基于PacketTracer的企业网络设计及安全实现

............ 毕业设计题目：基于PacketTracer的企业网络设计及安全实现学院：计算机与通信学院专业：信息系统信息管理班级：1002学号：学生姓名：导师姓名：完成日期：诚信声明本人声明：1、本人所呈交的毕业设计（论文）是在老师指导下进行的研究工作及取得的研究成果；2、据查证，除了文中特别加以标注和致谢的地方外，毕业设计（论文）中不包含其他人已经公开发表过的研究成果，也不包含为获得其他教育机构的学位而使用过的材料；3、我承诺，本人提交的毕业设计（论文）中的所有内容均真实、可信。作者签名：日期：2014年6月10日毕业设计（论文）任务书题目:基于PacketTracer的企业网络设计及安全实现姓名崔洪洋学院计算机与通信学院专业信息系统与信息管理班级信管1002学号201003110223指导老师余新宇职称副教授教研室主任唐志航一、基本任务及要求：1.根据企业的网络需求，设计网络拓扑图并在PacketTracer虚拟器上进行组网；2.给企业中的所有计算机分配IP地址、子网掩码、划分VLAN，实现内部局域网的通信；3.配置HTTP,MAIL等内部服务器，使企业内部用户访实现访问公司网站，接收邮件等功能；4.详细配置STP实现网络的链路冗余与备份；5.配置路由器，实现内部客户端计算机对外部网站服务器的访问；6.配置VPN实现子公司或公司在外人员对内部网络服务器的访问；根据特定的网络管理任务需求，设计相应的访问规则，完成相应的管理任务；最后，根据任务完成的情况撰写毕业设计报告二、进度安排及完成时间：第1周：查找材料、和指导老师商讨初步确定论文题目。第2-4周：查阅资料了解常见的网络技术及架构，以太网与其他局域网技术的比较。第5-8周：根据需求完成网络的基本设计，设计的技术包括vlan、trunk、stp、vtp广网等。第9-10周：对整个网络进行再次测试以及排除相关故障第11-13周：完成初稿，审查论文格式，并提交指导老师批阅。第14-15周：完成最终电子稿，打印并装订。第16周：完成相关论文简介，准备论文答辩等相关工作。目录摘要............................................................................................ABSTRACT......................................................................................第一章绪论........................................................................................11.1选题背景..................................................................................11.2选题的目的和意义..........................................................................11.3可行性分析................................................................................11.4基本思路..................................................................................21.5仿真实验平台..............................................................................2第二章企业建网涉及的主要网络技术介绍...........................................................32.1园区网络技术..............................................................................32.1.1路由技术.............................................................................31.2交换技术............................................................................3VLAN..................................................................................3VTP协议.............................................................................4 生成树协议 .............................................................................52.1.3远程访问技术.........................................................................61.4热备份路由协议（HSRP）..............................................................62.2本章小结...................................................................................7第三章企业网络总体设计方案.......................................................................83.1总体需求分析..............................................................................83.2具体需求...................................................................................82.1息信流分析...........................................................................83.2.2业务需求.............................................................................83.2.3外部需求.............................................................................93.2.4网络需求分析.........................................................................93.3网络拓扑设计..............................................................................93.4IP编址方案及VLAN划分..................................................................103.5核心层设计及设备选型.......................................................................123.5.1园区主干交换机.......................................................................123.5.2出口路由器...........................................................................125.3服务器群组...........................................................................123.6接入层设计及设备选型.......................................................................123.7安全体系设计及设备选型.....................................................................133.7.1物理层安全..........................................................................143.7.2系统安全............................................................................143.7.3网络层安全..........................................................................143.8本章小结...................................................................................14第四章企业网组网设计与仿真实现...................................................................154.1交换模块设计..............................................................................151.1接入层交换机服务的实现—配置接入层交换机...........................................15配置接入层交换机SWITCH1的基本参数....................................................15配置接入层交换机SWITCH1的VLAN及VTP..............................................16配置接入层交换机SWITCH1的访问端口....................................................16配置接入层交换机SWITCH1的主干道端口..................................................17配置接入层交换机SWITCH2................................................................171.2核心层交换机服务的实现—配置核心层交换机...........................................18对核心层交换机CoreSwitch1的基本参数的配置............................................18配置核心层交换机CoreSwitch1的管理IP...................................................19配置核心层交换机CoreSwitch1的VTP.....................................................19在核心层交换机CoreSwitch1上定义VLAN.................................................19配置核心层交换机CoreSwitch1的端口基本参数............................................20配置核心层交换机CoreSwitch1的三层交换功能............................................21配置HSRP..............................................................................224.2广域网接入模块设计.........................................................................244.2.1配置路由器IRouter的基本参数..........................................................254.2.2配置路由器IRouter的各接口参数........................................................254.2.3配置路由器IRouter的路由功能..........................................................264.2.4配置接入路由器IRouter上的NAT...........................................................264.2.5配置接入路由器IRouter上的ACL.......................................................274.3远程访问模块设计...........................................................................294.3.1EasyVPN服务器配置.................................................................294.4本章小结...................................................................................30第五章系统测试...................................................................................315.1测试模块...................................................................................315.2模块测试验证...............................................................................315.2.1企业网连通与访问限制.................................................................31图5.2显示为Units2部门PC配置取相关IP信息。............................................315.2.2远程接入测试........................................................................345.3本章小结...................................................................................35总结.............................................................................................36参考文献.........................................................................................37致谢............................................................................................38 摘要随着Internet的逐步普及，Intranet（企业内部网）的建设是企业向现代化、信息化发展的必然选择。随着计算机技术的不断发展，网络技术的不断提高，很多企业的网络性能已经跟不上现代信息的变化了，对于很多企业来说升级现有网络是必不可少的办法，企业对新建网络的向后兼容性的要求也越来越高。企业网网络系统是一个非常庞大而复杂的系统，它不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能够提供多种应用服务，使信息能及时、准确地传送给各个系统。在企业网络方案设计的过程中，服务器和网络设备的选择一定要充分考虑企业的需求、扩展性以及向后的兼容性。在配置网络设备和服务器的时候一定要根据用户的要求和技术支持文档。因此本毕业设计课题主要以企业网络规划建设过程中可能用到的各种技术及实施方案为设计方向，为企业网的建设提供理论依据和实践指导。本设计结合一家中小企业网络的实际需求，通过对网络组建方案的设计、基于安全的网络配置方案设计、服务器架设方案设计、企业网络安全设计等方面的研究，详尽的探讨了对该网络进行规划设计时遇到的关键性问题。主要包括需求分析、网络设备选型、逻辑网络设计、IP地址规划方案设计、服务器架设和网络安全设计等内容。论文针对中小企业网络拓扑进行设计和分析，给出了网络规划设计解决方案关键词：网络拓扑规划；网络安全设计；路由、交换；CiscoPacketTracerABSTRACTAbstractAbstractAbstractAbstracWiththepopularizationofthenetwork,theconstructionofenterprise’snetworkistheinevitablechoicethatenterprisesdevtowardsinformationization,thenetworksystemofcorporatenetworkisaveryhugeandcomplicatedsystem,itdevelopformodernizationnotmerely,comprehensiveinformationmanagementwithofficeautomationaseriesofemploy,offerbasicoperatingplatform,andcanoffermanykindsofapplicationservice,enableinformationtoconveytoeachsystemintime,accurately.Andhasmainlyemployedtheimportantbranch’sLANtechnologyinthenetworktechnologyintheengineeringconstructionofcorporatenetwork,sothisgraduationprojectsubjectwillmainlyregardvarioustechnologyandimplementingschemethatthelandnetworkingcourseofenterpriseofficemaybeusedasthedirectionofdesigning,offertheoreticalfoundationandpracticeforconstructionofthecorporatenetworktoguide.CombiningtheactualneedsofSMEsinthenetwork,throughtheresearchofthenetworkconstructiondesign,thesecurenetworkconfigurationdesign,theserverseupdesign,andotheraspectsofnetworksecurityresearch,thisgraduationdesigngadetailedexplanationofthekeyissuesencounteredduringthenetworkPlanninganddesign.ThisdesignanalyzesthenetworktopologyforSMEs.DotheConfigurationandSafetyDesignofthenetwork，andalsogivesthenetworkplanninganddesignsolutions.keyword:TheNetworkTechnology;networksecuritydesign;routing;switching.CiscoPacketTracer第一章绪论1.1选题背景随着信息化进程的前进，许许多多的企业建立了自己的企业网络。特别是广大的大中型企业，由于组网规模适中、网络布局灵活、有限的资金成本及着眼未来的扩展等多种条件和要求下，慢慢形成了一些典型的企业组网方式。随着互联网的发展和企业的扩大，企业网的组网要求不再局限于数据传输、信息共享，而是要更加的注重企业网络的信息安全。本文正是以构建一个更可靠、更高速、更方便以及更安全的网络和业务管理为出发点，探讨并模拟出可行的解决方案。1.2选题的目的和意义统一、可靠、安全的企业网络信息系统能在企业内实现资源的高度共享，提高工作效率和管理水平，提供数据传输、视频会议等多种信息通信业务，且拥有完善的企业网管理应用系统。建立完备的企业网络环境，是顺应时代发展的趋势，充分利用现代化技术来提高企业管理质量及实现办公的自动化，对企业在信息化时代的生存和发展具有不可或缺的意义。1.3可行性分析面对现代市场竞争，纯粹的手工管理方式和手段已经不能够适应现代企业发展的需求。社会的进步、科技的发展要求企业必须更新落后的管理体制、管理方法和管理手段，建立现代企业应有的形象，建立适合本企业的自动化管理信息系统，促使管理水平的提高，经济和社会效益的增加。实现企业现代化管理和办公自动化，能够为整个企业带来高效畅通的信息高速通道和企业公共服务环境，既能够为各部门提供先进的信息服务和生产环境，又能提高各部门的办公效率和综合管理水平，更能改变传统的管理思路和方式，提升管理人员和工作人员的素质，大大提高企业人员的工作效率。从企业管理和业务发展的角度看，通过网络资源的公用来改善企业之间、企业和客户间的信息交流方式，使企业能够迅速掌握瞬息万变的市场信息；再者，随着办公自动化水平的提高，能够大大促进工作效率的同时减低企业管理成本的支出，提高企业的竞争力；最后，企业内部网络的建立，还能够方便各方面的沟通交流，集中管理，加强企业资源分配的最优化。因此，建立一个统一、可靠和安全的网络信息系统是非常必要的。1.4基本思路根据对选题的背景、目的、意义和可行性分析，总结有如下设计思路：选择适合的网络层次模型来规划企业网络框架；采用合理的策略，确保各业务的性能发挥，增强企业数据的保密性；设置网络设备的冗余备份，确保企业网络不间断运作，充分发挥企业网络的优势，确保企业的正常运作；最后是选用合适的网管方式，控制维护整个网络。1.5仿真实验平台本文所涉及的网络构建、模拟、测试等软件平台如下：操作系统平台：MicrosoftWindows7网络仿真软件：CiscoPacketTracer............第二章企业建网涉及的主要网络技术介绍2.1园区网络技术企业园区定义了企业复合网络模型的一个功能区域，它包括以下企业复合模块：园区基础设施、网络管理、边缘分布。其中园区基础设施模块包括建筑拉入、建筑物布和园区主干了模块。建立一个完整的园区网络需要涉及到路由、交换与远程访问技术。它们是现代计算机网络领域中三大支撑技术体系。2.1.1路由技术路由协议工作在OSI参考模型的第三层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力，除了可以完成主要的路由任务，利用访问控制列表（AccessControlList，ACL），路由器还可以用来完成路由器为中心的流量控制和过滤功能。在本组网方案中，内网用户不仅通过路由接入Internet、内网用户之间也通过三层交换机上的路由功能进行数据包交换。2.1.2交换技术传统意义上的数据交换发生在OSI模型的第二层，现在交换技术还实现了第三层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了园区网数据交换服务质量，满足了不同类型网络应用程序的需要。VLAN现代交换网络还引入了虚拟局域网（VirtualLocalAreaNetwork，VLAN）的概念。VLAN技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LAN---VLAN，在每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内VLAN的主要特性有：限制广播广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。增强局域网的安全性不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。VLAN是在数据链路层的，划分子网是在网络层的，所以不同子网之间的VLAN即使是同名也不可以相互通信。VLAN的划分依据从技术角度讲，VLAN的划分可以依据不同原则，一般以下三种划分方法：基于端口的VLAN划分这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法，该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。基于MAC地址的VLAN划分MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是唯一且固化在网卡上的，MAC地址由12位16进制数表示，前6位为网卡的厂商标识（OUI），后6位为网卡的标识（NIC），网络管理员可以按MAC地址把一些站点划分为一个逻辑子网。基于路由的VLAN划分路由协议工作在网络层，相应的工作设备有路由器和路由交换机（却三层交换机），该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。目前来说，对于VLAN的划分主要采取上述1、3种方式，第2种方式为辅助性的方案。VTP协议当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（VlanTrunkingProtocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN，然后通过VTP协议将VLAN定义传播到本征管理域中的所有交换机上，这样，大大减轻了网络管理人员的工作负担和工作强度。VTP（VlanTrunkingProtocol）：是VLAN中继协议，也被称为虚拟局域网干道协议。它是一个OSI参考模型第二层的通信协议，主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名，在一台VTPServer上配置一个新的VLAN时，该VLAN的配置信息将自动传播到本域内的其他所有交换机，这些交换机会自动地接收这些配置信息，使其VLAN的配置与VTPServer保持一致，从而减少在钓鱼台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。VTP通过网络（ISL帧或cisco私有DTP帧）保持VLAN配置统一性，VTP在系统级管理增加、删除，调整的VLAN，自动地将信息向网络中其它的交换机广播，此外，VTP减小了那些可能导致安全问题的配置，使用BTP便于管理，只要在VTPServer做相应设备，VTPClient会自动学习VTPServer上的VLAN信息。VTP有三种工作模式：VTPServer、VTPClient和VTPTransparent，如下图所示，一般，一个VTP域内的整个网络只设一个VTPServer，VTPServer维护该VTP域中所有VLAN信息列表，VTPServer要吧建立、删除或修改VLAN，VTPClient虽然也维护所有VLAN信息列表，但其VLAN的配置信息是从VTPServer学到的，VTPClient不能建立、删除或修改VLAN，VTPTransparent相当于是----上独立的交换机，它不参与VTP工作，不从VTPServer学习VLAN的配置信息，而只拥有本设备上自己维护的VLAN信息。VTPTransparent可以建立、删除和修改本机上的VLAN信息，所下图2-1VTP模式所示：图2-1VTP模式生成树协议 企业网络首要关心的就是高可用性，它在很大程度上依赖于处理业务的多层交换网络，确保高可用性的方法之一就是在整个网络中提供设备、模块和链路的冗余，但是，第二层的网络冗余可能传导致潜在的桥接环路，数据包将在设备之间无休止地循环，进而破坏网络的正常工作能力。STP能够识别并防止这种第二层环路，STP使用根网桥、要端口和指定端口等概念建立网络的无环路径。STP能够克服冗余网络中透明度桥接的问题，通过采用无环路径，STP能够避免和消除网络中的环路，STP可以通过判断网络中存在环路的地方并阻断冗余链路，从而达到上述目的，确保到每个目标都只有一条路径，所以永远不会产生环路，如果发生某条链路失效情况，那么网桥就会将接口从阻塞状态过渡到转发状态。园区网内部部署方式为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换的部署是分层进行的，园区网数据交换设备可以划分为三个层次：接入层、分布层、核心层。接入层为所有的终端用户提供一个接入点；分布层除了将接入层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能；核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。2.1.3远程访问技术远程访问也是园区网络必须提供的服务之一，它可以为家庭办公用户和出差在外的员工提供移动接入服务。VPN（VirtualPrivateNetwork）即虚拟专用网是在公共网络上建立的专用网络，但其任意2个结点间的连接并没有传统专用网络所需的点到点的物理链路，而是架构在公共网络（Internet）服务商（ISP）所提供网络平台上的逻辑网络，用户数据通过ISP在公共网络中建立的逻辑隧道（Tunnel），即点到点的虚拟专线进行传输，通过加密技术和认证技术，确保企业内部网络数据在公共网络上安全传输，真正实现网络数据的专有性。VPN远程接入方式最适用于企业经常有人员出差需实现远程办公的情况，出差员工利用当地ISP提供的上网服务，即可与企业VPN网关建立私有隧道连接。VPN远程接入方式有以下主要优势：简化网络：只需要接入1台VPN网关设备，即可解决几十到几千人的远程接入问题。节省费用：利用本地拨号接入取代远距离接入或800电话接入，显著降低长途通信费用，减少了用于购置调制解调器和终端服务设备的费用。支持多种标准认证机制如LDAP、RADIUS等。多接接入方式：无论用户采用那种方式访问互联网，均可建立VPN连接；自由选择规模：无论企业大小，VPN都有相对应的产品，用户数可为5~5000个；具有高可用性：对于接入用户较多的企业，VPN支持远程接入的高可用模式，保障用户服务的连贯性。EasyVPN是CISCO的一种特征,它允许使用CISCOVPN客户端软件一类实施IPSec远程访问设备。由于可以使用CISCO路由器或者PIX来配置EasyVPN服务器，而不需要另外增加其他设备，对于已经拥有一台大容量的边缘路由，而且仅需要少量的远程访问用户的企业来说，这无疑在保证了远程访问的高安全性的前提下，可以在成本控制上有更大的优势。这也是本设计方案所采用它作为远程访问方式的原因。2.1.4热备份路由协议（HSRP）随着Internet的日益普及，人们对网络的依赖性也越来越强，这同时对网络的稳定性提出了更高的要求，人们自然想到了基于设备的备份结构，就像在服务器中为提高数据的安全性而采用双硬盘结构一样，路由器是整个网络的核心和心脏，如果路由器发生致命性的故障，将导致本地网络的瘫痪，如果是骨干路由器，影响的范围将更大，所造成的损失也是难以估计的，因此，对路由器采用热备份是提高网络可靠性的必然选择，在一个路由器完全不能工作的情况下，它的全部功能便被系统中的另一个备份路由器完全接管，直至出现问题的路由器恢复正常，这就是热备份路由协议（HotStandbyRouterProtocal），HSRPRFC2281技术要解决的问题，如下图2-2HSRP热备一所示：图2-2HSRP热备一热备份路由器协议（HSRP）是思科私有的协议，它的设计目标是支持特定情况下IP流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性，负责转发数据包的路由器称之为主动路由器（ActiveRouter）。一旦主动路由器出现故障，HSRP将激活备份路由器（StandbyRouters）取代主动路由器，HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的IP地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器（StandbyRouters）承接主动路由器的所有任务，并且不会导致主机连通中断现象。2.2本章小结本章介绍了Cisco对中小型企业的架构、对中小型企业复合网络模型建设；还介绍了当今组建中小型企业园区网络的主要技术，包括了路由技术、交换技术、VLAN技术、远程访问技术及冗余热备份技术等，这些都是在组建一个高可用性企业网络中必须涉及的相关技术............第三章企业网络总体设计方案3.1总体需求分析企业网络的总体需求即是一个统一、可靠和安全的自动化办公硬件平台系统。这个企业网络系统必须满足如下几点：满足现代企业管理的统一，设计网络系统时增加对统一管理的要求；满足现代企业自动化办公对网络带宽的苛刻需求，提供高性能的网络处理能力；满足现代企业部门多，资源分配有限的现状，合理规划网络层次，实现最优的资源共享；满足现代企业的发展及科技进步的需要，提供拓展能力强、升级灵活的网络环境；满足现代企业对信息资源的共享与安全，提供完善的网络安全解决方案；满足现代企业对办公效率及成本控制的需求，增加一套高效的网络应用解决方案。3.2具体需求3.2.1息信流分析1).在该企业网中发生的信息流主要包括二个部分：管理过程信息流和Internet信息流；2).管理过程信息流包括：各种生产控制管理信息流和行政办公信息流；3).各种生产控制管理信息流通过在企业园区网上运行的综合信息管理及业务系统，包括企业的生产管理和日常的管理实现办公自动化，如企业ERP系统管理、OA流程管理和人事管理、财务管理、固定资产管理等，同时可在网上进行信息发布；4).Internet信息流主要建立在宽带、结构简化、综合业务应用齐全的IP基础网上或企业园区DMZ区域网上，提供企业园区网或广域网资源信息的传递和共享。此类数据流为载有语音、数据和视频信息的IP流。1).场部、开发部、策划部、客户中心、采购部。3.2.2业务需求1).数据处理及通讯能力强，响应速度快；2).网络运行安全、可靠性高，即使发生攻击行为，保证可追溯、可跟踪；3).系统易扩充，易管理，便于用户的增加；4).主干网支持多媒体、群体、图象接口应用，支持高性能数据库软件包的持续增长；5).系统开放性、互连性好；6).局域网既能方便远程用户的拨号接入，又能满足特殊用户高效地连入广域网，使用灵活；7).具有很强的分布式数据处理能力。3.2.3外部需求1).外部需求应包括以下几个：Internet访问、远程访问、电子邮件、以多媒体方式介绍企业、讨论和交流、WEB信息发布及FTP文件共享，各项均可通过相应的网络信息平台实现；2).企业的网络化建设必然会对企业的信息化建设起到巨大的推动作用，同时提供简单、有效、便捷的理想办公、管理及生产环境。3.2.4网络需求分析根据该企业应用需求进行分析，最终决定采用以下网络部署方案解决该企业的各项需求：1).将各个部门划分在不同的VLAN，包括服务器群和管理VLAN一共需要7个VLAN；2).将WEB服务、邮件服务器、FTP服务器及业务应用系统服务器直接与核心交换机CISCO4501连接，置于管理机房，方便管理，同时配置ACL控制各部门访问权限并阻止外网访问；3).在路由器上配置EasyVPN，用以实现出差工作人员及在家办公人员远程访问企业内部资源及数据交换；4).为实现网络的冗余设计，在核心层部署时，用两台三层交换机实现HSRP功能。3.3网络拓扑设计本设计中用的到的设备采用Cisco公司的网络设备构建。全部网络设备使用同一厂商设备的主要原因是在于可以实现各种不同网络设备功能的兼容以及互相配合和补充。设计的网络拓扑设计图如图3-1所示。图3-1网络拓扑设计图在图3.1的拓扑中其园区主干没有十分明确的三层设计区分，在功能配置基本上是紧缩到一层中去（即CoreSwitch所在层）出于可扩展性、一次性投资成本、网络的传输性能及长远规划等方面因素考虑，前期先采用堆叠模式即可满足所有用户的接入问题，当用户增加到一定的数量之后，出于交换机堆叠数量的限制，可以选择增加多一台建筑物分布子模块来做汇聚的交换设备，这样一样可以做到后续有很强的扩展性。以这个设计方案而言，因为能提供交换机和链路冗余，所在园区主干子模块不包含任何的单点故障。它采用了星形拓朴结构，它相对其他拓朴结构来说，星形拓朴将用户接入网络时具有更大的灵活性。当系统不断发展或系统发生重大变化时，这种优点将变得更加突出。在接入层，交换机通过生成树提供第二层冗余。此交换机仅有缺点就是最高只能32Gbit/s交换阵列，并且最多只能支持48个快速以太网端口，但是这对于资金有限的中小型企业网来说已经满足需求了。在核心层采用三层交换机部署，可以增加网络扩展性，提高性能及可用性，增强网络安全性。在该设计中，利用快速以太网通道化/千兆以太网通道化技术扩展网络带宽，可以满足内部网络的大负荷网络运行需求。3.4IP编址方案及VLAN划分IP地址规划根据所分配的公网IP地址和内部私有网IP地址分配，地址可分为二大块，一块是分配多个C类公网IP地址，作为和国际互联网互连的地址，一部分企业相关的域名就解析在这片地址上，同时提供给企业用户上网时的NAT转换用，如果条件允许，可以申请多个运营商的线路，关键服务器及应用可以拥有两条线路的公网IP，分别跨接在不同的运营商上进行相互备份。当前交换技术的迅速发展，也加快了虚拟子网技术(VLAN—VirtualLocalAreaNetwork)的应用速度，特别是在当前企业网上的应用更广泛。通过将企业网络划分为虚拟子网（VLAN），可以强化网络管理和网络安全，控制不必要的数据广播。数据广播在网络中起着非常重要的作用，随着企业网内的计算机数量的增加，广播包的数量也会急剧增加，当广播包的数量占到总量的30%时，网络的传输效率将会明显下降。特别是当某网络设备出现故障后，会不停地向网络发送广播，从而导致网络风暴，使网络通信陷于瘫痪。当企业网络内计算机数超过200台后，就必须采取措施将网络分隔开来，将一个大的广播域划分成若干个小的广播域。表3.1VLAN及IP编址方案VLANVLAN号名称IP网段默认网关说明VLAN10部门单位1Units1/24允许访问服务器群网段、外网禁止部门间互访VLAN20部门单位2Units2/24允许访问服务器群网段、外网禁止部门间互访VLAN30部门单位3Units3/24允许访问服务器群网段、外网禁止部门间互访VLAN22网管部门NetMag/24允许（发起）访问公司各个VLAN、外网VLAN40部门单位4Units4/24允许访问服务器群网段、外网禁止部门间互访VLAN60服务器群Servers/24不允许主动发起连接，除email/FTP服务器相关协议外——外部服务器群PublicSer/24不允许主动发起连接，除email/FTP服务器相关协议外3.5核心层设计及设备选型3.5.1园区主干交换机企业网是各种应用的统一通信平台，园区主干设备应有一定的冗余度，这种冗余包括有设备级及物理线路等方面，数据链路层、网络层以及应用层的容错能力。企业园物理结构分为三层：核心层、汇聚层、接入层。园区主干网中心节点配置核心路由交换机，该交换机上配置第三层交换模块和网络监控模块，因此本次方案设计采用Catalyst3560交换机以保证建筑楼信息点对交换机端口密度的要求和网络性能与可靠性的要求。园区主干网核心层交换机和汇聚层交换机采用1000Mbps连接。3.5.2出口路由器在此方案中，考虑该企业Internet出口路由器的配置，采用一台CISCO2811路由器，因为CISCO2811系列是模块化设备，提供了更多的槽和更高的处理能力，它的用途是支持大型分支机构中的复杂应用，或作为中心路由器为多个远程站点提供连接，它的网络模块最高可支持OC-3的速度，且对大多数企业具有丰富的可提高扩展能力。3.5.3服务器群组服务器是网络服务器用量最大的地方。服务器的选择标准很大程度上取决于中心客户的类型和应用种类。就大部分中小型企业应用而言，Web、ERP应用和数据库应用仍然占整个数据中心的各类应用的主要部分。因此对服务器的网络响应能力在很大程度上体现了服务器的硬件体系结构设计的合理性、CPU或CPU组（SMP）对操作系统的进程或线程的分配能力以及磁盘I/O的性能。以及可行性与稳定性，同时散热、功耗和易安装性也是重点考察和评价的对象。基于以上考虑，所选的服务器必须具有高可靠性，I/O吞吐能力强，数据处理快，可扩展性和可管理性良好的特点。3.6接入层设计及设备选型接入层选用Catalyst2960可堆叠交换机作为用户的接入，这些交换机通常作为建筑物接入交换机而部署，能够提供固定的端口密度，并且具有与高端交换机相类似的特性，但其成本更低，但它们却支持非常多的高级交换特性，其中包括集成安全、NAC、高级Qos和弹性等；同时这些交换机具有固定的端口配置，具有24个或48个10/100BASE-T或10/100/1000BASE-T端口，以及双目标特以太网上行链路，既可以使用铜或光纤上行链路，也可以使用一个10/100/1000以太网端口和一个SFP吉比特以太网端口的组合。使用Catalyst2960作为本方案设计的接入交换机，它支持全线速的二层交换，同时具备如下特性：完备的安全智能控制策略：支持802.1x认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持多种ACL访问控制策略：能够对用户访问网络资源的权限进行设置，保证网络的受控访问。高可靠性：支持STP/RSTP生成树协议。丰富的QOS策略：支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口，支持带宽控制功能。好的扩展性：提供良好的堆叠功能，同时支持不同设备的混合堆叠，从而保证了网络的平滑升级和降低了扩建成本。3.7安全体系设计及设备选型企业网信息系统是企业网的数字神经中枢，合理的使用不仅能提高企业现代化信息化改革、提高工作效率、改善工作模式及流程，同时通过各企业之间的信息共享及沟通的方便及顺畅，将会极大的提高整体行业的工作效率及工作业绩。企业网总体上分为企业内网和企业外网。企业内网主要包括研发楼局域网、生产车间局域网、办公自动化局域网等。企业外网主要指企业提供对外服务的服务器群、与电信的接入以及远程移动办公用户的接入等，认真分析可以总结出企业网面临着如下的安全威胁：各种操作系统以及应用系统自身的漏洞带来的安全威胁；Internet网络用户对企业网存在非法访问或恶意入侵的威胁；来自企业网内外的各种病毒的威胁，外部用户可能通过邮件以及文件传输等将病毒带入企业内网，内部职工可能由于使用盗版介质将病毒带入企业内；内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入企业内网；内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击，导致网络及服务不可用；企业网内的职工即时通信工具（比如：OICQ），目前针对该类工具的黑客程序随处可见；可能会因为企业网内管理人员以及全体职工的安全意识不强、管理制度不健全，带来企业网的威胁。基于上面的问题，我们将从物理、系统、网络、应用及管理五个层次分析和设计适合于企业网的安全建议方案。3.7.1物理层安全物理层的安全主要包括环境、设备及线路的安全。系统中心或机房的建设应遵照：GB50173-93《电子计算机机房设计规范》、GB2887-89《计算机站场地安全要求》及GB2887-89《计算机站场地技术条件》的要求。在设备集中的管理间安装干扰器防止由于设备辐射造成的信息泄漏。同时，要注意保护线路的安全，防止用户的搭线窃听行为。3.7.2系统安全 系统层主要解决的是由于各种操作系统、数据库、及相关产品的安全漏洞和病毒造成的威胁。解决的技术手段主要有以下几种：加固手段对主机加固，如升级、打补丁、关闭不需要的端口等；访问控制手段加强对主机的访问控制。3.7.3网络层安全企业网中局域网数目较多，根据需要多个网络可能要互相联接。正是这种多网的互联，使我们对网络层的安全要极度重视。定义一个网络或各网络内不同安全等级的部分为不同的安全域。安全域之间的连接处叫网络边界。下面主要讨论以下几方面的网络层安全防护：划分安全子网。如果同一局域网内有不同等级的安全域，可以通过划分子网及VLAN的方法加以访问控制；加强网络边界的访问控制。安全等级差别较大的边界需要采用防火墙来控制，如企业内网、企业外网和Internet之间，利用防火墙进行访问控制和内容过滤，可有效地解决需求中提到的多种威胁；防止内外的攻击威胁。在每个安全域内或多个安全域之间安装入侵检测系统（IDS），可有效地防止来自网络内外的攻击。3.8本章小结本章根据中小型企业的需求分析，制定了总体的设计方案，包括网络拓朴的设计、IP编址方案及VLAN划分办法，核心层、接入层、出口路由器、服务器群组及安全等设备的选型，充分体现此方案的设计优势，包括可用性、可靠性、安全性、易用性、易管理、可扩展性及投资保护等优点............第四章企业网组网设计与仿真实现以下是该企业应用以上方案设计之后，方案中所有的网络、服务器等设备的具体参数配置。4.1交换模块设计为了简化交换网络设计、提高交换网络的可扩展，在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可以划分为三个层次：接入层、汇聚层、核心层。在本设计方案中，需要进行三层配置。4.1.1接入层交换机服务的实现—配置接入层交换机接入层为所有的终端用户提供一个接入点。交换机拥有48个10/100Mbps自适应快速以太网端口，运行的是CISCO的IOS操作系统。我们以方案拓朴图示中的接入层交换机SWITCH1为例进行介绍。如下图4-1接入层所示；图4-1接入层配置接入层交换机SWITCH1的基本参数设置交换机名称设置交换机名称，也就是出现在交换机CLI提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要Telnet登录到若干台交换机以维护一个大型网络时，通过交换机名称提示自己当前配置交换机的位置是很有必要的。Switch>enSwitch#configtSwitch(config)#hostnameSWITCH1设置交换机的加密口令当用户在普通用户模式而想要进入特权用户模式时，需要提供此口令。此口令会以MD5的形式加密，因此，当用户查看地配置文件时，无法看到明文形式的口令。SWITCH1(config)#enablesecretcompany设置登录虚拟终端线时的口令交换机的远程管理为网络管理人员提供了很多的方便，但是，处于安全考虑，在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。SWITCH1(config)#linevty015SWITCH1(config-line)#loginSWITCH1(config-line)#passwordcompany为了安全考虑，可以设置终端线超时时间。在设置障碍的时间内，如果没有检测到键盘输入，IOS将断开用户和交换机之间的连接。SWITCH1(config)#linevty015SWITCH1(config-line)#exec-timeout60设置禁用IP地址解析特性在交换机默认配置的情况下，当我们输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址，利用命令noipdomain-lookup，可以禁用这个特性，如下：SWITCH1（config）#noipdomain-lookup配置接入层交换机SWITCH1的VLAN及VTP从提高效率的角度出发，在企业网中使用了VTP技术，同时将核心层交换机CoreSwitch1设置成VTP服务器，其他交换机设置成为VTP客户机。这里接入层交换机SWITCH1将通过VTP获得CoreSwitch1中定义的所有VLAN的信息。SWITCH1（config）#vtpmodeclient配置接入层交换机SWITCH1的访问端口接入层交换机SWITCH1为终端用户提供接入服务，根据各部门的不同分布，接入层交换机SWITCH1为VLAN10及VLAN20提供接入服务。设置接入层交换机SWITCH1的端口3为VLAN10，端口4为VLAN20，如下：SWITCH1（config）#interfacerangef0/1–40SWITCH1（config-if-range）#switchportmodeaccessSWITCH1（config）#interfacerangef0/3SWITCH1（config-if-range）#switchportaccessvlan10SWITCH1（config）#interfacerangef0/4SWITCH1（config-if-range）#switchportaccessvlan20配置接入层交换机SWITCH1的主干道端口如图所示，接入交换机SWITCH1通过端口F0/1及F0/2上连到核心层交换机CoreSwitch1及CoreSwitch2，这两条上连到核心层的链路将成为接入交换机SWITCH1重要链路，在这两条上连链路上将运输多个VLAN的数据，因此这两个端口需要工作在Trunk模式下，如下：SWITCH1（config）#interfacerangef0/1-2SWITCH1（config-if）#switchportmodetrunk配置接入层交换机SWITCH2接入层交换机SWITCH2为VLAN20、VLAN30的用户提供接入服务，同时，通过自己的F0/1和F0/2上连核心交换机CoreSwitch1及CoreSwitch2上。对接入层交换机SWITCH2的配置步骤、命令和对接入层交换机SWITCH1的配置类似，其详细配置内容如下：Switch>enSwitch#configtSwitch(config)#hostnameSWITCH2SWITCH2(config)#enablesecretcompanySWITCH2(config)#linevty015SWITCH2(config-line)#loginSWITCH2(config-line)#exec-timeout60SWITCH2(config-line)#linecon0SWITCH2(config-line)#exec-timeout60SWITCH2(config)#noipdomain-lookupSWITCH2(config)#loggingsynchronousSWITCH2(config)#interfacevlan1SWITCH2(config-if)#ipaddress0SWITCH2(config-if)#noshutdownSWITCH2(config)#interfacerangef0/1–48SWITCH2(config-if-range)#duplexfullSWITCH2(config-if-range)#speed100SWITCH2(config)#interfacerangef0/3SWITCH2(config-if-range)#switchportmodeaccessSWITCH2(config-if-range)#switchportaccessvlan20SWITCH2(config-if-range)#spanning-treeportfastSWITCH2(config)#interfacerangef0/4SWITCH2(config-if-range)#switchportmodeaccessSWITCH2(config-if-range)#switchportaccessvlan40SWITCH2(config-if-range)#spanning-treeportfastSWITCH2（config）#interfacerangef0/1-2SWITCH2（config-if）#switchportmodetrunk按照上面的配置，在其他接入层交换机做相类似的配置，并将各自的端口划入相应的VLAN即可。4.1.2核心层交换机服务的实现—配置核心层交换机在本设计方案中，核心层各设备主要是做数据的高速转发工作，但同时也可以兼顾一些汇聚层的工作，以方便配置的实施。下面讨论核心层交换机的配置，如下图4-2核心层所示：图4-2核心层对核心层交换机CoreSwitch1的基本参数的配置配置步骤与接入层交换机SWITCH1的基本参数的配置类似，其配置如下：Switch>enSwitch#configtSwitch(config)#hostnameCoreSwitch1SCoreSwitch1(config)#enablesecretcompanyCoreSwitch1(config)#linevty015CoreSwitch1(config-line)#loginCoreSwitch1(config-line)#exec-timeout60CoreSwitch1(config-line)#linecon0CoreSwitch1(config-line)#exec-timeout60CoreSwitch1(config)#noipdomain-lookupCoreSwitch1(config)#loggingsynchronous配置核心层交换机CoreSwitch1的管理IP下面的命令为核心层交换机CoreSwitch1设置管理IP并激活本征VLAN配置如下：CoreSwich1(config)#interfacevlan1CoreSwich1(config-if)#ipaddress00CoreSwich1(config-if)#noshutdown配置核心层交换机CoreSwitch1的VTPVTP允许我们在一台交换机上创建所有的VLAN，然后，利用交换机之间的互相学习功能，将创建好的VLAN定义传播到整个网络中需要引VLAN定义的所有交换台机上，同时，有关VLAN的删除、参数更改操作均可传播到其他交换机，从而大大减轻了网络管理人员配置交换机负担。本设计方案使用了VTP技术，并将核心层交换机CoreSwitch1设置成为VTP服务器，其他交换机设置成为VTP客户机。配置VTP管理域共享相同VLAN定义数据库的交换机构成一个VTP管理域，每一个VTP管理域都有一个共同的VTP管理域域名，不同VTP管理域的交换机之间不交换VTP通告信息。CoreSwitch1(config)#vtpdomaincisco设置VTP服务器从前文的网络技术概述中可以得知，工作在VTP服务器模式下的交换机可以创建、删除VLAN、修改VLAN参数。同时，还能发送和转发VLAN更新消息。CoreSwitch1(config)#vtpmodeserver在核心层交换机CoreSwitch1上定义VLAN在本设计方案中，除了默认的本征VLAN外，又定义了6个VLAN，由于使用了VTP技术，所以所有VLAN的定义只需要在VTP服务器，即核心层交换机CoreSwitch1上进行，如下所示，这些命令定义了6个VLAN，同时为每个VLAN命名：CoreSwitch1(config)#vlan10CoreSwitch1(config-vlan)#nameUnits1CoreSwitch1(config)#vlan20CoreSwitch1(config-if)#nameUnits2CoreSwitch1(config)#vlan30CoreSwitch1(config-vlan)#nameUnits3CoreSwitch1(config)#vlan40CoreSwitch1(config-vlan)#nameUnits4CoreSwitch1(config)#vlan22CoreSwitch1(config-vlan)#nameNetMagCoreSwitch1(config)#vlan60CoreSwitch1(config-vlan)#nameSERVER配置核心层交换机CoreSwitch1的端口基本参数如拓扑图所示，核心层交换机CoreSwitch1的端口F0/6为服务器群提供接入服务，而端口F0/1-F0/3分别下连到接入层交换机SWITCH1到接入层交换机SWITCH3的端口F0/1-F0/2，而其端口F0/7接入管理交换机Netmag的F0/1端口，同时还需要划入服务组群VLAN60中。下面是配置CoreSwitch1的端口基本参数：CoreSwitch1(config)#interfacerangef0/1–24CoreSwitch1(config-if-range)#duplexfullCoreSwitch1(config-if-range)#speed100CoreSwitch1(config)#interfacerangef0/6CoreSwitch1(config-if-range)#switchportmodeaccessCoreSwitch1(config-if-range)#switchportaccessvlan60CoreSwitch1(config-if-range)#spanning-treeportfastCoreSwitch1(config)#interfacerangef0/1-3f0/7CoreSwitch1(config-if-range)#switchportmodetrunk此外，为了实现冗余设计以及提供主干道的吞吐量，核心层交换机CoreSwitch1将其两个千兆端口G0/1、G0/2捆绑在一起实现2000Mbps的千兆以太网信道，然后再连接到另一台核心层交换机CoreSwitch2，下面是调协核心层交换机CoreSwitch1的千兆以太网信道的步骤：CoreSwitch1(config)#interfacerangeG0/1–2CoreSwitch1（conf