《景华信息科技有限公司网络规划与设计.doc》由会员分享,可在线阅读,更多相关《景华信息科技有限公司网络规划与设计.doc(41页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、广州大学松田学院2020 届毕业论文I景华信息科技有限公司网络规划与设计景华信息科技有限公司网络规划与设计摘要:本文主要为景华信息科技有限公司的网络进行设计,把景华信息科技有限公司的网络分为接入层、汇聚层、核心层三个层次进行设计并且根据企业网络的具体需求对对应的层次采取相关的技术,如 DHCP,VLAN,NAT,OSPF以以及链路聚合等技术。根据每个层次的需求对设备进行选择,在选择的时候要遵循经济和使用的原则。同时为了避免网络遭受到黑客的入侵,所以要对企业的网络的安全进行保证。关键词:VLAN 技术、ospf 技术、nat 技术,层次划分Network planning and design
2、of Jinghua InformationTechnology Co.,LtdAbsrtact:In order to improve the competitiveness of the sino view informationtechnology co.,LTD.,this article mainly for sino view by the network informationtechnology co.,LTD.,divides into the sino view information technology co.,LTD.,the network access layer
3、,convergence layer,core layer three levels to carry on thedesign and according to the specific needs of enterprise network on the level of thecorresponding related technologies,such as DHCP,VLAN,NAT,OSPF and the linkaggregation technology.According to the requirements of each level of equipmentselec
4、tion,in the selection of economic and use principles.At the same time,in orderto prevent the network from being invaded by hackers,the security of the enterprisesnetwork should be guaranteed.Key words:VLAN technology,ospf technology,NAT technology,hierarchicaldivisionI目录第一章 绪论.11.1 研究的意义.11.2 国内外的发展
5、状况.11.3 论文的主要安排.2第二章 设计原则及需求分析.42.1 设计原则.42.2 需求分析.42.3 技术说明.52.3.1DHCP.52.3.2 虚拟局域网技术.62.3.3 OSPF 协议.62.3.4 ipsec vpn.72.3.5 网路地址转换技术.7第三章 网络规划设计.93.1 层次化设计的意义.93.2 网络逻辑拓扑图.93.3 网络拓扑设计.93.1.1 接入层设计.93.1.2 接入层设备选型.103.1.3 汇聚层设计.113.1.4 汇聚层设备选型.113.1.5 核心层设计.123.1.6 核心层设备选型.123.4 地址划分以及 vlan 划分.133.4
6、.1 设备地址划分.133.4.2 部门 VLAN 划分.15第四章 企业网络安全设计.164.1 DHCP 欺骗.164.1.1 DHCP 欺骗的原理以及危害.16广州大学松田学院 2020 届毕业论文4.1.3 DHCP Snooping.164.2ARP 欺骗.174.2.1ARP 欺骗原理.174.2.3 接口下配置 IP 报文检查和动态 ARP 检测.174.3 DDOS 攻击.174.3.1 DDOS 攻击的原理以及为危害.174.3.2 DDOS 的应对方法.184.4 双机热备技术.18第五章 设备配置与测试.195.1 接入层.195.1.1 接入层交换机 vlan 的配置.
7、195.1.2 汇聚层交换机 vlan 的配置.205.1.3 接入层安全配置.205.2 汇聚层.205.2.1 汇聚层交换机 VRRP 配置.215.2.2 DHCP 配置.215.3 核心层.225.3.1 防火墙双机热备技术配置.225.3.2 安全区域配置以及防火墙安全策略.245.3.2 NAT 配置.255.3.4 IPSEC 配置.255.3.5 OSPF 配置.275.4 测试.275.4.1 DHCP 测试.275.4.2 vlan 测试.285.4.3 NAT 测试.295.4.4 防火墙双机热备测试.305.4.5 IPsec 测试.31第六章 总结与展望.33III致
8、谢:.34参考书籍:.35广州大学松田学院 2020 届毕业论文1第一章第一章 绪论绪论1.1 研究的意义研究的意义近年来,很多企业的蓬勃发展不仅缓解了社会上的就业压力同时有给国家带来的经济的增长。而计算机网络则在各个企业都扮演着十分重要的角色,无论是企业员工之间的信息沟通、财务的应用还是网络会议都非常依赖计算机网络。构建一个可靠安全的企业网络已经是不可或缺的。一个可靠安全的企业网络可以带给企业以下收益:(1)可以有效的提高企业的工作效率以及降低平时办公的额外开销。(2)可以让企业更加清楚外界的变化以调整自身来获取更多的利润。(3)增强企业的形象,可以让更多的人了解企业综合实力。同时可以扩大市
9、场,挖掘新的客户。(4)可以有效的抵挡外部或者内部网络的入侵和威胁。景华信息科技有限公司是一家业务范围是网络的基础建设、移动网络等新型业务开发与支持的现代化企业,为了让景华信息科技有限公司在如今信息技术作为企业经济发展的其中一个重要方法的浪潮之中也有一定的立足之地。借助本次设计希望可以把景华信息科技有限公司的网络可以打造成实用、安全可靠、可以拓展的网络。1.2 国内外的发展状况国内外的发展状况计算机网络的起源可以追溯到时上个世纪的 60 年代,一个名为 ARPENET的网络是由美国国防部牵头建成的,这个网络最开始是用于军事研究的。但是随着时代的变迁,网络技术也跟着不断的创新和改革,于是网络也慢
10、慢的由专业用于科研转变为 ISP 管理以便寻常人都可以使用。同时随着网络的发展,也诞生了许多应用于网络的技术。而企业内部网络的建设大多基于这些技术之上。目前有些企业因为过去在建设企业网络的时候由于采用的设备和技术并不广州大学松田学院 2020 届毕业论文2是当今所流行所以导致现在企业网络的结构会因为企业的业务或者规模的拓展而导致不稳定。如当初交换机互相连接会导致网络出现环路使得网络无法正常通讯于是为了解决这一个问题便有了 STP 协议,但是后来 STP 的收敛速度并不是很快,为了加快拓扑的收敛速度,IEEE 协会在 21 世纪初发布的 802.1w 标准所定义的在 STP 上的基础上修改的 R
11、STP,加快了 STP 拓扑的收敛速度。亦如 vlan可以忽略设备在物理空间的实际位置实现逻辑上划分在一起同时 vlan 的划分还可以提高局域网的安全性,但是随着企业园区规模的扩张所需的交换机等设备也要增加即若逐台去配置 vlan 便是一个巨大的工程,于是 VCMP 便可以有效的减少 VLAN 的配置工作,VCMP(VLAN 集中管理协议),网络管理员可以通过 VCMP协议在一台交换机上对 VLAN 集中管理。同时,随着计算机技术的发展,也意味着企业网的安全也面临着越来越多的挑战,卡巴斯基实验室也进行了调查研究,他们表明:中小型企业从一次网络攻击中恢复平均需要 38000 美元。这对一个无论是
12、刚刚起步的企业还是普通的中小型企业都是一次非常大的打击,所以现今企业网络的设计除了要解决企业日常工作需求的信息交流还需考虑到如何保障企业网络的安全。所以建如何设一个高效、实用、可靠。安全的企业网络便成为了当今行业的一个热门话题。1.3 论文的主要安排论文的主要安排第一章 绪论说明建造一个企业网的主要意义,简述国内外的发展状况以及本文的主要安排。第二章 设计原则及需求分析网络规划设计的原则说明以及对企业的需求进行分析并且对本次网络设计的主要技术进行说明。第三章网络的规划介绍层次设计对网络规划带来的好处,简述公司的网络的三个层次的设计,简要说明设计的原因。根据每个层次的特性选取每个层次适合的设备体
13、现出网络设计的实用性。把公司的部门划分进入不同的 VLAN 之中以及对公司的 IP 地址广州大学松田学院 2020 届毕业论文3进行分配。第四章企业网络安全设计描述当期企业网络所面临的网络威胁并且对一些常见的网络威胁进行说明和设计。第五章 具体实施与测试对设备的配置进行建档的描述以及对实验进行测试第六章 总结与展望总结这次毕业设计的成果和不足的地方以及可以修改的方式。广州大学松田学院 2020 届毕业论文4第二章第二章 设计原则及需求分析设计原则及需求分析2.1 设计原则设计原则随着信息化浪潮的发展,信息化建设已经成为了企业的核心竞争因素之一了。那么企业的网络的建设便成为了企业信息化建设的基础
14、,所以本次对景华信息科技有限公司的网络建设则遵循以下原则:实用性:采取当今比较成熟的设备和技术,不一定要采取最新的设备以减少网设计的预算,能让企业的日常工作的信息数据能正常交流以及能让企业的应用能正常运行。如果在设计时所运用的设备得不到好的应用那么这个设备既没发挥它的功能对企业来说也是一笔损失。可靠性:可靠性指的是在规定的时间和环境之下要完成特定的任务,即在面对无论是人为还是自然的破坏因素之下要保障企业网的正常运行,所以在设计的时候要对重要的节点或者数据采取冗余备份。安全性:在面对黑客技术日益增长的今天,企业要有效的抵御不法分子对企业网的入侵,要对企业的重要数据做好保护以防止企业的数据造成泄漏
15、使得企业蒙受不必要的经济损失。可拓展性:可拓展性即当企业的规模或者业务进行升级或者拓张的时候,企业的网络无需作太大的变动便能满足企业升级之后的需求。2.2 需求分析需求分析景华信息科技有限公司是一家服务于信息化网络的基础建设以及移动互联网等业务的开发与支撑的现代化信息科技企业,该公司的基本机构主要是人事、财务、项目、市场以及 IDC 机房的维护部门。为了满足景华信息科技有限公司的需求我们做出以下分析。(1)采取千兆网络可以满足景华信息科技有限公司平时访问网页以及视频会议等要求网络高速稳定的业务。(2)为了防止企业网络受到网络攻击而遭受到损失,在本次设计中将会在广州大学松田学院 2020 届毕业
16、论文5网络架构的出口位置部署防火墙。(3)根据接入层、汇聚层、核心层三层各层的特点选取设备提高各个层次的实用性,减少不必要的浪费。(4)在为了保证公司能在遭受到人或者自然的因素破坏时能正常运行,在关键的节点采取冗余设计。(5)在企业内部中部署一个 FTP 服务器可以方便员工获取企业的文件。(6)由于维护部部门的企业办公的地点并不是在企业的内部而是在与设立有一定的地方为了方便员工能够获得相关的服务所以采用 Ipsecvpn。2.3 技术说明技术说明2.3.1DHCPDHCP 是一个局域网络协协议,并且 UDP 协议是服务于 DHCP 协议的。客户端想要在企业网络中进行通讯的话,DHCP 可以起到
17、动态分配地址给想要进行通讯的客户端,同时 DHCP 也可以被内网的网管作为对所有计算机的中央管理手段。在 DHCP 技术当中的主要工作过程是需要申请使用 IP 地址的客户端通过在局域网之中发送 discover 和 request 报文给 DHCP 服务器去进行寻找和请求 IP地址,DHCP 服务器收到报文后则会回应一个 offer 和 ACK 报文在局域网中给客户端,实现客户端发送 discover 后的应答以及发送 request 之后的确认。主机便可以真正使用 IP 地址了。DHCP 有三种分配方式分别是自动分配方式、手动分配方式以及动态分配方式。而再本次设计当中采取了动态分配方式,动态
18、分配方式可以通过设置租期去规划 IP 地址资源,以免造成 IP 地址资源的浪费。为了让企业内部的员工在日常的工作中可以正常的进行信息数据交流,首先就要给每一台终端配置一个 IP 地址,而采用 DHCP 则是一个比较好的选择,采用 dhcp 可以有效的降低人工配置的工作量,因为 IP 地址由 dhcp 服务器统一分配可以降低 ip 冲突的可能性。因为 dhcp 三种分配方式相对于人工分配都比较方便,所以当企业的员工出现误操作的时候也可以比较容易的修改回来。因为 dhcp技术中有三种方式可满足企业对 ip 地址分配的需求以便有效的提高 ip 地址的使用效率。广州大学松田学院 2020 届毕业论文6
19、图 2-1DHCP 工作原理2.3.2 虚拟局域网技术虚拟局域网技术虚拟局域网技术又称为 vlan,vlan 的作用是把一个局域网(Lan)根据需要划分为多个小的虚拟局域网(VLan)。因为大多数的企业网络都会由交换机等设备组成,当某一份报文要发送到企业的某一台终端的时候交换机往往会通过广播的方式去寻找目的主机,这种方式会造成其它终端也会接收到这份它们本不该接收到的报文,这样的一种操作就会造成网络宽带的以及计算机信息处理资源的浪费,同时,还会带来安全的问题。所以,采取 vlan 可以有效的防范广播风暴,可以通过划分区域隔离各个部门之间的信息交流提高企业网络的安全性能,vlan技术的部署可有小的
20、忽略设备的实际的物理位,把它们从逻辑上划分在一起,有效的提高了了企业网络的灵活性。2.3.3 OSPF 协议协议企业数据信息的交流所产生的数据包是通过路由完成的,即根据路由控制列表上的信息转发数据包,如果路由信息出现了错误则不能准确的抵达目的地址。计算机网络的路由协议有两种,分别是静态路由和动态路由两种协议,在配置静态路由协议的时候要确定好目的地址以及下一跳地址以便转发数据包时的正确。但是在配置静态路由协议会因为设备量的增加而导致工作的增加,同时如果出现了故障,静态路由协议是无法绕过故障点的,所以对于比较大的局域网来说并不是一个合适的选择,而动态路由协议配置的工作量则无需这么大。RIP 协议是
21、一种采取距离向量算法路由方式的动态路由协议,因为它的这个特性,它不得不采取限制自己的跳数为 16 跳的方式来确保自己不会产生路由循环等问题,同时为广州大学松田学院 2020 届毕业论文7了 RIP 协议为了保证路由的正确性,它会定期广播自己的路由表给其它设备,所以它还会浪费一定的带宽。所以在本次设计当中所用到的 OSPF 动态协议与 RIP的算法并不一样,OSPF 协议采取的是根据链路状态去计算目的到源的路径。而OSPF 路由协议则是通过给每条链路赋予权值,最后通过权值最小的那一条链路决定最终路由,因为 OSPF 路由协议并不需要周期性的更新链路状态,他只需通过发送 HELLO 报文去建立起邻
22、居以及通过发送 DBD 给邻居去检查检查链路状态是否更新,所以 OSPF 协议则无需耗费太多的网络流量。2.3.4 ipsec vpn维护部门的员工由于工作的特殊性不能处于公司的主要办公地方工作,需要通过公网去访问企业的网络,所以这时候我们就需要一条安全的通道来传输信息,Isec vpn 便是一个比较好的选择。Ipsec vpn 有着隧道和传输这两种模式对报文进行保护,前者可以用作于主机之间的通讯,而后者则是被经常用于私网之间的通讯。IPsec 的通讯协议是 AH、ESP,但是 ESP 安全性要比 AH 协议要高。在配置 IPsec vpn 的时候可以采用手工方式去进行配置,但是手工配置的工作
23、量也是会随着企业规模的扩大而增大而且为了保证安全性手工模式的加密秘钥和验证也要经常更新。所以比较合适的方法是采用 IKE 的方式去进行配置,IKE 为IPSEC 协商生成密钥,在 IPsec 通信双方之间动态建立安全关联。IKE 第一阶段是建立一个安全联盟。第二阶段是用已经建立的安全联盟为IPSec协商安全服务,产生真正可以用来加密数据流的密钥,IPSec SA 用于最终的 IP 数据安全传送。2.3.5 网路地址转换技术网路地址转换技术网络地址转换技术又称为 NAT 技术,他的基本作用是把私网的 IP 地址与公公网的 IP 地址之间的转换。NAT 技术不仅仅解决了网络地质资源不够的问题还对提
24、供了安全的防护。在 IP 地址的空间内 A、B、C 三个类型的 IP 地址都有有一 部 分 被 分 为 私 网 地 址,A 类:10.0.0.0-10.255.255.255;B 类:172.16.0.0-172.31.255.255;C 类:192.168.0.0-192.168.255.255。NAT 技术有静态NAT 技术、动态 NAT 技术、NAPT 以及 EASY IP 四种。但是随着企业的拓展,静态 IP 技术和动态 IP 技术已经无法满足企业的需求了。无论是静态 NAT 还是广州大学松田学院 2020 届毕业论文8动态 NAT 技术,他们在某一个时刻一个公有地址只能与一个私有地址
25、转化,所以在本次设计当中采取 easyip 技术。easyip 技术是 napt 技术的一种简化,在 napt技术当中,napt 首先会在公有地址池当中选取一个公有 IP,然后对内网发送过来的报文的 IP 地址进行映射,同时 napt 还会为内网发送过来的报文的端口映射网关的端口以达到一个 IP 能够被多个内网终端使用。而 easyip 之所以是 NAPT的简化是因为 easyip 并没有公有地址池,仅仅只有一个公有 IP。NAT 转换方式含义IP 地址对应关系是否转换端口Napt转换报文地址和端口多对一是Easy-IP转换报文 IP 和端口且只能把 IP 转为出接口 IP多对一是静态 NAT
26、转换报文地址一一对应否动态 NAT用地址池中的 IP转换报文地址多对一否表 2-1 NAT 技术比较广州大学松田学院 2020 届毕业论文9第三章第三章 网络规划设计网络规划设计3.1 层次化设计的意义层次化设计的意义本次对景华信息科技有限公司网络设计采用层次化模型进行设计,把网络的逻辑拓扑分为接入层、汇聚层和核心层三层设计。层次化的设计可以有效的降低企业建设网络成本,每个层次可以根据自身的特性采取不同的网络设备。每个层次各司其职可以最大化的减少网络宽带的浪费。层次化设计使得网络的改变更加容易当网络的某一处地方需要改变的时候,对网络的整体改变并不大。3.2 网络逻辑拓扑图网络逻辑拓扑图图 3-
27、13.3 网络拓扑设计网络拓扑设计3.1.1 接入层设计接入层设计接入层作为企业网络的边界,为企业用户各种提供接入的方式也是客户接入广州大学松田学院 2020 届毕业论文10网络的第一层。所以在设计的时候要保证接入层可以扩展以及要简化接入层的网络的部署和管理。由于接入层交换机的数量并不是简单的一个,所以要考虑到接入层交换机的工作模式。接入层交换机的工作模式有两种,分别是独立模式以及堆叠模式,独立模式中的交换机各个独立开来,相互之间不存在依赖的关系。它具有以下优点:1.设备独立工作,节点故障互不影响,扩容方便。2.兼容性好,不同类型设置可以共存。3.对设备要求不高,支持标准协议即可。在接入层上行
28、组网中每一台接入层的交换机采取单上行的办法,单上行可以降低网络的复杂层度以便更容易管理。3.1.2 接入层设备选型接入层设备选型为了保证企业网络设计的实用性和经济性的原则在为接入层选取设备的时候通常选用与下行端口的速率和 PC 终端网卡的速率是否匹配。计算机网卡类型有十兆以太网卡、百兆以太网卡、百兆与千兆的自适应网卡、千兆以太网卡以及万兆网卡五种。而在本次设计当中,企业内部网络的 PC 终端多数都为百兆网卡,为了让交换机的下行速率能与 PC 终端网卡的速率匹配这个原则,所以选用华为的 S3700 系列的以太网交换机。这款交换机的定位是在企业网络的接入或者汇聚层,这款交换机提供接入、汇聚以及传送
29、等功能。同时,S3700 交换机还提供丰富的 ACL 策略等安全措施,有效的防止恶意用户的攻击。所以本次在接入层中的设计采用 S3700-28TP-SI-AC 这一款交换机,这一款交换机支持 4K 个 Vlan、支持基于 MAC 和 IP 子网等 VLAN,以及各种以太网接口。图 3-2 S3700-28TP-SI-AC 交换机产品类型快速以太网交换机传输速率10/100Mbps端口描述24 个 10/100Base-TX 端口,2 个 1000Base-X SFP 端口,2 个广州大学松田学院 2020 届毕业论文11千兆 Combo 口VLAN支持 4K 个 VLAN 支持基于 MAC/协
30、议/IP 子网的 VLAN表 3-13.1.3 汇聚层设计汇聚层设计汇聚层是企业网络接入层与核心主干网之间的分界线。汇聚层通常用作转发部门之间的各个用户实现通信,同时也提供企业网络内部中的用户可以把流量发送到核心层路径。汇聚层的存在使得核心层对于接入层来说实现了透明的作用。汇聚层可以将大量用户接入到企业网骨干网络中,同时,汇聚层也有可能作为部门或区域内部的交换核心,实现与区域或部门专用服务器区的连接。在为汇聚层的网络进行设计的时候应当要考虑到网络的可靠性以及要根据企业部门的不同性质对企业的部门进行隔离,为了保证让企业的网络能够提高可靠性所以在对汇聚层的交换机进行设计的时候采取采用 VRRP 的
31、办法当主交换机出现故障的时候能切换至备用的交换机,同时在汇聚层的交换机上行到防火墙的这段链路之中,作为核心层的防火墙采取双机热备的方式去进行部署,防火墙采取双机热备可以很大方面的提高企业的安全性从而减少恶意流量的入侵。3.1.4 汇聚层设备选型汇聚层设备选型本次网络的汇聚层有汇聚层交换机组成,在选择汇聚层交换机的时候要考虑到汇聚层交换机下行端口速率要与接入层的交换机的上行链路速率相匹配,同时要选着上行速率较高的交换机以减少上行链路的数量。所以在本次设计中选择S5700 系列的交换机作为汇聚层的交换机,S5700 支持完善的各种类型的攻击防范(DoS 类和用户类)。所以在本次设计当中采取了华为
32、S5700 系列交换机当中型号为 S5720S-28P-LI-AC 的交换机,这款交换机端口数量为 24 个以太网端口,可以很好的应对以后企业网络扩大,具有 4K 个 VLAN 以及支持各种 VLAN 如mac 或者 IP 子网等,以及在 QOS 功能的支持方面也提供了报文的速率限制以及各种包过滤,假若以后企业需要实现汇聚层需要实现堆叠功能,该交换机具有istack 堆叠的功能。广州大学松田学院 2020 届毕业论文12图 3-3 S5720S-28P-LI-AC 交换机产品类型千兆以太网交换机传输速率10/100/1000Mbps交换机端口24 个 10/100/1000Base-T 以太网
33、端口、4 个千兆 SFPVLAN支持 4K 个 VLAN 支持基于 MAC/协议/IP 子网/策略/端口的 VLAN表 3-23.1.5 核心层设计核心层设计核心层是整个企业网络的骨干部分承担着企业内部网络流量的高速转发的业务,为了要保证企业网络的能够高速和稳定就要考虑到核心层的可靠性和稳定性。本次设计的核心层由防火墙,防火墙为企业内部的网络提供安全的保障,再设计防火墙的时候为了保障核心层不会因为自然或者人为的因素而导致企业内部的网络受到影响所以再设计的时候采取了双机热备的方式去提高核心层的稳定性从而对企业的网络有了保障。在企业网络的边界配置边界路由是为了让企业的路由会有更加高的转发效率。3.
34、1.6 核心层设备选型核心层设备选型因为在本次设计当中为了减少设计购置成本的预算,所以用 USG6660 的防火墙为核心层的设备,USG6660 的防火墙具有安全、路由以及 VPN 等功能,而且作为防火墙它具有多种用户认证、全面的位置威胁防护等功能是一个十分出色设备。所以 USG6660 不仅给企业内部的网络提供了安全的保障也提供了交换机的功能。提供多个固定千兆以太网口,并拥有丰富的扩展能力,支持多种接口卡其中包括万兆以太网接口卡。广州大学松田学院 2020 届毕业论文13图 3-4 USG6660 防火墙防火墙类型下一代防火墙固定接口210GE+8GE+8SFP每秒连接数350000 新建连
35、接数路由特性全面支持 IPV4/IPV6 下的多种路由协议VPN 加密支持丰富高可靠性的 VPN 特性,如 IPSec VPN表 3-33.4 地址划分以及地址划分以及 vlan 划分划分3.4.1 设备地址划分设备地址划分设备名称设备端口IP 地址/子网掩码Switch AVlanif 10192.168.1.254/24Vlanif 20192.168.2.254/24Vlanif 30192.168.3.254/24Vlanif 40192.168.4.254/24Switch BVlanif 10192.168.1.253/24Vlanif 11192.168.11.254/24Vla
36、nif 20192.168.2.253/24Vlanif 30192.168.3.253/24Vlanif 40192.1684.253/24FW3G0/0/0.10192.168.1.1/24广州大学松田学院 2020 届毕业论文14G0/0/0.20192.168.2.1/24G0/0/0.30192.168.3.1/24G0/0/0.40192.168.4.1/24G1/0/110.1.1.1/24G1/0/010.1.2.1/24FW4G0/0/0.10192.168.1.2/24G0/0/0.20192.168.22/24G0/0/0.30192.168.3.2/24G0/0/0.4
37、0192.168.4.2/24G1/0/110.1.1.2/24G1/0/010.1.2.2/24USG-1G0/0/1192.168.5.1/24G0/0/2192.168.6.1/24USG-2G0/0/1192.168.200.254/24G0/0/012.0.0.2/24AR1G0/0/010.1.2.3/24G0/0/110.1.3.1/24G0/0/2192.168.6.2/24AR2G0/0/010.1.3.2/24G0/0/110.1.4.2/24G0/0/214.29.10.2/24AR3G0/0/110.1.4.1/24G0/0/010.1.2.4/24AR4G0/0/01
38、4.29.10.1/24G0/0/112.0.0.1/24表 3-1广州大学松田学院 2020 届毕业论文153.4.2 部门部门 VLAN 划分划分部门Vlan人事部Vlan10财务部Vlan20市场部Vlan30项目部Vlan40表 3-2广州大学松田学院 2020 届毕业论文16第四章 企业网络安全设计计算机网络技术在当今世界飞速发展带来给人们极大便利的同时也产生了很多有关网络安全的问题。这些安全问题如果处理不当则会让企业遭受巨大的损失。在本次设计当中将会在接入层的交换机之中采用 DHCP Snooping 技术和采用 ARP 动态检查的方式去应对 DHCP 欺骗和 ARP 欺骗,以及为
39、了保证核心层的防火墙不会因为单点故障而导致企业网络受到影响所以在防火墙的位置采用双机热备技术。4.1 DHCP 欺骗欺骗4.1.1 DHCP 欺骗的原理以及危害欺骗的原理以及危害由 DHCP 的工作原理我们可以知道,PC 终端每次获取 IP 地址的时候都是通过广播发送 discover 报文去寻找 DHCP 服务器的,并且 PC 终端只接收第一个到达的服务器配置参数,假如接受了一台没有获得授权的 DHCP 服务器的时候,那么 PC 终端获得的参数也是没有授权的,这就可以说是 PC 终端受到攻击了。攻击者可以通过制造大量假的 IP 请求包去消耗服务器的资源使得合法的计算机无法正常获取 IP。4.
40、1.3 DHCPSnooping在华为的交换机上开启 DHCP Snooping 功能可以有效解决 DHCP 欺骗的问题,DHCP Snooping 可以把交换机的端口配置成为信任接口或者非信任接口。信任接口正常转发接收到的 DHCP 报文,非信任接口则是把收到的 DHCP 报文丢弃。广州大学松田学院 2020 届毕业论文174.2 ARP 欺骗欺骗4.2.1ARP 欺骗原理欺骗原理IP 地址的存在是为了解决计算机用物理地址交流的复杂,ARP 协议的存在是为了解决 IP 地址转换为 MAC 地址。而 ARP 欺骗是攻击者通过假冒网关把受害主机要发向特定 IP 地址的流量被攻击者所截取。arp
41、欺骗中攻击者可以篡改流量之后再发送给受害主机索要发向的特定 IP 地址,如果不对 arp 欺骗采取有效的防护方法会对两台需要通信的主机产生比较大的影响。4.2.3 接口下配置接口下配置 IP 报文检查和动态报文检查和动态 ARP 检测检测为了抵御中间人攻击,避免了合法用户数据被盗取,设备会把收到的 ARP报文中的一些信息和设备中的绑定表进行对比,如果 ARP 中的信息和绑定表中的信息是一样的则允许该报文通过,否则就认为是攻击,丢弃该 ARP 报文。4.3 DDOS 攻击攻击4.3.1 DDOS 攻击的原理以及为危害攻击的原理以及为危害DDOS 攻击又称为分布式拒绝服务攻击,因为 DDOS 相对
42、于其它的攻击手段技术要求以及攻击成本都比较低,而且攻击的速度非常快和攻击效果的可视使得 DDOS 成为了很多黑客的手中的一把利剑。DDOS 攻击有三种类型,分别是资源消耗类攻击、服务器消耗性攻击、反射类攻击以及混合类攻击。其中最典型的攻击则是资源消耗类攻击,黑客通过发送大量的请求去消耗宽带和协议栈处理资源的能力,从而导致服务器正常工作。DDOS 的攻击会造成企业网络里面的业务无法正常运行导致使得企业遭受到不必要的损失。同时,还会为企业带来一些不必要的社会舆论导致企业的名声遭受到损坏。广州大学松田学院 2020 届毕业论文184.3.2 DDOS 的应对方法的应对方法由于 DDOS 攻击是大多数
43、非法入侵者的一把利剑而且由于 DDOS 的攻击对企业的威胁也比较大,所以在应对 DDOS 攻击中,网络管理员可以通过定时扫描漏洞提高企业网络的安全性,同时在部署服务器的地方部署防火墙,可以关闭不必要的服务端口以及检查访客的 IP 地址是否为真实的。4.4 双机热备技术双机热备技术在传统的网络之中,通常只有一台防火墙部署在网络的出口位置,但是当网络中的防火墙出现问题的时候,内部网络会因为无法与作为网络的网关的防火墙惊醒同行而导致与外网的通讯中断,通讯的可靠性就无法保证。一旦网络产生中断会对企业产生比较大的影响。所以双机热备的技术便应运而生。当两台防火墙部署在网络的出口位置的时候即便当其中的一台防
44、火墙出现了故障也能切换到另一台防火墙之上从而保障了企业网络之间得通讯畅通。在双机热备技术当中为了让链路的切换更加可靠更加快捷,则推出了 VRRP(虚拟冗余路由协议)来进行。VRRP 是一种基本的容错协议,VRRP 有三个重要的组成部分,主路由器(master),备路由器(backup)以及备份组。备份组当中的设备整合在一起并且拥有一个虚拟 IP 作为网关,而且只有一台设备设为 master 其它的则为 backup当 master 初选故障后则会切换至 backup 的其中一台设备上继续进行通信。广州大学松田学院 2020 届毕业论文19第五章第五章设备配置与测试设备配置与测试5.1 接入层接
45、入层接入层是企业网络的边界负责连接企业终端进入企业网络的一个重要层次。5.1.1 接入层交换机接入层交换机 vlan 的配置的配置vlan 又称为虚拟局域网可一根据跟个部门的需要把公司的局域网划分开来而且能有效的抵御广播风暴。通过对该企业的分析,本次设计把景华信息科技有限公司网络的 4 个部门(人事部、财务部、项目部、市场部)分为 4 个 VLAN由于维护部门的业务的特殊性质,所以没有建设在企业的内部网络中,所以它工作的业务要通过其它方式进入内网进行交流。在接入层交换机 VLAN 配置当中把 LSW1 交换机的 Ethernet0/0/1,LSW2 交换机的 Ethernet0/0/1 等于
46、PC 相连的的端口设置为 ACCESS 端口而且设置该部门所规划好的 VLAN。而接入层交换机与汇聚层交换机相连的端口中把 LSW1 的 Ethernet0/0/2,LSW2 交换机的Ethernet0/0/2,LSW3 的 Ethernet0/0/2,LSW4 的 Ethernet0/0/2 这四个端口类型类型设为TRUNK并且同时SwitchA交换机的下行端口也设为TRUNK并且允许相应部门的 VLAN 通过实现设备之间的通讯。部分配置如下。图 5-1 LSW1 access 以及 trunk 配置广州大学松田学院 2020 届毕业论文205.1.2 汇聚层交换机汇聚层交换机 vlan 的
47、配置的配置在 vlan 配置中为了让接入层中各个部门的流量能顺的进入汇聚层,所以在与接入层相连的端口应当配置允许该部门的 vlan,因为三层交换机无法隔离各个部门之间的 vlan 横向流量的交流所以在特定的部门下采取了端口隔离的设置。同时会了保证各个部门的终端能进入核心层在汇聚层与核心层的上行配置部分应当允许 vlan 的进入。部分配置如下。图 5-2 SWITHCA ge0/0/1 端口配置图 5-3 SWITHCA ge0/0/4 端口配置5.1.3 接入层安全配置接入层安全配置由于网络技术的发展越来越来发达,安全问题也随之浮出水面为了保障企业内部网络用户的安全,所以在接入层当中设计了 D
48、HCP SNOOP 技术以及配置了动态报文检测以及 ARP 动态检测。图 5-4 LSW1 配置5.2 汇聚层汇聚层汇聚层企业网络接入层和核心主干网的网络分界线,在汇聚层当中主要负责互相转发各个部门之间的流量以及提供每个部门到核心层的流量。广州大学松田学院 2020 届毕业论文215.2.1 汇聚层交换机汇聚层交换机 VRRP 配置配置为了避免企业中的网络因为单点故障而遭受到影响,在对外网络的汇聚层进行设计的时候采用了 VRRP 设计,把 Switch A 交换机设计为主设备,SwitchB 交换机设计为备设备同时在追踪 SwitchA 上连到防火墙的借口,当该接口为断开的时候,则降低优先值,
49、部分配置如下。图 5-5 Switch A 交换机 VRRP 配置图 5-6 Switch B 交换机 VRRP 配置5.2.2 DHCP 配置配置如果企业网中的终端想要在企业网中进行通信的话,首要条件是要为该终端配置一个 IP 鉴于手动配置 IP 工作的繁琐所以采取 DHCP 技术,而在汇聚层中的交换机的 SwitchA 和 SwitchB 交换机中设置 DHCP 技术能保证汇聚层以下的设备即使是在核心层中出现故障也能正常运行从而降低企业的损失。在汇聚层设置DHCP 首先要在地址池设置一个与接入层相接的端口作为网关,又因为交换机的端口不能直接配置 IP 地址,所以只能采取 vlanif 的方
50、法去对地址池的网关进行配置,然后根据企业的需要合理的分配 IP 地址到每个部门当中去以达到每个终端能正常上网。部分配置如下。配置 vlanif10ip address 192.168.1.254 255.255.255.0配置地址池gateway-list 192.168.1.254广州大学松田学院 2020 届毕业论文22network 192.168.1.0 mask 255.255.255.0/人事部的 IP 地址池lease day 30 hour 0 minute 0dns-list 8.8.8.85.3 核心层核心层核心层作为企业网的核心枢纽,核心层的作用是处理企业内部网络的纵向流