网络工程设计方案

《网络工程设计方案》由会员分享，可在线阅读，更多相关《网络工程设计方案（17页珍藏版）》请在装配图网上搜索。

1、网络工程设计方案院 系：软件学院班 级：网络0911班 姓名学号：杨文健指导老师：完成时间：2011年6月14日目录一、网络需求分析41.1 工程项目概况41.2 信息点分布41.3 需求分析4二、方案设计原则6三、网络方案设计73.1 网络拓扑结构介绍73.2 网络拓扑图73.3.1 骨干核心层网络设计73.3.2 核心层网络设计83.3.3 汇聚层网络设计83.3.4接入层网络设计93.3.5广域网互联设计93.3.6 冗余/负载均衡设计93.3.7 线路冗余93.3.8 网络设备冗余/负载均衡设计103.3.9服务器冗余设计113.310 IP地址规划原则11四、网络安全及管理机制114

2、.1 完善的安全机制144.2 解决安全威胁.144.3 VPN （虚拟专用网）15五、网络设备选型16六、 方案的扩展性考虑17前言当今社会已步入信息社会，信息成为社会经济发展的核心因素，信息化已成 为当今世界潮流。而现在，信息化程度已成为衡量一个国家现代化水平和综合国 力强弱的重要标志。随着信息时代的到来，企业的生存和竞争环境发生了根本性的变化。对于大 型企业而言，信息化无论是作为战略手段还是战术手段，在企业经营中发挥着举 足轻重的作用。信息技术作为新技术革命的核心.不仅具有高增值性、成为最具经济活力的 经济增长点,而且具有高渗透性, 以极强的亲和力和扩散速度向经济各部门渗透， 使其结构和

3、效益发生根本性改变。信息化已成为当代经济发展与社会进步的巨大 推力，尤其是作为国民经济信息化基础的企业信息化，当前更显得尤为重要，信 息化建设已成为企业发展的必由之路。信息化是企业加快实现现代化的必然选 择!随着近年来企业信息化建设的深入，企业的运作越来越融入计算机网络，企 业的沟通、应用、财务、决策、会议等等数据流都在企业网络上传输，构建一个 “安全可靠、性能卓越、管理方便”的“高品质”大型企业网络已经成为企业信 息化建设成功的关键基石。第一章网络需求分析11工程项目概况XX集团为了加快信息化建设，新的集团企业网将建设一个以集团办公自动 化、电子商务、业务综合管理、多媒体视频会议、远程通讯、

4、信息发布及查询为 核心，以现代网络技术为依托，技术先进、扩展性强，将集团的各种办公室、多 媒体会议室、PC终端设备、应用系统通过网络连接起来，实现内、外沟通的现 代化计算机网络系统。该网络系统是支持办公自动化、供应链管理、ERP以及各 应用系统运行的基础设施，为了确保这些关键应用系统的正常运行、安全和发展， 系统必须具备如下的特性：1、采用先进的网络通信技术完成集团企业网的建设，实现各分公司的信息化；2、在整个企业集团内实现所有部门的办公自动化，提高工作效率和管理服务水 平；3、在整个企业集团内实现资源共享、产品信息共享、实时新闻发布；4、在整个企业集团内实现财务电算化；5、在整个企业集团内实

5、现集中式的供应链管理系统和客户服务关系管理系统； 具体要求：WWW服务 E-mail、FTP 服务网上多媒体教学，能提供视频点播服务集团内行政管理拨号上网服务1.2信息点分布主要信息点集中在生产部、账务部、网络中心、职工宿舍等部门。详细分布如表 1所示。地点信息点备注网络中心40需保证速度、流量和可靠性生产部150需保证速度、流量和可靠性账务部120需保证速度、流量和安全性职工宿舍1000需保证速度和流量销售部100需要保证速度和可靠性综合设计30需保证速度和流量表1主要信息点分布1.3需求分析为适应企业信息化的发展，满足日益增长的通讯需求和网络的稳定运行，今 天的大型企业网络建设比传统企业网

6、络建设提出更高的要求，主要表现在如下几 个方面：1）现代大型企业网络应具有更高的带宽，支持 10GE 或将来平滑过渡到 10GE，更强大的性能，以满足用户日益增长的通讯需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，尤其是对核心 网络的数据交换能力提出前所未有的要求。另外，随着千兆端口的成本持续下降， 千兆到桌面的应用会在不久的将来成为企业网的主流。所以今天的企业网络已经 不能再用百兆到桌面千兆骨干来作为建网的标准，它的核心层及骨干层必须具有 万兆级带宽和处理性能，才能构筑一个畅通无阻的“高品质”大型企业网，从而 适应网络规模扩大，业务量日益增长的需要。2）现代大型企业网络应具有更

7、全面的可靠性设计，以实现网络通讯的实时 畅通，保障企业生产运营的正常进行。现代大型企业网络在可靠性设计方面主要应从三方面考虑：第一是设备级可 靠性设，这要求购买设备的时候不能一味的只追求价格因素而忽略可靠性；其次 是业务的可靠性设计，这里要注意网络设备在故障倒换过程中是否对业务的正常 运行有影响；再次是链路的可靠性设计，以太网的链路安全来自于它的多路径选 择，所以在企业网络建设时要考虑网络设备是否能够提供有效的链路自愈手段和 快速重路由协议的支持。3）现代大型企业网络需要提供完善的端到端 QOS 保障，以满足企业网多业 务承载的需求。大型企业网络承载业务的不断增多，单纯的提高带宽并不能够有效的

8、保障数 据交换的畅通无阻，而必须要考虑到网络应能够智能的识别应用事件的紧急和重 要程度，如视频、音频、数据流（MIS、ERP、OA、备份数据），同时能够调度网 络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现 对业务的合理调度才是一个大型企业网络提供“高品质”服务的保障。4）现代大型企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑 客的攻击，减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件以及配合 交换机或路由器的 ACL 来实现对于病毒和黑客攻击的防御，但实践证明这些被 动的防御措施并不能有效的解决企业网络的安全问题。5）现代大型企

9、业网络应具备更智能的网络管理解决方案，以适应网络规模 日益扩大，维护工作更加复杂的需要。第二章 方案设计原则本方案的设计将在追求性能优越、经济实用的前提下，本着严谨、慎重的态 度，从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面 综合进行系统的总体设计，力图使该系统真正成为符合该中学的网络系统。从技术措施角度来讲，在网络的设计和实现中，本方案严格遵守了以下原则：1、实用性和集成性 系统的软硬件设计、还是集成，均以适用为第一宗旨，在系统充分适应企业 信息化的需求的基础上进而再来考虑其他的性能。2、标准性和开往性只有支持标准性和开放性的系统，才能支持与其它开放型系统一起协同工 作

10、，在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标 准，以便能和不同厂家的开放性产品在同一网络中同时共存。3、先进性和安全性系统所有的组成要素均应充分地考虑其先进性。不能一味地追求实用而忽略 先进，只有将当今最先进的技术和我们的实际应用要求紧密结合，才能获得最大 的系统性能和效益。4、成熟性和高可靠性网络硬件体系结构在实际应用中能经过较长时间的考验，在运行速度和性能 上都应是稳定可靠的、拥有完善的、实用的解决方案，并通到较多的第三方开发 商和用户在全球的广泛支持和使用。同时，应从长远的技术发展来选择具有很好 前景的、较为先进的技术和产品，以适应系统未来的发展需要。可靠性也是衡量

11、一个计算机应用系统的重要标准之一。5、可维护性和可管理性 整个信息网络系统中的互连设备，应是使用方便、操作简单易学，并便于维 护。管理员能方便进行网络管理、维护甚至修复。在设计和实现时，必须充分考虑整个系统的便于维护性，以使系统万一发生 故障时能提供有效手段及时进行恢复，尽量减少损失。6、可扩充性和兼容性网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处 理能力、物理接连、产品支持等方面具有扩充与升级换代的可能，采用的产品要 遵循通用的工业标准，以便不同的设备能方便灵活地接连入网并满足系统规模扩 充的要求。H3c S7502E会仅香心H3c S750b-AC；HicSlOH3-

12、C S1024|43S750AC 輕览叩衿:H3c S1024劭 iI 一 d !H3c S1024 I第三章网络方案设计31网络拓扑结构介绍在此次XX集团大型企业网的设计中，我们采用层次化模型来设计网络拓扑 结构。所谓“层次化”模型，就是将复杂的网络设计分成几个层次，每个层次着 重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。 层次模型既能够应用于局域网的设计，也能够应用于广域网的设计。3.2网络拓扑图网络拓扑图如图1所示。图1网络拓扑图3.3网络设计3.3.1骨干核心层网络设计大型企业生产办公网络的核心网主要完成整个企业集团内部不同地域企业 之间的高速数据路由转发，以

13、及维护全网路由的计算。鉴于大型集团企业的用户 数量众多，业务复杂，QOS要求较高的特点，在本方案中采用H3C S7506-AC高 密度多业务核心路由交换机组建高性能的核心网络平台。H3C S7506-AC系列交换机是具有运营商级容错能力的高性能大型网络核心 交换机，可为高校和运营商提供基于领先技术的卓越性能和可靠性。H3CS7506-AC 系列交换机专为发挥万兆、千兆以太网潜在的强大交换能力而设计， 超大容量的交换背板使得包括万兆端口在内的每个端口具备全线速交换能力，确 保在巨大的网络通信负载下始终能够轻松实现线速的第二层和第三层交换，是城 域网、数据中心、智能大厦及企业网络骨干级核心路由交换

14、机的理想选择。该系列交换机的所有管理模块、交换模块以及电源模块都可互换使用，而且 管理模块、电源模块、风扇等还可实现冗余备份，温度传感器可以随时监控各个 部件的工作温度，从而提供运营商级的可靠性。H3C S7506-AC交换机的一大 特色是管理模块均带有业务接口，使得所有的插槽均为有效的业务插槽，从而大 大提高了端口密度和插槽利用率。在骨干核心层中，我们采用三台H3C S7506-AC核心路由交换机组成一个环 形多机热备份的核心交换机系统解决方案。为提高核心网络的健壮性，实现链路 的安全保障，本方案骨干核心层环网中可以采用VRRP （虚拟路由器冗余协议）。 对于各个业务VLAN可以指向这个虚拟

15、的IP地址作为网关，因此应用VRRP技 术为核心交换机提供一个可靠的网关地址，以实现在核心层核心交换机之间进行 设备的硬件冗余，一主两备，共用一个虚拟的IP地址和MAC地址，通过内部 的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网 络高效处理大集中数据提供了可靠的保障。3.3.2核心层网络设大型企业生产办公网络的核心层网络主要完成园区内各汇聚层设备之间的 数据交换和与骨干核心层网络之间的路由转发。传统解决方案一般采用骨干路由 器核心交换机来组建，但这种方式受限于交换机的性能，在提供 MPLS VPN 的业务能力方面较弱，不适合大型企业网络的建设需求，同时现在的大型企业办

16、 公网络具有城域网的特点，网络发展具有网络扁平化的发展方向，因此本方案骨 干层网络设备采用 H3C S7506-AC 核心路由交换机作为大型企业生产办公网络 的园区核心路由交换设备,H3C S7506-AC具有强大的业务和路由处交换理能力， 能提供如 MPLS VPN、QOS、策略路由、NAT、PPPoE/Web/802.1x/L2TP认证等 丰富业务能力，并可通过内置防火墙模块实现各种强大的网络安全策略，可以充 分满足大型企业不同园区网络的高速数据交换和支持多业务功能的要求，并能够 提供完善的安全防御策略，保障企业园区网络的稳定运行。3.3.3汇聚层网络设计汇聚层网络主要完成企业各园区内办公

17、楼宇和相关单位的内接入交换机的 汇聚及数据交换和VLAN终结，在本方案中采用H3C S7502E交换机多层交换机 作为汇聚层面的交换机H3C S7502E交换机在提供高密度千兆端口接入的同时 还能够满足汇聚层智能高速处理的需要,并能够加灵活的部署在网络边缘的各个 位置。能够同时提供多个高速专用堆叠端口和百兆、千兆光口/电口。这些交换 机都具备较强的多业务提供能力，可支持包括智能的CCL、MPLS、等业务。3.3.4接入层网络设计以往传统企业网络接入层的建设中并不关注于安全控制和 QOS 提供能力， 而将网络的安全防御措施和 QOS 保障依赖于网络的汇聚层或骨干层设备，这给 汇聚层和骨干层设备带

18、来了巨大的压力，往往内网病毒泛滥成灾后导致骨干层设 备瘫机，使网络没有QOS服务质量保障。H3C S1024 智能宽带接入交换机是能满足高安全、多业务承载、高性能的 网络环境智能交换机，具备传统二层交换机大容量、高性能等优点，同时还具有 领先的安全特性，进一步加强了企业网络对边缘接入层面的安全控制能力。 用 户可以根据需要来订制自身的安全策略并部署在此交换机上。该产品具备的端口 带宽限制、端口镜像、QOS、端口安全、广播风暴抑制等功能可以很好的协助用 户实现网络的管理和维护。除此之外，此交换机还具备多个专用堆叠接口，可以 满足楼层，楼宇内多个交换机高性能汇聚的需要。3.3.5 广域网互联设计针

19、对于大型企业需要良好的出口网关设备，我们建议用户选用H3CSecPath U200-CS-AC。H3C SecPath U200-CS-AC 防火墙专为千兆位流量的 网络服务运营商，大型数据中心等骨干网络而设计, 采用 2U 专用千兆安全平台， 完全模块化可扩展结构，具有热插拔特性的冗余部件为您提供最大的不间断运行 时间。H3C SecPath U200-CS-AC防火墙内置1个10/100/1000M自适应以太网 电口，具备 6 个 SFP 扩展插槽，接口模块类型支持单模、多模光纤，千兆电口， 充分满足您的定制需最多可扩展至 8 个千兆接口。3.3.6 冗余/负载均衡设计冗余设计是网络设计的

20、重要部分，是保证网络整体可靠性能的重要手段。但 是投资也将增加。部分企业园区网在早期的建设中由于成本的原因并未在设计中 考虑冗余问题，而在优化工作中则需从网络链路和网络设备两方面着手。冗余设 计可以贯穿整个层次化结构，每个冗余设计都有针对性，可以选择其中一部分或 几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时，冗余链路 可以提供另一条物理路径。可采用GEC链路聚合（IEEE802.3ad）实现端口级冗 余，以克服某个端口或线路引起的故障。也可采用生成树协议dEEE802.1d）提 供设备级的冗余连接。此外，我们在设计中提供不同物理方向的双归属、双路由 保护。3.3.7 线路冗余在

21、企业网骨干核心层，企业网络边界拓扑结构由于采用了环形多机热备份的 核心交换机系统解决方案，所以在线路冗余方面的要求较高，对于线路的冗余要 求，我们采用 10GE 线路对三台企业网骨干核心层设备进行环行双向备份，并使 用业界领先的VRRP （虚拟路由器冗余协议）来对其作为冗余线路的协议保障。 以 GEC 作为 N*1000M 主干链路，通过这个链路连接骨干网交换机，具备万兆 扩展能力；接入交换机采用 10/100M 自适应端口连接桌面系统，多千兆链路连 接到汇聚层。GEC路具有链路聚合和冗余保证两大特性，下面我们将对它们依次进行介绍。 链路聚合：可使用一条物理链路在不同品牌交换机之间、交换机和服

22、务器间提供聚合的 高速通道，在不增加投资的情况下，扩大交换带宽，使关键连接的传输效率更高 冗余保证：链路聚合中，成员互相动态备份。当某一链路中断时，其它成员能够迅速接 替其工作。与生成树协议不同，链路聚合启用备份的过程对聚合之外是不可见的, 而且启用备份过程只在聚合链路内，与其它链路无关，切换可在数毫秒内完成。综合分析以上各主流方案的优缺点，从性能与成本及拓展性等方面的综合考 虑出发，我们决定采用GEC骨干核心网络10GE拓展的方式作为其链路选择及 备份选择。在企业网汇聚层及接入层出于成本及性价比的考虑，我们决定采用千兆汇聚，万 兆拓展；百兆到桌面的链路选择。3.3.8网络设备冗余/负载均衡设

23、计负载均衡建立在现有网络结构之上，它提供了一种廉价有效的方法扩展服务 器带宽和增加吞吐量，加强网络数据处理能力，提高网络的灵活性和可用性。它 主要完成以下任务:解决网络拥塞问题，服务就近提供，实现地理位置无关性； 为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用 效率;避免了网络关键部位出现单点失效。在此方案中，在网络的每个关键结点，我们在设计时都做到了对其有效的冗余备 份和负载均衡。在网络的骨干核心层上。我们采用了三台锐捷网络的RG-S8610 高密度多业务IPV6核心路由交换机组建高性能的核心网络平台，在对骨干核心 层提供足够的网络接点和接入需求的同时最大限度的为网

24、络提供了有效的冗余 保障和负载均衡。在核心层的每个区块，我们都采用了两台锐捷网络的RG-S8606 度多业务IPV6核心路由交换机做到冗余与负载均衡。在汇聚层的每个区块，我 采用了两台锐捷网络的RG-S5750交换机多层交换机做到冗余与负载均衡。在本方案的设计中，出现了两个以上的交换区块和需要提供冗余连接的时 候,我们采用了双核心配置。如下图，我们给出了从接入层到汇聚层再到核心层 的双核心配置。双核心拓扑结构提供了两条等代价路径和双倍的带宽。每个核心交换机连接 着数目相同的子网到第三层汇聚设备上。每个交换区块都有冗余的连接到核心交 换机上，因此形成两条不同的，但是等代价的连接。如果一条核心设备

25、发生故障， 还是能够收敛，因为汇聚层设备的路由选择表中还有另一条到核心设备的路由。 第3层路由选择协议在核心中起链路选择的作用，VRRP提供快速错误恢复。核 心层不需要STP,因为在核心交换机间没有冗余的第2层连接。3.3.9服务器冗余设计企业网中服务器、大型机，如网络存储服务器，SQL Server服务器，其存储的数 据对于企业来说致关重要，一些核心数据被视为企业的生命。一方面它对企业的 企业的重要性毋庸质疑，另一方面，由于这些数据的性质决定了其较大的被访问 量，这个对服务器提出了稳定和快速的要求。如果宕机，后果是技术是保障计算 机系统的可靠性是重中之重。为此，我们采用的是双机热备技术，此技

26、术能够 有效的满足核心服务器高效，稳定的高要求。而且相对于其它成本技术来说，这 是比较有经济价成效的技术。Server 1Server 2服务器双机热备技术具体技术实现：每个核心服务器均具有两个以太网接口（可以通过安装双网 卡实现），在此基础上，以上图为例，DB服务器A与DB服务器B先分别利用 自己的一个以太网接口实现两个服务器之间的直连，每个服务器另外的一个接口 则与服务器区的网络实现互连，以达到双机热备的目的。因此增加服务器的稳定 性与高效性。本网络中应具有多台服务器设备，包括DB SERVER数据库服务器，WEB,CATALOG等应用服务器，NEWS,MAIL等通讯服务器及多媒体服务器等

27、。3.310 IP地址规划原则IP地址构成了整个Internet的基础，IP地址资源是整个Internet的基本核心 资源，IP地址资源的合理分配和有效利用是整个Internet发展过程中持续有效的 一个极具分量的研究课题。我们在对企业园区网IP地址编址设计和分配利用时，遵循了以下几个原则：1）、自治：整个园区网络网络被划分成几个大的自治区域，每个大自治区域中又 被划分成几个小的自治区域。2）、有序：我们按照自治原则将网络进行逻辑划分后，就根据地域、设备分布及 区域内用户数量来进行子网规划。同时，我们将IP地址规划和网络层次规划、 路由协议规划、流量规划等结合起来考虑。在进行地址分配时，为了提

28、高地址分 配效率和地址利用率，我们在编址设计时按照了一定的顺序进行。选择的顺序是 自上而下的顺序，即采用了业界领先的自顶向下网络设计（ Top-Down Network Design） 方法。3）、可持续性：考虑到园区内网络用户数将持续高速增长，网络所要承载的业务 量和业务种类越来越多，这使得网络需要频频进行技术升级、改造和扩容。 4）、 可聚合：在路由表急剧膨胀情况下，可聚合原则是网络地址分配时所必须遵守的 最高原则，可聚合原则要求在进行地址规划时，应提供足够的路由冗余功能。5）、尽量节约IPv4地址：由于IPv4地址越来越少，所以对于IPv4地址的使用 需要格外节约。IPv4地址的节约可以

29、通过动态编址技术和NAT技术等来实现。6）、闲置IP地址回收利用：对于已分配出去的静态IP地址进行定期追踪管理， 对长时间闲置的IP地址可经过确认后回收重复利用。此次方案的设计，我们决定采用一个内部私有A类地址（10.0.0.0）对企业 园区的网络设备编址。由于从方案本身的网络拓扑图采用了典型的层次化设计， 所以对IP地址的编址设计也应采取层次化的设计来完成，并采用VLSM来拓展 有限的IP地址。网段描述所需的IP地址数骨干核心层链路5（2个用于拓展备份）集团总部1000生产部500客户部500机械厂1000大型机/服务器群500企业VOIP语音系统2000VLSM是可变长子网掩码的英文缩写，

30、它提供了一个主类（A类、B类、C 类）网络内包含多个子网掩码的能力，可以对一个子网再进行子网划分。VLSM 的优点1、对IP地址更为有效的使用2、应用路由归纳的能力更强所以我们采取VLSM对网络进行编址，以达到节约IP地址，能够使用路由 汇总的目的。首先采用一个 A 类网址对园区网主体结构进行编址，至上而下的设计思路有利 于设计的最后成型和网络的健壮性。其次，在语音电话系统中，每一个IP电话需要一个IP地址以及诸如子网掩码、 默认网关等的相关信息。事实上，这意味着一个组织需要指派两倍于IP电话的 IP地址给当前所有的pc用户，这个由DHCP提供。我们使用私有遍址的IP电 话作为语音电话遍址方案

31、。私有遍址IP电话：1028.3172.16.8.5IP 电话使用 172.16.0.0 网络 OOO口口口口 ! L -口口 zooIP电话+PC在同一交换机端口上最后经过我的计算，将各部门IP地址分配如下表:IP地址网段VLAN编号默认网关财务部192.168.10.0/2410192.168.0.254/24生产部192.168.20.0/2420192.168.0.254/24销售部192.168.30.0/2430192.168.0.254/24行政部192.168.40.0/2440192.168.0.254/24用户地址与VLAN划分Web 服务器 IP 地址：192.168.1

32、00.1/24FTP 服务器 IP 地址：192.168.100.2/24路由器出口 IP地址：222.18.44.3/24第四章 网络安全及管理机制4.1 完善的安全机制企业楼宇交换机通过内在的多种安全机制可有效防止和控制病毒传播和网络 流量攻击， 控制非法用户使用网络，保证合法用户合理化使用网络，如端口安 全、端口隔离、ACL、端口 ARP报文合法性检查、基于数据流的带宽限速、 六元素绑定等等， 满足企业网加强对访问者进行控制、限制非授权用户通信的 需求；在汇聚、核心交换设备设置由硬件实现 ACL，对病毒进行过滤，我们 选用的汇聚、核心交换设备都支持SPOH,所以在使用ACL时将不会影响整

33、个 交换机的性能。1. 硬件实现端口与MAC地址和用户IP地址的绑定，严格限定端口上用户接 入。2. 通过 Private VLAN 可以在交换机的同一 VLAN 中提供端口之间的通讯 或安全隔离，确保数据流进入有效端口，而不会被发送到其它端口，即解决了因 传统 802.1QVLAN 造成 全网 VID 资源不够的问题，同时又无需利用安 全规则 资源即能达到隔离不同用户以及不同 组用户之间通讯的功能，充分保 护用户隐私。3. 可实现用户账号、 MAC 地址、 IP 地址、交换机 IP、 交换机端口等六大元 素之间的灵活任意绑定，有效确认用户合法性和唯一性。4. 支持业界特有的 IGMP 源端口

34、检查，有效杜绝非法组播源播放和大量占用大 量网络带 宽，提高网络安全性。5. 提供极为有效的 Port Blocking 功能，避免端口受到其它端口发送的广播包、 多播包等报文的干扰，有效减轻端口负载负担，提高端口带宽，保护用户 PC 更 高效安全地运行。6. 基于源 IP 地址控制的 Telnet 和 Web 设备访问控制，增强了设备网管 的 安全性，避免黑客恶意攻击和控制设备。7. 提供加密传输Secure Shell (SSH),保证管理设备信息的安全性，防止黑客 攻击和控制设备。8. 可灵活控制 2-7 层数据报文，使得任何一个用户 PC 上的任何一种应用报文 通过网络都能得到有效控制

35、，充分保障了网络的安全和合理化使用。4.2 解决安全威胁在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必 须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手 段，才能有效的保证企业网络的稳定运行。1.防冲击波病毒随着蠕虫病毒等的攻击手段呈多元化发展，单一的防护措施已经无能为力保 卫校园网络安全。 IDS 只能根据预先定义的策略进行检测，对新的攻击方式无 能 为力，或者当 IDS 侦测到某终端用户感染病毒后，只能将相关信息形成报 告通知 网管人员，等待处理。然而，此时受感染的用户可能已经通过网络散播 到了校园 网络的各个角落。2. 来自网络内部的恶意或误操作攻

36、击据相关数字显示，目前，网络遭受的恶意攻击 90以上是来自于内部，诸 如窃取他人密码等重要信息、盗打 IP 电话、校园一卡通金额被盗等事件时 有 发生。对此，如果仅仅 倚靠被动的监测方式，就给事后追查“嫌疑人”的网 管 人员制造了难以逾越的瓶颈。4.3 VPN (虚拟专用网)虚拟专用网(virtual private network)是一种在公用网络上通过创建隧道，封装 数据模拟的一种私有专用链路。隧道起一个提供逻辑上点对点连接的作用，从隧 道的一端到另外一端支持数据身份验证和加密。由于数据本身也要进行加密，所 以即使通过公共网络，它仍然是安全的，因为即便数据包在通过网络结点时被拦 截(如经过

37、服务器时)但只要拦截者没有密钥。就无法查看包的内容。从内容上来说 VPN 的连接主要可以分为两个部分，即隧道的建立和数据的 加密，在第 2 层上常见的隧道协议包括 PPTP(Point to Point Tunneling Protocol) 点对点隧道协议，还有 L2TP(Layer2 Tunneling Protocol)第二层隧道协议， L2TP 隧道能够提供 ATM 和 FRAME RELAY 上的隧道，而且由于不依赖 IP 协议，它 还可以支持不止一个连接，那么一般的网络设备如路由器等大多支持 这个协议。 在第三层上创建的隧道是基于 IP 的虚拟连接，这些连接通过收发 IP 数据包实

38、现， 这个抱被封装在由 IETF(Internet Engineering Task Force )指 定的协议包装之内。包装使用IP sec, IKE,以及身份验证和加密方法，如MD5, DES，以及SHA。数据加密使用的加密数据协议有MPPE,IPSEC,VPND,SSHH IP SEC 可以与 L2TP 一 起使用,这个时候 L2TP 建立隧道, IPSEC 加密数 据,这种形式下 IP SEC 运行于传输模式。第五章 网络设备选型校园网网络系统从结构上分为核心层、汇聚层和接入层。核心层主要是实现 骨干网络之间的优化传输,骨干层设计的重点是冗余能力、可靠性和高速的传输。 因为学校存在大量的语音和视频传输。据此，考虑汇聚层对 QOS 有良好的支持 并且能提供大的带宽。接入层设备是最终用户的最直接上联的设备，它应该具备 即插即用特性以及易于维护的特点。在接入层面，通过定义相应的访问策略，实 现访问控制，内外隔离。第六章 方案的扩展性考虑本方案中所采取的技术与产品充分考虑到了网络未来的升级与发展，无论从 企业网的扩展到广域网的建设都作了周密的考虑。再是由于系统选择的是最成熟 与标准的快速以太网技术，把网络已构筑了高速和坚固的信息高速公路，面对未 来的发展将处于非常有利的境界。