網(wǎng)絡(luò)層次化VLAN訪問控制列表防火墻論文04455

1、摘 要：隨著網(wǎng)絡(luò)的逐步普及，企業(yè)網(wǎng)絡(luò)的建設(shè)是企業(yè)向信息化發(fā)展的必然選擇，企業(yè)網(wǎng)網(wǎng)絡(luò)系統(tǒng)是一個非常龐大而復(fù)雜的系統(tǒng)，它不僅為現(xiàn)代化管理、綜合信息管理和辦公自動化等一系列應(yīng)用提供基本操作平臺，而且能提供多種應(yīng)用服務(wù)，使信息能及時、準(zhǔn)確地傳送給各個系統(tǒng)。而企業(yè)網(wǎng)工程建設(shè)中主要應(yīng)用了網(wǎng)絡(luò)技術(shù)中的重要分支局域網(wǎng)技術(shù)來建設(shè)與管理的，因此本畢業(yè)設(shè)計課題將主要以企業(yè)局域網(wǎng)絡(luò)建設(shè)過程可能用到的各種技術(shù)及實施方案為設(shè)計方向，為企業(yè)網(wǎng)的建設(shè)提供理論依據(jù)和實踐指導(dǎo)。關(guān)鍵詞：網(wǎng)絡(luò)層次化，vlan，訪問控制列表，防火墻目 錄前言41 計算機網(wǎng)絡(luò)概述51.1計算機網(wǎng)絡(luò)的定義51.2計算機網(wǎng)絡(luò)的發(fā)展階段51.3計算機網(wǎng)絡(luò)的分

2、類51.4拓撲結(jié)構(gòu)的定義62 局域網(wǎng)硬件設(shè)備72.1網(wǎng)絡(luò)服務(wù)器72.2工作站72.3網(wǎng)絡(luò)設(shè)備72.4通信介質(zhì)73 網(wǎng)絡(luò)組建83.1需求分析83.2網(wǎng)絡(luò)拓撲83.3網(wǎng)絡(luò)層次化設(shè)計83.4服務(wù)器群組134 網(wǎng)絡(luò)管理154.1 vlan技術(shù)154.2訪問控制列表164.3防火墻174.4 vpn185 網(wǎng)絡(luò)維護205.1網(wǎng)絡(luò)故障排除的目的205.2故障診斷與排除的基本過程206 總結(jié)21參考文獻22致 謝23小型局域網(wǎng)的組建與管理前言隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展和普及，目前幾乎所有的行業(yè)都已經(jīng)建立或即將建立自己的局域網(wǎng)，并且都有接入互聯(lián)網(wǎng)的需求。這其中以小型局域網(wǎng)的建立更為普及。如何從頭開始規(guī)

3、劃、建立、管理和維護一個中小型局域網(wǎng)？這就需要掌握包括網(wǎng)絡(luò)原理、網(wǎng)絡(luò)硬件和軟件等方面的知識。對于用戶而言，計算機網(wǎng)絡(luò)和計算機單機除了可以共享一些資源外，沒有什么區(qū)別；而對于一個網(wǎng)管員來說，計算機網(wǎng)絡(luò)要比單機復(fù)雜的多，尤其是網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)設(shè)備的配置、網(wǎng)絡(luò)的運維、網(wǎng)絡(luò)的管理、網(wǎng)絡(luò)的安全防護，以及當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時如何進行查找和排除，這些都需要網(wǎng)管員掌握大量的網(wǎng)絡(luò)知識和積累豐富的實踐經(jīng)驗。1 計算機網(wǎng)絡(luò)概述1.1計算機網(wǎng)絡(luò)的定義在計算機領(lǐng)域，網(wǎng)絡(luò)（network）就是用物理鏈路將各個孤立的工作站和主機相連在一起，組成數(shù)據(jù)鏈路，從而達到資源共享和通信的目的。凡將地理位置不同、并具有獨立功能的多個計算機系

4、統(tǒng)通過通信設(shè)備和線路連接起來，且以功能完善的網(wǎng)絡(luò)軟件（網(wǎng)路協(xié)議、信息交換方式及網(wǎng)絡(luò)操作系統(tǒng)等）實現(xiàn)網(wǎng)絡(luò)資源共享的系統(tǒng)，都可稱為計算機網(wǎng)絡(luò)。1.2計算機網(wǎng)絡(luò)的發(fā)展階段（1）遠程終端連接（2）計算機網(wǎng)絡(luò)階段（3）計算機網(wǎng)絡(luò)互聯(lián)階段（4）信息高速公路1.3計算機網(wǎng)絡(luò)的分類按覆蓋范圍來分，主要有以下幾種。(1)局域網(wǎng)lan局部區(qū)域網(wǎng)絡(luò)（local area network），通常簡稱為“局域網(wǎng)”，縮寫為lan。局域網(wǎng)是結(jié)構(gòu)復(fù)雜程度最低的網(wǎng)絡(luò)。局域網(wǎng)僅是在同一地點上經(jīng)網(wǎng)絡(luò)連接在一起的組計算機。局域網(wǎng)中的計算機通常挨得很近，它是目前應(yīng)用最廣泛的一類網(wǎng)絡(luò)。(2)廣域網(wǎng)wan廣域網(wǎng)（wide area net

5、work）是影響廣泛的復(fù)雜網(wǎng)絡(luò)系統(tǒng)。wan由兩個以上的lan構(gòu)成，這些lan間的連接可以穿越30英里以上的距離。大型的wan可以由各大洲的許多l(xiāng)an和man組成。最廣為人知的全球范圍的wan就是internet，它由全球成千上萬的lan和wan組成。(3)城域網(wǎng)man城域網(wǎng)（metropolitan area network）是介于wan與lan之間的網(wǎng)絡(luò)類型，是覆蓋一個城市的地理范圍、用來將同一區(qū)域內(nèi)的多個局域網(wǎng)互聯(lián)起來的中等范圍的計算機網(wǎng)。有時lan、man和wan間的邊界非常不明顯，很難確定lan在何處終止，man和wan在何處開始。但可以通過四種網(wǎng)絡(luò)特性：通信介質(zhì)、協(xié)議、拓撲以及私有網(wǎng)

6、和公共網(wǎng)間的邊界點來確定網(wǎng)絡(luò)的類型。1.4拓撲結(jié)構(gòu)的定義網(wǎng)絡(luò)中的計算機等設(shè)備要實現(xiàn)互聯(lián)，就需要以一定的結(jié)構(gòu)方式進行連接，這種連接方式就叫做“拓撲結(jié)構(gòu)”，也就是說這些網(wǎng)絡(luò)設(shè)備如何連接在一起。在局域網(wǎng)中常用的拓撲結(jié)構(gòu)有星型結(jié)構(gòu)、環(huán)型結(jié)構(gòu)、網(wǎng)格型結(jié)構(gòu)。2 局域網(wǎng)硬件設(shè)備局域網(wǎng)組成里面包括網(wǎng)絡(luò)服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備、通信介質(zhì)、網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議。2.1網(wǎng)絡(luò)服務(wù)器網(wǎng)絡(luò)上可以根據(jù)需要配備不同數(shù)量的服務(wù)器，以提供各種服務(wù)。對于專門的服務(wù)器，其技術(shù)性能指標(biāo)主要有通信處理能力、內(nèi)存容量、硬盤容量、系統(tǒng)容錯能力、并發(fā)處理能力和高速緩存能力。從具體應(yīng)用角度看，網(wǎng)絡(luò)服務(wù)器可以分為應(yīng)用服務(wù)器、文件服務(wù)器、打印服務(wù)

7、器。根據(jù)用途不同，應(yīng)用服務(wù)器又可以分為web服務(wù)器、郵件服務(wù)器、數(shù)據(jù)庫服務(wù)器、通信服務(wù)器。2.2工作站工作站是指連接到網(wǎng)絡(luò)上并運行應(yīng)用程序的計算機，是數(shù)據(jù)處理的主要應(yīng)用場所。用戶通過工作站與網(wǎng)絡(luò)交換信息、共享網(wǎng)絡(luò)資源。工作站有幾種分類方法，例如可以根據(jù)有無外部存儲器（如硬盤），將工作站分為有盤工作站和無盤工作站等。2.3網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備是指用于網(wǎng)絡(luò)通信的設(shè)備，包括網(wǎng)絡(luò)接口卡、中繼器（repeater）、集線器（hub）、網(wǎng)橋（bridge）、交換機（switch）、路由器（router）、網(wǎng)關(guān)（gateway）、防火墻（firewall）等。2.4通信介質(zhì)通信介質(zhì)是網(wǎng)絡(luò)中信息傳輸?shù)妮d體，是網(wǎng)絡(luò)

8、通信的主要物理基礎(chǔ)，通信介質(zhì)的性能特點是對傳輸速率、通信距離、可連接的網(wǎng)絡(luò)節(jié)點數(shù)和數(shù)據(jù)傳輸?shù)目煽啃缘榷加泻艽蟮挠绊?。因此，必須根?jù)不同的通信要求和地理環(huán)境等因素合理的選擇通信介質(zhì)。局域網(wǎng)中常用的通信介質(zhì)有雙絞線、同軸電纜、光纜，以及微波、紅外線、藍牙等無線介質(zhì)。3 網(wǎng)絡(luò)組建3.1需求分析（1）實現(xiàn)公司內(nèi)部資源共享。（2）公司各部可以通過即時通信軟件聯(lián)系，建立公司郵件服務(wù)器。（3）打印機共享。（4）公司內(nèi)部要網(wǎng)絡(luò)接入internet。（5）架設(shè)公司web服務(wù)器，發(fā)布公司網(wǎng)站。（6）為保證安全，internet與公司內(nèi)部網(wǎng)絡(luò)間應(yīng)采用防護措施，防止外界對內(nèi)部網(wǎng)絡(luò)未經(jīng)授權(quán)的訪問。3.2網(wǎng)絡(luò)拓撲計算機網(wǎng)

9、絡(luò)的組成元素可以分為兩大類，即網(wǎng)絡(luò)節(jié)點（又可分為端節(jié)點和轉(zhuǎn)發(fā)節(jié)點）和通信鏈路，網(wǎng)絡(luò)中節(jié)點的互聯(lián)模式叫網(wǎng)絡(luò)的拓撲結(jié)構(gòu)。網(wǎng)絡(luò)拓撲定義了網(wǎng)絡(luò)中資源的連接方式，局域網(wǎng)中常用的拓撲結(jié)構(gòu)有：總線型結(jié)構(gòu)、環(huán)形結(jié)構(gòu)、星型結(jié)構(gòu)。由于企業(yè)局域網(wǎng)網(wǎng)絡(luò)站點不是特別的多，而且聯(lián)網(wǎng)的站點相對集中，因此我們采用星型的網(wǎng)絡(luò)拓撲。星型拓撲結(jié)構(gòu)是由通過點到點鏈路接到中央節(jié)點的各站點組成的。星型網(wǎng)絡(luò)中有一個唯一的轉(zhuǎn)發(fā)節(jié)點（中央節(jié)點），每一臺計算機都通過單獨的通信線路連接到中央節(jié)點。在星型拓撲中利用中央結(jié)點可方便地提供服務(wù)和重新配置網(wǎng)絡(luò)；單個連接點故障只會影響故障點連接的一個設(shè)備，不會影響全網(wǎng)，容易檢測隔離故障、便于維護；任何一個連

10、接只涉及到中央結(jié)點和一個站點，控制介質(zhì)訪問的方法很簡單，從而訪問協(xié)議也十分簡單。3.3網(wǎng)絡(luò)層次化設(shè)計網(wǎng)絡(luò)的設(shè)計模型主要包括層次化設(shè)計模型和非層次化設(shè)計模型兩種。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長，非層次化的網(wǎng)絡(luò)設(shè)計已經(jīng)不適合當(dāng)今企業(yè)的網(wǎng)絡(luò)應(yīng)用，由于非層次化網(wǎng)絡(luò)沒有適當(dāng)?shù)囊?guī)劃，網(wǎng)絡(luò)最終會發(fā)展成為非結(jié)構(gòu)的形式，這樣當(dāng)網(wǎng)絡(luò)設(shè)備之間相互通信時，設(shè)備上的cpu必然會承受相當(dāng)大的負載，不利于網(wǎng)絡(luò)的運行和發(fā)展，當(dāng)大量的數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時，容易引起線路擁堵甚至網(wǎng)絡(luò)的癱瘓。 所以我們選擇層次化的網(wǎng)絡(luò)設(shè)計。多層設(shè)計是模塊化的，網(wǎng)絡(luò)容量可隨著日后網(wǎng)絡(luò)節(jié)點的增加而不斷增大。多層次網(wǎng)絡(luò)有很大的確定性，因此在運行和

11、擴展過程中進行故障查找和排除非常簡單。多層模式使網(wǎng)絡(luò)的移植更為簡單易行，因為它保留著基于路由器和交換機的網(wǎng)絡(luò)原有的尋址方案，對以往的網(wǎng)絡(luò)有很好的兼容性。另外分層結(jié)構(gòu)也能夠?qū)W(wǎng)絡(luò)的故障進行很好的隔離。針對實際情況我們采用三層結(jié)構(gòu)模型，即核心層、分布層、接入層。每個層次有不同的功能。核心層作為整個網(wǎng)絡(luò)系統(tǒng)的核心，起主要功能是高速、可靠的進行數(shù)據(jù)交換。分布層主要進行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進行訪問控制。接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。主要進行vlan的換分、與分布層的連接等。3.3.1核心層設(shè)計核心層作為整個網(wǎng)絡(luò)系統(tǒng)的核心，其主要功能是高速、可靠的進行數(shù)據(jù)交換。核心交換區(qū)的作用是盡快

12、地提供所有的區(qū)域間的數(shù)據(jù)交換。所以推薦使用兩臺cisco catalyst 4506e交換機完成此項功能。cisco4506交換機高性能、高可靠性、高可用性是我們主要考慮的因素。本區(qū)的安全性可以由邊界防火墻提供，如果有需要，還可以在4506 上面部署安全策略，使得核心交換區(qū)的安全性進一步地增強。cisco catalyst 4500 系列憑借眾多智能服務(wù)將控制擴展到網(wǎng)絡(luò)邊緣，其中包括先進的服務(wù)質(zhì)量 (qos)、可預(yù)測性能、高級安全性和全面的管理。它提供帶集成永續(xù)性的出色控制，將永續(xù)性集成到硬件和軟件中，縮短了網(wǎng)絡(luò)停運時間。cisco catalyst 4500 系列的模塊化架構(gòu)、介質(zhì)靈活性和可

13、擴展性減少了重復(fù)運營開支，提高了投資回報（roi），從而在延長部署壽命的同時降低了擁有成本。方案中catalyst 4506 交換機配置了一塊ws-x4515 引擎(supervisor iv),catalyst 4500 supervisor iv 引擎用于cisco catalyst 4506 交換機機箱，是一款64gbps、4800 萬分組/秒(48mpps)的第二到四層交換引擎，直接在管理引擎面板上配備了2 個線速gbic 端口。當(dāng)部署了catalyst 4500 系列supervisor iv 時，這些附加端口可將catalyst4506 的最大密度擴展到240 個端口。添加了這款新

14、管理引擎后，catalyst 4506 可為中型企業(yè)提供價格合理、易于使用的可擴展性、創(chuàng)新安全性、集成可靠性和靈活性。3.3.2匯聚層設(shè)計匯聚層主要進行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進行訪問控制。包括訪問控制列表、vlan 路由等等。推薦采用兩臺cisco ws-c3750g-12s-e 作為匯聚交換機。兩臺cisco ws-c3750g-12s-e做雙機熱備，采用cisco專有熱備份協(xié)議技術(shù)（hsrp），根據(jù)需求配置成多組hsrp。這樣設(shè)計部不但保證網(wǎng)絡(luò)的高可用性和穩(wěn)定性，還能避免單臺核心設(shè)備的負載太重導(dǎo)致網(wǎng)絡(luò)性能問題。cisco catalyst 3750 系列交換機是一個創(chuàng)新的產(chǎn)品系

15、列，它結(jié)合業(yè)界領(lǐng)先的易用性和最高的冗余性，里程碑地提升了堆疊式交換機在局域網(wǎng)中的工作效率。這個新的產(chǎn)品系列采用了最新的思科stackwise 技術(shù)，不但實現(xiàn)高達32gbps 的堆疊互聯(lián)，還從物理上到邏輯上使若干獨立交換機在堆疊時集成在一起，便于用戶建立一個統(tǒng)一、高度靈活的交換系統(tǒng)-就好像是一整臺交換機一樣。這代表了堆疊式交換機新的工業(yè)技術(shù)水平和標(biāo)準(zhǔn)。對于中型企業(yè)網(wǎng)絡(luò)來說， cisco catalyst 3750 系列通過提供配置靈活性、支持融合網(wǎng)絡(luò)模式及自動進行智能網(wǎng)絡(luò)服務(wù)配置，簡化了融合應(yīng)用的部署，并可針對不斷變化的業(yè)務(wù)需求進行調(diào)整。此外，cisco catalyst 3750 系列針對高密

16、度千兆位以太網(wǎng)部署進行了優(yōu)化，包括多種交換機，以滿足接入、匯聚或小型網(wǎng)絡(luò)骨干連接需求。cisco catalyst 3750g-12s 提供12 個千兆位以太網(wǎng)sfp 端口用于連接數(shù)據(jù)中心和辦公樓的接入層交換機和中心核心機房的catalyst 4506 交換機。gec或fec（gigabit ethernet channel/fast ethernet channel）稱為cisco交換機帶寬聚合技術(shù)，它用于千兆或百兆以太網(wǎng)端口。在兩臺cisco交換機互連時，利用gec/fec技術(shù)，可以將2 條或多條物理鏈路捆綁成為一條更高帶寬的邏輯鏈路，在本方案中，cisco ws-c3750g-12s-e

17、之間用兩條千兆光纖相連，利用gec技術(shù)，我們可以得到一條全雙工4g 帶寬的鏈路。這樣不僅可以提高交換機之間的互連帶寬，更重要的是能夠在多條物理鏈路間提供容錯，使得任意一條線路斷掉不影響交換機之間的暢通。etherchannel基本配置命令：switch(config)#interface port-channel1switch (config)#switchport trunk encapsulation dot1qswitch (config)#switchport mode trunkswitch (config)#interface range interface-numberswitc

18、h (config-if-range)#channel-group group-id mode onswitch (config-if-range)#exithsrp基本配置命令：switch (config)#interface vlan vlan-numberswitch (config-if)#ip address ip-address switch (config-if)#standby vlan-id ip ip-addressswitch (config-if)#standby 10 priority 105switch (config-if)#standby 10 preempt

19、switch (config-if)#standby 10 track interface-idswitch (config-if)#exit3.3.3接入層設(shè)計接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。主要是進行vlan的劃分、與分布層的連接等等。建議接入層交換機采用思科的2960 系列智能以太網(wǎng)交換機以千兆以太鏈路和匯聚交換機相連接，并為用戶終端提供10/100m 自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。辦公系統(tǒng)所需的各種服務(wù)器如ftp服務(wù)器、郵件服務(wù)器、dhcp 服務(wù)器等組成服務(wù)器群，連接到匯聚交換機的千兆模塊上面,因此，內(nèi)部的局域網(wǎng)采用三層結(jié)構(gòu)組建。cisco cat

20、alyst 2960 系列智能以太網(wǎng)交換機是一個全新的、固定配置的獨立設(shè)備系列，提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，可為入門級企業(yè)、中型市場和分支機構(gòu)網(wǎng)絡(luò)提供增強lan 服務(wù)。catalyst 2960 系列具有集成安全特性，包括網(wǎng)絡(luò)準(zhǔn)入控制(nac)、高級服務(wù)質(zhì)量(qos)和永續(xù)性，可為網(wǎng)絡(luò)邊緣提供智能服務(wù)。憑借 cisco catalyst 2960 系列提供的廣泛安全特性，企業(yè)可保護重要信息，防止未授權(quán)人員接入網(wǎng)絡(luò)，確保私密性及維持不間斷運行。網(wǎng)絡(luò)總體拓撲如圖3-1所示：圖3-1 整體網(wǎng)絡(luò)拓撲圖3.3.4路由協(xié)議選擇為達到路由快速收斂、尋址以及方便網(wǎng)絡(luò)管理員管理的目的，我們采用動態(tài)路由協(xié)

21、議，目前較好的動態(tài)路由協(xié)議是ospf 協(xié)議和eigrp 協(xié)議，ospf 以協(xié)議標(biāo)準(zhǔn)化強，支持廠家多，受到廣泛應(yīng)用，而eigrp 協(xié)議由cisco 公司發(fā)明，只有cisco 公司自己的產(chǎn)品支持，屬于私有性質(zhì)，其他廠商設(shè)備是不支持的。考慮網(wǎng)絡(luò)的擴展性、數(shù)據(jù)資源的保護等原因，我們選擇ospf 路由協(xié)議。ospf 協(xié)議采用鏈路狀態(tài)協(xié)議算法，每個路由器維護一個相同的鏈路狀態(tài)數(shù)據(jù)庫，保存整個as 的拓撲結(jié)構(gòu)（as 不劃分情況下）。一旦每個路由器有了完整的鏈路狀態(tài)數(shù)據(jù)庫，該路由器就可以自己為根，構(gòu)造最短路徑樹，然后再根據(jù)最短路徑構(gòu)造路由表。對于大型的網(wǎng)絡(luò)，為了進一步減少路由協(xié)議通信流量，利于管理和計算。os

22、pf將整個as 劃分為若干個區(qū)域，區(qū)域內(nèi)的路由器維護一個相同的鏈路狀態(tài)數(shù)據(jù)庫，保存該區(qū)域的拓撲結(jié)構(gòu)。ospf 路由器相互間交換信息，但交換的信息不是路由，而是鏈路狀態(tài)。ospf 定義了5 種分組：hello分組用于建立和維護連接；數(shù)據(jù)庫描述分組初始化路由器的網(wǎng)絡(luò)拓撲數(shù)據(jù)庫；當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫中的某部分信息已經(jīng)過時后，路由器發(fā)送鏈路狀態(tài)請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來主動擴散自己的鏈路狀態(tài)數(shù)據(jù)庫或?qū)︽溌窢顟B(tài)請求分組進行響應(yīng)；由于ospf 直接運行在ip 層，協(xié)議本身要提供確認機制，鏈路狀態(tài)應(yīng)答分組是對鏈路狀態(tài)更新分組進行確認。相對于其它協(xié)議，ospf 有許多優(yōu)點。ospf

23、支持各種不同鑒別機制（如簡單口令驗證，md5 加密驗證等），并且允許各個系統(tǒng)或區(qū)域采用互不相同的鑒別機制；提供負載均衡功能，如果計算出到某個目的站有若干條費用相同的路由，ospf 路由器會把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送出去；在一個自治系統(tǒng)內(nèi)可劃分出若干個區(qū)域，每個區(qū)域根據(jù)自己的拓撲結(jié)構(gòu)計算最短路徑，這減少了ospf 路由實現(xiàn)的工作量；ospf 屬動態(tài)的自適應(yīng)協(xié)議，對于網(wǎng)絡(luò)的拓撲結(jié)構(gòu)變化可以迅速地做出反應(yīng)，進行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比，ospf在對網(wǎng)絡(luò)拓撲變化的處理過程中僅需要最少的通信流量；ospf 提供點到多點接口，支持

24、cidr（無類型域間路由）地址。公司現(xiàn)有網(wǎng)絡(luò)規(guī)劃為area0，內(nèi)部網(wǎng)絡(luò)設(shè)備都規(guī)劃為area0。后期若有分支機構(gòu)各區(qū)域接入路由器根據(jù)區(qū)域不同使用動態(tài)協(xié)議，或者使用靜態(tài)路由與動態(tài)路由結(jié)合的方式。3.4服務(wù)器群組3.4.1 ftp服務(wù)器ftp的全稱是file transfer protocol(文件傳輸協(xié)議)。顧名思義，就是專門用來傳輸文件的協(xié)議。企業(yè)的ftp服務(wù)主要是針對公司內(nèi)部一些日常辦公資料、軟件的共享而設(shè)置的，相當(dāng)于一個信息系統(tǒng)的大倉庫，僅公司內(nèi)部pc機可以訪問。ftp服務(wù)器操作系統(tǒng)采用windows server 2003，為了登陸方便，該ftp服務(wù)器采用匿名訪問方式，但是為了某些文件、數(shù)

25、據(jù)的安全性，各部門屬于不同的用戶組，對不同的用戶組設(shè)置相應(yīng)的上傳和下載的權(quán)限，具體權(quán)限根據(jù)公司各部門的職能來設(shè)定。另外，為了防止大部分員工同時訪問ftp服務(wù)器造成服務(wù)器癱瘓，還要設(shè)置最大訪問人數(shù)。若公司預(yù)算有限，也可不選用專門的服務(wù)器，而采用一臺配置相對較高的pc機裝上ftp服務(wù)器端軟件作為ftp服務(wù)器。serv-u是一種被廣泛運用的ftp服務(wù)器端軟件，支持3x/9x/me/nt/2k等全windows系列?？梢栽O(shè)定多個ftp服務(wù)器、限定登錄用戶的權(quán)限、登錄主目錄及空間大小等，功能非常完備。 它具有非常完備的安全特性，支持ssl ftp傳輸，支持在多個serv-u和ftp客戶端通過ssl加密連

26、接保護數(shù)據(jù)安全等。 3.4.2 dhcp服務(wù)器由于公司整個網(wǎng)絡(luò)節(jié)點較多，若是由網(wǎng)管人員分別為每臺pc機配置ip地址那將是一件非常麻煩的事，而且也不利于網(wǎng)絡(luò)ip地址的管理，所以我們采用dhcp服務(wù)器，為接入公司網(wǎng)絡(luò)的pc機自動分配ip地址。dhcp（dynamic host configuration protocol），即動態(tài)主機設(shè)置協(xié)議，是一個局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用udp協(xié)議工作。dhcp服務(wù)器的操作系統(tǒng)選擇windows server 2003。由于dhcp服務(wù)器與公司其他pc機在不同的vlan中，所以還需要在匯聚層交換機上配置dhcp中繼服務(wù)功能才能成功運行dhcp服務(wù)。3.4.3郵件服

27、務(wù)器電子郵件是互聯(lián)網(wǎng)最基本、但卻是最重要的組成部分，通過電子郵件進行方便快捷的信息交流已經(jīng)成為企業(yè)工作中不可或缺的工作習(xí)慣。企業(yè)郵箱一般以企業(yè)的域名作為郵箱后綴，既能體現(xiàn)公司的品牌和形象，還能使公司商業(yè)信函來往得到更好更安全的管理。常見的郵件服務(wù)器軟件有很多，例如：微軟 exchange server 、mdaemon server、winwebmail 、imail server等等。在這里我們選用微軟exchange server 2003作為服務(wù)器端軟件，該版本也是microsoft exchange server中應(yīng)用最廣泛，功能最穩(wěn)定的一個版本。exchange server 200

28、3常見的任務(wù)包括：備份與還原、建立新郵箱、恢復(fù)、移動、安裝新的硬件、存儲區(qū)、軟件和工具，以及應(yīng)用更新和修補程序等。新工具和改進的工具可幫助 網(wǎng)絡(luò)管理員更有效地完成工作。例如，一位管理人員可能需要恢復(fù)幾個月以前刪除的一封非常重要的舊電子郵件，通過使用“恢復(fù)存儲組”功能，管理員可以恢復(fù)個人用戶的郵箱，以便查找以前刪除的重要電子郵件。其他新的管理功能包括： 并行移動多個郵箱。 改進的消息跟蹤和 outlook 客戶端性能記錄功能。 增強的隊列查看器，它使用戶能夠從同一控制臺同時查看 smtp 和 x.400 隊列。 新的基于查詢的通訊組列表，它現(xiàn)在支持動態(tài)地實時查找成員。 此外，用于 microso

29、ft operations manager 的 exchange 管理包可自動監(jiān)視整個 exchange 環(huán)境，從而使用戶能夠?qū)?exchange 問題預(yù)先采取管理措施并快速予以解決。在部署exchange 2003郵件服務(wù)器之前，首先為公司申請合法的域名，建立域控服務(wù)器，打開“運行”對話框，輸入dcpromo命令，然后根據(jù)向?qū)?chuàng)建域控服務(wù)器。將公司內(nèi)的所有pc機加入該域。為了防止主域控服務(wù)器出現(xiàn)故障而導(dǎo)致通信故障和信息丟失，所以我們還需要一臺輔助域控。當(dāng)然，還需要在dns服務(wù)器中寫入記錄，這樣發(fā)出的郵件才知道去處。3.4.4 web服務(wù)器web服務(wù)器也稱為www(world wide web

30、)服務(wù)器，主要功能是提供網(wǎng)上信息瀏覽服務(wù)。本方案中web服務(wù)器主要是向外發(fā)布公司網(wǎng)站，時時更新公司以及證劵市場信息以供用戶網(wǎng)上參考。使用最多的 web server 服務(wù)器軟件有兩個：微軟的信息服務(wù)器（iis），和apache。本方案中，我們選擇linux作為web服務(wù)器的操作系統(tǒng)，所以服務(wù)器端軟件則用apache。apache是世界上用的最多的web服務(wù)器，市場占有率達60%左右,它源于ncsahttpd服務(wù)器。apache有多種產(chǎn)品，可以支持ssl技術(shù)，支持多個虛擬主機。它是以進程為基礎(chǔ)的結(jié)構(gòu)，進程要比線程消耗更多的系統(tǒng)開支。因為它是自由軟件，所以不斷有人來為它開發(fā)新的功能、新的特性、修改

31、原來的缺陷。apache的特點是簡單、速度快、性能穩(wěn)定，并可做代理服務(wù)器來使用。它的成功之處主要在于它的源代碼開放、有一支開放的開發(fā)隊伍、支持跨平臺的應(yīng)用(可以運行在幾乎所有的unix、windows、linux系統(tǒng)平臺上)以及它的可移植性等方面。4 網(wǎng)絡(luò)管理4.1 vlan技術(shù)vlan（virtual local area network）的中文名為“虛擬局域網(wǎng)”。vlan是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。vlan要為了解決交換機在進行局域網(wǎng)互連時無法限制廣播的問題。這種技術(shù)可以把一個lan劃分成多個邏輯的vlan，每個vlan是一個廣播域，v

32、lan內(nèi)的主機間通信就和在一個lan內(nèi)一樣，而vlan間則不能直接互通，這樣，廣播報文被限制在一個vlan內(nèi)，這樣就大大的增加了局域網(wǎng)內(nèi)部的信息安全性。將各部門劃屬不同的vlan，它們之間是不能通信的，這樣能有效避免部門間的越權(quán)訪問，特別是像資產(chǎn)管理部這樣的數(shù)據(jù)比較敏感的部門，對于那些與他不屬于一個vlan的電腦是無法訪問它的。同時，這樣還防止廣播風(fēng)暴的發(fā)生，避免過多廣播包占據(jù)帶寬造成網(wǎng)絡(luò)擁塞。另外，vlan為網(wǎng)絡(luò)管理帶來了很大的方便，將每個部門劃分為一個vlan，每個vlan內(nèi)的客戶終端需求是基本相似的，對于故障排查或者軟件升級等都比較方便，大大提高了網(wǎng)絡(luò)管理人員的工作效率。各個vlan之間

33、數(shù)據(jù)的傳輸，必須經(jīng)過trunk鏈路。trunk是一種封裝技術(shù)，它是一條點到點的鏈路，鏈路的兩端可以都是交換機，也可以是交換機和路由器。基于端口匯聚的功能，允許交換機與交換機、交換機與路由器、交換機與主機或路由之間通過兩個或多個端口并行連接同時傳輸以提供更高帶寬、更大吞吐量，大幅度提高整個網(wǎng)絡(luò)的能力。trunk端口一般為交換機和交換機之間的級聯(lián)端口，用于傳遞所有vlan信息。trunk鏈路配置命令：switch(config)#interface range interface-number switch (config-if-range)#switchport trunk encapsulat

34、ion dot1q /*封裝為dot1q類型*/switch (config-if-range)#switchport mode trunkswitch (config-if-range)#exitvlan技術(shù)中用到的協(xié)議有vtp(vlan trunking protocol),這是vlan中繼協(xié)議，也被稱為虛擬局域網(wǎng)干道協(xié)議。它是思科的專有協(xié)議，vtp可以減少vlan的相關(guān)人物管理。vtp基本配置命令：switch (vlan) # vtp domain domain-nameswitch (vlan) # vtp mode server/client/transparent/*選擇vtp模

35、式*/switch (vlan) # vtp password passwordswitch (vlan) #trunk on | off | desirable | auto | nonegotiate/*打開主干功能*/switch (vlan) # exitswitch (vlan)#vlan vlan-id name vlan-name/*創(chuàng)建一個vlan*/4.2訪問控制列表訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種

36、手段。訪問控制列表(acl)是應(yīng)用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。使用訪問控制列表不但能過濾通過路由器的數(shù)據(jù)包，而且也是控制網(wǎng)絡(luò)中數(shù)據(jù)流量的一個重要方法。訪問控制列表分為兩類，一個是標(biāo)準(zhǔn)訪問列表，一個是擴展訪問列表。標(biāo)準(zhǔn)訪問列表的編號是從199，它只使用數(shù)據(jù)包的源ip地址作為條件測試，只有允許或拒絕兩個操作，通常是對一個協(xié)議組產(chǎn)生作用，不區(qū)分ip流量類型。而編號100以上的稱作擴展訪問列表，它可測試ip包的第3層和第4層報頭中的其他字段，比標(biāo)準(zhǔn)訪問列表具有更多的匹配項，例如協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和ip優(yōu)先

37、級等。 標(biāo)準(zhǔn)訪問列表配置命令:router(config)#access-list access-list-number permit|deny source mask/*為訪問列表設(shè)置參數(shù),ip 標(biāo)準(zhǔn)訪問列表編號 1 到 99,缺省的通配符掩碼 = */router(config-if)#ip access-group access-list-number in | out /*在端口上應(yīng)用訪問列表,指明是進方向還是出方向*/擴展訪問列表配置命令:router(config)# access-list access-list-number permit | deny proto

38、col source source-wildcard operator port destination destination-wildcard operator- port established log/*為標(biāo)準(zhǔn)訪問列表設(shè)置參數(shù),可具體到某個端口,某種協(xié)議*/根據(jù)公司各部門的性質(zhì)，我們可根據(jù)需要在匯聚層的設(shè)備上配置訪問控制。如財務(wù)部、資產(chǎn)管理部信息數(shù)據(jù)機密度較高，我們就可以編寫訪問控制列表，禁止其它網(wǎng)段也就是其它vlan的用戶訪問這些部門的電腦，無論是以什么樣的形式，即使用標(biāo)準(zhǔn)訪問控制列表。當(dāng)然，寫完訪問列表后，要將其應(yīng)用在相應(yīng)的端口上。有的部門可能對信息的保密要求沒有那么高，那么就可以

39、使用擴展訪問列表，只對某一端口的數(shù)據(jù)進行控制，如telnet等。4.3防火墻飛速發(fā)展的信息時代，在殘酷競爭的市場，誰先掌握了信息誰就先掌握了契機，internet的迅猛發(fā)展?jié)M足了人們對信息的渴求，同時internet里也存在著許多不安全的因素，網(wǎng)絡(luò)信息的非法獲取、網(wǎng)絡(luò)體系的不期破壞等等，都將為企業(yè)帶來難以估計的損失，這時，防火墻以一個安全衛(wèi)士的身份應(yīng)運而生，實現(xiàn)著管理者的安全策略，有效地維護著企業(yè)保護網(wǎng)絡(luò)的安全。防火墻是目前應(yīng)用最廣、最具代表性的網(wǎng)絡(luò)安全技術(shù)，它分為硬件防火墻和軟件防火墻。硬件防火墻是把軟件嵌入到硬件中，由硬件執(zhí)行這些功能，這樣就減少了cpu的負擔(dān)，使路由更穩(wěn)定。軟件防火墻一般

40、只具有過濾包的作用，而硬件防火墻的功能則要強大的多，它還包括cf（內(nèi)容過濾）、ids（入侵偵測）、ips（入侵防護）以及vpn等功能。硬件防火墻一般使用經(jīng)過內(nèi)核編譯后的linux，憑借linux本身的高可靠性和穩(wěn)定性保證了防火墻整體的穩(wěn)定性。防火墻主要由服務(wù)訪問政策、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)四部分組成。我們在核心層路由器與internet之間配置一臺硬件防火墻，這樣，所有進出網(wǎng)絡(luò)的數(shù)據(jù)都要通過防火墻，而該防火墻應(yīng)具有以下的功能：（1）包過濾：控制流出和流入的網(wǎng)絡(luò)數(shù)據(jù)，可基于源地址、源端口、目的地址、目的端口、協(xié)議和時間，根據(jù)地址簿進行設(shè)置規(guī)則。（2）地址轉(zhuǎn)換：將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的ip地址轉(zhuǎn)

41、換，可分為源地址轉(zhuǎn)換source nat(snat)和目的地址轉(zhuǎn)換destination nat(dnat)。snat用于對內(nèi)部網(wǎng)絡(luò)地址進行轉(zhuǎn)換，對外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來自外部其他網(wǎng)絡(luò)的非授權(quán)訪問或惡意攻擊。并將有限的ip地址動態(tài)或靜態(tài)的與內(nèi)部ip地址對應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。dnat主要用于外網(wǎng)主機訪問內(nèi)網(wǎng)主機。（3）認證和應(yīng)用代理：認證指防火墻對訪問網(wǎng)絡(luò)者合法身份的確定。代理指防火墻內(nèi)置用戶認證數(shù)據(jù)庫;提供http、ftp和smtp代理功能，并可對這三種協(xié)議進行訪問控制。同時支持url過濾功能，防止員工在上班時間訪問某些網(wǎng)站，影響工作效率。

42、（4）透明和路由：將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服務(wù)進行幾乎透明的訪問，同時阻止了外部未授權(quán)訪問者對專用網(wǎng)絡(luò)的非法訪問;防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個子網(wǎng)之間的安全訪問。（5）入侵檢測：思科的asa5505-sec-bun-k9防火墻是為中小型企業(yè)設(shè)計的一款產(chǎn)品，它集高安全性和高可擴展性于一身，能夠?qū)Σ《?、垃圾郵件、非授權(quán)訪問等進行實時監(jiān)控，并提供vpn服務(wù)，為用戶提供全面的保護。它構(gòu)建于ciscopix安全設(shè)備系列的基礎(chǔ)之上，能夠提供內(nèi)部網(wǎng)到內(nèi)部網(wǎng)和遠程接入到內(nèi)部網(wǎng)兩種安全保護，可以防御互聯(lián)網(wǎng)中的病毒、間諜軟件的攻擊，并可阻止垃圾郵

43、件和非法連接，在提供安全網(wǎng)絡(luò)環(huán)境的同時，也提高了員工的工作效率，為公司創(chuàng)造更高的經(jīng)濟效益。4.4 vpn公司員工可能需要經(jīng)常出差或者在外辦公，需要通過公網(wǎng)訪問公司網(wǎng)絡(luò)，這時數(shù)據(jù)在公網(wǎng)上傳播就很不安全，所以我們需要一條專門的通道來安全傳輸信息，這就是vpn（虛擬專用網(wǎng)）。vpn被定義為通過一個公共網(wǎng)絡(luò)建立一個臨時的、安全的連接，是一條穿過混亂的公共網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用可以幫助運程用戶、公司分支機構(gòu)、商業(yè)伙伴及移動辦公用戶的內(nèi)部網(wǎng)絡(luò)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。一個企業(yè)的虛擬專用網(wǎng)解決方案也將大幅度減少用戶花費在城域網(wǎng)和遠程網(wǎng)絡(luò)連接上的費用。

44、vpn業(yè)務(wù)都是基于隧道技術(shù)實現(xiàn)的，隧道機制是vpn實施的關(guān)鍵。數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。vpn的隧道技術(shù)就是數(shù)據(jù)包不是公開在網(wǎng)上傳輸，而是首先進行加密以確保安全，然后由vpn封裝成ip包的形式，通過隧道在網(wǎng)上傳輸。源網(wǎng)絡(luò)的vpn隧道發(fā)起器與目標(biāo)網(wǎng)絡(luò)上的vpn隧道發(fā)起器進行通信。兩者就加密方案達成一致，然后隧道發(fā)起器對包進行加密，確保安全（為了加強安全，應(yīng)采用驗證過程，以確保連接用戶擁有進入目標(biāo)網(wǎng)絡(luò)的相應(yīng)的權(quán)限。大多數(shù)現(xiàn)有的vpn產(chǎn)品支持多種驗證方式）。最后，vpn發(fā)起器將整個加密包封裝成ip包?，F(xiàn)在不管原先傳輸?shù)氖呛畏N協(xié)議，它都能在純ip因特網(wǎng)上傳輸。又因為包進行了加密，所以

45、誰也無法讀取原始數(shù)據(jù)。在目標(biāo)網(wǎng)絡(luò)這頭，vpn隧道終結(jié)器收到包后去掉ip信息，然后根據(jù)達成一致的加密方案對包進行解密，將隨后獲得的包發(fā)給遠程接入服務(wù)器或本地路由器，他們在把隱藏的ipx包發(fā)到網(wǎng)絡(luò)，最終發(fā)往相應(yīng)目的地。vpn主要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認證技術(shù)，如圖4-1所示。圖4-1 vpn原理示意圖 在本方案中，我們采用ip-vpn技術(shù)。ip-vpn是指在運行ip協(xié)議的網(wǎng)絡(luò)上實現(xiàn)vpn。該vpn技術(shù)的實現(xiàn)是通過隧道（tunnel）進行連接，隧道技術(shù)通過軟件“疊加”在物理網(wǎng)絡(luò)上這也是vpn”虛擬特征的體現(xiàn)。借助隧道vpn，還能夠使用內(nèi)部網(wǎng)絡(luò)中采用的安全和優(yōu)先策略，

46、使我們能夠完全控制數(shù)據(jù)流，隧道提供了一層名副其實的安全保障。目前各種vpn安全協(xié)議中，ipsec的保密性是最好的。ipsec使用了ipsec隧道模式，在這種隧道模式中，用戶的數(shù)據(jù)包加密后，封裝進新的ip。這樣在新的數(shù)據(jù)包中，分別以開通器和終端器的地址掩蔽用戶和宿主服務(wù)器的地址。我們選用的asa5500系列防火墻具有vpn功能，所以不需要額外購買vpn設(shè)備。利用ciscoasa5500系列，不需要增加成本，也不需要提高設(shè)計、部署或運作的復(fù)雜性，就能夠?qū)⒃L問控制、應(yīng)用檢測和威脅防御作為vpn解決方案的一部分。管理員只需制定一個網(wǎng)絡(luò)策略，就可以既提高安全性，又保持網(wǎng)絡(luò)環(huán)境的可訪問性。5 網(wǎng)絡(luò)維護5.1網(wǎng)絡(luò)故障排除的目的網(wǎng)絡(luò)故障診斷和排除應(yīng)該實現(xiàn)三方面的目的：一是確定故障原因，恢復(fù)網(wǎng)絡(luò)的正常運行；二是找出網(wǎng)絡(luò)規(guī)劃和配置的缺點，改善和優(yōu)化網(wǎng)絡(luò)性能；三是觀察網(wǎng)絡(luò)的運行狀況，檢測網(wǎng)絡(luò)通信質(zhì)量并進行改進。同時要注意，網(wǎng)絡(luò)故障的診斷和排除是一個綜合活動，需要同時運用相關(guān)的軟件知識和硬件知識來整體思考，并設(shè)計做出相應(yīng)的解決方法來排除故障，恢復(fù)網(wǎng)絡(luò)的正常高效運行。5.2故障診斷與排除的基本過程（1）了解故障現(xiàn)象。在排除故障之前，需要確切了解到底網(wǎng)絡(luò)出現(xiàn)了什么故障現(xiàn)象，比如不能連接其他計算機、不能上網(wǎng)、單臺還是多臺出現(xiàn)故障、以前是否出現(xiàn)過故障、最近正常運行的時間等。（2）對故障現(xiàn)象進行詳細檢測