中小型企业网络规划与设计

**大学

工学学士学位论文

题目：中小型企业网络规划与设计

学 号： 姓 名： 院 (系)： 专 业： 完成日期： 指导老师：

288888888888820 888888888888888 信息8工程学院 888888888888888888888 8888888

**大学工学学士学位论文 摘要

摘 要

迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。市场的全球化竞争已成为趋势。对于中小型企业来说，在调整发展战略时，必须考虑到市场的全球竞争战略，而这一切也将以信息化平台为基础，借助计算机网络原理及网络规划技术，以网络通畅为保证。

企业内部网（Intranet）是国际互连网（Internet）技术在企业内部或封闭的用户群内的应用。Intranet是使用Internet技术,特别是TCP/IP协议而建成的企业内部网络。这种技术允许不同计算机平台进行互通,且不用考虑其位置。也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问。

本文从企业网络需求开始分析，根据现阶段cisco公司主流网络设备进行选材,规划最适用于目标网络的拓扑结构,建设合理的网络设计方案。并测试其结果最终验证网络的规划与设计符合中小型企业的需求。

本设计使用cisco Packet Tracer 软件进行模拟真实的设备和运行环境，来测试方案是否正确和可行性。

关键词：企业网络 路由 交换 网络设计 模拟

I

**大学工学学士学位论文 Abstract

Abstract

The rapid development of the Internet is all over the world information industry of enormous change and far-reaching consequences. Market competition has become the trend of globalization. For large enterprises, in adjusting the development strategy, must take into account the market's global competitiveness strategy, and all this information platform will also be based on the principle of the use of computer networks and network planning technology to the network in order to ensure patency.

Intranet is an international Internet technology in the enterprise or within a closed user group applications. Intranet is the use of Internet technologies, especially TCP / IP protocol and the completion of the enterprise internal network. This technology allows interoperability of different computer platforms, and do not have to consider its position. That is what the user can visit any or from any computer access.

From the start the whole enterprise class network needs analysis, based on the mainstream stage cisco network equipment company selection, with the goal to build the most suitable network topology, designed with network technology. view the experimental results to verify that the network meets business needs.

This design using cisco Packet Tracer software to simulate real equipment and operation environment, to test whether the plan right and feasibility.

Keywords: Enterprise Network Routing Switching NetworkDesign Simulation

II

**大学工学学士学位论文 目录

目 录

摘 要 ..................................................................................................................................................... I Abstract .................................................................................................................................................. II 第一章 绪 论 .................................................................................................................................... 1

1.1研究背景 .................................................................................................................................. 1 1.2目的与意义 .............................................................................................................................. 1 第二章 关键网络技术原理 .................................................................................................................. 2

2.1路由技术 .................................................................................................................................. 2 2.2交换技术 .................................................................................................................................. 2 2.3远程访问技术 .......................................................................................................................... 3 2.4 VLAN ....................................................................................................................................... 3 2.5 ACL .......................................................................................................................................... 4 2.6 NAT .......................................................................................................................................... 5 2.7 DHCP ....................................................................................................................................... 5 2.8 VPN .......................................................................................................................................... 5 2.9 PVST ........................................................................................................................................ 6 2.10 DNS ........................................................................................................................................ 6 2.11 HSRP ...................................................................................................................................... 7 第三章 用户需求分析 .......................................................................................................................... 8

3.1中小型企业需求分析 .............................................................................................................. 8 3.2 本网络系统需求分析 ........................................................................................................... 10 第四章 网络设计 ................................................................................................................................ 11

4.1 设计网络拓扑结构 ............................................................................................................... 11 4.2 VLAN及IP地址规划 ........................................................................................................... 11 4.3设备命名 ................................................................................................................................ 12 4.4 模拟工具和环境介绍——Packet Tracer.............................................................................. 14 4.5 设备配置 ............................................................................................................................... 16 第五章 安全策略 ................................................................................................................................ 33

5.1 安全分析 ............................................................................................................................... 33 5.2 安全技术 ............................................................................................................................... 34 5.3 安全策略设计 ....................................................................................................................... 35 第六章 网络效果验证 ........................................................................................................................ 38

6.1 关键三层设备路由表 ........................................................................................................... 38 6.2 联通性测试 ........................................................................................................................... 42 6.3 ACL验证 ............................................................................................................................... 44 6.4 DHCP/DNS服务 ................................................................................................................... 46

III

**大学工学学士学位论文 目录

致 谢 .................................................................................................................................................. 47 参考文献 .............................................................................................................................................. 48 附 录 .................................................................................................................................................. 49

IV

**大学工学学士学位论文 第一章 绪论

第一章 绪 论

1.1研究背景

今天，迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。市场的全球化竞争已成为趋势。21世纪的中国正在向市场多元化、全球化的方向发展。对于大型企业来说，在调整发展战略时，必须考虑到市场的全球竞争战略，而这一切也将以信息化平台为基础，借助计算机网络原理及网络规划技术，以网络通畅为保证。国内越来越多的企业也已经或正在考虑使用Internet/Intranet技术,以建设企业规划化的信息处理系统。因为现代企业的信息大多都来自于互连网，通过网络，企业可以更快速的接收到来自全球的市场信息；通过Internet与外部世界交换信息，企业规划者可以更快地对企业作出正确的宏观调控与决策，以适应市场趋势。企业与全世界联系起来,极大地提高了信息收集的能力和效率。 1.2目的与意义

企业内部网（Intranet）是国际互连网（Internet）技术在企业内部或封闭的用户群内的应用。简单地说,Intranet是使用Internet技术,特别是TCP/IP协议而建成的企业内部网络。这种技术允许不同计算机平台进行互通,且不用考虑其位置。也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问[1]。

基于这种种的现实问题，企业必须从企业局域网的概念及相关计算机网络技术入手，详细地设计企业网建设的实施方案及建设规划,以达到先进、安全、实用、可靠的目标.对该企业的组网需求进行分析，比较各种组网技术，从实用角度论述局域网主干网选择，综合布线，各种设备选择，网络安全，网络管理等方面。

我们的网络要具有一定的灵活性。当企业发展到一定规模,企业在外地设有许多分支机构。这时,为加快企业内部的信息流通,企业需要将总部和各分支机构连接起来。远程企业对网络的需求是：通过internet接入, 在整个公司实现数据快速传输、办公自动化,最终实现企业无纸化办公；企业拥有自己的ip地址和域名,在公司主机上建立网站,向外界宣传企业形象、公司各项业务、活动及最新成果等；以ip电话方式节省企业大部分的长途话费,亦可通过ip网络来实现视频会议；实现telnet等网络服务；实现结构化布线、网络的设计与规划、资源共享、专线接入Internet、WWW服务器、软硬件配置、划分企业子网等技术实施。

1

**大学工学学士学位论文 第二章 关键网络技术原理

第二章 关键网络技术原理

2.1路由技术

工作在OSI参考模型第三层——网络层的数据包转发设备。路由器通过转发数据包来实现网络互连。虽然路由器可以支持多种协议（如TCP/IP、IPX/SPX、AppleTalk等协议），但是在我国绝大多数路由器运行TCP/IP协议。路由器通常连接两个或多个由IP子网或点到点协议标识的逻辑端口，至少拥有1个物理端口。路由器根据收到数据包中的网络层地址以及路由器内部维护的路由表决定输出端口以及下一跳地址，并且重写链路层数据包头实现转发数据包。路由器通过动态维护路由表来反映当前的网络拓扑，并通过网络上其他路由器交换路由和链路信息来维护路由表。路由器以其高度的灵活性和安全性在局域网和广域网互联中得到了广泛应用。然而路由器是无连接的设备，它对每个数据报独立地进行路由选择，哪怕是同一对主机之间的通信，都要对各个数据包单独处理，这样的开销使得路由器的吞吐率相对与交换机大为降低。

路由技术主要是指路由选择算法。因特网的路由选择协议的特点及分类。其中，路由选择算法可以分为静态路由选择算法和动态路由选择算法。因特网的路由选择协议的特点是：属于自适应的选择协议（即动态的）；是分布式路由选择协议；采用分层次的路由选择协议，即分自治系统内部和自治系统外部路由选择协议。因特网的路由选择协议划分为两大类：内部网关协议（IGP,具体的协议有RIP和OSPF等）和外部网关协议（EGP,目前使用最多的是BGP）。 2.2交换技术

谈到交换，从广义上讲，任何数据的转发都可以叫做交换。但是，传统的、狭义的第2层交换技术，仅包括数据链路层的转发。2层交换机主要用在小型局域网中，机器数量在二、三十台以下，这样的网络环境下，广播包影响不大，2层交换机的快速交换功能、多个接入端口和低廉价格，为小型网络用户提供了完善的解决方案。

现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了企业网数据交换服务质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网（Virtual LAN，VLAN）的概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（Vlan

2

**大学工学学士学位论文 第二章 关键网络技术原理

Trunking Protocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性，在企业网内部数据交换的部署是分层进行的。

总之，交换式局域网技术使专用的带宽为用户所独享，极大地提高了局域网传输的效率。可以说，在网络系统集成的技术中，直接面向用户的第2层交换技术，已得到了令人满意的答案。 2.3远程访问技术

在远程访问的架构中，远程访问技术可以分为以下3点进行探讨：连接方式，身份识别，数据传输。

在连接方式中，远程访问连接的方法可以分为两种，一种是通过拨号装置，另一种则是通过VPN。拨号装置的部分主要为调制解调器拨号，不过，也可以通过如ISDN或其他类似的方法进行；而VPN连接的方式则可以通过PPTP（Point to Point Tunneling Protocol）或L2TP（Layer 2 Tunneling Protocol）等VPN协议进行连接，不过，在Windows Server 2008/Windows Vista SP1中还新增了一个新的VPN协议：SSTP（Secure Socket Tunneling Protocol）。

远程访问也是企业网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。不同的广域网连接类型提供的服务质量不同，花费也不相同。企业用户可以根据所需带宽、本地服务可用性、花费等因素综合考虑，选择一种适合企业自身需要的广域网接入方案。 2.4 VLAN

VLAN（Virtual Local Area Network）的中文名为\虚拟局域网\。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知

VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、

3

**大学工学学士学位论文 第二章 关键网络技术原理

提高网络的安全性。

VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。

既然VLAN隔离了广播风暴，同时也隔离了各个不同的VLAN之间的通讯，所以不同的VLAN之间的通讯是需要有路由来完成的。 2.5 ACL

访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。ACL通过对网络数据源地址、源端口、目的地址、目的端口全部或部分组合的控制，能够限制数据在网络中的传输。在网络中应用ACL，能够达到这样一些目的：阻断网络中的异常流量,应用系统间访问控制,SNMP网管工作站控制,设备本身防备。

目前有两种主要的ACL:标准ACL和扩展ACL。其他的还有标准MAC ACL、以太协议 ACL 、IPv6 ACL等。标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号，扩展的ACL使用 100 ~ 199以及2000~2699之间的数字作为表号。

标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。

扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。

随着网络的发展和用户要求的变化，从IOS 12.0开始，思科（CISCO）路由器新增加了一种基于时间的访问列表。通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。基于时间访问列表的设计中，用time-range 命令来指定时间范围的名称，然后用absolute命令，或者一个或多个periodic命令来具体定义时间范围。

4

**大学工学学士学位论文 第二章 关键网络技术原理

2.6 NAT

网络地址转换(NAT,Network Address Translation)被广泛应用于各种类型Internet接入方式和备种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat 和 端口多路复用OverLoad。端口多路复用是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，Port AddressTranslation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。 2.7 DHCP

DHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)缩写。它分为两个部份：一个是服务器端，而另一个是客户端。所有的 IP 网络设定数据都由 DHCP 服务器集中管理，并负责处理客户端的 DHCP 要求；而客户端则会使用从服务器分配下来的IP环境数据。比较起 BOOTP ，DHCP 透过 \租约\的概念，有效且动态的分配客户端的 TCP/IP 设定，而且，作为兼容考虑，DHCP 的分配形式 首先，必须至少有一台 DHCP 工作在网络上面，它会监听网络的 DHCP 请求，并与客户端磋商 TCP/IP 的设定环境。

DHCP是BOOTP的扩展，是基于C/S模式的，它提供了一种动态指定IP地址和配置参数的机制。这主要用于大型网络环境和配置比较困难的地方。DHCP服务器自动为客户机指定IP地址，指定的配置参数有些和IP协议并不相关，但这必没有关系，它的配置参数使得网络上的计算机通信变得方便而容易实现了。DHCP使IP地址的可以租用，对于许多拥有许多台计算机的大型网络来说，每台计算机拥有一个IP地址有时候可能是不必要的。租期从1分钟到100年不定，当租期到了的时候，服务器可以把这个IP地址分配给别的机器使用。客户也可以请求使用自己喜欢的网络地址及相应的配置参数。 2.8 VPN

VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但

5

**大学工学学士学位论文 第二章 关键网络技术原理

是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或WINDOWS2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。

虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 2.9 PVST

PVST: Per-VLAN Spanning Tree（每VLAN生成树）

PVST是解决在虚拟局域网上处理生成树的CISCO特有解决方案．PVST为每个虚拟局域网运行单独的生成树实例．一般情况下PVST要求在交换机之间的中继链路上运行CISCO的ISL。

每VLAN生成树 (PVST)为每个在网络中配置的VLAN维护一个生成树实例。它使用ISL中继和允许一个VLAN中继当被其它VLANs的阻塞时将一些VLANs转发。尽管PVST对待每个VLAN作为一个单独的网络，它有能力(在第2层)通过一些在主干和其它在另一个主干中的不引起生成树循环的Vlans中的一些VLANs来负载平衡通信。 2.10 DNS

域名系统DNS (Domain Name System) 是因特网使用的命名系统，用来把便于人们使用的机器名字转换为ip地址。域名系统其实就是名字系统。因为在这种因特网的命名系统中使用了许多的“域”（domain），因此就出现了“域名”这个名词。它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址，而IP地址不一定有域名。

域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方，它主要有两种形式：主服务器和转发服务器。将域名映射为IP地址的过程就称为“域名解析”。在Internet上域名与IP地址之间是一对一（或者多对一）的，域名虽然便于人们记忆，但机器之间只认IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名

6

**大学工学学士学位论文 第二章 关键网络技术原理

解析的服务器。DNS 命名用于Internet等TCP/IP网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时，DNS 服务可以将此名称解析为与之相关的其他信息，如 IP 地址。因为，你在上网时输入的网址，是通过域名解析系统解析找到了相对应的IP地址，这样才能上网。其实，域名的最终指向是IP。 2.11 HSRP

HSRP：热备份路由器协议（HSRP：Hot Standby Router Protocol） 热备份路由器协议（HSRP）的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说，当源主机不能动态知道第一跳路由器的 IP 地址时，HSRP 协议能够保护第一跳路由器不出故障。该协议中含有多种路由器，对应一个虚拟路由器。HSRP 协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。

负责转发数据包的路由器称之为主动路由器（Active Router）。一旦主动路由器出现故障，HSRP 将激活备份路由器（Standby Routers）取代主动路由器。HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器（Standby Routers）承接主动路由器的所有任务，并且不会导致主机连通中断现象。

7

**大学工学学士学位论文 第三章 用户需求分析

第三章 用户需求分析

3.1中小型企业需求分析

为适应企业信息化的发展，满足日益增长的通信需求和网络的稳定运行，今天的企业网络建设比传统企业网络建设有更高的要求，本文将通过对如下几个方面的需求分析来规划出一套最适用于目标网络的拓扑结构。 3.2.1 宽带性能需求

现代大型企业网络应具有更高的带宽，更强大的性能，以满足用户日益增长的通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化，Web浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务。因此，数据流量将大大增加，尤其是对核心网络的数据交换能力提出了前所未有的要求。另外，随着千兆位端口成本的持续下降，千兆位到桌面的应用会在不久的将来成为企业网的主流。从2004年全球交换机市场分析可以看到，增长最迅速的就是10 Gbps级别机箱式交换机，可见，万兆位的大规模应用已经真正开始。所以，今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标准，核心层及骨干层必须具有万兆位级带宽和处理性能，才能构筑一个畅通无阻的\高品质\大型企业网，从而适应网络规模扩大，业务量日益增长的需要。 3.2.2 稳定可靠需求

现代大型企业的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通，保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来，网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企业网络在可靠性设计方面主要应从以下3个方面考虑。

设备的可靠性设计：不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察。

业务的可靠性设计：网络设备在故障倒换过程中，是否对业务的正常运行有影响。

链路的可靠性设计：以太网的链路安全来自于多路径选择，所以在企业网络建设时，要考虑网络设备是否能够提供有效的链路自愈手段，以及快速重路由协议的支持。

8

**大学工学学士学位论文 第三章 用户需求分析

3.2.3 服务质量需求

现代大型企业网络需要提供完善的端到端QoS保障，以满足企业网多业务承载的需求。大型企业网络承载的业务不断增多，单纯的提高带宽并不能够有效地保障数据交换的畅通无阻，所以今天的大型企业网络建设必须要考虑到网络应能够智能识别应用事件的紧急和重要程度，如视频、音频、数据流（MIS、ERP、OA、备份数据）。同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现对业务的合理调度才是一个大型企业网络提供\高品质\服务的保障。

3.2.4 网络安全需求

现代大型企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件，以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，这样才能有效地保证企业网络的稳定运行。 3.2.5 应用服务需求

现代大型企业网络应具备更智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需要。当前的网络已经发展成为\以应用为中心\的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物力的线缆故障定位工作，网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作，由于受网络设备功能本身的限制，都还属于费时、费力的任务。所以现代的大型企业网络迫切需要网络设备具备支撑\以应用为中心\的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。

9

**大学工学学士学位论文 第三章 用户需求分析

3.2 本网络系统需求分析

网络联接的建筑物有五个：三个办公楼、一个行政楼和一个在外省的销售部。 管理部、财务部和网络部在行政楼中； 市场部在办公楼A；

销售部和人力资源部在办公楼B； 研发部在办公楼C。

我们把网络中心设在行政楼，用光纤连接办公楼A、B、C，构成公司网络光纤主干网络。

企业服务器在行政楼。 办公楼4个，行政楼1个， 1．划分VLAN 2．VTP 动态学习VLAN 3．PVST(选根，二层冗余) 4．SVI（VLAN间路由） 5．HSRP（三层冗余） 6．DHCP 7．根防护 8．静态路由

9．SITE-TO-SITE VPN（连接分公司，固定IP） 10.DNS 11.ACL 12．网管控制

10

**大学工学学士学位论文 第四章 网络设计

第四章 网络设计

4.1 设计网络拓扑结构 主干网络设计如下图：

采用上设计图优点如下：

1， 结构整齐，层次清晰，便于管理；

2， 采用动态路由协议，维护简单，扩展性好。

4.2 VLAN及IP地址规划 VLAN号 VLAN 1 VLAN 10 VLAN 20 VLAN 30 VLAN 40 VLAN 50 VLAN 60 VLAN 70 VLAN名称 1 GLB CWB WLB SCB XSB RLZY YFB IP网段 172.20.1.0/28 默认网关 172.20.1.1 说明 管理VLAN 管理部VLAN 财务部VLAN 网络部VLAN 市场部VLAN 销售部VLAN 人力资源部VLAN 研发部VLAN 172.20.10.0/24 172.20.10.1 172.20.20.0/24 172.20.20.1 172.20.30.0/24 172.20.30.1 172.20.40.0/24 172.20.40.1 172.20.50.0/24 172.20.50.1 172.20.60.0/24 172.20.60.1 172.20.70.0/24 172.20.70.1 11

**大学工学学士学位论文 第四章 网络设计

4.3设备命名

4.3.1 设备命名规则

为便于进行网络故障诊断和远程监测，各个办公楼将统一全辖网络设备的命名。

网络系统中设备的命名使用五个字段组成，分别表示该设备所在区域，功能，层次，类型等，便于设备维护管理。设备名称的字母全部采用大写表示。 主要网络设备的ID命名规则如下： A_B_C_D_E：

A：办公楼名称（如A、B等）

B：区域名称（如核心区、服务器区、办公区、管理区、等，也可表示名称） C：区域层次（如汇聚层或接入层）

D：设备类型（如核心交换机、路由器、防火墙、入侵检测、等） E：设备序列号（如第一台、第二台、等）

根据上述描述，每个字段做如下进一步的明确： A：楼名称 分行名称 行政楼 办公楼A ?

B：区域名称 序号 1 2 3 名称 CORE ADMIN APPSVR 描述 核心区（Core Zone） 管理区（Admin Zone） 业务服务器区（App_Server Zone） 标识 XZ A ? 12

**大学工学学士学位论文 第四章 网络设计

4 5 6 7 8 APPUSR OAUSR OASVR DMZ TA 业务用户接入区（APP_User Zone 办公用户接入区（OA_User Zone） 办公服务器区(OA_Server Zone) DMZ区 终端接入区(Terminal Access Zone) C：区域层次

序号 1 2 名称 DL AL 区域 汇聚层（Distribution Layer） 接入区（Access Layer） D：设备类型

序号 1 2 3 4 名称 SW RT FW IDS 描述 交换机 路由器 防火墙 入侵检测系统 E：设备序列号

序号 1 2 3 例如：

XZ_CORE_SW_1：表示行政楼 核心区(CORE)核心交换机（SW）第一台（1）；

XZ_ADMIN_DL_SW_1：表示行政楼 管理区（ADMIN）汇聚层（DL）交换机（SW）第一台；

名称 1 2 ? 描述 同区同层第１台设备 同区同层第2台设备 ? 13

**大学工学学士学位论文 第四章 网络设计

4.3.1 全网设备命名

下面是全网设备命名： 序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 名称 XZ_CORE_SW_1 XZ_CORE_SW_2 XZ_CORE_FW_1 XZ_CORE_FW_2 XZ_DMZ_DL_SW XZ_EXTCONN_RT A_DL_SW_1 A_DL_SW_2 *_AL_SW_1 B_DL_SW_1 B_DL_SW_2 *_AL_SW_1 C_DL_SW C_DL-SW_2 C_AL_SW_1 WS_RT 描述 行政楼核心交换机—1 行政楼核心交换机—2 行政楼外联防火墙—1 行政楼外联防火墙—2 行政楼DMZ区汇聚交换机 行政楼外联路由器 A楼汇聚交换机—1 A楼汇聚交换机—2 *部接入交换机—1 B楼汇聚交换机—1 B楼汇聚交换机—2 *部接入交换机—1 C楼汇聚交换机 C楼汇聚交换机—2 C楼接入交换机—1 外省路由器 4.4 模拟工具和环境介绍——Packet Tracer

4.4.1 Packet Tracer 工具介绍

Packet Tracer 是由Cisco公司发布的一个辅助学习工具，为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑，并可提供数据包在网络中行进的详细处理过程，观察网络实时运行情况。可以学习IOS的配置、锻炼故障排查能力。

在界面的左下角一块区域，这里有许多种类的硬件设备，从左至右，从上到下依次为路由器、交换机、集线器、无线设备、设备之间的连线（Connections）、终端设备、仿真广域网、Custom Made Devices（自定义设备）。

在左下边你会看到各种类型的线，依次为Automatically Choose Connection Type（自动选线，万能的，一般不建议使用，除非你真的不知道设备之间该用什么

14

**大学工学学士学位论文 第四章 网络设计

线）、控制线、直通线、交叉线、光纤、电话线、同轴电缆、DCE、DTE。其中DCE和DTE是用于路由器之间的连线，实际当中，你需要把DCE和一台路由器相连，DTE和另一台设备相连。而在这里，你只需选一根就是了，若你选了DCE这一根线，则和这根线先连的路由器为DCE，配置该路由器时需配置时钟。交叉线只在路由器和电脑直接相连，或交换机和交换机之间相连时才会用到。

对设备进行编辑在右边有一个区域，从上到下依次为选定/取消、移动（总体移动，移动某一设备，直接拖动它就可以了）、Place Note（先选中）、删除、Inspect（选中后，在路由器、PC机上可看到各种表，如路由表等）、simple PPD、complex。

软件界面的最右下角有两个切换模式，分别是Realtime mode(实时模式)和Simulation mode（模拟模式），实时模式顾名思意即时模式，也就是说是真实模式。举个例子，两台主机通过直通双绞线连接并将他们设为同一个网段，那么A主机PingB主机时，瞬间可以完成，这就是实时模式。而模拟模式，切换到模拟模式后主机A的CMD里将不会立即显示ICMP信息，而是软件正在模拟这个瞬间的过程，以人类能够理解的方式展现出来。

图 4.4.1 Cisco Packet Tracer 模拟软件

15

**大学工学学士学位论文 第四章 网络设计

4.4.2 本设计的模拟图

图 4.4.2 本设计的模拟图

4.5 设备配置

4.5.1 基础配置 以接入层交换机为例：

图 4.5.1 接入层交换机

16

**大学工学学士学位论文 第四章 网络设计

图 4.5.2 配置截图

Switch>en 进入特权模式 Switch#conf t 进入全局模式

Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#hostname CW_AL_SW_1 修改路由器或者交换机的名字，方便管理

CW_AL_SW_1(config)#no ip domain lookup 关闭域名查询 启用与禁止DNS服务器，在交换机默认配置的情况下，当我们输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用命令no ip domain lookup，可以禁用DNS服务器，可以减少输入错误命令的等待时间

CW_AL_SW_1(config)#line console 0

进入CONCOLE 0口线程下，通过CONSOLE线串口直接控制交换机或路由器接口 设置登录口令，如下图：

图 4.5.3交换机密码设置

17

**大学工学学士学位论文 第四章 网络设计

4.5.2 使用VTP

从提高效率的角度出发，在企业网实现实例中使用了VTP技术。将汇聚层XZ_DL_SW_1设置成为VTP服务器，其他交换机设置成为VTP客户机。这里接入层交换机SW1将通过VTP获得在分布层交换机FB1中定义的所有VLAN的信息。

下面是配置截图：

图 4.5.4 行政楼汇聚层交换机VTP配置截图

XZ_DL_SW_1#vlan database 特权模式下进入VLAN设置模式 XZ_DL_SW_1(vlan)#vtp domain cisco 定义VTP域名 Changing VTP domain name from NULL to cisco

XZ_DL_SW_1(vlan)#vtp server 将该交换机设置为VTP的服务端 Device mode already VTP SERVER.

XZ_DL_SW_1(vlan)#vtp v2-mode 启用的VTP版本号为2 V2 mode enabsled.

XZ_DL_SW_1(vlan)#vtp password 123456

设置VTP的密码为123456，交换机的VTP必须密码一致才能同步

Setting device VLAN database password to 123456. XZ_DL_SW_1(vlan)#vtp pruning

启用VTP修剪，激活VTP剪裁功能，默认情况下主干道传输所有VLAN的用户数据。有时，交换网络中某台交换机的所有端口都属于同一VLAN的成员，没有必要接收其他VLAN的用户数据。这时，可以激活主干道上的VTP剪裁功能。当激活了VTP剪裁功能以后，交换机将自动剪裁本交换机没有定义的VLAN数据。 在一个VTP域下，只需要在VTP服务器上激活VTP剪裁功能。同一VTP域下的所有其他交换机也将自动激活VTP剪裁功能。

18

**大学工学学士学位论文 第四章 网络设计

退出VLAN配置模式进入特权模式 APPLY completed. Exiting....

其他设备配置（配置成用户端） 下面以CW_AL_SW_1为例：

图 4.5.5 交换机VTP客户模式配置

CW_AL_SW_1#vlan da

CW_AL_SW_1(vlan)#vtp domain cisco

Changing VTP domain name from NULL to cisco CW_AL_SW_1(vlan)#vtp client

将FB2设置为客户端，客户端可以学习到服务端的所有VLAN信息。客户模式是没有创建、修改、删除VLAN得权利的，它只能接收和转发信息。而服务器模式拥有以上的所用功能。

Setting device to VTP CLIENT mode. CW_AL_SW_1(vlan)#vtp v2 V2 mode enabled.

CW_AL_SW_1(vlan)#vtp password 123456

Setting device VLAN database password to 123456. CW_AL_SW_1(vlan)#exit APPLY completed. Exiting.... 4.5.3 创建VLAN

在XZ_DL_SW_1配置VLAN 数据库。配置截图如下：

19

**大学工学学士学位论文 第四章 网络设计

图 4.5.6 VLAN 配置

4.5.4 交换链路封装

图 4.5.7 交换链路封装

XZ_DL_SW_2(config)#int fa 0/4 进入要封装的接口

XZ_DL_SW_2(config-if)#switchport trunk encapsulation dot1q 进行封装

XZ_DL_SW_2(config-if)#switchport mode trunk

20

**大学工学学士学位论文 第四章 网络设计

指定封装模式

XZ_DL_SW_2(config-if)#no shutdown 开启接口

XZ_DL_SW_2(config)#interface fastEthernet 0/0

XZ_DL_SW_2(config-if)#switchport trunk encapsulation dot1q XZ_DL_SW_2(config-if)#switchport mode trunk XZ_DL_SW_2(config-if)#no shutdown 4.5.5 NAT

图 4.5.8 静态nat配置

21

**大学工学学士学位论文 第四章 网络设计

图 4.5.9 动态nat配置

XZ_WL_RT>en Password: XZ_WL_RT#config

Configuring from terminal, memory, or network [terminal]? t Enter configuration commands, one per line. End with CNTL/Z. XZ_WL_RT(config)#ip nat pool nat 202.11.8.4 202.11.8.253 netmask 255.255.255.0

配置动态NAT转换的地址池

XZ_WL_RT(config)#ip nat pool nat 202.11.9.1 202.11.9.254 netmask 255.255.255.0

XZ_WL_RT(config)#ip nat inside source list 1 pool nat 配置动态NAT转换的内部地址范围

XZ_WL_RT(config)#access-list 1 permit 192.168.0.0 0.0.255.255 XZ_WL_RT(config)#int se 2/0 XZ_WL_RT(config-if)#ip nat outside XZ_WL_RT(config-if)#ex XZ_WL_RT(config)#int fa 0/0 XZ_WL_RT(config-if)#ip nat inside XZ_WL_RT(config-if)#ex

22

**大学工学学士学位论文 第四章 网络设计

XZ_WL_RT(config)#

图 4.5.10 查看NAT转换的统计信息

4.5.6 DHCP/DNS

图 4.5.11 配置DHCP

XZ_DL_SW(config)#ip dhcp excluded-address 192.168.10.1 XZ_DL_SW(config)#ip dhcp excluded-address 192.168.20.1 XZ_DL_SW(config)#ip dhcp excluded-address 192.168.30.1 XZ_DL_SW(config)#ip dhcp excluded-address 192.168.40.1 XZ_DL_SW(config)#ip dhcp excluded-address 192.168.50.1 XZ_DL_SW(config)#ip dhcp excluded-address 192.168.60.1

23

**大学工学学士学位论文 第四章 网络设计

先配置除去PC机不能使用的IP地址

图 4.5.12 配置DHCP,DNS,默认网关

现在需要为路由器接口和所有的PC机接口配置IP地址。由于几千个结点的网络比较大，为每一台PC手工配置地址的工作量相当大，所以我们要使用DHCP技术。

XZ_DL_SW(config)#ip dhcp pool VLAN10 创建地址池，VLAN10地址池

network 192.168.10.0 255.255.255.0 宣告网段

default-router 192.168.10.1 默认网关

DNS-SERVER 192.168.1.3 DNS地址192.168.1.3

ip dhcp pool VLAN20

network 192.168.20.0 255.255.255.0 default-router 192.168.20.1 DNS-SERVER 192.168.1.3

ip dhcp pool VLAN30

24

**大学工学学士学位论文 第四章 网络设计

network 192.168.30.0 255.255.255.0 default-router 192.168.30.1 DNS-SERVER 192.168.1.3 ip dhcp pool VLAN40

network 192.168.40.0 255.255.255.0 default-router 192.168.40.1 DNS-SERVER 192.168.1.3

ip dhcp pool VLAN50

network 192.168.50.0 255.255.255.0 default-router 192.168.50.1 DNS-SERVER 192.168.1.3

ip dhcp pool VLAN60

network 192.168.60.0 255.255.255.0 default-router 192.168.60.1 DNS-SERVER 192.168.1.3

ip dhcp pool VLAN70

network 192.168.70.0 255.255.255.0 default-router 192.168.70.1 DNS-SERVER 192.168.1.3

图 4.5.13 DHCP服务请求成功

25

**大学工学学士学位论文 第四章 网络设计

4.5.7 ACL

图 4.5.14配置ACL

WS_WL_RT(config)#access-list 1 permit 192.168.30.0 0.0.0.255 WS_WL_RT(config)#line vty 0 4

WS_WL_RT(config-line)#access-class 1 in 在vty下应用acl

WS_WL_RT(config-line)#password cisco WS_WL_RT(config-line)#login WS_WL_RT(config-line)#

26

**大学工学学士学位论文 第四章 网络设计

图 4.5.15 配置ACL

XZ_DL_SW_1(config)#access-list 6 deny 192.168.10.0 0.0.0.255 XZ_DL_SW_1(config)#access-list 6 deny 192.168.30.0 0.0.0.255 XZ_DL_SW_1(config)#access-list 6 deny 192.168.40.0 0.0.0.255 XZ_DL_SW_1(config)#access-list 6 deny 192.168.50.0 0.0.0.255 XZ_DL_SW_1(config)#access-list 6 deny 192.168.60.0 0.0.0.255 XZ_DL_SW_1(config)#access-list 6 deny 192.168.70.0 0.0.0.255 XZ_DL_SW_1(config)#access-list 6 permit any XZ_DL_SW_1(config)#int vlan 20 XZ_DL_SW_1(config-if)#ip acc 6 out XZ_DL_SW_1(config-if)#

XZ_DL_SW_1(config-if)#XZ_DL_SW_1(config)#

图 4.5.16配置扩展ACL

27

**大学工学学士学位论文 第四章 网络设计

4.5.8 PVST

图 4.5.17 配置PVST

由于网络拓扑比较大，两两相连加冗余会出现环路，所以需要配置二层防环的PVST

首先要选举根桥，我们这里手工指定XZ_AL_SW为VLAN10的主根，VLAN 20 30 60的备份根 。

Switch>en Switch#config

Configuring from terminal, memory, or network [terminal]? t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#spanning-tree mode pvst 开启PVST生成树模式

Switch(config)#spanning-tree vlan 20 root primary 设置为VLAN 20 的主根

Switch(config)#spanning-tree vlan 10,30 root secondary 设置为VLAN 10 30的备份根 Switch(config)# 4.5.9 路由协议

外联路由器配置EIGRP，总部外联路由配置如下图：

28

**大学工学学士学位论文 第四章 网络设计

图 4.5.18 总部外联路由协议配置

XZ_WL_RT(config)#router eigrp 100 启用EIGRP协议

XZ_WL_RT(config-router)#network 202.11.8.0 0.0.0.15 把202.11.8.1/28 网段宣告进协议中

XZ_WL_RT(config-router)#network 192.168.10.1 0.0.0.255 XZ_WL_RT(config-router)#network 192.168.18.1 0.0.0.255 XZ_WL_RT(config-router)#network 192.168.17.1 0.0.0.255

29

**大学工学学士学位论文 第四章 网络设计

图 4.5.19 外省外联路由协议配置

WS_WL_RT(config)#router eigrp 100 启用EIGRP协议

WS_WL_RT(config-router)#network 202.11.8.1 0.0.0.3 把202.11.8.1/30 网段宣告进协议中

WS_WL_RT(config-router)#network 192.168.19.0

EIGRP还有自动汇总的功能，当不需要时： WS_WL_RT(config-router)#no auto-summary 关闭自动汇总功能

30

**大学工学学士学位论文 第四章 网络设计

4.5.10 网管控制

图 4.5.20 配置网络管理

为了方便管理员对企业网安全方便的管理控制，我们需要对坐配置使得管理员能都使用PC直接连接或远程登陆到到交换机进行控制。

XZ_DL_SW(config)#line vty 0 4 进入VTY线程下

XZ_DL_SW(config-line)#password cisco 配置远程访问交换机的密码

XZ_DL_SW(config-line)#login 登陆验证

XZ_DL_SW(Config-line)#exec-timeout 1 1 配置登录交换机虚拟终端线的超时时间为1分11秒钟 HX2(config-line)#line con 0 HX2(config-line)#password cisco2 HX2(config-line)#login

HX2(config-line)#exec-timeout 1 1

31

**大学工学学士学位论文 第四章 网络设计

4.5.11 其他配置

图 4.5.21 配置帧中继

图 4.5.22 配置接口速率和工作模式

32

**大学工学学士学位论文 第五章 安全策略

第五章 安全策略

网络安全策略的总体目标是保护网络不受攻击，控制异常行为影响网络高效数据转发，以及保护服务器区的资源。 5.1 安全分析

5.1.1 应用服务器内部安全分析

应用系统服务器按应用类型被分为业务展现层（Web层），应用/业务逻辑层（AP）和数据库层（DB层）。安全风险存在于：

低安全级别服务器对高安全级别服务器上不适应的访问； 授权用户端对服务器的不适当访问； 非授权用户端对服务器的不适当访问； 不同应用系统服务器之间非授权的不适当访问； 恶意代码对服务器的不良影响。

5.1.2 应用系统之间安全分析

应用系统之间的互访，安全风险主要存在于：

不同应用系统服务器之间非授权的不适当访问； 应用系统不同安全等级服务器之间不适当的互访。

5.1.3 客户端与服务器之间安全分析

客户端访问服务器，主要的安全风险存在于：

非授权客户端不适当的访问服务器；

授权客户端不适当的访问高安全级别的服务器。

5.1.4 客户端之间安全分析

在办公楼和行政楼用户端之间，安全风险存在于：

用户端访问另一端用户端上的非授权数据；

用户端利用另一类用户端达到对非授权服务器的非法访问。

33

**大学工学学士学位论文 第五章 安全策略

5.1.5 网络设备自身安全分析 网络设备自身的安全风险主要有：

网络设备的物理安全；

网路设备操作系统Bug和对外提供的网络服务风险； 网络管理协议SNMP非授权访问的风险； 设备访问密码安全； 设备用户安全风险。

5.2 安全技术 5.2.1 网络分区

网络安全设计基于分行基础设施总体架构设计中使用的模块化设计方案，是基于业界企业级网络参考架构和安全架构进行的，在设计中考虑了网络的扩展性、可用性、管理性、高性能等因素，也重点覆盖了安全性设计。

通过网络分区，明确不同网络区域之间的安全关系，也可以对每一个区域进行安全的评估和实施，不必考虑对其他区域的影响，保障了网络的高扩展性、可管理性和弹性。达到了一定程度的物理安全性。 5.2.2 VLAN

在局域网内采用VLAN技术，出了在网络性能、管理方面的有点外，在网络安全上，也具有明显的优点：

限制局域网中的广播包；

隔离不同的网段，使不同VLAN之间的设备互通必须经过路由，为提供了基础的安全性，VLAN之间的数据包在链路层上隔离，防止数

安全控制提供了基础； 据不适当的转发或窃听。 5.2.3 ACL

ACL通过对网络数据源地址、源端口、目的地址、目的端口全部或部分组合的控制，能够限制数据在网络中的传输。在网络中应用ACL，能够达到这样一些目的：

? ? ? ?

阻断网络中的异常流量 应用系统间访问控制 SNMP网管工作站控制 设备本身防备

34

**大学工学学士学位论文 第五章 安全策略

5.2.4 防火墙

专用的硬件防火墙，是网络中重要的安全设备，为网络提供快速、安全的保护。

? ? ? ? ?

专用的软硬件，设备本身安全性很高；

提供网络地址转换（NAT或PAT）功能，把内部地址转换为外部地提供严格的安全管理策略，除了明确定义允许通过的数据，其他数多层次的安全级别，为不同的安全区域提供差异化的安全级别，如提供多样的系统安全策略和日志功能。

址，以保护内部地址的私密性； 据都是被拒绝的； DMZ区域；

5.3 安全策略设计

核心区防火墙对应不同的业务分区创建不同的分区，各分区的安全级别由高到低

在默认情况下，高安全级别分区可以主动访问低安全级别分区，而低安全级别分区无法访问高安全级别分区，必须通过制订具体的访问策略可访问。

两台防火墙互联接口加入单独的一个区（防火墙互联区），允许所有区域访问该区，以实现业务跨越两台防火墙访问。 5.3.1网络分区

根据网络基础架构的设计结构，总部局域网被划分为各个功能区域。通过网络结构的功能分区，在网络安全上实现了以下目标：

实现不同功能的设备处在不同的分区内，实现了数据链路层上物理各分区有单一的出入口；

分区之间互访必须经过网络层路由； 为其他安全控制策略的部署奠定了基础。 应用系统内部安全策略

隔离；

在服务器区内，根据确定的应用系统内部三层架构，服务器的应用类型被分为业务展现层（Web层），应用/业务逻辑层（AP层）和数据库层（DB层），对应的安全控制策略如下：

通过应用类型分层保护不同级别服务器的安全； 划分VLAN，各分层分别位于不同的VLAN中；

在三个应用类型分层中，安全级别的定义是接入层（Web层）安全

35

本文来源：https://www.bwwdw.com/article/el27.html