XX企业Intranet网络设计及VPN技术的应用

XX信息技术职业学院

毕业设计

题目 XX企业Intranet网络设计及VPN技术的应用

√设计□报告□其他 选题性质：□

院 系 XXXXXXXX XX

专 业 计算机网络技术XX

班 级 XXXX级XX班 学 号 XXXXXXX XX 学生姓名 XXXX 指导教师 XXXX

教务处制

年 月 日

XX信息技术职业学院毕业设计 摘 要

成都XX实业（集团）有限公司Intranet的设计及VPN的应用主要建设在XX集团的总公司、员工公寓、以及上海、绵羊两个分公司和移动办公人员。为了要建设一个具有安全性、实用性、稳定性、经济性、扩展性、冗余性、先进性和可靠性强的网络。我们首先对XX企业网络工程进行概述，包括企业网络工程介绍、网络工程背景、企业网络工程的范围和企业网络工程建设总体目标；其次对VPN技术进行介绍，包括VPN的概念、VPN技术的应用、VPN技术在网络中的实施、使用VPN的优点；再次对整个网络进行需求分析；然后对企业网络工程进行方案设计，包括设计原则、网络拓扑结构设计、IP地址和VLAN的分配、服务器设计；接着对网络安全进行设计，最后对整个网络的设备进行选型和工程进行报价。

关键字：Intranet、VPN、企业网络工程、网络拓扑结构、IP地址和VLAN。

I

XX信息技术职业学院毕业设计 目 录

摘 要.............................................................................................................................. I 目 录............................................................................................................................. II 绪 论.............................................................................................................................. 1 第1章 企业网络工程概述........................................................................................ 2

1.1 成都XX公司介绍 .......................................................................................... 2 1.2 企业网路建设背景.......................................................................................... 2 1.3 工程范围.......................................................................................................... 2 1.4 企业网络建设总体目标.................................................................................. 2 第2章 VPN介绍及使用........................................................................................... 4

2.1 VPN的概念 ...................................................................................................... 4 2.2 VPN技术的分类 .............................................................................................. 4 2.3 XX企业对VPN的应用 .................................................................................. 4 2.4 企业VPN技术的实施.................................................................................... 5 2.5 VPN优点 .......................................................................................................... 6 第3章 需求分析........................................................................................................ 7

3.1 业务需求.......................................................................................................... 7 3.2 用户需求.......................................................................................................... 7 3.3 应用需求.......................................................................................................... 8 第4章 企业网络工程方案设计................................................................................ 9

4.1 设计原则.......................................................................................................... 9 4.2 网络拓扑结构设计.......................................................................................... 9 第5章 企业网络安全设计...................................................................................... 17

5.1 物理层安全需求............................................................................................ 17 5.2 安全目标........................................................................................................ 17 5.3 网络安全的应用............................................................................................ 17 5.4 防火墙............................................................................................................ 17 5.5 客户端............................................................................................................ 18 5.6 数据安全体系................................................................................................ 18 第6章 网络设备选型说明...................................................................................... 19

6.1 服务器............................................................................................................ 19 6.2 核心层交换机................................................................................................ 19 6.3 汇聚层交换机................................................................................................ 19 6.4 接入层交换机................................................................................................ 20 6.5 防火墙............................................................................................................ 20 第7章 企业网络工程报价...................................................................................... 21

7.1 总公司材料报价............................................................................................ 21 7.2 员工公寓材料报价........................................................................................ 22 7.3 网络设备清单及报价.................................................................................... 23 总结.............................................................................................................................. 25 参考文献...................................................................................................................... 26

II

XX信息技术职业学院毕业设计 绪 论

随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中能够稳定发展和脱颖而出。经营管理对计算机应用系统的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。企业对计算机网络和计算机应用系统提出了更高的要求。信息的传递与接收都将成为现代化。

XX集团网络设计，就是通过局域网和VPN技术，在企业中建立一个具有安全性、实用性、稳定性、经济性、扩展性、冗余性、先进和性可靠性强的网络，使企业的每个角落都处在网络中，形成真正意义上的企业网络。

企业局域网络安全问题伴随着网络的产生而产生，可以说，有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件，目前主要是通过网络进行的，而且几乎每时每刻都在发生，遍及全球。[1]除此之外，像恶意软件入侵、攻击，用户的非法访问和操作，用户邮件的非法截取和更改等都是普遍存在网络安全事实。网络安全事件所带来的危害，相信我们每个计算机用户都或多或少地亲身体验过一些；轻则使电脑系统运行不正常，重则使整个计算机的系统中的磁盘数据全部覆灭，甚至导致磁盘、计算机等硬件的损坏。

本方案力求从整体解决XX企业局域网和VPN接入的角度进行设计。在系统需求分析上，考虑到该企业网络的使用者大多为本企业员工。因此VPN将作为一种企业内部有线网络的补充，满足高效稳定的移动办公需求。在用户需求与系统的设计原则和系统建设的目标上，主要是保持企业网络的可靠性和稳定性为主，在可靠和稳定的基础上向企业内的用户提供安全上网的各种需求。

第1页

XX信息技术职业学院毕业设计 第1章 企业网络工程概述

1.1 成都XX公司介绍

本项目是专为成都XX实业（集团）有限公司新办公大楼的网络系统所设计，包含新办公大楼综合布线设计和整个网络体系设计，主要以星型结构设计青羊区XX企业总公司的各个部门的办公区、员工公寓以及分布在上海、绵羊的2个分公司网络，并且使用VPN技术实现移动办公和分公司的网络连接。本项目方案涉及网络系统所相关的所有核心设备及设备间到工作区子系统的所有材料和设备。

1.2 企业网路建设背景

成都XX实业（集团）有限公司从事行业是1997年创建的以地产业为主的跨地区、跨行业的投资控股型集团公司，通过全资、参股、控股形式，分别涉足住宅房产、商业地产、工业园区、旅游文化、主题园区、城市基础设施以及汽车经营与服务。为了使企业业务走向高效率、高效益，XX企业新建大楼网络系统。该系统包括总公司办公区（10层楼），员工公寓（7层楼），另上海分公司和绵羊分公司。其网络系统要求企业内部实现信息的共享、协作和及时通信、交流，以及企业内部用户获取互联网信息，企业为互联网用户提供高效、稳定的网络平台以及移动办公人员寄公司提供VPN隧道服务。 1.3 工程范围

本项目包含XX企业新办公大楼各部门办公区、员工公寓及上海、绵羊和移动办公人员的网络设计，其中包括内部局域网设计和VPN设计。并且根据网络的统一性，安全性，实用性，完整性，可靠性实用性来设计XX企业新办公大楼网络系统，以及服务器应用系统设计。 1.4 企业网络建设总体目标

本项目要实现的目标是能够让总公司和员工公寓以及分公司能够通过内部的网络进行数据的传输，数据的共享，每个部门通过VLAN的划分都是独立的网络，但是却能相互访问。移动办公人员不会因为改变了办公位置而对公司网络无法访问。公司出差人员只要能接入Intranet的地方都能与本公司安全，稳定的

第2页

XX信息技术职业学院毕业设计 连接。除了能实现企业内部信息的共享、协作和及时通信、交流，以及企业内部用户获取互联网信息，企业为互联网用户提供信息服务以及移动办公人员和企业提供VPN隧道服务等系列的基本服务外，还能根据实际需求为XX企业提供一些可靠的，安全的，可扩展的应用服务。具体如XX企业图1.1所示：

图1.1企业网网络图

第3页

XX信息技术职业学院毕业设计 第2章 VPN介绍及使用

2.1 VPN的概念

虚拟专用网络（Virtual Private Network ，简称VPN）指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM（异步传输模式）、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。[6]它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。 2.2 VPN技术的分类

（1）按VPN的协议分类 ：VPN的隧道协议主要有三种，PPTP，L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议。L2TP和IPSec配合使用是目前性能

最好，应用最广泛的一种。

（2）按VPN的应用分类 ： 1、Access VPN（远程接入VPN）：客户端到网关，使用公网作为骨干网在设备之间传输VPN的数据流量。 2、 Intranet VPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源。 3 、Extranet VPN（外联网VPN）：与合作伙伴企业网构成Extranet，将一个公司与另一个公司的资源进行连接。

（2）按所用的设备类型进行分类 网络设备提供商针对不同客户的需求，开发出不同的VPN网络设备，主要为交换机，路由器，和防火墙。1、路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加VPN服务即可。2、交换机式VPN：主要应用于连接用户较少的VPN网络。3、防火墙式VPN：防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型。 2.3 XX企业对VPN的应用

在传统的企业网络配置中，要进行异地局域网之间的互连，传统的方法是租用DDN（数字数据网）专线或帧中继。这样的通讯方案必然导致高昂的网络通讯/维护费用。对于移动用户（移动办公人员）与远端个人用户而言，一般通过

第4页

XX信息技术职业学院毕业设计 拨号线路（Internet）进入企业的局域网，而这样必然带来安全上的隐患。在网络中，服务质量（QoS）是指所能提供的带宽级别。而XX集团将QoS融入一个VPN，使得管理员可以在网络中完全控制数据流，无论是上海分公司和绵阳分公司，还有移动办公人员，都将使用VPN隧道加密对本企业的信息内容进行数据传输，这不仅使用方便，而且还很安全，无论移动办公人员在何处上网，只要能对网络进行连接，都可以使用VPN隧道对企业内部信息进行有效的访问。

使用VPN可以使信息包分类和带宽管理实现两种可以控制的方法，例如： 信息包分类， 信息包分类按重要性将数据分组。数据越重要，它的级别越高，当然，它的操作也会优先于同网络中相对次要的数据。 带宽管理， 通过带宽管理，一个VPN管理员可以监控网络中所有输入输出的数据流，可以允许不同的数据包类获得不同的带宽。 通信量管理 ，通信量管理方法的形成是一个服务提供商在Internet通信拥塞中发现的。大量的输入输出数据流排队通过，这使得带宽没有得到合理使用。 公平带宽，公平带宽允许网络中所有用户机会均等地利用带宽访问Internet。通过公平带宽，当应用程序需要用更大的数据流。 传输保证 ，传输保证为网络中特殊的服务预留出一部分带宽，例如视频会议，IP电话和现金交易。它判断哪个服务有更高的优先权并分配相应带宽。网络管理员必须管理虚拟个人网络以及使一个组织正常运作所需的资源。因为远程办公还有待发展，VPN管理员在维护带宽上还有许多问题。然而，新技术对QoS的补充将会帮助网络管理员解决这个问题。 2.4 企业VPN技术的实施

XX集团实现VPN的最关键部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的，IP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPP连接，如PPTP，L2TP，其特点是协议简单，易于加密，适合远程拨号用户和移动办公人员（出差人员）；第三层隧道是分公司的连接IPinIP，如IPSec，其可靠性及扩展性优于第二层隧道，但没有前者简单直接。 如图2.1所示：

第5页

XX信息技术职业学院毕业设计 图2.1XX企业VPN的运用图

XX集团运用VPN的隧道进行数据传输，需要使用VPN隧道，而隧道就是利用一种协议传输另一种协议的技术，即用隧道协议来实现VPN功能。为创建隧道，隧道的分公司和VPN服务器必须使用同样的隧道协议。

PPTP（点到点隧道协议）是一种用于让远程用户拨号连接到本地的ISP，通过因特网安全远程访问公司资源的新型技术。它能将PPP（点到点协议）帧封装成IP数据包，以便能够在基于IP的互联网上进行传输。PPTP使用TCP（传输控制协议）连接的创建，维护，与终止隧道，并使用GRE(通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。 L2TP协议：L2TP是PPTP与L2F（第二层转发）的一种综合，他是由思科公司所推出的一种技术。 IPSec协议：是一个标准的第三层安全协议，他是在隧道外面再封装，保证了隧在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密。 2.5 VPN优点

（1）VPN通过建立一个隧道，利用加密技术对传输数据进行加密，以保证数据的私有和安全性。虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。

（2）通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN（广域网）设备和远程访问设备。

（3）VPN支持通过Internet和Extranet的任何类型的数据流。用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。

（4）VPN可以从用户和运营商角度方便进行管理。虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。

第6页

XX信息技术职业学院毕业设计 第3章 需求分析

3.1 业务需求

XX企业的部门有标志造价、精诚造价、人力资源部、行政部、业务部、工程部、财政部、预算部、市场部和后勤部10个部门（一楼为接待大厅，二楼为人力资源部和后勤部门，其余的每一层楼为一个部门），和周边的一栋员工公寓。而根据每个部门业务需求的不同，信息点分布也不同。每个部门信息点的基本规划为240个（其中一楼大厅只需要10个信息点，二楼人力资源部为160个信息点，后勤部门为80个信息点，其余部门都为240个信息点。而员工公寓每一层楼有10套房间，每一套房间为四室两厅，客厅有2个信息点，寝室有2个信息点，即员工公寓每层楼有100个信息点）。企业现有上岗职工10000余人（包括分公司），由于只对总公司进行网络设计，分公司没有必要进行信息点的规划，所以企业整体信息点数量的规划大约在3000（包括员工公寓信息点）个左右。

由于XX企业部门，职工较多，所以企业需要一个完整的OA系统。OA系统可以有效的将组织管理业务中的业务活动、管理活动及活动产生的信息在组织、部门、个人之间进行及时高效、有序的沟通和处理。同时也增加了企业的信息沟通和共享的渠道，同时也规范了工作方法，对一些数据和资料进行了一体化管理，从而在降低成本低的基础上提高了整体的工作效率。

XX企业计算机操作系统我们运用的是Windows 2008 Sever服务器操作系统系统。Windows 2008 Server是迄今最稳固的 Windows Server 操作系统，其内置的强化 Web 和虚拟化（VPN服务）功能，是专为增加服务器基础架构的可靠性和弹性而设计，亦可节省时间及降低成本。其系利用功能强大的工具，让您拥有更好的服务器控制能力，并简化设定和管理工作；而增强的安全性功能则可强化操作系统，以协助保护数据和网路，并可为您的企业提供扎实且可高度信赖的基础。 3.2 用户需求

根据当前网络技术的发展趋势和企业用户对网络的要求，对企业网络设计采用主干千兆以太网技术，每个楼端口为千兆，采取10/100M到桌面的共享交换手段，并且在不同部门之间用划分VLAN的方法进行部门之间的隔离。而在满足当前企业用户的网络需求的同时需考虑在企业以后的发展，所以要求其网络系统具有良好的可扩充能力。分公司和移动办公人员需要安全、稳定、并且快捷的

第7页

XX信息技术职业学院毕业设计 访问公司内部网络。

由于XX企业是从事房地产为主，需要对每一个客户的资料进行一定的保密措施，在企业的背部网络中，保密数据的泄密很可能将直接损害到客户的个人利益和企业的利益，所以企业应该有网络安全系统，从而保证企业内网机密信息在存储与传输是的保密性。 3.3 应用需求

企业网络应该具有QOS机制，除了MAIL服务器、WEB服务器、VOD服务器等应用服务器之外，还应该具备与企业专业有关的信息系统服务器、企业的管理信息系统服务器等系统服务器，还需要有企业网络安全方面及上网行为管理等管理服务器。另外在DMZ区，还放置了一台VPN服务器，VPN服务器将对整个分公司网络和移动办公人员进行有效的验证，以及对网络中VPN信息进行接收和发送。总公司内部网络需要保证安全性，稳定性，从而满足整个企业中的应用需求。上海和绵阳两个地区的分公司将通过VPN隧道IPSec协议与总公司内部网络相连接，而移动办公人员则是通过VPN隧道PPIP协议来与内部网络进行连接。

第8页

XX信息技术职业学院毕业设计 第4章 企业网络工程方案设计

4.1 设计原则

（1）可靠性：网络的安全可靠性是网络的一个重要指标。从网络拓扑结构设计中以及设备的选型中对网络的可靠性做出保证。而合理的网络结构也会带来一定的网络安全性，而在网络设计中也应该要提供一些安全手段。

（2）扩展性：随着网络技术的不断发展，网络用户的数量也在不断增加，而用户对网络带宽的需求也在日益增加。网络系统应该能为用户提供足够的带宽，满足用户的实际的网络需求，并且带宽应该具有可扩展性。在设备的选型中也应该考虑以后网络的升级和扩展。

（3）经济性：在进行企业网络的设计中，应在有效的经济资源下要建立一个完善的网络系统，所以需充分考虑一最简便的方法以及最少的投资，实现系统的扩展和维护。

（4）冗余性：在整个企业网络中，为了今后方便扩展，应该在网络中留有适当的冗余，从而是网络具有较强的可扩充性。

（5）先进性：网络技术的发展非常迅速，在计算机领域中也占有越来越重的地位。所以我们必须认识到在网络的建设中选用较为流行的产品才能在未来的发展中保持技术的领先。[2] 4.2 网络拓扑结构设计 4.2.1 互联网设计

成都XX实业（集团）有限公司的网络分布，主要是以三层星型结构对整个网络进行架构。有内外网之分。内网以XX集团青羊区总公司一楼为中心机房，从而覆盖周边的员工公寓的网络，而总公司与员工公寓是以光纤相连接。外网了根据2个分公司的网络而定，通过VPN隧道和总公司大楼的中心机房的防火墙连接来实现与内网相通信。由于企业的网络要长期有效、安全、稳定的使用，网络中的一定要保持良好的通信状态，核心层两个四层交换机不仅可以使网速提高，还可以提供网络的冗余。电信网络与一个带有路由器功能的防火墙相连接，这样对数据的传输和接收都能有效的进行控制和防护。由于防火墙本身有四个接口，一个接DMZ区，一个接外网，一个接内网，一个接口使用的是VPN隧道的硬件模块。DMZ去包括了对外服务器群，还有一个VPN隧道单独使用的服务器，具体如：企业网络拓扑图4.1所示

第9页

XX信息技术职业学院毕业设计

图4.1企业网络拓扑图

4.2.2 设计说明

本设计方案整体结构主要采用三层星型结构的层次模型，在总公司一楼电梯房旁边的一间房间设计为中心机房，管理公司内所有网络及核心设备，为核心层。公司内部分为两个区，办公区、和员工公寓。各区各设一个汇聚层交换机，负责区域到中心的连接，此为汇聚层（总公司的汇聚层交换机也在中心机房）。余下楼层交换机到桌面为接入层。

整个网络可分为四个区域，服务器区，办公区，员工公寓区，中心机房区，其中中心机房放置在总公司大楼一楼。

在本设计中，考虑到资源的充分利用，总公司到员工公寓大楼比相对较远，所以在宿舍设备间布置一台三层交换机进行汇聚，员工公寓与教学大楼之间采用单模光纤，垂直子系统采用室内多模光纤，以保障主干网络1000M的带宽要求，水平子系统采用超五类UTP，保障100M带宽到桌面。

在和服务器区相连部分采用硬件防火墙，防火墙DMZ区放置对外服务的

第10页

XX信息技术职业学院毕业设计 WEB/FTP服务器，同时兼做外网VPN服务器。并且在两个核心交换机上连接IDS病毒入侵检测系统，对外网访问和内网访问进行审计和检测。 4.2.3 DMZ区设计

DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业WEB服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。DMZ防火墙方案为要保护的内部网络增加了一道安全防线，它通过防火墙的接口从而对VPN隧道和内网进行管理。

外部服务器群主要包括WWW服务器、DNS服务器、FTP服务器、MAIL服务器和VOD服务器，其主要功能是提供外网的访问和一些信息的处理。它与带有路由功能的防火请相连，更加提高了数据传输的安全性和稳定性。外部服务器根据企业的综合情况，从而外部服务器都将选择处理器和缓存等性能较高且硬盘存储量相对较低的服务器。

VPN服务器主要是对上海、绵阳两个分公司和移动办公人员进行对整个内网的访问时实现一个数据的处理和身份的验证，首先分公司和移动办公人员想要访问总公司的内部网络，必须通过VPN连接，请求数据通过防火墙进入DMZ区的VPN服务器，服务器将对请求数据者进行身份验证，合格者才能对内网数据进行访问。 4.2.4 VPN隧道设计

XX企业使用VPN隧道，就是为了能够有效的将远距离的网络和移动办公人员与企业内部网络相连接。VPN英文全称是“Virtual Private Network”，翻译

[7]过来就是“虚拟专用网络”。VPN被定义为通过一个公用网络（通常是因特网）

建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。这样的连接可以使中心企业和分公司之间更安全和稳定的连接。各个分公司各用了一个防火墙（分公司的路由器带防火墙功能），这样更能保证数据的安全性。[5]

第11页

XX信息技术职业学院毕业设计 4.2.5 核心层设计

核心层的功能主要是实现骨干网络之间的优化传输，骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。[3]网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。我们选择了两台CISCO WS-C6509的四层交换机作为核心层交换机。核心层设备将占投资的主要部分。核心层需要考虑冗余设计，即我们对核心层了两个可堆叠四层交换机之间的连接采用了捆绑技术。核心层连接了管理服务器、数据库服务器和一个内部服务器群，管理服务器将对内网和外网的所有服务和数据传输进行管理，从而提高企业中的网络安全、稳定的运行。数据库服务器，数据库服务器将对企业的所有数据进行存储、控制和管理，由于企业的的安全性和数据相对较多，数据库服务器将对硬盘存储容量较大和安全性能较高的方面来进行选择。内部服务器群主要包括DHCP服务器、信息系统服务器、视频点播服务器等。DHCP服务器将对企业内部的IP地址通过和VLAN想结合进行有效的分配，从而更能节省IP地址。核心层还连接了一个IDS（入侵检测）和一个管理主机，管理主机将对整个核心层的服务器进行一个有效的管理，而IDS（入侵检测）将对企业网络中所以的数据传入进行检测，实现了一个相对安全的办公环境。

核心层交换机我们选择四层交换机实现数据的高速交换同时实现局域网路由。同时选择购买S-X6524-100FX-MMC作为千兆光模块实现与汇聚层的连接依次实现千兆主干网，百兆到桌面。根据公司的实际带宽需求，选择这个设备可以达到线速。

可靠性，适应性用户信息网站应采用大型关系数据库，模块化等先进成熟的技术方法，在给用户提供了极大的灵活性的同时，也有效地保证了系统的可靠性。CISCO的网络设备一直是行业领先者，在这里我们采用CISCO 6500系列的都是比较高端的交换机，保证可靠性。双电源的设计保证了中心交换机的供电的冗余。

可扩展性：网络构造应具有高度的扩展性，以降低系统扩充的投入成本，并满足信息技术高速发展的需要。能适应2-3年内的业务增长和突发性事件的需要，确保各级系统的可扩充性和先进性，并注意设备的冗余设计以及网络的负载均衡。CISCO 6509的交换机高度模块化，提供插槽的可扩展，电源的可扩展，引擎的可扩展。为日后公司的发展扩容打好基础。[4] 4.2.6 汇聚层设计

汇聚层是楼群、企业部门、小区的信息汇聚点，是连接接入层和核心层的网络设备，为接入层提供数据的汇聚、传输、管理、分发处理。汇聚层为接入层提供基于策略的连接，如地址合并，协议过滤，路由服务，认证管理等。通过网段

第12页

XX信息技术职业学院毕业设计 划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层。汇聚层同时也可以提供接入层虚拟网之间的互连，控制和限制接入层对核心层的访问，保证核心层的安全和稳定。汇聚层将根据企业各个部门而得出汇聚层交换机的连接。其中都将使用光纤接入，这样更好的提高了冗余能力从而避免单点失效。由于企业信息点较多，本企业中汇聚层应用是三台三层交换机（一台48接口CISCO 3560和CISCO 3570，两台28接口），为了达到XX企业网络构架的需求总公司办公楼分别用的是一台48接口的和一台28接口的三层交换机，员工公寓也用了一台28接口的三层交换机。并且都每一个部门进行了VLAN的分配。 4.2.7 接入层设计

接入层通常指网络中直接面向用户连接或访问的部分。接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。接入交换机是最常见的交换机，它直接与外网联系，使用最广泛，尤其是在一般办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。在传输速度上，现代接入交换机大都提供多个具有10M/100M/1000M自适应能力的端口。接入层根据信息点的分布从而将接入层交换机合理的放置，汇聚层到接入层之间都将用六类双绞线想连接，根据现在网络的发展，六类双绞线将在未来几年有更好的应用，企业的汇聚层和接入层使用六类双绞线将有更好的传输速率。 4.2.8 服务器设计

在网络中创建一个稳定、可靠的服务是网络中重要的一部分。服务应该建立在服务器上而且应该放在比较合适的环境中，而服务器应该具备适当的可靠性和性能要求，这样才能够确保服务的正常运行。

建立一个服务时应从用户的需求开始，因为用户才是建立服务的根本原因。如果建立的服务不合乎用户的需求，那就是在浪费精力。在所有的服务中很少有不是为了满足用户需求而建立的，但是DNS就是其中之一，而其他的服务如：MAIL服务和一些网络服务等都是明显为了用户需求建立的。而在进行服务设计时应该注意用户需求的以下几点：用户需要哪些服务功能、喜欢哪些功能、这些服务对用户有多重要，以及这些服务需要什么级别的技术。我们在医院的服务设计中将所有服务器分为两大模块，分别是对外服务器群和对内服务器群。在对外服务器群中有WWW服务器、邮件服务器、DNS服务器等。这些服务器可以提供WEB访问和DNS域名服务等功能。而在对内服务器群中有企业专门的临床信息系统服务器、企业管理信息系统服务器，还有为企业和客户提供视频点播功能，从而使服务器能够有效的进行服务功能。 4.2.9 无线网络设计

第13页

XX信息技术职业学院毕业设计 企业无线网（Wireless Network）的使用技术可以使公司员工在本地创建无线连接。无论是总公司还是在员工公寓，无线网络都将全面覆盖。我们主要使用的无线网络设备是CISCO WAP4410N，为了能够更好的兼容有线设备。无线网络将对有线网络的一些无法到达之处，实现补充。无线网络还可以实现在无法进行有线网络的布置下使用无线网络，无线网络还可以搭建临时的网络。XX集团一楼接待大厅是公司的形象，所以为了美观，出了前台用的有线外，其余全用无线覆盖，这样更简单及美观。其余每层都将有无线，员工公寓也全部被本公司的无线覆盖。

4.2.10 入侵检测系统（IDS）设计

为了能够安全的工作和有效率的利用网络。一、XX企业对IDS进行了设计，选着了天融信TopSentry 3000（TS-3205-IDS），其功能强大的搜索引擎面对海量的入侵记录1000Mbps吞吐率/攻击事件数2800以上。二、天融信TopSentry 3000（TS-3205-IDS）向用户提供了强大的搜索引擎，丰富的查询搜索方式，这样，用户可以非常方便，快速的按照自己的需要查找所关心的入侵记录。三、天融信TopSentry 3000（TS-3205-IDS）提供的分析报表形式多样：既有实时反映当前网络安全状态的的即时分析报表，又有综合反映周期安全状况的每日分析报表；既有简单明了的决策型报表，又有详细全面的关联型报表。同时用户还可以对分析范围、分析强度、显示方式等进行配置，实现个性化的报表分析，得到最符合用户需求的报表。四、历史记录的统计分析、查询和下载天融信TopSentry 3000（TS-3205-IDS）在为用户提供实时报告的同时，提供对历史记录的综合统计报告和高级搜索功能，并对提供了历史日志文件记录的高级搜索功能。五、多样化报警和响应方式，天融信TopSentry 3000（TS-3205-IDS）一旦检测到入侵行为，可以通过多种方式进行报警，并能够根据预定义的策略，选择切断攻击方的所有连接，或通知防火墙，修改过滤规则，阻断攻击，从而保护本地主机的安全。

4.2.11 管理主机设计

它可以对FTP服务器，WEB服务器，MAIL服务器进行整合管理，通过SiteManage可以对“虚拟主机”进行开通，删除，修改，转移，备份，恢复等各项复杂操作，SiteManage具有强大的自定义配置功能，您能够完全控制其工作流程，也可以交给系统自动完成。SiteManage提供SMWeb系统可以从Web直接提交虚拟主机订单到系统中，SiteManage支持IIS，Serv-U，IMail， Mdaemon等流行服务器。最新支持在线实时监控功能，可以监控用户自定义的服务器和服务，一旦服务停止，可以直接发信，或者反映在网页之中。 4.2.12 IP地址和VLAN的分配

第14页

XX信息技术职业学院毕业设计 我们主要选取按照部门和端口划分VLAN，选取私有地址172.16.0.0段，在接入外网时通过NAT转换成公网IP地址来实现通讯。根据XX企业实际情况，以及需求分析，我们将整个公司按照需求和应用划分成16个VLAN。

总公司共划分12个VLAN，每个部门各使用一个VLAN，一楼大厅属于市场部，都是VLAN10，上海、绵羊分公司各占一个VLAN，移动用户VPN占用一个VLAN，员工公寓一个VLAN。

根据需求分析，需要7台服务器。一台OA服务器，一台DHCP/WINS/DNS服务器，一台Web服务器，两台数据库服务器，FTP服务器，一台DHCP服务器，除DHCP服务器用静态IP外，其它服务器均采用IP与MAC地址绑定的方式获取。一台VPN服务器，主要对分公司和移动办公人员对总公司内网访问提供服务。[8]

IP地址的划分，都是根据实际的信息点来计算可用范围的具体网段分配及VLAN划分见IP、VLAN划分表具体如下表4.1所示：

第15页

XX信息技术职业学院毕业设计

表4.1 VLAN IP划分表

区域 楼层 一楼 二楼（人力资源部、后勤部） 总公司 大楼 三楼 四楼 五楼 六楼 七楼 八楼 九楼 十楼 一楼 二楼 三楼 员工公寓 四楼 五楼 六楼 七楼 上海 分公司 VPN办公人员 内部服务器 绵羊 移动 DHCP OA Database Database FTP 外部服务器 WEB VPN 3 190 4 180 信息点数量 5 160 80 240 240 240 240 240 240 240 240 100 100 100 100 100 100 100 Vlan id 10 20 30 10 40 50 60 70 80 90 100 110 120 130 140 150 160 170 Vlan name Shichang Renliziyuan Houqin Shichang Yewu Gongcheng Yusuan Caizheng Jingcheng Biaozhi Xingzheng Sushe1 Sushe2 Sushe3 Sushe4 Shanghai Mianyang Vpnbangong Dhcpserver Oaserver Database1 Database2 FTPserver WEBserver VPNserver 网络地址 172.16.10.0/24 172.16.20.0/24 172.16.30.0/24 172.16.10.0/24 172.16.40.0/24 172.16.50.0/24 172.16.60.0/24 172.16.70.0/24 172.16.80.0/24 172.16.90.0/24 172.16.110.0/24 172.16.110.0/25 172.16.110.0/25 172.16.120.0/25 172.16.120.0/25 172.16.130.0/25 172.16.130.0/25 172.16.140.0/25 172.16.150.0/24 172.16.160.0/24 172.16.170.0/27 172.16.180.0/29 172.16.180.0/29 172.16.180.0/29 172.16.180.0/29 172.16.190.0/30 172.16.190.0/30 172.16.190.0/30 可用范围 172.16.10.1-254 172.16.20.1-254 172.16.30. 1-126 172.16.10.1-254 172.16.40.1-254 172.16.50.1-254 172.16.60.1-254 172.16.70.1-254 172.16.80.1-254 172.16.90.1-254 172.16.100.1-254 172.16.110.1-126 172.16.110.1-126 172.16.120.1-126 172.16.120.1-126 172.16.130.1-126 172.16.130.1-126 172.16.140.1-126 172.16.150.1-254 172.16.160.1-254 172.16.170.1-30 172.16.180.1 172.16.180.2 172.16.180.3 172.16.180.4 172.16.190.1 172.16.190.2 172.16.190.3

第16页

XX信息技术职业学院毕业设计 第5章 企业网络安全设计

5.1 物理层安全需求

公司核心交换机放在底楼，企业保安人员24小时轮流值班，做到核心机房的用电安全，核心交换机采用CISCO WS-C6509双机冗余，各汇聚层交换机采用双线路连接到核心交换机，核心交换机采用双电源，保障公司内部通信的安全及性能，公司内网和互联网之间采用硬件防火墙来精心隔离。针对重要信息可能通过电磁辐射或线路干扰等泄漏因素考虑，需要对存放机密信息的机房进行必要的设计，如构建屏蔽室，采用辐射干扰机，防止电磁辐射泄漏机密信息。对重要的设备进行冗余考虑，对重要系统进行备份等安全保护。 5.2 安全目标

基于以上的需求分析，我们认为网络系统可以实现以下安全目标：保护网络系统的可用性，包袱网络系统服务的连续性，防范入侵者的恶意攻击与破坏，护四川成都XX集团信息通过网上传输过程中的机密性、完整性，范病毒的侵害，现网络的安全管理。 5.3 网络安全的应用

网络物理安全是整个网络系统安全的前提，物理安全的风险主要有：由于水灾、火灾、雷击、粉尘、静电等突发性事故和环境污染造成网络设施工作停滞：电源故障造成设备断电以至操作系统引导失败火数据库信息丢失，电子、电力设备本身固有缺陷和弱点及所处环境容易在人员误操作火外界诱发下发生故障；报警系统的设计不足可能造成原本可以防止但实际发生了的事故。安装杀毒软件，对整个网络时时监控，防止病毒出现和传播，最重要的是我们企业的内网与外网做到物理上的完全隔离。 5.4 防火墙

远程用户认证策略远程用户不能通过放置于防火墙后的未经认证的Modem访问系统。PPP/SLIP连接必须通过防火墙认证。对远程用户进行认证方法培训。拨入/拨出策略拨入/拨出能力必须在设计防火墙时进行考虑和集成。外部拨入用户必须通过防火墙的认证。信息服务策略，公共信息服务器的安全必须集成到防

第17页

XX信息技术职业学院毕业设计 火墙中。必须对公共信息服务器进行严格的安全控制，否则将成为系统安全的缺口。为信息服务定义折中的安全策略允许提供公共服务。对公共信息服务和商业信息（如Email）进行安全策略区分。防火墙应支持对交通、可疑活动的日志记录。如果防火墙需要通用的操作系统，必须保证使用的操作系统安装了所有已知的安全漏洞，防火墙的设计应该是可理解和管理的。防火墙和依赖的操作系统应及时地升级以弥补安全漏洞。

本方案采用天融信防火墙LMB-1000SX物理防火墙，通过各种策略来保障内网的安全。公司内网的用户要访问外网，必须通过防火墙的NAT地址转换来访问外网，外网访问内网的WEB服务器时必须通过防火墙的MAP映射成内网地址才能访问内网。 5.5 客户端

我们对各工作站设置权限管理，使每个用户在系统中有唯一的帐号、密码，且给予不同级别的权限，使之只能操作自己的程序和调用相关的数据，不能随便调阅不需知道的数据、文件。同时，我们还设置用户监控程序，通过这些措施可有效的防止非法用户侵入网络，确保网络安全运行。 5.6 数据安全体系

在网络中，如果服务器失败了，可以由另外一个服务器接管，而数据丢失了，则会造成永远无法弥补的损失，因此，保护数据的安全、可靠性尤为重要。不管系统的性能有多好，但所有的性能都体现在数据的完整存取上，只要数据丢失了，就会给企业、客户带来很大的损失和问题，因此一个系统的备份措施是至关重要的。必须根据目前系统现状，制定良好的数据备份和恢复机制2，定期数据备份、数据移除，这样才能在意外情况下发生时确保数据的正确性、完整性。

再好的安全措施也不可能保证万无一失，因而必须制定合理的应急预案。我们根据故障发生时对业务影响的程度，考虑到企业客户的多少，把房地产、汽车、集团控股、参股列为重点对象，每当操作员进入程序时，都将最新的收及地产信息等数据写入本地硬盘，一旦出现网络故障，可随时启用本地程序，不间断地进行房地产、汽车、集团控股、参股，减少客户排队等候和无法质询的现象，解决了销售员和工作人员长期使用计算机已经不再能用手工出单的问题。等网络恢复后数据自动上传，保证了企业、费用信息的连续性。

第18页

XX信息技术职业学院毕业设计 第6章 网络设备选型说明

6.1 服务器

服务器机箱中集成了各种网络组件，以简化基础设施复杂性和可管理性，同时降低总体拥有成本。运转速率快，支持的存储容量大。运转速率快，能够满足内网和外网服务。IBM服务器在服务器行业也具有一定的地位，对于企业来说它的管理系统是十分重要的，所以在这里我采用了IBM服务器，因为这款服务器正适合管理方面使用，无论是它的内存还是它的散热或是它的扩展以及缓存都对管理方面起到作用并且网络控制器是4×千兆接口，总线规格是6.4GT/s，的这种的设备是够企业所使用的了，在各个大中小型企业设备选型中大部分都选择的是这种服务器。它也占据了服务器的主导之一。 6.2 核心层交换机

（1）主干设计保证1000M带宽，到工作台桌面保证100M接入，中心采用四层交换机实现网络交换路由，采用千兆光模块。我们选择四层交换机实现数据的高速交换同时实现局域网路由。同时选择购买S-X6524-100FX-MMC作为千兆光模块实现与汇聚层的连接依次实现千兆主干网，百兆到桌面。根据公司的实际带宽需求，选择这个设备可以达到线速。（2）可靠性：适应性用户信息网站应采用大型关系数据库,模块化等先进成熟的技术方法,在给用户提供了极大的灵活性的同时,也有效地保证了系统的可靠性。CISCO的网络设备一直是行业老大，在这里我们采用CISCO 6509比较高端的交换机，保证可靠性。双电源的设计保证了中心交换机的供电的冗余。（3）可扩展性：网络构造应具有高度的扩展性，以降低系统扩充的投入成本，并满足信息技术高速发展的需要。能适应2-3年内的业务增长和突发性事件的需要，确保各级系统的可扩充性和先进性，并注意设备的冗余设计以及网络的负载均衡。CISCO 6509的交换机高度模块化，提供插槽的可扩展，电源的可扩展，引擎的可扩展。为日后公司的发展扩容打好基础。 6.3 汇聚层交换机

（1）考虑到核心层交换机我们必须选择配有光纤接口的交换设备，而CISCO 3750和CISCO 3560就适合这一要求，具有1000兆光纤接口。

（2）我们考虑到公司日后发展和扩展我们选用CISCO 3750和3560就能满足日后的需要。它们不仅能支持二层而且还能支持三层服务。

第19页

XX信息技术职业学院毕业设计 （3）采用与核心交换机相同的CISCO的设备达到系统很好兼容性的要求，便于管理。 优点：设备类型、快速以太网交换机，交换方式：存储-转发、背板带宽（Gbps）：32G，根据公司的实际带宽需求，选择这个设备可以达到线速。 6.4 接入层交换机

为了达到系统最佳的兼容性我们继续采用CISCO的设备。百兆到桌面的要求，CISCO 2960较低的端口密度和价格，高性能10/100Mbps 连接便能达到要求。提供24接口支持堆叠。向上汇聚1000Mbps优点：CISCO 2960 系列，较低的端口密度和价格，高性能10/100Mbps 连接，根据公司的实际带宽需求，选择这个设备可以达到线速，小机型，运行安静，光纤或10/100/1000BaseT 上行链路，灵活的安装功能。 6.5 防火墙

灵活多样的网络地址转换（NAT）天融信防火墙利用NAT技术对内部地址做转换，使外部网络无法了解内部网络的结构，使黑客很难对内部网的一个用户发起攻击。同时允许内部网络使用自己定制的IP地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。并且，无论防火墙工作在何种模式（路由，透明，混合）下，都能实现NAT功能。

第20页

XX信息技术职业学院毕业设计 第7章 企业网络工程报价

7.1 总公司材料报价

表7.1 总公司材料报价表 材料管理内容 位置 数据点： 2165 语音点： 452 总 公 司 单价小计（元） （元） 1200 445 280 25 8 9 10 200 60 750 8 18700 68400 111250 31920 54500 3680 315 20000 4400 300 6750 17440 93500 设备名称 型号 数量 AMP超五类48口配线架(19″BIX) AMP超五类非屏蔽双绞线（305m／箱） AMP 1U绕线架（19″） AMP超五类信息模块 AMP双孔英式面板 多模光纤（62.5um/125um） 单模光纤（9um/125um ） AMP RJ45非屏蔽接头（水晶头） AMP RJ11接头（水晶头） AMP机柜（32U） AMP RJ45-RJ45跳线1米 AMP语音（50对大对数） 406311-1 219507-4 A0644488 569015-2 A0410455 1-1664213-5 1664163-5 5-554720-3（100/盒） RJ11（100/盒） 569389-3 UTPCH1M 219580-1 57个 250箱 114个 2180个 460个 35米 2000米 22盒 5盒 9个 2180根 5轴 线槽 总计 14*24/阻燃 87360米 5.5 480480 892935

第21页

XX信息技术职业学院毕业设计 7.2 员工公寓材料报价

表 7.2 员工公寓材料报价表

材料管理内容 位置 数据点： 700 语音点： 245 学 生 公 寓 单价小计（元） （元） 1200 445 280 25 8 9 200 60 750 8 18700 5.5 16800 23140 7840 11375 1960 225 1600 180 5250 1960 56100 100100 226530 设备名称 型号 数量 AMP超五类48口配线架(19″BIX) AMP超五类非屏蔽双绞线（305m／箱） AMP 1U绕线架（19″） AMP超五类信息模块 AMP双孔英式面板 多模光纤（62.5um/125um） AMP RJ45非屏蔽接头（水晶头） AMP RJ11接头（水晶头） AMP 机柜（32U） AMP RJ45-RJ45跳线1米 AMP 语音（50对大对数） 线槽 总计 406311-1 219507-4 A0644488 569015-2 A0410455 1-1664213-5 5-554720-3（100/盒） RJ11（100/盒） 569389-3 UTPCH1M 219580-1 14*24/阻燃 14个 52箱 28个 455个 245个 25米 8盒 3盒 7个 245根 3轴 18200米

第22页

XX信息技术职业学院毕业设计

7.3 网络设备清单及报价

表 7.3 总公司网络设备报价表

设备位置 设备名称 功能模块型号 单价(元) 数量 总计(元) 服务器 IBM X3850 X5(7145N04) CPU型号：13500 Xeon E7530 1.86GHz（4颗） 内存容量：32GB DDR3 产品结构：4U IBM X3850 X5(71452RC) CPU型号：83000 Xeon E7530 1.86GHz（2颗） 内存容量：16GB 产品结构：4U 2 27000 5 415000 核心交换机 总 公 司 CISCO WS-C6509 背板带宽：720G ，内存：512MB， 扩 展插槽：9 WS-X6324-100FX-SM（单模光纤模块） 3Com 3CB9EP9（电源） 38200 53993 12000 24500 2 4 32 2 1 76400 215972 715168 24000 24500 WS-X6524-100FX-MMC（多模光纤模块） 22349 汇聚交换机 CISCO WS-C3560G-48TS-S背板带宽：32G，DRAM内存：128MB ，FLASH内存：32MB CISCO WS-C3750G-24TS-S端口数量：28个 背板带宽：32Gbps 接入层 无线AP 防火墙 入侵检测 CISCO WS-C2960-48TC-S 端口数量：48个 CISCO WAP4410N 24000 5000 1300 1 54 20 1 1 1 24000 270000 26000 208000 58000 400800 天融信NGFW4000-UF(TG-5144) 208000 2*1000M+1*100M 硬件VPN模块WLM-VPN-SC 天融信Tonstory 3000(TS-3205-ID)接口及带宽： 10/100/1000M，2U 第23页

58000 400800 XX信息技术职业学院毕业设计 表7.4 员工公寓设备报价

设备位置 员 工 公 寓 设备名称 功能模块型号 单价(元) 24000 数量 1 总计(元) 24500 汇聚交换机 CISCO WS-C3750G-24TS-S端口数量：28个 背板带宽：32Gbps 接入交换机 CISCO WS-C2960-48TC-S 端口数量：48个 无线AP CISCO WAP4410N 5000 1300 14 7 70000 9100 以上设备总计(元)：2474940

表7.5 企业网络项目费用总计表

总计 项目花费 材料总计(元)： 1119465 设备总计(元)： 2557940 项目花费总计(元) 3677405

第24页

XX信息技术职业学院毕业设计 总结

成都XX实业（集团）有限公司局域网的设计及VPN的应用在整个网络工程中我们所采用的主干线是以千兆光纤为主的。对企业网络的网络拓扑结构是对一个网络系统的覆盖范围、连接能力、安全性、可靠性及扩充性等网络性能所产生的影响。我们通过需求分析来对整个网络做出相对应的设计，网络拓扑结构是整个工程建设中重点，采用的主干线和子网结构进行设计。

汇聚层是连接接入层和核心层的网络设备，为接入层提供数据集的传输、管理。同时也可以提供接入层虚拟网之间的连接等。对现有的信息收集我们对企业进行了VLAN的划分和对每个部门配置相应的IP地址。我们也对网络安全做了相对应的措施。

接入层交换机连接到汇聚层交换机，其接入层交换机是以2960交换机为核心的骨干网络，能保障业务的永续性。支撑防网络风暴攻击，防扫描窥探攻击等。接入层主要解决终端接入问题，其主要起到一个初步汇聚和链路的作用。核心层和汇聚层的设备具备路由功能，而接入层设备没有路由功能。核心层连接了管理服务器、数据库服务器和一个内部服务器群、管理主机和IDS入侵检测，管理服务器将对内网和外网的所有服务和数据传输进行管理。这样就会提高网络安全、稳定的运行。

VPN可以通过一个公用的网络建立一个临时的、安全的连接，使用VPN可以对数据进行加密达到安全使用互联网的目的。可以对企业内部网的扩展、帮助远程企业分支机构建立可信的安全连接。

网络物理安全是整个网络系统安全的前提，如果设计不到位会造成不必要的事故发生。基于来自互联网的安全威胁，内部网络将面临更严重的安全威胁。防止非法用户和病毒的入侵。所有需要对信息安全做一定的部署，提高信息系统的安全防范能力，我们应该对网络安全采取相应的手段，实现网络的安全管理。

第25页

XX信息技术职业学院毕业设计 参考文献

[1]杨文安·《计算机网络工程设计与实施》·科学出版社·2010·P6-171 [2]陈明·《网络工程设计教程》·北京希望电子出版社·2008·P4-125

[3]郭诠水·《全新计算机网络工程教程》·北京希望电子出版社·2009·P8-214 [4]李兰友·《网络工程设计实训教程》·南开大学出版社·2008·P7-187 [5]彭祖林·《网络系统集成工程项目投标于施工》·国防工业出版社·2009·P5-148 [6]wmm602·《VPN》·百度文库·http://wenku.http://www.wodefanwen.com//view/27a70dd6195f31 2b3169a5b9.html·2010-11-24

[7]wushenghaoqd·《网络设计》·百度文库·http://wenku.http://www.wodefanwen.com/2b160b4ec02 b.html·2011-09-04

[8]15826132956·《网络逻辑设计》·百度文库·http://wenku.http://www.wodefanwen.com//view/7ff70 37b168884868762d6f5.html·2011-04-15 第26页

本文来源：https://www.bwwdw.com/article/9tr7.html