網(wǎng)絡(luò)設(shè)備配置實(shí)訓(xùn)教程課件-第1章-

第一章網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)第一章網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)目錄項(xiàng)目1網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)知識(shí)1項(xiàng)目2網(wǎng)絡(luò)IP地址規(guī)劃與分配2項(xiàng)目3網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)實(shí)訓(xùn)項(xiàng)目3項(xiàng)目4網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)項(xiàng)目訓(xùn)練4目錄項(xiàng)目1網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)知識(shí)1項(xiàng)目2網(wǎng)絡(luò)IP地21.1項(xiàng)目背景

某公司為了實(shí)現(xiàn)對(duì)內(nèi)部員工的上網(wǎng)行為進(jìn)行管理，在公司內(nèi)部架設(shè)一臺(tái)Cisco安全訪問控制服務(wù)器，它可以在用戶訪問Internet時(shí)對(duì)用戶進(jìn)行認(rèn)證和授權(quán)，并通過路由器的IOS認(rèn)證代理功能控制員工訪問Internet。1.1項(xiàng)目背景某公司為了實(shí)現(xiàn)對(duì)內(nèi)部員工的上網(wǎng)3一網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

1.1網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)知識(shí)

1.1.1對(duì)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)的理解

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，越來越多的人對(duì)網(wǎng)絡(luò)的依賴程度逐步增加。而網(wǎng)絡(luò)組建的規(guī)劃與設(shè)計(jì)的相關(guān)知識(shí)是計(jì)算機(jī)網(wǎng)絡(luò)組建的基礎(chǔ)，關(guān)系到計(jì)算機(jī)網(wǎng)絡(luò)各個(gè)方面的應(yīng)用。

網(wǎng)絡(luò)工程是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及技術(shù)問題、管理問題等，必須遵守一定的系統(tǒng)分析和設(shè)計(jì)方法。實(shí)施網(wǎng)絡(luò)工程的首要工作就是要進(jìn)行規(guī)劃，深入細(xì)致的規(guī)劃是成功構(gòu)建網(wǎng)絡(luò)的一半。缺乏規(guī)劃的網(wǎng)絡(luò)必然是失敗的網(wǎng)絡(luò)。其穩(wěn)定性、擴(kuò)展性、安全性、可管理性沒有保證。通過科學(xué)合理的規(guī)劃能夠用最低的成本建立最佳的網(wǎng)絡(luò)，達(dá)到最高的性能，提供最優(yōu)的服務(wù)。Page

4一網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

1.1網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)知識(shí)

1.14

1.1.2網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃與設(shè)計(jì)的原則與方法

一般來說，在工程設(shè)計(jì)前對(duì)主要設(shè)計(jì)原則進(jìn)行選擇和平衡，并排在其他設(shè)計(jì)方案中的優(yōu)先級(jí)，對(duì)網(wǎng)絡(luò)工程的設(shè)計(jì)和規(guī)劃具有指導(dǎo)意義。網(wǎng)絡(luò)建設(shè)原則要體現(xiàn)對(duì)用戶網(wǎng)絡(luò)技術(shù)和服務(wù)上的全面支持。這些原則應(yīng)該以用戶為中心，包括下面幾個(gè)方面。

1、可靠性原則

2、可擴(kuò)展性原則

3、可運(yùn)營(yíng)性原則

4、可管理原則

5、實(shí)用性原則

6、安全性原則

7、先進(jìn)性

Page

5

1.1.2網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃與設(shè)計(jì)的原則與方法

一般51.1.3網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃與設(shè)計(jì)相關(guān)理論知識(shí)

1、網(wǎng)絡(luò)規(guī)劃的主要步驟

實(shí)施網(wǎng)絡(luò)工程的首要工作就是要進(jìn)行規(guī)劃，深入細(xì)致的規(guī)劃是成功構(gòu)建網(wǎng)絡(luò)的一半。缺乏規(guī)劃的網(wǎng)絡(luò)必然是失敗的網(wǎng)絡(luò)，其穩(wěn)定性、擴(kuò)展性、安全性、可管理性沒有保證。通過科學(xué)合理的規(guī)劃能夠用最低的成本建立最佳的網(wǎng)絡(luò)，達(dá)到最高的性能，提供最優(yōu)的服務(wù)，對(duì)業(yè)務(wù)需求、網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)結(jié)構(gòu)、管理需要、增長(zhǎng)預(yù)測(cè)、安全要求、網(wǎng)絡(luò)互聯(lián)等指標(biāo)給出盡可能明確的定量或定性分析和估計(jì)。

(1)需求分析

需求分析是從軟件工程和管理信息系統(tǒng)引入的概念，是任何一個(gè)工程實(shí)施的第一個(gè)環(huán)節(jié)，也是關(guān)系到一個(gè)網(wǎng)絡(luò)工程成功與否的最重要砝碼。

⑵

綜合布線系統(tǒng)

綜合布線系統(tǒng)是網(wǎng)絡(luò)工程的基礎(chǔ)工程，它是一種模塊化的、靈活性極高的建筑物內(nèi)或建筑群之間的信息傳輸通道。綜合布線符合樓宇管理自動(dòng)化、辦公自動(dòng)化、通信自動(dòng)化和計(jì)算機(jī)網(wǎng)絡(luò)化等多種需要，能支持文本、語音、圖形、圖像、安全監(jiān)控、傳感等各種數(shù)據(jù)的傳輸，支持光纖、UTP、STP、同軸電纜等各種傳輸介質(zhì)，支持多用戶多類型產(chǎn)品的應(yīng)用，支持高速網(wǎng)絡(luò)的應(yīng)用。有關(guān)這方面的內(nèi)容將在第4章詳述。

⑶

設(shè)備選型

在完成需求分析、網(wǎng)絡(luò)設(shè)計(jì)與規(guī)劃之后，就可以結(jié)合網(wǎng)絡(luò)的設(shè)計(jì)功能要求選擇合適的傳輸介質(zhì)、集線器、路由器、服務(wù)器、網(wǎng)卡、配套設(shè)備等各種硬件設(shè)備。硬件設(shè)備選型應(yīng)遵從以下原則：必須綜合考慮網(wǎng)絡(luò)的先進(jìn)合理性、擴(kuò)展性和可管理性等要素；設(shè)備要既具有先進(jìn)性，又具有可擴(kuò)展性和技術(shù)成熟性。

Page

61.1.3網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃與設(shè)計(jì)相關(guān)理論知識(shí)

1、網(wǎng)絡(luò)規(guī)劃的6⑷

系統(tǒng)軟件及應(yīng)用系統(tǒng)

目前國(guó)內(nèi)流行的網(wǎng)絡(luò)操作系統(tǒng)有WindowsServer2019/2019、Linux(RedHat、Ubuntu)、UNIX等，它們的應(yīng)用層次各有不同。UNIX主要應(yīng)用于高端服務(wù)器環(huán)境，其操作系統(tǒng)的安全性能級(jí)別高于其他操作系統(tǒng)。UNIX通常被用在系統(tǒng)集成的后臺(tái)，用于管理數(shù)據(jù)服務(wù)。系統(tǒng)集成前臺(tái)或者一般的局域網(wǎng)環(huán)境可采用Linux和WindowsServer2019/2019等網(wǎng)絡(luò)操作系統(tǒng)，選用哪種操作系統(tǒng)，還要根據(jù)用戶的應(yīng)用環(huán)境來確定。另外，還要根據(jù)網(wǎng)絡(luò)操作系統(tǒng)及相關(guān)應(yīng)用環(huán)境來選擇數(shù)據(jù)庫(kù)系統(tǒng)等系統(tǒng)軟件。

⑸

投資預(yù)算

網(wǎng)絡(luò)投資預(yù)算包括硬件設(shè)備、軟件購(gòu)置、網(wǎng)絡(luò)工程材料、網(wǎng)絡(luò)工程施工、安裝調(diào)試、人員培訓(xùn)、網(wǎng)絡(luò)運(yùn)行維護(hù)等所需的費(fèi)用。需要仔細(xì)分析預(yù)算成本，考慮如何滿足應(yīng)用需求，又要把成本降到最低。

⑹

工程實(shí)施步驟

根據(jù)用戶的網(wǎng)絡(luò)應(yīng)用需求和用戶投資情況，分期分批制定網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和應(yīng)用系統(tǒng)開發(fā)的工作安排。

⑺

培訓(xùn)方案

計(jì)算機(jī)網(wǎng)絡(luò)是高新技術(shù)，建設(shè)單位不一定有足夠的技術(shù)人員。為了讓用戶能夠管理好、使用好計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，在設(shè)計(jì)方案時(shí)，必須列出詳細(xì)的網(wǎng)絡(luò)管理與維護(hù)人員的技術(shù)培訓(xùn)計(jì)劃。

⑻

測(cè)試與驗(yàn)收

網(wǎng)絡(luò)系統(tǒng)的測(cè)試與驗(yàn)收是保證工程質(zhì)量的關(guān)鍵步驟。測(cè)試與驗(yàn)收包括開工前的檢查、施工過程中的測(cè)試與驗(yàn)收以及竣工測(cè)試與驗(yàn)收3個(gè)階段。通過各個(gè)階段的測(cè)試與驗(yàn)收，可以及時(shí)發(fā)現(xiàn)工程中存在的問題，并由施工方立即糾正。測(cè)試與驗(yàn)收一般由用戶方、設(shè)計(jì)方、施工方和第三方人員組織。Page

7⑷系統(tǒng)軟件及應(yīng)用系統(tǒng)

目前國(guó)內(nèi)流行的網(wǎng)絡(luò)操作系統(tǒng)有Wind7

2、系統(tǒng)集成的含義

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)集成(ComputerNetworkSystemIntegration)通過結(jié)構(gòu)化的綜合布線系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，將各個(gè)分離的設(shè)備(如個(gè)人計(jì)算機(jī))、功能和信息等集成到相互關(guān)聯(lián)的、統(tǒng)一和協(xié)調(diào)的系統(tǒng)之中，使資源達(dá)到充分共享，實(shí)現(xiàn)集中、高效、便利的管理。系統(tǒng)集成應(yīng)采用功能集成、網(wǎng)絡(luò)集成、軟件界面集成等多種集成技術(shù)。

系統(tǒng)集成，從字面上講就是將各功能部分綜合、整合為統(tǒng)一的系統(tǒng)。系統(tǒng)集成的應(yīng)用含義要遠(yuǎn)遠(yuǎn)大于字面上的含義。系統(tǒng)集成包含以下5大要素：

(1)客戶行業(yè)知識(shí)要求對(duì)客戶所在行業(yè)的業(yè)務(wù)、組織結(jié)構(gòu)、現(xiàn)狀、發(fā)展，有較好的理解和掌握。

(2)應(yīng)用系統(tǒng)模式和技術(shù)解決方案以系統(tǒng)的高度為客戶需求提供應(yīng)用的系統(tǒng)模式，以及實(shí)現(xiàn)該系統(tǒng)模式的具體技術(shù)解決方案和運(yùn)作方案，即為用戶提供一個(gè)全面的系統(tǒng)解決方案。

(3)產(chǎn)品技術(shù)對(duì)原始廠商提供的產(chǎn)品的技術(shù)掌握系統(tǒng)集成商自有研發(fā)產(chǎn)品，包括應(yīng)用系統(tǒng)軟件的開發(fā)。

(4)項(xiàng)目管理對(duì)項(xiàng)目銷售、售前、工程、售后服務(wù)過程的統(tǒng)一的進(jìn)程和質(zhì)量的管理。

(5)服務(wù)隨著行業(yè)的健康發(fā)展和規(guī)范化，系統(tǒng)服務(wù)的質(zhì)量已逐漸成為重要參考點(diǎn)。Page

8

2、系統(tǒng)集成的含義

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)集成(Computer8

3、系統(tǒng)集成的重要內(nèi)涵

⑴

應(yīng)用集成

系統(tǒng)集成首先要做到的是應(yīng)用集成。應(yīng)用集成就是系統(tǒng)集成商要深入地了解用戶的實(shí)際需求，協(xié)助用戶進(jìn)行系統(tǒng)可行性分析、需求分析、總體方案設(shè)計(jì)、數(shù)據(jù)庫(kù)組織管理等，對(duì)用戶的需求重點(diǎn)、歷史情況、行業(yè)特點(diǎn)及投資預(yù)算都需有一個(gè)完整的了解，并將這些信息有機(jī)地體現(xiàn)在系統(tǒng)集成方案中。

⑵

產(chǎn)品功能集成

在應(yīng)用集成的基礎(chǔ)上，為保證用戶的應(yīng)用在有限資金預(yù)算內(nèi)得以順利實(shí)現(xiàn)，系統(tǒng)集成商需給出一個(gè)完整的軟硬件產(chǎn)品清單，從型號(hào)、功能、價(jià)格到選擇理由都需有清楚的說明，并且最好是有過使用該類產(chǎn)品的實(shí)際經(jīng)驗(yàn)。系統(tǒng)集成商會(huì)有很多的選擇，但不管如何配置，必須遵循兩條原則，下限是用戶的需求完全滿足，上限是在有限的資金預(yù)算內(nèi)。在這個(gè)范圍內(nèi)系統(tǒng)集成商之間就設(shè)備及價(jià)格的競(jìng)爭(zhēng)才是有意義的。

⑶

技術(shù)集成

一張?jiān)O(shè)備采購(gòu)清單不等于系統(tǒng)集成。對(duì)用戶的需求及設(shè)備的技術(shù)支持，是技術(shù)集成。一個(gè)系統(tǒng)集成商真正的技術(shù)也就是技術(shù)集成。用戶最終需要的不是看設(shè)備的陳列，而是看系統(tǒng)的良好運(yùn)轉(zhuǎn)。

因此，一個(gè)好的系統(tǒng)集成商應(yīng)該能向用戶提供全面的應(yīng)用集成、產(chǎn)品功能集成及技術(shù)集成服務(wù)。Page

9

3、系統(tǒng)集成的重要內(nèi)涵

⑴應(yīng)用集成

系統(tǒng)集成首先要做到的91.1.4網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃與設(shè)計(jì)相關(guān)實(shí)踐知識(shí)

1、局域網(wǎng)設(shè)計(jì)

以太網(wǎng)技術(shù)是目前局域網(wǎng)設(shè)計(jì)的主要選擇。當(dāng)然在一些特殊場(chǎng)合還可能用到FDDI、ATM或者幾種技術(shù)的混合應(yīng)用。網(wǎng)絡(luò)技術(shù)的發(fā)展比較迅速，所以，在進(jìn)行局域網(wǎng)設(shè)計(jì)時(shí)要注重以后網(wǎng)絡(luò)升級(jí)時(shí)還能夠使用現(xiàn)有的網(wǎng)絡(luò)技術(shù)和產(chǎn)品，否則將會(huì)帶來極大的資金浪費(fèi)。

以太網(wǎng)技術(shù)就實(shí)現(xiàn)了技術(shù)的平滑升級(jí)。目前使用的有10Mb/s、100Mb/s、1Gb/s、10Gb/s的以太網(wǎng)4種。一般來說，目前連接桌面的網(wǎng)絡(luò)大多是100Mb/s以太網(wǎng)，關(guān)鍵是網(wǎng)絡(luò)主干的選擇，應(yīng)根據(jù)用戶的計(jì)算機(jī)及網(wǎng)絡(luò)的應(yīng)用水平、業(yè)務(wù)需求、技術(shù)條件和費(fèi)用預(yù)算等，選擇合理的以太網(wǎng)技術(shù)，目前校園網(wǎng)絡(luò)的主干技術(shù)大多已選擇10Gb/s以太網(wǎng)技術(shù)，從而形成10Gb/s-1Gb/s-100Mb/s的分層網(wǎng)絡(luò)結(jié)構(gòu)。Page

101.1.4網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃與設(shè)計(jì)相關(guān)實(shí)踐知識(shí)

1、局域網(wǎng)設(shè)計(jì)102、網(wǎng)絡(luò)的層次化結(jié)構(gòu)設(shè)計(jì)

大型網(wǎng)絡(luò)的設(shè)計(jì)是把整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層。

圖1網(wǎng)絡(luò)層次劃分

Page

112、網(wǎng)絡(luò)的層次化結(jié)構(gòu)設(shè)計(jì)

大型網(wǎng)絡(luò)的設(shè)計(jì)是把整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)劃11接入層：通常將網(wǎng)絡(luò)中直接面向用戶連接或訪問網(wǎng)絡(luò)的部分稱為接入層。接入層目的是允許終端用戶連接到網(wǎng)絡(luò)，提供了帶寬共享、交換帶寬、MAC層過濾和網(wǎng)段劃分等功能。同時(shí)優(yōu)先級(jí)設(shè)定和帶寬交換、接入控制等優(yōu)化網(wǎng)絡(luò)資源的設(shè)置也在接入層完成。

匯聚層：位于接入層和核心層之間的部分稱為分布層或匯聚層。匯聚層網(wǎng)絡(luò)組件完成了數(shù)據(jù)包處理、過濾、尋址、策略增強(qiáng)和其他數(shù)據(jù)處理的任務(wù)。

核心層：網(wǎng)絡(luò)主干部分稱為核心層。核心層的主要目的在于通過高速轉(zhuǎn)發(fā)通信，提供可靠的骨干傳輸結(jié)構(gòu)，因此核心層交換機(jī)應(yīng)擁有更高的可靠性，更快速率的鏈路連接技術(shù)，并且能快速適應(yīng)網(wǎng)絡(luò)的變化。Page

12接入層：通常將網(wǎng)絡(luò)中直接面向用戶連接或訪問網(wǎng)絡(luò)的部分稱為接入12

3、地址分配設(shè)計(jì)

在網(wǎng)絡(luò)規(guī)劃中，IP地址方案的設(shè)計(jì)至關(guān)重要，好的IP地址方案不僅可以減少網(wǎng)絡(luò)負(fù)荷，還能為以后的網(wǎng)絡(luò)擴(kuò)展打下良好的基礎(chǔ)。具體內(nèi)容我們?cè)凇熬W(wǎng)絡(luò)IP地址規(guī)劃與分配”中有詳細(xì)介紹。

(1)IP地址分配和管理應(yīng)遵循的原則

①

唯一性

②

可記錄性

③

可聚集性

④

節(jié)約性

⑤

公平性

⑥

可擴(kuò)展性

(2)IP地址的劃分方法

①

根據(jù)地理范圍進(jìn)行劃分，為在地理上屬于同一范圍的所有子網(wǎng)分配共同的網(wǎng)絡(luò)前綴。

②

根據(jù)組織范圍進(jìn)行劃分，為屬于同一組織的所有團(tuán)體分配共同的網(wǎng)絡(luò)前綴。

③

根據(jù)服務(wù)類型進(jìn)行劃分，為預(yù)定義好的服務(wù)(如：VoIP，QoS等)分配特定的網(wǎng)絡(luò)前綴。Page

13

3、地址分配設(shè)計(jì)

在網(wǎng)絡(luò)規(guī)劃中，IP地址方案的設(shè)計(jì)至關(guān)重要13

4、網(wǎng)絡(luò)性能設(shè)計(jì)

網(wǎng)絡(luò)性能設(shè)計(jì)的目標(biāo)是使網(wǎng)絡(luò)系統(tǒng)能夠滿足用戶應(yīng)用對(duì)網(wǎng)絡(luò)各個(gè)方面的需求。為了避免網(wǎng)絡(luò)建成后可能出現(xiàn)的各種性能問題，網(wǎng)絡(luò)的可靠性和冗余在設(shè)計(jì)中都要考慮周到。冗余設(shè)計(jì)有以下幾種方法：

(1)增加線路、設(shè)備、部件，形成備份

硬件容錯(cuò)方法之一是硬件堆積冗余，在物理級(jí)可通過元件的重復(fù)而獲得。另一個(gè)硬件容錯(cuò)的方法叫待命儲(chǔ)備冗余。該系統(tǒng)中共有M＋1個(gè)模塊，其中只有一塊處于工作狀態(tài)，其余M塊都處于待命接替狀態(tài)。一旦工作模塊出了故障，立刻切換到一個(gè)待命模塊，當(dāng)換上的儲(chǔ)備模塊發(fā)生故障時(shí)，又切換到另一儲(chǔ)備模塊，直到資源枯竭。

(2)數(shù)據(jù)備份

為了更有效地利用信息，通常把常用的信息放在聯(lián)機(jī)的硬盤或磁盤陣列等設(shè)備上，組成聯(lián)機(jī)的資料庫(kù)，把不常用的、但有時(shí)又要檢索的信息，放在聯(lián)機(jī)的后備設(shè)備如磁帶庫(kù)、光盤庫(kù)上。而大量的長(zhǎng)時(shí)間不使用的信息，則保存在脫機(jī)介質(zhì)上脫機(jī)備份。

(3)雙機(jī)容錯(cuò)系統(tǒng)

系統(tǒng)的容錯(cuò)結(jié)構(gòu)能夠提供系統(tǒng)連續(xù)運(yùn)行的能力，任何單點(diǎn)故障不會(huì)引起系統(tǒng)停機(jī)。雙機(jī)容錯(cuò)系統(tǒng)的一個(gè)CPU板出現(xiàn)故障時(shí)，其他CPU板保持繼續(xù)運(yùn)行，這個(gè)過程對(duì)用戶是透明的，系統(tǒng)沒有受到絲毫影響，更不會(huì)引起交易的丟失，充分保證數(shù)據(jù)的一致性和完整性。

(4)三機(jī)表決系統(tǒng)

在三機(jī)表決系統(tǒng)中，3臺(tái)主機(jī)同時(shí)運(yùn)行，由表決器根據(jù)3臺(tái)機(jī)器的運(yùn)行結(jié)果進(jìn)行表決，有兩個(gè)以上的機(jī)器運(yùn)行結(jié)果相同，則認(rèn)定該結(jié)果為正確。現(xiàn)在三機(jī)系統(tǒng)中較多采用的是將雙機(jī)備份和三機(jī)表決兩者結(jié)合起來的方式，當(dāng)三機(jī)中壞掉一臺(tái)后就當(dāng)作雙機(jī)備份系統(tǒng)來用。

(5)集群系統(tǒng)

均衡負(fù)載的雙機(jī)或多機(jī)系統(tǒng)就是集群系統(tǒng)(Clusting)。多服務(wù)器集群系統(tǒng)的主要目的是使用戶的應(yīng)用獲得更高的速度、更好的平衡和通信能力，而不僅僅是數(shù)據(jù)可靠性很好的備份系統(tǒng)。Page

14

4、網(wǎng)絡(luò)性能設(shè)計(jì)

網(wǎng)絡(luò)性能設(shè)計(jì)的目標(biāo)是使網(wǎng)絡(luò)系統(tǒng)能夠滿足用145、網(wǎng)絡(luò)安全設(shè)計(jì)

網(wǎng)絡(luò)安全設(shè)計(jì)主要體現(xiàn)在4個(gè)方面：重要信息的保密性設(shè)計(jì)、網(wǎng)絡(luò)系統(tǒng)的安全性設(shè)計(jì)、數(shù)據(jù)安全設(shè)計(jì)、病毒防護(hù)設(shè)計(jì)。

圖2計(jì)算機(jī)群集管理系統(tǒng)

Page

155、網(wǎng)絡(luò)安全設(shè)計(jì)

網(wǎng)絡(luò)安全設(shè)計(jì)主要體現(xiàn)在4個(gè)方面：重要信息的15⑴

信息保密設(shè)計(jì)

在網(wǎng)絡(luò)操作系統(tǒng)或防火墻中建立網(wǎng)絡(luò)CA系統(tǒng)，構(gòu)建基于PKI的鑒別及證書系統(tǒng)，為應(yīng)用安全系統(tǒng)提供鑒別和證書及密鑰分發(fā)等基本安全服務(wù)，設(shè)置口令加密傳輸和對(duì)重要數(shù)據(jù)進(jìn)行鏈路層數(shù)據(jù)加密措施。

在服務(wù)器設(shè)置監(jiān)測(cè)和自動(dòng)恢復(fù)功能，并建立審計(jì)記錄，提供針對(duì)用戶網(wǎng)絡(luò)操作的監(jiān)視和統(tǒng)計(jì)，對(duì)用戶身份和活動(dòng)進(jìn)行審計(jì)，對(duì)信息資源的訪問進(jìn)行控制及計(jì)費(fèi)等。

在網(wǎng)絡(luò)交換及路由設(shè)備中設(shè)置三層交換協(xié)議，即路由功能，對(duì)不同網(wǎng)絡(luò)區(qū)域的用戶和不同網(wǎng)段的用戶進(jìn)行身份和權(quán)限設(shè)置，對(duì)信息資源的訪問進(jìn)行級(jí)別控制。

⑵

網(wǎng)絡(luò)系統(tǒng)的安全設(shè)計(jì)

要解決外部網(wǎng)的用戶對(duì)系統(tǒng)的威脅，內(nèi)部網(wǎng)用戶對(duì)系統(tǒng)的泄密等問題?？梢赃M(jìn)行如下安全設(shè)計(jì)：

安全策略的制定、實(shí)施及修改

抵御非法用戶對(duì)局域網(wǎng)的攻擊

控制內(nèi)部用戶對(duì)外部的訪問

對(duì)網(wǎng)絡(luò)傳輸?shù)男畔?nèi)容的檢查

軟硬件防火墻的設(shè)置

遠(yuǎn)程用戶帳號(hào)和數(shù)據(jù)加密傳輸，以防外人竊取

⑶

數(shù)據(jù)安全設(shè)計(jì)

網(wǎng)絡(luò)控制中心服務(wù)器的性能好壞直接關(guān)系到網(wǎng)絡(luò)信息訪問速度及數(shù)據(jù)文件的安全。對(duì)數(shù)據(jù)安全部分采用雙機(jī)熱備份、磁盤冗余陣列(RAID)、磁帶機(jī)備份等多種手段，確保數(shù)據(jù)的安全。

雙機(jī)熱備份可采用雙機(jī)雙控的服務(wù)器集群技術(shù)，保障操作系統(tǒng)及數(shù)據(jù)系統(tǒng)平臺(tái)的高可靠性、高安全性、高可用性、抗災(zāi)難性。

⑷

病毒防護(hù)設(shè)計(jì)

為了防止病毒對(duì)系統(tǒng)安全的威脅，選用性能優(yōu)越的網(wǎng)絡(luò)版殺毒軟件負(fù)責(zé)內(nèi)部網(wǎng)絡(luò)系統(tǒng)服務(wù)器及單機(jī)的病毒防護(hù)、查殺工作。同時(shí)利用防火墻的設(shè)置對(duì)病毒的入侵進(jìn)行有效的防范。Page

16⑴信息保密設(shè)計(jì)

在網(wǎng)絡(luò)操作系統(tǒng)或防火墻中建立網(wǎng)絡(luò)CA系統(tǒng)，166、網(wǎng)絡(luò)操作系統(tǒng)的選擇

在選擇網(wǎng)絡(luò)操作系統(tǒng)需要較為嚴(yán)格的安全保密等。

下面給出幾種網(wǎng)絡(luò)操時(shí)，首先要分析系統(tǒng)未來運(yùn)行的應(yīng)用程序：是簡(jiǎn)單短小的，還是龐大復(fù)雜的；系統(tǒng)是否作系統(tǒng)的特點(diǎn)：

⑴BanyanSystem公司的VINES(VirtualNetWorkingSystems)

美國(guó)BanyanSystem公司的產(chǎn)品，其特點(diǎn)是安裝及管理簡(jiǎn)單，可靠性高。支持對(duì)稱多處理技術(shù)，充分利用硬件處理能力，速度快。對(duì)于一臺(tái)服務(wù)器上的并發(fā)用戶和打開文件的數(shù)目沒有限制，支持多服務(wù)器，與WAN具有極強(qiáng)的聯(lián)網(wǎng)能力。VINES的技術(shù)特色已得到廣大用戶的認(rèn)可，但還存在一定的局限性：多種平臺(tái)的可移植性差、容錯(cuò)能力不足、與其他PC操作系統(tǒng)的集成能力較低、所占市場(chǎng)份額較小。

⑵Microsoft的WindowsServer2019/2019

WindowsServer2019/2019的特點(diǎn)是：硬件的獨(dú)立性較強(qiáng)，網(wǎng)絡(luò)操作系統(tǒng)能在不同的硬件平臺(tái)上運(yùn)行；具有強(qiáng)大的管理特性，如系統(tǒng)備份、容錯(cuò)性能控制等。

WindowsServer2019/2019是一個(gè)高性能的客戶/服務(wù)器應(yīng)用平臺(tái)，支持多種網(wǎng)絡(luò)協(xié)議，具有Cz級(jí)安全性，具有目錄服務(wù)功能；通過域(domain)的概念來對(duì)用戶資源進(jìn)行控制，并提供簡(jiǎn)單的方法來控制用戶對(duì)網(wǎng)絡(luò)的訪問；具有良好的用戶界面，支持多窗口操作；具有自動(dòng)再連接特性，即當(dāng)服務(wù)器從故障中恢復(fù)正常時(shí)，能重新建立與工作站的通信。WindowsServer2019/2019對(duì)硬件的要求較高，所占的內(nèi)存較大。Page

176、網(wǎng)絡(luò)操作系統(tǒng)的選擇

在選擇網(wǎng)絡(luò)操作系統(tǒng)需要較為嚴(yán)格的安全17

⑶Novell公司的NetWare

NetWare是一個(gè)真正的網(wǎng)絡(luò)操作系統(tǒng)，而不是其他操作系統(tǒng)下的應(yīng)用程序。它直接對(duì)微處理器編程，因而伴隨著最新的微處理器一起發(fā)展，充分利用微處理器的高性能，從而達(dá)到高效的服務(wù)。

NetWare的特點(diǎn)是支持各種硬件，支持多種網(wǎng)絡(luò)平臺(tái)的互聯(lián)，如DOS、OS/2、Windows、Macintosh等具有廣泛的網(wǎng)絡(luò)互聯(lián)性能。Novell提供內(nèi)橋、外橋、遠(yuǎn)程橋等多種互聯(lián)選件，從而將具有相同或不同的網(wǎng)絡(luò)接口卡、不同協(xié)議和不同拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)連接起來。另外還具有出色的容錯(cuò)特性，NetWare提供一、二、三級(jí)容錯(cuò)。整體系統(tǒng)的保密、安全性好。NetWare4.0以后的版本提供的目錄服務(wù)，將更好地支持多服務(wù)器網(wǎng)絡(luò)，實(shí)現(xiàn)單一的全局的系統(tǒng)管理。

⑷UNIX

UNIX是一個(gè)多用戶、多任務(wù)的操作系統(tǒng)。UNIX已發(fā)展為兩個(gè)重要的分支，一分支是AT&T公司的UNIXSystemV，在微機(jī)上主要采用該版本；另一分支是UNIX伯克利版本(BSD)，主要運(yùn)行于大、中型機(jī)上。

UNIX操作系統(tǒng)可以運(yùn)行在從PC到超級(jí)計(jì)算機(jī)的非常廣泛的服務(wù)器平臺(tái)上，并支持網(wǎng)絡(luò)文件系統(tǒng)(NFS)和提供數(shù)據(jù)庫(kù)應(yīng)用。局域網(wǎng)操作系統(tǒng)能夠運(yùn)行在UNIX環(huán)境的服務(wù)器上，許多基于UNIX系統(tǒng)的計(jì)算機(jī)廠家擁有功能強(qiáng)大、升級(jí)方便的服務(wù)器系列，隨著UNIX廠家的聯(lián)合，將使UNIX網(wǎng)絡(luò)服務(wù)器平臺(tái)在今后的市場(chǎng)上更加引人注目。

Page

18

⑶Novell公司的NetWare

NetWare是一個(gè)18

1.2網(wǎng)絡(luò)IP地址規(guī)劃與分配

1.2.1教學(xué)目標(biāo)

通過本項(xiàng)目的學(xué)習(xí)，掌握網(wǎng)絡(luò)設(shè)備配置時(shí)IP地址方案的規(guī)劃、分析與制定。

1.2.2工作任務(wù)

某大學(xué)IP管理規(guī)劃案例

一個(gè)大型網(wǎng)絡(luò)的IP地址管理結(jié)構(gòu)設(shè)計(jì)要充分考慮，否則很容易引起整個(gè)網(wǎng)絡(luò)地址重新設(shè)計(jì)和部署。這不僅會(huì)引起長(zhǎng)時(shí)間的停機(jī)，而且還會(huì)在重新編址階段引起不穩(wěn)定，這會(huì)花掉很多的人力和財(cái)力。

使用子網(wǎng)劃分技術(shù)，大部分網(wǎng)絡(luò)能夠獲得較好的地址規(guī)劃。但在大型網(wǎng)絡(luò)中，由于網(wǎng)絡(luò)的數(shù)量與主機(jī)的數(shù)量比例不平衡，這里就需要可變長(zhǎng)的子網(wǎng)掩碼（VLSM）技術(shù)作為規(guī)劃的依據(jù)。Page

19

1.2網(wǎng)絡(luò)IP地址規(guī)劃與分配

1.2.1教學(xué)目標(biāo)

19

1、網(wǎng)絡(luò)規(guī)劃需求

某職業(yè)院校的網(wǎng)絡(luò)ID為/16，此次IP規(guī)劃分配任務(wù)首先需要保留一半的地址空間供將來使用。另外，學(xué)校共有15個(gè)分學(xué)院，每個(gè)學(xué)院可能包含2000臺(tái)主機(jī)和不同用途的服務(wù)器，為此需要將網(wǎng)絡(luò)再劃分出為子網(wǎng)。

當(dāng)然，不能規(guī)范每個(gè)學(xué)院的分配方案，因此，需要為其中一所學(xué)院創(chuàng)建8個(gè)可擁有250個(gè)主機(jī)的子網(wǎng)，其他學(xué)院可參照這個(gè)模板執(zhí)行。Page

20

1、網(wǎng)絡(luò)規(guī)劃需求

某職業(yè)院校的網(wǎng)絡(luò)ID為180.29.20

2、VLSM技術(shù)分析

嚴(yán)格按照TCP/IP中的A、B、C、D定義給IP地址分類的環(huán)境下，全0和全1網(wǎng)段都不讓使用，這種環(huán)境叫做基于類的IP。在這種環(huán)境下，子網(wǎng)掩碼只在所定義的路由器內(nèi)有效，掩碼信息無法傳遞到其他路由器。如RIPv1版本，它在做路由廣播時(shí)根本不帶掩碼信息，收到路由廣播的路由器因?yàn)闊o從知道這個(gè)網(wǎng)絡(luò)的掩碼，只好照標(biāo)準(zhǔn)TCP/IP的定義賦予它一個(gè)掩碼。

子網(wǎng)劃分的原始用途之一是將基于類的網(wǎng)絡(luò)細(xì)分為一系列同等大小的子網(wǎng)。例如，對(duì)B類網(wǎng)絡(luò)進(jìn)行4位子網(wǎng)劃分后，會(huì)生成16個(gè)同等大小的子網(wǎng)?；陬惖木W(wǎng)絡(luò)或無類別的網(wǎng)絡(luò)中可以存在不同大小的子網(wǎng)，這一規(guī)則正好適合現(xiàn)實(shí)世界中的環(huán)境。因?yàn)樵诂F(xiàn)實(shí)網(wǎng)絡(luò)中包含的主機(jī)數(shù)量不同，所以需要使用不同大小的子網(wǎng)來避免IPv4地址浪費(fèi)的現(xiàn)象。從IPv4網(wǎng)絡(luò)創(chuàng)建和部署不同大小子網(wǎng)的做法叫做可變長(zhǎng)度子網(wǎng)劃分，這種技術(shù)使用可變前綴長(zhǎng)度，又叫做可變長(zhǎng)度子網(wǎng)掩碼（VariableLengthSubnetMask，VLSM）。Page

21

2、VLSM技術(shù)分析

嚴(yán)格按照TCP/IP中的A、B、C21

3、任務(wù)實(shí)施

假定你是該學(xué)校的網(wǎng)絡(luò)管理員，網(wǎng)絡(luò)ID為/16，任務(wù)如下。

保留地址：需要保留一半的地址空間供將來使用。

分配各個(gè)學(xué)院地址：有15個(gè)子網(wǎng)供各個(gè)學(xué)院使用，每個(gè)學(xué)院可能包含2000臺(tái)主機(jī)和不同用途的服務(wù)器。

創(chuàng)建IP地址模板：為其中一所學(xué)院創(chuàng)建8個(gè)可擁有250個(gè)主機(jī)的子網(wǎng)，其他學(xué)院可參照?qǐng)?zhí)行。

⑴

保留地址任務(wù)

為了達(dá)到保留一半地址空間供將來使用這一要求，應(yīng)當(dāng)對(duì)網(wǎng)絡(luò)進(jìn)行1位的子網(wǎng)劃分。這種子網(wǎng)劃分生成了2個(gè)子網(wǎng)/17和/17，將地址空間平均分成了兩部分?？梢赃x擇/17作為保留的那一部分地址空間的網(wǎng)絡(luò)，從而滿足上述要求。Page

22

3、任務(wù)實(shí)施

假定你是該學(xué)校的網(wǎng)絡(luò)管理員，網(wǎng)絡(luò)ID為1822

⑵

各學(xué)院地址分配

為了達(dá)到擁有15個(gè)子網(wǎng)，每個(gè)子網(wǎng)有大約2000個(gè)主機(jī)這一要求，對(duì)子網(wǎng)網(wǎng)絡(luò)/17執(zhí)行4位子網(wǎng)劃分，地址前綴變?yōu)?1。第2次子網(wǎng)網(wǎng)劃分生成了16個(gè)子網(wǎng)。

/21、/21…/21和/21，每個(gè)子網(wǎng)可擁有多達(dá)2046個(gè)主機(jī)。可以選擇15個(gè)子網(wǎng)（從/21~/21）作為分院校的子網(wǎng)，從而完成了第二個(gè)任務(wù)。表2列出了這15個(gè)子網(wǎng)網(wǎng)絡(luò)地址，其中每個(gè)子網(wǎng)可擁有多達(dá)2046個(gè)主機(jī)。Page

23

⑵各學(xué)院地址分配

為了達(dá)到擁有15個(gè)子網(wǎng)，每個(gè)子網(wǎng)有23

⑶

創(chuàng)建地址分配模板

為達(dá)到創(chuàng)建8個(gè)可擁有250個(gè)主機(jī)的子網(wǎng)模板要求，需要對(duì)子網(wǎng)/21進(jìn)行3位的子網(wǎng)劃分。第3次子網(wǎng)劃分會(huì)生成8個(gè)子網(wǎng)。

/24、/24…/24和/24，每個(gè)子網(wǎng)可擁有254個(gè)主機(jī)。可以選擇所有8個(gè)子網(wǎng)，從/24~/24，作為網(wǎng)絡(luò)地址分配給單個(gè)子網(wǎng)，從而完成整個(gè)任務(wù)。表3列出了8個(gè)子網(wǎng)，其中每個(gè)子網(wǎng)可擁有254個(gè)主機(jī)。

當(dāng)然，每個(gè)學(xué)院的內(nèi)部還有可能對(duì)250臺(tái)主機(jī)再次進(jìn)行可變長(zhǎng)子網(wǎng)掩碼的操作，如劃分VLAN等。此次IP規(guī)劃任務(wù)完成情況可以根據(jù)圖3看到這次子網(wǎng)劃分的流程圖。

圖3子網(wǎng)劃分流程圖

Page

24

⑶創(chuàng)建地址分配模板

為達(dá)到創(chuàng)建8個(gè)可擁有250個(gè)主機(jī)的子241.2.3相關(guān)知識(shí)

在IP地址規(guī)劃中有些IP地址是不能被配置到網(wǎng)絡(luò)設(shè)備接口使用的，這些IP地址是網(wǎng)絡(luò)地址和廣播地址。另外，這家公司屬于典型的小型網(wǎng)絡(luò)，機(jī)器數(shù)量一般在50臺(tái)以下，我們需要根據(jù)網(wǎng)絡(luò)的規(guī)模考慮IP地址的分配與管理。Page

251.2.3相關(guān)知識(shí)

在IP地址規(guī)劃中有些IP地址是不能被25

1、確定合法地址

網(wǎng)絡(luò)中第一個(gè)不能使用的地址就是網(wǎng)絡(luò)地址。網(wǎng)絡(luò)地址用于表示網(wǎng)絡(luò)本身，主機(jī)位部分為全“0”的IP地址代表一個(gè)特定的網(wǎng)絡(luò)。網(wǎng)絡(luò)地址對(duì)于網(wǎng)絡(luò)通信數(shù)據(jù)量的控制非常重要，位于同一網(wǎng)絡(luò)中的主機(jī)必然具有相同的網(wǎng)絡(luò)號(hào)，它們之間可以直接相互通信。而網(wǎng)絡(luò)號(hào)不同的主機(jī)之間則不能直接進(jìn)行通信，必須經(jīng)過第3層網(wǎng)絡(luò)設(shè)備（如路由器）進(jìn)行轉(zhuǎn)發(fā)。Page

26

1、確定合法地址

網(wǎng)絡(luò)中第一個(gè)不能使用的地址就是網(wǎng)絡(luò)地址。26如圖4的示例，上半部分的框架中表示網(wǎng)絡(luò)。從局域網(wǎng)外部看，任何發(fā)往該網(wǎng)絡(luò)主機(jī)~54的數(shù)據(jù)，目的網(wǎng)絡(luò)都是，只有數(shù)據(jù)到達(dá)上半部分的框架（局域網(wǎng)）時(shí)，才能進(jìn)行主機(jī)位的匹配。下半部分的網(wǎng)絡(luò)編號(hào)用表示，數(shù)據(jù)進(jìn)行比對(duì)的情況也是相同。

網(wǎng)絡(luò)中第二個(gè)不能使用的地址是廣播地址（BroadcastAddress）。它用于向網(wǎng)絡(luò)中的所有設(shè)備廣播分組，具有正常的網(wǎng)絡(luò)號(hào)部分，主機(jī)號(hào)部分為全“1”的IP地址代表一個(gè)在指定網(wǎng)絡(luò)中的廣播，被稱為廣播地址。

廣播地址對(duì)于網(wǎng)絡(luò)通信同樣重要。在計(jì)算機(jī)網(wǎng)絡(luò)通信中，經(jīng)常會(huì)出現(xiàn)對(duì)某一指定網(wǎng)絡(luò)中的所有機(jī)器發(fā)送數(shù)據(jù)的情形，如果沒有廣播地址，源主機(jī)就要對(duì)所有目的主機(jī)啟動(dòng)多次IP分組的封裝與發(fā)送過程。

圖4網(wǎng)絡(luò)地址的與尋址Page

27如圖4的示例，上半部分的框架中表示網(wǎng)絡(luò)7除了網(wǎng)絡(luò)標(biāo)識(shí)地址和廣播地址之外，其他一些包含全“0”和全“1”的地址格式也是保留地址。圖5中標(biāo)明了這些特殊地址的用途。

圖5

特殊的保留地址Page

28除了網(wǎng)絡(luò)標(biāo)識(shí)地址和廣播地址之外，其他一些包含全“0”和全“128

2、選擇專用IP地址

Internet的穩(wěn)定直接取決于網(wǎng)絡(luò)地址的唯一性。這個(gè)工作最初由InterNIC（Internet網(wǎng)絡(luò)信息中心）來分配IP地址，現(xiàn)在已被IANA（Internet地址分配中心）取代。IANA管理著剩余IP地址的分配，以確保不會(huì)發(fā)生公用地址重復(fù)使用的問題。

⑴

公用IP地址

公用IP地址在Internet上是唯一的，因?yàn)楣肐P地址是全局的和標(biāo)準(zhǔn)的，所以沒有任何兩臺(tái)連到公共網(wǎng)絡(luò)的主機(jī)擁有相同的IP地址。所有連接Internet的主機(jī)都遵循此規(guī)則，公用IP地址是從Internet服務(wù)供應(yīng)商（ISP）或地址注冊(cè)處獲得的。如果需要到Internet的直接（路由）連接，則必須使用公用地址；如果需要到Internet的間接（代理或轉(zhuǎn)換）連接，則可以使用公用地址或?qū)Ｓ玫刂?。Page

29

2、選擇專用IP地址

Internet的穩(wěn)定直接取決于網(wǎng)絡(luò)29

⑵

私有IP地址

隨著Internet的發(fā)展，各個(gè)連接到Internet的組織需要為每臺(tái)設(shè)備的每個(gè)接口獲取一個(gè)公用地址。每個(gè)網(wǎng)絡(luò)接口都需要有一個(gè)公有IP地址是不可能的，至少在IPv4版本中。這一需求對(duì)公用地址池提出了很高的要求，A、B、C類地址的總數(shù)滿足不了全世界所有網(wǎng)絡(luò)設(shè)備的標(biāo)識(shí)。Internet設(shè)計(jì)者注意到了這個(gè)問題，所以保留了IPv4地址空間的一部分供內(nèi)部地址使用。IANA提供了一個(gè)為專用網(wǎng)際網(wǎng)絡(luò)保留網(wǎng)絡(luò)ID地址的方案，以下這些網(wǎng)絡(luò)ID是內(nèi)部網(wǎng)絡(luò)中可任意部署的：

網(wǎng)絡(luò)地址池，子網(wǎng)掩碼為

。

網(wǎng)絡(luò)地址池，子網(wǎng)掩碼為

。

網(wǎng)絡(luò)地址池，子網(wǎng)掩碼為

。Page

30

⑵私有IP地址

隨著Internet的發(fā)展，各個(gè)連接到I30

3、地址轉(zhuǎn)換技術(shù)

有一種情況需要特別注意，如果公司網(wǎng)絡(luò)沒有以任何方式連接到Internet，則可以使用任何IP地址。但如果這家公司網(wǎng)絡(luò)需要連接到Internet，所以應(yīng)當(dāng)使用公用地址或地址轉(zhuǎn)換技術(shù)，以防止非法IP地址暴露在公網(wǎng)之上使得使用私有IP的計(jì)算機(jī)也可以接入Internet。

為了讓使用私有IP地址的計(jì)算機(jī)能夠訪問Internet，必須使用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）和路由。NAT使您能夠把使用專用IP地址的客戶端計(jì)算機(jī)連接到使用公共IP地址的Internet。這需要有兩個(gè)接口來隔離本地網(wǎng)絡(luò)和Internet網(wǎng)絡(luò)。這兩個(gè)接口是必需的，因?yàn)閮蓚€(gè)網(wǎng)絡(luò)之間的請(qǐng)求必須通過路由器服務(wù)或設(shè)備進(jìn)行傳送。當(dāng)路由器接收到請(qǐng)求時(shí)，它在兩個(gè)接口之間轉(zhuǎn)發(fā)這些請(qǐng)求。NAT服務(wù)幫助從源網(wǎng)絡(luò)到目標(biāo)網(wǎng)絡(luò)，把IP地址轉(zhuǎn)換成正確的地址。Page

31

3、地址轉(zhuǎn)換技術(shù)

有一種情況需要特別注意，如果公司網(wǎng)絡(luò)沒有31

4、IP地址配置方法

⑴

手工分配

手工設(shè)置的IP地址為靜態(tài)IP地址，在沒有重新配置之前，計(jì)算機(jī)將一直擁有該IP地址。因此，既可以據(jù)此訪問網(wǎng)絡(luò)內(nèi)的某臺(tái)計(jì)算機(jī)，也可以據(jù)此判斷計(jì)算機(jī)是否已經(jīng)開機(jī)并接入網(wǎng)絡(luò)。不過，默認(rèn)網(wǎng)關(guān)必須是計(jì)算機(jī)所在的網(wǎng)段中的IP地址，而不能填寫其他網(wǎng)段中的IP地址。

⑵

自動(dòng)分配

動(dòng)態(tài)主機(jī)配置協(xié)議（DynamicHostconfigurationProtocol，DHCP）提供了自動(dòng)的TCP/IP配置。DHCP服務(wù)器為其客戶端提供IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)地址等各種配置。網(wǎng)絡(luò)中的計(jì)算機(jī)可以通過DHCP服務(wù)器自動(dòng)獲取IP地址信息。DHCP服務(wù)器維護(hù)著一個(gè)容納有許多IP地址的地址池，并根據(jù)計(jì)算機(jī)的請(qǐng)求而出租。DHCP是Windows默認(rèn)采用的地址分配方式。Page

32

4、IP地址配置方法

⑴手工分配

手工設(shè)置的IP地址為靜32

5、確定IP規(guī)劃方案

在局域網(wǎng)內(nèi)部的IP地址分配中，小型網(wǎng)絡(luò)可以選擇私有地址段，大中型企業(yè)由于網(wǎng)絡(luò)設(shè)備眾多，有的可以達(dá)到上萬臺(tái)，那么則可以選擇或地址段。

有些企業(yè)剛剛起步，所以在連接Internet的網(wǎng)絡(luò)帶寬不是很大，而且也沒有太多的網(wǎng)絡(luò)業(yè)務(wù)往來。因此，可購(gòu)買一個(gè)價(jià)格比較低廉的路由器，使用NAT技術(shù)將所有客戶端共享上網(wǎng)，隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，實(shí)現(xiàn)比較簡(jiǎn)單的安全防火墻作用。

IP地址配置要分別對(duì)待，文件服務(wù)器需要手工配置，這樣所有用戶都可以隨時(shí)訪問到這個(gè)靜態(tài)IP地址，而其他客戶端采用路由器上的DHCP功能，自動(dòng)獲得IP。Page

33

5、確定IP規(guī)劃方案

在局域網(wǎng)內(nèi)部的IP地址分配中，小型網(wǎng)33

1.3網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)實(shí)訓(xùn)項(xiàng)目

1.3.1校園網(wǎng)

1、用戶需求分析

校園網(wǎng)的建設(shè)目的是給老師和學(xué)生提供相應(yīng)的網(wǎng)絡(luò)服務(wù)。在公共區(qū)域，比如教學(xué)樓、宿舍樓等位置為老師和學(xué)生提供上網(wǎng)服務(wù)。而且在校園網(wǎng)上為學(xué)生提供FTP，郵件服務(wù)及資訊Web服務(wù)；還要方便老師和學(xué)生進(jìn)行學(xué)習(xí)方面的交流，分享學(xué)習(xí)資料，老師為學(xué)生布置作業(yè)，學(xué)生上傳作業(yè)，增加學(xué)生的課余時(shí)間娛樂方式等。

在網(wǎng)絡(luò)搭建的過程中需要對(duì)網(wǎng)絡(luò)進(jìn)行VLAN的劃分，從而減小廣播風(fēng)暴的影響，保證教室、辦公室的網(wǎng)絡(luò)安全性。為方便IP地址配置，在整個(gè)網(wǎng)絡(luò)中實(shí)現(xiàn)IP的自動(dòng)分配等基本功能。一個(gè)基本的校園網(wǎng)具有以下的特點(diǎn)：高速的局域網(wǎng)連接；信息結(jié)構(gòu)多樣化；安全可靠；經(jīng)濟(jì)實(shí)用。

校園內(nèi)各建筑互連形成園區(qū)主干；各建筑物內(nèi)再擴(kuò)展面向用戶的局域網(wǎng)。園區(qū)主干連接為1000Mbps，建筑物內(nèi)部的用戶局域網(wǎng)提供到桌面的100Mbps網(wǎng)絡(luò)帶寬。Page

34

1.3網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)實(shí)訓(xùn)項(xiàng)目

1.3.1校園網(wǎng)

134

校園網(wǎng)應(yīng)以寬帶IP網(wǎng)為目標(biāo)，具有數(shù)據(jù)、語音、圖形、圖像等多種信息媒體傳遞功能，具備性能優(yōu)越的資源共享功能。校園網(wǎng)主干傳輸帶寬應(yīng)達(dá)到1000Mbps要求，樓宇之間千兆連接。建設(shè)校園網(wǎng)的同時(shí)必須考慮網(wǎng)絡(luò)安全、資源共享和帶寬的要求。校園網(wǎng)建設(shè)的具體需求：

（1）學(xué)院采用1000Mbps做骨干，100Mbps到桌面。

（2）校園網(wǎng)內(nèi)具有WWW服務(wù)器、FTP服務(wù)器、DNS服務(wù)器，用于提供一些培訓(xùn)中常用的資料下載，網(wǎng)絡(luò)管理等。

（3）校園網(wǎng)采用路由器+防火墻結(jié)構(gòu)進(jìn)行接入，網(wǎng)絡(luò)互聯(lián)設(shè)備包括交換機(jī)、路由器、線纜、及其他設(shè)置。其中防火墻是路由器的內(nèi)置防火墻。

（4）所有教室各自劃分VLAN，各系辦公室各自劃分VLAN，行政辦公室為一個(gè)VLAN，各宿舍為一個(gè)VLAN，服務(wù)器組為一個(gè)VLAN。

（5）做好路由器與防火墻之間的安全通信工作，防止搭線竊聽，IP盜用。

（6）選擇客戶機(jī)TCP/IP配置的最佳方案，以最大限度的減少IP地址的沖突和管理員的工作量，采用B類私有IP地址進(jìn)行局域網(wǎng)內(nèi)部IP地址分配。Page

35

校園網(wǎng)應(yīng)以寬帶IP網(wǎng)為目標(biāo)，具有數(shù)據(jù)、語音、圖形、圖像等多35

2、拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

校園網(wǎng)的拓?fù)浣Y(jié)構(gòu)基本上是混合型的，它是由星型、總線型等典型拓?fù)浣Y(jié)構(gòu)組成，在現(xiàn)代網(wǎng)絡(luò)結(jié)構(gòu)化布線工程中多采用星型結(jié)構(gòu)，主要用于同一樓層，由各個(gè)房間的計(jì)算機(jī)間用者交換機(jī)連接產(chǎn)生的，它具有施工簡(jiǎn)單，擴(kuò)展性高，成本低和可管理性好等優(yōu)點(diǎn)；而校園網(wǎng)在分層布線主要采用樹型結(jié)構(gòu)；每個(gè)房間的計(jì)算機(jī)連接到本層的交換機(jī)，然后每層的交換機(jī)在連接到本樓出口的交換機(jī)或路由器，各個(gè)樓的交換機(jī)或路由器再連接到校園網(wǎng)的通信網(wǎng)中，由此構(gòu)成了校園網(wǎng)的拓?fù)浣Y(jié)構(gòu)。

目前的校園網(wǎng)大多數(shù)是純?nèi)龑拥慕粨Q網(wǎng)絡(luò)。由于交換機(jī)都具有三層功能，匯聚層一般已經(jīng)可以與接入層歸納為一個(gè)層次。各樓層和各樓之間的交換設(shè)備都直接上連到核心設(shè)備上。

校園網(wǎng)簡(jiǎn)明拓?fù)鋱D如下所示。其中校園局域網(wǎng)以三層交換機(jī)為交換核心，即網(wǎng)絡(luò)中心，下設(shè)二層交換機(jī)若干，如圖中所示兩臺(tái)交換機(jī)進(jìn)行模擬，形成匯聚層。匯聚層交換機(jī)用作模擬校園中各個(gè)樓宇的網(wǎng)絡(luò)節(jié)點(diǎn)，在同一個(gè)樓宇，如教學(xué)樓、學(xué)生宿舍樓中依據(jù)需求劃分VLAN，隔離網(wǎng)絡(luò)風(fēng)暴，提升網(wǎng)絡(luò)安全性和效率。

Page

36

2、拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

校園網(wǎng)的拓?fù)浣Y(jié)構(gòu)基本上是混合型的，它是由36

圖6校園網(wǎng)簡(jiǎn)明拓?fù)鋱DPage

37

圖6校園網(wǎng)簡(jiǎn)明拓?fù)鋱DPage37373、IP地址方案

IP地址規(guī)劃如下表所示：

Page

383、IP地址方案

IP地址規(guī)劃如下表所示：

Page3384、設(shè)備選型

設(shè)備選型如下表所示：

Page

394、設(shè)備選型

設(shè)備選型如下表所示：

Page3939Page

40Page40401.3.2企業(yè)網(wǎng)

1、用戶需求分析

某企業(yè)現(xiàn)有300個(gè)點(diǎn)，需要建設(shè)一個(gè)網(wǎng)絡(luò)以實(shí)現(xiàn)該企業(yè)內(nèi)部的相互通信和與外部的聯(lián)系，通過該網(wǎng)絡(luò)提高企業(yè)的發(fā)展和企業(yè)內(nèi)部辦公的信息化、辦公自動(dòng)化。該企業(yè)有15個(gè)部門，則需要讓這15個(gè)部門能夠通過該網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)，并能實(shí)現(xiàn)部門之間信息化的合作。所以該網(wǎng)絡(luò)的必須體現(xiàn)辦公的方便性、迅速性、高效性、可靠性、科技性、資源共享、相互通信、信息發(fā)布及查詢等功能，以作為支持企業(yè)內(nèi)部辦公自動(dòng)化、供應(yīng)鏈管理以及各應(yīng)用系統(tǒng)運(yùn)行的基礎(chǔ)設(shè)施。

該網(wǎng)絡(luò)是一個(gè)單核心的網(wǎng)絡(luò)結(jié)構(gòu)，采用典型的三層結(jié)構(gòu)，核心、匯聚、接入。各部門獨(dú)立成區(qū)域，防止個(gè)別區(qū)域發(fā)生問題，影響整個(gè)網(wǎng)的穩(wěn)定運(yùn)行，若某匯聚交換機(jī)發(fā)生問題只會(huì)影響到某幾個(gè)部門，該網(wǎng)絡(luò)使用vlan進(jìn)行隔離，方便員工調(diào)換部門。

核心交換機(jī)連接三臺(tái)匯聚交換機(jī)對(duì)所有數(shù)據(jù)進(jìn)行接收并分流，所以該設(shè)備必須是高質(zhì)量、功能具全，責(zé)任重大，通過高速轉(zhuǎn)發(fā)通信，提高優(yōu)化的，可靠的傳輸結(jié)構(gòu)。核心層應(yīng)該盡快地交換分組。該設(shè)備不承擔(dān)訪問列表檢查、數(shù)據(jù)加密、地址翻譯或者其他影響的最快速率分組的任務(wù)。

匯聚層交換機(jī)位于接入層和核心層之間，該網(wǎng)絡(luò)有三臺(tái)匯聚層交換機(jī)分擔(dān)15個(gè)部門，能幫助定義和分離核心。該層的設(shè)備主要目的是提供一個(gè)邊界的定義，以在其內(nèi)進(jìn)行分組處理。該層將網(wǎng)絡(luò)分段為多個(gè)廣播域。該問控制列表可以實(shí)施策略并過濾分組。匯聚層將網(wǎng)絡(luò)問題限制在發(fā)生問題的工作組內(nèi)，防止這些問題影響到核心層。該層的交換機(jī)運(yùn)行在第二層和第三層上。

接入層為網(wǎng)絡(luò)提供通信，并且實(shí)現(xiàn)網(wǎng)絡(luò)入口控制。最終用戶通過接入層訪問網(wǎng)絡(luò)的。作為網(wǎng)絡(luò)的“前門”，接入層交換機(jī)使用訪問列表以阻止非授權(quán)的用戶進(jìn)入網(wǎng)絡(luò)。

Page

411.3.2企業(yè)網(wǎng)

1、用戶需求分析

某企業(yè)現(xiàn)有300個(gè)點(diǎn)412、拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如下：

圖7企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

Page

422、拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如下：

421.3.3政府上網(wǎng)

1、用戶需求分析

某政府機(jī)關(guān)總部在市中心某區(qū)域，分部在另一區(qū)域，分部和總部之間一條線路連接，在總部和分部間運(yùn)行OSPF。在使用網(wǎng)絡(luò)過程中經(jīng)常出現(xiàn)由于線路故障導(dǎo)致網(wǎng)絡(luò)中斷的情況，為了實(shí)現(xiàn)分部與總部之間的高可用性，所以希望在分部的網(wǎng)絡(luò)中通過配置VRRP，實(shí)現(xiàn)通過兩條線連接到總公司，兩條線路互為備份。

設(shè)計(jì)要求：

建立總部和分部之間網(wǎng)絡(luò)高效穩(wěn)定。

鏈路可實(shí)現(xiàn)遇到故障自動(dòng)切換。

具有完善的網(wǎng)絡(luò)安全機(jī)制。

Page

431.3.3政府上網(wǎng)

1、用戶需求分析

某政府機(jī)關(guān)總部在市432、拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

拓?fù)浣Y(jié)構(gòu)如下圖所示

圖8政府上網(wǎng)拓?fù)鋱D

Page

442、拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

拓?fù)浣Y(jié)構(gòu)如下圖所示

443、IP地址方案

Page

453、IP地址方案

Page45454、設(shè)備選型

路由器

寬帶路由器：銳捷網(wǎng)絡(luò)RG-NBR3000

傳輸速率：10/100/1000Mbps

端口結(jié)構(gòu)：非模塊化

廣域網(wǎng)接口：3個(gè)

局域網(wǎng)接口：5個(gè)

防火墻：內(nèi)置防火墻

網(wǎng)絡(luò)安全：徹底ARP防攻擊

防機(jī)器狗病毒

防內(nèi)網(wǎng)攻擊/外網(wǎng)攻擊

支持安全地址綁定

網(wǎng)絡(luò)管理：中文WEB配置管理和監(jiān)控

支持SNMPv1/v2、CLI、TFTP升級(jí)和配置文件管理Page

464、設(shè)備選型

路由器

寬帶路由器：銳捷網(wǎng)絡(luò)RG-NBR30046

交換機(jī)

三層智能交換機(jī)：銳捷網(wǎng)絡(luò)RG-S2928G-E

傳輸速率：10/100/1000Mbps

端口數(shù)量：28個(gè)

背板帶寬：208Gbps

VLAN：支持4K個(gè)802.1QVLAN

網(wǎng)絡(luò)管理：SNMPv1/v2C/v3CLI

包轉(zhuǎn)發(fā)率：51Mpps

端口結(jié)構(gòu)：非模塊化

交換方式：存儲(chǔ)-轉(zhuǎn)發(fā)

QOS：支持端口流量識(shí)別

安全管理：支持IP、MAC、端口

端口描述：24個(gè)10/100/1000M自

控制端口：1個(gè)USB接口

Page

47

交換機(jī)

三層智能交換機(jī)：銳捷網(wǎng)絡(luò)RG-S2928G-E

傳471.3.5無線局域網(wǎng)

1、用戶需求分析

盡管擁有臺(tái)式機(jī)和筆記本電腦的學(xué)生越來越多，但是學(xué)生宿舍往往只提供2個(gè)信息點(diǎn)，當(dāng)宿舍內(nèi)的計(jì)算機(jī)數(shù)量越來愈多時(shí)，如果重新實(shí)施布線，不僅花費(fèi)較多，而且連接非常不方便。特別對(duì)筆記本電腦，學(xué)生要頻繁出入教室、圖書館和宿舍，不斷插拔網(wǎng)線，非常麻煩，還容易造成網(wǎng)卡接口的損壞。所以，在學(xué)生宿舍網(wǎng)實(shí)現(xiàn)無線補(bǔ)充就成為最便捷、最節(jié)約、最可行的方式。

Page

481.3.5無線局域網(wǎng)

1、用戶需求分析

盡管擁有臺(tái)482、拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

學(xué)生宿舍網(wǎng)的拓?fù)鋱D如下所示：

圖9學(xué)生宿舍網(wǎng)

Page

492、拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

學(xué)生宿舍網(wǎng)的拓?fù)鋱D如下所示：

493、IP地址方案

無線網(wǎng)絡(luò)控制器

服務(wù)接口IP地址：

管理地址：01

管理接口DHCP服務(wù)器地址：

APManager地址：03

無線AP

地址從DHCP服務(wù)器獲取

Page

503、IP地址方案

無線網(wǎng)絡(luò)控制器

服務(wù)接口IP地址：19504、設(shè)備選型

無線AP

室內(nèi)AP：

無線AP必須選擇同一廠商、同一標(biāo)準(zhǔn)、同一型號(hào)的產(chǎn)品。（不同區(qū)域的無線漫游可以選擇不同的標(biāo)準(zhǔn)和型號(hào)）

Aironet1000系列1130AG

室外AP：

Aironet1240AG

無線網(wǎng)絡(luò)控制器

Cisco4400系列的無線局域網(wǎng)控制器適用于大中型機(jī)構(gòu)

4402型號(hào)：兩個(gè)千兆位以太網(wǎng)端口，其配置可支持12、25和50個(gè)接入點(diǎn)

一個(gè)擴(kuò)展插槽

支持一個(gè)可冗余電源

Page

514、設(shè)備選型

無線AP

室內(nèi)AP：

無線AP必須選擇同一廠商511.4網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)項(xiàng)目練習(xí)

某公司要進(jìn)行企業(yè)網(wǎng)絡(luò)改造，根據(jù)下面介紹的情況，給出網(wǎng)絡(luò)改造的規(guī)劃與設(shè)計(jì)方案。

網(wǎng)絡(luò)情況如下：

舊廠網(wǎng)絡(luò)現(xiàn)狀：

舊廠核心交換機(jī)為Cisco4006-S3三層路由交換機(jī)。Cisco4006-S3交換機(jī)上配置1塊WS-X4306-GB用于連接Cisco2950接入交換機(jī)；配置1塊WS-X4232-GB-RJ模塊和1塊WS-X4148-RJ模塊用于網(wǎng)絡(luò)中心及本樓層信息點(diǎn)的接入。

Cisco2950接入交換機(jī)通過單路光纖鏈路與核心Cisco4006-S3交換機(jī)進(jìn)行連接。在用的網(wǎng)絡(luò)為單星型網(wǎng)絡(luò)結(jié)構(gòu)。

原網(wǎng)絡(luò)配置1臺(tái)Cisco3640路由器作為廣域網(wǎng)接入連接設(shè)備。Cisco3640上配置了1塊NM-1FE1W-V2和1塊NM-2FE2W-V2模塊用于各專線的接入。一個(gè)倉(cāng)庫(kù)與舊廠間采用HDSLDDN長(zhǎng)途專線進(jìn)行連接；舊廠與單位所在系統(tǒng)專網(wǎng)間采用光纖+LAN方式進(jìn)行連接，通訊采用EIGRP動(dòng)態(tài)路由協(xié)議。Page

521.4網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)項(xiàng)目練習(xí)

某公司要進(jìn)行企業(yè)網(wǎng)絡(luò)改造，52

新廠網(wǎng)絡(luò)架構(gòu)：

新廠區(qū)是一個(gè)全新的在建的園區(qū)，包括新的綜合辦公樓、聯(lián)合工房和廠房輔區(qū)。

新的網(wǎng)絡(luò)中心將定位于綜合辦公樓4層。

為了保證生產(chǎn)的順利進(jìn)行，網(wǎng)絡(luò)采用全網(wǎng)雙冗余鏈路的雙星型網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)。

生產(chǎn)最重要的五個(gè)中控：1車間中控室、2車間中控、物流中控室、三層中控和能源動(dòng)力中心，建設(shè)中需要重點(diǎn)考慮。牽涉到生產(chǎn)的關(guān)系，五個(gè)中控原有的配置盡量少改動(dòng)。

聯(lián)合工房和廠房輔區(qū)相對(duì)集中，分別在這兩個(gè)地方設(shè)置一個(gè)匯聚中心。隸屬聯(lián)合工房和廠房輔區(qū)的接入交換機(jī)分別接入相應(yīng)的匯聚中心。

考慮申請(qǐng)電信光纖+LAN專線作為新廠區(qū)的互聯(lián)網(wǎng)接入方式，相應(yīng)的應(yīng)考慮其安全設(shè)備。為加速互聯(lián)網(wǎng)的訪問速度，還需考慮內(nèi)容緩存設(shè)備，圖11所示。

原有的省專網(wǎng)和國(guó)家衛(wèi)星網(wǎng)也應(yīng)該考慮相應(yīng)的安全接入方式。

新廠區(qū)建設(shè)牽涉到舊廠區(qū)設(shè)備的依次遷移。舊廠區(qū)將繼續(xù)保持網(wǎng)絡(luò)運(yùn)作直到新廠區(qū)網(wǎng)絡(luò)建設(shè)完全正常為止。

新舊廠區(qū)很長(zhǎng)一段時(shí)間保持同步運(yùn)作，所以，應(yīng)盡量保留舊廠區(qū)的網(wǎng)絡(luò)規(guī)劃、IP地址分配。在新的網(wǎng)絡(luò)規(guī)劃中，應(yīng)保留兩套網(wǎng)絡(luò)規(guī)劃：舊網(wǎng)絡(luò)的配置和新的網(wǎng)絡(luò)配置。隨著舊網(wǎng)絡(luò)的逐步遷移，舊網(wǎng)絡(luò)配置逐漸被新的網(wǎng)絡(luò)配置所取代。

Page

53

新廠網(wǎng)絡(luò)架構(gòu)：

新廠區(qū)是一個(gè)全新的在建的園區(qū)，包括新的綜53第一章網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)第一章網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)目錄項(xiàng)目1網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)知識(shí)1項(xiàng)目2網(wǎng)絡(luò)IP地址規(guī)劃與分配2項(xiàng)目3網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)實(shí)訓(xùn)項(xiàng)目3項(xiàng)目4網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)項(xiàng)目訓(xùn)練4目錄項(xiàng)目1網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)知識(shí)1項(xiàng)目2網(wǎng)絡(luò)IP地551.1項(xiàng)目背景

某公司為了實(shí)現(xiàn)對(duì)內(nèi)部員工的上網(wǎng)行為進(jìn)行管理，在公司內(nèi)部架設(shè)一臺(tái)Cisco安全訪問控制服務(wù)器，它可以在用戶訪問Internet時(shí)對(duì)用戶進(jìn)行認(rèn)證和授權(quán)，并通過路由器的IOS認(rèn)證代理功能控制員工訪問Internet。1.1項(xiàng)目背景某公司為了實(shí)現(xiàn)對(duì)內(nèi)部員工的上網(wǎng)56一網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

1.1網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)知識(shí)

1.1.1對(duì)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)的理解

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，越來越多的人對(duì)網(wǎng)絡(luò)的依賴程度逐步增加。而網(wǎng)絡(luò)組建的規(guī)劃與設(shè)計(jì)的相關(guān)知識(shí)是計(jì)算機(jī)網(wǎng)絡(luò)組建的基礎(chǔ)，關(guān)系到計(jì)算機(jī)網(wǎng)絡(luò)各個(gè)方面的應(yīng)用。

網(wǎng)絡(luò)工程是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及技術(shù)問題、管理問題等，必須遵守一定的系統(tǒng)分析和設(shè)計(jì)方法。實(shí)施網(wǎng)絡(luò)工程的首要工作就是要進(jìn)行規(guī)劃，深入細(xì)致的規(guī)劃是成功構(gòu)建網(wǎng)絡(luò)的一半。缺乏規(guī)劃的網(wǎng)絡(luò)必然是失敗的網(wǎng)絡(luò)。其穩(wěn)定性、擴(kuò)展性、安全性、可管理性沒有保證。通過科學(xué)合理的規(guī)劃能夠用最低的成本建立最佳的網(wǎng)絡(luò)，達(dá)到最高的性能，提供最優(yōu)的服務(wù)。Page

57一網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

1.1網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)知識(shí)

1.157

1.1.2網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃與設(shè)計(jì)的原則與方法

一般來說，在工程設(shè)計(jì)前對(duì)主要設(shè)計(jì)原則進(jìn)行選擇和平衡，并排在其他設(shè)計(jì)方案中的優(yōu)先級(jí)，對(duì)網(wǎng)絡(luò)工程的設(shè)計(jì)和規(guī)劃具有指導(dǎo)意義。網(wǎng)絡(luò)建設(shè)原則要體現(xiàn)對(duì)用戶網(wǎng)絡(luò)技術(shù)和服務(wù)上的全面支持。這些原則應(yīng)該以用戶為中心，包括下面幾個(gè)方面。

1、可靠性原則

2、可擴(kuò)展性原則

3、可運(yùn)營(yíng)性原則

4、可管理原則

5、實(shí)用性原則

6、安全性原則

7、先進(jìn)性

Page

58

1.1.2網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃與設(shè)計(jì)的原則與方法

一般581.1.3網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃與設(shè)計(jì)相關(guān)理論知識(shí)

1、網(wǎng)絡(luò)規(guī)劃的主要步驟

實(shí)施網(wǎng)絡(luò)工程的首要工作就是要進(jìn)行規(guī)劃，深入細(xì)致的規(guī)劃是成功構(gòu)建網(wǎng)絡(luò)的一半。缺乏規(guī)劃的網(wǎng)絡(luò)必然是失敗的網(wǎng)絡(luò)，其穩(wěn)定性、擴(kuò)展性、安全性、可管理性沒有保證。通過科學(xué)合理的規(guī)劃能夠用最低的成本建立最佳的網(wǎng)絡(luò)，達(dá)到最高的性能，提供最優(yōu)的服務(wù)，對(duì)業(yè)務(wù)需求、網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)結(jié)構(gòu)、管理需要、增長(zhǎng)預(yù)測(cè)、安全要求、網(wǎng)絡(luò)互聯(lián)等指標(biāo)給出盡可能明確的定量或定性分析和估計(jì)。

(1)需求分析

需求分析是從軟件工程和管理信息系統(tǒng)引入的概念，是任何一個(gè)工程實(shí)施的第一個(gè)環(huán)節(jié)，也是關(guān)系到一個(gè)網(wǎng)絡(luò)工程成功與否的最重要砝碼。

⑵

綜合布線系統(tǒng)

綜合布線系統(tǒng)是網(wǎng)絡(luò)工程的基礎(chǔ)工程，它是一種模塊化的、靈活性極高的建筑物內(nèi)或建筑群之間的信息傳輸通道。綜合布線符合樓宇管理自動(dòng)化、辦公自動(dòng)化、通信自動(dòng)化和計(jì)算機(jī)網(wǎng)絡(luò)化等多種需要，能支持文本、語音、圖形、圖像、安全監(jiān)控、傳感等各種數(shù)據(jù)的傳輸，支持光纖、UTP、STP、同軸電纜等各種傳輸介質(zhì)，支持多用戶多類型產(chǎn)品的應(yīng)用，支持高速網(wǎng)絡(luò)的應(yīng)用。有關(guān)這方面的內(nèi)容將在第4章詳述。

⑶

設(shè)備選型

在完成需求分析、網(wǎng)絡(luò)設(shè)計(jì)與規(guī)劃之后，就可以結(jié)合網(wǎng)絡(luò)的設(shè)計(jì)功能要求選擇合適的傳輸介質(zhì)、集線器、路由器、服務(wù)器、網(wǎng)卡、配套設(shè)備等各種硬件設(shè)備。硬件設(shè)備選型應(yīng)遵從以下原則：必須綜合考慮網(wǎng)絡(luò)的先進(jìn)合理性、擴(kuò)展性和可管理性等要素；設(shè)備要既具有先進(jìn)性，又具有可擴(kuò)展性和技術(shù)成熟性。

Page

591.1.3網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃與設(shè)計(jì)相關(guān)理論知識(shí)

1、網(wǎng)絡(luò)規(guī)劃的59⑷

系統(tǒng)軟件及應(yīng)用系統(tǒng)

目前國(guó)內(nèi)流行的網(wǎng)絡(luò)操作系統(tǒng)有WindowsServer2019/2019、Linux(RedHat、Ubuntu)、UNIX等，它們的應(yīng)用層次各有不同。UNIX主要應(yīng)用于高端服務(wù)器環(huán)境，其操作系統(tǒng)的安全性能級(jí)別高于其他操作系統(tǒng)。UNIX通常被用在系統(tǒng)集成的后臺(tái)，用于管理數(shù)據(jù)服務(wù)。系統(tǒng)集成前臺(tái)或者一般的局域網(wǎng)環(huán)境可采用Linux和WindowsServer2019/2019等網(wǎng)絡(luò)操作系統(tǒng)，選用哪種操作系統(tǒng)，還要根據(jù)用戶的應(yīng)用環(huán)境來確定。另外，還要根據(jù)網(wǎng)絡(luò)操作系統(tǒng)及相關(guān)應(yīng)用環(huán)境來選擇數(shù)據(jù)庫(kù)系統(tǒng)等系統(tǒng)軟件。

⑸

投資預(yù)算

網(wǎng)絡(luò)投資預(yù)算包括硬件設(shè)備、軟件購(gòu)置、網(wǎng)絡(luò)工程材料、網(wǎng)絡(luò)工程施工、安裝調(diào)試、人員培訓(xùn)、網(wǎng)絡(luò)運(yùn)行維護(hù)等所需的費(fèi)用。需要仔細(xì)分析預(yù)算成本，考慮如何滿足應(yīng)用需求，又要把成本降到最低。

⑹

工程實(shí)施步驟

根據(jù)用戶的網(wǎng)絡(luò)應(yīng)用需求和用戶投資情況，分期分批制定網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和應(yīng)用系統(tǒng)開發(fā)的工作安排。

⑺

培訓(xùn)方案

計(jì)算機(jī)網(wǎng)絡(luò)是高新技術(shù)，建設(shè)單位不一定有足夠的技術(shù)人員。為了讓用戶能夠管理好、使用好計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，在設(shè)計(jì)方案時(shí)，必須列出詳細(xì)的網(wǎng)絡(luò)管理與維護(hù)人員的技術(shù)培訓(xùn)計(jì)劃。

⑻

測(cè)試與驗(yàn)收

網(wǎng)絡(luò)系統(tǒng)的測(cè)試與驗(yàn)收是保證工程質(zhì)量的關(guān)鍵步驟。測(cè)試與驗(yàn)收包括開工前的檢查、施工過程中的測(cè)試與驗(yàn)收以及竣工測(cè)試與驗(yàn)收3個(gè)階段。通過各個(gè)階段的測(cè)試與驗(yàn)收，可以及時(shí)發(fā)現(xiàn)工程中存在的問題，并由施工方立即糾正。測(cè)試與驗(yàn)收一般由用戶方、設(shè)計(jì)方、施工方和第三方人員組織。Page

60⑷系統(tǒng)軟件及應(yīng)用系統(tǒng)

目前國(guó)內(nèi)流行的網(wǎng)絡(luò)操作系統(tǒng)有Wind60

2、系統(tǒng)集成的含義

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)集成(ComputerNetworkSystemIntegration)通過結(jié)構(gòu)化的綜合布線系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，將各個(gè)分離的設(shè)備(如個(gè)人計(jì)算機(jī))、功能和信息等集成到相互關(guān)聯(lián)的、統(tǒng)一和協(xié)調(diào)的系統(tǒng)之中，使資源達(dá)到充分共享，實(shí)現(xiàn)集中、高效、便利的管理。系統(tǒng)集成應(yīng)采用功能集成、網(wǎng)絡(luò)集成、軟件界面集成等多種集成技術(shù)。

系統(tǒng)集成，從字面上講就是將各功能部分綜合、整合為統(tǒng)一的系統(tǒng)。系統(tǒng)集成的應(yīng)用含義要遠(yuǎn)遠(yuǎn)大于字面上的含義。系統(tǒng)集成包含以下5大要素：

(1)客戶行業(yè)知識(shí)要求對(duì)客戶所在行業(yè)的業(yè)務(wù)、組織結(jié)構(gòu)、現(xiàn)狀、發(fā)展，有較好的理解和掌握。

(2)應(yīng)用系統(tǒng)模式和技術(shù)解決方案以系統(tǒng)的高度為客戶需求提供應(yīng)用的系統(tǒng)模式，以及實(shí)現(xiàn)該系統(tǒng)模式的具體技術(shù)解決方案和運(yùn)作方案，即為用戶提供一個(gè)全面的系統(tǒng)解決方案。

(3)產(chǎn)品技術(shù)對(duì)原始廠商提供的產(chǎn)品的技術(shù)掌握系統(tǒng)集成商自有研發(fā)產(chǎn)品，包括應(yīng)用系統(tǒng)軟件的開發(fā)。

(4)項(xiàng)目管理對(duì)項(xiàng)目銷售、售前、工程、售后服務(wù)過程的統(tǒng)一的進(jìn)程和質(zhì)量的管理。

(5)服務(wù)隨著行業(yè)的健康發(fā)展和規(guī)范化，系統(tǒng)服務(wù)的質(zhì)量已逐漸成為重要參考點(diǎn)。Page

61

2、系統(tǒng)集成的含義

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)集成(Computer61

3、系統(tǒng)集成的重要內(nèi)涵

⑴

應(yīng)用集成

系統(tǒng)集成首先要做到的是應(yīng)用集成。應(yīng)用集成就是系統(tǒng)集成商要深入地了解用戶的實(shí)際需求，協(xié)助用戶進(jìn)行系統(tǒng)可行性分析、需求分析、總體方案設(shè)計(jì)、數(shù)據(jù)庫(kù)組織管理等，對(duì)用戶的需求重點(diǎn)、歷史情況、行業(yè)特點(diǎn)及投資預(yù)算都需有一個(gè)完整的了解，并將這些信息有機(jī)地體現(xiàn)在系統(tǒng)集成方案中。

⑵

產(chǎn)品功能集成

在應(yīng)用集成的基礎(chǔ)上，為保證用戶的應(yīng)用在有限資金預(yù)算內(nèi)得以順利實(shí)現(xiàn)，系統(tǒng)集成商需給出一個(gè)完整的軟硬件產(chǎn)品清單，從型號(hào)、功能、價(jià)格到選擇理由都需有清楚的說明，并且最好是有過使用該類產(chǎn)品的實(shí)際經(jīng)驗(yàn)。系統(tǒng)集成商會(huì)有很多的選擇，但不管如何配置，必須遵循兩條原則，下限是用戶的需求完全滿足，上限是在有限的資金預(yù)算內(nèi)。在這個(gè)范圍內(nèi)系統(tǒng)集成商之間就設(shè)備及價(jià)格的競(jìng)爭(zhēng)才是有意義的。

⑶

技術(shù)集成

一張?jiān)O(shè)備采購(gòu)清單不等于系統(tǒng)集成。對(duì)用戶的需求及設(shè)備的技術(shù)支持，是技術(shù)集成。一個(gè)系統(tǒng)集成商真正的技術(shù)也就是技術(shù)集成。用戶最終需要的不是看設(shè)備的陳列，而是看系統(tǒng)的良好運(yùn)轉(zhuǎn)。

因此，一個(gè)好的系統(tǒng)集成商應(yīng)該能向用戶提供全面的應(yīng)用集成、產(chǎn)品功能集成及技術(shù)集成服務(wù)。Page

62

3、系統(tǒng)集成的重要內(nèi)涵

⑴應(yīng)用集成

系統(tǒng)集成首先要做到的621.1.4網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃與設(shè)計(jì)相關(guān)實(shí)踐知識(shí)

1、局域網(wǎng)設(shè)計(jì)

以太網(wǎng)技術(shù)是目前局域網(wǎng)設(shè)計(jì)的主要選擇。當(dāng)然在一些特殊場(chǎng)合還可能用到FDDI、ATM或者幾種技術(shù)的混合應(yīng)用。網(wǎng)絡(luò)技術(shù)的發(fā)展比較迅速，所以，在進(jìn)行局域網(wǎng)設(shè)計(jì)時(shí)要注重以后網(wǎng)絡(luò)升級(jí)時(shí)還能夠使用現(xiàn)有的網(wǎng)絡(luò)技術(shù)和產(chǎn)品，否則將會(huì)帶來極大的資金浪費(fèi)。

以太網(wǎng)技術(shù)就實(shí)現(xiàn)了技術(shù)的平滑升級(jí)。目前使用的有10Mb/s、100Mb/s、1Gb/s、10Gb/s的以太網(wǎng)4種。一般來說，目前連接桌面的網(wǎng)絡(luò)大多是100Mb/s以太網(wǎng)，關(guān)鍵是網(wǎng)絡(luò)主干的選擇，應(yīng)根據(jù)用戶的計(jì)算機(jī)及網(wǎng)絡(luò)的應(yīng)用水平、業(yè)務(wù)需求、技術(shù)條件和費(fèi)用預(yù)算等，選擇合理的以太網(wǎng)技術(shù)，目前校園網(wǎng)絡(luò)的主干技術(shù)大多已選擇10Gb/s以太網(wǎng)技術(shù)，從而形成10Gb/s-1Gb/s-100Mb/s的分層網(wǎng)絡(luò)結(jié)構(gòu)。Page

631.1.4網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃與設(shè)計(jì)相關(guān)實(shí)踐知識(shí)

1、局域網(wǎng)設(shè)計(jì)632、網(wǎng)絡(luò)的層次化結(jié)構(gòu)設(shè)計(jì)

大型網(wǎng)絡(luò)的設(shè)計(jì)是把整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層。

圖1網(wǎng)絡(luò)層次劃分

Page

642、網(wǎng)絡(luò)的層次化結(jié)構(gòu)設(shè)計(jì)

大型網(wǎng)絡(luò)的設(shè)計(jì)是把整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)劃64接入層：通常將網(wǎng)絡(luò)中直接面向用戶連接或訪問網(wǎng)絡(luò)的部分稱為接入層。接入層目的是允許終端用戶連接到網(wǎng)絡(luò)，提供了帶寬共享、交換帶寬、MAC層過濾和網(wǎng)段劃分等功能。同時(shí)優(yōu)先級(jí)設(shè)定和帶寬交換、接入控制等優(yōu)化網(wǎng)絡(luò)資源的設(shè)置也在接入層完成。

匯聚層：位于接入層和核心層之間的部分稱為分布層或匯聚層。匯聚層網(wǎng)絡(luò)組件完成了數(shù)據(jù)包處理、過濾、尋址、策略增強(qiáng)和其他數(shù)據(jù)處理的任務(wù)。

核心層：網(wǎng)絡(luò)主干部分稱為核心層。核心層的主要目的在于通過高速轉(zhuǎn)發(fā)通信，提供可靠的骨干傳輸結(jié)構(gòu)，因此核心層交換機(jī)應(yīng)擁有更高的可靠性，更快速率的鏈路連接技術(shù)，并且能快速適應(yīng)網(wǎng)絡(luò)的變化。Page

65接入層：通常將網(wǎng)絡(luò)中直接面向用戶連接或訪問網(wǎng)絡(luò)的部分稱為接入65

3、地址分配設(shè)計(jì)

在網(wǎng)絡(luò)規(guī)劃中，IP地址方案的設(shè)計(jì)至關(guān)重要，好的IP地址方案不僅可以減少網(wǎng)絡(luò)負(fù)荷，還能為以后的網(wǎng)絡(luò)擴(kuò)展打下良好的基礎(chǔ)。具體內(nèi)容我們?cè)凇熬W(wǎng)絡(luò)IP地址規(guī)劃與分配”中有詳細(xì)介紹。

(1)IP地址分配和管理應(yīng)遵循的原則

①

唯一性

②

可記錄性

③

可聚集性

④

節(jié)約性

⑤

公平性

⑥

可擴(kuò)展性

(2)IP地址的劃分方法

①

根據(jù)地理范圍進(jìn)行劃分，為在地理上屬于同一范圍的所有子網(wǎng)分配共同的網(wǎng)絡(luò)前綴。

②

根據(jù)組織范圍進(jìn)行劃分，為屬于同一組織的所有團(tuán)體分配共同的網(wǎng)絡(luò)前綴。

③

根據(jù)服務(wù)類型進(jìn)行劃分，為預(yù)定義好的服務(wù)(如：VoIP，QoS等)分配特定的網(wǎng)絡(luò)前綴。Page

66

3、地址分配設(shè)計(jì)

在網(wǎng)絡(luò)規(guī)劃中，IP地址方案的設(shè)計(jì)至關(guān)重要66

4、網(wǎng)絡(luò)性能設(shè)計(jì)

網(wǎng)絡(luò)性能設(shè)計(jì)的目標(biāo)是使網(wǎng)絡(luò)系統(tǒng)能夠滿足用戶應(yīng)用對(duì)網(wǎng)絡(luò)各個(gè)方面的需求。為了避免網(wǎng)絡(luò)建成后可能出現(xiàn)的各種性能問題，網(wǎng)絡(luò)的可靠性和冗余在設(shè)計(jì)中都要考慮周到。冗余設(shè)計(jì)有以下幾種方法：

(1)增加線路、設(shè)備、部件，形成備份

硬件容錯(cuò)方法之一是硬件堆積冗余，在物理級(jí)可通過元件的重復(fù)而獲得。另一個(gè)硬件容錯(cuò)的方法叫待命儲(chǔ)備冗余。該系統(tǒng)中共有M＋1個(gè)模塊，其中只有一塊處于工作狀態(tài)，其余M塊都處于待命接替狀態(tài)。一旦工作模塊出了故障，立刻切換到一個(gè)待命模塊，當(dāng)換上的儲(chǔ)備模塊發(fā)生故障時(shí)，又切換到另一儲(chǔ)備模塊，直到資源枯竭。

(2)數(shù)據(jù)備份

為了更有效地利用信息，通常把常用的信息放在聯(lián)機(jī)的硬盤或磁盤陣列等設(shè)備上，組成聯(lián)機(jī)的資料庫(kù)，把不常用的、但有時(shí)又要檢索的信息，放在聯(lián)機(jī)的后備設(shè)備如磁帶庫(kù)、光盤庫(kù)上。而大量的長(zhǎng)時(shí)間不使用的信息，則保存在脫機(jī)介質(zhì)上脫機(jī)備份。

(3)雙機(jī)容錯(cuò)系統(tǒng)

系統(tǒng)的容錯(cuò)結(jié)構(gòu)能夠提供系統(tǒng)連續(xù)運(yùn)行的能力，任何單點(diǎn)故障不會(huì)引起系統(tǒng)停機(jī)。雙機(jī)容錯(cuò)系統(tǒng)的一個(gè)CPU板出現(xiàn)故障時(shí)，其他CPU板保持繼續(xù)運(yùn)行，這個(gè)過程對(duì)用戶是透明的，系統(tǒng)沒有受到絲毫影響，更不會(huì)引起交易的丟失，充分保證數(shù)據(jù)的一致性和完整性。

(4)三機(jī)表決系統(tǒng)

在三機(jī)表決系統(tǒng)中，3臺(tái)主機(jī)同時(shí)運(yùn)行，由表決器根據(jù)3臺(tái)機(jī)器的運(yùn)行結(jié)果進(jìn)行表決，有兩個(gè)以上的機(jī)器運(yùn)行結(jié)果相同，則認(rèn)定該結(jié)果為正確?，F(xiàn)在三機(jī)系統(tǒng)中較多采用的是將雙機(jī)備份和三機(jī)表決兩者結(jié)合起來的方式，當(dāng)三機(jī)中壞掉一臺(tái)后就當(dāng)作雙機(jī)備份系統(tǒng)來用。

(5)集群系統(tǒng)

均衡負(fù)載的雙機(jī)或多機(jī)系統(tǒng)就是集群系統(tǒng)(Clusting)。多服務(wù)器集群系統(tǒng)的主要目的是使用戶的應(yīng)用獲得更高的速度、更好的平衡和通信能力，而不僅僅是數(shù)據(jù)可靠性很好的備份系統(tǒng)。Page

67

4、網(wǎng)絡(luò)性能設(shè)計(jì)

網(wǎng)絡(luò)性能設(shè)計(jì)的目標(biāo)是使網(wǎng)絡(luò)系統(tǒng)能夠滿足用675、網(wǎng)絡(luò)安全設(shè)計(jì)

網(wǎng)絡(luò)安全設(shè)計(jì)主要體現(xiàn)在4個(gè)方面：重要信息的保密性設(shè)計(jì)、網(wǎng)絡(luò)系統(tǒng)的安全性設(shè)計(jì)、數(shù)據(jù)安全設(shè)計(jì)、病毒防護(hù)設(shè)計(jì)。

圖2計(jì)算機(jī)群集管理系統(tǒng)

Page

685、網(wǎng)絡(luò)安全設(shè)計(jì)

網(wǎng)絡(luò)安全設(shè)計(jì)主要體現(xiàn)在4個(gè)方面：重要信息的68⑴

信息保密設(shè)計(jì)

在網(wǎng)絡(luò)操作系統(tǒng)或防火墻中建立網(wǎng)絡(luò)CA系統(tǒng)，構(gòu)建基于PKI的鑒別及證書系統(tǒng)，為應(yīng)用安全系統(tǒng)提供鑒別和證書及密鑰分發(fā)等基本安全服務(wù)，設(shè)置口令加密傳輸和對(duì)重要數(shù)據(jù)進(jìn)行鏈路層數(shù)據(jù)加密措施。

在服務(wù)器設(shè)置監(jiān)測(cè)和自動(dòng)恢復(fù)功能，并建立審計(jì)記錄，提供針對(duì)用戶網(wǎng)絡(luò)操作的監(jiān)視和統(tǒng)計(jì)，對(duì)用戶身份和活動(dòng)進(jìn)行審計(jì)，對(duì)信息資源的訪問進(jìn)行控制及計(jì)費(fèi)等。

在網(wǎng)絡(luò)交換及路由設(shè)備中設(shè)置三層交換協(xié)議，即路由功能，對(duì)不同網(wǎng)絡(luò)區(qū)域的用戶和不同網(wǎng)段的用戶進(jìn)行身份和權(quán)限設(shè)置，對(duì)信息資源的訪問進(jìn)行級(jí)別控制。

⑵

網(wǎng)絡(luò)系統(tǒng)的安全設(shè)計(jì)

要解決外部網(wǎng)的用戶對(duì)系統(tǒng)的威脅，內(nèi)部網(wǎng)用戶對(duì)系統(tǒng)的泄密等問題?？梢赃M(jìn)行如下安全設(shè)計(jì)：

安全策略的制定、實(shí)施及修改

抵御非法用戶對(duì)局域網(wǎng)的攻擊

控制內(nèi)部用戶對(duì)外部的訪問

對(duì)網(wǎng)絡(luò)傳輸?shù)男畔?nèi)容的檢查

軟硬件防火墻的設(shè)置

遠(yuǎn)程用戶帳號(hào)和數(shù)據(jù)加密傳輸，以防外人竊取

⑶

數(shù)據(jù)安全設(shè)計(jì)

網(wǎng)絡(luò)控制中心服務(wù)器的性能好壞直接關(guān)系到網(wǎng)絡(luò)信息訪問速度及數(shù)據(jù)文件的安全。對(duì)數(shù)據(jù)安全部分采用雙機(jī)熱備份、磁盤冗余陣列(RAID)、磁帶機(jī)備份等多種手段，確保數(shù)據(jù)的安全。

雙機(jī)熱備份可采用雙機(jī)雙控的服務(wù)器集群技術(shù)，保障操作系統(tǒng)及數(shù)據(jù)系統(tǒng)平臺(tái)的高可靠性、高安全性、高可用性、抗災(zāi)難性。

⑷

病毒防護(hù)設(shè)計(jì)

為了防止病毒對(duì)系統(tǒng)安全的威脅，選用性能優(yōu)越的網(wǎng)絡(luò)版殺毒軟件負(fù)責(zé)內(nèi)部網(wǎng)絡(luò)系統(tǒng)服務(wù)器及單機(jī)的病毒防護(hù)、查殺工作。同時(shí)利用防火墻的設(shè)置對(duì)病毒的入侵進(jìn)行有效的防范。Page

69⑴信息保密設(shè)計(jì)

在網(wǎng)絡(luò)操作系統(tǒng)或防火墻中建立網(wǎng)絡(luò)CA系統(tǒng)，696、網(wǎng)絡(luò)操作系統(tǒng)的選擇

在選擇網(wǎng)絡(luò)操作系統(tǒng)需要較為嚴(yán)格的安全保密等。

下面給出幾種網(wǎng)絡(luò)操時(shí)，首先要分析系統(tǒng)未來運(yùn)行的應(yīng)用程序：是簡(jiǎn)單短小的，還是龐大復(fù)雜的；系統(tǒng)是否作系統(tǒng)的特點(diǎn)：

⑴BanyanSystem公司的VINES(VirtualNetWorkingSystems)

美國(guó)BanyanSystem公司的產(chǎn)品，其特點(diǎn)是安裝及管理簡(jiǎn)單，可靠性高。支持對(duì)稱多處理技術(shù)，充分利用硬件處理能力，速度快。對(duì)于一臺(tái)服務(wù)器上的并發(fā)用戶和打開文件的數(shù)目沒有限制，支持多服務(wù)器，與WAN具有極強(qiáng)的聯(lián)網(wǎng)能力。VINES的技術(shù)特色已得到廣大用戶的認(rèn)可，但還存在一定的局限性：多種平臺(tái)的可移植性差、容錯(cuò)能力不足、與其他PC操作系統(tǒng)的集成能力較低、所占市場(chǎng)份額較小。

⑵Microsoft的WindowsServer2019/2019

WindowsServer2019/2019的特點(diǎn)是：硬件的獨(dú)立性較強(qiáng)，網(wǎng)絡(luò)操作系統(tǒng)能在不同的硬件平臺(tái)上運(yùn)行；具有強(qiáng)大的管理特性，如系統(tǒng)備份、容錯(cuò)性能控制等。

WindowsServer2019/2019是一個(gè)高性能的客戶/服務(wù)器應(yīng)用平臺(tái)，支持多種網(wǎng)絡(luò)協(xié)議，具有Cz級(jí)安全性，具有目錄服務(wù)功能；通過域(domain)的概念來對(duì)用戶資源進(jìn)行控制，并提供簡(jiǎn)單的方法來控制用戶對(duì)網(wǎng)絡(luò)的訪問；具有良好的用戶界面，支持多窗口操作；具有自動(dòng)再連接特性，即當(dāng)服務(wù)器從故障中恢復(fù)正常時(shí)，能重新建立與工作站的通信。WindowsServer2019/2019對(duì)硬件的要求較高，所占的內(nèi)存較大。Page

706、網(wǎng)絡(luò)操作系統(tǒng)的選擇

在選擇網(wǎng)絡(luò)操作系統(tǒng)需要較為嚴(yán)格的安全70

⑶Novell公司的NetWare

NetWare是一個(gè)真正的網(wǎng)絡(luò)操作系統(tǒng)，而不是其他操作系統(tǒng)下的應(yīng)用程序。它直接對(duì)微處理器編程，因而伴隨著最新的微處理器一起發(fā)展，充分利用微處理器的高性能，從而達(dá)到高效的服務(wù)。

NetWare的特點(diǎn)是支持各種硬件，支持多種網(wǎng)絡(luò)平臺(tái)的互聯(lián)，如DOS、OS/2、Windows、Macintosh等具有廣泛的網(wǎng)絡(luò)互聯(lián)性能。Novell提供內(nèi)橋、外橋、遠(yuǎn)程橋等多種互聯(lián)選件，從而將具有相同或不同的網(wǎng)絡(luò)接口卡、不同協(xié)議和不同拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)連接起來。另外還具有出色的容錯(cuò)特性，NetWare提供一、二、三級(jí)容錯(cuò)。整體系統(tǒng)的保密、安全性好。NetWare4.0以后的版本提供的目錄服務(wù)，將更好地支持多服務(wù)器網(wǎng)絡(luò)，實(shí)現(xiàn)單一的全局的系統(tǒng)管理。

⑷UNIX

UNIX是一個(gè)多用戶、多任務(wù)的操作系統(tǒng)。UNIX已發(fā)展為兩個(gè)重要的分支，一分支是AT&T公司的UNIXSystemV，在微機(jī)上主要采用該版本；另一分支是UNIX伯克利版本(BSD)，主要運(yùn)行于大、中型機(jī)上。

UNIX操作系統(tǒng)可以運(yùn)行在從PC到超級(jí)計(jì)算機(jī)的非常廣泛的服務(wù)器平臺(tái)上，并支持網(wǎng)絡(luò)文件系統(tǒng)(NFS)和提供數(shù)據(jù)庫(kù)應(yīng)用。局域網(wǎng)操作系統(tǒng)能夠運(yùn)行在UNIX環(huán)境的服務(wù)器上，許多基于UNIX系統(tǒng)的計(jì)算機(jī)廠家擁有功能強(qiáng)大、升級(jí)方便的服務(wù)器系列，隨著UNIX廠家的聯(lián)合，將使UNIX網(wǎng)絡(luò)服務(wù)器平臺(tái)在今后的市場(chǎng)上更加引人注目。