【導(dǎo)讀】在網(wǎng)絡(luò)全球化的今天，企業(yè)網(wǎng)建設(shè)也迎來的新的挑戰(zhàn)，在網(wǎng)絡(luò)設(shè)計，提高。應(yīng)用性，流量控制和安全方面提出了更高的要求。網(wǎng)絡(luò)的實用性、安全性與拓展性是企?；贖SRP熱備份，各部門間VLAN的劃分，STP生成樹。置能夠有效解決這些問題。在規(guī)劃好的企業(yè)拓撲上，對設(shè)備進行相關(guān)技術(shù)的運用后，使。企業(yè)實現(xiàn)了數(shù)據(jù)安全高效的傳輸以及流量的合理分配，達到企業(yè)優(yōu)化目的。HSRP熱備份技術(shù)介紹.........

　　

【正文】 自由環(huán)形拓撲結(jié)構(gòu)。 生成樹配置圖如 48 所示： 企業(yè)網(wǎng)設(shè)計與優(yōu)化 20 圖 4– 8 生成樹協(xié)議配置圖 IPsec VPN 功能模塊 IPsec VPN 通過 Inter 建立了一個通訊的隧道，通過這個通訊的隧道，就可以建立起網(wǎng)絡(luò)的連接。如果兩個設(shè)備都有合法的公網(wǎng) IP，那么建立一個隧道是比較容易的。如果一方在 nat 之后，那就比較羅嗦了。一般通過內(nèi)部的 vpn 節(jié)點發(fā)起一個 udp 連接，再封裝一次 ipsec，送到對方，因為 udp 可以通過防火墻進行記憶，因此通過 udp 再封裝的 ipsec 包，可以通過防火墻來回傳遞。 設(shè)計中采用了 GRE隧道模式，全局啟用 ISAKMP并定義對等體及其 PSK（預(yù)共享密鑰） ，定義 IKE 策略， Ipsec 轉(zhuǎn)換集，基于 ESP 的加密等技術(shù)，實現(xiàn)網(wǎng)絡(luò)傳輸?shù)陌踩煽?，子公司和總部的高效連接。 具體配置命令如下： R1 配置 R1(config) int f0/0 R1(configif) ip add R1(configif) no shut R1(configif) int s0/0 R1(configif) ip add R1(configif) clock rate 56000 R1(configif) no shut R1(config) int tunnel 0 企業(yè)網(wǎng)設(shè)計與優(yōu)化 21 R1(configif) ip add R1(configif) tunnel sour s0/0 R1(configif) tunnel destination R1(configif) tunnel mode gre ip R1(configif) no shut R1(configif) exit 定義感興趣的流量和路由協(xié)議： R1(config) accesslist 100 permit gre host host R1(config) ip route s0/0 R1(config) ip route s0/0 全局啟用 ISAKMP 并定義對等體及其 PSK（預(yù)共享密鑰） R1(config) crypto isakmp enable R1(config) crypto isakmp key 911ab address 定義 IKE 策略 R1(config) crypto isakmp policy 10 R1(configisakmp) encryption aes 128 R1(configisakmp) hash sha R1(configisakmp) authentication preshare R1(configisakmp) group 2 R1(configisakmp) lifetime 3600 R1(config) exit 定義 IPsec 轉(zhuǎn)換集 R1(config) crypto ipsec transformset tt espaes 128 espshahmac R1(cfgcryptotrans) mode trunnel R1(cfgcryptotrans) exit 定義 crypto map 并應(yīng)用在接口上 R1(config) crypto map cisco 10 ipsecisakmp R1(configcryptomap) match address 100 R1(configcryptomap) set peer R1(configcryptomap) set transformset tt R1(configcryptomap) exit R1(config) int s0/0 R1(config) crypto map cisco R1(config) end 命令配置完成以后，在子公司路由器 R2 上邊進行相應(yīng)的配置，由此通過互聯(lián)網(wǎng)建立起來基于 GRE 與 IPsec VPN 結(jié)合的隧道技術(shù) ，保證公司內(nèi)部的數(shù)據(jù)通過互聯(lián)網(wǎng)能夠安全有效的傳輸，隧道通過 ESP 加密， GRE 隧道本身不帶安全特性，可以通過結(jié)合基于 PSK的 IPsec 來實現(xiàn)安全功能，全局啟用 ISAKMP 并定義對等體及其 PSK 設(shè)置了與子公司之間約定的預(yù)共享密鑰技術(shù)，定義 IKE 策略設(shè)置了加密方式和生存時間限制，定義 IPsec 轉(zhuǎn)換集才能實現(xiàn)上述的配置功能，最后通過把定義的 crypro map 應(yīng)用在接口上實現(xiàn)子公司與總公司之間的連接。同時兩個公司基于隧道配置相應(yīng)的 IP 地址保證了通過互聯(lián)網(wǎng)傳輸?shù)陌踩?。在實現(xiàn) VPN 技術(shù)的上有多種安全策略可以應(yīng)用 ，還可以實現(xiàn)不同的隧道技術(shù)，采用不同的加密算法實現(xiàn)數(shù)據(jù)的加密，在配置過程當中必須注意對應(yīng)路由之間的數(shù)據(jù)配置的一致性，做到對性的配置，否則會出現(xiàn)網(wǎng)絡(luò)連接失敗的結(jié)果，只是實驗配置不能成功，需靈活掌握其中的細節(jié)配置問題，最終實現(xiàn)總部與分公司之間的數(shù)據(jù)的安全高效傳輸，具體網(wǎng)絡(luò)拓撲圖如下。 IPsec VPN 功能模塊拓撲圖如 49 所示： 企業(yè)網(wǎng)設(shè)計與優(yōu)化 22 圖 4– 9 Ipsec VPN 拓撲圖 在總部與分公司的連接通信中，為了保證通信的安全高效性，使 用了 IPsec VPN 技術(shù)來實現(xiàn)異地的通信，通過互聯(lián)網(wǎng)傳輸，為自己建立一條隧道，使用 GRE 隧道技術(shù)，采用了 IPsec VPN 的封裝協(xié)議，使用加密算法，身份認證及共享密鑰機制，實現(xiàn)了公司各部門之間數(shù)據(jù)的安全傳輸。在加密認證中需要進行數(shù)據(jù)加密，身份認證等一系列操作，需要運用數(shù)字簽名等技術(shù)，全局啟用 ISAKMP 并定義對等體及其 PSK（預(yù)共享密鑰），定義 IKE 策略， Ipsec 轉(zhuǎn)換集，基于 ESP 的加密等技術(shù)，在雙方配置了相應(yīng)的策略和密鑰共享機制以后，才能夠?qū)崿F(xiàn)異地的數(shù)據(jù)安全高效的傳輸 [14]。如果想擴大企業(yè)園區(qū)的拓撲撲結(jié)構(gòu)可以增加交換機的級聯(lián)，實現(xiàn)端口密度的擴充，增加相同結(jié)構(gòu)，實現(xiàn)擴展，同時增加路由數(shù)量實現(xiàn)多級擴充，對設(shè)備的配置基本相同，最終實現(xiàn)了企業(yè)的良好的擴展性，增大園區(qū)規(guī)模，也保證了數(shù)據(jù)的高效傳輸。 Ipsec VPN 配置圖如 410 所示： 企業(yè)網(wǎng)設(shè)計與優(yōu)化 23 圖 4– 10 Ipsec VPN 配置圖 5 系統(tǒng)設(shè)計方案 系統(tǒng)設(shè)計總體需求 本項目的實施目的是在企業(yè) 內(nèi)部建立穩(wěn)定，高效的辦公自動化網(wǎng)絡(luò)，通過項目的實施，為所有員工配桌面 PC，使所有員工能夠通過總部網(wǎng)絡(luò)進入 inter，從而提高所有員工的工作效率和加快企業(yè)內(nèi)部信息的傳遞。同時需要建立 WEB 服務(wù)器，用于在互聯(lián)網(wǎng)上發(fā)布企業(yè)信息。在總部和子公司均設(shè)立專用發(fā)服務(wù)器，使集團內(nèi)所有員工能夠利用服務(wù)器方便的訪問公共文件資源，并能夠完成企業(yè)內(nèi)部郵件的收發(fā)。系統(tǒng)建立完成后，要求能滿足企業(yè)各方面的應(yīng)用需求，包括辦公自動化，郵件收發(fā)，信息共享和發(fā)布，員工帳戶管理，系統(tǒng)安全管理等 [15]。 系統(tǒng)的構(gòu)架 據(jù)企業(yè)的管理結(jié)構(gòu)。本方案采用 Windows 系統(tǒng)提供的域模式來組織和管理全部系統(tǒng)資源，采用域的模式，不僅可以集中存儲網(wǎng)絡(luò)對象，并且管理簡單，即實現(xiàn)了集中管理，又可以滿足不同公司自身的安全需求。方案中將企業(yè)按單位劃分不同的模塊，企業(yè)總部作為域林的根，每個子公司，分部門為一個獨立的域或者域樹，形成一個完整的樹狀結(jié)企業(yè)網(wǎng)設(shè)計與優(yōu)化 24 構(gòu)。采用這種結(jié)構(gòu)，可以將網(wǎng)絡(luò)中的全部資源，分散到每個域的域控制器中存儲，減少了每臺域控制器的信息存儲，從而減少復(fù)制流量和網(wǎng)絡(luò)對象的查詢時間。 系統(tǒng)管理設(shè)計 在系統(tǒng)設(shè)計時包括 三個部分，分別是 OU，用戶及組的設(shè)計，為了更好的滿足企業(yè)的需要，便于系統(tǒng)管理員方便管理企業(yè)中的所有用戶，系統(tǒng)管理結(jié)構(gòu)與集團的管理結(jié)構(gòu)相匹配，方案中采用了如下所述的設(shè)計。 OU 的設(shè)計 企業(yè)的 OU 設(shè)計目的是為了使用用戶管理更有效率，結(jié)構(gòu)更加清晰，并能夠使系統(tǒng)的管理結(jié)構(gòu)與集團的商業(yè)模型相匹配。在本方案中按部門劃分 OU 的方法，將每個公司中以部門為單位創(chuàng)建 OU，并在部門 OU 中保存該部門的用戶帳戶，計算機帳戶及組采用這種設(shè)計的方法，可以在系統(tǒng)管理中清楚的體現(xiàn)公司的管理結(jié)構(gòu)，一般情況下，一個部門內(nèi)部中的用戶常常有相似的安 全需求，利用這樣的設(shè)計方法，也可以方便的將安全策略應(yīng)用到某個部門。 用戶管理 為了規(guī)范用戶帳戶的管理，系統(tǒng)中所有的用戶采用統(tǒng)一的命名規(guī)范，每個用戶在網(wǎng)絡(luò)中擁有唯一的登陸名。用戶帳戶在所屬的部門的 OU 中創(chuàng)建。 組的管理 為了滿足集團用戶管理的需求，更好的在網(wǎng)絡(luò)中管理用戶權(quán)限的分配，使系統(tǒng)的管理得到最大的簡化，方案中采用 AGDLP 策略及 AGUDLP 策略。在每個域中創(chuàng)建全局組，用與組織本域的帳戶，在沒個域中創(chuàng)建域本地組，用于完成權(quán)限的指派。在本域內(nèi)的權(quán)限的分配，可以使用 AGDLP 策略，在域間的權(quán)限分配，使得 AGDLP 策略，依次將用戶加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權(quán)限授予指定的域本地組，采用這樣的方式，不僅可以使用戶的組織和權(quán)限分配簡單，也可以減少域間的復(fù)制流量，從而提高系統(tǒng)的性能 [16]。 系統(tǒng)的安全性設(shè)計 在設(shè)計方案中，安全的設(shè)計主要分 2 個部分，首先是 ISA Server 的應(yīng)用，通過 ISA Server 的配置，建立軟件防火墻，保護集團內(nèi)部網(wǎng)絡(luò)不受外部用戶的攻擊，同時利用ISA Server 提供的網(wǎng)站過濾功能和服務(wù)器 發(fā)布功能，對企業(yè)內(nèi)部用戶的上網(wǎng)行為進行規(guī)范，并能保障服務(wù)器的安全使用。其次，在方案設(shè)計中，充分應(yīng)用 Window 系統(tǒng)提供的組策略功能，利用組策略，可以在每個公司的域中設(shè)計安全策略。防止用戶進行非授權(quán)的訪問，保護用戶在工作環(huán)境不受破壞。具體的設(shè)計方案如下： 企業(yè)網(wǎng)設(shè)計與優(yōu)化 25 ISA Server： ISA Server 是微軟公司出品的軟件防火墻代理服務(wù)器產(chǎn)品，它不僅可以起到代理服務(wù)器的緩存作用，也能實現(xiàn)防火墻的功能，通過軟件防火墻上設(shè)置過濾規(guī)則，可以控制內(nèi)部用戶對網(wǎng)站的訪問，同時利用其提供的服務(wù)器發(fā)布功能，也可以將企業(yè)內(nèi)部的服務(wù) 器發(fā)布到 Inter 上，提供互聯(lián)網(wǎng)的訪問，在本方案的設(shè)計中，主要利用了網(wǎng)站過濾和服務(wù)器發(fā)布的功能，在集團中心即房安裝和配置 ISA 服務(wù)器，繼承防火墻功能和代理服務(wù)器的功能，將集團總部及子公司的 WEB 服務(wù)器及 MAIL 服務(wù)器發(fā)布到互聯(lián)網(wǎng)上。集團中所有的客戶端做為 ISA 的客戶端，所有的互聯(lián)網(wǎng)的訪問均通過 ISA 服務(wù)器轉(zhuǎn)發(fā)，這樣，就可以在 ISA 服務(wù)器上對所有網(wǎng)絡(luò)流量進行監(jiān)控并對實現(xiàn)網(wǎng)絡(luò)訪問的過濾。 防火墻功能： ISA 服務(wù)器位于企業(yè)網(wǎng)絡(luò)和外網(wǎng)之間，采用三網(wǎng)卡分別連接內(nèi)網(wǎng)和外網(wǎng)和 DZM 區(qū)，充分利用防火墻的角色，并利用網(wǎng) 站和內(nèi)容規(guī)則來限制用戶能夠訪問的網(wǎng)站。同時，總部與分公司之間采用 Ipsec VPN 基于 GRE 隧道技術(shù)進行聯(lián)絡(luò)，增加了安全性，提高了效率，各部門間換分不同的 VLAN ,保證數(shù)據(jù)的高效安全性， STP 生成樹協(xié)議防止廣播風暴發(fā)生， HSRP 保證企業(yè)數(shù)據(jù)高效傳輸，實現(xiàn)設(shè)備冗余備份。 服務(wù)器發(fā)布：利用 ISA 服務(wù)器將企業(yè)中的郵件和 WEB 服務(wù)器發(fā)布到互聯(lián)網(wǎng)上，保證外部用戶可以訪問公司的 WEB服務(wù)器，并將公司用戶可以與外部客戶利用郵件交換信息。 客戶端：在所有用戶計算機上安裝 ISA 客戶端軟件，并配置瀏覽器使用 ISA Server作為代理服務(wù)器上網(wǎng) [17]。 安全策略：在 Windows 系統(tǒng)中的域模式下，安全策略是保護系統(tǒng)及用戶在工作環(huán)境不被破壞的重要工具，在本方案中采用了組策略這個工具對全部系統(tǒng)提供安全保護，由于集團各個子公司采用獨立的管理模式，所以在每個域中單獨設(shè)置組策略，并使組策略應(yīng)用到每個域中的用戶和計算機。各個子公司的系統(tǒng)管理員可以獨立的管理子公司的域，并可以在以后修改和編輯組策略，以適應(yīng)公司未來的需求。在本方案中，根據(jù)集團的目前的需求，建立了基本的組策略： (1)密 碼長度最小值為 7 (2)密碼最長存留期為 30 天 (3)密碼過期期限為 50 天 (4)帳戶鎖定閥值為 5 次無效登陸 (5)啟動密碼必須符合復(fù)雜性需求策略 6 測試和驗證規(guī)則有效性 HSRP 功能模塊測試 在拓撲設(shè)備上配置完熱備份協(xié)議以后，進行相應(yīng)的功能測試，測試其能夠?qū)崿F(xiàn)雙機熱備，實現(xiàn)鏈路的冗余備份，經(jīng)過測試成功實現(xiàn) HSRP 功能。 企業(yè)網(wǎng)設(shè)計與優(yōu)化 26 配置成成功測試圖如 61 所示： 圖 6– 1 HSRP 配置成功測試圖 圖 6– 2 HSRP 配置成功測試圖 HSRP 協(xié)議配置成功后，無論從從屬于哪個部門的 VLAN 中對網(wǎng)絡(luò)進行測試，比如連接互聯(lián)網(wǎng)，都可以 ping 通，上圖為，不同部門的用戶主機 1 和 2 分別對網(wǎng)絡(luò)進行測試，即使一個核心交換機出現(xiàn)故障，依然能夠保證網(wǎng)絡(luò)的暢通，數(shù)據(jù)傳輸正常。 企業(yè)網(wǎng)設(shè)計與優(yōu)化 27 IPsec VPN 功能模塊測試 Ipsec VPN 測試成功圖如 63 所示： 圖 6– 3 Ipsec VPN 測試成功圖 基于 ESP 加密的抓包圖如 64 所示： 圖 6– 4Ipsec VPN 測試成功圖 IPsec VPN 配置完成以后，采用了 GRE 隧道模式，全局啟用