【正文】 參考文獻(xiàn) Froom, Balaji Sivasubramanian, Erum 學(xué)習(xí)指南：組建 Cisco多層交換網(wǎng)絡(luò)（ BCMSN） .第二版 .人民郵電出版社 ,2020 . Cisco 路由器防火墻安全 . 人民郵電出版社 .2020 Systems 公司 , Cisco Networking Academy 程網(wǎng)絡(luò)安全基礎(chǔ) .人民郵電出版社 .2020 Paquet,Diane 自學(xué)指南：組建可擴(kuò)展的 Cisco 互聯(lián)網(wǎng)絡(luò)（ BSCI） .第二版 .人民郵電出版社 ,2020 .虛擬專用網(wǎng)（ VPN）精解 .清華大學(xué)出版社 .2020 。 我 還 要向我的父母致以最誠(chéng)摯的 謝意，是你們的養(yǎng)育、期望和支持，使我順利地完成學(xué)業(yè)。 肖 老師嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度和優(yōu)秀的做人的品格將讓我終生受益匪淺。 本規(guī)劃設(shè)計(jì) 方案 只是 一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)現(xiàn)狀及網(wǎng)絡(luò)安全的解決方案，在隨后的分期分批的項(xiàng)目實(shí)施過 程中，由于企業(yè)網(wǎng)絡(luò)環(huán)境、以及網(wǎng)絡(luò)應(yīng)用系統(tǒng)的變化，會(huì)在細(xì)節(jié)上根據(jù)實(shí)際情況進(jìn)行相應(yīng)的調(diào)整，如：安裝設(shè)備數(shù)量、設(shè)備安裝具體地點(diǎn)等，只要在總的布局、要求以及標(biāo)準(zhǔn)上保持不變，實(shí)施之后就能 夠達(dá)到本方案的設(shè)計(jì)要求 。 該企業(yè) 網(wǎng)絡(luò)在功能性、安全性、可靠性、 可管理性 等方面完全符合 企業(yè) 所屬各部門的工作需求，并具有一定的可擴(kuò)展性，達(dá)到了預(yù)期的目標(biāo)。 無論網(wǎng)絡(luò)技術(shù)怎么發(fā)展變化， 對(duì)每個(gè)網(wǎng)絡(luò)來說，如此多的復(fù)雜協(xié)議進(jìn)行交互都會(huì)產(chǎn)生唯一的結(jié)果，就是將數(shù)據(jù)送到目的地。網(wǎng)絡(luò)設(shè)計(jì)技術(shù)非常復(fù)雜而且更新很快 ，因此我們必須根據(jù)實(shí)際情況具體分析 。作為全球領(lǐng)先的 Cisco PIX 防火墻系列的一部分，它可以為今天的網(wǎng)絡(luò)用戶提供無以倫比的安全性、可靠性和性能。 Cisco PIX 515E 針對(duì)中小型企業(yè)和企業(yè)遠(yuǎn)程辦公機(jī)構(gòu)而設(shè)計(jì)，具有更強(qiáng)的處理能力和集成化的、基于硬件的 IPSec 加速功能。 基于以上理由， 我們推薦 Cisco PIX 515E 防火墻。 防火墻選型 因?yàn)樵撈髽I(yè)的網(wǎng)絡(luò)設(shè)計(jì)使用到的 IPSEC VPN 技術(shù)是在防火墻上實(shí)現(xiàn)的，所以在防 火墻的選擇上一定要具備 IPSEC VPN 功能。 Cisco 2600 系列是一款屢獲大獎(jiǎng)的模塊化多服務(wù)接入路由器系列，具有靈活的LAN 和 WAN 配置、多個(gè)安全性選項(xiàng)、語音 /數(shù)據(jù)集成和一系列高性能處理器。而華為的路由器功能上不及 CISCO，但是現(xiàn)在價(jià)位上已經(jīng)追上 CISCO 了。 因?yàn)?接入層交換機(jī)必須配置 trunk 口，所以 必須使用，又要求性能必須穩(wěn)定，所以對(duì)本項(xiàng)目而言 Cisco 2950－ 24 交換機(jī)是性價(jià)比最好的交換機(jī) 。憑借一系列快速以太網(wǎng)和千兆位以太網(wǎng)配置， Catalyst 3750 系列可作為中型企業(yè)布線室的強(qiáng)大訪問層交換機(jī)和中型網(wǎng)絡(luò)的骨干網(wǎng)交換機(jī)。 基于上述對(duì)本網(wǎng)絡(luò)中心交換機(jī)性能要求的認(rèn)識(shí)，我們推薦 Cisco Catalyst 3750 或者同等檔次具有同等功能的交換機(jī)作為該網(wǎng)絡(luò)的中心交換機(jī) 。企業(yè)合作伙伴的企業(yè)外聯(lián)網(wǎng)與企業(yè)內(nèi)聯(lián)網(wǎng) VPN 差不多，使用軟件或者硬件接入均可，這要視乎 企業(yè)合作 的程度 與時(shí)間長(zhǎng)短而定，它與企業(yè)內(nèi)聯(lián)網(wǎng)的主要區(qū)別在于用戶訪問權(quán)限的設(shè)置，外聯(lián)網(wǎng)用戶通常只具備部分企業(yè)內(nèi)部網(wǎng)訪問資源的權(quán)限 ，所以我們要對(duì) VPN 防火墻進(jìn)行相關(guān)設(shè)置，以屏蔽企業(yè)內(nèi)部網(wǎng)，確保需要保護(hù)的內(nèi)部網(wǎng)資源的安全性 。 對(duì)于該企業(yè) 的內(nèi)聯(lián)網(wǎng)構(gòu)建 ，我們只要購(gòu)買兩臺(tái)支持 IPSec隧道協(xié)議的 VPN防火墻，安裝在總公司和分公司兩個(gè)網(wǎng)絡(luò)邊界，然后對(duì)兩臺(tái) VPN 防火墻進(jìn)行相關(guān)配置，當(dāng)建立起 VPN 連接后，這時(shí)總公司與分公司就相當(dāng)于處于同一個(gè)局域網(wǎng)中， 這些配置 對(duì)于員工來說這是透明的 。 軟硬件結(jié)合 VPN 也需要硬件方案的支持，目前主要有集中器、交換機(jī)、路由器、網(wǎng)關(guān)和防火墻等 VPN 方案。軟硬結(jié)合 VPN 這種平臺(tái)是最為通用的一種方式，它既具備了硬件平臺(tái)的高性能、高安全性、同時(shí)也具有軟件平臺(tái)的靈活性，是目前絕大多數(shù)企業(yè)選用的 VPN 方案。軟件VPN 一般性能較差，適用于對(duì)數(shù)據(jù)連接速率較低要求不高，性能和安全性要求不強(qiáng)的小型企業(yè)?？紤]到該企業(yè)的組網(wǎng)規(guī)模以及安全需求，我們也采用 IPSec 協(xié)議族組建 VPN 內(nèi)聯(lián)網(wǎng)。各種應(yīng)用程序可以享用 IP 層提供的安全服務(wù)和密鑰管理，而不必設(shè)計(jì)和實(shí)現(xiàn)自己的安全機(jī)制，因此減少密鑰協(xié)商的開銷， 也降低了產(chǎn)生安全漏洞的可能性。MPLS 適用于骨 干 網(wǎng)絡(luò)上大型企業(yè)的多分支機(jī)構(gòu)建立自己私有專用網(wǎng)絡(luò)，雖然具備 Qos 等其他協(xié)議所不具備的特性，但對(duì)用戶設(shè)備要求比較高，而且目前還在完善中 。這里協(xié)議 X 稱為被封裝協(xié)議，協(xié)議 Y 稱為封裝協(xié)議，封裝時(shí)一般還要加上特定的隧道控制信息，因此隧道協(xié)議的一般封裝形式為 (協(xié)議 Y(隧道協(xié)議 (協(xié)議 X)))在實(shí)現(xiàn)基于 Inter 的 VPN 時(shí)，我們使用的封裝協(xié)議為 IP協(xié)議，相應(yīng)的隧道協(xié)議稱為 IP隧道協(xié)議，其封裝形式為 (IP隧道協(xié)議 (協(xié)議 x)))。這種技術(shù)可以用來提供網(wǎng)絡(luò)到網(wǎng)絡(luò)，主機(jī)到主機(jī)，或者主機(jī)到網(wǎng)絡(luò)的安全連接。 Extra VPN 即企業(yè)間發(fā)生收購(gòu)、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。 Access VPN 是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過公網(wǎng)遠(yuǎn)程撥號(hào)的方式構(gòu)建的虛擬網(wǎng)。 虛擬專用網(wǎng) (Virtual Private Network, VPN)是指在公共通信基礎(chǔ)設(shè)施上構(gòu)建的虛擬專用網(wǎng)，可以被認(rèn)為是一種從公共網(wǎng)絡(luò)中隔離出來的網(wǎng)絡(luò)，它與真實(shí)網(wǎng)絡(luò)的差別在于 VPN 以隔離方式通過共享公共通信基礎(chǔ)設(shè)施，提供了不與 VPN 網(wǎng)外用戶共享互聯(lián)點(diǎn)的排他性網(wǎng)絡(luò)通信環(huán)境。 在這樣的背景下，一種基于公用網(wǎng)絡(luò)的動(dòng)態(tài)、安全的連接解決方案就成為時(shí)代之需， VPN 就是這樣一種網(wǎng)絡(luò) 連接技術(shù)。在Inter 上傳輸?shù)臄?shù)據(jù)都是采用明文傳輸?shù)模@就給一些非法用戶以可乘之機(jī)，從而出現(xiàn)目前 經(jīng)常遇到的如：偽裝欺騙、消息竊聽、對(duì)話插隊(duì)、拒絕服務(wù)等網(wǎng)絡(luò)安全隱患。 雖然 Inter 為企業(yè)廣域網(wǎng)連接提供了物質(zhì)基礎(chǔ)，并且 TCP/IP 協(xié)議為網(wǎng)絡(luò)的互聯(lián)提供了極大的靈活性。以前各分支機(jī)構(gòu)互訪所采用的常規(guī)方法是租用專線 ，這樣的連接方式一則要支付昂貴的通信費(fèi)用，再則缺乏靈活性，對(duì)于企業(yè)地理位置的改變不能很好地適應(yīng)。 而對(duì)于該企業(yè)的 WEB 服務(wù)器，我們采用靜態(tài) PAT 技術(shù)，這就相當(dāng)于做了一個(gè)端口映射， 使得企業(yè)外部可以訪問到該企業(yè)內(nèi)部的 WEB 服務(wù)器，即可以訪問到該企業(yè)的網(wǎng)站。 PAT 把許多內(nèi)部 IP 地址轉(zhuǎn)換成一個(gè)單獨(dú)的IP 地址，每一個(gè)內(nèi)部地址通過給定一個(gè)不同 的端口好來確定轉(zhuǎn)換的唯一性。 地 址 轉(zhuǎn) 換 主 要 分 為 兩 種 類 型 ， 網(wǎng) 絡(luò) 地 址 轉(zhuǎn) 換 （ Network Address Translation,NAT）、端口地址轉(zhuǎn)換（ Port Address Translation， PAT）。 地址轉(zhuǎn)換 最初 主要用來解決是 IP 地址短缺的問題 ，后來地址轉(zhuǎn)換技術(shù)有了更多的用途，逐漸顯示出它的優(yōu)勢(shì)。這樣，就實(shí)現(xiàn)了兩種不同傳輸介質(zhì)的企業(yè)網(wǎng)絡(luò)的 Inter 接入方案。 這種接入方式具有很多優(yōu)勢(shì)：網(wǎng)絡(luò)上行下行速度高，而且可擴(kuò)展度高；因?yàn)槭枪饫w出口，所以網(wǎng)絡(luò)可靠、穩(wěn)定；可以使用固定 IP，方便建立企業(yè)網(wǎng)站； 性價(jià)比高，支持 VPN 技術(shù)等。 Fiber To The Building(FTTB， 光纖到樓 )，它是利用數(shù)字寬帶技術(shù)，光纖直接到樓內(nèi)機(jī)房，再通過高速以太網(wǎng)的形式到各個(gè)用戶。 一般現(xiàn)今比較流行的企業(yè)寬帶接入方式有以下幾種： ADSL、 DDN、光纖等。 現(xiàn)今企業(yè) 對(duì)信息的需求急劇增加，信息量呈指數(shù)增長(zhǎng)，通信業(yè)務(wù)也從電話、數(shù)據(jù)向視頻、多媒體等寬帶業(yè)務(wù)發(fā)展。鏈路聚合中，成員互相動(dòng)態(tài)備份，當(dāng)某一鏈路中斷時(shí)，其它成員能夠迅速接替其工作，這樣就很好的保障了整個(gè)網(wǎng)絡(luò)的穩(wěn)定性。 鏈路聚合技 術(shù)亦稱主干技術(shù)（ Trunking）或捆綁技術(shù)（ Bonding），其實(shí)質(zhì)是將兩臺(tái)設(shè)備間的數(shù)條物理鏈路“組合”成邏輯上的一條數(shù)據(jù)通路，稱為一條聚合鏈路， 簡(jiǎn)單地說就是把多個(gè)端口綁定成一個(gè)虛擬端口。 冗余鏈路 是提高網(wǎng)絡(luò)系統(tǒng)可用性的重要方法。而經(jīng)理室應(yīng)該可以訪問所有的部門，但是別的部門是不可以訪問他的??基于這些不同的訪問需求，可在三層交換機(jī)上配置 ACL 語句加以限制。而且，三層交換機(jī)還可以實(shí)現(xiàn)部分安全機(jī)制，它的 訪問列表的功能，可以實(shí)現(xiàn)不同 VLAN 間的單向或雙向通訊。 第三層交換技術(shù)正是為了解決傳統(tǒng)交換技術(shù)和路由器的缺陷而出現(xiàn)的，三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實(shí)現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)，第三層交換具有以下特征： 1) 執(zhí)行路由處理 2) 轉(zhuǎn)發(fā)基于第三層的業(yè)務(wù)流 3) 完成交換功能 4) 可以完成特殊服務(wù)，如報(bào)文過濾或訪問控制 該企業(yè)各部門處于不同的 VLAN 中， 某些部門之間是需要互相訪問的，如果用傳統(tǒng)的路由器來完成 VLAN 間互訪，所有跨 VLAN 的數(shù)據(jù)必須通過路由器轉(zhuǎn)發(fā)，路由的高延遲會(huì)引來用戶對(duì)網(wǎng)絡(luò)速度的抱怨， 不使用三層交換技術(shù)的話，唯一的解決方法是添置昂貴的路由器，而隨著日后企業(yè)不斷擴(kuò)大部門間的流量會(huì)更加增多，到時(shí)可能又要投入更多資金 更換更貴的路由器，這不符合企業(yè)網(wǎng)絡(luò)設(shè)計(jì)的可擴(kuò)展性原則。傳統(tǒng)路由器工作在第三層上，數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包通過源站點(diǎn)和目的站點(diǎn)的網(wǎng)絡(luò) 地址時(shí)被識(shí)別，路由技術(shù)可以有效地控制數(shù)據(jù)包，但轉(zhuǎn)發(fā)包的速度太慢，同時(shí)路由器存在價(jià)格高等方面缺點(diǎn)。交換機(jī)在操作過程中不斷的收集資料去建立它本身的地址表，當(dāng)交換機(jī)接收到一個(gè)數(shù)據(jù)包時(shí)，它會(huì)檢查該包的目的 MAC 地址，核對(duì)一下自己的地址表以決定從哪個(gè)端口發(fā)送出去。傳統(tǒng)局域網(wǎng)交換機(jī)只在介質(zhì)訪問層（ mac）處理數(shù)據(jù)包。 在該企業(yè)的 VLAN 端口配置中，各接入層的二層交換機(jī)與核心層的三層交換機(jī)之間的鏈路要配置成 trunk 鏈路 ， 其他端口配置成 access 鏈路， 這樣 VLAN 信息就可以在各二層交換機(jī)之間傳遞，不同交換機(jī)但是同一個(gè) VLAN 的用戶就可以相互訪問了。與接入鏈路不同，中繼連接能為多個(gè) VLAN 傳送流量。 處理 VLAN 時(shí)，交換機(jī)端口 支持兩種連接類型：接入鏈路（ access link）與中繼（ trunk）。只要把同一個(gè)部門的端口全部劃分進(jìn)同一個(gè) VLAN 就行了，而且還可以進(jìn)行跨交換機(jī)的端口 VLAN 劃分，也就是說不同交換機(jī)上的端口也可以在同一個(gè) VLAN 里，這樣 VLAN 的劃分就不必要受到物理空間的限制，具有很好的靈活性 。 IP 組播劃分 VLAN。 MAC 地址劃分VLAN。所以，我們必須在交換機(jī)上劃分好 VLAN，這樣， 只要加強(qiáng)對(duì)交換機(jī)的保護(hù)，不讓一般員工改變交換機(jī)的配置，就算 他們 更改 自己電腦的 IP 和子網(wǎng)掩碼也 無法訪問到其它部門了 。這樣看來好像不必要再劃分 VLAN 了，其實(shí)不然，因?yàn)檫@樣只作子網(wǎng)劃分是存在安全性問題的。虛擬局域網(wǎng)的好處是可以限制廣播范圍，