XX公司厂区网络改造总体设计方案书.doc

《XX公司厂区网络改造总体设计方案书.doc》由会员分享，可在线阅读，更多相关《XX公司厂区网络改造总体设计方案书.doc（27页珍藏版）》请在三一办公上搜索。

1、xx公司网络改造总体设计方案书 二零壹零年三月xx有限公司目 录第1章 网络改造的需求规定1.1 总体目标1.2 网络改造需求1.2.1 xx公司局域网1.2.2 网络管理的需求1.2.3 网络安全管理需求第2章 网络改造的基本原则第3章 网络总体设计3.1 xx公司网络系统改造目标总体架构4.1.1 组网模式4.1.2 网络总体拓扑结构设计3.2 局域网改造4.2.1 局域网改造方案第4章 XX公司网络管理设计第5章 网络系统安全设计5.1 安全模型（P2DR模型）5.2 xx公司网络系统总体安全体系5.3 xx公司网络级安全设计5.3.1 局域网安全设计设备清单. 第一章 网络改造的需求规

2、定1.1 总体目标xx公司骨干网改造是公司为了适应新形势下企业激烈竞争，提高xx公司核心竞争力的一项具有战略意义的举措。xx公司网络改造作为整个网络改造工作的一个组成部分，成功的网络改造将使xx公司能够在较长时间里在高科技领域竞争中继续保持科技优势，从而推动各项业务水平的快速发展。xx公司网络设计为三层结构，系统的设计应充分利用当今先进的网络技术，实现网络数据高速有序流通，建立高效率的信息网络平台，形成各个部门内外相联、上下贯通的信息传输网络。建设后的xx公司网络平台应是一个技术先进、性能可靠、功能齐全的系统，系统内的各级用户在各自权限内，在各自站点上进行各自的工作，满足网上语音、视频、监控等

3、多种应用，为xx公司提供一个稳定的网络。1.1.1 xx公司网络现状及需求分析原有局域网是在2001年前建设的，好多车间当时均没有布线，或者布的线的是网线，时间长网线均已老化或者是被老鼠咬断，对厂区提升信息化应用受到很大的影响。也直接影响到局域网的使用。且当时车间里只有一个最多两个点是可以使用的。随着企业规模的扩大以及应用系统的增多，己经不能满足现有及未来信息化办公要求，主要暴露的问题有以下几点：1、随着用户数目的增加，以及各种业务系统的拓展，依托于网络运行的业务越来越多，对网络的依赖性越来越强，网络设备的性能不能够满足未来的需求，所以网络迫切面临着升级改造的需求。2、网络安全性：现在xx公司

4、在网络安全方面还处在一种被动局面，只有等到各种病毒和漏洞发作的时候才知道，不能够在这些安全威胁爆发之前，对网络的各种隐患和漏洞进行一个很好的分析、了解和掌握，并且通过某种手段弥补掉这些隐患；没有能够检测网络当中各种行为的设备，这样有人在网络当中作了些什么，网管人员将很难发现，所以需要有一种监测网络和审计网络的设备和软件，进而从多个方面，多个角度，多种手段来建成一种防御体系，使网络在被攻击前、被攻击中、被攻击后都可以通过某种手段去解决问题。在攻击前积极防御，先找到隐患和漏洞，并且进行弥补，在攻击中及时发现可以通过设备间的联动，对其攻击进行阻断。最后就是作好安全容灾备份，这样即使数据丢失或损坏，还

5、有备份系统能够在短时间使系统重新恢复起来。3、总机房与厂区部门互联：由于厂区和部门之间的主干没有光纤连接，并且有的部门没有网络综合布线系统，所以厂区和的部门连接增加千兆光纤连接，部门分交换到各信息点增加综合布线系统。1.2 网络改造需求1.2.1 xx公司局域网方案描述这次改造目的把所有的基层车间及下属部门全部用光纤做为主干。每个基层车间及下属部门均布10-40个信息点。全厂区总体设计的信息点在600个以上。方案描述：1、 在原总工办办公室建立核心机房，核心交换机采用LS-S5600-26F 24 GE SFP,4个combo 10/100/10001000Base-T,自带两个堆叠口,1个模

6、块插槽。光纤配线架直接熔接光纤，不用收发器，通过跳线和主交换机LS-S5600-26F模块连接到各车间的光纤到光口交换机。由于现有的点加上新综合车间共有300多，我们现有的路由器已不能满足要求。所以上一套专业的路由器主控模块RT-MPUF-H3 主控模块是： H3C MSR 50 主控模块,2GE (Combo), 4SIC,256F/512D并配 LIS-MSR50-STANDARD-H3软件进行管理。配置一台H3C SecPath F1000-C-AC作为整体网络的防火墙。由于大楼里的各房间的网络不再改动。我们增加了二台H3C S3100-26TP-SI 交换机做为楼内各点的接入点。机房内

7、配备一台山特C2KS一小时延时的UPS不间断电源，机柜所有的设备都做接地连接。2、 每个车间的设备说明。每个车间配置一台H3C S3100-26TP-SI交换机，光纤直接上交换机的SFP-GE-LX-SM1310-A光模块。车间内的所有网线全部进行全新的安装采用PVC墙面固定。每个信息点采用外装模块。配置一台机柜,一台山特C12KS一小时延时的UPS不间断电源。其中不包括新综合车间。每条线都进行标记。3、 各车间的光纤走向主要分四路来实现。第一路：加工车间。第二路：综合新车间、新装配、木模下线、装配办、装配、冲剪。具体说明用一根12芯光纤到综合新车间进行用一分二光纤分路器进行分路，由于综合新车

8、间的信息点比较多，我们采用两台H3C S3100-52TP-SI交换机来保证信息点足够使用。光纤到装配办用一分四光纤分路二次分路分别给新装配、木模下线、装配办、装配、冲剪。第三路：机电办、机电、工具、加工二、焊接大修在机电办进行二次分路。第四路：销售、供应、备料、铸工、车队、物业、保卫部、在销售进行光纤二次分配，在供应进行光纤二次分配。在车队进行光纤二次分配。销售放一台S3100-52TP-SI，在供应放一台S3100-52TP-SI交换机。1.2.2 网络管理的需求1、具有网络管理基本功能，提供设备管理、配置管理、图形面板、流量监控、故障判断、拓扑发现等。增加局域网管理软件。2、在不影响关键

9、业务运行的前提下，收集分析网络流量中的应用信息，网络管理员可以定义、监控并评估网络连接性、安全性和性能策略，并进行网络的规划和设计。3、网管系统能够作到管理监控到全网所有网络设备，直观的显示各种设备运行状态，并对各种异常情况实现自动报警。1.2.3 网络安全管理需求、网络设计中利用防火墙、VLAN等技术，确保计算机网络系统计算机网络系统安全漏洞最小化，使网络入侵的风险得到控制。、能够使安全管理员了解计算机网络系统的整体安全状况。、可监控到来自网络内部和外部的“黑客”入侵。、能够为查明入侵的来源提供有效的依据。5、能够对整个网络系统从网络层、系统层、数据库和应用层进行安全脆弱性进行评估，提供安全

10、修复指引。第2章 网络改造的基本原则在网络集成设计过程中，一定要从网络、服务器、工作站的互连性、网络的可用性及网络的性能上支持将来xx机械厂计算机网络的全部网络应用，并且能够适应今后相当长一段时间内应用的发展。在本网络设计的过程中，还有一个需要考虑的重要因素就是系统的可靠性。网络应该具有一定的容错能力，在设计中尽可能地减少单一故障点，以使该网络不至于因为某一设备的损坏或某一信道的故障全部或部分瘫痪。另外，网络的性能是设计一个网络最基本的依据，在设计中不但要考虑满足今天的应用，而且要考虑到今后相当长一段时间内的发展。当然，高性能与高可靠性是以高投入为代价的，最终的方案一定是性能与价格折衷的产物。

11、还要对网络实行集中监测，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。最后就是保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级。在xx机械厂计算机网络设计中，我们基于以下基本原则：1 技术的超前性和成熟性2 高度的安全性3 实用性4 网络的扩展性和可维护性5 高性能6可靠性7 可管理性8 投资保护第3章 网络总体设计3.1 xx公司网络系统改造目标总体架构3.1.1 组网模式 大型网络的网络结构是层次化的，正确理解xx公司网络层次的划分和每个层次的主要作用，有助于我们合理选择网络拓扑和网络技术。鉴于xx公司的特殊性，我们

12、将网络结构设计为如下层次： 链路层：链路层实现各办公楼网络的连接，包括中心机房到新综合车间、运销、供应及车间的连接。 分布层：实现网络统一策略的互联层，访问层向核心层的汇接点，xx公司到各个科室的二级网络即属于网络分布层。 接入层：为最终用户提供对网络的接入，xx公司到各个机房构成的网络即属于网络接入层。同时，接入层的网络包括xx公司与互连网10MB光纤的连接。按照以上方式进行组网，层次比较清晰，便于方案实施，。3.1.2 网络总体拓扑结构设计 网络改造后的网络拓扑结构示意图如下所示：3.2 局域网改造3.2.1 局域网改造方案设备选择核心交换机采用LS-S5600-26F 24 GE SFP

13、,4个combo 10/100/10001000Base-T,自带两个堆叠口,1个模块插槽。LS-S5600-26F产品类型 企业级,三层,可网管型交换机,千兆以太网型,可网管型传输方式 ：存储转发方式背板带宽 ：192Gbps包转发率 ：66Mpps外形尺寸 44042043.6mm 重量 5Kg硬件参数 接口类型 10/100Base-T端口,10/100/1000BASE-T端口,10/100/1000M Combo电口,千兆SFP Combo口,(24个10/100/1000M电口,4个SFP Combo千兆口)接口数目 24口传输速率 10M/100M/1000Mbps模块化插槽数

14、4管理端口 1个Console口堆叠 可堆叠网络与软件 支持网络标准 802.3；802.3u,IEEE 802.3x,IEEE 802.1D,IEEE 802.1QVLAN支持 支持4K个符合IEEE 802.1Q标准的VLAN,支持基于端口的VLAN端口聚合 支持端口聚合,支持通过LACP进行动态端口汇聚,支持进行通过命令行手动进行端口汇聚,支持堆叠范围内的跨设备链路汇聚,支持GE(Gigabit Ethernet)端口汇聚,支持10G(Gigabit Ethernet)端口汇聚,最多32组端口汇聚组,GE汇聚组最多支持8个端口,10GE汇聚组最多4个端口,汇聚的端口必须具有相同的端口类型

15、网管功能 支持,命令行接口(CLI)配置,支持Telnet远程配置,通过Console口配置,WEB网管,SNMP管理,RMON管理,QuidView网管系统,支持系统日志,支持分级告警是否支持全双工 支持IEEE 802.3x流控(全双工),支持Back-pressure based flow control(背压式流控)(半双工)认证标准 CISPR 22 Class A,FCC Part 15 Class A,EN 55022 Class A,ICES -003 Class A,VCCI Class A,AS/NZS 3548 Class A,EN 61000-3-2,EN 61000-

16、3-3MAC地址表 16K其他性能 支持流量控制(Flow Control),支持端口镜像(Port Mirror),支持服务质量(QoS),生成树协议支持,广播风暴控制,802.1x认证支持其它参数 电源电压 AC:额定电压范围：100V240V A.C.，50/60Hz,最大电压范围：90V264V A.C.，47/63Hz,DC:额定电压范围：-48 - -60V,最大电压范围：-36 - -72V最大功率 130W电源模块:PSL130-AD(130W系统输出电源模块)交流输入或者直流输入H3C SecPath F1000-C-AC防火墙功能：可扩展高性能防火墙H3C SecPath防

17、火墙/VPN是业界功能最全面、扩展性最好的防火墙/VPN产品，集成防火墙、VPN和丰富的网络特性，为用户提供安全防护、安全远程接入等功能。H3C SecPath F1000系列防火墙包括SecPath F1000-C/SecPath F1000-S/SecPath F1000-A/SecPath F1000-E等四款产品，支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件

18、告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN业务，如L2TP VPN、GRE VPN 、IPSec VPN、动态VPN等；支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略。扩展性最强 基于H3C 先进的OAA开放应用架构，SecPath防火墙能灵活扩展病毒防范、网络流量监控和SSL VPN等硬件业务模块，实现2-7层的全面安全。强大的攻击防范能力 能防御DoS/DDoS攻击（如CC、SYN flood、DNS Query Flood、SYN Flood、UDP Flood等）、ARP欺骗攻

19、击、TCP报文标志位不合法攻击、Large ICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击，同时支持黑名单、MAC绑定、内容过滤等先进功能。增强型状态安全过滤 支持基础、扩展和基于接口的状态检测包过滤技术；支持H3C特有ASPF应用层报文过滤协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对应用层协议的状态监控。丰富的VPN特性 集成IPSec、L2TP、GRE和SSL等多种成熟VPN接入技术，保证移动用户、合作伙伴和分支机构安全、便捷的接入。应用层内容过滤 可以有效的识别网络中各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；支持邮件过滤，

20、提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTP URL和内容过滤。全面NAT应用支持提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。全面的认证服务支持本地用户、RADIUS、TACACS等认证方式，支持基于PKI/CA体系的数字证书（X.509格式）认证功能。支持基于用户身份的管理，实现不同身份的用户拥有不同的命令执行权限，并且支持用户视图分级，对于不同级别的用户赋予不同的管理配置权限。集中管理与审计提供各种日志功能、流量统计和分析功能、各种

21、事件监控和统计功能、邮件告警功能第4章 xx公司网络管理设计计算机网络管理系统是管理网络软件系统。计算机网络管理，收集静态和动态运行信息网络的各个组成部分，在这种对资料的基础上分析，并作出适当处理，以确保网络安全，可靠，高效运行，从而一种网络资源的合理配置动态配置网络负载，优化网络性能，降低网络维护成本。 一般来说，一个典型的网管理系统包括四个要素：管理员，管理代理，管理信息数据库，代理服务设备。 1。管理员。在网络管理实体实施的驻留在管理工作站。这是整个网络系统，复杂的网络管理功能的核心。网络管理系统要求定期管理公司重要的设备信息的收集，所收集的信息将被用于识别个人的网络设备，网络的一部分或

22、整个网络的正常运行。 2。管理代理。网络管理代理的网络设备居民（在这里，该设备可以UNIX工作站，网络打印机，它可以在其他网络设备的软件模块），它可以在本地设备的运行状态，设备的特点，系统配置和其他相关的信息。网络管理代理的作用是：作为管理体制和管理代理软件驻留，通过控制设备管理信息数据库（MIB）的设备之间的一个中介管理中的设备信息。 3。管理信息库。这是管理中的内存管理库中的对象是一个数据库，其中包括网络设备的配置信息的动态更新，数据通信的统计信息，安全信息和设备的特定信息。这一信息被送往经理形成一个动态的数据源网络管理系统。 4。代理设备和管理协议。代理设备在标准的网络管理软件，不直接支

23、持标准协议作为系统之间的桥梁。工程处设备的使用而不用升级整个网络，可以实现从旧到新版本的过渡协议。对于网络管理系统，但重要的是，管理员和管理代理之间的网络管理协议SNMP的使用，例如，他们的共同遵循的MIB库。网络管理协议是用来传递之间的管理员和管理代理操作命令，并为管理员的操作命令负责解释。通过管理协议，允许管理信息库的数据和特定设备的实际状况，经营范围一致的作用。 网络系统的管理功能 标准化组织的ISO / IEC 7498-4文件定义了五个网络管理功能，即配置管理，故障管理，性能管理，计费管理和安全管理。 故障管理：它的主要功能是故障检测，发现，报告，诊断和治疗。由于错误可能导致系统故障

24、或不能接受的网络性能退化，也是标准的网络管理故障管理的元素，是最广泛的实施管理。 配置管理：它的主要功能包括：网络拓扑结构之间的关系，监测和管理网络设备的配置，根据前重建的条件确定的网络，目的是监测网络和系统配置信息，以便跟踪和管理不同软件和网络操作，结果硬件模块。 绩效管理：监控网络的性能数据，阈值检查品种，并自动对当前性能数据，历史数据进行分析。我们的目标是测量和显示网络的各个方面的特点，以便在可接受的水平人民为维护网络的性能。 安全管理：主要是访问网络资源的管理。包括用户验证，权限，审批和网络访问控制（防火墙）等功能。我们的目标是控制访问网络资源，以确保网络不会受到侵犯（意识或无意识），

25、并确保未经授权的用户访问重要信息，与本地安全策略规定。 计费管理：主要是基于会计目的网络资源的使用。我们的目标是衡量网络的利用率，使一个或一组用户按照一定的规则，使用网络资源，这种规则可以减少网络的问题（因为网络资源得到合理的根据其能力的大小分配），也可以访问网络上的所有用户更公平。 其中5个都相互独立的基本功能，而且有不可分割的联系。在这些网络管理功能，故障管理是整个网络管理的核心，配置管理是所有管理职能的基础上，其他管理职能需要配置管理信息的使用，性能管理，安全管理，会计管理，相对上有更大的独立性，特别是在会计管理，由于不同的申请单元有一个非常不同的收费政策，收费应用程序开发环境也不同，因

26、此，计费管理应用，但总体上，在专业发展的实际情况为基础。 第5章 网络系统安全设计由于网络的开放性和网络技术的发展，网络安全本身已经成为一个与时间和技术相关动态的概念。针对传统安全模型的缺陷和不足，有关公司提出了一个极具创意的，能够自我不断完善、不断发展、自我适应能力极强的崭新的网络安全模型-P2DR安全模型，xx公司这次网络系统安全的实施就准备基于这个模型。5.1 安全模型（P2DR模型）P2DR方案是一个超前的安全模型，它是在对国际上安全方面可靠的权威著作进行多年研究的基础上独自发展出来的。它的指导思想比传统安全方案有突破性提高。P2DR模型如图所示：Policy策略、Protection

27、防护、Detection检测和Response响应组成的完整模型体系，可以描述和解释任何信息安全问题。P2DR安全模型的特点就是动态性和基于时间的特性，可以说对信息安全的“相对性”给予了更好地描述：虽然没有100%的安全，但是模型为进一步解决信息安全技术问题提供了有益的方法和方向。Policy(安全策略)-安全策略是P2DR安全模型的核心，要想实施动态网络安全模型，必须首先制定企业的安全策略，所有的防护、检测、响应都是依据安全策略实施的，企业安全策略为安全管理提供管理方向和支持手段。Protection（保护）-保护通常是通过采用一些传统的静态安全技术及方法来实现的，主要有防火墙、加密、认证等

28、方法。通过防火墙监视限制进出网络的数据包，可以防范外对内及内对外的非法访问，提高了网络的防护能力，当然需要根据安全策略制定合理的防火墙策略；也可以利用SecureID这种一次性口令的方法来增加系统的安全性等等。Detection（检测）-在P2DR模型，检测是非常重要的一个环节，检测是动态响应的依据，它也是强制落实安全策略的有力工具，通过不断地检测和监控网络和系统，来发现新的威胁和弱点，通过循环反馈来及时作出有效的响应。-检测主要包括“漏洞检测”和“入侵检测”两个部分。Response（响应）-紧急响应在安全系统中占有最重要得地位，是解决安全潜在性最有效的办法。在检测到安全漏洞和安全事件之后必

29、须及时做出正确的响应，从而把系统调整到安全状态。从某种意义上讲，安全问题就是要解决紧急响应和异常处理问题。要解决好紧急响应问题，就要制订好紧急响应的方案，做好紧急响应方案中的一切准备工作。总之，一个信息安全方案必须对安全策略、安全防护、安全检测和安全响应有准确和完整的描述。值得强调的是，P2DR安全模型已被正式收录进人民银行的安全蓝皮书：国家金融信息系统安全总体纲要 - 1999.125.2 xx公司网络系统总体安全体系5.2.1 安全策略设计 1、安全策略描述原则 由于数据传输的安全性关系到xx公司的服务质量和信誉保证，关系到客户的切身利益，因此在制定安全策略时，要加强对数据传输的限制，即只

30、有表示为允许的才可以进行传输这一原则来加强对网络安全的限制。 2、具体安全策略 xx公司安全策略应该包括：用户管理、职责划分、安全管理、安全评估、安全监控、紧急响应、异常处理、授权操作、恢复策略以及跟踪审计等5.2.2 总体安全体系的规定网络系统的安全从体系结构上来看应该是一个多层次、多方面的结构。通过对xx公司网络所面临的安全状况的分析，可将整个xx公司网络的安全性在总体结构上划分为四个级别：网络级安全、应用级安全、系统级安全和企业级安全。司网络系统安全体系架构网络级安全系统级安全应用级安全企业级安全安全管理制度审计病毒防范加密数字签名身份认证安全漏洞检测安全监控访问控制VLAN划分VPN数

31、据包过滤安全级别安全手段网络级安全是指在网络的下三层(物理层、链路层、网络层)采取各种安全措施来保障整个xx公司网络的安全，包括数据包过滤、VPN虚拟私有网、VLAN的划分、访问控制、身份认证、数据包加密传输、安全审计、安全监控和安全漏洞检测等应用级安全是指通过利用xx公司网络中各大应用系统（如办公自动化系统、财会清算系统、人力资源系统及三维等等）和大型关系型数据库自身的安全机制，在应用层保证对xx公司网络中各种应用系统的信息访问合法性；系统级安全主要是通过对操作系统(UNIX、NT)的安全设置，防止利用操作系统的安全漏洞对整个xx公司网络构成安全威胁；企业级安全主要是从xx公司范围内的安全管

32、理和计算机病毒防范两方面来保障整个xx公司网络的安全。此次网络改造我们主要对网络级安全加以设计。5.3 xx公司网络级安全设计可适应性网络安全由四个集成的方案组成。第一，端对端的网络安全要求持续的、综合的安全评估，通过自动的基于网络的和基于主机的扫描技术实现；第二，对安全弱点的响应通过已建立的安全策略中相关的安全漏洞来衡量。更正动作很容易获得并迅速实现。另外，基于网络和主机的实时入侵检测提供对内部攻击、外部攻击和误操作的实时保护。最后，对安全威胁的网络自动更正包括主动中断连接和网络设备的重新配置。网络安全的程度必然是动态变化的，所以网络安全不可能是一个静态的结果，需随着网络环境的变化，并综合各

33、种可能的影响安全的因素来制订整个网络的安全策略对于系统安全设计，一定要充分考虑整个xx公司网络系统的实际需求和网络现状，以xx公司网络与外部的连接作为安全设计的重点，可通过以下措施来从网络物理层一直到应用层保证整个网络系统的安全使用。5.3.1 局域网安全设计由于局域网中采用广播方式，因此，若在某个广播域中可以侦听到所有的信息包，黑客就可以对信息包进行分析，那么本广播域的信息传递都会暴露在黑客面前。xx公司局域网在空间分布上是城域范围的，局域网的安全必须认真考虑，局域网安全主要有采取VLAN划分以及利用安全软件对局域网进行扫描。划分VLAN虚拟网（VLAN）技术主要基于近年发展的局域网交换技术

34、（ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。以太网从本质上基于广播机制，但应用了交换机和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。由以上运行机制带来的网络安全的好处是显而易见的：信息只到达应该到达的地点。因此，防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是，虚拟网技术也带来了新的问题：执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。基于网络广播原理的入MAC的

35、VLAN不能防止MAC欺骗攻击。采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分最好基于交换机。但这要求整个网络桌面使用交换端口或每个交换机所在的网段机器均属于相同的VLAN。VLAN的划分方式的目的是保证系统的安全性。因此，可以按照系统的安全性来划分VLAN：可以将总部中的服务器系统单独划作一个VLAN，如数据库服务器、电子邮件服务器等。也可以按照机构的设置来划分VLAN， VLAN之内的连接采用交换技术实现，VLAN与VLAN之间采用策略路由来控制数据传输。在xx公司局域网在安全设计时将采取上述两种划分VLAN的策略来保证系统的安全性。第四章 设备清单造价设备清

36、单及造价型号参数数量单位单价小计备注核心交换机LS-S5600-26F 24 GE SFP24 GE SFP,4个combo 10/100/10001000Base-T,自带两个堆叠口,1个模块插槽RT-MPUF-H31台主控模块H3C MSR 502GE (Combo), 4SIC,256F/512D并配 LIS-MSR50-STANDARD-H3软件进行管理1块防火墙H3C SecPath F1000-C-AC1台接入交换机H3C S3100-26TP-SI 2台SFP-GE-LX-SM1310光模块-SFP-GE-单模模块(1310nm,10km,LC)15个数量根据需要调整分支交换机1H3C S3100-26TP-SI交换机1台数量根据需要调整分支交换机2H3C S3100-52TP-SI2台分支交换机3S3100-52TP-SI1台数量根据需要调整分交换4S3100-52TP-SI1台光纤设备单模12芯光纤5000米数量根据需要定光纤配线架24口SC光纤配线架4个24口光端盒4个SC-LC单模跳线对SC-SC单模尾纤对SC-SC单模耦合器个