【文章內(nèi)容簡介】 源 ，保證重要和緊急業(yè)務(wù)的帶寬、時(shí)延、優(yōu)先級(jí)和無阻塞的傳送，實(shí)現(xiàn)對(duì)業(yè)務(wù)的合理調(diào)度才是一個(gè)大型企業(yè)網(wǎng)絡(luò)提供高品質(zhì) 服務(wù)的保障。 現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟(jì)損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施主要是通過部署防火墻、IDS、殺毒軟件，以及配合交換機(jī)或路由器的 ACL 來實(shí)現(xiàn)對(duì)病毒和黑客攻擊的防御，但實(shí)踐證明這些被動(dòng)的防御措施并不能有效地解決企業(yè)網(wǎng)絡(luò)的安全問題。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運(yùn)營的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接 入控制，病毒報(bào)文識(shí)別到主動(dòng)抑制的一系列安全控制手段，這樣才能有效地保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。 現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具備更智能的網(wǎng)絡(luò)管理解決方案，以適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴(kuò)大，維護(hù)工作更加復(fù)雜的需要。當(dāng)前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為 以應(yīng)用為中心 的信息基礎(chǔ)平臺(tái)，網(wǎng)絡(luò)管理能力的要求已經(jīng)上升到了業(yè)務(wù)層次，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管理需求的發(fā)展。比如，網(wǎng)絡(luò)調(diào)試期間最消耗人力與物力的線纜故障定位工作，網(wǎng)絡(luò)運(yùn)行期間對(duì)不同用戶靈活的服務(wù)策略部署、訪問權(quán)限控制、以及網(wǎng)絡(luò)日志審計(jì)和病毒控制能力等方面的管 理工作，由于受網(wǎng)絡(luò)設(shè)備功能本身的限制，都還屬于費(fèi)時(shí)、費(fèi)力的任務(wù)。所以現(xiàn)代的大型企業(yè)網(wǎng)絡(luò)迫切需要網(wǎng)絡(luò)設(shè)備具備支撐 以應(yīng)用為中心 的智能網(wǎng)絡(luò)運(yùn)營維護(hù)的能力，并能夠有一套智能化的管理軟件，將網(wǎng)絡(luò)管理人員從繁重的工作中解脫出來。 雖然任 何人都不可能設(shè)計(jì)出絕對(duì)安全和保密的網(wǎng)絡(luò)信息系統(tǒng)，但是，如果在設(shè)計(jì)之初就遵從一些合理的原則，那么相應(yīng)的網(wǎng)絡(luò)系統(tǒng)的安全和保密就會(huì)更加有 安徽工業(yè)大學(xué) 畢業(yè)設(shè)計(jì)（論文）說明書 第 4 頁 共 49 頁 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 裝 ┊ ┊ ┊ ┊ ┊ 訂 ┊ ┊ ┊ ┊ ┊ 線 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 保障。如果設(shè)計(jì)時(shí)考慮不全面，消極地將安全和保密措施寄托在事后 “ 打補(bǔ)丁 ”的思路是非常危險(xiǎn)的。從工程技術(shù)角度，應(yīng)遵循的原則如 圖 所示。 圖 網(wǎng)絡(luò)安全設(shè)計(jì)原則 木桶原則：對(duì)信息均衡、全面地進(jìn)行保護(hù)。 整體性原則：進(jìn)行安全防護(hù)、監(jiān)測(cè)和應(yīng)急恢復(fù)。 實(shí)用性原則 :不影響系統(tǒng)的正常運(yùn)行和合法用戶的操作。 等級(jí)性原則：區(qū)分安全層次和安全級(jí)別。 動(dòng)態(tài)化原則：安全需要不斷更新。 設(shè)計(jì)為本原則：安全設(shè)計(jì)與網(wǎng)絡(luò)設(shè)計(jì)同步進(jìn)行。 安徽工業(yè)大學(xué) 畢業(yè)設(shè)計(jì)（論文）說明書 第 5 頁 共 49 頁 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 裝 ┊ ┊ ┊ ┊ ┊ 訂 ┊ ┊ ┊ ┊ ┊ 線 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 第三章 網(wǎng)絡(luò)技 術(shù)與 拓?fù)浣Y(jié)構(gòu) 本章結(jié)合企業(yè)的需求分析，對(duì)企業(yè)的網(wǎng)絡(luò)架構(gòu)進(jìn)行搭建，并對(duì)該企業(yè)架構(gòu)所用到的技術(shù)進(jìn)行分析，以及對(duì)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)進(jìn)行分析 。 實(shí)用性和經(jīng)濟(jì)性 ： 系統(tǒng)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實(shí)效的方針，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則，建設(shè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)。 先進(jìn)性和成熟性 ： 系統(tǒng)設(shè)計(jì)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對(duì)成熟。不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿Γ鼙ＷC在未來若干年內(nèi)企業(yè)網(wǎng)絡(luò)仍占領(lǐng)先地位。 可靠性和穩(wěn)定性 :在考慮技術(shù)先進(jìn)性和開放性的同時(shí)，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè) 備性能、系統(tǒng)管理、廠商技術(shù)支持及維修能力等方面著手，確保系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性，達(dá)到最大的平均無故障時(shí)間 。 安全性和保密性 :在系統(tǒng)設(shè)計(jì)中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制 。 可擴(kuò)展性和易維護(hù)性 ： 為了適應(yīng)系統(tǒng)變化的要求，必須充分考慮以最簡便的方法、最低的投資，實(shí)現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)，采用可網(wǎng)管產(chǎn)品，降低了人力資源的費(fèi)用，提高網(wǎng)絡(luò)的易用性。 網(wǎng)路技術(shù)的選擇對(duì)影響網(wǎng)絡(luò)性能， 網(wǎng)絡(luò)的維護(hù)，網(wǎng)絡(luò)的安全指數(shù)有著重大的聯(lián)系，因此對(duì)網(wǎng)絡(luò)技術(shù)的選擇必須高度重視。 以太網(wǎng)（ Ether）是一種計(jì)算機(jī)局域網(wǎng)組網(wǎng)技術(shù)。 IEEE 制定的 IEEE 標(biāo)準(zhǔn)給出了以太網(wǎng)的技術(shù)標(biāo)準(zhǔn)。它規(guī)定了包括物理層的連線、電信號(hào)和介質(zhì)訪問層協(xié)議的內(nèi)容。以太網(wǎng)是當(dāng)前應(yīng)用最普遍的局域網(wǎng)技術(shù)。它很大程度上取代了其他局域網(wǎng)標(biāo)準(zhǔn)，如令牌環(huán)網(wǎng)（ token ring）、 FDDI 和 ARCNET。以太網(wǎng)的標(biāo)準(zhǔn)拓?fù)浣Y(jié)構(gòu)為總線型拓?fù)洌壳暗目焖僖蕴W(wǎng)（ 100BASET、 1000BASET 標(biāo)準(zhǔn)）為了最大程 度的減少?zèng)_突，最大程度的提高網(wǎng)絡(luò)速度和使用效率，使用交換機(jī)（ Switch hub）來進(jìn)行網(wǎng)絡(luò)連接和組織，這樣，以太網(wǎng)的拓?fù)浣Y(jié)構(gòu)就成了星型，但在邏輯上，以太網(wǎng)仍然使用總線型拓?fù)浜?CSMA/CD（ Carrier Sense Multiple Access/Collision Detect 即帶沖突檢測(cè)的載波監(jiān)聽多路訪問）的總線爭(zhēng)用技術(shù)。 安徽工業(yè)大學(xué) 畢業(yè)設(shè)計(jì)（論文）說明書 第 6 頁 共 49 頁 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 裝 ┊ ┊ ┊ ┊ ┊ 訂 ┊ ┊ ┊ ┊ ┊ 線 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 快速以太網(wǎng)是世界上應(yīng)用最廣泛的組網(wǎng)技術(shù)，其強(qiáng)大的靈活性，簡便性，傳輸介質(zhì)的多樣性，拓?fù)浣Y(jié)構(gòu)的靈活性，符合中小企業(yè)的設(shè)計(jì)要求 以太網(wǎng)基于網(wǎng)絡(luò)上無線電系統(tǒng)多個(gè)節(jié)點(diǎn)發(fā)送信息的想法實(shí)現(xiàn) ，每個(gè)節(jié)點(diǎn)必須取得電纜或者信道的才能傳送信息，有時(shí)也叫做以太（ Ether）。 (這個(gè)名字來源于 19 世紀(jì)的物理學(xué)家假設(shè)的電磁輻射媒體 光以太。后來的研究證明光以太不存在。 ) 每一個(gè)節(jié)點(diǎn)有全球唯一的 48 位地址也就是制造商分配給網(wǎng)卡的 MAC 地址 ,以保證以太網(wǎng)上所有系統(tǒng)能互相鑒別。由于以太網(wǎng)十分普遍，許多制造商把以太網(wǎng)卡直接集成進(jìn)計(jì)算機(jī)主板 。 VLAN 為實(shí)現(xiàn)交換機(jī)以太網(wǎng)路的廣播隔離，一種理想的解決方案就是采用虛擬局域網(wǎng)技術(shù)。這種對(duì)連接到第 2 層交換機(jī)端口的網(wǎng)絡(luò)使用者的邏輯分段技術(shù)實(shí)現(xiàn)非常靈活，它可以不受使 用者物理位置限制，根據(jù)使用者需求進(jìn)行 VLAN 劃分；可在一個(gè)交換機(jī)上實(shí)現(xiàn)，也可跨交換機(jī)實(shí)現(xiàn)；可以根據(jù)網(wǎng)絡(luò)使用者的位置、作用、部門或根據(jù)使用的應(yīng)用程序、上層協(xié)議或者以太網(wǎng)路連接硬件地址來進(jìn)行劃分。 一個(gè) VLAN 相當(dāng)于 OSI 模型第 2 層的廣播域，它能將廣播控制在一個(gè) VLAN內(nèi)部。而不同 VLAN 之間或 VLAN 與 LAN / WAN 的數(shù)據(jù)通訊必須通過第 3層（網(wǎng)絡(luò)層）完成。否則，即便是同一交換機(jī)上的連接，假如它們不處于同一個(gè)VLAN，正常情況下也無法進(jìn)行數(shù)據(jù)通訊 為了解決 資訊安全議題， 1995 年 IEEE 802 委員會(huì)發(fā)表了 VLAN 技術(shù)的實(shí)作標(biāo)準(zhǔn)與訊框結(jié)構(gòu)，希望能透過設(shè)定邏輯位址（ TPID、 TCI），對(duì)實(shí)體局域網(wǎng)區(qū)隔成獨(dú)立虛擬網(wǎng)段，以規(guī)范封包廣播時(shí)的最大范圍。 如下圖， VLAN 解決了物理位置的限制 圖 VLAN 示意圖 VLAN 的標(biāo)準(zhǔn)有兩種， Cisco 公司的 ISL,以及 IEEE 由于后者是國際化標(biāo)準(zhǔn)，而且其傳輸效率更高，所以更適合網(wǎng)絡(luò)需求。 安徽工業(yè)大學(xué) 畢業(yè)設(shè)計(jì)（論文）說明書 第 7 頁 共 49 頁 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 裝 ┊ ┊ ┊ ┊ ┊ 訂 ┊ ┊ ┊ ┊ ┊ 線 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 使用 VLAN 的好處有以下幾點(diǎn) ： 廣播風(fēng)暴防范：限制網(wǎng)絡(luò)上的廣播，在一個(gè) VLAN 中的廣播不會(huì)送到 VLAN之外。同樣，相鄰的端口不會(huì)收 到其他 VLAN 產(chǎn)生的廣 播。這樣可以減少廣播流量，釋放帶寬給用戶應(yīng)用，減少廣播的產(chǎn)生。 安全：不同 VLAN 內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè) VLAN 內(nèi)的用戶不能和其它 VLAN 內(nèi)的用戶直接通信，如果不同 VLAN 要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備。 成本降低：成本高昂的網(wǎng)絡(luò)升級(jí)需求減少，現(xiàn)有帶寬和上行鏈路的利用率更高，因此可節(jié)約成本。 性能提高：將第二層平面網(wǎng)絡(luò)劃分為多個(gè)邏輯工作組（廣播域）可以減少網(wǎng)絡(luò)上不必要的流量并提高性能。 另外使用 VLAN 還可以 提高 IT 員工效率，簡化項(xiàng)目管理或應(yīng)用管理， 增加了網(wǎng)絡(luò)連接的靈活性等優(yōu)點(diǎn)。 DHCP 某些的主機(jī)不需要靜態(tài)的 IP， 因?yàn)槠洳⒎怯谰玫氖褂迷摰刂?，?dāng)主機(jī)離開網(wǎng)絡(luò)， 就得釋放這個(gè) IP 地址，以給其它工作站使用，動(dòng)態(tài)分配顯然更加靈活。 DHCP 是目前應(yīng)用最為廣泛的為網(wǎng)絡(luò)主機(jī)分配 IP 地址的方式之一。 DHCP允許 DHCP 客戶端從 DHCP 服務(wù)器獲取 IP 地址，子網(wǎng)掩碼，默認(rèn)網(wǎng)關(guān) IP 地址，DNS 服務(wù)器 IP 地址以及其他 IP 地址類型信息。 DHCP 工作原理如圖 圖 DHCP 的工作原理 第一步：由于 DHCP 客戶端初始啟動(dòng)時(shí)沒有 IP 地址，默認(rèn)網(wǎng)關(guān)或 這類配置信息，因而 DHCP 客戶端初始啟動(dòng)后通過發(fā)送目的地為 的廣播消息（ DHCP discovery）來試圖發(fā)現(xiàn) DHCP 服務(wù)器。 第二步： DHCP 服務(wù)器接收到 DHCP discovery 消息后，響應(yīng)以 DHCP offer消息。由于 DHCP discovery 消息是以廣播方式向外發(fā)送的，因而可能會(huì)有多個(gè)DHCP 服務(wù)器響應(yīng)發(fā)現(xiàn)請(qǐng)求，不過客戶端通常會(huì)選擇其接收到的第一個(gè) DHCP offer 消息的服務(wù)器作為 DHCP 服務(wù)器。 第三步： DHCP 客戶端通過發(fā)送 DHCP request 消息 與選定的服務(wù)器進(jìn)行通信，讓 DHCP 服務(wù)器提供 IP 配置參數(shù)。 安徽工業(yè)大學(xué) 畢業(yè)設(shè)計(jì)（論文）說明書 第 8 頁 共 49 頁 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 裝 ┊ ┊ ┊ ┊ ┊ 訂 ┊ ┊ ┊ ┊ ┊ 線 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 第四步： 最后， DHCP 服務(wù)器以 DHCPACK 消息響應(yīng)客戶端， DHCPACK消息包含了 響應(yīng)的 IP 配置參數(shù)。 NAT 在計(jì)算機(jī)網(wǎng)絡(luò)中，網(wǎng)絡(luò)地址轉(zhuǎn)換（ Network Address Translation 或簡稱 NAT，也叫做網(wǎng)絡(luò)掩蔽或者 IP 掩蔽）是一種在 IP 數(shù)據(jù)包通過路由器或防火墻時(shí)重寫源IP 地址或 /和目的 IP 地址的技術(shù)。這種技術(shù)被普遍使用在有多臺(tái)主機(jī)但只通過一個(gè)公有 IP 地址訪問因特網(wǎng)的私有網(wǎng)絡(luò)中。 目前人們普遍認(rèn)為 NAT 完美的解決了 IP 地 址不足的問題，的確，他真的是一樣很有用的工具，可以說沒有 NAT，我們的 網(wǎng)絡(luò)不會(huì)得到如此迅速的發(fā)展。但 NAT 也讓主機(jī)之間的通信變得復(fù)雜，導(dǎo)致通信效率的降低。 NAT 優(yōu)點(diǎn)：節(jié)約合法注冊(cè)地址，減少地址重疊出現(xiàn)，增加鏈接 Inter 的靈活性，網(wǎng)絡(luò)變更時(shí)避免地址的重新分配。 NAT 缺點(diǎn)：地址轉(zhuǎn)換產(chǎn)生交換延遲，無法進(jìn)行端到端的 IP 跟蹤，某些應(yīng)用程序無法實(shí)現(xiàn)在 NAT 的網(wǎng)絡(luò)中運(yùn)行。 NAT 運(yùn)行示例：在下圖中主機(jī) 發(fā)送一個(gè)外出數(shù)據(jù)包到配置了 NAT的邊界路由器，邊界路由器識(shí)別出此 IP 地址為內(nèi)部 IP 地址，目標(biāo)是 外部網(wǎng)絡(luò)，他要轉(zhuǎn)換內(nèi)部本地 IP 地址，并把轉(zhuǎn)換結(jié)果記錄到 NAT 表中，這個(gè)數(shù)據(jù)包使用轉(zhuǎn)換后的新的源地址被發(fā)送到外部接口，外部主機(jī)返回此包到目標(biāo)主機(jī)， NAT 路由使用 NAT 表轉(zhuǎn)換內(nèi)部全局 IP 地址為內(nèi)部 IP 地址，整個(gè)過程基本就是這樣。 下圖是基本的 NAT 工作原理示意圖 圖 NAT 工作原理示意圖 ACL 內(nèi)外