4）浮動靜態(tài)路由3.5.1靜態(tài)路由設(shè)計 3.靜態(tài)路由的規(guī)劃設(shè)計

（1）靜態(tài)路由規(guī)劃步?驟。

①確定網(wǎng)絡(luò)中每個路由器是否需要配置默認路?由。

②確定網(wǎng)絡(luò)中每個路由器需要對哪些遠程目標網(wǎng)絡(luò)使用靜態(tài)路由選?路。

③根據(jù)所掌握的網(wǎng)絡(luò)狀態(tài)信息，人工為目標網(wǎng)絡(luò)選定最佳路?徑。

④確定是否存在多條靜態(tài)路由可以匯總為一條靜態(tài)路由的情?況。3.5.1靜態(tài)路由設(shè)計 3.靜態(tài)路由的規(guī)劃設(shè)計

（2）靜態(tài)路由規(guī)劃舉例。3.5.1靜態(tài)路由設(shè)計

1.RIP動態(tài)路由基本特點3.5.2RIP動態(tài)路由設(shè)計特性RIPv1RIPv2采用跳數(shù)為度量值是是15?是最大的有效度量值，16?為無窮大是是默認?30s?更新周期是是周期性更新時，全部路由信息更新是是拓撲改變時，只針對變化的觸發(fā)更新是是使用路由毒化、水平分割、毒性逆轉(zhuǎn)是是使用抑制計時器是是發(fā)送更新的方式廣播組播使用UDP520?端口發(fā)送報文是是更新中攜帶子網(wǎng)掩碼，支持VLSM否是支持認證否是

2.RIP動態(tài)路由設(shè)計

（1）規(guī)劃要素分?析

①路由匯?總

②被動接?口

③單播更?新

④路由重分?發(fā)3.5.2RIP動態(tài)路由設(shè)計

2.RIP動態(tài)路由設(shè)計

（2）RIP規(guī)劃設(shè)計要?點

①考慮路由器上有哪些直接相連的網(wǎng)絡(luò)參與到RIPv2的路由更新?中。

②考慮是否需要設(shè)置被動接口和單播更新以減少不必要的網(wǎng)絡(luò)開?銷。

③考慮是否存在非連續(xù)子網(wǎng)問題和優(yōu)化路由表條目數(shù)?量。

④考慮是否需要路由的引入，實現(xiàn)網(wǎng)絡(luò)聯(lián)通和訪問Internet。

⑤考慮是否需要配置認證以增加路由更新的安全?性。3.5.2RIP動態(tài)路由設(shè)計 1.路由器RouterID的確定 2.DR和BDR的選舉與控制

在多路訪問網(wǎng)絡(luò)中選擇了一個DR和一個BDR，DR和BDR與本多路訪問網(wǎng)絡(luò)中的其他路由器都建立了鄰接關(guān)系。 3.OSPF的網(wǎng)絡(luò)類型 OSPF的網(wǎng)絡(luò)類型可分為4種類型：

（1）點到點（P2P），如PPP、HDLC鏈?路。

（2）廣播網(wǎng)絡(luò)（Broadcast），如以太?網(wǎng)。

（3）NBMA，如ATM、幀中繼網(wǎng)?絡(luò)。

（4）點到多點（P2MP），不是一種實際的網(wǎng)?絡(luò)。 4.被動接口

3.5.3OSPF動態(tài)路由設(shè)計 4.被動接口

被動接口本身可能連接一個末節(jié)網(wǎng)絡(luò)（只有主機，沒有其他的路由器）。3.5.3OSPF動態(tài)路由設(shè)計 5.OSPF的鏈路開銷 6.OSPF網(wǎng)絡(luò)的層次區(qū)域規(guī)劃 OSPF協(xié)議是一個需要層次化設(shè)計的網(wǎng)絡(luò)協(xié)議，在OSPF網(wǎng)絡(luò)中使用了區(qū)域的概念，從層次化的角度看，區(qū)域被分為兩種：骨干區(qū)域和非骨干區(qū)域。骨干區(qū)域的編號為0，非骨干區(qū)域的編號為1～4294967295。 7.非骨干區(qū)域內(nèi)部路由器的路由表優(yōu)化

非骨干區(qū)域中使用了較多的低端三層交換產(chǎn)品，由于其產(chǎn)品定位和性能的限制使其不能承受過多的路由條目數(shù)量，為了精簡其路由條目數(shù)量可以采用一些特殊區(qū)域來進行路由表的優(yōu)化。

3.5.3OSPF動態(tài)路由設(shè)計 8.骨干區(qū)域內(nèi)部路由器的路由表優(yōu)化

對于OSPF的非骨干區(qū)域來說，使用特殊區(qū)域能夠精簡其內(nèi)部路由器的路由表。而對于OSPF的骨干區(qū)域來說，要簡化其內(nèi)部路由器的路由表所采用的方式，就是減少非骨干區(qū)域使用的IP網(wǎng)段，這需要做出合理的規(guī)劃以便于區(qū)域邊界匯總。 9.OSPF默認路由的引入和選路優(yōu)化

對于一個大型網(wǎng)絡(luò)來說，很大一部分的業(yè)務(wù)量并不在區(qū)域內(nèi)部，而是通往Internet的出口，因此默認路由的引入也是組織網(wǎng)絡(luò)中OSPF設(shè)計的一大要點。 10.OSPF網(wǎng)絡(luò)的基本安全防護

為了確保路由信息來自特定的源，加強網(wǎng)絡(luò)的安全性，OSPF允許一定區(qū)域內(nèi)的路由器之間互相進行身份認證。3.5.3OSPF動態(tài)路由設(shè)計靜態(tài)路由規(guī)劃。RIP動態(tài)路由規(guī)劃。OSPF動態(tài)路由規(guī)?劃。

參加任務(wù)結(jié)果分?享。

任務(wù)實施歸納總結(jié)

大中型企業(yè)局域網(wǎng)是指由三層交換機或路由器連接多個網(wǎng)段構(gòu)成的局域網(wǎng)，網(wǎng)段之間可能相距較遠，也可能不直接相連。當需要將數(shù)據(jù)包從一個子網(wǎng)發(fā)往另一個子網(wǎng)的時候，必須借助具有IP數(shù)據(jù)包路由能力的三層交換機或路由器。具有路由能力的三層設(shè)備有3種方式獲得網(wǎng)絡(luò)中的路由信息，包括從鏈路層協(xié)議直接學(xué)習(xí)、人工配置靜態(tài)路由和從動態(tài)路由中學(xué)習(xí)。各類路由各有優(yōu)缺點，可根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)和實際需求來選擇。如果網(wǎng)絡(luò)拓撲是星狀，各節(jié)點之間沒有冗余鏈路，則可以使用靜態(tài)路由；如果網(wǎng)絡(luò)中有冗余鏈路，如全互聯(lián)或環(huán)形拓撲，則可以使用動態(tài)路由，以增強路由可靠性。如果網(wǎng)絡(luò)是分層的，則通常在接入層使用靜態(tài)路由來降低資源的消耗；而在匯聚層或核心層使用動態(tài)路由來增加可靠?性。單元2網(wǎng)絡(luò)綜合布線系統(tǒng)設(shè)計單元1網(wǎng)絡(luò)安全系統(tǒng)集成概述目錄單元3網(wǎng)絡(luò)工程設(shè)計單元5網(wǎng)絡(luò)工程的實施與測試驗收單元4網(wǎng)絡(luò)系統(tǒng)安全設(shè)計單元6網(wǎng)絡(luò)系統(tǒng)安全管理

引例描述

隨著物聯(lián)網(wǎng)的不斷擴大，每年都會有數(shù)百萬的新設(shè)備加入網(wǎng)絡(luò)中。此外，使用無線功能幾乎可以在任何地方使用這些設(shè)備。威脅發(fā)起者將繼續(xù)尋找可以利用的漏洞，網(wǎng)絡(luò)管理員需要使用各種方法來保護網(wǎng)絡(luò)中的設(shè)備和數(shù)據(jù)。網(wǎng)絡(luò)系統(tǒng)本身是一個復(fù)雜的系統(tǒng)，其連接形式多樣，終端設(shè)備分布不均勻、網(wǎng)絡(luò)的開放性和互連性都容易導(dǎo)致網(wǎng)絡(luò)系統(tǒng)遭受惡意攻擊者和惡意軟件的攻擊，因此，要保護網(wǎng)絡(luò)安全，需對網(wǎng)絡(luò)安全進行系統(tǒng)安全設(shè)?計。

學(xué)習(xí)目標

掌握縱深防御技術(shù)、網(wǎng)絡(luò)設(shè)備安全加固技術(shù)、ACL技術(shù)、防火墻技術(shù)、入侵檢測與防御技術(shù)、VPN技術(shù)等技能。

具備系統(tǒng)規(guī)劃、設(shè)計、部署和實施網(wǎng)絡(luò)安全的能力。

具有大國工匠精神、團隊協(xié)作精神，以及遵紀守法和遵守職業(yè)道德的職業(yè)素?養(yǎng)。

明確網(wǎng)絡(luò)安全是一個動態(tài)過程，需要在網(wǎng)絡(luò)系統(tǒng)運行的過程中，不斷地檢測安全漏洞，并實施一定的安全加固措施。依據(jù)國家的《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859—1999）和相關(guān)的安全標準，可以從安全分層保護、安全策略和安全教育三方面考慮，采取以“積極防御”為首的方針進行規(guī)?劃。

任務(wù)場景

探究網(wǎng)絡(luò)環(huán)境中存在哪些安全問題。

研究網(wǎng)絡(luò)安全體系框架。

探究網(wǎng)絡(luò)安全分層保護措施。

學(xué)習(xí)網(wǎng)絡(luò)安全設(shè)計遵循的原則。

分析網(wǎng)絡(luò)安全設(shè)計過?程

任務(wù)布置

1．CIA三元組（1）機密性（2）完整性（3）可用性4.1.1網(wǎng)絡(luò)安全基本問題

1．IATF（1）人（2）技術(shù)（3）操作4.1.2網(wǎng)絡(luò)安全體系框架

2．網(wǎng)絡(luò)安全結(jié)構(gòu)劃分（1）內(nèi)網(wǎng)（2）外網(wǎng)（3）公共子網(wǎng)4.1.2網(wǎng)絡(luò)安全體系框架

3．IATF縱深防御方法應(yīng)用舉例（1）邊緣路由器（2）防火墻（3）內(nèi)部路由器4.1.2網(wǎng)絡(luò)安全體系框架（1）物理層安全（2）網(wǎng)絡(luò)層安全（3）系統(tǒng)層安全（4）應(yīng)用層安全（5）管理層安全4.1.3網(wǎng)絡(luò)安全分層保護（1）均衡性原則（2）整體性原則（3）一致性原則（4）技術(shù)與管理相結(jié)合的原則（5）動態(tài)發(fā)展原則（6）易操作性原則4.1.4網(wǎng)絡(luò)安全設(shè)計原則1.確定需要保護的資產(chǎn)。2.識別網(wǎng)絡(luò)環(huán)境中的威脅。3.網(wǎng)絡(luò)安全需求分析。4.網(wǎng)絡(luò)安全風險分析。5.網(wǎng)絡(luò)安全策略制定。6.網(wǎng)絡(luò)安全機制設(shè)計。7.網(wǎng)絡(luò)安全集成技術(shù)。任務(wù)實施單元2網(wǎng)絡(luò)綜合布線系統(tǒng)設(shè)計單元1網(wǎng)絡(luò)安全系統(tǒng)集成概述目錄單元3網(wǎng)絡(luò)工程設(shè)計單元5網(wǎng)絡(luò)工程的實施與測試驗收單元4網(wǎng)絡(luò)系統(tǒng)安全設(shè)計單元6網(wǎng)絡(luò)系統(tǒng)安全管理

某公司局域網(wǎng)內(nèi)部采用如圖所示的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，假定你是該公司的一名網(wǎng)絡(luò)安全管理員，請你規(guī)劃網(wǎng)絡(luò)安全措施，確保公司局域網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)備的安全和網(wǎng)絡(luò)訪問安?全。

任務(wù)場景

探究安全訪問網(wǎng)絡(luò)設(shè)備的主要技術(shù)措施。

探究增強局域網(wǎng)安全的措?施。

任務(wù)布置

配置健壯的系統(tǒng)密碼（1）配置密碼考慮事項（2）配置安全訪問端口密碼4.2.1網(wǎng)絡(luò)設(shè)備安全管理

1．端口安全防護技術(shù)端口安全特性會通過MAC地址表記錄連接到交換機端口的以太網(wǎng)MAC地址，并只允許某個MAC地址通過本端口通信。其他MAC地址發(fā)送的數(shù)據(jù)包通過此端口時，端口安全特性會阻止它。使用端口安全特性可以防止未經(jīng)允許的設(shè)備訪問網(wǎng)絡(luò)，并增強安全性。端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填滿。4.2.2內(nèi)部網(wǎng)絡(luò)安全機制

1．端口安全防護技術(shù)某企業(yè)采用如圖?所示的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，交換機連接集線器來擴展一個端口上接入用戶終端的數(shù)量。為了解決這些攻擊帶來的危害，需要在接入層交換機上啟用端口安全機制。4.2.2內(nèi)部網(wǎng)絡(luò)安全機制

1．端口安全防護技術(shù)（1）將交換機S1?的Fa0/1-3?端口配置為接入端?口（2）端口安全參數(shù)配置（3）配置安全端口的安全地址（4）配置結(jié)果驗?證4.2.2內(nèi)部網(wǎng)絡(luò)安全機制

1．端口安全防護技術(shù)（1）將交換機S1?的Fa0/1-3?端口配置為接入端?口（2）端口安全參數(shù)配置（3）配置安全端口的安全地址（4）配置結(jié)果驗?證4.2.2內(nèi)部網(wǎng)絡(luò)安全機制

2．DHCPSnooping如圖所示的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，Router?模擬一臺合法的DHCP服務(wù)器，向用戶PC動態(tài)分配IP地址。在交換機Switch?上規(guī)劃了VLAN5，將端口Fa0/1、Fa0/2?和Fa0/3?劃分至VLAN5?中。網(wǎng)絡(luò)中模擬了一臺攻擊服務(wù)器接入Switch?的Fa0/3，將造成合法用戶主機獲取錯誤的IP地?址。4.2.2內(nèi)部網(wǎng)絡(luò)安全機制

2．DHCPSnooping（1）網(wǎng)絡(luò)基本配置（