如何在公网上组建高可用网络

㈠ 中小型企业网络组网

IP协议是网络发展的一个重要推动力，它已经有很长的历史，是与Internet同步成长起来的网络协议。在过去，IP协议并非主导的网络协议。但是进入八十年代末和九十年代，特别是进入九十年代，随着Internet的爆炸性增长，IP协议得到了广泛的应用。越来越多的应用程序，例如万维网技术，电子邮件，文件传输，等等。所以，IP协议成为主导协议已经不可能逆转，这是市场的选择，也是用户的选择。以IP技术为核心的金融网络，将为基于数据、语音、视频业务的广泛应用提供坚实的基础。
同时随着IP网络发展越来越庞大、IP应用越来越多样化，在银行交换机也由以前的单纯的局域网应用逐渐向城域及广域发展，导致其应用也越来越复杂化。目前，单靠产品已经不能很好的满足银行的实际需求，更重要的是提出完善的解决方案。迈普公司具有多年来从事数据通信和网络技术的开发和服务经验，基于银行的实际应用环境，开发了一系列贴近于用户的产品，同样，我们的宗旨是贴近客户、贴近应用。
本方案书从技术层面就如何为金融企业构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络做一阐述。本方案内容组织如下：
第一部分银行网络发展趋势及需求分析，对银行发展趋势及网络需求进行分析；
第二部分提出金融行业以太网建设总体方案设计，介绍各个技术层面的设计原则；
第三部分金融行业以太网建设的详细设计，针对银行的特点和实际情况对详细解决方案进行剖析。
1.银行网络发展趋势及需求分析
在这里，我们根据迈普公司多年来的经验，对银行网络的发展趋势进行分析。
1.1.银行网络发展中设备以及通信带宽的发展
追溯根源，银行从最初的电子化到现在，都是由业务拉动网络的发展，随着网络的发展，网络对带宽、设备的要求越来越高，可以从以下发展图示中看到银行网络发展的轨道：
银行互联网络的发展大致经过了三个阶段，目前正处在由串行通信互联到IP网络化阶段过渡的时期，目前大多的广域网通信带宽在64K到2M之间，网络的互联以传统路由器和低性能交换机、HUB为主。
可以看到，下一代网络将向交换机发展，目前在东南沿海等经济相对发达、应用相对多样的地区已经有少数银行开始采用基于宽带的广域网互联，从储蓄所到中心全部采用光纤接入。在该网络上可以方便的实现宽带的视频应用，但这种方案的推广需要完善解决交换机的安全以及QoS策略。
1.2.目前银行网络发展趋势纵向划分
前面已经提到，银行网络是由业务的发展来带动的。目前的网络早已不仅仅为传统的储蓄和对公业务提供支撑，网上银行、电话银行、中间业务等等不同业务共用一个企业网络。细化起来，可以将银行目前的发展方向细化为几个方面
可以看到，主要有5个方面的发展：
管理集中
管理集中是网络规模扩大的必要管理手段，先进的网络管理平台、设备的集中管理、集群管理成为网络设备的重要功能指标。
多业务集成
多种不同的业务共用同一个物理的网络平台，对网络设备的服务质量、安全控制提出的更高的要求。
宽带化
银行业务的特殊性导致宽带化的进程受安全性要求的限制，但宽带化仍然是必然的趋势。
数据和应用集中
这与管理集中是相辅相成的，是企业网络向系统性整体性发展的体现。
网络化
这里所说的网络化，指的是网络逐渐向边缘延伸，同时与外部网络的联系越来越紧密。
在这五个方面发展的同时，网络的安全性、可靠性等性能指标也成为网络的重要一环。
1.3.需求分析
金融网络最原始的需求来自于业务的开展和资源共享的需要，随着金融企业业务范围的扩大和业务产品的增多，更高速、更可靠、更安全以及更方便的网络和业务管理已经成为新时期金融企业网络的关注重点。
银行联网应用分为：业务应用和办公应用。业务应用包括零售、会计、信用卡、国际结算、电子联行、收付清算等对银行至关重要的核心应用系统；办公应用主要是基于邮件系统、办公自动化系统、依赖此种机制的各种报表系统和管理系统，以及未来可能发展的数字电话、视频网络、以及其它新型的满足办公管理需求的联网应用。
局域网络的建设主要涉及到不同业务之间的VLAN划分、VLAN之间的互通需求，以及与广域网络的无缝连接。
本方案考虑了以上的网络情况，并采用了迈普以太网交换机，实现千兆到楼层、百兆到桌面的全网解决方案。并增加了如MAC地址绑定、端口镜像、包过滤等内网安全技术，支持802.1x内部网络管理认证、用户分级管理的管理功能。
2.总体方案设计
2.1.总体设计原则
省级分行数据中心局域网，一方面作为整个银行网络系统一级网上的一个节点，另一方面又是省内网络系统的中心汇聚点，从全国银行网络系统的角度来看起到承上启下的作用。针对金融企业业务数据通信量和办公数据通信量大的情况，采用适当的经济型的迈普网络通信产品实现完善的网络接入解决方案，在网络设计构建中，应始终坚持以下建网原则：
高可靠性
网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力和备份，同时合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。主干网络设备的主要部件必须支持带电热插拔，在万一出现局部故障时应不影响网络其它部分的运行，并且故障便于诊断和排除。充分体现计算机网络的高可靠性。
技术先进性和实用性
保证满足金融核心业务应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来发展趋势。
高性能
骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。
标准开放性
支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络(如Internet、友商企业等其它网络)之间的平滑连接互通，以及将来网络的扩展。
灵活性及可扩展性
根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。
可管理性
对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。
安全性
制订统一的网络安全策略，整体考虑网络平台的安全性。
兼容性和经济性
兼容性，能够最大限度地保证金融企业现有各种计算机软、硬件资源的可用性和连续性，为不同的现存网络提供互联和升级的手段，保证各种在用计算机系统，包括工作站、服务器和微机等设备的互连入网，充分利用现有计算机资源，发挥主干网的优势。经济性，就是在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资。有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级。
2.2.技术策略及原则
为切实达到以上的网络设计原则，使金融网络系统具有良好的扩展性和灵活的接入能力，并易于管理，易于维护，在网络设计及构建中始终应遵循如下方面技术策略及原则：
统一标准
网络的互联及互通关键是对相同标准的遵循，要实现网络业务能融合到一起，实现数据、语音、视频业务的融合，就必须统一标准。
统一平台
从开放性、发展性、成熟性等方面来看，只有IP技术才能成为统一平台网络构建的标准。而在具体实施中，必须统一规划IP地址及各种应用，采用开放的技术及国际标准，如路由协议、安全标准、接入标准和网络管理平台等，才能保证实现网络的统一，并确保网络的可扩展性。
2.3.网络分层的原则
为减少网络中各部分的相关性，便于网络的实施及管理，在网络的构建中，从整体上可以将网络划分为核心层、汇聚层、接入层等三个层次。
1、核心层
负责完成网络各汇聚节点之间的互联及完成高效的数据传输、交换、转发及路由分发。
2、汇聚层
负责将各种接入业务集中起来，除了进行局部数据的交换、转发以外，通过高速接口将数据输送到核心层去，在更大的范围内进行数据的路由以及处理。
3、接入层
设备提供各种标准接口将数据接入到网络中，完成基本的业务系统之间的隔离和安全性控制、认证管理等功能。
3.详细方案设计
3.1.大型金融机构办公大楼局域网解决方案
3.1.1.网络拓扑图
3.1.2.方案分析
本解决方案把网络分为三级网络：核心层、汇聚层、接入层。
对于规模大的大型金融机构办公大楼局域网络，需要建立一个核心的交换平台，使用两台MyPower S4196B三层交换机作为网络的中心核心层，通过千兆链路汇聚来自楼层的MyPower S4196B上行数据。两台MyPower S4196B通过多个千兆GE链路TRUNK互相作为冗余备份，共同作为网络的核心交换。
在汇聚层选择MyPower S4196B产品进行楼层汇聚，最大可提供96个100M端口接入，作为相邻3个楼层的楼层汇聚，使用2路千兆上行连接到核心交换的两台MyPower S4196B上。用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。
在接入层选择MyPower S3026G系列产品进行房间内信息点的接入，实现100兆到桌面。
迈普系列数据通信产品支持统一的网管平台，通过迈普的DeviceMaster网管软件（NT/2000平台），应用标准网管协议SNMP，可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术，只需设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配。同时，整个方案中的各系列交换机都内置了802.1x本地认证功能，能对各信息点的接入用户进行认证并对其流量进行限制；通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术，能为整个大楼构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络。
3.1.3.方案特点
集群化管理
可以采用迈普DeviceMaster管理软件对MyPower S4196B、MyPower S3026G进行集群化的图形管理，只需要设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配；初始化时从交换机无须做任何参数配置，整个网络拓扑由主交换机自动发现，大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成，实现管理集中。
划分多工作组群
MyPower S4196B交换路由器提供VLAN与VLAN之间的数据转发，通过它，可以将办公大楼的接入用户划分为多个工作组群，组与组之间可以通过二层交换机进行连接。同时，MyPower S3026G进行对工作组群之间的交互控制。
安全性高
目前作为应用在局域网中的设备，MyPower S4196B支持802.1x、用户分级管理，可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制、MAC地址绑定，防止非授权访问以及授权的越区访问。还可配合迈普加密体系，保证网络机密性。
性价比高
在大楼核心采用高性价比的MyPower S4196B路由交换机，最大提供96个100M以太口，提供全线速三层交换，是组建大型金融机构办公网络的最佳网络设备。
可靠性好
MyPower S4196B和MyPower S3026G采用双电源冗余供电，还可根据需要进行网络链路的冗余备份，保证系统的不间断运行。
易维护
MyPower S4196B和MyPower S3026G提供中文和英文双语集成的基于Web配置方式，只需要对网络有简单的了解就可以对它进行方便的配置，同时，它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别，无须技术人员考虑网线是直连网线还是交叉。
3.2.中型金融机构办公大楼局域网解决方案
3.2.2.方案分析
本解决方案把网络分为三级网络：核心层、汇聚层、接入层。
对于中小型金融机构办公大楼局域网络，也需要建立一个核心的交换平台，使用一台MyPower S4196B系列产品作为网络的中心核心层，通过千兆链路集中来自MyPower S4126G汇聚的上行数据。MyPower S4196B系列产品是迈普线速交换网络产品系列定位于中型核心节点的代表产品系列，属千兆交换路由产品，当前的MyPower S4196B提供全线速的二三层交换。在中型规模金融企业网中，两台通过TRUNK连接的MyPower S4196B产品可以被设计作为网络的核心交换、业务控制和冗余控制平台。
在汇聚层选择MyPower S4126G产品进行楼层汇聚，提供24个100M接入，同时2路千兆上行。用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。
在接入层选择MyPower S3026G系列产品进行房间内信息点的接入，实现100兆到桌面。
迈普系列数据通信产品支持统一的网管平台，通过迈普的DeviceMaster网管软件（NT/2000平台），应用标准网管协议SNMP，可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术，只需设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配。同时，整个方案中的各系列交换机都内置了802.1x本地认证功能，能对各信息点的接入用户进行认证并对其流量进行限制；通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术，能为整个大楼构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络。
3.2.3.方案特点
集群化管理
可以采用迈普DeviceMaster管理软件对MyPower S4196B、MyPower S4126G、MyPower S3026G进行集群化的图形管理，只需要设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配；初始化时从交换机无须做任何参数配置，整个网络拓扑由主交换机自动发现，大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成，实现管理集中。
划分多工作组群
MyPower S4196B交换路由器提供VLAN与VLAN之间的数据转发，通过它，可以将办公大楼的接入用户划分为多个工作组群，组与组之间可以通过二层交换机进行连接。同时，MyPower S4126G进行对工作组群之间的交互控制和路由。
安全性高
目前作为应用在局域网中的设备，MyPower S4196B、MyPower S4126G支持802.1x、用户分级管理，可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制、MAC地址绑定，防止非授权访问以及授权的越区访问。还可配合迈普加密体系，保证网络机密性。
可靠性好
MyPower S4196B、MyPower S4126G、MyPower S3026G采用双电源冗余供电，还可根据需要进行网络链路的冗余备份，保证系统的不间断运行。
性价比高
在大楼核心采用高性价比的MyPower S4196B和MyPower S4126G路由交换机，提供全线速三层交换，是组建中型金融机构办公网络的最佳网络设备。
易维护
MyPower S4196B、MyPower S4126G和MyPower S3026G提供中文和英文双语集成的基于Web配置方式，只需要对网络有简单的了解就可以对它进行方便的配置，同时，它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别，无须技术人员考虑网线是直连网线还是交叉。
3.3.小型金融机构办公大楼局域网解决方案
3.3.2.方案分析
对于小型金融机构办公大楼局域网络，也需要建立一个核心的交换平台，使用一台MyPower S4126G系列产品作为网络的中心核心层，通过百兆链路汇聚来自各楼层MyPower S3026G的上行数据。在小规模金融企业网中，单台MyPower S4126G产品可以被设计作为网络的核心交换、业务控制和冗余控制平台。
在接入层选择MyPower S3026G系列产品进行房间内信息点的接入，实现100兆到桌面，可划分VLAN对业务进行隔离。
迈普系列数据通信产品支持统一的网管平台，通过迈普的DeviceMaster网管软件（NT/2000平台），应用标准网管协议SNMP，可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术，只需设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配。同时，整个方案中的各系列交换机都内置了802.1x本地认证功能，能对各信息点的接入用户进行认证并对其流量进行限制；通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术，能为整个大楼构建一个便于管理的、可控的、高性能的智能网络。
3.3.3.方案特点
集群化管理
可以采用迈普DeviceMaster管理软件对MyPower S4126G和MyPower S3026G进行集群化的图形管理，只需要设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配；初始化时从交换机无须做任何参数配置，整个网络拓扑由主交换机自动发现，大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成，实现管理集中。
划分多工作组群
MyPower S4126G交换路由器提供VLAN与VLAN之间的数据转发，通过它，可以将办公大楼的接入用户划分为多个工作组群，组与组之间可以通过二层交换机进行连接。同时，MyPowerMyPower S3026G进行对工作组群之间的交互控制。
安全性高
目前作为应用在局域网中的设备，MyPower S4126G支持802.1x、用户分级管理，可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制、MAC地址绑定，防止非授权访问以及授权的越区访问。还可配合迈普加密体系，保证网络机密性。
可靠性好
MyPower S4126G、MyPower S3026G采用双电源冗余供电，还可根据需要进行网络链路的冗余备份，保证系统的不间断运行。
性价比高
在大楼核心采用高性价比的MyPower S4126G路由交换机和MyPower S3026G二层网管型交换机，MyPower S4126G提供全线速三层交换，MyPower S3026G支持二层的所有网管协议，是组建中小型金融机构办公网络的最佳网络设备。
易维护
MyPower S4126G和MyPower S3026G提供中文和英文双语集成的基于Web配置方式，只需要对网络有简单的了解就可以对它进行方便的配置，同时，它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别，无须技术人员考虑网线是直连网线还是交叉。
3.4.同城金融机构办公大楼间城域网解决方案
3.4.2.方案分析
上图显示了典型金融企业网的组网应用情况。在该类网络中存在下列需求：大量不同规模工作组的接入；楼层（楼间）宽带互联；分部互联；综合服务环境提供（邮件系统、文件系统、数据库等）；对外服务提供以及业务隔离等。
当前，随着企业IT进程的迅速推进，千兆骨干，百兆到桌面已经成为企业LAN建设的标准配置，按照这种思路组建金融企业网络的物理平台架构，在用户接入层可以选用MyPower S3026G系列接入交换机，提供百兆到桌面的同时再以100M/1000M上行到汇聚层；在汇聚层则可以选用MyPower S4196B和MyPower S4126G，向下提供百兆接入，同时向上提供千兆链路上行。MyPower S4196B和MyPower S4126G可以提供2条千兆上行链路，用户可以根据自身需求以及光纤资源情况进行灵活的选择。用MyPower S4196B做大楼中心汇聚，向下提供千兆接入，同时向上提供N×1000M链路上行。
对于远端的办公节点，例如另一栋办公大楼或者一个拥有可达光纤资源的金融分支机构，远端办公节点的MyPower S4196B支持扩展光纤接口模块，可以方便的实施远程光纤互联。在各办公节点间用MyPower S4112A进行各点的核心汇聚，MyPower S4112A最大能提供12个千兆光口。
在业务部门众多，网络用户密集、结构复杂的中型企业，纯二层产品组建的网络往往会出现广播报文急剧增多而导致的网络转发效率降低的现象，同时，不同的部门处在同一个网络中，也可能产生安全漏洞，所以，有必要使用相应的网络技术来控制不同子网的广播范围，使用VLAN（虚拟私有网）技术可以有效的隔离广播，控制不同网络用户的互访，但同时也产生了新的问题：彻底的二层隔离使得原有的公用资源可能不再能同时为各个相互隔离的子网服务了，另外，为了隔离广播造成了部分需要互访的用户的隔离――解决不同VLAN之间的互访需求需使用网络更高逻辑层的支持技术――路由技术（第三层）。在大型企业的部门级网络或者中型企业的分部LAN中心都可以选用MyPower S4100系列产品解决上述问题。MyPower S4100系列可以提供全线速的二三层交换，保证了即使在网络流量子网网间达到流量高峰时，该网络节点处理依然不会成为瓶颈。
在更好的控制广播扩散以及不同部门之间数据流的三层互通的同时，MyPower S4100还能实现线速的多层策略过滤，即：MyPower S4100可以基于硬件的2~7层包过滤等设置安全策略，用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。
迈普系列数据通信产品支持统一的网管平台，通过迈普的DeviceMaster网管软件（NT/2000平台），应用标准网管协议SNMP，可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术，只需设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配。同时，整个方案中的各系列交换机都内置了802.1x本地认证功能，能对各信息点的接入用户进行认证并对其流量进行限制；通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术，能为同城各办公机构间构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络。
3.4.3.方案特点
集群管理
可以采用迈普DeviceMaster管理软件对MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G进行集群化的图形管理，只需要设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配；初始化时从交换机无须做任何参数配置，整个网络拓扑由主交换机自动发现，大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成，实现管理集中。
划分多工作组群
MyPower S4112A、MyPower S4196B和MyPower S4126G交换路由器提供VLAN与VLAN之间的数据转发，通过它，可以将办公大楼的接入用户划分为多个工作组群，组与组之间可以通过二层交换机进行连接。同时，MyPower S3026G进行对工作组群之间的交互控制。
安全性高
目前作为应用在局域网中的设备，MyPower S4112A、MyPower S4196B和MyPower S4126G支持802.1x、用户分级管理、基于硬件的2~7层包过滤等安全策略，可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制，防止非授权访问以及授权的越区访问。还可配合迈普加密体系，保证网络机密性。
可靠性好
MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G采用双电源冗余供电，还可根据需要进行网络链路的冗余备份，保证系统的不间断运行。
性价比高
在大楼核心采用高性价比的MyPower S4112A和MyPower S4196B路由交换机，最大能提供12个千兆光口，提供全线速三层交换，是组建中小型金融机构办公网络的最佳网络设备。
易维护
MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G提供中文和英文双语集成的基于Web配置方式，只需要对网络有简单的了解就可以对它进行方便的配置，同时，它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别，无须技术人员考虑网线是直连网线还是交叉。
结束语
无论是金融系统原有的数据网络资源系统、中间业务网络还是OA、金融企业资源系统，在充满竞争和机会的金融市场环境下都需要更加技术先进、开放、安全可靠的网络基础。把这些零散的业务网络有机的整合在一起，这意味着要构筑打造一个高性能、高效、可控、易维护的全新智能信息网络。
面向全新的金融网络，迈普依靠多年来在金融行业积累下的网络建设经验，对省行到网点机构进行详细分析和精心设计，帮助客户提供了面向业务、面向办公自动化网络高性价比的局域网建设综合解决方案，全面满足大集中的背景下产生的业务对网络的众多需求。

㈡ 无线网络 怎样提高在公网上系统的稳健性、可靠性

加密，安全过滤

㈢ 组建网络设计报告

公司小型办公网络设计

此网络设计尽供参考！

摘要：

本网络有两个模块：公司互联网模块与园区网模块：公司互联网模块拥有与互联网的连接，同时也端接VPN与公共服务（DNS、HTTP、FTP、SMTP）信息流。园区模块包含第2层交换功能与所有的用户以及管理与内部网服务器。

互联网模块为内部用户提供了与互联网的连接并使用户能够通过互联网访问公共服务器上的信息，同时还为远程地点和远程工作人员提供了VPN访问能力。这种模块不适用于电子商务类型的应用。

园区网模块包含最终用户工作站、公司内部网服务器、管理服务器和支持这些设备所需的相关第2层基础设施。

关键字：

VPN；公共服务（DNS、HTTP、FTP、SMTP）信息流；互联网；远程；工作站；服务器

1 目的要求

至少要有两个LAN

一个WAN

网间设备之间能互通

注：在报告中要有各种设备的详细配置命令

2 需求分析

小型办公网络环境一般是的应用需求是作为办公用途，所以在组建过程中，一般以办公应用为主，主要实现的功能就是共享文件、打印机等应用。下面我们就为大家介绍如何构建小型办公网络环境。

2.1费用因素

这是在组建网络时主要考虑的因素之一。一般情况下，费用因素包括：设备的购买费用、宽带线路租用费用这两项。其中需要的设备主要是根据自身需求来选择的。

2.2 应用需求

这是在集成网络之前就需要考虑到的，用户构建的网络主要是以办公需求为主，主要是共享文件、打印机之类的需求，所以建议构建一个10/100M的交换以太网络就完全能够满足这些需求。

在接入线路方面，一般小型办公网络环境对于流量的需求并不是很多，一般都是些获取信息、收发电子邮件等流量比较低的应用，所以选择目前流行的一些宽带接入方式就已经完全够用。

目前适合小型办公网络使用的宽带主要有ADSL和以太网接入，这两种方式用户可以根据办公场所的现有线路环境来进行选择，如果有以太网接入方式就可以直接向ISP申请服务，而如果没有只能申请ADSL线路接入服务。以下是北京网通这两项的费用比较，用户可以根据自己的预算需求来选择。

2.3 管理和安全性因素

在小型办公网络环境中，可管理性和安全性因素也必不可少，但相对大型网络来说要简单的多，所以一般有条件的可以配备一名网管，而如果现有人员有对网络管理方面有经验则不需要，一般需要的网络管理就是一些常用的升级操作，并不复杂。在安全性方面，一般就是安装和升级防火墙，定期对网络中的病毒进行查杀的工作。

2.4 组网方法

2.4.1 内部网络：

前面我们提到，小型办公网络可以使用10/100M的交换以太网来组建内部网络，在这里我们需要的设备包括网络适配器和交换机这两种设备。

网络适配器就是一般的网卡，在市场上一般的PCI网卡三十元左右就可以买到,网卡需要每台上网的计算机都必须提供，主要有PCI和PCMCIA两种，PCI网卡用于台式机当中，而PCMCIA卡则用于笔记本电脑当中，价格相应会贵一些。

交换机设备则需要根据网络中的终端数量来进行选择，目前市场上适合小型办公网络使用的交换机有5口、8口、16口和24口几种，在选择的过程我们需要根据网络中终端数量的多少来选择，而且在选择时还应注意要有冗余和日后网络升级的考虑。

2.4.2 外部网络

前面我们也提到小型办公网络可以选择ADSL或以太网两种接入方式。在这里，我们需要讲解的是几种宽带共享上网方式。一般我们可以用以下几种方式来共享一条宽带线路上网：

<1>代理服务器方式共享上网

这种方式不需要其他的投资，但需要提供一台主机用作代理上网使用，这台机器需要配备两块网卡，不需要如宽带路由器等共享上网设备。缺点是如果这台机器出现故障或关机时，所有的机器都会受到影响而不能正常上网。

<2>宽带路由器方式共享上网

这种方式需要投资购买宽带路由器，优点是不需要过多的维护，只要打开宽带路由器就可以随时提供共享上网服务，缺点是宽带路由器有可能会因为性能、病毒等种种因素造成使用网络的不正常。

3 网络规划

本网络有两个模块：公司互联网模块与园区网模块：如图1。公司互联网模块拥有与互联网的连接，同时也端接VPN与公共服务（DNS、HTTP、FTP、SMTP）信息流。园区模块包含第2层交换功能与所有的用户以及管理与内部网服务器。关于这种设计的讨论的前提是小型网络用作企业的头端。

图1

3.1 公司互联网模块

互联网模块为内部用户提供了与互联网的连接并使用户能够通过互联网访问公共服务器上的信息，同时还为远程地点和远程工作人员提供了VPN访问能力。这种模块不适用于电子商务类型的应用。

互联网模块涉及的关键设备有：SMTP服务器、DNS服务器、FTP／HTTP服务器、防火墙或防火墙路由器、第2层交换机（支持专用VLAN）：如图2。

拥有公共地址的服务器是最容易被攻击的。以下是互联网模块潜在的威胁：未授权访问、应用层攻击、病毒与特洛伊马攻击、密码攻击、拒绝服务、IP电子欺骗、分组窃听、网络侦察、信任关系利用、端口重定向。

设计指南——在小型VPN网络设计中，该模块堪称为极至。VPN功能被压缩入一个机箱，但依然执行着路由选择、NAT、IDS和防火墙功能。在确定如何实施该功能时，提及了两种主要替代措施。第一是使用带防火墙和VPN功能的路由器。这种选择为小型网络带来了极大的灵活性，因为路由器将支持在当今网络中可能是不可或缺的所有高级服务。作为一种替代措施，可使用带VPN的专用防火墙来取代路由器。这种设置给部署造成了一些限制。首先，防火墙通常都只是以太网，要求对相应的WAN协议进行一些转换。在目前的环境中，大多数有线和DSL路由器/调制解调器都是由电信服务供应商提供的，可用于连接以太网防火墙。如果设备要求WAN连接（如电信供应商的DSL电路），那么，就必须使用路由器。使用专用防火墙不具备轻松配置安全性和VPN服务的优势，当发挥防火墙功能时，可提供改进性能。无论选用哪种设备，都要考虑一些VPN的因素。请注意，路由器倾向于允许信息流通过，而防火墙的缺省设置则倾向于阻止信息流通过。

从ISP的客户边缘路由器开始，ISP出口将限制那些超出预定阈值的次要信息流，以便减少DDoS攻击。同时在ISP路由器的入口处，RFC1918与RFC 2827过滤功能将防止针对本地网络及专用地址的源地址电子欺骗。

在防火墙的入口，RFC1918与RFC2827将首先被用于验证ISP的过滤功能。此外，由于零散的分组带来了极大的安全隐患，因此防火墙将丢弃那些在互联网上不应被视作标准信息流的零散分组。这种过滤有可能导致某些合格信息流被丢弃，但考虑到允许以上不合格的信息流通过所带来的风险，上述情况是可以接受的。目的地为防火墙的信息流仅限于IPSec信息流和用于路由的任何必要协议。

防火墙为通过防火墙发起的会话提供了连接状态执行操作以及详细的过滤。拥有公共地址的服务器通过在防火墙上使用半开放连接限制能够防止TCP SYN洪水。从过滤的角度讲，除了将公共服务区域的信息流限定到相关地址和端口外，在相反的方向上也在进行过滤。如果某个攻击涉及到一个公共服务器（通过规避防火墙和基于主机的IDS），那么这个服务器应该不会再进一步攻击网络。为了缓解这种攻击，具体的过滤将防止公共服务器向其他任何地点发出任何未授权请求。例如，应该对Web服务器进行过滤，以便使其不能自身产生请求，而只能回答来自客户机的请求。这种设置有助于防止黑客在实施最初的攻击后将更多的应用下载到被破坏的机器。同时还有助于防止黑客在主攻击过程中触发不受欢迎的会话。这种攻击的例子是从Web服务器生成一个xterm，再通过防火墙将其传送到黑客的机器。此外，DMI上的专用VLAN可以防止一个被破坏的公共服务器攻击同一区域的其他服务器。这种信息流甚至不能被防火墙发现，由此可以证明专用VLAN的重要性。
从主机的角度看，公共服务区域内的每个服务器均拥有主机入侵检测软件，用于监控OS级的任何不良活动以及普通服务器应用的活动（HTTP、FTP、SMTP等）。DNS主机应该只响应必要的命令，同时消除任何可能有助于黑客的网络侦察攻击的不必要响应。这包括防止从任何地点进行zone传输（合格的二级DNS服务器除外）。在邮件服务方面，防火墙在第7层过滤SMTP信息，以便只允许必要的命令到达邮件服务器。

防火墙与防火墙路由器的安全功能中通常包括一些有限的NIDS功能。这种功能会影响设备的性能，但在您遭受攻击的情况下却能提供一些关于攻击的信息。您是牺牲部分性能换取了攻击透明度。如果不使用IDS，许多攻击将被放弃，但监控站不会知道发生了什么具体攻击。VPN连通性是通过防火墙或防火墙／路由器实现的。远程地点用预共享的密钥进行彼此验证，远程用户则通过园区模块中的访问控制服务器得到验证。

与上述设计不同的设计将是为了提高网络容量或将各种不同的安全功能分配给不同的设备。这样这种设计就越来越象本文后面要讨论的中型网络设计。在完全采用中型网络设计之前可以先添加专用的远程访问VPN集中器，以提高远程用户群的可管理性。

图2

3.2 园区网模块

园区网模块包含最终用户工作站、公司内部网服务器、管理服务器和支持这些设备所需的相关第2层基础设施：如图3。在小型网络设计中，这种第2层功能已被并入单个交换机中。

设计指南——园区交换机的主要功能是交换生产与管理信息流并为公司和管理服务器以及用户提供连接。在交换机内部可以实施VLAN，以减少设备间的信任关系利用攻击。例如，公司用户可能需要与公司服务器通信但彼此之间可能没有必要通信。
由于园区模块中没有第3层服务，因此必须注意，由于内部网络的开放性，这种设计越来越注重应用和主机的安全性。因此，园区中的关键系统上也安装了HIDS，包括公司服务器与管理系统。

在管理站与网络其余部分之间设置一个小型过滤路由器或防火墙能够提高总体安全性。这种设置将使管理流量只沿着管理员认为必要的方向传输。如果机构内部的信任水平高，那么可以取消HIDS（尽管我们不建议这样做）。

图3

3.3 分支机构与独立式配置

在分支机构中不要求配备远程访问VPN功能，因为公司总部通常会提供这种功能。此外，管理主机一般位于中央地点，这种设置要求管理信息流穿过地点到地点VPN连接回到公司总部。

4 网络实现

4.1 应用BOSSON软件画出公司小型办公网络拓补图

网络拓补图

4.2 配置路由器

相关程序如下：

配置路由器基本参数

通过 Boson NetSim 中的工具栏按钮“ eRouters”选择“ R1”并按照下面的 过程进行路由器基本参数的配置

Router>enable

Router#conf t

Router(config)#host ISP

ISP (config)#ena se c1

ISP (config)#line vty 0 4

ISP (config-line)#pass c2

ISP (config-line)#int eth 0

ISP (config-if)#ip add 192.168.1.1 255.255.255.0

ISP (config-if)#no shut

ISP (config-if)#int se 0

ISP (config-if)#ip add 10.0.0.1 255.0.0.0

ISP (config-if)#clock rate 64000

ISP (config-if)#no shut

ISP (config-if)#end

ISP # run start

通过 Boson NetSim 中的工具栏按钮“ eRouters”选择“ R2”并按照下面的 过程进行路由器基本参数的配置：

Router>enable

Router#conf t

Router(config)#host R2

R2(config)#ena se c1

R2(config)#line vty 0 4

R2(config-line)#pass c2

R2(config-line)#int eth 0

R2(config-if)#ip add 192.168.2.1 255.255.255.0

R2(config-if)#no shut

R2(config-if)#int se 0

R2(config-if)#ip add 10.0.0.2 255.0.0.0

R2(config-if)#no shut

R2(config-if)#end

R2# run start

配置、测试静态路由选择路由器 R1 并配置相关的静态路由信息，如下所示：

ISP #conf t

ISP (config)#ip route 192.168.2.0 255.255.255.0 10.0.0.2

ISP (config)#end

ISP # run start

选择路由器 R2 并配置相关的静态路由信息，如下所示：

R2#conf t

R2(config)#ip route 192.168.1.0 255.255.255.0 10.0.0.1

R2(config)#end

R2# run start

选择路由器 R1 并按照下面的步骤测试静态路由配置结果：

ISP #show ip route

选择路由器 R2 并按照下面的步骤测试静态路由配置结果：

R2#show ip route

4.3 配置交换机

相关程序如下：

Switch>enable

Switch#conf t

Switch(config)#host SW1

SW1(config)#ena se c1

SW1(config)#line vty 0 15

SW1(config-line)#pass c2

SW1(config-line)#int fe 0/1

SW1(config-if)#switchport mode access

SW1(config-if)#int fe 0/2

SW1(config-if)#switchport mode access

SW1(config-if)#int vlan 1

SW1(config-if)#ip add 192.168.0.1 255.255.255.0

SW1(config-if)#no shut

SW1(config-if)#end

SW1# run start

通过 Boson NetSim 中的工具栏按钮 “ eSwitches”选 择“ SW2” 并 按照下面 的过程进行交换机基本参数的配置：

Switch>enable

Switch#conf t

Switch(config)#host SW2

SW2(config)#ena se c1

SW2(config)#line vty 0 15

SW2(config-line)#pass c2

SW2(config-line)#int fe 0/1

SW2(config-if)#switchport mode access

SW2(config-if)#int fe 0/2

SW2(config-if)#switchport mode access

SW2(config-if)#int vlan 1

SW2(config-if)#ip add 192.168.0.2 255.255.255.0

SW2(config-if)#no shut

SW2(config-if)#end

SW2# run start

通过 Boson NetSim 中的工具栏按钮“ eStations”选 择“ Host 1”并按照下面 的步骤配置 Host 1 的相关参数

4.4 给相应网络PC配置IP地址

通过 Boson NetSim 中的工具栏按钮“ eStations”选 择“ Host 1”并按照下面 的步骤配置 Host 1 的相关参数：

键入“回车键”继续。

在 Host 1 的命令提示符下键入 ipconfig /ip 192.168.0.11 为 Host 1 设置 IP 地址、子网掩 码。

在 Host 2 的命令提示符下键入 ipconfig /ip 192.168.0.22 为 Host 2 设置 IP 地址、子网掩 码。

在 Host 3 的命令提示符下键入 ipconfig /ip 192.168.0.33 为 Host 3 设置 IP 地址、子网掩 码。

在 Host 4 的命令提示符下键入 ipconfig /ip 192.168.0.44 为 Host 4 设置 IP 地址、子网掩 码。

4.5 检测网络畅通性

在 Host 1 的命令提示符下键入 ping 192.168.0.1 测试到交换机 SW1 的管理 IP 的连通性。

在 Host 1 的命令提示符下键入 ping 192.168.0.2 测试到交换机 SW2 的管理 IP 的连通性。

在 Host 1 的命令提示符下键入 ping 192.168.0.22 测试到 PC 机 Host 2 的连通性。

在 Host 1 的命令提示符下键入 ping 192.168.0.33 测试到 PC 机 Host 3 的连通性。 在 Host 1 的命令提示符下键入 ping 192.168.0.44 测试到 PC 机 Host 4 的连通性。

5 结论

小型办公网络环境一般是的应用需求是作为办公用途，所以在组建过程中，一般以办公应用为主，主要实现的功能就是共享文件、打印机等应用。

6 心得体会

通过本次计算机网络课程设计，我更加充分的理解了课本上的知识，并能够加以扩展，从而应用于实践当中，在BOSON软件中虚拟实现一个小型办公网络，画出网络简单模块拓补图，对其内部器件进行相应的正确配置。达到网络畅通、功能齐全、安全可靠的目的，并符合公司对网络的要求水平。

通过本网络的设计，我基本掌握了路由器、交换机、网络适配器以及SMTP服务器、DNS服务器、FTP／HTTP服务器的用途及配置维护方法，了解了防火墙对网络的重要性，从而对我的网络知识有了更深一步的加深与延拓，是今后学习和工作中的一次宝贵经验。

7 参考文献：

[1]《计算机网络》（第四版） 谢希仁编 大连理工大学出版社 2004-2

[2] Cisco Networking Academy Program《思科网络技术学院教程网络安全基础》

人民邮电出版社 2005年4月

[3] Cisco Networking Academy Program

《思科网络技术学院教程CCNP1高级路由（第二版）》

人民邮电出版社 2005年3月

[4] Cisco Networking Academy Program

《思科网络技术学院教程CCNP 2远程接入（第二版）》

人民邮电出版社 2005年2月

[5]圆网—无线局域网安全技术

㈣ 如何快速构建高可用集群

网上例子一大堆，随便搜搜就可以实现了，主要看你的需求和业务量！

㈤ 如何组建网络有几种方案能用图例来表示

家庭或小型办公室，如果有两台或更多的计算机，很自然地希望将他们组成一个网络。为方便叙述，以下约定将其称为局域网。在家庭环境下，可用这个网络来共享资源、玩那些需要多人参与的游戏、共用一个调制解调器享用Internet连接等等。办公室中，利用这样的网络，主要解决共享外设如打印机等，此外，办公室局域网也是多人协作工作的基础设施。

别看这样小的网络工程，在过去也是需要专业人员来进行组网配置的。那时，大部分操作的都是手工的，一般的用户都不具备相应的知识和经验。正好属于"高不成低不就"的情况，自然限制了它的发展。Windows XP的出现，打破了这种局面，这依赖它内建有强大的网络支持功能和方便的向导。用户完成物理连接后，运行连接向导，可以自己探测出网络硬件、安装相应的驱动程序或协议，并指导用户，完成所有的配置步骤。

本文介绍两种在Windows XP操作系统下的组网方案，并介绍Windows XP用于局域网中的各种很有特色的功能。

一. 目标：

组成家庭局域网：对外，可以连接Internet，允许局域网内的各个计算机共享连接。对内，可以共享网络资源和设备。

二. 采用什么网络形式？

家庭网中的计算机可能有桌面机或便携机，例如掌上电脑或笔记本机等，也可能出现各种传输介质的接口，所以网络形式上，不宜都采用有线网络，无线接口是必须考虑的。但如果可以明确定位在纯粹的有线网上，也可不设无线接口。所以，这里提供两种方案：

1. 有线与无线混合。
2. 有线。

三. 网络硬件选择

网络适配器（网卡）可采用PCI、PC或PCMCIA接口的卡（后两者多用在便携式机或笔记本机上），Windows XP也支持用USB接口的网络适配器。究竟采用那种适配器，取决于接入网络中的计算机。无论那种适配器，都需要注意与现有计算机的接口以及HUB的协调一致，USB接口的适配器可能适应性更强一些，但对于较旧的计算机，又需要注意它是否支持USB接口。

网络连接线，常用的有同轴电缆和双绞线，这都是大家熟悉的东西，不多解释。究竟采用哪一种，就看你怎么想了。
四. 可采用的网络结构和介质

以太结构：这种结构在办公室或商业用户中最为流行，熟悉的人也很多，技术资料和维护人员也容易找到，所以不多赘述。

电话线连接：这种形式主要的特色是成本很低，物理连接也很简单，适用于大部分的家庭用户。

无线电波：利用电磁波信号来传输信号，可以不用任何连线来进行通讯，并可以在移动中使用。但需要在每台计算机上加装无线适配器，成本高是肯定了。在我国，无线形式用在计算机网络通讯的还较少。在美国，用于无线网络的是一个称为IEEE 802.11b的标准协议，用于计算机近距离网络通讯。在该协议支持下，可达到的网速是11 Mbps。

五. 方案之一

这是一个有线、无线混合方案，具体结构可以参看图1。这个例子中，用4台计算机组成了一个混合网络，PC1是主机，它与外部连接有3个通路：

1. 与Internet接连的调制解调器：用于整个网络的各个计算机共享上网之用。
2. 无线适配器：用于和本网络内的无线设备之间的通讯。
3. HUB：用于"带动"本网络内的下游计算机。

该方案中的PC1、PC2机，必须用Windows XP操作系统，有线部分采用的是以太网结构连接。图中的HPNA是home phoneline network adaptor的缩写，表示家庭电话线网络适配器。图中的PC3和移动计算机，并不要求非使用Windows XP操作系统不可，别的windows版本也行。移动计算机和主机之间的网络连接利用的是无线形式。
如果希望建立混合网络，这种方案已经具备典型的功能，并且不需要花费很大就可以扩充网络规模。
关于连通操作：

图1显示的结构只能表示物理连接关系，物理连接完成后，还需要进行连通操作，网络才可真正投入使用。连通操作包括局域网内部各个计算机之间的连通，和局域网与Internet之间的连通。前者连通建立的步骤如下：

1. 鼠标点击 开始，进入控制面板，点击"Network and Internet Connections网络和Internet连接",选择网络连接（ Network Connections），进行下一步。
2. 选择进行"两个或多个LAN的连接"
3. 右键点击一个连接.
4. 确定完成连接任务.

局域网之内的连通操作就完成了。

再说局域网与Internet之间的连通，这种情况主要考虑速度与成本两方面的兼顾。多机上网，最省事的办法是每个机器占据一条独立的电话线，但这不是一般用户能承受起的，资源的浪费也太大。另一个办法，可以使用住宅网关，但这样成本需要增加，不是最佳途径。比较好的方法是使用一个计算机作为主机服务器。这不仅技术上可行，还有很多别的优点，如：

①：由于Windows XP有内建的防火墙，主机介于Internet和终端机之间，可以利用主机的防火墙保护局域网中的分机免受来自Internet的攻击。
②：主机是"隐匿在" Internet和局域网之间的，充当了网关的脚色，在分机上，用户感觉好像自己是直接连在Interne上一样，察觉不到中间还有主机存在。特别是可以使局域网中的每台计算机同时上网。大大减少了设备投资。
③：除主机必须使用Windows XP操作系统之外，局域网内的计算机可使用早期的windows版本。
④：如果局域网中需要使用不同的媒体（例如有线和无线混合），可以利用Windows XP作为过渡的网桥。
⑤：虽然有网络资源和设备的共享功能，但也可以限制别人对私有文件和数据的访问，特别是将文件存放在主机上的时候，更具有这种优势可用。
⑥：利用"万能即插即用"功能，可以随时扩充局域网的规模。

六. 方案之二

下面是这种方案的结构示意图。该方案适用于小型办公室。与上一个方案比较，主要是去掉了无线部分，主机与分机之间不采用电话线连接，而是采用了电缆或双绞线连接。所有分机都通过一个HUB与主机连接到Internet上，并可以支持打印机共享。这其实就是最常见的那种局域网的结构。
该方案完成物理连接之后，还需要进行下列操作：

1. 打开网络连接文件夹或找到网络连接的图标.
2. 右键点击"connection to the Internet you want to share（共享Internet连接）"然后再右键点击"Properties（属性）"
3. 选择"Advanced（高级）"任务条。
4. 选择"Allow other network users to connect through this computer′s Internet connection（允许另外用户通过这个计算机连接到Internet）"检查框，并选定。
5. 点击 OK.结束操作。

启用Windows XP的防火墙，必须进行设置，不设置是不起作用的。设置过程：

1.打开网络连接文件夹或找到网络连接的图标.
2.右键点击"connection to the Internet you want to share（共享Internet连接）"然后再右键点击"Properties（属性）"
3.选择"Advanced（高级）"任务条。
4. 选择"Protect my computer and network by limiting or preventing access to this computer from the Internet（利用这个计算机限制从Internet进入的访问并保护我的计算机和网络" ，在其下面有一个Internet连接防火墙的检查框，鼠标点击选定。
5. 点击 OK.结束操作。

七. 几点说明

A．主机必须采用Windows XP操作系统，局域网内的计算机可以使用早一些的windows版本，如：windows98、windows ME、windows2000等等。
B．这里提供的是典型的情况，想扩充网络规模基本上可以照此叠加。
C．本文是依据英文测试版本进行的试验，不能保证将来的正式版本。特别是中文正式版本的性能与此完全一致。

参考资料：http://www.yesky.com/339/218839.shtml

㈥ 怎么建立稳定的企业网络

免疫网络是企业信息网络的一种安全角式。
“免疫”是生物医学的名词，它指的是人体所具有的“生理防御、自身稳定与免疫监视”的特定功能。
就像我们耳熟能详的电脑病毒一样，在电脑行业，“病毒”就是对医学名词形象的借用。同样，“免疫”也被借用于说明计算机网络的一种能力和作用。免疫就是让企业的内部网络也像人体一样具备“防御、稳定、监视”的功能。这样的网络就称之为免疫网络。
免疫网络的主要理念是自主防御和管理，它通过源头抑制、群防群控、全网联动使网络内每一个节点都具有安全功能，在面临攻击时调动各种安全资源进行应对。
它具有安全和网络功能融合、全网设备联动、可信接入、深度防御和控制、精细带宽管理、业务感知、全网监测评估等主要特征。
它与防火墙、入侵检测系统、防病毒等“老三样”组成的安全网络相比，突破了被动防御、边界防护的局限，着重从内网的角度解决攻击问题，应对目前网络攻击复杂性、多样性、更多从内网发起的趋势，更有效地解决网络威胁。
同时，安全和管理密不可分。免疫网络对基于可信身份的带宽管理、业务感知和控制，以及对全网安全问题和工作效能的监测、分析、统计、评估，保证了企业网络的可管可控，大大提高了通信效率和可靠性。
巡路免疫网络解决方案(XunLu Immunity Wall Network Solutions)——
欣全向公司巡路免疫网络解决方案是在企业网络中实现安全免疫，打造免疫网络的途径和方法。在目前网络架构不做重大改变的前提下，实施部署巡路免疫网络解决方案，可以顺利地将一个普通网络升级为免疫网络。
巡路免疫网络解决方案不是一个单独的产品，而是一套由软硬件、内网安全协议、安全策略构成的完整组件。
在巡路免疫网络解决方案中，采用了各种技术手段实现免疫网络的基本要求。比如：
1、通过在接入网关设备中加入安全功能，如ARP先天免疫、内网防火墙、滤窗技术等，实现了网络设备中融合安全功能的要求；
2、通过强制安装终端免疫驱动，在网络的末端节点进行部署。更重要的是在网卡一级对底层协议也进行管控，实现了深度防御和控制。
3、通过对全网安全策略组合的综合设置、预定和学习，实现了主动防御，对已知和未知的攻击行为起到抑制、干预，阻止其发作的作用。
4、通过运行在服务器上的运营中心，对来自网关和终端驱动的报警信息、异常流量、身份核查等进行处理，对网络的运行状况进行审计评估，还负责安全策略的升级和下发等工作。
5、内网安全和管理协议将接入网关、服务器、终端驱动等各部分网络设备和安全功能，构成一个完整的体系，实现了全网设备联动。
巡路免疫网络解决方案的功能特色：
1、 对终端身份的严格管理。终端MAC取自物理网卡而非系统，有效防范了MAC克隆和假冒；将真实MAC与真实IP一一对应；再通过免疫驱动对本机数据进行免疫封装；真实MAC、真实IP、免疫标记三者合一，这个技术手段其他方案少有做到。所以，巡路免疫方案能解决二级路由下的终端侦测和管理、IP-MAC完全克隆、对终端身份控制从系统到封包等其他解决不了或解决不彻底的问题。
2、 终端驱动实现的是双向的控制。他不仅仅抵御外部对本机的威胁，更重要的是抑制从本机发起的攻击。这和个人防火墙桌面系统的理念显着不同。在受到ARP欺骗、骷髅头、CAM攻击、IP欺骗、虚假IP、虚假MAC、IP分片、DDoS攻击、超大Ping包、格式错误数据、发包频率超标等协议病毒攻击时，能起到主动干预的作用，使其不能发作。
3、 群防群控是明显针对内网的功能。每一个免疫驱动都具有感知同一个网段内其他主机非法接入、发生攻击行为的能力，并告知可能不在同一个广播域内的免疫运营中心和网关，从而由免疫网络对该行为进行相应处理。
4、 提供的2-7层的全面保护，还能够对各层协议过程的监控和策略控制。深入到2层协议的控制，是巡路免疫网络解决方案的特有功能。而能够对各层协议过程的监控和策略控制，更是它的独到之处。现在普遍的解决方案，基本上是路由器负责 3层转发，防火墙、UTM等进行3层以上的管理，唯独缺少对“局域网至关重要的二层管理”，免疫驱动恰恰在这个位置发挥作用。而上网行为管理这类的软硬件，在应用层进行工作，对2、3层的协议攻击更是无能为力。
5、 对未知的协议攻击，能够有效发挥作用，是真正的主动防御。
6、 免疫接入网关在NAT过程中，采取了专用算法，摒弃了其他接入路由器、网关产品需要IP-MAC映射的NAT转发算法，将安全技术融于网络处理过程，使ARP对免疫接入网关的欺骗不起作用。这叫做ARP先天免疫，这样的技术融合还很多。
7、 具有完善的全网监控手段，对内网所有终端的病毒攻击、异常行为及时告警，对内外网带宽的流量即时显示、统计和状况评估。监控中心可以做到远程操作。
免疫墙——
免疫墙技术属于网络安全行业中的内网安全和管理领域。
以太网有协议漏洞，不擅长管理，这是网络问题频发的技术根源。免疫墙技术针对和解决的就是这个问题。
因此，免疫墙技术研究的是如何填补以太网协议的先天漏洞、如何对业务进行规范化、策略化管理。“网络问题网络解决”是免疫墙技术的指导思想。免疫墙的技术范围要拓展到网络的最末端，深入到协议的最底层、盘查到外网的出入口、总览到内网的最全貌，就是希望通过网络本身对网络病毒全面抵御，同时完善对业务的管理，使网络可控、可管、可防、可观。
背景资料——
网络攻击的发展趋势：
目前网络威胁呈现出复杂性和动态性的特征，黑客日益聚焦于混合型攻击，结合各种有害代码来探测和攻击系统漏洞，并使之成为僵尸或跳板，再进一步发动大规模组合攻击。攻击速度超乎想象，已经按小时和分钟来计算，出现了所谓大量的零日或零小时攻击的新未知攻击。
很多从内网发起的攻击，不会采用以真实身份单独进行，而是通过内网的欺骗串联，伪造身份多点进行。
防火墙的局限性：
现有的各种网络安全技术中，防火墙技术可以在一定程度上解决一些网络安全问题。防火墙产品主要包括包过滤防火墙，状态检测包过滤防火墙和应用层代理防火墙，但是防火墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。同时，防火墙还存在着一些弱点：一、不能防御来自内部的攻击：来自内部的攻击者是从网络内部发起攻击的，他们的攻击行为不通过防火墙，而防火墙只是隔离内部网与因特网上的主机，监控内部网和因特网之间的通信，而对内部网上的情况不作检查，因而对内部的攻击无能为力；二、不能防御绕过防火墙的攻击行为：从根本上讲，防火墙是一种被动的防御手段，只能守株待兔式地对通过它的数据报进行检查，如果该数据由于某种原因没有通过防火墙，则防火墙就不会采取任何的措施；三、不能防御完全新的威胁：防火墙只能防御已知的威胁，但是人们发现可信赖的服务中存在新的侵袭方法，可信赖的服务就变成不可信赖的了；四、防火墙不能防御数据驱动的攻击：虽然防火墙扫描分析所有通过的信息，但是这种扫描分析多半是针对IP地址和端口号或者协议内容的，而非数据细节。这样一来，基于数据驱动的攻击，比如病毒，可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。
关于“老三样”：
国家信息化专家咨询委员会专家沈昌祥院士认为，首先，由老三样（防火墙、入侵监测和病毒防范）为主要构成的传统信息安全系统，是以防外为重点，而与目前信息安全主要“威胁”源自内部的实际状况不相符合。其次，从组成信息系统的服务器、网络、终端三个层面上来看，现有的保护手段是逐层递减的。人们往往把过多的注意力放在对服务器和网络设备的保护上，而忽略了对终端的保护。第三，恶意攻击手段变化多端，而老三样是采取封堵的办法，例如，在网络层（IP）设防，在外围对非法用户和越权访问进行封堵。而封堵的办法是捕捉黑客攻击和病毒入侵的特征信息，其特征是已发生过的滞后信息，不能科学预测未来的攻击和入侵。
“老三样，堵漏洞、做高墙、防外攻，防不胜防。” 沈院士这样概括目前信息安全的基本状况。老三样在目前网络安全应用上已经明显过时了。

㈦ 怎样组建小型公司局域网

1、根据物理位置和距离情况，制作若干根网线，并且通过测试确保网线的连通性。在制作网线方面，有两种布线方式，一种是平行布线方式，适合不同种类的设备进行互联时;另一种是交叉布线方式，适合同一类型设备之间的互联。现在大部分设备都能识别平行和交叉布线方式。

(7)如何在公网上组建高可用网络扩展阅读：

局域网基本上都采用以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患。事实上，Interne如SATAN、ISS、NETCAT等等，都把以太网侦听作为其最基本的手段。

当前，局域网安全的解决办法有以下几种：

网络分段

网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式。海关的局域网大多采用以交换机为中心、路由器为边界的网络格局，应重点挖掘中心交换机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现对局域网的安全控制。例如：在海关系统中普遍使用的DECMultiSwitch900的入侵检测功能，其实就是一种基于MAC地址的访问控制，也就是上述的基于数据链路层的物理分段。

以交换式集线器代替共享式集线器

对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包（称为单播包UnicastPacket）还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是：用户TELNET到一台主机上，由于TELNET程序本身缺乏加密功能，用户所键入的每一个字符（包括用户名、密码等重要信息），都将被明文发送，这就给黑客提供了机会。

因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。当然，交换式集线器只能控制单播Packet）和多播包（MulticastPacket）。所幸的是，广播包和多播包内的关键信息，要远远少于单播包。

VLAN的划分

为了克服以太网的广播问题，除了上述方法外，还可以运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。

VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比较成熟，在实际应用中效果显着，广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN，理论上非常理想，但实际应用却尚不成熟。

在集中式网络环境下，我们通常将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。

VLAN内部的连接采用交换实现，而VLAN与VLAN之间的连接则采用路由实现。大多数的交换机（包括海关内部普遍采用的DEC MultiSwitch 900）都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要，必须使用其他路由协议（如CISCO公司的EIGRP或支持DECnet的IS－IS），也可以用外接的多以太网口路由器来代替交换机，实现VLAN之间的路由功能。当然，这种情况下，路由转发的效率会有所下降。

无论是交换式集线器还是VLAN交换机，都是以交换技术为核心，它们在控制广播、防止黑客上相当有效，但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此，如果局域网内存在这样的入侵监控设备或协议分析设备，就必须选用特殊的带有SPAN（Switch PortAnalyzer）功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上，提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中，就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机，既得到了交换技术的好处，又使原有的Sniffer协议分析仪“英雄有用武之地”。

㈧ 中小型企业网络如何组建

1、设置硬件环境

将所有电脑网线插入路由器的LAN口，使路由器与电脑相连。

2、配置电脑IP地址

对所有电脑分别按如下提示操作：网上邻居右键属性-本地连接右键属性-双击“internet协议（TCP/IP）”，在出现界面里都选自动获得。

㈨ 请问如何在公网上映射网络驱动器

服务器开启VPN服务
远程客户机,用VPN连接服务器后
即可和局域网中网上邻居一样映射网络驱动器实现共享方式访问文件

注意,服务器的防火墙会屏蔽VPN的端口,具体哪几个端口我忘了,你在测试的时候不妨先关闭服务器的防火墙,要不然是不会成功的