基于硬件的安全網(wǎng)絡(luò)實現(xiàn)畢業(yè)設(shè)計

1、<p>　　學(xué)生畢業(yè)設(shè)計（論文）報告</p><p>　　系 別： </p><p>　　專 業(yè)： </p><p>　　班 號： </p><p>　　學(xué) 生 姓 名： </p><p>　　學(xué)

2、 生 學(xué) 號： </p><p>　　設(shè)計（論文）題目：基于硬件設(shè)備的安全網(wǎng)絡(luò)實現(xiàn) </p><p>　　指 導(dǎo) 教 師： </p><p>　　設(shè) 計 地 點： </p><p>　　起 迄 日 期： </p><p>　　畢業(yè)設(shè)計（論文）任務(wù)書&

3、lt;/p><p>　　專業(yè) 班級 姓名 </p><p>　　一、課題名稱： 基于硬件設(shè)備的安全網(wǎng)絡(luò)實現(xiàn) </p><p>　　二、主要技術(shù)指標(biāo)： 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計，交換機(jī)和路由概念，DHCP，網(wǎng)絡(luò)安

4、全隔離，遠(yuǎn)程訪問。 </p><p>　　要求：1對相關(guān)網(wǎng)絡(luò)進(jìn)行規(guī)劃并設(shè)計出相應(yīng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖</p><p>　　2.對交換機(jī)、路由器進(jìn)行相關(guān)的配置</p><p>　　3.理解防火墻技術(shù)并進(jìn)行相關(guān)配置</p><p>　　4.使用DHCP分配IP地址管理和監(jiān)視DHCP</p><p>　　5. 理解包過濾的基本原

5、理并配置數(shù)據(jù)包篩選</p><p>　　6. 理解網(wǎng)絡(luò)安全隔離基本原理并進(jìn)行VLAN子網(wǎng)劃分</p><p>　　7. 理解遠(yuǎn)程訪問技術(shù)并進(jìn)行IPsec VPN的相關(guān)配置</p><p>　　三、工作內(nèi)容和要求： 查閱相關(guān)資料，掌握互聯(lián)網(wǎng)的基礎(chǔ)理論和方法，設(shè)計并實現(xiàn)一個安全的小型服務(wù)網(wǎng)絡(luò)互連環(huán)境。

6、 </p><p>　　四、主要參考文獻(xiàn)：《計算機(jī)網(wǎng)絡(luò)》(第二版)徐敬東、張建忠著2009年 ， 《微軟網(wǎng)絡(luò)操作系統(tǒng)》鞠光明著2009年 ， 《H3C網(wǎng)絡(luò)學(xué)院 路由交換第一卷（上冊）》杭州華三通信技術(shù)有限公司著、2010年 ， 《H3C網(wǎng)絡(luò)學(xué)院 路由交換第一卷（下冊）》杭州華三通信技術(shù)有限公司著、2010年， 《網(wǎng)絡(luò)安全技術(shù)案例教程》歸奕紅、劉寧著2010年 <

7、/p><p>　　學(xué) 生（簽名） 年 月 日</p><p>　　指 導(dǎo) 教師（簽名） 年 月 日 </p><p>　　教研室主任（簽名） 年 月 日</p><p>　　系 主 任（簽名

8、） 年 月 日</p><p>　　畢業(yè)設(shè)計（論文）開題報告</p><p>　　畢業(yè)設(shè)計（論文）成績評定表</p><p>　　一、指導(dǎo)教師評分表（總分為70分）</p><p>　　二、答辯小組評分表（總分為30分）</p><p>　　三、系答辯委員會審定表<

9、/p><p>　　小型企業(yè)網(wǎng)絡(luò)的安全實施</p><p>　　摘要：隨著Internet飛速發(fā)展，網(wǎng)絡(luò)給各個企業(yè)帶來便捷的數(shù)據(jù)通信，不僅加強(qiáng)了企業(yè)的在同行業(yè)的競爭力，還為企業(yè)帶來了巨大的利益。但是與此同時也為企業(yè)帶來了來自于網(wǎng)絡(luò)的安全危機(jī)，計算機(jī)系統(tǒng)本身的不安全和人為的攻擊破壞，以及計算機(jī)安全管理制度的不完善都潛伏著很多安全隱患，嚴(yán)重的可能導(dǎo)致信息失密，或計算機(jī)系統(tǒng)的癱瘓，造成巨大的經(jīng)濟(jì)損失和

10、不良的社會影響。因此，加強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全體系的建設(shè)，保證其正常運(yùn)行，是極為重要的工作。 </p><p>　　本文著重以網(wǎng)絡(luò)硬件設(shè)備為中心，對企業(yè)網(wǎng)絡(luò)配置相應(yīng)的安全策略，使公司員工有一個便捷、安全、方便的網(wǎng)絡(luò)辦工環(huán)境。</p><p>　　關(guān)鍵字：網(wǎng)絡(luò)安全 網(wǎng)絡(luò)互聯(lián)設(shè)備 網(wǎng)絡(luò)管理</p><p>　　Abstract: With the rapid developme

11、nt of the Internet, network to every enterprise to bring the convenient data communication, not only strengthen the competitiveness of the enterprise in the industry, but also for enterprise brought great benefits. But a

12、t the same time also brought for the enterprise from a network of security crisis, computer system of safety and human itself not attack damage, as well as computer security management system are not perfect lurked a lot

13、 of potential safety probl</p><p>　　This paper to network hardware equipment as the center, to the enterprise network configuration corresponding security strategy, so that the employee has a convenient, saf

14、e and convenient network do work environment.</p><p>　　Key words: Network security、 Network interconnection equipment 、Network management</p><p>　　第一章 企業(yè)網(wǎng)絡(luò)安全概述6</p><p>　　1.1 企業(yè)網(wǎng)絡(luò)安全

15、的主要隱患6</p><p>　　2.2企業(yè)網(wǎng)絡(luò)安全誤區(qū)7</p><p>　　第二章 企業(yè)網(wǎng)絡(luò)現(xiàn)狀安全分析8</p><p>　　2.1 企業(yè)網(wǎng)絡(luò)安全需求8</p><p>　　第三章 企業(yè)網(wǎng)絡(luò)安全解決措施9</p><p>　　4.1 VLAN技術(shù)9</p><p>　　4.1.

16、1 VLAN的相關(guān)介紹9</p><p>　　4.1.2 企業(yè)VLAN的規(guī)劃與劃分11</p><p>　　4.1.3 VLAN項目實施12</p><p>　　4.2 ACL包過濾技術(shù)13</p><p>　　4.2.1ACL功能和作用13</p><p>　　4.2.2 ACL包過濾技術(shù)的實施15<

17、;/p><p>　　4.3DHCP技術(shù)16</p><p>　　4.3.1 DHCP功能和作用16</p><p>　　4.3.2 DHCP服務(wù)的實施19</p><p>　　4.4 IPSec VPN技術(shù)20</p><p>　　4.4.1 VPN技術(shù)的功能和作用20</p><p>　

18、　4.4.2 IPSec技術(shù)的功能和作用22</p><p>　　4.4.3 IPSec VPN的實現(xiàn)24</p><p>　　第四章 結(jié)束語26</p><p>　　第五章 答謝詞26</p><p>　　第一章 企業(yè)網(wǎng)絡(luò)安全概述</p><p>　　1.1 企業(yè)網(wǎng)絡(luò)安全的主要隱患 </p>&

19、lt;p>　　隨著計算機(jī)網(wǎng)絡(luò)的不發(fā)展，網(wǎng)絡(luò)安全形勢日益惡化，企業(yè)內(nèi)網(wǎng)絡(luò)在連接網(wǎng)絡(luò)的同是也面臨著諸多的風(fēng)險。不僅要防范外在的威脅，還是防范內(nèi)部的威脅，以下列出了幾個企業(yè)安全威脅的主要來源。</p><p>　?。?）、病毒、木馬和惡意軟件的入侵</p><p>　　（2）、網(wǎng)絡(luò)上的黑客的攻擊</p><p>　　（3）、重要文件或郵件的非法竊取</p>

20、;<p>　?。?）、關(guān)鍵部門的非法訪問和重要信息的外泄</p><p>　　對于這些企業(yè)安全問題，所應(yīng)該采取的措施應(yīng)該是安裝專業(yè)的防病毒軟件，對于企業(yè)內(nèi)網(wǎng)也要進(jìn)行安全管理，防火墻的過濾策略配置，能及時更新系統(tǒng)的補(bǔ)丁，如果是這方面預(yù)算挺足的話，那還可以在公網(wǎng)和私網(wǎng)之間網(wǎng)絡(luò)掃描檢測、網(wǎng)絡(luò)嗅探器或者是配置網(wǎng)絡(luò)隔離系統(tǒng)，這樣效果會更好。對于內(nèi)部網(wǎng)絡(luò)的防范也要注意，當(dāng)網(wǎng)絡(luò)管理員在分配用戶權(quán)限時，應(yīng)該合理的分

21、配相應(yīng)的用戶權(quán)限，最好是實行“最小權(quán)限”原則，這樣也是對于一些重要文件的有效保護(hù)。以上是企業(yè)網(wǎng)絡(luò)安全的一些相應(yīng)手段，對于實際的怎么樣去設(shè)計應(yīng)該根據(jù)該公司的實際情況而定，相應(yīng)的也可以增加其它措施以達(dá)到網(wǎng)絡(luò)安全的目的。</p><p>　　2.2企業(yè)網(wǎng)絡(luò)安全誤區(qū) </p><p>　　（1）、有防火墻就代表網(wǎng)絡(luò)安全</p><p>　　安裝防火墻主要是控制存取和進(jìn)行包過

22、濾，對于DOS攻擊、非法存取等方式的攻擊防范是很有效的，主要提供的是網(wǎng)絡(luò)邊緣的安全。而對于那些不經(jīng)過防火墻的或是將應(yīng)用層的攻擊隱藏在正常的封裝包里，那就無能為力了，原因在于防火墻工作在網(wǎng)絡(luò)層。防火墻不能完全保證企業(yè)網(wǎng)絡(luò)的安全，它只能防范來自于外網(wǎng)的攻擊，對于企業(yè)內(nèi)部的安全問題不在其作用內(nèi)。</p><p>　?。?）、只要不上網(wǎng)就不會中毒</p><p>　　雖然病毒的主要來源于網(wǎng)絡(luò)，但是

23、并不代表不上網(wǎng)就不會中毒，盜版的光盤、移動硬盤、U盤等也會存在病毒的威脅。所以說不上網(wǎng)不能保證其安全性。</p><p>　　（3）、網(wǎng)絡(luò)安全主要來自己外部</p><p>　　不要以為網(wǎng)絡(luò)的安全威脅來自于外部網(wǎng)絡(luò)，對于攻擊者來說基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易成功，可以直接對內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊。所以說對于內(nèi)部網(wǎng)絡(luò)的防范也是非常得要的。</p><p>　　（4）、只讀文件

24、可以避免病毒感染</p><p>　　只讀文件只是對文件屬性的設(shè)置，并不能防范攻擊，黑客可以很容易的對其進(jìn)行修改。這個用在局域網(wǎng)內(nèi)避免共享文件誤刪還是不錯的。</p><p>　　第二章 企業(yè)網(wǎng)絡(luò)現(xiàn)狀安全分析</p><p>　　2.1 企業(yè)網(wǎng)絡(luò)安全需求</p><p>　　企業(yè)出于對業(yè)務(wù)的需求，建設(shè)一個小型的局域網(wǎng)，有數(shù)據(jù)庫服務(wù)器、Web服

25、務(wù)器、客戶機(jī)。企業(yè)有開發(fā)部、設(shè)計部、策劃部、財務(wù)部四個部門，需要對四個部門進(jìn)行隔離?？紤]到網(wǎng)絡(luò)安全性，對企業(yè)網(wǎng)絡(luò)進(jìn)行DHCP、VPN、VLAN等配置，以達(dá)到一個相對安全的網(wǎng)絡(luò)辦工環(huán)境。</p><p>　　2.2 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)圖：</p><p>　　第三章 企業(yè)網(wǎng)絡(luò)安全解決措施</p><p>　　4.1 VLAN技術(shù)</p><p>　　

26、4.1.1 VLAN的相關(guān)介紹</p><p><b>　　（1）VLAN簡介</b></p><p>　　VLAN（虛擬局域網(wǎng)）是對連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個VLAN可以在一個交換機(jī)或者跨交換機(jī)實現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進(jìn)行分組

27、?；诮粨Q機(jī)的虛擬局域網(wǎng)能夠為局域網(wǎng)解決沖突域、廣播域、帶寬問題。</p><p>　　傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中，所有的用戶在同一個廣播域中，會引起網(wǎng)絡(luò)性能的下降，浪費可貴的帶寬；而且對廣播風(fēng)暴的控制和網(wǎng)絡(luò)安全只能在第三層的路由器上實現(xiàn)。</p><p>　　VLAN相當(dāng)于OSI參考模型的第二層的廣播域，能夠?qū)V播風(fēng)暴控制在一個VLAN內(nèi)部，劃分VLAN后，由于廣播域的縮小

28、，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。不同的VLAN之間的數(shù)據(jù)傳輸是通過第三層（網(wǎng)絡(luò)層）的路由來實現(xiàn)的，因此使用VLAN技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備可搭建安全可靠的網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員通過控制交換機(jī)的每一個端口來控制網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)資源的訪問，同時VLAN和第三層第四層的交換結(jié)合使用能夠為網(wǎng)絡(luò)提供較好的安全措施。</p><p>　　另外，VLAN具有靈活性和可擴(kuò)張性等特點，方便

29、于網(wǎng)絡(luò)維護(hù)和管理，這兩個特點正是現(xiàn)代局域網(wǎng)設(shè)計必須實現(xiàn)的兩個基本目標(biāo)，在局域網(wǎng)中有效利用虛擬局域網(wǎng)技術(shù)能夠提高網(wǎng)絡(luò)運(yùn)行效率。</p><p>　?。?）VLAN技術(shù)的優(yōu)點</p><p>　　有效控制廣播域范圍：廣播域被限制在一個VLAN內(nèi)，廣播流量僅在VLAN中傳播，節(jié)省了帶寬，提高了網(wǎng)絡(luò)處理能力。如果一臺終端主機(jī)發(fā)出廣播幀，交換機(jī)只會將此廣播幀發(fā)送到所有屬于該VLAN的其它端口，而不是

30、所有的交換機(jī)的端口，從而控制了廣播范圍，節(jié)省了帶寬。</p><p>　　增強(qiáng)局域網(wǎng)的安全性：不同VLAN內(nèi)的報文在傳輸時是相互隔離的，即一個VLAN的用戶不能和其它VLAN的用戶直接通信，如果不同VLAN間要進(jìn)行通信，則需要通過路由或三層交換機(jī)等設(shè)備。</p><p>　　靈活構(gòu)建虛擬工作組;用VLAN可以劃分不同的用戶到不同的工用組，同一工用組的用戶也不必限于某一固定的物理范圍，網(wǎng)絡(luò)構(gòu)

31、建和維護(hù)更方便靈活。</p><p>　　增強(qiáng)網(wǎng)絡(luò)的健壯性:當(dāng)網(wǎng)絡(luò)規(guī)模增大時，部分網(wǎng)絡(luò)出現(xiàn)問題往往會影響整個網(wǎng)絡(luò),引入VLAN后，可以將一些網(wǎng)絡(luò)故障限制在一個VLAN之內(nèi)。</p><p>　?。?）VLAN的分類</p><p>　　1.根據(jù)端口來劃分VLAN</p><p>　　基于端口的VLAN是劃分虛擬局域網(wǎng)最簡單也是最有效的方法，這

32、實際上是某些交換端口的集合，網(wǎng)絡(luò)管理員只需要管理和配置交換端口，而不管交換端口連接什么設(shè)備。</p><p>　　2.根據(jù)MAC地址劃分VLAN</p><p>　　由于只有網(wǎng)卡才分配有MAC地址，因此按MAC地址來劃分VLAN實際上是將某些工作站和服務(wù)器劃屬于某個VLAN。事實上，該VLAN是一些MAC地址的集合。當(dāng)設(shè)備移動時，VLAN能夠自動識別。網(wǎng)絡(luò)管理需要管理和配置設(shè)備的MAC地址

33、，顯然當(dāng)網(wǎng)絡(luò)規(guī)模很大，設(shè)備很多時，會給管理帶來難度。</p><p>　　3.根據(jù)網(wǎng)絡(luò)層劃分VLAN</p><p>　　這種劃分VLAN的方法是根據(jù)每個主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型(如果支持多協(xié)議)劃分的，雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址，比如IP地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無關(guān)系。</p><p>　　這種方法的優(yōu)點是用戶的物理位置改變了，不需要重新配置所屬

34、的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡(luò)管理者來說很重要，還有，這種方法不需要附加的幀標(biāo)簽來識別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。</p><p>　　這種方法的缺點是效率低，因為檢查每一個數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時間的(相對于前面兩種方法)，一般的交換機(jī)芯片都可以自動檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時也更費時。當(dāng)然，這與各個廠商的實現(xiàn)方法有關(guān)。

35、</p><p>　　4.根據(jù)IP組播劃分VLAN</p><p>　　IP 組播實際上也是一種VLAN的定義，即認(rèn)為一個組播組就是一個VLAN，這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進(jìn)行擴(kuò)展，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高。</p><p>　　5.基于規(guī)則的VLAN</p><p

36、>　　也稱為基于策略的VLAN。這是最靈活的VLAN劃分方法，具有自動配置的能力，能夠把相關(guān)的用戶連成一體，在邏輯劃分上稱為“關(guān)系網(wǎng)絡(luò)”。網(wǎng)絡(luò)管理員只需在網(wǎng)管軟件中確定劃分VLAN的規(guī)則（或?qū)傩裕?，那么?dāng)一個站點加入網(wǎng)絡(luò)中時，將會被“感知”，并被自動地包含進(jìn)正確的VLAN中。同時，對站點的移動和改變也可自動識別和跟蹤。</p><p>　　采用這種方法，整個網(wǎng)絡(luò)可以非常方便地通過路由器擴(kuò)展網(wǎng)絡(luò)規(guī)模。有的產(chǎn)品

37、還支持一個端口上的主機(jī)分別屬于不同的VLAN，這在交換機(jī)與共享式Hub共存的環(huán)境中顯得尤為重要。自動配置VLAN時，交換機(jī)中軟件自動檢查進(jìn)入交換機(jī)端口的廣播信息的IP源地址，然后軟件自動將這個端口分配給一個由IP子網(wǎng)映射成的VLAN。</p><p>　　6. 按用戶定義、非用戶授權(quán)劃分VLAN</p><p>　　基于用戶定義、非用戶授權(quán)來劃分VLAN，是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò)，根

38、據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認(rèn)證后才可以加入一個VLAN。</p><p>　　4.1.2 企業(yè)VLAN的規(guī)劃與劃分</p><p>　?。?）VLAN的規(guī)劃</p><p>　　根據(jù)本公司的網(wǎng)絡(luò)現(xiàn)狀，員工的IP是通過DHCP服務(wù)器自動獲取的，在這里我們可以使用基

39、于端口地址的VLAN劃分來對公司的局域網(wǎng)進(jìn)行劃分，這樣當(dāng)員工的IP地址有變動也還是在其所在的部門VLAN。</p><p>　?。?）VLAN的劃分</p><p>　　本公司主要分三個部門：開發(fā)部、設(shè)計部、策劃部、財務(wù)部，所以在這里我們劃分四個VLAN：VLAN 10 、VLAN 20、VLAN 30 、VLAN 40</p><p>　　VLAN 10：S1中端

40、口1-6</p><p>　　VLAN 20：S1中端口7-12</p><p>　　VLAN 30：S1中端口13-15</p><p>　　VLAN 40：S1中端口16-18</p><p>　　VLAN 10：S2中端口1-6</p><p>　　VLAN 20：S2中端口7-12</p><

41、;p>　　VLAN 30：S2中端口13-15</p><p>　　VLAN 40：S2中端口16-18</p><p>　　注：沒有劃分的端口，留之備用</p><p>　　4.1.3 VLAN項目實施</p><p>　　1、S1配置（H3C S2126）</p><p>　　<H3C>syste

42、m</p><p>　　[H3C]sysname Switch A </p><p><b>　　#配置VLAN </b></p><p>　　[Switch A]vlan 10</p><p>　　[Switch A-Vlan10]port Ethernet0/1 to Ethernet0/6</p>

43、<p>　　[SwitchA-Vlan10] quit</p><p>　　[SwitchA] vlan 20</p><p>　　[SwitchA-VLAN20] port Ethernet0/7 to Ethernet0/12</p><p>　　[SwitchA-VLAN20] quit</p><p>　　[SwitchA

44、] vlan 30</p><p>　　[SwitchA-VLAN30] port Ethernet0/13 to Ethernet0/15</p><p>　　[SwitchA-VLAN30] quit</p><p>　　[SwitchA] vlan 40</p><p>　　[SwitchA-VLAN40] port Ethernet0

45、/16 to Ethernet0/18</p><p>　　[Switch A-VLAN40] quit</p><p>　　#配置交換機(jī)間的端口為Trunk，并且允許所有VLAN通過</p><p>　　[Switch A] interface Ethernet 0/24</p><p>　　[Switch A-Ethernet0/24]

46、port link-type trunk</p><p>　　[Switch A-Ethernet0/24] port trunk permits vlan all</p><p>　　[SwitchA-Ethernet0/24] quit</p><p><b>　　[SwitchA]</b></p><p>　　2、

47、S2配置（H3 S2126）</p><p>　　<H3C>system</p><p>　　[H3C]sysname SwitchA </p><p><b>　　#配置VLAN </b></p><p>　　[SwitchA]vlan 10</p><p>　　[SwitchA

48、-Vlan10]port Ethernet0/1 to Ethernet0/6</p><p>　　[SwitchA-Vlan10]quit</p><p>　　[SwitchA]vlan 20</p><p>　　[SwitchA-VLAN20]port Ethernet0/7 to Ethernet0/12</p><p>　　[Swit

49、chA-VLAN20]quit</p><p>　　[SwitchA]vlan 30</p><p>　　[SwitchA-VLAN30]port Ethernet0/13 to Ethernet0/15</p><p>　　[SwitchA-VLAN30]quit</p><p>　　[SwitchA] vlan 40</p>

50、<p>　　[SwitchA-VLAN40] port Ethernet0/16 to Ethernet0/18</p><p>　　[SwitchA-VLAN40]quit</p><p>　　#配置交換機(jī)間的端口為Trunk，并且允許所有VLAN通過</p><p>　　[SwitchA]interface Ethernet 0/24</p&g

51、t;<p>　　[SwitchA-Ethernet0/24]port link-type trunk</p><p>　　[SwitchA-Ethernet0/24] port trunk permit vlan all</p><p>　　[SwitchA-Ethernet0/24]quit</p><p><b>　　[SwitchA]&

52、lt;/b></p><p>　　4.2 ACL包過濾技術(shù)</p><p>　　4.2.1ACL功能和作用</p><p><b>　?。?）ACL概述</b></p><p>　　ACL（Access Control List,訪問控制列表）是用來實現(xiàn)數(shù)據(jù)識別功能的。為了實現(xiàn)數(shù)據(jù)識別，網(wǎng)絡(luò)設(shè)備需要配置一系列條件對

53、報文進(jìn)行分類，這些條件可以是報文的源地址、目的地址、端口號、協(xié)議類型等。</p><p>　　當(dāng)設(shè)備的端口接收到報文后，即根據(jù)當(dāng)前端口上應(yīng)用的ACL 規(guī)則對報文的字段進(jìn)行分析，在識別出特定的報文之后，根據(jù)預(yù)先設(shè)定的策略允許或禁止該報文通過。由 ACL 定義的報文匹配規(guī)則，可以被其它需要對流量進(jìn)行區(qū)分的場合引用，如包過濾、QoS 中流分類規(guī)則的定義等。</p><p><b>　　

54、（2）ACL應(yīng)用</b></p><p>　　在生活中有許多ACL應(yīng)用，主要包括：</p><p>　　包過濾防火墻（packet filter firewall）</p><p>　　NET(Network Address Translation,網(wǎng)絡(luò)地址轉(zhuǎn)換)</p><p>　　QOS（Quality of Service,

55、服務(wù)質(zhì)量）的數(shù)據(jù)分類</p><p><b>　　路由策略和過濾</b></p><p><b>　　按需撥號 </b></p><p>　　在本公司網(wǎng)絡(luò)中我們應(yīng)用到的是“路由策略和過濾”，在路由器上進(jìn)行配置相應(yīng)的ACL策略以達(dá)到對來往數(shù)據(jù)包的篩選。</p><p>　?。?）ACL匹配順序<

56、/p><p>　　一個 ACL 中可以包含多個規(guī)則，而每個規(guī)則都指定不同的報文匹配選項，這些規(guī)則可能存在重復(fù)或矛盾的地方，在將一個報文和ACL 的規(guī)則進(jìn)行匹配的時候，到底采用哪些規(guī)則呢？就需要確定規(guī)則的匹配順序。</p><p>　　IPv4 ACL 支持兩種匹配順序：</p><p>　　配置順序：按照用戶配置規(guī)則的先后順序進(jìn)行規(guī)則匹配</p><

57、p>　　自動排序：按照“深度優(yōu)先”的順序進(jìn)行規(guī)則匹配</p><p>　　1、基本IPv4 ACL 的“深度優(yōu)先”順序判斷原則如下</p><p>　　先看規(guī)則中是否帶VPN 實例，帶VPN 實例的規(guī)則優(yōu)先</p><p>　　再比較源IP 地址范圍，源IP 地址范圍小（反掩碼中“0”位的數(shù)量多）的規(guī)則優(yōu)先</p><p>　　如果源I

58、P 地址范圍相同，則先配置的規(guī)則優(yōu)先</p><p>　　2、 高級IPv4 ACL 的“深度優(yōu)先”順序判斷原則如下</p><p>　　先看規(guī)則中是否帶VPN 實例，帶VPN 實例的規(guī)則優(yōu)先</p><p>　　再比較協(xié)議范圍，指定了IP 協(xié)議承載的協(xié)議類型的規(guī)則優(yōu)先</p><p>　　如果協(xié)議范圍相同，則比較源IP 地址范圍，源IP 地

59、址范圍?。ǚ囱诖a中“0”位的數(shù)量多）的規(guī)則優(yōu)先</p><p>　　如果協(xié)議范圍、源IP 地址范圍相同，則比較目的IP 地址范圍，目的IP 地址范圍?。ǚ囱诖a中“0”位的數(shù)量多）的規(guī)則優(yōu)先</p><p>　　如果協(xié)議范圍、源IP 地址范圍、目的IP 地址范圍相同，則比較四層端口號（TCP/UDP 端口號）范圍，四層端口號范圍小的規(guī)則優(yōu)先</p><p>　　如果上

60、述范圍都相同，則先配置的規(guī)則優(yōu)先</p><p>　　3、二層ACL 的“深度優(yōu)先”順序判斷原則如下</p><p>　　先比較源MAC 地址范圍，源MAC 地址范圍?。ㄑ诖a中“1”位的數(shù)量多）的規(guī)則優(yōu)先；</p><p>　　如果源MAC 地址范圍相同，則比較目的MAC 地址范圍，目的MAC 地址范圍?。ㄑ诖a中“1”位的數(shù)量多）的規(guī)則優(yōu)先；</p>

61、<p>　　如果源MAC 地址范圍、目的MAC 地址范圍相同，則先配置的規(guī)則優(yōu)先。</p><p>　　在報文匹配規(guī)則時，會按照匹配順序去匹配定義的規(guī)則，一旦有一條規(guī)則被匹配，報文就不再繼續(xù)匹配其它規(guī)則了，設(shè)備將對該報文執(zhí)行第一次匹配的規(guī)則指定的動作。</p><p>　　4.2.2 ACL包過濾技術(shù)的實施</p><p>　　（1）ACL項目規(guī)劃<

62、/p><p>　　對公司接外網(wǎng)的路由器上進(jìn)行數(shù)據(jù)包篩選，使外網(wǎng)主機(jī)不能訪問網(wǎng)段192.168.1.0、24的主機(jī)，內(nèi)網(wǎng)主機(jī)能訪問外網(wǎng)。</p><p><b>　?。?）項目實施</b></p><p>　　<H3C>system</p><p><b>　　路由器R1</b></p&

63、gt;<p><b>　　#</b></p><p>　　[H3C] sysname R1</p><p><b>　　#</b></p><p>　　#配置接口IP地址 </p><p><b>　　#</b></p><p>　　[R1

64、] interface Ethernet 0/1</p><p>　　[R1-Ethernet0/0] ip address 192.168.1.1 255.255.255.0</p><p>　　[R1-Ethernet0/0] undo shutdown</p><p>　　[R1-Ethernet0/0] quit</p><p>&l

65、t;b>　　#</b></p><p>　　[R1] interface Serial 0/1</p><p>　　[R1-Serial0/0] ip address 202.102.2.2 255.255.255.0</p><p>　　[R1-Serial0/0] undo shutdown</p><p>　　[R1-

66、Serial0/0] quit </p><p><b>　　#</b></p><p><b>　　#配置RIP協(xié)議 </b></p><p><b>　　#</b></p><p><b>　　[R1] rip</b></p><p

67、>　　[R1-rip] network 192.168.2.0</p><p>　　[R1-rip] network 202.102.2.0</p><p>　　[R1-rip] quit</p><p><b>　　#</b></p><p>　　[R1] firewall enable

68、 #啟動防火墻</p><p><b>　　#</b></p><p>　　[R1] acl number 3000 match-order auto #擴(kuò)展ACL</p><p>　　[R1-acl-avd-3000] rule 0 permit ip source 202.

69、102.2.3 0 destination any</p><p>　　[R1-acl-avd-3000] rule 1 deny ip source any destination 192.168.1.0 0.0.0.255</p><p>　　[R1-acl-avd-3000] quit </p><p><b>　　#</b></p

70、><p><b>　　#</b></p><p>　　[R1] interface Serial 0/1</p><p>　　[R1-Serial0/0] firewall packet-filter 3000 inbound #使ACL生效</p><p>　　[R1-Serial0/0] quit </

71、p><p><b>　　#</b></p><p><b>　　4.3DHCP技術(shù)</b></p><p>　　4.3.1 DHCP功能和作用</p><p><b>　?。?）DHCP簡介</b></p><p>　　DHCP（Dynamic Host C

72、onfiguration Protocol,動態(tài)主機(jī)配置協(xié)議）的作用是為局域網(wǎng)中的每臺計算機(jī)自動分配TCP/IP信息，包括IP包括地址、子網(wǎng)掩碼、網(wǎng)關(guān)，以及DNS服務(wù)器等。其優(yōu)點是終端主機(jī)無須配置、網(wǎng)絡(luò)維護(hù)方便。</p><p>　?。?）DHCP的特點</p><p><b>　　即插即用性</b></p><p>　　客戶端無須配置即能獲得

73、IP地址及相關(guān)參數(shù)。簡化客端網(wǎng)絡(luò)配置，降低維護(hù)成本。</p><p><b>　　統(tǒng)一管理</b></p><p>　　所有IP地址及相關(guān)參數(shù)信息由DHCP服務(wù)器統(tǒng)一管理，統(tǒng)一分配</p><p><b>　　使用效率高</b></p><p>　　通過IP地址租期管理，提高IP地址的使用效率<

74、;/p><p><b>　　可跨網(wǎng)段實現(xiàn)</b></p><p>　　通過使用DHCP中繼，可使外于不同子網(wǎng)中的客戶端和DHCP服務(wù)器之間實現(xiàn)協(xié)議報文交互</p><p><b>　　（3）DHCP優(yōu)點</b></p><p>　　管理員可以集中為整個互聯(lián)網(wǎng)指定通用和特定子網(wǎng)的TCP／IP參數(shù)，并且可以

75、定義使用保留地址的客戶機(jī)的參數(shù)。</p><p>　　提供安全可信的配置。DHCP避免了在每臺計算機(jī)上手工輸入數(shù)值引起的配置錯誤，還能防止網(wǎng)絡(luò)上計算機(jī)配置地址的沖突。</p><p>　　使用DHCP服務(wù)器能大大減少配置花費的開銷和重新配置網(wǎng)絡(luò)上計算機(jī)的時間，服務(wù)器可以在指派地址租約時配置所有的附加配置值。</p><p>　　客戶機(jī)不需手工配置TCP／IP。<

76、;/p><p>　　客戶機(jī)在子網(wǎng)間移動時，舊的IP地址自動釋放以便再次使用。在再次啟動客戶機(jī)時，DHCP服務(wù)器會自動為客戶機(jī)重新配置TCP／IP。</p><p><b>　　（4）DHCP組成</b></p><p><b>　　DHCP服務(wù)器</b></p><p>　　能提供DHCP功能的服務(wù)器或

77、具有DHCP功能的網(wǎng)絡(luò)設(shè)備</p><p><b>　　DHCP中繼</b></p><p>　　一般為路由器或三層交換機(jī)等網(wǎng)絡(luò)設(shè)備</p><p><b>　　DHCP客戶端</b></p><p>　　需要動態(tài)獲得IP地址的主機(jī)</p><p><b>　　圖示

78、：</b></p><p>　　（5）DHCP地址分配方式</p><p><b>　　手動分配</b></p><p>　　根據(jù)需求，網(wǎng)絡(luò)管理員為某些少數(shù)特定的主機(jī)（如DNS服務(wù)器、打印機(jī)）綁定固定的IP地址，其地址不會過期</p><p><b>　　自動分配</b></p&g

79、t;<p>　　為連接到網(wǎng)絡(luò)的某些主機(jī)分配IP地址，該地址將長期由該主機(jī)使用</p><p><b>　　動態(tài)分配</b></p><p>　　主機(jī)申請IP地址最常用的方法。DHCP服務(wù)器為客戶端指定一個IP地址，同是為此地址規(guī)定了一個租用期限，如果租用時間到期，客戶端必須重新申請IP地址。</p><p>　　4.3.2 DHC

80、P服務(wù)的實施</p><p><b>　?。?）配置說明</b></p><p>　　DHCP使員工自動獲取IP，網(wǎng)段為192.168.1.1-192.168.1.254這間的IP地址，并用不會出現(xiàn)IP地址沖突，這樣方便了網(wǎng)絡(luò)管理人員的管理。</p><p><b>　?。?）配置操作</b></p><

81、;p>　　a、用一條Console連接一臺PC機(jī)和R１路由</p><p>　?。狻⑦M(jìn)入超級終端，進(jìn)行配置</p><p><b>　　C、配置命令如下：</b></p><p>　　Router >enable</p><p>　　[Router]#dhcp enable</p><p&

82、gt;　　[Router]#server forbidden-ip 192.168.1.1</p><p>　　[Router]# Server forbidden-ip 192.168.1.252</p><p>　　[Router]# Server forbidden-ip 192.168.1.253</p><p>　　[Router]# Server for

83、bidden-ip 192.168.1.254</p><p>　　[Router]# Dhcp server ip-poll 0</p><p>　　[Router-dhcp-pool-0]#network 192.168.1.0 mask 255.255.255.0</p><p>　　[Router-dhcp-pool-0]#gateway-list 192.

84、168.1.1</p><p>　　[Router-dhcp-pool-0]#dns-list 192.168.1.252</p><p>　　[Router-dhcp-pool-0]#expired day 10</p><p>　　4.4 IPSec VPN技術(shù)</p><p>　　4.4.1 VPN技術(shù)的功能和作用</p>

85、<p><b>　?。?）VPN 簡介</b></p><p>　　虛擬專用網(wǎng)（Virtual Private Network，VPN）是一種“基于公共數(shù)據(jù)網(wǎng)，給用戶一種直接連接到私人局域網(wǎng)感覺的服務(wù)”。它可以通過特殊的加密的通訊協(xié)議為連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜

86、之類的物理線路。VPN極大地降低了用戶的費用，而且提供了比傳統(tǒng)方法更強(qiáng)的安全性和可行性。針對不同的用戶要求，VPN有三種解決方案：遠(yuǎn)程訪問虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（Extranet VPN），分別適用于遠(yuǎn)程/移動用戶訪問、連接各個企業(yè)內(nèi)部網(wǎng)絡(luò)、連接企業(yè)內(nèi)部網(wǎng)與合作伙伴內(nèi)部網(wǎng)。</p><p><b>　　(2)VPN示意圖</b&g

87、t;</p><p><b>　?。?）VPN的分類</b></p><p><b>　　按應(yīng)用類型分類：</b></p><p>　　Access VPN</p><p>　　Intranet VPN</p><p>　　Extranet VPN</p>&l

88、t;p>　　2、按實現(xiàn)的層次分類：</p><p><b>　　二層隧道 VPN</b></p><p><b>　　三層隧道 VPN</b></p><p><b>　　按實現(xiàn)的層次分</b></p><p><b>　　二層隧道VPN</b>&l

89、t;/p><p>　　L2TP: Layer 2 Tunnel Protocol (RFC 2661)</p><p>　　PPTP: Point to Point Tunnel Protocol</p><p>　　L2F: Layer 2 Forwarding</p><p><b>　　三層隧道VPN</b></

90、p><p>　　GRE: General Routing Encapsulation </p><p>　　IPSEC: IP Security Protocol </p><p>　　4.4.2 IPSec技術(shù)的功能和作用</p><p>　?。?）IPSec簡介</p><p>　　IPSec 是安全聯(lián)網(wǎng)的長期方向。

91、它通過端對端的安全性來提供主動的保護(hù)以防止專用網(wǎng)絡(luò)與 Internet 的攻擊。在通信中，只有發(fā)送方和接收方才是唯一必須了解 IPSec 保護(hù)的計算機(jī)。在 Windows XP 和 Windows Server 2003 家族中，IPSec 提供了一種能力，以保護(hù)工作組、局域網(wǎng)計算機(jī)、域客戶端和服務(wù)器、分支機(jī)構(gòu)（物理上為遠(yuǎn)程機(jī)構(gòu)）、Extranet 以及漫游客戶端之間的通信。</p><p>　?。?）IPSec

92、特性和原理</p><p><b>　　IPSec安全特性</b></p><p>　　數(shù)據(jù)機(jī)密性（Confidentiality） </p><p>　　數(shù)據(jù)完整性（ Data Integrity） </p><p>　　數(shù)據(jù)來源認(rèn)證（ Data Authentication） </p><p>

93、;　　反重放（Anti-Replay） </p><p><b>　　IPSec的優(yōu)點</b></p><p><b>　　可保證機(jī)密性</b></p><p><b>　　可保證完整性</b></p><p><b>　　可進(jìn)行數(shù)據(jù)源驗證</b><

94、/p><p>　　具有一定的抗重播(replay)攻擊能力</p><p><b>　　IPSec的組成</b></p><p>　　AH (Authentication Header)報文認(rèn)證頭協(xié)議 </p><p>　　MD5 (Message Digest 5)</p><p>　　SHA1 (

95、Secure Hash Algorithm)</p><p>　　ESP (Encapsulation Security Payload)封裝安全載荷協(xié)議 </p><p>　　DES (Data Encryption Standard)</p><p><b>　　3DES</b></p><p>　　其他的加密算法：

96、Blowfish ，blowfish、cast …</p><p><b>　　加密算法</b></p><p><b>　　1、DES操作模式</b></p><p>　　ECB ( Electronic Codebook )</p><p>　　CBC ( Cipher Block Chaini

97、ng )</p><p>　　CFB ( Cipher Feedback )</p><p>　　OFB ( Output Feedback )</p><p><b>　　圖示</b></p><p>　　IPSec的體系結(jié)構(gòu)</p><p><b>　?。?）工作模式</b&g

98、t;</p><p>　　傳輸模式：實現(xiàn)端到端保護(hù)</p><p>　　隧道模式：實現(xiàn)站點到站點保護(hù)</p><p><b>　?。?）圖示：</b></p><p>　　4.4.3 IPSec VPN的實現(xiàn)</p><p><b>　?。?）配置說明</b></p&g

99、t;<p>　　本實驗的實施是為滿足總公司和子公司之間的通信，又達(dá)到安全的數(shù)據(jù)傳輸?shù)哪康模瑵M足業(yè)務(wù)上的須求。本次配置的對相是在兩個公司連接外網(wǎng)的路由器上實現(xiàn)，對其進(jìn)行相應(yīng)的配置又完成實驗?？偣に綬1的內(nèi)網(wǎng)接口IP：192.168.1.1、24、廣域網(wǎng)接口IP:202.102.2.2，分工司R2的內(nèi)網(wǎng)接口IP：192.168.2.1、廣域網(wǎng)接口IP：202.102.2.3.現(xiàn)對其進(jìn)行IPSec VPN服務(wù)，協(xié)商密碼是snow

100、sky。</p><p><b>　　（2）配置命令</b></p><p><b>　　#R1</b></p><p><b>　　#Enable</b></p><p><b>　　#Config</b></p><p>　　#

101、Hostname R1</p><p>　　#Interface s0/1</p><p>　　#ip add 202.102.2.2 255.255.255.0</p><p><b>　　#int e0/1</b></p><p>　　#ip add 192.168.1.1 255.255.255.0</p&g

102、t;<p><b>　　#exit</b></p><p>　　#ip access-list extended vpn</p><p>　　#permit ip192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0</p><p>　　#deny ip 192.168.1.0 25

103、5.255.255.0 any</p><p><b>　　#exit</b></p><p>　　#crypto isakmp policy 10</p><p>　　#authentication pre-share</p><p>　　#encryption des</p><p><

104、b>　　#hash md5</b></p><p>　　#lifetime 86400</p><p><b>　　#group 1</b></p><p><b>　　#exit</b></p><p>　　#crypto isakmp key snowsky 202.102.2

105、.3</p><p>　　#crypto ipsec transform-set ipsec</p><p>　　#mode tunnel</p><p>　　#transform-type esp-md5-hmac esp-des</p><p><b>　　#exit</b></p><p>

106、　　#crypto map vpn-ipsec 1 ipsec-isakmp</p><p>　　#match address vpn</p><p>　　#set transform-set ipsec</p><p>　　#set peer 202.102.2.3</p><p><b>　　#exit</b><

107、;/p><p>　　#interface s0/1</p><p>　　#crypto map vpn-ipsec</p><p><b>　　#exit</b></p><p>　　#ip route 192.168.2.0 202.102.2.3</p><p><b>　　#R2<

108、;/b></p><p><b>　　#enable</b></p><p><b>　　#config</b></p><p>　　#hostname R2</p><p>　　#interface s0/1</p><p>　　#ip add 202.102.2.3

109、 255.255.255.0</p><p>　　#interface e0/1</p><p>　　#ip add 192.168.2.1 255.255.255.0</p><p><b>　　#exit</b></p><p>　　#ip access-list extended vpn</p>&l

110、t;p>　　#permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0</p><p>　　#deny ip 192.168.2.0 255.255.255.0 any</p><p><b>　　#exit</b></p><p>　　#crypto isakmp pol

111、icy 10</p><p>　　#authentication pre-share</p><p>　　#encryption des</p><p><b>　　#hash md5</b></p><p>　　#lifetime 86400</p><p><b>　　#group

112、1</b></p><p><b>　　#exit</b></p><p>　　#crypto isakmp key snowsky 202.102.2.2</p><p>　　#crypto ipsec transform-set ipsec</p><p>　　#mode tunnel</p>

113、<p>　　#transform-type esp-des esp-md5-hmac</p><p><b>　　#exit</b></p><p>　　#crypto may vpn-ipsec 1 ipsec-iskmp</p><p>　　#match address vpn</p><p>　　#s

114、et peer 202.102.2.2</p><p><b>　　#exit</b></p><p>　　#interface s0/1</p><p>　　#crypto map vpn-ipsec</p><p><b>　　#exit</b></p><p>　　#i

115、p route 192.168.1.0 255.255.255.0 202.102.2.2</p><p><b>　　第四章 結(jié)束語</b></p><p>　　網(wǎng)絡(luò)安全與網(wǎng)絡(luò)的發(fā)展戚戚相關(guān)。網(wǎng)絡(luò)安全是一個系統(tǒng)的工程，不能僅依靠、殺毒軟件、防火墻、漏洞檢測等等硬件設(shè)備的防護(hù)，還要意識到計算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個人機(jī)系統(tǒng)，安全保護(hù)的對象是計算機(jī),而安全保護(hù)的主體則是人，應(yīng)重

116、視對計算機(jī)網(wǎng)絡(luò)安全的硬件產(chǎn)品開發(fā)及軟件研制，建立一個好的計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)，也應(yīng)注重樹立人的計算機(jī)安全意識，才可能 防微杜漸。把可能出現(xiàn)的損失降低到最低點，才能生成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。</p><p><b>　　第五章 答謝詞</b></p><p>　　感謝**老師對我論文的悉心指導(dǎo)，從論文選題到論文的寫作過程給予我真誠的鼓勵、中肯的建議和指導(dǎo)。他嚴(yán)謹(jǐn)

117、的治學(xué)作風(fēng)給予我深深的影響，促使我在論文寫作中精益求精。對**老師的辛勤指導(dǎo)，呈上我最誠摯的謝意。</p><p>　　感謝在我大學(xué)四年學(xué)習(xí)生活中，給予我淳淳教誨的所有的老師們，謝謝你們曾經(jīng)給予我的一切。祝福曾經(jīng)關(guān)心過我的所有教員、隊干和同學(xué)健康，快樂，工作順利。</p><p><b>　　參考文獻(xiàn)</b></p><p>　　[1]王達(dá).網(wǎng)