《许昌学院刘炜奇毕业论文.doc》由会员分享,可在线阅读,更多相关《许昌学院刘炜奇毕业论文.doc(47页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、本科生毕业设计 网络公司构架之浅谈院 系计算机科学与技术学院 专 业计算机科学与技术 班 级09网技1班 学 号1601090122 学 生 姓 名刘炜奇 联 系 方 式15037470434 指 导 教 师鲁杰职称:讲师 2011年 5 月独 创 性 声 明本人郑重声明:所呈交的毕业论文(设计)是本人在指导教师指导下取得的研究成果。除了文中特别加以注释与致谢的地方外,论文(设计)中不包含其他人已经发表或撰写的研究成果。与本研究成果相关的所有人所做出的任何贡献均已在论文(设计)中作了明确的说明并表示了谢意。签名: 年月日授权声明本人完全了解许昌学院有关保留、使用本科生毕业论文(设计)的规定,即
2、:有权保留并向国家有关部门或机构送交毕业论文(设计)的复印件与磁盘,允许毕业论文(设计)被查阅与借阅。本人授权许昌学院可以将毕业论文(设计)的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存、汇编论文(设计)。本人论文(设计)中有原创性数据需要保密的部分为:。 签名: 年月日指导教师签名: 年月日摘 要随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络的安全性、保密性、可靠稳定性,对于企业与一些跨区域专门从事特定业务的部门,非常重要。所以有一个良好的网络构架那是必须的。关键字:网络规划,路由,交换机AbstractWith the rapid devel
3、opment of the Internet, network security has become a potential huge problems. Network security, privacy, reliable stability, for enterprises and some cross area to specialize in particular business department, is very important. So theres a good network structure that is a must. Keyboard:The networ
4、k planning, routing, switches 第 0 页目 录绪 论- 1 -第一章项目需求分析- 1 -项目背景- 1 -1.1.需求分析- 2 -第二章 网络总体建设目标- 3 -2.1网络建设目标- 3 -2.2网络及系统建设内容及要求- 3 -2.3网络设计原则- 4 -第三章 网络总体设计- 5 -3.1 网络总体拓扑图- 5 -3.2 网络层次化设计- 6 -第四章 路由设计- 7 -4.1 路由协议选择- 7 -4.2 路由规划拓扑图- 9 -4.3 IP地址规划- 9 -第五章 网络安全解决方案- 11 -5.1 网络边界安全威胁分析- 11 -5.2 网络内部安
5、全威胁分析- 13 -5.3 安全产品选型原则- 13 -5.4 网络常用技术介绍- 13 -第六章 产品简介- 16 -第七章 项目实施计划- 17 -7.1 项目组织结构- 17 -7.2 项目人员分工- 18 -7.3 项目实施前的准备工作- 18 -7.4 安装前的场地准备- 19 -7.5 核心及各网点的安装调试- 20 -第八章 网络测试- 20 -8.1 网络测试目的- 20 -8.2 测试文档- 21 -第九章 总部实验文档- 23 -一、实验拓扑- 23 -二、实验配置- 24 -第十章 服务器配置- 45 -一、DNS- 45 -二、AD- 48 -三、MAIL- 57 -
6、四、web- 60 -五、FTP- 65 -六、FILE- 69 -七、ISA- 76 -结 束 语2参考文献3致 谢1绪 论网络发展存在的几个方面的差异,将会在中小型企业中特别是偏远与经济相对落后的企业,网络发展建设迫在眉睫,网络建设随后带来的安全性问题就成为一个艰巨而又长期的问题。而在目前网络管理安全技术人员短缺、安全意识相对淡薄的情况下,如何能够在网络建设初期或正在建设过程中尽早的建立起网络安全意识,了解网络安全存在的威胁,选拔与培养自己的安全人才,新的安全人员能够了解与掌握基本安全防范措施,制定适合本单位网络安全的安全实施计划,最大限度的避免与减少网络威胁给企业带来不必要的损失。本课题
7、研究的目的与意义就是:在以上这些方面,为中小型企业网络建设及网络安全管理提供参考指导与帮助,同时,在一些安全技术上,给出分析与经过具体实践的解决方案。 国内的目前情况是网络建设工程通常由网络服务提供商(ISP)或者网络工程公司根据用户需求提供设计方案,往往是公司方面的意见占上风,而企业方因为对网络建设了解较少并且缺乏这一方面的技术人员,从而变成了单方面的策略模式;其二,公司方面为方便日后的维护等工作,在安全等方面更多注重设备的选型。但是,网络运行、应用与安全的主要工作在于建设之后,存在许多动态可变的因素。除了工程的问题或网络安全己经出现问题的时候,公司才出面维护或解决,而真正的防范安全或运行工
8、作却需要企业自己来完成。因此,企业更加主动的参与网络设计与建设,更好的运用网络需要相对具体的参考与指导文献,在这一方面还相对缺乏与不足。在发达国家,计算机网络建设相当普及,基本成为标准化的模式,网络的重点是技术应用与研究,不存在或极少存在类似于我们这样的差异。正因为网络应用的如此广泛,又在生活中扮演很重要的角色,所以其安全性是不容忽视的,它是网络能否经历考验的关键,如果安全性不好会给人们带来很多麻烦。网络信息交流现已是生活中必不可少的一个环节,然而信息安全却得不到相应的重视。第一章 一章项目需求分析项目背景河北承德露露股份坐落于承德市高新技术产业开发区,注册资金为2亿人民币,现为万向三农(法人
9、)控股的上市公司。公司于1997年年底在深交所上市,成为国内饮料行业首批上市公司之一。其总公司人数600人,分公司400人,公司以发展民族饮料为目标,坚持走科技兴厂的道路,本着“高起点引进、高速度发展、创造高效益”的原则,使技术装备水平居国内领先地位,从而使公司的生产能力、科技含量有了更大的提高。 公司发展稳健,成长性良好,连续多年名列深市排行榜前列。公司坚持用优质的产品回报消费者,用良好的信誉、投资回报率答谢支持露露的广大投资者。 公司理念为:视品质为生命坚持质量第一,生产高品质产品是露露企业的信念。露露严格把控产品质量关,从不在质量上投机取巧,因为露露坚信只有真正为消费者提供高品质产品,才
10、能使消费者享受到健康营养,企业也因此才能立于不败之地。所以本项目的目标是:建立一个世纪规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台,以高效率,高速度,低成本的方式提高公司员工的工作效率与执行效率”。1.1. 需求分析 项目建设关键因素分析通过对整个项目建设的理解与分析,我们认为整个项目建设需要考虑一下几个关键因素1. 所选择产品设备的成熟度对于露露集团的客户来说,信息化程度高,客户较多,所以对于设备的选择,一定要是世界知名的、设计先进的、技术理念成熟的产品。2. 建立与维护需要的人力成本知识管理时代需要处理海量信息的时代,仅仅依靠人工的操作时无
11、法满足用户需求的,系统应该拥有高度的自动化,给员工的操作与维护负担就越少,从另一层面也节省了投资。3. 易用性及实用性的考虑建设项目的系统使用性、可维护性是首要考虑问题,如果一个系统搭建起来,实用性差、维护不方便,不能满足项目建设目标,不能发挥信息服务与支撑的作用。从这个角度看,只是管理平台需要具有非常优秀的易用性与实用性。4. 系统稳定性及高性能考虑系统需要支持长时间的不间断工作,能够支持多客户的并发访问,在客户与信息不断增长的情况下,系统应该提供高性能稳定的服务。5. 安全性安全性是任何一个大企业的关心的问题,所以整个系统需要具有非常周密的安全性考虑。6. 扩展性对于一个系统,一定要考虑到
12、系统今后的扩展与升级,所以整个系统应该有良好的构架,具有良好的扩展能力。 具体项目建设因素分析我们本次的项目建设范围为总部与分部。总部:本地区具有本公司重要信息,分为几个重要区域:数据中心,服务器,核心交换区。数据中心区域存储本公司机密,其需要性能好,稳定性好,安全可靠;核心交换区能高速安全可靠的交换数据,它需要性能佳,稳定性好,冗余性好,可扩展性好。因此我们在设计时会着重考虑这些因素。分部:本地区相当于总部的子区域,因此总部可以知道其内部的网络构架,并合理利用其资源。相对来讲,为了防止机密流失,我们会防止其分部进入总部的骨干区域。在当今的市场,对于以上的技术分析,都有相应的设备对其进行完善,
13、对公司的网络运营有很大帮助。第二章 网络总体建设目标2.1 网络建设目标贵公司目前网络尚不完善,我们的建设目标是:完善公司的高层核心网络与服务器,使其内部员工在工作时间内仅可以访问共享资源,上网查资料,收发邮件,绝对杜绝员工于工作时间玩游戏,聊天等。建设一个具有高可用性、高可靠性、先进、开放、可扩展的智能信息化网络系统。2.2 网络及系统建设内容及要求骨干核心层网络设计企业生产办公网络的核心网主要完成整个企业集团内部不同地域企业之间的高速数据路由转发,以及维护全网路由的计算。鉴于集团企业的用户数量众多,业务复杂,数据转发时难免遇到拥塞、阻塞等情况,所以需要用到QOS技术。在骨干核心层中,我们采
14、用核心路由交换机组成一个环形多机热备份的核心交换机系统解决方案。为提高核心网络的健壮性,防止单台设备失效造成的网络中断,实现链路的安全保障,本方案骨干核心层环网中可以采用HSRP(热备份路由协议)技术。对于各个业务VLAN可以指向这个虚拟的IP地址作为网关,因此应用HSRP技术为核心交换机提供了一个可靠的网关地址,以实现在核心层核心交换机之间进行设备的冗余,一主两备,共用一个虚拟的IP地址与MAC地址,通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网络高效处理集中数据提供了可靠的保障。另外,我们还采用CHANNEL(链路捆绑技术)技术,提高链路的高效利用,可以把两
15、条物理链路捆绑成一条虚拟的链路,可以避免环路。链路捆绑技术是把多条链路捆绑起来,为了提高带宽,出入流量可以在多个成员接口之间分担,也可以加大链路的利用率。而且链路捆绑技术用来做冗余,将两条物理链路捆绑成一条,可以使同时使用的带宽变为两倍,数据在两条链路上同时发送数据。当某个成员接口出现故障时,流量会自动切换到其他可用的成员接口上,并且进行无缝切换,不会影响到数据的传输,从而提高整个捆绑链路的连接可靠性。假如贵公司正在传输一份合同,却因为网络中断而失去了这一次机会,继而损失的不只是财富,名誉也会有所影响。所以这个技术会帮助贵公司进一步完善网络。核心层网络设计企业生产办公网络的核心层网络主要完成园
16、区内各个汇集层设备之间的数据交换与与骨干核心层网络之间的路由转发。本层采用CISCO WS-C3560G-24TS-S 核心路由交换机作为企业生产办公网络的园区核心路由交换设备,CISCO WS-C3560G-24TS-S 具有强大的业务与路由交换的处理能力,能提供 VPN 、Qos、策略路由、NAT、PPPOE/WEB/802.1X/L2TP 认证等丰富业务能力,并可通过内置防火墙模块实现各种强大的网络安全策略,可以充分满足企业不同园区网络的高速数据交换与支持多业务功能的要求,并能够提供完善的安全防御策略,保障企业园区网络的稳定运行。 汇聚层网络设计汇聚层网络主要完成企业各园区内办公楼与相关
17、单位的内接入交换机的汇聚及数据交换与VLAN终结,在本方案中采用WS-C2960-24TT-L 交换机多层交换机作为汇聚层的交换机。WS-C2960-24TT-L 交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处理的需要,并能够灵活的部署在网络边缘的各个位置。能够同时提供多个高速专用堆叠端口与百兆光口/电口。这些交换机都具备较强的多业务提供的能力。为用户提供丰富、高性能价比的组网选择。接入层网络设计以往传统企业网络接入层的建设中并不关注于安全控制与QOS提供的能力,而将网络的安全防御措施与QOS保障依赖于网络的汇聚层或骨干层设备,这给汇聚层与骨干层设备带来了巨大的压力,往往内网病
18、毒泛滥成灾后导致骨干层设备瘫痪,使网络没有QOS服务质量的保障。Cisco WS-C2918-48TC-C(思科二层交换机)是满足高安全、多业务承载、高性能网络环境的换机,具备传统二层交换机大容量、高性能等优点,同时还具有领先的安全特性,进一步加强了企业网络对边缘接入层的安全控制能力。用户可以根据需要来订制自身的安全策略并部署在此交换机上。该产品具备的端口带宽限制、端口镜像、QOS、端口安全、广播风暴抵制等功能可以很好的协助用户实现网络的管理与维护。除此之外,此交换机还具备多个专用堆叠接口,可以满足楼层,楼宇内多个交换机高性能汇聚的需要。冗余/负载均衡设计冗余与负载均衡的设计是网络设计的重要部
19、分,是保证网络整体可靠性能的重要手段。但是投资也将增加。部分企业网在早期的建设中由于成本的原因并未在设计中考虑到冗余的问题,而在优化工作中则需从网络链路与网络设备两方面着手。冗余与负载均衡设计可以贯穿整个层次化结构。我们采用了PVST(每vlan生成树协议)技术,它为每个在网络中配置的VLAN维护一个生成树实例,减少了生成树拓扑的总范围,增强了可扩张性并减少了收敛时间,提供快速回复与更好的可靠性。并且防止了环路,实现了负载均衡,数据的备份与冗余。万一网络中某条路径失效时,冗余链路可以提供另一条路径,使网络能够及时的正常运行,高效合理的利用好网络当中的每条可用链路。服务器冗余设计企业网中服务器、
20、大型机,如网络存储服务器,SQL Server服务器,其存储的数据对于企业来说至关重要,一些核心数据被视为企业的生命。一方面它对企业的重要性毋庸置疑,另一方面,由于这些数据的性质决定了其较大的被访问量,这个对服务器提出了稳定与快速的要求。为此,我们采用的是轮询的方法,轮询是基站为终端分配带宽的一种处理流程,这种分配可以是针对单个终端或是一组终端的。轮询是基于终端的,带宽的请求总是基于CID,而分配则是基于终端。为一组终端与连接分配带宽实际上是定义带宽请求竞争机制,这种分配不是使用一个单独的消息,而是上行链路映射消息中包含的一系列分配机制,这样使得每个服务器都能够更好、更快的工作,提高了工作效率
21、,更充分的利用了每个服务器。本网络中应具备有多台服务器设备,包括DB SERVER 数据库服务器,WEB 等应用服务器,NEWS,MALL等通讯服务器以及多媒体服务器等。2.3 网络设计原则为构建高质量的网络,再网络建设中要坚持以下原则:1. 高可靠性:网络的稳定可靠是应用系统正常运行的关键,保证在网络设计中选用高可靠性的网络产品设备,充分考虑冗余、容错与备份能力,同时合理设计网络构架,制定可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的可靠运行。2. 技术先进性:在保证满足基本业务应用的同时,又要表达出网络的先进性。再网络设计中要把先进的技术与现有的成熟技术与标准结合起来
22、,充分考虑到网络应用的现状与未来发展趋势。3. 高性能:骨干网络的性能是整个网络良好运行的基础,在设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图像)的高质量传输,才能使网络不成为业务的扩展。4. 标准开放性:支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议,有利于以保证与其他网络之间的平滑连接互通,以及将来网络的扩展。5. 可管理性:选用先进的网络管理平台,具有对设备、端口等的管理及流量统计分析,并可提供保障自动报警。6. 可扩展性:根据未来业务的增长与变化,网络可以平滑地扩充与升级,最大程度的减少对网络构架与现有设备的调整。7. 安全性:制定统一的网络
23、安全策略,整体考虑网络平台的安全性,做到业务数据的安全传递与网络设备不受黑客攻击。8. 经济性:在充分利用现有资源的情况下,最大限度地降低网络系统的总体投资,有计划、有步骤地实施,在保证网络整体性能的前提下,充分利用现有的网络设备或做必要的升级。第三章 网络总体设计3.1 网络总体拓扑图考虑到总公司的实际需求,建议采用两台Cisco Catalyst3560 做双机热备,用Cisco 专有热备份路由协议技术(HSRP),根据需求配置成多组HSRP;同时双机还可以做负载均衡。这样设计不但保证网络的高可用性与稳定性,还能够充分利用现有设备的资源,以避免单台核心设备的负载太重而导致的网络性能问题。如
24、上图所示,整体网络可以根据功能划分为总部核心网络、内联接入包括办公网络、数据中心、分公司接入等,各区域相对独立,通过核心网络进行数据的交互。各区域可以各自建立交换网络、路由接入、网络安全体系,可以有独立的安全策略、数据流量控制等个体的特性,而需要与其他区域的设备进行通讯的时候,则必须遵守核心网络区的策略。3.2 网络层次化设计随着网络技术的迅速发展与网上应用量的增长,分布式的网络服务与交换已经移至用户级,由此形成了一个新的、更适应现代的高速大型网络的分层设计模型。这种分级方法被称为“多层设计”。多层设计有以下一些好处:多层设计是模块化的,网络容量可随着日后网络节点的增加而不断增大。多层网络有很
25、大的确定性,因此在运行与扩展过程中进行故障查找与排除非常简单。多层网络系统设计最有效地利用多种第3 层业务,包括分段负载分担与故障恢复等。在分层网络中运用智能第3 层业务可以大大减少因配置不当或故障设备引起的一般问题。多层模式使网络的移植更为简单易行,因为它保留了基于路由器与交换机的网络原有的寻址方案,对以往的网络有很好的兼容性。另外分层结构也能够对网络的故障进行很好的隔离。针对实际情况我们可以采用三层结构模型。 三层结构模型划分为三个层次,即核心层、分布层、接入层。每个层次完成不同的功能。核心层核心层作为整个网络系统的核心,其主要功能是高速、可靠的进行数据交换。分布层分布层主要进行接入层的数
26、据流量汇聚,并对数据流量进行访问控制。包括访问控制列表、VLAN 路由等等。接入层接入层主要提供最终用户接入网络的途径。主要是进行VLAN的划分、与分布层的连接等等。 核心层设计核心交换区的作用是尽快地提供所有的区域间的数据交换。我们推荐使用两台Cisco Catalyst 3560交换机完成此项功能。两台3560交换机高性能、可靠性、可用性是我们主要考虑的因素。本区的安全性可以由边界防火墙提供,如有需要在3560 上面可以部署安全策略,使得核心交换区的安全性进一步地增强。Cisco Catalyst 3560 系列凭借众多智能服务将控制扩展到网络边缘,其中包括先进的服务质量 (QOS)、可预
27、测性能、高级安全性与全面的管理。它提供带集成永续性的出色控制,将永续性集成到硬件与软件中,缩短了网络停运时间。Cisco Catalyst 3560 系列的模块化架构、介质灵活性与可扩展性减少了重复运营开支,提高了投资回报(ROI),从而在延长部署寿命的同时降低了拥有成本。接入层设计接入层交换机采用思科的WS-C2960 以千兆以太链路与汇聚交换机相连接,并为用户终端提供10/100M 自适应的接入,从而形成千兆为骨干,百兆到桌面的以太网三层结构。办公系统所需的各种服务器如办公自动化服务器、邮件服务器、DHCP 服务器等组成服务器群,数据中心的多种金融系统应用服务器, 连接到汇聚交换机的千兆模
28、块上面,因此,内部的局域网是采用三层结构组建。 内联接入内联接入的作用是用于连接上海期货机房与北京办公网络。我们推荐使用两台Cisco 2800系列路由器通过SDH/DDN线路完成此项功能。由于总部网络与分部机房属于公司的内部网络的一部分,因此可信度很高;接入时主要作用是生产运营系统的数据交换,查询等等与管理以及监控。总结以上的原因,内联路由器与核心交换网络间不需要配置额外的防火墙。第四章 路由设计4.1 路由协议选择开放式最短路径优先(Open Shortest Path First,OSPF)协议是一种为IP网络开发的内部网关路由选择协议,由IETF开 发并推荐使用。OSPF定义了5种分组
29、:Hello分组用于建立与维护连接;数据库描述分组初始化路由器的网络拓扑数据库;当发现数据库中的某部分信息已经过时后,路由器发送链路状态请求分组,请求邻站提供更新信息;路由器使用链路状态更新分组来主动扩散自己的链路状态数据库或对链路状态请求分组进行响应;由于OSPF直接运行在IP层,协议本身要提供确认机制,链路状态应答分组是对链路状态更新分组进行确认。OSPF协议由三个子协议组成:Hello协议、交换协议与扩散协议。其中Hello协议负责检查链路是否可用,并完成指定路由器及备份指定路由器;交换协议完成“主”、“从”路由器的指定并交换各自的路由数据库信息;扩散协议完成各路由器中路由数据库的同步维
30、护。OSPF协议主要优点:1. 为了克服距离矢量路由选择协议的缺点,开发了链路状态选择协议。2. 链路状态路由选择协议仅在网络拓扑发生变化时才生成路由选择更新。3. 链路状态路由选择协议具体如下特征: 快速响应网络变化 . 在网络变化时发送触发更新 . 以较低的频率发送定期更新,被称为链路状态刷新(LSU).SPF算法最短路径优先(SPF)路由算法,又称Dijkstra算法,所有的OSPF路由器并执行SPF算法,根据路由器的拓扑数据库构造出来以他自己为根结点的最短路径树。这个最短路径树就生成了路由表。OSPF规定有层次的网路结构,OSPF将网络分为若干区域:1. 传输区域(骨干区域):主要的功
31、能为快速高效的传输IP分组的OSPF区域,中转区域将其他类型的OSPF区域连接起来。2. 常规区域(非骨干区域):主要功能是为了连接用户与资源的OSPF区域3. 骨干区域的区域号必须为0。所以的常规区域必须与骨干区域相连。层次化区域的优点:便于管理。 最小化路由表 将拓扑变更影响限制在区域内 将LSA变更泛洪限制在范围内 OSPF路由器在完全邻接之前,所经过的几个状态:Down:此状态还没有与其他路由器交换信息。首先从其ospf接口向外发送hello分组,还并不知道DR(若为广播网络)与任何其他路由器。发送hello分组使用组播地址224.0.0.5。Attempt: 只适于NBMA网络,在N
32、BMA网络中邻居是手动指定的,在该状态下,路由器将使用HelloInterval取代PollInterval来发送Hello包。Init: 表明在DeadInterval里收到了Hello包,但是2-Way通信仍然没有建立起来。two-way: 双向会话建立,而RID彼此出现在对方的邻居列表中。(若为广播网络:例如:以太网。在这个时候应该选举DR,BDR)。ExStart: 信息交换初始状态,在这个状态下,本地路由器与邻居将建立Master/Slave关系,并确定DD Sequence Number,路由器ID大的的成为Master.Exchange: 信息交换状态,本地路由器与邻居交换一个或
33、多个DBD分组(也叫DDP) 。DBD包含有关LSDB中LSA条目的摘要信息)。Loading: 信息加载状态:收到DBD后,将收到的信息同LSDB中的信息进行比较。如果DBD中有更新的链路状态条目,则向对方发送一个LSR,用于请求新的LSA 。Full: 完全邻接状态,邻接间的链路状态数据库同步完成,通过邻居链路状态请求列表为空且邻居状态为Loading判断。另外OSPF还有自己的自制系统即AS 自治系统(autonomous system):一组相互管理下的网络,它们共享同一个路由选择方法,自治系统由地区再划分并必须由IANA分配一个单独的16位数字。地区通常连接到其他地区,使用路由器创建
34、一个自治系统。为了保持骨干区域与普通区域的连通性,需要虚链路。虚链路(Virtual Link)以下两种情况需要使用到虚链路: 1. 通过一个非骨干区域连接到一个骨干区域。2. 通过一个非骨干区域连接一个分段的骨干区域两边的部分区域。虚链接是一个逻辑的隧道(Tunnel),配置虚链接的一些规则:1. 虚链接必须配置在2个ABR之间。2. 虚链接所经过的区域叫Transit Area,它必须拥有完整的路由信息。3. Transit Area不能是Stub Area。4. 尽可能的避免使用虚链接,它增加了网络的复杂程度与加大了排错的难度。4.2 路由规划拓扑图4.3 IP地址规划标识网络中的一个节
35、点。IP 地址空间的分配,要与网络层次结构相适应,既要有效地利用地址空间,又要表达出网络的可扩展性与灵活性,同时能满足路由协议的要求,提高路由算法的效率,加快路由变化的收敛速度。我们根据以下几个原则来分配IP 地址:唯一性:一个IP 网络中不能有两个主机采用相同的IP 地址简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的款项连续性:连续地址在层次结构网络中易于进行路由总结(RouteSummarization),大大缩减路由表,提高路由算法的效率可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址总结所需的连续性灵活性:地址分配应具有灵活性,可借助可变长子网
36、掩码技术(VLSM Variable-Length Subnet Mask),以满足多种路由策略的优化,充分利用地址空间。部门网段子网掩码网关地址广播地址VLAN总部市场部10.1.1.0255.255.255.010.1.1.110.1.1.2552财务部10.1.2.0255.255.255.010.1.2.110.1.2.2553营销部10.1.3.0255.255.255.010.1.3.110.1.3.2554人事部10.1.4.0255.255.255.010.1.4.110.1.4.2555科研部10.1.5.0255.255.255.010.1.5.110.1.5.2556行政
37、部10.1.6.0255.255.255.010.1.6.110.1.6.2557部门网段子网掩码网关地址广播地址VLAN分部市场部10.10.0.0255.255.255.22410.10.0.110.10.0.312财务部10.10.96.0255.255.255.24810.10.0.9710.10.0.1033营销部10.10.32.0255.255.255.22410.10.0.3310.10.0.634人事部10.10.64.0255.255.255.24010.10.0.6510.10.0.795科研部10.10.80.0255.255.255.24010.10.0.8110.1
38、0.0.956行政部10.10.104.0255.255.255.24810.10.0.10510.10.0.1117第五章 网络安全解决方案5.1 网络边界安全威胁分析与非安全网络的互联面临的安全问题与网络内部的安全是不同的,主要的原因是攻击人是不可控的,攻击是不可溯源的,也没有办法去“封杀”,一般来说网络边界上的安全问题主要有下面几个方面:1、 信息泄密:网络上的资源是可以共享的,但没有授权的人得到了他不该得到的资源,信息就泄露了。一般信息泄密有两种方式: 攻击者(非授权人员)进入了网络,获取了信息,这是从网络内部的泄密 合法使用者在进行正常业务往来时,信息被外人获得,这是从网络外部的泄密
39、2、 入侵者的攻击:互联网是世界级的大众网络,网络上有各种势力与团体。入侵就是有人通过互联网进入你的网络(或其他渠道),篡改数据,或实施破坏行为,造成你网络业务的瘫痪,这种攻击是主动的、有目的、甚至是有组织的行为。3、 网络病毒:与非安全网络的业务互联,难免在通讯中带来病毒,一旦在你的网络中发作,业务将受到巨大冲击,病毒的传播与发作一般有不确定的随机特性。这是“无对手”、“无意识”的攻击行为。4、 木马入侵:木马的发展是一种新型的攻击行为,他在传播时象病毒一样自由扩散,没有主动的迹象,但进入你的网络后,便主动与他的“主子”联络,从而让主子来控制你的机器,既可以盗用你的网络信息,也可以利用你的系
40、统资源为他工作,比较典型的就是“僵尸网络”。来自网络外部的安全问题,重点是防护与监控。来自网络内部的安全,人员是可控的,可以通过认证、授权、审计的方式追踪用户的行为轨迹,也就是我们说的行为审计与合轨性审计。由于有这些安全隐患的存在,在网络边界上,最容易受到的攻击方式有下面几种:1、 黑客入侵:入侵的过程是隐秘的,造成的后果是窃取数据与系统破坏。木马的入侵也属于黑客的一种,只是入侵的方式采用的病毒传播,达到的效果与黑客一样。2、 病毒入侵:病毒就是网络的蛀虫与垃圾,大量的自我繁殖,侵占系统与网络资源,导致系统性能下降。病毒对网关没有影响,就象“走私”团伙,一旦进入网络内部,便成为可怕的“瘟疫”,
41、病毒的入侵方式就象“水”的渗透一样,看似漫无目的,实则无孔不入。3、 网络攻击:网络攻击是针对网络边界设备或系统服务器的,主要的目的是中断网络与外界的连接,比如DOS攻击,虽然不破坏网络内部的数据,但阻塞了应用的带宽,可以说是一种公开的攻击,攻击的目的一般是造成你服务的中断。5.2 网络内部安全威胁分析公司内部网络的风险分析主要针对整个内网的安全风险,主要表现为以下几个方面:1.内部用户的非授权访问;内部的资源也不是对任何的员工都开放的,也需要有相应的访问权限。内部用户的非授权的访问,更容易造成资源与重要信息的泄漏。2.内部用户的误操作;由于内部用户的计算机造作的水平参差不齐,对于应用软件的理
42、解也各不相同,如果一部分软件没有相应的对误操作的防范措施,极容易给服务系统与其他主机造成危害。内部用户的恶意攻击;就网络安全来说,据统计约有70左右的攻击来自内部用户,相比外部攻击来说,内部用户具有更得天独厚的优势,因此,对内部用户攻击的防范也很重要。设备的自身安全性也会直接关系到各种系统与各种网络应用的正常运转。例如,路由设备存在路由信息泄漏、交换机与路由器设备配置风险等。3.重要服务器或操作系统自身存在安全的漏洞,如果管理员没有及时的发现并且进行修复,将会为网络的安全带来很多不安定的因素。重要服务器的当机或者重要数据的意外丢失,都将会造成内部的业务无法正常运行。4.安全管理的困难,对于众多
43、的网络设备与网络安全设备,安全策略的配置与安全事件管理的难度很大。5.3 安全产品选型原则公司网络属于一个行业的专用网络,因此在安全产品的选型上,必须慎重,选型的原则包括:1.安全保密产品的接入应不明显影响网络系统运行效率,并且满足工作的要求,不影响正常的业务;2.安全保密产品必须满足上面提出的安全需求,保证整个公司企业网络的安全性。3.安全保密产品必须通过国家主管部门指定的测评机构的检测;4.安全保密产品必须具备自我保护能力;5.安全保密产品必须符合国家与国际上的相关标准;6.安全产品必须操作简单易用,便于简单部署与集中管理5.4 网络常用技术介绍HSRP 协议我们使用HSRP来实现对故障路
44、由器的接管,HSRP中文解释是热备份路由协议,其含义是系统中有多台路由器,它们组成一个“热备份组”,这个组形成一个虚拟路由器。在任一时刻,一个组内只有一个路由器是活动的,并由它来转发数据包,如果活动路由器发生了故障,将选择一个备份路由器来替代活动路由器,但是在本网络内的主机看来,虚拟路由器没有改变。所以主机仍然保持连接,没有受到故障的影响,这样就较好地解决了路由器切换的问题。VLAN 技术(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE 于1999 年颁布了用以标准化VLAN
45、 实现方案的802.1Q 协议标准草案。VLAN 技术允许网络管理者将一个物理的LAN 逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN 都包含一组有着相同需求的计算机工作站,与物理上形成的LAN 有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN 内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播与单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。Trunk 技术一般的交换机端口只能属于一个VLAN,对于多个VLAN 需要跨过多台交换机,就需
46、要用到Trunk 技术。Trunk 是指交换机之间或交换机与路由器之间VLAN 之间的连接,VLAN 信息通过Trunk 在交换机之间或路由器之间传递,从而可以将VLAN 跨越整个网络,而不仅仅是局限在一台交换机上。Cisco 支持802.1Q、ISL 的技术。其中IEEE 802.1q 是业界的标准协议,而ISL 是CISCO 专有的协议,用于在一条链路上封装多个VLAN 的信息。ISL 技术得到了Intel 等厂商的大力支持,TagSwitching 被3Com 及Lucent Cajun 支持。对于CISCO 交换机的Trunk 端口,既可以指定它的封装协议为802.1q 或ISL,也可以通过DTP