【正文】 對(duì)每個(gè)VLAN 設(shè)置Spanning Tree ,而不是對(duì)整個(gè)網(wǎng)絡(luò)只能屬于一個(gè)SpanningTree。STP 對(duì)于終端是透明的，終端感覺不到STP 的操作過程。如果網(wǎng)絡(luò)的連接狀況發(fā)生了變化，STP 算法會(huì)自動(dòng)地重新計(jì)算新的連接關(guān)系，重新選出新的活動(dòng)的連接。為了解決這個(gè)矛盾，推出了STP 協(xié)議。雖然我們采用的是思科交換機(jī)，但是最為一個(gè)標(biāo)準(zhǔn)的、開放、先進(jìn)的網(wǎng)絡(luò)系統(tǒng)， 標(biāo)準(zhǔn)協(xié)議。DTP 協(xié)議主要用于處理Trunk 和ISL 封裝協(xié)議的自動(dòng)協(xié)商，對(duì)于不同廠家的交換機(jī)互連時(shí)很有幫助。ISL 技術(shù)得到了Intel 等廠商的大力支持，TagSwitching 被3Com 及Lucent Cajun 支持。Cisco 、ISL 兩種trunk封裝技術(shù)。Trunk 技術(shù) 一般的交換機(jī)端口只能屬于一個(gè)VLAN，對(duì)于多個(gè)VLAN 需要跨過多臺(tái)交換機(jī)，就需要用到Trunk 技術(shù)，它的作用是承載不同的VLAN信息。但由于它是邏輯地而不是物理地劃分，所以同一個(gè)VLAN 內(nèi)的各個(gè)工作站無(wú)須被放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。IEEE 于1999 年頒布了用以標(biāo)準(zhǔn)化VLAN 協(xié)議標(biāo)準(zhǔn)草案。為減少路由表提高網(wǎng)絡(luò)的查詢速度，OSPF定義了末梢區(qū)域、完全末梢區(qū)域、次末節(jié)區(qū)域、完全次末節(jié)區(qū)域等。7：類型 7的LSA：它是由特殊區(qū)域產(chǎn)生的LSA。ASBR匯總LSA：它是由ABR始發(fā)通告ASBR的位置。網(wǎng)絡(luò)LSA：它是有DR、BDR的路由器。 啟用OSPF路由協(xié)議的路由器中都會(huì)有一個(gè)鏈路狀態(tài)數(shù)據(jù)庫(kù)，它保存著7中類型的LSA，其中前五種類型用于相同AS之間的路由通信，后兩種用于外部。 OSPF協(xié)議的借口狀態(tài)有五種：down、init、twoway、exstart、exchange、loading、full五種狀態(tài)。OSPF協(xié)議 OSPF（中文名開放最短路徑優(yōu)先協(xié)議）協(xié)議是典型的鏈路狀態(tài)路由協(xié)議，每個(gè)路由器都有和本區(qū)域內(nèi)其它路由器相同的鏈路狀態(tài)數(shù)據(jù)庫(kù)，而后路由器根據(jù)SPF算法計(jì)算出到達(dá)目的地的最短路徑，其寫入路由表。 ，hello消息在配置hsrp組的鏈路上交換缺省條件下，路由器每3秒發(fā)送一個(gè)hello消息。所以主機(jī)仍然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器切換的問題。這每一個(gè)熱備份組中的所有路由器共享一個(gè)虛擬IP與MAC。安全產(chǎn)品必須操作簡(jiǎn)單易用，便于簡(jiǎn)單部署和集中管理 。這種“補(bǔ)丁”做法往往會(huì)給信息安全產(chǎn)品的選型帶來很多困難，因?yàn)楹芏鄷r(shí)候，信息安全與系統(tǒng)的使用便利性和效率往往是一對(duì)矛盾。不降低信息系統(tǒng)綜合服務(wù)品質(zhì)的原則。結(jié)合實(shí)際原則：企業(yè)應(yīng)考慮清楚自己信息系統(tǒng)最大的安全威脅來自何處，信息系統(tǒng)中最有價(jià)值的是什么，信息系統(tǒng)造成的哪些損失是自己無(wú)法忍受的。信息安全產(chǎn)品的安裝不一定意味信息系統(tǒng)不發(fā)生安全事故。安全保密產(chǎn)品必須通過國(guó)家主管部門指定的測(cè)評(píng)機(jī)構(gòu)的檢測(cè)；安全保密產(chǎn)品必須具備自我保護(hù)能力；安全保密產(chǎn)品必須符合國(guó)家和國(guó)際上的相關(guān)標(biāo)準(zhǔn)；適用原則。因此，管理中責(zé)任的劃分建設(shè)是朝陽(yáng)公司網(wǎng)絡(luò)建設(shè)過程中重要的一環(huán)。保障網(wǎng)絡(luò)的安全運(yùn)行，使其成為一個(gè)具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)?！　〗⑷戮W(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案。責(zé)權(quán)不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。而且，必須加強(qiáng)登錄過程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。目前恐怕沒有絕對(duì)安全的操作系統(tǒng)可以選擇。安全管理的困難，對(duì)于眾多的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備，安全策略的配置和安全事件管理的難度很大。重要服務(wù)器的當(dāng)機(jī)或者重要數(shù)據(jù)的意外丟失，都將會(huì)造成內(nèi)部的業(yè)務(wù)無(wú)法正常運(yùn)行。例如，路由設(shè)備存在路由信息泄漏、交換機(jī)和路由器設(shè)備配置風(fēng)險(xiǎn)等。內(nèi)部用戶的惡意攻擊；就網(wǎng)絡(luò)安全來說，據(jù)統(tǒng)計(jì)約有70％左右的攻擊來自內(nèi)部用戶，相比外部攻擊來說，內(nèi)部用戶具有更得天獨(dú)厚的優(yōu)勢(shì)，因此，對(duì)內(nèi)部用戶攻擊的防范也很重要。內(nèi)部用戶的非授權(quán)的訪問，更容易造成資源和重要信息的泄漏。這些越權(quán)訪問可能包括惡意的攻擊、誤操作等等，但是它們的后果都將導(dǎo)致重要信息的泄漏或者是網(wǎng)絡(luò)的癱瘓。假如在外部和內(nèi)部網(wǎng)絡(luò)進(jìn)行通信時(shí)，內(nèi)部網(wǎng)絡(luò)的機(jī)器安全就會(huì)受到威脅，同時(shí)也影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。 第5章 網(wǎng)絡(luò)安全解決方案 網(wǎng)絡(luò)邊界安全威脅分析 網(wǎng)絡(luò)的邊界隔離著不同功能或地域的多個(gè)網(wǎng)絡(luò)區(qū)域，由于職責(zé)和功能的不同，相連網(wǎng)絡(luò)的密級(jí)也不同，這樣的網(wǎng)絡(luò)直接相連，必然存在著安全風(fēng)險(xiǎn)，下面我們將對(duì)公司網(wǎng)絡(luò)就網(wǎng)絡(luò)邊界問題做脆弱性和風(fēng)險(xiǎn)的分析。以管理、以維護(hù)性：由于網(wǎng)絡(luò)中需要啟用NAT技術(shù)，在進(jìn)行網(wǎng)絡(luò)規(guī)劃是我們認(rèn)為不必要考慮 ip地址浪費(fèi)問題。簡(jiǎn)單性：地址分配應(yīng)簡(jiǎn)單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡(jiǎn)化路由表的款項(xiàng)。IP 地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要便于管理員手動(dòng)配置以及ip地址的擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。OSPF 支持明文以及MD5加密驗(yàn)證，并且提供等價(jià)的負(fù)載均衡功能，如果計(jì)算出到某個(gè)目的站有若干條費(fèi)用相同的路由，OSPF 路由器會(huì)把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送出去； OSPF對(duì)于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速地做出反應(yīng)，進(jìn)行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比，OSPF能夠劃分多區(qū)域，在對(duì)網(wǎng)絡(luò)拓?fù)渥兓奶幚磉^程中僅需要很少的通信流量；OSPF支持CIDR（無(wú)類型域間路由）地址和VLSM(可變長(zhǎng)子網(wǎng))。良好的安全性，ospf支持基于接口的明文及md5 驗(yàn)證。也使得路由信息不會(huì)隨網(wǎng)絡(luò)規(guī)模的擴(kuò)大而急劇膨脹。優(yōu)點(diǎn)： OSPF收斂速度快：能夠在最短的時(shí)間內(nèi)將路由變化傳遞到整個(gè)治系統(tǒng)。OSPF(Open Shortest Path First開放式最短路徑優(yōu)先)是一個(gè)內(nèi)部關(guān)協(xié)議(Interior Gateway Protocol,簡(jiǎn)稱IGP)，用于在單一自治系統(tǒng)(autonomous system,AS)內(nèi)決策路由。目前較好的動(dòng)態(tài)路由協(xié)議是OSPF 協(xié)議和EIGRP 協(xié)議?？偨Y(jié)以上的原因，內(nèi)聯(lián)路由器與核心交換網(wǎng)絡(luò)間不需要配置額外的防火墻。與相似價(jià)位的前幾代思科路由器相比，Cisco 2800系列的性能提高了五倍、安全性和話音性能提高了十倍、具有全新內(nèi)嵌服務(wù)選項(xiàng)，且大大提高了插槽性能和密度，同時(shí)保持了對(duì)目前Cisco 1700系列和Cisco 2600系列中現(xiàn)有90多種模塊中大多數(shù)模塊的支持，從而提供了極大的性能優(yōu)勢(shì)，它是當(dāng)前CISCO公司唯一種價(jià)格低廉，功能完備的路由器，是做內(nèi)聯(lián)接入的首選路由器。我們推薦總公司是用CISCO 2821路由器、分公司是用2811路由器。辦公系統(tǒng)所需的各種服務(wù)器如WEB服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、域控制器等組成服務(wù)器群，數(shù)據(jù)中心的多種金融系統(tǒng)應(yīng)用服務(wù)器, 連接到匯聚交換機(jī)的千兆模塊上面,因此，內(nèi)部的局域網(wǎng)是采用雙層結(jié)構(gòu)組建。Cisco Catalyst 3560 系列的模塊化架構(gòu)、介質(zhì)靈活性和可擴(kuò)展性減少了重復(fù)運(yùn)營(yíng)開支，提高了投資回報(bào)（ROI），從而在延長(zhǎng)部署壽命的同時(shí)降低了擁有成本。Cisco Catalyst 3560 系列憑借眾多智能服務(wù)將控制擴(kuò)展到網(wǎng)絡(luò)邊緣，其中包括先進(jìn)的服務(wù)質(zhì)量 (QoS)、可預(yù)測(cè)性能、高級(jí)安全性和全面的管理，同時(shí)它還支持圖形化配置。兩臺(tái)3560交換機(jī)高性能、可靠性、可用性是我們主要考慮的因素。 核心層設(shè)計(jì) 核心交換機(jī)的作用是盡快地提供所有的區(qū)域間的數(shù)據(jù)交換。同時(shí)，接入層是最終用戶與網(wǎng)絡(luò)的接口，它應(yīng)該提供即插即用的接口，同時(shí)應(yīng)該非常易于使用和維護(hù)。接入層 接入層主要任務(wù)是為終端用戶提供足量的接口。業(yè)務(wù)匯聚層 業(yè)務(wù)匯聚層重點(diǎn)任務(wù)通常是冗余能力、可靠性、為接入層交換機(jī)提供接口和高速的傳輸，同時(shí)進(jìn)行接入層的數(shù)據(jù)流量匯聚，并對(duì)數(shù)據(jù)流量進(jìn)行訪問控制（包括訪問控制列表、VLAN 路由等等）。它的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以對(duì)核心層的設(shè)計(jì)以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格。每個(gè)層次完成不同的功能。 針對(duì)實(shí)際情況我們可以采用二層結(jié)構(gòu)模型。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)的可用性變的越來越重要。通常pc及無(wú)法通過連接多臺(tái)交換機(jī)實(shí)現(xiàn)冗余，但接入層交換機(jī)出現(xiàn)故障，連接此臺(tái)交換機(jī)的pc不能正常運(yùn)行，其它交換機(jī)上的設(shè)備仍能正常工作。6：多層模式使網(wǎng)絡(luò)的移植更為簡(jiǎn)單易行，因?yàn)樗Ａ袅嘶诼酚善骱徒粨Q機(jī)的網(wǎng)絡(luò)原有的尋址方案，對(duì)以往的網(wǎng)絡(luò)有很好的兼容性。4：多層網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)最有效地利用多種第3 層業(yè)務(wù)，包括分段﹑負(fù)載分擔(dān)和故障恢復(fù)等。多層設(shè)計(jì)有以下一些好處：1：多層設(shè)計(jì)有很好的容錯(cuò)功能.2：多層設(shè)計(jì)是模塊化的，網(wǎng)絡(luò)容量可隨著日后網(wǎng)絡(luò)節(jié)點(diǎn)的增加而不斷增大。 網(wǎng)絡(luò)層次化設(shè)計(jì) 隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長(zhǎng)，分布式的網(wǎng)絡(luò)服務(wù)和交換已經(jīng)移至用戶級(jí)，由此形成了一個(gè)新的、更適應(yīng)現(xiàn)代的高速大型網(wǎng)絡(luò)的分層設(shè)計(jì)模型。因此我們建議在總公司設(shè)立一臺(tái)域控制器，以便于對(duì)公司員工的計(jì)算機(jī)進(jìn)行統(tǒng)一的管理。 作為總公司，需要向分公司及總公司內(nèi)的員工進(jìn)行軟件的安全，策略的發(fā)布等。 如上圖所示，整體網(wǎng)絡(luò)可以根據(jù)功能劃分為總部核心網(wǎng)絡(luò)、內(nèi)聯(lián)接入包括辦公網(wǎng)絡(luò)、數(shù)據(jù)中心、分公司接入等，各區(qū)域相對(duì)獨(dú)立，通過核心網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的交互。 由于總公司與分公司相距較近，且兩公司之間有大量的實(shí)時(shí)數(shù)據(jù)進(jìn)行傳遞，同時(shí)從安全的角度進(jìn)行考慮，總公司與分公司之間使用專線連接（協(xié)議選擇PPP協(xié)議）是最佳選擇。這樣雖說能夠承載的網(wǎng)絡(luò)流量不如硬件防火墻，但能夠滿足分公司的現(xiàn)在以及未來的網(wǎng)絡(luò)需求。 由于分公司也連接internet，那么內(nèi)部網(wǎng)絡(luò)安全問題仍然不能忽視。對(duì)于AD的選擇，由于要不斷的進(jìn)行策略的更改下發(fā)、加上LINUX系統(tǒng)域服務(wù)遠(yuǎn)不如WINDOW，我們建議使用window操作系統(tǒng)，這樣便于網(wǎng)絡(luò)管理員進(jìn)行操作。HSRP是思科的私有協(xié)議，它的優(yōu)點(diǎn)是網(wǎng)絡(luò)的收斂速度快，能夠更好的使用網(wǎng)絡(luò)變化，它可以根據(jù)需求配置成多組HSRP，實(shí)現(xiàn)網(wǎng)絡(luò)的冗余容錯(cuò)等功能，這樣設(shè)計(jì)不但保證網(wǎng)絡(luò)的高可用性和穩(wěn)定性，還能夠充分利用現(xiàn)有設(shè)備的資源，以避免單臺(tái)核心設(shè)備的負(fù)載太重而導(dǎo)致的網(wǎng)絡(luò)性能問題。在進(jìn)行三層冗余時(shí)，我們建議采用兩臺(tái)Cisco Catalyst 3560（或使用49系列） 做熱備，同時(shí)使用Cisco 私有熱備份路由協(xié)議技術(shù)（HSRP）。第3章 網(wǎng)絡(luò)總體設(shè)計(jì) 考慮到總公司的實(shí)際需求（總公司辦公樓三座，員工住宿樓5座公司實(shí)際人數(shù)800人），因此在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)是不僅要考慮二成的冗余，同時(shí)還要進(jìn)行三層的冗余。軟硬件設(shè)備都應(yīng)具有一定的冗余性，以提高網(wǎng)絡(luò)的運(yùn)行效率（主要是總公司）。它包括IP地址的可擴(kuò)展性﹑物理鏈路的可擴(kuò)展性。5：可擴(kuò)展性 對(duì)于企業(yè)來說，發(fā)展迅速具有不可預(yù)料的特點(diǎn)。網(wǎng)絡(luò)布線的設(shè)計(jì)要求便于管理和維護(hù)，當(dāng)某條鏈路出現(xiàn)故障時(shí)，必須保證可以在主設(shè)備間或配線間內(nèi)重新配置。網(wǎng)絡(luò)系統(tǒng)應(yīng)配備全面的病毒防治和安全保護(hù)功能。因此網(wǎng)絡(luò)的建設(shè)中安全性顯的尤為重要。2：高可靠性 網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的備份策略和快速恢復(fù)策略，保證網(wǎng)絡(luò)和系統(tǒng)具有故障自愈的能力，最大限度地支持各個(gè)系統(tǒng)的正常運(yùn)行。在方案設(shè)計(jì)時(shí)，我們將嚴(yán)格遵循以下設(shè)計(jì)原則：1：可用性 構(gòu)建一個(gè)網(wǎng)絡(luò)，可用性是最基本的網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)。 網(wǎng)絡(luò)設(shè)計(jì)應(yīng)該遵循開放性和標(biāo)準(zhǔn)化原則、實(shí)用性與先進(jìn)性兼顧原則、可用性原則、高性能原則 、經(jīng)濟(jì)性原則 、可靠性原則、安全第一原則、適度的可擴(kuò)展性原則、充分利用現(xiàn)有資源原則、易管理性原則、易維護(hù)性原則、最佳的性能價(jià)格比原則、QoS保證等。所以確保在網(wǎng)絡(luò)的邊界處部署相應(yīng)的安全策略以防止黑客和各種惡意代碼的攻擊至關(guān)重要，同時(shí)邊界處的設(shè)備的冗余設(shè)計(jì)也是設(shè)計(jì)考慮的一個(gè)重要因素，防止單點(diǎn)故障。easy VPN是通過Internet建立的一種臨時(shí)的、安全的網(wǎng)絡(luò)鏈接，是外出移動(dòng)工作人員遠(yuǎn)程撥入公司內(nèi)部的最佳選擇。這樣，不僅能夠滿足分公司大量數(shù)據(jù)的快速傳輸，同時(shí)還能夠保證數(shù)據(jù)的安全性。公司數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)承載著公司所有的關(guān)鍵核心業(yè)務(wù)，設(shè)計(jì)時(shí)，保證中心機(jī)房網(wǎng)絡(luò)的高可用性和穩(wěn)定性至關(guān)重要，故設(shè)計(jì)時(shí)中心路由交換機(jī)建議采用雙機(jī)熱備（HSRP），各分支交換機(jī)兩條上聯(lián)千兆線路分別上連到兩臺(tái)中心路由交換機(jī)上，構(gòu)成全路由交換的網(wǎng)絡(luò)；借助于跨骨干的VLAN 技術(shù)，使得對(duì)于網(wǎng)絡(luò)內(nèi)有關(guān)Server 的訪問變得更加安全有效。對(duì)于內(nèi)部交換網(wǎng)絡(luò)我們采用分層設(shè)計(jì)。9 良好的售后服務(wù)支持。7. 要對(duì)員工用戶安全、帳戶管理、用戶權(quán)限管理、網(wǎng)絡(luò)訪問控制等，并提供完善的日志功能。以后如果公司收購(gòu)其它離總公司較近的公司我們可以直接在總公司路由器上添加模塊，通過專用線路進(jìn)行連接。5．按照“高效能、低成本”的要求，采用核心交換層、接入層的兩層網(wǎng)絡(luò)結(jié)構(gòu)，這樣易于維護(hù)，且具有較高的性價(jià)比。：公司在CNNIC處申請(qǐng)了域名以及對(duì)應(yīng)的固定IP，搭建公司門戶站點(diǎn)。各公司用戶能夠進(jìn)行資源共享，并能夠進(jìn)行上網(wǎng)查資料，電子郵件，對(duì)外發(fā)布網(wǎng)站等等。此項(xiàng)系統(tǒng)網(wǎng)絡(luò)項(xiàng)目工程的建設(shè)目標(biāo)主要包括以下方面：。從實(shí)際出發(fā)，正確地規(guī)劃和設(shè)計(jì)的計(jì)算機(jī)網(wǎng)絡(luò)。公司的資源是公司的重要財(cái)富，我們將通過防火墻配置嚴(yán)格限制外部人員對(duì)公司重要服務(wù)器的訪問、同時(shí)我們會(huì)讓計(jì)算機(jī)在網(wǎng)絡(luò)運(yùn)行過程中做好每天的數(shù)據(jù)備份工作。在服務(wù)器vlan中有windows2003平臺(tái)以及l(fā)inux平臺(tái)，搭建有dhcp服務(wù)器，有dns服務(wù)器實(shí)現(xiàn)域名解析，有服務(wù)器，實(shí)現(xiàn)局域網(wǎng)絡(luò)內(nèi)部的信息服務(wù)，要求使用集群技術(shù)和raid5技術(shù)以及ftp服務(wù)器，實(shí)現(xiàn)文檔的上傳和下載，要求采用配額。當(dāng)前業(yè)界的網(wǎng)絡(luò)管理范疇較廣，包括設(shè)備管理、資源管理、故障管理、性能管理、安全管理等等。為了能夠使外出的工作