【導(dǎo)讀】在網(wǎng)絡(luò)全球化的今天，企業(yè)網(wǎng)建設(shè)也迎來(lái)的新的挑戰(zhàn)，在網(wǎng)絡(luò)設(shè)計(jì)，提高。應(yīng)用性，流量控制和安全方面提出了更高的要求。網(wǎng)絡(luò)的實(shí)用性、安全性與拓展性是企?；贖SRP熱備份，各部門(mén)間VLAN的劃分，STP生成樹(shù)。置能夠有效解決這些問(wèn)題。在規(guī)劃好的企業(yè)拓?fù)渖希瑢?duì)設(shè)備進(jìn)行相關(guān)技術(shù)的運(yùn)用后，使。企業(yè)實(shí)現(xiàn)了數(shù)據(jù)安全高效的傳輸以及流量的合理分配，達(dá)到企業(yè)優(yōu)化目的。HSRP熱備份技術(shù)介紹.........

　　

【正文】 自由環(huán)形拓?fù)浣Y(jié)構(gòu)。 生成樹(shù)配置圖如 48 所示： 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 20 圖 4– 8 生成樹(shù)協(xié)議配置圖 IPsec VPN 功能模塊 IPsec VPN 通過(guò) Inter 建立了一個(gè)通訊的隧道，通過(guò)這個(gè)通訊的隧道，就可以建立起網(wǎng)絡(luò)的連接。如果兩個(gè)設(shè)備都有合法的公網(wǎng) IP，那么建立一個(gè)隧道是比較容易的。如果一方在 nat 之后，那就比較羅嗦了。一般通過(guò)內(nèi)部的 vpn 節(jié)點(diǎn)發(fā)起一個(gè) udp 連接，再封裝一次 ipsec，送到對(duì)方，因?yàn)?udp 可以通過(guò)防火墻進(jìn)行記憶，因此通過(guò) udp 再封裝的 ipsec 包，可以通過(guò)防火墻來(lái)回傳遞。 設(shè)計(jì)中采用了 GRE隧道模式，全局啟用 ISAKMP并定義對(duì)等體及其 PSK（預(yù)共享密鑰） ，定義 IKE 策略， Ipsec 轉(zhuǎn)換集，基于 ESP 的加密等技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)傳輸?shù)陌踩煽?，子公司和總部的高效連接。 具體配置命令如下： R1 配置 R1(config) int f0/0 R1(configif) ip add R1(configif) no shut R1(configif) int s0/0 R1(configif) ip add R1(configif) clock rate 56000 R1(configif) no shut R1(config) int tunnel 0 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 21 R1(configif) ip add R1(configif) tunnel sour s0/0 R1(configif) tunnel destination R1(configif) tunnel mode gre ip R1(configif) no shut R1(configif) exit 定義感興趣的流量和路由協(xié)議： R1(config) accesslist 100 permit gre host host R1(config) ip route s0/0 R1(config) ip route s0/0 全局啟用 ISAKMP 并定義對(duì)等體及其 PSK（預(yù)共享密鑰） R1(config) crypto isakmp enable R1(config) crypto isakmp key 911ab address 定義 IKE 策略 R1(config) crypto isakmp policy 10 R1(configisakmp) encryption aes 128 R1(configisakmp) hash sha R1(configisakmp) authentication preshare R1(configisakmp) group 2 R1(configisakmp) lifetime 3600 R1(config) exit 定義 IPsec 轉(zhuǎn)換集 R1(config) crypto ipsec transformset tt espaes 128 espshahmac R1(cfgcryptotrans) mode trunnel R1(cfgcryptotrans) exit 定義 crypto map 并應(yīng)用在接口上 R1(config) crypto map cisco 10 ipsecisakmp R1(configcryptomap) match address 100 R1(configcryptomap) set peer R1(configcryptomap) set transformset tt R1(configcryptomap) exit R1(config) int s0/0 R1(config) crypto map cisco R1(config) end 命令配置完成以后，在子公司路由器 R2 上邊進(jìn)行相應(yīng)的配置，由此通過(guò)互聯(lián)網(wǎng)建立起來(lái)基于 GRE 與 IPsec VPN 結(jié)合的隧道技術(shù) ，保證公司內(nèi)部的數(shù)據(jù)通過(guò)互聯(lián)網(wǎng)能夠安全有效的傳輸，隧道通過(guò) ESP 加密， GRE 隧道本身不帶安全特性，可以通過(guò)結(jié)合基于 PSK的 IPsec 來(lái)實(shí)現(xiàn)安全功能，全局啟用 ISAKMP 并定義對(duì)等體及其 PSK 設(shè)置了與子公司之間約定的預(yù)共享密鑰技術(shù)，定義 IKE 策略設(shè)置了加密方式和生存時(shí)間限制，定義 IPsec 轉(zhuǎn)換集才能實(shí)現(xiàn)上述的配置功能，最后通過(guò)把定義的 crypro map 應(yīng)用在接口上實(shí)現(xiàn)子公司與總公司之間的連接。同時(shí)兩個(gè)公司基于隧道配置相應(yīng)的 IP 地址保證了通過(guò)互聯(lián)網(wǎng)傳輸?shù)陌踩?。在?shí)現(xiàn) VPN 技術(shù)的上有多種安全策略可以應(yīng)用 ，還可以實(shí)現(xiàn)不同的隧道技術(shù)，采用不同的加密算法實(shí)現(xiàn)數(shù)據(jù)的加密，在配置過(guò)程當(dāng)中必須注意對(duì)應(yīng)路由之間的數(shù)據(jù)配置的一致性，做到對(duì)性的配置，否則會(huì)出現(xiàn)網(wǎng)絡(luò)連接失敗的結(jié)果，只是實(shí)驗(yàn)配置不能成功，需靈活掌握其中的細(xì)節(jié)配置問(wèn)題，最終實(shí)現(xiàn)總部與分公司之間的數(shù)據(jù)的安全高效傳輸，具體網(wǎng)絡(luò)拓?fù)鋱D如下。 IPsec VPN 功能模塊拓?fù)鋱D如 49 所示： 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 22 圖 4– 9 Ipsec VPN 拓?fù)鋱D 在總部與分公司的連接通信中，為了保證通信的安全高效性，使 用了 IPsec VPN 技術(shù)來(lái)實(shí)現(xiàn)異地的通信，通過(guò)互聯(lián)網(wǎng)傳輸，為自己建立一條隧道，使用 GRE 隧道技術(shù)，采用了 IPsec VPN 的封裝協(xié)議，使用加密算法，身份認(rèn)證及共享密鑰機(jī)制，實(shí)現(xiàn)了公司各部門(mén)之間數(shù)據(jù)的安全傳輸。在加密認(rèn)證中需要進(jìn)行數(shù)據(jù)加密，身份認(rèn)證等一系列操作，需要運(yùn)用數(shù)字簽名等技術(shù)，全局啟用 ISAKMP 并定義對(duì)等體及其 PSK（預(yù)共享密鑰），定義 IKE 策略， Ipsec 轉(zhuǎn)換集，基于 ESP 的加密等技術(shù)，在雙方配置了相應(yīng)的策略和密鑰共享機(jī)制以后，才能夠?qū)崿F(xiàn)異地的數(shù)據(jù)安全高效的傳輸 [14]。如果想擴(kuò)大企業(yè)園區(qū)的拓?fù)鋼浣Y(jié)構(gòu)可以增加交換機(jī)的級(jí)聯(lián)，實(shí)現(xiàn)端口密度的擴(kuò)充，增加相同結(jié)構(gòu)，實(shí)現(xiàn)擴(kuò)展，同時(shí)增加路由數(shù)量實(shí)現(xiàn)多級(jí)擴(kuò)充，對(duì)設(shè)備的配置基本相同，最終實(shí)現(xiàn)了企業(yè)的良好的擴(kuò)展性，增大園區(qū)規(guī)模，也保證了數(shù)據(jù)的高效傳輸。 Ipsec VPN 配置圖如 410 所示： 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 23 圖 4– 10 Ipsec VPN 配置圖 5 系統(tǒng)設(shè)計(jì)方案 系統(tǒng)設(shè)計(jì)總體需求 本項(xiàng)目的實(shí)施目的是在企業(yè) 內(nèi)部建立穩(wěn)定，高效的辦公自動(dòng)化網(wǎng)絡(luò)，通過(guò)項(xiàng)目的實(shí)施，為所有員工配桌面 PC，使所有員工能夠通過(guò)總部網(wǎng)絡(luò)進(jìn)入 inter，從而提高所有員工的工作效率和加快企業(yè)內(nèi)部信息的傳遞。同時(shí)需要建立 WEB 服務(wù)器，用于在互聯(lián)網(wǎng)上發(fā)布企業(yè)信息。在總部和子公司均設(shè)立專用發(fā)服務(wù)器，使集團(tuán)內(nèi)所有員工能夠利用服務(wù)器方便的訪問(wèn)公共文件資源，并能夠完成企業(yè)內(nèi)部郵件的收發(fā)。系統(tǒng)建立完成后，要求能滿足企業(yè)各方面的應(yīng)用需求，包括辦公自動(dòng)化，郵件收發(fā)，信息共享和發(fā)布，員工帳戶管理，系統(tǒng)安全管理等 [15]。 系統(tǒng)的構(gòu)架 據(jù)企業(yè)的管理結(jié)構(gòu)。本方案采用 Windows 系統(tǒng)提供的域模式來(lái)組織和管理全部系統(tǒng)資源，采用域的模式，不僅可以集中存儲(chǔ)網(wǎng)絡(luò)對(duì)象，并且管理簡(jiǎn)單，即實(shí)現(xiàn)了集中管理，又可以滿足不同公司自身的安全需求。方案中將企業(yè)按單位劃分不同的模塊，企業(yè)總部作為域林的根，每個(gè)子公司，分部門(mén)為一個(gè)獨(dú)立的域或者域樹(shù)，形成一個(gè)完整的樹(shù)狀結(jié)企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 24 構(gòu)。采用這種結(jié)構(gòu)，可以將網(wǎng)絡(luò)中的全部資源，分散到每個(gè)域的域控制器中存儲(chǔ)，減少了每臺(tái)域控制器的信息存儲(chǔ)，從而減少?gòu)?fù)制流量和網(wǎng)絡(luò)對(duì)象的查詢時(shí)間。 系統(tǒng)管理設(shè)計(jì) 在系統(tǒng)設(shè)計(jì)時(shí)包括 三個(gè)部分，分別是 OU，用戶及組的設(shè)計(jì)，為了更好的滿足企業(yè)的需要，便于系統(tǒng)管理員方便管理企業(yè)中的所有用戶，系統(tǒng)管理結(jié)構(gòu)與集團(tuán)的管理結(jié)構(gòu)相匹配，方案中采用了如下所述的設(shè)計(jì)。 OU 的設(shè)計(jì) 企業(yè)的 OU 設(shè)計(jì)目的是為了使用用戶管理更有效率，結(jié)構(gòu)更加清晰，并能夠使系統(tǒng)的管理結(jié)構(gòu)與集團(tuán)的商業(yè)模型相匹配。在本方案中按部門(mén)劃分 OU 的方法，將每個(gè)公司中以部門(mén)為單位創(chuàng)建 OU，并在部門(mén) OU 中保存該部門(mén)的用戶帳戶，計(jì)算機(jī)帳戶及組采用這種設(shè)計(jì)的方法，可以在系統(tǒng)管理中清楚的體現(xiàn)公司的管理結(jié)構(gòu)，一般情況下，一個(gè)部門(mén)內(nèi)部中的用戶常常有相似的安 全需求，利用這樣的設(shè)計(jì)方法，也可以方便的將安全策略應(yīng)用到某個(gè)部門(mén)。 用戶管理 為了規(guī)范用戶帳戶的管理，系統(tǒng)中所有的用戶采用統(tǒng)一的命名規(guī)范，每個(gè)用戶在網(wǎng)絡(luò)中擁有唯一的登陸名。用戶帳戶在所屬的部門(mén)的 OU 中創(chuàng)建。 組的管理 為了滿足集團(tuán)用戶管理的需求，更好的在網(wǎng)絡(luò)中管理用戶權(quán)限的分配，使系統(tǒng)的管理得到最大的簡(jiǎn)化，方案中采用 AGDLP 策略及 AGUDLP 策略。在每個(gè)域中創(chuàng)建全局組，用與組織本域的帳戶，在沒(méi)個(gè)域中創(chuàng)建域本地組，用于完成權(quán)限的指派。在本域內(nèi)的權(quán)限的分配，可以使用 AGDLP 策略，在域間的權(quán)限分配，使得 AGDLP 策略，依次將用戶加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權(quán)限授予指定的域本地組，采用這樣的方式，不僅可以使用戶的組織和權(quán)限分配簡(jiǎn)單，也可以減少域間的復(fù)制流量，從而提高系統(tǒng)的性能 [16]。 系統(tǒng)的安全性設(shè)計(jì) 在設(shè)計(jì)方案中，安全的設(shè)計(jì)主要分 2 個(gè)部分，首先是 ISA Server 的應(yīng)用，通過(guò) ISA Server 的配置，建立軟件防火墻，保護(hù)集團(tuán)內(nèi)部網(wǎng)絡(luò)不受外部用戶的攻擊，同時(shí)利用ISA Server 提供的網(wǎng)站過(guò)濾功能和服務(wù)器 發(fā)布功能，對(duì)企業(yè)內(nèi)部用戶的上網(wǎng)行為進(jìn)行規(guī)范，并能保障服務(wù)器的安全使用。其次，在方案設(shè)計(jì)中，充分應(yīng)用 Window 系統(tǒng)提供的組策略功能，利用組策略，可以在每個(gè)公司的域中設(shè)計(jì)安全策略。防止用戶進(jìn)行非授權(quán)的訪問(wèn)，保護(hù)用戶在工作環(huán)境不受破壞。具體的設(shè)計(jì)方案如下： 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 25 ISA Server： ISA Server 是微軟公司出品的軟件防火墻代理服務(wù)器產(chǎn)品，它不僅可以起到代理服務(wù)器的緩存作用，也能實(shí)現(xiàn)防火墻的功能，通過(guò)軟件防火墻上設(shè)置過(guò)濾規(guī)則，可以控制內(nèi)部用戶對(duì)網(wǎng)站的訪問(wèn)，同時(shí)利用其提供的服務(wù)器發(fā)布功能，也可以將企業(yè)內(nèi)部的服務(wù) 器發(fā)布到 Inter 上，提供互聯(lián)網(wǎng)的訪問(wèn)，在本方案的設(shè)計(jì)中，主要利用了網(wǎng)站過(guò)濾和服務(wù)器發(fā)布的功能，在集團(tuán)中心即房安裝和配置 ISA 服務(wù)器，繼承防火墻功能和代理服務(wù)器的功能，將集團(tuán)總部及子公司的 WEB 服務(wù)器及 MAIL 服務(wù)器發(fā)布到互聯(lián)網(wǎng)上。集團(tuán)中所有的客戶端做為 ISA 的客戶端，所有的互聯(lián)網(wǎng)的訪問(wèn)均通過(guò) ISA 服務(wù)器轉(zhuǎn)發(fā)，這樣，就可以在 ISA 服務(wù)器上對(duì)所有網(wǎng)絡(luò)流量進(jìn)行監(jiān)控并對(duì)實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)的過(guò)濾。 防火墻功能： ISA 服務(wù)器位于企業(yè)網(wǎng)絡(luò)和外網(wǎng)之間，采用三網(wǎng)卡分別連接內(nèi)網(wǎng)和外網(wǎng)和 DZM 區(qū)，充分利用防火墻的角色，并利用網(wǎng) 站和內(nèi)容規(guī)則來(lái)限制用戶能夠訪問(wèn)的網(wǎng)站。同時(shí)，總部與分公司之間采用 Ipsec VPN 基于 GRE 隧道技術(shù)進(jìn)行聯(lián)絡(luò)，增加了安全性，提高了效率，各部門(mén)間換分不同的 VLAN ,保證數(shù)據(jù)的高效安全性， STP 生成樹(shù)協(xié)議防止廣播風(fēng)暴發(fā)生， HSRP 保證企業(yè)數(shù)據(jù)高效傳輸，實(shí)現(xiàn)設(shè)備冗余備份。 服務(wù)器發(fā)布：利用 ISA 服務(wù)器將企業(yè)中的郵件和 WEB 服務(wù)器發(fā)布到互聯(lián)網(wǎng)上，保證外部用戶可以訪問(wèn)公司的 WEB服務(wù)器，并將公司用戶可以與外部客戶利用郵件交換信息。 客戶端：在所有用戶計(jì)算機(jī)上安裝 ISA 客戶端軟件，并配置瀏覽器使用 ISA Server作為代理服務(wù)器上網(wǎng) [17]。 安全策略：在 Windows 系統(tǒng)中的域模式下，安全策略是保護(hù)系統(tǒng)及用戶在工作環(huán)境不被破壞的重要工具，在本方案中采用了組策略這個(gè)工具對(duì)全部系統(tǒng)提供安全保護(hù)，由于集團(tuán)各個(gè)子公司采用獨(dú)立的管理模式，所以在每個(gè)域中單獨(dú)設(shè)置組策略，并使組策略應(yīng)用到每個(gè)域中的用戶和計(jì)算機(jī)。各個(gè)子公司的系統(tǒng)管理員可以獨(dú)立的管理子公司的域，并可以在以后修改和編輯組策略，以適應(yīng)公司未來(lái)的需求。在本方案中，根據(jù)集團(tuán)的目前的需求，建立了基本的組策略： (1)密 碼長(zhǎng)度最小值為 7 (2)密碼最長(zhǎng)存留期為 30 天 (3)密碼過(guò)期期限為 50 天 (4)帳戶鎖定閥值為 5 次無(wú)效登陸 (5)啟動(dòng)密碼必須符合復(fù)雜性需求策略 6 測(cè)試和驗(yàn)證規(guī)則有效性 HSRP 功能模塊測(cè)試 在拓?fù)湓O(shè)備上配置完熱備份協(xié)議以后，進(jìn)行相應(yīng)的功能測(cè)試，測(cè)試其能夠?qū)崿F(xiàn)雙機(jī)熱備，實(shí)現(xiàn)鏈路的冗余備份，經(jīng)過(guò)測(cè)試成功實(shí)現(xiàn) HSRP 功能。 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 26 配置成成功測(cè)試圖如 61 所示： 圖 6– 1 HSRP 配置成功測(cè)試圖 圖 6– 2 HSRP 配置成功測(cè)試圖 HSRP 協(xié)議配置成功后，無(wú)論從從屬于哪個(gè)部門(mén)的 VLAN 中對(duì)網(wǎng)絡(luò)進(jìn)行測(cè)試，比如連接互聯(lián)網(wǎng)，都可以 ping 通，上圖為，不同部門(mén)的用戶主機(jī) 1 和 2 分別對(duì)網(wǎng)絡(luò)進(jìn)行測(cè)試，即使一個(gè)核心交換機(jī)出現(xiàn)故障，依然能夠保證網(wǎng)絡(luò)的暢通，數(shù)據(jù)傳輸正常。 企業(yè)網(wǎng)設(shè)計(jì)與優(yōu)化 27 IPsec VPN 功能模塊測(cè)試 Ipsec VPN 測(cè)試成功圖如 63 所示： 圖 6– 3 Ipsec VPN 測(cè)試成功圖 基于 ESP 加密的抓包圖如 64 所示： 圖 6– 4Ipsec VPN 測(cè)試成功圖 IPsec VPN 配置完成以后，采用了 GRE 隧道模式，全局啟用