企业网络安全接入方案

企业网络安全接入方案（精选8篇）

篇1：企业网络安全接入方案

安徽邮电职业技术学院

毕 业 设 计（论 文）

题 目： 校园网络设计和宽带接入

姓 名： 江 洁

学 号： JT04521 专 业： 计 算 机 通 信 技 术

指导教师：

王 飞

二○○七 年 五 月

0

目

录

目录……………………………………………………………………………1

摘要……………………………………………………………………………2

第一章校园网络的现状………………………………………………… 2

第二章学校校园网络设计原则……………………………………… 4

2．1校园网总体设计原则…………………………………………………4 2．2校园网方案技术选型…………………………………………………5

第三章校园网络拓扑图…………………………………………………6

3．1校园网络拓扑说明……………………………………………………6 3．2网络设备选型……………………………………………………………6 3．3IP地址和虚拟子网规划设计…………………………………………7

第四章网络安全设计……………………………………………………8

第五章综合布线……………………………………………………………9

第六章校园网整体运行效果…………………………………………9

参考文献……………………………………………………………………10

校园网络设计和宽带接入

摘要：校园网建设的目的是为全校师生提供一个先进、开放实用的计算机网络环境、建网方法遵循“先进性、实用性、经济性、开放行、可靠行、安全性和可扩容性”的原则。根据学校的实际情况，采用整体规划，分步实施的策略。本方案支持向上扩容、高起点、高标准施工，把校园网建设成技术先进、运行可靠、数据丰富、服务一流的校园网络，结果为学校、科研、行政办公和师生的文化生活创造一个良好的信息网络环境。

关键词：校园网络；VLAN技术；资源共享

Abstract:The purpose to set up this campus net is to offer the teachers

and

students

of

“to

be advanced,practical,economical,pubic,dependable,stable,safe and expendable”.According to our school’ s actual condition,we adopt the tactcs of”Plan it in its entitety, implenment it step by step ”.The program support the possibility of adding more functions stsrted from a high standard.Build our campus net to be a net which has advanced technique,depend able running, secure data and excellent service.So that to offer a fine information conditions for our school’s teaching, research,working and the culrure life;and ensure the school of talent training,subject building.1.校园网络的现状

学校现有各类在校学生、教职工2000余名。校内分为图书馆、女生楼、综合楼、教学楼、门诊部、实验楼、教职工宿舍7个区域，我校校园网骨干设备大部分是在多年前购进，技术落后、负载严重，以及汇聚层及接入层交换机质量和数量严重不足，已经严重影响我校网络教学、科研等工作的开展。随着我校学生人数的增加，现有网络设备状况和网络拓扑结构已不能满足日益增长的教学、科研工作对网络环境的需求。其主要表现在：

（1）用户访问网络速度慢：接入层、汇聚层和网络出口等多种原因造成网络用户不能有效利用现有网络带宽；

（2）网络核心交换机及出口防火墙超负荷运行，无法提供稳定、动态冗余的出口链路，很难保证提供稳定高效的网络出口服务；（3）网络结构不合理：由于校园网采用于星型结构,当光纤链路或光接口出现故障时,一些区域不可避免地将中断网络服务；部分区域的网络扩展无法实现。

（4）网络服务质量(QOS)无法控制：不能根据有网络应用级别进行带宽管理，致使重要网络应用的服务质量无法保证；

（5）网络整体安全性较差：以往在校园网的接入层设备为一款可堆叠交换机，性能较好，但无法进行有效的网络安全管理；导致盗用IP地址、利用ARP欺骗、私设代理等情况日益严重。

（6）网络覆盖范围不够：目前校园网络仅覆盖办公区，随着图书馆的扩建、行政办公楼、新学生宿舍楼，以及体育馆的建成，原有规模的校园网设备端口数严重缺乏。

（7）网络管理难度加大：随着接入用户的增加，无论是维护还是管理难度都越来越大，网络设备的维护工作量剧增。

根据此种情况，学校计划在近期进行校园网的改造升级，全面提升校园网整体服务质量。经过这次改造，校园网将会更好地为广大师生提供安全、高效、稳定的网络服务。改造力求满足以下要求：

（1）适应高校的要求：校园网是应用为主的一项基本建设工程，校园网应将其根本目的定位在为教学、科研、管理及生活服务上，以满足学校事业发展为第一目的。

（2）满足轻载的要求：采用高带宽低负载的设计思想，提供更高的稳定性；

（3）技术先进的要求：根据学校的财政状况，不盲目追求设备的先进性，而注重投资的效益,并充分利用先进的网络技术及设备满足师生员工对网络环境的需求，要求所采用的技术及设备具有满足近期校区发展的需求并有较大的升级改造余地；

（4）稳定可靠的要求：根据应用情况，适当增加冗余链路，提高网络可靠性；

（5）健壮安全的要求：利用先进的技术支撑，建立和完善用户管理及入网许可制度，保证适当的人在适当的地点使用适当的网络；

（6）易于管理的要求：校园网建设重要，管理更重要。要管理好校园网，除了网管人员的专业素质和道德水准外，网络的规划和设计、网络设备的选择是非常重要的；

（7）弹性扩展的要求：提供具有多业务网络服务承载能力的网络扩展能力，为今后开展网络教学、无线网络、IP电话、IPTV、视频点播、视频直播、视频会议、IPv6网络应用等服务提供良好的扩展和支撑能力。

（8）健全网络管理：采用统一的网管软件对全网设备进行二十四小时不间断监控，并提供统一的用户管理。

2.学校校园网络设计原则

2．1校园网总体设计原则

本方案遵循“同意规划、分步实施、讲究实效、安全、可靠”的原则，总体设计体现纯净、理性、优雅、现代化的理念。详细设计以图书馆为中心，动静分离，疏密有效，方圆结合，内外有别，互相渗透的手法。

将校园分为七个部分：图书馆、女生楼、综合楼、教学楼、门诊部、实验楼、教职工宿舍。以弹性扩展为原则，使学校网络可持续发展。

结合当今先进的网络技术，建设一个“高性能、易管理、高安全”新一代校园网络。（1）实用性和先进性

注重实用和成效，选择实用支持数据、视像多媒体传输的趁势网络设备、主干设备采用高带宽千兆路由交换技术。（2）标准性与开放性

着眼技术前瞻性，确保构件的网络适应未来若干年的网络发展趋势，系统中的硬件、软件、网络协议和数据库系统都采用与国际标准的开放协议。

（3）稳定性与可靠性

网络通信系统的可靠性、稳定性是系统建设的出发点和归结点，所以在设计方案时，选用的网络设备应具有较高的可靠性和稳定性。

（4）高性能和服务质量（QOS）保障

本网络系统保证QOS，以支持这种应用。全网支持组播路右协议，在IP网络上实现点到点的服务。（5）经济性和可扩容性

选择具备多协议支持能力网络方案，同时具有良好的扩展性和灵活性。在网络规模扩大、对网络性能要求更高的同时，易于对网络规模进行扩充，避免对原有网络投资的浪费。同时在新网络技术得到广泛应用时，可以方便网络升级，并保持技术的兼容性。

（6）可维护性与可管理性

网络系统具有良好的可管理性，具备检测，故障诊断、故障隔离、过滤设置、灵活实现用户级别设置等功能，便于系统的管理和维护。2．2校园网方案技术选型

采用目前最先进的千兆以太网构造校园骨干网络，具体说明如下：（1）网络设计方案完全满足校园网一期工程的功能要求。

（2）主干网采用千兆以太网技术为基础，网络骨干具有双路1000M通信带宽。网络中心千兆以太网交换机、汇聚层交换机和网络接入交换机之间的骨干网络实现1000M的高速网络带宽连接。

（3）通过10/100/1000M以太网技术的无缝连接，灵活提供1000M、100M、10M等多种带宽的网络接入，并完全实现10/100M交换到桌面的高速连接。

（4）骨干交换机具有高速第三层交换和多层路由能力，具有深层包过滤和基于优先的流量控制能力，灵活提供多级别质量、保证QOS。（5）千兆以太网技术设备和协议具有良好兼容性，内联网络系统具有良好的可管理性，对端口、协议、MAC地址和虚拟网络（VLAN）进行及管理。

3.校园网络拓扑图

3．1校园网络拓扑说明

在本期网络建设中，根据实际应用和长远设计，保证整个系统的高效率、实用、和高稳定性。网络拓扑设计为二层结构，光纤跳线通过跳接，接入层交换机直接与核心交换机连接，实现10/100/1000M速率自适应互连，结构单间，有效地提高横体网络设备的转发效率，又能节省项目开支，达到最优性能，同时具有抑制广播风暴和分流核心数据的压力。

3．2网络设备选型

核心交换机选用智能交换机，配置5块接口，可以提供10个光纤千兆接口用来提供多媒体教室、办公室、教学楼、图书馆、电子阅览室、实验楼等工作交换机1000M接受，多余的插槽，方便未来扩展。

接入层，选用CISIO S2950G交换机（配合M2121S光纤接口模块），S2150G是全线速千兆智能交换机，支持802。1P、DSCP，使得QOS特征保障可以延伸桌面。提供二到七层的智能的流分类和完善的QOS特征，实现了端口带宽控制和802。1X接入访问控制，可以实现ACL对二到四层数据流的控制，可以灵活实现各种客户的接入策略。S2150G极高价比为各种网络提供

完善的端到端的服务、丰富的安全设置和优化网管，最大化满足高速、融合、安全的网络要求。在接入层设备上使用堆叠的方式满足需求。

为了保证内部网的安全，在内网和外网之间放置一台放火墙（带路由），以保护校园网络的安全，防止恶意用户的攻击，效果很好。

全网通过交换机自带的图形化界面通过WEB浏览器进行统一管理。全网选择了支持802。1X协议的网络产品，目的是为了保证内网接入的更大安全，今后可以通过配置对内网用户（教学区、行政区、图书馆、宿舍区）实现“网络安全六元素绑定技术”（用户帐号、MAC地址、IP地址、VLAN、交换机IP、交换机端口之间的灵活任意绑定），有效确认用户合法性和唯一性，解决IP地址盗用、IP地址冲突、帐号盗用等问题，能精确的实现，事前审核、事中控制、事后追查的网络整体安全部署。

3．3IP地址和虚拟子网规划设计 3．3．1IP地址规划的原则

IP地址规划依据科学性、系统性、完整性及可扩展性原则。网络IP地址规采用统一的IP地址分配方式，保证IP地址的唯一性。并遵循以下原则：

可扩展性：IP地址规划考虑到学校的业务飞速发展，能够满足未来发展的需要；预留相应的地址段。

唯一性：一个IP网络中不能有两个主机采用相同的IP地址。简单性：地址分配简单、易于管理、简化路由表的款项。

灵活性：IP地址的分配有足够的灵活性，能够满足用户不同的联网需要。

连续性：连续地址在层次结构网络中易于进行路径叠合，缩减路由表，提高路由算法效率。

高效性：IP地址的分配采用VLSM技术，充分合理利用已申请的地址空间，保证IP地址的利用效率，采用CIDR技术，减小路由器路由表的大小，加快路由器路由的收敛速度，减小网络中广播路由信息的大小。

3．3．2IP地址具体规划

IP地址具体规划，根据将来来够申请到多少个CERNER网的C类地址，在结合实际的网络情况进行细分。如果申请到的全IP地址空间有限，以及考虑到将来信息点规模扩展，采用保留私有IP地址空间进行组网。

保留的私有IP地址空间有三块：

（1）10．0．0．0/8，1个A类地址空间；（2）172．16．0．0/12，32个B类地址空间；（3）192．168．0．0/16，256个C类地址空间；

采用192。16。0。0/24私有地址空间共有8160个私有地址空间，足够我校本学期网络的IP地址需求。

3．3．3VLAN具体规划

在校园的整个网络规划当中，VLAN的划分是非常重要的部分，很好的利用VLAN技术的功能，能起到事半功倍的效果。主要突出为以下几点：

（1）VLAN的划分，将广播放在子网中进行，可消除广播风暴产生的条件，因此在多媒体、视频点播中利用VLAN划分可以避免广播风暴。（2）VLAN划分，可以正家网络的安全性，在不同的VLAN之间不能随意通讯，只限与本子网间的通讯，不会对其他的子网产生干扰。要进行访问，需要通过三层交换，这样信息流就得到相当好的控制。（3）网络管理系统采用完全独立的IP子网和VLAN，并建立VLAN和IP子网的对应关系实现更加安全的对所有网络设备进行管理。（4）提高管理效率，实现虚拟的工作组，减少站点的移动和改造开销。（5）VLAN间的子网访问，可以在三层交换机上实现，子网间的通讯也可以在核心交换机实行，分流核心交换机的三层交换机，优化组网。

为了更加便于记忆和管理，我校网络建设中，VLAN编号采用同意的编码规则。

4.网络安全设计

外网通过部署防火墙应金能够很好的控制用户的内部网络和外部INERTNET网络之间的访问，保护内部的关键资源，同时又不会造成网络的瓶颈，还可以爱内部网络的关键接点进行不同的安全区域的分割，建立多层次的安全保护体系。

内网，安全策略利用交换机的MAC地址过滤功能对局域网的访问提供链路层的安全控制。一般来说局域网交换机具有MAC地址过滤功能，通过爱交换机上对没个端口进行配置，可以禁止或允许特定MAC地址的源站点或目的站点，从而实现个站点间的访问控制，另外交换机的端口的安全特性允许对交换机端口连接的设备进行更具体的控制。

5.综合布线

综合布线要求：

（1）备齐设备间以及工作区的所有原装超五类跳线以及电源插座；

（2）产品采用超五类线，其中部分采用国产光纤，楼层机柜安装防盗网，准备光纤熔接箱；（3）要求供应商分配好内部地址；

（4）安装好系统软件和防病毒软件（操作系统用正版2003，防病毒软件也用正版）；

（5）网控中心到综合楼的信息点最多，要求采用四芯光纤用于行政办公，四芯用于行政与实验楼，四个四芯用于四个计算机房，共24芯光纤。

6.校园网整体运行效果

我校校园网建设，按本方案实施，考核多家网络产品，成功建立了一个“高性能、高安全、易管理”的新一代校园网络，目前全网覆盖教学楼、实验楼、办公楼、图书馆、门诊楼，为学校数字化，信息化（多网合一）建设奠定了可靠的硬件平台。全网投入使用稳定，可靠，高质量，高效率。为教学教研、后勤管理、门诊工作、现代办公提供优秀服务，使校园教学信息水平提高到一个新的水平。

参考文献：

《计算机网络》 谢希仁 电子工业出版社 《网络工程师教程》雷震甲 清华大学出版社

《电脑知识与技术》 《电脑知识与技术》杂志社

篇2：企业网络安全接入方案

要做好网络控管，我们必须先从校园内网络架构谈起。一般而言，校园内都有教育网系统，但因为有限的带宽以及校园安全性等等问题，多半各系所或是校园宿舍都会在学术网络之外，再自行建置一条或多条ADSL网络，以用来应付学员更大带宽使用的需求。因此在一般校园网络架构系统中，普遍我们可看到包含教育网以及公众网络两种系统并行。

照理说校园网络比起一般网络应用环境，多出了教育网络系统可以分担上网的流量，因此应该不会有上网速度慢的问题。但根据学生使用经验指出，在校园或宿舍使用网络，不但常常会遭遇到上网慢问题，甚至掉线、病毒攻击等问题也层出不穷。难道带宽还是不够吗？带宽管理没有用吗？究竟学术网络与一般网络应用该如何整合？侠诺科技深圳技术中心主任文浩坚针对校园实际面临到的问题提出校园网络解决方案。其配置与方案特色如下：

图一：侠诺科技校园宽带应用拓朴图

策略路由分流教育网与公众网

校园内由于各个系所与宿舍，所分配到的学术网络一般有限，因此多半会自行接入公众的宽带网络，例如ADSL增加带宽。因此校园网络组织架构由于包含教育网以及公众网络，但如果分别建置各自的路由器，还必须分别进行配发IP与种种管理设定，对于要管理各个系所或是学校宿舍的网管人员来说，可以说是非常繁琐的工作。因此如果能采用多WAN口的路由器，即可将学术网络以及一般网络共同建置在一台路由器上，通过策略路由的设定，让教育网与一般网络各种设定分流，达成化繁为简的目的。

支持多条ADSL接入 取代带宽升级

校园各系所与学生宿舍在学术网络之外再接入的公众网络，都希望以最低的成本增加最大的带宽，光纤固然是大家脑海中浮现的第一选择，但碍于各系所与学生宿舍预算限制，往往不得其行，此时多WAN的路由器，可接入多条ADSL，借助汇聚带宽的作用，让各系所与学生宿舍能够以较低的成本，享受大大的带宽服务。

线路备援机制 稳定网络质量

此外，根据许多学生反应，校园网络仍常常存在网络不稳、或是掉线等问题，而多WAN路由器由于可同时接入多条线路，加上自动备援线路设定，正好可解决此类的问题。配合线路侦测机制，可自由设定ISP断线之后，原本走此线路的流量封包，必需在多久时间内自动切换其它线路，进一步实现网络不断线，保障了稳定的网络质量。

智能带宽管理 有效抑制大量占带者

在接触校园的案件中，我们最常听见学生的抱怨，便是上网速度很慢的问题，对于有实时性需求（例如选课、注册、交作业时）的确是一个很大的困扰，

而当Qno侠诺技术工程师深入了解之后，发现经常因为某些学生正在下载BT、P2P或者其它视频影音……，而导致大量占用了整体带宽所导致卡网的问题，对于这样的情况，增加再多的带宽还是不够用的!

要解决这个问题，就要进行带宽管理。但由于网络普及以及日趋繁杂应用，一般的带宽管理QoS功能突显了两大弊病。第一是无法有效抑制大量占带者：网管人员必须进行手动的一一查找，才可找出大量占带者的IP，同时网络都已经瘫痪好一阵子了。接下来花费好一番功夫给予警告或封锁IP，而恶意占带者仍可再换个IP继续下载，网管人员又得一一重来，可以说是防不胜防。第二大弊病在于带宽利用率很低的问题：一般QoS带宽管理，必须一次配置好每个IP容许的最大带宽使用量，但是网络使用有高峰与低峰的时间，如果都采用同一个配置带宽使用限制，会造成整体环境只有1人上网与有100人上网时，每个人可使用的带宽都一样，导致整体带宽利用率很低的现象。当然，网管人员也可时时自行调整带宽使用限制，但是对于网管人员来说，会是一个很大的沉重负担。

因此，建议校园要进行有效的带宽管理，可采用配备智能QoS带宽管理的路由器，可同时解决恶意大量占带者以及带宽使用率不佳的两大问题。由于智能QoS可自动将大量占带者的IP自动列入黑名单列表进行观察，针对持续占带者再加以二次惩罚，将该IP可使用的带宽减半等等，即可轻松有效的抑制恶意占带者，保障正常使用者的带宽，快速恢复正常网络速度。另外在带宽利用率上，智能QoS提供可自由设定哪一天哪一个时段，整体带宽流量门坎达多少以上(例如现有带宽使用达60%)才会开始执行带宽控管，轻松实现高峰与低峰时间，享受不同大小的带宽服务，达成弹性的带宽管理，也成就了带宽使用率最佳化的表现。

确保内外网安全

校园网络由于学生人数众多，因此更要防止各种 、蠕虫等恶意病毒的攻击，以确保内网以及外网的安全。目前来说，最多的攻击形式仍以ARP攻击居多，因此建议校园选择的路由器设备中，最好能够拥有内建的防制ARP功能，借助自动检视封包的机制，侦测过滤可疑的封包，做为防制ARP攻击的第一道防线。当然如果网管人员可搭配IP /MAC双向绑定，在路由器端以及各个系所或是宿舍内的PC端进行IP/MAC绑定，即可达到防堵ARP无漏洞的效果。另外一方面，由于网络信息包罗万象，有许多不当应用或网站例如BT下载、等等，对于校园学子风气有不良的影响，应透过防火墙Access Rule存取规则或网页内容管制设定，针对特定的网域或关键词搜寻予以封锁服务。

基础VLAN隔离 有效缩小病毒扩散范围

虽然强效防火墙，可防止一般的攻击，但目前许多病毒与攻击层出不穷，校园网络又如此庞大，因此万一不幸中毒，也希望可以尽量缩小感染的范围，不致扩散到整体网络。因此，各个系所以及学生宿舍都必须建置基础的VLAN隔离，才不会导致某一层宿舍里某个学员中毒，造成整个学生宿舍网络全面感染中毒的状况。

篇3：金融行业接入网络优化解决方案

近年来, 随着金融行业业务的拓展, 以往普遍采用的接入网点组网系统逐渐暴露出很多缺点, 金融行业都开始建设接入网系统, 逐步建设覆盖全市的收费营业厅网络。这是激烈社会竞争、网络技术发展、银行业务迅速发展、现有资源最大化有效利用的需要, 也才能提高对用户的服务质量, 实现整体运营成本的降低。随着金融业务的需求和分行的不断增多, 金融行业原有的网络系统, 需要进一步提高稳定性、扩展性、可维护性与互连性如, 各分行连接广域网和连接局域网的核心设备都是单机运行, 需要进一步提高安全性, 同时, 新业务的快速增长对带宽也提出了更高的要求。

为了建立起可持续发展的比较竞争优势, 在与行业用户充分沟通中了解用户的真正需求和迫切需要解决的问题, 制定网络优化解决方案, 从而推动整网的优化, 有效的支持客户业务的综合应用以及线路扩容。

2 网络现状分析

金融系统现有业务网主要是:客户采用PDH接入方式, 各网点电路采用2M数字电路通过传输网SDH汇聚到各银行中心。但是由于原有设备的汇聚性和扩展性较差, 造成中心汇接能力不够, 不能接入太多的E1, 也不能在一套设备上接入多个营业厅, 造成设备投资的巨大浪费, 而且没有好的扩展性。显而易见的是, 此种方式没有一个全面的网管, 不能进行设备的管理、配置和日常的维护, 同时也不利于故障的排除, 所以在银行业务的高速增长、行业竞争日趋激烈的今天, 现有网络模式已经不能适应业务的进一步发展。需要对现有的业务网络进行网络改造, 改造后的网络能够很好地支撑业务, 并具有良好的扩展性和安全性。

3 金融系统接入网络改造优化解决方案描述

金融系统的专网用户, 主要的业务集中在数据的传输和采集上, 并且由于所属行业的特殊性, 必然对其数据专网有极高的要求。a.不会自己铺设自己专有的传输网络, 通常租用运营商的传输通道, E1或光缆;b.要求有自己的专用的传输通道;c.对网络的可靠性和安全性比较高;d.终端通常使用交换机、路由器、或者是ATM、电话等这对整个网络的的改造优化方案提出了较高的要求。3.1总体结构。以金融系统信息网结构为大背景, 我们将金融系统信息专网划分为如下几个层次:省总行到地市分行为第一层, 称为二级网;地市分行到其所辖区县支行为第二层, 称为三级网;县支行到其所辖乡镇网点为第三层, 称为四级网。既然是接入网的优化方案, 所以本方案只涉及到市级范围支行、网点的接入和在市行对这些接入点的汇聚实行。3.2传输网介绍。对于网络规划及实际情况, 计划构建一个稳定、安全的多业务传输平台, 然后利用该平台进行多种业务网的扩展。在二、三级骨干网上, 省到每个地市租用1个155M, 地市到每个区县租用1或2个2M。其中, 省到地市的二级网采用MSTP技术构建多业传输平台;地市到区县的三级网采用SDH+PDH+PCM技术构建多业传输平台, 通过该平台, 地市到每个区县均提供语音接口和数据接口、视频等接口。而县支行到乡镇网点的四级网因为涉及节点众多、各地基础设施不均衡, 因此其线路条件也有较大差别。大部分节点可租用E1数字传输电路, 县支行到每个乡镇网点为1个E1, 带宽为2M。3.3方案设计。银行接入网络都是覆盖到市、县和乡镇, 覆盖面广是其一个重要特点, 这就需要解决方案能保证各网点都能实现接入的前提下, 减少设备、线路成本以保护投资, 实现全面网管以提高网络可维护性、稳定性。首先是县支行、市区范围内接入各营业网点、支行的接入。

方案网络拓扑如图1。

方案说明

综合业务复用设备对银行营业网点进行改造。通过光纤传输线路, 将营业网点接入银行的办公网中, 实现信息、资源共享。每个营业厅采用E1传输, 可提供10BASE-T (速率带宽可调) 接口、V.35 (速率带宽可调) 接口和话音接口;并且可根据业务发展需求任意增加E&M、V35、10BASE-T、话音、RS232等业务接口。

乡镇营业网点。银行营业网点连接综合接入设备提供所需以太网口、V.35口话音通过E1线路和局端交换机中心复用设备相连, 营业网点的综合接入设备通过其以太网接口用于办公终端接入, 各办公终端通过综合接入设备的N*64K以太网接口完成与总行办公经营管理网直接的高速内部网络连接。

同城、县支行网点。银行营业网点连接综合接入设备综合接入设备提供所需以太网口、V.35口话音通过E1线路和局端交换机中心复用设备综合接入设备相连, 营业网点的综合接入设备通过其以太网接口用于办公终端接入, 各办公终端通过综合接入设备的N*64K以太网接口完成与总行办公经营管理网直接的高速内部网络连接。营业网点的综合接入设备通过其环路中继接口用于终端电话接入, 每个分支机构通过模拟语音线路的输出用来将分机连入银行市局端机房中心的PBX上。同时将乡镇网点的数据进行收敛及汇聚通过1个2M的骨干传输与市行相链接。

全网网管解决方案。现存银行系统网络改造项目方案中, 对网管的的要求比较高, 使其网络真正实现可运营、可管理。在设备管理方面提供全网网管, 消除了网管盲区, 真正实现网络的监控和管理功能。即可提供基于业务和管理的网管分域功能。基于业务层面的网络管理。这部分的网络管理主要是针对用户业务的管理, 即对PCM综合业务复用设备的管理。本方案中可实现不同的管理权限级别。维护人员可利用此网管对于各个节点接入设备进行状态监控及配置, 可进行设备和接口的配置更改, 并实时监控网络状况, 进行快速有效排故。

4 方案评述

综合复用技术本身已非常适合于组建专用通信网络, 综合接入设备系列综合复用设备组建金融系统接入网络具体有以下一些特点:4.1提供高速的网络;4.2提供安全性的网络;4.3提供高稳定性的网络;4.4提供良好兼容性的网络;4.5提供灵活性的网络;4.6提供高扩展性的网络;4.7提供可管理可维护的网络。基于以上特点, 综合复用设备组建的系统专用网络解决方案将会有良好的市场发展前景, 目前此类型组网方案在金融领域已得到充分肯定和广泛推广, 随着信息技术不断创新, 信息产业持续发展, 信息网络广泛普及, 综合复用技术必将在教育教学、行政办公、数据传送和远程控制等领域得到广泛的应用。

摘要：根据金融大客户业务的拓展, 采用综合接入设备制定对金融客户的网络优化解决方案, 有效的支持客户业务的综合应用以及线路扩容。

关键词：金融客户网络现状,SDH,综合复用技术,综合接入设备网管解决方案

参考文献

[1]杨世平, 张引发, 邓大鹏, 何渊.SDH光同步数字传输设备与工程应用[M].北京:人民邮电出版社, 2001.

篇4：常用网络接入方案及接入设备

关键词 数据传输 数据的封包和加密 网络接入设备 网络接入方案

中图分类号：TP393 文献标识码：A

1常用的网络接入方案

（1） ADSL：ADSL （Asymmetric Digital Subscriber Line ，非对称数字用户环路）是一种新的数据传输方式。它因为上行和下行带宽不对称，因此称为非对称数字用户线环路。它采用频分复用技术把普通的电话线分成了电话、上行和下行三个相对独立的信道，从而避免了相互之间的干扰。即使边打电话边上网，也不会发生上网速率和通话质量下降的情况。

（2）ISDN：综合业务数字网（ISDN）是一种信息通信网络。它提供端到端的数字连接，支持一系列的语音和非语音业务，可以用于计算机网络互联和用户网络接入。 数字化的发展趋势使得ISDN业务有了发展的空间。用户只需在现有的一对电话线上加上ISDN终端设备就可获取ISDN基本速率BRI（2B+D），从而使日常的使用业务从单一的语音通信拓展到文学、语音、数据和图象等多种综合业务。

（3）光纤接入：其中FTTH光纤到户，FTTP光纤到驻地，FTTC光纤到路边/小区，FTTN光纤到结点。光纤到家庭（FTTH）是20年来人们不断追求的梦想和探索的技术方向，但由于成本、技术、需求等方面的障碍，至今还没有得到大规模推广与发展。然而，这种进展缓慢的局面最近有了很大的改观。

（4）VPDN：VPDN英文为Virtual Private Dial-up Networks，又称为虚拟专用拨号网，是VPN业务的一种，是基于拨号用户的虚拟专用拨号网业务。

2常用的网络接入设备

（1）ISDN 相关设备：ISDN设备指ISDN网为用户提供ISDN业务所需要的各类设备，包括ISDN交换机、ISDN用户交换机、网络终端、接入单元和各类ISDN终端及终端适配器。

（2）光纤接入设备：有源光网络；ATM无源光网络（ATM-PON）。

（3）VPDN相关设备：VPDN网络结构由局端（或称为中心端）和客户系统组成。VPDN客户系统包括两部分：企业端与远端。通常企业端是企业的内部局域网，以专线方式接入UNINET；远端是拨号客户，以拨号方式访问企业内部局域网。

3适合于网吧的网络接入方案

3.1适合网吧的接入方案

网吧接入的特点：规模大，通常上网终端都大于100台，多则400至500台，服务器分工明确现代网吧通常会设有视频、音频服务器；本地游戏服务器；网络管理服务器，来给客户提供多元化的服务，稳定性要求高。作为网吧接入上网，在网吧一侧通常需要专门的路由设备，虽然也可以使用代理服务器进行路由，但是专业路由器无论是在性能还是在稳定性上都做的比代理服务器更好。

3.2运营级网吧接入解决方案：运营级网吧接入组网方案

方案描述：网络中心采用BDCOM 3660路由器，边缘采用2621或1720路由器，结构简单、层次清晰；中心集中采用BDCOM S1108交换机，可以支持VLAN划分，且成本较低，一个区中心最多可支持7條分支。传输设备都采用了光纤收发器、GV转换器等设备，不采用内置的光纤模块和E1模块，降低了整体成本；中心2条外接链路，采用策略路由进行数据分流，并互为冗余备份。

网吧接入高效型设计：BDCOM 3660路由器包转发率为50—60KPPS，能够满足大型区域中心网吧接入的需求。BDCOM2621和BDCOM1720路由器都是专门为网吧接入所设计的，分别都固化了2个以太网接口，大大降低了整体成本。中心采用的BDCOMS1108交换机，在极低的成本下，实现了VLAN隔离、线速转发等功能；FEC-10/100M光纤收发器和PT-352E1U协议转换器提供全线速转发和接入；专门针对网吧接入的NAT技术进行了优化，实现了更高的效率；在中心出口采用策略路由进行相互备份和数据分流，从而提供更高的效率。

3.3网吧接入安全性设计

中心VLAN的设计：为了支持本地的VLAN划分，本方案在中心使用了BDCOM S1108交换机。进行本地VLAN划分可以有效的隔离各个网吧之间的流量，保证了网络的安全性和稳定性。

NAT地址转换：除了在实现最基本的NAT功能以外，还针对网吧接入这种特殊的应用，对NAT功能进行了优化。不但能保证外部网络无法对内部网络进行攻击，还保证了内部的一些少年黑客无法对运营上的网络展开攻击。

网吧上网控制：BDCOM 3660/2621/1750支持高效率的ACL访问控制，支持对不健康网站或者政治反动网站以及对网络本身的安全访问过滤。同时博达ACL访问控制还支持针对内部非常规流量的过滤。

参考文献

[1] 谢希仁.计算机网络.电子工业出版社，2008，1.

篇5：企业网络安全接入方案

管理员应注意的问题

面对目前企业的网络安全现状，作为企业的一名网络管理员，该如何管理设备接入企业信息系统网络，来提高企业IT内控水平，对其进行安全策略控制是企业当前所面临和需要解决的重要问题。随着网络高速的发展，外来的用户数量越来越多，企业管理人员则越难以控制他们用来登陆企业网络的终端设备，因此，企业所面临的恶意程序入侵的风险也就越高。

网络接入安全控制为当前IT内部控制进行了专门设计，可确保为访问网络资源的所有设备来得到有效的安全控制，以抵御各种安全威胁对网络资源的影响，提升企业管理与生产效率。使网络中的所有接入层网络设备都成为一个安全加强点，而终端设备必须达到一定的安全和策略条件才可以通过路由器和交换机接入访问网络。这样就可以大大消除蠕虫和病毒等对联网业务越来越严重的威胁和影响，从而帮助客户发现、预防和消除安全威胁。

企业网络安全要点四则

网络接入控制解决方案的架构是什么，这个解决方案如何实施要素检测?由于要素检测是网络接入控制的主要功能之一，了解这个解决方案如何实时检测设法要进入网络的要素是非常重要的。如果这个网络接入解决方案不支持实时要素检测，这个解决方案是否能够保护它不知道的设备就是一个问题。外来用户越多，网络被入侵的风险就越大，企业一方面要加强协作和资源共享，同时要平衡网络安全方面的风险，又要承担起这一项重大的挑战。

如果企业应用了这种方式网络接入控制，能够有效地堵塞安全漏洞，阻止恶意程序通过外来用户的端点设备进入企业网络。方便用户存取网络资源，亦可顾及安全控制，让企业可以充分地掌握网络存取状况及对抗威胁的要求，同时又能够提供安全、可靠的网络服务，在资源共享的同时，又能够降低网络被入侵的风险，

专家指出，要想充分维护好企业的网络安全，必须遵乓韵滤母龇矫妫

一、根据企业用途，制定出一套完善的网络接入控制体系，一个完善的网络接入控制体系应包括策略体系、组织体系、技术体系、安全运作体系。

二、整体考虑，统一规划。网络安全取决于系统中最薄弱的环节。“一点突破，全网突破”，单个系统考虑安全问题并不能真正有效的保证安全，需要从整体IT体系层次建立网络安全架构，整体考虑，全面防护。

三、集中管理，重点防护。统筹设计安全总体架构，建立规范、有序的安全管理流程，集中管理各系统的安全问题，避免安全“孤岛”和安全“短板”。

四、管理是企业网络安全的核心，技术是安全管理的保证。只有制定完整的规章制度、行为准则并和安全技术手段合理结合，网络系统的安全才会有最大的保障。

引起关注的三大问题

通常网络接入控制，是以上四个方面的汇总，但是我们还需要通过网络接入控制技术来解决以下三方面的问题：

一、终端点安全问题。能够与现存的客户端安全软件和更新管理方案互相配合，确保所有能够进入网络的客户端设备均已安装最新定义和政策，把恶意程序入侵的风险降到最低。能够及时更新终端系统中网络漏洞。

二、增强了网络安全认证系数：只有指定设备和用户才能存取特定的企业资源 。企业才可以结合现有的身份认证管理架构。只有通过验证的指定设备和用户才可以存取特定的企业资源，来有效地减少恶意程序入侵和机密数据外泄的风险。

篇6：企业网络安全接入方案

中小企业WiFi网络安全接入策略规划

中小企业对于WLAN的需求在不断的增长中，且这种趋势呈现良好的发展势头，与此同时，企业对于无线的安全接入也存在着不同程度的要求，从简单方便到复杂可靠，从注重个体权限到希望整体易于操作实现，不管企业使用无线的目的如何，或多或少地都对无线地安全接入问题给予一些规划考虑。这里我们基于中小企业WLAN网络应用自身的特点，并结合无线网络现有的技术体系，介绍一些适于中小企业WLAN使用的安全接入策略。

1.企业整体网络规划为内部员工使用，不希望泄漏的信号为企业外部人员利用，同时要求内

部员工无线接入方式要求简单方便。

A.采用隐藏SSID的方式保证企业外部的人员搜索不到网络。

在服务模板开启beacon ssid-hide功能后，无线客户端（如无线网卡）将搜索不到SSID。这样企业内部员工可以采用手动在终端添加SSID的方法接入网络，而企业外部的人员则无法搜索到SSID，从而无法接入无线网络。这种方式比较简单，安全性较弱。

B.采用WEP加密方式保证合法用户才能接入网络

服务模板配置成crypto方式，加密方式采用WEP，这种方式对于一些要求需要输入密钥才能接入，同时注重主动修改密钥以防人员泄漏造成非法接入的企业来说比较适用，简单方便，安全程度适中。如果在企业内部对于某些人群需要保证内部的隔离安全要求，可以结合SSID隐藏方式，设置一个特殊的SSID并隐藏以供其使用。

2.无线网络使用规划为给企业内某些群体或者个体使用，亦或是网络规划为不给某些群体

或者个体使用时，采用配置黑白名单的方式予以实现。

A.采用白名单方式确保只有在名单内的无线终端才能接入网络。

在wlan ids域中开启whitelist，在whitelist中添加上允许接入的终端MAC地址，这样就可以实现只有在whitelist中的终端才能接入，不在whitelist中的终端则无法接入。

B.采用黑名单方式确保在名单内的无线终端无法接入网络。

在wlan ids域中开启static-blacklist名单，在此名单中添加不允许接入无线网络的MAC地址，这样可以保证不在此名单的终端可以接入无线网络。

3.无线网络安全要求采用密码方式，同时要求无线采用WPA/WPA2安全架构；终端不希望

安装认证客户端，但需要对客户终端进行身份合法验证，这种需求可以采用PSK加密认证方式、MAC认证方式、Portal认证方式及三者间柔和方式实现。

A.采用PSK认证加密方式，输入正确的密钥后才能接入无线网络。

第1页，共3页

PSK方式是WPA/WPA2架构中的个人模式，同WEP在应用上相似，输入一个密钥即可接入网络，然而其安全性要高很多，空口报文都是使用WPA/WPA2架构中的安全级别中很高的算法加密的。

B.采用MAC认证方式，无需输入密钥或者用户密码，无线接入时合法用户即可接入网

络。

1)在AP（FAT）或者AC上配置MAC认证，在本地创建local-user用户，使用无线终

端的MAC地址（小写，中间无“：”和者“-”符号）作为用户名和密码（和用

户名格式一样）。只有在本地创建的终端才能接入无线网络。本地用户创建容量

为1K。

2)在AP（FAT）或者AC上配置MAC认证，采用IMC（或者CAMS）或者微软IAS作

为Radius，验证接入无线终端。Radius上的用户名和密码采用同样的方式，即

采用无线终端的MAC地址，小写，中间没有字符连接符。

C.采用MAC＋PSK认证方式，两种方式合理搭配，PSK保证无线空口安全，MAC确保终

端合法，且操作简单方便。

D.采用Portal认证方式。这种方式采用WEB页面方式认证，客户端无需安装特殊客户端即

可支持。终端需要输入用户名和密码才能登录网络。Portal认证方式包括通过外置Portal Server方式实现和本地Portal认证方式实现两种方式。

E.采用Portal认证＋PSK认证方式。无线空口采用PSK认证保证，用户身份采用Portal认

证保证，相得益彰，安全较高，可操作性强。

4.无线安全更高级别的认证就是采用802.1X认证方式，包括eap-tls和eap-peap两种，都

需要安装证书。Radius可以采用IMC（或者CAMS）或者微软IAS。

A.采用AC（或者AP）配合IMC（或者CAMS）进行802.1X认证，在IMC和客户端上都安装证书，客户端采用微软自带客户端。无线采用WPA/WPA2安全架构，加密方式选择TKIP或者CCMP。

B.采用AC（或者AP）配合IAS进行802.1X认证，在IAS服务器上同时启用证书服务，客户端采用微软自带客户端，无线同样采用WPA/WPA2安全架构。

5.通过本地定义ACL访问控制或者通过Radius下发，控制用户使用网络的资源。

A.采用本地定义基于IP或者MAC的ACL，限制某些客户端的访问权限，如同有线网络的ACL一样，可实现对用户权限具体细化的一些要求。

B.采用和Radius结合的认证方式，如Portal认证，802.1X认证。在认证通过时，通过

Radius下发一些属性限制用户的权限，如下发VLAN属性，ACL属性等。Radius可以采用IMC服务器，或者微软IAS服务器。

6.采用EAD整体接入安全策略，既保证无线安全接入，又实现对无线客户端的安全检查。

篇7：卫星接入方案说明

利用卫星接入互联网，是一项新兴技术，它将成熟、稳定的卫星通信技术与现代网络技术结合在一起，为用户提供高速的互联网接入服务、数字多媒体广播服务及文件分发服务。

本系统具有覆盖广泛（可覆盖边远地区）、不受地面条件限制、建网简单易行、灵活分配带宽（可按需分配带宽）、宽带高速接入、非对称接入等诸多优点，可满足各种用户的宽带互联网接入及数字多媒体广播需求。

卫星宽带数据平台为用户提供如下服务：

1、宽带互联网接入

卫星宽带互联网接入系统主站通过光缆与中国电信国际互联网骨干网直接连接，再通过双向卫星电路将用户接入电信互联网骨干网，对每个用户按需求下载速率最高可达40Mbps，回传速率从64Kbps-2Mbps可调，满足多种用户的接入需求。

·

2、数字视频广播

在提供宽带互联网接入服务的同时，本系统还可向用户提供数字多媒体视频广播服务，即以IP数据流的方式，将视频信息广播至系统内所有用户，包括实时股票行情、电视会议、网络新闻等等。

3、数据文件分发

利用卫星特有的覆盖性及星状网的网络结构，为集团用户或专业用户提供视频多媒体内容分发、软件内容分发、内部数据分发、新闻报刊内容分发、贸易单据分发等服务。针对大文件的分发过程中出现误码重传、效率低的问题，采用先进的卫星网络缓存技术，很好地解决了大文件的传输问题，极大提高了电路利用率。

·适用对象

a油田、山区、海上等无法实现陆地线路接入的行业。

b公司分布较广，需一点对多点大量传输数据的企业。

c需多点大数据量内容分发的大型ICP。

d政府部门招商引资。大中小城市，可通过网络视频直播系统将本地优厚的资源和良好的人文气息，在互联网上公诸于世人，让更多的人了解这个城市，以吸引国内外更多的投资者来建设和发展这方土地，让自己的家乡走向世界。

e各种大型活动及赛事的网络直播, 商家举行各种大型促销活动或产品发布会时，可通过网络视频直播系统在网上同步播放，扩大影响，提高收视率，增强宣传力度，显示出商家的实力，可谓一举多得。

f

篇8：社区网接入安全解决方案

关键词：出口链路负载均衡,端口复用,会话维护,策略路由

一、社区网安全接入需求分析

互联网访问链路, 以及宽带用户接入链路, 是宽带接入业务的主要信息资产, 根据CIA模型, 我们主要关注链路的可用性, 以保障接入用户的满意度, 任何导致网络中断的事件都将引发客户投诉。

1. 社区网络主要框架。网接入从结构上可分为接入层, 汇聚层和转发层, 其中接入层主要指宽带接入业务网到接入用户之间的链路, 汇聚层指宽带接入业务网的网络, 通常也接入连接到的BAS系统, 实现认证和运维管理;转发层指与电信运营商链路对接的网络, 在转发层需要通过NAT、路由等手段, 保障宽带接入用户对互联网的访问。

2. 社区网络特点

1) 多种类型接入用户。社区网络接入业务的用户有多种类型, 大致可分为大客户和社区用户, 不同类型的接入用户对服务质量要求是不同的。

2) 有限的IPV4 地址资源。社区网接入业务租用电信等运营商的链路时, 得到的IPV4 地址资源是有限的, 这就意味着社区网接入业务必须使用NAT, 保障社区网接入用户并发上网时, 对其访问转换为有效IPV4 地址从而实现对互联网的访问。

3) 多运营商, 多链路、高并发。目前社区网络拥有天津网通, 电信, 沧州移动, 沧州电信4 个运行商的链路;随着互联网的普及, 社区网接入用户的数量也呈现快速增长的趋势, 这就对出口带宽提出了更高的要求。多运营商、多链路使得宽带接入网络的出口带宽往往很高, 多接入访问用户使得接入网络需要处理的并发极高, 这都要求配套的网络设备和安全设备具有极高的性能, 来支撑宽带接入业务;每个运营商的链路质量也有所不同, 如何更合理使用链路也是我们所要解决的问题。

3. 社区网络面临的几大问题。针对社区网接入业务的特点分析, 以及其开展的业务, 可以看出大多数的宽带接入业务存在的安全需求集中在三个层面:

提升客户体验:特别是针对重要的行业客户、集团客户, 需要提供更优质的链路, 保障重要客户通过互联网平台开展的重要应用, 能够确保在发生链路中断后, 能够持续为接入用户提供上网服务;

尽可能降低运维难度:宽带接入业务的特点就是高带宽, 高并发量, 网络运营维护的难度高, 而运维人员成本也是宽带接入业务中需要考虑的因素, 如何尽可能降低运维难度, 减少人员开支, 也是宽带接入业务的典型需求。

提升链路利用率:对于接入业务而言, 互联网链路月租费用开支占其总体运营较高的比例, 如何在保障链路畅通达到重要客户满意的前提下, 尽量压缩链路租用费用的投入, 也是我们关注的要素;

二、解决方案

1. 多出口链路负载均衡。我们可以在汇聚层上加载安全网关, 通过ECMP (等价路由) 技术, 将自动平衡多条链路的负载;或者通过加权路由技术, 根据链路的质量, 以及访问数据包的优先级, 在多条链路上进行负载分担, 从而实现更智能的路由选择。

2. 会话限制防范中毒电脑的大并发访问。针对单个IP地址配置并发会话限制数量, 这样当某一台电脑因感染病毒而大量发送数据包时, 网关对超过阀值的会话都将丢弃处理, 从而防范中毒电脑发送大量的访问请求, 而拥塞了NAT的资源, 影响其他人员正常使用互联网资源

3. 采用更灵活的策略路由保障关键应用使用优质链路。我们可根据源、目标地址配置策略路由, 也可以在此基础上对应用配置策略路由, 采用该技术措施, 对于宽带接入业务, 可以将重要客户的重要应用, 路由到优质链路上转发, 从而提升重要客户的满意度, 保障重要应用的连续性

4. 基于应用的路由实现P2P引流。对于P2P, 由于其采取了动态端口协议技术, 因此仅仅在网络层配置路由, 是无法实现将此类应用引流到低质量链路上。

三、结束语