公司网络建设及公司网络拓扑图

公司网络拓扑图及公司网络建设摘    要 III第一章 绪论 1第二章 网络设计分析 22.1  公司网络建设的总体需求分析 22.2 设计原则及设计目标 3第三章  网络组建与规划 53.1公司网络系统概述 53.2网络操作系统选择 53.3 网络拓扑结构 63.3IP地址规划 6第四章 综合布线系统 104.1 布线系统概述 104.2系统组成说明 10第五章服务器选择和设置 25.1 DNS服务器配置 25.2 DHCP服务器配置 3手工配置TCP/IP的特点 3自动配置TIP/IP的优点 35.3 WEB服务器的配置 4Web服务器的配置 4第六章 网络安全 76.1网络信息安全设计与实施步骤 76.1.1确定面临的各种攻击和风险 76.1.2明确安全策略 76.2安全解决方案的具体实现 76.2.1应用代理服务器（Application Gateway Proxy） 86.2.2网络地址转换器 86.2.3隔离域名服务器 8结束语 10致  谢 361公司网络拓扑图及公司网络建设Fiber-Optic Reflective Displacement Measuring System                                                              Author :                                                       Tutor  :
Abstract                             Along with the information technology unceasing development, the information technology develops the more and more promoter action to the social progress and the national economy, and to the traditional thought idea, the work way brought the huge impact, the world already enters the information time. The network gradually enters all the various trades and occupation, its vital function appears day by day. As soon participates in the high tech competition the company enterprise, how faces the impact which the network time brings, how enhances the company using the network technology the management level and the grade of service, is important topic which very many enterprises faces. In the company enterprise interior network construction, I use the Chinese telecommunication the mature 1000000000000000 ether nets technology which provides as ISP, the interior use three structures, namely the core level, the exchange level and turn on the level, elects the network develops the plain structure is a star, through equipment and so on connection router, firewall, switchboard, server, workstation comes the skeleton network. Realizes VLAN during the implementation by the network software system and three switch boards to manage various administrative offices, the department, the engine room turns on the network management center, utilizes C/S the working pattern, the effective management staff has used the computer the time, the visit jurisdiction and so on, we uses the VPN technology in the design, satisfies outside the concerned staff travels on official business when promptly with the base company obtains the relation. Thus, may set up has the wide band circuit and the interactive function specialized local area network applies to the scholarly research, the management and the communication three big functions. Has the good expansion ability, will satisfy the next network development request. Key word: Router firewall switchboard VLAN wiring department Series . 随着信息技术的不断发展，信息技术对社会进步和国民经济发展起到越来越大的促进作用，并对传统的思想观念、工作方式带来巨大的冲击，世界已经进入信息化时代。网络逐步进入各行各业，其重要作用日益显现出来。作为即将参与高科技竞争的公司企业，如何面对网络时代带来的冲击，如何利用网络技术提高公司的管理水平和服务质量，是很多企业面临的重要课题。在公司企业内部的网络建设中，我采用中国电信作为ISP提供的成熟的千兆以太网技术，内部采用三层结构，即核心层、交换层和接入层，所选的网络拓扑结构是星型，通过连接路由器、防火墙、交换机、服务器、工作站等设备来构架网络。在实施中同时以网络软件系统和三层交换机实现VLAN管理各科室、部门、机房接入网络管理中心,通过防火墙接入深圳市的骨干网络，更好更快的获取外界的信心,加强与同行的交流和竞争,运用C/S的工作模式，有效的管理了员工使用计算机的时间、访问权限等，在设计中我们利用VPN技术，以满足有关员工外出差时及时与公司总部取得联系。这样，可以组建具有宽带通路和交互功能的专业性局域网应用于学术研究、管理和通讯三大功能。在核心层主要采用硬件与软件技术相结合来实现其功能，而并不仅仅采用较贵的硬件来实现网络功能，充分利用现有的资源，不浪费，不盲目追求设备的高端化，对现有的计算机资源进行降级再使用。同时考虑到公司的应用环境，建设了丰富的应用服务器，以满足信息共享的需求。同时考虑到公司今后的发展壮大，采用开放式的结构和技术，使网络具有良好的扩充能力和开放性，以满足今后网络发展要求.关键词：路由器 防火墙 交换机 VLAN 布线系统公司网络拓扑图及公司网络建设1.1建网背景：     随着信息技术的不断发展，信息技术对社会进步和国民经济发展起着越来越大的促进作用，并对传统的思想观念、工作方式带来巨大的冲击，世界已进入信息化时代。网络已进入了各行各业，同时也带动了各个行业的发展，深圳汇大光电科技有限公司为提高办事效率，争取创造更多的效益，实行了办公的信息化，作为信息的传送和执行工具，网络在公司的发展中显得尤其重要。下面我们就以深圳汇大光电科技有限公司为例谈谈公司的内部网络建设。近年来，随着先进设备的引进，信息的增多，设备共享和信息的规范的管理越来越重要，在这信息化的时代中，建立一个先进的信息网络系统已经刻不容缓。1.2建网目标
深圳汇大光电科技有限公司集研发、生产、销售于一体，专业研发、生产led（发光二极管）。建筑楼群有生管部、人事部、财务部、销售部、技术部、综合办公楼。其网络接入和规划主要实现以下功能：(1)实现设备共享，减少重复投资； (2)通过WEB发布，实现INTERNET信息查询； (3)通过远程拨号实现远程作业(VPN技术)； (4)实现个部门及办公室实时监控，实时掌握公司变化及员工工作情况； (5)信息共享及统一管理，公司的各种文件可以通过电子邮件或FTP等形式传达精神； (6)建立多功能指挥厅，便于公司领导统一指挥；(7)共享打印资源；(8)提供方便的网络管理；(9)在经济实用的前提下增加网络总体性能。第二章 网络设计分析2.1  公司网络建设的总体需求分析深圳汇大光电科技有限公司的业务量庞大，全自动发光管生产线，从事生产LED光电产品的生产制造，其产能将以满足集团客户对元件的需求。随着公司业务量的不断增大以及生产的不断发展，公司内部网络的应用需求比较复杂；各部门的应用系统要求每周7天、每天24小时连续运转，对网络设备的性能和品质要求苛刻。　　综合来看，深圳汇大光电科技公司的网络设计项目需要全面考虑，精心设计，以保证网络设计后能够大幅提高网络的整体负载能力，增强网络系统的安全性、可靠性、扩展性和可维护性等，使网络系统为各种应用和服务提供更快的速度、质量和性能，并为新型网络技术应用提供基础平台，从而提高公司的工作效率和经济效益。因此，公司网络建设的目标应该是建立一个面向各部门的信息交流的综合服务平台，为各部门提供系统的技术支持、信息服务和各种应用系统提供运行基础平台。
2.2 设计原则及设计目标根据深圳汇大光电科技有限公司的具体要求，基于以下原则来设计公司北部的网络：实用性：根椐应用系统的要求确定整个系统的结构，即从系统功能和信息需求出发，拟建系统的结构必须满足系统的传输能力要求、信息安全要求、人机交互能力要求、信息处理要求, 遵循面向应用，注重实效，急用先上，逐步完善的原则；先进性：以先进、成熟的网络通信技术进行组网，支持数据、语音、视像等多媒体应用，用基于交换的技术替代传统的基于路由的技术。并且能确保网络技术和网络产品几年内不落后；可靠性：系统必须可靠运行，主要的、关键的设备应有冗余，一旦系统某些部分出现故障，应能很快恢复工作，并且不能造成任何损失；开放性：选择的产品应具有好的互操作性和可移植性，并符合相关的国际标准和工业标准；可扩充性：系统是一个逐步发展的应用环境，在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能，这种扩充不仅能充分保护原有资源，而且具有较高的性能价格比,使整个网络系统是可扩展的，便于系统升级，改装；可伸缩性原则：网络的建设是一项持续性的系统工程项目，坚持网络建设规模的可伸缩性原则，将使得网络的建设费用降低，避免不必要的浪费，也体现了网络建设的灵活性；可维护性：系统具有良好的网络管理、网络监控、故障分析和处理能力，使系统具有极高的可维护性；安全性：信息系统安全问题的中心任务是保证信息网络的畅通，确保授权实体经过该网络安全地获取信息，并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。一个系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，有效的利用现有的资源，并且从用户的利益出发，一个好的系统应当给用户一定的自由度，而不是束缚住他们的手脚，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据用户的总体需求，结合对应用系统的考虑，我们提出网络系统的设计目标：可靠的技术选型、标准的体系结构、高的带宽容量、安全的流控设计、用户互操作性、运行性能以及可扩展性 公司网络拓扑图及公司网络建设网络组建与规划3.1公司网络系统概述根据公司网络建设的需求，我们从技术与经济两方面考虑，并结合公司将来的发展，决定采用千兆以太网技术以满足网络的整体性能需求。在网络的设计过程中，我们采用三级结构，依层次划分为核心层、汇聚层和接入层。并与各科室的不同职能结合起来，使网络结构性强，层次清晰，整个系统的运行和应用有各自的相对独立性，又具有合理的数据流向，组成具有层次和结构化特征的统一体，既结构化网络。在搭建网络信息平台时，我们遵循IEEE802.3标准，按照C/S体系结构建立各层次的网络应用。采用TCP/IP和IPX/SPX网络组建协议，将网络服务器，通信设备，网络安全设备等整合在一起，应用网间互连、路由、网络管理、防火墙、远程接入方案，虚拟专用网（VPN）、子网划分、数据可靠传输、端口冗于、CA认证等技术，同时包容公司专门开发的应用软件系统，支持上网应用软件等软件的运行，建立起稳固、可靠、安全、先进和开放的网络应用平台。3.2网络操作系统选择网络操作系统或服务器操作系统，高性能、高可靠性和高安全性是其必备要素，尤其是日趋复杂的企业应用和Internet应用，对其提出了更高的要求。基于现在市场上大多用户的使用习惯，本设计采用WINDOWS系列操作系统，服务器采用成熟的Windows 2000 sever，工作站可根据用户使用习惯选用windows 98、windows 2000和windows XP，在本设计中工作站用windows 2000 professinal操作系统，个别采用windows XP系统。
3.3 网络拓扑结构              深圳汇大光电科技有限公司网络拓扑结构3.1
3.3IP地址规划  在网络规划的过程中，我们考虑的IP分配表包含连接不同网段的各种网络设备的信息，如路由器、网桥、网关的位置、IP地址，并用相应的网络地址标注各网段。深圳汇大光电科技有限公司现设有生管部、人事部、财务部、销售部、技术部、综合办公楼等等。本设计充分考虑到公司将来的需要，内网互联采用10.10.0.0——10.10.255.254来扩展，但是IP地址的设计有公司的设计原则。 
IP地址的设计原则： 1、IP地址的唯一性：即IP地址是区分网络主机的唯一标识，同一个网络中不能有相同的IP地址。2、IP地址规划的简单性：IP地址的规划应本着简单的原则，避免在网络主干采用复杂的网络掩码形式。3、IP地址规划的层次性：IP地址在规划时，应考虑到网络中的子网，以及子网中计算机的数量，这样才能确定IP地址的类型和子网掩码。4、IP地址的连续性。5、IP地址规划的可扩展性。6、IP地址规划的灵活性。7、网络的安全性。8、IP地址根据需要采用静态或动态分配。现根据公司的组织结构图和网络拓扑结构图确定IP地址分配表，具有IP地址分配清单：内防火墙的IP：10.10.0.1外网服务群：10.10.1.2 ～10.10.1.N网络中心：10.10.1.1生管部服务器：10.10.2.1技术部服务器：10.10.3.1综合办公室：10.10.4.1人事部：10.10.5.1财务部：10.10.6.1会议室：10.10.7.1各部门服务器命名原则是根据各部门的汉语拼音的头一个字母,同一部门的工作站可在拼音字母后加数字来标明,各办事处PC用当地的地名来标注。部门  　　  IP地址      子网掩码      网关 生管部　  10.10.2.2～10.10.2.254　255.255.255.0 10.10.2.1  技术部　  10.10.3.2～10.10.3.254　255.255.255.0 10.10.3.1  综合办公室　10.10.4.2～10.10.4.254　255.255.255.0 10.10.4.1  人力资源部 10.10.5.2～10.10.5.254　255.255.255.0 10.10.5.1 财务部　  10.10.6.2～10.10.6.254　255.255.255.0 10.10.6.1会议室  10.10.7.2～10.10.7.254　　255.255.255.0 10.10.7.1公司网络建设及公司网络拓扑图综合布线系统4.1 布线系统概述布线系统是建筑或建筑群内的网络, 是实现智能化的基础。它不仅使建筑物内语音和数据通信设备、交换设备和其它信息管理系统彼此相通，而且是连接这些设备与建筑物外部的通信网络。    由于传统的布线系统对不同应用系统采用不同的布线，由不同的人员负责实施和维护，其灵活性及扩充性不够。传统布线的不足主要表现在：不同应用系统（电话、计算机系统、局域网、楼宇自控系统等）的布线各自独立，不同的设备采用不同的传输线缆构成各自的网络。同时，连接线缆的插座、模块及配线架的结构和生产标准不同，相互之间达不到共用的目的，加上施工时期不同，致使形成的布线系统存在极大差异，难以互换通用。因此无法满足智能化的要求等。4.2系统组成说明(1)综合布线系统由建筑群干线系统、设备间系统、水平系统以及工作区间系统组成；(2)工作区子系统（WORK AREA SUBSYSTEM）；(3)工作区布线子系统；由终端设备到信息插座的连线（或软线）组成，它包括：连接器、连接跳线、信息插座；信息插座有墙上型、地上（防水）型、桌上型等多种；标准有：RJ-45、RJ-11及单、双、多口等结构。对工作区子系统的连线分配，使用ISO/IEC 11801标准或 EIA/TIA 568标准； 图4.1工作区布线子系统图  工作区子系统信息插座安装位置确定：如图 图4.2 信息插座安装位置(4)水平步线子系统（HORIZONTAL SUBSYSTAM）；水平布线子系统将电缆从楼层配线架连接到各用户工作区的信息插座上，通常处于同一楼层之上，可以采用3类、5类或超五类4对屏蔽/非屏蔽双绞线；3类、5类及超五类双绞线都是由4对24-AWG的对绞铜线组成；3类线在10MBPS应用时无误码传输距离为100米、16MBPS时为50米；5类线在155MBPS时可传输80米、在100MBPS时为100米；超五类在155Mhz时传输距离可以达到100米。速率更高时可采用光纤。 图4.3水平步线子系统(5）垂直干线子系统（RISERBACKONE SUBSYSTEM）；指各搂层配线架与主配线架间的干缆：可以为大对数双绞线、光缆也可以二者混用；其主要功能是将主配线架系统和各楼层配 线架连接起来。(6)设备间子系统（EQUIPMENT SUBSYSTEM）；设备间子系统由主配线架和各公共设备组成，它主要功能是将各种公共设备（如：计算机主机，PABX、网络交换设备等）与主配线架连接起来，该子系统还包括雷电保护装置。(7)建筑群室外连接子系统（CAMPUS BACKBONE SUBSYSTEM）；子系统是指主建筑物中的主配线架延伸到另外一些建筑物的主配线架的连接系统。与垂直子系统类似，通常采用光纤或大对数电缆连接，它是整个布线系统的一部分（包括传输介质）并支持提供楼群之间通信所需的硬件，其中有电缆、光缆，和防止电缆的浪涌电压进入建筑物的电气保护设备。(8) 管理子系统（ADMINISTRATION SUBSYSTEM）。管理子系统设置在楼层配线房间、是水平系统电缆端接的场。所，也是主干系统电缆端接的场所；由大楼主配线架、楼层分配线架、跳线、转换插座等组成。用户可以在管理子系统中更改、增加、交接、扩展线缆。用于改变线缆路由。建议采用合适的线缆路由和调整件组成管理子系统。管理子系统三种应用：水平/干线连接；主干线系统互相连接；入楼设备的连接。线路的色标标记管理可在管理子系统中公司网络拓扑图及公司网络建设服务器选择和设置5.1 DNS服务器配置当安装完DNS服务器后，就可以简单地管理服务器，如服务器连接﹑启动﹑停止﹑断开等．(1)选择＂开始＂｜＂程序＂｜＂管理工具＂｜＂DNS＂菜单，打开＂DNS＂控制台。(2)在控制台树中选中DNS服务器后，选择“操作”|“配置服务器”菜单，启动“配置DNS服务器向导”。(3)单击‘下一步“按钮，在弹出的对话框中，选择是否创建正向搜索区域，它是一个名称到地址的数据库。(4)单击“下一步”按钮，在弹出的对话框中选择区域类型，Windows可用如下三种类型获取并且保存区域信息：①Active Directory集成的区域：Active Director 集成的区域是一个新区域的主拷贝，该区域活动目录存储和复制区域文件。②标准主要区域：该区域是一个新区域的主拷贝，存放在一个标准文本文件中，用户可在创建区域的计算机上管理和维护一个主控区域。在默认的情况下，选中“标准主要区域”。③标准辅助区域：该区域是现有的一个区域的副本，是只读的，也存放在一个标准文本文件中。若要创建一个辅助区域，必须设置一个主控区域. 当用户创建辅助区域时必须指出做主服务器的DNS服务器，它将区域信息传递到包含标准辅助区域的名称服务器上。创建一个辅助区域的目的是提供冗余和减少包含主控区域数据库文件的名称服务器上的负载。(5)单击“下一步”按钮，在弹出的对话框中输入新建区域的名称。(6)单击“下一步”按钮，在弹出的对话框中，选择创建一个新区域文件或使用一个其他计算机上法制的现存文件。(7)单击“下一步”按钮，在打开的对话框中选择是否创建反向搜索区域。(8)单击“下一步”按钮，在弹出的对话框中选择反向搜索区域的类型，同样有Active Directory集成的区域的类型、标准区域和标准辅助区域三种。(9)单击“下一步”按钮，在弹出的对话框中输入搜索反向区域的网络ID和子网掩码。(10)单击“下一步”按钮，在弹出的对话框中输入区域文件名。在默认的情况下，区域文件名由网络ID和子网掩码确定。DNS将IP地址段倒转次序并且增加in-addr.arpa后缀。(11)单击“下一步”按钮，在弹出的对话框中显示完成DNS服务器配置向导时创建的有关信息。(12)单击“完成”按钮，完成DNS服务器的配置.
5.2 DHCP服务器配置手工配置TCP/IP的特点 (1)在每一个可户计算机上都要手工输入IP地址等配置,配置工作量大(2)用户有可能输入错误的或者非法的IP地址(3)不正确的配置可能通信和网络问题(4)当计算机频繁移动时，有可能要频繁改变IP地址等设置从而加大日常管理开销自动配置TIP/IP的优点(1)IP地址和相关信息可被DHCP服务器自动提高给每一个可户计算机，而不是在每台客户机上去配置它们，减少了挂机工作量(2)保证了客户机总是使用正确的配置工作量(3)消除了不正确配置可能导致的通信网络问题(这是一个常见的网络问题)(4)可自动更新客户机配置信息,以反映网络结构的变化
5.3 WEB服务器的配置Web服务器的配置(1) Web服务器属性的设置：通过“开始”|“设置”|“控制面板”|“管理工具”|“Internet 信息服务（IIS）管理器”菜单命令，打开“Internet信息服务（IIS）管理器”控制台，双击计算机名展开可管理的服务，再展开“网站”项，选中“默认Web站点”。再右键单击“默认Web站点”，选择“属性”。弹出如下对话框（图5.2）：            图5.2 Web站点属性(2) 选择该对话框中的“Web站点”按钮，可以看到“Web站点标识”项中其TCP端口为众所周知的80端口，在“连接超时”栏中输入时间，表示如果在这段时间内没有信息传递，则断开连接。(3) 选择“性能”选项卡，如下图（5.3）所示，在“启用带宽限制”项综括眼设置限制网站使用的网络带宽。 图5.3 性能选项示图(4) 选择“主目录”选项卡，所示主目录是指存放网站所有文件的位置。默认网站的主目录为本地路径“c:\inetpub\wwwroot”。如果选择的是“另一台计算机上的共享”，则需要在打开的 “网络目录”栏按“\\服务器名\共享名”格式输入网络目录。你还可以将该网站的主目录设置到因特网上的另一个站点位置，方法就是选取“重定向到URL”，再在打开的“重定向到”栏中输入另一个站点的URL（格式为:http://域名）。另外，还可以对主目录进行访问权限设置，如读取权限合伙是写入权限，在这里我们为了安全把目录设置为：\D:\inetpub\wwwroot(5) 选择“文档”选项卡，你就可以选择是否启用默认内容文档，所谓默认内容文档是指当浏览器访问Web服务器时，不需要提供想要访问的文件名，只要输入Web服务器的地址即可，服务器会自动将默认内容的文档提供给浏览器。这些文档也称为主页，这里的主页文件名要与你实际使用的网站的主页名一样 (6) 选择“目录安全性”选项卡，如下图5.4所示，在“匿名访问和验证控制”中的“编辑”按钮，打开“验证方法”对话框，可以设置是否启用匿名访问。如图5.7所示。所谓匿名访问是指用户可使用统一的用户名及密码对服务器进行访问，如果允许匿名访问，用户访问Web服务器时不需要输入用户名及密码。对于向社会发布的网站，一般应允许匿名访问以方便客户的访问。如果不允许匿名访问，用户访问Web服务器时就必须输入用户名及密码才能访问，如果选中了“集成Windows身份认证”复选框，这里输入的用户名几密码就是在Windows Sever 2000设置的用户名及密码，对于内部使用的网站，一般不允许匿名访问，以提高系统的安全性。 图5.4目录安全性设      图5.7 验证方法设置(7) 在“目录安全性”选项卡中的“IP地址和域名限制”中，单击“编辑”按钮，可以设置允许或拒绝对此资源的访问的IP地址或域名公司网络建设及公司网络拓扑图 网络安全6.1网络信息安全设计与实施步骤6.1.1确定面临的各种攻击和风险网络安全系统的设计和实现必须根据具体系统和环境，考察、分析、评估、检测（包括模拟攻击）和确定系统存在的安全漏洞和安全威胁。6.1.2明确安全策略安全策略是网络安全系统设计的目标和原则，是对应用系统完整的安全解决方案。安全策略要综合以下几方面优化确定：(1) 系统整体安全性，由应用环境和用户需求决定，包括各个安全机制的子系统的安全目标和性能指标；(2) 对原系统的运行造成的负荷和影响（如网络通信时延、数据扩展等）；(3) 便于网络管理人员进行控制、管理和配置；(4) 可扩展的编程接口，便于更新和升级；(5) 用户界面的友好性和使用方便性；(6) 投资总额和工程时间等。6.2安全解决方案的具体实现根据公司局域网的结构特点及面临的安全隐患。我们采用思科公司设计的企业网络安全体系方案。方案在系统、科学地分析计算机网络OSI模型的基础上，确定了以下几个必须考虑的安全防护要点：网络安全隔离、网络监控措施、网络安全漏洞、网络病毒的防范,防火墙部署。我们介绍实现防火墙的主要技术,防火墙的实现从层次上大体上可以分两种：包过滤和应用层网关。包过滤是在IP层实现的，因此，它可以只用路由器完成。报文过滤根据报文的源IP地址、目的IP地址、协议类型（TCP包、UDP包、ICMP包）、源端口、目的端口及报文传递方向等报头信息来判断是否允许报文通过。防火墙是位于Internet与内部网的接口处，网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器现在也出现了一种可以分析报文数据区内容的智能型报文过滤器。报文过滤的弱点可以用应用层网关解决。6.2.1应用代理服务器（Application Gateway Proxy）在网络应用层提供授权检查及代理服务。当外部某台主机试图访问受保护网络时，必须先在防火墙上经过身份认证。通过身份认证后，防火墙运行一个专门为该网络设计的程序，把外部主机与内部主机连接。在这个过程中，防火墙可以限制用户访问的主机、访问时间及访问的方式。同样，受保护网络内部用户访问外部网时也需先登录到防火墙上，通过验证后，才可访问。应用网关代理的优点是既可以隐藏内部IP地址，也可以给单个用户授权，即使攻击者盗用了一个合法的IP地址，也通不过严格的身份认证。因此应用网关比报文过滤具有更高的安全性。但是这种认证使得应用网关不透明，用户每次连接都要受到认证，这给用户带来许多不便。这种代理技术需要为每个应用写专门的程序。6.2.2网络地址转换器    当受保护网连到Internet上时，受保护网用户若要访问Internet，必须使用一个合法的IP地址。但由于合法Internet IP地址有限，而且受保护网络往往有自己的一套IP地址规划（非正式IP地址）。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾，又对外隐藏了内部主机的IP地址，提高了安全性。6.2.3隔离域名服务器我们采用这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离，使外部网的域名服务器只能看到防火墙的IP地址，无法了解受保护网络的具体情况，这样可以保证受保护网络的IP地址不被外部网络知悉。邮件技术(Mail Forwarding)当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时，从外部网络发来的邮件，就只能送到防火墙上。这时防火墙对邮件进行检查，只有当发送邮件的源主机是被允许通过的，防火墙才对邮件的目的地址进行转换，送到发。　在这里，我们采用在Internet与内网之间部署一台瑞星RFW-100防火墙，成为内外网之间一道牢固的安全屏障。我们在内网中核心交换机与中心交换机间同样部署一台防火墙 ；防止内部员工攻击我们的服务器和盗窃公司内部网的机密文件。从而让重要文件服务器和数据库服务器工作在一个非军事区域内 ，及堡垒区中工作。（其中WWW、MAIL、FTP、DNS对外服务器连接在防火墙的DMZ区，与内、外网间进行隔离，内网口连接内网核心交换机，外网口通过路由器与Internet连接。那么，通过Internet进来的公众用户只能访问到对外公开的一些服务（如WWW、MAIL、FTP、DNS等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计）。在防火墙设置上我们按照以下原则配置来提高网络安全性：(1)深圳汇大光电科技有限公司的局域网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对企业内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则；(2) 防火墙配置成过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。(3)上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用；(4) 定期查看防火墙访问日志，及时发现攻击行为和不良上网记录；(5) 通过配置网卡对防火墙设置，提高防火墙管理安全性。公司网络建设及公司网络拓扑图结束语在这几个月中，在岳老师的指导下，经过努力，我完成了《深圳汇大光电科技有限公司的内部网络接入与规划》。基本功能体现出来，能够达到用户的需求，整个系统都能正常运行。在这次毕业设计中，让我学到了以前没有学到的许多东西，感受到了集体的力量。这不仅是对我大学四年所学专业的总结，更是让我体会到了知识的重要性。让理论与实践相结合，为我们以后的学习、工作打下坚实的基础。也许在本次设计中还存在许多疏漏和欠缺的地方望广大师生朋友们批评指出。致  谢在毕业设计过程中遇到许多从来没有遇到的问题,但是我没有犹豫过,也没有放弃过,因为有我的良师益友,在他们的指导和同学的帮助下以及通过互连网搜索了相关知识，真是受益匪浅。让我学到了许多东西，感觉到个人的力量是有限的，体会到理论与实践有一定有差别，必须二者相结合，才能达到学习的最终目标。在此，向帮助我的老师和同学表示衷心的感谢。
??设备类型 万兆核心路由交换机交换方式 存储-转发背板带宽(Gbps) 1600包转发速率(Mbps) 572572 Mpps 支持MAC地址表 64k网络标准 IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、 IEEE802.1Q、IEEEE802.1d、IEEEE802.1W、IEEEE802.1S??传输速率(Mbps) 10/100/1000/10000端口类型 10/100 BASE-TX,10/100/1000Base-T模块化插槽数 10是否支持全双工 支持全、半双工网管功能 SNMP v1/v2/v3、Telnet、Console、WEB、RMON、SSH堆叠 支持稳定电压(V) 100VAC~240VAC，50Hz~60Hz稳定功率(W) 1200尺寸(mm) 445×3445×980工作温度 0 - 40工作湿度 10% 到 90% RH工作高度（米） 3000 存储温度（℃）存储湿度 5% 到 95% RH存储高度（米） 6000