企業(yè)網(wǎng)組建及相關(guān)技術(shù)

第第題目：企業(yè)網(wǎng)組建及相關(guān)技術(shù)姓名：張明哲指導(dǎo)老師：楊英光班級(jí)：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)摘要全球性的國(guó)際計(jì)算機(jī)Internet的迅速發(fā)展和普及，改變了整個(gè)信息產(chǎn)業(yè)的面貌，使信息技術(shù)產(chǎn)業(yè)從以計(jì)算機(jī)為中心發(fā)展到以網(wǎng)絡(luò)為中心，并為計(jì)算機(jī)技術(shù)在工業(yè)、商業(yè)、教育及科研等領(lǐng)域中的應(yīng)用提供了一個(gè)全新的網(wǎng)絡(luò)通信環(huán)境，也從根本上加強(qiáng)并促進(jìn)了群體工作成員之間的信息交流、資源共享、科學(xué)計(jì)算及技術(shù)合作等，全面推動(dòng)了教育事業(yè)、科研及生產(chǎn)的發(fā)展。Internet是以一系列關(guān)鍵支撐技術(shù)為核心發(fā)展起來(lái)的新興領(lǐng)域，為人們提供了嶄新的網(wǎng)絡(luò)計(jì)算環(huán)境。隨著互聯(lián)網(wǎng)的蓬勃發(fā)展，其巨大的潛力已經(jīng)逐漸體現(xiàn)出來(lái)，一些互聯(lián)網(wǎng)企業(yè)涉足傳統(tǒng)產(chǎn)業(yè)已經(jīng)取得了不菲的業(yè)績(jī)，如運(yùn)用網(wǎng)絡(luò)概念多次融資，并利用網(wǎng)絡(luò)優(yōu)勢(shì)通過(guò)并購(gòu)的方式切入旅行服務(wù)行業(yè)的攜程；其次，就是互聯(lián)網(wǎng)在傳播和獲取信息上的優(yōu)勢(shì)；再者，就是企業(yè)想利用內(nèi)部網(wǎng)絡(luò)進(jìn)行有效的管理，提高管理效率。因此，企業(yè)建網(wǎng)的最終目的和它的經(jīng)營(yíng)策略是吻合的，就是通過(guò)網(wǎng)絡(luò)來(lái)降低企業(yè)的管理成本和交易成本以及通過(guò)開(kāi)展電子商務(wù)活動(dòng)來(lái)獲得更多的利潤(rùn)。關(guān)鍵詞：Internet技術(shù)、企業(yè)網(wǎng)、子網(wǎng)劃分、網(wǎng)絡(luò)安全、管理緒論企業(yè)內(nèi)部聯(lián)網(wǎng)實(shí)現(xiàn)內(nèi)部互聯(lián)互通，辦公自動(dòng)化、信息化，有利于數(shù)據(jù)交換（方便各部門(mén)之間傳遞業(yè)務(wù)數(shù)據(jù)）、資源共享（隨時(shí)調(diào)用企業(yè)內(nèi)部他人開(kāi)放的數(shù)據(jù)）、打印共享（隨時(shí)使用位于他人處的任意打印機(jī)）；同時(shí)聯(lián)接Internet，可以一線上網(wǎng)（多臺(tái)計(jì)算機(jī)共用一條甚至幾條ADSL線路或光纖）極大的降低互聯(lián)網(wǎng)的接入費(fèi)用。聯(lián)網(wǎng)之后，使用系統(tǒng)內(nèi)置的專業(yè)軟件，可以實(shí)現(xiàn)內(nèi)部電話，傳達(dá)內(nèi)部文本、圖形通知，傳遞文件。在內(nèi)部電話之外，開(kāi)辟了一條多媒體、大容量的傳輸途徑。使用QQ等軟件與外部溝通，可以實(shí)時(shí)傳遞影像、圖文、大文件等，具有極強(qiáng)效能優(yōu)勢(shì)。本論文主要通過(guò)一個(gè)中小型企業(yè)局域網(wǎng)的組建過(guò)程，更加了解企業(yè)局域網(wǎng)的原理，主要內(nèi)容如下：網(wǎng)絡(luò)需求分析，企業(yè)網(wǎng)總體設(shè)計(jì)，交換路由技術(shù)，然后對(duì)本次論文做一個(gè)總結(jié)。第1章網(wǎng)絡(luò)需求分析1.1公司概述本公司是一個(gè)外貿(mào)公司，主要向外國(guó)人銷售房屋裝飾品，在企業(yè)內(nèi)部實(shí)現(xiàn)資源共享，為了生產(chǎn)、辦公、管理提供服務(wù)，實(shí)現(xiàn)辦公自動(dòng)化，提供公告牌和辦公信息查詢等服務(wù)，提高工作效率和管理水平，及時(shí)準(zhǔn)確可靠的收集、處理、存儲(chǔ)企業(yè)的辦公、管理信息、完成與國(guó)特網(wǎng)的通調(diào)和資源共享，實(shí)現(xiàn)企業(yè)資源和社會(huì)資源的有貢趨勢(shì)。企業(yè)內(nèi)部需要聯(lián)網(wǎng)的節(jié)點(diǎn)數(shù)為200，網(wǎng)絡(luò)中心位于2層，主要有財(cái)務(wù)部、IT部、業(yè)務(wù)部、開(kāi)發(fā)部、行政部、人事部6個(gè)部門(mén)，具體分布如下表1.1.1：表1.1.1公司分布情況樓房層次部門(mén)人數(shù)1號(hào)樓一層開(kāi)發(fā)部20業(yè)務(wù)部15二層IT部20財(cái)務(wù)部18三層行政部20人事部201.2網(wǎng)絡(luò)需求分析目前開(kāi)展的企業(yè)網(wǎng)建設(shè)，旨在推動(dòng)公司信息化建設(shè)，其最終建設(shè)目標(biāo)是將建設(shè)成為一個(gè)借助信息化辦分和管理手段的高水平的智能性、數(shù)字化的企業(yè)網(wǎng)絡(luò)，最終完成網(wǎng)絡(luò)和統(tǒng)一軟件資源平臺(tái)的構(gòu)建，實(shí)現(xiàn)統(tǒng)一網(wǎng)絡(luò)管理、統(tǒng)一安全策略、統(tǒng)一軟件資源系統(tǒng)，并實(shí)現(xiàn)網(wǎng)絡(luò)遠(yuǎn)程辦公、管理、資源共享等各種應(yīng)用；利用現(xiàn)代信息技術(shù)從事辦公、管理等工作。為確保企業(yè)網(wǎng)絡(luò)建設(shè)和應(yīng)用的成功，對(duì)網(wǎng)絡(luò)方案的設(shè)計(jì)大致可歸納出以下的需求：高帶寬為了支持?jǐn)?shù)據(jù)、視像多媒體的傳輸能力，在技術(shù)上要到達(dá)當(dāng)前的國(guó)際先進(jìn)水平。要采用比較先進(jìn)的網(wǎng)絡(luò)技術(shù)，適應(yīng)大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)需求，又要充分考慮未來(lái)的發(fā)展。高可靠性和高安全性網(wǎng)絡(luò)系統(tǒng)應(yīng)具有高可靠性、高安全性，具體到本項(xiàng)目中，要求采用可靠性較高產(chǎn)品和網(wǎng)絡(luò)架構(gòu)，在物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層等多個(gè)層次都有相應(yīng)的技術(shù)，以最大程度的保證網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。要充分的保證網(wǎng)絡(luò)的安全性，應(yīng)該根據(jù)相應(yīng)的管理制度和網(wǎng)絡(luò)策略制定一套完善的安全政策，保證系統(tǒng)的安全性。易管理、易維護(hù)由于網(wǎng)絡(luò)系統(tǒng)規(guī)模龐大，需要網(wǎng)絡(luò)系統(tǒng)具有良好的可管理性，網(wǎng)管系統(tǒng)具有監(jiān)測(cè)、故障診斷、故障隔離、過(guò)濾設(shè)置等功能，發(fā)便于系統(tǒng)的管理和維護(hù)。4、可擴(kuò)展性和可升級(jí)性系統(tǒng)要有可擴(kuò)展性和可升級(jí)性，隨著業(yè)務(wù)的增長(zhǎng)和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長(zhǎng)，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能隨著技術(shù)的發(fā)展不斷的升級(jí)。5、符合國(guó)際標(biāo)準(zhǔn)選用符合國(guó)際標(biāo)準(zhǔn)的系統(tǒng)和產(chǎn)品，可以保證系統(tǒng)具有較長(zhǎng)的生命力和擴(kuò)展能力，滿足將來(lái)系統(tǒng)升級(jí)的要求。1.3服務(wù)器需求分析在企業(yè)信息化建設(shè)中，服務(wù)器的角色舉足輕重。在最常見(jiàn)的C/S網(wǎng)絡(luò)結(jié)構(gòu)中，服務(wù)器扮演著為網(wǎng)絡(luò)中的計(jì)算機(jī)提供服務(wù)的角色，是整個(gè)網(wǎng)絡(luò)系的核心，服務(wù)器的正確選擇也是整個(gè)信息化建設(shè)的關(guān)鍵。在中小企業(yè)服務(wù)器選購(gòu)過(guò)程中也存在著一些問(wèn)題，首先是資金比較短缺，在小型企業(yè)建設(shè)中，初始階段公司規(guī)模比較小，業(yè)務(wù)量不大，信息化建設(shè)的需求并不強(qiáng)烈，效果也不明顯，所以在初始階段的信息化建設(shè)不會(huì)投入太多的資金，采購(gòu)服務(wù)器一般本著少花錢(qián)，多辦事的原則，追求資金回報(bào)率。其次專門(mén)的IT人員較為匱乏，專門(mén)的IT人員會(huì)增加一筆額外的開(kāi)支，一般來(lái)說(shuō)，規(guī)模不大的小型企業(yè)出于成本的考慮，一般只有很少或者沒(méi)有專門(mén)的IT人員。而在外貿(mào)公司中，卻少不了IT部門(mén)。雖然前期成本很關(guān)鍵，但是企業(yè)在選購(gòu)服務(wù)器時(shí)也不能一味追求低成本而忽略了服務(wù)器的可用性、易管理性和擴(kuò)展性。初始的采購(gòu)成本只占企業(yè)總體擁有成本的一部分，而后期的硬件升級(jí)費(fèi)用、管理維護(hù)費(fèi)用、人員費(fèi)用等可能會(huì)接近或者超過(guò)初始的采購(gòu)成本。所以，價(jià)格低廉，易于管理，穩(wěn)定可靠的服務(wù)器產(chǎn)品才更為適合中小企業(yè)，可以為企業(yè)降低總體擁有成本。除了要從成本、可用性、管理性和擴(kuò)展性等幾個(gè)方面考慮外，服務(wù)器還需要對(duì)癥下藥，做好規(guī)劃選型，明確企業(yè)自身需要提升的方向，做到有的放矢，充分利用資金，避免出現(xiàn)不適用或者資源的閑置浪費(fèi)現(xiàn)象。從中小企業(yè)對(duì)服務(wù)器的應(yīng)用方面來(lái)看，在初期業(yè)務(wù)量并不大，需要服務(wù)器操作的強(qiáng)度也許不是很大，但是需要應(yīng)用的種類很多，比如一臺(tái)服務(wù)器要同時(shí)兼?zhèn)鋽?shù)種角色，這時(shí)候一款通用型服務(wù)器是最好的選擇。但是隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，各種業(yè)務(wù)彼此分開(kāi)，服務(wù)器需要處理的業(yè)務(wù)量也不斷增大，這時(shí)候就有必要根據(jù)不同應(yīng)用選購(gòu)配置不同的服務(wù)器，以獲得更優(yōu)的性能和穩(wěn)定性。因此，在公司內(nèi)備置了FTP服務(wù)器和WEB器。第2章企業(yè)網(wǎng)總體設(shè)計(jì)2.1設(shè)計(jì)原則新建網(wǎng)絡(luò)必須滿足公司未來(lái)3-5年內(nèi)的研究、生產(chǎn)、辦公需求，遵循“可靠性、實(shí)用性、安全保密性、先進(jìn)性、經(jīng)濟(jì)性、開(kāi)放性”的設(shè)計(jì)原則，以系統(tǒng)生命周期長(zhǎng)、管理維護(hù)方便、系統(tǒng)集成度高和保護(hù)投資為主要技術(shù)特色，適應(yīng)當(dāng)前應(yīng)用及后續(xù)不斷發(fā)展?？晒芾砭W(wǎng)絡(luò)是一個(gè)龐大而且復(fù)雜的網(wǎng)絡(luò)，為了保障網(wǎng)絡(luò)的正常使用以及設(shè)備的良好維護(hù)需要一個(gè)功能強(qiáng)大，具有分級(jí)、分權(quán)管理能?chē)?guó)的網(wǎng)管系統(tǒng)，實(shí)現(xiàn)統(tǒng)一的網(wǎng)絡(luò)業(yè)務(wù)調(diào)度和管理，降低網(wǎng)絡(luò)運(yùn)營(yíng)成本。2、可增值網(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)，使網(wǎng)絡(luò)能適應(yīng)未來(lái)需求，節(jié)約各類費(fèi)用。確保新建網(wǎng)絡(luò)在3~5年力的使用價(jià)值。3、安全保密性充分考慮整個(gè)網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點(diǎn)的備份和線路保護(hù)，提供網(wǎng)絡(luò)安全防范措施。能有效通過(guò)軟硬件想到聯(lián)動(dòng)，有效保證企業(yè)網(wǎng)的安全，選擇設(shè)備必須具有較高的安全特性。4、可擴(kuò)展與成熟性網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺(tái)，要具有可擴(kuò)展性和可升級(jí)性。隨著業(yè)務(wù)的增長(zhǎng)和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長(zhǎng)，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能隨著技術(shù)的發(fā)展不斷升級(jí)。5、經(jīng)濟(jì)性在滿足高性能價(jià)格比（高性價(jià)比）的前提下，選用物廉價(jià)美，經(jīng)濟(jì)實(shí)用的產(chǎn)品，以減少開(kāi)支。6、開(kāi)放性技術(shù)選擇必須符合相關(guān)國(guó)際標(biāo)準(zhǔn)及國(guó)內(nèi)標(biāo)準(zhǔn)，避免個(gè)別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開(kāi)放性和互連互通，滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需要；開(kāi)放的接口，支持良好的維護(hù)、測(cè)量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實(shí)時(shí)監(jiān)控的遙測(cè)、遙控的信息處理功能，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。2.2拓?fù)鋱D結(jié)構(gòu)企業(yè)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D結(jié)構(gòu)如下圖2.1：圖2.1網(wǎng)絡(luò)拓?fù)鋱D結(jié)構(gòu)2.3IP規(guī)劃根據(jù)國(guó)際互聯(lián)網(wǎng)絡(luò)技術(shù)發(fā)展的趨勢(shì)，結(jié)合外貿(mào)公司的現(xiàn)實(shí)情況，IP地址規(guī)劃遵循如下原則設(shè)計(jì)：網(wǎng)絡(luò)出口、對(duì)外服務(wù)器群采用電信公網(wǎng)IP地址；企業(yè)網(wǎng)所有網(wǎng)絡(luò)設(shè)備均配置內(nèi)部管理IP地址，防止非法用戶登錄；各接入點(diǎn)根據(jù)現(xiàn)有信息點(diǎn)數(shù)，并預(yù)留20-30%擴(kuò)容率，分配連續(xù)IP地址段；各核心節(jié)點(diǎn)內(nèi)部根據(jù)用戶群體地理位置劃分VLAN，并將VLAN網(wǎng)關(guān)IP設(shè)置在各核心節(jié)點(diǎn)交換機(jī)上。IP地址規(guī)劃方案見(jiàn)下表2.3.1表2.3.1IP地址規(guī)劃設(shè)備端口IP地址設(shè)備端口IP地址R1S1/0/24PC0F0/10/27F0/001/30PC1F0/114/27F0/105/30PC2F0/106/27R2S1/0/24PC3F0/118/27F0/0/24PC4F0/1030/27Vlan10/27PC5F0/1162/27Vlan203/27PC6F0/0/24Vlan305/27WEBF0/1094/29Vlan407/27DNSF0/1195/29Vlan5029/273S1F0/102/30Vlan6061/273S2F0/106/30Vlan7093/292.4設(shè)備選型根據(jù)設(shè)備的性能價(jià)格比、設(shè)備的技術(shù)先進(jìn)性、設(shè)備對(duì)未來(lái)新技術(shù)的適應(yīng)能力、設(shè)備的使用方便程度、設(shè)備的標(biāo)準(zhǔn)化程度和可擴(kuò)充性等是選型決策的重要考慮因素，代表網(wǎng)絡(luò)系統(tǒng)設(shè)備的先進(jìn)水平；具備較強(qiáng)的安全性；具備優(yōu)良的RAS性能—可靠性、可用性、可維護(hù)性；具備優(yōu)良的可擴(kuò)充性和升級(jí)能力；具備優(yōu)良的性能價(jià)格比，根據(jù)現(xiàn)在的需求和可以預(yù)見(jiàn)的需求增長(zhǎng)情況設(shè)計(jì)網(wǎng)絡(luò)，不追求空洞的技術(shù)先進(jìn)性，避免追求高檔和最新技術(shù)花費(fèi)的巨大代價(jià)。因此選用CISCO的產(chǎn)品。CISCO是網(wǎng)絡(luò)業(yè)界第一品牌和最大的研發(fā)廠家，是項(xiàng)目可持續(xù)應(yīng)用的投資保護(hù)和規(guī)避廠家風(fēng)險(xiǎn)的首選。思科IOS取得廣泛成功的關(guān)鍵在于，它的標(biāo)準(zhǔn)化設(shè)計(jì)中整合了創(chuàng)新網(wǎng)絡(luò)技術(shù)、關(guān)鍵業(yè)務(wù)IP服務(wù)和首屈一指的平如支持能力。我們?yōu)橥赓Q(mào)公司網(wǎng)絡(luò)建設(shè)選用CISCO公司的系列產(chǎn)品，以確保網(wǎng)絡(luò)實(shí)用與性價(jià)比。本次企業(yè)網(wǎng)設(shè)備選型中，我們采用了2臺(tái)思科S3560-24PS核心層交換機(jī)、4臺(tái)思科S2960-24TT接入層交換機(jī)，1臺(tái)思科2811的路由器、2臺(tái)思科server-PT的服務(wù)器。其各層設(shè)備具體性能參數(shù)如下表2.4.1：表2.4.1各設(shè)備參數(shù)設(shè)備企業(yè)級(jí)交換機(jī)千兆以太網(wǎng)交換機(jī)模塊化路由器型號(hào)思科S3560-24PS思科S2960-24TT思科2811應(yīng)用層次三層二層傳輸速率10/100/100010/100/100010/100Mbps接口10/100Base-T10/100/100010/100Mbps網(wǎng)管功能SNMP,CLI,WeWeb瀏覽器,SNMPCiscoClickStart,SNMP內(nèi)存128MB64MB最大Flash內(nèi)存:256MB最大DRAM內(nèi)存：760MB包轉(zhuǎn)發(fā)率38.7Mpps6.5Mpps背板帶寬32Gbps16Gbps第3章交換路由技術(shù)3.1企業(yè)網(wǎng)的路由技術(shù)3.1.1OSPF協(xié)議由于公司的網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，存在環(huán)路，為了使網(wǎng)絡(luò)更快速、更穩(wěn)定的運(yùn)行，因此使用OSPF動(dòng)態(tài)路由，它支持路由驗(yàn)證，只有互相通過(guò)路由驗(yàn)證的路由器之間才能交換路由信息。并且OSPF可以對(duì)不同的區(qū)域定義不同的驗(yàn)證方式，提高網(wǎng)絡(luò)的安全性。OSPF路由協(xié)議對(duì)負(fù)載分擔(dān)的支持性能較好，所以將內(nèi)公司內(nèi)所有的網(wǎng)段都劃分為主干區(qū)域0，在同一區(qū)域間傳遞路由信息，在經(jīng)過(guò)接入路由器時(shí)根據(jù)IP包的目的地址，在路由器的路由器由表中查詢，是否有前往目的地的路由，如果有剛根據(jù)路由條目來(lái)轉(zhuǎn)發(fā)IP包。3.1.2NAT為了節(jié)約IP地址，因特網(wǎng)IP地址分配與管理機(jī)構(gòu)將IP地址劃分了一部分出來(lái)，規(guī)定作為私有地址使用，不同的局域網(wǎng)可重復(fù)使用這些私有地址，因特網(wǎng)中的路由器將丟棄源地址或目的地址為私有地址的數(shù)據(jù)包，以實(shí)現(xiàn)局域網(wǎng)間的下互隔離。但這樣一來(lái)，局域網(wǎng)用戶就無(wú)法直接訪問(wèn)因特網(wǎng)，位于因特網(wǎng)中的用戶也無(wú)法訪問(wèn)局域網(wǎng)。為了解決局域網(wǎng)用戶訪問(wèn)因特網(wǎng)的問(wèn)題，從而采用了網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation,NAT）技術(shù)，當(dāng)外網(wǎng)訪問(wèn)內(nèi)網(wǎng)的私有IP地址時(shí)，如果在訪問(wèn)請(qǐng)求包離開(kāi)邊界路由器之前，對(duì)數(shù)據(jù)包中的源地址進(jìn)行替換修改，將其修改為某一個(gè)合法的公有IP地址，這樣數(shù)據(jù)包就能在因特網(wǎng)中正常的訪問(wèn)。通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換操作，局域網(wǎng)用戶能透明地訪問(wèn)因特網(wǎng)，而且通過(guò)配置指定，因特網(wǎng)中的主機(jī)還能訪問(wèn)局域網(wǎng)中的特定主機(jī)。通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換，可實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離，提高內(nèi)部網(wǎng)張的安全性。3.2企業(yè)網(wǎng)的交換技術(shù)3.2.1VLAN技術(shù)為了防止公司內(nèi)產(chǎn)生廣播風(fēng)暴，通過(guò)對(duì)VLAN的創(chuàng)建，隔離廣播，縮小廣播范圍，控制廣播風(fēng)暴的產(chǎn)生。通過(guò)路由訪問(wèn)列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問(wèn)權(quán)限和邏輯網(wǎng)段大小，將每個(gè)部門(mén)定義一個(gè)VLAN，財(cái)務(wù)部為VLAN10，業(yè)務(wù)部為VLAN20，IT部為VLAN30，開(kāi)發(fā)部為VLAN40，行政部為VLAN50，人事部為VLAN60，將服務(wù)器劃分為VALN70，可以控制廣播風(fēng)暴的范圍，提高網(wǎng)絡(luò)整體安全性，并且使得網(wǎng)絡(luò)管理簡(jiǎn)單、直觀。從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。而對(duì)于采用VLAN技術(shù)的網(wǎng)絡(luò)來(lái)說(shuō)，在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動(dòng)。利用虛擬網(wǎng)絡(luò)技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)費(fèi)用。在一個(gè)交換網(wǎng)絡(luò)中，VLAN提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。該公司申請(qǐng)的IP地址為/24，將VLAN與IP分配如下表2.4.1：表2.4.1VLAN與IP網(wǎng)段的劃分VLAN號(hào)網(wǎng)段IP網(wǎng)關(guān)備注10/27財(cái)務(wù)部202/273業(yè)務(wù)部304/275IT部406/277開(kāi)發(fā)部5028/2729行政部6060/2761人事部7092/2993服務(wù)器3.2.2TRUNK技術(shù)鏈路聚合（Trunk）是一種封裝技術(shù)，它是一條點(diǎn)到點(diǎn)的鏈路，鏈路的兩端可以都是交換機(jī)，也可以是交換機(jī)和路由器，還可以是主機(jī)和交換機(jī)或路由器。Trunk的主要功能就是僅通過(guò)一條鏈路就可以連接多個(gè)VLAN。在沒(méi)有使用Trunk時(shí)，百兆以太網(wǎng)的雙絞線的這種傳輸介質(zhì)特性決定在兩個(gè)互連的普通10/100M交換機(jī)的帶寬僅為100M，如果是采用的全雙工模式的話，則傳輸?shù)淖畲髱捒梢赃_(dá)到最大200M，這樣就形成了網(wǎng)絡(luò)主干和服務(wù)器瓶頸。要達(dá)到更高的數(shù)據(jù)傳輸率，則需要更換傳輸媒介，使用千兆光纖或升級(jí)成為千兆以太網(wǎng)，這樣雖能在帶寬上能夠達(dá)到千兆，但成本卻非常昂貴（可能連交換機(jī)也需要一塊換掉），更本不適合低成本的中小企業(yè)和學(xué)校使用。如果使用Trunk技術(shù)，把二個(gè)端口通過(guò)捆綁在一起來(lái)達(dá)到400M帶寬，這樣可較好的解決了成本和性能的矛盾。Trunk的主要功能就是將多個(gè)物理端口綁定為一個(gè)邏輯的通道，使其工作起來(lái)就像一個(gè)通道一樣。將多個(gè)物理鏈路捆綁在一起后，不但提升了整個(gè)網(wǎng)絡(luò)的帶寬，而且數(shù)據(jù)還可以同時(shí)被綁定的多個(gè)物理鏈路傳輸，具有鏈路冗余的作用，在網(wǎng)絡(luò)出現(xiàn)故障或其他原因斷開(kāi)其中一條或多條鏈路時(shí)，剩下的鏈路還可以工作。3.2.3STP技術(shù)STP（Spanningtreeprotocol生成樹(shù)協(xié)議）定義在IEEE802.1D中，是一種鏈路管理協(xié)議，它為網(wǎng)絡(luò)提供路徑冗余同時(shí)防止產(chǎn)生環(huán)路。一旦二層存在環(huán)路，會(huì)產(chǎn)生廣播風(fēng)暴、MAC表不穩(wěn)定和便終端收到同個(gè)幀的多個(gè)副本等問(wèn)題。為使以太網(wǎng)更好地工作，兩個(gè)工作站之間只能有一條活動(dòng)路徑。為了避免產(chǎn)生閉合環(huán)路，可以用一個(gè)生成樹(shù)來(lái)覆蓋實(shí)際的拓?fù)浣Y(jié)構(gòu)，將兩個(gè)工作站之間只能有一條活動(dòng)路徑，萬(wàn)一一個(gè)鏈路或交換機(jī)失敗，會(huì)有另一個(gè)鏈路或交換機(jī)替代。例行每個(gè)源地址到目的地址只有唯一的通路。因此需要在接入層交換機(jī)上使用STP技術(shù)，以便在提供路徑冗余的同時(shí)在邏輯上斷開(kāi)環(huán)路，同時(shí)提高內(nèi)部網(wǎng)絡(luò)的穩(wěn)定性。3.2.4三層交換第三層交換的實(shí)質(zhì)是路由，類似于IP子網(wǎng)間的數(shù)據(jù)交換機(jī)制。當(dāng)網(wǎng)絡(luò)內(nèi)數(shù)據(jù)流量的分布偏離80/20規(guī)則，而且流量必須大量跨越子網(wǎng)邊界時(shí)，傳統(tǒng)的路由器就成了交通中的瓶頸，第三層交換技術(shù)的提出就是試圖消除這個(gè)瓶頸。第三層交換設(shè)備可以保證在不改IP編址方式和網(wǎng)絡(luò)連接方式的前提下消除網(wǎng)絡(luò)中的路由瓶頸，并且實(shí)現(xiàn)第二層交換無(wú)法提供的第三層包轉(zhuǎn)發(fā)和過(guò)濾能力。系統(tǒng)劃分VLAN一方面隔離了廣播，從而有效利用系統(tǒng)帶寬，另一方面也提離了系統(tǒng)的安全性，但劃分了VLAN之后各個(gè)子網(wǎng)之間需要路由，用傳統(tǒng)的路由器可以解決這一問(wèn)題，但即使性能再高的路由器也會(huì)成為系統(tǒng)性能的瓶頸，而只有三層交換才能最好的解決這一問(wèn)題，它以二層交換的性能實(shí)現(xiàn)三層交換的功能。3.3廣域網(wǎng)接入技術(shù)當(dāng)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)進(jìn)行通信時(shí)，為了能夠控制網(wǎng)絡(luò)流量和流向，而且在很大程度上保護(hù)網(wǎng)絡(luò)設(shè)備、服務(wù)器，提高安全性、穩(wěn)定性。作為外網(wǎng)進(jìn)入企業(yè)內(nèi)網(wǎng)的第一道關(guān)卡，采用了快速以太網(wǎng)光纖（100M）與外網(wǎng)相連，并且在路由器上采用了ACL訪問(wèn)控制列表作為保護(hù)內(nèi)網(wǎng)的安全。為了防止公司以外的人員了解公司內(nèi)部的一些私密文件，通過(guò)擴(kuò)展訪問(wèn)列表，允許公司內(nèi)部人員能訪問(wèn)外網(wǎng)，并且公司內(nèi)部人員相互之間能防問(wèn)，而對(duì)不是本公司人員，只允許外部的人員訪問(wèn)服務(wù)器，禁止公司以外的人訪問(wèn)內(nèi)網(wǎng)，以達(dá)到公司的安全性。3.4網(wǎng)絡(luò)安全企業(yè)網(wǎng)內(nèi)的用戶數(shù)量較大，局域網(wǎng)絡(luò)數(shù)目較多，經(jīng)過(guò)分析可以總結(jié)出河天科技企業(yè)網(wǎng)面臨著如下的安全威脅：各種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞帶來(lái)的安全威脅；Internet網(wǎng)絡(luò)用戶對(duì)企業(yè)網(wǎng)存在非法訪問(wèn)或惡意入侵的威脅；來(lái)自企業(yè)網(wǎng)內(nèi)外的各種病毒的威脅，外部用戶可能通過(guò)郵件以及文件傳輸?shù)葘⒉《編肫髽I(yè)內(nèi)網(wǎng)。內(nèi)部職工可能由于使用盜版介質(zhì)將病毒帶入內(nèi)網(wǎng)；內(nèi)部用戶對(duì)Internet的非法訪問(wèn)威脅，如瀏覽黃色、暴力、反動(dòng)等網(wǎng)站，以及由于下載文件可能將木馬、蠕蟲(chóng)、病毒等程序帶入企業(yè)內(nèi)網(wǎng)；內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對(duì)網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS攻擊，導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用；可能會(huì)因?yàn)槠髽I(yè)網(wǎng)內(nèi)管理人員以及全體職工的安全意識(shí)不強(qiáng)、管理制度不健全，帶來(lái)企業(yè)網(wǎng)的威脅；上述分析的幾點(diǎn)是當(dāng)今企業(yè)網(wǎng)普遍面臨的安全隱患。企業(yè)網(wǎng)絡(luò)的應(yīng)用水平也在不斷提高。規(guī)模的壯大和運(yùn)用水平的提高就決定了網(wǎng)絡(luò)面臨的隱患也相應(yīng)加劇。那么就及上述分析我們應(yīng)從物理、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用及管理五個(gè)層設(shè)計(jì)適合于天河科技網(wǎng)絡(luò)的安全方案。

1．物理層安全物理層的安全主要包括環(huán)境、設(shè)備及線路的安全。系統(tǒng)中心或機(jī)房的建設(shè)應(yīng)遵照：GB50173-93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、GB2887-89《計(jì)算機(jī)站場(chǎng)地安全要求》及GB2887-89《計(jì)算機(jī)站場(chǎng)地技術(shù)條件》的要求。在設(shè)備集中的管理間安裝干擾器防止由于設(shè)備輻射造成的信息泄漏。同時(shí)，要注意保護(hù)線路的安全，防止用戶的搭線竊聽(tīng)行為。2．系統(tǒng)安全系統(tǒng)層主要解決的是由于各種操作系統(tǒng)及相關(guān)產(chǎn)品的安全漏洞和病毒造成的威脅。我們主要采用主機(jī)加固手段加固主機(jī)，如升級(jí)、及時(shí)打補(bǔ)丁、關(guān)閉不需要的端口和服務(wù)等；并對(duì)系統(tǒng)重要文件進(jìn)行及時(shí)備份、加密來(lái)保障系統(tǒng)文件的安全；及時(shí)更新殺毒軟件，定時(shí)掃描漏洞保障系統(tǒng)安全；嚴(yán)格控制權(quán)限加強(qiáng)對(duì)主機(jī)的訪問(wèn)控制的安全來(lái)解決。3．網(wǎng)絡(luò)層安全網(wǎng)絡(luò)中局域網(wǎng)數(shù)目較多，根據(jù)需要多個(gè)網(wǎng)絡(luò)可能要互相聯(lián)接。正是這種多網(wǎng)的互聯(lián)，使我們對(duì)網(wǎng)絡(luò)層的安全要極度重視。定義一個(gè)網(wǎng)絡(luò)或各網(wǎng)絡(luò)內(nèi)不同安全等級(jí)的部分為不同的安全域。安全域之間的連接處叫網(wǎng)絡(luò)邊界。主要采取了劃分安全子網(wǎng)、加強(qiáng)網(wǎng)絡(luò)邊界的訪問(wèn)控制、防止內(nèi)外的攻擊威脅、定期的網(wǎng)絡(luò)安全性檢測(cè)實(shí)現(xiàn)持續(xù)安全、建立網(wǎng)絡(luò)防病毒系統(tǒng)等網(wǎng)絡(luò)層安全防護(hù)。4．應(yīng)用層安全應(yīng)用層的安全措施主要有以下幾點(diǎn)：加載郵件過(guò)濾系統(tǒng)，過(guò)濾垃圾郵件；各應(yīng)用系統(tǒng)自身的加固；建立身份認(rèn)證系統(tǒng)，對(duì)各用戶進(jìn)行嚴(yán)格身份認(rèn)證