【正文】 。在加密認證中需要進行數(shù)據(jù)加密，身份認證等一系列操作，需要運用數(shù)字簽名等技術，全局啟用ISAKMP并定義對等體及其PSK（預共享密鑰），定義IKE策略，Ipsec 轉換集，基于ESP的加密等技術，在雙方配置了相應的策略和密鑰共享機制以后，才能夠實現(xiàn)異地的數(shù)據(jù)安全高效的傳輸[14]。如果想擴大企業(yè)園區(qū)的拓撲結構可以增加交換機的級聯(lián)，實現(xiàn)端口密度的擴充，增加相同結構，實現(xiàn)擴展，同時增加路由數(shù)量實現(xiàn)多級擴充，對設備的配置基本相同，最終實現(xiàn)了企業(yè)的良好的擴展性，增大園區(qū)規(guī)模，也保證了數(shù)據(jù)的高效傳輸。 Ipsec VPN配置圖如410所示：圖4–10 Ipsec VPN配置圖5 系統(tǒng)設計方案 系統(tǒng)設計總體需求本項目的實施目的是在企業(yè)內部建立穩(wěn)定，高效的辦公自動化網(wǎng)絡，通過項目的實施，為所有員工配桌面PC，使所有員工能夠通過總部網(wǎng)絡進入internet，從而提高所有員工的工作效率和加快企業(yè)內部信息的傳遞。同時需要建立WEB服務器，用于在互聯(lián)網(wǎng)上發(fā)布企業(yè)信息。在總部和子公司均設立專用發(fā)服務器，使集團內所有員工能夠利用服務器方便的訪問公共文件資源，并能夠完成企業(yè)內部郵件的收發(fā)。系統(tǒng)建立完成后，要求能滿足企業(yè)各方面的應用需求，包括辦公自動化，郵件收發(fā)，信息共享和發(fā)布，員工帳戶管理，系統(tǒng)安全管理等[15]。 系統(tǒng)的構架據(jù)企業(yè)的管理結構。本方案采用Windows系統(tǒng)提供的域模式來組織和管理全部系統(tǒng)資源，采用域的模式，不僅可以集中存儲網(wǎng)絡對象，并且管理簡單，即實現(xiàn)了集中管理，又可以滿足不同公司自身的安全需求。方案中將企業(yè)按單位劃分不同的模塊，企業(yè)總部作為域林的根，每個子公司，分部門為一個獨立的域或者域樹，形成一個完整的樹狀結構。采用這種結構，可以將網(wǎng)絡中的全部資源，分散到每個域的域控制器中存儲，減少了每臺域控制器的信息存儲，從而減少復制流量和網(wǎng)絡對象的查詢時間。 系統(tǒng)管理設計在系統(tǒng)設計時包括三個部分，分別是OU，用戶及組的設計，為了更好的滿足企業(yè)的需要，便于系統(tǒng)管理員方便管理企業(yè)中的所有用戶，系統(tǒng)管理結構與集團的管理結構相匹配，方案中采用了如下所述的設計。OU的設計企業(yè)的OU設計目的是為了使用用戶管理更有效率，結構更加清晰，并能夠使系統(tǒng)的管理結構與集團的商業(yè)模型相匹配。在本方案中按部門劃分OU的方法，將每個公司中以部門為單位創(chuàng)建OU，并在部門OU中保存該部門的用戶帳戶，計算機帳戶及組采用這種設計的方法，可以在系統(tǒng)管理中清楚的體現(xiàn)公司的管理結構，一般情況下，一個部門內部中的用戶常常有相似的安全需求，利用這樣的設計方法，也可以方便的將安全策略應用到某個部門。用戶管理為了規(guī)范用戶帳戶的管理，系統(tǒng)中所有的用戶采用統(tǒng)一的命名規(guī)范，每個用戶在網(wǎng)絡中擁有唯一的登陸名。用戶帳戶在所屬的部門的OU中創(chuàng)建。組的管理為了滿足集團用戶管理的需求，更好的在網(wǎng)絡中管理用戶權限的分配，使系統(tǒng)的管理得到最大的簡化，方案中采用AGDLP策略及AGUDLP策略。在每個域中創(chuàng)建全局組，用與組織本域的帳戶，在沒個域中創(chuàng)建域本地組，用于完成權限的指派。在本域內的權限的分配，可以使用AGDLP策略，在域間的權限分配，使得AGDLP策略，依次將用戶加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權限授予指定的域本地組，采用這樣的方式，不僅可以使用戶的組織和權限分配簡單，也可以減少域間的復制流量，從而提高系統(tǒng)的性能[16]。 系統(tǒng)的安全性設計在設計方案中，安全的設計主要分2個部分，首先是ISA Server的應用，通過ISA Server的配置，建立軟件防火墻，保護集團內部網(wǎng)絡不受外部用戶的攻擊，同時利用ISA Server提供的網(wǎng)站過濾功能和服務器發(fā)布功能，對企業(yè)內部用戶的上網(wǎng)行為進行規(guī)范，并能保障服務器的安全使用。其次，在方案設計中，充分應用Window系統(tǒng)提供的組策略功能，利用組策略，可以在每個公司的域中設計安全策略。防止用戶進行非授權的訪問，保護用戶在工作環(huán)境不受破壞。具體的設計方案如下：ISA Server：ISA Server是微軟公司出品的軟件防火墻代理服務器產品，它不僅可以起到代理服務器的緩存作用，也能實現(xiàn)防火墻的功能，通過軟件防火墻上設置過濾規(guī)則，可以控制內部用戶對網(wǎng)站的訪問，同時利用其提供的服務器發(fā)布功能，也可以將企業(yè)內部的服務器發(fā)布到Internet上，提供互聯(lián)網(wǎng)的訪問，在本方案的設計中，主要利用了網(wǎng)站過濾和服務器發(fā)布的功能，在集團中心即房安裝和配置ISA服務器，繼承防火墻功能和代理服務器的功能，將集團總部及子公司的WEB服務器及MAIL服務器發(fā)布到互聯(lián)網(wǎng)上。集團中所有的客戶端做為ISA的客戶端，所有的互聯(lián)網(wǎng)的訪問均通過ISA服務器轉發(fā)，這樣，就可以在ISA服務器上對所有網(wǎng)絡流量進行監(jiān)控并對實現(xiàn)網(wǎng)絡訪問的過濾。防火墻功能：ISA服務器位于企業(yè)網(wǎng)絡和外網(wǎng)之間，采用三網(wǎng)卡分別連接內網(wǎng)和外網(wǎng)和DZM區(qū)，充分利用防火墻的角色，并利用網(wǎng)站和內容規(guī)則來限制用戶能夠訪問的網(wǎng)站。同時，總部與分公司之間采用Ipsec VPN基于GRE隧道技術進行聯(lián)絡，增加了安全性，提高了效率，各部門間換分不同的VLAN ,保證數(shù)據(jù)的高效安全性，STP生成樹協(xié)議防止廣播風暴發(fā)生，HSRP保證企業(yè)數(shù)據(jù)高效傳輸，實現(xiàn)設備冗余備份。服務器發(fā)布：利用ISA服務器將企業(yè)中的郵件和WEB服務器發(fā)布到互聯(lián)網(wǎng)上，保證外部用戶可以訪問公司的WEB服務器，并將公司用戶可以與外部客戶利用郵件交換信息?？蛻舳耍涸谒杏脩粲嬎銠C上安裝ISA客戶端軟件，并配置瀏覽器使用ISA Server作為代理服務器上網(wǎng)[17]。安全策略：在Windows系統(tǒng)中的域模式下，安全策略是保護系統(tǒng)及用戶在工作環(huán)境不被破壞的重要工具，在本方案中采用了組策略這個工具對全部系統(tǒng)提供安全保護，由于集團各個子公司采用獨立的管理模式，所以在每個域中單獨設置組策略，并使組策略應用到每個域中的用戶和計算機。各個子公司的系統(tǒng)管理員可以獨立的管理子公司的域，并可以在以后修改和編輯組策略，以適應公司未來的需求。在本方案中，根據(jù)集團的目前的需求，建立了基本的組策略：(1)密碼長度最小值為7(2)密碼最長存留期為30天(3)密碼過期期限為50天(4)帳戶鎖定閥值為5次無效登陸(5)啟動密碼必須符合復雜性需求策略6 測試和驗證規(guī)則有效性 HSRP功能模塊測試在拓撲設備上配置完熱備份協(xié)議以后，進行相應的功能測試，測試其能夠實現(xiàn)雙機熱備，實現(xiàn)鏈路的冗余備份，經過測試成功實現(xiàn)HSRP功能。配置成成功測試圖如61所示：圖6–1 HSRP配置成功測試圖 圖6–2 HSRP配置成功測試圖 HSRP協(xié)議配置成功后，無論從從屬于哪個部門的VLAN中對網(wǎng)絡進行測試，比如連接互聯(lián)網(wǎng)，都可以ping通，上圖為，不同部門的用戶主機1和2分別對網(wǎng)絡進行測試，即使一個核心交換機出現(xiàn)故障，依然能夠保證網(wǎng)絡的暢通，數(shù)據(jù)傳輸正常。 IPsec VPN 功能模塊測試Ipsec VPN測試成功圖如63所示：圖6–3 Ipsec VPN測試成功圖基于ESP加密的抓包圖如64所示：圖6–4Ipsec VPN測試成功圖 IPsec VPN 配置完成以后，采用了GRE隧道模式，全局啟用ISAKMP并定義對等體及其PSK（預共享密鑰），定義IKE策略，Ipsec 轉換集，基于ESP的加密等技術，實現(xiàn)網(wǎng)絡傳輸?shù)陌踩煽?，子公司和總部的高效連接。7 結束語本文詳細介紹了關于企業(yè)網(wǎng)設計與優(yōu)化的相關步驟，對于一個企業(yè)的布局和規(guī)劃簡要做了說明，對各功能模塊盡顯了相關概述。本系統(tǒng)主要具有以下特色和功能：對企業(yè)網(wǎng)布局以及用材進行了相關概述，對于子網(wǎng)劃分，部門IP配置作了具體分配，基本功能完善，結構合理，運行簡單易操作。實現(xiàn)VLAN間隔離，同時如果需要可以對交換機進行相關配置，實現(xiàn)部門間通信，配置動態(tài)路由可以自動更新企業(yè)網(wǎng)間路由變化，增強企業(yè)可擴展性，兼容性，易操作性。HSRP功能的實現(xiàn)有效解決了鏈路問題，實現(xiàn)鏈路冗余，增加系統(tǒng)安全性，保證數(shù)據(jù)在一個核心交換機失效后，另一冗余路由接替其工作，保證鏈路暢通，數(shù)據(jù)安全高效運行，實現(xiàn)熱備份，同時配置STP生成樹協(xié)議，隔離廣播風暴，保證網(wǎng)絡暢通。IPsec VPN能夠高效連接總部與分公司，保證數(shù)據(jù)的安全性，同時企業(yè)內部人員可以隨時隨地利用自己企業(yè)內部賬號登錄內部網(wǎng)，即使有效解決問題,同時通過GRE隧道技術，在互聯(lián)網(wǎng)傳播，有效節(jié)約成本，同時能夠保證安全性。ACL訪問控制列表的配置能夠有效保證企業(yè)安全，限制用戶登錄，保證企業(yè)網(wǎng)絡流量的分流，基于時間的ACL配置能夠有效避開網(wǎng)絡流量高峰，限制用戶分時對網(wǎng)絡進行訪問，保證系統(tǒng)安全高效運行。8 參考文獻[1] 胡勝紅,（第2版）[M]. 北京：人民郵電出版社，2008. R Hinden。Ed Nokia. Virtual Router Redundancy Protocol,2004.[2] 張衛(wèi),（第2版）[M]. 北京：清華大學出版社，2010. [3] 張保通,—路由、交換與遠程訪問（第二版）[M]. 北京：.[4] 程光,李代強,[M]. 北京：清華大學出版社,2010.[5] （第二版）[M]. 北京：清華大學出版社,2011.[6] 謝希仁 編著 .計算機網(wǎng)絡(第五版) [M]. 北京：電子工業(yè)出版社，2007.[7] 馮博琴,（第二版）[M]. 北京：清華大學出版社,2010.[8] [M]. 北京： 清華大學出版社，2011.[9] [M]. 北京：人民郵電出版社，2011.[10] [M]. 北京：人民郵電出版社，2011.[11] 張新有. 網(wǎng)絡工程技術與實驗教程[M] ．北京：清華大學出版社，2005． [12] 楊威,、管理與維護[M]. 北京：人民郵電出版社，2009.[13] 張仕斌,陳麟,[M]. 北京： 人民郵電出版社,2009.[14] 韋有華，王成耀. 靜態(tài)路由熱備份及其負載均衡的研究[J]．計算機應用，2004．[15] [M].北京：人民郵電出版社，2011.[16] Terri QuinnAndry,Kitty Haller. Designing campus networks . University of .[17] James D. McCabe. Practical puter network analysis and design . Morgan Kaufmann .9 致謝經過這一段時間的努力和學習，畢業(yè)論文已經基本完成，自己由于能力有限，支持匱乏，難免會有一些考慮不周全的地方，但有幸導師的幫助和引導，有同學朋友的關懷和支持，讓自己順利完成了畢業(yè)設計和論文。在畢業(yè)設計和論文的寫作過程中，王浩導師給予了自己很大的幫助，在這里我要鄭重的向老師說一聲謝謝，王浩老師平時工作比較忙，但是還是抽出時間給自己打電話，或者親身進行輔導，給自己提供一些思路上的建議，給了自己構思的方向，給了自己莫大的幫助，在他的親切關懷和耐心的指導下，我完成了自己的畢業(yè)設計和論文，這些成果與老師的辛勤付出是分不開的，王老師工作嚴謹?shù)膽B(tài)度值得我們學習。在這里我還要感謝那些幫助過我的同學，朋友們，謝謝他們的支持與幫助，還有感謝那些在網(wǎng)上分享自己成果的老師，朋友們，使他們給我更廣闊的視野，拓展了自己的思路，想到這里心里就無比的激動，最后，我感謝軟件學院，和我的母校——南陽理工學院，是她給我了深造的機會，感謝她四年來對我的栽培，感謝父母和家人，謝謝你們，讓我以更加飽滿自信的姿態(tài)迎接新的明天!3