機(jī)房網(wǎng)絡(luò)設(shè)計(jì)方案精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的機(jī)房網(wǎng)絡(luò)設(shè)計(jì)方案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：機(jī)房網(wǎng)絡(luò)設(shè)計(jì)方案范文

DDB系統(tǒng)（具有DDB能力的DVB基礎(chǔ)設(shè)施）的目的是向最終用戶信息和服務(wù)。下述定義介紹了DDB系統(tǒng)的主要元素和構(gòu)成部分：

目標(biāo)最終用戶主要是個(gè)體住宅消費(fèi)者，習(xí)慣于收看電視節(jié)目，廣告，能夠使用電視遙控器進(jìn)行一些基本的選擇操作。最終用戶的主要終端是一臺(tái)帶機(jī)頂盒的電視機(jī)，能夠接收電視節(jié)目和先進(jìn)業(yè)務(wù)。但是，裝有DVB適配器的PC機(jī)可作為終端設(shè)備，用于需要特殊處理能力或通訊能力，如TCP/IP的特定應(yīng)用；

傳輸?shù)闹虚g媒介是數(shù)字電視網(wǎng)，如衛(wèi)星，電纜或陸地?zé)o線電。這種媒介是共享的，因?yàn)樾畔⒃谄渖蠌V播，可以被所有的終端用戶接收，盡管他們也許并沒有看到所有的信息；

先進(jìn)業(yè)務(wù)的提供者通常是媒體業(yè)的內(nèi)容提供者：廣告，新聞機(jī)構(gòu)，天氣預(yù)報(bào)，旅行社，證券交易所，圖書商，商人等等，先進(jìn)業(yè)務(wù)由與其它頁建立連接的信息頁組成，和/或操作按鈕，用來觸發(fā)應(yīng)用，實(shí)現(xiàn)象發(fā)送消息或開始一個(gè)購買交易之類的高級(jí)操作；

業(yè)務(wù)包裝者（或者）負(fù)責(zé)包裝來自內(nèi)容提供者的業(yè)務(wù)，并發(fā)送給合適的媒體（電視，互聯(lián)網(wǎng)等等）；

節(jié)目發(fā)行人擁有媒體（電纜或衛(wèi)星）上的傳輸帶寬。他們將電視頻道中的各種原始節(jié)目組合，然后通過電視網(wǎng)發(fā)送給預(yù)訂的最終用戶；

最后，網(wǎng)絡(luò)提供者擁有傳輸媒體（電纜或衛(wèi)星），在電纜或衛(wèi)星通道上廣播來自各種發(fā)行人的節(jié)目；

下圖總結(jié)了DDB市場的價(jià)值鏈

圖1 DDB價(jià)值鏈

需要特別注意的是，因國家制度，行業(yè)因素或歷史原因的考慮，參與者之間的界限也許并不明顯。尤其是，業(yè)務(wù)包裝者經(jīng)常提供自己的業(yè)務(wù)和內(nèi)容，有時(shí)也會(huì)扮演一個(gè)節(jié)目發(fā)行者的角色。

業(yè)務(wù)包裝者的收入通常來自兩個(gè)方面：

來自內(nèi)容提供者，支付他們業(yè)務(wù)廣播的費(fèi)用，尤其是廣告；

來自最終用戶，其訂購（一次或每月）或每次使用先進(jìn)業(yè)務(wù)需支付的費(fèi)用。

1．2 與其它技術(shù)的關(guān)系

DDB技術(shù)關(guān)鍵的一點(diǎn)是其擁有大量的最終用戶，可以給他們帶來這些客戶不熟悉的其它技術(shù)如互聯(lián)網(wǎng)、電子商務(wù)，所能帶來的價(jià)值。IBM的AS/DVB結(jié)構(gòu)應(yīng)該考慮為這些技術(shù)和最終用戶之間通過電視媒體的接口。下圖總結(jié)了互聯(lián)網(wǎng)、電子商務(wù)和AS/DVB之間的關(guān)系：

圖 2： AS/DVB 和其它技術(shù)

1．3 企業(yè)級(jí)集成

AS/DVB系統(tǒng)一般不可能是業(yè)務(wù)包裝者的計(jì)算網(wǎng)絡(luò)環(huán)境中的一個(gè)獨(dú)立系統(tǒng)。它一定要集成在客戶環(huán)境中，與其它資源或信息目標(biāo)通訊，并且統(tǒng)一管理。圖4顯示了AS/DVB系統(tǒng)和其連接的其它企業(yè)產(chǎn)品和設(shè)備之間的關(guān)系。

圖3：AS/DVB企業(yè)級(jí)集成

1．4 基礎(chǔ)設(shè)施

下圖總結(jié)了參與者鏈，其交換的內(nèi)容，擁有的設(shè)備和DDB技術(shù)的界限。

圖例說明：

灰色區(qū)域代表DDB技術(shù)的覆蓋范圍。跨越DDB區(qū)域的項(xiàng)目被認(rèn)為與DDB有關(guān)或無關(guān)。

圓型盒子表示DDB的參與者（個(gè)人，公司或組織）。

方形盒子代表儀器、設(shè)備或軟件構(gòu)件。

云形代表網(wǎng)絡(luò)。

箭頭和注釋代表信息交換。

圖 4: DDB 結(jié)構(gòu)和基礎(chǔ)設(shè)施

上圖可以看作是DDB結(jié)構(gòu)和基礎(chǔ)設(shè)施的整體描述。根據(jù)客戶需求，可能會(huì)有許多變化。有些參與者或構(gòu)件可能不存在，因此IBM提供的AS/DVB系統(tǒng)可能有以下變化：

內(nèi)容提供者可能用其自己的編輯工具和/或圖形編輯器，要求其輸出能轉(zhuǎn)換成AS/DVB結(jié)構(gòu)支持的業(yè)務(wù)格式。

業(yè)務(wù)包裝者會(huì)有自己的計(jì)劃工具，要求其輸出能轉(zhuǎn)換并完成，以符合AS/DVB結(jié)構(gòu)支持的計(jì)劃格式。

一些業(yè)務(wù)內(nèi)容可能來自在線資源，而不是通常的創(chuàng)作工具，這些業(yè)務(wù)內(nèi)容要求自動(dòng)地接收并轉(zhuǎn)換成AS/DVB結(jié)構(gòu)支持的格式。

正如前面已經(jīng)提到的，業(yè)務(wù)包裝者和節(jié)目發(fā)行人可能是同一實(shí)體。

節(jié)目發(fā)行人可能在其多媒體服務(wù)器，視頻服務(wù)器和多路復(fù)用器（MSC-2/3卡）上使用IBM技術(shù)，或使用OEM技術(shù)

節(jié)目發(fā)行人也可能不存在或在AS/DVB系統(tǒng)邊界之外（例如Teletext UK， Mediaset and Stream）

傳送到carousel設(shè)備的數(shù)據(jù)的格式和傳送方式（協(xié)議，中間媒介）可能因多媒體服務(wù)器和機(jī)頂盒制造商的不同而不同。

機(jī)頂盒中運(yùn)行的瀏覽器可能會(huì)因機(jī)頂盒的制造商和所有者，以及業(yè)務(wù)編碼所用的DVB編碼標(biāo)準(zhǔn)的不同而是或不是AS/DVB系統(tǒng)的組成部分。

業(yè)務(wù)包裝者可能想為DVB之外的其它媒體，如萬維網(wǎng)提供輸出業(yè)務(wù)。

數(shù)字電視網(wǎng)可能是一個(gè)衛(wèi)星網(wǎng)，或是陸地網(wǎng)，如電纜或無線電。

從機(jī)頂盒到AS/DVB的反向通道可能存在或不存在。

機(jī)頂盒允許或不允許識(shí)別最終用戶，例如支持可識(shí)別智能卡。

電子商務(wù)能力可能是或不是AS/DVB系統(tǒng)的一部分，可能依賴最終用戶的機(jī)頂盒和商人的能力而由其它方式獲得（在線或離線交易）。

1．5 演化途徑

IBM AS/DVB結(jié)構(gòu)是模塊化的，可以隨著客戶和最終用戶越來越多的功能需要，逐步從一個(gè)基本的DDB系統(tǒng)演化成一個(gè)基于DVB的功能強(qiáng)大的先進(jìn)業(yè)務(wù)平臺(tái)。

1．5．1 基本DDB系統(tǒng)

一個(gè)基本的DDB系統(tǒng)利用標(biāo)準(zhǔn)DVB基礎(chǔ)設(shè)施，向常規(guī)電視觀眾廣播由純信息頁組成的簡單信息：

信息只包含連接在一起的常規(guī)信息頁；

創(chuàng)作工具或者是普通的（XML），或者是專用的（Open TV or MHEG）；

廣播基礎(chǔ)設(shè)施是DVB；

最終用戶得到的信息是免費(fèi)的。如果最終用戶訂購的話，也在系統(tǒng)之外處理；

從最終用戶到系統(tǒng)沒有反向通道。

這一基本構(gòu)造滿足Teletext UK公司的需求。

1．5．2 多媒體DDB系統(tǒng)

多媒體DDB系統(tǒng)通過幾種網(wǎng)絡(luò)基礎(chǔ)設(shè)施（DVB，互聯(lián)網(wǎng)）將不同來源（創(chuàng)作工具，編輯系統(tǒng)，互聯(lián)網(wǎng)等等）的信息頁廣播給幾種最終用戶（電視觀眾，PC使用者）。

信息來源是頁面創(chuàng)作工具（通用XML，或?qū)Ｓ茫瑑?nèi)部信息系統(tǒng)，或互聯(lián)網(wǎng)上的在線資源；

輸出是包含連接在一起的常規(guī)信息頁的節(jié)目，利用IP協(xié)議廣播的文件，或者是萬維網(wǎng)上的HTML頁；

廣播基礎(chǔ)設(shè)施是DVB和互聯(lián)網(wǎng)；

提供給最終用戶的信息是免費(fèi)的，如果最終用戶訂購DVB或互聯(lián)網(wǎng)的話，會(huì)在系統(tǒng)之外處理；

從最終用戶到系統(tǒng)沒有反向通道。

1．5．3 先進(jìn)業(yè)務(wù)

AS/DVB系統(tǒng)通過幾種網(wǎng)絡(luò)基礎(chǔ)設(shè)施（DVB，互聯(lián)網(wǎng)）將不同來源（創(chuàng)作工具，編輯系統(tǒng)，互聯(lián)網(wǎng)等等）的信息頁廣播給幾種最終用戶（電視觀眾，PC使用者）。

除此之外，最終用戶還可以啟動(dòng)交易，與系統(tǒng)中的先進(jìn)業(yè)務(wù)或電子商務(wù)業(yè)務(wù)進(jìn)行交互。最終用戶需要一個(gè)特定的許可，或者被確認(rèn)，或者為此付費(fèi)，才能夠進(jìn)入這些附加的業(yè)務(wù)：

信息來源是頁面創(chuàng)作工具（通用XML，或?qū)Ｓ茫瑑?nèi)部信息系統(tǒng)，或互聯(lián)網(wǎng)上的在線資源；

輸出是包含連接在一起的常規(guī)信息頁的節(jié)目，利用IP協(xié)議廣播的文件，或者是萬維網(wǎng)上的HTML頁；

廣播基礎(chǔ)設(shè)施是DVB和互聯(lián)網(wǎng)；

提供給最終用戶的信息可以傳統(tǒng)接入，可以要求最終用戶的身份鑒定，訂閱用戶管理，還可能進(jìn)行計(jì)費(fèi)；

通過從最終用戶到系統(tǒng)中交易服務(wù)器的反向通道可以與電子商務(wù)系統(tǒng)進(jìn)行交互。

類似這種結(jié)構(gòu)的AS/DVB系統(tǒng)滿足Mediaset 和Via Digital公司的業(yè)務(wù)需求。

1．6 DDB概念

DDB技術(shù)從根本上說是想通過數(shù)字電視網(wǎng)向最終用戶發(fā)送包含信息和業(yè)務(wù)的節(jié)目。那么，什么是業(yè)務(wù)呢？它由什么組成？它又為最終用戶提供了什么？

業(yè)務(wù)是一組屏幕和數(shù)據(jù)，一起為最終用戶提供了信息和交互功能。尤其是當(dāng)最終用戶配備了合適的機(jī)頂盒后，可以從其訂閱的數(shù)字節(jié)目（一組電視頻道）中選擇最喜歡的節(jié)目發(fā)行商和提供DDB業(yè)務(wù)的電視節(jié)目：

通過使用遙控器選擇按鈕或是頻道主頁上的熱鍵，選擇想要接入的業(yè)務(wù)，除非對該用戶只提供有一種業(yè)務(wù)；

檢驗(yàn)業(yè)務(wù)屏幕的內(nèi)容：文本，圖像，按鈕等等；

使用遙控器上的箭頭鍵或屏幕上的熱鍵瀏覽屏幕上的業(yè)務(wù)。就象在互聯(lián)網(wǎng)上一樣，按鈕和熱鍵（圖像區(qū)域）與連接相連，可以從一屏瀏覽到另一屏；

通過選擇特定按鈕熱鍵，可以操作機(jī)頂盒，通過反向通道啟動(dòng)某些交易（信息查詢，購買訂單，電子商業(yè)等等）

1．6．1 節(jié)目

最終用戶通過電視機(jī)屏幕，機(jī)頂盒或遙控器選擇了一個(gè)節(jié)目。電視節(jié)目在電視頻道中傳送，可以是各種形式：視頻（電影），音樂，數(shù)據(jù)流等等，無論它們的狀態(tài)和內(nèi)容怎樣，通過數(shù)字電視網(wǎng)廣播的電視節(jié)目都采用MPEG-2傳輸流編碼。廣播一個(gè)電視節(jié)目需要分配的帶寬依節(jié)目的性質(zhì)而定：音樂和數(shù)據(jù)通常比純視頻使用更少的帶寬。幾個(gè)節(jié)目通常在傳輸媒介上多路復(fù)用在一起，形成節(jié)目組。這種多路復(fù)用在傳統(tǒng)的模擬電視中通常是FDMA，在目前的數(shù)字電視網(wǎng)中趨向于TDMA。

1．6．2 屏幕和頁面

第2篇：機(jī)房網(wǎng)絡(luò)設(shè)計(jì)方案范文

關(guān)鍵詞 網(wǎng)絡(luò)內(nèi)部 安全方法 漏洞 設(shè)計(jì)方案

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

0 引言

隨著我國市場經(jīng)濟(jì)的不斷繁榮發(fā)展，越來越多的企業(yè)建立了屬于自己的內(nèi)部網(wǎng)絡(luò)，從而方便企業(yè)內(nèi)部員工的交流，以及通過信息的有效迅速傳播，來實(shí)現(xiàn)其自身的管理目的。但是由于網(wǎng)絡(luò)內(nèi)部的安全防范沒有達(dá)到相應(yīng)的標(biāo)準(zhǔn)，或者網(wǎng)絡(luò)設(shè)計(jì)內(nèi)部出現(xiàn)一些細(xì)微的瑕疵，這些都可能給網(wǎng)絡(luò)內(nèi)部安全埋下隱患，因此建立一個(gè)安全合理的內(nèi)部網(wǎng)絡(luò)對于企業(yè)的發(fā)展而言，具有重要意義。而且對于使用內(nèi)部網(wǎng)絡(luò)的群體而言，也是一種突破。

1 當(dāng)下我國企業(yè)內(nèi)部網(wǎng)絡(luò)存在的問題

1.1 當(dāng)下我國企業(yè)內(nèi)網(wǎng)的安全現(xiàn)狀

通過內(nèi)部網(wǎng)絡(luò)在企業(yè)中應(yīng)用的不斷加深，我們可以發(fā)現(xiàn)當(dāng)下傳統(tǒng)企業(yè)的內(nèi)部網(wǎng)路安全設(shè)計(jì)還局限在以針對網(wǎng)絡(luò)病毒和系統(tǒng)漏洞等防御為主的設(shè)計(jì)中。對于那些入侵檢測將重點(diǎn)放在設(shè)置當(dāng)中，在對內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)連接處加以嚴(yán)密的監(jiān)控。這樣的措施對于防范初級(jí)攻擊具有一定的作用，同時(shí)我們應(yīng)該清楚，內(nèi)部網(wǎng)絡(luò)才是企業(yè)的核心價(jià)值所在，一旦內(nèi)部網(wǎng)絡(luò)受到攻擊而出現(xiàn)問題，那么給企業(yè)帶來的損失將難以預(yù)計(jì)。當(dāng)下，內(nèi)部網(wǎng)絡(luò)的安全維護(hù)受到巨大的挑戰(zhàn)，但是企業(yè)的網(wǎng)絡(luò)管理員由于自身對安全風(fēng)險(xiǎn)認(rèn)識(shí)不強(qiáng)，認(rèn)為自身所做的防備已經(jīng)足夠完善，在內(nèi)部便沒有形成一個(gè)更加堅(jiān)固的防護(hù)網(wǎng)。一旦發(fā)生事故，便會(huì)將企業(yè)的商業(yè)隱私泄漏，給企業(yè)造成巨大的傷害。因此，加強(qiáng)外網(wǎng)建設(shè)的同時(shí)，更加注重企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)對于企業(yè)的發(fā)展具有重要的現(xiàn)實(shí)作用，這也是當(dāng)下企業(yè)建立內(nèi)部網(wǎng)絡(luò)安全的核心所在。

1.2 當(dāng)前企業(yè)內(nèi)部網(wǎng)絡(luò)存在的安全隱患

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，企業(yè)內(nèi)部網(wǎng)絡(luò)作為其發(fā)展的一個(gè)分支存在。它的出現(xiàn)給企業(yè)管理、數(shù)據(jù)整合等提供了一個(gè)高科技的優(yōu)化平臺(tái)。但是，計(jì)算機(jī)網(wǎng)絡(luò)從出現(xiàn)以來，便一直圍繞著安全這個(gè)問題而發(fā)展著，內(nèi)部網(wǎng)絡(luò)也不例外。

（1）內(nèi)部網(wǎng)絡(luò)管理人員缺乏重視。攻擊者對于企業(yè)內(nèi)部網(wǎng)絡(luò)的攻擊主要是以其安全防護(hù)作為突破點(diǎn)而進(jìn)行的。企業(yè)內(nèi)部網(wǎng)絡(luò)存在漏洞絕大多數(shù)都是由于網(wǎng)絡(luò)管理人員缺乏對內(nèi)部網(wǎng)絡(luò)安全的重視，從而導(dǎo)致黑客有機(jī)可乘。（2）內(nèi)部網(wǎng)絡(luò)用戶權(quán)限不同。企業(yè)內(nèi)部網(wǎng)絡(luò)具有一個(gè)明顯特征便是使用者擁有不同的權(quán)限。企業(yè)內(nèi)部網(wǎng)絡(luò)建立用戶使用權(quán)限的初衷是為了方便企業(yè)各個(gè)階層實(shí)現(xiàn)管理。但正是設(shè)置權(quán)限不一，才導(dǎo)致整個(gè)內(nèi)部網(wǎng)絡(luò)需要多次識(shí)別身份認(rèn)證。同時(shí)，對于那些擁有身份認(rèn)證較弱的用戶，極易攻擊，黑客一旦通過基層身份打入內(nèi)網(wǎng)，實(shí)現(xiàn)越權(quán)查看便是極其容易的。（3）內(nèi)部網(wǎng)絡(luò)信息沒有得到整合。一些企業(yè)對于企業(yè)內(nèi)部的機(jī)密信息大多集中在中高層管理者的計(jì)算機(jī)終端里，企業(yè)內(nèi)部網(wǎng)絡(luò)對于這些信息沒有進(jìn)行整合。這也就意味著機(jī)密信息集中在幾個(gè)管理者手中。而他們對于信息的保護(hù)程度遠(yuǎn)遠(yuǎn)沒有達(dá)到專業(yè)性的程度，因此很容易造成信息被竊取等。

3 企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范設(shè)計(jì)

為了能夠有效解決企業(yè)內(nèi)部網(wǎng)絡(luò)中存在的各種安全威脅問題，保障企業(yè)內(nèi)部網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，本文提出了一套企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范設(shè)計(jì)方案。企業(yè)內(nèi)部網(wǎng)絡(luò)安全體系屬于水平與垂直分層實(shí)現(xiàn)的，它們之間是通過支配和被支配的模式實(shí)現(xiàn)使用的；垂直層面上的安全制度是負(fù)責(zé)對水平層面上的行為進(jìn)行安全規(guī)范。

3.1 用戶身份認(rèn)證

用戶身份認(rèn)證是保證企業(yè)內(nèi)部網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行的基礎(chǔ)，企業(yè)內(nèi)部網(wǎng)絡(luò)中的用戶身份認(rèn)證包括了服務(wù)器用戶、網(wǎng)絡(luò)設(shè)備用戶、網(wǎng)絡(luò)資源用戶、客戶端用戶等等。由于網(wǎng)絡(luò)客戶端用戶數(shù)量龐大，存在著更多的不安全、不確定性，因此，對于網(wǎng)絡(luò)客戶端用戶的身份認(rèn)證至關(guān)重要。

3.2 用戶授權(quán)管理

用戶授權(quán)管理是以用戶身份認(rèn)證作為基礎(chǔ)的，主要是對用戶使用企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)資源時(shí)進(jìn)行授權(quán)，每個(gè)用戶都對應(yīng)著不用的權(quán)限，權(quán)限代表著能夠?qū)ζ髽I(yè)內(nèi)部網(wǎng)絡(luò)中的某些資源進(jìn)行訪問和使用，包括服務(wù)器數(shù)據(jù)資源的使用權(quán)限、網(wǎng)絡(luò)數(shù)據(jù)資源使用權(quán)限和網(wǎng)絡(luò)存儲(chǔ)設(shè)備資源使用權(quán)限等等。

3.3 數(shù)據(jù)信息保密

數(shù)據(jù)信息保密作為企業(yè)內(nèi)部網(wǎng)絡(luò)中信息安全的核心部分，需要對企業(yè)內(nèi)部網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)通信的所有數(shù)據(jù)進(jìn)行安全管理，保證數(shù)據(jù)通信能夠在企業(yè)內(nèi)部網(wǎng)絡(luò)中處于一個(gè)安全環(huán)境下進(jìn)行，從而保證對企業(yè)內(nèi)部網(wǎng)絡(luò)信息和知識(shí)產(chǎn)權(quán)信息的有效保護(hù)。

參考文獻(xiàn)

[1] 張怡.淺議計(jì)算機(jī)網(wǎng)絡(luò)安全策略[J].科技資訊.2011（09）.

第3篇：機(jī)房網(wǎng)絡(luò)設(shè)計(jì)方案范文

關(guān)鍵詞：網(wǎng)絡(luò)安全；蜜罐技術(shù)；蜜網(wǎng)技術(shù)；入侵檢測；虛擬機(jī)；VMware

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)29-0340-02

The Project Design of Honeypot Deployment Based on Network Security

SHI Ze-quan

(Department of Computer Science,Chongqing Vocational Institute Engineering,Chongqing 400037,China)

Abstract: Honey pot technology to detect intrusion, recording the invasion process and preserve the invasion history in network security more and more attention. The honey pots takes “to trick” and “delay the attack” the method is effective. But it has so many questions, just like cost too high, the attack process not to be easy to monitor, and the process diary not to be easy to preserve and so on. The Honeynet technology update the honeypot technology, the deployment of the security system, it is more confusing, more easily record-keeping,monitoring and analysis of the invasion process to the invaders. VMware used to achieve honeynet technology is the most economic and effective way.

Key words: network security; honeypot technology; honeynet technology; Intrusion detection; virtual pc;VMware

計(jì)算機(jī)及其網(wǎng)絡(luò)技術(shù)的應(yīng)用已深入各行各業(yè)，特別是企事業(yè)單位的日常管理工作更是緊密依賴網(wǎng)絡(luò)資源。基于此，保證網(wǎng)絡(luò)的正常運(yùn)行就顯得尤為重要。目前，廣泛采用的安全措施是在企業(yè)局域網(wǎng)里布設(shè)網(wǎng)絡(luò)防火墻、病毒防火墻、入侵檢測系統(tǒng)，同時(shí)在局域網(wǎng)內(nèi)設(shè)置服務(wù)器備份與數(shù)據(jù)備份系統(tǒng)等方案。而這些安全網(wǎng)絡(luò)防火墻、入侵檢測系統(tǒng)真能有效地保證系統(tǒng)的安全嗎？做到了這一切系統(tǒng)管理員就能高枕無憂了嗎？

1 問題的提出

圖1為現(xiàn)實(shí)中常用的二層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。從圖中可以看出，網(wǎng)絡(luò)防火墻與入侵檢測系統(tǒng)（IDS）均部署在網(wǎng)絡(luò)入口處，即防火墻與入侵檢測系統(tǒng)所阻擋是外網(wǎng)用戶對系統(tǒng)的入侵，但是對于內(nèi)網(wǎng)用戶來說，內(nèi)部網(wǎng)絡(luò)是公開的，所有的安全依賴于操作系統(tǒng)本身的安全保障措施提供。對一般的用戶來講，內(nèi)網(wǎng)通常是安全的，即是說這種設(shè)計(jì)的對于內(nèi)網(wǎng)的用戶應(yīng)該是可信賴的。然而對于諸如校園網(wǎng)的網(wǎng)絡(luò)系統(tǒng)，由于操作者基本上都是充滿強(qiáng)烈好奇心而又具探索精神的學(xué)生，同時(shí)還要面對那些極少數(shù)有逆反心理、強(qiáng)烈報(bào)復(fù)心的學(xué)生，這種只有操作系統(tǒng)安全性作為唯一一道防線的網(wǎng)絡(luò)系統(tǒng)的可信賴程度將大打折扣。

另一方面，有經(jīng)驗(yàn)的網(wǎng)絡(luò)管理員都知道，網(wǎng)絡(luò)中設(shè)置了防火墻與入侵檢測系統(tǒng)并不能從根本上解決網(wǎng)絡(luò)的安全問題（最安全的方法只能是把網(wǎng)絡(luò)的網(wǎng)線撥了），只能對網(wǎng)絡(luò)攻擊者形成一定的阻礙并延長其侵入時(shí)間。操作者只要有足夠的耐心并掌握一定的攻擊技術(shù)，這些安全設(shè)施終有倒塌的可能。

所以，如何最大可能地延長入侵者攻擊網(wǎng)絡(luò)的時(shí)間？如何在入侵雖已發(fā)生但尚未造成損失時(shí)及時(shí)發(fā)現(xiàn)入侵？避開現(xiàn)有入侵檢測系統(tǒng)可以偵測的入侵方式而采用新的入侵方式進(jìn)行入侵時(shí)，管理者又如何發(fā)現(xiàn)？如何保留入侵者的證據(jù)并將其提交有關(guān)部門？這些問題都是網(wǎng)絡(luò)管理者在安全方面需要經(jīng)常思考的問題。正是因?yàn)樯鲜鲈颍酃藜夹g(shù)應(yīng)運(yùn)而生。

2 蜜罐技術(shù)簡介

蜜罐技術(shù)的研究起源于上世紀(jì)九十年代初。蜜罐技術(shù)專家L．Spitzner對蜜罐是這樣定義的：蜜罐是一個(gè)安全系統(tǒng)，其價(jià)值在于被掃描、攻擊或者攻陷。即意味著蜜罐是一個(gè)包含漏洞的誘騙系統(tǒng)。它是專門為吸引并“誘騙”那些試圖非法闖入他人計(jì)算機(jī)系統(tǒng)的人設(shè)計(jì)的。它通過模擬一個(gè)或多個(gè)有漏洞的易受攻擊的主機(jī)，給攻擊者提供十分容易受攻擊的目標(biāo)。

如圖2所示，蜜罐與正常的服務(wù)器一樣接入核心交換機(jī)，并安裝相應(yīng)的操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)，配置相應(yīng)的網(wǎng)絡(luò)服務(wù)，故意存放“有用的”但已過時(shí)的或可以公開的數(shù)據(jù)。甚至可以將蜜罐服務(wù)器配置成接入網(wǎng)絡(luò)即組成一臺(tái)真正能提供應(yīng)用的服務(wù)器，只是注意將蜜罐操作系統(tǒng)的安全性配置成低于正常的應(yīng)用服務(wù)器的安全性，或者故意留出一個(gè)或幾個(gè)最新發(fā)現(xiàn)的漏洞，以便達(dá)到“誘騙”的目的。

正常配置的蜜罐技術(shù)一旦使用，便可發(fā)揮其特殊功能。

1) 由于蜜罐并沒有向外界提供真正有價(jià)值的服務(wù)，正常情況下蜜罐系統(tǒng)不被訪問，因此所有對其鏈接的嘗試都將被視為可疑的，這樣蜜罐對網(wǎng)絡(luò)常見掃描、入侵的反應(yīng)靈敏度大大提高，有利于對入侵的檢測。

2) 蜜罐的另一個(gè)用途是拖延攻擊者對真正目標(biāo)的攻擊，讓攻擊者在蜜罐上浪費(fèi)時(shí)間。如圖二， 正常提供服務(wù)的服務(wù)器有4個(gè)，加入4個(gè)蜜罐，在攻擊者看來，服務(wù)器有8個(gè)，其掃描與攻擊的對象也增加為8個(gè)，所以大大減少了正常服務(wù)器受攻擊的可能性。同時(shí)，由于蜜罐的漏洞多于正常服務(wù)器，必將更加容易吸引攻擊者注意，讓其首先將時(shí)間花在攻擊蜜罐服務(wù)器上。蜜罐服務(wù)器靈敏的檢測并及時(shí)報(bào)警，這樣可以使網(wǎng)絡(luò)管理員及時(shí)發(fā)現(xiàn)有攻擊者入侵并及時(shí)采取措施，從而使最初可能受攻擊的目標(biāo)得到了保護(hù)，真正有價(jià)值的內(nèi)容沒有受到侵犯。

3) 由于蜜罐服務(wù)器上安裝了入侵檢測系統(tǒng)，因此它可以及時(shí)記錄攻擊者對服務(wù)器的訪問，從而能準(zhǔn)確地為追蹤攻擊者提供有用的線索，為攻擊者搜集有效的證據(jù)。從這個(gè)意義上說，蜜罐就是“誘捕”攻擊者的一個(gè)陷阱。

經(jīng)過多年的發(fā)展，蜜罐技術(shù)已成為保護(hù)網(wǎng)絡(luò)安全的切實(shí)有效的手段之一。對企事關(guān)單位業(yè)務(wù)數(shù)據(jù)處理，均可以通過部署蜜罐來達(dá)到提高其安全性的目的。

3 蜜罐與蜜網(wǎng)技術(shù)

蜜罐最初應(yīng)用是真正的主機(jī)與易受攻擊的系統(tǒng)，以獲取黑客入侵證據(jù)、方便管理員提前采取措施與研究黑客入侵手段。1998年開始，蜜罐技術(shù)開始吸引了一些安全研究人員的注意，并開發(fā)出一些專門用于欺騙黑客的開放性源代碼工具，如Fred Cohen所開發(fā)的DTK（欺騙工具包）、Niels Provos開發(fā)的Honeyd等，同時(shí)也出現(xiàn)了像KFSensor、Specter等一些商業(yè)蜜罐產(chǎn)品。

這一階段的蜜罐可以稱為是虛擬蜜罐，即開發(fā)的這些蜜罐工具能夠模擬成虛擬的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)并對黑客的攻擊行為做出回應(yīng)，從而欺騙黑客。虛擬蜜罐工具的出現(xiàn)也使得部署蜜罐變得比較方便。但是由于虛擬蜜罐工具存在著交互程度低、較容易被黑客識(shí)別等問題。從2000年之后，安全研究人員更傾向于使用真實(shí)的主機(jī)、操作系統(tǒng)和應(yīng)用程序搭建蜜罐，與之前不同的是，融入了更強(qiáng)大的數(shù)據(jù)捕獲、數(shù)據(jù)分析和數(shù)據(jù)控制的工具，并且將蜜罐納入到一個(gè)完整的蜜網(wǎng)體系中．使得研究人員能夠更方便地追蹤侵入到蜜網(wǎng)中的黑客并對他們的攻擊行為進(jìn)行分析。

蜜網(wǎng)技術(shù)的模型如圖3所示。由圖中可以看出，蜜網(wǎng)與蜜罐最大的差別在于系統(tǒng)中多布置了一個(gè)蜜網(wǎng)網(wǎng)關(guān)（honeywall）與日志服務(wù)器。其中蜜網(wǎng)網(wǎng)關(guān)僅僅作為兩個(gè)網(wǎng)絡(luò)的連接設(shè)備，因此沒有MAC地址，也不對任何的數(shù)據(jù)包進(jìn)行路由及對TTL計(jì)數(shù)遞減。蜜網(wǎng)網(wǎng)關(guān)的這種行為使得攻擊者幾乎不可能能覺察到它的存在。任何發(fā)送到蜜網(wǎng)內(nèi)的機(jī)器的數(shù)據(jù)包都會(huì)經(jīng)由Honeywall網(wǎng)關(guān)，從而確保管理員能捕捉和控制網(wǎng)絡(luò)活動(dòng)。而日志服務(wù)器則記錄了攻擊者在蜜罐機(jī)上的所有的行為以便于對攻擊者的行為進(jìn)行分析，并對蜜罐機(jī)上的日志進(jìn)行備份以保留證據(jù)。這樣攻擊者并不會(huì)意識(shí)到網(wǎng)絡(luò)管理員正在監(jiān)視著他，捕獲的行為也使管理員掌握了攻擊者使用的工具、策略和動(dòng)機(jī)。

4 蜜罐部署

由前述內(nèi)容可以看出，蜜罐服務(wù)器布置得越多，應(yīng)用服務(wù)器被掃描與攻擊的風(fēng)險(xiǎn)則越小，但同時(shí)系統(tǒng)成本將大幅度提高，管理難度也加大。正因?yàn)槿绱耍瑢?shí)際中蜜罐的部署是通過虛擬計(jì)算系統(tǒng)來完成的。

當(dāng)前在Windows平臺(tái)上流行的虛擬計(jì)算機(jī)系統(tǒng)主要有微軟的Virtual Pc與Vmware。以Vmware為例，物理主機(jī)配置兩個(gè)網(wǎng)卡，采用Windows2000或Windows XP操作系統(tǒng)，并安裝VMwar。建立一臺(tái)虛擬機(jī)作為蜜網(wǎng)網(wǎng)關(guān)，此虛擬機(jī)設(shè)置三個(gè)虛擬網(wǎng)卡（其虛擬網(wǎng)卡類型見圖4），分別連接系統(tǒng)工作網(wǎng)、虛擬服務(wù)器網(wǎng)與監(jiān)控服務(wù)器。虛擬服務(wù)器網(wǎng)根據(jù)物理主機(jī)內(nèi)存及磁盤空間大小可虛擬多個(gè)服務(wù)器并安裝相應(yīng)的操作系統(tǒng)及應(yīng)用軟件，以此誘惑黑客攻擊。蜜網(wǎng)服務(wù)器用于收集黑客攻擊信息并保留證據(jù)。系統(tǒng)拓?fù)浣Y(jié)構(gòu)如圖4所示。

系統(tǒng)部署基本過程如下：

4.1 主機(jī)硬件需求

CPU：Pentium 4 以上CPU，雙核更佳。

硬盤：80G以上，視虛擬操作系統(tǒng)數(shù)量而定。

內(nèi)存：1G以上，其中蜜網(wǎng)軟件Honeywall至少需要256M以上。其它視虛擬操作系統(tǒng)數(shù)量而定。（下轉(zhuǎn)第346頁）

（上接第341頁）

網(wǎng)卡：兩個(gè)，其中一個(gè)作為主網(wǎng)絡(luò)接入，另一個(gè)作為監(jiān)控使用。

其它設(shè)備：視需要而定

4.2 所需軟件

操作系統(tǒng)安裝光盤：Windows 2000或Windows 2003；

虛擬機(jī)軟件：VMware Workstation for Win32；

蜜網(wǎng)網(wǎng)關(guān)軟件：Roo Honeywall CDROM v1.2，可從蜜網(wǎng)項(xiàng)目組網(wǎng)站（一個(gè)非贏利國際組織，研究蜜網(wǎng)技術(shù)，網(wǎng)址為）下載安裝光盤。

4.3 安裝過程

1）安裝主機(jī)操作系統(tǒng)。

2) 安裝虛擬機(jī)軟件。

3) 構(gòu)建虛擬網(wǎng)絡(luò)系統(tǒng)。其中蜜網(wǎng)網(wǎng)關(guān)虛擬類型為Linux，內(nèi)存分配為256M以上，最好為512M，硬盤空間為4G以上，最好為10G。網(wǎng)卡三個(gè)，分別設(shè)為VMnet0、VMnet1和VMnet2，如圖4所示。

4) 在蜜網(wǎng)網(wǎng)關(guān)機(jī)上安裝honeywall，配置IP信息、管理信息等。

5) 在蜜網(wǎng)網(wǎng)關(guān)機(jī)上配置Sebek服務(wù)器端，以利用蜜網(wǎng)網(wǎng)關(guān)收集信息。

6) 安裝虛擬服務(wù)器組，并布設(shè)相應(yīng)的應(yīng)用系統(tǒng)。注意虛擬服務(wù)器組均配置為VMnet1，以使其接入蜜網(wǎng)網(wǎng)關(guān)機(jī)后。

7) 在虛擬服務(wù)器組上安裝并配置sebek客戶端。

8) 通過監(jiān)控機(jī)的瀏覽器測試蜜網(wǎng)網(wǎng)關(guān)數(shù)據(jù)。

總之，虛擬蜜網(wǎng)系統(tǒng)旨在利用蜜網(wǎng)網(wǎng)關(guān)的數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析等功能，通過對蜜網(wǎng)防火墻的日志記錄、eth1上的嗅探器記錄的網(wǎng)絡(luò)流和Sebek 捕獲的系統(tǒng)活動(dòng)，達(dá)到分析網(wǎng)絡(luò)入侵手段與方法的目的，以利于延緩網(wǎng)絡(luò)攻擊、改進(jìn)網(wǎng)絡(luò)安全性的目的。

參考文獻(xiàn)：

[1] 王連忠.蜜罐技術(shù)原理探究[J].中國科技信息,2005(5):28.

[2] 牛少彰,張 瑋. 蜜罐與蜜網(wǎng)技術(shù)[J].通信市場,2006(12):64-65.

[3] 殷聯(lián)甫.主動(dòng)防護(hù)網(wǎng)絡(luò)入侵的蜜罐(Honeypot)技術(shù)[J].計(jì)算機(jī)應(yīng)用,2004(7):29-31.

[4] 葉飛.蜜罐技術(shù)淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2007(5):36-37.

第4篇：機(jī)房網(wǎng)絡(luò)設(shè)計(jì)方案范文

關(guān)鍵詞: 校園網(wǎng)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)安全管理需求設(shè)計(jì)特點(diǎn)

一、 校園地理環(huán)境

我校分為南北兩個(gè)校區(qū),南區(qū)為教學(xué)區(qū),包括:三棟教學(xué)樓、一棟圖書館、一棟教師辦公樓、一棟教工宿舍、兩棟學(xué)生宿舍;北區(qū)為實(shí)訓(xùn)中心,與南區(qū)相隔一條街道,包括:南北兩棟實(shí)訓(xùn)樓。

二、校園網(wǎng)功能需求

學(xué)校是以現(xiàn)代化手段培養(yǎng)人才的地方。為了更好地使計(jì)算機(jī)及其網(wǎng)絡(luò)在輔助教學(xué)、教學(xué)管理等方面發(fā)揮作用,我校計(jì)劃在校內(nèi)建立校園網(wǎng),并與國際互聯(lián)網(wǎng)相連。

校園網(wǎng)的信息點(diǎn)應(yīng)該普及兩個(gè)校園區(qū)所有教學(xué)樓的教室,實(shí)訓(xùn)中心的電腦室、實(shí)訓(xùn)室,教師辦公樓,圖書館,宿舍樓等,同時(shí)教室辦公樓應(yīng)該提供無線網(wǎng)絡(luò)接入。校園內(nèi)每個(gè)信息點(diǎn)的電腦都可以相互訪問,實(shí)現(xiàn)廣泛的軟件、硬件資源共享;同時(shí)每個(gè)信息點(diǎn)的電腦都能接入互聯(lián)網(wǎng),提供基本的Internet網(wǎng)絡(luò)服務(wù)功能,如電子郵件、對外個(gè)人主頁服務(wù)、ftp服務(wù)、域名服務(wù)等。

三、校園網(wǎng)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)

1.綜合布線結(jié)構(gòu)

根據(jù)學(xué)校的地理位置,各棟建筑物到網(wǎng)絡(luò)中心的距離,以及數(shù)據(jù)的流量,采取光纖+超五類綜合布線系統(tǒng)。

(1)主干網(wǎng)。網(wǎng)絡(luò)中心在圖書館四樓,對于南區(qū)教學(xué)區(qū),因?yàn)槊織潣堑骄W(wǎng)絡(luò)中心都在400米左右,所以每棟樓的交換機(jī)都用12芯的室外多模光纜與網(wǎng)絡(luò)中心的核心交換機(jī)連接;而北區(qū)實(shí)訓(xùn)中心因?yàn)殡x網(wǎng)絡(luò)中心太遠(yuǎn),南北樓的交換機(jī)用12芯的室外單模光纜與網(wǎng)絡(luò)中心的核心交換機(jī)連接。主干網(wǎng)是由光纖構(gòu)成的1000M網(wǎng)。

(2)樓內(nèi)網(wǎng)。每棟樓的交換機(jī)都放在四樓中間的一間房間里,各個(gè)信息點(diǎn)到交換機(jī)的距離都在100米內(nèi),樓內(nèi)的布線用超五類線,為每間教室、實(shí)訓(xùn)室、辦公室等提供兩個(gè)信息點(diǎn)。樓里面則構(gòu)成10―100M的網(wǎng)絡(luò)。

2.設(shè)備選型

網(wǎng)絡(luò)設(shè)備必須在技術(shù)上具有先進(jìn)性、通用性,必須便于管理、維護(hù)。網(wǎng)絡(luò)設(shè)備應(yīng)該滿足學(xué)校現(xiàn)有計(jì)算機(jī)設(shè)備的高速接入,應(yīng)該具備未來良好的可擴(kuò)展性、可升級(jí)性,保護(hù)學(xué)校的投資。網(wǎng)絡(luò)設(shè)備必須在滿足功能與性能的基礎(chǔ)上價(jià)格最優(yōu)。網(wǎng)絡(luò)設(shè)備應(yīng)該選擇擁有足夠?qū)嵙褪袌龇蓊~的廠商的主流產(chǎn)品,同時(shí)設(shè)備廠商必須有良好的市場形象與售后技術(shù)支持。

根據(jù)多方面的考慮,我們確定選用華為三康的設(shè)備,路由器用MSR30-40,防火墻用F-1000A,核心交換機(jī)用S-7506,各棟樓的接入交換機(jī)用E-126A。這些設(shè)備完全滿足校園各種功能需要,同時(shí)也滿足未來擴(kuò)展的需要。

3.Internet接入

根據(jù)對全校總出口流量的估算,為確保內(nèi)部網(wǎng)站和外部網(wǎng)站的連接暢通,我們用電信20M帶寬的光纖專線接入,有一個(gè)Internet固定的IP地址,所有計(jì)算機(jī)都通過NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)進(jìn)入Internet。

4.VLAN規(guī)劃

VLAN為虛擬局域網(wǎng),它有如下優(yōu)勢:抑制網(wǎng)絡(luò)上的廣播風(fēng)暴;增加網(wǎng)絡(luò)的安全性;集中化的管理控制。基于這些優(yōu)點(diǎn),我們按照各棟樓的不同情況對交換機(jī)進(jìn)行VLAN劃分,具體是:VLAN1―設(shè)備管理、VLAN10―圖書館、VLAN11―教師辦公樓、VLAN12―實(shí)訓(xùn)中心南、VLAN13―實(shí)訓(xùn)中心北、VLAN14―4號(hào)教學(xué)樓、VLAN15―5號(hào)教學(xué)樓、VLAN16―1號(hào)教學(xué)樓、VLAN17―教工宿舍。

5.路由規(guī)劃

核心三層交換機(jī)S-7506實(shí)現(xiàn)VLAN之間的相互訪問。對于三層交換機(jī)來講,所有VLAN(網(wǎng)段)都是直連的,因此只需要啟動(dòng)路由,而不需要設(shè)置額外的靜態(tài)或動(dòng)態(tài)路由條目。我們在S-7506中創(chuàng)建VLAN 10至VLAN 17,并把與接入層交換機(jī)光纖連接的光纖端口添加到對應(yīng)的VLAN中,同時(shí)給VLAN端口添加對應(yīng)的網(wǎng)關(guān)IP作為虛擬端口的IP地址,實(shí)現(xiàn)整個(gè)校園網(wǎng)不同網(wǎng)段之間的相互訪問。

6.無線接入

充分利用計(jì)算機(jī)輔助教學(xué)及利用網(wǎng)絡(luò)軟硬件的資源共享,是校園網(wǎng)為教學(xué)服務(wù)的一大特點(diǎn),我校教師每人配備了一臺(tái)手提電腦,手提電腦接入校園網(wǎng),采取無線接入的方式。

構(gòu)建“無線漫游”接入?yún)^(qū),在辦公樓放置三個(gè)TP-LINK841無線路由器,SSID都是BanGong,頻道則分別為1、6、11三個(gè)互不干預(yù)的頻道,不加密碼是開放式,開啟DHCP,地址池IP為192.168.1.50/24―192.168.1.200/24,這樣教師可以很方便地接入到校園網(wǎng)。

7.開放計(jì)算機(jī)機(jī)房

學(xué)校內(nèi)有大量的各種各樣的開放式機(jī)房,是學(xué)生學(xué)習(xí)計(jì)算機(jī)的場所,通常這些計(jì)算機(jī)連成一個(gè)局域網(wǎng),除具備一般的互訪外,通常還要求這些計(jì)算機(jī)能夠訪問到Internet。為滿足教學(xué)要求,我們作了如下規(guī)劃:(1)IP地址用私有C類192.168.0.0/24。(2)實(shí)現(xiàn)Internet訪問,實(shí)際上是一個(gè)局域網(wǎng)PC如何共享上網(wǎng)的問題。在每一個(gè)機(jī)房部署一個(gè)信息點(diǎn),相當(dāng)于Internet出口,用服務(wù)器的方式通過信息點(diǎn)接入校園網(wǎng),從而實(shí)現(xiàn)訪問Internet。

8.對外站點(diǎn)

對于一些外部站點(diǎn)的問題,通常放置在DMZ區(qū)內(nèi),DMZ區(qū)的安全等級(jí)高于外網(wǎng),低于內(nèi)網(wǎng),防火墻的默認(rèn)規(guī)則是允許安全等級(jí)高的訪問安全等級(jí)低的,禁止安全等級(jí)低的訪問安全等級(jí)高的。因此,防火墻不需要設(shè)置規(guī)則就可以實(shí)現(xiàn)內(nèi)網(wǎng)訪問到DMZ區(qū),但外網(wǎng)不能訪問到DMZ區(qū)。對于學(xué)校來講,WWW站點(diǎn)的主要目的就是對外信息,必須讓外網(wǎng)能夠訪問到,為了到達(dá)這個(gè)目的,可以在防火墻上添加一些規(guī)則,開放DMZ區(qū)所在服務(wù)器的IP,以及相應(yīng)的端口。在DMZ區(qū)放置學(xué)校的服務(wù)器:郵件服務(wù)器、WWW服務(wù)器、數(shù)據(jù)服務(wù)器、文件服務(wù)器。

四、網(wǎng)絡(luò)安全及管理需求

校園網(wǎng)是巨大的資源中心,存放著各方面的信息資源,涉及學(xué)校的方方面面,同時(shí),校園網(wǎng)又是一個(gè)開放的系統(tǒng),有不同的人員在校內(nèi)或校外訪問它,因此,校園網(wǎng)的建立不僅是網(wǎng)絡(luò)硬件和應(yīng)用的建立,還應(yīng)該特別重視校園網(wǎng)的安全問題。網(wǎng)絡(luò)安全是一個(gè)體系結(jié)構(gòu),涉及整個(gè)辦公環(huán)境的各個(gè)方面,包括人員和設(shè)備,信息的駐留點(diǎn),以及沿途經(jīng)過的各個(gè)中間環(huán)節(jié),從物理層到應(yīng)用層都要小心對待。

1.設(shè)備級(jí)安全

包括網(wǎng)絡(luò)中所有可管理的網(wǎng)絡(luò)設(shè)備、服務(wù)器和網(wǎng)管工作站的安全。設(shè)備級(jí)安全是網(wǎng)絡(luò)的第一道屏障,嚴(yán)格限制能夠遠(yuǎn)程管理(包括Telnet方式和Web方式)網(wǎng)絡(luò)設(shè)備的IP地址列表,必要時(shí)關(guān)閉部分或全部遠(yuǎn)程管理功能;對于核心網(wǎng)絡(luò)設(shè)備,如骨干交換機(jī)和路由器,建議不設(shè)遠(yuǎn)程管理IP地址。

2.傳輸級(jí)安全

指敏感數(shù)據(jù)在傳輸線路中防止中途竊取或修改的安全性。解決辦法包括室外線路盡可能采用無輻射抗干擾的光纖作為傳輸介質(zhì),室內(nèi)明線使用屏蔽雙絞線,中心機(jī)房加裝屏蔽網(wǎng),對遠(yuǎn)程傳輸?shù)男畔⑦M(jìn)行加密等。

3.網(wǎng)絡(luò)層安全

是網(wǎng)絡(luò)安全設(shè)計(jì)中的重要一環(huán)。網(wǎng)絡(luò)層攻擊是黑客最常用的攻擊方式,如外部入侵。對付這種攻擊方式最典型的解決方案是使用軟件或硬件防火墻進(jìn)行內(nèi)外隔離,同時(shí)內(nèi)網(wǎng)采用保留IP地址,訪問外網(wǎng)時(shí)進(jìn)行NAT轉(zhuǎn)換(網(wǎng)絡(luò)地址轉(zhuǎn)換)。除了防止外部入侵外,也要注意防止內(nèi)部的越權(quán)訪問和故意破壞,一般在VLAN之間進(jìn)行訪問控制。

4.應(yīng)用級(jí)安全

包括防病毒和認(rèn)證體系。近年來病毒多如牛毛,如:熊貓燒香、ARP地址欺騙等。對于病毒問題,有效的解決方法是安裝網(wǎng)絡(luò)防病毒軟件,修補(bǔ)系統(tǒng)漏洞。同時(shí)也要防范因內(nèi)部人員不經(jīng)意或故意“環(huán)路”,形成的“網(wǎng)絡(luò)震蕩”,解決辦法是設(shè)置交換機(jī)STP協(xié)議(生成樹協(xié)議)。

校園網(wǎng)是一個(gè)比較大型的網(wǎng)絡(luò),為了保證校園網(wǎng)更加有效、可靠地運(yùn)行,我們配置了一臺(tái)網(wǎng)絡(luò)管理工作站,以便更有效地對校園網(wǎng)進(jìn)行管理。根據(jù)網(wǎng)絡(luò)設(shè)備選型,我們選擇華為三康管理軟件,同時(shí)用第三方管理軟件一起管理網(wǎng)絡(luò),主要是solarwinds-toolset工具箱V9.2、超級(jí)PING、Sniffer Portable 4.8這三個(gè)軟件。

五、方案規(guī)劃設(shè)計(jì)特點(diǎn)

該校園網(wǎng)方案采用成熟的先進(jìn)的技術(shù),采用國際統(tǒng)一標(biāo)準(zhǔn)有廣泛的支持廠商;所有設(shè)備都用華為三康一線產(chǎn)品。Internet帶寬合理,確保網(wǎng)絡(luò)不出現(xiàn)“塞車”現(xiàn)象;設(shè)置三層核心交換機(jī),將整個(gè)網(wǎng)絡(luò)劃分為多個(gè)VLAN,從而使網(wǎng)絡(luò)更加安全;同時(shí)本方案充分考慮了網(wǎng)絡(luò)未來的升級(jí)與發(fā)展,把網(wǎng)絡(luò)主干網(wǎng)構(gòu)成了信息高速網(wǎng),對未來的發(fā)展非常有利。

第5篇：機(jī)房網(wǎng)絡(luò)設(shè)計(jì)方案范文

柳工現(xiàn)有信息系統(tǒng)全面覆蓋了企業(yè)的產(chǎn)品開發(fā)、供應(yīng)鏈管理、生產(chǎn)制造和銷售服務(wù)四大方面主體活動(dòng)，成為柳工生產(chǎn)活動(dòng)中重要的支撐。

目前柳工信息網(wǎng)是一個(gè)大型的二層網(wǎng)絡(luò)架構(gòu)：

1、核心區(qū)域：兩臺(tái)Cisco4506作為整個(gè)網(wǎng)絡(luò)的核心，分別負(fù)責(zé)廠區(qū)網(wǎng)絡(luò)、研究院網(wǎng)絡(luò)、數(shù)據(jù)中心、互聯(lián)網(wǎng)和異地事業(yè)部廣域網(wǎng)的接入；

2、園區(qū)區(qū)域：所有部門及下屬公司的計(jì)算機(jī)都劃分在幾個(gè)業(yè)務(wù)VLAN內(nèi)，使用Cisco2960和2950交換機(jī)作為接入層設(shè)備；

3、異地事業(yè)部：租用不同運(yùn)營商線路接入至數(shù)據(jù)中心機(jī)房的Cisco3550交換機(jī)上；

4、服務(wù)器區(qū)域：使用6臺(tái)Cisco2960G作為接入，使用雙鏈路上聯(lián)核心交換機(jī)；

5、互聯(lián)網(wǎng)區(qū)域：3條不同運(yùn)營商的線路匯聚到一臺(tái)Cisco2960上。外部SSL-VPN用戶通過互聯(lián)網(wǎng)鏈路接入深信服VPN設(shè)備直接撥入到內(nèi)網(wǎng)。內(nèi)部訪問互聯(lián)網(wǎng)則通過ISA防火墻后從三個(gè)互聯(lián)網(wǎng)出口出去。

二、層網(wǎng)二絡(luò)向三層網(wǎng)絡(luò)轉(zhuǎn)變的必要性

2.1網(wǎng)絡(luò)拓?fù)?/p>

柳工目前網(wǎng)絡(luò)是一個(gè)以二層局域網(wǎng)交換為主的網(wǎng)絡(luò)，缺少必要的三層路由規(guī)劃和網(wǎng)絡(luò)安全規(guī)劃。現(xiàn)有網(wǎng)絡(luò)架構(gòu)不能滿足應(yīng)用系統(tǒng)未來的需求，不足以支撐未來業(yè)務(wù)的發(fā)展。

同時(shí)，缺乏匯聚交換機(jī)和光纖鏈路資源，使得大量的接入交換機(jī)采用級(jí)聯(lián)的方式實(shí)現(xiàn)上聯(lián)。這樣容易導(dǎo)致鏈路不穩(wěn)定和鏈路帶寬得不到保障。因此需要優(yōu)化網(wǎng)絡(luò)拓?fù)洌侠磉x擇匯聚節(jié)點(diǎn)，變二層網(wǎng)絡(luò)為更加穩(wěn)定的三層網(wǎng)絡(luò)。

2.2明確網(wǎng)絡(luò)各功能區(qū)域

網(wǎng)絡(luò)系統(tǒng)需要按功能進(jìn)行區(qū)分：如廣域網(wǎng)、生產(chǎn)網(wǎng)、研發(fā)網(wǎng)絡(luò)和數(shù)據(jù)中心等。柳工現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)不具備真正的廣域網(wǎng)、數(shù)據(jù)中心、研發(fā)網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)等功能劃分。因此需要明確網(wǎng)絡(luò)各功能區(qū)域，實(shí)現(xiàn)分級(jí)分域安全防護(hù)。

2.3 IP地址/VLAN規(guī)劃

柳工目前使用一個(gè)B類地址和若干個(gè)C類地址，網(wǎng)絡(luò)中進(jìn)行了有限的VLAN劃分。但由于VLAN規(guī)劃不細(xì)致，造成廣播域過大，給網(wǎng)絡(luò)的穩(wěn)定運(yùn)行帶來了隱患。

柳工未來的IP地址分配建議采用DHCP動(dòng)態(tài)分配輔助靜態(tài)部署。服務(wù)器設(shè)置靜態(tài)地址，客戶機(jī)動(dòng)態(tài)獲取IP。動(dòng)態(tài)分配由于地址是由DHCP服務(wù)器分配，便于集中化統(tǒng)一管理。每一個(gè)接入主機(jī)都能通過非常簡單的操作就可以獲得正確IP地址、子網(wǎng)掩碼、缺省網(wǎng)關(guān)、DNS等參數(shù)，在管理的工作量上比靜態(tài)地址要減少很多。非常適合大型網(wǎng)絡(luò)的需求。

綜上所述，二層網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)變?yōu)槿龑泳W(wǎng)絡(luò)架構(gòu)，勢在必行，否則將不足以支撐日益擴(kuò)大的網(wǎng)絡(luò)規(guī)模和業(yè)務(wù)發(fā)展需求。

三、整體設(shè)計(jì)方案

3.1 模塊劃分

通過參考和借鑒目前先進(jìn)的網(wǎng)絡(luò)設(shè)計(jì)理念和其他企業(yè)網(wǎng)絡(luò)設(shè)計(jì)經(jīng)驗(yàn)，依據(jù)全面性原則和模塊化設(shè)計(jì)原則，將整個(gè)網(wǎng)絡(luò)總體框架劃分為六大網(wǎng)絡(luò)區(qū)域：即核心交換區(qū)、園區(qū)網(wǎng)、數(shù)據(jù)中心、廣域網(wǎng)、研發(fā)網(wǎng)和互聯(lián)網(wǎng)。同時(shí)IP地址和VLAN規(guī)劃貫穿在各網(wǎng)絡(luò)區(qū)域的設(shè)計(jì)中。

3.2差異化分析

采用差異化分析的方式來確定網(wǎng)絡(luò)中的不足之處，提出網(wǎng)絡(luò)優(yōu)化的方法和所能夠達(dá)到的目標(biāo)。

對網(wǎng)絡(luò)各組成部分具體分析，具體如下：

3.2.1 園區(qū)網(wǎng)

現(xiàn)狀：園區(qū)網(wǎng)核心設(shè)備超負(fù)荷運(yùn)行，核心交換機(jī)4506CPU負(fù)荷超70%；園區(qū)網(wǎng)是一個(gè)大型二層網(wǎng)絡(luò)，終端用戶基本分布在VLAN1中，過大的廣播域給網(wǎng)絡(luò)的穩(wěn)定帶來潛在風(fēng)險(xiǎn)。接入層設(shè)備大量采用級(jí)聯(lián)方式上連核心，部分接入交換機(jī)帶寬利用率僅有30%。

規(guī)劃目標(biāo)：提升園區(qū)網(wǎng)核心設(shè)備處理能力，從而提高網(wǎng)絡(luò)整體的處理能力。調(diào)整網(wǎng)絡(luò)層次，變兩層網(wǎng)絡(luò)為三層網(wǎng)絡(luò)架構(gòu)，新增合理的匯聚節(jié)點(diǎn)。用動(dòng)態(tài)路由協(xié)議規(guī)劃核心層和匯聚層的路由，提供快速收斂和高可擴(kuò)展性。

3.2.2 數(shù)據(jù)中心

現(xiàn)狀：數(shù)據(jù)中心網(wǎng)絡(luò)與園區(qū)網(wǎng)之間界線不清，存在很大的可用性，擴(kuò)展性問題；同時(shí)缺乏數(shù)據(jù)中心安全防護(hù)措施。

規(guī)劃目標(biāo)：搭建獨(dú)立的數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)，建設(shè)數(shù)據(jù)中心的整體安全防護(hù)架構(gòu)。

3.2.3 廣域網(wǎng)

現(xiàn)狀：廣域網(wǎng)缺乏冗余鏈路。廣域網(wǎng)是一個(gè)二層交換網(wǎng)，沒有三層路由，不能對重要業(yè)務(wù)做QOS保障，并且網(wǎng)絡(luò)設(shè)備比較陳舊。

規(guī)劃目標(biāo)：增加冗余鏈路保證廣域網(wǎng)的穩(wěn)定可靠性。規(guī)劃廣域網(wǎng)路由，用專用路由器代替現(xiàn)有設(shè)備，通過有關(guān)技術(shù)手段保證重要應(yīng)用數(shù)據(jù)的傳輸。

3.2.4 研發(fā)網(wǎng)絡(luò)

現(xiàn)狀：缺乏獨(dú)立的研發(fā)網(wǎng)網(wǎng)絡(luò)架構(gòu)，缺乏對研發(fā)網(wǎng)的安全防護(hù)措施。

規(guī)劃目標(biāo)：搭建獨(dú)立研發(fā)網(wǎng)網(wǎng)絡(luò)架構(gòu)，在組網(wǎng)方式上采用物理隔離，在傳輸過程中采用邏輯隔離。建立研發(fā)網(wǎng)的安全防護(hù)架構(gòu)，增強(qiáng)網(wǎng)絡(luò)的高安全性，同時(shí)保證業(yè)務(wù)數(shù)據(jù)的安全管理。

3.2.5 互聯(lián)網(wǎng)

現(xiàn)狀：缺乏細(xì)化的互聯(lián)網(wǎng)管理規(guī)范，互聯(lián)網(wǎng)安全防護(hù)設(shè)備陳舊且防護(hù)手段單一。

規(guī)劃目標(biāo)：完善全網(wǎng)的互聯(lián)網(wǎng)出口，加強(qiáng)安全防護(hù)措施。完善統(tǒng)一安全控制策略和互聯(lián)網(wǎng)訪問規(guī)范。

3.2.6 IP地址和VLAN

現(xiàn)狀：IP地址分配VLAN劃分精細(xì)度不夠，用戶主要集中在VLAN1中，廣播域太大。IP地址主要采用靜態(tài)分配方式，管理缺乏靈活性。

規(guī)劃目標(biāo)：統(tǒng)一IP地址管理，優(yōu)化IP分配和VLAN劃分規(guī)范。

四.實(shí)施規(guī)劃

4.1園區(qū)網(wǎng)

按照三層架構(gòu)進(jìn)行規(guī)劃設(shè)計(jì)，合理設(shè)置匯聚節(jié)點(diǎn)。優(yōu)化接入層設(shè)備的接入，最終形成完善的三層架構(gòu)園區(qū)網(wǎng)。網(wǎng)絡(luò)設(shè)備的更新?lián)Q代，用高性能的核心設(shè)備替換原有的核心交換機(jī)，提升園區(qū)網(wǎng)的整體處理能力。加強(qiáng)對接入層設(shè)備的集中管理，逐步替換不可網(wǎng)管的接入設(shè)備。以園區(qū)網(wǎng)為主要承載平臺(tái)的統(tǒng)一無線系統(tǒng)部署。

4.2數(shù)據(jù)中心

增設(shè)數(shù)據(jù)中心核心交換機(jī)，建設(shè)數(shù)據(jù)中心整體安全防護(hù)系統(tǒng)；增設(shè)數(shù)據(jù)中心接入交換機(jī)，承擔(dān)服務(wù)器的接入。

4.3廣域網(wǎng)

增設(shè)廣域網(wǎng)核心路由器和廣域網(wǎng)防火墻，增加廣域網(wǎng)冗余鏈路，完成異地事業(yè)部接入路由器的改造。

4.4研發(fā)網(wǎng)

增設(shè)研發(fā)網(wǎng)核心交換機(jī)和研發(fā)網(wǎng)邊界防火墻，更換研發(fā)網(wǎng)的接入交換機(jī)，實(shí)現(xiàn)基于身份的網(wǎng)絡(luò)準(zhǔn)入控制。

4.5互聯(lián)網(wǎng)

完成互聯(lián)網(wǎng)邊界防火墻的改造、互聯(lián)網(wǎng)系統(tǒng)改造和ISP鏈路的動(dòng)態(tài)負(fù)載，同時(shí)優(yōu)化互聯(lián)網(wǎng)的出口管理（上網(wǎng)行為管理，流量監(jiān)控）。

4.6 IP地址規(guī)劃

已使用網(wǎng)段的地址，在新的規(guī)劃中不再使用；啟用新的IP地址段：172.17.0.0/16共65535個(gè)IP地址劃分為255個(gè)C類的IP子網(wǎng)，分配給廣域網(wǎng)，局域網(wǎng)和數(shù)據(jù)中心使用；啟用IP地址段：10.0.0.0/24，分配給特殊需求的IP，如：雙機(jī)熱備系統(tǒng)的心跳IP。該段地址不參與路由，并且需要使用VLAN隔離。啟用IP地址段：10.1.0.0/16，分配10.1.1.0/24給VPN地址池，其余保留給未來的外聯(lián)網(wǎng)絡(luò)。

第6篇：機(jī)房網(wǎng)絡(luò)設(shè)計(jì)方案范文

關(guān)鍵詞：存儲(chǔ)網(wǎng)絡(luò)；虛擬機(jī)；虛擬服務(wù)器；交換機(jī)

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）26-0071-02

1 背景

虛擬化環(huán)境需要多種技術(shù)的協(xié)調(diào)配合：服務(wù)器和操作系統(tǒng)的虛擬化、存儲(chǔ)虛擬化、以及系統(tǒng)管理、資源管理和軟件提交，與非虛擬化環(huán)境一致的應(yīng)用環(huán)境。因?yàn)橛辛颂摂M化，企業(yè)不再需要建立耗資巨大的數(shù)據(jù)中心就能夠?qū)崿F(xiàn)異地備份。這對用戶來說極富吸引力。

該設(shè)置方案中設(shè)置三個(gè)相互獨(dú)立的網(wǎng)絡(luò)：存儲(chǔ)網(wǎng)絡(luò)、現(xiàn)場生產(chǎn)網(wǎng)絡(luò)、三級(jí)通訊網(wǎng)絡(luò)。這三個(gè)網(wǎng)絡(luò)的中心交換機(jī)都位于虛擬中心機(jī)房。

存儲(chǔ)網(wǎng)絡(luò)是萬兆網(wǎng)絡(luò)，用于虛擬宿主服務(wù)器的管理和服務(wù)器主機(jī)間直接通訊，主要用于服務(wù)器間存儲(chǔ)數(shù)據(jù)的同步、虛擬機(jī)備份、遷移等需要高帶寬的場景。

各生產(chǎn)線的現(xiàn)場自動(dòng)化控制網(wǎng)絡(luò)，通過雙光纜連接到中心機(jī)房的生產(chǎn)網(wǎng)絡(luò)交換機(jī)，該網(wǎng)絡(luò)和中心機(jī)房內(nèi)部網(wǎng)絡(luò)相互隔離。各虛擬服務(wù)器和三級(jí)機(jī)通訊，通過專用的三級(jí)通訊網(wǎng)絡(luò)（單獨(dú)千兆網(wǎng)絡(luò)交換機(jī)）進(jìn)行，該網(wǎng)絡(luò)和其他兩個(gè)網(wǎng)絡(luò)也是相互隔離的。

每臺(tái)宿主虛擬服務(wù)器上，必須有5個(gè)以太網(wǎng)端口，其中4個(gè)端口是萬兆網(wǎng)絡(luò)，每兩個(gè)端口組成聚合網(wǎng)絡(luò)（共兩個(gè)聚合網(wǎng)絡(luò)），分別連接內(nèi)部管理網(wǎng)絡(luò)和工作網(wǎng)絡(luò)；一個(gè)端口是千兆網(wǎng)絡(luò)（連接三級(jí)網(wǎng)絡(luò)）。

作為中心交換機(jī)的萬兆網(wǎng)絡(luò)交換機(jī)，本身穩(wěn)定性很好，項(xiàng)目初期，可不考慮網(wǎng)絡(luò)交換機(jī)的冗余，使用端口聚合技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)冗余，同時(shí)實(shí)現(xiàn)網(wǎng)絡(luò)帶寬翻倍。在多條生產(chǎn)線的設(shè)備進(jìn)入虛擬中心后，為防止網(wǎng)絡(luò)帶寬不足，同時(shí)考慮提高網(wǎng)絡(luò)可靠性，可為生產(chǎn)網(wǎng)絡(luò)和存儲(chǔ)網(wǎng)絡(luò)設(shè)置冗余交換機(jī)，每臺(tái)宿主服務(wù)器同時(shí)連接同一網(wǎng)絡(luò)的不同交換機(jī)。

2 設(shè)置方案

每臺(tái)宿主虛擬服務(wù)器主機(jī)，配置兩個(gè)虛擬交換機(jī)，一個(gè)交換機(jī)連接聚合的萬兆網(wǎng)卡，物理連接到生產(chǎn)網(wǎng)絡(luò)交換機(jī)；另一個(gè)虛擬網(wǎng)絡(luò)交換機(jī)通過千兆實(shí)體網(wǎng)卡連接到三級(jí)通訊的實(shí)體網(wǎng)絡(luò)交換機(jī)。

連接生產(chǎn)網(wǎng)絡(luò)的實(shí)體交換機(jī)，為每個(gè)連接到遠(yuǎn)程網(wǎng)絡(luò)的聚合千兆端口配置不同的VLAN編號(hào)，通過配置不同虛擬網(wǎng)絡(luò)，實(shí)現(xiàn)不同生產(chǎn)線上的網(wǎng)絡(luò)相互隔離。同時(shí)為每臺(tái)虛擬機(jī)連接生產(chǎn)網(wǎng)絡(luò)的虛擬網(wǎng)卡配置和該生產(chǎn)線網(wǎng)絡(luò)端口相同的VLAN號(hào)，實(shí)現(xiàn)每臺(tái)虛擬服務(wù)器、虛擬操作站和生產(chǎn)線現(xiàn)場的基礎(chǔ)自動(dòng)化網(wǎng)絡(luò)通訊，同時(shí)屬于不同生產(chǎn)網(wǎng)絡(luò)的虛擬機(jī)之間實(shí)現(xiàn)網(wǎng)絡(luò)隔離。生產(chǎn)用中心交換機(jī)上的VLAN配置在連接現(xiàn)場網(wǎng)絡(luò)的聚合端口上。生產(chǎn)用交換機(jī)連接宿主服務(wù)器實(shí)體網(wǎng)卡的端口設(shè)置成Trunk模式。

存儲(chǔ)網(wǎng)絡(luò)中，每個(gè)宿主虛擬服務(wù)器主機(jī)使用兩個(gè)網(wǎng)絡(luò)端口，同時(shí)連接存儲(chǔ)網(wǎng)絡(luò)交換機(jī)。宿主服務(wù)器上，這兩個(gè)端口配置成聚合模式。在沒有冗余交換機(jī)時(shí)，交換機(jī)上連接同一臺(tái)服務(wù)器的兩個(gè)端口也被配置成聚合模式。這樣，一個(gè)網(wǎng)絡(luò)連接出現(xiàn)故障時(shí)，另外一個(gè)網(wǎng)絡(luò)連接還可提供可靠的網(wǎng)絡(luò)通訊。

如果有冗余交換機(jī)，宿主服務(wù)器主機(jī)上的兩個(gè)網(wǎng)絡(luò)端口分別連接到不同交換機(jī)上，當(dāng)一臺(tái)交換機(jī)出現(xiàn)故障時(shí)，另外一臺(tái)交換機(jī)還能夠提供可靠的網(wǎng)絡(luò)通訊服務(wù)器。設(shè)備都正常時(shí)，兩臺(tái)交換機(jī)同時(shí)工作，使網(wǎng)絡(luò)帶寬翻倍。

自動(dòng)化網(wǎng)絡(luò)交換機(jī)連接到中心機(jī)房，采用雙光纜連接。在中心機(jī)房只有一臺(tái)生產(chǎn)網(wǎng)絡(luò)交換機(jī)時(shí)，兩條網(wǎng)絡(luò)連接同時(shí)連接到生產(chǎn)網(wǎng)絡(luò)交換機(jī)的兩個(gè)端口上，這兩個(gè)端口被配置成聚合模式，可實(shí)現(xiàn)網(wǎng)絡(luò)負(fù)載分擔(dān)和網(wǎng)絡(luò)連接的冗余。

在生產(chǎn)網(wǎng)絡(luò)交換機(jī)有冗余交換機(jī)時(shí)，生產(chǎn)現(xiàn)場交換上連接上來的光纜分別連接到不同的生產(chǎn)網(wǎng)絡(luò)交換機(jī)的端口上。當(dāng)一臺(tái)生產(chǎn)網(wǎng)絡(luò)交換機(jī)出現(xiàn)故障時(shí)，另外一臺(tái)交換機(jī)可承擔(dān)全部的網(wǎng)絡(luò)通訊負(fù)載。

每臺(tái)宿主虛擬服務(wù)器主機(jī)上，有兩個(gè)網(wǎng)絡(luò)端口同時(shí)連接生產(chǎn)網(wǎng)絡(luò)交換機(jī)。在宿主服務(wù)器主機(jī)上，這兩個(gè)端口被配置成聚合模式，在沒有冗余網(wǎng)絡(luò)時(shí)，這兩個(gè)網(wǎng)絡(luò)端口同時(shí)連接到同一臺(tái)生產(chǎn)網(wǎng)絡(luò)交換機(jī)的不同端口上，在生產(chǎn)網(wǎng)絡(luò)交換機(jī)上，這兩個(gè)端口被配置成聚合模式，這樣，可實(shí)現(xiàn)對宿主虛擬服務(wù)器主機(jī)網(wǎng)絡(luò)連接的負(fù)載分擔(dān)和網(wǎng)絡(luò)冗余。

在存在生產(chǎn)網(wǎng)絡(luò)的冗余交換機(jī)時(shí)，每臺(tái)宿主虛擬服務(wù)器上兩個(gè)網(wǎng)絡(luò)端口分別連接不同生產(chǎn)網(wǎng)絡(luò)交換機(jī)的端口。

宿主虛擬服務(wù)器采用端口聚合的方式，連接生產(chǎn)網(wǎng)絡(luò)和連接存儲(chǔ)網(wǎng)絡(luò)，都是采用雙鏈路的方式，實(shí)現(xiàn)網(wǎng)絡(luò)負(fù)載均衡和網(wǎng)絡(luò)冗余。

服務(wù)器硬件本身采用了大量高可用性設(shè)計(jì)，服務(wù)器的可靠性已經(jīng)達(dá)到電信級(jí)，一般很難出現(xiàn)硬件嚴(yán)重?fù)p壞，突然完全宕機(jī)的情況。

虛擬機(jī)服務(wù)由Failover cluster故障恢復(fù)集群服務(wù)管理，當(dāng)承載虛擬機(jī)的服務(wù)器出現(xiàn)故障，或需要維護(hù)時(shí)，可通過管理工作站，或直接操作服務(wù)器主機(jī)，將其上承載的虛擬機(jī)實(shí)時(shí)遷移到其他服務(wù)器上或直接切換到輔助服務(wù)器上，該過程中，虛擬機(jī)的運(yùn)行不會(huì)中斷，網(wǎng)絡(luò)連接也可保持，對外部通訊對象和被服務(wù)對象完全透明。

在服務(wù)器維護(hù)完畢后，可將該服務(wù)器上承載的虛擬機(jī)再遷移回來。

當(dāng)服務(wù)器意外宕機(jī)，網(wǎng)絡(luò)連接失敗，集群管理服務(wù)會(huì)自動(dòng)在其他適合的服務(wù)器上，重新啟動(dòng)失效服務(wù)器上承載的虛擬機(jī)，因所有虛擬機(jī)映像存放在共享的Storage Spaces Direct存儲(chǔ)系統(tǒng)中，該過程沒有拷貝虛擬機(jī)映像的過程，虛擬機(jī)映像就是同步保存在共享存儲(chǔ)系統(tǒng)中的映像。

在本設(shè)置方案中，配置一臺(tái)輔助服務(wù)器（復(fù)制服務(wù)器），該服務(wù)器接受整個(gè)網(wǎng)絡(luò)中所有宿主虛擬服務(wù)器發(fā)出的虛擬機(jī)復(fù)制申請。本項(xiàng)目中，只復(fù)制服務(wù)器虛擬機(jī)。對于操作站虛擬機(jī)，都是無狀態(tài)虛擬機(jī)，只需保存一份最終的虛擬機(jī)備份即可，無需實(shí)時(shí)備份。

在第一次開始復(fù)制前，輔助服務(wù)器需要將被復(fù)制的虛擬機(jī)完整映像拷貝到本地，該過程可以通過網(wǎng)絡(luò)，也可通過外置存儲(chǔ)設(shè)備（移動(dòng)硬盤）拷貝。

在服務(wù)器虛擬機(jī)運(yùn)行時(shí)，宿主虛擬服務(wù)器主機(jī)會(huì)定時(shí)將其運(yùn)行中對虛擬磁盤所做的修改日志發(fā)送給輔助服務(wù)器，輔助服務(wù)器維護(hù)每臺(tái)虛擬機(jī)的虛擬磁盤映像和被復(fù)制虛擬機(jī)相同。虛擬機(jī)數(shù)據(jù)復(fù)制周期可是：30秒、5分鐘、15分鐘。

操作人員能夠?qū)⒄谶\(yùn)行的虛擬機(jī)在線遷移（切換）到輔助服務(wù)器上，該過程無需拷貝虛擬磁盤文件，只需傳輸虛擬機(jī)的內(nèi)存映像，該過程可借助萬兆網(wǎng)卡的RDMA功能，高速傳輸。

在宿主服務(wù)器確實(shí)宕機(jī)時(shí)，也可在輔助服務(wù)器上直接啟動(dòng)宕機(jī)的宿主服務(wù)器上承載的虛擬機(jī)，該過程也可保證虛擬機(jī)快速啟動(dòng)，恢復(fù)生產(chǎn)。

3 后期發(fā)展

操作站虛擬機(jī)在開發(fā)人員安裝好后，就可一直使用，正常運(yùn)行中，操作站上無需保存任何新的數(shù)據(jù)。

對于操作站虛擬機(jī)，可在輔助服務(wù)器上保存一份最新備份，在有虛擬機(jī)映像被更新時(shí)，手工做一次復(fù)制，實(shí)現(xiàn)虛擬機(jī)最新映像的備份。

當(dāng)操作站虛擬機(jī)出現(xiàn)故障時(shí)，可直接從輔助服務(wù)器上反向復(fù)制一份完好的虛擬機(jī)映像到宿主服務(wù)器上，實(shí)現(xiàn)虛擬機(jī)的快速恢復(fù)。

參考文獻(xiàn)：

[1] 丁振， 馮丹， 周可.Windows下的虛擬網(wǎng)絡(luò)存儲(chǔ)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程， 2003（5）.

[2] 韓得志， 蘭軍瑞.網(wǎng)絡(luò)存儲(chǔ)技術(shù)的探討[J].微型電腦應(yīng)用， 2000（16）： 3.

第7篇：機(jī)房網(wǎng)絡(luò)設(shè)計(jì)方案范文

關(guān)鍵詞 網(wǎng)絡(luò)安全；物理隔離；地形圖保密

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2014）09-0179-01

1 勘察設(shè)計(jì)企業(yè)網(wǎng)絡(luò)現(xiàn)狀

勘察設(shè)計(jì)企業(yè)在設(shè)計(jì)工作中經(jīng)常會(huì)用到或產(chǎn)生一些文件，尤其是地形圖等密級(jí)較高的文件資料。我國2000年1月1日起頒布實(shí)施的《計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》第二章保密制度第六條規(guī)定：“涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接，必須實(shí)行物理隔離”。為保護(hù)國家秘密不外泄，同時(shí)滿足信息化辦公的生產(chǎn)需求，目前國內(nèi)勘察類企業(yè)主要采用兩種網(wǎng)絡(luò)架構(gòu)方式。一種是設(shè)置內(nèi)部辦公網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，員工各自配置兩臺(tái)分別連接內(nèi)外網(wǎng)絡(luò)的計(jì)算機(jī)，兩者完全物理隔離。這種方式建設(shè)和維護(hù)成本大，員工操控靈活度低。內(nèi)部辦公網(wǎng)絡(luò)實(shí)現(xiàn)公司信息化辦公和資源內(nèi)部共享等需求，外部網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)網(wǎng)資料查詢和外部交流，同時(shí)嚴(yán)禁內(nèi)部網(wǎng)絡(luò)信息向外部網(wǎng)絡(luò)流通。另一種設(shè)立指定的互聯(lián)網(wǎng)訪問區(qū)，專門人員或機(jī)構(gòu)采集互聯(lián)網(wǎng)信息復(fù)制到內(nèi)部網(wǎng)絡(luò)，或者設(shè)立專門的可訪問互聯(lián)網(wǎng)的設(shè)備或區(qū)域，這種方式實(shí)時(shí)性不好。

2 網(wǎng)絡(luò)隔離技術(shù)趨勢

物理隔離是網(wǎng)絡(luò)隔離的一種重要形式，它是通過網(wǎng)絡(luò)與計(jì)算機(jī)設(shè)備的空間分離來實(shí)現(xiàn)的網(wǎng)絡(luò)隔離[1]。與物理隔離不同的另一種網(wǎng)絡(luò)隔離方式是采用密碼技術(shù)的VPN隔離。虛擬專用網(wǎng)（VPN）是通過使用密碼和隧道技術(shù)、在公共網(wǎng)絡(luò)設(shè)施上構(gòu)建的、具有專用網(wǎng)絡(luò)安全特性的邏輯網(wǎng)絡(luò)[2]。VPN隔離追求的是數(shù)據(jù)的分離或不可讀，而物理隔離強(qiáng)調(diào)的是設(shè)備的分離。盡管VPN的實(shí)現(xiàn)成本較低，但是在網(wǎng)絡(luò)的邊界點(diǎn)，隔離設(shè)備容易被攻擊，特別是來自公共網(wǎng)絡(luò)的拒絕服務(wù)攻擊[2]。

物理隔離網(wǎng)閘的思路決定了它是一種比VPN更高級(jí)的安全隔離形式，因?yàn)樗窃诒ＷC必須安全的前提下，盡可能互聯(lián)互通，如果不能保證安全則完全斷開。然而，這種技術(shù)成熟的產(chǎn)品還是無法擺脫“擺渡”病毒的攻擊。因此，國家保密局信息系統(tǒng)安全保密測評中心頒發(fā)的網(wǎng)閘類產(chǎn)品檢測證書中明確注明“該產(chǎn)品不可用于互聯(lián)網(wǎng)和網(wǎng)絡(luò)之間的信息交換”。

3 雙網(wǎng)物理隔離解決方案架構(gòu)

除去地形圖等國家秘密文件外，勘察設(shè)計(jì)企業(yè)商業(yè)秘密的保護(hù)也是極為迫切的要求。將操作地形圖資料的計(jì)算機(jī)與內(nèi)部工作網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)隔離，內(nèi)外兩條網(wǎng)絡(luò)之間通過有效的隔離設(shè)備和網(wǎng)絡(luò)安全措施建立可信連接，既能滿足國家保密局對于國家秘密的保護(hù)要求，又能滿足公司內(nèi)部與互聯(lián)網(wǎng)之間的資源共享需要。

利用物理隔離網(wǎng)閘安裝在工作內(nèi)網(wǎng)核心交換機(jī)和外網(wǎng)核心交換機(jī)之間，對于公司內(nèi)部業(yè)務(wù)使用的計(jì)算機(jī)和服務(wù)器等設(shè)備直接或通過級(jí)聯(lián)設(shè)備連接到核心交換機(jī)，公司對外交流所用計(jì)算機(jī)或外網(wǎng)服務(wù)器直接或通過級(jí)聯(lián)連接到外網(wǎng)核心交換機(jī)。內(nèi)外網(wǎng)絡(luò)間數(shù)據(jù)訪問必須經(jīng)過網(wǎng)閘的“擺渡”。這樣，通過內(nèi)外網(wǎng)之間的網(wǎng)閘不僅實(shí)現(xiàn)了兩個(gè)網(wǎng)絡(luò)間的物理隔離，還能滿足內(nèi)外網(wǎng)之間實(shí)時(shí)、適度、可控的內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)交換和應(yīng)用服務(wù)。比如：文件交換、數(shù)據(jù)庫的數(shù)據(jù)交換與同步、HTTP/HTTPS標(biāo)準(zhǔn)訪問、FTP服務(wù)、郵件服務(wù)等。

圖1 基于網(wǎng)閘隔離的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

通過安全隔離網(wǎng)閘可以對辦公網(wǎng)絡(luò)到外部網(wǎng)之間的傳輸數(shù)據(jù)和文件嚴(yán)格執(zhí)行格式和內(nèi)容檢查，檢查的內(nèi)容可以包括內(nèi)容檢測、防惡意代碼、防泄密、文件類型控制等。可以對瀏覽器中輸入的各種關(guān)鍵詞和敏感字符串進(jìn)行限制，預(yù)防內(nèi)網(wǎng)用戶因訪問外網(wǎng)網(wǎng)站時(shí)，在瀏覽器的訪問請求中出現(xiàn)有意或無意泄密的可能。

在公司網(wǎng)絡(luò)建設(shè)中對于地形圖等高密級(jí)資料的使用必須采取單獨(dú)網(wǎng)絡(luò)或單機(jī)運(yùn)行模式，同時(shí)出臺(tái)相應(yīng)的規(guī)章制度，對地形圖資料的復(fù)制、傳遞進(jìn)行嚴(yán)格的規(guī)范，并出臺(tái)相應(yīng)的懲罰措施，從公司制度層面對網(wǎng)絡(luò)安全保密行為進(jìn)行約束。

4 性能分析

物理隔離網(wǎng)閘通過雙主機(jī)之間的物理斷開來達(dá)到數(shù)據(jù)隔離的目的。內(nèi)外主機(jī)間信息交換只能借助拷貝、鏡像、反射等非網(wǎng)絡(luò)方式來完成。另外，根據(jù)內(nèi)外網(wǎng)間數(shù)據(jù)交換的具體情況還可以選擇不同流向的單向或雙向隔離網(wǎng)閘，實(shí)現(xiàn)更高級(jí)別的數(shù)據(jù)保密要求。市場上部分物理隔離網(wǎng)閘支持基于文件特征庫的文件類型過濾和用戶自定義關(guān)鍵字的文件內(nèi)容篩查，可有效防止商業(yè)信息的無意泄漏。

應(yīng)用物理隔離網(wǎng)閘的雙網(wǎng)隔離解決方案具備如下優(yōu)點(diǎn)。

1）屏蔽了內(nèi)部的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，屏蔽了內(nèi)部主機(jī)的操作系統(tǒng)漏洞，消除了來自互聯(lián)網(wǎng)上對網(wǎng)的攻擊。

2）內(nèi)部服務(wù)器不對外部網(wǎng)絡(luò)提供任何端口，不允許來自任何互聯(lián)網(wǎng)主機(jī)的主動(dòng)請求，降低了自身風(fēng)險(xiǎn)。

3）通過嚴(yán)格的內(nèi)容過濾和檢查機(jī)制嚴(yán)防泄密。

4）可根據(jù)需要選擇單項(xiàng)或雙向數(shù)據(jù)流動(dòng)方向，靈活性強(qiáng)。

但是，采用物理隔離網(wǎng)閘對內(nèi)部工作網(wǎng)絡(luò)和外部網(wǎng)絡(luò)進(jìn)行隔離較采用VPN隔離在費(fèi)用方面不占優(yōu)勢，同時(shí)，涉及地形圖的計(jì)算機(jī)部分仍需單獨(dú)劃分網(wǎng)絡(luò)。

參考文獻(xiàn)

[1]網(wǎng)絡(luò)隔離的技術(shù)分析與安全模型應(yīng)用[J].數(shù)據(jù)通信，2002（3）：23-25.

第8篇：機(jī)房網(wǎng)絡(luò)設(shè)計(jì)方案范文

【關(guān)鍵詞】國家數(shù)控實(shí)訓(xùn)基地；數(shù)控機(jī)床改造；網(wǎng)絡(luò)化；建設(shè)方案

黃石職業(yè)技術(shù)學(xué)院國家數(shù)控實(shí)訓(xùn)基地于2007年建成并投入使用，由于設(shè)計(jì)比較倉促，數(shù)控基地分別單獨(dú)建立了數(shù)控仿真實(shí)驗(yàn)室、CAD/CAM實(shí)驗(yàn)室、數(shù)控加工車間、電火花線切割實(shí)訓(xùn)室、三坐標(biāo)測量室等機(jī)構(gòu)，并沒有搭建一個(gè)協(xié)同的工作網(wǎng)絡(luò)。

隨著時(shí)間的推移，目前國家數(shù)控實(shí)訓(xùn)基地的運(yùn)行模式已經(jīng)不能適應(yīng)現(xiàn)代化的需求：學(xué)生在數(shù)控仿真實(shí)驗(yàn)室模擬的程序輸出后，并不能直接輸送到數(shù)控機(jī)床，需要在機(jī)床重新錄入或者借助U盤拷貝；技術(shù)人員在CAD/CAM實(shí)驗(yàn)室通過三維制造軟件自動(dòng)生成的程序代碼，無法順利到達(dá)機(jī)床系統(tǒng)，中間操作繁瑣；三坐標(biāo)測量機(jī)檢測驗(yàn)證的數(shù)據(jù)，只有通過介質(zhì)傳輸，不能快速反饋到實(shí)訓(xùn)室中。這些問題都是由于數(shù)控基地沒有一個(gè)完整的網(wǎng)絡(luò)化平臺(tái)造成的。為了解決這個(gè)問題，我們?yōu)閲覕?shù)控實(shí)訓(xùn)基地設(shè)計(jì)了網(wǎng)絡(luò)拓?fù)洌瑴?zhǔn)備實(shí)施網(wǎng)絡(luò)化改造。

一、原有的教學(xué)環(huán)境及需求

黃石職業(yè)技術(shù)學(xué)院國家數(shù)控實(shí)訓(xùn)基地下設(shè)的數(shù)控仿真實(shí)驗(yàn)室、CAD/CAM實(shí)驗(yàn)室，共擁有計(jì)算機(jī)82臺(tái)，采用P4 3.06G CPU、512M內(nèi)存、GeForce 128M顯卡、160G硬盤、17寸顯示器，并已組建成一個(gè)局域網(wǎng)，每臺(tái)機(jī)器上裝有宇龍數(shù)控加工仿真系統(tǒng)、CAXA制造工程師、Pro/E、Master CAM等專業(yè)軟件，可以實(shí)現(xiàn)自動(dòng)編程。三坐標(biāo)測量室擁有海克斯康三坐標(biāo)測量機(jī)一臺(tái)，工作站一臺(tái)。數(shù)控加工車間擁有廣州數(shù)控CAK3275型數(shù)控車床9臺(tái)，華中數(shù)控CK6140型數(shù)控車床3臺(tái)，廣州數(shù)控XK713型數(shù)控銑床7臺(tái)，華中數(shù)控4600型加工中心1臺(tái)，法拉克VMC650加工中心2臺(tái)，法拉克HTC2050車削中心1臺(tái)，華中數(shù)控教學(xué)型數(shù)控車床1臺(tái)、華中數(shù)控教學(xué)型銑床3臺(tái)。電火花線切割實(shí)訓(xùn)室擁有蘇州新火花DK7740型數(shù)控線切割機(jī)床3臺(tái)，數(shù)控電火花成形機(jī)床1臺(tái)。

我們擬在數(shù)控基地內(nèi)構(gòu)建一個(gè)局域網(wǎng)網(wǎng)絡(luò)平臺(tái)，將數(shù)控加工車間內(nèi)所有數(shù)控機(jī)床與測量室、實(shí)訓(xùn)室、CAD/CAM實(shí)驗(yàn)室等計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)化改造，建設(shè)模擬企業(yè)環(huán)境的網(wǎng)絡(luò)化數(shù)控實(shí)訓(xùn)基地，使各項(xiàng)數(shù)據(jù)都可以通過網(wǎng)絡(luò)傳輸，不再需繁瑣的人工操作。這不僅順應(yīng)了“網(wǎng)絡(luò)數(shù)控”發(fā)展的總體趨勢，而且能滿足學(xué)院教學(xué)、培訓(xùn)的需要，具有較高的實(shí)際應(yīng)用價(jià)值。

二、網(wǎng)絡(luò)化改造的設(shè)計(jì)

1.網(wǎng)絡(luò)選型、連接方案

在所有網(wǎng)絡(luò)類型中，小型局域網(wǎng)是比較接近非專業(yè)人上和最為實(shí)用的網(wǎng)絡(luò)技術(shù)。因此，我們選擇搭建一個(gè)使用方便、性能穩(wěn)定、造價(jià)低廉的小型星型局域網(wǎng)。

目前基地大多數(shù)數(shù)控機(jī)床數(shù)據(jù)傳輸只支持通過RS232接口單機(jī)傳輸，其基本原理是計(jì)算機(jī)的串行（COM）口和數(shù)控機(jī)床本身的RS232接口遵循相同的數(shù)據(jù)通信協(xié)議，利用它們之間的數(shù)據(jù)傳輸性能可方便地實(shí)現(xiàn)計(jì)算機(jī)與數(shù)控機(jī)床的通信，從而完成計(jì)算機(jī)對機(jī)床的NC代碼的傳輸。但是這樣的接口我們無法直接接入以太網(wǎng)，經(jīng)過討論，我們解決的方案是：給每臺(tái)數(shù)控機(jī)床旁配置一臺(tái)PC機(jī)，使用數(shù)據(jù)線將COM口與數(shù)控機(jī)床RS232C接口連接，而此時(shí)，每臺(tái)PC機(jī)又可以直接連接以太局域網(wǎng)。這種方案的特點(diǎn)是技術(shù)成熟操作簡單，給操作者帶來方便：在PC機(jī)上編程，在專用通訊軟件或者DOS下進(jìn)行程序傳輸。

2.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

我們要先將數(shù)控加工車間、線切割實(shí)訓(xùn)室和三坐標(biāo)測量室的32臺(tái)數(shù)控機(jī)床控制計(jì)算機(jī)組成一個(gè)小局域網(wǎng)，再將該局域網(wǎng)與數(shù)控仿真實(shí)驗(yàn)室、CAD/CAM實(shí)驗(yàn)室的局域網(wǎng)連接起來，共同組成一個(gè)基地的網(wǎng)絡(luò)平臺(tái)，使設(shè)計(jì)信息、工藝信息、加工信息及后置處理數(shù)據(jù)能及時(shí)地傳遞到制造單元。學(xué)生在數(shù)控仿真實(shí)驗(yàn)室、CAD/CAM實(shí)驗(yàn)室進(jìn)行數(shù)控編程和仿真的數(shù)據(jù)也可直接傳送到機(jī)床上，這樣就構(gòu)成了網(wǎng)絡(luò)制造集成環(huán)境，減少了中間環(huán)節(jié)，增加了可靠性，并提高了工作效率。

根據(jù)以上要求，我們決定組建一個(gè)星型結(jié)構(gòu)的共享式以太網(wǎng)，服務(wù)器安裝Windows 2003 Server，工作站操作系統(tǒng)采用Windows XP專業(yè)版。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

3.組網(wǎng)步驟

（1）硬件物資準(zhǔn)備

由于數(shù)控仿真實(shí)驗(yàn)室、CAD/CAM實(shí)驗(yàn)室已經(jīng)組成局域網(wǎng)，在這次網(wǎng)絡(luò)改造中不需要另外投入新的設(shè)備。而現(xiàn)有的數(shù)控機(jī)床全部配備了高性能計(jì)算機(jī)，具備入網(wǎng)條件，我們只需購買雙絞線、水晶頭和交換機(jī)等就可以輕松組網(wǎng)。

我們采用星型網(wǎng)絡(luò)的布線連接，雙絞線兩端安裝有水晶頭。連接網(wǎng)卡與交換機(jī)的最大網(wǎng)線長度為100米，如果要加大網(wǎng)絡(luò)的范圍，在兩段雙絞線之間可安裝中繼器。由于數(shù)控基地所有設(shè)備都在一棟大樓內(nèi)，距離較近，能滿足要求。根據(jù)數(shù)控機(jī)床控制計(jì)算機(jī)的位置，我們選擇了交換機(jī)的安裝位置，并將每臺(tái)控制用計(jì)算機(jī)用雙絞線連接到了交換機(jī)上。

（2）服務(wù)器的安裝和配置

因?yàn)檫@臺(tái)服務(wù)器的身份是域控制器、網(wǎng)關(guān)及文件服務(wù)器，所以我們選用了Windows 2003服務(wù)器操作系統(tǒng)，并配置成為域控制器，方便管理域內(nèi)工作站，還利用Windows 2003的Internet連接共享功能，為基地內(nèi)部網(wǎng)絡(luò)搭建了網(wǎng)關(guān)，通過網(wǎng)關(guān)將數(shù)控基地局域網(wǎng)與校園網(wǎng)連接起來。

同時(shí)，我們在服務(wù)器上安裝了Serv-U FTP服務(wù)器軟件，輕松構(gòu)建了一個(gè)文件服務(wù)器，因此在基地局域網(wǎng)內(nèi)部進(jìn)行文件傳輸更容易。

（3）工作站的安裝和設(shè)置

工作站全部采用Windows XP專業(yè)版，其安裝過程比較容易。需要說明的是有關(guān)協(xié)議的安裝問題，網(wǎng)絡(luò)中每臺(tái)計(jì)算機(jī)的協(xié)議配置應(yīng)盡量保持一致。在通常情況下，TCP/IP協(xié)議是必不可少的，為了照顧數(shù)控機(jī)床控制系統(tǒng)中所用通訊功能能在DOS下使用，IPX/SPX協(xié)議也應(yīng)該安裝，至于微軟的網(wǎng)絡(luò)客戶文件系統(tǒng)安裝時(shí)就已經(jīng)自動(dòng)安裝好了。然后，參照相關(guān)協(xié)議，為每個(gè)廠家的數(shù)控機(jī)床安裝匹配的傳輸控制系統(tǒng)，并對機(jī)床控制系統(tǒng)軟件及DNC通訊軟件進(jìn)行設(shè)置，實(shí)現(xiàn)通過網(wǎng)絡(luò)對機(jī)床的有效控制。最后要啟用Windows XP的遠(yuǎn)程桌面連接功能，方便遠(yuǎn)程操作工作站。

三、改造后的國家數(shù)控實(shí)訓(xùn)基地所能實(shí)現(xiàn)的增值功能及改造優(yōu)點(diǎn)

1.網(wǎng)絡(luò)化的數(shù)控基地提供的增值功能

（1）網(wǎng)絡(luò)集中管理

在服務(wù)器上可以實(shí)現(xiàn)系統(tǒng)的配置管理、性能管理、故障診斷等幾個(gè)方面的網(wǎng)管功能，并能集中管理和監(jiān)視網(wǎng)絡(luò)上的各種設(shè)備。為系統(tǒng)可靠運(yùn)行提供保證。

（2）遠(yuǎn)程故障診斷

數(shù)控機(jī)床出現(xiàn)故障時(shí)，一般技術(shù)人員如不能準(zhǔn)確分析判斷故障的原因，就會(huì)影響生產(chǎn)。利用互聯(lián)網(wǎng)進(jìn)行網(wǎng)絡(luò)對話，服務(wù)方可以在異地了解用戶方數(shù)控機(jī)床出現(xiàn)故障時(shí)的表現(xiàn)癥狀，以及數(shù)控機(jī)床在執(zhí)行由服務(wù)方發(fā)送的數(shù)控指令時(shí)的工作狀態(tài)，進(jìn)而對數(shù)控機(jī)床的故障進(jìn)行判斷井提出可行的解決方案。

（3）模擬企業(yè)制造環(huán)境，提高教學(xué)效果

用CAD/CAM實(shí)驗(yàn)室所連成的局域網(wǎng)模擬企業(yè)的設(shè)計(jì)部門，以數(shù)控加工車間室局域網(wǎng)模擬企業(yè)的制造與加工車間，教師通過互聯(lián)網(wǎng)給學(xué)生布置實(shí)習(xí)任務(wù)，學(xué)生在CAD/CAM實(shí)驗(yàn)室完成產(chǎn)品的原型設(shè)計(jì)，并將結(jié)果通過網(wǎng)絡(luò)返回給教師批閱，經(jīng)檢查無誤后，可直接傳送到數(shù)控機(jī)床上加工。

整個(gè)流程全部通過內(nèi)部網(wǎng)絡(luò)完成，節(jié)約了大量的時(shí)間，提高了設(shè)備的利用率。

現(xiàn)在利用聯(lián)網(wǎng)的工作站，可以將所有的數(shù)控程序、數(shù)控系統(tǒng)參數(shù)以及PLC程序（ASCII代碼文件）都備份到計(jì)算機(jī)中，從而保護(hù)了系統(tǒng)資源。

2.數(shù)控基地實(shí)現(xiàn)網(wǎng)絡(luò)化改造后的優(yōu)點(diǎn)

（1）縮短傳輸程序的時(shí)間，也就是節(jié)約了昂貴的數(shù)控機(jī)床機(jī)時(shí)費(fèi)用。

（2）準(zhǔn)確性高。零件程序重復(fù)使用時(shí)即使重新傳輸也可以保證絕對正確。

（3）操作者勞動(dòng)強(qiáng)度減低。只需在機(jī)床面板輸人簡單指令就可完成程序傳輸。

（4）易于修改。首次使用的程序如果在現(xiàn)場進(jìn)行了修改，那么上傳后就可供下次調(diào)用。

（5）程序管理實(shí)現(xiàn)了統(tǒng)一化。

（6）責(zé)任清楚。一旦出現(xiàn)問題，很容易分析出是編程原因還是操作原因。

四、總結(jié)及展望

第9篇：機(jī)房網(wǎng)絡(luò)設(shè)計(jì)方案范文

關(guān)鍵詞：校園無線網(wǎng)絡(luò) 網(wǎng)絡(luò)設(shè)計(jì) 方案

中圖分類號(hào)：TP393.17 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2015）11-0000-00

以校園為研究項(xiàng)目。學(xué)校原有網(wǎng)絡(luò)通過核心路由器AR46-20來做總網(wǎng)關(guān)限制，用H3C9500來做的核心區(qū)交換，在各個(gè)區(qū)域有5臺(tái)核心交換機(jī)分別繼續(xù)做擴(kuò)展和延伸，通過OSPF動(dòng)態(tài)路由進(jìn)行連接。現(xiàn)有情況是在各個(gè)匯聚交換機(jī)下連接出來的設(shè)備已經(jīng)非常多，并且這種有線網(wǎng)絡(luò)的可擴(kuò)展性已經(jīng)嚴(yán)重不足。從不同角度把校園無線網(wǎng)絡(luò)的整體設(shè)計(jì)過程做出具體闡述。

1 校園無線網(wǎng)絡(luò)設(shè)計(jì)原則

（1）層次化。通過對整個(gè)校園網(wǎng)絡(luò)的層次化的劃分，按照不同層次的部署分別劃分為數(shù)據(jù)核心層、流量匯聚層和應(yīng)用接入層。（2）模塊化。將整個(gè)校園網(wǎng)進(jìn)行功能區(qū)域的劃分，按照不同功能實(shí)現(xiàn)劃分為不同的功能模塊，每個(gè)模塊完成各自的功能屬性。（3）安全性。校園網(wǎng)絡(luò)應(yīng)具備高效的安全控制機(jī)制。接入校園網(wǎng)絡(luò)的設(shè)備要進(jìn)行統(tǒng)一認(rèn)證，并按照接入用戶的身份，按照不同的權(quán)限進(jìn)行分區(qū)邏輯隔離；對核心業(yè)務(wù)則采取物理隔離的方式；對進(jìn)出校園網(wǎng)的流量要進(jìn)行識(shí)別、過濾，確保網(wǎng)絡(luò)安全。

2 無線網(wǎng)絡(luò)的組網(wǎng)架構(gòu)的選擇

無線網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)一般而言包含了兩大類的設(shè)計(jì)，也就是我們經(jīng)常看到的網(wǎng)絡(luò)工作模式的選擇，一是獨(dú)立工作模式，二是集中管理模式。這兩種通常被稱之為胖AP（FAT）和瘦AP（FIT）的工作模式的選擇決定著我們這個(gè)校園無線網(wǎng)絡(luò)的架設(shè)是否成功。對AP（FAT）和AP（FIT）兩個(gè)工作模式進(jìn)行分析，可以發(fā)現(xiàn)他們各有優(yōu)勢。對于FAT AP而言，它在小規(guī)模的無線網(wǎng)絡(luò)架構(gòu)中能夠發(fā)揮很好的作用實(shí)現(xiàn)快速組網(wǎng)的需求，并且效果非常明顯，能夠在很短的時(shí)間內(nèi)完成組網(wǎng)工作。對于自己網(wǎng)內(nèi)的AP可以進(jìn)行單獨(dú)配置，單獨(dú)設(shè)定IP來進(jìn)行控制，但是如果遇到規(guī)模較大的網(wǎng)絡(luò)的時(shí)候往往顯得捉襟見肘，費(fèi)時(shí)費(fèi)力，需要對整個(gè)網(wǎng)絡(luò)進(jìn)行調(diào)節(jié)，比如充分新分配和重新配置AP設(shè)備等。而對于校園網(wǎng)絡(luò)而言，為了增加管理效率，使網(wǎng)絡(luò)管理員能夠更好更高效的維護(hù)好校園網(wǎng)絡(luò)，我們選擇Fit AP模式來架構(gòu)整個(gè)校園無線網(wǎng)絡(luò)。通過Fit AP很好的無線網(wǎng)絡(luò)控制器來對整個(gè)網(wǎng)絡(luò)進(jìn)行集中控制，在保證網(wǎng)絡(luò)安全的同時(shí)，降低后期維護(hù)的成本，符合學(xué)校實(shí)際的工作需求。

3 校園無線網(wǎng)絡(luò)的整體規(guī)劃設(shè)計(jì)

3.1 無線網(wǎng)絡(luò)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)選擇

本次校園網(wǎng)絡(luò)的架設(shè)以現(xiàn)有有線網(wǎng)絡(luò)為基礎(chǔ)，不會(huì)破壞現(xiàn)有網(wǎng)絡(luò)的物理結(jié)構(gòu)，通過精巧的設(shè)計(jì)使得整個(gè)布線過程符合當(dāng)前學(xué)校網(wǎng)絡(luò)設(shè)計(jì)的要求，把有線網(wǎng)絡(luò)作為無線網(wǎng)絡(luò)布設(shè)的參照點(diǎn)，在安裝設(shè)施上面增加無線網(wǎng)絡(luò)的布設(shè)點(diǎn)。同時(shí)做到弱電井和有線網(wǎng)絡(luò)的共用，保證整個(gè)網(wǎng)絡(luò)外觀的一致性。在整個(gè)學(xué)校的無線網(wǎng)絡(luò)架設(shè)中，我們對于整個(gè)網(wǎng)絡(luò)進(jìn)行了劃分，利用現(xiàn)有有線網(wǎng)絡(luò)為骨干，整個(gè)方案采用了12座建筑物和6臺(tái)AC來進(jìn)行管理，控制器選擇的是WX5004型號(hào)的設(shè)備，以便對于整個(gè)網(wǎng)絡(luò)進(jìn)行分散式統(tǒng)一管理，具體的無線網(wǎng)絡(luò)布設(shè)網(wǎng)絡(luò)架構(gòu)圖，如圖1所示。

3.2無線網(wǎng)絡(luò)整體設(shè)計(jì)

針對學(xué)院自身特點(diǎn)和地形情況，我們決定整個(gè)校園網(wǎng)的無線網(wǎng)絡(luò)整體架設(shè)方案采用三層網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)來實(shí)現(xiàn)。下面我們來按照由用戶到設(shè)備的次序來具體討論，首先是無線用戶接入層，主要用來允許用戶的無線接入設(shè)備通過無線設(shè)備與Fit AP進(jìn)行連接，提供服務(wù)的設(shè)備分為室內(nèi)和室外兩種設(shè)備型號(hào)進(jìn)行選擇，室內(nèi)可以用WA2620設(shè)備，室外可以用同型號(hào)的室外專用大功率設(shè)備進(jìn)行無線網(wǎng)絡(luò)的無縫覆蓋方案，通過兩種方式的結(jié)合實(shí)現(xiàn)對于校園無線網(wǎng)絡(luò)的全面覆蓋。其次就是無線匯聚層，這里主要采用的是匯聚交換機(jī)來實(shí)現(xiàn)對于路由的匯聚功能，設(shè)備選擇無線控制器WX5004來做集中管理。然后通過本層無線與有線的結(jié)合，把無線設(shè)備連接進(jìn)入校園主干網(wǎng)絡(luò)中。第三層也就是核心層，即骨干網(wǎng)絡(luò)的管理，可以使用網(wǎng)絡(luò)管理軟件系統(tǒng)進(jìn)行統(tǒng)一管理，包括互聯(lián)網(wǎng)的聯(lián)通、計(jì)費(fèi)等功能。

通過以上三層的規(guī)劃，使得整個(gè)校園網(wǎng)絡(luò)的規(guī)劃更加合理，布局更加細(xì)膩，安全性更高，同時(shí)層次感也更強(qiáng)，管理起來更加方便。

參考文獻(xiàn)