【正文】 感謝在 永州職業(yè)技術(shù)學(xué)院 三年里和我共同學(xué)習(xí)和生活的同學(xué)們感謝你們對我的照顧對我做錯(cuò)事情的理解 。 在論文的寫作過程中，也得到了許多同學(xué)的寶貴建議，同時(shí)還得到許多實(shí)習(xí)期同事的支持和幫助，在此一并致以誠摯的謝意，感謝所有關(guān)心、支持、幫助過我的良師益友。 3）本方案中使用的主要技術(shù)方法： 1采用成熟的 OSPF 協(xié)議規(guī)劃網(wǎng)絡(luò)； 2VLAN 技術(shù)保證部門的隔離和安全， VTP 管理 VLAN 的傳播； 3HSRP 技術(shù)增強(qiáng)骨干網(wǎng)的穩(wěn)定性， 4組播 技術(shù)，保證鏈路帶寬費(fèi)充分利用，避免浪費(fèi)； 5ACL 管理，保證企業(yè)數(shù)據(jù)的安全性； 廣東港隆文具有限公司局域網(wǎng)設(shè)計(jì) 29 / 30 參考文獻(xiàn) [ . [2 Dinae Teare .CCNP 學(xué)習(xí)指南：組建可擴(kuò)展的 Cisco 互聯(lián)網(wǎng)絡(luò)（ BSCI）（第三版） .人民郵電出版社 [3 Brian Man Neil Lovering. CCNA ISCW 認(rèn)證考試指南 .人民郵電出版社 [4 Amir Ranjbar. CCNP ONT 認(rèn)證考試指南 .人民郵電出版社 [5 Richard Froom, Balaji Sivasubramanian, Erum Frahim. CCNP 學(xué)習(xí)指南：組建 Cisco多層交換網(wǎng)絡(luò) (BCMSN)(第 4 版 ).人民郵電出版社 [6 David Hucaby .CCNP BCMSN 認(rèn)證考試指南 (第 4 版 ).人民郵電出版社 [7 David Hucaby .CCNP BCMSN 認(rèn)證考試指南 (第三版 ).人民郵電出版社 [ 王達(dá)編著 網(wǎng)絡(luò)工程師必讀 —— 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) 電子工業(yè)出版社 2022 年出版 [ 徐昌彪 、 鮮永菊編著 計(jì)算機(jī)網(wǎng)絡(luò)中的擁塞控制與流量控制 人民郵電出版社 2022 年出版 廣東港隆文具有限公司局域網(wǎng)設(shè)計(jì) 30 / 30 致謝 在論文完成之際，我要特別感謝我的指導(dǎo)老師 陳齊 老師的熱情關(guān)懷和悉心指導(dǎo)。綜合這些因素，使用網(wǎng)絡(luò)設(shè)備商的中低端設(shè)備，構(gòu)建快速以太網(wǎng)，是適合中小型企業(yè)網(wǎng)絡(luò)的解決方案。對于企業(yè)而言，網(wǎng)絡(luò)的構(gòu)建是企業(yè)不可缺少的一部分。網(wǎng)絡(luò)應(yīng)用安全還應(yīng)該包括對網(wǎng)絡(luò)內(nèi)部不同用戶權(quán)限的外部訪問控 制（例如沒有授權(quán)用戶不準(zhǔn)上 Inter或不準(zhǔn)訪問與公司業(yè)務(wù)無關(guān)的娛樂性網(wǎng)站等）。通常我們需要在路由器上打開外出包過濾去防止欺騙包離開網(wǎng)絡(luò)，同時(shí)也可以采用工具去搜索本網(wǎng)絡(luò)中 DDOS 的引擎并且刪除它。 分布式 DOS 攻擊（ DDOS） DDOS 攻擊是一種更嚴(yán)重的攻擊手段，它 通過某些主機(jī)操作系統(tǒng) /軟件的缺陷，從而操縱大量的第三方設(shè)備向目標(biāo)發(fā)起攻擊，擴(kuò)大了 DOS 攻擊的強(qiáng)度。在短時(shí)間內(nèi)大量發(fā)起 SYN 攻擊，會很快消耗完設(shè)備的資源，讓被攻擊者無法完成正常的 TCP 服務(wù)，如 EMAIL，WWW 等。 SYN 攻擊 TCP SYN 攻擊是一種以大量虛假 IP 地址發(fā)起 SYN 握手信號消耗掉被攻擊設(shè)備的資源的攻擊模式。 防止 SMURF 攻擊的重要措施是在路由器上配置不準(zhǔn)廣播進(jìn)入的條目。當(dāng)然中間系統(tǒng)也可能同樣是受害者。當(dāng)一個(gè)包是從設(shè)備的本地網(wǎng)絡(luò)外發(fā)送到本地網(wǎng)絡(luò)的廣播地址的時(shí)候，它被轉(zhuǎn)發(fā)到這個(gè)本地網(wǎng)絡(luò)的所有設(shè)備上。 SMURF 攻擊 SMURF 攻擊類似與 PING 攻擊，是一種帶寬消耗的攻擊模 式。所以 HACKER 需要利用虛假的地址再發(fā)起攻擊。具體實(shí)現(xiàn)方法有下面幾種： PING/ICMP Echo Flood 攻擊 這種攻擊模式一般是發(fā)起大量的 ICMP Echo 請求給一個(gè)指定的目標(biāo)，以達(dá)到使服務(wù)癱瘓的目的。一旦黑客成功地將他的計(jì)算機(jī)取代了網(wǎng)絡(luò)上的一臺實(shí)際主機(jī)，就實(shí)現(xiàn)了主機(jī)欺騙。主機(jī) A 和這些網(wǎng)關(guān)收到的虛假路由信息是來自網(wǎng)絡(luò)上的一臺不工作或沒有使用的主機(jī)，如主機(jī) B。這種缺陷的結(jié)果是使得黑客可以發(fā)送虛假的路由信息到他想進(jìn)行欺騙的一臺主機(jī)，如主機(jī) A。 IP 地址欺騙 當(dāng)一個(gè)黑客開始使用一種用以散布網(wǎng)絡(luò)路由信息的應(yīng)用程序 RIP 時(shí)，一種路由方式的地址欺騙就開始了。 ARP 欺騙 感染了 ARP 欺騙病毒的計(jì)算機(jī)會向同網(wǎng)段內(nèi)所有計(jì)算機(jī)發(fā) ARP 欺騙 包，導(dǎo)致網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)因網(wǎng)關(guān)物理地址被更改而無法上網(wǎng)，被欺騙計(jì)算機(jī)的典型癥狀是剛開機(jī)能上網(wǎng)，幾分鐘之后斷網(wǎng)，如此不斷重復(fù)，造成了該子網(wǎng)段范圍內(nèi)的不穩(wěn)定，影響其它機(jī)器的正常使用。其中典型的包探測程序也就是利用 IP 的弱點(diǎn)，因?yàn)樗梢杂脕硖綔y有效的 Inter連接。顯然，安全性不好的系統(tǒng)將是黑客進(jìn)駐和安裝探測軟件的地方。 IP 的最基本的缺點(diǎn)是缺乏一種機(jī)制來確定數(shù)據(jù)包的真正 來源。 網(wǎng)絡(luò)嗅探 一般說來，有網(wǎng)絡(luò)路由器的地方都有探測程序（ sniffer program）。要有效防止黑客，就必須首先了解黑客所使用的手段。 網(wǎng)絡(luò)應(yīng)用安全 談到網(wǎng)絡(luò)應(yīng)用安全，人們首先想到的是網(wǎng)絡(luò)黑客。 第五章 . 安全管理體制 安全系統(tǒng)只能提供技術(shù)手段和措施，但人為的因素不可忽略，只有確立健全的安全管理體制，設(shè)立相應(yīng)的安全管理崗位，從制度上加以嚴(yán)格管理。 入侵檢測系統(tǒng)需求 網(wǎng)絡(luò)安全是整體的、動(dòng)態(tài)的，不是單一產(chǎn)品能夠完全實(shí)現(xiàn)的，所以為了確保網(wǎng)絡(luò)更加安全必須配備入侵檢測系統(tǒng)，對透過防火墻的攻擊進(jìn)行檢測并做相應(yīng)反應(yīng)（記錄、報(bào)警、阻斷）。可以保證數(shù)據(jù)的保密性、完整性及可靠性。如果利用加密設(shè)備對傳輸數(shù)據(jù)進(jìn)行加密，使得在網(wǎng)上傳輸?shù)臄?shù)據(jù)以密文傳輸。對重要的設(shè)備進(jìn)行冗余配置；對重要系統(tǒng)進(jìn)行備份等安全保護(hù)。需要對存放機(jī)密信息的機(jī)房進(jìn)行必要的設(shè)計(jì)，如構(gòu)建屏蔽室。外網(wǎng)對安全的需求包括物理安全需求、數(shù)據(jù)鏈路層需求、入侵檢測系統(tǒng)需求、防病毒系統(tǒng)需求和安全管理體制等。針對系統(tǒng)的功能采取相應(yīng)的管理措施。隨著系統(tǒng)復(fù)雜度的增加，會給系統(tǒng)管理帶來成指數(shù)增加的管理工作量。 防病毒系統(tǒng)需求 針對防病毒危害性極大并且傳播極為迅速，必須配備從單機(jī)到服務(wù)器的整套防病毒軟件，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)。特別是對于存放敏感數(shù)據(jù)的主機(jī)的攻擊往往發(fā)自內(nèi)部用戶，如何對內(nèi)部用戶進(jìn)行訪問控制和安全防范就顯得特別重要。內(nèi)網(wǎng)對安全的需求包括 VLAN 設(shè)置需求、防病毒系統(tǒng)需求、網(wǎng)絡(luò)管理需求和網(wǎng)絡(luò)系統(tǒng)管理等。 OSPF 其它特性： OSPF 定義了 Stub Area 及 NotSoStubbyArea(NSSA)，為設(shè)計(jì) 包含多種路由協(xié)議的混合網(wǎng)絡(luò)，以及控制 LSDB 及路由表的大小提供了手段。 廣東港隆文具有限公司局域網(wǎng)設(shè)計(jì) 23 / 30 沒有路由跳數(shù)限制： OSFF 路由表是基于 LSDB 運(yùn)行 Dijkstra 算法計(jì)算出來的，沒有跳數(shù)限制。同時(shí) OSPF 還引入了外部路由(External Routes)及 ASBR (Autonomous System Boundary Router)概念，非 OSPF路由均視為外部路由，由 ASBR 注入到 OSPF 域。 支持 VLSM： OSPF LSA(Link State Advertisement)中包含子網(wǎng)掩碼。另一方面則在于 OSPF 的開放性，為用戶網(wǎng)絡(luò)今后的擴(kuò)展提供了較大的空間和靈活性，從而獲得了廣泛的認(rèn)可，使之成為內(nèi)部路由協(xié)議的一種較佳選擇。在 I O S 版本 11 . 3 中引入了自反訪問表，并且它可用在所有的路由器平臺上。在該過程中，訪問表執(zhí)行的動(dòng)作稱為自反向過濾（ reflexive filtering）。在正常的操作模式下，自反訪問表被配置并用于從路由器的不可信方，例如連接到 I n t e r n e t 的串行端口，創(chuàng)建開啟表項(xiàng)。如果路由器接口配置成為支持三種協(xié)議（ IP、 AppleTalk 以及 IPX）的情況，那么，用戶必 須定義三種 ACL 來分別控制這三種協(xié)議的數(shù)據(jù)包。 ACL 適用于所有的被路由協(xié)議，如 IP、 IPX、AppleTalk 等。 安全性：網(wǎng)絡(luò)內(nèi)應(yīng)按工作內(nèi)容劃分成不同網(wǎng)段即子網(wǎng)以便進(jìn)行管理。 廣東港隆文具有限公司局域網(wǎng)設(shè)計(jì) 19 / 30 靈活性：地址分配不應(yīng)該基于某個(gè)網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多數(shù)路由策略在該地址分配方案上實(shí)現(xiàn)優(yōu)化。 連續(xù)性：為同一個(gè)網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于采用SUMMARIZATION 及 CIDR(CLASSLESS INTERDOMA IN ROUTING)技術(shù)縮減路由表的表項(xiàng)，提高路由器的處理效率。其中 VLAN10—— VLAN40 為各部門 VLAN，禁止互訪， VLAN 50 為公司文件服務(wù)器區(qū)，能被任何部門訪問， VLAN 60 為網(wǎng)管區(qū)，能單向訪問各個(gè)部門。具體做法可以是將交換機(jī)的每一端口劃分一個(gè) VLAN 以實(shí)現(xiàn)所有用戶間的二層隔離，此時(shí)如果需要互聯(lián)，可通過上 連設(shè)備的 ACL 功能來控制；也可以根據(jù)需要將多個(gè)交換機(jī)的不同端口劃為同一個(gè)VLAN，直接實(shí)現(xiàn)有限制的用戶互聯(lián)。 接入層設(shè)備為二層交換機(jī)。 采用虛擬局域網(wǎng) VLAN 主要出于三個(gè)目的：用戶隔離、提高網(wǎng)絡(luò)效率；提供靈活的管理；提高系統(tǒng)安全性。 由于交換機(jī)為二層設(shè)備，所以基于應(yīng)用協(xié)議的 VLAN 對于交換機(jī)來說沒有任何 意義，反而會造成交換機(jī)性能的下降。 VLAN 規(guī)劃 目前， VLAN 技術(shù)可以使用以下方式組建：基于交換機(jī)端口的 VLAN、基于 MAC地址的 VLAN 和基于應(yīng)用協(xié)議的 VLAN： 基于端口的 VLAN，即靜態(tài) VLAN，特點(diǎn)是技術(shù)簡單，容易配置且維護(hù)工作量小，缺點(diǎn)是終端設(shè)備移動(dòng)時(shí)需要更改設(shè)備配置。通過在一個(gè)物理網(wǎng)段上劃分出多個(gè)邏輯網(wǎng)段，由每一個(gè)邏輯網(wǎng)段構(gòu)成一個(gè) VLAN，其內(nèi)部采用交換機(jī)連接，所有的廣播信息只限制在本 VLAN 內(nèi)，而之間的連接則采用廣東港隆文具有限公司局域網(wǎng)設(shè)計(jì) 17 / 30 路由實(shí)現(xiàn)，具體實(shí)施時(shí)可以外加路由器，或者直接使用第三層交換設(shè)備。 使用路由器時(shí)可以將網(wǎng)絡(luò)劃分多個(gè)物理網(wǎng)段，這些物理網(wǎng)段可以連接到路由器的多個(gè)端口，多個(gè)物理網(wǎng)段間通過路由器進(jìn)行通信，但是路由器的端口價(jià)格遠(yuǎn)遠(yuǎn)高出交換機(jī)的端口價(jià)格，所以這種方式將增加設(shè)備投資，在物理網(wǎng)段增多時(shí)就更為嚴(yán)重，而且只有使用高端設(shè)備才能滿足高端口密度的要求，所以不推薦這種方式。如果不隔離這些廣播消息而讓其他用戶接 收到，容易發(fā)生 MAC/IP 地址仿冒，影響設(shè)備的正常運(yùn)行，中斷合法用戶的通信過程。 另一方面，接入網(wǎng)需要保障用戶數(shù)據(jù)（單播地址的幀）的安全性，隔離攜帶有用戶信息的廣播消息（如 ARP、 DHCP 消息等），防止關(guān)鍵設(shè)備受到攻擊。 通過劃分虛擬局域網(wǎng)，隔離不同部門，可以增強(qiáng)企業(yè)網(wǎng)絡(luò)安全性，以下詳細(xì)論述了虛擬局域網(wǎng)的技術(shù)及在網(wǎng)絡(luò)系統(tǒng)中的必要性和設(shè)計(jì)方案。 產(chǎn)品規(guī)格及參數(shù)：（見 表所示） 型號 H3C S310052p 固定端口 24 個(gè) 10/100BaseTX 以太網(wǎng)端口， 2 個(gè) 10/100/1000BaseT 以太網(wǎng)端 口和 2 個(gè)復(fù)用的 1000BaseX SFP 千兆以太網(wǎng)端口 廣東港隆文具有限公司局域網(wǎng)設(shè)計(jì) 15 / 30 交換容量 所有端口支持線速轉(zhuǎn)發(fā) 包轉(zhuǎn)發(fā)率 交換模式 存儲轉(zhuǎn)發(fā)模式（ Store and Forward） 支持 QoS 每個(gè)端口支持 4 個(gè)輸出隊(duì)列 MAC 地址 支持 8K MAC 地址 支持黑洞 MAC 支持設(shè)置端口最大 MAC 地址學(xué)習(xí) VLAN 支持基于端口的 VLAN(4K 個(gè) ) 支持 VLAN VPN（ QinQ） 支持 GVRP 支持 ACL 支持 L2（ Layer 2）～ L4（ Layer 4）包過濾功能，可以匹配報(bào)文前 80 個(gè)字節(jié)，提供基于源 MAC 地址、目的 MAC、源 IP 地址、目的 IP 地址、 IP 協(xié)議類型、 TCP/UDP 端口、 TCP/UDP 端口范圍、 VLAN 等定義 ACL 支持基于時(shí)間段（ Time Range）的 ACL 支持基于端口組、全局、 VLAN 批量下發(fā) ACL 安全特性 用戶分級管理和口令保護(hù) 支持 Guest VLAN 支持 IEEE 認(rèn)證 支 持集中 MAC 地址認(rèn)證 支持 SSH 支持 IP 源地址保護(hù) 支持 ARP 入侵檢測功能 支持 ARP 報(bào)文限速功能 支持端口隔離 支持 IP＋端口的綁定 支持 IP+MAC 的綁定 支持端口＋ MAC 的綁定 支持 IP+MAC+端口的綁定 管理與維護(hù) 支持 XModem/FTP/TFTP 加載升級 支持命令行接口（ CLI）， Tel， Console 口進(jìn)行配置 支持 SNMPv1/v2/v3， WEB 網(wǎng)管 支持 RMON（ Remote Monitoring） 1， 2， 3， 9 組 MIB 支持 H3C iMC 智能管理中 心 支持系統(tǒng)日志，分級告警，調(diào)試信息輸出 支持 IPv6 host，包括 IPv6 單播地址配置， ICMPv6， IPv6 鄰居發(fā)現(xiàn)協(xié) 議（ ND）， IPv6 靜態(tài)路由， IPv6PING， IPv6TCP， IPv6TFTP， 支持 Te