電信網(wǎng)絡(luò)規(guī)劃與運維

目錄

引言.............................................................錯誤!未定義書簽。

一、需求分析.....................................................錯誤!未定義書簽。

1.1網(wǎng)絡(luò)拓撲構(gòu)造................................................錯誤!未定義書簽。

1.2風(fēng)險分析....................................................錯誤!未定義書簽。

二、網(wǎng)絡(luò)布線.....................................................錯誤!未定義書簽。

2.1總體規(guī)劃....................................................錯誤!未定義書簽。

辦公樓綜合布線項目規(guī)定.........................................錯誤!未定義書簽。

有關(guān)技術(shù)規(guī)定...................................................錯誤!未定義書簽。

2.2布線系統(tǒng)內(nèi)構(gòu)造..............................................錯誤!未定義書簽。

信息點分布.....................................................錯誤!未定義書簽。

布線各子系統(tǒng)...................................................錯誤!未定義書簽。

2.3故障排除....................................................錯誤!未定義書簽。

三、網(wǎng)絡(luò)集成.....................................................錯誤!未定義書簽。

3.1網(wǎng)絡(luò)設(shè)備選型.................................................錯誤!未定義書簽。

互換機.........................................................錯誤!未定義書簽。

網(wǎng)卡的選擇.....................................................錯誤!未定義書簽。

網(wǎng)絡(luò)服務(wù)器.....................................................錯誤!未定義書簽。

網(wǎng)絡(luò)工作站.....................................................錯誤!未定義書簽。

3.2設(shè)備的安裝與使用............................................錯誤!未定義書簽。

互換機的配置...................................................錯誤!未定義書簽。

3.2.2RIP動態(tài)路由配置.........................................錯誤!未定義書簽。

四、網(wǎng)絡(luò)管理.....................................................錯誤!未定義書簽。

五、安全管理.....................................................錯誤!未定義書簽。

5.1網(wǎng)絡(luò)安全分析.................................................錯誤!未定義書簽。

網(wǎng)絡(luò)襲擊和入侵的重要途徑......................................錯誤!未定義書簽。

網(wǎng)絡(luò)中安全缺陷產(chǎn)生的原因.......................................錯誤!未定義書簽。

5.2網(wǎng)絡(luò)安全的防備措施...........................................錯誤!未定義書簽。

防火墻.........................................................錯誤!未定義書簽。

5.2.2IDS...................................................................................................錯誤!未定義書簽。

六、網(wǎng)間互聯(lián).....................................................錯誤!未定義書簽。

七、小結(jié).........................................................錯誤!未定義書簽。

八、參照文獻.....................................................錯誤!未定義書簽。

引言

伴隨互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一種潛在的巨大問題。網(wǎng)絡(luò)安全

性是一種波及面很廣泛的問題，其中也會波及到與否構(gòu)成犯罪行為的問題。在其

最簡樸的形式中，它重要關(guān)懷啊是保證無關(guān)人員不能讀取，更不能修改傳送給其

他接受者的信息。網(wǎng)絡(luò)安全性是為保護網(wǎng)絡(luò)不受任何損害而采用的所有措施的總

和，并且當(dāng)對口勺實現(xiàn)這些措施時，就能使網(wǎng)絡(luò)得到保護，使之免受侵害并保證網(wǎng)

絡(luò)的安靜與安寧。為保護網(wǎng)絡(luò)的安全，需要協(xié)同使用多種安全措施。網(wǎng)絡(luò)的安全

是全面協(xié)防口勺概念，而非僅依托某一層次或某一設(shè)備予以處理。全面的安全協(xié)防

意在不一樣層次上運用不一樣技術(shù)、不一樣成本的設(shè)備互相補充，從而既加強了

安全，又平衡了安全中存在口勺矛盾。

一、需求分析

1.1網(wǎng)絡(luò)拓撲構(gòu)造

INTERNET

守―…，f

“外網(wǎng)用戶

小

Firewail

三層交扳機—F=rr-wt

二層交飄機一層交換機

H

WEB*服務(wù)器

DNS服務(wù)器

6\匕J口

用尸1用戶：

用尸3用戶4

1-1拓撲圖

1.2風(fēng)險分析

我認為企業(yè)網(wǎng)絡(luò)安全重要面臨如下問題：網(wǎng)絡(luò)接入Internet后，需要對網(wǎng)

關(guān)進行防護，防止黑客、病毒等對網(wǎng)絡(luò)內(nèi)部進行襲擊；網(wǎng)絡(luò)病毒對企業(yè)網(wǎng)絡(luò)安全

導(dǎo)致巨大威脅，它也許導(dǎo)致操作系統(tǒng)瓦解、數(shù)據(jù)丟失損壞、網(wǎng)絡(luò)癱瘓等嚴重后果;

由于具有獨立的信息公布系統(tǒng)，需要對這些系統(tǒng)進行集中的安全防護，從而保證

這些系統(tǒng)正常的運行；由于企業(yè)網(wǎng)內(nèi)計算機的數(shù)量大，操作系統(tǒng)打補丁、應(yīng)用軟

件分發(fā)、計算機資產(chǎn)管理、計算機運行狀況監(jiān)控等反復(fù)性工作，網(wǎng)絡(luò)管理部門已

無法承擔(dān)，網(wǎng)絡(luò)整體安全無法得到保證。

1.網(wǎng)絡(luò)構(gòu)造日勺安全風(fēng)險分析

企業(yè)網(wǎng)絡(luò)與外網(wǎng)有互連?；诰W(wǎng)絡(luò)系統(tǒng)的范圍大、函蓋面廣，內(nèi)部網(wǎng)絡(luò)將面

臨愈加嚴重日勺安全威脅，入侵者每天都在試圖闖入網(wǎng)絡(luò)節(jié)點。網(wǎng)絡(luò)系統(tǒng)中辦公系

統(tǒng)及員工主機上均有涉密信息，假如內(nèi)部網(wǎng)絡(luò)的一臺電腦安全受損，就會同步影

響在同一網(wǎng)絡(luò)上日勺許多其他系統(tǒng)。

2.操作系統(tǒng)的安全風(fēng)險分析

所謂系統(tǒng)安全一般是指操作系統(tǒng)的I安全。操作系統(tǒng)的安裝以正常工作為目

時，一般很少考慮其安全性，因此安裝一般都是以缺省選項進行設(shè)置。從安全角

度考慮，其體現(xiàn)為裝了諸多用不著的服務(wù)模塊，開放了諸多不必開放的端口，其

中也許隱含了安全風(fēng)險。

3.應(yīng)用的安全風(fēng)險分析

應(yīng)用系統(tǒng)的安全波及諸多方面。應(yīng)用系統(tǒng)是動態(tài)的、不停變化的。應(yīng)用口勺安

全性也是動態(tài)的。這就需要我們對不一樣的應(yīng)用，檢測安全漏洞，采用對應(yīng)H勺安

全措施，減少應(yīng)用日勺安全風(fēng)險。重要有文獻服務(wù)器的安全風(fēng)險、數(shù)據(jù)庫服務(wù)器歐I

安全風(fēng)險、病毒侵害的安全風(fēng)險、數(shù)據(jù)信息日勺安全風(fēng)險等。

4.管理的安全分析

管理方面的安全隱患包括：內(nèi)部管理人員或員工圖以便省事，不設(shè)置顧客口

令，或者設(shè)置的I口令過短和過于簡樸，導(dǎo)致很輕易破解。責(zé)任不清，使用相似的）

顧客名、口令，導(dǎo)致權(quán)限管理混亂，信息泄密。把內(nèi)部網(wǎng)絡(luò)構(gòu)造、管理員顧客名

及口令以及系統(tǒng)的某些重要信息傳播給外人帶來信息泄漏風(fēng)險。內(nèi)部不滿的員工

有的也許導(dǎo)致極大的安全風(fēng)險。

二、網(wǎng)絡(luò)布線

2.1總體規(guī)劃

辦公樓綜合布線項目規(guī)定

基本狀況：整個局域網(wǎng)采用以太網(wǎng)技術(shù)，主干帶寬達1000Mbps,100Mbps

到桌面。

開放：采用原則RJ45接口，兼容不一樣廠家的原則產(chǎn)品。

靈活：水平子系統(tǒng)支持語音、數(shù)據(jù)，支持lOBase-T、lOOBaseT等。

可靠：高品質(zhì)布線系統(tǒng)，通過原則測試與驗證，提供23年以上質(zhì)保。

先進：采用目前流行，具有一定先進技術(shù)的超五類系列產(chǎn)品。

易于管理：面板、配線架有明顯標識，機房線路管理、維護以便。

中心機房設(shè)備規(guī)定：原則機柜，重要安裝網(wǎng)絡(luò)設(shè)備并提供跳接線管理。機房

設(shè)備安頓考慮機房維護人員維修日勺以便，同步機器四面有足夠的散熱空間。機房

規(guī)定有獨立接地保護系統(tǒng)，地阻值不不小于4歐姆。機房需設(shè)置獨立電源回路。

有關(guān)技術(shù)規(guī)定

符合最新的國際原則1S0/1EC11801超五類布線原則，產(chǎn)品應(yīng)符合做主網(wǎng)絡(luò)

的高速、可靠日勺信息傳播規(guī)定，并具有高度靈活性、可靠性、綜合性、易擴容性。

進行開放式布線，所有插座端口都支持數(shù)據(jù)通訊、語音和圖像傳遞，滿足電

視會議，多媒體等系統(tǒng)H勺需要。

能滿足靈活日勺應(yīng)用規(guī)定，即任一信息點可以以便地任意連接終端設(shè)備。

所有接插件都應(yīng)是模塊化的原則件，以以便管理并在未來有更大日勺發(fā)展時，

輕易地將設(shè)備擴展進去可以支持千兆速率的數(shù)據(jù)，'專播，可支持以太網(wǎng)、高速以太

網(wǎng)、令牌環(huán)網(wǎng)、ATM、FDDT、ISDN等網(wǎng)絡(luò)及應(yīng)用。

2.2布線系統(tǒng)的I構(gòu)造

按每個模塊的作用，可把它劃提成6個部分，“一間、二區(qū)、三個子系統(tǒng)”，

即：設(shè)備間、工作區(qū)、管理區(qū)、水平子系統(tǒng)、干線子系統(tǒng)、建筑群子系統(tǒng)

信息點分布

根據(jù)學(xué)校辦公樓辦公區(qū)的初步安排和學(xué)校的實際需求，初步設(shè)計辦公樓綜合

布線信息點為40個。

兩棟樓共設(shè)信息點40個，所有信息點均按超五類原則設(shè)計，到達100M的數(shù)

據(jù)傳播速度并且所有的信息點通過跳線均可到達語音、數(shù)據(jù)通用。在主樓2樓微

機中心設(shè)置網(wǎng)絡(luò)中心控制間，將主配線架放在中心控制室，同步可將程控互換機

放置在中心控制室，在中心控制室旁，設(shè)置網(wǎng)絡(luò)中心機房，放置網(wǎng)絡(luò)服務(wù)器。由

于2樓中心控制室到最遠信息點日勺垂直距離加水平距離之和不不小于90M,為了

便于集中管理，在每層不再設(shè)水平配線間，所有配線和管理均在中心控制室主配

線間進行，線纜從主配線間直接到各個信息點，所有信息點均采用暗盒方式。所

有綜合布線產(chǎn)品均采用IBDN超五類產(chǎn)品，即超五類雙絞線、超五類信息插座、

超五類迅速跳線、超五類BIX模塊等，能提拱100M的數(shù)據(jù)傳播速度，滿足高速

以太網(wǎng)及ATM網(wǎng)絡(luò)數(shù)據(jù)傳播的需求，從而為高速數(shù)據(jù)轉(zhuǎn)輸打下了基礎(chǔ)。

布線各子系統(tǒng)

1.工作區(qū)子系統(tǒng)

工程中布線系統(tǒng)所有采用1BDN超五類，根據(jù)非屏蔽雙絞線這一原則，每個

信息點均能滿足100M日勺數(shù)據(jù)傳播速度，足以支持既有數(shù)據(jù)、語音系統(tǒng)以及此后

的高速數(shù)據(jù)及視頻系統(tǒng)日勺需求。

2.水平布線子系統(tǒng)

水平區(qū)系統(tǒng)采用星型拓撲構(gòu)造延伸主干系統(tǒng)到工作區(qū)，并端接在信息插座

上。

水平線從樓層配線架引出進入主走線槽，沿線槽分到不一樣的布線管到墻面

信息安裝盒，整個布線距離必須在90M以內(nèi)，保證數(shù)據(jù)信號在正常時衰減范I韋I

內(nèi)。信息點日勺水平布線采用超五類非屏蔽雙絞線。

3.主配線管理子系統(tǒng)

管理區(qū)在中心機房放置通訊相線設(shè)備，通過互跳連接各水平區(qū)。重要元/件

為配線架、跳線等。

數(shù)據(jù)配線管理系統(tǒng)采用非常適合于數(shù)據(jù)系統(tǒng)日勺IBDN系列模塊式配線架。數(shù)

據(jù)配線架裝在原則機柜內(nèi)，并可加鎖以保安全。

根據(jù)本系統(tǒng)口勺特點，在工程設(shè)計中木采用垂直主干線系統(tǒng)及設(shè)備問主系統(tǒng)。

2.3故障排除

1.連接故障

即在一種鏈路中各個獨立的纜線間的連接和終止故障。目前來說，這是最常

見的故障。它與安裝過程中日勺工藝水平緊密有關(guān)。最常見歐I故障是：電纜標簽錯、

連接開路、雙絞線連接圖錯（包括錯對、極性接反、交錯）以及短路。

2.電纜性能問題

在鏈路沒有連接錯誤的狀況下，還也許存在不滿足支持網(wǎng)絡(luò)運行的必須口勺傳

播特性問題。鏈路日勺傳播特性重要由衰減、近端串?dāng)_、特性阻抗、峰值噪音及信

噪比來決定，這些總是稱作性能故障。

三、網(wǎng)絡(luò)集成

3.1網(wǎng)絡(luò)設(shè)備選型

互換機

采用Bay企業(yè)的Bay350T工作組互換機。該機具有16口10/100M自適應(yīng)以

太網(wǎng)端口，具有擴展模塊擴槽，可擴100BASE-FX迅速以太網(wǎng)光纖模塊和ATM槽

塊。支持4080以上日勺MCA地址，支持PACE技術(shù)，支持多達16個日勺VLAN管理功

能，具有增強多媒體及實時應(yīng)用日勺傳播功能。

在各主干網(wǎng)段下的二級工作組擬采用Bay的Bay303互換機，它具有一種

10M/100M和24個10M口。各信息點均實現(xiàn)10M互換到桌面。

網(wǎng)卡的選擇

高性能BayH勺網(wǎng)卡具有獨創(chuàng)H勺高速網(wǎng)卡技術(shù)，并選用高晶質(zhì)H勺IC器件，進

而到達相稱可靠和完善H勺功能和性能。因此，它提出了終身保修日勺承諾。我們選

用BayH勺BayFa31010/100自適應(yīng)網(wǎng)卡，它具有雙速，雙工特性。能充足運用

4對雙絞線日勺物理特性，進而拓展帶寬，成倍提高網(wǎng)絡(luò)速率。

網(wǎng)絡(luò)服務(wù)器

網(wǎng)絡(luò)服務(wù)器作為網(wǎng)絡(luò)的中心處理部件，承擔(dān)著網(wǎng)絡(luò)處理工作的大部分負荷，

因此選擇一種處理能力強大，性能穩(wěn)定的網(wǎng)絡(luò)服務(wù)器對于建設(shè)的網(wǎng)絡(luò)的高效、流

暢使用品有十分重要的作用。

選擇由美國IBM企業(yè)生產(chǎn)的服務(wù)器產(chǎn)品：PCSERVER330oIBMPCSERVER330

服務(wù)器產(chǎn)品采用333MHZPentiumII處理涔，配置512KB的ECC二級緩存,64MEEDO

ECC內(nèi)存(可擴至1GB),擁有集成日勺PCI總線，WideUltraSCSI和10/100Mbps

自適應(yīng)網(wǎng)卡。它可以滿足網(wǎng)絡(luò)需求，承擔(dān)網(wǎng)絡(luò)中心處理任務(wù)日勺承擔(dān)。

網(wǎng)絡(luò)工作站

網(wǎng)絡(luò)工作站作為顧客的網(wǎng)絡(luò)前端處理工具，在選擇上應(yīng)遵詢好用、夠用日勺原

則，不能一味的追求高性能。同步在品牌的選擇上，選擇國內(nèi)品牌機。

3.2設(shè)備的安裝與使用

互換機的配置

Switch3#vlandatabase

Switch3(vlan)#vtpserver

Switch3(vlan)ffvtpdomainstudy

Switch3(v1an)#v1an2namegroupl

Switch3(vlan)#vlan3namegroup2

Switch3(vlan)#exit

Switch3#conft

Switch3(config)#intfO/1

Switch3(config-if)ttswitchportmodetrunk

Switch3(config-if)#switchporttrunkencapsulationdotlq

Switch3(config-if)ttintfO/8

Switch3(config-if)#switchportmodetrunk

Switch3(config-if)#switchporttrunkencapsulationdotlq

Switch3(config-if)#mtfO/2

Switch3(config-if)#switchportmodeaccess

Switch3(config-if)ttswitchportaccessvlan2

Switch3(config-if)#1ntfO/4

Switch3(config-if)#switchportmodeaccess

Switch3(config-if)Ifswitchportaccessvlan3

Switchl與Switch2配置如上

RIP動態(tài)路由配置

Router>en

Rourer#conft

Router(config)#intf0/0

R

Rouer(config-if)#noshutdown

Rouer(config-if)#intfO/1

R

Rouer(config-if)#noshutdown

f^ouer(config-if)Sintsi

R

Rouer(config-if)#noshutdown

Rouer(config-if)#exit

Router(config)ttrouterrip

Rouer(config-router；#network.0

Rouer(config-routerj#exit

四、網(wǎng)絡(luò)管理

網(wǎng)絡(luò)系統(tǒng)與數(shù)據(jù)H勺安全備份

(1)Win2023資源備份及恢復(fù)

使用Windows2023“備份工具”，管理員可以將數(shù)據(jù)備份到多種各樣的存儲

媒體上，如磁帶機、外接硬盤驅(qū)動器、Zip盤以及可擦寫CD-ROM。下面就簡介

怎樣在Window*2023中備份文獻。操作環(huán)節(jié)如下：

1.打開“開始”菜單，選擇“程序”I“附件”I“系統(tǒng)工具”I“備份”命

令，打開“備份”窗口

2.在“歡迎”選項卡中，單擊“備份向?qū)А卑粹o，打開“備份向?qū)А睂υ?/p>

框

3.單擊“下一步”按鈕，打開“要備份H勺內(nèi)容”對話框

4.選擇“備份選定的文獻、驅(qū)動器或網(wǎng)絡(luò)數(shù)據(jù)”單項選擇按鈕，備份顧客

選定的文獻、驅(qū)動器或網(wǎng)絡(luò)數(shù)據(jù)。假如顧客備份整個系統(tǒng)或者只備份系統(tǒng)狀態(tài)數(shù)

據(jù)，可選擇“備份整個系統(tǒng)”或者“只備份系統(tǒng)狀態(tài)數(shù)據(jù)”單項選擇按鈕

5.單擊“下一步”按鈕，打開“要備份日勺項目”對話框

6.在“備份內(nèi)容”列表框中，通過單擊對應(yīng)日勺復(fù)選框，選擇要備份的驅(qū)動

潛、文獻或文獻夾。要展開“備份內(nèi)容”文本框中的項目，需要雙擊該項目節(jié)點

7.選定需要備份的內(nèi)容后，單擊“下一步”按鈕，打開“備份保留的位置”

對話框

8.在“備份媒體或文獻名”文本框中顧客需要輸入但愿存儲備份資料H勺媒

體標示號以及完整的途徑，或者通過單擊“瀏覽”按鈕打開“打開”對話框來選

擇備份媒體和文獻名，這里我們選擇A盤作為備份的媒體

9.單擊“下一步”按鈕，打開“正在完畢備份向?qū)А睂υ捒?/p>

10.通過單擊“高級”按鈕，顧客可以進行某些備份的高級設(shè)置，例如，選

擇要執(zhí)行的備份操作類型和指定與否要備份遷移到遠程存儲中的文獻內(nèi)容

11.單擊“完畢”按鈕后，系統(tǒng)將自動對所選定的項目進行備份

12.顧客可以單擊“報表”按鈕來杳看備份操作的有關(guān)信息，最終單擊“關(guān)

閉”按鈕即可完畢所有備份操作

(2)還原文獻

當(dāng)顧客的計算機出現(xiàn)硬件故障、意外刪除或者其他口勺數(shù)據(jù)丟失或損害時，可

以使用Windows2023的故障恢復(fù)工具還原此前備份的數(shù)據(jù)。下面以詳細的實例

簡介怎樣還原備份的文獻，操作環(huán)節(jié)如下：

1.打開“開始”菜單，選擇“程序”I“附件”I“系統(tǒng)工具”I“備份”命

令，打開“備份”窗口

2.在“歡迎”選項卡中，單擊“還原向?qū)А卑粹o，打開“還原向?qū)А睂υ?/p>

框

3.擊“下一步”按鈕，打開“還原項目”對話框

4.在“還原項目”列表框中，顧客可以單擊某項目前H勺復(fù)選框來選擇想要

還原的驅(qū)動器、文獻或文獻夾

5.通過單擊“導(dǎo)入文獻”按鈕，顧客可以對此前所備份日勺文獻進行輸入

6.單擊“下一步”按鈕，系統(tǒng)將自動進行有關(guān)操作并打開“輸入備份文獻

名”對話框

7.在“從備份文獻恢復(fù)”文本框中顧客需要輸入備份文獻的名稱，或者通

過單擊“瀏覽”按鈕來選擇備份文蛾進行輸入

8.單擊“確定”按鈕，系統(tǒng)將自動進行還原工作，之后屏幕上將顯示“還

原進度”對話框

9.通過單擊“報表”按鈕，顧客可以查看還原操作的有關(guān)信息，最終單擊

“關(guān)閉”按鈕結(jié)束還原操作

注釋在“備份”窗口中，使用“備份”和“還原”選項卡也可進行備份和還

原工作，措施與“備份向?qū)А焙汀斑€原向?qū)А被鞠嗨啤?/p>

五、安全管理

5.1網(wǎng)絡(luò)安全分析

網(wǎng)絡(luò)襲擊和入侵的重要途徑

網(wǎng)絡(luò)入侵是指網(wǎng)絡(luò)襲擊者通過非法的手段（如破譯口令、電子欺騙等）獲得

非法的權(quán)限，并通過使用這些非法日勺權(quán)限使網(wǎng)絡(luò)襲擊者能對被襲擊日勺主機進行非

授權(quán)的操作。網(wǎng)絡(luò)入侵日勺重要途徑有：破譯口令、IP欺騙和DNS欺騙。

(1)破譯口令

口令是計算機系統(tǒng)抵御入侵者的一種重要手段，所謂口令入侵是指使用某些

合法顧客的帳號和口令登錄到目日勺主機，然后再實行襲擊活動。這種措施的前提

是必須先得到該主機上日勺某個合法顧客的帳號，然后再進行合法顧客口令日勺破

譯。

(2)IP欺騙

IP欺騙是指襲擊者偽造他人日勺IP地址，讓一臺計算機假冒另一臺計算機以

到達蒙混過關(guān)的I目的。它只能對某些特定的運行TCP/IP的計算機進行入侵，IP

欺騙運用了TCP/IP網(wǎng)絡(luò)協(xié)議的J脆弱性。在TCP的三次握手過程中，入侵者假冒

被入侵主機的信任主機與被入侵主機進行連接，棄對被入侵主機所信任H勺主機發(fā)

起沉沒襲擊，便被信仟的主機處在癱瘓狀態(tài)。當(dāng)主機正在講行遠程服務(wù)時，網(wǎng)絡(luò)

入侵者最輕易獲得目的網(wǎng)絡(luò)的信任關(guān)系，從而進行IP欺騙。IP欺騙是建立在對

目的網(wǎng)絡(luò)的信任關(guān)系基礎(chǔ)之上的。同一網(wǎng)絡(luò)的計算機彼此都懂得對方的地址，它

們之間互相信任。由于這種信任關(guān)系，這些計算機彼此可以不進行地址H勺認證而

執(zhí)行遠程操作。

(3)DNS欺騙

域名系統(tǒng)(DNS)是一種用于TCP/IP應(yīng)用程序的分布式數(shù)據(jù)庫，它提供主機

名字和IP地址之間的轉(zhuǎn)換信息。一般，網(wǎng)絡(luò)顧客通過UDP協(xié)議和DNS服務(wù)器進

行通信，而服務(wù)器在特定的53端口監(jiān)聽，并返回顧客所需的有關(guān)信息。DNS協(xié)

議不對轉(zhuǎn)換或信息性的更新進行身份認證，這使得該協(xié)議被人以某些不一樣日勺方

式加以運用。當(dāng)襲擊者危害DNS服務(wù)器并明確地更改主機名一IP地址映射表

時,DNS欺騙就會發(fā)生。這些變化被寫入DNS服務(wù)器上歐I轉(zhuǎn)換表。因而，當(dāng)一種客

戶機祈求查詢時,顧客只能得到這個偽造歐I地址，該地址是一種完全處在襲擊者

控制下日勺機器的IP地址。由于網(wǎng)絡(luò)上的主機都信任DNS服務(wù)潛，因此一種被破壞

的DNS服務(wù)器可以將客戶引導(dǎo)到非法日勺服務(wù)器，也可以欺騙服務(wù)器相信一種IP

地址確實屬于一種被信任客戶。

網(wǎng)絡(luò)中安全缺陷產(chǎn)生的原因

1.TCP/IP日勺脆弱性

因特網(wǎng)日勺基石是TCP/IP協(xié)議。但不幸的是該協(xié)議對于網(wǎng)絡(luò)的安全性考慮得

并不多。并且，由于TCP/IP協(xié)議是公布于眾的，假如人們對TCP/IP很熟悉，就

可以運用它日勺安全缺陷來實行網(wǎng)絡(luò)襲擊。

2.網(wǎng)絡(luò)構(gòu)造日勺不安全性

因特網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù)。它是由無數(shù)個局域網(wǎng)所連成日勺一種巨大網(wǎng)絡(luò)。當(dāng)

人們用一臺主機和另一局域網(wǎng)的主機進行通信時，一般狀況下它們之間互相傳送

H勺數(shù)據(jù)流要通過諸多機器重重轉(zhuǎn)發(fā)，假如襲擊者運用一臺處在顧客日勺數(shù)據(jù)流傳播

途徑上日勺主機，他就可以劫持顧客的數(shù)據(jù)包。

3.易被竊聽

由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們運用網(wǎng)上免費提供的工具

就很輕易對網(wǎng)上日勺電子郵件、口令和傳播的文獻進行竊聽。

4.缺乏安全意識

雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護屏障，但人們普遍缺乏安全意識，從而使這

些保護措施形同虛設(shè)。如人們?yōu)榱吮荛_防火墻代理服務(wù)器的額外認證，進行直接

H勺PPP連接從而避開了防火墻的保護。

5.2網(wǎng)絡(luò)安全的防備措施

在總體設(shè)計時要注意如下幾種問題：由于局域網(wǎng)采用的是以廣播為技術(shù)基礎(chǔ)

時以太網(wǎng)，任何兩個節(jié)點之間日勺通信數(shù)據(jù)包，不僅被兩個節(jié)點的網(wǎng)卡所接受，同

步也被處在同一以太網(wǎng)上的任何一種節(jié)點的網(wǎng)卡所截取。因此，只要接入以太網(wǎng)

上日勺任一節(jié)點進行偵聽，就可以捕捉發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進

行解包分析，從而竊取關(guān)鍵信息。為解除這個網(wǎng)絡(luò)系統(tǒng)固有歐I安全隱患，可采用

如下措施：

(1)網(wǎng)絡(luò)分段技術(shù)的應(yīng)用將從源頭上杜絕網(wǎng)絡(luò)日勺安全隱患問題

由于局域網(wǎng)采用以互換機為中心、以路由器為邊界日勺網(wǎng)絡(luò)傳播格局，再加上

基于中心互換機日勺訪問控制功能和三層互換功能，因此采用物理分段與邏輯分段

兩種措施，來實現(xiàn)對局域網(wǎng)日勺安全控制，其目日勺就是將非法顧客與敏感日勺網(wǎng)絡(luò)資

源互相隔離，從而防止非法偵聽，保證信息日勺安全暢通

(2)以互換式集線器替代共享式集線器的方式。

強化計算機管理是網(wǎng)絡(luò)系統(tǒng)安全日勺保證。

防火墻

作為信息系統(tǒng)安全產(chǎn)品，防火墻自身也應(yīng)當(dāng)保證安全，不給外部侵入者以可

乘之機。一般，防火墻的安全性問題來自兩個方面:其一是防火墻自身的設(shè)計與否

合理,此類問題一般顧客主線無從入手，只有通過權(quán)威認證機構(gòu)日勺全面測試才能

確定。因此對顧客來說,保守的措施是選擇一種通過多家權(quán)威認證機構(gòu)測試的產(chǎn)

品。其二是使用不妥。一般來說,防火墻日勺許多配置需要系統(tǒng)管理員手工修改,

假如系統(tǒng)管理員對防火墻不十分熟悉,就有也許在配置過程中遺留大量的安全漏

洞。

IDS

不一樣于防火墻，IDS入侵檢測系統(tǒng)是一種監(jiān)聽設(shè)備，沒有跨接在任何推路

上，不必網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對IDS的布署，唯一的規(guī)定是：IDS

應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)日勺鏈路上。在這里，〃所關(guān)注流量〃指日勺是

來自高危網(wǎng)絡(luò)區(qū)域的I訪問流量和需要進行記錄、監(jiān)視的網(wǎng)絡(luò)報文。在如今的網(wǎng)絡(luò)

拓撲中，己經(jīng)很難找到此前日勺HUB式的共享介質(zhì)沖突域日勺網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)

區(qū)域都已經(jīng)全面升級到互換式的網(wǎng)絡(luò)構(gòu)造。因此，IDS在互換式網(wǎng)絡(luò)中日勺位置一

般選擇在：

（1）盡量靠近襲擊源

（2）盡量靠近受保護資源

即服務(wù)器區(qū)域的互換機上、Internet接入路由器之后的第一臺互換機上、

重點保護網(wǎng)段的局域網(wǎng)互換機上防火墻和IDS可以分開操作，IDS是個監(jiān)控系統(tǒng),

可以自行選擇合適的I,或是符合需求的I,例如發(fā)現(xiàn)規(guī)則或監(jiān)控不完善，可以更改

設(shè)置及規(guī)則，或是重新設(shè)置。

六、網(wǎng)間互聯(lián)

將網(wǎng)絡(luò)聯(lián)入INTERNET

七、小結(jié)

通過本次試訓(xùn)，使我對網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)設(shè)備配置方面均有了更深的理解，

可以基本做到保證系統(tǒng)H勺安全性。從中我理解到，網(wǎng)絡(luò)安全H勺實質(zhì)就是要保障系

統(tǒng)中的人、設(shè)備、設(shè)施、軟件、數(shù)據(jù)以及多種供應(yīng)品等要素防止多種偶爾的或人

為H勺破壞或襲擊，使它們發(fā)揮正常，保障系統(tǒng)能安全可靠H勺工作。

八、參照文獻

《計算機網(wǎng)絡(luò)管理與安全》清華大學(xué)出版社第一版

《計算機網(wǎng)絡(luò)管理與安全技術(shù)》人民郵電出版社黃中偉主編

《計算機網(wǎng)絡(luò)》電子工業(yè)出版社楊明福主編

《入侵檢測技術(shù)》人民郵電出版社曹元大主編

辦公室/樓布線網(wǎng)絡(luò)設(shè)計原則及實行

布線系統(tǒng)是建筑或建筑群內(nèi)的網(wǎng)絡(luò)，是實現(xiàn)智能化時基礎(chǔ)。它不僅使建筑物內(nèi)語音和數(shù)

據(jù)通信設(shè)備、互換設(shè)備和其他信息管理系統(tǒng)彼此相通，并且是連接這些設(shè)備與建筑物外部的

通信網(wǎng)絡(luò)。實現(xiàn)辦公室電腦和有關(guān)辦公設(shè)備信息接口的J連網(wǎng)，并保證其可靈活使用性，使用

穩(wěn)定性，長期使用性，外觀美觀性。

而辦公室布線作為顧客的最終使用的信息點（信息插座），在墻上安放日勺位置、使用與

否以便，信息點的多少以及后來出現(xiàn)問題能否便于維護是我們進行辦公室網(wǎng)絡(luò)布線必須要考

慮的。因此，辦公室里強弱電（電力電源和圖象、數(shù)據(jù)、語音）線路口勺走向等原因都是我們

規(guī)劃與設(shè)計日勺范圍之中，因此辦公室布線網(wǎng)絡(luò)，細節(jié)決定成敗。我們設(shè)計思緒就是采用辦公

室布線系統(tǒng)的原則進行實行，這樣管理維護以便，系統(tǒng)設(shè)計有一定超前性，考慮此后未來的

高規(guī)定應(yīng)用。

一、辦公室布線網(wǎng)絡(luò)設(shè)計原則

1、綜合性

辦公室布線需要滿足多種不一樣模擬或數(shù)字信號的傳播需求，將所有H勺語言、數(shù)據(jù)、

圖象、監(jiān)控設(shè)備H勺布線組合在?套原則H勺布線系統(tǒng)上，設(shè)備與信息出I」之間只需?根原則

的連接線通過原則的接口把它們接通即可。

2、可靠性

辦公室布線系統(tǒng)使用的產(chǎn)品必須要通過國際組織認證，布線系統(tǒng)日勺設(shè)計、安裝、測試

以ANSIEIA/TIA568A及GB/T50311-200為布線原則、遵照國內(nèi)的布線規(guī)范和測試規(guī)范。

3、靈活性

每個辦公地點究竟使用多少個信息點，辦公室布線不僅滿足顧客目前需求，也要符合

顧客對未來信息系統(tǒng)統(tǒng)的期望；并且數(shù)據(jù)、語音雙絞線布線應(yīng)具有可換性，構(gòu)成一套完整的

布線系統(tǒng)。

4、合理性

辦公室強弱電的布線走向要合理搭配，互不干擾，并且要外形美觀；顧客同步使用計

算機的電源、、網(wǎng)線要以便操作、便于后來的運行維護。

5、有線和無線的互補性

根據(jù)大樓的詳細建筑環(huán)境和辦公規(guī)定，長期還是臨時使用網(wǎng)絡(luò)等狀況下，決定采用有

線的布線還是無線；一般來說，是將有線和無線結(jié)合起來，發(fā)揮各自H勺專長，來到達我們上

網(wǎng)辦公的目日勺。

二、辦公室布線網(wǎng)絡(luò)H勺實行

1、辦公室布線的需求

辦公室布線的信息插座作為布線系統(tǒng)H勺水平子系統(tǒng)一部分，不管企業(yè)H勺辦公應(yīng)用怎樣

變化，辦公室綜合布線需要滿足我們?nèi)绮芬?guī)定。

對的I規(guī)定：運用互換機，將企業(yè)與外界有效地聯(lián)絡(luò)起來，同步以便內(nèi)部通話。

對電腦網(wǎng)絡(luò)的規(guī)定：綜合布線采用星形構(gòu)造，能支持目前及此后的網(wǎng)絡(luò)應(yīng)用一一10Mb以

太網(wǎng)、100Mb迅速以太網(wǎng)、1000Mb千兆位以太網(wǎng)。對圖像傳播方面的需求：模擬圖像、數(shù)

字圖像、會議電視等。

現(xiàn)代化的辦公環(huán)境，通訊時刻要保證穩(wěn)定可靠。在出現(xiàn)下面狀況日勺時候，我們都要謹

慎考慮布線系統(tǒng)：在新大樓修建前，在新大樓修建中，在舊樓改造時，在企業(yè)需遷新址時：

在企業(yè)、電腦應(yīng)用增長，而尚未采用綜合布線時：在企業(yè)以往的布線系統(tǒng)不能滿足需求

時。

2、信息插座的安裝位置

對于辦公樓環(huán)境而言，辦公空間有大開間，也有四壁U勺小房間。對這兩種形式下的工

作區(qū)子系統(tǒng)的面板安裝采用不一樣H勺安裝措施。小房間不需要分隔板，信息插座只需安裝于

墻上；對于大開間而言，選用如下兩種形式的安裝措施：

1）信息插座安裝于地面上

規(guī)定安裝于地面的金屬底盒應(yīng)當(dāng)是密封的、防水、防塵并可帶有升降的功能。此措施

對于設(shè)計安裝造價較高。并且由于事先無法預(yù)知工作人員H勺辦公位置，因此靈活性不是很好,

提議根據(jù)房間打勺功能用途確定位置后，作好預(yù)埋，但不合適大量使用，以免影響美觀。

2）信息插座安裝于墻上

此措施在分隔板位置未確定狀況下，可沿大開間四面口勺墻面每隔一定距離均勻地安裝

RJ45埋入式插座。RJ45埋入式信息插座與其旁邊電源插座應(yīng)保持20cm的距離，信息插座

和電源插座日勺低邊緣線距地板水平面30cm。信息模塊與雙絞線壓接時，注意顏色標號配對,

進行對的壓接。連接方式分為568A和568B兩種方式，兩種方式均可采用，但注意在一套

系統(tǒng)方案中只能統(tǒng)一采用一種方式。

3、辦公室布線電纜走線方式

辦公室電纜可以直接走天花板架，放入線槽，埋入墻中，工業(yè)原則容許在靠近連接地

方引入結(jié)合點。

1）采用走吊頂口勺輕型槽型電纜橋架日勺方式這種方式合用于大型建筑物。為水平線纜提供

機械保護和支持日勺裝配式槽型電纜橋架，是?種閉合式金屬橋架，安裝在吊頂內(nèi)，從弱電豎

井引向設(shè)有信息點的房間，在由預(yù)埋在墻內(nèi)的不一樣規(guī)格的鐵管，將線路引到墻上的暗裝鐵

盒內(nèi)。線槽的材料為冷軋合金板，表面可進行對應(yīng)處理，如鍍鋅、噴塑、烤漆等，線槽可以

根據(jù)狀況選用不一樣的規(guī)格。為保證線纜日勺轉(zhuǎn)彎半徑，線槽需配以對應(yīng)規(guī)格口勺分支配件，以

提供線路路由IJ勺轉(zhuǎn)彎自如，

為保證線路的安全，應(yīng)使槽體有良好H勺接地端，金屬線槽、金屬軟管、金屬橋架及分

派線機柜均需整體連接，然后接地，如不能確定信息出口精確位置，拉線時可先將線纜盤在

吊頂內(nèi)的出線口，待詳細位置確定后，再引到信息出口。

2）采用地面線槽走線方式

這種方式適應(yīng)于大開間的辦公間，有密集的地面型信息出11時狀況，提議先在地面墊

層中預(yù)埋金屬線槽或線槽地板。主干槽從弱電豎井引出，沿走廊引向設(shè)右信息點的各房間，

再用支架槽引向房間內(nèi)的信息點出線口，強電線路可以與弱電線路平等配置，但需分隔于不

一樣的線槽中，這樣可以向每i種顧客提供一種包括數(shù)據(jù)、話音、不間斷電源、照明電源出

11時集成面板，真正作到在一種清潔日勺環(huán)境中，實現(xiàn)辦公自動化。

4、辦公室其他的布線細節(jié)

在每個辦公室布置的信息點（信息插座）應(yīng)當(dāng)和辦公室的J電源插座布在同一種水平方

向上，并且間距30cm左右：這樣布線重要是便于顧客的電源和雙絞線網(wǎng)線的同步連接，也

便于后米維修維護；目前布置每個信息插座最佳能采用4LI的布線面板，二個網(wǎng)絡(luò)接口布線

（一種外網(wǎng)、一種內(nèi)網(wǎng)），二個語音點（一種內(nèi)線、一種外線），并且網(wǎng)絡(luò)數(shù)據(jù)與語音布線可

以互換使用；根據(jù)企業(yè)的）實際需求狀況，設(shè)計每個辦公室H勺信息點和語音點，接每個信息點

的附近應(yīng)當(dāng)配置電源插座，有時候在辦公室合適的I位置還需要布視頻點，火火系統(tǒng)探頭以及

監(jiān)控點等布線細節(jié)。

辦公室布線系統(tǒng)與辦公室H勺裝修及辦公室家俱日勺配置緊密相連，辦公室布線系統(tǒng)是一套

原則的配線系統(tǒng)，綜合了所有H勺語音、數(shù)據(jù)、圖像與監(jiān)挖等設(shè)備，可以將多種設(shè)備終端插頭

插入原則的信息插座內(nèi)。辦公室布線系統(tǒng)對不一樣廠家的語音、數(shù)據(jù)設(shè)備均可兼容，且使用

相似的電纜與配線架、相似的插頭和模塊插孔。

多種辦公室的網(wǎng)絡(luò)布線要在企業(yè)網(wǎng)建設(shè)時計算機裝備數(shù)量的基礎(chǔ)上考慮60%左右的冗

余，防止網(wǎng)絡(luò)建成很快，某些辦公室因端口數(shù)量局限性而連接網(wǎng)段擴展設(shè)備如集線器、互換

機致使網(wǎng)絡(luò)通訊出現(xiàn)故障，

辦公室布線系統(tǒng)采用模塊化設(shè)計，布線系統(tǒng)中除固定于辦公室內(nèi)的水平線纜外，其他所

有的接插件都是模塊化原則件，易于擴充及重新配置。辦公室布線系統(tǒng)能將目前和未來口勺語

音、數(shù)據(jù)、網(wǎng)絡(luò)、互連設(shè)備以及監(jiān)控設(shè)備很以便地擴展進去，是真正面向未來的先進技術(shù)。

5、辦公室無線網(wǎng)絡(luò)“布線”（“活動辦公室”）

為適應(yīng)市場H勺變化，對企業(yè)內(nèi)部進行了調(diào)整，調(diào)整后原有辦公室內(nèi)R勺人員增長，原有的

布線端口已不能滿足調(diào)整后的辦公需要。并且企業(yè)H勺工作方式也發(fā)生了變化，常常有臨時人

員在辦公室內(nèi)處理業(yè)務(wù)。佞如企業(yè)辦公環(huán)境是舊的I大樓；或者由于企業(yè)的發(fā)展需要辦公地點

不能固定在一種大樓等這種狀況不能進行有線布線。

這時候就可以考慮采用建立無線網(wǎng)絡(luò)為移動辦公人員提供網(wǎng)絡(luò)接入；運用無線網(wǎng)絡(luò)“布

線”可以使顧客擁的?種可以隨時移動的辦公區(qū)域。對于需要隨時增長辦公節(jié)點而又需要網(wǎng)

絡(luò)連接辦公區(qū)域日勺企業(yè)，這一點十分有用。“活動辦公室”能使這些新增長日勺辦公接入點使

用辦公室內(nèi)原有H勺打印機、存儲設(shè)備等所有共享設(shè)備，操作簡樸到只需要插入一塊無線網(wǎng)卡

即可。這樣就彌補了有線布線的缺陷，將有線和無線結(jié)合起來，滿足企業(yè)上網(wǎng)辦公R勺實際需

求。

按發(fā)達企業(yè)辦公大樓實際布局狀況，有兩種布線方案：

第?方案，所有主干互換機都是在機房管理，每?辦公樓層室內(nèi)所需要配置線材都要

辦公樓一層辦公樓二層辦公樓N層

這樣布線方案長處在后來維護以便，可以真確迅速地懂得網(wǎng)絡(luò)故障在那里，并且網(wǎng)絡(luò)

傳播較快，原則網(wǎng)絡(luò)（不受外來干擾等原因）一般平均速率達90M/S以上。

第二方案，主干網(wǎng)絡(luò)互換機在機房，每一辦公樓樓層或每一室都配次互換機，并且有

兩條線材到機房主干互換機（一條作主傳播，另一條作后備）（圖二