企業(yè)局域網(wǎng)網(wǎng)絡(luò)方案設(shè)計

XXXXX學(xué)院《網(wǎng)絡(luò)工程設(shè)計與實行》課程-下學(xué)期期末項目（設(shè)計）中小型企業(yè)網(wǎng)絡(luò)方案設(shè)計二級學(xué)院信息工程專業(yè)計算機網(wǎng)絡(luò)技術(shù)年級級班級網(wǎng)絡(luò)技術(shù)4班學(xué)號0801010XXXXX姓名斷夢指導(dǎo)教師張學(xué)云綜合成績996月20日摘要信息化浪潮風(fēng)起云涌的今天，企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提高企業(yè)關(guān)鍵競爭力的關(guān)鍵原因。企業(yè)網(wǎng)已經(jīng)越來越多地被人們提到，運用網(wǎng)絡(luò)技術(shù)，現(xiàn)代企業(yè)可以在供應(yīng)商、客戶、合作伙伴、員工之間實現(xiàn)優(yōu)化的信息溝通。這直接關(guān)系到企業(yè)能否獲得關(guān)鍵的競爭優(yōu)勢。近年來越來越多的企業(yè)都在加緊構(gòu)建自身的信息網(wǎng)絡(luò)，而其中絕大多數(shù)都是中小企業(yè)。目前我國企業(yè)尤其是中小型企業(yè)網(wǎng)絡(luò)建設(shè)正在如火如荼的進行著，本文以中小型企業(yè)內(nèi)部局域網(wǎng)的組建需求、實際管理為出發(fā)點，從中小型企業(yè)局域網(wǎng)的管理需求和老式局域網(wǎng)技術(shù)入手，研究了局域網(wǎng)技術(shù)在企業(yè)管理中的應(yīng)用。

關(guān)鍵詞：中小企業(yè)；局域網(wǎng)；組網(wǎng)案例；網(wǎng)絡(luò)布局；網(wǎng)絡(luò)安全；封面 1引言 6第一章需求分析 7（一）、中小型企業(yè)網(wǎng)絡(luò)特點與規(guī)定 7第二章經(jīng)典中小企業(yè)組網(wǎng)實例 7（一）、案例描述 7（二）、硬件設(shè)備 7（三）、IP地址規(guī)劃 8（四）、網(wǎng)絡(luò)拓撲 8（五）、配置需求及處理方案 91.配置Router 92、配置Coreswitch 103、配置ACL 104、配置業(yè)務(wù)主機 11三網(wǎng)絡(luò)布局和綜合布線 13（一）、網(wǎng)絡(luò)布局的原則 131.實用性 132.全面性 133.可靠性 134.便于維護與升級 13（二）網(wǎng)絡(luò)布局的詳細實行規(guī)定 131.機房的規(guī)劃與設(shè)計 142.布線系統(tǒng)的規(guī)劃與設(shè)計 14（三）、網(wǎng)絡(luò)布局的規(guī)劃與設(shè)計 15第四章局域網(wǎng)的安全控制與病毒防治 16（一）局域網(wǎng)安全威脅分析 161.欺騙性的軟件使數(shù)據(jù)安全性減少 162.服務(wù)器區(qū)域沒有進行獨立防護 173.計算機病毒及惡意代碼的威脅 174.局域網(wǎng)顧客安全意識不強 175.IP地址沖突 17（二）局域網(wǎng)安全控制與病毒防治方略 181.加強人員的網(wǎng)絡(luò)安全培訓(xùn) 182.局域網(wǎng)安全控制方略 183.病毒防治 19結(jié)論 20參照文獻 21引言伴隨計算機及局域網(wǎng)絡(luò)應(yīng)用的不停深入，尤其是多種計算機應(yīng)用系統(tǒng)被相繼應(yīng)用在實際工作中，各企業(yè)、各單位同外界信息媒體之間的互相互換和共享的規(guī)定日益增長。需要使各單位互相間真正做到高效的信息互換、資源的共享，為各單位人員提供精確、可靠、快捷的多種生產(chǎn)數(shù)據(jù)和信息，充足發(fā)揮各單位既有的計算機設(shè)備的功能。為加強各企業(yè)內(nèi)各分區(qū)的業(yè)務(wù)和技術(shù)聯(lián)絡(luò)，提高工作效率，實現(xiàn)資源共享，減少運作及管理成本,企業(yè)有必要建立企業(yè)內(nèi)部局域網(wǎng)。局域網(wǎng)規(guī)定建設(shè)基于TCP/IP協(xié)議和WWW技術(shù)規(guī)范的企業(yè)內(nèi)部非公開的信息管理和互換平臺，該平臺以WEB為關(guān)鍵，集成WEB、文獻共享、信息資源管理等服務(wù)功能，實現(xiàn)企業(yè)員工在不一樣地區(qū)對內(nèi)部網(wǎng)的訪問。第一章需求分析（一）、中小型企業(yè)網(wǎng)絡(luò)特點與規(guī)定中小企業(yè)局域網(wǎng)一般規(guī)模較小，構(gòu)造相對簡樸，對性能的規(guī)定則因應(yīng)用的不一樣而差異較大。許多中小企業(yè)網(wǎng)絡(luò)技術(shù)人員較少，因而對網(wǎng)絡(luò)的依賴性很高，規(guī)定網(wǎng)絡(luò)盡量簡樸、可靠、易用，減少網(wǎng)絡(luò)的使用和維護成本、提高產(chǎn)品的性能價格比就顯得尤為重要。基于以上特點，應(yīng)遵照下列設(shè)計原則：1.把握好技術(shù)先進性與應(yīng)用簡易性之間的平衡。2.具有良好的升級擴展能力。3.具有較高的可靠性和安全性。4.產(chǎn)品功能與實際應(yīng)用需求相匹配。80%的中小企業(yè)顧客一般只用到局域網(wǎng)20%的功能。精簡功能設(shè)計的產(chǎn)品不僅可以在滿足大多數(shù)需求的狀況下有效減少成本，并且還可以提高系統(tǒng)的穩(wěn)定性和易維護性。5.盡量選擇成熟、原則化的技術(shù)和產(chǎn)品。恰當(dāng)運用以太網(wǎng)的不一樣原則和功能，以太網(wǎng)技術(shù)可以在雙絞線、多模光纖、單模光纖等介質(zhì)上傳播數(shù)據(jù)，可以非常簡樸地升級到百兆、千兆的速率，并且具有很高的穩(wěn)定性和可管理性。以太網(wǎng)提供了多種原則和功能。例如10Mbps、100Mbps、1000Mbps不一樣速率的原則，雙絞線、光纖等不一樣介質(zhì)的原則，以及網(wǎng)絡(luò)管理、流量控制、VLAN、優(yōu)先級、鏈路聚合等功能。（五）、配置需求及處理方案為了直觀以便，配置需求所有在配置命令中加以單點闡明，并且配置命令量大反復(fù)，這里只列出重點命令。1.配置Router接口：interfacefastethernet0/1ipaddress52duplexautospeedautoipnatinsidenoshutdowninterfacefastethernet0/2ipaddress1748duplexautospeedautoipnatoutsidenoshutdown路由：iproute17過載：ipnatinsidesourcelist110interfaceFastEthernet0/2overloadaccess-list110permitip55any2、配置CoreswitchVTP：VTPVersion:2ConfigurationRevision:7MaximumVLANssupportedlocally:1005NumberofexistingVLANs:9VTPOperatingMode:ServerVTPDomainName:OAVTPPruningMode:DisabledVTPV2Mode:EnabledVTPTrapsGeneration:EnabledVLAN：core-sw#vlandatabase進入vlan配置模式core-sw(vlan)#vtpdomainOA設(shè)置vtp管理域名稱OAcore-sw(vlan)#vtpserver設(shè)置互換機為服務(wù)器模式core-sw(vlan)#vlan10nameshichang創(chuàng)立VLAN10，為市場部core-sw(vlan)#vlan11namecaiwu創(chuàng)立VLAN10，為財務(wù)部core-sw(vlan)#vlan12namesheji創(chuàng)立VLAN12，為設(shè)計部core-sw(vlan)#vlan13namenetprinter創(chuàng)立VLAN13，為網(wǎng)絡(luò)打印機core-sw(vlan)#vlan20nameserver創(chuàng)立VLAN20，為服務(wù)器組core-sw(config)#interfacevlan10core-sw(config-if)#ipaddress54core-sw(config)#interfacevlan11core-sw(config-if)#ipaddress54core-sw(config)#interfacevlan12core-sw(config-if)#ipaddress54core-sw(config)#interfacevlan13core-sw(config-if)#ipaddress54core-sw(config)#interfacevlan20core-sw(config-if)#ipaddress54將接入層SW上的端口根據(jù)需要劃分至各個VLAN3、配置ACL配置ACL應(yīng)用在各個部門VLAN接口上，控制各部門互訪access-list10permit55access-list10permit55access-list10deny55access-list10permitany進入vlan10ipaccess-group10out把訪問控制列表10應(yīng)用于VLAN10OUT方向上，市場部內(nèi)部可以互訪，可以訪問服務(wù)器網(wǎng)段和網(wǎng)絡(luò)打印機網(wǎng)段，但不能訪問財務(wù)部和設(shè)計部所在網(wǎng)段。access-list11permit55access-list11permit55access-list11permit55access-list11deny55access-list11permitany進入vlan11ipaccess-group11out把訪問控制列表11應(yīng)用在VLAN11OUT方向上，財務(wù)部內(nèi)部可以互訪問，可以訪問服務(wù)器網(wǎng)段和網(wǎng)絡(luò)打印機網(wǎng)絡(luò)，可以訪問市場部網(wǎng)段，但不能訪問設(shè)計部網(wǎng)段。設(shè)計部VLAN12，網(wǎng)絡(luò)打印機VLAN13，服務(wù)器VLAN20可以訪問任意網(wǎng)段，應(yīng)用訪問控制列表access-list110在in的方向上，封掉常見病毒端口。access-list110denytcpanyanyeq1068access-list110denytcpanyanyeq2046access-list110denyudpanyanyeq2046access-list110denytcpanyanyeq4444access-list110denyudpanyanyeq4444access-list110denytcpanyanyeq1434access-list110denyudpanyanyeq1434access-list110denytcpanyanyeq5554access-list110denytcpanyanyeq9996access-list110denytcpanyanyeq6881access-list110denytcpanyanyeq6882access-list110denytcpanyanyeq16881access-list110denyudpanyanyeq5554access-list110denyudpanyanyeq9996access-list110denyudpanyanyeq6881access-list110denyudpanyanyeq6882access-list110denyudpanyanyeq16881access-list110permitipanyany可以根據(jù)實際需要將此ACL應(yīng)用于任一接口，或者添加某些屏蔽軟件的端口，到達管理內(nèi)部員工的目的，也可以用局域網(wǎng)內(nèi)部的管理軟件，愈加直接以便，并且易于操作。4、配置業(yè)務(wù)主機用IIS架設(shè)（IIS只合用于WindowNT//XP操作系統(tǒng)）。安裝：WindowXP默認安裝時不安裝IIS組件，需要手工添加安裝。進入控制面板，找到“添加／刪除程序”，打開后選擇“添加／刪除Window組件”，在彈出的“Window組件向?qū)А贝翱谥?，將“Internet信息服務(wù)（IIS）”項選中。在該選項前的“√”背景色是灰色的，這是由于WindowXP默認并不安裝FTP服務(wù)組件。再點擊右下角的“詳細信息”，在彈出的“Internet信息服務(wù)（IIS）”窗口中，找到“文獻傳播協(xié)議（FTP）服務(wù)”，選中后確定即可。安裝完后需要重啟。WindowNT／和WindowXP的安裝措施相似。設(shè)置：電腦重啟后，業(yè)務(wù)主機就開始運行了，但還要進行某些設(shè)置。點擊“開始→所有程序→管理工具→Internet信息服務(wù)”，進入“Internet信息服務(wù)”窗口后，找到“默認FTP站點”，右擊鼠標，在彈出的右鍵菜單中選擇“屬性”。在“屬性”中，我們可以設(shè)置業(yè)務(wù)主機的名稱、IP、端口、訪問賬戶、FTP目錄位置、顧客進入FTP時接受到的消息等。FTP站點基本信息：進入“FTP站點”選項卡，其中的“描述”選項為該FTP站點的名稱，用來稱呼你的服務(wù)器，這里設(shè)置名稱為“業(yè)務(wù)主機”；“IP地址”為服務(wù)器的IP，設(shè)置為；“TCP端口”一般仍設(shè)為默認的21端口；“連接”選項用來設(shè)置容許同步連接服務(wù)器的顧客最大連接數(shù)；“連接超時”用來設(shè)置一種等待時間，假如連接到服務(wù)器的顧客在線的時間超過等待時間而沒有任何操作，服務(wù)器就會自動斷開與該顧客的連接。設(shè)置賬戶及其權(quán)限：諸多FTP站點都規(guī)定顧客輸入顧客名和密碼才能登錄，這個顧客名和密碼就叫賬戶。不一樣顧客可使用相似的賬戶訪問站點，同一種站點可設(shè)置多種賬戶，每個賬戶可擁有不一樣的權(quán)限，如有的可以上傳和下載，而有的則只容許下載。安全設(shè)定：進入“安全賬戶”選項卡，有“容許匿名連接”和“僅容許匿名連接”兩項，默認為“容許匿名連接”，此時業(yè)務(wù)主機提供匿名登錄?！皟H容許匿名連接”是用來防止顧客使用有管理權(quán)限的賬戶進行訪問，選中后，雖然是Administrator（管理員）賬號也不能登錄，F(xiàn)TP只能通過服務(wù)器進行“當(dāng)?shù)卦L問”來管理。至于“FTP站點操作員”選項，是用來添加或刪除本業(yè)務(wù)主機具有一定權(quán)限的賬戶。ＩＩＳ與其他專業(yè)的業(yè)務(wù)主機軟件不一樣，它基于Window顧客賬號進行賬戶管理，自身并不能隨意設(shè)定業(yè)務(wù)主機容許訪問的賬戶，要添加或刪除容許訪問的賬戶，必須先在操作系統(tǒng)自帶的“管理工具”中的“計算機管理”中去設(shè)置Window顧客賬號，然后再通過“安全賬戶”選項卡中的“FTP站點操作員”選項添加或刪除。但對于Window和WindowXP專業(yè)版，系統(tǒng)并不提供“FTP站點操作員”賬戶添加與刪除功能，只提供Administrator一種管理賬號。設(shè)置顧客登錄目錄：最終設(shè)置FTP主目錄（即顧客登錄FTP后的初始位置），進入“主目錄”選項卡，在“當(dāng)?shù)赝緩健敝羞x擇好FTP站點的根目錄，并設(shè)置該目錄的讀取、寫入、目錄訪問權(quán)限。設(shè)置完畢后，業(yè)務(wù)主機就算建成了。三網(wǎng)絡(luò)布局和綜合布線企業(yè)組網(wǎng)，我們不僅要從企業(yè)自身的實際需求出發(fā)，根據(jù)組網(wǎng)經(jīng)費的多少來務(wù)實地規(guī)劃與設(shè)計網(wǎng)絡(luò)；在采購好網(wǎng)絡(luò)設(shè)備和服務(wù)器等設(shè)備后，怎樣對機房、辦公地點進行合理的網(wǎng)絡(luò)布局與布線，是致關(guān)重要的。網(wǎng)絡(luò)布局重要是指機房里的網(wǎng)絡(luò)設(shè)備、服務(wù)器等設(shè)備怎樣放置，它們又與網(wǎng)絡(luò)布線怎樣相處，總之網(wǎng)絡(luò)布局要考慮周全。（一）、網(wǎng)絡(luò)布局的原則1.實用性企業(yè)組建的局域網(wǎng)應(yīng)當(dāng)根據(jù)機房的大小、設(shè)備的多少來詳細實行，根據(jù)網(wǎng)絡(luò)布線的特點來發(fā)揮網(wǎng)絡(luò)布局實用性是非常重要的。2.全面性組網(wǎng)過程中，網(wǎng)絡(luò)、服務(wù)器等設(shè)備放置位置應(yīng)當(dāng)統(tǒng)籌兼顧，網(wǎng)絡(luò)布局要考慮周全，盡量讓多種設(shè)備和布線系統(tǒng)處在合理的位置。3.可靠性組網(wǎng)無論怎樣布局，最終的目的是保證我們的局域網(wǎng)的所有設(shè)備能可靠穩(wěn)定地運行，使得網(wǎng)絡(luò)能正常運轉(zhuǎn)。4.便于維護與升級網(wǎng)絡(luò)的組網(wǎng)不是一成不變的，伴隨IT企業(yè)業(yè)務(wù)的不停發(fā)展的需求，原先組建的局域網(wǎng)就需要不停地完善和擴充；在平常的網(wǎng)絡(luò)運行維護中，規(guī)劃網(wǎng)絡(luò)布局時就應(yīng)當(dāng)考慮到便于后來網(wǎng)絡(luò)的維護與升級操作。（二）網(wǎng)絡(luò)布局的詳細實行規(guī)定對于有線局域網(wǎng)來說，這是我們目前企業(yè)網(wǎng)絡(luò)建設(shè)中，常常會碰到的，需要對機房和辦公大樓進行布線。規(guī)劃網(wǎng)絡(luò)布局要考慮到機房的設(shè)備布局和布線系統(tǒng)的合理搭配。因此我們首先要規(guī)劃與設(shè)計好機房、布線系統(tǒng)，然后再全面地考慮網(wǎng)絡(luò)的布局。1.機房的規(guī)劃與設(shè)計為了保證網(wǎng)絡(luò)、計算機系統(tǒng)穩(wěn)定、安全、可靠地運行，以及保障機房工作人員有良好的工作環(huán)境，做到技術(shù)先進、經(jīng)濟合理、安全合用、保證質(zhì)量，符合國家有關(guān)的機房設(shè)計規(guī)定。(1)防靜電靜電不僅會對計算機運行出現(xiàn)隨機故障，并且還會導(dǎo)致某些元器件，雙級性電路等的擊穿和毀壞。此外，還會影響操作人員和維護人員的正常的工作和身心健康。(2)防火、防盜計算機房在設(shè)計時，重點要考慮機房的消防滅火設(shè)計。設(shè)計時可以根據(jù)消防防火級別來確定機房的設(shè)計方案，計算機房火災(zāi)報警規(guī)定在一樓設(shè)有值班室或監(jiān)控點。機房里應(yīng)注意防盜設(shè)施的安裝，詳細地可采用防盜門、防盜鎖、警衛(wèi)、自動報警系統(tǒng)等等。(3)防雷由于機房通信和供電電纜多從室外引入機房，易遭受雷電的侵襲，機房的建筑防雷設(shè)計尤其重要。計算機通信電纜的芯線，電話線均應(yīng)加裝避雷器。(4)保濕、保溫機房里的濕度應(yīng)保持在20%-80%為宜，機房的溫度應(yīng)保持在15℃-35℃攝氏度，安裝空調(diào)來調(diào)整溫度是處理此問題最佳的措施。2.布線系統(tǒng)的規(guī)劃與設(shè)計有了好的機房，網(wǎng)絡(luò)設(shè)備就有了好的“家”，組建的IT網(wǎng)絡(luò)應(yīng)當(dāng)通過布線系統(tǒng)將機房和辦公地點互聯(lián)起來，保證網(wǎng)絡(luò)的正常運行。假如企業(yè)的接入點較多，我們可以采用接入層、匯聚層、互換層三個網(wǎng)絡(luò)層次的設(shè)計，在此基礎(chǔ)上進行布線系統(tǒng)。對于接入層來說，選擇一種合理的接入設(shè)備，是最關(guān)鍵的，并且我們要根據(jù)接入設(shè)備選擇合適的帶寬。匯聚層是整個局域網(wǎng)的關(guān)鍵部分，匯聚層網(wǎng)絡(luò)設(shè)備一般支持網(wǎng)絡(luò)管理功能，以便我們的管理和維護，以便后來我們的網(wǎng)絡(luò)升級和改造。互換層是整個網(wǎng)絡(luò)中的中間層，連接著匯聚層和網(wǎng)絡(luò)節(jié)點，是決定我們整體網(wǎng)絡(luò)傳播質(zhì)量的很重要的一種環(huán)節(jié)。伴隨百兆網(wǎng)絡(luò)設(shè)備的普及，我們互換層的網(wǎng)絡(luò)設(shè)備，肯定首選百兆。布線是連接網(wǎng)絡(luò)接入層、匯聚層、互換層和網(wǎng)絡(luò)節(jié)點的重要環(huán)節(jié)。在布線時，最佳使用專門的通道，并且不要與電源線，空調(diào)線等具有輻射的線路混合布線。接入層與匯聚層之間的雙絞線，可以選擇超五類屏蔽雙絞線，以使網(wǎng)絡(luò)性能得到最大的提高。匯聚層與互換層之間的雙絞線，由于是網(wǎng)絡(luò)數(shù)據(jù)傳播量最大的一種層次，同樣采用超五類屏蔽雙絞線?；Q層與網(wǎng)絡(luò)節(jié)點之間，我們就可以采用一般的超五類非屏蔽雙絞線。網(wǎng)絡(luò)設(shè)備的放置，最佳放在節(jié)點的中央位置，這樣做，不是為了節(jié)省綜合布線的成本，而是為了提高網(wǎng)絡(luò)的整體性能，提高網(wǎng)絡(luò)傳播質(zhì)量。由于雙絞線的傳播距離是100米，在95米才能獲得最佳的網(wǎng)絡(luò)傳播質(zhì)量。在做網(wǎng)絡(luò)布線時，最佳可以設(shè)計一種設(shè)備間，放置網(wǎng)絡(luò)設(shè)備。（三）、網(wǎng)絡(luò)布局的規(guī)劃與設(shè)計目前的網(wǎng)絡(luò)設(shè)備大都采用機架式的構(gòu)造（多為扁平式，活像個抽屜），如互換機、路由器、硬件防火墻等。這些設(shè)備之因此有這樣一種構(gòu)造類型，是由于它們都按國際機柜原則進行設(shè)計，這樣大家的平面尺寸就基本統(tǒng)一，可把一起安裝在一種大型的立式原則機柜中。這樣做的好處非常明顯：首先可以使設(shè)備占用最小的空間，另首先則便于與其他網(wǎng)絡(luò)設(shè)備的連接和管理，同步機房內(nèi)也會顯得整潔、美觀。我們常常接觸到的放置機房里有網(wǎng)絡(luò)機柜、服務(wù)器機柜以及綜合布線柜，從這三個機柜的名字就可以看出它們各自所起的作用；一般來說，網(wǎng)絡(luò)設(shè)備如互換機、路由器、防火墻、加密機等以及網(wǎng)絡(luò)通信設(shè)備如光端機、調(diào)制解調(diào)器等是放置在網(wǎng)絡(luò)機柜的；服務(wù)器機柜的寬度為19英寸，高度以U為單位（1U=1.75英寸=44.45毫米），一般有1U，2U，3U，4U幾種原則的服務(wù)器。機柜的尺寸也是采用通用的工業(yè)原則，一般從22U到42U不等；機柜內(nèi)按U的高度有可拆卸的滑動拖架，顧客可以根據(jù)自己服務(wù)器的標高靈活調(diào)整高度，以寄存服務(wù)器、集線器、磁盤陣列柜等設(shè)備。服務(wù)器擺放好后，它的所有I/O線所有從機柜的后方引出（機架服務(wù)器的所有接口也在后方），統(tǒng)一安頓在機柜的線槽中，一般貼有標號，便于管理。綜合布線柜一般配有前后可移動的安裝立柱，自由設(shè)定安裝空間，可按需要配置隔板、風(fēng)扇、電源插座等附件。配線架一般安裝在機柜里，配線架的一面是RJ45口，并標有編號；另一面是跳線接口，上面也標有編號，這些編號和上面的RJ45口的編號是一一對應(yīng)的。每一組跳線都標識有棕、藍、橙、綠的顏色，雙絞線的色線要和這些跳線一一對應(yīng)，這樣做不輕易接錯。配線架不僅僅是便于管理線對，并且可以防止串?dāng)_，增長線對的隔離空間，提供360度的線對隔離。在機房中，必須放置互換機、功能服務(wù)器群和網(wǎng)絡(luò)打印設(shè)備，以及局域網(wǎng)絡(luò)連接Internet所需的多種設(shè)備，如路由器、防火墻以及網(wǎng)管工作站等；因此機房的網(wǎng)絡(luò)布局一般至少有三個機柜，綜合布線柜和網(wǎng)絡(luò)機柜應(yīng)當(dāng)緊連在一起，便于調(diào)線操作，接下來是服務(wù)器機柜；將網(wǎng)絡(luò)設(shè)備和布線系統(tǒng)進行合理的布局。在網(wǎng)絡(luò)布局中，每個機柜最佳留點空間，便于后來網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備的擴充，綜合布線柜里有也許除了網(wǎng)絡(luò)布線外，尚有能布置電話線，因此要在機柜里留下一定空間。從機柜內(nèi)部線纜附設(shè)的角度看，機柜配置密度更高，容納的IT設(shè)備更多，大量采用冗余配件(如冗余電源、存儲陣列等)，機柜內(nèi)設(shè)備配置頻繁變換，數(shù)據(jù)線和電纜隨時增減。因此，機柜必須提供充足的線纜通道，能從機柜頂部、底部進出線纜。在機柜內(nèi)部，線纜的敷設(shè)必須以便、有序，與設(shè)備的線纜接口靠近，以縮短布線距離；減少線纜的空間占用，保證設(shè)備安裝、調(diào)整、維護過程中，不受到布線的干擾，并保證散熱氣流不會受到線纜的阻擋；同步，在故障狀況下，能對設(shè)備布線進行迅速定位。供電系統(tǒng)和制冷系統(tǒng)是計算機機房的兩個重要部分。在供電系統(tǒng)中，一般采用在線的UPS供電方式，蓄電池實際可供使用的容量與蓄電池的放電電流大小、蓄電池的環(huán)境工作溫度、貯存時間的長短以及負載的性質(zhì)（電阻性、電感性、電容性）親密有關(guān)。制冷系統(tǒng)（空調(diào)）波及到機房的整個物理環(huán)境，包括空調(diào)、地板、機柜及房間布局等諸多方面；因此UPS和空調(diào)我們也要考慮好將它們放置在一種合適的位置。假如機房空間較大，可以將UPS和空調(diào)都放在機房里；假如空間較小，可以把UPS（包括蓄電池）放在配電房里。需要注意的是假如大樓里安裝有“中央空調(diào)”的話，機房里也必須安裝獨立的空調(diào)，由于中央空調(diào)不也許24小時都開著，上班的時間可以運用中央空調(diào)，下班和星期節(jié)假日的時候，假如服務(wù)器、網(wǎng)絡(luò)設(shè)備需要正常運行的話，則必須要開機房里的獨立空調(diào)。機柜的擴展性表目前機柜內(nèi)設(shè)備密度的擴展和機柜數(shù)量的擴展，因此網(wǎng)絡(luò)布局時必須將機柜的配風(fēng)能力（一般稱為散熱能力）以及配電能力考慮在內(nèi)。首先，機柜內(nèi)的設(shè)備需要溫度、濕度合適并且風(fēng)量充足的冷風(fēng)（冷空氣）。這些冷風(fēng)被機柜內(nèi)的IT設(shè)備吸入，從而為設(shè)備內(nèi)的部件（尤其是CPU）降溫。當(dāng)機柜內(nèi)設(shè)備增長到一定數(shù)量時，由地板出風(fēng)口送出的冷風(fēng)風(fēng)量將不能滿足所有設(shè)備的需求，從而形成部分IT設(shè)備配風(fēng)局限性而過熱。處理機柜內(nèi)設(shè)備密度擴展時碰到的這種局部熱點問題可以采用調(diào)配IT設(shè)備位置的方式來處理。例如，把熱負荷最大的設(shè)備安裝在機柜中部位置，以便獲得最大的配風(fēng)風(fēng)量。此外的處理措施是，在機柜的上部或下部位置安裝軸向水平的強排風(fēng)扇，增強上部或下部的吸入能力（即減小IT設(shè)備的入口靜壓），從而增長配風(fēng)風(fēng)量。另首先，機柜內(nèi)的設(shè)備需要供電以及與機柜外部進行通信。當(dāng)機柜內(nèi)的IT設(shè)備數(shù)量增長時，這些線纜、連接端子同步成倍地增長，從而對機架式電源排插的容量、插口數(shù)量都提出了擴展規(guī)定。機柜內(nèi)的布線空間也是需要提前考慮的，由于當(dāng)機柜內(nèi)的功率密度提高時，設(shè)備后部的線纜將明顯增長風(fēng)阻，因此必須考慮線纜管理及走線空間的問題。第四章局域網(wǎng)的安全控制與病毒防治（一）局域網(wǎng)安全威脅分析局域網(wǎng)由于通過互換機和服務(wù)器連接網(wǎng)內(nèi)每一臺電腦，因此局域網(wǎng)內(nèi)信息的傳播速率比較高，同步局域網(wǎng)采用的技術(shù)比較簡樸，安全措施較少，同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡(luò)安全威脅一般有如下幾類：1.欺騙性的軟件使數(shù)據(jù)安全性減少由于局域網(wǎng)很大的一部分用處是資源共享，而正是由于共享資源的“數(shù)據(jù)開放性”，導(dǎo)致數(shù)據(jù)信息輕易被篡改和刪除，數(shù)據(jù)安全性較低。例如“網(wǎng)絡(luò)釣魚襲擊”，釣魚工具是通過大量發(fā)送聲稱來自于某些著名機構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息：如顧客名、口令、賬號ID、ATMPIN碼或信用卡詳細信息等的一種襲擊方式。最常用的手法是冒充某些真正的網(wǎng)站來騙取顧客的敏感的數(shù)據(jù)。以往此類襲擊的冒名的多是大型或著名的網(wǎng)站，但由于大型網(wǎng)站反應(yīng)比較迅速，并且所提供的安全功能不停增強，網(wǎng)絡(luò)釣魚已越來越多地把目光對準了較小的網(wǎng)站。同步由于顧客缺乏數(shù)據(jù)備份等數(shù)據(jù)安全面的知識和手段，因此會導(dǎo)致常常性的信息丟失等現(xiàn)象發(fā)生。2.服務(wù)器區(qū)域沒有進行獨立防護局域網(wǎng)內(nèi)計算機的數(shù)據(jù)迅速、便捷的傳遞，造就了病毒感染的直接性和迅速性，假如局域網(wǎng)中服務(wù)器區(qū)域不進行獨立保護，其中一臺電腦感染病毒，并且通過服務(wù)器進行信息傳遞，就會感染服務(wù)器，這樣局域網(wǎng)中任何一臺通過服務(wù)器信息傳遞的電腦，就有也許會感染病毒。雖然在網(wǎng)絡(luò)出口有防火墻阻斷對外來襲擊，但無法抵擋來自局域網(wǎng)內(nèi)部的襲擊3.計算機病毒及惡意代碼的威脅由于網(wǎng)絡(luò)顧客不及時安裝防病毒軟件和操作系統(tǒng)補丁，或未及時更新防病毒軟件的病毒庫而導(dǎo)致計算機病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的襲擊，正是運用了顧客的這個弱點。寄生軟件可以修改磁盤上既有的軟件，在自己寄生的文獻中注入新的代碼。近來幾年，伴隨犯罪軟件（crimeware）洶涌而至，寄生軟件已退居幕后，成為犯罪軟件的助手。，兩種軟件的結(jié)合推進舊有寄生軟件變種增長3倍之多。，估計犯罪軟件小區(qū)對寄生軟件的愛好將繼續(xù)增長，寄生軟件的總量估計將增長20%。4.局域網(wǎng)顧客安全意識不強許多顧客使用移動存儲設(shè)備來進行數(shù)據(jù)的傳遞，常常將外部數(shù)據(jù)不通過必要的安全檢查通過移動存儲設(shè)備帶入內(nèi)部局域網(wǎng)，同步將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲等病毒的進入提供了以便同步增長了數(shù)據(jù)泄密的也許性。此外一機兩用甚至多用狀況普遍，筆記本電腦在內(nèi)外網(wǎng)之間平凡切換使用，許多顧客將在Internet網(wǎng)上使用過的筆記本電腦在未經(jīng)許可的狀況下私自接入內(nèi)部局域網(wǎng)絡(luò)使用，導(dǎo)致病毒的傳入和信息的泄密。5.IP地址沖突局域網(wǎng)顧客在同一種網(wǎng)段內(nèi)，常常導(dǎo)致IP地址沖突，導(dǎo)致部分計算機無法上網(wǎng)。對于局域網(wǎng)來講，此類IP地址沖突的問題會常常出現(xiàn)，顧客規(guī)模越大，查找工作就越困難，因此網(wǎng)絡(luò)管理員必須加以處理。正是由于局域網(wǎng)內(nèi)應(yīng)用上這些獨特的特點，導(dǎo)致局域網(wǎng)內(nèi)的病毒迅速傳遞，數(shù)據(jù)安全性低，網(wǎng)內(nèi)電腦互相感染，病毒屢殺不盡，數(shù)據(jù)常常丟失。（二）局域網(wǎng)安全控制與病毒防治方略1.加強人員的網(wǎng)絡(luò)安全培訓(xùn)安全是個過程，它是一種匯集了硬件、軟件、網(wǎng)絡(luò)、人員以及他們之間互有關(guān)系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務(wù)角度看，重要波及管理、技術(shù)和應(yīng)用三個層面。要保證信息安全工作的順利進行，必須重視把每個環(huán)節(jié)貫徹到每個層次上，而進行這種詳細操作的是人，人正是網(wǎng)絡(luò)安全中最微弱的環(huán)節(jié)，然而這個環(huán)節(jié)的加固又是見效最快的。因此必須加強對使用網(wǎng)絡(luò)的人員的管理，注意管理方式和實現(xiàn)措施。從而加強工作人員的安全培訓(xùn)。增強內(nèi)部人員的安全防備意識，提高內(nèi)部管理人員整體素質(zhì)。同步要加強法制建設(shè)，深入完善有關(guān)網(wǎng)絡(luò)安全的法律，以便更有利地打擊不法分子。對局域網(wǎng)內(nèi)部人員，從下面幾方面進行培訓(xùn)：(1)加強安全意識培訓(xùn)，讓每個工作人員明白數(shù)據(jù)信息安全的重要性，理解保證數(shù)據(jù)信息安全是所有計算機使用者共同的責(zé)任。(2)加強安全知識培訓(xùn)，使每個計算機使用者掌握一定的安全知識，至少可以掌握怎樣備份當(dāng)?shù)氐臄?shù)據(jù)，保證當(dāng)?shù)財?shù)據(jù)信息的安全可靠。(3)加強網(wǎng)絡(luò)知識培訓(xùn)，通過培訓(xùn)掌握一定的網(wǎng)絡(luò)知識，可以掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識，樹立良好的計算機使用習(xí)慣。2.局域網(wǎng)安全控制方略安全管理保護網(wǎng)絡(luò)顧客資源與設(shè)備以及網(wǎng)絡(luò)管理系統(tǒng)自身不被未經(jīng)授權(quán)的顧客訪問。目前網(wǎng)絡(luò)管理工作量最大的部分是客戶端安所有分，對網(wǎng)絡(luò)的安全運行威脅最大的也同樣是客戶端安全管理。只有處理網(wǎng)絡(luò)內(nèi)部的安全問題，才可以排除網(wǎng)絡(luò)中最大的安全隱患，對于內(nèi)部網(wǎng)絡(luò)終端安全管理重要從終端狀態(tài)、行為、事件三個方面進行防御。運用既有的安全管理軟件加強對以上三個方面的管理是目前處理局域網(wǎng)安全的關(guān)鍵所在。(1)運用桌面管理系統(tǒng)控制顧客入網(wǎng)。入網(wǎng)訪問控制是保證網(wǎng)絡(luò)資源不被非法使用，是網(wǎng)絡(luò)安全防備和保護的重要方略。它為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些顧客可以登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制顧客入網(wǎng)的時間和在哪臺工作站入網(wǎng)。顧客和顧客組被賦予一定的權(quán)限，網(wǎng)絡(luò)控制顧客和顧客組可以訪問的目錄、文獻和其他資源，可以指定顧客對這些文獻、目錄、設(shè)備可以執(zhí)行的操作。啟用密碼方略，強制計算機顧客設(shè)置符合安全規(guī)定的密碼，包括設(shè)置口令鎖定服務(wù)器控制臺，以防止非法顧客修改。設(shè)定服務(wù)器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數(shù)據(jù)，提高系統(tǒng)安全行，對密碼不符合規(guī)定的計算機在多次警告后阻斷其連網(wǎng)。(2)采用防火墻技術(shù)。防火墻技術(shù)是一般安裝在單獨的計算機上，與網(wǎng)絡(luò)的其他部分隔開，它使內(nèi)部網(wǎng)絡(luò)與Internet之間或與其他外部網(wǎng)絡(luò)互相隔離，限制網(wǎng)絡(luò)互訪，用來保護內(nèi)部網(wǎng)絡(luò)資源免遭非法使用者的侵入，執(zhí)行安全管制措施，記錄所有可疑事件。它是在兩個網(wǎng)絡(luò)之間實行控制方略的系統(tǒng)，是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)。采用防火墻技術(shù)發(fā)現(xiàn)及封阻應(yīng)用襲擊所采用的技術(shù)有：（1）深度數(shù)據(jù)包處理。深度數(shù)據(jù)包處理在一種數(shù)據(jù)流當(dāng)中有多種數(shù)據(jù)包，在尋找襲擊異常行為的同步，保持整個數(shù)據(jù)流的狀態(tài)。深度數(shù)據(jù)包處理規(guī)定以極高的速度分析、檢測及重新組裝應(yīng)用流量，以防止應(yīng)用時帶來時延。（2）IP/URL過濾。一旦應(yīng)用流量是明文格式，就必須檢測HTTP祈求的URL部分，尋找惡意襲擊的跡象，這就需要一種方案不僅能檢查RUL，還能檢查祈求的其他部分。其實，假如把應(yīng)用響應(yīng)考慮進來，可以大大提高檢測襲擊的精確性。雖然URL過濾是一項重要的操作，可以制止一般的腳本類型的襲擊。（3）TCP/IP終止。應(yīng)用層襲擊波及多種數(shù)據(jù)包，并且常常波及不一樣的數(shù)據(jù)流。流量分析系統(tǒng)要發(fā)揮功能，就必須在顧客與應(yīng)用保持互動的整個會話期間，可以檢測數(shù)據(jù)包和祈求，以尋找襲擊行為。至少，這需要可以終止傳播層協(xié)議，并且在整個數(shù)據(jù)流而不是僅僅在單個數(shù)據(jù)包中尋找惡意模式。系統(tǒng)中存著某些訪問網(wǎng)絡(luò)的木馬、病毒等IP地址，檢查訪問的IP地址或者端口與否合法，有效的TCP/IP終止，并有效地扼殺木馬。時等。（4）訪問網(wǎng)絡(luò)進程跟蹤。訪問網(wǎng)絡(luò)進程跟蹤。這是防火墻技術(shù)的最基本部分，判斷進程訪問網(wǎng)絡(luò)的合法性，進行有效攔截。這項功