【正文】 。在加密認(rèn)證中需要進(jìn)行數(shù)據(jù)加密，身份認(rèn)證等一系列操作，需要運(yùn)用數(shù)字簽名等技術(shù)，全局啟用ISAKMP并定義對等體及其PSK（預(yù)共享密鑰），定義IKE策略，Ipsec 轉(zhuǎn)換集，基于ESP的加密等技術(shù)，在雙方配置了相應(yīng)的策略和密鑰共享機(jī)制以后，才能夠?qū)崿F(xiàn)異地的數(shù)據(jù)安全高效的傳輸[14]。如果想擴(kuò)大企業(yè)園區(qū)的拓?fù)浣Y(jié)構(gòu)可以增加交換機(jī)的級(jí)聯(lián)，實(shí)現(xiàn)端口密度的擴(kuò)充，增加相同結(jié)構(gòu)，實(shí)現(xiàn)擴(kuò)展，同時(shí)增加路由數(shù)量實(shí)現(xiàn)多級(jí)擴(kuò)充，對設(shè)備的配置基本相同，最終實(shí)現(xiàn)了企業(yè)的良好的擴(kuò)展性，增大園區(qū)規(guī)模，也保證了數(shù)據(jù)的高效傳輸。 Ipsec VPN配置圖如410所示：圖4–10 Ipsec VPN配置圖5 系統(tǒng)設(shè)計(jì)方案 系統(tǒng)設(shè)計(jì)總體需求本項(xiàng)目的實(shí)施目的是在企業(yè)內(nèi)部建立穩(wěn)定，高效的辦公自動(dòng)化網(wǎng)絡(luò)，通過項(xiàng)目的實(shí)施，為所有員工配桌面PC，使所有員工能夠通過總部網(wǎng)絡(luò)進(jìn)入internet，從而提高所有員工的工作效率和加快企業(yè)內(nèi)部信息的傳遞。同時(shí)需要建立WEB服務(wù)器，用于在互聯(lián)網(wǎng)上發(fā)布企業(yè)信息。在總部和子公司均設(shè)立專用發(fā)服務(wù)器，使集團(tuán)內(nèi)所有員工能夠利用服務(wù)器方便的訪問公共文件資源，并能夠完成企業(yè)內(nèi)部郵件的收發(fā)。系統(tǒng)建立完成后，要求能滿足企業(yè)各方面的應(yīng)用需求，包括辦公自動(dòng)化，郵件收發(fā)，信息共享和發(fā)布，員工帳戶管理，系統(tǒng)安全管理等[15]。 系統(tǒng)的構(gòu)架據(jù)企業(yè)的管理結(jié)構(gòu)。本方案采用Windows系統(tǒng)提供的域模式來組織和管理全部系統(tǒng)資源，采用域的模式，不僅可以集中存儲(chǔ)網(wǎng)絡(luò)對象，并且管理簡單，即實(shí)現(xiàn)了集中管理，又可以滿足不同公司自身的安全需求。方案中將企業(yè)按單位劃分不同的模塊，企業(yè)總部作為域林的根，每個(gè)子公司，分部門為一個(gè)獨(dú)立的域或者域樹，形成一個(gè)完整的樹狀結(jié)構(gòu)。采用這種結(jié)構(gòu)，可以將網(wǎng)絡(luò)中的全部資源，分散到每個(gè)域的域控制器中存儲(chǔ)，減少了每臺(tái)域控制器的信息存儲(chǔ)，從而減少復(fù)制流量和網(wǎng)絡(luò)對象的查詢時(shí)間。 系統(tǒng)管理設(shè)計(jì)在系統(tǒng)設(shè)計(jì)時(shí)包括三個(gè)部分，分別是OU，用戶及組的設(shè)計(jì)，為了更好的滿足企業(yè)的需要，便于系統(tǒng)管理員方便管理企業(yè)中的所有用戶，系統(tǒng)管理結(jié)構(gòu)與集團(tuán)的管理結(jié)構(gòu)相匹配，方案中采用了如下所述的設(shè)計(jì)。OU的設(shè)計(jì)企業(yè)的OU設(shè)計(jì)目的是為了使用用戶管理更有效率，結(jié)構(gòu)更加清晰，并能夠使系統(tǒng)的管理結(jié)構(gòu)與集團(tuán)的商業(yè)模型相匹配。在本方案中按部門劃分OU的方法，將每個(gè)公司中以部門為單位創(chuàng)建OU，并在部門OU中保存該部門的用戶帳戶，計(jì)算機(jī)帳戶及組采用這種設(shè)計(jì)的方法，可以在系統(tǒng)管理中清楚的體現(xiàn)公司的管理結(jié)構(gòu)，一般情況下，一個(gè)部門內(nèi)部中的用戶常常有相似的安全需求，利用這樣的設(shè)計(jì)方法，也可以方便的將安全策略應(yīng)用到某個(gè)部門。用戶管理為了規(guī)范用戶帳戶的管理，系統(tǒng)中所有的用戶采用統(tǒng)一的命名規(guī)范，每個(gè)用戶在網(wǎng)絡(luò)中擁有唯一的登陸名。用戶帳戶在所屬的部門的OU中創(chuàng)建。組的管理為了滿足集團(tuán)用戶管理的需求，更好的在網(wǎng)絡(luò)中管理用戶權(quán)限的分配，使系統(tǒng)的管理得到最大的簡化，方案中采用AGDLP策略及AGUDLP策略。在每個(gè)域中創(chuàng)建全局組，用與組織本域的帳戶，在沒個(gè)域中創(chuàng)建域本地組，用于完成權(quán)限的指派。在本域內(nèi)的權(quán)限的分配，可以使用AGDLP策略，在域間的權(quán)限分配，使得AGDLP策略，依次將用戶加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權(quán)限授予指定的域本地組，采用這樣的方式，不僅可以使用戶的組織和權(quán)限分配簡單，也可以減少域間的復(fù)制流量，從而提高系統(tǒng)的性能[16]。 系統(tǒng)的安全性設(shè)計(jì)在設(shè)計(jì)方案中，安全的設(shè)計(jì)主要分2個(gè)部分，首先是ISA Server的應(yīng)用，通過ISA Server的配置，建立軟件防火墻，保護(hù)集團(tuán)內(nèi)部網(wǎng)絡(luò)不受外部用戶的攻擊，同時(shí)利用ISA Server提供的網(wǎng)站過濾功能和服務(wù)器發(fā)布功能，對企業(yè)內(nèi)部用戶的上網(wǎng)行為進(jìn)行規(guī)范，并能保障服務(wù)器的安全使用。其次，在方案設(shè)計(jì)中，充分應(yīng)用Window系統(tǒng)提供的組策略功能，利用組策略，可以在每個(gè)公司的域中設(shè)計(jì)安全策略。防止用戶進(jìn)行非授權(quán)的訪問，保護(hù)用戶在工作環(huán)境不受破壞。具體的設(shè)計(jì)方案如下：ISA Server：ISA Server是微軟公司出品的軟件防火墻代理服務(wù)器產(chǎn)品，它不僅可以起到代理服務(wù)器的緩存作用，也能實(shí)現(xiàn)防火墻的功能，通過軟件防火墻上設(shè)置過濾規(guī)則，可以控制內(nèi)部用戶對網(wǎng)站的訪問，同時(shí)利用其提供的服務(wù)器發(fā)布功能，也可以將企業(yè)內(nèi)部的服務(wù)器發(fā)布到Internet上，提供互聯(lián)網(wǎng)的訪問，在本方案的設(shè)計(jì)中，主要利用了網(wǎng)站過濾和服務(wù)器發(fā)布的功能，在集團(tuán)中心即房安裝和配置ISA服務(wù)器，繼承防火墻功能和代理服務(wù)器的功能，將集團(tuán)總部及子公司的WEB服務(wù)器及MAIL服務(wù)器發(fā)布到互聯(lián)網(wǎng)上。集團(tuán)中所有的客戶端做為ISA的客戶端，所有的互聯(lián)網(wǎng)的訪問均通過ISA服務(wù)器轉(zhuǎn)發(fā)，這樣，就可以在ISA服務(wù)器上對所有網(wǎng)絡(luò)流量進(jìn)行監(jiān)控并對實(shí)現(xiàn)網(wǎng)絡(luò)訪問的過濾。防火墻功能：ISA服務(wù)器位于企業(yè)網(wǎng)絡(luò)和外網(wǎng)之間，采用三網(wǎng)卡分別連接內(nèi)網(wǎng)和外網(wǎng)和DZM區(qū)，充分利用防火墻的角色，并利用網(wǎng)站和內(nèi)容規(guī)則來限制用戶能夠訪問的網(wǎng)站。同時(shí)，總部與分公司之間采用Ipsec VPN基于GRE隧道技術(shù)進(jìn)行聯(lián)絡(luò)，增加了安全性，提高了效率，各部門間換分不同的VLAN ,保證數(shù)據(jù)的高效安全性，STP生成樹協(xié)議防止廣播風(fēng)暴發(fā)生，HSRP保證企業(yè)數(shù)據(jù)高效傳輸，實(shí)現(xiàn)設(shè)備冗余備份。服務(wù)器發(fā)布：利用ISA服務(wù)器將企業(yè)中的郵件和WEB服務(wù)器發(fā)布到互聯(lián)網(wǎng)上，保證外部用戶可以訪問公司的WEB服務(wù)器，并將公司用戶可以與外部客戶利用郵件交換信息。客戶端：在所有用戶計(jì)算機(jī)上安裝ISA客戶端軟件，并配置瀏覽器使用ISA Server作為代理服務(wù)器上網(wǎng)[17]。安全策略：在Windows系統(tǒng)中的域模式下，安全策略是保護(hù)系統(tǒng)及用戶在工作環(huán)境不被破壞的重要工具，在本方案中采用了組策略這個(gè)工具對全部系統(tǒng)提供安全保護(hù)，由于集團(tuán)各個(gè)子公司采用獨(dú)立的管理模式，所以在每個(gè)域中單獨(dú)設(shè)置組策略，并使組策略應(yīng)用到每個(gè)域中的用戶和計(jì)算機(jī)。各個(gè)子公司的系統(tǒng)管理員可以獨(dú)立的管理子公司的域，并可以在以后修改和編輯組策略，以適應(yīng)公司未來的需求。在本方案中，根據(jù)集團(tuán)的目前的需求，建立了基本的組策略：(1)密碼長度最小值為7(2)密碼最長存留期為30天(3)密碼過期期限為50天(4)帳戶鎖定閥值為5次無效登陸(5)啟動(dòng)密碼必須符合復(fù)雜性需求策略6 測試和驗(yàn)證規(guī)則有效性 HSRP功能模塊測試在拓?fù)湓O(shè)備上配置完熱備份協(xié)議以后，進(jìn)行相應(yīng)的功能測試，測試其能夠?qū)崿F(xiàn)雙機(jī)熱備，實(shí)現(xiàn)鏈路的冗余備份，經(jīng)過測試成功實(shí)現(xiàn)HSRP功能。配置成成功測試圖如61所示：圖6–1 HSRP配置成功測試圖 圖6–2 HSRP配置成功測試圖 HSRP協(xié)議配置成功后，無論從從屬于哪個(gè)部門的VLAN中對網(wǎng)絡(luò)進(jìn)行測試，比如連接互聯(lián)網(wǎng)，都可以ping通，上圖為，不同部門的用戶主機(jī)1和2分別對網(wǎng)絡(luò)進(jìn)行測試，即使一個(gè)核心交換機(jī)出現(xiàn)故障，依然能夠保證網(wǎng)絡(luò)的暢通，數(shù)據(jù)傳輸正常。 IPsec VPN 功能模塊測試Ipsec VPN測試成功圖如63所示：圖6–3 Ipsec VPN測試成功圖基于ESP加密的抓包圖如64所示：圖6–4Ipsec VPN測試成功圖 IPsec VPN 配置完成以后，采用了GRE隧道模式，全局啟用ISAKMP并定義對等體及其PSK（預(yù)共享密鑰），定義IKE策略，Ipsec 轉(zhuǎn)換集，基于ESP的加密等技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)傳輸?shù)陌踩煽?，子公司和總部的高效連接。7 結(jié)束語本文詳細(xì)介紹了關(guān)于企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化的相關(guān)步驟，對于一個(gè)企業(yè)的布局和規(guī)劃簡要做了說明，對各功能模塊盡顯了相關(guān)概述。本系統(tǒng)主要具有以下特色和功能：對企業(yè)網(wǎng)布局以及用材進(jìn)行了相關(guān)概述，對于子網(wǎng)劃分，部門IP配置作了具體分配，基本功能完善，結(jié)構(gòu)合理，運(yùn)行簡單易操作。實(shí)現(xiàn)VLAN間隔離，同時(shí)如果需要可以對交換機(jī)進(jìn)行相關(guān)配置，實(shí)現(xiàn)部門間通信，配置動(dòng)態(tài)路由可以自動(dòng)更新企業(yè)網(wǎng)間路由變化，增強(qiáng)企業(yè)可擴(kuò)展性，兼容性，易操作性。HSRP功能的實(shí)現(xiàn)有效解決了鏈路問題，實(shí)現(xiàn)鏈路冗余，增加系統(tǒng)安全性，保證數(shù)據(jù)在一個(gè)核心交換機(jī)失效后，另一冗余路由接替其工作，保證鏈路暢通，數(shù)據(jù)安全高效運(yùn)行，實(shí)現(xiàn)熱備份，同時(shí)配置STP生成樹協(xié)議，隔離廣播風(fēng)暴，保證網(wǎng)絡(luò)暢通。IPsec VPN能夠高效連接總部與分公司，保證數(shù)據(jù)的安全性，同時(shí)企業(yè)內(nèi)部人員可以隨時(shí)隨地利用自己企業(yè)內(nèi)部賬號(hào)登錄內(nèi)部網(wǎng)，即使有效解決問題,同時(shí)通過GRE隧道技術(shù)，在互聯(lián)網(wǎng)傳播，有效節(jié)約成本，同時(shí)能夠保證安全性。ACL訪問控制列表的配置能夠有效保證企業(yè)安全，限制用戶登錄，保證企業(yè)網(wǎng)絡(luò)流量的分流，基于時(shí)間的ACL配置能夠有效避開網(wǎng)絡(luò)流量高峰，限制用戶分時(shí)對網(wǎng)絡(luò)進(jìn)行訪問，保證系統(tǒng)安全高效運(yùn)行。8 參考文獻(xiàn)[1] 胡勝紅,（第2版）[M]. 北京：人民郵電出版社，2008. R Hinden。Ed Nokia. Virtual Router Redundancy Protocol,2004.[2] 張衛(wèi),（第2版）[M]. 北京：清華大學(xué)出版社，2010. [3] 張保通,—路由、交換與遠(yuǎn)程訪問（第二版）[M]. 北京：.[4] 程光,李代強(qiáng),[M]. 北京：清華大學(xué)出版社,2010.[5] （第二版）[M]. 北京：清華大學(xué)出版社,2011.[6] 謝希仁 編著 .計(jì)算機(jī)網(wǎng)絡(luò)(第五版) [M]. 北京：電子工業(yè)出版社，2007.[7] 馮博琴,（第二版）[M]. 北京：清華大學(xué)出版社,2010.[8] [M]. 北京： 清華大學(xué)出版社，2011.[9] [M]. 北京：人民郵電出版社，2011.[10] [M]. 北京：人民郵電出版社，2011.[11] 張新有. 網(wǎng)絡(luò)工程技術(shù)與實(shí)驗(yàn)教程[M] ．北京：清華大學(xué)出版社，2005． [12] 楊威,、管理與維護(hù)[M]. 北京：人民郵電出版社，2009.[13] 張仕斌,陳麟,[M]. 北京： 人民郵電出版社,2009.[14] 韋有華，王成耀. 靜態(tài)路由熱備份及其負(fù)載均衡的研究[J]．計(jì)算機(jī)應(yīng)用，2004．[15] [M].北京：人民郵電出版社，2011.[16] Terri QuinnAndry,Kitty Haller. Designing campus networks . University of .[17] James D. McCabe. Practical puter network analysis and design . Morgan Kaufmann .9 致謝經(jīng)過這一段時(shí)間的努力和學(xué)習(xí)，畢業(yè)論文已經(jīng)基本完成，自己由于能力有限，支持匱乏，難免會(huì)有一些考慮不周全的地方，但有幸導(dǎo)師的幫助和引導(dǎo)，有同學(xué)朋友的關(guān)懷和支持，讓自己順利完成了畢業(yè)設(shè)計(jì)和論文。在畢業(yè)設(shè)計(jì)和論文的寫作過程中，王浩導(dǎo)師給予了自己很大的幫助，在這里我要鄭重的向老師說一聲謝謝，王浩老師平時(shí)工作比較忙，但是還是抽出時(shí)間給自己打電話，或者親身進(jìn)行輔導(dǎo)，給自己提供一些思路上的建議，給了自己構(gòu)思的方向，給了自己莫大的幫助，在他的親切關(guān)懷和耐心的指導(dǎo)下，我完成了自己的畢業(yè)設(shè)計(jì)和論文，這些成果與老師的辛勤付出是分不開的，王老師工作嚴(yán)謹(jǐn)?shù)膽B(tài)度值得我們學(xué)習(xí)。在這里我還要感謝那些幫助過我的同學(xué)，朋友們，謝謝他們的支持與幫助，還有感謝那些在網(wǎng)上分享自己成果的老師，朋友們，使他們給我更廣闊的視野，拓展了自己的思路，想到這里心里就無比的激動(dòng)，最后，我感謝軟件學(xué)院，和我的母校——南陽理工學(xué)院，是她給我了深造的機(jī)會(huì)，感謝她四年來對我的栽培，感謝父母和家人，謝謝你們，讓我以更加飽滿自信的姿態(tài)迎接新的明天!3