網(wǎng)絡(luò)工程設(shè)計(jì)方案網(wǎng)絡(luò)構(gòu)架

PAGEPAGE1摘要中小企業(yè)在一國(guó)的經(jīng)濟(jì)中發(fā)揮的作用具有不可替代性，但其進(jìn)一步的發(fā)展卻受到許多因素制約，這些因素中最突出的表現(xiàn)就是融資難。中小企業(yè)融資難是一個(gè)普遍性的問(wèn)題，包括融資渠道不暢、融資結(jié)構(gòu)失衡、融資成本高等一系列融資難的問(wèn)題已經(jīng)對(duì)我國(guó)中小企業(yè)的進(jìn)一步發(fā)展構(gòu)成了瓶頸制約。中小企業(yè)在融資方面的“營(yíng)養(yǎng)”不良以及由此帶來(lái)的“健康”狀況上的每況愈下正引起人們的廣泛關(guān)注。本文立足企業(yè)和銀行，著眼于整個(gè)社會(huì)信用環(huán)境和政府職能，遵循提出問(wèn)題、分析問(wèn)題以及依據(jù)國(guó)情并借鑒其他國(guó)家做法解決問(wèn)題的基本思路，對(duì)我國(guó)中小企業(yè)融資問(wèn)題的現(xiàn)狀、成因和解決辦法進(jìn)行了深入的分析和探討，力圖做到系統(tǒng)綜合，標(biāo)本兼治。[關(guān)鍵詞]中小企業(yè)融資成因現(xiàn)狀解決對(duì)策ABSTRACTSMEsrolesplayinginonenationaleconomycannotbesubstitutedbyanythingelse,butSMEsfurtherdevelopmentwillsubjecttomanyfactors,themostprominentaspectofwhichisSMEsfinancingdifficulty.SMEsfinancingdifficultyisawidespreadissue,butthesolutionsofdifferentcountriesorareastoitshouldbebaseddifferentlyupontheirconditionsintermsofwhattypeoffinancingchannelsshouldbeusedinresolvingfinancingissue.Inpresentperiodsofoureconomicdevelopment,.Thisarticlebasedonenterprisesandbanks,focusingontheentiresocialcreditenvironmentandgovernmentfunctions,tofollowquestions,analyzeproblemsandinaccordancewithnationalconditionsandpracticesinothercountriestosolvetheproblemofthebasicideas,onChina'ssmallandmediumenterprisesfinancingthecurrentsituation,causesandsolutionsanin-depthanalysisanddiscussionoftryingtodosystemsintegration,bothtemporaryandpermanentcures.[Keywords]SMEsFinancingInnovation目錄TOC\o"1-3"\u摘要 3ABSTRACT 3目錄 4引言 2第一章項(xiàng)目需求分析 21.1. 項(xiàng)目背景 31.2需求分析 4第二章網(wǎng)絡(luò)總體建設(shè)目標(biāo) 52.1 網(wǎng)絡(luò)建設(shè)目標(biāo) 52.2 網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容及要求 62.3 網(wǎng)絡(luò)設(shè)計(jì)原則 8第三章網(wǎng)絡(luò)總體設(shè)計(jì) 93.1網(wǎng)絡(luò)總體拓?fù)鋱D 93.2網(wǎng)絡(luò)層次化設(shè)計(jì) 103.3核心層設(shè)計(jì) 113.4接入層設(shè)計(jì) 123.5內(nèi)聯(lián)接入 13第四章路由設(shè)計(jì) 134.1路由協(xié)議選擇 134.1.1OSPF協(xié)議主要優(yōu)點(diǎn)： 134.1.2SPF算法 134.1.3OSPF規(guī)定有層次的網(wǎng)路結(jié)構(gòu)，OSPF將網(wǎng)絡(luò)分為若干區(qū)域： 144.1.4OSPF路由器在完全鄰接之前,所經(jīng)過(guò)的幾個(gè)狀態(tài): 144.1.5虛鏈路(VirtualLink) 154.2路由規(guī)劃拓?fù)鋱D 154.3IP地址規(guī)劃 15第五章網(wǎng)絡(luò)安全解決方案 175.1網(wǎng)絡(luò)邊界安全威脅分析 175.2網(wǎng)絡(luò)內(nèi)部安全威脅分析 195.3安全產(chǎn)品選型原則 195.4網(wǎng)絡(luò)常用技術(shù)介紹 20第六章產(chǎn)品簡(jiǎn)介 246.1Cisco2800系列集成多業(yè)務(wù)路由器 246.2CiscoCatalyst3560系列集成交換機(jī) 246.3CiscoCatalyst2960系列集成交換機(jī) 25第七章項(xiàng)目實(shí)施計(jì)劃 277.1項(xiàng)目組織結(jié)構(gòu) 277.2項(xiàng)目人員分工 277.3項(xiàng)目實(shí)施前的準(zhǔn)備工作 297.4安裝前的場(chǎng)地準(zhǔn)備 297.5核心及各網(wǎng)點(diǎn)的安裝調(diào)試 31第八章網(wǎng)絡(luò)測(cè)試 328.1網(wǎng)絡(luò)測(cè)試目的 328.2測(cè)試文檔 32第九章網(wǎng)絡(luò)架構(gòu) 37第十章網(wǎng)絡(luò)設(shè)備基本配置（內(nèi)部） 4910.1網(wǎng)絡(luò)描述 4910.2基本配置 4910.2.1交換機(jī)Cisco3560的基本配置 4910.2IP地址配置 5210.3檢查設(shè)備的連通性 5310.4Windows服務(wù)器的安裝： 5410.5安裝DNS、DC、WEB、FTP等服務(wù)器，配置如下 6710.5.1安裝DNS 6710.5.2安裝域控制器（DC） 7510.5.3安裝WEB 8510.5.4安裝FTP 92第十一章網(wǎng)絡(luò)配置的基本配置（分部） 9811.1網(wǎng)絡(luò)描述 9811.2基本配置 9911.2.1交換機(jī)Catalyst3560的基本配置 9911.2.2IP地址配置 10211.3檢查設(shè)備的連通性 10311.4Windows服務(wù)器的安裝： 10411.5安裝DNS、DC、WEB、FTP等服務(wù)器，配置如下 11811.5.1安裝DNS 11811.5.2安裝域控制器（DC） 12611.5.4安裝FTP 148第十二章項(xiàng)目測(cè)試 154致謝 156引言跨入21世紀(jì)的今天，世界繼新技術(shù)革命以后，又掀起了一場(chǎng)以加速社會(huì)信息化為宗旨的信息高速公路建設(shè)的浪潮，信息正以其前所未有的迅猛態(tài)勢(shì)滲透于社會(huì)的方面，改變著人們?cè)械纳鐣?huì)空間，信息已日益成為社會(huì)各領(lǐng)域中最活躍、最具有決定意義的因素，而作為基礎(chǔ)學(xué)科之一的信息教學(xué)，它既是應(yīng)用科學(xué)的基礎(chǔ)，又兼有了科學(xué)與技術(shù)的雙重身份，它更是培養(yǎng)創(chuàng)新型人才的重要陣地。那么，如何在信息教學(xué)中培養(yǎng)學(xué)生的信息素養(yǎng)，提高他們的信息感悟、信息實(shí)踐能力，以促進(jìn)他們的身心發(fā)展，為進(jìn)一步培養(yǎng)創(chuàng)新型人才奠定基礎(chǔ)呢？

一、投石探路——認(rèn)識(shí)信息

同樣重要的信息，有的人善于抓住，有的人卻漠然視之，這正是由于各人的信息意識(shí)強(qiáng)弱不同所致。信息，指的是當(dāng)人們與外界接觸時(shí)，有意無(wú)意所接受到的一些事物材料，有數(shù)字、文字、影像、數(shù)量關(guān)系等。如果能使學(xué)生對(duì)接受到的這些信息源加以分析、整理，主動(dòng)獲取自己所需的信息，或找到對(duì)自己有利的信息而后加以利用，則將促使他們關(guān)注周?chē)氖挛?，溝通?shù)學(xué)與生活的聯(lián)系，大大提高他們的信息意識(shí)。二、找頻看球——感受信息一個(gè)球迷，只要找到自己想看的球賽頻道，便會(huì)津津有味地看下去，甚至于不吃不睡。信息教學(xué)時(shí)，就應(yīng)盡可能增強(qiáng)學(xué)生的信息情感，培養(yǎng)他們類(lèi)似于“看球”的熱衷情感，當(dāng)他們多次從多方面感受信息時(shí)，便能形成某種持久、穩(wěn)定的、反映心底需求關(guān)系的內(nèi)心體驗(yàn)，這便是信息情感。當(dāng)學(xué)生形成較穩(wěn)定的信息情感時(shí)，便能產(chǎn)生巨大的信息熱情，這將大大提高他們對(duì)信息的敏感性與興趣性。三、點(diǎn)石成金——利用信息

在信息時(shí)代，靜態(tài)的知識(shí)不具有情報(bào)信息價(jià)值，只有對(duì)知識(shí)的新認(rèn)識(shí)和深入挖掘，并進(jìn)行動(dòng)態(tài)處理，才能使其產(chǎn)生推動(dòng)社會(huì)進(jìn)步的巨大能量。認(rèn)識(shí)和挖掘出知識(shí)的現(xiàn)實(shí)價(jià)值，并利用好它，這才是信息素質(zhì)的最好體現(xiàn)。只有具有利用信息能力的人，才知識(shí)怎樣組織知識(shí)，發(fā)現(xiàn)和使用信息，他們也才具有終身學(xué)習(xí)的能力。當(dāng)代社會(huì)，信息是最主要的資源，對(duì)整個(gè)社會(huì)的發(fā)展具有決定性的作用，在數(shù)學(xué)教學(xué)中培養(yǎng)學(xué)生的信息素養(yǎng)是學(xué)生接受終身教育的前提條件，更是培養(yǎng)創(chuàng)新人才的先決條件，只有把“培養(yǎng)學(xué)生的信息素養(yǎng)”植根于數(shù)學(xué)教學(xué)的方面，才能真正提高學(xué)生的信息意識(shí)、信息能力，成為可持續(xù)發(fā)展的人。

第一章項(xiàng)目需求分析項(xiàng)目背景河北承德露露股份坐落于承德市高新技術(shù)產(chǎn)業(yè)開(kāi)發(fā)區(qū)，現(xiàn)為萬(wàn)向三農(nóng)控股的上市公司。公司于2021年年底在深交所上市，成為國(guó)內(nèi)飲料行業(yè)首批上市公司之一。企業(yè)的法律代表人：管大源先生，1963年12月出生，浙江蕭山人，研究生學(xué)歷，高級(jí)經(jīng)濟(jì)師，中共黨員。以6000萬(wàn)注冊(cè)此公司。其總公司人數(shù)600人，分公司400人，公司以發(fā)展民族飲料為目標(biāo)，堅(jiān)持走科技興廠的道路，本著“高起點(diǎn)引進(jìn)、高速度發(fā)展、創(chuàng)造高效益”的原則，使技術(shù)裝備水平居國(guó)內(nèi)領(lǐng)先地位，從而使公司的生產(chǎn)能力、科技含量有了更大的提高。公司發(fā)展穩(wěn)健，成長(zhǎng)性良好，連續(xù)多年名列深市排行榜前列。公司堅(jiān)持用優(yōu)質(zhì)的產(chǎn)品回報(bào)消費(fèi)者，用良好的信譽(yù)、投資回報(bào)率答謝支持露露的廣大投資者。公司理念為：視品質(zhì)為生命堅(jiān)持質(zhì)量第一，生產(chǎn)高品質(zhì)產(chǎn)品是露露企業(yè)的信念。露露嚴(yán)格把控產(chǎn)品質(zhì)量關(guān)，從不在質(zhì)量上投機(jī)取巧，因?yàn)槁堵秷?jiān)信只有真正為消費(fèi)者提供高品質(zhì)產(chǎn)品，才能使消費(fèi)者享受到健康營(yíng)養(yǎng)，企業(yè)也因此才能立于不敗之地。所以本項(xiàng)目的目標(biāo)是：建立一個(gè)世紀(jì)規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴(kuò)展性與可用性并且具備可管理易維護(hù)的網(wǎng)絡(luò)及系統(tǒng)平臺(tái)，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率”。1.2需求分析隨著公司經(jīng)濟(jì)效益不斷的提高，人員的擴(kuò)展，在整體網(wǎng)絡(luò)的規(guī)劃中，始終以高效、穩(wěn)定、安全為總體設(shè)計(jì)目標(biāo)。除了保證易于使用、用戶界面統(tǒng)一、標(biāo)準(zhǔn)，表現(xiàn)力強(qiáng)；易于安裝和維護(hù)，網(wǎng)絡(luò)運(yùn)行質(zhì)量高；開(kāi)放性好，便于移植、擴(kuò)展和推廣；還要具備較好的性能價(jià)格比，并在幾年內(nèi)保持解決方案與技術(shù)上的領(lǐng)先，為用戶提供一個(gè)靈活的辦公平臺(tái),對(duì)用戶和網(wǎng)絡(luò)進(jìn)行有效的管理，構(gòu)建一個(gè)穩(wěn)定的、可拓展的網(wǎng)絡(luò)環(huán)境。要求網(wǎng)絡(luò)設(shè)備集成的安全性（本方案設(shè)計(jì)中可以涉及專(zhuān)門(mén)的防火墻、VPN等，但是實(shí)驗(yàn)配置時(shí)安全是指交換機(jī)、路由器等網(wǎng)絡(luò)基礎(chǔ)設(shè)施產(chǎn)品中的集成安全，不涉及其他產(chǎn)品），網(wǎng)絡(luò)平臺(tái)需要提供防止非法的ARP攻擊、dos攻擊、非法的DHCPserver的能力實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)按用戶、功能進(jìn)行VLAN劃分分布式三層架構(gòu)，啟用三層路由功能及相應(yīng)訪問(wèn)控制病毒攻擊防護(hù)，出口實(shí)現(xiàn)NAT地址轉(zhuǎn)換，發(fā)布對(duì)外的WEB服務(wù)支持10GE或?qū)?lái)平滑過(guò)渡到10GE要求對(duì)網(wǎng)絡(luò)主干進(jìn)行流量監(jiān)控本著以上建網(wǎng)思路，銳捷網(wǎng)絡(luò)為生產(chǎn)行業(yè)定制的高速率、廣覆蓋、易管理的安全可信企業(yè)網(wǎng)解決方案及網(wǎng)絡(luò)產(chǎn)品，經(jīng)過(guò)激烈的競(jìng)爭(zhēng)，在眾多國(guó)內(nèi)、外品牌中脫穎而出，成功服務(wù)于企業(yè)網(wǎng)絡(luò)項(xiàng)目。第二章網(wǎng)絡(luò)總體建設(shè)目標(biāo)網(wǎng)絡(luò)建設(shè)目標(biāo)全覆蓋：以108Mbps高速無(wú)線的方式覆蓋整個(gè)公司，覆蓋范圍主要包括辦公室、會(huì)議廳等，在以上場(chǎng)合可保證網(wǎng)絡(luò)訪問(wèn)流暢。提供數(shù)據(jù)接入業(yè)務(wù)，讓企業(yè)人員體會(huì)到無(wú)線局域網(wǎng)給公司帶來(lái)的好處?？晒芾恚浩髽I(yè)有線網(wǎng)絡(luò)已經(jīng)建成，統(tǒng)一的網(wǎng)絡(luò)管理已經(jīng)投入使用。本次建成的無(wú)線網(wǎng)絡(luò)很好地融合進(jìn)現(xiàn)有企業(yè)網(wǎng)絡(luò)管理系統(tǒng)中，對(duì)無(wú)線網(wǎng)內(nèi)用戶和無(wú)線接入點(diǎn)/網(wǎng)橋進(jìn)行統(tǒng)一管理。安全性：原有網(wǎng)絡(luò)系統(tǒng)已經(jīng)具備多種安全防御能力，建成的無(wú)線網(wǎng)絡(luò)很好地融合進(jìn)原有網(wǎng)絡(luò)安全解決方案體系中，并根據(jù)無(wú)線網(wǎng)絡(luò)的安全技術(shù)特征，補(bǔ)充了具有多層次的安全保護(hù)措施，以滿足用戶身份鑒別、訪問(wèn)控制、可稽核性和保密性等要求?？蓴U(kuò)充性：在企業(yè)網(wǎng)絡(luò)規(guī)模不斷發(fā)展的情況下，無(wú)線網(wǎng)絡(luò)可在不改變主體架構(gòu)與大部分設(shè)備的前提下，平滑實(shí)現(xiàn)升級(jí)和擴(kuò)充，減少硬件投資，并保證擴(kuò)展后系統(tǒng)的可用性與穩(wěn)定性。與認(rèn)證計(jì)費(fèi)系統(tǒng)的融合：校園原有的認(rèn)證計(jì)費(fèi)系統(tǒng)架構(gòu)已經(jīng)實(shí)現(xiàn)穩(wěn)定運(yùn)行。在新建成的無(wú)線網(wǎng)絡(luò)中，作為網(wǎng)絡(luò)接入層的有效補(bǔ)充，能夠完全融合進(jìn)原有認(rèn)證計(jì)費(fèi)體系，支持今后全網(wǎng)對(duì)所有用戶的上網(wǎng)控制、認(rèn)證與計(jì)費(fèi)的持續(xù)運(yùn)營(yíng)。多種服務(wù)的支持：基于企業(yè)級(jí)網(wǎng)絡(luò)的未來(lái)可持續(xù)發(fā)展，采用的無(wú)線產(chǎn)品均具備可適應(yīng)未來(lái)發(fā)展企業(yè)級(jí)無(wú)線寬帶應(yīng)用（如無(wú)線語(yǔ)音應(yīng)用、無(wú)線視頻會(huì)議應(yīng)用、無(wú)線多媒體通信應(yīng)用等）的需要，并提供低成本的無(wú)縫升級(jí)和前后兼容。企業(yè)采用銳捷網(wǎng)絡(luò)提供的高速率、廣覆蓋、易管理的安全可信企業(yè)無(wú)線網(wǎng)絡(luò)解決方案，進(jìn)行了全公司的無(wú)線網(wǎng)絡(luò)部署。建成后的企業(yè)網(wǎng)將成為華北地區(qū)唯一實(shí)現(xiàn)全網(wǎng)無(wú)線覆蓋的企業(yè)級(jí)網(wǎng)絡(luò)，企業(yè)信息化水平將得到進(jìn)一步的提升。網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容及要求骨干核心層網(wǎng)絡(luò)設(shè)計(jì)企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的核心網(wǎng)主要完成整個(gè)企業(yè)集團(tuán)內(nèi)部不同地域企業(yè)之間的高速數(shù)據(jù)路由轉(zhuǎn)發(fā)，以及維護(hù)全網(wǎng)路由的計(jì)算。鑒于集團(tuán)企業(yè)的用戶數(shù)量眾多，業(yè)務(wù)復(fù)雜，數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)難免遇到擁塞、阻塞等情況，所以需要用到QOS技術(shù)。在骨干核心層中，我們采用核心路由交換機(jī)組成一個(gè)環(huán)形多機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案。為提高核心網(wǎng)絡(luò)的健壯性，防止單臺(tái)設(shè)備失效造成的網(wǎng)絡(luò)中斷，實(shí)現(xiàn)鏈路的安全保障，本方案骨干核心層環(huán)網(wǎng)中可以采用HSRP（熱備份路由協(xié)議）技術(shù)。對(duì)于各個(gè)業(yè)務(wù)VLAN可以指向這個(gè)虛擬的IP地址作為網(wǎng)關(guān)，因此應(yīng)用HSRP技術(shù)為核心交換機(jī)提供了一個(gè)可靠的網(wǎng)關(guān)地址，以實(shí)現(xiàn)在核心層核心交換機(jī)之間進(jìn)行設(shè)備的冗余，一主兩備，共用一個(gè)虛擬的IP地址和MAC地址，通過(guò)內(nèi)部的協(xié)議傳輸機(jī)制可以自動(dòng)進(jìn)行工作角色的切換。進(jìn)而雙引擎、雙電源的設(shè)計(jì)為網(wǎng)絡(luò)高效處理集中數(shù)據(jù)提供了可靠的保障。另外，我們還采用CHANNEL（鏈路捆綁技術(shù)）技術(shù)，提高鏈路的高效利用,可以把兩條物理鏈路捆綁成一條虛擬的鏈路,可以避免環(huán)路。鏈路捆綁技術(shù)是把多條鏈路捆綁起來(lái)，為了提高帶寬，出入流量可以在多個(gè)成員接口之間分擔(dān)，也可以加大鏈路的利用率。而且鏈路捆綁技術(shù)用來(lái)做冗余，將兩條物理鏈路捆綁成一條，可以使同時(shí)使用的帶寬變?yōu)閮杀?，?shù)據(jù)在兩條鏈路上同時(shí)發(fā)送數(shù)據(jù)。當(dāng)某個(gè)成員接口出現(xiàn)故障時(shí)，流量會(huì)自動(dòng)切換到其他可用的成員接口上，并且進(jìn)行無(wú)縫切換，不會(huì)影響到數(shù)據(jù)的傳輸，從而提高整個(gè)捆綁鏈路的連接可靠性。假如貴公司正在傳輸一份合同，卻因?yàn)榫W(wǎng)絡(luò)中斷而失去了這一次機(jī)會(huì)，繼而損失的不只是財(cái)富，名譽(yù)也會(huì)有所影響。所以這個(gè)技術(shù)會(huì)幫助貴公司進(jìn)一步完善網(wǎng)絡(luò)。核心層網(wǎng)絡(luò)設(shè)計(jì)企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的核心層網(wǎng)絡(luò)主要完成園區(qū)內(nèi)各個(gè)匯集層設(shè)備之間的數(shù)據(jù)交換和與骨干核心層網(wǎng)絡(luò)之間的路由轉(zhuǎn)發(fā)。本層采用CISCOWS-C3560G-24TS-S核心路由交換機(jī)作為企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的園區(qū)核心路由交換設(shè)備，CISCOWS-C3560G-24TS-S具有強(qiáng)大的業(yè)務(wù)和路由交換的處理能力，能提供VPN、Qos、策略路由、NAT、PPPOE/WEB/802.1X/L2TP認(rèn)證等豐富業(yè)務(wù)能力，并可通過(guò)內(nèi)置防火墻模塊實(shí)現(xiàn)各種強(qiáng)大的網(wǎng)絡(luò)安全策略，可以充分滿足企業(yè)不同園區(qū)網(wǎng)絡(luò)的高速數(shù)據(jù)交換和支持多業(yè)務(wù)功能的要求，并能夠提供完善的安全防御策略，保障企業(yè)園區(qū)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。CISCOWS-C3560G-24TS-SCISCOWS-C3560G-24TS-S匯聚層網(wǎng)絡(luò)設(shè)計(jì)匯聚層網(wǎng)絡(luò)主要完成企業(yè)各園區(qū)內(nèi)辦公樓和相關(guān)單位的內(nèi)接入交換機(jī)的匯聚及數(shù)據(jù)交換和VLAN終結(jié)，在本方案中采用CISCOWS-C3560G-24TS-S交換機(jī)多層交換機(jī)作為匯聚層的交換機(jī)。CISCOWS-C3560G-24TS-S交換機(jī)在提供高密度千兆端口接入的同時(shí)還能夠滿足匯聚層智能高速處理的需要，并能夠靈活的部署在網(wǎng)絡(luò)邊緣的各個(gè)位置。能夠同時(shí)提供多個(gè)高速專(zhuān)用堆疊端口和百兆光口/電口。這些交換機(jī)都具備較強(qiáng)的多業(yè)務(wù)提供的能力。為用戶提供豐富、高性能價(jià)比的組網(wǎng)選擇接入層網(wǎng)絡(luò)設(shè)計(jì)以往傳統(tǒng)企業(yè)網(wǎng)絡(luò)接入層的建設(shè)中并不關(guān)注于安全控制和QOS提供的能力，而將網(wǎng)絡(luò)的安全防御措施和QOS保障依賴于網(wǎng)絡(luò)的匯聚層或骨干層設(shè)備，這給匯聚層和骨干層設(shè)備帶來(lái)了巨大的壓力，往往內(nèi)網(wǎng)病毒泛濫成災(zāi)后導(dǎo)致骨干層設(shè)備癱瘓，使網(wǎng)絡(luò)沒(méi)有QOS服務(wù)質(zhì)量的保障。 CiscoWS-C2918-48TC-C(思科二層交換機(jī))是滿足高安全、多業(yè)務(wù)承載、高性能網(wǎng)絡(luò)環(huán)境的換機(jī)，具備傳統(tǒng)二層交換機(jī)大容量、高性能等優(yōu)點(diǎn)，同時(shí)還具有領(lǐng)先的安全特性，進(jìn)一步加強(qiáng)了企業(yè)網(wǎng)絡(luò)對(duì)邊緣接入層的安全控制能力。用戶可以根據(jù)需要來(lái)訂制自身的安全策略并部署在此交換機(jī)上。該產(chǎn)品具備的端口帶寬限制、端口鏡像、QOS、端口安全、廣播風(fēng)暴抵制等功能可以很好的協(xié)助用戶實(shí)現(xiàn)網(wǎng)絡(luò)的管理和維護(hù)。除此之外，此交換機(jī)還具備多個(gè)專(zhuān)用堆疊接口，可以滿足樓層，樓宇內(nèi)多個(gè)交換機(jī)高性能匯聚的需要。冗余/負(fù)載均衡設(shè)計(jì)冗余和負(fù)載均衡的設(shè)計(jì)是網(wǎng)絡(luò)設(shè)計(jì)的重要部分，是保證網(wǎng)絡(luò)整體可靠性能的重要手段。但是投資也將增加。部分企業(yè)網(wǎng)在早期的建設(shè)中由于成本的原因并未在設(shè)計(jì)中考慮到冗余的問(wèn)題，而在優(yōu)化工作中則需從網(wǎng)絡(luò)鏈路和網(wǎng)絡(luò)設(shè)備兩方面著手。冗余和負(fù)載均衡設(shè)計(jì)可以貫穿整個(gè)層次化結(jié)構(gòu)。我們采用了PVST（每vlan生成樹(shù)協(xié)議）技術(shù)，它為每個(gè)在網(wǎng)絡(luò)中配置的VLAN維護(hù)一個(gè)生成樹(shù)實(shí)例，減少了生成樹(shù)拓?fù)涞目偡秶鰪?qiáng)了可擴(kuò)張性并減少了收斂時(shí)間，提供快速回復(fù)和更好的可靠性。并且防止了環(huán)路，實(shí)現(xiàn)了負(fù)載均衡，數(shù)據(jù)的備份和冗余。萬(wàn)一網(wǎng)絡(luò)中某條路徑失效時(shí)，冗余鏈路可以提供另一條路徑，使網(wǎng)絡(luò)能夠及時(shí)的正常運(yùn)行，高效合理的利用好網(wǎng)絡(luò)當(dāng)中的每條可用鏈路。服務(wù)器冗余設(shè)計(jì)企業(yè)網(wǎng)中服務(wù)器、大型機(jī)，如網(wǎng)絡(luò)存儲(chǔ)服務(wù)器，SQLServer服務(wù)器，其存儲(chǔ)的數(shù)據(jù)對(duì)于企業(yè)來(lái)說(shuō)至關(guān)重要，一些核心數(shù)據(jù)被視為企業(yè)的生命。一方面它對(duì)企業(yè)的重要性毋庸置疑，另一方面，由于這些數(shù)據(jù)的性質(zhì)決定了其較大的被訪問(wèn)量，這個(gè)對(duì)服務(wù)器提出了穩(wěn)定和快速的要求。為此，我們采用的是輪詢的方法，輪詢是基站為終端分配帶寬的一種處理流程，這種分配可以是針對(duì)單個(gè)終端或是一組終端的。輪詢是基于終端的，帶寬的請(qǐng)求總是基于CID，而分配則是基于終端。為一組終端和連接分配帶寬實(shí)際上是定義帶寬請(qǐng)求競(jìng)爭(zhēng)機(jī)制，這種分配不是使用一個(gè)單獨(dú)的消息，而是上行鏈路映射消息中包含的一系列分配機(jī)制，這樣使得每個(gè)服務(wù)器都能夠更好、更快的工作，提高了工作效率，更充分的利用了每個(gè)服務(wù)器。 本網(wǎng)絡(luò)中應(yīng)具備有多臺(tái)服務(wù)器設(shè)備，包括DBSERVER數(shù)據(jù)庫(kù)服務(wù)器，WEB等應(yīng)用服務(wù)器，NEWS，MALL等通訊服務(wù)器以及多媒體服務(wù)器等。網(wǎng)絡(luò)設(shè)計(jì)原則1.綜合性、整體性原則應(yīng)運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度以及專(zhuān)業(yè)技術(shù)措施即訪問(wèn)控制、加密技術(shù)、認(rèn)證技術(shù)、攻出檢測(cè)技術(shù)、容錯(cuò)、防病毒等。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。2.一致性原則一致性原則主要是指網(wǎng)絡(luò)安全問(wèn)題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)及實(shí)施計(jì)劃、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)行等，都要有安全的內(nèi)容及措施。實(shí)際上，在網(wǎng)絡(luò)建設(shè)的開(kāi)始就考慮網(wǎng)絡(luò)安全對(duì)策，比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施，不但容易，且花費(fèi)也少得多。3.適應(yīng)性及靈活性原則安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改和升級(jí)。4.合理利用資金，性價(jià)比高，要考慮到設(shè)備價(jià)格等問(wèn)題第三章網(wǎng)絡(luò)總體設(shè)計(jì)3.1網(wǎng)絡(luò)總體拓?fù)鋱D考慮到總公司的實(shí)際需求，建議采用兩臺(tái)CiscoCatalyst3560做雙機(jī)熱備，用Cisco專(zhuān)有熱備份路由協(xié)議技術(shù)（HSRP），根據(jù)需求配置成多組HSRP；同時(shí)雙機(jī)還可以做負(fù)載均衡。這樣設(shè)計(jì)不但保證網(wǎng)絡(luò)的高可用性和穩(wěn)定性，還能夠充分利用現(xiàn)有設(shè)備的資源，以避免單臺(tái)核心設(shè)備的負(fù)載太重而導(dǎo)致的網(wǎng)絡(luò)性能問(wèn)題。如上圖所示，整體網(wǎng)絡(luò)可以根據(jù)功能劃分為總部核心網(wǎng)絡(luò)、內(nèi)聯(lián)接入包括辦公網(wǎng)絡(luò)、數(shù)據(jù)中心、分公司接入等，各區(qū)域相對(duì)獨(dú)立，通過(guò)核心網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的交互。各區(qū)域可以各自建立交換網(wǎng)絡(luò)、路由接入、網(wǎng)絡(luò)安全體系，可以有獨(dú)立的安全策略、數(shù)據(jù)流量控制等個(gè)體的特性，而需要和其他區(qū)域的設(shè)備進(jìn)行通訊的時(shí)候，則必須遵守核心網(wǎng)絡(luò)區(qū)的策略。CiscoCatalyst35603.2網(wǎng)絡(luò)層次化設(shè)計(jì)隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長(zhǎng)，分布式的網(wǎng)絡(luò)服務(wù)和交換已經(jīng)移至用戶級(jí)，由此形成了一個(gè)新的、更適應(yīng)現(xiàn)代的高速大型網(wǎng)絡(luò)的分層設(shè)計(jì)模型。這種分級(jí)方法被稱為“多層設(shè)計(jì)”。多層設(shè)計(jì)有以下一些好處：多層設(shè)計(jì)是模塊化的，網(wǎng)絡(luò)容量可隨著日后網(wǎng)絡(luò)節(jié)點(diǎn)的增加而不斷增大。多層網(wǎng)絡(luò)有很大的確定性，因此在運(yùn)行和擴(kuò)展過(guò)程中進(jìn)行故障查找和排除非常簡(jiǎn)單。多層網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)最有效地利用多種第3層業(yè)務(wù)，包括分段﹑負(fù)載分擔(dān)和故障恢復(fù)等。在分層網(wǎng)絡(luò)中運(yùn)用智能第3層業(yè)務(wù)可以大大減少因配置不當(dāng)或故障設(shè)備引起的一般問(wèn)題。多層模式使網(wǎng)絡(luò)的移植更為簡(jiǎn)單易行，因?yàn)樗Ａ袅嘶诼酚善骱徒粨Q機(jī)的網(wǎng)絡(luò)原有的尋址方案，對(duì)以往的網(wǎng)絡(luò)有很好的兼容性。另外分層結(jié)構(gòu)也能夠?qū)W(wǎng)絡(luò)的故障進(jìn)行很好的隔離。針對(duì)實(shí)際情況我們可以采用三層結(jié)構(gòu)模型。三層結(jié)構(gòu)模型劃分為三個(gè)層次，即核心層、分布層、接入層。每個(gè)層次完成不同的功能。核心層核心層作為整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心，其主要功能是高速、可靠的進(jìn)行數(shù)據(jù)交換。分布層分布層主要進(jìn)行接入層的數(shù)據(jù)流量匯聚，并對(duì)數(shù)據(jù)流量進(jìn)行訪問(wèn)控制。包括訪問(wèn)控制列表、VLAN路由等等。接入層接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。主要是進(jìn)行VLAN的劃分、與分布層的連接等等。3.3核心層設(shè)計(jì)核心交換區(qū)的作用是盡快地提供所有的區(qū)域間的數(shù)據(jù)交換。我們推薦使用兩臺(tái)CiscoCatalyst3560交換機(jī)完成此項(xiàng)功能。兩臺(tái)3560交換機(jī)高性能、可靠性、可用性是我們主要考慮的因素。本區(qū)的安全性可以由邊界防火墻提供，如有需要在3560上面可以部署安全策略，使得核心交換區(qū)的安全性進(jìn)一步地增強(qiáng)。CiscoCatalyst3560系列憑借眾多智能服務(wù)將控制擴(kuò)展到網(wǎng)絡(luò)邊緣，其中包括先進(jìn)的服務(wù)質(zhì)量(QOS)、可預(yù)測(cè)性能、高級(jí)安全性和全面的管理。它提供帶集成永續(xù)性的出色控制，將永續(xù)性集成到硬件和軟件中，縮短了網(wǎng)絡(luò)停運(yùn)時(shí)間。CiscoCatalyst3560系列的模塊化架構(gòu)、介質(zhì)靈活性和可擴(kuò)展性減少了重復(fù)運(yùn)營(yíng)開(kāi)支，提高了投資回報(bào)（ROI），從而在延長(zhǎng)部署壽命的同時(shí)降低了擁有成本。3.4接入層設(shè)計(jì)接入層交換機(jī)采用思科的WS-C2960以千兆以太鏈路和匯聚交換機(jī)相連接，并為用戶終端提供10/100M自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。辦公系統(tǒng)所需的各種服務(wù)器如辦公自動(dòng)化服務(wù)器、郵件服務(wù)器、DHCP服務(wù)器等組成服務(wù)器群，數(shù)據(jù)中心的多種金融系統(tǒng)應(yīng)用服務(wù)器,連接到匯聚交換機(jī)的千兆模塊上面,因此，內(nèi)部的局域網(wǎng)是采用三層結(jié)構(gòu)組建。WS-C29603.5內(nèi)聯(lián)接入內(nèi)聯(lián)接入的作用是用于連接上海期貨機(jī)房和北京辦公網(wǎng)絡(luò)。我們推薦使用兩臺(tái)Cisco2800系列路由器通過(guò)SDH/DDN線路完成此項(xiàng)功能。由于總部網(wǎng)絡(luò)和分部機(jī)房屬于公司的內(nèi)部網(wǎng)絡(luò)的一部分，因此可信度很高；接入時(shí)主要作用是生產(chǎn)運(yùn)營(yíng)系統(tǒng)的數(shù)據(jù)交換，查詢等等和管理以及監(jiān)控?？偨Y(jié)以上的原因，內(nèi)聯(lián)路由器與核心交換網(wǎng)絡(luò)間不需要配置額外的防火墻。第四章路由設(shè)計(jì)4.1路由協(xié)議選擇開(kāi)放式最短路徑優(yōu)先（OpenShortestPathFirst，OSPF）協(xié)議是一種為IP網(wǎng)絡(luò)開(kāi)發(fā)的內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議，由IETF開(kāi)發(fā)并推薦使用。OSPF定義了5種分組：Hello分組用于建立和維護(hù)連接；數(shù)據(jù)庫(kù)描述分組初始化路由器的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫(kù)；當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫(kù)中的某部分信息已經(jīng)過(guò)時(shí)后，路由器發(fā)送鏈路狀態(tài)請(qǐng)求分組，請(qǐng)求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來(lái)主動(dòng)擴(kuò)散自己的鏈路狀態(tài)數(shù)據(jù)庫(kù)或?qū)︽溌窢顟B(tài)請(qǐng)求分組進(jìn)行響應(yīng)；由于OSPF直接運(yùn)行在IP層，協(xié)議本身要提供確認(rèn)機(jī)制，鏈路狀態(tài)應(yīng)答分組是對(duì)鏈路狀態(tài)更新分組進(jìn)行確認(rèn)。OSPF協(xié)議由三個(gè)子協(xié)議組成：Hello協(xié)議、交換協(xié)議和擴(kuò)散協(xié)議。其中Hello協(xié)議負(fù)責(zé)檢查鏈路是否可用，并完成指定路由器及備份指定路由器；交換協(xié)議完成“主”、“從”路由器的指定并交換各自的路由數(shù)據(jù)庫(kù)信息；擴(kuò)散協(xié)議完成各路由器中路由數(shù)據(jù)庫(kù)的同步維護(hù)。4.1.1OSPF協(xié)議主要優(yōu)點(diǎn)：為了克服距離矢量路由選擇協(xié)議的缺點(diǎn)，開(kāi)發(fā)了鏈路狀態(tài)選擇協(xié)議。鏈路狀態(tài)路由選擇協(xié)議僅在網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)才生成路由選擇更新。鏈路狀態(tài)路由選擇協(xié)議具體如下特征：快速響應(yīng)網(wǎng)絡(luò)變化.在網(wǎng)絡(luò)變化時(shí)發(fā)送觸發(fā)更新.以較低的頻率發(fā)送定期更新，被稱為鏈路狀態(tài)刷新（LSU）.4.1.2SPF算法最短路徑優(yōu)先（SPF）路由算法，又稱Dijkstra算法，所有的OSPF路由器并執(zhí)行SPF算法，根據(jù)路由器的拓?fù)鋽?shù)據(jù)庫(kù)構(gòu)造出來(lái)以他自己為根結(jié)點(diǎn)的最短路徑樹(shù)。這個(gè)最短路徑樹(shù)就生成了路由表。4.1.3OSPF規(guī)定有層次的網(wǎng)路結(jié)構(gòu)，OSPF將網(wǎng)絡(luò)分為若干區(qū)域：傳輸區(qū)域（骨干區(qū)域）：主要的功能為快速高效的傳輸IP分組的OSPF區(qū)域，中轉(zhuǎn)區(qū)域?qū)⑵渌?lèi)型的OSPF區(qū)域連接起來(lái)。常規(guī)區(qū)域（非骨干區(qū)域）：主要功能是為了連接用戶和資源的OSPF區(qū)域骨干區(qū)域的區(qū)域號(hào)必須為0。所以的常規(guī)區(qū)域必須與骨干區(qū)域相連。層次化區(qū)域的優(yōu)點(diǎn)：便于管理。最小化路由表將拓?fù)渥兏绊懴拗圃趨^(qū)域內(nèi)將LSA變更泛洪限制在范圍內(nèi)4.1.4OSPF路由器在完全鄰接之前,所經(jīng)過(guò)的幾個(gè)狀態(tài):Down:此狀態(tài)還沒(méi)有與其他路由器交換信息。首先從其ospf接口向外發(fā)送hello分組，還并不知道DR(若為廣播網(wǎng)絡(luò))和任何其他路由器。發(fā)送hello分組使用組播地址。Attempt:只適于NBMA網(wǎng)絡(luò),在NBMA網(wǎng)絡(luò)中鄰居是手動(dòng)指定的,在該狀態(tài)下,路由器將使用HelloInterval取代PollInterval來(lái)發(fā)送Hello包。Init:表明在DeadInterval里收到了Hello包,但是2-Way通信仍然沒(méi)有建立起來(lái)。two-way:雙向會(huì)話建立,而RID彼此出現(xiàn)在對(duì)方的鄰居列表中。(若為廣播網(wǎng)絡(luò)：例如：以太網(wǎng)。在這個(gè)時(shí)候應(yīng)該選舉DR,BDR)。ExStart:信息交換初始狀態(tài)，在這個(gè)狀態(tài)下,本地路由器和鄰居將建立Master/Slave關(guān)系,并確定DDSequenceNumber,路由器ID大的的成為Master.Exchange:信息交換狀態(tài)，本地路由器和鄰居交換一個(gè)或多個(gè)DBD分組（也叫DDP)。DBD包含有關(guān)LSDB中LSA條目的摘要信息)。Loading:信息加載狀態(tài)：收到DBD后,將收到的信息同LSDB中的信息進(jìn)行比較。如果DBD中有更新的鏈路狀態(tài)條目，則向?qū)Ψ桨l(fā)送一個(gè)LSR，用于請(qǐng)求新的LSA。Full:完全鄰接狀態(tài),鄰接間的鏈路狀態(tài)數(shù)據(jù)庫(kù)同步完成，通過(guò)鄰居鏈路狀態(tài)請(qǐng)求列表為空且鄰居狀態(tài)為L(zhǎng)oading判斷。另外OSPF還有自己的自制系統(tǒng)即AS自治系統(tǒng)（autonomoussystem）：一組相互管理下的網(wǎng)絡(luò)，它們共享同一個(gè)路由選擇方法，自治系統(tǒng)由地區(qū)再劃分并必須由IANA分配一個(gè)單獨(dú)的16位數(shù)字。地區(qū)通常連接到其他地區(qū)，使用路由器創(chuàng)建一個(gè)自治系統(tǒng)。為了保持骨干區(qū)域與普通區(qū)域的連通性，需要虛鏈路。4.1.5虛鏈路(VirtualLink)以下兩種情況需要使用到虛鏈路:1.通過(guò)一個(gè)非骨干區(qū)域連接到一個(gè)骨干區(qū)域。2.通過(guò)一個(gè)非骨干區(qū)域連接一個(gè)分段的骨干區(qū)域兩邊的部分區(qū)域。虛鏈接是一個(gè)邏輯的隧道（Tunnel）,配置虛鏈接的一些規(guī)則:1.虛鏈接必須配置在2個(gè)ABR之間。2.虛鏈接所經(jīng)過(guò)的區(qū)域叫TransitArea,它必須擁有完整的路由信息。3.TransitArea不能是StubArea。4.盡可能的避免使用虛鏈接,它增加了網(wǎng)絡(luò)的復(fù)雜程度和加大了排錯(cuò)的難度。4.2路由規(guī)劃拓?fù)鋱D4.3IP地址規(guī)劃標(biāo)識(shí)網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)。IP地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。我們根據(jù)以下幾個(gè)原則來(lái)分配IP地址：唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址簡(jiǎn)單性：地址分配應(yīng)簡(jiǎn)單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡(jiǎn)化路由表的款項(xiàng)連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路由總結(jié)(RouteSummarization)，大大縮減路由表，提高路由算法的效率可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址總結(jié)所需的連續(xù)性靈活性：地址分配應(yīng)具有靈活性，可借助可變長(zhǎng)子網(wǎng)掩碼技術(shù)(VLSMVariable-LengthSubnetMask)，以滿足多種路由策略的優(yōu)化，充分利用地址空間。部門(mén)網(wǎng)段子網(wǎng)掩碼網(wǎng)關(guān)地址廣播地址VLAN總部市場(chǎng)部552財(cái)務(wù)部.23營(yíng)銷(xiāo)部10.1.3554人事部10.1.410.1.45科研部10.1.510.1.56行政部10.1.610.1.6557部門(mén)網(wǎng)段子網(wǎng)掩碼子網(wǎng)網(wǎng)段網(wǎng)關(guān)地址廣播地址保留地址VLAN分部市場(chǎng)部24/2716個(gè)2財(cái)務(wù)部486/297031個(gè)3營(yíng)銷(xiāo)部242/273310個(gè)4人事部404/28594個(gè)5科研部400/2854個(gè)6行政部4804/2905111個(gè)7第五章網(wǎng)絡(luò)安全解決方案5.1網(wǎng)絡(luò)邊界安全威脅分析與非安全網(wǎng)絡(luò)的互聯(lián)面臨的安全問(wèn)題與網(wǎng)絡(luò)內(nèi)部的安全是不同的，主要的原因是攻擊人是不可控的，攻擊是不可溯源的，也沒(méi)有辦法去“封殺”，一般來(lái)說(shuō)網(wǎng)絡(luò)邊界上的安全問(wèn)題主要有下面幾個(gè)方面：1、信息泄密：網(wǎng)絡(luò)上的資源是可以共享的，但沒(méi)有授權(quán)的人得到了他不該得到的資源，信息就泄露了。一般信息泄密有兩種方式：攻擊者(非授權(quán)人員)進(jìn)入了網(wǎng)絡(luò)，獲取了信息，這是從網(wǎng)絡(luò)內(nèi)部的泄密合法使用者在進(jìn)行正常業(yè)務(wù)往來(lái)時(shí)，信息被外人獲得，這是從網(wǎng)絡(luò)外部的泄密2、入侵者的攻擊：互聯(lián)網(wǎng)是世界級(jí)的大眾網(wǎng)絡(luò)，網(wǎng)絡(luò)上有各種勢(shì)力與團(tuán)體。入侵就是有人通過(guò)互聯(lián)網(wǎng)進(jìn)入你的網(wǎng)絡(luò)(或其他渠道)，篡改數(shù)據(jù)，或?qū)嵤┢茐男袨?，造成你網(wǎng)絡(luò)業(yè)務(wù)的癱瘓，這種攻擊是主動(dòng)的、有目的、甚至是有組織的行為。3、網(wǎng)絡(luò)病毒：與非安全網(wǎng)絡(luò)的業(yè)務(wù)互聯(lián)，難免在通訊中帶來(lái)病毒，一旦在你的網(wǎng)絡(luò)中發(fā)作，業(yè)務(wù)將受到巨大沖擊，病毒的傳播與發(fā)作一般有不確定的隨機(jī)特性。這是“無(wú)對(duì)手”、“無(wú)意識(shí)”的攻擊行為。4、木馬入侵：木馬的發(fā)展是一種新型的攻擊行為，他在傳播時(shí)象病毒一樣自由擴(kuò)散，沒(méi)有主動(dòng)的跡象，但進(jìn)入你的網(wǎng)絡(luò)后，便主動(dòng)與他的“主子”聯(lián)絡(luò)，從而讓主子來(lái)控制你的機(jī)器，既可以盜用你的網(wǎng)絡(luò)信息，也可以利用你的系統(tǒng)資源為他工作，比較典型的就是“僵尸網(wǎng)絡(luò)”。來(lái)自網(wǎng)絡(luò)外部的安全問(wèn)題，重點(diǎn)是防護(hù)與監(jiān)控。來(lái)自網(wǎng)絡(luò)內(nèi)部的安全，人員是可控的，可以通過(guò)認(rèn)證、授權(quán)、審計(jì)的方式追蹤用戶的行為軌跡，也就是我們說(shuō)的行為審計(jì)與合軌性審計(jì)。由于有這些安全隱患的存在，在網(wǎng)絡(luò)邊界上，最容易受到的攻擊方式有下面幾種：1、黑客入侵：入侵的過(guò)程是隱秘的，造成的后果是竊取數(shù)據(jù)與系統(tǒng)破壞。木馬的入侵也屬于黑客的一種，只是入侵的方式采用的病毒傳播，達(dá)到的效果與黑客一樣。2、病毒入侵：病毒就是網(wǎng)絡(luò)的蛀蟲(chóng)與垃圾，大量的自我繁殖，侵占系統(tǒng)與網(wǎng)絡(luò)資源，導(dǎo)致系統(tǒng)性能下降。病毒對(duì)網(wǎng)關(guān)沒(méi)有影響，就象“走私”團(tuán)伙，一旦進(jìn)入網(wǎng)絡(luò)內(nèi)部，便成為可怕的“瘟疫”，病毒的入侵方式就象“水”的滲透一樣，看似漫無(wú)目的，實(shí)則無(wú)孔不入。3、網(wǎng)絡(luò)攻擊：網(wǎng)絡(luò)攻擊是針對(duì)網(wǎng)絡(luò)邊界設(shè)備或系統(tǒng)服務(wù)器的，主要的目的是中斷網(wǎng)絡(luò)與外界的連接，比如DOS攻擊，雖然不破壞網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)，但阻塞了應(yīng)用的帶寬，可以說(shuō)是一種公開(kāi)的攻擊，攻擊的目的一般是造成你服務(wù)的中斷。5.2網(wǎng)絡(luò)內(nèi)部安全威脅分析公司內(nèi)部網(wǎng)絡(luò)的風(fēng)險(xiǎn)分析主要針對(duì)整個(gè)內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)，主要表現(xiàn)為以下幾個(gè)方面：1.內(nèi)部用戶的非授權(quán)訪問(wèn)；內(nèi)部的資源也不是對(duì)任何的員工都開(kāi)放的，也需要有相應(yīng)的訪問(wèn)權(quán)限。內(nèi)部用戶的非授權(quán)的訪問(wèn)，更容易造成資源和重要信息的泄漏。2.內(nèi)部用戶的誤操作；由于內(nèi)部用戶的計(jì)算機(jī)造作的水平參差不齊，對(duì)于應(yīng)用軟件的理解也各不相同，如果一部分軟件沒(méi)有相應(yīng)的對(duì)誤操作的防范措施，極容易給服務(wù)系統(tǒng)和其他主機(jī)造成危害。內(nèi)部用戶的惡意攻擊；就網(wǎng)絡(luò)安全來(lái)說(shuō)，據(jù)統(tǒng)計(jì)約有70％左右的攻擊來(lái)自內(nèi)部用戶，相比外部攻擊來(lái)說(shuō)，內(nèi)部用戶具有更得天獨(dú)厚的優(yōu)勢(shì)，因此，對(duì)內(nèi)部用戶攻擊的防范也很重要。設(shè)備的自身安全性也會(huì)直接關(guān)系到各種系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。例如，路由設(shè)備存在路由信息泄漏、交換機(jī)和路由器設(shè)備配置風(fēng)險(xiǎn)等。3.重要服務(wù)器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒(méi)有及時(shí)的發(fā)現(xiàn)并且進(jìn)行修復(fù)，將會(huì)為網(wǎng)絡(luò)的安全帶來(lái)很多不安定的因素。重要服務(wù)器的當(dāng)機(jī)或者重要數(shù)據(jù)的意外丟失，都將會(huì)造成內(nèi)部的業(yè)務(wù)無(wú)法正常運(yùn)行。4.安全管理的困難，對(duì)于眾多的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備，安全策略的配置和安全事件管理的難度很大。5.3安全產(chǎn)品選型原則公司網(wǎng)絡(luò)屬于一個(gè)行業(yè)的專(zhuān)用網(wǎng)絡(luò)，因此在安全產(chǎn)品的選型上，必須慎重，選型的原則包括：1.安全保密產(chǎn)品的接入應(yīng)不明顯影響網(wǎng)絡(luò)系統(tǒng)運(yùn)行效率，并且滿足工作的要求，不影響正常的業(yè)務(wù)；2.安全保密產(chǎn)品必須滿足上面提出的安全需求，保證整個(gè)公司企業(yè)網(wǎng)絡(luò)的安全性。3.安全保密產(chǎn)品必須通過(guò)國(guó)家主管部門(mén)指定的測(cè)評(píng)機(jī)構(gòu)的檢測(cè)；4.安全保密產(chǎn)品必須具備自我保護(hù)能力；5.安全保密產(chǎn)品必須符合國(guó)家和國(guó)際上的相關(guān)標(biāo)準(zhǔn)；6.安全產(chǎn)品必須操作簡(jiǎn)單易用，便于簡(jiǎn)單部署和集中管理5.4網(wǎng)絡(luò)常用技術(shù)介紹HSRP協(xié)議我們使用HSRP來(lái)實(shí)現(xiàn)對(duì)故障路由器的接管,HSRP中文解釋是熱備份路由協(xié)議，其含義是系統(tǒng)中有多臺(tái)路由器，它們組成一個(gè)“熱備份組”，這個(gè)組形成一個(gè)虛擬路由器。在任一時(shí)刻，一個(gè)組內(nèi)只有一個(gè)路由器是活動(dòng)的，并由它來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動(dòng)路由器發(fā)生了故障，將選擇一個(gè)備份路由器來(lái)替代活動(dòng)路由器，但是在本網(wǎng)絡(luò)內(nèi)的主機(jī)看來(lái)，虛擬路由器沒(méi)有改變。所以主機(jī)仍然保持連接，沒(méi)有受到故障的影響，這樣就較好地解決了路由器切換的問(wèn)題。VLAN技術(shù)（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。IEEE于2021年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站無(wú)須被放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。Trunk技術(shù)一般的交換機(jī)端口只能屬于一個(gè)VLAN，對(duì)于多個(gè)VLAN需要跨過(guò)多臺(tái)交換機(jī)，就需要用到Trunk技術(shù)。Trunk是指交換機(jī)之間或交換機(jī)與路由器之間VLAN之間的連接，VLAN信息通過(guò)Trunk在交換機(jī)之間或路由器之間傳遞，從而可以將VLAN跨越整個(gè)網(wǎng)絡(luò)，而不僅僅是局限在一臺(tái)交換機(jī)上。Cisco支持802.1Q、ISL的技術(shù)。其中IEEE802.1q是業(yè)界的標(biāo)準(zhǔn)協(xié)議，而ISL是CISCO專(zhuān)有的協(xié)議，用于在一條鏈路上封裝多個(gè)VLAN的信息。ISL技術(shù)得到了Intel等廠商的大力支持，TagSwitching被3Com及LucentCajun支持。對(duì)于CISCO交換機(jī)的Trunk端口，既可以指定它的封裝協(xié)議為802.1q或ISL，也可以通過(guò)DTP協(xié)議（DynamicTrunkingProtocol）自動(dòng)協(xié)商。DTP協(xié)議主要用于處理Trunk端口的802.1q和ISL封裝協(xié)議的自動(dòng)協(xié)商，對(duì)于不同廠家的交換機(jī)互連時(shí)很有幫助。對(duì)Trunk的定義只能在快速以太網(wǎng)端口和千兆以太網(wǎng)端口上進(jìn)行，它既可以是單個(gè)的快速以太網(wǎng)端口或千兆以太網(wǎng)端口，也可以是快速以太網(wǎng)通道（FEC）或千兆以太網(wǎng)通道（GEC）。雖然我們采用的是思科交換機(jī)，但是最為一個(gè)標(biāo)準(zhǔn)的、開(kāi)放、先進(jìn)的網(wǎng)絡(luò)系統(tǒng)，我們推薦是用IEEE802.1Q標(biāo)準(zhǔn)協(xié)議。Spanning-Tree協(xié)議在局域網(wǎng)中是不允許出現(xiàn)環(huán)路的，而為了實(shí)現(xiàn)冗余和負(fù)載的均衡，通常會(huì)有多條鏈路的連接，這樣就會(huì)引入環(huán)路。為了解決這個(gè)矛盾，推出了STP協(xié)議。STP算法會(huì)將網(wǎng)絡(luò)中的連接生成一個(gè)樹(shù)，通過(guò)特定的算法自動(dòng)將優(yōu)先權(quán)高的鏈路激活，將優(yōu)先權(quán)低的鏈路阻塞，保證在網(wǎng)絡(luò)中任何時(shí)候都不會(huì)出現(xiàn)環(huán)路。如果網(wǎng)絡(luò)的連接狀況發(fā)生了變化，STP算法會(huì)自動(dòng)地重新計(jì)算新的連接關(guān)系，重新選出新的活動(dòng)的連接。STP算法會(huì)造成網(wǎng)絡(luò)的暫時(shí)的不穩(wěn)定狀態(tài)，該轉(zhuǎn)換時(shí)間在30秒之內(nèi)，亦即在30秒之內(nèi)網(wǎng)絡(luò)會(huì)重新恢復(fù)到穩(wěn)定狀態(tài)。STP對(duì)于終端是透明的，終端感覺(jué)不到STP的操作過(guò)程。在交換機(jī)上可以通過(guò)修改端口的優(yōu)先級(jí)來(lái)改變連接的優(yōu)先權(quán)，使得STP算法將高優(yōu)先權(quán)的連接作為活動(dòng)連接，例如：兩個(gè)交換機(jī)之間有兩條鏈路連接，一條是光纖連接，另一條是雙絞線連接，由于光纖連接明顯要比雙絞線連接更穩(wěn)定、更可靠，我們可以將交換機(jī)上的光纖端口的優(yōu)先權(quán)設(shè)定成比雙絞線端口更高的優(yōu)先權(quán)，這樣STP算法就會(huì)將光纖連接作為活動(dòng)連接，而將雙絞線連接阻塞。Cisco交換機(jī)的一個(gè)非常有用的特性就是可以對(duì)每個(gè)VLAN設(shè)置Spanning-Tree,而不是對(duì)整個(gè)網(wǎng)絡(luò)只能屬于一個(gè)Spanning-Tree。這個(gè)特征是很多廠商的設(shè)備所不具備的。在交換機(jī)上對(duì)端口的優(yōu)先權(quán)的設(shè)置可以基于VLAN進(jìn)行，每個(gè)端口對(duì)于不同的VLAN設(shè)置不同的優(yōu)先權(quán)。對(duì)于指定的VLAN，具有該VLAN最高優(yōu)先權(quán)的端口轉(zhuǎn)發(fā)該VLAN的信息，其它VLAN的信息則阻塞。通過(guò)這種方法，在具有冗余連接的交換機(jī)端口上分別針對(duì)不同的VLAN設(shè)置不同的優(yōu)先權(quán)，既可以實(shí)現(xiàn)鏈路的冗余，又可以實(shí)現(xiàn)負(fù)載的均衡。CISCO交換機(jī)端口支持每VLAN的生成樹(shù)協(xié)議，每個(gè)端口都可設(shè)置基于VLAN的Cost或Priority參數(shù)，從而實(shí)現(xiàn)在多條路徑上的負(fù)載均衡能力。目前多數(shù)廠商都支持STP協(xié)議，但是不允許多個(gè)STP域。采用多個(gè)STP域顯然可以獲得比單個(gè)域高的網(wǎng)絡(luò)可靠性。QOS為了防止數(shù)據(jù)包的傳輸質(zhì)量，為了解決這個(gè)問(wèn)題，就用到了QOS技術(shù)。服務(wù)質(zhì)量（QualityofService，QOS）是網(wǎng)絡(luò)（互聯(lián)網(wǎng)）傳輸質(zhì)量和服務(wù)可用性的度量。服務(wù)可用性是QOS的重要基礎(chǔ)要素。成功實(shí)現(xiàn)QOS的前提是網(wǎng)絡(luò)基礎(chǔ)構(gòu)造必須高度可靠。它是指網(wǎng)絡(luò)為某特定數(shù)據(jù)流提供優(yōu)良服務(wù)（滿足或超過(guò)業(yè)務(wù)要求的服務(wù)質(zhì)量）的能力。承載數(shù)據(jù)流的底層網(wǎng)絡(luò)技術(shù)包括幀中繼、ATM、以太、SONET/SDH和PTN網(wǎng)絡(luò)等。QOS利用以下特性提供優(yōu)良的、更可預(yù)知的網(wǎng)絡(luò)服務(wù)：提供專(zhuān)用帶寬；降低丟包率；管理和避免網(wǎng)絡(luò)擁塞；對(duì)網(wǎng)絡(luò)流量整形（shaping）；設(shè)置數(shù)據(jù)優(yōu)先級(jí)。決定QOS的因素端到端（end-to-end）QOS是指從網(wǎng)絡(luò)一端到另一端的QOS，這種QOS是全路程的QOS，不是點(diǎn)到點(diǎn)的。端到端（end-to-end）QOS也是指網(wǎng)絡(luò)能夠?yàn)樘囟〝?shù)據(jù)提供所要求服務(wù)質(zhì)量的能力。決定這種能力的因素有以下幾種。（1）帶寬（Bandwidth）--帶寬描述了網(wǎng)絡(luò)設(shè)備的接口或網(wǎng)絡(luò)鏈路在單位時(shí)間（秒）內(nèi)發(fā)送或傳送的比特量。帶寬越大表示單位時(shí)間內(nèi)傳送的數(shù)據(jù)量越大，越能夠保證服務(wù)質(zhì)量。（2）丟包率（Loss）--指未被接收到的數(shù)據(jù)包占總發(fā)送數(shù)據(jù)包的比率。丟包率是網(wǎng)絡(luò)可靠性的一個(gè)參數(shù)。如果網(wǎng)絡(luò)高度可靠，則在非擁塞情況下丟包率應(yīng)該是0。在擁塞情況下，如果使用了QOS，則QOS將決定選擇丟棄哪些數(shù)據(jù)包來(lái)緩解擁塞。（3）延遲（Delay）--一個(gè)數(shù)據(jù)包從發(fā)送端被發(fā)送出去到達(dá)接收端所經(jīng)歷的有限時(shí)間。如語(yǔ)音，它的延遲就是指從講話者說(shuō)出口，到接聽(tīng)者聽(tīng)到聲音這段時(shí)間。如果延遲過(guò)大，超過(guò)了規(guī)定值，就表明網(wǎng)絡(luò)所提供的服務(wù)質(zhì)量低，不能滿足業(yè)務(wù)要求。（4）抖動(dòng)（Jitter）--也稱延遲變量（delayvariation），用來(lái)描述不同數(shù)據(jù)包在端到端傳輸中的不同延遲。如一個(gè)數(shù)據(jù)包從源端到目的端用時(shí)100ms，而其后的數(shù)據(jù)包經(jīng)由同一條路徑時(shí)卻花費(fèi)125ms，那么抖動(dòng)就是25ms。終端設(shè)備上的應(yīng)用軟件，如MediaPlayer，可以使用緩沖區(qū)來(lái)彌補(bǔ)由抖動(dòng)造成的質(zhì)量下降，但它不能補(bǔ)償數(shù)據(jù)包到達(dá)時(shí)間的瞬時(shí)變化，這也會(huì)造成緩沖區(qū)的過(guò)載或欠載運(yùn)行，導(dǎo)致業(yè)務(wù)質(zhì)量降級(jí)。如在網(wǎng)上看電影時(shí)，視頻播放仍然不夠流暢。網(wǎng)絡(luò)對(duì)任何組織都是非常重要的。它承載著大量的應(yīng)用，包括實(shí)時(shí)語(yǔ)音、高質(zhì)量視頻和對(duì)延遲敏感的數(shù)據(jù)等，這就要求網(wǎng)絡(luò)必須能夠通過(guò)管理帶寬、延遲、抖動(dòng)和丟包率等參數(shù)提供可預(yù)測(cè)、可管理，甚至有時(shí)是可保證的服務(wù)。QOS就是用于達(dá)到這一目標(biāo)的技術(shù)和工具。QOS的目標(biāo)是形成一個(gè)聚合的、對(duì)于用戶來(lái)說(shuō)透明的網(wǎng)絡(luò)，在這個(gè)聚合的網(wǎng)絡(luò)平臺(tái)上，各種數(shù)據(jù)共存且并不公平地競(jìng)爭(zhēng)網(wǎng)絡(luò)資源，加上重要應(yīng)用的數(shù)據(jù)被網(wǎng)絡(luò)設(shè)備賦予較高的優(yōu)先級(jí)或得到優(yōu)先服務(wù)，這樣這些應(yīng)用的服務(wù)質(zhì)量就不會(huì)降低至不可用的地步了。第六章產(chǎn)品簡(jiǎn)介6.1Cisco2800系列集成多業(yè)務(wù)路由器思科系統(tǒng)公司推出了一個(gè)全新的集成多業(yè)務(wù)路由器系列，它進(jìn)?行了專(zhuān)門(mén)的優(yōu)化，可安全、線速地同時(shí)提供數(shù)據(jù)、話音和視頻服務(wù)，重新定義了最佳大型企業(yè)和中小型企業(yè)路由。模塊化Cisco