某公司网络方案设计-计算机网络技术毕业论文.doc

《某公司网络方案设计-计算机网络技术毕业论文.doc》由会员分享，可在线阅读，更多相关《某公司网络方案设计-计算机网络技术毕业论文.doc（34页珍藏版）》请在咨信网上搜索。

xx电子信息职业技术学院 毕 业 设 计 课题名称 北京康科达成公司网络方案设计 姓 名 学 号 班 级 网络S14-2 专 业 计算机网络技术 所 在 系 网络技术系 指导教师 完成日期 2017.1.15 天津电子信息职业技术学院 毕业设计（论文）任务书 课题名称：北京康科达成公司网络方案设计 完成期限：2016年 10月24日至2017年1月4日 姓 名 指导教师 专 业 计算机网络技术 职 称 副教授 所在系 网络技术系 系 主 任 一、原始依据（资料）：  北京康科达成发展科技有限公司是一家小型的企业，公司的全部信息点位总共有30个，鉴于公司未来的发展需求，信息点位上升可达到100个，此外还有为公司员工提供无线网络的全覆盖。 二、设计（论文）内容和要求： 设计内容： 1.了解客户的对网络的实际需求 2.根据公司的实际情况设计网络拓扑 3.为公司进行无线网络全覆盖的设计 4.对企业网络安全设计防护措施 设计要求： 1、可靠性──系统具备网络诊断、测试和在线故障恢复能力，关键设备、线路能做到实时备份和自动故障切。 2、标准化──网络技术发展迅速，不能盲目求新，必须以符合国际标准为准则，选择技术已经成熟、标准化的产品，这是保护投资、易于维护的基础。 3、扩展能力──充分考虑到目前的业务需求和今后长时间内业务发展的需要，系统可方便地实现升级。 三、建议查阅的技术资料： [1]谢希仁．《计算机网络》．电子工业出版社，2003 [2]董宇峰．《计算机网络技术基础》．清华大学出版社，2010 [3]李利军，韩小琴．《中小企业网络管理员实战指南》．科学出版社，2008 [4]黄治虎，伍技祥．《交换机/路由器的配置和管理》．清华大学出版社，2005 [5]雷建军．《计算机网络实用技术》．北京：中国水利水电出版社，2003 [6] 雷震甲网络工程师教程北京 清华大学出版社2008 [7] 谢希仁计算机网络9.1第339页北京 电子工业出版社2008 [8] LawrenceBerkeley TCP/IP协议详解卷1 北京 2000年 [9] 斯托林斯著 网络安全基础 北京 机械工程出版社2001 [10]王风茂．《计算机网络技术》．大连理工大学出版社，2009 [11]张殿明．《网络工程规划与设计》．清华大学出版社，2010 天津电子信息职业技术学院 页号（1） 毕业设计（论文）进度计划表 序号 起止日期 计划完成内容 实际完成内容 检查日期 检查人签字 1 2016.10.24—2016.10.28 确定毕业设计题目，完成开题报告 2 10.29-11.11 搜集资料、数据，熟悉课题，确定设计方案 3 11.12—12.4 系统设计阶段，进行相应的资料整理工作 4 12.5—12.24 完成总体设计，论文初稿完成。修改、论文定稿，制作毕业答辩ppt 5 2016.12.25—2017.1.4 准备论文答辩 6 7 系毕业设计（论文）领导小组审阅意见： 系主任签字： 2016年10月28日 天津电子信息职业技术学院 页号（2） 注：1.本任务书由指导教师填写。 2.签字部分用笔填写,其余各项均要求打印。（宋体、小4号字） 毕业设计（论文）开题报告 毕业设计（论文）题目 北京康科达成公司网络方案设计 学生姓名 任成栋 系别 网络技术系 专业、班级 计算机网络技术S14-2班 指导教师 xx 职称 副教授 工作单位 天津电子信息职业技术学院 指导教师 职称 工作单位 实践地点 xx电子信息职业技术学院 交表日期 2016年10月28日 毕业设计(论文)开题报告内容要求： ①课题的意义、现状及发展趋势。 ②课题的研究内容、研究方法、研究手段、研究步骤。 ③课题所需的参考书目等。 注：开题报告占毕业设计(论文)总成绩的10% 。 ①课题的意义、现状及发展趋势。 信息化浪潮风起云涌的今天，公司内部网络的建设已经成为提升企业核心竞争力的关键因素，公司网已经越来越多的被人们提到。利用网络技术，现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。这在今天所有的公司都必须具有自己的企业网络，而且通过网络办公也变得越来普遍，公司的财务系统，考勤系统，以及综合业绩的考核都是通过网络进行的，公司的人员外出办公需要时刻的连接进企业的网络中来进行办公。 ②课题的研究内容、研究方法、研究手段、研究步骤。 研究内容： 1.企业网络的整体规划 2.ip地址的规划 3.核心，接入及网络出口的设计 4.无线网络的覆盖 5.上网认证 6.上网策略的设计 7.网络安全的防护 天津电子信息职业技术学院 页号（1） 研究手段: 1、完成对组建企业网络的相关分析（背景分析，需求分析，性能）； 2、完成组建企业网络的物理拓扑和逻辑拓扑； 3、完成企业网络的设备的选型 4、完成企业网络的布置和实施 5、无线网络服务应用在企业网络的设计以及实施 研究步骤： 第一步: 企业无线网络需求分析、无线网的设计目标、网络设计原则、企业网络现状拓扑分析、无线网络设计方案说明、网络整体拓扑； 第二步： 网络整体设计说明：网络现状分析、网络方案设计、网络地勘、企业边缘设计、无线优化、员工网络设计、Portal认证规划、网络安全分析、无线网络安全部署。 第三步： 针对网络现状，增加无线网络覆盖，针对各个办公场所、无线员工和访客并进行测试和优化。 ③课题所需的参考书目等。 1、谢希仁．《计算机网络》．电子工业出版社，2003 2、董宇峰．《计算机网络技术基础》．清华大学出版社，2010 3、李利军，韩小琴．《中小企业网络管理员实战指南》．科学出版社，2008 4、黄治虎，伍技祥．《交换机/路由器的配置和管理》．清华大学出版社，2005 5、雷建军．《计算机网络实用技术》．北京：中国水利水电出版社，2003 指导教师审核意见： 签字： 2016年10月28日 系毕业设计（论文）领导小组审阅意见： 系主任签字： 2016年10月28日 天津电子信息职业技术学院 页号（2） 注：本报告由学生本人填写（打印、宋体、小4号字）。 毕 业 设 计（论 文） 系别 网络技术系 专业班级 姓名 班级学号 毕业设计（论文）题目： 北京康科达成公司网络方案设计 毕业设计（论文）评语： 任务明确；方案论证有理有据、科学合理；有文献综述，进程计划安排恰当、周密。能按照进程计划进行设计并较好的完成系统分析和系统设计，文档规范。方案设计正确，数据计算、处理准确，能综合运用专业基础理论分析、解决设计中的问题，观点正确、论据充分；有独到的见解和创新。论文（含功能、流程图等）结构完整，文理通顺，层次清楚，语言流畅，绘图正确、规范。答辩中报告清楚，逻辑性强，分析论证能力强，能正确运用所学专业基础知识和专业理论回答所提出的问题，理论联系能力强，有创新意识。态度表现好。 指导教师签字： 2017 年1月4日 毕业设计（论文）总评成绩： 系主任签字： 2017年1月4日 天津电子信息职业技术学院教务处 天津电子信息职业技术学院 毕业论文 题目 北京康科达成公司网络方案设计 姓 名 专业班级 指导教师 完成时间 2017年1月 xx电子信息职业技术学院 制 2017.1 摘要：企业局域网对企业内部各部门进行管理。通过先进的管理手段，能够对局域网内所有工作的计算机进行控制管理。企业局域网规划与组建为企业综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个部门。而企业网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设计课题将主要以小型局域网络建设过程用到的实施方案为设计方向,以使整个设计更加完美，为企业局域网建设提供理论依据指导。  关键词：规划与组建 网络管理 局域网 目录 第一章 需求分析 1 一、项目背景 1 二、需求分析 1 三．设计原则 1 四、实现目标 2 第二章 方案设计 2 一、网络拓扑的设计 2 二、网络接口的ip地址规划 3 三、ip地址以及VLAN的规划 3 四、网络核心层设计 4 五、接入层设计 9 六、无线网络的设计 10 七、网络出口设计 13 第三章 网络安全及优化 17 一、设置组织结构 17 二、用户名密码设置 18 三、上网策略的设置 20 四、审计配置 20 五、防火墙的设置 21 六、添加信任端口 21 总结 21 参考文献 22 第一章 需求分析 一、项目背景 信息化浪潮风起云涌的今天，公司内部网络的建设已经成为提升企业核心竞争力的关键因素，公司网已经越来越多的被人们提到。利用网络技术，现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。这直接非关系到公司能否获得关键的竞争优势。近年来越来越多的公司都在加快构建自身的信息化网络，为了适应业务的发展和国际化的需要，积极参与国家信息化进程，提高管理水平，展现全新的形象。北京康科达成发展有限公司决定自身的网络发展升级，将原先的网络彻底改造，升级成能够满足未来十年的互联网发展需求。 二、需求分析 1、北京康科达成发展有限公司有领导，财务部门，人事部门，商务部门，销售部门，以及技术部门六个部门。分别拥有3,2,1,5,6,12台计算机，现实现每个人在企业内部的网络带宽达到100Mb/s。 2、实现领导，人事部门，商务部门，销售部门，技术部门五个部门可以互相通信，财务部门不能与其他部门通信。 3、实现六个部门都可以用公司打印机打印公司文件。 4、公司内部网络与互联网的网络接入达到100Mb/s. 5、实现公司内部无线网络的全覆盖，并且有将员工和外来访客分隔开。外来访客无需认证就可上网。 6、外部人员可以通过互联网来访问公司的服务器网站。 7、为保证安全，所有员工上网都需通过实名制认证后才可以上网，并且对其上网行为进行审计。 8、不允许员工在上班期间访问与工作无关的内容（领导除外） 三．设计原则 1、可靠性──系统具备网络诊断、测试和在线故障恢复能力，关键设备、线路能做到实时备份和自动故障切。 2、标准化──网络技术发展迅速，不能盲目求新，必须以符合国际标准为准则，选择技术已经成熟、标准化的产品，这是保护投资、易于维护的基础。 3、扩展能力──充分考虑到目前的业务需求和今后长时间内业务发展的需要，系统可方便地实现升级。 4、开放性──网络体系结构与系统应用各自独立，与服务器、工作站的操作模式无关，支持各种通讯协议，各种数据库和客户机/服务器以及Internet/Intranet的应用，并能方便地和其它机构、企业的主机和网络互连通讯灵活性──拓扑结构必须灵活，便于进行网络的管理和调整。 5、可维护性──网络系统便于管理和维护，配置功能强大的网络管理系统，实现集中维护和检测。严密的安全控制和保密性能──系统提供必要的安全保护手段，防止由于操作人员的失误以及系统的意外故障而造成数据丢失或破坏；同时能防止系统外部的侵入和操作人员的非法操作，系统的信息安全性要求达到C2级标准。 6、经济性──一次性投资，长年受益，维护费用低，使整体性价比达到最优。先进性──支持任务优先级的划分，具有适当的多媒体应用支持。 四、实现目标 在统一思想、统一信息交换标准、统一技术规范的原则下，系统达到以下目标：  ◆为各办公室提供宽带网络支持  ◆提供公用信息交换平台   ◆提供日常工作的处理网络化、电子化的日常办公自动化环境  ◆电子档案的信息查询，提供先进和更多的服务手段, 提高效率和质量 ◆为调控、科学决策提供有力的支持;   ◆为内部网提供有力的技术保障，增加内部系统的安全性   第二章 方案设计 一、网络拓扑的设计 北京康科达成发展科技有限公司是一家小型的企业，公司的全部信息点位总共有30个，鉴于公司未来的发展需求，信息点位上升可达到100个，所以企业网络内部才用二层结构即核心层和汇聚层。网络出口采用两台深信服上网行为管理设备。公司内部做到无线网络的全面覆盖，所以采用AC+无线AP的模式覆盖全公司。现网络拓扑结构设计如下： · 图2-1 二、网络接口的ip地址规划 网络接口 Ip地址 深信服ETH1 172.16.98.1/29 核心交换机F0/99 172.16.98.2/29 三、ip地址以及VLAN的规划 四、网络核心层设计 （一）设备选型 核心层设备选择H3C的S5130HI系列交换机。此系列的设备具有一下特点： 部门 VLAN Ip地址 领导 VLAN10 172.16.10.0/24 财务部 VLAN20 172.16.20.0/24 人事部 VLAN30 172.16.30.0/24 商务部 VLAN40 172.16.40.0/24 销售部 VLAN50 172.16.50.0/24 技术部 VLAN60 172.16.60.0/24 服务器 VLAN99 172.16.99.0/24 无线控制器 VLAN100 172.16.100.0/24 无线SSID员工 VLAN150 172.16.150.0/24 无线SSID访客 VLAN200 172.16.200.0/24 1、MACsec硬件加密 Macsec是一种非常适合于以太网的Hop by Hop的链路层安全协议，它实现如下三个功能： （1） 报文加密：通过加密算法和密钥，将明文变成乱码的密文，即使被窃听也难以解密。 （2） 防重放攻击：防止黑客截获目的主机接收的报文，再次发送给目的主机，达到欺骗目的主机的目的，比如身份认证。 （3） 防篡改：防止黑客随意篡改原始报文内容，实现不可告人的目的。 macsec的实现分两种模式： （1）面向主机模式：用于终端接入网络的第一跳保护。 （2）面向设备模式:用户设备之间互联链路的保护。 2、多重可靠性保护 S5130-HI系列交换机具备设备级和链路级的多重可靠性保护。S5130-HI系列交换机，支持可插拔交、直双电源模块、以及可插拔双风扇可靠性设计，可以根据实际环境的需要灵活配置交流或直流电源模块，此外整机还支持电源和风扇的故障检测及告警，可以根据温度的变化自动调节风扇的转速，这些设计使设备具备了更高的可靠性。除了设备级可靠性以外，该产品还支持丰富的链路级可靠性技术。此外还具有这LACP/STP/RSTP/MSTP/Smart Link/RRPP快速环网保护机制等保护协议，支持IRF2智能弹性架构，支持1：N冗余备份，支持环形堆叠，支持跨设备的链路聚合，极大提高网络可靠性，当网络上承载多业务、大流量的时候也不影响网络的收敛时间，保证业务的正常开展 3、丰富的QoS策略 H3C S5130-HI系列交换机支持支持L2（Layer 2）~L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR、WFQ、WDRR五种模式。支持CAR（Committed Access Rate）功能，粒度最小达8Kbps。支持出、入两个方向的端口镜像，用于对指定端口上的报文进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。增强的以太网供电能力（PoE+）H3C S5130-HI系列交换机支持802.3af/802.3at增强的以太网供电功能，单端口最大30W的输出功率，可以为802.11n的无线接入点，可视IP电话，大功率的监控摄像头以及更多的终端设备提供以太网供电能力。 图2-2 （二）配置功能 1、VLAN划分 VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段一样，由此得名虚拟局域网。VLAN是一种比较新的技术，它工作在TCP/ip第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器完成的。与传统的比较，VLAN技术更加灵活，它具有以下优点： 网络设备的移动、添加和修改的管理开销减少；可以控制广播活动，可提高安全性。 在核心交换机中，根据部门来划分8个VLAN。 2、ACL访问控制列表 访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。配置ACL后，可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等。如可以配置ACL，禁止局域网内的设备访问外部公共网络，或者只能使用FTP服务。ACL既可以在路由器上配置，也可以在具有ACL功能的业务软件上进行配置。ACL是物联网中保障系统安全性的重要技术，在设备硬件层安全基础上，通过对在软件层面对设备间通信进行访问控制，使用可编程方法指定访问规则，防止非法设备破坏系统安全，非法获取系统数据。 根据要求公司中的其他部门不能够去访问财务部门的电脑，所以根据访问控制列表禁止其他部门去访问。 3、SVI配置 一个交换机虚拟接口（Switch Virtual Interface，SVI）代表一个由交换端口构成的VLAN（其实就是通常所说的VLAN接口），以便于实现系统中路由和桥接的功能。一个交换机虚拟接口对应一个VLAN，当需要路由虚拟局域网之间的流量或桥接VLAN之间不可路由的协议，以及提供IP主机到交换机的连接的时候，就需要为相应的虚拟局域网配置相应的交换机虚拟接口，其实SVI就是指通常所说的VLAN接口，只不过它是虚拟的，用于连接整个VLAN，所以通常也把这种接口称为逻辑三层接口，也是三层接口。SVI接口是当在interface vlan全局配置命令后面键入具体的VLAN ID时创建的。可以用no interface vlan vlan_id全局配置命令来删除对应的SVI接口，只是不能删除VLAN 1的SVI接口（VLAN 1），因为VLAN 1接口是默认已创建的，用于远程交换机管理。 由于企业网络采用的二层结构，接入层+核心层结构，所有主机的网关都放在核心层，所以用SVI技术。 VLAN Ip地址 VLAN10 172.16.10.254/24 VLAN20 172.16.20.254/24 VLAN30 172.16.30.254/24 VLAN40 172.16.40.254/24 VLAN50 172.16.50.254/24 VLAN60 172.16.60.254/24 VLAN150 172.16.150.254/24 VLAN200 172.16.200.254/24 4、DHCP地址池配置 DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）通常被应用在大型的局域网络环境中，主要作用是集中的管理、分配IP地址，使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息，并能够提升地址的使用率。 DHCP协议采用客户端/服务器模型，主机地址的动态分配任务由网络主机驱动。当DHCP服务器接收到来自网络主机申请地址的信息时，才会向网络主机发送相关的地址配置等信息，以实现网络主机地址信息的动态配置。DHCP具有以下功能： ◆保证任何IP地址在同一时刻只能由一台DHCP客户机所使用。 ◆DHCP应当可以给用户分配永久固定的IP地址。 ◆DHCP应当可以同用其他方法获得IP地址主机共存（如手工配置IP地址的主机）。 ◆DHCP服务器向现有的BOOTP提供服务。 为了做到ip地址的统一规划，以及ip地址的合理的应用，所以在核心交换机上配置DHCP地址池，并且每一个VLAN配置单独的地址池。 5、链路聚合 链路聚合（Link Aggregation），是指将多个物理端口捆绑在一起，成为一个逻辑端口，以实现出/ 入流量在各成员端口中的负荷分担，交换机根据用户配置的端口负荷分担策略决定报文从哪一个成员端口发送到对端的交换机。当交换机检测到其中一个成员端口的链路发生故障时，就停止在此端口上发送报文，并根据负荷分担策略在剩下链路中重新计算报文发送的端口，故障端口恢复后再次重新计算报文发送端口。链路聚合在增加链路带宽、实现链路传输弹性和冗余等方面是一项很重要的技术。 由于核心交换机和接入层交换机采用双链路链接，为了能够扩大带宽，所以将两条链路进行链路聚合，也能够达到链路的冗余。 6、默认路由 默认路由是一种特殊的静态路由，指的是当路由表中与包的目的地址之间没有匹配的表项时路由器能够做出的选择。如果没有默认路由，那么目的地址在路由表中没有匹配表项的包将被丢弃· 默认路由在某些时候非常有效，当存在末梢网络时，默认路由会大大简化路由器的配置，减轻管理员的工作负担，提高网络性能 在核心交换机上配置一条默认路由，当所有主机上网时通过这条默认路由出去，下一跳指向深信服设备的ETH1接口的ip地址。 （五）双绞线的选择 核心层与接入层交换机之间的链路选择1000Mb/s的双绞线。 图2-3 接入层和主机连接的链路选择100Mb/s的双绞线。 图2-4 五、接入层设计 （一）设备选型 接入层选择48口H3C的S5120-58C-HI交换机，此设备的特点有： 1、多重可靠性保护 S5120-HI系列交换机具备设备级和链路级的多重可靠性保护。硬件支持可插拔交、直流双电源并支持过流保护、过压保护和过热保护技术。支持电源和风扇的故障检测及告警，可以根据温度的变化自动调节风扇的转速。S5120-52SC/28SC-HI还支持可插拔的风扇模块，支持灵活的可调风道，这些设计使S5120HI具备了数据中心级的高可靠性。 2、绿色环保设计 S5120-HI采用绿色节能设计。支持空端口auto-power-down，如果在一段时间内接口状态始终为down，则系统自动停止对该接口供电，自动进入节能模式。支持一键节能模式，通过控制设备上指示灯亮/灭以及端口节能状态降低能耗。支持EEE节能功能，端口如果在连续一段时间之内空闲，系统会将该端口设置为节能模式，当有报文收发时再通过定时发送的监听码流唤醒端口恢复业务，达到节能的效果。 图2-5 （二）配置功能 1、VLAN配置 在接入层的三台交换机上配置VLAN，在每一台接入层交换机上配置VLAN10，30,40,50,60,99这六个VLAN。方便除了财务部门外的其他部门能够自由的互相访问。 2、链路聚合 三台接入层交换和核心设备采用双联路链接，为了能够扩大带宽，将两条链路进行聚合。 六、无线网络的设计 为了以后无线网络的发展和公司规模的不断扩大以及更好的管理无线网络，无线网络的模式才有无线控制器+瘦AP的模式。 （一）设备选型 无线网络的无线控制器选择星锐的阳光系列的NAC-6150，此设备的特点是： 1、认证方式多样 微信认证（微信连WiFi），短信认证，二维码审核认证，MAC+Web认证，APP认证，WAPI认证，Portal认证，802.1x认证，CA证书认证。 2、安全控制策略 支持用户/终端MAC绑定及终端用户隔离，支持上网行为管理/行为审计支持终端识别/应用识别/URL地址识别，支持防钓鱼/防蹭网，支持WIPS/WIDS 3、无线的优化 智能广播提速，ARP转单播，防终端拖滞/粘滞，高密场景负载均衡，电子书包场景优化，禁止低速率终端接入，禁止DHCP请求发往无线终端。 图2-6 无线AP的选择是星锐的双频的NAP-2600。 图2-7 （二）配置功能 1.将星锐的无线控制器的模式配置成为本地转发模式。 图2-8 本地转发： 利用瘦AP本地转发方式进行大规模组网，可以完全代替目前主要采用的集中转发方式，在本地转发方式下，网管、安全 、认证、漫游、QOS、负载均衡、流控、二层隔离等功能还是由AC统一控制，再由AP具体实施；只是业务数据不通过隧道传送到AC，再经由AC解封后统一转发，而是由AP本地转发。 此组网方式的优势主要体现在，将业务数据转发任务分散到AP，降低AC压力，轻松应对带宽挑战，彻底解决AC瓶颈问题，提高网络整体吞吐率，顺利迎接11n时代。 集中转发： 集中转发组网，AP和AC之间单独建立一条隧道传输数据业务，所有的数据业务都通过AC转发出去，所以AC的负荷比较大。 集中转发所有的数据包都要走隧道，所以对链路的带宽要求较高，并且对AC接口的带宽要求也较高。由于集中转发的数据包要封装到隧道里再转发走，所以对AC的CPU消耗比本地转发更大。 由于对带宽要求较高，所以集中转发的AC可管理的AP数量也会受到一定限制。这样对于规模较大的网络或者有备份要求的项目，会增加成本。 此外，当隧道转发出现不通或者丢包现象时，查找网络故障难度比本地转发高。 集中转发的优点是对于现网改动较小。 因此，所有的用户用无线ID连接到企业的内网中，所有的访问的流量通过核心交换机直接出去，不经过无线控制器，无线控制器只提供无线AP的管理功能。 配置无线控制器的本地转发模式的优点是：减小核心交换机的压力，减小无线NAC的转发压力，增加无线用户的上网速度。所有无线用户的无线认证的账户名和密码都由出口的深信服设备完成。 （二）AP的IP地址规划 设备 Ip地址 NAC 172.16.100.1/24 AP1 172.16.100.2/24 AP2 172.16.100.3/24 AP3 172.16.100.4/24 （三）无线SSID的规划 无线类型 无线名称（SSID） 无线员工 Kangke—Office 无线访客 Kangke—Guest （四）无线信道的优化 1、频率的选择 无线AP中选择频率是2.4GHZ的频率，因为公司内部有多间办公室，每间办公室都有隔墙。2.4G 穿透性好 传输距离近，5G穿透性差 传输距离远2.4G频段室内环境中抗衰减能力强，劣势是许多设备用的都是2.4GHz，所以干扰很多，不能保障足够的稳定性。对于802.11a来说，它用的是5GHz，包含了UNII的三个频段，从5.1～5.8GHz都有覆盖；这个频段最大的优势是目前应用较少，很多国家都是需要申请许可的，所以干扰非常小，能保障传输的质量；但是缺点也很明显，室内的抗衰减能力弱，隔个几堵墙也许就歇菜了。 2、无线信道的选择 信道是对无线通信中发送端和接收端之间通路的一种形象比喻，对于无线电波而言，它从发送端传送到接收端，其间并没有一个有形的连接，它的传播路径也有可能不只一条，我们为了形象地描述发送端与接收端之间的工作，可以想象两者之间有一个看不见的道路衔接，把这条衔接通路称为信道。信道容量可以表示为单位时间内可传输的二进制位的位数（称信道的数据传输速率，位速率），以位/秒（b/s）形式予以表示，简记为bps。信道带宽是限定允许通过该信道的信号下限频率和上限频率，可以理解为一个频率通带。比如一个信道允许的通带为1.5kHz至15kHz，则其带宽为13.5kHz， 图2-9 为了优化公司无线网络，不让无线AP发生信道冲突，所以所有的AP的信道选择1，6,11三种信道。 七、网络出口设计 （一）拓扑设计 图2-10 （二）设备选型 1、深信服上网行为管理设备 深信服上网行为管理选择的是1200型号的设备。 图2-11 设备的特性： （1）控制功能：细致的访问控制，有效管理用户上网  对于内网用户的网页访问行为，AC不仅通过内置URL库，关键字过滤等方式进行管控。对于采用SSL加密的网页，如钓鱼网站等，AC的证书验证链接黑白名单技术同样可以管控。AC不仅管理用户使用WEB、FTP、EMAIL等常用服务，通过深度内容检测技术，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。SINFOR AC具有国内最大的应用协议识别库。  针对目前P2P行为泛滥的趋势，SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。  上网行为的管理必须以识别为基础。SINFOR AC支持本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等），丰富的用户识别方式方便组织的使用。  AC所具备的多种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理要求。 （2）带宽及流量管理功能：强大流量分析及带宽划分与分配  SINFOR AC的多线路复用专利技术使一台AC可同时连接四条公网线路，扩展带宽、互为备份、流量负载均衡。  IT管理者需要详细了解当前带宽资源的使用情况，这可以通过访问AC的数据中心实现，如查看指定时间周期内应用流量分布情况，用户流量分布和排名等。下一步IT管理者就需要对非业务流量如P2P行为等进行带宽限制，对领导的视频会议系统等业务流量需求进行满足，这通过AC智能流量管理系统轻松实现，基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级机制，进行带宽划分和分配，实现带宽资源利用率的最大化 （3）监控与审计功能  谈到安全时多数人只关注外网安全，但其实机构的信息资产更多的是通过内部泄漏的。SINFOR AC关完善的访问审计和监控功能有效防止信息通过Internet泄漏。对邮件类型应用采用深信服“邮件延迟审计”专利技术保证先审计后发送；对于通过Webmail发送邮件，AC全面记录邮件正文和附件等；对于QQ、MSN等聊天内容提供全面记录功能；对于BBS、论坛发帖不仅根据关键字进行过滤，成功发布的内容也能全面记录；内网用户访问的URL地址、网页标题、甚至整个网页内容，AC也能完全监控和记录等。SINFOR AC的访问审计/监控模块为机构构筑了强大的内部安全屏障 （4）报表和检索：直观的上网数据统计、报表和海量日志检索  机构内网用户每天的各种行为日志记录可达数十G，公安部82号令存储至少60天，SINFOR AC通过外置数据中心实现了日志的海量存储。强大的数据中心允许管理者分组、分用户、规则、协议等多种查询对象，按饼图、柱状图、曲线图等方式进行查询，可直观地查看到网络流量、邮件、网络监控、安全日志等详细信息，并可直接打印和导出报表。SINFOR AC网关强大的日志系统和丰富的报表功能，可详细分析出机构的Internet的详细使用情况，为网络管理员和决策者提供了最有效的数据支持。 功能特点：  （1）内置预分类超过800万条的URL库将过滤大部分色情、反动网站，再通过搜索关键字过滤、网页正文关键字过滤等，阻挡“垃圾网站”对内网的感染；AC根据文件扩展名进行过滤，让非法软件、程序无法通过HTTP/FTP下载，避免了“无知用户”被木马、恶意程序等感染的可能。  （2） AC集成来自欧洲领先杀毒厂商F-PORT的杀毒引擎，对经过AC的HTTP、FTP、Email等流量中潜藏的病毒进行查杀，即使是RAR、TAR等压缩包内的病毒也能彻底清除，网关杀毒从源头上清除病毒等威胁。  （3）通过AC的网络准入规则技术，将检测用户电脑的操作系统补丁、杀毒/防火墙软件、病毒库版本、注册表、硬盘文件和后台进程等，只有满足IT部门预设的安全要求的电脑才允许接入Internet，保证内网电脑都及时修补操作系统补丁、安装指定的杀毒和防火墙软件、禁止非法网络程序的运行，不仅修复了内网的安全短板，还让推行统一的IT政策成为可能。  （4） 一旦病毒通过U盘、文件拷贝等方式在内网泛滥，引起DOS攻击，大量发包时，AC的防DOS功能，不仅防范来自内网的DOS，对于来自公网的DOS同样进行防护，隔离病毒和内网DOS攻击点，且避免了内网被控僵尸主机发起攻击导致的法律风险；而泛滥的ARP病毒、ARP欺骗等可能导致整网用户无法连接Internet，也将通过AC的防ARP欺骗功能根除其危害； AC还具备入侵防御功能，对来自公网的超过3000种攻击进行抵御和防护。 除了以上四种措施保障内网安全，AC的上网行为管理功能，能够管理和限制用户的无关网络访问行为，为不同用户差异化分配合适的网络访问权限。 （三）设备连接方式 深信服设备采用双机热备的配置模式，两台设备都连接在一台傻瓜交换机上，傻瓜交换机不做任何的配置，然后两台深信服设备通过心跳线把console口连接起来，配置成双机模式，其中一台为主机，另一台设备是备机，当主机工作是，备机处于监听状态，当主机宕机后，备机会秒切过来，用户完全感受不到断网的感觉。两条设备的配置完全一样，会通过心跳线实时同步配置。两台设备连接在核心交换机上。 （四）上网行为管理配置 1、配置模式 将上网行为管理设备配置为路由模式。 设备以路由模式部署时，AC的工作方式与路由器相当，具备基本的路由转发及NAT功能。一般在客户还没有相应的网关设备，需要将AC做网关使用时