【正文】 在選題上他對我的題目研究方向給了指導(dǎo)，讓我少走了很多彎路，耐心的給我整理論文和上下結(jié)構(gòu)讓畢業(yè)設(shè)計更加完善，讓我學(xué)到了更多的專業(yè)知識，因?yàn)椴辉趯W(xué)校，有一點(diǎn)情況老師都亟不可待的通知我，害怕耽誤我論文完成時間，讓我感到無限溫馨的同時，也教會 我學(xué)會了做人。 使用互聯(lián)網(wǎng)主機(jī)通過 VPN 撥號，撥號成功能夠訪問內(nèi)網(wǎng)，測試目的地址為，測試結(jié)果如圖 5 55 所示： 圖 54 VPN 撥號成功 圖 VPN 撥號成功可以訪問內(nèi)網(wǎng) 18 服務(wù)器區(qū)域設(shè)計結(jié)果測試 服務(wù)器區(qū)域主要設(shè)計的核心就是通過防火墻來控制相應(yīng)的數(shù)據(jù)報文，下面測試一下當(dāng)防火墻開啟允許域名解析，即使用如下設(shè)計代碼的時候： ciscoasa(config)accesslist acl_outside extended permit udp any any eq domain 當(dāng)防火墻配置這個代碼的時候，表示允許域名解析通過，此時主機(jī)可以通過域名來訪問服務(wù)器區(qū)域的 web 服務(wù)器，測試結(jié)果如圖 所示 圖 可以通過域名來訪問 web 服務(wù)器 如果刪除上面防火墻這條配置命令，意思就是不允許域名解析的數(shù)據(jù)流量通過防火墻，此時不能訪問通過域名訪問 web 服務(wù)器，測試結(jié)果如圖 所示： 圖 內(nèi)網(wǎng)不能通過域名來訪問 web 服務(wù)器 內(nèi)網(wǎng)區(qū)域設(shè)計結(jié)果測試 ①網(wǎng)絡(luò)管 理中心可以訪問其他任何部門的主機(jī)。 該集團(tuán)的設(shè)計選擇的是 ospf 路由協(xié)議， ospf 是國際標(biāo)準(zhǔn)化的 IGP 路由協(xié)議，非私有路由協(xié)議，因此 集團(tuán)不管使用什么廠商的設(shè)備都可以允許 ospf 路由協(xié)議，不存在協(xié)議不兼容，這樣對于后期的網(wǎng)絡(luò)整改，使用其他廠商的設(shè)備，不會存在對整體網(wǎng)絡(luò)進(jìn)行改造和設(shè)備更換， ospf 路由協(xié)議應(yīng)用到該集團(tuán)的三層設(shè)備，結(jié)合路由重分布等技術(shù)實(shí)現(xiàn)全網(wǎng)互通，基于 ospf 的配置代碼如下： 核心層設(shè)備 ospf 代碼配置： Switch(config)router ospf 1 Switch(configrouter)routerid Switch(configrouter)work area 0 Switch(configrouter)defaultinformation originate 匯聚層設(shè)備 ospf 代碼配置： Switch(config)router ospf 1 Switch(configrouter)routerid Switch(configrouter)redistribute connected subs Switch(configrouter)work area 0 ACL 技術(shù) 在能夠選擇的管理網(wǎng)絡(luò)的方法中，最簡單、方便且易于理解和使用的，就是訪問控制列表。 防火墻的應(yīng)用有基于包過濾和應(yīng)用防護(hù)的，本設(shè)計才用了兩者分別實(shí)現(xiàn)集團(tuán)的安全，通過高級訪問控制列表來實(shí)現(xiàn)三層、四層的報文過濾，只有符合規(guī)則的報文才能被防火墻轉(zhuǎn)發(fā)，不符合的將被丟棄，應(yīng)用防護(hù)主要對經(jīng)過防火墻的報文進(jìn)行拆包深度分析，主要對數(shù)據(jù)包的應(yīng)用進(jìn)行識別。一般有局域網(wǎng)（ LAN）、城域網(wǎng)（ MAN）、廣域網(wǎng)（ WAN）。 接入層網(wǎng)絡(luò)設(shè)備主要是連接辦公 PC、打印機(jī)等終端設(shè)備，作為網(wǎng)絡(luò)層最底層的網(wǎng)絡(luò)設(shè)備，直接連接辦公主機(jī)，可以再最底層直接多終端設(shè)備進(jìn)行安全控制，采用端口安全控制、廣播風(fēng)暴控制，可以很好的避免一部門非法主機(jī)的連接和廣播流量泛紅，啟用快速生成樹還能對底層網(wǎng)絡(luò)進(jìn)行優(yōu)化。 雙設(shè)備互聯(lián)網(wǎng)絡(luò)結(jié)構(gòu)使用至少兩臺以上的網(wǎng)絡(luò) 設(shè)備才能稱為雙匯聚網(wǎng)絡(luò)結(jié)構(gòu)，雙設(shè)備網(wǎng)絡(luò)互聯(lián)正是為了解決單設(shè)備存在的問題而設(shè)計的網(wǎng)絡(luò)結(jié)構(gòu)，即匯聚層設(shè)備之間使用雙線互聯(lián)，增加網(wǎng)絡(luò)的冗余，避免單鏈路中斷導(dǎo)致網(wǎng)絡(luò)流量不能負(fù)載分擔(dān)，還可以將匯聚層設(shè)備之間互聯(lián)的兩條鏈路使用鏈路捆綁技術(shù) LACP 將兩條物理鏈路捆綁成為一條邏輯鏈路，不僅可以實(shí)現(xiàn)鏈路冗余還能增加鏈路帶寬。集團(tuán)內(nèi)網(wǎng)核心區(qū)、接入?yún)^(qū)整體設(shè)計拓?fù)淙鐖D 34 所示： 8 圖 34 集團(tuán)核心區(qū)、接入?yún)^(qū)設(shè)計結(jié)構(gòu) 集團(tuán)內(nèi)網(wǎng)區(qū)域的設(shè)計一般可以劃分為二層結(jié)構(gòu)和 三層網(wǎng)絡(luò)結(jié)構(gòu)。三大區(qū)域模塊組成了集團(tuán)網(wǎng)整體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，實(shí)現(xiàn)集團(tuán)內(nèi)部互訪、訪問服務(wù)器、訪問互聯(lián)網(wǎng)、遠(yuǎn)程訪問等集團(tuán)需要的功能。 3）鏈路的可靠性設(shè)計：以太網(wǎng)的鏈路安全來自于多路徑選擇，所以在集團(tuán)絡(luò)建設(shè)時，要考慮網(wǎng)絡(luò)設(shè)備是否能夠提供有效的鏈路自愈手段 ，以及快速路由協(xié)議 的支持。不僅要繼續(xù)承載企業(yè)的辦公自動化， Web瀏覽等簡單的數(shù)據(jù)業(yè)務(wù)，還要承載設(shè)計企業(yè)生產(chǎn)運(yùn)營的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和時延都要求很高的 IP電話，視頻會議等多媒體業(yè)務(wù)。 4)設(shè)備的兼容性 選用符合國際發(fā)展潮流的國際標(biāo)準(zhǔn)的軟件技術(shù)，以便系統(tǒng)有可靠性強(qiáng)，可擴(kuò)展和可升級等特點(diǎn)，保證今后可迅速采用計算機(jī)網(wǎng)絡(luò)發(fā)展出現(xiàn)的新技術(shù)，同時為顯存的網(wǎng)絡(luò)設(shè)備，小型機(jī)，工作站，服務(wù)器和微機(jī)等設(shè)備提供入網(wǎng)和互聯(lián)手段。適應(yīng)投資能力，既先進(jìn)又實(shí)用。網(wǎng)絡(luò)技術(shù)使分散的數(shù)據(jù)能被迅速集中、分析和處理，分散在網(wǎng)內(nèi)的計算機(jī)用戶可以共享網(wǎng)內(nèi)的大型數(shù)據(jù)庫而不必重復(fù)設(shè) 計這些數(shù)據(jù)庫。 本文中著重研究的是 RT 集團(tuán) 網(wǎng)絡(luò)的 規(guī)劃和設(shè)計， 在組建該局域網(wǎng)時主要進(jìn)行下列步驟：需求分析， 集團(tuán) 網(wǎng) 絡(luò)方案整體設(shè)計 ， 集團(tuán) 網(wǎng) 絡(luò) 詳細(xì)設(shè)計 ， 測試和總結(jié)。 研究 RT 集團(tuán)網(wǎng)絡(luò)的方法，主要通過 Cisco Packet 模擬軟件和實(shí)驗(yàn)室具體操作相結(jié)合的方式來完成。本人完全意識到本聲明的法律后果由本人承擔(dān)。 本科生畢業(yè)論文 (設(shè)計 ) 上海 RT 集團(tuán)園區(qū)網(wǎng)建設(shè) 畢業(yè)設(shè)計（論文）原創(chuàng)性聲明和使用授權(quán)說明 原創(chuàng)性聲明 本人鄭重承諾：所呈交的畢業(yè)設(shè)計（論文），是我個人在指導(dǎo)教師的指導(dǎo)下 進(jìn)行的研究工作及取得的成果。 作者簽名： 日期： 年 月 日 學(xué)位論文版權(quán)使用授權(quán)書 本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，同意學(xué)校保留并向國家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借閱。運(yùn)用各種網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)我們需要的功能，例如運(yùn)用 ACL（ 訪問控制列表）技術(shù)限制或者允許某些 VLAN 之間的互訪， ipsec vpn 技術(shù)實(shí)現(xiàn)遠(yuǎn)程訪問等等。 研究的意義和目的 RT 集團(tuán) 企業(yè)建設(shè)局域網(wǎng)可以實(shí)現(xiàn)企業(yè)內(nèi)部資源共享，降低企業(yè)的經(jīng)營成本，提高企業(yè)的運(yùn)作效率。 提供信息的訪問。能滿足性能要求，易于操作、管理和維護(hù)。 3 2 需求分析 RT 集團(tuán) 因?yàn)闃I(yè)務(wù)的需要和信息化建設(shè)的需要，需要對企業(yè)的網(wǎng)絡(luò)進(jìn)行 重建。因此，數(shù)據(jù)流量將大大增加，尤其是對核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的要求。 4 網(wǎng)絡(luò)安全需求 大多數(shù)的攻擊在 RT 集團(tuán) 網(wǎng)內(nèi)，主要威脅和攻擊方法包括 ARP 攻擊，計算機(jī)病毒，拒絕服務(wù)攻擊，根據(jù)網(wǎng)絡(luò)服務(wù)器發(fā)起的攻擊，基于緩沖區(qū)溢出攻擊以及相關(guān)協(xié)議的漏洞進(jìn)行攻擊。 6 集團(tuán)邊界區(qū)域 集團(tuán)邊界區(qū)域作為企業(yè)內(nèi)部與互聯(lián)網(wǎng)連接的出口 區(qū)域，即企業(yè)和運(yùn)營商網(wǎng)絡(luò)的對接，根據(jù)集團(tuán)建設(shè)的成本和集團(tuán)的規(guī)模，這里選擇單出口區(qū)域，集團(tuán)邊界區(qū)域的設(shè)計對集團(tuán)來說至關(guān)重要，因?yàn)樗性L問互聯(lián)網(wǎng)的數(shù)據(jù)和互聯(lián)網(wǎng)的回包數(shù)據(jù)都要經(jīng)過這個區(qū)域，集團(tuán)內(nèi)部經(jīng)常遭到攻擊多數(shù)都是來自互聯(lián)網(wǎng)，因此邊界區(qū)域的主要設(shè)計就是安全方面的設(shè)計，具體區(qū)域邊界的設(shè)計結(jié)構(gòu)如圖 32 所示： 圖 32 集團(tuán)邊界區(qū)域拓?fù)浣Y(jié)構(gòu) 集團(tuán)邊界區(qū)域設(shè)計這里采用單出口的設(shè)計方案，使用一臺路由器連接運(yùn)營商的網(wǎng)絡(luò)，邊界路由器一端連接集團(tuán)內(nèi)網(wǎng)防火墻，用來對訪問外網(wǎng)的數(shù)據(jù)和外部訪問內(nèi)網(wǎng)的數(shù)據(jù)進(jìn)行包檢測和訪問控制，防火 墻連接內(nèi)網(wǎng)核心模塊的核心交換機(jī)。 二層網(wǎng)絡(luò)結(jié)構(gòu)和三層網(wǎng)絡(luò)結(jié)構(gòu)的主要區(qū)別： 二層網(wǎng)絡(luò)結(jié)構(gòu)適合比較小型的網(wǎng)絡(luò)環(huán)境，即接入層、核心層，接入層一端連接PC，另一端上聯(lián)到核心層，將網(wǎng)關(guān)設(shè)置在核心層上。 雙設(shè)備互聯(lián)結(jié)構(gòu)的主要優(yōu)缺點(diǎn)： 雙設(shè)備互聯(lián)使用增加設(shè)備啟到冗余的作用來解決單設(shè)備的網(wǎng)絡(luò)隱患，但是同時網(wǎng)絡(luò)成本和網(wǎng)絡(luò)維護(hù)難度也將隨之增加，不過相對于網(wǎng)絡(luò)安全性能來說這些將顯得微不足道。 集團(tuán) ip 地址規(guī)劃 網(wǎng)絡(luò)規(guī)劃和設(shè)計結(jié)合 VLAN 技術(shù)，及每個部門屬于不同的 VLAN，用來隔離廣播風(fēng)暴和局域網(wǎng)的安全，如果不同 VLAN 間要實(shí)現(xiàn)通信可以采取三層交換的轉(zhuǎn)發(fā)功能。 在該集團(tuán)中主要使用的技術(shù)有 ipsec VPN 技術(shù)、 NAT 技術(shù)、動態(tài)路由協(xié)議 ospf 技術(shù)、防火墻報文檢測技術(shù)、鏈路捆綁 LACP 技術(shù)、 STP 技術(shù)、 ACL、端口安全等技術(shù)。防火墻的主要配置如下： ciscoasa(config)interface Vlan1 ciscoasa(configif)nameif inside ciscoasa(configif)securitylevel 100 ciscoasa(configif)ip address ciscoasa(config)accesslist acl_outside extended permit icmp any any ciscoasa(config)accesslist acl_outside extended permit tcp any any eq ciscoasa(config)accesslist acl_outside extended permit tcp any any eq 8080 ciscoasa(config)accesslist acl_outside extended permit tcp any any eq 443 ciscoasa(config)accesslist acl_outside extended permit tcp any any eq 8443 ciscoasa(config)accesslist acl_outside extended permit udp any any eq domain ciscoasa(config)classmap acl_map ciscoasa(configclass)match any ciscoasa(config)policymap acl_map ciscoasa(configpolicy)class acl_map ciscoasa(configpolicy)inspect icmp ciscoasa(config)servicepolicy acl_map inter