機房網絡設計方案精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的機房網絡設計方案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：機房網絡設計方案范文

DDB系統（具有DDB能力的DVB基礎設施）的目的是向最終用戶信息和服務。下述定義介紹了DDB系統的主要元素和構成部分：

目標最終用戶主要是個體住宅消費者，習慣于收看電視節目，廣告，能夠使用電視遙控器進行一些基本的選擇操作。最終用戶的主要終端是一臺帶機頂盒的電視機，能夠接收電視節目和先進業務。但是，裝有DVB適配器的PC機可作為終端設備，用于需要特殊處理能力或通訊能力，如TCP/IP的特定應用；

傳輸的中間媒介是數字電視網，如衛星，電纜或陸地無線電。這種媒介是共享的，因為信息在其上廣播，可以被所有的終端用戶接收，盡管他們也許并沒有看到所有的信息；

先進業務的提供者通常是媒體業的內容提供者：廣告，新聞機構，天氣預報，旅行社，證券交易所，圖書商，商人等等，先進業務由與其它頁建立連接的信息頁組成，和/或操作按鈕，用來觸發應用，實現象發送消息或開始一個購買交易之類的高級操作；

業務包裝者（或者）負責包裝來自內容提供者的業務，并發送給合適的媒體（電視，互聯網等等）；

節目發行人擁有媒體（電纜或衛星）上的傳輸帶寬。他們將電視頻道中的各種原始節目組合，然后通過電視網發送給預訂的最終用戶；

最后，網絡提供者擁有傳輸媒體（電纜或衛星），在電纜或衛星通道上廣播來自各種發行人的節目；

下圖總結了DDB市場的價值鏈

圖1 DDB價值鏈

需要特別注意的是，因國家制度，行業因素或歷史原因的考慮，參與者之間的界限也許并不明顯。尤其是，業務包裝者經常提供自己的業務和內容，有時也會扮演一個節目發行者的角色。

業務包裝者的收入通常來自兩個方面：

來自內容提供者，支付他們業務廣播的費用，尤其是廣告；

來自最終用戶，其訂購（一次或每月）或每次使用先進業務需支付的費用。

1．2 與其它技術的關系

DDB技術關鍵的一點是其擁有大量的最終用戶，可以給他們帶來這些客戶不熟悉的其它技術如互聯網、電子商務，所能帶來的價值。IBM的AS/DVB結構應該考慮為這些技術和最終用戶之間通過電視媒體的接口。下圖總結了互聯網、電子商務和AS/DVB之間的關系：

圖 2： AS/DVB 和其它技術

1．3 企業級集成

AS/DVB系統一般不可能是業務包裝者的計算網絡環境中的一個獨立系統。它一定要集成在客戶環境中，與其它資源或信息目標通訊，并且統一管理。圖4顯示了AS/DVB系統和其連接的其它企業產品和設備之間的關系。

圖3：AS/DVB企業級集成

1．4 基礎設施

下圖總結了參與者鏈，其交換的內容，擁有的設備和DDB技術的界限。

圖例說明：

灰色區域代表DDB技術的覆蓋范圍。跨越DDB區域的項目被認為與DDB有關或無關。

圓型盒子表示DDB的參與者（個人，公司或組織）。

方形盒子代表儀器、設備或軟件構件。

云形代表網絡。

箭頭和注釋代表信息交換。

圖 4: DDB 結構和基礎設施

上圖可以看作是DDB結構和基礎設施的整體描述。根據客戶需求，可能會有許多變化。有些參與者或構件可能不存在，因此IBM提供的AS/DVB系統可能有以下變化：

內容提供者可能用其自己的編輯工具和/或圖形編輯器，要求其輸出能轉換成AS/DVB結構支持的業務格式。

業務包裝者會有自己的計劃工具，要求其輸出能轉換并完成，以符合AS/DVB結構支持的計劃格式。

一些業務內容可能來自在線資源，而不是通常的創作工具，這些業務內容要求自動地接收并轉換成AS/DVB結構支持的格式。

正如前面已經提到的，業務包裝者和節目發行人可能是同一實體。

節目發行人可能在其多媒體服務器，視頻服務器和多路復用器（MSC-2/3卡）上使用IBM技術，或使用OEM技術

節目發行人也可能不存在或在AS/DVB系統邊界之外（例如Teletext UK， Mediaset and Stream）

傳送到carousel設備的數據的格式和傳送方式（協議，中間媒介）可能因多媒體服務器和機頂盒制造商的不同而不同。

機頂盒中運行的瀏覽器可能會因機頂盒的制造商和所有者，以及業務編碼所用的DVB編碼標準的不同而是或不是AS/DVB系統的組成部分。

業務包裝者可能想為DVB之外的其它媒體，如萬維網提供輸出業務。

數字電視網可能是一個衛星網，或是陸地網，如電纜或無線電。

從機頂盒到AS/DVB的反向通道可能存在或不存在。

機頂盒允許或不允許識別最終用戶，例如支持可識別智能卡。

電子商務能力可能是或不是AS/DVB系統的一部分，可能依賴最終用戶的機頂盒和商人的能力而由其它方式獲得（在線或離線交易）。

1．5 演化途徑

IBM AS/DVB結構是模塊化的，可以隨著客戶和最終用戶越來越多的功能需要，逐步從一個基本的DDB系統演化成一個基于DVB的功能強大的先進業務平臺。

1．5．1 基本DDB系統

一個基本的DDB系統利用標準DVB基礎設施，向常規電視觀眾廣播由純信息頁組成的簡單信息：

信息只包含連接在一起的常規信息頁；

創作工具或者是普通的（XML），或者是專用的（Open TV or MHEG）；

廣播基礎設施是DVB；

最終用戶得到的信息是免費的。如果最終用戶訂購的話，也在系統之外處理；

從最終用戶到系統沒有反向通道。

這一基本構造滿足Teletext UK公司的需求。

1．5．2 多媒體DDB系統

多媒體DDB系統通過幾種網絡基礎設施（DVB，互聯網）將不同來源（創作工具，編輯系統，互聯網等等）的信息頁廣播給幾種最終用戶（電視觀眾，PC使用者）。

信息來源是頁面創作工具（通用XML，或專用），內部信息系統，或互聯網上的在線資源；

輸出是包含連接在一起的常規信息頁的節目，利用IP協議廣播的文件，或者是萬維網上的HTML頁；

廣播基礎設施是DVB和互聯網；

提供給最終用戶的信息是免費的，如果最終用戶訂購DVB或互聯網的話，會在系統之外處理；

從最終用戶到系統沒有反向通道。

1．5．3 先進業務

AS/DVB系統通過幾種網絡基礎設施（DVB，互聯網）將不同來源（創作工具，編輯系統，互聯網等等）的信息頁廣播給幾種最終用戶（電視觀眾，PC使用者）。

除此之外，最終用戶還可以啟動交易，與系統中的先進業務或電子商務業務進行交互。最終用戶需要一個特定的許可，或者被確認，或者為此付費，才能夠進入這些附加的業務：

信息來源是頁面創作工具（通用XML，或專用），內部信息系統，或互聯網上的在線資源；

輸出是包含連接在一起的常規信息頁的節目，利用IP協議廣播的文件，或者是萬維網上的HTML頁；

廣播基礎設施是DVB和互聯網；

提供給最終用戶的信息可以傳統接入，可以要求最終用戶的身份鑒定，訂閱用戶管理，還可能進行計費；

通過從最終用戶到系統中交易服務器的反向通道可以與電子商務系統進行交互。

類似這種結構的AS/DVB系統滿足Mediaset 和Via Digital公司的業務需求。

1．6 DDB概念

DDB技術從根本上說是想通過數字電視網向最終用戶發送包含信息和業務的節目。那么，什么是業務呢？它由什么組成？它又為最終用戶提供了什么？

業務是一組屏幕和數據，一起為最終用戶提供了信息和交互功能。尤其是當最終用戶配備了合適的機頂盒后，可以從其訂閱的數字節目（一組電視頻道）中選擇最喜歡的節目發行商和提供DDB業務的電視節目：

通過使用遙控器選擇按鈕或是頻道主頁上的熱鍵，選擇想要接入的業務，除非對該用戶只提供有一種業務；

檢驗業務屏幕的內容：文本，圖像，按鈕等等；

使用遙控器上的箭頭鍵或屏幕上的熱鍵瀏覽屏幕上的業務。就象在互聯網上一樣，按鈕和熱鍵（圖像區域）與連接相連，可以從一屏瀏覽到另一屏；

通過選擇特定按鈕熱鍵，可以操作機頂盒，通過反向通道啟動某些交易（信息查詢，購買訂單，電子商業等等）

1．6．1 節目

最終用戶通過電視機屏幕，機頂盒或遙控器選擇了一個節目。電視節目在電視頻道中傳送，可以是各種形式：視頻（電影），音樂，數據流等等，無論它們的狀態和內容怎樣，通過數字電視網廣播的電視節目都采用MPEG-2傳輸流編碼。廣播一個電視節目需要分配的帶寬依節目的性質而定：音樂和數據通常比純視頻使用更少的帶寬。幾個節目通常在傳輸媒介上多路復用在一起，形成節目組。這種多路復用在傳統的模擬電視中通常是FDMA，在目前的數字電視網中趨向于TDMA。

1．6．2 屏幕和頁面

第2篇：機房網絡設計方案范文

關鍵詞 網絡內部 安全方法 漏洞 設計方案

中圖分類號：TP393.08 文獻標識碼：A

0 引言

隨著我國市場經濟的不斷繁榮發展，越來越多的企業建立了屬于自己的內部網絡，從而方便企業內部員工的交流，以及通過信息的有效迅速傳播，來實現其自身的管理目的。但是由于網絡內部的安全防范沒有達到相應的標準，或者網絡設計內部出現一些細微的瑕疵，這些都可能給網絡內部安全埋下隱患，因此建立一個安全合理的內部網絡對于企業的發展而言，具有重要意義。而且對于使用內部網絡的群體而言，也是一種突破。

1 當下我國企業內部網絡存在的問題

1.1 當下我國企業內網的安全現狀

通過內部網絡在企業中應用的不斷加深，我們可以發現當下傳統企業的內部網路安全設計還局限在以針對網絡病毒和系統漏洞等防御為主的設計中。對于那些入侵檢測將重點放在設置當中，在對內部網絡和外部網絡連接處加以嚴密的監控。這樣的措施對于防范初級攻擊具有一定的作用，同時我們應該清楚，內部網絡才是企業的核心價值所在，一旦內部網絡受到攻擊而出現問題，那么給企業帶來的損失將難以預計。當下，內部網絡的安全維護受到巨大的挑戰，但是企業的網絡管理員由于自身對安全風險認識不強，認為自身所做的防備已經足夠完善，在內部便沒有形成一個更加堅固的防護網。一旦發生事故，便會將企業的商業隱私泄漏，給企業造成巨大的傷害。因此，加強外網建設的同時，更加注重企業內部網絡的建設對于企業的發展具有重要的現實作用，這也是當下企業建立內部網絡安全的核心所在。

1.2 當前企業內部網絡存在的安全隱患

隨著計算機網絡技術的不斷發展，企業內部網絡作為其發展的一個分支存在。它的出現給企業管理、數據整合等提供了一個高科技的優化平臺。但是，計算機網絡從出現以來，便一直圍繞著安全這個問題而發展著，內部網絡也不例外。

（1）內部網絡管理人員缺乏重視。攻擊者對于企業內部網絡的攻擊主要是以其安全防護作為突破點而進行的。企業內部網絡存在漏洞絕大多數都是由于網絡管理人員缺乏對內部網絡安全的重視，從而導致黑客有機可乘。（2）內部網絡用戶權限不同。企業內部網絡具有一個明顯特征便是使用者擁有不同的權限。企業內部網絡建立用戶使用權限的初衷是為了方便企業各個階層實現管理。但正是設置權限不一，才導致整個內部網絡需要多次識別身份認證。同時，對于那些擁有身份認證較弱的用戶，極易攻擊，黑客一旦通過基層身份打入內網，實現越權查看便是極其容易的。（3）內部網絡信息沒有得到整合。一些企業對于企業內部的機密信息大多集中在中高層管理者的計算機終端里，企業內部網絡對于這些信息沒有進行整合。這也就意味著機密信息集中在幾個管理者手中。而他們對于信息的保護程度遠遠沒有達到專業性的程度，因此很容易造成信息被竊取等。

3 企業內部網絡安全防范設計

為了能夠有效解決企業內部網絡中存在的各種安全威脅問題，保障企業內部網絡安全穩定運行，本文提出了一套企業內部網絡安全防范設計方案。企業內部網絡安全體系屬于水平與垂直分層實現的，它們之間是通過支配和被支配的模式實現使用的；垂直層面上的安全制度是負責對水平層面上的行為進行安全規范。

3.1 用戶身份認證

用戶身份認證是保證企業內部網絡安全穩定運行的基礎，企業內部網絡中的用戶身份認證包括了服務器用戶、網絡設備用戶、網絡資源用戶、客戶端用戶等等。由于網絡客戶端用戶數量龐大，存在著更多的不安全、不確定性，因此，對于網絡客戶端用戶的身份認證至關重要。

3.2 用戶授權管理

用戶授權管理是以用戶身份認證作為基礎的，主要是對用戶使用企業內部網絡的數據資源時進行授權，每個用戶都對應著不用的權限，權限代表著能夠對企業內部網絡中的某些資源進行訪問和使用，包括服務器數據資源的使用權限、網絡數據資源使用權限和網絡存儲設備資源使用權限等等。

3.3 數據信息保密

數據信息保密作為企業內部網絡中信息安全的核心部分，需要對企業內部網絡中進行數據通信的所有數據進行安全管理，保證數據通信能夠在企業內部網絡中處于一個安全環境下進行，從而保證對企業內部網絡信息和知識產權信息的有效保護。

參考文獻

[1] 張怡.淺議計算機網絡安全策略[J].科技資訊.2011（09）.

第3篇：機房網絡設計方案范文

關鍵詞：網絡安全；蜜罐技術；蜜網技術；入侵檢測；虛擬機；VMware

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)29-0340-02

The Project Design of Honeypot Deployment Based on Network Security

SHI Ze-quan

(Department of Computer Science,Chongqing Vocational Institute Engineering,Chongqing 400037,China)

Abstract: Honey pot technology to detect intrusion, recording the invasion process and preserve the invasion history in network security more and more attention. The honey pots takes “to trick” and “delay the attack” the method is effective. But it has so many questions, just like cost too high, the attack process not to be easy to monitor, and the process diary not to be easy to preserve and so on. The Honeynet technology update the honeypot technology, the deployment of the security system, it is more confusing, more easily record-keeping,monitoring and analysis of the invasion process to the invaders. VMware used to achieve honeynet technology is the most economic and effective way.

Key words: network security; honeypot technology; honeynet technology; Intrusion detection; virtual pc;VMware

計算機及其網絡技術的應用已深入各行各業，特別是企事業單位的日常管理工作更是緊密依賴網絡資源。基于此，保證網絡的正常運行就顯得尤為重要。目前，廣泛采用的安全措施是在企業局域網里布設網絡防火墻、病毒防火墻、入侵檢測系統，同時在局域網內設置服務器備份與數據備份系統等方案。而這些安全網絡防火墻、入侵檢測系統真能有效地保證系統的安全嗎？做到了這一切系統管理員就能高枕無憂了嗎？

1 問題的提出

圖1為現實中常用的二層網絡拓撲結構圖。從圖中可以看出，網絡防火墻與入侵檢測系統（IDS）均部署在網絡入口處，即防火墻與入侵檢測系統所阻擋是外網用戶對系統的入侵，但是對于內網用戶來說，內部網絡是公開的，所有的安全依賴于操作系統本身的安全保障措施提供。對一般的用戶來講，內網通常是安全的，即是說這種設計的對于內網的用戶應該是可信賴的。然而對于諸如校園網的網絡系統，由于操作者基本上都是充滿強烈好奇心而又具探索精神的學生，同時還要面對那些極少數有逆反心理、強烈報復心的學生，這種只有操作系統安全性作為唯一一道防線的網絡系統的可信賴程度將大打折扣。

另一方面，有經驗的網絡管理員都知道，網絡中設置了防火墻與入侵檢測系統并不能從根本上解決網絡的安全問題（最安全的方法只能是把網絡的網線撥了），只能對網絡攻擊者形成一定的阻礙并延長其侵入時間。操作者只要有足夠的耐心并掌握一定的攻擊技術，這些安全設施終有倒塌的可能。

所以，如何最大可能地延長入侵者攻擊網絡的時間？如何在入侵雖已發生但尚未造成損失時及時發現入侵？避開現有入侵檢測系統可以偵測的入侵方式而采用新的入侵方式進行入侵時，管理者又如何發現？如何保留入侵者的證據并將其提交有關部門？這些問題都是網絡管理者在安全方面需要經常思考的問題。正是因為上述原因，蜜罐技術應運而生。

2 蜜罐技術簡介

蜜罐技術的研究起源于上世紀九十年代初。蜜罐技術專家L．Spitzner對蜜罐是這樣定義的：蜜罐是一個安全系統，其價值在于被掃描、攻擊或者攻陷。即意味著蜜罐是一個包含漏洞的誘騙系統。它是專門為吸引并“誘騙”那些試圖非法闖入他人計算機系統的人設計的。它通過模擬一個或多個有漏洞的易受攻擊的主機，給攻擊者提供十分容易受攻擊的目標。

如圖2所示，蜜罐與正常的服務器一樣接入核心交換機，并安裝相應的操作系統和數據庫管理系統，配置相應的網絡服務，故意存放“有用的”但已過時的或可以公開的數據。甚至可以將蜜罐服務器配置成接入網絡即組成一臺真正能提供應用的服務器，只是注意將蜜罐操作系統的安全性配置成低于正常的應用服務器的安全性，或者故意留出一個或幾個最新發現的漏洞，以便達到“誘騙”的目的。

正常配置的蜜罐技術一旦使用，便可發揮其特殊功能。

1) 由于蜜罐并沒有向外界提供真正有價值的服務，正常情況下蜜罐系統不被訪問，因此所有對其鏈接的嘗試都將被視為可疑的，這樣蜜罐對網絡常見掃描、入侵的反應靈敏度大大提高，有利于對入侵的檢測。

2) 蜜罐的另一個用途是拖延攻擊者對真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。如圖二， 正常提供服務的服務器有4個，加入4個蜜罐，在攻擊者看來，服務器有8個，其掃描與攻擊的對象也增加為8個，所以大大減少了正常服務器受攻擊的可能性。同時，由于蜜罐的漏洞多于正常服務器，必將更加容易吸引攻擊者注意，讓其首先將時間花在攻擊蜜罐服務器上。蜜罐服務器靈敏的檢測并及時報警，這樣可以使網絡管理員及時發現有攻擊者入侵并及時采取措施，從而使最初可能受攻擊的目標得到了保護，真正有價值的內容沒有受到侵犯。

3) 由于蜜罐服務器上安裝了入侵檢測系統，因此它可以及時記錄攻擊者對服務器的訪問，從而能準確地為追蹤攻擊者提供有用的線索，為攻擊者搜集有效的證據。從這個意義上說，蜜罐就是“誘捕”攻擊者的一個陷阱。

經過多年的發展，蜜罐技術已成為保護網絡安全的切實有效的手段之一。對企事關單位業務數據處理，均可以通過部署蜜罐來達到提高其安全性的目的。

3 蜜罐與蜜網技術

蜜罐最初應用是真正的主機與易受攻擊的系統，以獲取黑客入侵證據、方便管理員提前采取措施與研究黑客入侵手段。1998年開始，蜜罐技術開始吸引了一些安全研究人員的注意，并開發出一些專門用于欺騙黑客的開放性源代碼工具，如Fred Cohen所開發的DTK（欺騙工具包）、Niels Provos開發的Honeyd等，同時也出現了像KFSensor、Specter等一些商業蜜罐產品。

這一階段的蜜罐可以稱為是虛擬蜜罐，即開發的這些蜜罐工具能夠模擬成虛擬的操作系統和網絡服務并對黑客的攻擊行為做出回應，從而欺騙黑客。虛擬蜜罐工具的出現也使得部署蜜罐變得比較方便。但是由于虛擬蜜罐工具存在著交互程度低、較容易被黑客識別等問題。從2000年之后，安全研究人員更傾向于使用真實的主機、操作系統和應用程序搭建蜜罐，與之前不同的是，融入了更強大的數據捕獲、數據分析和數據控制的工具，并且將蜜罐納入到一個完整的蜜網體系中．使得研究人員能夠更方便地追蹤侵入到蜜網中的黑客并對他們的攻擊行為進行分析。

蜜網技術的模型如圖3所示。由圖中可以看出，蜜網與蜜罐最大的差別在于系統中多布置了一個蜜網網關（honeywall）與日志服務器。其中蜜網網關僅僅作為兩個網絡的連接設備，因此沒有MAC地址，也不對任何的數據包進行路由及對TTL計數遞減。蜜網網關的這種行為使得攻擊者幾乎不可能能覺察到它的存在。任何發送到蜜網內的機器的數據包都會經由Honeywall網關，從而確保管理員能捕捉和控制網絡活動。而日志服務器則記錄了攻擊者在蜜罐機上的所有的行為以便于對攻擊者的行為進行分析，并對蜜罐機上的日志進行備份以保留證據。這樣攻擊者并不會意識到網絡管理員正在監視著他，捕獲的行為也使管理員掌握了攻擊者使用的工具、策略和動機。

4 蜜罐部署

由前述內容可以看出，蜜罐服務器布置得越多，應用服務器被掃描與攻擊的風險則越小，但同時系統成本將大幅度提高，管理難度也加大。正因為如此，實際中蜜罐的部署是通過虛擬計算系統來完成的。

當前在Windows平臺上流行的虛擬計算機系統主要有微軟的Virtual Pc與Vmware。以Vmware為例，物理主機配置兩個網卡，采用Windows2000或Windows XP操作系統，并安裝VMwar。建立一臺虛擬機作為蜜網網關，此虛擬機設置三個虛擬網卡（其虛擬網卡類型見圖4），分別連接系統工作網、虛擬服務器網與監控服務器。虛擬服務器網根據物理主機內存及磁盤空間大小可虛擬多個服務器并安裝相應的操作系統及應用軟件，以此誘惑黑客攻擊。蜜網服務器用于收集黑客攻擊信息并保留證據。系統拓撲結構如圖4所示。

系統部署基本過程如下：

4.1 主機硬件需求

CPU：Pentium 4 以上CPU，雙核更佳。

硬盤：80G以上，視虛擬操作系統數量而定。

內存：1G以上，其中蜜網軟件Honeywall至少需要256M以上。其它視虛擬操作系統數量而定。（下轉第346頁）

（上接第341頁）

網卡：兩個，其中一個作為主網絡接入，另一個作為監控使用。

其它設備：視需要而定

4.2 所需軟件

操作系統安裝光盤：Windows 2000或Windows 2003；

虛擬機軟件：VMware Workstation for Win32；

蜜網網關軟件：Roo Honeywall CDROM v1.2，可從蜜網項目組網站（一個非贏利國際組織，研究蜜網技術，網址為）下載安裝光盤。

4.3 安裝過程

1）安裝主機操作系統。

2) 安裝虛擬機軟件。

3) 構建虛擬網絡系統。其中蜜網網關虛擬類型為Linux，內存分配為256M以上，最好為512M，硬盤空間為4G以上，最好為10G。網卡三個，分別設為VMnet0、VMnet1和VMnet2，如圖4所示。

4) 在蜜網網關機上安裝honeywall，配置IP信息、管理信息等。

5) 在蜜網網關機上配置Sebek服務器端，以利用蜜網網關收集信息。

6) 安裝虛擬服務器組，并布設相應的應用系統。注意虛擬服務器組均配置為VMnet1，以使其接入蜜網網關機后。

7) 在虛擬服務器組上安裝并配置sebek客戶端。

8) 通過監控機的瀏覽器測試蜜網網關數據。

總之，虛擬蜜網系統旨在利用蜜網網關的數據控制、數據捕獲和數據分析等功能，通過對蜜網防火墻的日志記錄、eth1上的嗅探器記錄的網絡流和Sebek 捕獲的系統活動，達到分析網絡入侵手段與方法的目的，以利于延緩網絡攻擊、改進網絡安全性的目的。

參考文獻：

[1] 王連忠.蜜罐技術原理探究[J].中國科技信息,2005(5):28.

[2] 牛少彰,張 瑋. 蜜罐與蜜網技術[J].通信市場,2006(12):64-65.

[3] 殷聯甫.主動防護網絡入侵的蜜罐(Honeypot)技術[J].計算機應用,2004(7):29-31.

[4] 葉飛.蜜罐技術淺析[J].網絡安全技術與應用.2007(5):36-37.

第4篇：機房網絡設計方案范文

關鍵詞: 校園網網絡規劃設計網絡安全管理需求設計特點

一、 校園地理環境

我校分為南北兩個校區,南區為教學區,包括:三棟教學樓、一棟圖書館、一棟教師辦公樓、一棟教工宿舍、兩棟學生宿舍;北區為實訓中心,與南區相隔一條街道,包括:南北兩棟實訓樓。

二、校園網功能需求

學校是以現代化手段培養人才的地方。為了更好地使計算機及其網絡在輔助教學、教學管理等方面發揮作用,我校計劃在校內建立校園網,并與國際互聯網相連。

校園網的信息點應該普及兩個校園區所有教學樓的教室,實訓中心的電腦室、實訓室,教師辦公樓,圖書館,宿舍樓等,同時教室辦公樓應該提供無線網絡接入。校園內每個信息點的電腦都可以相互訪問,實現廣泛的軟件、硬件資源共享;同時每個信息點的電腦都能接入互聯網,提供基本的Internet網絡服務功能,如電子郵件、對外個人主頁服務、ftp服務、域名服務等。

三、校園網網絡規劃設計

1.綜合布線結構

根據學校的地理位置,各棟建筑物到網絡中心的距離,以及數據的流量,采取光纖+超五類綜合布線系統。

(1)主干網。網絡中心在圖書館四樓,對于南區教學區,因為每棟樓到網絡中心都在400米左右,所以每棟樓的交換機都用12芯的室外多模光纜與網絡中心的核心交換機連接;而北區實訓中心因為離網絡中心太遠,南北樓的交換機用12芯的室外單模光纜與網絡中心的核心交換機連接。主干網是由光纖構成的1000M網。

(2)樓內網。每棟樓的交換機都放在四樓中間的一間房間里,各個信息點到交換機的距離都在100米內,樓內的布線用超五類線,為每間教室、實訓室、辦公室等提供兩個信息點。樓里面則構成10―100M的網絡。

2.設備選型

網絡設備必須在技術上具有先進性、通用性,必須便于管理、維護。網絡設備應該滿足學校現有計算機設備的高速接入,應該具備未來良好的可擴展性、可升級性,保護學校的投資。網絡設備必須在滿足功能與性能的基礎上價格最優。網絡設備應該選擇擁有足夠實力和市場份額的廠商的主流產品,同時設備廠商必須有良好的市場形象與售后技術支持。

根據多方面的考慮,我們確定選用華為三康的設備,路由器用MSR30-40,防火墻用F-1000A,核心交換機用S-7506,各棟樓的接入交換機用E-126A。這些設備完全滿足校園各種功能需要,同時也滿足未來擴展的需要。

3.Internet接入

根據對全校總出口流量的估算,為確保內部網站和外部網站的連接暢通,我們用電信20M帶寬的光纖專線接入,有一個Internet固定的IP地址,所有計算機都通過NAT(網絡地址轉換)進入Internet。

4.VLAN規劃

VLAN為虛擬局域網,它有如下優勢:抑制網絡上的廣播風暴;增加網絡的安全性;集中化的管理控制。基于這些優點,我們按照各棟樓的不同情況對交換機進行VLAN劃分,具體是:VLAN1―設備管理、VLAN10―圖書館、VLAN11―教師辦公樓、VLAN12―實訓中心南、VLAN13―實訓中心北、VLAN14―4號教學樓、VLAN15―5號教學樓、VLAN16―1號教學樓、VLAN17―教工宿舍。

5.路由規劃

核心三層交換機S-7506實現VLAN之間的相互訪問。對于三層交換機來講,所有VLAN(網段)都是直連的,因此只需要啟動路由,而不需要設置額外的靜態或動態路由條目。我們在S-7506中創建VLAN 10至VLAN 17,并把與接入層交換機光纖連接的光纖端口添加到對應的VLAN中,同時給VLAN端口添加對應的網關IP作為虛擬端口的IP地址,實現整個校園網不同網段之間的相互訪問。

6.無線接入

充分利用計算機輔助教學及利用網絡軟硬件的資源共享,是校園網為教學服務的一大特點,我校教師每人配備了一臺手提電腦,手提電腦接入校園網,采取無線接入的方式。

構建“無線漫游”接入區,在辦公樓放置三個TP-LINK841無線路由器,SSID都是BanGong,頻道則分別為1、6、11三個互不干預的頻道,不加密碼是開放式,開啟DHCP,地址池IP為192.168.1.50/24―192.168.1.200/24,這樣教師可以很方便地接入到校園網。

7.開放計算機機房

學校內有大量的各種各樣的開放式機房,是學生學習計算機的場所,通常這些計算機連成一個局域網,除具備一般的互訪外,通常還要求這些計算機能夠訪問到Internet。為滿足教學要求,我們作了如下規劃:(1)IP地址用私有C類192.168.0.0/24。(2)實現Internet訪問,實際上是一個局域網PC如何共享上網的問題。在每一個機房部署一個信息點,相當于Internet出口,用服務器的方式通過信息點接入校園網,從而實現訪問Internet。

8.對外站點

對于一些外部站點的問題,通常放置在DMZ區內,DMZ區的安全等級高于外網,低于內網,防火墻的默認規則是允許安全等級高的訪問安全等級低的,禁止安全等級低的訪問安全等級高的。因此,防火墻不需要設置規則就可以實現內網訪問到DMZ區,但外網不能訪問到DMZ區。對于學校來講,WWW站點的主要目的就是對外信息,必須讓外網能夠訪問到,為了到達這個目的,可以在防火墻上添加一些規則,開放DMZ區所在服務器的IP,以及相應的端口。在DMZ區放置學校的服務器:郵件服務器、WWW服務器、數據服務器、文件服務器。

四、網絡安全及管理需求

校園網是巨大的資源中心,存放著各方面的信息資源,涉及學校的方方面面,同時,校園網又是一個開放的系統,有不同的人員在校內或校外訪問它,因此,校園網的建立不僅是網絡硬件和應用的建立,還應該特別重視校園網的安全問題。網絡安全是一個體系結構,涉及整個辦公環境的各個方面,包括人員和設備,信息的駐留點,以及沿途經過的各個中間環節,從物理層到應用層都要小心對待。

1.設備級安全

包括網絡中所有可管理的網絡設備、服務器和網管工作站的安全。設備級安全是網絡的第一道屏障,嚴格限制能夠遠程管理(包括Telnet方式和Web方式)網絡設備的IP地址列表,必要時關閉部分或全部遠程管理功能;對于核心網絡設備,如骨干交換機和路由器,建議不設遠程管理IP地址。

2.傳輸級安全

指敏感數據在傳輸線路中防止中途竊取或修改的安全性。解決辦法包括室外線路盡可能采用無輻射抗干擾的光纖作為傳輸介質,室內明線使用屏蔽雙絞線,中心機房加裝屏蔽網,對遠程傳輸的信息進行加密等。

3.網絡層安全

是網絡安全設計中的重要一環。網絡層攻擊是黑客最常用的攻擊方式,如外部入侵。對付這種攻擊方式最典型的解決方案是使用軟件或硬件防火墻進行內外隔離,同時內網采用保留IP地址,訪問外網時進行NAT轉換(網絡地址轉換)。除了防止外部入侵外,也要注意防止內部的越權訪問和故意破壞,一般在VLAN之間進行訪問控制。

4.應用級安全

包括防病毒和認證體系。近年來病毒多如牛毛,如:熊貓燒香、ARP地址欺騙等。對于病毒問題,有效的解決方法是安裝網絡防病毒軟件,修補系統漏洞。同時也要防范因內部人員不經意或故意“環路”,形成的“網絡震蕩”,解決辦法是設置交換機STP協議(生成樹協議)。

校園網是一個比較大型的網絡,為了保證校園網更加有效、可靠地運行,我們配置了一臺網絡管理工作站,以便更有效地對校園網進行管理。根據網絡設備選型,我們選擇華為三康管理軟件,同時用第三方管理軟件一起管理網絡,主要是solarwinds-toolset工具箱V9.2、超級PING、Sniffer Portable 4.8這三個軟件。

五、方案規劃設計特點

該校園網方案采用成熟的先進的技術,采用國際統一標準有廣泛的支持廠商;所有設備都用華為三康一線產品。Internet帶寬合理,確保網絡不出現“塞車”現象;設置三層核心交換機,將整個網絡劃分為多個VLAN,從而使網絡更加安全;同時本方案充分考慮了網絡未來的升級與發展,把網絡主干網構成了信息高速網,對未來的發展非常有利。

第5篇：機房網絡設計方案范文

柳工現有信息系統全面覆蓋了企業的產品開發、供應鏈管理、生產制造和銷售服務四大方面主體活動，成為柳工生產活動中重要的支撐。

目前柳工信息網是一個大型的二層網絡架構：

1、核心區域：兩臺Cisco4506作為整個網絡的核心，分別負責廠區網絡、研究院網絡、數據中心、互聯網和異地事業部廣域網的接入；

2、園區區域：所有部門及下屬公司的計算機都劃分在幾個業務VLAN內，使用Cisco2960和2950交換機作為接入層設備；

3、異地事業部：租用不同運營商線路接入至數據中心機房的Cisco3550交換機上；

4、服務器區域：使用6臺Cisco2960G作為接入，使用雙鏈路上聯核心交換機；

5、互聯網區域：3條不同運營商的線路匯聚到一臺Cisco2960上。外部SSL-VPN用戶通過互聯網鏈路接入深信服VPN設備直接撥入到內網。內部訪問互聯網則通過ISA防火墻后從三個互聯網出口出去。

二、層網二絡向三層網絡轉變的必要性

2.1網絡拓撲

柳工目前網絡是一個以二層局域網交換為主的網絡，缺少必要的三層路由規劃和網絡安全規劃。現有網絡架構不能滿足應用系統未來的需求，不足以支撐未來業務的發展。

同時，缺乏匯聚交換機和光纖鏈路資源，使得大量的接入交換機采用級聯的方式實現上聯。這樣容易導致鏈路不穩定和鏈路帶寬得不到保障。因此需要優化網絡拓撲，合理選擇匯聚節點，變二層網絡為更加穩定的三層網絡。

2.2明確網絡各功能區域

網絡系統需要按功能進行區分：如廣域網、生產網、研發網絡和數據中心等。柳工現有的網絡結構不具備真正的廣域網、數據中心、研發網絡和生產網絡等功能劃分。因此需要明確網絡各功能區域，實現分級分域安全防護。

2.3 IP地址/VLAN規劃

柳工目前使用一個B類地址和若干個C類地址，網絡中進行了有限的VLAN劃分。但由于VLAN規劃不細致，造成廣播域過大，給網絡的穩定運行帶來了隱患。

柳工未來的IP地址分配建議采用DHCP動態分配輔助靜態部署。服務器設置靜態地址，客戶機動態獲取IP。動態分配由于地址是由DHCP服務器分配，便于集中化統一管理。每一個接入主機都能通過非常簡單的操作就可以獲得正確IP地址、子網掩碼、缺省網關、DNS等參數，在管理的工作量上比靜態地址要減少很多。非常適合大型網絡的需求。

綜上所述，二層網絡架構轉變為三層網絡架構，勢在必行，否則將不足以支撐日益擴大的網絡規模和業務發展需求。

三、整體設計方案

3.1 模塊劃分

通過參考和借鑒目前先進的網絡設計理念和其他企業網絡設計經驗，依據全面性原則和模塊化設計原則，將整個網絡總體框架劃分為六大網絡區域：即核心交換區、園區網、數據中心、廣域網、研發網和互聯網。同時IP地址和VLAN規劃貫穿在各網絡區域的設計中。

3.2差異化分析

采用差異化分析的方式來確定網絡中的不足之處，提出網絡優化的方法和所能夠達到的目標。

對網絡各組成部分具體分析，具體如下：

3.2.1 園區網

現狀：園區網核心設備超負荷運行，核心交換機4506CPU負荷超70%；園區網是一個大型二層網絡，終端用戶基本分布在VLAN1中，過大的廣播域給網絡的穩定帶來潛在風險。接入層設備大量采用級聯方式上連核心，部分接入交換機帶寬利用率僅有30%。

規劃目標：提升園區網核心設備處理能力，從而提高網絡整體的處理能力。調整網絡層次，變兩層網絡為三層網絡架構，新增合理的匯聚節點。用動態路由協議規劃核心層和匯聚層的路由，提供快速收斂和高可擴展性。

3.2.2 數據中心

現狀：數據中心網絡與園區網之間界線不清，存在很大的可用性，擴展性問題；同時缺乏數據中心安全防護措施。

規劃目標：搭建獨立的數據中心網絡架構，建設數據中心的整體安全防護架構。

3.2.3 廣域網

現狀：廣域網缺乏冗余鏈路。廣域網是一個二層交換網，沒有三層路由，不能對重要業務做QOS保障，并且網絡設備比較陳舊。

規劃目標：增加冗余鏈路保證廣域網的穩定可靠性。規劃廣域網路由，用專用路由器代替現有設備，通過有關技術手段保證重要應用數據的傳輸。

3.2.4 研發網絡

現狀：缺乏獨立的研發網網絡架構，缺乏對研發網的安全防護措施。

規劃目標：搭建獨立研發網網絡架構，在組網方式上采用物理隔離，在傳輸過程中采用邏輯隔離。建立研發網的安全防護架構，增強網絡的高安全性，同時保證業務數據的安全管理。

3.2.5 互聯網

現狀：缺乏細化的互聯網管理規范，互聯網安全防護設備陳舊且防護手段單一。

規劃目標：完善全網的互聯網出口，加強安全防護措施。完善統一安全控制策略和互聯網訪問規范。

3.2.6 IP地址和VLAN

現狀：IP地址分配VLAN劃分精細度不夠，用戶主要集中在VLAN1中，廣播域太大。IP地址主要采用靜態分配方式，管理缺乏靈活性。

規劃目標：統一IP地址管理，優化IP分配和VLAN劃分規范。

四.實施規劃

4.1園區網

按照三層架構進行規劃設計，合理設置匯聚節點。優化接入層設備的接入，最終形成完善的三層架構園區網。網絡設備的更新換代，用高性能的核心設備替換原有的核心交換機，提升園區網的整體處理能力。加強對接入層設備的集中管理，逐步替換不可網管的接入設備。以園區網為主要承載平臺的統一無線系統部署。

4.2數據中心

增設數據中心核心交換機，建設數據中心整體安全防護系統；增設數據中心接入交換機，承擔服務器的接入。

4.3廣域網

增設廣域網核心路由器和廣域網防火墻，增加廣域網冗余鏈路，完成異地事業部接入路由器的改造。

4.4研發網

增設研發網核心交換機和研發網邊界防火墻，更換研發網的接入交換機，實現基于身份的網絡準入控制。

4.5互聯網

完成互聯網邊界防火墻的改造、互聯網系統改造和ISP鏈路的動態負載，同時優化互聯網的出口管理（上網行為管理，流量監控）。

4.6 IP地址規劃

已使用網段的地址，在新的規劃中不再使用；啟用新的IP地址段：172.17.0.0/16共65535個IP地址劃分為255個C類的IP子網，分配給廣域網，局域網和數據中心使用；啟用IP地址段：10.0.0.0/24，分配給特殊需求的IP，如：雙機熱備系統的心跳IP。該段地址不參與路由，并且需要使用VLAN隔離。啟用IP地址段：10.1.0.0/16，分配10.1.1.0/24給VPN地址池，其余保留給未來的外聯網絡。

第6篇：機房網絡設計方案范文

關鍵詞：存儲網絡；虛擬機；虛擬服務器；交換機

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2016）26-0071-02

1 背景

虛擬化環境需要多種技術的協調配合：服務器和操作系統的虛擬化、存儲虛擬化、以及系統管理、資源管理和軟件提交，與非虛擬化環境一致的應用環境。因為有了虛擬化，企業不再需要建立耗資巨大的數據中心就能夠實現異地備份。這對用戶來說極富吸引力。

該設置方案中設置三個相互獨立的網絡：存儲網絡、現場生產網絡、三級通訊網絡。這三個網絡的中心交換機都位于虛擬中心機房。

存儲網絡是萬兆網絡，用于虛擬宿主服務器的管理和服務器主機間直接通訊，主要用于服務器間存儲數據的同步、虛擬機備份、遷移等需要高帶寬的場景。

各生產線的現場自動化控制網絡，通過雙光纜連接到中心機房的生產網絡交換機，該網絡和中心機房內部網絡相互隔離。各虛擬服務器和三級機通訊，通過專用的三級通訊網絡（單獨千兆網絡交換機）進行，該網絡和其他兩個網絡也是相互隔離的。

每臺宿主虛擬服務器上，必須有5個以太網端口，其中4個端口是萬兆網絡，每兩個端口組成聚合網絡（共兩個聚合網絡），分別連接內部管理網絡和工作網絡；一個端口是千兆網絡（連接三級網絡）。

作為中心交換機的萬兆網絡交換機，本身穩定性很好，項目初期，可不考慮網絡交換機的冗余，使用端口聚合技術，實現網絡冗余，同時實現網絡帶寬翻倍。在多條生產線的設備進入虛擬中心后，為防止網絡帶寬不足，同時考慮提高網絡可靠性，可為生產網絡和存儲網絡設置冗余交換機，每臺宿主服務器同時連接同一網絡的不同交換機。

2 設置方案

每臺宿主虛擬服務器主機，配置兩個虛擬交換機，一個交換機連接聚合的萬兆網卡，物理連接到生產網絡交換機；另一個虛擬網絡交換機通過千兆實體網卡連接到三級通訊的實體網絡交換機。

連接生產網絡的實體交換機，為每個連接到遠程網絡的聚合千兆端口配置不同的VLAN編號，通過配置不同虛擬網絡，實現不同生產線上的網絡相互隔離。同時為每臺虛擬機連接生產網絡的虛擬網卡配置和該生產線網絡端口相同的VLAN號，實現每臺虛擬服務器、虛擬操作站和生產線現場的基礎自動化網絡通訊，同時屬于不同生產網絡的虛擬機之間實現網絡隔離。生產用中心交換機上的VLAN配置在連接現場網絡的聚合端口上。生產用交換機連接宿主服務器實體網卡的端口設置成Trunk模式。

存儲網絡中，每個宿主虛擬服務器主機使用兩個網絡端口，同時連接存儲網絡交換機。宿主服務器上，這兩個端口配置成聚合模式。在沒有冗余交換機時，交換機上連接同一臺服務器的兩個端口也被配置成聚合模式。這樣，一個網絡連接出現故障時，另外一個網絡連接還可提供可靠的網絡通訊。

如果有冗余交換機，宿主服務器主機上的兩個網絡端口分別連接到不同交換機上，當一臺交換機出現故障時，另外一臺交換機還能夠提供可靠的網絡通訊服務器。設備都正常時，兩臺交換機同時工作，使網絡帶寬翻倍。

自動化網絡交換機連接到中心機房，采用雙光纜連接。在中心機房只有一臺生產網絡交換機時，兩條網絡連接同時連接到生產網絡交換機的兩個端口上，這兩個端口被配置成聚合模式，可實現網絡負載分擔和網絡連接的冗余。

在生產網絡交換機有冗余交換機時，生產現場交換上連接上來的光纜分別連接到不同的生產網絡交換機的端口上。當一臺生產網絡交換機出現故障時，另外一臺交換機可承擔全部的網絡通訊負載。

每臺宿主虛擬服務器主機上，有兩個網絡端口同時連接生產網絡交換機。在宿主服務器主機上，這兩個端口被配置成聚合模式，在沒有冗余網絡時，這兩個網絡端口同時連接到同一臺生產網絡交換機的不同端口上，在生產網絡交換機上，這兩個端口被配置成聚合模式，這樣，可實現對宿主虛擬服務器主機網絡連接的負載分擔和網絡冗余。

在存在生產網絡的冗余交換機時，每臺宿主虛擬服務器上兩個網絡端口分別連接不同生產網絡交換機的端口。

宿主虛擬服務器采用端口聚合的方式，連接生產網絡和連接存儲網絡，都是采用雙鏈路的方式，實現網絡負載均衡和網絡冗余。

服務器硬件本身采用了大量高可用性設計，服務器的可靠性已經達到電信級，一般很難出現硬件嚴重損壞，突然完全宕機的情況。

虛擬機服務由Failover cluster故障恢復集群服務管理，當承載虛擬機的服務器出現故障，或需要維護時，可通過管理工作站，或直接操作服務器主機，將其上承載的虛擬機實時遷移到其他服務器上或直接切換到輔助服務器上，該過程中，虛擬機的運行不會中斷，網絡連接也可保持，對外部通訊對象和被服務對象完全透明。

在服務器維護完畢后，可將該服務器上承載的虛擬機再遷移回來。

當服務器意外宕機，網絡連接失敗，集群管理服務會自動在其他適合的服務器上，重新啟動失效服務器上承載的虛擬機，因所有虛擬機映像存放在共享的Storage Spaces Direct存儲系統中，該過程沒有拷貝虛擬機映像的過程，虛擬機映像就是同步保存在共享存儲系統中的映像。

在本設置方案中，配置一臺輔助服務器（復制服務器），該服務器接受整個網絡中所有宿主虛擬服務器發出的虛擬機復制申請。本項目中，只復制服務器虛擬機。對于操作站虛擬機，都是無狀態虛擬機，只需保存一份最終的虛擬機備份即可，無需實時備份。

在第一次開始復制前，輔助服務器需要將被復制的虛擬機完整映像拷貝到本地，該過程可以通過網絡，也可通過外置存儲設備（移動硬盤）拷貝。

在服務器虛擬機運行時，宿主虛擬服務器主機會定時將其運行中對虛擬磁盤所做的修改日志發送給輔助服務器，輔助服務器維護每臺虛擬機的虛擬磁盤映像和被復制虛擬機相同。虛擬機數據復制周期可是：30秒、5分鐘、15分鐘。

操作人員能夠將正在運行的虛擬機在線遷移（切換）到輔助服務器上，該過程無需拷貝虛擬磁盤文件，只需傳輸虛擬機的內存映像，該過程可借助萬兆網卡的RDMA功能，高速傳輸。

在宿主服務器確實宕機時，也可在輔助服務器上直接啟動宕機的宿主服務器上承載的虛擬機，該過程也可保證虛擬機快速啟動，恢復生產。

3 后期發展

操作站虛擬機在開發人員安裝好后，就可一直使用，正常運行中，操作站上無需保存任何新的數據。

對于操作站虛擬機，可在輔助服務器上保存一份最新備份，在有虛擬機映像被更新時，手工做一次復制，實現虛擬機最新映像的備份。

當操作站虛擬機出現故障時，可直接從輔助服務器上反向復制一份完好的虛擬機映像到宿主服務器上，實現虛擬機的快速恢復。

參考文獻：

[1] 丁振， 馮丹， 周可.Windows下的虛擬網絡存儲的設計與實現[J].計算機工程， 2003（5）.

[2] 韓得志， 蘭軍瑞.網絡存儲技術的探討[J].微型電腦應用， 2000（16）： 3.

第7篇：機房網絡設計方案范文

關鍵詞 網絡安全；物理隔離；地形圖保密

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）09-0179-01

1 勘察設計企業網絡現狀

勘察設計企業在設計工作中經常會用到或產生一些文件，尤其是地形圖等密級較高的文件資料。我國2000年1月1日起頒布實施的《計算機信息系統國際聯網保密管理規定》第二章保密制度第六條規定：“涉及國家秘密的計算機信息系統，不得直接或間接地與國際互聯網或其他公共信息網絡相連接，必須實行物理隔離”。為保護國家秘密不外泄，同時滿足信息化辦公的生產需求，目前國內勘察類企業主要采用兩種網絡架構方式。一種是設置內部辦公網絡和外部網絡，員工各自配置兩臺分別連接內外網絡的計算機，兩者完全物理隔離。這種方式建設和維護成本大，員工操控靈活度低。內部辦公網絡實現公司信息化辦公和資源內部共享等需求，外部網絡實現互聯網資料查詢和外部交流，同時嚴禁內部網絡信息向外部網絡流通。另一種設立指定的互聯網訪問區，專門人員或機構采集互聯網信息復制到內部網絡，或者設立專門的可訪問互聯網的設備或區域，這種方式實時性不好。

2 網絡隔離技術趨勢

物理隔離是網絡隔離的一種重要形式，它是通過網絡與計算機設備的空間分離來實現的網絡隔離[1]。與物理隔離不同的另一種網絡隔離方式是采用密碼技術的VPN隔離。虛擬專用網（VPN）是通過使用密碼和隧道技術、在公共網絡設施上構建的、具有專用網絡安全特性的邏輯網絡[2]。VPN隔離追求的是數據的分離或不可讀，而物理隔離強調的是設備的分離。盡管VPN的實現成本較低，但是在網絡的邊界點，隔離設備容易被攻擊，特別是來自公共網絡的拒絕服務攻擊[2]。

物理隔離網閘的思路決定了它是一種比VPN更高級的安全隔離形式，因為它是在保證必須安全的前提下，盡可能互聯互通，如果不能保證安全則完全斷開。然而，這種技術成熟的產品還是無法擺脫“擺渡”病毒的攻擊。因此，國家保密局信息系統安全保密測評中心頒發的網閘類產品檢測證書中明確注明“該產品不可用于互聯網和網絡之間的信息交換”。

3 雙網物理隔離解決方案架構

除去地形圖等國家秘密文件外，勘察設計企業商業秘密的保護也是極為迫切的要求。將操作地形圖資料的計算機與內部工作網絡和外部互聯網隔離，內外兩條網絡之間通過有效的隔離設備和網絡安全措施建立可信連接，既能滿足國家保密局對于國家秘密的保護要求，又能滿足公司內部與互聯網之間的資源共享需要。

利用物理隔離網閘安裝在工作內網核心交換機和外網核心交換機之間，對于公司內部業務使用的計算機和服務器等設備直接或通過級聯設備連接到核心交換機，公司對外交流所用計算機或外網服務器直接或通過級聯連接到外網核心交換機。內外網絡間數據訪問必須經過網閘的“擺渡”。這樣，通過內外網之間的網閘不僅實現了兩個網絡間的物理隔離，還能滿足內外網之間實時、適度、可控的內外網絡數據交換和應用服務。比如：文件交換、數據庫的數據交換與同步、HTTP/HTTPS標準訪問、FTP服務、郵件服務等。

圖1 基于網閘隔離的網絡拓撲結構

通過安全隔離網閘可以對辦公網絡到外部網之間的傳輸數據和文件嚴格執行格式和內容檢查，檢查的內容可以包括內容檢測、防惡意代碼、防泄密、文件類型控制等。可以對瀏覽器中輸入的各種關鍵詞和敏感字符串進行限制，預防內網用戶因訪問外網網站時，在瀏覽器的訪問請求中出現有意或無意泄密的可能。

在公司網絡建設中對于地形圖等高密級資料的使用必須采取單獨網絡或單機運行模式，同時出臺相應的規章制度，對地形圖資料的復制、傳遞進行嚴格的規范，并出臺相應的懲罰措施，從公司制度層面對網絡安全保密行為進行約束。

4 性能分析

物理隔離網閘通過雙主機之間的物理斷開來達到數據隔離的目的。內外主機間信息交換只能借助拷貝、鏡像、反射等非網絡方式來完成。另外，根據內外網間數據交換的具體情況還可以選擇不同流向的單向或雙向隔離網閘，實現更高級別的數據保密要求。市場上部分物理隔離網閘支持基于文件特征庫的文件類型過濾和用戶自定義關鍵字的文件內容篩查，可有效防止商業信息的無意泄漏。

應用物理隔離網閘的雙網隔離解決方案具備如下優點。

1）屏蔽了內部的網絡拓撲結構，屏蔽了內部主機的操作系統漏洞，消除了來自互聯網上對網的攻擊。

2）內部服務器不對外部網絡提供任何端口，不允許來自任何互聯網主機的主動請求，降低了自身風險。

3）通過嚴格的內容過濾和檢查機制嚴防泄密。

4）可根據需要選擇單項或雙向數據流動方向，靈活性強。

但是，采用物理隔離網閘對內部工作網絡和外部網絡進行隔離較采用VPN隔離在費用方面不占優勢，同時，涉及地形圖的計算機部分仍需單獨劃分網絡。

參考文獻

[1]網絡隔離的技術分析與安全模型應用[J].數據通信，2002（3）：23-25.

第8篇：機房網絡設計方案范文

【關鍵詞】國家數控實訓基地；數控機床改造；網絡化；建設方案

黃石職業技術學院國家數控實訓基地于2007年建成并投入使用，由于設計比較倉促，數控基地分別單獨建立了數控仿真實驗室、CAD/CAM實驗室、數控加工車間、電火花線切割實訓室、三坐標測量室等機構，并沒有搭建一個協同的工作網絡。

隨著時間的推移，目前國家數控實訓基地的運行模式已經不能適應現代化的需求：學生在數控仿真實驗室模擬的程序輸出后，并不能直接輸送到數控機床，需要在機床重新錄入或者借助U盤拷貝；技術人員在CAD/CAM實驗室通過三維制造軟件自動生成的程序代碼，無法順利到達機床系統，中間操作繁瑣；三坐標測量機檢測驗證的數據，只有通過介質傳輸，不能快速反饋到實訓室中。這些問題都是由于數控基地沒有一個完整的網絡化平臺造成的。為了解決這個問題，我們為國家數控實訓基地設計了網絡拓撲，準備實施網絡化改造。

一、原有的教學環境及需求

黃石職業技術學院國家數控實訓基地下設的數控仿真實驗室、CAD/CAM實驗室，共擁有計算機82臺，采用P4 3.06G CPU、512M內存、GeForce 128M顯卡、160G硬盤、17寸顯示器，并已組建成一個局域網，每臺機器上裝有宇龍數控加工仿真系統、CAXA制造工程師、Pro/E、Master CAM等專業軟件，可以實現自動編程。三坐標測量室擁有海克斯康三坐標測量機一臺，工作站一臺。數控加工車間擁有廣州數控CAK3275型數控車床9臺，華中數控CK6140型數控車床3臺，廣州數控XK713型數控銑床7臺，華中數控4600型加工中心1臺，法拉克VMC650加工中心2臺，法拉克HTC2050車削中心1臺，華中數控教學型數控車床1臺、華中數控教學型銑床3臺。電火花線切割實訓室擁有蘇州新火花DK7740型數控線切割機床3臺，數控電火花成形機床1臺。

我們擬在數控基地內構建一個局域網網絡平臺，將數控加工車間內所有數控機床與測量室、實訓室、CAD/CAM實驗室等計算機進行網絡化改造，建設模擬企業環境的網絡化數控實訓基地，使各項數據都可以通過網絡傳輸，不再需繁瑣的人工操作。這不僅順應了“網絡數控”發展的總體趨勢，而且能滿足學院教學、培訓的需要，具有較高的實際應用價值。

二、網絡化改造的設計

1.網絡選型、連接方案

在所有網絡類型中，小型局域網是比較接近非專業人上和最為實用的網絡技術。因此，我們選擇搭建一個使用方便、性能穩定、造價低廉的小型星型局域網。

目前基地大多數數控機床數據傳輸只支持通過RS232接口單機傳輸，其基本原理是計算機的串行（COM）口和數控機床本身的RS232接口遵循相同的數據通信協議，利用它們之間的數據傳輸性能可方便地實現計算機與數控機床的通信，從而完成計算機對機床的NC代碼的傳輸。但是這樣的接口我們無法直接接入以太網，經過討論，我們解決的方案是：給每臺數控機床旁配置一臺PC機，使用數據線將COM口與數控機床RS232C接口連接，而此時，每臺PC機又可以直接連接以太局域網。這種方案的特點是技術成熟操作簡單，給操作者帶來方便：在PC機上編程，在專用通訊軟件或者DOS下進行程序傳輸。

2.網絡拓撲結構

我們要先將數控加工車間、線切割實訓室和三坐標測量室的32臺數控機床控制計算機組成一個小局域網，再將該局域網與數控仿真實驗室、CAD/CAM實驗室的局域網連接起來，共同組成一個基地的網絡平臺，使設計信息、工藝信息、加工信息及后置處理數據能及時地傳遞到制造單元。學生在數控仿真實驗室、CAD/CAM實驗室進行數控編程和仿真的數據也可直接傳送到機床上，這樣就構成了網絡制造集成環境，減少了中間環節，增加了可靠性，并提高了工作效率。

根據以上要求，我們決定組建一個星型結構的共享式以太網，服務器安裝Windows 2003 Server，工作站操作系統采用Windows XP專業版。網絡拓撲結構如圖1所示。

3.組網步驟

（1）硬件物資準備

由于數控仿真實驗室、CAD/CAM實驗室已經組成局域網，在這次網絡改造中不需要另外投入新的設備。而現有的數控機床全部配備了高性能計算機，具備入網條件，我們只需購買雙絞線、水晶頭和交換機等就可以輕松組網。

我們采用星型網絡的布線連接，雙絞線兩端安裝有水晶頭。連接網卡與交換機的最大網線長度為100米，如果要加大網絡的范圍，在兩段雙絞線之間可安裝中繼器。由于數控基地所有設備都在一棟大樓內，距離較近，能滿足要求。根據數控機床控制計算機的位置，我們選擇了交換機的安裝位置，并將每臺控制用計算機用雙絞線連接到了交換機上。

（2）服務器的安裝和配置

因為這臺服務器的身份是域控制器、網關及文件服務器，所以我們選用了Windows 2003服務器操作系統，并配置成為域控制器，方便管理域內工作站，還利用Windows 2003的Internet連接共享功能，為基地內部網絡搭建了網關，通過網關將數控基地局域網與校園網連接起來。

同時，我們在服務器上安裝了Serv-U FTP服務器軟件，輕松構建了一個文件服務器，因此在基地局域網內部進行文件傳輸更容易。

（3）工作站的安裝和設置

工作站全部采用Windows XP專業版，其安裝過程比較容易。需要說明的是有關協議的安裝問題，網絡中每臺計算機的協議配置應盡量保持一致。在通常情況下，TCP/IP協議是必不可少的，為了照顧數控機床控制系統中所用通訊功能能在DOS下使用，IPX/SPX協議也應該安裝，至于微軟的網絡客戶文件系統安裝時就已經自動安裝好了。然后，參照相關協議，為每個廠家的數控機床安裝匹配的傳輸控制系統，并對機床控制系統軟件及DNC通訊軟件進行設置，實現通過網絡對機床的有效控制。最后要啟用Windows XP的遠程桌面連接功能，方便遠程操作工作站。

三、改造后的國家數控實訓基地所能實現的增值功能及改造優點

1.網絡化的數控基地提供的增值功能

（1）網絡集中管理

在服務器上可以實現系統的配置管理、性能管理、故障診斷等幾個方面的網管功能，并能集中管理和監視網絡上的各種設備。為系統可靠運行提供保證。

（2）遠程故障診斷

數控機床出現故障時，一般技術人員如不能準確分析判斷故障的原因，就會影響生產。利用互聯網進行網絡對話，服務方可以在異地了解用戶方數控機床出現故障時的表現癥狀，以及數控機床在執行由服務方發送的數控指令時的工作狀態，進而對數控機床的故障進行判斷井提出可行的解決方案。

（3）模擬企業制造環境，提高教學效果

用CAD/CAM實驗室所連成的局域網模擬企業的設計部門，以數控加工車間室局域網模擬企業的制造與加工車間，教師通過互聯網給學生布置實習任務，學生在CAD/CAM實驗室完成產品的原型設計，并將結果通過網絡返回給教師批閱，經檢查無誤后，可直接傳送到數控機床上加工。

整個流程全部通過內部網絡完成，節約了大量的時間，提高了設備的利用率。

現在利用聯網的工作站，可以將所有的數控程序、數控系統參數以及PLC程序（ASCII代碼文件）都備份到計算機中，從而保護了系統資源。

2.數控基地實現網絡化改造后的優點

（1）縮短傳輸程序的時間，也就是節約了昂貴的數控機床機時費用。

（2）準確性高。零件程序重復使用時即使重新傳輸也可以保證絕對正確。

（3）操作者勞動強度減低。只需在機床面板輸人簡單指令就可完成程序傳輸。

（4）易于修改。首次使用的程序如果在現場進行了修改，那么上傳后就可供下次調用。

（5）程序管理實現了統一化。

（6）責任清楚。一旦出現問題，很容易分析出是編程原因還是操作原因。

四、總結及展望

第9篇：機房網絡設計方案范文

關鍵詞：校園無線網絡 網絡設計 方案

中圖分類號：TP393.17 文獻標識碼：A 文章編號：1007-9416（2015）11-0000-00

以校園為研究項目。學校原有網絡通過核心路由器AR46-20來做總網關限制，用H3C9500來做的核心區交換，在各個區域有5臺核心交換機分別繼續做擴展和延伸，通過OSPF動態路由進行連接。現有情況是在各個匯聚交換機下連接出來的設備已經非常多，并且這種有線網絡的可擴展性已經嚴重不足。從不同角度把校園無線網絡的整體設計過程做出具體闡述。

1 校園無線網絡設計原則

（1）層次化。通過對整個校園網絡的層次化的劃分，按照不同層次的部署分別劃分為數據核心層、流量匯聚層和應用接入層。（2）模塊化。將整個校園網進行功能區域的劃分，按照不同功能實現劃分為不同的功能模塊，每個模塊完成各自的功能屬性。（3）安全性。校園網絡應具備高效的安全控制機制。接入校園網絡的設備要進行統一認證，并按照接入用戶的身份，按照不同的權限進行分區邏輯隔離；對核心業務則采取物理隔離的方式；對進出校園網的流量要進行識別、過濾，確保網絡安全。

2 無線網絡的組網架構的選擇

無線網絡架構設計一般而言包含了兩大類的設計，也就是我們經常看到的網絡工作模式的選擇，一是獨立工作模式，二是集中管理模式。這兩種通常被稱之為胖AP（FAT）和瘦AP（FIT）的工作模式的選擇決定著我們這個校園無線網絡的架設是否成功。對AP（FAT）和AP（FIT）兩個工作模式進行分析，可以發現他們各有優勢。對于FAT AP而言，它在小規模的無線網絡架構中能夠發揮很好的作用實現快速組網的需求，并且效果非常明顯，能夠在很短的時間內完成組網工作。對于自己網內的AP可以進行單獨配置，單獨設定IP來進行控制，但是如果遇到規模較大的網絡的時候往往顯得捉襟見肘，費時費力，需要對整個網絡進行調節，比如充分新分配和重新配置AP設備等。而對于校園網絡而言，為了增加管理效率，使網絡管理員能夠更好更高效的維護好校園網絡，我們選擇Fit AP模式來架構整個校園無線網絡。通過Fit AP很好的無線網絡控制器來對整個網絡進行集中控制，在保證網絡安全的同時，降低后期維護的成本，符合學校實際的工作需求。

3 校園無線網絡的整體規劃設計

3.1 無線網絡網絡拓撲結構選擇

本次校園網絡的架設以現有有線網絡為基礎，不會破壞現有網絡的物理結構，通過精巧的設計使得整個布線過程符合當前學校網絡設計的要求，把有線網絡作為無線網絡布設的參照點，在安裝設施上面增加無線網絡的布設點。同時做到弱電井和有線網絡的共用，保證整個網絡外觀的一致性。在整個學校的無線網絡架設中，我們對于整個網絡進行了劃分，利用現有有線網絡為骨干，整個方案采用了12座建筑物和6臺AC來進行管理，控制器選擇的是WX5004型號的設備，以便對于整個網絡進行分散式統一管理，具體的無線網絡布設網絡架構圖，如圖1所示。

3.2無線網絡整體設計

針對學院自身特點和地形情況，我們決定整個校園網的無線網絡整體架設方案采用三層網絡設計結構來實現。下面我們來按照由用戶到設備的次序來具體討論，首先是無線用戶接入層，主要用來允許用戶的無線接入設備通過無線設備與Fit AP進行連接，提供服務的設備分為室內和室外兩種設備型號進行選擇，室內可以用WA2620設備，室外可以用同型號的室外專用大功率設備進行無線網絡的無縫覆蓋方案，通過兩種方式的結合實現對于校園無線網絡的全面覆蓋。其次就是無線匯聚層，這里主要采用的是匯聚交換機來實現對于路由的匯聚功能，設備選擇無線控制器WX5004來做集中管理。然后通過本層無線與有線的結合，把無線設備連接進入校園主干網絡中。第三層也就是核心層，即骨干網絡的管理，可以使用網絡管理軟件系統進行統一管理，包括互聯網的聯通、計費等功能。

通過以上三層的規劃，使得整個校園網絡的規劃更加合理，布局更加細膩，安全性更高，同時層次感也更強，管理起來更加方便。

參考文獻