計算機畢業(yè)論文--路由交換方向

1、<p><b>　　?？粕厴I(yè)設計 </b></p><p>　　網 絡 工 程 </p><p><b>　　路由交換方向</b></p><p><b>　　摘 要</b></p><p>　　隨著計算機及通信技術的飛躍發(fā)展，企業(yè)內部管理的網絡化及信息

2、化成為一種必然的發(fā)展趨勢。在21世紀這個真正的完全體的經濟全球化、信息全球化的時代中，計算機網絡也不可避免的對人們的工作、學習、生活以及思維方式都產生了強大的影響。隨著科學技術的不斷發(fā)展，計算機網絡技術也得了更大的提升空間，與此同時也為計算機網絡技術帶來了新的挑戰(zhàn)，對網絡工程的結構以及規(guī)劃也提出了新的要求，帶來了新的發(fā)展方向。</p><p>　　在隨著互聯網的蓬勃發(fā)展中，其巨大的潛力已經逐漸的體現出來，一些互聯

3、企業(yè)、新興企業(yè)已經認識到涉足傳統(tǒng)產業(yè)已經取得不了不菲的成績，而轉占互聯網絡，進入互聯網絡的高軌中，無論是對企業(yè)利用內外部網絡進行有效的管理，提高管理效率，還是利用互聯網在傳播和獲取信息上的優(yōu)勢以及運用網絡概念多次融資，并利用網絡優(yōu)勢通過并購的方式切入服務行業(yè)的攜程，都有著重要的意義。因此，企業(yè)的計算機網絡建設是企業(yè)信息化發(fā)展的必然選擇，也是企業(yè)經濟長久發(fā)展的首要選擇。而一個龐大的企業(yè)網絡系統(tǒng)不僅能為企業(yè)提供企業(yè)現代化、綜合信息管理和辦公

4、自動化等一系列應用基本操作平臺外，還能提供多種應用服務，使信息能及時、準確地傳送給各個系統(tǒng)，并能滿足企業(yè)的日后發(fā)展。而企業(yè)的計算機網絡建設主要應用了網絡技術的重要分支局域網技術的建設與管理，因此，本畢業(yè)設計課題將主要以中小型企業(yè)為基準組建中小企業(yè)局域網絡建設可能用到的各種技術及實施方案為設計方向，為中小企業(yè)網絡建設提供理論依據和實踐指導。</p><p>　　全套課題共分11章，主要解決企業(yè)局域網內部以及企業(yè)局域

5、網之間的安全高效互聯，及路由、交換技術。</p><p>　　關鍵詞：局域網絡開發(fā)建設；VPN安全機制；路由、交換技術；網絡安全技術；系統(tǒng)操作管理；</p><p><b>　　ABSTRACT</b></p><p>　　Along with the computer and communication technology, the rap

6、id development of enterprise internal management of networked and informatization has become a necessity trend of development. In 21st century, the real finish all the economic globalization, information the era of globa

7、lization, the computer network also inevitable for people's work, study and life and way of thinking has a powerful influence. Along with the development of science and technology, computer network technology also go

8、t m</p><p>　　With the vigorous development of the Internet, its tremendous potential has gradually come out now, some Internet enterprise, emerging enterprise has already realized dabbling in the traditional

9、 industry has made no significant achievement, and turned into account for the Internet, the Internet, both on high rail of internal and external enterprises using the effective management of the network, improve the eff

10、iciency of management, or using the Internet in spreading and acquire information and </p><p>　　Full subject is divided into chapter 11, mainly to solve enterprise LAN internal and enterprise LAN security an

11、d efficiency between interconnected, and routing, exchange technology.</p><p>　　Key words：LAN development and construction; VPN security mechanism; Routers, switches, technology; Network security technology;

12、 System operation management;</p><p><b>　　目 錄</b></p><p>　　第1章 引 言1</p><p>　　第2章 需求分析1</p><p>　　2.1 項目背景1</p><p>　　2.2 需求分析2</p>

13、<p>　　第3章 網絡總體建設目標2</p><p>　　3.1 項目建設目標2</p><p>　　3.2網絡設計原則3</p><p>　　3.3網絡及系統(tǒng)建設內容與要求3</p><p>　　第4章 網絡總體設計4</p><p><b>　　4.1背景4</b&g

14、t;</p><p>　　4.2 預見網絡拓撲描述4</p><p>　　4.2.1 全局拓撲圖4</p><p>　　4.2.2 總部拓撲圖5</p><p>　　4.2.3 分部拓撲圖6</p><p>　　4.3 網絡層次化設計6</p><p>　　4.3.1 核心層設計6&

15、lt;/p><p>　　4.3.2 匯聚層設計6</p><p>　　4.3.3 接入層設計7</p><p>　　第5章 路由交換設計7</p><p>　　5.1 路由協議選擇7</p><p>　　5.2 路由規(guī)劃拓撲圖8</p><p>　　5.3 IP地址規(guī)劃8</p&

16、gt;<p>　　5.3.1總部IP地址規(guī)劃：9</p><p>　　5.3.2分部IP地址規(guī)劃：9</p><p>　　第6章 網絡安全解決方案10</p><p>　　6.1 網絡邊界安全威脅分析10</p><p>　　6.2 網絡內部安全威脅分析11</p><p>　　6.3 安全產

17、品選型原則11</p><p>　　第7章 網絡技術介紹11</p><p>　　7.1 VLAN技術：12</p><p>　　7.1.1使用VLAN技術的優(yōu)勢：12</p><p>　　7.1.2 VLAN劃分12</p><p>　　7.2 VTP技術：13</p><p>

18、　　7.2.1 VTP有三種工作模式：VTPServer、VTPClient和VTPTransparent。13</p><p>　　7.2.2使用VTP技術的優(yōu)勢：13</p><p>　　7.3 STP生成樹協議：13</p><p>　　7.3.1使用STP協議的優(yōu)勢：13</p><p>　　7.4 EthernetChann

19、el：13</p><p>　　7.4.1以太通道的特點：14</p><p>　　7.4.2 使用Etherchannel的優(yōu)勢：14</p><p>　　7.4.3以太通道的特點：14</p><p>　　7.4.4 以太通道的規(guī)則：參與捆綁的端口必須屬于同一個VLAN，或者都是中繼模式14</p><p&g

20、t;　　7.5 Trunk技術14</p><p>　　7.6 HSRP路由熱備份：14</p><p>　　7.6.1 使用HSRP的優(yōu)勢：15</p><p>　　7.7 DHCP：15</p><p>　　7.8 VPN技術：15</p><p>　　7.8.1 Site-to-Site VPN16&

21、lt;/p><p>　　7.8.2 Easy VPN16</p><p>　　7.9 QOS技術：16</p><p>　　7.9.1 QOS的服務模型有三種常見模式：16</p><p>　　7.10 NAT技術：17</p><p>　　7.10.1 NAT的類型有：17</p><p&g

22、t;　　7.10.2使用靜態(tài)NAT技術到的優(yōu)勢：17</p><p>　　7.11 ACL訪問控制列表17</p><p>　　7.11.1 ACL的分類：18</p><p>　　7.11.2 ACL的特點：18</p><p>　　7.12 IOS防火墻:18</p><p>　　7.13 OSPF協議

23、19</p><p>　　7.13.1 OSPF協議的優(yōu)點：20</p><p>　　7.13.2 OSPF的網絡類型20</p><p>　　第8章 設備簡介21</p><p>　　8.1 路由器21</p><p>　　8.2 交換機22</p><p>　　8.2.1 三層交

24、換機22</p><p>　　8.2.2二層交換機：23</p><p>　　8.3 服務器24</p><p>　　8.3.1聯想萬全R52024</p><p>　　8.3.2惠普ProLiant25</p><p>　　8.4 備份緩存：26</p><p>　　8.5 UPS

25、電源：27</p><p>　　8.6 PC機：27</p><p>　　8.7 筆記本電腦：28</p><p>　　8.8 打印機：29</p><p>　　8.9 傳真機：29</p><p>　　8.10 IP電話：30</p><p>　　8.11 煙霧防火報警器：31&

26、lt;/p><p>　　8.12 網絡硬盤錄像機：31</p><p>　　8.13 監(jiān)視器：32</p><p>　　8.14 監(jiān)控攝像：32</p><p>　　8.15 集團電話：33</p><p>　　第9章 服務器設計35</p><p>　　9.1 DNS服務器35<

27、;/p><p>　　9.2 Apache 服務器35</p><p>　　9.3 Sendmail 服務器36</p><p>　　9.4 FTP服務器37</p><p>　　9.5 DHCP服務器37</p><p>　　第10章 項目實施計劃37</p><p>　　10.1 項目

28、實施計劃和周期37</p><p>　　10.1.1項目實施計劃：37</p><p>　　10.1．2基本環(huán)境要求39</p><p>　　10.1.3 我方人員行為規(guī)范39</p><p>　　10.1.4 工程合格規(guī)范39</p><p>　　10.2 售后服務39</p><p&

29、gt;　　10.2.1售后服務細則：39</p><p>　　10.2.2售后服務工作的劃歸39</p><p>　　10.2.3售后服務的管理人員的資格39</p><p>　　10.2.4資料存檔39</p><p>　　10.2.5建立聯系制度40</p><p>　　10.2.6建立定期檢查和回訪制度

30、，制定回訪聯系單40</p><p>　　結 束 語41</p><p>　　參 考 文 獻42</p><p><b>　　致 謝43</b></p><p><b>　　引 言</b></p><p>　　隨著全球性的計算機互聯網絡的迅速發(fā)展和普及

31、，越來越多的企業(yè)都認識到網絡改變了整個信息產業(yè)的面貌，改變了整個經濟體制結構的變化，也從根本上加強促進了群體工作成員之間的信息交流、資源共享、科學計算及技術合作等，進而推進了教育、科研及經濟生產的發(fā)展。隨之網絡技術及網絡互聯平臺也在企業(yè)的殘酷競爭中脫穎而出，計算機網絡規(guī)模不斷擴大，網絡結構日益復雜，計算機網絡和計算機應用系統(tǒng)的正常運行對網絡安全提出了更高的要求。信息安全防范應作整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網絡、系統(tǒng)、應用、

32、數據、數據做全面的防范。信息安全防范體系顯示安全防范是一個動態(tài)過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終。</p><p>　　XX公司是一家即將成立的新型的制造企業(yè)，在企業(yè)內部實現資源高度共享，為生產、辦公、管理提供服；實現辦公自動化，提供總部與分部、分部、與分部之間通迅的出入口，提高工作效率和管理水平；及時、準確、可靠地收集、處理、存儲、傳輸企業(yè)的辦公、管理信息，實現企業(yè)資源和

33、社會資源的有機結合；實現音頻數字化資源共享、集中管理；建立企業(yè)網絡管理應用系統(tǒng)。以順應時代的發(fā)展趨勢，充分利用現代化技術來進一步提高管理質量和辦公效率。</p><p><b>　　需求分析</b></p><p><b>　　2.1 項目背景</b></p><p>　　XX公司是一家即將成立的新型制造工廠，網絡平臺建設

34、為總部和五個外設分部共六個網絡互聯平臺建設?？偛吭O計用戶節(jié)點數為1000，各個分部地為10-50個用戶。需要“建立一個設計規(guī)范、功能完備、性能優(yōu)良、安全可靠、技術先進和實用性、兼容性、冗余、容錯性、有良好的擴展性與可用性并且具備可管理易維護的網絡及系統(tǒng)平臺，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率”。</p><p><b>　　2.2 需求分析</b></p&g

35、t;<p>　　本項目的網絡可以劃分成XX公司總部為數據中心，及5個分部網絡。需要設計網絡架構、IP地址架構、系統(tǒng)架構。</p><p>　　其中，XX公司總部為數據中心，核心交換區(qū)，交易所接入等。數據中心作為網絡互通的存放地，其性能、穩(wěn)定性、安全性，、可靠性的要求最高，因此我們在設計的時候，應該考慮到這些要求。而核心交換區(qū)的功能是高速可靠地交換數據，因此該部分的設計應考慮性能和可靠性的平衡。交易所

36、接入作為外聯單位接入區(qū)域，其安全性應該是放在第一位，同時，網絡互通離不開交易所的連接，因此也應該考慮冗余性。</p><p>　　XX公司總部辦公網絡作為內部互聯單位，可信度較高，用WEB、FTP、E-MAIL、DNS、DHCP等內部服務器為員工提供內部信息，外部使用RAS服務器提供漫游員工所使用的信息。對于有些部門還要屏蔽一些網絡訪問（如聊天工具、種菜站點）等。因此其內部網絡的可用性是首先考慮的因素?？紤]到網絡

37、的安全性和可靠性，分部所需求的信息，都是由總部發(fā)起的。分部訪問外網和總部采用VPN技術，通過VPN隧道保證傳送信息的安全。</p><p>　　而XX公司總部與外網連接的，需要考慮其可訪問性。INTERNET用戶接入，需要考慮安全性和冗余性。當前的網絡管理范疇比較廣，包括設備管理、資源管理、故障管理、性能管理、安全管理等。在網絡規(guī)模相對較大的時候，合適的網絡系統(tǒng)可以幫助用戶方便管理網絡內的設備及運行情況，以提高網

38、絡的運行效率。</p><p><b>　　網絡總體建設目標</b></p><p>　　3.1 項目建設目標</p><p>　　XX公司網絡項目工程的建設目標：</p><p>　　建立一個設計規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴展性與可用性并且具備可管理易維護的網絡及系統(tǒng)平臺，以高效率，高速度，低成本的方

39、式提高公司員工的工作效率與執(zhí)行效率。</p><p>　　工程項目完成后，網絡平臺總部內有大型服務器提供服務，外接分支機構網絡平臺的設計用戶節(jié)點數，要求這些用戶和總部之間 能夠 高速連接并且保證與總部通信的可靠性和可行性。</p><p>　　同時要求總部內部安全機制能夠提高。保證內網安全同時保證各臺服務器的安全。</p><p><b>　　3.2網絡設

40、計原則</b></p><p>　　作為一家優(yōu)秀的系統(tǒng)集成商，向用戶提供的不僅僅是設備，而是整套的技術與服務。我們始終堅持“高標準，高性能”的原則。在方案設計時，我們將嚴格遵循以下設計原則：</p><p>　　高可靠性----網絡系統(tǒng)的穩(wěn)定性是應用系統(tǒng)正常運行的關鍵保證，在網絡設計中選用高可靠性網絡產品，合理設計網絡結構，制定可靠地網絡備份策略，保證網絡具有故障自愈的能力，最

41、大限制地支持各個系統(tǒng)的正常運行。</p><p>　　靈活性及可擴展性-----根據未來業(yè)務的增長和變化，網絡可以平滑地擴展和升級，最大限制地減少對網絡架構和設備的調整。</p><p>　　高性能-----承載網絡性能是網絡通訊系統(tǒng)良好運行的基礎，設計中心必須保障網絡及設備的高吞吐能力，保證各種信息（數據，語音，圖像）的高質量傳輸，才能使網絡不成為各項業(yè)務開展的瓶頸。</p>

42、<p>　　性價比高----網絡方案的設計必須充分考慮投資保護。</p><p>　　3.3網絡及系統(tǒng)建設內容與要求</p><p>　　我們把整個網絡分為內部交換網絡設計、網絡出口設計，網絡安全設計三大部分：</p><p>　　對于內部交換網絡我們采用傳統(tǒng)分層設計。內部交換網絡分成核心層、匯聚層和接入層三大部分。</p><p&

43、gt;　　核心層作為整個網絡系統(tǒng)的核心，其主要功能是高速、可靠的進行數據交換。為加速數據的快速轉發(fā)，我們在核心層采用以太通道技術，增加網絡帶寬，提高數據轉發(fā)效率。為提高網絡鏈路的冗余性，解決局域網中的網絡中斷問題，采用HSRP路由熱備份技術進行熱備，STP技術，保證鏈路的冗余性等，使用VLAN技術進行虛擬局域網的劃分，保證網絡的高效。</p><p>　　匯聚層為接入層提供基于策略的連接,如地址合并,協議過濾,路

44、由服務,認證管理等.通過網段劃分(如VLAN)與網絡隔離可以防止某些網段的問題蔓延和影響到核心層。匯聚層同時也可以提供接入層虛擬網之間的互連,控制和限制接入層對核心層的訪問,保證核心層的安全和穩(wěn)定，因此在匯聚層使用VALN技術進行虛擬局域網的劃分，為了保證鏈路的冗余性采用STP技術。</p><p>　　接入層主要提供最終用戶接入網絡的途徑。主要進行vlan的劃分等。</p><p>　　

45、對于邊界網絡，網絡的安全是一個需要考慮的重要因素，所以應部署相應的安全策略以防止黑客攻擊，邊界設備的冗余設計也是需要考慮的，防止單點故障。因此，除了在選擇設備是考慮安全機制因素外，還在總部與分部間使用VPN技術，來保障局域網與局域網之間互訪的可靠性和高效性。</p><p>　　對于服務器，采用Raid5磁盤陣列，數據除第一次用完全備份后，以后每天做增量備份，備份的的服務器或設備單獨放置其他全安地點。</p

46、><p><b>　　網絡總體設計</b></p><p><b>　　4.1背景</b></p><p>　　XX公司是一家即將成立的新型制造工廠，網絡平臺建設為總部和五個外設分部共六個網絡互聯平臺建設。總部設計用戶節(jié)點數為1000，各個分部地為10-50個用戶。需要“建立一個設計規(guī)范、功能完備、性能優(yōu)良、安全可靠、技術先進

47、和實用性、兼容性、冗余、容錯性、有良好的擴展性與可用性并且具備可管理易維護的網絡及系統(tǒng)平臺，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率”。</p><p>　　4.2 預見網絡拓撲描述</p><p>　　4.2.1 全局拓撲圖</p><p>　　4.2.2 總部拓撲圖</p><p>　　4.2.3 分部拓撲圖<

48、/p><p>　　4.3 網絡層次化設計</p><p>　　根據XX公司的實際情況，我們把整個網絡分為局域網絡設計、網絡安全設計和Internet網絡互聯設計幾大部分。在局域網絡設計中采取分層網絡設計。其分層網絡主要包括核心層、分布層和接入層三大部分。</p><p><b>　　核心層</b></p><p>　　核心層

49、作為整個網絡系統(tǒng)的核心，其主要功能是高速、可靠的進行數據交換。所以在設計時首要目標是追求高速，其次才考慮系統(tǒng)開銷較大的功能。</p><p><b>　　分布層</b></p><p>　　分布層主要進行接入層的數據流量匯聚，并對數據流量進行訪問控制。同時，分布層是核心層的邊界，它將影響核心層高速的因素局限在一個較小的范圍，處理工作組訪問，定義廣播/組播域等。<

50、/p><p><b>　　接入層</b></p><p>　　接入層主要提供最終用戶接入網絡的途徑。主要是進行vlan的劃分、與分布層的連接等</p><p>　　4.3.1 核心層設計</p><p>　　核心交換區(qū)的作用是盡快地提供所有區(qū)域的數據交換。因此我們推薦核心層采用兩臺Cisco WS-C3560G-24TS-S

51、三層千兆交換機，以實現路由熱備、鏈路聚合、冗余和負載均衡以及實現VLAN技術。</p><p>　　4.3.2 匯聚層設計</p><p>　　匯聚層是連接接入層和核心層的網絡設備，為接入層提供數據的匯聚、傳輸、管理、分發(fā)處理.匯聚層為接入層提供基于策略的連接，如地址合并，協議過濾，路由服務。認證管理等.通過網段劃分(如VLAN)與網絡隔離可以防止某些網段的問題蔓延和影響到核心層。匯聚層同

52、時也可以提供接入層虛擬網之間的互連,控制和限制接入層對核心層的訪問,保證核心層的安全和穩(wěn)定。因此在這項設計中我們將采用Cisco Catalyst 2950T-24作為匯聚層的交換機，用于實現VLAN技術劃分多個虛擬局域網，保障網絡的高效；實現STP技術在達到交換機間的冗余連接的同時，避免網絡環(huán)路的出現；實現VTP技術防止不需要的廣播信息從一個VLAN泛洪到VTP域中所有的中繼鏈路。</p><p>　　4.3.

53、3 接入層設計</p><p>　　接入層是指網絡中直接面向用戶連接或訪問的部分。接入層目的是允許終端用戶連接到網絡，因此接入層交換機具有低成本和高端口密度特性。在本網絡中接入為各個分公司的交換機，因為分公司的所有數據流都必須經過它來傳輸所以它同樣要求具備高穩(wěn)定性和高可靠性。根據XX公司總部與分部網絡節(jié)點數的實際情況，在XX公司總部局域網的設計中，接入層采用Cisco WS-C2960G-48TC-L交換機，而在

54、各分部的局域網接入層中則采用Cisco WS-C2960-24TC-L交換機，VLAN技術劃分多個虛擬局域網，保障網絡的高效；實現STP技術在達到交換機間的冗余連接的同時，避免網絡環(huán)路的出現；實現VTP技術防止不需要的廣播信息從一個VLAN泛洪到VTP域中所有的中繼鏈路。</p><p><b>　　路由交換設計</b></p><p>　　5.1 路由協議選擇<

55、;/p><p>　　為了達到路由快速收斂、尋址以及方便網絡管理員管理的目的，我建議采用動態(tài)路由協議，目前較好的動態(tài)路由協議是OSPF協議和EIGRP協議，OSPF以協議標準化強，支持廠家多，受到廣泛應用，而EIGRP協議由Cisco公司發(fā)明，只有Cisco公司自己的產品支持，屬于私有性質，其他廠商設備不支持?？紤]網絡的擴展性、公開性、投資的保護等原因，建議采用OSPF路由協議和靜態(tài)路由相結合的路由方式。</p&

56、gt;<p>　　給予OSPF協議的特質，XX公司總部規(guī)劃為area0，內部網絡設備都規(guī)劃為area0。各區(qū)域接入路由器根據區(qū)域不同使用動態(tài)協議，或者靜態(tài)協議。各個分部分別規(guī)劃為area1-5區(qū)域。</p><p>　　5.2 路由規(guī)劃拓撲圖</p><p>　　5.3 IP地址規(guī)劃</p><p>　　IP地址規(guī)劃在網絡設計中的作用舉足輕重。直接影響

57、整個網絡運營的效率。IP地址設計的總原則是簡單、易管理、以擴展。</p><p>　　IP地址是TCP/IP協議中的網絡層邏輯地址，它被用來唯一地標識網絡中的一個節(jié)點。IP地址空間的分配，要與網絡層次結構相適應，既要有效利用地址空間，又要體現出網絡的可擴展性和靈活性，同時能滿足路由協議的要求，提高路由算法的效率，加快路由變化的收斂速度。</p><p>　　5.3.1總部IP地址規(guī)劃：&l

58、t;/p><p>　　5.3.2分部IP地址規(guī)劃：</p><p>　　其他分部IP地址規(guī)劃方法同上。</p><p><b>　　網絡安全解決方案</b></p><p>　　通過對該項目的要求分析,我們在網絡安全方面主要考慮的問題如下:</p><p>　　1、必須考慮這個方案的安全性和穩(wěn)定性、可

59、管理性和維護性，以及能夠滿足未來網絡發(fā)展的需要。</p><p>　　2、目前網絡地址（總部和分部）已經統(tǒng)一規(guī)劃，不能更改。VPN建設不能和原來的專線網絡建設發(fā)生沖突。</p><p>　　3、對于分部的網絡，采用路由器和VPN隧道技術，實現和總部網絡互通。</p><p>　　6.1 網絡邊界安全威脅分析</p><p>　　網絡的邊界隔離

60、著不同功能或地域的多個網絡區(qū)域，由于各功能不同，相連網絡的密集也不同，這樣的網絡直接相連，必然存在危險，下面就是對該項目網絡邊界安全問題的分析。</p><p>　　1、XX公司總部網絡與各級單元的連接，可能遭到來自各地的越權訪問、惡意攻擊和計算機病毒的入侵。</p><p>　　2、內部的各個功能網絡通過骨干交換相互連接，這樣重要的部門或專網將遭到來自其他部門的越權訪問。這些越權訪問可能

61、包括惡意的攻擊、誤操作等，但后果都將導致重要信息泄漏或者網絡癱瘓。</p><p>　　6.2 網絡內部安全威脅分析</p><p>　　XX公司總部內部及分部內部網絡風險可能表現在以下幾個方面：</p><p>　　1、內部用戶的非授權訪問?？偛績炔康馁Y源并非對任何員工開放，也需有相應的訪問權限。內部用戶的非授權訪問更容易造成資源和重要信息的泄漏。</p&g

62、t;<p>　　2、內部用戶的誤操作。由于內部用戶的失誤操作也極容易給服務器和其他主機造成危害。</p><p>　　3、內部用戶的惡意攻擊。相對與外部攻擊來說，內部攻擊更是容易，因此，對內部用戶攻擊的防范也很重要。</p><p>　　4、設備自身安全性也會直接關系到網絡的正常運轉。</p><p>　　5、重要的服務器或操作系統(tǒng)自身存在安全的漏洞，

63、也將會為網絡的安全帶來很多不安定的因素。</p><p>　　6.3 安全產品選型原則</p><p>　　該項目的網絡屬于專用網絡，因此在安全產品的選型上應慎重，其選型的原則包括：</p><p>　　1、安保產品的接入不能明顯影響網絡系統(tǒng)的運行效率，并滿足工作需要，不影響正常工作。</p><p>　　2、安保產品必須通過國家主管部門指定

64、的測評機構的檢測。</p><p>　　3、安保產品必須具備自保能力。</p><p>　　4、安保產品必須符合國家和國際上的相關標準。</p><p>　　5、安保產品必須操作簡單易用，便于簡單部署和集中管理。</p><p><b>　　網絡技術介紹</b></p><p>　　7.1 VLA

65、N技術：</p><p>　　VLAN（Virtual Local Area Network，虛擬局域網）技術主要為了解決交換機在進行局域網互連時無法限制廣播的問題?？梢园岩粋€LAN劃分成多個邏輯Vlan，每個Vlan是一個廣播域，Vlan內的主機間通信和在一個LAN內一樣，而Vlan間則不能直接互通，這樣，廣播報文被限制在一個Vlan內。</p><p>　　7.1.1使用VLAN技術的

66、優(yōu)勢： </p><p>　　通過劃分VLAN子網，能劃小了廣播域，避免了廣播風暴的產生。提高交換網絡的交換效率，保證網絡穩(wěn)定，提高網絡安全性，根據Ambow公司內部網絡機構的需求，采用VLAN技術來劃分企業(yè)網絡，一個VLAN可以將公司部門、項目組或者服務器組將不同地理位置的工作站劃分為一個邏輯網段。在不改動網絡物理連接的情況下可以任意地將工作站在子網之間移動，VLAN提供了網段和機構的彈性組合機制，VLAN技

67、術很好的解決了網絡管理的問題，能實現網絡監(jiān)督與管理的自動化，從而更有效的進行網絡監(jiān)控。</p><p>　　7.1.2 VLAN劃分</p><p>　　1、根據端口劃分Vlan</p><p>　　以交換機端口劃分網絡成員，配置過成簡單明了，是常用的一種方式。</p><p>　　2、根據MAC地址劃分VLAN</p><

68、;p>　　根據每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置它屬于哪VLAN。這種劃分方法的優(yōu)點是當用戶物理位置移動時，VLAN不用重新配置，缺點是初始化時，所有的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，管理員的配置工作量非常大。</p><p>　　3、根據網絡層劃分VLAN</p><p>　　根據每個主機的網絡層地址或協議類型劃分。</p>

69、<p>　　4、根據IP組播劃分VLAN</p><p>　　IP組播實際上也是一種VLAN的定義，即認為一個組播就是一個VLAN，這種劃分的方法將VLAN擴大到了廣域網，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴展，當然這種方法不適合局域網，主要是效率不高。</p><p>　　5、基于規(guī)則的VLAN</p><p>　　也稱為基于策略

70、的VLAN。這是最靈活的VLAN劃分方法，具有自動配置的能力，整個網絡可以非常方便地通過路由器擴展網絡規(guī)模。</p><p>　　6、按用戶定義、非用戶授權劃分VLAN</p><p>　　基于用戶定義、非用戶授權來劃分VLAN，是指為了適應特別的VLAN網絡，根據具體的網絡用戶的特別要求來定義和設計VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAn管

71、理的認證后才可以加入一個Vlan。</p><p>　　7.2 VTP技術： </p><p>　　VTP（VLAN Trunking Protocol）：是Vlan中級協議，也稱為虛擬局域網干道協議。VTP協議是思科的專用協議，大多數的Catalys交換機都支持該協議，VTP可以減少Vlan的相關管理任務。</p><p>　　7.2.1 VTP有三種工作模式：V

72、TPServer、VTPClient和VTPTransparent。</p><p>　　7.2.2使用VTP技術的優(yōu)勢：</p><p>　　使用VTP技術，主要是為了防止不需要的廣播信息從一個vlan泛洪到VTP域中所有的中繼鏈路。Vtp修剪允許交換機協商 將那些VLAN分配到中繼鏈路另一端的端口，因此剪除未分配到遠程交換機端口的VLAN。VTP修剪功能默認為禁用，可以使用全局配置命令

73、vtp pruning啟用vtp修剪，只需要在域內一臺VTP服務器交換機上啟用修剪功能即可。</p><p>　　7.3 STP生成樹協議：</p><p>　　STP (Spanning Tree Protocol)生成樹協議該協議的目的是在實現交換機之間的冗余連接的同時，避免網絡環(huán)路的出現，實現網絡的高可靠性。邏輯上斷開環(huán)路，防止廣播風暴的產生。當線路出現故障，斷開的接口被激活，恢復通

74、信，起到線路備份的作用。</p><p>　　Stp 使用生成樹算法（STA）計算網絡中的那些交換機端口應配置為阻塞以防止出現環(huán)路。所有參與STP的交換機互相交換BPDU幀， BPDU幀是運行STP的 交換機之間交換的包含STP消息的幀。每個BPDU都包含一個BID，用于標識發(fā)送該BPDU的交換機。</p><p>　　7.3.1使用STP協議的優(yōu)勢：</p>&l

75、t;p>　　根據所設計的拓撲圖，采用生成樹的協議，該協議的目的是在實現交換機之間的冗余連接的同時，避免網絡環(huán)路的出現，實現網絡的高可靠性，它實現在交換機之間傳遞橋接。，當邏輯上斷開環(huán)路，防止廣播風暴的產生，當線路出現故障，斷開的借口唄激活，恢復通信，起備份線路的作用。</p><p>　　7.4 EthernetChannel：</p><p>　　以太通道也稱為以太端口捆綁、端口聚

76、集或以太鏈路聚集。以太通道為交換機提供了端口捆綁的技術，將多個物理以太網端口聚合在一起形成一個邏輯上的聚合組；同一聚合組內的多條物理鏈路視為一條邏輯鏈路。鏈路聚合可以實現出/入負荷在聚合組中各個成員端口之間分擔，以增加帶寬。同時，同一聚合組的各個成員端口之間彼此動態(tài)備份，提高了連接可靠性。</p><p>　　7.4.1以太通道的特點：</p><p>　　以太網通道最多可以捆綁8條物理鏈

77、路，可以是雙絞線，也可以是光纖。 </p><p>　　以太通道的規(guī)則：參與捆綁的端口必須屬于同一個VLAN，或者都是中繼模式 </p><p>　　如果端口配置是中繼模式，則鏈路中的兩個端口必須都是中繼模式 </p><p>　　所有參與捆綁的端口的物理參數必須相同，例如全部為半雙工或者全部為全雙工。</p><p>　　7.4.2 使用E

78、therchannel的優(yōu)勢：</p><p>　　GEC技術一方面為我們提供了一種擴展網絡帶寬的手段，另一方面，它還為連接提供了容錯。平時，網絡流量是被分攤得到構成GEC/FEC的2條或多條物理鏈路上，如果其中一條鏈路發(fā)生故障，該故障鏈路上的物理流量會立刻被重新分配到其他正常的流量上，congenial達到了容錯的目的。</p><p>　　7.4.3以太通道的特點：</p>

79、<p>　　以太網通道最多可以捆綁8條物理鏈路，可以是雙絞線，也可以是光纖。 </p><p>　　7.4.4 以太通道的規(guī)則：參與捆綁的端口必須屬于同一個VLAN，或者都是中繼模式 </p><p>　　7.5 Trunk技術</p><p>　　Trunk是一種封裝技術，它是一條點到點的鏈路，鏈路的兩端可以都是交換機，也可以是交換機和路由器，還可以

80、是主機和交換機或路由器?；诙丝趨R聚（Trunk）功能，允許交換機與交換機、交換機與路由器、主機與交換機或路由器之間通過兩個或多個端口并行連接同時傳輸以提供更高帶寬、更大吞吐量， 大幅度提供整個網絡能力。是帶寬擴展和鏈路備份的一個重要途徑。TRUNK把多個物理端口捆綁在一起當作一個邏輯端口使用，可以把多組端口的寬帶疊加起來使用。TRUNK技術可以實現TRUNK內部多條鏈路互為備份的功能，即當一條鏈路出現故障時，不影響其他鏈路的工作，同時

81、多鏈路之間還能實現流量均衡。</p><p>　　7.6 HSRP路由熱備份：</p><p>　　HSRP(Hot Standby Router Protocol)是CISCO公司制定的專有路由器備份協議，支持多臺路由器形成熱備而消除單臺設備失效造成的網絡中斷。HSRP允許在一個局域網（以太網，令牌環(huán)，FDDI）上或ISL封裝的VLAN上的多個路由器共享一個虛擬IP地址和MAC地址，共享

82、地址的一組路由器被配置成HSRP組，組中每一個路由器配置一個組IP地址和優(yōu)先級。存在一個路由器是活躍激活的，接受所有合法網絡IP/MAC地址包，如果激活的路由器發(fā)生故障，組中的另一個路由器激活并接收包。</p><p>　　7.6.1 使用HSRP的優(yōu)勢：</p><p>　　我們使用HSRP來實現故障路由器的接管。HSRP協議是Cisco公司制定的專有路由器備份協議，支持多臺路由器形成備

83、份而消除單臺設備失效造成的網絡中斷。比且確保了當網絡邊緣或接入鏈路出現故障時，用戶通信能迅速并透明的恢復，并為此IP網絡提供了冗余性。HSRP支持在某個路由器出現故障時可以快速的進行默認網關的切換，通過共同提供一個IP地址和MAC地址，兩個或者多個路由器可以做為一個虛擬路由器，當某個路由器出現故障時，其他路由器可以無縫的接替它進行路由選擇。，這樣就很好的解決了路由器切換的問題。</p><p>　　為了把網絡阻塞

84、降到最底限度，網絡中只有活路由器和備份路由器可以在完成HSRP協議選擇過程后發(fā)送一次HSRP消息包。如果活路由器失效，則備份路由器將取代它作為新的活路由器工作。而當備份路由器失效或者它變成了活路由器時，另外一個路由器將被選為備份路由器。</p><p><b>　　7.7 DHCP：</b></p><p>　　DHCP動態(tài)主機設置協議（Dynamic Host Co

85、nfiguration Protocol, DHCP）是一個局域網的網絡協議，使用UDP協議工作，主要有兩個用途：給內部網絡或網絡服務供應商自動分配IP地址給用戶給內部網絡管理員作為對所有計算機作中央管理的手段。</p><p>　　7.8 VPN技術：</p><p>　　虛擬專用網（vpn）被定義為通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安

86、全、穩(wěn)定的隧道。使用這條隧道可以對數據進行幾倍加密達到安全使用互聯網的目的。虛擬專用網是對企業(yè)內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接；可用于實現企業(yè)網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業(yè)伙伴和用戶的安全外聯網虛擬專用網。</p><p>　　

87、VPN技術分為L2LP、GRE、IPsec。 IPSec (Internet 協議安全)是一個工業(yè)標準網絡安全協議，為 IP 網絡通信提供透明的安全服務，保護 TCP/IP 通信免遭竊聽和篡改，可以有效抵御網絡攻擊，同時保持易用性。</p><p>　　7.8.1 Site-to-Site VPN</p><p>　　Site-to-Site VPN就是站點到站點的VPN。</p&g

88、t;<p>　　IPSec（IP Security）是IETF制定的為保證在Internet上傳送數據的安全保密性能的框架協議。IPSec包括報文驗證頭協議AH（協議號51） 和報文安全封裝協議ESP（協議號50）兩個協議。 IPSec有隧道（tunnel）和傳送（transport）兩種工作方式 </p><p>　　它提供兩個安全協議：</p><p>　　1

89、、AH (Authentication Header)報文認證頭協議 </p><p>　　MD5(Message Digest 5)</p><p>　　SHA1(Secure Hash Algorithm)</p><p>　　2、ESP (Encapsulation Security Payload)封裝安全載荷協議 </p><p>

90、　　DES (Data Encryption Standard) </p><p><b>　　3DES</b></p><p>　　其他的加密算法：Blowfish ，blowfish、cast </p><p>　　安全特性：數據機密性（Confidentiality）、數據完整性（Data Integrity）、數據來源認證（Data A

91、uthentication） 、反重放（Anti-Replay）</p><p>　　7.8.2 Easy VPN</p><p>　　Easy VPN又名ezVPN，是Cisco專用VPN技術。它分為EASY VPN SERVER和EASY VPN REMOTE兩種，EASY VPN SERVER 是REMOT--ACCESS VPN專業(yè)設備。配置復雜，支持POLICY PUSHING等

92、特性，現在的900、1700、PIX、VPN3002和ASA等很多設備都支持。此種技術應用在中小企業(yè)居多。如Cisco金睿系類的路由器都有整合easy VPN。</p><p>　　7.9 QOS技術：</p><p>　　Quality of Service（服務質量）是指網絡通信過程中，允許用戶業(yè)務在丟包率、延遲、抖動和帶寬等方面獲得可預期的服務水平。</p><p

93、>　　IP QoS目標是：避免并管理IP網絡擁塞、減少IP報文的丟失率、調控IP網絡的流量、為特定用戶或特定業(yè)務提供專用帶寬、支撐IP網絡上的實時業(yè)務。</p><p>　　7.9.1 QOS的服務模型有三種常見模式：</p><p>　　Best-Effort service模型：是目前Internet的缺省服務模型，主要實現技術是先進先出隊列(FIFO)。</p>

94、<p>　　Integrated service模型：通過信令向網絡申請?zhí)囟ǖ腝oS服務，網絡在流量參數描述的范圍內，預留資源以承諾滿足該請求。</p><p>　　Differentiated service模型：當網絡出現擁塞時，根據業(yè)務的不同服務等級約定，有差別地進行流量控制和轉發(fā)來解決擁塞問題。</p><p>　　7.10 NAT技術：</p><p

95、>　　NAT（Network Address Translation，網絡地址轉換）是將IP數據報文頭中的IP地址轉換為另一個IP地址的過程。在實際應用中，NAT主要用于實現私有網絡訪問公共網絡的功能。這種通過使用少量的公網IP地址代表較多的私網IP地址的方式，將有助于減緩可用IP地址空間的枯竭。</p><p>　　7.10.1 NAT的類型有：</p><p>　　靜態(tài)NAT(S

96、tatic NAT) </p><p>　　動態(tài)地址NAT(Pooled NAT)</p><p>　　網絡地址端口轉換NAPT（Port－Level NAT）</p><p>　　7.10.2使用靜態(tài)NAT技術到的優(yōu)勢：</p><p>　　1對于內部通訊可以利用私網地址，如果需要與外部通訊或訪問外部資源，則可通過將私網地址轉換成公網地址來

97、實現。</p><p>　　2通過公網地址與端口的結合，可使多個私網用戶共用一個公網地址</p><p>　　3通過靜態(tài)映射，不同的內部服務器可以映射到同一個公網地址。外部用戶可通過公網地址和端口訪問不同的內部服務器，同時還隱藏了內部服務器的真實IP地址，從而防止外部對內部服務器乃至內部網絡的攻擊行為。</p><p>　　4方便網絡管理，如通過改變映射表就可實現私

98、網服務器的遷移，內部網絡的改變也很容易。</p><p>　　7.11 ACL訪問控制列表</p><p>　　訪問控制列表（Access Control List，ACL） 是路由器和交換機接口的指令列表，用來控制端口進出的數據包。ACL適用于所有的被路由協議，如IP、IPX、AppleTalk等。這張表中包含了匹配關系、條件和查詢語句，表只是一個框架結構，其目的是為了對某種訪問進行控制

99、。信息點間通信，內外網絡的通信都是企業(yè)網絡中必不可少的業(yè)務需求，但是為了保證內網的安全性，需要通過安全策略來保障非授權用戶只能訪問特定的網絡資源，從而達到對訪問進行控制的目的。簡而言之，ACL可以過濾網絡中的流量，控制訪問的一種網絡技術手段。</p><p>　　ACL的定義也是基于每一種協議的。如果路由器接口配置成為支持三種協議（IP、AppleTalk以及IPX）的情況，那么，用戶必須定義三種ACL來分別控制

100、這三種協議的數據包。</p><p>　　7.11.1 ACL的分類：</p><p>　　目前有兩種主要的ACL:標準ACL和擴展ACL、通過命名、通過時間。 　　</p><p>　　標準的ACL使用 1 ~ 99 以及1300~1999之間的數字作為表號，擴展的ACL使用 100 ~ 199以及2000~2699之間的數字作為表號。 　　</p>

101、<p>　　標準ACL可以阻止來自某一網絡的所有通信流量，或者允許來自某一特定網絡的所有通信流量，或者拒絕某一協議簇（比如IP）的所有通信流量。 　　</p><p>　　擴展ACL比標準ACL提供了更廣泛的控制范圍。例如，網絡管理員如果希望做到“允許外來的Web通信流量通過，拒絕外來的FTP和Telnet等通信流量”，那么，他可以使用擴展ACL來達到目的，標準ACL不能控制這么精確。 　　</

102、p><p>　　在標準與擴展訪問控制列表中均要使用表號，而在命名訪問控制列表中使用一個字母或數字組合的字符串來代替前面所使用的數字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目，這樣可以讓我們在使用過程中方便地進行修改?！?lt;/p><p>　　隨著網絡的發(fā)展和用戶要求的變化，從IOS 12.0開始，思科（CISCO）路由器新增加了一種基于時間的訪問列表。通過它，可以根據一天中的不同時間

103、，或者根據一星期中的不同日期，或二者相結合來控制網絡數據包的轉發(fā)。這種基于時間的訪問列表，就是在原來的標準訪問列表和擴展訪問列表中，加入有效的時間范圍來更合理有效地控制網絡。首先定義一個時間范圍，然后在原來的各種訪問列表的基礎上應用它。</p><p>　　7.11.2 ACL的特點：</p><p>　　ACL可以在路由器端口處決定哪種類型的通信流量被轉發(fā)或被阻塞。</p>

104、<p>　　ACL可以限制網絡流量、提高網絡性能。</p><p>　　ACL可以根據數據包的協議，指定數據包的優(yōu)先級</p><p>　　ACL提供對通信流量的控制手段</p><p>　　ACL是提供網絡安全訪問的基本手段</p><p>　　7.12 IOS防火墻:</p><p>　　所謂防火墻指的

105、是一個有軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。</p><p>　　防火墻技術，最初是針對 Internet 網絡不安全因素所采取的一種保護措施。顧名思義，防火墻就是用來阻擋外部不安全因素影響的內部網絡屏障，其目的就是防止外部網絡用戶未經授權的訪問。它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（Security Gat

106、eway），從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件(其中硬件防火墻用的很少只有國防部等地才用,因為它價格昂貴)。該計算機流入流出的所有網絡通信均要經過此防火墻。</p><p>　　功能：防火墻對流經它的網絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關閉不使用的

107、端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。</p><p>　　7.13 OSPF協議</p><p>　　開放式最短路徑優(yōu)先（Open Shortest Path First，OSPF）協議是一種為IP網絡開發(fā)的內部網關路由選擇協議，由IETF開 發(fā)并推薦使用。OSPF協議由三個子協議組成：Hello協議

108、、交換協議和擴散協議。其中Hello協議負責檢查鏈路是否可用，并完成指定路由器及備份指 定路由器；交換協議完成“主”、“從”路由器的指定并交換各自的路由數據庫信息；擴散協議完成各路由器中路由數據庫的同步維護。 </p><p>　　OSPF 協議采用鏈路狀態(tài)協議算法，每個路由器維護一個相同的鏈路狀態(tài)數據庫，保存整個AS的拓撲結構（在AS不劃分的情況下）。一旦每個路由器有了完整的鏈路狀態(tài)數據庫，該路由器就可以自己為

109、根，構造最短路徑路徑樹，然后再根據最短路徑構造路徑表。對于大型的網絡，為了進一步減少路由協議通信流量，利于管理和計算。OSPF將整個AS 劃分為若干個區(qū)域 ，區(qū)域內的路由器維護一個相同的鏈路狀態(tài)數據庫，保存該區(qū)域的拓撲圖結構。OSPF 路由器相互間交換信息，但交換的信息不是路由，而是鏈路狀態(tài)。OSPF 定義了5種分組：Hello分組用于建立和維護鄰居關系；數據庫描述分組初始化路由器的網絡拓撲數據庫；當發(fā)現數據庫中的某部分信息已經過時后，

110、路由器發(fā)送鏈路狀態(tài)請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來主動擴展自己的鏈路狀態(tài)數據庫或對鏈路狀態(tài)請求分組進行相應；由于OSPF直接運行在IP層，協議本身要提供確認機制，鏈路狀態(tài)應答分組狀態(tài)更新分組進行確認。</p><p>　　相對于其他協議，OSPF有許多優(yōu)點。OSPF 支持各種不同鑒別機制（如簡單口令驗證，MD5加密驗證等），并且允許各個系統(tǒng)或區(qū)域采用互不相同的鑒別機制；提供負載均衡功能

111、，如果計算出道某個目的站有若干條費用相同的路由，OSPF 路由器會把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送出去；在一個自制系統(tǒng)內可劃分出若干個區(qū)域，每一個區(qū)域根據自己的拓撲結構計算最短路徑，這樣減少了OSPF路由實現的工作量；OSPF屬于動態(tài)的自適應協議，對于網絡的拓撲結構變化可以迅速的作出反應，進行相應調整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協議相比，OSPF在對網絡拓撲變化的處理過程中僅需要最少的通

112、信流量；OSPF 提供點到多點接口，支持CIDR(無類路由)地址。</p><p>　　7.13.1 OSPF協議的優(yōu)點： </p><p>　　OSPF能夠在自己的鏈路狀態(tài)數據庫內表示整個網絡，這極大地減少了收斂時間，并且支持大型異構網絡的互聯，提供了一個異構網絡間通過同一種協議交換網絡信息的途徑，并且不容易出現錯誤的路由信息。OSPF支持通往相同目的的多重路徑。 </p>