基于思科设备的中小型企业网络规划设计

1、精选优质文档-倾情为你奉上目 录中文摘要、关键词（3）1、概述（3）1.1课题的来源和背景（3）1.2课题目的及意义（4）1.3工程概况（4）2、需求分析（5）2.1目标需求（5）2.2用户需求（5）2.3网络需求（5）2.3.1系统和设备需求（5）2.3.2网络性能需求（5）2.3.3安全性需求（6）2.3.4可扩展性需求（6）2.4总体需求（6）3、网络系统详细设计（7）3.1指导原则和总体目标（7）3.2网络拓扑结构（7）3.3 IP地址规划与VLAN划分（8）3.3.1 IP地址规划（8）3.3.2 VLAN划分（9）3.3.3 IP与VLAN规划方案（10）3.4网络设计（10）3.

2、4.1核心层网络设计（10）3.4.2分布层网络设计（10）3.4.3接入层网络设计（11）3.5设备选型与配置（11）3.5.1路由器（11）3.5.2三层交换机（12）3.5.3二层交换机（13）3.6无线局域网（WLAN）（13）3.7虚拟专用网络（VPN）（14）4、网络安全（15）4.1常见的安全威胁（15）4.2网络安全轮（16）4.3常规防范技术（16）参考文献（17）英文摘要、关键词（18）专心-专注-专业基于思科设备的中小型企业网络规划设计信息技术学院计算机科学与技术专业指导教师 XXX作 者 XXX摘要：随着信息时代的来临，计算机网络的发展和普及，人们之间的联系愈发紧密，计

3、算机在社会各个领域的应用和影响早已渗透到了人们工作和生活的各个方面。信息化建设，尤其是作为国民经济信息化基础的企业信息化建设已成为企业发展的必由之路，组建一个属于自己的企业网络，已是势在必行。本文所研究构建的企业网主要是针对中小型企业，基于思科设备来进行规划设计的。思科企业复合网络模型ECNM采用接入层、分布层、核心层三层分层设计的同时，将网络分为企业园区、企业边缘、服务层提供商边缘几个功能组件，有助于网络结构设计清晰合理，也保证网络安全性。本企业网规划设计主要使用变长子网掩码VLSM进行IP编址，使用虚拟局域网VLAN分离控制网络数据流，虚拟专用网络VPN支持远程员工办公，同时支持无线接入技

4、术，可靠安全易于管理和维护。关键词：企业网 网络规划设计 思科设备1、概述1.1 课题的来源和背景在传统办公模式下，资源浪费、信息滞后、办公效率低下、经费居高不下等问题已日益突出，逐渐成为阻碍企业发展的主要因素。特别是随着信息时代的到来，信息化水平的不断提高，计算机与信息网络在企业发展经营中发挥着举足轻重的作用，提高企业竞争力、建立一个方便快捷安全的企业网络已迫在迫在眉睫。当前，基于Internet的经济几乎要求提供全天候客户服务，网络必须足够安全智能，能够随着不断变化的数据流负载而自我调整，维持一致的应用程序响应时间，仅仅将多个独立组件连接起来的简单组网方式已经不再可行。而随着计算机技术、网

5、络技术的发展和日益成熟，企业网络已成为现实，并拥有其具体的规划建构步骤和独特的网络结构模式，不但安全性时效性的到保证，而且易于管理、维护和扩充。1.2 课题目的及意义随着科技的进步与经济的繁荣，近年来企业信息化建设不断深入，企业的运作与计算机网络的联系越来越密不可分。企业网是为企业的通信、办公自动化、信息发布、经营管理等提供服务的重要基础设施，不但方便员工办公，提高了企业工作效率，也方便与客户的联系，加大了市场宣传面，增加了业务量，塑造了自己的品牌，提高了社会影响力和企业综合竞争能力。企业网由内部网和外联网共同组成，不但能够支持企业办公，随时随地为本地用户和远程用户提供应用程序和资源支持等多元

6、化业务，而且能够集中控制设备和各种类型的网络流量，保证了网络的性能和安全性。中小型企业的网络规划建构通常有成本低廉、规模小、结构简单等特点，网络的实用性、安全性、拓展性和易于管理维护是中小型企业网络规划设计的主要要求，组建一个符合企业需求的网络对现代化企业的生存发展具有极其重要的意义。本文的网络规划设计主要基于思科设备，通过采用思科企业复合网络模型（ECNM），变长子网掩码（VLSM）IP编址，虚拟局域网（VLAN），冗余和备用链路等技术，既保证了企业网络性能优良实时有效，企业信息安全可靠，又易于管理和维护，适应了企业不断发展的需要。1.3 工程概况企业总部公司有多个部门，100多个信息点分部

7、在三个楼层，楼内综合布线的垂直子系统采用多模光纤，每个楼层都具有一样的内部物理结构，配有一个设备间，且可以支持30到80个信息点。要求全部信息点可介入网络，且目前不用的信息点关闭，支持网络扩展以供企业未来可能的需求使用。本项目要求在企业内部建立稳定、高效的办公自动化网络，有自己的OA系统，支持来自Web服务、身份验证、电子邮件、语音邮件、视频会议、数据库交易处理、信息发布等各种应用程序的网络流量，保证所有员工都能通过网络接入Internet，提高员工的办公效率加快信息的传递。企业要有自己的专用服务器，方便员工访问公共文件资源，拥有自己的内部网和外联网，且不同的部门之间相互访问要有限制条件，以保

8、证企业信息资源的安全可靠。此外，企业网支持无线接入，通过采用VPN技术，支持员工远程办公。2、需求分析2.1 目标需求企业：优化管理制度，提高工作效率，实现资源的合理分配，节约不必要开支；提升企业知名度，塑造自己的品牌，加大市场宣传面，增加业务量，提高社会影响力和企业综合竞争能力。员工：应用方便快捷，提高工作效率，保证资源和信息的获取，及时的通信联络。2.2 用户需求用户的需求是企业网存在和发展的基础，通过与企业网用户的交流我们可以发现，用户需求主要包括可靠性、可用性、及时性、安全性和可扩展性等几个方面。基于Internet的经济通常要求提供全天候、及时有效的客户服务，又由于网络的开放性，方便

9、快捷的同时也要保证企业资源和信息的安全，此外，要考虑到企业三到五年内计划聘用人数、业务规模扩大、网络流量增长等企业发展的需要。从具体应用方面来讲，主要有以下几项业务：1) 文件共享，办公自动化，文件数据的统一存储，身份验证；2) Internet访问，www服务，电子邮件服务，企业信息发布；3) 视频会议，远程办公。2.3 网络需求2.3.1 系统和设备需求配置简单方便，运行稳定可靠，保证标准型和兼容性，易于管理和维护，方便发展扩充，技术上要有先进性，具有良好的性价比。2.3.2 网络性能需求根据企业具体应用分析，网络应设有流量管理机制，冗余、备用链路技术和多线路策略以保证网络性能。保证250

10、台客户机可同时上网，每台客户机达到10/100M速率，工作状态良好，网络运行正常，可快速浏览、上传和下载资源信息。同时考虑到实时性，根据易扩充性原则，采用“千兆到楼宇，百兆到部门”，主干采用光纤传输。企业网规划设计不仅要考虑到物理方面因素，还应做到逻辑上清晰明了，简单易懂，方便网络的管理和维护。2.3.3 安全性需求设置基于端口的访问控制，防止对重要信息点的访问，控制信息流向，增强网络安全。同时在公司内部，保证各部门之间访问限制权限，应支持VLAN划分，并能在VLAN之间进行第三层交换式进行安全控制；员工出差或者在家办公时，可运用VPN技术保证与企业的安全通信，保证连接和数据包传输安全。企业与

11、客户通信，通过广域网技术连接到Internet时应建立防火墙，并在防火墙内部放置自己的文件服务器，供公司内部人员访问，客户只可在DMZ（非军事区）访问WEB、FTP、E-mail数据服务器。2.3.4 可扩展性需求网络的可扩展性主要有以下几个方面：1设备端口易扩展，采用的设备具有标准化接口；2网络结构易扩展，新的结点可以方便快捷的加入已有网络；3网络协议易扩展。企业网的规划设计应做到，确保公司新部门能够简单接入到现有网络，并安全有效的运行；不会因为业务规模和网络流量的增长影响到企业网性能；企业网能够随着技术水平的发展不断升级。2.4 总体需求企业占据3个楼层，有100多个信息点，财务部、销售部

12、、生产部、研发部、人事部5个部门，各部门之间相互访问受到权限限制，需要使用VLAN技术进行隔离规划。整个大楼主干采用光纤布线，各楼层内部物理结构相同，配有一个设备间。企业主要信息点分布如下：表2-1 主要信息点分布部门信息点位置备注财务部101层保证速度、流量和安全性销售部1251层保证速度和可靠性销售部2152层保证速度和可靠性生产部502层保证速度、流量和可靠性研发部203层保证速度、流量和安全性人事部103层保证速度、流量和安全性3、网络系统详细设计3.1 指导原则和总体目标大多数企业实际对网络的需求仅仅是能够全天候安全可靠的工作，且易于管理调整。我们在网络规划设计过程中应该遵循的主要原

13、则有经济性原则、可用性原则、开放性和标准化原则、安全原则、易于管理维护原则、可扩展性原则、QoS（服务质量）原则。总的来说，网络规划设计主要有四个基本目标：1.可用性，即保证能够提供全天候一致可靠的服务，使用方便简单；2.安全性，在最初网络设计开始就应该考虑，包括安全设备、过滤器和防火墙等的部署；3.易于管理，网络结构清晰明了，方便管理人员维护支持；4.可扩展性，能够支持新的工作组、新的应用程序和远程站点，且不影响为现有用户服务。3.2 网络拓扑结构在此次所研究的中小型企业网络规划设计中，主要采用三层分层模型来设计网络拓扑结构。这种层次化的模型将网络功能分为层次分明的三层：接入层、分布层、核心

14、层，每层的设计都适合发挥其独特的功能，既能够应用于局域网的设计，也能够应用于广域网的设计。相对于平面网络设计，层次型网络有很多优点：1) 易于理解和管理。层次化设计将平面网络分为易于管理的小型模块，使网络结构清晰明了，可以在不同层次实施不同难度的管理，降低了对专业技术人员的要求和管理维护代价、成本。2) 易于扩展和排错。层次化设计中，模块化所具有的特性使得网络足够灵活，在网络扩展时可以将网络的复杂性限制在具体层次模块，不会蔓延影响到网络中的其它地方，而在平面设计和网状设计中，任何一个节点的变动都将对网络产生很大的影响。又由于层次化设计使得网络拓扑结构清晰简单，易于理解，网络管理员能够轻易确定网

15、络故障范围，简化了排错过程。3) 安全可用性。层次化模型能够控制广播过滤不必要的数据流，本地数据将留在本地，只有前往其他网络的数据流才进入更高层，每层互不影响保证了安全可用性。且不同于平面网络，随着设备和应用程序的增多，响应时间将逐渐，最终导致网络不可用。4) 节省成本。采用层次化模型后，各层各司其职，网络中每一层都能够保证宽带的利用率，减少了对系统资源的浪费。网络拓扑结构图如图所示：图3-1 网络拓扑结构图3.3 IP地址规划与VLAN划分3.3.1 IP地址规划IP地址是网络的基础，合理的IP地址规划方案不仅可以减少网络负荷，还能为以后网络扩展打下良好的基础。在IP地址设计和分配时，主要遵

16、循以下几个原则：自治、有序、可持续性、可聚合、尽量节约IPv4地址、闲置IP地址回收利用。企业网规模一般较大，适合使用分层网络编址，有效的分层编址结构将核心层有类网络地址逻辑性地划分为分布层和接入层使用的更小子网。采用分层地址结构可以优化网络性能，保证网络安全，简化网络管理和故障排除工作，提升可扩展性和路由性能。要通过子网划分来创建分层设计，关键是对子网掩码的结构有着清晰地了解，在分层网络编址中，我们使用变长子网掩码（VLSM）制定子网划分方案。VLSM不仅能够更有效地利用IP地址空间，还可以让路由器能够在除分类网络边界外的其他地方汇总路由。在IP编址方案中使用变长子网掩码（VLSM）时，必须

17、使用支持无类域间路由选择（CIDR）的路由选择协议，主要有RIPv2、EIGRP、OSPF。这些协议在路由选择更新数据包中发送前缀长度和路由信息，让路由器无需使用默认掩码便可确定地址的网络部分。3.3.2 VLAN划分连接到第二层交换机的主机和服务器处于同一网段，每台设备都能够与该交换机上的所有其他设备相互转发和接收帧，交换机也会向所有端口泛洪广播，占用大量带宽，并且随着连接到交换机上的设备不断增多，生成广播流量也随之上升，浪费更多带宽。规划设计网络时，最好的办法是将广播流量限制在仅需要该广播的网络区域中，而在企业网中，处于业务和安全性考虑，有的主机需要相互访问，有的主机相互访问则需要权限不能

18、这样配置，比如财务部的服务器就不能由其他部门主机访问。在交换网络中，可以通过创建虚拟局域网（VLAN）来按照需要将广播限制在特定区域并将主机分组。虚拟局域网（VLAN）是一种在二层设备上隔离和划分广播域的技术，通过这种技术，可以把物理位置上分离的网络设备在逻辑上划分为同一个广播域，或者把物理位置上相邻的设备划分到不同广播域。总的来说，VLAN是一种逻辑广播域，可以跨越多个物理LAN网段，可以突破共享网络中地理位置的限制，完全按照逻辑功能、项目组和应用程序来分组工作站，根据管理功能来划分网络。在同一个VLAN网段中，不论网络设备实际与哪个交换机相连，它们之间的通讯就好像处于独立的集线器上一样。通

19、过将企业网络划分为VLAN网段，不但可以使网络管理简单直观，还可以控制广播风暴，减少带宽浪费优化网络性能，提高网络整体的利用率和安全性。从技术上说，VLAN可以分为静态VLAN和动态VLAN。静态VLAN是基于交换机接口进行划分的，要求管理员手动将每个交换机端口指定给特定的VLAN，根据网络设备连接不同的交换机端口，则进入相应的VLAN。此类VLAN成员资格指派方法配置最为简单常用，但管理过程中成员的添加、移动或更改完全需要手动配置，较为繁琐。VLAN成员身份对用户而言完全透明。动态VLAN成员资格需要VLAN管理策略服务器（VMPS），VMPS中的数据库可以根据接入计算机的IP地址，MAC地

20、址等，做出相应处理，映射到相应VLAN。相对于静态VLAN，动态VLAN成员资格需要的配置和组织性工作更多，创建结构也更为灵活，管理过程中成员的添加、移动或更改都可自动实现，无需管理员干预。需要注意的是，并非所有Catalyst交换机都支持VMPS。3.3.3 IP与VLAN规划方案综上所述，该中小型企业网络IP地址和VLAN规划如下：表3-1 IP地址与VLAN规划方案部门VLAN IDVLAN名网关地址网段地址财务部2finance6160/28销售部3sales54/26生产部4product192.

21、168.0.1/26研发部5research2928/27人事部6personal7776/283.4网络设计3.4.1 核心层网络设计核心层是网络主干层，在彼此分散的终端设备之间充当高速桥梁的作用，设计的重点是冗余能力、可靠性和高速的传输。在企业网中，核心层可能连接整个园区，多栋大楼或多个站点，还可能连接服务器群。核心层通常提供一条或多条连接到企业边缘设备的链路，用以接入到Internet、外联网、WAN和虚拟专用网（VPN）。核心层一般使用高速聚合链路，融路由选择和交换功能于一身的

22、路由器或多层交换机，扩展性良好且聚合速度快的路由选择协议，如内部网关路由选择协议（EIGRP）和开放最短路径优先（OSPF）协议，同时提供冗余和备用链路。而在中小型企业网络规划设计中，有时出于经费和管理人员的考虑，可以忽略冗余链路的设计。核心层的设计使得网络能够在的不同部分之间高效、快速地传输数据，最大限度地提高吞吐量，且在发生故障时，网络设备能够找到替代路径来发送数据，保证网络安全可靠，负载均衡。3.4.2 分布层网络设计分布层是核心层与接入层之间的通信点，用于在各个本地网络之间转发流量，主要完成企业办公楼宇和相关部门内接入交换机的汇聚及数据交换和VLAN终结，它与路由选择、过滤相关联，必须

23、满足其他两层的需求。分布层的设计应支持QoS，且能提供足够大的带宽。分布层是由第三层设备组建的，其路由器或多层交换机提供了诸多功能：过滤和管理数据流、实施访问控制策略、向核心层通告路由前对路由进行汇总、防止接入层故障或中断影响核心层、在接入层VLAN之间进行路由选择。分布层的路由汇总（又叫路由聚合或超网化）可手工或自动完成，使用RIPv2、EIGRP、OSPF等无类路由选择协议支持在任何边界根据子网地址进行汇总，而RIPv1等分类路由选择协议则只支持在分类网络边界自动汇总路由。通过分布层的设计，为分隔的本地网络提供连接点，确保了在相同本地网络中主机间的流量留在本地，让到另一网络的流量通过，同时

24、设置流量管理，使用访问控制列表（ACL）来限制访问及禁止不希望的数据流进入核心网络，保证了企业网的性能和安全。3.4.3 接入层网络设计接入层是连接终端设备的网络边缘，为用户提供连接功能，用于控制用户对网络资源的访问，规划设计时必须让生成的数据流能够方便地前往其它网段或其它层。由于接入层设备是与用户直接相连的设备，所以本层的网络设备应具有即插即用、易于维护的特点。企业网基础设施的接入层使用第二层设备来提供网络接入，既可以接入永久性有限基础设施，又可以接入无线接入点，规划设计接入层时要注意考虑设备的物理位置。此外，接入层设计是网络规划的基础，要充分考虑到安全防御控制，以免给分布层和核心层设备带来

25、巨大压力。一般的接入层交换机，都拥有简单的QoS保证、安全机制、支持网管策略、支持链路聚合、生成树协议和VLAN等功能，要经过仔细分析对比，选择合适设备。3.5设备选型与配置3.5.1 路由器1) 选型：Cisco 2811Cisco 2811隶属于Cisco2800系列产品具有先进、集成的端到端安全性，以用于提供融合服务和应用，与其他价位相似的思科路由器相比，性能提高了5倍，安全性和话音性提高了10倍，且具有全新的内嵌服务选项，大大提高了插槽性和密度，并支持多种模块。Cisco 2811路由器采用模块化端口结构，传输速率为 10/100Mbps ，拥有2个固定局域网接口10/100Mbps，

26、1个10/100Mbps固定广域网接口，支持多种接口卡插槽，同时配有256MB的Flash闪存和最大760MB的DRAM内存，极大的提高了该产品的安全性能。Cisco 2811支持IEEE 802.3X网络协议以及SNMP网管协议，同时还配备Cisco ClickStart网管软件，支持 VPN技术，以及QoS，协议方面支持比较完善。安全方面，内置了防火墙，并凭借Cisco IOS软件高级安全特性集，它在一个解决方案集中提供了如思科IOS Software Firewall、入侵保护、IPSec 和简单网络管理协议（SNMPv3）等一系列强大的通用安全特性，为企业用户提供更安全的网络服务。2)

27、 配置表3-2 路由器IP地址规划路由接口IP地址三层交换机路由接口/30f 0/0/30f 0/1/24三层交换机配置：Switch(config)#ip routingSwitch(config)#int f0/4Switch(config-if)#no switchportSwitch(config-if)#ip address 52Switch(config-if)#no shut路由器IP配置：Router(config)#int f0/0Router(config-if)#

28、ip address 52Router(config)#ip route 3.5.2 三层交换机1) 选型：Cisco Catalyst 3550在选择交换机时，首先要考虑性能方面要求，满足RFC2544建议的基本标准，即吞吐量、时延、丢包率外。然后随着网络的发展，用户业务的增加和应用的深入，还要考虑一些额外的指标，如MAC地址数、ACL数目、LSP容量、支持VPN数量等。最后，三层交换机还要考虑路由表容量。Cisco Catalyst 3550系列智能化以太网交换机是一个新型的、可堆叠的、多层

29、企业级交换机系列，可以提供高水平的可用性、可扩展性、安全性和控制能力，从而提高网络的运行效率。Catalyst 3550系列交换机具有多种快速以太网和千兆以太网配置的特点，它既可以作为一个功能强大的接入层交换机，用于中型企业的布线室；也可以作为一个骨干网交换机，用于中型网络。Cisco Catalyst 3500系列交换机使用户在整个网络中部署智能化的服务，主要有智能的服务质量（QoS），速度限制，Cisco安全访问控制列表，多播管理和高性能的IP路由同时保持了传统LAN交换的简便性。此外，Catalyst 3550系列中内嵌了Cisco集群管理套件（CMS）软件，该软件使用户可以利用一个标准

30、的Web浏览器同时配置和诊断多个Catalyst桌面交换机并为其排除故障。Cisco CMS软件提供了新的配置向导，它可以大幅度简化整合式应用和网络级服务的部署。2) 配置Switch(config)#vlan 2 /创建VLANSwitch(config-vlan)#name financeSwitch(config)#int rang f0/1-3 /接口trunk配置Switch(config-if-range)#sw mode trunkSwitch(config)#int vlan 2 /IP设置Switch(config-if)#ip address 61 2

31、403.5.3 二层交换机1) 二层交换机：Cisco Catalyst 2950Cisco catalyst 2950系列交换机拥有8.8Gbps的交换背板，包括Catalyst 2950T-24、2950-24、2950-12和2950C-24四种型号。Catalyst 2950-24交换机有24个10/100端口；2950-12有12个10/100端口；2950T-24有24个10/100端口和2个固定10/100/1000 BaseT上行链路端口；2950C-24有24个10/100端口和2个固定100 BaseFX上行链路端口。Cisco Catalyst 2

32、950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列，提供了线速快速以太网和千兆位以太网连接。这是Cisco交换产品系列中的低端产品，为中型网络和城域接入应用提供了智能服务。Cisco Catalyst 2950系列交换机价格低廉，性价比较高，适用于中小型企业网网络规划设计，此外，它还有如下优势：在布线室配线间中实现了智能的服务质量（QoS）、限速、访问控制列表（ACL）和多播服务；在多种介质上提供了升级到千兆位以太网的强大路径；与Cisco Catalyst 3550系列集中汇聚交换机相结合，用于IP路由至网络核心；主要的城域接入优势；通过高级QoS、限速、语音及多播特性提供广泛的

33、服务；通过生成树协议改进和访问控制参数（ACP）来提供服务可用性和安全性；通过Cisco IE 2100系列智能引擎支持和简单网络管理协议（SNMP）来实现服务管理。2) 配置Switch(config)#vlan 4 /创建vlanSwitch(config-vlan)#name productSwitch(config)#int f0/2 /端口f0/2加入vlan4Switch(config-if)#sw ac vlan 4 Switch(config)#int f0/2 /trunk中继端口Switch(config-if)#sw mode trunk 3.6 无线局域网（WLAN）随

34、着计算机网络技术的进步和发展，无线网络正日益普及。无线局域网WLAN主要有四大特点：1灵活性，无线技术的运用使网络设计更加灵活，不再受到线缆的限制，可随意增加和配置工作站；2移动性，方便用户接入，不受时间空间的限制，可以在网络中漫游；3低成本，仅需带有无线网卡的计算机和接入点（AP），不再需要大量工程布线，同时节省了维护费用；4易安装，无需大量线缆布置规划，组建、配置和维护更加容易。结合以上特点，WLAN技术非常适合应用到中小型企业网络规划和设计中。无线网络设计时应在保持有限网络功能、易管理性和安全性的基础上，充分考虑网络的物理区域覆盖问题，和逻辑上的权限访问问题。3.7虚拟专用网络（VPN）

35、虚拟专用网络VPN是通过对网络数据进行封装和加密，利用公共网络资源传递私有数据，即在使用Internet实现广域网互联的同时保持信息的私密性的技术，它是一种逻辑上的专用网，但本身不是一个独立的物理网络。VPN通常被形象地描述成隧道，就像地下隧道与开放式道路对比一样，通过隧道的物品会受到有效的屏蔽保护，不容易被发现。使用VPN时，会通过链接源地址和目的地址建立VPN隧道，所有网络数据都将使用安全协议进行加密和封装，然后在隧道间进行安全的传输，到达接收端后再进行解密和解封。根据VPN技术的使用方法不同可以分为以下几种：1内部VPN，适用于单一机构内的站点使用；2外部VPN，适用于不同机构的站点间使

36、用；3接入型VPN，适用于个人用户和企业网间使用，是最常用的VPN技术，能够保证人们在家或出差旅行时继续工作，方便员工远程办公。VPN是一种客户端/服务器应用，员工必须在PC上安装VPN客户端才可与企业网建立安全的连接。当员工通过VPN连接到企业网后，他们便成为企业网的一部分，可以像实际连接到LAN上那样直接访问所有资源和服务。4、网络安全4.1 常见的安全威胁随着电子商务、Internet应用和计算机网络规模的不断增长，计算机网络的重要性也与日俱增，如果网络安全受到威胁，可能会导致隐私丧失、信息失窃等严重后果，雪上加霜的是，网络技术不断发展更新的同时，各种计算机病毒、非法入侵等网络安全威胁也

37、不断增多。网络中常见的安全威胁有以下几个方面：1) 漏洞，即网络和设备固有的薄弱环节。漏洞主要包括以下三类：1技术缺陷，即协议、操作系统和网络设备方面的缺陷；2配置缺陷，用户账户不安全、密码过于简单、Internet服务配置不正确、产品默认配置不安全、网络设备配置不正确；3策略缺陷，没有书面安全策略、缺乏持续性、没有实施逻辑访问控制、软件和硬件的安装和更改没有遵守策略、没有灾难恢复计划等用户不遵守安全策略而给网络带来的风险。2) 物理基础设施面临的威胁。这种物理威胁一般不太引人注意带来的后果却很严重，主要包括以下四类：1硬件威胁，物理设备的盗窃或者破坏；2环境威胁，极端的温度或湿度；3电气威胁

38、，电源电压过高或不足不合格，断电等；4维护威胁，没有重要的备用部件、布线混乱、标识不明。3) 网络面临的威胁。网络威胁可以从内部和外部两方面讲，内部威胁由具备网络访问权限的内部人员引发，要么可以拥有账户，要么可以进行物理访问；外部威胁来自公司以外的个人或组织，主要通过Internet或拨号访问服务器侵入网络。网络威胁的严重程度主要取决于攻击者的专业技能。4.2 网络安全轮大多数安全事件发生主要是由于网络管理人员没有实现应对措施，让攻击者钻了空子，因此，不仅要确定存在的漏洞并制定相应的策略，还必须采取一定的措施并确保其实现。为帮助遵循安全策略，可以重复使用网络安全轮过程。安全轮倡导不断地测试并应

39、用更新安全措施，可以分为以下几个步骤：1保护，通过应用安全策略和实施安全解决方案来保护网络；2监视，包括主动和被动检测安全违规行为，可以验证安全轮第一步实现的安全措施是否配置到位且运行正常；3测试，即运用漏洞评估工具主动测试安全措施，验证第一步实现的安全解决方案和第二步实现的系统审计和入侵检测方法；4改进，分析监视和测试阶段收集到的数据，制定实现改进机制。4.3 常规防范技术一个网络的安全，首先要有严格的管理制度，并有效执行安全策略，连续使用安全轮过程。其次，必须有一定的技术手段来保证网络的安全，管理和技术相结合才能够产生良好的效果。常用的安全技术手段有以下几种：1) 提高设备物理安全。设备的

40、物理安全性是指运行中的网络设备，只有拥有权限的管理和维护人员才可以直接接触到。可以配置独立的设备间用来安置网络设备，并增加门禁系统，注意保持设备间环境，注意网络设备的管理和维护。2) 设备加固。在设备安装系统时，安全设置将保留为默认值，主要可以通过配置设备口令的方法来起到设备加固，防止非授权人员更改网络系统配置的作用。主要有CONSOLE口令、AUX口令、VTY口令、特权口令等的配置，且要制定并严格执行包括口令的设置、保管、更改、强度等方面的口令制度。3) VTP认证。VTP即VLAN中继协议，是第二层消息协议，它提供了一种从网段内的中央服务器对VLAN数据库进行分布和管理的方法，可确保网络中

41、VLAN配置的一致性，并减少VLAN管理和控制方面的工作量。通过VTP口令设置，除非口令正确，否则新的交换机不能自动加入到已存在的管理域中。既保证了局域网的安全，又避免了因为VLAN被错误或恶意增加删除造成的事故。4) 用户接入控制。一般的安全措施，如防病毒软件、防火墙、操作系统补丁等常见的安全措施都不是针对网络用户的，而严格控制用户的接入，可避免非法用户接入带来的潜在安全隐患。企业网络建设完毕之后，应确保交换机所有用户端口均处于关闭状态，主要可通过用户账号、MAC地址、IP地址、交换机IP、交换机端口等元素之间的任意灵活绑定，来确认用户合法性和唯一性。只有用户通过使用申请批准之后，才能将端口

42、激活，将用户接入。5) 系统和网络边界访问限制。可根据企业用户应用需求，在三层交换机上实施访问控制，限制企业网用户对特定应用系统、特定设备等资源的访问。而在网络边界，通常需要采用防火墙来进行安全访问控制，对网络流量进行过滤。6) IGMP源端口检查。可有效杜绝非法组播播放占用大量网络带宽，提高网络的性能和安全性。参考文献：1美Wendell Odom，Tom Knott思科网络技术学院教程CCNA1 网络基础M人民邮电出版社，2008-02.2美Bob Vachon，Rick Graziani思科网络技术学院教程CCNA Exploration：接入WANM人民邮电出版社，2009-03.3美

43、Allan Reid，Jim Lorenz，Cheryl Schmidt思科网络技术学院教程CCNA Discovery：企业中的路由和交换介绍M人民邮电出版社，2009-01. 4美Kenneth D.Stewart III，Aubrey Adams思科网络技术学院教程CCNA Discovery：计算机网络设计和支持M人民邮电出版社，2009-03.5美Todd LammleCCNA学习指南（中文第六版）M电子工业出版社，2008-02.6美Allan Reid，Jim Lorenz思科网络技术学院教程CCNA Discovery：家庭和小型企业网络M人民邮电出版社，2008-10.7施晓秋，张纯容，金可仲网络工程实践教程M高等教育出版社，2009-01.8吴学毅计算机网络规划与设计M机械工业出版社，2009.9黄贤英，龚箭大型企业计算机网络安全实施方案M机械工业出版社，2009.Abst