企业网络建设与规划毕业论文

1、 毕业设计 企企业业网网络络建建设设与与规规划划 院院 系系软件职业技术学院软件职业技术学院 专专 业业网络技术网络技术 班班 级级 0909 专科网络技术一班专科网络技术一班 学学 号号16010901171601090117 学学 生生 姓姓 名名 联联 系系 方方 式式1503893610215038936102 指指 导导 教教 师师 职称：职称：讲师讲师 2011 年年 5 月月 独独 创创 性性 声声 明明 本人郑重声明：所呈交的毕业论文（设计）是本人在指导老师指导下取得的研究成 果。除了文中特别加以注释和致谢的地方外，论文（设计）中不包含其他人已经发表或 撰写的研究成果。与本研究

2、成果相关的所有人所做出的任何贡献均已在论文（设计）中 作了明确的说明并表示了谢意。 签名： 2011年5月日 授权声明授权声明 本人完全了解许昌学院有关保留、使用本科生毕业论文（设计）的规定，即：有权 保留并向国家有关部门或机构送交毕业论文（设计）的复印件和磁盘，允许毕业论文 （设计）被查阅和借阅。本人授权许昌学院可以将毕业论文（设计）的全部或部分内容 编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编论文（设 计） 。 本人论文（设计）中有原创性数据需要保密的部分为：。 签名： 张博 2011年5月日 指导教师签名： 年月日 摘摘 要要 随着计算机及网络技术的飞速发展，网络

3、组建、管理和维护技术已经广泛在我们身 边获得了应用。为了让高校学生能够掌握相关网络知识以及提高实践动手能力，本设计 编制了三章内容，通过对网络基础的介绍和网络设备的配置来引导学生掌握最基本的网 络知识，以及对网络设备的实践应用。设计中通过“拓扑图的设计、ip 地址规划、检测 网线、连接并配置网络设备、检测验证网络连通性”的设计步骤，以及介绍在具体操作 过程中遇到的设备和配置问题，来阐述整个设计过程。其中所应用、配置的具体协议在 实际使用中是很常见的，因此学生必须掌握并能够在实际生活中充分利用所学的网络知 识。 本设计通过对交换机、路由器、服务器等设备的配置，概括了高校所要学习的多数网 络知识和

4、操作应用，可以作为学习网络知识的参考资料，但为了有更多的提高，读者还 应通过其它途径不断加强学习，以增强自己的网络知识水平。 另外通过综合布线工程知识的应用，主要使学生了解数据通信中数据传输介质的相关 知识，同时以综合布线系统的国际标准和国家标准为依据，掌握综合布线工程的施工技 术、施工工程管理技术、网络测试技术、工程验收和管理维护等内容。使得学生通过自 己的亲身经历和实验实践，提高自己对综合布线系统的认识以及对整个综合布线系统的 把控能力。 目目 录录 摘摘 要要 .3 第第 1 章章 绪绪 论论 .3 第第 2 章章 项目需求分析项目需求分析 .4 2.12.1 项目背景项目背景.4 2.

5、22.2 需求分析需求分析.6 2.32.3 网络总体建设目标网络总体建设目标.7 .1 网络建设目标网络建设目标.7 2.42.4 网络及系统建设内容及要求网络及系统建设内容及要求.9 .1、采用结构化网络、采用结构化网络.9 .2、网络架构的综合分析、网络架构的综合分析：.10 2.52.5 网络设计原则网络设计原则.10 第第 3 3 章章 网络总体设计网络总体设计 .12 3.13.1 网络总体拓扑图网络总体拓扑图.12 3.23.2 网络层次化设计网络层次化设计.13 .1 核心层核心层.13 .2 汇聚

6、层汇聚层.14 .3 接入层接入层.14 3.33.3 核心层设计核心层设计.15 3.43.4 接入层设计接入层设计.15 3.53.5 内联接入内联接入.16 第第 4 4 章章 路由设计路由设计 .16 4.14.1 路由协议选择路由协议选择.16 4.24.2 路由规划拓扑图路由规划拓扑图.16 4.34.3 ipip 地址规划地址规划.17 第第 5 5 章章 网络安全解决方案网络安全解决方案 .18 5.15.1 网络边界安全威胁分析网络边界安全威胁分析.18 5.25.2 网络内部安全威胁分析网络内部安全威胁分析.19 5.35.3 安全产品选型原则安全产品选型原

7、则.19 5.45.4 网络常用技术介绍网络常用技术介绍.20 .1 pppppp 协议协议.20 .2 vtpvtp 协议协议.20 .3 hsrphsrp 协议协议.21 .4 vlanvlan 技术技术.21 .5 trunktrunk 技术技术.21 5.4.6 easy-vpn技术技术.22 .7 sptspt 协议协议.22 .8 ospfospf 协议协议.23 .9 qosqos 技术技术.23 第第 6 6 章章 产品简介产品简介 .24 6.16.

8、1 路由、交换设备路由、交换设备.24 6.26.2、打印系统、打印系统.26 6.36.3、文件服务器、文件服务器.27 6.46.4、系统磁盘管理：、系统磁盘管理：.28 第第 7 7 章章 项目实施计划项目实施计划 .28 7.17.1 项目实施前的准备工作项目实施前的准备工作.28 .1、工程实施概述、工程实施概述.29 .2、布线系统实施、布线系统实施.29 .3、系统整体实施、系统整体实施.30 7.27.2 安装前的场地准备安装前的场地准备.30 .1、施工现场准备、施工现场准备: :.30 7.37.3 核心及各网

9、点的安装调试核心及各网点的安装调试.31 .1工程硬件安装工程硬件安装.31 .2工程软件调试工程软件调试.32 .3系统的安装系统的安装.32 .4工程质量检查工程质量检查.32 7.47.4 网络测试网络测试.32 .1 网络测试目的网络测试目的.32 .2 测试文档测试文档.33 第第 8 8 章章 网络项目基本配置网络项目基本配置 .34 8.18.1 网络描述网络描述.34 8.2 基本配置基本配置.35 .1 设备访问设备访问.35 .2 设备口令设备口令

10、.36 .3设置特权用户口令设置特权用户口令.37 .4 关闭关闭 dnsdns 查找功能查找功能 ( (默认时打开默认时打开) ).37 .5启用启用 logginglogging synchronoussynchronous 阻止控制台信息覆盖命令行上的输入阻止控制台信息覆盖命令行上的输入.37 .6 将将 exec-timeoutexec-timeout 设置为设置为 0 0 0 0 为控制台连接设置以秒或分钟的超时为控制台连接设置以秒或分钟的超时.37 .7配置配置 consoleconsole 口访问不需

11、要密码口访问不需要密码.38 第第 9 9 章章 服务器的基本配置服务器的基本配置 .38 9.19.1、w windowsindows服务器的安装服务器的安装.38 9.29.2安装安装 dnsdns、dcdc、webweb、ftpftp 等服务器等服务器.40 .1dnsdns 的安装的安装.40 .2、安装域控制器（、安装域控制器（dcdc）.41 .3 安装电子邮件服务安装电子邮件服务.43 .4安装安装 webweb ftpftp.44 第第 1010 章章 路由、交换及网络构建方面配置路由、交换及网络构建方面配置 .4

12、6 10.110.1 trunktrunk 技术技术 .46 10.310.3 v vlanlan技术：技术： .47 10.410.4 stpstp 技术技术 .49 10.510.5 hsrphsrp 技术技术 .53 .1 双热备份配置：双热备份配置：.54 10.610.6 riprip 技术技术: : .55 第第 1111 章章 远程广域部分配置远程广域部分配置 .56 11.111.1 aclacl 技术技术.57 .1 aclacl 配置：配置：.57 11.211.2natnat 技术技术.57 .1 natnat

13、配置：配置：.59 11.311.3 pppppp 技术技术.59 11.411.4 dhcpdhcp 技术技术.60 .1 dhcpdhcp 配置配置.60 11.511.5 p pixix技术技术 .61 .1 pixpix 的配置的配置.63 第第 1212 章章 项目测试项目测试 .64 12.112.1 先查看物理连结先查看物理连结.64 12.212.2 vlanvlan 的测试的测试.65 12.312.3vtpvtp 的测试的测试.65 12.412.4hsrphsrp 的测试的测试.66 12.512.5 路由的测试路由的测试.67 1

14、2.612.6 dnsdns 测试测试.68 12.712.7 dhcpdhcp 测试测试.69 12.812.8 webweb 测试测试.70 12.912.9 ftpftp 测试测试.71 12.1012.10 adad 测试测试.71 12.1112.11nat&aclnat&acl 测试测试 .72 结结 束束 语语 .72 参参 考考 文文 献献 .73 致致 谢谢 .74 第 1 章 绪 论 随着网络和信息技术的高速发展和普及，信息化已经成为现代企业和组织生存发展的 必备条件，计算机网络应用几乎遍及人类活动的各个领域，计算机网络技术已被誉为是 “近代最深刻的技术革命” 。社会的信息

15、化、数据的分布式处理、各种计算机资源的共享 等应用需求，推动着计算机网络的迅速发展。 计算机网络是计算机技术与通信技术密切结合的学科，也是计算机应用中一个空前活 跃的领域。该课程不仅是计算机科学与技术专业的主干课程，也是电子与通信专业学生 及广大从事计算机应用和信息管理的科技人员都必须学习的课程。同时，该课程不单是 要加强理论知识的学习，同时也是一门实践性很强的课程。 本设计是基于 cisco 与华为网络设备以及网络布线工程知识的简单应用，提供给高校 学生进行网络模拟实验，可以作为学生的实验指导书。此外，学生不仅要加强网络理论 学习，同时也要增强实践能力，通过系统的实践训练，帮助学生深入了解并

16、真正掌握计 算机网络的基本概念、协议以及常用的组网方法和网络管理维护技术。 本设计介绍了计算机网络实验的相关知识和应用组网技术，也介绍了网络布线工程一 些知识。通过“总体设计、详细设计、系统测试以及故障排除”这三章，在基础理论上， 以精炼、够用为原则，介绍与实验比较紧密的理论知识；在实践上，通过模拟内外网设 计方法来举例介绍网络组建的应用知识。通过综合布线工程知识的应用，以及自己的亲 身经历和实验实践，使学生了解数据通信中数据传输介质的相关知识，提高学生动手能 力。 在编写本设计过程中，作者参阅了大量网络组网、网络技术、网络布线工程的书籍和 网上资料，获得了老师和同学的大力帮助，并融合了许多自

17、己的观点和见解，但由于作 者水平和经验有限，不足之处在所难免，敬请读者批评指正。 第 2 章 项目需求分析项目需求分析 2.12.1 项目背景项目背景 海南经典集团成立于 1990 年，是一家实力雄厚的餐饮连锁。 经典集团是一家以中式快餐为主营业务的全国性连锁餐饮公司。在全国二十多个 省区都有连锁店，服务范围覆盖比较大，随着公司的发展以及实际的需要公司需要整 合总部网络结构以适应不断的发展. 目前的网络结构已经不能满足当前发展的需求。主要表现再网络不稳定，网络抖动 现象频发，但如果依旧采用原有线路连接，网络的构建存在成本高、周期长、而且不易 管理和实施的难题。因此建立一个设计规范、功能完备、性

18、能优良、安全可靠、有良好 的扩展性与可用性并且具备可管理易维护的网络及系统平台，以高效率，高速度，低成 本的方式提高公司员工的工作效率与执行效率是十分必要的。将贵公司内部形成高效、 通畅、安全的网络体系，实现公文管理、资源共享、打印管理的电子化、网络化。对外 连接到 internet，是公司保持与分公司及外界先进事物和合作伙伴、公司客户的密切联 系。网络中的各类服务器设备、客户机设备、网络设备以及各种操作系统、应用软件将 考虑技术上的先进性、国内外及各行业的通用性，并且要有良好的市场形象与售后技术 支持，便于维护、升级。选购的同时，将考虑在满足功能与性能的基础上的最优性价比。 为了实现基本的网

19、络办公自动化，建设安全、健壮的办公局域网，网络结构将达到 高效且具有良好的可扩展性，采用信息安全交换装置实现必要的信息传输。建成一个快 速高效、通畅、安全的办公网络。新建网络系统可满足公司各项管理需要，同时考虑今 后功能和信息增长的要求，选择的计算机以及网络设备具有先进性，适应越来越多的信 息种类（声音、动画等多媒体数据）以及信息量的处理及传输要求。主机系统采用主流 的网络操作系统，达到快速响应、安全稳定的运行，利用严格的权限设置，完善对公文 的管理。根据不同部门的需求实现不同的安全级别。通过网络系统实现全公司统一的打 印管理服务。为防黑客入侵、病毒的影响，保证公司数据的安全，采用 pix 防

20、火墙技术。 这样的工程项目需要加入新型设备进行改造，为公司提供安全的便捷的网络服务， 还要为外接分支机构的网络进行改造，以便与分公司进行安全可靠的信息传输。这样 才能在网络、信息通常的基础上为贵公司带来更大的利润。由此看来急需采用新型的 网络设备，建立安全、高效的互联网络，是经典集团和新建分支机构的当前首要任务 2.22.2 需求分析需求分析 根据贵公司的需求，我们规划了一个大致拓扑图： 在外网上对于总公司与分公司的实际情况，我们将用 ppp 技术让其之间的文件进行 安全传输。ppp 协议是目前广域网上应用最广泛的协议之一，它的优点在于简单、具备用 户验证能力、可以解决 ip 分配等。 利用以

21、太网（ethernet）资源，在以太网上运行 ppp 来进行用户认证接入的方式称为 pppoe。pppoe 即保护了用户方的以太网资源，又完成了 adsl 的接入要求，是目前 adsl 接入方式中应用最广泛的技术标准。 基于经典集团网络改造和扩建的实际情况，我们对该项目的网络进行了大致规划， 分为总部和分部还有虚拟分部（可扩展），其中，总部地点为数据中心区、核心交换区。 1.数据中心作为公司生产运营系统（如人事考勤系统，财务报价系统等等）的核心 数据的存放地，其性能、稳定性、安全性、可靠性的要求最高，因此我们在设计的时候， 会着重考虑这些需要，并采用pix防火墙技术提高网络性能的安全性、可靠性

22、。 2.核心交换区的功能是高速可靠地交换数据，该部分的设计需考虑性能和可用性的 平衡，因此我们将采用多核的数据处理器提高数据的传输效率。 3.分支机构接入区域，我们将安全性放在第一位，同时，生产运营系统的运行离不 开网络和数据中心的连接，因此冗余性的考虑也是必须的。因此我们公司将采用 hsrp、stp技术解决冗余问题。 4.各分部地点办公网络做为内部互联单位，可信度较高，内部网络的可用性是我们 首要考虑因素，因此我们将划分vlan以提高各部门的网络互联性及可用性。 5.由于当前业界的网络管理范畴较广，包括设备管理、资源管理、故障管理、性能 管理、安全管理等等。我们公司在面对网络规模相对较大的时

23、候，将采取合适的网管系 统以帮助客户方便管理网络内的设备及运行情况，提高网络的运行效率 2.32.3 网络总体建设目标网络总体建设目标 .1 网络建设目标网络建设目标 1）网络互联 能够实现远程用户从不安全的互联网安全可靠的接入本市内分部公司内网，访问网 内资源和使用相应的应用系统； 2）独立性 能够根据用户的需要有选择地对需要的业务数据进行加密（采用 des、3des、md5） ， 不需要加密的数据和 internet 接入业务可以不受到影响； 3）网络安全性（iptables，asa，isa，pix，acl） 采用防火墙技术以提高网络的安全性。防火墙既可以用硬件实现,也可以

24、用软件实现。 硬件实现处理速度快、可靠性高、费用较贵,而软件实现则相对价格较低,同时便于版本 升级和维护。 iptables 防火墙防火墙是实现网络安全的基础设施,它根据企业的安全策略监控网络 信息的存取和传递操作,起到保护内部网安全的目的。acl 是应用在路由器接口的指令列 表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数 据包是被接收还是被拒绝，可以由类似于源地址、目的地址、端口号、协议等特定指示 条件来决定。通过灵活地增加访问控制列表，acl 可以当作一种网络控制的有力工具，用 来过滤流入和流出路由器接口的数据包。 建立访问控制列表后，可以限制网络流量，提高网

25、络性能，对通信流量起到控制的 手段，这也是对网络访问的基本安全手段。在路由器的接口上配置访问控制列表后，可 以对入站接口、出站接口及通过路由器中继的数据包进行安全检测。 asa 执行通过防火墙的有状态（stateful）的连接控制。如未明确的为每一内部系 统和应用进行配置，则只允许单方向的连接（从内部到外部） 。而 cisco 的 pix（private internet exchange）防火墙可以用于防止从一个网络到另一个网络未经验证的非法连接 访问。受防火墙保护的网络称为内部的网络，而另一边则称为外部的网络。pix 可以支持 连接多个外部的网络。可以使用 pix 防火墙来保护与管理内部的

26、网络，它可以用于网络 的边界（ perimeter） ，也可以用于连接网络边界与外部网络的非军事化区（dmz demilitarized zone） 。pix 防火墙提供了完整的防火墙的防护功能，并相对于外部的网 络完全的将内部网络的拓朴结构隐藏起来。pix 允许从已有的专用网络到 internet 的安 全访问，具有扩展和重新配置 tcp/ip 网络而无需考虑 ip 地址缺乏的能力。 4）系统扩展性（兼并子公司，自建分部，第二分部暂时与总部失去联系）和变更的 灵活性 接入能力扩展 接入能力是指交换机接入用户数的能力。这种扩展要求通常出现在网络边缘，由于 用户数目的增加，现有交换机端口数目不够

27、，需要进行端口数目的扩展 处理能力扩展 处理能力是指交换机的数据转发能力，一般是指三层转发能力。这种要求通常出现 在网络的汇聚层或核心层。随着用户业务的发展，业务数据流较大时，或对业务数据流 有较多的 qos 或安全策略时，交换机的转发能力不足就会影响业务。 带宽扩展 带宽扩展通常出现在不同的网络层次间，如接入层和汇聚层，汇聚层和核心层。由 于桌面接入的主流都已经是 100mb，而 100mb 交换机的上联端口通常为 1000mb，在满负 荷情况下，也才能满足 10 个端口的线速上联，而现在交换机动辄 24 口，48 口，因此在 某些情况下，需要进行上联带宽的扩展。 此外要求网络的扩展具有平滑

28、不中断的特性。同时，在网络扩展中，能够保护原有 设备的投资，不造成投资浪费。即使是要进行网络的扩展升级，也不会对用户现存的网 络有影响。 5）网络通信效率 此次网络建设所选用的设备具有很高的速率，不仅能满足当前用户数量下的需求， 也为将来的扩展留有充分空间。 1、 高性能的网络系统：速度快、无阻塞、延迟低，具有先进灵活的 qos 特性， 能适应多种业务需求。 2、 标准化、层次化、模块化和易扩展的网络系统：包括网络的结构、技术及 产品。信息接入点分布合理、灵活、充足并有扩展空间。 3、 稳定、可靠的网络系统：网络中单点故障不会使局部网络失去与整个网络 的连接，多点故障不会造成整个网络被分成几个

29、互不相连的部分。网络主干的传输介质 采用容错冗余设计。 4、 注重经济实用性的网络系统：根据目前的需求和可预见的需求增长情况设 计网络，不追求空洞的技术先进，避免追求高档和最新技术花费巨大代价。 5、 易管理和易维护的网络系统：全网可进行统一或分布管理，网络维护简单 有效。 6、 高安全性的网络系统：系统的各环节均必须具有良好的抗电磁干扰特性， 整个系统与外界的防火墙功能包括防火墙技术、ppp 技术及地址转换、硬件加密、备份中 心、callback 等技术。 7、 综合布线系统设计与实施一次到位；网络系统一次规划、分步实施，网络 设备先按开通率 30配置，并具有方便扩展功能。 2.42.4 网

30、络及系统建设内容及要求网络及系统建设内容及要求 建设内容：建设内容： 1公司网络的现在只适应于小型公司的发展，拓扑需要重新的规划。 2在外出差的员工通过公网访问内部资源，安全性不高 3. 公司内部一台三层交换掌控着所有的部门，如果一旦 down 则 不能给全公司创造服务影响公司的正常运行 4总公司已经建立了邮件系统、web 系统、erp 系统等应用系统， 邮件系统、web 系统等对互联网提供相应的服务，面临着来自互联网的各种威胁。 要求：要求： .1、采用结构化网络、采用结构化网络 根据企业的需求，把网络设计成有层次和有结构的同一体，即结构化网络。 (1)、网络的层次和结构 依

31、据企业的结构性应用将网络分为三个层次（以至企业级网络，而且每个层次上网 络结构化也是明确的，表现在每级的构成的界限是明确的，是通过上一层次的网络来完 成的。这样的网络结构性强，层次清晰，整个系统的运行和应用既有各自的相对独立性， 又具有合理的数据流向、有层次和有结构的统一体。 按照客户/服务器的体系建立各层次的网络应用。 (2)、网络的可伸缩性和虚拟化 网络的虚拟化对于解决网络中用户应隶属于哪个小组级网络、用户应经常访问哪些 资源等问题提供了灵活的方法，使得用户所在的物理位置和逻辑位置可以相互独立。在 网络的规模方面采用结构化原则来实现网络的可伸缩性，采用虚拟化原则来实现网络的 业务变化要求。

32、 .2、网络架构的综合分析、网络架构的综合分析： (1)、考虑整个方案的安全性和稳定性，可管理型和维护性以及能 够满足未来网络发展的需求。 (2)、建立一个投资成本低、高宽带，高可靠性，高安全性以及灵 活可扩展性的 ppp 链路，消除地区差异，实现移动员工的网络互联及基于 internet 上内部移动用户的安全接入。 (3)、实现公司电信、网通的双出口的网络提供线路负责均衡，同时 为服务器开启负载均衡功能，提高服务器的处理性能。 (4)、建立 ppp 链路，采用认证方式（pap、chap、ppoe、ppoa、 、 、 ） 。 这种链路提供全双工操作，并按照顺序传递数据包。设计目

33、的主要是用来通过拨号 或专线方式建立点对点连接发送数据，使其成为各种主机、网桥和路由器之间简单连接 的一种共通的解决方案。 2.52.5 网络设计原则网络设计原则 作为一家优秀的系统集成商，向用户提供的不仅仅是设备，而是整套的技术与服务。 我们将严格遵循以下设计原则： 1.安全性对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维 护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制 定规范和措施，确定系统的安全策略。并且安全措施能随着网络性能及安全需求的变化 而变化，要容易适应、容易修改和升级。建立一个多重保护系统，各层保护相互补充， 当一层保护被攻破时，

34、其它层保护仍可保护信息的安全。 2.易操作性安全措施需要公司人员去完成，如果措施过于复杂，对员工的要求 过高，本身就降低了安全性措施的采用不影响系统的正常运行。安全措施能随着网络性 能及安全需求的变化而变化，要容易适应、容易修改和升级。 3.实用性我们将充分考虑到公司网络应用的现状和未来发展趋势，我们将建立 一个可拓展的网络，既满足公司目前的使用，又能为未来公司的发展提供支持。 4. 灵活性安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、 容易修改和升级 5. 可评价性如何预先评价一个安全设计并验证其网络的安全性，这需要通过国 家有关网络信息安全测评认证机构的评估来实现。 针对安

35、全体系的特性，我们可以采用统一规划、分步实施的原则。具体而言，我 们可以先对网络做一个比较全面的安全体系规划，然后，根据我们网络的实际应用状况， 建立一个基础的安全防护体系，保证基本的、应有的安全性是十分必要的。 网络安全防范体系包含：物理层安全、系统层安全、网络层安全、应用层安全和安 全管理。 1物理环境的安全性（物理层安全） 该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安 全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质） ，软硬件设备安全性 （替换设备、拆卸设备、增加设备） ，设备的备份，防灾害能力、防干扰能力，设备的运 行环境（温度、湿度、烟尘） ，

36、不间断电源保障，等等。 2操作系统的安全性（系统层安全） 该层次的安全问题来自网络内使用的操作系统的安全，如 windows nt，windows 2000 等。主要表现在三方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身 份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题。三是病毒对操作系 统的威胁。 3网络的安全性（网络层安全） 该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证，网络资源 的访问控制，数据传输的保密与完整性，远程接入的安全，域名系统的安全，路由系统 的安全，入侵检测的手段，网络设施防病毒等。 4应用的安全性（应用层安全） 该层次的安全问题主要由

37、提供服务所采用的应用软件和数据的安全性产生，包括 web 服务、电子邮件系统、dns 等。此外，还包括病毒对系统的威胁。 5管理的安全性（管理层安全） 安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。 管理的制度化极大程度地影响着整个网络的安全，严格的安全管理制度、明确的部门安 全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。 网络安全是整体的、动态的。网络安全的整体性是指一个安全系统的建立，即包括 采用相应的安全设备，又包括相应的管理手段。安全设备不是指单一的某种安全设备， 而是指几种安全设备的综合。网络安全的动态性是指网络安全是随着环境、时间

38、的变化 而变化的，在一定环境下是安全的系统，环境发生变化了（如更换了某个机器） ，原来安 全的系统就变的不安全了；在一段时间里安全的系统，时间发生变化了（如今天是安全 的系统，可能因为黑客发现了某种系统的漏洞，明天就会变的不安全了） ，原来的系统就 会变的不安全。所以，建立网络安全系统不是一劳永逸的事情。 对于企业行业网络安全体系的建立，我们建议采取以上的原则，先对整个网络进行 整体的安全规划，然后，根据实际状况建立一个从防护-检测-响应的基础的安全防护 体系，提高整个网络基础的安全性，保证应用系统的安全性。 第第 3 3 章章 网络总体设计网络总体设计 3.13.1 网络总体拓扑图网络总体拓

39、扑图 由于考虑到总公司的实际需求，我们给贵公司设计的方案是采用两台路由双线接入 负载均衡，都在路由端口上做nat转换节约ip地址。四台ciscocisco ws-c3750g-24ts-sws-c3750g-24ts-s 做双 机热备（两台总部两台分部，可扩展），根据当前贵公司的人数需求，我们用四台ws- c2960-48tt-l二层交换机（可扩展）做vlan划分。用cisco 专有热备份路由协议技术， 根据需求配置成多组hsrp；同时双机还可以做负载均衡。这样设计不但保证网络的高可 用性和稳定性，还能够充分利用现有设备的资源，以避免单台核心设备的负载太重而导 致的网络性能问题。 如上图所示，

40、这是总部内网的架构，整体网络可以根据功能划分为总部核心网络、 内联接入包括办公网络，各部门相对独立，通过 核心网络进行数据的交互。各部门可以各自建立相互通讯，各部门的网络安全体系， 可以有独立的安全策略、数据流量控制等个体的特性，而需要和其他区域的设备进行通 讯的时候，则必须遵守核心网络区的策略。 在这里，我们对总公司的实际情况考虑，在总公司和分公司之间建立ppp专线连接， 让分公司和总司可以进行安全的数据交换，对于虚拟分部（可扩展），我们根据距离和 施工的情况建立ppp专线或者vpn，来进行对数据的保护和有效传输，对于在外出差员工 我们用easy-vpn的方式来让外部员工进行内部连接 3.2

41、3.2 网络层次化设计网络层次化设计 随着网络技术的迅速发展和网络需求量的不断增长，分布式的网络服务和交换已经 移至用户级，由此形成了一个新的、更适应现代的高速大型网络的分层设计模型。我们 将采用层次化网络设计，构建高效、可靠、安全的网络。 多层网络系统设计能最有效地利用多种业务，包括负载分担和故障恢复等。在多层 网络中运用智能多业务可以大大减少因配置不当或故障设备引起的一般问题。多层模式 使网络的移植更为简单易行，因为它保留了基于路由器和交换机的网络原有的寻址方案， 对以往的网络有很好的兼容性。另外分层结构也能够对网络的故障进行很好的隔离。 .1 核心层核心层 为网络提供骨干

42、组件或高速交换组件，高效速度传输是核心层的目标。核心层的 功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠 性和高速的传输。核心层具有如下几个特性：高可靠性、提供冗余、提供容错、能够迅 速适应网络变化、低延时、可管理性良好、网络直径限定和网络直径一致。 当网络中使用路由器时，从网络中的一个终端到另一个终端经过的路由器的数目称 为网络的“直径”。在一个层次化网络中，应该具有一致的网络直径。也就是说，通过 网络主干从任意一个终端到另一个终端经过的路由器的数目是一样的，从网络上任一终 端到主干上的服务器的距离也应该是一样的。限定网络的直径，能够提供可预见的性能， 排除故

43、障也容易一些。分布层路由器和相连接的局域网可以在不增加网络直径的前提下 加入网络，因为它们不影响原有的站点的通信。 在核心层中，网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所 有流量的最终承受者和汇聚者，所以我们对核心层的设计以及网络设备的要求十分严格。 核心层设备将占投资的主要部分。我们将采用高带宽的千兆级交换机，充当核心层设备。 因为核心层是网络的枢纽部分，网络流量最大，因此需要提供高带宽。 .2 汇聚层汇聚层 是核心层和终端用户接入层的分界面，访问层的汇接点，用于分隔访问层的不同网 络拓扑，并实现网络的聚合与流量的收敛。汇聚层完成网络访问的策略控制、广播域的

44、 定义、vlan间的路由、数据包处理、过滤寻址及其他数据处理的任务。一般采用中端设 备。 汇聚层是连接接入层和核心层的网络设备,为接入层提供数据的汇聚传输管理分 发处理.汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务,认证管理 等.通过网段划分(如vlan)与网络隔离可以防止某些网段的问题蔓延和影响到核心层.汇 聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证 核心层的安全和稳定。 汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。 汇聚层 设备一般采用可管理的三层交换机或堆叠式交换机以达到带宽和传输性能的要求。其设 备性能较好，

45、但价格高于接入层设备，而且对环境的要求也较高，对电磁辐射、温度、 湿度和空气洁净度等都有一定的要求。汇聚层设备之间以及汇聚层设备与核心层设备之 间多采用光纤互联，以提高系统的传输性能和吞吐量。一般来说，用户访问控制会安排 在接入层，但这并非绝对，也可以安排在汇聚层进行。在汇聚层实现安全控制和身份认 证时，采用的是集中式的管理模式。 当网络规模较大时，可以设计综合安全管理策略， 例如在接入层实现身份认证和mac地址绑定，在汇聚层实现流量控制和访问权限约束。 .3 接入层接入层 向本地网段提供用户接入、主要提供网络分段、广播能力、多播能力、介质访问的 安全性、mac地址的过滤和路由

46、发现等任务。 接入层通常指网络中直接面向用户连接或访问的部分。接入层目的是允许终端用户 连接到网络，因此在接入层我们将采用具有低成本和高端口密度特性的交换机。接入交 换机是最常见的交换机，它直接与外网联系，使用最广泛，尤其是在一般办公室、小型 机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。在传输 速度上，现代接入交换机大都提供多个具有10m/100m/1000m自适应能力的端口。 在接入层是最终用户(员工) 与网络的接口，它应该提供即插即用的特性，同时应该 非常易于使用和维护。当然我们也应该考虑端口密度的问题接入层由无线网卡、ap和 l2switch组成，按照宽带网络的

47、定义，接入层的主要功能是完成用户流量的接入和隔离。 对于无线局域网wlan用户，用户终端通过无线网卡和无线接入点ap完成用户接入。 接入层交换机一般用于直接连接电脑，具有低成本和高端口密度特性。接入层交换 机端口的input 指服务器向交换机端口发送的数据，即是服务器发送出去的数据。接入 层交换机端口的output 指交换机端口向服务器传输的数据，即是服务器收到的数据。 3.33.3 核心层设计核心层设计 核心交换区的作用是高效速度传输数据，是所有流量的最终承受者和汇聚者，推荐 使用高端设备。我们推荐使用cisco catalyst 3750三台三层交换机为网络提供可靠、高 速、安全的服务。

48、3750系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性， 里程碑地提升了堆叠式交换机在局域网中的工作效率。这个产品系列采用了最新的思科 stackwise智能堆叠技术，不但实现高达32gbps的堆叠互联，还从物理上到逻辑上使若干 独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统 - 就 好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。 3750系列最多可以将9个交换机堆叠在一起，构成一个统一的逻辑单元，其中总共包 含468个以太网或以太网供电10/100端口或者252个以太网10/100/1000端口、或9个10gb 以太网端口。

49、各个10/100、10/100/1000和10gb以太网单元可以根据网络的需要任意组合。 3750系列可以使用标准多层软件镜像（smi）或者增强多层软件镜像（emi）。smi功 能集包括先进的服务质量（qos）、速率限制、访问控制列表（acl）和基本的静态和路 由信息协议（rip）路由功能。emi可以提供一组更加丰富的企业级功能，包括先进的、 基于硬件的ip单播和组播路由。 3.43.4 接入层设计接入层设计 接入层交换机采用思科的 ws-c2960 系列的二层交换机以千兆以太链路和汇聚交换机 相连接，并为员工终端提供 10/100m 自适应的接入，从而形成千兆为骨干，百兆到桌面 的以太网三层

50、结构。 接入层交换机一般用于直接连接办公系统，具有低成本和高端口密度特性。接入层 交换机端口的 input 指服务器向交换机端口发送的数据，即是服务器发送出去的数据。 接入层交换机端口的 output 指交换机端口向服务器传输的数据，即是服务器收到的数据。 我们在核心层和汇聚层的设计中主要考虑的是网络性能和功能性要高，那么我们在 接入层设计上主张使用性能价格比高的设备。接入层是最终用户(员工) 与网络的接口， 它应该提供即插即用的特性，同时应该非常易于使用和维护。当然我们也考虑端口密度 的问题。 3.53.5 内联接入内联接入 内联接入的作用是用于连接北京总部和北京分部。我们推荐使用两台cis

51、co 2821系 列路由器完成此项功能。由于总部网络和分部机房属于公司的内部网络的一部分，因此 我们将着重重视数据的安全性、可靠性。 cisco 2821系列具有以下功能： 集成语音留言 范围广泛的话音接口 支持 srst, 分支机构可利用集中呼叫控制, 并通过srst冗余性为ip电话经济有效地 提供本地 分支机构备份 cisco 2821还支持qos，包含网络扩展性，具有内置防火墙功能，提高内部网络的安全 性、可靠性。 第第4 4章章 路由设计路由设计 4.14.1 路由协议选择路由协议选择 ospf全称为开放式最短路径优先协议（open shortest-path first），ospf采

52、用链 路状态协议算法，每个路由器维护一个相同的链路状态数据库，保存整个as的拓扑结构。 一旦每个路由器有了完整的链路状态数据库。对于大型的网络，为了进一步减少路由协 议通信流量，利于管理和计算，ospf将整个as划分为若干个区域，区域内的路由器维护 一个相同的链路状态数据库，保存该区域的拓扑结构。 ospf支持各种不同鉴别机制，并且允许各个系统或区域采用互不相同的鉴别机制；提供 负载均衡功能；ospf属动态的自适应协议，对于网络的拓扑结构变化可以迅速地做出反 应，进行相应调整，提供短的收敛期，使路由表尽快稳定化，并且与其它路由协议相比， ospf在对网络拓扑变化的处理过程中仅需要最少的通信流量

53、；ospf提供点到多点接口， 支持无类型域间路由地址。 4.24.2 路由规划拓扑图路由规划拓扑图 4.34.3 ipip 地址规划地址规划 标识网络中的一个节点。ip 地址空间的分配，要与网络层次结构相适应，既要有效 地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求， 提高路由算法的效率，加快路由变化的收敛速度。 我们根据以下几个原则来分配ip 地址： 唯一性唯一性：一个ip 网络中不能有两个主机采用相同的ip 地址 简单性：简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项 连续性：连续性：连续地址在层次结构网络中易于进行路由总结(router

54、summarization)，大 大缩减路由表，提高路由算法的效率 可扩展性可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结 所需的连续性 灵活性：灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术(vlsm variable- length subnet mask)，以满足多种路由策略的优化，充分利用地址空间。 vlan的划分： 总部 vlan 虚拟ip 销售部 vlan1054 财务部 vlan2054 人事部 vlan3054 网络部 vlan4054 市场部 v

55、lan5054 经理 vlan6054 ip 地址的划分: 总部ip 地址子网 销售部 财务部 人事部 网络部 市场部 经理 第第 5 5 章章 网络安全解决方案网络安全解决方案 5.15.1 网络边界安全威胁分析网络边界安全威胁分析 把不同安全级别的

56、网络相连接，就产生了网络边界。防止来自网络外界的入侵就 要在网络边界上建立可靠的安全防御措施。非安全网络互联带来的安全问题与网络内 部的安全问题是截然不同的，主要的原因是攻击者不可控，攻击是不可溯源的，也没 有办法去“封杀” 。 一一般般来来说说网网络络边边界界上上的的安安全全问问题题主主要要有有下下面面几几个个方方面面： 5 5. .1 1. .1 1、信信息息泄泄密密： 网络上的资源是可以共享的，但没有授权的人得到了他不该得到 的资源，信息就泄露了。一般信息泄密有两种方式： 攻击者(非授权人员 )进入了网络，获取了信息，这是从网络内部的泄密 合法使用者在进行正常业务往来时，信息被外人获得，

57、这是从网络外部的泄密 我们给贵公司设计的各部门之间的vlan 划分，不同的 vlan 之间不能随意的访 问，我们会设计权限和密码才能访问。 5 5. .1 1. .2 2、入入侵侵者者的的攻攻击击： 互联网是世界级的大众网络，网络上有各种势力与团体。入 侵就是有人通过互联网进入你的网络 (或其他渠道 )，篡改数据，或实施破坏行为，造 成你网络业务的瘫痪，这种攻击是主动的、有目的、甚至是有组织的行为。 我们给贵公司设计的 pix 防火墙能设计策略，规定可以访问的服务，哪些人可以 访问，防止一些不必要的入侵攻击。 5 5. .1 1. .3 3、网网络络病病毒毒： 与非安全网络的业务互联，难免在通

58、讯中带来病毒，一旦在你的 网络中发作，业务将受到巨大冲击，病毒的传播与发作一般有不确定的随机特性。这 是“无对手”、“无意识”的攻击行为。 我们为贵公司购买了正版的金山毒霸的杀毒软件，给内部的员工机器安装上，防 止员工机器上的客户资料收到病毒和木马的破坏。 5 5. .1 1. .4 4、木木马马入入侵侵： 木马的发展是一种新型的攻击行为，他在传播时象病毒一样自由 扩散，没有主动的迹象，但进入你的网络后，便主动与他的“主子”联络，从而让 主子来控制你的机器，既可以盗用你的网络信息，也可以利用你的系统资源为他工作， 比较典型的就是 “僵尸网络”。 5.25.2 网络内部安全威胁分析网络内部安全威

59、胁分析 内部网络的风险分析主要针对整个内部网的安全风险主要表现一下几个方面： 内部用户的非授权访问，安博集团的内部资源也不是对任何的员工开放的，也需 要相应的访问权限内部用户的非授权的访问。更容易造成资源和重要信息的泄露 内部用户的误操作：由于内部用户的计算机造作的水平参差不齐，对于应用软件 的理解也各不相同，如果一部分软件没有相应的对误操作的防范措施，极容易给服务 系统各其他主机造成危害 内部用户的恶意攻击：就网络安全来说，据统计约有70%左右的攻击来自内部用 户，相比外部攻击来说，内部用户具有更得天独厚的的优势，因此对内部用户攻击的 防范也很重要。 设备的自身安全行也会直接关系到安博公司网

60、络系统和各种网络应用的正常运行， 例如，路由设备存在路由信息泄露，交换机和路由器设备配置风险 5.35.3 安全产品选型原则安全产品选型原则 公司网络需要在考虑安全性的前提下，综合系统的其它性能，不影响网络系统运行 效率、不影响正常的业务，定下系统综合服务品质参数，在此基础上，以不降低综合服 务品质为原则，对信息安全产品进行选型。 选型原则包括： 安全性原则安全性原则：产品系统具有多层次的安全保护措施，可以满足用户身份鉴别、访问 控制、数据完整性、可审核性和保密性传输等要求； 标准性标准性：网络安全产品选型符合国家标准，产品的质量以及属性必须达到国家所要 求的，符合本产品的性能； 扩展性原则扩