网络工程设计论文某某中小企业网络规划与设计.doc

《网络工程设计论文某某中小企业网络规划与设计.doc》由会员分享，可在线阅读，更多相关《网络工程设计论文某某中小企业网络规划与设计.doc（31页珍藏版）》请在三一办公上搜索。

1、网络工程综合设计课 程 论 文 题目：某某中小企业网络规划与设计课 程 名 称 网络工程综合设计 考 试 学 期 2012-2013学年第 1学期 考 试 方 式 课程毕业论文 姓 名 杨志钢 学 号 10311406229 专 业 网络工程设计 指 导 教 师 汪海涛 摘要4一前言4二需求分析51项目52用户需求61)企业网应提供以下功能62)企业对主机系统的主要要求63)企业网络系统设计方案应满足如下要求64)企业网络对网络设备的要求75)总体设计原则73系统部分的总体要求7（1）易于配置：7（2）更广泛的设备支持：8（3）稳定性及可靠性：8（4）可管理性：8（5）更低的成本：8（6）安全

2、性：84网络建设细节规划85办公网络的规划设计91办公网络的功能9三网络设计101网络主干拓扑图102IP规划103配置代码11帧中继switch11ROUTER 112ROUTER 214ROUTER 315ROUTER 516ROUTER 617ROUTER 717SWITCH 118SWITCH 219SWITCH 320四网络技术分析211帧中继212NAT213Vlan224ACL22五网络安全231物理安全分析232网络结构的安全分析233网络安全设计23 提高设备的物理安全性24 配置设备的口令24 进行VTP域的认证24 园区用户的接入控制24 应用系统的访问限制25 因特网的

3、接入安全控制25六网络管理251面向业务的全面网络管理系统25第一类是简单系统。25第二类是LAN管理系统。25第三类是企业管理系统。26七网络综合布线261综合布线系统的结构262在施工中注意事项27仔细查阅其它专业的施工图纸27建议在施工中应满足设计裕量。27采用质量可靠的管路和线缆，以避免日后的麻烦28严格遵守综合布线系统规范28选材标准必须一致28八工程验收28九设计总结29十参考文献29摘要目前，全球已掀起一股信息高速公路规划和建设的高潮，作为其雏形，国际互联网（Internet）上相连的计算机已近达数千万台，全球有数亿人在Internet上进行信息交换和各种业务处理。Interne

4、t上积累了大量信息资源，这些资源涉及人类面对和从事的各个领域、行业及社会公用服务信息。成为信息时代全球可共享的最大信息基地。由于计算机网络技术和通信技术的飞速发展，人们对信息的要求越来越强烈，“网络就是计算机”的说法被全世界普遍接受。各国纷纷宣布建设本国的信息高速公路，全球信息一体化局面已指日可待。办公网络是局域网的典型应用之一，公司或政府机关等利用局域网络进行管理和办公，各办公室之间可以在网络中相互快速地访问共享资源，进行网络游戏，也可进行网络打印等从面提高工作的效率，方便管理工作事务。 关键字：局域网设计规划 拓扑结构 网络设备清单 局域网管理一 前言随着现在社会的高速发展，办公自动化也在

5、逐渐的普及，所以网络的建设就显得尤为重要。网络的建设时利用各种先进、成熟的网络技术和通信技术，采用统一的网络协议（TCP/IP），建设一个可实现各种综合网络应用的高速计算机网络系统，将各个办公室之间通过网络连接起来，与Internet相连。方便了各楼层之间的信息交流，节约了时间。使得公司在强烈的社会竞争中赢得了成功的基础。 计算机网络是指通过传输媒休连接的多部计算机组成的系统，使登录其上的所有用户能够共享软硬件资源。计算机网络如按网络的组建规模和延伸范围来划分的话，可分为局域网(Local Area Network,LAN)、城域网(Metropolitan Area Network,MAN)

6、、广域网(Wide Area Network,WAN)。我们经常用到的因特网(Internet)属于广域网，企业网属局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展。 随着信息技术的发展，电脑的普及使用率越来越高，在同一地点多台电脑同时工作的情况越来越多，如高校的开放计算实验室、网吧、办公室等地方，没联网的单机很难想象。为了方便维护、管理、共享信息资源等目的，常常需要把所有的单机联成网络，这种小规模局域网络的搭建十分实用。 随着人们对于信息资源共享以及信息交流的迫切需求，促使网络技术的产生和快速发展，计算机网络的产生和使用为人类信息文明的发展带来了革命性的变化。企业网

7、的建成和使用，对于一个企业来说，产品的介绍、销售、技术服务和售后服务等越来越多地采用网络的形式来完成，最主要的优点是：方便、快捷和成本低廉。其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、Intranet/Internet的应用、网络安全，网络系统的维护等内容。二 需求分析由于信息化浪潮风起云涌，企业内部网络的建设已经成为提升企业核心竞争力的关键因素。企业网已经越来越多地被人们提到，利用网络技术，现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。这直接关系到企业能否获得关键的竞争优势。近年来越来越多的企业都在加快构建自身的信息网络，而其中绝大多数都是中小企

8、业。l 2.1项目分析 公司内部骨干网络采用UTP双绞线，办公室之间可以采用无线通讯；内部网络与Internet 相连，考虑通信安全。公司内有打印机、办公电话、FTP服务器、WWW服务器，设置独立网络中心 通过网络建设能够实现企业内部资源的共享，降低企业成本，可以更好的与外界进行沟通，让外部更加了解企业。目前中小型企业建设过程中，存在很多问题，如有些中小型企业不考虑自身需求，一味追求高性能，构建的网络往往造成不必要的浪费；或另一方面，有些中小型企业建成的网络根本达不到应用本身对网络的需求。企业网络应分为内部网络和外部网络两个部分，其中还包括在这两部分上的实际应用，中小型企业在网络设计之初就应该

9、充分考虑到自身的需求，通过这些需求来具体设计适合自己需求的网络。因此，在建立局域网时应该考虑到网络的先进性、可扩展性、高可靠性、稳定性、高带宽、经济性。l 用户需求 拓扑结构需求分析 在进行网络的总体设计前，应当首先搞清楚给哪些建筑物布线，每座建筑物中的哪些房间布线，每个房间的哪个位置要预留信息插座，建筑物之间的距离、建筑物的垂直高度和水平长度等。只有事先调查好这些情况，才能合理地设计网络拓扑结构，选择适当的位置作为网络管理中心以及作为设备间放置连网设备，有目的地选择组建网络所使用的通信介质和交换机。l 数据传输需求分析 用户对数据传输量的需求决定了网络应当采用何种连网设备和布线产品。就目前情

10、况来看，多媒体已经成为局域网络所必须支持的功能之一。基于这种大传输量的需求，以1000Mb/s光纤作为主干和垂直布线，以100Mb/s超五类双绞线作为水平布线，从而实现100Mb/s交换到桌面的网络，已经成为最普通的网络架构。基于这种大传输量的需求，100Mb/s高性能交换机也已逐步从部门走向工作组。发展需求分析 网络设计者不仅要考虑到容纳网络中当前的用户，而且还应当为网络保留至少3-5年的可扩展能力，从而使在用户增加时，网络依然能够满足增长的需要。这一点非常重要，因为布线工程一旦完毕，就很难再进行扩充性施工。所以，在埋设网线和信息插座时，一定要有足够的余量，而连网设备则可以在需要时随时购置。

11、l 性能需求分析 不同厂家乃至同一厂家不同型号的交换机在性能和功能上都有较大差异，有的安全性高、有的稳定性好、有的转发速率快、有的拥有特殊性能。因此，应当慎重考察和分析本网络对性能的根本需求，以便选择相应品牌和型号的交换机。用户需求分析 为了能让公司更好的与现代社会的发展接轨，更快的获取市场信息及为了让外界了解该本公司的相关信息特组建企业网，以实现对“公司档案管理”、“产品信息”、“供求信息”等进行计算机网络化管理。 根据公司现有规模，业务需要及发展范围建立的网络有如下功能： 建立公司自己的网站，可向外界发布信息，并进行网络上的业务。 要求供销部可以连接Internet，与各企业保持联络，接受

12、订单及发布本公 司产品信息。其他部门都不能连接Internet，但要求公司内部由网络连接。 公司内部网络实现资源共享，以提高工作效率。 建立网络时应注意网络的扩展性，以方便日后的网络升级和增加计算机。 在公司内部建立公司的数据库，如员工档案，业务计划，会议日程等。1) 企业网应提供以下功能 连接公司的所有PC和网络设备； 同时支持约100台电脑访问Internet； 公司共有多个部门，不同部门的相互访问要求有限制（财务部只有总经理可以访问）； 公司有自己的网站，从外网能够访问； 公司要有自己的OA系统； 提供丰富的网络服务，实现广泛的软件，硬件资源共享，包括：电子邮件、文件传输、远程登录、打印

13、机传真共享等。2) 企业对主机系统的主要要求 主机系统应采用国际上较新的主流技术，并具有良好的向后扩展能力； 主机系统应具有高的可靠性，能长时间连续工作，并有容错措施； 支持通用大型数据库，如SQL、Oracle等； 具有广泛的软件支持，软件兼容性好，并支持多种传输协议； 能与Internet互联，可提供互联网的应用，如WWW浏览服务、FTP文件传输服务、E-mail电子邮件服务等服务。3) 企业网络系统设计方案应满足如下要求 网络方案应采用成熟的技术，并尽可能采用先进的技术； 采用国际统一标准，以拥有广泛的支持厂商，最大限度的采用同一厂家的产品； 方案应合理分配带宽，使用户不受网上“塞车”的

14、影响； 应充分考虑未来可能的应用，如桌面将承受大型应用软件和多媒体传输需求的压力； 该网络方案要具有高扩展性，能为用户未来数目的扩展具有调整、扩充的手段和方法； 该网络应是面向连接的，能够实现虚拟网（VLAN）连接； 考虑对公司现有网络的平滑过度，使公司现有陈旧设备尽量保持较好的利用价值。4) 企业网络对网络设备的要求 高性能：所有网络设备都应有足够的吞吐量； 高可靠性和高可用性：应考虑多种容错技术； 可管理性：所有网络设备均可用适当的网管软件进行监控、管理和设置； 采用国际统一的标准。5) 总体设计原则 先进性：采用市场覆盖率高、标准化和技术成熟的软硬件产品； 实用性：建网时应考虑利用和保护

15、现有的资源、充分发挥设备效益；采用树型设计，使系统配置灵活，满足公司以后发展的建网原则，使网络具有强大的可增长性； 可靠性：对网络的设计、选型、安装、调试等各环节进行统一规划和分析，确保系统运行可靠； 经济性：投资合理，有良好的性能价格比； 可扩展性：要考虑到将来公司规模的扩大，网点数的增加等因素，使系统具有强大可扩充性能。2 系统部分的总体要求（1）易于配置：所有的客户端和服务器系统应该是易于配置和管理的，并保障客户端的方便使用（2）更广泛的设备支持：所有操作系统及选择的服务应尽量广泛的支持各种硬件设备；（3）稳定性及可靠性：系统的运行应具有高稳定性，保障高性能无故障运行。（4）可管理性：系

16、统中英提供尽量多的管理方式和管理工具，便于系统管理员在任何位置方便的对整个系统进行管理；（5）更低的成本：系统设计应尽量降低整个系统和拥有成本；（6）安全性：在系统的设计、实现及应用上应采用多种安全手段保障网络安全。 除了满足上述的基本特征外，本项目的设计还应具有开放性、可扩展性及兼容性，全部系统的设计要求采用开放的技术和标准选择主流的操作系统及应用软件，保障系统能够适应未来几年公司网络的发展要求，便于网络的扩展和公司的结构变更。3 网络建设细节规划5、网络要求分析1实用性：网络建设从应用实际需求出发，坚持为领导决策服务，为经营管理服务，为生产建设服务。另外，如果是对现有网络升级改造，还应该充

17、分考虑如何利用现有资源，尽量发挥设备效益。 2.适度先进性： 规划局域网，不但要满足用户当前的需要，还应该有一定技术前瞻性和用户需求预见性，考虑到能够满足未来几年内用户对网络功能和带宽的需要。采用成熟的先进技术，兼顾未来的发展趋势，即量力而行，又适当超前，留有发展余地。3.经济性： 要求价格适中，设备及耗材要求采用质量过硬，物美价廉，投资预算不超过20万。 4.安全可靠性： 确保网络可靠运行，在网络的关键部分应具有容错能力，提供公共网络连接、通信链路、服务器等全方位的安全管理系统。 5.开放性： 采用国际标准通信协议、标准操作系统、标准网管软件、采用符合标准的设备，保证整个系统具有开放特点，增

18、强与异机种、异构网的互联能力。6.可扩展性： 系统便于扩展，保证前期的投资的有效性与后期投资的连续性 7.安全保密性：安全为了保证网上信息的安全和各种应用系统的安全，在规划时就要为局域网考虑一个周全的安全保密方案。三 网络设计1 网络主干拓扑图2 IP规划规划原则： IP地址规划应该在网络施工前全部规划好，否则在施工过程中随意分配地址，将会产生一系列问题 规划IP地址时应注意： 在分配地址前设计结构化的地址模块，预留地址空间，以便今后的扩充 IP地址规划应以表格方式记录下来，以便实施 网络管理人员通过IP地址即可定位其所属楼层、部门、房间。北京总公司设备端口IP端口IP端口IPRouter1S

19、0/1192.168.0.17S0/0181.1.1.1F1/0192.168.0.1Router5Lo05.5.5.5S0/0181.1.1.2Switch1F0/0192.168.0.2Vlan10192.168.10.0/24Vlan20192.168.20.0/24Vlan30192.168.30.0/24上海分公司设备端口IP端口IP端口IPRouter2S0/1192.168.0.18S0/0198.15.2.1F1/0192.168.0.3Router6Lo06.6.6.6S0/0198.15.2.2Switch2F0/0192.168.0.4Vlan40192.168.40.0

20、/24Vlan50192.168.50.0/24广州分公司设备端口IP端口IP端口IPRouter3S0/1192.168.0.19S0/0202.1.1.1F1/0192.168.0.5Router7Lo07.7.7.7S0/0202.1.1.2Switch3F0/0192.168.0.6Vlan60192.168.60.0/24Vlan70192.168.70.0/243 配置代码帧中继switch=frame-relay switchingint s0/1 enca frame-relay clock rate 64000frame-relay lmi-type ciscoframe-r

21、elay intf-type dceframe-relay route 102 int s1/1 201frame-relay route 103 int s1/2 301no shutint s0/2enca frame-relay clock rate 64000frame-relay lmi-type ciscoframe-relay intf-type dceframe-relay route 201 int s1/0 102frame-relay route 203 int s1/2 302no shutint s0/3enca frame-relay clock rate 6400

22、0frame-relay lmi-type ciscoframe-relay intf-type dceframe-relay route 301 int s1/0 103frame-relay route 302 int s1/1 203no shutROUTER 1=int s0/1ip add 192.168.0.17 255.255.255.248enca frame-relay frame-relay lmi-type ciscoframe-relay intf-type dteip ospf network point-to-multipointframe-relay map ip

23、 192.168.0.18 102 broadcastframe-relay map ip 192.168.0.19 103 broadcastno frame-relay inverse-arpno shutrouter ospf 100router-id 1.1.1.1net 192.168.0.0 0.0.0.7 area 0int f1/0ip add 192.168.0.1 255.255.255.248ip nat insideno shint s0/0ip add 181.1.1.1 255.255.255.240ip nat outsideno shtime-range 123

24、periodic daily 8:00 to 17:00access-list 100 permit ip 192.168.10.0 0.0.0.255 any time-range 123access-list 100 permit ip 192.168.20.0 0.0.0.255 any time-range 123access-list 100 permit ip 192.168.30.0 0.0.0.255 any time-range 123access-list 100 permit ip 192.168.0.0 0.0.0.15 any time-range 123ip nat

25、 pool aaa 181.1.1.5 181.1.1.15 netmask 0.0.0.240 ip nat inside source list 100 pool aaa overloadip route 0.0.0.0 0.0.0.0 181.1.1.2ip route 0.0.0.0 0.0.0.0 192.168.0.2特权模式：clock set 9:30:00 1 nov 2012ROUTER 2=int s0/1ip add 192.168.0.18 255.255.255.248enca frame-relay frame-relay lmi-type ciscoframe-

26、relay intf-type dteip ospf network point-to-multipointframe-relay map ip 192.168.0.17 201 broadcastframe-relay map ip 192.168.0.19 203 broadcastno frame-relay inverse-arpno shutrouter ospf 100router-id 2.2.2.2net 192.168.0.0 0.0.0.7 area 0int f1/0ip add 192.168.0.3 255.255.255.248ip nat insideno shi

27、nt s0/0ip add 198.15.2.1 255.255.255.240ip nat outsideno shtime-range 456periodic daily 8:00 to 17:00access-list 100 permit ip 192.168.40.0 0.0.0.255 any time-range 456access-list 100 permit ip 192.168.50.0 0.0.0.255 any time-range 456access-list 100 permit ip 192.168.0.0 0.0.0.15 any time-range 456

28、ip nat pool bbb 198.15.2.5 198.15.2.15 netmask 0.0.0.240 ip nat inside source list 100 pool bbb overloadip route 0.0.0.0 0.0.0.0 198.15.2.2ip route 0.0.0.0 0.0.0.0 192.168.0.4特权模式：clock set 9:30:00 1 nov 2012ROUTER 3=int s0/1ip add 192.168.0.19 255.255.255.248enca frame-relay frame-relay lmi-type ci

29、scoframe-relay intf-type dteip ospf network point-to-multipointframe-relay map ip 192.168.0.17 301 broadcastframe-relay map ip 192.168.0.18 302 broadcastno frame-relay inverse-arpno shutrouter ospf 100no aurouter-id 3.3.3.3net 192.168.0.0 0.0.0.7 area 0int f1/0ip add 192.168.0.5 255.255.255.248ip na

30、t insideno shint s0/0ip add 202.1.1.1 255.255.255.240ip nat outsideno shtime-range 789periodic daily 8:00 to 17:00access-list 100 permit ip 192.168.40.0 0.0.0.255 any time-range 789access-list 100 permit ip 192.168.50.0 0.0.0.255 any time-range 789access-list 100 permit ip 192.168.0.0 0.0.0.15 any t

31、ime-range 789ip nat pool ccc 202.1.1.5 202.1.1.15 netmask 0.0.0.240 ip nat inside source list 100 pool ccc overloadip route 0.0.0.0 0.0.0.0 202.1.1.2ip route 0.0.0.0 0.0.0.0 192.168.0.6end特权模式：clock set 9:30:00 1 nov 2012ROUTER 5=int lo0ip add 5.5.5.5 255.255.255.0 int s0/0ip add 181.1.1.2 255.255.2

32、55.240clock rate 64000no ship route 0.0.0.0 0.0.0.0 181.1.1.1ROUTER 6=int lo0ip add 5.5.5.5 255.255.255.0 int s0/0ip add 198.15.2.2 255.255.255.240clock rate 64000no ship route 0.0.0.0 0.0.0.0 198.15.2.1ROUTER 7=int lo0ip add 5.5.5.5 255.255.255.0 int s0/0ip add 202.1.1.2 255.255.255.240clock rate 6

33、4000no ship route 0.0.0.0 0.0.0.0 202.1.1.1SWITCH 1=endvl davl 10vl 20vl 30exitconf tint f0/1sw mo ac sw ac vl 10int f0/2sw mo acsw ac vl 20int f0/3sw mo acsw ac vl 30int vl 10ip add 192.168.10.1 255.255.255.0int vl 20ip add 192.168.20.1 255.255.255.0int vl 30ip add 192.168.30.1 255.255.255.0int f0/

34、0no switchportip add 192.168.0.2 255.255.255.248no shexitrouter ospf 100no aunet 192.168.10.0 0.0.0.255 a 0net 192.168.20.0 0.0.0.255 a 0net 192.168.30.0 0.0.0.255 a 0ip route 0.0.0.0 0.0.0.0 192.168.0.1SWITCH 2=endvl davl 30vl 40exitconf tint f0/4sw mo ac sw ac vl 40int f0/5sw mo acsw ac vl 50int v

35、l 40ip add 192.168.40.1 255.255.255.0int vl 50ip add 192.168.50.1 255.255.255.0int f0/0no switchportip add 192.168.0.4 255.255.255.248no shexitrouter ospf 100no aunet 192.168.40.0 0.0.0.255 a 0net 192.168.50.0 0.0.0.255 a 0ip route 0.0.0.0 0.0.0.0 192.168.0.3SWITCH 3=endvl davl 60vl 70exitconf tint

36、f0/6sw mo acsw ac vl 60int f0/7sw mo acsw ac vl 70int vl 60ip add 192.168.60.1 255.255.255.0int vl 70ip add 192.168.70.1 255.255.255.0int f0/0no switchportip add 192.168.0.6 255.255.255.248no shexitrouter ospf 100no aunet 192.168.60.0 0.0.0.255 a 0net 192.168.70.0 0.0.0.255 a 0ip route 0.0.0.0 0.0.0

37、.0 192.168.0.5四 网络技术分析1 帧中继帧中继（ Frame Relay）是一种用于连接计算机系统的面向分组的通信方法。它主要用在公共或专用网上的局域网互联以及广域网连接。大多数公共电信局都提供帧中继服务，把它作为建立高性能的虚拟广域连接的一种途径。帧中继是进入带宽范围从56Kbps到1544Mbps的广域分组交换网的用户接口。2 NAT网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不

38、仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。NAT（Network Address Translation，网络地址转换）是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。在实际应用中，NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式，将有助于减缓可用IP 地址空间的枯竭。3 VlanVLAN（Virtual Local Area Network）的中文名为虚拟局域网。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新

39、兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能。VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。4 ACL访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleT

40、alk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。五 网络安全1 物理安全分析网络的物理安全是整个网络系统安全的

41、前提。在企业网工程建设中，由于网络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害；考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷系统，防雷系统不仅考虑建筑物防雷，还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；报警系统、安全意识等，因此要尽量避免网络的物理安全风险。2 网络结构的安全分

42、析网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时，内部网络的机器安全就会受到威胁，同时也影响在同一网络上的许多其他系统。透过网络传播，还会影响到连上Internet/Intranet的其他的网络；影响所及，还可能涉及法律、金融等安全敏感领域。因此，我们在设计时有必要将公开服务器（WEB、DNS、Email等）和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝。3 网络安全设计 一个网络的安全，首先要有严格和有效执行的管理制度。建议旭日集团制定严格的网络安全管理策略，并有效的执行。其次，必须具有一定的技术手段来保障网络的安全。技术和管理手段相结合实施，才能够产生良好的效果。 通过以下几个技术方面的实施，可以在一定程度上保障网络的安全： 提高设备的物理安全性