毕业设计（论文）-曹妃甸港口股份有限公司网络规划与设计.doc

河北工业职业技术学院专向任务报告书任务题目： 曹妃甸港口股份有限公司 网络规划与设计系 别 计算机技术系 专业年级 10级移动通信（3G通讯方向） 学生姓名 学号 35141001028 指导教师 职称 讲师 完成地点 唐山市路北区钓鱼台66号小区 商业楼北10号 日 期 2013.2.252013.5.25 目 录一、绪论11、课题背景1二、网络基础设计41、设备软件版本42、设备命名53、 VLAN的划分54、 IP地址规划65、路由设计86、网络拓扑图97、路由规划12三、网络安全131、网络安全概述132、防病毒设计16四、主干线路设计191、光纤的定义192、光纤的种类203、光纤的端接20五、系统调试211、调试目的212、调试实例21六、结论26七、参考文献27河北工业职业技术学院学生顶岗实习专项任务书专项任务名称 曹妃甸港口股份有限公司网络规划与设计 姓名 专业 移动通信（3G通讯方向）班级10届 学号 35141001028一、 任务情况描述：1对网络建设具有先期的指导性；2使用户对所建设的网络有一个全面的了解；3对以后的网络实施和验收提供依据。4 网络规划的思想方法二、 任务完成计划：4.1 4.7 搜集资料 4.8 4.14 进行需求分析，初步完成网络大致规划4.15 4.21 确定设计方案，选取系统主要网络设备4.22 5.3 确定实施方案，完成路由规划，IP规划等5.4 5.25 撰写设计说明书，准备答辩三、 计划答辩时间： 2013年5月25日实习指导教师（签字）： 系学生顶岗实习领导小组组长（签字）：年 月 日 年 月 日曹妃甸港口股份有限公司网络规划与设计设计者：指导老师：孙一、绪论1、课题背景随着信息技术突飞猛进的发展，网络在现代生活中已经不是一个令人们陌生的名词，它已经涉及到我们的生活、工作、消费、娱乐等各个领域，同时网络技术的迅猛发展也给我们的网络平台增色不少。网络传输、办公系统的应用、视频会议等的应用大大提高了工作效率和网络的使用价值。在我们日常生活中网络系统很多，例如：企业园区网、校园网、虚拟局域网、广域网、城域网等。这些网络系统都运用了不同的技术以保证系统的稳定、安全、高性能运行。本课题通过应用H3C公司的Comware软件平台10设备搭建网络环境，具有一定的实际应用价值。通过该毕业设计，使我们了解了网络系统设计的完整环节，掌握从事网络工程方案规划的一般方法，学会了将自己所学基础知识与实际应用相结合，对培养我查阅文献资料能力、外文阅读和翻译能力、以及在网络技术应用领域中的实际工作能力有重要意义。（1）本课题研究的意义本设计是一种基于OSPF、MSTP+VRRP的园区局域网设计方案，本系统通过合理的网络规划和路由规划实现局域网内的数据高速现行转发。通过链路和设备的冗余设计实现了园区网的零故障发生，且具有良好的网络自愈能力。无线部分使用最新的802.11n实现无线网络的无缝连接，保证用户的自由漫游。本园区网较以前的传统网络具有设计理念新颖、路由动态学习收敛速度快、千兆到桌面、从接入设备到公网出口一线式备份冗余设计。特别是在网络搭建完成后可以对每台设备实现远程Telnet管理和WEB管理等，具有管理方便的特点。考虑企业远程办公的特点，本网络专门设计了VPN（Virtual Private Network），Comware软件平台支持丰富的安全业务和VPN特性，主要包括：身份认证技术（AAA、PKI）、接入安全技术（802.1x、MAC认证）、隧道技术（L2TP、GRE）、防火墙技术（包过滤防火墙、ASPF）、安全管理技术（SSH）及安全套接层技术（SSL），大大增强了数据在互联网上的安全性7。（2）本课题的研究方法首先从网上查阅企业园区网络的相关资料，了解同类系统的发展现状及趋势；其次，综合运用以前所学过的相关知识（动态路由协议，VLAN技术，WLAN技术，生成树协议，园区网搭建及维护等）在设计中以需求分析为基础，选择H3C网络设备搭建网络环境，Microsoft Office Visio 2007绘制网络拓扑图和设备摆放图。网络规划完成后搭建真实网络环境，并对园区网络各部分进行调试和测试。最终进行综合调试和运行。（3）企业园区网简介曹妃甸港口公司的信息化建设刚起步，随着业务规模的扩大以及新业务的推广、OA应用系统的增加，以及OA地点的搬迁。现有的网络模式已经不能满足应用、带宽、安全、线路类型和管理规范性等要求。根据数据集中的规范要求，以及业务发展新的需要，本着先进性、现实性和经济性统一的原则进行曹妃甸港口公司网络的建设，充分发挥网络的承载支撑作用，为各类生产和OA信息系统提供统一的综合业务网络平台。根据曹妃甸港口公司的网络系统总体设计方案，曹妃甸港口公司业务可以分为两类：一类是OA业务；一类是ERP业务。两种业务之间有一定的信息流，但又各自独立.对于ERP业务业务，目前其信息流向都是纵向的，同级机构之间的业务信息交换都经过上级机构转发。在时延方面，ERP业务业务的实时性要求高，要求在限定的较短的时间内完成。这个时间通常为数秒。在流量方面，ERP业务业务信息相对于管理业信息流量较小，时间分布有规律，突发性流量较易预测。对于OA业务，其信息流向与曹妃甸港口公司组织结构相关，行内的OA业务基本上是纵向流量，在将来的企业内部网中会有横向流量。在时延方面，OA业务有两种不同的要求：一种是语音、活动图象、电视会议等多媒体业务实时性非常强；另一种是普通管理信息，如文件、图象等，基本上是非实时性的，只要在一定时间内完成即可。目前曹妃甸港口公司OA业务数据主要是在局域网上传输，在广域网上传输的数据量不大。但随着业务的发展，OA业务数据在广域网上的传输也会逐渐增多。OA业务信息流量具有突发性、不确定性和信息量大的特点。因此，OA网对带宽的要求更高。港口公司网络系统现在要求在部分区域部署无线局域网，覆盖部分办公区和楼内会议场所。WLAN网络作为有线网络的补充，方便工作人员的移动办公，但是由于WLAN网络的公开性，同时也方便了非法用户的私自接入。因此，本次WLAN要满足以下安全要求：公司内部用户PC接入网络时需要通过认证，禁止未经许可的用户接入公司网络，包括有线和无线接入；保证网络访问的安全性，支持802.1x安全认证方式或web portal认证。认证以后通过用户名分配不同IP网段，根据不同IP网段分配不同的访问控制权限；访客提出申请后（不需要额外安装软件），提供有时效的临时接入帐号，可方便的接入互联网。工程布线和安装要求如下：供电部分：采用AP本地供电方式。室内部分：定好较为开阔位置，将网线走暗线敷设到位；如果挂在墙上，可利用设备本身自带的安装附件进行安装；如果需要遮蔽，则需要定制非金属安装盒；如果是挂在天花板上，则根据天花板的情况而定，若天花板是非金属结构，可以固定在天花板内。安装过程中应充分考虑防盗问题。总之网络建设中网络的核心节点均采用电信级设备，汇聚层到核心层之间通过多条光纤链路保证网络的高可靠性。OA和ERP之间通过VLAN逻辑隔离，以防止病毒和黑客进入业务网，保证网络的高安全性。考虑整个网络的高性能要求，接入设备采用全千兆交换机满足网络的高性能。为了保证OA外网用户高速上网，避免由于采用BT等软件下载占用整个出口，采用用户流量控制设备和千兆防火墙实现互联网出口的管理满足网络的高控制性。核心设备采用支持iMC网络管理软件系统的设备构成，以便管理，保证管理的延续性，并在保证安全的情况下，实现OA外网特殊用户能够访问内网设备，进行管理。 二、网络基础设计1、设备软件版本综合考虑设备所需使用的功能及设备的稳定性，建议设备所用软件版本如下表2-1所示：表 2-1软件版本配套表设备名称软件版本发布时间H3C SR6604H3C SR6600-CMW520-R2507P01-RSE2011-3-31 17:21:17H3C 9512EH3C_S9500E-CMW5.20-R13352011-4-12 10:31:34H3C S5120-EIH3C S5120EI-CMW5.20-R22082011-1-5 16:33:50H3CWA2610E-AGNWA2600-CMW520-R1109P04-FIT2011-1-25 17:39:222、设备命名用如下方式进行设备命名规划：网络及安全设备：设备类型-设备名称-冗余设备序号举例说明：中心机房核心核心交换机1核心交换机1：SWITCH_CORE_1SWITCH为设备类型，CORE表示核心设备，1表示为该核心交换机部署的为双机中的第一台。为了便于设备维护，设备部署之后，设备主机上应粘贴标签，标明主机名称和管理IP地址，设备互联线路两端粘贴标签，标明此线路连接两端的设备类型和接口编号等信息。 3、 VLAN的划分VLAN（Virtual Local Area Network）是虚拟局域网的意思。通过减小网络内主机的数量来实现，将大的广播域隔离成多个小的广播域，从而提高整个网络的带宽利用率。经过一段时间的发展，出现了我们现在广泛应用的VLAN技术一种专门为隔离二层广播报文涉及的虚拟局域网技术2。（1）VLAN的划分为保证网络不同区域间的访问控制，同时减少网络中的广播数量，应使用VLAN将不同用户组和应用组的广播域分隔出来。局域网接入交换机按照功能区域划分VLAN，不同职能部门或不同服务划分不同VLAN，VLAN号码从10开始，以1为单位进行递增，如11、12、13等。（2）IP地址划分设备互联网段：172.18.253.0/24设备管理地址：172.18.254.0/24业务网段地址：172.18.10.0/24172.18.254.0/24业务网关地址：172.18.10-254.254/244、 IP地址规划根据实际需求，IP地址分为业务网段和设备互联网段。（1）业务网段地址规划由于业务的不同特点和职能部门的差异，为了方便管理做出地址规划如下表2-2所示：表 2-2 业务地址规划表序号vlan号描述接口及vlanIP地址虚拟IP110办公楼一二层172.18.10.253/252172.18.10.254211办公楼三四层172.18.11.253/252172.18.11.254413办公楼五六层172.18.13.253/252172.18.13.254514办公楼七八层172.18.14.253/252172.18.14.254615变电所172.18.15.253/252172.18.15.254716领导办公室172.18.16.253/252172.18.16.2548171号侯工楼172.18.17.253/252172.18.17.2549182号侯工楼172.18.18.253/252172.18.18.25412213号侯工楼172.18.21.253/252172.18.21.2541322库房172.18.22.253/252172.18.22.2541423门卫172.18.23.253/252172.18.23.2541625电力172.18.25.253/252172.18.25.2541738门禁172.18.38.253/252172.18.38.2541839食堂172.18.39.253/252172.18.39.2541940系统测试172.18.40.253/252172.18.40.25420100OA服务器172.18.100.253/252172.18.100.254（2）管理VLAN及管理接口地址在网络规划与设计中，管理业务单独占用一个网段3，且对全局每台设备制定不同的IP管理地址。详见下表2-3(1)(2)所示：表2-3 管理地址规划表(1)管理地址设备名称物理位置型号172.18.253.233EX_ROUTE五层机房SR6604172.18.253.237172.18.253.253EX_FIREWALL_1五层机房F1000-A172.18.253.245172.18.253.249EX_FIREWALL_2五层机房F1000-A172.18.253.241172.18.254.253FIREWALL_CORE_1五层机房插卡172.18.254.252FIREWALL_CORE_2五层机房插卡172.18.254.251SWITCH_CORE_1五层机房7510E172.18.254.250SWITCH_CORE_2五层机房7510E172.18.254.249AL_SWITCH_OFFICE_01五层机房5100-24P172.18.254.248AL_SWITCH_OFFICE_02五层机房5100-24P172.18.254.247AL_SWITCH_OFFICE_03五层机房5100-48P172.18.254.246AL_SWITCH_OFFICE_04五层机房5100-48P172.18.254.245AL_SWITCH_OFFICE_05五层机房5100-48P172.18.254.244AL_SWITCH_OFFICE_06五层机房5100-48P172.18.254.243AL_SWITCH_OFFICE_07五层机房5100-48P172.18.254.242AL_SWITCH_OFFICE_POE_1五层机房5100-16TP-POE172.18.254.241AL_SWITCH_OFFICE_POE_2五层机房5100-16TP-POE172.18.254.240AL_SWITCH_OFFICE_POE_3五层机房5100-16TP-POE172.18.254.239AL_SWITCH_OFFICE_POE_4五层机房5100-16TP-POE172.18.254.238AL_SWITCH_OFFICE_POE_5五层机房5100-16TP-POE172.18.254.237AL_SWITCH_OFFICE_POE_6五层机房5100-16TP-POE172.18.254.236AL_SWITCH_OFFICE_POE_7五层机房5100-16TP-POE172.18.254.235AL_SWITCH_OFFICE_POE_8五层机房5100-16TP-POE172.18.254.234AL_SWITCH_WAITWORK_011候工楼1F5100-16TP172.18.254.233AL_SWITCH_WAITWORK_021候工楼2F5100-24P172.18.254.232AL_SWITCH_WAITWORK_031候工楼3F5100-24P172.18.254.231AL_SWITCH_WAITWORK_041候工楼4F5100-24P172.18.254.230AL_SWITCH_WAITWORK_052候工楼1F5100-48P172.18.254.229AL_SWITCH_WAITWORK_062候工楼2F5100-48P172.18.254.228AL_SWITCH_WAITWORK_072候工楼3F5100-48P172.18.254.227AL_SWITCH_WAITWORK_082候工楼4F5100-48P管理地址规划表(2)管理地址设备名称物理位置型号172.18.254.226AL_SWITCH_WAITWORK_092候工楼5F5100-48P172.18.254.225AL_SWITCH_WAITWORK_102候工楼6F5100-48P172.18.254.224AL_SWITCH_WAITWORK_113候工楼1F5100-48P172.18.254.223AL_SWITCH_WAITWORK_123候工楼2F5100-48P172.18.254.222AL_SWITCH_WAITWORK_133候工楼3F5100-48P172.18.254.221AL_SWITCH_WAITWORK_143候工楼4F5100-48P172.18.254.220AL_SWITCH_WAITWORK_153候工楼5F5100-48P172.18.254.219AL_SWITCH_WAITWORK_163候工楼6F5100-48P172.18.254.218AL_SWITCH_OTHER_01仓库5100-16TP172.18.254.217AL_SWITCH_OTHER_02食堂5100-16TP172.18.254.216AL_SWITCH_OTHER_03机修5100-16TP172.18.254.215AL_SWITCH_OTHER_04集装箱大门5100-26TP172.18.254.214AL_SWITCH_OTHER_05门卫15100-16TP172.18.254.213AL_SWITCH_OTHER_061#变电所5100-16TP172.18.254.212AL_SWITCH_OTHER_071层保安主控5100-16TP172.18.254.211AL_SWITCH_OTHER_08门卫45100-16TP172.18.254.210AL_SWITCH_OTHER_09给水泵站5100-16TP172.18.254.209AL_SWITCH_OTHER_102变电所5100-24P172.18.254.208AL_SWITCH_OTHER_113变电所5100-24P172.18.254.207DL_SWITCH_SERVER_01五楼机房5100-24P172.18.254.206DL_SWITCH_VIDEO_01八楼机房7503172.18.254.205AL_SWITCH_VIDEO_01八楼机房3600-52P172.18.254.204WLAN_MANAGER_018楼机房插卡172.18.254.203WLAN_MANAGER_028楼机房插卡172.18.254.202AL_SWITCH_OTHER_12集装箱大门5100-16TP5、路由设计（1）骨干网路由规划在本期项目中，设计采用OSPF协议作为整个网络的IGP协议。为了方便管理接入设备和核心设备之间采用缺省路由。（2）OSPF路由规划曹妃甸港口公司核心交换部分使用OSPF骨干区0，出口路由部分使用区域1。在OSPF链路冗余部分通过改变OSPF花销值选择物理链路8。6、网络拓扑图根据实际需求分析，先做出曹妃甸港口网络拓扑图，如下图2-4所示：图 2-4 曹妃甸港口网络拓扑图（1） 路由规划在互联网飞速发展的今天，TCP/IP协议已经成为数据网络互联的主流协议。现在各种大型网络构建中，为节省投资、保证网络的持续扩展性，都在使用开放、标准而又健壮的协议。本次网络规划涉及部分ERP的核心设备。我们建议所采用的协议和技术完全符合国际或国家通用的开放标准，并在网络平台，网络架构和设备上要求适应并支持未来应用系统的变化和网络需求的变化，具有易扩展能力。因此本项目网络构建中，我们建议全网使用开放标准的OSPF+静态（或RIP）路由协议，这将使得网络在以后的扩展中具有更多的选择空间，不会因为使用某一封闭标准扩展受到限制。OSPF计算出来的路由有如下优点：OSPF快速收敛4：能够在最短的时间内将路由变化传递到整个自治系统并完成路由重新计算。支持等价路由负载分担，能更有效地利用链路资源。提出区域（area）划分的概念，大大减少了整个自治系统所需传递的路由信息数量，减轻了对路由器的性能需求和管理难度，也使得路由信息不会随网络规模的扩大而急剧膨胀。（2）MSTP、VRRP协议规划MSTP（Multiple Spanning Tree Protocol，多生成树协议）由IEEE制定的802.1s 标准定义，弥补STP 和RSTP 的缺陷，既可以快速收敛，MSTP可以建立不同的实例并通过实例与vlan之间的映射关系实现数据的不同传输路线，为冗余链路提供了更好的负载分担机制。MSTP（多生成树协议）能针对不同的VLAN群生成互不相关的生成树，如图2-5所示： 图2-5 MSTP协议示意图在设计中具体实施如表2-6所示。表2-6 MSTP具体配置设备名称具体配置SWITCH_CORE_1stp enable stp instance 0 root primary stp instance 1 root primary stp instance 2 root primarystp region-configurationregion-name cfd instance 1 vlan 10 to 29 100 to 109 instance 2 vlan 30 to 99 110 to 254 active region-configurationDL_SWITCH_SERVER_01stp enablestp region-configurationregion-name cfdinstance 1 vlan 10 to 29 100 to 109instance 2 vlan 30 to 99 110 to 254active region-configurationVRRP（virtual router redundancy protocol，虚拟路由冗余协议）是一种LAN接入设备备份协议，提供虚拟的三层设备与其他网络进行通信，但实际的数据由MSTER交换机执行，如果备份组中的MSTER交换机坏掉了，备份组内的其他BACKUP三层交换机将会替换成新的MSTER，继续向网络内的主机提供路由服务。实现网络内的主机不间断地域外部网络进行通信，保证了局域网的可靠性。图 2-7 VRRP协议示意图在设计中具体实施如表2-8所示。表2-8 MSTP具体配置设备名称具体配置FIREWALL_CORE_1interface Vlan-interface10 ip address 172.18.10.253 255.255.255.0 vrrp vrid 10 virtual-ip 172.18.10.254FIREWALL_CORE_2interface Vlan-interface10 ip address 172.18.10.252 255.255.255.0 vrrp vrid 10 virtual-ip 172.18.10.2547、路由规划（1）OSPF router id规划每台设备的router id设置为与该设备的loopback地址，以此保证路由条目的稳定性。（2）OSPF子区（AREA）规划OSPF有两种类型的路由选择方式：当源和目的地在同一区时，采用区内路由选择；当源和目的地在不同区时，则采用区间路由选择。这就减少了网络开销，增加了网络的稳定性。给网络的管理、维护带来方便9。三、网络安全网络安全是任何一个网络建设时首先要考虑的重要问题。TCP/IP网络本身就存在很多安全漏洞，很容易被一些恶意用户利用并实施攻击，或非法占用网络资源，侵犯其它用户的合法利益，甚至导致整个网络系统崩溃。任何一个网络设备都必需首先具备足够的自我保护和防范能力。1、网络安全概述网络安全是指和网络相关的安全问题。网络的主要功能是为其他通信实体（主机、服务器）提供信息传输服务。从这个角度看，网络安全的核心就是如何关注以及如何保障网络安全地实施其基本功能：传输信息。网络安全问题层次不穷，网络安全问题也处于不断发展当中。对关键的主机系统和子网，能够进行网络资源检查，并及时发现问题。使用安全扫描软件，对关键的主机系统和网络定期进行扫描，可以查出网络弱点和策略配置上的问题。根据扫描软件发现的问题，及时更新操作系统补丁，查杀病毒，更新安全策略。定期强制更新用户口令，并制定用户口令规则，禁止使用不符合规则的口令。定期检查文件系统的访问权限是否合理，检查用户帐号的使用是否正常。同时设备通过完善的QoS功能能够严格的控制网络流量，提高网络效率，在局域网通过VLAN划分来防网络窃听。此外，网络设备的在管理中应该采用如下的安全措施：关闭不必要的服务，如Finger、BOOTP、DHCP。限制使用Telnet、SNMPv1等不安全的网络协议对设备进行管理，而应该采用SSH、SNMPv3。限制不必要的路由交换，将接口置为Passive状态。路由设备在交换路由信息时必须经过验证。验证应该使用加密方式。将网络上的事件记入日志。对用户操作进行进行审计。提供用户验证、授权和计费的手段，并通过上述安全手段对合法用户进行安全保障。能够禁止用户IP地址仿冒能够进行地址的真实性校验能够及时发现和阻断非法用户对网络的刺探和攻击。（1）网络安全技术曹妃甸港口公司网络局域网实现的功能较多，设计复杂，包括的网络模块也较多，包括核心交换区，服务器群，前置接入区等不同功能区采用的安全措施不同。核心交换区：作为局域网核心，完成整个局域网的路由处理，流量交换及数据高速转发，这部分的安全处理比较简单，重点是设备安全。由于这部分实际上是整个网络的流量交换中心，可以在核心交换设备上通过端口镜像功能将符合一定条件的流量镜像到流量分析设备上，以完成高级别的网络流量分析，发现安全隐患，改善网络规划。除了网络安全，该区域还需关注服务器的系统安全：使用安全扫描软件，对关键的主机系统和网络定期进行扫描，可以检查出网络弱点和策略配置上的问题。根据扫描软件发现的问题，及时更新操作系统补丁，查杀病毒，更新安全策略。部署基于网络的入侵检测系统，及时处理入侵检测系统的报警，已发现攻击、蠕虫等异常情况。定期强制更新用户口令，并制定用户口令规则，禁止使用不符合规则的口令。定期检查文件系统的访问权限是否合理，检查用户帐号的使用是否正常。并定期整理归档入侵检测系统的日志并对用户操作进行进行审计。前置接入区：这部分虽然各自的功能不同，但是安全设计的重点都是对接入用户/主机的管理。在这些区域中，首先要根据区域内部用户/主机的功能及权限划分VLAN，在终结VLAN的三层交换机上，通过ACL控制各VLAN之间互访及VLAN对其它网络资源的访问。对于一些特殊用户（如流动人员，特权用户或是某个关键办公区等），除了划分单独的VLAN之外，还要有更强的基于用户的管理措施。用户管理主要包括以下几个方面：用户身份管理：确保每个合法用户都具有一个唯一的身份标识，并且通过该标识可以唯一的确定一个合法用户。用户接入管理：确保只有合法用户才能够访问网络。用户权限管理：确保合法用户用户只能使用所授权的网络资源。用户使用网络管理：记录用户使用网络的过程及操作，确保一旦出现问题进行追踪及回溯。目前最常用的用户管理方式是基于用户名密码的认证授权管理，在以太网接入网络中，常通过802.1x及WEB认证两种方式进行，前者需要在用户主机上安装802.1x 客户端软件，后者没有此要求。二者都可以在认证通过后授权用户可的网络访问范围，目前此功能主要通过ACL实现。（2）终端安全准入系统目前，在企业网络中，用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是，脆弱的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散，进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业急需解决的问题。网络安全从本质上讲是管理问题。H3C终端准入控制（EAD，End user Admission Domination）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。EAD解决方案对用户网络准入的整体认证过程如下图3-1所示：图 3-1 EAD整体认证过程2、防病毒设计近年来，在全球范围内，各类病毒及恶意代码对公共网络、机构局域网及信息资源的侵害日趋严重，甚至将此作为战争手段的报道也已经常见诸报端。根据北京卡巴斯基科技有限公司的监测，二一零年截至十一月二十三日，增量已达494159，日均近640，形势相当严峻。随着我国综合国力的迅速增长，各种敌对势力对我国政治、国防、外交、金融、科技、能源、资源、及社会生活的方方面面的信息的有目的的盗取、破坏也已达到无时无刻、无孔不入的状态。港口公司网络要求有充分和可靠的安全措施，以保障内部网络服务的安全性和高效性，及网络信息的完整性。要把网络安全层、信息服务器安全层、数据库安全层、及信息传输安全层作为一个系统工程来考虑。网络安全应包含：数据安全，预反病毒，网络安全层，操作系统安全，安全系统等。根据本方案用户针对自身内部网络以及自身实际情况相结合，提出的不同以往的特殊安全需求，北京卡巴斯基科技有限公司技术部通过以往积累的大量成功案例，特别是国家级机要机构应用卡巴斯基产品构建反病毒内网系统的成功经验，并考虑到目前各种移动计算设备数量的大量积累和持续显著增长，拟定出一套适合港口公司特殊安全需求的开放空间安全解决方案，以保证内网安全。由于港口公司的内部网络环境为集中的固定网络模式，且升级模式单一，则只需在内网中设置一台反病毒升级服务器，对全网提供反病毒服务。根据港口公司提出的特殊安全需求，推荐使用卡巴斯基反病毒开放空间安全解决方案企业级产品，通过统一部署，达到港口公司需求标准，实现全网统一杀毒、单一服务器升级、内部网络IP多点传送式升级，详细部署模式见下图3-2所示。图3-2 卡巴斯基部署示意图具体设置如下：为服务器制定保护策略，如下图3-3所示：图3-3 卡巴斯基杀毒服务器策略制定为客户机制定保护策略，如下图3-4所示：图3-4 卡巴斯基服务器为客户端策略制定为客户机制定杀毒任务，如下图3-5所示：图3-5 卡巴斯基服务器为客户端制定杀毒任务四、主干线路设计1、光纤的定义用玻璃制成的光导纤维，就是我们所说的光纤1。光纤的结构大致分为里面的内核部分与外面的包覆部分。为了要局限光信号于内核，包覆的折射率必须小于内核的折射率。渐变光纤的折射率是缓慢改变的，从轴心到包覆，逐渐地减小；而突变光纤，在内核-包覆边界区域的折射率是急剧改变的。2、光纤的种类多模光纤：多模光纤具有内核直径大（大于 10 微米）的物理性质，可以用几何光学的理论来分析，这种光纤称为多模光纤。多模光纤的内核直径可以小至 50 微米，或者大至几百微米。单模光纤：内核直径小于传播光波波长约十倍的光纤。只允许一种横模传导的光纤称为单模光纤。最常见的一种单模光纤，内核直径大约为 810 微米，专门用于传导近红外线。3、光纤的端接光纤的接头分类：FC型光纤连接器：外部加强方式采用金属套，紧固方式为螺丝扣。 一般在ODF侧采用(配线架上用的最多)。SC型光纤连接器：连接GBIC光模块的连接器，它的外壳呈矩形，紧固方式是采用插拔销闩式，不须旋转(早期路由器交换机上常用)。ST型光纤连接器：常用于光纤配线架，外壳呈圆形，紧固方式为螺丝扣。对于10Base-F连接来说，连接器通常是ST类型（常用于光纤配线架）。LC型光纤连接器：连接SFP模块的连接器，它采用操作方便的模块化插孔(RJ)闩锁机理制成。根据需求分析结果，具体部署方式如下表4-1所示。互连设备光纤类型路由器防火墙LC-LC多模光纤防火墙核心交换机LC-LC多模光纤核心交换机光纤配线架LC-FC多模光纤光纤配线架接入交换机LCF-C多模光纤表4-1 光纤部署方式五、系统调试1、调试目的园区网络的调试由货硬件设备调试和软件系统调试两部分。基本网络环境搭建完成后可以对主网络进行调试。主网络的调试时保证网络传输的稳定性和业务的可用性，硬件调试时真个系统的主要部分也是核心部分。调试的目的就是针对网络的各个部分进行整合，通过不同业务不用应用的运行真正实现网络是办公、休闲娱乐、网上交易的载体的目的。2、调试实例上行路由器的调试：考虑到本园区网的特点是双出口上行且与内网之间运行的是OSPF协议。因此按照正常思路先调试内网部分，保证内网设备能互通。根据前文规划，在OSPF部分做出如下表5-1所示配置。表 5-1 出口路由器OSPF配置实例设备名称具体配置EX_ROUTEospf 10 default-route-advertise area 0.0.0.1 network 172.18.253.236 0.0.0.3 network 172.18.253.232 0.0.0.3即：创建进程号为10的OSPF进程，并且引入缺省路由和宣告互联设备的互联网段。上行防火墙调试：由于本园区网的特殊性，防火墙部分采用路由模式双链路上行，由于防火墙部署在核心交换机和上行路由器之间，所以涉及到数据走向的问题，在路由发布和数据选路方面利用OSPF来实现数据包的走向和路由的学习及发布，具体主要配置如下表5-2所示。表 5-2 出口防火墙板卡OSPF配置设备名称具体配置EX_FIREWALL_1ospf 10area 0.0.0.1network 172.18.253.236 0.0.0.3area 0.0.0.0network 172.18.253.244 0.0.0.3network 172.18.253.252 0.0.0.3EX_FIREWALL_2ospf 10area 0.0.0.0network 172.18.253.248 0.0.0.3area 0.0.0.1network 172.18.253.232 0.0.0.3network 172.18.253.240 0.0.0.3防火墙在网络总主要起安全的作用，因此在访问安全策略方面配置配置如下表5-3所示，通过划定安全域和非安全域来确定安全级别。表 5-3 出口防火墙安全策略配置设备名称具体配置EX_FIREWALL_1firewall zone localset priority 100firewall zone trustadd interface GigabitEthernet0/0add interface GigabitEthernet0/1set priority 85核心交换部分核心交换机是整个网络的核心，在数据转发和路由发布方面起着举足轻重的作用。考虑到数据的稳定可靠传输，本方案中设计到双机的操作。由于核心交换机下行全部采用二层物理连接且为双链路连接，不而言之会形成环路，由于二层网络本身广播的特殊性，会产生大量广播报文且会成倍广播形成广播风暴。因此在此必须消除网络中环路，所以生成树协议成了本此调试的主要对象。在生成树协议中选择了MSTP（多生成树协议）。因为MSTP可以在网络中实现实例与vlan的映射，从而实现核心设备之间的负载分担。具体配置如下表5-4所示。表 5-4核心交换机MSTP配置设备名称具体配置SWITCH_CORE_1stp instance 0 root primarystp instance 1 root primarystp instance 2 root primarystp enablestp region-configurationregion-name cfdinstance 1 vlan 10 to 29 100 to 109nstance 2 vlan 30 to 99 110 to 254active region-configuration在生成树协议中注意事项如下：首先保证全网的生成树域名相同。其次要保证VLAN和实例的正确映射。最后是制定跟桥的优先级。正确配置后才能保证全网生成树的根一直，以保证数据的正确传输。另外为了做到网关冗余备份，特此启用了VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）协议，本协议的主要特点就是实现网关的荣誉本分，一旦某个网关因为故障停止工作会在0秒内切换到另一台设备上，具体配置（以VLAN 10 为例）如下表5-5所示。表 5-5核心交换机VRRP配置设备名称具体配置EX_FIREWALL_1interface Vlan-interface10ip address 172.18.10.253 255.255.255.0vrrp vrid 10 virtual-ip 172.18.10.254另外在核心设备与接入设备之间的互联全部通过TRUNK接入方式连接，这样方便了不同设备相同vlan之间的通信，并且大大减少了没有必要的广播报文，具体配置如下（以聚合口1为例）：表 5-6核心交换机端口聚合配置设备名称具体配置SWITCH_CORE_1interface Bridge-Aggregation1description TO_SWITCH_CORE_2_BAG1 port link-type trunkport trunk permit vlan 1 to 254 1100接入部分：接入部分采用全千兆可网管智能交换机，由于双链路的因素也必须请用生成树协议，且必须与核心设备的生成树想关信息一致，以保证生成树协议的正确性，具体配置如下表5-7所示。表 5-7接入层交换机MSTP配置设备名称具体配置SWITCH_CORE_1stp enablestp region-configuration region-name cfd instance 1 vlan 10 to 29 100 to 109 instance 2 vlan 30 to 99 110 to 254 active region-configuration无线部分：在本设计中由于地理位置的特点和AP（Acess Point，无线接入点）数量的特点，无线部分采用集中式管理，即通过无线控制器统一管理。在配置无线之前首先