企業(yè)網(wǎng)絡(luò)搭建畢業(yè)論文

1、<p><b>　　?？粕厴I(yè)設(shè)計(jì) </b></p><p><b>　　網(wǎng)絡(luò)工程項(xiàng)目 </b></p><p><b>　　企業(yè)網(wǎng)絡(luò)搭建</b></p><p>　　院 系　計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 </p><p>　　專 業(yè)　網(wǎng)絡(luò)技術(shù) 　

2、</p><p>　　班 級　09級?？?班　　</p><p>　　2011年 5 月</p><p><b>　　獨(dú) 創(chuàng) 性 聲 明</b></p><p>　　本人鄭重聲明：所呈交的畢業(yè)論文（設(shè)計(jì)）是本人在指導(dǎo)老師指導(dǎo)下取得的研究成果。除了文中特別加以注釋和致謝的地方外，論文（設(shè)計(jì)）中不包含其

3、他人已經(jīng)發(fā)表或撰寫的研究成果。與本研究成果相關(guān)的所有人所做出的任何貢獻(xiàn)均已在論文（設(shè)計(jì)）中作了明確的說明并表示了謝意。</p><p>　　簽名： 　</p><p><b>　　年　　月　　日</b></p><p><b>　　授權(quán)聲明</b></p><p>　　本

4、人完全了解許昌學(xué)院有關(guān)保留、使用專科生畢業(yè)論文（設(shè)計(jì)）的規(guī)定，即：有權(quán)保留并向國家有關(guān)部門或機(jī)構(gòu)送交畢業(yè)論文（設(shè)計(jì)）的復(fù)印件和磁盤，允許畢業(yè)論文（設(shè)計(jì)）被查閱和借閱。本人授權(quán)許昌學(xué)院可以將畢業(yè)論文（設(shè)計(jì)）的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存、匯編論文（設(shè)計(jì)）。</p><p>　　本人論文（設(shè)計(jì)）中有原創(chuàng)性數(shù)據(jù)需要保密的部分為：　　。</p><p&g

5、t;　　簽名： </p><p><b>　　年　　月　　日</b></p><p>　　指導(dǎo)教師簽名： </p><p><b>　　年　　月　　日</b></p><p><b>　　摘 要</b></p><

6、;p>　　建立一個(gè)設(shè)計(jì)規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴(kuò)展性與可用性并且具備可管理易維護(hù)的網(wǎng)絡(luò)及系統(tǒng)平臺(tái)，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率。為需求公司設(shè)計(jì)一個(gè)合理完整、比較可靠的網(wǎng)絡(luò)方案，提供良好的網(wǎng)絡(luò)平臺(tái)。</p><p>　　關(guān)鍵詞：穩(wěn)定高效；安全可靠；可擴(kuò)展；易維護(hù)；</p><p><b>　　ABSTRACT</b&

7、gt;</p><p>　　Establish a design norms and function complete, good performance, safety, reliability, good expansibility and usability and have the network can be management easy maintenance and system platfor

8、m, with high efficiency, low cost, high speed way of improving the company's employees work efficiency and efficiency. To demand the company to design a reasonable complete, more reliable network plan, provide good n

9、etwork platform.</p><p>　　Key words：Stable, effective；Safe and reliable；extensible；Easy maintenance</p><p><b>　　目 錄</b></p><p>　　宇飛公司簡介………………………………………………………………………………………

10、.1</p><p>　　引 言………………………………………………………………………………………………..2</p><p>　　第一章 項(xiàng)目需求分析……………………………………………………………..3</p><p>　　1.1項(xiàng)目背景……………………………………………………………………………………..3</p><p>　　1.2 需求

11、分析……………………………………………………………………………………………………..5</p><p>　　第二章 網(wǎng)絡(luò)總體建設(shè)目標(biāo)………………………………………………………………………..6</p><p>　　2.1網(wǎng)絡(luò)建設(shè)目標(biāo)…………………………………………………………………………………………….6</p><p>　　2.2.網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容及要求7&

12、lt;/p><p>　　2.3網(wǎng)絡(luò)設(shè)計(jì)原則…………………………………………………………………………………………….7</p><p>　　第三章 網(wǎng)絡(luò)總體設(shè)計(jì)………………………………………………………………………………8</p><p>　　3.1網(wǎng)絡(luò)總體拓?fù)鋱D………………………………………………………………………………………….8</p><p&g

13、t;　　3.2 網(wǎng)絡(luò)層次化設(shè)計(jì)10</p><p>　　3.3 核心層設(shè)計(jì)11</p><p>　　3.4 接入層設(shè)計(jì)11</p><p>　　3.5內(nèi)連接入………………………………………………………………………………………………..12</p><p>　　第四章 路由設(shè)計(jì)…………………………………………………………………………………

14、.12</p><p>　　4.1 路由協(xié)議選擇12</p><p>　　4.2 路由規(guī)劃拓?fù)鋱D16</p><p>　　4.3 IP地址規(guī)劃16</p><p>　　第五章 網(wǎng)絡(luò)安全解決方案18</p><p>　　5.1 網(wǎng)絡(luò)邊界安全威脅分析18</p><p>　　5.2 網(wǎng)絡(luò)內(nèi)

15、部安全威脅分析20</p><p>　　5.3 安全產(chǎn)品選型原則22</p><p>　　5.4 網(wǎng)絡(luò)常用技術(shù)介紹23</p><p>　　第六章 產(chǎn)品簡介28</p><p>　　6.1 Cisco3800 系列集成多業(yè)務(wù)路由器………………………………………………………………….28</p><p>　　6.

16、2 Cisco Catalyst 3560 系列集成交換機(jī)29</p><p>　　6.3 Cisco Catalyst 3725………………………………………………………………………………..30</p><p>　　6.4 Cisco Catalyst 2960…………………………………………………………………………………31</p><p>　　6.5 Pi

17、x防火墻……………………………………………………………………………………………..31</p><p>　　6.6 windows軟件…………………………………………………………………………………………32</p><p>　　第七章 設(shè)備清單及報(bào)價(jià)33</p><p>　　第八章 項(xiàng)目實(shí)施方案45</p><p>　　8.1 項(xiàng)目組織

18、結(jié)構(gòu)45</p><p>　　8.2 項(xiàng)目人員分工45</p><p>　　8.3 項(xiàng)目實(shí)施前的準(zhǔn)備工作46</p><p>　　8.4 安裝前的場地準(zhǔn)備46</p><p>　　8.5 核心及各網(wǎng)點(diǎn)的安裝調(diào)試48</p><p>　　第九章 網(wǎng)絡(luò)測試49</p><p>　　9.1

19、 網(wǎng)絡(luò)測試目的49</p><p>　　9.2 測試文檔50</p><p>　　第十章 網(wǎng)絡(luò)設(shè)備基本配置51</p><p>　　10.1.網(wǎng)絡(luò)描述51</p><p>　　10.2.設(shè)備基本配置51</p><p>　　第十一章 網(wǎng)絡(luò)設(shè)備的技術(shù)實(shí)施方案53</p><p>　　1

20、1.1 trunk配置53</p><p>　　11.2 VTP配置55</p><p>　　11.3 VLAN配置57</p><p>　　11.4 STP配置58</p><p>　　11.5 HSRP配置59</p><p>　　11.6 NAT配置63</p><p>　　第

21、十二章 項(xiàng)目測試63</p><p>　　12.1 VLAN的測試63</p><p>　　12.2 STP生成樹測試64</p><p>　　12.3 DNS測試64</p><p>　　12.4MAIL測試65</p><p>　　12.5 WEB測試65</p><p>　　

22、12.6DHCP測試66</p><p>　　致謝…………………………………………………………………………...66</p><p><b>　　宇飛公司簡介</b></p><p>　　www.7788tools.com</p><p>　　宇飛網(wǎng)絡(luò)工程公司成立于2001年，專門從事網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)，法人代表劉蔚。公

23、司位于北京海淀區(qū)，注冊資金500萬。公司本著“以客戶為中心”的理念。以“靠品質(zhì)生存，憑信心發(fā)展，以質(zhì)量競爭，拿效果證明”為宗旨來接受客戶的考驗(yàn)。本著“奉獻(xiàn)愛心，服務(wù)社會(huì)”為根本。</p><p>　　宇飛公司現(xiàn)有員工60人，其中CCIE 2人，CCNP1人，CCNA3人，CCDP5人。2010年公司實(shí)現(xiàn)年純收入6000多萬元。我們公司曾與青島海爾集團(tuán)、中國移動(dòng)通信公司等進(jìn)行過精誠合作。</p>&l

24、t;p><b>　　2011.5</b></p><p><b>　　引 言</b></p><p>　　隨著時(shí)間的推移，信息產(chǎn)業(yè)時(shí)代的到來，人們所要求的信息量也就會(huì)越來越大，計(jì)算機(jī)被廣泛應(yīng)用于商業(yè)、企業(yè)、政府部門、學(xué)校、家庭，給經(jīng)濟(jì)和社會(huì)生活帶來深刻的變革。隨著信息技術(shù)和互聯(lián)網(wǎng)的發(fā)展，信息化已經(jīng)滲透到人類社會(huì)的方方面面，并逐步改變著人們

25、的工作、學(xué)習(xí)和生活方式。</p><p>　　隨著計(jì)算機(jī)技術(shù)的迅猛發(fā)展，特別是隨著網(wǎng)絡(luò)技術(shù)的出現(xiàn)標(biāo)志著信息時(shí)代已經(jīng)來臨。信息化浪潮、網(wǎng)絡(luò)革命不斷沖擊著社會(huì)的發(fā)展，人們逐漸意識到信息的重要意義，許多企業(yè)和個(gè)人紛紛建立了自己的網(wǎng)站。在這種背景下，傳統(tǒng)的生活和工作模式正在受到重大的挑戰(zhàn)，人們已開始利用網(wǎng)絡(luò)和計(jì)算機(jī)學(xué)習(xí)和工作。做為一個(gè)始終站在時(shí)代前沿的信息產(chǎn)業(yè)，只有作出新選擇、不斷學(xué)習(xí)、不斷適應(yīng)才能讓公司發(fā)展的更快、更好

26、。</p><p>　　第一章 項(xiàng)目需求分析</p><p><b>　　項(xiàng)目背景</b></p><p>　　中國飛宇集團(tuán)有限公司是剛剛起步的大型企業(yè)集團(tuán)，是以客車為核心，以工程機(jī)械、汽車零部件、房地產(chǎn)為戰(zhàn)略的業(yè)務(wù)是汽車工業(yè)的搖籃。它的注冊資金200萬，企業(yè)法人代表李董事長。飛宇集團(tuán)其總部北京和分部南京，</p><p&g

27、t;　　該公司在總部有行政部、財(cái)務(wù)部、質(zhì)量管理部、營銷部、營運(yùn)部、技術(shù)部、維修部門、人力資源部、客戶服務(wù)部。</p><p><b>　　其在分部有</b></p><p>　　基于網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，建立一個(gè)比較完整，比較可靠，高靈活性、可靠性、擴(kuò)展性和經(jīng)濟(jì)性的互聯(lián)互通的網(wǎng)絡(luò)體系平臺(tái)，方便總部和分部的信息傳遞。加強(qiáng)公司間的交流和溝通，以達(dá)到更好的暢銷效果和高經(jīng)濟(jì)。<

28、;/p><p>　　總部里有1000位員工，但是每個(gè)分部公司的員工大約有100位人員需要上網(wǎng)。為了方便員工能夠自由的訪問總部的信息資源，并且能夠隨時(shí)隨地的訪問總部的服務(wù)器。讓我們建立一個(gè)設(shè)計(jì)規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴(kuò)展性與可用性并且具備可管理易維護(hù)的網(wǎng)絡(luò)及系統(tǒng)平臺(tái)，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率。為貴公司設(shè)計(jì)一個(gè)合理完整、比較可靠的網(wǎng)絡(luò)方案，提供良好的網(wǎng)絡(luò)平臺(tái)。&l

29、t;/p><p>　　www.gaoxingle.com</p><p>　　1.2 需求分析</p><p>　　以Internet為代表的信息技術(shù)的發(fā)展不僅直接牽動(dòng)著企業(yè)科技的創(chuàng)新和生產(chǎn)力的提高，也逐漸成為提高企業(yè)競爭力的重要力量。貴公司分為總部和分部，以公司總部為中心，其總部內(nèi)部的網(wǎng)絡(luò)平臺(tái)上需要很多大型的服務(wù)器去給用戶和其他分部的員工提供服務(wù)，所以要求這些本地

30、用戶、分部的員工與總部之間能夠?qū)崿F(xiàn)高速連接并且能夠保證與總部通信的可靠性和可行性。同時(shí)要求總部內(nèi)部安全機(jī)制能夠提高。保證內(nèi)網(wǎng)安全同時(shí)保證各臺(tái)服務(wù)器的安全。由于總部是各個(gè)信息的來源，它是數(shù)據(jù)的匯聚中心，所以他的安全是我們必須考慮到。</p><p>　　該公司在其他地方也設(shè)有分部，所以這就必須得考慮到分部與總部傳輸信息的的安全性、穩(wěn)定性和可靠性。保證數(shù)據(jù)的安全傳輸，防止各種非法入侵、病毒的迫害。</p>

31、<p>　　我們在方案中規(guī)劃設(shè)計(jì)了總部的局域網(wǎng)，進(jìn)行了擴(kuò)容升級，建立系統(tǒng)FTP、Mail、Web、file、dns等內(nèi)部服務(wù)器為員工提供內(nèi)部信息的發(fā)布、查詢、瀏覽，建立互聯(lián)網(wǎng)網(wǎng)站，做為對外窗口之一，宣傳工作。</p><p>　　冗余備份：在總部采用高端路由器做冗余備份，分支機(jī)構(gòu)采用中低端路由器做接入。（軟件冗余和硬件冗余）在總部中我們還做了hsrp和stp來體現(xiàn)網(wǎng)絡(luò)的冗余性，以及我們安裝有dhcp

32、服務(wù)器來體現(xiàn)網(wǎng)絡(luò)的擴(kuò)展性，在其對系統(tǒng)軟件和硬件的安全，數(shù)據(jù)完整性的保證，入侵防護(hù)的安全，內(nèi)部網(wǎng)絡(luò)使用vlan分段，隔離廣播域，防止網(wǎng)絡(luò)竊取和非授權(quán)的跨網(wǎng)段訪問。適用防火墻分割內(nèi)部網(wǎng)和外部網(wǎng)</p><p>　　同時(shí)，每一個(gè)信息點(diǎn)要滿足上網(wǎng)的需求，保證網(wǎng)絡(luò)設(shè)備每個(gè)端口的帶寬足夠用，能迅速轉(zhuǎn)發(fā)，實(shí)現(xiàn)資源的共享。</p><p>　　分部與總部通信，需要使用物理專線（ppp）來確保鏈路信息的安全

33、，在總部使用pix防火墻，保護(hù)內(nèi)網(wǎng)信息的安全，有效的控制病毒傳播和網(wǎng)絡(luò)攻擊</p><p>　　使用pat技術(shù)來實(shí)現(xiàn)內(nèi)網(wǎng)訪問外網(wǎng)，隱藏內(nèi)部網(wǎng)絡(luò)地址。</p><p>　　另外，公司采用AD（域管理），即通過域控制器來管理域中的計(jì)算機(jī)。</p><p>　　可擴(kuò)展性：良好的擴(kuò)展性就意味著網(wǎng)絡(luò)具備良好的持續(xù)改進(jìn)能力，隨著公司的不斷發(fā)展，業(yè)務(wù)也在不斷的發(fā)展，接入的用戶也會(huì)

34、增多，對數(shù)據(jù)的流量也在一步步的加大，這些都對網(wǎng)絡(luò)提出擴(kuò)展升級的 需求。</p><p>　　兼容性分析：（協(xié)議兼容性和硬件兼容性）</p><p>　　所謂的協(xié)議兼容就是在一個(gè)網(wǎng)絡(luò)平臺(tái)里可以使用不同的協(xié)議，如：rip, ,ospf 等協(xié)議，方便網(wǎng)絡(luò)的使用。</p><p>　　所謂的硬件兼容：是指幾個(gè)硬件之間、幾個(gè)軟件兼容或是幾個(gè)軟硬件之間相互配合的程度。<

35、;/p><p>　　第二章 網(wǎng)絡(luò)總體建設(shè)目標(biāo)</p><p><b>　　2.1網(wǎng)絡(luò)建設(shè)目標(biāo)</b></p><p>　　為了更好的開展公司的工作，加強(qiáng)和各公司之間的溝通和交流， 形成一個(gè)全局范圍互聯(lián)互通的網(wǎng)絡(luò)平臺(tái)。通過這個(gè)網(wǎng)絡(luò)平臺(tái)，可以達(dá)到如下目的：</p><p>　　1 使總部與分公司可以時(shí)刻建立安全的通信<

36、;/p><p>　　2 用戶可以隨時(shí)經(jīng)過公用網(wǎng)訪問公司的資源</p><p>　　3 通過網(wǎng)絡(luò)互聯(lián)，與商業(yè)的合作伙伴建立高安全，高可靠性的連接，加強(qiáng)之間的合作</p><p>　　4 通過網(wǎng)絡(luò)互聯(lián)，可以提高各部門的辦事效率，加強(qiáng)總部與分公司的聯(lián)系，便于開展工作。</p><p>　　5 減少網(wǎng)絡(luò)的風(fēng)險(xiǎn)</p>

37、<p>　　6 實(shí)現(xiàn)簡單、方便、靈活</p><p>　　7 滿足傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求。</p><p>　　8 網(wǎng)絡(luò)具有高擴(kuò)展性，經(jīng)濟(jì)性。 &l

38、t;/p><p>　　.網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容及要求</p><p>　　根據(jù)公司中心機(jī)房的網(wǎng)絡(luò)情況，我們把整個(gè)網(wǎng)絡(luò)分為內(nèi)部交換網(wǎng)絡(luò)設(shè)計(jì)、網(wǎng)絡(luò)出口設(shè)計(jì)，網(wǎng)絡(luò)安全設(shè)計(jì)幾大部分。對于內(nèi)部交換網(wǎng)絡(luò)我們采用分層設(shè)計(jì)。內(nèi)部交換網(wǎng)絡(luò)分成核心層和接入層兩大部分。公司數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)承載著公司所有的關(guān)鍵核心業(yè)務(wù)，設(shè)計(jì)時(shí)，保證中心機(jī)房網(wǎng)絡(luò)的高可用性和穩(wěn)定性至關(guān)重要，故設(shè)計(jì)時(shí)中心路由交換機(jī)建議采用雙機(jī)熱備（HSRP）

39、，各分支交換機(jī)兩條上聯(lián)千兆線路分別上連到兩臺(tái)中心路由交換機(jī)上，構(gòu)成全路由交換的網(wǎng)絡(luò)；借助于跨骨干的VLAN 技術(shù)，使得對于網(wǎng)絡(luò)內(nèi)有關(guān)Server 的訪問變得更加安全有效。</p><p>　　對于總公司與分公司（兩者之間的距離較近）之間的通信我們采用專用的線路（使用廣域網(wǎng)連接的PPP協(xié)議）進(jìn)行數(shù)據(jù)通信。這樣，不僅能夠滿足分公司大量數(shù)據(jù)的快速傳輸，同時(shí)還能夠保證數(shù)據(jù)的安全性。</p><p>

40、;　　對于外部用戶的撥入，我們通過easy VPN進(jìn)行。easy VPN是通過Internet建立的一種臨時(shí)的、安全的網(wǎng)絡(luò)鏈接，是外出移動(dòng)工作人員遠(yuǎn)程撥入公司內(nèi)部的最佳選擇。</p><p>　　對于邊界網(wǎng)絡(luò)接入網(wǎng)絡(luò)（與合作伙伴、分支機(jī)構(gòu)以及Internet 接入通稱為邊界網(wǎng)絡(luò)），網(wǎng)絡(luò)的安全性將是一個(gè)需要考慮的非常重要的因素。所以確保在網(wǎng)絡(luò)的邊界處部署相應(yīng)的安全策略以防止黑客和各種惡意代碼的攻擊至關(guān)重要，同時(shí)邊界

41、處的設(shè)備的冗余設(shè)計(jì)也是設(shè)計(jì)</p><p>　　考慮的一個(gè)重要因素，防止單點(diǎn)故障。對于服務(wù)器，采用RID5磁盤陣列，數(shù)據(jù)除第一次用完全備份后，以后每天做增量備份，備份的的服務(wù)器或設(shè)備單獨(dú)放置其他全安地點(diǎn)。</p><p>　　2.3.網(wǎng)絡(luò)設(shè)計(jì)原則</p><p>　　網(wǎng)絡(luò)設(shè)計(jì)應(yīng)該遵循開放性和標(biāo)準(zhǔn)化原則、實(shí)用性與先進(jìn)性兼顧原則、可用性原則、高性能原則 、經(jīng)濟(jì)性原則

42、 、可靠性原則、安全第一原則、適度的可擴(kuò)展性原則、充分利用現(xiàn)有資源原則、易管理性原則、易維護(hù)性原則、最佳的性能價(jià)格比原則、QoS保證等。</p><p>　　作為一家優(yōu)秀的系統(tǒng)集成商，向用戶提供的不僅僅是設(shè)備，而是整套的技術(shù)與服務(wù)。在方案設(shè)計(jì)時(shí)，我們將嚴(yán)格遵循以下設(shè)計(jì)原則：</p><p><b>　　1：可用性</b></p><p>　　構(gòu)

43、建一個(gè)網(wǎng)絡(luò)，可用性是最基本的網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)。由于本網(wǎng)絡(luò)對數(shù)據(jù)的安全性要求較高，因此在網(wǎng)絡(luò)的總體設(shè)計(jì)時(shí)重點(diǎn)要考慮的是網(wǎng)絡(luò)本身的安全性﹑以及設(shè)備自身的安全性。</p><p><b>　　2：高可靠性</b></p><p>　　網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的備份策略和快速恢復(fù)策略，保證網(wǎng)絡(luò)和系

44、統(tǒng)具有故障自愈的能力，最大限度地支持各個(gè)系統(tǒng)的正常運(yùn)行。</p><p><b>　　3：安全性</b></p><p>　　在當(dāng)今這樣社會(huì)是一個(gè)信息社會(huì)的時(shí)代，信息的安全性將這接影響到企業(yè)的綜合效益。因此網(wǎng)絡(luò)的建設(shè)中安全性顯的尤為重要。因此，整個(gè)網(wǎng)絡(luò)必須保證萬無一失的安全性，并對各個(gè)部門的信息要有嚴(yán)格分離保護(hù)的辦法，防止網(wǎng)絡(luò)黑客非法入侵。網(wǎng)絡(luò)系統(tǒng)應(yīng)配備全面的病毒防治

45、和安全保護(hù)功能。</p><p><b>　　4：易操作以管理性</b></p><p>　　在保證網(wǎng)絡(luò)各方面性能的同時(shí)，也要注意網(wǎng)絡(luò)管理的易操作﹑以管理性。網(wǎng)絡(luò)布線的設(shè)計(jì)要求便于管理和維護(hù)，當(dāng)某條鏈路出現(xiàn)故障時(shí)，必須保證可以在主設(shè)備間或配線間內(nèi)重新配置。對于常用網(wǎng)絡(luò)設(shè)備的管理要盡量做到使用圖形界面進(jìn)行管理，這樣便于操作。</p><p>&l

46、t;b>　　5：可擴(kuò)展性</b></p><p>　　對于企業(yè)來說，發(fā)展迅速具有不可預(yù)料的特點(diǎn)。因此，要保證網(wǎng)絡(luò)具有較好的可擴(kuò)張性。它包括IP地址的可擴(kuò)展性﹑物理鏈路的可擴(kuò)展性。</p><p><b>　　6：冗余性</b></p><p>　　在網(wǎng)絡(luò)的規(guī)劃是要考慮具有適當(dāng)?shù)娜哂喽取＼浻布O(shè)備都應(yīng)具有一定的冗余性，以提高網(wǎng)絡(luò)

47、的運(yùn)行效率（主要是總公司）。</p><p><b>　　7：容錯(cuò)性</b></p><p>　　不能因某臺(tái)設(shè)備的故障而影響到整個(gè)主干網(wǎng)絡(luò)的正常運(yùn)行；盡量做到任意一條鏈路的中斷不能使得主干網(wǎng)絡(luò)的任何部分中斷工作。</p><p>　　第三章 網(wǎng)絡(luò)總體設(shè)計(jì)</p><p>　　3.1.網(wǎng)絡(luò)總體拓?fù)鋱D</p>

48、<p>　　考慮到公司的工作性和實(shí)用性的需求，在總部我們采用兩臺(tái)Cisco Catalyst 3560做雙機(jī)熱備份，采用Cisco專用熱備份路由協(xié)議（HSRP）,</p><p>　　保證網(wǎng)絡(luò)服務(wù)運(yùn)行的不間斷，并有專業(yè)的人員進(jìn)行管理，極大地保護(hù)數(shù)據(jù)的安全性和保密性。</p><p>　　這樣設(shè)計(jì)保證了網(wǎng)絡(luò)的高度可靠性和穩(wěn)定性，當(dāng)主機(jī)停止工作，會(huì)把系統(tǒng)資源轉(zhuǎn)移到備用系統(tǒng)上，備用系統(tǒng)

49、將會(huì)替代主機(jī)發(fā)揮作用，以保證網(wǎng)絡(luò)服務(wù)的運(yùn)行不間斷。同時(shí)還充分利用率帶寬資源，實(shí)現(xiàn)了負(fù)載均衡。在通過Cisco Catalyst 3560 設(shè)置vtp，劃分vlan，有效地控制了兩個(gè)子網(wǎng)的安全。</p><p>　　分部使用的路由器是帶有防火墻的。使用isa。</p><p>　　接入，在與總部通信時(shí)，需要使用物理專線（ppp）來確保鏈路信息的安全，如上圖所示：整體網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)了總部的局域

50、網(wǎng)，采用統(tǒng)一的通信協(xié)議、路由協(xié)議；主干網(wǎng)以高速交換鏈路鏈接各子網(wǎng)，通過vlan技術(shù)形成擁有層次化的網(wǎng)絡(luò)。以總部為核心網(wǎng)絡(luò)，內(nèi)連接入包括辦公網(wǎng)絡(luò)、數(shù)據(jù)中心、分公司接入等，各區(qū)域相對獨(dú)立，通過核心網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的交互。</p><p>　　同時(shí)建立系統(tǒng)FTP、Mail、Web、file、dns等內(nèi)部服務(wù)器為員工提供內(nèi)部信息的發(fā)布、查詢、瀏覽?？偛坑梅阑饓?，保護(hù)內(nèi)網(wǎng)信息的安全。</p><p>　

51、　分部內(nèi)部為交換網(wǎng)絡(luò)，路由保證數(shù)據(jù)的傳輸。</p><p><b>　　網(wǎng)絡(luò)層次化設(shè)計(jì)</b></p><p>　　在瞬息萬變的市場上，網(wǎng)絡(luò)應(yīng)用可以幫助企業(yè)決策者運(yùn)籌帷幄，充分利用各種企業(yè)資源，優(yōu)化企業(yè)資源配置。在搭建網(wǎng)絡(luò)時(shí)，如果采用分層模式設(shè)計(jì)，與其他網(wǎng)絡(luò)設(shè)計(jì)相比，分層網(wǎng)絡(luò)更容易管理和擴(kuò)展，排除故障也更迅速。同時(shí)多層設(shè)計(jì)還有以下好處：</p><

52、p>　　分層網(wǎng)絡(luò)設(shè)計(jì)，通過對網(wǎng)絡(luò)各種功能進(jìn)行分離，可以實(shí)現(xiàn)模塊化的網(wǎng)絡(luò)設(shè)計(jì)，這樣有利于提高網(wǎng)絡(luò)的擴(kuò)展性和性能。</p><p>　　隨著網(wǎng)絡(luò)的不斷擴(kuò)大，網(wǎng)絡(luò)的可用性也變得越來越重要。利用分層網(wǎng)絡(luò)可以方便地實(shí)現(xiàn)冗余，從而大幅提高可用性。</p><p>　　分層網(wǎng)絡(luò)設(shè)計(jì)可以提高網(wǎng)絡(luò)的安全性并且便于管理。分層設(shè)計(jì)的每一層都執(zhí)行特定的功能，并且整層執(zhí)行的功能都相同，所以分層網(wǎng)絡(luò)更容易管理。

53、</p><p>　　由于分層網(wǎng)絡(luò)在本質(zhì)上模塊化的，并且擴(kuò)展非常方便，因此維護(hù)起來也很容易。</p><p>　　針對實(shí)際情況我們可以采用分層結(jié)構(gòu)模型，即三層結(jié)構(gòu)模型。 三層結(jié)構(gòu)模型劃分為三個(gè)層次，即核心層、分布層、接入層。每個(gè)層次完成不同的功能。</p><p><b>　　核心層</b></p><p>　　核心層是

54、網(wǎng)際網(wǎng)絡(luò)的高速主干。能夠迅速的轉(zhuǎn)發(fā)大量的數(shù)據(jù)。</p><p><b>　　分布層</b></p><p>　　分布層使用策略控制網(wǎng)絡(luò)的通信流， 路由聚合及流量收斂，包括網(wǎng)絡(luò)訪問策略、過濾、路由尋址等數(shù)據(jù)處理</p><p><b>　　接入層</b></p><p>　　接入層負(fù)責(zé)連接終端設(shè)備，以

55、提供對網(wǎng)絡(luò)中其他部分的訪問。接入層的重要目的是提供一種將設(shè)備連接到網(wǎng)絡(luò)并控制允許網(wǎng)絡(luò)上的哪些設(shè)備進(jìn)行通信的方法。</p><p><b>　　核心層設(shè)計(jì)</b></p><p>　　核心層的功能重要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，骨干層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力可靠性和高速的傳輸。核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以對核心層的設(shè)計(jì)要求十分的嚴(yán)格。同時(shí)作

56、為網(wǎng)絡(luò)的核心部分，它的高可靠性，安全性，高可用性、高速通信和交換，是我們必須所考慮到的因素。因此我們建議采用兩臺(tái)Cisco Catalyst3560三層交換機(jī)來實(shí)現(xiàn)數(shù)據(jù)的高速通信和交換，完成這個(gè)功能。本區(qū)的安全性可以由邊界防火墻提供，如有需要在3560 上面可以部署安全策略，使得核心交換區(qū)的安全性進(jìn)一步地增強(qiáng)。</p><p>　　Cisco Catalyst3560系列交換機(jī)是一個(gè)固定配置的企業(yè)級的交換機(jī)系列

57、。他提供了最高生產(chǎn)效率和投資保護(hù)，并支持新的應(yīng)用，如ip電話，無連接入、視頻監(jiān)視的部署，可在整個(gè)網(wǎng)絡(luò)范圍中部署智能服務(wù)，如高級服務(wù)質(zhì)量（Qos）、限速、訪問控制列表（ACL），以及基本的靜態(tài)和路由信息協(xié)議（RIP）路由功能，高性能安全性和管理性，大大的簡化融合網(wǎng)絡(luò)。它提供帶集成永續(xù)性的出色控制，將永續(xù)性集成到硬件和軟件中，縮短了網(wǎng)絡(luò)停運(yùn)時(shí)間。Cisco Catalyst 3560 系列的模塊化架構(gòu)、介質(zhì)靈活性和可擴(kuò)展性減少了重復(fù)運(yùn)營開

58、支，提高了投資回報(bào)（ROI），從而在延長部署壽命的同時(shí)降低了擁有成本。</p><p><b>　　接入層設(shè)計(jì)</b></p><p>　　在核心層和匯聚層的設(shè)計(jì)中主要考慮的是網(wǎng)絡(luò)性能和功能性要高，那么我們在接入層設(shè)計(jì)上主張使用性能價(jià)格比高的設(shè)備。接入層是最終用戶與網(wǎng)絡(luò)的接口，它應(yīng)該提供即插即用的特性，同時(shí)還應(yīng)該考慮它的易于維護(hù)和管理，當(dāng)然我們也應(yīng)該考慮端口密度的問題

59、。</p><p>　　接入層的交換機(jī)具有低成本和高端口密度的特性，因此我們采用cisco 的WS-C2960 以千兆以太鏈路和匯聚交換機(jī)相連接，并為用戶終端提供10/100M 自適應(yīng)的接入，提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接。在本網(wǎng)絡(luò)中，接入層的最終目的是與辦公系統(tǒng)的電腦連接，實(shí)現(xiàn)辦公系統(tǒng)所需的各種服務(wù)器如辦公自動(dòng)化服務(wù)器、郵件服務(wù)器、DHCP 服務(wù)器等組成服務(wù)器群，數(shù)據(jù)中心的多種金融系統(tǒng)應(yīng)用服務(wù)器, 連接到匯

60、聚交換機(jī)的千兆模塊上面,因此，內(nèi)部的局域網(wǎng)是采用三層結(jié)構(gòu)組建。</p><p><b>　　內(nèi)聯(lián)接入</b></p><p>　　內(nèi)聯(lián)接入的作用是用于連接南京分公司和北京辦公網(wǎng)絡(luò)。我們要求這些本地用戶、分部的員工與總部之間能夠?qū)崿F(xiàn)高速連接并且能夠保證與總部通信的可靠性和可行性。還要求總部內(nèi)部安全機(jī)制能夠提高，因此我們推薦采用cisco 3800系列路由器來完成此項(xiàng)功能

61、。由于總部網(wǎng)絡(luò)和分部網(wǎng)絡(luò)屬于公司的內(nèi)部網(wǎng)絡(luò)的一部分，因此我們必須考慮到分布與總部傳輸信息的安全性和可靠性。；接入時(shí)主要作用是生產(chǎn)運(yùn)營系統(tǒng)的數(shù)據(jù)交換，查詢等等和管理以及監(jiān)控。</p><p><b>　　第四章 路由設(shè)計(jì) </b></p><p>　　4.1 路由協(xié)議選擇</p><p><b>　　路由協(xié)議的選擇：</b>

62、</p><p>　　為達(dá)到路由快速收斂、尋址以及方便網(wǎng)絡(luò)管理員管理的目的，我們建議采用動(dòng)態(tài)路由協(xié)議，目前較好的動(dòng)態(tài)路由協(xié)議是OSPF 協(xié)議和EIGRP 協(xié)議，OSPF 以協(xié)議標(biāo)準(zhǔn)化強(qiáng)，支持廠家多，受到廣泛應(yīng)用，而EIGRP 協(xié)議由Cisco 公司發(fā)明，考慮網(wǎng)絡(luò)的快速收斂和擴(kuò)展性、公開性、投資的保護(hù)等原因，我們設(shè)計(jì)采用OSPF路由協(xié)議和靜態(tài)路由相結(jié)合的路由方式。</p><p><b

63、>　　OSPF路由協(xié)議:</b></p><p>　　1?OSPF是真正的無路由自環(huán)路由協(xié)議?源自其算法本身的優(yōu)點(diǎn)?(鏈路狀態(tài)及最短路徑樹算法)</p><p>　　2?OSPF收斂速度快:能夠在最短的時(shí)間內(nèi)將路由變化傳遞到整個(gè)自治系統(tǒng)?</p><p>　　3?提出區(qū)域(area)劃分的概念,將自治系統(tǒng)劃分為不同區(qū)域后,通過區(qū)域之間的對路由信息的

64、摘要,大大減少了需傳遞的路由信息數(shù)量?也使得路由信息不會(huì)隨網(wǎng)絡(luò)規(guī)模的擴(kuò)大而急劇膨脹?</p><p>　　4?將協(xié)議自身的開銷控制到最小?</p><p>　　1)用于發(fā)現(xiàn)和維護(hù)鄰居關(guān)系的是定期發(fā)送的是不含路由信息的hello報(bào)文,非常短小?包含路由信息的報(bào)文時(shí)是觸發(fā)更新的機(jī)制?(有路由變化時(shí)才會(huì)發(fā)送)?但為了增強(qiáng)協(xié)議的健壯性,每1800秒全部重發(fā)一次?</p><p&

65、gt;　　2)在廣播網(wǎng)絡(luò)中,使用組播地址(而非廣播)發(fā)送報(bào)文,減少對其它不運(yùn)行ospf 的網(wǎng)絡(luò)設(shè)備的干擾?</p><p>　　3)在各類可以多址訪問的網(wǎng)絡(luò)中(廣播,NBMA),通過選舉DR,使同網(wǎng)段的路由器之間的路由交換(同步)次數(shù)由 O(N*N)次減少為 O (N)?</p><p>　　4)提出STUB區(qū)域的概念,使得STUB區(qū)域內(nèi)不再傳播引入的ASE路由?</p>&

66、lt;p>　　5)在ABR(區(qū)域邊界路由器)上支持路由聚合,進(jìn)一步減少區(qū)域間的路由信息傳遞?</p><p>　　6)在點(diǎn)到點(diǎn)接口類型中,通過配置按需播號屬性(OSPF over On Demand Circuits),使得ospf不再定時(shí)發(fā)送hello報(bào)文及定期更新路由信息?只在網(wǎng)絡(luò)拓?fù)湔嬲兓瘯r(shí)才發(fā)送更新信息?</p><p>　　7）ospf協(xié)議是鏈路狀態(tài)路由選擇協(xié)議，它選擇路

67、由的度量標(biāo)準(zhǔn)是帶寬，延遲。</p><p>　　OSPF定義的5種網(wǎng)絡(luò)類型: </p><p>　　點(diǎn)到點(diǎn)網(wǎng)絡(luò)，廣播型網(wǎng)絡(luò)，非廣播型(NBMA)網(wǎng)絡(luò)，點(diǎn)到多點(diǎn)網(wǎng)絡(luò)，.虛鏈接(virtual link)</p><p>　　點(diǎn)到點(diǎn)網(wǎng)絡(luò)：比如T1線路,是連接單獨(dú)的一對路由器的網(wǎng)絡(luò),點(diǎn)到點(diǎn)網(wǎng)絡(luò)上的有效鄰居總是可以形成鄰接關(guān)系的,在這種網(wǎng)絡(luò)上,OSPF包的目標(biāo)地址使用的是2

68、24.0.0.5,這個(gè)組播地址稱為AllSPFRouters. </p><p>　　廣播型網(wǎng)絡(luò)：比如以太網(wǎng),Token Ring和FDDI,這樣的網(wǎng)絡(luò)上會(huì)選舉一個(gè)DR和BDR,DR/BDR的發(fā)送的OSPF包的目標(biāo)地址為224.0.0.5,運(yùn)載這些OSPF包的幀的目標(biāo)MAC地址為0100.5E00.0005;而除了DR/BDR以外發(fā)送的OSPF包的目標(biāo)地址為224.0.0.6,這個(gè)地址叫AllDRouters.

69、</p><p>　　NBMA網(wǎng)絡(luò)：比如X.25,Frame Relay,和ATM,不具備廣播的能力,因此鄰居要人工來指定,在這樣的網(wǎng)絡(luò)上要選舉DR和BDR,OSPF包采用unicast的方式</p><p>　　下面是Eigrp與OSPF的區(qū)別：</p><p>　　Eigrp是Cisco的專用，而OSPF則是通用協(xié)議。</p><p>　

70、　Eigrp是距離矢量協(xié)議，而OSPF是狀態(tài)協(xié)議。</p><p>　　Eigrp的匯總速度要比OSPF快，因?yàn)樵谒耐負(fù)鋱D中保存了可選后繼，直接后繼找不到可以直接通過可選后繼轉(zhuǎn)發(fā)。</p><p>　　Eigrp的多播地址是：224.0.0.10，OSPF是：224.0.0.5 和224.0.0.6。</p><p>　　Eigrp的路徑度量是復(fù)合型，OSPF則是

71、cost型的。</p><p>　　盡管Eigrp支持路由匯總功能，但是他沒有路由分級的概念，不像OSPF那樣多網(wǎng)絡(luò)進(jìn)行分級。</p><p>　　在匯總功能實(shí)現(xiàn)上，eigrp可以再任何路由器的任何借口出現(xiàn)，而OSPF則只能在abr和asbr上實(shí)現(xiàn)而他的路由匯總不是基于接口的。</p><p>　　Eigrp支持不等路徑度量值的負(fù)載均衡，而OSPF則支持相等度量值的

72、負(fù)載均衡。</p><p>　　EIGRP(增強(qiáng)的內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議)，可以使路由器交換信息比使用早先的網(wǎng)絡(luò)協(xié)議更加有效。EIGRP是由IGRP（內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議）發(fā)展而來并且不論是使用EIGRP還是IGRP的路由都可以交互操作。使用增強(qiáng)的內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議，一個(gè)路由器保持一份它的鄰近路由器的路由表副本。</p><p>　　OSPF是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議，用于在單一自治系統(tǒng)內(nèi)決策路由

73、。與RIP相對，OSPF是鏈路狀態(tài)路由協(xié)議，而RIP是距離向量路由協(xié)議。</p><p>　　由于EIGRP是CISCO私有的路由協(xié)議 而OSPF是公有的 所以 現(xiàn)實(shí)環(huán)境中 大多都是啟用的OSPF 而EIGRP啟用前提是全網(wǎng)內(nèi)必須都是CISCO設(shè)備 EIGRP被譽(yù)為沒有環(huán)路的協(xié)議</p><p>　　Rip與ospf相比 ：</p><p>　　由于該公司屬于大型企

74、業(yè)，而rip協(xié)議只適合用于小型的局域網(wǎng)，所以rip和OSPF相比采用OSPF路由協(xié)議比較好。</p><p>　　以下是RIP的局限性在大型網(wǎng)絡(luò)中使用所產(chǎn)生的問題:RIP的15跳限制，超過15跳的路由被認(rèn)為不可達(dá)RIP不能支持可變長子網(wǎng)掩碼(VLSM)，導(dǎo)致IP地址分配的低效率</p><p>　　RIP沒有網(wǎng)絡(luò)延遲和鏈路開銷的概念，路由選路基于跳數(shù)。擁有較少跳數(shù)的路由總是被選為最佳路

75、由即使較長的路徑有低的延遲和開銷RIP沒有區(qū)域的概念，不能在任意比特位進(jìn)行路由匯總一些增強(qiáng)的功能被引入RIP的新版本RIPv2中，RIPv2支持VLSM，認(rèn)證以及組播更新。但RIPv2的跳數(shù)限制以及慢收斂使它仍然不適用于大型網(wǎng)絡(luò)所以相比RIP而言，OSPF更適合用于大型網(wǎng)絡(luò):沒有跳數(shù)的限制，支持可變長子網(wǎng)掩碼(VLSM)使用組播發(fā)送鏈路狀態(tài)更新，在鏈路狀態(tài)變化時(shí)使用觸發(fā)更新，提高了帶寬的利用率，收斂速度快，具有認(rèn)證功能。<

76、;/p><p>　　4.2 路由規(guī)劃拓?fù)鋱D</p><p>　　4.3 IP地址規(guī)劃</p><p><b>　　分配ip的原則：</b></p><p>　　IP地址有5類，A類到E類，各用在不同類型的網(wǎng)絡(luò)中。地址分類反映了網(wǎng)絡(luò)的大小以及數(shù)據(jù)包是單播還是組播的。</p><p>　　但目前只用到A

77、類到C類的ip地址。</p><p><b>　　Ip的分配原則：</b></p><p>　　IP地址是IP網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)囊罁?jù)，它標(biāo)識了IP網(wǎng)絡(luò)中的一個(gè)連接，一臺(tái)主機(jī)可以有多個(gè)IP地址。IP分組中的IP地址在網(wǎng)絡(luò)傳輸中是保持不變的。 </p><p>　　現(xiàn)在的IP網(wǎng)絡(luò)使用32位地址，以點(diǎn)分十進(jìn)制表示，如172.16.0.0。地址格式為：I

78、P地址=網(wǎng)絡(luò)地址＋主機(jī)地址 或 IP地址=主機(jī)地址＋子網(wǎng)地址＋主機(jī)地址。 </p><p>　　根據(jù)用途和安全性級別的不同，IP地址還可以大致分為兩類：公共地址和私有地址。公用地址在Internet中使用，可以在Internet中隨意訪問。私有地址只能在內(nèi)部網(wǎng)絡(luò)中使用，只有通過代理服務(wù)器才能與Internet通信。 </p><p>　　IP協(xié)議中還有一個(gè)非常重要的內(nèi)容，那就是給因特網(wǎng)上的

79、每臺(tái)計(jì)算機(jī)和其它設(shè)備都規(guī)定了一個(gè)唯一的地址，叫做“IP 地址”。由于有這種唯一的地址，才保證了用戶在連網(wǎng)的計(jì)算機(jī)上操作時(shí)，能夠高效而且方便地從千千萬萬臺(tái)計(jì)算機(jī)中選出自己所需的對象來。</p><p>　　唯一性：因特網(wǎng)上的每臺(tái)計(jì)算機(jī)和其它設(shè)備都規(guī)定了一個(gè)唯一的地址，叫做“IP 地址”。由于有這種唯一的地址，才保證了用戶在連網(wǎng)的計(jì)算機(jī)上操作時(shí)，能夠高效而且方便地從千千萬萬臺(tái)計(jì)算機(jī)中選出自己所需的對象來。 </

80、p><p>　　Internet的主機(jī)都有一個(gè)唯一的IP地址，IP地址用一個(gè)32位二進(jìn)制的數(shù)表示一個(gè)主機(jī)號碼，但32位地址資源有限，已經(jīng)不能滿足用戶的需求了，因此Internet研究組織發(fā)布新的主機(jī)標(biāo)識方法，即IPv6。在RFC1884中，規(guī)定的標(biāo)準(zhǔn)語法建議把IPv6地址的128位（16個(gè)字節(jié)）寫成8個(gè)16位的無符號整數(shù)，每個(gè)整數(shù)用四個(gè)十六進(jìn)制位表示，這些數(shù)之間用冒號（：）分開</p><p>

81、;　　Ip地址的規(guī)劃表格：</p><p>　　第五章 網(wǎng)絡(luò)安全解決方案 </p><p>　　5.1 網(wǎng)絡(luò)邊界安全威脅分析</p><p>　　為了解決資源的共享而建立了網(wǎng)絡(luò)，然而安全卻成了問題，網(wǎng)絡(luò)的邊界隔離著不同功能或地域的多個(gè)網(wǎng)絡(luò)區(qū)域，由于職責(zé)和功能的不同，相互連接的網(wǎng)絡(luò)的安全級別也不盡相同，此網(wǎng)絡(luò)也必然存在著安全風(fēng)險(xiǎn)，下面我們將對公司網(wǎng)絡(luò)就網(wǎng)絡(luò)邊界問題做脆

82、弱性和風(fēng)險(xiǎn)的分析。公司網(wǎng)絡(luò)主要存在的邊界安全風(fēng)險(xiǎn)包括：信息泄密、入侵者的攻擊、網(wǎng)絡(luò)病毒、木馬入侵等，邊界安全防護(hù)的主題思想是：我們把網(wǎng)絡(luò)可以看作一個(gè)獨(dú)立的對象，通過自身的屬性，維持內(nèi)部業(yè)務(wù)的運(yùn)轉(zhuǎn)。他的安全威脅來自內(nèi)部與邊界兩個(gè)方面：內(nèi)部是指網(wǎng)絡(luò)的合法用戶在使用網(wǎng)絡(luò)資源的時(shí)候，發(fā)生的不合規(guī)的行為、誤操作、惡意破壞等行為，也包括系統(tǒng)自身的健康，如軟、硬件的穩(wěn)定性帶來的系統(tǒng)中斷。邊界是指網(wǎng)絡(luò)與外界互通引起的安全問題，有入侵、病毒與攻擊。<

83、;/p><p>　　下面我們分析如何防護(hù)邊界？首先建立城墻，把城內(nèi)與外界分割開來，阻斷其與外界的所有聯(lián)系，然后再修建幾座城門，作為進(jìn)出的檢查關(guān)卡，監(jiān)控進(jìn)出的所有人員與車輛，是安全的第一種方法；為了防止入侵者的偷襲，再在外部挖出一條護(hù)城河，讓敵人的行動(dòng)暴露在寬闊的、可看見的空間里，為了通行，在河上架起吊橋，把路的使用主動(dòng)權(quán)把握在自己的手中，控制通路的關(guān)閉時(shí)間是安全的第二種方法。對于已經(jīng)悄悄混進(jìn)城的“危險(xiǎn)分子”，要在城內(nèi)

84、建立有效的安全監(jiān)控體系，比如人人都有身份證、大街小巷的攝像監(jiān)控網(wǎng)絡(luò)、街道的安全聯(lián)防組織，每個(gè)公民都是一名安全巡視員，順便說一下：戶籍制度、罪罰、聯(lián)作等方式從老祖宗商鞅就開始在秦國使用了。只要入侵者稍有異樣行為，就會(huì)被立即揪住，這是安全的第三種方法。</p><p>　　為了邊界的安全不受到威脅，我們做邊界防護(hù)技術(shù)：防火墻技術(shù)、多重安全網(wǎng)關(guān)技術(shù)、網(wǎng)閘技術(shù)。防火墻的安全設(shè)計(jì)原理來自于包過濾與應(yīng)用代理技術(shù)，兩邊是連接不

85、同網(wǎng)絡(luò)的接口，中間是訪問控制列表ACL，數(shù)據(jù)流要經(jīng)過ACL的過濾才能通過。ACL有些象海關(guān)的身份證檢查，檢查的是你是哪個(gè)國家的人，但你是間諜還是游客就無法區(qū)分了，因?yàn)锳CL控制的是網(wǎng)絡(luò)的三層與四層，對于應(yīng)用層是無法識別的。后來的防火墻增加了NAT/PAT技術(shù)，可以隱藏內(nèi)網(wǎng)設(shè)備的IP地址，給內(nèi)部網(wǎng)絡(luò)蒙上面紗，成為外部“看不到”的灰盒子，給入侵增加了一定的難度。防火墻的作用就是建起了網(wǎng)絡(luò)的“城門”，把住了進(jìn)入網(wǎng)絡(luò)的必經(jīng)通道，所以在網(wǎng)絡(luò)的邊界

86、安全設(shè)計(jì)中，防火墻成為不可缺的一部分。防火墻的缺點(diǎn)是：不能對應(yīng)用層識別，面對隱藏在應(yīng)用中的病毒、木馬都好無辦法。所以作為安全級別差異較大的網(wǎng)絡(luò)互聯(lián)，防火墻的安全性就遠(yuǎn)遠(yuǎn)不夠了。既然一道防火墻不能解決各個(gè)層面的安全防護(hù)，就多上幾道安全網(wǎng)關(guān)，如用于應(yīng)用層入侵的IPS、用于對付病毒的AV、用于對付DDOS攻擊的…此時(shí)UTM設(shè)備就誕生了，設(shè)計(jì)在一起是UTM，分開就是各種不同類型的安全網(wǎng)關(guān)。就是運(yùn)用多重安全網(wǎng)關(guān)技術(shù)。網(wǎng)閘</p>&

87、lt;p>　　5.2 網(wǎng)絡(luò)內(nèi)部安全威脅分析</p><p>　　內(nèi)網(wǎng)安全的威脅不同于網(wǎng)絡(luò)邊界的威脅。網(wǎng)絡(luò)邊界安全技術(shù)防范來自Internet上的攻擊，主要是防范來自公共的網(wǎng)絡(luò)服務(wù)器如HTTP或SMTP的攻擊。網(wǎng)絡(luò)邊界防范(如邊界防火墻系統(tǒng)等)減小了資深黑客僅僅只需接入互聯(lián)網(wǎng)、寫程序就可訪問企業(yè)網(wǎng)的幾率。內(nèi)網(wǎng)安全威脅主要源于企業(yè)內(nèi)部。惡性的黑客攻擊事件一般都會(huì)先控制局域網(wǎng)絡(luò)內(nèi)部的一臺(tái)Server，然后以此為基

88、地，對Internet上其他主機(jī)發(fā)起惡性攻擊。因此，應(yīng)在邊界展開黑客防護(hù)措施，同時(shí)建立并加強(qiáng)內(nèi)網(wǎng)防范策略。</p><p>　　內(nèi)部用戶的惡意攻擊，限制VPN的訪問，虛擬專用網(wǎng)(VPN)用戶的訪問對內(nèi)網(wǎng)的安全造成了巨大的威脅。因?yàn)樗鼈儗⑷趸淖烂娌僮飨到y(tǒng)置于企業(yè)防火墻的防護(hù)之外。很明顯VPN用戶是可以訪問企業(yè)內(nèi)網(wǎng)的。因此要避免給每一位VPN用戶訪問內(nèi)網(wǎng)的全部權(quán)限。這樣可以利用登錄控制權(quán)限列表來限制VPN用戶的登錄

89、權(quán)限的級別，即只需賦予他們所需要的訪問權(quán)限級別即可，如訪問郵件服務(wù)器或其他可選擇的網(wǎng)絡(luò)資源的權(quán)限。</p><p>　　自動(dòng)跟蹤的安全策略，智能的自動(dòng)執(zhí)行實(shí)時(shí)跟蹤的安全策略是有效地實(shí)現(xiàn)網(wǎng)絡(luò)安全實(shí)踐的關(guān)鍵。它帶來了商業(yè)活動(dòng)中一大改革，極大的超過了手動(dòng)安全策略的功效。商業(yè)活動(dòng)的現(xiàn)狀需要企業(yè)利用一種自動(dòng)檢測方法來探測商業(yè)活動(dòng)中的各種變更，因此，安全策略也必須與相適應(yīng)。例如實(shí)時(shí)跟蹤企業(yè)員工的雇傭和解雇、實(shí)時(shí)跟蹤網(wǎng)絡(luò)利用情

90、況并記錄與該計(jì)算機(jī)對話的文件服務(wù)器?？傊龅酱_保每天的所有的活動(dòng)都遵循安全策略。</p><p>　　保護(hù)重要資源，若一個(gè)內(nèi)網(wǎng)上連了千萬臺(tái)(例如20000臺(tái))機(jī)子，那么要期望保持每一臺(tái)主機(jī)都處于鎖定狀態(tài)和補(bǔ)丁狀態(tài)是非常不現(xiàn)實(shí)的。大型企業(yè)網(wǎng)的安全考慮一般都有擇優(yōu)問題。這樣，首先要對服務(wù)器做效益分析評估，然后對內(nèi)網(wǎng)的每一臺(tái)網(wǎng)絡(luò)服務(wù)器進(jìn)行檢查、分類、修補(bǔ)和強(qiáng)化工作。必定找出重要的網(wǎng)絡(luò)服務(wù)器(例如實(shí)時(shí)跟蹤客戶的服務(wù)器

91、)并對他們進(jìn)行限制管理。這樣就能迅速準(zhǔn)確地確定企業(yè)最重要的資產(chǎn)，并做好在內(nèi)網(wǎng)的定位和權(quán)限限制工作。建立可靠的無線訪問審查網(wǎng)絡(luò)，為實(shí)現(xiàn)無線訪問建立基礎(chǔ)。排除無意義的無線訪問點(diǎn)，確保無線網(wǎng)絡(luò)訪問的強(qiáng)制性和可利用性，并提供安全的無線訪問接口。將訪問點(diǎn)置于邊界防火墻之外，并允許用戶通過VPN技術(shù)進(jìn)行訪問。</p><p>　　建立安全過客訪問對于過客不必給予其公開訪問內(nèi)網(wǎng)的權(quán)限。許多安全技術(shù)人員執(zhí)行的“內(nèi)部無Intern

92、et訪問”的策略，使得員工給客戶一些非法的訪問權(quán)限，導(dǎo)致了內(nèi)網(wǎng)實(shí)時(shí)跟蹤的困難。因此，須在邊界防火墻之外建立過客訪問網(wǎng)絡(luò)塊?？煽康陌踩珱Q策，在技術(shù)上，采用安全交換機(jī)、重要數(shù)據(jù)的備份、使用代理網(wǎng)關(guān)、確保操作系統(tǒng)的安全、使用主機(jī)防護(hù)系統(tǒng)和入侵檢測系統(tǒng)等等措施也不可缺少。</p><p>　　5.3 安全產(chǎn)品選型原則</p><p>　　選擇市場主流產(chǎn)品的原則：選擇產(chǎn)品時(shí)，應(yīng)選擇在國內(nèi)市場上有相當(dāng)

93、的份額，具有高性能、高可靠性、高安全性、高可擴(kuò)展性、高可維護(hù)性的產(chǎn)品，如中興、3Com、Cisco、華為的產(chǎn)品市場份額較大。</p><p>　　適用原則。絕對的安全是不存在的，因此您必須具有“安全風(fēng)險(xiǎn)”意識。信息安全產(chǎn)品的安裝不一定意味信息系統(tǒng)不發(fā)生安全事故。所有的安全產(chǎn)品只是降低安全事件發(fā)生的可能性，減小安全事件所造成的損失，提供彌補(bǔ)損失的手段。您不要（也不可能）追求絕對的安全。 企業(yè)應(yīng)考慮清楚自己信息系統(tǒng)最

94、大的安全威脅來自何處，信息系統(tǒng)中最有價(jià)值的是什么，信息系統(tǒng)造成的哪些損失是自己無法忍受的。安全產(chǎn)品只要為企業(yè)提供足夠的手段應(yīng)對主要的安全威脅，將可能的損失減小到可以接受的范圍之內(nèi)，就可以了。不降低信息系統(tǒng)綜合服務(wù)品質(zhì)的原則。目前中國許多企業(yè)往往是在信息系統(tǒng)規(guī)劃（或建設(shè)）完成之后才考慮信息安全，即所謂的“打安全補(bǔ)丁”。這種“補(bǔ)丁”做法往往會(huì)給信息安全產(chǎn)品的選型帶來很多困難，因?yàn)楹芏鄷r(shí)候，信息安全與系統(tǒng)的使用便利性和效率往往是一對矛盾。 &

95、lt;/p><p>　　適用性與先進(jìn)性相結(jié)合原則：不同品牌的產(chǎn)品價(jià)格差異較大，因此選擇時(shí)不能只看品牌或追求高價(jià)，也不能只看價(jià)錢低的，應(yīng)該根據(jù)應(yīng)用的實(shí)際情況，選擇性能價(jià)格比高，既要滿足目前的需要，又能適應(yīng)未來幾年網(wǎng)絡(luò)發(fā)展的產(chǎn)品。</p><p>　　易于管理原則：所謂易于操作管理主要是指用相應(yīng)的技術(shù)來簡化管理以降低維護(hù)費(fèi)用成本，一般通過硬件與軟件兩個(gè)方面來達(dá)到這個(gè)目標(biāo)。</p>&

96、lt;p>　　企業(yè)需要在考慮安全性的前提下，綜合系統(tǒng)的其它性能，結(jié)合評估系統(tǒng)的服務(wù)品質(zhì)，定下系統(tǒng)綜合服務(wù)品質(zhì)參數(shù)，在此基礎(chǔ)上，以不降低綜合服務(wù)品質(zhì)為原則，對信息安全產(chǎn)品進(jìn)行選型。</p><p>　　標(biāo)準(zhǔn)性：網(wǎng)絡(luò)安全產(chǎn)品選型符合國家標(biāo)準(zhǔn)，產(chǎn)品的質(zhì)量以及屬性必須達(dá)到國家所要求的，符合本產(chǎn)品的性能；安全性原則：產(chǎn)品系統(tǒng)具有多層次的安全保護(hù)措施，可以滿足用戶身份鑒別、訪問控制、數(shù)據(jù)完整性、可審核性和保密性傳輸?shù)纫?/p>

97、求；擴(kuò)展性原則：在業(yè)務(wù)不斷發(fā)展的情況下 ，產(chǎn)品系統(tǒng)可以不斷升級和擴(kuò)充，并保證系統(tǒng)的穩(wěn)定運(yùn)行；性價(jià)比：不盲目追求高性能產(chǎn)品，要購買適合自身需求的產(chǎn)品；產(chǎn)品與服務(wù)相結(jié)合原則：選擇產(chǎn)品時(shí)，既要看產(chǎn)品的品牌又要看生產(chǎn)廠商和銷售商品是否有強(qiáng)大的技術(shù)支持、良好的售后服務(wù)，否則買回的產(chǎn)品出現(xiàn)故障時(shí)既沒有技術(shù)又沒有產(chǎn)品服務(wù)，使企業(yè)蒙受損失。。</p><p>　　5.4 網(wǎng)絡(luò)常用技術(shù)介紹</p><p>

98、;<b>　　VLAN技術(shù)</b></p><p>　　VLAN（虛擬局域網(wǎng)）是對連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè)VLAN可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進(jìn)行分組。基于交換機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬問題。</

99、p><p>　　OSPF高級路由協(xié)議</p><p>　　隨著Internet技術(shù)在全球范圍的飛速發(fā)展，OSPF已成為目前企業(yè)網(wǎng)采用最多、應(yīng)用最廣泛的路由協(xié)議之一。OSPF路由協(xié)議是一種典型的鏈路狀態(tài)（Link-state）的路由協(xié)議，一般用于同一個(gè)路由域內(nèi)。在這里，路由域是指一個(gè)自治系統(tǒng)（Autonomous System），即AS。在這個(gè)AS中，所有的OSPF路由器都維護(hù)一個(gè)相同的描述這

100、個(gè)AS結(jié)構(gòu)的數(shù)據(jù)庫，該數(shù)據(jù)庫中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息，OSPF路由器正是通過這個(gè)數(shù)據(jù)庫計(jì)算出其OSPF路由表的。</p><p><b>　　Trunk技術(shù)</b></p><p>　　Trunk是一種封裝技術(shù)，它是一條點(diǎn)到點(diǎn)的鏈路，鏈路的兩端可以都是交換機(jī)，也可以是交換機(jī)和路由器，還可以是主機(jī)和交換機(jī)或路由器?；诙丝趨R聚（Trunk）功能，允許交換機(jī)與

101、交換機(jī)、交換機(jī)與路由器、主機(jī)與交換機(jī)或路由器之間通過兩個(gè)或多個(gè)端口并行連接同時(shí)傳輸以提供更高帶寬、更大吞吐量， 大幅度提供整個(gè)網(wǎng)絡(luò)能力。</p><p>　　TRUNK（端口匯聚）是在交換機(jī)和網(wǎng)絡(luò)設(shè)備之間比較經(jīng)濟(jì)的增加帶寬的方法，如服務(wù)器、路由器、工作站或其他交換機(jī)。這中增加帶寬的方法在當(dāng)單一交換機(jī)和節(jié)點(diǎn)之間連接不能滿足負(fù)荷時(shí)是比較有效的。</p><p>　　Trunk可以提供負(fù)載均衡能

102、力以及系統(tǒng)容錯(cuò)。由于Trunk實(shí)時(shí)平衡各個(gè)交換機(jī)端口和服務(wù)器接口的流量，一旦某個(gè)端口出現(xiàn)故障，它會(huì)自動(dòng)把故障端口從Trunk組中撤消，進(jìn)而重新分配各個(gè)Trunk端口的流量，從而實(shí)現(xiàn)系統(tǒng)容錯(cuò)。</p><p>　　TRUNK功能用于交換機(jī)之間的級聯(lián)，通過犧牲端口數(shù)來給交換機(jī)之間的數(shù)據(jù)交換提供捆綁的高帶寬，提高網(wǎng)絡(luò)速度，突破網(wǎng)絡(luò)瓶頸，進(jìn)而大幅提高網(wǎng)絡(luò)性能。</p><p>　　Spanning

103、-Tree協(xié)議</p><p>　　生成樹協(xié)議是交換式以太網(wǎng)中的重要概念和技術(shù)，該協(xié)議的目的是在實(shí)現(xiàn)交換機(jī)之間的冗余連接的同時(shí)，避免網(wǎng)絡(luò)環(huán)路的出現(xiàn)，實(shí)現(xiàn)網(wǎng)絡(luò)的高可靠 性。它通過在交換機(jī)之間傳遞橋接協(xié)議數(shù)據(jù)單元（Bridge Protocol Data Unit，BPDU）來互相告知諸如交換機(jī)的橋ID、鏈路性質(zhì)、根橋（Root Bridge）ID等信息，以確定根橋，決定哪些端口處于轉(zhuǎn)發(fā)狀態(tài)，哪些端口處于阻斷狀態(tài)，以

104、免引起網(wǎng)絡(luò)環(huán)路。</p><p>　　當(dāng)交換機(jī)之間有多個(gè)VLAN時(shí)Trunk線路負(fù)載會(huì)過重，這時(shí)需要 設(shè)置多個(gè)Trunk端口，但這樣會(huì)形成網(wǎng)絡(luò)環(huán)路。STP協(xié)議便可以解決這一問題.</p><p>　　可以通過配置STP端口權(quán)值STP路徑值來實(shí)現(xiàn)負(fù)載均衡. 如果使用STP端口權(quán)值來配置那么二條負(fù)載均衡的trunk必須聯(lián)同一交換機(jī)上。</p><p>　　使用路徑值則即

105、可以聯(lián)相同的交換機(jī)與可以聯(lián)不同的交換機(jī)。</p><p>　　使用STP端口權(quán)值的負(fù)載均衡當(dāng)同一臺(tái)交換機(jī)的二個(gè)口形成環(huán)路時(shí)， STP端口權(quán)值用來決定那個(gè)口是enable的，那個(gè)口是阻斷的.可以通過配置端口權(quán)值來決定二對trunk各走 那些VLAN, 有較高權(quán)值的端口（數(shù)字較小的）vlan, 將處于轉(zhuǎn)發(fā)狀態(tài)，同一個(gè)VLAN在另一個(gè)trunk有較低的權(quán)值（數(shù)字較大）則將處在阻斷狀 態(tài)。 即同一VLAN只在一個(gè)trun

106、k上發(fā)送接受。</p><p><b>　　PPP協(xié)議</b></p><p>　　由于這個(gè)方案中總部和分部之間是采用物理線路進(jìn)行連接的，所以為了能夠保證信息的安全，我們采用的廣域網(wǎng)的ppp協(xié)議。</p><p>　　所謂的PPP（Point-to-Point Protocol點(diǎn)到點(diǎn)協(xié)議）協(xié)議就是為在同等單元之間傳輸數(shù)據(jù)包這樣的簡單鏈路設(shè)計(jì)的鏈

107、路層協(xié)議。這種鏈路提供全雙工操作，并按照順序傳遞數(shù)據(jù)包。設(shè)計(jì)目的主要是用來通過撥號或?qū)＞€方式建立點(diǎn)對點(diǎn)連接發(fā)送數(shù)據(jù)，使其成為各種主機(jī)、網(wǎng)橋和路由器之間簡單連接的一種共通的解決方案。</p><p>　　PPP有很多豐富的可選特性，如支持多協(xié)議、提供可選的身份認(rèn)證服務(wù)、可以以各種方式壓縮數(shù)據(jù)、支持動(dòng)態(tài)地址協(xié)商、支持多鏈路捆綁等等</p><p><b>　　PPP的功能</b

108、></p><p>　　PPP主要完成了以下功能：</p><p><b>　　鏈路控制</b></p><p>　　PPP為用戶發(fā)起呼叫以建立鏈路；在建立鏈路時(shí)協(xié)商參數(shù)選擇；通信過程中隨時(shí)測試線路，當(dāng)線路空閑時(shí)釋放鏈路等。PPP中完成上述工作的組件是鏈路控制協(xié)議LCP（Link Control Protocol，LCP）。</p&

109、gt;<p><b>　　網(wǎng)絡(luò)控制</b></p><p>　　當(dāng)LCP將鏈路建立好了以后，PPP要開始根據(jù)不同用戶的需要，配置上層協(xié)議所需的環(huán)境。PPP使用網(wǎng)絡(luò)控制協(xié)議NCP（Network Control Protocol，NCP）來為上層提供服務(wù)接口。針對上層不同的協(xié)議類型，會(huì)使用不同的NCP組件。如對于IP提供IPCP接口，對于IPX提供IPXCP接口，對于APPLET

110、ALK提供ATCP接口等。</p><p>　　PPP協(xié)議包括以下三個(gè)部分：</p><p>　　1． 數(shù)據(jù)幀封裝方法。</p><p>　　2． 鏈路控制協(xié)議LCP（Link Control Protocol）:它用于對封裝格式選項(xiàng)的自動(dòng)協(xié)商，建立和終止連接，探測鏈路錯(cuò)誤和配置錯(cuò)誤。 </p><p>　　3． 針對不同網(wǎng)絡(luò)層協(xié)議的一族網(wǎng)