【正文】 于資源有限的集團(tuán)可以選擇核心網(wǎng)絡(luò)設(shè)備采用雙引擎，雙電源的冗余，即使一個(gè)引擎或者一個(gè)電源出現(xiàn)故障，不會(huì)影響核心設(shè)備的正常轉(zhuǎn)發(fā)數(shù)據(jù)流量，保證集團(tuán)正常辦公。接入層只做為接入終端即 PC，上聯(lián)到匯聚層，將網(wǎng)關(guān)和策略配置在匯聚層上，核心層多數(shù)由高性能的網(wǎng)絡(luò)設(shè)備組成，能夠?qū)崿F(xiàn)快速的數(shù)據(jù)包轉(zhuǎn)發(fā)，因此核心層主要用來轉(zhuǎn)發(fā)數(shù)據(jù)。 匯聚層作為承上啟下的中間層次設(shè)備，對(duì)集團(tuán)的影響也是非常大的，因?yàn)橐粋€(gè)匯聚層下連很多接入層設(shè)備，即匯聚層主要匯聚各個(gè)部門的數(shù)據(jù)流量，一旦匯聚層出現(xiàn)故障， 9 將會(huì)影響下連的幾個(gè)辦公部門，雖然不至于全網(wǎng)崩潰，不過產(chǎn)生的影響也是不可彌補(bǔ)的，所以匯聚層的合理設(shè)計(jì)將會(huì)起著關(guān)鍵性的作用，該企業(yè)內(nèi)網(wǎng)將采用雙匯聚互聯(lián)，使用生成樹技術(shù)實(shí)現(xiàn)匯聚層設(shè)備的主備和負(fù)載分擔(dān)。當(dāng)網(wǎng)絡(luò)高峰期上網(wǎng)流量特別大的時(shí)候，匯聚層網(wǎng)絡(luò)設(shè)備通過雙線連接到接入層，可以很好的實(shí)現(xiàn)流量負(fù)載分擔(dān)，即一部分?jǐn)?shù)據(jù)流量由設(shè)備 1 轉(zhuǎn)發(fā)，另一部分?jǐn)?shù)據(jù)流量由設(shè)備 2 轉(zhuǎn)發(fā)，避免了網(wǎng)絡(luò)擁塞的同時(shí)增強(qiáng)了網(wǎng)絡(luò)的安全性，解決了單一節(jié)點(diǎn)故障，即使其中一臺(tái)設(shè)備出現(xiàn)故障，另外一臺(tái)也能正常轉(zhuǎn)發(fā)數(shù)據(jù)。 使用多條上行鏈路提供彈性。 表 31 VLAN 和 IP 地址規(guī)劃 10 區(qū)域名稱 VLAN 劃分 子網(wǎng)網(wǎng)段 默認(rèn)網(wǎng)關(guān) 高管部 10 行政部 20 人事部 30 財(cái)務(wù)部 40 銷售部 50 售后部 60 網(wǎng)絡(luò)管理中心 70 服務(wù)器集群 2 集團(tuán)內(nèi)網(wǎng)區(qū)域使用 vlan 的劃分雖然可以縮小廣播風(fēng)暴的影響范圍和隔離不同的部門，但是對(duì)于本區(qū)域的網(wǎng)絡(luò)威脅也要充分考慮，近年來內(nèi)網(wǎng)主機(jī)對(duì)網(wǎng)絡(luò)服務(wù)器攻擊的案列也在逐漸增多，要想避免這種情況，就必須加大內(nèi)網(wǎng)接入端的網(wǎng)絡(luò)安全，局 域網(wǎng)攻擊常見的有 mac 地址欺騙、 ARP 攻擊等欺騙性攻擊手段，這種攻擊往往無法查到攻擊主機(jī)，只能在設(shè)計(jì)網(wǎng)絡(luò)的時(shí)候加大網(wǎng)絡(luò)安全設(shè)計(jì)，盡量避免這種攻擊得逞，具體的方法有在接入 pc 的交換機(jī)接口使用端口安全技術(shù)和廣播風(fēng)暴控制技術(shù)，來綁定主機(jī)的 mac 地址和 ip地址，限制廣播包的百分比來避免遭到攻擊。 計(jì)算機(jī)網(wǎng)絡(luò)的劃分可以按照拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)范圍和設(shè)備互聯(lián)的距離等不同的標(biāo)準(zhǔn)進(jìn)行種類劃分。 Ipsec VPN 具體實(shí)現(xiàn)代碼如下所示： Router(config)aaa newmodel Router(config)aaa authentication login eza local Router(config)aaa authorization work ezo local Router(config)username cisco password 0 cisco Router(config)crypto isakmp policy 10 Router(configcrypto)encr 3des Router(configcrypto)hash md5 Router(configcrypto)authentication preshare Router(configcrypto)group 2 Router(config)crypto isakmp client configuration group myez Router(configcrypto)key 123 Router(configcrypto)pool ez Router(config)crypto ipsec transformset myset esp3des espshahmac Router(config)crypto ipsec transformset tim esp3des espmd5hmac Router(config)crypto map tom client authentication list eza Router(config)crypto map tom isakmp authorization list ezo 12 Router(config)crypto map tom client configuration address respond Router(config)crypto map tom 10 ipsecisakmp dynamic ezmap Router(config)ip local pool ez Router(config)interface Serial0/3/0 Router(configif)ip address Router(configif)ip nat outside Router(configif)crypto map tom NAT 技術(shù) 全球網(wǎng)絡(luò)上使用的 IP 地址，被分為公有地址和私有地址兩部分、其中公有地址是在因特網(wǎng)上可用的 IP 地址，而私有地址只能在某個(gè)企業(yè)或機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)中使用，私有地址是不能夠在因特網(wǎng)上使用地址。 邊界區(qū)域作為連接外網(wǎng)的出接口區(qū)域，因此 NAT 主要在出口路由器上進(jìn)行應(yīng)用和配置，當(dāng)內(nèi)網(wǎng)數(shù)據(jù)經(jīng)過出口路由器要訪問公網(wǎng)時(shí)，將會(huì)對(duì)源地址進(jìn)行轉(zhuǎn)化， NAT 技術(shù)結(jié)合acl技術(shù)可以對(duì)訪問公網(wǎng)的源地址進(jìn)行訪問控制，即內(nèi)網(wǎng)有些部門的機(jī)器處于安全考慮不允許訪問互聯(lián)網(wǎng)，可以通過 acl 具體配置如下： Router(config)accesslist 10 deny Router(config)accesslist 10 deny Router(config)accesslist 10 permit any Router(config)ip nat inside source list 10 interface Serial0/3/0 overload Router(config)interface FastEther0/0 Router(configif)ip address Router(configif)ip nat inside Router(config)interface Serial0/3/0 Router(configif)ip address Router(configif)ip nat outside 13 防火墻報(bào)文檢測(cè)技術(shù) 隨著局域網(wǎng)被攻擊的現(xiàn)象頻繁出現(xiàn)，集團(tuán)越來 越重視網(wǎng)絡(luò)安全方面的建設(shè)，實(shí)現(xiàn)安全的方法有很多種，可以通過路由器本身的 NAT、 ACL 或者 ipsec 加密等技術(shù)，或者通過交換機(jī)的接口安全控制來實(shí)現(xiàn)，但是這些技術(shù)主要都是針對(duì)底層進(jìn)行訪問控制，比如控制二層、三層、或者最高控制四層的數(shù)據(jù)包，但是對(duì)于應(yīng)用層的數(shù)據(jù)包就無法實(shí)現(xiàn)檢測(cè)，而防火墻可以對(duì)數(shù)據(jù)包深度分析，除了通過定義接口安全級(jí)別隔離內(nèi)外網(wǎng)，還可以通過定義一些訪問策略，報(bào)文檢測(cè)等高級(jí)應(yīng)用來保護(hù)網(wǎng)絡(luò)的安全，針對(duì)防火墻的應(yīng)用，也要合理的部署和規(guī)劃，本設(shè)計(jì)使用雙重防火墻技術(shù)，即邊界區(qū)域使用一臺(tái)防火墻隔離內(nèi)外網(wǎng)；服務(wù)器區(qū) 域使用一臺(tái)防火墻隔離服務(wù)器和內(nèi)外網(wǎng)，這樣可以做到不僅保護(hù)內(nèi)網(wǎng)辦公 PC 的安全，更注重防護(hù)攻擊服務(wù)器的數(shù)據(jù)報(bào)文。 相對(duì)距離矢量路由協(xié)議， OSPF 路由協(xié)議有收斂時(shí)間很短、使用范圍大的優(yōu)點(diǎn)。因?yàn)樗羞\(yùn)行 OSPF 路由協(xié)議的路由器都維護(hù)著相同的拓?fù)浔?，路由器可以自己從中?jì)算路由，所以這些路由器之間不必周期性的維護(hù)著相同的拓?fù)洹? 網(wǎng)絡(luò)管理中心和財(cái)務(wù)部不能訪問內(nèi)網(wǎng)，主要實(shí)現(xiàn)代碼如下： Router(config)accesslist 10 deny Router(config)accesslist 10 deny Router(config)accesslist 10 permit any 根據(jù)最精準(zhǔn)的安全訪問控制關(guān)系，這里允許網(wǎng)絡(luò)管理中心訪問其他部門，這樣方便網(wǎng)管中心統(tǒng)一控制和管理網(wǎng)絡(luò)設(shè)備，方便后期的維護(hù)，但是不允許其他 部門的主機(jī)訪問網(wǎng)絡(luò)管理中心的主機(jī)，主要實(shí)現(xiàn)代碼如下： Switch(config)accesslist 170 deny icmp any echoreply Switch(config)accesslist 170 deny icmp any echoreply Switch(config)accesslist 170 deny icmp any echoreply Switch(config)accesslist 170 deny icmp any echoreply Switch(config)accesslist 170 deny icmp any echoreply Switch(config)accesslist 170 deny icmp any echoreply Switch(config)accesslist 170 permit ip any any STP 技術(shù) 生成樹技術(shù)設(shè)計(jì)的思想就是解決網(wǎng)絡(luò)中存在環(huán)路的現(xiàn)象，通過阻塞其中一些端口來打破環(huán)路存在的可能。 使用互聯(lián)網(wǎng)主機(jī)去訪問內(nèi)網(wǎng)主機(jī)，測(cè)試目的 IP 地址為 ，測(cè)試結(jié)果如圖53 所示： 17 圖 53 外網(wǎng)不能訪問內(nèi)網(wǎng) ④外網(wǎng)可以通過 ipsec VPN 撥號(hào)訪問內(nèi)網(wǎng)。 使用高管部的主機(jī)去訪問行政部的主機(jī)，訪問目的 IP 地址為 ，測(cè)試結(jié)果如圖 510 所示： 圖 510 高管部不能和其他部門互訪 20 6 結(jié)論 對(duì)于集團(tuán)，其核心內(nèi)容是多層交換網(wǎng)絡(luò)的實(shí)現(xiàn)。 首先感謝我的指導(dǎo)老師，從論文的開題、開題答辯和畢業(yè)論文的撰寫，他都給力我很多的幫助。 最后，向百忙之中抽出時(shí)間審閱和批改論文的老師們表示由衷的感謝，謝謝您們的指導(dǎo)和提出寶貴的意見。其實(shí)我要感謝我的學(xué)校，舒適的學(xué)習(xí)環(huán)境和高教學(xué)水平的老師讓我的專業(yè)技能有了很大的提高，這在找工作的時(shí)候給我?guī)砹撕艽蟮男判摹? 本文主要是從 集團(tuán) 的網(wǎng)絡(luò)需求出發(fā)，通過對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行綜合的分析，對(duì) 集團(tuán) 絡(luò)的組建在保證 集團(tuán) 絡(luò)需求基礎(chǔ)上，為 集團(tuán) 提供高性價(jià)比的網(wǎng)絡(luò)，是致力于此次研究的主要目的，同時(shí)希望通過這次的研究，能為今后 集團(tuán) 絡(luò)的 組建提供一個(gè)可參考的模型。 使用網(wǎng)絡(luò)管理中心的主機(jī)去訪問銷售部的主機(jī)，訪問目的地址為 ，測(cè)試結(jié)果如圖 58 所示 圖 58 網(wǎng)絡(luò)管理中心可以訪問其他部門 19 ②其他部門的主機(jī)不能訪問網(wǎng)絡(luò)管理中心。 使用高管部的主機(jī)去訪問互聯(lián)網(wǎng)主機(jī)，測(cè)試目的 ip 地址為 ，測(cè)試結(jié)果如圖 51 所示： 圖 內(nèi)網(wǎng)訪問外網(wǎng)連通性測(cè)試 ②內(nèi)網(wǎng)財(cái)務(wù)部和網(wǎng)絡(luò)管理中心不能訪問外網(wǎng)。訪問控制列表就是用來在使用路由技術(shù)的網(wǎng)絡(luò)里，識(shí)別和過濾哪些由某些網(wǎng)絡(luò)發(fā)出的或者被發(fā)送去某些網(wǎng)絡(luò)的符合我們所規(guī)定條件的數(shù)據(jù)流量，以決定這些數(shù)據(jù)流量是應(yīng)該轉(zhuǎn)發(fā)還是應(yīng)該丟棄的技術(shù)。路由器在沒有學(xué)習(xí)到全部網(wǎng)絡(luò)拓?fù)渲?，是不?huì)進(jìn)行任何的路由操作的，因?yàn)檫@時(shí)路由表是空的。防火墻的主要配置如下： ciscoasa(config)interface Vlan1 ciscoasa(configif)nameif inside ci