大型企业信息化建设方案

大型企业网建网设计与实现一、引言:在网络技术不断发展的今天，大型企业网络建设面临多种网络

面前的一个课题.虽然网络技术在飞速发展，但企业网络建设有其内在规律，把

握这些内在的规律,将有助于指导大型企业的网络建设.感谢阅读结构相对应，网络层次在二层或三层以上，网络连接可能是跨地市、跨省的，也

可能是全国范围的。例如，银行、国税系统,民航、铁路、政府办公系统等都是

跨地域，多层次系统,在网络建设上都有其共同的特点.从总体上说，企业网络涉

,,括业务应用和WWW服务等、网络安全，网络管理等方方面面。谢谢阅读本文从大型企业网络设计的角度介绍大型企业网络的设计和实现方法。

一、企业网络建设过程的几个阶段精品文档放心下载企业网络建设总体上分为设计阶段、实施阶段和网络管理维护精品文档放心下载.应用驱动法是采用谢谢阅读网络的由远及近的设计方法。谢谢阅读企业网络建设过程分为如下几个阶段：

1、需求分析阶段.感谢阅读通常大型企业在网络建设中已有部分的网络环境,这些网络环精品文档放心下载精品文档放心下载围内实现网络应用及资源共享，企业网络没有形成一个整体.企业网络规划时,要谢谢阅读谢谢阅读性。网络需求分析主要是根据企业业务发展需求和企业信息技术应用需求,提出企业网络建设的总体目标和关键技术指标。

企业网络需求分析包含如下几方面：精品文档放心下载网络标准和协议要求.全网络信息点分布需求，包括局域网布线结构要求，广域网传输介质谢谢阅读要求。网络层次划分及网络拓扑结构要求.

结合应用的网络设备处理能力和带宽要求。

局域网和广域网要求。感谢阅读Internet接入,外网接入,防火墙技术要求。

企业网络应用要求。网络设备选型要求。精品文档放心下载网络应用和网络技术的关系如多媒体、IP网络可靠性、扩展性和安全性要求。

网络管理要求。2、网络规划阶段。企业网络规划是从企业网络需求分析到企业网逻辑设计中间必经阶段，主感谢阅读要根据企业网络需求分析得出分离的、外在的技术指标(如用户数、桌面微机的

,感谢阅读技术论文。1精品文档放心下载服务器处理性能要求等等)。3、网络逻辑设计阶段.感谢阅读在技术指标，按照计算机网络设计的经验和方法,在现有的可行的网络技术范围精品文档放心下载内，设计企业网络的连接结构、协议结构以及每个网络的功能结构。感谢阅读企业网络设计主要确定网络的连接结构，网络节点的类型、功能和容量。

网络传输链路的类型和容量,以及网络安全控制结构和网络管理结构。谢谢阅读4、网络物理设计阶段。网络物理设计主要确定实施网络逻辑设计方案的厂家产品的类型、数量和感谢阅读具体配置，以及与网络逻辑设计方案中连接结构相吻合的物理拓扑结构。精品文档放心下载5、网络实施阶段。网络实施阶段主要是采购所需的硬件设备和软件系统，以及安装、调试和谢谢阅读测试网络系统。6、网络维护和扩展阶段。精品文档放心下载的运行维护阶段的主要工作是对企业网络的日常维护和管理，包括网络配置管理、性能管理、故障管理、安全管理和用户帐户管理，对企业网络的预防性测试

和容量的规划。精品文档放心下载二、企业网络层次结构分析及其模块化设计思想

大型企业网络层次结构与企业的行政结构相对应，一般至少有感谢阅读二层,也有三层和四层结构.多于四层的结构作为远程访问服务层看待。我们从网谢谢阅读络的层次划分上分析探讨多层网络模块化设计思想.大多数企业网络都可以被层次性划分为三个逻辑服务单元（Backbone精品文档放心下载网(Distribute)和访问网（Local－access感谢阅读布于不同区域或逻辑组的路由最优化通信;区域网主要是完成网络流量的安全控制机制，以使骨干网和访问网环境隔离开来；访问网主要是支持客户机

对服务器的访问.2。1模块化网络设计方法感谢阅读模块化网络设计方法的目标在于把一个大型的网络元素划分成一个个谢谢阅读,因此网络节感谢阅读点和流量变得更容易管理。层次化的设计方法同时也使网络的扩展更容易处精品文档放心下载理，因为新的子网模块和新的网络技术能被更容易集成进整个系统中，而不感谢阅读破坏已存在的骨干网。层次设计方法可为网络带来以下三个优点:1、层次性网络的可扩展性可扩展性是在包交换网络连接中使用层次性设计的主要优点.层次性

网络具有更多的可扩展性是因为它可以让你用模块化方式扩展网络，而不会

遇到非层次性网络或平面性网络很快所遇上的问题。但是,层次性网络同时也其是网状拓扑〕的内在复杂联系，以及需要额外的路由器接口来划分网络层

次。精品文档放心下载技术论文。2为了获得层次性网络结构的优点，你必须使你的网络层次结构充分与谢谢阅读你所在地区的拓扑相符合.设计取决于你所使用的包交换模式，以及你所想要谢谢阅读的容错能力、网络性能和网络造价。2、层次性网络的可管理性•使网络简单化－－通过把网络元素划分为小单元、层次化，降低了整个网络精品文档放心下载的复杂性.这种网络单元的划分使故障诊断变得清晰和简单了，同时还可以提谢谢阅读供防止广播风暴、路由循环等其他潜在问题的内在保护机制。谢谢阅读•使设计更灵活－－层次化设计使得骨干网和区域网之间的包交换形式更具灵谢谢阅读活性.很多网络都得益于使用混合方式来构造整个网络架构。在大多数情况感谢阅读感谢阅读•使路由器管理更容易－－由于层次化网络结构使网络分层，相对缩小的网络精品文档放心下载区域使路由器的邻居或对等通信端数量减少,因此路由器的配置变得简单化。感谢阅读3、优化广播和多点广播的流量控制在包交换网络中,减少路由器之间广播信息量的最直接方法就是使用更少数目的路由器组，通过层次化模块设计可以较好地控制网络中的广播.

通常在包交换网络中最常见的路由器之间的广播信息流量是路由更新信息,如果在一个区域或一个层次中有太多的路由器,那么就会因为广播的原因而造成网络瓶颈。层次化的网络结构使你可以对区域网向骨干网的广播作出限

制.谢谢阅读根据这种层次化网络设计思想的原则，我们可以把企业Intranet网络工

程的整个网络体系结构分为以下三层或四层结构二级或三级网络主干:即由企业中心节点与二级节点组成一级主干网络，由二级节点和三级节点构成二

级网络，三级节点和四级节点构成三级网络。如下图2。1所示：精品文档放心下载图2。12.2评估一级主干网络的服务如图2。1所示的一级主干网络所能提供的功能特性包括如下几个部分:谢谢阅读主干网络带宽管理：为了优化主干网络的操作，路由器提供几种性能调节方法，如优先权队列谢谢阅读管理和数据压缩,动态路由协议权值定义，动态路由协议发包时间间隔优化，感谢阅读协议本地确认等优化和节省广域网带宽。数据传输路径优化路由器最主要的特点之一是在逻辑网络环境内，自动选择最优路径传输信息。感谢阅读路由器依靠路由协议（静态和各类动态路由协议)完成最优路径查找工作。

路由协议是在网络第三层上操作，并且各类网络协议有相应路由协议支持。

IP网络环境中，Cisco公司的所有路由器支持所有路由协议，如OSPFRouting，RIPRouting，IGRPRouting，E—IGRPRouting,BGPRouting,EGPRoutingandHELLOPacket。谢谢阅读技术论文。3路由收敛问题:路径选择涉及的相关问题是路由收敛.当网络发生变化时，如感谢阅读主干网上路由器关机或故障，或通信线路的故障，或主干网上路由器配置变因此,

选择收敛速度快的动态路由协议和避免路由慢收敛问题是网络设计的关键问题之一.精品文档放心下载优化传输队列主干网上信息传输可以分成不同的优先级别，将重要的信息定为高优先级别，

优先传输。路由器可以对诸如不同协议类型,不同传输层协议，不同的应用类型设定不同的传输优先级。对IP协议来讲,在网络应用层，可对诸如TELNET，

等应用进行传输队列优先权的设定,以确保重要数据优先传输。对传输队列的优化是在各类协议及子协议基础上进行，如下图所示：谢谢阅读负载均衡路由器支持多链路的负载均衡，最多可支持四条负载均衡链路,感谢阅读每条链路的负载阀值可以调整.路径备份一级主干网上传输的都是重要信息，一级主干网的路径备份就感谢阅读特别重要。考虑到投资成本,不要求主干网上所有路由器都双链路精品文档放心下载连接，而只考虑主干网上各中间节点到中心节点的双链路连接,各感谢阅读中间节点之间可以无链路连接。各中间节点之间的通信都跨越全国谢谢阅读中心的路由器实现。因此,全国中心路由器必须具备强大的处理能精品文档放心下载力.2.3评估二级主干网络的服务如图2。1所示，我们对二级主干网络作如下评估.感谢阅读区域和服务过滤信息流的过滤是建立在区域的划分和服务类型上。来自区域内部谢谢阅读的信息不必要跨越广域网一级主干网络,这样可以减缓一级主干网感谢阅读络的通信压力.同时，在区域内部可以针对网络服务类型（如感谢阅读TELNET，FTP，SMTP等)和网段地址作访问控制，这样可确保重要数据感谢阅读的访问安全性。在路由器中，设置access-list，路由器判定满足条感谢阅读件的信息包通过网络.基于策略的信息分发基于策略的信息分发的目的是确保传输性能和信息的完整性。在网间网中，这种策略可以定义成一个规则或一组规则,以此来控制跨越

广域主干的端对端的数据传输.例如一个部门，它可能有三种网络协议要跨越谢谢阅读技术论文。4主干,但只希望携带重要应用的一种特殊的协议快速通过主干。另一部门，由精品文档放心下载于主干网络过于繁忙，此时只允许e-mail跨越主干等.感谢阅读路由协议的一致性我们建议一级和二级广域网主干动态路由协议应是一致的，并采用开放的谢谢阅读路由协议如ISIS或BGP4或OSPF。采用那种动态路由协议，要根据企业的网络精品文档放心下载结构和部门间的隶属关系确定。介质转换介质转换技术是将不同网络链路层上的帧的格式转换为另一网络帧的格式,例如以态网与令牌环网的转换。由于区域内网络环境较为复杂,厂家必须有相应

的设备支持。感谢阅读2。4评估接入访问服务接入访问服务包含如下内容：网络增值地址网络增值地址(helpernetworkaddress)是用来解决一些特殊的信息传输，使得原来是广播方式的传输变为多点传输.这样，可以减少网络的广播压力和路

由器的负载.例如，Novell客户端原来通过广播方式查找它的服务器，而如果服务器不在本网段，广播信息必须通过路由器。使用helperaddress后，就允许在一个网络上的节点直接向另一个网络上的服务器发送信息，而不用经过路由

器。精品文档放心下载网段局部访问服务的基本要求是将网络分成若干网段，每个网段实施各自的信息传输策略,通过路由器从而实现各网段广播信息的相互隔离，减少主干网络的拥

access-list网段地址过滤，可以实现灵活的网络安全访问控制策略。谢谢阅读广播和多点广播如上所说，路由器能隔离网段的广播信息。然而，如果需要,路由器可以中继广

播。通过路由器中继某些广播以达到一定的目的。IP的多点广播是从一个站点向指定的多个目的站点发布信息，而不是向每个站点发布信息。IP的多点广播,必须运行IGMP协议。路由器配置IGMP（InternetGroupManagementProtocol)后,可以实现位于不同网段内的计算机的多点广播。感谢阅读安全策略如果所有信息被所有员工随意访问得到，那么安全侵犯和不正当感谢阅读的文件访问就不可避免。为了避免这些问题，路由器要做如下工作：谢谢阅读防止局部网络信息不正当地进入网络主干防止网络主干的信息不正当进入部门或工作组实现这两大功能的手段是路由的包过滤。一方面，包过滤能控制未受权的用户访精品文档放心下载技术论文。5问,增加安全性，同时能减少网络的拥塞，减少网络问题的发生。谢谢阅读路由器有一整套信息过滤策略。如对地址的访问过滤，对协议的访问过滤,对应用精品文档放心下载层的访问过滤。具体地说,在以太网环境下，有一台主机能Telnet到Internet的某一台主机,不允感谢阅读许Internet上该主机Telnet到这台主机上,但可以作SMTP的访问。感谢阅读只允许一个网段通过OSPF动态路由协议，其它网段OSPF被禁止.感谢阅读限止某些主机访问某些网段。限止某些网段访问另一些网段。上述访问控制手段是常用的方法。另外还有远程访问控制，通常采用认证机

制.对于MODEM访问方式的站点，可采用TACACS(TerminalAccessControllerAccessControlSystem)精品文档放心下载认证机制。对电话拨号站点,运行ppp协议，可采用chap或pap认证机制。精品文档放心下载路由器查找主机必须知道其网关地址才能通过路由器访问别的网段。可以用人工或动态路由的方式配置主机的网关地址.主机至少有一个路由

器局域网端口地址作为其网关地址。但是,当有多个路由器时，主机如何确定其网关地址呢?一般来说，主机选择那台能到达目的站点最佳路径的路由器作为其网关，这种情况涉及路由器的查找.支持这种

查找的相关协议有以下几种：谢谢阅读EndSystem—to-IntermediateSystem(ES-IS）协议

ICMPRoutingDiscoveryProtocol(IRDP）协议

ProxyAddressResolutionProtocol(ARP）协议

OSPF和RIP协议谢谢阅读通过对上述网络分层服务的分析,我们得出结论：对于大型企业Intranet谢谢阅读网络工程来说,要想建设成为一个全国性的、网络性能优良的、网络控制极为灵精品文档放心下载那么在网络设计中精品文档放心下载就必须采用层次化的网络设计思想。三、企业网间网路由协议我们对企业网络的层次结构及相应的网络服务作了系统的分谢谢阅读析，各层次的网络服务是建立在网络协议第三层动态路由或静态路由基础上。

由于各类网络动态路由协议都存在算法上的缺陷,没有一种全优的网络动态路网络结构相协调，同时和企业网络的运行方式、运营成本相协调。感谢阅读为此，我们简单介绍几种路由协议：3.1、RIP（RouteInformationProtocol）路由信息协议感谢阅读RIP路由协议与UNIX和TCP/IP紧紧地联系在一起的。在互连网中RIP是感谢阅读最常用的路由协议.作为广泛使用的一种距离矢量(Distance路由协议有如感谢阅读技术论文。6下特点：基于距离矢量路由协议路由器根据距离选择使用路由。当计算的那条路径为最短路径时,路由器确定谢谢阅读精品文档放心下载代老的路由。具有学习功能路由器定时向每个邻近网络广播报文,通过路由器间相互学习,不断更新自己精品文档放心下载的路由。仅以跳数（hopcount）作为距离度量在路由器的路由决策中,要考虑的因素可以很多（例如：带宽、延迟、可靠感谢阅读,对网精品文档放心下载络的描述更加精确。所以RIP路由协议仅将跳数作为距离度量有缺陷的。谢谢阅读最大站点数为15RIP协议允许最大站点数为15,任何超过15个站点的目的地均认为不可达到感谢阅读的。RIP最大站数大大限制了大型网间网环境的应用。谢谢阅读每30秒向相邻路由器广播一次路由信息RIP路由协议采用了不少计数器，路由新计数器通常被设计为30秒。保证每精品文档放心下载个路由器在每30秒向其邻接路由器发送一次路由表。谢谢阅读3。2、OSPF（OpenShortestPathFirst）开放式最短路径优先协议感谢阅读80年代中期,由于RIP谢谢阅读作为IETF（网间工程任务组织）为IP网络开发的一种IGP（内部网关协议）协议，克服了RIP路由协议的缺点.其采用SPF(ShortestPathFirst）算法，

基于链路状态路由协议。OSPF路由协议有如下特点：谢谢阅读需要每台路由器向同域(Area）的所有其它路由器发送链路状态广播(LSA）精品文档放心下载信息.路由器收集有关的链路状态信息,并根据SPF的算法计算出到每个结感谢阅读点的最短路径。同域内的路由器共享相同的拓扑信息.路由选择的分级与RIP路由协议不同,OSPF可在一个域(Area）内进行路由选择.域的最大集合感谢阅读是共享同一路由选择策略的网络集合.谢谢阅读一个自治域AS谢谢阅读图3。2.a所示。根据源点和目的地是否在同一域内，OSPF有两种类型的路由选择方式：谢谢阅读当源和目的在同一区域时，采用域内路由选择.当源和目的不在同区域时,采用域间路由选择。由于有域的概念，OSPF路由协议比那些不将AS分区的情况下所需传送的路由

信息少得多.谢谢阅读技术论文。7支持VLSM（VanableLengthSubnetMask）可变长度子网掩码技术。感谢阅读由于每个发布的目的地均包括IP子网的掩码，从而可利用子网掩码将IP网络分为不同大小的子网，这种方法可节省IP地址空间并给网络管理员管理带来

灵活性。谢谢阅读对带宽和CPU等资源消耗这个SPF算法占用了CPU的资源,一般来说与运算量与网内链路数目与路由器数目乘积成正比.另外当SPF占用网络带宽，这些情况都是在网络设计中要考虑的。谢谢阅读3。3、EIGRP（enchansedInteriorGatewayRoutingProtocol)精品文档放心下载EIGRP即为CISCO公司所提出的IGRP路由协议的增强版.它是一种混合型精品文档放心下载的路由选择协议，它结合了链路状态协议及距离矢量协议的优点，包括以下特精品文档放心下载点：快速聚合－－－增强IGRP使用扩散更新算法(DUALDiffusingUpdate精品文档放心下载Algorithm）来快速达到聚合,运行EIGRP的路由器存储有相邻路由器的路查询

由发现为止。精品文档放心下载变长子网掩码－－－EIGRP感谢阅读能被配置集中在任意接口的任意位边谢谢阅读界上.路由并不周期性地作修改，只是当某路由的计感谢阅读量发生变化时,才发送部分更新.自动更新的信息是自动定义其边界,所以只谢谢阅读有那些需要这类信息的路由器才修改其路由表，因为EIGRP具有这两种功感谢阅读能，因此它比IGRP、OSPF消耗的频宽更少。支持多种网络层－－－EIGRP支持以及NOVELL等多种协议.感谢阅读3。4、静态路由协议以上我们介绍的均为动态路由协议,当然还有另外一种路由协议便是静态路由感谢阅读谢谢阅读其优点为不会产生动态路由所特有的路由信息广播或路由信息、更新或HELLO从而不会在系统资源:内存、CPU、带宽等方面制成额外的开销。但其缺点为会

给系统管理员的管理工作带来大量的工作,其次,由于路由是静态的因而不能适应网络的动态变化的需要而改变路由。感谢阅读在上面的介绍中我们可以看出，作为一个大型综合企业网的内部路由协议可供

选择的实际上有静态路由、IGRP、EIGRP和OSPF。而当我们进行一个大型网络

IP协议的选取时，需考虑以下两方面的因素:感谢阅读网络路由聚合时间网络路由环境的可维护性3.5动态路由比较技术论文。8EIGRP是CiscoDV)谢谢阅读协议和连接状态（LS)协议的优点，采用了扩散更新算法(DUALDiffusingUpdateAlgorithm)达到网络的快速收敛。EIGRP支持层次化和平面网络结构，

支持VLSM网络地址分配,可在任意位边界对直接相连的网络进行路径叠合，只有在网络变化时EIGRPDiffusingUpdate算法使其具有最好的收敛性，EIGRP采用五维参数来决定最佳路径：带宽、时延、可靠性、线路负载和最大数据包尺寸，不同带宽的平行

线路可负载平衡地同时传输数据。它采用模块化软件支持IP、IPX和AT协议.感谢阅读OSPF是标准的、基于最短路径优先(连接状态）的、能快速收敛的路由

协议，它只适用于IP协议.OSPF的网络拓朴必须是层次结构的，分骨干域和边缘域,在设计OSPF网络时最重要的是域边界的定义地址分配，域边界的定义决定了哪些路由器和连接包括在骨干域中,哪些包括在每一个下连的域中.OSPF支持VLSM地址分配,其路径叠合能力有限,必须在路由器中手工设置。精品文档放心下载在大型企业网络中，RIP由于其固有的局限性,它已被淘汰，最常见的路感谢阅读由协议是OSPF和EIGRP，它们的比较如下：感谢阅读OSPFEIGRP快速收敛是是带宽利用率高高内存使用两者差不多CPU使用两者差不多路由算法dyjkstraDUAL传输类型LinkStateDistanceVector感谢阅读路径叠合有限任意边界协议过滤非常有限非常强rtg协议速率调节无有多个缺省路径无有区域拓朴层次必须要不要开放标准是不是用户端可用是不是保持邻居状态是是改变只传播不是是到相关网络可用于多种不是是L3协议负载平衡传输非常有限很强技术论文。9网络可扩性好很好从以上比较可看出，EIGRP凝聚了距离矢量和链路状态两种算法的精华，避免了两种算法各自的缺点，因而可达到最快速度的聚合.由于其采用DUAL算

法,而且只有网络拓扑变化影响到的路由器才参与路由的计算,仅只有拓扑变化EIGRP对CPU及网络带宽的消耗都将低于OSPF、IGRP、RIP等路由协议.精品文档放心下载谢谢阅读3.5动态路由协议的选择对于大型企业网,平面结构的路由协议（如RIP,IGRP）不能满足网络性能谢谢阅读的要求.我们推荐采用E—IGRP,OSPF路由协议,多于三层结构的网络需采用感谢阅读BGP4网间网协议。OSPF感谢阅读图:VLSM,可通过

路径的叠合（summarization)优化地址的设计和路由的计算。谢谢阅读在OSPF协议中，Backbone区域是中心主干区域(Area持OSPF的信息,负责各路由区域间的路由信息分配；跨接多个区域的路由器为

ABR（AreaBorder功能（summarization)；当网络大到需分成多个自主系统（AS）时,跨接AS的

路由器为之间目前最好的办法是采用BGP协议进行互连.BGP的最新标准是BGP4

CIDR.在每个自主系统中要定义BGPPEER路由器,用于在自主系统之间交换路由信息.谢谢阅读对于OSPF的区域划分的原则为:•每个区域内路由器不超过100个；•每个路由器接口的相邻路由器不超过60个;•每个路由器所属区域不超过3个；•所有区域必物理地连接到主干区域；四、企业广域网链路选择我们从理论上分析了大型企业网络的层次结构和动态路由协议。通常企业租用ISP在申请通信线

路时要综合考虑企业业务需求、QOS、运行维护费用等多种因素。

ISP提供多种通信链路来满足企业用户非实时网络应用的需求，如X。

25，DDN，帧中继,PSTN等。也可以选择拨号VPN技术,专线VPN技术。也

可使用标记交换技术，MPLS技术等.选择通信类型要根据运营成本和运营效

率综合考虑。感谢阅读对于广域网上实现语音、图像等多媒体应用的广域网DDNFrameRelay

和ATM都能实现，但从运行费用和服务质量保证来看,采用ATM作广域链路感谢阅读技术论文。10是较好的选择。目前，国内ISP没有开放ATM业务，但企业如有需要可以申谢谢阅读请ATM服务。五、企业园区局域网设计(1）企业园区局域网络采用虚拟交换网络感谢阅读势所趋。交换虚拟网络是基于ATM和局域网交换机为平台的技术,其目标是真正建感谢阅读立一个可以满足未来多媒体信息处理时代需要的企业网络.精品文档放心下载从长远角度看,采用交换虚拟网络技术可以降低组建企业网的成本、提高信精品文档放心下载感谢阅读计算机网络的需求:•通过交换技术，向最终用户提供更高的带宽。•可以向不同用户、不同应用提供所需的服务质量保证的网络服务。

•提供完整的网络管理和控制系统,控制网络成本,特别是隐含的网络成本开

销，例如网络管理、网络控制等方面的开销。精品文档放心下载•感谢阅读高网络互连性和可靠性，减少网络扩展的成本.•构造虚拟工作组网络以支持虚拟工作组工作。（2)企业局域网络的主干交换谢谢阅读企业局域网络主干的作用就是互连网络的各个部分，传递分布到网络各个部精品文档放心下载分的数据流.主干网必须具有高效率、高可用性特征，在主干上任何一点不合理感谢阅读的延迟都是灾难性的!采用ATM交换技术可以提供边缘交换机之间的高速连通性、可靠性和服务感谢阅读,如DECnet。利用ATM技术的高精品文档放心下载效拥挤控制和流量控制，高可用性和功能全面的网络控制,动态用户组管理及有精品文档放心下载精品文档放心下载类型信息流和不同服务质量的需求。感谢阅读感谢阅读户的需求，但在网络的流量管理上和服务质量上不及ATM。谢谢阅读企业局域网络还可以采用第三层或第四层交换技术,以满足网络主干在性能感谢阅读上的需求.（3）企业园区楼宇网络设计企业园区楼宇设计必须基于建筑物内已有的或者可能设置的布线结构进行感谢阅读设计，同时要考虑每个楼宇内信息资源中心的设置,局域网之间的数据通信类型感谢阅读感谢阅读结构。楼宇内设计采用路由互连技术、ATM交换互连网技术和虚拟局域网组网谢谢阅读技术.楼宇网络设计需要考虑如下问题：•100米之内,一般采用双绞线作为网感谢阅读络的传输媒体。如果楼宇内部有电磁干扰，可以采用光纤作为传输媒体。如谢谢阅读果楼宇内部的传输距离大于100,也可以采用光精品文档放心下载纤作为传输媒体。•在采用同一局域网技术的工作组网络互连时，如果可以共享带宽，而且无安谢谢阅读技术论文。11全控制需要,只是由于工作组网络覆盖的距离不够,则可以采用级联集线器的精品文档放心下载方式扩展网络。•在采用同一种局域网技术的工作组网络互连时,如果各个工作组需要独立的精品文档放心下载传输带宽,则通过局域网交换机连接。•采用不同局域网技术的工作组网络互连时,如果互连的工作组网络较少,各个精品文档放心下载,各个工作组网络之间需要提供快速连接，则采用支持多种局域网接口的交换机。谢谢阅读•感谢阅读多,格的安全访问控制，且在工作组之间没有多媒体应用，则采用路由器互连各个工作组网络.谢谢阅读•如果工作组站点的地理分布，与其它工作组网络站点地理分布重复，则需要

机构成符合工作组划分的虚拟网络.精品文档放心下载•ATM

技术,到桌面采用25MATM连接。精品文档放心下载•155MATM接入或光纤100M以太网接入.重点终

端用户采用光纤接入核心交换机,实现安全传输。

（4）企业园区虚拟局域网感谢阅读网络厂商相继开发了“开放互联技术VTP(VLANTrunkingProtocol)，支持

的标准是8021Q,MPLS.ATM交换机和局域网交换机为虚拟局域网提供了

基础平台。虚拟局域网为企业局域网络带来的三个好处是：感谢阅读•在最大限度地减少对路由器依赖的基础上，有效地控制局域网内的广播流量，提高站点的传输效率。谢谢阅读•减少由于网络站点的增加、移动和更改而增加的网络维护成本。

•业务部门工作组的逻辑组合更为灵活.精品文档放心下载在VLAN的划分中,个集合。每个交换机支持的群组数目有一定的限制。因此,在网络规划时,必须考

虑业务部门逻辑工作组的数量,并选择相应的交换机型号，使得交换机的VLAN

数量和处理性能满足业务应用需要。一个群组可以包括全网中不同交换机的端中的通信量不能转发到另一个群组中，群组的特征如下：谢谢阅读（1）一个群组是一个广播域；）一个群组是交换机物理端口的集合；

）群组可以跨越多个交换机；谢谢阅读（群组不能相互重叠，即每个端口只能属于一个群组;

）群组之间的帧可以通过路由转发；谢谢阅读同一群组中不同的VLAN的帧也可以通过路由转发。群组的概念实际上是基于以端口为基础的VLANVLAN划分：谢谢阅读（基于MAC地址的VLAN划分,这种VLAN划分方法灵活,但管理复杂；精品文档放心下载技术论文。12（2）基于协议规则的VLAN划分，把具有相同的第三层协议网络站点归并

成一个VLAN.精品文档放心下载这些站点连接的交换机端口构成一个广播域,以减少在同一网络环境下不

同协议栈之间的相互干扰.选择不同的协议类型构成不同的VLAN:1、所有IP协

2、所有IPX3、所有DECnet协议流量；所有AppleTtalk流

量；4、所有指定以太类型的流量;5、所有携带指定源点和目的点SAP（服务访

问点）报头的流量;6、所有携带指定SNAP（子网访问协议）类型的流量。

）基于网络地址的VLAN.感谢阅读用IP地址和IP网络掩码划分网段.（4）基于用户定义规则的。感谢阅读六、企业网络与外网连接企业网络与外网的连接发生在企业网络的各个层次上,其中

包括Internet接入等。我们称企业内部网为内网，企业外部网为外网。显然，

内网和外网间加装防火墙。感谢阅读通常，内网和外网间采用静态路由或缺省路由。内网和外网的信息访问

通过防火墙进行过滤。精品文档放心下载内网和外网的连接如下图所示:七、企业网络安全访问控制机制感谢阅读7.1企业安全系统的设计目标是：(1）防范黑客攻击、计算机犯罪和有害信息传播（包括计算机病毒）谢谢阅读(2）加强应用和数据的安全建立安全管理制度，注意内外兼防，重点在内部7。2安全框架安全方案的科学性、可行性是其顺利实施的保障。感谢阅读的基础。美国国防部DISSP（DefenseWideInformationSystemSecurityProgram)谢谢阅读感谢阅读感谢阅读第一维（Ｘ轴)是安全特性，给出了七种安全属性；第二维(Ｙ轴）是系统单元，给出了信息网络系统的组成;精品文档放心下载第三维（Ｘ轴)是结构层次,给出了国际标准化组织ISO的开放感谢阅读系统互连(ISO）模型.技术论文。13安全框架的具体模型和介绍如下:身份鉴别访问控制数据保密数据完整不可抵赖审计管理可用性、可靠性7。3安全方案的制订根据安全框架制订安全方案的具体思路如下：确定安全方案涉及的系统单元,明确安全方案系统单元；确定安全方案系统单元在各个层次结构的安全特性。安全方案的组成如下:网络平台安全方案系统平台安全方案应用平台安全方案物理环境安全安全管理方案7。4网络平台安全方案7。4.1网络系统方案功能要点1）访问控制。通过对特定网段、服务建立的访问控制体系，将绝大多数攻击感谢阅读阻止在到达攻击目标之前。技术论文。14谢谢阅读大多数攻击无效。精品文档放心下载谢谢阅读2）加密通讯。主动的加密通讯，可使攻击者不能了解、修改敏感信息.精品文档放心下载3）认证。良好的认证体系可防止攻击者假冒合法用户。4)备份和恢复.良好的备份和恢复机制，可在攻击造成损失时，及时地恢复感谢阅读数据和系统服务。5)多层防御。攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。感谢阅读6)隐藏内部信息。使攻击者不能了解系统内的基本情况。精品文档放心下载谢谢阅读况服务。7。4.2网络平台安全措施网络平台的安全措施应涉及局域网、广域网、互连网、防病毒和防黑客共谢谢阅读五个方面.7。4.2.1局域网的安全措施由于局域网中采用广播方式,因此,本广播域的信息传递都会暴露在黑客面谢谢阅读前。可采取下列措施提高安全性：（1）网络分段网络分段是保证安全的一项重要措施，将非法用户与网络资源相互隔离，从谢谢阅读而达到限制用户非法访问的目的。网络分段可分为物理分段和逻辑分段两种方式:物理分段通常是指将网络从物理层和数据链路层上分为若干网段，使各网段谢谢阅读相互间无法进行直接通讯.逻辑分段则是指将整个系统在网络层上进行分段。把谢谢阅读网络分成若干IP精品文档放心下载设备进行连接，利用这些中间设备（含软件、硬件）的安全机制来控制各子网间精品文档放心下载的访问。技术论文。15（2）VLAN技术感谢阅读的基于广播的局域网技术发展为面向连接的技术.网管系统有能力限制局域网通精品文档放心下载讯的范围而无需通过开销很大的路由器.采用应用交换器和VLAN技术，可将广播转变为点到点通讯,从而防止大部分精品文档放心下载基于网络监听的入侵手段。通过虚拟网设置的访问控制,也可使在虚拟网外的网络节点不能直接访问虚感谢阅读拟网内节点.7.4。2.2广域网安全措施广域网采用公网传输数据,在广域网上传输的信息可能会被不法分子截取.感谢阅读因此在广域网上发送和接收信息时要保证:感谢阅读（2)传输过程中不被篡改（真实性);（4)发送方不能否认自己的发送行为（非否认)。有效的方法是对传输的信息进行加密，采用数据签名和认证技术精品文档放心下载加密技术数据加密技术分为三类,即对称型加密、不对称型加密和不可逆加密。精品文档放心下载对称型加密使用单个密钥对数据进行加密或解密,其特点是计算量小、加密精品文档放心下载效率高。但是此类算法在分布式系统上使用较为困难。不对称型加密算法也称公用密钥算法，其特点是有二个密钥,只有二者搭配谢谢阅读使用才能完成加密和解密的全过程.适用于分布式系统中的数据加密,在精品文档放心下载Internet中得到了广泛应用.不对称加密的另一用法称为“数字签名"（digital精品文档放心下载统中应用的不对称加密算法有RSA算法和DSA算法（DigitalSignature感谢阅读精品文档放心下载和分发问题，但是其加密计算工作量相当可观,所以通常用于数据量有限的情形谢谢阅读技术论文。16下的加密，例如计算机系统中的口令就是利用不可逆算法加密的。感谢阅读数字签名和认证技术精品文档放心下载精品文档放心下载的实现。认证过程通常涉及到加密和密钥交换.通常，加密可使用对称加密、不对称加密精品文档放心下载及两种加密方法的混合。RSA）谢谢阅读基于私有/公共密钥对,作为验证发送者身份和消息完整性的根据。CA使用私有谢谢阅读密钥计算其数字签名,利用CA提供的公共密钥，任何人均可验证签名的真实性。谢谢阅读伪造数字签名从计算能力上是不可行的.并且，如果消息随数字签名一同发送，精品文档放心下载对消息的任何修改在验证数字签名时都将会被发现。（5）远程访问的安全性从外部拨号访问内部局域网的用户，由于使用公用电话网进行数据传输，必谢谢阅读须严格控制其安全性.首先，应严格限制拨号上网用户所能访问的系统信息和资源，这一功能可通谢谢阅读过在拨号访问服务器后设置的防火墙来实现。其次，应加强对拨号用户的身份验证功能,使用等专用身谢谢阅读谢谢阅读在身份验证过程中采用PGP加密手段，避免用户口令泄露的可能性。谢谢阅读第三,在数据传输过程中采用加密技术，防止数据被非法窃取。一种方法是精品文档放心下载使用PGP，对数据直接加密。另一种方法是采用防火墙所提供的VPN(虚拟专网)感谢阅读在提供网间数据加密的同时，也提供了针对单机用户的加密客户端软谢谢阅读件，即采用软件加密的技术来保证数据传输的安全性。7。4。2.3互连网的安全措施对网络安全的威胁主要表现在:非授权访问、冒充合法用户、破坏数据完整感谢阅读性、干扰系统正常运行、利用网络传播病毒、线路窃听等方面.这就要求我们对精品文档放心下载与Internet互连所带来的安全性问题予以足够重视。感谢阅读技术论文。17大型网络系统与Internet互连的第一道屏障是防火墙。其主要作用是在网感谢阅读络入口点检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提精品文档放心下载下，提供内外网络通讯.防火墙能做到：保护脆弱的服务感谢阅读险.控制对系统的访问提供对系统的访问控制。集中的安全管理感谢阅读整个内部网络系统，而无须在内部网每台机器上分别设立安全策略.谢谢阅读增强的保密性可以阻止攻击者获取攻击网络系统的有用信息记录和统计网络利用数据以及非法使用数据感谢阅读以提供统计数据,用以判断可能的攻击。但防火墙做不到：停止所有外部入侵；完全不能阻止内部袭击；防病毒;终止有经验的黑客；提供完全的网络安全性。因此，系统还应该具备防病毒和防黑客的功能。7。4.2.4防病毒的安全措施由于Internet的迅速发展，将文件附加在电子邮件中的能力不断提高，使精品文档放心下载得病毒的扩散速度急骤提高，范围越来越广.（1）多层病毒防卫体系技术论文。18为了企业的财产免受损失，多数企业都选择多层的病毒防卫体系。多层病毒精品文档放心下载精品文档放心下载要安装基于服务器的反病毒软件,在INTERNET网关上要安装基于INTERNET网关精品文档放心下载的反病毒软件。（2）市场反病毒产品目前市场上有各种反病毒软件：第一种是高级桌面反病毒套装软件。第二种感谢阅读是服务器级反病毒套装件。第三种Internet网的反病毒软件。精品文档放心下载7。4。2。5防黑客的安全措施（1）入侵检测利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络谢谢阅读保护，降低了网络安全风险.但是，仅仅使用防火墙，网络安全还远远不够，这感谢阅读是因为：入侵者可寻找防火墙背后可能敞开的后门。入侵者可能就在防火墙内。由于性能的限制,防火墙通常不能提供实时的入侵检测能力。谢谢阅读入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵谢谢阅读精品文档放心下载实时入侵检测不但能够对付来自内部网络的攻击，也能够阻止黑客的入侵。精品文档放心下载入侵检测系统可分为基于主机和基于网络两类。谢谢阅读系统日志和阻止非法访问的闯入，并且提供对典型应用如WEB服务器应用的监谢谢阅读视。基于网络的入侵检测系统用于实时监控网络关键路径的信息。感谢阅读基于主机及网络的入侵监控系统通常可配置为分布式模式，其要点如下：谢谢阅读谢谢阅读服务器报告及上传证据，提供跨平台的入侵监视解决方案.精品文档放心下载感谢阅读别向管理服务器报告及上传证据,提供跨网络的入侵监视解决方案。谢谢阅读技术论文。19（2）对关键服务器的保护由于网络的安全监控系统自身的局限性,不可避免地出会现误报、漏报等情谢谢阅读感谢阅读络安全系统更加强健。感谢阅读攻击、非法的闯入和异常进程，并作出切断服务/重启服务器进程/发出警报/记感谢阅读录入侵过程等动作。精品文档放心下载别及动作执行，服务器则完成管理和记录工作。目前,此类系统可安装于以上的操感谢阅读作系统。关于系统安全和网络安全措施,可进一步参阅第四章有关内容。感谢阅读7.5系统平台安全方案7.5。1操作系统安全方案网络操作系统是计算机和用户之间的接口，是管理网络资源的核心系统，它精品文档放心下载谢谢阅读感谢阅读取控制权限，用加密及其它一些手段来提高文件的安全性。感谢阅读UNIX主机在InternetWindowsNT具有较好的用谢谢阅读户界面和域特性，因此它们被广大用户所采用.（1)UNIX系统的安全特性UNIX系统本身具备良好的安全性,按照可信计算机评价标准，它达到C2精品文档放心下载级标准.它提供以下安全特征：操作的可靠性选择性访问控制对象的可用性个人身份标识与认证技术论文。20审计网络文件系统（2）WindowsNT的安全特性WindowsNT已将安全性嵌入操作系统,有选择的访问控制可使系统管理感谢阅读员能对单个文件赋予权限。在安全管理上，采取了分布式安全服务与集中式感谢阅读安全管理相结合的策略，能够简化域的管理，改善系统性能。此外，还集成谢谢阅读了基于公用钥加密的Internet安全技术。WindowsNT用户可以使用易于使用的工具和通用的用户界面,通过对话感谢阅读来管理他们用于访问Inetrnet感谢阅读证书通过安全的存储方式存放。（3）操作系统中的漏洞精品文档放心下载的问题越多。（4)操作系统的安全措施选择由大写字母、小写安母、数字组成的6个符号作为口令。感谢阅读避免用有特殊意义的口令，例如实际的名字或单字。经常定期变化口令，且不告诉别人。对超级用户采取双口令.注册次数限制。对于多次不正确注册的用户，进行一次性拒绝.谢谢阅读不断增加供货商发布的安全补丁。在操作系统中安装网络访问控制验证工具.7。6数据库管理系统的安全方案7.6.1数据库系统基本安全框架数据库系统信息安全性依赖于两个层次:一层是数据库管理系统本身提供的感谢阅读用户名/口令字识别、使用权限控制、审计等管理措施，另一层是靠应用程序设精品文档放心下载谢谢阅读技术论文。21等产品提供谢谢阅读了以下几种主要手段：（1）用户分类对不同类型的用户授予不同的数据管理权限。一般将权限分为三类:感谢阅读数据库登录权限类；资源管理权限类；数据库管理员权限类。精品文档放心下载系统所提供的各类工具和实用程序.同时，数据库客体的主人可以授予这类用户谢谢阅读精品文档放心下载库中的任何数据。具有资源管理权限的用户，除了拥有上一类的用户权限外，还有创建数据库感谢阅读表、索引等数据库客体的权限，可以在权限允许的范围内修改、查询数据库；还感谢阅读能将自己拥有的权限授予其他用户，可以申请审计.精品文档放心下载用户的任何数据，授予(或回收）用户的各种权限,创建各种数据库客体,完成数感谢阅读据库的整库备份,装入重组，以及进行全系统的审计等工作。这类用户的工作是感谢阅读谨慎而带全局性的工作,只有极少数用户属于这种类型。（2）数据分类同一类权限的用户，对数据库中数据管理和使用的范围又可能是不同的。为感谢阅读此数据库管理系统提供了将数据分类的功能,即建立视图。管理员把某用户查询谢谢阅读的数据逻辑归并起来,建成一个或多个视图，并赋予名称，再把该视图的查询权谢谢阅读谢谢阅读粒度是数据库二维表中一个交叉的元素。（3）审计功能大型数据库管理系统提供的审计功能是一个十分重要的安全措施,它用于监谢谢阅读视各用户对数据库施加的动作。有两种审计的方式，即用户审计和系统审计:谢谢阅读用户审计时，数据库管理系统的审计系统记录下所有对自己的表或视图进谢谢阅读行访问的企图(包括成功的和不成功的)及每次操作的用户名、时间、操精品文档放心下载技术论文。22谢谢阅读可以利用这些信息进行审计分析。系统审计由系统管理员进行，其审计内容主要是系统一级命令以及数据库感谢阅读客体的使用情况。例如,Oracle8数据库具有审计发生在其内部所有操作的能力。它可对感谢阅读三种不同类型的操作进行审计:注册企图、对象访问和数据库操作。精品文档放心下载注册审计：对每个连接数据库的企图进行审计.操作审计：对影响数据库对象（如表、数据库链、表空间、索引等）感谢阅读的任何操作(如create、alter和drop等）进行审计。感谢阅读对象审计：对对象的数据交换操作（包括对表的选择、插入、更新精品文档放心下载和删除等)进行审计.7。6。2数据库加密一般而言，数据库系统提供的上述基本安全技术能够满足一般的数据库应感谢阅读谢谢阅读精品文档放心下载精品文档放心下载息.因此，有必要对数据库中存储的重要数据进行加密处理，以实现数据存储的精品文档放心下载安全保护.（1)数据库加密的特点与传统的信息加密技术相比,数据库密码系统有其自身的要求和特点。传统精品文档放心下载的加密以报文为单位,加密和解密都是从头到尾进行的。数据库数据的使用方针感谢阅读谢谢阅读感谢阅读精品文档放心下载谢谢阅读解密的问题。数据库密码系统应采取公开密钥技术论文。23传统的密码系统中，密钥是秘密的，知道的人越少越好.人们一旦获取了密感谢阅读钥和密码体制就能攻破密码,解开密文。而数据库数据是共享的，有权限的用户感谢阅读谢谢阅读谢谢阅读钥,采用OS和DBMS层的工具,也无法得到数据明文。谢谢阅读加密机制RSA密码,其加密密钥是公开的,算法也是公开精品文档放心下载的,但其算法是各人一套；而作为数据库密码的加密算法不可能因人而异，加之谢谢阅读寻找这种算法有其自身的困难和局限性,机器中也不可能存放很多种算法,因此谢谢阅读这类典型的公开密钥的加密体制也不适合于数据库加密。数据库加/解密密钥应谢谢阅读该是相同、公开的，而加密算法应该是绝对保密的。多级密钥结构精品文档放心下载记录号和字段名。因此，字段是最小的加密单位.也就是说,当查得一个数据后,感谢阅读该数据所在的库名、表名、记录名、字段名都应是知道的。对应的库名、表名、精品文档放心下载感谢阅读的公开密钥.谢谢阅读的方法应是在该记录中增加一条子密钥数据字段.（2）数据库加密的范围谢谢阅读的内在关系的目的，也就是说,经过加密的数据经得起来自操作系统和数据库管精品文档放心下载要完成对数据库文件的管理和使用，必须具有能谢谢阅读够识别部分数据的条件.据此，只能对数据库中数据进行部分加密。精品文档放心下载7.6.3数据库安全措施数据库管理系统的安全性能达到C2级标准（Oracle感谢阅读数据库对象（如表、视图、索引、触发器等）的所有权必须明确定义。感谢阅读为系统安全管理员提供创建和修改用户口令的功能,而数据库管理人员应不精品文档放心下载技术论文。24知道用户的口令。按照用户或操作行为有选择地进行审计，审计信息加以保护,防止非法访问，谢谢阅读审核信息必须包括充分的数据，以确定“谁"在“什么时候”从“何地"谢谢阅读访问了“何种数据"。审核信息作为系统备份策略的一部分经常备份，在超过保留期后，旧的审核谢谢阅读信息应归档,应提供工具，以简化数据库管理员对审核信息的访问.精品文档放心下载用户离开后，其帐号必须注销，长期离职的情况下,其帐号应暂停使用.谢谢阅读应做必要的检测以防止从操作系统级越过数据库管理系统对数据库进行非法感谢阅读操作.对敏感数据进行加密管理。7.7应用平台安全方案应用平台主要指应用软件和数据管理，其安全功能主要包括以下内容：精品文档放心下载（1）身份认证:完成用户和服务器之间的双向身份认证,实现跨平台、跨应精品文档放心下载用系统的安全单点登录，它是实现访问控制、审计和抗否认等的基础。谢谢阅读(2）访问控制：根据身份实现应用和服务的精粒度或细粒度访问控制，防止谢谢阅读非授权访问.(3）数据完整性和保密性:在身份认证、访问控制、数据传输等过程中，对谢谢阅读数据进行加密保护或完整性保护.（4）审计记录：审计功能具有可扩充性,可溯性且能进行全局审计.详细记精品文档放心下载精品文档放心下载“何种数据”.日志加密存储在特定的目