版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、<p><b> 畢業(yè)設(shè)計(jì)(論文)</b></p><p> 作 者: 學(xué) 號(hào): </p><p> 系 部: 信 息 工 程 系 </p><p> 專 業(yè): 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) </p>&l
2、t;p> 題 目: xx有限公司網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì) </p><p> 2013 年 4 月 </p><p> 畢業(yè)設(shè)計(jì)(論文)中文摘要</p><p> 畢業(yè)設(shè)計(jì)(論文)外文摘要</p><p><b> 目錄</b></p><p><b> 1 引
3、言1</b></p><p><b> 1.1研究背景1</b></p><p><b> 1.2研究意義2</b></p><p> 1.3企業(yè)網(wǎng)絡(luò)建設(shè)目標(biāo)2</p><p> 1.4論文的組織3</p><p> 2 企業(yè)網(wǎng)網(wǎng)絡(luò)設(shè)備與需求
4、設(shè)計(jì)分析4</p><p> 2.1企業(yè)網(wǎng)網(wǎng)絡(luò)設(shè)備4</p><p> 2.2 企業(yè)網(wǎng)絡(luò)需求設(shè)計(jì)分析6</p><p> 3 企業(yè)網(wǎng)網(wǎng)絡(luò)技術(shù)9</p><p> 3.1 VLAN技術(shù)9</p><p> 3.2 WLAN技術(shù)10</p><p> 3.3 網(wǎng)絡(luò)安全技術(shù)
5、10</p><p> 4 企業(yè)網(wǎng)絡(luò)架構(gòu)分析及解決方案14</p><p> 4.1 企業(yè)網(wǎng)絡(luò)架構(gòu)分析14</p><p> 4.2 企業(yè)網(wǎng)絡(luò)架構(gòu)解決方案23</p><p> 5 公司網(wǎng)絡(luò)設(shè)計(jì)方案27</p><p> 5.1總公司網(wǎng)絡(luò)設(shè)計(jì)方案27</p><p>
6、5.2分公司網(wǎng)絡(luò)設(shè)計(jì)方案37</p><p> 6 企業(yè)級(jí)網(wǎng)絡(luò)設(shè)計(jì)方案的測(cè)試與驗(yàn)收40</p><p> 6.1物理測(cè)試40</p><p> 6.2功能性測(cè)試40</p><p><b> 結(jié)論42</b></p><p><b> 致謝43</b>
7、</p><p><b> 參考文獻(xiàn)43</b></p><p><b> 1 引言</b></p><p><b> 1.1研究背景</b></p><p> 為適應(yīng)企業(yè)信息化的發(fā)展,滿足日益增長(zhǎng)的通訊需求和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行,如今的大型企業(yè)網(wǎng)絡(luò)建設(shè)比傳統(tǒng)企業(yè)網(wǎng)絡(luò)建設(shè)
8、提出更高的要求,主要表現(xiàn)在如下幾個(gè)方面:</p><p> 1)現(xiàn)代大型企業(yè)網(wǎng)絡(luò)需要高帶寬和高性能,以滿足企業(yè)員工日益增長(zhǎng)的通訊需求。隨著計(jì)算機(jī)技術(shù)的多樣化發(fā)展,基于網(wǎng)絡(luò)的各種應(yīng)用日益增多,如今的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個(gè)多業(yè)務(wù)承載平臺(tái),它不僅要繼續(xù)承載企業(yè)的辦公自動(dòng)化和WEB瀏覽等簡(jiǎn)單的數(shù)據(jù)業(yè)務(wù),還要承載涉及企業(yè)生產(chǎn)運(yùn)營(yíng)的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù),以及帶寬和時(shí)延都要求很高的IP電話、視頻會(huì)議等多媒體業(yè)務(wù),因此數(shù)據(jù)流
9、量將大大增加,尤其是對(duì)核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出前所未有的要求。</p><p> 2)現(xiàn)代大型企業(yè)網(wǎng)絡(luò)需要更高的可靠性和實(shí)時(shí)性,用以保障企業(yè)生產(chǎn)運(yùn)營(yíng)的正常進(jìn)行。隨著企業(yè)各種業(yè)務(wù)需要在計(jì)算機(jī)網(wǎng)絡(luò)上進(jìn)行操作,如何保障企業(yè)網(wǎng)絡(luò)無中斷運(yùn)行已經(jīng)成為保證企業(yè)正常的生產(chǎn)運(yùn)營(yíng)的關(guān)鍵?,F(xiàn)代大型企業(yè)網(wǎng)絡(luò)在可靠性設(shè)計(jì)方面主要應(yīng)從三方面考慮:首先是設(shè)備級(jí)可靠性設(shè)計(jì),這里不僅要考察網(wǎng)絡(luò)設(shè)備是否實(shí)現(xiàn)了關(guān)鍵部件的冗余備份,還要從網(wǎng)絡(luò)設(shè)備整
10、體設(shè)計(jì)架構(gòu)、處理引擎種類等多方面去考察;其次是業(yè)務(wù)的可靠性設(shè)計(jì),這里要注意網(wǎng)絡(luò)設(shè)備在故障倒換過程中是否對(duì)業(yè)務(wù)的正常運(yùn)行有影響;再次是鏈路的可靠性設(shè)計(jì),以太網(wǎng)的鏈路安全來自于它的多路徑選擇,所以在企業(yè)網(wǎng)絡(luò)建設(shè)時(shí)要考慮網(wǎng)絡(luò)設(shè)備是否能夠提供有效的鏈路自愈手段和快速重路由協(xié)議的支持。</p><p> 3)現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案,以阻擊病毒和黑客的攻擊,減少企業(yè)的經(jīng)濟(jì)損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施
11、主要是通過部署防火墻、IDS、殺毒軟件以及配合交換機(jī)或路由器的訪問列表來實(shí)現(xiàn)對(duì)于病毒和黑客攻擊的防御,但實(shí)踐證明這些被動(dòng)的防御措施并不能有效的解決企業(yè)網(wǎng)絡(luò)的安全問題。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運(yùn)營(yíng)的重要組成部分的今天,現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入控制,病毒報(bào)文識(shí)別到主動(dòng)抑制的一系列安全控制手段,才能有效的保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。</p><p><b> 1.2研究意義</b>&l
12、t;/p><p> 網(wǎng)絡(luò)設(shè)計(jì)人員通常有能力創(chuàng)建出一個(gè)符合要求的企業(yè)網(wǎng)絡(luò),但當(dāng)問題出現(xiàn)的時(shí)候,他們卻不能采用構(gòu)建網(wǎng)絡(luò)時(shí)的思維來解決這些問題。每一次對(duì)網(wǎng)絡(luò)的升級(jí)、打補(bǔ)丁以及修改都會(huì)進(jìn)一步增加網(wǎng)絡(luò)的復(fù)雜性。這些問題可能導(dǎo)致網(wǎng)絡(luò)難以被人理解,也不易于故障排除。隨著時(shí)間的推移,可能導(dǎo)致網(wǎng)絡(luò)不如預(yù)期的那樣運(yùn)行良好,隨著網(wǎng)絡(luò)規(guī)模的不斷增長(zhǎng)而不能很好的擴(kuò)展,并且不能達(dá)到客戶的需求。解決這一問題的方法就是采用規(guī)范化、系統(tǒng)化的手段來構(gòu)
13、建企業(yè)網(wǎng)絡(luò)。結(jié)構(gòu)化系統(tǒng)分析的主要目標(biāo)是能夠更準(zhǔn)確的描述用戶需求,但在實(shí)際工作中,用戶的需求常常被設(shè)計(jì)人員忽略或理解錯(cuò)誤。另一個(gè)目標(biāo)是將項(xiàng)目分解成更易被維護(hù)與修改的模塊,使其便于管理。對(duì)于大型的網(wǎng)絡(luò)設(shè)計(jì)項(xiàng)目,模塊化顯得十分必要。設(shè)計(jì)應(yīng)該依功能劃分,從而使項(xiàng)目更容易管理。傳統(tǒng)的企業(yè)網(wǎng)一般在一個(gè)VLAN中,所有的網(wǎng)絡(luò)設(shè)備處于同一個(gè)廣播域內(nèi),網(wǎng)絡(luò)帶寬利用率低,網(wǎng)絡(luò)故障多。容易受到蠕蟲等電腦病毒的攻擊,網(wǎng)絡(luò)的安全性、穩(wěn)定性、可可靠不能得到保障。合
14、理地規(guī)劃和設(shè)計(jì)企業(yè)網(wǎng)絡(luò)環(huán)境,采用當(dāng)今流行的網(wǎng)絡(luò)三層架構(gòu),再使用VLAN技術(shù)來合理地劃分網(wǎng)絡(luò)區(qū)域,可以有效地隔離網(wǎng)絡(luò)廣播風(fēng)暴,阻斷網(wǎng)絡(luò)攻擊,方便網(wǎng)絡(luò)的日常維護(hù)和管理</p><p> 企業(yè)網(wǎng)絡(luò)建設(shè)是一個(gè)長(zhǎng)期、復(fù)雜的工程,設(shè)備的配置和管理是其中的主要內(nèi)容。開展企業(yè)網(wǎng)絡(luò)設(shè)計(jì)及實(shí)施方案應(yīng)用研究,是為數(shù)字化企業(yè)建設(shè)提供一個(gè)可靠的運(yùn)行平臺(tái),是數(shù)字化企業(yè)安全、穩(wěn)定、可靠運(yùn)行的基礎(chǔ),對(duì)企業(yè)網(wǎng)絡(luò)建設(shè)和應(yīng)用具有重要的指導(dǎo)意義。&l
15、t;/p><p> 1.3企業(yè)網(wǎng)絡(luò)建設(shè)目標(biāo)</p><p> 隨著科技的不斷發(fā)展,公司的規(guī)模不斷擴(kuò)大,占地面積也在擴(kuò)大,員工企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)的數(shù)量也在日益增多。目前的網(wǎng)絡(luò)已經(jīng)不能滿足當(dāng)前發(fā)展的需要,主要表現(xiàn)為網(wǎng)絡(luò)不穩(wěn)定,網(wǎng)絡(luò)抖動(dòng)現(xiàn)象頻發(fā),線路連線成本高,周期長(zhǎng),不易管理,安全性差,網(wǎng)絡(luò)功能性差,因此建立一個(gè)規(guī)范的高效的辦公網(wǎng)絡(luò)體系對(duì)于公司來說迫在眉睫。</p><p&
16、gt; 公司將要通過建設(shè)一個(gè)高速、安全、可靠、可擴(kuò)充的網(wǎng)絡(luò)系統(tǒng)以實(shí)現(xiàn)企業(yè)內(nèi)部信息的高度共享和快速傳遞,實(shí)現(xiàn)信息的及時(shí)交流和全面管理,同時(shí)集團(tuán)領(lǐng)導(dǎo)能夠?qū)崟r(shí)、全面、準(zhǔn)確地掌握全集團(tuán)的科研、管理、財(cái)務(wù)、人事等各方面情況,建立出口信道,以便與Internet互聯(lián)。系統(tǒng)總體設(shè)計(jì)將本著總體規(guī)劃、分布實(shí)施的原則,充分體現(xiàn)系統(tǒng)的技術(shù)先進(jìn)性、高度的安全性和可靠性,同時(shí)具有良好的開放性和可擴(kuò)展性。本著為企業(yè)著想,合理使用建設(shè)資金,使系統(tǒng)經(jīng)濟(jì)可行。公司網(wǎng)絡(luò)
17、的主要功能包括:文件傳輸(FTP)、郵件系統(tǒng)(Mall)、數(shù)據(jù)庫服務(wù)(DB、WEB服務(wù)器)、分布式數(shù)據(jù)存儲(chǔ)、容災(zāi)備份、在線信息發(fā)布、在線信息咨詢與反饋、數(shù)據(jù)庫查詢、信息共享、本文將圍繞網(wǎng)絡(luò)基礎(chǔ)構(gòu)建進(jìn)行詳細(xì)研究討論。</p><p><b> 1.4論文的組織</b></p><p> 論文第一章介紹課題來源、研究的內(nèi)容和目的。第二章介紹企業(yè)網(wǎng)中常用的網(wǎng)絡(luò)設(shè)備,以及
18、網(wǎng)絡(luò)設(shè)備的主要特點(diǎn)及應(yīng)用。第三章介紹了常用的網(wǎng)絡(luò)技術(shù),以及相關(guān)網(wǎng)絡(luò)技術(shù)在企業(yè)網(wǎng)建設(shè)中的應(yīng)用。第四章介紹了企業(yè)網(wǎng)絡(luò)架構(gòu)分析及解決方案。第五章講述了企業(yè)網(wǎng)總體企業(yè)網(wǎng)絡(luò)設(shè)計(jì)及實(shí)施方案,以及VLAN的劃分和IP地址的分配。第六章主要是測(cè)試與驗(yàn)收。</p><p> 2 企業(yè)網(wǎng)網(wǎng)絡(luò)設(shè)備與需求設(shè)計(jì)分析</p><p> 2.1企業(yè)網(wǎng)網(wǎng)絡(luò)設(shè)備</p><p><b&g
19、t; 2.1.1路由器</b></p><p> 路由器是工作在OSI參考模型第三層(網(wǎng)絡(luò)層)的網(wǎng)絡(luò)設(shè)備,其主要功能是檢查數(shù)據(jù)包中與網(wǎng)絡(luò)層相關(guān)的信息,然后根據(jù)某些規(guī)則轉(zhuǎn)發(fā)數(shù)據(jù)包。即實(shí)現(xiàn)將一個(gè)數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)發(fā)送到另一個(gè)網(wǎng)絡(luò)。然而,路由器不但要檢查數(shù)據(jù)包中的數(shù)據(jù)鏈路層的信息,還要檢查數(shù)據(jù)包中的其它信息,所以,路由器要有較高的數(shù)據(jù)處理和數(shù)據(jù)轉(zhuǎn)發(fā)能力。</p><p> 路由器
20、是連接不同網(wǎng)段或不同網(wǎng)絡(luò)協(xié)議的網(wǎng)絡(luò)設(shè)備。在網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)傳輸時(shí),路由器根據(jù)所收到的數(shù)據(jù)報(bào)頭中的目的地址,選擇一個(gè)合適的路徑,然后將數(shù)據(jù)包傳送到下一個(gè)路由器,并以此類推,路徑上最后的路由器負(fù)責(zé)將數(shù)據(jù)包傳送給目的主機(jī)。路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的依據(jù)是路由表。表中每條路由項(xiàng)都指明數(shù)據(jù)包到某子網(wǎng)或某主機(jī)應(yīng)通過路由器的哪個(gè)物理端口發(fā)送,以及下一跳地址,并將數(shù)據(jù)包最終傳送到目的主機(jī)。</p><p> a)目的地址/子網(wǎng)掩碼<
21、;/p><p> 目的地址/子網(wǎng)掩碼(Destination/Mask),即NetworkDestination和Netmask,用來標(biāo)識(shí)仲數(shù)據(jù)報(bào)文的目的主機(jī)或目的網(wǎng)絡(luò)地址。</p><p><b> b)下一跳地址</b></p><p> 下一跳地址(Next一hop),即網(wǎng)關(guān)(Gateway),是最接近目的網(wǎng)絡(luò)的下一個(gè)路由設(shè)備地址。&l
22、t;/p><p><b> c)度量值</b></p><p> 度量值(Metric),說明IP數(shù)據(jù)包需要經(jīng)過多少跳才能到達(dá)目標(biāo)。主要用于說明到達(dá)目標(biāo)網(wǎng)絡(luò)還需要經(jīng)過多少個(gè)路由設(shè)備進(jìn)行轉(zhuǎn)發(fā),路由器依據(jù)度量值選擇一條較優(yōu)的路徑發(fā)送IP數(shù)據(jù)包,保證IP數(shù)據(jù)包能更快的到達(dá)目的。</p><p> d)默認(rèn)路由(Defaultroute)</p
23、><p> 默認(rèn)路由(Defaultroute),是0.0.0.0/0,子網(wǎng)掩碼長(zhǎng)度為0,表明此路由匹配所有的IP地址。默認(rèn)路由是一種特殊的靜態(tài)路由,能夠匹配所有IP地址。但因?yàn)槟J(rèn)路由的子網(wǎng)掩碼最短,所以只有在沒有其它路由匹配的數(shù)據(jù)包的情況下,系統(tǒng)才會(huì)選擇默認(rèn)路由轉(zhuǎn)發(fā)數(shù)據(jù)包。</p><p><b> 2.1.2 防火墻</b></p><p&g
24、t; 防火墻(Firewall)放置在用戶和外部網(wǎng)絡(luò)之間,用于將內(nèi)部網(wǎng)和外部外部網(wǎng)絡(luò)(如Internet)分開,保護(hù)內(nèi)部網(wǎng)絡(luò)設(shè)備和用戶的.安全。從使用范圍來看,主要分為個(gè)人防火墻和網(wǎng)絡(luò)防火墻,分別用于保護(hù)個(gè)人計(jì)算機(jī)和一個(gè)網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)。從結(jié)構(gòu)組成來看,主要分為軟件防火墻和硬件防火墻,軟件防火墻主要應(yīng)用于中小型企業(yè)網(wǎng)絡(luò)環(huán)境或大型企業(yè)的局部網(wǎng)絡(luò)環(huán)境,而在數(shù)據(jù)流量較大的企業(yè)網(wǎng)絡(luò)環(huán)境中,通常使用性能更高的硬件防火墻。采用IP封包過濾技術(shù)的防火
25、墻運(yùn)作在TCP/IP協(xié)議堆棧上,稱為網(wǎng)絡(luò)層防火墻。它以枚舉的方式工作,只允許符合特定規(guī)則的封包通過,其余的一概禁止通過防火墻。也可以選擇“否定規(guī)則”,即不符合規(guī)則的封包允許通過。這些規(guī)則通??梢越?jīng)由管理員定義或修改,許多防火墻設(shè)備都內(nèi)置了一些默認(rèn)規(guī)則。有些防火墻還能利用封包的第二章企業(yè)網(wǎng)網(wǎng)絡(luò)設(shè)備多樣屬性來進(jìn)行過濾,例如:來源IP地址、來源端口號(hào)、目的IP地址、目的端口號(hào)、服務(wù)類型(如WWW或是FTP)。也可以根據(jù)通信協(xié)議、TTL值、來源
26、的網(wǎng)域名稱或網(wǎng)段等屬性來進(jìn)行過濾。最新開發(fā)的防火墻技術(shù)多是在TCP/IP堆棧的“應(yīng)用層”上運(yùn)作,稱為應(yīng)用層防火墻??梢詫?duì)使用瀏覽</p><p><b> 2.1.3 交換機(jī)</b></p><p> 在目前普遍使用的局域網(wǎng)中,交換式以太網(wǎng)技術(shù)已經(jīng)基本替代了共享式以太網(wǎng)技術(shù),交換機(jī)也基本取代了集線器,成為局域網(wǎng)中非常重要的網(wǎng)絡(luò)設(shè)備,負(fù)責(zé)在主機(jī)之間快速轉(zhuǎn)發(fā)數(shù)據(jù)幀。&
27、lt;/p><p><b> a)二層交換機(jī)</b></p><p> 二層交換機(jī)工作在數(shù)據(jù)鏈路層,可以識(shí)別數(shù)據(jù)包中的MAC地址信息,根據(jù)MAC地址進(jìn)行轉(zhuǎn)發(fā),并將這些MAC地址與對(duì)應(yīng)的端口信息保存在交換機(jī)的MAC地址表中。交換機(jī)采用CSMA/CD機(jī)制檢測(cè)和避免沖突,交換機(jī)各個(gè)端口能夠獨(dú)立進(jìn)行沖突檢測(cè)、發(fā)送和接收數(shù)據(jù),相互之間沒有干擾。因此,交換機(jī)的各個(gè)端口屬于不同的沖
28、突域,各端口獨(dú)享帶寬。二層交換機(jī)主要安裝在網(wǎng)絡(luò)的接入層,用于連接網(wǎng)絡(luò)終端設(shè)備。</p><p><b> b)三層交換機(jī)</b></p><p> 大型局域網(wǎng)絡(luò)一般按照部門、地域等因素劃分成一個(gè)個(gè)小的局域網(wǎng),這提高了網(wǎng)絡(luò)的安全可靠性,同時(shí)也阻斷了網(wǎng)絡(luò)內(nèi)部設(shè)備之間的網(wǎng)際互訪。單純的使用二層交換機(jī)不能實(shí)現(xiàn)網(wǎng)際互訪,使用路由器又會(huì)增加網(wǎng)絡(luò)建設(shè)成本,限制網(wǎng)絡(luò)的速度和網(wǎng)絡(luò)規(guī)
29、模,目前一般多采用具有路由功能的三層交換機(jī)解決以上問題。三層交換機(jī)也稱為路由交換機(jī),它綜合實(shí)現(xiàn)了路由和二層交換機(jī)的功能。路由器相當(dāng)于存在交換機(jī)中的一個(gè)路由軟件模塊,實(shí)現(xiàn)三層路由轉(zhuǎn)發(fā);而交換機(jī)相當(dāng)于二層交換機(jī)模塊,實(shí)現(xiàn)VLAN內(nèi)的二層快速轉(zhuǎn)發(fā)。工作時(shí)采用一次尋址多次轉(zhuǎn)發(fā)的機(jī)制,加快了大型局域網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的快速轉(zhuǎn)發(fā)。</p><p><b> c)四層交換機(jī)</b></p>&l
30、t;p> 四層交換機(jī)能夠工作在OSI參考模型的第四層,它的數(shù)據(jù)傳輸不僅僅依據(jù)以C地址或源/目標(biāo)IP地址,而且依據(jù)TCP/UDP(第四層)應(yīng)用端口號(hào)。第四層交換功能就像是虛IP,指向物理服務(wù)器。它傳輸?shù)臉I(yè)務(wù)服從的協(xié)議多種多樣,有HTTP、FTP、NFS、Telnet或其他協(xié)議。這些業(yè)務(wù)在物理服務(wù)器基礎(chǔ)上,需要復(fù)雜的載量平衡。在IP數(shù)據(jù)傳輸時(shí),業(yè)務(wù)類型由終端TCP或UDP端口地址來決定,即同時(shí)由源端和終端IP地址、TCP和UDP端口
31、共同決定。四層交換機(jī)現(xiàn)在只有思科等少數(shù)公司有應(yīng)用產(chǎn)品,其他公司多數(shù)還處于研發(fā)階段,市場(chǎng)使用較少。</p><p> 2.2 企業(yè)網(wǎng)絡(luò)需求設(shè)計(jì)分析</p><p> 2.2.1 網(wǎng)絡(luò)需求</p><p> 目前,公司分為總公司和分公司兩心、大型服務(wù)器和接入等,分公司與總公司出差的員工利用VPN網(wǎng)關(guān)能夠時(shí)刻訪問公要為其分析當(dāng)前面臨的主要問題,確定公司基礎(chǔ)上選擇設(shè)計(jì)
32、適合的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)各方面詳細(xì)闡述。</p><p> a)企業(yè)寬帶性能需求</p><p> 隨著計(jì)算機(jī)技術(shù)的高速發(fā)展,集團(tuán)公要承載企業(yè)的辦公自動(dòng)化、WEB瀏覽等運(yùn)營(yíng)的各種業(yè)務(wù)應(yīng)用以及帶寬和時(shí)延都很高因此,數(shù)據(jù)量大大增加,這就要求必須增骨干層必須具有千兆位級(jí)帶寬和處理性能,個(gè)暢通無阻的“高品質(zhì)”大型企業(yè)網(wǎng),從增長(zhǎng)的需求。</p><p><b>
33、 b)穩(wěn)定可靠需求</b></p><p> 隨著公司的發(fā)展多種業(yè)務(wù)應(yīng)用都將絡(luò)通信將成為企業(yè)正常運(yùn)營(yíng)的保障。因此,才能保證網(wǎng)絡(luò)的實(shí)時(shí)暢通?,F(xiàn)代企業(yè)網(wǎng)絡(luò)在可靠性設(shè)計(jì)上主要有以設(shè)備的可靠性:不但網(wǎng)絡(luò)設(shè)備的關(guān)鍵部引擎種類,整體設(shè)計(jì)構(gòu)架也都要考慮到。業(yè)務(wù)的可靠性:當(dāng)網(wǎng)絡(luò)設(shè)備發(fā)生問題進(jìn)務(wù)的正常運(yùn)行。</p><p><b> c)服務(wù)質(zhì)量需求</b></
34、p><p> 為了滿足企業(yè)網(wǎng)承載多種業(yè)務(wù)的需求,就必OS保障。隨著企業(yè)發(fā)展,企業(yè)的業(yè)務(wù)不斷增多也在增加,如果單純的增大帶寬不能夠保障數(shù)據(jù)夠?qū)τ诰o急的應(yīng)用事件和不同重要程度的事件進(jìn)數(shù)據(jù)流。另外企業(yè)網(wǎng)絡(luò)也能夠智能化的調(diào)度網(wǎng)絡(luò)務(wù)的帶寬、優(yōu)先級(jí)、時(shí)延等。大型企業(yè)網(wǎng)絡(luò)系統(tǒng)務(wù)的保障。</p><p><b> d)網(wǎng)絡(luò)安全需求</b></p><p>
35、為了阻止黑客和病毒的攻擊,最大程度的減提供更安全更完善的解決方案。傳統(tǒng)的企業(yè)網(wǎng)墻、IDS、殺毒軟件等,以及配合交換機(jī)和路擊,但實(shí)踐證明這些被動(dòng)的防御措施并不能有代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入控制、安全控制手段,以保障企業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。</p><p> e)網(wǎng)絡(luò)智能化管理需求</p><p> 為了適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴(kuò)大、維護(hù)工作更加方案應(yīng)更加智能。</p><
36、p><b> 2.2.2設(shè)計(jì)分析</b></p><p><b> a)設(shè)計(jì)目標(biāo)</b></p><p> 在網(wǎng)絡(luò)層面上,建設(shè)一個(gè)以現(xiàn)代網(wǎng)絡(luò)技術(shù)為覆蓋公司主要樓宇的企業(yè)主干網(wǎng),將企業(yè)的網(wǎng)連接起來,并與有關(guān)廣域網(wǎng)相連,以便在的信息資源。在此基礎(chǔ)上形成結(jié)構(gòu)合理、研發(fā)、交流和管理工作的軟硬件環(huán)境,開發(fā)人員提供充分的網(wǎng)絡(luò)信息服務(wù)。系統(tǒng)總體設(shè)計(jì)
37、將本著總體規(guī)劃,分布實(shí)性、高度的安全可靠性,同時(shí),具有良好的合理使用建設(shè)資金,使系統(tǒng)經(jīng)濟(jì)可行。</p><p><b> b)設(shè)計(jì)原則</b></p><p> 本著少花錢辦大事的原則,充分利用有限的投資,在保證網(wǎng)絡(luò)先進(jìn)行的前提下,選用性能價(jià)格比最好的設(shè)備,企業(yè)網(wǎng)建設(shè)遵循以下原則:</p><p><b> 1) 先進(jìn)性<
38、/b></p><p> 以先進(jìn)、成熟的網(wǎng)絡(luò)通信技術(shù)進(jìn)行組網(wǎng),支持?jǐn)?shù)據(jù)、軟件等實(shí)際應(yīng)用,用基于交換的技術(shù)替代傳統(tǒng)的基于路由的技術(shù)。</p><p> 2) 標(biāo)準(zhǔn)化和開放性</p><p> 網(wǎng)絡(luò)協(xié)議采用符合IS0等技術(shù)標(biāo)準(zhǔn),包括IEEE、ITUT、ANSI等制定的協(xié)議,采用遵從國(guó)際和國(guó)家標(biāo)準(zhǔn)的網(wǎng)絡(luò)設(shè)備。</p><p><b
39、> 3)可靠性和可用性</b></p><p> 選用高可靠性的產(chǎn)品和技術(shù),充分考慮系統(tǒng)在程序運(yùn)行時(shí)的應(yīng)變能力和容錯(cuò)能力,確保整個(gè)系統(tǒng)的安全與可靠。</p><p> 4) 靈活性和兼容性</p><p> 選用符合國(guó)際發(fā)展潮流的國(guó)際標(biāo)準(zhǔn)的軟件技術(shù),使系統(tǒng)具有可靠、可擴(kuò)展和可升級(jí)等特點(diǎn),保證今后可迅速采用計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的新技術(shù),同時(shí)為現(xiàn)存不
40、同的網(wǎng)絡(luò)設(shè)備、小型機(jī)、工作站、服務(wù)器和微機(jī)等設(shè)備提供入網(wǎng)和互聯(lián)手段。</p><p> 5) 實(shí)用性和經(jīng)濟(jì)性</p><p> 從實(shí)用性和經(jīng)濟(jì)性出發(fā),著眼于近期目標(biāo)和長(zhǎng)期的發(fā)展,選用先進(jìn)的設(shè)備,進(jìn)行最佳性能組合,利用有限的投資構(gòu)造一個(gè)性能最佳的網(wǎng)絡(luò)系統(tǒng)。</p><p> 6) 擴(kuò)展性和升級(jí)能力</p><p> 網(wǎng)絡(luò)設(shè)計(jì)應(yīng)具有良好的
41、擴(kuò)展性和升級(jí)能力,選用具有良好升級(jí)能力和擴(kuò)展性企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)的設(shè)備。在以后對(duì)該網(wǎng)絡(luò)進(jìn)行升級(jí)和擴(kuò)展時(shí),必須能保護(hù)現(xiàn)有投資。應(yīng)支持多種網(wǎng)絡(luò)協(xié)議、多種高層協(xié)議和多媒體應(yīng)用。</p><p><b> 7) 網(wǎng)絡(luò)的靈活性</b></p><p> 系統(tǒng)的靈活性主要表現(xiàn)在軟件配置與負(fù)載平衡等方面,配合交換機(jī)產(chǎn)品與路由器產(chǎn)品支持的最先進(jìn)的虛擬網(wǎng)絡(luò)技術(shù),整個(gè)網(wǎng)絡(luò)系統(tǒng)可以通過
42、軟件快速簡(jiǎn)便地將用戶或用戶組從一個(gè)網(wǎng)絡(luò)轉(zhuǎn)移到另一個(gè)網(wǎng)絡(luò),可以跨越辦公室、辦公樓,而無需任何硬件的改變,以適應(yīng)結(jié)構(gòu)的變化。同時(shí)也可以通過平衡網(wǎng)絡(luò)的流量,以提高網(wǎng)絡(luò)的性能。</p><p> 3 企業(yè)網(wǎng)網(wǎng)絡(luò)技術(shù)</p><p> 3.1 VLAN技術(shù)</p><p> VLAN(VirtualLocalAreaNetwork,虛擬局域網(wǎng))是為解決以太網(wǎng)的廣播問題
43、和安全性而提出的一種技術(shù),它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭,用VLANID把用戶劃分為更小的工作組,限制不同工作組間的用戶二層互訪,每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)可以限制廣播范圍,并能夠形成虛擬工作組動(dòng)態(tài)管理網(wǎng)絡(luò)。避免了交換機(jī)所有端口都處于一個(gè)廣播域內(nèi),導(dǎo)致一臺(tái)計(jì)算機(jī)發(fā)出的廣播幀,局域網(wǎng)中的所有計(jì)算機(jī)都能接收到,保證局域網(wǎng)的有限網(wǎng)絡(luò)資源不會(huì)被無用的廣播信息所占用。VLAN通過將局域網(wǎng)內(nèi)的設(shè)備按照邏輯地址劃分成一個(gè)個(gè)網(wǎng)段,而
44、不是物理地劃分成一個(gè)個(gè)網(wǎng)段,從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.IQ協(xié)議標(biāo)準(zhǔn)草案,VLAN技術(shù)允許將一個(gè)物理的LAN劃分成多邏輯上的LAN,也稱為虛擬局域網(wǎng),或VLAN。每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站,與物理上形成的LAN有著相同的屬性。由于它是邏輯地而不是物理地劃分,所以,同一個(gè)VLAN內(nèi)的各個(gè)工作站無須被放置在同一個(gè)物理空間里,即這些工作站可以不屬于同一個(gè)物
45、理LAN網(wǎng)段。一個(gè)VLAN</p><p> a)基于端口的VLAN劃分</p><p> 基于端口的VLAN是最簡(jiǎn)單、最有效的VLAN劃分方法,它按照設(shè)備端口來定義VLAN成員。將指定端口加入到指定VLAN中之后,該端口就可以轉(zhuǎn)發(fā)指定VLAN的數(shù)據(jù)幀。是當(dāng)前最常用的VLAN劃分方法。</p><p> b)基于MAC地址的VLAN劃分</p>
46、<p> 基于MAC地址的劃分是根據(jù)每個(gè)主機(jī)的MAC地址來劃分VLAN。交換機(jī)維護(hù)一張VLAN映射表,這個(gè)VLAN表記錄MAC地址和VLAN的對(duì)應(yīng)關(guān)系。這種方法是初始配置時(shí),所有用戶的MAC地址都需要收集,并逐個(gè)配置,如果用戶很多,配置的工作量是很大的,此外,這種劃分的方式也導(dǎo)致了交換機(jī)執(zhí)行效率降低。實(shí)際應(yīng)用中使用較少。</p><p> c)基于協(xié)議的VLAN劃分</p><p
47、> 基于協(xié)議的VLAN劃分是根據(jù)端口收到的報(bào)文所屬的協(xié)議或協(xié)議族類型來給報(bào)文分配不同的VLANID??捎脕韯澐諺LAN的協(xié)議族有IP、IPX等。交換機(jī)從端口接收到以太網(wǎng)幀后,根據(jù)幀中所封裝的協(xié)議類型來確定報(bào)文所屬的VLAN,然后將數(shù)據(jù)幀自動(dòng)劃分到指定的VLAN中傳輸。因?yàn)槟壳熬W(wǎng)絡(luò)中絕大多數(shù)主機(jī)都運(yùn)行IP協(xié)議,運(yùn)行其他協(xié)議的主機(jī)很少,,實(shí)際當(dāng)中應(yīng)用比較少見。</p><p> d)基于子網(wǎng)的VLAN劃分&
48、lt;/p><p> 基于IP子網(wǎng)的VLAN是根據(jù)報(bào)文源IP地址及子網(wǎng)掩碼作為依據(jù)來進(jìn)行劃分的。設(shè)備從端口接收到報(bào)文后,根據(jù)報(bào)文中的源IP地址,找到與現(xiàn)有VLAN的對(duì)應(yīng)關(guān)系,然后根據(jù)IP地址,自動(dòng)將相應(yīng)的網(wǎng)絡(luò)終端劃分到對(duì)應(yīng)的VLAN中。這種VLAN劃分方法管理配置靈活,網(wǎng)絡(luò)用戶自由移動(dòng)位置而不需要重新配置主機(jī)或交換機(jī)。但是,這種方法也有它不足的一面,因?yàn)闉榱伺袛嘤脩魧傩裕仨殭z查每個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址,這將耗費(fèi)交換
49、機(jī)大量資源,并且同一個(gè)端口可能存在多個(gè)VLAN用戶,這對(duì)廣播的抑制效率有所下降,因此實(shí)際應(yīng)用也較少。</p><p> 3.2 WLAN技術(shù)</p><p> WLAN(wireleSSLoealAreaNetwork,無線局域網(wǎng))技術(shù),是指應(yīng)用無線通信技術(shù)將網(wǎng)絡(luò)終端設(shè)備互連起來,以無線信道作為傳輸介質(zhì)的計(jì)算機(jī)局域網(wǎng)。WLAN是有線網(wǎng)絡(luò)的重要補(bǔ)充和延伸,并成為計(jì)算機(jī)網(wǎng)絡(luò)中一個(gè)非常重要的
50、組成部分。無線局域網(wǎng)本質(zhì)的特點(diǎn)是不再使用通信電纜將計(jì)算機(jī)與網(wǎng)絡(luò)連接起來,而通過無線的方式連接,從而使網(wǎng)絡(luò)的構(gòu)建和終端的移動(dòng)更加靈活。有線以太網(wǎng)MAC層標(biāo)準(zhǔn)協(xié)議為CSMA/CD(CarriersenseMultipleAeeesswithCollisionDetection,載波偵聽多點(diǎn)接入/沖突檢測(cè)),而無線網(wǎng)絡(luò)無法做到?jīng)_突檢測(cè),于是采用了CSMA/CA(CarrierSenseMultipleAeeeSSwithCollisionAv
51、oidanee,載波偵聽多點(diǎn)接入/避免沖撞)。有線以太網(wǎng)有沖突檢測(cè)功能,無線以太網(wǎng)沒有沖突檢測(cè)功能。當(dāng)網(wǎng)絡(luò)中存在信號(hào)沖突時(shí),CSMA/CD可以及時(shí)檢測(cè)出來并進(jìn)行回避,而CSMA/CA是在數(shù)據(jù)發(fā)送前,通過避讓機(jī)制杜絕了沖突的發(fā)生。</p><p> 3.3 網(wǎng)絡(luò)安全技術(shù)</p><p> 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)硬件平臺(tái)及其之上傳輸?shù)男畔⒌陌踩?,網(wǎng)絡(luò)安全技術(shù)就是保護(hù)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中
52、的數(shù)據(jù)不被破壞、更改、泄露,系統(tǒng)能夠連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全涉及的內(nèi)容包括技術(shù)方面的問題和管理方面的問題,技術(shù)方面主要防范非法攻擊和破壞,管理方面主要防范人為因素對(duì)網(wǎng)絡(luò)安全的影響,只有兩個(gè)方面相互補(bǔ)充,才能保證網(wǎng)絡(luò)的安全性。下面是網(wǎng)絡(luò)安全的常用關(guān)鍵技術(shù)。</p><p> a)ACL包過濾技術(shù)</p><p> ACL(Access Control List,訪問控
53、制列表),是由一系列有順序的規(guī)則組成,這些規(guī)則(rule)是由數(shù)據(jù)包的源地址、目的地址、端口號(hào)等定義成匹配條件,并執(zhí)行允許(permit)或拒絕(deny)操作。ACL包過濾技術(shù)是應(yīng)用在網(wǎng)絡(luò)設(shè)備的接口上的,網(wǎng)絡(luò)設(shè)備根據(jù)ACL包過濾的配置條件對(duì)進(jìn)入和離開的數(shù)據(jù)包進(jìn)行過濾,即決定對(duì)數(shù)據(jù)包是放行或丟棄。使用時(shí)需要先定義ACL,然后在網(wǎng)絡(luò)設(shè)備的接口上應(yīng)用ACL策略。ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。如,可以根據(jù)數(shù)據(jù)包的協(xié)議配置ACL規(guī)劃,指
54、定某些數(shù)據(jù)包可以優(yōu)先級(jí)通過;而另一些數(shù)據(jù)包的優(yōu)先級(jí)別相對(duì)較低,在網(wǎng)絡(luò)相對(duì)繁忙時(shí),傳輸速度下降或數(shù)據(jù)被丟棄。ACL還是提供網(wǎng)絡(luò)安全訪問的基本手段。通過配置ACL規(guī)則,可以設(shè)定允許某些主機(jī)訪問某些主機(jī)和網(wǎng)絡(luò),而拒絕某些主機(jī)訪問另一些主機(jī)或網(wǎng)絡(luò)。合理配置和使用ACL可以極大地提高網(wǎng)絡(luò)的安全性、可靠性、穩(wěn)定性等,是保證網(wǎng)絡(luò)正常運(yùn)行的主要技術(shù)。</p><p><b> b)NAT技術(shù)</b><
55、;/p><p> NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)是將一個(gè)IP數(shù)據(jù)報(bào)報(bào)頭中的IP地址轉(zhuǎn)換為另一個(gè)IP地址的過程,主要用于實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的功能。常見的NAT技術(shù)有一對(duì)一地址轉(zhuǎn)換、多對(duì)一地址轉(zhuǎn)換、多對(duì)多地址轉(zhuǎn)換等。</p><p><b> c)NAT的實(shí)現(xiàn)</b></p><p> 方式主要有靜態(tài)轉(zhuǎn)換、動(dòng)態(tài)轉(zhuǎn)換、端口多路復(fù)用(PAT)。<
56、/p><p><b> 1)靜態(tài)轉(zhuǎn)換</b></p><p> 是IP地址對(duì)是一對(duì)一的轉(zhuǎn)換,可以實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換與公有IP地址之間的轉(zhuǎn)換。主要用于發(fā)布企業(yè)網(wǎng)絡(luò)服務(wù)器,對(duì)服務(wù)器具有隱藏和保護(hù)的作用。</p><p><b> 2)動(dòng)態(tài)轉(zhuǎn)換</b></p><p> 是IP地址多對(duì)多的
57、轉(zhuǎn)換,_可以實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的多個(gè)私有IP地址與外部多個(gè)公有IP地址之間的轉(zhuǎn)換。主要用于ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量的情況,可以采用動(dòng)態(tài)轉(zhuǎn)換的方式實(shí)現(xiàn)內(nèi)部用戶的共享外網(wǎng)連接。</p><p><b> 3)端口多路復(fù)用</b></p><p> 是內(nèi)部網(wǎng)絡(luò)多個(gè)IP地址對(duì)應(yīng)外部一個(gè)或多個(gè)IP地址的轉(zhuǎn)換方式,通過端口號(hào)來建立內(nèi)部計(jì)算機(jī)IP地址與外部計(jì)
58、算機(jī)IP地址的端口對(duì)應(yīng)關(guān)系。主要用于內(nèi)部網(wǎng)絡(luò)的所有用戶可共享一個(gè)或多個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問,從而可以最大限度地節(jié)約IP地址資源。同時(shí),又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī),有效避免來自Internet的攻擊。端口多路復(fù)用是目前企業(yè)應(yīng)用最多的共享上網(wǎng)方式。</p><p><b> d)AAA技術(shù)</b></p><p> AAA(Authentiea
59、tion,AuthorizationandAeeounting,認(rèn)證、授權(quán)和計(jì)費(fèi))是一套綜合性的安全架構(gòu)體系,提供了用戶認(rèn)證、授權(quán)和計(jì)費(fèi)等三種安全功能,采用客戶端服務(wù)器模式。與其他安全技術(shù)一起配合使用,可極大地提高網(wǎng)絡(luò)系統(tǒng)的安全性 。</p><p><b> 1)認(rèn)證</b></p><p> 認(rèn)證系統(tǒng)用于判斷訪問用戶的身份,確認(rèn)訪問者是否為合法的網(wǎng)絡(luò)用戶。在網(wǎng)
60、絡(luò)中一般由認(rèn)證服務(wù)器提供用戶認(rèn)證功能。</p><p><b> 2)授權(quán)</b></p><p> 對(duì)通過認(rèn)證的用戶根據(jù)用戶類別不同賦予用戶不同的權(quán)限,確定用戶所能夠得到的服務(wù),以及可以訪問的網(wǎng)絡(luò)資源。</p><p> d)交換機(jī)端口安全技術(shù)</p><p> 交換機(jī)的端口安全技術(shù)主要是基于802.lx協(xié)議,
61、提供了有線和無線局域網(wǎng)的安全,主要使用端口隔離和端口綁定技術(shù),用于提供網(wǎng)絡(luò)的安全性。</p><p><b> 1)端口隔離技術(shù)</b></p><p> 使用端口隔離技術(shù)可以實(shí)現(xiàn)同一個(gè)VLAN內(nèi)端口之間的隔離,用戶將端口加入到隔離組中,就可以實(shí)現(xiàn)端口之間二層數(shù)據(jù)的隔離,使用同一VLAN內(nèi)的用戶也不能相互直接訪問,使用端口隔離技術(shù)可以提供更加安全、靈活的組網(wǎng)方案。
62、</p><p><b> 2)端口綁定技術(shù)</b></p><p> 交換機(jī)支持“MAC”、“MAC+IP”和“MAC+IP+端口”等綁定功能,實(shí)現(xiàn)了設(shè)備對(duì)轉(zhuǎn)發(fā)數(shù)據(jù)的過濾控制,提高網(wǎng)絡(luò)的安全性,配置交換機(jī)的綁定功能后,只有指定了MAC、仲的主機(jī)才能在確定的連接端口發(fā)送和接收數(shù)據(jù),訪問網(wǎng)絡(luò)資源。</p><p> e)VPN虛擬專用網(wǎng)技術(shù)
63、</p><p> 現(xiàn)在對(duì)企業(yè)網(wǎng)絡(luò)資源的訪問不只在企業(yè)內(nèi)部完成,有時(shí)還要通過互聯(lián)網(wǎng)訪問企業(yè)網(wǎng)絡(luò)內(nèi)部資源,如何保證數(shù)據(jù)傳輸?shù)陌踩允蔷W(wǎng)絡(luò)訪問必須解決的問題。VPN技術(shù)正是為了解決遠(yuǎn)程訪問安全性而提出的技術(shù)方案。</p><p> VPN技術(shù)是在企業(yè)網(wǎng)一端口設(shè)置VPN服務(wù)器,遠(yuǎn)程用戶在互聯(lián)網(wǎng)上建立一條虛擬專用通道,連接到企業(yè)網(wǎng)的VPN服務(wù)器,這條通道邏輯上的獨(dú)立的,不受其他網(wǎng)絡(luò)傳輸數(shù)據(jù)的影
64、響,因此具有較高的安全性。VPN技術(shù)已經(jīng)在廣泛應(yīng)用于網(wǎng)絡(luò)的遠(yuǎn)程接入。</p><p> 4 企業(yè)網(wǎng)絡(luò)架構(gòu)分析及解決方案</p><p> 4.1 企業(yè)網(wǎng)絡(luò)架構(gòu)分析</p><p> 4.1.1物理層分析</p><p> 物理層是0SI(OpenSystemIntereonLnection)參考模型中的第一層,同時(shí),在構(gòu)建網(wǎng)絡(luò)中也是
65、最基礎(chǔ)的一層,它為境設(shè)備之間的數(shù)據(jù)通信提供傳輸媒體以及互聯(lián)設(shè)備,為數(shù)據(jù)傳輸提供可靠的環(huán)境。在物理層的搭建中選擇何種網(wǎng)絡(luò)技術(shù)決定了未來網(wǎng)絡(luò)是否成功,是否具有高性能和擴(kuò)展性,在進(jìn)行網(wǎng)絡(luò)更新時(shí)能否實(shí)現(xiàn)平滑過渡。而網(wǎng)絡(luò)技術(shù)有很多,例如以太網(wǎng)、百兆以太網(wǎng)、FDDI、TokenRing、ATM、千兆以太網(wǎng)。其中百兆太網(wǎng)在局域網(wǎng)中應(yīng)用的最廣泛。百兆以太網(wǎng)是一個(gè)成熟的組網(wǎng)技術(shù),造價(jià)比較低,但性價(jià)比高,在企業(yè)網(wǎng)絡(luò)的接入層與匯聚層的應(yīng)用能夠很好的解決企業(yè)網(wǎng)
66、絡(luò)的瓶頸問題。</p><p> FDDI也是一個(gè)成熟的組網(wǎng)技術(shù),但是它造價(jià)高,技術(shù)復(fù)雜,而且很難升級(jí),不適合本次改造項(xiàng)目。</p><p> ATM技術(shù)成熟而且復(fù)雜,是多媒體應(yīng)用系統(tǒng)的理想平臺(tái),但帶寬利用率低,不適合本次改造項(xiàng)目。</p><p> 由于本次網(wǎng)絡(luò)項(xiàng)目要求,桌面達(dá)到百兆位的帶寬,骨干達(dá)到千兆位的帶寬,因此在選擇組網(wǎng)技術(shù)上我們選擇百兆以太網(wǎng)技術(shù)應(yīng)
67、用于接入與匯聚層,在核心層我們采用千兆以太網(wǎng)技術(shù)。下面是有關(guān)百兆以太網(wǎng)和千兆以太網(wǎng)涉及的技術(shù)參數(shù)說明。</p><p><b> a)百兆以太網(wǎng)</b></p><p> 快速以太網(wǎng)又稱百兆以太網(wǎng),主要解決網(wǎng)絡(luò)帶寬在局域網(wǎng)絡(luò)應(yīng)用中的瓶頸問題。其協(xié)議標(biāo)準(zhǔn)為1995年頒布的IEEE802.3u,可支持100Mb/s的數(shù)據(jù)傳輸速率,并且支持共享式與交換式兩種使用環(huán)境,在
68、交換式以太網(wǎng)環(huán)境中可以實(shí)現(xiàn)全雙工通信。</p><p> 1) 100Base一T4</p><p> l00Base一T4是為了利用大量的3類音頻級(jí)布線而設(shè)計(jì)的。它使用4對(duì)雙絞線,3對(duì)用于同時(shí)傳送數(shù)據(jù),第4對(duì)用于沖突檢測(cè)時(shí)的接收信道,信號(hào)頻率為25MHz,企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)因而可以使用數(shù)據(jù)級(jí)3、4或5類非屏蔽雙絞線,也可以使用音頻級(jí)3類線纜。最大網(wǎng)段長(zhǎng)度為1O0m,采用EIA568
69、布線標(biāo)準(zhǔn);由于沒有專用的發(fā)送或接收線路,所以100Base一T4不能進(jìn)行全雙工操作;100Base一T4采用比曼徹斯特編碼更高級(jí)的6B/6T編碼法。</p><p> 2) 1OOBase一TX</p><p> 使用兩對(duì)5類非屏蔽雙絞線或1類屏蔽雙絞線,一對(duì)用于發(fā)送據(jù),另一對(duì)用于接收數(shù)據(jù),最大網(wǎng)段的長(zhǎng)度為100m,布線符合EIA568標(biāo)準(zhǔn);采用4B/SB編碼法,使其可以125MHz
70、的串行數(shù)據(jù)流來傳送數(shù)據(jù);使用MLT-3(多電平傳輸一3)波形法來降低信號(hào)頻率到41.6MHz(=125/3)。100Base一TX是100Base一T中使用最廣的物理層規(guī)范。</p><p> 3) 100Base一FX</p><p> 使用多模(62.5或125um)或單模光纜,連接器可以是MIC/FDDI連接器、ST連接器或廉價(jià)的SC連接器。最大網(wǎng)段長(zhǎng)度根據(jù)連接方式不同而變化,
71、例如,對(duì)于多模光纖的交換機(jī)一交換機(jī)連接或交換機(jī)一網(wǎng)卡連接最大允許長(zhǎng)度為412m,如果是全雙工鏈路,則可達(dá)到Z000m。100Base一FX主要用于高速主干網(wǎng),或遠(yuǎn)距離連接,或有強(qiáng)電氣干擾的環(huán)境,或要求高安全保密鏈接的環(huán)境。</p><p><b> b)千兆位以太網(wǎng)</b></p><p> 千兆位以太網(wǎng)基本保留了原有以太網(wǎng)的幀結(jié)構(gòu),所以向下和以太網(wǎng)與快速以太網(wǎng)完
72、全兼容,從而原有的10Mb/S以太網(wǎng)或快速以太網(wǎng)可以方便地升級(jí)到千兆位以太網(wǎng)。千兆位以太網(wǎng)標(biāo)準(zhǔn)實(shí)際上包括支持光纖傳輸?shù)腎EEE802.3z和支持銅纜傳輸?shù)腎EEE802.3ab兩大部分。</p><p> 1) 100Base一LX</p><p> 1OOBase一LX是一種使用長(zhǎng)波激光作為信號(hào)源的網(wǎng)絡(luò)介質(zhì)技術(shù),在收發(fā)器上配置波長(zhǎng)為1270nm一1355nm(一般為1300nm)的激
73、光傳輸器,既可以驅(qū)動(dòng)多模光纖,又可以驅(qū)動(dòng)單模光纖,連接光纖所使用的SC型光纖連接器與快速以太網(wǎng)IOOFX所使用的連接器的型號(hào)相同。looBase一LX可采用芯徑為50um和62.5um的多模光纖,工作波長(zhǎng)為850nln,全雙工下最長(zhǎng)傳輸距離為550m,數(shù)據(jù)編碼方法為SB/IOB,適用于作為大樓網(wǎng)絡(luò)系統(tǒng)的主干通路。</p><p> l000Base一LX可采用芯徑為9um的單模光纖,工作波長(zhǎng)為1300nm或IS
74、50nm,數(shù)據(jù)編碼方法為8B/10B,適用于校園或城域主干網(wǎng)。</p><p> 2) 10OOBase一SX</p><p> 1000Base一SX是一種使用短波激光作為信號(hào)源的網(wǎng)絡(luò)介質(zhì)技術(shù),收發(fā)器上所配置的波長(zhǎng)為77Onm一860nm(一般為88Onm)的激光傳輸器不支持單模光纖,只能驅(qū)動(dòng)多模光纖。l000Base一sx采用芯徑為62.5um和50um的多模光纖。使用62.5m多
75、模光纖全雙工模式下最長(zhǎng)有效距離為275m;使用50um多模光纖全雙工模式下最長(zhǎng)有效距離為550m。1000Base一SX所采用的數(shù)據(jù)編碼方法為8B/10B,所使用的光纖連接器與1O00Base一LX一樣也是SC型連接器,適用于作為大樓網(wǎng)絡(luò)系統(tǒng)的主干通路。</p><p> 3) 1000Base一CX</p><p> 1000Base一Cx使用一種特殊規(guī)格的IS0高質(zhì)量平衡雙絞線對(duì)的
76、屏蔽銅纜作為網(wǎng)絡(luò)介質(zhì),最長(zhǎng)傳輸距離為25m,傳輸速率為1.25Gb/s,使用9芯D型連接器連接電纜,系統(tǒng)數(shù)據(jù)編碼方法采用SB/IOB,1000Base一CX適用于交換機(jī)之間的短距離連接,尤其適用于千兆位主干交換機(jī)和主服務(wù)器之間的短距離連接,適用于集群網(wǎng)絡(luò)設(shè)備的互連,例如機(jī)房?jī)?nèi)連接網(wǎng)絡(luò)服務(wù)器。</p><p> 4) 1000Base一T</p><p> 1000Base一T采用4對(duì)5
77、類UTP雙絞線,傳輸距離為100m,傳輸速率為1Gb/s,主要用于結(jié)構(gòu)化布線中同一層建筑的通信,從而可以利用以太網(wǎng)或快速以太網(wǎng)已鋪設(shè)的UTP電纜,也可被用作大樓內(nèi)的網(wǎng)絡(luò)主干。</p><p> 4.1.2鏈路層分析</p><p> 數(shù)據(jù)鏈路層是OSI參考模型中的第二層,主要用來完成數(shù)據(jù)鏈路的建立、拆除。對(duì)數(shù)據(jù)的檢錯(cuò)、糾錯(cuò)是數(shù)據(jù)鏈路層的基本任務(wù)。在數(shù)據(jù)鏈路層我們會(huì)采用VLAN (Vir
78、tualLAN虛擬局域網(wǎng))技術(shù)來解決部門間信息隔離的問題,同時(shí)也方便對(duì)各部門的管理。對(duì)外我們采用PPP協(xié)議來保障鏈路的鏈接。</p><p> a)IEEESO2.IQ</p><p> IEEE802.IQ規(guī)范為標(biāo)識(shí)帶有VLAN成員信息的以太網(wǎng)幀建立一種標(biāo)準(zhǔn)方法。IEEE802.IQ標(biāo)準(zhǔn)定義了VLAN網(wǎng)橋操作,從而允許在橋接局域網(wǎng)結(jié)構(gòu)中實(shí)現(xiàn)定義、企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)運(yùn)行以及管理VLAN
79、拓?fù)浣Y(jié)構(gòu)等操作。802.IQ標(biāo)準(zhǔn)主要用來解決如何將大型網(wǎng)絡(luò)劃分為多個(gè)小網(wǎng)絡(luò),如此廣播和組播流量就不會(huì)占據(jù)更多的帶寬。此外802.IQ標(biāo)準(zhǔn)還提供了更高的網(wǎng)絡(luò)段間安全性。</p><p><b> b)PPP協(xié)議</b></p><p> PPP(Point-to-Point Protoeol點(diǎn)到點(diǎn)協(xié)議)是為在同等單元之間傳輸數(shù)據(jù)包的簡(jiǎn)單鏈路設(shè)計(jì)的鏈路層協(xié)議。這種鏈路
80、提供全雙工操作,并按照順序傳遞數(shù)據(jù)包。1992年IntemetITF成立了一個(gè)小組來指定點(diǎn)到點(diǎn)的數(shù)據(jù)鏈路協(xié)議一InternEt標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)命名為PPP(Point-to-Point Protoeol)即點(diǎn)到點(diǎn)協(xié)議,經(jīng)過1993年和1994年的修訂,現(xiàn)在已成為因特網(wǎng)的正式標(biāo)準(zhǔn)。PPP是一種分層的協(xié)議,最初由LCP發(fā)起對(duì)鏈路的建立、配置和測(cè)試。LCP初始化后,通過一種或多種“網(wǎng)絡(luò)控制協(xié)議(NCP)”來傳送特定協(xié)議族的通信。在RFC1332文
81、檔中描述的IP協(xié)議控制協(xié)議(IPCP)允許在PPP鏈路上傳輸IP分組。PPP提供了一種在點(diǎn)對(duì)點(diǎn)的鏈路上封裝多協(xié)議數(shù)據(jù)報(bào)的標(biāo)準(zhǔn)方法。它具有以下特性:</p><p> 1) 能夠控制數(shù)據(jù)鏈路的建立; </p><p> 2) 能夠?qū)P地址進(jìn)行分配和使用;</p><p> 3)允許同時(shí)采用多種網(wǎng)絡(luò)協(xié)議; </p><p> 4)
82、 能夠配置和測(cè)試數(shù)據(jù)鏈路;</p><p> 5) 支持身份驗(yàn)證; </p><p> 6) 有協(xié)商選項(xiàng),能夠?qū)W(wǎng)絡(luò)層的地址和數(shù)據(jù)壓縮等進(jìn)行協(xié)商。</p><p> 4.1.3網(wǎng)絡(luò)層分析</p><p> 網(wǎng)絡(luò)層是OSI參考模型的第三層,在這一層網(wǎng)絡(luò)設(shè)備利用路由協(xié)議為數(shù)據(jù)包選擇合適路徑將數(shù)據(jù)送到目的地。路由協(xié)議
83、的作用是用來維護(hù)路由信息,建立路由表,決定最佳路徑。在網(wǎng)絡(luò)層路由協(xié)議有很多,根據(jù)路由選擇協(xié)議的算法不同劃分如下:</p><p> a) 距離矢量(Distance Vector):根據(jù)距離矢量算法,確定網(wǎng)絡(luò)中節(jié)點(diǎn)的方向與距離。包括RIP路由協(xié)議及IGRP(CISCO私有協(xié)議)路由協(xié)議。</p><p> b) 鏈路狀態(tài)(Link-state):根據(jù)鏈路狀態(tài)算法,計(jì)算生成網(wǎng)絡(luò)的拓?fù)?/p>
84、。包括OSPF路由協(xié)議與IS-IS路由協(xié)議。</p><p> c) 混合算法(Hybird):根據(jù)距離矢量和鏈路狀態(tài)的某些方面進(jìn)行集成。包括EIGRP路由協(xié)議(CISCO私有協(xié)議)。</p><p> d)距離矢量路由協(xié)議</p><p> 距離矢量名稱的由來是因?yàn)槁酚墒且允噶?距離、方向)的方式通告出去,其中距離是根據(jù)度量定義的,方向是根據(jù)下一跳路由器定義
85、的。比如,“某一路由器X的方向可以到達(dá)目標(biāo)Y,距此5跳距離”。這個(gè)表述隱含了每個(gè)路由器都向鄰接路由器學(xué)習(xí)它們所觀察的路由信息,然后在再向外通告自己觀察到的路由信息。因?yàn)槊總€(gè)路由器在信息上都依賴于鄰接路由器,而鄰接路由器又從它們的鄰居那里學(xué)習(xí)路由,依次類推,所以距離矢量路由選擇協(xié)議有時(shí)又被認(rèn)為是“依照傳聞進(jìn)行路由選擇”的協(xié)議。屬于距離矢量路由選擇協(xié)議如下:</p><p> 1) IP路由選擇信息協(xié)議(RIP)
86、 </p><p> 2) Xerox網(wǎng)絡(luò)系統(tǒng)的XNSRIP </p><p> 3) CISCO的Intemet網(wǎng)管路由選擇協(xié)議(IGRP) </p><p> 4) DEC的DNA階段4 </p><p> 5) AppleTalk的路由選擇表維護(hù)協(xié)議(RTMP)</p&g
87、t;<p> e)鏈路狀態(tài)路由協(xié)議如下:</p><p> 1) IP開放式最短路徑優(yōu)先(OSPF)</p><p> 2) CLNS或IPIS0的中介系統(tǒng)到中介系統(tǒng)(IS一IS)</p><p> 3) DEC的DNS階段5</p><p> 4) Novell的Netware鏈路服務(wù)協(xié)議(NLSP)在本次項(xiàng)目
88、中,由于網(wǎng)絡(luò)設(shè)備比較多,網(wǎng)絡(luò)環(huán)境也相對(duì)復(fù)雜,為了能夠在最企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)短時(shí)間內(nèi)達(dá)到鏈路聚合,提高網(wǎng)絡(luò)效率,我們選擇OSPF來作為項(xiàng)目實(shí)施的路由協(xié)議。</p><p> 4.1.4網(wǎng)絡(luò)安全分析</p><p> 網(wǎng)絡(luò)安全是網(wǎng)絡(luò)建設(shè)中最重要的組成部分,只有具有高安全性的網(wǎng)絡(luò)才能夠保障公司內(nèi)部數(shù)據(jù)的安全,保障公司的利益不受侵害。在網(wǎng)絡(luò)安全構(gòu)建中有如下必要的技術(shù)。</p>&
89、lt;p><b> a)身份驗(yàn)證技術(shù)</b></p><p> PAP驗(yàn)證:密碼認(rèn)證協(xié)議(Password AuthenticationProtocol)是PPP協(xié)議集中一種鏈路控制協(xié)議,主要是通過使用二次握手提供一種對(duì)等節(jié)點(diǎn)的建立認(rèn)證的簡(jiǎn)單方法,建立在初始鏈路確定的基礎(chǔ)上。CHAP驗(yàn)證:PPP挑戰(zhàn)握手認(rèn)證協(xié)議(CHAP:ChallengeHandshake Authenticat
90、ionProtocol)通過三次握手周期性校驗(yàn)對(duì)端身份,在初始鏈路建立時(shí)完成,可以在鏈路建立之后在任何時(shí)候重復(fù)進(jìn)行。</p><p><b> b)加密技術(shù)</b></p><p> 加密技術(shù)是電子商務(wù)采用的主要安全保密措施,是最常用的安全保密手段,加密可以利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼(加密)傳送,到達(dá)目的地后再用相同或不同的手段還原(解密)。加密技術(shù)包括兩個(gè)
91、元素:算法和密鑰。算法是將普通的文本(或者可以理解的信息)與一串?dāng)?shù)字(密鑰)的結(jié)合從而產(chǎn)生不可理解的密文的步驟,密鑰是用來對(duì)數(shù)據(jù)進(jìn)行編碼和解碼的一種算法。在安全保密中,可通過適當(dāng)?shù)拿荑€體制分為對(duì)稱密鑰體制和非對(duì)稱密鑰體制兩種。相應(yīng)地,對(duì)數(shù)據(jù)加密的技術(shù)分為兩類,即對(duì)稱加密(私人密鑰加密)和非對(duì)稱加密(公開密鑰加密)。對(duì)稱加密以數(shù)據(jù)加密標(biāo)準(zhǔn)算法為典型代表。對(duì)稱加密的加密密鑰和解密密鑰相同,而非對(duì)稱加密的加密密鑰和解密密鑰不同,加密密鑰可以公
92、開而解密密鑰需要保密。</p><p><b> c)防火墻安全技術(shù)</b></p><p> 隨著Internet的日益普及,互聯(lián)網(wǎng)上的瀏覽訪問不僅使數(shù)據(jù)傳輸量增加,網(wǎng)絡(luò)被攻擊的可能性增大,而且由于Internet的開放性,網(wǎng)絡(luò)安全防護(hù)的方式發(fā)生了根本變化,使得安全問題更為復(fù)雜。傳統(tǒng)的網(wǎng)絡(luò)強(qiáng)調(diào)統(tǒng)一而集中的管理和控制,可采取加密、認(rèn)證、訪問控制、審計(jì)以及日志等多種
93、技術(shù)手段,且它們的實(shí)施可由通信雙方共同完成:而由于Internet是一個(gè)開放的全球網(wǎng)絡(luò),其網(wǎng)絡(luò)結(jié)構(gòu)錯(cuò)綜復(fù)雜,因此安全防護(hù)方式截然不同。Internet的安全技術(shù)涉及傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)和分布式網(wǎng)絡(luò)安全技術(shù),且主要是用來解決如何利用Internet進(jìn)行安全通信,同時(shí)保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部攻擊。在此情形下,防火墻技術(shù)應(yīng)運(yùn)而生。防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多類型,但總體來講可分為包過濾、應(yīng)用級(jí)網(wǎng)關(guān)和代理服務(wù)器等幾大類型。<
94、;/p><p> 1) 數(shù)據(jù)包過濾型防火墻</p><p> 數(shù)據(jù)包過濾(Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇,選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯,被稱為訪問控制列表。通過檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素,或它們的組合來確定是否允許該數(shù)據(jù)包通過。數(shù)據(jù)包過濾防火墻邏輯簡(jiǎn)單,價(jià)格便宜,易于安裝和使用,網(wǎng)絡(luò)性能和透明性好,它通常安裝
95、在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備,因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。數(shù)據(jù)包過濾防火墻的缺點(diǎn)有二:一是非法訪問一旦突破防火墻,即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊;二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號(hào)都在數(shù)據(jù)包的頭部,很有可能被竊聽或假冒。分組過濾或包過濾,是一種通用、廉價(jià)、有效的安全手段。之所以通用,因?yàn)樗会槍?duì)各個(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式;之所以廉價(jià),因?yàn)榇蠖鄶?shù)路
96、由器都提供分組過濾功能;之所以有效,因?yàn)樗芎艽蟪潭鹊臐M足安全要求。所根據(jù)的信息來源于IP、TCP或UDP包頭。包過濾的優(yōu)點(diǎn)是不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序,因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層,與應(yīng)用層無關(guān)。但其弱點(diǎn)也是明顯的:據(jù)以過濾</p><p> 2) 應(yīng)用級(jí)網(wǎng)關(guān)型防火墻</p><p> 應(yīng)用級(jí)網(wǎng)關(guān)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過
97、濾邏輯,并在過濾的同時(shí),對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì),形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻有一個(gè)共同的特點(diǎn),就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯,則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系,防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài),這有利于實(shí)施非法訪問和攻擊。</p><p> 3) 代理服務(wù)器型防火墻</p>
98、;<p> 代理服務(wù)也稱鏈路級(jí)網(wǎng)關(guān)或TCP通道,也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。它是對(duì)數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)的缺點(diǎn)而引入的防火墻技術(shù),其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層“鏈接”,由兩個(gè)終止代理服務(wù)器上的“鏈接”來實(shí)現(xiàn),外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)服務(wù)器,從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外,代理服務(wù)也對(duì)過往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記,形成報(bào)告,同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向
99、網(wǎng)絡(luò)管理員發(fā)出警報(bào),并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)。它工作在OSI模型的最高層,掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。</p><p> 4) 復(fù)合型防火墻口</p><p> 由于對(duì)更高安全性的要求,常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來,形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機(jī)防火墻體系結(jié)構(gòu):在該結(jié)構(gòu)中,分組過濾路由器或防火
100、墻與hiternet相連,同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò),通過在分組過濾路由器或防火墻上過濾規(guī)則的設(shè)置,使堡壘機(jī)成為Internet上其它節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn),這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu):堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi),形成非軍事化區(qū),兩個(gè)分組過濾路由器放在這一子網(wǎng)的兩端,使這一子網(wǎng)與Intemett及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中,堡壘主機(jī)和分組過濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。由此可見在
101、網(wǎng)絡(luò)安全中,很重要的一個(gè)部分可以說是防火墻。防火墻的可靠性直接關(guān)系到整個(gè)網(wǎng)絡(luò)的安全。因此,必須在Intemct和內(nèi)部網(wǎng)之間建立起一道防火墻。使從內(nèi)部網(wǎng)到外部網(wǎng)以及外部網(wǎng)到內(nèi)部網(wǎng)的所有信息都必須通過防火墻;只有經(jīng)過本地安全策略授權(quán)的信息流,才能通過防火墻;防火墻本身必須是安全的,不能被侵入。</p><p> d)入侵檢測(cè)安全技術(shù)</p><p> IDS(入侵檢測(cè)系統(tǒng))是Intrusi
102、on Detection System的縮寫。入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全體系的一種防范措施,具有能夠識(shí)別針對(duì)網(wǎng)絡(luò)和主機(jī)資源的惡意攻擊并將日志發(fā)送到管理控制臺(tái)的能力。一臺(tái)IDS類似于一個(gè)普通的數(shù)據(jù)包嗅探器。他讀取所有數(shù)據(jù)包,并將這些數(shù)據(jù)包和己知的攻擊特性相對(duì)比。形象的說,入侵檢測(cè)系統(tǒng)就是一臺(tái)網(wǎng)絡(luò)攝像機(jī),能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù),同時(shí)它也是一臺(tái)智能攝像機(jī),能夠分析網(wǎng)絡(luò)數(shù)據(jù)上搜索并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)信息,它還是一臺(tái)高清晰的X光攝像
103、機(jī),能夠穿透一些偽裝,抓住數(shù)據(jù)包中的實(shí)際內(nèi)容,它更是一臺(tái)負(fù)責(zé)的保安員攝像機(jī),能夠?qū)θ肭中袨樽詣?dòng)的進(jìn)行反擊。在網(wǎng)絡(luò)安全體系中,入侵檢測(cè)系統(tǒng)是唯一一個(gè)通過數(shù)據(jù)和行為模式判斷其是否有效的系統(tǒng)。這里有一個(gè)形象的比喻,防火墻是一道門,阻止一類人群的進(jìn)入,但無法阻止合法的一類人群中的破壞分子,也不能阻止內(nèi)部的破壞行為,而訪問控制系統(tǒng)可以不讓權(quán)限低的人做越權(quán)行為,但無法限制高級(jí)權(quán)限的人實(shí)施破壞動(dòng)作。入侵檢測(cè)系統(tǒng)同樣是一種終止針對(duì)網(wǎng)絡(luò)的攻擊的能力,提供
104、了如下的防御機(jī)制:</p><p> 1)探測(cè)——識(shí)別和發(fā)現(xiàn)針對(duì)網(wǎng)絡(luò)和終端的惡意攻擊行為</p><p> 2)防御——終止識(shí)別和發(fā)現(xiàn)的攻擊行為</p><p> 3)反應(yīng)——避免以后系統(tǒng)在遭受同樣的惡意攻擊</p><p> 4)報(bào)警——遭遇到攻擊行為后,發(fā)出報(bào)警信息</p><p> 5)丟棄——如果檢測(cè)
105、到攻擊行為的數(shù)據(jù)包,則選擇立即丟棄此數(shù)據(jù)包</p><p> 6)阻止——拒絕來自攻擊源頭的流量</p><p><b> e)VPN安全技術(shù)</b></p><p> 為保證數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性,建議在網(wǎng)絡(luò)中采用VPN系統(tǒng),在遠(yuǎn)程前置機(jī)和防火墻之間統(tǒng)一安裝VPN設(shè)備。</p><p> VPN可以有效實(shí)現(xiàn)的
106、技術(shù):</p><p> 1)防止竊聽攻擊,采用機(jī)密技術(shù),如Rc一4,DEs,3DEs,和AEs。</p><p> 2)保證數(shù)據(jù)包的完整性,比如采用了MDS和SHA技術(shù)。</p><p> 3)防止中間人攻擊,采用身份驗(yàn)證技術(shù),比如預(yù)共享密鑰或數(shù)字證書。</p><p> 4)防止重放攻擊使用序列號(hào)保護(hù)數(shù)據(jù)。</p>
107、<p> 4.1.5管理層分析</p><p> 網(wǎng)絡(luò)管理的目的是提供一種對(duì)計(jì)算機(jī)進(jìn)行規(guī)劃、設(shè)計(jì)、操作運(yùn)行、管理、監(jiān)控、分析等的手段,從而充分利用資源、提供可靠的服務(wù)。當(dāng)前,網(wǎng)絡(luò)的規(guī)模越來越大,用戶日益增多,結(jié)構(gòu)也更加復(fù)雜,傳統(tǒng)網(wǎng)絡(luò)管理已為網(wǎng)絡(luò)管理員增加了嚴(yán)重的工作負(fù)擔(dān),因此建立一套科學(xué)完善的網(wǎng)絡(luò)管理系統(tǒng)是十分必要的。</p><p> a)網(wǎng)絡(luò)管理系統(tǒng)的功能</p&
108、gt;<p> 一個(gè)網(wǎng)絡(luò)管理系統(tǒng)應(yīng)具有以下功能:</p><p> 1)應(yīng)具有同時(shí)支持網(wǎng)絡(luò)監(jiān)視和控制兩方面的功能。 </p><p> 2) 能夠管理網(wǎng)絡(luò)各協(xié)議層。</p><p> 3)應(yīng)盡可能大的管理范圍。 </p><p> 4) 應(yīng)盡可能小的系統(tǒng)開銷。</p>
109、<p> 5)可管理不同廠家的網(wǎng)絡(luò)設(shè)備。 </p><p> 6)可容納不同的網(wǎng)絡(luò)管理系統(tǒng)。</p><p> 7)網(wǎng)絡(luò)管理的標(biāo)準(zhǔn)化。</p><p> b)網(wǎng)絡(luò)管理系統(tǒng)的構(gòu)成</p><p> 一個(gè)網(wǎng)絡(luò)管理系統(tǒng)由多個(gè)部件組成,包括網(wǎng)絡(luò)管理協(xié)議、網(wǎng)絡(luò)管理工作站、代理和管理信息庫等。</p>
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 醫(yī)院網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)畢業(yè)論文
- 企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)畢業(yè)論文
- 《企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)》畢業(yè)論文(設(shè)計(jì))
- 公司網(wǎng)絡(luò)設(shè)計(jì)畢業(yè)論文
- 企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)與實(shí)現(xiàn)畢業(yè)論文
- 企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)與實(shí)現(xiàn)畢業(yè)論文
- 校園網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)畢業(yè)論文
- 畢業(yè)論文---園區(qū)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)方案
- 畢業(yè)論文-企業(yè)大型網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)
- 畢業(yè)論文-校園網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)
- 網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師畢業(yè)論文
- 電力網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)畢業(yè)論文
- 《企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)》畢業(yè)論文
- 辦公網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)畢業(yè)論文--企業(yè)辦公網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)
- 酒店網(wǎng)絡(luò)規(guī)劃(畢業(yè)論文)
- 大型企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì) 畢業(yè)論文
- 校園網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì)畢業(yè)論文
- 某某公司的網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì)方案 畢業(yè)論文
- 智能小區(qū)網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃畢業(yè)論文
- 智能小區(qū)網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃畢業(yè)論文
評(píng)論
0/150
提交評(píng)論