【正文】 是采用兩臺(tái)路由雙線接入負(fù)載均衡，都在路由端口上做nat轉(zhuǎn)換節(jié)約ip地址。四臺(tái)CISCO WSC3750G24TSS 做雙機(jī)熱備（兩臺(tái)總部?jī)膳_(tái)分部，可擴(kuò)展），根據(jù)當(dāng)前貴公司的人數(shù)需求，我們用四臺(tái)WSC296048TTL二層交換機(jī)（可擴(kuò)展）做vlan劃分。用Cisco 專有熱備份路由協(xié)議技術(shù)，根據(jù)需求配置成多組HSRP；同時(shí)雙機(jī)還可以做負(fù)載均衡。這樣設(shè)計(jì)不但保證網(wǎng)絡(luò)的高可用性和穩(wěn)定性，還能夠充分利用現(xiàn)有設(shè)備的資源，以避免單臺(tái)核心設(shè)備的負(fù)載太重而導(dǎo)致的網(wǎng)絡(luò)性能問(wèn)題。如上圖所示，這是總部?jī)?nèi)網(wǎng)的架構(gòu)，整體網(wǎng)絡(luò)可以根據(jù)功能劃分為總部核心網(wǎng)絡(luò)、內(nèi)聯(lián)接入包括辦公網(wǎng)絡(luò)，各部門(mén)相對(duì)獨(dú)立，通過(guò)核心網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的交互。各部門(mén)可以各自建立相互通訊，各部門(mén)的網(wǎng)絡(luò)安全體系，可以有獨(dú)立的安全策略、數(shù)據(jù)流量控制等個(gè)體的特性，而需要和其他區(qū)域的設(shè)備進(jìn)行通訊的時(shí)候，則必須遵守核心網(wǎng)絡(luò)區(qū)的策略。.12在這里，我們對(duì)總公司的實(shí)際情況考慮，在總公司和分公司之間建立PPP專線連接，讓分公司和總司可以進(jìn)行安全的數(shù)據(jù)交換，對(duì)于虛擬分部（可擴(kuò)展），我們根據(jù)距離和施工的情況建立PPP專線或者VPN，來(lái)進(jìn)行對(duì)數(shù)據(jù)的保護(hù)和有效傳輸，對(duì)于在外出差員工我們用easyVPN的方式來(lái)讓外部員工進(jìn)行內(nèi)部連接 網(wǎng)絡(luò)層次化設(shè)計(jì)隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)絡(luò)需求量的不斷增長(zhǎng)，分布式的網(wǎng)絡(luò)服務(wù)和交換已經(jīng)移至用戶級(jí)，由此形成了一個(gè)新的、更適應(yīng)現(xiàn)代的高速大型網(wǎng)絡(luò)的分層設(shè)計(jì)模型。我們將采用層次化網(wǎng)絡(luò)設(shè)計(jì)，構(gòu)建高效、可靠、安全的網(wǎng)絡(luò)。多層網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)能最有效地利用多種業(yè)務(wù)，包括負(fù)載分擔(dān)和故障恢復(fù)等。在多層網(wǎng)絡(luò)中運(yùn)用智能多業(yè)務(wù)可以大大減少因配置不當(dāng)或故障設(shè)備引起的一般問(wèn)題。多層模式使網(wǎng)絡(luò)的移植更為簡(jiǎn)單易行，因?yàn)樗Ａ袅嘶诼酚善骱徒粨Q機(jī)的網(wǎng)絡(luò)原有的尋址方案，對(duì)以往的網(wǎng)絡(luò)有很好的兼容性。另外分層結(jié)構(gòu)也能夠?qū)W(wǎng)絡(luò)的故障進(jìn)行很好的隔離。 核心層為網(wǎng)絡(luò)提供骨干組件或高速交換組件，高效速度傳輸是核心層的目標(biāo)。核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,骨干層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高速的傳輸。核心層具有如下幾個(gè)特性：高可靠性、提供冗余、提供容錯(cuò)、能夠迅速適應(yīng)網(wǎng)絡(luò)變化、低延時(shí)、可管理性良好、網(wǎng)絡(luò)直徑限定和網(wǎng)絡(luò)直徑一致。當(dāng)網(wǎng)絡(luò)中使用路由器時(shí)，從網(wǎng)絡(luò)中的一個(gè)終端到另一個(gè)終端經(jīng)過(guò)的路由器的數(shù)目稱為網(wǎng)絡(luò)的“直徑”。在一個(gè)層次化網(wǎng)絡(luò)中，應(yīng)該具有一致的網(wǎng)絡(luò)直徑。也就是說(shuō)，通過(guò)網(wǎng)絡(luò)主干從任意一個(gè)終端到另一個(gè)終端經(jīng)過(guò)的路由器的數(shù)目是一樣的，從網(wǎng)絡(luò)上任一終端到主干上的服務(wù)器的距離也應(yīng)該是一樣的。限定網(wǎng)絡(luò)的直徑，能夠提供可預(yù)見(jiàn)的性能，.13排除故障也容易一些。分布層路由器和相連接的局域網(wǎng)可以在不增加網(wǎng)絡(luò)直徑的前提下加入網(wǎng)絡(luò)，因?yàn)樗鼈儾挥绊懺械恼军c(diǎn)的通信。在核心層中，網(wǎng)絡(luò)的控制功能最好盡量少在骨干層上實(shí)施。核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以我們對(duì)核心層的設(shè)計(jì)以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格。核心層設(shè)備將占投資的主要部分。我們將采用高帶寬的千兆級(jí)交換機(jī)，充當(dāng)核心層設(shè)備。因?yàn)楹诵膶邮蔷W(wǎng)絡(luò)的樞紐部分，網(wǎng)絡(luò)流量最大，因此需要提供高帶寬。 匯聚層是核心層和終端用戶接入層的分界面，訪問(wèn)層的匯接點(diǎn)，用于分隔訪問(wèn)層的不同網(wǎng)絡(luò)拓?fù)洌?shí)現(xiàn)網(wǎng)絡(luò)的聚合與流量的收斂。匯聚層完成網(wǎng)絡(luò)訪問(wèn)的策略控制、廣播域的定義、VLAN間的路由、數(shù)據(jù)包處理、過(guò)濾尋址及其他數(shù)據(jù)處理的任務(wù)。一般采用中端設(shè)備。 匯聚層是連接接入層和核心層的網(wǎng)絡(luò)設(shè)備,為接入層提供數(shù)據(jù)的匯聚\傳輸\管理\分,如地址合并,協(xié)議過(guò)濾,路由服務(wù),認(rèn)證管理(如VLAN)聚層同時(shí)也可以提供接入層虛擬網(wǎng)之間的互連,控制和限制接入層對(duì)核心層的訪問(wèn),保證核心層的安全和穩(wěn)定。匯聚層設(shè)計(jì)為連接本地的邏輯中心，仍需要較高的性能和比較豐富的功能。 匯聚層設(shè)備一般采用可管理的三層交換機(jī)或堆疊式交換機(jī)以達(dá)到帶寬和傳輸性能的要求。其設(shè)備性能較好，但價(jià)格高于接入層設(shè)備，而且對(duì)環(huán)境的要求也較高，對(duì)電磁輻射、溫度、濕度和空氣潔凈度等都有一定的要求。匯聚層設(shè)備之間以及匯聚層設(shè)備與核心層設(shè)備之間多采用光纖互聯(lián)，以提高系統(tǒng)的傳輸性能和吞吐量。一般來(lái)說(shuō)，用戶訪問(wèn)控制會(huì)安排在接入層，但這并非絕對(duì)，也可以安排在匯聚層進(jìn)行。在匯聚層實(shí)現(xiàn)安全控制和身份認(rèn)證時(shí)，采用的是集中式的管理模式。 當(dāng)網(wǎng)絡(luò)規(guī)模較大時(shí)，可以設(shè)計(jì)綜合安全管理策略，例如在接入層實(shí)現(xiàn)身份認(rèn)證和MAC地址綁定，在匯聚層實(shí)現(xiàn)流量控制和訪問(wèn)權(quán)限約束。 接入層向本地網(wǎng)段提供用戶接入、主要提供網(wǎng)絡(luò)分段、廣播能力、多播能力、介質(zhì)訪問(wèn)的安全性、MAC地址的過(guò)濾和路由發(fā)現(xiàn)等任務(wù)。接入層通常指網(wǎng)絡(luò)中直接面向用戶連接或訪問(wèn)的部分。接入層目的是允許終端用戶連接到網(wǎng)絡(luò)，因此在接入層我們將采用具有低成本和高端口密度特性的交換機(jī)。接入交換機(jī)是最常見(jiàn)的交換機(jī)，它直接與外網(wǎng)聯(lián)系，使用最廣泛，尤其是在一般辦公室、小型機(jī)房和業(yè)務(wù)受理較為集中的業(yè)務(wù)部門(mén)、多媒體制作中心、網(wǎng)站管理中心等部門(mén)。在傳輸.14速度上，現(xiàn)代接入交換機(jī)大都提供多個(gè)具有10M/100M/1000M自適應(yīng)能力的端口。 　　在接入層是最終用戶(員工) 與網(wǎng)絡(luò)的接口，它應(yīng)該提供即插即用的特性，同時(shí)應(yīng)該非常易于使用和維護(hù)。當(dāng)然我們也應(yīng)該考慮端口密度的問(wèn)題接入層由無(wú)線網(wǎng)卡、AP和L2Switch組成，按照寬帶網(wǎng)絡(luò)的定義，接入層的主要功能是完成用戶流量的接入和隔離。對(duì)于無(wú)線局域網(wǎng)WLAN用戶，用戶終端通過(guò)無(wú)線網(wǎng)卡和無(wú)線接入點(diǎn)AP完成用戶接入?！　〗尤雽咏粨Q機(jī)一般用于直接連接電腦，具有低成本和高端口密度特性。接入層交換機(jī)端口的input 指服務(wù)器向交換機(jī)端口發(fā)送的數(shù)據(jù)，即是服務(wù)器發(fā)送出去的數(shù)據(jù)。接入層交換機(jī)端口的output 指交換機(jī)端口向服務(wù)器傳輸?shù)臄?shù)據(jù)，即是服務(wù)器收到的數(shù)據(jù)。 核心層設(shè)計(jì)核心交換區(qū)的作用是高效速度傳輸數(shù)據(jù)，是所有流量的最終承受者和匯聚者，推薦使用高端設(shè)備。我們推薦使用Cisco Catalyst 3750三臺(tái)三層交換機(jī)為網(wǎng)絡(luò)提供可靠、高速、安全的服務(wù)。3750系列交換機(jī)是一個(gè)創(chuàng)新的產(chǎn)品系列，它結(jié)合業(yè)界領(lǐng)先的易用性和最高的冗余性，里程碑地提升了堆疊式交換機(jī)在局域網(wǎng)中的工作效率。這個(gè)產(chǎn)品系列采用了最新的思科StackWise智能堆疊技術(shù)，不但實(shí)現(xiàn)高達(dá)32Gbps的堆疊互聯(lián)，還從物理上到邏輯上使若干獨(dú)立交換機(jī)在堆疊時(shí)集成在一起，便于用戶建立一個(gè)統(tǒng)一、高度靈活的交換系統(tǒng) 就好像是一整臺(tái)交換機(jī)一樣。這代表了堆疊式交換機(jī)新的工業(yè)技術(shù)水平和標(biāo)準(zhǔn)。3750系列最多可以將9個(gè)交換機(jī)堆疊在一起，構(gòu)成一個(gè)統(tǒng)一的邏輯單元，其中總共包含468個(gè)以太網(wǎng)或以太網(wǎng)供電10/100端口或者252個(gè)以太網(wǎng)10/100/1000端口、或9個(gè)10GB以太網(wǎng)端口。各個(gè)10/100、10/100/1000和10Gb以太網(wǎng)單元可以根據(jù)網(wǎng)絡(luò)的需要任意組合。3750系列可以使用標(biāo)準(zhǔn)多層軟件鏡像（SMI）或者增強(qiáng)多層軟件鏡像（EMI）。SMI功能集包括先進(jìn)的服務(wù)質(zhì)量（QoS）、速率限制、訪問(wèn)控制列表（ACL）和基本的靜態(tài)和路由信息協(xié)議（RIP）路由功能。EMI可以提供一組更加豐富的企業(yè)級(jí)功能，包括先進(jìn)的、基于硬件的IP單播和組播路由。 接入層設(shè)計(jì)接入層交換機(jī)采用思科的 WSC2960 系列的二層交換機(jī)以千兆以太鏈路和匯聚交換機(jī)相連接，并為員工終端提供 10/100M 自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。接入層交換機(jī)一般用于直接連接辦公系統(tǒng)，具有低成本和高端口密度特性。接入層.15交換機(jī)端口的 input 指服務(wù)器向交換機(jī)端口發(fā)送的數(shù)據(jù)，即是服務(wù)器發(fā)送出去的數(shù)據(jù)。接入層交換機(jī)端口的 output 指交換機(jī)端口向服務(wù)器傳輸?shù)臄?shù)據(jù)，即是服務(wù)器收到的數(shù)據(jù)。我們?cè)诤诵膶雍蛥R聚層的設(shè)計(jì)中主要考慮的是網(wǎng)絡(luò)性能和功能性要高，那么我們?cè)诮尤雽釉O(shè)計(jì)上主張使用性能價(jià)格比高的設(shè)備。接入層是最終用戶(員工) 與網(wǎng)絡(luò)的接口，它應(yīng)該提供即插即用的特性，同時(shí)應(yīng)該非常易于使用和維護(hù)。當(dāng)然我們也考慮端口密度的問(wèn)題。 內(nèi)聯(lián)接入內(nèi)聯(lián)接入的作用是用于連接北京總部和北京分部。我們推薦使用兩臺(tái)Cisco 2821系列路由器完成此項(xiàng)功能。由于總部網(wǎng)絡(luò)和分部機(jī)房屬于公司的內(nèi)部網(wǎng)絡(luò)的一部分，因此我們將著重重視數(shù)據(jù)的安全性、可靠性。Cisco 2821系列具有以下功能： 集成語(yǔ)音留言 范圍廣泛的話音接口 支持 SRST, 分支機(jī)構(gòu)可利用集中呼叫控制, 并通過(guò)SRST冗余性為IP電話經(jīng)濟(jì)有效地提供本地 分支機(jī)構(gòu)備份Cisco 2821還支持QOS，包含網(wǎng)絡(luò)擴(kuò)展性，具有內(nèi)置防火墻功能，提高內(nèi)部網(wǎng)絡(luò)的安全性、可靠性。第4章 路由設(shè)計(jì) 路由協(xié)議選擇OSPF全稱為開(kāi)放式最短路徑優(yōu)先協(xié)議（Open ShortestPath First），OSPF采用鏈路狀態(tài)協(xié)議算法，每個(gè)路由器維護(hù)一個(gè)相同的鏈路狀態(tài)數(shù)據(jù)庫(kù)，保存整個(gè)AS的拓?fù)浣Y(jié)構(gòu)。一旦每個(gè)路由器有了完整的鏈路狀態(tài)數(shù)據(jù)庫(kù)。對(duì)于大型的網(wǎng)絡(luò)，為了進(jìn)一步減少路由協(xié)議通信流量，利于管理和計(jì)算，OSPF將整個(gè)AS劃分為若干個(gè)區(qū)域，區(qū)域內(nèi)的路由器維護(hù)一個(gè)相同的鏈路狀態(tài)數(shù)據(jù)庫(kù)，保存該區(qū)域的拓?fù)浣Y(jié)構(gòu)。 OSPF支持各種不同鑒別機(jī)制，并且允許各個(gè)系統(tǒng)或區(qū)域采用互不相同的鑒別機(jī)制；提供負(fù)載均衡功能；OSPF屬動(dòng)態(tài)的自適應(yīng)協(xié)議，對(duì)于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速地做出反應(yīng)，進(jìn)行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比，OSPF在對(duì)網(wǎng)絡(luò)拓?fù)渥兓奶幚磉^(guò)程中僅需要最少的通信流量；OSPF提供點(diǎn)到多點(diǎn)接口，支持無(wú)類型域間路由地址。.16 路由規(guī)劃拓?fù)鋱D IP 地址規(guī)劃標(biāo)識(shí)網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)。IP 地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。我們根據(jù)以下幾個(gè)原則來(lái)分配IP 地址：唯一性：一個(gè)IP 網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP 地址簡(jiǎn)單性：地址分配應(yīng)簡(jiǎn)單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡(jiǎn)化路由表的款項(xiàng)連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路由總結(jié)(RouterSummarization)，大大縮減路由表，提高路由算法的效率可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址總結(jié)所需的連續(xù)性靈活性：地址分配應(yīng)具有靈活性，可借助可變長(zhǎng)子網(wǎng)掩碼技術(shù)(VLSM VariableLength Sub Mask)，以滿足多種路由策略的優(yōu)化，充分利用地址空間。Vlan的劃分：總部 Vlan 虛擬ip銷售部 Vlan10 財(cái)務(wù)部 Vlan20 人事部 Vlan30 .17網(wǎng)絡(luò)部 Vlan40 市場(chǎng)部 Vlan50 經(jīng)理 Vlan60 IP地址的劃分:總部 Ip地址 子網(wǎng)銷售部 財(cái)務(wù)部 人事部 網(wǎng)絡(luò)部 市場(chǎng)部 經(jīng)理 第 5 章 網(wǎng)絡(luò)安全解決方案 網(wǎng)絡(luò)邊界安全威脅分析把 不 同 安 全 級(jí) 別 的 網(wǎng) 絡(luò) 相 連 接 ， 就 產(chǎn) 生 了 網(wǎng) 絡(luò) 邊 界 。 防 止 來(lái) 自 網(wǎng) 絡(luò) 外 界 的 入 侵 就要 在 網(wǎng) 絡(luò) 邊 界 上 建 立 可 靠 的 安 全 防 御 措 施 。 非 安 全 網(wǎng) 絡(luò) 互 聯(lián) 帶 來(lái) 的 安 全 問(wèn) 題 與 網(wǎng) 絡(luò) 內(nèi)部 的 安 全 問(wèn) 題 是 截 然 不 同 的 ， 主 要 的 原 因 是 攻 擊 者 不 可 控 ， 攻 擊 是 不 可 溯 源 的 ， 也 沒(méi)有 辦 法 去 “封 殺 ”。一 般 來(lái) 說(shuō) 網(wǎng) 絡(luò) 邊 界 上 的 安 全 問(wèn) 題 主 要 有 下 面 幾 個(gè) 方 面 ：、 信 息 泄 密 ： 網(wǎng) 絡(luò) 上 的 資 源 是 可 以 共 享 的 ， 但 沒(méi) 有 授 權(quán) 的 人 得 到 了 他 不 該 得 到的 資 源 ， 信 息 就 泄 露 了 。 一 般 信 息 泄 密 有 兩 種 方 式 ： 攻 擊 者 (非 授 權(quán) 人 員 )進(jìn) 入 了 網(wǎng) 絡(luò) ， 獲 取 了 信 息 ， 這 是 從 網(wǎng) 絡(luò) 內(nèi) 部 的 泄 密 合 法 使 用 者 在 進(jìn) 行 正 常 業(yè) 務(wù) 往 來(lái) 時(shí) ， 信 息 被 外 人 獲 得 ， 這 是 從 網(wǎng) 絡(luò) 外 部 的 泄 密 我 們 給 貴 公 司 設(shè) 計(jì) 的 各 部 門(mén) 之 間 的 vlan 劃 分 ， 不 同 的 vlan 之 間 不 能 隨 意 的 訪問(wèn) ， 我 們 會(huì) 設(shè) 計(jì) 權(quán) 限 和 密 碼 才 能 訪 問(wèn) 。、 入 侵 者 的 攻 擊 ： 互 聯(lián) 網(wǎng) 是 世 界 級(jí) 的 大 眾 網(wǎng) 絡(luò) ， 網(wǎng) 絡(luò) 上 有 各 種 勢(shì) 力 與 團(tuán) 體 。 入侵 就 是 有 人 通 過(guò) 互 聯(lián) 網(wǎng) 進(jìn) 入 你 的 網(wǎng) 絡(luò) (或 其 他 渠 道 )， 篡 改 數(shù) 據(jù) ， 或 實(shí) 施 破 壞 行 為 ， 造成 你 網(wǎng) 絡(luò) 業(yè) 務(wù) 的 癱 瘓 ， 這 種 攻 擊 是 主 動(dòng) 的 、 有 目 的 、 甚 至 是 有 組 織 的 行 為 。我 們 給 貴 公 司 設(shè) 計(jì) 的 pix 防 火 墻 能 設(shè) 計(jì) 策 略 ， 規(guī) 定 可 以 訪 問(wèn) 的 服 務(wù) ， 哪 些 人 可 以訪 問(wèn) ， 防 止 一 些 不 必 要 的 入 侵 攻 擊 。 .1 網(wǎng) 絡(luò) 病 毒 ： 與 非 安 全 網(wǎng) 絡(luò) 的 業(yè) 務(wù) 互 聯(lián) ， 難 免 在 通 訊 中 帶 來(lái) 病 毒 ， 一 旦 在 你 的網(wǎng) 絡(luò) 中 發(fā) 作 ， 業(yè) 務(wù) 將 受 到 巨 大 沖 擊 ， 病 毒 的 傳 播 與 發(fā) 作 一 般 有 不 確 定 的 隨 機(jī) 特 性 。這 是 “無(wú) 對(duì) 手 ”、 “無(wú) 意 識(shí) ”的 攻 擊 行 為 。 我 們 為