《行政楼局域网网络规划与设计(共14页).doc》由会员分享,可在线阅读,更多相关《行政楼局域网网络规划与设计(共14页).doc(14页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、精选优质文档-倾情为你奉上行政楼局域网网络规划与设计第一章 需求分析1.1行政楼概述四川师范大学成都学院的行政楼一幢,共约114个信息点,所有工作人员主要集中在一至六层楼内办公。随着办公人员与规模不断扩大,办公自动化、信息化的需求,为提高各部门的办公效率,促进信息交流,适应现代发展的要求,需构建一个稳定完善的行政办公局域网。新建网络必须满足行政楼未来35年内的办公需求,支持行政人员的管理、校园网站的建设、严格的网络信息安全管理系统,适应办公需求及后续不断发展。在行政楼内部建立稳定、高效的办公自动化网络,从而提高员工的工作效率和加快行政内部的信息传递。部分员工配置桌面PC,使员工能通过内部网络接
2、入Internet,以充分利用因特网上的资源。根据与行政有关领导的交流和行政各部门的情况,拟建的行政楼局域网主要信息点集中在行政部、技术部、财务部、教务部、后勤部,为了以后的适当扩充,信息点的个数留有一定余量。信息点详细分布如下表1.1所示表1.1 信息点分布情况部门楼层办公室数量信息点合计值班室112后勤部312招生就业部312车队办公室11接待室12教务处2624督导专家组12后勤部13计财科14会议室324院长办公室12人事处312副院长办公室424校庆办公室12会议室12党委书记办公室24网络管理办公室12副主任办公室12宣传办办公室12学院办公室12基建办公室512继续教育办公室12
3、科研产业部12评估办公室12综合档案室12工会办公室612校史陈列馆12合计641114为了更好地使用和管理网络,可以对行政楼的各个部门进行类别划分,属于行政部的有:三楼的会议室、院长办公室、副院长办公室、校庆办公室、会议室、党委书记办公室、副主任办公室、宣传办办公室、学院办公室;属于技术部的有:督导专家组、网络管理办公室、科研产业部、评估办公室、工会办公室;属于财务部的有:基建办公室、人事处、计财科;属于教务部的有:招生就业部、教务处、继续教育办公室、综合档案室;属于后勤部的有:值班室、一楼的后勤部、车队办公室、接待室、二楼的后勤部、校史陈列馆。1.2网络系统需求分析学校目前开展的行政楼局域
4、网网络建设,旨在推动行政楼的信息化建设,其最终建设目标是将行政楼建设成为一个借助信息化办公和管理的高水平的智能化、数字化的办公网络,满足信息化学校的要求,为各类应用系统提供方便,快捷的信息通路,具有良好的性能,能够支持大容量和实时性的各类应用,能够可靠的运行,具有较低的故障率和维护要求。主干网负责各子网和应用服务的连接,为信息交换提供有效的高速通道,满足学校办公信息安全的要求,扩展容易,用户使用简单。要特别考虑学校内部信息共享等方面的实时性。应根据学校行政楼各部门的信息流量情况分配网段,以充分利用网络带宽,提高网络的运行效率。具有良好的管理性,可实现自动实施备份策略等功能,减轻维护人员的工作量
5、。结合行政楼 具体情况和当前网络技术发展潮流,网络应满足以下几点需求:1系统主干采用千兆以太网交换,下属子网采用百兆以太网,采用TCP/IP协议,提供标准化的高速度主干网连接,实现100Mb/s交换到桌面的网络。使用三层交换机来代替路由,实现数据的快速转发。2在同一个网络中支持多种网络通信协议,为学生提供远程登录。在学校外的学生可以通过VPN安全访问教务系统,进行远程访问等。支持多种传输介质。3行政楼网络内部资源的共享,包括文件共享,硬件共享,软件共享等4文件传输。能快速地,在不需要移动存储设备的情况下在各电脑之间进行文件的拷贝。5校园内办公自动化,有效降低办公成本,校园内部人员可以方便安全地
6、访问因特网。6能通过内部网络高速接入Internet进行工作,浏览网页查找资料。建立学校对外网站,提供一个对外宣传的平台,提高学校知名度。7交换机采用主流、成熟和售后服务均佳的产品,具有较高的性价比。网络中使用的设备和协议应完全符合国际通用的技术标准。预留扩展空间,以便今后的网络改造。8核心交换机应采用三层交换机,支持VLAN等多种功能,能快速地解决突发数据量,在内部用户进行数据交换、语音通话、视频信号时不会出现过载现象和数据包丢失的情况。1.3应用系统需求分析为满足学校信息化建设的需要,PC机操作系统应选择占市场份额最大的主流操作系统,整个网络采用同一厂商的操作系统产品,所选的操作系统应依据
7、以下需求:1所有的客户端和服务器系统应该是易于配置和维护的,保障客户端的方便使用,并提供方便的更新与升级方法。2系统的运行应具有高稳定性,保障最高平均无故障时间。3服务器及客户机操作系统都需要支持TCP/IP协议,并能够运行大多数常用的应用软件,例如办公软件、图像处理软件、CAD等。4计算机应用系统能处理大信息量的传输和计算;易于用户管理、界面简单、逻辑清晰。5服务器操作系统应能够提供WEB、DNS等服务及完善的管理功能。6所有的操作系统及选择的服务应尽量广泛的支持各种硬件设备,系统设计应尽量降低整个系统的成本。7在系统的设计与实现及应用上应采用多种安全手段保障网络的安全,并提供优质的售后服务
8、及技术支持。8系统的设计应采用开放的技术及标准应用软件,保障系统能够适应未来几年学校的发展需求,便于网络的扩展和校园网络的结构变更。第二章 行政楼网络总体设计2.1设计标准EIA/TIA569:商用建筑物标准中对电信路由和空间的规定。EIA/TIA606:配线间的管理。TSB67:商用建筑标准中对电信路径的建议规定。IEEEE 802.2:10BASE-T、100BASE-T、10BASE-5、10BASE-2以太网标准。IEEEE 802.5:TOKEN TING 4M/16M令牌环网标准。IEEEE 802.7:FDDI网络标准。IEEEE 802.4:ARCNET网络标准。2.2设计原则
9、网络设计是保证网络工程质量的关键环节之一,只有优良的网络设计方案,才能经过精心施工建出高质量的网络。网络系统技术复杂,涉及面广。要设计一个高性能的校园网络,就必须对全局精心策划。本方案的设计在追求性能优越、经济实用的前提下,本着严谨、慎重的态度,从网络结构、设备选择、技术措施、网络管理等方面进行系统的总体设计。为了使设计出来的系统更为合理和经济,性能更加良好,在网络设计过程中应遵循以下原则: 高可用性/高可靠性:确保网络可靠运行,在网络的关键部分应具有冗余和容错能力,提供公共网络连接、通信链路、服务器等全方位的安全管理系统。确保很高的平均无故障时间。 实用性和经济性:服务设备和网络虽然在技术性
10、能上逐步提升,但其价格却在逐年下降,不可能也没必要实现所谓的“一步到位”。从实用性和经济性出发,选用合理的设备和材料,进行最佳性能组合,做到实用,经济和有效。 安全性和保密性:计算机网络是一个极其复杂而又相对公开的系统,既要考虑信息资源的充分共享,更要注意信息的保护和隔离,安全保密是校园信息化建设的核心,应根据相应的管理制度和网络策略制定一套完善的安全策略,采用合适的技术手段,以达成目标,保证系统的安全性。扩展性和易维护性:系统便于扩展,即要满足学校网络不断发展的要求,还要满足未来主流技术和升级的需求。采用可网管产品,提供有效的网络管理和系统监控等技术,保证系统维护管理简明、方便、有效。先进性
11、和成熟性:不但满足用户当前需要,还应考虑满足未来几年内用户对网络功能和带宽的需要,采用成熟先进技术,尽量减少技术风险和投资风险,在保证应用和发展的基础上,尽量减少不必要的投资。规范性和开放性:只有支持规范性和开放性的系统,才能支持与其它开放型系统一起协同工作。在设计和实施中,必须严格遵循国家的规范和国际的标准;网络系统应用开放的标准的技术,以满足未来网络扩充的与其他网络互联。2.3拓扑结构设计在此次行政楼局域网网络的设计中,网络拓扑结构选用星型网络拓扑结构,星型网络拓扑结构具有安全、可靠、易扩展等特点。我们采用层次化模型来设计网络拓扑结构。层次化模型有利于实现较为复杂的网络功能要求且节省成本,
12、也可以支持较大的网络规模便于行政楼网络的升级扩大。在设计上划分了三层来设计:核心层、汇聚层和接入层。办公人员大约为120人,因学校要求网络主干具备高可靠性和可用性,且考虑到以后扩充和办公需要,为了保证数据转发的快速和可靠,核心层的设计上采用了二台万兆三层交换机,在汇聚层用两台三层交换机之间作链路聚合,做到设备冗余和负载均衡,就算其中某个交换机发生故障,网络也可以快速恢复,增加网络的可靠性。而在接入层的设计上,使用多台二层交换机。如下图:网络体系结构行政楼网络总拓扑2.4 IP规划绝大多数局域网采用TCP/IP协议,因此IP地址规划在组建行政楼局域网时至关重要。在行政楼网络规划中,好的IP地址方
13、案不仅可以减少网络负荷,还能为以后的网络扩展打下良好的基础。IP地址规划应考虑: 惟一性一个IP网络中不能有两台主机采用相同的IP地址。连续性为同一网络区域分配连续的网络地址,缩减速路由表的表项,提高路由表的处理效率。可扩充性为一个网络区域分配的IP应有一定的地址冗余,以便于主机数量增加,保证网络的可持续发展。简单性地址分配简单,避免在主干上采用复杂的掩码方式。安全性行政楼的内部网络可按不同的部门划分不同的网段,以便进行管理。学校申请了一个电信公网IP:61.190.10.2/24以及一个网通公网IP:220.249.10.2/24,内网采用私有地址,边界路由进行NAT转换。以下表格为本设计方
14、案的网络地址规划:表2.1IP地址分配设备名称接口IP地址描述3S1F0/1192.168.3.1/243L-Switch3S1F0/2192.168.1.2/243L-Switch3S2F0/1192.168.4.1/243L-Switch3S2F0/2192.168.2.2/243L-Switch3S3F0/2192.168.1.1/243L-Switch3S4F0/2192.168.2.1/243L-SwitchR1F0/1192.168.3.2/24RouterR1F0/0192.168.4.2/24RouterR1S1/161.190.10.2/24电信R1S1/2220.249.1
15、0.2/24网通VLAN IP地址规划:VLAN 号网段IP名称描述1172.80.1.0/24管理10172.80.10.0/24xzb行政部20172.80.20.0/24jsb技术部30172.80.30.0/24cwb财务部40172.80.40.0/24jwb教务部50172.80.50.0/24 hqb后勤部60172.80.60.0/24Server服务器第三章 网络设备选型3.1设备选型原则1具备较强的安全性2代表目前网络系统设备的先进水平3具备优良的可扩充性和升级能力4具有优良的性价比,根据现在需求和未来扩展需求选择设备型号,避免追求高档和最新技术花费巨大的代价5选择售后服务
16、好且有一套完善的服务体系及未来在该领域的发展计划的厂商产品。为保证校园信息系统的稳定性和高效运行,因此,应该采用主流的网络产品。CISCO是网络业界第一品牌和最大的研发专家,是项目可持续应用的投资保护和规避厂家风险的首选。根据实际调查,综合考虑各家公司的发展状况、技术实力、市场占有率等各方面因素,本方案选择CISCO公司的网络设备,以确保网络实用与性价比。3.2核心层交换机选型核心层为网络主干,选用具有“路由器的功能,交换机的性能”的三层交换机最为合适。为公司办公网络主干选用二台CISCO WS-C6509-E万兆路由交换机作为核心交换机来连接各级交换机,对全网的数据进行高速无阻塞的交换。CI
17、SCO WS-C6509-E为办公级模块化交换机,具备极高的交换能力和端口密度,最多可支持上百个千兆以太网端口,充分满足网络互联的需求。WS-C6509-E交换机拥有高达720Gbps背板带宽和387Mpps的包转发率,以固定的配置、存储转发的交换方式、可堆叠的独立设备,提供了线速度快速以太网和千兆以太网连接,并带有三层路由的引擎,可使公司网络具有很强的升级能力,大大增加了网络的交换能力、系统的实时性和系统的互动性。3.3汇聚层交换机选型汇聚层连接各接入设备,提供路由管理、网络服务等,每天访问量巨大,所以建议汇聚层设备选用二台CISCO WS-C3750X-24T-S三层企业级交换机,它以存储
18、转发的交换方式,160Gbps的背板带宽和65.5Mpps的包转发率,提供高水平的可用性、安全性和管理能力,从而提高整个行政楼网络的运行效率。行政楼网络中该设备通过1000Base-FX光缆上联核心交换机,形成网络的高速骨干。WS-C3750X-24T-S的传输速率为10/100/1000Mbps,具有很高的性能和堆叠能力。满足服务器群的高速率的接入需要,也可以满足因特网接入的需求。WS-C3750X-24T-S交换机简化了网络的部署,同时融合了可伸缩的网络速率、性能、网络规模。3.4接入层设备选型接入层交换机放置于楼层的设备间,连接各端末设备,做为网络智能安全和策略的边缘。为方便跨交换机的V
19、LAN划分,优化网络性能,简化网络拓扑结构,在本设计中接入层统一使用10/100Mbps自适应的CISCO WS-C2960-24TC-L智能交换机。背板带宽为4.4Gbps,包转发率为6.5Mpps,以存储转发的交换方式和全双工/半双工自适应的传输模式,配备有千兆的上行链路,所有的接入层交换机组以百兆RJ-45直通双绞线交换到桌面,在网络中提供高密度的接入。用于VLAN边缘为交换机的端口间提供安全性和隔离性,同时保证语音流量从进入点通过虚拟通道直接传输到汇聚层设备上,而不会被定位到其它无关端口。保证了投资成本少及易于管理的要求。3.5行政楼网络服务器设备选择服务器是所有C/S模式网络中最核心
20、的网络设备,在相当程度上决定了整个网络的性能。它既是网络的文件中心,同时又是网络的数据中心。学校需对外发布校园信息网站,且WEB站点为动态网页,所以,我们的服务器选择了联想万全R525 S5405办公级机架式服务器,它是一款内存1G,CPU为Intel Xeon E5405、主频2000MHZ,硬盘容量73GB,集成ATI显示芯片,16MB显存,集成Intel双千兆自适应网卡,支持网卡冗余、负载均衡等功能,可选外插Intel千兆自适应网卡的服务器。它支持Windows server 2003 R2 Standard Edition中文版/英文版(X32)、Windows server 2003
21、 R2 Enterprise Edition中文版/英文版(X32)、Windows server 2003 R2 Standard Edition英文版(X64)、Windows Server2003存储增强版V2(WSS)等操作系统。且价格适中,有较高的性价比。3.6出口路由设备选型由于大量的数据都发生在局域网内部,所以对路由器的性能要求不高,可以选用中低端路由器。因此出口路由器选用CISCO 2811模块化路由器。它是行政网络对外的出口,也可以作为行政楼网络的第一道防火墙。CISCO 2811模块化路由器提供了安全、可扩展的网络连接,容纳多种流量类型,如VPN等,最大DRAM内存为760
22、MB,传输速率为10/100Mbps,支持IEEE 802.3x网络标准。内置的防火墙功能提高了局域网的安全性,利用CISCO 2811网络服务还可以预防和响应网络攻击和威胁。3.7 客户端电脑选型本设计为客户端PC机选择神舟新瑞E30 D4, 神舟新瑞E30 D4配有Intel奔腾双核处理器G2030,双核心设计,相当于两个CPU共同工作,更大程度的提高多任务处理能力,搭配4GB DDR3内存, CPU频率3GHz。配备500GB的硬盘,有效降低成本,可使办公效率大大提高。性能好,运行速度快。3.8主要网络设备清单表3.1主要网络设备列表设备名称产品说明数量(个)价格(万)CISCO WS-
23、C6509-E核心层设备27.3CISCO WS-C3750X-24T-S汇聚层设备23.52CISCO WS-C2960-24TC-L接入层设备51.4联想万全R525 S5405服务器设备25.5CISCO 2811边界路由10.58神舟新瑞E30 D4客户端电脑12028.788第4章 网络设计4.1广域网接入随着Internet技术的不断发展,IP地址资源缺乏是Internet面临的一个关键问题。为了节约地址资源,在内部使用私有地址段中的地址,但是使用私有IP地址不能访问Internet。所以必须申请一个或多个公有IP地址配置在和Internet相连的局域网边缘设备上。再应用NAT把使
24、用私有地址的内部网络转换成注册的合法IP与Internet进行连接,解决了IP地址紧缺的问题。在该网络设计中,出口处仅使用了一个CISCO 2811路由器,因学校要求网络具有很高的可靠性和快速性,由于当前网通和电信两个运营商之间存在着互联互通速度慢的问题,造成速度瓶颈。所以学校向ISP同时申请了8M的中国电信宽带和4M的中国网通宽带两条接入线路,在出口上采用双出口设计,提高校园网络对公网的访问速度,保证网络的稳定、可靠和快速。由于学校只购买了一个电信公网IP地址和一个网通公网IP地址,而行政楼内部共有150多个信息点,采用普通的静态地址转换,150多个信息点访问外网需要150多个公网地址,这样
25、显然不可能。所以在出口路由器上采用NAT技术,在行政楼内部使用B类私有IP,通过基于端口号的地址转换,将内部私有IP地址转换成公有IP地址在Internet上使用,既可节省IP地址,又可以同时让多个内网IP地址访问Internet。NAT地址转换使行政楼网络内外网互相独立,达到完全的物理隔离的目的。4.2 路由设计4.2.1 OSPF行政楼网络中有一个路由器和四个路由交换机,需使用路由协议使它们之间能够共享信息。考虑到将来网络的扩展,平面结构的路由协议(如RIP,EIGRP)不能满足网络性能的要求。行政楼网络内部有6个用户网段,4个中转路径,为优化网络性能,建议采用OSPF路由协议。因此在本设
26、计中在核心层汇聚层交换机与外出其路由器之间使用OSPF路由协议,并运行在Area0区域上,以实现路由的动态更新,加快核心层的路由转发能力,确保全网互通。area0区域的划分可减少各路由器的路由表尺寸;占用网络资源少;利于网络扩展,使用灵活,安全性较好。4.2.2 策略路由行政楼网络分别连接了电信和网通双线路,通过在出口路由设备R1上添加策略路由包的方式,实现电信数据走电信,网通数据走网通。IP报文将先根据策略路由指定的策略转发,只有当所有策略都不满足时,才查找路由表,根据路由转发,提高网络的访问速度。4.3 网络管理规划4.3.1 VTP管理域VTP DOMAIN称为管理域,是VLAN中继协议
27、。在行政楼网络设计中,在行政楼内部划分了6个VLAN,如果要在每台交换机上都进行同一个VLAN建立,无疑加重了网络工程中网络配置的工作量,而且在以后新加VLAN时增加了管理员的工作量,所以在接入层和汇聚层的交换机上配置VTP,所有交换机配置为相同的管理域,三层交换机配置成服务器模式,这样只要在Server模式的交换机上配置VLAN,管理域里所有的交换机就能够了解彼此的VLAN列表,减少在多台设备上配置同一个VLAN的工作量。而且保持了VLAN配置的统一性。VTP配置信息如下表4.3.1所示:表4.3.1VTP信息设备名称DomainpasswordMode3S1ciscociscoServer
28、3S2ciscociscoServer3S3ciscociscoServer3S4ciscociscoServer2S1ciscociscoClient2S2ciscociscoClient2S3ciscociscoClient2S4ciscociscoClient2S5ciscociscoClient注:交换机为Server模式是指允许在本交换机上创建、修改、删除VLAN及对整个VTP域的配置参数。Client模式则不允许在本交换机上创建、修改、删除VLAN。4.3.2 IP地址管理网络中需要为所有的PC机配置IP地址,由于行政楼网络中有150多个信息点,为每一台PC手工配置地址的工作量相当
29、大,为了简化行政楼网络的配置,在3S3三层交换机上采用DHCP技术,网内的主机除服务器外均通过DHCP服务器动态主机分配协议,自动获得IP地址,减轻了网络配置的工作量,同时当某个部门增加主机时不需要查看哪些IP地址可用,更不用担心IP地址配置冲突。DHCP配置的详细信息如下表4.3.2所示:表4.3.2DHCP信息名称IP地址池默认网关DNS描述VLAN10172.80.10.2-252172.80.10.1172.80.60.2行政部VLAN20172.80.20.2-252172.80.20.1172.80.60.2技术部VLAN30172.80.30.2-252172.80.30.117
30、2.80.60.2财务部VLAN40172.80.40.2-252172.80.40.1172.80.60.2教务部VLAN50172.80.50.2-252172.80.50.1172.80.60.2后勤部4.3.3 TELNET远程登录如果每次管理维护交换机与路由器时都到设备所在的现场进行配置,管理员工作量很大且麻烦,为提高工作效率,在交换机路由器上进行telnet设置,以后再需要配置交换机与路由器时,管理员可以通过 telnet远程方式登录,然后进行配置与管理。需要注意的是,交换机的telnet 管理IP配置在Vlan虚拟接口上,而路由器或路由交换机的管理IP在物理接口上,不在同一网段在
31、交换机需加默认网关Ip default-gateway,Telnet登录配置的详细信息如下表4.3.3所示:表4.3.3Telnet登录信息设备名称管理IP地址用户名密码特权密码R1192.168.3.2/192.168.4.2adim123123453S1192.168.1.2adim123123453S2192.168.2.2adim123123453S3172.16.1.253adim123123453S4172.16.1.254adim123123454.4 网络安全设计4.4.1 VLAN规划VLAN(虚拟局域网)它依靠用户的逻辑设定将原来物理上互连的一个局域网络划分为多个虚拟网段。
32、虚拟网络(VLAN)技术在局域网中起到举足轻重的作用,因为VLAN技术可以提高行政楼网络的效率和安全性,便于对用户的管理。在本设计中对行政楼内部的不同部门划分不同的VLAN进行管理,以达到以下几个目的:1控制网络上的广播风暴。行政楼网络的客户端有上百台设备,如所有设备都在一个VLAN中,当某台设备发出一个广播报文,报文到达交换机后就会被交换机复制到除接收该报文接口外的其余所有接口,浪费了其余设备带宽。本方案将不同部门划分到不同的VLAN中,能够很好的保证一个VLAN中的广播不会被另一个VLAN接收,这样就减少了广播流量,释放更多的带宽给用户应用。一个VLAN内的通信主机原则上不超过50台控制在
33、30台内,后勤部的主机数量超过20台,通过二层隔离,三层交换的方式来解决。2、加强了网络的安全性。一个VLAN为一个单独的广播域,VLAN间相互隔离,提高了网络的利用率。行政楼内不同部门需要配置不同的访问权限,以保护保密数据的安全,最有效的方法是将网络划分成几个不同的广播域,划分VLAN时禁止未经允许的用户访问VLAN中的应用,确保网络的安全性和保密性。3简化网络管理根据分析计算,传统的局域网中约有70%的网络花销是因为添加、删除、移动、更改网络用户而导致的。VLAN技术可以实现在VLAN网中移动或变更工作站地理位置,不必改变网络物理拓扑结构,就能重组网络的逻辑结构。有利于行政楼未来网络的扩充
34、。在多种划分VLAN的方式中,本设计选择以交换机物理端口为依据来划分VLAN,在配置VLAN之前,为了使一条链路能为多个VLAN传送流量,把内部局域网中所有的交换机与交换机之间的链路全部设置为Trunk链路,这样VLAN信息就可以在各交换机之间传递,不同交换机但是同一个VLAN的用户也可以相互访问,即节省了网络硬件的成本,从而也扩展整个网络。然后在VTP管理域中的任何一台属性为Server的交换机上建立VLAN,它就会通过VTP通告整个管理域中的所有交换机,只要在接入层的交换机上把同一个部门的端口全部划分进同一个VLAN就行了。行政楼内部有150多个信息点,分5个部门,每个部门划分一个VLAN
35、,VLAN配置信息如下表4.4所示:表4.4VLAN信息VLAN 号名称描述1管理10xzb行政部20jsb技术部30cwb财务部40jwb教务部50hqb后勤部60Server服务器但如果要将交换机的端口划入某个VLAN,就必须在该端口所属的交换机上进行设置。4.4.2 VPN技术VPN(虚拟专用网)为我们提供一种通过公用网络安全对行政楼内部专用网络进行远程访问的连接方式。VPN的使用降低了费用、增强内网的安全性、IP地址安全。使学生在校外也能访问校园网。4.4.3 ACL访问控制通过访问列表,可以设置允许或拒绝某些数据包通过,或者允许或拒绝某些端口进行访问和使用,从而达到设置网络安全策略,防止网络中的敏感数据受到非授权访问的情况。访问控制列表控制了网络的流量,控制了用户的网络行为,控制了网络病毒的传播。本设计方案配置ACL应用在各部门的VLAN接口上,控制各部门访问。教务部能访问后勤部,但不能访问财务部、行政部和技术部。财部部内部可以互访问,可以访问其他所有网段,但不能访问技术部。行政部可以访问所有网段。技术部不能访问财务部和行政部,但可以访问其他所有网段。后勤部只能访问服务器网段。专心-专注-专业
限制150内