北京康科達(dá)成公司網(wǎng)絡(luò)方案設(shè)計(jì)--畢業(yè)論文

1、天津電子信息職業(yè)技術(shù)學(xué)院畢 業(yè) 設(shè) 計(jì)課題名稱 北京康科達(dá)成公司網(wǎng)絡(luò)方案設(shè)計(jì) 姓 名 學(xué) 號 班 級 網(wǎng)絡(luò)S142 專 業(yè) 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 所 在 系 網(wǎng)絡(luò)技術(shù)系 指導(dǎo)教師 完成日期 2017。1.15 天津電子信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文）任務(wù)書課題名稱：北京康科達(dá)成公司網(wǎng)絡(luò)方案設(shè)計(jì)完成期限：2016年 10月24日至2017年1月4日姓 名 指導(dǎo)教師 專 業(yè) 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 職 稱 副教授 所在系 網(wǎng)絡(luò)技術(shù)系 系 主 任 一、原始依據(jù)（資料）:北京康科達(dá)成發(fā)展科技有限公司是一家小型的企業(yè)，公司的全部信息點(diǎn)位總共有30個(gè)，鑒于公司未來的發(fā)展需求，信息點(diǎn)位上升可達(dá)到100個(gè)，此外還有為公司員

2、工提供無線網(wǎng)絡(luò)的全覆蓋。 二、設(shè)計(jì)（論文）內(nèi)容和要求:設(shè)計(jì)內(nèi)容：1。了解客戶的對網(wǎng)絡(luò)的實(shí)際需求2。根據(jù)公司的實(shí)際情況設(shè)計(jì)網(wǎng)絡(luò)拓?fù)?.為公司進(jìn)行無線網(wǎng)絡(luò)全覆蓋的設(shè)計(jì)4。對企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)防護(hù)措施設(shè)計(jì)要求：1、可靠性系統(tǒng)具備網(wǎng)絡(luò)診斷、測試和在線故障恢復(fù)能力，關(guān)鍵設(shè)備、線路能做到實(shí)時(shí)備份和自動(dòng)故障切。2、標(biāo)準(zhǔn)化網(wǎng)絡(luò)技術(shù)發(fā)展迅速，不能盲目求新，必須以符合國際標(biāo)準(zhǔn)為準(zhǔn)則，選擇技術(shù)已經(jīng)成熟、標(biāo)準(zhǔn)化的產(chǎn)品,這是保護(hù)投資、易于維護(hù)的基礎(chǔ)。3、擴(kuò)展能力充分考慮到目前的業(yè)務(wù)需求和今后長時(shí)間內(nèi)業(yè)務(wù)發(fā)展的需要，系統(tǒng)可方便地實(shí)現(xiàn)升級。三、建議查閱的技術(shù)資料：1謝希仁計(jì)算機(jī)網(wǎng)絡(luò)電子工業(yè)出版社，20032董宇峰計(jì)算機(jī)網(wǎng)絡(luò)技

3、術(shù)基礎(chǔ)清華大學(xué)出版社，20103李利軍，韓小琴中小企業(yè)網(wǎng)絡(luò)管理員實(shí)戰(zhàn)指南科學(xué)出版社，20084黃治虎，伍技祥交換機(jī)/路由器的配置和管理清華大學(xué)出版社，2005 5雷建軍計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)北京：中國水利水電出版社，20036 雷震甲網(wǎng)絡(luò)工程師教程北京 清華大學(xué)出版社20087 謝希仁計(jì)算機(jī)網(wǎng)絡(luò)9.1第339頁北京 電子工業(yè)出版社20088 LawrenceBerkeley TCP/IP協(xié)議詳解卷1 北京 2000年9 斯托林斯著 網(wǎng)絡(luò)安全基礎(chǔ) 北京 機(jī)械工程出版社200110王風(fēng)茂計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)大連理工大學(xué)出版社，200911張殿明網(wǎng)絡(luò)工程規(guī)劃與設(shè)計(jì)清華大學(xué)出版社,2010天津電子信息職業(yè)技術(shù)學(xué)

4、院 頁號（1）畢業(yè)設(shè)計(jì)（論文）進(jìn)度計(jì)劃表序號起止日期計(jì)劃完成內(nèi)容實(shí)際完成內(nèi)容檢查日期檢查人簽字12016.10。242016.10.28確定畢業(yè)設(shè)計(jì)題目，完成開題報(bào)告210。2911。11搜集資料、數(shù)據(jù)，熟悉課題,確定設(shè)計(jì)方案311.1212.4系統(tǒng)設(shè)計(jì)階段，進(jìn)行相應(yīng)的資料整理工作412.512。24完成總體設(shè)計(jì)，論文初稿完成。修改、論文定稿,制作畢業(yè)答辯ppt52016。12.252017.1.4準(zhǔn)備論文答辯67系畢業(yè)設(shè)計(jì)（論文）領(lǐng)導(dǎo)小組審閱意見:系主任簽字：2016年10月28日天津電子信息職業(yè)技術(shù)學(xué)院 頁號(2）注:1。本任務(wù)書由指導(dǎo)教師填寫。 2.簽字部分用筆填寫,其余各項(xiàng)均要求打印。

5、(宋體、小4號字)畢業(yè)設(shè)計(jì)（論文）開題報(bào)告畢業(yè)設(shè)計(jì)(論文）題目北京康科達(dá)成公司網(wǎng)絡(luò)方案設(shè)計(jì)學(xué)生姓名任成棟系別網(wǎng)絡(luò)技術(shù)系專業(yè)、班級計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)S142班指導(dǎo)教師李國平職稱副教授工作單位天津電子信息職業(yè)技術(shù)學(xué)院指導(dǎo)教師職稱工作單位實(shí)踐地點(diǎn)天津電子信息職業(yè)技術(shù)學(xué)院交表日期2016年10月28日畢業(yè)設(shè)計(jì)(論文）開題報(bào)告內(nèi)容要求： = 1 GB3 課題的意義、現(xiàn)狀及發(fā)展趨勢。 = 2 GB3 課題的研究內(nèi)容、研究方法、研究手段、研究步驟。 = 3 GB3 課題所需的參考書目等.注:開題報(bào)告占畢業(yè)設(shè)計(jì)(論文）總成績的10% 。 = 1 GB3 課題的意義、現(xiàn)狀及發(fā)展趨勢。信息化浪潮風(fēng)起云涌的今天，公司內(nèi)

6、部網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提升企業(yè)核心競爭力的關(guān)鍵因素，公司網(wǎng)已經(jīng)越來越多的被人們提到。利用網(wǎng)絡(luò)技術(shù),現(xiàn)代企業(yè)可以在供應(yīng)商、客戶、合作伙伴、員工之間實(shí)現(xiàn)優(yōu)化的信息溝通。這在今天所有的公司都必須具有自己的企業(yè)網(wǎng)絡(luò)，而且通過網(wǎng)絡(luò)辦公也變得越來普遍，公司的財(cái)務(wù)系統(tǒng),考勤系統(tǒng)，以及綜合業(yè)績的考核都是通過網(wǎng)絡(luò)進(jìn)行的，公司的人員外出辦公需要時(shí)刻的連接進(jìn)企業(yè)的網(wǎng)絡(luò)中來進(jìn)行辦公。 = 2 * GB3 課題的研究內(nèi)容、研究方法、研究手段、研究步驟。研究內(nèi)容：1.企業(yè)網(wǎng)絡(luò)的整體規(guī)劃2.ip地址的規(guī)劃3。核心，接入及網(wǎng)絡(luò)出口的設(shè)計(jì)4。無線網(wǎng)絡(luò)的覆蓋5。上網(wǎng)認(rèn)證6。上網(wǎng)策略的設(shè)計(jì)7.網(wǎng)絡(luò)安全的防護(hù)天津電子信息職業(yè)技術(shù)學(xué)院

7、頁號（1）研究手段：1、完成對組建企業(yè)網(wǎng)絡(luò)的相關(guān)分析（背景分析,需求分析，性能）；2、完成組建企業(yè)網(wǎng)絡(luò)的物理拓?fù)浜瓦壿嬐負(fù)洌?、完成企業(yè)網(wǎng)絡(luò)的設(shè)備的選型4、完成企業(yè)網(wǎng)絡(luò)的布置和實(shí)施5、無線網(wǎng)絡(luò)服務(wù)應(yīng)用在企業(yè)網(wǎng)絡(luò)的設(shè)計(jì)以及實(shí)施研究步驟：第一步:企業(yè)無線網(wǎng)絡(luò)需求分析、無線網(wǎng)的設(shè)計(jì)目標(biāo)、網(wǎng)絡(luò)設(shè)計(jì)原則、企業(yè)網(wǎng)絡(luò)現(xiàn)狀拓?fù)浞治?、無線網(wǎng)絡(luò)設(shè)計(jì)方案說明、網(wǎng)絡(luò)整體拓?fù)洌坏诙剑壕W(wǎng)絡(luò)整體設(shè)計(jì)說明:網(wǎng)絡(luò)現(xiàn)狀分析、網(wǎng)絡(luò)方案設(shè)計(jì)、網(wǎng)絡(luò)地勘、企業(yè)邊緣設(shè)計(jì)、無線優(yōu)化、員工網(wǎng)絡(luò)設(shè)計(jì)、Portal認(rèn)證規(guī)劃、網(wǎng)絡(luò)安全分析、無線網(wǎng)絡(luò)安全部署。第三步:針對網(wǎng)絡(luò)現(xiàn)狀,增加無線網(wǎng)絡(luò)覆蓋,針對各個(gè)辦公場所、無線員工和訪客并進(jìn)行測試和優(yōu)化.

8、 = 3 GB3 課題所需的參考書目等.1、謝希仁計(jì)算機(jī)網(wǎng)絡(luò)電子工業(yè)出版社，20032、董宇峰計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)清華大學(xué)出版社，20103、李利軍,韓小琴中小企業(yè)網(wǎng)絡(luò)管理員實(shí)戰(zhàn)指南科學(xué)出版社，20084、黃治虎，伍技祥交換機(jī)/路由器的配置和管理清華大學(xué)出版社，2005 5、雷建軍計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)北京：中國水利水電出版社,2003指導(dǎo)教師審核意見：簽字：2016年10月28日系畢業(yè)設(shè)計(jì)（論文)領(lǐng)導(dǎo)小組審閱意見：系主任簽字：2016年10月28日天津電子信息職業(yè)技術(shù)學(xué)院 頁號（2）注：本報(bào)告由學(xué)生本人填寫（打印、宋體、小4號字）。畢 業(yè) 設(shè) 計(jì)（論 文）系別網(wǎng)絡(luò)技術(shù)系專業(yè)班級 姓名 班級學(xué)號 畢

9、業(yè)設(shè)計(jì)（論文）題目：北京康科達(dá)成公司網(wǎng)絡(luò)方案設(shè)計(jì)畢業(yè)設(shè)計(jì)（論文)評語:任務(wù)明確；方案論證有理有據(jù)、科學(xué)合理；有文獻(xiàn)綜述,進(jìn)程計(jì)劃安排恰當(dāng)、周密。能按照進(jìn)程計(jì)劃進(jìn)行設(shè)計(jì)并較好的完成系統(tǒng)分析和系統(tǒng)設(shè)計(jì)，文檔規(guī)范。方案設(shè)計(jì)正確，數(shù)據(jù)計(jì)算、處理準(zhǔn)確，能綜合運(yùn)用專業(yè)基礎(chǔ)理論分析、解決設(shè)計(jì)中的問題，觀點(diǎn)正確、論據(jù)充分；有獨(dú)到的見解和創(chuàng)新。論文（含功能、流程圖等）結(jié)構(gòu)完整，文理通順,層次清楚，語言流暢,繪圖正確、規(guī)范。答辯中報(bào)告清楚，邏輯性強(qiáng)，分析論證能力強(qiáng),能正確運(yùn)用所學(xué)專業(yè)基礎(chǔ)知識和專業(yè)理論回答所提出的問題，理論聯(lián)系能力強(qiáng),有創(chuàng)新意識。態(tài)度表現(xiàn)好。指導(dǎo)教師簽字： 2017 年1月4日畢業(yè)設(shè)計(jì)(論文)總評

10、成績：系主任簽字：2017年1月4日天津電子信息職業(yè)技術(shù)學(xué)院教務(wù)處天津電子信息職業(yè)技術(shù)學(xué)院畢業(yè)論文題目 北京康科達(dá)成公司網(wǎng)絡(luò)方案設(shè)計(jì)姓 名 專業(yè)班級 指導(dǎo)教師 完成時(shí)間2017年1月天津電子信息職業(yè)技術(shù)學(xué)院 制2017。1摘要：企業(yè)局域網(wǎng)對企業(yè)內(nèi)部各部門進(jìn)行管理。通過先進(jìn)的管理手段，能夠?qū)钟蚓W(wǎng)內(nèi)所有工作的計(jì)算機(jī)進(jìn)行控制管理。企業(yè)局域網(wǎng)規(guī)劃與組建為企業(yè)綜合信息管理和辦公自動(dòng)化等一系列應(yīng)用提供基本操作平臺，而且能提供多種應(yīng)用服務(wù)，使信息能及時(shí)、準(zhǔn)確地傳送給各個(gè)部門。而企業(yè)網(wǎng)工程建設(shè)中主要應(yīng)用了網(wǎng)絡(luò)技術(shù)中的重要分支局域網(wǎng)技術(shù)來建設(shè)與管理的，因此本畢業(yè)設(shè)計(jì)課題將主要以小型局域網(wǎng)絡(luò)建設(shè)過程用到的實(shí)施方

11、案為設(shè)計(jì)方向,以使整個(gè)設(shè)計(jì)更加完美，為企業(yè)局域網(wǎng)建設(shè)提供理論依據(jù)指導(dǎo)。關(guān)鍵詞：規(guī)劃與組建 網(wǎng)絡(luò)管理 局域網(wǎng)目錄 TOC o ”1-3” h z u HYPERLINK l _Toc468613436 第一章 需求分析 第一章 需求分析一、項(xiàng)目背景信息化浪潮風(fēng)起云涌的今天，公司內(nèi)部網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提升企業(yè)核心競爭力的關(guān)鍵因素，公司網(wǎng)已經(jīng)越來越多的被人們提到。利用網(wǎng)絡(luò)技術(shù)，現(xiàn)代企業(yè)可以在供應(yīng)商、客戶、合作伙伴、員工之間實(shí)現(xiàn)優(yōu)化的信息溝通。這直接非關(guān)系到公司能否獲得關(guān)鍵的競爭優(yōu)勢.近年來越來越多的公司都在加快構(gòu)建自身的信息化網(wǎng)絡(luò),為了適應(yīng)業(yè)務(wù)的發(fā)展和國際化的需要，積極參與國家信息化進(jìn)程,提高管理水

12、平，展現(xiàn)全新的形象。北京康科達(dá)成發(fā)展有限公司決定自身的網(wǎng)絡(luò)發(fā)展升級,將原先的網(wǎng)絡(luò)徹底改造，升級成能夠滿足未來十年的互聯(lián)網(wǎng)發(fā)展需求。二、需求分析1、北京康科達(dá)成發(fā)展有限公司有領(lǐng)導(dǎo)，財(cái)務(wù)部門，人事部門，商務(wù)部門，銷售部門，以及技術(shù)部門六個(gè)部門。分別擁有3,2，1,5，6,12臺計(jì)算機(jī)，現(xiàn)實(shí)現(xiàn)每個(gè)人在企業(yè)內(nèi)部的網(wǎng)絡(luò)帶寬達(dá)到100Mb/s.2、實(shí)現(xiàn)領(lǐng)導(dǎo)，人事部門，商務(wù)部門，銷售部門，技術(shù)部門五個(gè)部門可以互相通信，財(cái)務(wù)部門不能與其他部門通信。3、實(shí)現(xiàn)六個(gè)部門都可以用公司打印機(jī)打印公司文件。4、公司內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)的網(wǎng)絡(luò)接入達(dá)到100Mb/s。5、實(shí)現(xiàn)公司內(nèi)部無線網(wǎng)絡(luò)的全覆蓋,并且有將員工和外來訪客分隔開

13、。外來訪客無需認(rèn)證就可上網(wǎng)。6、外部人員可以通過互聯(lián)網(wǎng)來訪問公司的服務(wù)器網(wǎng)站。7、為保證安全,所有員工上網(wǎng)都需通過實(shí)名制認(rèn)證后才可以上網(wǎng)，并且對其上網(wǎng)行為進(jìn)行審計(jì)。8、不允許員工在上班期間訪問與工作無關(guān)的內(nèi)容(領(lǐng)導(dǎo)除外)三設(shè)計(jì)原則1、可靠性系統(tǒng)具備網(wǎng)絡(luò)診斷、測試和在線故障恢復(fù)能力，關(guān)鍵設(shè)備、線路能做到實(shí)時(shí)備份和自動(dòng)故障切。2、標(biāo)準(zhǔn)化網(wǎng)絡(luò)技術(shù)發(fā)展迅速,不能盲目求新，必須以符合國際標(biāo)準(zhǔn)為準(zhǔn)則，選擇技術(shù)已經(jīng)成熟、標(biāo)準(zhǔn)化的產(chǎn)品，這是保護(hù)投資、易于維護(hù)的基礎(chǔ).3、擴(kuò)展能力充分考慮到目前的業(yè)務(wù)需求和今后長時(shí)間內(nèi)業(yè)務(wù)發(fā)展的需要，系統(tǒng)可方便地實(shí)現(xiàn)升級。4、開放性網(wǎng)絡(luò)體系結(jié)構(gòu)與系統(tǒng)應(yīng)用各自獨(dú)立，與服務(wù)器、工作站

14、的操作模式無關(guān),支持各種通訊協(xié)議，各種數(shù)據(jù)庫和客戶機(jī)/服務(wù)器以及Internet/Intranet的應(yīng)用，并能方便地和其它機(jī)構(gòu)、企業(yè)的主機(jī)和網(wǎng)絡(luò)互連通訊靈活性拓?fù)浣Y(jié)構(gòu)必須靈活,便于進(jìn)行網(wǎng)絡(luò)的管理和調(diào)整.5、可維護(hù)性網(wǎng)絡(luò)系統(tǒng)便于管理和維護(hù),配置功能強(qiáng)大的網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)集中維護(hù)和檢測。嚴(yán)密的安全控制和保密性能系統(tǒng)提供必要的安全保護(hù)手段,防止由于操作人員的失誤以及系統(tǒng)的意外故障而造成數(shù)據(jù)丟失或破壞;同時(shí)能防止系統(tǒng)外部的侵入和操作人員的非法操作，系統(tǒng)的信息安全性要求達(dá)到C2級標(biāo)準(zhǔn)。6、經(jīng)濟(jì)性一次性投資,長年受益，維護(hù)費(fèi)用低,使整體性價(jià)比達(dá)到最優(yōu)。先進(jìn)性支持任務(wù)優(yōu)先級的劃分,具有適當(dāng)?shù)亩嗝襟w應(yīng)用支持

15、。四、實(shí)現(xiàn)目標(biāo) 在統(tǒng)一思想、統(tǒng)一信息交換標(biāo)準(zhǔn)、統(tǒng)一技術(shù)規(guī)范的原則下，系統(tǒng)達(dá)到以下目標(biāo)：為各辦公室提供寬帶網(wǎng)絡(luò)支持提供公用信息交換平臺提供日常工作的處理網(wǎng)絡(luò)化、電子化的日常辦公自動(dòng)化環(huán)境電子檔案的信息查詢，提供先進(jìn)和更多的服務(wù)手段,提高效率和質(zhì)量為調(diào)控、科學(xué)決策提供有力的支持；為內(nèi)部網(wǎng)提供有力的技術(shù)保障,增加內(nèi)部系統(tǒng)的安全性第二章 方案設(shè)計(jì)一、網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)北京康科達(dá)成發(fā)展科技有限公司是一家小型的企業(yè)，公司的全部信息點(diǎn)位總共有30個(gè),鑒于公司未來的發(fā)展需求，信息點(diǎn)位上升可達(dá)到100個(gè)，所以企業(yè)網(wǎng)絡(luò)內(nèi)部才用二層結(jié)構(gòu)即核心層和匯聚層。網(wǎng)絡(luò)出口采用兩臺深信服上網(wǎng)行為管理設(shè)備。公司內(nèi)部做到無線網(wǎng)絡(luò)的全面

16、覆蓋，所以采用AC+無線AP的模式覆蓋全公司?，F(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)如下:圖2-1二、網(wǎng)絡(luò)接口的ip地址規(guī)劃網(wǎng)絡(luò)接口Ip地址深信服ETH1172。16.98。1/29核心交換機(jī)F0/99172.16。98.2/29三、ip地址以及VLAN的規(guī)劃四、網(wǎng)絡(luò)核心層設(shè)計(jì)(一）設(shè)備選型核心層設(shè)備選擇H3C的S5130HI系列交換機(jī)。此系列的設(shè)備具有一下特點(diǎn)：部門VLANIp地址領(lǐng)導(dǎo)VLAN10172。16.10.0/24財(cái)務(wù)部VLAN20172。16。20。0/24人事部VLAN30172。16.30。0/24商務(wù)部VLAN40172。16。40.0/24銷售部VLAN50172.16.50。0/24技術(shù)部

17、VLAN60172。16。60.0/24服務(wù)器VLAN99172。16。99。0/24無線控制器VLAN100/24無線SSID員工VLAN150172.16。150.0/24無線SSID訪客VLAN200172.16.200。0/241、MACsec硬件加密Macsec是一種非常適合于以太網(wǎng)的Hop by Hop的鏈路層安全協(xié)議,它實(shí)現(xiàn)如下三個(gè)功能:（1） 報(bào)文加密：通過加密算法和密鑰,將明文變成亂碼的密文，即使被竊聽也難以解密。（2） 防重放攻擊：防止黑客截獲目的主機(jī)接收的報(bào)文，再次發(fā)送給目的主機(jī)，達(dá)到欺騙目的主機(jī)的目的，比如身份認(rèn)證。（3） 防篡改:防止黑客隨意篡改原始報(bào)文內(nèi)容，實(shí)現(xiàn)不可

18、告人的目的。macsec的實(shí)現(xiàn)分兩種模式:(1)面向主機(jī)模式:用于終端接入網(wǎng)絡(luò)的第一跳保護(hù).（2）面向設(shè)備模式:用戶設(shè)備之間互聯(lián)鏈路的保護(hù).2、多重可靠性保護(hù)S5130-HI系列交換機(jī)具備設(shè)備級和鏈路級的多重可靠性保護(hù)。S5130HI系列交換機(jī)，支持可插拔交、直雙電源模塊、以及可插拔雙風(fēng)扇可靠性設(shè)計(jì),可以根據(jù)實(shí)際環(huán)境的需要靈活配置交流或直流電源模塊，此外整機(jī)還支持電源和風(fēng)扇的故障檢測及告警，可以根據(jù)溫度的變化自動(dòng)調(diào)節(jié)風(fēng)扇的轉(zhuǎn)速，這些設(shè)計(jì)使設(shè)備具備了更高的可靠性。除了設(shè)備級可靠性以外，該產(chǎn)品還支持豐富的鏈路級可靠性技術(shù)。此外還具有這LACP/STP/RSTP/MSTP/Smart Link/RR

19、PP快速環(huán)網(wǎng)保護(hù)機(jī)制等保護(hù)協(xié)議，支持IRF2智能彈性架構(gòu)，支持1：N冗余備份，支持環(huán)形堆疊，支持跨設(shè)備的鏈路聚合,極大提高網(wǎng)絡(luò)可靠性，當(dāng)網(wǎng)絡(luò)上承載多業(yè)務(wù)、大流量的時(shí)候也不影響網(wǎng)絡(luò)的收斂時(shí)間，保證業(yè)務(wù)的正常開展3、豐富的QoS策略H3C S5130-HI系列交換機(jī)支持支持L2（Layer 2）L4（Layer 4）包過濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口號、協(xié)議類型、VLAN的流分類。提供靈活的對列調(diào)度算法，可以同時(shí)基于端口和隊(duì)列進(jìn)行設(shè)置，支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+W

20、RR、WFQ、WDRR五種模式。支持CAR(Committed Access Rate）功能，粒度最小達(dá)8Kbps。支持出、入兩個(gè)方向的端口鏡像，用于對指定端口上的報(bào)文進(jìn)行監(jiān)控，將端口上的數(shù)據(jù)包復(fù)制到監(jiān)控端口,以進(jìn)行網(wǎng)絡(luò)檢測和故障排除。增強(qiáng)的以太網(wǎng)供電能力(PoE+）H3C S5130-HI系列交換機(jī)支持802.3af/802.3at增強(qiáng)的以太網(wǎng)供電功能，單端口最大30W的輸出功率，可以為802。11n的無線接入點(diǎn)，可視IP電話，大功率的監(jiān)控?cái)z像頭以及更多的終端設(shè)備提供以太網(wǎng)供電能力。 圖2-2（二）配置功能1、VLAN劃分VLAN(Virtual Local Area Network）的中文

21、名為”虛擬局域網(wǎng)。虛擬局域網(wǎng)（VLAN）是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門及應(yīng)用等因素將它們組織起來,相互之間的通信就好像它們在同一個(gè)網(wǎng)段一樣，由此得名虛擬局域網(wǎng)。VLAN是一種比較新的技術(shù)，它工作在TCP/ip第2層和第3層,一個(gè)VLAN就是一個(gè)廣播域，VLAN之間的通信是通過第3層的路由器完成的。與傳統(tǒng)的比較，VLAN技術(shù)更加靈活，它具有以下優(yōu)點(diǎn)： 網(wǎng)絡(luò)設(shè)備的移動(dòng)、添加和修改的管理開銷減少；可以控制廣播活動(dòng)，可提高安全性。在核心交換機(jī)中，根據(jù)部門來劃分8個(gè)VLAN.2、ACL訪問控制列表訪問控制列表（Access Control List,AC

22、L) 是路由器和交換機(jī)接口的指令列表,用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議,如IP、IPX、AppleTalk等。信息點(diǎn)間通信和內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求,為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達(dá)到對訪問進(jìn)行控制的目的.簡而言之,ACL可以過濾網(wǎng)絡(luò)中的流量，是控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。配置ACL后，可以限制網(wǎng)絡(luò)流量，允許特定設(shè)備訪問，指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包等。如可以配置ACL,禁止局域網(wǎng)內(nèi)的設(shè)備訪問外部公共網(wǎng)絡(luò)，或者只能使用FTP服務(wù)。ACL既可以在路由器上配置，也可以在具有ACL功能的業(yè)務(wù)軟件上進(jìn)行配置.AC

23、L是物聯(lián)網(wǎng)中保障系統(tǒng)安全性的重要技術(shù)，在設(shè)備硬件層安全基礎(chǔ)上，通過對在軟件層面對設(shè)備間通信進(jìn)行訪問控制,使用可編程方法指定訪問規(guī)則，防止非法設(shè)備破壞系統(tǒng)安全，非法獲取系統(tǒng)數(shù)據(jù).根據(jù)要求公司中的其他部門不能夠去訪問財(cái)務(wù)部門的電腦，所以根據(jù)訪問控制列表禁止其他部門去訪問。3、SVI配置一個(gè)交換機(jī)虛擬接口（Switch Virtual Interface，SVI）代表一個(gè)由交換端口構(gòu)成的VLAN（其實(shí)就是通常所說的VLAN接口），以便于實(shí)現(xiàn)系統(tǒng)中路由和橋接的功能.一個(gè)交換機(jī)虛擬接口對應(yīng)一個(gè)VLAN，當(dāng)需要路由虛擬局域網(wǎng)之間的流量或橋接VLAN之間不可路由的協(xié)議，以及提供IP主機(jī)到交換機(jī)的連接的時(shí)候，

24、就需要為相應(yīng)的虛擬局域網(wǎng)配置相應(yīng)的交換機(jī)虛擬接口，其實(shí)SVI就是指通常所說的VLAN接口，只不過它是虛擬的，用于連接整個(gè)VLAN,所以通常也把這種接口稱為邏輯三層接口，也是三層接口。SVI接口是當(dāng)在interface vlan全局配置命令后面鍵入具體的VLAN ID時(shí)創(chuàng)建的?？梢杂胣o interface vlan vlan_id全局配置命令來刪除對應(yīng)的SVI接口，只是不能刪除VLAN 1的SVI接口（VLAN 1）,因?yàn)閂LAN 1接口是默認(rèn)已創(chuàng)建的,用于遠(yuǎn)程交換機(jī)管理.由于企業(yè)網(wǎng)絡(luò)采用的二層結(jié)構(gòu)，接入層+核心層結(jié)構(gòu)，所有主機(jī)的網(wǎng)關(guān)都放在核心層，所以用SVI技術(shù).VLANIp地址VLAN10

25、172。16。10。254/24VLAN20172。16.20。254/24VLAN30172。16。30.254/24VLAN40172。16。40.254/24VLAN50172。16。50.254/24VLAN60172。16。60。254/24VLAN150172.16。150.254/24VLAN200172.16。200.254/244、DHCP地址池配置DHCP（Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議）通常被應(yīng)用在大型的局域網(wǎng)絡(luò)環(huán)境中,主要作用是集中的管理、分配IP地址，使網(wǎng)絡(luò)環(huán)境中的主機(jī)動(dòng)態(tài)的獲得IP地址、Gateway地址、D

26、NS服務(wù)器地址等信息，并能夠提升地址的使用率。DHCP協(xié)議采用客戶端/服務(wù)器模型,主機(jī)地址的動(dòng)態(tài)分配任務(wù)由網(wǎng)絡(luò)主機(jī)驅(qū)動(dòng)。當(dāng)DHCP服務(wù)器接收到來自網(wǎng)絡(luò)主機(jī)申請地址的信息時(shí)，才會(huì)向網(wǎng)絡(luò)主機(jī)發(fā)送相關(guān)的地址配置等信息，以實(shí)現(xiàn)網(wǎng)絡(luò)主機(jī)地址信息的動(dòng)態(tài)配置。DHCP具有以下功能:保證任何IP地址在同一時(shí)刻只能由一臺DHCP客戶機(jī)所使用.DHCP應(yīng)當(dāng)可以給用戶分配永久固定的IP地址。DHCP應(yīng)當(dāng)可以同用其他方法獲得IP地址主機(jī)共存（如手工配置IP地址的主機(jī)).DHCP服務(wù)器向現(xiàn)有的BOOTP提供服務(wù)。 為了做到ip地址的統(tǒng)一規(guī)劃，以及ip地址的合理的應(yīng)用，所以在核心交換機(jī)上配置DHCP地址池，并且每一個(gè)VL

27、AN配置單獨(dú)的地址池. 5、鏈路聚合鏈路聚合（Link Aggregation),是指將多個(gè)物理端口捆綁在一起,成為一個(gè)邏輯端口，以實(shí)現(xiàn)出/ 入流量在各成員端口中的負(fù)荷分擔(dān)，交換機(jī)根據(jù)用戶配置的端口負(fù)荷分擔(dān)策略決定報(bào)文從哪一個(gè)成員端口發(fā)送到對端的交換機(jī)。當(dāng)交換機(jī)檢測到其中一個(gè)成員端口的鏈路發(fā)生故障時(shí)，就停止在此端口上發(fā)送報(bào)文，并根據(jù)負(fù)荷分擔(dān)策略在剩下鏈路中重新計(jì)算報(bào)文發(fā)送的端口，故障端口恢復(fù)后再次重新計(jì)算報(bào)文發(fā)送端口。鏈路聚合在增加鏈路帶寬、實(shí)現(xiàn)鏈路傳輸彈性和冗余等方面是一項(xiàng)很重要的技術(shù)。由于核心交換機(jī)和接入層交換機(jī)采用雙鏈路鏈接，為了能夠擴(kuò)大帶寬，所以將兩條鏈路進(jìn)行鏈路聚合，也能夠達(dá)到鏈路的

28、冗余。6、默認(rèn)路由默認(rèn)路由是一種特殊的靜態(tài)路由，指的是當(dāng)路由表中與包的目的地址之間沒有匹配的表項(xiàng)時(shí)路由器能夠做出的選擇.如果沒有默認(rèn)路由，那么目的地址在路由表中沒有匹配表項(xiàng)的包將被丟棄 默認(rèn)路由在某些時(shí)候非常有效，當(dāng)存在末梢網(wǎng)絡(luò)時(shí)，默認(rèn)路由會(huì)大大簡化路由器的配置,減輕管理員的工作負(fù)擔(dān)，提高網(wǎng)絡(luò)性能在核心交換機(jī)上配置一條默認(rèn)路由，當(dāng)所有主機(jī)上網(wǎng)時(shí)通過這條默認(rèn)路由出去，下一跳指向深信服設(shè)備的ETH1接口的ip地址.(五)雙絞線的選擇核心層與接入層交換機(jī)之間的鏈路選擇1000Mb/s的雙絞線。圖23接入層和主機(jī)連接的鏈路選擇100Mb/s的雙絞線.圖24五、接入層設(shè)計(jì)（一）設(shè)備選型接入層選擇48口H

29、3C的S512058C-HI交換機(jī),此設(shè)備的特點(diǎn)有：1、多重可靠性保護(hù)S5120HI系列交換機(jī)具備設(shè)備級和鏈路級的多重可靠性保護(hù)。硬件支持可插拔交、直流雙電源并支持過流保護(hù)、過壓保護(hù)和過熱保護(hù)技術(shù)。支持電源和風(fēng)扇的故障檢測及告警，可以根據(jù)溫度的變化自動(dòng)調(diào)節(jié)風(fēng)扇的轉(zhuǎn)速。S5120-52SC/28SCHI還支持可插拔的風(fēng)扇模塊，支持靈活的可調(diào)風(fēng)道，這些設(shè)計(jì)使S5120HI具備了數(shù)據(jù)中心級的高可靠性。2、綠色環(huán)保設(shè)計(jì)S5120-HI采用綠色節(jié)能設(shè)計(jì).支持空端口auto-powerdown,如果在一段時(shí)間內(nèi)接口狀態(tài)始終為down，則系統(tǒng)自動(dòng)停止對該接口供電，自動(dòng)進(jìn)入節(jié)能模式。支持一鍵節(jié)能模式,通過控制

30、設(shè)備上指示燈亮/滅以及端口節(jié)能狀態(tài)降低能耗.支持EEE節(jié)能功能，端口如果在連續(xù)一段時(shí)間之內(nèi)空閑，系統(tǒng)會(huì)將該端口設(shè)置為節(jié)能模式,當(dāng)有報(bào)文收發(fā)時(shí)再通過定時(shí)發(fā)送的監(jiān)聽碼流喚醒端口恢復(fù)業(yè)務(wù)，達(dá)到節(jié)能的效果。圖25（二）配置功能1、VLAN配置在接入層的三臺交換機(jī)上配置VLAN，在每一臺接入層交換機(jī)上配置VLAN10，30，40,50,60,99這六個(gè)VLAN。方便除了財(cái)務(wù)部門外的其他部門能夠自由的互相訪問。2、鏈路聚合 三臺接入層交換和核心設(shè)備采用雙聯(lián)路鏈接，為了能夠擴(kuò)大帶寬,將兩條鏈路進(jìn)行聚合。六、無線網(wǎng)絡(luò)的設(shè)計(jì)為了以后無線網(wǎng)絡(luò)的發(fā)展和公司規(guī)模的不斷擴(kuò)大以及更好的管理無線網(wǎng)絡(luò),無線網(wǎng)絡(luò)的模式才有無線

31、控制器+瘦AP的模式.(一)設(shè)備選型無線網(wǎng)絡(luò)的無線控制器選擇星銳的陽光系列的NAC-6150,此設(shè)備的特點(diǎn)是：1、認(rèn)證方式多樣微信認(rèn)證（微信連WiFi）,短信認(rèn)證，二維碼審核認(rèn)證，MAC+Web認(rèn)證，APP認(rèn)證，WAPI認(rèn)證,Portal認(rèn)證，802.1x認(rèn)證，CA證書認(rèn)證.2、安全控制策略支持用戶/終端MAC綁定及終端用戶隔離，支持上網(wǎng)行為管理/行為審計(jì)支持終端識別/應(yīng)用識別/URL地址識別，支持防釣魚/防蹭網(wǎng)，支持WIPS/WIDS3、無線的優(yōu)化智能廣播提速，ARP轉(zhuǎn)單播，防終端拖滯/粘滯，高密場景負(fù)載均衡，電子書包場景優(yōu)化，禁止低速率終端接入，禁止DHCP請求發(fā)往無線終端。圖26無線AP

32、的選擇是星銳的雙頻的NAP2600。圖27(二）配置功能1.將星銳的無線控制器的模式配置成為本地轉(zhuǎn)發(fā)模式。圖2-8本地轉(zhuǎn)發(fā)：利用瘦AP本地轉(zhuǎn)發(fā)方式進(jìn)行大規(guī)模組網(wǎng),可以完全代替目前主要采用的集中轉(zhuǎn)發(fā)方式,在本地轉(zhuǎn)發(fā)方式下,網(wǎng)管、安全、認(rèn)證、漫游、QOS、負(fù)載均衡、流控、二層隔離等功能還是由AC統(tǒng)一控制，再由AP具體實(shí)施;只是業(yè)務(wù)數(shù)據(jù)不通過隧道傳送到AC，再經(jīng)由AC解封后統(tǒng)一轉(zhuǎn)發(fā),而是由AP本地轉(zhuǎn)發(fā).此組網(wǎng)方式的優(yōu)勢主要體現(xiàn)在，將業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)任務(wù)分散到AP，降低AC壓力，輕松應(yīng)對帶寬挑戰(zhàn)，徹底解決AC瓶頸問題,提高網(wǎng)絡(luò)整體吞吐率,順利迎接11n時(shí)代。集中轉(zhuǎn)發(fā)：集中轉(zhuǎn)發(fā)組網(wǎng)，AP和AC之間單獨(dú)建立一

33、條隧道傳輸數(shù)據(jù)業(yè)務(wù)，所有的數(shù)據(jù)業(yè)務(wù)都通過AC轉(zhuǎn)發(fā)出去，所以AC的負(fù)荷比較大。集中轉(zhuǎn)發(fā)所有的數(shù)據(jù)包都要走隧道，所以對鏈路的帶寬要求較高,并且對AC接口的帶寬要求也較高。由于集中轉(zhuǎn)發(fā)的數(shù)據(jù)包要封裝到隧道里再轉(zhuǎn)發(fā)走,所以對AC的CPU消耗比本地轉(zhuǎn)發(fā)更大。由于對帶寬要求較高，所以集中轉(zhuǎn)發(fā)的AC可管理的AP數(shù)量也會(huì)受到一定限制。這樣對于規(guī)模較大的網(wǎng)絡(luò)或者有備份要求的項(xiàng)目，會(huì)增加成本。此外，當(dāng)隧道轉(zhuǎn)發(fā)出現(xiàn)不通或者丟包現(xiàn)象時(shí)，查找網(wǎng)絡(luò)故障難度比本地轉(zhuǎn)發(fā)高.集中轉(zhuǎn)發(fā)的優(yōu)點(diǎn)是對于現(xiàn)網(wǎng)改動(dòng)較小。因此，所有的用戶用無線ID連接到企業(yè)的內(nèi)網(wǎng)中，所有的訪問的流量通過核心交換機(jī)直接出去，不經(jīng)過無線控制器，無線控制器只提供

34、無線AP的管理功能。配置無線控制器的本地轉(zhuǎn)發(fā)模式的優(yōu)點(diǎn)是:減小核心交換機(jī)的壓力，減小無線NAC的轉(zhuǎn)發(fā)壓力，增加無線用戶的上網(wǎng)速度.所有無線用戶的無線認(rèn)證的賬戶名和密碼都由出口的深信服設(shè)備完成。（二）AP的IP地址規(guī)劃設(shè)備Ip地址NAC/24AP1/24AP2172.16.100。3/24AP3172.16.100。4/24（三）無線SSID的規(guī)劃無線類型無線名稱(SSID）無線員工Kangke-Office無線訪客Kangke-Guest（四）無線信道的優(yōu)化1、頻率的選擇無線AP中選擇頻率是2.4GHZ的頻率，因?yàn)楣緝?nèi)部有多間辦公室，每間辦公室都有隔墻.2。4G 穿透性好 傳輸距離近，5G穿

35、透性差 傳輸距離遠(yuǎn)2.4G頻段室內(nèi)環(huán)境中抗衰減能力強(qiáng)，劣勢是許多設(shè)備用的都是2.4GHz，所以干擾很多，不能保障足夠的穩(wěn)定性。對于802。11a來說，它用的是5GHz,包含了UNII的三個(gè)頻段,從5.15.8GHz都有覆蓋;這個(gè)頻段最大的優(yōu)勢是目前應(yīng)用較少，很多國家都是需要申請?jiān)S可的,所以干擾非常小，能保障傳輸?shù)馁|(zhì)量;但是缺點(diǎn)也很明顯，室內(nèi)的抗衰減能力弱,隔個(gè)幾堵墻也許就歇菜了。2、無線信道的選擇信道是對無線通信中發(fā)送端和接收端之間通路的一種形象比喻,對于無線電波而言，它從發(fā)送端傳送到接收端，其間并沒有一個(gè)有形的連接，它的傳播路徑也有可能不只一條，我們?yōu)榱诵蜗蟮孛枋霭l(fā)送端與接收端之間的工作，可

36、以想象兩者之間有一個(gè)看不見的道路銜接，把這條銜接通路稱為信道.信道容量可以表示為單位時(shí)間內(nèi)可傳輸?shù)亩M(jìn)制位的位數(shù)(稱信道的數(shù)據(jù)傳輸速率，位速率），以位/秒（b/s）形式予以表示，簡記為bps。信道帶寬是限定允許通過該信道的信號下限頻率和上限頻率，可以理解為一個(gè)頻率通帶.比如一個(gè)信道允許的通帶為1。5kHz至15kHz，則其帶寬為13.5kHz,圖29為了優(yōu)化公司無線網(wǎng)絡(luò)，不讓無線AP發(fā)生信道沖突，所以所有的AP的信道選擇1，6，11三種信道。七、網(wǎng)絡(luò)出口設(shè)計(jì)（一）拓?fù)湓O(shè)計(jì)圖210(二）設(shè)備選型1、深信服上網(wǎng)行為管理設(shè)備深信服上網(wǎng)行為管理選擇的是1200型號的設(shè)備。圖2-11設(shè)備的特性:（1）控

37、制功能：細(xì)致的訪問控制,有效管理用戶上網(wǎng)對于內(nèi)網(wǎng)用戶的網(wǎng)頁訪問行為，AC不僅通過內(nèi)置URL庫，關(guān)鍵字過濾等方式進(jìn)行管控。對于采用SSL加密的網(wǎng)頁，如釣魚網(wǎng)站等，AC的證書驗(yàn)證鏈接黑白名單技術(shù)同樣可以管控。AC不僅管理用戶使用WEB、FTP、EMAIL等常用服務(wù)，通過深度內(nèi)容檢測技術(shù)，實(shí)現(xiàn)對QQ、MSN、SKYPE等IM聊天工具，BT、電騾等P2P下載工具，PPLive、QQLive等在線影音工具,網(wǎng)絡(luò)游戲,在線炒股等網(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理和控制.SINFORAC具有國內(nèi)最大的應(yīng)用協(xié)議識別庫。針對目前P2P行為泛濫的趨勢，SINFORAC的P2P智能識別技術(shù)能夠?qū)Σ怀Ｓ玫摹⑽磥砜赡艹霈F(xiàn)的P2P軟件

38、進(jìn)行有效管控。并且對P2P行為嚴(yán)重吞噬帶寬資源的問題，提供流量控制功能。上網(wǎng)行為的管理必須以識別為基礎(chǔ)。SINFORAC支持本地認(rèn)證、和第三方認(rèn)證（包括LDAP、AD、Radius、POP3、PROXY等），豐富的用戶識別方式方便組織的使用.AC所具備的多種網(wǎng)絡(luò)訪問控制功能，可以基于用戶/用戶組、基于時(shí)間段、基于不同目標(biāo)行為進(jìn)行靈活權(quán)限控制，實(shí)現(xiàn)人性化管理要求。（2）帶寬及流量管理功能：強(qiáng)大流量分析及帶寬劃分與分配SINFORAC的多線路復(fù)用專利技術(shù)使一臺AC可同時(shí)連接四條公網(wǎng)線路，擴(kuò)展帶寬、互為備份、流量負(fù)載均衡.IT管理者需要詳細(xì)了解當(dāng)前帶寬資源的使用情況,這可以通過訪問AC的數(shù)據(jù)中心實(shí)現(xiàn)

39、,如查看指定時(shí)間周期內(nèi)應(yīng)用流量分布情況，用戶流量分布和排名等。下一步IT管理者就需要對非業(yè)務(wù)流量如P2P行為等進(jìn)行帶寬限制，對領(lǐng)導(dǎo)的視頻會(huì)議系統(tǒng)等業(yè)務(wù)流量需求進(jìn)行滿足，這通過AC智能流量管理系統(tǒng)輕松實(shí)現(xiàn),基于不同用戶/用戶組、時(shí)間段、應(yīng)用類型/網(wǎng)站類型/上傳下載文件類型、結(jié)合QoS優(yōu)先級機(jī)制，進(jìn)行帶寬劃分和分配，實(shí)現(xiàn)帶寬資源利用率的最大化（3）監(jiān)控與審計(jì)功能談到安全時(shí)多數(shù)人只關(guān)注外網(wǎng)安全，但其實(shí)機(jī)構(gòu)的信息資產(chǎn)更多的是通過內(nèi)部泄漏的.SINFORAC關(guān)完善的訪問審計(jì)和監(jiān)控功能有效防止信息通過Internet泄漏.對郵件類型應(yīng)用采用深信服“郵件延遲審計(jì)專利技術(shù)保證先審計(jì)后發(fā)送；對于通過Webmai

40、l發(fā)送郵件，AC全面記錄郵件正文和附件等；對于QQ、MSN等聊天內(nèi)容提供全面記錄功能；對于BBS、論壇發(fā)帖不僅根據(jù)關(guān)鍵字進(jìn)行過濾,成功發(fā)布的內(nèi)容也能全面記錄；內(nèi)網(wǎng)用戶訪問的URL地址、網(wǎng)頁標(biāo)題、甚至整個(gè)網(wǎng)頁內(nèi)容，AC也能完全監(jiān)控和記錄等。SINFORAC的訪問審計(jì)/監(jiān)控模塊為機(jī)構(gòu)構(gòu)筑了強(qiáng)大的內(nèi)部安全屏障（4)報(bào)表和檢索:直觀的上網(wǎng)數(shù)據(jù)統(tǒng)計(jì)、報(bào)表和海量日志檢索機(jī)構(gòu)內(nèi)網(wǎng)用戶每天的各種行為日志記錄可達(dá)數(shù)十G，公安部82號令存儲至少60天,SINFORAC通過外置數(shù)據(jù)中心實(shí)現(xiàn)了日志的海量存儲.強(qiáng)大的數(shù)據(jù)中心允許管理者分組、分用戶、規(guī)則、協(xié)議等多種查詢對象,按餅圖、柱狀圖、曲線圖等方式進(jìn)行查詢，可直觀地

41、查看到網(wǎng)絡(luò)流量、郵件、網(wǎng)絡(luò)監(jiān)控、安全日志等詳細(xì)信息,并可直接打印和導(dǎo)出報(bào)表。SINFORAC網(wǎng)關(guān)強(qiáng)大的日志系統(tǒng)和豐富的報(bào)表功能，可詳細(xì)分析出機(jī)構(gòu)的Internet的詳細(xì)使用情況,為網(wǎng)絡(luò)管理員和決策者提供了最有效的數(shù)據(jù)支持。功能特點(diǎn)：（1）內(nèi)置預(yù)分類超過800萬條的URL庫將過濾大部分色情、反動(dòng)網(wǎng)站，再通過搜索關(guān)鍵字過濾、網(wǎng)頁正文關(guān)鍵字過濾等，阻擋“垃圾網(wǎng)站”對內(nèi)網(wǎng)的感染;AC根據(jù)文件擴(kuò)展名進(jìn)行過濾，讓非法軟件、程序無法通過HTTP/FTP下載，避免了“無知用戶被木馬、惡意程序等感染的可能.（2）AC集成來自歐洲領(lǐng)先殺毒廠商FPORT的殺毒引擎，對經(jīng)過AC的HTTP、FTP、Email等流量中潛

42、藏的病毒進(jìn)行查殺，即使是RAR、TAR等壓縮包內(nèi)的病毒也能徹底清除，網(wǎng)關(guān)殺毒從源頭上清除病毒等威脅。（3）通過AC的網(wǎng)絡(luò)準(zhǔn)入規(guī)則技術(shù),將檢測用戶電腦的操作系統(tǒng)補(bǔ)丁、殺毒/防火墻軟件、病毒庫版本、注冊表、硬盤文件和后臺進(jìn)程等，只有滿足IT部門預(yù)設(shè)的安全要求的電腦才允許接入Internet,保證內(nèi)網(wǎng)電腦都及時(shí)修補(bǔ)操作系統(tǒng)補(bǔ)丁、安裝指定的殺毒和防火墻軟件、禁止非法網(wǎng)絡(luò)程序的運(yùn)行，不僅修復(fù)了內(nèi)網(wǎng)的安全短板，還讓推行統(tǒng)一的IT政策成為可能。（4)一旦病毒通過U盤、文件拷貝等方式在內(nèi)網(wǎng)泛濫，引起DOS攻擊，大量發(fā)包時(shí),AC的防DOS功能，不僅防范來自內(nèi)網(wǎng)的DOS，對于來自公網(wǎng)的DOS同樣進(jìn)行防護(hù)，隔離病毒

43、和內(nèi)網(wǎng)DOS攻擊點(diǎn)，且避免了內(nèi)網(wǎng)被控僵尸主機(jī)發(fā)起攻擊導(dǎo)致的法律風(fēng)險(xiǎn)；而泛濫的ARP病毒、ARP欺騙等可能導(dǎo)致整網(wǎng)用戶無法連接Internet,也將通過AC的防ARP欺騙功能根除其危害;AC還具備入侵防御功能，對來自公網(wǎng)的超過3000種攻擊進(jìn)行抵御和防護(hù)。除了以上四種措施保障內(nèi)網(wǎng)安全,AC的上網(wǎng)行為管理功能，能夠管理和限制用戶的無關(guān)網(wǎng)絡(luò)訪問行為,為不同用戶差異化分配合適的網(wǎng)絡(luò)訪問權(quán)限。（三）設(shè)備連接方式深信服設(shè)備采用雙機(jī)熱備的配置模式，兩臺設(shè)備都連接在一臺傻瓜交換機(jī)上，傻瓜交換機(jī)不做任何的配置，然后兩臺深信服設(shè)備通過心跳線把console口連接起來，配置成雙機(jī)模式，其中一臺為主機(jī)，另一臺設(shè)備是備

44、機(jī),當(dāng)主機(jī)工作是，備機(jī)處于監(jiān)聽狀態(tài)，當(dāng)主機(jī)宕機(jī)后，備機(jī)會(huì)秒切過來，用戶完全感受不到斷網(wǎng)的感覺。兩條設(shè)備的配置完全一樣,會(huì)通過心跳線實(shí)時(shí)同步配置。兩臺設(shè)備連接在核心交換機(jī)上。（四）上網(wǎng)行為管理配置1、配置模式將上網(wǎng)行為管理設(shè)備配置為路由模式。設(shè)備以路由模式部署時(shí)，AC的工作方式與路由器相當(dāng)，具備基本的路由轉(zhuǎn)發(fā)及NAT功能。一般在客戶還沒有相應(yīng)的網(wǎng)關(guān)設(shè)備,需要將AC做網(wǎng)關(guān)使用時(shí)，建議以路由模式部署。路由模式下支持AC所有的功能.如果需要使用NAT、VPN、DHCP等功能時(shí)，AC必須以路由模式部署，其它工作模式?jīng)]有這些功能.2、網(wǎng)口配置網(wǎng)口Ip地址Eth1172。16。98。1/29Eth0運(yùn)營商i

45、p3、路由配置（1）默認(rèn)路由配置一條默認(rèn)路由，所有內(nèi)網(wǎng)用戶通過默認(rèn)路由出去上網(wǎng)。（2）靜態(tài)路由配置去往內(nèi)網(wǎng)的靜態(tài)路由3）通道配置在通道配置中配置互聯(lián)網(wǎng)的帶寬，帶寬為20M。(4）NAT代理上網(wǎng)配置所有的內(nèi)網(wǎng)ip地址通過NAT地址轉(zhuǎn)換協(xié)議轉(zhuǎn)換為公網(wǎng)ip地址后即可上網(wǎng).（5)端口映射配置端口映射就是將外網(wǎng)主機(jī)的IP地址的一個(gè)端口映射到內(nèi)網(wǎng)中一臺機(jī)器，提供相應(yīng)的服務(wù)。當(dāng)用戶訪問該IP的這個(gè)端口時(shí)，服務(wù)器自動(dòng)將請求映射到對應(yīng)局域網(wǎng)內(nèi)部的機(jī)器上。網(wǎng)段下一跳172。16。10。0/24172.16。98.2/29172.16。20。0/24172。16.98。2/29172。16。30。0/24172.1

46、6。98.2/29/24/29172.16.50。0/24/29172。16。60.0/24172。16。98。2/29172.16。150。0/24172。16.98。2/29172。16。200.0/24/29將公司的服務(wù)器的ip地址的80端口映射到公網(wǎng)上的80端口，方便讓外網(wǎng)用戶能夠訪問公司的服務(wù)器。第三章 網(wǎng)絡(luò)安全及優(yōu)化為了保證企業(yè)網(wǎng)絡(luò)的安全性，防止外網(wǎng)攻擊,以及內(nèi)網(wǎng)的攻擊，所以在整個(gè)企業(yè)網(wǎng)絡(luò)中增強(qiáng)網(wǎng)絡(luò)安全的設(shè)置。一、設(shè)置組織結(jié)構(gòu)組織結(jié)構(gòu)即為用戶和用戶組的所屬層級關(guān)系。SANGFOR AC 提供樹形的組織結(jié)構(gòu)，通過樹形用戶結(jié)構(gòu)管理，符合企業(yè)的人員結(jié)構(gòu)劃分，同時(shí)又可以對相同的上網(wǎng)策略進(jìn)行繼承。一個(gè)用戶有一個(gè)直屬父組。將北京康科達(dá)成的員工根據(jù)部門進(jìn)行分組，分別分成領(lǐng)導(dǎo)組，財(cái)務(wù)組，人事組,銷售組，商務(wù)組，技術(shù)組，無線領(lǐng)導(dǎo)組，無線員工組，無線訪客組。二、用戶名密碼設(shè)置為了保證企業(yè)內(nèi)網(wǎng)的安全，防止非法用戶的接入，破壞內(nèi)網(wǎng)安全，所以所有用戶都要通過密碼用戶名進(jìn)行認(rèn)證,認(rèn)證通過之后才能夠上網(wǎng)，當(dāng)用戶首次通過AC上網(wǎng)時(shí)，AC會(huì)要求用戶提交用戶名密碼信息,如果用戶提交的用戶名密碼信息和AC本地（或第三方服務(wù)器)一致,則給予認(rèn)證通過。圖31圖32當(dāng)所有員工建立用戶名和密碼時(shí)，當(dāng)他們連接到網(wǎng)絡(luò)后，瀏覽器會(huì)彈出登錄頁面，只有登錄認(rèn)證通過之后，才可