【正文】 協(xié)議，沒有環(huán)路問題。 OSPF 其它特性： OSPF 定義了 Stub Area 及 NotSoStubbyArea(NSSA)，為設(shè)計 包含多種路由協(xié)議的混合網(wǎng)絡(luò)，以及控制 LSDB 及路由表的大小提供了手段。 SW5 核心交換配置 OSPF 協(xié)議 (其他配置一樣的，在這里不詳細敘述 ) router ospf 1 work work area1 work work area1 第四章 網(wǎng)絡(luò)安全管理 內(nèi)網(wǎng)安全 運用多 種技術(shù)，如 VLAN、防病毒體系等，對各個部門、系所訪問進行控制，各單位之間在未授權(quán)的情況下不能互相訪問，保證系統(tǒng)內(nèi)部的安全。內(nèi)網(wǎng)對安全的需求包括 VLAN 設(shè)置需求、防病毒系統(tǒng)需求、網(wǎng)絡(luò)管理需求和網(wǎng)絡(luò)系統(tǒng)管理等。 設(shè)置需求 企業(yè) 網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復雜，而且各子網(wǎng)的分布 區(qū) 域廣，網(wǎng)絡(luò)用戶 多 ，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數(shù)據(jù)的主機的攻擊往往發(fā)自內(nèi)部用戶，如何對內(nèi)部用戶進行訪問控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運行的可靠性和安全性，必須要對它進行詳盡的 設(shè)計 ，盡可能防護到網(wǎng)絡(luò)的每一節(jié)點。 防病毒系統(tǒng)需求 針對防病毒危害性極大并且傳播極為迅速，必須配備從單機到服務(wù)器的整套防病毒軟件，實現(xiàn)全網(wǎng)的病毒安全防護。 網(wǎng)絡(luò)管理需求 此次建設(shè)的企業(yè)網(wǎng)絡(luò)系統(tǒng)是一個相當復雜的計算機網(wǎng)絡(luò)，包含多種設(shè)備和技術(shù)。隨著系統(tǒng)復雜度的增加，會給系統(tǒng)管理帶來成指數(shù)增加的管理工作量。為此必須要設(shè)計一套健全的管理系統(tǒng)。針對系統(tǒng)的功能采取相應(yīng)的管理措施。 廣東港隆文具有限公司局域網(wǎng)設(shè)計 24 / 30 外網(wǎng)安全 由于外網(wǎng)主要運行企業(yè)各部門非涉密的內(nèi)部辦公業(yè)務(wù)以及運行面向客戶的公開信息，所以必須采取過硬的安全技術(shù)來 實現(xiàn)企業(yè)的網(wǎng)絡(luò)系統(tǒng)不受 Inter的“黑客”、病毒等攻擊。外網(wǎng)對安全的需求包括物理安全需求、數(shù)據(jù)鏈路層需求、入侵檢測系統(tǒng)需求、防病毒系統(tǒng)需求和安全管理體制等。 物理安全需求 針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放機密信息的機房進行必要的設(shè)計，如構(gòu)建屏蔽室。采用輻射干擾機，防止電磁輻射泄漏機密信息。對重要的設(shè)備進行冗余配置；對重要系統(tǒng)進行備份等安全保護。 數(shù)據(jù)鏈路層需求 信息的泄漏很多都是在鏈路上被搭線竊取，數(shù)據(jù)也可能因為在鏈路上被截獲、被篡改后傳輸給對方，造成數(shù)據(jù)真 實性、完整性得不到保證。如果利用加密設(shè)備對傳輸數(shù)據(jù)進行加密，使得在網(wǎng)上傳輸?shù)臄?shù)據(jù)以密文傳輸。因為數(shù)據(jù)是密文，所以，即使在傳輸過程中被截獲，入侵者也讀不懂，而且加密機還能通過先進行技術(shù)手段，對數(shù)據(jù)傳輸過程中的完整性、真實性進行鑒別。可以保證數(shù)據(jù)的保密性、完整性及可靠性。因此，可能需要配備加密設(shè)備對數(shù)據(jù)進行傳輸加密。 入侵檢測系統(tǒng)需求 網(wǎng)絡(luò)安全是整體的、動態(tài)的，不是單一產(chǎn)品能夠完全實現(xiàn)的，所以為了確保網(wǎng)絡(luò)更加安全必須配備入侵檢測系統(tǒng)，對透過防火墻的攻擊進行檢測并做相應(yīng)反應(yīng)（記錄、報警、阻斷）。 防病毒系統(tǒng)需求 針對防病毒危害性極大并且傳播極為迅速，必須配備從單機到服務(wù)器的整套防病毒軟件，實現(xiàn)全網(wǎng)的病毒安全防護。 第五章 . 安全管理體制 安全系統(tǒng)只能提供技術(shù)手段和措施，但人為的因素不可忽略，只有確立健全的安全管理體制，設(shè)立相應(yīng)的安全管理崗位，從制度上加以嚴格管理。 系統(tǒng)中包含大量的網(wǎng)絡(luò)設(shè)備，必須為其配置功能強大的管理系統(tǒng)，該系統(tǒng)應(yīng)廣東港隆文具有限公司局域網(wǎng)設(shè)計 25 / 30 具有以下功能： (1)虛擬網(wǎng)管理、分配； (2)對所有網(wǎng)絡(luò)設(shè)備端口的監(jiān)視和管理； (3)對網(wǎng)絡(luò)流量的監(jiān)測和管理； (4)對所有網(wǎng)絡(luò)設(shè)備的遠程管理和控制，包括網(wǎng)絡(luò)端口設(shè) 備的開放和關(guān)閉； (5)整個網(wǎng)絡(luò)的故障監(jiān)測，故障自動報警功能； (6)整個網(wǎng)絡(luò)性能的統(tǒng)計和分析報告。 網(wǎng)絡(luò)應(yīng)用安全 談到網(wǎng)絡(luò)應(yīng)用安全，人們首先想到的是網(wǎng)絡(luò)黑客。確實，網(wǎng)絡(luò)黑客幾乎與網(wǎng)絡(luò)同時誕生，黑客與反黑的斗爭從來就沒有停止過。要有效防止黑客，就必須首先了解黑客所使用的手段。一般說來黑客所使用的手段主要有下面幾類。 網(wǎng)絡(luò)嗅探 一般說來，有網(wǎng)絡(luò)路由器的地方都有探測程序（ sniffer program）。探測程序是一種分析網(wǎng)絡(luò)流量的網(wǎng)絡(luò)應(yīng)用程序。 IP 的最基本的缺點是缺乏一種機制來確定數(shù)據(jù)包的真正 來源。所有的包都含有源地址和目的地址，但是在 IP 包中沒有任何東西可以確認 IP 包的源和目的地址是否變動過。顯然，安全性不好的系統(tǒng)將是黑客進駐和安裝探測軟件的地方。一旦探測軟件安裝完畢，黑客就可以通過分析經(jīng)過的所有數(shù)據(jù)流量，從而得到所需要的地址、帳號和密碼等數(shù)據(jù)。其中典型的包探測程序也就是利用 IP 的弱點，因為它可以用來探測有效的 Inter連接。一旦這種連接被檢測到，包探測程序就可以利用 IP 的其它弱點竊取其它連接信息。 ARP 欺騙 感染了 ARP 欺騙病毒的計算機會向同網(wǎng)段內(nèi)所有計算機發(fā) ARP 欺騙 包，導致網(wǎng)絡(luò)內(nèi)其它計算機因網(wǎng)關(guān)物理地址被更改而無法上網(wǎng)，被欺騙計算機的典型癥狀是剛開機能上網(wǎng)，幾分鐘之后斷網(wǎng)，如此不斷重復，造成了該子網(wǎng)段范圍內(nèi)的不穩(wěn)定，影響其它機器的正常使用。更為嚴重的是 ARP 欺騙病毒及其變形 “ 惡意竊聽 ”等 病毒 的 中毒主機會截取局域網(wǎng)范圍內(nèi)所有的通訊數(shù)據(jù)。 IP 地址欺騙 當一個黑客開始使用一種用以散布網(wǎng)絡(luò)路由信息的應(yīng)用程序 RIP 時，一種路由方式的地址欺騙就開始了。一般說來，當一個網(wǎng)絡(luò)收到 RIP 信息時，這種信息廣東港隆文具有限公司局域網(wǎng)設(shè)計 26 / 30 是沒有得到驗證的。這種缺陷的結(jié)果是使得黑客可以發(fā)送虛假的路由信息到他想進行欺騙的一臺主機，如主機 A。這種假冒的信息頁將發(fā)送到主機 A 的路徑上的所有網(wǎng)關(guān)。主機 A 和這些網(wǎng)關(guān)收到的虛假路由信息是來自網(wǎng)絡(luò)上的一臺不工作或沒有使用的主機，如主機 B。這樣，任何要發(fā)送到主機 B 的信息都會轉(zhuǎn)送到黑客的計算機上，而主機 A 和網(wǎng)關(guān)還認為信息是流向了主機 B—— 網(wǎng)絡(luò)上一個可信任的節(jié)點。一旦黑客成功地將他的計算機取代了網(wǎng)絡(luò)上的一臺實際主機，就實現(xiàn)了主機欺騙。 DOS 攻擊 DOS 攻擊也稱強攻擊，其最基本的方法就是通過發(fā)起大量的服務(wù)請求，消耗服務(wù)器或網(wǎng)絡(luò)的系統(tǒng)資源，使之最終無法響應(yīng)其它請求，導致系統(tǒng) 癱瘓。具體實現(xiàn)方法有下面幾種： PING/ICMP Echo Flood 攻擊 這種攻擊模式一般是發(fā)起大量的 ICMP Echo 請求給一個指定的目標，以達到使服務(wù)癱瘓的目的。但是需要發(fā)起這么大量的 ICMP 請求是不可能從一臺具有正確 IP 地址的主機上做到的，因為這樣也會對自身產(chǎn)生很大的影響，發(fā)起者不得不接受同樣多的回應(yīng)。所以 HACKER 需要利用虛假的地址再發(fā)起攻擊。 我們可以利用 H3C 9512 的源地址驗證功能實現(xiàn)防止 PING 攻擊。 SMURF 攻擊 SMURF 攻擊類似與 PING 攻擊，是一種帶寬消耗的攻擊模 式。它需要大量虛假ICMP 請求導向到 IP 廣播地址上。當一個包是從設(shè)備的本地網(wǎng)絡(luò)外發(fā)送到本地網(wǎng)絡(luò)的廣播地址的時候，它被轉(zhuǎn)發(fā)到這個本地網(wǎng)絡(luò)的所有設(shè)備上。于是我們可以看到在 SMURF 攻擊中有 3 大部分：發(fā)起攻擊者，中間系統(tǒng)，和受害者。當然中間系統(tǒng)也可能同樣是受害者。中間系統(tǒng)接從廣播地址那里收到 ICMP 應(yīng)答請求，當這些設(shè)備同時回答請求的時候，就會導致嚴重網(wǎng)絡(luò)阻塞。 防止 SMURF 攻擊的重要措施是在路由器上配置不準廣播進入的條目。我們也可以利用 ZXR10UAS 的安全 ARP 功能去阻擋流量到廣播地址。 SYN 攻擊 TCP SYN 攻擊是一種以大量虛假 IP 地址發(fā)起 SYN 握手信號消耗掉被攻擊設(shè)備的資源的攻擊模式。設(shè)備要做出大量的 SYN 回應(yīng)，而三次握手卻是無法正常完成，必須等待 Time out 之后（通常是 1 分鐘左右）。在短時間內(nèi)大量發(fā)起 SYN 攻擊，會很快消耗完設(shè)備的資源，讓被攻擊者無法完成正常的 TCP 服務(wù)，如 EMAIL，WWW 等。 LAND 攻擊 廣東港隆文具有限公司局域網(wǎng)設(shè)計 27 / 30 LAND 攻擊是 SYN 攻擊一種演變，它似的好像主機是在自己給自己發(fā)送包，從而讓系統(tǒng)變得不斷的嘗試應(yīng)答自己。 分布式 DOS 攻擊（ DDOS） DDOS 攻擊是一種更嚴重的攻擊手段，它 通過某些主機操作系統(tǒng) /軟件的缺陷，從而操縱大量的第三方設(shè)備向目標發(fā)起攻擊，擴大了 DOS 攻擊的強度。一般來說，HACKER 主要利用 EMAIL或者 JAVE Script 等去控制其他主機，而且通常都以 UNIX主機 /服務(wù)器為主，因為它們是 24*7 工作模式，方便被 HACKER 在方便的時候操縱和發(fā)起攻擊。通常我們需要在路由器上打開外出包過濾去防止欺騙包離開網(wǎng)絡(luò)，同時也可以采用工具去搜索本網(wǎng)絡(luò)中 DDOS 的引擎并且刪除它。 黑客攻擊是網(wǎng)絡(luò)應(yīng)用安全的重點，但并不是全部。網(wǎng)絡(luò)應(yīng)用安全還應(yīng)該包括對網(wǎng)絡(luò)內(nèi)部不同用戶權(quán)限的外部訪問控 制（例如沒有授權(quán)用戶不準上 Inter或不準訪問與公司業(yè)務(wù)無關(guān)的娛樂性網(wǎng)站等）。 廣東港隆文具有限公司局域網(wǎng)設(shè)計 28 / 30 總結(jié) 1）隨著科技的發(fā)展，網(wǎng)絡(luò)在經(jīng)濟規(guī)模中正以不可替代的趨勢，扮演著“利用信息資源，協(xié)調(diào)生產(chǎn)成本，提高經(jīng)濟效益”的重要角色。對于企業(yè)而言，網(wǎng)絡(luò)的構(gòu)建是企業(yè)不可缺少的一部分。 2）在設(shè)計網(wǎng)絡(luò)結(jié)構(gòu)時，企業(yè)的商業(yè)目的是優(yōu)先處理的因素，因此要考慮其成本、擴充性、安裝維護是否方便等。綜合這些因素，使用網(wǎng)絡(luò)設(shè)備商的中低端設(shè)備，構(gòu)建快速以太網(wǎng)，是適合中小型企業(yè)網(wǎng)絡(luò)的解決方案。 3)通過這次的畢業(yè) 論文設(shè)計， 我真的學到了很多的東西，在實際的工作我們要做的除了模塊化的東西外，我們盡量要把東西系統(tǒng)化，因為很多東西就是有聯(lián)系的你只要找到了他們的關(guān)系會為你處理問題帶來很高的效率，我也從中發(fā)現(xiàn)了自身很多不足的地方知識面還不夠廣，系統(tǒng)的認識問題還不夠，在學習中趨于模塊化了，所有要加強系統(tǒng)化的學習 ，努力提高自己的技術(shù)水平 。 3）本方案中使用的主要技術(shù)方法： 1采用成熟的 OSPF 協(xié)議規(guī)劃網(wǎng)絡(luò)； 2VLAN 技術(shù)保證部門的隔離和安全， VTP 管理 VLAN 的傳播； 3HSRP 技術(shù)增強骨干網(wǎng)的穩(wěn)定性， 4組播 技術(shù)，保證鏈路帶寬費充分利用，避免浪費； 5ACL 管理，保證企業(yè)數(shù)據(jù)的安全性； 廣東港隆文具有限公司局域網(wǎng)設(shè)計 29 / 30 參考文獻 [ . [2 Dinae Teare .CCNP 學習指南：組建可擴展的 Cisco 互聯(lián)網(wǎng)絡(luò)（ BSCI）（第三版） .人民郵電出版社 [3 Brian Man Neil Lovering. CCNA ISCW 認證考試指南 .人民郵電出版社 [4 Amir Ranjbar. CCNP ONT 認證考試指南 .人民郵電出版社 [5 Richard Froom, Balaji Sivasubramanian, Erum Frahim. CCNP 學習指南：組建 Cisco多層交換網(wǎng)絡(luò) (BCMSN)(第 4 版 ).人民郵電出版社 [6 David Hucaby .CCNP BCMSN 認證考試指南 (第 4 版 ).人民郵電出版社 [7 David Hucaby .CCNP BCMSN 認證考試指南 (第三版 ).人民郵電出版社 [ 王達編著 網(wǎng)絡(luò)工程師必讀 —— 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計 電子工業(yè)出版社 2022 年出版 [ 徐昌彪 、 鮮永菊編著 計算機網(wǎng)絡(luò)中的擁塞控制與流量控制 人民郵電出版社 2022 年出版 廣東港隆文具有限公司局域網(wǎng)設(shè)計 30 / 30 致謝 在論文完成之際，我要特別感謝我的指導老師 陳齊 老師的熱情關(guān)懷和悉心指導。在我撰寫論文的過程中， 陳 老師傾注了大量的心血和汗水，無論是在論文的選題、構(gòu)思和資料的收集方面，還是在論文的研究方法以及成文定稿方面，我都得到了 陳 老師悉心細致的教誨和無私的幫助，特別是 他 廣博的學識、深厚的學術(shù)素養(yǎng)、嚴謹?shù)闹螌W 精神和一絲不茍的工作作風使我終生受益，在此表示真誠地感謝和深深的謝意。 在論文的寫作過程中，也得到了許多同學的寶貴建議，同時還得到許多實習期同事的支持和幫助，在此一并致以誠摯的謝意，感謝所有關(guān)心、支持、幫助過我的良師益友。 最后，向在百忙中抽出時間對本文進行評審并提出寶貴意見的各位老師表示衷心的感謝！ 感謝所有教過我的老師你們辛苦了，在你們的教導下我知道了知識的發(fā)展前沿，知道了人生道理。 感謝在 永州職業(yè)技術(shù)學院 三年里和我共同學習和生活的同學們感謝你們對我的照顧對我做錯事情的理解 。 廣東港隆文具有限公司局域網(wǎng)設(shè)計 31 / 30 您好，為你提供優(yōu) 秀的畢業(yè)論文參考資料，請您刪除以下內(nèi)容， O(∩ _∩