一直以來(lái)不斷有網(wǎng)友問(wèn)我，網(wǎng)管到底能不能拿高薪，如何才能拿高薪，或者問(wèn)到底什么樣才算專業(yè)，……。對(duì)于這類提問(wèn)，我一般都是反問(wèn)對(duì)方，如果讓你自己一人設(shè)計(jì)一個(gè)企業(yè)網(wǎng)絡(luò)，能勝任嗎？作為中級(jí)網(wǎng)管師，我們不僅要強(qiáng)調(diào)具備大中型企業(yè)的網(wǎng)絡(luò)系統(tǒng)管理能力，更重要的是要具備設(shè)計(jì)出一個(gè)大中型企業(yè)網(wǎng)絡(luò)系統(tǒng)的能力。

談到網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)，許多人并不真正了解，甚至錯(cuò)誤地認(rèn)為那很簡(jiǎn)單，無(wú)非是一些軟/硬件產(chǎn)品的組合。其實(shí)這是極端錯(cuò)誤的。有時(shí)我問(wèn)一些網(wǎng)友是否可以設(shè)計(jì)出一套網(wǎng)絡(luò)系統(tǒng)時(shí)，有的回答得很干脆，說(shuō)沒(méi)問(wèn)題。可是當(dāng)我再具體地問(wèn)一下，某個(gè)方面的設(shè)計(jì)思路和方法，或者所涉及的一些具體技術(shù)時(shí)，可以說(shuō)沒(méi)有一個(gè)人能有個(gè)全局的概念，最多就是知道把幾個(gè)相關(guān)的技術(shù)簡(jiǎn)單地拼湊起來(lái)，至于為什么要這么組合，根本說(shuō)不出理由。

  要真正設(shè)計(jì)出一套高水平，滿足用戶應(yīng)用、安全、存儲(chǔ)和管理需求的網(wǎng)絡(luò)系統(tǒng)，并不是一件容易的事，也不是可以輕松達(dá)到的。首先要對(duì)相應(yīng)領(lǐng)域系統(tǒng)設(shè)計(jì)的基礎(chǔ)知識(shí)、產(chǎn)品、技術(shù)和方案有一個(gè)比較深入的了解；然后還需要對(duì)相應(yīng)領(lǐng)域的這些知識(shí)、產(chǎn)品、技術(shù)和方案有一個(gè)全局統(tǒng)領(lǐng)、管理的能力；再就是要有一個(gè)如何組織、應(yīng)用這些技術(shù)、產(chǎn)品和方案的清晰的思路與方法。這就是筆者在與讀者交流過(guò)程中一直強(qiáng)調(diào)的系統(tǒng)、全局觀念；一定得先經(jīng)過(guò)系統(tǒng)、全面、深入地學(xué)習(xí)，而不是只孤立地學(xué)習(xí)某一個(gè)方面；一定得有相應(yīng)領(lǐng)域豐富的管理經(jīng)驗(yàn)才能勝任專業(yè)的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)工作的原因。因?yàn)槿魏我粋�(gè)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)都可能要面對(duì)整個(gè)網(wǎng)絡(luò)領(lǐng)域的方方面面，正如我們?cè)跁?shū)中說(shuō)到的那樣，在一個(gè)比較完整的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)中，就可能要面對(duì)像通信子系統(tǒng)、安全子系統(tǒng)、存儲(chǔ)子系統(tǒng)、應(yīng)用子系統(tǒng)、辦公子系統(tǒng)這5個(gè)基本模塊。如果你只注重某一方面的學(xué)習(xí)，就不可能全面勝任這樣一個(gè)復(fù)雜的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)工作，當(dāng)然也就不可能拿到相應(yīng)級(jí)別的工資待遇。

  設(shè)計(jì)一套網(wǎng)絡(luò)系統(tǒng)要掌握什么，具體還真說(shuō)不清，太多、太廣了。但任何事情都有一個(gè)主流，我們?cè)趯W(xué)習(xí)過(guò)程中不可能把所有技術(shù)、應(yīng)用和方案都精通掌握，但可以盡可能地掌握當(dāng)前主流的，這就是本書(shū)中所講的內(nèi)容。本書(shū)介紹了上面所說(shuō)的五大基本設(shè)計(jì)模塊中的三個(gè)主要子系統(tǒng)：通信子系統(tǒng)、安全子系統(tǒng)和存儲(chǔ)子系統(tǒng)的規(guī)劃與設(shè)計(jì)。對(duì)于絕大多數(shù)大中型企業(yè)來(lái)說(shuō)，通信子系統(tǒng)和安全子系統(tǒng)又更為普遍，所以書(shū)中側(cè)重介紹這兩個(gè)子系統(tǒng)的規(guī)劃與設(shè)計(jì)，對(duì)于存儲(chǔ)子系統(tǒng)，因?yàn)槟壳皝?lái)說(shuō)通常只有大型企業(yè)網(wǎng)絡(luò)才需要設(shè)計(jì)專門(mén)的存儲(chǔ)子系統(tǒng)，所以在本書(shū)中只介紹了基礎(chǔ)的網(wǎng)絡(luò)存儲(chǔ)知識(shí)和技術(shù)。

第1章先從宏觀角度介紹網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的基本要素、原則和思路，第2章集中介紹在網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)過(guò)程中用戶需求調(diào)查的內(nèi)容和方法。

在通信子系統(tǒng)的規(guī)劃與設(shè)計(jì)篇中，本書(shū)按照通信子系統(tǒng)規(guī)劃與設(shè)計(jì)的基本步驟，用5章內(nèi)容進(jìn)行了詳細(xì)介紹：

第3章：網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)規(guī)劃與設(shè)計(jì)，介紹企業(yè)局域網(wǎng)和廣域網(wǎng)拓?fù)浣Y(jié)構(gòu)的規(guī)劃與設(shè)計(jì)思路和方法。

第4章：綜合布線系統(tǒng)規(guī)劃與設(shè)計(jì)，介紹企業(yè)網(wǎng)絡(luò)中雙絞線和光纖綜合布線系統(tǒng)的規(guī)劃與設(shè)計(jì)思路和方法。

第5章：網(wǎng)絡(luò)設(shè)備的選型，介紹企業(yè)網(wǎng)絡(luò)通信子系統(tǒng)中的主要網(wǎng)絡(luò)設(shè)備（如網(wǎng)卡、服務(wù)器、交換機(jī)、AP、路由器和UPS等）的選型考慮和選型方法。

第6章：網(wǎng)絡(luò)體系架構(gòu)規(guī)劃與設(shè)計(jì)，介紹網(wǎng)絡(luò)系統(tǒng)體系架構(gòu)的規(guī)劃與設(shè)計(jì)的考慮和方法，如網(wǎng)絡(luò)管理模式的選擇、服務(wù)器與客戶端操作系統(tǒng)的選擇、域控制器/DNS/DHCP服務(wù)器的規(guī)劃與設(shè)計(jì)、域信任關(guān)系的設(shè)計(jì)考慮等。

第7章：企業(yè)網(wǎng)絡(luò)通信子系統(tǒng)結(jié)構(gòu)方案，介紹Cisco、H3C等主流網(wǎng)絡(luò)設(shè)備品牌針對(duì)各種規(guī)模企業(yè)網(wǎng)絡(luò)提供的局域網(wǎng)和廣域網(wǎng)系統(tǒng)結(jié)構(gòu)方案，并且對(duì)各個(gè)方案的方案配置方法和特點(diǎn)進(jìn)行了詳細(xì)介紹。

在網(wǎng)絡(luò)安全子系統(tǒng)的規(guī)劃與設(shè)計(jì)篇中，本書(shū)按照OSI/RM參考模型用7章內(nèi)容對(duì)各層主流可用的網(wǎng)絡(luò)安全技術(shù)、方案以及配置方法進(jìn)行了詳細(xì)介紹。

第8章：網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)綜述，從宏觀角度介紹網(wǎng)絡(luò)安全子系統(tǒng)規(guī)劃與設(shè)計(jì)的基本思路和方法，以及OSI/RM各層中主要流可用的安全技術(shù)和方案。

第9章：物理層安全方案，介紹OSI/RM中物理層可用的主要安全方案，如線路屏蔽、機(jī)房屏蔽、物理隔離、線路和設(shè)備冗余等。

第10章：數(shù)據(jù)鏈路層安全方案及應(yīng)用配置，介紹OSI/RM中數(shù)據(jù)鏈路層可用的主要安全方案及相關(guān)的配置方法，如數(shù)據(jù)鏈路加密、WLAN網(wǎng)絡(luò)中的各種鏈路加密方法，以及MAC地址與IP地址綁定方法等。

第11章：網(wǎng)絡(luò)層Kerberos和IPSec安全方案及應(yīng)用配置，介紹OSI/RM中網(wǎng)絡(luò)層的兩種主要身份認(rèn)證技術(shù)：Kerberos和IPSec的身份認(rèn)證原理、體系架構(gòu)及應(yīng)用方案配置。

第12章：網(wǎng)絡(luò)層證書(shū)服務(wù)和PKI安全方案及應(yīng)用配置，介紹OSI/RM中網(wǎng)絡(luò)層的另一種主要身份認(rèn)證技術(shù)——證書(shū)服務(wù)，以及利用證書(shū)服務(wù)及其他相關(guān)技術(shù)的PKI安全系統(tǒng)方案設(shè)計(jì)方法。

第13章：傳輸層安全方案及應(yīng)用配置，介紹OSI/RM中網(wǎng)絡(luò)層可用的主要安全方案及相關(guān)的配置方法，如TLS、SSL、WTLS、SSH、SOCKS的技術(shù)原理及綜合應(yīng)用配置方法。

第14章：Web服務(wù)器安全系統(tǒng)設(shè)計(jì)與配置，以Web服務(wù)器為代表介紹應(yīng)用層Web服務(wù)器的綜合安全系統(tǒng)設(shè)計(jì)考慮以及相關(guān)的配置方法。

在網(wǎng)絡(luò)存儲(chǔ)子系統(tǒng)的規(guī)劃與設(shè)計(jì)篇中，由于篇幅原因僅用了兩章內(nèi)容（第15和16章）介紹與網(wǎng)絡(luò)存儲(chǔ)密切相關(guān)的主要技術(shù)，如服務(wù)器磁盤(pán)接口技術(shù)、磁盤(pán)陣列技術(shù)、各種FC-SAN和IP-SAN存儲(chǔ)技術(shù)等。

  最后，我要衷心感謝許許多多一直關(guān)心我、信任我、支持我的讀者朋友和各界老師、朋友，是您們的信任與支持，才使我有決心和恒心為國(guó)內(nèi)廣大網(wǎng)管、網(wǎng)工朋友編寫(xiě)一部又一部著作，也才使我寧愿犧牲所有的節(jié)假日和休息時(shí)間，把我畢生的經(jīng)驗(yàn)積累奉獻(xiàn)給大家。當(dāng)然，無(wú)論我再怎么努力，由于時(shí)間和精力的原因，書(shū)中仍可能存在一些疏漏甚至錯(cuò)誤，懇請(qǐng)大家原諒的同時(shí)，還望能及時(shí)聯(lián)系我或者出版社，我們將盡快修正。

  本書(shū)由NSME專家團(tuán)隊(duì)共同策劃并編寫(xiě)，由王達(dá)主筆并統(tǒng)稿。參加編寫(xiě)、校驗(yàn)和排版的人員有：馬亮、闞京茂、趙增祥、宋希嶺、劉中洲、潘朝陽(yáng)、劉偉、何艷輝、王珂、沈芝蘭、馬平、何江林、周建輝、周志雄、洪武、高平復(fù)、尚寶宏、姚學(xué)軍、李翔等，在此一并表示由衷的感謝。

若讀者有什么問(wèn)題或建議可以在筆者博客（http://winda.blog.51cto.com、http://blog.zdnet.com. cn/html/84/447184-type-index.html、http://blog.csdn.net/lycb_gz）、學(xué)生大本營(yíng)（http://student.csdn. net/space.php?uid=2334）、以下13個(gè)分地區(qū)的讀者服務(wù)QQ群（每人只能加入對(duì)應(yīng)地區(qū)的一個(gè)群，另有一個(gè)VIP讀者群）中提出，我們都將盡量及時(shí)地為大家解答。

群1（17201450）：北京、天津、河北

群2（21566766）：廣東、廣西、海南

群3（32354930）：湖北、安徽、河南

群4（5208368）：寧夏、青海、甘肅、浙江

群5（13836245）：山東、山西、陜西、上海

群6（4789821）：云南、貴州、四川、重慶

群7（73417650）：新疆、西藏、內(nèi)蒙古、廣東

群8（57828783）：湖南、江西、福建

群9（17838740）：上海、江蘇、浙江

群10（21576699）：遼寧、吉林、黑龍江、江蘇

群11（74496579）：北京、上海、廣東

群12（69537591）：上海、江蘇、浙江、新疆、內(nèi)蒙古

群13（19129079）：湖南、湖北、江西、福建、四川

 

序
前言
 
第1章  網(wǎng)絡(luò)工程設(shè)計(jì)綜述 1
1.1  網(wǎng)絡(luò)工程設(shè)計(jì)基礎(chǔ) 2
1.1.1  網(wǎng)絡(luò)系統(tǒng)集成概述 2
1.1.2  網(wǎng)絡(luò)工程設(shè)計(jì)綜述 3
1.2  網(wǎng)絡(luò)工程設(shè)計(jì)的考慮 4
1.2.1  網(wǎng)絡(luò)通信標(biāo)準(zhǔn)和協(xié)議的選擇考慮 4
1.2.2  網(wǎng)絡(luò)規(guī)模和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)考慮 5
1.2.3  網(wǎng)絡(luò)功能和應(yīng)用需求考慮 7
1.2.4  可擴(kuò)展性和可升級(jí)性考慮 7
1.2.5  其他方面的考慮 8
1.3  網(wǎng)絡(luò)工程集成設(shè)計(jì)的步驟和原則 10
1.3.1  網(wǎng)絡(luò)工程集成設(shè)計(jì)的一般步驟 10
1.3.2  網(wǎng)絡(luò)工程集成設(shè)計(jì)的基本原則 13
1.3.3  局域網(wǎng)系統(tǒng)設(shè)計(jì)的主要內(nèi)容 16
1.3.4  廣域網(wǎng)系統(tǒng)設(shè)計(jì)的主要內(nèi)容 18
第2章  用戶需求調(diào)查與分析 19
2.1  用戶調(diào)查內(nèi)容 20
2.1.1  一般企業(yè)狀況調(diào)查 20
2.1.2  應(yīng)用需求調(diào)查 22
2.1.3  功能需求調(diào)查 23
2.1.4  性能需求調(diào)查 25
2.1.5  管理需求調(diào)查 28
2.2  用戶性能需求分析 29
2.2.1  接入速率需求分析 29
2.2.2  吞吐性能需求分析 32
2.2.3  可用性能需求分析 34
2.2.4  并發(fā)用戶數(shù)需求分析 36
2.2.5  可擴(kuò)展性需求分析 37
 
第一篇  網(wǎng)絡(luò)通信子系統(tǒng)設(shè)計(jì)篇
 
第3章  網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)規(guī)劃與設(shè)計(jì) 42
3.1  網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 43
3.1.1  局域網(wǎng)拓?fù)浣Y(jié)構(gòu) 43
3.1.2  廣域網(wǎng)拓?fù)浣Y(jié)構(gòu) 43
3.2  網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)繪制 46
3.2.1  簡(jiǎn)單網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖元的獲取 47
3.2.2  拓?fù)浣Y(jié)構(gòu)繪制 49
3.3  網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 57
3.3.1  小型星型網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)示例 57
3.3.2  中型擴(kuò)展星型網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)示例 59
3.3.3  大型混合型網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)示例 62
3.3.4  園區(qū)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)示例 65
3.3.5  無(wú)線局域網(wǎng)結(jié)構(gòu)設(shè)計(jì)示例 69
3.4  廣域網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 70
3.4.1  小型企業(yè)互聯(lián)網(wǎng)接入拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 71
3.4.2  X.25廣域網(wǎng)接入拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 72
3.4.3  FR廣域網(wǎng)接入拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 74
3.4.4  ATM廣域網(wǎng)接入拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 76
3.4.5  光纖接入廣域網(wǎng)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 78
第4章  綜合布線系統(tǒng)規(guī)劃與設(shè)計(jì) 82
4.1  綜合布線系統(tǒng)概述 83
4.1.1  綜合布線系統(tǒng)的由來(lái) 83
4.1.2  綜合布線系統(tǒng)的組成 83
4.1.3  綜合布線系統(tǒng)的特點(diǎn) 85
4.2  綜合布線標(biāo)準(zhǔn) 86
4.2.1  綜合布線標(biāo)準(zhǔn)的發(fā)展歷程 86
4.2.2  我國(guó)等效采用的綜合布線標(biāo)準(zhǔn) 87
4.3  綜合布線系統(tǒng)中的傳輸介質(zhì)標(biāo)準(zhǔn) 88
4.3.1  雙絞線綜合布線標(biāo)準(zhǔn) 88
4.3.2  雙絞線布線標(biāo)準(zhǔn)中的參數(shù)測(cè)試規(guī)范 90
4.3.3  光纜布線裝置 93
4.3.4  光纜布線標(biāo)準(zhǔn) 97
4.4  綜合布線系統(tǒng)設(shè)計(jì) 99
4.4.1  綜合布線系統(tǒng)設(shè)計(jì)的基本步驟 99
4.4.2  3個(gè)綜合布線系統(tǒng)設(shè)計(jì)等級(jí) 99
4.4.3  綜合布線系統(tǒng)的設(shè)計(jì)要領(lǐng) 101
4.5  綜合布線系統(tǒng)設(shè)計(jì)要點(diǎn) 102
4.5.1  工作區(qū)子系統(tǒng)設(shè)計(jì)要點(diǎn) 102
4.5.2  水平子系統(tǒng)設(shè)計(jì)要點(diǎn) 103
4.5.3  垂直干線子系統(tǒng)設(shè)計(jì)要點(diǎn) 104
4.5.4  設(shè)備間子系統(tǒng)設(shè)計(jì)要點(diǎn) 106
4.5.5  管理子系統(tǒng)設(shè)計(jì)要點(diǎn) 107
4.5.6  建筑群子系統(tǒng)設(shè)計(jì)考慮 109
第5章  網(wǎng)絡(luò)設(shè)備的選型 111
5.1  網(wǎng)卡的選型 112
5.1.1  有線以太網(wǎng)卡的選型 112
5.1.2  無(wú)線局域網(wǎng)網(wǎng)卡的選型 117
5.1.3  網(wǎng)卡的綜合選型考慮 118
5.2  服務(wù)器的選型 120
5.2.1  服務(wù)器處理器架構(gòu)的選型 120
5.2.2  服務(wù)器的綜合選型考慮 122
5.3  交換機(jī)和無(wú)線AP的選型 124
5.3.1  交換機(jī)的綜合選型考慮 124
5.3.2  無(wú)線AP的綜合選型考慮 129
5.4  路由器的選型 130
5.4.1  邊界和中間節(jié)點(diǎn)路由器的選型 131
5.4.2  寬帶路由器的選型 132
5.4.3  企業(yè)級(jí)路由器的綜合選型考慮 134
5.5  防火墻的選型 136
5.5.1  防火墻的選型 137
5.5.2  防火墻的綜合選型考慮 138
5.6  UPS的選型與選購(gòu) 142
5.6.1  UPS的主要作用和分類 142
5.6.2  主要UPS技術(shù) 143
5.6.3  UPS的綜合選型考慮 145
第6章  網(wǎng)絡(luò)體系架構(gòu)規(guī)劃與設(shè)計(jì) 147
6.1  兩種網(wǎng)絡(luò)架構(gòu)模型 148
6.1.1  P2P網(wǎng)絡(luò)架構(gòu)模型 149
6.1.2  C/S網(wǎng)絡(luò)架構(gòu)模型 150
6.2  P2P工作組局域網(wǎng)架構(gòu)設(shè)計(jì)考慮 151
6.3  域網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)的基本考慮 153
6.3.1  域網(wǎng)絡(luò)操作系統(tǒng)選擇的考慮 154
6.3.2  林和域的規(guī)劃基礎(chǔ) 156
6.3.3  新建林、子域和域樹(shù)的考慮 157
6.3.4  域命名空間規(guī)劃考慮 159
6.3.5  域和林信任關(guān)系的設(shè)計(jì)考慮 163
6.3.6  多域環(huán)境下的訪問(wèn)控制策略規(guī)劃與設(shè)計(jì) 166
6.3.7  域控制器和成員服務(wù)器的規(guī)劃與設(shè)計(jì) 170
6.3.8  DNS服務(wù)器的規(guī)劃考慮 172
6.3.9  DHCP服務(wù)器的規(guī)劃考慮 174
第7章  企業(yè)網(wǎng)絡(luò)通信子系統(tǒng)結(jié)構(gòu)方案 180
7.1  小型SOHO辦公室網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)方案 181
7.1.1  小型SOHO辦公室網(wǎng)絡(luò)方案的特點(diǎn)與要求 181
7.1.2  Cisco小型SOHO辦公室有線局域網(wǎng)方案 182
7.1.3  H3C小型SOHO辦公室有線局域網(wǎng)方案 185
7.1.4  小型SOHO辦公室的WLAN方案 189
7.1.5  小型SOHO辦公室局域網(wǎng)的互聯(lián)網(wǎng)連接 192
7.2  中小型企業(yè)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)方案 193
7.2.1  中小型企業(yè)局域網(wǎng)方案的特點(diǎn)與要求 193
7.2.2  Cisco中小型企業(yè)有線局域網(wǎng)方案 194
7.2.3  H3C中小型企業(yè)有線局域網(wǎng)方案 200
7.2.4  Cisco 1800的中小型企業(yè)廣域網(wǎng)連接方案 204
7.2.5  H3C中小型企業(yè)廣域網(wǎng)連接方案 207
7.3  中型企業(yè)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)方案 210
7.3.1  中型企業(yè)網(wǎng)絡(luò)方案的主要特點(diǎn)與要求 210
7.3.2  Cisco中型企業(yè)局域網(wǎng)方案 211
7.3.3  H3C中型局域網(wǎng)方案 215
7.3.4  Cisco中型企業(yè)網(wǎng)絡(luò)的廣域網(wǎng)連接方案 218
7.3.5  H3C中型企業(yè)網(wǎng)絡(luò)的廣域網(wǎng)連接方案 222
7.4  大中型企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)方案 226
7.4.1  大中型網(wǎng)絡(luò)方案的特點(diǎn)與要求 226
7.4.2  Cisco大中型局域網(wǎng)方案 227
7.4.3  H3C大中型局域網(wǎng)方案 232
7.4.4  Cisco大中型網(wǎng)絡(luò)廣域網(wǎng)連接方案 237
 
第二篇  網(wǎng)絡(luò)安全子系統(tǒng)規(guī)劃與設(shè)計(jì)
 
第8章  網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)綜述 242
8.1  網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)基礎(chǔ) 243
8.1.1  網(wǎng)絡(luò)安全系統(tǒng)的發(fā)展 243
8.1.2  網(wǎng)絡(luò)安全威脅綜述 244
8.1.3  企業(yè)網(wǎng)絡(luò)的主要安全隱患 246
8.1.4  常用網(wǎng)絡(luò)安全防護(hù)策略 247
8.1.5  網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)基本原則 248
8.2  OSI/RM各層的安全保護(hù)概述 250
8.2.1  物理層的安全保護(hù) 251
8.2.2  數(shù)據(jù)鏈路層的安全保護(hù) 252
8.2.3  網(wǎng)絡(luò)層的安全保護(hù) 253
8.2.4  傳輸層的安全保護(hù) 254
8.2.5  會(huì)話層和表示層的安全保護(hù) 255
8.2.6  應(yīng)用層的安全保護(hù) 255
8.3  網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的基本思路 255
8.3.1  安全隱患分析和基本系統(tǒng)結(jié)構(gòu)信息的收集 256
8.3.2  調(diào)查和分析當(dāng)前網(wǎng)絡(luò)的安全需求 259
8.3.3  現(xiàn)有網(wǎng)絡(luò)安全策略評(píng)估 259
8.3.4  設(shè)計(jì)細(xì)化的新網(wǎng)絡(luò)安全策略初稿 260
8.3.5  方案的測(cè)試、評(píng)估和修改 265
8.3.6  方案定稿和應(yīng)用 266
第9章  物理層安全方案 267
9.1  物理層的線路竊聽(tīng)技術(shù)分析 268
9.2  計(jì)算機(jī)網(wǎng)絡(luò)通信線路屏蔽 269
9.2.1  選擇屏蔽性能好的傳輸介質(zhì)和適配器 269
9.2.2  屏蔽機(jī)房和機(jī)柜的選擇 272
9.2.3  WLAN無(wú)線網(wǎng)絡(luò)的物理層安全保護(hù) 273
9.3  物理線路隔離 273
9.3.1  主要的物理隔離產(chǎn)品 273
9.3.2  物理隔離網(wǎng)閘隔離的原理 276
9.4  設(shè)備和線路冗余 279
9.4.1  網(wǎng)絡(luò)設(shè)備部件冗余 279
9.4.2  網(wǎng)絡(luò)設(shè)備整機(jī)冗余 281
9.4.3  網(wǎng)絡(luò)線路冗余 282
9.5  機(jī)房和賬戶安全管理 283
9.5.1  機(jī)房安全管理 283
9.5.2  賬戶安全管理 284
9.6  物理層安全管理工具 284
9.6.1  泛達(dá)綜合布線實(shí)時(shí)管理系統(tǒng) 284
9.6.2  Molex綜合布線實(shí)時(shí)管理系統(tǒng) 287
第10章  數(shù)據(jù)鏈路層安全方案及應(yīng)用配置 289
10.1  典型的數(shù)據(jù)加密算法 290
10.1.1  基于“消息摘要”的算法 290
10.1.2  “對(duì)稱/非對(duì)稱密鑰”加密算法 292
10.2  數(shù)據(jù)加密 294
10.2.1  數(shù)據(jù)加密技術(shù) 294
10.2.2  鏈路加密機(jī) 297
10.2.3  網(wǎng)卡集成式鏈路加密原理 299
10.3  WLAN數(shù)據(jù)鏈路層保護(hù)方案 301
10.3.1  WLAN SSID安全技術(shù)及配置方法 301
10.3.2  WLAN MAC地址過(guò)濾及配置 303
10.3.3  WLAN WEP加密 304
10.3.4  WLAN WPA/WPA2加密認(rèn)證 306
10.4  無(wú)線AP/路由器的WPA和WPA2設(shè)置 309
10.4.1  個(gè)人用戶無(wú)線AP/路由器的WPA-PSK或WPA2-PSK設(shè)置 309
10.4.2  企業(yè)級(jí)無(wú)線AP/路由器的WPA或WPA2設(shè)置 310
10.4.3  WLAN客戶端第三方軟件的WPA和WPA2設(shè)置 311
10.4.4  Windows XP無(wú)線客戶端WPA/WPA2配置 314
10.5  MAC地址欺騙防護(hù) 316
10.5.1  ARP和RARP協(xié)議工作原理 316
10.5.2  MAC地址欺騙原理 317
10.5.3  MAC地址欺騙源的查找和預(yù)防 318
10.6  Cisco設(shè)備基于端口的MAC地址綁定 320
10.6.1  基于端口的單一MAC地址綁定的基本配置步驟 321
10.6.2  基于端口的單一MAC地址綁定配置示例 322
10.6.3  基于端口的多MAC地址綁定配置思路 322
10.7  Cisco設(shè)備基于IP地址的MAC地址綁定 323
10.7.1  一對(duì)一的MAC地址與IP地址綁定 323
10.7.2  一對(duì)多或者多對(duì)多的MAC地址與IP地址綁定示例 324
第11章  網(wǎng)絡(luò)層Kerberos和IPSec安全方案及應(yīng)用配置 325
11.1  身份認(rèn)證概述 326
11.1.1  主要的身份認(rèn)證方式 326
11.1.2  單點(diǎn)登錄身份認(rèn)證執(zhí)行方式 327
11.2  Kerberos身份認(rèn)證 328
11.2.1  Kerberos v5身份認(rèn)證機(jī)制 328
11.2.2  Kerberos v5身份認(rèn)證的優(yōu)點(diǎn)與缺點(diǎn) 331
11.3  Kerberos應(yīng)用原理與配置示例 332
11.3.1  利用kerberos進(jìn)行本地登錄的原理 332
11.3.2  利用Kerberos進(jìn)行域登錄的原理和示例 333
11.3.3  Kerberos v5身份認(rèn)證的策略配置 337
11.4  IPSec協(xié)議 338
11.4.1  IPSec的兩種使用模式 339
11.4.2  IPSec的AH協(xié)議 340
11.4.3  IPSec的ESP協(xié)議 343
11.5  IPSec協(xié)議應(yīng)用方案設(shè)計(jì)與配置思路 346
11.5.1  IPSec策略規(guī)則 346
11.5.2  IPSec安全通信方案的主要應(yīng)用 350
11.5.3  不推薦使用IPSec協(xié)議保護(hù)的應(yīng)用方案 354
11.5.4  配置IPSec應(yīng)用方案前的準(zhǔn)備 355
11.5.5  配置IPSec安全應(yīng)用方案的基本步驟 355
11.6  IPSec在Web服務(wù)器訪問(wèn)限制中的應(yīng)用配置示例 356
11.6.1  創(chuàng)建兩個(gè)篩選器操作 356
11.6.2  創(chuàng)建IP篩選器列表 359
11.6.3  創(chuàng)建和指派IPSec策略 363
11.7  IPSec的其他應(yīng)用方案示例 367
11.7.1  IPSec在數(shù)據(jù)庫(kù)服務(wù)器訪問(wèn)限制中的應(yīng)用配置示例 367
11.7.2  IPSec在阻止NetBIOS攻擊中的應(yīng)用配置示例 367
11.7.3  IPSec在保護(hù)遠(yuǎn)程訪問(wèn)通信中的應(yīng)用配置示例 369
第12章  網(wǎng)絡(luò)層證書(shū)服務(wù)和PKI安全方案及應(yīng)用配置 373
12.1  證書(shū)和證書(shū)服務(wù)基礎(chǔ) 374
12.1.1  證書(shū)概述 374
12.1.2  證書(shū)的主要功能 375
12.1.3  證書(shū)的主要應(yīng)用 376
12.2  Windows Server 2003系統(tǒng)PKI體系 380
12.2.1  Windows Server 2003系統(tǒng)PKI體系基礎(chǔ)功能設(shè)施 380
12.2.2  Windows Server 2003系統(tǒng)PKI體系規(guī)劃和部署的基本流程 381
12.3  定義證書(shū)需求 382
12.3.1  確定安全應(yīng)用需求 382
12.3.2  確定證書(shū)需求 386
12.3.3  文檔化證書(shū)策略和證書(shū)實(shí)施聲明 387
12.3.4  定義證書(shū)應(yīng)用需求步驟示例 388
12.4  證書(shū)頒發(fā)機(jī)構(gòu)層次結(jié)構(gòu)設(shè)計(jì) 389
12.4.1  規(guī)劃核心CA選項(xiàng) 389
12.4.2  選擇信任模式 398
12.4.3  CA層次結(jié)構(gòu)設(shè)計(jì)中的其他步驟 401
12.4.4  CA層次結(jié)構(gòu)設(shè)計(jì)示例 402
12.5  擴(kuò)展證書(shū)頒發(fā)機(jī)構(gòu)結(jié)構(gòu) 403
12.5.1  評(píng)估影響擴(kuò)展信任的因素 404
12.5.2  選擇擴(kuò)展CA結(jié)構(gòu)配置 406
12.5.3  限制計(jì)劃外的信任 408
12.6  定義證書(shū)配置文件 409
12.6.1  選擇證書(shū)模板 410
12.6.2  選擇證書(shū)安全選項(xiàng) 410
12.6.3  使用合格的從屬來(lái)限制證書(shū) 413
12.6.4  配置證書(shū)示例 417
12.7  創(chuàng)建證書(shū)管理規(guī)劃 418
12.7.1  選擇注冊(cè)和續(xù)訂方法 418
12.7.2  將證書(shū)映射到用戶賬戶 419
12.7.3  創(chuàng)建證書(shū)吊銷策略 423
12.7.4  密鑰和數(shù)據(jù)恢復(fù) 426
12.7.5  創(chuàng)建證書(shū)管理規(guī)劃示例 427
第13章  傳輸層安全方案及應(yīng)用配置 428
13.1  TLS/SSL基礎(chǔ) 429
13.1.1  TLS/SSL簡(jiǎn)介 429
13.1.2  TLS與SSL的區(qū)別 430
13.1.3  常見(jiàn)的TLS/SSL應(yīng)用 430
13.2  Windows Server 2003 TLS/SSL體系架構(gòu) 432
13.2.1  安全通道SSPI體系架構(gòu) 432
13.2.2  TLS/SSL體系架構(gòu) 433
13.3  TLS/SSL在IIS Web服務(wù)器中的應(yīng)用 434
13.3.1  安裝CA 435
13.3.2  生成證書(shū)申請(qǐng) 436
13.3.3  提交證書(shū)申請(qǐng) 438
13.3.4  證書(shū)的頒發(fā)和導(dǎo)出 441
13.3.5  在Web服務(wù)器上安裝證書(shū) 444
13.3.6  在Web服務(wù)器上啟用SSL 445
13.4  WLAN網(wǎng)絡(luò)中的傳輸層安全協(xié)議WTLS 446
13.4.1  WAP的主要特點(diǎn)和體系架構(gòu) 447
13.4.2  WAP架構(gòu)與WWW架構(gòu)的比較 450
13.4.3  WAP安全機(jī)制 451
13.4.4  WTLS體系架構(gòu) 453
13.4.5  WTLS的安全功能 454
13.4.6  WTLS與TLS的區(qū)別 455
13.5  SSH和SOCKS協(xié)議 456
13.5.1  SSH協(xié)議 456
13.5.2  SOCKS協(xié)議 458
第14章  Web服務(wù)器安全系統(tǒng)設(shè)計(jì)與配置 460
14.1  Web服務(wù)器的安全威脅與對(duì)策分析 461
14.1.1  主機(jī)枚舉攻擊及防御策略 461
14.1.2  拒絕服務(wù)攻擊及防御策略 464
14.1.3  其他攻擊及預(yù)防策略 466
14.2  安全Web服務(wù)器檢查表 467
14.2.1  程序修補(bǔ)和更新 467
14.2.2  安裝IISLockdown 469
14.2.3  禁用不需要的服務(wù) 469
14.2.4  禁用不需要的協(xié)議 474
14.2.5  禁用或正確使用賬戶 474
14.2.6  正確配置文件和目錄訪問(wèn)權(quán)限 476
14.2.7  刪除不必要的共享和正確使用共享 477
14.2.8  限制端口 478
14.2.9  正確配置注冊(cè)表 479
14.2.10  正確配置和使用審核與日志記錄 479
14.2.11  正確配置站點(diǎn)和虛擬目錄 481
14.2.12  正確配置腳本映射和ISAPI過(guò)濾器 482
14.2.13  正確配置IIS元數(shù)據(jù)庫(kù)和服務(wù)器證書(shū) 483
14.2.14  代碼訪問(wèn)安全性 484
14.2.15  IIS Web服務(wù)器的整體安全檢查表 485
 
第三篇  網(wǎng)絡(luò)存儲(chǔ)子系統(tǒng)設(shè)計(jì)篇
 
第15章  網(wǎng)絡(luò)存儲(chǔ)基礎(chǔ) 488
15.1  3種主流的數(shù)據(jù)存儲(chǔ)方式 489
15.1.1  DAS數(shù)據(jù)存儲(chǔ)方式 489
15.1.2  NAS數(shù)據(jù)存儲(chǔ)方式 490
15.1.3  SAN數(shù)據(jù)存儲(chǔ)方式 491
15.2  SCSI接口 493
15.2.1  SCSI接口簡(jiǎn)介 493
15.2.2  SCSI設(shè)備連接 494
15.3  SATA接口 496
15.3.1  SATA簡(jiǎn)介 496
15.3.2  SATA的技術(shù)特性 497
15.3.3  SATA II標(biāo)準(zhǔn) 499
15.3.4  eSATA規(guī)范 501
15.4  SAS接口 502
15.4.1  SAS接口簡(jiǎn)介 503
15.4.2  SAS接口結(jié)構(gòu) 504
15.4.3  SAS接口的設(shè)備連接 505
15.5  磁盤(pán)陣列（RAID） 507
15.5.1  主要RAID模式 508
15.5.2  主要RAID模式比較 514
第16章  SAN網(wǎng)絡(luò)存儲(chǔ) 516
16.1  SAN基礎(chǔ) 517
16.1.1  SAN的基本特性 517
16.1.2  光纖通道（FC）基礎(chǔ) 518
16.2  FC體系結(jié)構(gòu)和標(biāo)準(zhǔn) 520
16.2.1  FC體系結(jié)構(gòu) 520
16.2.2  FC標(biāo)準(zhǔn) 521
16.3  FC的3種主要拓?fù)浼軜?gòu) 522
16.3.1  點(diǎn)對(duì)點(diǎn)架構(gòu) 522
16.3.2  光纖通道仲裁環(huán)架構(gòu) 523
16.3.3  交換式架構(gòu) 525
16.4  光纖通道設(shè)備 526
16.4.1  光纖通道端口類型 527
16.4.2  FC-SAN的主要設(shè)備 527
16.4.3  光纖集線器和交換機(jī) 528
16.5  IP SAN存儲(chǔ)基礎(chǔ) 530
16.5.1  IP存儲(chǔ)概述 530
16.5.2  IP存儲(chǔ)的優(yōu)勢(shì)和面臨的挑戰(zhàn) 531
16.6  iSCSI-SAN 532
16.6.1  iSCSI協(xié)議基礎(chǔ) 533
16.6.2  iSCSI協(xié)議棧和數(shù)據(jù)包封裝 534
16.6.3  iSCSI-SAN應(yīng)用方案體系架構(gòu) 535
16.6.4  iSCSI-SAN的優(yōu)缺點(diǎn) 537
16.7  FCIP-SAN 538
16.7.1  FCIP協(xié)議基礎(chǔ) 538
16.7.2  FCIP協(xié)議棧和數(shù)據(jù)封裝 540
16.7.3  FCIP-SAN存儲(chǔ) 541
16.8  iFCP-SAN 542
16.8.1  iFCP協(xié)議基礎(chǔ) 542
16.8.2  iFCP-SAN存儲(chǔ) 543
16.9  3種主要IP存儲(chǔ)協(xié)議的比較 544
16.10  FCoE技術(shù) 546
16.10.1  FCoE協(xié)議概述 546
16.10.2  FCoE-SAN所帶來(lái)的好處 547

1. 網(wǎng)絡(luò)工程師備考一本通（適配第6版考綱） [夏杰 編著]
2. 網(wǎng)絡(luò)工程師5天修煉（適配第6版考綱） [主編　朱小平 施游]
3. 網(wǎng)絡(luò)工程師真題及沖刺卷精析（適用機(jī)考） [主編 朱小平 施游]
4. 網(wǎng)絡(luò)工程師32小時(shí)通關(guān)（適配第6版考綱） [主編　薛大龍　王開(kāi)景]
5. 網(wǎng)絡(luò)工程師5天修煉（適配第6版考綱） [主編　朱小平 施游]
6. 網(wǎng)絡(luò)工程師考試32小時(shí)通關(guān) [主編 薛大龍]
7. 網(wǎng)絡(luò)工程師備考一本通 [夏杰 編著]
8. 網(wǎng)絡(luò)管理員考前沖刺100題 [朱小平 李錦衛(wèi) 羅祥澤 編著]
9. 網(wǎng)絡(luò)工程師真題精講與押題密卷 [朱小平 施游 編著]
10. 網(wǎng)絡(luò)管理員5天修煉 [施游 朱小平 阮曉龍 編著]
11. 網(wǎng)絡(luò)工程師5天修煉（第三版） [朱小平 施游 編著]
12. AutoCAD 網(wǎng)絡(luò)工程設(shè)計(jì)教程 [主編　劉通　董燦]
13. 網(wǎng)絡(luò)工程師考前沖刺100題（第二版） [朱小平 施游]
14. 網(wǎng)絡(luò)工程師考試分類練習(xí)與全真模擬 [主編 施游 朱小平]
15. 網(wǎng)絡(luò)工程師5天修煉（第二版） [朱小平 施 游 編著]
16. 網(wǎng)絡(luò)工程師考前沖刺100題 [朱小平]
17. 網(wǎng)絡(luò)工程組網(wǎng)技術(shù)實(shí)用教程 [張宜]
18. 計(jì)算機(jī)網(wǎng)絡(luò)工程 [劉永華]
19. 網(wǎng)絡(luò)工程設(shè)備配置 [主編 王可 譚晏松]
20. Windows Server 2008網(wǎng)絡(luò)管理 [主編 王隆杰 梁廣民 楊名川]
21. 網(wǎng)絡(luò)工程師的5天修煉 [朱小平 編著]
22. 金牌網(wǎng)管師（初級(jí)） [王達(dá) 等編著]
23. 網(wǎng)絡(luò)管理與維護(hù)技術(shù) [主編 蘇英如]
24. 金牌網(wǎng)管師（中級(jí))-大中型企業(yè)網(wǎng)絡(luò)組建、配置與管理 [王達(dá) 闞京茂 等編著]
25. 金牌網(wǎng)管師（初級(jí)）網(wǎng)絡(luò)實(shí)驗(yàn)手冊(cè) [王達(dá) 闞京茂 等編著]
26. 金牌網(wǎng)管師（初級(jí)）中小型企業(yè)網(wǎng)絡(luò)組建、配置與管理 [王達(dá) 闞京茂 等編著]
27. 網(wǎng)絡(luò)安全與管理（第二版） [戚文靜 主編]