计算机网络技术论文-出版集团的网络的设计与实现.pdf

资源描述

1、 II 目目录录第一章概述.-1-1.1 项目背景.-1-1.2 项目目标.-2-1.3 项目内容.-2-1.4 项目意义.-3-第二章需求分析.-4-2.1 项目需求.-4-2.2 用户需求.-4-2.3 性能需求.-5-2.4 功能需求.-6-第三章系统设计.-7-3.1 总体设计.-7-3.2 拓扑结构.-7-3.3 资源规划.-8-3.3.1 IP 地址分配.-8-3.3.2 VLAN 划分.-9-第四章系统实施.-10-4.1 设备选型.-10-4.1.1 交换机选型.-11-4.1.2 防火墙选型.-12-4.2.3 服务器选型.-13-4.2.4 设备标价表.-14-

2、4.2 设备配置.-14-4.2.1 MSTP 协议.-14-4.2.2 OSPF 协议.-16-4.2.3 PPP 认证.-19-4.2.4 VRRP 协议.-20-4.2.5 使用 BFD 检测.-21-第五章安全与管理.-23-5.1 网络安全.-23-5.1.1 防火墙.-23-5.1.2 入侵检测.-24-III5.1.3 病毒防护.-25-5.1.4 故障防范.-25-5.2 网络管理.-28-5.2.1 配置管理.-28-5.2.2 性能管理.-28-5.2.3 安全管理.-29-5.2.4 计费管理.-29-结语.-30-参考文献.-31-1-第一章第一章概述概述 1.1

3、项目背景项目背景东软电子出版集团由国家出版总署于 2005 年批准成立，主要从事科技和教育领域的电子出版社，东软电子出版社以“立足信息产业发展、推动互联网产学互动融合、专注 IT 出版服务”为己任。随着网络的便利发展，集团也想引进相应的网络设计，便携信息交流与控制、办公自动化等，也给员工带来相应的便利，比如上网查资料、玩游戏、时事新闻、手机 WiFi等等。不过还应注意东软电子集团具有办公楼、食堂、员工宿舍、研发中心、车间中心等区域。随着近年来企业网络信息化建设的深入，企业运作越来越融入计算机网络某企业的沟通;应用；财务；决策；会议等等数据流都在企业网络上传输，构建一个“安全可靠，性能卓越，管理

4、方便”的“高品质”大型企业网络已经成为企业信息化建设成功的关键基石。随着 Intranet 技术的不断发展,计算机已经逐渐应用到企业中的各个关键部分,极大的提高了企业的工作效率。对于规模较大的企业来说，这一点尤为重要。Intranet 代表着全新的信息时代的到来。Intranet 使实现企业内部的信息化成为可能。出版发行企业面对的信息资源已不仅仅来自于一个人、一个集体或者是一个行业，而是所有 Internet 世界上的资源，使得出版管理和决策更为有效。1.2-2-项目目标项目目标第一步：先规划区域网络按办公楼、食堂、员工宿舍、研发中心、批发中心等、规划主干网络，建立信息节点，建立起一个逻辑网

5、络拓扑。第二步：确认所需求的网络类型，是否按当前流行的网络规划，还是有其他要求的网络进行规划。第三步：网络最终带来的是便捷，要让网络使用者要简单方便。通过建设一个高速、安全、可靠、可扩充的网络系统，实现企业信息共享、传递，企业领导能及时、全面、准确地掌握企业科研、生产、管理、财务、人事等各方面情况，建立出口信道，实现与 Internet 互联，让领导和员工在宿舍、办公室等地方上网和查询资料。1.3 项目内容项目内容本项目主要是设计本集体的网络的实施与实现，随着业务的增加和计算机技术的发展，接入局域网的用户将越来越多，终端和工作站的处理能力越来越强，以及图形图像和多媒体的应用越来越广泛,要求每

6、个用户实际可用带宽很高才能使网络通信流畅，网络将成为提供多种业务的统一一网络平台，并应该为不同的业务提供服务质量保证。因此，设计方案时充分了考虑将来业务量的增大,保证当前及今后一定时期内网络的高效与通畅。网络要能满足用户当前需求以及将来需求的增长、新技术发展等变化。因此在保护原有的投资同时，要保证用户数的增加，以及用户随时随地增加设备、增加网络功能等。随着应用规模的发展，系统能灵活方便地进行硬件或软件系统的扩展和升级。整个网络的设计，必须具有多路由选择、路由迁回、路由备份的能力，以防止因单路由或单节点的损坏而造成全网或非损坏节点的中断。同时，网络禁止出现路由循环、路由不被利用或很少利用的情况，

7、尽可能地做到负载分担。1.4-3-项目意义项目意义当今中国网络的另一个重大问题就是安全。由于中国的网络发展较晚，网络的安全没有作到非常完善。而且很多早期起用的网络无论从结构还是技术上都有很多设计不合理的问题，这也导致了网络的安全性差。在企业的某些关键部门（如财务科等），如果有不法分子利用网络中的漏洞修改或者窃取商业机密文件，也会对企业自身造成不可挽回的甚至是毁灭性的危害。当然，企业也会对一些细节问题提出要求。比如市场部门可以上网查阅资料而技术部门不可；或者从周一上午九点到周五下午五点可以上网，而其他时间段网络无流量；再或者高层领导组可以监控财务部门的档案文件而其他部门则没有这样的权限。这些都是

8、网络设计者需要考虑的问题。总而言之，对于一家出版发行集团企业来说，一个良好，优质的网络设计与实现已经是迫在眉睫的事情了。第二章第二章-4-需求分析需求分析 2.1 项目需求项目需求集团局域网络带宽设计原则：本着以用为主的设计理念，利用局域网高带宽的天然优势，结合网络安全第一的设计思路，将采用万兆核心平台的高带宽、高稳定性网络设计方案进行网络部署。为了保障网络安全，在出口路由器和核心交换机之间安装带防毒卡的防火墙来保证业务系统的安全性。根据目前集团的布线情况，需要采用核心汇聚一接入三层架构来保证网络的互联互通。通过应用网管平台、万兆核心设备、千兆交换设备，使得整个网络系统具有先进性、稳定性、安

9、全性等众多特点，完全可以满足现在及未来 3-5 年内的发展需要。2.2 用户需求用户需求（1）办公楼网络需求办公楼是一栋三层楼房，除三楼外每层都有四个办公室。每个办公室都有 5 台 PC，三楼只有老板办公室和会议室。该网络需要个办公室互通而且与老板网络也能互通，会议室网络需要稳定安全。(2)研发楼网络需求东软电子出版集团也进行研发电子科技所以研发楼网络要相对于严谨一些，实验楼也是一栋三层楼房，拥 40 台 PC 需要设置单独的局域网外界网络不能直接访问，但能访问外界网络。(3)食堂网络需求食堂为需要一台交换机。(4)宿舍楼网络需求员工宿舍具有男宿舍楼和女宿舍楼每楼 4 层楼每层 14 个

10、房间每个房间6 台 PC 一楼只有 12 个房间和一个管理室，管理室一台 PC。(5)-5-车间网络需求生产车间为两层楼需要 20 台 PC。2.3 性能需求性能需求（1）可靠性：将要建设的企业网将是高可靠性，达到 24 小时不间断，无故障，稳定运行。网络的局部问题不能影响大网络的运行。企业无线网局域网接入建设的设计原则建立在充分考虑企业使用需要的基础上力求满足整个企业无线网的可靠稳定运行，关键设备应有冗余。（2）可扩展性：对于一家出版发行企业,经常更换网络设备将是一笔非常大的开支,在组建图书馆网络的过程中,应当考虑到网络的可持续扩展性。采用三层交换机既可以满足当今企业园区网络的需求,也可

11、以满足未来网络的升级和改良,可以应用于千兆链路与万兆链路。（3）可管理性：-整个企业网将采用集中式管理，能够监控网络的运行，并能找出网络节点的故障所在，迅速恢复用户的应用。（4）安全性：由于整个企业的管理事务都将放在企业网上，不同部门的重要数据将要求绝对安全，可访问与不可访问将严格限制。企业网和互联网之间的数据流也将严格限制。要求在路由器设置相关的 ACL，各网络设备设置必要的密码，保证设备软安全，安装硬件网络防毒套装，减少病毒、木马、入侵等行为带来的对网络稳定的影响，各部门间划分 VLAN，减少广播，增加安全性，网络设备的冗余备份。（5）实用性及先进性：采用先进的技术,使网络在现在到未来一段

12、时间内能够不被淘汰,而且具有发展潜力;按照层次化、模块化设计网络,具有较好的伸缩性,可以不断吸收新方法、新技术,在可以满足应用系统业务和管理业务的同时,还要体现出网络的安全性。2.4-6-功能需求功能需求通过统一规划和设计，采用相同的传输媒体，信息插座，交连设备，适配器的部分，把语音，数据及视频设备的不同信号综合到一套标准的系统中。在进行综合布线系统设计时，采用模块化设计，便于今后升级扩容。布线系统中除了固定于建筑物的电缆外。其余所有接插件全部采用模块化部位，以便于扩充及重新配置。要保持用户至上原则：（1）设计思想应当面向功能需求 2）（综合布线系统应当合理定位（3）经济性4）（选用标准化产

13、品第三章第三章-7-系统设计系统设计 3.1 总体设计总体设计先分为 5 个网络节点，除食堂外每个节点上面为接入层汇聚层核心层，食堂网络节点接一个核心交换机，组装 WIFI 网络，核心层交换机组装 FTP服务器和连接一个路由器来当防火墙，路由器具有防火墙功能，最后与Internet 网连接。男女宿舍楼可以共一个网络节点，划分同一 vlan。网络节点：是指一台电脑或其他设备与一个有独立地址和具有传送或接收数据功能的网络相连。3.2 拓扑结构拓扑结构该出版发行集团企业是一家集生产，销售，出版，发行一体的大型图书销售公司。公司总部位于辽宁省大连市内，公司现有员工办公大楼，宿舍大楼，生产车间大楼，

14、食堂大楼。公司包含财务处，生产部，人事部，市场部。3.3-8-资源规划资源规划公司子网需求：为了提高 IP 地址的使用效率，引进了子网的概念。将一个网络划分为子网：采用借位方式，从主机最高位开始变为新的子网为；所剩下的部分则为主机位。这使得 IP 地址的结构分为三级地址结构：网络为跟主机位。这种层次结构便于 IP 地址分配管理。它的使用关键在于选择合适的层次结构，如何去适应各种现实的物理网络规模，又能充分利用 IP地址空间。子网的划分主要是根据子网掩码来区分的，掩码的作用就是用来告诉电脑把“划分为多少个”“小网”以及每个子网的主机数目。3.3.1 IP 地址分配地址分配 IP 地址由四段组成

15、，每个字段是一个字节，8 位，最大值是 255.IP 地址由两部分组成，即网络地址和主机地址。网络地址表示其属于互联网的哪一个网络，主机地址表示其属于该网络中的哪一台主机。二者是主从关系。IP 地址的四大类型标识的是网络中的某台主机。IPv4 的地址长度为32 位，共 4 个字节。IP 地址根据网络号和主机号来分，分为 A、B、C 三类及特殊地址 D、E。全 0 和全 1 的都保留不用。A 类 0.0.0.0127.255.255.255B 类 128.0.0.0191.255.255.255C 类 192.0.0.0223.255.255.255D 类 224.0.0.0239.255.25

16、5.255 组播地址E 类 240.0.0.0255.255.255.255 保留私有地址范围 10.0.0.010.255.255.255172.16.0.0172.31.255.255192.168.0.0192.168.255.255特殊地址127.0.0.0127.255.255.2550.0.0.0-9-255.255.255.255 3.3.2 VLAN 划分划分由于 IP 地址的缺少和分类所以企业网络 IP 地址也要进行规划，所以选择掩码全为 24 的 IP 为的进行网络规划。也能够有效的让网络有效的运行。序号网络节点名称网段网关 IP 地址划分 VLAN 1 办公楼 19

17、2.168.1.1/24192.168.1.10Vlan10 2 研发楼 192.168.2.1/24192.168.2.10Vlan20 3 宿舍楼 192.168.3.1/24192.168.3.10Vlan30 4 车间 192.168.4.1/24192.168.4.10Vlan40 5 食堂 192.168.5.1/24192.168.5.10Vlan50 第四章第四章-10 系统实施系统实施 4.1 设备选型设备选型所谓设备选型既是从多种可以满足相同需要的不同型号、规格的设备中，经过技术经济的分析评价，选择最佳方案以做出购买决策。合理选择设备，可使有限的资金发挥最大的经济效益。设

18、备选型应遵循的原则如下：(1)实用性原则：采用成熟的、经实践证明其实用性的技术。这能满足现行业务的管理，又能适应 35 年的业务发展的要求；(2)可靠性原则：设计详细的故障处理及紧急事故处理方案，保证系统运行的稳定性和可靠性；(3)标准性和开放性原则：网络系统的设计符合国际标准和工业标准，采用开放式系统体系结构；(4)安全性原则：系统具有多层次的安全保护措施，可以满足用户身份鉴别、访问控制、数据完整性、可审核性和保密性传输等要求；(5)扩展性原则：在业务不断发展的情况下，路由系统可以不断升级和扩充，并保证系统的稳定运行；(6)性价比：不盲目追求高性能产品，要购买适合自身需求的产品。(7)先进性

19、原则：要求其性能指标保持先进水平，以利提高产品质量和延长其技术寿命。1、PC 电脑选择：惠普（HP280/282 G4 MT 台式）。2、交换机选择：华为 S5700。3、路由器选择：华为 AR2200、防火墙路由器为。4、服务器选择：华为 1288H V5 服务器。4.1.1-11 交换机选型交换机选型 1.交换机（switch）是集线器的换代产品，其作用也是将传输介质的线缆汇聚在一起，以实现计算机的连接。但集线器工作在 OSI 模型的物理层，而交换机工作在 OSI 模型的数据链路层。交换机在网络中的昨天主要表现在以下几个方面：1）提供网络接口2）扩充网络接口 3）扩展网络范围2.交换机分类

20、：可网管交换机和傻瓜交换机：以交换机是否可管理，可以将交换机划分为可网管交换机和傻瓜交换机两种类型。固定端口交换机和模块交换机：以交换机的结构为标准，交换机可分为固定端口交换机和模块交换机两种不得结构。接入层交换机、汇聚层交换机和核心层交换机：以交换机的应用规模为标准，交换机被划分为接入层交换机、汇聚层交换机和核心层交换机。二、三、四层交换机：根据交换机工作在 OSI 七层网络模型的协议层不同，交换机又可以分为第二层交换机、第三层交换机、第四层交换机等。电脑达到一定数量才会要用上核心交换机，而基本在 50 台以下无需用核心交换机，有个路由器即可。所谓的核心交换机是针对网络架构而言，如果是个几台

21、电脑的小局域网，一个 8 口的小交换机就可以称之为核心交换机！而在网络行业中核心交换机是指有网管功能，吞吐量强大的 2 层或者 3 层交换机，一个超过 100 台电脑的网络,如果想稳定并高速的运行,核心交换机必不可少。模块化结构拥有更强劲的性能、更大的灵活性和可扩充性，可以根据现实或者未来的需要选择不同数量、不同速率和不同接口类型的模块，以适应千变万化的网络需求。4.1.2-12 防火墙选型防火墙选型安全设备首要的必然是防火墙。防火墙是一种重要的网络安全设备，是设置在不同网络或不同安全域之间的一道安全屏障，用于网络或安全域之间的安全访问控制。防火墙的目的是保证网络内部数据流的合法性，防止外部

22、非法数据流的侵入，同时管理内部网络用户访问外部网络的权限，并在此前提下将网络中的数据流快速地从一条链路转发到另外的链路上。防火墙对流经它的数据流进行安全访问控制，只有符合防火墙策略的数据才允许通过，不符合策略的数据将被拒绝。防火墙可以关闭不使用的端口，禁止指定端口的通信或来自指定站点的访问。2.防火墙的具体功能主要表现在以下方面：防火墙是网络安全的屏障防火墙可以强化网络安全策略对网络存取和访问进行监控防止内部信息的外泄VPN 支持3.防火墙的分类：物理特性分类：分为硬件防火墙和软件防火墙以及芯片级防火墙。技术分类：防火墙按其所采用的技术分类可分为包过滤技术防火墙、应用代理技术防火墙、状态监视技

23、术防火墙。结构分类：防火墙按其结构分类可分为单一主机防火墙、路由器集成式防火墙和分布式防火墙。-13 防火墙图片 4.2.3 服务器选型服务器选型服务器是网络中关键设备之一，必须具有高性能全交换、千兆主干，且作冗余备份连接，可以满足大负荷网络运行需求；支持 FTP;DHCP；DNS等多种网络服务；利用虚拟网络(VLAN)方便管理，提高网络的安全与性能；卓越的多媒体应用系统，满足用户上传、下载等需求；实现业务需求；管理简单，系统安全、保密性高。带宽优化技术，降低链路费用；专线接入Internet，实现企业园区网内所有用户高速访问广域网。高带宽专线接入大规模企业园区网由于用户多、范围广，因此，对

24、服务器的负荷量要求较高。其间更涉及 2 栋办公大楼、1 间食堂，3 栋宿舍，2 栋车间这些企业园区的办公自动化，且数据传输、系统安全、保密性都比中小型网络结构要求高。因此，服务器不但要性能优越，更要功能齐全。所以与普通的 pc 机不同的是，服务器需要具有如下的特殊要求：较高的稳定性较高的性能较高的扩展性能2.服务器的划分应用层次划分：入门级服务器、工作组级服务器、部门级服务器和企业级服务器。处理器架构划分：CISC 架构服务器 RISC 架构服务器 VLIW 架构服务器。用途划分：通用性服务器、专用性服务器。结构划分：塔式服务器、机架式服务器、刀片式服务器。3.主流服务器IBM System

25、x3550 M2戴尔 R410HP XW4600 工作站华硕 RS520-E6宝德 GS-1000 联想万全 T260 G3 服务-14 器服务器图片 4.2.4 设备标价表设备标价表4.2 设备配置设备配置4.2.1 MSTP 协议协议汇聚层与核心层交换机之间运行 MSTP 协议，在防止产生二层环路的同时实现不同 vlan 流量的负载分担。类型单价数量总价 PC 3，5007202，520，000 6，交换机000848，000 7，路由器000335，000 10，服务器000110，000 3，510，总价000 stp instance 1 root primary-15 stp

26、instance 2 root secondary stp instance 1 root secondarystp instance 2 root primarystp region-configuration region-name LYinstance 1 vlan 10 20 200instance 2 vlan 30 40 50active region-configuration两核心层交换机之间通过 eth-trunk 增加链路的带宽，达到链路的冗余性。lacp priority 0interface Eth-Trunk1port link-type trunkport trun

27、k allow-pass vlan 2 to 4094mode lacp-staticmax active-linknumber 2trunkport G0/0/5trunkport G0/0/6trunkport G0/0/7interface GigabitEthernet0/0/7eth-trunk 1lacp priority 60000interface Eth-Trunk1mode lacp-staticport link-type trunkport trunk allow-pass vlan 2 to 4094 trunkport G0/0/5trunkport G0/0/6t

28、runkport G0/0/4各个主机通过核心交换机实现 vlan-16 间互访。Vlanif10 192.168.1.254/24 up up Vlanif20 192.168.2.254/24 up up Vlanif30 192.168.3.254/24 up up Vlanif40 192.168.4.254/24 up up Vlanif10 192.168.1.253/24 up up Vlanif20 192.168.2.253/24 up up Vlanif30 192.168.3.253/24 up up Vlanif40 192.168.4.253/24 up up Vla

29、nif50 192.168.5.10/24 up up 4.2.2 OSPF 协议协议核心交换机与各个路由器之间运行 OSPF 协议。vlan batch 100 200interface GigabitEthernet0/0/1port link-type accessport default vlan 100interface Vlanif200ip address 10.1.89.8 255.255.255.0ospf 1 router-id 10.1.1.18silent-interface Vlanif10silent-interface Vlanif20silent-interfa

30、ce Vlanif30 silent-interface Vlanif40area 0.0.0.0network 10.1.118.18 0.0.0.0network 10.1.89.8 0.0.0.0-17 network 192.168.0.0 0.0.255.255vlan batch 100 200interface GigabitEthernet0/0/1port link-type accessport default vlan 100interface Vlanif100ip address 10.1.69.19 255.255.255.0interface Vlanif200i

31、p address 10.1.89.9 255.255.255.0ospf 1 router-id 10.1.1.19silent-interface Vlanif10silent-interface Vlanif20silent-interface Vlanif30silent-interface Vlanif40area 0.0.0.0network 10.1.69.19 0.0.0.0network 10.1.89.9 0.0.0.0network 192.168.0.0 0.0.255.255Interface IP Address/Mask Physical Protocol Gig

32、abitEthernet0/0/0 10.1.12.1/24 up up GigabitEthernet0/0/1 0.1.118.1/24 up up ospf 1 router-id 10.1.1.1 area 0.0.0.0 network 10.1.118.1 0.0.0.0 area 0.0.0.1-18 network 10.1.12.1 0.0.0.0 interface GigabitEthernet0/0/0ip address 10.1.26.6 255.255.255.0 interface GigabitEthernet0/0/1ip address 10.1.69.6

33、 255.255.255.0 ospf 1 router-id 10.1.6.6 area 0.0.0.0 network 10.1.69.6 0.0.0.0 area 0.0.0.1 network 10.1.26.6 0.0.0.0防火墙：interface GigabitEthernet0/0/0ip address 10.1.12.2 255.255.255.0 interface GigabitEthernet0/0/1ip address 10.1.26.2 255.255.255.0 ospf 1 router-id 10.1.2.2 area 0.0.0.1 network 1

34、0.1.12.2 0.0.0.0 network 10.1.26.2 0.0.0.0除了办公楼、实验楼能够访问 FTP 服务器外，其他均不能访问。interface GigabitEthernet0/0/4port link-type accessport default vlan 60 traffic-filter outbound acl 2000acl number 2000rule 5 permit source 192.168.1.0 0.0.0.255rule 10 permit source 192.168.2.0 0.0.0.255rule 15 deny夜晚 00:00 至早

35、上 6-19 点宿舍楼不允许上网。acl number 2000 rule 5 deny source 192.168.3.0 0.0.0.255 time-range worktime-range work 0:0 to 6:0 working-day interface Serial2/0/0link-protocol pppip address 100.1.1.1 255.255.255.252 traffic-filter outbound acl 2000 4.2.3 PPP4.2.3 PPP 认证认证防火墙与运营商网络之间运行 PPP 认证，使用 CHAP 认证类型。interf

36、ace Serial2/0/0ppp chap user LY ppp chap password simple LY aaalocal-user ly password cipher LYlocal-user ly service-type pppinterface Serial2/0/0link-protocol pppppp authentication-mode chap由于能够申请到的 IPV4 公网地址有限，为保证公司能够访问外网，需要在防火墙配置 NAT 地址转换。ISP：ospf 1 router-id 10.1.2.2 efault-route-advertise alway

37、simport-route staticacl number 2001 rule 5 permit interface Serial2/0/0nat-20 outbound 2001 4.2.4 VRRP 协议协议办公楼与实验楼之间使用 VRRP 协议，实现网关的冗余性。interface Vlanif10ip address 192.168.1.254 255.255.255.0vrrp vrid 10 virtual-ip 192.168.1.10vrrp vrid 10 priority 150vrrp vrid 10 track bfd-session session-name 2 r

38、educed 60#interface Vlanif20ip address 192.168.2.254 255.255.255.0vrrp vrid 20 virtual-ip 192.168.2.10vrrp vrid 20 priority 150vrrp vrid 20 track bfd-session session-name 2 reduced 60#interface Vlanif30ip address 192.168.3.254 255.255.255.0vrrp vrid 30 virtual-ip 192.168.3.10#interface Vlanif40ip ad

39、dress 192.168.4.254 255.255.255.0 vrrp vrid 40 virtual-21 ip 192.168.4.10 interface Vlanif10ip address 192.168.1.253 255.255.255.0vrrp vrid 10 virtual-ip 192.168.1.10#interface Vlanif20 ip address 192.168.2.253 255.255.255.0vrrp vrid 20 virtual-ip 192.168.2.10#interface Vlanif30ip address 192.168.3.

40、253 255.255.255.0vrrp vrid 30 virtual-ip 192.168.3.10vrrp vrid 30 priority 150vrrp vrid 30 track bfd-session session-name 2 reduced 60#interface Vlanif40ip address 192.168.4.253 255.255.255.0vrrp vrid 40 virtual-ip 192.168.4.10vrrp vrid 40 priority 150vrrp vrid 40 track bfd-session session-name 2 re

41、duced 120 4.2.5 使用使用 BFD 检测检测使用 BFD 检测上行链路故障，实现网关自动切换。Bfdbfd 1 bind peer-ip 10.1.12.2 source-ip 10.1.12.1 autobfd 2 bind peer-ip 10.1.118.8 source-ip 10.1.118.1 auto bfdbfd 1 bind peer-ip 10.1.26.2 source-ip 10.1.26.6 autobfd 2 bind peer-ip 10.1.69.19 source-22 ip 10.1.69.6 auto 第五章第五章-23 安全与管理安全与管

42、理5.1 网络安全网络安全 5.1.1 防火墙防火墙从各个方面预防网络攻击，从而达到必要的网络安全需求。有一下几点：1、物理安全策略：物理安全策略旨在保护计算机系统、网络服务器、打印机和一系列硬件实体，以及通信免受自然灾害或人为损坏的一级网络攻击等。检测用户身份级别权限等，以防止用户超出其权限进行操作。确保计算机系统具有正常的 EMC 工作场所。第二，要建立完整有序的安全管理体系，防止非法进入计算机控制室和各种盗窃行为。防止损坏。2、访问控制策略：访问控制、访问控制、目录级安全控制、信息属性安全控制、网络端口、网络监控、锁定控制和节点安全控制等。3、防火墙防御：防火墙是随着现代社会的快速发

43、展而采取的保护计算机网络信息安全的技术措施。这是阻止黑客访问组织网络的一个障碍。我们也可以称之为控制双向通信的门槛。在网络边界上，通过建立相应的网络通信监控系统，可以防止和隔离外部网络和内部网络。它可以用来阻止外部网络入侵。目前比较先进的防火墙可以分为三类：包过滤防火墙、双孔主机防火墙和代理防火墙。4、信息加密策略网络加密通常采用三种方法：端点加密、链路加密和节点加密。链路加密的主要目的是保护网络之间链路信息的安全等等问题。对端点进行端点加密的主要目的是为了能够保护数据在源端用户到普通用户端。给节点加密的目的是为了能够保护节点源以及目的节点中间的传输的链路。5、加强网络上的安全管理制度，制定颁

44、布相关规章的法律以及制度等。然后对要进行保障的网络安全让其运行起来，这将会起到非常重要的用图。网络安全的管理策略有一下集中，比如说要确保安全管理的层次以及其的范围。颁布以及制定网络运行的规则与人员出入机房管理的系统。还要制定维护体系以及应急措施。网络系统等等-24 以一系列的措施。5.1.2 入侵检测入侵检测从概念上来说，主动进行安全检测与防御是入侵检测的主要特点。通过特定的技术手段，入侵检测系统会在到来前、进行时以及发生后对攻击者的恶意行为分别进行检测、判定与预警记录，以保障计算机资源在网络安全上最基本的三大特性。入侵检测系统指任何使用了入侵检测技术手段来保护系统资源的硬件与软件。入侵检测

45、的技术手段异常检测：将采集系统在一段时期内的正常行为作为一个框架来参照，只要有一天发现系统行为突然偏离了这个框架标准，就认为该行为是一次入侵，该手段就像 QQ 用户不在常用地区登录一样，这种方法在一定程度上能预测入侵行为，但是容易产生误报。异常检测通常分为如下主要几类。2、误用检测：收集曾经确认过的入侵行为，建立一个框架参照，只不过这个标准不是正常行为，而是入侵行为，就像杀毒软件采用的病毒特征库。只要发现系统行为符合参照标准，就把它视为入侵。这种方法误报率不高，但是预测不了新生的入侵行为。5.1.3-25 病毒防护病毒防护一个企业最重要的就是网络安全性与稳定性。传统网络的安全措施主要是通过部

46、署防火墙、IDS、杀毒软件以及配合交换机或者路由器的 ACL 来实现对于病毒和和可攻击的防御，但实践证明这些被动的防御并不能有效解决企业的网络安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业的网络必须要有一整套从用户接入层控制，病毒报文识别主动抑制的一系列安全控制手段，才能有效的保证企业网络的安全稳定运行。5.1.4 故障防范故障防范了解常见计算机网络故障原因(一)硬件故障硬件故障主要有网卡自身故障、网卡未正确安装、网卡故障、集线器故障等。首先检查插上计算机 I/O 插槽上的网卡侧面的指示灯是否正常,网卡一般有两个指示灯“连接指示灯”和“信号传输指示灯”,正常情况下“连

47、接指示灯”应一直亮着,而“信号传输指示灯”在信号传输时应不停闪烁。如“连接指示灯”不亮,应考虑连接故障,即网卡自身是否正常,安装是否正确,网线、集线器是否有故障。1.RJ45 接头的问题RJ45 接头容易出故障,例如,双绞线的头没顶到 RJ45 接头顶端,绞线未按照标准脚位压入接头,甚至接头规格不符或者是内部的绞线断了。镀金层厚度对接头品质的影响也是相当可观的,例如镀得太薄,那么网线经过三五次插拔之后,也许就把它磨掉了,接着被氧化,当然也容易发生断线。2.接线故障或接触不良一般可观察下列几个地方:双绞线颜色和 RJ-45 接头的脚位是否相符;线头是否顶到 RJ-45 接头顶端,若没有,该线的接

48、触会较差.需再重新压按一次;观察 RJ-45 侧面。金属片是否已刺入绞线之中?若没有,极可能造成线路不通;观察双绞线外皮去掉的地方,是否使用剥线工具时切断了绞线(绞线内铜导线已断,但皮未断)-26。如果还不能发现问题,那么我们可用替换法排除网线和集线器故障,即用通信正常的计算机的网线来连接故障机,如能正常通信,显然是网线或集线器的故障,再转换集线器端口来区分到底是网线还是集线器的故障,许多时候集线器的指示灯也能提示是否是集线器故障,正常对应端口的灯应亮着。(二)软件故障如果网卡的信号传输指示灯不亮,这一般是由网络的软件故障引起的。1.检查网卡设置普通网卡的驱动程序磁盘大多附有测试和设置网卡参

49、数的程序。分别查验网卡设置的接头类型、IRQ、I/O 端口地址等参数,若有冲突.只要重新设置(有些必须调整跳线),一般都能使网络恢复正常。另外检查一下网卡驱动程序是否正常安装。不同网卡使用的驱动程序亦不尽相同,假如你选错了,就有可能发生不兼容的现象。修复的方法亦不难,只要找到正确的驱动程序,重新安装即可。最后简单检验一下网卡设置故障是否排除。打开“控制面板-系统-设备管理器”,选中我们安装的网络适配器,点击“属性”按钮,在“常规”文件夹中,可以查看网卡是否在正常工作。2.检查网络协议打开“控制面板-网络-配置”选项,查看已安装的网络协议,必须配置以下各项:NetBEUI 协议和 TCP/IP

50、协议,Microsoft 友好登录,拨号网络适配器。如果以上各项都存在,重点检查 TCP/IP 是否设置正确。在 TCP/IP 属性中要确保每一台计算机都有唯一的 IP 地址,将子网掩码统一设置为 255.255.255.0,网关要设为代理服务器的 IP 地址(如 192.168.0.1)。另外必须注意主机名在局域网内也应该是唯一的。最后,我们用 ping 命令来检-27 验一下网卡能否正常工作。.ping 127.0.0.1127.0.0.1 是本地循环地址.如果该地址无法 ping 通,则表明本机TCP/IP 协议不能正常工作;如果 ping 通了该地址,证明 TCP/IP 协议正常,则进

展开阅读全文