【正文】 face inside ciscoasa(config)servicepolicy acl_map interface outside 14 ospf 動(dòng)態(tài)路由協(xié)議 開放式最短路徑優(yōu)先（ Open Shortest Path First， OSPF）路由協(xié)議是一種基于開放式標(biāo)準(zhǔn)的鏈路狀態(tài)路由協(xié)議。訪問控制列表就是用來在使用路由技術(shù)的網(wǎng)絡(luò)里，識(shí)別和過濾哪些由某些網(wǎng)絡(luò)發(fā)出的或者被發(fā)送去某些網(wǎng)絡(luò)的符合我們所規(guī)定條件的數(shù)據(jù)流量，以決定這些數(shù)據(jù)流量是應(yīng)該轉(zhuǎn)發(fā)還是應(yīng)該丟棄的技術(shù)。 使用網(wǎng)絡(luò)管理中心的主機(jī)去訪問銷售部的主機(jī)，訪問目的地址為 ，測(cè)試結(jié)果如圖 58 所示 圖 58 網(wǎng)絡(luò)管理中心可以訪問其他部門 19 ②其他部門的主機(jī)不能訪問網(wǎng)絡(luò)管理中心。其實(shí)我要感謝我的學(xué)校，舒適的學(xué)習(xí)環(huán)境和高教學(xué)水平的老師讓我的專業(yè)技能有了很大的提高，這在找工作的時(shí)候給我?guī)砹撕艽蟮男判摹? 首先感謝我的指導(dǎo)老師，從論文的開題、開題答辯和畢業(yè)論文的撰寫，他都給力我很多的幫助。 使用互聯(lián)網(wǎng)主機(jī)去訪問內(nèi)網(wǎng)主機(jī)，測(cè)試目的 IP 地址為 ，測(cè)試結(jié)果如圖53 所示： 17 圖 53 外網(wǎng)不能訪問內(nèi)網(wǎng) ④外網(wǎng)可以通過 ipsec VPN 撥號(hào)訪問內(nèi)網(wǎng)。因?yàn)樗羞\(yùn)行 OSPF 路由協(xié)議的路由器都維護(hù)著相同的拓?fù)浔?，路由器可以自己從中?jì)算路由，所以這些路由器之間不必周期性的維護(hù)著相同的拓?fù)洹? 邊界區(qū)域作為連接外網(wǎng)的出接口區(qū)域，因此 NAT 主要在出口路由器上進(jìn)行應(yīng)用和配置，當(dāng)內(nèi)網(wǎng)數(shù)據(jù)經(jīng)過出口路由器要訪問公網(wǎng)時(shí)，將會(huì)對(duì)源地址進(jìn)行轉(zhuǎn)化， NAT 技術(shù)結(jié)合acl技術(shù)可以對(duì)訪問公網(wǎng)的源地址進(jìn)行訪問控制，即內(nèi)網(wǎng)有些部門的機(jī)器處于安全考慮不允許訪問互聯(lián)網(wǎng)，可以通過 acl 具體配置如下： Router(config)accesslist 10 deny Router(config)accesslist 10 deny Router(config)accesslist 10 permit any Router(config)ip nat inside source list 10 interface Serial0/3/0 overload Router(config)interface FastEther0/0 Router(configif)ip address Router(configif)ip nat inside Router(config)interface Serial0/3/0 Router(configif)ip address Router(configif)ip nat outside 13 防火墻報(bào)文檢測(cè)技術(shù) 隨著局域網(wǎng)被攻擊的現(xiàn)象頻繁出現(xiàn)，集團(tuán)越來 越重視網(wǎng)絡(luò)安全方面的建設(shè)，實(shí)現(xiàn)安全的方法有很多種，可以通過路由器本身的 NAT、 ACL 或者 ipsec 加密等技術(shù)，或者通過交換機(jī)的接口安全控制來實(shí)現(xiàn)，但是這些技術(shù)主要都是針對(duì)底層進(jìn)行訪問控制，比如控制二層、三層、或者最高控制四層的數(shù)據(jù)包，但是對(duì)于應(yīng)用層的數(shù)據(jù)包就無法實(shí)現(xiàn)檢測(cè)，而防火墻可以對(duì)數(shù)據(jù)包深度分析，除了通過定義接口安全級(jí)別隔離內(nèi)外網(wǎng)，還可以通過定義一些訪問策略，報(bào)文檢測(cè)等高級(jí)應(yīng)用來保護(hù)網(wǎng)絡(luò)的安全，針對(duì)防火墻的應(yīng)用，也要合理的部署和規(guī)劃，本設(shè)計(jì)使用雙重防火墻技術(shù)，即邊界區(qū)域使用一臺(tái)防火墻隔離內(nèi)外網(wǎng)；服務(wù)器區(qū) 域使用一臺(tái)防火墻隔離服務(wù)器和內(nèi)外網(wǎng)，這樣可以做到不僅保護(hù)內(nèi)網(wǎng)辦公 PC 的安全，更注重防護(hù)攻擊服務(wù)器的數(shù)據(jù)報(bào)文。 計(jì)算機(jī)網(wǎng)絡(luò)的劃分可以按照拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)范圍和設(shè)備互聯(lián)的距離等不同的標(biāo)準(zhǔn)進(jìn)行種類劃分。 使用多條上行鏈路提供彈性。 匯聚層作為承上啟下的中間層次設(shè)備，對(duì)集團(tuán)的影響也是非常大的，因?yàn)橐粋€(gè)匯聚層下連很多接入層設(shè)備，即匯聚層主要匯聚各個(gè)部門的數(shù)據(jù)流量，一旦匯聚層出現(xiàn)故障， 9 將會(huì)影響下連的幾個(gè)辦公部門，雖然不至于全網(wǎng)崩潰，不過產(chǎn)生的影響也是不可彌補(bǔ)的，所以匯聚層的合理設(shè)計(jì)將會(huì)起著關(guān)鍵性的作用，該企業(yè)內(nèi)網(wǎng)將采用雙匯聚互聯(lián)，使用生成樹技術(shù)實(shí)現(xiàn)匯聚層設(shè)備的主備和負(fù)載分擔(dān)。 內(nèi)網(wǎng)核心區(qū)、接入?yún)^(qū)設(shè)計(jì) 內(nèi)網(wǎng)區(qū)域也是集團(tuán)設(shè)計(jì)的重要組成部門，一個(gè)集團(tuán)可以不去訪問互聯(lián)網(wǎng)，但是集團(tuán)內(nèi)部部門之間肯定要進(jìn)行互訪，以及訪問內(nèi)網(wǎng)服務(wù)器，內(nèi)網(wǎng)區(qū)域的合理設(shè)計(jì)不僅可以提高網(wǎng)絡(luò)設(shè)備的利用率還可以提高集團(tuán)的運(yùn)營(yíng)效率，集團(tuán)內(nèi)網(wǎng)的設(shè)計(jì)一定要遵循高可用性、穩(wěn)定性，所謂的高可用性就是能夠提高網(wǎng)絡(luò)設(shè)備的利用率，避免資源浪費(fèi)；穩(wěn)定性就是提高企業(yè)整體網(wǎng)絡(luò)的健壯性，不會(huì)因?yàn)橐粋€(gè)設(shè)備、一條線路的故障而導(dǎo)致全網(wǎng)癱瘓，這就要求 集團(tuán)的設(shè)計(jì)要做到網(wǎng)絡(luò)冗余，網(wǎng)絡(luò)的冗余會(huì)犧牲一部分設(shè)備的正常轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文，所以在提高網(wǎng)絡(luò)冗余的同時(shí)實(shí)現(xiàn)負(fù)載分擔(dān)可以保證網(wǎng)絡(luò)穩(wěn)定性的同時(shí)提高網(wǎng)絡(luò)設(shè)備的高可用性，對(duì)于那些核心設(shè)備，采用性能較高、轉(zhuǎn)發(fā)速率較快的高端設(shè)備，雖然價(jià)格昂貴，對(duì)于資源有限的集團(tuán)可以選擇核心網(wǎng)絡(luò)設(shè)備采用雙引擎，雙電源的冗余，即使一個(gè)引擎或者一個(gè)電源出現(xiàn)故障，不會(huì)影響核心設(shè)備的正常轉(zhuǎn)發(fā)數(shù)據(jù)流量，保證集團(tuán)正常辦公。該RT 集團(tuán)網(wǎng)整體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分為三大模塊，分別是連接互聯(lián)網(wǎng)的出口區(qū)域，即集團(tuán)網(wǎng)邊界區(qū)域；承載內(nèi)部網(wǎng)絡(luò)的三層網(wǎng)絡(luò)架構(gòu)，即內(nèi)網(wǎng)核心區(qū)、內(nèi)網(wǎng)接入?yún)^(qū)；存儲(chǔ)集團(tuán)內(nèi)部所有數(shù)據(jù)和存儲(chǔ)交換的服務(wù)器集群，即服務(wù)器區(qū)域。 2）業(yè)務(wù)的可靠性設(shè)計(jì)：網(wǎng)絡(luò)設(shè)備在故障倒換過程中，是 否對(duì)業(yè)務(wù)的正常運(yùn)行有影響。隨著計(jì)算機(jī)技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天的集團(tuán)絡(luò)已經(jīng)發(fā)展成為一個(gè)多業(yè)務(wù)承載平臺(tái)。 3）可靠性和可用性 需用高可靠的產(chǎn)品和技術(shù)，充分考慮系統(tǒng)在程序運(yùn)行時(shí)的應(yīng)用能力和容錯(cuò)能力，確保整個(gè)系統(tǒng)的安全和可靠。 2 網(wǎng)絡(luò)設(shè)計(jì)原則 1）先進(jìn)性與實(shí)用性 采用的技術(shù)應(yīng)是業(yè)界先進(jìn)的，選用的設(shè)備和軟件應(yīng)是國(guó)內(nèi)外著名廠商的主流、先進(jìn)的產(chǎn)品，但又不盲目追求高、洋、全。用戶可共享網(wǎng)絡(luò)上的系統(tǒng)軟件和應(yīng)用軟件，避免重復(fù)投資和重復(fù)勞動(dòng)。 近年來隨著 RT集團(tuán) 企業(yè)信息化建設(shè)的深入，企業(yè)的運(yùn)作越來越融 入到計(jì)算機(jī)網(wǎng)絡(luò)中，企業(yè)的溝通、應(yīng)用、財(cái)務(wù)、決策和會(huì)議等數(shù)據(jù)流都在 集團(tuán) 網(wǎng) 絡(luò)上傳輸，構(gòu)建一個(gè) “安全可靠、性能卓越、管理方便 ”高品質(zhì) 集團(tuán) 網(wǎng) 絡(luò)，已成為企業(yè)信息化建設(shè)成功的關(guān)鍵基石。圖表整潔，布局合理，文字注釋必須使用工程字書寫，不準(zhǔn)用徒手畫 3）畢業(yè)論文須用 A4 單面打印，論文 50 頁(yè)以上的雙面打印 4）圖表應(yīng)繪制于無格子的頁(yè)面上 5）軟件工程類課題應(yīng)有程序清單，并提供電子 文檔 1）設(shè)計(jì)（論文） 2）附件：按照任務(wù)書、開題報(bào)告、外文譯文、譯文原文（復(fù)印件）次序裝訂 4 摘 要 本文通過對(duì) RT 集團(tuán)網(wǎng)絡(luò)進(jìn)行研究和分析，利用各種網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)企業(yè)內(nèi)部的通信、資源共享，通過各種技術(shù)限制不同部門 VLAN 之間的通信，以及企業(yè)內(nèi)部的用戶與互聯(lián)網(wǎng)之間的訪問關(guān)系和遠(yuǎn)程用戶通過 VPN 撥號(hào)訪問本集團(tuán)絡(luò)內(nèi)部的某些資源。對(duì)本文的研究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中以明確方式標(biāo)明。盡我所知，除文中特別加以標(biāo)注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過的研究成果，也不包含我為獲得 及其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過的材料。本人授權(quán) 大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫(kù)進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。通過一系列的模擬和具體的實(shí)際操作基本實(shí)現(xiàn)中小型集團(tuán)絡(luò)的功能需求。當(dāng)前的 RT 集團(tuán) 網(wǎng)絡(luò)已經(jīng)發(fā)展成為 “以應(yīng)用為中心 ”的信息基礎(chǔ)平臺(tái)，網(wǎng)絡(luò)管理能力的要求已經(jīng) 上升到了業(yè)務(wù)層次，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管理需求的發(fā)展。 RT 集團(tuán) 網(wǎng)絡(luò)的目的是連接所有公司的計(jì)算機(jī)資源，包括服務(wù)器，打印機(jī)，掃描儀，傳真機(jī)，個(gè)人電腦和筆記本電腦。易于學(xué)習(xí)、掌握和應(yīng)用。 RT 集團(tuán)想 通過建設(shè)一個(gè)高速、安全、可靠、可擴(kuò)充的網(wǎng)絡(luò)系統(tǒng)，實(shí)現(xiàn) RT 集團(tuán) 內(nèi)部信息的高度共享、傳遞，交流及管理信息化，公司領(lǐng)導(dǎo)能及時(shí)、全面、準(zhǔn)確地掌握全公司的市場(chǎng)、管理、財(cái)務(wù)、人事等各方面情況，建立出口信道，實(shí)現(xiàn)與 Inter 互聯(lián)。另外，隨著千兆位端口成本的持續(xù)下 降，千兆位到桌面的應(yīng)用會(huì)在不久的將來成為集團(tuán)的主流。因此，在規(guī)劃和設(shè)計(jì)集團(tuán)絡(luò)時(shí)應(yīng)考慮使用各種安全技術(shù)和安全設(shè)備。很早以前的典型的集團(tuán)絡(luò)拓?fù)浣Y(jié)構(gòu)多數(shù)都是使用一臺(tái)出口路由器一端連接運(yùn)營(yíng)商網(wǎng)絡(luò)，一端連接核心交換機(jī)；或者直接使用防火墻一端連接運(yùn)營(yíng)商網(wǎng)絡(luò)，一端連接核心交換機(jī)，但是隨著伴隨著互聯(lián)網(wǎng)的普及和發(fā)展，這種網(wǎng)絡(luò)設(shè)計(jì)的弊端越來越多，固然這總設(shè)計(jì)可以節(jié)約成本，但是網(wǎng)絡(luò)健壯性不高，很容易被黑客攻擊，結(jié)合兩總傳統(tǒng)的邊界區(qū)域設(shè)計(jì)優(yōu)點(diǎn)，在互聯(lián)網(wǎng)區(qū)域流量流經(jīng)地添加一臺(tái)防火墻，用來檢測(cè)穿越內(nèi)外網(wǎng)的報(bào)文，統(tǒng)一進(jìn)行訪問控制。 三層網(wǎng)絡(luò)結(jié)構(gòu)適合大型網(wǎng)絡(luò)環(huán)境，比如校園網(wǎng)、園區(qū)外、大型集團(tuán)等網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)較多的網(wǎng)絡(luò)環(huán)境，三層結(jié)構(gòu)即接入層、匯聚層、核心層。 雙設(shè)備互聯(lián)網(wǎng)絡(luò)結(jié)構(gòu)還 能起到負(fù)載分擔(dān)的作用。為了提高網(wǎng)絡(luò)的可擴(kuò)展性，這 里給每個(gè)部門分配 8 位的主機(jī)位，以實(shí)現(xiàn) IP 地址的可擴(kuò)展性，集團(tuán) VLAN 和 IP 地址規(guī)劃如下表。 IPSEC VPN 技術(shù) ipsec VPN 是在 VPN 虛擬專用網(wǎng)的基礎(chǔ)之上，對(duì)隧道進(jìn)行加密，保證數(shù)據(jù)在隧道中傳遞時(shí)的保密性， ipsec VPN 主要用在移動(dòng)辦公用戶需要訪 問內(nèi)網(wǎng)資源，然后內(nèi)外網(wǎng)又是嚴(yán)格隔離的網(wǎng)絡(luò)，此時(shí)移動(dòng)用戶如果想通過公網(wǎng)連接到內(nèi)網(wǎng)，就必須建立一個(gè)虛擬的專用網(wǎng)，類似于一條專線網(wǎng)絡(luò)，不過首先移動(dòng)用戶需要用 VPN 客戶端撥號(hào)連接到企業(yè)內(nèi)部VPN 服務(wù)器，此時(shí)用邊界路由器作為 VPN 服務(wù)器，當(dāng)用戶輸入正確的用戶名和密碼，撥號(hào)成功時(shí)， VPN 服務(wù)器會(huì)根據(jù)預(yù)先設(shè)定好的地址池，給移動(dòng)用戶分配一個(gè)內(nèi)部私有地址，當(dāng)移動(dòng)用戶再次訪問內(nèi)網(wǎng)某些服務(wù)器時(shí)，就相當(dāng)于建立一個(gè)私有的專網(wǎng)，中間數(shù)據(jù)的傳遞對(duì)用戶來說是透明的。 OSPF 路由協(xié)議中的開放式（ OPEN）表示該協(xié)議是向公眾開放的非私有協(xié)議。 15 該企業(yè)內(nèi)部部門之間的訪問控制關(guān)系都是通過 acl來實(shí)現(xiàn)的，每個(gè)部門劃分到一個(gè)獨(dú)立的網(wǎng)段，這樣方便以后部門的擴(kuò)展和訪問控制，以及路由策略的調(diào)整，根據(jù)集團(tuán)的需求和部門之間的訪問關(guān)系，定義以下策略來實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全 和互訪。 使用行政部的主機(jī)去訪問網(wǎng)絡(luò)管理中心的主機(jī)，測(cè)試目的 ip 地址為 ，測(cè)試結(jié)果如圖 59 所示： 圖 59 其他部門不能訪問網(wǎng)絡(luò)管理中心主機(jī) ③高管部和財(cái)務(wù)部是獨(dú)立的部門，不能和其他部門互訪。還要感謝我的親人、朋友和同學(xué)，他們永遠(yuǎn)都是我堅(jiān)強(qiáng)的后盾，在他們的幫助和鼓勵(lì)下得以順利完成學(xué)業(yè)。 21 致 謝 為期幾個(gè)月的論文撰寫終于順利完稿，期間有迷茫和不知所措，回想一路的艱辛與喜悅，這里要向幫助過我的人致以真誠(chéng)的致謝。 使用網(wǎng)絡(luò)管理中心的主機(jī)去訪問互聯(lián)網(wǎng)的主機(jī)，測(cè)試目的