1、河南理工大学万方科技学院本科生毕业论文(设计)上海RT集团园区网建设院系名称信息科学与工程系姓名汪金拴学号111608020128专业网络工程指导教师高焕超2015年04月20日 3摘 要本文通过对RT集团网络进行研究和分析,利用各种网络技术实现企业内部的通信、资源共享,通过各种技术限制不同部门VLAN之间的通信,以及企业内部的用户与互联网之间的访问关系和远程用户通过VPN拨号访问本集团络内部的某些资源。研究RT集团网络的方法,主要通过Cisco Packet Tracer6.1模拟软件和实验室具体操作相结合的方式来完成。运用各种网络技术实现我们需要的功能,例如运用ACL(访问控制列表)技术限
2、制或者允许某些VLAN之间的互访,ipsec vpn 技术实现远程访问等等。通过一系列的模拟和具体的实际操作基本实现中小型集团络的功能需求。RT集团网络的组建在保证集团络需求基础上,为企业提供高性价比的网络,是此次研究的主要目的,同时也希望通过这次的研究,能为今后集团络的组建提供一个可参考的模型。关键词:集团络;网络规划;网络安全;设计实现AbstractThe object of this paper for small and medium-sized enterprise networks, internal communication, resource sharing through
3、 a variety of network technologies to restrict the communications of other users in the communication between certain VLAN, as well as internal users and corporate network and remote users to access internal resources of the enterprise network.We study the network of small and medium enterprises, pr
4、imarily through a combination of the specific operation of the Cisco Packet Tracer5.3 simulation software and laboratory. The use of a variety of network technology to achieve the functionality we need, for example, use ACLs (Access Control List) technology to restrict or allow the exchange of visit
5、s between certain VLAN, ipsec VPN technology to achieve remote access.The basic realization of the functional requirements of small and medium-sized enterprise networks through a series of simulations and specific practical. Such as internal limiting the exchange of visits between the Ministry of In
6、vestment and the Ministry of Finance, within the department can exchange visits, they can also access the database. The formation of our small and medium-sized enterprise networks, ensure that the enterprise network needs on the basis of cost-effective network to provide enterprises with, we are com
7、mitted to the main purpose of this study, the same time, we hope that through this research for future SME networks set up to provide a reference modelKeywords: Enterprise networks,Network technology,Integreted wiring,Network Security目录1 引言11.1 项目背景11.2研究的意义和目的11.3 网络设计原则22 需求分析32.1 带宽性能需求32.2 稳定可靠需
8、求32.3 网络安全需求43 RT集团网络整体方案设计5图3-1 RT集团整体网络拓扑结构53.1 集团区域设计53.1.1 集团边界区域6图3-2 集团边界区域拓扑结构63.1.2 服务器区域设计6图3-3 服务器区域网络拓扑结构73.1.3 内网核心区、接入区设计7图3-4 集团核心区、接入区设计结构83.2 集团ip地址规划94 集团技术详细设计114.1 IPSEC VPN技术114.2 NAT 技术124.3 防火墙报文检测技术134.4 ospf动态路由协议144.5 ACL技术144.6 STP技术155 测试165.1 互联网区域设计结果测试165.2 服务器区域设计结果测试1
9、85.3 内网区域设计结果测试186 结论20致 谢21参考文献221 引言1.1 项目背景随着计算机网络技术的不断发展和日益普及,计算机网络的应用已渗透到社会的各个领域,其功能也得到不断发展,归纳起来,计算机网络的功能主要有以下几个方面,数据通信,资源共享,提高计算机的可靠性和可用性,促进分布式计算与协同工作。目前局域网技术发展非常迅速,计算机网络已经渗透到社会生活的方方面面,成为现代信息社会中人与人之间传递信息的一个重要工具。RT集团企业建设局域网可以实现企业内部资源共享,降低企业的经营成本,提高企业的运作效率。近年来随着RT集团企业信息化建设的深入,企业的运作越来越融入到计算机网络中,企
10、业的沟通、应用、财务、决策和会议等数据流都在集团网络上传输,构建一个“安全可靠、性能卓越、管理方便”高品质集团网络,已成为企业信息化建设成功的关键基石。本文中着重研究的是RT集团网络的规划和设计,在组建该局域网时主要进行下列步骤:需求分析,集团网络方案整体设计,集团网络详细设计,测试和总结。1.2研究的意义和目的RT集团企业建设局域网可以实现企业内部资源共享,降低企业的经营成本,提高企业的运作效率。当前的RT集团网络已经发展成为“以应用为中心”的信息基础平台,网络管理能力的要求已经上升到了业务层次,传统的网络设备的智能已经不能有效支持网络管理需求的发展。现代的集团网络迫切需要网络设备具备支撑“
11、以应用为中心”的智能网络运营维护的能力,并能够有一套智能化管理的软件。RT集团集团络研究的主要目的有以下几点:资源共享。包括硬件资源共享、软件资源共享及数据库共享。在企业局域网可以共享昂贵的硬件资源,如大型外部存储器、绘图仪等。用户可共享网络上的系统软件和应用软件,避免重复投资和重复劳动。网络技术使分散的数据能被迅速集中、分析和处理,分散在网内的计算机用户可以共享网内的大型数据库而不必重复设计这些数据库。提供信息的访问。RT集团网络的目的是连接所有公司的计算机资源,包括服务器,打印机,扫描仪,传真机,个人电脑和笔记本电脑。访问互联网。RT集团网络中会有很多部门,部门之间除了相互交流和共享文件,
12、还需要访问互联网,访问互联网就会关联到企业数据传递的安全性,所以在访问互联网的同时要保证内部网络的安全。远程访问。移动办公对地理位置和工作场景没有任何限制,随时随地都可以正常和企业沟通,提高工作效率,但是远程访问对于数据的传输是否安全也是企业所关心的,所以选择一个正确的的网络技术实现远程办公也是RT集团网络设计的一个重点。1.3 网络设计原则1)先进性与实用性 采用的技术应是业界先进的,选用的设备和软件应是国内外著名厂商的主流、先进的产品,但又不盲目追求高、洋、全。适应投资能力,既先进又实用。能满足性能要求,易于操作、管理和维护。易于学习、掌握和应用。人机界面友好,应用环境良好。 2)标准化与
13、开放性 选用的设备、软件和通讯协议符合国际标准或工业标准。要使网络硬件环境、软件环境、通讯环境、操作平台与高层应用系统之间的相互依赖性减至最小,便于发挥各自的优势。既能适应计算机硬、软件技术的迅速发展,硬件上简便的重新组合又能够支撑新环境要求和适应新技术。3)可靠性和可用性 需用高可靠的产品和技术,充分考虑系统在程序运行时的应用能力和容错能力,确保整个系统的安全和可靠。 4)设备的兼容性 选用符合国际发展潮流的国际标准的软件技术,以便系统有可靠性强,可扩展和可升级等特点,保证今后可迅速采用计算机网络发展出现的新技术,同时为显存的网络设备,小型机,工作站,服务器和微机等设备提供入网和互联手段。
14、2 需求分析RT集团因为业务的需要和信息化建设的需要,需要对企业的网络进行重建。RT集团想通过建设一个高速、安全、可靠、可扩充的网络系统,实现RT集团内部信息的高度共享、传递,交流及管理信息化,公司领导能及时、全面、准确地掌握全公司的市场、管理、财务、人事等各方面情况,建立出口信道,实现与Internet互联。系统总体设计将本着总体规划、分布实施的原则,充分体现系统的技术先进性、高度的安全可靠性,同时具有良好的开放性、可扩展性。本着为企业着想,合理使用建设资金,使系统经济可行。集团公司网络的主要功能包括:文件传输(FTP)、WEB服务器(WEB)、内部部门之间的互访,远程办公、访问互联网、信息
15、共享、安全防护等功能。2.1 带宽性能需求RT集团集团络应具有更高的带宽,更强大的性能,以满足用户日益增长的通信需求。随着计算机技术的高速发展,基于网络的各种应用日益增多,今天的集团络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化,Web浏览等简单的数据业务,还要承载设计企业生产运营的各种业务应用系统数据,以及带宽和时延都要求很高的IP电话,视频会议等多媒体业务。因此,数据流量将大大增加,尤其是对核心网络的数据交换能力提出了前所未有的要求。另外,随着千兆位端口成本的持续下降,千兆位到桌面的应用会在不久的将来成为集团的主流。2.2 稳定可靠需求RT集团企业的网络应具有更全面的可靠
16、性设计,以实现网络通信的实时畅通,保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来,网络通信的无中断运行已经成为保证企业正常生产运营的关键。RT集团网络在可靠性设计方面主要应从以下3个方面考虑。1)设备的可靠性设计:不仅要考虑网络设备是否实现了关键部件的冗余备份,还要从网络设备整体设计架构、处理引擎种类等多方面去考察。2)业务的可靠性设计:网络设备在故障倒换过程中,是否对业务的正常运行有影响。3)链路的可靠性设计:以太网的链路安全来自于多路径选择,所以在集团络建设时,要考虑网络设备是否能够提供有效的链路自愈手段,以及快速路由协议的支持。2.3 网络安全需求大多数的攻击在
17、RT集团网内,主要威胁和攻击方法包括ARP攻击,计算机病毒,拒绝服务攻击,根据网络服务器发起的攻击,基于缓冲区溢出攻击以及相关协议的漏洞进行攻击。因此,在规划和设计集团络时应考虑使用各种安全技术和安全设备。虚拟局域网(VLAN, Virtual Local Area Network)技术、网络地址转换(NAT,Network Address Translation)技术、访问控制列表(ACL, Access Control List)技术、网络防病毒软件是常用的集团络安全措施。网络防火墙、网络准入控制(NAC)、虚拟专用网(VPN)等。3 RT集团网络整体方案设计根据前文的对RT集团的网络建设
18、进行调研和分析,RT集团重点是建设一个稳定性强、可靠性高的网络,在此基础之上能够实现集团内部文件的共享和部门之间的沟通,以及实现部分部门能够访问互联网,对于那些数据安全性要求较高的部门不允许访问互联网,以免重要数据在互联网上传播;关于RT集团网络IP地址的重新规划要尽量有规可循,方便后期的网络扩展和路由调整;网络的设计要做到把复杂简单化层次化,方面后期的管理和维护,模块化的网络拓扑设计及时其中一个区域一个模块出现网络故障,不会对整体网络造成影响。基于以上的整体需求,RT集团整体拓扑设计如图3-1所示:图3-1 RT集团整体网络拓扑结构3.1 集团区域设计RT集团的整体设计如图3.1所示,整体网
19、络拓扑结构采用分层模块化设计,分层模块化设计的主要好处就是对于网络架构的更改和扩展不会影响到其他区域,部门的增加和整合只会影响到本部门,不影响企业内部整体的办公,保证网络7*24小时不中断。该RT集团网整体网络拓扑结构分为三大模块,分别是连接互联网的出口区域,即集团网边界区域;承载内部网络的三层网络架构,即内网核心区、内网接入区;存储集团内部所有数据和存储交换的服务器集群,即服务器区域。三大区域模块组成了集团网整体网络拓扑结构,实现集团内部互访、访问服务器、访问互联网、远程访问等集团需要的功能。3.1.1 集团边界区域集团边界区域作为企业内部与互联网连接的出口区域,即企业和运营商网络的对接,根
20、据集团建设的成本和集团的规模,这里选择单出口区域,集团边界区域的设计对集团来说至关重要,因为所有访问互联网的数据和互联网的回包数据都要经过这个区域,集团内部经常遭到攻击多数都是来自互联网,因此边界区域的主要设计就是安全方面的设计,具体区域边界的设计结构如图3-2所示:图3-2 集团边界区域拓扑结构集团边界区域设计这里采用单出口的设计方案,使用一台路由器连接运营商的网络,边界路由器一端连接集团内网防火墙,用来对访问外网的数据和外部访问内网的数据进行包检测和访问控制,防火墙连接内网核心模块的核心交换机。很早以前的典型的集团络拓扑结构多数都是使用一台出口路由器一端连接运营商网络,一端连接核心交换机;
21、或者直接使用防火墙一端连接运营商网络,一端连接核心交换机,但是随着伴随着互联网的普及和发展,这种网络设计的弊端越来越多,固然这总设计可以节约成本,但是网络健壮性不高,很容易被黑客攻击,结合两总传统的边界区域设计优点,在互联网区域流量流经地添加一台防火墙,用来检测穿越内外网的报文,统一进行访问控制。尽管路由器本身也可以隔离内外网和定义访问控制关系,但是对于高级的访问关系,路由器的安全机制还是有一定的差距。3.1.2 服务器区域设计不管是集团还是校园网或者任何一个有数据访问关系的局域网,都会有服务器的存在,服务器里面存储着大量的数据,记录着企业内部所有的资料,一旦服务器里面的资料被泄露或者被更改,
22、轻者会给公司带来财产上的损失,严重者直接关系到企业的生存。 集团内部常见的服务器有FTP服务器、Email服务器、WEB服务器、存储服务器等,为了方便统一管理和基于模块化的设计原则,将服务器集群组成一个DMZ服务器区域,使用一台防火墙将服务器和内网外网进行隔离,不管数据是从企业内部发起点访问还是来自己与互联网主机的访问,都必须经过服务器区域的防火墙,进行严格的报文检测和访问控制,最大程度的保证服务器区域的安全,服务器区域网络拓扑结构设计如图3-3所示:图3-3 服务器区域网络拓扑结构图3-3为集团服务器区域设计结构,因为集团的服务器一般不是很多,这里将服务器全部接到一台交换机上,划分一单独的v
23、lan,然后交换机上联到防火墙,防火墙另外一端连接内网区域核心交换机,对防火墙接口划分安全级别和定义高级访问控制列表,对访问服务器的端口进行控制。这样通过直通型防火墙设计,不管是集团内部还是外部数据,只要对服务器发起访问,就必须经过防火墙,防火墙允许通过的才能访问,非法的报文将会被丢弃。3.1.3 内网核心区、接入区设计内网区域也是集团设计的重要组成部门,一个集团可以不去访问互联网,但是集团内部部门之间肯定要进行互访,以及访问内网服务器,内网区域的合理设计不仅可以提高网络设备的利用率还可以提高集团的运营效率,集团内网的设计一定要遵循高可用性、稳定性,所谓的高可用性就是能够提高网络设备的利用率,
24、避免资源浪费;稳定性就是提高企业整体网络的健壮性,不会因为一个设备、一条线路的故障而导致全网瘫痪,这就要求集团的设计要做到网络冗余,网络的冗余会牺牲一部分设备的正常转发数据报文,所以在提高网络冗余的同时实现负载分担可以保证网络稳定性的同时提高网络设备的高可用性,对于那些核心设备,采用性能较高、转发速率较快的高端设备,虽然价格昂贵,对于资源有限的集团可以选择核心网络设备采用双引擎,双电源的冗余,即使一个引擎或者一个电源出现故障,不会影响核心设备的正常转发数据流量,保证集团正常办公。集团内网核心区、接入区整体设计拓扑如图3-4所示:图3-4 集团核心区、接入区设计结构集团内网区域的设计一般可以划分
25、为二层结构和三层网络结构。二层网络结构和三层网络结构的主要区别:1、二层网络结构适合比较小型的网络环境,即接入层、核心层,接入层一端连接PC,另一端上联到核心层,将网关设置在核心层上。2、三层网络结构适合大型网络环境,比如校园网、园区外、大型集团等网络节点数较多的网络环境,三层结构即接入层、汇聚层、核心层。接入层只做为接入终端即PC,上联到汇聚层,将网关和策略配置在汇聚层上,核心层多数由高性能的网络设备组成,能够实现快速的数据包转发,因此核心层主要用来转发数据。根据集团的现状,和考虑到将来集团的扩展,这里采用三层的网络结构来设计,即接入层、汇聚层、核心层。核心层主要用来下连集团网络汇聚层、上联
26、边界区域防火墙,核心层设备要具有较高的性能,包转发速率要快,不然会出现单一瓶颈,造成网络拥塞。核心层可以使用双核心和单核心结构,考虑到集团为中小型集团络,建网成本有限,这里采用单核心网络拓扑结构,但是单核心网络拓扑结构有很大的风险,一旦此设备出现故障,将会导致全网不能访问互联网,影响较大,所以这里要在单核心上班上提供自身模块的冗余,采用双引擎双电源的备份冗余模式,即使主引擎出现故障备引擎此时会瞬间成为主引擎,正常转发数据,采用双电源的备份,即使一个电源模块出现故障,不会影响到整体网络,这样既可节约建网成本,还能起到冗余备份,保证核心网络的安全。汇聚层作为承上启下的中间层次设备,对集团的影响也是
27、非常大的,因为一个汇聚层下连很多接入层设备,即汇聚层主要汇聚各个部门的数据流量,一旦汇聚层出现故障,将会影响下连的几个办公部门,虽然不至于全网崩溃,不过产生的影响也是不可弥补的,所以汇聚层的合理设计将会起着关键性的作用,该企业内网将采用双汇聚互联,使用生成树技术实现汇聚层设备的主备和负载分担。双设备互联网络结构使用至少两台以上的网络设备才能称为双汇聚网络结构,双设备网络互联正是为了解决单设备存在的问题而设计的网络结构,即汇聚层设备之间使用双线互联,增加网络的冗余,避免单链路中断导致网络流量不能负载分担,还可以将汇聚层设备之间互联的两条链路使用链路捆绑技术LACP将两条物理链路捆绑成为一条逻辑链
28、路,不仅可以实现链路冗余还能增加链路带宽。双设备互联结构的主要优缺点:双设备互联使用增加设备启到冗余的作用来解决单设备的网络隐患,但是同时网络成本和网络维护难度也将随之增加,不过相对于网络安全性能来说这些将显得微不足道。双设备互联网络结构还能起到负载分担的作用。当网络高峰期上网流量特别大的时候,汇聚层网络设备通过双线连接到接入层,可以很好的实现流量负载分担,即一部分数据流量由设备1转发,另一部分数据流量由设备2转发,避免了网络拥塞的同时增强了网络的安全性,解决了单一节点故障,即使其中一台设备出现故障,另外一台也能正常转发数据。接入层位于连接到网络的最终用户处。接入层交换机通常在用户之间提供第2
29、层(VLAN)连接性。必须具备下述功能:低交换机端口成本;高端口密度;连接到高层的可扩展上行链路;用户接入功能,如VLAN成员资格、数据流和端口安全以及上网认证。使用多条上行链路提供弹性。接入层网络设备主要是连接办公PC、打印机等终端设备,作为网络层最底层的网络设备,直接连接办公主机,可以再最底层直接多终端设备进行安全控制,采用端口安全控制、广播风暴控制,可以很好的避免一部门非法主机的连接和广播流量泛红,启用快速生成树还能对底层网络进行优化。3.2 集团ip地址规划网络规划和设计结合VLAN技术,及每个部门属于不同的VLAN,用来隔离广播风暴和局域网的安全,如果不同VLAN间要实现通信可以采取
30、三层交换的转发功能。为了提高网络的可扩展性,这里给每个部门分配8位的主机位,以实现IP地址的可扩展性,集团VLAN和IP地址规划如下表。表3-1 VLAN和IP地址规划区域名称VLAN划分子网网段默认网关高管部10192.168.10.0/24192.168.10.254行政部20192.168.20.0/24192.168.20.254人事部30192.168.30.0/24192.168.30.254财务部40192.168.40.0/24192.168.40.254销售部50192.168.50.0/24192.168.50.254售后部60192.168.60.0/24192.168.
31、60.254网络管理中心70192.168.70.0/24192.168.70.254服务器集群2192.168.80.0/24192.168.80.254集团内网区域使用vlan的划分虽然可以缩小广播风暴的影响范围和隔离不同的部门,但是对于本区域的网络威胁也要充分考虑,近年来内网主机对网络服务器攻击的案列也在逐渐增多,要想避免这种情况,就必须加大内网接入端的网络安全,局域网攻击常见的有mac地址欺骗、ARP攻击等欺骗性攻击手段,这种攻击往往无法查到攻击主机,只能在设计网络的时候加大网络安全设计,尽量避免这种攻击得逞,具体的方法有在接入pc的交换机接口使用端口安全技术和广播风暴控制技术,来绑定
32、主机的mac地址和ip地址,限制广播包的百分比来避免遭到攻击。集团网络建设除了要提高网络性能,将网络优化,还必须要保证网络的安全,这两者缺一不可。4 集团技术详细设计网络技术是通信技术与计算机技术相结合的产物。计算机网络又是按照网络协议,将分散、独立的计算机设备相互连接的集合。计算机网络的划分可以按照拓扑结构、网络范围和设备互联的距离等不同的标准进行种类划分。一般有局域网(LAN)、城域网(MAN)、广域网(WAN)。在该集团中主要使用的技术有ipsec VPN技术、NAT技术、动态路由协议ospf技术、防火墙报文检测技术、链路捆绑LACP技术、STP技术、ACL、端口安全等技术。4.1 IP
33、SEC VPN技术ipsec VPN是在VPN虚拟专用网的基础之上,对隧道进行加密,保证数据在隧道中传递时的保密性,ipsec VPN主要用在移动办公用户需要访问内网资源,然后内外网又是严格隔离的网络,此时移动用户如果想通过公网连接到内网,就必须建立一个虚拟的专用网,类似于一条专线网络,不过首先移动用户需要用VPN客户端拨号连接到企业内部VPN服务器,此时用边界路由器作为VPN服务器,当用户输入正确的用户名和密码,拨号成功时,VPN服务器会根据预先设定好的地址池,给移动用户分配一个内部私有地址,当移动用户再次访问内网某些服务器时,就相当于建立一个私有的专网,中间数据的传递对用户来说是透明的。I
34、psec VPN具体实现代码如下所示:Router(config)#aaa new-modelRouter(config)#aaa authentication login eza local Router(config)#aaa authorization network ezo localRouter(config)#username cisco password 0 ciscoRouter(config)#crypto isakmp policy 10Router(config-crypto)#encr 3desRouter(config-crypto)#hash md5Router(c
35、onfig-crypto)#authentication pre-shareRouter(config-crypto)#group 2Router(config)#crypto isakmp client configuration group myezRouter(config-crypto)#key 123Router(config-crypto)#pool ezRouter(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmacRouter(config)#crypto ipsec transform-set tim
36、esp-3des esp-md5-hmacRouter(config)#crypto map tom client authentication list ezaRouter(config)#crypto map tom isakmp authorization list ezoRouter(config)#crypto map tom client configuration address respondRouter(config)#crypto map tom 10 ipsec-isakmp dynamic ezmapRouter(config)#ip local pool ez 192
37、.168.129.10 192.168.129.100Router(config)#interface Serial0/3/0Router(config-if)#ip address 158.18.18.1 255.255.255.252Router(config-if)#ip nat outsideRouter(config-if)#crypto map tom4.2 NAT 技术全球网络上使用的IP地址,被分为公有地址和私有地址两部分、其中公有地址是在因特网上可用的IP地址,而私有地址只能在某个企业或机构内部网络中使用,私有地址是不能够在因特网上使用地址。如果在一个连接因特网的网络节点上使
38、用一个私有IP地址,则该节点将不能和因特网的任何节点通信,因为因特网上的其他节点认为该节点的地址是非法的。为解决内部网络使用私有地址的主机和因特网上使用公有地址的主机的通信问题,必须进行网络地址的转换(NAT),即在通信时把私有地址转换成因特网上合法的公有地址。NAT技术的产生,主要是因为因特网地址资源紧缺,NAT技术保证了企业或机构内部网络使用私有地址的同时还能够和因特网上的主机通信。边界区域作为连接外网的出接口区域,因此NAT主要在出口路由器上进行应用和配置,当内网数据经过出口路由器要访问公网时,将会对源地址进行转化,NAT技术结合acl技术可以对访问公网的源地址进行访问控制,即内网有些部
39、门的机器处于安全考虑不允许访问互联网,可以通过acl具体配置如下:Router(config)#access-list 10 deny 192.168.40.0 0.0.0.255Router(config)#access-list 10 deny 192.168.70.0 0.0.0.255Router(config)#access-list 10 permit anyRouter(config)#ip nat inside source list 10 interface Serial0/3/0 overloadRouter(config)#interface FastEthernet0/
40、0Router(config-if)#ip address 192.168.129.2 255.255.255.0Router(config-if)#ip nat insideRouter(config)#interface Serial0/3/0Router(config-if)#ip address 158.18.18.1 255.255.255.252Router(config-if)#ip nat outside4.3 防火墙报文检测技术随着局域网被攻击的现象频繁出现,集团越来越重视网络安全方面的建设,实现安全的方法有很多种,可以通过路由器本身的NAT、ACL或者ipsec加密等技术,
41、或者通过交换机的接口安全控制来实现,但是这些技术主要都是针对底层进行访问控制,比如控制二层、三层、或者最高控制四层的数据包,但是对于应用层的数据包就无法实现检测,而防火墙可以对数据包深度分析,除了通过定义接口安全级别隔离内外网,还可以通过定义一些访问策略,报文检测等高级应用来保护网络的安全,针对防火墙的应用,也要合理的部署和规划,本设计使用双重防火墙技术,即边界区域使用一台防火墙隔离内外网;服务器区域使用一台防火墙隔离服务器和内外网,这样可以做到不仅保护内网办公PC的安全,更注重防护攻击服务器的数据报文。防火墙的应用有基于包过滤和应用防护的,本设计才用了两者分别实现集团的安全,通过高级访问控制
42、列表来实现三层、四层的报文过滤,只有符合规则的报文才能被防火墙转发,不符合的将被丢弃,应用防护主要对经过防火墙的报文进行拆包深度分析,主要对数据包的应用进行识别。防火墙的主要配置如下:ciscoasa(config)#interface Vlan1ciscoasa(config-if)#nameif insideciscoasa(config-if)#security-level 100ciscoasa(config-if)#ip address 192.168.100.14 255.255.255.252ciscoasa(config)#access-list acl_outside ext
43、ended permit icmp any anyciscoasa(config)#access-list acl_outside extended permit tcp any any eq wwwciscoasa(config)#access-list acl_outside extended permit tcp any any eq 8080ciscoasa(config)#access-list acl_outside extended permit tcp any any eq 443ciscoasa(config)#access-list acl_outside extended
44、 permit tcp any any eq 8443ciscoasa(config)#access-list acl_outside extended permit udp any any eq domainciscoasa(config)#class-map acl_mapciscoasa(config-class)#match anyciscoasa(config)#policy-map acl_mapciscoasa(config-policy)#class acl_mapciscoasa(config-policy)#inspect icmp ciscoasa(config)#ser
45、vice-policy acl_map interface insideciscoasa(config)#service-policy acl_map interface outside4.4 ospf动态路由协议开放式最短路径优先(Open Shortest Path First,OSPF)路由协议是一种基于开放式标准的链路状态路由协议。OSPF路由协议中的开放式(OPEN)表示该协议是向公众开放的非私有协议。相对距离矢量路由协议,OSPF路由协议有收敛时间很短、使用范围大的优点。运行OSPF路由协议的路由器,在刚刚开始工作的时候,首先和相邻路由器建立邻居关系,形成邻居表,然后互相交换自己所
46、了解的网络拓扑。路由器在没有学习到全部网络拓扑之前,是不会进行任何的路由操作的,因为这时路由表是空的。路由器学习到全部的网络拓扑,建立拓扑表之后,它们会使用最短路径优先的算法,从拓扑表中计算出路由来。因为所有运行OSPF路由协议的路由器都维护着相同的拓扑表,路由器可以自己从中计算路由,所以这些路由器之间不必周期性的维护着相同的拓扑。该集团的设计选择的是ospf路由协议,ospf是国际标准化的IGP路由协议,非私有路由协议,因此集团不管使用什么厂商的设备都可以允许ospf路由协议,不存在协议不兼容,这样对于后期的网络整改,使用其他厂商的设备,不会存在对整体网络进行改造和设备更换,ospf路由协议
47、应用到该集团的三层设备,结合路由重分布等技术实现全网互通,基于ospf 的配置代码如下:核心层设备ospf代码配置:Switch(config)#router ospf 1Switch(config-router)#router-id 1.1.1.1Switch(config-router)#network 192.168.100.0 0.0.0.255 area 0Switch(config-router)#default-information originate汇聚层设备ospf代码配置:Switch(config)#router ospf 1Switch(config-router)#router-id 2.2.2.2Switch(
浙ICP备2021020529号-1 | 浙B2-20240490 
