畢業(yè)論文---計算機網(wǎng)絡(luò)設(shè)計

1、<p><b>　　第一章 緒論</b></p><p>　　1.1計算機網(wǎng)絡(luò)設(shè)計及其應(yīng)用</p><p>　　1.1.1計算機網(wǎng)絡(luò)設(shè)計</p><p>　?。?）計算機網(wǎng)絡(luò)的定義：計算機網(wǎng)絡(luò)是利用通訊設(shè)備和通信線路將地理位置不同的、具有獨立功能的多臺計算機系統(tǒng)遵循約定的通信協(xié)議互連成一個規(guī)模大、功能強的網(wǎng)絡(luò)系統(tǒng)，用功能完善的網(wǎng)絡(luò)軟件

2、(即網(wǎng)絡(luò)通信協(xié)議、信息交換方式和網(wǎng)絡(luò)操作系統(tǒng)等)來實現(xiàn)交互通信、資源共享、信息交換、綜合信息服務(wù)、協(xié)同工作以及在線處理等功能的系統(tǒng)。</p><p>　?。?）計算機網(wǎng)絡(luò)的分類：計算機網(wǎng)絡(luò)有多種分類方法,常見的分類有：</p><p>　?、儆嬎銠C網(wǎng)絡(luò)按照地理范圍劃分為：局域網(wǎng)、城域網(wǎng)、廣域網(wǎng)和互聯(lián)網(wǎng)四種；</p><p>　?、诎赐負浣Y(jié)構(gòu)劃分為：總線型、星型、環(huán)型

3、、樹型和網(wǎng)狀網(wǎng)；　</p><p>　?、郯唇粨Q方式劃分為：線路交換網(wǎng)、存儲轉(zhuǎn)發(fā)交換網(wǎng)和混合交換網(wǎng)；</p><p>　?、馨磦鬏攷挿绞竭M行劃分為：基帶網(wǎng)和寬帶網(wǎng)；</p><p>　?、莅淳W(wǎng)絡(luò)中使用的操作系統(tǒng)分為：NetWare網(wǎng)、Windows NT網(wǎng)和Unix網(wǎng)等；</p><p>　?、薨磦鬏敿夹g(shù)分為：廣播網(wǎng)、非廣播多路訪問網(wǎng)、點到

4、點網(wǎng)。</p><p>　　（3）計算機網(wǎng)絡(luò)的主要功能有四個方面：　?、儋Y源共享。計算機網(wǎng)絡(luò)的主要目的是共享資源。共享的資源有：硬件資源、軟件資源、數(shù)據(jù)資源。其中共享數(shù)據(jù)資源是計算機網(wǎng)絡(luò)最重要的目的?！　、跀?shù)據(jù)通信。數(shù)據(jù)通信是指利用計算機網(wǎng)絡(luò)實現(xiàn)不同地理位置的計算機之間的數(shù)據(jù)傳送，運用技術(shù)手段實現(xiàn)網(wǎng)絡(luò)間的信息傳遞。這是計算機網(wǎng)絡(luò)的最基本的功能，也是實現(xiàn)其他功能的基礎(chǔ)。如電子郵件、傳真、遠程數(shù)據(jù)交換等?！　、?/p>

5、分布處理。分布處理指當計算機網(wǎng)絡(luò)中的某個計算機系統(tǒng)負荷過重時，可以將其處理的任務(wù)傳送到網(wǎng)絡(luò)中的其它計算機系統(tǒng)中，以提高整個系統(tǒng)的利用率。對于大型的綜合性的科學計算和信息處理，通過適當?shù)乃惴?，將任?wù)分散到網(wǎng)絡(luò)中不同的計算機系統(tǒng)上進行分布式的處理。促進分布式數(shù)據(jù)處理和分布式數(shù)據(jù)庫的發(fā)展。利用網(wǎng)絡(luò)實現(xiàn)分布處理，建立性能優(yōu)良、可靠性高的分布式數(shù)據(jù)庫系統(tǒng)?！?④綜合信息服務(wù)。當今的信息化社會中，各行各業(yè)每時每刻都要產(chǎn)生大量的信息需要及時的處理

6、，而計算機網(wǎng)絡(luò)在其中起著十分重要的作用。</p><p>　　1.1.2計算機網(wǎng)絡(luò)的應(yīng)用</p><p>　　在計算機網(wǎng)絡(luò)時代，人們對計算機和互聯(lián)網(wǎng)的利用必將會滲透到社會生產(chǎn)和生活的各個方面，通過計算機和網(wǎng)絡(luò)的功能，將會給企業(yè)的生產(chǎn)和經(jīng)營活動的開展以及老百姓的工作和生活帶來極大的便利。在互聯(lián)網(wǎng)的聯(lián)系和溝通下，各種信息傳播的速度將加快，企業(yè)和個人對網(wǎng)絡(luò)信息的依賴程度也將不斷加深，信息需求程度

7、相對較大的部門將成為未來社會中創(chuàng)造高附加值的行業(yè)。并通過他們帶動相關(guān)知識產(chǎn)業(yè)的進步和發(fā)展，甚至帶動全社會的經(jīng)濟結(jié)構(gòu)的優(yōu)化調(diào)整，推動社會經(jīng)濟的全面進步。</p><p>　　經(jīng)濟時代的到來，人們通過計算機網(wǎng)絡(luò)的連接，打破了原先在時間和空間上的阻隔，在無形中拉近了人與人之間的距離，也在一定程度上擴大了我們生存的空間，網(wǎng)絡(luò)給我們提供了超乎尋常的方便和成功。但是，網(wǎng)絡(luò)也給社會帶來了更多的挑戰(zhàn)，它要求我們要以更高的層次去面

8、對新的生活和環(huán)境，同時不斷地改變我們的思想和行為，我們要抓住網(wǎng)絡(luò)時代帶給我們機遇，不斷努力推動人類社會向更的高階段發(fā)展。 </p><p>　　1.2計算機網(wǎng)絡(luò)設(shè)計的基本內(nèi)容</p><p>　　要進行企業(yè)網(wǎng)絡(luò)的總體設(shè)計，包括的內(nèi)容有以下幾點：</p><p>　?。?）進行對象研究和需求調(diào)查，弄清辦公的性質(zhì)、任務(wù)和改革發(fā)展的特點，對辦公的信息化環(huán)境進行準確的描述，

9、明確系統(tǒng)建設(shè)的需求和條件；</p><p>　?。?）在應(yīng)用需求分析的基礎(chǔ)上，確定辦公Intranet服務(wù)類型，進而確定系統(tǒng)建設(shè)的具體目標，包括網(wǎng)絡(luò)設(shè)施、站點設(shè)置、開發(fā)應(yīng)用和管理等方面的目標；</p><p>　?。?）確定網(wǎng)絡(luò)拓撲結(jié)構(gòu)和功能，根據(jù)應(yīng)用需求、建設(shè)目標和辦公主要建筑分布特點，進行系統(tǒng)分析和設(shè)計；</p><p>　?。?）確定技術(shù)設(shè)計的原則要求，如在技

10、術(shù)選型、布線設(shè)計、設(shè)備選擇、軟件配置等方面的標準和要求；</p><p>　　（5）規(guī)劃安排ZH公司辦公網(wǎng)網(wǎng)絡(luò)建設(shè)的實施步驟。</p><p>　　現(xiàn)在所謂的網(wǎng)絡(luò)多是一些系統(tǒng)集成商基于先進的硬件設(shè)備提出的解決方案,是設(shè)備集成。由于網(wǎng)絡(luò)技術(shù)是一門比較新的技術(shù),致使許多人產(chǎn)生了重視硬件,輕視軟件的想法,國內(nèi)斥資開發(fā)這方面軟件的軟件公司也很少,造成了軟件匱乏的局面。只注重有形的網(wǎng)絡(luò)的建設(shè)而忽略了

11、無形的文化的建設(shè)是網(wǎng)絡(luò)失敗的最關(guān)鍵的原因。這里所指的無形的文化是指人們的觀念、工作方式、利益結(jié)構(gòu)、辦公的管理運作模式等看不見、摸不著的東西。從某種意義上講,網(wǎng)絡(luò)的建設(shè)絕不僅僅只是涉及到技術(shù)問題,而是會引申到更深的層次,也就是說信息技術(shù)所帶來的一場革命會徹底改變我們的生活方式和工作方式。目前的網(wǎng)絡(luò)系統(tǒng)集成多數(shù)是先進的設(shè)備的集成,少則幾十萬,一般幾百萬,多則幾千萬?；◣装偃f采用ATM技術(shù)建起來的網(wǎng)絡(luò),只用來進行文件共享。</p>

12、<p>　　基于以上的一些狀況，計算機網(wǎng)絡(luò)設(shè)計的目標應(yīng)該是：</p><p>　　(1)網(wǎng)絡(luò)平臺搭建：建設(shè)一個以辦公自動化、計算機輔助辦公、現(xiàn)代計算機辦公網(wǎng)文化及辦公自動化為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進、擴展性強、能覆蓋主要樓宇的辦公網(wǎng)主干網(wǎng)絡(luò)，將辦公的各種PC機、工作站、終端設(shè)備和局域網(wǎng)連接起來，并與有關(guān)單位局域網(wǎng)通過INTERNET進行遠程互連，在網(wǎng)上宣傳自己和獲取Internet網(wǎng)上資

13、源。</p><p>　　(2)辦公自動化：形成結(jié)構(gòu)合理、內(nèi)外溝通的辦公網(wǎng)計算機網(wǎng)絡(luò)系統(tǒng)，在此基礎(chǔ)上建立能滿足辦公、科研和管理工作需要的軟硬件環(huán)境，開發(fā)各類信息庫和應(yīng)用系統(tǒng)，為辦公各類人員提供充分的網(wǎng)絡(luò)信息服務(wù)。系統(tǒng)總體設(shè)計將本著總體規(guī)劃、分布實施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進性、高度的安全可靠性，同時具有良好的開放性、可擴展性。</p><p>　　(3)防盜監(jiān)控：根據(jù)辦公網(wǎng)實際情況，建

14、立監(jiān)控防盜系統(tǒng).要求達到全方位觀察、記錄各主要場所的人員活動情況，及時發(fā)現(xiàn)各種安全隱患和違章行為，便于有效處理及制止事故的進一步發(fā)展，更為某些事件日后的調(diào)查、處理提供了直觀的查詢資料，以創(chuàng)造安全的生活環(huán)境及完善各項管理。</p><p>　　(4)無線辦公網(wǎng)絡(luò)：基于網(wǎng)絡(luò)設(shè)計先進性方面的考慮，在方案設(shè)計中我們采用了無線網(wǎng)絡(luò)技術(shù)。</p><p>　　(5)防雷系統(tǒng)：為了保證網(wǎng)絡(luò)安全我們應(yīng)該采

15、用防雷系統(tǒng)，這樣的網(wǎng)絡(luò)可以有效的避免雷擊對網(wǎng)絡(luò)設(shè)備的危害。</p><p>　　1.3本次設(shè)計的主要內(nèi)容</p><p>　　完成廣域網(wǎng)和局域網(wǎng)的物理設(shè)計、拓撲設(shè)計、地址規(guī)劃、安全設(shè)計等，根據(jù)主要的技術(shù)指標滿足公司計算機網(wǎng)絡(luò)設(shè)計需求。實現(xiàn)在該公司網(wǎng)內(nèi)各種不同應(yīng)用的信息資源通過高性能的網(wǎng)絡(luò)設(shè)備相互連接起來，形成ZH公司網(wǎng)區(qū)內(nèi)部的Intranet系統(tǒng)。</p><p>

16、　　對ZH公司網(wǎng)絡(luò)總體的設(shè)計，首先要進行對象研究和需求調(diào)查，弄清公司辦公的性質(zhì)、任務(wù)和改革發(fā)展的特點，對公司的信息化環(huán)境進行準確的描述，明確系統(tǒng)建設(shè)的需求和條件；其次，在應(yīng)用需求分析的基礎(chǔ)上，確定Intranet服務(wù)類型，進而確定系統(tǒng)建設(shè)的具體目標，包括網(wǎng)絡(luò)設(shè)施、站點設(shè)置、開發(fā)應(yīng)用和管理等方面的目標；第三是確定網(wǎng)絡(luò)拓撲結(jié)構(gòu)和功能，根據(jù)應(yīng)用需求、建設(shè)目標和辦公主要建筑分布特點，進行系統(tǒng)分析和設(shè)計。第四是確定技術(shù)設(shè)計的原則要求，如在技術(shù)選型

17、、布線設(shè)計、設(shè)備選擇、軟件配置等方面的標準和要求。在為該公司設(shè)計的網(wǎng)絡(luò)中要能充分體現(xiàn)網(wǎng)絡(luò)的靈活性，盡量使用層次結(jié)構(gòu)使單個設(shè)備的配置的復雜性大大降低，更易管理。通過將網(wǎng)絡(luò)分成許多小單元，降低網(wǎng)絡(luò)的整體復雜性，使排除故障更容易，能隔離廣播風暴的傳播、防止路由循環(huán)等潛在的問題。</p><p>　　第二章 系統(tǒng)需求分析</p><p>　　2.1 網(wǎng)絡(luò)設(shè)計需求分析概述</p>&l

18、t;p>　　為適應(yīng)企業(yè)信息化的發(fā)展，滿足日益增長的通信需求和網(wǎng)絡(luò)的穩(wěn)定運行，現(xiàn)在的企業(yè)網(wǎng)絡(luò)建設(shè)比傳統(tǒng)企業(yè)網(wǎng)絡(luò)建設(shè)有更高的要求，主要表現(xiàn)在如下幾個方面：</p><p><b>　　（1）帶寬性能需求</b></p><p>　　現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強大的性能，以滿足用戶日益增長的通信需求。隨著計算機技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天

19、的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個多業(yè)務(wù)承載平臺。不僅要繼續(xù)承載企業(yè)的辦公自動化，Web瀏覽等簡單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及企業(yè)生產(chǎn)運營的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和時延都要求很高的IP電話、視頻會議等多媒體業(yè)務(wù)。因此，數(shù)據(jù)流量將大大增加，尤其是對核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的要求。另外，隨著千兆位端口成本的持續(xù)下降，千兆位到桌面的應(yīng)用會在不久的將來成為企業(yè)網(wǎng)的主流。</p><p><b>　?。?

20、）穩(wěn)定可靠需求</b></p><p>　　現(xiàn)代企業(yè)的網(wǎng)絡(luò)應(yīng)具有更全面的可靠性設(shè)計，以實現(xiàn)網(wǎng)絡(luò)通信的實時暢通，保障企業(yè)生產(chǎn)運營的正常進行。隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計算機網(wǎng)絡(luò)上來，網(wǎng)絡(luò)通信的無中斷運行已經(jīng)成為保證企業(yè)正常生產(chǎn)運營的關(guān)鍵。</p><p>　　現(xiàn)代企業(yè)網(wǎng)絡(luò)在可靠性設(shè)計方面主要應(yīng)從以下3個方面考慮：</p><p>　?、僭O(shè)備的可靠性設(shè)計

21、：不僅要考察網(wǎng)絡(luò)設(shè)備是否實現(xiàn)了關(guān)鍵部件的冗余備份，還要從網(wǎng)絡(luò)設(shè)備整體設(shè)計架構(gòu)、處理引擎種類等多方面去考察。</p><p>　?、跇I(yè)務(wù)的可靠性設(shè)計：網(wǎng)絡(luò)設(shè)備在故障倒換過程中，是否對業(yè)務(wù)的正常運行有影響。</p><p>　?、坻溌返目煽啃栽O(shè)計：以太網(wǎng)的鏈路安全來自于多路徑選擇，所以在企業(yè)網(wǎng)絡(luò)建設(shè)時，要考慮網(wǎng)絡(luò)設(shè)備是否能夠提供有效的鏈路自愈手段，以及快速重路由協(xié)議的支持。</p>

22、<p><b>　?。?）網(wǎng)絡(luò)安全需求</b></p><p>　　現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施主要是通過部署防火墻、IDS、殺毒軟件，以及配合交換機或路由器的ACL來實現(xiàn)對病毒和黑客攻擊的防御，但實踐證明這些被動的防御措施并不能有效地解決企業(yè)網(wǎng)絡(luò)的安全問題。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運營的重

23、要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入控制，病毒報文識別到主動抑制的一系列安全控制手段，這樣才能有效地保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運行。</p><p><b>　?。?）應(yīng)用服務(wù)需求</b></p><p>　　現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具備更智能的網(wǎng)絡(luò)管理解決方案，以適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴大，維護工作更加復雜的需要。當前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為"以應(yīng)用為中心&quo

24、t;的信息基礎(chǔ)平臺，網(wǎng)絡(luò)管理能力的要求已經(jīng)上升到了業(yè)務(wù)層次，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管理需求的發(fā)展。</p><p>　　2.2公司業(yè)務(wù)需求分析</p><p>　　我們將為ZH公司設(shè)計企業(yè)網(wǎng)，現(xiàn)將該公司的需求告知如下：</p><p><b>　?。?）公司布局</b></p><p>　　八個子公司有

25、六個子公司在ZH工業(yè)園內(nèi)各的建筑物里面，公司為15層的主樓，六個本地子公司都是7層樓，外地兩個子公司12層樓。第一子公司與主樓相距50米，第二子公司與主樓相距也是50米，第三、四、五子公司與主樓相距5公里，第六子公司與主樓相距8公里，另兩個子公司在北京和廣州各自有自己的辦公樓。</p><p><b>　　（2）具體用戶需求</b></p><p>　?、倬W(wǎng)絡(luò)設(shè)備配置

26、：配備網(wǎng)絡(luò)交換設(shè)備，實現(xiàn)樓宇間的千兆光纖連接，保證未來各應(yīng)用系統(tǒng)的實施以及滿足集團各種計算機應(yīng)用系統(tǒng)的大信息量的傳輸</p><p>　?、诰W(wǎng)管系統(tǒng)設(shè)計：提供可以對整個網(wǎng)絡(luò)系統(tǒng)進行管理的中文圖形界面工具，使系統(tǒng)維護人員可以集中控制網(wǎng)絡(luò)的所有設(shè)備</p><p>　?、蹆?nèi)、外網(wǎng)隔離：過硬盤隔離卡及雙布線系統(tǒng)、雙網(wǎng)絡(luò)設(shè)備實現(xiàn)辦公內(nèi)網(wǎng)與外網(wǎng)隔離。</p><p>　　2.

27、3網(wǎng)絡(luò)性能需求分析</p><p>　　ZH公司屬于地域跨度較廣，分支機構(gòu)較多，網(wǎng)絡(luò)規(guī)模較大的企業(yè)集團。所以推薦網(wǎng)絡(luò)的核心層采用萬兆位核心路由器構(gòu)建一個高性能、高帶寬的萬兆位數(shù)據(jù)傳輸平臺，在各公司的核心（即網(wǎng)絡(luò)的骨干層）采用多業(yè)務(wù)路由器構(gòu)建一個路由交換一體化的平臺，實現(xiàn)所有園區(qū)網(wǎng)匯聚層設(shè)備的千兆位匯聚交換路由，在接入層推薦用戶采用安全智能以太網(wǎng)交換機完成企業(yè)用戶的接入。</p><p>　

28、　在性能和安全性上應(yīng)滿足公司員工的網(wǎng)絡(luò)應(yīng)用需求，對響應(yīng)時間不作特殊要求；為保障網(wǎng)絡(luò)中心設(shè)備的安全運行要求在網(wǎng)絡(luò)中心提供不間斷電源；在遵循經(jīng)濟實用、成熟先進和安全可靠先進的技術(shù)原則的前提下，最大限度地考慮采用符合發(fā)展趨勢的新技術(shù)；網(wǎng)絡(luò)設(shè)備必須采用成熟先進的技術(shù)，所以采用的標準要求統(tǒng)一，支持目前業(yè)界最新的網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)的標準必須符合國際/國家標準，并且擁有廣泛的支持廠商；網(wǎng)絡(luò)設(shè)備要求具有高可靠性、高穩(wěn)定性和高可用性；網(wǎng)絡(luò)設(shè)備要求提供足夠的帶

29、寬；網(wǎng)絡(luò)設(shè)備要求具有擴展性和可升級性，能夠適應(yīng)用戶數(shù)量和擴展，能夠保證未來網(wǎng)絡(luò)升級時的平穩(wěn)銜接，保證網(wǎng)絡(luò)通信介質(zhì)、網(wǎng)絡(luò)基本設(shè)計核心的向后歉容性；要求網(wǎng)絡(luò)易于管理，支持網(wǎng)絡(luò)的拓撲視圖、網(wǎng)段與端口的監(jiān)控；網(wǎng)絡(luò)流量及錯誤統(tǒng)計，具備計費管理、故障定位、診斷、修復和自動隔離等功能；要求網(wǎng)絡(luò)具有高的安全性。在要求網(wǎng)絡(luò)具有開放性的同時，要求保證其安全性。</p><p>　　（1）核心層網(wǎng)絡(luò)設(shè)計</p><

30、p>　　核心層網(wǎng)絡(luò)主要完成企業(yè)集團內(nèi)部不同地域企業(yè)之間的高速數(shù)據(jù)路由轉(zhuǎn)發(fā)，以及維護全網(wǎng)路由的計算。為提高核心網(wǎng)絡(luò)的健壯性，實現(xiàn)鏈路的穩(wěn)定、安全保障，核心層環(huán)網(wǎng)中采用ERRP（以太網(wǎng)冗余環(huán)網(wǎng)保護技術(shù)）技術(shù)，提供自愈保護倒換功能，實現(xiàn)核心網(wǎng)絡(luò)的高可靠性。</p><p>　?。?）骨干層網(wǎng)絡(luò)設(shè)計</p><p>　　骨干層網(wǎng)絡(luò)主要完成園區(qū)內(nèi)各匯聚層設(shè)備之間的數(shù)據(jù)交換，以及核心層網(wǎng)絡(luò)之間的

31、路由轉(zhuǎn)發(fā)，可以選擇高性能多業(yè)務(wù)路由器方案。</p><p>　　高性能多業(yè)務(wù)路由器方案采用多業(yè)務(wù)路由器作為園區(qū)核心路由交換設(shè)備，實現(xiàn)業(yè)務(wù)、路由、交換一體化的設(shè)計架構(gòu)，具有強大的業(yè)務(wù)和路由處理能力，提供諸如MPLS VPN、QoS、策略路由、NAT、PPPoE/802.1x/ L2TP認證等豐富業(yè)務(wù)能力；并可借助內(nèi)置防火墻模塊方式，實現(xiàn)各種強大的網(wǎng)絡(luò)安全策略，以充分滿足不同園區(qū)網(wǎng)絡(luò)的高速數(shù)據(jù)交換和多業(yè)務(wù)功能支持的要

32、求，提供完善的安全防御策略，保障企業(yè)園區(qū)網(wǎng)絡(luò)的穩(wěn)定運行。該方案非常適合提供大量的遠程安全訪問，但局域網(wǎng)的傳輸性能可能會受到一定的影響。</p><p>　?。?）匯聚層網(wǎng)絡(luò)設(shè)計</p><p>　　匯聚層網(wǎng)絡(luò)主要完成園區(qū)內(nèi)辦公樓宇和相關(guān)單位接入層交換機的匯聚，以及數(shù)據(jù)交換和VLAN終結(jié)。建議采用千兆位多層交換機作為匯聚層交換機，在提供高密度千兆位端口接入的同時，滿足匯聚層智能高速處理的需要

33、。同時，還應(yīng)具備較強的多業(yè)務(wù)提供能力，支持包括智能的ACL、MPLS、組播在內(nèi)的各種業(yè)務(wù)，為用戶提供豐富、高性價比的組網(wǎng)選擇。</p><p>　?。?）接入層網(wǎng)絡(luò)設(shè)計</p><p>　　傳統(tǒng)的接入層設(shè)計往往并不關(guān)注安全控制和QoS能力，而是將其交付給匯聚層去處理，從而給匯聚層交換機帶來巨大的處理壓力，導致內(nèi)網(wǎng)病毒泛濫成災(zāi)，匯聚層交換機和關(guān)鍵設(shè)備也因此而癱瘓，無法真正有效地實現(xiàn)網(wǎng)絡(luò)安全和

34、QoS服務(wù)質(zhì)量保障。</p><p>　　由此可見，接入層交換機應(yīng)當滿足高安全、多業(yè)務(wù)承載、高性能的網(wǎng)絡(luò)需求，除必須滿足大容量、高性能等基本要求外，還應(yīng)當具備相當?shù)陌踩匦?，如CPU防攻擊能力、防流量攻擊病毒的能力、防組播、廣播攻擊的能力，使交換機能夠智能地自動阻斷或隔離內(nèi)外部的攻擊和網(wǎng)絡(luò)病毒，從而進一步加強企業(yè)網(wǎng)絡(luò)對邊緣接入層面的安全控制能力。此外，交換機還應(yīng)具備專用堆疊接口，可以滿足樓層、樓宇內(nèi)多個交換機高性

35、能匯聚的需要。</p><p>　　第三章 網(wǎng)絡(luò)系統(tǒng)設(shè)計方案</p><p>　　3.1網(wǎng)絡(luò)系統(tǒng)設(shè)計基本原則</p><p>　?。?）開放性和標準化原則</p><p>　　首先采用國家標準和國際標準，其次采用廣為流行的、實用的工業(yè)標準，只有這樣，網(wǎng)絡(luò)系統(tǒng)內(nèi)部才能方便地從外部網(wǎng)絡(luò)快速獲取信息。同時還要求在授權(quán)后網(wǎng)絡(luò)內(nèi)部的部分信息可以對外開放

36、，保證網(wǎng)絡(luò)系統(tǒng)適度的開放性。我們在進行網(wǎng)絡(luò)系統(tǒng)設(shè)計時，在有標準可執(zhí)行的情況下，一定要嚴格按照相應(yīng)的標準進行設(shè)計。采用開放的標準后就可以充分保障網(wǎng)絡(luò)系統(tǒng)設(shè)計的延續(xù)性,保證互連簡單易行。</p><p>　　（2）實用性與先進性兼顧原則</p><p>　　在網(wǎng)絡(luò)系統(tǒng)設(shè)計時首先應(yīng)該以注重實用為原則，緊密結(jié)合具體應(yīng)用的實際需求。在選擇具體的網(wǎng)絡(luò)技術(shù)時一定要同時考慮當前及未來一段時間內(nèi)主流應(yīng)用的技

37、術(shù)，不要一味地追求新技術(shù)和新產(chǎn)品，一方面新的技術(shù)和產(chǎn)品還有一個成熟的過程，立即選用時則可能會出現(xiàn)各種意想不到的問題；另一方面，最新技術(shù)的產(chǎn)品價格肯定非常昂貴，會造成不必要的資金浪費。在以太局域網(wǎng)技術(shù)中，目前千兆位以下的以太網(wǎng)技術(shù)都已非常成熟，產(chǎn)品價格也已降到了合理的水平，但萬兆位以太網(wǎng)技術(shù)還沒有得到普及應(yīng)用，相應(yīng)的產(chǎn)品價格仍相當昂貴，所以如果沒有十分的必要，則不要選擇萬兆位以太網(wǎng)技術(shù)的產(chǎn)品。</p><p>&l

38、t;b>　　（3）可用性原則 </b></p><p>　　網(wǎng)絡(luò)的可用性原則決定了所設(shè)計的網(wǎng)絡(luò)系統(tǒng)是否能滿足用戶應(yīng)用和穩(wěn)定運行的需求。網(wǎng)絡(luò)的“可用性"表現(xiàn)在網(wǎng)絡(luò)的“可靠性”和“穩(wěn)定性"，要求網(wǎng)絡(luò)系統(tǒng)能長時間穩(wěn)定運行，而不要經(jīng)常出現(xiàn)這樣或那樣的問題。否則給用戶帶來的損失可能是非常巨大的，特別是大型、外貿(mào)、電子商務(wù)類型的企業(yè)。網(wǎng)絡(luò)系統(tǒng)的“可用性’’通常是由網(wǎng)絡(luò)設(shè)備的“可用性&qu

39、ot;決定的，主要體現(xiàn)在服務(wù)器、交換機、路由器、防火墻等重負荷設(shè)備上。這就要求在選購這些設(shè)備時一定不要一味地貪圖廉價，而要選擇一些國內(nèi)、外主流品牌、應(yīng)用主流技術(shù)和成熟型號產(chǎn)品。</p><p><b>　　（4）安全第一原則</b></p><p>　　現(xiàn)在的網(wǎng)絡(luò)幾乎時刻受到外界的安全威脅，稍有不慎就會被那些病毒、黑客入侵，致使整個網(wǎng)絡(luò)陷入癱瘓。在一個安全措施完善的計

40、算機網(wǎng)絡(luò)中，不僅要部署病毒防護系統(tǒng)、防火墻隔離系統(tǒng)，還可能要部署入侵檢測、木馬查殺系統(tǒng)和物理隔離系統(tǒng)等。</p><p><b>　　3.2網(wǎng)絡(luò)拓撲結(jié)構(gòu)</b></p><p>　　3.2.1星形拓撲 </p><p>　　星形拓撲是由中央節(jié)點和通過點到到通信鏈路接到中央節(jié)點的各個站點組成。星形拓撲結(jié)構(gòu)具有以下優(yōu)點：</p>&l

41、t;p><b>　?。?）控制簡單</b></p><p>　?。?）故障診斷和隔離容易</p><p><b>　?。?）方便服務(wù)</b></p><p>　　星形拓撲結(jié)構(gòu)的缺點：</p><p>　　（1）電纜長度和安裝工作量可觀</p><p>　?。?）中央節(jié)點

42、的負擔較重，形成瓶頸</p><p>　?。?）各站點的分布處理能力較低 </p><p>　　星形拓撲結(jié)構(gòu)示意圖見下圖3-1：</p><p>　　圖3-1 星形拓撲結(jié)構(gòu)示意圖</p><p>　　3.2.2總線拓撲 </p><p>　　總線拓撲結(jié)構(gòu)采用一個信道作為傳輸媒體，所有站點都通過相應(yīng)的硬件接口直接連到這一

43、公共傳輸媒體上，該公共傳輸媒體即稱為總線。</p><p>　　總線拓撲結(jié)構(gòu)的優(yōu)點：</p><p>　?。?）總線結(jié)構(gòu)所需要的電纜數(shù)量少</p><p>　?。?）總線結(jié)構(gòu)簡單，又是無源工作，有較高的可靠性</p><p>　　（3）易于擴充，增加或減少用戶比較方便</p><p>　　總線拓撲結(jié)構(gòu)示意圖見下圖3-2

44、：</p><p>　　圖3-2 總線拓撲結(jié)構(gòu)示意圖</p><p><b>　　3.2.3環(huán)形拓撲</b></p><p>　　環(huán)形拓撲網(wǎng)絡(luò)由站點和連接站的鏈路組成一個閉合環(huán)。環(huán)形拓撲的優(yōu)點有以下幾點：</p><p><b>　　（1）電纜長度短</b></p><p>

45、　　（2）增加或減少工作站時，僅需簡單的連接操作</p><p><b>　?。?）可使用光纖</b></p><p>　　環(huán)形拓撲的缺點有以下幾點：</p><p>　?。?）節(jié)點的故障會引起全網(wǎng)故障</p><p><b>　　（2）故障檢測困難</b></p><p>

46、　　環(huán)形拓撲結(jié)構(gòu)示意圖見下圖3-3:</p><p>　　圖3-3環(huán)形拓撲結(jié)構(gòu)示意圖</p><p><b>　　3.2.4樹形拓撲</b></p><p>　　樹形拓撲從總線拓撲演變而來，形狀像一棵倒置的樹，頂端是樹根，樹根以下帶分支，每個分支還可再帶子分支。樹形拓撲的優(yōu)點有：</p><p>　　（1）易于擴充。樹形

47、結(jié)構(gòu)可以延伸出很多分支和子分支，這些新節(jié)點和新分支都能容易地加入網(wǎng)內(nèi)。    （2）故障隔離較容易。如果某一分支的節(jié)點或線路發(fā)生故障，很容易將故障分支與整個系統(tǒng)隔離開來。</p><p>　　樹形拓撲的缺點：各個節(jié)點對根的依賴性太大。樹形拓撲結(jié)構(gòu)示意圖見下圖3-4:</p><p>　　圖3-4樹形拓撲結(jié)構(gòu)示意圖</p><p>　

48、　由于樹形拓撲易于擴充。樹形結(jié)構(gòu)可以延伸出很多分支和子分支，這些新節(jié)點和新分支都能容易地加入網(wǎng)內(nèi), 而且很容易將故障分支與整個系統(tǒng)隔離開來。所以我選用樹形和分層結(jié)合的拓撲結(jié)構(gòu)。網(wǎng)絡(luò)拓撲總圖見下圖3-5：</p><p>　　圖3-5 網(wǎng)絡(luò)拓撲圖</p><p>　　對該拓撲圖的主要說明如下：</p><p>　?。?）公司基本布局：</p><p

49、>　　八個子公司有六個子公司在ZH工業(yè)園內(nèi)各的建筑物里面，公司為15層的主樓，六個本地子公司都是7層樓，外地兩個子公司12層樓。第一子公司與主樓相距50米，第二子公司與主樓相距也是50米，第三、四、五子公司與主樓相距5公里，第六子公司與主樓相距8公里，另兩個子公司在北京和廣州各自有自己的辦公樓。各子公司部門結(jié)構(gòu)：這八個分公司都有各自的信息中心（15人），財務(wù)部（20人），公司辦公室及行政部（20人），生產(chǎn)部（200人），研發(fā)部（3

50、0人），企劃部（10人），業(yè)務(wù)部（80人），人力資源部（10人）總公司行政劃分也是如此，人數(shù)比例大致類似八個子公司。</p><p>　?。?）對此拓撲圖的詳細說明：</p><p>　?、僭诰W(wǎng)絡(luò)拓樸結(jié)構(gòu)方面，選用分層的樹型拓樸結(jié)構(gòu)，將企業(yè)網(wǎng)整體劃分為核心層、匯聚層和接入層三個邏輯層次。各建筑物之間采用光纖進行互連，樓內(nèi)采用非屏蔽雙絞線布線，在同一幢樓的匯聚層和接入層交換機之間也采用、雙絞

51、線進行連接全網(wǎng)設(shè)一個核心結(jié)點，位于網(wǎng)絡(luò)中心。ZH公司內(nèi)所有主干線路均匯聚在此節(jié)點。內(nèi)接口由雙絞線和網(wǎng)絡(luò)核心三層路由交換機連接，外接口通過10M光纖專線和機房連接；如圖所示：核心交換機通過1000M雙絞線與服務(wù)器和網(wǎng)管工作站連接，通過1000M光纖和匯聚層交換機連接；對企業(yè)網(wǎng)的各部分服務(wù)器，通過1000M雙絞線與核心三層路由交換機連接。</p><p>　?、谥鞲删W(wǎng)采用第三層交換的千兆高速以太網(wǎng)、子網(wǎng)為第三層或第二

52、層的千兆或百兆交換的快速以太網(wǎng)，桌面實現(xiàn)第二層交換的百兆接入。</p><p>　?、垡院诵慕粨Q機為中心，核心層是網(wǎng)絡(luò)的主干，需要轉(zhuǎn)發(fā)非常龐大的流量，核心層交換機還應(yīng)支持聚合萬兆鏈接。網(wǎng)絡(luò)接入層，匯聚層，核心層節(jié)點位置的地理分布情況是網(wǎng)絡(luò)接入層節(jié)點設(shè)置在用戶建筑物內(nèi)，因為接入層終端設(shè)備（PC）較多，所以將匯聚層節(jié)點設(shè)置在接入層一起。因為接入用戶較多，且是內(nèi)部交換網(wǎng)絡(luò)，因此網(wǎng)絡(luò)節(jié)點設(shè)備交換機要采用高性能，具備大型交

53、換能力的設(shè)備。匯聚層設(shè)備之間以及匯聚層設(shè)備與核心層設(shè)備之間多采用光纖互聯(lián)，以提高系統(tǒng)的傳輸性能和吞吐量。同時對服務(wù)器的處理能力要求也比較高。同時考慮到內(nèi)網(wǎng)用戶數(shù)據(jù)的安全性要求不高并加大網(wǎng)絡(luò)建設(shè)和管理成本，但是為了改善主干鏈路數(shù)據(jù)流量的壓力，增強網(wǎng)絡(luò)性能，所以采用將服務(wù)器主機安排在匯聚層。</p><p>　　3.3 VPN網(wǎng)絡(luò)技術(shù)設(shè)計</p><p>　　3.3.1 VPN技術(shù)介紹<

54、/p><p>　　VPN(虛擬專用網(wǎng))是一個通過公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立的一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)內(nèi)部網(wǎng)之間安全通信的虛擬專用線路。由于VPN是

55、在Internet上臨時建立的安全專用虛擬網(wǎng)絡(luò)，用戶就節(jié)省了租用專線的費用，在運行的資金支出上，除了購買VPN設(shè)備，企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)線路費用，也節(jié)省了長途電話費。這就是VPN價格低廉的原因。</p><p>　　3.3.2 VPN技術(shù)的特點</p><p>　　VPN技術(shù)的主要有以下特點：</p><p>　?。?）安全保障：雖然

56、實現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實現(xiàn)簡單、方便、靈活，但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。 </p><p>　?。?）服務(wù)質(zhì)量保證（QoS）：VPN網(wǎng)應(yīng)當為企業(yè)數(shù)據(jù)提供不同等級的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對服務(wù)質(zhì)量

57、保證的要求差別較大。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網(wǎng)絡(luò)阻塞，使實時性要求高的數(shù)據(jù)得不到及時發(fā)送；而在流量低谷時又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過流量預(yù)測與流量控制策略，可以按照優(yōu)先級分實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。 </p><p>　?。?）可擴充

58、性和靈活性：VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求。 </p><p>　　（4）可管理性：從用戶角度和運營商角度應(yīng)可方便地進行管理、維護。VPN管理的目標為：減小網(wǎng)絡(luò)風險、具有高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。事實上，VPN管理主要包括安全管理、設(shè)備管理、配置管理

59、、訪問控制列表管理、QoS管理等內(nèi)容。</p><p>　　3.3.3 VPN網(wǎng)絡(luò)的安全設(shè)計</p><p>　　要想保證VPN數(shù)據(jù)流的安全，需要綜合使用諸如身份識別、隧道和加密等技術(shù)。基于IP的VPN在兩個網(wǎng)絡(luò)設(shè)備之間提供了IP隧道，這些隧道要么是站點到站點的，要么是客戶端到站點的。在兩個設(shè)備之間發(fā)送的數(shù)據(jù)是經(jīng)過加密的，這樣就可以在已有的IP網(wǎng)絡(luò)上建立起安全的網(wǎng)絡(luò)路徑。隧道技術(shù)就是一種在

60、因特網(wǎng)上的兩個設(shè)備之間建立虛擬路徑或者點對點連接方式。大多數(shù)的VPN的實現(xiàn)都是使用隧道在兩個設(shè)備之間建立一個私有網(wǎng)絡(luò)路徑。</p><p>　　3.3.4 VPN技術(shù)的優(yōu)勢</p><p>　　（1）信息的安全性。VPN（虛擬專用網(wǎng)絡(luò)）采用安全隧道技術(shù)向用戶提供無縫的和安全的端到端連接服務(wù)，確保信息資源的安全。</p><p>　　（2）方便的擴充性。用戶可以利用虛

61、擬專用網(wǎng)絡(luò)技術(shù)方便地重構(gòu)企業(yè)專用網(wǎng)絡(luò)實現(xiàn)異地業(yè)務(wù)人員的遠程接入，加強與客戶、合作伙伴之間的聯(lián)系，以進一步適應(yīng)虛擬企業(yè)的新型企業(yè)組織形式。</p><p>　?。?）方便的管理。VPN將大量的網(wǎng)絡(luò)管理工作放到互聯(lián)網(wǎng)絡(luò)服務(wù)提供者(ISP)一端來統(tǒng)一實現(xiàn)，從而減輕了企業(yè)內(nèi)部網(wǎng)絡(luò)管理的負擔。同時VPN也提供信息傳輸、路由等方面的智能特性及其與其他網(wǎng)絡(luò)設(shè)備相獨立的特性，也便于用戶進行網(wǎng)絡(luò)管理。</p><

62、;p>　?。?）顯著的成本效益。利用現(xiàn)有互聯(lián)網(wǎng)絡(luò)發(fā)達的網(wǎng)絡(luò)構(gòu)架組建企業(yè)內(nèi)部專用網(wǎng)絡(luò)，從而節(jié)省了大量的投資成本及后續(xù)的運營維護成本。</p><p>　　3.3.5 VPN的系統(tǒng)設(shè)計</p><p>　　VPN的系統(tǒng)設(shè)計主要有以下幾點：</p><p><b>　?。?）網(wǎng)絡(luò)結(jié)構(gòu)分析</b></p><p>　　隨著

63、ZH公司的不斷發(fā)展壯大，企業(yè)的計算機應(yīng)用和網(wǎng)絡(luò)規(guī)模也越來越普及，總部與各個分支機構(gòu)之間的溝通的需求也越來越大，因此通過信息化的手段來進行數(shù)據(jù)的交換和備份，給企業(yè)帶來極大的工作便利性，促進了企業(yè)的生產(chǎn)發(fā)展。</p><p>　　同時，本著安全的原則，將公司的信息資源最大作用的發(fā)揮。對ZH公司網(wǎng)絡(luò)先進行網(wǎng)絡(luò)邊界的劃分，控制好外部網(wǎng)絡(luò)對本企業(yè)的訪問，由于ZH公司的分支機構(gòu)分布在各地，所以信息數(shù)據(jù)的交換尤其重要。<

64、/p><p>　　（2）VPN系統(tǒng)設(shè)計原則</p><p>　　在ZH公司VPN系統(tǒng)的設(shè)計過程中，我們始終遵循以下原則：</p><p>　?、傧到y(tǒng)工程原則：在系統(tǒng)設(shè)計和實施過程中，嚴格遵循系統(tǒng)工程的觀點和方法進行工作。自始至終考慮到系統(tǒng)的整體性、層次性、相關(guān)性、目的性、時間性和環(huán)境的適應(yīng)性。</p><p>　?、谟脩舻谝坏脑瓌t：系統(tǒng)設(shè)計的邏輯

65、模型必須符合用戶的要求，完成系統(tǒng)提出的目標和功能。以需求為核心，無論是產(chǎn)品選型、部署還是體系搭建，都必須圍繞安全需求進行，保證安全投資的合理性和目標的準確實現(xiàn)。</p><p>　　③先進性和實用性原則：采用先進的設(shè)計思想和設(shè)計方法，盡量采用國內(nèi)、外先進技術(shù)，使本系統(tǒng)在國內(nèi)具有一定的先進水平。采用先進技術(shù)，必須符合實際情況，堅持一切從實際出發(fā)，一切為用戶著想的原則，系統(tǒng)的建立以用戶的需要作為設(shè)計的出發(fā)點和歸宿，求

66、得先進性和實用性相統(tǒng)一，獲取最佳效益。</p><p>　　④可靠性原則：系統(tǒng)設(shè)計應(yīng)確保系統(tǒng)運行的正確性和數(shù)據(jù)傳輸?shù)恼_性，防止和恢復由內(nèi)在因素和危機環(huán)境造成的錯誤和災(zāi)難性故障，確保系統(tǒng)獲取可靠性。</p><p>　?、菘刹僮餍栽瓌t：可操作性是指系統(tǒng)應(yīng)盡量便于用戶的理解、學習、掌握和使用，人機界面友好，方便操作和維護。在本網(wǎng)絡(luò)設(shè)計中，ZH公司VPN網(wǎng)絡(luò)結(jié)構(gòu)圖見下圖3-6：</p&g

67、t;<p>　　要實現(xiàn)VPN連接，企業(yè)內(nèi)部網(wǎng)中必須配置一臺VPN服務(wù)器，VPN服務(wù)器是用來接受來自VPN客戶機的連接請求。VPN服務(wù)器一段連接到企業(yè)內(nèi)部專用網(wǎng)，另一端連接到Internet，VPN服務(wù)器必須擁有一個公用的IP地址。在VPN連接中數(shù)據(jù)必須經(jīng)過加密，經(jīng)過封裝、加密后，在隧道上傳輸數(shù)據(jù)。</p><p>　　圖3-6 VPN網(wǎng)絡(luò)結(jié)構(gòu)圖</p><p>　　3.4 主

68、要網(wǎng)絡(luò)設(shè)計分析</p><p><b>　　(1)核心層</b></p><p>　　在分層網(wǎng)絡(luò)拓撲中，核心層是網(wǎng)絡(luò)的主干，需要轉(zhuǎn)發(fā)非常龐大的流量。通過執(zhí)行和查看各種流量報告和用戶群分析確定所需要的轉(zhuǎn)發(fā)速率。核心層的可用性也很關(guān)鍵，因此應(yīng)盡可能的提供較多的冗余。相對于第二層功能，第三層冗余功能在硬件出現(xiàn)故障時的收斂速度更快。核心層交換機還需要支持鏈路聚合功能，以確保為

69、分布層交換機發(fā)送到核心層交換機的流量提供足夠的帶寬。核心層交換機還應(yīng)支持聚合萬兆鏈接。這樣可以讓對應(yīng)的分布層交換機盡可能高效的向核心層傳送流量。核心層的功能主要是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,骨干層設(shè)計任務(wù)的重點通常是冗余能力、靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能最好盡量少在骨干層上實施。核心層一直被認為是所有流量的最終承受者和匯聚者，所以對核心層的設(shè)計以及網(wǎng)絡(luò)設(shè)備的要求十分嚴格。核心層設(shè)備將占投資的主要部分。</p><

70、p><b>　　(2)匯聚層</b></p><p>　　匯聚層是連接接入層和核心層的網(wǎng)絡(luò)設(shè)備,為接入層提供數(shù)據(jù)的匯聚、傳輸理\分發(fā)處理.匯聚層為接入層提供基于策略的連接.通過網(wǎng)段劃分(如VLAN)與網(wǎng)絡(luò)隔離可以防止某些網(wǎng)段的問題蔓延和影響到核心層.匯聚層同時也可以提供接入層虛擬網(wǎng)之間的互連,控制和限制接入層對核心層的訪問,保證核心層的安全和穩(wěn)定。匯聚層的功能主要是連接接入層節(jié)點和核心

71、層中心。匯聚層設(shè)計為連接本地的邏輯中心，仍需要較高的性能和比較豐富的功能。匯聚層設(shè)備一般采用可管理的三層交換機或堆疊式交換機以達到帶寬和傳輸性能的要求。其設(shè)備性能較好，但價格高于接入層設(shè)備，而且對環(huán)境的要求也較高，對電磁輻射、溫度、濕度和空氣潔凈度等都有一定的要求。匯聚層設(shè)備之間以及匯聚層設(shè)備與核心層設(shè)備之間多采用光纖互聯(lián)，以提高系統(tǒng)的傳輸性能和吞吐量。一般來說，用戶訪問控制會安排在接入層，但這并非絕對，也可以安排在匯聚層進行。在匯聚層

72、實現(xiàn)安全控制和身份認證時，采用的是集中式的管理模式。</p><p><b>　　(3)接入層 </b></p><p>　　接入層是為最終用戶提供訪問的網(wǎng)絡(luò)。接入層負責將用戶終端鏈接到網(wǎng)絡(luò)中，提供最靠近用戶的服務(wù)。接入層在網(wǎng)絡(luò)工程中面臨很多困難，如網(wǎng)絡(luò)設(shè)備工作在環(huán)境溫度變化大，灰塵多，電壓不穩(wěn)定等復雜環(huán)境中，容易影像設(shè)備工作的穩(wěn)定性。接入層網(wǎng)絡(luò)設(shè)備大多分散在用戶工作

73、附近，設(shè)備品種繁多，地點分散，造成網(wǎng)絡(luò)管理工作的困難。接入層網(wǎng)絡(luò)設(shè)備往往價格便宜，容易出現(xiàn)質(zhì)量問題，對網(wǎng)絡(luò)穩(wěn)定性影響很大。</p><p><b>　?。?）防火墻設(shè)計</b></p><p>　　防火墻是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件。該計算機流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描，這樣能夠過濾掉一些攻擊,以免其在目標計算

74、機上被執(zhí)行。防火墻具有很好的網(wǎng)絡(luò)安全保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。</p><p>　　3.5 VLAN劃分與IP地址分配</p><p>　　(1)VLAN劃分的原因</p><p>　　VLAN(虛擬局域網(wǎng))是一個計算機網(wǎng)絡(luò)， 其中的計算機就像是被同一網(wǎng)線連接在一起，而實際上它們可能分處于

75、局域網(wǎng)的不同區(qū)域。VLAN更多的是通過軟件而非硬件來實現(xiàn)，因此這使得它具有很高的靈活性。VLAN的一個主要特性就是提供了更多的管理控制，減少了相對日常管理開銷，提供了更大的配置靈活性。VLAN模擬了一組終端設(shè)備，即使它們處于不同的物理網(wǎng)段上，也不受物理位置的限制。VLAN的作用是使得同一VLAN中的成員之間能夠通信，而不同VLAN用戶之間是相互隔離的，如果需要通信必須通過路由設(shè)備。VLAN使網(wǎng)絡(luò)管理簡單化，可以減少工作站移動和變化所需的

76、費用，方便地進行邏輯分組，添加、刪除和修改用戶信息以及通過網(wǎng)絡(luò)流量測試工具進行計費等工作。此外VLAN可以將廣播風暴遏制在本 VLAN的范圍之內(nèi)，其他VLAN用戶不受影響，大大節(jié)約了網(wǎng)絡(luò)帶寬，提高了帶寬利用率。</p><p>　　VLAN的特性包括：</p><p>　　①當用戶從一個地點移動到另一個地點時，簡化了配置操作和過程修改</p><p>　　②當網(wǎng)絡(luò)阻

77、塞時，可以重新調(diào)節(jié)流量分布</p><p>　?、厶峁┝髁颗c廣播行為的詳細報告，同時統(tǒng)計VLAN邏輯區(qū)域的規(guī)模與組成</p><p>　?、芴峁└鶕?jù)實際情況在VLAN中增加和減少用戶的靈活性。</p><p>　　(2)VLAN主要有以下幾種劃分方式：</p><p>　　①基于端口劃分的VLAN</p><p>　　

78、基于端口劃分的VLAN是最常用的VLAN劃分方法，應(yīng)用也最為廣泛、最有效，目前絕大多數(shù)VLAN協(xié)議的交換機都提供這種VLAN配置方法。這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機的交換端口來劃分的，它是將VLAN交換機上的物理端口和VLAN交換機內(nèi)部的PVC(永久虛電路)端口分成若干個組，每個組構(gòu)成一個虛擬網(wǎng)，相當于一個獨立的VLAN交換機。</p><p>　　對于不同部門需要互訪時，可通過路由器轉(zhuǎn)發(fā)，并配合基于M

79、AC地址的端口過濾。對某站點的訪問路徑上最靠近該站點的交換機、路由交換機或路由器的相應(yīng)端口上，設(shè)定可通過的MAC地址集。這樣就可以防止非法入侵者從內(nèi)部盜用IP地址從其他可接入點入侵的可能。</p><p>　　②基于MAC地址劃分VLAN</p><p>　　這種劃分VLAN的方法是根據(jù)每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置他屬于哪個組，它實現(xiàn)的機制就是每一塊網(wǎng)卡都對應(yīng)

80、唯一的MAC地址，VLAN交換機跟蹤屬于VLAN MAC的地址。這種方式的VLAN允許網(wǎng)絡(luò)用戶從一個物理位置移動到另一個物理位置時，自動保留其所屬VLAN的成員身份。</p><p>　　由這種劃分的機制可以看出，這種VLAN的劃分方法的最大優(yōu)點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，因為它是基于用戶，而不是基于交換機的端口。這種方法的缺點是初始化時，所有的用戶都必須進行

81、配置，如果有幾百個甚至上千個用戶的話，配置是非常累的，所以這種劃分方法通常適用于小型局域網(wǎng)。而且這種劃分的方法也導致了交換機執(zhí)行效率的降低，因為在每一個交換機的端口都可能存在很多個VLAN組的成員，保存了許多用戶的MAC地址，查詢起來相當不容易。</p><p>　?、刍诰W(wǎng)絡(luò)層協(xié)議劃分VLAN</p><p>　　VLAN按網(wǎng)絡(luò)層協(xié)議來劃分，可分為IP、IPX、DECnet、AppleT

82、alk、Banyan等VLAN網(wǎng)絡(luò)。這種按網(wǎng)絡(luò)層協(xié)議來組成的VLAN，可使廣播域跨越多個VLAN交換機。而且，用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動，但其VLAN成員身份仍然保留不變。</p><p>　　這種方法的優(yōu)點是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡(luò)管理者來說很重要，還有，這種方法不需要附加的幀標簽來識別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點是效

83、率低，因為檢查每一個數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時間的，一般的交換機芯片都可以自動檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)禎頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時也更費時。當然，這與各個廠商的實現(xiàn)方法有關(guān)。</p><p>　?、芨鶕?jù)IP組播劃分VLAN</p><p>　　IP 組播實際上也是一種VLAN的定義，即認為一個IP組播組就是一個VLAN。這種劃分的方法將VLAN擴大到了廣域網(wǎng)

84、，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴展，主要適合于不在同一地理范圍的局域網(wǎng)用戶組成一個VLAN，不適合局域網(wǎng)，主要是效率不高。</p><p>　　⑤按策略劃分VLAN</p><p>　　基于策略組成的VLAN能實現(xiàn)多種分配方法，包括VLAN交換機端口、MAC地址、IP地址、網(wǎng)絡(luò)層協(xié)議等。網(wǎng)絡(luò)管理人員可根據(jù)自己的管理模式和本單位的需求來決定選擇哪種類型的VLAN

85、。</p><p>　?、薨从脩舳x、非用戶授權(quán)劃分VLAN</p><p>　　基于用戶定義、非用戶授權(quán)來劃分VLAN，是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò)，根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認證后才可以加入一個VLAN。</p><p>　?。?）VLAN的具體劃分方案

86、</p><p>　　根據(jù)ZH公司實際情況，本設(shè)計中采用了基于端口劃分VLAN。</p><p>　　按端口劃分方法，這是最常應(yīng)用的一種VLAN劃分方法，應(yīng)用也最為廣泛、最有效，目前絕大多數(shù)VLAN協(xié)議的交換機都提供這種VLAN配置方法。這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機的交換端口來劃分的，它是將VLAN交換機上的物理端口和VLAN交換機內(nèi)部的永久虛電路端口分成若干個組，每個組構(gòu)成一

87、個虛擬網(wǎng)，相當于一個獨立的VLAN交換機。</p><p>　　該設(shè)計的方案是：企業(yè)的用戶主要分布于八個部分：1、信息中心：（15人）2、財務(wù)部：（20人）3、行政部：（20人）4、生產(chǎn)部：（200人）5、業(yè)務(wù)部（80人）6、人力資源部：（10人）7、研發(fā)部：（30人）8、企劃部：(10人) 。主要對這八個部分用戶單獨劃分VLAN，以確保相應(yīng)部門網(wǎng)絡(luò)資源不被盜用或破壞。</p><p>　

88、　對于不同部門需要互訪時，可通過路由器轉(zhuǎn)發(fā)，并配合基于MAC地址的端口過濾。對某站點的訪問路徑上最靠近該站點的交換機、路由交換機或路由器的相應(yīng)端口上，設(shè)定可通過的MAC地址集。這樣就可以防止非法入侵者從內(nèi)部盜用IP地址從其他可接入點入侵的可能。</p><p>　　這種劃分的方法的優(yōu)點是定義VLAN成員時非常簡單，只要將所有的端口構(gòu)成一個虛擬網(wǎng)，相當于一個獨立的VLAN交換機?，F(xiàn)為了公司相應(yīng)部分網(wǎng)絡(luò)資源的安全性需

89、要，特別是對于像財務(wù)部、研發(fā)部、信息中心、企劃部等這樣的敏感部門，其網(wǎng)絡(luò)上的信息不想讓太多的人可以隨便進出，于是采用VLAN的方法來解決以上問題。在公司內(nèi)部網(wǎng)絡(luò)中劃分VLAN，有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、限制不同工作組間的用戶互訪，提高網(wǎng)絡(luò)的安全性。</p><p><b>　　(4)IP地址分配</b></p><p>　　計算機的 IP地址也分成兩

90、部分.分別為網(wǎng)絡(luò)標識和主機標識。同一個物理網(wǎng)絡(luò)上的所有主機都用同一個網(wǎng)絡(luò)標識。網(wǎng)絡(luò)上的一個主機(包括網(wǎng)絡(luò)上工作站，服務(wù)器和路由器等)都有一個主機標識與其對應(yīng)。IP地址的4個字節(jié)劃分為2個部分，一部分用以標明具體的網(wǎng)絡(luò)段.即網(wǎng)絡(luò)標識，另一部分用以標明具體的節(jié)點，即主機標識，也就是說某個網(wǎng)絡(luò)中的特定的計算機號碼.。由于網(wǎng)絡(luò)中包含的計算機有可能不一樣多，有的網(wǎng)絡(luò)可能含有較多的計算機.也有的網(wǎng)絡(luò)包含較少的計算機。于是人們按照網(wǎng)絡(luò)規(guī)模的大小，把3

91、2位地址信息設(shè)成三種定位的劃分方式。</p><p>　　對A類B類C類IP地址主要說明如下：</p><p><b>　　①A類IP地址 </b></p><p>　　一個A類IP地址是指.在IP地址的四段號碼中。第一段號碼為網(wǎng)絡(luò)號碼，剩下的三段號碼為本地計算機的號碼，如果用二進制表示IP地址的話，A類IP地址就由1字節(jié)的網(wǎng)絡(luò)地址和3字節(jié)主機

92、地址組成.網(wǎng)絡(luò)地址的最高位必須是0。A類IP地址中網(wǎng)絡(luò)的標識長度為7位.主機標識的長度為24位，A類網(wǎng)絡(luò)地址數(shù)量較少，可以用于主機數(shù)達1600多萬臺的大型網(wǎng)絡(luò)。 ②B類IP地址</p><p>　　一個B類IP地址的四段號碼中,前兩段號碼為網(wǎng)絡(luò)號碼，B類IP地址就由2字節(jié)的網(wǎng)絡(luò)地址和2字節(jié)主機地址組成，網(wǎng)絡(luò)地址的最高位必須是10。B類IP地址中網(wǎng)絡(luò)的標識長度為14位，主機標識的長度為16位，B類網(wǎng)絡(luò)地址適

93、用于中等規(guī)模規(guī)模的網(wǎng)絡(luò)，每個網(wǎng)絡(luò)所能容納的計算機數(shù)為6萬多臺。</p><p><b>　?、跜類IP地址 </b></p><p>　　一個C類IP地址是指在IP地址的四段號碼中，前三段號碼為網(wǎng)絡(luò)號碼.剩下的一段號碼為本地計算機的號碼，如果用二進制表示IP地址的話，C類IP地址就由3字節(jié)的網(wǎng)絡(luò)地址和1字節(jié)主機地址組成，網(wǎng)絡(luò)地址的最高位必須是110。C類IP地址中網(wǎng)絡(luò)

94、的標識長度為21位，主機標識的長度為8位，C類網(wǎng)絡(luò)地址數(shù)量較多，適用于小規(guī)模的局域網(wǎng)絡(luò)，每個網(wǎng)絡(luò)最多只能包含254臺計算機。</p><p>　　IP地址分配見下表及附錄C：</p><p>　　表3-1外部服務(wù)器IP規(guī)劃</p><p>　　表3-2 內(nèi)部服務(wù)器IP規(guī)劃 </p><p>　　表3-3 VLAN的劃分</p>

95、<p>　　子公司3、4、5、6、以及北京、廣州公司的VLAN劃分見附錄C</p><p>　　3.6 網(wǎng)絡(luò)隔離設(shè)計</p><p>　?。?）網(wǎng)絡(luò)隔離設(shè)計概述</p><p>　　現(xiàn)在人們在享受互聯(lián)網(wǎng)所帶來的豐富、便捷的信息同時，也日益感受到頻繁的網(wǎng)絡(luò)攻擊、病毒泛濫、非授權(quán)訪問、信息泄密等問題所帶來的困擾。傳統(tǒng)的安全產(chǎn)品可以以不同的方式滿足我們保護數(shù)據(jù)

96、和網(wǎng)絡(luò)安全的需要，但不可能完全解決網(wǎng)絡(luò)間信息的安全交換問題，因為各種安全技術(shù)都有其局限性。為保護重要內(nèi)部系統(tǒng)的安全，必須實行物理隔離。物理隔離卡是物理隔離的低級實現(xiàn)形式，一個物理隔離卡只能管一臺個人計算機，需要對每臺計算機進行配置，每次切換都需要開關(guān)機一次，極為不便。雙硬盤的硬件平臺管理很繁瑣，也會使得整個網(wǎng)絡(luò)的架設(shè)和維護費用顯著升高。</p><p>　　所謂物理隔離，是指內(nèi)部網(wǎng)不得直接或間接地連接公共網(wǎng)即國際

97、互聯(lián)網(wǎng)。眾所周知，國際互聯(lián)網(wǎng)是國際化、開放和互聯(lián)為特點的，而安全度和開放度永遠是一對矛盾。雖然目前可以利用防火墻、代理服務(wù)器、入侵監(jiān)測等技術(shù)手段來抵御來自互聯(lián)網(wǎng)的非法入侵，但至今這些技術(shù)手段都還存在許多漏洞，還不能徹底保證內(nèi)網(wǎng)信息的絕對安全，只有使內(nèi)部網(wǎng)和公共網(wǎng)實現(xiàn)物理隔離，才能真正保證黨政機關(guān)的內(nèi)部信息網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的黑客攻擊。此外，物理隔離也為企業(yè)內(nèi)部網(wǎng)劃定了明確的安全邊界，使得網(wǎng)絡(luò)的可控性增強，便于內(nèi)部管理。 </p&g

98、t;<p>　?。?）安全隔離網(wǎng)閘技術(shù)原理</p><p>　　隔離網(wǎng)閘是一種由專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，能夠在物理隔離的網(wǎng)絡(luò)之間進行適度的安全數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。</p><p>　　網(wǎng)閘的基本原理是：切斷網(wǎng)絡(luò)之間的通用協(xié)議連接；將數(shù)據(jù)包進行分解或重組為靜態(tài)數(shù)據(jù)；對靜態(tài)數(shù)據(jù)進行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和代碼掃描等；確認后的安全數(shù)據(jù)流入內(nèi)部單元；內(nèi)部用戶

99、通過嚴格的身份認證機制獲取所需數(shù)據(jù)。</p><p>　　當用戶的網(wǎng)絡(luò)需要保證高強度的安全，同時又與其它不信任網(wǎng)絡(luò)進行信息交換的情況下，如果采用物理隔離卡，信息交換的需求將無法滿足，如果采用防火墻，則無法防止內(nèi)部信息泄漏和外部病毒、黑客程序的滲入，安全性無法保證。在這種情況下，隔離網(wǎng)閘能夠同時滿足這兩個要求，又避免了物理隔離卡和防火墻的不足之處，是物理隔離網(wǎng)絡(luò)之間數(shù)據(jù)交換的最佳選擇。</p><

100、;p>　　隔離網(wǎng)閘與防火墻有以下幾點不同：</p><p>　　①隔離網(wǎng)閘采用雙主機系統(tǒng)，內(nèi)端機與需要保護的內(nèi)部網(wǎng)絡(luò)連接，外端機與外網(wǎng)連接。這種雙系統(tǒng)模式徹底將內(nèi)網(wǎng)保護起來，即使外網(wǎng)被黑客攻擊，甚至癱瘓，也無法對內(nèi)網(wǎng)造成傷害，防火墻是單主機系統(tǒng)。 ②隔離網(wǎng)閘采用自身定義的私有通訊協(xié)議，避免了通用協(xié)議存在的漏洞，防火墻采用通用通訊協(xié)議即TCP/IP協(xié)議。 ③隔離網(wǎng)閘采用專用硬件控制技術(shù)保證內(nèi)外

101、網(wǎng)之間沒有實時連接，而防火墻必須保證實時連接。 ④隔離網(wǎng)閘對外網(wǎng)的任何響應(yīng)都保證是內(nèi)網(wǎng)合法用戶發(fā)出的請求應(yīng)答，即被動響應(yīng)，而防火墻則不會對外網(wǎng)響應(yīng)進行判斷，也即主動響應(yīng)。這樣，網(wǎng)閘就避免了木馬和黑客的攻擊。</p><p>　　(3)網(wǎng)絡(luò)隔離設(shè)計方案</p><p>　　我們應(yīng)選用專用硬件和模塊化的工作組件設(shè)計，集成安全隔離、實時信息交換、協(xié)議分析、內(nèi)容檢測、訪問控制，安全決策等多

102、種安全功能為一體，適合部署于不同安全等級的網(wǎng)絡(luò)間，在實現(xiàn)多個網(wǎng)絡(luò)安全隔離的同時，實現(xiàn)高速的、安全的數(shù)據(jù)交換，提供可靠的信息交換服務(wù)。其內(nèi)部包括3個模塊，即外網(wǎng)主機模塊、內(nèi)網(wǎng)主機模塊和隔離交換模塊。內(nèi)、外網(wǎng)主機模塊具有獨立運算單元和存儲單元，分別連接可信及不可信網(wǎng)絡(luò)，對訪問請求進行預(yù)處理，以實現(xiàn)安全應(yīng)用數(shù)據(jù)的剝離。隔離交換模塊采用專用的雙通道隔離交換卡實現(xiàn)，通過內(nèi)嵌的安全芯片完成內(nèi)外網(wǎng)主機模塊間安全的數(shù)據(jù)交換。隔離交換模塊固化控制邏輯，與

103、內(nèi)外網(wǎng)模塊間只存在內(nèi)存緩沖區(qū)的讀寫操作，沒有任何網(wǎng)絡(luò)協(xié)議和數(shù)據(jù)包的轉(zhuǎn)發(fā)。隔離模塊中的交換卡內(nèi)嵌安全芯片，采用高速全雙工流水線設(shè)計，內(nèi)部吞吐速率達2Gbps，完全可以滿足高速數(shù)據(jù)交換的需要。</p><p>　　(4)網(wǎng)絡(luò)安全隔離優(yōu)點：</p><p>　　①轉(zhuǎn)換便捷當兩種狀態(tài)轉(zhuǎn)換時，是通過鼠標點擊操作系統(tǒng)上的切換鍵，即進入一個熱啟動過程，切換時，系統(tǒng)通過硬件重啟信號重新啟動，這樣，PC的

104、內(nèi)存所有數(shù)據(jù)被消除，兩個狀態(tài)分別是有獨立的操作系統(tǒng)，并獨立導入，兩個硬盤分區(qū)不會同時激活。</p><p>　　②數(shù)據(jù)交換為了安全的保證，兩個分區(qū)不能直接交換數(shù)據(jù)，但是用戶可以通過我們的一個獨特的設(shè)計，來安全方便地實現(xiàn)數(shù)據(jù)交換，即在兩個分區(qū)以外，網(wǎng)絡(luò)安全隔離在硬盤上另外設(shè)置了一個功能區(qū)，功能區(qū)在PC處于不同的狀態(tài)下轉(zhuǎn)換，即在兩個狀態(tài)下，功能區(qū)均表現(xiàn)為硬盤的D盤，各個分區(qū)可以通過功能區(qū)作為一個過渡區(qū)來交換數(shù)據(jù)。當

105、然根據(jù)用戶需要，也可創(chuàng)建單向的安全通道，即數(shù)據(jù)只能從公共區(qū)向安全區(qū)轉(zhuǎn)移，但不能逆向轉(zhuǎn)移，從而保證安全區(qū)的數(shù)據(jù)安全。</p><p>　　③安全區(qū)控制基于安全威脅來自內(nèi)外兩方面的關(guān)系，即除了外來的黑客攻擊、病毒發(fā)布以外，系統(tǒng)內(nèi)部有意或無意的泄密，也是必須防止的威脅。因此，網(wǎng)絡(luò)安全隔離卡可以對安全區(qū)作只讀控制，即可禁止內(nèi)部使用者以軟驅(qū)、光驅(qū)復制數(shù)據(jù)或纂改安全區(qū)的數(shù)據(jù)。本方案網(wǎng)絡(luò)隔離結(jié)構(gòu)圖見下圖3-7：</p&

106、gt;<p>　　圖3-7 網(wǎng)絡(luò)隔離結(jié)構(gòu)圖</p><p>　　ZH公司內(nèi)網(wǎng)與外網(wǎng)之間使用隔離網(wǎng)閘連接，它們的數(shù)據(jù)交換過程如下：當內(nèi)網(wǎng)與外網(wǎng)之間無數(shù)據(jù)交換時，隔離網(wǎng)閘與內(nèi)網(wǎng)，隔離網(wǎng)閘與外網(wǎng)，內(nèi)網(wǎng)與外網(wǎng)是完全斷開的，即是三者之間不存在物理連接和邏輯連接，當內(nèi)網(wǎng)數(shù)據(jù)需要傳輸?shù)酵饩W(wǎng)時，首先隔離交換模塊發(fā)起對外內(nèi)網(wǎng)網(wǎng)非TCP/IP的數(shù)據(jù)連接請求，然后內(nèi)網(wǎng)主機模塊會依據(jù)安全策略對訪問請求進行預(yù)處理，判斷是否符

107、合訪問控制策略，并依據(jù)RFC或定制策略對數(shù)據(jù)包進行應(yīng)用層協(xié)議檢查和內(nèi)容過濾，檢驗其有效載荷的合法性和安全性。一旦數(shù)據(jù)包通過了安全檢查，內(nèi)網(wǎng)主機模塊會對數(shù)據(jù)包進行格式化，將每個合法數(shù)據(jù)包的傳輸信息和傳輸數(shù)據(jù)分別轉(zhuǎn)換成專有格式數(shù)據(jù)，存放在緩沖區(qū)等待被隔離交換模塊處理。再使用隔離交換模塊把存放在內(nèi)網(wǎng)主機緩沖區(qū)的數(shù)據(jù)寫進隔離交換模塊的隔離卡中。由于隔離交換子系統(tǒng)采用互斥機制，在讀寫一端主機模塊的數(shù)據(jù)前先中止對另一端的操作，確保隔離交換系統(tǒng)不會同