中小型企業(yè)網(wǎng)絡(luò)構(gòu)建畢業(yè)論文.doc

《中小型企業(yè)網(wǎng)絡(luò)構(gòu)建畢業(yè)論文.doc》由會員分享，可在線閱讀，更多相關(guān)《中小型企業(yè)網(wǎng)絡(luò)構(gòu)建畢業(yè)論文.doc（44頁珍藏版）》請在裝配圖網(wǎng)上搜索。

Xxxx大學 畢業(yè)設(shè)計（論文） 論文題目：中小型企業(yè)網(wǎng)絡(luò)構(gòu)建 論文題目：Small and medium-sized enterprise network design 作者姓名: 王 所在系部: 系 班級名稱: 網(wǎng) 絡(luò) 指導教師: 徐 2014 年 4 月 畢業(yè)論文設(shè)計書 1． 設(shè)計主要任務(wù) 該設(shè)計主要是要求學生全部運用所學的基礎(chǔ)理論和專業(yè)理論知識,針對目前企業(yè)網(wǎng)絡(luò)技術(shù)需求,設(shè)計某企業(yè)網(wǎng)絡(luò)的方案,繪制網(wǎng)絡(luò)拓撲結(jié)構(gòu),完成IP地址的規(guī)劃,通過市場調(diào)研完成設(shè)備的選型,結(jié)合網(wǎng)絡(luò)架構(gòu)的方案以及所選擇的設(shè)備,完成該企業(yè) 的網(wǎng)絡(luò)方案的實施。 2. 設(shè)計(論文)的主要內(nèi)容 此項畢業(yè)設(shè)計要求包括從網(wǎng)絡(luò)架構(gòu)方案的提出一直到網(wǎng)絡(luò)架構(gòu)方案的實施。 (1) 需求分析 根據(jù)當前網(wǎng)絡(luò)技術(shù)的發(fā)展狀況,結(jié)合企業(yè)的網(wǎng)絡(luò)需求,設(shè)計某企業(yè)的網(wǎng)絡(luò)需求,設(shè)計某企業(yè)的網(wǎng)絡(luò)架構(gòu)方案。 (2) IP地址的規(guī)劃 根據(jù)企業(yè)信息點的分布狀況,繪制網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖,完成IP地址的規(guī)劃。 (3) 設(shè)備選型 通過市場調(diào)研結(jié)合企業(yè)網(wǎng)絡(luò)架構(gòu)方案,完成設(shè)備選型。 (4) 網(wǎng)絡(luò)架構(gòu)方案的實施 根據(jù)網(wǎng)絡(luò)架構(gòu)的方案以及選擇的網(wǎng)絡(luò)設(shè)備,提出一整套網(wǎng)絡(luò)實施的方案。 (5) 總結(jié) 簡述在企業(yè)網(wǎng)絡(luò)架構(gòu)過程中出現(xiàn)的問題以及解決的方案,對未來網(wǎng)絡(luò)發(fā)展的展望。 3.設(shè)計(論文)的基本要求 (1)論文格式要符合規(guī)范 (2)提供完整的源程序 (3)至少提供10篇參考文獻(書籍 期刊 網(wǎng)址等) 4．主要參考文獻 王衛(wèi)紅 李小明.計算機網(wǎng)路與互聯(lián)網(wǎng).機械出版社 張福祥.計算機網(wǎng)絡(luò)基礎(chǔ).中國電力出版社 周躍東.計算機網(wǎng)絡(luò)工程.西安電子科技大學出版社 5.畢業(yè)設(shè)計(論文)時間安排 第一周 資料收集整理 第二周 收集資料 寫初稿 第三周 論文初稿的中級檢查 論文修改 第四周 論文后期修改及完善修改 摘 要 信息化浪潮風起云涌的今天，企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提升企業(yè)核心競爭力的關(guān)鍵因素。企業(yè)網(wǎng)已經(jīng)越來越多地被人們提到，利用網(wǎng)絡(luò)技術(shù)，現(xiàn)代企業(yè)可以在供應(yīng)商、客戶、合作伙伴、員工之間實現(xiàn)優(yōu)化的信息溝通。這直接關(guān)系到企業(yè)能否獲得關(guān)鍵的競爭優(yōu)勢。近年來越來越多的企業(yè)都在加快構(gòu)建自身的信息網(wǎng)絡(luò)，而其中絕大多數(shù)都是中小企業(yè)。目前我國企業(yè)尤其是中小型企業(yè)網(wǎng)絡(luò)建設(shè)正在如火如荼的進行著，本文以中小型企業(yè)內(nèi)部局域網(wǎng)的組建需求、實際管理為出發(fā)點，從中小型企業(yè)局域網(wǎng)的管理需求和傳統(tǒng)局域網(wǎng)技術(shù)入手，研究了局域網(wǎng)技術(shù)在企業(yè)管理中的應(yīng)用。 關(guān)鍵詞：組網(wǎng);拓撲;設(shè)備選型;IP規(guī)劃;配置命令;網(wǎng)絡(luò)布局;網(wǎng)絡(luò)維護; 網(wǎng)絡(luò)安全 Abstract The wave of information surging today, the enterprise network has become the core competitiveness of enterprises to enhance the key factor. Net more and more enterprises have been many people mentioned that the use of network technology, the modern enterprise can be suppliers, customers, partners, employees achieve optimal communication and information. This is directly related to the availability of key enterprise competitive advantage. In recent years more and more and more enterprises are speeding up the information to build their own networks, the vast majority of which are SMEs. Chinas enterprises, especially small and medium-sized construction enterprise network is currently undergoing major regeneration, to small and medium-sized enterprises in this article the formation of the internal local area network needs, the actual management as a starting point, from the management of small and medium-sized enterprise LAN LAN technology needs and the traditional approach to study the local area network technology in the enterprise management applications. Key words： networking;topology;Equipment selection ;IP planning;onfigure command;Network layout ; Network maintenance ;security of network 目 錄 第一章 緒 論 - 3 - 第二章 需求分析 - 5 - 2.1企業(yè)對網(wǎng)絡(luò)的需求情況 - 5 - 2.2用戶需求分析 - 5 - 2.3案例分析 - 6 - 2.3.1 設(shè)備選型 - 6 - 2.3．2各設(shè)備產(chǎn)品介紹： - 7 - 第三章 網(wǎng)絡(luò)布局和綜合布線 - 9 - 3.1 網(wǎng)絡(luò)布局的原則 - 9 - 3.2 網(wǎng)絡(luò)布局的具體實施要求 - 10 - 3.3 網(wǎng)絡(luò)布局的規(guī)劃與設(shè)計 - 11 - 第四章 IP規(guī)劃與配置 - 16 - 4.1 IP地址規(guī)劃 - 16 - 4.2網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖 - 16 - 4.3 配置需求及解決方案 - 17 - 4.3.1配置路由器 - 17 - 4.3.2配置交換機 - 21 - 4.3.3配置ACL - 23 - 第五章 網(wǎng)絡(luò)維護、安全控制 - 27 - 5.1網(wǎng)絡(luò)維護 - 27 - 5.2局域網(wǎng)安全威脅分析 - 28 - 5.3局域網(wǎng)安全控制 - 31 - 第六章 結(jié)論 - 36 - 參考文獻 - 37 - 致謝 - 38 - 第一章 緒 論 隨著經(jīng)濟社會的發(fā)展，我國中小企業(yè)數(shù)量與日俱增。然而，一個企業(yè)要不斷發(fā)展壯大，除了要有自身產(chǎn)品的優(yōu)化，還需要一個完善的企業(yè)信息管理系統(tǒng)。企業(yè)的信息化，是企業(yè)如何應(yīng)對瞬息萬變、競爭激烈的國內(nèi)外市場環(huán)境以及如何利用網(wǎng)絡(luò)技術(shù)迅速提升企業(yè)核心競爭力為企業(yè)成敗的關(guān)鍵。 在本論文中所構(gòu)建的中小型企業(yè)網(wǎng)最終必須是一個集計算機網(wǎng)絡(luò)技術(shù)、多項信息管理、辦公自動化和信息發(fā)布等功能于一體的綜合信息平臺,并能夠有效促進現(xiàn)有的管理體制和管理方法,提高企業(yè)辦公質(zhì)量和效率。中小型企業(yè)的信息化建設(shè)工程通常有規(guī)模小、結(jié)構(gòu)簡單的特點，綜合資金投入、專業(yè)人才以及未來發(fā)展等因素，網(wǎng)絡(luò)實用性、安全性與拓展性（升級改造能力）是中小型企業(yè)實現(xiàn)信息化建設(shè)的主要要求，局域網(wǎng)內(nèi)進行信息交流包括發(fā)布通知, 安排日程表、工作計劃,提交工作總結(jié),進行信息匯總等也是企業(yè)的要求。加強各公司內(nèi)各分區(qū)的業(yè)務(wù)和技術(shù)聯(lián)系，提高工作效率，實現(xiàn)資源共享，降低運作及管理成本,公司有必要建立企業(yè)內(nèi)部局域網(wǎng)。局域網(wǎng)要求建設(shè)基于TCP/IP協(xié)議和WWW技術(shù)規(guī)范的企業(yè)內(nèi)部非公開的信息管理和交換平臺，該平臺以WEB為核心，集成WEB、文件共享、信息資源管理等服務(wù)功能，實現(xiàn)公司員工在不同地域?qū)?nèi)部網(wǎng)的訪問。 因此，成本低廉、可靠、易用，降低網(wǎng)絡(luò)的使用和維護成本、提高產(chǎn)品的性能價格比并能滿足業(yè)務(wù)運用需要的網(wǎng)絡(luò)辦公環(huán)境是這一領(lǐng)域的真正需求。針對絕多數(shù)中小型企業(yè)集中辦公這一現(xiàn)實特點，組建一個適合中小企業(yè)需求的高性價比實用的網(wǎng)絡(luò)是十分有實際意義的。 第二章 需求分析 2.1企業(yè)對網(wǎng)絡(luò)的需求情況 在這信息化社會，網(wǎng)絡(luò)是支撐企業(yè)各種業(yè)務(wù)的基礎(chǔ)設(shè)施。因此構(gòu)建網(wǎng)絡(luò)者在規(guī)劃設(shè)計網(wǎng)絡(luò)前，首先要清楚企業(yè)的現(xiàn)階段及未來的需求。經(jīng)過對該企業(yè)的分析，預計企業(yè)在未來幾年的發(fā)展趨勢，適當?shù)念A留一定的升級空間方便新用戶的接入，其中包括網(wǎng)絡(luò)設(shè)備支持升級其他應(yīng)用設(shè)備的接入，全面實現(xiàn)計算機資源共享。對于局域網(wǎng)中的各種資源,通過設(shè)置網(wǎng)絡(luò)用戶的共享權(quán)限,讓他成為網(wǎng)絡(luò)共享資源，從而實現(xiàn)企業(yè)的信息化。 2.2用戶需求分析 構(gòu)建企業(yè)網(wǎng)絡(luò)最終是為了實現(xiàn)用戶的需求，用戶的需求主要包括可靠性、可用性、可升級性、安全性、及時性以及響應(yīng)時間。企業(yè)的用戶群包括管理層，普通用戶群的也用代表，經(jīng)調(diào)查，“快”是多數(shù)用戶對網(wǎng)絡(luò)響應(yīng)的要求，其中包括下載速度、連接速度等，我們將為核心設(shè)備提供冗余，以盡量保障系統(tǒng)的99.95%的可靠性，同時我們將根據(jù)企業(yè)的需求，為用戶提供遠程登錄，文件傳輸服務(wù)，在年底企業(yè)統(tǒng)計全年信息時候會出現(xiàn)企業(yè)通訊高峰時間，我們的服務(wù)器將以滿足高峰期通訊為基礎(chǔ)選型的。當然我們將提供防火墻等安全設(shè)備，保障用戶信息，物理資源的機密性，網(wǎng)整性和確實性，提供一定的數(shù)據(jù)加密、自動備份、發(fā)生問題的恢復等。當然也包括網(wǎng)絡(luò)應(yīng)提供的服務(wù)資源共享、辦公自動化、遠程控制、電子郵件、www應(yīng)用等。 2.3案例分析 現(xiàn)以南京網(wǎng)亞計算機有限公司為實例，因為一些客觀因素，該公司分布在兩棟樓，并且都在底層，主要分別用來做軟件的售后服務(wù)、研發(fā)和財務(wù)/人事部門。這些部分分別叫勤業(yè)部、研發(fā)部和行政部。兩棟樓之間距離少于100米，其中研發(fā)部和行政部在同一棟樓中。研發(fā)部占兩層，共有15臺電腦分布在各個辦公室中，具體分布是一層5臺，二層10臺，第三層是行政部，有5臺電腦；勤業(yè)部分兩層，共有30臺電腦，其中在研發(fā)部那棟樓需配置網(wǎng)絡(luò)打印機。 2.3.1 設(shè)備選型 表2-1 設(shè)備選型 序號 設(shè)備名稱 規(guī)格 單位 數(shù)量 單價（元） 合價（元） 1 核心交換機 DCRS-9808(R3) 臺 1 140，000 140，000 2 交 換 機 DCS-4500-50T(R3) 臺 2 21，120 182，240 3 路 由 器 Cisco DCR 282 臺 1 14，500 196，740 4 網(wǎng)管軟件 LinkManager-50NM-License 臺 1 34,400 231，140 5 防火墻 DCFW-1800S-V2(R3) 臺 1 39，200 270，340 6 機柜 DC-PDU-KLW 臺 3 1，124 273，712 2.3．2各設(shè)備產(chǎn)品介紹： 1、DCRS-9808(R3)核心交換機：12插槽多業(yè)務(wù)核心路由交換機， 2槽管理引擎（超級模塊）或4槽管理引擎(標準模塊)，最大可插8個標準業(yè)務(wù)模塊或4個超級業(yè)務(wù)模塊或超級標準模塊混合，支持冗余供電,標配1個MRS-9800-AC(R3)電源。 2、DCS-4500-50T(R3)交換機：全千兆智能安全交換機50/10/100/1000Base-T＋4口千兆SFP(Combo)接口【R3版本為黑色風格機箱】。 3、Cisco DCR 282路由器：模塊化路由器。6個網(wǎng)絡(luò)/語音模塊插槽, 1個配置口，1個AUX口，2個10/100/1000M以太網(wǎng)端口（RJ45接口），內(nèi)置硬件加密。 4、LinkManager-50NM-License網(wǎng)管軟件：LinkManager網(wǎng)絡(luò)管理系統(tǒng)V1.0(50NM-50N)。網(wǎng)管專業(yè)版平臺，50節(jié)點。功能：支持網(wǎng)絡(luò)拓撲發(fā)現(xiàn)、資源管理、設(shè)備管理、終端管理、性能管理、故障分析、異常流量監(jiān)測、服務(wù)器管理、WEB監(jiān)控等。 5、DCFW-1800S-V2(R3)防火墻：8個10/100/1000M以太網(wǎng)電口；1U標準機箱。 6、DC-PDU-KLW機柜：克萊沃6位PDU，除提供雷電消除器(SPD) 、過載保護器等功能，還具備高載流、防誤插、高精度插拔等高可靠電氣性能。 第三章 網(wǎng)絡(luò)布局和綜合布線 在構(gòu)建公司網(wǎng)絡(luò)時，我們根據(jù)組網(wǎng)經(jīng)費的多少來務(wù)實地規(guī)劃與設(shè)計網(wǎng)絡(luò)；在采購好網(wǎng)絡(luò)設(shè)備和服務(wù)器等設(shè)備后，如何對辦公地點進行合理的網(wǎng)絡(luò)布局與布線，是致關(guān)重要的。網(wǎng)絡(luò)布局主要是指企業(yè)網(wǎng)里的網(wǎng)絡(luò)設(shè)備、服務(wù)器等設(shè)備如何放置，它們又與網(wǎng)絡(luò)布線如何相處，總之網(wǎng)絡(luò)布局要考慮周全。 3.1 網(wǎng)絡(luò)布局的原則 1. 實用性 企業(yè)組建的局域網(wǎng)應(yīng)當根據(jù)設(shè)備的多少來具體實施，網(wǎng)絡(luò)布線的特點決定了網(wǎng)絡(luò)布局實用性。 2. 全面性 組網(wǎng)過程中，網(wǎng)絡(luò)、服務(wù)器等設(shè)備放置位置應(yīng)當統(tǒng)籌兼顧，網(wǎng)絡(luò)布局要考慮周全，盡量讓各種設(shè)備和布線系統(tǒng)處于合理的位置。 3. 可靠性 組網(wǎng)無論怎樣布局，最終的目的是保證我們的局域網(wǎng)的所有設(shè)備能可靠穩(wěn)定地運行，使得網(wǎng)絡(luò)能正常運轉(zhuǎn)。 4. 便于維護與升級 網(wǎng)絡(luò)的組網(wǎng)不是一成不變的，隨著IT企業(yè)業(yè)務(wù)的不斷發(fā)展的需求，原先組建的局域網(wǎng)就需要不斷地完善和擴充；在日常的網(wǎng)絡(luò)運行維護中，規(guī)劃網(wǎng)絡(luò)布局時就應(yīng)該考慮到便于以后網(wǎng)絡(luò)的維護與升級操作。 3.2 網(wǎng)絡(luò)布局的具體實施要求 對于有線局域網(wǎng)來說，這是我們目前企業(yè)網(wǎng)絡(luò)建設(shè)中，經(jīng)常會遇到的，需要對研發(fā)部、行政部和勤業(yè)部進行布線。規(guī)劃網(wǎng)絡(luò)布局要考慮到企業(yè)設(shè)備布局和布線系統(tǒng)的合理搭配。因此我們首先要規(guī)劃與設(shè)計好布線系統(tǒng)，然后再全面地考慮網(wǎng)絡(luò)的布局。 5. 3.2.1布線系統(tǒng)的規(guī)劃與設(shè)計 有了好的企業(yè)網(wǎng)絡(luò)，網(wǎng)絡(luò)設(shè)備就有了好的“家”，組建的IT網(wǎng)絡(luò)應(yīng)當通過布線系統(tǒng)將三個辦公區(qū)域互聯(lián)起來，確保網(wǎng)絡(luò)的正常運行。如果企業(yè)的接入點較多，我們可以采取接入層、匯聚層、交換層三個網(wǎng)絡(luò)層次的設(shè)計，在此基礎(chǔ)上進行布線系統(tǒng)。 對于接入層來說，選擇一個合理的接入設(shè)備，是最關(guān)鍵的，而且我們要根據(jù)接入設(shè)備選擇合適的帶寬。匯聚層是整個局域網(wǎng)的核心部分，匯聚層網(wǎng)絡(luò)設(shè)備一般支持網(wǎng)絡(luò)管理功能，方便我們的管理和維護，方便以后我們的網(wǎng)絡(luò)升級和改造。交換層是整個網(wǎng)絡(luò)中的中間層，連接著匯聚層和網(wǎng)絡(luò)節(jié)點，是決定我們整體網(wǎng)絡(luò)傳輸質(zhì)量的很重要的一個環(huán)節(jié)。隨著百兆網(wǎng)絡(luò)設(shè)備的普及，我們交換層的網(wǎng)絡(luò)設(shè)備，肯定首選百兆。 布線是連接網(wǎng)絡(luò)接入層、匯聚層、交換層和網(wǎng)絡(luò)節(jié)點的重要環(huán)節(jié)。在布線時，最好使用專門的通道，而且不要與電源線，空調(diào)線等具有輻射的線路混合布線。 接入層與匯聚層之間的雙絞線，可以選擇超五類屏蔽雙絞線，以使網(wǎng)絡(luò)性能得到最大的提升。匯聚層與交換層之間的雙絞線，由于是網(wǎng)絡(luò)數(shù)據(jù)傳輸量最大的一個層次，同樣采用超五類屏蔽雙絞線。交換層與網(wǎng)絡(luò)節(jié)點之間，我們就可以采用普通的超五類非屏蔽雙絞線。 網(wǎng)絡(luò)設(shè)備的放置，最好放在節(jié)點的中央位置，這樣做，不是為了節(jié)約綜合布線的成本，而是為了提高網(wǎng)絡(luò)的整體性能，提高網(wǎng)絡(luò)傳輸質(zhì)量。由于雙絞線的傳輸距離是100米，在95米才能獲得最佳的網(wǎng)絡(luò)傳輸質(zhì)量。在做網(wǎng)絡(luò)布線時，最好能夠設(shè)計一個設(shè)備間，放置網(wǎng)絡(luò)設(shè)備。 3.3 網(wǎng)絡(luò)布局的規(guī)劃與設(shè)計 目前的網(wǎng)絡(luò)設(shè)備大都采用機架式的結(jié)構(gòu)（多為扁平式，活像個抽屜），如交換機、路由器、硬件防火墻等。這些設(shè)備之所以有這樣一種結(jié)構(gòu)類型，是因為它們都按國際機柜標準進行設(shè)計，這樣大家的平面尺寸就基本統(tǒng)一，可把一起安裝在一個大型的立式標準機柜中。這樣做的好處非常明顯：一方面可以使設(shè)備占用最小的空間，另一方面則便于與其它網(wǎng)絡(luò)設(shè)備的連接和管理，同時辦公室內(nèi)也會顯得整潔、美觀。 我們經(jīng)常接觸到的網(wǎng)絡(luò)布局里有網(wǎng)絡(luò)機柜、服務(wù)器機柜以及綜合布線柜，從這三個機柜的名字就可以看出它們各自所起的作用；一般來說，網(wǎng)絡(luò)設(shè)備如交換機、路由器、防火墻、加密機等以及網(wǎng)絡(luò)通信設(shè)備如光端機、調(diào)制解調(diào)器等是放置在網(wǎng)絡(luò)機柜的；服務(wù)器機柜的寬度為19英寸，高度以U為單位 （1U=1.75英寸=44.45毫米），通常有1U，2U，3U，4U幾種標準的服務(wù)器。機柜的尺寸也是采用通用的工業(yè)標準，通常從22U到42U不等；機柜內(nèi)按U的高度有可拆卸的滑動拖架，用戶可以根據(jù)自己服務(wù)器的標高靈活調(diào)節(jié)高度，以存放服務(wù)器、集線器、磁盤陣列柜等設(shè)備。服務(wù)器擺放好后，它的所有I/O線全部從機柜的后方引出（機架服務(wù)器的所有接口也在后方），統(tǒng)一安置在機柜的線槽中，一般貼有標號，便于管理。 綜合布線柜一般配有前后可移動的安裝立柱，自由設(shè)定安裝空間，可按需要配置隔板、風扇、電源插座等附件。配線架通常安裝在機柜里，配線架的一面是RJ45口，并標有編號；另一面是跳線接口，上面也標有編號，這些編號和上面的RJ45口的編號是一一對應(yīng)的。每一組跳線都標識有棕、藍、橙、綠的顏色，雙絞線的色線要和這些跳線一一對應(yīng)，這樣做不容易接錯。配線架不僅僅是便于管理線對，而且可以防止串擾，增加線對的隔離空間，提供360度的線對隔離。 在辦公室中，必須放置交換機、功能服務(wù)器群和網(wǎng)絡(luò)打印設(shè)備，以及局域網(wǎng)絡(luò)連接Internet所需的各種設(shè)備，如路由器、防火墻以及網(wǎng)管工作站等；因此辦公室的網(wǎng)絡(luò)布局一般至少有三個機柜，綜合布線柜和網(wǎng)絡(luò)機柜應(yīng)當緊連在一起，便于調(diào)線操作，接下來是服務(wù)器機柜；將網(wǎng)絡(luò)設(shè)備和布線系統(tǒng)進行合理的布局。 在網(wǎng)絡(luò)布局中，每個機柜最好留點空間，便于以后網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備的擴充，綜合布線柜里有可能除了網(wǎng)絡(luò)布線外，還有能布置電話線，所以要在機柜里留下一定空間。 從機柜內(nèi)部線纜附設(shè)的角度看，機柜配置密度更高，容納的IT設(shè)備更多，大量采用冗余配件(如冗余電源、存儲陣列等)，機柜內(nèi)設(shè)備配置頻繁變換，數(shù)據(jù)線和電纜隨時增減。所以，機柜必須提供充足的線纜通道，能從機柜頂部、底部進出線纜。在機柜內(nèi)部，線纜的敷設(shè)必須方便、有序，與設(shè)備的線纜接口靠近，以縮短布線距離；減少線纜的空間占用，保證設(shè)備安裝、調(diào)整、維護過程中，不受到布線的干擾，并保證散熱氣流不會受到線纜的阻擋；同時，在故障情況下，能對設(shè)備布線進行快速定位。 供電系統(tǒng)和制冷系統(tǒng)是辦公室的兩個重要部分。在供電系統(tǒng)中，一般采用在線的UPS供電方式，蓄電池實際可供使用的容量與蓄電池的放電電流大小、蓄電池的環(huán)境工作溫度、貯存時間的長短以及負載的性質(zhì)（電阻性、電感性、電容性）密切相關(guān)。制冷系統(tǒng)（空調(diào)）涉及到辦公室的整個物理環(huán)境，包括空調(diào)、地板、機柜及房間布局等諸多方面；因此UPS和空調(diào)我們也要考慮好將它們放置在一個合適的位置。如果辦公室空間較大，可以將UPS和空調(diào)都放在辦公室里；如果空間較小，可以把UPS（包括蓄電池）放在配電房里。需要注意的是如果大樓里安裝有“中央空調(diào)”的話，辦公室里也必須安裝獨立的空調(diào)，因為中央空調(diào)不可能24小時都開著，上班的時間可以利用中央空調(diào)，下班和星期節(jié)假日的時候，如果服務(wù)器、網(wǎng)絡(luò)設(shè)備需要正常運行的話，則必須要開辦公室里的獨立空調(diào)。 機柜的擴展性表現(xiàn)在機柜內(nèi)設(shè)備密度的擴展和機柜數(shù)量的擴展，因此網(wǎng)絡(luò)布局時必須將機柜的配風能力（通常稱為散熱能力）以及配電能力考慮在內(nèi)。一方面，機柜內(nèi)的設(shè)備需要溫度、濕度適宜并且風量充足的冷風（冷空氣）。這些冷風被機柜內(nèi)的IT設(shè)備吸入，從而為設(shè)備內(nèi)的部件（尤其是CPU）降溫。當機柜內(nèi)設(shè)備增加到一定數(shù)量時，由地板出風口送出的冷風風量將不能滿足所有設(shè)備的需求，從而形成部分IT設(shè)備配風不足而過熱。 解決機柜內(nèi)設(shè)備密度擴展時遇到的這種局部熱點問題可以采用調(diào)配IT設(shè)備位置的方式來解決。例如，把熱負荷最大的設(shè)備安裝在機柜中部位置，以便獲得最大的配風風量。另外的解決方法是，在機柜的上部或下部位置安裝軸向水平的強排風扇，增強上部或下部的吸入能力（即減小IT設(shè)備的入口靜壓），從而增加配風風量。 另一方面，機柜內(nèi)的設(shè)備需要供電以及與機柜外部進行通信。當機柜內(nèi)的IT設(shè)備數(shù)量增加時，這些線纜、連接端子同時成倍地增加，從而對機架式電源排插的容量、插口數(shù)量都提出了擴展要求。機柜內(nèi)的布線空間也是需要提前考慮的，因為當機柜內(nèi)的功率密度提高時，設(shè)備后部的線纜將明顯增加風阻，所以必須考慮線纜管理及走線空間的問題。 第四章 IP規(guī)劃與配置 4.1 IP地址規(guī)劃 表4-1 IP地址規(guī)劃 部門 IP地址 部門 IP地址 公網(wǎng)地址 220.156.66.110 路由器內(nèi)部 192.168.0.1/30 核心交換外部 192.168.0.2/30 Web服務(wù)器 192.168.2.1/24 網(wǎng)絡(luò)打印機 192.168.30.1/24 行政部 192.168.40.1/24 研發(fā)部 192.168.41.1/24 勤業(yè)部 192.168.42.1/24 4.2網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖 圖4-1 網(wǎng)絡(luò)拓撲圖 圖解： 由案例分析可知：南京網(wǎng)亞計算機發(fā)展有限公司分布在兩棟樓并且都在底層，所以將這兩棟樓分別劃分，每棟樓放置一臺交換機。又有兩棟樓之間距離少于100米，所以直接用雙絞線連接這兩臺交換機即可，這兩天交換機再通過一臺核心交換機連接，再通過核心交換機連接防火墻、服務(wù)器、路由器和網(wǎng)管軟件，再通過ip規(guī)劃、valn的劃分，這樣一個完整的企業(yè)局域網(wǎng)就構(gòu)建成功了。 4.3 配置需求及解決方案 為了直觀方便，配置需求全部在配置命令中加以單點說明，并且配置命令量大反復，這里只列出重點命令。 4.3.1配置路由器 router> router> enable router# router#config router（config）# router（config）# interface type port router（config-if）# interface fastethernet0/1 router（config-if）#ip address 192.168.0.1 255.255.255.252 router（config-if）#duplex auto router（config-if）#speed auto router（config-if）#ip nat inside router（config-if）#no shutdown router（config-if）#interface fastethernet0/2 router（config-if）#ip address 220.156.66.117 255.255.255.248 router（config-if）#duplex auto router（config-if）#speed auto router（config-if）#ip nat outside router（config-if）#no shutdown router（config-if）# ＾z router> router> enable router# router#config router（config）# router（config）#radius scheme system router（config）#domain system router（config）#acl number 2000/配置允許進行NAT轉(zhuǎn)換的內(nèi)網(wǎng)地址段/ router（config）rule 0 permit source 192.168.0.0 0.0.0.255 router（config）rule 1 deny router（config）#interface Ethernet0/0 router（config）ip address 202.1.1.2 255.255.255.248 router（config）nat outbound 2000 router（config）#interface Ethernet0/1 router（config）ip address 192.168.0.1 255.255.255.0 /內(nèi)網(wǎng)網(wǎng)關(guān)/ router（config）#interface NULL0 router（config）#ip route-static 0.0.0.0 0.0.0.0 202.1.1.1 preference 60 /配置默認路由/ router（config）#user-interface con 0 router（config）user-interface vty 0 4 router（config-if）# ＾z router> router> enable router# router#config router（config）# router（config）#nat address-group 0 202.1.1.3 202.1.1.6 /用戶NAT的地址池/ router（config）#radius scheme system router（config）#domain system router（config）#acl number 2000/配置允許進行NAT轉(zhuǎn)換的內(nèi)網(wǎng)地址段/ router（config）#rule 0 permit source 192.168.0.0 0.0.0.255 router（config）#rule 1 deny router（config）#interface Ethernet0/0 router（config）#ip address 202.1.1.2 255.255.255.248 router（config）#nat outbound 2000 address-group 0 /在出接口上進行NAT轉(zhuǎn)換/ router（config）#interface Ethernet0/1 router（config）#ip address 192.168.0.1 255.255.255.0 /內(nèi)網(wǎng)網(wǎng)關(guān)/ router（config）#interface NULL0 router（config）#ip route-static 0.0.0.0 0.0.0.0 202.1.1.1 preference 60 /配置默認路由/ router（config）##user-interface con 0 router（config）#user-interface vty 0 4 router（config）#＾z router（config）# router（config）#ip route 0.0.0.0 0.0.0.0 220.156.66.117（路由） router(config)# ip nat inside source list 110 interface FastEthernet0/2 overload router（config）#access-list 110 permit ip 192.168.0.0 0.0.255.255 any（過載） router（config）# ＾z 4.3.2配置交換機 switch> switch > enable switch # switch# vlan database switch(vlan)# VTP Version: 2 switch(vlan)# Configuration Revision: 7 switch(vlan)# Maximum VLANs supported locally : 1005 switch(vlan)# Number of existing VLANs: 9 switch(vlan)# VTP Operating Mode: Server switch(vlan)# VTP Domain Name: OA switch(vlan)# VTP Pruning Mode: Disabled switch(vlan)# VTP V2 Mode: Enabled switch(vlan)# VTP Traps Generation: Enabled switch(vlan)#＾z switch> switch > enable switch # switch #vlan database 進入vlan配置模式 switch # (vlan)#vtp domain OA 設(shè)置vtp管理域名稱OA switch # (vlan)#vtp server 設(shè)置交換機為服務(wù)器模式 switch # (vlan)#vlan 1 name qinye 創(chuàng)建VLAN 1，為勤業(yè)部 switch # (vlan)#vlan 2 name xingzheng 創(chuàng)建VLAN 2，為行政部 switch # (vlan)#vlan 3 name yanfa 創(chuàng)建VLAN 3，為研發(fā)部 switch # (vlan)#vlan 4 name netprinter 創(chuàng)建VLAN 4，為網(wǎng)絡(luò)打印機 switch # (vlan)#vlan 5 name server 創(chuàng)建VLAN 5，為服務(wù)器組 switch # (config)#interface vlan 1 switch # (config-if)#ip address 192.168.42.254 255.255.255.0 switch # (config)#interface vlan 1 switch # (config-if)#ip address 192.168.40.254 255.255.255.0 switch # (config)#interface vlan 3 switch # (config-if)#ip address 192.168.41.254 255.255.255.0 switch # (config)#interface vlan 4 switch # (config-if)#ip address 192.168.30.254 255.255.255.0 switch # (config)#interface vlan 5 switch # (config-if)#ip address 192.168.2.254 255.255.255.0 將接入層交換機上的端口根據(jù)需要劃分至各個VLAN switch # (config-if)#exit 4.3.3配置ACL 配置ACL 應(yīng)用在各個部門VLAN接口上，控制各部門互訪 switch> switch > enable switch #config switch(config)#access-list 10 permit 192.168.2.0 0.0.0.255 switch(config)#access-list 10 permit 192.168.30.0 0.0.0.255 switch(config)#access-list 10 deny 192.168.0.0 0.0.255.255 switch(config)#access-list 10 permit any 進入vlan 10 switch(config)# vlan 10 switch(config-vlan)#ip access-group 10 out 把訪問控制列表10 應(yīng)用于VLAN 10 OUT方向上，市場部內(nèi)部可以互訪，可以訪問服務(wù)器網(wǎng)段和網(wǎng)絡(luò)打印機網(wǎng)段，但不能訪問財務(wù)部和設(shè)計部所在網(wǎng)段。 switch(config-vlan)#access-list 11 permit 192.168.2.0 0.0.0.255 switch(config-vlan)#access-list 11 permit 192.168.30.0 0.0.0.255 switch(config-vlan)#access-list 11 permit 192.168.42.0 0.0.0.255 switch(config-vlan)#access-list 11 deny 192.168.0.0 0.0.255.255 switch(config-vlan)#access-list 11 permit any switch(config-vlan)#exit 進入vlan 11 switch(config-vlan)#switch(config)# vlan 11 switch(config-vlan)#ip access-group 11 out 把訪問控制列表11應(yīng)用在VLAN 11 OUT方向上，財務(wù)部內(nèi)部可以互訪問，可以訪問服務(wù)器網(wǎng)段和網(wǎng)絡(luò)打印機網(wǎng)絡(luò)，可以訪問市場部網(wǎng)段，但不能訪問設(shè)計部網(wǎng)段。 設(shè)計部VLAN 12 ，網(wǎng)絡(luò)打印機 VLAN 13，服務(wù)器 VLAN 20 可以訪問任意網(wǎng)段，應(yīng)用訪問控制列表access-list 110 在in的方向上，封掉常見病毒端口。 switch(config-vlan)#access-list 110 deny tcp any any eq 1068 switch(config-vlan)#access-list 110 deny tcp any any eq 2046 switch(config-vlan)#access-list 110 deny udp any any eq 2046 switch(config-vlan)#access-list 110 deny tcp any any eq 4444 switch(config-vlan)#access-list 110 deny udp any any eq 4444 switch(config-vlan)#access-list 110 deny tcp any any eq 1434 switch(config-vlan)#access-list 110 deny udp any any eq 1434 switch(config-vlan)#vaccess-list 110 deny tcp any any eq 5554 switch(config-vlan)#vaccess-list 110 deny tcp any any eq 9996 switch(config-vlan)#access-list 110 deny tcp any any eq 6881 switch(config-vlan)#access-list 110 deny tcp any any eq 6882 switch(config-vlan)#access-list 110 deny tcp any any eq 16881 switch(config-vlan)#access-list 110 deny udp any any eq 5554 switch(config-vlan)#access-list 110 deny udp any any eq 9996 switch(config-vlan)#access-list 110 deny udp any any eq 6881 switch(config-vlan)#access-list 110 deny udp any any eq 6882 switch(config-vlan)#vaccess-list 110 deny udp any any eq 16881 switch(config-vlan)#access-list 110 permit ip any any 可以根據(jù)實際需要將此ACL應(yīng)用于任一接口，或者添加一些屏蔽軟件的端口，達到管理內(nèi)部員工的目的，也可以用局域網(wǎng)內(nèi)部的管理軟件，更加直接方便，并且易于操作。 第五章 網(wǎng)絡(luò)維護、安全控制 5.1網(wǎng)絡(luò)維護 1. 更新 更新包括WEB頁面的版面、樣式、內(nèi)容的更新；公司共享資料的更新；網(wǎng)絡(luò)教室、軟件下載內(nèi)容的更新；各種報表、數(shù)據(jù)庫更新，這些信息發(fā)布由各部門管理員在本地登錄服務(wù)器進行。 2. 備份 由于網(wǎng)絡(luò)的特殊性，備份信息是保證公司數(shù)據(jù)安全的重要保障?？紤]最低投資，未采用磁帶機備份，而使用磁盤鏡像技術(shù)容錯，這樣不但得到完整的數(shù)據(jù)備份，而且還提高了系統(tǒng)的性能。 3. 診斷 INTRANET采用TCP/IP協(xié)議,在網(wǎng)絡(luò)的調(diào)試中主要采用了以下幾個診斷程序: Ping;Ipconfig;Nbtstat;Netstat;Hostname。網(wǎng)絡(luò)管理員運用這些程序有利于及時發(fā)現(xiàn)錯誤，并加以糾正。 4. 安全 利用代理服務(wù)器的防火墻功能可以阻擋Internet上的系統(tǒng)或使用者直接進入Intranet。網(wǎng)絡(luò)管理員的密碼和各用戶的密碼均利用AD組策略統(tǒng)一進行管理，并利用其“組策略”功能統(tǒng)一部署密碼策略：包括密碼最長/最短有效期、密碼的長度、唯一性和帳戶鎖定等項目。域用戶權(quán)限也利用“域用戶容器”統(tǒng)一管理。 5. 磁盤整理 雖然Windows系統(tǒng)自身包括磁盤碎片整理程序,建議采用第三方的程序Diskeeper定期整理磁盤碎片。這樣有利于優(yōu)化系統(tǒng)，節(jié)約磁盤空間。 5.2局域網(wǎng)安全威脅分析 局域網(wǎng)由于通過交換機和服務(wù)器連接網(wǎng)內(nèi)每一臺電腦，因此局域網(wǎng)內(nèi)信息的傳輸速率比較高，同時局域網(wǎng)采用的技術(shù)比較簡單，安全措施較少，同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡(luò)安全威脅通常有以下幾類： 1. 欺騙性的軟件使數(shù)據(jù)安全性降低 由于局域網(wǎng)很大的一部分用處是資源共享，而正是由于共享資源的“數(shù)據(jù)開放性”，導致數(shù)據(jù)信息容易被篡改和刪除，數(shù)據(jù)安全性較低。例如“網(wǎng)絡(luò)釣魚攻擊”，釣魚工具是通過大量發(fā)送聲稱來自于一些知名機構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息：如用戶名、口令、賬號ID、ATM PIN碼或信用卡詳細信息等的一種攻擊方式。最常用的手法是冒充一些真正的網(wǎng)站來騙取用戶的敏感的數(shù)據(jù)。以往此類攻擊的冒名的多是大型或著名的網(wǎng)站，但由于大型網(wǎng)站反應(yīng)比較迅速，而且所提供的安全功能不斷增強，網(wǎng)絡(luò)釣魚已越來越多地把目光對準了較小的網(wǎng)站。同時由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識和手段，因此會造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生。 2. 服務(wù)器區(qū)域沒有進行獨立防護 局域網(wǎng)內(nèi)計算機的數(shù)據(jù)快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果局域網(wǎng)中服務(wù)器區(qū)域不進行獨立保護，其中一臺電腦感染病毒，并且通過服務(wù)器進行信息傳遞，就會感染服務(wù)器，這樣局域網(wǎng)中任何一臺通過服務(wù)器信息傳遞的電腦，就有可能會感染病毒。雖然在網(wǎng)絡(luò)出口有防火墻阻斷對外來攻擊，但無法抵擋來自局域網(wǎng)內(nèi)部的攻擊。 3. 計算機病毒及惡意代碼的威脅 由于網(wǎng)絡(luò)用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁，或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊，正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現(xiàn)有的軟件，在自己寄生的文件中注入新的代碼。最近幾年，隨著犯罪軟件（crime ware）洶涌而至，寄生軟件已退居幕后，成為犯罪軟件的助手。2007年，兩種軟件的結(jié)合推動舊有寄生軟件變種增長3倍之多。2008年，預計犯罪軟件社區(qū)對寄生軟件的興趣將繼續(xù)增長，寄生軟件的總量預計將增長20%。 4. 局域網(wǎng)用戶安全意識不強 許多用戶使用移動存儲設(shè)備來進行數(shù)據(jù)的傳遞，經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動存儲設(shè)備帶入內(nèi)部局域網(wǎng)，同時將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數(shù)據(jù)泄密的可能性。另外一機兩用甚至多用情況普遍，筆記本電腦在內(nèi)外網(wǎng)之間平凡切換使用，許多用戶將在Internet網(wǎng)上使用過的筆記本電腦在未經(jīng)許可的情況下擅自接入內(nèi)部局域網(wǎng)絡(luò)使用，造成病毒的傳入和信息的泄密。 5. IP地址沖突 局域網(wǎng)用戶在同一個網(wǎng)段內(nèi)，經(jīng)常造成IP地址沖突，造成部分計算機無法上網(wǎng)。對于局域網(wǎng)來講，此類IP地址沖突的問題會經(jīng)常出現(xiàn)，用戶規(guī)模越大，查找工作就越困難，所以網(wǎng)絡(luò)管理員必須加以解決。 正是由于局域網(wǎng)內(nèi)應(yīng)用上這些獨特的特點，造成局域網(wǎng)內(nèi)的病毒快速傳遞，數(shù)據(jù)安全性低，網(wǎng)內(nèi)電腦相互感染，病毒屢殺不盡，數(shù)據(jù)經(jīng)常丟失。 5.3局域網(wǎng)安全控制 1. 加強人員的網(wǎng)絡(luò)安全培訓 安全是個過程，它是一個匯集了硬件、軟件、網(wǎng)絡(luò)、人員以及他們之間互相關(guān)系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務(wù)角度看，主要涉及管理、技術(shù)和應(yīng)用三個層面。要確保信息安全工作的順利進行，必須注重把每個環(huán)節(jié)落實到每個層次上，而進行這種具體操作的是人，人正是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)，然而這個環(huán)節(jié)的加固又是見效最快的。所以必須加強對使用網(wǎng)絡(luò)的人員的管理，注意管理方式和實現(xiàn)方法。從而加強工作人員的安全培訓。增強內(nèi)部人員的安全防范意識，提高內(nèi)部管理人員整體素質(zhì)。同時要加強法制建設(shè)， 進一步完善關(guān)于網(wǎng)絡(luò)安全的法律，以便更有利地打擊不法分子。對局域網(wǎng)內(nèi)部人員，從下面幾方面進行培訓： (1)加強安全意識培訓，讓每個工作人員明白數(shù)據(jù)信息安全的重要性，理解保證數(shù)據(jù)信息安全是所有計算機使用者共同的責任。 (2)加強安全知識培訓，使每個計算機使用者掌握一定的安全知識，至少能夠掌握如何備份本地的數(shù)據(jù)，保證本地數(shù)據(jù)信息的安全可靠。 (3)加強網(wǎng)絡(luò)知識培訓，通過培訓掌握一定的網(wǎng)絡(luò)知識，能夠掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識，樹立良好的計算機使用習慣。 2. 局域網(wǎng)安全控制策略 安全管理保護網(wǎng)絡(luò)用戶資源與設(shè)備以及網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授權(quán)的用戶訪問。目前網(wǎng)絡(luò)管理工作量最大的部分是客戶端安全部分，對網(wǎng)絡(luò)的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網(wǎng)絡(luò)內(nèi)部的安全問題，才可以排除網(wǎng)絡(luò)中最大的安全隱患，對于內(nèi)部網(wǎng)絡(luò)終端安全管理主要從終端狀態(tài)、行為、事件三個方面進行防御。利用現(xiàn)有的安全管理軟件加強對以上三個方面的管理是當前解決局域網(wǎng)安全的關(guān)鍵所在。 (1)利用桌面管理系統(tǒng)控制用戶入網(wǎng)。入網(wǎng)訪問控制是保證網(wǎng)絡(luò)資源不被非法使用，是網(wǎng)絡(luò)安全防范和保護的主要策略。它為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制用戶入網(wǎng)的時間和在哪臺工作站入網(wǎng)。用戶和用戶組被賦予一定的權(quán)限，網(wǎng)絡(luò)控制用戶和用戶組可以訪問的目錄、文件和其他資源，可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行的操作。啟用密碼策略，強制計算機用戶設(shè)置符合安全要求的密碼，包括設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改。設(shè)定服務(wù)器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數(shù)據(jù)，提高系統(tǒng)安全行，對密碼不符合要求的計算機在多次警告后阻斷其連網(wǎng)。 (2)采用防火墻技術(shù)。防火墻技術(shù)是通常安裝在單獨的計算機上，與網(wǎng)絡(luò)的其余部分隔開，它使內(nèi)部網(wǎng)絡(luò)與Internet之間或與其他外部網(wǎng)絡(luò)互相隔離，限制網(wǎng)絡(luò)互訪，用來保護內(nèi)部網(wǎng)絡(luò)資源免遭非法使用者的侵入，執(zhí)行安全管制措施，記錄所有可疑事件。它是在兩個網(wǎng)絡(luò)之間實行控制策略的系統(tǒng)，是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)。采用防火墻技術(shù)發(fā)現(xiàn)及封阻應(yīng)用攻擊所采用的技術(shù)有：（1）深度數(shù)據(jù)包處理。深度數(shù)據(jù)包處理在一個數(shù)據(jù)流當中有多個數(shù)據(jù)包，在尋找攻擊異常行為的同時，保持整個數(shù)據(jù)流的狀態(tài)。深度數(shù)據(jù)包處理要求以極高的速度分析、檢測及重新組裝應(yīng)用流量，以避免應(yīng)用時帶來時延。（2）IP/URL過濾。一旦應(yīng)用流量是明文格式，就必須檢測HTTP請求的URL部分，尋找惡意攻擊的跡象，這就需要一種方案不僅能檢查RUL，還能檢查請求的其余部分。其實，如果把應(yīng)用響應(yīng)考慮進來，可以大大提高檢測攻擊的準確性。雖然URL過濾是一項重要的操作，可以阻止通常的腳本類型的攻擊。（3）TCP/IP終止。應(yīng)用層攻擊涉及多種數(shù)據(jù)包，并且常常涉及不同的數(shù)據(jù)流。流量分析系統(tǒng)要發(fā)揮功效，就必須在用戶與應(yīng)用保持互動的整個會話期間，能夠檢測數(shù)據(jù)包和請求，以尋找攻擊行為。至少，這需要能夠終止傳輸層協(xié)議，并且在整個數(shù)據(jù)流而不是僅僅在單個數(shù)據(jù)包中尋找惡意模式。系統(tǒng)中存著一些訪問網(wǎng)絡(luò)的木馬、病毒等IP地址，檢查訪問的IP地址或者端口是否合法，有效的TCP/IP終止，并有效地扼殺木馬。時等。（4）訪問網(wǎng)絡(luò)進程跟蹤。訪問網(wǎng)絡(luò)進程跟蹤。這是防火墻技術(shù)的最基本部分，判斷進程訪問網(wǎng)絡(luò)的合法性，進行有效攔截。這項功能通常借助于TDI層的網(wǎng)絡(luò)數(shù)據(jù)攔截，得到操作網(wǎng)絡(luò)數(shù)據(jù)報的進程的詳細信息加以實現(xiàn)。 封存所有空閑的IP地址，啟動IP地址綁定，采用上網(wǎng)計算機IP地址與MAC地址唯一對應(yīng)，網(wǎng)絡(luò)沒有空閑IP地址的策略。由于采用了無空閑IP地址策略，可以有效防止IP地址引起的網(wǎng)絡(luò)中斷和移動計算機隨意上內(nèi)部局域網(wǎng)絡(luò)造成病毒傳播和數(shù)據(jù)泄密。 (3)屬性安全控制。它能控制以下幾個方面的權(quán)限：防止用戶對目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個文件寫數(shù)據(jù)、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護重要的目錄和文件。 啟用殺毒軟件強制安裝策略，監(jiān)測所有運行在局域網(wǎng)絡(luò)上的計算機，對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。 第六章 結(jié)論 當今世界是個信息化社會，世界與日俱進，要求現(xiàn)代企業(yè)的發(fā)展跟上信息化的步伐。企業(yè)網(wǎng)絡(luò)的構(gòu)建與完善不僅為企業(yè)員工提供了全新的工作環(huán)境，利用計算機和網(wǎng)絡(luò)進行工作、交流，而且改變了傳統(tǒng)的工作方式，極大的提高了工作的質(zhì)量和效率。企業(yè)網(wǎng)絡(luò)的構(gòu)建不僅提升了企業(yè)的發(fā)展空間，而且企業(yè)的網(wǎng)絡(luò)安全得到保障。 本文通過南京網(wǎng)亞計算機有限公司組網(wǎng)這一案例，將組網(wǎng)所需的設(shè)備選型、IP規(guī)劃、具體交換機等的配置、網(wǎng)絡(luò)布線等必備步驟一一羅列，闡述了現(xiàn)在社會企業(yè)信息化的必要性。一個企業(yè)局域網(wǎng)的高性能、高穩(wěn)定、高管理性、靈活性、安全性、經(jīng)濟性是影響企業(yè)在這一信息化社會立足的關(guān)鍵。 參考文獻 [1] 弗魯姆(Richard Froom).CCNP學習指南.組建Cisco多層交換網(wǎng)絡(luò)(BCMSN)(第4版)[M],2007. [2] WilliamStallings.Network Security Essentials Applications and Standards Third Edition[M],2007. [3] 施敏 、李亞明、王國平.網(wǎng)絡(luò)管理員之局域網(wǎng)組建與維護超級技巧1000例[M],2007. [4] 李晉平.局域網(wǎng)組建和安全管理的實用技術(shù)[J].電腦開發(fā)與應(yīng)用,2002,15(10). [5] 衛(wèi)少軍.中小企業(yè)辦公局域網(wǎng)組建方案[J].科技情報開發(fā)與經(jīng)濟,2004,14(9). [6] 金剛善.局域網(wǎng)組網(wǎng)案例精編GBH.北京:中國水利水電出版社,2004. [7] 鐘小平.網(wǎng)絡(luò)服務(wù)器配置與應(yīng)用GBH.北京:人民郵電出版社,2005. [8] 衛(wèi)少軍.中小企業(yè)辦公局域網(wǎng)組建方案.北京:科技情報開發(fā)與經(jīng)濟,2004. [9] 張萍,張偉.濱論企業(yè)組建局域網(wǎng)的方案.哈爾濱:自動化技術(shù)與應(yīng)用,2005. [10] 李春山.中小企業(yè)局域網(wǎng)組建和管理的實踐.哈爾濱:信息技術(shù),20