計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)畢業(yè)設(shè)計(jì)-公司網(wǎng)絡(luò)組建

1、 學(xué) 院畢業(yè)設(shè)計(jì)（論文）題目名稱：公司網(wǎng)絡(luò)組建計(jì)算機(jī)畢業(yè)設(shè)計(jì)論文開(kāi)題日期 年 月 日設(shè)計(jì)期限 年 月 日起 年 月 日止答辯日期 年 月 日院 系 學(xué)生姓名 班級(jí) 學(xué)號(hào) 指導(dǎo)老師 摘要隨著社會(huì)的發(fā)展，很多東西都在網(wǎng)絡(luò)化了。我們的周圍網(wǎng)絡(luò)化的東西越來(lái)越多，不管是在生活上還是工作上。比如物流有物流的路線網(wǎng)絡(luò)，交通有交通的路線網(wǎng)絡(luò)所以說(shuō)我們的生活都離不開(kāi)網(wǎng)絡(luò)。現(xiàn)在這里主要是介紹計(jì)算機(jī)的網(wǎng)絡(luò)，并設(shè)計(jì)一個(gè)可以使公司內(nèi)部的計(jì)算機(jī)可以互相訪問(wèn)甚至是外邊的互聯(lián)網(wǎng)都可以連通的方案。而且能提供多種應(yīng)用服務(wù)，使信息能及時(shí)、準(zhǔn)確地傳送給各個(gè)系統(tǒng)。而公司網(wǎng)絡(luò)工程建設(shè)中主要應(yīng)用了網(wǎng)絡(luò)技術(shù)中的重要分支局域網(wǎng)技術(shù)來(lái)建設(shè)與管理

2、的，因此本畢業(yè)設(shè)計(jì)課題將主要以公司的局域網(wǎng)絡(luò)建設(shè)過(guò)程可能用到的各種技術(shù)及實(shí)施方案為設(shè)計(jì)方向，為公司的網(wǎng)絡(luò)建設(shè)提供理論依據(jù)和實(shí)踐指導(dǎo)。關(guān)鍵字：局域網(wǎng)，計(jì)算機(jī)網(wǎng)絡(luò)，防火墻，網(wǎng)絡(luò)信息安全。目錄一、前言1二、公司網(wǎng)絡(luò)設(shè)計(jì)分析21、公司狀況 2 2、應(yīng)用和需求23、產(chǎn)品選型 3三、公司網(wǎng)絡(luò)總體的方案設(shè)計(jì)71、拓?fù)鋱D的結(jié)構(gòu)和總體描述72、VLAN劃分、子網(wǎng)配置和 IP地址分配83、網(wǎng)絡(luò)安全與管理12四、結(jié)論15五、致謝15六、參考文獻(xiàn)16一、前言在現(xiàn)代信息化的社會(huì)中，信息的交換更是頻繁。網(wǎng)絡(luò)功能更能體現(xiàn)出信息交流的速度化。有一個(gè)良好而完整的信息交流系統(tǒng)和媒體是一個(gè)很重要的有提?；ヂ?lián)網(wǎng)、局域網(wǎng)和各種網(wǎng)絡(luò)都是

3、信息化時(shí)代的產(chǎn)物，為的是提高信息的傳遞速度。而在此，局域網(wǎng)雖然是在廣大的網(wǎng)絡(luò)世界中只是其中的一小分子。但網(wǎng)絡(luò)信息傳遞中，很多都是從這里開(kāi)始的，而且局域網(wǎng)也在平時(shí)的工作上也帶給了我人許多的便利。一個(gè)良好的局域網(wǎng)必需具備有效率高，安全性高，速度快，穩(wěn)定性好。這才能使工作因?yàn)榫W(wǎng)絡(luò)信息傳遞的出錯(cuò)率降到最低。在進(jìn)入21世紀(jì)之后，網(wǎng)絡(luò)的發(fā)展速度越來(lái)越快，而需求也是越來(lái)越多。局域網(wǎng)的應(yīng)用小到普通的家庭用戶、一些公司企業(yè)等，大到一個(gè)小區(qū)，甚至網(wǎng)吧，都是先接入局域網(wǎng)后再連接互聯(lián)網(wǎng)的。這就充分體現(xiàn)了局域網(wǎng)的優(yōu)越性。二、公司網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)1、公司狀況公司計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)總體上是一個(gè)星型結(jié)構(gòu)的網(wǎng)絡(luò)，根據(jù)網(wǎng)絡(luò)規(guī)模的不同，可

4、分為百兆以太網(wǎng)和千兆以太網(wǎng)兩種，根據(jù)各部門內(nèi)部的信息不同，又可以劃分為幾個(gè)區(qū)域。公司的網(wǎng)絡(luò)應(yīng)用一般包含Internet訪問(wèn)，部門內(nèi)部的信息交流與共享和各部門的信息傳遞。大型公司在內(nèi)聯(lián)網(wǎng)上還會(huì)建立服務(wù)器（用于公司對(duì)外的各種信息收集和宣傳，還有內(nèi)部的信息備份，和數(shù)據(jù)庫(kù)源，和分公司的信息同步起來(lái)。），具有信息共享、傳遞迅速、使用方便、高效率等特點(diǎn)的處理系統(tǒng).2、應(yīng)用和需求 公司的網(wǎng)絡(luò)主要應(yīng)用是互聯(lián)網(wǎng)的訪問(wèn)。在局域網(wǎng)應(yīng)用方面，可以讓部門內(nèi)部的信息交流和共享起來(lái)，和各部門的信息傳遞，必要情況下可以資源共享等等，從而提高員工和企業(yè)的工作效率。在局域網(wǎng)中，可以采用相關(guān)的訪問(wèn)控制路由器及其控制技術(shù)來(lái)阻止來(lái)自不

5、安全網(wǎng)絡(luò)或某些部門的非法訪問(wèn)或非授權(quán)訪問(wèn)，使各部門的秘密商業(yè)信息得到保證。具體就是控制辦公和其他網(wǎng)絡(luò)對(duì)業(yè)務(wù)網(wǎng)絡(luò)的訪問(wèn)。采用安全檢測(cè)技術(shù)來(lái)實(shí)時(shí)檢查進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流，動(dòng)態(tài)防范各種來(lái)自內(nèi)外網(wǎng)絡(luò)的惡意攻擊，在產(chǎn)生任何有威脅的安全行為時(shí)，要及時(shí)通知網(wǎng)絡(luò)管理人員，盡可能在初期就把安全的隱患消滅掉，尤其是在病毒大規(guī)模爆發(fā)以前就提出詳細(xì)的解決辦法，并提供安全策略。采用殺毒軟件及技術(shù)實(shí)時(shí)監(jiān)測(cè)進(jìn)入網(wǎng)絡(luò)或服務(wù)器的數(shù)據(jù)，防止病毒對(duì)網(wǎng)絡(luò)或主機(jī)的侵害，和避免病毒和蠕蟲(chóng)在網(wǎng)絡(luò)內(nèi)造成破壞。整個(gè)網(wǎng)絡(luò)是采用千兆網(wǎng)經(jīng)過(guò)路由接入到服務(wù)器和交換機(jī)，然后再分流以百兆網(wǎng)接入到各部門的交換機(jī)（或主機(jī)）再到每臺(tái)主機(jī)。這可以很好地發(fā)揮各方面的應(yīng)

6、用，網(wǎng)絡(luò)帶寬也不會(huì)成為瓶頸。公司一般采用一條100M光纖寬帶接入，這樣基本可以滿足到公司的帶寬要求。在用戶眾多的情況下，對(duì)信息安全有一定的要求，各部門公布情況如下：（1） 經(jīng)理部 主要是經(jīng)理、董事、領(lǐng)導(dǎo)等公司高層人員用戶。（2） 財(cái)務(wù)部 主要負(fù)責(zé)公司財(cái)務(wù)的高層員工的用戶。（3） 研發(fā)部 主要對(duì)公司產(chǎn)品的研發(fā)和對(duì)產(chǎn)品的以后的發(fā)展進(jìn)行研究的部門用戶（4） 辦公區(qū) 公司的主要寫字樓職員辦公處（5） 工廠區(qū) 是公司產(chǎn)品的生產(chǎn)所在地方，方便有關(guān)部門對(duì)生產(chǎn)線實(shí)施監(jiān)控。3、產(chǎn)品選型 為了盡量減少公司中心網(wǎng)絡(luò)受到病毒的攻擊，根據(jù)以上的現(xiàn)有網(wǎng)絡(luò)運(yùn)營(yíng)情況和具體業(yè)務(wù)要求，決定使用美國(guó) FortiGate 500A

7、高性能的防火墻來(lái)構(gòu)建網(wǎng)絡(luò) 。 FortiGate 產(chǎn)品支持遠(yuǎn)程管理和集中管理。由于是基于 Web 方式的管理，管理員只需要任何一臺(tái)帶有 IE 瀏覽器的計(jì)算機(jī)，可以訪問(wèn)到 FortiGate 的 IP 地址，并且擁有相應(yīng)的訪問(wèn)權(quán)限，便可隨時(shí)對(duì) FortiGate 進(jìn)行管理和監(jiān)控。 作為 Firewall 安全設(shè)備的領(lǐng)先廠商， Fortinet 公司的 FortiGate 安全平臺(tái)通過(guò)動(dòng)態(tài)威脅防御技術(shù)、高級(jí)啟發(fā)式異常掃描引擎提供了無(wú)與倫比的功能和檢測(cè)能力。 Fortinet 公司的 FortiGate 500A 提供以下功能和好處： 集成關(guān)鍵安全組件的狀態(tài)檢測(cè)防火墻。 可實(shí)時(shí)更新病毒和攻擊特征的網(wǎng)

8、關(guān)防病毒。 IDS 和 IPS 預(yù)置 1400 個(gè)以上的攻擊特征，并提供用戶定制特征的機(jī)制。 VPN （支持 PPTP 、 L2TP 、 IPSec 和 SSL VPN ）。 反垃圾郵件具備多種用戶自定義的阻擋機(jī)制，包括黑白名單和實(shí)時(shí)黑名單（ RBL ）等。 Web 內(nèi)容過(guò)濾具有用戶可定義的過(guò)濾器和全自動(dòng)的 FortiGuard 過(guò)濾服務(wù)。 帶寬管理防止帶寬濫用。 用戶認(rèn)證，防止非授權(quán)的網(wǎng)絡(luò)訪問(wèn)。 動(dòng)態(tài)威脅防御提供先進(jìn)的威脅關(guān)聯(lián)技術(shù)。 ASIC 加速提供比基于 PC 工控機(jī)的安全方案高出 4-6 倍的性能。 加固的操作系統(tǒng)，不含第三方組件，保證了物理上的安全。 完整的系列支持服務(wù)，包括日志和報(bào)

9、告生成器、客戶端安全組件。下圖表為FortiGate 500A的性能指標(biāo)：產(chǎn)品性能指標(biāo)1.基本規(guī)格(1) 設(shè)備類型中小型企業(yè)級(jí)防火墻(2) 硬件參數(shù)8口(10/100)以太網(wǎng)口、2個(gè)千兆以太網(wǎng)口(3) 構(gòu)架ASIC(4) 網(wǎng)絡(luò)吞吐量500M(5) 最大并發(fā)連接數(shù)40萬(wàn)(6) 管理方式SNMP2.安全功能(1) VPN支持5000(2) 入侵檢測(cè)Dos、DDoS(3) 設(shè)備聯(lián)動(dòng)支持(4) 主要功能5000條策略數(shù)、支持內(nèi)容過(guò)濾、入侵檢測(cè)、病毒蠕蟲(chóng)掃描。支持VLAN、流量控制、內(nèi)嵌日志3.產(chǎn)品資質(zhì)許可認(rèn)證計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證網(wǎng)絡(luò)連接媒介主要以雙絞線和光纖為主。網(wǎng)絡(luò)中使用的交換機(jī)是S

10、TAR-S3550-24/S3550-48是兩款全線速三層交換、具有高安全和完整QoS特征的千兆智能多層交換機(jī)。STAR-S3550-24/S3550-48可為各類型網(wǎng)絡(luò)提供所需交換和服務(wù)功能，適合集合多個(gè)配線間或工作組交換機(jī)的流量，并可同銳捷各系列交換機(jī)配合為用戶提供完整的端到端解決方案，適用：l 大型網(wǎng)絡(luò)的匯聚層和中小型網(wǎng)絡(luò)的骨干l 高性價(jià)比的多層交換解決方案l 豐富的IP組播傳輸特性l 完善的管理策略應(yīng)用，幫助管理帶寬和保護(hù)多媒體、視頻、語(yǔ)音、重要數(shù)據(jù)等關(guān)鍵任務(wù)應(yīng)用l 完善的管理策略應(yīng)用，幫助管理帶寬和保證語(yǔ)音、組播音視頻服務(wù)及視頻點(diǎn)播等關(guān)鍵任務(wù)的應(yīng)用l 豐富的安全管理策略應(yīng)用，提供高安

11、全接入控制和有效控制網(wǎng)絡(luò)訪問(wèn)下圖表為銳捷STAR-S3550-24/S3550-48的性能指標(biāo)：圖1-1性能指標(biāo)端口12口GBIC接口GBIC或Mini-GBIC模塊GBIC-GT：?jiǎn)慰?000BASE-T模塊GBIC-SX：?jiǎn)慰?000BASE-SX模塊GBIC-LX：?jiǎn)慰?000BASE-LX模塊背板48Gbps包轉(zhuǎn)發(fā)速率18MppsMAC地址16K802.1q VLAN4KACLIP標(biāo)準(zhǔn)ACL（基于IP地址的硬件ACL）、IP擴(kuò)展ACL（基于IP地址、傳輸層端口號(hào)的硬件ACL）、MAC擴(kuò)展ACL（基于源MAC地址、目的MAC地址和可選的以太網(wǎng)類型的硬件ACL）、基于時(shí)間ACL、專家級(jí)AC

12、L （可同時(shí)基于VLAN號(hào)、以太網(wǎng)類型、MAC地址、IP地址、TCP/UDP端口號(hào)、協(xié)議類型、時(shí)間靈活組合的硬件ACL）L2協(xié)議IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.1s、 IEEE802.3ab、IEEE802.1Q (GVRP)、IEEEE802.1d、IEEE802.1w、IGMP Snooping、LLDPL3協(xié)議OSPF、RIPV1、RIPV2、PIM（DM/SM/SSM）、DVMRP、VRRP、IGMPv1/v2/v3管理方式SNMPv1/v2c/v

13、3、Web(JAVA)、CLI(Telnet /Console)、RMON(1,2,3,9)、集群、SSH、基于HTTPS的Web管理、Syslog其它協(xié)議和技術(shù)BootP、DHCP Relay、Jumbo Frame、RADIUS/TACACS+網(wǎng)絡(luò)介質(zhì)和最大傳輸距離1000BASE-SX：波長(zhǎng)850nm，62.5/125多模光纖線的最大傳輸距離為220m；50/125多模光纖線的最大傳輸距離為500m； 1000BASE-LX：波長(zhǎng)1310nm，62.5/125多模光纖線的最大傳輸距離為550m； 50/125多模光纖線的最大傳輸距離為550m；9/125單模光纖線的最大傳輸距離為10Km

14、；1000BASE-ZX：波長(zhǎng)1550nm，9/125單模光纖線的最大傳輸距離為50Km和80Km兩種；10/100/1000BASE-T：使用5類UTP或STP最大傳輸距離為100m；尺寸（長(zhǎng)*寬*高）440mm * 330mm * 67mm電源176VAC 264VAC，47Hz 63Hz ，或10.6 13.2VDC/最大5.3A溫度工作溫度： 0 到 40存儲(chǔ)溫度：-40 到 70濕度工作濕度：10% 到 90% RH存儲(chǔ)濕度： 5% 到 95% RH網(wǎng)絡(luò)建設(shè)根據(jù)功能區(qū)劃分由銳捷網(wǎng)絡(luò)STAR-S3550-24交換機(jī)組成4-6個(gè)交換機(jī)組。適當(dāng)?shù)姆峙涠询B數(shù)量，提供200多個(gè)100M交換端口

15、，所有主機(jī)都通過(guò)100M網(wǎng)卡連接到交換機(jī)上，使100M 帶寬到每個(gè)用戶。交換機(jī)組采用GB2 模塊與 銳捷網(wǎng)絡(luò)RG-S6506千兆交換機(jī)相連。這樣，在交換機(jī)和交換機(jī)之間可達(dá)到1000M的帶寬，而同一交換機(jī)組內(nèi)部可達(dá)到最高15Gbps 的帶寬。服務(wù)器等設(shè)備直接與1000M交換機(jī)上的100M以太網(wǎng)模塊連接。圖1-2三、公司網(wǎng)絡(luò)總體的方案設(shè)計(jì)1、拓?fù)鋱D的結(jié)構(gòu)和總體描述根據(jù)公司的要求，拓?fù)鋱D的大概結(jié)構(gòu)如下：圖2-1方案特點(diǎn)此方案可以有良好的網(wǎng)絡(luò)的管理和監(jiān)控功能。利用防火墻等硬件設(shè)備，可以很好的控制各種數(shù)據(jù)服務(wù)和數(shù)據(jù)的流向，而且對(duì)各部讓的網(wǎng)絡(luò)配置也能有效的管理，提高網(wǎng)絡(luò)的效率。就算某個(gè)地方出錯(cuò)了，也能快速

16、檢測(cè)和定位，得出出錯(cuò)的地方，而去維護(hù)。此方案還有其它特點(diǎn)：1、比如適合各部門各方面的要求，滿足用戶的應(yīng)用。2、完善了局域網(wǎng)之間和INTERNET網(wǎng)之間的問(wèn)題。3、布線明了，方便，可行性強(qiáng)。在各分部網(wǎng)絡(luò)間工作量少了。4、方案相比其它的具有成本低，性價(jià)比也好，而且在大體方面擴(kuò)展性也強(qiáng)。5、用防火墻設(shè)備的日志、監(jiān)控、告警功能，可以很好的管理和監(jiān)控各部門的網(wǎng)絡(luò)運(yùn)行狀態(tài)。6、數(shù)據(jù)高度保密。方案達(dá)到目的 一個(gè)好的網(wǎng)絡(luò)，當(dāng)然也是要有良好的安全功能，所以在防護(hù)方面也是非常之重要的。首先將服務(wù)器作為核心防護(hù)區(qū)域，在研發(fā)部、經(jīng)理部和財(cái)務(wù)部這三個(gè)部門的網(wǎng)關(guān)處部署防病毒網(wǎng)關(guān)，這樣就可以有效地阻止各部門間和服務(wù)器之間的

17、病毒互相傳播。就算是病毒發(fā)作了，也能將其控制在一個(gè)部門內(nèi)，不會(huì)影響到其它部門和主干網(wǎng)的安全。同時(shí)也可以算是彌補(bǔ)一下別的部門只依靠殺毒軟件來(lái)防護(hù)網(wǎng)絡(luò)病毒的入侵，防止病毒阻塞帶寬。 通過(guò)網(wǎng)絡(luò)安全建設(shè)，需要達(dá)到以下目的：1、在技術(shù)層面上要能保護(hù)網(wǎng)絡(luò)系統(tǒng)的原有性和網(wǎng)絡(luò)資源的合法使用性；防范一些黑客的惡意攻擊和破壞，能使信息在網(wǎng)上傳輸?shù)臋C(jī)密性、完整性及不可抵賴性。還要防范病毒的侵害和網(wǎng)絡(luò)內(nèi)外的攻擊。保留系統(tǒng)日志和網(wǎng)絡(luò)日記為管理安全運(yùn)作提供支持。2、在應(yīng)用層面上要切合實(shí)際應(yīng)用，滿足業(yè)務(wù)營(yíng)運(yùn)要求。提供方便、簡(jiǎn)單、完善、實(shí)用的網(wǎng)絡(luò)運(yùn)營(yíng)體系，充分考慮公司網(wǎng)絡(luò)運(yùn)營(yíng)的未來(lái)發(fā)展和網(wǎng)絡(luò)建設(shè)整體投資。還需要有提供完整網(wǎng)絡(luò)

18、運(yùn)行監(jiān)控和管理功能。2、VLAN劃分、子網(wǎng)配置和 IP地址分配虛擬網(wǎng)絡(luò)（VLAN，Virtual Local Area Network）是指一個(gè)根據(jù)功能、用途、工作組及應(yīng)用等因素將用戶從邏輯上劃分為一個(gè)相對(duì)獨(dú)立的網(wǎng)絡(luò)，是一個(gè)可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)、不同位置的端到端的邏輯網(wǎng)絡(luò)。它有以下一些優(yōu)點(diǎn)：l 增加了網(wǎng)絡(luò)連接的靈活性；l 控制網(wǎng)絡(luò)上的廣播；l 加強(qiáng)了網(wǎng)絡(luò)的安全性；l 網(wǎng)絡(luò)管理簡(jiǎn)單、直觀。根據(jù)VLAN的類型，可以有以下幾種劃分方法：l 基于端口：將局域網(wǎng)交換機(jī)中的幾個(gè)端口指定成一個(gè)VLAN。l MAC地址：根據(jù)每個(gè)主機(jī)的MAC地址來(lái)劃分VLAN，即對(duì)每個(gè)MAC地址的主機(jī)都按組來(lái)配置VLAN。

19、l 基于網(wǎng)絡(luò)地址：按照交換機(jī)連接的網(wǎng)絡(luò)站點(diǎn)的網(wǎng)絡(luò)層地址劃分VLAN，從而確定交換機(jī)端口所屬的廣播域。l 基于用戶：根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來(lái)定義和設(shè)計(jì)VLAN。在VLAN劃分的同時(shí)也要考慮IP地址的分配。IP地址在分配上主要進(jìn)行網(wǎng)絡(luò)設(shè)備、服務(wù)器、計(jì)算機(jī)這三部分的工作，而這也是體現(xiàn)在VLAN的劃分過(guò)程中的。首先，申請(qǐng)3個(gè)公網(wǎng)C類IP地址（如：*.*.*.1*.*.*.3）, 再進(jìn)行網(wǎng)絡(luò)設(shè)備和需要對(duì)外服務(wù)的服務(wù)器IP地址的分配。公司網(wǎng)絡(luò)設(shè)備及對(duì)外服務(wù)器IP分配如下表主機(jī)名設(shè)備名稱IP設(shè)置500A防火墻外口*.*.*1/24500A防火墻內(nèi)口/24s6506網(wǎng)絡(luò)中心核心交換

20、機(jī)/24s3550A經(jīng)理部/24s3550B研發(fā)部/24s3550C財(cái)務(wù)部/24s3550D辦公區(qū)/24s3550E工廠區(qū)/24wwwWeb服務(wù)器*.*.*.2/24ftp/mailFTP/E-mail服務(wù)器*.*.*.3/24圖2-2在進(jìn)行VLAN的劃分時(shí)要定義VLAN IP，這就要考慮到公司的計(jì)算機(jī)IP地址的規(guī)劃。IP地址是我們接入Internet不可缺少的重要網(wǎng)絡(luò)資源。近年來(lái)，由于各國(guó)的發(fā)展，特別是中國(guó)，Internet的應(yīng)用與日俱增，IPv4地址已日近枯竭

21、。國(guó)此，IP地址如何更合理和規(guī)范的使用是我們必須要面對(duì)的問(wèn)題。在建設(shè)校園網(wǎng)等項(xiàng)目時(shí)更是應(yīng)該注意這個(gè)問(wèn)題，這主要體現(xiàn)在IP地址的分配上。目前，IP地址的分配的手段有：1利用子網(wǎng)掩碼進(jìn)行網(wǎng)絡(luò)的子網(wǎng)化；2保留網(wǎng)絡(luò)地址分配和網(wǎng)絡(luò)地址的轉(zhuǎn)換（NAT）；3可變長(zhǎng)度子網(wǎng)掩碼；4無(wú)類別域間路由。目前在各校園網(wǎng)、企業(yè)網(wǎng)中基本都用采用“保留網(wǎng)絡(luò)地址分配和網(wǎng)絡(luò)地址的轉(zhuǎn)換”的方法進(jìn)行IP地址的規(guī)劃。它可以有效的解決IP地址不足的問(wèn)題，而且在內(nèi)部采用A類保留地址，可以為學(xué)校、公司、企業(yè)內(nèi)部網(wǎng)絡(luò)提供一個(gè)很大的IP地址空間，結(jié)合子網(wǎng)掩碼進(jìn)行子網(wǎng)化設(shè)計(jì)，地址和子網(wǎng)空間的設(shè)計(jì)要求不必太嚴(yán)格，這樣可以設(shè)計(jì)變得更加

22、簡(jiǎn)單和靈活，而且具有很強(qiáng)的擴(kuò)充性，為以后網(wǎng)絡(luò)的升級(jí)提供有利條件。結(jié)合公司實(shí)際的情況，采用“保留網(wǎng)絡(luò)地址分配和網(wǎng)絡(luò)地址的轉(zhuǎn)換”的方法來(lái)對(duì)IP地址進(jìn)行規(guī)劃。在網(wǎng)絡(luò)內(nèi)部采用A類保留地址，用申請(qǐng)的公網(wǎng)IP地址進(jìn)行網(wǎng)絡(luò)地址的轉(zhuǎn)換（NAT）。根據(jù)公司實(shí)際情況擬定在VLAN的劃分上按照以下方案執(zhí)行：在網(wǎng)絡(luò)中心s6506上把需要分開(kāi)的部門劃分出VLAN（如研發(fā)部、財(cái)務(wù)部、辦公區(qū)等），形成子網(wǎng)；再在各樓匯聚交換機(jī)s3550上定義VLAN端口，把相應(yīng)的端口劃分到其所在VLAN。公司的VLAN劃分及計(jì)算機(jī)IP分配如下表所示：VLAN號(hào)子網(wǎng)號(hào)VLAN IPIP地址規(guī)劃計(jì)算機(jī)描述1/2410.1.1.

23、1250/24 *.*.*.320/24服務(wù)器子網(wǎng)12/24254/24網(wǎng)絡(luò)設(shè)備子網(wǎng)2/241250/24經(jīng)理部3/241250/24研發(fā)部4/241250/24財(cái)務(wù)部5/241250/24辦公區(qū)6/241250/24工廠區(qū)根據(jù)以上的表對(duì)計(jì)算機(jī)IP地址進(jìn)行分配，在網(wǎng)

24、絡(luò)中心的DNS服務(wù)器上設(shè)置DHCP服務(wù)，為公司的計(jì)算機(jī)進(jìn)行IP地址自動(dòng)分配，在網(wǎng)絡(luò)中心核心交換機(jī)上作地址轉(zhuǎn)換(NAT)，使公司內(nèi)計(jì)算機(jī)能訪問(wèn)Internet,公司要是還有服務(wù)器不對(duì)外服務(wù)，如DNS,數(shù)據(jù)，資料，重要文件，內(nèi)部信息等服務(wù)器，他們的建設(shè)都是為了內(nèi)網(wǎng)公司內(nèi)部人員服務(wù)。它們和網(wǎng)管工作站也被規(guī)劃為服務(wù)器子網(wǎng)，但使用內(nèi)部IP地址。具體如下：對(duì)內(nèi)服務(wù)服務(wù)器IP規(guī)劃主機(jī)名 設(shè)備名稱 IP設(shè)置 默認(rèn)網(wǎng)關(guān) DNS DNS服務(wù)器 1/24 數(shù)據(jù) 數(shù)據(jù)服務(wù)器 2/24 資料 資料服務(wù)器 3/24 內(nèi)部

25、信息 內(nèi)部信息服務(wù)器 4/24 admin 網(wǎng)管 1/24 3、網(wǎng)絡(luò)安全與管理（1）網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全是指整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全，這包括硬件、軟件及系統(tǒng)中的數(shù)據(jù)均受到保護(hù)，不受偶然的或者惡意的破壞、更改、泄露，從而保證系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)的服務(wù)不中斷。它包括五個(gè)基本要素：保密性、完整性、可用性、可控性與可審查性。構(gòu)成網(wǎng)絡(luò)安全威脅的主要因素，從網(wǎng)絡(luò)信息的角度來(lái)分析，所面臨的安全威脅主要來(lái)自：1、非授權(quán)訪問(wèn)。2、信息泄漏或丟失。3、破壞數(shù)據(jù)完整性。4、破壞系統(tǒng)的可用性。5、網(wǎng)絡(luò)病毒傳播。 對(duì)于這些安全隱患，我們需要制定一個(gè)

26、合理的安全策略，這個(gè)策略需要詳細(xì)闡明要保護(hù)的地方1、風(fēng)險(xiǎn)管理：針對(duì)網(wǎng)絡(luò)信息系統(tǒng)存在的漏洞缺陷、面臨的風(fēng)險(xiǎn)與威脅，采用安全風(fēng)險(xiǎn)評(píng)估技術(shù)來(lái)實(shí)現(xiàn)安全措施；對(duì)于可能發(fā)現(xiàn)的漏洞、風(fēng)險(xiǎn)，規(guī)定相應(yīng)的補(bǔ)救方法（操作平臺(tái)、系統(tǒng)應(yīng)用程序及時(shí)打補(bǔ)?。?，或者取消一些相應(yīng)的服務(wù)（關(guān)閉不必要的端口和服務(wù)器）。2、行為管理：對(duì)網(wǎng)絡(luò)行為、各種操作進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)各種行為進(jìn)行分類管理，規(guī)定行為范圍和期限。3、信息管理：信息是網(wǎng)絡(luò)系統(tǒng)的重要資源，由于它的特殊性，因此必須采用特殊的方式和方法進(jìn)行管理，根據(jù)具體的實(shí)際情況，對(duì)不同類型、不同敏感度的信息，規(guī)定合適的管理制度和使用方法。4、安全邊界：信息系統(tǒng)與外部環(huán)境的連接處是防御外來(lái)攻

27、擊的關(guān)口，根據(jù)具體情況，必須規(guī)定系統(tǒng)邊界上的連接情況，防止非法用戶的入侵以及系統(tǒng)敏感信息的外泄，如可以利用防火墻對(duì)進(jìn)出的連接情況進(jìn)行過(guò)濾和控制。5、系統(tǒng)安全：操作系統(tǒng)是信息系統(tǒng)運(yùn)行的基礎(chǔ)平臺(tái)，它的安全也是信息安全的基礎(chǔ)。根據(jù)具體的安全需求，應(yīng)該規(guī)定所要采用的操作系統(tǒng)類型、安全級(jí)別以及使用要求。為了實(shí)現(xiàn)這個(gè)目的，可以采用不同安全級(jí)別的操作系統(tǒng)，或者在現(xiàn)有的操作系統(tǒng)上添加安全外殼。 6、身份認(rèn)證與授權(quán)：信息系統(tǒng)是為廣大用戶提供服務(wù)的，為了區(qū)分各個(gè)用戶以及不同級(jí)別的用戶組，需要對(duì)他們的身份和操作的合法性進(jìn)行檢查。體系應(yīng)該規(guī)定實(shí)現(xiàn)身份認(rèn)證與權(quán)限檢查的方式、方法以及對(duì)這些用戶的管理要求。 7、應(yīng)用安全：

28、基于網(wǎng)絡(luò)信息的應(yīng)用系統(tǒng)有很多，存在的安全問(wèn)題也很多。為了保證安全，應(yīng)該根據(jù)安全需求規(guī)定所使用的應(yīng)用的種類和范圍以及每一種應(yīng)用的使用管理制度。 8、數(shù)據(jù)庫(kù)安全：保護(hù)數(shù)據(jù)庫(kù)的安全一直是一個(gè)核心問(wèn)題。為了達(dá)到這個(gè)目的，需要規(guī)定所采用的數(shù)據(jù)庫(kù)系統(tǒng)的類型、管理、使用制度與方式。 9、鏈路安全：鏈路層是網(wǎng)絡(luò)協(xié)議的下層協(xié)議，針對(duì)他的攻擊一般是破壞鏈路通信，竊取傳輸?shù)臄?shù)據(jù)。為了防御這些破壞、攻擊，需要規(guī)定可以采取的安全措施，如鏈路加密。 10、桌面系統(tǒng)安全：桌面系統(tǒng)包含著用戶能夠直接接觸到的信息、資源，也是訪問(wèn)信息系統(tǒng)的一個(gè)入口，對(duì)它的管理和使用不當(dāng)也會(huì)造成敏感信息的泄露。所以，需要對(duì)各個(gè)用戶提出使用桌面系統(tǒng)

29、的安全要求，進(jìn)行必要的安全保護(hù)。 11、災(zāi)難恢復(fù)與備份：不存在絕對(duì)安全的安全防護(hù)體系，為了減少由于安全事故造成的損失，必須規(guī)定必要的恢復(fù)措施，以使在系統(tǒng)受到攻擊或出現(xiàn)安全方面的問(wèn)題之后，能夠使系統(tǒng)盡快地恢復(fù)正常的運(yùn)轉(zhuǎn)，并對(duì)重要的信息進(jìn)行周期性的備份。 12、集中安全管理：為了便于安全體系的統(tǒng)一運(yùn)轉(zhuǎn)，發(fā)揮各個(gè)組件的功能，必須對(duì)體系實(shí)施集中統(tǒng)一的管理。因此，需要制定科學(xué)的管理制度，成立相應(yīng)的管理機(jī)構(gòu)。（2）網(wǎng)絡(luò)管理 在網(wǎng)絡(luò)管理上，我們要使網(wǎng)絡(luò)管理標(biāo)準(zhǔn)化。基本的網(wǎng)絡(luò)管理功能分成五個(gè)功能域。 1、故障管理故障管理是網(wǎng)絡(luò)管理功能中與故障檢測(cè)、故障診斷和故障恢復(fù)或排除等工作相關(guān)的部分，其目的是保證網(wǎng)絡(luò)能夠

30、提供連續(xù)、可靠的服務(wù)。 2、配置管理 一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)是由多種多樣的設(shè)備連接而成的。這些設(shè)備組成網(wǎng)絡(luò)的各種物理結(jié)構(gòu)和邏輯結(jié)構(gòu)。結(jié)構(gòu)中的各種參數(shù)、狀態(tài)和名字等信息需要相互了解和相互適應(yīng)。這對(duì)于一個(gè)大型計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行是至關(guān)重要的。另外,網(wǎng)絡(luò)運(yùn)行的環(huán)境是經(jīng)常變化的,網(wǎng)絡(luò)系統(tǒng)本身也要隨著用戶的增加、減少或設(shè)備的維修而經(jīng)常調(diào)整網(wǎng)絡(luò)的配置。網(wǎng)絡(luò)管理系統(tǒng)必需要有足夠的手段支持這些調(diào)整或改變,使網(wǎng)絡(luò)更有效地工作。 3、計(jì)費(fèi)系統(tǒng) 計(jì)費(fèi)管理功能至少有兩個(gè)方面的用處:在網(wǎng)絡(luò)通信資源和信息資源有償使用的情況下,計(jì)費(fèi)管理功能能夠統(tǒng)計(jì)哪些用戶利用哪條通信線路傳輸了多少信息,訪問(wèn)的是什么資源等;因此,計(jì)費(fèi)管理是商業(yè)化計(jì)算機(jī)網(wǎng)絡(luò)的重要網(wǎng)絡(luò)管理功能。 4、性能管理 性