【文章內(nèi)容簡(jiǎn)介】 Vlan 4　3Vlan 5　3Vlan 6　3Vlan 7　3Vlan 8　3Vlan 9　3路由器R2R5　2　路由器R2R1　2　路由器R5R4　2　R2SW1L3　2　R2SW2L3　2　R3SW2L3　2　R3SW21　2　Web Server　6DNS Server　6File Server　6DHCP Server　6Mail Server　6AD　6鄭州分部IP規(guī)劃表：?jiǎn)挝?部門人數(shù)ip地址網(wǎng)段/掩碼本網(wǎng)段用到的IP地址可用地址個(gè)數(shù)網(wǎng)關(guān)地址辦公室1230銷售部240254儲(chǔ)運(yùn)部2530疫苗部2030服務(wù)部1014vlan 2　3vlan 3　3vlan 4　3vlan 5　3vlan 6　3Web Server　6Mail Server　6　FTP Server　6　路由器R63SW3　2　路由器R53SW3　2　路由器R53SW4　2　公網(wǎng)IP規(guī)劃：?jiǎn)挝?部門ip地址網(wǎng)段/掩碼本網(wǎng)段用到的IP地址可用地址個(gè)數(shù)路由器R1R22總部Web　1分部Web　1路由器R4R5　2路由器R2R5　2Easyvpn　2 IPV6 由于IPV4網(wǎng)絡(luò)地址的資源有限，所以，為了提高網(wǎng)絡(luò)的可擴(kuò)展性，在本次網(wǎng)絡(luò)項(xiàng)目中所采用的設(shè)備，均支持IPV6。IPV6以其靈活的IP報(bào)文頭部格式，不僅取代了IPV4中可變長(zhǎng)度的選項(xiàng)字段，而且也使路由器可以簡(jiǎn)單路過(guò)選項(xiàng)而不做任何處理，加快了報(bào)文處理速度，提高了吞吐量。而且IPV6還具有安全性、身份認(rèn)證和隱私權(quán)等特性。支持更多的服務(wù)類型，允許協(xié)議繼續(xù)演變，增加新的功能，使之適應(yīng)未來(lái)技術(shù)的發(fā)展。第6章 服務(wù)器設(shè)計(jì) 服務(wù)器服務(wù)器群的主要功能是為客戶端提供各種網(wǎng)絡(luò)服務(wù)，包括：File Server、Web Server、DHCP Server、FTP Server、Mail Server、AD及身份驗(yàn)證服務(wù)等等。在本次項(xiàng)目中，服務(wù)器全部采用Windows 2003操作系統(tǒng)，Windows Server 2003集成了多種功能且對(duì)硬件要求不高，總體成本較低。工作站普遍使用Windows 操作系統(tǒng)，服務(wù)器與客戶端兼容性更好。Windows 服務(wù)器系統(tǒng)提供圖形化界面，減少配置和維護(hù)的工作量，并方便以后的管理和維護(hù)，若我們使用Linux操作系統(tǒng)就要要求管理員對(duì)Linux 熟練，這樣的管理員目前沒(méi)有Windows 管理員好找。 第7章 網(wǎng)絡(luò)安全解決方案 網(wǎng)絡(luò)邊界安全威脅分析網(wǎng)絡(luò)的邊界隔離著不同功能或地域的多個(gè)網(wǎng)絡(luò)區(qū)域，由于職責(zé)和功能的不同，相連網(wǎng)絡(luò)的密級(jí)也不同，這樣的網(wǎng)絡(luò)直接相連，必然存在著安全風(fēng)險(xiǎn)，下面我們將對(duì)公司網(wǎng)絡(luò)就網(wǎng)絡(luò)邊界問(wèn)題做脆弱性和風(fēng)險(xiǎn)的分析。公司網(wǎng)絡(luò)主要存在的邊界安全風(fēng)險(xiǎn)包括：總網(wǎng)絡(luò)與各級(jí)單位的連接，可能遭到來(lái)自各地的越權(quán)訪問(wèn)、惡意攻擊和計(jì)算機(jī)病毒的入侵；例如一個(gè)不滿的內(nèi)部用戶，利用盜版軟件或從Internet 下載的黑客程序惡意攻擊內(nèi)部站點(diǎn)，致使網(wǎng)絡(luò)局部或整體癱瘓；內(nèi)部的各個(gè)功能網(wǎng)絡(luò)通過(guò)骨干交換相互連接，這樣的話，重要的部門或者專網(wǎng)將遭到來(lái)自其他部門的越權(quán)訪問(wèn)。這些越權(quán)訪問(wèn)可能包括惡意的攻擊、誤操作等等，但是它們的后果都將導(dǎo)致重要信息的泄漏或者是網(wǎng)絡(luò)的癱瘓。 網(wǎng)絡(luò)內(nèi)部安全威脅分析公司內(nèi)部網(wǎng)絡(luò)的風(fēng)險(xiǎn)分析主要針對(duì)整個(gè)內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)，主要表現(xiàn)為以下幾個(gè)方面：內(nèi)部用戶的非授權(quán)訪問(wèn)；內(nèi)部的資源也不是對(duì)任何的員工都開(kāi)放的，也需要有相應(yīng)的訪問(wèn)權(quán)限。內(nèi)部用戶的非授權(quán)的訪問(wèn)，更容易造成資源和重要信息的泄漏。內(nèi)部用戶的誤操作；由于內(nèi)部用戶的計(jì)算機(jī)造作的水平參差不齊，對(duì)于應(yīng)用軟件的理解也各不相同，如果一部分軟件沒(méi)有相應(yīng)的對(duì)誤操作的防范措施，極容易給服務(wù)系統(tǒng)和其他主機(jī)造成危害。內(nèi)部用戶的惡意攻擊；就網(wǎng)絡(luò)安全來(lái)說(shuō)，據(jù)統(tǒng)計(jì)約有70％左右的攻擊來(lái)自內(nèi)部用戶，相比外部攻擊來(lái)說(shuō)，內(nèi)部用戶具有更得天獨(dú)厚的優(yōu)勢(shì)，因此，對(duì)內(nèi)部用戶攻擊的防范也很重要。設(shè)備的自身安全性也會(huì)直接關(guān)系到各種系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。例如，路由設(shè)備存在路由信息泄漏、交換機(jī)和路由器設(shè)備配置風(fēng)險(xiǎn)等。重要服務(wù)器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒(méi)有及時(shí)的發(fā)現(xiàn)并且進(jìn)行修復(fù)，將會(huì)為網(wǎng)絡(luò)的安全帶來(lái)很多不安定的因素。重要服務(wù)器的當(dāng)機(jī)或者重要數(shù)據(jù)的意外丟失，都將會(huì)造成內(nèi)部的業(yè)務(wù)無(wú)法正常運(yùn)行。安全管理的困難，對(duì)于眾多的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備，安全策略的配置和安全事件管理的難度很大。 解決方法外網(wǎng)的安靠全靠防火墻來(lái)解決。本項(xiàng)目用Cisco Ios內(nèi)置防火墻來(lái)解決。對(duì)于非法訪問(wèn)用認(rèn)證和數(shù)字簽名技術(shù)(1)認(rèn)證，路由器和交換機(jī)之間的認(rèn)證，操作系統(tǒng)對(duì)用戶的認(rèn)證(2)數(shù)字簽名技術(shù)認(rèn)證過(guò)程通常涉及到加密和密鑰交換。 對(duì)于誤操作，就要對(duì)內(nèi)網(wǎng)用戶有必要進(jìn)行培訓(xùn)，讓其盡量少出錯(cuò)。第8章 關(guān)鍵技術(shù)介紹 VLAN技術(shù)VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。IEEE 于1999 年頒布了用以標(biāo)準(zhǔn)化VLAN 標(biāo)準(zhǔn)草案。VLAN（虛擬局域網(wǎng)）是對(duì)連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè)VLAN可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來(lái)進(jìn)行分組?；诮粨Q機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬問(wèn)題。 VLAN相當(dāng)于OSI參考模型的第二層的廣播域，能夠?qū)V播風(fēng)暴控制在一個(gè)VLAN內(nèi)部，劃分VLAN后，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。不同的VLAN之間的數(shù)據(jù)傳輸是通過(guò)第三層（網(wǎng)絡(luò)層）的路由來(lái)實(shí)現(xiàn)的，因此使用VLAN技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備可搭建安全可靠的網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員通過(guò)控制交換機(jī)的每一個(gè)端口來(lái)控制網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，同時(shí)VLAN和第三層第四層的交換結(jié)合使用能夠?yàn)榫W(wǎng)絡(luò)提供較好的安全措施。 另外，VLAN具有靈活性和可擴(kuò)張性等特點(diǎn)，方便于網(wǎng)絡(luò)維護(hù)和管理，這兩個(gè)特點(diǎn)正是現(xiàn)代局域網(wǎng)設(shè)計(jì)必須實(shí)現(xiàn)的兩個(gè)基本目標(biāo)，在局域網(wǎng)中有效利用虛擬局域網(wǎng)技術(shù)能夠提高網(wǎng)絡(luò)運(yùn)行效率。 VTP協(xié)議VTP負(fù)責(zé)在VTP域內(nèi)同步VLAN信息，這樣就不必在每個(gè)交換上配置相同的VLAN信息。VTP還提供一種映射方案，以便通信流能跨越混合介質(zhì)的骨干。VTP最重要的作用是，將進(jìn)行變動(dòng)時(shí)可能會(huì)出現(xiàn)在的配置不一致性降至最低。不過(guò)，VTP也有一些缺點(diǎn)，這些缺點(diǎn)通常都與生成樹(shù)協(xié)議有關(guān)。VTP是一種消息協(xié)議，使用第2層幀，在全網(wǎng)的基礎(chǔ)上管理VLAN的添加、刪除和重命名，以實(shí)現(xiàn)VLAN配置的一致性?？梢杂肰TP管理網(wǎng)絡(luò)中VLAN1到1005。有了VTP，在同一個(gè)VTP域就可以在一臺(tái)機(jī)換上集中過(guò)時(shí)行配置變更，所作的變更會(huì)被自動(dòng)傳播到網(wǎng)絡(luò)中所有其他的交換機(jī)上。為了實(shí)現(xiàn)此功能，必須先建立一個(gè)VTP管理域，以使它能管理網(wǎng)絡(luò)上當(dāng)前的VLAN。在同一管理域中的交換機(jī)共享它們的VLAN信息，并且，一個(gè)交換機(jī)只能參加到一個(gè)VTP管理域，不同域中的交換機(jī)不能共享VTP信息。VTP協(xié)議的作用VLAN中繼協(xié)議（VTP）利用第2層中繼幀，在一組交換機(jī)之間進(jìn)行VLAN通信．VTP從一個(gè)中心控制點(diǎn)開(kāi)始，維護(hù)整個(gè)企業(yè)網(wǎng)VLAN的添加和重命名工作，確保配置的一致性。 VTP的優(yōu)點(diǎn)保持配置的一致性；提供跨不同介質(zhì)類型如ATM FDDI和以太網(wǎng)配置虛擬局域網(wǎng)的方法；提供跟蹤和監(jiān)視虛擬局域網(wǎng)的方法；提供檢測(cè)加到另一個(gè)交換機(jī)上的虛擬局域的方法；提供從一個(gè)交換機(jī)在整個(gè)管理域中增加虛擬局域網(wǎng)的方法 Trunk 技術(shù)TRUNK是端口匯聚的意思，一般的交換機(jī)端口只能屬于一個(gè)VLAN，對(duì)于多個(gè)VLAN 需要跨過(guò)多臺(tái)交換機(jī)，就需要用到Trunk 技術(shù)。通過(guò)配置軟件的設(shè)置，將2個(gè)或多個(gè)物理端口組合在一起成為一條邏輯的路徑從而增加在交換機(jī)和網(wǎng)絡(luò)節(jié)點(diǎn)之間的帶寬，將屬于這幾個(gè)端口的帶寬合并，給端口提供一個(gè)幾倍于獨(dú)立端口的獨(dú)享的高帶寬。Trunk是一種封裝技術(shù)，它是一條點(diǎn)到點(diǎn)的鏈路，鏈路的兩端可以都是交換機(jī)，也可以是交換機(jī)和路由器，還可以是主機(jī)和交換機(jī)或路由器?；诙丝趨R聚（Trunk）功能，允許交換機(jī)與交換機(jī)、交換機(jī)與路由器、主機(jī)與交換機(jī)或路由器之間通過(guò)兩個(gè)或多個(gè)端口并行連接同時(shí)傳輸以提供更高帶寬、更大吞吐量， 大幅度提供整個(gè)網(wǎng)絡(luò)能力。 HSRP 協(xié)議我們使用HSRP來(lái)實(shí)現(xiàn)對(duì)故障路由器的接管,HSRP中文解釋是熱備份路由協(xié)議，其含義是系統(tǒng)中有多臺(tái)三層交換機(jī)，它們組成一個(gè)“熱備份組”，這個(gè)組形成一個(gè)虛擬路由器。在任一時(shí)刻，一個(gè)組內(nèi)只有一個(gè)路由器是活動(dòng)的，并由它來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動(dòng)路由器發(fā)生了故障，將選擇一個(gè)備份路由器來(lái)替代活動(dòng)路由器，但是在本網(wǎng)絡(luò)內(nèi)的主機(jī)看來(lái)，虛擬路由器沒(méi)有改變。所以主機(jī)仍然保持連接，沒(méi)有受到故障的影響，這樣就較好地解決了路由器切換的問(wèn)題。熱備份路由器協(xié)議（HSRP：Hot Standby Router Protocol）該協(xié)議中含有多種路由器，對(duì)應(yīng)一個(gè)虛擬路由器。HSRP 協(xié)議只支持一個(gè)路由器代表虛擬路由器實(shí)現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過(guò)程。終端主機(jī)將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。 實(shí)現(xiàn)HSRP的條件是系統(tǒng)中有多臺(tái)路由器，它們組成一個(gè)“熱備份組”，這個(gè)組形成一個(gè)虛擬路由器。在任一時(shí)刻，一個(gè)組內(nèi)只有一個(gè)路由器是活動(dòng)的，并由它來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動(dòng)路由器發(fā)生了故障，將選擇一個(gè)備份路由器來(lái)替代活動(dòng)路由器，但是在本網(wǎng)絡(luò)內(nèi)的主機(jī)看來(lái)，虛擬路由器沒(méi)有改變。所以主機(jī)仍然保持連接，沒(méi)有受到故障的影響，這樣就較好地解決了路由器切換的問(wèn)題。 為了減少網(wǎng)絡(luò)的數(shù)據(jù)流量，在設(shè)置完活動(dòng)路由器和備份路由器之后，只有活動(dòng)路由器和備份路由器定時(shí)發(fā)送HSRP報(bào)文。如果活動(dòng)路由器失效，備份路由器將接管成為活動(dòng)路由器。如果備份路由器失效或者變成了活躍路由器，將由另外的路由器被選為備份路由器。 SpanningTree協(xié)議生成樹(shù)算法的網(wǎng)橋協(xié)議STP(Spanning Tree Protocol) 它通過(guò)生成生成樹(shù)保證一個(gè)已知的網(wǎng)橋在網(wǎng)絡(luò)拓?fù)渲醒匾粋€(gè)環(huán)動(dòng)態(tài)工作。網(wǎng)橋與其他網(wǎng)橋交換BPDU消息來(lái)監(jiān)測(cè)環(huán)路，然后關(guān)閉選擇的網(wǎng)橋接口取消環(huán)路，統(tǒng)指IEEE8021生成樹(shù)協(xié)議標(biāo)準(zhǔn)和早期的數(shù)字設(shè)備合作生成樹(shù)協(xié)議，該協(xié)議是基于后者產(chǎn)生的。IEEE版本的生成樹(shù)協(xié)議支持網(wǎng)橋區(qū)域，它允許網(wǎng)橋在一個(gè)擴(kuò)展本地網(wǎng)中建設(shè)自由環(huán)形拓?fù)浣Y(jié)構(gòu)。在局域網(wǎng)中是不允許出現(xiàn)環(huán)路的，而為了實(shí)現(xiàn)冗余和負(fù)載的均衡，通常會(huì)有多條鏈路的連接，這樣就會(huì)引入環(huán)路。為了解決這個(gè)矛盾，推出了STP 協(xié)議。STP 算法會(huì)將網(wǎng)絡(luò)中的連接生成一個(gè)樹(shù)，通過(guò)特定的算法自動(dòng)將優(yōu)先權(quán)高的鏈路激活，將優(yōu)先權(quán)低的鏈路阻塞，保證在網(wǎng)絡(luò)中任何時(shí)候都不會(huì)出現(xiàn)環(huán)路。如果網(wǎng)絡(luò)的連接狀況發(fā)生了變化，STP 算法會(huì)自動(dòng)地重新計(jì)算新的連接關(guān)系，重新選出新的活動(dòng)的連接。STP 算法會(huì)造成網(wǎng)絡(luò)的暫時(shí)的不穩(wěn)定狀態(tài)，該轉(zhuǎn)換時(shí)間在30秒之內(nèi)，亦即在30 秒之內(nèi)網(wǎng)絡(luò)會(huì)重新恢復(fù)到穩(wěn)定狀態(tài)。STP 對(duì)于終端是透明的，終端感覺(jué)不到STP 的操作過(guò)程。在交換機(jī)上可以通過(guò)修改端口的優(yōu)先級(jí)來(lái)改變連接的優(yōu)先權(quán)，使得STP 算法將高優(yōu)先權(quán)的連接作為活動(dòng)連接，這個(gè)特征是很多廠商的設(shè)備所不具備的。在交換機(jī)上對(duì)端口的優(yōu)先權(quán)的設(shè)置可以基于VLAN 進(jìn)行，每個(gè)端口對(duì)于不同的VLAN 設(shè)置不同的優(yōu)先權(quán)。對(duì)于指定的VLAN，具有該VLAN 最高優(yōu)先權(quán)的端口轉(zhuǎn)發(fā)該VLAN的信息，其它VLAN 的信息則阻塞。通過(guò)這種方法，在具有冗余連接的交換機(jī)端口上分別針對(duì)不同的VLAN 設(shè)置不同的優(yōu)先權(quán)，既可以實(shí)現(xiàn)鏈路的冗余，又可以實(shí)現(xiàn)負(fù)載的均衡。CISCO 交換機(jī)端口支持每VLAN 的生成樹(shù)協(xié)議，每個(gè)端口都可設(shè)置基于VLAN 的Cost 或Priority 參數(shù)，從而實(shí)現(xiàn)在多條路徑上的負(fù)載均衡能力。目前多數(shù)廠商都支持STP 協(xié)議，但是不允許多個(gè)STP 域。采用多個(gè)STP 域顯然可以獲得比單個(gè)域高的網(wǎng)絡(luò)可靠性。 Uplinkfast 在STP收斂過(guò)程中，一些終端站點(diǎn)可能會(huì)不可達(dá)，這是基于站點(diǎn)所連接交換機(jī)端口的STP狀態(tài)而定。這打亂網(wǎng)絡(luò)連接，于是關(guān)鍵是減少STP的收斂時(shí)間和網(wǎng)絡(luò)受影響的時(shí)間?！‘?dāng)鏈路或交換機(jī)故障，或STP重新配置后，UplinkFast可以加速選擇一個(gè)新的根端口。根端口立即進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，Uplinkfast通過(guò)減少最大更新速率來(lái)限制突發(fā)多播流量。定義了更新分組發(fā)送的最大速率，默認(rèn)為150分組/秒 Uplinkfast對(duì)于網(wǎng)絡(luò)邊緣的布線間交換機(jī)非常有用。他不適用于骨干設(shè)備。UplinkFast在直連鏈路故障后提供快速的收斂能力，并通過(guò)上行鏈路組在冗余。 EtherChannel以太通道也稱為以太端口捆綁、端口聚集或以太鏈路聚集。以太通道為交換機(jī)提供了端口捆綁的技術(shù)，將多個(gè)物理以太網(wǎng)端口聚合在一起形成一個(gè)邏輯上的聚合組；同一聚合組內(nèi)的多條物理鏈路視為一條邏輯鏈路。 鏈路聚合可以實(shí)現(xiàn)出/入負(fù)荷在聚合組中各個(gè)成員