企業(yè)局域網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)

精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)某公司局域網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)[摘要]計(jì)算機(jī)網(wǎng)絡(luò)是公司信息化的基礎(chǔ)，要提高一個(gè)公司的信息化程度，首要的是要有一個(gè)運(yùn)行良好可管理的計(jì)算機(jī)網(wǎng)絡(luò)，本文以某公司的公司局域網(wǎng)升級改造項(xiàng)目為背景，研究如何根據(jù)公司的需求，進(jìn)行邏輯網(wǎng)絡(luò)設(shè)計(jì)、物理網(wǎng)絡(luò)設(shè)計(jì)及網(wǎng)絡(luò)安裝，實(shí)現(xiàn)了一個(gè)運(yùn)行良好的公司局域網(wǎng)，具有重要的實(shí)踐價(jià)值。[關(guān)鍵詞]：局域網(wǎng)；設(shè)計(jì)；實(shí)現(xiàn)

目錄緒論課題背景局域網(wǎng)的發(fā)展始于20世紀(jì)70年代，從20世紀(jì)90年代開始，網(wǎng)絡(luò)步入辦公應(yīng)用階段，公司局域網(wǎng)已經(jīng)歷近10年的發(fā)展。以太網(wǎng)自誕生的以來的20年間，其速率和距離不斷取得突飛猛進(jìn)的發(fā)展：10Mb/s以太網(wǎng)最終淘汰了16Mb/s的令牌環(huán)，100Mb/s的快速以太網(wǎng)也使得曾經(jīng)最快的光纖數(shù)字?jǐn)?shù)據(jù)接口（FDDI）變成了歷史。吉比特以太網(wǎng)和10Gb/s以太網(wǎng)的問世，使以太網(wǎng)的市場占有率進(jìn)一步得到提高，使得ATM在城域網(wǎng)和廣域網(wǎng)中的地位受到更加嚴(yán)峻的挑戰(zhàn)。10Gb/s以太網(wǎng)是IEEE802.3標(biāo)準(zhǔn)在速率和距離方面的自然演進(jìn)。隨著IEEE802.ae標(biāo)準(zhǔn)的發(fā)布，為以太網(wǎng)注入了新的活力，10吉比特以太網(wǎng)不但能滿足數(shù)據(jù)通信高性能的要求，而且還解決了以往以太網(wǎng)不能提供高質(zhì)量的多媒體應(yīng)用所需的QoS的問題，作用距離較傳統(tǒng)以太網(wǎng)也大大提高；并且性能優(yōu)良，傳輸容量大，安裝簡單；同時(shí)網(wǎng)絡(luò)管理功能簡單，減少了培訓(xùn)和管理的費(fèi)用，因此有著廣泛的應(yīng)用前景。本文致力于用已學(xué)過的局域網(wǎng)理論和技術(shù)對某公司（以下簡稱公司）的辦公局域網(wǎng)進(jìn)行研究，在此基礎(chǔ)上設(shè)計(jì)并升級公司現(xiàn)有的辦公局域網(wǎng)。公司是美國嘉吉公司和臺(tái)灣統(tǒng)一公司合資成立的一家外資獨(dú)資公司，主要從事大豆產(chǎn)品的加工和銷售業(yè)務(wù)?，F(xiàn)有局域網(wǎng)為2002年建成，在上面運(yùn)行有公司的各種應(yīng)用和業(yè)務(wù)軟件（如Oracle數(shù)據(jù)庫系統(tǒng)，用友ERPNC系統(tǒng)等）。隨著公司業(yè)務(wù)發(fā)展的需要，公司現(xiàn)有局域網(wǎng)提供的服務(wù)能力已顯得力不從心，升級勢在必行，公司擬對現(xiàn)有網(wǎng)絡(luò)進(jìn)行大規(guī)模的升級改造。本文就是以此項(xiàng)目為背景，重點(diǎn)從局域網(wǎng)的邏輯網(wǎng)絡(luò)設(shè)計(jì)（含網(wǎng)絡(luò)安全設(shè)計(jì)）、局域網(wǎng)的物理設(shè)計(jì)以及局域網(wǎng)安裝、測試和管理三個(gè)方面對公司局域網(wǎng)進(jìn)行深入的研究。課題意義公司局域網(wǎng)的發(fā)展和應(yīng)用水平，從基礎(chǔ)上決定著公司信息化建設(shè)進(jìn)程。特別是近幾年，我國公司局域網(wǎng)的建設(shè)和應(yīng)用大規(guī)模普及。各類各級企事業(yè)單位紛紛建設(shè)自己的局域網(wǎng)，公司局域網(wǎng)已經(jīng)成為公司資源共享、信息傳遞、公司協(xié)作以及與外界溝通的強(qiáng)有力工具。建設(shè)公司局域網(wǎng)并不是簡單的將網(wǎng)絡(luò)設(shè)備與計(jì)算機(jī)用網(wǎng)線連接起來，而是一個(gè)系統(tǒng)的工程，要確保公司局域網(wǎng)的建設(shè)達(dá)到高效、安全、實(shí)用和具有前瞻性原則，必須按照“方案設(shè)計(jì)，工程施工，構(gòu)建應(yīng)用平臺(tái)以及網(wǎng)絡(luò)配置與管理”這樣一條主線來進(jìn)行。在平時(shí)工作中，經(jīng)常遇到網(wǎng)絡(luò)故障，例如，某公司網(wǎng)絡(luò)剛從4M升級到8M，但升級后，上網(wǎng)更困難了，職工上網(wǎng)聊天玩游戲，甚至經(jīng)常開著BT下載東西，造成路由器經(jīng)?！八罊C(jī)”，網(wǎng)絡(luò)系統(tǒng)癱瘓，網(wǎng)管需要經(jīng)?！笆柰ā本W(wǎng)絡(luò)。除此以外，網(wǎng)管還得經(jīng)常性給Microsoft系統(tǒng)打補(bǔ)丁。于是，網(wǎng)管幾乎天天做著這種“低水平”的重復(fù)勞動(dòng)。又例如某個(gè)公司的計(jì)算機(jī)很多，僅辦公計(jì)算機(jī)就達(dá)300多臺(tái)，管理這么多計(jì)算機(jī)，僅僅靠一兩個(gè)人的力量根本不行。實(shí)際上，只要充分利用現(xiàn)有資源，使用專業(yè)網(wǎng)絡(luò)管理軟件與工具，就可以輕松管理公司局域網(wǎng)。本文將基礎(chǔ)理論、網(wǎng)絡(luò)技術(shù)，工程案例恰當(dāng)?shù)娜诤显谝黄?，試圖來回答這個(gè)問題：如何設(shè)計(jì)和管理好公司局域網(wǎng)。課題的主要工作本文的主要研究工作包括：第一，進(jìn)行需求分析，包括業(yè)務(wù)需求、應(yīng)用需求、以及網(wǎng)絡(luò)需求，現(xiàn)有網(wǎng)絡(luò)狀況，升級的具體需求分析。第二，設(shè)計(jì)網(wǎng)絡(luò)邏輯結(jié)構(gòu)，在邏輯網(wǎng)絡(luò)設(shè)計(jì)階段，利用前面獲得的需求分析結(jié)果和局域網(wǎng)中的通信規(guī)范來指導(dǎo)具體的網(wǎng)絡(luò)邏輯結(jié)構(gòu)設(shè)計(jì)，即選擇能實(shí)現(xiàn)網(wǎng)絡(luò)需求的相關(guān)網(wǎng)絡(luò)技術(shù)。第三，進(jìn)行網(wǎng)絡(luò)安全設(shè)計(jì)，根據(jù)需求提出相應(yīng)的網(wǎng)絡(luò)安全解決方案。第四，確定網(wǎng)絡(luò)物理結(jié)構(gòu)，這一階段是如何實(shí)現(xiàn)給定的邏輯網(wǎng)絡(luò)結(jié)構(gòu)，要確定具體的軟硬件、連接設(shè)備、布線和服務(wù)。第五，安裝測試和管理網(wǎng)絡(luò)，在安裝之前，所有的軟硬件必須準(zhǔn)備完畢，并對其進(jìn)行嚴(yán)格測試，網(wǎng)絡(luò)安裝完成后，接受用戶的反饋意見，進(jìn)行網(wǎng)絡(luò)的監(jiān)控和管理工作。局域網(wǎng)相關(guān)技術(shù)綜述局域網(wǎng)（LAN－LocalAreaNetwork）是將分散在有限地理范圍內(nèi)（如一棟大樓，一個(gè)部門）的多臺(tái)計(jì)算機(jī)通過傳輸媒體連接起來的通信網(wǎng)絡(luò)，通過功能完善的網(wǎng)絡(luò)軟件，實(shí)現(xiàn)計(jì)算機(jī)之間的相互通信和共享資源。美國電氣和電子工程協(xié)會(huì)（IEEE）于1980年2月成立局域網(wǎng)標(biāo)準(zhǔn)化委員會(huì)（簡稱802委員會(huì)）專門對局域網(wǎng)的標(biāo)準(zhǔn)進(jìn)行研究，并提出了LAN的定義。LAN是允許中等地域內(nèi)的眾多獨(dú)立設(shè)備通過中等速率的物理信道直接互連通信的數(shù)據(jù)通信系統(tǒng)[2]。充分了解和掌握現(xiàn)有局域網(wǎng)相關(guān)技術(shù)是設(shè)計(jì)和管理好局域網(wǎng)的重要提前和基礎(chǔ)。局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)中的計(jì)算機(jī)等設(shè)備要實(shí)現(xiàn)互聯(lián)，就需要以一定的結(jié)構(gòu)方式進(jìn)行連接，這種連接方式就叫做“拓?fù)浣Y(jié)構(gòu)”，通俗地講這些網(wǎng)絡(luò)設(shè)備如何連接在一起的。目前常見的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)主要有以下四大類：1.星型結(jié)構(gòu)這種結(jié)構(gòu)是目前在局域網(wǎng)中應(yīng)用得最為普遍的一種，在公司網(wǎng)絡(luò)中幾乎都是采用一方式。星型網(wǎng)絡(luò)幾乎是Ethernet（以太網(wǎng)）網(wǎng)絡(luò)專用，它是因網(wǎng)絡(luò)中的各工作站節(jié)點(diǎn)設(shè)備通過一個(gè)網(wǎng)絡(luò)集中設(shè)備（如集線器或者交換機(jī)）連接在一起，各節(jié)點(diǎn)呈星狀分布而得名。這類網(wǎng)絡(luò)目前用的最多的傳輸介質(zhì)是雙絞線，如常見的五類線、超五類雙絞線等。這種拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)的基本特點(diǎn)主要有如下幾點(diǎn)：（1）容易實(shí)現(xiàn)：它所采用的傳輸介質(zhì)一般都是采用通用的雙絞線，這種傳輸介質(zhì)相對來說比較便宜。這種拓?fù)浣Y(jié)構(gòu)主要應(yīng)用于IEEE802.2、IEEE802.3標(biāo)準(zhǔn)的以太局域網(wǎng)中；（2）節(jié)點(diǎn)擴(kuò)展、移動(dòng)方便：節(jié)點(diǎn)擴(kuò)展時(shí)只需要從集線器或交換機(jī)等集中設(shè)備中拉一條線即可，而要移動(dòng)一個(gè)節(jié)點(diǎn)只需要把相應(yīng)節(jié)點(diǎn)設(shè)備移到新節(jié)點(diǎn)即可，而不會(huì)像環(huán)型網(wǎng)絡(luò)那樣“牽其一而動(dòng)全局”；（3）維護(hù)容易:一個(gè)節(jié)點(diǎn)出現(xiàn)故障不會(huì)影響其它節(jié)點(diǎn)的連接，可任意拆走故障節(jié)點(diǎn)；（4）采用廣播信息傳送方式：任何一個(gè)節(jié)點(diǎn)發(fā)送信息在整個(gè)網(wǎng)中的節(jié)點(diǎn)都可以收到，這在網(wǎng)絡(luò)方面存在一定的隱患，但這在局域網(wǎng)中使用影響不大；（5）網(wǎng)絡(luò)傳輸數(shù)據(jù)快：這一點(diǎn)可以從目前最新的1000Mbps到10G以太網(wǎng)接入速度可以看出。2.環(huán)型結(jié)構(gòu)這種結(jié)構(gòu)的網(wǎng)絡(luò)形式主要應(yīng)用于令牌網(wǎng)中，在這種網(wǎng)絡(luò)結(jié)構(gòu)中各設(shè)備是直接通過電纜來串接的，最后形成一個(gè)閉環(huán)，整個(gè)網(wǎng)絡(luò)發(fā)送的信息就是在這個(gè)環(huán)中傳遞，通常把這類網(wǎng)絡(luò)稱之為“令牌環(huán)網(wǎng)”。實(shí)際上大多數(shù)情況下這種拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)不會(huì)是所有計(jì)算機(jī)真的要連接成物理上的環(huán)型，一般情況下，環(huán)的兩端是通過一個(gè)阻抗匹配器來實(shí)現(xiàn)環(huán)的封閉的，因?yàn)樵趯?shí)際組網(wǎng)過程中因地理位置的限制不方便真的做到環(huán)的兩端物理連接。這種拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)主要有如下幾個(gè)特點(diǎn)：（1）這種網(wǎng)絡(luò)結(jié)構(gòu)一般僅適用于IEEE802.5的令牌網(wǎng)（Tokenringnetwork），在這種網(wǎng)絡(luò)中，“令牌”是在環(huán)型連接中依次傳遞。所用的傳輸介質(zhì)一般是同軸電纜。（2）這種網(wǎng)絡(luò)實(shí)現(xiàn)也非常簡單，投資最小。（3）維護(hù)困難：從其網(wǎng)絡(luò)結(jié)構(gòu)可以看到，整個(gè)網(wǎng)絡(luò)各節(jié)點(diǎn)間是直接串聯(lián)，這樣任何一個(gè)節(jié)點(diǎn)出了故障都會(huì)造成整個(gè)網(wǎng)絡(luò)的中斷、癱瘓，維護(hù)起來非常不便。（4）擴(kuò)展性能差：也是因?yàn)樗沫h(huán)型結(jié)構(gòu)，決定了它的擴(kuò)展性能遠(yuǎn)不如星型結(jié)構(gòu)的好，如果要新添加或移動(dòng)節(jié)點(diǎn)，就必須中斷整個(gè)網(wǎng)絡(luò)，在環(huán)的兩端作好連接器才能連接。3.總線型結(jié)構(gòu)這種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中所有設(shè)備都直接與總線相連，它所采用的介質(zhì)一般也是同軸電纜（包括粗纜和細(xì)纜），不過現(xiàn)在也有采用光纜作為總線型傳輸介質(zhì)的。這種結(jié)構(gòu)具有以下幾個(gè)方面的特點(diǎn)：（1）組網(wǎng)費(fèi)用低：這樣的結(jié)構(gòu)根本不需要另外的互聯(lián)設(shè)備，是直接通過一條總線進(jìn)行連接，所以組網(wǎng)費(fèi)用較低；（2）這種網(wǎng)絡(luò)因?yàn)楦鞴?jié)點(diǎn)是共用總線帶寬的，所以在傳輸速度上會(huì)隨著接入網(wǎng)絡(luò)的用戶的增多而下降；（3）網(wǎng)絡(luò)用戶擴(kuò)展較靈活：需要擴(kuò)展用戶時(shí)只需要添加一個(gè)接線器即可，但所能連接的用戶數(shù)量有限；（4）維護(hù)較容易：單個(gè)節(jié)點(diǎn)失效不影響整個(gè)網(wǎng)絡(luò)的正常通信。但是如果總線一斷，則整個(gè)網(wǎng)絡(luò)或者相應(yīng)主干網(wǎng)段就斷了。（5）這種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的缺點(diǎn)是一次僅能一個(gè)端用戶發(fā)送數(shù)據(jù)，其它端用戶必須等待到獲得發(fā)送權(quán)。4.混合型拓?fù)浣Y(jié)構(gòu)這種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是由前面所講的星型結(jié)構(gòu)和總線型結(jié)構(gòu)的網(wǎng)絡(luò)結(jié)合在一起的網(wǎng)絡(luò)結(jié)構(gòu)，這樣的拓?fù)浣Y(jié)構(gòu)更能滿足較大網(wǎng)絡(luò)的拓展，解決星型網(wǎng)絡(luò)在傳輸距離上的局限，而同時(shí)又解決了總線型網(wǎng)絡(luò)在連接用戶數(shù)量的限制。這種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)同時(shí)兼顧了星型網(wǎng)與總線型網(wǎng)絡(luò)的優(yōu)點(diǎn)，在缺點(diǎn)方面得到了一定的彌補(bǔ)。局域網(wǎng)的信道訪問協(xié)議信道訪問協(xié)議的分類，按常用網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分類：（1）IEEE802.3:CSMA/CD。（2）IEEE802.4:TokenBus。（3）IEEE802.5:TokenRing。按使用通信線路的訪問方式分類：（1）爭用型。（2）定時(shí)型。這里主要介紹以太網(wǎng)中最常用的CSMA/CD訪問協(xié)議。CSMA/CD（CarrierSenseMultipleAccesswithCollisionDetection），即載波監(jiān)聽多路訪問/沖突檢測，是一種爭用型的介質(zhì)訪問控制協(xié)議。網(wǎng)中各節(jié)點(diǎn)都能獨(dú)立地決定數(shù)據(jù)幀的發(fā)送與接收。每個(gè)節(jié)點(diǎn)在發(fā)送數(shù)據(jù)幀之前。首先要進(jìn)行載波監(jiān)聽。只有介質(zhì)空閑時(shí)，才允許發(fā)送幀。這時(shí)，如果兩個(gè)以上的節(jié)點(diǎn)同時(shí)監(jiān)聽到介質(zhì)空閑并發(fā)送幀，則會(huì)產(chǎn)生沖突現(xiàn)象。每個(gè)節(jié)點(diǎn)必須有能力隨時(shí)檢測沖突是否發(fā)生，一旦發(fā)生沖突，則應(yīng)停止發(fā)送，然后隨機(jī)延時(shí)一段時(shí)間后，再重新爭用介質(zhì)，重發(fā)該幀，把檢查信道上有無數(shù)據(jù)信號傳輸稱為“載波監(jiān)聽”，而把同時(shí)有多個(gè)節(jié)點(diǎn)在監(jiān)聽信道是否空閑和發(fā)送數(shù)據(jù)，稱為“多路訪問”。代理服務(wù)器技術(shù)代理服務(wù)器英文全稱是ProxyServer，其功能就是代理網(wǎng)絡(luò)用戶去取得網(wǎng)絡(luò)信息。形象的說：它是網(wǎng)絡(luò)信息的中轉(zhuǎn)站。在一般情況下，使用網(wǎng)絡(luò)瀏覽器直接去連接其他Internet站點(diǎn)取得網(wǎng)絡(luò)信息時(shí)，是直接聯(lián)系到目的站點(diǎn)服務(wù)器，然后由目的站點(diǎn)服務(wù)器把信息傳送回來。代理服務(wù)器是介于瀏覽器和Web服務(wù)器之間的另一臺(tái)服務(wù)器，有了它之后，瀏覽器不是直接到Web服務(wù)器去取回網(wǎng)頁而是向代理服務(wù)器發(fā)出請求，信號會(huì)先送到代理服務(wù)器，由代理服務(wù)器來取回瀏覽器所需要的信息并傳送給你的瀏覽器。目前市場上的主流代理服務(wù)器產(chǎn)品為微軟公司的MicrosoftInternetSecurity&AccelerationServer(以下簡稱ISA)。ISA擁有國際權(quán)威機(jī)構(gòu)ICSA和中國公安部CNACL安全產(chǎn)品認(rèn)證的、集高級應(yīng)用層狀態(tài)過濾防火墻、虛擬專用網(wǎng)絡(luò)服務(wù)和高效Web緩存服務(wù)為一身的防火墻解決方案。它在保護(hù)公司網(wǎng)絡(luò)免受黑客入侵和惡意蠕蟲侵害、數(shù)據(jù)包過濾和狀態(tài)數(shù)據(jù)包檢測、應(yīng)用層過濾以及代理體系結(jié)構(gòu)等方面具有出色的功能。可以極大地提高網(wǎng)絡(luò)性能和安全性,保護(hù)現(xiàn)有公司內(nèi)部網(wǎng)絡(luò),同時(shí)利用ISA的代理服務(wù)器功能對內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)進(jìn)行控制,確保公司網(wǎng)絡(luò)不受攻擊,避免員工訪問不適當(dāng)?shù)木W(wǎng)站[3]。代理服務(wù)器的主要作用：（1）設(shè)置用戶驗(yàn)證和記賬功能，可按用戶進(jìn)行記賬，沒有登記的用戶無權(quán)通過代理服務(wù)器訪問Internet網(wǎng)。并對用戶的訪問時(shí)間、訪問地點(diǎn)、信息流量進(jìn)行統(tǒng)計(jì)。（2）對用戶進(jìn)行分級管理，設(shè)置不同用戶的訪問權(quán)限，對外界或內(nèi)部的Internet地址進(jìn)行過濾，設(shè)置不同的訪問權(quán)限。（3）增加緩沖器(Cache)，提高訪問速度，對經(jīng)常訪問的地址創(chuàng)建緩沖區(qū)，大大提高熱門站點(diǎn)的訪問效率。通常代理服務(wù)器都設(shè)置一個(gè)較大的硬盤緩沖區(qū)(可能高達(dá)幾個(gè)GB或更大)，當(dāng)有外界的信息通過時(shí)，同時(shí)也將其保存到緩沖區(qū)中，當(dāng)其他用戶再訪問相同的信息時(shí)，則直接由緩沖區(qū)中取出信息，傳給用戶，以提高訪問速度。（4）連接內(nèi)網(wǎng)與Internet，充當(dāng)防火墻(Firewall):因?yàn)樗袃?nèi)部網(wǎng)的用戶通過代理服務(wù)器訪問外界時(shí)，只映射為一個(gè)IP地址，所以外界不能直接訪問到內(nèi)部網(wǎng);同時(shí)可以設(shè)置IP地址過濾，限制內(nèi)部網(wǎng)對外部的訪問權(quán)限。（5）節(jié)省IP開銷:代理服務(wù)器允許使用大量的偽IP地址，節(jié)約網(wǎng)上資源，即用代理服務(wù)器可以減少對IP地址的需求，對于使用局域網(wǎng)方式接入Internet，如果為局域網(wǎng)(LAN)內(nèi)的每一個(gè)用戶都申請一個(gè)IP地址，其費(fèi)用可想而知。但使用代理服務(wù)器后，只需代理服務(wù)器上有一個(gè)合法的IP地址，LAN內(nèi)其他用戶可以使用10.*.*.*這樣的私有IP地址，這樣可以節(jié)約大量的IP，降低網(wǎng)絡(luò)的維護(hù)成本。公司局域網(wǎng)需求分析公司網(wǎng)絡(luò)現(xiàn)狀公司現(xiàn)有局域網(wǎng)是2002年建成投入使用。目前擁有8臺(tái)IBMxSeries335服務(wù)器，其中包含2臺(tái)windowsserver2003域控制器，1臺(tái)exchangeserver2003郵件服務(wù)器，1臺(tái)文件服務(wù)器，1臺(tái)oracle數(shù)據(jù)庫服務(wù)器，1臺(tái)ERPNC應(yīng)用服務(wù)器，1臺(tái)傳真服務(wù)器，1臺(tái)打印服務(wù)器。150臺(tái)客戶機(jī)，由多臺(tái)D-LinkDES-1024R交換機(jī)和一些8端口10兆小型集線器組成一個(gè)星形局域網(wǎng)。郵件服務(wù)器采用中國電信2M專線通過Cisco2610xm路由器和CiscoPIX501防火墻連接到Internet。員工上網(wǎng)均通過ADSL直接連接到internet。采用Symantec單機(jī)版殺毒軟件。主要應(yīng)用服務(wù)包括文件共享、文件打印、用友ERPNC系統(tǒng)、地磅系統(tǒng)、郵件收發(fā)等功能?，F(xiàn)有網(wǎng)絡(luò)存在問題：服務(wù)器響應(yīng)緩慢、垃圾郵件量多、員工上網(wǎng)沒有監(jiān)控、微軟補(bǔ)丁要手工更新、外出職員不能連接到公司網(wǎng)絡(luò)、沒有專業(yè)的網(wǎng)絡(luò)管理軟件等，以上因素嚴(yán)重影響了公司辦公效率和公司業(yè)務(wù)拓展。升級現(xiàn)有網(wǎng)絡(luò)勢在必行?，F(xiàn)有網(wǎng)絡(luò)拓?fù)鋱D如圖所示。圖表SEQ圖表\*ARABIC1現(xiàn)有網(wǎng)絡(luò)拓?fù)鋱D業(yè)務(wù)需求分析1.公司未來網(wǎng)絡(luò)擴(kuò)展需求公司現(xiàn)在擁有電腦15000臺(tái)，考慮到未來3到5年人員增長需求，預(yù)計(jì)還要增加電腦約15000臺(tái)，即總共約30000個(gè)客戶端網(wǎng)絡(luò)節(jié)點(diǎn)的中型局域網(wǎng)規(guī)模。2.網(wǎng)絡(luò)可靠性和可用性需求在網(wǎng)絡(luò)可靠性方面，公司的地磅系統(tǒng)、ERP系統(tǒng)、郵件系統(tǒng)、文件和打印服務(wù)器以及Internet訪問可以接受一小時(shí)以內(nèi)的連接中斷，但每季度不得超過1次以上。3.網(wǎng)絡(luò)安全性方面需求在收集需求分析時(shí)，大家反映最多的還是對網(wǎng)絡(luò)安全的需要?？偨Y(jié)起來有以下幾點(diǎn):一是要有職員上網(wǎng)的監(jiān)控記錄，包括上網(wǎng)時(shí)間、訪問了什么網(wǎng)站，并保存上網(wǎng)記錄3個(gè)月以上。二是保護(hù)公司各種服務(wù)器安全，包服務(wù)器安全訪問、服務(wù)器防毒。三是客戶機(jī)要俱備防病毒和防間諜軟件功能。四是公司數(shù)據(jù)和數(shù)據(jù)庫的安全，包括數(shù)據(jù)存貯、數(shù)據(jù)備份等。五是對職員的郵件發(fā)送和接收要有監(jiān)控記錄，并保存3個(gè)月以上的記錄。4.遠(yuǎn)程訪問需求對于公司管理層和有遠(yuǎn)程辦公需求的用戶，要求在家中能訪問公司局域網(wǎng)中的文件服務(wù)器和郵件服務(wù)器，并確保遠(yuǎn)程數(shù)據(jù)傳輸?shù)陌踩?。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)需求分析根據(jù)公司的各棟辦公大樓的布局和網(wǎng)絡(luò)管理的需求，為公司網(wǎng)絡(luò)設(shè)計(jì)和選擇適當(dāng)?shù)耐負(fù)浣Y(jié)構(gòu)。當(dāng)前局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)主要有總線型拓?fù)浣Y(jié)構(gòu)、環(huán)狀拓?fù)浣Y(jié)構(gòu)、星形拓?fù)浣Y(jié)構(gòu)和混合性拓?fù)浣Y(jié)構(gòu)，其中星形拓?fù)浣Y(jié)構(gòu)在公司網(wǎng)的設(shè)計(jì)中被廣泛采用。星形拓?fù)浣Y(jié)構(gòu)以一臺(tái)中心處理機(jī)（通信設(shè)備）為主而構(gòu)成的網(wǎng)絡(luò)，其它入網(wǎng)機(jī)器僅與該中心處理機(jī)之間有直接的物理鏈路，中心處理機(jī)采用分時(shí)或輪詢的方法為入網(wǎng)機(jī)器服務(wù)，所有的數(shù)據(jù)必須經(jīng)過中心處理機(jī)。星型拓?fù)浣Y(jié)構(gòu)的每個(gè)結(jié)點(diǎn)都由一條單獨(dú)的通信線路與中心結(jié)點(diǎn)連結(jié)，它的優(yōu)點(diǎn)是：結(jié)構(gòu)簡單、容易實(shí)現(xiàn)、便于管理，連接點(diǎn)的故障容易監(jiān)測和排除，缺點(diǎn)是：中心結(jié)點(diǎn)是全網(wǎng)絡(luò)的可靠瓶頸，中心結(jié)點(diǎn)出現(xiàn)故障會(huì)導(dǎo)致網(wǎng)絡(luò)的癱瘓，因此，選擇高性能、高可靠的中心節(jié)點(diǎn)交換機(jī)至關(guān)重要[9]。安全性需求分析網(wǎng)絡(luò)安全包括對物理設(shè)備的規(guī)劃和對過程的操作來保護(hù)網(wǎng)絡(luò)和系統(tǒng)的完整性、可訪問性以及可靠性。現(xiàn)代的網(wǎng)絡(luò)安全性是把基本的安全概念運(yùn)用到分布式網(wǎng)絡(luò)環(huán)境中。網(wǎng)絡(luò)安全性的目標(biāo)是對資源進(jìn)行保護(hù)，但目前還沒有徹底完備的解決方案。每個(gè)安全的網(wǎng)絡(luò)應(yīng)該具有以下3種屬性：一是保密性，指數(shù)據(jù)保密性好，例如對數(shù)據(jù)進(jìn)行加密傳輸。二是完整性，未經(jīng)授權(quán)不得修改數(shù)據(jù)?？煽啃?，數(shù)據(jù)或信息的來源真實(shí)可靠[10,30]。對于公司來說，具體要達(dá)到以下安全標(biāo)準(zhǔn)。1.公司文件服務(wù)器的安全：公司的所有文件都存放在文件服務(wù)器上，因此確保文件服務(wù)器不被內(nèi)部和外部用戶非法訪問是十分重要的。二是確保文件服務(wù)器不會(huì)受到病毒的攻擊。另外，要制定詳細(xì)的備份計(jì)劃，一旦數(shù)據(jù)出現(xiàn)誤刪除或丟失情況，能夠及時(shí)恢復(fù)。2.Internet訪問安全：確保公司員工上網(wǎng)安全，并對上網(wǎng)行為進(jìn)行監(jiān)控，禁用QQ、MSN等即時(shí)通訊和聊天工具，禁止從因特網(wǎng)上下載軟件或文件。另，最好上網(wǎng)時(shí)能實(shí)現(xiàn)流量分配功能，確保公司的高管理人員上網(wǎng)不受影響。3.郵件服務(wù)器安全：確保郵件服務(wù)器不會(huì)成為垃圾郵件的中轉(zhuǎn)站，有專業(yè)的防垃圾郵件系統(tǒng)或軟件。4.遠(yuǎn)程訪問：移動(dòng)用戶在公司外部訪問公司內(nèi)部文件服務(wù)器和郵件服務(wù)器時(shí)能實(shí)現(xiàn)安全可靠的連接。5.整個(gè)局域網(wǎng)安全性：局域網(wǎng)與外部隔離良好，不會(huì)受到病毒和木馬攻擊而引起網(wǎng)絡(luò)中斷，從而影響業(yè)務(wù)。確保服務(wù)器不會(huì)受到來自內(nèi)部和外部用戶的攻擊和入侵。公司網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)拓?fù)浼軜?gòu)設(shè)計(jì)由于本網(wǎng)絡(luò)規(guī)模為中小型網(wǎng)絡(luò)，因此采用二層的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，即分為接入層和核心層，省略中間的匯聚層。保留現(xiàn)有公司局域網(wǎng)的星形拓?fù)浣Y(jié)構(gòu)，更換核心層交換機(jī)，原核心層交換機(jī)用作接入層交換機(jī)。具體為：采購1臺(tái)性能優(yōu)良的千兆交換機(jī)替換原來的D-LinkDES-1024R核心交換機(jī)，這樣服務(wù)器到核心交換機(jī)的傳輸速度可達(dá)1Gb/s。移除原來的8端口10兆小型集線器,保留原來的6臺(tái)D-LinkDES-1024R交換機(jī)，再增加百兆桌面級48端口和24端口交換機(jī)各1臺(tái)，這樣客戶機(jī)到桌面交換機(jī)的傳輸速度全部可達(dá)100Mb/s，并提供總計(jì)204個(gè)百兆網(wǎng)絡(luò)接口，完全滿足公司未來5年總計(jì)約200個(gè)網(wǎng)絡(luò)接口的需求。加上后面服務(wù)器設(shè)計(jì)方案、數(shù)據(jù)備份設(shè)計(jì)方案、網(wǎng)絡(luò)管理及安全設(shè)計(jì)方案，升級后的網(wǎng)絡(luò)邏輯拓?fù)浣Y(jié)構(gòu)如圖所示。圖表SEQ圖表\*ARABIC2網(wǎng)絡(luò)邏輯拓?fù)浣Y(jié)構(gòu)整個(gè)網(wǎng)絡(luò)在技術(shù)上定位為千兆以太網(wǎng)主干網(wǎng)絡(luò)，以光纖和雙絞線為主要傳輸介質(zhì)，因而對網(wǎng)絡(luò)協(xié)議透明，故可以配置成以IP協(xié)議為主的高速IP網(wǎng)絡(luò)。接入互聯(lián)網(wǎng)設(shè)計(jì)將原來的2MDDN專線升級到4M。之前公司Internet接入方式有兩種，一是中國電信提供的速度為2M的DDN專線，通過Cisco2610xm路由器和CiscoPIX501防火墻連接到局域網(wǎng)，為郵件服務(wù)器專用。費(fèi)用為每月8000元，線路和設(shè)備都由電信部門維護(hù)。二是ADSL接入，用于公司用戶訪問因特網(wǎng)，費(fèi)用為每月600元。由于與中國電信合作良好，專線使用時(shí)間已達(dá)7年，經(jīng)與中國電信協(xié)商，他們決定免費(fèi)給公司DDN專線升級到4M帶寬，并取消ADSL線路。郵件服務(wù)器與訪問Internet共用4M專線帶寬接入方式。布線設(shè)計(jì)布線類型選擇不合理會(huì)導(dǎo)致網(wǎng)絡(luò)傳輸速度偏低和傳輸帶寬不足，不能很好滿足校園業(yè)務(wù)需求的數(shù)據(jù)量傳輸，形成無法克服的物理層瓶頸；信息點(diǎn)設(shè)置不足導(dǎo)致作為學(xué)校重要業(yè)務(wù)數(shù)據(jù)不能及時(shí)或?qū)崟r(shí)記錄和保存；網(wǎng)絡(luò)故障率高網(wǎng)絡(luò)硬件維護(hù)人員疲于奔命。以交換式千兆以太網(wǎng)作為學(xué)校的主干網(wǎng)，按10M/100M交換式子網(wǎng)方式接入。校園網(wǎng)布線設(shè)計(jì)一般采用多級物理星型結(jié)構(gòu)、點(diǎn)到點(diǎn)連接，任何一條線路故障均不影響其他線路的正常運(yùn)行。網(wǎng)絡(luò)采用分散式三層交換體系，二級交換機(jī)具有第三級交換能力，主干線路壓力小，而且全部實(shí)現(xiàn)百兆交換入室。三級交換機(jī)可以堆疊，能將一個(gè)主干和桌面交換機(jī)組成一個(gè)整體，提供足夠的交換口，可擴(kuò)展性好。主干網(wǎng)選用千兆以太網(wǎng)，其第三層以太網(wǎng)路由器交換機(jī)大都滿足IEEE802.3Z標(biāo)準(zhǔn)，技術(shù)成熟，具有流量優(yōu)先機(jī)制能有效保證多媒體傳輸時(shí)的QoS(QualityofService服務(wù)質(zhì)量)。考慮到在目前通信條件的成熟和對性能要求的提高，可以采用快速以太網(wǎng)技術(shù)，網(wǎng)絡(luò)的主干建議采用華為中心三層交換機(jī)連接，思科交換機(jī)也提供多個(gè)多模光纖端口及多個(gè)10/100/1000MUTP端口，這樣也就是為以后的擴(kuò)展做了容余。千兆以太網(wǎng)具有良好的兼容性和可擴(kuò)展性，在ATM技術(shù)成熟時(shí)，可平滑集成到ATM網(wǎng)絡(luò)中，作為ATM網(wǎng)的邊緣子網(wǎng)。工作組子網(wǎng)可選用100M交換模式。使用戶終端獨(dú)占100M帶寬的數(shù)據(jù)交換。在核心交換機(jī)與工作組交換機(jī)之間，采用100Mbps傳輸帶寬，當(dāng)使用全雙工時(shí)，傳輸帶寬為200Mbps。綜合布線系統(tǒng)可劃分為（如圖1.2）：工作區(qū)子系統(tǒng)；水平布線子系統(tǒng)；垂直干線子系統(tǒng)；管理子系統(tǒng)；設(shè)備子系統(tǒng)整個(gè)系統(tǒng)綜合采用統(tǒng)一標(biāo)準(zhǔn)的配線組和模塊化結(jié)構(gòu)統(tǒng)一布線、一次完成。它的每一個(gè)子系統(tǒng)都是一個(gè)相互獨(dú)立的單元組，改變?nèi)魏我粋€(gè)子系統(tǒng)、不影響其他子系統(tǒng)的正常運(yùn)作。圖表SEQ圖表\*ARABIC3布線系統(tǒng)總體結(jié)構(gòu)綜合布線系統(tǒng)要求能支持語音、靜態(tài)或動(dòng)態(tài)圖像及多種計(jì)算機(jī)數(shù)據(jù)系統(tǒng)。綜合布線系統(tǒng)要求滿足以下性能：支持10BASE—T(10M以太網(wǎng))和100BASE-T、100BAESE-F(100M高速以太網(wǎng))支持1000BASE—SX；1000BASE-LX千兆以太網(wǎng)支持ISO88025(令牌環(huán)網(wǎng))支持FDDl和CDDl(100MHz)支持155M及622MATM網(wǎng)公司需要布線的地方有兩棟樓，分別為行政辦公大樓和生產(chǎn)辦大樓。電腦主機(jī)房設(shè)在行政辦公大樓一樓，生產(chǎn)辦公大樓與行政辦公大樓相距800米。其原來的布線系統(tǒng)設(shè)計(jì)為：行政辦公大樓90個(gè)節(jié)點(diǎn)，一樓和二樓各45個(gè)。生產(chǎn)辦公大樓45個(gè)節(jié)點(diǎn)，分布在二樓。所有節(jié)點(diǎn)均同時(shí)設(shè)有三個(gè)接口：一個(gè)網(wǎng)絡(luò)接口、一個(gè)電話接口和一個(gè)電源接口。每個(gè)樓層設(shè)立一個(gè)機(jī)柜，配置了兩臺(tái)D-Link1024R交換機(jī)，提供了45個(gè)10/100Mb網(wǎng)絡(luò)接口，當(dāng)每個(gè)樓層網(wǎng)絡(luò)接口實(shí)際使用量超過45個(gè)時(shí)，加接了8端口10M小型集線器。每個(gè)樓層布線均采用標(biāo)準(zhǔn)的結(jié)構(gòu)化布線方法：從電腦主機(jī)室配線架上鋪設(shè)2條線纜（一條備用）到樓層的配線柜，再從配線柜直接鋪設(shè)線路到節(jié)點(diǎn)上。生產(chǎn)辦公大樓與行政辦公大樓采用光纖連接（走地下鐵槽管道），兩端分別使用D-Link的光電轉(zhuǎn)換器連接到D-Link交換機(jī)上。在此次升級方案中，作以下變動(dòng)：第一，新增加的50個(gè)節(jié)點(diǎn)全部放置在行政辦公大樓三樓，直接按結(jié)構(gòu)化布線方法布線即可。第二，去掉之前所有使用的10M小型集線器，以保證每個(gè)樓層的節(jié)點(diǎn)都能使用100M的網(wǎng)絡(luò)接口。在行政辦公大樓三樓放置新采購的D-Link1024R以及D-Link1048交換機(jī)各1臺(tái)。行政辦公大樓第三層的布線工作和電腦主機(jī)室的裝修，已與一個(gè)網(wǎng)絡(luò)系統(tǒng)集成公司談好，由該公司負(fù)責(zé)施工。說明：每臺(tái)服務(wù)器都是用1000M以太網(wǎng)卡和超5類非屏蔽雙絞線連接到電腦主機(jī)室的接線板上。每臺(tái)工作站都是用100M以太網(wǎng)卡和超5類非屏蔽雙絞線連接到桌面交換機(jī)，桌面交換機(jī)用超5類非屏蔽雙絞線通過配線柜和墻上插座連接到電腦主機(jī)室。完成后網(wǎng)絡(luò)物理拓樸圖如圖所示。圖表SEQ圖表\*ARABIC4網(wǎng)絡(luò)物理拓樸圖安全設(shè)計(jì)網(wǎng)絡(luò)物理安全設(shè)計(jì)網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。根據(jù)公司實(shí)際情況，綜合考慮成本、安全、可靠等各方面因素，在網(wǎng)絡(luò)的物理安全設(shè)計(jì)方面，提出了以下方案：第一，服務(wù)器后備供電問題，為了防止服務(wù)器市電供電突然中斷可能引起的硬件損壞和軟件系統(tǒng)故障以及在正常情況下給服務(wù)器提供穩(wěn)定安全的供電，給服務(wù)器配置UPS是最好的選擇，基于成本的考慮，保留了在原網(wǎng)絡(luò)系統(tǒng)中一臺(tái)服務(wù)器單獨(dú)配置一臺(tái)1000W小型UPS的設(shè)計(jì)原則，但對于新采購的三臺(tái)新的IBM服務(wù)器，采用了一套中型6000W的山特城堡機(jī)架式C6KRSUPS一起供電。山特城堡（Castle）系列機(jī)架式（Rack）UPS，是純在線式（online）UPS，與在線互動(dòng)式或后備式UPS相比，在線式UPS能夠?yàn)樨?fù)載提供最佳的電源環(huán)境，無論從穩(wěn)壓輸出范圍、頻率范圍、輸入雜訊的濾除，乃至市電模式與電池模式零轉(zhuǎn)換時(shí)間等方面考慮，RackUPS是最佳的UPS結(jié)構(gòu)。因此，此系列特別針對關(guān)鍵設(shè)備，如通訊系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，或是對電力環(huán)境要求苛刻的設(shè)備提供更加靈活、可靠的電源保護(hù)。選用了8塊Panasonic松下電池，后備供電時(shí)間達(dá)96分鐘。第二，電腦主機(jī)室設(shè)計(jì)，之前的機(jī)房除了加裝空調(diào)設(shè)備外，沒有作防火、防雷等其他方面的考慮。在本次升級方案中，決定對電腦主機(jī)室按照《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》C級要求進(jìn)行重新裝修和設(shè)計(jì)，增加防火、防雷系統(tǒng)，并安裝了門禁系統(tǒng)，對出入機(jī)房進(jìn)行嚴(yán)格的管理和記錄。第三，結(jié)構(gòu)化布線方面，全部采用結(jié)構(gòu)化布線系統(tǒng)，數(shù)據(jù)線（網(wǎng)線與電話線）和電線分開不同的管道鋪設(shè)，網(wǎng)絡(luò)節(jié)點(diǎn)全部采用鐵盒安裝在地板上，不使用時(shí)可以關(guān)上鐵盒，不影響地面使用。網(wǎng)絡(luò)結(jié)構(gòu)安全設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。例如在內(nèi)部網(wǎng)和外部互聯(lián)網(wǎng)絡(luò)進(jìn)行通信時(shí)，內(nèi)部網(wǎng)絡(luò)的機(jī)器安全就會(huì)受到威脅，同時(shí)也影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)，因此如何很好的隔離內(nèi)網(wǎng)與互聯(lián)網(wǎng)是網(wǎng)絡(luò)結(jié)構(gòu)安全設(shè)計(jì)的主要考慮。在前面的邏輯設(shè)計(jì)中提到，公司內(nèi)網(wǎng)與互聯(lián)網(wǎng)絡(luò)的連接是通過中國電信的DDN4M專線來實(shí)現(xiàn)的。如何安全可靠的隔離它們呢，在本次升級方案中，采用了兩種方案。第一，完善原來的Cisco路由器和防火墻組成的第一道隔離帶，加強(qiáng)路由器和防火墻的配置，盡量將不安全的因素阻擊在第一道隔離帶。第二，除了第一種方案的所采用的硬件措施外，考慮引入一種代理軟件部署成代理服務(wù)器，在內(nèi)網(wǎng)與互聯(lián)網(wǎng)絡(luò)之間形成堅(jiān)實(shí)的第二道隔離帶。目前，代理服務(wù)器能實(shí)現(xiàn)的主要功能有：(1)設(shè)置用戶驗(yàn)證和記賬功能，可按用戶進(jìn)行記賬，沒有登記的用戶無權(quán)通過代理服務(wù)器訪問Internet網(wǎng)。并對用戶的訪問時(shí)間、訪問地點(diǎn)、信息流量進(jìn)行統(tǒng)計(jì)。(2)對用戶進(jìn)行分級管理，設(shè)置不同用戶的訪問權(quán)限，對外界或內(nèi)部的Internet地址進(jìn)行過濾，設(shè)置不同的訪問權(quán)限。(3)增加緩沖器(Cache)，提高訪問速度，對經(jīng)常訪問的地址創(chuàng)建緩沖區(qū)，大大提高熱門站點(diǎn)的訪問效率。通常代理服務(wù)器都設(shè)置一個(gè)較大的硬盤緩沖區(qū)(可能高達(dá)幾個(gè)GB或更大)，當(dāng)有外界的信息通過時(shí)，同時(shí)也將其保存到緩沖區(qū)中，當(dāng)其他用戶再訪問相同的信息時(shí)，則直接由緩沖區(qū)中取出信息，傳給用戶，以提高訪問速度。(4)連接內(nèi)網(wǎng)與Internet，充當(dāng)防火墻(Firewall)：因?yàn)樗袃?nèi)部網(wǎng)的用戶通過代理服務(wù)器訪問外界時(shí)，只映射為一個(gè)IP地址，所以外界不能直接訪問到內(nèi)部網(wǎng);同時(shí)可以設(shè)置IP地址過濾，限制內(nèi)部網(wǎng)對外部的訪問權(quán)限。(5)節(jié)省IP開銷：代理服務(wù)器允許使用大量的偽IP地址，節(jié)約網(wǎng)上資源，即用代理服務(wù)器可以減少對IP地址的需求，對于使用局域網(wǎng)方式接入Internet，如果為局域網(wǎng)(LAN)內(nèi)的每一個(gè)用戶都申請一個(gè)IP地址，其費(fèi)用可想而知。但使用代理服務(wù)器后，只需代理服務(wù)器上有一個(gè)合法的IP地址，LAN內(nèi)其他用戶可以使用10.*.*.*這樣的私有IP地址，這樣可以節(jié)約大量的IP，降低網(wǎng)絡(luò)的維護(hù)成本?？梢姴捎么矸?wù)器的好處多多，而在前面公司需求分析中所提出加強(qiáng)員工上網(wǎng)管理功能、很好的隔離內(nèi)網(wǎng)與外網(wǎng)、發(fā)布公司的郵件服務(wù)器以及實(shí)現(xiàn)用戶遠(yuǎn)程連接公司服務(wù)器等需求，均可通過代理服務(wù)器實(shí)現(xiàn)，因此引入代理服務(wù)器是十分必要的。網(wǎng)絡(luò)管理安全設(shè)計(jì)管理是網(wǎng)絡(luò)安全中非常重要的部分。對整個(gè)網(wǎng)絡(luò)和公司用戶來講，就是要建立可操作性的、健全的網(wǎng)絡(luò)管理制度。對網(wǎng)絡(luò)管理員來說，有一套功能強(qiáng)大的、專業(yè)的網(wǎng)絡(luò)管理軟件會(huì)對網(wǎng)絡(luò)的管理起到事半功倍的作用：當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），能進(jìn)行實(shí)時(shí)的檢測、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，也能提供黑客攻擊行為的追蹤線索及破案依據(jù)，對網(wǎng)絡(luò)能做到可控性與可審查性。因此，對于網(wǎng)絡(luò)管理的設(shè)計(jì)，最可行的做法是建立健全的網(wǎng)絡(luò)管理制度和使用專業(yè)的網(wǎng)絡(luò)管理軟件相結(jié)合，以此保障網(wǎng)絡(luò)的安全運(yùn)行，使公司的局域網(wǎng)成為一個(gè)具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)系統(tǒng)。首先，對于建立網(wǎng)絡(luò)管理制度，由于這方面也涉及行政管理方面，因此，它的推行必須得到公司高層管理人員和各部門經(jīng)理的配合和支持。具體的網(wǎng)絡(luò)管理制度內(nèi)容由IT部門組織編寫，經(jīng)公司總經(jīng)理批準(zhǔn)后實(shí)行?？偟镁帉懺瓌t是：第一，網(wǎng)絡(luò)管理不但要做到“攘外”——防止外部黑客以及病毒的侵襲，還要做到“安內(nèi)”——管理好公司內(nèi)部人員的越權(quán)操作，所謂是“無規(guī)矩不成方圓”，在編寫是要嚴(yán)格把握這個(gè)建立網(wǎng)絡(luò)管理制度的目的。第二，要明確規(guī)定IT經(jīng)理、網(wǎng)絡(luò)管理員和電腦操作用戶的職責(zé)。第三，要有明確的網(wǎng)絡(luò)安全管理制度、網(wǎng)絡(luò)帳號管理制度、電腦操作用戶上崗培訓(xùn)制度和病毒防治管理制度。第四，對于備份后的磁帶最好異地保存在保險(xiǎn)柜里，而不是就地放在電腦主機(jī)室中。其次，對于選用什么樣的網(wǎng)絡(luò)管理軟件，在前面的邏輯設(shè)計(jì)章節(jié)中有詳細(xì)的闡述，總之，通過比較和試用，最終選擇了廣州市溢信科技有限公司的IP-guard網(wǎng)絡(luò)管理軟件。IP-guard基本系統(tǒng)由三個(gè)模塊組成，客戶端模塊、服務(wù)器模塊和控制臺(tái)模塊，用戶可根據(jù)管理的需要將它們安裝在網(wǎng)絡(luò)中的計(jì)算機(jī)上?？蛻舳四K用于收集數(shù)據(jù)和執(zhí)行系統(tǒng)管理策略，安裝在每臺(tái)需要被管理的計(jì)算機(jī)上；服務(wù)器模塊用于存儲(chǔ)系統(tǒng)數(shù)據(jù)和管理規(guī)則策略，一般安裝在性能較高、存儲(chǔ)容量較大的計(jì)算機(jī)上；控制臺(tái)模塊用于查看系統(tǒng)數(shù)據(jù)、設(shè)定管理策略和進(jìn)行實(shí)時(shí)維護(hù)，一般安裝在公司相關(guān)管理人員的計(jì)算機(jī)上，也可以和服務(wù)器模塊安裝在同一臺(tái)計(jì)算機(jī)上。IP-guard基于TCP/IP協(xié)議的網(wǎng)絡(luò)架構(gòu)，可以靈活地從本地網(wǎng)絡(luò)擴(kuò)展到遠(yuǎn)程網(wǎng)絡(luò)和異地網(wǎng)絡(luò)。服務(wù)器通過虛擬專用網(wǎng)（VPN）或互聯(lián)網(wǎng)連接遠(yuǎn)程的計(jì)算機(jī)，實(shí)現(xiàn)對大規(guī)模復(fù)雜網(wǎng)絡(luò)的集中管理?？刂婆_(tái)也可以通過互聯(lián)網(wǎng)連接異地的服務(wù)器，實(shí)現(xiàn)對分支機(jī)構(gòu)的遠(yuǎn)程監(jiān)控。服務(wù)器模塊基本功能：管理所有客戶端計(jì)算機(jī)，并向其傳遞相關(guān)的規(guī)則和指令。收集客戶端采集的數(shù)據(jù)并保存。提供方便靈活的記錄管理、查看、歸檔、搜索等功能?？刂婆_(tái)模塊基本功能：查看和審計(jì)客戶端的數(shù)據(jù)。數(shù)據(jù)統(tǒng)計(jì)，分析和導(dǎo)出。對客戶端計(jì)算機(jī)實(shí)時(shí)監(jiān)控和系統(tǒng)維護(hù)。設(shè)置監(jiān)控規(guī)則和管理策略。客戶端模塊基本功能：執(zhí)行系統(tǒng)設(shè)定的各種管理策略。采集客戶端運(yùn)行的各項(xiàng)數(shù)據(jù)。定時(shí)將采集的數(shù)據(jù)傳送到服務(wù)器。根據(jù)控制臺(tái)發(fā)出的指令進(jìn)行監(jiān)控操作[18]。公司局域網(wǎng)的實(shí)現(xiàn)設(shè)備選型一、核心層交換機(jī)核心層配置設(shè)備承擔(dān)的任務(wù)主要是全校園網(wǎng)間信息的交流、分發(fā)與管理，應(yīng)具備強(qiáng)大的二層和三層交換能力，保證不會(huì)發(fā)生信息擁塞，應(yīng)該具有強(qiáng)大的背板吞吐能力和安全防護(hù)能力，保證不會(huì)因?yàn)閱吸c(diǎn)故障而影響整個(gè)系統(tǒng)的正常運(yùn)行；有效的故障恢復(fù)能力，保證任何一種單點(diǎn)故障都能在短時(shí)間內(nèi)迅速予以恢復(fù)。因此本方案采用由2臺(tái)高性能的具有多層交換能力的思科Catalyst4507R交換機(jī)構(gòu)成核心交換層，采用開放最短路經(jīng)優(yōu)先（OSPF）動(dòng)態(tài)路由協(xié)議，保證了網(wǎng)絡(luò)的健壯性，并配置雙引擎、雙電源實(shí)現(xiàn)高可靠性，交換機(jī)內(nèi)存升級到512M實(shí)現(xiàn)高速數(shù)據(jù)交換。二、匯聚層交換機(jī)匯聚層是接入層和核心層的“中介”，在工作站接入核心層前先做匯聚，以減輕核心層設(shè)備的負(fù)荷。匯聚層交換機(jī)必須能夠處理來自接入層設(shè)備的所有通信量，并提供到核心層的上行鏈路，因此與接入層交換機(jī)比較，匯聚層交換機(jī)需要更高的性能，更少的接口和更高的交換速率，設(shè)計(jì)時(shí)也要充分考慮分布層與核心層有冗余的鏈路?？紤]到實(shí)際需求，分布層用1000M光纖、1000M多模光纖鏈路分別連接到核心交換機(jī)和接入層交換機(jī)上來提高匯聚層到核心層的交換性能和鏈路的健壯性。交換機(jī)采用思科3560系列，WS-C3560-48TS-S。三、接入層接入層的主要功能是為最終用戶提供對企業(yè)網(wǎng)絡(luò)訪問的途徑，直接與桌面計(jì)算機(jī)接入。實(shí)現(xiàn)VLAN劃分與安全控制。其設(shè)備采用背板帶寬為32Gbps的CiscoCatalyst2960系列智能以太網(wǎng)交換機(jī)，它是一個(gè)全新的、固定配置的獨(dú)立設(shè)備系列，提供桌面快速以太網(wǎng)和10/100/1000千兆以太網(wǎng)連接，四、核心路由器 路由器為關(guān)鍵任務(wù)應(yīng)用提供可伸縮性，它們是獲得網(wǎng)絡(luò)層服務(wù)好處的關(guān)鍵，包括安全、服務(wù)質(zhì)量和流量管理。路由器也集成了路由、交換、安全防火墻等功能于一體，針對于企業(yè)的需求特點(diǎn)，擬采用Cisco7206VXR。Cisco7206VXR高性能多功能路由器是Cisco7206路由器的一個(gè)增強(qiáng)版。Cisco7206VXR系統(tǒng)集成了多服務(wù)互換(MIX)功能，提供支持未來數(shù)字語音端口適配器的集成化多服務(wù)擴(kuò)展。硬件安裝硬件安裝工作比較順利。布線系統(tǒng)由專業(yè)的網(wǎng)絡(luò)集成供應(yīng)商負(fù)責(zé)安裝，由于主要的工作在新開僻的行政大樓三樓和電腦主機(jī)室進(jìn)行，不會(huì)影響到現(xiàn)有網(wǎng)絡(luò)的運(yùn)行，布線工作在一個(gè)星期內(nèi)就順利完成。接下來就是在電腦主機(jī)室安裝服務(wù)器、磁帶機(jī)、磁盤柜和垃圾郵件防火墻設(shè)備，連接好網(wǎng)絡(luò)跳線到集線架。最后，利用周末時(shí)間，根據(jù)設(shè)計(jì)要求，把所有的交換機(jī)進(jìn)行了調(diào)配和安裝。整個(gè)硬件安裝工作基本在半個(gè)月內(nèi)完成了。軟件系統(tǒng)安裝和配置第一：VMware虛擬服務(wù)器軟件安裝和配置在邏輯設(shè)計(jì)中，選擇了VMwareInfrastructure套件作為服務(wù)器虛擬化平臺(tái)，VMwareESXServer安裝在新采購的兩臺(tái)IBMx3650服務(wù)器上，在這兩臺(tái)服務(wù)器上不需要安裝任何操作系統(tǒng)，VMwareESXServer安裝光盤具有引導(dǎo)功能。VIClient安裝在網(wǎng)絡(luò)管理員的PC上。新采購的另一臺(tái)IBMx3250M2服務(wù)器作為虛擬中心控制服務(wù)器，先安裝好windowsserver2003操作系統(tǒng)，再在上面安裝VirtualCenterServer和ConsolidatedBackup。這樣整個(gè)VMwareInfrastructure軟件就算安裝完成了，現(xiàn)在就可以通過VirtualCenterServer來建立和管理虛擬服務(wù)器了[25]。保證服務(wù)器的可用性和可靠性是本次網(wǎng)絡(luò)升級項(xiàng)目中的重點(diǎn)，這里詳細(xì)說明如何配置虛擬服務(wù)器的群集功能。第一步：啟動(dòng)新建群集向?qū)В∪肴杭Q，選中HA（當(dāng)源主機(jī)發(fā)生故障時(shí)，將在另一個(gè)主機(jī)上重新開始運(yùn)行虛擬機(jī)）或DRS（自動(dòng)放置和遷移虛擬主機(jī)），或都選。如圖所示。圖表SEQ圖表\*ARABIC5新建群集向?qū)D第二步：選擇自動(dòng)化級別。第三步：選擇HA選項(xiàng)，主機(jī)故障：指定要保證故障切換的主機(jī)故障數(shù)，重新啟動(dòng)優(yōu)先級：確定在主機(jī)發(fā)生故障時(shí)重新啟動(dòng)虛擬機(jī)的順序，隔離響應(yīng)：確定當(dāng)HA群中的某個(gè)主機(jī)失去其控制臺(tái)網(wǎng)絡(luò)連接仍在運(yùn)行時(shí)發(fā)生的情況，接入控制：決定虛擬機(jī)違反可用性限制時(shí)是否啟動(dòng)虛擬機(jī)。第四步，選擇虛擬機(jī)交換文件位置。第五步：完成虛擬機(jī)的創(chuàng)建并查看群集的摘要信息。第二：服務(wù)器操作系統(tǒng)安裝通過VirtualCenterServer管理控制臺(tái)，在安裝了ESXServer的IBMx3650服務(wù)器上建立了一臺(tái)虛擬服務(wù)器，安裝好WindowsServer2003操作系統(tǒng)和SP2補(bǔ)丁。然后將它保存為模版，再以這個(gè)模版為向?qū)?，?chuàng)建其他虛擬服務(wù)器，將分別用作數(shù)據(jù)庫服務(wù)器、域控制器、打印和文件服務(wù)器、郵件服務(wù)器、ISA服務(wù)器等[26]。第三：網(wǎng)絡(luò)版殺毒軟件安裝趨勢科技防毒墻網(wǎng)絡(luò)版8.0的安裝方法非常簡單，先在服務(wù)器（安裝在虛擬中心軟件所在服務(wù)器上）上