中国矿业大学计算机网络与安全实践设计报告.doc

1、计算机网络与安全实践设计报告 计算机网络与安全实践设计报告 某集团公司局域网设计 专 业： 信息安全 班级:09-3 班 小组成员：管宇佳 吴春姗 丁君 指导教师： 李锡渝职称：实验师 中国矿业大学计算机科学与技术学院 2012年6月 徐州 ii 计算机网络与安全实践设计报告 题目 某集团公司局域网设计 设计日期 2012年6月11日至 2012年6月18日 小组成员 在本次设计中承担的任务 文档成绩 管宇佳 网络拓扑设计及设备选型 吴春姗 需求分析调查、案例分析以及实验报告 丁君 具体网络配置 指导教师签字： 年 月日 23 目录 一、引言5 1.1建立企业局域网的必要性 5 1.2需求分析

2、5 二、网络设计的目标与要求 6 2.1问题重述6 2.2整体设计策略6 2.3网络设计步骤6 三、背景知识与分析 6 3.1背景知识6 四、方案设计与实现7 4.1总体规划7 4.2设备选择8 4.2.1选型原则8 4.2.2网络层次划分硬件系统结构硬件选择 8 4.3网络拓扑设计9 4.4 VLAN与IP地址规划 10 4.5设备配置10 4.5.1路由器交换机的基本配置 10 4.5.2 配置VLAN 10 4.5.3 配置VTP 11 4.5.4配置动态路由协议 12 4.5.5 配置DHCP12 4.5.6 配置NAT13 4.5.7配置默认路由 14 4.5.8 配置 VPN 14

3、 4.6 NAT设计分析15 4.7路由协议的规划 15 4.7系统安全设计16 五、网络安全设计与管理 16 5.1病毒防治16 5.2建立防火墙 17 5.3网络的保密措施17 5.4数据安全性和完整性措施 18 六、本方案的系统特点 19 6.1合理的系统结构 19 6.2可靠的安全防护19 6.3充分的扩充余地20 6.4稳定的系统性能 20 七、结束语20 八、致谢20 一、引言 21世纪是一个信息技术高度发达的社会，无论是办公或者是通信都离不开计算机。现 在的人越来越依靠于计算机，再加上电子商务行业的飞速发展In ternet的应用也更加广泛。 由于这样的社会环境人们对各种数据形式

4、的信息需求和交流的不断增长，使得当今的计算机 网络，特别是In ternet从传统的数据处理设备(如计算机)和管理工具中驳离出来，担当一 个非常重要的角色 信息技术的基础设施与获取、共享和交流信息的主要工具，并成为人 们在当今社会生活及工作中不可缺少的组成部分。经过了几年的迅猛发展，计算机网络已经 在很多方面改变了人们传统的工作和生活方式Web浏览、E mail、QQ (上网聊天)、VOD (视频点悉播)、文件传输、远程诊断、电子商务、网络大学及虚拟学校等无一不与计算机 网络有着千丝万缕的联系。这些基于网络的各种应用，正在以惊人的速度扩展，几乎渗透到 了社会生活的各个方面。因此，在全球信息电子

5、化、网络化迅速发展的大环境下，无论是从 大趋势上看，还是从自身商业利益角度考虑，建立企业内部局域网是企业顺应时代潮流的必 由之路。 1.1建立企业局域网的必要性 (1) 建立企业内部局域网，可以充分利用企业现有的硬件资源。节约公司开支，实现无 纸化办公。提高企业员工的工作效率，由于局域网企业内部的资源可以得到共享，避免了不 必要的重复工作也可以提高时间的利用率； (2) 局域网建成后可以节约企业在使用网络资源方面节约更多的开支，便于公司员工查 阅和接受网络信息，也可以简化公司对计算机的日常维护和管理，节约维护成本； (3) 建立局域网提高公司在办公自动化水平和企业内部应用电子商务的能力，逐步实

6、现 业务级网络应用。更有利于企业获得更快、更准确的市场信息，为公司决策提供更科学的依 据等； (4) 建立了局域网也可以使外界能更快更好的认识本企业，加强企业的知名度。 1.2需求分析 为了能让公司更好的与现代社会的发展接轨，更快的获取市场信息及为了让外界了解该 本公司的相关信息特组建企业网，以实现对“公司档案管理” 、“产品信息”、“供求信息”等 进行计算机网络化管理。 网络功能 根据公司现有规模，业务需要及发展范围建立的网络有如下功能： 1建立公司自己的网站，可向外界发布信息，并进行网络上的业务。 2要求供销部可以连接In ternet，与各企业保持联络，接受订单及发布本公。 3司产品信息

7、。其他部门都不能连接In ternet，但要求公司内部由网络连接。 4公司内部网络实现资源共享，以提高工作效率。 5建立网络时应注意网络的扩展性，以方便日后的网络升级和增加计算机。 6司内部建立公司的数据库，如员工档案，业务计划，会议日程等。 二、网络设计的目标与要求 2.1问题重述 某集团公司共六个分公司，其中四个在集团工业园内各个建筑物内，总部为工业园内 30层的主楼，第一分公司与主楼相距50米，第二分公司与主楼相距 50米，第三分公司与 主楼相距5公里，第四分公司与主楼相距 8公里，另外两个分公司在另外的两个城市有各自 的办公楼。各公司及总部都有自己的计算机室，财务部，行政部，生产部，研

8、发部，后勤部, 业务部及人力资源部。 2.2整体设计策略 因特网投入和区域网分离 首先，在项目的具体设计过程中，我们需要将因特网接入部分和集团公司园 区网络主体部分进行分离，这样的话让每一部分完成其自身的功能， 可以减少两 者之间的相互影响。其次，因特网接入的变化，只影响接入的变化，对集团公司 园区网络没有影响；而园区网络的变化对因特网接入部分影响较小。这样可以增 强网络的扩展能力。保持网络层次结构清晰，便于管理和维护。 降低各子公司间的网络关联度 由于各子公司之间主要是与集团公司进行业务的往来。子公司之间的业务往 来比较少，因此降低这部分的网络关联，可以最大限度的减少各个子公司网络之 间的相

9、互影响，便于分别管理，或者在不同子公司扩展网络的新应用。 统一标准，统一管理 在整个操作完成中，我们采用统一的IP应用标准（IP地址，路由协议）， 安全标准， 接入标准和网络管理平台，这样才能实现真正的统一管理，便于集 团的管理和网络策略的实施。 2.3网络设计步骤 对公司网络系统整体方案设计 对接入层交换机进行配置 对汇聚层设备选型 对核心层设备选型 对广域网接入路由器进行配置 对远程访问服务器进行配置 对整个公司网系统进行测试 三、背景知识与分析 3.1背景知识 路由、交换与远程访问技术是现代计算机网络领域中三大支撑技术体系。它们几乎涵盖 了一个完整园区网实现的方方面面。 路由技术：路由协

10、议工作在 OSI参考模型的第3层，因此它的作用主要是在通信子网间 路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路 由任务，利用访问控制列表( Access Control List，ACL)，路由器还可以用来完成以路由器为 中心的流量控制和过滤功能。在本题案例设计中，内网用户不仅通过路由器接入因特网、内 网用户之间也通过 3层交换机上的路由功能进行数据包交换。 交换技术：传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第 3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强 了园区网数据交换服务质量，满足了不同类型

11、网络应用程序的需要。现代交换网络还引入了 虚拟局域网(Virtual LAN, VLAN)的概念。VLAN将广播域限制在单个 VLAN内部，减小了 各VLAN间主机的广播通信对其他 VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN 间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协 议(Vlan Trunking Protocol，VTP)简化管理，它只需在单独一台交换机上定义所有VLAN。 然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络 管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性

12、，在园 区网内部数据交换的部署是分层进行的。园区网数据交换设备可以划分为三个层次：访问层、 分布层、核心层。访问层为所有的终端用户提供一个接入点；分布层除了负责将访问层交换 机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能；核心层将各分布层交换机 互连起来进行穿越园区网骨干的高速数据交换。在本工程案例设计中， 也将采用这三层进行 分开设计、配置。 远程访问技术：远程访问也是园区网络必须提供的服务之一。它可以为家庭办公用户和 出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型：专线连接、电路交换 和包交换。不同的广域网连接类型提供的服务质量不同，花费也不相同。企业用户可以根据

13、 所需带宽、本地服务可用性、 花费等因素综合考虑，选择一种适合企业自身需要的广域网接 入方案。)在本工程案例设计中，分别采用专线连接(到因特网)和电路交换(到公司网) 两种方式实现远程访问需求。 作为一个较为完整的公司网实现，路由、交换与远程访问技术缺一不可。在后面的内容 中，我们将就每一技术领域的常用技术的实现进行详细的讨论。通过本书后面章节的学习， 相信读者能够系统地掌握园区网的设计、实施以及维护技巧。 四、方案设计与实现 4.1总体规划 采用的是层次设计模型，即分别有核心层，汇聚层和接入层，这样的设计模型便于对整 个网络的管理与排错，但对核心交换机的性能要求较高。因此，本网使用两台核心交

14、换机， 并且汇聚层交换机都分别与两台核心层交换机相连，然后采用HSRP协议，当其中一台核心 交换机出现故障时能很快地切换到另一台核心交换机上，起到很好的备份作用， 保证了网络 的稳定性。 总部与其中四个公司距离不远，采用光纤接入，可保障数据的快速传输。但分公司5 和分公司6因为在不同的城市， 距离较远，拉专线相连开销过大，因此我们将总公司和分公 司的边缘路由器都连到In ternet上，然后采用 VPN技术使分公司能与总公司能够互相通信。 考虑到分公司较多， 可能需要传递的路由条目比较多， 因此，本网运行当今中大型网络 中主流的动态路由协议 OSPF OSPF使用区域的概念，当网络拓扑发生改变

15、时，影响的范围只 限制在局部的本区域内，避免对全网的影响。 由于公司内部使用的都是私有IP地址，因此边缘路由器上我们需要采用NAT技术把私 有IP地址转换为公有IP地址才能访问In ternet。 所有边缘路由器先连接防火墙再连接到 In ternet，防火墙连接In ternet的接口设置为外 部接口，连接公司边缘路由器的接口为内部接口，连接服务器的接口为DMZ。这样可预防 外部人员对公司的网络进行攻击，为网络提供了一定的安全保障。 4.2设备选择 4.2.1选型原则 我们在网络系统设计时考虑如下特点： 稳定可靠的网络： 一般来说，只有运行稳定的网络才是可靠的网络，而网络的可靠运行 取决于诸

16、多因素，要求有物理层、数据链路层和网络层的备份技术。 高带宽：为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先 进水平。要采用最先进的网络技术，以适应大量数据和多媒体信息的传输，所以采用高宽带 传输。 易扩展的网络：系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网 络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断 升级。 安全性：网络系统应具有良好的安全性， 才能使用户用着比较合适， 由于网络连接园区 内部所有用户，安全管理十分重要。所以应支持VLAN的划分，并能在 VLAN之间进行第三 层交换时进行有效的安全控制，以保证系统的

17、安全性。 容易控制管理：因为上网用户很多，因此我们需要管理好他们的通信，做到既保证一定 的用户通信质量，又合理的利用网络资源。 4.2.2网络层次划分硬件系统结构硬件选择 接入层：Cisco Catalyst 2960系列智能以太网交换机是一个全新的、固定配置的独立设备 系列，提供桌面智能以太网，可与10/100/1000千兆以太网连接，可为入门级企业、中型市 场和分支机构网络提供增强LAN服务。 Cisco Catalyst 2960 可提供： ?集成安全特性，包括网络准入控制(NAC) ?高级服务质量(QoS)和永续性 ?为网络边缘提供智能服务 汇聚层：Cisco? Catalyst? 3

18、560-E系列交换机（图1）是一个企业级独立式配线间交换机系 列，支持安全融合应用的部署，并能根据网络和应用需求的发展，最大限度地保护投资。通 过将10/100/1000和以太网供电（PoE）配置与万兆以太网上行链路相结合，Cisco Catalyst 3560-E能够支持IP电话、无线和视频等应用，提高了员工生产率。 Cisco Catalyst 3560-E系列的主要特性： ?Cisco Twi nGig转换器模块，将上行链路从千兆以太网移植到万兆以太网 ?PoE配置，为所有48个端口提供了 15.4W PoE ?模块化电源，可带外部可用备份电源 ?在硬件中提供组播路由、IPv6路由和访问

19、控制列表 ?带外以太网管理端口，以及RS-232控制台端口 核心层：通过Cisco Catalyst 6500系列交换机远程对网络进行有效的扩展、虚拟化、保 护和管理。Cisco Catalyst 6500系列提供功能丰富的高性能平台，适合在园区、数据中心、 WAN和城域以太网网络部署，为无边界网络奠定了坚实的基础，从而让您能够随时随地任 意连接。 Cisco Catalyst 6500系列交换机主要特性： ?扩展性能与网络服务 ?虚拟交换系统 ?安全 ?网络虚拟化 ?集成服务与运营效率 4.3网络拓扑设计 图1网络拓扑 4.4 VLAN与IP地址规划 部门 VLAN IP地址 计算机室 10

20、 172.16.10/24 财务部 20 172.16.20.0/24 行政部 30 172.16.30.0/24 生产部 40 172.16.40.0/24 研发部 50 172.16.50.0/24 后勤部 60 172.16.60.0/24 业务部 70 172.16.70.0/24 人力资源部 80 172.16.80.0/24 4.5设备配置 4.5.1路由器交换机的基本配置 Routere nable /从用户模式进入特权模式 Router#c on figure term inal /进入全局配置模式 Router(config)#hostname My1-Router /设置设

21、备名称 My1-Router(co nfig)#li ne vty 0 4 My1-Router(c on fig-li ne)#password cisco My1-Router(config-line)#privilege level 15 /设置登录密码，设置等级为15级 Switche nable My1-Router Switch#c on figure termi nal Switch(co nfig)#host name My1-Switch My1-Switch(config)#interface fastEthernet 0/1 My1-Switch(c on fig-if)

22、# no switchport My1-Switch(co nfig-if)#exit My1-Switch(co nfig)#l ine vty 0 4 My1-Switch(config-line)#password cisco My1-Switch(config-line)#privilege level 15 4.5.2 配置 VLAN My1-Switch(co nfig)# vlan 10 / 仓U建 VLAN My1-Switch(c on fig-vla n)# n ame Computer II设置VLAN名字 My1-Switch(config-vlan)# exit My

23、1-Switch(co nfig)# vlan 20 My1-Switch(c on fig-vla n)#n ame Finance My1-Switch(co nfig-vla n)#exit My1-Switch(config)#vlan 30 My1-Switch(c on fig-vla n)#n ame Admi nistratio n My1-Switch(co nfig-vla n)#exit My1-Switch(config)#vlan 40 My1-Switch(config-vlan)#name Production My1-Switch(co nfig-vla n)#

24、exit My1-Switch(config)#vlan 50 My1-Switch(co nfig-vla n)# name R&D My1-Switch(co nfig-vla n)#exit My1-Switch(config)#vlan 60 My1-Switch(config-vlan)#name Logistics My1-Switch(co nfig-vla n)#exit My1-Switch(config)#vlan 70 My1-Switch(c on fig-vla n)# name Busin ess My1-Switch(co nfig-vla n)#exit My1

25、-Switch(config)#vlan 80 My1-Switch(co nfig-vla n)#n ame HR My1-Switch(co nfig-vla n)#exit 交换机互联接口设为trunk接口 ACCESS1(co nfig)#i nterface FastEthernetO/1 vlan ACCESS1(co nfig-if)# switchport mode trunk 交换机连接终端的接口设为access接口，并划入 ACCESS1(co nfig)#i nterface FastEthernet02 ACCESS1(co nfig-if)# switchport a

26、ccess vlan 10 ACCESS1(co nfig-if)# switchport mode access 4.5.3 配置 VTP My1-Switch(c on fig)#vtp doma in ccie /设置VTP域名 My1-Switch(c on fig)#vtp password cisco /设置VTP密码 My1-Switch(config)#vtp mode server /设置VTP模式 4.5.4配置动态路由协议 My1-Switch(con fig)# router ospf 110 /开启OSPF进程 My1-Switch(co nfig-router)#

27、router-id 1.1.1.1 / 设置 OSPF的 router-id My1-Switch(co nfig-router)# network 172.16.1.1 0.0.0.0 area 0 /宣告路由进区域0 4.5.5 配置 DHCP Switch(co nfig)# ip dhcp pool VLAN10 / 设置 DHCP池 Switch(dhcp-co nfig)# network 172.16.10.0 255.255.255.0 /为用户分配的IP地址 Switch(dhcp-config)# default-router 172.16.10.254 /告诉用户DHCP

28、网关路由器IP Switch(dhcp-co nfig)# dn s-server 202.100.100.100 /告诉用户DNS服务器的IP。 Switch(co nfig)# ip dhcp pool VLAN20 Switch(dhcp-co nfig)# network 172.16.20.0 255.255.255.0 Switch(dhcp-config)# default-router 172.16.20.254 Switch(dhcp-co nfig)# dn s-server 202.100.100.100 Switch(co nfig)#ip dhcp pool VLAN

29、30 Switch(dhcp-co nfig)# network 172.16.30.0 255.255.255.0 Switch(dhcp-co nfig)#default-router 172.16.30.254 Switch(dhcp-co nfig)#d ns-server 202.100.100.100 Switch(co nfig)#ip dhcp pool VLAN40 Switch(dhcp-co nfig)# network 172.16.40.0 255.255.255.0 Switch(dhcp-co nfig)#default-router 172.16.40.254

30、Switch(dhcp-co nfig)#d ns-server 202.100.100.100 Switch(co nfig)#ip dhcp pool VLAN50 Switch(dhcp-config)#network 172.16.50.0 255.255.255.0 Switch(dhcp-co nfig)#default-router 172.16.50.254 Switch(dhcp-co nfig)#d ns-server 202.100.100.100 Switch(co nfig)#ip dhcp pool VLAN60 Switch(dhcp-co nfig)# netw

31、ork 172.16.60.0 255.255.255.0 Switch(dhcp-co nfig)#default-router 172.16.60.254 Switch(dhcp-co nfig)#d ns-server 202.100.100.100 Switch(co nfig)#ip dhcp pool VLAN70 Switch(dhcp-co nfig)# network 172.16.70.0 255.255.255.0 Switch(dhcp-co nfig)#default-router 172.16.70.254 Switch(dhcp-co nfig)#d ns-ser

32、ver 202.100.100.100 Switch(co nfig)#ip dhcp pool VLAN80 Switch(dhcp-co nfig)# network 172.16.80.0 255.255.255.0 Switch(dhcp-co nfig)#default-router 172.16.80.254 Switch(dhcp-co nfig)#d ns-server 202.100.100.100 4.5.6 配置 NAT My1-Router(co nfig)#access-list 1 permit 172.16.0.0 0.0.255.255 /定义标准ACL,匹配需

33、要转换为公有IP的内网地址 My1-Router(c on fig)#ip n at i nside source list 1 in terface f0/ 0 /配置基于端口的NAT My1-Router(co nfig)#i nterface f0/1 My1-Router(c on fig-if)#ip nat in side /设置NAT入向接口 My1-Router(co nfig)#exit My1-Router(co nfig)#i nterface f1 /0 My1-Router(c on fig-if)#ip nat in side My1-Router(co nfig)

34、#exit My1-Router(co nfig)#i nterface f1 /0 My1-Router(c on fig)#ip nat outside /设置NAT出现接口 My1-Router(co nfig)#exit 4.5.7配置默认路由 所以边界路由器设置一条默认路由指向运营商 My1-Router(config)#iip route 0.0.0.0 0.0.0.0 100.1.1.1 4.5.8 配置 VPN My1-Router(c on fig)# in terface Tunn el1 My1-Router(config-if)# ip address 192.168.

35、10.4 255.255.255.0 My1-Router(config-if)# tunnel source FastEthernet0/ 0 My1-Router(config-if)# tunnel destination 200.1.1.2 My1-Router(co nfig)# in terface Tu nn el2 My1-Router(co nfig-if)# ip address 192.168.20.4 255.255.255.0 My1-Router(config-if)# tunnel source FastEthernet0/ 0 My1-Router(config

36、-if)# tunnel destination 200.20.1.3 My1-Router(c on fig)# crypto isakmp policy 1 My1-Router(c on fig-isakmp)# encr 3des My1-Router(config-isak mp)# authentication pre-share My1-Router(c on fig-isakmp)# group 2 My1-Router(co nfig)# crypto isakmp key cisco address 0.0.0.0 0.0.0.0 My1-Router(c on fig)#

37、 crypto ipsec tran sform-set CCIE esp-3des esp-sha-hmac My1-Router(c on fig)# crypto map FF 1 ipsec-isakmp My1-Router(co nfig-crypto-map)# set peer 200.1.1.2 My1-Router(c on fig-crypto-map)# set tran sform-set CCIE My1-Router(c on fig-crypto-map)# match address 100 My1-Router(c on fig)# crypto map F

38、F 2 ipsec-isakmp My1-Router(co nfig-crypto-m ap)# set peer 200.20.1.3 My1-Router(c on fig-crypto-map)# set tran sform-set CCIE My1-Router(c on fig-crypto-map)# match address 101 My1-Router(config)# access-list 100 permit gre host 100.1.1.4 host 200.1.1.2 My1-Router(config)# access-list 101 permit gr

39、e host 100.1.1.4 host 200.20.1.3 查看VPN配置状况： My1-Router#show crypto isakmp sa 4.6 NAT设计分析 NAT包括三种类型，分别是静态 NAT、动态NAT和端口复用 NAT （艮卩PAT。它主要思想 是把本地的私有IP地址映射到公网的合法 IP地址，以缓解可用IP地址空间的消耗。 而PAT, 是最流行NAT配置类型。复用实际上是动态NAT的一种形式，它映射多个私有IP地址到单 独一个公网合法IP地址，形成多对一的关系，实现方式便是通过使用不同的端口。因此， 它又被称为端口地址映射（PAT）o通过使用PAT,可实现上千个用

40、户仅通过一个真实的公网 IP地址连接到In ternet.再此，我们选择使用这种端口复用NAT。 在PAT转换中，使用到了端口号， 所谓复用，是全部的内部主机被转换成一个单独的IP 地址。如图所示，边界路由器把内部本地地址转换为内部全局地址，所不同的是每个转换都 带上了端口号。端口号作用于传输层， 加上端口号便可帮助路由器识别哪一台主机接收返回 的流量。内部主机 10.1.1.1请求外部服务器 63.40.7.3的资源，发送的请求数据包在路由器 处被修改，转换成一个公网IP与随机端口号的组合，并纪录在NAT转换表中。当外部服务 器返回响应数据包到路由器时，虽然内部全局IP地址都相同，但可以根据

41、所分配的端口号 来识别源主机，从而把返回的流量送往请求服务的源内部主机。静态与动态NAT都是使用 IP地址识别源主机，由于PAT允许使用传输层的端口号来识别主机，便可以更加节省公网的 合法IP地址。 10.1.1.3 DA SA 10.1.1.1 172.168.2.2 63.41.7.3 DA 172.168.2.2 10.1.1.2 Internet 63.40.7.3 DA 172.168.2.2 10.1.1.1 SA 10.1.1.1 iGL TOI TJ:J05寸 U0 TeE53 农寸0匕乜：33 1Gb IQ 1 rSJASS JA0 ICS S S US2 es i l A3

42、33 JO, J J-3：JJ33 110 JeS 3 3=K53 3t 1333 JOJJl lb舟 IL哪?Tp轉口 IL WF1期已 JdVLig 4.7路由协议的规划 策略路由（PBR） Cisco 3560系列以太网路由交换机支持高性能的策略路由。策略路由（Policy-Based Routing ,简称PBR是目前越来越多的路由器或三层交换机设备正在支持的一项路由扩展功 能，支持策略路由的设备不仅能以报文的目的IP地址为依据来进行路由选择，还可以以报 文的源IP地址、源 MAC地址、报文大小、报文进入的端口、报文类型、报文的VLAN属性 等等其它扩展条件来选择路由。通过合理的路由策

43、略设计，可以实现网络流量的负载均衡, 充分利用路由设备， 并实现路由、交换设备之间的冗余备份功能，同时提供各种可以区分的 服务等级，为不同用户提供不同的QoS服务。策略路由是设置在接收报文接口而不是发送 接口。Cisco6509系列以太网路由交换机可以很好地支持策略路由功能，并且可以将路由下 一跳重定向到某个物理端口，或者某个下一跳IP地址。 我们使用的结构星形网络拓扑结构，如上面整体设计结构示意图，对于星形结构来说， 能在内部路由采用 OSPF v2,对于外部路由采用 BGP4内部路由在层次上能分为两层：骨干 路由层和接入层。 骨干路由层 原则上采用 OSPF v2 OSPF v2是由RFC

44、1583定义，适用于自治域内的路由规划，有较强 的域内路由分区和负载分担的功能 ，更重要的是他是一种开放的标准 ，各种厂家的设备均支持 不必担心不同厂家设备之间的路由协议的兼容问题。 接入层路由 一般采用静态路由，只有在用户的网络确实需要采用动态路由协议时才分情况采用 OSPF或 BGP。外部路由协议采用BGP4协议。BGP4是边界网关协议，适用于独立的 自治域管理系统，有非常强的策略路由和流量控制，路由过滤的功能国内大多数 IP网络的骨干网络协议均选用 BGP4 综上，对于总公司与两个外地分公司的连接采用城域网外部路由的规划设计即BGP4协 议，而对于本地的四个分公司与总公司的连接采用城域网

45、内部路由规划设计，即汇接层路由 器设计成区域边界路由器。各个汇接区域内接入路由器设计成域内路由器，运行OSPF协议。 4.7系统安全设计 网络系统的运行安全，主要是保护集团的信息安全，必须进行网络安全方面的规划和实 施。首先，我们要有严格和有效执行的管理制度。建议集团制定严格的网络安全管理策略， 并有效的执行。其次，必须具有一定的技术手段来保障网络的安全。技术和管理手段相结合 实施，才能够产生良好的效果。通过以下几个技术方面的实施， 可以在一定程度上保障网络 的安全： 1提高设备的物理安全性 2配置设备的口令 3进行VTP域的认证 4园区网用户的接入控制 5应用系统的访问控制 6因特网的接入安

46、全控制 五、网络安全设计与管理 1、禁用没用的服务 Windows提供了许许多多的服务。 Telnet就是一个非常典型的例子。在Windows2003的服务中是怎么解释的：允许远程 用户登录到系统并且使用命令行运行控制台程序”。建议禁止该服务 还有一个值得一提的就是 NetBIOS。 Windows还有许多服务，在此不做过多地介绍。可以根据自己实际情况禁止某些服务。 禁用不必要的服务，除了可以减少安全隐患 2、打补丁 Microsofe公司时不时就会在网上免费提供一些补丁，可以去打补丁。除了可以增强兼 容性外，更重要的是堵上已发现的安全漏洞。 3、反病毒监控 选择一流的反病毒软件。用反病毒软件

47、的根本目的是防病毒。另外，安装反病毒软件后 必须对其进行必要的设置和时刻开启反病毒监控。这样才能发挥其最大的威力。 5.2建立防火墙 网络地址转化一NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允 许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器 取得注册的IP地址。 在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址 和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网 络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络 时，它并不知道内部

48、网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。 OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙 认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当 不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。 网络地址转换的过程对于用户来说是透明的，不需要用户进行设置， 用户只要进行常规操作 即可。 5.3网络的保密措施 1、堵住服务器操作系统安全漏洞 任何网络操作系统的安全性都是相对的，无论是UNIX还是NT都存在安全漏洞，他们 的站点会不定期发布系统补丁，系统管理员应定期下载，及时堵住系统

49、漏洞。 2、注意保护系统管理员的密码 用户名和密码应当设置合理，口令应大小写混合，最好加上特殊字符和数字，至少不能 少于16位，同时应定期修改；口令不得以明文方式存放在系统中；建立帐号锁定机制，当 同一帐号的密码校验错误若干次时，自动断开连接并锁定该帐号。 3、关闭不必要的服务端口 谨慎开放缺乏安全保障的端口：很多黑客攻击程序是针对特定服务和特定服务端口的。 a、 常用服务端口有：WEB: 80, SMTP: 25, POP3: 110，可根据情况选择关闭。 b、 比较危险（很可能存在系统漏洞）的服务端口： TELNET 23，FINGER 79,建议关闭 掉。 c、对必须打开的服务（如SQL

50、数据库等）进行安全检查。 4、制定完善的安全管理制度 定期使用网络管理软件对整个局域网进行监控，发现问题及时防范。定期使用黑客软件 攻击自己的系统，以便发现漏洞，及时补救。 谨慎利用共享软件，不应随意下载使用共享软 件。做好数据的备份工作，有了完整的数据备份。 5、注意WEB服务的安全问题 WEB编程人员编写的 CG、ASP、PHP等程序存在的问题，会暴露系统结构或使服务目 录可读写，这样黑客入侵的发挥空间就更大。在给WEB服务器上传前，要进行脚本安全检 查。 6、警惕DOS攻击和DDOS攻击 DOS攻击和DDOS攻击可以使网站系统失去与互联网通信的能力，甚至于系统崩溃。建 议：如果有条件允许

51、的话，可以使用具有DoS和DdoS防护的防火墙。 5.4数据安全性和完整性措施 数据安全性和完整性就是数据的安全技术。为了解决上述问题，就必须利用另外一种安 全技术-数字签名。 PKI（ Publie Key Infrastucture）技术就是利用公钥理论和技术建立的提供安全服务的基础 设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。由于通过网络进 行的电子商务、电子政务、电子事务等活动缺少物理接触，因此使得用电子方式验证信任关 系变得至关重要。而 PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术， 他能够有效地解决电子商务应用中的机密性、真实性、完整性、不

52、可否认性和存取控制等安 全问题。一个实用的 PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操 作性和可扩展性。它是认证机构（CA）、注册机构（RA）、策略管理、密钥（Key）与证书 （Certificate ）管理、密钥备份与恢复、撤消系统等功能模块的有机结合。 1、认证机构 CA （Certification Authorty ）就是这样一个确保信任度的权威实体，它的主要职责是颁发 证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明一证书，任何相信该CA 的人，按照第三方信任原则，也都应当相信持有证明的该用户。CA也要采取一系列相应的 措施来防止电子证书被伪造或篡改

53、。构建一个具有较强安全性的CA是至关重要的，这不仅 与密码学有关系，而且与整个PKI系统的构架和模型有关。此外，灵活也是CA能否得到市 场认同的一个关键，它不需支持各种通用的国际标准，能够很好地和其他厂家的CA产品兼 容。 2、注册机构 RA（ Registration Authorty ）是用户和 CA的接口，它所获得的用户标识的准确性是CA 颁发证书的基础。RA不仅要支持面对面的登记，也必须支持远程登记。要确保整个PKI系 统的安全、灵活，就必须设计和实现网络化、安全的且易于操作的RA系统。 3、策略管理 在PKI系统中，制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不 同的需求，并且能通过 CA和RA技术融入到CA和RA的系统实现中。同时，这些策略应该 符合密码学和系统安全的要求，科学地应用密码学与网络安全的理论，并且具有良好的扩展 性和互用性。 4、密钥备份和恢复 为了保证数据的安全性，应