【導(dǎo)讀】企業(yè)的必備設(shè)備，超過一半的企業(yè)擁有自己的網(wǎng)絡(luò)。最后文章對網(wǎng)絡(luò)建設(shè)過程中的一些實(shí)踐經(jīng)驗(yàn)進(jìn)行了總結(jié)和討論。

　　

【正文】 的公有地址。 Cisco 為地址池名。 設(shè) 置接入路由器 InterRouter 上的 ACL 路由器是外網(wǎng)進(jìn)入企業(yè)網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問控制列表（ Access Control List， ACL）是保護(hù)內(nèi)網(wǎng)安全的有效手段。一個(gè)設(shè)計(jì)良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時(shí)的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進(jìn)行縝密的設(shè)計(jì)，來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實(shí)施保 護(hù)。 在網(wǎng)絡(luò)環(huán)境中還普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。在絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實(shí)現(xiàn)中它們都是應(yīng)該對外加以屏蔽的。主要應(yīng)該做以下的ACL 設(shè)計(jì)： （ 1）對外屏蔽簡單網(wǎng)管協(xié)議，即 SNMP。 利用這個(gè)協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型： SNMP 和 SNMPTRAP。 對外屏蔽簡單網(wǎng)管協(xié)議 SNMP： （ 2）對外屏蔽遠(yuǎn)程登錄協(xié)議 tel 首先， tel 是一種不安全的協(xié)議類型。用戶在使用 tel 登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時(shí)所使用的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)模?很容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。其次， tel 可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和 UNIX 服務(wù)器，并可以使用相關(guān)命令完全操縱它們。這是極其危險(xiǎn)的，因此必須加以屏蔽。 對外屏蔽遠(yuǎn)程登錄協(xié)議 tel： （ 3）對外屏蔽其它不安全的協(xié)議或服務(wù) 這樣的協(xié)議主要有 SUN OS 的文件共享協(xié)議端口 2049，遠(yuǎn)程執(zhí)行（ rsh）、遠(yuǎn)程登錄（ rlogin）和遠(yuǎn)程命令（ rcmd）端口 51 51 514，遠(yuǎn)程過程調(diào)用（ SUNRPC）端口 111?？梢詫⑨槍σ陨蠀f(xié)議綜合進(jìn)行設(shè)計(jì)，如圖所示。 （ 4）針對 DoS 攻擊的設(shè)計(jì) DoS 攻擊（ Denial of Service Attack，拒絕服務(wù)攻擊）是一種非常常見而且極具破壞力的攻擊手段，它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止，嚴(yán)重時(shí)會導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。 （ 5）保護(hù)路由器自身安全 作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護(hù)自身安全的重要性也是不言而喻的。 為了阻止黑客入侵路由器，必須對路由器的訪問位置加以限制。 應(yīng)只允許來自服務(wù)器群的 IP 地址訪問并配置路由器。這時(shí)，可以使用ACCESSCLASS 命令進(jìn)行 VTY 訪問控制。如圖所示 遠(yuǎn)程訪問設(shè)計(jì) 和 程訪問模塊設(shè) 遠(yuǎn)程訪問也 是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務(wù) 。 遠(yuǎn)程訪問有三種可選的服務(wù)類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花費(fèi)也不相同。在本設(shè)計(jì)中，由于面對的用戶群規(guī)模、業(yè)務(wù)量較小，所以采用了異步撥號連接作為遠(yuǎn)程訪問的技術(shù)手段。 異步撥號連接屬于電路交換類型的廣域網(wǎng)連接，它是在傳統(tǒng)公共交換電話網(wǎng)（ Public Switched Telephone Network， PSTN）上提供服務(wù)的。傳統(tǒng) PSTN 提供的服務(wù)也被稱為簡易老式電話業(yè)務(wù)（ Plan Old Telephone System， POTS）。因?yàn)槟壳按嬖谥罅堪惭b好的電話線，所以這樣的環(huán)境是最容易滿足的。因此，異步撥號連接也就成為最為方便和普遍的遠(yuǎn)程訪問類型。 廣域網(wǎng)連接可以采用不同類型的封裝協(xié)議，如 HDLC、 PPP 等。其中， PPP 除了提供身份認(rèn)證功能外，還可以提供其他很多可選項(xiàng)配置，包括鏈路壓縮、多鏈路捆綁、回叫等，因此更具優(yōu)勢。也是本設(shè)計(jì)所采用的異步連接封裝協(xié)議。 PPP 提供了兩種可選的身份認(rèn)證方法：口令驗(yàn)證協(xié)議 PAP（ Password Authentication Protocol， PAP）和質(zhì)詢握手協(xié)議（ Challenge Handshake Authentication Protocol， CHAP）。 PAP 是一個(gè)簡單的、實(shí)用的身份驗(yàn)證協(xié)議。 PAP 認(rèn)證進(jìn)程只在雙方的通信鏈路建立初期進(jìn)行。如果認(rèn)證成功，在通信過程中不再進(jìn)行認(rèn)證。如果認(rèn)證失敗，則直接釋放鏈路。 CHAP 認(rèn)證比 PAP 認(rèn)證更安全，因?yàn)?CHAP 不在線路上發(fā)送明文密碼，而是發(fā)送經(jīng)過摘要算法加工過的隨機(jī)序列，也被稱為 挑戰(zhàn)字符串 。同時(shí)，身份認(rèn)證可 以隨時(shí)進(jìn)行，包括在雙方正常通信過程中。因此，非法用戶就算截獲并成功破解了一次密碼，此密 碼也將在一段時(shí)間內(nèi)失效。 CHAP 對端系統(tǒng)要求很高，因?yàn)樾枰啻芜M(jìn)行身份質(zhì)詢、響應(yīng)。這需要耗費(fèi)較多的 CPU 資源，因此只用在對安全要求很高的場合。 PAP 雖然有著用戶名和密碼是明文發(fā)送的弱點(diǎn)，但是認(rèn)證只在鏈路建立初期進(jìn)行，因此節(jié)省了寶貴的鏈路帶寬。 由于技術(shù)限制，這里就不進(jìn)行詳細(xì)的配置。同時(shí)，模擬器上也將省略這個(gè)模塊。 服務(wù)器模塊設(shè)計(jì) 服務(wù)器模塊用來對企業(yè)網(wǎng)的接入用戶提供各種服務(wù)。在本設(shè)計(jì)方案中，所有的 服 務(wù) 器 被 集 中 到 VLAN 100 構(gòu) 成 服 務(wù) 器 群 并 通 過 分 布 層 交換機(jī)DistributeSwitch1 的端口 fastether 10～ 12 接入企業(yè)網(wǎng)。 企業(yè)網(wǎng) 提供的常見的服務(wù)（服務(wù)器）包括： WEB 服務(wù)器：提供 WEB 網(wǎng)站服務(wù)。 內(nèi)部 IP： 外部 IP： 郵件服務(wù)器：提供郵件收發(fā)服務(wù)。 內(nèi)部 IP： 外部 IP： 數(shù)據(jù)庫服務(wù)器：提供各種數(shù)據(jù)庫服務(wù) 。 內(nèi)部 IP： 外部 IP： 4 系統(tǒng)總結(jié) 本文所構(gòu)建的網(wǎng)絡(luò)適合中小規(guī)模企業(yè)，在此基礎(chǔ)上，適當(dāng) 降低設(shè)備和系統(tǒng)配置，可以用在工作組級別的機(jī)構(gòu)上；而提高硬件和軟件系統(tǒng)的級別，也可以擴(kuò)充到大型企業(yè)級規(guī)模。然而，技術(shù)是網(wǎng)絡(luò)組建的主要考慮因素，但是網(wǎng)絡(luò)的構(gòu)建往往受到經(jīng)費(fèi)的制約，因此，高的性價(jià)比是決定的因素。此外，設(shè)備采購方式、地方政策等多種非技術(shù)因素的影響，有時(shí)候也起著重要的作用，因此，網(wǎng)絡(luò)的構(gòu)建應(yīng)該綜合考慮各種約束條件。另外，在網(wǎng)絡(luò)設(shè)備的選擇中，重要的經(jīng)驗(yàn)還有： ⑴ 廠家的品牌因素 網(wǎng)絡(luò)的核心設(shè)備決定了整個(gè)系統(tǒng)的穩(wěn)定性，因此，廠商的口碑非常重要，如IBM、 Cisco、 Microsoft 等，這些公司具備優(yōu)秀的 產(chǎn)品性能、良好的售后服務(wù)、雄厚的研發(fā)實(shí)力等。 ⑵ 整合成本 在網(wǎng)絡(luò)建設(shè)中，涉及到多種設(shè)備及系統(tǒng)軟件，正是因?yàn)榻M成部分的多元化，會帶來一系列的整合問題，如高昂的維護(hù)成本、設(shè)備之間的兼容性問題、設(shè)備之間速率的瓶頸等。因此，采用同一品牌的設(shè)備，有著明顯的優(yōu)勢，如網(wǎng)絡(luò)核心構(gòu)架主要采用了 Cisco 的設(shè)備等。 ⑶ 普及度的影響 移植成本、培訓(xùn)成本、管理成本低，這是大眾化產(chǎn)品的優(yōu)勢。例如，我們在軟件系統(tǒng)上，主要采用了微軟的系統(tǒng)平臺，在打印輸出設(shè)備上，主要采用 HP 的產(chǎn)品等。網(wǎng)絡(luò)的建設(shè)需 要采取分步驟、分階段、分主次的設(shè)計(jì)實(shí)施思路；同時(shí)，還需要重視管理的作用，尤其是管理制度在網(wǎng)絡(luò)運(yùn)營中的作用。 參考文獻(xiàn) [1] Steve McQuerry. CCNA 自學(xué)指南： Cisco 網(wǎng)絡(luò)設(shè)備互連 .人民郵電出版社，2021 [2] Diane Teare、 Catherine Paquet. 園區(qū)網(wǎng)絡(luò)設(shè)計(jì) .人民郵電出版社， 2021 [3] Richard Deal. CCNA 學(xué)習(xí)指南 . 人民郵電出版社， 2021 [4] 崔北亮 . CCNA 學(xué)習(xí)與實(shí)驗(yàn)指南 . 電子工業(yè)出版社， 2021 [5] Kevin Wallace. CCNP TSHOOT 認(rèn)證考試指南 . 人民郵電出版社， 2021 [6] Wendell Odom. CCNP ROUTE 認(rèn)證考試指南 . 人民郵電出版社， 2021 [7] David Hucaby. CCNP SWITCH 認(rèn)證考試指南 . 人民郵電出版社， 2021 [8] 王相林 . 組網(wǎng)技術(shù)與配置 . 清華大學(xué)出版社， 2021 致謝 這次畢業(yè)論文能夠得以順利完成，并非我一人之功勞，是所有指導(dǎo)過我的老師，幫助過我的同學(xué)，一直關(guān)心支持著 我的朋友和家人對我的教誨、幫助和鼓勵(lì)的結(jié)果。我要在這里對他們表示深深的謝意！ 非常感謝 xxx 老師在我大學(xué)的最后學(xué)習(xí)階段 —— 畢業(yè)設(shè)計(jì)階段給我的指導(dǎo)。 感謝班主任 xxx 老師，在工作之余指導(dǎo)我的學(xué)習(xí)與生活。 感謝我的家人，沒有你們，就沒有我的今天，你們的支持與鼓勵(lì)，永遠(yuǎn)是支撐我前進(jìn)的最大動力。 感謝身邊所有的朋友與同學(xué)，謝謝你們四年來的關(guān)照與寬容，與你們一起走過的繽紛時(shí)代，將會是我一生最珍貴的