全套可編輯PPT課件單元2網絡綜合布線系統設計單元1網絡安全系統集成概述目錄單元3網絡工程設計單元5網絡工程的實施與測試驗收單元4網絡系統安全設計單元6網絡系統安全管理

引例描述

計算機網絡技術是計算機技術和通信技術的融合與交集，涉及多個交叉學科領域。如今，各行各業的大、中、小企事業單位都要組建網絡，應當以用戶的網絡應用需求和投資規模為出發點，綜合應用計算機技術和網絡通信技術，合理選擇各種軟硬件產品，通過網絡集成商相關技術人員的集成設計、應用開發、安裝組建、調試和培訓、管理和維護等大量專業性工作和商務工作，使集成后的網絡安全系統具有良好的性價比，滿足用戶的實際需要，成為穩定可靠的計算機網絡系統。網絡安全系統集成是一項綜合性很強的系統工程，本書主要介紹網絡安全系統的規劃、設計、組建和維?護。

學習目標

掌握網絡需求分析技能；具備開展需求調研、形成網絡安全需求報告的能力；具備理論聯系實際和團隊協作的素?養。

小明家的房子是兩室一廳，小明和父母都需要在家里使用計算機上網。為了避免沖突，小明家準備購買3臺PC（個人計算機）。其中，兩臺臺式計算機固定在客廳里上網，一臺筆記本電腦（帶有無線網卡）需要在家里的任何地方都能夠上?網。

任務場景

利用互聯網了解網絡系統集成的基本概念，認知網絡系統集成是一個發展的概念。歸納總結網絡系統集成的基本過程，知道每一過程的主要功能。

對比TCP/IP模型，認知網絡系統集成的體系結構。

總結網絡系統集成項目能順利實施的主要要求有哪?些。

任務布置1.網絡系統集成的定義（1）網絡的概念。這里提到的網絡，指的是計算機網絡，如校園網、園區網、企業網等。從計算機網絡的概念來看，它含有系統集成成分，但不具有更專業的技術和工?藝。（2）系統的概念。系統是為實現特定功能，以達到某一目標而構成的相互關聯的一個集合體。計算機網絡中的計算機、交換機、路由器、防火墻、系統軟件、應用軟件、通信介質等就體現了一個有機的、協調的集合?體。（3）集成的概念。集成是將一些孤立的事物和元素通過某種方式集中在一起，產生有機的聯系，從而構成一個有機整體的過程和操作方法。因此，集成是一種過程、方法和手?段。、1.1.1網絡系統集成的概念1.網絡系統集成的定義網絡系統集成包含以下要?素。（1）目標：系統生命周期中與用戶利益始終保持一致的服?務。（2）方法：先進的理論+先進的手段+先進的技術+先進的管?理。（3）對象：計算機及通信硬件+計算機軟件+計算機使用者+管?理。（4）內容：計算機網絡集成+信息和數據集成+應用系統集?成。1.1.1網絡系統集成的概念

2.為什么需要網絡系統集成

網絡系統集成不是各種硬件和軟件的堆積，而是一種在系統整合、系統再生產過程中為滿足客戶需求的增值服務業務，是一種價值再創造的過程。從工程角度來看，網絡系統集成包括3個層面—技術集成、產品集成和應用集成。1.1.1網絡系統集成的概念

網絡系統集成技術和產品集成涉及不同的標準和行業規范，其復雜性體現在4個方面—技術、成員、環境和約束1.1.2網絡系統集成的復雜性

1.較高的質量水準 2.網絡系統建設速度快 3.交鑰匙解決方案 4.標準化配置1.1.3網絡系統集成的優點

2．網絡安全結構劃分

通常，從技術層面，按時間推移，將網絡系統集成過程粗略分為網絡需求分析、邏輯網絡設計、物理網絡設計、網絡安裝與調試、網絡驗收與維護等1.1.4網絡系統集成的基本過程1.1.5網絡系統集成的體系結構 1.網絡工程甲方 2.網絡工程乙方 3.網絡工程監理方1.1.6網絡系統集成的主體結構1.1.6網絡系統集成的主體結構網絡工程甲方是需要建設計算機網絡的單位，也稱用戶，是計算機網絡工程的提出者和投資方。甲方的人員組成主要包括行政聯絡人和技術聯絡人。

行政聯絡人是甲方的工程負責人，一般由甲方的行政領導擔任。

技術聯絡人是甲方的工程技術負責人甲方的職責是編制標書、組織招投標、監督工程、組織網絡專家對計算機網絡工程進行可行性論證等。1.1.6網絡系統集成的主體結構網絡工程乙方工程乙方是計算機網絡工程的承建者。網絡工程的量比較大，可以由多個公司承擔網絡工程的建設任務。乙方的主要職責是：編制投標書、簽訂工程合同、進行用戶需求調查、規劃設計、制訂實施計劃、產品選型、系統集成、合同規定的其它

工作等。經銷商、系統集成商、開發商。1.1.6網絡系統集成的主體結構網絡工程監理方是指為了幫助用戶建設一個性價比最優的網絡系統，在網絡工程建設過程中，給用戶提供前期咨詢、網絡方案論證、確定系統集成商、網絡質量控制等服務。提供工程監理服務的機構就是監理方，工程監理方的人員組織包括總監理工程師、監理工程師、監理人員等。網絡工程監理方的主要職責是：幫助用戶做好需求分析、選擇好的系統集成商、控制工程進度、控制工程質量、作好各項測試工作。 1.網絡需求分析。 2.規劃拓撲結構。 3.選擇網絡技術。 4.確定互聯方式。 5.規劃IP地址。 6.選擇網絡設備。 7.網絡系統實施。

（1）訂購網絡產品。

（2）設備安裝調試。（3）整理技術文檔。任務實施單元2網絡綜合布線系統設計單元1網絡安全系統集成概述目錄單元3網絡工程設計單元5網絡工程的實施與測試驗收單元4網絡系統安全設計單元6網絡系統安全管理

引例描述

計算機網絡技術是計算機技術和通信技術的融合與交集，涉及多個交叉學科領域。如今，各行各業的大、中、小企事業單位都要組建網絡，應當以用戶的網絡應用需求和投資規模為出發點，綜合應用計算機技術和網絡通信技術，合理選擇各種軟硬件產品，通過網絡集成商相關技術人員的集成設計、應用開發、安裝組建、調試和培訓、管理和維護等大量專業性工作和商務工作，使集成后的網絡安全系統具有良好的性價比，滿足用戶的實際需要，成為穩定可靠的計算機網絡系統。網絡安全系統集成是一項綜合性很強的系統工程，本書主要介紹網絡安全系統的規劃、設計、組建和維?護。

學習目標

掌握網絡需求分析技能；具備開展需求調研、形成網絡安全需求報告的能力；具備理論聯系實際和團隊協作的素?養。

某知名外企ABC公司步入中國，在重慶建設了自己的中國總部。為滿足公司經營、管理的需要，準備建立公司信息化網絡。ABC公司總部設有市場部、財務部、人力資源部、企劃部4個部門，并在上海、廣州兩地各設立一個公司分部。為了業務的開展，需要安全訪問公司內部服務器。根據ABC公司的建網需求，在經過競爭激烈的招投標后，從事網絡工程及系統集成業務的川海高新技術有限公司承接了ABC公司網絡組建項目，目前進入了項目的啟動階段。按照ABC公司網絡的設計要求，為了確保網絡部署成功，需要分析用戶需求、網絡設備選型，并制定項目實施流?程。

任務場景1.通過實地調查收集相關需求數據。2.對目標網絡需求進行分析。3.制定任務實施步驟。4.形成網絡安全分析文?檔。

任務布置1.2.1網絡需求分析與網絡需求調查的必要性BECDA建網動因應用需求網絡覆蓋范圍內外網通信條件建網約束條件回答為什么需要進行相關的網絡設計回答所建網絡應包括哪些應用系統以及需要解決的實際問題包括地理范圍、使用者范圍和數量，主要回答網絡有多大回答目前已有或可用的通信條件，目前狀況如何即定量、定性條件及經費約束條件等1.網絡需求調查要解決的問題2.網絡需求調查為網絡需求分析提供基本素材1.2.1網絡需求分析與網絡需求調查的必要性通過需求調查可以獲取用戶的真正需求用戶所了解的需求與網絡工程人員理解的需求可能存在差異在項目開始之前，不能知曉真正的需求另外需求本身是一個動態變化的過程需求調查完成后，對需求說明書進行細化，對比較復雜的用戶需求還有進行建模分析，以幫助開發人員更好地了解需求因此將收集到的需求進行多次分析整理，直到雙方理解為止

3.網絡需求分析為項目設計提供基本依據

1.2.1網絡需求分析與網絡需求調查的必要性更好地評價網絡體?系能夠客觀地做出決?策提供完美的交互功?能提供網絡的移植功?能合理使用用戶的資?源1.2.2網絡需求調查方法和調查內容決策者的建設思路用戶提供的歷史資料、行業資料和使用狀況等資料用戶技術人員的細節描述網絡使用者對網絡的需求1.需求來源1.2.2網絡需求調查方法和調查內容問卷調查會議座談用戶訪談實地考察同行咨詢2.需求調查的方法1.2.2網絡需求調查方法和調查內容3.需求調查的內容一般狀況調查（每個網絡都因業務不同而有其不同的解決方案）也叫業務需求網絡使用環境、企業組織結構、人員組成及分布內、外網連接、發展狀況、企業和行業特點現有可用資源、投資預算、用戶期望目標1.2.2網絡需求調查方法和調查內容3.需求調查的內容性能需求調查（主要解決用戶體驗效果）也稱用戶需求網絡性能是指該系統完成任務的有效性、穩定性和響應速率性能需求調查決定系統性能檔次、所采用的技術和設備檔次性能需求涉及很多的具體方面，有總體網絡接入性能需求、交換機服務器等關鍵設備響應性能需求、磁盤讀寫性能要求1.2.2網絡需求調查方法和調查內容3.需求調查的內容功能需求調查（考慮網絡本身運行和將來對其維護的需求）也稱網絡需求主要側重于網絡自身的功能，而不包括應用系統是否配置網管系統、服務器管理系統、第三方數據備份和容災系統、磁盤陣列系統、網絡存儲系統、服務器容錯系統是否需要多域，或多子網、多服務器更多的網絡功能需求還體現在具體的網絡設備上1.2.2網絡需求調查方法和調查內容3.需求調查的內容應用需求調查（在網上做什么，涉及網絡應用和網絡服務）期望使用的操作系統、辦公系統、數據庫系統是哪些？打印、傳真和掃描業務是否多主要內部網絡應用是否需要使用公司內（外）部的郵件服務是否需要用到公司內（外）部網站服務是否需要用到一些特定的行業管理系統1.2.2網絡需求調查方法和調查內容3.需求調查的內容管理需求調查網絡管理的功能主要體現在配置管理、故障管理、性能管理、安全管理和記賬管理等幾個方面。安全需求調查

網絡安全的目標是使用戶的網絡財產和資源損失最小化安全性的基本要求是防止用戶網絡資源被盜用和破壞1.2.3網絡需求分析2.網絡業務需求分析（1）確定需要聯網的業務部門及相關人員，了解各個工作人員的基本業務流程以及網絡應用類型、地點和使用方?法。（2）確定網絡系統的投資規模，預測網絡應用的增長率（確定網絡的伸縮性需求）。（3）確定網絡的可靠性、可用性及網絡響應時?間。（4）確定Web站點和Internet的連接?性。（5）確定網絡的安全性及有無遠程訪問需?求1.2.3網絡需求分析3.網絡管理需求分析（1）是否需要對網絡進行遠程管理，遠程管理可以幫助網絡管理員利用遠程控制軟件管理網絡設備，使網管工作更方便、更高?效。（2）誰來負責網絡管?理。（3）需要哪些管理功能，如是否需要計費，是否要為網絡建立域，選擇什么樣的域模式?等。（4）選擇哪個供應商的網管軟件，是否有詳細的評?估。（5）選擇哪個供應商的網絡設備，其可管理性如?何。（6）需不需要跟蹤和分析處理網絡運行信?息。1.2.3網絡需求分析4.網絡安全需求分析（1）企業敏感性數據的安全級別及其分布情?況。（2）網絡用戶的安全級別及其權?限。（3）可能存在的安全漏洞，這些漏洞對本系統的影響程度如?何。（4）網絡設備的安全功能要?求。（5）應用系統安全要?求。（6）采用什么樣的殺毒軟件。（7）采用什么樣的防火墻技術方?案。（8）網絡遵循的安全規范和達到的安全級?別。1.2.3網絡需求分析5.外部聯網需求分析（1）是否接入Internet，內網與外網是否需要隔?離。（2）采用哪種上網方?式。（3）與外部網絡連接的帶寬要?求。（4）是否要與某個專用網絡連?接。（5）上網用戶權限如何，采用何種收費方?式。1.2.3網絡需求分析6.網絡擴展性需求分析（1）企業需求的新增長?點。（2）已有的網絡設備和計算機資?源。（3）哪些設備需要淘汰？哪些設備還可以保留？（4）網絡節點和布線的預留比?率。（5）哪些設備（是否模塊化結構）便于網絡擴展？（6）主機（CPU的數量、插槽數量、硬盤容量等）設備的升級性?能。（7）操作系統（升級方式）平臺的升級性?能。（8）所采用的網絡拓撲結構是否便于添加網絡設備、改變網絡層次結構？1.2.4網絡安全系統集成實例2.ABC公司網絡整體需求

按照部門進行網段劃分，同時保證部門間的廣播隔離；確保網絡帶寬主干千兆位，百兆位到桌面；網絡必須要有冗余機制，避免單點故障而導致全網癱瘓；公司網絡所有用戶能接入Internet；公司總部和分部內網實現網絡互通。1.2.4網絡安全系統集成實例3.ABC公司網絡功能分析

為了實現總部和分部各部門二層隔離，在交換機上劃分VLAN；實現二層鏈路的冗余和負載均衡，在交換機上配置MSTP協議；實現網絡三層鏈路冗余和負載均衡，交換機上使用VRRP協議；保障核心網絡鏈路帶寬，實現流量的負載均衡，需在核心層交換機上做鏈路聚合；總部和分部的內部網絡均采用RIPv2協議，用于建立通往內部網絡中各個子網的傳輸路徑的路由項。使用OSPF協議用于建立隧道兩端經過公共網絡的傳輸路徑和內網用戶訪問Internet的傳輸路徑。分部網絡使用單臂路由技術實現VLAN間的路由；總部和分部使用NAT技術，實現內部用戶訪問互聯網資源。1.2.4網絡安全系統集成實例4.ABC公司網絡工程設計網絡工程設計就是要明確采用哪些技術規范，構筑一個滿足哪些應用需求的網絡系統，從而為用戶要建設的網絡系統提供一套完整的實施方案。1.2.4網絡安全系統集成實例4.ABC公司網絡工程設計

邏輯網絡設計—網絡拓撲結構設計：由于ABC業務部門較多，同時還涉及與各分支機構的互聯，從網絡架構的合理性及易管理性方面考慮，整個ABC公司的網絡應根據各種應用的功能進行分區域規劃設計。1.2.4網絡安全系統集成實例4.ABC公司網絡工程設計

邏輯網絡設計—IP地址規劃：一方面確保子網的大小能夠符合相應部門或連接對IP地址的需求，另一方面又盡量避免IP地址的浪費。

邏輯網絡設計—交換策略：對于有較高帶寬要求的部門，可以考慮使用LACP協議將多條物理鏈路聚合成一條邏輯鏈路。對于網絡的可靠性要求比較高的部門，可以在數據鏈路層引入冗余鏈路并運行STP。邏輯網絡設計—路由技術：由于在IP地址規劃中采用了VLSM技術，選擇無類別的路由選擇協議進行不同網段之間的路由。對于網絡的可靠性要求比較高的部門，可以在網絡層引入冗余設備和冗余鏈路并運行VRRP協議。1.2.4網絡安全系統集成實例4.ABC公司網絡工程設計邏輯網絡設計—廣域網技術：總部和分部之間使用廣域網連接，運行PPP協議。

邏輯網絡設計—網絡設備管理：網絡設備必須能夠遠程登錄進行配置管理，同時必須對所有的網絡設備上的操作系統及配置文件進行備份。1.2.4網絡安全系統集成實例4.ABC公司網絡工程設計網絡網絡設計

具體包括局域網技術的選擇、確定網絡設備及選擇不同的傳輸介質。網絡部署

包括機房裝修和綜合布線，本書不做介紹。調試和驗收

網絡工程實施主要包括軟硬件設備的采購、安裝、配置、調試和培訓等，通過系統綜合測試，一是為了充分暴露系統是否存在潛在的缺陷及薄弱環節，以便及時修復；二是檢驗系統的性能是否達到設計標準要求。1.2.4網絡安全系統集成實例5.ABC公司網絡安全總體要求全面有效地保護公司網絡設備及軟件系統的安全。可自動和手動分析網絡安全狀況，實時監測并及時記錄潛在的安全威脅。不影響公司信息系統的正常運行，具有很強的可用性和及時恢復性。滿足公司業務需求和企業可持續發展需求，具有很強的可擴展性和柔韌性。所采用的安全設備和技術通過我國安全產品管理部門的合法認證。1.2.4網絡安全系統集成實例6.ABC公司網絡安全工作任務對ABC公司網絡面臨的威脅及可能承擔的風險進行定性與定量的風險評估。對操作系統本身的缺陷以及可能承擔的風險進行定性與定量的風險評估。對應用系統存在的問題、面臨的威脅及可能承擔的風險進行定性與定量的風險評估。制定該公司計算機網絡系統的安全策略和解決方案，確保該公司計算機網絡信息系統安全可靠地運行。1.2.4網絡安全系統集成實例7.ABC公司信息系統面臨的威脅

ABC公司信息網絡比較開放，終端數量較大，非常容易受到來自Internet本身的安全威脅。對公司自身來說，其科研人員承擔了大量的產品研制與開發任務，在開發過程中的數據需要采取嚴格的保護措施。公司網絡管理結構相對復雜，沒有系統的安全管理和安全事件監控機制。1.2.4網絡安全系統集成實例8.ABC公司網絡系統安全需求防止網絡廣播風暴影響系統關鍵業務的正常運轉，甚至導致系統的崩潰。嚴格控制各種人員對公司局域網的接入，防止公司內部涉密信息的泄露。控制公司網絡不同部門之間的相互訪問。實現公司局域網與其他網絡之間的安全，高效數據訪問。確保廣域網數據傳輸的保密性。網絡系統需要充分考慮到各種網絡設備的安全。1.2.4網絡安全系統集成實例9.ABC公司網絡安全風險分析整個網絡均采用開放的TCP/IP協議，面臨來自內、外網用戶的各類攻擊的安全風險。面臨某些少數用戶發起的“拒絕服務、病毒傳播”等惡意攻擊的安全風險。面臨著某些重要信息（如核心交換機等網絡設備的配置信息）泄露的安全風險。對公司用戶的管理帶來較大的困難，同時可能導致整個網絡出現安全漏洞隱患。網絡中運行的關鍵業務，在高質量數據傳輸的前提下，必須有充分的安全保障。1.2.4網絡安全系統集成實例10.ABC公司網絡安全策略制定業務需求和風險分析是安全策略制定的主要來源。安全策略規定了用戶、管理者和技術人員保護技術和信息資源的義務，也指明了訪問機構的技術人員和信息資源人員都必須遵守的規則。安全策略一般包括總體的策略（一般不是某種特定的技術，而是一些與網絡運行有關的更加宏觀的因素）和具體的規則（組織機構的最佳做法）。1.2.4網絡安全系統集成實例11.ABC公司網絡安全機制設計

ABC公司網絡安全機制設計物理安全機制設計：建立防輻射的屏蔽機柜，采用屏蔽雙絞線、屏蔽模塊和屏蔽配線架，配置防雷設備、UPS的安全配置以及防火系統。網絡系統安全機制設計：使用VLAN來為網絡內部提供安全性，在內部網絡和外部網絡之間使用防火墻，在網絡出口處安裝專用的入侵檢測系統，使用VPN來創立專用的網絡連接。信息安全保護設計：信息安全涉及信息的傳輸安全、信息存儲的安全以及網絡傳輸信息內容的審計等方面。選擇加密技術和身份認證技術來保證網絡中信息數據的安全。1.2.4網絡安全系統集成實例12.ABC公司網絡安全集成技術身份驗證技術。信息加密技術。訪問控制技術。虛擬專用網絡技術。網絡設備安全加固技術。網絡防病毒技術。網絡安全設備部署。1.任務問題描述。2.任務需求分析。3.根據提示完成任?務。任務實施單元2網絡綜合布線系統設計單元1網絡安全系統集成概述目錄單元3網絡工程設計單元5網絡工程的實施與測試驗收單元4網絡系統安全設計單元6網絡系統安全管理

引例描述

物理網絡設計的任務是為設計的邏輯網絡選擇環境平臺，主要包括結構化布線系統設計，為企業網絡選擇局域網和廣域網的技術及設備。由于邏輯網絡設計是物理網絡設計的基礎，因此邏輯網絡設計的商業目標、技術需求和網絡通信特征都會影響物理網絡設計。物理網絡設計成功與否，將會在未來數十年的運行中得到最好的印?證。

學習目標掌握網絡綜合布線相關用料計算、綜合布線系統工程設計的方法、網絡設備產品的查詢方法等技能；具備繪制網絡布線系統圖、編撰網絡綜合布線設計文檔的能力；具備精益求精、5S的職業素?養。

某大學新建一棟學生公寓樓，共6層，樓層高度為3m，每層36個房間，每個房間入住8名學生。該學生公寓樓土建工程已完成，學校要求在樓房裝修之前必須實施網絡綜合布線工程，以便實現每個學生以100Mb/s速率接入校園網，學生公寓樓則以1000Mb/s速率接入小區核心交換機。如果你是一名網絡布線管理員，請完成任務的需求分析和布線系統的詳細設?計。

任務場景利用互聯網了解綜合布線的相關國家技術標準、規范的要求。對工程實施的建筑物進行充分的調查研究。根據需求完成水晶頭、線纜、配線架、機柜、適配器等綜合布線用料計算。繪制綜合布線系統?圖。

任務布置

（1）布線系統是指由能夠支持電子信息設備相連的各種纜線、跳線、接插軟線和連接器件組成的系統。（2）綜合布線系統是建筑物或建筑群內的傳輸網絡，既可以與電話交換系統和數據通信系統及其他信息管理系統彼此相連，又能夠使這些設備與外部通信網絡相連接。2.1.1綜合布線系統的概念2.1.2綜合布線系統的組成1.工作區子系統2.水平子系統3.垂直子系統4.管理間子系統5.設備間子系統6.進線間子系統7.建筑群子系統

在我國，與綜合布線系統有關的國家標準主要是GB50311—2016《綜合布線系統工程設計規范》和GB/T50312—2016《綜合布線系統工程驗收規范》等。GB50311—2016規定了綜合布線系統的基本結構，如圖2-2所?示。2.1.3綜合布線系統的標準2.1.4綜合布線系統的距離規定

1.主干線路各個線段長度 ISO/IEC11801—2002-09和TIA/EIA568B.1標準對水平線纜、主干線纜的長度進行了規定，見表2-1。2.1.4綜合布線系統的距離規定

2.配線子系統各個線段長度

2.1.4綜合布線系統的距離規定

3.光纖線段的選擇

由于高速以太網對雙絞線的距離限制，大多數情況下，建筑群、干線子系統的雙絞線等線纜主要用于電話、報警信號等。網絡信號基本都不再使用雙絞線，而是由光纖替代。樓內宜采用多模光纖；建筑物之間宜采用多模或單模光纖；與電信服務商相連時，應采用單模光?纖。

2.1.5綜合布線系統的用料計算

1.RJ45水晶頭的需求量計算

m=n?

?4+n

4

5% （5-1）式中

m—RJ45?水晶頭的總需求量；n—信息點的總量；n

4

5%—富余?量。

2.1.5綜合布線系統的用料計算

2.信息模塊的需求量計算 m=n+n

3% （5-2）式中

m—信息模塊的總需求量；n—信息點的總量；n

3%—富余?量。

2.1.5綜合布線系統的用料計算

2.信息模塊的需求量計算其他與信息模塊相關的需求量要求如下：●信息插座面板的數量=信息模塊數÷信息插座面板的開口數●信息插座底盒的數量=信息插座面板的數量●光纖插座光纖適配器數＝光端口數＝光纖信息點數×2（每個光纖信息點需配2芯光纖）●光纖插座面板數＝光纖插座光纖適配器數÷光纖插座面板的光口數●光纖插座底盒數＝光纖插座面板數

2.1.5綜合布線系統的用料計算

3.雙絞線的用量計算

2.1.5綜合布線系統的用料計算

4.管道和線槽布放線纜的數量計算

在管道、線槽、橋架中布放線纜時，截面積利用率為

截面積利用率=管道（或線槽、橋架）截面積/線纜截面積

（5-5）管道內布放線纜的數量為

（5-6）式中

n—管道中布放線纜根數；K—截面積利用?率。

2.1.5綜合布線系統的用料計算

5.配線架的數量計算

連接至管理間的每根電/光纜應終接于相應的配線模塊，即1根4對雙絞電纜應全部固定終接在1個信息模塊通用插座上。配線模塊可按以下原則選擇：●多線對端子配線模塊可選用4對或5對卡接模塊，每個卡接模塊應卡接1根4對雙絞線電纜。一般100對卡接端子容量的模塊可卡接24根（采用4對卡接模塊）或20根（采用5對卡接模塊）4對對絞電?纜。●25對端子配線模塊可卡接1根25對大對數電纜或6根4對對絞電?纜。●回線式配線模塊（8或10回線）可卡接2根4對雙絞線或8/10回?線。●光纖連接器每個單工端口應支持1芯光纖的連接，雙工端口則支持2芯光纖的連?接。

2.1.5綜合布線系統的用料計算

5.配線架的數量計算

（1）設備間中語音系統的110配線架的規格的計算公式為 （5-7）

式中V—設備間中語音配線架的數量；

Sv—語音干線的線纜對數之和；

F—所采用110配線架的規格，如果采用50對110配線架，則取F=100，其余以此類?推。按照式（5-7）計算的結果，一半用于垂直干線的連接，一半用于建筑群干線的連?接。

2.1.5綜合布線系統的用料計算

5.配線架的數量計算

設備間的快接式配線架用量的計算公式為

（5-8）

式中D—設備間快接式配線架的數量；

Sd—數據干線的4對雙絞線的根數；

F—所采用快接式配線架的規格，取值方法與式（5-7）中的F類?似。按照式（5-8）計算的結果，一半用于垂直子系統的連接，一半用于建筑群子系統的連?接。

2.1.5綜合布線系統的用料計算

5.配線架的數量計算

光纖配線架數量的計算公式為

（5-9）

式中Df—設備間光纖配線架的數量；

Sf—數據干線的光纖芯數之和；

F—所采用光纖配線架的規格，取值方法與式（5-7）中的F類?似。

如果計算樓層配線間的配線架數量時沒有考慮數據干線采用光纖的情況，則按照式（5-9）計算的結果1/3用于樓層配線，1/3用于設備間與垂直子系統的連接，1/3用于設備間與建筑群干線子系統的連?接。

2.1.5綜合布線系統的用料計算

6.機柜數量計算

從設備及線纜的放置及端接角度考慮，將配線架及后期準備購買的交換機等網絡設備放置于一個網絡機柜。每個機柜最好留一些空間，以便日后網絡設備、服務器設備的擴充，在綜合布線機柜中有可能除了網絡布線外，還要布置電話線，所以要在機柜中預留一定空間，這可以根據具體設備進行預?算。

2.1.5綜合布線系統的用料計算

7.跳線數量計算

（1）管理子系統：一般為1m的跳線，其數量與線路數量比為1∶1。（2）工作區子系統：一般每個位置都配置一條2m的跳線，數量與位置數比為1∶1，并適當留有余?量。（3）設備間子系統：數量與線路數量比為1∶1。

2.1.6綜合布線系統工程設計

1.設計概述

綜合布線系統工程設計實施的具體步驟如下：（1）分析用戶需?求。（2）盡可能全面地獲取工程相關的建筑資?料。（3）系統結構設?計。（4）布線路由設?計。（5）繪制綜合布線施工?圖。（6）計算出綜合布線用料清?單。

2.1.6綜合布線系統工程設計

1.設計概述

某大學新建一棟學生公寓樓，共?6?層，樓層高度為?3m，每層?36?個房間，每個房間入住?8?名學生。該學生公寓樓土建工程已完成，學校要求在樓房裝修之前必須實施網絡綜合布線工程，以便實現每個學生以?100Mb/s?速率接入校園網，學生公寓樓則以?1000Mb/s?速率接入小區核心交換機。學生公寓樓的建筑平面圖如圖

所?示。

2.1.6綜合布線系統工程設計

2.需求分析

（1）確定設備間及樓層管理間的位置。（2）確定每個房間的信息點。（3）確定每個房間信息點的安裝位置。（4）確定每個房間信息點至樓層電信間的布線路由。（5）以樓層管理間為中心，現場測量最遠信息點和最近信息點的距離。（6）以設備間為中心，確定干線路由及距離。（7）確定設備間與小區中心機房的布線路由及距離。

2.1.6綜合布線系統工程設計

3.系統設計

本部分詳細內容參見任務實施部?分。2.1.7綜合布線系統管理設計

1.電纜管理設計

（1）電纜標記。將塑料標牌或不干膠系在電纜端頭或貼到電纜表面。（2）插入標記。將硬紙片用顏色塊標識相應線對的卡接位置。（3）場標記。場標記又稱區域標記，是一種色標標記。

2.1.6綜合布線系統工程設計

2.光纜管理設計

光纜管理采用單點管理方式，如圖所示

2.1.6綜合布線系統工程設計

2.光纜管理設計

光纜管理采用兩種標記，即交連標記和光纜標?記。（1）交連標?記。交連標記標在交連點。

2.1.6綜合布線系統工程設計

2.光纜管理設計

（2）光纜標記。光纜標記提供光纜遠端的位置和該光纜的特殊信息1.工作區子系統設計。2.水平子系統設計。3.管理間子系統設計。4.垂直子系統設計。5.設備間設計。6.建筑群子系統設計。7.進線間子系統設計。任務實施單元2網絡綜合布線系統設計單元1網絡安全系統集成概述目錄單元3網絡工程設計單元5網絡工程的實施與測試驗收單元4網絡系統安全設計單元6網絡系統安全管理

引例描述

物理網絡設計的任務是為設計的邏輯網絡選擇環境平臺，主要包括結構化布線系統設計，為企業網絡選擇局域網和廣域網的技術及設備。由于邏輯網絡設計是物理網絡設計的基礎，因此邏輯網絡設計的商業目標、技術需求和網絡通信特征都會影響物理網絡設計。物理網絡設計成功與否，將會在未來數十年的運行中得到最好的印?證。

學習目標掌握網絡綜合布線相關用料計算、綜合布線系統工程設計的方法、網絡設備產品的查詢方法等技能；具備繪制網絡布線系統圖、編撰網絡綜合布線設計文檔的能力；具備精益求精、5S的職業素?養。

某大學新建一棟學生公寓樓，共6層，樓層高度為3m，每層36個房間，每個房間入住8名學生。該學生公寓樓土建工程已完成，學校要求在樓房裝修之前必須實施網絡綜合布線工程，以便實現每個學生以100Mb/s速率接入校園網，學生公寓樓則以1000Mb/s速率接入小區核心交換機。在完成布線系統綜合設計的基礎上，進一步完成網絡設備選型，最終形成網絡布線工程設計文檔，為后續招投標提供設計方?案。

任務場景研究交換機的重要性能指標。學習交換機的選型原則。探究層次網絡結構中交換機選型方法和技巧。繪制綜合布線系統圖。綜合網絡系統布線詳細設計、設備選型和系統圖，撰寫綜合布線工程設計方?案。

任務布置1.交換機產品的種類

（1）根據交換機使用的網絡傳輸介質及傳輸速度分類。2.2.1網絡設備的選型1.交換機產品的種類

（2）根據交換機應用的網絡層次進行分類。2.2.1網絡設備的選型1.交換機產品的種類

（3）根據OSI的分層結構分類。2.2.1網絡設備的選型2.交換機的重要性能指標

（1）端口類型。

①光纖端口：

②GBIC端口： ③SFP端口：2.2.1網絡設備的選型2.交換機的重要性能指標

（2）MAC地址表。

（3）包轉發速率。

包轉發速率=千兆端口數量×1.488Mp/s+百兆端口數量 ×0.1488Mp/s+其余端口數量×相應的計算方法

（4）背板帶寬。

總帶寬=端口數×端口速率×2（全雙工模式）2.2.1網絡設備的選型3.交換機性能比較

（1）根據交換機使用的網絡傳輸介質及傳輸速度分類。2.2.1網絡設備的選型4.交換機產品的選擇

（1）功能需求。

（2）擴展能力和先進性。

（3）價位。

（4）品牌。2.2.1網絡設備的選型1.一個配線間的布線系統

建筑A只有一個配線間，該建筑的所有用戶都連接到這個配線間，并通過光纖連接到網絡中心的建筑。用戶的信息點數量共計45（10+15+20=45）個。圖中交換機的選擇方法有多?種。2.2.2影響網絡設備選型的因素1.一個配線間的布線系統

（1）選擇一臺48口10/100BASE-T的交換機，并配置一個1000BASE-SX光纖端?口。

（2）也可以選擇兩臺24口10/100BASE-T的交換機進行堆疊，需要配置兩個1000BASE-T的堆疊端口和一個1000BASE-SX光纖端?口。

（3）還可以選擇兩臺24口10/100BASE-T交換機分別上連，配置兩個1000BASE-SX光纖端?口。2.2.2影響網絡設備選型的因素2.兩個配線間的布線系統

仍然以上述建筑為例。由于這棟建筑狹長，按照一個設備間的結構設計，建筑物內3層上的一些用戶信息點到配線間的距離超過90m，布線系統必須設置兩個配線間2.2.2影響網絡設備選型的因素 1.端口數量 2.支持網絡管理 3.支持VLAN 4.支持堆疊 5.千兆上連

2.2.3接入層交換機的選擇

（1）局域網的匯聚層設備是指接入交換機與核心交換機之間的匯聚交換機；

（2）而廣域網的匯聚層設備是指接入路由器與核心路由器之間的路由器。

（3）匯聚層交換機必須支持VLAN技術和三層交換功能，能夠實現VLAN之間的通信和訪問控制。

2.2.4匯聚成交換機的選擇1.端口數量

2.2.5核心層交換機的選擇2.交換能力

交換機的交換能力一般是通過交換容量和吞吐量來衡量的。交換容量也稱背板帶寬，是指交換機的CPU和數據總線能夠處理的最大數據，用速率單位表示，一般為Gb/s。交換容量越大，交換能力就越強，成本也越高。

2.2.5核心層交換機的選擇3.擴展能力網絡的擴展能力是指在基本結構和性能基本保持不變的情況下，現有規模的網絡可以增加連接用戶的端口數量。擴展能力主要體現在網絡的核心層，包括帶寬容量和端口容量的富余。網絡的可擴展能力可使網絡能夠適應用戶單位一段時間內的應用需求變化，具體需要保留多少富余的端口應視用戶單位未來的發展情況而定。

2.2.5核心層交換機的選擇4.確定設備型號和配置模塊

方案內容

綜合布線的設計文檔主要由設計方案和施工圖樣兩部分組成2.方案編寫方法

通常使用微軟的Word編寫，注意內容完整、美觀、無錯別字，裝訂也要盡量精美，以便給用戶留下好印?象。3.方案格式說明（1）封面。

（2）目錄。（3）引言。

（4）設計方?案。（5）施工圖?紙。2.2.6綜合布線工程設計文檔編制1.設計標準頁面。2.自行設計封面。3.設計三級目錄。4.撰寫正文內容。5.參加成果分享。任務實施單元2網絡綜合布線系統設計目錄單元1

網絡安全系統集成概述單元5網絡工程的實施與測試驗收單元4網絡系統安全設計單元6網絡系統安全管理單元3網絡工程設計

引例描述網絡工程設計就是要明確采用哪些技術規范，構筑一個滿足應用需求的網絡系統，從而為用戶要建設的網絡系統提供一套完整的實施方案。網絡工程設計是一個把網絡需求目標向技術解決方案映射的過程，是網絡工程項目實施的重要依據，是網絡系統集成的核心內容，其涉及兩個層面：物理層面的網絡設計，包括綜合布線系統設計、設備選型等；邏輯層面的網絡設計，主要工作是選擇能實現網絡需求的技?術。

學習目標

掌握網絡技術選擇、網絡拓撲結構設計、網絡地址規劃與設計和網絡系統路由設計等技能。具備規劃與設計可靠性高、擴展性好的互聯網絡系統的能力。具有大國工匠精神、團隊協作精神以及良好的社會公德。

如圖所示為某組織的網絡拓撲結構設計圖，請分析該網絡拓撲結構是如何體現網絡工程設計的基本原則?的。

任務場景研究如何確定網絡設計目標。研究互為矛盾體的技術指標之間如何平衡。學習網絡體系結構的基本知?識。

任務布置 1.組織目標

2.技術目標3.1.1網絡工程設計的目標

1.實用性原?則 2.開放性原?則 3.高可用性/可靠性原?則 4.安全性原?則 5.先進性原?則 6.可擴展性原?則 7.網絡設計的其他原?則3.1.2網絡工程設計的原則 1.物理層設計（1）確定在網絡的不同位置使用何種傳輸介質

（2）確定物理層標準 2.MAC子層設計 3.網絡層設計

（1）幀格式轉換

（2）路由選擇

（3）地址解析3.1.3網絡體系結構設計可靠性分析。擴展性分析。安全系分析。先進性分析。開放性分析。

任務實施歸納總結

網絡工程建設目標關系到現在和將來幾年用戶方的網絡信息化水平及網絡應用系統的成敗，因此，在網絡工程設計之前應對設計原則進行平衡，并確定各項原則在方案設計中的優先級。網絡體系結構設計指確定計算機網絡的層次結構及每層所使用的協議。就局域網而言，它所覆蓋的層次主要包括物理層和數據鏈路層，其中設計的重點是物理層和MAC子層；而廣域網的物理線路和傳輸服務屬于電信公共網絡，不屬于計算機網絡物理層的設計范圍。計算機網絡用戶所要做的工作是選擇一種接入方式和租用某種傳輸服務，但是出于計算機網絡互聯的需要，還需設計高層的協議及互聯通信技?術。

某公司采用如圖所示的網絡拓撲結構，子網使用/24和/24，要求能夠隔離不同子網的廣播流量，避免廣播風暴的發生，解決網絡擁塞問題和提高網絡的健壯性，請給出網絡設計方?案。

任務場景探究VLAN技術。

探究STP技術。

探究鏈路聚合技術。

探究網關榮譽技術。

設計提高網絡可靠性的解決方案。

任務布置 1.初期成本估計 2.網絡服務評估 3.技術選項評價3.2.1網絡技術選擇的要素

1.VLAN實現途徑

（1）基于端口的VLAN

（2）基于MAC的VLAN

（3）基于協議的VLAN

（4）基于IP組播的VLAN 2.VLAN的分類

（1）管理VLAN

（2）本征VLAN

（3）業務VLAN

（4）語音VLAN3.2.2VLAN設計 3.本地VLAN和端到端VLAN

3.2.2VLAN設計本地VLAN端到端VLAN 4.VLAN間的通信

（1）用路由器實現VLAN間的路由。

（2）用802.1Q和子接口實現VLAN間的路由。

（3）使用SVI實現VLAN間的路由。 5.VLAN劃分原則

3.2.2VLAN設計 6.VLAN規劃建議

（1）不能將VLAN1作為業務VLAN、管理VLAN、本征VLAN來使?用。

（2）業務VLANID間保持間距，方便以后創建相近的VLAN。

（3）為每一個VLAN規劃VLAN描述符，增強可讀?性。

（4）每個VLAN內支持的終端數目不宜超過64個。

（5）不宜劃分過多的VLAN。

（6）在Trunk鏈路上做VLAN修剪，提高網絡安全性和性?能。3.2.2VLAN設計 7.VLAN規劃要點

（1）確定在局域網中需要創建的VLAN個數，每個VLAN的ID、名稱、類型、對應的IP網絡?號。

（2）確定交換機的哪些端口為Trunk，Trunk封裝協議是什么，Trunk允許哪些VLAN數據幀通過，哪個VLAN作為Trunk上的本征VLAN。

（3）確定交換機的哪些端口為接入端口，該接入端口指派給哪個VLAN。3.2.2VLAN設計 1.STP基本術語（1）網橋ID（8字節）

（2）端口ID（2字節）

（3）根路徑開銷

（4）根網橋

（5）根端口

（6）路徑開銷

（7）指定端口

3.2.3STP設計鏈路帶寬成本（修訂前）成本（修訂后）10Gb/s121000Mb/s14100Mb/s101910Mb/s100100常見路徑開銷 2.STP的工作過程（1）交換BPDU。

（2）選舉根網橋。

（3）選舉根端口。

3.2.3STP設計配置BPDU包含的相關參數 3.STP端口狀態

STP定義了5種端口狀態：Disabled、Blocking、Listening、Learning和Forwarding。 4.STP的計時器 5.RSTP的引入 6.MSTP的引入 MSTP基于實例計算出多棵生成樹，每一個實例可以包含一個或多個VLAN，每一個VLAN只能映射到一個實例。3.2.3STP設計

鏈路聚合的主要功能是將兩個交換機的多條鏈路捆綁形成邏輯鏈路，而其邏輯鏈路的帶寬就是所有物理鏈路帶寬之和。3.2.4鏈路聚合設計 1.流量平衡

鏈路聚合可以根據報文的MAC地址或IP地址進行流量平衡，即把流量平均地分配到聚合端口的成員鏈路中。3.2.4鏈路聚合設計 2.PAgP和LACP PAgP是思科專有協議，而LACP是IEEE802.3ad定義的國際標準協?議。 3.鏈路聚合應用

（1）第二層接口（無Trunk）。

（2）第二層接口（有Trunk）。

（3）第三層接口。3.2.4鏈路聚合設計 1.VRRP簡介 VRRP是一種容錯協議，在提高可靠性的同時，簡化了主機的配置。

3.2.5冗余網關設計 2.VRRP的應用

（1）VRRP主備模式。

（2）VRRP負載分擔模式。

（3）VRRP與MSTP的結合。

3.2.5冗余網關設計VLAN設計。鏈路聚合設計。MSTP+VRRP設計。參加成果分享。

任務實施歸納總結

技術通過具體的協議來實現，不同網絡層次上要運行不同的協議。要實現網絡需求的具體功能，需要選擇合適的協議來實現。本主題針對網絡技術的選擇要素、以太網系列技術選擇、VLAN設計（二層廣播隔離技術）、STP設計（二層環路避免技術）、鏈路聚合設計（提高鏈路級可靠性技術）和冗余網關設計（提高設備級可靠性技術）等內容展開討論，并對這些主流網絡技術的典型應用場景進行了詳細分?析。

某職業學院人員包括教師、學生、行政辦公和家屬人員，希望構建一個所有人員能相互通信但相互隔離的網絡，需求如下：（1）網絡整體性能要求至少千兆主干，十兆到桌面；（2）便于擴展，滿足未來2年內網絡用戶增加的需要；（3）確保網絡接入的安全接入和方便管理；（4）考慮核心骨干網絡的可靠性，滿足電信級不斷網要求；（5）根據教師、學生業務要求，需要網絡有一定的可靠性措施；（6）所有用戶均能訪問Internet，并提供一定的可靠性和安全性；（7）網絡實行集中化統一管?理。你如何設計滿足用戶的網絡拓撲?圖？

任務場景探究網絡拓撲結構的類型及應用場合。

研究層次結構網絡模型。

分析網絡拓撲結構設計原則。

探究網絡拓撲結構設計內?容。

任務布置 1.平面拓撲結構 2.層次化拓撲結構

3.3.1網絡拓撲結構類型

目前的網絡分層設計模型采用三層網絡設計模型，三層網絡的層次依次分為核心層、匯聚層及接入層。3.3.2層次化網絡設計模型 1.接入層

接入層主要為最終用戶提供訪問網絡的能力，將用戶主機連接到網絡中，提供最靠近用戶的服務。 2.匯聚層

匯聚層的主要功能是匯聚網絡流量，屏蔽接入層的變化對核心層造成的影響。 3.核心層

核心層的主要功能是實現數據包高速交換，是所有流量的最終匯聚點和處理點。3.3.2層次化網絡設計模型 1.控制層次數量 2.控制網絡的接入 3.保持結構的穩定 4.保證優先設計接入層 5.保證模塊邊界清晰3.3.3網絡拓撲結構設計原則 1.確定網絡設備總數 2.確定交換機端口類型和端口數 3.保留一定的網絡擴展所需的端口 4.確定可連接工作站總數 5.確定關鍵設備連接 6.確定與其他網絡連接3.3.4網絡拓撲結構設計內容確定層次化結構程度（三層結構還是二層結構）。從接入層開始，與網絡技術標準選型同步進行。

逐層針對節點歸類、鏈路數目、鏈路帶寬、可靠性、安全性以及層與層之間的連接性能需求等要素進行設?計。

參加成果分享。

任務實施歸納總結

網絡拓撲結構是指忽略了網絡通信線路的距離遠近和線纜粗細程度，忽略通信節點大小和類型后，僅僅用點和直線來描述網絡的圖形結構。網絡拓撲結構設計是網絡工程設計工作的核心內容，網絡拓撲結構像建筑物的基本框架，其重要性和地位是不言而喻的，可以從技術、性能、可靠性、可擴展性、安全、服務質量和投資成本等多個方面分析和討?論。

如圖所示為某職業學院網絡系統的拓撲結構，采用思科公司的網絡設備進行構建。整個網絡由交換模塊、廣域網接入模塊、遠程訪問模塊、服務器群等4部分構?成。

校園網內部數據的交換是分層進行的，分為3個層次：接入層（WS-C2950-24）、匯聚層（CiscoCatalyst3550）、核心層（CiscoCatalyst4006）。廣域網接入模塊的功能由Cisco3640路由器來完成，通過串行接口S0/0使用DDN技術接入Internet；遠程訪問模塊采用集成在Cisco3640路由器中的異步Modem模塊NM-16AM提供遠程接入服務；服務器群模塊用來對校園網的接入用戶提供Web、DNS、FTP、E-mail等多種網絡服務。請給出IP地址規劃結?果。

任務場景回顧IP地址的基本概念和劃分子網的方法。

探究網絡命名方法。

研究IP地址編碼規則。

探究IP地址規劃方?法。

任務布置 1.樓棟命名設?計

為樓棟命名時，建議從樓棟功能上進行命名，取樓棟漢語拼音的第一個字母，然后給樓棟分別編號或同一類功能的樓棟歸在一起，統一用A、B等作為第一個字母，然后給樓棟的編號命名 2.設備間/管理間命名設?計

基本原則是：樓棟名-設備間序號統一采用01作為該樓棟的設備間，其他編號作為管理間使用3.4.1網絡命名設計方案

“是否便于聚合”是地址分配的基本原則，而聚合與否又與路由器緊密相關。因此，根據拓撲結構（與路由器連接關系）分配地址是最有效的方法。3.4.2IP地址編碼規則 1.公有IP地址分?配 2.Loopback地址規?劃 3.設備互聯地?址 4.業務地?址3.4.3IP地址規劃技巧業務IP地址及VLAN規劃。設備互連IP地址規劃。

設備網管IP地址規?劃。

外網IP地址規?劃。

參加任務結果分?享。

任務實施歸納總結

計算機網絡中有4類地址，分別是MAC地址、IP地址、端口地址和域名，其中MAC地址是固化在網絡適配器中的地址，出廠就設置好了，一般不允許修改；端口號一般由開發人員指定或動態隨機分配，無須網絡工程師和用戶直接參與設計；IP地址是網絡中主機的邏輯地址，首先要考慮高效通信和使用方便的問題。另外，由于網絡規模和應用場景的不同，不得不對IP地址的管理和擴展加以考慮。

如圖所示為某職業學院網絡系統的拓撲結構，在網絡建設過程中，為了把學校總部和分部連為一體，需要實現學校總部和分部之間網絡的互聯互通，對此做出整合，進行網絡規劃。假如你是一名網絡工程師，請在相關設備上部署靜態路由和動態路由，實現學校總部與分部網絡的互聯互?通。

任務場景回顧靜態路由、動態路由的基本概念。

探究靜態路由的應用場合和規劃方法。

研究動態路由的應用場合和規劃要點。

任務布置 1.靜態路由應用場合 2.靜態路由的分類

（1）標準靜態路由

（2）默認靜態路由

（3）匯總靜態路由

（4）浮動靜態路由3.5.1靜態路由設計 3.靜態路由的規劃設計

（1）靜態路由規劃步?驟。

①確定網絡中每個路由器是否需要配置默認路?由。

②確定網絡中每個路由器需要對哪些遠程目標網絡使用靜態路由選?路。

③根據所掌握的網絡狀態信息，人工為目標網絡選定最佳路?徑。

④確定是否存在多條靜態路由可以匯總為一條靜態路由的情?況。3.5.1靜態路由設計 3.靜態路由的規劃設計

（2）靜態路由規劃舉例。3.5.1靜態路由設計

1.RIP動態路由基本特點3.5.2RIP動態路由設計特性RIPv1RIPv2采用跳數為度量值是是15?是最大的有效度量值，16?為無窮大是是默認?30s?更新周期是是周期性更新時，全部路由信息更新是是拓撲改變時，只針對變化的觸發更新是是使用路由毒化、水平分割、毒性逆轉是是使用抑制計時器是是發送更新的方式廣播組播使用UDP520?端口發送報文是是更新中攜帶子網掩碼，支持VLSM否是支持認證否是

2.RIP動態路由設計

（1）規劃要素分?析

①路由匯?總

②被動接?口

③單播更?新

④路由重分?發3.5.2RIP動態路由設計

2.RIP動態路由設計

（2）RIP規劃設計要?點

①考慮路由器上有哪些直接相連的網絡參與到RIPv2的路由更新?中。

②考慮是否需要設置被動接口和單播更新以減少不必要的網絡開?銷。

③考慮是否存在非連續子網問題和優化路由表條目數?量。

④考慮是否需要路由的引入，實現網絡聯通和訪問Internet。

⑤考慮是否需要配置認證以增加路由更新的安全?性。3.5.2RIP動態路由設計 1.路由器RouterID的確定 2.DR和BDR的選舉與控制

在多路訪問網絡中選擇了一個DR和一個BDR，DR和BDR與本多路訪問網絡中的其他路由器都建立了鄰接關系。 3.OSPF的網絡類型 OSPF的網絡類型可分為4種類型：

（1）點到點（P2P），如PPP、HDLC鏈?路。

（2）廣播網絡（Broadcast），如以太?網。

（3）NBMA，如ATM、幀中繼網?絡。

（4）點到多點（P2MP），不是一種實際的網?絡。 4.被動接口

3.5.3OSPF動態路由設計 4.被動接口

被動接口本身可能連接一個末節網絡（只有主機，沒有其他的路由器）。3.5.3OSPF動態路由設計 5.OSPF的鏈路開銷 6.OSPF網絡的層次區域規劃 OSPF協議是一個需要層次化設計的網絡協議，在OSPF網絡中使用了區域的概念，從層次化的角度看，區域被分為兩種：骨干區域和非骨干區域。骨干區域的編號為0，非骨干區域的編號為1～4294967295。 7.非骨干區域內部路由器的路由表優化

非骨干區域中使用了較多的低端三層交換產品，由于其產品定位和性能的限制使其不能承受過多的路由條目數量，為了精簡其路由條目數量可以采用一些特殊區域來進行路由表的優化。

3.5.3OSPF動態路由設計 8.骨干區域內部路由器的路由表優化

對于OSPF的非骨干區域來說，使用特殊區域能夠精簡其內部路由器的路由表。而對于OSPF的骨干區域來說，要簡化其內部路由器的路由表所采用的方式，就是減少非骨干區域使用的IP網段，這需要做出合理的規劃以便于區域邊界匯總。 9.OSPF默認路由的引入和選路優化

對于一個大型網絡來說，很大一部分的業務量并不在區域內部，而是通往Internet的出口，因此默認路由的引入也是組織網絡中OSPF設計的一大要點。 10.OSPF網絡的基本安全防護

為了確保路由信息來自特定的源，加強網絡的安全性，OSPF允許一定區域內的路由器之間互相進行身份認證。3.5.3OSPF動態路由設計靜態路由規劃。RIP動態路由規劃。OSPF動態路由規?劃。

參加任務結果分?享。

任務實施歸納總結

大中型企業局域網是指由三層交換機或路由器連接多個網段構成的局域網，網段之間可能相距較遠，也可能不直接相連。當需要將數據包從一個子網發往另一個子網的時候，必須借助具有IP數據包路由能力的三層交換機或路由器。具有路由能力的三層設備有3種方式獲得網絡中的路由信息，包括從鏈路層協議直接學習、人工配置靜態路由和從動態路由中學習。各類路由各有優缺點，可根據網絡結構和實際需求來選擇。如果網絡拓撲是星狀，各節點之間沒有冗余鏈路，則可以使用靜態路由；如果網絡中有冗余鏈路，如全互聯或環形拓撲，則可以使用動態路由，以增強路由可靠性。如果網絡是分層的，則通常在接入層使用靜態路由來降低資源的消耗；而在匯聚層或核心層使用動態路由來增加可靠?性。單元2網絡綜合布線系統設計單元1網絡安全系統集成概述目錄單元3網絡工程設計單元5網絡工程的實施與測試驗收單元4網絡系統安全設計單元6網絡系統安全管理

引例描述

隨著物聯網的不斷擴大，每年都會有數百萬的新設備加入網絡中。此外，使用無線功能幾乎可以在任何地方使用這些設備。威脅發起者將繼續尋找可以利用的漏洞，網絡管理員需要使用各種方法來保護網絡中的設備和數據。網絡系統本身是一個復雜的系統，其連接形式多樣，終端設備分布不均勻、網絡的開放性和互連性都容易導致網絡系統遭受惡意攻擊者和惡意軟件的攻擊，因此，要保護網絡安全，需對網絡安全進行系統安全設?計。

學習目標

掌握縱深防御技術、網絡設備安全加固技術、ACL技術、防火墻技術、入侵檢測與防御技術、VPN技術等技能。

具備系統規劃、設計、部署和實施網絡安全的能力。

具有大國工匠精神、團隊協作精神，以及遵紀守法和遵守職業道德的職業素?養。

明確網絡安全是一個動態過程，需要在網絡系統運行的過程中，不斷地檢測安全漏洞，并實施一定的安全加固措施。依據國家的《計算機信息系統安全保護等級劃分準則》（GB17859—1999）和相關的安全標準，可以從安全分層保護、安全策略和安全教育三方面考慮，采取以“積極防御”為首的方針進行規?劃。

任務場景

探究網絡環境中存在哪些安全問題。

研究網絡安全體系框架。

探究網絡安全分層保護措施。

學習網絡安全設計遵循的原則。

分析網絡安全設計過?程

任務布置

1．CIA三元組（1）機密性（2）完整性（3）可用性4.1.1網絡安全基本問題

1．IATF（1）人（2）技術（3）操作4.1.2網絡安全體系框架

2．網絡安全結構劃分（1）內網（2）外網（3）公共子網4.1.2網絡安全體系框架

3．IATF縱深防御方法應用舉例（1）邊緣路由器（2）防火墻（3）內部路由器4.1.2網絡安全體系框架（1）物理層安全（2）網絡層安全（3）系統層安全（4）應用層安全（5）管理層安全4.1.3網絡安全分層保護（1）均衡性原則（2）整體性原則（3）一致性原則（4）技術與管理相結合的原則（5）動態發展原則（6）易操作性原則4.1.4網絡安全設計原則1.確定需要保護的資產。2.識別網絡環境中的威脅。3.網絡安全需求分析。4.網絡安全風險分析。5.網絡安全策略制定。6.網絡安全機制設計。7.網絡安全集成技術。任務實施單元2網絡綜合布線系統設計單元1網絡安全系統集成概述目錄單元3網絡工程設計單元5網絡工程的實施與測試驗收單元4網絡系統安全設計單元6網絡系統安全管理

某公司局域網內部采用如圖所示的網絡拓撲結構，假定你是該公司的一名網絡安全管理員，請你規劃網絡安全措施，確保公司局域網內部網絡設備的安全和網絡訪問安?全。

任務場景

探究安全訪問網絡設備的主要技術措施。

探究增強局域網安全的措?施。

任務布置

配置健壯的系統密碼（1）配置密碼考慮事項（2）配置安全訪問端口密碼4.2.1網絡設備安全管理

1．端口安全防護技術端口安全特性會通過MAC地址表記錄連接到交換機端口的以太網MAC地址，并只允許某個MAC地址通過本端口通信。其他MAC地址發送的數據包通過此端口時，端口安全特性會阻止它。使用端口安全特性可以防止未經允許的設備訪問網絡，并增強安全性。端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填滿。4.2.2內部網絡安全機制

1．端口安全防護技術某企業采用如圖?所示的網絡拓撲結構，交換機連接集線器來擴展一個端口上接入用戶終端的數量。為了解決這些攻擊帶來的危害，需要在接入層交換機上啟用端口安全機制。4.2.2內部網絡安全機制

1．端口安全防護技術（1）將交換機S1?的Fa0/1-3?端口配置為接入端?口（2）端口安全參數配置（3）配置安全端口的安全地址（4）配置結果驗?證4.2.2內部網絡安全機制

1．端口安全防護技術（1）將交換機S1?的Fa0/1-3?端口配置為接入端?口（2）端口安全參數配置（3）配置安全端口的安全地址（4）配置結果驗?證4.2.2內部網絡安全機制

2．DHCPSnooping如圖所示的網絡拓撲結構，Router?模擬一臺合法的DHCP服務器，向用戶PC動態分配IP地址。在交換機Switch?上規劃了VLAN5，將端口Fa0/1、Fa0/2?和Fa0/3?劃分至VLAN5?中。網絡中模擬了一臺攻擊服務器接入Switch?的Fa0/3，將造成合法用戶主機獲取錯誤的IP地?址。4.2.2內部網絡安全機制

2．DHCPSnooping（1）網絡基本配置（