大中型企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)方案new

1、畢 業(yè) 論 文論文題目 大中型企業(yè)網(wǎng)絡(luò)規(guī)劃 設(shè)計(jì)方案 學(xué) 院 中國(guó)農(nóng)業(yè)大學(xué) 專業(yè)年級(jí) 計(jì)算機(jī)科學(xué)與技術(shù)姓名學(xué)號(hào) 指導(dǎo)教師 職 稱 （年月）中國(guó)農(nóng)業(yè)大學(xué)教務(wù)處制中國(guó)農(nóng)業(yè)大學(xué)學(xué)士學(xué)位論文 大中型企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)方案中文摘要在信息技術(shù)迅猛發(fā)展的今天，網(wǎng)絡(luò)技術(shù)已經(jīng)滲透到各行各業(yè)，它帶來了大量的新知識(shí)、新技術(shù)，徹底改變了我們?nèi)粘Ｉ罴肮ぷ鞣绞?。它開闊了人們的眼界，使工作及生活的效率得以提高，網(wǎng)絡(luò)技術(shù)的迅猛普及最終將使我們受益匪淺，使我們以全新的理念及高效率的工作方式迎接新技術(shù)革命的挑戰(zhàn)。本文以網(wǎng)絡(luò)工程設(shè)計(jì)與規(guī)劃為題，闡述了如何規(guī)劃與設(shè)計(jì)一個(gè)大中型網(wǎng)絡(luò)的具體實(shí)現(xiàn)步驟，通過網(wǎng)絡(luò)需求收集以及對(duì)網(wǎng)絡(luò)層次、拓?fù)洹?/p>

2、流量、地址、路由、安全等方面進(jìn)行分析為最終的網(wǎng)絡(luò)設(shè)計(jì)方案構(gòu)建提供決策的依據(jù)。論文分為：網(wǎng)絡(luò)方案設(shè)計(jì)概述、設(shè)備的選型、網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)特點(diǎn)例等幾個(gè)方面進(jìn)行具體的闡述。關(guān)鍵字：網(wǎng)絡(luò)層次、流量分析、地址規(guī)劃、安全管理。AbstractIn today's rapid development of information technology, network technology has already permeated all walks of life, it brings a lot of new knowledge, new technology, completely changed

3、 our daily life and work. It broaden people's horizons to the efficiency of work and life can be improved, the rapid popularization of network technology will ultimately benefit us, so we have to new ideas and ways of working efficiently to meet the challenges of the new technological revolution

4、.The main idea of this paper is network engineering design & planning, It explains how to plan and design a concrete implementation steps, Medium and large networks,The decision-making depends on the analysis network requirements gathering & network level, topology, traffic, address, ro

5、uting, security and other aspects.The Paper divided in several aspects, include an overview of network design equipment selection network system design features.Keywords: network level, traffic analysis, address the planning, safety management.目錄引言41、網(wǎng)絡(luò)方案設(shè)計(jì)概述41.1項(xiàng)目背景41.2建立目標(biāo)41.3設(shè)計(jì)原則42、設(shè)備選型62.1系統(tǒng)功能62

6、.2系統(tǒng)環(huán)境要求63、網(wǎng)絡(luò)系統(tǒng)規(guī)劃設(shè)計(jì)73.1系統(tǒng)結(jié)構(gòu)73.1.1.系統(tǒng)特點(diǎn)分析73.1.2.結(jié)構(gòu)設(shè)計(jì)73.2冗余性設(shè)計(jì)93.2.1.采用HSRP熱備份協(xié)議技術(shù)93.2.2.HSRP工作原理103.2.3.系統(tǒng)的可靠性103.2.4.負(fù)載均衡103.2.5.系統(tǒng)的高安全性103.3系統(tǒng)擴(kuò)容方案103.3.1.核心交換機(jī)的冗余與擴(kuò)容103.3.2.接入交換機(jī)的冗余與擴(kuò)容103.4VLAN的劃分及IP地址分配113.4.1.VLAN的設(shè)計(jì)方案113.4.2.IP地址原則113.4.3.IP地址和Vlan具體劃分123.5網(wǎng)絡(luò)安全方案143.5.1.網(wǎng)絡(luò)安全概述143.5.2.網(wǎng)絡(luò)安全體系結(jié)構(gòu)143

7、.5.3.安全管理原則153.5.4.安全管理的實(shí)現(xiàn)164、總結(jié)175、參考文獻(xiàn)186、致謝19中國(guó)農(nóng)業(yè)大學(xué)畢業(yè)設(shè)計(jì)（論文）任務(wù)書20引言網(wǎng)絡(luò)飛速的發(fā)展，滲透了各行各業(yè)。在今天的時(shí)代大環(huán)境中，企業(yè)只有在技術(shù)上領(lǐng)先才能在競(jìng)爭(zhēng)中擁有優(yōu)勢(shì)地位。商務(wù)應(yīng)用、電子郵件、網(wǎng)絡(luò)技術(shù)、路由交換機(jī)、千兆以太網(wǎng)和策略聯(lián)網(wǎng)等不斷涌現(xiàn)，優(yōu)化這些應(yīng)用，同時(shí)設(shè)置新應(yīng)用。新應(yīng)用如VOIP電話、視頻會(huì)議等，正在改變?nèi)藗冮_展工作的方式，同時(shí)也改變著單位團(tuán)體使用網(wǎng)絡(luò)的方式。選擇一體化網(wǎng)絡(luò)的解決方案，是符合時(shí)代潮流，并且是提高工作效率的有效途徑。1、 網(wǎng)絡(luò)方案設(shè)計(jì)概述1.1 項(xiàng)目背景本方案為某單位辦公樓的網(wǎng)絡(luò)系統(tǒng)建設(shè)，主樓地上9層，

8、地下一層，裙樓3層。主樓作為辦公實(shí)驗(yàn)樓，裙樓作為會(huì)堂及展廳。本系統(tǒng)主要為內(nèi)部工作人員提供內(nèi)部局域網(wǎng)以及與Internet的安全連接，承載智能大廈的弱電系統(tǒng)各項(xiàng)數(shù)據(jù)信息的傳輸。1.2 建立目標(biāo)A. 建立光纖骨干網(wǎng)，提供內(nèi)部高速、高效、安全的信息高速公路；B. 網(wǎng)管中心形成具有信息轉(zhuǎn)發(fā)、存儲(chǔ)、共享、綜合處理、查詢服務(wù)等能力的核心交換系統(tǒng)； C. 充分考慮系統(tǒng)的安全性，提供系統(tǒng)數(shù)據(jù)備份等安全問題解決方案；D. 充分考慮可擴(kuò)充性，網(wǎng)絡(luò)系統(tǒng)可以很方便的升級(jí)和擴(kuò)充；E. 建立以信息交換、信息發(fā)布和查詢應(yīng)用為主的網(wǎng)絡(luò)應(yīng)用基礎(chǔ)環(huán)境，為企業(yè)的管理提供先 進(jìn)的支持手段。整個(gè)網(wǎng)絡(luò)系統(tǒng)技術(shù)領(lǐng)先，安全實(shí)用，操作、維護(hù)方

9、便；網(wǎng)絡(luò)結(jié)構(gòu)采用兩層結(jié)構(gòu)，分為核心層、接入層。1.3 設(shè)計(jì)原則結(jié)合整個(gè)實(shí)際應(yīng)用和發(fā)展要求，在進(jìn)行網(wǎng)絡(luò)系統(tǒng)改造設(shè)計(jì)時(shí)，主要應(yīng)遵循以下原則：（1） 高性能：網(wǎng)絡(luò)要求具有數(shù)據(jù)、圖像、語(yǔ)音等多媒體實(shí)時(shí)同步通訊能力。主干網(wǎng)提供可保證的服務(wù)質(zhì)量和充足的帶寬。采用最新科技，以適應(yīng)大量數(shù)據(jù)傳輸以及多媒體信息的傳輸。整個(gè)系統(tǒng)在國(guó)內(nèi)五到十年內(nèi)保持領(lǐng)先的水平，并具有長(zhǎng)足的發(fā)展能力，以適應(yīng)未來網(wǎng)絡(luò)技術(shù)的發(fā)展。如：具有三層及以上線速交換能力；支持靈活的跨網(wǎng)絡(luò)交換機(jī)（主干、部門）的基于IP、端口、MAC地址的VLAN劃分功能。（2） 高可靠性：網(wǎng)絡(luò)系統(tǒng)是日常業(yè)務(wù)和各種應(yīng)用系統(tǒng)的基礎(chǔ)設(shè)施，應(yīng)保證工作日和重點(diǎn)時(shí)期不間斷運(yùn)行。

10、整個(gè)網(wǎng)絡(luò)有足夠的冗余，設(shè)備在發(fā)生故障時(shí)能以熱插拔的方式在最短時(shí)間內(nèi)加以修復(fù)。同時(shí)，在核心層采用雙機(jī)容災(zāi)設(shè)置，降低了由系統(tǒng)故障引起的停滯時(shí)間?？煽啃赃€充分考慮網(wǎng)絡(luò)系統(tǒng)的性價(jià)比，使整個(gè)網(wǎng)絡(luò)具有一定的容錯(cuò)能力，減少單點(diǎn)故障。（3） 標(biāo)準(zhǔn)化：所有網(wǎng)絡(luò)設(shè)備都符合有關(guān)國(guó)際標(biāo)準(zhǔn)以保證不同廠家網(wǎng)絡(luò)設(shè)備之間的互操作性和網(wǎng)絡(luò)系統(tǒng)的開放性。（4） 高可用度和冗余：核心交換機(jī)采用雙機(jī)熱備容災(zāi)式設(shè)計(jì)，主控、電源、端口卡、制冷設(shè)備等關(guān)鍵部位均有硬件冗余，單個(gè)部件的故障不影響網(wǎng)絡(luò)的正常運(yùn)行，可用度超過99.99%。關(guān)鍵部件具有熱插拔功能，可保證在部件的更換或增加時(shí)不影響網(wǎng)絡(luò)正常運(yùn)行。（5） 可擴(kuò)充性和可擴(kuò)展性：所有網(wǎng)絡(luò)設(shè)備

11、不但滿足當(dāng)前需要，并在擴(kuò)充模塊后，滿足可預(yù)見將來需求。網(wǎng)絡(luò)設(shè)計(jì)要考慮當(dāng)前應(yīng)用和今后網(wǎng)絡(luò)的發(fā)展，便于向更新技術(shù)的升級(jí)與銜接。要留有擴(kuò)充余量，包括端口數(shù)量和帶寬的升級(jí)能力。（6） 易管理性：網(wǎng)絡(luò)設(shè)備應(yīng)易于管理，易于維護(hù)，操作簡(jiǎn)單，易學(xué)，易用，便于進(jìn)行網(wǎng)絡(luò)配置，發(fā)現(xiàn)故障。（7） 三層交換與VLAN的結(jié)合：在網(wǎng)絡(luò)中，各個(gè)部門可根據(jù)實(shí)際情況靈活的進(jìn)行VLAN的劃分，在整個(gè)網(wǎng)絡(luò)中使用虛擬技術(shù)，以便提供網(wǎng)絡(luò)的安全性和靈活性。中心設(shè)備和骨干設(shè)備能提供高速的VLAN路由和高性能的三層數(shù)據(jù)包處理。（8） 支持多媒體：支持文本、語(yǔ)音、圖形、圖像及音頻、視頻等多種媒體信息的傳輸、查詢服務(wù)，具有多種基于優(yōu)先級(jí)隊(duì)列的Qo

12、S保證，多媒體應(yīng)用對(duì)服務(wù)質(zhì)量有很高的要求，如帶寬，延遲的變化等，需要網(wǎng)絡(luò)對(duì)服務(wù)質(zhì)量(QoS)有很好的支持。（9） 安全性：網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)和文件多數(shù)要求具有高度的安全性，因此，網(wǎng)絡(luò)系統(tǒng)本身要有較高的安全性，對(duì)使用的信息進(jìn)行嚴(yán)格的權(quán)限管理，在技術(shù)上提供先進(jìn)的、可靠的、全面的安全方案和應(yīng)急措施，確保系統(tǒng)萬(wàn)無一失。同時(shí)符合國(guó)家關(guān)于網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和管理?xiàng)l例。（10） 實(shí)用性：系統(tǒng)建設(shè)首先要從系統(tǒng)的實(shí)用性角度出發(fā)，未來國(guó)際園內(nèi)部的信息傳輸都將依賴于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，所以系統(tǒng)設(shè)計(jì)必須具有很強(qiáng)的實(shí)用性，滿足不同用戶信息服務(wù)的實(shí)際需要，具有很高的性能價(jià)格比，能為多種應(yīng)用系統(tǒng)提供強(qiáng)有力的支持平臺(tái)；同時(shí)應(yīng)很好地利用現(xiàn)有

13、設(shè)備資源，保護(hù)用戶的已有投資。2、 設(shè)備選型本次方案計(jì)算機(jī)網(wǎng)絡(luò)交換設(shè)備我方選用國(guó)產(chǎn)H3C公司的產(chǎn)品。對(duì)于核心交換機(jī)我方選用兩臺(tái)ERS 8610系列交換機(jī)，ERS 8610系列交換機(jī)支持廣泛的接口類型和密度。接入層交換機(jī)我方均選用ERS 4500系列智能以太網(wǎng)交換機(jī)，該系列交換機(jī)是一個(gè)固定配置的獨(dú)立設(shè)備系列，提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，可提供增強(qiáng)LAN服務(wù)。LS-3100系列具有集成安全特性，包括網(wǎng)絡(luò)準(zhǔn)入控制(NAC)、高級(jí)服務(wù)質(zhì)量(QoS)和永續(xù)性，可為網(wǎng)絡(luò)邊緣提供智能服務(wù)。主要性能指標(biāo)參見主要設(shè)備技術(shù)指標(biāo)。與外部網(wǎng)絡(luò)連接的安全網(wǎng)關(guān)，我們選用H3C公司的NS-SecPath F1000

14、-S-AC，它可以提供業(yè)界領(lǐng)先的狀態(tài)防火墻和IP安全（IPSec）虛擬專用網(wǎng)服務(wù)，具有更強(qiáng)的處理能力和集成化的、基于硬件的IPSec加速功能。中心配置2臺(tái)核心交換機(jī)互為備份，接入層配15臺(tái)48口交換機(jī)和3臺(tái)24口交換機(jī)。2.1 系統(tǒng)功能本次網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)以下功能：A. 適應(yīng)桌面計(jì)算機(jī)處理、I/O能力大幅度提高的現(xiàn)狀，發(fā)揮桌面機(jī)的網(wǎng)絡(luò)性能，提高桌面機(jī)的訪問帶寬；達(dá)到主干10000M，10M/100M自適應(yīng)交換到桌面。B. 適應(yīng)連網(wǎng)規(guī)模大、總流量大的情況，合理分布流量，實(shí)現(xiàn)流量隔離和控制；C. 提供對(duì)應(yīng)用服務(wù)器的特別支持；D. 適應(yīng)部門多、層次復(fù)雜的特點(diǎn)，合理進(jìn)行網(wǎng)絡(luò)劃分，實(shí)現(xiàn)有效的安全訪問控制和運(yùn)

15、行管理。E. 能夠向未來的高速網(wǎng)絡(luò)技術(shù)和不斷出現(xiàn)的新應(yīng)用過渡。F. 保護(hù)已有投資，使原有的設(shè)備和網(wǎng)絡(luò)能夠平穩(wěn)升級(jí)。G. 實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)，解決互聯(lián)網(wǎng)絡(luò)帶來的安全問題和管理問題。H. 適應(yīng)數(shù)據(jù)集中型應(yīng)用的發(fā)展趨勢(shì)，為客戶/服務(wù)器的應(yīng)用環(huán)境提供支撐。I. 增加網(wǎng)絡(luò)系統(tǒng)的運(yùn)行可靠性，核心設(shè)備實(shí)現(xiàn)冗余，降低故障隱患，提高系統(tǒng)的可管理性。J. 適應(yīng)機(jī)構(gòu)建制和工作流程，提供多層次的安全保障。2.2 系統(tǒng)環(huán)境要求工作溫度要求：范圍在0-45；工作濕度要求：范圍在10%-85%(非冷凝)；供電要求：保證每個(gè)設(shè)備間、配線間的供電功率在所屬設(shè)備額定功率總和的1-1.5倍之間，并保持穩(wěn)定；安裝間距要求：設(shè)備安裝間距保證

16、在1U。3、 網(wǎng)絡(luò)系統(tǒng)規(guī)劃設(shè)計(jì)3.1 系統(tǒng)結(jié)構(gòu)3.1.1. 系統(tǒng)特點(diǎn)分析目前網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)有四種分析：(一) 星型拓?fù)浣Y(jié)構(gòu)(二) 總線拓?fù)浣Y(jié)構(gòu)(三) 環(huán)型拓?fù)浣Y(jié)構(gòu)(四) 樹型拓?fù)浣Y(jié)構(gòu)序號(hào)結(jié)構(gòu)分類優(yōu)點(diǎn)缺點(diǎn)備注1星型拓?fù)浣Y(jié)構(gòu)（1）控制簡(jiǎn)單。 （2）故障診斷和隔離容易。 （3）方便服務(wù)。（1）電纜長(zhǎng)度和安裝工作量可觀。 （2）中央節(jié)點(diǎn)的負(fù)擔(dān)較重，形成瓶頸。 （3）各站點(diǎn)的分布處理能力較低。2總線拓?fù)浣Y(jié)構(gòu)（1）總線結(jié)構(gòu)所需要的電纜數(shù)量少。 （2）總線結(jié)構(gòu)簡(jiǎn)單，又是無源工作，有較高的可靠性。 （3）易于擴(kuò)充，增加或減少用戶比較方便。（1）總線的傳輸距離有限，通信范圍受到限制。 （2）故障診斷和隔離較困

17、難。 （3）分布式協(xié)議不能保證信息的及時(shí)傳送，不具有實(shí)時(shí)功能3環(huán)型拓?fù)浣Y(jié)構(gòu)（1）電纜長(zhǎng)度短。 （2）增加或減少工作站時(shí)，僅需簡(jiǎn)單的連接操作。 （3）可使用光纖。（1）節(jié)點(diǎn)的故障會(huì)引起全網(wǎng)故障。 （2）故障檢測(cè)困難。 （3）環(huán)形拓?fù)浣Y(jié)構(gòu)的媒體訪問控制協(xié)議都采用令牌傳達(dá)室遞的方式，在負(fù)載很輕時(shí)，信道利用率相對(duì)來說就比較低。4樹型拓?fù)浣Y(jié)構(gòu)（1）易于擴(kuò)展。 （2）故障隔離較容易。各個(gè)節(jié)點(diǎn)對(duì)根的依賴性太大。3.1.2. 結(jié)構(gòu)設(shè)計(jì)根據(jù)上表結(jié)構(gòu)特點(diǎn)的對(duì)比和項(xiàng)目的實(shí)際環(huán)境需求，本次網(wǎng)絡(luò)建設(shè)拓?fù)浣Y(jié)構(gòu)為分層的集中式結(jié)構(gòu)或稱星型分級(jí)拓?fù)?。本系統(tǒng)根據(jù)實(shí)際情況，采用三級(jí)星型網(wǎng)絡(luò)結(jié)構(gòu)。星型結(jié)構(gòu)便于集中控制，因?yàn)槎擞脩糁g

18、的通信必須經(jīng)過中心站。由于這一特點(diǎn)，也帶來了易于維護(hù)和安全等優(yōu)點(diǎn)，端用戶設(shè)備因?yàn)楣收隙C(jī)時(shí)不會(huì)影響其它端用戶間的通信。但中心系統(tǒng)必須具有極高的可靠性，因?yàn)橐坏┧鼡p壞，整個(gè)系統(tǒng)便趨于癱瘓。二級(jí)星型結(jié)構(gòu)如下：網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)如下：A. 主干網(wǎng)匯接各子網(wǎng)，形成中心交換；B. 子網(wǎng)通過高速交換鏈路連接到主干網(wǎng)；C. 實(shí)行全網(wǎng)范圍的集中VLANs劃分與管理；D. 核心網(wǎng)絡(luò)采用雙機(jī)熱備容災(zāi)方式；E. 在網(wǎng)絡(luò)中心進(jìn)行集中控制和管理；F. 桌面機(jī)連接到基層網(wǎng)段上，服務(wù)器、工作站連接到高層網(wǎng)絡(luò)；G. 流量劃分層次，跨越基層網(wǎng)段的流量匯接到工作組子網(wǎng)，跨越工作組子網(wǎng)的流量匯接到主干；H. 在完善的網(wǎng)絡(luò)基礎(chǔ)之上，系統(tǒng)

19、提供基本的Internet服務(wù)。本項(xiàng)目計(jì)算機(jī)網(wǎng)絡(luò)總體上分為兩個(gè)層次的結(jié)構(gòu)：核心層，接入層。核心層：核心層主要為網(wǎng)絡(luò)系統(tǒng)提供一條高帶寬、高容量、高可靠性的高速信息公路，為監(jiān)控?cái)?shù)據(jù)查看與存儲(chǔ)提供高速的數(shù)據(jù)交換通路。該層由兩臺(tái)核心交換機(jī)互為熱備構(gòu)成，提供若干個(gè)千兆以太網(wǎng)絡(luò)光纖端口以及第三層路由交換功能。接入層：接入層提供了連接各信息點(diǎn)的匯集功能，通過本層將各信息點(diǎn)匯總連接到核心層，由核心層實(shí)現(xiàn)信息交換。接入層由各樓層的交換機(jī)構(gòu)成，各樓層交換機(jī)與核心交換機(jī)之間以雙千兆光纖連接，每一臺(tái)接入交換機(jī)分別兩臺(tái)核心交換機(jī)，以保證網(wǎng)絡(luò)鏈路的高可靠性。計(jì)算機(jī)網(wǎng)絡(luò)拓?fù)鋱D如下：服務(wù)器核心交換機(jī)-雙機(jī)熱備接入層交換機(jī)會(huì)堂

20、1-3層服務(wù)器服務(wù)器核心交換機(jī)-雙機(jī)熱備接入層交換機(jī)展廳接入層交換機(jī)各樓層B1-93.2 冗余性設(shè)計(jì)核心層采用兩臺(tái)核心交換機(jī)熱備容災(zāi)的方式，實(shí)現(xiàn)網(wǎng)絡(luò)主干的冗余。下面就對(duì)實(shí)現(xiàn)網(wǎng)絡(luò)主干冗余的技術(shù)進(jìn)行介紹。3.2.1. 采用HSRP熱備份協(xié)議技術(shù)HSRP即熱備份路由器協(xié)議，實(shí)現(xiàn)HSRP的條件是系統(tǒng)中有至少兩臺(tái)路由設(shè)備，它們組成一個(gè)“熱備份組”，這個(gè)組形成一個(gè)虛擬路由器。在任一時(shí)刻，一個(gè)組內(nèi)只有一個(gè)路由器是活動(dòng)的，并由它來轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動(dòng)路由器發(fā)生了故障，將選擇一個(gè)備份路由器來替代活動(dòng)路由器，但是在本網(wǎng)絡(luò)內(nèi)的主機(jī)看來，虛擬路由器沒有改變。所以主機(jī)仍然保持連接，沒有受到故障的影響，這樣就較好地解決了

21、路由器切換的問題。 在使用HSRP時(shí)，一組路由器的工作將一致的表現(xiàn)為局域網(wǎng)上通往主機(jī)的一個(gè)虛擬路由器的工作。這組路由器就稱為一個(gè) HSRP組，或備份組。這個(gè)組中將選出一個(gè)路由器來負(fù)責(zé)轉(zhuǎn)發(fā)由主機(jī)發(fā)給虛擬路由器的數(shù)據(jù)包。這個(gè)路由器就是所謂的活路由器。另一臺(tái)路由器將被選為備份路由器。在活路由器失效的情況下，備份路由器將承擔(dān)活路由器的包的轉(zhuǎn)發(fā)功能。即使你可以任意制定運(yùn)行HSRP的路由器的數(shù)量，但只有活路由器才能轉(zhuǎn)發(fā)發(fā)送給虛擬路由器的數(shù)據(jù)包。 在某個(gè)局域網(wǎng)里，多個(gè)熱備組可以共存和重疊。每個(gè)備份組都仿效一個(gè)虛擬路由器。對(duì)于每個(gè)備份組來說都有一個(gè)為別人所知的MAC地址，以及一個(gè)IP地址。

22、而這個(gè)IP地址應(yīng)該是這個(gè)局域網(wǎng)中第一個(gè)子網(wǎng)中的地址，但必須不同于設(shè)置在所有路由器端口上的地址和局域網(wǎng)中主機(jī)的地址，甚至包括為其他HSRP組設(shè)的地址。3.2.2. HSRP工作原理HSRP利用一個(gè)優(yōu)先級(jí)方案來決定哪個(gè)配置了HSRP的路由設(shè)備成為默認(rèn)的主動(dòng)路由設(shè)備。如果一個(gè)路由設(shè)備的優(yōu)先級(jí)設(shè)置的比所有其他路由設(shè)備的優(yōu)先級(jí)高，則該路由設(shè)備成為主動(dòng)路由設(shè)備。路由設(shè)備的缺省優(yōu)先級(jí)是100，所以如果只設(shè)置一個(gè)路由設(shè)備的優(yōu)先級(jí)高于100，則該路由設(shè)備將成為主動(dòng)路由設(shè)備。 3.2.3. 系統(tǒng)的可靠性由于本方案的路由模塊之間采用HSRP（熱備份冗余協(xié)議）協(xié)議，保證了兩臺(tái)路由模塊中的任意一臺(tái)出現(xiàn)故障，或路由模塊的

23、廣域網(wǎng)口出現(xiàn)故障，都會(huì)迅速切換到另外一臺(tái)自動(dòng)接替其工作，并且不引起其他節(jié)點(diǎn)的路由表重新計(jì)算，從而提高網(wǎng)絡(luò)的穩(wěn)定性。3.2.4. 負(fù)載均衡因?yàn)槊總€(gè)接入層交換機(jī)都分別和兩臺(tái)核心交換機(jī)相聯(lián)，我們可以在兩臺(tái)核心交換機(jī)上的交換備板上劃分出各自的VLAN，某個(gè)子網(wǎng)VLAN在左側(cè)路由模塊上的HSRP的優(yōu)先級(jí)較高，這個(gè)VLAN使用左邊交換機(jī)的交換機(jī)備板交換數(shù)據(jù)；某個(gè)子網(wǎng)VLAN在右側(cè)路由器上的HSRP的優(yōu)先級(jí)較高，這個(gè)VLAN使用左邊交換機(jī)的交換機(jī)備板交換數(shù)據(jù)。這樣可以充分利用了帶寬資源，而且實(shí)現(xiàn)了負(fù)載均衡。3.2.5. 系統(tǒng)的高安全性由于各虛擬網(wǎng)之間不能直接進(jìn)行通訊，而必須通過路由器轉(zhuǎn)發(fā)，為高級(jí)的安全控制提

24、供了可能，增強(qiáng)了網(wǎng)絡(luò)的安全性。在大規(guī)模的網(wǎng)絡(luò)中，它們之間的數(shù)據(jù)是保密的，相互之間只能提供接口數(shù)據(jù)，其它數(shù)據(jù)是保密的?？梢酝ㄟ^劃分虛擬局域網(wǎng)對(duì)不同部門進(jìn)行隔離。3.3 系統(tǒng)擴(kuò)容方案在網(wǎng)絡(luò)組建初期，網(wǎng)絡(luò)端口和模塊配置相應(yīng)較少，隨著業(yè)務(wù)量的不斷增加，對(duì)網(wǎng)絡(luò)的需求量會(huì)越來越大，因此要求網(wǎng)絡(luò)交換設(shè)備具有較強(qiáng)的端口擴(kuò)展性和冗余度。3.3.1. 核心交換機(jī)的冗余與擴(kuò)容本系統(tǒng)采用的核心交換機(jī)為模塊化智能交換機(jī)，目前端口配置為1路萬(wàn)兆光口，15路千兆光口，24路千兆電口，光口冗余度達(dá)到15%。并且在日后網(wǎng)絡(luò)系統(tǒng)容量需要增加時(shí)，只要增加相應(yīng)接口卡即可輕松進(jìn)行系統(tǒng)擴(kuò)容。3.3.2. 接入交換機(jī)的冗余與擴(kuò)容本系統(tǒng)采用

25、的接入交換機(jī)為智能化交換機(jī)，目前配置為15臺(tái)48路交換機(jī)、3臺(tái)24路交換機(jī)，目前自用網(wǎng)絡(luò)所占用的端口數(shù)為355個(gè)，僅占用總端口量的1/2，剩余端口均為預(yù)留端口，冗余度極大，完全可以保證在一段時(shí)間內(nèi)的正常使用。當(dāng)網(wǎng)絡(luò)需求量超出目前配置的端口量時(shí)，只需要增加接入交換機(jī)和相關(guān)的光模塊即可實(shí)現(xiàn)接入層的擴(kuò)容，根據(jù)目前的網(wǎng)絡(luò)配置情況，接入層可允許的擴(kuò)容數(shù)量為18臺(tái)，如仍需增加接入交換機(jī)，則需要增加相應(yīng)的核心交換機(jī)板卡。3.4 VLAN的劃分及IP地址分配3.4.1. VLAN的設(shè)計(jì)方案VLAN的實(shí)現(xiàn)方式有兩種：靜態(tài)和動(dòng)態(tài)。靜態(tài)實(shí)現(xiàn)是網(wǎng)絡(luò)管理員將交換機(jī)端口分配給某一個(gè)VLAN，這是一種最經(jīng)常使用的配置方式，

26、容易實(shí)現(xiàn)和監(jiān)視，而且比較安全。 動(dòng)態(tài)實(shí)現(xiàn)方式中，管理員必須先建立一個(gè)較復(fù)雜的數(shù)據(jù)庫(kù)，例如輸入要連接的網(wǎng)絡(luò)設(shè)備的MAC地址及相應(yīng)的VLAN號(hào)，這樣當(dāng)網(wǎng)絡(luò)設(shè)備接到交換機(jī)端口時(shí)交換機(jī)自動(dòng)把這個(gè)網(wǎng)絡(luò)設(shè)備所連接的端口分配給相應(yīng)的VLAN。動(dòng)態(tài)VLAN的配置可以基于網(wǎng)絡(luò)設(shè)備的MAC地址、IP地址、應(yīng)用或者所使用的協(xié)議。實(shí)現(xiàn)動(dòng)態(tài)VLAN時(shí)候一般情況下使用管理軟件來進(jìn)行管理。在CISCO交換機(jī)上可以使用VLAN管理策略服務(wù)器（VMPS）實(shí)現(xiàn)基于MAC地址的動(dòng)態(tài)VLAN配置。VMPS是MAC地址與VLAN的映射表。這種配置的優(yōu)點(diǎn)是網(wǎng)絡(luò)管理員維護(hù)管理相應(yīng)的數(shù)據(jù)庫(kù)，而不用關(guān)心用戶使用哪一個(gè)端口，但是每次新用戶加入時(shí)

27、需要做較復(fù)雜的手工配置。基于IP地址的動(dòng)態(tài)配置中，交換機(jī)通過查閱網(wǎng)絡(luò)層的地址自動(dòng)將用戶分配到不同的虛擬局域網(wǎng)。 這次VLAN的劃分考慮到，動(dòng)態(tài)VLAN維護(hù)非常復(fù)雜、許多安全策略不能很好地得到應(yīng)用，所以我們建議這次VLAN的劃分采用靜態(tài)的方式。通過改變掩碼的設(shè)置，把原有的IP地址，以部門為單位劃分成不同的網(wǎng)段。在交換機(jī)上分別建立各個(gè)VLAN的網(wǎng)關(guān)，在接入層交換機(jī)上把端口分別劃入各自的VLAN中，通過在交換機(jī)上建立訪問控制列表，控制VLAN之間是否可以通訊，通過在接入層的端口上實(shí)施安全策略，來提高網(wǎng)絡(luò)的安全性。把每個(gè)專業(yè)的本地服務(wù)器，都劃分到一個(gè)VLAN中，然后通過實(shí)施應(yīng)用層的安全策略，來控制有哪

28、些員工可以訪問不同專業(yè)的本地服務(wù)器。這樣可以安全的實(shí)施資源分配，減少網(wǎng)管人員的日常工作量。3.4.2. IP地址原則IP地址是TCP/IP協(xié)議族中的網(wǎng)絡(luò)層邏輯地址，它被用來唯一地標(biāo)識(shí)網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)。通常用于IP地址分配的技術(shù)有：可變長(zhǎng)子網(wǎng)掩碼技術(shù)(VLSM¾Variable lengthSubnetMask)和路徑疊合技術(shù)(Route Summarization)。IP地址的分配遵循以下幾個(gè)原則：唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址。簡(jiǎn)單性：地址分配應(yīng)簡(jiǎn)單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡(jiǎn)化路由表的項(xiàng)。連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由

29、表，提高路由算法的效率。可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址疊合所需的連續(xù)性。靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。3.4.3. IP地址和Vlan具體劃分1）Vlan與IP地址段見下表：VLAN 號(hào)用途VLAN類型備注1默認(rèn)VLAN10159段虛擬交換機(jī)Access主交換機(jī)業(yè)務(wù)板的29-32口VLAN，用于連接外網(wǎng)（159段）設(shè)備，VLAN IP:159.226.34.254(外網(wǎng)主網(wǎng)關(guān))20點(diǎn)對(duì)點(diǎn)VLAN IPAccess192.168.1.58，主交換機(jī)業(yè)務(wù)板端口16的VLAN IP,鏈接入口光纖，對(duì)端IP:192.1

30、68.1.57100(99)地下1層接入交換機(jī)(因?yàn)?00IPS已用，現(xiàn)改為99)1011層接入交換機(jī)1022層接入交換機(jī)1033層接入交換機(jī)1044層接入交換機(jī)1055層接入交換機(jī)1066層接入交換機(jī)1077層接入交換機(jī)1088層接入交換機(jī)1099層接入交換機(jī)200展廳接入交換機(jī)201會(huì)堂1層接入交換機(jī)202會(huì)堂2層接入交換機(jī)203會(huì)堂3層接入交換機(jī)2）設(shè)備IP/VLAN/DHCP區(qū)間劃分位置管理IP私網(wǎng)IP空間網(wǎng)關(guān)地址VLAN號(hào)說明核心交換機(jī)172.16.10.1地下一層(B1)172.16.10.10010.10.100.110.10.100.25410.10.100.199已改為99，

31、100不能用1層(L1)172.16.10.10110.10.101.110.10.101.25410.10.101.11012層(L2)172.16.10.10210.10.102.110.10.102.25410.10.102.11023層(L3)172.16.10.10310.10.103.110.10.103.25410.10.103.11034層(L4)172.16.10.10410.10.104.110.10.104.25410.10.104.11045層(L5)172.16.10.10510.10.105.110.10.105.25410.10.105.11056層(L6)172

32、.16.10.10610.10.106.110.10.106.25410.10.106.11067層(L7)172.16.10.10710.10.107.110.10.107.25410.10.107.1107保密層8層(L8)172.16.10.10810.10.108.110.10.108.25410.10.108.11089層(L9)172.16.10.10910.10.109.110.10.109.25410.10.109.1109展廳172.16.10.20010.10.200.110.10.200.25410.10.200.1200會(huì)堂1層172.16.10.20110.10.20

33、1.110.10.201.25410.10.201.1201會(huì)堂2層172.16.10.20210.10.202.110.10.202.25410.10.202.1102會(huì)堂3層172.16.10.20310.10.203.110.10.203.25410.10.203.12033.5 網(wǎng)絡(luò)安全方案3.5.1. 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。 網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的機(jī)密性、完整性、可用性、可控性和可審查性的相關(guān)技

34、術(shù)和理論都屬于網(wǎng)絡(luò)安全范圍。網(wǎng)絡(luò)安全包括五個(gè)基本要素：機(jī)密性、完整性、可用性、可控性與可審查性。機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改?？捎眯裕旱玫绞跈?quán)的實(shí)體在需要時(shí)可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作?？煽匦裕嚎梢钥刂剖跈?quán)范圍內(nèi)的信息流向及行為方式?？蓪彶樾裕簩?duì)出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。3.5.2. 網(wǎng)絡(luò)安全體系結(jié)構(gòu)通過對(duì)網(wǎng)絡(luò)的全面了解，按照安全策略的要求及風(fēng)險(xiǎn)分析的結(jié)果，整個(gè)網(wǎng)絡(luò)措施應(yīng)按系統(tǒng)體系建立。 具體的安全控制系統(tǒng)由以下兩個(gè)方面組成：物理安全、網(wǎng)絡(luò)安全。1）物理安全保證計(jì)算機(jī)信

35、息系統(tǒng)各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤和各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。2）網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全系統(tǒng)（主機(jī)、服務(wù)器）安全反病毒系統(tǒng)安全檢測(cè)入侵檢測(cè)審計(jì)分析網(wǎng)絡(luò)運(yùn)行安全備份與恢復(fù)應(yīng)急、災(zāi)難恢復(fù)局域網(wǎng)、子網(wǎng)安全訪問控制（防火墻）網(wǎng)絡(luò)安全檢測(cè)（1） 內(nèi)外網(wǎng)隔離及訪問控制系統(tǒng)防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問控制尺度,其主要目標(biāo)就是通過控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上，防火墻是一個(gè)分離器

36、，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間地任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)地安全；在物理實(shí)現(xiàn)上，防火墻是位于外部網(wǎng)與核心交換機(jī)之間硬件設(shè)備，起到對(duì)進(jìn)出信息分析過濾的作用。防火墻系統(tǒng)能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性，它決定了哪些內(nèi)部服務(wù)可以被外界訪問；外界的哪些人可以訪問內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。要使一個(gè)防火墻有效，所有來自和去往Internet的信息都必須經(jīng)過防火墻，接受防火墻的檢查，只允許授權(quán)的數(shù)據(jù)通過。在內(nèi)部網(wǎng)與外部網(wǎng)之間，設(shè)置防火墻（包括分組過濾與應(yīng)用代理）實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制是保護(hù)內(nèi)部網(wǎng)安全的最主要、同時(shí)也是最有效、最經(jīng)濟(jì)的措施之一。防

37、火墻主要通過分組過濾、應(yīng)用代理兩種技術(shù)作為防范手段。 a) 分組過濾（Packet filtering）：用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。b) 應(yīng)用代理（Application Proxy）：也叫應(yīng)用網(wǎng)關(guān)（Application Gateway），它作用在應(yīng)用層，特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)。（2） 網(wǎng)絡(luò)反病毒由于在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病

38、毒有不可估量的威脅性和破壞力，一次計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒和消毒三種技術(shù)：a) 預(yù)防病毒技術(shù)：它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)進(jìn)行破壞。這類技術(shù)有，加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制（如防病毒卡等）。b) 檢測(cè)病毒技術(shù)：它是通過對(duì)計(jì)算機(jī)病毒的特征來進(jìn)行判斷的技術(shù)，如自身校驗(yàn)、關(guān)鍵字、文件長(zhǎng)度的變化等。c) 分析病毒技術(shù)：它通過對(duì)計(jì)算機(jī)病毒的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。網(wǎng)絡(luò)反病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)

39、行頻繁地掃描和監(jiān)測(cè)；在工作站上用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。鑒于實(shí)際情況，我方建議業(yè)主方增加一套網(wǎng)絡(luò)版殺毒軟件，以應(yīng)對(duì)網(wǎng)絡(luò)中存在的病毒威脅。3.5.3. 安全管理原則網(wǎng)絡(luò)信息系統(tǒng)的安全管理主要基于三個(gè)原則。1）多人負(fù)責(zé)原則 每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有兩人或多人在場(chǎng)。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠(chéng)可靠，能勝任此項(xiàng)工作；他們應(yīng)該簽署工作情況記錄以證明安全工作已得到保障。以下各項(xiàng)是與安全有關(guān)活動(dòng)：（1） 訪問控制使用證件的發(fā)放與回收；（2） 信息處理系統(tǒng)使用的媒介發(fā)放與回收；（3） 處理保密信息；（4） 硬件和軟件的維護(hù)；（5） 系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改；（

40、6） 重要程序和數(shù)據(jù)的刪除和銷毀等；2）任期有限原則一般地講，任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專有的或永久性的。為遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強(qiáng)制實(shí)行休假制度，并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實(shí)可行。3）職責(zé)分離原則在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。出于對(duì)安全的考慮，下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)分開。3.5.4. 安全管理的實(shí)現(xiàn)信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。具體工作是：1）根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級(jí)。2） 根據(jù)確定的安全等級(jí)，確定安全管理的范圍。3） 制訂相應(yīng)的機(jī)房出入管理制度：對(duì)于安全等級(jí)要求較高的系統(tǒng)，要實(shí)行