【文章內容簡介】 足需求 ５、所有網絡產品符合標準并且具有開放性，廠商對產品有長遠的發(fā)展計劃 ６、選型產品應是成熟的，在國內 /國外有著廣泛的實際應用，并占有一定市場份額 ７、網絡廠商具有完善的售后服務體系 根據以上原則，我們綜合考慮國際主流網絡設備廠商（ Nortel Networks, Cisco, 3Com 等）及其旗幟設備，我們選擇 Cisco Systems, Inc（ 思科系統 ）公司的綜合網絡解決方案來建設網絡系統。 中醫(yī)學院本次網絡工程建設共有近 755 個信息點，分布在 1 號教學樓、 2 號教學樓、辦公樓、圖書館、實驗樓和男生公寓。 網絡中心設在 2 號教學樓五層的中心機房，在此放置中心交換機，其余各樓采用二級交換機接入網絡。各個樓宇都將采用千兆光纖實現主干接入，整個網絡采用三級網絡結構，結構清晰合理。 （ 2） 核心交換機選型策略 核心網絡骨干交換機是寬帶網的核心，應具備： ① 高性能， 高速率 。 ② 便于升級和擴展 。 ③ 高可靠性 。 ④ 強大的網絡控制能力 。 ⑤ 良好的可管理性，支持通用網管協議。 核心層是一個數據交換樞紐，提供高速、有效的數據交換。 核心層的功能主要是實現骨干網絡之間的優(yōu)化傳輸 ,核心層設計任務的重點通常是冗余能力、可靠性和高速的傳輸。網絡的控制功能、網絡的各種應用應盡量少在核心層上實施。核心層一直被認為是流量的最終 11 承受者和匯聚者，所以對核心層的設計以及網絡設備的要求十分嚴格 。 核心層是一個路由域。通過在核心層配置動態(tài)路由協議，提供數據的路由和路 由的迂回。 表 23 幾種核心交換機的比較 WSC3560G24TSE Quid way S6506 3Com Switch 5500 產 品 類型 企業(yè)級 ,三層 ,可網管型交換機 智能以太網交換機 快速以太網 交換機 傳 輸 速率 10Mbps/100Mbps/1000Mbps 10Mbps/100Mbps/1000Mbps 10Mbps/100Mbps/1000Mbps 端 口 數量 24 48 48 交換 方式 存儲 轉發(fā) 存儲 轉發(fā) 存儲 轉發(fā) 接 口 類型 10/100/1000BASET 端口 ,RJ45 10/100/1000 Baset ，1000BaseFX/SX 背板 帶寬 32Gbps 高速堆疊總線 1600Gbps 模 塊 化插槽數 4 個 模塊化插槽數 7 個 模塊化插槽數 4 個 模塊化插槽數 網 管 功能 支持 支持 根據核心交換機的高性能，高速率、高可靠性、便于升級和擴展、強大的網絡控制能力，提供 Qos 和網絡安全等機制，良好的可管理性，支持通用網管協議等要求，以及從本校園網構建的需求分析各方面來考慮，我們選華為 Quidway S6506 交換機作為核心層的交換機。 （ 2） 接入層交換機選型策略 接入層的主要功能是為最終用戶提供對園區(qū)網絡訪問的途徑。本層也可以提供進一步的調整，如 Accesslist Filtering 等。在園區(qū)網絡環(huán)境中，接入層主要提供 如下功能： 帶寬共享（ Shared Bandwidth） 交換帶寬（ Switched Bandwidth） MAC層過濾（ MAC Layer Filtering(possibly)） 微分網段（ Micro segmentation） 根據接入層的技術要求，網絡的實際需求以及與核心交換機會聚層交換機品牌一致，這樣更便于兼容管理，在此選擇 CISCO WS355024 交換機 為接入層交換機。 Cisco Catalyst 3550 系列智能化以太網交換機是一個新型的、可堆疊的、多層企業(yè)級交換機系列，可以提供高水 平的可用性、可擴展性、安全性和控制能力，從而提高網絡的運行效率。 表 24 接入層交換機的數量與配置 名 稱 描 述 CISCO WS355024 10/100Mbps， 24 個端口， 接口介質 100BaseT， 100BaseFX， 可堆疊 ， 存儲 轉發(fā) 交換方式 ， 12 （四） 網絡安全設計 企業(yè) 網內的用戶數量較大，局域網絡數目較多， 經過 分析可以總結出 XXX 企業(yè) 網面臨著如下的安全威脅： 1) 各種 操作系統 以及應用系統自身的漏洞帶來的安全威脅； 2) Inter 網絡用戶對 企業(yè) 網存在非法訪問或惡意入侵的威脅； 3) 來自 企業(yè) 網內外的各種病毒的威脅，外部用戶可能通過郵件以及文件傳輸等將病毒帶入企業(yè) 內網。內部職工可能由于使用盜版介質將病毒帶入內網； 4) 內部用戶對 Inter 的非法訪問威脅，如瀏覽黃色、暴力、反動等網站，以及由于下載文件可能將木馬、 蠕蟲 、病毒等程序帶入 企業(yè) 內網； 5) 內外網惡意用戶可能利用利用一些工具對網絡及服務器發(fā)起 DOS/DDOS 攻擊，導致網絡及服務不可用 ； 6) 可能會因為 企業(yè) 網內管理人員以及全體 職工 的安全意識不強、管理制度不健全，帶來 企業(yè) 網的威脅； 上述分析的幾點是當今 企業(yè) 網普遍面臨的安全隱患。 企業(yè) 網絡的應用水平也在不斷提高。規(guī)模的壯大和運用水平的提高就決定了網 絡 面臨的隱患也相應加劇。 那么就及上述分析 我們應 從物理 、 系統、網絡、應用及管理五個層設計適合于 XXX 網 絡 的安全方案。 1． 物理層安全 物理層的安全主要包括環(huán)境、設備及線路的安全。系統中心或機房的建設應遵照：GB5017393《電子計算機機房設計規(guī)范》、 GB288789《計算機站場 地安全要求》及GB288789《計算機站場地技術條件》的要求。在設備集中的管理間安裝干擾器防止由于設備輻射造成的信息泄漏。同時，要注意保護線路的安全，防止用戶的搭線竊聽行為。 2． 系統安全 系統層主要解決的是由于各種操作系統、 數據庫 、及相關產品的安全漏洞和病毒造成的威脅。解決的技術手段主要有以下幾種： ? 采用主機加固手段加固主機，如升級、 及時 打補丁、關閉不需要的端口 和服務 等； ? 對系統重要文件進行及時備份、加密來保障系統文件的安全； ? 及時更新殺毒軟件，定時掃描漏洞保障系統安全； ? 嚴格控制權限 加強對主機的訪問控制； ? 使用強密碼帳號保障系統帳號的安全； ? 日志分析，及時發(fā)現異常； 3． 網絡層安全 13 網 絡 中局域網數目較多，根據需要多個網絡可能要互相聯接。正是這種多網的互聯，使我們對網絡層的安全要極度重視。定 義一個網絡或各網絡內不同安全等級的部分為不同的安全域。安全域之間的連接處叫網絡邊界。下面主要幾方面的網絡層安全防護： 1) 劃分安全子網。如果同一局域網內有不同等級的安全域，可以通過劃分子網及 VLAN 的方法加以訪問控制。 2) 加強網絡邊界的訪問控制。安全等級差別較大的邊界需要采用防火墻來控制。如內網、外網和 Inter之間，利用防火墻進行訪問控制和內容過濾?？捎行У亟鉀Q需求中提到的多種威脅。 3) 防止內外的攻擊威脅。在每個安全域內或多個安全域之間安裝入侵檢測系統（ IDS） ,可有效地防止來自網絡內外 的攻擊。 4) 定期的網絡安全性檢測實現持續(xù)安全。利用漏洞掃描器（ Scanner） ,定期對系統進行安全性評估，及時發(fā)現安全隱患并實施修補，可達到網絡的相對持續(xù)安全。 5) 建立網絡防病毒系統。在 企業(yè) 網中安裝網絡版的防毒系統，集中控制、管理查殺網絡中服務器、終端的病毒，保護全網不被病毒侵害。 4． 應用層安全 應用層的安全措施主要有以下幾點： ? 加載郵件過濾系統，過濾 垃圾郵件； ? 各應用系統自身的加固； ? 建立身份認證系統 ，對各用戶進行嚴格身份認證 ； ? 建立安全審計系統 ，進行安全審計 ； ? 建立備份系統 ，及時備份重要文件 ； 5． 管理層安全 實現管理層的安全主要注意以下幾點： ◆ 建立安全管理平臺。主要是指將各種安全系統或設備集中控管、綜合分析。 ◆ 建立、健全安全管理體制。 內 網用戶較多，一定要建立一套合理可行的安全管理制度。只有制度和設備的完美結合才能真正提高校園網的安全水平。 ◆機房重地要重點保護，閑人不得隨意進入。 ◆ 提高全員的安全意識 適當進行安全培訓 。 安全產品 （防火墻） 的 選型 在連接到 Inter 上的出口處， 我們選用了 思科 ASA5520BUNK9 防火墻來有效的保 14 護內部網絡的安全。 這是企業(yè)級防火墻，它提供了專用硬件平臺。 表 25 思科 ASA5520BUNK9 防火墻所包含的功能 思科 ASA5520BUNK9 基本參數 產品型號 ASA5520BUNK9 產品類型 企業(yè)級 ,硬件 ,VPN防火墻 最大吞吐量 450Mbps 安全過濾帶寬 225Mbps 外形尺寸 /重量 362 / 思科 ASA5520BUNK9 硬件參數 硬件參數 RAM:512MB,FLASH:64MB 固定接口 4個千兆以太網端口 ,1個快速以太網端口 ,1個 SSM 擴展插槽 ,2個 USB2. 擴展插槽 1個 SSC擴展插槽 思科 ASA5520BUNK9 網絡與軟件 網絡管理 思科安全管理器 (CSManager),Web. 用戶數限制 無用戶數限制用戶 并發(fā)連接數 280000并發(fā)連接數 VPN 支持 認證標準 3DES/AES 許可證 ,UL 1950,CSA No. 950, EN 60950 IEC 60950,AS/NZS3260,TS001. 功能特點 高性能防火墻、 IPS、以及 IPSec 和 SSL VPN和 IPSec VPN(750 個設備對 )軟件 ,支持防垃圾郵件、 URL 阻攔和過濾 ,以及防網絡釣魚 . 思科 ASA5520BUNK9 其它參數 電源電壓 100240VAC,50/60Hz 最大功率 額定： 150W,最大： 190WW 其它 主用 /主 用 和主 用 /備用 高 可用 性 控 制端口 :console,2 個 RJ45 考慮到企業(yè)對外要提供的公共服務如 WWW、 FTP 和 DNS 的服務，可 以把這些服務放在公共的 DMZ 區(qū)。 另外，考慮到內部的眾多服務器的安全，也今后也可以考慮放置適當的防火墻來防止內部黑客的入侵。 15 三、各設備的配置命令 （一）核心層交換機的配置 1. 核心 交換機支持的命令： 交換機基本狀態(tài)： switch: ； ROM 狀態(tài)， 路由器是 rommon hostname ；用戶模式 hostname ；特權模式 hostname(config) ；全局配置模式 hostname(configif) ；接口狀態(tài) 交換機口令設置： switchenable ；進入特權模式 switchconfig terminal ；進入全局配置模式 switch(config)hostname ；設置交換機的主機名 switch(config)enable secret xxx ；設置特權加密口令 switch(config)enable password xxa ；設置特權非密口令 switch(config)line console 0 ；進入控制臺口 switch(configline)line vty 0 4 ；進入虛擬 終端 switch(configline)login ；允許登錄 switch(configline)password xx ；設置登錄口令 xx switchexit ；返回命令 交換機 VLAN 設置： switchvlan database ；進入 VLAN 設置 switch(vlan)vlan 2 ；建 VLAN 2 switch(vlan)no vlan 2 ；刪 vlan 2 switch(config)int f0/1 ；進入端口 1 switch(configif)switchport access vlan 2 ；當前端口加入 vlan 2 switch(configif)switchport mode trunk ；設置為干線 switch(configif)switchport trunk allowed vlan 1， 2 ；設置允許的 vlan switch(configif)switchport trunk encap dot1q ；設置 vlan 中繼 switch(config)vtp domain ； 設置發(fā) vtp 域名 switch(config)vtp password ；設置發(fā) vtp 密碼 switch(config)vtp mode server ；設置發(fā) vtp 模式 switch(config)vtp mode client ；