企業(yè)網(wǎng)規(guī)劃與設(shè)計畢業(yè)論文

1、<p>　　韓 山 師 范 學(xué) 院</p><p>　　學(xué) 生 畢 業(yè) 論 文</p><p><b>　?。?2011 屆）</b></p><p>　　韓山師范學(xué)院教務(wù)處制</p><p><b>　　誠 信 聲 明</b></p><p>　　我聲明，所呈交的

2、畢業(yè)論文是本人在老師指導(dǎo)下進(jìn)行的研究工作及取得的研究成果。據(jù)我查證，除了文中特別加以標(biāo)注和致謝的地方外，論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果，我承諾，論文中的所有內(nèi)容均真實、可信。</p><p>　　畢業(yè)論文作者簽名： 簽名日期： 年 月 日</p><p>　　摘要：大型企業(yè)的計算機(jī)企業(yè)網(wǎng)建設(shè)不僅僅是一項技術(shù)工程，更是一項系統(tǒng)工程。我們在運用先進(jìn)

3、計算機(jī)技術(shù)的同時，必須深入分析企業(yè)的內(nèi)部管理制度，了解經(jīng)營目標(biāo)，同時根據(jù)大型企業(yè)生產(chǎn)經(jīng)營的自身特點，以發(fā)展的眼光規(guī)劃計算機(jī)企業(yè)網(wǎng)。只有這樣，我們才能建設(shè)一個使用、高效的有企業(yè)特色的計算機(jī)企業(yè)網(wǎng)。本文從課題的相關(guān)背景入手，首先詳細(xì)的闡述了企業(yè)級網(wǎng)絡(luò)的實際需求，然后重點的研究了企業(yè)級網(wǎng)絡(luò)的設(shè)計方案。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)層次化；虛擬局域網(wǎng)；控制訪問列表；防火墻</p><p>　　

4、Abstract: large enterprise computer enterprise nets construction is not only a technical engineering, which is a system engineering. We are using advanced computer technology at the same time, must in-depth analysis of t

5、he internal management system, enterprise management targets, and understanding according to large enterprise production and management with its own characteristics, the development of computer enterprise nets. Eyes plan

6、ning Only in this way can we build a use, efficient have ent</p><p>　　Keywords: Hierarchical Network; Vlan; Acl;Firewall </p><p><b>　　目錄</b></p><p><b>　　1 課題背景1&l

7、t;/b></p><p>　　2企業(yè)級網(wǎng)絡(luò)的需求分析2</p><p>　　2.1 設(shè)計背景2</p><p>　　2.2 設(shè)計目標(biāo)2</p><p>　　2.3 用戶需求分析2</p><p>　　2.4 企業(yè)網(wǎng)絡(luò)總體需求2</p><p>　　3 企業(yè)網(wǎng)絡(luò)整體設(shè)計4<

8、;/p><p>　　3.1 網(wǎng)絡(luò)拓?fù)?</p><p>　　3.2網(wǎng)絡(luò)層次化設(shè)計4</p><p>　　3.3內(nèi)部網(wǎng)絡(luò)連接外部網(wǎng)絡(luò)解決方案7</p><p>　　3.4 內(nèi)部局域網(wǎng)通信解決方案7</p><p>　　3.5 網(wǎng)絡(luò)邊界安全設(shè)計8</p><p>　　4 企業(yè)網(wǎng)絡(luò)總體規(guī)劃10

9、</p><p>　　4.1 路由協(xié)議選擇10</p><p>　　4.2 IP地址規(guī)劃10</p><p>　　4.3 VLAN設(shè)計10</p><p>　　4.4 服務(wù)器群組11</p><p><b>　　5 安全策略13</b></p><p>　　5

10、.1 網(wǎng)絡(luò)威脅因素分析13</p><p>　　5.2安全要求13</p><p>　　5.3 安全策略部署13</p><p><b>　　6 結(jié)束語16</b></p><p><b>　　參考文獻(xiàn)17</b></p><p><b>　　致謝18&

11、lt;/b></p><p><b>　　企業(yè)網(wǎng)規(guī)劃與設(shè)計</b></p><p><b>　　1 課題背景</b></p><p>　　信息化浪潮風(fēng)起云涌的今天，以計算機(jī)Internet/Intranet網(wǎng)絡(luò)為代表的信息技術(shù)的高度發(fā)展已經(jīng)影響到社會的各個角落，網(wǎng)絡(luò)已成為傳遞信息和進(jìn)行交流的有效紐帶和橋梁，Inter

12、tnet網(wǎng)絡(luò)即時給人們提出了新的生活和工作方式，信息技術(shù)已引起了全面而深刻的社會變革。</p><p>　　當(dāng)前，企業(yè)的業(yè)務(wù)已經(jīng)全面電子化，與Internet的聯(lián)系相當(dāng)緊密，所以他們需要良好的信息平臺去支持業(yè)務(wù)的高速發(fā)展。沒有信息技術(shù)背景的企業(yè)也將會對網(wǎng)絡(luò)建設(shè)有主動訴求。任何決策的科學(xué)性和可靠性都是以信息為基礎(chǔ)的，信息和決策是同一管理過程中的兩個方面，因此行業(yè)信息化也就成了人們所討論并實踐著的重要課題。一個企業(yè)為

13、了能跟上時代的步伐在競爭處于不敗之地，組建一個屬于自己的局域網(wǎng)勢在必行。企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提升企業(yè)核心競爭力的關(guān)鍵因素。企業(yè)網(wǎng)已經(jīng)越來越多地被人們提及，利用網(wǎng)絡(luò)技術(shù)，現(xiàn)代企業(yè)可以在客戶、合作伙伴、員工之間實現(xiàn)優(yōu)化的信息溝通，企業(yè)網(wǎng)絡(luò)的優(yōu)劣直接關(guān)系到企業(yè)能否獲得關(guān)鍵的競爭優(yōu)勢。眾多行業(yè)巨擘紛紛上馬，各種應(yīng)用方案且取得了巨大的成功，這使信息化建設(shè)更具吸引力。</p><p>　　信息技術(shù)自誕生之日起，就對證券

14、行業(yè)產(chǎn)生了深遠(yuǎn)的影響，尤其是在上世紀(jì)90年代以來，隨著金融服務(wù)業(yè)全球化和競爭日益劇烈，促使證券企業(yè)加快運用各種新的信息技術(shù)手段來提高企業(yè)管理水平，可以說金融業(yè)已經(jīng)成為信息技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展的最大收益者之一。網(wǎng)絡(luò)技術(shù)的發(fā)展，讓網(wǎng)上交易迅速普及，網(wǎng)上交易有助于證券企業(yè)提高工作效率，降低出錯率，也方便證券企業(yè)對客戶的管理。雖然大多數(shù)企業(yè)已經(jīng)把互聯(lián)網(wǎng)戰(zhàn)略納入企業(yè)經(jīng)營發(fā)展戰(zhàn)略中，但是網(wǎng)絡(luò)黑客攻擊、計算機(jī)病毒干擾、數(shù)據(jù)傳輸過程中的泄露等不安全因素，

15、仍然讓很多企業(yè)對企業(yè)網(wǎng)絡(luò)化猶豫不定。</p><p>　　證券企業(yè)的特點是數(shù)據(jù)傳輸量大，且數(shù)據(jù)機(jī)密度高，所以證券企業(yè)網(wǎng)絡(luò)就要求高效、穩(wěn)定和安全，合理的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計性能至關(guān)重要。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長，分布式的網(wǎng)絡(luò)服務(wù)和交換已經(jīng)移至用戶級，由此形成了一個新的，更適應(yīng)現(xiàn)代的高速大型網(wǎng)絡(luò)分層設(shè)計模型“多層次設(shè)計”。多層次設(shè)計是模塊化的，它在日后網(wǎng)絡(luò)擴(kuò)展、負(fù)載均衡，故障排除方面很有效。而現(xiàn)在強(qiáng)大的防火墻

16、技術(shù)和各種各樣的安全策略被應(yīng)用到企業(yè)網(wǎng)絡(luò)中，安全得到了保障，那么網(wǎng)絡(luò)對于企業(yè)的發(fā)展就真正起到了推進(jìn)的作用，對提高員工的工作效率，改善工作環(huán)境，節(jié)約成本提高社會競爭實力，實現(xiàn)企業(yè)整體優(yōu)化，提高企業(yè)市場快速反應(yīng)能力和競爭力，最終提高企業(yè)經(jīng)濟(jì)效益，都有著直接的影響和意義。</p><p>　　2企業(yè)級網(wǎng)絡(luò)的需求分析</p><p><b>　　2.1 設(shè)計背景</b><

17、;/p><p>　　XX證券是一家剛剛成立的證券公司，公司有資產(chǎn)管理部、財務(wù)部、人力資源部、后勤部、經(jīng)理室（管理部門）和營業(yè)部6個部門，6個部門分布在兩個樓層。日后公司在外地還要開設(shè)分支機(jī)構(gòu)，而這里作為公司總部，中心機(jī)房也設(shè)在此處。公司的網(wǎng)絡(luò)系統(tǒng)要滿足公司日常辦公電子化，各部門信息共享，日常證券交易，且作為證券公司，某些投資機(jī)密需要很高的保密度，所以公司網(wǎng)絡(luò)要有很高的可靠性和安全性?？紤]日后公司的擴(kuò)張，所以網(wǎng)絡(luò)系統(tǒng)要

18、有比較好的可擴(kuò)展性。</p><p><b>　　2.2 設(shè)計目標(biāo)</b></p><p>　　設(shè)計一個公司的網(wǎng)絡(luò)，首先要確定用戶對網(wǎng)絡(luò)的真正需求，并在結(jié)合未來可能的發(fā)展要求的基礎(chǔ)上選擇、設(shè)計合適的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，提供用戶滿意的高質(zhì)服務(wù)[1]。還要注意到由于邏輯上業(yè)務(wù)網(wǎng)和管理網(wǎng)必須分開，所以建成后企業(yè)網(wǎng)應(yīng)能提供多個網(wǎng)段的劃分和隔離，做到靈活改變配置，以適應(yīng)企業(yè)辦公

19、環(huán)境的調(diào)整和變化、即VLAN的整體劃分。</p><p>　　考慮到證券行業(yè)數(shù)據(jù)的重要性、保密性，為了保證業(yè)務(wù)順利進(jìn)行和網(wǎng)絡(luò)的不間斷運行，網(wǎng)絡(luò)平臺應(yīng)具備以下特點：高可靠性、技術(shù)先進(jìn)性和實用性、高性能、標(biāo)準(zhǔn)開放性、靈活性及可擴(kuò)展性、可管理性、安全性。</p><p>　　2.3 用戶需求分析</p><p>　?。?）實現(xiàn)公司內(nèi)部資源共享，即文件服務(wù)器，但對不同的資源

20、要有相應(yīng)的權(quán)限。</p><p>　?。?）滿足公司日常證券交易，交易數(shù)據(jù)的傳輸和存儲。</p><p>　　（3）公司各部門可以通過即時通信軟件聯(lián)系，建立公司郵件服務(wù)器。</p><p><b>　?。?）打印機(jī)共享</b></p><p>　?。?）公司內(nèi)部要網(wǎng)絡(luò)接入Internet</p><p

21、>　?。?）架設(shè)公司web服務(wù)器，發(fā)布公司網(wǎng)站</p><p>　?。?）為保證安全，Internet與公司內(nèi)部網(wǎng)絡(luò)間應(yīng)采用防護(hù)措施，防止外界對內(nèi)部網(wǎng)絡(luò)未經(jīng)授權(quán)的訪問。</p><p>　　2.4 企業(yè)網(wǎng)絡(luò)總體需求</p><p>　　企業(yè)網(wǎng)絡(luò)系統(tǒng)是數(shù)據(jù)傳輸?shù)闹匾A(chǔ)設(shè)施，網(wǎng)絡(luò)的各個子系統(tǒng)都需構(gòu)筑在計算機(jī)網(wǎng)絡(luò)及通信的平臺上。根據(jù)用戶需求，大容量的數(shù)據(jù)交換主要集

22、中在網(wǎng)絡(luò)文件存取與打印服務(wù)以及OA辦公應(yīng)用。公司的計算機(jī)網(wǎng)絡(luò)中信息點數(shù)預(yù)計將達(dá)到1000個，并分布在不同的樓層車間等區(qū)域，每層每個車間都需要有高性能的接入設(shè)備，信息點數(shù)和相應(yīng)的通信應(yīng)用以后還將進(jìn)一步擴(kuò)充，新投入的核心網(wǎng)絡(luò)設(shè)備必須能滿足將來3-5年內(nèi)的數(shù)據(jù)傳輸處理的需求。</p><p><b>　　表1</b></p><p>　　公司網(wǎng)絡(luò)應(yīng)用需求匯總表</p&

23、gt;<p>　　對于網(wǎng)絡(luò)系統(tǒng)的設(shè)計，不僅要保證全部設(shè)備的高可用性，可管理性，還要有一個網(wǎng)絡(luò)管理系統(tǒng)，以滿足統(tǒng)一、集中管理及各部門各區(qū)域網(wǎng)絡(luò)通信安全的需求，使得安排最少的人力就可以保證網(wǎng)絡(luò)的日常維護(hù)，管理人員能夠通過單一網(wǎng)管平臺監(jiān)測和控制所有的網(wǎng)絡(luò)設(shè)備及端口。具體到公司網(wǎng)絡(luò)信息化建設(shè)的需求，分為以下分部分詳細(xì)討論，每部分將以實際情況為基礎(chǔ)以最優(yōu)的方案來滿足客戶需求。</p><p>　　2.4.1內(nèi)

24、部網(wǎng)絡(luò)對公網(wǎng)及外部共網(wǎng)隊內(nèi)部網(wǎng)絡(luò)服務(wù)器訪問的需求</p><p>　　從公司Internet應(yīng)用及應(yīng)用發(fā)展入手，分析目前及未來的Internet應(yīng)用，并根據(jù)這些應(yīng)用的自身特點，從帶寬需求、傳輸時延、傳輸?shù)目煽啃?、安全性等因素來分析，綜合考慮并總結(jié)出Internet應(yīng)用的發(fā)展需求[2]。</p><p>　　(1)Internet信息交流</p><p>　　(2)W

25、EB信息發(fā)布</p><p><b>　　(3)內(nèi)部電子郵件</b></p><p>　　(4)在內(nèi)部網(wǎng)絡(luò)和公網(wǎng)通信時的安全保密需求</p><p>　　2.4.2 內(nèi)部網(wǎng)絡(luò)對數(shù)據(jù)的高速安全穩(wěn)定處理傳輸?shù)男枨?lt;/p><p>　　公司內(nèi)部數(shù)據(jù)傳輸速度、優(yōu)先級、各種數(shù)據(jù)的隔離、是否可訪問等都需合理有效的規(guī)劃：</p&

26、gt;<p>　　(1)核心層網(wǎng)絡(luò)采用速率為1000Mbps的三層交換技術(shù)，作為網(wǎng)絡(luò)主干的支持，要求安全可靠。</p><p>　　(2)網(wǎng)絡(luò)各區(qū)域之間需要光纖互聯(lián)。</p><p>　　(3)防火墻與重要服務(wù)器之間良好互聯(lián)，可以在滿足公網(wǎng)對內(nèi)部網(wǎng)絡(luò)授權(quán)服務(wù)器的訪問需求的同時也可以讓來自于公網(wǎng)的攻擊不會威脅到公司內(nèi)部網(wǎng)絡(luò)的信心安全。</p><p>　

27、　(4)網(wǎng)絡(luò)核心層設(shè)備應(yīng)具有較高可靠性，核心設(shè)備支持熱插拔，并且應(yīng)當(dāng)具有容錯設(shè)計。</p><p>　　(5)網(wǎng)絡(luò)設(shè)備具有較好的擴(kuò)展性，系統(tǒng)能夠平滑升級及擴(kuò)充。</p><p>　　(6)采用國際標(biāo)準(zhǔn)TCP/IP協(xié)議。</p><p>　　(7)整個網(wǎng)絡(luò)的VLAN隔離，IP地址的統(tǒng)一規(guī)劃。</p><p>　　3 企業(yè)網(wǎng)絡(luò)整體設(shè)計</p

28、><p><b>　　3.1 網(wǎng)絡(luò)拓?fù)?lt;/b></p><p>　　由于公司總部網(wǎng)絡(luò)站點不多且相對集中，因此采用星型的網(wǎng)絡(luò)拓?fù)洹Ｔ谛切屯負(fù)渲欣弥醒牍?jié)點可方便地提供服務(wù)和重新配置網(wǎng)絡(luò)[3]。單個連接點故障只會影響故障點連接的設(shè)備，容易檢測隔離故障、便于維護(hù)。任何一個連接只涉及到中央結(jié)點和一個站點，控制介質(zhì)訪問的方法很簡單、從而訪問協(xié)議也十分簡單。</p>&

29、lt;p>　　網(wǎng)絡(luò)總體拓?fù)鋱D如圖2所示：</p><p>　　圖2 整體網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　3.2網(wǎng)絡(luò)層次化設(shè)計</p><p>　　多層次設(shè)計是模塊化的，網(wǎng)絡(luò)容量可隨日后網(wǎng)絡(luò)節(jié)點的增加而不斷增大。多層次網(wǎng)絡(luò)在運行和擴(kuò)展過程中進(jìn)行故障查找和排查較簡單，也能對網(wǎng)絡(luò)的故障進(jìn)行很好的隔離[4]。它保留著基于路由器和交換機(jī)的網(wǎng)絡(luò)尋址方案，對以往的網(wǎng)絡(luò)有很好

30、的兼容性。</p><p>　　針對實際情況，本設(shè)計采用三層的結(jié)構(gòu)模型，即核心層、分布層、接入層。核心層作為整個網(wǎng)絡(luò)系統(tǒng)的核心，主要功能是進(jìn)行高速、可靠的數(shù)據(jù)交換。分布層主要進(jìn)行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進(jìn)行訪問控制。接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑，主要進(jìn)行VLAN的劃分，實現(xiàn)與分布層的連接等。</p><p>　　3.2.1核心層設(shè)計</p><p>

31、;　　核心交換區(qū)的作用是盡快地提供所有的區(qū)域間的數(shù)據(jù)交換。推薦使用Quidway S6506R高端多業(yè)務(wù)路由交換機(jī)。本區(qū)的安全性可以由邊界防火墻提供，如有需要，可以再部署安全策略，使得本區(qū)的安全性進(jìn)一步增強(qiáng)。</p><p>　　3.2.2 匯聚層設(shè)計</p><p>　　匯聚層主要進(jìn)行接入層的數(shù)據(jù)流量匯聚，并對其進(jìn)行訪問控制。包括訪問控制列表、VLAN路由等等。推薦采用Quidway

32、 S6506R高端多業(yè)務(wù)路由交換機(jī)。</p><p>　　Quidway S6506R高端多業(yè)務(wù)路由交換機(jī)是華為公司面向IP城域網(wǎng)、大型企業(yè)網(wǎng)及園區(qū)網(wǎng)用戶開發(fā)的系列大容量、高密度、模塊化的二、三層線速以太網(wǎng)交換機(jī)產(chǎn)品，主要作為企業(yè)的核心交換機(jī)，城域網(wǎng)匯聚層交換機(jī)。</p><p>　　Quidway S6506R能夠為城域網(wǎng)、園區(qū)網(wǎng)、數(shù)據(jù)中心提供超高速鏈路，打造低成本、高性能、具有豐富業(yè)

33、務(wù)支持能力的高性能網(wǎng)絡(luò)。Quidway S6506R提供大容量、高密度、模塊化的二、三層線速轉(zhuǎn)發(fā)性能，同時具有豐富的業(yè)務(wù)功能、強(qiáng)大的QoS保障和NAT處理能力，以及完善的安全管理機(jī)制和電信級的高可靠設(shè)計，完全滿足行業(yè)客戶和運營商用戶對多業(yè)務(wù)、高可靠、大容量、模塊化的需求。產(chǎn)品特點：</p><p>　　Quidway S6506R高端多業(yè)務(wù)交換機(jī)的特點為：</p><p><b>

34、;　?。?）多種引擎</b></p><p>　　Salience III 96G（交換容量96Gbps）、Salience III 384G（交換容量384Gbps）、Salience III 768G（交換容量768Gbps）。</p><p><b>　?。?）多種線卡</b></p><p>　　支持百兆、千兆、萬兆各種類型

35、的以太網(wǎng)接口板、支持POE（Power OverEthernet）接口板、支持EPON（Ethernet Passive Optical Network）接口板；支持多種組合接口板；接口密度從每單板4口－每單板48口多種密度可選。</p><p><b>　　（3）多種業(yè)務(wù)</b></p><p>　　支持強(qiáng)大的組播功能、QinQ、靈活QinQ、802.1x、內(nèi)置DH

36、CP-SERVER、NAT、Netstream、PBR等多種業(yè)務(wù)特性，并支持MPLS、IPv6等業(yè)務(wù)的進(jìn)一步硬件升級擴(kuò)展。</p><p><b>　?。?）高速引擎</b></p><p>　　采用全分布式體系結(jié)構(gòu)設(shè)計，通過Crossbar技術(shù)進(jìn)行高速報文交換；Crossbar交換網(wǎng)芯片內(nèi)置于主控板，不再單獨占用設(shè)備槽位；支持高達(dá)768G交換容量。</p>

37、;<p>　　（5）分布式高速接口板</p><p>　　支持每板48端口千兆、每板1/2/4端口萬兆等系列化“XG”型高速接口板，實現(xiàn)板內(nèi)、板間二、三層流量的線速轉(zhuǎn)發(fā)；ACL、QOS、組播等基本業(yè)務(wù)全分布式處理。</p><p>　?。?）高密度萬兆接口</p><p>　　支持新一代萬兆以太網(wǎng)技術(shù)，在線速轉(zhuǎn)發(fā)的基礎(chǔ)上能夠提供強(qiáng)大的QOS保障，并支持

38、豐富的ACL、策略路由、安全等特性；支持高密度萬兆設(shè)計，每塊業(yè)務(wù)板可以提供1－4個萬兆接口。</p><p>　　（7）電信級的高可靠性</p><p>　　支持無源背板，支持雙路電源供電，支持引擎、電源、風(fēng)扇的冗余，支持單板熱插拔；并可以支持STP/RSTP/MSTP/VRRP/RRPP等協(xié)議實現(xiàn)鏈路冗余。</p><p>　　（8）完善的安全特性</p&g

39、t;<p>　　遵從最小服務(wù)原則，所有可能遭受到攻擊的網(wǎng)絡(luò)服務(wù)在默認(rèn)情況下均關(guān)閉；支持安全的SSH登陸、基于用戶安全策略的SNMP V3、MAC+IP+VLAN綁定、802.1X認(rèn)證等安全策略；支持防網(wǎng)絡(luò)風(fēng)暴攻擊、防DOS/DDOS攻擊、防掃描窺探攻擊、防畸形報文攻擊、防網(wǎng)絡(luò)協(xié)議報文攻擊等安全技術(shù)。</p><p>　?。?）高度的靈活適用性</p><p>　　支持業(yè)務(wù)深度

40、感知，資源動態(tài)調(diào)配技術(shù)，支持ACL/VLAN的動態(tài)策略下發(fā)；系列化設(shè)計，支持從接入到核心的靈活組網(wǎng)能力；內(nèi)置EPON、POE、NAT、Netstream、DHCP SERVER等多種業(yè)務(wù)特性。</p><p>　?。?0）人性化的運營維護(hù)特性</p><p>　　支持集群管理，可以對網(wǎng)元進(jìn)行批量配置和批量升級；支持拓?fù)涔芾?、可視化圖形界面、智能化性能監(jiān)控、告警管理等功能；</p>

41、;<p>　　3.2.3 接入層設(shè)計</p><p>　　接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。主要是進(jìn)行VLAN劃分與分布層的連接等。建議采用Quidway S2403H-HI智能接入交換機(jī)。</p><p>　　S2403H-HI智能接入以太網(wǎng)交換機(jī)是華為公司推出的二層線速智能型可網(wǎng)管以太網(wǎng)交換機(jī)產(chǎn)品，采用高性能的ASIC實現(xiàn)線速流量交換，具備靈活的帶寬分配粒度、安全的

42、接入控制機(jī)制，以及完善的用戶管理能力，是三網(wǎng)合一寬帶城域網(wǎng)小區(qū)接入的理想產(chǎn)品。產(chǎn)品特點：</p><p>　　（1）全線速的二層交換</p><p>　　S2403H-HI總線帶寬高達(dá)19.2Gbps，可為所有端口提供二層線速交換能力，確保所有端口無阻塞的報文轉(zhuǎn)發(fā)?！?lt;/p><p>　　（2）完備的安全智能控制策略</p><p>　　S2

43、403H-HI支持802.1x認(rèn)證，在用戶接入網(wǎng)絡(luò)時完成必要的身份認(rèn)證，支持用戶綁定、廣播風(fēng)暴抑制功能，保證接入用戶的合法性，通過控制用戶的接入速率，防止惡意侵占網(wǎng)絡(luò)帶寬，有效的利用網(wǎng)絡(luò)資源?！?lt;/p><p>　?。?）組網(wǎng)靈活，支持EPON上行模塊</p><p>　　S2403H-HI支持EPON上行模塊，能作為FTTB方案中樓道接入交換機(jī)。</p><p>

44、　　（4）豐富的QOS策略</p><p>　　S2403H-HI支持每個端口4個輸出隊列，支持2種隊列調(diào)度算法：WRR調(diào)度算法和HQ+WRR調(diào)度算法。支持端口限速功能，控制粒度最小為64 Kbps?！?lt;/p><p><b>　?。?）高可靠性</b></p><p>　　S2403H-HI不僅支持STP/RSTP生成樹協(xié)議，還可以提供基于多

45、VLAN的生成樹MSTP，極大提高了鏈路的冗余備份，提高容錯能力，保證網(wǎng)絡(luò)的穩(wěn)定運行?！?lt;/p><p><b>　?。?）良好的擴(kuò)展性</b></p><p>　　S2403H-HI提供8/16/24口的規(guī)格，同時提供良好的堆疊功能，通過增加設(shè)備來擴(kuò)展端口數(shù)量和交換能力，多臺設(shè)備之間的互相備份增強(qiáng)了設(shè)備的可靠性，從而保證了網(wǎng)絡(luò)的平滑升級并能降低擴(kuò)建成本；同時對多臺設(shè)

46、備統(tǒng)一管理，降低了管理成本?！?lt;/p><p>　　（7）低功耗靜音設(shè)計</p><p>　　S2403H-HI具備低功耗和工作環(huán)境溫度適應(yīng)強(qiáng)的特點，采用無風(fēng)扇靜音設(shè)計，徹底免除噪音，特別適合在樓道和辦公室使用?！?lt;/p><p>　?。?）靈活的遠(yuǎn)程維護(hù)和豐富的管理方式</p><p>　　S2403H-HI系列支持RSPAN遠(yuǎn)程端口鏡像，

47、突破傳統(tǒng)鏡像端口和被鏡像端口必需同設(shè)備的限制；支持VCT虛電路檢測，能快速報告鏈路故障情況。支持FTP、TFTP實現(xiàn)設(shè)備的遠(yuǎn)程升級，支持SNMP v1/v2/v3，支持Open View等通用網(wǎng)管平臺以及iManager DMS網(wǎng)管系統(tǒng)配置和管理。支持HGMP集群管理系統(tǒng)和故障診斷，實現(xiàn)了設(shè)備的集中管理和維護(hù)。支持CLI命令行、TELNET、WEB網(wǎng)管。</p><p>　　3.3內(nèi)部網(wǎng)絡(luò)連接外部網(wǎng)絡(luò)解決方案&l

48、t;/p><p>　　為了保護(hù)公司內(nèi)部網(wǎng)絡(luò)的安全，在公網(wǎng)和內(nèi)網(wǎng)連接處配置一臺華為EUDEMON300防火墻，Quidway Eudemon 300是華為公司推出的基于網(wǎng)絡(luò)處理器NP技術(shù)的硬件高速狀態(tài)防火墻，采用先進(jìn)的動態(tài)檢測技術(shù)（ASPF），具備電信級高性能和高可靠性，為用戶網(wǎng)絡(luò)提供無與倫比的安全保護(hù)，同時還具備強(qiáng)大的虛擬專用網(wǎng)（VPN）功能、地址轉(zhuǎn)換（NAT）功能以及P2P業(yè)務(wù)控制與帶寬管理功能，普遍適用于大、中型

49、企業(yè)及其分支機(jī)構(gòu)。華為EUDEMON300防火墻是安全解決方案的理想選擇，作為業(yè)界領(lǐng)先的華為EUDEMON防火墻系列的一部分，它可以為今天的網(wǎng)絡(luò)用戶提供無以倫比的安全性、可靠性和性能，確保文廣內(nèi)部網(wǎng)絡(luò)不受任何來自外部公網(wǎng)的入侵。</p><p>　　同時，防火墻能在公司內(nèi)部網(wǎng)絡(luò)和外部公網(wǎng)之間提供一相對隔離的區(qū)域作為服務(wù)器專用區(qū)域，是公司服務(wù)器即滿足外部客戶的訪問需求有使這種需求不能威脅到內(nèi)部網(wǎng)絡(luò)的信息安全。<

50、;/p><p>　　3.4 內(nèi)部局域網(wǎng)通信解決方案</p><p>　　對于網(wǎng)段的劃分本設(shè)計主要是利用VLAN二層網(wǎng)段隔離技術(shù)實現(xiàn)各部門各科室的數(shù)據(jù)通信及數(shù)據(jù)隔離，虛擬網(wǎng)技術(shù)把傳統(tǒng)的廣播域按需要分割成各個獨立的子廣播域，將廣播限制在虛擬工作組中，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高[5]。</p><p>　　VLAN的劃分

51、原則基本是按部門、科室、業(yè)務(wù)種類來劃分，如財務(wù)是一個獨立的VLAN，只有被授權(quán)的人才能訪問這個網(wǎng)段，如果客戶有特殊要求需要劃分一些特殊的網(wǎng)段以適用業(yè)務(wù)隔離的需要，VLAN技術(shù)也可以滿足客戶的需求。核心層配置2臺高性能的華為S6506R千兆多層骨干交換機(jī)，作為整個網(wǎng)絡(luò)中心的核心平臺，華為S6506R千兆多層骨干交換機(jī)提供高密度的光服務(wù)模塊和以太網(wǎng)服務(wù)模塊，并連接各層接入層交換機(jī)；華為S6506R支持雙電源、雙引擎冗余，提供L3高速接入服務(wù)

52、，用于連接各服務(wù)器、分布層交換機(jī)S2403H、網(wǎng)管工作站等。</p><p>　　各信息點區(qū)域接入訪問層根據(jù)信息點數(shù)量配置多臺華為S2403H24口交換機(jī)作為匯聚和接入層設(shè)備，通過多條單模光纖鏈路分別與網(wǎng)絡(luò)中心華為S6506R的千兆端口連接，在滿足其現(xiàn)有需求和預(yù)期擴(kuò)展的前提下最大限度的保護(hù)投資。</p><p>　　3.5 網(wǎng)絡(luò)邊界安全設(shè)計——深信服SINFOR UTM M5400-AC&

53、lt;/p><p>　　SINFOR UTM安全網(wǎng)關(guān)是集防火墻、IPS、網(wǎng)關(guān)殺毒、VPN、內(nèi)網(wǎng)安全管理、訪問控制、審計和反垃圾郵件等多種安全功能為一體的All-In-One安全網(wǎng)關(guān)。作為深信服科技領(lǐng)先的一體化網(wǎng)絡(luò)安全解決方案，SINFOR UTM安全網(wǎng)關(guān)主要功能如下：</p><p>　?。?）強(qiáng)大的VPN、防火墻功能</p><p>　　SINFOR UTM安全網(wǎng)關(guān)擁

54、有強(qiáng)大的VPN模塊和基于狀態(tài)檢測的防火墻模塊。VPN功能具有SINFOR IPSec VPN產(chǎn)品的全部特性，集成了深信服科技WebAgent動態(tài)IP尋址、HARDCA硬件鑒權(quán)和身份識別、多線路綁定、即插即用的移動客戶端等發(fā)明專利技術(shù)，并具有高速數(shù)據(jù)流壓縮、細(xì)致的QOS和內(nèi)網(wǎng)權(quán)限設(shè)定等功能。此外SINFOR UTM安全網(wǎng)關(guān)集成了企業(yè)級的狀態(tài)檢測防火墻，除了擁有專業(yè)防火墻所具備的基本功能如：管理員權(quán)限分級、URL過濾、NAT功能、訪問監(jiān)控、

55、上網(wǎng)控制、用戶認(rèn)證、流量控制、QOS、DHCP服務(wù)、自動撥號等功能以外，內(nèi)置了高、中、低和自定義4個安全級別，用戶可以根據(jù)需要靈活配置。此外，SINFOR防火墻獨特的虛擬測試功能，為管理員創(chuàng)建了防火墻規(guī)則的虛擬測試環(huán)境。管理員通過可視化界面，對各種安全設(shè)置規(guī)則進(jìn)行測試，從而杜絕人為配置錯誤導(dǎo)致的安全漏洞。</p><p>　?。?）防DOS攻擊功能，有效防御內(nèi)外網(wǎng)的DOS攻擊</p><p&g

56、t;　　DOS攻擊（拒絕服務(wù)攻擊）給企業(yè)帶來的損失是巨大的，通常的防火墻只能防止來自外網(wǎng)的DOS攻擊，而無法防御來自企業(yè)內(nèi)部發(fā)起的DOS攻擊。SINFOR UTM安全網(wǎng)關(guān)不僅可以防御來自外網(wǎng)的DOS攻擊，而且對于內(nèi)網(wǎng)用戶發(fā)起的DOS攻擊，UTM安全網(wǎng)關(guān)也可以進(jìn)行防御。通過UTM安全網(wǎng)關(guān)豐富的日志系統(tǒng)，管理員可以根據(jù)內(nèi)網(wǎng)DOS攻擊日志，查找出企業(yè)內(nèi)網(wǎng)中了木馬、或者病毒的用戶，從而及時有效地阻斷由內(nèi)網(wǎng)發(fā)起的DOS攻擊，避免DOS攻擊造成的企

57、業(yè)網(wǎng)絡(luò)帶寬耗盡，或者因發(fā)起DOS攻擊可能產(chǎn)生的法律糾紛。</p><p>　?。?）IPS系統(tǒng)，保證網(wǎng)絡(luò)免受攻擊</p><p>　　IPS，即入侵防御系統(tǒng)(Intrusion Prevention System)，是抵制外部網(wǎng)絡(luò)威脅最有效的安全防范技術(shù)。SINFOR UTM網(wǎng)關(guān)內(nèi)置的IPS系統(tǒng)已有3000多種攻擊特征庫，數(shù)據(jù)庫每天自動更新。由于采用了特征匹配、協(xié)議分析和異常行為檢測等多項

58、技術(shù)，SINFOR UTM網(wǎng)關(guān)的IPS系統(tǒng)能夠?qū)λ袛?shù)據(jù)進(jìn)行實時檢測。對于可疑攻擊行為，IPS系統(tǒng)采用靈活的策略進(jìn)行相應(yīng)處理，大大降低了IPS系統(tǒng)誤報和漏報給內(nèi)部網(wǎng)絡(luò)帶來的風(fēng)險。同時，SINFOR UTM網(wǎng)關(guān)可設(shè)置為只針對符合指定的IP、協(xié)議和端口等相應(yīng)條件的數(shù)據(jù)流開啟IPS功能，降低了UTM網(wǎng)關(guān)開啟IPS所帶來的性能損耗，提高了IPS防御精準(zhǔn)度。</p><p>　?。?）高效準(zhǔn)確的網(wǎng)絡(luò)殺毒、反垃圾郵件、防間諜

59、軟件功能，保證上網(wǎng)安全。</p><p>　　網(wǎng)絡(luò)殺毒：SINFOR UTM的網(wǎng)關(guān)殺毒模塊采用了靈活的設(shè)計手段，可以非常方便的切換到不同廠商的殺毒引擎。它選用了來自歐洲著名殺毒廠商“F-PROT”的高效殺毒引擎作為缺省的殺毒模塊，殺毒速度達(dá)到50Mb/s，遠(yuǎn)遠(yuǎn)超過大多數(shù)殺毒廠商的網(wǎng)絡(luò)殺毒速度，也超過一般用戶的Internet帶寬。該殺毒引擎獲得國際權(quán)威機(jī)構(gòu)VB 100%的認(rèn)證，不僅可以查殺數(shù)據(jù)包中含有的普通病毒，

60、還可以檢查出各種壓縮包(zip，rar，gzip等)內(nèi)部隱藏的病毒。病毒庫每天在線升級，有效保護(hù)內(nèi)網(wǎng)的所有用戶免受病毒困擾。</p><p>　　反垃圾郵件：反垃圾郵件功能采用關(guān)鍵字、黑白名單、指紋識別、反向偵測SMTP服務(wù)器等多種過濾手段，大大提高了垃圾郵件的識別率、減少誤判率。同樣，垃圾郵件庫也可以在線更新，并且支持用戶自己添加垃圾郵件規(guī)則。對于垃圾郵件，管理員可進(jìn)行靈活的處理，比如將其立刻刪除或?qū)⑵浯虬舌]

61、件發(fā)給收件人。并且對于放置在DMZ區(qū)內(nèi)的應(yīng)用級系統(tǒng)如：郵件服務(wù)器等，也可以得到SINFOR UTM安全網(wǎng)關(guān)的妥善保護(hù)。</p><p>　　防間諜軟件：SINFOR UTM還集成了深信服“網(wǎng)絡(luò)訪問準(zhǔn)入規(guī)則”的專利技術(shù)，可以保證只有實施了完備的安全措施的PC才能接入Internet，大大減少了用戶側(cè)木馬和釣魚軟件泄漏用戶重要信息的風(fēng)險。</p><p>　　（5）細(xì)致的訪問控制功能，有效管理

62、用戶上網(wǎng)</p><p>　　SINFOR UTM安全網(wǎng)關(guān)可以詳細(xì)記錄和分析所有流量的內(nèi)容。強(qiáng)大的訪問控制和QOS功能還可以為不同的用戶分配不同的帶寬和上網(wǎng)權(quán)限，使得Internet資源得到有效利用，并大大提高員工的工作效率。SINFOR UTM安全網(wǎng)關(guān)不僅可以對員工訪問WEB、FTP、MAIL等常用服務(wù)的內(nèi)容進(jìn)行控制，更可以對QQ、BT、MSN、SKYPE等各種P2P軟件的行為進(jìn)行限制和控制。豐富的報表功能還可

63、以分析出企業(yè)Internet的詳細(xì)使用情況，為網(wǎng)絡(luò)管理員和決策者分配和了解員工網(wǎng)絡(luò)資源提供有效數(shù)據(jù)支持。同時，基于Web的和LDAP/Radius集成的用戶認(rèn)證功能，使對上網(wǎng)用戶管理變得十分靈活方便。</p><p>　　（6）完善的內(nèi)容安全管理和訪問審計功能，防止機(jī)密信息泄漏</p><p>　　SINFOR UTM安全網(wǎng)關(guān)完善的訪問審計和監(jiān)控功能能夠有效防止信息通過Internet泄漏

64、，并建立起強(qiáng)大的內(nèi)部安全威懾，減少內(nèi)部泄密的行為。對于郵件類型的應(yīng)用還采用了深信服“郵件延遲審計”的專利技術(shù)來保證先審計后發(fā)送。SINFOR UTM的訪問審計/監(jiān)控模塊為企業(yè)構(gòu)筑了強(qiáng)大的內(nèi)部安全屏障。</p><p>　?。?）強(qiáng)大的數(shù)據(jù)中心，提供直觀的上網(wǎng)數(shù)據(jù)統(tǒng)計</p><p>　　SINFOR UTM網(wǎng)關(guān)擁有強(qiáng)大的數(shù)據(jù)中心，管理者可分組、用戶、規(guī)則、協(xié)議等多種查詢對象，按餅圖、柱狀圖

65、、曲線圖等方式進(jìn)行查詢，可直觀地查看到網(wǎng)絡(luò)流量、郵件、網(wǎng)絡(luò)監(jiān)控、IPS系統(tǒng)、準(zhǔn)入規(guī)則、防火墻等詳細(xì)信息，其強(qiáng)大的日志系統(tǒng)和豐富的報表功能，可詳細(xì)分析出企業(yè)的Internet的詳細(xì)使用情況，為網(wǎng)絡(luò)管理員和決策者提供了最有效的數(shù)據(jù)支持。</p><p>　　4 企業(yè)網(wǎng)絡(luò)總體規(guī)劃</p><p>　　網(wǎng)絡(luò)規(guī)劃是一個網(wǎng)絡(luò)是否穩(wěn)定可靠運行的關(guān)鍵，如何合理配置IP地址；選擇何種路由協(xié)議；在接入層如何有

66、效劃分VLAN，減小廣播的范圍；如何設(shè)計滿足基于聲音、圖像、數(shù)據(jù)綜合的局域網(wǎng)INTERNET應(yīng)用的需要；滿足不同的應(yīng)用服務(wù)質(zhì)量，將是網(wǎng)絡(luò)規(guī)劃的一個重要內(nèi)容。下面，本節(jié)將逐項詳細(xì)的設(shè)計。</p><p>　　4.1 路由協(xié)議選擇</p><p>　　因為公司內(nèi)部網(wǎng)絡(luò)是作為一個局域網(wǎng)存在，所有核心，匯聚及接入層都以VLAN的方式來劃分子網(wǎng)，因此只需在三層交換機(jī)上啟用IP ROUTING功能既

67、能滿足子網(wǎng)間的通信需求。</p><p>　　對于出口的訪問則可采用在出口交換機(jī)以靜態(tài)路由的方式將內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)流量指向出口防火墻即可，只需要在核心交換機(jī)上用靜態(tài)路由將兩部分的網(wǎng)絡(luò)地址前綴通知對方即可，采用靜態(tài)路由和策略路由結(jié)合的方式將能很好的滿足路由選擇需求。</p><p>　　4.2 IP地址規(guī)劃</p><p>　　網(wǎng)絡(luò)系統(tǒng)的地址規(guī)劃是網(wǎng)絡(luò)設(shè)計的一個重要環(huán)

68、節(jié)，根據(jù)我們已有項目實施的成功經(jīng)驗，規(guī)劃IP地址應(yīng)充分考慮未來發(fā)展的需要，統(tǒng)一規(guī)劃、長遠(yuǎn)考慮、分片分塊分配的原則。</p><p>　　根據(jù)公司內(nèi)部網(wǎng)絡(luò)的規(guī)模，子網(wǎng)根據(jù)部門及科室劃分清晰的特性，以及未來地址擴(kuò)展的趨勢，建議IP地址應(yīng)采用公網(wǎng)保留的C類地址中的私有地址192.168.0.0到192.168.255.255，在網(wǎng)絡(luò)出口采用NAT地址轉(zhuǎn)換，實現(xiàn)與Internet合法地址互連，并采用相應(yīng)的合法地址用于公網(wǎng)

69、訪問公司內(nèi)部網(wǎng)絡(luò)的各種授權(quán)開放信息。</p><p>　　網(wǎng)絡(luò)系統(tǒng)IP地址的劃分原則如下：</p><p>　?。?）唯一性：IP地址必須唯一，一個IP地址對應(yīng)一臺數(shù)據(jù)通信設(shè)備；</p><p>　　（2）連續(xù)性：為同一網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，原則上一個VLAN一個C類網(wǎng)段，這樣便于規(guī)劃，同時提高路由器尋徑效率；</p><p>　?。?

70、）可擴(kuò)充性：分配地址應(yīng)預(yù)留一定量的備用地址塊，以便網(wǎng)絡(luò)節(jié)點增加后能保持地址的連續(xù)性；</p><p>　　（4）可管理性：地址的分配應(yīng)該有層次性，某個局部的變動不影響網(wǎng)絡(luò)的其他部分；</p><p>　?。?）高效性：綜合網(wǎng)采用可變長子網(wǎng)掩碼技術(shù)，要求采用支持可變長子網(wǎng)掩碼技術(shù)的TCP/IP協(xié)議族；</p><p>　?。?）合法IP地址段由客戶從互聯(lián)網(wǎng)運營商申請；

71、</p><p>　?。?）內(nèi)部網(wǎng)絡(luò)使用私有保留，考慮到將來網(wǎng)絡(luò)的規(guī)模不斷擴(kuò)大，建議采用192.168.X.X的私有保留地址塊，可按VLAN子網(wǎng)來劃分，并遵循IP地址規(guī)劃原則，進(jìn)行統(tǒng)一分配。</p><p>　　4.3 VLAN設(shè)計</p><p>　　虛擬網(wǎng)技術(shù)把傳統(tǒng)的廣播域按需要分割成各個獨立的子廣播域，將廣播限制在虛擬工作組中，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消

72、耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。</p><p>　　交換式以太網(wǎng)中，利用VLAN技術(shù)，可以將由交換機(jī)連接成的物理網(wǎng)絡(luò)劃分成多個邏輯子網(wǎng)。一個VLAN中的站點所發(fā)送的廣播數(shù)據(jù)包將僅轉(zhuǎn)發(fā)至屬于同一VLAN的站點，而不是網(wǎng)絡(luò)中的所有站點。在交換式以太網(wǎng)中，各站點可以分別屬于不同的VLAN。構(gòu)成VLAN的站點不論其所處的物理位置，既可以掛接在同一個交換機(jī)中，也可以掛接在不同的交換機(jī)中。實現(xiàn)VLAN主

73、要有三種途徑：</p><p>　?。?）基于端口的VLAN</p><p>　　就是將交換機(jī)中的若干個端口定義為一個VLAN，同一個VLAN中的站點具有相同的網(wǎng)絡(luò)地址，不同的VLAN之間進(jìn)行通信需要通過路由功能實現(xiàn)。</p><p>　　（2）基于MAC地址的VLAN</p><p>　　交換機(jī)對站點的MAC地址和交換機(jī)端口進(jìn)行跟蹤，在新站

74、點入網(wǎng)時根據(jù)需要將其劃歸至某一個VLAN，而無論該站點在網(wǎng)絡(luò)中怎樣移動，由于其MAC地址保持不變，故用戶不需進(jìn)行網(wǎng)絡(luò)地址的重新配置。這種技術(shù)的不足之處在于站點入網(wǎng)時，需要對交換機(jī)進(jìn)行較復(fù)雜的手工配置，以確定該站點屬于哪一個VLAN。</p><p>　?。?）基于網(wǎng)絡(luò)地址的VLAN</p><p>　　在此VLAN中，新站點入網(wǎng)時無需進(jìn)行太多配置，交換機(jī)根據(jù)各站點網(wǎng)絡(luò)地址自動將其劃分成不同

75、的VLAN。在三種VLAN的實現(xiàn)技術(shù)中，基于網(wǎng)絡(luò)地址的VLAN智能化程度最高，實現(xiàn)起來也最復(fù)雜。</p><p>　　VLAN作為一種新一代的網(wǎng)絡(luò)技術(shù)，它的出現(xiàn)為解決網(wǎng)絡(luò)站點的靈活配置和網(wǎng)絡(luò)安全性等問題提供了良好的手段，VLAN技術(shù)也將在網(wǎng)絡(luò)建設(shè)中得到更加廣泛的應(yīng)用，從而為提高網(wǎng)絡(luò)的工作效率發(fā)揮更大的作用。</p><p>　　公司網(wǎng)絡(luò)設(shè)計采用了基于端口和MAC地址相結(jié)合的方法來實現(xiàn)VLA

76、N，這種把端口和MAC地址有機(jī)結(jié)合的方式大大的提高了VLAN用戶接入的安全性和靈活性該規(guī)劃根據(jù)公司相關(guān)人員的要求，將允許相互通信的設(shè)備劃入同一VLAN，這些設(shè)備可以是同一部門，同一樓層或同一科室，而不管他們的物理位置在什么地方。對于位于不同VLAN而需要通信的設(shè)備可以使用路由的方式解決，反之，對于要限制其相互通信的VLAN則可以通過訪問列表技術(shù)靈活解決。為了有效地管理接入端用戶的安全訪問，接入端的交換機(jī)按基于端口來劃分VLAN，并在用戶

77、實現(xiàn)接入時，交換機(jī)會自動收集到用戶接入設(shè)備的物理MAC地址，如PC機(jī)的網(wǎng)卡MAC地址；網(wǎng)絡(luò)管理員可將收集到的MAC地址信息作為交換機(jī)相應(yīng)端口安全綁定；完成此項工作后，若接入用戶改變接入設(shè)備，或非法未授權(quán)設(shè)備的接入，導(dǎo)致接入設(shè)備的MAC改變，接入交換機(jī)自動將此端口設(shè)置成不轉(zhuǎn)發(fā)數(shù)據(jù)的狀態(tài)。</p><p><b>　　4.4 服務(wù)器群組</b></p><p>　　4.4

78、.1 FTP 服務(wù)器</p><p>　　公司的FTP服務(wù)器主要是針對公司內(nèi)部一些日常辦公資料、軟件的共享而設(shè)置的，僅公司內(nèi)部PC可以訪問，其操作系統(tǒng)采用Windows server 2003。為登錄方便，采用匿名訪問方式。出于對某些文件數(shù)據(jù)的安全性考慮，各部門屬于不同的用戶組，對不同的用戶組設(shè)置相應(yīng)的權(quán)限。另外，設(shè)置最大訪問人數(shù)防止因同時的大量訪問導(dǎo)致服務(wù)器造成的癱瘓[5]。</p><p&

79、gt;　　4.4.2 DHCP 服務(wù)器</p><p>　　由于公司網(wǎng)絡(luò)節(jié)點較多，避免為每臺PC機(jī)配置IP的繁瑣工作，本設(shè)計采用DHCP服務(wù)器為接入公司網(wǎng)絡(luò)的PC機(jī)自帶分配IP地址，其操作系統(tǒng)采用Windows server 2003。由于DHCP服務(wù)器與公司其他PC機(jī)在不同的VLAN中,因為還需在匯聚層交換機(jī)上配置DHCP中繼服務(wù)功能才能成功運行DHCP服務(wù)。</p><p>　　4.4

80、.3 MAIL服務(wù)器</p><p>　　本設(shè)計選用微軟exchange server 2003作為服務(wù)器端軟件，其常見的任務(wù)包括：備份與還原、建立新郵箱、恢復(fù)、移動、安裝新的硬件、存儲區(qū)、軟件和工具，以及應(yīng)用更新和修補程序等。</p><p>　　在部署exchange server 2003郵件服務(wù)器之間，首先為公司申請合法的域名，建立域控服務(wù)器，打開“運行”對話框，輸入dcpromo

81、命令，然后根據(jù)向?qū)?chuàng)建域控服務(wù)器。</p><p>　　圖2 建立域控服務(wù)器</p><p>　　將公司內(nèi)所有PC機(jī)加入該域。為防止主域控服務(wù)器出現(xiàn)故障而導(dǎo)致通信故障和信息丟失，還需要一臺輔助域控。當(dāng)然還需在DNS服務(wù)器中寫入記錄，這樣發(fā)出的郵件才知道去處。</p><p>　　4.4.4 WEB服務(wù)器</p><p>　　WEB服務(wù)器主要是

82、發(fā)布公司網(wǎng)站，時時更新公司以及證券市場信息以供用戶網(wǎng)上參考。本設(shè)計選擇Linux作為WEB服務(wù)器的操作系統(tǒng),服務(wù)器端軟件則用Apache。</p><p>　　Apache是世界上用的最多的WEB服務(wù)器，市場占有率達(dá)到60%左右，它源于NCSAhttpd服務(wù)器。Apache多多種產(chǎn)品，可以支持SSL技術(shù)，支持多個虛擬主機(jī)。它是以進(jìn)程為基礎(chǔ)結(jié)構(gòu)的，進(jìn)程要比線程消耗更多的系統(tǒng)開支。因為它是自由軟件，所以不斷有人來為它

83、開發(fā)新的功能、新的性能、修改原來的缺陷。Apache的特點是簡單、速度快、性能穩(wěn)定，并可做代理服務(wù)器來使用。它的成功之處主要在于它的源代碼開放、有一支開放的開發(fā)隊伍、支持跨平臺的應(yīng)用（可以運行在幾乎所有的Unix、Windows、Lniux系統(tǒng)平臺上）以及它的可移植性等方面。</p><p><b>　　5 安全策略</b></p><p>　　5.1 網(wǎng)絡(luò)威脅因素分

84、析</p><p>　　對于證券業(yè)來說，網(wǎng)絡(luò)安全性至關(guān)緊要。而證券網(wǎng)上交易，信息發(fā)布等業(yè)務(wù)需要似的公司網(wǎng)絡(luò)必須與Internet相連，這樣必然存在安全風(fēng)險。公司內(nèi)部網(wǎng)絡(luò)，由于各部門職能不同，某些部門網(wǎng)絡(luò)對安全性也有較高的要求。</p><p>　　公司網(wǎng)絡(luò)的安全風(fēng)險可能包括以下幾個：</p><p>　?。?）公司網(wǎng)絡(luò)與Internet相連，可能遭到來自各地的越權(quán)訪

85、問，還可能遭到網(wǎng)絡(luò)黑客的惡意攻擊和計算機(jī)病毒的入侵；</p><p>　?。?）內(nèi)部的各子網(wǎng)通過骨干交換連接，某些重要部門可能會遭到來自其他部門的越權(quán)訪問，而導(dǎo)致重要信息的泄露或者網(wǎng)絡(luò)的癱瘓；</p><p>　　（3）設(shè)備自身的安全性也會直接關(guān)系到網(wǎng)絡(luò)系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運轉(zhuǎn)。</p><p><b>　　5.2安全要求</b></

86、p><p><b>　?。?）物理安全</b></p><p>　　包括保護(hù)網(wǎng)絡(luò)設(shè)備設(shè)施以及數(shù)據(jù)庫資料免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤導(dǎo)致系統(tǒng)損壞，同時要避免由于電磁泄露引起的信息失密。</p><p><b>　?。?）網(wǎng)絡(luò)安全</b></p><p>　　主要包括系統(tǒng)安全和網(wǎng)絡(luò)運行安全

87、，檢測到系統(tǒng)安全漏洞和對于網(wǎng)絡(luò)訪問的控制。</p><p><b>　?。?）信息安全</b></p><p>　　包括信息傳輸?shù)陌踩?、信息存儲的安全以及對用戶的授?quán)和鑒別。</p><p>　　5.3 安全策略部署</p><p>　　5.3.1 VLAN 技術(shù)</p><p>　　VLAN技術(shù)

88、是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的數(shù)據(jù)交換技術(shù)。利用VLAN技術(shù)將一個LAN劃分為多個邏輯的VLAN，限制了廣播域，從而大大增加了局域網(wǎng)內(nèi)部信息的安全性。</p><p>　　將各部門劃屬不同的VLAN能有效避免部門間的越權(quán)訪問，同時還防止了廣播風(fēng)暴的發(fā)生。另外，VLAN為網(wǎng)絡(luò)管理帶來了很大的方便，每個VLAN內(nèi)的客戶端需求是基本相似的，對于故障排查或者軟件升級等都比較方便。<

89、/p><p>　　5.3.2 訪問控制</p><p>　　訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，是保證網(wǎng)絡(luò)安全最重要的核心策略之一，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制及屬性控制等多種手段。訪問控制列表（ACL）是應(yīng)用在路由器接口的指令列表，用來過濾通過路由器的數(shù)據(jù)包，而且也是控制網(wǎng)絡(luò)中數(shù)據(jù)流量的一個重要方法。</p>&l

90、t;p>　　圖 3 ACL示意圖</p><p>　　訪問控制列表分為兩類，一個是標(biāo)準(zhǔn)訪問列表，一個是擴(kuò)展訪問列表。根據(jù)公司各部門的性質(zhì)，可根據(jù)需要在分布層的設(shè)備上配置訪問控制。如財務(wù)部、資產(chǎn)管理部信息數(shù)據(jù)機(jī)密度較高，就可以編寫標(biāo)準(zhǔn)訪問控制列表，禁止其他網(wǎng)段也就是其他VLAN的用戶訪問這些部門的PC機(jī)。當(dāng)然，寫完訪問列表后，要將其應(yīng)用在相應(yīng)的端口上。有的部門對信息的保密要求沒有那么高，就可以使用擴(kuò)展訪問列表

91、，只對某一端口的數(shù)據(jù)進(jìn)行控制。</p><p><b>　　5.3.3 防火墻</b></p><p>　　防火墻以一個安全衛(wèi)士的身份是執(zhí)行著管理者的安全策略，有效地維護(hù)網(wǎng)絡(luò)的安全[7]。它主要由服務(wù)訪問策略、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)四部分組成。本設(shè)計在核心層路由器與Internet之間配置一臺硬件防火墻，使得所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都要通過防火墻。防火墻應(yīng)具備以下的功能

92、特點：包過濾、地址轉(zhuǎn)換、認(rèn)證和應(yīng)用代理、透明和路由、入侵檢測。</p><p><b>　　5.3.4 VPN</b></p><p>　　公司員工可能需要經(jīng)常出差或者在外辦公，需要通過公網(wǎng)訪問公司網(wǎng)絡(luò)。這是數(shù)據(jù)在公網(wǎng)上傳播就很不安全，所以需要一條專門的通道來安全傳輸信息，這就是VPN（虛擬專用網(wǎng)絡(luò)）。VPN可以幫助遠(yuǎn)程用戶，公司分支機(jī)構(gòu)、商業(yè)伙伴及移動辦公用戶的辦公

93、網(wǎng)絡(luò)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN解決方案也將大幅度減少用戶花費在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費用。</p><p>　　圖 4 VPN 原理示意圖</p><p>　　本設(shè)計采用IP-VPN技術(shù)。IP-VPN是指在運行IP協(xié)議的網(wǎng)絡(luò)上實現(xiàn)VPN。改即使的實現(xiàn)是通過隧道（tunnel）進(jìn)行連接，隧道技術(shù)用過軟件“疊加”在物理網(wǎng)絡(luò)上這也是“VPN”虛擬特征的體現(xiàn)[8]。借助隧道

94、VPN，還能夠使用內(nèi)部網(wǎng)絡(luò)中采用的安全和優(yōu)先策略，使數(shù)據(jù)流能夠得到完全的控制。</p><p>　　目前各種VPN安全協(xié)議中，Ipsec的保密性是最好的。Ipsec使用了Ipsec隧道模式，在這種隧道模式中，用戶的數(shù)據(jù)包加密后，封裝進(jìn)新的ip。這樣在新的數(shù)據(jù)包中，分別以開通器和終端器的地址掩蔽用戶和宿主服務(wù)器的地址。本設(shè)計選用的深信服SINFOR UTM M5400-AC防火墻具有VPN功能，所以不需要額外購買V

95、PN設(shè)備，無需增加成本，也無需提高設(shè)計、部署或運作的復(fù)雜性，就能夠?qū)⒃L問控制、應(yīng)用檢測和威脅防御作為VPN解決方案的一部分。管理員只需制定一個網(wǎng)絡(luò)策略，就可以提高安全性，又保持網(wǎng)絡(luò)環(huán)境的可訪問性。</p><p><b>　　6 結(jié)束語</b></p><p>　　本文的邏輯網(wǎng)絡(luò)設(shè)計包括設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、規(guī)劃IP地址和劃分VLAN、選擇交換和路由選擇協(xié)議、制定網(wǎng)絡(luò)安全

96、策略等。對企業(yè)級網(wǎng)絡(luò)安全措施的規(guī)劃，要遵循安全設(shè)計的原則：全局考慮、整體設(shè)計、兼顧有效性和實用性、劃分安全等級、注重自主性與可控性、以及安全有價等原則。DMZ是一個在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造的過濾子網(wǎng)，DMZ防火墻方案為要保護(hù)的內(nèi)部網(wǎng)絡(luò)增加了一道安全防線，解決了安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題。同時，它提供了一個區(qū)域放置公共服務(wù)器，從而又能有效地避免一些互聯(lián)應(yīng)用需要公開，而與內(nèi)部安全策略相矛盾的情況發(fā)生。</p&

97、gt;<p>　　物理網(wǎng)絡(luò)設(shè)計包括企業(yè)網(wǎng)絡(luò)選擇局域網(wǎng)技術(shù)和網(wǎng)絡(luò)設(shè)備。第三層交換技術(shù)也稱IP交換技術(shù)，簡單的說，三層交換技術(shù)就是二層交換技術(shù)加三層路由技術(shù)，這是一種利用第三層協(xié)議中的信息來加強(qiáng)第二層交換功能的機(jī)制，二者的有機(jī)結(jié)合，并不是簡單的把路由器設(shè)備的硬件及軟件簡單地疊加在局域網(wǎng)交換機(jī)上。千兆以太網(wǎng)技術(shù)是建立在以太網(wǎng)標(biāo)準(zhǔn)基礎(chǔ)之上的技術(shù)。千兆以太網(wǎng)和大量使用的以太網(wǎng)與快速以太網(wǎng)完全兼容，并利用了原以太網(wǎng)標(biāo)準(zhǔn)所規(guī)定的全部技術(shù)

98、規(guī)范，其中包括CSMA/CD協(xié)議、以太網(wǎng)幀、全雙工、流量控制以及IEEE 802.3標(biāo)準(zhǔn)中所定義的管理對象。</p><p><b>　　參考文獻(xiàn)</b></p><p>　　[1] 楊威.網(wǎng)絡(luò)工程設(shè)計與系統(tǒng)集成[M].北京:人民郵電出版社,2010.</p><p>　　[2] 顧尚杰.計算機(jī)通訊網(wǎng)基礎(chǔ)[M].北京：電子工業(yè)出版社，2001.

99、</p><p>　　[3] 王眾托.企業(yè)信息化與管理變革[M].北京：中國人民大學(xué)出版社，2005.</p><p>　　[4]叢日權(quán)等.Windows Server 2003 網(wǎng)絡(luò)構(gòu)架[M].北京：機(jī)械工業(yè)出版社，2005.</p><p>　　[5]王相林.組網(wǎng)技術(shù)與配置[M].北京：清華大學(xué)出版社，2007.</p><p>　　[6

100、] IT同路人. Windows Server 2003服務(wù)器架設(shè)實例詳解[M]. 北京：人民郵電出版社，2008.</p><p>　　[7][美]Richard tibbs ,Edward oales.防火墻與VPN—原理與實踐.北京：清華大學(xué)出版社，2008.</p><p>　　[8][美]vi jay .Ipsec vpn 設(shè)計.北京：人民郵電出版社，2006.</p>

101、;<p><b>　　致謝</b></p><p>　　在此，衷心感謝我的畢業(yè)論文指導(dǎo)老師黃鎮(zhèn)建，在老師的耐心指導(dǎo)下，經(jīng)過奮戰(zhàn)，我終于完成了本畢業(yè)論文。沒有他的耐心輔導(dǎo)，我的論文將無從談起，每當(dāng)我遇到困難的時候，是他在我身邊耐心地指導(dǎo)，并指引我走進(jìn)新的領(lǐng)域，讓我由陌生到熟悉，從而學(xué)到了許多平時在課堂上沒有學(xué)到的東西。我要感謝那些曾經(jīng)、現(xiàn)在或者將來工作在這一領(lǐng)域的人，他們鍥而不舍

102、的精神一直是我前進(jìn)的動力，正是借鑒了他們積累的豐富知識、經(jīng)驗，我才能順利完成這篇論文。 </p><p>　　另外，還要特別感謝我的家人，你們時刻關(guān)心我，是你們給了我學(xué)習(xí)的機(jī)會,是你們時時刻刻為我鼓勁、為我加油，進(jìn)而促使我不斷成長。同時，也要感謝寢室的室友以及所有關(guān)心我的朋友，，在我遇到困難時你們關(guān)心我、幫助我。最后，再次感謝你們，祝愿你們工作順利，生活愉快！</p><p><b&