【正文】 Loopback0 S1Vlan900S2Vlan 900S1F0/1S3F0/1S1F0/0FW1E1S2Loopback0 S2F0/0S4F0/0S2F0/1FW2E0S3Loopback0 SW4Loopback0 FW1管理地址 FW1E2R1E0/0FW2E2R1E0/1R1Loopback0 R1Tunnel0R2Tunnel0R2Loopback0 總部Vlan ip地址分配表Vlan 號(hào)IP地址范圍網(wǎng)關(guān)2345678910112055 ip地址分配表Vlan號(hào)Ip地址范圍網(wǎng)關(guān)2345622 綜合布線方案 需求分析高科通信技術(shù)有限公司總部園區(qū)內(nèi)包括辦公樓，宿舍樓和生產(chǎn)大樓各一棟，公司辦公大樓和宿舍樓的距離已經(jīng)超過(guò)了雙絞線布線的技術(shù)要求，因此采用光纖進(jìn)行布線。 ip地址規(guī)劃 ip地址需求分析(1)所有可能接pc的信息點(diǎn)；(2)所有服務(wù)器；(3)網(wǎng)絡(luò)中的所有三層鏈路；(4)所有設(shè)備的網(wǎng)絡(luò)管理地址；(5)。路由區(qū)為提供全網(wǎng)路由，由宿舍樓匯聚層，核心層，防火墻以及所有邊界路由器組成。宿舍樓子網(wǎng)通過(guò)兩臺(tái)匯聚層交換機(jī)連接到公司核心層交換機(jī)上。 設(shè)備選型設(shè)備位置設(shè)備名稱優(yōu)點(diǎn)設(shè)備數(shù)量核心層—核心交換機(jī)CiscoWSC6509E轉(zhuǎn)發(fā)速率快，設(shè)備穩(wěn)定可靠2匯聚層—匯聚層交換機(jī)CiscoWSC356024TSS具有12個(gè)千兆位以太網(wǎng)SFP端口，支持單模及多模光纖2核心層—防火墻Cisco PIX525基于標(biāo)準(zhǔn)的虛擬專網(wǎng)、自適應(yīng)安全算法、靜態(tài)故障切換/熱備用2接入層—接入層交換機(jī)CiscoWSC295024TCL可以實(shí)現(xiàn)堆疊，以保證端口數(shù)量足夠的多16邊界路由器Cisco 2811具有入侵保護(hù)防火墻功能2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)高科通信技術(shù)有限公司企業(yè)網(wǎng)由辦公子網(wǎng)、宿舍樓子網(wǎng)、服務(wù)器區(qū)、路由區(qū)以及分部子網(wǎng)構(gòu)成。 設(shè)備選型設(shè)備選型原則：(1)代表目前網(wǎng)絡(luò)系統(tǒng)設(shè)備的先進(jìn)水平；(2)具備較強(qiáng)的安全性；(3)具備優(yōu)良的RAS性能—可靠性、安全性、可維護(hù)性；(4)具備優(yōu)良的可擴(kuò)充性和升級(jí)能力；(5)具備優(yōu)良的性價(jià)比。另外應(yīng)該保證只有特定的用戶能對(duì)設(shè)備進(jìn)行遠(yuǎn)程登錄，在高科通信有限公司企業(yè)網(wǎng)中只有屬于微機(jī)室子網(wǎng)用戶能夠?qū)υO(shè)備進(jìn)行telnet操作。(1)所有目標(biāo)端口為80的流量 即Internet上訪問(wèn)企業(yè)網(wǎng)站的流量；(2)分部訪問(wèn)總部的流量 分部對(duì)總部服務(wù)器和相關(guān)業(yè)務(wù)訪問(wèn)的流量；(3)Ospf流量 包括ospf鏈路更新和Hello消息流量。所謂非法流量，防火墻拒絕通過(guò)的流量。 邊界安全設(shè)計(jì)企業(yè)網(wǎng)邊界是企業(yè)網(wǎng)內(nèi)部通向Internet的必經(jīng)之地，同時(shí)Internet上的數(shù)據(jù)也是從企業(yè)網(wǎng)邊界進(jìn)入到企業(yè)網(wǎng)的內(nèi)部，Internet上存在著太多的不安全因素，因此，邊界的安全系數(shù)決定著企業(yè)網(wǎng)的安全性。然而，gre協(xié)議本身不安全，他不對(duì)數(shù)據(jù)進(jìn)行加密，這樣，攻擊者就可以在Internet上截獲企業(yè)的數(shù)據(jù)信息。(2)loopguard在企業(yè)網(wǎng)的接入層和分布層的非指定端口(邊緣端口除外)部署loopguard保護(hù)特性，配置了Loopguard特性的端口在bpdu丟失持續(xù)20秒后變?yōu)長(zhǎng)oopinconsistent狀態(tài)，該端口被blocking來(lái)防止循環(huán)的形成，并保持在非指定端口角色。不會(huì)成為根端口，只會(huì)監(jiān)聽(tīng)bpdu，當(dāng)交換機(jī)拿開(kāi)后這個(gè)端口又會(huì)正常收斂[14]。同時(shí)，并非所有來(lái)自u(píng)ntrust端口的 dhcp請(qǐng)求都被允許通過(guò)，交換機(jī)還可以比較封裝 dhcp客戶機(jī)的硬件地址(即CHADDR字段)，只有這兩者相同的請(qǐng)求報(bào)文才會(huì)被轉(zhuǎn)發(fā)，否則將被丟棄，這樣就防止了 dhcp地址耗盡攻擊。(3)解決方案面對(duì)以上威脅，可以部署 dhcp Snooping技術(shù)來(lái)解決。 總部vlan劃分方案部門Vlan號(hào)/Vlan名稱信息點(diǎn)數(shù)微機(jī)室2/weijs10財(cái)務(wù)部3/caiwb20行政部4/xingzb20生產(chǎn)部5/shengcb100研發(fā)部6/yanfb30后勤部7/houqb10業(yè)務(wù)部8/yewb80人力資源部9/renlzyb10總裁辦10/zongcb5會(huì)議室11/huiys20服務(wù)器20/fuwq10網(wǎng)管55/wangg不占物理接口Ospf互聯(lián)vlan901/hul不占物理接口 分部vlan劃分方案部門Vlan號(hào)/vlan名稱信息點(diǎn)數(shù)微機(jī)室2/weijs2財(cái)務(wù)部3/caiwb2行政部4/xingzb2銷售部5/xiaosb20后勤部6/houqb3網(wǎng)管22/wangg 不占用物理接口 網(wǎng)絡(luò)安全設(shè)計(jì) dhcp存在的威脅分析及解決方案(1)dhcp服務(wù)器冒充由于 dhcp服務(wù)器和客戶端之間沒(méi)有認(rèn)證機(jī)制，所以如果在網(wǎng)絡(luò)上隨意添加一臺(tái) dhcp服務(wù)器，它就可以為客戶端分配ip地址以及其他網(wǎng)絡(luò)參數(shù)，該安全威脅引起的后果輕則用戶終端獲取到不一致的ip信息，造成終端之間通信的問(wèn)題，重則用戶終端獲取不到不安全的ip信息，造成中間人攻擊或者網(wǎng)絡(luò)釣魚(yú)[13]。除了console口從其余接口登錄設(shè)備均采用AAA認(rèn)證，并對(duì)操作行為進(jìn)行審計(jì)。在本設(shè)計(jì)方案中為了能對(duì)網(wǎng)絡(luò)中所有的設(shè)備進(jìn)行方便統(tǒng)一的管理，所有的設(shè)備均配置網(wǎng)絡(luò)管理地址。企業(yè)分部相同的部門劃分到同一個(gè)vlan中，vlan之間的通信可以由單臂路由技術(shù)實(shí)現(xiàn)，邊界路由器接入到Internet中，同時(shí)配置一條默認(rèn)路由指向外網(wǎng)，供分部訪問(wèn)Internet的路由。(2)宿舍樓子網(wǎng)設(shè)計(jì)宿舍樓子網(wǎng)主要業(yè)務(wù)是對(duì)Internet的訪問(wèn)，由于距離中心機(jī)房較遠(yuǎn)，宿舍樓子網(wǎng)采用三層結(jié)構(gòu)，接入層交換機(jī)接入到匯聚層交換機(jī)上，匯聚層交換機(jī)通過(guò)光纖鏈路連接到中心機(jī)房核心層交換機(jī)上，宿舍樓內(nèi)每個(gè)宿舍屬于同一個(gè)vlan，通過(guò)匯聚層上SVI接口實(shí)現(xiàn)vlan之間的通信，匯聚層通過(guò)三層接口與核心層相連，在匯聚層上有默認(rèn)路由來(lái)實(shí)現(xiàn)接入層設(shè)備到核心層從而訪問(wèn)Internet的路由。在接入層與核心層之間采用了環(huán)形拓?fù)湓O(shè)計(jì)，為了避免二層環(huán)路，在核心層與接入層之間部署STP。 子網(wǎng)設(shè)計(jì)(1)辦公子網(wǎng)設(shè)計(jì)辦公子網(wǎng)分布在和分部的辦公大樓內(nèi)，接入層交換機(jī)通過(guò)trunk鏈路分別與兩臺(tái)核心層交換機(jī)相連?？偛亢诵膶咏粨Q機(jī)防火墻和邊界路由器組成主干區(qū)域area 0。Ospf是一種鏈路狀態(tài)協(xié)議，根據(jù)鏈路的帶寬來(lái)選擇到達(dá)目標(biāo)地址的路由，只有在拓?fù)浣Y(jié)構(gòu)發(fā)生變化時(shí)才會(huì)發(fā)送鏈路狀態(tài)更新消息，沒(méi)有最大跳數(shù)限制，具有區(qū)域的概念。 主干網(wǎng)解決方案(1)鏈路選型 為了實(shí)現(xiàn)數(shù)據(jù)在企業(yè)網(wǎng)內(nèi)部能夠高速的轉(zhuǎn)發(fā)而實(shí)現(xiàn)數(shù)據(jù)的低延遲轉(zhuǎn)發(fā)，在接入層采用百兆鏈路到桌面，在這種要求下，對(duì)于一個(gè)24口交換機(jī)而言，上行最大流量為100*24*2=4800M，從網(wǎng)絡(luò)的可擴(kuò)展性考慮，企業(yè)網(wǎng)匯聚層與核心層之間應(yīng)該采用萬(wàn)兆鏈路比較適宜。子網(wǎng)之間的通信，企業(yè)總部與分部之間的通信都要靠主干網(wǎng)來(lái)實(shí)現(xiàn)路由轉(zhuǎn)發(fā)。 總線型拓?fù)浞治鲆陨先N常見(jiàn)網(wǎng)絡(luò)拓?fù)涓髯蕴攸c(diǎn)，因此選擇以星型拓?fù)浣Y(jié)構(gòu)為基礎(chǔ)，吸取總線型拓?fù)涞牟糠謨?yōu)點(diǎn)，以增加冗余結(jié)構(gòu)的網(wǎng)絡(luò)拓?fù)?。然而，在園區(qū)網(wǎng)環(huán)境下，由于所有數(shù)據(jù)站都是平等的，不能采取上述機(jī)制。如果這條鏈路是半雙工操作，只需要簡(jiǎn)單的機(jī)制便可保證兩個(gè)端用戶輪流工作。使用這種結(jié)構(gòu)必須解決的一個(gè)問(wèn)題是確保端用戶使用媒體發(fā)送數(shù)據(jù)時(shí)不能出現(xiàn)沖突。 環(huán)形結(jié)構(gòu)的特點(diǎn)是，每個(gè)端用戶都與兩個(gè)相臨的端用戶相連，因而存在著點(diǎn)到點(diǎn)鏈接路，但總是以單向方式操作。(2)環(huán)形拓?fù)浣Y(jié)構(gòu) 環(huán)形拓?fù)洵h(huán)形拓?fù)浣Y(jié)構(gòu)在企業(yè)網(wǎng)中使用較多，這種結(jié)構(gòu)的傳輸媒體從一個(gè)端用戶到另一個(gè)端用戶，直到將所有端用戶連成環(huán)形。端用戶因?yàn)楣收隙C(jī)時(shí)也不會(huì)影響其他端用戶間的通信但這種結(jié)構(gòu)非常不利的一點(diǎn)是，中心系統(tǒng)必須具有極高的可靠性，因?yàn)橹行南到y(tǒng)一旦損壞，整個(gè)系統(tǒng)便趨于癱瘓。其中，電話網(wǎng)的星形結(jié)構(gòu)，為目前使用最普通的以太網(wǎng)星形結(jié)構(gòu)，處于中心位置的網(wǎng)絡(luò)設(shè)備稱為集線器。由以上三種國(guó)園區(qū)網(wǎng)絡(luò)各自特點(diǎn)的介紹，再結(jié)合大中型園區(qū)網(wǎng)絡(luò)的具體情況，因此選擇采用以太網(wǎng)技術(shù)中的快速以太網(wǎng)結(jié)構(gòu)，即千兆到主干，百兆接入桌面的交換式快速以太網(wǎng)技術(shù)。(3)異步傳輸模式(ATM) ATM是目前網(wǎng)絡(luò)發(fā)展的新技術(shù)，它采用基于信元的異步傳輸模式和虛電路結(jié)構(gòu)，根本上解決了多媒體的實(shí)時(shí)性及帶寬問(wèn)題，實(shí)現(xiàn)面向虛鏈路的點(diǎn)到點(diǎn)傳輸，它通常提供155Mbps的帶寬，它既汲取了話務(wù)通訊中電路交換的“有連接”服務(wù)和服務(wù)質(zhì)量保證，又保持了以太網(wǎng)，F(xiàn)DDI等傳統(tǒng)網(wǎng)絡(luò)中帶寬可變，適于突發(fā)性傳輸?shù)撵`活性，從而成為迄今為止使用范圍最廣，技術(shù)最先進(jìn)，傳輸效果最理想的網(wǎng)絡(luò)互聯(lián)手段[11]。FDDI采用令牌傳遞的方式解決共享信道沖突問(wèn)題，與共享式以太網(wǎng)CSMA/CD的效率相比在理論上要稍高一點(diǎn)，然而FDDI與以太網(wǎng)一樣，其本質(zhì)仍是介質(zhì)共享、連接的網(wǎng)絡(luò)，這就意味著仍然不能提供服務(wù)質(zhì)量，保證更高的帶寬利用率?？傊д滓蕴W(wǎng)與以前我們了解的以太網(wǎng)相同，所不同的是僅僅比快速以太網(wǎng)快十倍和它與當(dāng)前的高帶寬需求應(yīng)用程序相協(xié)調(diào)的額外特性?？焖僖蕴W(wǎng)與傳