計(jì)算機(jī)專(zhuān)業(yè)畢業(yè)論文--企業(yè)網(wǎng)絡(luò)構(gòu)建規(guī)劃

1、<p><b>　　畢業(yè)設(shè)計(jì)（論文）</b></p><p>　　題目：企業(yè)網(wǎng)絡(luò)構(gòu)建規(guī)劃</p><p>　　二○一三年三月三十一日</p><p><b>　　摘 要</b></p><p>　　隨著網(wǎng)絡(luò)技術(shù)新系統(tǒng)、新領(lǐng)域的長(zhǎng)足發(fā)展，傳統(tǒng)企業(yè)也正利用其行業(yè)的特點(diǎn)，融合網(wǎng)絡(luò)技術(shù)的優(yōu)勢(shì)

2、，發(fā)展自身。在信息化生產(chǎn)逐步普及的今天，組建企業(yè)內(nèi)部網(wǎng)絡(luò)已經(jīng)是企業(yè)必不可少的一部分，建立高速、穩(wěn)定、安全、智能的辦公網(wǎng)，是組建中小型企業(yè)局域網(wǎng)的核心。</p><p>　　中小型企業(yè)局域網(wǎng)建設(shè),必須采取“結(jié)構(gòu)化、系統(tǒng)化”思想做指導(dǎo)。一個(gè)良好的、規(guī)范的網(wǎng)絡(luò)開(kāi)發(fā)過(guò)程不僅不會(huì)成為干擾實(shí)際健忘工作的負(fù)擔(dān)，相反會(huì)使設(shè)計(jì)的工作更清晰、更加高效和更令人滿意，同時(shí)也可以大大減少網(wǎng)絡(luò)開(kāi)發(fā)成本和提高網(wǎng)絡(luò)工程質(zhì)量。</p>

3、<p>　　本畢業(yè)設(shè)計(jì)作品定位于公司局域網(wǎng)設(shè)計(jì)，因此配置了比較完備的硬件資源。在內(nèi)容選擇上，一方面以對(duì)中小型企業(yè)的網(wǎng)絡(luò)拓?fù)浜退柙O(shè)備進(jìn)行了設(shè)計(jì)；另一方面用很直觀的網(wǎng)絡(luò)拓?fù)鋱D概述了本次畢業(yè)設(shè)計(jì)相關(guān)的網(wǎng)絡(luò)安全、網(wǎng)絡(luò)所需設(shè)備以及所實(shí)現(xiàn)的網(wǎng)絡(luò)功能和應(yīng)用等。</p><p>　　畢業(yè)設(shè)計(jì)論文包括課題概況：太原益民中醫(yī)院對(duì)網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安全要求嚴(yán)格。使用業(yè)界流行的核心層—匯聚層—接入層三層結(jié)構(gòu)設(shè)計(jì)的公司局域網(wǎng)，

4、結(jié)合廣為使用的通過(guò)劃分虛擬局域網(wǎng)（VLAN）隔離不同部門(mén)，訪問(wèn)控制列表（ACL）控制端口進(jìn)出數(shù)據(jù)包，網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）節(jié)約公有地址、動(dòng)態(tài)分配IP（DHCP）、熱備份路由(HSRP)等技術(shù)，增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性和安全性。統(tǒng)需求分析：本課題對(duì)結(jié)合港隆文具局域網(wǎng)網(wǎng)絡(luò)特點(diǎn)進(jìn)行了詳細(xì)的需求描述和詳細(xì)的分析。系統(tǒng)設(shè)計(jì)：系統(tǒng)設(shè)計(jì)包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)選擇、網(wǎng)絡(luò)設(shè)備選型、VLAN、DHCP和子網(wǎng)的劃分，詳細(xì)描述了網(wǎng)絡(luò)組成結(jié)構(gòu)。港隆文具公司局域網(wǎng)網(wǎng)絡(luò)安全：從網(wǎng)

5、絡(luò)流量控制、網(wǎng)絡(luò)設(shè)備安全、無(wú)線網(wǎng)絡(luò)安全詳細(xì)描述了安全實(shí)施。</p><p>　　關(guān)鍵詞：局域網(wǎng)，網(wǎng)絡(luò)拓?fù)洌琕LAN，網(wǎng)絡(luò)安全，系統(tǒng)實(shí)施，ACL，NAT</p><p><b>　　目 錄</b></p><p><b>　　1 概述1</b></p><p><b>　　1.1課

6、題背景1</b></p><p><b>　　1.2課題概況2</b></p><p>　　1.3 課題目的3</p><p>　　2 局域網(wǎng)需求分析和設(shè)計(jì)原則4</p><p>　　2.1需求與分析4</p><p>　　2.1.1具體需求4</p><

7、;p>　　2.1.2需求分析5</p><p>　　2.3 設(shè)計(jì)原則5</p><p>　　3 局域網(wǎng)系統(tǒng)設(shè)計(jì)方案7</p><p>　　3.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)7</p><p>　　3.1.1拓?fù)溥x擇7</p><p>　　3.1.2拓?fù)浣Y(jié)構(gòu)圖8</p><p>　　3.1.3拓

8、撲結(jié)構(gòu)說(shuō)明9</p><p>　　3.2三層詳細(xì)設(shè)計(jì)及設(shè)備選型10</p><p>　　3.2.1核心層設(shè)計(jì)10</p><p>　　3.2.2匯聚層設(shè)計(jì)13</p><p>　　3.2.3接入層設(shè)計(jì)16</p><p>　　3.3 虛擬局域網(wǎng)VLAN與IP子網(wǎng)設(shè)計(jì)18</p><p&g

9、t;　　3.3.1虛擬VLAN簡(jiǎn)介19</p><p>　　3.3.2 VLAN規(guī)劃20</p><p>　　3.3.3 IP子網(wǎng)設(shè)計(jì)21</p><p>　　3.3.4訪問(wèn)控制列表（ACL）設(shè)計(jì)方案24</p><p>　　3.4路由協(xié)議的選擇25</p><p>　　4 網(wǎng)絡(luò)安全管理27</p&g

10、t;<p>　　4.1內(nèi)網(wǎng)安全27</p><p>　　4.1.1VLAN設(shè)置需求27</p><p>　　4.1.2防病毒系統(tǒng)需求27</p><p>　　4.1.3網(wǎng)絡(luò)管理需求27</p><p>　　4.2 外網(wǎng)安全27</p><p>　　4.2.1物理安全需求28</p>

11、<p>　　4.2.2數(shù)據(jù)鏈路層需求28</p><p>　　4.2.3入侵檢測(cè)系統(tǒng)需求28</p><p>　　4.2.4防病毒系統(tǒng)需求28</p><p>　　5 安全管理體制29</p><p>　　5.1網(wǎng)絡(luò)應(yīng)用安全29</p><p>　　5.1.1網(wǎng)絡(luò)嗅探29</p>

12、<p>　　5.1.2 ARP欺騙30</p><p>　　5.1.3 IP地址欺騙30</p><p>　　5.1.4 DOS攻擊30</p><p><b>　　總 結(jié)32</b></p><p><b>　　參考文獻(xiàn)33</b></p><p&g

13、t;<b>　　致 謝34</b></p><p><b>　　1 概述</b></p><p><b>　　1.1課題背景</b></p><p>　　隨著我國(guó)經(jīng)濟(jì)的飛速發(fā)展，我國(guó)中小型企業(yè)數(shù)量已有5000多萬(wàn)家。為了獲取更好的經(jīng)濟(jì)效益，完善的網(wǎng)絡(luò)體系成為了對(duì)外聯(lián)系及對(duì)內(nèi)交流最為關(guān)鍵的因素。

14、在這個(gè)信息化時(shí)代，一個(gè)優(yōu)秀的團(tuán)隊(duì)必然有著完整的網(wǎng)絡(luò)構(gòu)建、調(diào)理的網(wǎng)絡(luò)布局以及安全的信息庫(kù)。</p><p>　　在國(guó)民經(jīng)濟(jì)中，60%的總產(chǎn)值來(lái)自于中小企業(yè)，并為社會(huì)提供了70%以上的就業(yè)機(jī)會(huì)。然而，在中國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展中一直占據(jù)著至關(guān)重要的戰(zhàn)略地位的中小型企業(yè)，其信息化建設(shè)卻十分落后。今后如何應(yīng)對(duì)瞬息萬(wàn)變、競(jìng)爭(zhēng)激烈的國(guó)內(nèi)外市場(chǎng)環(huán)境以及如何利用網(wǎng)絡(luò)技術(shù)迅速提升企業(yè)核心競(jìng)爭(zhēng)力為企業(yè)成敗的關(guān)鍵。</p>

15、<p>　　中小型企業(yè)的信息化建設(shè)工程通常有規(guī)模小、結(jié)構(gòu)簡(jiǎn)單的特點(diǎn)，綜合資金投入、專(zhuān)業(yè)人才以及未來(lái)發(fā)展等因素，網(wǎng)絡(luò)實(shí)用性、安全性與拓展性（升級(jí)改造能力）是中小型企業(yè)實(shí)現(xiàn)信息化建設(shè)的主要要求，局域網(wǎng)內(nèi)進(jìn)行信息交流包括發(fā)布通知, 安排日程表、工作計(jì)劃,提交工作總結(jié),進(jìn)行信息匯總等也是企業(yè)的要求。因此，成本低廉、炒作簡(jiǎn)易、便于維護(hù)并能滿足業(yè)務(wù)運(yùn)用需要的網(wǎng)絡(luò)辦公環(huán)境是這一領(lǐng)域的真正需求。針對(duì)絕多數(shù)中小型企業(yè)集中辦公這一現(xiàn)實(shí)特點(diǎn)，組建

16、一個(gè)適合中小企業(yè)需求的高性價(jià)比實(shí)用的網(wǎng)絡(luò)是十分有實(shí)際意義的。下面我們將模擬醫(yī)療行業(yè)來(lái)建設(shè)網(wǎng)絡(luò)信息化工程。</p><p>　　太原益民中醫(yī)院地處太原市南內(nèi)環(huán)街8號(hào)(南內(nèi)環(huán)街東口)，建筑面積6000多平方米，是太原市政府、市衛(wèi)生局直管醫(yī)院。醫(yī)院科室設(shè)置齊全，專(zhuān)科特色明顯，中醫(yī)優(yōu)勢(shì)突出，技術(shù)力量雄厚，醫(yī)院功能完善，綜合服務(wù)能力強(qiáng)，能夠提供全面、持續(xù)地中西醫(yī)醫(yī)療、護(hù)理、預(yù)防、保健、康復(fù)服務(wù)，從事較高層次中醫(yī)教學(xué)、中醫(yī)科

17、研工作，漸成為區(qū)域中醫(yī)技術(shù)中心。是北京消化界專(zhuān)家及中國(guó)人民解放軍消化疾病微創(chuàng)治療中心交流和技術(shù)合作基地。</p><p>　　醫(yī)院注重加強(qiáng)中醫(yī)特色專(zhuān)科建設(shè)，改善技術(shù)裝備條件，拓寬服務(wù)領(lǐng)域，不斷滿足人民群眾對(duì)中醫(yī)藥的需求，同時(shí)認(rèn)真繼承中醫(yī)藥的特色和優(yōu)勢(shì)，勇于創(chuàng)新，積極利用現(xiàn)代化科學(xué)技術(shù)，促進(jìn)中醫(yī)藥理論和實(shí)踐的發(fā)展，努力打造現(xiàn)代化綜合性中醫(yī)醫(yī)院。</p><p>　　醫(yī)院核定床位150張，擁有

18、先進(jìn)的DR、四探頭彩超、全自動(dòng)生化分析儀、全自動(dòng)血流變儀、動(dòng)態(tài)心電圖、進(jìn)口PENTAX高清數(shù)字電子胃鏡等設(shè)備。</p><p>　　醫(yī)院現(xiàn)有職工150余名，擁有一批省內(nèi)外名老中醫(yī)專(zhuān)家長(zhǎng)期在院坐診，中國(guó)人民解放軍消化疾病微創(chuàng)治療中心專(zhuān)家常年在院診療，北京消化界專(zhuān)家教授定期來(lái)院講學(xué)和指導(dǎo)。</p><p>　　醫(yī)院設(shè)有消化疾病微創(chuàng)治療中心、中醫(yī)康復(fù)治療中心、中醫(yī)脾胃科、中醫(yī)不孕不育科、中醫(yī)骨科

19、、中醫(yī)老年病科、中醫(yī)腎病科、中醫(yī)兒科、中醫(yī)皮膚科、中醫(yī)糖尿病科、中醫(yī)疼痛科、中醫(yī)腦病科、中醫(yī)男科、中醫(yī)失眠科等臨床科室，同時(shí)設(shè)立中、西藥房、醫(yī)學(xué)檢驗(yàn)科、心電診斷室、放射科、彩超室、內(nèi)鏡室等技能科室，并設(shè)有針炙、推拿、按摩等傳統(tǒng)中醫(yī)治療室、理療室、運(yùn)動(dòng)和作業(yè)治療室、多間VIP病房等。</p><p>　　太原益民中醫(yī)院以一流的技術(shù)、一流的質(zhì)量、一流的設(shè)備、一流的管理、一流的環(huán)境、一流的服務(wù)為永恒的追求，并牢固樹(shù)立“

20、以醫(yī)療質(zhì)量為核心”的“大經(jīng)營(yíng)”理念，努力提供“以患者為關(guān)注焦點(diǎn)”的星級(jí)優(yōu)質(zhì)服務(wù)，堅(jiān)持走“創(chuàng)名院、建名科、出名醫(yī)”的發(fā)展之路，創(chuàng)建和諧的“健康家園”。</p><p>　　太原益民中醫(yī)院最原始的網(wǎng)絡(luò)需求來(lái)自于對(duì)LAN 上共享資源、業(yè)務(wù)的開(kāi)展需要，最小規(guī)模的局域網(wǎng)可能就要算通過(guò)1 臺(tái)共享式集線器來(lái)連接打印機(jī)、文件服務(wù)器的組建模式了，但是，在信息科技日益發(fā)展的今天，基于共享式技術(shù)的網(wǎng)絡(luò)已經(jīng)不能符合當(dāng)前業(yè)務(wù)的發(fā)展的需求，

21、更高速、更精準(zhǔn)、更可靠、更安全以及更方便的網(wǎng)絡(luò)和業(yè)務(wù)管理已經(jīng)成為新時(shí)期醫(yī)療行業(yè)發(fā)展的重點(diǎn)。如何最大程度的滿足醫(yī)療行業(yè)的網(wǎng)絡(luò)需求，為此設(shè)計(jì)次方案。</p><p><b>　　1.2課題概況</b></p><p>　　太原益民中醫(yī)院以前網(wǎng)絡(luò)設(shè)備落后，經(jīng)常掉網(wǎng)、斷網(wǎng)。網(wǎng)絡(luò)走線混亂。完成對(duì)醫(yī)院的新網(wǎng)絡(luò)的規(guī)劃，重新設(shè)計(jì)實(shí)施。以前的網(wǎng)絡(luò)不能適應(yīng)當(dāng)前的醫(yī)療發(fā)展，需要更完善、快速

22、、安全、穩(wěn)定的網(wǎng)絡(luò)提供，滿足需求的患者和內(nèi)部之間的相互通信。該醫(yī)院有100多人，有各醫(yī)療科室、市場(chǎng)部、網(wǎng)絡(luò)部、企劃部等眾多部門(mén)組成，因此為了維持內(nèi)部的正常運(yùn)作，需要一個(gè)龐大的網(wǎng)絡(luò)體系。</p><p>　　太原益民中醫(yī)院新設(shè)計(jì)搭建的網(wǎng)絡(luò)將根據(jù)當(dāng)前與今后一段時(shí)間的發(fā)展需求，規(guī)劃一個(gè)全新的公司局域網(wǎng)系統(tǒng)，該公司局域網(wǎng)系統(tǒng)必須具備民營(yíng)醫(yī)院發(fā)展的快特點(diǎn)，滿足財(cái)務(wù)部、銷(xiāo)售部和人力資源部對(duì)醫(yī)院的管理和醫(yī)院患者之間信息化需求，

23、同時(shí)新的局域網(wǎng)系統(tǒng)必須滿足將來(lái)擴(kuò)展的需要進(jìn)行整體計(jì)劃，在滿足當(dāng)前需要的同時(shí)，還必須具備一定的前瞻性。</p><p>　　在實(shí)際的建設(shè)過(guò)程當(dāng)中，應(yīng)當(dāng)充分考慮到太原益民中醫(yī)院內(nèi)部網(wǎng)業(yè)務(wù)較少，銷(xiāo)售部占用網(wǎng)絡(luò)帶寬比較大以客戶訪問(wèn)該公司等。對(duì)其他部門(mén)實(shí)行網(wǎng)絡(luò)流量控制和服務(wù)。滿足客戶和銷(xiāo)售部之間的通信。</p><p><b>　　1.3 課題目的</b></p>

24、<p>　　滿足益民中醫(yī)院各部門(mén)之間安全穩(wěn)定的通信。設(shè)計(jì)搭建新的網(wǎng)絡(luò)滿足醫(yī)院發(fā)展需求。對(duì)銷(xiāo)售部流量比較大要求大，分配更多的流量。該公司網(wǎng)絡(luò)技術(shù)人員較少，因而對(duì)網(wǎng)絡(luò)的依賴性很高，要求網(wǎng)絡(luò)盡可能簡(jiǎn)單、可靠、易用，降低網(wǎng)絡(luò)的使用和維護(hù)成本為該公司電子商務(wù)網(wǎng)絡(luò)系統(tǒng)提供一個(gè)統(tǒng)一、可靠、安全的專(zhuān)用信息通信平臺(tái)，支持話音、數(shù)據(jù)和圖像的交換與傳輸，實(shí)現(xiàn)計(jì)算機(jī)數(shù)據(jù)、話音、電視會(huì)議、圖片傳輸?shù)榷喾N信息通信業(yè)務(wù)，并具有完備的網(wǎng)絡(luò)管理系統(tǒng)。<

25、/p><p>　　2 局域網(wǎng)需求分析和設(shè)計(jì)原則</p><p><b>　　2.1需求與分析</b></p><p>　　太原益民中醫(yī)院是一家比較有潛力的醫(yī)院，近幾年發(fā)展很快。該公司對(duì)網(wǎng)絡(luò)總體需求包括以下幾點(diǎn)：適應(yīng)桌面計(jì)算機(jī)處理、I/O能力大幅度提高的現(xiàn)狀，發(fā)揮桌面機(jī)的網(wǎng)絡(luò)性能，提高桌面機(jī)的訪問(wèn)帶寬；適應(yīng)連網(wǎng)規(guī)模大、總流量大的情況，合理分布流量，實(shí)

26、現(xiàn)流量隔離和控制；為銷(xiāo)售部、人力資源部、財(cái)務(wù)部，合理進(jìn)行網(wǎng)絡(luò)劃分，實(shí)現(xiàn)有效的安全訪問(wèn)控制和運(yùn)行管理；為客戶/服務(wù)器的應(yīng)用環(huán)境提供支撐；增加網(wǎng)絡(luò)系統(tǒng)的運(yùn)行可靠性，降低故障隱患，提高系統(tǒng)的可管理性。本方案針對(duì)港隆公司網(wǎng)絡(luò)系統(tǒng)應(yīng)用場(chǎng)合對(duì)安全提出了很高的要求，因此網(wǎng)絡(luò)設(shè)計(jì)充分考慮網(wǎng)絡(luò)上敏感數(shù)據(jù)傳輸?shù)陌踩?，一方面需要充分利用網(wǎng)絡(luò)設(shè)備提供的安全策略（VLAN劃分等），另一方面為了保障內(nèi)部數(shù)據(jù)傳輸?shù)陌踩?，采用各種安全技術(shù)（防火墻、入侵檢測(cè)、防病毒

27、體系等），并且盡量不影響到整個(gè)網(wǎng)絡(luò)的運(yùn)行效率。為了更好的保證網(wǎng)絡(luò)的正常運(yùn)行，設(shè)計(jì)的網(wǎng)絡(luò)系統(tǒng)還考慮到網(wǎng)絡(luò)管理，實(shí)現(xiàn)網(wǎng)絡(luò)的統(tǒng)一管理。一般中小型企業(yè)網(wǎng)的主要需求有：</p><p>　　1、管理的需求：包括對(duì)用戶和設(shè)備的管理，可操作、易管理、具備靈活的計(jì)費(fèi)策略、擴(kuò)展能力強(qiáng)。</p><p>　　2、區(qū)分內(nèi)、外網(wǎng)需求：限制資源的訪問(wèn)。</p><p>　　3、安全需求：非法

28、的DHCP Server、病毒、攻擊、上網(wǎng)日志等。</p><p>　　4、NAT需求：公網(wǎng)地址不夠，</p><p>　　5、多業(yè)務(wù)需求：強(qiáng)大的組播支持能力、多業(yè)務(wù)融合（語(yǔ)言、數(shù)據(jù)、）能力。</p><p>　　6、可靠性需求：設(shè)備具備高性能、高可靠性、高穩(wěn)定性、高安全性。</p><p>　　7、投資需求：高性價(jià)比、平滑升級(jí)、投資保護(hù)。&

29、lt;/p><p>　　8、Qos需求：具備完善的QOS能力。</p><p><b>　　2.1.1具體需求</b></p><p>　　港隆公司銷(xiāo)售部、財(cái)務(wù)部等部門(mén)不能相互進(jìn)行訪問(wèn)，但對(duì)公司文件服務(wù)區(qū)可以訪問(wèn)。采用交換，必要時(shí)實(shí)現(xiàn)路由隔離。根據(jù)業(yè)務(wù)用戶分布和數(shù)據(jù)的流向，合理的進(jìn)行網(wǎng)段劃分。允許采用虛擬網(wǎng)技術(shù)（VLAN）。</p>

30、<p>　　實(shí)現(xiàn)各計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的互聯(lián)，形成公共信息的交換環(huán)境，為企業(yè)用戶提供網(wǎng)絡(luò)服務(wù)平臺(tái)。 </p><p>　　實(shí)現(xiàn)信息資源和軟硬件資源共享，提供豐富的網(wǎng)絡(luò)信息服務(wù)，以推動(dòng)辦公自動(dòng)化。</p><p>　　根據(jù)益民中醫(yī)院兩棟樓宇之間不同，采用光線接入。</p><p><b>　　2.1.2需求分析</b></p>

31、<p>　　對(duì)醫(yī)院提供安全快速的網(wǎng)絡(luò)。</p><p>　　2、防止不明計(jì)算機(jī)接入，保證接入的安全性。</p><p>　　3、核心到匯集全部采用單模光纖并做相應(yīng)的備份，提供高速可靠的傳輸。</p><p>　　4、保障需求患者正常訪問(wèn)醫(yī)院和銷(xiāo)售部與外網(wǎng)通信，防止不必要流量產(chǎn)生。</p><p>　　5、為以后員工提供寬帶服務(wù)。&l

32、t;/p><p><b>　　2.2 設(shè)計(jì)目標(biāo)</b></p><p>　　針對(duì)本次益民中醫(yī)院局域網(wǎng)建設(shè)課題，按照以下目標(biāo)來(lái)實(shí)施網(wǎng)絡(luò)建設(shè)：</p><p>　　1、建設(shè)成為信息一體化、管理集中化、業(yè)務(wù)多樣化的公司局域安全網(wǎng)絡(luò)；</p><p>　　2、新網(wǎng)絡(luò)結(jié)構(gòu)清晰，網(wǎng)絡(luò)層次合理數(shù)據(jù)網(wǎng)絡(luò)需要采用分布式布線： </p&g

33、t;<p>　　3、網(wǎng)絡(luò)帶寬大幅提升滿足港隆文具有限公司的業(yè)務(wù)發(fā)展需求和冗余連接：</p><p>　　4、多樣性訪問(wèn)權(quán)限控制與管理；針對(duì)不同部門(mén)之間采取不同認(rèn)證：</p><p><b>　　2.3 設(shè)計(jì)原則</b></p><p><b>　　1、可管理性</b></p><p>

34、　　具有分級(jí)、分權(quán)管理能力的網(wǎng)管系統(tǒng)，實(shí)現(xiàn)統(tǒng)一的網(wǎng)絡(luò)業(yè)務(wù)調(diào)度和管理，降低網(wǎng)絡(luò)運(yùn)營(yíng)成本。同時(shí)由于高校網(wǎng)絡(luò)的使用者數(shù)量巨大，網(wǎng)上開(kāi)展的業(yè)務(wù)眾多，因此需要能夠提供用戶的高效管理，以確保公司的利益不受損失。</p><p><b>　　2、可增值性</b></p><p>　　公司局域網(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。所以在建

35、設(shè)時(shí)要充分考慮業(yè)務(wù)的擴(kuò)展能力，能針對(duì)不同的用戶需求提供豐富的寬帶增值業(yè)務(wù)，使網(wǎng)絡(luò)具有自我造血機(jī)制，實(shí)現(xiàn)以網(wǎng)養(yǎng)網(wǎng)。</p><p><b>　　3、可擴(kuò)充性</b></p><p>　　考慮到公司的業(yè)務(wù)種類(lèi)發(fā)展的不確定性，局域網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺(tái)，能夠隨著需求變化，充分留有擴(kuò)充余地。</p><p><b&g

36、t;　　4、開(kāi)放性</b></p><p>　　技術(shù)選擇必須符合相關(guān)國(guó)際標(biāo)準(zhǔn)及國(guó)內(nèi)標(biāo)準(zhǔn)，避免個(gè)別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開(kāi)放性和互連互通，滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需要；開(kāi)放的接口，支持良好的維護(hù)、測(cè)量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實(shí)時(shí)監(jiān)控的遙測(cè)、遙控的信息處理功能，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。 </p><p><b>　　5、安全可靠性</b

37、></p><p>　　設(shè)計(jì)應(yīng)充分考慮整個(gè)網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點(diǎn)的備份和線路保護(hù)，提供網(wǎng)絡(luò)安全防范措施。</p><p>　　3 局域網(wǎng)系統(tǒng)設(shè)計(jì)方案</p><p>　　根據(jù)益民中醫(yī)院發(fā)展需求，并結(jié)合當(dāng)前醫(yī)療局域網(wǎng)狀況和未來(lái)發(fā)展趨勢(shì)，整個(gè)網(wǎng)絡(luò)方案設(shè)計(jì)突出層次化、可管理、易維護(hù)、高可靠性的原則，確保網(wǎng)絡(luò)在具有高性能的同時(shí)具有良好的前瞻性和持續(xù)發(fā)展性。<

38、/p><p><b>　　3.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)</b></p><p><b>　　3.1.1拓?fù)溥x擇</b></p><p>　　采用模塊化的設(shè)計(jì)思想，按照功能劃分為以下區(qū)塊：交換區(qū)塊和核心區(qū)塊。對(duì)于由交換區(qū)塊和核心區(qū)塊構(gòu)成的局域網(wǎng)再按照目前流行的層次化的設(shè)計(jì)思想，劃分為接入層、匯聚層和核心層。</p><

39、p>　　1、交換區(qū)塊的主要功能是提供用戶的接入點(diǎn)，并防止廣播數(shù)據(jù)流和網(wǎng)絡(luò)問(wèn)題到達(dá)核心區(qū)塊或者其他區(qū)塊，交換區(qū)塊由接入層交換機(jī)和匯聚層交換機(jī)構(gòu)成：</p><p><b>　　(1)接入層：</b></p><p>　　接入層設(shè)備作為最終用戶的網(wǎng)絡(luò)接入點(diǎn)，使用100M雙絞線連接各層桌面終端，為每個(gè)用戶提供專(zhuān)用的帶寬，并可基于端口或MAC地址的VLAN成員資格和流量

40、進(jìn)行過(guò)濾，接入層主要的設(shè)計(jì)原則是能夠通過(guò)低成本、高端口密度的設(shè)備提供這些功能。</p><p><b>　　(2)匯聚層：</b></p><p>　　接入層交換機(jī)使用100M雙絞線匯聚到一臺(tái)或者多臺(tái)匯聚層設(shè)備，匯聚層設(shè)備在接入層交換機(jī)之間提供第二層連接，作為接入層交換機(jī)的集中連接點(diǎn)及接入層和核心層之間的分界點(diǎn)，匯聚層在提供接入層接入的同時(shí)，還能夠做到廣播域的隔離、不

41、同網(wǎng)段之間的路由、介質(zhì)轉(zhuǎn)換、安全控制。匯聚層需要提供第三層功能，即支持路由選擇和網(wǎng)絡(luò)層服務(wù)，以保護(hù)交換區(qū)塊不受網(wǎng)絡(luò)其他部分失效的影響，并防止本交換區(qū)塊故障對(duì)網(wǎng)絡(luò)其他部分的影響，如果交換區(qū)塊發(fā)生了廣播風(fēng)暴，分布層設(shè)備可以防止該廣播風(fēng)暴擴(kuò)散到核心和網(wǎng)絡(luò)的其他部分。</p><p>　　2、核心區(qū)塊是公司網(wǎng)絡(luò)的主干，主要功能是在交換區(qū)塊之間用最小的時(shí)延傳輸數(shù)據(jù)，盡可能快的將交換數(shù)據(jù)提供到其他區(qū)塊（比如交換區(qū)塊）。核心區(qū)

42、塊由核心層構(gòu)成，包含一個(gè)或一組用來(lái)連接多個(gè)交換區(qū)塊的交換機(jī)。</p><p><b>　　核心層：</b></p><p>　　核心層交換機(jī)負(fù)責(zé)所有交換區(qū)塊設(shè)備和廣域網(wǎng)設(shè)備的接入，因此需要高速的數(shù)據(jù)轉(zhuǎn)發(fā)能力。核心層設(shè)備需要支持port-channel鏈路捆綁技術(shù)，來(lái)保證數(shù)據(jù)的轉(zhuǎn)發(fā)能力，防止出現(xiàn)線路瓶頸。作為企業(yè)網(wǎng)絡(luò)的心臟，核心層也是路由協(xié)議最優(yōu)選路和運(yùn)行穩(wěn)定的保證，需

43、要合理的配置路由協(xié)議，并添加冗余處理器或者應(yīng)用冗余協(xié)議來(lái)保障網(wǎng)絡(luò)核心的穩(wěn)定，使企業(yè)數(shù)據(jù)流正常運(yùn)作。</p><p>　　3.1.2拓?fù)浣Y(jié)構(gòu)圖</p><p>　　總體設(shè)計(jì)以高性能、高可靠性、高安全性、良好的可擴(kuò)展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及可靠組播為原則，以及考慮到技術(shù)的先進(jìn)性、成熟性，并采用模塊化的設(shè)計(jì)方法。新網(wǎng)絡(luò)拓?fù)鋱D如圖3-1所示。</p><p>　　圖3

44、-1-2 太原益民中醫(yī)院網(wǎng)絡(luò)拓?fù)?lt;/p><p>　　3.1.3拓?fù)浣Y(jié)構(gòu)說(shuō)明</p><p>　　1、從核心層到匯聚層全部使用單模光纖。</p><p>　　2、采用使用四條100M雙絞線連接到匯聚層。</p><p>　　3、所有用戶接入采用有線結(jié)合。</p><p>　　4、采用層次結(jié)構(gòu)使網(wǎng)絡(luò)易于管理。</p

45、><p>　　5、采用高性能的單核心交換。</p><p><b>　　6、做熱路由備份</b></p><p>　　3.2三層詳細(xì)設(shè)計(jì)及設(shè)備選型 </p><p>　　3.2.1核心層設(shè)計(jì)</p><p>　　核心交換機(jī)是整個(gè)網(wǎng)絡(luò)的計(jì)算和內(nèi)部數(shù)據(jù)交換處理中心，在整個(gè)局域網(wǎng)內(nèi)是最為關(guān)鍵和重要的設(shè)備。核

46、心交換機(jī)推薦采用華為S5700交換機(jī)二臺(tái)。如圖3-2所示。</p><p>　　圖3-2-1 華為 S5700</p><p>　　交換機(jī)特點(diǎn)：免維護(hù)易部署</p><p>　　S5700支持自動(dòng)配置、即插即用、USB開(kāi)局、自動(dòng)批量遠(yuǎn)程升級(jí)等功能，便于部署升級(jí)和業(yè)務(wù)發(fā)放，簡(jiǎn)化后續(xù)的管理和維護(hù)性能。從而大大降低了維護(hù)成本。S5700支持SNMP V1/V2/V3、CL

47、I命令行、Web網(wǎng)管、TELNET、HGMP集群管理等多樣化的管理和維護(hù)方式，設(shè)備管理更加靈活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主機(jī)、基于端口的流量統(tǒng)計(jì)，支持NQA網(wǎng)絡(luò)質(zhì)量分析，有利于進(jìn)一步作好網(wǎng)絡(luò)規(guī)劃和改造。</p><p>　　強(qiáng)大的多業(yè)務(wù)支持能力S5700支持IGMP v1/v2/v3 Snooping/Filter/Fast Leave/Proxy等協(xié)議。S5700支持線速的

48、跨VLAN組播復(fù)制功能，支持捆綁端口的組播負(fù)載分擔(dān)，支持可控組播，可以充分滿足IPTV和其他組播業(yè)務(wù)的需求。S5700支持MCE功能，實(shí)現(xiàn)了不同VPN用戶在同一臺(tái)設(shè)備的隔離，有效解決用戶數(shù)據(jù)安全問(wèn)題，同時(shí)降低用戶投資成本。</p><p>　　完備的高可靠保護(hù)機(jī)制S5700不僅支持傳統(tǒng)的STP/RSTP/MSTP生成樹(shù)協(xié)議，還支持SmartLink和RRPP等增強(qiáng)型以太網(wǎng)技術(shù)，可以實(shí)現(xiàn)毫秒級(jí)鏈路保護(hù)倒換，保證高

49、可靠性的網(wǎng)絡(luò)質(zhì)量。此外，針對(duì)Smartlink和 RRPP均提供多實(shí)例功能，可實(shí)現(xiàn)鏈路負(fù)載分擔(dān)，進(jìn)一步提高了鏈路帶寬利用率。</p><p><b>　　產(chǎn)品規(guī)格及參數(shù)：）</b></p><p>　　華為Quidway S5700大容量交換機(jī)產(chǎn)品物理參數(shù):</p><p><b>　　表3-2</b></p>

50、<p>　　3.2.2匯聚層設(shè)計(jì)</p><p>　　為了保證數(shù)據(jù)傳輸和交換的效率，在樓內(nèi)設(shè)置二層樓內(nèi)匯聚層。樓內(nèi)匯聚層設(shè)備不但分擔(dān)了核心設(shè)備的部分壓力，同時(shí)提高了網(wǎng)絡(luò)的安全性采用H3C S3600-28P-SI匯聚交換機(jī)。如圖3-3</p><p>　　圖3-2-2 H3C S3600-28P-SI</p><p><b>　　交換機(jī)特點(diǎn)：

51、</b></p><p><b>　　1擴(kuò)展性—</b></p><p>　　IRF技術(shù)允許交換機(jī)利用互聯(lián)電纜實(shí)現(xiàn)多臺(tái)設(shè)備的擴(kuò)展，最大擴(kuò)展至384個(gè)10/100M端口;具有即插即用、單一IP管理，同時(shí)大大降低系統(tǒng)擴(kuò)展的成本。</p><p><b>　　2可靠性</b></p><p>

52、　　通過(guò)專(zhuān)利的路由熱備份技術(shù)，在整個(gè)堆疊架構(gòu)內(nèi)實(shí)現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份和無(wú)間斷三層轉(zhuǎn)發(fā)，極大的增強(qiáng)了堆疊架構(gòu)的可靠性和性能，同時(shí)消除了單點(diǎn)故障，避免了業(yè)務(wù)中斷。</p><p><b>　　3.分布性</b></p><p>　　通過(guò)分布式鏈路聚合技術(shù)，實(shí)現(xiàn)多條上行鏈路的負(fù)載分擔(dān)和互為備份，從而提高整個(gè)網(wǎng)絡(luò)架構(gòu)的冗余性和鏈路資源的利用率。</p&

53、gt;<p><b>　　產(chǎn)品規(guī)格及參數(shù)： </b></p><p>　　H3C S5500-SI產(chǎn)品規(guī)格及參數(shù):</p><p><b>　　表3-2-2</b></p><p>　　S5700支持自動(dòng)配置、即插即用、USB開(kāi)局、自動(dòng)批量遠(yuǎn)程升級(jí)等功能，便于部署升級(jí)和業(yè)務(wù)發(fā)放，簡(jiǎn)化后續(xù)的管理和維護(hù)性能。從而

54、大大降低了維護(hù)成本。S5700支持SNMP V1/V2/V3、CLI命令行、Web網(wǎng)管、TELNET、HGMP集群管理等多樣化的管理和維護(hù)方式，設(shè)備管理更加靈活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主機(jī)、基于端口的流量統(tǒng)計(jì)，支持NQA網(wǎng)絡(luò)質(zhì)量分析，有利于進(jìn)一步作好網(wǎng)絡(luò)規(guī)劃和改造。</p><p>　　3.2.3接入層設(shè)計(jì)</p><p>　　接入層是直接連接多臺(tái)計(jì)算

55、機(jī)相連的設(shè)備，公司網(wǎng)絡(luò)中接入層建設(shè)中，每個(gè)部門(mén)網(wǎng)絡(luò)接入最為典型，其主要特點(diǎn)是上網(wǎng)時(shí)間集中，突發(fā)流量大、安全控制要求高。</p><p>　　鑒于上述特點(diǎn)，對(duì)于港隆公司網(wǎng)絡(luò)接入層配合PVLAN、單端口環(huán)回檢測(cè)、端口速率限制、集群管理等手段.</p><p>　　因此接入層設(shè)備采用H3C S3100-52p 24口交換機(jī)</p><p><b>　　如圖3-4

56、</b></p><p>　　圖3-2-3 H3C S3100</p><p><b>　　交換機(jī)特點(diǎn)：</b></p><p><b>　　高帶寬和高擴(kuò)展</b></p><p>　　H3C S3100-52p交換機(jī)為所有的端口提供二層線速交換能力，同時(shí)支持4個(gè)GE的上行擴(kuò)展，滿足行業(yè)

57、用戶多業(yè)務(wù)和高帶寬的應(yīng)用需求。</p><p>　　靈活的用戶管理和完備的安全控制策略</p><p>　　H3C S3100-52p千兆交換機(jī)支持集中式MAC地址認(rèn)證和802.1x認(rèn)證，在用戶接入網(wǎng)絡(luò)時(shí)完成必要的身份認(rèn)證，支持廣播風(fēng)暴抑制和端口鎖定功能，支持配合H3C公司的CAMS系統(tǒng)對(duì)在線用戶進(jìn)行實(shí)時(shí)的管理，及時(shí)的診斷和瓦解網(wǎng)絡(luò)非法行為，保證接入用戶的合法性。支持對(duì)Proxy進(jìn)行有效的

58、管理。H3C S5024P千兆交換機(jī)支持通過(guò)建立和維護(hù)DHCP Snooping綁定表實(shí)現(xiàn)偵聽(tīng)接入用戶的MAC地址、IP地址、租用期、VLAN-ID 接口等信息，解決 DHCP用戶的IP和端口跟蹤定位問(wèn)題。</p><p><b>　　豐富的QOS策略</b></p><p>　　H3C S3100-52p交換機(jī)支持每個(gè)端口8個(gè)輸出隊(duì)列，支持SP（Strict Pri

59、ority）、WRR（Weighted Round Robin）、SP+WRR三種隊(duì)列調(diào)度算法。支持端口雙向限速，限速的控制粒度為64 Kbps。</p><p><b>　　多樣的管理方式</b></p><p>　　H3C S3100-52p千兆交換機(jī)支持VCT（Virtual Cable Test）電纜檢測(cè)功能，便于快速定位網(wǎng)絡(luò)故障點(diǎn)。支持通過(guò)FTP、TFTP實(shí)

60、現(xiàn)設(shè)備的遠(yuǎn)程升級(jí)，支持HGMP集群管理系統(tǒng)和故障診斷，實(shí)現(xiàn)了設(shè)備的集中管理和維護(hù)，支持SNMP，可支持Open View等通用網(wǎng)管平臺(tái)，以及Quidview網(wǎng)管系統(tǒng)。支持CLI命令行，Web網(wǎng)管，TELNET，HGMP集群管理，使設(shè)備管理更方便。 </p><p>　　產(chǎn)品規(guī)格及參數(shù)：（見(jiàn)表所示）</p><p>　　3.3 虛擬局域網(wǎng)VLAN與IP子網(wǎng)設(shè)計(jì)</p><

61、p>　　劃分虛擬局域網(wǎng)是整個(gè)網(wǎng)絡(luò)系統(tǒng)的重要技術(shù)之一。醫(yī)院網(wǎng)絡(luò)內(nèi)部的環(huán)境復(fù)雜、分布區(qū)域廣、網(wǎng)絡(luò)用戶多，以至于企業(yè)內(nèi)部網(wǎng)絡(luò)用戶的可靠性得不到完全的保證。通過(guò)劃分虛擬局域網(wǎng)，隔離不同部門(mén)，可以增強(qiáng)企業(yè)網(wǎng)絡(luò)安全性，以下詳細(xì)論述了虛擬局域網(wǎng)的技術(shù)及在網(wǎng)絡(luò)系統(tǒng)中的必要性和設(shè)計(jì)方案。</p><p>　　3.3.1虛擬VLAN簡(jiǎn)介</p><p>　　以太網(wǎng)基本上是以廣播為基礎(chǔ)的，如最初包的尋址等

62、，交換機(jī)雖然能夠通過(guò)建立地址映射表減少不必要的廣播，但是地址映射表的建立過(guò)程仍然是基于廣播的，網(wǎng)絡(luò)節(jié)點(diǎn)（如PC機(jī)）在處理廣播時(shí)浪費(fèi)了CPU處理時(shí)間，降低了處理性能，根據(jù)統(tǒng)計(jì)，當(dāng)網(wǎng)絡(luò)上存在15000個(gè)廣播包時(shí)，將耗盡CPU資源；在傳統(tǒng)的網(wǎng)絡(luò)里，節(jié)點(diǎn)的吞吐量都會(huì)隨著節(jié)點(diǎn)的增多而下降，交換式以太網(wǎng)雖然能夠隔離沖突域及第二層廣播，但是無(wú)法隔離第三層網(wǎng)絡(luò)。</p><p>　　另一方面，接入網(wǎng)需要保障用戶數(shù)據(jù)（單播地址的幀

63、）的安全性，隔離攜帶有用戶信息的廣播消息（如ARP、DHCP消息等），防止關(guān)鍵設(shè)備受到攻擊。對(duì)每個(gè)用戶而言，當(dāng)然不希望他的信息被別人利用，因此需要從物理上隔離用戶數(shù)據(jù)（單播地址的幀），保證用戶單播地址的幀只有該用戶可以接收到，不像在局域網(wǎng)中采用共享總線方式，使單播地址的幀能被總線上的所有用戶接收。如果不隔離這些廣播消息而讓其他用戶接收到，容易發(fā)生MAC/IP地址仿冒，影響設(shè)備的正常運(yùn)行，中斷合法用戶的通信過(guò)程。</p>&

64、lt;p>　　為了隔離第三層廣播，增強(qiáng)安全性、提高網(wǎng)絡(luò)性能，可以運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)或者使用路由設(shè)備。</p><p>　　使用路由器時(shí)可以將網(wǎng)絡(luò)劃分多個(gè)物理網(wǎng)段，這些物理網(wǎng)段可以連接到路由器的多個(gè)端口，多個(gè)物理網(wǎng)段間通過(guò)路由器進(jìn)行通信，但是路由器的端口價(jià)格遠(yuǎn)遠(yuǎn)高出交換機(jī)的端口價(jià)格，所以這種方式將增加設(shè)備投資，在物理網(wǎng)段增多時(shí)就更為嚴(yán)重，而且只有使用高端設(shè)備才能滿足高端口密度的要求，所以不推薦這種

65、方式。</p><p>　　VLAN技術(shù)不需要特殊的設(shè)備，目前第二層交換機(jī)均支持VLAN技術(shù)。通過(guò)在一個(gè)物理網(wǎng)段上劃分出多個(gè)邏輯網(wǎng)段，由每一個(gè)邏輯網(wǎng)段構(gòu)成一個(gè)VLAN，其內(nèi)部采用交換機(jī)連接，所有的廣播信息只限制在本VLAN內(nèi)，而之間的連接則采用路由實(shí)現(xiàn)，具體實(shí)施時(shí)可以外加路由器，或者直接使用第三層交換設(shè)備。使用路由器時(shí)，將這些邏輯網(wǎng)段連接到路由器時(shí)可以只使用一條物理鏈路、占用一個(gè)路由器接口，這樣就節(jié)省了設(shè)備的投資

66、，而使用三層交換設(shè)備時(shí)，不需要額外增加設(shè)備，只要交換機(jī)支持三層路由功能即可，由于三層交換設(shè)備的工作效率高于路由器，所以在本論文中推薦采用三層交換設(shè)備實(shí)現(xiàn)VLAN之間的路由。</p><p>　　3.3.2 VLAN規(guī)劃</p><p>　　目前，VLAN技術(shù)可以使用以下方式組建：基于交換機(jī)端口的VLAN、基于MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN：</p><p&

67、gt;　　基于端口的VLAN，即靜態(tài)VLAN，特點(diǎn)是技術(shù)簡(jiǎn)單，容易配置且維護(hù)工作量小，缺點(diǎn)是終端設(shè)備移動(dòng)時(shí)需要更改設(shè)備配置。</p><p>　　基于MAC地址的VLAN，即動(dòng)態(tài)VLAN，基于Vlan策略服務(wù)組建，特點(diǎn)是終端設(shè)備可以在整個(gè)局域網(wǎng)中移動(dòng)而不用改變配置，適合于移動(dòng)辦公型的網(wǎng)絡(luò)環(huán)境，缺點(diǎn)是配置工作量大、繁瑣。</p><p>　　由于交換機(jī)為二層設(shè)備，所以基于應(yīng)用協(xié)議的VLAN對(duì)

68、于交換機(jī)來(lái)說(shuō)沒(méi)有任何意義，反而會(huì)造成交換機(jī)性能的下降。</p><p>　　考慮到本系統(tǒng)的特點(diǎn)，節(jié)點(diǎn)在網(wǎng)絡(luò)中內(nèi)移動(dòng)的可能性較小，基于易維護(hù)、易管理方面的考慮，使用基于交換機(jī)端口的VLAN進(jìn)行配置。</p><p>　　采用虛擬局域網(wǎng)VLAN主要出于三個(gè)目的：用戶隔離、提高網(wǎng)絡(luò)效率；提供靈活的管理；提高系統(tǒng)安全性。因此，規(guī)劃VLAN時(shí)也應(yīng)該綜合考慮這三方面的因素。</p>&l

69、t;p>　　接入層設(shè)備為二層交換機(jī)。為了進(jìn)行不同用戶間的有效隔離和互聯(lián)，需要利用交換機(jī)對(duì)用戶進(jìn)行相應(yīng)的VLAN劃分。具體做法可以是將交換機(jī)的每一端口劃分一個(gè)VLAN以實(shí)現(xiàn)所有用戶間的二層隔離，此時(shí)如果需要互聯(lián)，可通過(guò)上連設(shè)備的ACL功能來(lái)控制；也可以根據(jù)需要將多個(gè)交換機(jī)的不同端口劃為同一個(gè)VLAN，直接實(shí)現(xiàn)有限制的用戶互聯(lián)。</p><p>　　VLAN規(guī)劃參照表和圖3-5，各個(gè)VLAN間由ACL控制，限制

70、互訪。其中VLAN10——VLAN40為各部門(mén)VLAN，禁止互訪，VLAN 50為公司文件服務(wù)器區(qū)，能被任何部門(mén)訪問(wèn)，VLAN 60為網(wǎng)管區(qū)，能單向訪問(wèn)各個(gè)部門(mén)。</p><p><b>　　表3-3-2</b></p><p><b>　　圖3-3-2</b></p><p>　　3.3.3 IP子網(wǎng)設(shè)計(jì)</p&g

71、t;<p>　　IP地址分配要遵循以下原則：</p><p>　　1、簡(jiǎn)單性：地址的分配應(yīng)該簡(jiǎn)單，避免在主干上采用復(fù)雜的掩碼方式。</p><p>　　2、連續(xù)性：為同一個(gè)網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于采用SUMMARIZATION及CIDR(CLASSLESS INTER-DOMA IN ROUTING)技術(shù)縮減路由表的表項(xiàng)，提高路由器的處理效率。</p>

72、<p>　　3、可擴(kuò)充性：為一個(gè)網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機(jī)數(shù)量增加時(shí)仍然能夠保持地址的連續(xù)性。</p><p>　　4、靈活性：地址分配不應(yīng)該基于某個(gè)網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多數(shù)路由策略在該地址分配方案上實(shí)現(xiàn)優(yōu)化。</p><p>　　5、可管理性：地址的分配應(yīng)該有層次，某個(gè)局部的變動(dòng)不要影響上層、全局。</p><p>　

73、　6、安全性：網(wǎng)絡(luò)內(nèi)應(yīng)按工作內(nèi)容劃分成不同網(wǎng)段即子網(wǎng)以便進(jìn)行管理。</p><p>　　根據(jù)以上設(shè)計(jì)和校園網(wǎng)的需求，公司的IP子網(wǎng)劃分見(jiàn)表和圖3-6所示：</p><p>　　表3-6IP子網(wǎng)劃分：</p><p><b>　　圖3-3-3</b></p><p><b>　　表3-3-3</b>&

74、lt;/p><p>　　3.3.4訪問(wèn)控制列表（ACL）設(shè)計(jì)方案</p><p>　　訪問(wèn)控制列表（Access Control List，ACL） 是路由器接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。 </p><p>　　ACL的定義也是基于每一種協(xié)議的。如果路由器接口配置成為支持三種協(xié)議（IP、Ap

75、pleTalk以及IPX）的情況，那么，用戶必須定義三種ACL來(lái)分別控制這三種協(xié)議的數(shù)據(jù)包。</p><p>　　自反訪問(wèn)表在路由器的一邊創(chuàng)建I P流量的動(dòng)態(tài)開(kāi)啟，該過(guò)程是基于來(lái)自路由器另一邊的會(huì)話進(jìn)行的。在正常的操作模式下，自反訪問(wèn)表被配置并用于從路由器的不可信方，例如連接到I n t e r n e t的串行端口，創(chuàng)建開(kāi)啟表項(xiàng)。這些開(kāi)啟表項(xiàng)的創(chuàng)建是基于源于設(shè)備的可信方的會(huì)話進(jìn)行的，例如以太網(wǎng)或令牌環(huán)網(wǎng)的用戶連

76、接到一個(gè)網(wǎng)段或連接到路由器端口的環(huán)。在該過(guò)程中，訪問(wèn)表執(zhí)行的動(dòng)作稱為自反向過(guò)濾（ reflexive filtering）。該名稱是根據(jù)此訪問(wèn)表的類(lèi)型得來(lái)的。在I O S版本11 . 3中引入了自反訪問(wèn)表，并且它可用在所有的路由器平臺(tái)上。</p><p>　　在核心層交換機(jī)上配置SW5（由于各個(gè)端口配置相似，故只列出核心交換機(jī)SW5的e0/1.1）：</p><p>　　ip access

77、-list extended e0/0.1-in</p><p>　　evaluate admin</p><p>　　deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255</p><p>　　deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255</p>

78、<p>　　deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255</p><p>　　deny ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255</p><p>　　permit ip any any</p><p><b>　　exit</

79、b></p><p>　　ip access-list extended e-out</p><p>　　permit ip any any reflect admin</p><p>　　int e0/0.1</p><p>　　ip access-group e-out out</p><p>　　ip ac

80、cess-group e0/0.1-in in</p><p><b>　　exit</b></p><p>　　3.4路由協(xié)議的選擇</p><p>　　OSPF提供了更多更靈活的路由控制策略，方便復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)的用戶實(shí)施路由規(guī)劃。另一方面則在于OSPF的開(kāi)放性，為用戶網(wǎng)絡(luò)今后的擴(kuò)展提供了較大的空間和靈活性，從而獲得了廣泛的認(rèn)可，使之成為內(nèi)部路

81、由協(xié)議的一種較佳選擇。</p><p>　　總的來(lái)說(shuō)OSPF路由協(xié)議具有以下優(yōu)點(diǎn)：適合中小型企業(yè)網(wǎng)絡(luò)搭建</p><p>　　節(jié)省網(wǎng)絡(luò)帶寬：OSPF屬于鏈路狀態(tài)協(xié)議，只有當(dāng)網(wǎng)絡(luò)連接狀態(tài)發(fā)生變化時(shí)才彼此更新變化了的拓?fù)湫畔?，而并非整個(gè)網(wǎng)絡(luò)的LSDB，從而大大節(jié)省了網(wǎng)絡(luò)帶寬，這對(duì)于大型的廣域網(wǎng)來(lái)說(shuō)很重要。</p><p>　　支持VLSM：OSPF LSA(Link S

82、tate Advertisement)中包含子網(wǎng)掩碼。</p><p>　　支持層次化的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)：網(wǎng)絡(luò)設(shè)計(jì)人員可以把一個(gè)大型OSPF網(wǎng)絡(luò)分成若干域(Area)，其中一個(gè)是主干域(Backbone Area, Area ID 0.0.0.0)，其它非主干域均與主干域相連，并通過(guò)主干域交換LSDB。同時(shí)OSPF還引入了外部路由(External Routes)及ASBR (Autonomous System Bo

83、undary Router)概念，非OSPF路由均視為外部路由，由ASBR注入到OSPF域。</p><p>　　支持路由總結(jié)(Route Summary)：OSPF ABR（連接多個(gè)區(qū)域的設(shè)備）具有路由總結(jié)的功能，如果連續(xù)地分配IP地址空間，則ABR僅向主干域廣播總結(jié)后的路由信息，抑制那些具體的路由信息的廣播，從而大大減小了其它域中路由器LSDB及路由表的大小。</p><p>　　沒(méi)有

84、路由跳數(shù)限制：OSFF路由表是基于LSDB運(yùn)行Dijkstra算法計(jì)算出來(lái)的，沒(méi)有跳數(shù)限制。</p><p>　　沒(méi)有路由環(huán)路問(wèn)題：OSPF屬于Link-State路由協(xié)議，沒(méi)有環(huán)路問(wèn)題。</p><p>　　OSPF其它特性：OSPF定義了Stub Area及 Not-So-Stubby-Area(NSSA)，為設(shè)計(jì)包含多種路由協(xié)議的混合網(wǎng)絡(luò)，以及控制LSDB及路由表的大小提供了手段。&

85、lt;/p><p>　　SW5核心交換配置OSPF協(xié)議(其他配置一樣的，在這里不詳細(xì)敘述) </p><p>　　router ospf 1</p><p>　　network 192.168.5.0 0.0.0.225area1</p><p>　　network 192.168.11.0 0.0.0.255 area1</p>

86、<p>　　network 192.168.101.0 0.0.0.3area1</p><p>　　network 192.168.10.0 0.0.0.255 area1</p><p><b>　　4 網(wǎng)絡(luò)安全管理</b></p><p><b>　　4.1內(nèi)網(wǎng)安全</b></p><

87、p>　　運(yùn)用多種技術(shù)，如VLAN、防病毒體系等，對(duì)各個(gè)部門(mén)、系所訪問(wèn)進(jìn)行控制，各單位之間在未授權(quán)的情況下不能互相訪問(wèn)，保證系統(tǒng)內(nèi)部的安全。內(nèi)網(wǎng)對(duì)安全的需求包括VLAN設(shè)置需求、防病毒系統(tǒng)需求、網(wǎng)絡(luò)管理需求和網(wǎng)絡(luò)系統(tǒng)管理等。</p><p>　　4.1.1VLAN設(shè)置需求</p><p>　　企業(yè)網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布區(qū)域廣，網(wǎng)絡(luò)用戶多，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不

88、能得到完全的保證。特別是對(duì)于存放敏感數(shù)據(jù)的主機(jī)的攻擊往往發(fā)自內(nèi)部用戶，如何對(duì)內(nèi)部用戶進(jìn)行訪問(wèn)控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運(yùn)行的可靠性和安全性，必須要對(duì)它進(jìn)行詳盡的設(shè)計(jì)，盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點(diǎn)。</p><p>　　4.1.2防病毒系統(tǒng)需求</p><p>　　針對(duì)防病毒危害性極大并且傳播極為迅速，必須配備從單機(jī)到服務(wù)器的整套防病毒軟件，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)。<

89、/p><p>　　4.1.3網(wǎng)絡(luò)管理需求</p><p>　　此次建設(shè)的企業(yè)網(wǎng)絡(luò)系統(tǒng)是一個(gè)相當(dāng)復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)，包含多種設(shè)備和技術(shù)。隨著系統(tǒng)復(fù)雜度的增加，會(huì)給系統(tǒng)管理帶來(lái)成指數(shù)增加的管理工作量。為此必須要設(shè)計(jì)一套健全的管理系統(tǒng)。針對(duì)系統(tǒng)的功能采取相應(yīng)的管理措施。</p><p><b>　　4.2 外網(wǎng)安全</b></p><p

90、>　　由于外網(wǎng)主要運(yùn)行企業(yè)各部門(mén)非涉密的內(nèi)部辦公業(yè)務(wù)以及運(yùn)行面向客戶的公開(kāi)信息，所以必須采取過(guò)硬的安全技術(shù)來(lái)實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)系統(tǒng)不受Internet的“黑客”、病毒等攻擊。外網(wǎng)對(duì)安全的需求包括物理安全需求、數(shù)據(jù)鏈路層需求、入侵檢測(cè)系統(tǒng)需求、防病毒系統(tǒng)需求和安全管理體制等。</p><p>　　4.2.1物理安全需求</p><p>　　針對(duì)重要信息可能通過(guò)電磁輻射或線路干擾等泄漏。需要

91、對(duì)存放機(jī)密信息的機(jī)房進(jìn)行必要的設(shè)計(jì)，如構(gòu)建屏蔽室。采用輻射干擾機(jī)，防止電磁輻射泄漏機(jī)密信息。對(duì)重要的設(shè)備進(jìn)行冗余配置；對(duì)重要系統(tǒng)進(jìn)行備份等安全保護(hù)。</p><p>　　4.2.2數(shù)據(jù)鏈路層需求</p><p>　　信息的泄漏很多都是在鏈路上被搭線竊取，數(shù)據(jù)也可能因?yàn)樵阪溌飞媳唤孬@、被篡改后傳輸給對(duì)方，造成數(shù)據(jù)真實(shí)性、完整性得不到保證。如果利用加密設(shè)備對(duì)傳輸數(shù)據(jù)進(jìn)行加密，使得在網(wǎng)上傳輸?shù)臄?shù)

92、據(jù)以密文傳輸。因?yàn)閿?shù)據(jù)是密文，所以，即使在傳輸過(guò)程中被截獲，入侵者也讀不懂，而且加密機(jī)還能通過(guò)先進(jìn)行技術(shù)手段，對(duì)數(shù)據(jù)傳輸過(guò)程中的完整性、真實(shí)性進(jìn)行鑒別?？梢员ＷC數(shù)據(jù)的保密性、完整性及可靠性。因此，可能需要配備加密設(shè)備對(duì)數(shù)據(jù)進(jìn)行傳輸加密。</p><p>　　4.2.3入侵檢測(cè)系統(tǒng)需求</p><p>　　網(wǎng)絡(luò)安全是整體的、動(dòng)態(tài)的，不是單一產(chǎn)品能夠完全實(shí)現(xiàn)的，所以為了確保網(wǎng)絡(luò)更加安全必須配備

93、入侵檢測(cè)系統(tǒng)，對(duì)透過(guò)防火墻的攻擊進(jìn)行檢測(cè)并做相應(yīng)反應(yīng)（記錄、報(bào)警、阻斷）。</p><p>　　4.2.4防病毒系統(tǒng)需求</p><p>　　針對(duì)防病毒危害性極大并且傳播極為迅速，必須配備從單機(jī)到服務(wù)器的整套防病毒軟件，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)。</p><p><b>　　5 安全管理體制</b></p><p>　　安

94、全系統(tǒng)只能提供技術(shù)手段和措施，但人為的因素不可忽略，只有確立健全的安全管理體制，設(shè)立相應(yīng)的安全管理崗位，從制度上加以嚴(yán)格管理。</p><p>　　系統(tǒng)中包含大量的網(wǎng)絡(luò)設(shè)備，必須為其配置功能強(qiáng)大的管理系統(tǒng)，該系統(tǒng)應(yīng)具有以下功能：</p><p>　　(1)虛擬網(wǎng)管理、分配；</p><p>　　(2)對(duì)所有網(wǎng)絡(luò)設(shè)備端口的監(jiān)視和管理；</p><p

95、>　　(3)對(duì)網(wǎng)絡(luò)流量的監(jiān)測(cè)和管理；</p><p>　　(4)對(duì)所有網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理和控制，包括網(wǎng)絡(luò)端口設(shè)備的開(kāi)放和關(guān)閉；</p><p>　　(5)整個(gè)網(wǎng)絡(luò)的故障監(jiān)測(cè)，故障自動(dòng)報(bào)警功能；</p><p>　　(6)整個(gè)網(wǎng)絡(luò)性能的統(tǒng)計(jì)和分析報(bào)告。</p><p><b>　　5.1網(wǎng)絡(luò)應(yīng)用安全</b></

96、p><p>　　談到網(wǎng)絡(luò)應(yīng)用安全，人們首先想到的是網(wǎng)絡(luò)黑客。確實(shí)，網(wǎng)絡(luò)黑客幾乎與網(wǎng)絡(luò)同時(shí)誕生，黑客與反黑的斗爭(zhēng)從來(lái)就沒(méi)有停止過(guò)。要有效防止黑客，就必須首先了解黑客所使用的手段。一般說(shuō)來(lái)黑客所使用的手段主要有下面幾類(lèi)。</p><p><b>　　5.1.1網(wǎng)絡(luò)嗅探</b></p><p>　　一般說(shuō)來(lái)，有網(wǎng)絡(luò)路由器的地方都有探測(cè)程序（sniffer

97、 program）。探測(cè)程序是一種分析網(wǎng)絡(luò)流量的網(wǎng)絡(luò)應(yīng)用程序。IP的最基本的缺點(diǎn)是缺乏一種機(jī)制來(lái)確定數(shù)據(jù)包的真正來(lái)源。所有的包都含有源地址和目的地址，但是在IP包中沒(méi)有任何東西可以確認(rèn)IP包的源和目的地址是否變動(dòng)過(guò)。顯然，安全性不好的系統(tǒng)將是黑客進(jìn)駐和安裝探測(cè)軟件的地方。一旦探測(cè)軟件安裝完畢，黑客就可以通過(guò)分析經(jīng)過(guò)的所有數(shù)據(jù)流量，從而得到所需要的地址、帳號(hào)和密碼等數(shù)據(jù)。其中典型的包探測(cè)程序也就是利用IP的弱點(diǎn)，因?yàn)樗梢杂脕?lái)探測(cè)有效的I

98、nternet連接。一旦這種連接被檢測(cè)到，包探測(cè)程序就可以利用IP的其它弱點(diǎn)竊取其它連接信息。</p><p>　　5.1.2 ARP欺騙</p><p>　　感染了ARP 欺騙病毒的計(jì)算機(jī)會(huì)向同網(wǎng)段內(nèi)所有計(jì)算機(jī)發(fā)ARP欺騙包，導(dǎo)致網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)因網(wǎng)關(guān)物理地址被更改而無(wú)法上網(wǎng)，被欺騙計(jì)算機(jī)的典型癥狀是剛開(kāi)機(jī)能上網(wǎng)，幾分鐘之后斷網(wǎng)，如此不斷重復(fù)，造成了該子網(wǎng)段范圍內(nèi)的不穩(wěn)定，影響其它機(jī)器的

99、正常使用。更為嚴(yán)重的是ARP欺騙病毒及其變形“惡意竊聽(tīng)”等病毒的中毒主機(jī)會(huì)截取局域網(wǎng)范圍內(nèi)所有的通訊數(shù)據(jù)。</p><p>　　5.1.3 IP地址欺騙</p><p>　　當(dāng)一個(gè)黑客開(kāi)始使用一種用以散布網(wǎng)絡(luò)路由信息的應(yīng)用程序RIP時(shí)，一種路由方式的地址欺騙就開(kāi)始了。一般說(shuō)來(lái)，當(dāng)一個(gè)網(wǎng)絡(luò)收到RIP信息時(shí)，這種信息是沒(méi)有得到驗(yàn)證的。這種缺陷的結(jié)果是使得黑客可以發(fā)送虛假的路由信息到他想進(jìn)行欺騙

100、的一臺(tái)主機(jī)，如主機(jī)A。這種假冒的信息頁(yè)將發(fā)送到主機(jī)A的路徑上的所有網(wǎng)關(guān)。主機(jī)A和這些網(wǎng)關(guān)收到的虛假路由信息是來(lái)自網(wǎng)絡(luò)上的一臺(tái)不工作或沒(méi)有使用的主機(jī)，如主機(jī)B。這樣，任何要發(fā)送到主機(jī)B的信息都會(huì)轉(zhuǎn)送到黑客的計(jì)算機(jī)上，而主機(jī)A和網(wǎng)關(guān)還認(rèn)為信息是流向了主機(jī)B——網(wǎng)絡(luò)上一個(gè)可信任的節(jié)點(diǎn)。一旦黑客成功地將他的計(jì)算機(jī)取代了網(wǎng)絡(luò)上的一臺(tái)實(shí)際主機(jī)，就實(shí)現(xiàn)了主機(jī)欺騙。</p><p>　　5.1.4 DOS攻擊</p>

101、<p>　　DOS攻擊也稱強(qiáng)攻擊，其最基本的方法就是通過(guò)發(fā)起大量的服務(wù)請(qǐng)求，消耗服務(wù)器或網(wǎng)絡(luò)的系統(tǒng)資源，使之最終無(wú)法響應(yīng)其它請(qǐng)求，導(dǎo)致系統(tǒng)癱瘓。具體實(shí)現(xiàn)方法有下面幾種：</p><p>　　1、PING/ICMP Echo Flood攻擊</p><p>　　這種攻擊模式一般是發(fā)起大量的ICMP Echo請(qǐng)求給一個(gè)指定的目標(biāo)，以達(dá)到使服務(wù)癱瘓的目的。但是需要發(fā)起這么大量的IC

102、MP 請(qǐng)求是不可能從一臺(tái)具有正確IP地址的主機(jī)上做到的，因?yàn)檫@樣也會(huì)對(duì)自身產(chǎn)生很大的影響，發(fā)起者不得不接受同樣多的回應(yīng)。所以HACKER需要利用虛假的地址再發(fā)起攻擊。</p><p>　　我們可以利用H3C 9512的源地址驗(yàn)證功能實(shí)現(xiàn)防止PING攻擊。</p><p><b>　　2、SMURF攻擊</b></p><p>　　SMURF攻擊

103、類(lèi)似與PING攻擊，是一種帶寬消耗的攻擊模式。它需要大量虛假I(mǎi)CMP請(qǐng)求導(dǎo)向到IP廣播地址上。當(dāng)一個(gè)包是從設(shè)備的本地網(wǎng)絡(luò)外發(fā)送到本地網(wǎng)絡(luò)的廣播地址的時(shí)候，它被轉(zhuǎn)發(fā)到這個(gè)本地網(wǎng)絡(luò)的所有設(shè)備上。于是我們可以看到在SMURF攻擊中有3大部分：發(fā)起攻擊者，中間系統(tǒng)，和受害者。當(dāng)然中間系統(tǒng)也可能同樣是受害者。中間系統(tǒng)接從廣播地址那里收到ICMP應(yīng)答請(qǐng)求，當(dāng)這些設(shè)備同時(shí)回答請(qǐng)求的時(shí)候，就會(huì)導(dǎo)致嚴(yán)重網(wǎng)絡(luò)阻塞。</p><p>

104、　　防止SMURF攻擊的重要措施是在路由器上配置不準(zhǔn)廣播進(jìn)入的條目。我們也可以利用ZXR10-UAS的安全ARP功能去阻擋流量到廣播地址。</p><p><b>　　3、SYN攻擊</b></p><p>　　TCP SYN攻擊是一種以大量虛假I(mǎi)P地址發(fā)起SYN握手信號(hào)消耗掉被攻擊設(shè)備的資源的攻擊模式。設(shè)備要做出大量的SYN回應(yīng)，而三次握手卻是無(wú)法正常完成，必須等待

105、Time out之后（通常是1分鐘左右）。在短時(shí)間內(nèi)大量發(fā)起SYN攻擊，會(huì)很快消耗完設(shè)備的資源，讓被攻擊者無(wú)法完成正常的TCP服務(wù)，如E-MAIL，WWW等。</p><p><b>　　4、LAND攻擊</b></p><p>　　LAND攻擊是SYN攻擊一種演變，它似的好像主機(jī)是在自己給自己發(fā)送包，從而讓系統(tǒng)變得不斷的嘗試應(yīng)答自己。</p><

106、p>　　5、分布式DOS攻擊（DDOS）</p><p>　　DDOS攻擊是一種更嚴(yán)重的攻擊手段，它通過(guò)某些主機(jī)操作系統(tǒng)/軟件的缺陷，從而操縱大量的第三方設(shè)備向目標(biāo)發(fā)起攻擊，擴(kuò)大了DOS攻擊的強(qiáng)度。一般來(lái)說(shuō)，HACKER主要利用EMAIL或者JAVE Script等去控制其他主機(jī)，而且通常都以UNIX主機(jī)/服務(wù)器為主，因?yàn)樗鼈兪?4*7工作模式，方便被HACKER在方便的時(shí)候操縱和發(fā)起攻擊。通常我們需要在路

107、由器上打開(kāi)外出包過(guò)濾去防止欺騙包離開(kāi)網(wǎng)絡(luò)，同時(shí)也可以采用工具去搜索本網(wǎng)絡(luò)中DDOS的引擎并且刪除它。</p><p>　　黑客攻擊是網(wǎng)絡(luò)應(yīng)用安全的重點(diǎn)，但并不是全部。網(wǎng)絡(luò)應(yīng)用安全還應(yīng)該包括對(duì)網(wǎng)絡(luò)內(nèi)部不同用戶權(quán)限的外部訪問(wèn)控制（例如沒(méi)有授權(quán)用戶不準(zhǔn)上Internet或不準(zhǔn)訪問(wèn)與公司業(yè)務(wù)無(wú)關(guān)的娛樂(lè)性網(wǎng)站等）。</p><p><b>　　總 結(jié)</b></p&

108、gt;<p>　　1）隨著科技的發(fā)展，網(wǎng)絡(luò)在經(jīng)濟(jì)規(guī)模中正以不可替代的趨勢(shì)，扮演著“利用信息資源，協(xié)調(diào)醫(yī)療成本，提高經(jīng)濟(jì)效益”的重要角色。對(duì)于企業(yè)而言，網(wǎng)絡(luò)的構(gòu)建是企業(yè)不可缺少的一部分。</p><p>　　2）在設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)時(shí)，企業(yè)的商業(yè)目的是優(yōu)先處理的因素，因此要考慮其成本、擴(kuò)充性、安裝維護(hù)是否方便等。綜合這些因素，使用網(wǎng)絡(luò)設(shè)備商的中低端設(shè)備，構(gòu)建快速以太網(wǎng)，是適合中小型企業(yè)網(wǎng)絡(luò)的解決方案。<

109、;/p><p>　　3)通過(guò)這次的畢業(yè)論文設(shè)計(jì)，我真的學(xué)到了很多的東西，在實(shí)際的工作我們要做的除了模塊化的東西外，我們盡量要把東西系統(tǒng)化，因?yàn)楹芏鄸|西就是有聯(lián)系的你只要找到了他們的關(guān)系會(huì)為你處理問(wèn)題帶來(lái)很高的效率，我也從中發(fā)現(xiàn)了自身很多不足的地方知識(shí)面還不夠廣，系統(tǒng)的認(rèn)識(shí)問(wèn)題還不夠，在學(xué)習(xí)中趨于模塊化了，所有要加強(qiáng)系統(tǒng)化的學(xué)習(xí)，努力提高自己的技術(shù)水平。</p><p>　　4）本方案中使用的主

110、要技術(shù)方法：</p><p>　　<1>采用成熟的OSPF協(xié)議規(guī)劃網(wǎng)絡(luò)；</p><p>　　<2>VLAN技術(shù)保證部門(mén)的隔離和安全，VTP管理VLAN的傳播；</p><p>　　<3>HSRP技術(shù)增強(qiáng)骨干網(wǎng)的穩(wěn)定性，</p><p>　　<4>組播技術(shù)，保證鏈路帶寬費(fèi)充分利用，避免浪費(fèi)；&l

111、t;/p><p>　　<5>ACL管理，保證企業(yè)數(shù)據(jù)的安全性；</p><p><b>　　參考文獻(xiàn)</b></p><p>　　[1] 胡存生等 《局域網(wǎng)—組網(wǎng)技術(shù)與維護(hù)管理》北京：電子工業(yè)出版社，2004.8 [2] 謝希仁 《計(jì)算機(jī)網(wǎng)絡(luò)》北京：電子工業(yè)出版社，2008.1 第五版 [3] 黃燕 《計(jì)算機(jī)網(wǎng)絡(luò)教程》北京：人民郵

112、電出版社 2004.4[4] 劉小偉 《電腦局域網(wǎng)全面上手》 北京：海洋出版社 2003.1[5] 黃傳河等 《計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用設(shè)計(jì)》 武漢：武漢大學(xué)出版社 2004.8[6] 杜朝暉 《局域網(wǎng)與組網(wǎng)實(shí)訓(xùn)教程》 北京：北京郵電大學(xué)出版社 2004.10</p><p>　　[7] 朱加強(qiáng) 《計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)》 北京：北大燕工出版社 2007.8</p><p>　　[8]朱利軍、金素

113、梅 《中小企業(yè)網(wǎng)絡(luò)管理員實(shí)戰(zhàn)指南》 北京： 科教出版社 2008.7</p><p>　　[9]51CTO.com 《案例精解企業(yè)級(jí)網(wǎng)絡(luò)構(gòu)建》 北京 電子工業(yè)出版社 2008.6</p><p><b>　　致 謝</b></p><p>　　在論文完成之際，我要特別感謝我的指導(dǎo)老師徐秋菊老師的熱情關(guān)懷和悉心指導(dǎo)。在我撰寫(xiě)論文的過(guò)程中，徐