【文章內(nèi)容簡(jiǎn)介】 術(shù)角度，應(yīng)遵循的原則如圖 所示。 圖 網(wǎng)絡(luò)安全設(shè)計(jì)原則木桶原則：對(duì)信息均衡、全面地進(jìn)行保護(hù)。 整體性原則：進(jìn)行安全防護(hù)、監(jiān)測(cè)和應(yīng)急恢復(fù)。 實(shí)用性原則:不影響系統(tǒng)的正常運(yùn)行和合法用戶(hù)的操作。 等級(jí)性原則：區(qū)分安全層次和安全級(jí)別。 動(dòng)態(tài)化原則：安全需要不斷更新。 設(shè)計(jì)為本原則：安全設(shè)計(jì)與網(wǎng)絡(luò)設(shè)計(jì)同步進(jìn)行。 安徽工業(yè)大學(xué) 畢業(yè)設(shè)計(jì)（論文）說(shuō)明書(shū)第 5 頁(yè) 共 49 頁(yè)┊┊┊┊┊┊┊┊┊┊┊┊┊裝┊┊┊┊┊訂┊┊┊┊┊線(xiàn)┊┊┊┊┊┊┊┊┊┊┊┊┊第三章 網(wǎng)絡(luò)技術(shù)與拓?fù)浣Y(jié)構(gòu)本章結(jié)合企業(yè)的需求分析，對(duì)企業(yè)的網(wǎng)絡(luò)架構(gòu)進(jìn)行搭建，并對(duì)該企業(yè)架構(gòu)所用到的技術(shù)進(jìn)行分析，以及對(duì)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)進(jìn)行分析。 網(wǎng)絡(luò)設(shè)計(jì)原則實(shí)用性和經(jīng)濟(jì)性：系統(tǒng)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實(shí)效的方針，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則，建設(shè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)。先進(jìn)性和成熟性：系統(tǒng)設(shè)計(jì)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對(duì)成熟。不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿?，能保證在未來(lái)若干年內(nèi)企業(yè)網(wǎng)絡(luò)仍占領(lǐng)先地位?？煽啃院头€(wěn)定性:在考慮技術(shù)先進(jìn)性和開(kāi)放性的同時(shí)，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠(chǎng)商技術(shù)支持及維修能力等方面著手，確保系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性，達(dá)到最大的平均無(wú)故障時(shí)間。安全性和保密性:在系統(tǒng)設(shè)計(jì)中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制?？蓴U(kuò)展性和易維護(hù)性：為了適應(yīng)系統(tǒng)變化的要求，必須充分考慮以最簡(jiǎn)便的方法、最低的投資，實(shí)現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)，采用可網(wǎng)管產(chǎn)品，降低了人力資源的費(fèi)用，提高網(wǎng)絡(luò)的易用性。 網(wǎng)絡(luò)技術(shù)選擇網(wǎng)路技術(shù)的選擇對(duì)影響網(wǎng)絡(luò)性能，網(wǎng)絡(luò)的維護(hù)，網(wǎng)絡(luò)的安全指數(shù)有著重大的聯(lián)系，因此對(duì)網(wǎng)絡(luò)技術(shù)的選擇必須高度重視。 快速以太網(wǎng)以太網(wǎng)（Ether ）是一種計(jì)算機(jī)局域網(wǎng)組網(wǎng)技術(shù)。IEEE 制定的 IEEE 標(biāo)準(zhǔn)給出了以太網(wǎng)的技術(shù)標(biāo)準(zhǔn)。它規(guī)定了包括物理層的連線(xiàn)、電信號(hào)和介質(zhì)訪(fǎng)問(wèn)層協(xié)議的內(nèi)容。以太網(wǎng)是當(dāng)前應(yīng)用最普遍的局域網(wǎng)技術(shù)。它很大程度上取代了其他局域網(wǎng)標(biāo)準(zhǔn)，如令牌環(huán)網(wǎng)（token ring）、FDDI 和 ARCNET。以太網(wǎng)的標(biāo)準(zhǔn)拓?fù)浣Y(jié)構(gòu)為總線(xiàn)型拓?fù)?，但目前的快速以太網(wǎng)（100BASET、1000BASET 標(biāo)準(zhǔn)）為了最大程度的減少?zèng)_突，最大程度的提高網(wǎng)絡(luò)速度和使用效率，使用交換機(jī)（Switch hub）來(lái)進(jìn)行網(wǎng)絡(luò)連接和組織，這樣，以太網(wǎng)的拓?fù)浣Y(jié)構(gòu)就成了星型，但在邏輯上，以太網(wǎng)仍然使用總線(xiàn)型拓?fù)浜虲SMA/CD（ Carrier Sense Multiple Access/Collision Detect 即帶沖突檢測(cè)的載波安徽工業(yè)大學(xué) 畢業(yè)設(shè)計(jì)（論文）說(shuō)明書(shū)第 6 頁(yè) 共 49 頁(yè)┊┊┊┊┊┊┊┊┊┊┊┊┊裝┊┊┊┊┊訂┊┊┊┊┊線(xiàn)┊┊┊┊┊┊┊┊┊┊┊┊┊監(jiān)聽(tīng)多路訪(fǎng)問(wèn)）的總線(xiàn)爭(zhēng)用技術(shù)?？焖僖蕴W(wǎng)是世界上應(yīng)用最廣泛的組網(wǎng)技術(shù)，其強(qiáng)大的靈活性，簡(jiǎn)便性，傳輸介質(zhì)的多樣性，拓?fù)浣Y(jié)構(gòu)的靈活性，符合中小企業(yè)的設(shè)計(jì)要求以太網(wǎng)基于網(wǎng)絡(luò)上無(wú)線(xiàn)電系統(tǒng)多個(gè)節(jié)點(diǎn)發(fā)送信息的想法實(shí)現(xiàn)，每個(gè)節(jié)點(diǎn)必須取得電纜或者信道的才能傳送信息，有時(shí)也叫做以太（Ether）。(這個(gè)名字來(lái)源于 19 世紀(jì)的物理學(xué)家假設(shè)的電磁輻射媒體光以太。后來(lái)的研究證明光以太不存在。) 每一個(gè)節(jié)點(diǎn)有全球唯一的 48 位地址也就是制造商分配給網(wǎng)卡的MAC 地址,以保證以太網(wǎng)上所有系統(tǒng)能互相鑒別。由于以太網(wǎng)十分普遍，許多制造商把以太網(wǎng)卡直接集成進(jìn)計(jì)算機(jī)主板。 VLAN為實(shí)現(xiàn)交換機(jī)以太網(wǎng)路的廣播隔離，一種理想的解決方案就是采用虛擬局域網(wǎng)技術(shù)。這種對(duì)連接到第 2 層交換機(jī)端口的網(wǎng)絡(luò)使用者的邏輯分段技術(shù)實(shí)現(xiàn)非常靈活，它可以不受使用者物理位置限制，根據(jù)使用者需求進(jìn)行 VLAN 劃分；可在一個(gè)交換機(jī)上實(shí)現(xiàn)，也可跨交換機(jī)實(shí)現(xiàn)；可以根據(jù)網(wǎng)絡(luò)使用者的位置、作用、部門(mén)或根據(jù)使用的應(yīng)用程序、上層協(xié)議或者以太網(wǎng)路連接硬件地址來(lái)進(jìn)行劃分。一個(gè) VLAN 相當(dāng)于 OSI 模型第 2 層的廣播域，它能將廣播控制在一個(gè)VLAN 內(nèi)部。而不同 VLAN 之間或 VLAN 與 LAN / WAN 的數(shù)據(jù)通訊必須通過(guò)第 3 層（網(wǎng)絡(luò)層）完成。否則，即便是同一交換機(jī)上的連接，假如它們不處于同一個(gè) VLAN，正常情況下也無(wú)法進(jìn)行數(shù)據(jù)通訊 為了解決資訊安全議題，1995 年 IEEE 802 委員會(huì)發(fā)表了 VLAN 技術(shù)的實(shí)作標(biāo)準(zhǔn)與訊框結(jié)構(gòu)，希望能透過(guò)設(shè)定邏輯位址（TPID、TCI） ，對(duì)實(shí)體局域網(wǎng)區(qū)隔成獨(dú)立虛擬網(wǎng)段，以規(guī)范封包廣播時(shí)的最大范圍。如下圖，VLAN 解決了物理位置的限制圖 VLAN 示意圖安徽工業(yè)大學(xué) 畢業(yè)設(shè)計(jì)（論文）說(shuō)明書(shū)第 7 頁(yè) 共 49 頁(yè)┊┊┊┊┊┊┊┊┊┊┊┊┊裝┊┊┊┊┊訂┊┊┊┊┊線(xiàn)┊┊┊┊┊┊┊┊┊┊┊┊┊VLAN 的標(biāo)準(zhǔn)有兩種，Cisco 公司的 ISL,以及 IEEE 由于后者是國(guó)際化標(biāo)準(zhǔn)，而且其傳輸效率更高，所以更適合網(wǎng)絡(luò)需求。使用 VLAN 的好處有以下幾點(diǎn)：廣播風(fēng)暴防范：限制網(wǎng)絡(luò)上的廣播，在一個(gè) VLAN 中的廣播不會(huì)送到VLAN 之外。同樣，相鄰的端口不會(huì)收到其他 VLAN 產(chǎn)生的廣 播。這樣可以減少?gòu)V播流量，釋放帶寬給用戶(hù)應(yīng)用，減少?gòu)V播的產(chǎn)生。安全：不同 VLAN 內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè) VLAN 內(nèi)的用戶(hù)不能和其它 VLAN 內(nèi)的用戶(hù)直接通信，如果不同 VLAN 要進(jìn)行通信，則需要通過(guò)路由器或三層交換機(jī)等三層設(shè)備。成本降低：成本高昂的網(wǎng)絡(luò)升級(jí)需求減少，現(xiàn)有帶寬和上行鏈路的利用率更高，因此可節(jié)約成本。性能提高：將第二層平面網(wǎng)絡(luò)劃分為多個(gè)邏輯工作組（廣播域）可以減少網(wǎng)絡(luò)上不必要的流量并提高性能。另外使用 VLAN 還可以提高 IT 員工效率，簡(jiǎn)化項(xiàng)目管理或應(yīng)用管理，增加了網(wǎng)絡(luò)連接的靈活性等優(yōu)點(diǎn)。 DHCP 某些的主機(jī)不需要靜態(tài)的 IP，因?yàn)槠洳⒎怯谰玫氖褂迷摰刂?，?dāng)主機(jī)離開(kāi)網(wǎng)絡(luò)，就得釋放這個(gè) IP 地址，以給其它工作站使用，動(dòng)態(tài)分配顯然更加靈活。DHCP 是目前應(yīng)用最為廣泛的為網(wǎng)絡(luò)主機(jī)分配 IP 地址的方式之一。DHCP允許 DHCP 客戶(hù)端從 DHCP 服務(wù)器獲取 IP 地址，子網(wǎng)掩碼，默認(rèn)網(wǎng)關(guān) IP 地址，DNS 服務(wù)器 IP 地址以及其他 IP 地址類(lèi)型信息。DHCP 工作原理如圖圖 DHCP 的工作原理第一步：由于 DHCP 客戶(hù)端初始啟動(dòng)時(shí)沒(méi)有 IP 地址，默認(rèn)網(wǎng)關(guān)或這類(lèi)配置信息，因而 DHCP 客戶(hù)端初始啟動(dòng)后通過(guò)發(fā)送目的地為 的廣播消息（DHCP discovery）來(lái)試圖發(fā)現(xiàn) DHCP 服務(wù)器。第二步：DHCP 服務(wù)器接收到 DHCP discovery 消息后，響應(yīng)以 DHCP offer消息。由于 DHCP discovery 消息是以廣播方式向外發(fā)送的，因而可能會(huì)有多個(gè)DHCP 服務(wù)器響應(yīng)發(fā)現(xiàn)請(qǐng)求，不過(guò)客戶(hù)端通常會(huì)選擇其接收到的第一個(gè) DHCP 安徽工業(yè)大學(xué) 畢業(yè)設(shè)計(jì)（論文）說(shuō)明書(shū)第 8 頁(yè) 共 49 頁(yè)┊┊┊┊┊┊┊┊┊┊┊┊┊裝┊┊┊┊┊訂┊┊┊┊┊線(xiàn)┊┊┊┊┊┊┊┊┊┊┊┊┊offer 消息的服務(wù)器作為 DHCP 服務(wù)器。第三步：DHCP 客戶(hù)端通過(guò)發(fā)送 DHCP request 消息與選定的服務(wù)器進(jìn)行通信，讓 DHCP 服務(wù)器提供 IP 配置參數(shù)。 第四步：最后，DHCP 服務(wù)器以 DHCPACK 消息響應(yīng)客戶(hù)端， DHCPACK消息包含了響應(yīng)的 IP 配置參數(shù)。 NAT在計(jì)算機(jī)網(wǎng)絡(luò)中，網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation 或簡(jiǎn)稱(chēng)NAT，也叫做網(wǎng)絡(luò)掩蔽或者 IP 掩蔽）是一種在 IP 數(shù)據(jù)包通過(guò)路由器或防火墻時(shí)重寫(xiě)源 IP 地址或/和目的 IP 地址的技術(shù)。這種技術(shù)被普遍使用在有多臺(tái)主機(jī)但只通過(guò)一個(gè)公有 IP 地址訪(fǎng)問(wèn)因特網(wǎng)的私有網(wǎng)絡(luò)中。目前人們普遍認(rèn)為 NAT 完美的解決了 IP 地址不足的問(wèn)題，的確，他真的是一樣很有用的工具，可以說(shuō)沒(méi)有 NAT，我們的網(wǎng)絡(luò)不會(huì)得到如此迅速的發(fā)展。但 NAT 也讓主機(jī)之間的通信變得復(fù)雜，導(dǎo)致通信效率的降低。NAT 優(yōu)點(diǎn)：節(jié)約合法注冊(cè)地址，減少地址重疊出現(xiàn)，增加鏈接 Inter 的靈活性，網(wǎng)絡(luò)變更時(shí)避免地址的重新分配。NAT 缺點(diǎn)：地址轉(zhuǎn)換產(chǎn)生交換延遲，無(wú)法進(jìn)行端到端的 IP 跟蹤，某些應(yīng)用程序無(wú)法實(shí)現(xiàn)在 NAT 的網(wǎng)絡(luò)中運(yùn)行。NAT 運(yùn)行示例：在下圖中主機(jī) 發(fā)送一個(gè)外出數(shù)據(jù)包到配置了 NAT的邊界路由器，邊界路由器識(shí)別出此 IP 地址為內(nèi)部 IP 地址，目標(biāo)是外部網(wǎng)絡(luò)，他要轉(zhuǎn)換內(nèi)部本地 IP 地址，并把轉(zhuǎn)換結(jié)果記錄到 NAT 表中，這個(gè)數(shù)據(jù)包使用轉(zhuǎn)換后的新的源地址被發(fā)送到外部接口，外部主機(jī)返回此包到目標(biāo)主機(jī)，NAT路由使用 NAT 表轉(zhuǎn)換內(nèi)部全局 IP 地址為內(nèi)部 IP 地址，整個(gè)過(guò)程基本就是這樣。下圖是基本的 NAT 工作原理示意圖圖 NAT 工作原理示意圖 ACL安徽工業(yè)大學(xué) 畢業(yè)設(shè)計(jì)（論文）說(shuō)明書(shū)第 9 頁(yè) 共 49 頁(yè)┊┊┊┊┊┊┊┊┊┊┊┊┊裝┊┊┊┊┊訂┊┊┊┊┊線(xiàn)┊┊┊┊┊┊┊┊┊┊┊┊┊內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過(guò)安全策略來(lái)保障非授權(quán)用戶(hù)只能訪(fǎng)問(wèn)特定的網(wǎng)絡(luò)資源，從而達(dá)到對(duì)訪(fǎng)問(wèn)進(jìn)行控制的目的。簡(jiǎn)而言之，ACL 可以過(guò)濾網(wǎng)絡(luò)中的流量，控制訪(fǎng)問(wèn)的一種網(wǎng)絡(luò)技術(shù)手段。ACL 可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如，ACL 可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級(jí)。ACL 提供對(duì)通信流量的控制手段。例如，ACL 可以限定或簡(jiǎn)化路由更新信息的長(zhǎng)度，從而限制通過(guò)路由器某一網(wǎng)段的通信流量。ACL 是提供網(wǎng)絡(luò)安全訪(fǎng)問(wèn)的基本手段。ACL 允許主機(jī) A 訪(fǎng)問(wèn)人力資源網(wǎng)絡(luò)，而拒絕主機(jī) B 訪(fǎng)問(wèn)。ACL 可以在路由器端口處決定哪種類(lèi)型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，用戶(hù)可以允許 Email 通信流量被路由，拒絕所有的 Tel 通信流量。 例如：某部門(mén)要求只能使用 WWW 這個(gè)功能，就可以通過(guò) ACL 實(shí)現(xiàn)； 又例如，為了某部門(mén)的保密性，不允許其訪(fǎng)問(wèn)外網(wǎng)，也不允許外網(wǎng)訪(fǎng)問(wèn)它，就可以通過(guò)ACL 實(shí)現(xiàn)。訪(fǎng)問(wèn)控制列表的工作示意圖數(shù)據(jù)包進(jìn)入接口允許通過(guò)是否設(shè)置了ACL與 ACL 對(duì)比是否匹配有沒(méi)有更多的 ACL?與下一條ACL 對(duì)比丟棄圖 ACL 工作示意圖 拓?fù)浣Y(jié)構(gòu)圖設(shè)計(jì)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行效率，技術(shù)性能發(fā)揮，可靠性與費(fèi)用等方面都有著中重要的影響。確立為網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是整個(gè)網(wǎng)絡(luò)系統(tǒng)方案的規(guī)劃設(shè)計(jì)的基礎(chǔ)。拓?fù)浣Y(jié)構(gòu)的選擇和地理環(huán)境的分布，傳輸介質(zhì)，介質(zhì)訪(fǎng)問(wèn)控安徽工業(yè)大學(xué) 畢業(yè)設(shè)計(jì)（論文）說(shuō)明書(shū)第 10 頁(yè) 共 49 頁(yè)┊┊┊┊┊┊┊┊┊┊┊┊┊裝┊┊┊┊┊訂┊┊┊┊┊線(xiàn)┊┊┊┊┊┊┊┊┊┊┊┊┊制方法，甚至網(wǎng)絡(luò)設(shè)備選型等因素緊密相關(guān)。 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的規(guī)劃設(shè)計(jì)原則構(gòu)成局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)有很多種，最常見(jiàn)到的有總線(xiàn)拓?fù)?、星型拓?fù)洹h(huán)型拓?fù)浼案鞣N混合性拓?fù)涞?。采用不同的網(wǎng)絡(luò)控制策略（即網(wǎng)絡(luò)數(shù)據(jù)的傳輸與通信的有關(guān)協(xié)議和控制方法），所有使用的網(wǎng)絡(luò)連接設(shè)備也不一樣。因此，無(wú)論在網(wǎng)絡(luò)的規(guī)劃或設(shè)計(jì)時(shí)都必須首先決定將采用那一種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，選擇合適的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)非常重要的。也就是說(shuō)，選擇網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)的第一步。中小企業(yè)在選擇網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的時(shí)候，應(yīng)從經(jīng)濟(jì)性、靈活性和擴(kuò)展性好、可靠性、易于管理和維護(hù)幾個(gè)方面著重入手。在現(xiàn)在企業(yè)中經(jīng)濟(jì)效益都是首要考慮的，在建設(shè)網(wǎng)絡(luò)投資的同時(shí)就考慮到經(jīng)濟(jì)效益的回報(bào)。拓?fù)浣Y(jié)構(gòu)的選擇直接決定了網(wǎng)絡(luò)安裝和維護(hù)的費(fèi)用。因?yàn)椋負(fù)浣Y(jié)構(gòu)的選擇與傳輸介質(zhì)的選擇、傳輸距離的長(zhǎng)短及所需網(wǎng)絡(luò)的連接設(shè)備密切相關(guān)。靈活性和擴(kuò)展性也是選擇網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時(shí)應(yīng)充分重視的問(wèn)題。任何一個(gè)網(wǎng)絡(luò)都不能一勞永逸的，隨著用戶(hù)的增加，應(yīng)用的深入和擴(kuò)大，網(wǎng)絡(luò)新技術(shù)的不斷涌現(xiàn)，特別是應(yīng)用方式和要求的改變，網(wǎng)絡(luò)經(jīng)常需要加以調(diào)整。然而，網(wǎng)絡(luò)的可調(diào)性與靈活性，以及可擴(kuò)展性與建立網(wǎng)絡(luò)時(shí)拓?fù)浣Y(jié)構(gòu)直接相關(guān)。網(wǎng)絡(luò)的可靠性是任何一個(gè)網(wǎng)絡(luò)的生命。當(dāng)網(wǎng)絡(luò)總的某個(gè)節(jié)點(diǎn)或站點(diǎn)發(fā)生問(wèn)題的時(shí)候時(shí)，網(wǎng)絡(luò)不能正常工作。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的選擇還直接決定網(wǎng)絡(luò)故障檢測(cè)和故障隔離