中小型企业局域网组建和管理优秀毕业论文.doc

毕业论文中小型企业局域网组建与管理摘要在这信息化的时代，企业内部网络的建设已经成为提升企业核心竞争力的关键因素。企业局域网已经越来越多地被人们提及，利用网络技术，现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通，这直接关系到企业能否获得关键的竞争优势。近年来越来越多的企业都在加快构建自身的信息网络，而其中绝大多数都是中小企业。相对于大型应用群体而言，中小型企业的信息化建设工程通常有规模较小，结构简单的特点。综合资金投入、专业人才以及未来发展等因素，局域网的实用性、安全性与拓展性（升级改造能力）是中小企业实现信息化建设的主要要求，因此，成本低廉、操作简易、便于管理维护并能满足业务运作需要的网络办公环境是这一领域的真正需求。本文以中小型企业内部局域网的组建需求、实际管理为出发点，从中小型企业局域网的管理需求和传统局域网技术入手，研究了局域网技术组建和管理在中小型企业中的应用。关键字：中小企业 组网案例 网络方案 局域网 网络布局 网络安全目 录引言3一 中小型企业网络方案的主要特点与要求3二 中小型企业局域网需求分析及指标4三 企业局域网模块设计5四 局域网工程建设原则及软硬件功能分析51建设原则52 软硬件功能分析6五网站设计和运行维护中应注意事项 7六 典型中小型企业组网实例8 1 案例描述8 2 硬件设备8 3 IP地址规划9 4 网络拓扑9 5 配置需求及解决方案10七 网络布局和综合布线15 1 网络布局的原则15 2 网络布局的具体实施要求16 3 网络布局的规划与设计17八 局域网的安全控制与病毒防治19 1局域网安全威胁分析19 2局域网的安全控制与病毒防治策略21结论24参考文献24引言随着计算机及局域网络应用的不断深入，特别是各种计算机应用系统被相继应用在实际工作中，各企业、各单位同外界信息媒体之间的相互交换和共享的要求日益增加。需要使各单位相互间真正做到高效的信息交换、资源的共享，为各单位人员提供准确、可靠、快捷的各种生产数据和信息，充分发挥各单位现有的计算机设备的功能。为加强各公司内各分区的业务和技术联系，提高工作效率，实现资源共享，降低运作及管理成本,公司有必要建立企业内部局域网。局域网要求建设基于TCP/IP协议和WWW技术规范的企业内部非公开的信息管理和交换平台，该平台以WEB为核心，集成WEB、文件共享、信息资源管理等服务功能，实现公司员工在不同地域对内部网的访问。一 中小型企业网络方案的主要特点与要求中小企业局域网通常规模较小，结构相对简单，对性能的要求则因应用的不同而差别较大。许多中小企业网络技术人员较少，因而对网络的依赖性很高，要求网络尽可能简单、可靠、易用，降低网络的使用和维护成本、提高产品的性能价格比就显得尤为重要。基于以上特点，应遵循下列设计原则：1.把握好技术先进性与应用简易性之间的平衡。 2.具有良好的升级扩展能力。3.具有较高的可靠性和安全性。4.产品功能与实际应用需求相匹配。 80%的中小企业用户通常只用到局域网20%的功能。精简功能设计的产品不但可以在满足大多数需求的情况下有效降低成本，而且还能够提高系统的稳定性和易维护性。 5.尽可能选择成熟、标准化的技术和产品。恰当运用以太网的不同标准和功能，以太网技术能够在双绞线、多模光纤、单模光纤等介质上传输数据，可以非常简单地升级到百兆、千兆的速率，而且具有很高的稳定性和可管理性。以太网提供了多种标准和功能。比如10Mbps、100Mbps、1000Mbps不同速率的标准，双绞线、光纤等不同介质的标准，以及网络管理、流量控制、VLAN、优先级、链路聚合等功能。二 中小型企业局域网需求分析及指标 随着互联网应用的普及，电子商务有了实质性的进展。对于一个企业来说，产品的介绍、销售、技术服务和售后服务等越来越多地采用网络的形式来完成，最主要的优点是：方便、快捷和成本低廉。 目前中小型企业往往采用在互联网络上申请主页空间或采用网络主机托管的方式，这种方式在应用上很明显有些不方便之处，所能提供的服务类型单一，并且资料数据都是放在别人的计算机上，让别人来管理。对于大型企业和有机密数据的单位，往往不会采用这种方式，他们会在单位内部建立自己的中心机房，组建自己的局域网，同时申请电信的宽带和固定IP，这样，形成内外两种网络。如果，企业在异地有分支机构，还可以通过VPN方式进行安全通信。 对企业的需求进行严格的分析，设计出实际可行的网站建设方案，在网站策划阶段，可从以下一些方面考虑定位： （1）网站硬性指标：您的网站是否能够让客户很轻松、方便的登录和记住，包括域名种类分布、域名品牌一致、网站语言版本、域名解析时间、请求响应时间、主机连接时间、下载时间、HTML综合质量、图片综合质量、首页布局质量、首页信息类型等。 （2）网站推广指标：您的网站推广是否能让更多的客户与您往来，包括搜索引擎排名、网站知名度、推广方案设计等。 （3）网站服务指标：客户是否愿意与您往来，包括：您的回应时间、目标客户、联系层次、FAQ、帮助导航、服务流程、产品分类、产品描述、产品图片、价格建议等。 （4）网站互动指标：您与客户的互动效果如何；包括：客户回应、解决时间、产品了解、客户社区、客户鉴别、客户忠诚度、深化服务、需求调查等。 三 企业局域网模块设计 企业局域网可分为两个模块：企业互联网模块与企业局域网模块。 1) 企业互联网模块 企业互联网模块拥有与互联网的连接，同时也端接VPN与公共服务（DNS、HTTP、FTP、SMTP）信息流。 企业互联网模块为内部用户提供了与互联网的连接并使用户能够通过互联网访问公共服务器上的信息，同时还为远程地点和远程工作人员提供了VPN访问能力。 企业互联网模块涉及的关键设备有：SMTP服务器、DNS服务器、FTPHTTP服务器、防火墙或防火墙路由器、第2层及以上交换机（支持专用VLAN）。 2) 企业局域网模块 企业局域网模块包含第2层及以上交换功能与所有的用户以及管理内部网服务器。企业局域网模块包含最终用户工作站、公司内部网服务器、管理服务器和支持这些设备所需的相关基础设施、可网管的交换机等。四 局域网工程建设原则及软硬件功能分析1 建设原则 实用性：网络建设从应用实际需求出发，坚持为领导决策服务，为经营管理服务，为生产建设服务。 先进性：采用成熟的先进技术，兼顾未来的发展趋势，即量力而行，又适当超前，留有发展余地。 可靠性：确保网络可靠运行，在网络的关键部分应具有容错能力。 安全性：提供公共网络连接、通信链路、服务器等全方位的安全管理系统。 开放性：采用国际标准通信协议、标准操作系统、标准网管软件、采用符合标准的设备，保证整个系统具有开放特点，增强与异机种、异构网的互联能力。 可扩展性：系统便于扩展，保证前期的投资的有效性与后期投资的连续性。2 软硬件功能分析 （1) 路由器 就企业局域网网络而言，由于大量的数据都发生在局域网内部，对路由器的性能要求不高，因此，可以选用中低端路由器。低端路由器主要适用中小办公网络的应用，考虑的一个主要因素是端口数量，另外还要看包交换能力和NAT转换能力。中端路由器适用大中型办公网络，选用的原则也是考虑端口支持能力、包交换能力和NAT转换能力。 在这里值得进一步说明的是，如果让内部计算机直接通过路由器访问外部网络，必须做NAT转换，当并发连接较大时，做NAT转换非常占资源，最好考虑有带NAT模块的路由器或专门的NAT设备。（2) 交换机 工作组交换机采用可网管交换机，实现对每台接入计算机的控制，实现VLAN（虚拟网）的划分，确保最大限度的网络访问安全。骨干交换机采用拥有千兆端口的可网管交换机实现与中心交换机的高速连接，避免可能产生的网络瓶颈。中心交换机采用三层交换机，实现VLAN间的线速转发，并借助访问列表控制计算机接入和网络服务，搭建高安全性和可用性网络。 （3) 防火墙 防火墙有软件防火墙和硬件防火墙两种。软件防火墙是安装在计算机平台的软件产品，它通过在操作系统底层工作来实现网络管理和防御功能的优化。硬件防火墙的硬件和软件都单独进行设计，有专用网络芯片处理数据包。同时，采用专门的操作系统平台，从而避免通用操作系统的安全性漏洞。并且对软硬件的特殊要求使硬件防火墙的实际带宽与理论值基本一致，有着高吞吐量、安全与速度兼顾的优点。 （4) 服务器 服务器应该具备速度高、存储容量大、吞吐能力强、性能可靠、扩展性强、连网和管理功能强等特点。 WWW服务器：是网络运行的核心服务器，通常兼作域名服务器、FTP服务器。访问量大，根据企业规模大小，采用适合自己规模的服务器。一般对于800个信息点以下的企业，通常可采用支持多CPU的顶级PC服务器和低端专业服务器。 邮件服务器：可采用跟WWW服务器性能相当的服务器就行了。 OA 办公服务器或内部视频会议服务器：必须根据各种系统由软件提供商来定，包括服务器档次、操作系统种类等。 数据服务器：应根据数据量的多少、数据的重要程度和访问的频繁程度，可采用带Raid功能的双硬盘服务器或专门的数据存储设备。 （5) 公网IP地址数 由于对外服务器要求有固定的公网IP地址，路由器也要求有固定的公网IP地址，以及NAT地址池也需要有固定的公网IP地址，因此，必须向ISP提供商申请一定数量的公网IP地址，对于小型网络来讲，8个勉强可以，对于中大型局域网来说，要求16个以上才能够用。五 网站设计和运行维护中应注意事项（1) 网站仅仅停留在发布企业形象和产品信息上 网站架设应从网络营销角度出发。换句话说，是否可以透过网络，在现有营销通路以外，提供一个企业与消费者之间直接接触与沟通的渠道，提供企业另一种销售模式机会。因此，传统产业要的网站，应该从营销主管角度优先思索。第二个角度就是从管理角度去思索，例如公司在全省拥有许多营业网点或分公司，各种网点之间的公文传递或资源分配是否可以透过网站，以提高经营绩效。（2) 在页面中应避免塞满图片、Java程序、Flash、音乐等 其实就目前上网速度来看，网页如果加上太多的FLASH或FLAME，或挂上太多图片，势必影响传输速度，这样对普遍缺乏信心的客户而言，很容易就因为不愿耐心等候下载完毕，而选择中途跳开。如此一来，再漂亮的网页也不会有人看！ 一个干干净净、条理分明的网页比较容易阅读，客户可以在很短时间找到他要的信息，不必被太多视觉污染所干扰。所以企业的网页不需要太多美工，因为要看漂亮的图片，客户自然有合适网站可以上，不必浪费客户下载的时间与金钱。（3) 很长时间都不更新一次 如果一个网站的资料几个月不更新一次，请问谁会有兴趣上这个网站？当然资料更新与维护需要成本，因为我们不是在做一个入口网站或专业网站，也不需要每天更新；如果能做到每周更新或每两周更新，并在网站上注明更新时间或预告下次更新时间，将有助于告知客户何时可以上网来取得最新资讯。另外所谓活网站的“活”，系指需具备与客户互动机制，例如邮件列表系统、留言板或客服系统等。同时对于客户所提意见的处理，也需及时，不能让客户对网站失去信心！六 典型中小企业组网实例1 案例描述典型中小企业组网实例，申请一个公网IP和10M带宽，单台路由器，WEB服务器，文件服务器，FTP服务器等，客户端办公电脑100台左右，多部门划分VLAN，用ACL控制各部门访问权限，配置网络打印机。2 硬件设备序号设备名称规格单位数量单价（元）合价（元）1交换机Cisco 4503Cisco 2960-48t台台1274009300260002路由器Cisco 2821台114500145003防火墙Nokia IP355计75000Cisco Catalyst 4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性，因而能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。4500系列中提供的集成式弹性增强包括11超级引擎冗余、集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间，从而提高生产率、利润率和客户成功率。是用于公司企业网络交换机群核心层高性价比的一系列。Cisco WS-C2960-48T拥有大数量的接口，全智能自动全双工半双工识别，具有用于接入层交换机的良好优势。能够快速转发用户的数据。Cisco 2821是一台多业务路由器，比较适合中小型企业的需求与应用。Nokia IP355是一款应用于中小型企业的防火墙产品，能够进行SNMP,Telnet,FTP,SSHv2(安全Telnet&FTP),HTTP 服务器RFC 2068,SSL/TLS RFC 2246,命令行运用的管理和对流量的过滤，对于中小型的安全问题防护性能比较良好。3 IP地址规划部门IP地址公网地址17路由器内部IP/30核心交换外部IP/30Web服务器/24Ftp服务器/24文件服务器/24网络打印机/24财务部/24设计部/24市场部/244 网络拓扑5 配置需求及解决方案为了直观方便，配置需求全部在配置命令中加以单点说明，并且配置命令量大反复，这里只列出重点命令。（1）配置Router ：接口：interface fastethernet0/1ip address 52duplex autospeed autoip nat inside no shutdown interface fastethernet0/2ip address 17 48duplex autospeed autoip nat outsideno shutdown路由：ip route 17过载：ip nat inside source list 110 interface FastEthernet0/2 overloadaccess-list 110 permit ip 55 any（2）配置Core switch：VTP：VTP Version: 2Configuration Revision: 7Maximum VLANs supported locally : 1005Number of existing VLANs: 9VTP Operating Mode: ServerVTP Domain Name: OAVTP Pruning Mode: DisabledVTP V2 Mode: EnabledVTP Traps Generation: EnabledVLAN：core-sw#vlan database 进入vlan配置模式core-sw(vlan)#vtp domain OA 设置vtp管理域名称OAcore-sw(vlan)#vtp server 设置交换机为服务器模式core-sw(vlan)#vlan 10 name shichang 创建VLAN 10，为市场部core-sw(vlan)#vlan 11 name caiwu 创建VLAN 10，为财务部core-sw(vlan)#vlan 12 name sheji 创建VLAN 12，为设计部core-sw(vlan)#vlan 13 name netprinter 创建VLAN 13，为网络打印机core-sw(vlan)#vlan 20 name server 创建VLAN 20，为服务器组core-sw(config)#interface vlan 10core-sw(config-if)#ip address 54 core-sw(config)#interface vlan 11core-sw(config-if)#ip address 54 core-sw(config)#interface vlan 12core-sw(config-if)#ip address 54 core-sw(config)#interface vlan 13core-sw(config-if)#ip address 54 core-sw(config)#interface vlan 20core-sw(config-if)#ip address 54 将接入层SW上的端口根据需要划分至各个VLAN （3）配置ACL：配置ACL 应用在各个部门VLAN接口上，控制各部门互访access-list 10 permit 55 access-list 10 permit 55 access-list 10 deny 55 access-list 10 permit any 进入vlan 10ip access-group 10 out把访问控制列表10 应用于VLAN 10 OUT方向上，市场部内部可以互访，可以访问服务器网段和网络打印机网段，但不能访问财务部和设计部所在网段。access-list 11 permit 55access-list 11 permit 55access-list 11 permit 55access-list 11 deny 55access-list 11 permit any进入vlan 11ip access-group 11 out把访问控制列表11应用在VLAN 11 OUT方向上，财务部内部可以互访问，可以访问服务器网段和网络打印机网络，可以访问市场部网段，但不能访问设计部网段。设计部VLAN 12 ，网络打印机 VLAN 13，服务器 VLAN 20 可以访问任意网段，应用访问控制列表access-list 110 在in的方向上，封掉常见病毒端口。access-list 110 deny tcp any any eq 1068access-list 110 deny tcp any any eq 2046access-list 110 deny udp any any eq 2046access-list 110 deny tcp any any eq 4444access-list 110 deny udp any any eq 4444access-list 110 deny tcp any any eq 1434access-list 110 deny udp any any eq 1434access-list 110 deny tcp any any eq 5554access-list 110 deny tcp any any eq 9996access-list 110 deny tcp any any eq 6881access-list 110 deny tcp any any eq 6882access-list 110 deny tcp any any eq 16881access-list 110 deny udp any any eq 5554access-list 110 deny udp any any eq 9996access-list 110 deny udp any any eq 6881access-list 110 deny udp any any eq 6882access-list 110 deny udp any any eq 16881access-list 110 permit ip any any可以根据实际需要将此ACL应用于任一接口，或者添加一些屏蔽软件的端口，达到管理内部员工的目的，也可以用局域网内部的管理软件，更加直接方便，并且易于操作。（4）配置FTP服务器：用IIS架设（IIS只适用于Window NT/2000/XP操作系统）。安装：Window XP默认安装时不安装IIS组件，需要手工添加安装。进入控制面板，找到“添加删除程序”，打开后选择“添加删除Window组件”，在弹出的“Window组件向导”窗口中，将“Internet信息服务（IIS）”项选中。在该选项前的“”背景色是灰色的，这是因为Window XP默认并不安装FTP服务组件。再点击右下角的“详细信息”，在弹出的“Internet信息服务（IIS）”窗口中，找到“文件传输协议（FTP）服务”，选中后确定即可。安装完后需要重启。Window NT2000和Window XP的安装方法相同。 设置：电脑重启后，FTP服务器就开始运行了，但还要进行一些设置。点击“开始所有程序管理工具Internet信息服务”，进入“Internet信息服务”窗口后，找到“默认FTP站点”，右击鼠标，在弹出的右键菜单中选择“属性”。在“属性”中，我们可以设置FTP服务器的名称、IP、端口、访问账户、FTP目录位置、用户进入FTP时接收到的消息等。 FTP站点基本信息：进入“FTP站点”选项卡，其中的“描述”选项为该FTP站点的名称，用来称呼你的服务器，这里设置名称为 “FTP服务器”；“IP地址”为服务器的IP，设置为；“TCP端口”一般仍设为默认的21端口；“连接”选项用来设置允许同时连接服务器的用户最大连接数；“连接超时”用来设置一个等待时间，如果连接到服务器的用户在线的时间超过等待时间而没有任何操作，服务器就会自动断开与该用户的连接。设置账户及其权限：很多FTP站点都要求用户输入用户名和密码才能登录，这个用户名和密码就叫账户。不同用户可使用相同的账户访问站点，同一个站点可设置多个账户，每个账户可拥有不同的权限，如有的可以上传和下载，而有的则只允许下载。 安全设定：进入“安全账户”选项卡，有“允许匿名连接”和“仅允许匿名连接”两项，默认为“允许匿名连接”，此时FTP服务器提供匿名登录。“仅允许匿名连接”是用来防止用户使用有管理权限的账户进行访问，选中后，即使是Administrator（管理员）账号也不能登录，FTP只能通过服务器进行“本地访问”来管理。至于“FTP站点操作员”选项，是用来添加或删除本FTP服务器具有一定权限的账户。与其他专业的FTP服务器软件不同，它基于Window用户账号进行账户管理，本身并不能随意设定FTP服务器允许访问的账户，要添加或删除允许访问的账户，必须先在操作系统自带的“管理工具”中的“计算机管理”中去设置Window用户账号，然后再通过“安全账户”选项卡中的“FTP站点操作员”选项添加或删除。但对于Window 2000和Window XP专业版，系统并不提供“FTP站点操作员”账户添加与删除功能，只提供Administrator一个管理账号。设置用户登录目录：最后设置FTP主目录（即用户登录FTP后的初始位置），进入“主目录”选项卡，在“本地路径”中选择好FTP站点的根目录，并设置该目录的读取、写入、目录访问权限。设置完成后，FTP服务器就算建成了。七 网络布局和综合布线公司组网，我们不仅要从企业本身的实际需求出发，根据组网经费的多少来务实地规划与设计网络；在采购好网络设备和服务器等设备后，如何对机房、办公地点进行合理的网络布局与布线，是致关重要的。网络布局主要是指机房里的网络设备、服务器等设备如何放置，它们又与网络布线如何相处，总之网络布局要考虑周全。1 网络布局的原则（1）实用性企业组建的局域网应当根据机房的大小、设备的多少来具体实施，根据网络布线的特点来发挥网络布局实用性是非常重要的。（2）全面性组网过程中，网络、服务器等设备放置位置应当统筹兼顾，网络布局要考虑周全，尽量让各种设备和布线系统处于合理的位置。（3）可靠性组网无论怎样布局，最终的目的是保证我们的局域网的所有设备能可靠稳定地运行，使得网络能正常运转。（4）便于维护与升级网络的组网不是一成不变的，随着IT企业业务的不断发展的需求，原先组建的局域网就需要不断地完善和扩充；在日常的网络运行维护中，规划网络布局时就应该考虑到便于以后网络的维护与升级操作。2 网络布局的具体实施要求对于有线局域网来说，这是我们目前企业网络建设中，经常会遇到的，需要对机房和办公大楼进行布线。规划网络布局要考虑到机房的设备布局和布线系统的合理搭配。因此我们首先要规划与设计好机房、布线系统，然后再全面地考虑网络的布局。（1）机房的规划与设计为了确保网络、计算机系统稳定、安全、可靠地运行，以及保障机房工作人员有良好的工作环境，做到技术先进、经济合理、安全适用、确保质量，符合国家有关的机房设计规定。a防静电静电不仅会对计算机运行出现随机故障，而且还会导致某些元器件，双级性电路等的击穿和毁坏。此外，还会影响操作人员和维护人员的正常的工作和身心健康。b防火、防盗计算机房在设计时，重点要考虑机房的消防灭火设计。设计时可以根据消防防火级别来确定机房的设计方案，计算机房火灾报警要求在一楼设有值班室或监控点。机房里应注意防盗设施的安装，具体地可采用防盗门、防盗锁、警卫、自动报警系统等等。c防雷由于机房通信和供电电缆多从室外引入机房，易遭受雷电的侵袭，机房的建筑防雷设计尤其重要。计算机通信电缆的芯线，电话线均应加装避雷器。d保湿、保温机房里的湿度应保持在20%-80%为宜，机房的温度应保持在15-35摄氏度，安装空调来调节温度是解决此问题最好的办法。（2）布线系统的规划与设计有了好的机房，网络设备就有了好的“家”，组建的IT网络应当通过布线系统将机房和办公地点互联起来，确保网络的正常运行。如果企业的接入点较多，我们可以采取接入层、汇聚层、交换层三个网络层次的设计，在此基础上进行布线系统。对于接入层来说，选择一个合理的接入设备，是最关键的，而且我们要根据接入设备选择合适的带宽。汇聚层是整个局域网的核心部分，汇聚层网络设备一般支持网络管理功能，方便我们的管理和维护，方便以后我们的网络升级和改造。交换层是整个网络中的中间层，连接着汇聚层和网络节点，是决定我们整体网络传输质量的很重要的一个环节。随着百兆网络设备的普及，我们交换层的网络设备，肯定首选百兆。布线是连接网络接入层、汇聚层、交换层和网络节点的重要环节。在布线时，最好使用专门的通道，而且不要与电源线，空调线等具有辐射的线路混合布线。接入层与汇聚层之间的双绞线，可以选择超五类屏蔽双绞线，以使网络性能得到最大的提升。汇聚层与交换层之间的双绞线，由于是网络数据传输量最大的一个层次，同样采用超五类屏蔽双绞线。交换层与网络节点之间，我们就可以采用普通的超五类非屏蔽双绞线。网络设备的放置，最好放在节点的中央位置，这样做，不是为了节约综合布线的成本，而是为了提高网络的整体性能，提高网络传输质量。由于双绞线的传输距离是100米，在95米才能获得最佳的网络传输质量。在做网络布线时，最好能够设计一个设备间，放置网络设备。3 网络布局的规划与设计目前的网络设备大都采用机架式的结构（多为扁平式，活像个抽屉），如交换机、路由器、硬件防火墙等。这些设备之所以有这样一种结构类型，是因为它们都按国际机柜标准进行设计，这样大家的平面尺寸就基本统一，可把一起安装在一个大型的立式标准机柜中。这样做的好处非常明显：一方面可以使设备占用最小的空间，另一方面则便于与其它网络设备的连接和管理，同时机房内也会显得整洁、美观。我们经常接触到的放置机房里有网络机柜、服务器机柜以及综合布线柜，从这三个机柜的名字就可以看出它们各自所起的作用；一般来说，网络设备如交换机、路由器、防火墙、加密机等以及网络通信设备如光端机、调制解调器等是放置在网络机柜的；服务器机柜的宽度为19英寸，高度以U为单位 （1U=1.75英寸=44.45毫米），通常有1U，2U，3U，4U几种标准的服务器。机柜的尺寸也是采用通用的工业标准，通常从22U到42U不等；机柜内按U的高度有可拆卸的滑动拖架，用户可以根据自己服务器的标高灵活调节高度，以存放服务器、集线器、磁盘阵列柜等设备。服务器摆放好后，它的所有I/O线全部从机柜的后方引出（机架服务器的所有接口也在后方），统一安置在机柜的线槽中，一般贴有标号，便于管理。综合布线柜一般配有前后可移动的安装立柱，自由设定安装空间，可按需要配置隔板、风扇、电源插座等附件。配线架通常安装在机柜里，配线架的一面是RJ45口，并标有编号；另一面是跳线接口，上面也标有编号，这些编号和上面的RJ45口的编号是一一对应的。每一组跳线都标识有棕、蓝、橙、绿的颜色，双绞线的色线要和这些跳线一一对应，这样做不容易接错。配线架不仅仅是便于管理线对，而且可以防止串扰，增加线对的隔离空间，提供360度的线对隔离。在机房中，必须放置交换机、功能服务器群和网络打印设备，以及局域网络连接Internet所需的各种设备，如路由器、防火墙以及网管工作站等；因此机房的网络布局一般至少有三个机柜，综合布线柜和网络机柜应当紧连在一起，便于调线操作，接下来是服务器机柜；将网络设备和布线系统进行合理的布局。在网络布局中，每个机柜最好留点空间，便于以后网络设备、服务器设备的扩充，综合布线柜里有可能除了网络布线外，还有能布置电话线，所以要在机柜里留下一定空间。从机柜内部线缆附设的角度看，机柜配置密度更高，容纳的IT设备更多，大量采用冗余配件(如冗余电源、存储阵列等)，机柜内设备配置频繁变换，数据线和电缆随时增减。所以，机柜必须提供充足的线缆通道，能从机柜顶部、底部进出线缆。在机柜内部，线缆的敷设必须方便、有序，与设备的线缆接口靠近，以缩短布线距离；减少线缆的空间占用，保证设备安装、调整、维护过程中，不受到布线的干扰，并保证散热气流不会受到线缆的阻挡；同时，在故障情况下，能对设备布线进行快速定位。供电系统和制冷系统是计算机机房的两个重要部分。在供电系统中，一般采用在线的UPS供电方式，蓄电池实际可供使用的容量与蓄电池的放电电流大小、蓄电池的环境工作温度、贮存时间的长短以及负载的性质（电阻性、电感性、电容性）密切相关。制冷系统（空调）涉及到机房的整个物理环境，包括空调、地板、机柜及房间布局等诸多方面；因此UPS和空调我们也要考虑好将它们放置在一个合适的位置。如果机房空间较大，可以将UPS和空调都放在机房里；如果空间较小，可以把UPS（包括蓄电池）放在配电房里。需要注意的是如果大楼里安装有“中央空调”的话，机房里也必须安装独立的空调，因为中央空调不可能24小时都开着，上班的时间可以利用中央空调，下班和星期节假日的时候，如果服务器、网络设备需要正常运行的话，则必须要开机房里的独立空调。机柜的扩展性表现在机柜内设备密度的扩展和机柜数量的扩展，因此网络布局时必须将机柜的配风能力（通常称为散热能力）以及配电能力考虑在内。一方面，机柜内的设备需要温度、湿度适宜并且风量充足的冷风（冷空气）。这些冷风被机柜内的IT设备吸入，从而为设备内的部件（尤其是CPU）降温。当机柜内设备增加到一定数量时，由地板出风口送出的冷风风量将不能满足所有设备的需求，从而形成部分IT设备配风不足而过热。解决机柜内设备密度扩展时遇到的这种局部热点问题可以采用调配IT设备位置的方式来解决。例如，把热负荷最大的设备安装在机柜中部位置，以便获得最大的配风风量。另外的解决方法是，在机柜的上部或下部位置安装轴向水平的强排风扇，增强上部或下部的吸入能力（即减小IT设备的入口静压），从而增加配风风量。另一方面，机柜内的设备需要供电以及与机柜外部进行通信。当机柜内的IT设备数量增加时，这些线缆、连接端子同时成倍地增加，从而对机架式电源排插的容量、插口数量都提出了扩展要求。机柜内的布线空间也是需要提前考虑的，因为当机柜内的功率密度提高时，设备后部的线缆将明显增加风阻，所以必须考虑线缆管理及走线空间的问题。八 局域网的安全控制与病毒防治1 局域网安全威胁分析 局域网由于通过交换机和服务器连接网内每一台电脑，因此局域网内信息的传输速率比较高，同时局域网采用的技术比较简单，安全措施较少，同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类： （1）欺骗性的软件使数据安全性降低 由于局域网很大的一部分用处是资源共享，而正是由于共享资源的“数据开放性”，导致数据信息容易被篡改和删除，数据安全性较低。例如“网络钓鱼攻击”，钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息：如用户名、口令、账号ID、ATM PIN码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据。以往此类攻击的冒名的多是大型或著名的网站，但由于大型网站反应比较迅速，而且所提供的安全功能不断增强，网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据安全方面的知识和手段，因此会造成经常性的信息丢失等现象发生。 （2）服务器区域没有进行独立防护局域网内计算机的数据快速、便捷的传递，造就了病毒感染的直接性和快速性，如果局域网中服务器区域不进行独立保护，其中一台电脑感染病毒，并且通过服务器进行信息传递，就会感染服务器，这样局域网中任何一台通过服务器信息传递的电脑，就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击，但无法抵挡来自局域网内部的攻击（3）计算机病毒及恶意代码的威胁由于网络用户不及时安装防病毒软件和操作系统补丁，或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击，正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件，在自己寄生的文件中注入新的代码。最近几年，随着犯罪软件（crime ware）汹涌而至，寄生软件已退居幕后，成为犯罪软件的助手。2007年，两种软件的结合推动旧有寄生软件变种增长3倍之多。2008年，预计犯罪软件社区对寄生软件的兴趣将继续增长，寄生软件的总量预计将增长20%。 （4）局域网用户安全意识不强许多用户使用移动存储设备来进行数据的传递，经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网，同时将内部数据带出局域网，这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外一机两用甚至多用情况普遍，笔记本电脑在内外网之间平凡切换使用，许多用户将在Internet网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用，造成病毒的传入和信息的泄密。 （5）IP地址冲突局域网用户在同一个网段内，经常造成IP地址冲突，造成部分计算机无法上网。对于局域网来讲，此类IP地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须加以解决。 正是由于局域网内应用上这些独特的特点，造成局域网内的病毒快速传递，数据安全性低，网内电脑相互感染，病毒屡杀不尽，数据经常丢失。2 局域网安全控制与病毒防治策略 （1）加强人员的网络安全培训安全是个过程，它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看，主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行，必须注重把每个环节落实到每个层次上，而进行这种具体操作的是人，人正是网络安全中最薄弱的环节，然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理，注意管理方式和实现方法。从而加强工作人员的安全培训。增强内部人员的安全防范意识，提高内部管理人员整体素质。同时要加强法制建设， 进一步完善关于网络安全的法律，以便更有利地打击不法分子。对局域网内部人员，从下面几方面进行培训： a加强安全意识培训，让每个工作人员明白数据信息安全的重要性，理解保证数据信息安全是所有计算机使用者共同的责任。 b加强安全知识培训，使每个计算机使用者掌握一定的安全知识，至少能够掌握如何备份本地的数据，保证本地数据信息的安全可靠。 c加强网络知识培训，通过培训掌握一定的网络知识，能够掌握IP地址的配置、数据的共享等网络基本知识，树立良好的计算机使用习惯。 （2）局域网安全控制策略安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作量最大的部分是客户端安全部分，对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题，才可以排除网络中最大的安全隐患，对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全的关键所在。a 利用桌面管理系统控制用户入网。入网访问控制是保证网络资源不被非法使用，是网络安全防范和保护的主要策略。它为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制用户入网的时间和在哪台工作站入网。用户和用户组被赋予一定的权限，网络控制用户和用户组可以访问的目录、文件和其他资源，可以指定用户对这些文件、目录、设备能够执行的操作。启用密码策略，强制计算机用户设置符合安全要求的密码，包括设置口令锁定服务器控制台，以防止非法用户修改。设定服务器登录时间限制、检测非法访问。删除重要信息或破坏数据，提高系统安全性，对密码不符合要求的计算机在多次警告后阻断其连网。 b 采用防火墙技术。防火墙技术是通常安装在单独的计算机上，与网络的其余部分隔开，它使内部网络与Internet之间或与其他外部网络互相隔离，限制网络互访，用来保护内部网络资源免遭非法使用者的侵入，执行安全管制措施，记录所有可疑事件。它是在两个网络之间实行控制策略的系统，是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。采用防火墙技术发现及封阻应用攻击所采用的技术有：1）深度数据包处理。深度数据包处理在一个数据流当中有多个数据包，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量，以避免应用时带来时延。2）IP/URL过滤。一旦应用流量是明文格式，就必须检测HTTP请求的URL部分，寻找恶意攻击的迹象，这就需要一种方案不仅能检查RUL，还能检查请求的其余部分。其实，如果把应用响应考虑进来，可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作，可以阻止通常的脚本类型的攻击。3）TCP/IP终止。应用层攻击涉及多种数据包，并且常常涉及不同的数据流。流量分析系统要发挥功效，就必须在用户与应用保持互动的整个会话期间，能够检测数据包和请求，以寻找攻击行为。至少，这需要能够终止传输层协议，并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。系统中存着一些访问网络的木马、病毒等IP地址，检查访问的IP地址或者端口是否合法，有效的TCP/IP终止，并有效地扼杀木马。时等。4）访问网络进程跟踪。访问网络进程跟踪。这是防火墙技术的最基本部分，判断进程访问网络的合法性，进行有效拦截。这项功能通常借助于TDI层的网络数据拦截，得到操作网络数据报的进程的详细信息加以实现。封存所有空闲的IP地址，启动IP地址绑定，采用上网计算机IP地址与MAC地址唯一对应，网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略，可以有效防止IP地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。 c 属性安全控制。它能控制以下几个方面的权限：防止用户对目录和文件的误删除、执行修改、查看目录和文件、显示向某个文件写数据、拷贝、删除目录或文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以