【正文】 安全支持 IPsec VPN 簡介 ： IPSec 是安全聯(lián)網(wǎng)的長期方向。訪問 Inter 的私有地址可隨機(jī)的轉(zhuǎn)換成任何指定的合法 ip 地址。 NAT 實現(xiàn)的技術(shù)：靜態(tài)地址轉(zhuǎn)換（ static Nat）、動態(tài)地址轉(zhuǎn)換和端口多路復(fù)用技術(shù) 靜態(tài)地址轉(zhuǎn)換：將網(wǎng)絡(luò)中的私有 ip 地址轉(zhuǎn)換成公有 ip 地址。具體來說，就是對每個子網(wǎng)的默認(rèn)網(wǎng)關(guān)配置了 HSRP，各個子網(wǎng)的默認(rèn)網(wǎng)關(guān)均是由 HSRP 虛擬出來的 IP 地址。 一個 HSRP 組中哪個處于 active 狀態(tài)是通過成員端口分配不同的優(yōu)先級來實現(xiàn)的，優(yōu). . 先級高的端口處于 active 狀態(tài)，而優(yōu)先級低的端口則處于 standby 狀態(tài)。對其他網(wǎng)絡(luò)設(shè)備來說，只能同該虛擬的 IP 地址通訊。因此，對路由器采用熱備份是提高網(wǎng)絡(luò)可靠性的必然選擇，在一個路由器完全不能工作的情況下，它的全部功能便被系統(tǒng)中的另一個備份路由器接管，直至出現(xiàn)問題的路由器恢復(fù)正常。 路由器是整個網(wǎng)絡(luò)的核心和心臟，如果路由器發(fā)生致命的故障。提高連接可靠性：當(dāng)某個成員接口出現(xiàn)故障時，流量會自動切換到其他可用的成員接口上，從而提高整個捆綁鏈路的鏈接可靠性。 作用： 流量負(fù)載分擔(dān)：出 /入流量可以在多個成員接口之間 分擔(dān)。 一個 EtherChannel 內(nèi)的所有端口都必須配置到相同的接入 vlan 或配置到 vlan 干道中 EtherChannel 內(nèi)的所有端口都必須配置相同的干道模式 。 . . Cisco 交換機(jī)上支持 PAGP(端口匯聚協(xié)議 )和 LACP(鏈路匯聚控制協(xié)議 )，其中 PAGP 是 Cisco似有的協(xié)議，而 LACP 是基于業(yè)界標(biāo)準(zhǔn)化組織 的協(xié)議，為連接 Cisco 交換機(jī)和其他支持 的非 Cisco 廠商交換機(jī)則可以使用 LACP 形成的 EtherChannel EtherChannel 配置原則 在每個 EtherChannel 中 Cisco 交換機(jī)最多允許包括 8 個 端口 一個 EtherChannel 內(nèi)的端口必須使用相同的協(xié)議（ PAGP 和 LACP） 一個 EtherChannel 內(nèi)的所有端口都必須具有相同的速度和雙工模式，要求端口只能工作在全雙工模式下 。 狀態(tài)： （ 1） 阻塞狀態(tài)：不能轉(zhuǎn)發(fā)數(shù)據(jù)幀，能夠收發(fā) BPDU 幀，不能獲取地址，廢棄接口上受到的數(shù)據(jù)幀 （ 2） 偵聽狀態(tài)：廢棄接口上受到的，不能轉(zhuǎn)發(fā)數(shù)據(jù)幀 （ 3） 學(xué)習(xí)狀態(tài)：廢棄接口上受到的數(shù)據(jù)幀 （ 4） 轉(zhuǎn)發(fā)狀態(tài)：可以轉(zhuǎn)發(fā)數(shù)據(jù)包，接收和轉(zhuǎn)發(fā)受到的數(shù)據(jù)幀 （ 5） 禁用狀態(tài)：不轉(zhuǎn)發(fā)不接收 作用：避免網(wǎng)絡(luò)環(huán)路的出現(xiàn)， 起到線路備份的作用 EtherChannel 原理： 以太通道也稱為以太端口捆綁，端口聚集或以太鏈路聚集 以太通道為交換機(jī)提供了端口捆綁的技術(shù)，將多個物理以太端口聚合在一起形成一個邏輯上的聚合組，同一聚合組內(nèi)的多條物理鏈路視為一條邏輯鏈路，鏈路聚合可以實現(xiàn)出 /入負(fù)荷。目前多數(shù)廠商都支持 STP 協(xié)議，但是不允許多個 STP 域。通過這種方法，在具有冗余連接的交換機(jī)端口上分別針對不同的 VLAN 設(shè)置不同的優(yōu)先權(quán)，既可以實現(xiàn)鏈路的冗余，又可以實現(xiàn)負(fù)載的均衡。在交換機(jī)上對端口的優(yōu)先權(quán)的設(shè)置可以基于 VLAN 進(jìn)行，每個端口對于不同的 VLAN 設(shè)置不同的優(yōu)先權(quán)。Cisco 交換機(jī)的一個非常有用的特性 就是可以對每個 VLAN 設(shè)置 Spanning Tree ,而不是對整個網(wǎng)絡(luò)只能屬于一個 SpanningTree。 STP 對于終端是透明的，終端感覺不到 STP 的操作過程。如果網(wǎng)絡(luò)的連接狀況發(fā)生了變化， STP 算法會自動地重新計算新的連接關(guān)系，重新選出新的活動的連接。為了解決這個矛盾，推出了 STP 協(xié)議?？梢员ＷC vtp 域內(nèi)的 vlan 信息的同步。在一臺 VTP Server 上配置一個新的 VLAN 時，該 VLAN 的配置信息將自動傳播到本域內(nèi)的其他所有交換機(jī)。但由于它是邏輯地而不是物理地劃分，所以同一個 vlan 內(nèi)的各個工作站無須被放置在同一個物理空間里，同一個 vlan 的廣播和單薄流量都不會轉(zhuǎn)發(fā)到其他 vlan 中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 網(wǎng)絡(luò)常用技術(shù)介紹 VLAN 原理： （ virtual loal Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新型技術(shù)， IEEE 于 1999 年頒布了用以標(biāo)準(zhǔn)化 vlan 實現(xiàn)方案的 協(xié)議標(biāo)準(zhǔn)草案。 安全產(chǎn)品選型原則 公司屬于一個新興的公司但是我們想在搭建自己的網(wǎng)絡(luò)中具備各自的安. . 全性，因此在安全產(chǎn)品的選型上，必須慎重，選型的原則包括： 安全保密產(chǎn)品的接入應(yīng)不明顯影響網(wǎng)絡(luò)系統(tǒng)運行效率，并且滿足工作的要求，不影響正常的業(yè)務(wù)； 安全保密產(chǎn)品不許滿足上面提出的安全需求，保證整個公司網(wǎng)絡(luò)的安全性。 重要服務(wù)器的當(dāng)機(jī)或者重要數(shù)據(jù)的意外丟失，都將會造成安博公司的系統(tǒng)癱瘓，無法正常運行。 內(nèi)部用戶的惡意攻擊，就網(wǎng)絡(luò)安全來說，很大一部分的攻擊來自內(nèi)部用戶，相比外部攻擊來說，內(nèi)部用戶具有更得天獨厚的優(yōu)勢，因此，對內(nèi)部用戶攻擊的防范也很重要。 網(wǎng)絡(luò)內(nèi)部安全威脅分析 主要是整個內(nèi)網(wǎng)的安全風(fēng)險，主要表現(xiàn)以下幾個方面： 內(nèi)部用戶的非授權(quán)訪問：安博公司內(nèi)部的資源也不是對任何的員工都開放，也需要有相應(yīng)的訪問 權(quán)限。我們應(yīng)用以下方法來杜絕這些存在的潛在的安全： 防火墻技術(shù)，防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)的安全的有效管理，從總體上 看防火墻應(yīng)該具有以下五大基本功能：過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止行為；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)測和告警。導(dǎo)致網(wǎng)絡(luò)癱瘓。安博總部算面臨的威脅是與外界的連接，可能遭來越權(quán)訪問和惡意攻擊。 公司總部 IP 地址分配表如下： 公司總部有九個部門，有 1000 個用戶分別為：銷售部、教學(xué)部、品質(zhì)保障部、財務(wù)部、公關(guān)部、人事部、行政部、調(diào)查部。 連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路由總結(jié)，大大縮減路由表，提高路由算法的效率。 我們可以根據(jù)以下幾個原則來分配 IP 地址： 唯一性：一個 IP 網(wǎng)絡(luò)中不可能有兩個主機(jī)采用相同的 IP 地址 簡單性：地址分配簡單易于管理。 . . IP地址規(guī)劃 IP 地址的規(guī)劃在網(wǎng)絡(luò)設(shè)計中的作用是舉足輕重，直接影響整個網(wǎng)絡(luò)運行的效率， IP 地址設(shè)計的總原則是簡單、易管理、易擴(kuò)展。在分公司與總公司之間相連的是使用vpn 的鏈接方式。 OSPF 適應(yīng)各種規(guī)模的網(wǎng)絡(luò)，最多可達(dá)數(shù)千臺 。 通過嚴(yán)格劃分路由的級別（共分四極），提供更可信的路由選擇。 . . 6）在點到點接口類型中，通過配置按需播號屬性（ OSPF over On Demand Circuits），使得 ospf 不再定時發(fā)送 hello 報文及定期更新路由信息。 4）提出 STUB 區(qū)域的概念，使得 STUB 區(qū)域內(nèi)不再傳播引入的 ASE 路由 。 2）在廣播網(wǎng)絡(luò)中，使用組播地址（而非廣播）發(fā)送報文，減少對其它不運行 ospf 的網(wǎng)絡(luò)設(shè)備的干擾。（有路由變化時才會發(fā)送）。見下： 1）用于發(fā)現(xiàn)和維護(hù)鄰居關(guān)系的 是定期發(fā)送的是不含路由信息的 hello 報文，非常短小。也使得路由信息不會隨網(wǎng)絡(luò)規(guī)模的擴(kuò)大而急劇膨脹。（鏈路狀態(tài)及最短路徑樹算法） OSPF 收斂速度快：能夠在最短的時間內(nèi)將路由變化傳遞到整個自治系統(tǒng)。 原因如下： OSPF 是真正的 LOOP FREE（無路由自環(huán)）路由協(xié)議。 . . 第 三 章 路由 技術(shù)規(guī)劃 路由協(xié)議選擇 為達(dá)到路由的快速收斂、尋址以及方便網(wǎng)絡(luò)管理員管理的目的，我們建 議采用 OSPF 協(xié)議，因為目前較好的動態(tài)路由協(xié)議是 OSPF 協(xié)議和 EIGRP 協(xié)議，它們都有認(rèn)證但是 OSPF 協(xié)議標(biāo)準(zhǔn)化強(qiáng)，支持廠家多，受到廣泛應(yīng)用， EIGRP 是 Cisco 發(fā)明的，只有 Cisco 公司自己的產(chǎn)品支持，考慮到網(wǎng)絡(luò)的擴(kuò)展性、公開性、投資保護(hù)的原因，沃恩采用 OSPF 路由協(xié)議和動態(tài)動態(tài)的PAT 技術(shù)，因為 PAT 技術(shù)是多對一，公司內(nèi)部可以使用私有的網(wǎng)絡(luò)地址，但是這些私有的網(wǎng)絡(luò)地址不能接入外網(wǎng)，因此要轉(zhuǎn)化成公有的地址，用動態(tài)的 NAT 和 PAT 技術(shù)都可以把私有地址轉(zhuǎn)化成公有地址，但是 PAT 技術(shù)是多對一的技術(shù)，更廣泛的使 用。我們使用 Cisco 2800 系列的路由器通過SDH/DDN 線路完成此功能。在接入層使用的是 cisco WSC4506E 系列的交換機(jī)來完成。 .1核心 層設(shè)計 核心層主要進(jìn)行數(shù)據(jù)的高速路由轉(zhuǎn)發(fā)，以及維護(hù)全網(wǎng)路由的計算，我們推薦使用 cisco 2821 的路由器來完成，它的高性能，可靠性，可用性，在核心層我們還應(yīng)該采用兩臺三層的交換機(jī) cisco 3750 系類的交換機(jī)來完成，在核心層為了保證數(shù)據(jù)的安全性和保密性應(yīng)接入防火墻。 接入層： 接入層的主 要功能是完成用戶流量的接入和隔離，對于無線局域網(wǎng) wlan 用戶，用戶終端通過無線網(wǎng)卡和無線接入點 AP 完成用戶接入。 匯聚層： 匯聚層的功能主要是連接接入層節(jié)點和核心層中心，匯聚層設(shè)計連接本地的邏輯中心，仍需要較高的性能和比較豐富的功能。核心層設(shè)備將占投資的主要部分。網(wǎng)絡(luò)的控制功能最好盡量少在骨干層上實施。每個層次完成不同的功能。 網(wǎng) 絡(luò)層 次化 設(shè)計 隨著網(wǎng)絡(luò)技術(shù)的需速發(fā)展和網(wǎng)上應(yīng)用量的增長，分布式的網(wǎng)絡(luò)服務(wù)和交換已經(jīng)移至用戶級，有此形成一個新的、更適應(yīng)現(xiàn)代的高速大型網(wǎng)絡(luò)的分層設(shè)計模型，分層設(shè)計的好處： 節(jié)省成本 在采用層次模型之后，各層各司其職，不再同一個平臺上考慮所有的事情，層次化的模型，能更好的利用寬帶，減少對系統(tǒng)資源的浪費。 . . 在整個網(wǎng)絡(luò)拓?fù)鋱D中，我們采用采用了層次化的設(shè)計，核心 層、分布層、接入層。 網(wǎng)絡(luò)總體 拓?fù)鋱D 我們根據(jù)公司的基本要求，畫出了簡單的大致的網(wǎng)絡(luò)拓?fù)鋱D，在整個網(wǎng)絡(luò)拓?fù)鋱D中，我們在核心設(shè)備上采用的是 cisco 2821 的路由器和兩臺三層交換機(jī)，在兩個三層交換機(jī)上我們做冗余備份，做鏈路捆綁，保證了數(shù)據(jù)的連通性，在核心設(shè)備上連接一個防火墻，保證了數(shù)據(jù)的安全性和總公司內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)安全的保密性，防止了竊取公司的數(shù)據(jù)。 在設(shè)計網(wǎng)絡(luò)中，必須要保證各個網(wǎng)絡(luò)的安全性以及可擴(kuò)展性。 由于公司的規(guī)模、應(yīng)用范圍和服務(wù)內(nèi)容隨著計算機(jī)應(yīng)用的不斷完善普及不斷增加，因此在網(wǎng)絡(luò)設(shè)計上必須重視網(wǎng)絡(luò)的拓展能力，網(wǎng)絡(luò)系統(tǒng)具有同意的系統(tǒng)平臺，具有平滑升級能力，使系統(tǒng)能滿足用戶對應(yīng)用處理不同程度的需求，以及逐步升級的發(fā)展規(guī)劃，以節(jié)約投資避免系統(tǒng)性能的閑置 和浪費，網(wǎng)絡(luò)的拓展包括： 網(wǎng)絡(luò)規(guī)模的擴(kuò)展，包括網(wǎng)絡(luò)的地理分歩，用戶數(shù)量的不斷增加。同時實現(xiàn)各部門的辦公自動化，提高公司管理的工作效率?？偣竞头止局g架構(gòu)網(wǎng)絡(luò)很困難，不應(yīng)該使用網(wǎng)線，應(yīng)該使用 vpn 隧道的方式； 我們在路由器上設(shè)置防火墻 ISA 防火墻 Chinaddos 防火墻（硬件防火 墻） PIX 防火墻 設(shè)置 vpn 時： ipsec vpn；保證數(shù)據(jù)傳輸?shù)陌踩? easy vpn；當(dāng)有出差人員在外時，應(yīng)該在總部或者分部設(shè)置 easy vpn 的服務(wù)端，在自己的電腦上設(shè)置 easy vpn 的客戶端；使用用戶名來登錄，保證其他人獲取自己的相關(guān)信息。通過運用先進(jìn)的計算機(jī)技術(shù)事先辦公自動化?？赏ㄟ^連接 inter 實現(xiàn)與外部資訊的交流和溝通，從而獲得當(dāng)今世界的最新信息。一些關(guān)于公司的最新消息 等可通過網(wǎng)絡(luò)進(jìn)行查詢。 用戶需求決定了該網(wǎng)絡(luò)系統(tǒng)的特殊性，按照用戶的要求網(wǎng)絡(luò)系統(tǒng)須事先以下功能： 信息共享。 需求分析 . . 目前，隨著網(wǎng)絡(luò)發(fā)展的需要，任何一家公司都需要搭建網(wǎng)絡(luò)，我們想自己的 工廠創(chuàng)建一個，設(shè)計規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴(kuò)展性與可用性并且具備可管理易維護(hù)的網(wǎng)絡(luò)及系統(tǒng)平臺，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率。計算機(jī)數(shù)量每人一臺。 辦公設(shè)備需求如下： 打印機(jī)： 3 臺，傳真機(jī) 2 臺，電話 28門，監(jiān)控要求每樓層 3 個，樓梯口一個，走廊兩頭各一個。 各分 布中心情況如下： 各分中心為租賃的房子總共為一層，部門單位有，技術(shù)部 7 人，人力資源部 4人，行政部 7 人，企業(yè)文化部 8 人，項目經(jīng)理 4 人，采供部 15 人，外聯(lián)部 3 人，財務(wù)部 4 人。計算機(jī)數(shù)量除生產(chǎn)部外每人一臺。防火警報器各房間一個，煙霧警報器各房間一個。另外總部共有三棟辦公樓，兩棟生產(chǎn)車間， 4 棟員工宿舍，每棟為 6 層，辦公樓層為 13 層。安全方案各小組自己制定。同時要求總部內(nèi)部安全機(jī)制能夠提高。 本期工程項目完成后，網(wǎng)絡(luò)平臺總部內(nèi)有大型服務(wù)器提供服務(wù)，外接 分支機(jī)構(gòu) 網(wǎng)絡(luò)平臺的設(shè)計用戶節(jié)點數(shù)總部為 1000 或更多用戶分部地為 1050 個用戶。 第 二 章 項目工程設(shè)計 項目背景 公司是一家即將成立的一家制造工廠。領(lǐng)導(dǎo)者必須把他的團(tuán)隊從信息系統(tǒng)的迷宮中帶到信息來源廣泛、參與人員眾多的環(huán)境中。 Firewall。 Routing technology。