公司網(wǎng)絡(luò)方案設(shè)計(jì)畢業(yè)論文

公司網(wǎng)絡(luò)方案設(shè)計(jì)畢業(yè)論文目錄TOC\o"1-5"\h\z\o"CurrentDocument"第一章需求分析 1\o"CurrentDocument"一、項(xiàng)目背景 1\o"CurrentDocument"二、需求分析 1\o"CurrentDocument"三．設(shè)計(jì)原則 1\o"CurrentDocument"四、實(shí)現(xiàn)目標(biāo) 2\o"CurrentDocument"第二章方案設(shè)計(jì) 2\o"CurrentDocument"一、網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì) 2二、網(wǎng)絡(luò)接口的ip地址規(guī)劃 3三、 ip地址以及VLAN的規(guī)劃 3四、 網(wǎng)絡(luò)核心層設(shè)計(jì) 3五、 接入層設(shè)計(jì) 9\o"CurrentDocument"六、 無(wú)線網(wǎng)絡(luò)的設(shè)計(jì) 10七、 網(wǎng)絡(luò)出口設(shè)計(jì) 13\o"CurrentDocument"第三章網(wǎng)絡(luò)安全及優(yōu)化 17\o"CurrentDocument"一、設(shè)置組織結(jié)構(gòu) 17\o"CurrentDocument"二、用戶名密碼設(shè)置 18三、 上網(wǎng)策略的設(shè)置 20四、 審計(jì)配置 20\o"CurrentDocument"五、 防火墻的設(shè)置 21\o"CurrentDocument"六、 添加信任端口 21\o"CurrentDocument"總結(jié) 21參考文獻(xiàn) 22第一章需求分析一、項(xiàng)目背景信息化浪潮風(fēng)起云涌的今天，公司內(nèi)部網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提升企業(yè)核心競(jìng)爭(zhēng)力的關(guān)鍵因素，公司網(wǎng)已經(jīng)越來(lái)越多的被人們提到。利用網(wǎng)絡(luò)技術(shù)，現(xiàn)代企業(yè)可以在供應(yīng)商、客戶、合作伙伴、員工之間實(shí)現(xiàn)優(yōu)化的信息溝通。這直接非關(guān)系到公司能否獲得關(guān)鍵的競(jìng)爭(zhēng)優(yōu)勢(shì)。近年來(lái)越來(lái)越多的公司都在加快構(gòu)建自身的信息化網(wǎng)絡(luò)，為了適應(yīng)業(yè)務(wù)的發(fā)展和國(guó)際化的需要，積極參與國(guó)家信息化進(jìn)程，提高管理水平，展現(xiàn)全新的形象。北京康科達(dá)成發(fā)展有限公司決定自身的網(wǎng)絡(luò)發(fā)展升級(jí)，將原先的網(wǎng)絡(luò)徹底改造，升級(jí)成能夠滿足未來(lái)十年的互聯(lián)網(wǎng)發(fā)展需求。二、需求分析1、 北京康科達(dá)成發(fā)展有限公司有領(lǐng)導(dǎo)，財(cái)務(wù)部門(mén)，人事部門(mén)，商務(wù)部門(mén)，銷(xiāo)售部門(mén)，以及技術(shù)部門(mén)六個(gè)部門(mén)。分別擁有3,2,1,5,6,12臺(tái)計(jì)算機(jī)，現(xiàn)實(shí)現(xiàn)每個(gè)人在企業(yè)內(nèi)部的網(wǎng)絡(luò)帶寬達(dá)到1OOMb/s。2、 實(shí)現(xiàn)領(lǐng)導(dǎo)，人事部門(mén)，商務(wù)部門(mén)，銷(xiāo)售部門(mén)，技術(shù)部門(mén)五個(gè)部門(mén)可以互相通信，財(cái)務(wù)部門(mén)不能與其他部門(mén)通信。3、 實(shí)現(xiàn)六個(gè)部門(mén)都可以用公司打印機(jī)打印公司文件。4、 公司內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)的網(wǎng)絡(luò)接入達(dá)到1OOMb/s.5、 實(shí)現(xiàn)公司內(nèi)部無(wú)線網(wǎng)絡(luò)的全覆蓋，并且有將員工和外來(lái)訪客分隔開(kāi)。外來(lái)訪客無(wú)需認(rèn)證就可上網(wǎng)。6、 外部人員可以通過(guò)互聯(lián)網(wǎng)來(lái)訪問(wèn)公司的服務(wù)器網(wǎng)站。7、 為保證安全，所有員工上網(wǎng)都需通過(guò)實(shí)名制認(rèn)證后才可以上網(wǎng)，并且對(duì)其上網(wǎng)行為進(jìn)行審計(jì)。8、 不允許員工在上班期間訪問(wèn)與工作無(wú)關(guān)的內(nèi)容（領(lǐng)導(dǎo)除外）三．設(shè)計(jì)原則1、可靠性一系統(tǒng)具備網(wǎng)絡(luò)診斷、測(cè)試和在線故障恢復(fù)能力，關(guān)鍵設(shè)備、線路能做到實(shí)時(shí)備份和自動(dòng)故障切。2、標(biāo)準(zhǔn)化——網(wǎng)絡(luò)技術(shù)發(fā)展迅速，不能盲目求新，必須以符合國(guó)際標(biāo)準(zhǔn)為準(zhǔn)則,選擇技術(shù)已經(jīng)成熟、標(biāo)準(zhǔn)化的產(chǎn)品，這是保護(hù)投資、易于維護(hù)的基礎(chǔ)。3、 擴(kuò)展能力——充分考慮到目前的業(yè)務(wù)需求和今后長(zhǎng)時(shí)間內(nèi)業(yè)務(wù)發(fā)展的需要，系統(tǒng)可方便地實(shí)現(xiàn)升級(jí)。4、 開(kāi)放性一一網(wǎng)絡(luò)體系結(jié)構(gòu)與系統(tǒng)應(yīng)用各自獨(dú)立，與服務(wù)器、工作站的操作模式無(wú)關(guān)，支持各種通訊協(xié)議，各種數(shù)據(jù)庫(kù)和客戶機(jī)/服務(wù)器以及Internet/Intranet的應(yīng)用，并能方便地和其它機(jī)構(gòu)、企業(yè)的主機(jī)和網(wǎng)絡(luò)互連通訊靈活性一拓?fù)浣Y(jié)構(gòu)必須靈活，便于進(jìn)行網(wǎng)絡(luò)的管理和調(diào)整。5、 可維護(hù)性一網(wǎng)絡(luò)系統(tǒng)便于管理和維護(hù)，配置功能強(qiáng)大的網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)集中維護(hù)和檢測(cè)。嚴(yán)密的安全控制和保密性能一系統(tǒng)提供必要的安全保護(hù)手段，防止由于操作人員的失誤以及系統(tǒng)的意外故障而造成數(shù)據(jù)丟失或破壞；同時(shí)能防止系統(tǒng)外部的侵入和操作人員的非法操作，系統(tǒng)的信息安全性要求達(dá)到C2級(jí)標(biāo)準(zhǔn)。6、 經(jīng)濟(jì)性一一一次性投資，長(zhǎng)年受益，維護(hù)費(fèi)用低，使整體性價(jià)比達(dá)到最優(yōu)。先進(jìn)性一支持任務(wù)優(yōu)先級(jí)的劃分，具有適當(dāng)?shù)亩嗝襟w應(yīng)用支持。四、實(shí)現(xiàn)目標(biāo)在統(tǒng)一思想、統(tǒng)一信息交換標(biāo)準(zhǔn)、統(tǒng)一技術(shù)規(guī)范的原則下，系統(tǒng)達(dá)到以下目標(biāo)：?為各辦公室提供寬帶網(wǎng)絡(luò)支持?提供公用信息交換平臺(tái)?提供日常工作的處理網(wǎng)絡(luò)化、電子化的日常辦公自動(dòng)化環(huán)境?電子檔案的信息查詢，提供先進(jìn)和更多的服務(wù)手段，提高效率和質(zhì)量?為調(diào)控、科學(xué)決策提供有力的支持；?為內(nèi)部網(wǎng)提供有力的技術(shù)保障，增加內(nèi)部系統(tǒng)的安全性第二章方案設(shè)計(jì)一、網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)北京康科達(dá)成發(fā)展科技有限公司是一家小型的企業(yè)，公司的全部信息點(diǎn)位總共有30個(gè)，鑒于公司未來(lái)的發(fā)展需求，信息點(diǎn)位上升可達(dá)到100個(gè)，所以企業(yè)網(wǎng)絡(luò)內(nèi)部才用二層結(jié)構(gòu)即核心層和匯聚層。網(wǎng)絡(luò)出口采用兩臺(tái)深信服上網(wǎng)行為管理設(shè)備。公司

內(nèi)部做到無(wú)線網(wǎng)絡(luò)的全面覆蓋，所以采用AC+無(wú)線AP的模式覆蓋全公司。現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)如下： 朮纖 心跳纜 雙絞線■；r,傻瓜式左撫機(jī)I收投心交換機(jī)i血的陋-浚人玄換機(jī)16.99.2-iIp:00伯銳AFIP:172-16.■；r,傻瓜式左撫機(jī)I收投心交換機(jī)i血的陋-浚人玄換機(jī)16.99.2-iIp:00伯銳AFIP:172-16.100.2/2-1IP^172,16.100.3/2-1IP:172.16-100.4/2-i厶司打印機(jī)餡銳尤線控制服養(yǎng)黯■■J■■深信眼上網(wǎng)苻并-深信眼上一網(wǎng)行為：=O：s圖2-1二、網(wǎng)絡(luò)接口的ip地址規(guī)劃網(wǎng)絡(luò)接口Ip地址深信服ETH1/29核心交換機(jī)F0/99/29三、ip地址以及VLAN的規(guī)劃四、網(wǎng)絡(luò)核心層設(shè)計(jì)（一）設(shè)備選型核心層設(shè)備選擇H3C的S5130HI系列交換機(jī)。此系列的設(shè)備具有一下特點(diǎn):部門(mén)VLANIp地址領(lǐng)導(dǎo)VLAN10/24財(cái)務(wù)部VLAN20/24人事部VLAN30/24商務(wù)部VLAN40/24銷(xiāo)售部VLAN50/24技術(shù)部VLAN60/24服務(wù)器VLAN99/24無(wú)線控制器VLAN100/24無(wú)線SSID員工VLAN150/24無(wú)線SSID訪客VLAN200/241、MACsec硬件加密Macsec是一種非常適合于以太網(wǎng)的HopbyHop的鏈路層安全協(xié)議，它實(shí)現(xiàn)如下三個(gè)功能：（1） 報(bào)文加密：通過(guò)加密算法和密鑰，將明文變成亂碼的密文，即使被竊聽(tīng)也難以解密。（2） 防重放攻擊：防止黑客截獲目的主機(jī)接收的報(bào)文，再次發(fā)送給目的主機(jī)，達(dá)到欺騙目的主機(jī)的目的，比如身份認(rèn)證。（3） 防篡改：防止黑客隨意篡改原始報(bào)文內(nèi)容，實(shí)現(xiàn)不可告人的目的。macsec的實(shí)現(xiàn)分兩種模式：（1） 面向主機(jī)模式：用于終端接入網(wǎng)絡(luò)的第一跳保護(hù)。（2） 面向設(shè)備模式:用戶設(shè)備之間互聯(lián)鏈路的保護(hù)。2、多重可靠性保護(hù)S5130-HI系列交換機(jī)具備設(shè)備級(jí)和鏈路級(jí)的多重可靠性保護(hù)。S5130-HI系列交換機(jī)，支持可插拔交、直雙電源模塊、以及可插拔雙風(fēng)扇可靠性設(shè)計(jì)，可以根據(jù)實(shí)際環(huán)境的需要靈活配置交流或直流電源模塊，此外整機(jī)還支持電源和風(fēng)扇的故障檢測(cè)及告警，可以根據(jù)溫度的變化自動(dòng)調(diào)節(jié)風(fēng)扇的轉(zhuǎn)速，這些設(shè)計(jì)使設(shè)備具備了更高的可靠性。除了設(shè)備級(jí)可靠性以外，該產(chǎn)品還支持豐富的鏈路級(jí)可靠性技術(shù)。此外還具有這LACP/STP/RSTP/MSTP/SmartLink/RRPP快速環(huán)網(wǎng)保護(hù)機(jī)制等保護(hù)協(xié)議，支持IRF2智能彈性架構(gòu)，支持1：N冗余備份，支持環(huán)形堆疊，支持跨設(shè)備的鏈路聚合，極大提高網(wǎng)絡(luò)可靠性，當(dāng)網(wǎng)絡(luò)上承載多業(yè)務(wù)、大流量的時(shí)候也不影響網(wǎng)絡(luò)的收斂時(shí)間，保證業(yè)務(wù)的正常開(kāi)展3、豐富的QoS策略H3CS5130-HI系列交換機(jī)支持支持L2(Layer2)~L4(Layer4)包過(guò)濾功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口號(hào)、協(xié)議類(lèi)型、VLAN的流分類(lèi)。提供靈活的對(duì)列調(diào)度算法，可以同時(shí)基于端口和隊(duì)列進(jìn)行設(shè)置，支持SP(StrictPriority)、WRR(WeightedRoundRobin)、SP+WRR、WFQ、WDRR五種模式。支持CAR(CommittedAccessRate)功能，粒度最小達(dá)8Kbps。支持出、入兩個(gè)方向的端口鏡像，用于對(duì)指定端口上的報(bào)文進(jìn)行監(jiān)控，將端口上的數(shù)據(jù)包復(fù)制到監(jiān)控端口，以進(jìn)行網(wǎng)絡(luò)檢測(cè)和故障排除。增強(qiáng)的以太網(wǎng)供電能力(PoE+)H3CS5130-HI系列交換機(jī)支持802.3af/802.3at增強(qiáng)的以太網(wǎng)供電功能，單端口最大30W的輸出功率，可以為802.11n的無(wú)線接入點(diǎn)，可視IP電話，大功率的監(jiān)控?cái)z像頭以及更多的終端設(shè)備提供以太網(wǎng)供電能力。換圖2-2：M配置功能1、VLAN劃分VLAN(VirtualLocalAreaNetwork)的中文名為"虛擬局域網(wǎng)"。虛擬局域網(wǎng)(VLAN)是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門(mén)及應(yīng)用等因素將它們組織起來(lái)，相互之間的通信就好像它們?cè)谕粋€(gè)網(wǎng)段一樣，由此得名虛擬局域網(wǎng)。VLAN是一種比較新的技術(shù)，它工作在TCP/ip第2層和第3層，一個(gè)VLAN就是一個(gè)廣播域，VLAN之間的通信是通過(guò)第3層的路由器完成的。與傳統(tǒng)的比較，VLAN技術(shù)更加靈活，它具有以下優(yōu)點(diǎn)：網(wǎng)絡(luò)設(shè)備的移動(dòng)、添加和修改的管理開(kāi)銷(xiāo)減少；可以控制廣播活動(dòng)，可提高安全性。在核心交換機(jī)中，根據(jù)部門(mén)來(lái)劃分8個(gè)VLAN。2、 ACL訪問(wèn)控制列表訪問(wèn)控制列表(AccessControlList，ACL)是路由器和交換機(jī)接口的指令列表,用來(lái)控制端口進(jìn)出的數(shù)據(jù)包OACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。信息點(diǎn)間通信和內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，為了保證內(nèi)網(wǎng)的安全性，需要通過(guò)安全策略來(lái)保障非授權(quán)用戶只能訪問(wèn)特定的網(wǎng)絡(luò)資源，從而達(dá)到對(duì)訪問(wèn)進(jìn)行控制的目的。簡(jiǎn)而言之，ACL可以過(guò)濾網(wǎng)絡(luò)中的流量，是控制訪問(wèn)的一種網(wǎng)絡(luò)技術(shù)手段。配置ACL后，可以限制網(wǎng)絡(luò)流量，允許特定設(shè)備訪問(wèn)，指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包等。如可以配置ACL，禁止局域網(wǎng)內(nèi)的設(shè)備訪問(wèn)外部公共網(wǎng)絡(luò)，或者只能使用FTP服務(wù)。ACL既可以在路由器上配置，也可以在具有ACL功能的業(yè)務(wù)軟件上進(jìn)行配置。ACL是物聯(lián)網(wǎng)中保障系統(tǒng)安全性的重要技術(shù)，在設(shè)備硬件層安全基礎(chǔ)上，通過(guò)對(duì)在軟件層面對(duì)設(shè)備間通信進(jìn)行訪問(wèn)控制，使用可編程方法指定訪問(wèn)規(guī)則，防止非法設(shè)備破壞系統(tǒng)安全，非法獲取系統(tǒng)數(shù)據(jù)。根據(jù)要求公司中的其他部門(mén)不能夠去訪問(wèn)財(cái)務(wù)部門(mén)的電腦，所以根據(jù)訪問(wèn)控制列表禁止其他部門(mén)去訪問(wèn)。3、 SVI配置一個(gè)交換機(jī)虛擬接口(SwitchVirtualInterface，SVI)代表一個(gè)由交換端口構(gòu)成的VLAN(其實(shí)就是通常所說(shuō)的VLAN接口)，以便于實(shí)現(xiàn)系統(tǒng)中路由和橋接的功能。一個(gè)交換機(jī)虛擬接口對(duì)應(yīng)一個(gè)VLAN，當(dāng)需要路由虛擬局域網(wǎng)之間的流量或橋接VLAN之間不可路由的協(xié)議，以及提供IP主機(jī)到交換機(jī)的連接的時(shí)候，就需要為相應(yīng)的虛擬局域網(wǎng)配置相應(yīng)的交換機(jī)虛擬接口，其實(shí)SVI就是指通常所說(shuō)的VLAN接口，只不過(guò)它是虛擬的，用于連接整個(gè)VLAN，所以通常也把這種接口稱(chēng)為邏輯三層接口，也是三層接口。SVI接口是當(dāng)在interfacevlan全局配置命令后面鍵入具體的VLANID時(shí)創(chuàng)建的?？梢杂胣ointerfacevlanvlan_id全局配置命令來(lái)刪除對(duì)應(yīng)的SVI接口，只是不能刪除VLAN1的SVI接口(VLAN1)，因?yàn)閂LAN1接口是默認(rèn)已創(chuàng)建的，用VLANIp地址VLAN1054/24VLAN2054/24VLAN3054/24VLAN4054/24VLAN5054/24VLAN6054/24VLAN15054/24VLAN20054/24于遠(yuǎn)程交換機(jī)管理。由于企業(yè)網(wǎng)絡(luò)采用的二層結(jié)構(gòu)，接入層+核心層結(jié)構(gòu)，所有主機(jī)的網(wǎng)關(guān)都放在核心層，所以用SVI技術(shù)。4、DHCP地址池配置DHCP（DynamicHostConfigurationProtocol，動(dòng)態(tài)主機(jī)配置協(xié)議）通常被應(yīng)用在大型的局域網(wǎng)絡(luò)環(huán)境中，主要作用是集中的管理、分配IP地址，使網(wǎng)絡(luò)環(huán)境中的主機(jī)動(dòng)態(tài)的獲得IP地址、Gateway地址、DNS服務(wù)器地址等信息，并能夠提升地址的使用率。DHCP協(xié)議采用客戶端/服務(wù)器模型，主機(jī)地址的動(dòng)態(tài)分配任務(wù)由網(wǎng)絡(luò)主機(jī)驅(qū)動(dòng)。當(dāng)DHCP服務(wù)器接收到來(lái)自網(wǎng)絡(luò)主機(jī)申請(qǐng)地址的信息時(shí)，才會(huì)向網(wǎng)絡(luò)主機(jī)發(fā)送相關(guān)的地址配置等信息，以實(shí)現(xiàn)網(wǎng)絡(luò)主機(jī)地址信息的動(dòng)態(tài)配置。DHCP具有以下功能：?保證任何IP地址在同一時(shí)刻只能由一臺(tái)DHCP客戶機(jī)所使用。?DHCP應(yīng)當(dāng)可以給用戶分配永久固定的IP地址。?DHCP應(yīng)當(dāng)可以同用其他方法獲得IP地址主機(jī)共存（如手工配置IP地址的主機(jī)）。?DHCP服務(wù)器向現(xiàn)有的BOOTP提供服務(wù)。為了做到ip地址的統(tǒng)一規(guī)劃，以及ip地址的合理的應(yīng)用，所以在核心交換機(jī)上配置DHCP地址池，并且每一個(gè)VLAN配置單獨(dú)的地址池。5、鏈路聚合鏈路聚合（LinkAggregation），是指將多個(gè)物理端口捆綁在一起，成為一個(gè)邏輯端口，以實(shí)現(xiàn)出/入流量在各成員端口中的負(fù)荷分擔(dān)，交換機(jī)根據(jù)用戶配置的端口負(fù)荷分擔(dān)策略決定報(bào)文從哪一個(gè)成員端口發(fā)送到對(duì)端的交換機(jī)。當(dāng)交換機(jī)檢測(cè)到其中一個(gè)成員端口的鏈路發(fā)生故障時(shí)，就停止在此端口上發(fā)送報(bào)文，并根據(jù)負(fù)荷分擔(dān)策略在剩下鏈路中重新計(jì)算報(bào)文發(fā)送的端口，故障端口恢復(fù)后再次重新計(jì)算報(bào)文發(fā)送端口。鏈路聚合在增加鏈路帶寬、實(shí)現(xiàn)鏈路傳輸彈性和冗余等方面是一項(xiàng)很重要的技術(shù)。由于核心交換機(jī)和接入層交換機(jī)采用雙鏈路鏈接，為了能夠擴(kuò)大帶寬，所以將兩條鏈路進(jìn)行鏈路聚合，也能夠達(dá)到鏈路的冗余。6、默認(rèn)路由默認(rèn)路由是一種特殊的靜態(tài)路由，指的是當(dāng)路由表中與包的目的地址之間沒(méi)有匹配的表項(xiàng)時(shí)路由器能夠做出的選擇。如果沒(méi)有默認(rèn)路由，那么目的地址在路由表中沒(méi)有匹配表項(xiàng)的包將被丟棄?默認(rèn)路由在某些時(shí)候非常有效，當(dāng)存在末梢網(wǎng)絡(luò)時(shí)，默認(rèn)路由會(huì)大大簡(jiǎn)化路由器的配置，減輕管理員的工作負(fù)擔(dān)，提高網(wǎng)絡(luò)性能在核心交換機(jī)上配置一條默認(rèn)路由，當(dāng)所有主機(jī)上網(wǎng)時(shí)通過(guò)這條默認(rèn)路由出去，下一跳指向深信服設(shè)備的ETH1接口的ip地址。（五）雙絞線的選擇核心層與接入層交換機(jī)之間的鏈路選擇1000Mb/s的雙絞線。圖2-3接入層和主機(jī)連接的鏈路選擇100Mb/s的雙絞線。圖圖2-4五、接入層設(shè)計(jì)（一）設(shè)備選型接入層選擇48口H3C的S5120-58C-HI交換機(jī)，此設(shè)備的特點(diǎn)有：1、多重可靠性保護(hù)S5120-HI系列交換機(jī)具備設(shè)備級(jí)和鏈路級(jí)的多重可靠性保護(hù)。硬件支持可插拔交、直流雙電源并支持過(guò)流保護(hù)、過(guò)壓保護(hù)和過(guò)熱保護(hù)技術(shù)。支持電源和風(fēng)扇的故障檢測(cè)及告警，可以根據(jù)溫度的變化自動(dòng)調(diào)節(jié)風(fēng)扇的轉(zhuǎn)速。S5120-52SC/28SC-HI還支持可插拔的風(fēng)扇模塊，支持靈活的可調(diào)風(fēng)道，這些設(shè)計(jì)使S5120HI具備了數(shù)據(jù)中心級(jí)的高可靠性。2、綠色環(huán)保設(shè)計(jì)S5120-HI采用綠色節(jié)能設(shè)計(jì)。支持空端口auto-power-down，如果在一段時(shí)間內(nèi)接口狀態(tài)始終為down，則系統(tǒng)自動(dòng)停止對(duì)該接口供電，自動(dòng)進(jìn)入節(jié)能模式。支持一鍵節(jié)能模式，通過(guò)控制設(shè)備上指示燈亮/滅以及端口節(jié)能狀態(tài)降低能耗。支持EEE節(jié)能功能，端口如果在連續(xù)一段時(shí)間之內(nèi)空閑，系統(tǒng)會(huì)將該端口設(shè)置為節(jié)能模式，當(dāng)有報(bào)文收發(fā)時(shí)再通過(guò)定時(shí)發(fā)送的監(jiān)聽(tīng)碼流喚醒端口恢復(fù)業(yè)務(wù)，達(dá)到節(jié)能的效果。圖2-5S5120-58C-HI（二）配置功能1、 VLAN配置在接入層的三臺(tái)交換機(jī)上配置VLAN，在每一臺(tái)接入層交換機(jī)上配置VLAN10，30,40,50,60,99這六個(gè)VLAN。方便除了財(cái)務(wù)部門(mén)外的其他部門(mén)能夠自由的互相訪問(wèn)。2、 鏈路聚合三臺(tái)接入層交換和核心設(shè)備采用雙聯(lián)路鏈接，為了能夠擴(kuò)大帶寬，將兩條鏈路進(jìn)行聚合。六、無(wú)線網(wǎng)絡(luò)的設(shè)計(jì)為了以后無(wú)線網(wǎng)絡(luò)的發(fā)展和公司規(guī)模的不斷擴(kuò)大以及更好的管理無(wú)線網(wǎng)絡(luò)，無(wú)線網(wǎng)絡(luò)的模式才有無(wú)線控制器+瘦AP的模式。（一）設(shè)備選型無(wú)線網(wǎng)絡(luò)的無(wú)線控制器選擇星銳的陽(yáng)光系列的NAC-6150,此設(shè)備的特點(diǎn)是：1、 認(rèn)證方式多樣微信認(rèn)證（微信連WiFi），短信認(rèn)證，二維碼審核認(rèn)證，MAC+Web認(rèn)證，APP認(rèn)證，WAPI認(rèn)證，Portal認(rèn)證，802.1x認(rèn)證，CA證書(shū)認(rèn)證。2、 安全控制策略支持用戶/終端MAC綁定及終端用戶隔離，支持上網(wǎng)行為管理/行為審計(jì)支持終端識(shí)別/應(yīng)用識(shí)別/URL地址識(shí)別，支持防釣魚(yú)/防蹭網(wǎng)，支持WIPS/WIDS3、 無(wú)線的優(yōu)化智能廣播提速，ARP轉(zhuǎn)單播，防終端拖滯/粘滯，高密場(chǎng)景負(fù)載均衡，電子書(shū)包場(chǎng)景優(yōu)化，禁止低速率終端接入，禁止DHCP請(qǐng)求發(fā)往無(wú)線終端。圖2-6無(wú)線AP的選擇是星銳的雙頻的NAP-2600。圖2-7

（二）配置功能將星銳的無(wú)線控制器的模式配置成為本地轉(zhuǎn)發(fā)模式本地轉(zhuǎn)發(fā):恰謖無(wú)毅坦呦ISH泊腹心冊(cè)扯3【■按入處換嘰入交換機(jī)林啜I：網(wǎng)訂旳Ip:I7U.i2lr：172.16.KHJ.J本地轉(zhuǎn)發(fā):恰謖無(wú)毅坦呦ISH泊腹心冊(cè)扯3【■按入處換嘰入交換機(jī)林啜I：網(wǎng)訂旳Ip:I7U.i2lr：172.16.KHJ.JIP：r7Z.-EB：.EW；n：Jfi用茨交換稱(chēng)-Ep:372.Ip：172.16.9^.[ /24 //莒銳肚曙醬.;'：..L.I；..Uli-/24信銳AP利用瘦AP本地轉(zhuǎn)發(fā)方式進(jìn)行大規(guī)模組網(wǎng)，可以完全代替目前主要采用的集中轉(zhuǎn)發(fā)方式，在本地轉(zhuǎn)發(fā)方式下，網(wǎng)管、安全、認(rèn)證、漫游、QOS、負(fù)載均衡、流控、二層隔離等功能還是由AC統(tǒng)一控制，再由AP具體實(shí)施；只是業(yè)務(wù)數(shù)據(jù)不通過(guò)隧道傳送到AC,再經(jīng)由AC解封后統(tǒng)一轉(zhuǎn)發(fā)，而是由AP本地轉(zhuǎn)發(fā)。此組網(wǎng)方式的優(yōu)勢(shì)主要體現(xiàn)在，將業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)任務(wù)分散到AP,降低AC壓力，輕松應(yīng)對(duì)帶寬挑戰(zhàn)，徹底解決AC瓶頸問(wèn)題，提高網(wǎng)絡(luò)整體吞吐率，順利迎接11n時(shí)代。集中轉(zhuǎn)發(fā):集中轉(zhuǎn)發(fā)組網(wǎng)，AP和AC之間單獨(dú)建立一條隧道傳輸數(shù)據(jù)業(yè)務(wù)，所有的數(shù)據(jù)業(yè)務(wù)都通過(guò)AC轉(zhuǎn)發(fā)出去，所以AC的負(fù)荷比較大。集中轉(zhuǎn)發(fā)所有的數(shù)據(jù)包都要走隧道，所以對(duì)鏈路的帶寬要求較高，并且對(duì)AC接口的帶寬要求也較高。由于集中轉(zhuǎn)發(fā)的數(shù)據(jù)包要封裝到隧道里再轉(zhuǎn)發(fā)走，所以對(duì)AC的CPU消耗比本地轉(zhuǎn)發(fā)更大。由于對(duì)帶寬要求較高，所以集中轉(zhuǎn)發(fā)的AC可管理的AP數(shù)量也會(huì)受到一定限制。這樣對(duì)于規(guī)模較大的網(wǎng)絡(luò)或者有備份要求的項(xiàng)目，會(huì)增加成本。此外，當(dāng)隧道轉(zhuǎn)發(fā)出現(xiàn)不通或者丟包現(xiàn)象時(shí)，查找網(wǎng)絡(luò)故障難度比本地轉(zhuǎn)發(fā)高。集中轉(zhuǎn)發(fā)的優(yōu)點(diǎn)是對(duì)于現(xiàn)網(wǎng)改動(dòng)較小。因此，所有的用戶用無(wú)線ID連接到企業(yè)的內(nèi)網(wǎng)中，所有的訪問(wèn)的流量通過(guò)核心交換機(jī)直接出去，不經(jīng)過(guò)無(wú)線控制器，無(wú)線控制器只提供無(wú)線AP的管理功能。配置無(wú)線控制器的本地轉(zhuǎn)發(fā)模式的優(yōu)點(diǎn)是：減小核心交換機(jī)的壓力，減小無(wú)線NAC的轉(zhuǎn)發(fā)壓力，增加無(wú)線用戶的上網(wǎng)速度。所有無(wú)線用戶的無(wú)線認(rèn)證的賬戶名和密碼都由出口的深信服設(shè)備完成。（二）AP的IP地址規(guī)劃設(shè)備Ip地址NAC/24AP1/24AP2/24AP3/24（三）無(wú)線SSID的規(guī)劃無(wú)線類(lèi)型無(wú)線名稱(chēng)（SSID）無(wú)線員工Kangke一Office無(wú)線訪客Kangke一Guest（四）無(wú)線信道的優(yōu)化1、 頻率的選擇無(wú)線AP中選擇頻率是2.4GHZ的頻率，因?yàn)楣緝?nèi)部有多間辦公室，每間辦公室都有隔墻。2.4G穿透性好傳輸距離近，5G穿透性差傳輸距離遠(yuǎn)2.4G頻段室內(nèi)環(huán)境中抗衰減能力強(qiáng)，劣勢(shì)是許多設(shè)備用的都是2.4GHz，所以干擾很多，不能保障足夠的穩(wěn)定性。對(duì)于802.11a來(lái)說(shuō)，它用的是5GHz，包含了UNII的三個(gè)頻段，從5.1?5.8GHz都有覆蓋；這個(gè)頻段最大的優(yōu)勢(shì)是目前應(yīng)用較少，很多國(guó)家都是需要申請(qǐng)?jiān)S可的，所以干擾非常小，能保障傳輸?shù)馁|(zhì)量；但是缺點(diǎn)也很明顯，室內(nèi)的抗衰減能力弱，隔個(gè)幾堵墻也許就歇菜了。2、 無(wú)線信道的選擇信道是對(duì)無(wú)線通信中發(fā)送端和接收端之間通路的一種形象比喻，對(duì)于無(wú)線電波而言，它從發(fā)送端傳送到接收端，其間并沒(méi)有一個(gè)有形的連接，它的傳播路徑也有可能不只一條，我們?yōu)榱诵蜗蟮孛枋霭l(fā)送端與接收端之間的工作，可以想象兩者之間有一個(gè)看不見(jiàn)的道路銜接，把這條銜接通路稱(chēng)為信道。信道容量可以表示為單位時(shí)間內(nèi)可

傳輸?shù)亩M(jìn)制位的位數(shù)（稱(chēng)信道的數(shù)據(jù)傳輸速率，位速率），以位/秒（b/s）形式予以表示，簡(jiǎn)記為bps。信道帶寬是限定允許通過(guò)該信道的信號(hào)下限頻率和上限頻率，可以理解為一個(gè)頻率通帶。比如一個(gè)信道允許的通帶為1.5kHz至15kHz，則其帶寬為13.5kHz，Cbanels2 3 4 5 Cbanels2 3 4 5 6 7 8 9 10 11 12 13 14 型MHz圖2—911為了優(yōu)化公司無(wú)線網(wǎng)絡(luò)，不讓無(wú)線AP發(fā)生信道沖突，所以所有的AP的信道選擇1，6,11三種信道。七、網(wǎng)絡(luò)出口設(shè)計(jì)（一）拓?fù)湓O(shè)計(jì)ISPISP深信服上網(wǎng)行為管理備深信服上網(wǎng)行為管理備（二）設(shè)備選型圖2—10傻瓜式交換機(jī)29（二）設(shè)備選型圖2—10傻瓜式交換機(jī)291、深信服上網(wǎng)行為管理設(shè)備深信服上網(wǎng)行為管理選擇的是1200型號(hào)的設(shè)備。圖2-11設(shè)備的特性：（1）控制功能：細(xì)致的訪問(wèn)控制，有效管理用戶上網(wǎng)對(duì)于內(nèi)網(wǎng)用戶的網(wǎng)頁(yè)訪問(wèn)行為，AC不僅通過(guò)內(nèi)置URL庫(kù)，關(guān)鍵字過(guò)濾等方式進(jìn)行管控。對(duì)于采用SSL加密的網(wǎng)頁(yè)，如釣魚(yú)網(wǎng)站等，AC的證書(shū)驗(yàn)證鏈接黑白名單技術(shù)同樣可以管控。AC不僅管理用戶使用WEB、FTP、EMAIL等常用服務(wù)，通過(guò)深度內(nèi)容檢測(cè)技術(shù)，實(shí)現(xiàn)對(duì)QQ、MSN、SKYPE等IM聊天工具,BT、電騾等P2P下載工具,PPLive、QQLive等在線影音工具，網(wǎng)絡(luò)游戲，在線炒股等網(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理和控制。SINFORAC具有國(guó)內(nèi)最大的應(yīng)用協(xié)議識(shí)別庫(kù)。針對(duì)目前P2P行為泛濫的趨勢(shì)，SINFORAC的P2P智能識(shí)別技術(shù)能夠?qū)Σ怀Ｓ玫摹⑽磥?lái)可能出現(xiàn)的P2P軟件進(jìn)行有效管控。并且對(duì)P2P行為嚴(yán)重吞噬帶寬資源的問(wèn)題，提供流量控制功能。上網(wǎng)行為的管理必須以識(shí)別為基礎(chǔ)。SINFORAC支持本地認(rèn)證、和第三方認(rèn)證（包括LDAP、AD、Radius、POP3、PROXY等），豐富的用戶識(shí)別方式方便組織的使用。AC所具備的多種網(wǎng)絡(luò)訪問(wèn)控制功能，可以基于用戶/用戶組、基于時(shí)間段、基于不同目標(biāo)行為進(jìn)行靈活權(quán)限控制，實(shí)現(xiàn)人性化管理要求。（2）帶寬及流量管理功能：強(qiáng)大流量分析及帶寬劃分與分配SINFORAC的多線路復(fù)用專(zhuān)利技術(shù)使一臺(tái)AC可同時(shí)連接四條公網(wǎng)線路，擴(kuò)展帶寬、互為備份、流量負(fù)載均衡。IT管理者需要詳細(xì)了解當(dāng)前帶寬資源的使用情況，這可以通過(guò)訪問(wèn)AC的數(shù)據(jù)中心實(shí)現(xiàn)，如查看指定時(shí)間周期內(nèi)應(yīng)用流量分布情況，用戶流量分布和排名等。下一步IT管理者就需要對(duì)非業(yè)務(wù)流量如P2P行為等進(jìn)行帶寬限制，對(duì)領(lǐng)導(dǎo)的視頻會(huì)議系統(tǒng)等業(yè)務(wù)流量需求進(jìn)行滿足，這通過(guò)AC智能流量管理系統(tǒng)輕松實(shí)現(xiàn)，基于不同用戶/用戶組、時(shí)間段、應(yīng)用類(lèi)型/網(wǎng)站類(lèi)型/上傳下載文件類(lèi)型、結(jié)合QoS優(yōu)先級(jí)機(jī)制，進(jìn)行帶寬劃分和分配，實(shí)現(xiàn)帶寬資源利用率的最大化（3）監(jiān)控與審計(jì)功能談到安全時(shí)多數(shù)人只關(guān)注外網(wǎng)安全，但其實(shí)機(jī)構(gòu)的信息資產(chǎn)更多的是通過(guò)內(nèi)部泄漏的。SINFORAC關(guān)完善的訪問(wèn)審計(jì)和監(jiān)控功能有效防止信息通過(guò)Internet泄漏。對(duì)郵件類(lèi)型應(yīng)用采用深信服“郵件延遲審計(jì)”專(zhuān)利技術(shù)保證先審計(jì)后發(fā)送；對(duì)于通過(guò)Webmail發(fā)送郵件，AC全面記錄郵件正文和附件等；對(duì)于QQ、MSN等聊天內(nèi)容提供全面記錄功能；對(duì)于BBS、論壇發(fā)帖不僅根據(jù)關(guān)鍵字進(jìn)行過(guò)濾，成功發(fā)布的內(nèi)容也能全面記錄；內(nèi)網(wǎng)用戶訪問(wèn)的URL地址、網(wǎng)頁(yè)標(biāo)題、甚至整個(gè)網(wǎng)頁(yè)內(nèi)容，AC也能完全監(jiān)控和記錄等。SINFORAC的訪問(wèn)審計(jì)/監(jiān)控模塊為機(jī)構(gòu)構(gòu)筑了強(qiáng)大的內(nèi)部安全屏障（4）報(bào)表和檢索：直觀的上網(wǎng)數(shù)據(jù)統(tǒng)計(jì)、報(bào)表和海量日志檢索機(jī)構(gòu)內(nèi)網(wǎng)用戶每天的各種行為日志記錄可達(dá)數(shù)十G,公安部82號(hào)令存儲(chǔ)至少60天，SINFORAC通過(guò)外置數(shù)據(jù)中心實(shí)現(xiàn)了日志的海量存儲(chǔ)。強(qiáng)大的數(shù)據(jù)中心允許管理者分組、分用戶、規(guī)則、協(xié)議等多種查詢對(duì)象，按餅圖、柱狀圖、曲線圖等方式進(jìn)行查詢，可直觀地查看到網(wǎng)絡(luò)流量、郵件、網(wǎng)絡(luò)監(jiān)控、安全日志等詳細(xì)信息，并可直接打印和導(dǎo)出報(bào)表。SINFORAC網(wǎng)關(guān)強(qiáng)大的日志系統(tǒng)和豐富的報(bào)表功能，可詳細(xì)分析出機(jī)構(gòu)的Internet的詳細(xì)使用情況，為網(wǎng)絡(luò)管理員和決策者提供了最有效的數(shù)據(jù)支持。功能特點(diǎn)：（1）內(nèi)置預(yù)分類(lèi)超過(guò)800萬(wàn)條的URL庫(kù)將過(guò)濾大部分色情、反動(dòng)網(wǎng)站，再通過(guò)搜索關(guān)鍵字過(guò)濾、網(wǎng)頁(yè)正文關(guān)鍵字過(guò)濾等，阻擋“垃圾網(wǎng)站”對(duì)內(nèi)網(wǎng)的感染；AC根據(jù)文件擴(kuò)展名進(jìn)行過(guò)濾，讓非法軟件、程序無(wú)法通過(guò)HTTP/FTP下載，避免了“無(wú)知用戶”被木馬、惡意程序等感染的可能。（2）AC集成來(lái)自歐洲領(lǐng)先殺毒廠商F-PORT的殺毒引擎，對(duì)經(jīng)過(guò)AC的HTTP、FTP、Email等流量中潛藏的病毒進(jìn)行查殺，即使是RAR、TAR等壓縮包內(nèi)的病毒也能徹底清除，網(wǎng)關(guān)殺毒從源頭上清除病毒等威脅。（3） 通過(guò)AC的網(wǎng)絡(luò)準(zhǔn)入規(guī)則技術(shù)，將檢測(cè)用戶電腦的操作系統(tǒng)補(bǔ)丁、殺毒/防火墻軟件、病毒庫(kù)版本、注冊(cè)表、硬盤(pán)文件和后臺(tái)進(jìn)程等，只有滿足IT部門(mén)預(yù)設(shè)的安全要求的電腦才允許接入Internet，保證內(nèi)網(wǎng)電腦都及時(shí)修補(bǔ)操作系統(tǒng)補(bǔ)丁、安裝指定的殺毒和防火墻軟件、禁止非法網(wǎng)絡(luò)程序的運(yùn)行，不僅修復(fù)了內(nèi)網(wǎng)的安全短板，還讓推行統(tǒng)一的IT政策成為可能。（4） 一旦病毒通過(guò)U盤(pán)、文件拷貝等方式在內(nèi)網(wǎng)泛濫，引起DOS攻擊，大量發(fā)包時(shí)，AC的防DOS功能，不僅防范來(lái)自內(nèi)網(wǎng)的DOS,對(duì)于來(lái)自公網(wǎng)的DOS同樣進(jìn)行防護(hù)，隔離病毒和內(nèi)網(wǎng)DOS攻擊點(diǎn)，且避免了內(nèi)網(wǎng)被控僵尸主機(jī)發(fā)起攻擊導(dǎo)致的法律風(fēng)險(xiǎn)；而泛濫的ARP病毒、ARP欺騙等可能導(dǎo)致整網(wǎng)用戶無(wú)法連接Internet，也將通過(guò)AC的防ARP欺騙功能根除其危害；AC還具備入侵防御功能，對(duì)來(lái)自公網(wǎng)的超過(guò)3000種攻擊進(jìn)行抵御和防護(hù)。除了以上四種措施保障內(nèi)網(wǎng)安全，AC的上網(wǎng)行為管理功能，能夠管理和限制用戶的無(wú)關(guān)網(wǎng)絡(luò)訪問(wèn)行為，為不同用戶差異化分配合適的網(wǎng)絡(luò)訪問(wèn)權(quán)限。（三） 設(shè)備連接方式深信服設(shè)備采用雙機(jī)熱備的配置模式，兩臺(tái)設(shè)備都連接在一臺(tái)傻瓜交換機(jī)上，傻瓜交換機(jī)不做任何的配置，然后兩臺(tái)深信服設(shè)備通過(guò)心跳線把console口連接起來(lái)，配置成雙機(jī)模式，其中一臺(tái)為主機(jī)，另一臺(tái)設(shè)備是備機(jī)，當(dāng)主機(jī)工作是，備機(jī)處于監(jiān)聽(tīng)狀態(tài)，當(dāng)主機(jī)宕機(jī)后，備機(jī)會(huì)秒切過(guò)來(lái)，用戶完全感受不到斷網(wǎng)的感覺(jué)。兩條設(shè)備的配置完全一樣，會(huì)通過(guò)心跳線實(shí)時(shí)同步配置。兩臺(tái)設(shè)備連接在核心交換機(jī)上。（四） 上網(wǎng)行為管理配置1、配置模式將上網(wǎng)行為管理設(shè)備配置為路由模式。設(shè)備以路由模式部署時(shí)，AC的工作方式與路由器相當(dāng)，具備基本的路由轉(zhuǎn)發(fā)及NAT功能。一般在客戶還沒(méi)有相應(yīng)的網(wǎng)關(guān)設(shè)備，需要將AC做網(wǎng)關(guān)使用時(shí)，建議以路由模式部署。路由模式下支持AC所有的功能。如果需要使用NAT、VPN、DHCP等功能時(shí)，AC必須以路由模式部署，其它工作模式?jīng)]有這些功能。2、網(wǎng)口配置網(wǎng)口Ip地址Ethl/29Eth0運(yùn)營(yíng)商ip3、路由配置（1） 默認(rèn)路由配置一條默認(rèn)路由，所有內(nèi)網(wǎng)用戶通過(guò)默認(rèn)路由出去上網(wǎng)（2） 靜態(tài)路由配置去往內(nèi)網(wǎng)的靜態(tài)路由3）通道配置在通道配置中配置互聯(lián)網(wǎng)的帶寬，帶寬為20M。（4）NAT代理上網(wǎng)配置所有的內(nèi)網(wǎng)ip地址通過(guò)NAT地址轉(zhuǎn)換協(xié)議轉(zhuǎn)換為公網(wǎng)ip地址后即可上網(wǎng)（5）端口映射配置端口映射就是將外網(wǎng)主機(jī)的IP地址的一個(gè)端口映射到內(nèi)網(wǎng)中一臺(tái)機(jī)器，提供相應(yīng)的服務(wù)。當(dāng)用戶訪問(wèn)該IP的這個(gè)端口時(shí)，服務(wù)器自動(dòng)將請(qǐng)求映射到對(duì)應(yīng)局域網(wǎng)內(nèi)部的機(jī)器上。網(wǎng)段下一跳/24/29/24/29/24/29/24/29/24/29/24/29/24/29/24/29將公司的服務(wù)器的ip地址的80端口映射到公網(wǎng)上的80端口，方便讓外網(wǎng)用戶能夠訪問(wèn)公司的服務(wù)器。第三章網(wǎng)絡(luò)安全及優(yōu)化為了保證企業(yè)網(wǎng)絡(luò)的安全性，防止外網(wǎng)攻擊，以及內(nèi)網(wǎng)的攻擊，所以在整個(gè)企業(yè)網(wǎng)絡(luò)中增強(qiáng)網(wǎng)絡(luò)安全的設(shè)置。一、設(shè)置組織結(jié)構(gòu)組織結(jié)構(gòu)即為用戶和用戶組的所屬層級(jí)關(guān)系。SANGFORAC提供樹(shù)形的組織結(jié)構(gòu)，通過(guò)樹(shù)形用戶結(jié)構(gòu)管理，符合企業(yè)的人員結(jié)構(gòu)劃分，同時(shí)又可以對(duì)相同的上網(wǎng)策略進(jìn)行繼承。一個(gè)用戶有一個(gè)直屬父組。將北京康科達(dá)成的員工根據(jù)部門(mén)進(jìn)行分組，分別分成領(lǐng)導(dǎo)組，財(cái)務(wù)組，人事組，銷(xiāo)售組，商務(wù)組，技術(shù)組，無(wú)線領(lǐng)導(dǎo)組，無(wú)線員工組，無(wú)線訪客組。二、用戶名密碼設(shè)置為了保證企業(yè)內(nèi)網(wǎng)的安全，防止非法用戶的接入，破壞內(nèi)網(wǎng)安全，所以所有用戶都要通過(guò)密碼用戶名進(jìn)行認(rèn)證，認(rèn)證通過(guò)之后才能夠上網(wǎng)，當(dāng)用戶首次通過(guò)AC上網(wǎng)時(shí)，AC會(huì)要求用戶提交用戶名密碼信息，如果用戶提交的用戶名密碼信息和AC本地（或第三方服務(wù)器）一致，則給予認(rèn)證通過(guò)。圖3-1[3啟用該用戶描述:zhangsan張三:/無(wú)線領(lǐng)導(dǎo)/登錄名:顯7F名:策略列表當(dāng)前所厲組用戶屈性団本地密碼①密碼:確認(rèn)密碼:初次認(rèn)證修改密碼描述:zhangsan張三:/無(wú)線領(lǐng)導(dǎo)/登錄名:顯7F名:策略列表當(dāng)前所厲組用戶屈性団本地密碼①密碼:確認(rèn)密碼:初次認(rèn)證修改密碼已啟用DKEY認(rèn)證□使用該DKET登錄后，不審計(jì)此用戶的網(wǎng)絡(luò)應(yīng)用儒要指走類(lèi)型的DKEY才支持，圖3-2供應(yīng)商咨詢〕有員工建立用戶名和密馬時(shí)，當(dāng)他們連接到網(wǎng)絡(luò)后，瀏覽器會(huì)彈出登只有登錄認(rèn)證通過(guò)之后，才可以上網(wǎng)。①當(dāng)所上網(wǎng)認(rèn)證系統(tǒng)InternetAuthenticationSystemr密碼登錄■內(nèi)部員工，使用甩口名密碼方式登錄。錄頁(yè)面,Z修改密碼4下載Dkey客戶端圖3-3無(wú)線訪客的用戶不用認(rèn)證就可以登錄到網(wǎng)絡(luò)中即可上網(wǎng)。三、上網(wǎng)策略的設(shè)置為了防止員工在上班期間訪問(wèn)與工作無(wú)關(guān)的網(wǎng)絡(luò)內(nèi)容，也不讓他們?cè)L問(wèn)不良網(wǎng)站和內(nèi)容，針對(duì)不同的分組，對(duì)其配置不同的上網(wǎng)限制。分組策略領(lǐng)導(dǎo)組無(wú)限制財(cái)務(wù)組禁止上網(wǎng)（全天）人事組禁止視頻，禁止瀏覽網(wǎng)頁(yè)，禁止下載，禁止游戲。（上班期間）商務(wù)組禁止視頻，禁止瀏覽網(wǎng)頁(yè)，禁止下載，禁