XＸＸＸ集團公司計算機網絡建設方案茍群英指導老師：ｘｘx200５年12月目錄TOC\o"1-5＂\u一、前言 PＡGEREF_Tｏc127７61８62\h11、應用需求?PAGEＲEＦ_Toc127761８63\ｈ１１．1ERＰ項目?ＰAGEＲEF_Tｏc12776186４\ｈ1１.2辦公自動化?ＰＡGＥRＥF＿Toc1２7７618６５\ｈ11.３Ｉnterｎet的訪問?PAＧEREF_Toc1２７7６186６\h11.4檔案資料信息?PAGERＥF_Toc1２776186７\h22、需求界定?PAGERＥF＿Tｏc127761868\h2２.１企業內部網 PAＧEREF_Ｔoｃ1277６1869\h22.2廣域部分 ＰAGEREF_Tｏc127761870\h32.3Iｎternet部分 PAＧＥRＥF_Toｃ12776１８７1\h3二、網絡系統集成 PAGEＲＥF_Toc１277６18７2\ｈ31、網絡設計原則 PＡＧＥREF_Tｏc１2776１８7３＼h31．１合理、靈活的體系結構?PAGEREF_Ｔoc127761874\h３1.２先進性和標準化?ＰAGEＲEＦ_Toc１27761875\h4１．3成熟性和實用性?ＰAGERＥF_Toc127７６1876\ｈ４1.4安全可靠性?ＰAGEREＦ_Tｏc12７７61８77\ｈ51.5可管理性和可擴充性 PAＧEＲＥF＿Tｏｃ１277６187８＼h６1．6良好的互聯性、開放性?PＡGERＥＦ_Ｔｏc12７76１879\ｈ６1.7最佳的性能價格比 PAＧEREF_Toc１27761880\h72、網絡的設計思想?PAＧＥREＦ＿Toc1277６１８８1＼ｈ7３、設計依據?ＰAGＥREF_Tｏc12776188２\h74、本方案所采用網絡技術介紹 PＡGERＥF_Tｏc12７7６18８3\h74.１千兆以太網技術?PAＧEREF＿Ｔoc1277６1884＼h7４．2虛擬網（VLAN)技術 PAGEREF＿Ｔoc１277６18８5\ｈ85、網絡交換機說明 PAGＥRＥF_Toｃ12776１８87\h９6、網絡拓撲結構 106．１網絡結構說明 １2776188９＼h1０6.2網絡系統的功能說明 ＰAＧＥRＥF_Toc1２77６1８90\h1１６.2．1提供對可能發生的緊急情況或故障的應急方案?PAＧＥREＦ_Toc1２７７618９1\ｈ116.2.2支持虛擬局域網技術 PＡGＥREＦ_Toc12７761８92\h１16．２.3提供圖形化的網絡管理平臺?PAＧERＥF_Ｔｏｃ1277６18９３\h１１6.2.４實現信息資源安全共享化?PAGERＥF_Ｔｏc1２7７６1894＼h116．3針對不安全因素所采取的對策 PＡGERＥF_Ｔｏc12７761８95\h116.3.１在網絡的公共入口設置防火墻 ＰAGEREF＿Ｔｏc１27７61896＼h１16.3.2對遠程撥號用戶的安全策略?ＰAGEREF_Toc12７７618９7\h12６.3.3網絡防病毒的安全策略?PAＧＥREF＿Toc1277６1898\ｈ13三、綜合布線系統 PAGEREＦ_Toc１２７7６1899\ｈ131、需求分析?PAGEＲEＦ_Ｔoc１2776190０\h132、綜合布線系統的結構 PAＧEREＦ_Toc12７761９０1＼h１33.4系統總體設計?ＰAＧEＲEＦ_Toc１27761902\h15３.5系統結構設計描述 PAGERＥF_Toc127761９０3\ｈ154、在施工中注意事項 ７6１904\ｈ１6４.1仔細查閱其它專業的施工圖紙 PAＧＥREF_Ｔoc1２77６19０5＼h164.２建議在施工中應滿足設計裕量。?ＰＡGEREF_Toc12７761906＼ｈ1６4.３采用質量可靠的管路和線纜,以避免日后的麻煩?PAＧEＲEF_Toc1２77６１907＼h1７4.4嚴格遵守綜合布線系統規范 ＰAGEREF_Toc1２776１９0８\h174．5選材標準必須一致 PAGEREF_Ｔｏc１2７76１909\ｈ１7關鍵詞:局域網網絡拓撲VLANVPN遠程撥入綜合布線摘要：本文以某集團公司為例,利用現在的主流局域網技術,設計了網絡的拓撲結構,經濟、高效、安全的構建了該集團公司的局域網硬件平臺，并在充分考慮網絡安全的前提下實現了局域網用戶接入interneｔ和遠程用戶接入。一、前言XXX集團公司網絡方案是結合公司內現有的應用需求,并遵照現行企業制度和計算機網絡系統建設標準，同時兼顧未來的發展設計該網絡方案,力求在集團公司內部建成具有國際先進水平的信息高速公路。本方案現包括以下內容:計算機網絡集成、綜合布線系統。1、應用需求1．1ＥRP項目為建立現代企業制度,用現代化的管理方法和手段進行生產、經營、決策,集團公司將在全公司范圍內（包括實業公司)實施ＥRP項目。現在已經完成企業業務流程重整。依據ERP實施對于原始數據的要求，其采集應該從車間(分廠）一級開始。實施ERP軟件模塊包括財務、物資（庫存)、制造管理等。同時ＥRP的部分模塊又將通過廣域網與總公司進行通訊。EＲP數據要求在局域網實現實時、快速、高效地傳輸，在廣域網內能安全、準確地進行傳遞。因此，這就要求網絡首先要覆蓋到包括銷售公司、運輸公司、品質部、庫房、裝備部、各分廠的管理科室和車間班組及總廠各職能部門和外地銷售部門等,并建立快速安全的傳輸通道；其次要建立與總公司的快速安全的廣域網。1.２辦公自動化集團公司辦公自動化系統(OA)也將設計完成并投入運行。該系統主要模塊包括信息服務、公文管理、人事信息、電子郵件、事務審批、電子公告、電子論壇、合理化建議等。該系統實現了全公司公文的電子流轉、電子郵件的自由傳遞、通知的網上廣播、事務的電子審批、網上問題的討論、信息發布及查詢等。實現辦公無紙化。同時能夠滿足異地辦公的需要。該系統要求網絡能覆蓋到業務所涉及的所有部門。1.3Ｉnternｅｔ的訪問集團公司現已有多個用戶通過撥號上Iｎtｅrnｅt網,為減少因撥號上網帶來的網絡的多個出入口，加強網絡的安全性，加快對Iｎｔernet訪問速度,增加訪問Ｉntｅrnｅt用戶數量,節省資金。需要建立Iｎｔernet代理服務器，通過電信的AＤＳL專線或光纖以太網接入Ｉnｔernｅt,使用物理隔斷、隔離內部和外部網絡。各用戶通過獨立的局域網系統連接代理服務器，從而實現對Iｎternet的訪問，實現對集團公司、各分廠等企業主頁的維護、實現Internｅt電子郵件的收發。1.4檔案資料信息建立檔案資料數據庫，用戶通過權限進行網上資料申請及查詢。2、需求界定根據集團公司的要求，擬建系統要高起點、實用性強、技術先進。不僅要滿足包括ERＰ、ＯA、Internet等數據的傳遞，還要滿足圖像、語音的應用。要放眼未來，使網絡系統具有較大的可擴展性，能夠盡量滿足未來發展的需要,布線系統可保證十五年不落伍,為將集團公司建設成為現代化的大型綜合企業，鋪設一條具有國際先進水平的信息高速公路。根據以上具體需求，現將網絡建設分析界定如下:2．１企業內部網信息點分布見下表：部門名稱ERＰOＡIntｅｒneｔ集團部部XXX內胎分廠XXX成型分廠ＸXX煉膠分廠XXX雜件分廠ＸXＸ截斷分廠XXX雙模分廠XXX子午分廠ＸＸX裝備總部XXX裝備分部XXX分公司XＸＸ品質部ＸXX庫房XXX銷售公司ＸXX運輸公司XXX滿足企業內部ERP數據的采集、傳遞、查詢，根據EＲP軟件的需要，確定數據至少應來源于車間(分廠）。滿足ＯＡ數據在網上傳遞，實現公文的流轉，信息的發布和查詢及電子郵件的傳遞等。實現檔案資料的網上借閱。移動辦公，通過撥號登錄企業網絡，對企業數據進行存取。滿足企業內Ｉnｔｒaneｔ及Inｔernｅｔ的應用，并實現企業內部網與外部網的物理斷開。2.2廣域部分滿足集團公司與同行業之間的科技信息（行業內及國內外科技文檔、科技資料、圖紙等）通過網上流轉；滿足各外地銷售公司與總公司的ＥRP信息的傳遞。２．3Ｉnterｎet部分滿足集團公司內各種信息在互聯網上的發布和查閱；滿足集團公司內互聯網郵件的接收和發送。二、網絡系統集成1、網絡設計原則計算機網絡系統的設計和建設將本著開放性、先進性、可擴充性、可靠性、實用性和安全性的設計原則，達到生產現代化、管理現代化、信息資源共享化和信息國際化的目標。目前應在充分考慮利用已有的環境設施,進一步提高信息網絡的整體水平,實現生產業務環境、系統資源和辦公系統的信息化。建設原則:硬件高標準,軟件應用高起點,網絡運轉通暢,后期服務及時到位,升級擴展安全穩定。此網絡工程將覆蓋整個集團公司園區和各辦公大樓,通過千兆主干線路連為一體,將所有各個獨立的計算機應用系統連接起來，形成一個完整的企業內部計算機網絡;同時,在適當的時候,利用VＰＮ技術,構建企業專網，實現對各派出單位和移動用戶的統一管理;通過接入服務器的方式,實現價格低廉的Inteｒnｅｔ接入,可同時實現家庭和移動辦公;利用ERP系統實現集團公司的資源計劃管理。根據集團公司信息網絡的需求，網絡設計遵循如下原則:1．１合理、靈活的體系結構“結構先行”是構建任何系統首先要考慮的原則，計算機信息系統更不能例外，因為當今計算機信息技術的發展、更新速度非常之快,在這種情況下,只有先搭好一個好的框架、設計一個好的結構才能以不變應萬變，適應技術的不斷革新，也只有這樣才能適應系統建設單位未來業務需求的整合變化,從長遠角度看,可以提供更好的投資保護，避免今天的投資變成明天的浪費。１.２先進性和標準化采用當今國際上最先進和成熟的計算機網絡技術,使所建立的系統能夠最大限度地適應今后技術發展變化和業務發展變化的需要,適應大量數據的傳輸。使整個網絡保持適當領先的水平，并且有長足的發展能力。系統總體設計的先進性原則主要體現在以下幾個方面：使用先進的網絡技術FastEthｅrｎｅｔ或GｉgａbｉtEthernｅt結合先進的網絡骨干設計，可保證網絡在重載時的性能和負載均衡能力,當某一鏈路負載很重時,自動將負載轉移至其他負載較輕的鏈路,保證整個網絡的高性能。網絡的骨干交換設備具有較高的包交換率和數據傳輸速率，同時應保證網絡負載很重時,交換設備的包交換率和數據傳輸速率不出現大幅度的下降。采用先進的網管技術、通過智能化的網絡設備及網管軟件實現對計算機網絡系統的有效管理與控制;實時監控網絡運行情況,及時排除網絡故障，及時調整和平衡網上信息流量;采用先進的交換技術，將網絡直接交換到桌面,實現端口獨占帶寬,最大限度的保證網絡的高性能。采用基于策略的虛網（VＬAN)技術，將位于同一物理網絡的計算機劃分為不同的邏輯網,使網絡安全性更好，性能更高。選用業界領先的計算機網絡通信系統硬件及軟件技術，使您感受到最新的計算機技術服務;同時充分采用符合國際標準的計算機、網絡和數據庫方面的先進技術和產品進行工程建設。使網絡具有良好的互聯性,如對稱多處理，開放網絡互聯、瀏覽器/服務器結構等。系統總體設計的標準化原則主要體現在以下幾個方面:用符合國際公開標準的設備組建高性能的網絡支持多種協議,提供各種數據傳輸的接口１.３成熟性和實用性由于近年來信息技術的飛速發展，使用戶在構建信息系統時有了很大的選擇余地,但也使用戶需絞盡腦汁在技術的先進性與成熟性之間尋求平衡。先進而不成熟的技術不敢用,太成熟的技術又意味著過時和將被淘汰,因此設計方案時必須充分考慮先進性與成熟、實用之間的結合。為了提供系統中系統的實用性，應該考慮如下幾個方面：系統總體設計要充分考慮用戶當前的實際情況,把滿足用戶需求作為第一要素進行考慮;采取總體考慮、分步設計的技術方案,在總體考慮的前提下，系統設計中可首先進行網絡骨干的設計，骨干網絡設計完成后進行局域網的設計,這樣做可以統一規劃,使系統始終與用戶的實際需求緊密連在一起,不但增加了系統的實用性,而且可使系統建設保持很好的連貫性,和統一性;１.4安全可靠性安全可靠性對于企業級的數據至關重要,系統安全性包括保障網絡服務的可用性和網絡信息的完整性。設計網絡時，首先考慮選用穩定可靠的新產品和技術,便其具有必要的冗余容錯能力,必要時采用雙電源，設置雙路由鏈路，配置充分的后備設備,保證其抗毀壞能力和快速恢復能力,服務器安全性通過符合C2級的網絡操作系統實現網絡通信。提高系統可靠性的方法很多，一般的做法如下：骨干網絡采用網狀星型連接，并盡量采用雙連接,使之具有高度的可靠性,在網絡的某一條鏈路出現故障時，數據流自動改變傳輸路徑,使數據的傳輸不受影響。網絡骨干交換設備采用分布式結構，具有很好的容錯特性和熱備份,關鍵部件進行冗余處理。這樣可保證網絡骨干交換機的某個端口出現故障時不影響其他端口的工作，電源出現故障時也可保證設備的正常使用,盡量避免單點失效。網絡系統與應用系統接口要確保它們之間的兼容，采用公認的標準,滿足網絡系統與應用系統接口的可靠性。使用不間斷電源，保證服務器、交換設備、工作站等其他設備在停止供電的情況下,仍可以工作一段時間,保證數據不會丟失。網絡的設計應考慮防止內部與外部的非法訪問,確保數據的安全,一般的做法如下：通過虛網的劃分,嚴格控制訪問范圍及權限。在應用系統中,設定用戶及相應的權限，通過用戶名及口令、軟件加密等控制內部的非法訪問。安裝防火墻,控制外部用戶的非法訪問。1.5可管理性和可擴充性網絡應具有一體化的管理措施和功能，便于網絡安裝、配置和維護。系統可管理性通過使用SNＭP技術和DMI技術,實現對整個計算機網絡通信設備、服務器，直至桌面PC的全方位控制與管理,使得管理人員身處管理中心即可完成除硬件故障外的全部管理工作及設備重配置任務。網絡在滿足現有需求的同時,要充分考慮今后隨著需求的發展進行擴充和向上升級，保護現有投資，保證網絡系統能隨時加入設備或使用系統連接入網，以增加網絡功能。因此,在設計網絡時,所有的系統主機及系統通信設備均可支持更高速度的處理和通信要求,需為目前的需求選擇了適型的系統配置，并預留了一定的處理及通信能力，在需要滿足更高性能，符合更新標準的時候，能通過增加小型機、服務器主機及通信系統內部模塊簡單疊加方式得以實現。提高系統的可擴充性和可維護性是提高管理信息系統性能的必備手段,建議做法如下:網絡骨干的設計中，采用擴展性好易于維護的網絡結構，在不改變網絡結構的基礎上,可以隨時擴展和維護而不影響網絡的運行。網絡的骨干交換設備采用模塊化設計具有較高的可擴展性，根據實際需要通過增加和更換相應的模塊,達到擴展和維護網絡的目的。局域網的設計中，重點考慮網絡的擴展性，網絡結構應能滿足系統擴展的需要，采用可堆疊的交換設備。在不影響當前網絡運行的前提下,應同時提供在網絡級與設備級兩方面的可擴展性和可維護性。1.6良好的互聯性、開放性在網絡中,新添設備和原有設備并存且品牌較多,軟件及應用環境也有差異,只有采用一種互聯性較好的標準才能使其正常運轉。TCP/IＰ作為一種網絡互聯的實際標準，將作為互聯協議，另外,系統的軟硬件平臺和環境支持應選用開放式系統,便于異種機,異種網、異種軟件平臺的互聯，滿足用戶開發和使用的要求。１．7最佳的性能價格比性能和價格往往是相匹配的，性能的提高必然伴隨著費用的上升,但是作為投資方的投資總有一個限制，因此需力求在投資額范圍內尋求最佳的性能組合。2、網絡的設計思想集團公司信息網絡應具有以下特點:技術上符合國際標準化組織ITU-T的有關標準;具有與其它廠家設備的高度互聯能力;需要高速的網絡主干，即千兆主干、百兆交換到桌面能夠提供會議電視、監控業務。能夠承載話音業務主干網絡具有高度的可擴充性,應能夠支持大型網絡的要求;接入設備應具有支持多媒體業務的能力；網絡運行的可靠性高；應采用最先進的成熟產品;在網絡管理上具備靈活方便的特點；３、設計依據信息產業部相關文件和標準；10０BASE-TX和Gigａbit的802.３ｕ及802．３z等國際標準；集團公司園區平面圖;相關廠商所提供技術資料；其他技術資料。4、本方案所采用網絡技術介紹４．1千兆以太網技術目前最流行的網絡協議標準,具有高效、穩定、技術成熟、性價比高、向下向上兼容的優點。從目前的發展看，千兆以太網是必然列入企業網建設選擇對象的一項高速主干網組網協議。千兆以太網標準為IEＥE80２.3Ｚ。由于“千兆以太網仍然是以太網”,因此千兆以太網繼承了10兆、100兆以太網的特征。由此得出了千兆以太網的以下優點:與現有大多數網絡設施的兼容性簡便的網絡升級操作技術的成熟性和穩定性總體開銷較低靈活的網絡互聯和網絡設計千兆以太網性能很高千兆以太網的距離：550米的多模光纖、3千米的單模光纖、2５~１00米的銅線。4.2虛擬網（VLＡN）技術在傳統的以太網的設計中,網段的劃分和端口的分配往往是通過人為更改跳線來完成。隨著以太網技術的日趨成熟，出現了VＬAN技術,即虛擬網技術。整個網絡在物理意義上只劃分為一個物理網段，網絡管理員可以對這個物理網段通過管理軟件進行虛網的劃分。通過虛擬網的劃分可以實現管理簡單和控制網絡風暴兩個重要特點。５、網絡交換機說明針對以上的特點，本方案采用了以下的設備來滿足集團公司的需求:ＢDＣＯMS3２24M－三層主干接入以太網交換機；背板帶寬13Gbps,無阻塞全線速交換。采用專用ASＩＣ技術保障實現三層全線速轉發,線速三層交換包轉發率達到6.6Mｐpｓ,并提供QOＳ質量保證和第三層包交換功能。提供６個百兆模塊擴展槽和2個千兆/百兆以太網擴展槽。BDCＯMS110８/Ｓ1１１6/S１124工作組級以太網交換機交換機是采用模塊化設計,是高性能的工作組或企業級邊緣交換機。該交換機擁有8/１6/２4個RJ－45１0/100BASＥ－TX自適應端口，外加1個光纖插槽，可選配百兆以太網模塊，支持10/10０Ｍ的各種連接，可根據需要靈活地配置網絡。該交換機能與所有的以太網、快速以太網設備相連接,保護用戶已有的網絡投資。6、網絡拓撲結構6.1網絡結構說明由圖中可以看出:網絡中心機房放置一臺ＢＤCＯMS３224M核心千兆三層以太網交換機，它是集團公司網絡的核心交換設備;中心交換機和兩臺主要服務器(ERP和OA)之間分別采用1Ｇ和100M高速以太互連，為其他交換機和整個系統的主機及服務器提供高速的接入端口,互連的兩條以太連接既做到了與中心交換機的高速連接和負載均衡,又做到了線路的冗余備份，從而充分保證了整個網絡應用的可靠性。總部辦公樓的二級交換機采用100M鏈路與中心交換機連接,采用1～２Ｍ的ＡDSL或10／100M的以太網接入INTERＮＥT,整個集團園區網只在此設一個互聯網出口,以便于統一管理，同時,它也作為出差在外的員工和外地銷售部門網上辦公和ERP數據流的通道;另外設置撥號接入接口,以便于出差在外的員工和外地銷售部門的網上辦公和ＥRP數據流的備份通道。各分廠和銷售公司等集團公司下屬部門采用１０0M光纖接入總部中心交換機，采用BDＣOMＳ111６二級交換機,它提供百兆位上聯端口,為用戶提供10/100M全交換到桌面端口。6.２網絡系統的功能說明6．2.1提供對可能發生的緊急情況或故障的應急方案建成的網絡本身應具有相應的預警、報警措施和事故發生后的遠程查錯修復功能。還能利用網絡資源充分滿足用戶,為企業經營決策提供參考。從系統安全和性能出發,局域網通過ｅ-mail服務器等措施與廣域傳輸平臺隔離。局域網支持ＶLＡN功能，根據用戶的部門機構劃分資源和地址,設置不同VLＡN間路由的策略機制。廣域網作為傳輸平臺將為所有用戶提供數據傳輸服務,但為高效的業務數據可適當規劃業務的優先級別,保證信息傳輸的安全可靠。6.2.2支持虛擬局域網技術在目前的局域網環境中，工作站連接在特定設備的一個端口上，這樣該設備就可以對應于網絡管理人員為安全性或訪問資源而預先定義物理網絡中的功能。如果用戶重新分配,網絡管理人員就必須給新的物理端口指定符合用戶需要的特征值。因為相似分組(aｆｆinitｙgrouｐinｇ）通常用作一種管理網絡的方法,所以當工作組重組時,用戶需要重新分配到不同的物理端口。在傳統的局域網中，如果相似分組的全部或部分要移到一個不同的建筑物中,網絡管理人員可能就需要對主干網設備進行物理變動（過濾表格或互建鏈路),以保留以前的功能。通過實施虛擬局域網(ＶＬAN）,用戶可以屬于好幾個相似分組合并共享公共服務,而不管他們物理位于網絡何處。局域網環境中,您的工作伙伴變得比您的工作地點更加重要。局域網上對虛擬網絡的靈活支持可以保證將用戶分配到同一虛擬局域網，而不管用戶的物理位置在何處。因為虛擬局域網在啟動和分配局域網端口時,不需要網絡管理人員的干預或技術人員的幫助,所以它們能夠在經常變動的環境中節省費用。６.2.3提供圖形化的網絡管理平臺在網絡結構日益復雜化之后,在采購網絡設備的同時要求采購網絡管理軟件,所有設備均要求在較短的時間內完成安裝工作，提供圖形化的基于WIＮDOWＳ的配置工具，管理基于ＳNMP協議的不同網絡廠商的設備，提供用戶開發編程接口為用戶的二次開發服務。6．2.4實現信息資源安全共享化建立企業專網時,利用防火墻技術、隧道技術及監聽技術實現安全控制,使用代理服務器技術,實現網絡對Iｎtｅrnet訪問的安全控制連接,實現信息國際化，使用人員可經授權上網、有限查詢,遠程用戶可通過Ｉnteｒnet查詢內部相關信息。6.３針對不安全因素所采取的對策6．3.１在網絡的公共入口設置防火墻在網絡的公共入口設置防火墻，通過硬件和軟件結合的方式，防止惡意攻擊。防火墻采用清華紫光防火墻,防火墻的外部接口與接入Iｎｔｅrｎet的路由器局域網口相連，將防火墻的內部接口與公司局域網的中心交換機相連。通過在防火墻上設置內部區到外部區的安全策略，可以對內部局域網用戶訪問Iｎｔerｎet進行控制,同時防范來自Intｅrnet的網絡攻擊。將防火墻的中立區接口與供分支機構接入用的路由器或撥號遠程接入服務器局域網口相連，在防火墻上設置中立區到內部區的安全策略，遠程通過專線或撥號接入總部局域網的用戶可以訪問內部網，同時對訪問進行安全控制，防范可能的來自分支機構的攻擊。如果總部和分支機構以VＰN的方式接入，這本身就是一種安全級別很高的接入方式,連接的兩端通過加密解碼技術,在公網中形成一條虛擬鏈路，也成為數據隧道，可有效的防止外敵的侵入。采用VPN技術的目的是為了在不安全的信道上實現安全信息傳輸，保證企業內部信息在Interｎｅt上傳輸時的機密性和完整性,同時使用鑒別對通過Internｅt進行的數據傳輸進行確認。可以看出,這是一種廣義的訪問控制，即通過加密實現的訪問控制（只有具有某種權力和知道密碼的主體才能訪問相應的客體)。6．３.2對遠程撥號用戶的安全策略在對路由器進行配置時，解除賬號默認的IP地址，即必須由NETSＥRVＥR分配IＰ地址，保證撥號上網用戶的IＰ地址全部處于可管理范圍內。

對于公用賬號,ＮETＳERVＥR驗證后,由IＰ地址緩沖池內隨機取得一個IP地址進入網絡，并記錄IP地址緩沖池范圍,路由器中為該ＩＰ地址范圍劃定一個子網,禁止路由至其他網段。這樣,可以使得用公用口令的用戶僅能訪問限制范圍內的資源。

對權限較高的用戶采用指定IＰ地址，即為每一特定賬號指定一IP地址。當使用該賬號登錄時，NＥTSEＲVEＲ為該賬號分配預定的地址,管理員可以從記錄的IP地址查出對應的用戶賬號，并能根據IＰ地址劃分對應的權限。

設定回撥號碼和賬號，當使用該賬號名登錄時，NETＳＥRVＥＲ自動回撥到設定的電話號碼，確認用戶是在指定的地點撥號,這樣的話即使口令失竊也無法被盜用。

網絡的入侵者既可能是外部黑客，也可能是企業內部的員工。針對這種情況,有必要對撥號接入的用戶進行分級，限制訪問權限，并對訪問過程進行記錄。在滿足需要的前提下,對撥號網絡存在的安全漏洞及時進行修補。可設定大部分普通用戶只能通過撥號訪問發送郵件、瀏覽主頁，部分高級用戶需要通過撥號訪問整個網絡,網絡管理員要求能夠通過撥號訪問管理網絡。

本系統撥號網絡設備是一臺cisｃo2611,其組成是8／１６/32口撥號池（MｏｄemＰoｏl）加遠程訪問路由器,再接入八條電話線。普通用戶可以使用統一的公用賬號登錄，但是只能允許訪問Mａiｌ和WWW服務器，高級用戶可以訪問全部網絡資源。由于要加強安全性,所以對訪問過程必須有可供查詢的記錄,這也可以通過軟件設置來實現6.3.3網絡防病毒的安全策略對于病毒的防范采用公安部認證的防病毒軟件瑞星2003防病毒軟件網絡版，可有效的防止網絡病毒的攻擊。三、綜合布線系統1、需求分析集團公司園區內包括集團總部辦公樓、內胎分廠、煉膠分廠、成型分廠、截斷分廠、子午分廠、雙模分廠、雜件分廠、銷售公司、運輸公司、品質部、庫房、裝備部和裝備分部及分公司等十五幢建筑，它們之間的距離已超過雙絞線布線的技術要求，因此采用光纖進行布線。由于涉及的建筑物眾多,規模大，應此將其定位為智能化園區綜合布線系統。園區的綜合布線系統是一個高標準的布線系統,水平系統和工作區采用超五類元件,主干采用光纖，構成主干千兆以太網。不僅能滿足現有數據、語音、圖像等信息傳輸的要求，也為今后的發展奠定基礎。針對以上要求,對計算機內網綜合布線系統提出自己的解決方案。建筑群間的光纜采用上海的OT—T多模光纖系統,大樓內的布線采用AVＡＹA的超五類雙絞線結構化布線系統。２、綜合布線系統的結構綜合布線系統結構如下圖所示:根據綜合布線國際標準ＩＳO１1801的定義,綜合布線系統可由以下子系統組成：工作區子系統(ＷorｋAreaＳuｂｓyｓtem)工作區子系統由信息插座延伸至用戶終端設備的布線組成，包括信息插座和相應的連接軟線。用戶能方便地把計算機、電話、傳真等不同的終端設備接入大樓的通信網絡系統。水平布線子系統(HorｉｚontalSubsｙｓtｅｍ)水平布線子系統由樓層配線間延伸至信息插座的布線組成,通常可采用銅纜，也可采用光纜以滿足高傳輸帶寬應用或長傳輸距離的要求。水平布線提供大樓網絡通信系統到用戶終端設備的信息傳輸。建筑物主干子系統(BuildingBackｂoneSｕbｓysteｍ）建筑物主干子系統由大樓配線間延伸至各樓層配線間的布線組成。該子系統亦包括各配線間的配線架,跳接線等。采用的線纜可為銅纜、光纖，或兩者混布。大樓配線間和樓層配線間通常也用于放置網絡設備和其他有源設備。建筑物主干子系統提供大樓內通信網絡信息交換的主干通道。建筑群布線子系統（CａmｐuｓCaｂｌｉnｇSuｂｓystem)建筑群布線子系統由建筑群配線間延伸至各大樓配線間的布線組成。采用的線纜可為銅纜、光纖,或兩者混布。建筑群配線間通常也用于放置電信接入設備和廣域網連接設備。建筑群布線子系統提供了各建筑物間通信網絡連接和信息交換的通道。3.4系統總體設計采用高速大容量光纖主干建設集團公司的園區網絡主干為了滿足集團公司將來靈活組網的需要，在集團總部辦公樓、內胎分廠、煉膠分廠、成型分廠、截斷分廠、子午分廠、雙模分廠、雜件分廠、銷售公司、運輸公司、品質部、庫房、裝備部和裝備分部及分公司等建筑物內各設有配線間。為充分滿足集團公司內部及對外高速高容量信息通信的需要，系統采用高速高容量的多模光纖作為園區的網絡主干。建筑物內采用先進的超五類非屏蔽布線系統根據技術規范,選用高性能UＴP非屏蔽系統，傳輸參數可達到200MHz，通道傳輸性能在20０MHz時ＡCR>3dB,2５0MHz時ACR>０dB，通道傳輸性能不低于招標技術要求所附性能參數表的要求。因此，本方案建議采用AVＡＹA超五類UTP產品,其傳輸帶寬可達200MＨZ以上，可靠支持新的千兆以太網、2．4G