1、網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)1 網(wǎng)絡(luò)設(shè)計(jì)原則2 網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)3 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)4 設(shè)備選型5 網(wǎng)絡(luò)安全設(shè)計(jì)6 網(wǎng)絡(luò)管理軟件第6章 中文電子表格Excel 20001 網(wǎng)絡(luò)設(shè)計(jì)原則采用先進(jìn)成熟的技術(shù)和設(shè)計(jì)思想，運(yùn)用先進(jìn)的集成技術(shù)路線，以先進(jìn)、實(shí)用、開放、安全、使用方便和易于操作為原則，突出系統(tǒng)功能的實(shí)用性，盡快投入使用，發(fā)揮較好的效能。計(jì)算機(jī)技術(shù)的發(fā)展十分迅速，更新?lián)Q代周期越來越短。所以，選購設(shè)備要充分注意先進(jìn)性，選擇硬件要預(yù)測到未來發(fā)展方向，選擇軟件要考慮開放性，工具性和軟件集成優(yōu)勢。網(wǎng)絡(luò)設(shè)計(jì)要考慮通信發(fā)展要求，因此，主要、關(guān)鍵設(shè)備需要具有很高的性價比。第6章 中文電子表格Excel 20001 網(wǎng)絡(luò)設(shè)計(jì)原則

2、系統(tǒng)的設(shè)計(jì)既要在相當(dāng)長的時間內(nèi)保證其先進(jìn)性，還應(yīng)本著實(shí)用的原則，在實(shí)用的基礎(chǔ)上追求先進(jìn)性，使系統(tǒng)便于聯(lián)網(wǎng)，實(shí)現(xiàn)信息資源共享。易于維護(hù)管理，具有廣泛兼容性，同時為適應(yīng)企業(yè)實(shí)際情況，設(shè)備應(yīng)具有使用靈活、操作方便的漢字、圖形處理功能。目前，計(jì)算機(jī)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互連互通日益增加，都直接或間接與國際互連網(wǎng)連接。因此，系統(tǒng)方案設(shè)計(jì)需考慮系統(tǒng)的可靠性、信息安全性和保密性的要求。第6章 中文電子表格Excel 20001 網(wǎng)絡(luò)設(shè)計(jì)原則網(wǎng)絡(luò)設(shè)計(jì)方案設(shè)計(jì)原則和需求分析，可以方便地進(jìn)行設(shè)備擴(kuò)充和適應(yīng)工程的變化，以及靈活地進(jìn)行軟件版本的更新和升級，保護(hù)用戶的投資。目前，網(wǎng)絡(luò)向多平臺、多協(xié)議、異種機(jī)、異構(gòu)型網(wǎng)絡(luò)共存方向

3、發(fā)展，其目標(biāo)是將不同機(jī)器、不同操作系統(tǒng)、不同的網(wǎng)絡(luò)類型連成一個可協(xié)同工作的一個整體。所以所選網(wǎng)絡(luò)的通迅協(xié)議要符合國際標(biāo)準(zhǔn)，為將來系統(tǒng)的升級、擴(kuò)展打下良好的基礎(chǔ)。第6章 中文電子表格Excel 20001 網(wǎng)絡(luò)設(shè)計(jì)原則采用結(jié)構(gòu)化、模塊化的設(shè)計(jì)形式，滿足系統(tǒng)及用戶各種不同的應(yīng)用要求，適應(yīng)業(yè)務(wù)調(diào)整變化。采用的技術(shù)標(biāo)準(zhǔn)必須按照國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)與規(guī)范，保證系統(tǒng)的延續(xù)性和可靠性。滿足系統(tǒng)目標(biāo)與功能目標(biāo)，總體方案設(shè)計(jì)合理，滿足用戶的應(yīng)用要求，便于系統(tǒng)維護(hù)，以及系統(tǒng)二次開發(fā)與移植。第6章 中文電子表格Excel 20002 網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)中心交換機(jī)為整個網(wǎng)絡(luò)的核心，它對整個網(wǎng)絡(luò)的性能、可靠性起決定作用，它連

4、接各個物理子網(wǎng)，管理網(wǎng)絡(luò)內(nèi)信息交換（包括多媒體信息），控制VLAN 間訪問，保證信息安全。因此，選用中心交換機(jī)除了提供高速的網(wǎng)絡(luò)連接之外，還具有多種信息的管理控制能力。全部的網(wǎng)絡(luò)設(shè)備均支持高效的Intranet 多媒體和多點(diǎn)廣播技術(shù)，為多媒體和多點(diǎn)廣播應(yīng)用等提供端到端的帶寬保證。網(wǎng)絡(luò)采用層次結(jié)構(gòu)，不僅邏輯結(jié)構(gòu)清晰，管理方便；更重要的是大多數(shù)的數(shù)據(jù)流量（主要是同一部門或工作組內(nèi)）的交換在匯聚層交換機(jī)上直接處理，不經(jīng)過中心設(shè)備，節(jié)省主干帶寬，提高利用率。第6章 中文電子表格Excel 20002 網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)有一定的前瞻性，不僅滿足當(dāng)前網(wǎng)上應(yīng)用，也為向?qū)砀咝阅艿纳壸骱昧藴?zhǔn)備：網(wǎng)絡(luò)具有的伸縮

5、性，升級和擴(kuò)展主要只集中在網(wǎng)絡(luò)中心，添加新的接口模塊，即可實(shí)現(xiàn)用戶和信息點(diǎn)的擴(kuò)充，升級模塊即可大量提高主干帶寬；中心配置兩臺多層交換機(jī)，網(wǎng)絡(luò)結(jié)構(gòu)就能連接成高可靠性的、 真正的中心交換機(jī)互備份和上聯(lián)線路冗余。配合熱備份路由協(xié)議和熱備份雙服務(wù)器主機(jī)系統(tǒng)，在整個系統(tǒng)內(nèi)消除單點(diǎn)故障，提供高可用性的應(yīng)用服務(wù)系統(tǒng)。第6章 中文電子表格Excel 20002 網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì) 虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)

6、建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。第6章 中文電子表格Excel 20003網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)根據(jù)地理位置及信息點(diǎn)的數(shù)量和未來覆蓋面擴(kuò)充等多方面原因，將網(wǎng)絡(luò)劃分若干個區(qū)域。劃分區(qū)域主要考慮以下幾個方面：可以減輕中央核心交換機(jī)的負(fù)擔(dān)、管理上方便、便于未來的連接擴(kuò)充。整個網(wǎng)絡(luò)劃分為三個層次：核心層、匯聚層和接入層。核心層網(wǎng)絡(luò)選擇千兆或萬兆以太網(wǎng)。網(wǎng)絡(luò)中心將放置兩臺高端三層千兆交換機(jī)和一臺邊界路由器。交換機(jī)間的連接要求是高帶寬連

7、接。匯聚層交換機(jī)要求至少兩路上行鏈路連至兩臺核心層交換機(jī)上，采用快速收斂的路由協(xié)議實(shí)現(xiàn)故障切換和負(fù)載均衡，當(dāng)某一鏈路出現(xiàn)意外，也可以從另外一路上連。匯聚層交換的下連交換機(jī)都為接入層網(wǎng)絡(luò)。第6章 中文電子表格Excel 20004 設(shè)備選型核心層最長的網(wǎng)絡(luò)正常運(yùn)行時間-利用平臺、電源、控制引擎、交換矩陣和集成網(wǎng)絡(luò)服務(wù)冗余性提供13 秒的狀態(tài)故障切換，提供應(yīng)用和服務(wù)連續(xù)性統(tǒng)一在一起的融合網(wǎng)絡(luò)環(huán)境，減少關(guān)鍵業(yè)務(wù)數(shù)據(jù)和服務(wù)的中斷。可擴(kuò)展性能-利用分布式轉(zhuǎn)發(fā)體系結(jié)構(gòu)提供高達(dá)400Mpps 的轉(zhuǎn)發(fā)性能。能夠適應(yīng)未來發(fā)展并保護(hù)投資的體系結(jié)構(gòu)-在同一種機(jī)箱中支持三代可互換、可熱插拔的模塊，以提高IT 基礎(chǔ)設(shè)施

8、利用率，增大投資回報，并降低總體擁有成本。卓越的服務(wù)集成和靈活性-將安全和內(nèi)容等高級服務(wù)與融合網(wǎng)絡(luò)集成在一起，提供從10/100 和10/100/1000 以太網(wǎng)到萬兆以太網(wǎng)，從DS0 到OC-48 的各種接口和密度，并能夠在任何部署項(xiàng)目中端到端執(zhí)行。第6章 中文電子表格Excel 20004 設(shè)備選型匯聚層利用千兆以太網(wǎng)SFP 上行鏈路順利移植到萬兆以太網(wǎng)；在交換管理引擎上提供集成式NetFlow，通過基于用戶的速率限制實(shí)施精確流量控制；為提供更加靈活的策略，能夠?yàn)槊總€端口和VLAN 實(shí)施不同的QoS；能夠防止可變IP 信息攻擊；端口安全、DHCP 偵聽、ARP 檢測和IP 源防護(hù)能夠防止黑

9、客從第二層及以上發(fā)動拒絕服務(wù)（DoS）攻擊或破壞網(wǎng)絡(luò)；速率限制以出口和入口限速器的方式出現(xiàn)，可以控制每個VLAN 的流量，防止DoS攻擊。Supervisor Engine V-10GE 支持基于用戶的速率限制；802.1X 及其擴(kuò)展性能防止非法用戶和設(shè)備接入網(wǎng)絡(luò)，例如惡意接入點(diǎn)；硬件Netflow 可用于主動發(fā)現(xiàn)網(wǎng)絡(luò)流量異常，并采取相應(yīng)措施。它使用的訪問控制列表可在交換端口和路由端口上提供，以便進(jìn)行二到七層流量控制；第6章 中文電子表格Excel 20004 設(shè)備選型接入層接入層交換機(jī)適用于小型企業(yè)布線室或分支機(jī)構(gòu)環(huán)境，結(jié)合了10/100/1000 和PoE 配置，實(shí)現(xiàn)最高生產(chǎn)率和投資保護(hù)，

10、并可部署新應(yīng)用，如IP 電話、無線接入、視頻監(jiān)視、建筑物管理系統(tǒng)和遠(yuǎn)程視頻訪問等。客戶可在整個網(wǎng)絡(luò)范圍中部署智能服務(wù)，如高級QoS 、速率限制、訪問控制列表、組播管理和高性能IP 路由等，且同時保持傳統(tǒng)LAN 交換的簡潔性。網(wǎng)絡(luò)軟件的提供，是一個集中管理應(yīng)用，可簡化交換機(jī)、路由器和無線接入點(diǎn)的管理任務(wù)。大大簡化了融合網(wǎng)絡(luò)和智能網(wǎng)絡(luò)服務(wù)的實(shí)施；支持增強(qiáng)的802.1x(IBNS)。第6章 中文電子表格Excel 20005 網(wǎng)絡(luò)安全設(shè)計(jì)加密系統(tǒng)具有良好的網(wǎng)絡(luò)兼容性和可擴(kuò)展性，實(shí)現(xiàn)防竊取、防篡改、防破壞三大功能。按照國家主管部門對政府辦公網(wǎng)絡(luò)安全保密性的相應(yīng)法規(guī)和規(guī)定，要保障系統(tǒng)內(nèi)部信息的安全，我們

11、主要應(yīng)該做到處理秘密級、機(jī)密級信息的系統(tǒng)與不涉及保密信息的系統(tǒng)實(shí)行物理隔離，秘密級、機(jī)密級信息在網(wǎng)絡(luò)上采取加密傳輸。防火墻有三個屬性：所有進(jìn)出內(nèi)部網(wǎng)的數(shù)據(jù)包必須經(jīng)過它；僅被本地安全策略所授權(quán)的數(shù)據(jù)包才能通過它；防火墻本身對攻擊必須具有免疫能力。網(wǎng)絡(luò)吞吐量(Mbps) 300 安全過濾帶寬 170Mbps 網(wǎng)絡(luò)端口 3+1個管理快速以太網(wǎng)端口、可升級到5個快速以太網(wǎng)端口、1個SSM 擴(kuò)展插槽 用戶數(shù)限制無用戶數(shù)限制 入侵檢測 DoS 第6章 中文電子表格Excel 20005 網(wǎng)絡(luò)安全設(shè)計(jì)控制端口console VPN支持 利用訪問控制列表（Access Control List ，ACL）實(shí)安

12、全防護(hù)防火墻操作系統(tǒng)IOS 通過訪問控制列表（ACL）技術(shù)支持包過濾防火墻技術(shù)，根據(jù)事先確定的安全策略建立相應(yīng)的訪問列表，可以對數(shù)據(jù)包、路由信息包進(jìn)行攔截與控制，可以根據(jù)源/目的地址、協(xié)議類型、TCP 端口號進(jìn)行控制。這樣，我們就可以在Extranet 上建立第一道安全防護(hù)墻，屏蔽對內(nèi)部網(wǎng)Intranet 的非法訪問。例如，我們可以通過ACL 限制可以進(jìn)入內(nèi)部網(wǎng)絡(luò)的外部網(wǎng)絡(luò)甚至是某一臺或幾臺主機(jī)；限制可以被訪問的內(nèi)部主機(jī)的地址；為保證主機(jī)的安全，可以限制外部用戶對主機(jī)的一些危險應(yīng)用如TELNET 等。第6章 中文電子表格Excel 20005 網(wǎng)絡(luò)安全設(shè)計(jì)利用地址轉(zhuǎn)換（Network Addr

13、ess Translation，NAT）實(shí)現(xiàn)安全保護(hù)防火墻另外一個強(qiáng)大功能就是內(nèi)外地址轉(zhuǎn)換。進(jìn)行IP 地址轉(zhuǎn)換由兩個好處：其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP 地址，這可以使黑客（hacker）無法直接攻擊內(nèi)部網(wǎng)絡(luò)，因?yàn)樗恢纼?nèi)部網(wǎng)絡(luò)的IP 地址及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；另一個好處是可以讓內(nèi)部網(wǎng)絡(luò)使用自己定義的網(wǎng)絡(luò)地址方案，而不必考慮與外界地址沖突的情況。地址轉(zhuǎn)換（NAT）技術(shù)運(yùn)用在內(nèi)部主機(jī)與外部主機(jī)之間的互相訪問的時候，當(dāng)內(nèi)部訪問者想通過路由器外出時，路由器首先對其進(jìn)行身份認(rèn)證-通過訪問列表（ACL）核對其權(quán)限，如果通過，則對其進(jìn)行地址轉(zhuǎn)換，使其以一個對外公開的地址訪問外部網(wǎng)絡(luò)；當(dāng)外部訪問者想進(jìn)入內(nèi)部網(wǎng)時，

14、路由器同樣首先核對其訪問權(quán)限，然后根據(jù)其目的地址（外部公開的地址），將其數(shù)據(jù)包送到經(jīng)過地址轉(zhuǎn)換的相應(yīng)的內(nèi)部主機(jī)。第6章 中文電子表格Excel 20005 網(wǎng)絡(luò)安全設(shè)計(jì)VLAN（虛網(wǎng)）技術(shù)和VLAN 路由技術(shù)VLAN 技術(shù)用以實(shí)現(xiàn)對整個局域網(wǎng)的集中管理和安全控制。CISCO 局域網(wǎng)交換機(jī)的一大優(yōu)勢是具備跨交換機(jī)的VLAN（虛網(wǎng)）劃分和VLAN 路由功能。虛網(wǎng)是將一個物理上連接的網(wǎng)絡(luò)在邏輯上完全分開，這種隔離不僅是數(shù)據(jù)訪問的隔離，也是廣播域的隔離，就如同是物理上完全分離的網(wǎng)絡(luò)一樣，是一種安全的防護(hù)。通過VLAN 路由實(shí)現(xiàn)對跨部門訪問的控制，既保證了安全性，也提高了可管理性。MAC 地址過濾策略在

15、內(nèi)部網(wǎng)中還可以利用交換機(jī)的MAC 地址過濾功能對局域網(wǎng)的訪問提供鏈路層的安全控制。MAC 地址過濾能進(jìn)一步實(shí)現(xiàn)對局域網(wǎng)的安全控制。局域網(wǎng)交換機(jī)具有MAC 地址過濾功能，通過在交換機(jī)上對每個端口進(jìn)行配置，可以禁止或允許特定MAC 地址的源站點(diǎn)或目的站點(diǎn)，從而實(shí)現(xiàn)各站點(diǎn)第6章 中文電子表格Excel 20005 網(wǎng)絡(luò)安全設(shè)計(jì)之間的訪問控制。由于每塊網(wǎng)卡有唯一的MAC 地址，是固定不變的，只允許特定MAC 地址的工作站通過特定的端口進(jìn)行訪問，所以對MAC 地址的訪問控制實(shí)際上就是對指定工作站這一物理設(shè)備的訪問控制，由于MAC 地址的不可改變，與對IP 地址的過濾相比，具有更高的安全性。訪問安全控制從

16、確保網(wǎng)絡(luò)訪問的安全出發(fā)，路由器對所有遠(yuǎn)程撥號訪問連接都由Radius設(shè)置AAA(Authentication Authorization Account，即認(rèn)證、授權(quán)、記帳)級安全控制，防止非法用戶的訪問。同時，在計(jì)費(fèi)服務(wù)器上，也提供Radius 認(rèn)證方式，兩者可以配合使用。（也可以只采用計(jì)費(fèi)服務(wù)器上的Radius認(rèn)證）。第6章 中文電子表格Excel 20006 網(wǎng)絡(luò)管理軟件網(wǎng)絡(luò)管理性能是衡量一個網(wǎng)絡(luò)系統(tǒng)性能高低的重要因素之一。網(wǎng)絡(luò)管理系統(tǒng)完成設(shè)置網(wǎng)絡(luò)設(shè)備、監(jiān)控網(wǎng)絡(luò)運(yùn)行、保障網(wǎng)絡(luò)安全，查找并隔離網(wǎng)絡(luò)故障，記錄網(wǎng)絡(luò)中的各種事件以及劃分虛擬網(wǎng)絡(luò)等功能。總之，對所有網(wǎng)絡(luò)上的信息進(jìn)行統(tǒng)一管理。網(wǎng)管通常結(jié)合硬件和軟件的手段來實(shí)施，對不同的拓?fù)浣Y(jié)構(gòu)及不同的物理和邏輯部分進(jìn)行監(jiān)控和分析。OSI 定義網(wǎng)管系統(tǒng)支持傳統(tǒng)五大網(wǎng)管功能：故障管理、配置管理、計(jì)費(fèi)管理、安全管理以及性能管理。這些管理功能由網(wǎng)管系統(tǒng)和網(wǎng)絡(luò)設(shè)備共同完成。網(wǎng)絡(luò)管理的主要任務(wù)應(yīng)落實(shí)在故障管理、配置管理和性能管理這三個方面。 第6章 中文電子表格Excel 20006 網(wǎng)