公司辦公網(wǎng)絡(luò)規(guī)劃設(shè)計項目計劃書

圖圖1 圖2公司辦公網(wǎng)絡(luò)規(guī)劃設(shè)計計劃書基本需求分析公司有辦公樓三棟，每棟樓均為兩層結(jié)構(gòu)（如圖1、圖2所示）?，F(xiàn)計劃在該公司建立Intranet,用以管理公司的各項業(yè)務(wù)。網(wǎng)絡(luò)要求主干為千兆連接，水平為百兆端接到桌面。為保證今后擴(kuò)展的需要，每一間辦公室有3-8個信息點，可以接入公司內(nèi)網(wǎng)，也可以通過內(nèi)網(wǎng)接入Internet（采用電信10MADSL）。網(wǎng)絡(luò)中心建在1棟的第一層（見圖1），所有網(wǎng)絡(luò)的核心設(shè)備均安裝在網(wǎng)絡(luò)中心，其中包括服務(wù)器5臺、磁盤陣列1套10G容量、UPS1套、ERP軟件1套、數(shù)據(jù)庫軟件1套，其余設(shè)備根據(jù)需要選擇。為保證該公司的對外宣傳，建有Web服務(wù)器1個，安裝在網(wǎng)絡(luò)的DMZ區(qū)域。根據(jù)以上提示，設(shè)計該公司的Intranet。要求能全面滿足該公司的所有辦公和業(yè)務(wù)需求，設(shè)備類型、數(shù)量、規(guī)格由設(shè)計者確定，總投資控制在200萬以內(nèi)。1、一樓：網(wǎng)絡(luò)信息中心6臺，技術(shù)部門4臺，人事部4臺，營銷4臺2.二樓：會議室3臺，財務(wù)部4臺，企劃部4，科研部3，秘書部3，總經(jīng)理部門43、硬件設(shè)備的選購要根據(jù)目前市場價格為依據(jù)。4、設(shè)備的性能以及技術(shù)指標(biāo)要能滿企業(yè)各項業(yè)務(wù)的要求。5、企業(yè)網(wǎng)運行要能滿足公司各部門間的溝通，保持各項活動暢通進(jìn)行。6、內(nèi)網(wǎng)和外網(wǎng)應(yīng)該很好的隔離開來，只有一兩個訪問出口。7、公司了的各項業(yè)務(wù)活動和信息只能在內(nèi)部網(wǎng)絡(luò)中訪問，避免外網(wǎng)的攻擊。8、公司管理；辦公自動化.公司平面圖如下：劇Bf朋所劇Bf朋所眄拓中心拄術(shù)玨技牢開表各樓信息點統(tǒng)計表區(qū)域樓層信息點信息模塊一棟一樓3468二樓2142二棟一樓2142二樓2142三棟一樓2142二樓2142性能需求分析1、因為本次設(shè)計主要針對的是三棟樓，中心機(jī)房要與各棟連接，連接帶寬達(dá)到1000Mbps。2、樓層交換機(jī)到各樓層使用超五類雙絞線，連接帶寬達(dá)到100/1000M。4、室內(nèi)全部使用超五類雙絞線，連接帶寬達(dá)到10/100M。5、中心交換機(jī)具有很高的可用性、擴(kuò)展性；6、所有交換設(shè)備能用一套統(tǒng)一的網(wǎng)絡(luò)管理軟件進(jìn)行管理與配置；7、能滿足各項業(yè)務(wù)的辦理流暢8、因為本次設(shè)計主要針對的是該公司建立Intranet，用以管理公司的各項業(yè)9網(wǎng)絡(luò)要求主干為千兆連接，水平為百兆端接到桌面。10、每一間辦公室有3-8個信息點，可以接入公司內(nèi)網(wǎng)，也可以通過內(nèi)網(wǎng)接入Internet（采用電信10MADSL）。11、網(wǎng)絡(luò)中心建在1棟的第一層（見圖1），所有網(wǎng)絡(luò)的核心設(shè)備均安裝在網(wǎng)絡(luò)中心。12、服務(wù)器5臺、磁盤陣列1套10G容量、UPS1套、ERP軟件1套、數(shù)據(jù)庫軟件1套，其余設(shè)備根據(jù)需要選擇。為保證該公司的對外宣傳，建有Web服務(wù)器1個，安裝在網(wǎng)絡(luò)的DMZ區(qū)域。第2章網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)設(shè)計原則網(wǎng)絡(luò)系統(tǒng)設(shè)計是一個綜合性的網(wǎng)絡(luò)系統(tǒng)，以滿足各部門各業(yè)務(wù)活動的進(jìn)行，如：事物處理，營銷管理里等業(yè)務(wù)活動，又要有足夠的可擴(kuò)充的能力為新興應(yīng)用提供平。企業(yè)眾多的工作站巨大的訪問量必然帶來網(wǎng)絡(luò)的維護(hù)工作困難。建設(shè)與維護(hù)管理是學(xué)在網(wǎng)絡(luò)建設(shè)中很重要要。本方案的設(shè)計原則是：本方案的設(shè)計原則是：（1）實用性：網(wǎng)絡(luò)建設(shè)從應(yīng)用實際需求出發(fā)，堅持為領(lǐng)導(dǎo)決策服務(wù)，為經(jīng)營管理服務(wù)，為生產(chǎn)建設(shè)服務(wù)。另外，如果是對現(xiàn)有網(wǎng)絡(luò)升級改造，還應(yīng)該充分考慮如何利用現(xiàn)有資源，盡量發(fā)揮設(shè)備效益。（2）適度先進(jìn)性：規(guī)劃局域網(wǎng)，不但要滿足用戶當(dāng)前的需要，還應(yīng)該有一定技術(shù)前瞻性和用戶需求預(yù)見性，考慮到能夠滿足未來幾年內(nèi)用戶對網(wǎng)絡(luò)功能和帶寬的需要。采用成熟的先進(jìn)技術(shù)，兼顧未來的發(fā)展趨勢，即量力而行，又適當(dāng)超前，留有發(fā)展余地。（3）經(jīng)濟(jì)性：要求價格適中，設(shè)備及耗材要求采用質(zhì)量過硬，物美價廉，投資預(yù)算不超過20萬。（4）安全可靠性：確保網(wǎng)絡(luò)可靠運行，在網(wǎng)絡(luò)的關(guān)鍵部分應(yīng)具有容錯能力，提供公共網(wǎng)絡(luò)連接、通信鏈路、服務(wù)器等全方位的安全管理系統(tǒng)。（5）開放性：采用國際標(biāo)準(zhǔn)通信協(xié)議、標(biāo)準(zhǔn)操作系統(tǒng)、標(biāo)準(zhǔn)網(wǎng)管軟件、采用符合標(biāo)準(zhǔn)的設(shè)備，保證整個系統(tǒng)具有開放特點，增強(qiáng)與異機(jī)種、異構(gòu)網(wǎng)的互聯(lián)能力。（6）可擴(kuò)展性：系統(tǒng)便于擴(kuò)展，保證前期的投資的有效性與后期投資的連續(xù)性（7）安全保密性：為了保證網(wǎng)上信息的安全和各種應(yīng)用系統(tǒng)的安全，在規(guī)劃時就要為局域網(wǎng)考慮一個周全的安全保密方案。網(wǎng)絡(luò)拓?fù)鋱D設(shè)計核心層核心層圖公司網(wǎng)絡(luò)拓?fù)鋱D拓?fù)鋱D說明：內(nèi)部網(wǎng)絡(luò)拓?fù)鋱D：網(wǎng)絡(luò)邏輯拓?fù)浣Y(jié)構(gòu)如圖所示。它是在基于高端路由交換機(jī)的基礎(chǔ)之上而設(shè)計的新的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。簡要說明如下：.整個網(wǎng)絡(luò)由核心層、匯聚層和接入層兩大部分組成。.核心層是由CISCOWS-C3560-48TS-S企業(yè)級核心路由交換機(jī)組成。.匯聚層由CISCOWS-C3560-24TS-S路由交換機(jī)組成。.接入層是由接入層樓層交換機(jī)CISCOWS-C2918-24TC-C組成。網(wǎng)絡(luò)設(shè)計特點1、在用戶的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計中，我們建議采用層次化的結(jié)構(gòu)設(shè)計。對于用戶即將建設(shè)的網(wǎng)絡(luò)系統(tǒng)來說，想要建設(shè)成為一個覆蓋范圍廣、網(wǎng)絡(luò)性能優(yōu)良、具有很強(qiáng)擴(kuò)展能力和升級能力的網(wǎng)絡(luò)，在起初的設(shè)計中就必須采用層次化的網(wǎng)絡(luò)設(shè)計原則。采用這樣的結(jié)構(gòu)所建設(shè)的網(wǎng)絡(luò)具有良好的擴(kuò)充性、管理性，因為新的子網(wǎng)模塊和新的網(wǎng)絡(luò)技術(shù)能被更容易集成到整個系統(tǒng)中，而不破壞已存在的骨干網(wǎng)。2、大多數(shù)的網(wǎng)絡(luò)都可以被層次性劃分為三個邏輯服務(wù)單元：核心骨干網(wǎng)(Backbone)、匯聚網(wǎng)(Distribute)和接入網(wǎng)(Local—access),模塊化網(wǎng)絡(luò)設(shè)計方法的目標(biāo)在于把一個大型的網(wǎng)絡(luò)元素劃分成一個個互連的網(wǎng)絡(luò)層次。層次性結(jié)構(gòu)如下圖所示。3、根據(jù)項目的具體需求及現(xiàn)有的光纖結(jié)構(gòu)，結(jié)合網(wǎng)絡(luò)建設(shè)的基本理論和原則，各入網(wǎng)部門的實際情況，應(yīng)用需求，資金條件和遠(yuǎn)，近目標(biāo)等各方面的要求，設(shè)計出該網(wǎng)絡(luò)為拓?fù)浣Y(jié)構(gòu)為分層的集中式結(jié)構(gòu)或稱星型分級拓?fù)洹５?章網(wǎng)絡(luò)設(shè)備選型核心層核心層交換機(jī)的設(shè)計核心層主要功能是給下層各業(yè)務(wù)匯聚節(jié)點提供ip業(yè)務(wù)平面高速承載和交換通道，負(fù)責(zé)進(jìn)行數(shù)據(jù)的高速轉(zhuǎn)發(fā)，同時核心層是局域網(wǎng)的骨干，是局域網(wǎng)互連的關(guān)鍵。對核心骨干網(wǎng)絡(luò)設(shè)備的部署應(yīng)為能夠提供高帶寬、大容量的核心路由交換設(shè)備，同時應(yīng)具備極高的可靠性，能夠保證24小時全天候不間斷運行，也就必須考慮設(shè)備及鏈路的冗余性、安全性，而且核心骨干設(shè)備MACMAC地址：12k同時還應(yīng)擁有非常好的擴(kuò)展能力，以便隨著網(wǎng)絡(luò)的發(fā)展而發(fā)展。基于對核心層的功能及作用，根據(jù)用戶的實際需求，本方案中對網(wǎng)絡(luò)系統(tǒng)中核心層由CISCO系列的企業(yè)級核心交換機(jī)WS-C3560-48TS-S組成。其主要任務(wù)是提供高性能、高安全性的核心數(shù)據(jù)交換、QoS和為接入層提供高密度的上聯(lián)端口。為整個大樓寬帶辦公網(wǎng)提供交換和路由的核心，完成各個部分?jǐn)?shù)據(jù)流的中央?yún)R集和分流。同時為數(shù)據(jù)中心的服務(wù)器提供千兆高速連接。根據(jù)該企業(yè)的建筑分布及網(wǎng)絡(luò)規(guī)模，以行政樓的中心機(jī)房作為整個網(wǎng)絡(luò)系統(tǒng)的核心節(jié)點。核心節(jié)點由2臺同檔次的網(wǎng)絡(luò)核心設(shè)備構(gòu)成，它們互為備份且流量負(fù)載均衡。2臺網(wǎng)絡(luò)核心交換機(jī)作為整個網(wǎng)絡(luò)的核心層設(shè)備，為各個匯聚層和接入層交換機(jī)提供上聯(lián)。同時提供了各個服務(wù)器的可靠接入。由于WS-C3560-48TS-S是路由交換機(jī)，也即同時具有第二層和第三層的交換能力，為了充分利用資源，將WWW服務(wù)器、E-mail服務(wù)器、數(shù)據(jù)庫服務(wù)器、文件VOD服務(wù)器、認(rèn)證的服務(wù)器(Radiusserver)以及網(wǎng)管設(shè)備等通過千兆直接連人核心交換機(jī)，以解決帶寬瓶頸，充分利用核心交換機(jī)的交換能力。核心交換機(jī)作為信息網(wǎng)絡(luò)的核心設(shè)備，性能的優(yōu)劣直接影響到整個網(wǎng)絡(luò)運行。在設(shè)備的選型上必須考慮到有足夠的背板帶寬，包交換能力，是否支持設(shè)備的冗余，安全性，擴(kuò)展性等各種性能。企業(yè)級核心交換機(jī)WS-C3560-48TS-S完全滿足上述的各項要求。企業(yè)級核心路由交換機(jī)WS-C3560-48TS-S的性能特性及技術(shù)指標(biāo)如下：交換機(jī)類：企業(yè)級交換機(jī)應(yīng)用層級：三層接口介質(zhì)：10/100BASE-T/100FX傳輸速率：10Mbps/100Mbps端口數(shù)量：48背板帶寬：32GbpsVLAN支持：支持網(wǎng)管功能：網(wǎng)管功能SNMP,CLI,包轉(zhuǎn)發(fā)率：網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE,,端口結(jié)構(gòu)：非模塊化匯聚層匯聚層主要完成的任務(wù)是對各業(yè)務(wù)接入節(jié)點的業(yè)務(wù)匯聚、管理和分發(fā)處理，是完成網(wǎng)絡(luò)流量的安全控制機(jī)制，以使核心網(wǎng)和接入訪問層環(huán)境隔離開來；同時匯聚層起著承上啟下的作用，對上連接至核心層，對下將各種寬帶數(shù)據(jù)業(yè)務(wù)分配到各個接入層的業(yè)務(wù)節(jié)點，匯聚層位于中心機(jī)房或下聯(lián)單位的分配線間，主要用于匯聚接入路由器以及接入交換機(jī)。因此對匯聚層的交換機(jī)部署時必須考慮交換機(jī)必須具有足夠的可靠性和冗余度，防止網(wǎng)絡(luò)中部分接入層變成孤島；還必須具有高處理能力，以便完成網(wǎng)絡(luò)數(shù)據(jù)會聚、轉(zhuǎn)發(fā)處理；具有靈活、優(yōu)化的網(wǎng)絡(luò)路由處理能力，實現(xiàn)網(wǎng)絡(luò)匯聚的優(yōu)化。而且規(guī)劃匯聚層時建議匯聚層節(jié)點的數(shù)量和位置應(yīng)根據(jù)業(yè)務(wù)和光纖資源情況來選擇；匯聚層節(jié)點可采用星形連接，每個匯聚層節(jié)點保證與兩個不同的核心層節(jié)點連接。根據(jù)匯聚層在整個網(wǎng)絡(luò)中的作用以及用戶的實際需求，本方案中匯聚層共設(shè)計了3個節(jié)點，即：行政樓、生產(chǎn)車間和運輸樓（工段辦）。匯聚層網(wǎng)絡(luò)設(shè)備全部采用了CISCOWS-C3560-24TS-S交換機(jī)。該交換機(jī)支持各種高級路由協(xié)議，如BGP4、RIPV1、RIPv2、VRRP、OSPF、IP組播、IPX路由。匯聚路由交換機(jī)CISCOWS-C3560-24TS-S的性能特性及技術(shù)指標(biāo)如下：交換機(jī)類：企業(yè)級交換機(jī)應(yīng)用層級：三層接口介質(zhì)：10/100BASE-T/100FX傳輸速率：10Mbps/100Mbps端口數(shù)量：24背板帶寬：32GbpsVLAN支持：支持網(wǎng)管功能：SNMP,CLI,Web,管理接入層接入層主要用來支撐客戶端機(jī)器對服務(wù)器的訪問，主要是指接入路由器、交換機(jī)、終端訪問用戶。它利用多種接入技術(shù)，迅速覆蓋至用戶節(jié)點，將不同地理分布的用戶快速有效地接入到信息網(wǎng)的匯聚。對上連接至匯聚層和核心層，對下進(jìn)行帶寬和業(yè)務(wù)分配，實現(xiàn)用戶的接入。根據(jù)我們所借鑒的項目設(shè)計經(jīng)驗，匯聚層節(jié)點與接入層節(jié)點可考慮采用星形連接，每個接入層節(jié)點與兩個匯聚層節(jié)點連接。當(dāng)接入層采用其它結(jié)構(gòu)（如環(huán)行）連接到匯聚層時，建議提供兩條不同路由通道。根據(jù)接入層處在網(wǎng)絡(luò)系統(tǒng)中所起的作用以及用戶的實際需求，本方案中接入層部分由CISCO公司的WS-C2918-24TC-C交換機(jī)構(gòu)成。其主要功能是為該區(qū)域下屬各部門的網(wǎng)絡(luò)用戶提供大量性價比極高的10/100兆網(wǎng)絡(luò)接口，并與信息中心的核心交換機(jī)通過1000兆光纖鏈路互聯(lián)為接入的用戶提供高速上聯(lián)。接入層樓層交換機(jī)CISCOWS-C2918-24TC-C的性能特性及技術(shù)指標(biāo)情況如下：交換機(jī)類：快速以太網(wǎng)交換機(jī)應(yīng)用層級：二層傳輸速率：10Mbps/100Mbps/1000M端口數(shù)量：24背板帶寬：16GbpsVLAN支持：支持網(wǎng)管功能：CiscoIOSCLI,Web瀏U包轉(zhuǎn)發(fā)率：MAC地址：8K網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE,IEEE802端口結(jié)構(gòu)：非模塊化交換方式：存儲-轉(zhuǎn)發(fā)產(chǎn)品內(nèi)存：64MB傳輸模式：支持全雙工

網(wǎng)管支持：支持模塊化插：2設(shè)備選型（可見附件2）設(shè)備名稱型號規(guī)格單位當(dāng)位1單價（元）L數(shù)量總計（元）1Web服務(wù)器華碩RS700-XT/PS4CPU:標(biāo)配一個IntelXeon?E5-2620處理器（六核〃15MB三級緩存,sQPI）,可擴(kuò)至二路處理器內(nèi)存：標(biāo)配8GB（1x8GB）DDR31333ECCREG內(nèi)存（支持12根DDR3RECC內(nèi)存插槽，最大支持384GB）硬盤：標(biāo)配無硬盤（4個熱插拔“硬盤位；集成嵌入式SATA控制器,支持RAID0/1/5/10） 光驅(qū)：標(biāo)配SATADVD-RW驅(qū)動器網(wǎng)絡(luò)：集成Intel?82574L四端口千兆服務(wù)器網(wǎng)卡I/O擴(kuò)展槽:一個全高半長PCI-Expressx16插槽（x8速度），一個全高半長PCI-Expressx8插槽（x8速度），一個PIKE插槽電源：600W通過80PLUS金牌認(rèn)證PFC高效電源SAS卡：標(biāo)配PIKE2008，SASRAID0,1,10,1E臺1

2USP電源美國山特CSTKUPS不間斷電源C3K3KVA/2100W功率3KVA實際可帶負(fù)載2100W內(nèi)置12V7AH電池8只停電可以延時10-20分鐘（輸出純正玄波、0切換時間）套13磁盤陣列IBMStorwizeV3500（207U）硬盤轉(zhuǎn)速：146GB/300GB15Krpm300GB/600GB/900GB10Krpm500GB/1T高速緩存：標(biāo)配8GB緩存主機(jī)通道：1GbiSCSI（可選8Gbps光纖通道）RAID支持：RAID0，1，5，6和10單機(jī)磁盤數(shù)量：24個硬盤接口：SAS風(fēng)扇:全冗余，熱插拔其他參數(shù)：用戶界面：圖形用戶界面（GUI）單/雙控制器：僅限雙控制產(chǎn)品電源：全冗余，熱插拔，405W長度：556mm寬度：483mm高度：87mm工作溫度：10-35℃工作濕度：10-35℃臺1

4核心層路由器CISCO3845路由器類：多業(yè)務(wù)路由器局域網(wǎng)接：2個傳輸速率：10/l00/l000Mbps網(wǎng)絡(luò)協(xié)議：CiscoClickStart,SN防火墻：是端口結(jié)構(gòu)：模塊化Qos支持：支持VPN支持：支持產(chǎn)品內(nèi)存：256MB擴(kuò)展模塊：8包轉(zhuǎn)發(fā)率：10Mbps:14,880pps、電源電壓：交流輸入電壓:100-240產(chǎn)品尺寸：**臺1

5網(wǎng)絡(luò)中心服務(wù)器產(chǎn)品類別：塔式Cup型號：XeonE5506標(biāo)配CUp數(shù)量：1顆內(nèi)存容量：4GBECCDDR3標(biāo)配硬盤容量：160GB內(nèi)部硬盤架數(shù)：最大支持6塊英寸網(wǎng)絡(luò)控制器：雙端口千兆網(wǎng)卡電源類型：80+認(rèn)證擴(kuò)展槽：5xPCI插槽光驅(qū)：DVD-ROM最大Cpu數(shù)量：2顆最大內(nèi)存：64GBCPU頻率：臺5核CISCOWS-C3560-48TS-S心6層應(yīng)用層級：三層臺1接口介質(zhì)：10/100BASE-T/100FX交換傳輸速率：10Mbps/100Mbps端口數(shù)量：48機(jī)背板帶寬：32GbpsVLAN支持：支持網(wǎng)管功能：網(wǎng)管功能SNMP,CLI,包轉(zhuǎn)發(fā)率：MAC地址：12k

7匯聚層交換機(jī)CISCOWS-C3560-24TS-S交換機(jī)類：企業(yè)級交換機(jī)應(yīng)用層級：三層接口介質(zhì)：10/100BASE-T/100FX傳輸速率：10Mbps/100Mbps端口數(shù)量：24背板帶寬：32GbpsVLAN支持：支持網(wǎng)管功能：SNMP,CLI,Web,管理臺3

8接入層交換機(jī)CISCOWS-C2918-24TC-C交換機(jī)類：快速以太網(wǎng)交換機(jī)應(yīng)用層級：二層傳輸率：10Mbps/100Mbps/1000M端口數(shù)量：24背板帶寬：16GbpsVLAN支持：支持網(wǎng)管功能：CiscoIOSCLI,Web瀏U包轉(zhuǎn)發(fā)率：MAC地址：8K網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE,IEEE802端口結(jié)構(gòu)：非模塊化交換方式：存儲-轉(zhuǎn)發(fā)產(chǎn)品內(nèi)存：64MB傳輸模式：支持全雙工網(wǎng)管支持：支持模塊化插：2臺69單模光纖Rosenberger室外4芯單模光纖（輕型/無金屬）米20010超五類雙絞線AMP超五類非屏蔽雙絞線305M/箱箱1211信息插座AMP超五類雙口面板個100600..00AMP超五類模塊塊108

12交換機(jī)布線設(shè)備機(jī)柜三盛F-12U個1墻柜神虎19”墻柜6U個4酉己線架AMP超五類24口配線架（1U）個3理線架AMP1U理線架個513水晶頭國產(chǎn)AMPRJ45水晶頭個560總 計第4章網(wǎng)絡(luò)IP規(guī)劃企業(yè)在規(guī)劃了局域網(wǎng)建設(shè)方案，選購了路由器、防火墻以及交換機(jī)等網(wǎng)絡(luò)設(shè)備，并對機(jī)房和所在的辦公地點（大樓）進(jìn)行了布線，也添置了服務(wù)器和客戶機(jī)（工作站、pc機(jī)），現(xiàn)在要組建企業(yè)的局域網(wǎng)，還要一件比較重要的事要做，那就是對局域網(wǎng)的ip地址要進(jìn)行規(guī)劃，主要包括公網(wǎng)地址（InternetIP地址，一般是指A、B、C類的Ipv4的地址），以及專用（私有）IP地址兩部分。下面就和大家一起來探討企業(yè)IP地址的規(guī)劃方面的問題。一、IP地址的規(guī)劃1、IP地址的基本概念I(lǐng)P地址是32位的二進(jìn)制數(shù)值，用于在TCP/IP通訊協(xié)議中標(biāo)記每臺計算機(jī)的地址。1、IP地址的基本概念I(lǐng)P地址是32位的二進(jìn)制數(shù)值，用于在TCP/IP通訊協(xié)議中標(biāo)記每臺計算機(jī)的地址。通常我們使用點式十進(jìn)制來表示，如等。也就是說IP地址有兩種表示形式：二進(jìn)制和點式十進(jìn)制，一個32位IP地址的二進(jìn)制是由4個8位域組成。即0000000100000110（）。每個IP地址又可分為兩部分。即網(wǎng)絡(luò)號部分和主機(jī)號部分：網(wǎng)絡(luò)號表示其所屬的網(wǎng)絡(luò)段編號，主機(jī)號則表示該網(wǎng)段中該主機(jī)的地址編號。按照網(wǎng)絡(luò)規(guī)模的大小，IP地址可以分為A、B、C、D、E五類，其中A、B、C類是三種主要的類型地址，D類專供多目傳送用的多目地址，E類用于擴(kuò)展備用地址。A、B、C三類IP地址有效范圍2.當(dāng)局域網(wǎng)通過路由設(shè)備與廣域網(wǎng)連接時，路由設(shè)備會自動將該地址段的信號隔離在局域網(wǎng)內(nèi)部，不用擔(dān)心所使用的保護(hù)IP地址與其他局域網(wǎng)中使用的同一地址段的保留IP地址發(fā)生沖突（即IP地址完全相同）。所以完全可以放心大膽地根據(jù)自己的需要（主要考慮所需的網(wǎng)絡(luò)數(shù)量和網(wǎng)絡(luò)內(nèi)計算機(jī)的數(shù)量）選用適當(dāng)?shù)膶Ｓ芯W(wǎng)絡(luò)地址段，設(shè)置本企業(yè)局域網(wǎng)中的IP地址。路由器或網(wǎng)關(guān)會自動將這些IP地址攔截在局域網(wǎng)絡(luò)之內(nèi)，而不會將其路由到公有網(wǎng)絡(luò)中，所以即使在兩個局域網(wǎng)中均使用相同的私有IP地址段，彼此之間也不會發(fā)生沖突。在IP地址資源已非常緊張的今天，這種技術(shù)手段被越來越廣泛地應(yīng)用于各種類型的網(wǎng)絡(luò)之中。當(dāng)然，使用內(nèi)部P地址的計算機(jī)也可以通過局域網(wǎng)訪問Internet，不過需要使用代理服務(wù)器才能完成。當(dāng)企業(yè)網(wǎng)絡(luò)所擁有的公網(wǎng)IP地址比較少，甚至只有1個時（ISP往往只給企業(yè)提供1個IP地址），那么，在企業(yè)內(nèi)部就必須采用私有IP地址，再借助地址映射或代理服務(wù)器實現(xiàn)Internet連接共享，并借助端口映射，將網(wǎng)絡(luò)內(nèi)部的服務(wù)器發(fā)布到Interneto3、IP地址信息通常來說，一個完整的IP地址信息應(yīng)該包括IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)和DNS等4部分內(nèi)容，只有當(dāng)它們各司其職、協(xié)同工作時，我們才可以訪問Internet,并被Internet中的計算機(jī)所訪問。需要注意的是，采用靜態(tài)IP地址接入Internet時，ISP應(yīng)當(dāng)為用戶提供全部IP地址信息。IP地址企業(yè)網(wǎng)絡(luò)使用的合法IP地址由提供Internet接入的服務(wù)商（ISP）分配，私有IP地址則可以由網(wǎng)絡(luò)管理員自由分配。需要注意的是，網(wǎng)絡(luò)內(nèi)部所有計算機(jī)的IP地址都不能相同，否則，會發(fā)生IP地址沖突，導(dǎo)致網(wǎng)絡(luò)通訊失敗。子網(wǎng)掩碼子網(wǎng)掩碼是與IP地址結(jié)合使用的一種技術(shù)。它的主要作用有兩個，一是用于確定廠地址中的網(wǎng)絡(luò)號和主機(jī)號，二是用于將一個大的IP網(wǎng)絡(luò)劃分為若干小的子網(wǎng)絡(luò)。該公司的地址具體的IP規(guī)劃見下表:設(shè)備位置設(shè)備名稱IP地址子網(wǎng)掩碼外網(wǎng)防火墻內(nèi)網(wǎng)路由器內(nèi)網(wǎng)服務(wù)器內(nèi)網(wǎng)核心層交換機(jī)內(nèi)網(wǎng)匯聚層交換機(jī)內(nèi)網(wǎng)接入層交換機(jī)內(nèi)外防火墻第5章網(wǎng)絡(luò)安全設(shè)計網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性DMZ區(qū)是一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，因為這種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對攻擊者來說又多了一道關(guān)卡。網(wǎng)絡(luò)的防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)的安全，由內(nèi)部防火墻和外部防火墻構(gòu)成管理所有外部網(wǎng)絡(luò)對DMZ的訪問。內(nèi)部防火墻管理DMZ對于內(nèi)部網(wǎng)絡(luò)的訪問。內(nèi)部防火墻是內(nèi)部網(wǎng)絡(luò)的第三道安全防線（前面有了外部防火墻和堡壘主機(jī)），當(dāng)外部防火墻失效的時候，它還可以起到保護(hù)內(nèi)部網(wǎng)絡(luò)的功能。而局域網(wǎng)內(nèi)部，對于Internet的訪問由內(nèi)部防火墻和位于DMZ的堡壘主機(jī)控制。，公司網(wǎng)絡(luò)安全隱患.系統(tǒng)的安全隱患應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及面廣。應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。應(yīng)用的安全性也是動態(tài)的。需要對不同的應(yīng)用，檢測安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險。主要有文件服務(wù)器的安全風(fēng)險、數(shù)據(jù)庫服務(wù)器的安全風(fēng)險、病毒侵害的安全風(fēng)險、數(shù)據(jù)信息的安全風(fēng)險等。管理的安全隱患管理方面的安全隱患包括：內(nèi)部管理人員或員工圖方便省事，不設(shè)置用戶口令，或者設(shè)置的口令過短和過于簡單，導(dǎo)致很容易破解。責(zé)任不清，使用相同的用戶名、口令，導(dǎo)致權(quán)限管理混亂，信息泄密。用戶權(quán)限設(shè)置過大、開放不必要的服務(wù)端口，或者一般用戶因為疏忽，丟失帳號和口令，從而造成非授權(quán)訪問，以及把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險?？赡茉斐蓸O大的安全風(fēng)險。操作系統(tǒng)的安全漏洞計算機(jī)操作系統(tǒng)尤其服務(wù)器系統(tǒng)是被攻擊的重點，如果操作系統(tǒng)因本身遭到攻擊，則不僅影響機(jī)器本身而且會消耗大量的網(wǎng)絡(luò)資源，致使整個網(wǎng)絡(luò)陷入癱瘓。病毒侵害一旦有主機(jī)受病毒感染，病毒程序就完全可能在極短的時間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的其他主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器不能正常運行等。需求分析公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個小型的企業(yè)網(wǎng)，有Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī)。企業(yè)分為財務(wù)部門和綜合部門，需要他們之間相互隔離。同時由于考慮到Internet的安全性，以及網(wǎng)絡(luò)安全等一些因素。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：.根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃；.保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性；.保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性；.防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問；.防范入侵者的惡意攻擊與破壞；.保護(hù)企業(yè)信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性；.防范病毒的侵害；.實現(xiàn)網(wǎng)絡(luò)的安全管理。通過了解公司的需求與現(xiàn)狀，為實現(xiàn)網(wǎng)絡(luò)公司的網(wǎng)絡(luò)安全建設(shè)實施網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運行的穩(wěn)定性，保證企業(yè)各種設(shè)計信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機(jī)加以保護(hù)，記錄用戶對客戶端計算機(jī)中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對用戶在客戶端計算機(jī)的使用情況進(jìn)行追蹤，防范外來計算機(jī)的侵入而造成破壞。通過網(wǎng)絡(luò)的改造，使管理者更加便于對網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。因此需要(1)構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全(2)劃分VLAN控制內(nèi)網(wǎng)安全(3)安裝防火墻體系(4)安裝防病毒服務(wù)器(5)加強(qiáng)企業(yè)對網(wǎng)絡(luò)資源的管理如前所述，公司信息系統(tǒng)存在較大的風(fēng)險，網(wǎng)絡(luò)信息安全的需求主要體現(xiàn)在如下幾點：(1)公司信息系統(tǒng)不僅需要安全可靠的計算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使公司計算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級或重新部署。(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對安全管理提出了更高的要求，為此要制定健全的管理制度和嚴(yán)格管理相結(jié)合。保障網(wǎng)絡(luò)的安全運行，使其成為一個具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。(4)信息安全防范是一個動態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項防范工作，應(yīng)對不斷出現(xiàn)的各種安全威脅，也是公司面臨的重要課題。6息安全策略信息安全的目標(biāo)是通過系統(tǒng)及網(wǎng)絡(luò)安全配置，應(yīng)用防火墻及入侵檢測、安全掃描、網(wǎng)絡(luò)防病毒等技術(shù)，對出入口的信息進(jìn)行嚴(yán)格的控制；對網(wǎng)絡(luò)中所有的裝置進(jìn)行檢測、分析和評估，發(fā)現(xiàn)并報告系統(tǒng)內(nèi)存在的弱點和漏洞，評估安全風(fēng)險，建議補(bǔ)救措施，并有效地防止黑客入侵和病毒擴(kuò)散，監(jiān)控整個網(wǎng)絡(luò)的運行狀況。.防火墻實施方案根據(jù)網(wǎng)絡(luò)整體安全及保證財務(wù)部的安全考慮，采用2臺ciscopix535防火墻，一防火墻對財務(wù)部與企業(yè)內(nèi)網(wǎng)進(jìn)行隔離，另一防火墻對Internet與企業(yè)內(nèi)網(wǎng)之間進(jìn)行隔離，其中內(nèi)服務(wù)器對外服務(wù)器連接在防火墻的DMZ區(qū)與內(nèi)、外網(wǎng)間進(jìn)行隔離。防火墻設(shè)置原則如下所示：建立合理有效的安全過濾原則對網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議、端口、源/目的地址、流向進(jìn)行審核，嚴(yán)格控制外網(wǎng)用戶非法訪問；防火墻DMZ區(qū)訪問控制，只打開服務(wù)必須的HTTP、FTP、SMTP、POP3以及所需的其他服務(wù)，防范外部來的拒絕服務(wù)攻擊；定期查看防火墻訪問日志對防火墻的管理員權(quán)限嚴(yán)格控制。

Internet連接與備份方案防火墻經(jīng)外網(wǎng)交換機(jī)接入Internet。此區(qū)域當(dāng)前存在一定的安全隱患：首先，防火墻作為企業(yè)接入Internet的出口，占有及其重要的作用，一旦此防火墻出現(xiàn)故障或防火墻與主交換機(jī)連接鏈路出現(xiàn)問題，都會造成全臺與Internet失去連接；其次，當(dāng)前的防火墻無法對進(jìn)入網(wǎng)絡(luò)的病毒進(jìn)行有效的攔截。為此，新增加一臺防火墻和一臺防病毒過濾網(wǎng)關(guān)與核心交換機(jī)。防病毒網(wǎng)關(guān)可對進(jìn)入網(wǎng)絡(luò)的流量進(jìn)行有效過濾，使病毒數(shù)據(jù)包無法進(jìn)入網(wǎng)絡(luò)，提高內(nèi)網(wǎng)的安全性。防火墻連接只在主核心交換機(jī)上，并且采用兩臺防火墻進(jìn)行熱備配置，分別連接兩臺核心交換機(jī)。設(shè)備及鏈路都進(jìn)行了冗余配置，提高了網(wǎng)絡(luò)的健壯性。根據(jù)改企業(yè)未來的應(yīng)用需求，可考慮網(wǎng)絡(luò)改造后，將Internet連接帶寬升級為100M。入侵檢測方案在核心交換機(jī)監(jiān)控端口部署CA入侵檢測系統(tǒng)(eTrustIntrusionDetection)，并在不同網(wǎng)段(本地或遠(yuǎn)程)上安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測代理，對網(wǎng)絡(luò)入侵進(jìn)行檢測和響應(yīng)。入侵檢測0VPN系統(tǒng)考慮到本公司和其子公司的通信，通過安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實現(xiàn)移動用戶、遠(yuǎn)程LAN的安全連接。集中的安全策略管理可以對整個VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。網(wǎng)絡(luò)安全漏洞企業(yè)網(wǎng)絡(luò)擁有WWW、郵件、域、視頻等服務(wù)器，還有重要的數(shù)據(jù)庫服務(wù)器，對于管理人員來說，無法確切了解和解決每個服務(wù)器系統(tǒng)和整個網(wǎng)絡(luò)的安全缺陷及安全漏洞.因此需要借助漏洞掃描工具定期掃描、分析和評估，發(fā)現(xiàn)并報告系統(tǒng)內(nèi)存在的弱點和漏洞，評估安全風(fēng)險，建議補(bǔ)救措施，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。防病毒方案采用Symantec網(wǎng)絡(luò)防病毒軟件，建立企業(yè)整體防病毒體系，對網(wǎng)絡(luò)內(nèi)的服務(wù)器和所有計算機(jī)設(shè)備采取全面病毒防護(hù)。并且需要在網(wǎng)絡(luò)中心設(shè)置病毒防護(hù)管理中心，通過防病毒管理中心將局域網(wǎng)內(nèi)所有計算機(jī)創(chuàng)建在同一防病毒管理域內(nèi)。通過防病毒管理域的主服務(wù)器，對整個域進(jìn)行防病毒管理，制定統(tǒng)一的防毒策略，設(shè)定域掃描作業(yè)，安排系統(tǒng)自動查、殺病毒?？蓪崿F(xiàn)對病毒侵入情況、各系統(tǒng)防毒情況、防毒軟件的工作情況等的集中監(jiān)控；可實現(xiàn)對所有防毒軟件的集中管理、集中設(shè)置、集中維護(hù)；可集中反映整個系統(tǒng)內(nèi)的病毒入侵情況,設(shè)置各種消息通報方式，對病毒的爆發(fā)進(jìn)行報警；可集中獲得防毒系統(tǒng)的日志信息；管理人員可方便地對系統(tǒng)情況進(jìn)行匯總和分析。根據(jù)企業(yè)內(nèi)部通知或官方網(wǎng)站公