標(biāo)題:計算機網(wǎng)絡(luò)搭建技術(shù)研究中文摘要隨著網(wǎng)絡(luò)技術(shù)新系統(tǒng)、新領(lǐng)域的長足發(fā)展，傳統(tǒng)企業(yè)也正利用其行業(yè)的特點，融合網(wǎng)絡(luò)技術(shù)的優(yōu)勢，發(fā)展自身。在信息化生產(chǎn)逐步普及的今天，組建企業(yè)內(nèi)部網(wǎng)絡(luò)已經(jīng)是企業(yè)必不可少的一部分，建立高速、穩(wěn)定、安全、智能的辦公網(wǎng)，是組建中小型企業(yè)局域網(wǎng)的核心。本畢業(yè)設(shè)計作品定位于公司局域網(wǎng)設(shè)計，因此配置了比較完備的硬件資源。在內(nèi)容選擇上，一方面以對中小型企業(yè)的網(wǎng)絡(luò)拓?fù)浜退柙O(shè)備進(jìn)行了設(shè)計；另一方面用很直觀的網(wǎng)絡(luò)拓?fù)鋱D概述了本次畢業(yè)設(shè)計相關(guān)的網(wǎng)絡(luò)安全、網(wǎng)絡(luò)所需設(shè)備以及所實現(xiàn)的網(wǎng)絡(luò)功能和應(yīng)用等。

目錄TOC\o"1-2"\h\z\u一、概述 一、概述（一）課題背景目前，我國中小企業(yè)數(shù)量已超過1000萬家。在國民經(jīng)濟(jì)中，60%的總產(chǎn)值來自于中小企業(yè)，并為社會提供了70%以上的就業(yè)機會。然而，在中國國民經(jīng)濟(jì)和社會發(fā)展中一直占據(jù)著至關(guān)重要的戰(zhàn)略地位的中小企業(yè)，其信息化程度卻十分落后。今后如何應(yīng)對瞬息萬變、競爭激烈的國內(nèi)外市場環(huán)境以及如何利用網(wǎng)絡(luò)技術(shù)迅速提升企業(yè)核心競爭力為企業(yè)成敗的關(guān)鍵。中小型企業(yè)的信息化建設(shè)工程通常有規(guī)模小、結(jié)構(gòu)簡單的特點，綜合資金投入、專業(yè)人才以及未來發(fā)展等因素，網(wǎng)絡(luò)實用性、安全性與拓展性（升級改造能力）是中小型企業(yè)實現(xiàn)信息化建設(shè)的主要要求，局域網(wǎng)內(nèi)進(jìn)行信息交流包括發(fā)布通知,安排日程表、工作計劃,提交工作總結(jié),進(jìn)行信息匯總等也是企業(yè)的要求。因此，成本低廉、炒作簡易、便于維護(hù)并能滿足業(yè)務(wù)運用需要的網(wǎng)絡(luò)辦公環(huán)境是這一領(lǐng)域的真正需求。針對絕多數(shù)中小型企業(yè)集中辦公這一現(xiàn)實特點，組建一個適合中小企業(yè)需求的高性價比實用的網(wǎng)絡(luò)是十分有實際意義的。（二）課題概況超玩在線新設(shè)計搭建的網(wǎng)絡(luò)將根據(jù)當(dāng)前與今后一段時間的發(fā)展需求，規(guī)劃一個全新的公司局域網(wǎng)系統(tǒng)，該公司局域網(wǎng)系統(tǒng)必須具備中小型企業(yè)發(fā)展的快特點，滿足生產(chǎn)部、財務(wù)部、銷售部和人力資源部對公司的管理和公司客戶之間信息化需求，同時新的局域網(wǎng)系統(tǒng)必須滿足將來擴(kuò)展的需要進(jìn)行整體計劃，在滿足當(dāng)前需要的同時，還必須具備一定的前瞻性。在實際的建設(shè)過程當(dāng)中，應(yīng)當(dāng)充分考慮到超玩在線科技有限公司內(nèi)部網(wǎng)業(yè)務(wù)較少，銷售部占用網(wǎng)絡(luò)帶寬比較大以客戶訪問該公司等。對其他部門實行網(wǎng)絡(luò)流量控制和服務(wù)。滿足客戶和人資部前臺之間的通信。（三）課題目的滿足超玩在線科技有限公司各部門之間安全穩(wěn)定的通信。設(shè)計搭建新的網(wǎng)絡(luò)滿足公司發(fā)展需求。對銷售部流量比較大要求大，分配更多的流量。該公司網(wǎng)絡(luò)技術(shù)人員較少，因而對網(wǎng)絡(luò)的依賴性很高，要求網(wǎng)絡(luò)盡可能簡單、可靠、易用，降低網(wǎng)絡(luò)的使用和維護(hù)成本為該公司電子商務(wù)網(wǎng)絡(luò)系統(tǒng)提供一個統(tǒng)一、可靠、安全的專用信息通信平臺，支持話音、數(shù)據(jù)和圖像的交換與傳輸，實現(xiàn)計算機數(shù)據(jù)、話音、電視會議、圖片傳輸?shù)榷喾N信息通信業(yè)務(wù)，并具有完備的網(wǎng)絡(luò)管理系統(tǒng)。二、局域網(wǎng)需求分析和設(shè)計原則（一）需求與分析本方案針對超玩在線科技有限公司網(wǎng)絡(luò)系統(tǒng)應(yīng)用場合對安全提出了很高的要求，因此網(wǎng)絡(luò)設(shè)計充分考慮網(wǎng)絡(luò)上敏感數(shù)據(jù)傳輸?shù)陌踩?，一方面需要充分利用網(wǎng)絡(luò)設(shè)備提供的安全策略（VLAN劃分等），另一方面為了保障內(nèi)部數(shù)據(jù)傳輸?shù)陌踩?，采用各種安全技術(shù)（防火墻、入侵檢測、防病毒體系等），并且盡量不影響到整個網(wǎng)絡(luò)的運行效率。為了更好的保證網(wǎng)絡(luò)的正常運行，設(shè)計的網(wǎng)絡(luò)系統(tǒng)還考慮到網(wǎng)絡(luò)管理，實現(xiàn)網(wǎng)絡(luò)的統(tǒng)一管理。一般中小型企業(yè)網(wǎng)的主要需求有：（1）管理的需求：包括對用戶和設(shè)備的管理，可操作、易管理、具備靈活的計費策略、擴(kuò)展能力強。（2）區(qū)分內(nèi)、外網(wǎng)需求：限制資源的訪問。（3）安全需求：非法的DHCPServer、病毒、攻擊、上網(wǎng)日志等。（4）NAT需求：公網(wǎng)地址不夠，（5）多業(yè)務(wù)需求：強大的組播支持能力、多業(yè)務(wù)融合（語言、數(shù)據(jù)、）能力。（6）可靠性需求：設(shè)備具備高性能、高可靠性、高穩(wěn)定性、高安全性。（7）投資需求：高性價比、平滑升級、投資保護(hù)。（8）Qos需求：具備完善的QOS能力。1.具體需求超玩在線財務(wù)部、生產(chǎn)部等部門不能相互進(jìn)行訪問，但對公司文件服務(wù)區(qū)可以訪問。采用交換，必要時實現(xiàn)路由隔離。根據(jù)業(yè)務(wù)用戶分布和數(shù)據(jù)的流向，合理的進(jìn)行網(wǎng)段劃分。允許采用虛擬網(wǎng)技術(shù)（VLAN）。實現(xiàn)各計算機網(wǎng)絡(luò)系統(tǒng)的互聯(lián)，形成公共信息的交換環(huán)境，為企業(yè)用戶提供網(wǎng)絡(luò)服務(wù)平臺。實現(xiàn)信息資源和軟硬件資源共享，提供豐富的網(wǎng)絡(luò)信息服務(wù)，以推動辦公自動化。根據(jù)超玩在線科技有限公司兩棟樓宇之間不同，采用光線接入。2.需求分析（1）對公司提供安全快速的網(wǎng)絡(luò)。（2）防止不明計算機接入，保證接入的安全性。（3）核心到匯集全部采用單模光纖并做相應(yīng)的備份，提供高速可靠的傳輸。（4）保障公司客戶正常訪問公司和銷售部與外網(wǎng)通信，防止不必要流量產(chǎn)生。（5）為以后員工提供寬帶服務(wù)。（二）設(shè)計目標(biāo)針對本次超玩在線科技有限公司局域網(wǎng)建設(shè)課題，按照以下目標(biāo)來實施網(wǎng)絡(luò)建設(shè)：（1）建設(shè)成為信息一體化、管理集中化、業(yè)務(wù)多樣化的公司局域安全網(wǎng)絡(luò)；（2）新網(wǎng)絡(luò)結(jié)構(gòu)清晰，網(wǎng)絡(luò)層次合理數(shù)據(jù)網(wǎng)絡(luò)需要采用分布式布線：（3）網(wǎng)絡(luò)帶寬大幅提升滿足超玩在線科技有限公司的業(yè)務(wù)發(fā)展需求和冗余連接：（4）多樣性訪問權(quán)限控制與管理；針對不同部門之間采取不同認(rèn)證：三、局域網(wǎng)系統(tǒng)設(shè)計方案根據(jù)超玩在線發(fā)展需求，并結(jié)合當(dāng)前企業(yè)局域網(wǎng)狀況和未來發(fā)展趨勢，整個網(wǎng)絡(luò)方案設(shè)計突出層次化、可管理、易維護(hù)、高可靠性的原則，確保網(wǎng)絡(luò)在具有高性能的同時具有良好的前瞻性和持續(xù)發(fā)展性。（一）網(wǎng)絡(luò)拓?fù)湓O(shè)計1.拓?fù)溥x擇采用模塊化的設(shè)計思想，按照功能劃分為以下區(qū)塊：交換區(qū)塊和核心區(qū)塊。對于由交換區(qū)塊和核心區(qū)塊構(gòu)成的局域網(wǎng)再按照目前流行的層次化的設(shè)計思想，劃分為接入層、匯聚層和核心層。（1）交換區(qū)塊的主要功能是提供用戶的接入點，并防止廣播數(shù)據(jù)流和網(wǎng)絡(luò)問題到達(dá)核心區(qū)塊或者其他區(qū)塊，交換區(qū)塊由接入層交換機和匯聚層交換機構(gòu)成：1）接入層：接入層設(shè)備作為最終用戶的網(wǎng)絡(luò)接入點，使用100M雙絞線連接各層桌面終端，為每個用戶提供專用的帶寬，并可基于端口或MAC地址的VLAN成員資格和流量進(jìn)行過濾，接入層主要的設(shè)計原則是能夠通過低成本、高端口密度的設(shè)備提供這些功能。2）匯聚層：接入層交換機使用100M雙絞線匯聚到一臺或者多臺匯聚層設(shè)備，匯聚層設(shè)備在接入層交換機之間提供第二層連接，作為接入層交換機的集中連接點及接入層和核心層之間的分界點，匯聚層在提供接入層接入的同時，還能夠做到廣播域的隔離、不同網(wǎng)段之間的路由、介質(zhì)轉(zhuǎn)換、安全控制。匯聚層需要提供第三層功能，即支持路由選擇和網(wǎng)絡(luò)層服務(wù)，以保護(hù)交換區(qū)塊不受網(wǎng)絡(luò)其他部分失效的影響，并防止本交換區(qū)塊故障對網(wǎng)絡(luò)其他部分的影響，如果交換區(qū)塊發(fā)生了廣播風(fēng)暴，分布層設(shè)備可以防止該廣播風(fēng)暴擴(kuò)散到核心和網(wǎng)絡(luò)的其他部分。（2）核心區(qū)塊是公司網(wǎng)絡(luò)的主干，主要功能是在交換區(qū)塊之間用最小的時延傳輸數(shù)據(jù)，盡可能快的將交換數(shù)據(jù)提供到其他區(qū)塊（比如交換區(qū)塊）。核心區(qū)塊由核心層構(gòu)成，包含一個或一組用來連接多個交換區(qū)塊的交換機。核心層：核心層交換機負(fù)責(zé)所有交換區(qū)塊設(shè)備和廣域網(wǎng)設(shè)備的接入，因此需要高速的數(shù)據(jù)轉(zhuǎn)發(fā)能力。核心層設(shè)備需要支持port-channel鏈路捆綁技術(shù)，來保證數(shù)據(jù)的轉(zhuǎn)發(fā)能力，防止出現(xiàn)線路瓶頸。作為企業(yè)網(wǎng)絡(luò)的心臟，核心層也是路由協(xié)議最優(yōu)選路和運行穩(wěn)定的保證，需要合理的配置路由協(xié)議，并添加冗余處理器或者應(yīng)用冗余協(xié)議來保障網(wǎng)絡(luò)核心的穩(wěn)定，使企業(yè)數(shù)據(jù)流正常運作。2.拓?fù)浣Y(jié)構(gòu)圖總體設(shè)計以高性能、高可靠性、高安全性、良好的可擴(kuò)展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及可靠組播為原則，以及考慮到技術(shù)的先進(jìn)性、成熟性，并采用模塊化的設(shè)計方法。新網(wǎng)絡(luò)拓?fù)鋱D如圖3-1所示。圖3-1港隆文具公司網(wǎng)絡(luò)拓?fù)?.拓?fù)浣Y(jié)構(gòu)說明（1）從核心層到匯聚層全部使用單模光纖。（2）采用使用四條100M雙絞線連接到匯聚層。（3）所有用戶接入采用有線結(jié)合。（4）采用層次結(jié)構(gòu)使網(wǎng)絡(luò)易于管理。（5）采用高性能的單核心交換。（6）做熱路由備份（二）三層詳細(xì)設(shè)計及設(shè)備選型1.核心層設(shè)計核心交換機是整個網(wǎng)絡(luò)的計算和內(nèi)部數(shù)據(jù)交換處理中心，在整個局域網(wǎng)內(nèi)是最為關(guān)鍵和重要的設(shè)備。核心交換機推薦采用華為S5700交換機二臺。如圖3-2所示圖3-2華為S5700交換機特點：免維護(hù)易部署S5700支持自動配置、即插即用、USB開局、自動批量遠(yuǎn)程升級等功能，便于部署升級和業(yè)務(wù)發(fā)放，簡化后續(xù)的管理和維護(hù)性能。從而大大降低了維護(hù)成本。S5700支持SNMPV1V2V3、CLI命令行、Web網(wǎng)管、TELNET、HGMP集群管理等多樣化的管理和維護(hù)方式，設(shè)備管理更加靈活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主機、基于端口的流量統(tǒng)計，支持NQA網(wǎng)絡(luò)質(zhì)量分析，有利于進(jìn)一步作好網(wǎng)絡(luò)規(guī)劃和改造。強大的多業(yè)務(wù)支持能力S5700支持IGMPv1v2v3SnoopingFilterFastLeaveProxy等協(xié)議。S5700支持線速的跨VLAN組播復(fù)制功能，支持捆綁端口的組播負(fù)載分擔(dān)，支持可控組播，可以充分滿足IPTV和其他組播業(yè)務(wù)的需求。S5700支持MCE功能，實現(xiàn)了不同VPN用戶在同一臺設(shè)備的隔離，有效解決用戶數(shù)據(jù)安全問題，同時降低用戶投資成本。完備的高可靠保護(hù)機制S5700不僅支持傳統(tǒng)的STPRSTPMSTP生成樹協(xié)議，還支持SmartLink和RRPP等增強型以太網(wǎng)技術(shù)，可以實現(xiàn)毫秒級鏈路保護(hù)倒換，保證高可靠性的網(wǎng)絡(luò)質(zhì)量。此外，針對Smartlink和RRPP均提供多實例功能，可實現(xiàn)鏈路負(fù)載分擔(dān)，進(jìn)一步提高了鏈路帶寬利用率。產(chǎn)品規(guī)格及參數(shù)：）華為QuidwayS5700大容量交換機產(chǎn)品物理參數(shù):主要參數(shù)產(chǎn)品類型千兆以太網(wǎng)交換機應(yīng)用層級三層傳輸速率交換方式存儲-轉(zhuǎn)發(fā)背板帶寬256Gbps包轉(zhuǎn)發(fā)率96MppsMAC地址表32K端口參數(shù)端口結(jié)構(gòu)非模塊化端口數(shù)量24個端口描述擴(kuò)展模塊2個擴(kuò)展插槽傳輸模式全雙工半雙工自適應(yīng)功能特性網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.3，IEEE802.3u，IEEE802.3ab，IEEE802.3z，IEEE802.3x，IEEE802.1Q，IEEE802.1d，IEEE802.1X堆疊功能可堆疊VLAN支持4K個VLAN支持GuestVLAN、VoiceVLAN支持基于MAC協(xié)議IP子網(wǎng)策略端口的VLAN支持1:1和N:1VLAN交換功能QOS支持對端口接收和發(fā)送報文的速率進(jìn)行限制支持報文重定向支持基于端口的流量監(jiān)管，支持雙速三色CAR功能每端口支持8個隊列支持WRR、DRR、SP、WRR＋SP、DRR+SP隊列調(diào)度算法支持報文的802.1p和DSCP優(yōu)先級重新標(biāo)記支持L2（Layer2）-L4（Layer4）包過濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、協(xié)議、VLAN的非法幀過濾功能支持基于隊列限速和端口Shapping功能組播管理支持IGMPv1v2v3Snooping和快速離開機制支持VLAN內(nèi)組播轉(zhuǎn)發(fā)和組播多VLAN復(fù)制支持捆綁端口的組播負(fù)載分擔(dān)支持可控組播基于端口的組播流量統(tǒng)計IGMPv1v2v3、PIM-SM、PIM-DM、PIM-SSM網(wǎng)絡(luò)管理支持堆疊支持MFF支持虛擬電纜檢測（VirtualCableTest）支持端口鏡像和RSPAN（遠(yuǎn)程端口鏡像）支持Telnet遠(yuǎn)程配置、維護(hù)支持SNMPv1v2v3支持RMON支持網(wǎng)管系統(tǒng)、支持WEB網(wǎng)管特性支持集群管理HGMP支持系統(tǒng)日志、分級告警支持GVRP協(xié)議支持MUXVLAN功能安全管理用戶分級管理和口令保護(hù)支持防止DOS、ARP攻擊功能、ICMP防攻擊支持IP、MAC、端口、VLAN的組合綁定支持端口隔離、端口安全、StickyMAC支持黑洞MAC地址支持MAC地址學(xué)習(xí)數(shù)目限制支持IEEE802.1X認(rèn)證，支持單端口最大用戶數(shù)限制支持AAA認(rèn)證，支持Radius、TACACS+、NAC等多種方式支持SSHV2.0支持HTTPS支持CPU保護(hù)功能支持黑名單和白名單2.匯聚層設(shè)計為了保證數(shù)據(jù)傳輸和交換的效率，在樓內(nèi)設(shè)置二層樓內(nèi)匯聚層。樓內(nèi)匯聚層設(shè)備不但分擔(dān)了核心設(shè)備的部分壓力，同時提高了網(wǎng)絡(luò)的安全性采用H3C交換機特點：（1）擴(kuò)展性—IRF技術(shù)允許交換機利用互聯(lián)電纜實現(xiàn)多臺設(shè)備的擴(kuò)展，最大擴(kuò)展至384個10100M端口;具有即插即用、單一IP管理，同時大大降低系統(tǒng)擴(kuò)展的成本。（2）可靠性通過專利的路由熱備份技術(shù)，在整個堆疊架構(gòu)內(nèi)實現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份和無間斷三層轉(zhuǎn)發(fā)，極大的增強了堆疊架構(gòu)的可靠性和性能，同時消除了單點故障，避免了業(yè)務(wù)中斷。（3）分布性通過分布式鏈路聚合技術(shù)，實現(xiàn)多條上行鏈路的負(fù)載分擔(dān)和互為備份，從而提高整個網(wǎng)絡(luò)架構(gòu)的冗余性和鏈路資源的利用率。產(chǎn)品規(guī)格及參數(shù)：H3CS5500-SI產(chǎn)品規(guī)格及參數(shù):產(chǎn)品類型智能交換機應(yīng)用層級三層傳輸速率交換方式存儲-轉(zhuǎn)發(fā)背板帶寬32Gbps包轉(zhuǎn)發(fā)率9.6MppsMAC地址表16K端口結(jié)構(gòu)非模塊化端口數(shù)量28個端口描述24個10100Base-TX以太網(wǎng)端口，4個1000Base-XSFP千兆以太網(wǎng)端口控制端口1個Console口傳輸模式全雙工半雙工自適應(yīng)網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.1Q，IEEE802.1D，IEEE802.1w，IEEE802.1s，IEEE802.3x，IEEE802.1XVLAN支持基于端口的VLAN（4K個）支持基于協(xié)議的VLAN支持VoiceVLAN支持GVRP支持VLANVPN（QinQ），靈活QinQQOS支持對端口接收報文的速率和發(fā)送報文的速率進(jìn)行限制支持報文的802.1p和DSCP優(yōu)先級重新標(biāo)記支持報文重定向支持CAR功能支持8個端口輸出隊列支持靈活的隊列調(diào)度算法組播管理IGMPSnoopingIGMPV1V2、PIM-SM、PIM-DM、MSDP（EI系列支持）網(wǎng)絡(luò)管理支持XModemFTPTFTP加載升級支持命令行接口（CLI）、Telnet、Console口進(jìn)行配置支持SNMPV1V2V3、WEB網(wǎng)管支持RMON1，2，3，9組MIB支持iMC智能管理中心支持HGMPv2集群管理支持系統(tǒng)日志、分級告警、調(diào)試信息輸出支持PING、Tracert支持上電POST、風(fēng)扇堵轉(zhuǎn)、PoE設(shè)備過熱等情況的檢測與告警支持VCT（VirtualCableTest）電纜檢測功能支持DLDP（DeviceLinkDetectionProtocol，設(shè)備連接檢測協(xié)議）支持端口環(huán)回檢測支持IPv6host功能族，實現(xiàn)IPv6管理S5700支持自動配置、即插即用、USB開局、自動批量遠(yuǎn)程升級等功能，便于部署升級和業(yè)務(wù)發(fā)放，簡化后續(xù)的管理和維護(hù)性能。從而大大降低了維護(hù)成本。S5700支持SNMPV1V2V3、CLI命令行、Web網(wǎng)管、TELNET、HGMP集群管理等多樣化的管理和維護(hù)方式，設(shè)備管理更加靈活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主機、基于端口的流量統(tǒng)計，支持NQA網(wǎng)絡(luò)質(zhì)量分析，有利于進(jìn)一步作好網(wǎng)絡(luò)規(guī)劃和改造。3.接入層設(shè)計接入層是直接連接多臺計算機相連的設(shè)備，公司網(wǎng)絡(luò)中接入層建設(shè)中，每個部門網(wǎng)絡(luò)接入最為典型，其主要特點是上網(wǎng)時間集中，突發(fā)流量大、安全控制要求高。鑒于上述特點，對于超玩公司網(wǎng)絡(luò)接入層配合PVLAN、單端口環(huán)回檢測、端口速率限制、集群管理等手段.如圖3-4圖3-4H3CS3100交換機特點：高帶寬和高擴(kuò)展GE的上行擴(kuò)展，滿足行業(yè)用戶多業(yè)務(wù)和高帶寬的應(yīng)用需求。靈活的用戶管理和完備的安全控制策略接入網(wǎng)絡(luò)時完成必要的身份認(rèn)證，支持廣播風(fēng)暴抑制和端口鎖定功能，支持配合H3C公司的CAMS系統(tǒng)對在線用戶進(jìn)行實時的管理，及時的診斷和瓦解網(wǎng)絡(luò)非法行為，保證接入用戶的合法性。支持對Proxy進(jìn)行有效的管理。H3CS5024P千兆交換機支持通過建立和維護(hù)DHCPSnooping綁定表實現(xiàn)偵聽接入用戶的MAC地址、IP地址、租用期、VLAN-ID接口等信息，解決DHCP用戶的IP和端口跟蹤定位問題。（三）虛擬局域網(wǎng)VLAN與IP子網(wǎng)設(shè)計劃分虛擬局域網(wǎng)是整個網(wǎng)絡(luò)系統(tǒng)的重要技術(shù)之一。公司網(wǎng)絡(luò)內(nèi)部的環(huán)境復(fù)雜、分布區(qū)域廣、網(wǎng)絡(luò)用戶多，以至于企業(yè)內(nèi)部網(wǎng)絡(luò)用戶的可靠性得不到完全的保證。通過劃分虛擬局域網(wǎng)，隔離不同部門，可以增強企業(yè)網(wǎng)絡(luò)安全性，以下詳細(xì)論述了虛擬局域網(wǎng)的技術(shù)及在網(wǎng)絡(luò)系統(tǒng)中的必要性和設(shè)計方案。1.虛擬VLAN簡介以太網(wǎng)基本上是以廣播為基礎(chǔ)的，如最初包的尋址等，交換機雖然能夠通過建立地址映射表減少不必要的廣播，但是地址映射表的建立過程仍然是基于廣播的，網(wǎng)絡(luò)節(jié)點（如PC機）在處理廣播時浪費了CPU處理時間，降低了處理性能，根據(jù)統(tǒng)計，當(dāng)網(wǎng)絡(luò)上存在15000個廣播包時，將耗盡CPU資源；在傳統(tǒng)的網(wǎng)絡(luò)里，節(jié)點的吞吐量都會隨著節(jié)點的增多而下降，交換式以太網(wǎng)雖然能夠隔離沖突域及第二層廣播，但是無法隔離第三層網(wǎng)絡(luò)。另一方面，接入網(wǎng)需要保障用戶數(shù)據(jù)（單播地址的幀）的安全性，隔離攜帶有用戶信息的廣播消息（如ARP、DHCP消息等），防止關(guān)鍵設(shè)備受到攻擊。對每個用戶而言，當(dāng)然不希望他的信息被別人利用，因此需要從物理上隔離用戶數(shù)據(jù)（單播地址的幀），保證用戶單播地址的幀只有該用戶可以接收到，不像在局域網(wǎng)中采用共享總線方式，使單播地址的幀能被總線上的所有用戶接收。如果不隔離這些廣播消息而讓其他用戶接收到，容易發(fā)生MACIP地址仿冒，影響設(shè)備的正常運行，中斷合法用戶的通信過程。為了隔離第三層廣播，增強安全性、提高網(wǎng)絡(luò)性能，可以運用VLAN（虛擬局域網(wǎng)）技術(shù)或者使用路由設(shè)備。使用路由器時可以將網(wǎng)絡(luò)劃分多個物理網(wǎng)段，這些物理網(wǎng)段可以連接到路由器的多個端口，多個物理網(wǎng)段間通過路由器進(jìn)行通信，但是路由器的端口價格遠(yuǎn)遠(yuǎn)高出交換機的端口價格，所以這種方式將增加設(shè)備投資，在物理網(wǎng)段增多時就更為嚴(yán)重，而且只有使用高端設(shè)備才能滿足高端口密度的要求，所以不推薦這種方式。2.VLAN規(guī)劃目前，VLAN技術(shù)可以使用以下方式組建：基于交換機端口的VLAN、基于MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN：基于端口的VLAN，即靜態(tài)VLAN，特點是技術(shù)簡單，容易配置且維護(hù)工作量小，缺點是終端設(shè)備移動時需要更改設(shè)備配置?；贛AC地址的VLAN，即動態(tài)VLAN，基于Vlan策略服務(wù)組建，特點是終端設(shè)備可以在整個局域網(wǎng)中移動而不用改變配置，適合于移動辦公型的網(wǎng)絡(luò)環(huán)境，缺點是配置工作量大、繁瑣。由于交換機為二層設(shè)備，所以基于應(yīng)用協(xié)議的VLAN對于交換機來說沒有任何意義，反而會造成交換機性能的下降?？紤]到本系統(tǒng)的特點，節(jié)點在網(wǎng)絡(luò)中內(nèi)移動的可能性較小，基于易維護(hù)、易管理方面的考慮，使用基于交換機端口的VLAN進(jìn)行配置。接入層設(shè)備為二層交換機。為了進(jìn)行不同用戶間的有效隔離和互聯(lián)，需要利用交換機對用戶進(jìn)行相應(yīng)的VLAN劃分。具體做法可以是將交換機的每一端口劃分一個VLAN以實現(xiàn)所有用戶間的二層隔離，此時如果需要互聯(lián)，可通過上連設(shè)備的ACL功能來控制；也可以根據(jù)需要將多個交換機的不同端口劃為同一個VLAN，直接實現(xiàn)有限制的用戶互聯(lián)。VLAN規(guī)劃參照表和圖3-5，各個VLAN間由ACL控制，限制互訪。其中VLAN10——VLAN40為各部門VLAN，禁止互訪，VLAN50為公司文件服務(wù)器區(qū)，能被任何部門訪問，VLAN60為網(wǎng)管區(qū)，能單向訪問各個部門。VLAN號網(wǎng)段描述VLAN1024人力資源部VLAN2024財務(wù)部VLAN3024運維部VLAN4024生產(chǎn)部VLAN5024公司文件服務(wù)區(qū)VLAN10024網(wǎng)絡(luò)管理中心圖3-53.IP子網(wǎng)設(shè)計IP地址分配要遵循以下原則：（1）簡單性：地址的分配應(yīng)該簡單，避免在主干上采用復(fù)雜的掩碼方式。（2）連續(xù)性：為同一個網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于采用SUMMARIZATION及CIDR(CLASSLESSINTER-DOMAINROUTING)技術(shù)縮減路由表的表項，提高路由器的處理效率。（3）可擴(kuò)充性：為一個網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機數(shù)量增加時仍然能夠保持地址的連續(xù)性。（4）靈活性：地址分配不應(yīng)該基于某個網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多數(shù)路由策略在該地址分配方案上實現(xiàn)優(yōu)化。（5）可管理性：地址的分配應(yīng)該有層次，某個局部的變動不要影響上層、全局。四、網(wǎng)絡(luò)安全管理（一）內(nèi)網(wǎng)安全運用多種技術(shù)，如VLAN、防病毒體系等，對各個部門、系所訪問進(jìn)行控制，各單位之間在未授權(quán)的情況下不能互相訪問，保證系統(tǒng)內(nèi)部的安全。內(nèi)網(wǎng)對安全的需求包括VLAN設(shè)置需求、防病毒系統(tǒng)需求、網(wǎng)絡(luò)管理需求和網(wǎng)絡(luò)系統(tǒng)管理等。1.VLAN設(shè)置需求企業(yè)網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布區(qū)域廣，網(wǎng)絡(luò)用戶多，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數(shù)據(jù)的主機的攻擊往往發(fā)自內(nèi)部用戶，如何對內(nèi)部用戶進(jìn)行訪問控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運行的可靠性和安全性，必須要對它進(jìn)行詳盡的設(shè)計，盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點。2.防病毒系統(tǒng)需求針對防病毒危害性極大并且傳播極為迅速，必須配備從單機到服務(wù)器的整套防病毒軟件，實現(xiàn)全網(wǎng)的病毒安全防護(hù)。3.網(wǎng)絡(luò)管理需求此次建設(shè)的企業(yè)網(wǎng)絡(luò)系統(tǒng)是一個相當(dāng)復(fù)雜的計算機網(wǎng)絡(luò)，包含多種設(shè)備和技術(shù)。隨著系統(tǒng)復(fù)雜度的增加，會給系統(tǒng)管理帶來成指數(shù)增加的管理工作量。為此必須要設(shè)計一套健全的管理系統(tǒng)。針對系統(tǒng)的功能采取相應(yīng)的管理措施。（二）外網(wǎng)安全由于外網(wǎng)主要運行企業(yè)各部門非涉密的內(nèi)部辦公業(yè)務(wù)以及運行面向客戶的公開信息，所以必須采取過硬的安全技術(shù)來實現(xiàn)企業(yè)的網(wǎng)絡(luò)系統(tǒng)不受Internet的“黑客”、病毒等攻擊。外網(wǎng)對安全的需求包括物理安全需求、數(shù)據(jù)鏈路層需求、入侵檢測系統(tǒng)需求、防病毒系統(tǒng)需求和安全管理體制等。1.物理安全需求針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放機密信息的機房進(jìn)行必要的設(shè)計，如構(gòu)建屏蔽室。采用輻射干擾機，防止電磁輻射泄漏機密信息。對重要的設(shè)備進(jìn)行冗余配置；對重要系統(tǒng)進(jìn)行備份等安全保護(hù)。2.數(shù)據(jù)鏈路層需求信息的泄漏很多都是在鏈路上被搭線竊取，數(shù)據(jù)也可能因為在鏈路上被截獲、被篡改后傳輸