某公司企业网络规划与建设毕业论文.doc

某公司企业网络规划与建设毕业论文某公司企业网络规划与建设毕业论文 目目 录录 1 绪论.1 2 企业网络网络规划.2 2.1 网络设计原则.2 2.2 网络项目背景.2 2.3 IP 地址规划 .3 3 企业网络组建准备工作.4 3.1 企业的基本应用.4 3.2 企业网络结构规划.5 3.3 网络拓扑设计.6 3.4 网络设备选型.6 3.5 综合布线设计.12 3.6 INTERNET接入技术方案.13 3.7 服务器配置方案.13 3.7.1 POP3、WEB 和 FTP 服务器.13 3.7.2 OA 办公系统 .14 3.7.3 存储服务器.14 4 企业网络主要应用技术.15 4.1 路由协议-OSPF.15 4.2 RSTP MSTP 原理.15 4.3 NAT 的策略路由实现.16 4.4 VLAN 虚拟局域网的划分.17 4.5 ACL 访问控制策略.17 4.6 链路聚合.17 4.7 交换机端口安全.18 5 企业网络安全设计.19 5.1 企业网络的主要安全隐患 .19 5.2 网络安全防范体系层次.19 5.3 网络安全措施.20 5.4 安全措施具体实施.20 毕业设计（论文）报告纸 6 网络系统测试.24 6.1 设备配置.24 7 测试与验收.35 7.1 设备安装、调测、开通.35 7.2 移交测试.35 7.3 试运行验收测试.35 结 论.37 谢 辞.38 参考文献.39 毕业设计（论文）报告 纸 共 40 页 第 1 页 1 1 绪论绪论 随着网络的不断发展，网络办公信息化和设备数字越来越普及，企业网络 的管理也越来越重要。人们对网络的依赖也越来越大。 企业网不仅要使分布在不同地理位置上的计算机和各种设备互连互通为一 个统一的网络，还要提高资源管理水平以及提供多种服务，如办公自动化，WEB 服务，E-mail 服务，FTP 服务，Media 服务等，将企业的的各种信息资源组织 起来，以满足企业的各方面的需求。 该企业分为总部和分部，分部设立在上海以及深圳，总公司是设立在一个 三层的办公楼，有技术部（进行开发、设计、技术维护） ，销售部，财务部，人 事管理部门，各分公司有销售部，财务部，人事管理部门，各分公司之间以及 与总部间距离比较远，所以为了将其进行互联，运用到了帧中继技术，它是一 种局域网互联的 WAN 协议。为了使网络具有一定的安全性，企业网的内部网络 使用 VLAN 分段，隔离广播，防止网络内部窃听和非授权的跨网段访问，只允许 内部主机访问 Internet，而不允许外网用户访问内部主机。 毕业设计（论文）报告 纸 共 40 页 第 2 页 2 2 企业网络企业网络网络规划网络规划 2.1 网络设计原则网络设计原则 为适应某公司信息化的发展，满足公司未来几年的日益增长的业务需求， 同时使得内部系统安全性与有效性相并重，主要表现在如下几个方面： （1）可增值 企业网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增 值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力。 （2）安全保密性 能有效通过软硬件相互联动，有效保证企业网的安全；选择设备必须具有 较高的安全特性，如蠕虫病毒防御、ARP 欺骗防御、防代理、防攻击扫描、防 私设 DHCP 等功能。 （3）开放性 技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或 内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良 交换传送的需要； 2.2 网络项目背景网络项目背景 某是一家中小型公司，员工人数大约 300 人，主要做智能家居这一块市场， 属于经销商的性质。公司建筑是楼层建筑，包括可拓展点。 随着公司业务的发展，人员壮大，办公信息化以及自动化的需求，为提高 公司各个部门间办公信息化，需要建立一个完善和稳定的企业网络。 企业网要保证整个企业信息点的互联、高效、安全，可支持上百个用户同 时并发使用。而且要求企业网具有可拓展性，支持未来的发展，高速的、冗余 的、基于标准的网络。 公司现有四个部门，下表是关于各个部门所有主机的需求： 毕业设计（论文）报告 纸 共 40 页 第 3 页 表 2.1 IP 地址需求 网段描述所需的 IP 地址数 部门一100 部门二100 部门三100 部门四100 公网 IP 地址1 服务器（3 个）3 2.3 IP 地址规划地址规划 IP 地址的合理是保证网络顺利运行和网络资源有效利用的关键。企业网 IP 地址的分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合理 使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。具体 IP 网段地 址规划如下： 表 2.2 IP 地址规划 类别IP 地址VLAN 编 号 默认网关 部门一/2411/24 部门二/242224 部门三/2433/24 部门四/2444/24 服务器（4 个） /24 /24 /24 毕业设计（论文）报告 纸 共 40 页 第 4 页 /24 /24 /24 公网地址0/30 毕业设计（论文）报告 纸 共 40 页 第 5 页 3 3 企业网络组建准备工作企业网络组建准备工作 3.1 企业的基本应用企业的基本应用 (1) Intranet 应用 公司立企业内部信息网站，为公司内部所有网上用户提供公司策略、生产 调度、产品营销、物资供应、商情信息、销售幅度、员工信息等信息服务。集 团内部各部门可通过内部网站实现企业内部信息交流，主动地获取信息和提供 信息。 Internet 作为信息交流的基础设施，对信息技术的发展，信息市场的开拓， 以及信息社会的形成都起着十分重要的作用。公司所构造的网络正是通过 Internet 将企业内部与外界连接起来。这样公司可为广大客户提供他们所关心的 有关信息；在网络上提供 WWW，E-mail 等服务。这样可以大大的提升公司的 知名度，让更广泛的客户能够更方便，更多的了解本公司，对于公司的品牌效 应是不可估量的。 (2) MIS 管理信息的应用 一个企业信息管理系统大致包括这样几个子系统：数据的收集、整理系统， 输入系统，加工系统，传输系统，存储系统，检索系统，输出系统等。利用 MIS 管理信息系统能够最大限度地结合现代计算机及网络通信技术加强对企业 的信息管。MIS 的操作流程也相对简单，系统开发出来，前期只需很少的培训， 员工便能很轻易地与业务接轨，不过需要一个系统维护员，因为万一系统出现 bug，会直接影响公司业务水平，导致不必要的损失。 （3）OA 办公自动化系统应用 随着 Internet/Intranet 和 Web 技术的日益普及和推广，使得 Internet/Intranet 正逐渐成为企业信息化建设的有力工具。软件的进步大大改变着传统办公模式， 也会大大提高办公效率。办公自动化应用软件- Office Assistant 变成一个新的 发展方向。该软件采用 Browser/Server 模式，完全基于 Internet/Intranet 平台， 毕业设计（论文）报告 纸 共 40 页 第 6 页 针对企事业单位内部的管理流程，设计而成的一套方便、稳定、实用的办公自 动化软件。此系统有如下几大优势： 1. 实现远程办公和移动办公，随时随处办理工作事务 2. 通过工作流转的自动化，实现高效快捷的办公 3. 明确工作岗位与工作职责，有效监管工作人员的工作情况，实现实时工 作任务的监督与催办 4. 方便领导同各级工作人员的有效沟通 3.2 企业网络结构规划企业网络结构规划 将本公司的内部网络设计为三级层级： （1） 接入层 （2） 汇聚层 （3） 核心层 这样规划一是能够有良好的层次感，利于实现较为复杂的网络功能要求； 二是这样分层能够使每层的功能较容易实现也较清楚；三是采用这种分层方式 可以支持较大的网络规模便于企业网的升级扩大。 （1）接入层 接入层为用户提供对本地网段的访问，所需功能不必有多强大，它的主要 作用是将工作组计算机与汇聚层连接起来，主要完成逻辑网络分段，给予工作 组或 LAN 隔离广播通信以及在多个 CPU 之间分布服务。其特点有以下几点： 提供不同数量的 100M 端口到用户，提供 1000M 上行链路端口到汇聚层交 换机。 成本低，所有端口支持全线速二层交换。 网络设备扩展性好，可平滑升级。 （2）汇聚层 汇聚层设备一般采用可管理的三层交换机或堆叠式交换机以达到带宽和传 输性能的要求。主要作用是为接入层提供服务，为核心层维护与传达服务。其 毕业设计（论文）报告 纸 共 40 页 第 7 页 设备性能较好，但价格高于接入层设备，而且对环境的要求也较高，对电磁辐 射、温度、湿度和空气洁净度等都有一定的要求。汇聚层设备之间以及汇聚层 设备与核心层设备之间多采用光纤互联，以提高系统的传输性能和吞吐量。 （3）核心层 核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重 点通常是冗余能力、可靠性和高速的传输。其性能要求相对较高，一般需要用 路由器来完成诸多策略（不过目前很多单位都采用多级交换机，有其特别的优 势） ，核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设 计以及网络设备的要求十分严格，同时为了减轻负担，网络的控制功能最好尽 量少在骨干层上实施。 在设计核心层结构时，还应该充分考虑到以下几点因素： 1. 汇聚层交换机要有充足的带宽。 2. 必须具有冗余和流量均衡的功能。 3. 能够实现各种安全策略以保证网络的安全和数据包转发的合理。 3.3 网络拓扑设计网络拓扑设计 企业内部的网络拓扑设计，如下图： 毕业设计（论文）报告 纸 共 40 页 第 8 页 图 3.1 网络拓扑图 3.4 网络设备选型网络设备选型 网络设备选型要遵循以下原则： 具备优良的性能价格比，根据现在的需求和可以预见的需求增长情况设计 网络，避免追求高档和最新技术花费的巨大代价。 具备优良的 RAS(远程访问服务)性能安全性、可靠性、可用性、可维护 性。 具备优良的可扩充性和升级能力。 CISCO 是网络业界第一品牌和最大的研发厂家，是项目可持续应用的投资 保护和规避厂家风险的首选。IOS 采用的是经检验已成为业界标准的强健稳定 的 CISCO IOS，更具有广泛的协议支持，这是其他厂商所不能企及的；思科 IOS 软件系列在全世界一千多万个不同规模的系统上发挥着重要作用，其范围 从小型家庭办公网络到最庞大的电信运营商网络。思科 IOS 取得广泛成功的关 键在于，它的标准化设计中整合了创新网络技术、关键业务 IP 服务和首屈一指 的平台支持能力。 锐捷网络，作为中国网络解决方案领导品牌。聚焦客户利益，致力于通过 持续技术创新，坚持自主研发的网络产品，涵盖交换机、路由器、出口网关、 安全、无线、软件等六大产品线，产品性价比相对高。 基于以上考虑，我们公司网络核心层采购思科设备，汇聚层与接入层使用 锐捷设备。 （1）接入层交换机选型 公司接入层交换机均选用锐捷 RG-S2928G-S（官方报价 4000 元） ，24 口 10/100/1000M 自适应端口，4 个 SFP 光口，支持全面的安全控制策略，通过内 在的多种安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户 使用网络，保证合法用户合理化使用网络，如端口静态和动态的安全绑定、端 口隔离、多种类型的硬件 ACL 控制、基于数据流的带宽限速、用户安全接入控 毕业设计（论文）报告 纸 共 40 页 第 9 页 制的多元素绑定等，满足企业网、校园网加强对访问者进行控制、限制非授权 用户通信的需求。 具体产品参数如下： 主要参数 1. 应用层级三层 2. 传输速率 10/100/1000Mbps 3. 交换方式存储-转发 4. 背板带宽 68Gbps 5. 包转发率 51Mpps 6. 端口参数 7. 端口结构非模块化 8. 端口数量 28 个 9. 端口描述 24 个 10/100/1000M 自适应端口，4 个 SFP 光口 10. 功能特性 11. 网络标准 IEEE 802.3，IEEE 802.3u，IEEE 802.3z，IEEE 802.3x，IEEE 802.3ad，IEEE 802.1p，IEEE 802.1x，IEEE 802.3ab，IEEE 802.1Q，IEEE 802.1d，IEEE 802.1w，IEEE 802.1s 12. VLAN 支持 4K 个 802.1Q VLAN（同时可用 512 个） 13. 网络管理 SNMPv1/v2C/v3 ，CLI（Telnet/Console） 14. 其它参数 15. 电源电压 AC 160-240V，50Hz-60Hz 纠错 16. 环境标准工作温度：0-45 毕业设计（论文）报告 纸 共 40 页 第 10 页 17. 工作湿度：10%-90%RH 18. 存储温度：-40-70 19. 存储湿度：5%-90%RH 20. 其它参数 1 个 USB2.0 接口 （2）汇聚层交换机选型 RG-S5750 系列是锐捷网络推出的硬件支持 IPv6 的万兆多层交换机，产品 以极高的性价比为大型网络汇聚、中型网络核心、数据中心服务器接入提供了 高性能、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管， 最大化满足高速、安全、智能的企业网需求。 具体参数如下： 主要参数 1. 产品类型智能交换机 2. 应用层级三层 3. 传输速率 10/100/1000Mbps 4. 交换方式存储-转发 5. 背板带宽 240Gbps 6. 包转发率 102Mpps 端口参数 1. 端口结构非模块化 2. 端口数量 52 个 3. 端口描述 48 个 10/100/1000M 自适应电口，4 个复用的 SFP 接口 4. 扩展模块 2 个扩展槽 功能特性 毕业设计（论文）报告 纸 共 40 页 第 11 页 1. VLAN 支持 4K 个 802.1Q VLAN 2. 支持 Super VLAN 3. 支持 Protocol VLAN 4. 支持 Private VLAN 5. 支持 Voice VLAN 6. 支持基于 MAC 地址的 VLAN 7. 支持 QinQ 8. QOS 支持端口流量识别 9. 支持 802.1p/DSCP/TOS 流量分类 10. 支持 WRED，WRED+ECN 拥塞控制 11. 支持流量限速 12. 支持层级 QoS 13. 支持输出 QoS 14. 安全管理支持 IP、MAC、端口三元素绑定 15. 支持 IPv6、MAC、端口三元素绑定 16. 支持安全通道 17. 支持防网关欺骗 18. 限制端口学习 MAC 地址数量 19. 过滤非法的 MAC 地址 20. 支持防 DHCP 服务器私设 21. 支持广播风暴抑制 22. 管理员分级管理和口令保护 23. 设备登陆管理的 AAA 安全认证 24. 支持 SSH 25. 支持 BPDU Guard 26. 支持 TACAS+ 27. 支持 Radius 毕业设计（论文）报告 纸 共 40 页 第 12 页 其它参数 1. 电源电压 AC 176-264V，48-60Hz 2. 电源功率 90W 3. 产品尺寸 44042044mm 4. 环境标准工作温度：0-45 5. 工作湿度：10%-90%RH 6. 存储温度：-40-70 7. 存储湿度：5%-90%RH 8. 核心层(出口)路由器选型 Cisco 3825 是一款集成多业务路由器平台，其上的思科 IP 通信特性包括实 施松散连接在一起的半自动业务解决方案所需的高级特性和服务，包括呼叫处 理、呼叫控制协议、服务质量（QoS） 、模拟和数字接口、排队、编程、语音留 言和自动职守。企业分支机构、商业办公室和中小型办公室可以使用业界最广 泛、最全面的语音和安全服务，并直接嵌入并集成到业界领先的路由平台上， 以提高性能和永续性。 基本参数 1. 路由器类型多业务路由器 2. 传输速率 10/100/1000Mbps 3. 端口结构模块化 4. 局域网接口 2 个 5. 扩展模块 6 6. 包转发率 10Mbps:14800pps 7. 100Mbps:148800pps 8. 1000Mbps:1488000pps 功能参数 1. 防火墙内置防火墙 2. Qos 支持支持 毕业设计（论文）报告 纸 共 40 页 第 13 页 3. VPN 支持支持 4. 网络管理 Cisco ClickStart，SNMP 其他参数 1. 产品内存 256MB 2. 电源电压 AC 100-240V 3. DC 24-60V 4. 产品尺寸 373.38434.3488.9mm 5. 产品重量 9.06kg 6. 环境标准工作温度：0-40 7. 湿度：5%-95%（非冷凝） 8. 存储温度：40-85 3.5 综合布线设计综合布线设计 （1）布线系统的结构 综合布线一般采用星型拓扑结构。该结构下的每个分支子系统都是相对独 立的单元，对每个分支子系统的改动都不影响其它子系统，只要改变节点连接 方式就可使综合布线在星型、总线形、环型、树型等结构之间进行转换。 （2） 综合布线设计标准 国际标准 城市住宅区和办公楼电话通信设施设计标准 建筑与建筑群结构化布线系统设计规范GB50311-2000 建筑与建筑群结构化布线系统工程施工及验收规范GB50312-2000 相关厂家产品设计、选型、施工、验收手册说明的标准 （3） 综合布线设计原则 1. 适用性 2. 灵活性 毕业设计（论文）报告 纸 共 40 页 第 14 页 3. 可扩展性 4. 模块化结构 5. 开放性 （4）水平子系统 将工作区引至管理区子系统，它是整个布线系统的一部分，将干线子系统 线路延伸到用户工作区，水平布线子系统总是处在一个楼层上，并端接在信息 插座上。 （5）垂直干线子系统 垂直干线子系统由连接设备间与各层信息模块的干线构成。其任务是将各 楼层模块的信息，传递到设备间并送至最终接口。垂直干线的设计必须满足用 户当前的需求，同时又能适合用户今后的要求。为达此目的，本方案中我们采 用超五类网线，支持数据信息的传输，采用 5 类 4 对非屏蔽双绞线缆，支持语 音信息的传输。 （6） 设备间子系统 设备间子系统是整个布线系统的中心单元，设备间子系统(主配线间)由设 备间中的电缆、主配线架和相关支撑硬件组成，它把公共系统设备的各种不同 设备互连起来。该子系统连接公共系统设备(如 PABX)，通过垂直干线分别向各 楼信息模块进行配线管理。 3.6 Internet 接入技术方案接入技术方案 目前连接 Internet 可以通过多种通信介质，Internet 本身对通信和连接方式 没有任何限制。在连接时，企业可以根据自己实际情况来规划自己的连接方案， 决定使用何种通信介质。一般目前通常使用的网络传输介质有双绞线、同轴电 缆、光纤等，都可供企业选择。 本单位采用光纤 + 以太网接入接入，主干光纤 100Mb 带宽。 毕业设计（论文）报告 纸 共 40 页 第 15 页 3.7 服务器配置方案服务器配置方案 3.7.1 POP3、WEB 和和 FTP 服务器服务器 采用 linux 操作系统，apache 服务，mysql 数据库，php 网站程序，并配置 FTP 用于上传文件，邮件服务器用于沟通。 具体完成任务： （1）系统技术工程师安装配置 apche、mysql、php 环境。 （2）系统工程师安装配置邮件服务器 Sendmail。 （3）系统技术工程师安装配置 ftp 服务器。 （4）架设公司 web 网站，上传数据库文件。 3.7.2 OA 办公系统办公系统 在 windows 2008 下架设 OA 系统，采用 sql 2008 数据库。做好备份镜像办 公系统服务器。 3.7.3 存储服务器存储服务器 存储服务器主要存储公司主要的软件，备份公司重要文件和重要数据库， 以及各员工的重要项目、进度文件。主要采取 FTP 实现上传和下载的功能。单 位的信息管理系统 MIS 依靠此服务器运作。员工之间设有相应的权限，保证数 据安全与完整。 毕业设计（论文）报告 纸 共 40 页 第 16 页 4 4 企业网络企业网络主要应用技术主要应用技术 4.1 路由协议路由协议-OSPF OSPF 路由协议是一种典型的链路状态（Link-state）的路由协议，在这里， 路由域是指一个自治系统（Autonomous System） ，即 AS，它是指一组通过统一 的路由政策或路由协议互相交换路由信息的网络。 作为一种链路状态的路由协议，OSPF 将链路状态广播数据包 LSA（Link State Advertisement）传送给在某一区域内的所有路由器，这一点与距离矢量路 由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给 与其相邻的路由器。 在公司的汇聚层交换机及出口路由器上使用 OSPF 路由协议，以实现路由 的动态更新，确保全网互通。 4.2 RSTP MSTP 原理原理 RSTP 协议完全向下兼容 802.1D STP 协议，除了和传统的 STP 协议一样 具有避免回路、提供冗余链路的功能 外，最主要的特点就是“快”。如果一个局 域网内的网桥都支持 RSTP 协议且管理员配置得当，一旦网络拓朴改变而 要 重新生成拓朴树只需要不超过 1 秒的时间（传统的 STP 需要大约 50 秒） 。 本交换机支持 MSTP，MSTP 是在传统的 STP、RSTP 的基础上发展而来 的新的生成树协议，本身就包含了 RSTP 的快速 FORWARDING 机制。 由于传统的生成树协议与 vlan 没有任何联系，因此在特定网络拓朴下就 会产生以下问题： 如下图 所示，交换机 A、B 在 vlan1 内，交换机 C、D 在 vlan2 内，然后连成环路。 毕业设计（论文）报告 纸 共 40 页 第 17 页 图 4.1 MSTP 范例 在某种情况的配置下，会造成把交换机 A 和 B 间的链路给 DISCARDING.由于交换机 C、D 不包含 vlan1，无法转发 vlan1 的数据包， 这样交换机 A 的 vlan1 就无法与交换机 B 的 vlan1 进行通讯。 在网络末梢，连接到单个工作站的时候，是不可能形成桥接环路的。在接 口 上启用了 portfast 特性，可以使交换机端口立即变为转发状态，提高了网络 的 响应速度及收敛时间。 基于 RSTP 的交换机高级特性 Uplinkfast 在网络 中的应用 考虑到有冗余上行连接的网络，使用冗余连接到上层交换机，通常情况下 一 个上行连接处于转发状态，另一个处于阻塞状态，如果主上行连接断开，在 使用 冗余连接之前所经历的时间高达 50S 在使用 Uplinkfast 之后，使的具有冗余上行连接的交换机具有根端口失效 时，另一个阻塞的上行连接能够立即使用，这个时间大大缩小到 1-5S 之间， 在校园网的特殊环境之下，能大大增强网络的稳定性，加快网络收敛。 4.3 NAT 的策略路由实现的策略路由实现 NAT 是网络地址翻译技术，在路由器上起用 NAT 之后，可以在部私有 毕业设计（论文）报告 纸 共 40 页 第 18 页 地址和 外部公网地址之间做转换。比如我们可以把网络内部使用的 IP 翻译成 外部公网的 IP。 配置基于策略的路由选择时，可使用路由映射表来指定基于 IP 地址，应 用程序，协议或者分组长度的条件。基于策略的路由选择命令对中选的路由实 现策 略。 4.4 VLAN 虚拟局域网的划分虚拟局域网的划分 VLAN 虚拟局域网是一种在二层设备上隔离和划分广播域的技术，通过这 种 划分，可以隔离网段，可以有效地管理网络。在企业网方案中，通过使用 VLAN 技术进行划分达到以下目的：隔离，划分广播域，减小不必要的广播流 量，从而提高整个网络的利用效率。 4.5 ACL 访问控制策略访问控制策略 访问列表为我们提供了一种对网络访问进行有效管理的方法，通过访问列 表，我们可以设置允许或拒绝数据包通过路由器，或者允许或者拒绝具体的某 些 端口进行访问和使用，如果满足条件则执行相应的操作，放行这个包或者放 弃这 个包。 在具体实现过程中从技术上来说我们需要了解到 ACL 分为两种类型,他们 分 别是标准访问列表(Standard access lists)和扩展访问列表（Extends access lists） 前者在过滤网络的时候只使用 IP 数据报的源地址，那么在使用这种访 问列表的 情况下它做出允许或者拒绝这个决定完全是依赖于源 IP 地址，它无 法区分具体的流量类型。 4.6 链路聚合链路聚合 以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽 有非常好的伸缩性，比如可以把 2 个、3 个、4 个千兆的链路绑定在一起，使 链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡，同时也能 毕业设计（论文）报告 纸 共 40 页 第 19 页 够互为备份，保证链路的冗余性。在这些千兆以太网交换机中，最多可以支持 4 组链路聚合，每 组中最大 4 个端口。链路聚合一般是不允许跨芯片设置的。 生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余 链路，并用生成树协议让备份链路阻塞，在逻辑上不形成环路。而一旦出现故 障，启用备份链路。 4.7 交换机端口安全交换机端口安全 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而 控制用户的安全接入。交换机端口安全主要有两种类型：一是限制交换机端口 的最大连接数，二是针对交换机端口进行 MAC 地址、IP 地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止 用户进行恶意 ARP 欺骗。 交换机端口的地址绑定，可以针对 IP 地址、MAC 地址、IP+MAC 进行灵 活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见 的内网的网络攻击。 毕业设计（论文）报告 纸 共 40 页 第 20 页 5 5 企业网络安全设计企业网络安全设计 5.1 企业网络的主要安全隐患企业网络的主要安全隐患 现在网络安全系统所要防范的不再仅是病毒感染，更多的是基于网络的非 法入侵、攻击和访问，这样对于公司的网络稳定与信息安全产生巨大威胁。很 多情况下内部网络安全威胁要远远大于外部网络，因为内部中实施入侵和攻击 更加容易。 加强内部网络的安全管理，配置好防火墙过滤策略和系统本身的各项安全 措施，及时安装系统安全补丁，有条件的还可以在内、外网之间安装网络扫描 检测、网络嗅探器、IDS、IPS 系统，甚至配置网络安全隔离系统，对内、外网 络进行安全隔离；加强内部网络的安全管理，严格实行“最小权限”原则，为 各个用户配置好恰当的用户权限； 5.2 网络安全防范体系层次网络安全防范体系层次 (1)物理环境的安全性（物理层安全） 该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。物 理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质） ， 软硬件设备安全性（替换设备、拆卸设备、增加设备） ，设备的备份。 (2)操作系统的安全性（系统层安全） 该层次的安全问题来自网络内使用的操作系统的安全，如 Windows NT，Windows 2000 等。主要表现在三方面，一是操作系统本身的缺陷带来的 不安全因素，主要包括身份认证、访问控制、系统漏洞等。二是对操作系统的 安全配置问题。三是病毒对操作系统的威胁。 (3)网络的安全性（网络层安全） 该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证， 网络资源的访问控制，数据传输的保密与完整性，远程接入的安全，域名系统 毕业设计（论文）报告 纸 共 40 页 第 21 页 的安全，路由系统的安全，入侵检测的手段，网络设施防病毒等。 (4)应用的安全性（应用层安全） 该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生， 包括 Web 服务、电子邮件系统、DNS 等。此外，还包括病毒对系统的威胁。 (5)管理的安全性（管理层安全） 安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织 规则等。管理的制度化极大程度地影响着整个网络的安全，严格的安全管理制 度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低 其它层次的安全漏洞。 5.3 网络安全措施网络安全措施 (1) 构建良好的环境确保企业物理设备的安全 (2) 划分 VLAN 控制内网安全 (3) 安装防火墙体系 (4) 建立 VPN(虚拟专用网络)确保数据安全 (5) 安装防病毒服务器 (6) 加强企业对网络资源的管理 5.4 安全措施具体实施安全措施具体实施 物理方面： （1）保证机房环境安全 信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基 本的环境。要从一下三个方面考虑：一、自然灾害，物理损坏和设备故障 二、 电磁辐射，乘机而入、痕迹泄漏等 三、操作失误，意外疏漏等。 （2）选用合适的传输介质 屏蔽式双绞线的抗干扰能力更强，且要求必须配有支持屏蔽功能的连接器 件和要求介质有良好的接地（最好多处接地） ，对于干扰严重的区域应使用屏蔽 毕业设计（论文）报告 纸 共 40 页 第 22 页 式双绞线，并将其放在金属管内以增强抗干扰能力。 （3）保证供电安全可靠 计算机和网络主干设备对交流电源的质量要求十分严格，对交流电的电压 和频率，对电源波形的正弦性，对三相电源的对称性，对供电的连续性、可靠 性稳定性和抗干扰性等各项指标，都要求保持在允许偏差范围内。机房的供配 电系统设计既要满足设备自身运转的要求，又要满足网络应用的要求，必须做 到保证网络系统运行的可靠性，保证设备的设计寿命保证信息安全保证机房人 员的工作环境。 2、 VLAN 的应用： VLAN 是一种将局域网（LAN）设备从逻辑上划分（注意，不是从物理上 划分）成一个个网段（或者说是更小的局域网 LAN） 。 VLAN 技术能有效隔离局域网，防止网内的攻击，所以公司网络中按部门 进行了 VLAN 划分，每个部门都有相应的 VLAN,这样有利于网络安全。 3、企业网络防火墙的应用 企业网络中使用的是神州数码的 DCFW-1800S UTM，里面包含了防火墙和 VPN 等功能。防火墙主要功能如下： (1)网络安全的屏障 防火墙可通过过滤不安全的服务而减低风险，极大地提高内部网络的安全 性。由于只有经过选择并授权允许的应用协议才能通过防火墙，