信息安全技術(shù)專業(yè)

1、信息安全技術(shù)專業(yè)VLAN 在某單位網(wǎng)絡(luò)安全管理系統(tǒng)的運(yùn)用目錄摘要：5一、 引言5（一） 研究背景5（二） 研究作用與意義5（三） 研究現(xiàn)狀61、 國內(nèi)研究現(xiàn)狀62、 國外研究現(xiàn)狀63、 VLAN研究現(xiàn)狀分析7二、 VLAN技術(shù)基礎(chǔ)7（一） VLAN概述7（二） 交換式以太網(wǎng)VLAN和 ATM VLAN8（三） 某單位劃分 VLAN的原因分析81、 組強(qiáng)結(jié)構(gòu)的完善82、 網(wǎng)絡(luò)性能的改善83、 安全性能的提高8（四） 虛擬局域網(wǎng)分類9（五） VLAN的優(yōu)點(diǎn)91、 控制網(wǎng)絡(luò)廣播風(fēng)暴92、 確保網(wǎng)絡(luò)安全93、 增加網(wǎng)絡(luò)連接靈活性9三、 虛擬局域網(wǎng)的網(wǎng)絡(luò)管理需求分析10（一） 某單位網(wǎng)絡(luò)總目標(biāo)10（二）

2、 某單位網(wǎng)絡(luò)中VLAN技術(shù)的優(yōu)勢 . 101、 降低移動成本和變更管理成本. 102、 網(wǎng)絡(luò)管理的便捷化103、 網(wǎng)絡(luò)安全性增強(qiáng)11四、 基于 VLAN的某單位網(wǎng)絡(luò)總體設(shè)計11（一） 三大平臺建設(shè)需求111、 統(tǒng)一數(shù)據(jù)平臺112、 統(tǒng)一身份認(rèn)證平臺113、 統(tǒng)一單位門戶平臺12（二） 系統(tǒng)設(shè)計原則121、 可管理性與先進(jìn)性122、 標(biāo)準(zhǔn)化與保密性123、 可靠性與安全性124、 經(jīng)濟(jì)性與可擴(kuò)展性12五、 VLAN在某單位網(wǎng)絡(luò)管理中的運(yùn)用13（一） VLAN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)13（二） VLAN 的 ID 規(guī)劃14（三） VLAN地址的動態(tài)分配與管理15六、 網(wǎng)絡(luò)安全策略15（一） 個人網(wǎng)絡(luò)安全15（

3、二） 網(wǎng)絡(luò)測試和監(jiān)控16（三） 安全補(bǔ)丁16（四） 網(wǎng)絡(luò)日常維護(hù)16七、 結(jié)束語16參考文獻(xiàn)16摘要：隨著科學(xué)技術(shù)的進(jìn)步，計算機(jī)技術(shù)快速發(fā)展，計算機(jī)網(wǎng)絡(luò)是信息社會的基礎(chǔ)，已進(jìn)入了社會各個角落，網(wǎng)絡(luò)系統(tǒng)的運(yùn)用已經(jīng)成為了人類生活不可或缺的一部分。經(jīng)濟(jì)、軍事、文化和社會生活也越來越離不開計算機(jī)網(wǎng)絡(luò)。虛擬局域網(wǎng) VLAN（Virtual Local Area Network）作為一種新型的網(wǎng)絡(luò)技術(shù)，其具有網(wǎng)絡(luò)配置靈活、方便升級擴(kuò)展和安全可靠性高等優(yōu)點(diǎn)，并能解決當(dāng)前某單位網(wǎng)絡(luò)中的問題。本文設(shè)計了一種基于虛擬局域網(wǎng)的管理和應(yīng)用系統(tǒng)，通過虛擬局域網(wǎng)來實現(xiàn)用戶的移動式和快捷化組網(wǎng)，便于網(wǎng)管人員對網(wǎng)絡(luò)資源進(jìn)行優(yōu)

4、化和配置管理，提高某單位的網(wǎng)絡(luò)安全性、靈活性和可靠性。關(guān)鍵詞： 網(wǎng)絡(luò)安全；網(wǎng)絡(luò)管理；虛擬局域網(wǎng)一、引言（一）研究背景在隨著信息化的迅猛發(fā)展，我國信息安全事件日益增多，政治文化風(fēng)險不斷加大。某單位搭建了內(nèi)部的網(wǎng)絡(luò)，在網(wǎng)上實現(xiàn)了綜合辦公系統(tǒng)。隨著電子政務(wù)應(yīng)用的公開推廣，各部門之間的交流也逐漸電子化，遭遇病毒感染和黑客破壞的機(jī)率也在不斷增加?？上攵?，如果病毒木馬爆發(fā)，網(wǎng)絡(luò)信息泄漏，輕者部分工作受影響，工作效率低；重者數(shù)據(jù)庫服務(wù)器受損，數(shù)據(jù)泄漏、丟失，內(nèi)部信息化管理混亂，服務(wù)將處于癱瘓狀態(tài)，損失將是極為慘狀的。盡管該網(wǎng)絡(luò)與處于外界物理隔離的狀態(tài)下，這在一定程度上避免了外部有心之人通過網(wǎng)絡(luò)進(jìn)行的攻擊，

5、但安全問題隱患依然是存在的。根據(jù)統(tǒng)計分析，80%以上的安全威脅問題均是來自系統(tǒng)的內(nèi)部，與來自網(wǎng)絡(luò)外部人員的攻擊破壞相比，來自系統(tǒng)內(nèi)部的攻擊犯罪更為惡劣和更加難以防范。（二）研究作用與意義某單位所涉及到的部門和業(yè)務(wù)多，開放性較強(qiáng)。單位網(wǎng)絡(luò)管理難度增加，計算機(jī)購置和配置情況較為復(fù)雜，配置程度不一，品牌、型號和性能差異大，有的是個人購買，有的則是由公司統(tǒng)一購置，驗證以實現(xiàn)統(tǒng)一的管理。單位安全管理措施難以到位，若出現(xiàn)問題，責(zé)任難以落實。VLAN的主要作用概括起來主要有：控制網(wǎng)絡(luò)廣播風(fēng)暴；進(jìn)行有效的網(wǎng)絡(luò)監(jiān)控；實現(xiàn)對流量的控制與管理；實現(xiàn)不同地域不同部門內(nèi)部的局域網(wǎng)通信和提高網(wǎng)絡(luò)安全等。虛擬局域網(wǎng)作為一種

6、新型的網(wǎng)絡(luò)技術(shù)，具有網(wǎng)絡(luò)配置靈活、安全可靠性強(qiáng)等優(yōu)點(diǎn)。（三）研究現(xiàn)狀1、國內(nèi)研究現(xiàn)狀計算機(jī)網(wǎng)絡(luò)在給廣大用戶帶來巨大的便利的同時，其所帶來的安全性問題也不容忽視，其中要數(shù)網(wǎng)絡(luò)安全問題最為顯著。網(wǎng)絡(luò)安全問題在網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)和互聯(lián)網(wǎng)的迅速普及的過程中不斷激增，而且也將長期地存在下去。換言之，計算機(jī)技術(shù)的發(fā)展與網(wǎng)絡(luò)安全問題呈現(xiàn)出一種正比率的關(guān)系，即隨著計算機(jī)技術(shù)的不斷發(fā)展其所帶來的網(wǎng)絡(luò)安全問題也在不斷增多。當(dāng)人類開始步入21 世紀(jì)的信息社會以來，我國也緊緊把握信網(wǎng)絡(luò)社會發(fā)展的新趨勢，建立起一套完整的國家信息安全體系，這包括了國家的法律法規(guī)和相關(guān)政策，以及信息技術(shù)和市場發(fā)展平臺。我國在構(gòu)建信息防御體

7、系時，著重發(fā)展我國獨(dú)特的安全產(chǎn)品。近年來，我國的信息安全軟件的銷售額在不斷地提高，越來越多的中小企業(yè)有著信息安全的需求。這既說明了國家對信息安全的高度重視，也說明了我國存在信息安全產(chǎn)品的巨大市場需求。2、國外研究現(xiàn)狀國際上信息安全研究較我國起步早，力度大，積累的經(jīng)驗多，應(yīng)用范圍廣。早在 20 世紀(jì)的 70 年代，在美國的網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論成果“計算機(jī)保密模型”的基礎(chǔ)上就指定了“可信計算機(jī)系統(tǒng)安全評估準(zhǔn)則”，其后又制定出了關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫方面和其他一系列有關(guān)安全的解釋，形成了安全信息系統(tǒng)結(jié)構(gòu)的準(zhǔn)則。安全協(xié)議作為信息安全的最為重要的內(nèi)容，其形式化的分析方法始于 20 世紀(jì) 80 年代初期，目前

8、有基于模態(tài)邏輯、狀態(tài)機(jī)和代數(shù)工具的三種分析方法。這些方法正處于提高的階段，仍有著其局限性和相應(yīng)的漏洞。近年來空前活躍的信息安全關(guān)鍵技術(shù)的密碼學(xué)，始于 1976 年美國學(xué)者提出的公開密鑰密碼體制，其有效克服了網(wǎng)絡(luò)信息系統(tǒng)密鑰管理的困難，同時也解決了數(shù)字簽名的問晤面，成為了當(dāng)前研究的熱點(diǎn)。如今，電子商務(wù)的安全性成為了當(dāng)前學(xué)者們普遍關(guān)注的焦點(diǎn)，它的研究的發(fā)展帶動了誰理論和密鑰管理等的相關(guān)研究。由于計算機(jī)去處速度的不斷快速提高，出現(xiàn)了新的密碼體制，如量子密碼，DNA密碼和混沌理論等等。3、VLAN研究現(xiàn)狀分析由于計算機(jī)技術(shù)在美國最早得到快速發(fā)展，因而國外對網(wǎng)絡(luò)的建設(shè)起步較我國早，已經(jīng)有了多年的發(fā)展經(jīng)驗

9、也歷史了，并已成為支持企業(yè)、單位電子化和流程化運(yùn)轉(zhuǎn)的重要手段。在互聯(lián)網(wǎng)技術(shù)快速發(fā)展的帶動下，世界上各科研部門和商業(yè)機(jī)構(gòu)加緊了對虛擬局域網(wǎng)的研究開發(fā)，世界上各個頂級公司也投入了大量的精力加強(qiáng)對虛擬局域網(wǎng)的研發(fā)。 3C公司已成功研制出了一種基于 Transcend 架構(gòu)的虛擬局域網(wǎng)，該種架構(gòu)在一定程度上防止了網(wǎng)絡(luò)風(fēng)暴的出現(xiàn)，并減少了網(wǎng)絡(luò)帶寬的占用率，降低了對計算機(jī) CPU信息處理的消耗，與此同時也增強(qiáng)了對網(wǎng)絡(luò)虛擬化的管理，并提高了安全性。集中管理、統(tǒng)一配置的方式優(yōu)化了網(wǎng)絡(luò)結(jié)構(gòu)和資源管理。有學(xué)者提出了一種基于FTTH的虛擬局域網(wǎng)資源規(guī)劃方式，通過對CVLAN和 PON的引入，提升了網(wǎng)絡(luò)性能。此外，另

10、有學(xué)者提出基于 RIP 的路由方法，采用仿真軟件，設(shè)計出了一種跨路由器的 VLAN，從而實現(xiàn)了不同虛擬局域網(wǎng)網(wǎng)絡(luò)間的通信，并由此仿真實驗驗證了此種方法的可行性。二、 VLAN技術(shù)基礎(chǔ)虛擬局域網(wǎng)最大的優(yōu)勢在于它實現(xiàn)了對網(wǎng)絡(luò)的虛擬化和管理與劃分，使得網(wǎng)絡(luò)更為可靠靈活。在構(gòu)建虛擬局域網(wǎng)時各個站點(diǎn)不受地理位置的限定，同時各站點(diǎn)又處于平等的地位，配置過程具有一定的自由度，即使在不同交換機(jī)中的計算機(jī)節(jié)點(diǎn)也能構(gòu)建在同一個虛擬網(wǎng)絡(luò)當(dāng)中。虛擬局域網(wǎng)技術(shù)讓網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得更為靈活，配置更為方便，網(wǎng)絡(luò)功能的拓?fù)涓鼮殪`活，對流理更為方便，安全性大大提高，能有效地控制網(wǎng)絡(luò)風(fēng)暴。（一） VLAN概述VLAN是一種規(guī)范，

11、它主要是用于解決廣播和安全問題，能過虛擬局域網(wǎng)的ID 來實現(xiàn)對用戶的更細(xì)的分組，對用戶的訪問進(jìn)一定范圍的限制。虛擬局域網(wǎng)是一種邏輯上的用戶與設(shè)備，不會受到物理位置的限制，可以根據(jù)實際情況的需要來將設(shè)備與用戶進(jìn)行重新組織，彼此的訪問如果是處于同一網(wǎng)段中時，形成虛擬局域網(wǎng)。 VLAN 建立在局域網(wǎng)交換機(jī)的基礎(chǔ)上，這也是局域交換網(wǎng)的關(guān)鍵。虛擬局域網(wǎng)能夠?qū)崿F(xiàn)對資源的虛擬化與網(wǎng)絡(luò)的虛擬化，使得人們可以用一種更加靈活的方式對網(wǎng)絡(luò)資源進(jìn)行相應(yīng)的優(yōu)化配置，根據(jù)不同的實際需要，組建虛擬局域網(wǎng)，而不必要去考慮具體的物理位置，這使得企業(yè)對網(wǎng)絡(luò)的管理更為方便。另外，基于VLAN的網(wǎng)絡(luò)管理和應(yīng)用方式，給網(wǎng)絡(luò)擴(kuò)展來了極大

12、的方便，不需要去改變原有的網(wǎng)絡(luò)結(jié)構(gòu)，新節(jié)點(diǎn)的加入既可以獨(dú)立構(gòu)建局域網(wǎng)，也可以直接加入到其他的虛擬局域網(wǎng)中。VLAN是 Virtual Local Area Network(虛擬局域網(wǎng) ) 簡稱，它主要是通過路由器和交換機(jī)等網(wǎng)絡(luò)調(diào)和將處于同一網(wǎng)段內(nèi)的計算機(jī)節(jié)點(diǎn)直接進(jìn)行通信，減少了不必要的廣播以及CPU的無用消耗，對于處于不同網(wǎng)段的節(jié)點(diǎn)則必須通過路由器方能實現(xiàn)通信，進(jìn)而VLAN提高了網(wǎng)絡(luò)的隔離性與安全性。通過虛擬局域網(wǎng)可以方便實現(xiàn)對用戶進(jìn)行移動式、快捷化的組網(wǎng)，極大地方便了網(wǎng)管人員從邏輯上對網(wǎng)絡(luò)資源進(jìn)行優(yōu)化與配置。（二）交換式以太網(wǎng)VLAN和 ATM VLAN從技術(shù)的角度來看， VLAN既能在 A

13、TM 骨干網(wǎng)中實現(xiàn)，也可以在交換式以太網(wǎng)中實現(xiàn)，而相對來說，后者簡單一點(diǎn)。交換式以太風(fēng)的VLAN 采用的是幀交換技術(shù)。 ATM VLAN采用的是信元交換技術(shù)，其采用了線路交換和存儲轉(zhuǎn)發(fā)兩種形式。（三）某單位劃分VLAN的原因分析1、組強(qiáng)結(jié)構(gòu)的完善同一單位的員工可能會分散在不同的辦公地點(diǎn)，為了實現(xiàn)數(shù)據(jù)的安全與共享，采用 VLAN可以在一定的程度上防止網(wǎng)絡(luò)風(fēng)暴的發(fā)生，減少占用網(wǎng)絡(luò)帶寬，降低對CPU信息處理無謂的消耗，同時也能夠加強(qiáng)對網(wǎng)絡(luò)虛擬化的管理，提高安全性能，并通過統(tǒng)一配置和集中管理來進(jìn)一步優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)和資源管理。2、網(wǎng)絡(luò)性能的改善對于大型的網(wǎng)絡(luò)，現(xiàn)在較為常用的是廣播協(xié)議，當(dāng)網(wǎng)絡(luò)規(guī)模較大時，網(wǎng)

14、絡(luò)的廣播風(fēng)暴會比較嚴(yán)重，這往往會導(dǎo)致網(wǎng)絡(luò)性能的急劇下降，進(jìn)而引起網(wǎng)絡(luò)堵塞，影響網(wǎng)絡(luò)瀏覽。通過對VLAN的劃分，可以減少網(wǎng)絡(luò)范圍內(nèi)的廣播信息的傳輸，將廣播信息束縛在各個VLAN內(nèi)，減少廣播域，提高了網(wǎng)絡(luò)傳輸?shù)男?，改判網(wǎng)絡(luò)性能。3、安全性能的提高由于各個 VLAN之間無法進(jìn)行直接通信，需要通過路由器的轉(zhuǎn)發(fā)。為能有效進(jìn)行安全控制提供了可能，進(jìn)而提高了網(wǎng)絡(luò)安全性。在單位中，有科研部，財務(wù)部和信息服務(wù)部等部門， 各部門之間的數(shù)據(jù)是相互保密的， 可以通過劃分VLAN對不同部門之間進(jìn)行隔離。（四）虛擬局域網(wǎng)分類VLAN交換機(jī)接收到來自工作站的數(shù)據(jù)后，首先對部分?jǐn)?shù)據(jù)的內(nèi)容進(jìn)行檢查，與 VLAN配置數(shù)據(jù)庫中的

15、數(shù)據(jù)進(jìn)行對比，辨別出數(shù)年據(jù)的去向，再通過VLAN交換機(jī)發(fā)往數(shù)據(jù)的目的地址。VLAN的實現(xiàn)方式主要有：基于MAC的 VLAN、基于端口的VLANT和基于IP地址的VLAN。與其他兩種方式相比，采用基于IP地址的VLAN的方式更加方便和簡單，由于可自動獲取IP地址，或自己設(shè)置IP地址，新的節(jié)點(diǎn)在加入時不需要進(jìn)行各種各樣的配置，交換機(jī)可以根據(jù)節(jié)點(diǎn)在網(wǎng)絡(luò)中的 IP 地址完成自動的配置和管理。因此，在三種虛擬局域網(wǎng)的實現(xiàn)方式中，基于 IP 地址的 VLAN的智能化程度 最高，實現(xiàn)起來也最為簡單。（五） VLAN的優(yōu)點(diǎn)1、控制網(wǎng)絡(luò)廣播風(fēng)暴虛擬局域網(wǎng)創(chuàng)建好后，每個VLAN都形成了單獨(dú)的邏輯上的廣播域，該方式

16、使得廣播的范圍在一定的程度上縮小了，對于一些不必要的廣播幀信息進(jìn)行隔離。因此，對于網(wǎng)絡(luò)性能來說，整體上不會受到很大的影響，卻能有效地控制廣播風(fēng)暴的出現(xiàn)。2、確保網(wǎng)絡(luò)安全用戶只要插入活動端口就能訪問網(wǎng)絡(luò)，所以共享式局域網(wǎng)很難保證網(wǎng)絡(luò)的安全。當(dāng)整個網(wǎng)絡(luò)存在多個不同的虛擬局域網(wǎng)的時候，可以根據(jù)需要對VLAN進(jìn)行劃分，將相互訪問較多節(jié)點(diǎn)劃分在同一邏輯網(wǎng)段，這樣一方面可以減少不必要的廣播幀，另一方面也可以提高訪問效率，對用戶群進(jìn)行管理，從而進(jìn)一步提高網(wǎng)絡(luò)的安全性和可靠性。3、增加網(wǎng)絡(luò)連接靈活性VLAN很好地實現(xiàn)了對網(wǎng)絡(luò)的虛擬理，讓網(wǎng)絡(luò)組織更為方便，從而提高了整個網(wǎng)絡(luò)的可靠性與靈活性，與傳統(tǒng)局域網(wǎng)配置相比

17、，自由度與靈活性都有了比較大的提升，避免了許多繁瑣的配置與組網(wǎng)設(shè)置。VLAN 技術(shù)使得網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)變得靈活，配置更為方便，網(wǎng)絡(luò)安全性能和可靠性能都有顯著地增強(qiáng)。三、虛擬局域網(wǎng)的網(wǎng)絡(luò)管理需求分析隨著企業(yè)發(fā)展的不斷提高，廣播消息數(shù)量也在增長。當(dāng)廣播消息的數(shù)量占到了網(wǎng)絡(luò)總量的30%以上時，網(wǎng)絡(luò)的傳輸效率就會急劇降低。如果網(wǎng)絡(luò)設(shè)備存在問題，就會不斷廣播消息，這很可能造成廣播風(fēng)暴，嚴(yán)重時將會導(dǎo)致網(wǎng)絡(luò)的癱瘓甚至中斷。為了避免單位出現(xiàn)類似的情況，可將單位網(wǎng)絡(luò)劃分成更多的廣播域。這主要有兩種方式：一是通過設(shè)備將網(wǎng)絡(luò)在物理上進(jìn)行劃分；二是在邏輯上實現(xiàn)劃分， 即將單位網(wǎng)絡(luò)劃分為若干個很小的虛擬局域網(wǎng)，也就是 VL

18、AN，各個虛擬局域網(wǎng)間可以通過交換機(jī)來實現(xiàn)通信。（一）某單位網(wǎng)絡(luò)總目標(biāo)某單位網(wǎng)絡(luò)的建設(shè)是一個龐大的系統(tǒng)工程，需要對此進(jìn)行科學(xué)合理的系統(tǒng)設(shè)計和規(guī)劃。網(wǎng)絡(luò)的規(guī)劃，系統(tǒng)的架構(gòu)、硬件設(shè)施的布置、軟件的建設(shè)以及網(wǎng)絡(luò)的使用等都要用系統(tǒng)的思想來考慮，因此先進(jìn)性、實用性、開放性、可擴(kuò)展性等都要考慮到。某單位網(wǎng)絡(luò)建設(shè)主要遵循以下目標(biāo)：為廣大員工提供學(xué)習(xí)、工作一體的綜合網(wǎng)絡(luò)環(huán)境信息資源共享單位信息化管理和自動化辦公系統(tǒng)建立視頻會議系統(tǒng)建立單位安防系統(tǒng)基于 VLAN的某單位網(wǎng)絡(luò)，可以實現(xiàn)網(wǎng)絡(luò)資源的全面共享，實現(xiàn)網(wǎng)上辦公一體化、便捷化和智能化。通過某單位網(wǎng)絡(luò)建立自動化辦公系統(tǒng)，提高工作效率和工作質(zhì)量，使網(wǎng)絡(luò)最大程度地

19、發(fā)揮作用。（二）某單位網(wǎng)絡(luò)中VLAN技術(shù)的優(yōu)勢1、降低移動成本和變更管理成本在某單位，將個人電腦從某一個子網(wǎng)轉(zhuǎn)移到另一個子網(wǎng)的情況經(jīng)常會發(fā)生，特別是對銷售人員來說，這種需求特別明顯。如果采用一般的組網(wǎng)形式，用物理手段對子網(wǎng)進(jìn)行劃分，對于網(wǎng)絡(luò)管理員來說，將耗費(fèi)大量的時間和精力。采用 VLAN技術(shù)就可以減少很多這樣的麻煩。2、網(wǎng)絡(luò)管理的便捷化由于單位人員辦公流動性大，這經(jīng)網(wǎng)絡(luò)管理帶來了一定的困難。VLAN技術(shù)正是針對這一變化性較大的用戶管理問題產(chǎn)生的。虛擬局域網(wǎng)訂要有基于MAC地址、基于端口和IP 地址三種方式，本文采用的基于IP 地址的方式構(gòu)建虛擬局域網(wǎng)來實現(xiàn)對網(wǎng)絡(luò)用戶的管理。3、網(wǎng)絡(luò)安全性增強(qiáng)

20、由于采用了 IP 地址與員工相互綁定的方式注冊網(wǎng)絡(luò)用戶，使得每一個用戶的瀏覽行為有實名制記錄，一來可以避免非法用戶的入侵，二來也可以對網(wǎng)絡(luò)進(jìn)行監(jiān)控，大大提高了網(wǎng)絡(luò)的安全性。由于進(jìn)行VLAN的劃分，使行網(wǎng)絡(luò)廣播的數(shù)據(jù)大為減少，避免了網(wǎng)絡(luò)的堵塞，提高網(wǎng)絡(luò)的穩(wěn)定性。四、基于 VLAN的某單位網(wǎng)絡(luò)總體設(shè)計（一）三大平臺建設(shè)需求1、統(tǒng)一數(shù)據(jù)平臺統(tǒng)一數(shù)據(jù)平臺主要由公共數(shù)據(jù)庫和數(shù)據(jù)交換的引擎組成。統(tǒng)一數(shù)據(jù)平臺可以將單位的各項業(yè)務(wù)作為一個相互關(guān)聯(lián)的有機(jī)整體進(jìn)行全盤的考慮，對于全單位的員式信息、辦公場所信息、設(shè)備信息等進(jìn)行全面的梳理整合，實現(xiàn)各類業(yè)務(wù)數(shù)據(jù)的存儲、交換和發(fā)布。這樣可以在確保公共數(shù)據(jù)的一致性和準(zhǔn)備性

21、的同時，為不同業(yè)務(wù)系統(tǒng)間的數(shù)據(jù)共享、互通以及業(yè)務(wù)協(xié)作提供了可能。也為跨系統(tǒng)跨部門的數(shù)據(jù)綜合查詢和統(tǒng)計分析奠定了堅實的基礎(chǔ)。數(shù)據(jù)交換引擎實現(xiàn)了公共數(shù)據(jù)庫和各部門的軟件系統(tǒng)中的公用數(shù)據(jù)的采集，同步和調(diào)用，確保全單位各系統(tǒng)數(shù)據(jù)的準(zhǔn)確性和一致性。數(shù)據(jù)交換引擎支持很多種異構(gòu)數(shù)據(jù)庫的數(shù)據(jù)之間的交換，交換過程是自動、定期和標(biāo)準(zhǔn)化的，并可以不斷進(jìn)行擴(kuò)展。2、統(tǒng)一身份認(rèn)證平臺統(tǒng)一身份與認(rèn)證平臺主要包括有用戶中心，企業(yè)目錄，統(tǒng)一身份認(rèn)證網(wǎng)關(guān)，授權(quán)管理等四個部分。授權(quán)控制與身份認(rèn)證相關(guān)聯(lián)，認(rèn)證使得訪問行為合法化，透明化，授權(quán)可以控制不同的人所訪問的資源的權(quán)限，用戶可以根據(jù)自己的權(quán)限獲取相應(yīng)的資源和服務(wù)，統(tǒng)一身份認(rèn)證

22、與授權(quán)讓某單位的網(wǎng)絡(luò)系統(tǒng)更加安全可靠，也為各級用戶提供了便利的業(yè)務(wù)資源環(huán)境。建立全單位統(tǒng)一規(guī)劃的用戶管理中心，為每個用戶定制唯一的實名制賬號，可以實現(xiàn)對全單位用戶的統(tǒng)一管理。 采用實名制方式將姓名與IP 地址進(jìn)行綁定，實現(xiàn)單位網(wǎng)絡(luò)內(nèi)的實名制認(rèn)證訪問各種應(yīng)用等。這樣來，一方面可以規(guī)范用戶的瀏覽行為，與此同時也能對網(wǎng)絡(luò)資源進(jìn)行合理的應(yīng)用，避免了單位內(nèi)部使用的混亂。3、統(tǒng)一單位門戶平臺通過統(tǒng)一的單位門戶平臺可以將單位領(lǐng)導(dǎo)，機(jī)關(guān)干部，普通員工等不同的用戶按照個性化的模板、集成化的框架獲取單位網(wǎng)絡(luò)內(nèi)的信息服務(wù)。以公共數(shù)據(jù)庫為基礎(chǔ)，通過門戶集成框架在信息基礎(chǔ)框架的支撐下將各類異構(gòu)應(yīng)用系統(tǒng)的信息和服務(wù)聚合，

23、可以方便地實現(xiàn)服務(wù)訂閱、外觀定制等需求，實現(xiàn)跨部門，跨系統(tǒng)的信息集成。同時能針對各級領(lǐng)導(dǎo)、業(yè)務(wù)部門、員工等不同的用戶的角色、權(quán)限為他們量身定制個性化的工作平臺。（二）系統(tǒng)設(shè)計原則1、可管理性與先進(jìn)性在網(wǎng)絡(luò)部署與系統(tǒng)設(shè)計時，應(yīng)采用當(dāng)前先進(jìn)的設(shè)備與技術(shù)，便于網(wǎng)絡(luò)的連續(xù)性發(fā)展，另外，在考慮設(shè)計理念時，也要考慮其先進(jìn)性的特點(diǎn)。單位網(wǎng)絡(luò)是一個復(fù)雜系統(tǒng)，其有效運(yùn)行關(guān)系到網(wǎng)絡(luò)實用性的基礎(chǔ)。系統(tǒng)的可靠性的基礎(chǔ)又是可管理性。對于網(wǎng)絡(luò)必須能夠提供管理和監(jiān)控功能，保證網(wǎng)絡(luò)的穩(wěn)定、安全。2、標(biāo)準(zhǔn)化與保密性單位網(wǎng)絡(luò)要采用國際標(biāo)準(zhǔn)的通信協(xié)議、通用的體系結(jié)構(gòu)和標(biāo)準(zhǔn)化接口。需要進(jìn)行校園網(wǎng)絡(luò)系統(tǒng)的安全設(shè)計與規(guī)劃，從網(wǎng)絡(luò)通訊與儲

24、存體系兩方面入手，實施校園內(nèi)部網(wǎng)絡(luò)與外界互聯(lián)網(wǎng)的部分物理隔離，并在網(wǎng)絡(luò)內(nèi)部安裝必要的電磁屏蔽調(diào)設(shè)備，對于企業(yè)涉密信息，訪問用戶必須要得到相應(yīng)的授權(quán)，對重要數(shù)據(jù)與郵件作加密處理，防止非法入侵。3、可靠性與安全性網(wǎng)絡(luò)的可靠性與安全性包括兩個方面的內(nèi)容，一是網(wǎng)絡(luò)的可靠性與安全性，二是設(shè)備的可靠性與安全性?？梢圆捎脭?shù)字簽名的方式，保證單位網(wǎng)絡(luò)內(nèi)的信息真實性，防止對信息的非法篡改。建立完善網(wǎng)絡(luò)信任體系，利用身份認(rèn)證與數(shù)字認(rèn)證等技術(shù)手段保證2 企業(yè)信息的安全。4、經(jīng)濟(jì)性與可擴(kuò)展性經(jīng)濟(jì)的可行性是評價一個計算機(jī)系統(tǒng)是否可行的最為基本的一種方法，也是對網(wǎng)絡(luò)系統(tǒng)方案的成本有效性的度量。對網(wǎng)絡(luò)系統(tǒng)的開發(fā)本身是一種投

25、資，是否值的投資開發(fā)取決于該系統(tǒng)能否發(fā)揮出多大的效益。在滿足相關(guān)需求的前提下，系統(tǒng)的性價比起高越好。另外要考慮網(wǎng)絡(luò)設(shè)備的實用性，兼顧單位今后發(fā)展的需要，滿足未來網(wǎng)絡(luò)的需求。五、 VLAN在某單位網(wǎng)絡(luò)管理中的運(yùn)用（一） VLAN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)按照單位功能區(qū)的位置劃分和應(yīng)用需求差異，將整個單位網(wǎng)絡(luò)劃分為以下幾個網(wǎng)：行政辦公網(wǎng)、開發(fā)研究網(wǎng)、銷售簽單網(wǎng)、寬帶服務(wù)網(wǎng)、后勤服務(wù)網(wǎng)、信息中心網(wǎng)、公共服務(wù)網(wǎng)和內(nèi)部服務(wù)網(wǎng)等，為減少網(wǎng)絡(luò)廣播控制信息流量，面向其他用戶提供網(wǎng)頁瀏覽服務(wù)，在線聊天服務(wù)與郵件服務(wù)等。內(nèi)部服務(wù)器子網(wǎng)位于單位網(wǎng)絡(luò)的核心層，為單位網(wǎng)絡(luò)用戶提供數(shù)據(jù)查詢，即時通信服務(wù)等。圖 5.1 VLAN 網(wǎng)絡(luò)規(guī)

26、劃圖圖 5.2 子網(wǎng)劃分（二） VLAN 的 ID 規(guī)劃為了防止網(wǎng)絡(luò) IP 地址沖突，首先要對VLAN的各個終端設(shè)備進(jìn)行網(wǎng)絡(luò)IP 的配置，然后對VLAN端口再進(jìn)行參數(shù)設(shè)置，通過對參數(shù)接口的設(shè)置進(jìn)而對TRUNK端口進(jìn)行配置，最終完成對路由器的子網(wǎng)接口IP 地址的配置。圖 5.3 配置 VLAN 端口流程（三） VLAN地址的動態(tài)分配與管理在 VLAN中，網(wǎng)絡(luò)地址的分配和管理非常重要。主要的手段是將固定的網(wǎng)絡(luò)地址分派給主機(jī)與服務(wù)器，采用動態(tài)分配方式將網(wǎng)絡(luò)地址分配給終端用戶。添加 DHCP服務(wù)器才可以實現(xiàn)對網(wǎng)絡(luò)地址的動態(tài)分配。六、網(wǎng)絡(luò)安全策略（一） 個人網(wǎng)絡(luò)安全通過外網(wǎng)直接連接的計算機(jī)上（例如員工使

27、用的筆記本電腦）必須安裝主機(jī)防火墻軟件。主機(jī)防火墻軟件配置為特定的標(biāo)準(zhǔn)，且用戶不得更改。對于使用 windows 的用戶，應(yīng)使用系統(tǒng)自帶的防火墻， 通過域策略設(shè)置其防火墻規(guī)則，用戶無法停用或者修改防火墻規(guī)則。（二） 網(wǎng)絡(luò)測試和監(jiān)控每季度應(yīng)對系統(tǒng)進(jìn)行內(nèi)部和外部網(wǎng)絡(luò)漏洞掃描：在網(wǎng)絡(luò)出現(xiàn)任何重大變動（如安裝新的系統(tǒng)組件、更改網(wǎng)絡(luò)拓?fù)?、修改防火墻?guī)則、產(chǎn)品更新）后，也應(yīng)進(jìn)行上述掃描。對網(wǎng)絡(luò)存在的漏洞、嚴(yán)重級別和結(jié)果處理等進(jìn)行記錄。（三） 安全補(bǔ)丁持續(xù)跟蹤廠商提供的網(wǎng)絡(luò)設(shè)備的升級更新情況，在經(jīng)過充分的測試評估后對必要補(bǔ)丁進(jìn)行及時更新。更新前對重要文件（用戶數(shù)據(jù)、設(shè)備配置文件等）進(jìn)行完全備份。應(yīng)確保所有系統(tǒng)組件和軟件都安裝了最新的安全補(bǔ)丁，關(guān)鍵的安全補(bǔ)丁必須在發(fā)布的一周內(nèi)更新。（四） 網(wǎng)絡(luò)日常維護(hù)網(wǎng)絡(luò)管理員通過本機(jī)控制臺端口對網(wǎng)絡(luò)設(shè)備進(jìn)行管理時，必須保證至少兩人同時在場，方可對網(wǎng)絡(luò)設(shè)備進(jìn)行操作。網(wǎng)絡(luò)管理