【文章內(nèi)容簡介】 用戶接入、主要提供網(wǎng)絡(luò)分段、廣播能力、多播能力、介質(zhì)訪問的安全性、MAC地址的過濾和路由發(fā)現(xiàn)等任務(wù)。　　在接入層是最終用戶(員工) 與網(wǎng)絡(luò)的接口，它應(yīng)該提供即插即用的特性，同時(shí)應(yīng)該非常易于使用和維護(hù)。當(dāng)然我們也應(yīng)該考慮端口密度的問題接入層由無線網(wǎng)卡、AP和L2Switch組成，按照寬帶網(wǎng)絡(luò)的定義，接入層的主要功能是完成用戶流量的接入和隔離。對(duì)于無線局域網(wǎng)WLAN用戶，用戶終端通過無線網(wǎng)卡和無線接入點(diǎn)AP完成用戶接入。 核心層設(shè)計(jì)核心交換區(qū)的作用是高效速度傳輸數(shù)據(jù)，是所有流量的最終承受者和匯聚者，推薦使用高端設(shè)備。我們推薦使用Cisco Catalyst 3750三臺(tái)三層交換機(jī)為網(wǎng)絡(luò)提供可靠、高速、安全的服務(wù)。3750系列交換機(jī)是一個(gè)創(chuàng)新的產(chǎn)品系列，它結(jié)合業(yè)界領(lǐng)先的易用性和最高的冗余性，里程碑地提升了堆疊式交換機(jī)在局域網(wǎng)中的工作效率。這個(gè)產(chǎn)品系列采用了最新的思科StackWise智能堆疊技術(shù)，不但實(shí)現(xiàn)高達(dá)32Gbps的堆疊互聯(lián)，還從物理上到邏輯上使若干獨(dú)立交換機(jī)在堆疊時(shí)集成在一起，便于用戶建立一個(gè)統(tǒng)一、高度靈活的交換系統(tǒng) 就好像是一整臺(tái)交換機(jī)一樣。這代表了堆疊式交換機(jī)新的工業(yè)技術(shù)水平和標(biāo)準(zhǔn)。3750系列可以使用標(biāo)準(zhǔn)多層軟件鏡像（SMI）或者增強(qiáng)多層軟件鏡像（EMI）。SMI功能集包括先進(jìn)的服務(wù)質(zhì)量（QoS）、速率限制、訪問控制列表（ACL）和基本的靜態(tài)和路由信息協(xié)議（RIP）路由功能。EMI可以提供一組更加豐富的企業(yè)級(jí)功能，包括先進(jìn)的、基于硬件的IP單播和組播路由。 接入層設(shè)計(jì)接入層交換機(jī)采用思科的WSC2960 系列的二層交換機(jī)以千兆以太鏈路和匯聚交換機(jī)相連接，并為員工終端提供10/100M 自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。接入層交換機(jī)一般用于直接連接辦公系統(tǒng)，具有低成本和高端口密度特性。接入層交換機(jī)端口的input 指服務(wù)器向交換機(jī)端口發(fā)送的數(shù)據(jù)，即是服務(wù)器發(fā)送出去的數(shù)據(jù)。接入層交換機(jī)端口的output 指交換機(jī)端口向服務(wù)器傳輸?shù)臄?shù)據(jù)，即是服務(wù)器收到的數(shù)據(jù)。我們在核心層和匯聚層的設(shè)計(jì)中主要考慮的是網(wǎng)絡(luò)性能和功能性要高，那么我們在接入層設(shè)計(jì)上主張使用性能價(jià)格比高的設(shè)備。接入層是最終用戶(員工) 與網(wǎng)絡(luò)的接口，它應(yīng)該提供即插即用的特性，同時(shí)應(yīng)該非常易于使用和維護(hù)。當(dāng)然我們也考慮端口密度的問題。 內(nèi)聯(lián)接入內(nèi)聯(lián)接入的作用是用于連接北京總部和北京分部。我們推薦使用兩臺(tái)Cisco 2821系列路由器完成此項(xiàng)功能。由于總部網(wǎng)絡(luò)和分部機(jī)房屬于公司的內(nèi)部網(wǎng)絡(luò)的一部分，因此我們將著重重視數(shù)據(jù)的安全性、可靠性。Cisco 2821系列具有以下功能： 集成語音留言 范圍廣泛的話音接口 支持 SRST, 分支機(jī)構(gòu)可利用集中呼叫控制, 并通過SRST冗余性為IP電話經(jīng)濟(jì)有效地提供本地 分支機(jī)構(gòu)備份Cisco 2821還支持QOS，包含網(wǎng)絡(luò)擴(kuò)展性，具有內(nèi)置防火墻功能，提高內(nèi)部網(wǎng)絡(luò)的安全性、可靠性。第六章 .路由設(shè)計(jì) 路由協(xié)議選擇OSPF支持各種不同鑒別機(jī)制，并且允許各個(gè)系統(tǒng)或區(qū)域采用互不相同的鑒別機(jī)制；提供負(fù)載均衡功能；OSPF屬動(dòng)態(tài)的自適應(yīng)協(xié)議，對(duì)于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速地做出反應(yīng)，進(jìn)行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比，OSPF在對(duì)網(wǎng)絡(luò)拓?fù)渥兓奶幚磉^程中僅需要最少的通信流量；OSPF提供點(diǎn)到多點(diǎn)接口，支持無類型域間路由地址。 路由規(guī)劃拓?fù)鋱D IP地址規(guī)劃標(biāo)識(shí)網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)。IP 地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。我們根據(jù)以下幾個(gè)原則來分配IP 地址：唯一性：一個(gè)IP 網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP 地址簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表的款項(xiàng)連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路由總結(jié)，大大縮減路由表，提高路由算法的效率可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址總結(jié)所需的連續(xù)性靈活性：地址分配應(yīng)具有靈活性，可借助可變長子網(wǎng)掩碼技術(shù)以滿足多種路由策略的優(yōu)化，充分利用地址空間。Vlan的劃分：總部Vlan虛擬ip工程部Vlan10銷售部Vlan20財(cái)務(wù)部Vlan30人事部Vlan40網(wǎng)絡(luò)部Vlan50市場部Vlan60經(jīng)理Vlan70IP地址的劃分總部Ip地址子網(wǎng)工程部銷售部財(cái)務(wù)部人事部網(wǎng)絡(luò)部市場部經(jīng)理第七章 網(wǎng)絡(luò)安全解決方案 網(wǎng)絡(luò)邊界安全威脅分析把不同安全級(jí)別的網(wǎng)絡(luò)相連接，就產(chǎn)生了網(wǎng)絡(luò)邊界。防止來自網(wǎng)絡(luò)外界的入侵就要在網(wǎng)絡(luò)邊界上建立可靠的安全防御措施。非安全網(wǎng)絡(luò)互聯(lián)帶來的安全問題與網(wǎng)絡(luò)內(nèi)部的安全問題是截然不同的，主要的原因是攻擊者不可控，攻擊是不可溯源的，也沒有辦法去“封殺”。一般來說網(wǎng)絡(luò)邊界上的安全問題主要有下面幾個(gè)方面：　 信息泄密：網(wǎng)絡(luò)上的資源是可以共享的，但沒有授權(quán)的人得到了他不該得到的資源，信息就泄露了。一般信息泄密有兩種方式： 　　◆攻擊者(非授權(quán)人員)進(jìn)入了網(wǎng)絡(luò)，獲取了信息，這是從網(wǎng)絡(luò)內(nèi)部的泄密 ◆合法使用者在進(jìn)行正常業(yè)務(wù)往來時(shí)，信息被外人獲得，這是從網(wǎng)絡(luò)外部的泄密 我們給貴公司設(shè)計(jì)的各部門之間的vlan劃分，不同的vlan之間不能隨意的訪問，我們會(huì)設(shè)計(jì)權(quán)限和密碼才能訪問。入侵者的攻擊：互聯(lián)網(wǎng)是世界級(jí)的大眾網(wǎng)絡(luò)，網(wǎng)絡(luò)上有各種勢力與團(tuán)體。入侵就是有人通過互聯(lián)網(wǎng)進(jìn)入你的網(wǎng)絡(luò)(或其他渠道)，篡改數(shù)據(jù)，或?qū)嵤┢茐男袨?，造成你網(wǎng)絡(luò)業(yè)務(wù)的癱瘓，這種攻擊是主動(dòng)的、有目的、甚至是有組織的行為。我們給貴公司設(shè)計(jì)的pix防火墻能設(shè)計(jì)策略，規(guī)定可以訪問的服務(wù)，哪些人可以訪問，防止一些不必要的入侵攻擊。 網(wǎng)絡(luò)病毒：與非安全網(wǎng)絡(luò)的業(yè)務(wù)互聯(lián)，難免在通訊中帶來病毒，一旦在你的網(wǎng)絡(luò)中發(fā)作，業(yè)務(wù)將受到巨大沖擊，病毒的傳播與發(fā)作一般有不確定的隨機(jī)特性。這是“無對(duì)手”、“無意識(shí)”的攻擊行為。 我們?yōu)橘F公司購買了正版的金山毒霸的殺毒軟件，給內(nèi)部的員工機(jī)器安裝上，防止員工機(jī)器上的客戶資料收到病毒和木馬的破壞?！　∧抉R入侵：木馬的發(fā)展是一種新型的攻擊行為，他在傳播時(shí)象病毒一樣自由擴(kuò)散，沒有主動(dòng)的跡象，但進(jìn)入你的網(wǎng)絡(luò)后，便主動(dòng)與他的“主子”聯(lián)絡(luò)，從而讓主子來控制你的機(jī)器，既可以盜用你的網(wǎng)絡(luò)信息， 來自網(wǎng)絡(luò)外部的安全問題，重點(diǎn)是防護(hù)與監(jiān)控。來自網(wǎng)絡(luò)內(nèi)部的安全，人員是可控的，可以通過認(rèn)證、授權(quán)、審計(jì)的方式追蹤用戶的行為軌跡，也就是我們說的行為審計(jì)與合軌性審計(jì)。攻擊方式：　　黑客入侵：入侵的過程是隱秘的，造成的后果是竊取數(shù)據(jù)與系統(tǒng)破壞。木馬的入侵也屬于黑客的一種，只是入侵的方式采用的病毒傳播，達(dá)到的效果與黑客一樣。 　　病毒入侵：病毒就是網(wǎng)絡(luò)的蛀蟲與垃圾，大量的自我繁殖，侵占系統(tǒng)與網(wǎng)絡(luò)資源，導(dǎo)致系統(tǒng)性能下降。病毒對(duì)網(wǎng)關(guān)沒有影響，就象“走私”團(tuán)伙，一旦進(jìn)入網(wǎng)絡(luò)內(nèi)部，便成為可怕的“瘟疫”，病毒的入侵方式就象“水”的滲透一樣，看似漫無目的，實(shí)則無孔不入。 網(wǎng)絡(luò)攻擊：網(wǎng)絡(luò)攻擊是針對(duì)網(wǎng)絡(luò)邊界設(shè)備或系統(tǒng)服務(wù)器的，主要的目的是中斷網(wǎng)絡(luò)與外界的連接，比如DOS攻擊，雖然不破壞網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)，但阻塞了應(yīng)用的帶寬，可以說是一種公開的攻擊，攻擊的目的一般是造成你服務(wù)的中斷邊界防護(hù)的技術(shù)也在逐漸成熟，數(shù)據(jù)交換網(wǎng)技術(shù)就已經(jīng)不再只是一個(gè)防護(hù)網(wǎng)關(guān)，而是一種邊界安全網(wǎng)絡(luò)，綜合性的安全防護(hù)思路。也許安全的話題是永恒的，但未來的網(wǎng)絡(luò)邊界一定是越來越安全的，網(wǎng)絡(luò)的優(yōu)勢就在于連通。 網(wǎng)絡(luò)內(nèi)部安全威脅分析內(nèi)部網(wǎng)絡(luò)的風(fēng)險(xiǎn)分析主要針對(duì)整個(gè)內(nèi)部網(wǎng)的安全風(fēng)險(xiǎn)主要表現(xiàn)一下幾個(gè)方面：內(nèi)部用戶的非授權(quán)訪問，安博集團(tuán)的內(nèi)部資源也不是對(duì)任何的員工開放的，也需要相應(yīng)的訪問權(quán)限內(nèi)部用戶的非授權(quán)的訪問。更容易造成資源和重要信息的泄露內(nèi)部用戶的誤操作：由于內(nèi)部用戶的計(jì)算機(jī)造作的水平參差不齊，對(duì)于應(yīng)用軟件的理解也各不相同，如果一部分軟件沒有相應(yīng)的對(duì)誤操作的防范措施，極容易給服務(wù)系統(tǒng)各其他主機(jī)造成危害內(nèi)部用戶的惡意攻擊：就網(wǎng)絡(luò)安全來說，據(jù)統(tǒng)計(jì)約有70%左右的攻擊來自內(nèi)部用戶，相比外部攻擊來說，內(nèi)部用戶具有更得天獨(dú)厚的的優(yōu)勢，因此對(duì)內(nèi)部用戶攻擊的防范也很重要。 安全產(chǎn)品選型原則公司網(wǎng)絡(luò)需要在考慮安全性的前提下，綜合系統(tǒng)的其它性能，不影響網(wǎng)絡(luò)系統(tǒng)運(yùn)行效率、不影響正常的業(yè)務(wù)，定下系統(tǒng)綜合服務(wù)品質(zhì)參數(shù)，在此基礎(chǔ)上，以不降低綜合服務(wù)品質(zhì)為原則，對(duì)信息安全產(chǎn)品進(jìn)行選型。選型原則包括：安全性原則：產(chǎn)品系統(tǒng)具有多層次的安全保護(hù)措施，可以滿足用戶身份鑒別、訪問控制、數(shù)據(jù)完整性、可審核性和保密性傳輸?shù)纫?；?biāo)準(zhǔn)性：網(wǎng)絡(luò)安全產(chǎn)品選型符合國家標(biāo)準(zhǔn)，產(chǎn)品的質(zhì)量以及屬性必須達(dá)到國家所要求的，符合本產(chǎn)品的性能；擴(kuò)展性原則：在業(yè)務(wù)不斷發(fā)展的情況下 ，產(chǎn)品系統(tǒng)可以不斷升級(jí)和擴(kuò)充，并保證系統(tǒng)的穩(wěn)定運(yùn)行；性價(jià)比：不盲目追求高性能產(chǎn)品，要購買適合自身需求的產(chǎn)品；產(chǎn)品與服務(wù)相結(jié)合原則：良好的售后服務(wù)，否則買回的產(chǎn)品出現(xiàn)故障時(shí)既沒有技術(shù)又沒有產(chǎn)品服務(wù)，使企業(yè)蒙受損失。 網(wǎng)絡(luò)常用技術(shù)介紹 PPP協(xié)議PPP協(xié)議是在點(diǎn)到點(diǎn)鏈路上承載網(wǎng)絡(luò)層數(shù)據(jù)包的一種鏈路層協(xié)議，它能夠提供用戶驗(yàn)證、易于擴(kuò)充，并且支持同/異步通信它的優(yōu)點(diǎn)在于簡單、具備用戶驗(yàn)證能力、可以解決IP分配等。 PPP是一種多協(xié)議成幀機(jī)制，它適合于調(diào)制解調(diào)器、HDLC位序列線路、SONET和其它的物理層上使用。它支持錯(cuò)誤檢測、選項(xiàng)協(xié)商、頭部壓縮以及使用HDLC類型幀格式（可選）的可靠傳輸。 　　PPP的兩種認(rèn)證方式　一種是PAP，一種是CHAP。利用以太網(wǎng)資源，在以太網(wǎng)上運(yùn)行PPP來進(jìn)行用戶認(rèn)證接入的方式稱為PPPoE。PPPoE即保護(hù)了用戶方的以太網(wǎng)資源，又完成了ADSL的接入要求，是目前ADSL接入方式中應(yīng)用最廣泛的技術(shù)標(biāo)準(zhǔn)。 VtpVTP：是VLAN中繼協(xié)議，也被稱為虛擬局域網(wǎng)干道協(xié)議。它是思科私有協(xié)議。是十幾臺(tái)交換機(jī)在企業(yè)網(wǎng)中，配置VLAN工作量大，可以使用VTP協(xié)議，把一臺(tái)交換機(jī)配置成VTP Server, 其余交換機(jī)配置成VTP Client,這樣他們可以自動(dòng)學(xué)習(xí)到server 上的VLAN 信息。VTP是一種消息協(xié)議，使用第2層幀，在全網(wǎng)的基礎(chǔ)上管理VLAN的添加、刪除和重命名，以實(shí)現(xiàn)VLAN配置的一致性?？梢杂肰TP管理網(wǎng)絡(luò)中VLAN1到1005。有了VTP，建立一個(gè)VTP管理域，以使它能管理網(wǎng)絡(luò)上當(dāng)前的VLAN就可以在一臺(tái)機(jī)換上集中過時(shí)行配置變更，所作的變更會(huì)被自動(dòng)傳播到網(wǎng)絡(luò)中所有其他的交換機(jī)上。（前提是在同一個(gè)VTP域） HSRP 協(xié)議我們使用HSRP來實(shí)現(xiàn)對(duì)故障路由器的接管,HSRP中文解釋是熱備份路由協(xié)議，其含義是系統(tǒng)中有多臺(tái)路由器，它們組成一個(gè)“熱備份組”，這個(gè)組形成一個(gè)虛擬路由器。在任一時(shí)刻，一個(gè)組內(nèi)只有一個(gè)路由器是活動(dòng)的，并由它來轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動(dòng)路由器發(fā)生了故障，將選擇一個(gè)備份路由器來替代活動(dòng)路由器，但是在本網(wǎng)絡(luò)內(nèi)的主機(jī)看來，虛擬路由器沒有改變。所以主機(jī)仍然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器切換的問題。 VLAN 技術(shù)一般的交換機(jī)端口只有屬于一個(gè)vlan，對(duì)于多個(gè)vlan需要跨過多臺(tái)交換機(jī)，就需要用到trunk技術(shù)。Trunk是指交換機(jī)之間與路由之間傳遞，從而可以將vlan跨越整個(gè)網(wǎng)絡(luò)，而不僅僅是局限在一臺(tái)交換機(jī)上。VLAN技術(shù)允許網(wǎng)絡(luò)管理者講一個(gè)物理的lan邏輯的劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個(gè)VLAN都包括一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的vlan有著相同的屬性，但由于它是邏輯的而不是物理的劃分，所以同一個(gè)vlan內(nèi)的各個(gè)工作站無需笨哦放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理vlan網(wǎng)段里，一個(gè)vlan內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他vlan中，從而有助于控制流量，減少設(shè)備投資，簡化網(wǎng)絡(luò)管理，提高網(wǎng)絡(luò)的安全性。 Trunk 技術(shù)TRUNK是端口匯聚，就是通過配置軟件的設(shè)置，將2個(gè)或多個(gè)物理端口組合在一起成為一條邏輯的路徑從而增加在交換機(jī)和網(wǎng)絡(luò)節(jié)點(diǎn)之間的帶寬，將屬于這幾個(gè)端口的帶寬合并，給端口提供一個(gè)幾倍于獨(dú)立端口的獨(dú)享的高帶寬。Trunk是一種封裝技術(shù)，它是一條點(diǎn)到點(diǎn)的鏈路，鏈路的兩端可以都是交換機(jī)?；诙丝趨R聚（Trunk）功能，允許交換機(jī)與交換機(jī)、交換機(jī)與路由器、主機(jī)與交換機(jī)或路由器之間通過兩個(gè)或多個(gè)端口并行連接同時(shí)傳輸以提供更高帶寬、更大吞吐量， 大幅度提供整個(gè)網(wǎng)絡(luò)能力。 Easyvpn技術(shù)移動(dòng)VPN技術(shù)： Easy VPN Server是Remote－Access VPN專業(yè)設(shè)備，　而Easy VPN Remote就是專門為了小的分支機(jī)構(gòu)所設(shè)計(jì)的，一般情況下，小分支接口的網(wǎng)絡(luò)管理員的水平?jīng)]有那么高，不可能去配置一堆復(fù)雜命令來實(shí)現(xiàn)Site－to－Site VPN，這時(shí)候，只需要通過Easy VPN Remote這個(gè)特性配置幾條簡單的命令，就可以Site－to－Site VPN。所有的配置都在Server端來完成，Client的VPN配置都由Server端采用“推”的方式應(yīng)用到分支機(jī)構(gòu)的設(shè)備上。這種技術(shù)極大地避免了分支機(jī)構(gòu)配置VPN失敗的問題。但這種VPN不支持路由，不支持組播，只能在IP協(xié)議下工作，不支持狀態(tài)故障切換等技術(shù)。所以，需要網(wǎng)絡(luò)管理員在自己的實(shí)際工作中留意這些功能是否需要，再?zèng)Q定是否實(shí)施Easy VPN技術(shù)。 SPT協(xié)議STP是生成樹協(xié)議可應(yīng)用于環(huán)路網(wǎng)絡(luò)，通過一定的算法實(shí)現(xiàn)路徑冗余，同時(shí)將環(huán)路網(wǎng)絡(luò)修剪成無環(huán)路的樹型網(wǎng)絡(luò)，從而避免報(bào)文在環(huán)路網(wǎng)絡(luò)中的增生和無限循環(huán)。通過在交換機(jī)之間傳遞一種特殊的協(xié)議報(bào)文來確定網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。配置消息中包含了足夠的信息來保證交換機(jī)完成生成樹計(jì)算。STP是一種二層鏈路協(xié)議，又稱生成樹協(xié)議，該協(xié)議的原理是按照樹的結(jié)構(gòu)來構(gòu)造網(wǎng)絡(luò)拓?fù)?，消除網(wǎng)絡(luò)中的環(huán)路，避免由于環(huán)路