中小企業(yè)網(wǎng)絡(luò)的構(gòu)建-論文

1、中小企業(yè)網(wǎng)絡(luò)的構(gòu)建論文導(dǎo)讀：網(wǎng)絡(luò)作為企業(yè)信息化的重要組成平臺。并在此基礎(chǔ)上形成網(wǎng)絡(luò)的拓撲結(jié)構(gòu)。路由器作為互聯(lián)網(wǎng)的節(jié)點設(shè)備。由于單個交換機的固定端口數(shù)量有限。服務(wù)器要求應(yīng)該具有高可靠性和高可用性。網(wǎng)絡(luò)操作系統(tǒng)(NetworkOperatingSystem。關(guān)鍵詞：網(wǎng)絡(luò)，拓撲結(jié)構(gòu)，路由器，交換機，服務(wù)器，操作系統(tǒng)0 引言我國信息化的方針是：統(tǒng)籌規(guī)劃，資源共享。網(wǎng)絡(luò)作為企業(yè)信息化的重要組成平臺，與企業(yè)的業(yè)務(wù)結(jié)合越來越緊密，不僅可以提高管理的效率和水平，也為企業(yè)各類人員提供了豐富的信息服務(wù)。中小企業(yè)作為構(gòu)成市場經(jīng)濟的主體，其網(wǎng)絡(luò)的構(gòu)建就顯得尤為重要。企業(yè)網(wǎng)絡(luò)是企業(yè)局域網(wǎng)與Internet相結(jié)合的信息交

2、換平臺，也就是說它主要有兩個組成部分：互聯(lián)網(wǎng)模塊和局域網(wǎng)模塊。鑒于對信息化建設(shè)的需求與建設(shè)中缺少范例平臺的狀況，在建設(shè)中存在著“散、亂、小”的現(xiàn)象，考慮到網(wǎng)絡(luò)組建對企業(yè)發(fā)展的重要作用，本文以浙江省森林資源監(jiān)測中心的網(wǎng)絡(luò)建設(shè)為例，來詳細說明其網(wǎng)絡(luò)構(gòu)建的原則、技術(shù)基礎(chǔ)、方案選擇、構(gòu)建方法等，并在此基礎(chǔ)上形成網(wǎng)絡(luò)的拓撲結(jié)構(gòu)。浙江省森林資源監(jiān)測中心(為了方便起見，文中以后簡稱ZJFR)于2002年在百兆局域網(wǎng)的基礎(chǔ)上，通過租用杭州網(wǎng)通HZCNC-BA-TX的1M光纖與互聯(lián)網(wǎng)進行了對接，并基于HP NetServer LH3000服務(wù)器，采用Windows Server 2000操作系統(tǒng)建立了WEB和郵

3、件服務(wù)，具備了最基本的網(wǎng)絡(luò)構(gòu)架1。目前，ZJFR已有員工72人，隨著業(yè)務(wù)的擴展，特別是大量空間數(shù)據(jù)的應(yīng)用，原有的網(wǎng)絡(luò)逐漸難以適應(yīng)目前工作的需要。2010年3月，伴隨新辦公樓房的建成，兼顧網(wǎng)絡(luò)建設(shè)的需要，對原有的網(wǎng)絡(luò)硬件進行了換代擴建，對軟件系統(tǒng)也進行了升級?，F(xiàn)將網(wǎng)絡(luò)的建設(shè)情況介紹如下，以饗讀者。1 建網(wǎng)的原則企業(yè)網(wǎng)絡(luò)的建設(shè)需要結(jié)合實際情況和當(dāng)今的技術(shù)發(fā)展趨勢，將現(xiàn)實需求和未來的發(fā)展方向相結(jié)合2，在一定的原則指導(dǎo)下進行，這些原則包括了：(1)先進性原則：采用先進成熟的技術(shù)，不僅有利于保護長遠的投資，也降低了市場發(fā)展帶來的風(fēng)險；(2)獨立性原則：網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)置必須合理清晰，各個子系統(tǒng)內(nèi)部的變更盡量

4、不影響或少影響其它子系統(tǒng)的使用，以降低斷網(wǎng)的幾率，同樣也便于日常的維護；(3)可擴充性原則：采用統(tǒng)一標(biāo)準(zhǔn)，保證良好的開放性，以便企業(yè)規(guī)模擴大時能夠方便增加設(shè)備，同時，也可方便系統(tǒng)的升級換代。(4) 安全性原則：網(wǎng)絡(luò)實現(xiàn)了信息共享，但需要針對不同信息類型和使用權(quán)限進行相應(yīng)的隔離和過濾，以避免泄密和攻擊等事件的發(fā)生。2 硬件設(shè)備2.1路由器 路由器作為互聯(lián)網(wǎng)的節(jié)點設(shè)備，工作在網(wǎng)絡(luò)層上，通過路由決定數(shù)據(jù)的轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)的策略也稱作路由選擇，這也是其名稱的由來。由于它可作為不同網(wǎng)絡(luò)之間互相連接的樞紐，因而成為基于TCP/IP協(xié)議的國際互聯(lián)網(wǎng)絡(luò)Internet的骨架。路由器的主要生產(chǎn)廠家有思科(Cisco)

5、和華為等，而思科作為世界領(lǐng)先的互聯(lián)網(wǎng)絡(luò)廠商，不僅具有豐富的產(chǎn)品線，其獨有的IOS系統(tǒng)，也成了業(yè)界規(guī)范。ZJFR申請的互聯(lián)網(wǎng)專線類型是浙江省電信有限公司的10M光纖，IP地址分配資源如下：子網(wǎng)掩碼：40網(wǎng) 關(guān)：93DNS ：56其中，92和07為系統(tǒng)保留所用，所以實際可用的IP地址為13個。由于地址數(shù)量的限制，局域網(wǎng)的IP地址采用了私有地址192.168.x.y。當(dāng)內(nèi)部的客戶機訪問Internet時，此時的路由器作為網(wǎng)關(guān)，利用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NA

6、T)，負責(zé)把私有地址轉(zhuǎn)換為申請的有效地址，從而實現(xiàn)對公共網(wǎng)絡(luò)的訪問3。博士論文，交換機。目前使用的路由器為舊有的Cisco 3725，對應(yīng)申請的資源，在路由器上配置如下：interface FastEthernet0/0ip address 95 40interface FastEthernet0/1ip address 95 ip nat pool router 97 97 netmask 40ip nat inside

7、source list 100 pool router overloadip nat inside source static 00 00ip nat inside source static 01 01ip route 93access-list 100 permit ip 55 any2.2 交換機傳統(tǒng)的共享集線器，它是工作在OSI七層協(xié)議第一層上(物理層)，由于所有的網(wǎng)絡(luò)用戶共享同一帶寬，隨著用戶數(shù)量

8、的增多，會引起網(wǎng)絡(luò)性能的下降，目前已逐漸退出市場；交換機的出現(xiàn)，則解決了集線器的瓶頸問題，它主要工作在第二層上(數(shù)據(jù)鏈路層)，由于交換機可以同時互不影響地傳送信息包，從而提高了網(wǎng)絡(luò)的實際吞吐量，在網(wǎng)絡(luò)組建上，也表現(xiàn)出極大的靈活性；然而，由于所有的用戶仍然處在同一廣播域中，極易產(chǎn)生廣播風(fēng)暴，因此，VLAN(Virtual Bridged Local Area Network)技術(shù)的應(yīng)用，就顯得尤為重要，通過將網(wǎng)絡(luò)劃分為虛擬的VLAN網(wǎng)段，不僅可以強化網(wǎng)絡(luò)管理和安全，也有效地控制了不必要的數(shù)據(jù)廣播，由于不同VLAN網(wǎng)段間不可以直接通訊，必須借助于網(wǎng)絡(luò)層來實現(xiàn)，所以它工作在第三層上4。由于單個交換機

9、的固定端口數(shù)量有限，當(dāng)其小于實際需求數(shù)量時，則需要多個交換機共同完成組網(wǎng)工作。多個交換機之間的連接主要有堆疊和級聯(lián)兩種方式。級聯(lián)是通過網(wǎng)絡(luò)端口來實現(xiàn)的，連接的結(jié)果是，不同的交換機仍然獨立工作，級聯(lián)數(shù)量的增多，必然也引起網(wǎng)絡(luò)性能的下降；而堆疊則是通過專用的堆疊模塊和線纜來完成，一般需要在同品牌設(shè)備間實現(xiàn)，在邏輯上它們共同組成一個網(wǎng)絡(luò)管理設(shè)備，提高了端口密度和帶寬。Cisco Catalyst 3750G-48T-S，作為一款適用于中型機構(gòu)的創(chuàng)新千兆產(chǎn)品，其采用了獨有的StackWise技術(shù)，具有高密度和RIP、OSPF、EIGRP等高級三層特性，在端口安全訪問上也具有良好的功能，因此，ZJFR購

10、置了2臺該設(shè)備，采用堆疊方式組成核心交換機。而同時，根據(jù)職能部門的劃分情況，采用地址192.168.x.y/24，進行了VLAN劃分(其中，x為部門編號，y為對應(yīng)部門的客戶端編號)。2.3 服務(wù)器及磁盤存儲 服務(wù)器要求應(yīng)該具有高可靠性和高可用性，并具備容錯技術(shù)，IBM和HP無疑是服務(wù)器的首選品牌。與傳統(tǒng)的通用塔式服務(wù)器相比，機架式對服務(wù)器的管理更具有優(yōu)勢，采用多電腦切換器KVM(KeyBoard,Video and Mouse，KVM)以及電源分配單元(Power Distribution Unit，PDU)，結(jié)合機柜封裝，可輕松部署、集成和管理，具有很大的靈活性。IBM X3650 M2，作

11、為IBM的性能功耗比大幅提升的新一代2U服務(wù)器，采用了Intel至強5550系列處理器，并最大支持128G的DDR-3內(nèi)存。對應(yīng)內(nèi)部的WEB、郵件和數(shù)據(jù)存儲需要，ZJFR采用了3臺該設(shè)備，配置均為2個4核X5500處理器，16G內(nèi)存，6個SAS硬盤。正是由于采用了64位處理器技術(shù)，相對于傳統(tǒng)的32位，使得可以進行更大范圍的整數(shù)運算，也可以支持更大的內(nèi)存。IBM DS3200 磁盤存儲系統(tǒng)，采用了3Gbps 的SAS接口，可安裝12個SAS或SATA硬盤，并且可以采用EXP3000進行擴展，借助SAS HBA PCI-E 控制器，可輕松與服務(wù)器進行連接。因此，文件及數(shù)據(jù)庫采用了該設(shè)備進行管理。配

12、置為12個1TB的SATA硬盤。RAID(Redundant Array of Independent Disk)，是“獨立磁盤冗余陣列”的縮寫，它允許將多個磁盤分組，可提供數(shù)據(jù)保護所必需的數(shù)據(jù)冗余，同時也可以改善性能，常用的RAID級別有0、1、5、10等。RAID0采用“條帶”(striping)技術(shù)，允許從多個磁盤上同時存取信息，因而是一個沒有冗余的高性能選擇；RAID1也被稱為鏡像，與RAID0剛好相反，追求的是最大的冗余度，采用2個硬盤以雙工的方式將一個磁盤上的數(shù)據(jù)同時復(fù)制到另外一個磁盤上，具備最高的數(shù)據(jù)安全性；RAID5不對存儲的數(shù)據(jù)進行備份，而是把數(shù)據(jù)和相對應(yīng)的奇偶校驗信息存儲到

13、組成RAID5的各個磁盤上，當(dāng)RAID5的一個磁盤數(shù)據(jù)發(fā)生損壞后，利用剩下的數(shù)據(jù)和相應(yīng)的奇偶校驗信息去恢復(fù)被損壞的數(shù)據(jù)，RAID5可以理解為是RAID0和RAID1的折衷方案；RIAD10則同時集中0和1的優(yōu)點，不僅數(shù)據(jù)跨盤存取，而且每個磁盤都有一個鏡像。比較RAID的各個級別，在綜合考慮性能和安全性的基礎(chǔ)上，對磁盤的陣列級別選擇了RAID10。2.4 防火墻 防火墻是為了保護內(nèi)部網(wǎng)絡(luò)免受外部攻擊的防護設(shè)備，它是一個廣義上的稱呼，根據(jù)防護的側(cè)重點不同，主要分為傳統(tǒng)的DOS(拒絕服務(wù)攻擊)防火墻和垃圾郵件防火墻等。(1) 傳統(tǒng)的防火墻作為邏輯上的過濾器、限制器和分析器，防火墻已成為內(nèi)部網(wǎng)絡(luò)與互聯(lián)

14、網(wǎng)之間交互的必備的隔離安全保護層。在部署模式上，一般有工作在三層協(xié)議上的NAT和路由模式、基于二層協(xié)議的透明模式三種方式。在防火墻上，實現(xiàn)了以下功能：各種攻擊行為的監(jiān)測，如Tear-drop、syn-flood、ping-of-death、udp-flood等；設(shè)置外部用戶對內(nèi)部資源的訪問權(quán)限，如只允許對WEB和郵件服務(wù)器相關(guān)端口的訪問；約束內(nèi)部用戶對互聯(lián)網(wǎng)資源的訪問，如對一些游戲、股票、下載等端口的屏蔽等。在淘汰原有的NetScreen-25后，更換的設(shè)備采用了Juniper SSG520M。博士論文，交換機。(2) 反垃圾郵件網(wǎng)關(guān)當(dāng)今的垃圾郵件和病毒傳播速度快、范圍廣，通過對ZJFR的20

15、10年4月22日至5月12日期間的郵件統(tǒng)計分析，有效郵件的比例僅為0.63%，而垃圾信息的比例高達98.94%，這就要求采取自適應(yīng)的系統(tǒng)，以快速響應(yīng)的方法來保護郵件服務(wù)的正常運行。反垃圾郵件網(wǎng)關(guān)是只對郵件數(shù)據(jù)包進行過濾的防火墻，該產(chǎn)品主要有梭子魚(Barracuda)、邁克菲(McAfee)等，兩款產(chǎn)品都基于Linux系統(tǒng)，通過“蜜罐”原理，經(jīng)過多層過濾機制，二者對垃圾郵件的識別率分別達到了98%和99%。ZJFR采用的McAfeeEmail and Web Security Appliance 3000型號，運行的系統(tǒng)為5.5版本，從采用后的跟蹤結(jié)果來看，也驗證了其有效的防護性能。2.5 其

16、它 其它的與硬件有關(guān)的部分，如網(wǎng)絡(luò)線路采用了康普(CommScope)SYSTIMAX 6類雙絞線，而一些公用的打印輸出設(shè)備，則通過配置IP地址，在交換機上定義訪問策略，保證了擁有許可權(quán)限用戶的訪問。3 軟件3.1 操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)(Network Operating System，NOS)，是向網(wǎng)絡(luò)計算機提供網(wǎng)絡(luò)通信和網(wǎng)絡(luò)資源共享功能的操作系統(tǒng)。通常網(wǎng)絡(luò)操作系統(tǒng)都是運行在服務(wù)器之上的，所以有時也把它稱為服務(wù)器操作系統(tǒng)。博士論文，交換機。目前使用較多的是Windows、UNIX、Linux等。UNIX是通用、多用戶、多任務(wù)的分時操作系統(tǒng)，具有移植性好、高可靠性的特點，主要用在大型設(shè)備上；源

17、代碼開放的Linux，具備許多UNIX的功能和特點，卻無需UNIX的高額費用，但是應(yīng)用軟件支持不足；全球最大的軟件開發(fā)商Microsoft開發(fā)的Windows系列，因為其具備統(tǒng)一的圖形窗口界面和操作方法，有著易用性和兼容性、豐富的應(yīng)用程序等特點，性價比也高，因此擁有最大的用戶群。根據(jù)權(quán)威市場調(diào)研機構(gòu)Net Application于2010年5月的統(tǒng)計數(shù)據(jù)，Windows市場份額為91.28%，而Linux只有1.13%，因此，Windows平臺在中小網(wǎng)絡(luò)組建中成為首選。作為最新版本的服務(wù)器操作系統(tǒng)，Windows Server 2008包括了以下幾個版本：Standard(標(biāo)準(zhǔn))、Enterp

18、rise(企業(yè))、Datacenter(數(shù)據(jù)中心)、Web(WEB服務(wù)器)、Itanium(安騰版)5。其中Itanium版本針對Itanium CPU，而WEB版則只包含了WEB應(yīng)用部分，因此，選擇的局限在前三者。在硬件允許的前提下，決定其選擇的主要因素往往是價格，而企業(yè)版從性價比來說，往往成為最優(yōu)選擇。對于每個版本，同時存在32位和64位平臺，隨著64位時代的到來，64位計算架構(gòu)已是大勢所趨，其尋址內(nèi)存大大增加，突破4G內(nèi)存的限制。以ZJFR采用的企業(yè)版為例，其支持多達8個CPU，對內(nèi)存的支持也達到了2TB。博士論文，交換機?；顒幽夸浭荳indows Server 2008網(wǎng)絡(luò)體系的基本結(jié)

19、構(gòu)模型，也是其核心支柱?；顒幽夸浭莿討B(tài)的，以樹狀層次結(jié)構(gòu)，包含服務(wù)功能的目錄，經(jīng)過安裝后，服務(wù)器升級為域控制器。ZJFR網(wǎng)絡(luò)以申請的域名為基礎(chǔ)(備案號為：浙ICP備05004506號)，建立DNS服務(wù)器，采用IP地址為00，并以此為核心來實現(xiàn)網(wǎng)絡(luò)的組建。3.2 DNS、IIS與網(wǎng)站建設(shè)DNS是負責(zé)把難記的IP地址轉(zhuǎn)換成簡明易記的域名，DNS服務(wù)器在網(wǎng)絡(luò)組建中是一項重要的內(nèi)容，承擔(dān)了域名解析的任務(wù)，它由各種資源記錄組成，其中常用的為主機記錄和郵件交換器記錄。由于WEB服務(wù)可以輕松地實現(xiàn)信息共享和資源分享，通過超文本傳輸協(xié)議，基于請求/響應(yīng)模式，使得訪問客戶極易實現(xiàn)與網(wǎng)站的

20、交互操作。而Windows Server 2008所附帶的Internet InformationServer (IIS)7.0則是目前最流行的WEB服務(wù)器產(chǎn)品之一，它提供了一個圖形界面的管理工具，用于監(jiān)視和配置Internet服務(wù)，很多應(yīng)用系統(tǒng)，也是基于它來實現(xiàn)，如Exchange Server2007等。由于IIS7采用了模塊化思路，在降低安全隱患的同時，性能也得到了增強，ZJFR的網(wǎng)站亦采用它進行創(chuàng)建。其它的WEB服務(wù)器系統(tǒng)還有WebSphere、Apache等。對應(yīng)申請的域名，分別在兩臺服務(wù)器上建立主機記錄： 00 01由于具備兩個域名，需要

21、對各個域名向主域名產(chǎn)生映射，因此在上的default.htm文件中進行定義，從而實現(xiàn)向主域名的自動跳轉(zhuǎn)：<meta http-equiv="refresh"content="0.1;url=">根據(jù)林業(yè)調(diào)查規(guī)劃、森林資源和環(huán)境監(jiān)測的需要，ZJFR的網(wǎng)站以浙江省森林資源為特色，包括了中心概況、新聞動態(tài)、通知公告、技術(shù)規(guī)程、項目成果、林業(yè)科技、下載中心、技術(shù)論壇等內(nèi)容，極大地宣傳了林業(yè)調(diào)查工作，也方便了基層林業(yè)部門的信息訪問需求。博士論文，交換機。3.3 郵件系統(tǒng)郵件作為日常工作中不可缺少的內(nèi)容，成為業(yè)務(wù)聯(lián)系的主要途徑之一，而采用自己的域名作為郵

22、件后綴創(chuàng)建自己的郵件服務(wù)器更是具有誘惑力。郵件交換器記錄是用于將域名映射為交換或轉(zhuǎn)發(fā)郵件的計算機名稱，該MX記錄用于在目標(biāo)地址中使用DNS域名為客戶機的訪問定位郵件服務(wù)器。電子郵件在發(fā)送與接收過程中都要遵循SMTP和POP3協(xié)議，它們分別負責(zé)電子郵件的發(fā)送和接收，所使用的TCP端口分別為25和110。采用01，建立了郵件服務(wù)器，并搭建了郵局。Microsoft Exchange Server 2007作為全新的信息管理平臺，它的主要功能是信息管理和協(xié)同作業(yè)6。它可以集成Windows Server 2008的用戶庫，不僅可以通過OutlookExpress進行收發(fā)操作，

23、也可以采用Microsoft OWA進行管理，訪問方式為3.4 數(shù)據(jù)庫系統(tǒng)與磁盤存儲配額空間在常用的關(guān)系型數(shù)據(jù)庫中，Oracle和SQL Server為主流產(chǎn)品。相比于Oracle高昂的購買費用、日常維護成本以及使用的復(fù)雜性，SQL Server在中小型規(guī)模表現(xiàn)出了高性價比，在功能、可伸縮性、性能、易用程度上都成為理想的選擇。不僅網(wǎng)站需要通過數(shù)據(jù)庫來存貯數(shù)據(jù)，瑞星殺毒軟件的日志也需要保存，另外，主要業(yè)務(wù)數(shù)據(jù)都利用它進行存儲管理并提供訪問服務(wù)。SQL Server 也擁有多個產(chǎn)品系列，常用的主要有Standard、Enterprise等，而每個版本又分為X86、X64和IA64不同的類型，以滿足

24、不同的需要7。根據(jù)操作系統(tǒng)平臺，服務(wù)器的環(huán)境以及業(yè)務(wù)數(shù)據(jù)量的需要，ZJFR選購的是標(biāo)準(zhǔn)版(Microsoft SQL Server 2008 Standard Edition X64/2 Proc)。利用Windows 的NTFS功能，按照磁盤配額的方式根據(jù)不同用戶的需求，在IBM DS3200上為每位員工劃分了獨立的磁盤空間，并設(shè)置了磁盤配額限制和警告級別，以利用其RAID10的安全性，保證工作人員數(shù)據(jù)的異地備份數(shù)量，避免重要文件因意外故障而損壞或丟失。3.5 病毒防護計算機病毒由于其傳染、破壞、隱蔽、觸發(fā)等特點，成為威脅網(wǎng)絡(luò)安全的主要因素之一，因此利用反病毒軟件，對其進行監(jiān)控識別、掃描、清

25、除成為網(wǎng)絡(luò)安全的重要保障。常見的反病毒軟件主要有瑞星(Rising)和諾頓(Norton)等。而擁有自主知識產(chǎn)權(quán)的國產(chǎn)軟件瑞星，不僅擁有全面的產(chǎn)品系列，并成為微軟MAPP(Microsoft Active Protection Program)的合作伙伴，因此對Microsoft 產(chǎn)品系列具備及時跟蹤更新的優(yōu)勢。瑞星的軟件分為個人和企業(yè)兩種不同的版本，企業(yè)版本根據(jù)用戶規(guī)模不同，也分為不同的級別。ZJFR所采用的Rising 2010企版，包括了系統(tǒng)中心、服務(wù)器端、客戶端、管理控制臺等組成部分，從而實現(xiàn)了同一管理的安全策略，保障了整個網(wǎng)絡(luò)的安全。4 網(wǎng)絡(luò)拓撲結(jié)構(gòu)建筑物綜合布線(Premises

26、Distribution System,PDS)是建筑技術(shù)與信息技術(shù)相結(jié)合的產(chǎn)物，也是網(wǎng)絡(luò)組建的工程基礎(chǔ)。一般將網(wǎng)絡(luò)劃分為工作區(qū)、水平布線、干線、設(shè)備間、管理、建筑群等子系統(tǒng)8-9，根據(jù)所選擇的硬件設(shè)備和軟件系統(tǒng), 以康普6類非屏蔽雙絞線為連接線路，最后形成網(wǎng)絡(luò)拓撲結(jié)構(gòu)(見圖1)。由于組建的網(wǎng)絡(luò)為千兆速率，與百兆速率相比，對應(yīng)的網(wǎng)絡(luò)設(shè)備端口密度大，功率高，散發(fā)的熱量也大，因此，保證在正常溫度環(huán)境下，是其穩(wěn)定運行的重要保障條件。由于建筑里所有的工作區(qū)距離設(shè)備間(中心機房)的距離均在100米以內(nèi)，因此，在布線工程中，并未將干線與水平線進行區(qū)分，而是由工作區(qū)直接到設(shè)備間，這樣不僅節(jié)省了成本，也保證了

27、網(wǎng)絡(luò)的穩(wěn)定性。傳統(tǒng)的分支交換機一般屬于管理子系統(tǒng)范疇，多采用了建筑中的弱電井存放，這很難保證網(wǎng)絡(luò)設(shè)備的溫度條件以及無塵要求。4.1 服務(wù)器地址對于WEB和郵件服務(wù)器，由于在物理位置上都位于網(wǎng)絡(luò)內(nèi)部，采用的也是私有地址，因此，在路由器上采用NAT技術(shù)與公網(wǎng)地址進行了轉(zhuǎn)換，分別為：00/0001/01數(shù)據(jù)庫服務(wù)器和一些公用的輸出設(shè)備，則僅限于內(nèi)部訪問，因此，只設(shè)置私有地址，并與服務(wù)器公用一個網(wǎng)段。4.2 防火墻安裝模式對所有的防火墻設(shè)備，為了降低管理的復(fù)雜程度，均采用了透明(transparent)模式，這

28、樣增加了設(shè)備的獨立性，其改動也不會影響其它的網(wǎng)絡(luò)設(shè)備。為了對其管理，在Juniper SSG520M上，通過對VLAN1設(shè)置地址94；在McAfee Email and Web Security 3000上設(shè)置IP地址01，分別對這些設(shè)備進行日常維護。4.3 VLAN劃分由于核心交換機采用了2臺Cisco Catalyst 3750G-48T-S堆疊而成，為了避免網(wǎng)絡(luò)廣播風(fēng)暴，并對不同部門的訪問權(quán)限進行不同區(qū)分，按照不同的職能部門，對端口進行了VLAN劃分?；诙丝谑菑奈锢韺舆M行的劃分方式，也是最常用的方式，配置起來也最為簡單，詳細定義如表1。另外

29、，為了防止IP地址的非法盜用，避免用戶隨意修改地址而引起沖突，在交換機上對MAC和IP地址進行了綁定，從而實現(xiàn)了專人專用IP的管理制度。以交換機1上的11號端口為例，其MAC地址為0024.7e6b.c854，IP地址為，在交換機上配置如下：圖1 網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖表1 VLAN劃分表VLAN部門地址網(wǎng)關(guān) VLAN部門地址網(wǎng)關(guān)1公共192.168.0.x/2440評估192.168.40.x/2410信息192.168.10.x/2450技術(shù)192.168.50.x/24

30、20資源192.168.20.x/2460辦公室192.168.60.x/2430規(guī)劃192.168.30.x/2470領(lǐng)導(dǎo)192.168.70.x/24(1) 建立MAC地址訪問控制列表mac access-list extended mac1011 permithost 0024.7e6b.c854 any permitany host 0024.7e6b.c854(2) 建立IP地址訪問控制列表ip access-list extended ip1011 permitip host any permitip any host (3) 在端口上應(yīng)用定義的訪問列表interface GigabitEthernet1/0/11 switchportaccess vlan 10 ipaccess-group ip1011 in macaccess-group mac1011 in同理，可以對所有的與交換機連接的設(shè)備進行端口、MAC、IP三者的綁定操作。5 討論本文只是針對中小企業(yè)規(guī)模的機構(gòu)進行了論述，在此基礎(chǔ)上，適當(dāng)降低設(shè)備和系統(tǒng)配置，可以在工作組級別上實現(xiàn)