【正文】 企業(yè)網(wǎng)設計與優(yōu)化 27 IPsec VPN 功能模塊測試 Ipsec VPN 測試成功圖如 63 所示： 圖 6– 3 Ipsec VPN 測試成功圖 基于 ESP 加密的抓包圖如 64 所示： 圖 6– 4Ipsec VPN 測試成功圖 IPsec VPN 配置完成以后，采用了 GRE 隧道模式，全局啟用 I。在本方案中，根據(jù)集團的目前的需求，建立了基本的組策略： (1)密 碼長度最小值為 7 (2)密碼最長存留期為 30 天 (3)密碼過期期限為 50 天 (4)帳戶鎖定閥值為 5 次無效登陸 (5)啟動密碼必須符合復雜性需求策略 6 測試和驗證規(guī)則有效性 HSRP 功能模塊測試 在拓撲設備上配置完熱備份協(xié)議以后，進行相應的功能測試，測試其能夠實現(xiàn)雙機熱備，實現(xiàn)鏈路的冗余備份，經過測試成功實現(xiàn) HSRP 功能。 安全策略：在 Windows 系統(tǒng)中的域模式下，安全策略是保護系統(tǒng)及用戶在工作環(huán)境不被破壞的重要工具，在本方案中采用了組策略這個工具對全部系統(tǒng)提供安全保護，由于集團各個子公司采用獨立的管理模式，所以在每個域中單獨設置組策略，并使組策略應用到每個域中的用戶和計算機。 服務器發(fā)布：利用 ISA 服務器將企業(yè)中的郵件和 WEB 服務器發(fā)布到互聯(lián)網(wǎng)上，保證外部用戶可以訪問公司的 WEB服務器，并將公司用戶可以與外部客戶利用郵件交換信息。 防火墻功能： ISA 服務器位于企業(yè)網(wǎng)絡和外網(wǎng)之間，采用三網(wǎng)卡分別連接內網(wǎng)和外網(wǎng)和 DZM 區(qū)，充分利用防火墻的角色，并利用網(wǎng) 站和內容規(guī)則來限制用戶能夠訪問的網(wǎng)站。具體的設計方案如下： 企業(yè)網(wǎng)設計與優(yōu)化 25 ISA Server： ISA Server 是微軟公司出品的軟件防火墻代理服務器產品，它不僅可以起到代理服務器的緩存作用，也能實現(xiàn)防火墻的功能，通過軟件防火墻上設置過濾規(guī)則，可以控制內部用戶對網(wǎng)站的訪問，同時利用其提供的服務器發(fā)布功能，也可以將企業(yè)內部的服務 器發(fā)布到 Inter 上，提供互聯(lián)網(wǎng)的訪問，在本方案的設計中，主要利用了網(wǎng)站過濾和服務器發(fā)布的功能，在集團中心即房安裝和配置 ISA 服務器，繼承防火墻功能和代理服務器的功能，將集團總部及子公司的 WEB 服務器及 MAIL 服務器發(fā)布到互聯(lián)網(wǎng)上。其次，在方案設計中，充分應用 Window 系統(tǒng)提供的組策略功能，利用組策略，可以在每個公司的域中設計安全策略。在本域內的權限的分配，可以使用 AGDLP 策略，在域間的權限分配，使得 AGDLP 策略，依次將用戶加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權限授予指定的域本地組，采用這樣的方式，不僅可以使用戶的組織和權限分配簡單，也可以減少域間的復制流量，從而提高系統(tǒng)的性能 [16]。 組的管理 為了滿足集團用戶管理的需求，更好的在網(wǎng)絡中管理用戶權限的分配，使系統(tǒng)的管理得到最大的簡化，方案中采用 AGDLP 策略及 AGUDLP 策略。 用戶管理 為了規(guī)范用戶帳戶的管理，系統(tǒng)中所有的用戶采用統(tǒng)一的命名規(guī)范，每個用戶在網(wǎng)絡中擁有唯一的登陸名。 OU 的設計 企業(yè)的 OU 設計目的是為了使用用戶管理更有效率，結構更加清晰，并能夠使系統(tǒng)的管理結構與集團的商業(yè)模型相匹配。采用這種結構，可以將網(wǎng)絡中的全部資源，分散到每個域的域控制器中存儲，減少了每臺域控制器的信息存儲，從而減少復制流量和網(wǎng)絡對象的查詢時間。本方案采用 Windows 系統(tǒng)提供的域模式來組織和管理全部系統(tǒng)資源，采用域的模式，不僅可以集中存儲網(wǎng)絡對象，并且管理簡單，即實現(xiàn)了集中管理，又可以滿足不同公司自身的安全需求。系統(tǒng)建立完成后，要求能滿足企業(yè)各方面的應用需求，包括辦公自動化，郵件收發(fā)，信息共享和發(fā)布，員工帳戶管理，系統(tǒng)安全管理等 [15]。同時需要建立 WEB 服務器，用于在互聯(lián)網(wǎng)上發(fā)布企業(yè)信息。如果想擴大企業(yè)園區(qū)的拓撲撲結構可以增加交換機的級聯(lián)，實現(xiàn)端口密度的擴充，增加相同結構，實現(xiàn)擴展，同時增加路由數(shù)量實現(xiàn)多級擴充，對設備的配置基本相同，最終實現(xiàn)了企業(yè)的良好的擴展性，增大園區(qū)規(guī)模，也保證了數(shù)據(jù)的高效傳輸。 IPsec VPN 功能模塊拓撲圖如 49 所示： 企業(yè)網(wǎng)設計與優(yōu)化 22 圖 4– 9 Ipsec VPN 拓撲圖 在總部與分公司的連接通信中，為了保證通信的安全高效性，使 用了 IPsec VPN 技術來實現(xiàn)異地的通信，通過互聯(lián)網(wǎng)傳輸，為自己建立一條隧道，使用 GRE 隧道技術，采用了 IPsec VPN 的封裝協(xié)議，使用加密算法，身份認證及共享密鑰機制，實現(xiàn)了公司各部門之間數(shù)據(jù)的安全傳輸。同時兩個公司基于隧道配置相應的 IP 地址保證了通過互聯(lián)網(wǎng)傳輸?shù)陌踩浴?設計中采用了 GRE隧道模式，全局啟用 ISAKMP并定義對等體及其 PSK（預共享密鑰） ，定義 IKE 策略， Ipsec 轉換集，基于 ESP 的加密等技術，實現(xiàn)網(wǎng)絡傳輸?shù)陌踩煽浚庸竞涂偛康母咝нB接。如果一方在 nat 之后，那就比較羅嗦了。 生成樹配置圖如 48 所示： 企業(yè)網(wǎng)設計與優(yōu)化 20 圖 4– 8 生成樹協(xié)議配置圖 IPsec VPN 功能模塊 IPsec VPN 通過 Inter 建立了一個通訊的隧道，通過這個通訊的隧道，就可以建立起網(wǎng)絡的連接。 動態(tài)路由配置圖如 47 所示： 圖 4– 7 OSPF 動態(tài)路由配置圖 生成樹算 法的網(wǎng)橋協(xié)議 STP(Spanning Tree Protocol),它通過生成生成樹保證一個已知的網(wǎng)橋在網(wǎng)絡拓撲中沿一個環(huán)動態(tài)工作網(wǎng)橋與其他網(wǎng)橋交換 BPDU消息來監(jiān)測環(huán)路，然后關閉選擇的網(wǎng)橋接口取消環(huán)路 ,統(tǒng)指 IEEE802當一個區(qū)內的路由器出了故障時并不影響自治域內其它區(qū)路由器的正常工作，這也給網(wǎng)絡的管理、維護帶來方便 [13]。 與 RIP 不同， OSPF 將一個自治域再劃分為區(qū)，相應地即有兩種類型的路由選擇方式：當源和目的地在同一區(qū)時，采用區(qū)內路由選擇；當源和目的地在不同區(qū)時，則采用區(qū)間路由選擇。利用 OSPF 的路由器首先必須收集有關的鏈路狀態(tài)信息，并根據(jù)企業(yè)網(wǎng)設計與優(yōu)化 19 一定的算法計算出到每個節(jié)點的最短路徑。 基于時間的 ACL 配置圖如 45 所示： 企業(yè)網(wǎng)設計與優(yōu)化 18 圖 4– 5 基于時間的 ACL 功能模塊圖 測試成功圖如 46 所示： 圖 4– 6 ACL 訪問控制列表測試成功圖 OSPF 動態(tài)路由及 STP 生成樹配置模塊 OSPF 是一種基于鏈路狀態(tài)的 路由協(xié)議，需要每個路由器向其同一管理域的所有其它路由器發(fā)送鏈路狀態(tài)廣播信息。 基于時間的訪問控制列表對網(wǎng)絡的流量進行的相應的優(yōu)化，能夠有效分配網(wǎng)絡流量，在不同的時間段給予不同的部門相適應的流量，保證網(wǎng)絡高效安全的運行，實現(xiàn)預期效果。 訪問控制列表不但可以起到控制網(wǎng) 絡流量、流向的作用，而且在很大程度上起到保護網(wǎng)絡設備、服務器的關鍵作用。這些指令列表用來告訴路由器哪能些數(shù)據(jù)包可以收、哪能數(shù)據(jù)包需要拒絕。訪問控制涉及的技術也比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡權限控制、目錄級控制以及屬性控制等多種手段。 具體配置模塊圖如下 43 所示： 圖 4– 3 HSRP 配置模塊圖 ACL 訪問控制列表模塊 訪問控制是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和訪問。 具體主要配置命令如下： STP 根網(wǎng)橋配置（將核心交換機 SW1 配置為根網(wǎng)橋） sw1(config)spanningtree vlan 1 priority 0 //最高優(yōu)先級 sw1(config)spanningtree vlan 8 priority 0 sw1(config)spanningtree vlan 10 priority 0 sw1(config)spanningtree vlan 11 priority 0 sw1(config)spanningtree vlan 12 priority 0 STP 備份根網(wǎng)橋配置（將核心交換機 SW2 配置為備份根網(wǎng)橋） sw2(config)spanningtree vlan 1 priority 4096 //次高優(yōu)先級 sw2(config)spanningtree vlan 8 priority 4096 sw2(config)spanningtree vlan 10 priority 4096 sw2(config)spanningtree vlan 11 priority 4096 SW1 的 HSRP 配置 sw1(config)interface vlan 8 sw1(configif)standby 8 ip //配置 HSRP 組 8 的虛 IP sw1(configif)standby 8 priority 120 //配置 HSRP 組 8 的優(yōu)先級 sw1(configif)standby 8 preempt // 配置 HSRP 組 8 的搶占 sw1(configif)exit sw1(config)interface vlan 10 sw1(configif)standby 10 ip //配置 HSRP 組 10 的虛 IP sw1(configif)standby 10 priority 120 //配置 HSRP 組 10 的優(yōu)先級 sw1(configif)standby 10 preempt // 配置 HSRP 組 10 的搶占 sw1(configif)standby 10 track fastEther 0/12 30 //配置 HSRP 組 10 跟蹤上連接口，上連接口DOWN 則優(yōu)先級減 30 sw1(configif)exit sw1(configif)standby 11 ip //配置 HSRP 組 11 的虛 IP sw1(configif)standby 11 preempt // 配置 HSRP 組 11 的搶占 sw1(configif)exit 企業(yè)網(wǎng)設計與優(yōu)化 16 sw1(config)interface vlan 12 sw1(configif)standby 12 ip //配置 HSRP 組 12 的虛 IP sw1(configif)standby 12 priority 120 //配置 HSRP 組 12 的優(yōu)先級 sw1(configif)standby 12 preempt // 配置 HSRP 組 12 的搶占 sw1(configif)exit （優(yōu)先級默認為 100） 主要命令如上所示，其他設備的進行相應的配置，三層交換機是配置的核心， STP生成樹協(xié)議， HSRP 等的具體配置都在其上邊進行，同時為不同部門之間劃分 VLAN 同時配置相應的 IP 和虛擬 IP，分配端口；在二層交換機上劃分相應的 VLAN，需要的同時 可以配置管理 IP，可以使用交換機的疊加原理，便于公司人員的擴充，兩個二層交換機的VLAN 劃分要相同，最后接入的用戶分屬于不同部門不同 VLAN，最后測試成功，完成鏈路的冗余備份，總司出口為 R1，在其上邊配置了 ACL 訪問控制列表，同時優(yōu)化擴充為基于時間的控制列表，配置完成后接著配置實現(xiàn)與分公司之間通信的 IPsec VPN 隧道技術。 熱備份優(yōu)先級：在主用的多層交換機了，某個 VLAN 虛擬接口的熱備份優(yōu)先級是 120。 熱備份組號：熱備份組號與接口的 VLAN 號相同。啟用 HSRP 協(xié)議之后，這個地址就是 HSRP 的虛擬地址。另外，通過多個熱備份組，路由器可以提供冗余備份，并在不同的 IP 子網(wǎng)上實現(xiàn)負載分擔 [11]。當網(wǎng)絡邊緣設備或接入電路出現(xiàn)故障時， HSRP 提供 了一個較好的解決方案，它能夠確保用戶通信迅速并透明地恢復，以此為 IP 網(wǎng)絡提供冗余性、容錯和增強的路由選擇功能。 VLAN 劃分配置如圖 42 所示： 圖 4– 2 VLAN 配置圖 企業(yè)網(wǎng)設計與優(yōu)化 15 HSRP 功能模塊 HSRP 是 CISCO 公司是所特有的。 100110 保留 1831 任意 用戶地址 表 4– 3 具體 IP 地址分配表 機構 地址空間 用途 /21 總部應用類 1 微機室工作人員地址空間 地址空間 地址空間 地址空間 企業(yè)網(wǎng)設計與優(yōu)化 12 地址空間 人員地址空間 地址空間 地址空間 分部 1 人員全部地址空間 人員全部地址空間 人員全部地址空間 人員全部地址空間 子公司 1的應用類 1后勤部工作人員全部地址空間 工作人員全部地址空間 人員全部地址空間 人員全部地址空間 分部 2 人員全部地址空間 ..人員全部地址空間 人員全部地址空間 人員全