中小型企業(yè)網(wǎng)絡(luò)方案設(shè)計(jì)

第一章需求分析（一）、中小型企業(yè)網(wǎng)絡(luò)特點(diǎn)與規(guī)定中小企業(yè)局域網(wǎng)一般規(guī)模較小，構(gòu)造相對(duì)簡(jiǎn)樸，對(duì)性能的規(guī)定則因應(yīng)用的不一樣而差異較大。許多中小企業(yè)網(wǎng)絡(luò)技術(shù)人員較少，因而對(duì)網(wǎng)絡(luò)的依賴性很高，規(guī)定網(wǎng)絡(luò)盡量簡(jiǎn)樸、可靠、易用，減少網(wǎng)絡(luò)的使用和維護(hù)成本、提高產(chǎn)品的性能價(jià)格比就顯得尤為重要。基于以上特點(diǎn)，應(yīng)遵照下列設(shè)計(jì)原則：1.把握好技術(shù)先進(jìn)性與應(yīng)用簡(jiǎn)易性之間的平衡。2.具有良好的升級(jí)擴(kuò)展能力。3.具有較高的可靠性和安全性。4.產(chǎn)品功能與實(shí)際應(yīng)用需求相匹配。80%的中小企業(yè)顧客一般只用到局域網(wǎng)20%的功能。精簡(jiǎn)功能設(shè)計(jì)的產(chǎn)品不僅可以在滿足大多數(shù)需求的狀況下有效減少成本，并且還可以提高系統(tǒng)的穩(wěn)定性和易維護(hù)性。5.盡量選擇成熟、原則化的技術(shù)和產(chǎn)品。恰當(dāng)運(yùn)用以太網(wǎng)的不一樣原則和功能，以太網(wǎng)技術(shù)可以在雙絞線、多模光纖、單模光纖等介質(zhì)上傳播數(shù)據(jù)，可以非常簡(jiǎn)樸地升級(jí)到百兆、千兆的速率，并且具有很高的穩(wěn)定性和可管理性。以太網(wǎng)提供了多種原則和功能。例如10Mbps、100Mbps、1000Mbps不一樣速率的原則，雙絞線、光纖等不一樣介質(zhì)的原則，以及網(wǎng)絡(luò)管理、流量控制、VLAN、優(yōu)先級(jí)、鏈路聚合等功能。第二章經(jīng)典中小企業(yè)組網(wǎng)實(shí)例（一）、案例描述經(jīng)典中小企業(yè)組網(wǎng)實(shí)例，申請(qǐng)一種公網(wǎng)IP和10M帶寬，單臺(tái)路由器，WEB服務(wù)器，通訊機(jī)，業(yè)務(wù)主機(jī)等，客戶端辦公電腦100臺(tái)左右，多部門(mén)劃分VLAN，用ACL控制各部門(mén)訪問(wèn)權(quán)限，配置網(wǎng)絡(luò)打印機(jī)。（二）、硬件設(shè)備詳見(jiàn)excel表《設(shè)備配置清單》序號(hào) 設(shè)備名稱 規(guī)格 單位 數(shù)量 單價(jià)（元） 合價(jià)（元）1 互換機(jī) Cisco4503Cisco2960-48t 臺(tái)臺(tái) 12 74009300 260002 路由器 Cisco2821 臺(tái) 1 14500 145003 防火墻 NokiaIP355 臺(tái) 1 34500 34500… … …CiscoCatalyst4500系列可認(rèn)為無(wú)阻礙的第2/3/4層互換提供集成式彈性，因而能深入加強(qiáng)對(duì)融合網(wǎng)絡(luò)的控制?？捎眯愿叩娜诤险Z(yǔ)音/視頻/數(shù)據(jù)網(wǎng)絡(luò)可認(rèn)為正在布署基于互聯(lián)網(wǎng)企業(yè)應(yīng)用的企業(yè)和城域以太網(wǎng)客戶提供業(yè)務(wù)彈性。4500系列中提供的集成式彈性增強(qiáng)包括1＋1超級(jí)引擎冗余、集成式IP電話電源、基于軟件的容錯(cuò)以及1+1電源冗余。硬件和軟件中的集成式冗余性可以縮短停機(jī)時(shí)間，從而提高生產(chǎn)率、利潤(rùn)率和客戶成功率。是用于企業(yè)企業(yè)網(wǎng)絡(luò)互換機(jī)群關(guān)鍵層高性價(jià)比的一系列。CiscoWS-C2960-48T擁有大數(shù)量的接口，全智能自動(dòng)全雙工半雙工識(shí)別，具有用于接入層互換機(jī)的良好優(yōu)勢(shì)。可以迅速轉(zhuǎn)發(fā)顧客的數(shù)據(jù)。Cisco2821是一臺(tái)多業(yè)務(wù)路由器，比較適合中小型企業(yè)的需求與應(yīng)用。NokiaIP355是一款應(yīng)用于中小型企業(yè)的防火墻產(chǎn)品，可以進(jìn)行SNMP,Telnet,FTP,SSHv2(安全Telnet&FTP),HTTP服務(wù)器RFC2068,SSL/TLSRFC2246,命令行運(yùn)用的管理和對(duì)流量的過(guò)濾，對(duì)于中小型的安全問(wèn)題防護(hù)性能比較良好。（三）、IP地址規(guī)劃部門(mén) IP地址公網(wǎng)地址 17路由器內(nèi)部IP /30關(guān)鍵互換外部IP /30Web服務(wù)器 /24業(yè)務(wù)主機(jī) /24通訊機(jī) /24網(wǎng)絡(luò)打印機(jī) /24財(cái)務(wù)部 /24設(shè)計(jì)部 /24市場(chǎng)部 /24（四）、網(wǎng)絡(luò)拓?fù)洌ㄎ澹?、配置需求及處理方案為了直觀以便，配置需求所有在配置命令中加以單點(diǎn)闡明，并且配置命令量大反復(fù)，這里只列出重點(diǎn)命令。1.配置Router接口：interfacefastethernet0/1ipaddress52duplexautospeedautoipnatinsidenoshutdowninterfacefastethernet0/2ipaddress1748duplexautospeedautoipnatoutsidenoshutdown路由：iproute17過(guò)載：ipnatinsidesourcelist110interfaceFastEthernet0/2overloadaccess-list110permitip55any2、配置CoreswitchVTP：VTPVersion:2ConfigurationRevision:7MaximumVLANssupportedlocally:1005NumberofexistingVLANs:9VTPOperatingMode:ServerVTPDomainName:OAVTPPruningMode:DisabledVTPV2Mode:EnabledVTPTrapsGeneration:EnabledVLAN：core-sw#vlandatabase進(jìn)入vlan配置模式core-sw(vlan)#vtpdomainOA設(shè)置vtp管理域名稱OAcore-sw(vlan)#vtpserver設(shè)置互換機(jī)為服務(wù)器模式core-sw(vlan)#vlan10nameshichang創(chuàng)立VLAN10，為市場(chǎng)部core-sw(vlan)#vlan11namecaiwu創(chuàng)立VLAN10，為財(cái)務(wù)部core-sw(vlan)#vlan12namesheji創(chuàng)立VLAN12，為設(shè)計(jì)部core-sw(vlan)#vlan13namenetprinter創(chuàng)立VLAN13，為網(wǎng)絡(luò)打印機(jī)core-sw(vlan)#vlan20nameserver創(chuàng)立VLAN20，為服務(wù)器組core-sw(config)#interfacevlan10core-sw(config-if)#ipaddress54core-sw(config)#interfacevlan11core-sw(config-if)#ipaddress54core-sw(config)#interfacevlan12core-sw(config-if)#ipaddress54core-sw(config)#interfacevlan13core-sw(config-if)#ipaddress54core-sw(config)#interfacevlan20core-sw(config-if)#ipaddress54將接入層SW上的端口根據(jù)需要?jiǎng)澐种粮鱾€(gè)VLAN3、配置ACL配置ACL應(yīng)用在各個(gè)部門(mén)VLAN接口上，控制各部門(mén)互訪access-list10permit55access-list10permit55access-list10deny55access-list10permitany進(jìn)入vlan10ipaccess-group10out把訪問(wèn)控制列表10應(yīng)用于VLAN10OUT方向上，市場(chǎng)部?jī)?nèi)部可以互訪，可以訪問(wèn)服務(wù)器網(wǎng)段和網(wǎng)絡(luò)打印機(jī)網(wǎng)段，但不能訪問(wèn)財(cái)務(wù)部和設(shè)計(jì)部所在網(wǎng)段。access-list11permit55access-list11permit55access-list11permit55access-list11deny55access-list11permitany進(jìn)入vlan11ipaccess-group11out把訪問(wèn)控制列表11應(yīng)用在VLAN11OUT方向上，財(cái)務(wù)部?jī)?nèi)部可以互訪問(wèn)，可以訪問(wèn)服務(wù)器網(wǎng)段和網(wǎng)絡(luò)打印機(jī)網(wǎng)絡(luò)，可以訪問(wèn)市場(chǎng)部網(wǎng)段，但不能訪問(wèn)設(shè)計(jì)部網(wǎng)段。設(shè)計(jì)部VLAN12，網(wǎng)絡(luò)打印機(jī)VLAN13，服務(wù)器VLAN20可以訪問(wèn)任意網(wǎng)段，應(yīng)用訪問(wèn)控制列表access-list110在in的方向上，封掉常見(jiàn)病毒端口。access-list110denytcpanyanyeq1068access-list110denytcpanyanyeq2046access-list110denyudpanyanyeq2046access-list110denytcpanyanyeq4444access-list110denyudpanyanyeq4444access-list110denytcpanyanyeq1434access-list110denyudpanyanyeq1434access-list110denytcpanyanyeq5554access-list110denytcpanyanyeq9996access-list110denytcpanyanyeq6881access-list110denytcpanyanyeq6882access-list110denytcpanyanyeq16881access-list110denyudpanyanyeq5554access-list110denyudpanyanyeq9996access-list110denyudpanyanyeq6881access-list110denyudpanyanyeq6882access-list110denyudpanyanyeq16881access-list110permitipanyany可以根據(jù)實(shí)際需要將此ACL應(yīng)用于任一接口，或者添加某些屏蔽軟件的端口，到達(dá)管理內(nèi)部員工的目的，也可以用局域網(wǎng)內(nèi)部的管理軟件，愈加直接以便，并且易于操作。4、配置業(yè)務(wù)主機(jī)用IIS架設(shè)（IIS只合用于WindowNT//XP操作系統(tǒng)）。安裝：WindowXP默認(rèn)安裝時(shí)不安裝IIS組件，需要手工添加安裝。進(jìn)入控制面板，找到“添加／刪除程序”，打開(kāi)后選擇“添加／刪除Window組件”，在彈出的“Window組件向?qū)А贝翱谥?，將“Internet信息服務(wù)（IIS）”項(xiàng)選中。在該選項(xiàng)前的“√”背景色是灰色的，這是由于WindowXP默認(rèn)并不安裝FTP服務(wù)組件。再點(diǎn)擊右下角的“詳細(xì)信息”，在彈出的“Internet信息服務(wù)（IIS）”窗口中，找到“文獻(xiàn)傳播協(xié)議（FTP）服務(wù)”，選中后確定即可。安裝完后需要重啟。WindowNT／和WindowXP的安裝措施相似。設(shè)置：電腦重啟后，業(yè)務(wù)主機(jī)就開(kāi)始運(yùn)行了，但還要進(jìn)行某些設(shè)置。點(diǎn)擊“開(kāi)始→所有程序→管理工具→Internet信息服務(wù)”，進(jìn)入“Internet信息服務(wù)”窗口后，找到“默認(rèn)FTP站點(diǎn)”，右擊鼠標(biāo)，在彈出的右鍵菜單中選擇“屬性”。在“屬性”中，我們可以設(shè)置業(yè)務(wù)主機(jī)的名稱、IP、端口、訪問(wèn)賬戶、FTP目錄位置、顧客進(jìn)入FTP時(shí)接受到的消息等。FTP站點(diǎn)基本信息：進(jìn)入“FTP站點(diǎn)”選項(xiàng)卡，其中的“描述”選項(xiàng)為該FTP站點(diǎn)的名稱，用來(lái)稱呼你的服務(wù)器，這里設(shè)置名稱為“業(yè)務(wù)主機(jī)”；“IP地址”為服務(wù)器的IP，設(shè)置為；“TCP端口”一般仍設(shè)為默認(rèn)的21端口；“連接”選項(xiàng)用來(lái)設(shè)置容許同步連接服務(wù)器的顧客最大連接數(shù)；“連接超時(shí)”用來(lái)設(shè)置一種等待時(shí)間，假如連接到服務(wù)器的顧客在線的時(shí)間超過(guò)等待時(shí)間而沒(méi)有任何操作，服務(wù)器就會(huì)自動(dòng)斷開(kāi)與該顧客的連接。設(shè)置賬戶及其權(quán)限：諸多FTP站點(diǎn)都規(guī)定顧客輸入顧客名和密碼才能登錄，這個(gè)顧客名和密碼就叫賬戶。不一樣顧客可使用相似的賬戶訪問(wèn)站點(diǎn)，同一種站點(diǎn)可設(shè)置多種賬戶，每個(gè)賬戶可擁有不一樣的權(quán)限，如有的可以上傳和下載，而有的則只容許下載。安全設(shè)定：進(jìn)入“安全賬戶”選項(xiàng)卡，有“容許匿名連接”和“僅容許匿名連接”兩項(xiàng)，默認(rèn)為“容許匿名連接”，此時(shí)業(yè)務(wù)主機(jī)提供匿名登錄?！皟H容許匿名連接”是用來(lái)防止顧客使用有管理權(quán)限的賬戶進(jìn)行訪問(wèn)，選中后，雖然是Administrator（管理員）賬號(hào)也不能登錄，F(xiàn)TP只能通過(guò)服務(wù)器進(jìn)行“當(dāng)?shù)卦L問(wèn)”來(lái)管理。至于“FTP站點(diǎn)操作員”選項(xiàng)，是用來(lái)添加或刪除本業(yè)務(wù)主機(jī)具有一定權(quán)限的賬戶。ＩＩＳ與其他專業(yè)的業(yè)務(wù)主機(jī)軟件不一樣，它基于Window顧客賬號(hào)進(jìn)行賬戶管理，自身并不能隨意設(shè)定業(yè)務(wù)主機(jī)容許訪問(wèn)的賬戶，要添加或刪除容許訪問(wèn)的賬戶，必須先在操作系統(tǒng)自帶的“管理工具”中的“計(jì)算機(jī)管理”中去設(shè)置Window顧客賬號(hào)，然后再通過(guò)“安全賬戶”選項(xiàng)卡中的“FTP站點(diǎn)操作員”選項(xiàng)添加或刪除。但對(duì)于Window和WindowXP專業(yè)版，系統(tǒng)并不提供“FTP站點(diǎn)操作員”賬戶添加與刪除功能，只提供Administrator一種管理賬號(hào)。設(shè)置顧客登錄目錄：最終設(shè)置FTP主目錄（即顧客登錄FTP后的初始位置），進(jìn)入“主目錄”選項(xiàng)卡，在“當(dāng)?shù)赝緩健敝羞x擇好FTP站點(diǎn)的根目錄，并設(shè)置該目錄的讀取、寫(xiě)入、目錄訪問(wèn)權(quán)限。設(shè)置完畢后，業(yè)務(wù)主機(jī)就算建成了。三網(wǎng)絡(luò)布局和綜合布線企業(yè)組網(wǎng)，我們不僅要從企業(yè)自身的實(shí)際需求出發(fā)，根據(jù)組網(wǎng)經(jīng)費(fèi)的多少來(lái)務(wù)實(shí)地規(guī)劃與設(shè)計(jì)網(wǎng)絡(luò)；在采購(gòu)好網(wǎng)絡(luò)設(shè)備和服務(wù)器等設(shè)備后，怎樣對(duì)機(jī)房、辦公地點(diǎn)進(jìn)行合理的網(wǎng)絡(luò)布局與布線，是致關(guān)重要的。網(wǎng)絡(luò)布局重要是指機(jī)房里的網(wǎng)絡(luò)設(shè)備、服務(wù)器等設(shè)備怎樣放置，它們又與網(wǎng)絡(luò)布線怎樣相處，總之網(wǎng)絡(luò)布局要考慮周全。（一）、網(wǎng)絡(luò)布局的原則1.實(shí)用性企業(yè)組建的局域網(wǎng)應(yīng)當(dāng)根據(jù)機(jī)房的大小、設(shè)備的多少來(lái)詳細(xì)實(shí)行，根據(jù)網(wǎng)絡(luò)布線的特點(diǎn)來(lái)發(fā)揮網(wǎng)絡(luò)布局實(shí)用性是非常重要的。2.全面性組網(wǎng)過(guò)程中，網(wǎng)絡(luò)、服務(wù)器等設(shè)備放置位置應(yīng)當(dāng)統(tǒng)籌兼顧，網(wǎng)絡(luò)布局要考慮周全，盡量讓多種設(shè)備和布線系統(tǒng)處在合理的位置。3.可靠性組網(wǎng)無(wú)論怎樣布局，最終的目的是保證我們的局域網(wǎng)的所有設(shè)備能可靠穩(wěn)定地運(yùn)行，使得網(wǎng)絡(luò)能正常運(yùn)轉(zhuǎn)。4.便于維護(hù)與升級(jí)網(wǎng)絡(luò)的組網(wǎng)不是一成不變的，伴隨IT企業(yè)業(yè)務(wù)的不停發(fā)展的需求，原先組建的局域網(wǎng)就需要不停地完善和擴(kuò)充；在平常的網(wǎng)絡(luò)運(yùn)行維護(hù)中，規(guī)劃網(wǎng)絡(luò)布局時(shí)就應(yīng)當(dāng)考慮到便于后來(lái)網(wǎng)絡(luò)的維護(hù)與升級(jí)操作。（二）網(wǎng)絡(luò)布局的詳細(xì)實(shí)行規(guī)定對(duì)于有線局域網(wǎng)來(lái)說(shuō)，這是我們目前企業(yè)網(wǎng)絡(luò)建設(shè)中，常常會(huì)碰到的，需要對(duì)機(jī)房和辦公大樓進(jìn)行布線。規(guī)劃網(wǎng)絡(luò)布局要考慮到機(jī)房的設(shè)備布局和布線系統(tǒng)的合理搭配。因此我們首先要規(guī)劃與設(shè)計(jì)好機(jī)房、布線系統(tǒng)，然后再全面地考慮網(wǎng)絡(luò)的布局。1.機(jī)房的規(guī)劃與設(shè)計(jì)為了保證網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)穩(wěn)定、安全、可靠地運(yùn)行，以及保障機(jī)房工作人員有良好的工作環(huán)境，做到技術(shù)先進(jìn)、經(jīng)濟(jì)合理、安全合用、保證質(zhì)量，符合國(guó)家有關(guān)的機(jī)房設(shè)計(jì)規(guī)定。(1)防靜電靜電不僅會(huì)對(duì)計(jì)算機(jī)運(yùn)行出現(xiàn)隨機(jī)故障，并且還會(huì)導(dǎo)致某些元器件，雙級(jí)性電路等的擊穿和毀壞。此外，還會(huì)影響操作人員和維護(hù)人員的正常的工作和身心健康。(2)防火、防盜計(jì)算機(jī)房在設(shè)計(jì)時(shí)，重點(diǎn)要考慮機(jī)房的消防滅火設(shè)計(jì)。設(shè)計(jì)時(shí)可以根據(jù)消防防火級(jí)別來(lái)確定機(jī)房的設(shè)計(jì)方案，計(jì)算機(jī)房火災(zāi)報(bào)警規(guī)定在一樓設(shè)有值班室或監(jiān)控點(diǎn)。機(jī)房里應(yīng)注意防盜設(shè)施的安裝，詳細(xì)地可采用防盜門(mén)、防盜鎖、警衛(wèi)、自動(dòng)報(bào)警系統(tǒng)等等。(3)防雷由于機(jī)房通信和供電電纜多從室外引入機(jī)房，易遭受雷電的侵襲，機(jī)房的建筑防雷設(shè)計(jì)尤其重要。計(jì)算機(jī)通信電纜的芯線，電話線均應(yīng)加裝避雷器。(4)保濕、保溫機(jī)房里的濕度應(yīng)保持在20%-80%為宜，機(jī)房的溫度應(yīng)保持在15℃-35℃攝氏度，安裝空調(diào)來(lái)調(diào)整溫度是處理此問(wèn)題最佳的措施。2.布線系統(tǒng)的規(guī)劃與設(shè)計(jì)有了好的機(jī)房，網(wǎng)絡(luò)設(shè)備就有了好的“家”，組建的IT網(wǎng)絡(luò)應(yīng)當(dāng)通過(guò)布線系統(tǒng)將機(jī)房和辦公地點(diǎn)互聯(lián)起來(lái)，保證網(wǎng)絡(luò)的正常運(yùn)行。假如企業(yè)的接入點(diǎn)較多，我們可以采用接入層、匯聚層、互換層三個(gè)網(wǎng)絡(luò)層次的設(shè)計(jì)，在此基礎(chǔ)上進(jìn)行布線系統(tǒng)。對(duì)于接入層來(lái)說(shuō)，選擇一種合理的接入設(shè)備，是最關(guān)鍵的，并且我們要根據(jù)接入設(shè)備選擇合適的帶寬。匯聚層是整個(gè)局域網(wǎng)的關(guān)鍵部分，匯聚層網(wǎng)絡(luò)設(shè)備一般支持網(wǎng)絡(luò)管理功能，以便我們的管理和維護(hù)，以便后來(lái)我們的網(wǎng)絡(luò)升級(jí)和改造。互換層是整個(gè)網(wǎng)絡(luò)中的中間層，連接著匯聚層和網(wǎng)絡(luò)節(jié)點(diǎn)，是決定我們整體網(wǎng)絡(luò)傳播質(zhì)量的很重要的一種環(huán)節(jié)。伴隨百兆網(wǎng)絡(luò)設(shè)備的普及，我們互換層的網(wǎng)絡(luò)設(shè)備，肯定首選百兆。布線是連接網(wǎng)絡(luò)接入層、匯聚層、互換層和網(wǎng)絡(luò)節(jié)點(diǎn)的重要環(huán)節(jié)。在布線時(shí)，最佳使用專門(mén)的通道，并且不要與電源線，空調(diào)線等具有輻射的線路混合布線。接入層與匯聚層之間的雙絞線，可以選擇超五類屏蔽雙絞線，以使網(wǎng)絡(luò)性能得到最大的提高。匯聚層與互換層之間的雙絞線，由于是網(wǎng)絡(luò)數(shù)據(jù)傳播量最大的一種層次，同樣采用超五類屏蔽雙絞線?；Q層與網(wǎng)絡(luò)節(jié)點(diǎn)之間，我們就可以采用一般的超五類非屏蔽雙絞線。網(wǎng)絡(luò)設(shè)備的放置，最佳放在節(jié)點(diǎn)的中央位置，這樣做，不是為了節(jié)省綜合布線的成本，而是為了提高網(wǎng)絡(luò)的整體性能，提高網(wǎng)絡(luò)傳播質(zhì)量。由于雙絞線的傳播距離是100米，在95米才能獲得最佳的網(wǎng)絡(luò)傳播質(zhì)量。在做網(wǎng)絡(luò)布線時(shí)，最佳可以設(shè)計(jì)一種設(shè)備間，放置網(wǎng)絡(luò)設(shè)備。（三）、網(wǎng)絡(luò)布局的規(guī)劃與設(shè)計(jì)目前的網(wǎng)絡(luò)設(shè)備大都采用機(jī)架式的構(gòu)造（多為扁平式，活像個(gè)抽屜），如互換機(jī)、路由器、硬件防火墻等。這些設(shè)備之因此有這樣一種構(gòu)造類型，是由于它們都按國(guó)際機(jī)柜原則進(jìn)行設(shè)計(jì)，這樣大家的平面尺寸就基本統(tǒng)一，可把一起安裝在一種大型的立式原則機(jī)柜中。這樣做的好處非常明顯：首先可以使設(shè)備占用最小的空間，另首先則便于與其他網(wǎng)絡(luò)設(shè)備的連接和管理，同步機(jī)房?jī)?nèi)也會(huì)顯得整潔、美觀。我們常常接觸到的放置機(jī)房里有網(wǎng)絡(luò)機(jī)柜、服務(wù)器機(jī)柜以及綜合布線柜，從這三個(gè)機(jī)柜的名字就可以看出它們各自所起的作用；一般來(lái)說(shuō)，網(wǎng)絡(luò)設(shè)備如互換機(jī)、路由器、防火墻、加密機(jī)等以及網(wǎng)絡(luò)通信設(shè)備如光端機(jī)、調(diào)制解調(diào)器等是放置在網(wǎng)絡(luò)機(jī)柜的；服務(wù)器機(jī)柜的寬度為19英寸，高度以U為單位（1U=1.75英寸=44.45毫米），一般有1U，2U，3U，4U幾種原則的服務(wù)器。機(jī)柜的尺寸也是采用通用的工業(yè)原則，一般從22U到42U不等；機(jī)柜內(nèi)按U的高度有可拆卸的滑動(dòng)拖架，顧客可以根據(jù)自己服務(wù)器的標(biāo)高靈活調(diào)整高度，以寄存服務(wù)器、集線器、磁盤(pán)陣列柜等設(shè)備。服務(wù)器擺放好后，它的所有I/O線所有從機(jī)柜的后方引出（機(jī)架服務(wù)器的所有接口也在后方），統(tǒng)一安頓在機(jī)柜的線槽中，一般貼有標(biāo)號(hào)，便于管理。綜合布線柜一般配有前后可移動(dòng)的安裝立柱，自由設(shè)定安裝空間，可按需要配置隔板、風(fēng)扇、電源插座等附件。配線架一般安裝在機(jī)柜里，配線架的一面是RJ45口，并標(biāo)有編號(hào)；另一面是跳線接口，上面也標(biāo)有編號(hào)，這些編號(hào)和上面的RJ45口的編號(hào)是一一對(duì)應(yīng)的。每一組跳線都標(biāo)識(shí)有棕、藍(lán)、橙、綠的顏色，雙絞線的色線要和這些跳線一一對(duì)應(yīng)，這樣做不輕易接錯(cuò)。配線架不僅僅是便于管理線對(duì)，并且可以防止串?dāng)_，增長(zhǎng)線對(duì)的隔離空間，提供360度的線對(duì)隔離。在機(jī)房中，必須放置互換機(jī)、功能服務(wù)器群和網(wǎng)絡(luò)打印設(shè)備，以及局域網(wǎng)絡(luò)連接Internet所需的多種設(shè)備，如路由器、防火墻以及網(wǎng)管工作站等；因此機(jī)房的網(wǎng)絡(luò)布局一般至少有三個(gè)機(jī)柜，綜合布線柜和網(wǎng)絡(luò)機(jī)柜應(yīng)當(dāng)緊連在一起，便于調(diào)線操作，接下來(lái)是服務(wù)器機(jī)柜；將網(wǎng)絡(luò)設(shè)備和布線系統(tǒng)進(jìn)行合理的布局。在網(wǎng)絡(luò)布局中，每個(gè)機(jī)柜最佳留點(diǎn)空間，便于后來(lái)網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備的擴(kuò)充，綜合布線柜里有也許除了網(wǎng)絡(luò)布線外，尚有能布置電話線，因此要在機(jī)柜里留下一定空間。從機(jī)柜內(nèi)部線纜附設(shè)的角度看，機(jī)柜配置密度更高，容納的IT設(shè)備更多，大量采用冗余配件(如冗余電源、存儲(chǔ)陣列等)，機(jī)柜內(nèi)設(shè)備配置頻繁變換，數(shù)據(jù)線和電纜隨時(shí)增減。因此，機(jī)柜必須提供充足的線纜通道，能從機(jī)柜頂部、底部進(jìn)出線纜。在機(jī)柜內(nèi)部，線纜的敷設(shè)必須以便、有序，與設(shè)備的線纜接口靠近，以縮短布線距離；減少線纜的空間占用，保證設(shè)備安裝、調(diào)整、維護(hù)過(guò)程中，不受到布線的干擾，并保證散熱氣流不會(huì)受到線纜的阻擋；同步，在故障狀況下，能對(duì)設(shè)備布線進(jìn)行迅速定位。供電系統(tǒng)和制冷系統(tǒng)是計(jì)算機(jī)機(jī)房的兩個(gè)重要部分。在供電系統(tǒng)中，一般采用在線的UPS供電方式，蓄電池實(shí)際可供使用的容量與蓄電池的放電電流大小、蓄電池的環(huán)境工作溫度、貯存時(shí)間的長(zhǎng)短以及負(fù)載的性質(zhì)（電阻性、電感性、電容性）親密有關(guān)。制冷系統(tǒng)（空調(diào)）波及到機(jī)房的整個(gè)物理環(huán)境，包括空調(diào)、地板、機(jī)柜及房間布局等諸多方面；因此UPS和空調(diào)我們也要考慮好將它們放置在一種合適的位置。假如機(jī)房空間較大，可以將UPS和空調(diào)都放在機(jī)房里；假如空間較小，可以把UPS（包括蓄電池）放在配電房里。需要注意的是假如大樓里安裝有“中央空調(diào)”的話，機(jī)房里也必須安裝獨(dú)立的空調(diào)，由于中央空調(diào)不也許24小時(shí)都開(kāi)著，上班的時(shí)間可以運(yùn)用中央空調(diào)，下班和星期節(jié)假日的時(shí)候，假如服務(wù)器、網(wǎng)絡(luò)設(shè)備需要正常運(yùn)行的話，則必須要開(kāi)機(jī)房里的獨(dú)立空調(diào)。機(jī)柜的擴(kuò)展性表目前機(jī)柜內(nèi)設(shè)備密度的擴(kuò)展和機(jī)柜數(shù)量的擴(kuò)展，因此網(wǎng)絡(luò)布局時(shí)必須將機(jī)柜的配風(fēng)能力（一般稱為散熱能力）以及配電能力考慮在內(nèi)。首先，機(jī)柜內(nèi)的設(shè)備需要溫度、濕度合適并且風(fēng)量充足的冷風(fēng)（冷空氣）。這些冷風(fēng)被機(jī)柜內(nèi)的IT設(shè)備吸入，從而為設(shè)備內(nèi)的部件（尤其是CPU）降溫。當(dāng)機(jī)柜內(nèi)設(shè)備增長(zhǎng)到一定數(shù)量時(shí)，由地板出風(fēng)口送出的冷風(fēng)風(fēng)量將不能滿足所有設(shè)備的需求，從而形成部分IT設(shè)備配風(fēng)局限性而過(guò)熱。處理機(jī)柜內(nèi)設(shè)備密度擴(kuò)展時(shí)碰到的這種局部熱點(diǎn)問(wèn)題可以采用調(diào)配IT設(shè)備位置的方式來(lái)處理。例如，把熱負(fù)荷最大的設(shè)備安裝在機(jī)柜中部位置，以便獲得最大的配風(fēng)風(fēng)量。此外的處理措施是，在機(jī)柜的上部或下部位置安裝軸向水平的強(qiáng)排風(fēng)扇，增強(qiáng)上部或下部的吸入能力（即減小IT設(shè)備的入口靜壓），從而增長(zhǎng)配風(fēng)風(fēng)量。另首先，機(jī)柜內(nèi)的設(shè)備需要供電以及與機(jī)柜外部進(jìn)行通信。當(dāng)機(jī)柜內(nèi)的IT設(shè)備數(shù)量增長(zhǎng)時(shí)，這些線纜、連接端子同步成倍地增長(zhǎng)，從而對(duì)機(jī)架式電源排插的容量、插口數(shù)量都提出了擴(kuò)展規(guī)定。機(jī)柜內(nèi)的布線空間也是需要提前考慮的，由于當(dāng)機(jī)柜內(nèi)的功率密度提高時(shí)，設(shè)備后部的線纜將明顯增長(zhǎng)風(fēng)阻，因此必須考慮線纜管理及走線空間的問(wèn)題。第四章局域網(wǎng)的安全控制與病毒防治（一）局域網(wǎng)安全威脅分析局域網(wǎng)由于通過(guò)互換機(jī)和服務(wù)器連接網(wǎng)內(nèi)每一臺(tái)電腦，因此局域網(wǎng)內(nèi)信息的傳播速率比較高，同步局域網(wǎng)采用的技術(shù)比較簡(jiǎn)樸，安全措施較少，同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡(luò)安全威脅一般有如下幾類：1.欺騙性的軟件使數(shù)據(jù)安全性減少由于局域網(wǎng)很大的一部分用處是資源共享，而正是由于共享資源的“數(shù)據(jù)開(kāi)放性”，導(dǎo)致數(shù)據(jù)信息輕易被篡改和刪除，數(shù)據(jù)安全性較低。例如“網(wǎng)絡(luò)釣魚(yú)襲擊”，釣魚(yú)工具是通過(guò)大量發(fā)送聲稱來(lái)自于某些著名機(jī)構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息：如顧客名、口令、賬號(hào)ID、ATMPIN碼或信用卡詳細(xì)信息等的一種襲擊方式。最常用的手法是冒充某些真正的網(wǎng)站來(lái)騙取顧客的敏感的數(shù)據(jù)。以往此類襲擊的冒名的多是大型或著名的網(wǎng)站，但由于大型網(wǎng)站反應(yīng)比較迅速，并且所提供的安全功能不停增強(qiáng)，網(wǎng)絡(luò)釣魚(yú)已越來(lái)越多地把目光對(duì)準(zhǔn)了較小的網(wǎng)站。同步由于顧客缺乏數(shù)據(jù)備份等數(shù)據(jù)安全面的知識(shí)和手段，因此會(huì)導(dǎo)致常常性的信息丟失等現(xiàn)象發(fā)生。2.服務(wù)器區(qū)域沒(méi)有進(jìn)行獨(dú)立防護(hù)局域網(wǎng)內(nèi)計(jì)算機(jī)的數(shù)據(jù)迅速、便捷的傳遞，造就了病毒感染的直接性和迅速性，假如局域網(wǎng)中服務(wù)器區(qū)域不進(jìn)行獨(dú)立保護(hù)，其中一臺(tái)電腦感染病毒，并且通過(guò)服務(wù)器進(jìn)行信息傳遞，就會(huì)感染服務(wù)器，這樣局域網(wǎng)中任何一臺(tái)通過(guò)服務(wù)器信息傳遞的電腦，就有也許會(huì)感染病毒。雖然在網(wǎng)絡(luò)出口有防火墻阻斷對(duì)外來(lái)襲擊，但無(wú)法抵擋來(lái)自局域網(wǎng)內(nèi)部的襲擊3.計(jì)算機(jī)病毒及惡意代碼的威脅由于網(wǎng)絡(luò)顧客不及時(shí)安裝防病毒軟件和操作系統(tǒng)補(bǔ)丁，或未及時(shí)更新防病毒軟件的病毒庫(kù)而導(dǎo)致計(jì)算機(jī)病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的襲擊，正是運(yùn)用了顧客的這個(gè)弱點(diǎn)。寄生軟件可以修改磁盤(pán)上既有的軟件，在自己寄生的文獻(xiàn)中注入新的代碼。近來(lái)幾年，伴隨犯罪軟件（crimeware）洶涌而至，寄生軟件已退居幕后，成為犯罪軟件的助手。，兩種軟件的結(jié)合推進(jìn)舊有寄生軟件變種增長(zhǎng)3倍之多。，估計(jì)犯罪軟件小區(qū)對(duì)寄生軟件的愛(ài)好將繼續(xù)增長(zhǎng)，寄生軟件的總量估計(jì)將增長(zhǎng)20%。4.局域網(wǎng)顧客安全意識(shí)不強(qiáng)許多顧客使用移動(dòng)存儲(chǔ)設(shè)備來(lái)進(jìn)行數(shù)據(jù)的傳遞，常常將外部數(shù)據(jù)不通過(guò)必要的安全檢查通過(guò)移動(dòng)存儲(chǔ)設(shè)備帶入內(nèi)部局域網(wǎng)，同步將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲(chóng)等病毒的進(jìn)入提供了以便同步增長(zhǎng)了數(shù)據(jù)泄密的也許性。此外一機(jī)兩用甚至多用狀況普遍，筆記本電腦在內(nèi)外網(wǎng)之間平凡切換使用，許多顧客將在Internet網(wǎng)上使用過(guò)的筆記本電腦在未經(jīng)許可的狀況下私自接入內(nèi)部局域網(wǎng)絡(luò)使用，導(dǎo)致病毒的傳入和信息的泄密。5.IP地址沖突局域網(wǎng)顧客在同一種網(wǎng)段內(nèi)，常常導(dǎo)致IP地址沖突，導(dǎo)致部分計(jì)算機(jī)無(wú)法上網(wǎng)。對(duì)于局域網(wǎng)來(lái)講，此類IP地址沖突的問(wèn)題會(huì)常常出現(xiàn)，顧客規(guī)模越大，查找工作就越困難，因此網(wǎng)絡(luò)管理員必須加以處理。正是由于局域網(wǎng)內(nèi)應(yīng)用上這些獨(dú)特的特點(diǎn)，導(dǎo)致局域網(wǎng)內(nèi)的病毒迅速傳遞，數(shù)據(jù)安全性低，網(wǎng)內(nèi)電腦互相感染，病毒屢殺不盡，數(shù)據(jù)常常丟失。（二）局域網(wǎng)安全控制與病毒防治方略1.加強(qiáng)人員的網(wǎng)絡(luò)安全培訓(xùn)安全是個(gè)過(guò)程，它是一種匯集了硬件、軟件、網(wǎng)絡(luò)、人員以及他們之間互有關(guān)系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務(wù)角度看，重要波及管理、技術(shù)和應(yīng)用三個(gè)層面。要保證信息安全工作的順利進(jìn)行，必須重視把每個(gè)環(huán)節(jié)貫徹到每個(gè)層次上，而進(jìn)行這種詳細(xì)操作的是人，人正是網(wǎng)絡(luò)安全中最微弱的環(huán)節(jié)，然而這個(gè)環(huán)節(jié)的加固又是見(jiàn)效最快的。因此必須加強(qiáng)對(duì)使用網(wǎng)絡(luò)的人員的管理，注意管理方式和實(shí)現(xiàn)措施。從而加強(qiáng)工作人員的安全培訓(xùn)。增強(qiáng)內(nèi)部人員的安全防備意識(shí)，提高內(nèi)部管理人員整體素質(zhì)。同步要加強(qiáng)法制建設(shè)，深入完善有關(guān)網(wǎng)絡(luò)安全的法律，以便更有利地打擊不法分子。對(duì)局域網(wǎng)內(nèi)部人員，從下面幾方面進(jìn)行培訓(xùn)：(1)加強(qiáng)安全意識(shí)培訓(xùn)，讓每個(gè)工作人員明白數(shù)據(jù)信息安全的重要性，理解保證數(shù)據(jù)信息安全是所有計(jì)算機(jī)使用者共同的責(zé)任。(2)加強(qiáng)安全知識(shí)培訓(xùn)，使每個(gè)計(jì)算機(jī)使用者掌握一定的安全知識(shí)，至少可以掌握怎樣備份當(dāng)?shù)氐臄?shù)據(jù)，保證當(dāng)?shù)財(cái)?shù)據(jù)信息的安全可靠。(3)加強(qiáng)網(wǎng)絡(luò)知識(shí)培訓(xùn)，通過(guò)培訓(xùn)掌握一定的網(wǎng)絡(luò)知識(shí)，可以掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識(shí)，樹(shù)立良好的計(jì)算機(jī)使用習(xí)慣。2.局域網(wǎng)安全控制方略安全管理保護(hù)網(wǎng)絡(luò)顧客資源與設(shè)備以及網(wǎng)絡(luò)管理系統(tǒng)自身不被未經(jīng)授權(quán)的顧客訪問(wèn)。目前網(wǎng)絡(luò)管理工作量最大的部分是客戶端安所有分，對(duì)網(wǎng)絡(luò)的安全運(yùn)行威脅最大的也同樣是客戶端安全管理。只有處理網(wǎng)絡(luò)內(nèi)部的安全問(wèn)題，才可以排除網(wǎng)絡(luò)中最大的安全隱患，對(duì)于內(nèi)部網(wǎng)絡(luò)終端安全管理重要從終端狀態(tài)、行為、事件三個(gè)方面進(jìn)行防御。運(yùn)用既有的安全管理軟件加強(qiáng)對(duì)以上三個(gè)方面的管理是目前處理局域網(wǎng)安全的關(guān)鍵所在。(1)運(yùn)用桌面管理系統(tǒng)控制顧客入網(wǎng)。入網(wǎng)訪問(wèn)控制是保證網(wǎng)絡(luò)資源不被非法使用，是網(wǎng)絡(luò)安全防備和保護(hù)的重要方略。它為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制。它控制哪些顧客可以登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制顧客入網(wǎng)的時(shí)間和在哪臺(tái)工作站入網(wǎng)。顧客和顧客組被賦予一定的權(quán)限，網(wǎng)絡(luò)控制顧客和顧客組可以訪問(wèn)的目錄、文獻(xiàn)和其他資源，可以指定顧客對(duì)這些文獻(xiàn)、目錄、設(shè)備可以執(zhí)行的操作。啟用密碼方略，強(qiáng)制計(jì)算機(jī)顧客設(shè)置符合安全規(guī)定的密碼，包括設(shè)置口令鎖定服務(wù)器控制臺(tái)，以防止非法顧客修改。設(shè)定服務(wù)器登錄時(shí)間限制、檢測(cè)非法訪問(wèn)。刪除重要信息或破壞數(shù)據(jù)，提高系統(tǒng)安全行，對(duì)密碼不符合規(guī)定的計(jì)算機(jī)在多次警告后阻斷其連網(wǎng)。(2)采用防火墻技術(shù)。防火墻技術(shù)是一般安裝在單獨(dú)的計(jì)算機(jī)上，與網(wǎng)絡(luò)的其他部分隔開(kāi)，它使內(nèi)部網(wǎng)絡(luò)與Internet之間或與其他外部網(wǎng)絡(luò)互相隔離，限制網(wǎng)絡(luò)互訪，用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)資源免遭非法使用者的侵入，執(zhí)行安全管制措施，記錄所有可疑事件。它是在兩個(gè)網(wǎng)絡(luò)之間實(shí)行控制方略的系統(tǒng)，是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)。采用防火墻技術(shù)發(fā)現(xiàn)及封阻應(yīng)用襲擊所采用的技術(shù)有：（1）深度數(shù)據(jù)包處理。深度數(shù)據(jù)包處理在一種數(shù)據(jù)流當(dāng)中有多種數(shù)據(jù)包，在尋找襲擊異常行為的同步，保持整個(gè)數(shù)據(jù)流的狀態(tài)。深度數(shù)據(jù)包處理規(guī)定以極高的速度分析、檢測(cè)及重新組裝應(yīng)用流量，以防止應(yīng)用時(shí)帶來(lái)時(shí)延。（2）IP/URL過(guò)濾。一旦應(yīng)用流量是明文格式，就必須檢測(cè)HTTP祈求的URL部分，尋找惡意襲擊的跡象，這就需要一種方案不僅能檢查RUL，還能檢查祈求的其他部分。其實(shí)，假如把應(yīng)用響應(yīng)考慮進(jìn)來(lái)，可以大大提高檢測(cè)襲擊的精確性。雖然URL過(guò)濾是一項(xiàng)重要的操作，可以制止一般的腳本類型的襲擊。（