山西輕工職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文）題目企業(yè)網(wǎng)絡(luò)構(gòu)建規(guī)劃教學(xué)系：信息工程系專業(yè)班級(jí)：網(wǎng)絡(luò)1031學(xué)生姓名：王杰指導(dǎo)教師：徐秋菊山西輕工職業(yè)技術(shù)學(xué)院二O—三年三月三十一日摘要隨著網(wǎng)絡(luò)技術(shù)新系統(tǒng)、新領(lǐng)域的長足發(fā)展，傳統(tǒng)企業(yè)也正利用其行業(yè)的特點(diǎn)，融合網(wǎng)絡(luò)技術(shù)的優(yōu)勢(shì)，發(fā)展自身。在信息化生產(chǎn)逐步普及的今天，組建企業(yè)內(nèi)部網(wǎng)絡(luò)已經(jīng)是企業(yè)必不可少的一部分，建立高速、穩(wěn)定、安全、智能的辦公網(wǎng)，是組建中小型企業(yè)局域網(wǎng)的核心。中小型企業(yè)局域網(wǎng)建設(shè)，必須采取“結(jié)構(gòu)化、系統(tǒng)化”思想做指導(dǎo)。一個(gè)良好的、規(guī)范的網(wǎng)絡(luò)開發(fā)過程不僅不會(huì)成為干擾實(shí)際健忘工作的負(fù)擔(dān),

相反會(huì)使設(shè)計(jì)的工作更清晰、更加高效和更令人滿意，同時(shí)也可以大大減少網(wǎng)絡(luò)開發(fā)成本和提高網(wǎng)絡(luò)工程質(zhì)量。本畢業(yè)設(shè)計(jì)作品定位于公司局域網(wǎng)設(shè)計(jì)，因此配置了比較完備的硬件資源。在內(nèi)容選擇上，一方面以對(duì)中小型企業(yè)的網(wǎng)絡(luò)拓?fù)浜退柙O(shè)備進(jìn)行了設(shè)計(jì)；另一方面用很直觀的網(wǎng)絡(luò)拓?fù)鋱D概述了本次畢業(yè)設(shè)計(jì)相關(guān)的網(wǎng)絡(luò)安全、網(wǎng)絡(luò)所需設(shè)備以及所實(shí)現(xiàn)的網(wǎng)絡(luò)功能和應(yīng)用等。畢業(yè)設(shè)計(jì)論文包括課題概況：太原益民中醫(yī)院對(duì)網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安全要求嚴(yán)格。使用業(yè)界流行的核心層—匯聚層—接入層三層結(jié)構(gòu)設(shè)計(jì)的公司局域網(wǎng)，結(jié)合廣為使用的通過劃分虛擬局域網(wǎng)（ VLAN隔離不同部門，訪問控制列表（ACL控制端口進(jìn)出數(shù)據(jù)包，網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT節(jié)約公有地址、動(dòng)態(tài)分配IP（DHCP、熱備份路由（HSRP等技術(shù)，增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性和安全性。統(tǒng)需求分析：本課題對(duì)結(jié)合港隆文具局域網(wǎng)網(wǎng)絡(luò)特點(diǎn)進(jìn)行了詳細(xì)的需求描述和詳細(xì)的分析。系統(tǒng)設(shè)計(jì)：系統(tǒng)設(shè)計(jì)包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)選擇、網(wǎng)絡(luò)設(shè)備選型、VLANDHC僑口子網(wǎng)的劃分，詳細(xì)描述了網(wǎng)絡(luò)組成結(jié)構(gòu)。港隆文具公司局域網(wǎng)網(wǎng)絡(luò)安全：從網(wǎng)絡(luò)流量控制、網(wǎng)絡(luò)設(shè)備安全、無線網(wǎng)絡(luò)安全詳細(xì)描述了安全實(shí)施。關(guān)鍵詞：局域網(wǎng)，網(wǎng)絡(luò)拓?fù)洌琕LAN網(wǎng)絡(luò)安全，系統(tǒng)實(shí)施，ACLNAT目錄1概述 1.1課題背景1.2課題概況1.3課題目的1概述 1.1課題背景1.2課題概況1.3課題目的錯(cuò)誤!未指定書簽。錯(cuò)誤!未指定書簽。局域網(wǎng)需求分析和設(shè)計(jì)原則 錯(cuò)誤!未指定書簽。需求與分析 錯(cuò)誤!未指定書簽。 錯(cuò)誤!未指定書簽。 錯(cuò)誤!未指定書簽。2.3設(shè)計(jì)原則 錯(cuò)誤!未指定書簽。局域網(wǎng)系統(tǒng)設(shè)計(jì)方案 錯(cuò)誤!未指定書簽。網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì) 錯(cuò)誤!未指定書簽。 錯(cuò)誤!未指定書簽。 錯(cuò)誤!未指定書簽。 錯(cuò)誤!未指定書簽。三層詳細(xì)設(shè)計(jì)及設(shè)備選型 錯(cuò)誤!未指定書簽。 錯(cuò)誤!未指定書簽。 錯(cuò)誤!未指定書簽。 錯(cuò)誤!未指定書簽。3.3虛擬局域網(wǎng)VLAN與IP子網(wǎng)設(shè)計(jì) 錯(cuò)誤！未指定書簽。 錯(cuò)誤!未指定書簽。規(guī)劃 錯(cuò)誤！未指定書簽。子網(wǎng)設(shè)計(jì) 錯(cuò)誤！未指定書簽。 錯(cuò)誤！未指定書簽。3.4路由協(xié)議的選擇 錯(cuò)誤！未指定書簽。網(wǎng)絡(luò)安全管理 錯(cuò)誤！未指定書簽。內(nèi)網(wǎng)安全 錯(cuò)誤！未指定書簽。 錯(cuò)誤！未指定書簽。 錯(cuò)誤！未指定書簽。 錯(cuò)誤！未指定書簽。外網(wǎng)安全 錯(cuò)誤！未指定書簽。 錯(cuò)誤！未指定書簽。 錯(cuò)誤！未指定書簽。 錯(cuò)誤！未指定書簽。 錯(cuò)誤！未指定書簽。安全管理體制 錯(cuò)誤！未指定書簽。5.1網(wǎng)絡(luò)應(yīng)用安全 錯(cuò)誤！未指定書簽。 錯(cuò)誤！未指定書簽。欺騙 錯(cuò)誤！未指定書簽。地址欺騙 錯(cuò)誤！未指定書簽。攻擊 錯(cuò)誤！未指定書簽?？偨Y(jié) 錯(cuò)誤！未指定書簽。參考文獻(xiàn) 錯(cuò)誤！未指定書簽。致謝 錯(cuò)誤！未指定書簽。1概述1.1課題背景隨著我國經(jīng)濟(jì)的飛速發(fā)展，我國中小型企業(yè)數(shù)量已有 5000多萬家。為了獲取更好的經(jīng)濟(jì)效益，完善的網(wǎng)絡(luò)體系成為了對(duì)外聯(lián)系及對(duì)內(nèi)交流最為關(guān)鍵的因素。在這個(gè)信息化時(shí)代，一個(gè)優(yōu)秀的團(tuán)隊(duì)必然有著完整的網(wǎng)絡(luò)構(gòu)建、 調(diào)理的網(wǎng)絡(luò)布局以及安全的信息庫。在國民經(jīng)濟(jì)中，60%勺總產(chǎn)值來自于中小企業(yè)，并為社會(huì)提供了 70鳩上的就業(yè)機(jī)會(huì)。然而，在中國國民經(jīng)濟(jì)和社會(huì)發(fā)展中一直占據(jù)著至關(guān)重要的戰(zhàn)略地位的中小型企業(yè)，其信息化建設(shè)卻十分落后。今后如何應(yīng)對(duì)瞬息萬變、競爭激烈的國內(nèi)外市場環(huán)境以及如何利用網(wǎng)絡(luò)技術(shù)迅速提升企業(yè)核心競爭力為企業(yè)成敗的關(guān)鍵。中小型企業(yè)的信息化建設(shè)工程通常有規(guī)模小、結(jié)構(gòu)簡單的特點(diǎn)，綜合資金投入、專業(yè)人才以及未來發(fā)展等因素，網(wǎng)絡(luò)實(shí)用性、安全性與拓展性（升級(jí)改造能力）是中小型企業(yè)實(shí)現(xiàn)信息化建設(shè)的主要要求，局域網(wǎng)內(nèi)進(jìn)行信息交流包括發(fā)布通知,安排日程表、工作計(jì)劃，提交工作總結(jié)，進(jìn)行信息匯總等也是企業(yè)的要求。因此，成本低廉、炒作簡易、便于維護(hù)并能滿足業(yè)務(wù)運(yùn)用需要的網(wǎng)絡(luò)辦公環(huán)境是這一領(lǐng)域的真正需求。針對(duì)絕多數(shù)中小型企業(yè)集中辦公這一現(xiàn)實(shí)特點(diǎn)，組建一個(gè)適合中小企業(yè)需求的高性價(jià)比實(shí)用的網(wǎng)絡(luò)是十分有實(shí)際意義的。 下面我們將模擬醫(yī)療行業(yè)來建設(shè)網(wǎng)絡(luò)信息化工程。太原益民中醫(yī)院地處太原市南內(nèi)環(huán)街8號(hào)（南內(nèi)環(huán)街東口），建筑面積6000多平方米，是太原市政府、市衛(wèi)生局直管醫(yī)院。醫(yī)院科室設(shè)置齊全，?？铺厣黠@，中醫(yī)優(yōu)勢(shì)突出，技術(shù)力量雄厚，醫(yī)院功能完善，綜合服務(wù)能力強(qiáng)，能夠提供全面、持續(xù)地中西醫(yī)醫(yī)療、護(hù)理、預(yù)防、保健、康復(fù)服務(wù)，從事較高層次中醫(yī)教學(xué)、中醫(yī)科研工作，漸成為區(qū)域中醫(yī)技術(shù)中心。是北京消化界專家及中國人民解放軍消化疾病微創(chuàng)治療中心交流和技術(shù)合作基地。醫(yī)院注重加強(qiáng)中醫(yī)特色?？平ㄔO(shè)，改善技術(shù)裝備條件，拓寬服務(wù)領(lǐng)域，不斷滿足人民群眾對(duì)中醫(yī)藥的需求，同時(shí)認(rèn)真繼承中醫(yī)藥的特色和優(yōu)勢(shì)，勇于創(chuàng)新,積極利用現(xiàn)代化科學(xué)技術(shù)，促進(jìn)中醫(yī)藥理論和實(shí)踐的發(fā)展，努力打造現(xiàn)代化綜合性中醫(yī)醫(yī)院。醫(yī)院核定床位150張，擁有先進(jìn)的DR四探頭彩超、全自動(dòng)生化分析儀、全自動(dòng)血流變儀、動(dòng)態(tài)心電圖、進(jìn)口PENTA）高清數(shù)字電子胃鏡等設(shè)備。醫(yī)院現(xiàn)有職工150余名，擁有一批省內(nèi)外名老中醫(yī)專家長期在院坐診，中國人民解放軍消化疾病微創(chuàng)治療中心專家常年在院診療，北京消化界專家教授定期來院講學(xué)和指導(dǎo)。醫(yī)院設(shè)有消化疾病微創(chuàng)治療中心、中醫(yī)康復(fù)治療中心、中醫(yī)脾胃科、中醫(yī)不孕不育科、中醫(yī)骨科、中醫(yī)老年病科、中醫(yī)腎病科、中醫(yī)兒科、中醫(yī)皮膚科、中醫(yī)糖尿病科、中醫(yī)疼痛科、中醫(yī)腦病科、中醫(yī)男科、中醫(yī)失眠科等臨床科室，同時(shí)設(shè)立中、西藥房、醫(yī)學(xué)檢驗(yàn)科、心電診斷室、放射科、彩超室、內(nèi)鏡室等技能科室，并設(shè)有針炙、推拿、按摩等傳統(tǒng)中醫(yī)治療室、理療室、運(yùn)動(dòng)和作業(yè)治療室、多間VIP病房等。太原益民中醫(yī)院以一流的技術(shù)、一流的質(zhì)量、一流的設(shè)備、一流的管理、一流的環(huán)境、一流的服務(wù)為永恒的追求，并牢固樹立“以醫(yī)療質(zhì)量為核心”的“大經(jīng)營”理念，努力提供“以患者為關(guān)注焦點(diǎn)”的星級(jí)優(yōu)質(zhì)服務(wù)，堅(jiān)持走“創(chuàng)名院、建名科、出名醫(yī)”的發(fā)展之路，創(chuàng)建和諧的“健康家園”。太原益民中醫(yī)院最原始的網(wǎng)絡(luò)需求來自于對(duì)LANE共享資源、業(yè)務(wù)的開展需要，最小規(guī)模的局域網(wǎng)可能就要算通過1臺(tái)共享式集線器來連接打印機(jī)、文件服務(wù)器的組建模式了，但是，在信息科技日益發(fā)展的今天，基于共享式技術(shù)的網(wǎng)絡(luò)已經(jīng)不能符合當(dāng)前業(yè)務(wù)的發(fā)展的需求，更高速、更精準(zhǔn)、更可靠、更安全以及更方便的網(wǎng)絡(luò)和業(yè)務(wù)管理已經(jīng)成為新時(shí)期醫(yī)療行業(yè)發(fā)展的重點(diǎn)。 如何最大程度的滿足醫(yī)療行業(yè)的網(wǎng)絡(luò)需求，為此設(shè)計(jì)次方案。1.2課題概況太原益民中醫(yī)院以前網(wǎng)絡(luò)設(shè)備落后，經(jīng)常掉網(wǎng)、斷網(wǎng)。網(wǎng)絡(luò)走線混亂。完成對(duì)醫(yī)院的新網(wǎng)絡(luò)的規(guī)劃，重新設(shè)計(jì)實(shí)施。以前的網(wǎng)絡(luò)不能適應(yīng)當(dāng)前的醫(yī)療發(fā)展，需要更完善、快速、安全、穩(wěn)定的網(wǎng)絡(luò)提供，滿足需求的患者和內(nèi)部之間的相互通信。該醫(yī)院有100多人，有各醫(yī)療科室、市場部、網(wǎng)絡(luò)部、企劃部等眾多部門組成，因此為了維持內(nèi)部的正常運(yùn)作，需要一個(gè)龐大的網(wǎng)絡(luò)體系太原益民中醫(yī)院新設(shè)計(jì)搭建的網(wǎng)絡(luò)將根據(jù)當(dāng)前與今后一段時(shí)間的發(fā)展需求，規(guī)劃一個(gè)全新的公司局域網(wǎng)系統(tǒng)，該公司局域網(wǎng)系統(tǒng)必須具備民營醫(yī)院發(fā)展的快特點(diǎn)，滿足財(cái)務(wù)部、銷售部和人力資源部對(duì)醫(yī)院的管理和醫(yī)院患者之間信息化需求，同時(shí)新的局域網(wǎng)系統(tǒng)必須滿足將來擴(kuò)展的需要進(jìn)行整體計(jì)劃，在滿足當(dāng)前需要的同時(shí)，還必須具備一定的前瞻性。在實(shí)際的建設(shè)過程當(dāng)中，應(yīng)當(dāng)充分考慮到太原益民中醫(yī)院內(nèi)部網(wǎng)業(yè)務(wù)較少，銷售部占用網(wǎng)絡(luò)帶寬比較大以客戶訪問該公司等。對(duì)其他部門實(shí)行網(wǎng)絡(luò)流量控制和服務(wù)。滿足客戶和銷售部之間的通信。1.3課題目的滿足益民中醫(yī)院各部門之間安全穩(wěn)定的通信。設(shè)計(jì)搭建新的網(wǎng)絡(luò)滿足醫(yī)院發(fā)展需求。對(duì)銷售部流量比較大要求大，分配更多的流量。該公司網(wǎng)絡(luò)技術(shù)人員較少，因而對(duì)網(wǎng)絡(luò)的依賴性很高，要求網(wǎng)絡(luò)盡可能簡單、可靠、易用，降低網(wǎng)絡(luò)的使用和維護(hù)成本為該公司電子商務(wù)網(wǎng)絡(luò)系統(tǒng)提供一個(gè)統(tǒng)一、可靠、安全的專用信息通信平臺(tái)，支持話音、數(shù)據(jù)和圖像的交換與傳輸，實(shí)現(xiàn)計(jì)算機(jī)數(shù)據(jù)、話音、電視會(huì)議、圖片傳輸?shù)榷喾N信息通信業(yè)務(wù)，并具有完備的網(wǎng)絡(luò)管理系統(tǒng)。局域網(wǎng)需求分析和設(shè)計(jì)原則2.1需求與分析太原益民中醫(yī)院是一家比較有潛力的醫(yī)院，近幾年發(fā)展很快。該公司對(duì)網(wǎng)絡(luò)總體需求包括以下幾點(diǎn)：適應(yīng)桌面計(jì)算機(jī)處理、I/O能力大幅度提高的現(xiàn)狀，發(fā)揮桌面機(jī)的網(wǎng)絡(luò)性能，提高桌面機(jī)的訪問帶寬；適應(yīng)連網(wǎng)規(guī)模大、總流量大的情況，合理分布流量，實(shí)現(xiàn)流量隔離和控制；為銷售部、人力資源部、財(cái)務(wù)部，合理進(jìn)行網(wǎng)絡(luò)劃分，實(shí)現(xiàn)有效的安全訪問控制和運(yùn)行管理；為客戶/服務(wù)器的應(yīng)用環(huán)境提供支撐；增加網(wǎng)絡(luò)系統(tǒng)的運(yùn)行可靠性，降低故障隱患，提高系統(tǒng)的可管理性。本方案針對(duì)港隆公司網(wǎng)絡(luò)系統(tǒng)應(yīng)用場合對(duì)安全提出了很高的要求，因此網(wǎng)絡(luò)設(shè)計(jì)充分考慮網(wǎng)絡(luò)上敏感數(shù)據(jù)傳輸?shù)陌踩?，一方面需要充分利用網(wǎng)絡(luò)設(shè)備提供的安全策略（VLAN劃分等），另一方面為了保障內(nèi)部數(shù)據(jù)傳輸?shù)陌踩?，采用各種安全技術(shù)（防火墻、入侵檢測、防病毒體系等），并且盡量不影響到整個(gè)網(wǎng)絡(luò)的運(yùn)行效率。為了更好的保證網(wǎng)絡(luò)的正常運(yùn)行，設(shè)計(jì)的網(wǎng)絡(luò)系統(tǒng)還考慮到網(wǎng)絡(luò)管理，實(shí)現(xiàn)網(wǎng)絡(luò)的統(tǒng)一管理。一般中小型企業(yè)網(wǎng)的主要需求有：1、 管理的需求：包括對(duì)用戶和設(shè)備的管理，可操作、易管理、具備靈活的計(jì)費(fèi)策略、擴(kuò)展能力強(qiáng)。2、 區(qū)分內(nèi)、外網(wǎng)需求：限制資源的訪問。3、 安全需求：非法的DHCPServe、r病毒、攻擊、上網(wǎng)日志等。4、 NAT需求：公網(wǎng)地址不夠，5、 多業(yè)務(wù)需求：強(qiáng)大的組播支持能力、多業(yè)務(wù)融合（語言、數(shù)據(jù)、）能力。6、 可靠性需求：設(shè)備具備高性能、高可靠性、高穩(wěn)定性、高安全性。7、 投資需求：高性價(jià)比、平滑升級(jí)、投資保護(hù)。8Qos需求：具備完善的QOS能力。求港隆公司銷售部、財(cái)務(wù)部等部門不能相互進(jìn)行訪問，但對(duì)公司文件服務(wù)區(qū)可以訪問。采用交換，必要時(shí)實(shí)現(xiàn)路由隔離。根據(jù)業(yè)務(wù)用戶分布和數(shù)據(jù)的流向，合理的進(jìn)行網(wǎng)段劃分。允許采用虛擬網(wǎng)技術(shù)（VLAN）。實(shí)現(xiàn)各計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的互聯(lián)，形成公共信息的交換環(huán)境，為企業(yè)用戶提供網(wǎng)絡(luò)服務(wù)平臺(tái)。實(shí)現(xiàn)信息資源和軟硬件資源共享，提供豐富的網(wǎng)絡(luò)信息服務(wù)，以推動(dòng)辦公自動(dòng)化。根據(jù)益民中醫(yī)院兩棟樓宇之間不同，采用光線接入。1、 對(duì)醫(yī)院提供安全快速的網(wǎng)絡(luò)。2、 防止不明計(jì)算機(jī)接入，保證接入的安全性。3、 核心到匯集全部采用單模光纖并做相應(yīng)的備份，提供高速可靠的傳輸。4、 保障需求患者正常訪問醫(yī)院和銷售部與外網(wǎng)通信，防止不必要流量產(chǎn)生。5、為以后員工提供寬帶服務(wù)。2.2設(shè)計(jì)目標(biāo)針對(duì)本次益民中醫(yī)院局域網(wǎng)建設(shè)課題，按照以下目標(biāo)來實(shí)施網(wǎng)絡(luò)建設(shè)：1、建設(shè)成為信息一體化、管理集中化、業(yè)務(wù)多樣化的公司局域安全網(wǎng)絡(luò)；2、新網(wǎng)絡(luò)結(jié)構(gòu)清晰，網(wǎng)絡(luò)層次合理數(shù)據(jù)網(wǎng)絡(luò)需要采用分布式布線：3、網(wǎng)絡(luò)帶寬大幅提升滿足港隆文具有限公司的業(yè)務(wù)發(fā)展需求和冗余連接：4、多樣性訪問權(quán)限控制與管理；針對(duì)不同部門之間采取不同認(rèn)證：2.3設(shè)計(jì)原則1、可管理性具有分級(jí)、分權(quán)管理能力的網(wǎng)管系統(tǒng)，實(shí)現(xiàn)統(tǒng)一的網(wǎng)絡(luò)業(yè)務(wù)調(diào)度和管理，降低網(wǎng)絡(luò)運(yùn)營成本。同時(shí)由于高校網(wǎng)絡(luò)的使用者數(shù)量巨大，網(wǎng)上開展的業(yè)務(wù)眾多，因此需要能夠提供用戶的高效管理，以確保公司的利益不受損失。2、可增值性公司局域網(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。所以在建設(shè)時(shí)要充分考慮業(yè)務(wù)的擴(kuò)展能力，能針對(duì)不同的用戶需求提供豐富的寬帶增值業(yè)務(wù)，使網(wǎng)絡(luò)具有自我造血機(jī)制，實(shí)現(xiàn)以網(wǎng)養(yǎng)網(wǎng)。3、可擴(kuò)充性考慮到公司的業(yè)務(wù)種類發(fā)展的不確定性，局域網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺(tái)，能夠隨著需求變化，充分留有擴(kuò)充余地。4、開放性技術(shù)選擇必須符合相關(guān)國際標(biāo)準(zhǔn)及國內(nèi)標(biāo)準(zhǔn)，避免個(gè)別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開放性和互連互通，滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需要；開放的接口，支持良好的維護(hù)、測量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實(shí)時(shí)監(jiān)控的遙測、遙控的信息處理功能，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。5、安全可靠性設(shè)計(jì)應(yīng)充分考慮整個(gè)網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點(diǎn)的備份和線路保護(hù)，提供網(wǎng)絡(luò)安全防范措施局域網(wǎng)系統(tǒng)設(shè)計(jì)方案根據(jù)益民中醫(yī)院發(fā)展需求，并結(jié)合當(dāng)前醫(yī)療局域網(wǎng)狀況和未來發(fā)展趨勢(shì)，整個(gè)網(wǎng)絡(luò)方案設(shè)計(jì)突出層次化、可管理、易維護(hù)、高可靠性的原則，確保網(wǎng)絡(luò)在具有高性能的同時(shí)具有良好的前瞻性和持續(xù)發(fā)展性。3.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)采用模塊化的設(shè)計(jì)思想，按照功能劃分為以下區(qū)塊：交換區(qū)塊和核心區(qū)塊。對(duì)于由交換區(qū)塊和核心區(qū)塊構(gòu)成的局域網(wǎng)再按照目前流行的層次化的設(shè)計(jì)思想，劃分為接入層、匯聚層和核心層。1、交換區(qū)塊的主要功能是提供用戶的接入點(diǎn)，并防止廣播數(shù)據(jù)流和網(wǎng)絡(luò)問題到達(dá)核心區(qū)塊或者其他區(qū)塊，交換區(qū)塊由接入層交換機(jī)和匯聚層交換機(jī)構(gòu)成：接入層：接入層設(shè)備作為最終用戶的網(wǎng)絡(luò)接入點(diǎn)，使用100M雙絞線連接各層桌面終端，為每個(gè)用戶提供專用的帶寬，并可基于端口或MAC地址的VLAN成員資格和流量進(jìn)行過濾，接入層主要的設(shè)計(jì)原則是能夠通過低成本、高端口密度的設(shè)備提供這些功能。匯聚層：接入層交換機(jī)使用100M雙絞線匯聚到一臺(tái)或者多臺(tái)匯聚層設(shè)備，匯聚層設(shè)備在接入層交換機(jī)之間提供第二層連接，作為接入層交換機(jī)的集中連接點(diǎn)及接入層和核心層之間的分界點(diǎn)，匯聚層在提供接入層接入的同時(shí)，還能夠做到廣播域的隔離、不同網(wǎng)段之間的路由、介質(zhì)轉(zhuǎn)換、安全控制。匯聚層需要提供第三層功能，即支持路由選擇和網(wǎng)絡(luò)層服務(wù)，以保護(hù)交換區(qū)塊不受網(wǎng)絡(luò)其他部分失效的影響，并防止本交換區(qū)塊故障對(duì)網(wǎng)絡(luò)其他部分的影響，如果交換區(qū)塊發(fā)生了廣播風(fēng)暴，分布層設(shè)備可以防止該廣播風(fēng)暴擴(kuò)散到核心和網(wǎng)絡(luò)的其他部分。2、核心區(qū)塊是公司網(wǎng)絡(luò)的主干，主要功能是在交換區(qū)塊之間用最小的時(shí)延傳輸數(shù)據(jù)，盡可能快的將交換數(shù)據(jù)提供到其他區(qū)塊(比如交換區(qū)塊)。核心區(qū)塊由核心層構(gòu)成，包含一個(gè)或一組用來連接多個(gè)交換區(qū)塊的交換機(jī)。核心層：核心層交換機(jī)負(fù)責(zé)所有交換區(qū)塊設(shè)備和廣域網(wǎng)設(shè)備的接入，因此需要高速的數(shù)據(jù)轉(zhuǎn)發(fā)能力。核心層設(shè)備需要支持port-channel鏈路捆綁技術(shù)，來保證數(shù)據(jù)的轉(zhuǎn)發(fā)能力，防止出現(xiàn)線路瓶頸。作為企業(yè)網(wǎng)絡(luò)的心臟，核心層也是路由協(xié)議最優(yōu)選路和運(yùn)行穩(wěn)定的保證，需要合理的配置路由協(xié)議，并添加冗余處理器或者應(yīng)用冗余協(xié)議來保障網(wǎng)絡(luò)核心的穩(wěn)定，使企業(yè)數(shù)據(jù)流正常運(yùn)作?？傮w設(shè)計(jì)以高性能、高可靠性、高安全性、良好的可擴(kuò)展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及可靠組播為原則，以及考慮到技術(shù)的先進(jìn)性、成熟性，并采用模塊化的設(shè)計(jì)方法。新網(wǎng)絡(luò)拓?fù)鋱D如圖3-1所示。圖3-1-2太原益民中醫(yī)院網(wǎng)絡(luò)拓?fù)?、 從核心層到匯聚層全部使用單模光纖。2、 采用使用四條100M雙絞線連接到匯聚層。3、 所有用戶接入采用有線結(jié)合。4、 采用層次結(jié)構(gòu)使網(wǎng)絡(luò)易于管理。5、 采用高性能的單核心交換。6做熱路由備份3.2三層詳細(xì)設(shè)計(jì)及設(shè)備選型核心交換機(jī)是整個(gè)網(wǎng)絡(luò)的計(jì)算和內(nèi)部數(shù)據(jù)交換處理中心，在整個(gè)局域網(wǎng)內(nèi)是最為關(guān)鍵和重要的設(shè)備。核心交換機(jī)推薦采用華為S570C交換機(jī)二臺(tái)。如圖3-2所示。圖3-2-1華為S5700交換機(jī)特點(diǎn)：免維護(hù)易部署S5700支持自動(dòng)配置、即插即用、USB開局、自動(dòng)批量遠(yuǎn)程升級(jí)等功能，便于部署升級(jí)和業(yè)務(wù)發(fā)放，簡化后續(xù)的管理和維護(hù)性能。從而大大降低了維護(hù)成本。S5700支持SNMPV1/V2/V3CLI命令行、Web網(wǎng)管、TELNETHGM集群管理等多樣化的管理和維護(hù)方式，設(shè)備管理更加靈活。支持NTPSSHv2.0TACACS、RMO、多日志主機(jī)、基于端口的流量統(tǒng)計(jì)，支持NQA網(wǎng)絡(luò)質(zhì)量分析，有利于進(jìn)一步作好網(wǎng)絡(luò)規(guī)劃和改造。強(qiáng)大的多業(yè)務(wù)支持能力S5700支持IGMPv1/v2/v3Snooping/Filter/FastLeave/Proxy 等協(xié)議。S5700支持線速的跨VLAN組播復(fù)制功能，支持捆綁端口的組播負(fù)載分擔(dān)，支持可控組播，可以充分滿足IPTV和其他組播業(yè)務(wù)的需求。S5700支持MCE功能，實(shí)現(xiàn)了不同VPN用戶在同一臺(tái)設(shè)備的隔離，有效解決用戶數(shù)據(jù)安全問題，同時(shí)降低用戶投資成本。完備的咼可靠保護(hù)機(jī)制S5700不僅支持傳統(tǒng)的STP/RSTP/MST生成樹協(xié)議，還支持SmartLink和RRPP等增強(qiáng)型以太網(wǎng)技術(shù)，可以實(shí)現(xiàn)毫秒級(jí)鏈路保護(hù)倒換，保證高可靠性的網(wǎng)絡(luò)質(zhì)量。此外，針對(duì)Smartlink和RRPP勻提供多實(shí)例功能，可實(shí)現(xiàn)鏈路負(fù)載分擔(dān)，進(jìn)一步提高了鏈路帶寬利用率。產(chǎn)品規(guī)格及參數(shù)：）華為QuidwayS5700大容量交換機(jī)產(chǎn)品物理參數(shù)：主要參數(shù)產(chǎn)品類型千兆以太網(wǎng)交換機(jī)應(yīng)用層級(jí)三層傳輸速率10/100/1000Mbps交換方式存儲(chǔ)-轉(zhuǎn)發(fā)冃板帶寬256Gbps包轉(zhuǎn)發(fā)率96MppsMAC地址表32K端口參數(shù)端口結(jié)構(gòu)非模塊化端口數(shù)量24個(gè)端口描述24個(gè)10/100/1000Base-T端口擴(kuò)展模塊2個(gè)擴(kuò)展插槽傳輸模式全雙工/半雙工自適應(yīng)功能特性

網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.3,IEEE802.3u,IEEE802.3ab,IEEE802.3z,IEEE802.3x,IEEE802.1Q,IEEE802.1d,IEEE802.1X堆疊功能可堆疊VLAN支持4K個(gè)VLAN支持GuestVLANVoiceVLAN支持基于MAC協(xié)議/IP子網(wǎng)/策略/端口的VLAN支持1:1和N:1VLAN交換功能QOS支持對(duì)端口接收和發(fā)送報(bào)文的速率進(jìn)行限制支持報(bào)文重定向支持基于端口的流量監(jiān)管，支持雙速三色CAF功能每端口支持8個(gè)隊(duì)列支持WRRDRRSPWRFFSPDRR+S隊(duì)列調(diào)度算法支持報(bào)文的802.1p和DSCP優(yōu)先級(jí)重新標(biāo)記支持L2(Layer2)-L4(Layer4)包過濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、協(xié)議、VLAN的非法幀過濾功能支持基于隊(duì)列限速和端口Shapping功能組播管理支持IGMPv1/v2/v3Snooping和快速離開機(jī)制支持VLAN內(nèi)組播轉(zhuǎn)發(fā)和組播多VLAN復(fù)制支持捆綁端口的組播負(fù)載分擔(dān)支持可控組播基于端口的組播流量統(tǒng)計(jì)IGMPv1/v2/v3、PIM-SMPIM-DMPIM-SSM網(wǎng)絡(luò)管理支持堆疊支持MFF支持虛擬電纜檢測(VirtualCableTest)支持端口鏡像和RSPAN遠(yuǎn)程端口鏡像)

支持Telnet遠(yuǎn)程配置、維護(hù)支持SNMPv1/v2/v3支持RMON支持網(wǎng)管系統(tǒng)、支持WE聊管特性支持集群管理HGMP支持系統(tǒng)日志、分級(jí)告警支持GVR協(xié)議支持MUXVLA功能安全管理用戶分級(jí)管理和口令保護(hù)支持防止DOSARP攻擊功能、ICMP防攻擊支持IP、MAC端口、VLAN的組合綁定支持端口隔離、端口安全、StickyMAC支持黑洞MAC地址支持MAC地址學(xué)習(xí)數(shù)目限制支持IEEE802.1X認(rèn)證，支持單端口最大用戶數(shù)限制支持AAA認(rèn)證，支持Radius、TACACS+NAC等多種方式支持SSHV2.0支持HTTPS支持CPU呆護(hù)功能支持黑名單和白名單表3-2為了保證數(shù)據(jù)傳輸和交換的效率，在樓內(nèi)設(shè)置二層樓內(nèi)匯聚層。樓內(nèi)匯聚層設(shè)備不但分擔(dān)了核心設(shè)備的部分壓力，同時(shí)提高了網(wǎng)絡(luò)的安全性采用H3CS3600-28P-SI匯聚交換機(jī)。如圖3-3圖3-2-2H3CS3600-28P-SI交換機(jī)特點(diǎn)：1擴(kuò)展性一IRF技術(shù)允許交換機(jī)利用互聯(lián)電纜實(shí)現(xiàn)多臺(tái)設(shè)備的擴(kuò)展，最大擴(kuò)展至 384個(gè)10/100M端口；具有即插即用、單一IP管理，同時(shí)大大降低系統(tǒng)擴(kuò)展的成本。2可靠性通過專利的路由熱備份技術(shù)，在整個(gè)堆疊架構(gòu)內(nèi)實(shí)現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份和無間斷三層轉(zhuǎn)發(fā)，極大的增強(qiáng)了堆疊架構(gòu)的可靠性和性能，同時(shí)消除了單點(diǎn)故障，避免了業(yè)務(wù)中斷。分布性通過分布式鏈路聚合技術(shù)，實(shí)現(xiàn)多條上行鏈路的負(fù)載分擔(dān)和互為備份，從而提高整個(gè)網(wǎng)絡(luò)架構(gòu)的冗余性和鏈路資源的利用率。產(chǎn)品規(guī)格及參數(shù)：H3CS5500-SI產(chǎn)品規(guī)格及參數(shù)：產(chǎn)品類型智能交換機(jī)應(yīng)用層級(jí)三層傳輸速率10/100/1000Mbps交換方式存儲(chǔ)-轉(zhuǎn)發(fā)冃板帶寬32Gbps包轉(zhuǎn)發(fā)率9.6MppsMAC地址表16K端口結(jié)構(gòu)非模塊化端口數(shù)量28個(gè)端口描述24個(gè)10/100Base-TX以太網(wǎng)端口，4個(gè)1000Base-XSFP千兆以太網(wǎng)端口控制端口1個(gè)Console口傳輸模式全雙工/半雙工自適應(yīng)網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.1Q,IEEE802.1D,IEEE802.1w,IEEE802.1S，IEEE802,3x,IEEE802.1XVLAN支持基于端口的VLAN（4K個(gè)）支持基于協(xié)議的VLAN支持VoiceVLAN支持GVRP支持VLANVPNQinQ,靈活QinQQOS支持對(duì)端口接收?qǐng)?bào)文的速率和發(fā)送報(bào)文的速率進(jìn)行限制

支持報(bào)文的802.1p和DSCP優(yōu)先級(jí)重新標(biāo)記支持報(bào)文重定向支持CAF功能支持8個(gè)端口輸出隊(duì)列支持靈活的隊(duì)列調(diào)度算法組播管理IGMPSnoopingIGMPV1/V2PIM-SMPIM-DMMSD（EI系列支持）網(wǎng)絡(luò)管理支持XModem/FTP/TFT加載升級(jí)支持命令行接口（CLI）、TeInet、Console口進(jìn)行配置支持SNMPV1/V2/V3WEB^管支持RMON12,3，9組MIB支持iMC智能管理中心支持HGMPv集群管理支持系統(tǒng)日志、分級(jí)告警、調(diào)試信息輸出支持PINGTracert支持上電POST風(fēng)扇堵轉(zhuǎn)、PoE設(shè)備過熱等情況的檢測與告警支持VCT（VirtualCableTest）電纜檢測功能支持DLDP（DeviceLinkDetectionProtocol ，設(shè)備連接檢測協(xié)議）支持端口環(huán)回檢測支持IPv6host功能族，實(shí)現(xiàn)IPv6管理表3-2-2S5700支持自動(dòng)配置、即插即用、USB開局、自動(dòng)批量遠(yuǎn)程升級(jí)等功能，便于部署升級(jí)和業(yè)務(wù)發(fā)放，簡化后續(xù)的管理和維護(hù)性能。從而大大降低了維護(hù)成本。S5700支持SNMPV1/V2/V3CLI命令行、Welb網(wǎng)管、TELNETHGM集群管理等多樣化的管理和維護(hù)方式，設(shè)備管理更加靈活。支持NTPSSHv2.0TACACS、RMO、多日志主機(jī)、基于端口的流量統(tǒng)計(jì)，支持NQA網(wǎng)絡(luò)質(zhì)量分析，有利于進(jìn)一步作好網(wǎng)絡(luò)規(guī)劃和改造。接入層是直接連接多臺(tái)計(jì)算機(jī)相連的設(shè)備，公司網(wǎng)絡(luò)中接入層建設(shè)中，每個(gè)

部門網(wǎng)絡(luò)接入最為典型，其主要特點(diǎn)是上網(wǎng)時(shí)間集中，突發(fā)流量大、安全控制要求高。鑒于上述特點(diǎn)，對(duì)于港隆公司網(wǎng)絡(luò)接入層配合 PVLAN單端口環(huán)回檢測、端口速率限制、集群管理等手段?因此接入層設(shè)備采用H3CS3100-52p24O交換機(jī)如圖3-4圖3-2-3H3CS3100交換機(jī)特點(diǎn)：咼帶寬和咼擴(kuò)展H3CS3100-52p交換機(jī)為所有的端口提供二層線速交換能力，同時(shí)支持 4個(gè)GE的上行擴(kuò)展，滿足行業(yè)用戶多業(yè)務(wù)和高帶寬的應(yīng)用需求。靈活的用戶管理和完備的安全控制策略H3CS3100-52p千兆交換機(jī)支持集中式MAC地址認(rèn)證和802.1x認(rèn)證，在用戶接入網(wǎng)絡(luò)時(shí)完成必要的身份認(rèn)證，支持廣播風(fēng)暴抑制和端口鎖定功能，支持配合H3C公司的CAM系統(tǒng)對(duì)在線用戶進(jìn)行實(shí)時(shí)的管理，及時(shí)的診斷和瓦解網(wǎng)絡(luò)非法行為，保證接入用戶的合法性。支持對(duì)Proxy進(jìn)行有效的管理。H3CS5024千兆交換機(jī)支持通過建立和維護(hù)DHCPSnoopin綁定表實(shí)現(xiàn)偵聽接入用戶的MA(地址、IP地址、租用期、VLAN-ID接口等信息，解決DHCPB戶的IP和端口跟蹤定位問題。豐富的QOS策略H3CS3100-52p交換機(jī)支持每個(gè)端口8個(gè)輸出隊(duì)列，支持SP(StrictPriority)、WRRWeightedRoundRobin)、SP+WR三種隊(duì)列調(diào)度算法。支持端口雙向限速，限速的控制粒度為 64KbpSo多樣的管理方式H3CS3100-52p千兆交換機(jī)支持VCT(VirtualCableTest)電纜檢測功能，便于快速定位網(wǎng)絡(luò)故障點(diǎn)。支持通過FTPTFTP實(shí)現(xiàn)設(shè)備的遠(yuǎn)程升級(jí)，支持HGMP集群管理系統(tǒng)和故障診斷，實(shí)現(xiàn)了設(shè)備的集中管理和維護(hù)，支持 SNMP可支持OpenView等通用網(wǎng)管平臺(tái)，以及Quidview網(wǎng)管系統(tǒng)。支持CLI命令行，Web網(wǎng)

管，TELNETHGM集群管理，使設(shè)備管理更方便。產(chǎn)品規(guī)格及參數(shù)：（見表所示）型號(hào)H3CS3100-52p固定端口24個(gè)10/100Base-TX以太網(wǎng)端口，2個(gè)10/100/1000Base-T以太網(wǎng)端口和2個(gè)復(fù)用的1000Base-XSFP千兆以太網(wǎng)端口交換谷量所有端口支持線速轉(zhuǎn)發(fā)19.2Gbps包轉(zhuǎn)發(fā)率6.55Mpps交換模式存儲(chǔ)轉(zhuǎn)發(fā)模式（StoreandForward）支持QoS每個(gè)端口支持4個(gè)輸出隊(duì)列MAC地址支持8KMA（地址支持黑洞MAC支持設(shè)置端口最大MAC地址學(xué)習(xí)VLAN支持基于端口的VLAN（4K個(gè)）支持VLANVPNQinQ）支持GVRP支持ACL支持L2（Layer2）?L4（Layer4）包過濾功能，可以匹配報(bào)文前80個(gè)字節(jié)，提供基于源MAC地址、目的MAC源IP地址、目的IP地址、IP協(xié)議類型、TCP/UDP端口、TCP/UDP端口范圍、VLAN等定義ACL支持基于時(shí)間段（TimeRange的ACL支持基于端口組、全局、VLAN批量下發(fā)ACL安全特性用戶分級(jí)管理和口令保護(hù)支持GuestVLAN支持IEEE802.1X認(rèn)證支持集中MAC地址認(rèn)證支持SSH2.0支持IP源地址保護(hù)支持ARP入侵檢測功能支持ARF報(bào)文限速功能支持端口隔離支持IP+端口的綁定支持IP+MAC勺綁定支持端口+MAC勺綁定支持IP+MAC端口的綁定管理與維護(hù)支持XModem/FTP/TFT加載升級(jí)支持命令行接口（CLI），TeInet，Console口進(jìn)行配置支持SNMPv1/v2/v3,WE網(wǎng)管支持RMONRemoteMonitoring）1，2，3，9組MIB支持H3CiMC智能管理中心支持系統(tǒng)日志，分級(jí)告警，調(diào)試信息輸出支持IPv6host，包括IPv6單播地址配置，ICMPv6IPv6鄰居發(fā)現(xiàn)協(xié)議（ND，IPv6靜態(tài)路由，IPv6-PING,IPv6-TCP,IPV6-TFTP,支持Telnet遠(yuǎn)程維護(hù)支持上電POST支持DLDP（DeviceLinkDetectionProtocol ）單向鏈路檢測協(xié)議支持Loopback-detection端口環(huán)回檢測3.3虛擬局域網(wǎng)VLAN與IP子網(wǎng)設(shè)計(jì)劃分虛擬局域網(wǎng)是整個(gè)網(wǎng)絡(luò)系統(tǒng)的重要技術(shù)之一。醫(yī)院網(wǎng)絡(luò)內(nèi)部的環(huán)境復(fù)雜、分布區(qū)域廣、網(wǎng)絡(luò)用戶多，以至于企業(yè)內(nèi)部網(wǎng)絡(luò)用戶的可靠性得不到完全的保證。通過劃分虛擬局域網(wǎng)，隔離不同部門，可以增強(qiáng)企業(yè)網(wǎng)絡(luò)安全性，以下詳細(xì)論述了虛擬局域網(wǎng)的技術(shù)及在網(wǎng)絡(luò)系統(tǒng)中的必要性和設(shè)計(jì)方案。以太網(wǎng)基本上是以廣播為基礎(chǔ)的，如最初包的尋址等，交換機(jī)雖然能夠通過建立地址映射表減少不必要的廣播，但是地址映射表的建立過程仍然是基于廣播的，網(wǎng)絡(luò)節(jié)點(diǎn)（如PC機(jī)）在處理廣播時(shí)浪費(fèi)了CPI#理時(shí)間，降低了處理性能，根據(jù)統(tǒng)計(jì)，當(dāng)網(wǎng)絡(luò)上存在15000個(gè)廣播包時(shí)，將耗盡CPU資源；在傳統(tǒng)的網(wǎng)絡(luò)里，節(jié)點(diǎn)的吞吐量都會(huì)隨著節(jié)點(diǎn)的增多而下降，交換式以太網(wǎng)雖然能夠隔離沖突域及第二層廣播，但是無法隔離第三層網(wǎng)絡(luò)。另一方面，接入網(wǎng)需要保障用戶數(shù)據(jù)（單播地址的幀）的安全性，隔離攜帶有用戶信息的廣播消息（如ARPDHCP肖息等），防止關(guān)鍵設(shè)備受到攻擊。對(duì)每個(gè)用戶而言，當(dāng)然不希望他的信息被別人利用，因此需要從物理上隔離用戶數(shù)據(jù)（單播地址的幀），保證用戶單播地址的幀只有該用戶可以接收到， 不像在局域網(wǎng)中采用共享總線方式，使單播地址的幀能被總線上的所有用戶接收。如果不隔離這些廣播消息而讓其他用戶接收到，容易發(fā)生 MAC/IP地址仿冒，影響設(shè)備的正常運(yùn)行，中斷合法用戶的通信過程。為了隔離第三層廣播，增強(qiáng)安全性、提高網(wǎng)絡(luò)性能，可以運(yùn)用 VLAN（虛擬局域網(wǎng)）技術(shù)或者使用路由設(shè)備。使用路由器時(shí)可以將網(wǎng)絡(luò)劃分多個(gè)物理網(wǎng)段，這些物理網(wǎng)段可以連接到路由器的多個(gè)端口，多個(gè)物理網(wǎng)段間通過路由器進(jìn)行通信，但是路由器的端口價(jià)格遠(yuǎn)遠(yuǎn)高出交換機(jī)的端口價(jià)格，所以這種方式將增加設(shè)備投資，在物理網(wǎng)段增多時(shí)就更為嚴(yán)重，而且只有使用高端設(shè)備才能滿足高端口密度的要求，所以不推薦這種方式。VLAN技術(shù)不需要特殊的設(shè)備，目前第二層交換機(jī)均支持VLAN技術(shù)。通過在一個(gè)物理網(wǎng)段上劃分出多個(gè)邏輯網(wǎng)段，由每一個(gè)邏輯網(wǎng)段構(gòu)成一個(gè) VLAN其內(nèi)部采用交換機(jī)連接，所有的廣播信息只限制在本 VLAN內(nèi)，而之間的連接則采用路由實(shí)現(xiàn)，具體實(shí)施時(shí)可以外加路由器，或者直接使用第三層交換設(shè)備。使用路由器時(shí)，將這些邏輯網(wǎng)段連接到路由器時(shí)可以只使用一條物理鏈路、占用一個(gè)路由器接口，這樣就節(jié)省了設(shè)備的投資，而使用三層交換設(shè)備時(shí)，不需要額外增加設(shè)備，只要交換機(jī)支持三層路由功能即可，由于三層交換設(shè)備的工作效率高于路由器，所以在本論文中推薦采用三層交換設(shè)備實(shí)現(xiàn) VLAN之間的路由。規(guī)劃目前，VLAN技術(shù)可以使用以下方式組建：基于交換機(jī)端口的VLAN基于MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN基于端口的VLAN即靜態(tài)VLAN特點(diǎn)是技術(shù)簡單，容易配置且維護(hù)工作量小，缺點(diǎn)是終端設(shè)備移動(dòng)時(shí)需要更改設(shè)備配置?；贛AC地址的VLAN即動(dòng)態(tài)VLAN基于Vian策略服務(wù)組建，特點(diǎn)是終端設(shè)備可以在整個(gè)局域網(wǎng)中移動(dòng)而不用改變配置，適合于移動(dòng)辦公型的網(wǎng)絡(luò)環(huán)境，缺點(diǎn)是配置工作量大、繁瑣。由于交換機(jī)為二層設(shè)備，所以基于應(yīng)用協(xié)議的VLAN對(duì)于交換機(jī)來說沒有任何意義，反而會(huì)造成交換機(jī)性能的下降?？紤]到本系統(tǒng)的特點(diǎn)，節(jié)點(diǎn)在網(wǎng)絡(luò)中內(nèi)移動(dòng)的可能性較小，基于易維護(hù)、易管理方面的考慮，使用基于交換機(jī)端口的VLAN進(jìn)行配置采用虛擬局域網(wǎng)VLAN主要出于三個(gè)目的：用戶隔離、提高網(wǎng)絡(luò)效率；提供靈活的管理；提高系統(tǒng)安全性。因此，規(guī)劃VLAN時(shí)也應(yīng)該綜合考慮這三方面的因素。接入層設(shè)備為二層交換機(jī)。為了進(jìn)行不同用戶間的有效隔離和互聯(lián)，需要利用交換機(jī)對(duì)用戶進(jìn)行相應(yīng)的VLAN劃分。具體做法可以是將交換機(jī)的每一端口劃分一個(gè)VLAN以實(shí)現(xiàn)所有用戶間的二層隔離，此時(shí)如果需要互聯(lián)，可通過上連設(shè)備的ACL功能來控制；也可以根據(jù)需要將多個(gè)交換機(jī)的不同端口劃為同一個(gè)VLAN直接實(shí)現(xiàn)有限制的用戶互聯(lián)。VLAN規(guī)劃參照表和圖3-5，各個(gè)VLAN間由ACL控制，限制互訪。其中VLAN10――VLAN4C為各部門VLAN禁止互訪，VLAN50為公司文件服務(wù)器區(qū)，能被任何部門訪問，VLAN60為網(wǎng)管區(qū)，能單向訪問各個(gè)部門。VLAN號(hào)網(wǎng)段描述VLAN10人力資源部VLAN20財(cái)務(wù)部VLAN30銷售部VLAN40網(wǎng)絡(luò)部VLAN50行政辦公VLAN100網(wǎng)絡(luò)管理中心表3-3-2圖3-3-2子網(wǎng)設(shè)計(jì)IP地址分配要遵循以下原則：1、 簡單性：地址的分配應(yīng)該簡單，避免在主干上采用復(fù)雜的掩碼方式。2、 連續(xù)性：為同一個(gè)網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于采用SUMMARIZATIONCIDR(CLASSLESSINTER-DOMAINROU技NG縮減路由表的表項(xiàng)，提高路由器的處理效率。3、 可擴(kuò)充性：為一個(gè)網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機(jī)數(shù)量增加時(shí)仍然能夠保持地址的連續(xù)性。4、 靈活性：地址分配不應(yīng)該基于某個(gè)網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多數(shù)路由策略在該地址分配方案上實(shí)現(xiàn)優(yōu)化5、可管理性：地址的分配應(yīng)該有層次，某個(gè)局部的變動(dòng)不要影響上層、全局。局。6安全性：網(wǎng)絡(luò)內(nèi)應(yīng)按工作內(nèi)容劃分成不同網(wǎng)段即子網(wǎng)以便進(jìn)行管理根據(jù)以上設(shè)計(jì)和校園網(wǎng)的需求，公司的IP子網(wǎng)劃分見表和圖3-6所示:表3-6IP子網(wǎng)劃分:ir.rpMl12氏V'414..NiISKi—I92J蹴L3ir.rpMl12氏V'414..NiISKi—I92J蹴L324匸LT遵克VIniIOlfirt?CM\塔1缸眾：1‘才_(tái)l J1W8p.C麗Rl圖3-3-3SW5FaO/3FaO/1FaO/2SW6FaO/3

FaO/1FaO/2SW7FaO/1FaO/2FaO/3FaO/4CoreSWIFaO/1FaO/224FaO/3FaO/4CoreSW2FaO/1FaO/224FaO/3FaO/4聚合R1FaO/OFaO/1FaO/2PC1PC2PC3PC4PC5PC6PC7PC8表3-3-3訪問控制列表（AccessControlList,ACL是路由器接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalkACL的定義也是基于每一種協(xié)議的。 如果路由器接口配置成為支持三種協(xié)議（IP、AppleTalk以及IPX）的情況，那么，用戶必須定義三種 ACL來分別控制這三種協(xié)議的數(shù)據(jù)包。自反訪問表在路由器的一邊創(chuàng)建IP流量的動(dòng)態(tài)開啟，該過程是基于來自路由器另一邊的會(huì)話進(jìn)行的。在正常的操作模式下，自反訪問表被配置并用于從路由器的不可信方，例如連接到Internet的串行端口，創(chuàng)建開啟表項(xiàng)。這些開啟表項(xiàng)的創(chuàng)建是基于源于設(shè)備的可信方的會(huì)話進(jìn)行的，例如以太網(wǎng)或令牌環(huán)網(wǎng)的用戶連接到一個(gè)網(wǎng)段或連接到路由器端口的環(huán)。 在該過程中，訪問表執(zhí)行的動(dòng)作稱為自反向過濾（reflexivefiltering ）。該名稱是根據(jù)此訪問表的類型得來的。在IOS版本11.3中引入了自反訪問表，并且它可用在所有的路由器平臺(tái)上。在核心層交換機(jī)上配置SW5（由于各個(gè)端口配置相似，故只列出核心交換機(jī)SW5的eO/1.1）：ipaccess-listextendede0/0.1-inevaluateadminpermitipanyanyexitipaccess-listextendede-outpermitipanyanyreflectadmininte0/0.1ipaccess-groupe-outoutipaccess-groupe0/0.1-ininexit3.4路由協(xié)議的選擇OSPF提供了更多更靈活的路由控制策略，方便復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)的用戶實(shí)施路由規(guī)劃。另一方面則在于OSPF的開放性，為用戶網(wǎng)絡(luò)今后的擴(kuò)展提供了較大的空間和靈活性，從而獲得了廣泛的認(rèn)可，使之成為內(nèi)部路由協(xié)議的一種較佳選擇?？偟膩碚fOSPF路由協(xié)議具有以下優(yōu)點(diǎn)：適合中小型企業(yè)網(wǎng)絡(luò)搭建節(jié)省網(wǎng)絡(luò)帶寬：OSPF屬于鏈路狀態(tài)協(xié)議，只有當(dāng)網(wǎng)絡(luò)連接狀態(tài)發(fā)生變化時(shí)才彼此更新變化了的拓?fù)湫畔?，而并非整個(gè)網(wǎng)絡(luò)的 LSDB從而大大節(jié)省了網(wǎng)絡(luò)帶寬，這對(duì)于大型的廣域網(wǎng)來說很重要。支持VLSM：OSPFLSA(LinkStateAdvertisement)中包含子網(wǎng)掩碼。支持層次化的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)：網(wǎng)絡(luò)設(shè)計(jì)人員可以把一個(gè)大型 OSPF網(wǎng)絡(luò)分成若干域(Area)，其中一個(gè)是主干域(BackboneArea,ArealDRoutes)及ASBR(AutonomousSystemBoundaryRouter概念，非OSPF路由均視為外部路由，由ASBF注入至UOSPF域0支持路由總結(jié)(RouteSummary)：OSPFABR連接多個(gè)區(qū)域的設(shè)備)具有路由總結(jié)的功能，如果連續(xù)地分配IP地址空間，則ABR僅向主干域廣播總結(jié)后的路由信息，抑制那些具體的路由信息的廣播，從而大大減小了其它域中路由器LSDB及路由表的大小0沒有路由跳數(shù)限制：OSFF路由表是基于LSDB運(yùn)行Dijkstra算法計(jì)算出來的，沒有跳數(shù)限制0沒有路由環(huán)路問題：OSPF1于Link-State路由協(xié)議，沒有環(huán)路問題。OSPF其它特性：OSPF定義了StubArea及Not-So-Stubby-Area(NSSA)，為設(shè)計(jì)包含多種路由協(xié)議的混合網(wǎng)絡(luò)，以及控制LSDB及路由表的大小提供了手段。SW骸心交換配置OSPF協(xié)議(其他配置一樣的，在這里不詳細(xì)敘述)routerospf1networkarea1網(wǎng)絡(luò)安全管理4.1內(nèi)網(wǎng)安全運(yùn)用多種技術(shù)，如VLAN防病毒體系等，對(duì)各個(gè)部門、系所訪問進(jìn)行控制，各單位之間在未授權(quán)的情況下不能互相訪問，保證系統(tǒng)內(nèi)部的安全。內(nèi)網(wǎng)對(duì)安全的需求包括VLAN設(shè)置需求、防病毒系統(tǒng)需求、網(wǎng)絡(luò)管理需求和網(wǎng)絡(luò)系統(tǒng)管理等。企業(yè)網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布區(qū)域廣，網(wǎng)絡(luò)用戶多，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對(duì)于存放敏感數(shù)據(jù)的主機(jī)的攻擊往往發(fā)自內(nèi)部用戶，如何對(duì)內(nèi)部用戶進(jìn)行訪問控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運(yùn)行的可靠性和安全性，必須要對(duì)它進(jìn)行詳盡的設(shè)計(jì)，盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點(diǎn)。針對(duì)防病毒危害性極大并且傳播極為迅速，必須配備從單機(jī)到服務(wù)器的整套防病毒軟件，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)。此次建設(shè)的企業(yè)網(wǎng)絡(luò)系統(tǒng)是一個(gè)相當(dāng)復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)，包含多種設(shè)備和技術(shù)。隨著系統(tǒng)復(fù)雜度的增加，會(huì)給系統(tǒng)管理帶來成指數(shù)增加的管理工作量。為此必須要設(shè)計(jì)一套健全的管理系統(tǒng)。針對(duì)系統(tǒng)的功能采取相應(yīng)的管理措施。4.2外網(wǎng)安全由于外網(wǎng)主要運(yùn)行企業(yè)各部門非涉密的內(nèi)部辦公業(yè)務(wù)以及運(yùn)行面向客戶的公開信息，所以必須采取過硬的安全技術(shù)來實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)系統(tǒng)不受Internet的“黑客”、病毒等攻擊。外網(wǎng)對(duì)安全的需求包括物理安全需求、數(shù)據(jù)鏈路層需求、入侵檢測系統(tǒng)需求、防病毒系統(tǒng)需求和安全管理體制等。針對(duì)重要信息可能通過電磁輻射或線路干擾等泄漏。需要對(duì)存放機(jī)密信息的機(jī)房進(jìn)行必要的設(shè)計(jì)，如構(gòu)建屏蔽室。采用輻射干擾機(jī)，防止電磁輻射泄漏機(jī)密信息。對(duì)重要的設(shè)備進(jìn)行冗余配置；對(duì)重要系統(tǒng)進(jìn)行備份等安全保護(hù)。信息的泄漏很多都是在鏈路上被搭線竊取，數(shù)據(jù)也可能因?yàn)樵阪溌飞媳唤孬@、被篡改后傳輸給對(duì)方，造成數(shù)據(jù)真實(shí)性、完整性得不到保證。如果利用加密設(shè)備對(duì)傳輸數(shù)據(jù)進(jìn)行加密，使得在網(wǎng)上傳輸?shù)臄?shù)據(jù)以密文傳輸。因?yàn)閿?shù)據(jù)是密文，所以，即使在傳輸過程中被截獲，入侵者也讀不懂，而且加密機(jī)還能通過先進(jìn)行技術(shù)手段，對(duì)數(shù)據(jù)傳輸過程中的完整性、真實(shí)性進(jìn)行鑒別?？梢员ＷC數(shù)據(jù)的保密性、完整性及可靠性。因此，可能需要配備加密設(shè)備對(duì)數(shù)據(jù)進(jìn)行傳輸加密。網(wǎng)絡(luò)安全是整體的、動(dòng)態(tài)的，不是單一產(chǎn)品能夠完全實(shí)現(xiàn)的，所以為了確保網(wǎng)絡(luò)更加安全必須配備入侵檢測系統(tǒng)，對(duì)透過防火墻的攻擊進(jìn)行檢測并做相應(yīng)反應(yīng)(記錄、報(bào)警、阻斷)。針對(duì)防病毒危害性極大并且傳播極為迅速，必須配備從單機(jī)到服務(wù)器的整套防病毒軟件，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)。安全管理體制安全系統(tǒng)只能提供技術(shù)手段和措施，但人為的因素不可忽略，只有確立健全的安全管理體制，設(shè)立相應(yīng)的安全管理崗位，從制度上加以嚴(yán)格管理。系統(tǒng)中包含大量的網(wǎng)絡(luò)設(shè)備，必須為其配置功能強(qiáng)大的管理系統(tǒng)，該系統(tǒng)應(yīng)具有以下功能：虛擬網(wǎng)管理、分配；對(duì)所有網(wǎng)絡(luò)設(shè)備端口的監(jiān)視和管理；對(duì)網(wǎng)絡(luò)流量的監(jiān)測和管理；對(duì)所有網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理和控制，包括網(wǎng)絡(luò)端口設(shè)備的開放和關(guān)閉；整個(gè)網(wǎng)絡(luò)的故障監(jiān)測，故障自動(dòng)報(bào)警功能；整個(gè)網(wǎng)絡(luò)性能的統(tǒng)計(jì)和分析報(bào)告。5.1網(wǎng)絡(luò)應(yīng)用安全談到網(wǎng)絡(luò)應(yīng)用安全，人們首先想到的是網(wǎng)絡(luò)黑客。確實(shí)，網(wǎng)絡(luò)黑客幾乎與網(wǎng)絡(luò)同時(shí)誕生，黑客與反黑的斗爭從來就沒有停止過。要有效防止黑客，就必須首先了解黑客所使用的手段。一般說來黑客所使用的手段主要有下面幾類。一般說來，有網(wǎng)絡(luò)路由器的地方都有探測程序(snifferprogram)。探測程序是一種分析網(wǎng)絡(luò)流量的網(wǎng)絡(luò)應(yīng)用程序。IP的最基本的缺點(diǎn)是缺乏一種機(jī)制來確定數(shù)據(jù)包的真正來源。所有的包都含有源地址和目的地址，但是在IP包中沒有任何東西可以確認(rèn)IP包的源和目的地址是否變動(dòng)過。顯然，安全性不好的系統(tǒng)將是黑客進(jìn)駐和安裝探測軟件的地方。一旦探測軟件安裝完畢，黑客就可以通過分析經(jīng)過的所有數(shù)據(jù)流量，從而得到所需要的地址、帳號(hào)和密碼等數(shù)據(jù)。其中典型的包探測程序也就是利用IP的弱點(diǎn)，因?yàn)樗梢杂脕硖綔y有效的Internet連接。一旦這種連接被檢測到，包探測程序就可以利用IP的其它弱點(diǎn)竊取其它連接信息。欺騙感染了ARP欺騙病毒的計(jì)算機(jī)會(huì)向同網(wǎng)段內(nèi)所有計(jì)算機(jī)發(fā)ARP欺騙包，導(dǎo)致網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)因網(wǎng)關(guān)物理地址被更改而無法上網(wǎng)，被欺騙計(jì)算機(jī)的典型癥狀是剛開機(jī)能上網(wǎng)，幾分鐘之后斷網(wǎng)，如此不斷重復(fù)，造成了該子網(wǎng)段范圍內(nèi)的不穩(wěn)定，影響其它機(jī)器的正常使用。更為嚴(yán)重的是ARP欺騙病毒及其變形“惡意竊聽”等病毒的中毒主機(jī)會(huì)截取局域網(wǎng)范圍內(nèi)所有的通訊數(shù)據(jù)。地址欺騙當(dāng)一個(gè)黑客開始使用一種用以散布網(wǎng)絡(luò)路由信息的應(yīng)用程序 RIP時(shí)，一種路由方式的地址欺騙就開始了。一般說來，當(dāng)一個(gè)網(wǎng)絡(luò)收到RIP信息時(shí)，這種信息是沒有得到驗(yàn)證的。這種缺陷的結(jié)果是使得黑客可以發(fā)送虛假的路由信息到他想進(jìn)行欺騙的一臺(tái)主機(jī)，如主機(jī)A。這種假冒的信息頁將發(fā)送到主機(jī)A的路徑上的所有網(wǎng)關(guān)。主機(jī)A和這些網(wǎng)關(guān)收到的虛假路由信息是來自網(wǎng)絡(luò)上的一臺(tái)不工作或沒有使用的主機(jī)，如主機(jī)B。這樣，任何要發(fā)送到主機(jī)B的信息都會(huì)轉(zhuǎn)送到黑客的計(jì)算機(jī)上，而主機(jī)A和網(wǎng)關(guān)還認(rèn)為信息是流向了主機(jī)B――網(wǎng)絡(luò)上一個(gè)可信任的節(jié)點(diǎn)。一旦黑客成功地將他的計(jì)算機(jī)取代了網(wǎng)絡(luò)上的一臺(tái)實(shí)際主機(jī)，就實(shí)現(xiàn)了主機(jī)欺騙。攻擊DOS攻擊也稱強(qiáng)攻擊，其最基本的方法就是通過發(fā)起大量的服務(wù)請(qǐng)求，消耗服務(wù)器或網(wǎng)絡(luò)的系統(tǒng)資源，使之最終無法響應(yīng)其它請(qǐng)求，導(dǎo)致系統(tǒng)癱瘓。具體實(shí)現(xiàn)方法有下面幾種：1、PING/ICMPEchoFlood攻擊這種攻擊模式一般是發(fā)起大量的ICMPEcho請(qǐng)求給一個(gè)指定的目標(biāo)，以達(dá)到使服務(wù)癱瘓的目的。但是需要發(fā)起這么大量的 ICMP請(qǐng)求是不可能從一臺(tái)具有正確IP地址的主機(jī)上做到的，因?yàn)檫@樣也會(huì)對(duì)自身產(chǎn)生很大的影響，發(fā)起者不得不接受同樣多的回應(yīng)。所以HACKE需要利用虛假的地址再發(fā)起攻擊。我們可以利用H3C9512的源地址驗(yàn)證功能實(shí)現(xiàn)防止PING攻擊。2、 SMURFSSMUR攻擊類似與PING攻擊，是一種帶寬消耗的攻擊模式。它需要大量虛假ICMP請(qǐng)求導(dǎo)向到I