XX广播电视台网络工程.docx

《XX广播电视台网络工程.docx》由会员分享，可在线阅读，更多相关《XX广播电视台网络工程.docx（31页珍藏版）》请在三一办公上搜索。

1、 课程设计题 目：XX广播电视台网络工程专 业：1 年 级1 学 号：1 姓 名1 指导教师：1 二一二年六月目录 前言第一章 概述（包括可行性分析和用户需求分析）31.1 XX广播电视台概况31.2 计算机系统需求41.2.1技术目标41.3 需求分析41.3.1 用户需求41.3.2 服务器要求51.3.3 网络建设需求5第二章 网络系统设计与实施62.1 网络设计原则62.2 局域网总体设计说明6第三章 综合布线设计与实施73.1 采用综合布线方案概述73.1.1 工作区子系统设计介绍73.1.2 水平区子系统设计介绍73.1.3 垂直主干线子系统设计介绍73.1.4 设备间子系统设计介

2、绍73.1.5 建筑群子系统设计介绍83.2 综合布线系统的安装与施工指南8产品选型说明9第五章 VLAN、IP规划与实施135.1 VLAN技术介绍135.2 技术介绍155.1 IP地址基础155.2 地址分配方法17第六章 网络安全设计与实施206.1 集成的网络安全策略206.2 “防火墙”技术与结构216.2.1 防火墙的概念216.2.2 防火墙技术的实现226.2.3 建设Firewall的原则236.3 XX广播电视台网络构建安全设计236.3.1 安全设计需求23第七章 工程实施247.1 现场勘测247.2 订货和采购247.3 IP地址和域名规划247.4 设备安装及设置

3、247.5 Intranet平台和软件开发环境建立257.6 应用系统开发257.7 网络系统和Intranet平台试运行257.8 工程验收257.9 培训257.10 质量保证体系257.11 质量担保26 前言：企业信息化建设的必要性与迫切性,已被广泛认同。但是,目前国内企业中全面实现信息化并实施成功的案例并不多。虽然许多企业在管理和操作层面上部分采用了应用软件,但大多是局部的应用,从效果上看,主要表现在减少了人工作业的工作量和出错率,提供了一些半自动化操作以及简单的查询功能等等,离信息的完全集成并满足企业管理和长远发展的要求还相距甚远。在房地产办公及管理信息化进程中，房地产如何发挥自身

4、作用，怎样利用Internet/Intranet技术带来的机遇和挑战，来提高工作效率和管理科学水平，是亟待解决的问题。第一章 概述1.1 XX广播电视台概况 对XX广播电视台进行调查，发现广播电视台的信息如下部门接入口电视台办公室620制作部2广告部7总编室3人事部1事业科技部1新闻室418有线电视服务中心9播出部5总控室16 17接收塔1共计551.2 计算机系统需求1.2.1技术目标在XX广播电视台综合布线过程中，水平布线已施工完毕，目前需完成垂直干线子系统、管理子系统、工作区子系统、设备间子系统、建筑群子系统的布线任务。在综合布线的基础上，完成服务器、网络、安全等硬件平台的建设工程。所以

5、构建网络系统的技术目标是：1. XX广播电视台网络综合构建总体要求为：首先保证内部网络的绝对稳定运行；保证电视播出的绝对正常；保证每月无差错，每季差错少，全年差错4次以下；保证无外网攻击，防止别有企图之人侵入整个系统。以上简称4个保证。2. 在现有条件下，力求减少成本，并且要求稳定，效率。3. 广告部和有线电视服务中心要求连接到外网，保证接待客户不出现网络差，无法访问等问题。4. 其他部门可按需申请外网，推荐是用锐捷系统。5. 要求播出部不允许被外网访问而其他各部门能访问到进行节目的播出。1.3 需求分析1.3.1 用户需求通过建立继往开来的信息发布机制，在网上发面各部门的职能、机构组成、办事

6、章程，各项文件、资料、档案等，实现信息资源的共享。在整个网络构建规划中，实现公文流转，资料传递的网络化，实现无纸化办公；同时开发各种业务应用系统及各种管理系统，实现业务流程的网络化。随着网络应用于的深深入，可以逐步在网上开展视频、声音等服务，如IP电话、视频会议等功能。1.3.2 服务器要求服务器的选择很重要，他是网络系统的心脏，服务器的选择主要考虑其I/0吞吐能力，以及其综合处理能力（CPU，MEMORY，SYSTEM，BUS），系统的可靠性与稳定性，系统的先进性与安全性，最终的性能价格比，特别是对于大型数据库服务器来说，系统的性能尤为重要。XX广播电视台网络的中央计算机系统包括数据库服务器

7、以及提供Internet服务的WWW服务器、邮局服务器、代理服务器等；提供局域网服务的文件服务器、设备管理服务器等；以及相应的操作系统、应用软件系统等。 1.3.3 网络建设需求采用“总体规划、分步实施”的思路对系统进行网络建设。基本构架采用国际流行的Intranet/Internet网络技术，以TCP/IP为基本舆协议；网络内部主干采用千兆以太网技术实现 100M到桌面，满足系统业务需求，如：视频会议、VOD点播和IP电话等对大数据量舆和服务质量、带宽分配的要求。各部门采用先进的MPLS/VPN技术构建全市的各部门VPN，达到电台政务数据的互连互通；采用先进的虚拟网络和基于端口认证技术，按职

8、能部门划分出虚拟局域网，以增强网络内部安全性；采用防火墙和入侵检测实现联动，主动对系统进行在线实时监控，提高网络安全性的可靠性。电子政务系统应将分散在广电局各部门之间的信息统一归纳，组织成统一的信息资源库、规范查询的路径与目录的表达等，保证信息资源的合理充分利用。第二章 网络系统设计与实施2.1 网络设计原则l 先进性既要保证技术的先进性，又要保证管理的先进性网络的设备造型，操作系统和应用软件的采用充分考虑到满足网络发展趋势，得网络间的互连和网络的升级。网络的设计应灵活、稳定、安全、可靠、易维护。l 统一性网络要统一规划、分步实施，便于网络管理。完整性整个网络系统功能、数据安全、网络管理等到方

9、面有充分的保证。l 开放性采用开放式的设计结构，以Internet技术为基础，采用与Internet兼容的标准协议，并支持通信网的数据库网的相关性协议，并能实现于其他信息系统的互连互通。l 扩展性系统设备配置合理，技术符合国际潮流，以便保证整个系统的不断发展。体现网络高技术起点、功能强。尽量利用现有的软、硬件资源、易于扩展、便于实际上使用。l 安全性应实现与Internet 网的逻辑隔离，引入数据隔离机制及病毒防范机制。2.2 局域网总体设计说明根据XX广播电视台的总体规划，电子政务外网依托广电光纤宽带，采用中国联合通信公司提供的百兆网络连接方案，实现各种网络应用服务。本着满足需求、节约经费的

10、原则，电台大总控室用百兆光纤以太网作为外网连接，内部百兆超五类线到桌面。使系统既具备了很好的扩展性，又拥有很高的性能价格比，保证节目传播的绝对流畅，能够为新业务的开展提供平滑的升级，保护投资。第三章 综合布线设计与实施3.1 采用综合布线方案概述在电台综合布线过程中，水平布线已施工完毕，目前需完成垂直干线子系统、管理子系统、工作区子系统、设备间子系统、建筑群子系统的布线任务。在综合布线的基础上，完成服务器、网络、安全等硬件平台的建设工程。3.1.1 工作区子系统设计介绍工作区子系统有用户终端设备连接至信息插座的器件组成，它包括装配软线，连接器和连接所需的扩展软线，信息插座有墙上，地上，桌上，软

11、基性多种，标准有45的单、双、多孔等各种型号。在电台综合布线过程中，各工作区均采用标准RJ-45双中结构的信息插座，信息插座安装于墙上，其旁边配备一单相电源插座，信息插座和电源插座的低边沿线距地水平面30cm。3.1.2 水平区子系统设计介绍水平布线子系统将网线从各部门配线架连接到各工作区的信息插座上，一般处在同一部门，通常采用5类或5E类8芯4对双绞线，5类或5E类双绞线都是有8根24-AW铜线组成，符合或超过EIA或TIA-568标准。在此我们全部选用超5类4对非屏蔽双绞线3.1.3 垂直主干线子系统设计介绍垂直主干线子系统由 提供建筑物的主干电缆的路由， 是综合布线系统的神经中枢，实现主

12、配线架和中间配线架的连接，一般建议采用大对数双绞线电缆和光纤作为主干传输介质。在此我们采用IBDN多模光纤，同时架设8芯多模作为备份。3.1.4 设备间子系统设计介绍设备间子系统把中继线交叉处和布线交叉连接处连到应用系统设备上，由设备室的电缆及连接器和相关支撑硬件组成，把公用系统设备的各种不同设备互连起来。一般设备间子系统为计算机中心机房，放置网络设备3.1.5 建筑群子系统设计介绍建筑群子系统是指主建筑物中的主配线架延伸到另一建筑物中的主配线架上的链接系统，与垂直子系统类似。在此我们采用IBDN多模光纤连接主楼与两座附楼。3.2 综合布线系统的安装与施工指南整个计算机网络系统计划采用千兆以太

13、网技术，建成以千兆光纤主干加UTP CAT 5非屏蔽双绞线为接入层主要传输介质的计算机通信计算机网络。XX广播电视台采用千兆外网接入，内部网络均为百兆，方便内部文件的传输。以总控室为中心，。A楼到计算机网络中心采用多膜光纤，在1层设一个设备间，14层汇集于1层设备间。 B楼与网络中心机房采用多模光纤，在1层设1个设备间，14层集于1层设备间。（1） 数计算机网络结构据点。本次XX广播电视台建设的布线工程包含信息点： 办公室620制作部2广告部7总编室3人事部1事业科技部1新闻室418有线电视服务中心9播出部5总控室16 17接收塔1 （2）安全防盗、监控系统信息点。采用电视监控和红外报警方式：

14、监控设在总控室。（3）红外线报警点： 每层楼道内安装3个，会议室进出口处各安装1个，A,B楼每层楼道内安装3个，合计30几个。 产品选型说明 计算机网络设备基于综合布线之上，是数据交换的中心和公共通道。对内，把信息管理系统和设备管理系统连成一个有机的整体，对外，与世界各地进行数据通信。选用同类产品中技术成熟、性能先进、使用可靠的产品型号，具有电信级的可靠性，在业界居领先水平，以保证器材和系统的先进性、成熟性。第四章 网络拓扑结构设计与实施4.1拓扑结构图 4.2 设计说明网络结构是网络的基石，它解决了网络的性能安全，扩展性，网络互通等问题，对网络的不同层次有不同的要求，因此我们要将网络层次化。

15、随着网络的飞速发展，对网络的各项要求越来越高。故而，在进行网络设备选择时，我们主要须考虑三个因素：设备性能。性能价格比。生产厂商的技术支持能力、规模和发展前景。根据XX广播电视台新的调整方案，本着满足需求，节约经费的要求，我们重点对核心层和分布层的骨干交换机进行分析选型，通过对几大主流网络厂商北电、思科、华为的网络产品性能价格分析和管理的易用性分析，本方案选用思科网络系列产品。并且，我们对网络的设计有了如下规划。1 ）总体网络设计 为了满足需求设计采用了层次化的设计思想和模块化的实际体系。采用了三层结构：核心层、汇聚层、接入层。采用了分层的网络结构可以保证网络在的性能、可扩展等，而且也尽可能大

16、的节约了经费。 核心层 核心层是所有数据流经的网络层，为整个系统提供Internet提供网络接入和本地的数据接入，是数据交换的枢纽。故核心层的设计应体现高扩展性、高可用性。 此次设计应用了快速以太网交换机作为核心交换机。该交换机具有良好的存储-转发功能，它可以通过接口模块与广告的交换机直接相连。同时该交换机具有多层过滤功能，可以实现及为复杂的业务隔离，再通过VLAN技术和二层交换机技术可以隔离网络风暴，互通控制、流分类以及便于在楼内各部门之间进行分级权限管理等目的。 汇聚层 汇聚层网络主要提供了用户的汇聚功能和服务质量保证的功能。在汇聚层能够真正做到通过识别用户及应用提供不同的服务质量保证。汇

17、聚层与核心层的互联链路可以采用MLT 技术实现带宽的扩展，满足现有业务和未来的业务发展的需求。 接入层交换机由于接入层设备需要部署在楼层，因此要求这些设备容易管理并且投资成本少。在接入层根据用户类型的不同划分为不同的VLAN。在不同的场合，例如：办公处，家里部署具有接入控制功能的以太网交换机，通过对用户的身份认证及该用户在RADIUS 服务器上定义的VLAN 属性，划分相应的VLAN。在接入层用户较为集中的楼层，例如主楼使用具备链路捆绑功能的交换机或堆叠式的交换机。总之这次设计中主要采用了层次化和模块化的结合。整个园区网络分为3 个层次区域，呈星型拓扑结构，核心层位于最上端，向下分成3 个分支

18、连接到3 个分布层，每个分布层中心选用思科网络的路由交换机配置1000M 光纤模块。各分布层再以星型连接分成若干个接入层连接到各个区域的办公楼。整个园区网构架完成后，将形成一个以1000Mbps 为光纤主干、覆盖全区各大楼的快速以太网系统，通过网管系统平台（Nortel Optivity ）可以方便地对全网进行网络设备配置与监控、子网规划、路由交换管理、 用户迁移、 访问控制、网络流量监控、 故障告警排除等功能。2） 网络特点分析此外还有路由器负责外网（广域网）接入；防火墙是内外网的边界，隔开内外网；主交换机有三层交换功能，主要的VLAN 划分和VLAN 间的路由在这里进行，高效的线速路由解决

19、了以往VLAN 通过路由器路由的低速瓶颈，它也是二层交换机的主干汇聚，最好能支持现今流行的千兆端口，以支持千兆主干；二层快速以太网交换机负责客户机、工作组服务器的接入，一般一台二层交换机就负责一个VLAN 域，支持一个功能唯一的客户机群接入。 建成后的XX广播电视台网络具有如下特点：（1）高可靠性：路由交换机所有模块可实现热插拔和具有冗余电源 模块；（2）高性能：(3)全网高速路由交换: 支持基于标准的VLAN（802.1Q）和Trunk(多条逻辑链路传输和聚合)；多层QoS 级别提供延迟极小的信道；IP 广播分离和优先级支持，在不引入大量广播风暴的情况下，完成企业内部的多媒体广播。(4)高安

20、全性:为保护网络系统的数据安全，本方案提供了多种方式和层次性的访问控制安全机制，可进行端到端的安全性控制，核心层和分布层交换机都支持IP 数据包过滤和网管访问控制。(5)易维护性：核心层和分布层设备都可以在不影响网络正常运行的情况下进行模块热插拔和电源热插拔； 也可通过拨号及Telnet、SNMP 等方式 进行远程配置及远程控制。（6）适应性强： CISCO的产品系列是业界中比较完整的， 可提供全套网络解决方案， 可适应各种媒体类型。(7)灵活的延展性: 随着网络系统用户应用规模的不断扩大,本方案中的网络设备能方便地扩充容量，支持更多的用户和应用，并且保证网络设备的性能随着网络规模的扩大而增加

21、； 可平滑地过渡到新的网络技术，保护网络系统用户现有投资。(8) 易于管理: 彭州市行政中心政务外网节点众多， 区域分布大，高效而简便的网络管理对于用户而言是至关重要的。第五章 VLAN、IP规划与实施5.1 VLAN技术介绍对于一个企业来说，部门众多，工作的分工不同，安全性也不一样，企业规模的扩大还造成了企业网络规模的不断膨胀，如何行之有效的管理网络和合理利用网络资源成为企业要关心的话题。企业局域网建设要对网络资源要做出统筹规划，以应对即将建立起来的局域网的复杂的资源分配和资源管理，并能在网络扩展时，原有网络架构不受影响，新增部分又能很好融合。这里的“网络资源”主要指的是IP 资源和网段资源

22、。交换技术相对于共享式网络性能有很大提高，但对于所有处于一个IP 网段的网络设备来说，却同在一个广播域中，这是由于交换网络的工作本质决定的。当工作站数量较多和信息流较大时，容易形成广播风暴，严重影响了网络运行速度，甚至容易造成网络瘫痪。怎样避免这个问题出现呢？采用划小网络和限制广播域的作用范围是唯一的好办法。虚拟局域网（Virtual Local Area Network，VLAN）技术的出现解决了上述问题。实际上，VLAN 就是一个广播域，它不受地理位置的限制，可以跨多个局域网交换机。一个VLAN 可以根据部门职能、工作组或应用来将不同地理位置的网络用户划分为一个逻辑网段。对于局域网交换机，

23、其每一个端口只能标记一个VLAN，一个VLAN 中的所有端口拥有一个广播域，而处于不同VLAN 的端口则共享不同的广播域，这就避免了广播风暴的产生。可以说，在一个交换网络中，VLAN提供了划小网络和限制广播域组合机制。为我们进行网段划分、IP 资源分配、优化网络性能等网络资源统筹提供了有力的工具。VLAN（虚拟局域网），简单的定义就是一种通过将局域网内的设备逻辑地而不是物理的划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN技术允许网络管理者将一个物理的LAN逻辑的划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性，但由于它是逻辑的而

24、不是物理的划分，所以同一个VLAN内的各个工作站无需被放在同一个物理的空间里。VLAN的标准： （一）802.10标准 （二）802.1QVLAN的划分共有6种常见类型： （1）基于端口的VLAN（2）基于MAC地址的VLAN（3）基于协议的VLAN（4）基于IP子网的VLAN（5）基于策略的VLAN（6）其它的VLAN5.2 技术介绍5.1 IP地址基础I P 的地址管理主要用于给一个物理设备分配一个逻辑地址。听起来很复杂，但实际上很简单。一个以太网上的两个设备之所以能够交换信息就是因为在物理以太网上，每个设备都有一块网卡，并拥有唯一的以太网地址。如果设备A向设备B传送信息，设备A需要知道设

25、备B的以太网地址。像M i c r o s o f t的N e t B I O S协议，它要求每个设备广播它的地址，这样其他设备才能知道它的存在。I P协议使用的这个过程叫做地址解析协议。1.) 什么是网络当谈到I P地址管理时，很重要的一点就是要理解“网络”这个词的含义。一个网络就是一组由通信介质连接的、多台计算设备的集合。网络的范围可小到一个财务部门的工作组，也可扩大到一个大公司的所有计算机，如通用公司的网络。从地址管理的角度来看，在一个网络上的所有计算机都应由同一个组织来管理。如果向一台计算机发送信息，就应该通过I P地址来识别这台计算机，并且要知道I P地址已被分配到这个公司。通过定位

26、网络号， I P网络就能够定位公司中的计算资源。网络是由网络号来标识的。网络号实际上就是I P地址，可用它来识别一个组织内部的所有I P资源。就像通常我们所知道的那样，网络很大，就需要大量的地址。网络很小，所需要的地址量就相对较少。有的网络甚至只需要几个网络号。2）部分IP地址管理与子网划分 A类地址最大的地址组是A类地址组。可通过3 2位地址中的唯一的一位，即最高位来识别A类网络地址。0 n n n n n n n l l l l l l l l l l l l l l l l l l l l l l l l在这个分组中，你可以看到用一个3 2位数表示一个A类地址。A类地址的前8位代表网络号

27、，剩余的2 4位可由管理网络地址的管理用户来修改，这2 4位地址代表在“本地”主机上的地址。在上面的地址表示中，多个n代表地址中的网络号位；多个l代表本地可管理的地址部分。像上面所看到的那样，A类网络地址的最高位总是0。由于A类地址的第一位总为0，所以A类地址的网络号从1开始，到1 2 7结束。由于本地可管理的空间是由2 4位组成的，所以在A类地址中，本地地址的数量为22 4或16 777 216个。每个得到A类地址的网络管理员都能够给1千6百多万台主机分配地址。但要记住，由于A类地址只有1 2 7个，所以只能有1 2 7个大网络。下面是一些A类地址网络号：10 . 0 . 0 . 044 .

28、 0 . 0 . 0101 . 0 . 0 . 0127 . 0 . 0 . 0注意，A类地址的网络号范围是从1 . 0 . 0 . 0（最小地址） 开始，到127 . 0 . 0 . 0（最大地址） 结束。 B类地址下一组地址是B类地址。B类地址也是用3 2位地址中的唯一的位模式来识别。 如下所示：1 0 n n n n n n n n n n n n n n l l l l l l l l l l l l l l l l在这个例子中，用3 2位数表示B类地址。B类地址的前1 6位代表网络号，剩余的1 6位可由管理网络地址的用户来修改。这1 6位地址代表在“本地”主机上的地址。B类网络地址是

29、由最高两位1 0来标识的。由于B类地址的前两位为1 0，所以B类地址的网络号是从1 2 8开始，到1 9 1结束。在B类地址中，第2个点分十进制也是网络号的一部分。每个B类地址网络在本地所管理的1 6位地址空间大小为21 6或6 5 5 3 6。可管理的B类网络个数为1 6 3 8 4个。下面是一些B类网络号：137 . 55 . 0 . 0129 . 33 . 0 . 0190 . 254 . 0 . 0150 . 0 . 0 . 0168 . 30 . 0 . 0可以看到，这些网络号从1 2 8 . 0 . 0 . 0（最小地址）到1 9 1 . 2 5 5 . 0 . 0（最大地址）。由

30、于B类地址的网络号长度为1 6位，所以头两个点分十进制数表示网络号。. C类地址下一组地址是C类地址。C类地址也是由3 2位地址中的唯一的位模式来识别。如下所示： 1 1 0 n n n n n n n n n n n n n n n n n n n n n 1 1 1 1 1 1 1 1在这个例子中，可以看到一个3 2位数表示的C类地址。C类地址的前2 4位代表网络号，剩余的8位可由管理网络地址的用户来修改。这8位地址代表在“本地”主机上的地址。B类网络地址是由最高三位11 0来标识的。由于C类地址的前三位为11 0，所以C类地址的网络号是从1 9 2开始，到2 2 3结束。在C类地址中，第

31、2个和第3个点分十进制数也是网络号的一部分。每个C类地址网络在本地所管理的8位地址空间大小为28（或2 5 6）。可以管理的C类网络个数为2 0 9 7 1 5 2。下面是一些C类网络号：204 . 238 . 7 . 0192 . 153 . 186 . 0199 . 0 . 44 . . 0191 . 0 . 0 . 0222 . 222 . 31 . 0可以看到，这些网号从1 9 2 . 0 . 0 . 0（最小地址）到2 2 3 . 2 5 5 . 2 5 5 . 0（最大地址）。由于C类地址的网络号长度为2 4位，所以前三个点分十进制数表示网络号。为了便于总结，表1 - 1列出了三类

32、地址的一些特性。 表1-1 三类地址特性类别网络位数主机位数网络总数地址总数A82412716777216B16161638465536C2482097152256另外，“要特别注意I n t e r n e t地址到本地网络地址的映射问题。一个物理主机可以使用多个不同的I n t e r n e t地址，就好象存在多个不同主机。一些主机可以有多个物理接口（即多穴）。这就是说，一个主机可以有多个与网络相连的物理接口，而每个接口又可以有几个逻辑上的I n t e r n e t地址。”5.2 地址分配方法地址管理的任务之一就是地址分配。当开始进行地址分配时，必须要了解如何使用网络中的地址。有些设

33、备只有一个网络接口，可以给这个网络接口分配一个物理地址；有些设备有多个网络接口，每个网络接口都需要一个物理地址；有些设备有多个网络接口，而每个网络接口需要多个地址。1.) 每个网络接口有一个地址一个连接到网络上的设备需要一个或多个网络接口，并且每个接口都需要I P地址。在网络中一个用于文字处理的工作站有一个以太网接口，它仅需要一个I P地址。2.) 多穴设备路由器是一个网络设备，用于将一个数据报从一个物理网传送到另一个物理网。从它的特性和功能来看，路由器将需要多个网络接口，并且每个网络接口需要一个I P地址。多于一个网络接口的设备叫多穴设备，实现过程叫做多穴化。当给网络或子网上的设备分配地址时

34、，有一些地址是不能使用的。在网络或子网中，我们保留了两个地址用来唯一识别两个特殊功能。第一个保留地址是网络或子网地址。网络地址包括网络号以及全部填充二进制0的主机域。2 0 0 . 1 . 1 . 0、1 5 3 . 8 8 . 0 . 0和1 0 . 0 . 0 . 0都是网络地址。这些地址用于识别网络，不能分配给一个设备。另一个保留地址是广播地址。当使用这个地址时，网上的所有设备都会收到广播信息。网络广播地址是由网络号以及随后全二进制1的主机域组成。下面的例子是一些网络广播地址：2 0 0 . 1 . 1 . 2 5 5、1 3 5 . 8 8 . 2 5 5 . 2 5 5、1 0 .

35、2 5 5 . 2 5 5 . 2 5 5。由于这个地址是针对所有设备的，所以它不能用在单个设备上。我们也在子网中限制使用一些地址。每一个子网都有一个子网地址以及广播地址。像网络地址和广播地址一样，这些地址也不能分配给网络设备。它包括全零的主机域、全1的子网地址和子网广播。 .Vlan、IP的划分IP/VLAN 规划工作如下：1)确定企业网内网IP 地址网段我们对企业网的IP 分配一般以RFC1918 中定义的非Internet 连接的网络地址，也称为私有地址。由Internet 地址授权机构（IANA）控制的IP 地址分配方案中，留出了三类网络地址，给不连Internet 上的专用网使用。它

36、分别是：A类：10.0.0.0 10.255.255.255；B 类：172.16.0.0 172.31.255.255；C 类：192.168.0.0 192.168.255.255。其中的一个私有地址网段是：192.168.0.0是我们在内网IP 分配中最常用的网段。 IANA 保证这些网络号不会分配给连到Internet 上的任何网络，因此任何人都可以自由地选择这些网络地址作为自己的私有网络地址。在申请的合法IP 不足的情况下，企业网内网可以采用私有IP地址的网络地址分配方案；企业网外网接入、DMZ 区使用合法IP 地址。我们确定了要使用的私有网段以后，进一步还要划分子网段，并与VLAN

37、 号、部门相关联，把这做成一个对照表。部门号VLAN名VLAN号VLAN的IP范围子网段子网网关（VLAN IP）制作部VLAN11192.168.1.2192.168.1.254192.168.1.0/24192.168.1.1办公室VLAN22192.168.2.2192.168.2.254192.168.2.0/24162.168.2.1人事部VLAN33192.168.3.2192.168.3.254192.168.3.0/24192.168.3.1总编室VLAN44192.168.4.2192.168.4.254192.168.4.0/24192.168.4.1新闻室VLAN5519

38、2.168.5.2192.168.5.254192.168.5.0/24192.168.5.1广告部VLAN66192.168.6.2192.168.6.254192.168.6.0/24192.168.6.1事业科技部VLAN77192.168.7.2192.168.7.254192.168.7.0/24192.168.7.1有线电视服务中心VLAN88192.168.8.2192.168.8.254192.168.8.0/24192.168.8.1总控室VLAN99192.168.9.2192.168.9.254192.168.9.0/24192.168.9.12）规划防火墙、路由器、服务

39、器的IP 地址WWW/MAIL/FTP 服务器、防火墙的DMZ 网卡、防火墙的外网卡、路由器以太网口1、路由器广域网口1 应该使用从ISP 申请到的合法IP。3)规划企业网内网用户的IP 地址规划完子网与VLAN，接下来就要考虑内网用户IP 的分配方式。针对用户比较集中、信息点位置相对固定的情况，建议使用静态IP。这对于日后的管理、维护、故障排查非常重要，管理员可以根据IP 地址迅速确定主机所在位置。使用静态IP，用户与联接交换机的端口处于同一VLAN。为方便新的用户IP 地址的分配，应做好现有用户IP 地址的记录。当用户变动较大，信息点数量无法准确计算时，建议使用动态IP。动态IP的优势在于

40、方便用户使用，用户只需要将网络属性中的IP 地址栏设成自动获取，用户的本机IP、缺省网关、DNS、WINS 等关键信息，会自动从DHCP 服务器中得到。4)内网NAT 共享上网当内网的IP / VLAN 规划基本完成后，要采用网络地址转换（NAT）技术，即通过1 个外部IP 地址来实现内网用户访问Internet。目前支持NAT 的硬件产品有路由器、防火墙，在此我们采用防火墙来实现NAT。第六章 网络安全设计与实施网络系统使计算机资源在广泛的地理区域内共享，具有分布广域性、体系结构开放性、资源共享性、通信信道的共同性等特点。这些特点增强了系统的实用性，同时也带来了系统的脆弱性，网络上的许多敏感

41、信息和保密数据难免受到各种主动的或被动的人为攻击，如信息泄露、窃取、数据篡改及计算机病毒感染等。因此，在网络上构筑一系列完善的安全策略是必不可少的。安全，通常是指这样一种机制，即只有那些被授权的人才能使用其相应的资源。网络的安全性主要包括网络路由的安全性和网络信息的安全性。对应的，网络系统安全保障的方法可以分为二大类：即以“防火墙”技术为代表的防卫型和建立在数据加密、用户授权确认机制上的主动型网络安全保障系统。前者的特征是通过在网络路由上建立相应的网络通讯监控系统（即“防火墙”）来达到安全控制的目的；而后者的特征是通过对网络数据（包括用户数据和保证网络正常运行所需的数据）的可靠加密和用户确认，

42、实现对网络的安全保护。6.1 集成的网络安全策略在设计网络安全策略时，需要考虑在初建费用、网络安全的扩展性、灵活性、维护费用等方面进行综合考虑，采取适当的策略。我们设计的安全策略包括：（）网络系统的安全性，通过网络管理软件等实现网络安全控制；l（）通过设置防火墙实现网络网络安全；l（）在应用软件上通过用户认证数字签名等手段实现网络安全；6.2 “防火墙”技术与结构6.2.1 防火墙的概念所谓防火墙，就是在内部网与外部网之间的界面上构造一个保护层，并强制所有的连接都必须经过此保护层，在此进行检查和连接。只有被授权的通信才能通过此保护层，从而保护内部网络资源免遭非法入侵。防火墙具有以下特点：l（）

43、保护那些易受攻击的服务 l（）控制对特殊站点的访问 l（）集中化的安全管理l（）对网络存取访问进行记录和审计防火墙能够记录所有访问的详细审计信息，以及网络使用情况的统计数据，当发生可疑动作时，防火墙能发出告警，并提供网络是否受到探测和攻击的历史数据便于分析。虚拟网技术为防火墙的应用提供了更广阔的领域。通过虚拟网的分割，将各工作组与“外界”隔离，各自形成独立的“内部网”，从而与外部其它虚拟网之间可实现隔离，虚拟网之间的网络通讯通过某种策略管理设备来管理，如路由器。这就使得网管人员可以设置防火墙进行过滤保护，在工作组间实施安全策略。在一个给定的物理基础设施中可分割出多种不同的虚拟网组合。这种灵活性

44、允许虚拟网的成员划分可根据需要决定，而不是根据它们在网上的物理位置决定。五层楼的用户可方便地连入二层楼的工作组，工作组成员关系可随组织变化而动态地变化。虚拟网改善了网络安全性。由于具有了对移动、加入以及变更的控制能力，使得网络中的连接控制得到加强。网管系统了解虚拟网中所有的终端用户，并可针对连接哪些用户、在何处需要存取何种服务等实行各种策略及控制。 6.2.2 防火墙技术的实现实现“防火墙”所用的主要技术有数据包过滤，应用网关和代理服务器等，在此基础上合理的网络拓扑结构及有关技术（在位置和配置上）的安排也是保证防火墙有效性的重要因素。包过滤(packet filter)技术顾名思义即在网络中适

45、当的位置对数据包实施有选择通过。通过检查数据流中的每个数据包后根据数据包的源地址、目的地址、所用的TCP端口号、TCP链路状态等因素或它们的组合来确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发至相应的目的的地出口端。其佘数据包则被从数据流中删除。包过滤技术实现方式简洁，目前网络的路由设备通常均具有一定的数据包过滤能力，因而使路由设备在完成路由选择和数据转发功能之外同时进行包过滤是目前常见的实现方式之一。此外在工作站上使用软件包过滤也不失为一种可行的方案，但相对较为昂贵。若在适当的路由设备上启动包过滤功能（作此用途的路由器称Screening Router）则通常不需要额外增加硬件/软件配置，也不需要对网络拓扑结构作改动。 应用网关是建立在网络应用层上的协议过滤、转发功能，它针对特别的网络应用服务协议指定数据过滤逻辑。并可根据在按应用协议指定的数据过滤逻辑进行过滤的同时将对数据包的分析的结果及采取的措施作登录和统计，形成报告。实际中应用网关通常由专用工作站系统实现。数据包过滤技术与应用网关技