【正文】 , B Source Route Bridge S Switch, H Host, I IGMP, r RepeaterDevice ID Local Intrfce Holdtme Capability Platform Port IDR2 Fas 0/1 143 R S I 3640 Fas 1/0S3 Fas 0/4 164 R S I 3640 Fas 0/0S2 Fas 0/3 162 R S I 3640 Fas 0/3S2 Fas 0/2 162 R S I 3640 Fas 0/2R1 Fas 0/0 123 R S I 3640 Fas 0/0S6 Fas 0/7 162 R S I 3640 Fas 0/0S5 Fas 0/6 165 R S I 3640 Fas 0/0S4 Fas 0/5 161 R S I 3640 Fas 0/0S6show cdp neighborsCapability Codes: R Router, T Trans Bridge, B Source Route Bridge S Switch, H Host, I IGMP, r RepeaterDevice ID Local Intrfce Holdtme Capability Platform Port IDS2 Fas 0/1 120 R S I 3640 Fas 0/7S1 Fas 0/0 123 R S I 3640 Fas 0/7對(duì)端設(shè)備連接端口對(duì)端設(shè)備型號(hào)對(duì)端設(shè)備名稱本地連接端口 分部網(wǎng)絡(luò)的配置 總部公司網(wǎng)絡(luò)使用兩臺(tái)CISCO WSC3750G24TSS做為核心層, 四臺(tái)WSC296048TTL為接入層設(shè)備，兩臺(tái)cisco 2821系列路由器做出口和到分公司的專線聯(lián)接。在“公司信息”下，共享文件夾內(nèi)存放了每個(gè)部門的信息和“”。在file文件夾下根據(jù)部門分別建立文件夾并以部門名稱命名。所有分區(qū)均采用NTFS文件系統(tǒng)。D盤為4塊10GB的硬盤組成的磁盤陣列RID5卷。員工可以通過映射網(wǎng)絡(luò)驅(qū)動(dòng)器訪問服務(wù)器上的文檔，就像在本地訪問資源一樣快捷216。通過設(shè)置專用的文件服務(wù)器完成公司文檔的集中管理，在文件服務(wù)器上為部門及用戶建立專用的文件夾，分別存儲(chǔ)公共文檔及員工個(gè)人工作文檔216。三星5637HR三星5637HR的機(jī)身設(shè)計(jì)非常簡(jiǎn)潔，是黑白激光多功能一體機(jī)，打印復(fù)印掃描傳真為一體的有限網(wǎng)絡(luò)打印，標(biāo)準(zhǔn)容量：2000頁，高容量：5000頁，內(nèi)存256mb，高容量5000頁3）打印權(quán)限設(shè)置A. 總經(jīng)理對(duì)所有打印具有優(yōu)先權(quán)B. 部門經(jīng)理對(duì)該部門打印具有優(yōu)先權(quán)C. 管理員和總經(jīng)理對(duì)所有打印機(jī)具有管理權(quán)D. 財(cái)務(wù)經(jīng)理對(duì)財(cái)務(wù)部專用打印用具有管理權(quán)設(shè)置如下：打印機(jī)權(quán)限管理權(quán)優(yōu)先權(quán)打印權(quán)說明Printerzjl管理員和總經(jīng)理管理員（99）總經(jīng)理（99）管理員和總經(jīng)理總經(jīng)理專用Printercw管理員、總經(jīng)理、財(cái)務(wù)部經(jīng)理（趙六）管理員（99）總經(jīng)理（99）財(cái)務(wù)部經(jīng)理（50）財(cái)務(wù)部員工（1）管理員、總經(jīng)理財(cái)務(wù)部員工財(cái)務(wù)部專用Printerjs管理員和總經(jīng)理管理員（99）總經(jīng)理（99）技術(shù)部經(jīng)理（50）技術(shù)部員工（1）管理員、總經(jīng)理、技術(shù)部員工技術(shù)部專用Printeryg1管理員和總經(jīng)理管理員（99）總經(jīng)理（99）所有員工（1）所有人所有員工使用Printeryg2管理員和總經(jīng)理管理員（99）總經(jīng)理（99）所有員工（1）所有人所有員工使用 文件服務(wù)器文件資源是網(wǎng)絡(luò)中最常使用的資源之一，故需配備一臺(tái)文件服務(wù)器，用于公司日常的正常文件需求。在您的辦公室中愜意地打印出品質(zhì)出眾、引人注目的文檔，讓企業(yè)發(fā)展更進(jìn)一步，成就各種全新的可能。Leopard操作系統(tǒng)。XSDRAM顯存；擁有4GB雙通道內(nèi)存、500GB硬盤；5800毫安鋰電池可提供7小時(shí)的續(xù)航時(shí)間；Mac 工程部專用電腦工程部要求配置較高的電腦，我們選用蘋果MacBook Pro，采用Intel 酷睿i7 620M處理器，Intel HM55板芯片組，與主內(nèi)存共享256MBSMI功能集包括先進(jìn)的服務(wù)質(zhì)量（QoS）、速率限制、訪問控制列表（ACL）和基本的靜態(tài)和路由信息協(xié)議（RIP）路由功能。（詳見附表） 三層交換三CISCO WSC3750G24TSS就是合適的選擇他采用最新的思科StackWise智能堆疊技術(shù)，不但實(shí)現(xiàn)高達(dá)32Gbps的堆疊互聯(lián)，還從物理上到邏輯上使若干獨(dú)立交換機(jī)在堆疊時(shí)集成在一起，便于用戶建立一個(gè)統(tǒng)一、高度靈活的交換系統(tǒng) 就好像是一整臺(tái)交換機(jī)一樣。 （詳見附表） 二層交換機(jī)二層交換采用的cisco 2960系列的WSC296048TTL，是一個(gè)企業(yè)級(jí)可網(wǎng)管型的交換機(jī)，建立在一個(gè)功能強(qiáng)大且絕對(duì)無阻塞的16G交換背板上，可以保證堆疊中的所有端口間實(shí)現(xiàn)無阻塞的線速交換。第八章 產(chǎn)品選型 路由Cisco路由器的簡(jiǎn)介：屬于模塊化路由擴(kuò)展性強(qiáng)，內(nèi)置防火墻。服務(wù)質(zhì)量是相對(duì)網(wǎng)絡(luò)業(yè)務(wù)而言的，在保證某類業(yè)務(wù)的服務(wù)質(zhì)量的同時(shí)，可能就是在損害其它業(yè)務(wù)的服務(wù)質(zhì)量。 Qos技術(shù)對(duì)于網(wǎng)絡(luò)業(yè)務(wù)，服務(wù)質(zhì)量包括傳輸?shù)膸?、傳送的時(shí)延、數(shù)據(jù)的丟包率等。生成樹協(xié)議最主要的應(yīng)用是為了避免局域網(wǎng)中的單點(diǎn)故障、網(wǎng)絡(luò)環(huán)回，解決成環(huán)以太網(wǎng)網(wǎng)絡(luò)的“廣播風(fēng)暴”問題， OSPF協(xié)議Ospf鏈路狀態(tài)的路由協(xié)議，使用與大中型的企業(yè)，OSPF將鏈路狀態(tài)廣播數(shù)據(jù)包傳送給在某一區(qū)域內(nèi)的所有路由器，這一點(diǎn)與距離矢量路由協(xié)議不同。STP是一種二層鏈路協(xié)議，又稱生成樹協(xié)議，該協(xié)議的原理是按照樹的結(jié)構(gòu)來構(gòu)造網(wǎng)絡(luò)拓?fù)?，消除網(wǎng)絡(luò)中的環(huán)路，避免由于環(huán)路的存在而造成廣播風(fēng)暴問題。通過在交換機(jī)之間傳遞一種特殊的協(xié)議報(bào)文來確定網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。所以，需要網(wǎng)絡(luò)管理員在自己的實(shí)際工作中留意這些功能是否需要，再?zèng)Q定是否實(shí)施Easy VPN技術(shù)。這種技術(shù)極大地避免了分支機(jī)構(gòu)配置VPN失敗的問題。 Easyvpn技術(shù)移動(dòng)VPN技術(shù)： Easy VPN Server是Remote－Access VPN專業(yè)設(shè)備，　而Easy VPN Remote就是專門為了小的分支機(jī)構(gòu)所設(shè)計(jì)的，一般情況下，小分支接口的網(wǎng)絡(luò)管理員的水平?jīng)]有那么高，不可能去配置一堆復(fù)雜命令來實(shí)現(xiàn)Site－to－Site VPN，這時(shí)候，只需要通過Easy VPN Remote這個(gè)特性配置幾條簡(jiǎn)單的命令，就可以Site－to－Site VPN。Trunk是一種封裝技術(shù)，它是一條點(diǎn)到點(diǎn)的鏈路，鏈路的兩端可以都是交換機(jī)。VLAN技術(shù)允許網(wǎng)絡(luò)管理者講一個(gè)物理的lan邏輯的劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個(gè)VLAN都包括一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的vlan有著相同的屬性，但由于它是邏輯的而不是物理的劃分，所以同一個(gè)vlan內(nèi)的各個(gè)工作站無需笨哦放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理vlan網(wǎng)段里，一個(gè)vlan內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他vlan中，從而有助于控制流量，減少設(shè)備投資，簡(jiǎn)化網(wǎng)絡(luò)管理，提高網(wǎng)絡(luò)的安全性。 VLAN 技術(shù)一般的交換機(jī)端口只有屬于一個(gè)vlan，對(duì)于多個(gè)vlan需要跨過多臺(tái)交換機(jī)，就需要用到trunk技術(shù)。在任一時(shí)刻，一個(gè)組內(nèi)只有一個(gè)路由器是活動(dòng)的，并由它來轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動(dòng)路由器發(fā)生了故障，將選擇一個(gè)備份路由器來替代活動(dòng)路由器，但是在本網(wǎng)絡(luò)內(nèi)的主機(jī)看來，虛擬路由器沒有改變。有了VTP，建立一個(gè)VTP管理域，以使它能管理網(wǎng)絡(luò)上當(dāng)前的VLAN就可以在一臺(tái)機(jī)換上集中過時(shí)行配置變更，所作的變更會(huì)被自動(dòng)傳播到網(wǎng)絡(luò)中所有其他的交換機(jī)上。VTP是一種消息協(xié)議，使用第2層幀，在全網(wǎng)的基礎(chǔ)上管理VLAN的添加、刪除和重命名，以實(shí)現(xiàn)VLAN配置的一致性。它是思科私有協(xié)議。PPPoE即保護(hù)了用戶方的以太網(wǎng)資源，又完成了ADSL的接入要求，是目前ADSL接入方式中應(yīng)用最廣泛的技術(shù)標(biāo)準(zhǔn)。 　　PPP的兩種認(rèn)證方式　一種是PAP，一種是CHAP。 PPP是一種多協(xié)議成幀機(jī)制，它適合于調(diào)制解調(diào)器、HDLC位序列線路、SONET和其它的物理層上使用。選型原則包括：安全性原則：產(chǎn)品系統(tǒng)具有多層次的安全保護(hù)措施，可以滿足用戶身份鑒別、訪問控制、數(shù)據(jù)完整性、可審核性和保密性傳輸?shù)纫?；?biāo)準(zhǔn)性：網(wǎng)絡(luò)安全產(chǎn)品選型符合國家標(biāo)準(zhǔn)，產(chǎn)品的質(zhì)量以及屬性必須達(dá)到國家所要求的，符合本產(chǎn)品的性能；擴(kuò)展性原則：在業(yè)務(wù)不斷發(fā)展的情況下 ，產(chǎn)品系統(tǒng)可以不斷升級(jí)和擴(kuò)充，并保證系統(tǒng)的穩(wěn)定運(yùn)行；性價(jià)比：不盲目追求高性能產(chǎn)品，要購買適合自身需求的產(chǎn)品；產(chǎn)品與服務(wù)相結(jié)合原則：良好的售后服務(wù)，否則買回的產(chǎn)品出現(xiàn)故障時(shí)既沒有技術(shù)又沒有產(chǎn)品服務(wù)，使企業(yè)蒙受損失。更容易造成資源和重要信息的泄露內(nèi)部用戶的誤操作：由于內(nèi)部用戶的計(jì)算機(jī)造作的水平參差不齊，對(duì)于應(yīng)用軟件的理解也各不相同，如果一部分軟件沒有相應(yīng)的對(duì)誤操作的防范措施，極容易給服務(wù)系統(tǒng)各其他主機(jī)造成危害內(nèi)部用戶的惡意攻擊：就網(wǎng)絡(luò)安全來說，據(jù)統(tǒng)計(jì)約有70%左右的攻擊來自內(nèi)部用戶，相比外部攻擊來說，內(nèi)部用戶具有更得天獨(dú)厚的的優(yōu)勢(shì)，因此對(duì)內(nèi)部用戶攻擊的防范也很重要。也許安全的話題是永恒的，但未來的網(wǎng)絡(luò)邊界一定是越來越安全的，網(wǎng)絡(luò)的優(yōu)勢(shì)就在于連通。病毒對(duì)網(wǎng)關(guān)沒有影響，就象“走私”團(tuán)伙，一旦進(jìn)入網(wǎng)絡(luò)內(nèi)部，便成為可怕的“瘟疫”，病毒的入侵方式就象“水”的滲透一樣，看似漫無目的，實(shí)則無孔不入。木馬的入侵也屬于黑客的一種，只是入侵的方式采用的病毒傳播，達(dá)到的效果與黑客一樣。來自網(wǎng)絡(luò)內(nèi)部的安全，人員是可控的，可以通過認(rèn)證、授權(quán)、審計(jì)的方式追蹤用戶的行為軌跡，也就是我們說的行為審計(jì)與合軌性審計(jì)。 我們?yōu)橘F公司購買了正版的金山毒霸的殺毒軟件，給內(nèi)部的員工機(jī)器安裝上，防止員工機(jī)器上的客戶資料收到病毒和木馬的破壞。 網(wǎng)絡(luò)病毒：與非安全網(wǎng)絡(luò)的業(yè)務(wù)互聯(lián)，難免在通訊中帶來病毒，一旦在你的網(wǎng)絡(luò)中發(fā)作，業(yè)務(wù)將受到巨大沖擊，病毒的傳播與發(fā)作一般有不確定的隨機(jī)特性。入侵就是有人通過互聯(lián)網(wǎng)進(jìn)入你的網(wǎng)絡(luò)(或其他渠道)，篡改數(shù)據(jù)，或?qū)嵤┢茐男袨?，造成你網(wǎng)絡(luò)業(yè)務(wù)的癱瘓，這種攻擊是主動(dòng)的、有目的、甚至是有組織的行為。一般信息泄密有兩種方式： 　　◆攻擊者(非授權(quán)人員)進(jìn)入了網(wǎng)絡(luò)，獲取了信息，這是從網(wǎng)絡(luò)內(nèi)部的泄密 ◆合法使用者在進(jìn)行正常業(yè)務(wù)往來時(shí)，信息被外人獲得，這是從網(wǎng)絡(luò)外部的泄密 我們給貴公司設(shè)計(jì)的各部門之間的vlan劃分，不同的vlan之間不能隨意的訪問，我們會(huì)設(shè)計(jì)權(quán)限和密碼才能訪問。非安全網(wǎng)絡(luò)互聯(lián)帶來的安全問題與網(wǎng)絡(luò)內(nèi)部的安全問題是截然不同的，主要的原因是攻擊者不可控，攻擊是不可溯源的，也沒有辦法去“封殺”。Vlan的劃分：總部Vlan虛擬ip工程部Vlan10銷售部Vlan20財(cái)務(wù)部Vlan30人事部Vlan40網(wǎng)絡(luò)部Vlan50市場(chǎng)部Vlan60經(jīng)理Vlan70IP地址的劃分總部Ip地址子網(wǎng)工程部銷售部財(cái)務(wù)部人事部網(wǎng)絡(luò)部市場(chǎng)部經(jīng)理第七章 網(wǎng)絡(luò)安全解決方案 網(wǎng)絡(luò)邊界安全威脅分析把不同安全級(jí)別的網(wǎng)絡(luò)相連接，就產(chǎn)生了網(wǎng)絡(luò)邊界。IP 地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。第六章 .路由設(shè)計(jì) 路由協(xié)議選擇OSPF支持各種不同鑒別機(jī)制，并且允許各個(gè)系統(tǒng)或區(qū)域采用互不相同的鑒別機(jī)制；提供負(fù)載均衡功能；OSPF屬動(dòng)態(tài)的自適應(yīng)協(xié)議，對(duì)于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速地做出反應(yīng)，進(jìn)行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比，OSPF在對(duì)網(wǎng)絡(luò)拓?fù)渥兓奶幚磉^程中僅需要最少的通信流量；OSPF提供點(diǎn)到多點(diǎn)接口，支持無類型域間路由地址。由于總部網(wǎng)絡(luò)和分部機(jī)房屬于公司的內(nèi)部網(wǎng)絡(luò)的一部分，因此我們將著重重視數(shù)據(jù)的安全性、可靠性。 內(nèi)聯(lián)接入內(nèi)聯(lián)接入的作用是用于連接北京總部和北京分部。接入層是最終用戶(員工) 與網(wǎng)絡(luò)的接口，它應(yīng)該提供即插即用的特性，同時(shí)應(yīng)該非常易于使用和維護(hù)。接入層交換機(jī)端口的output 指交換機(jī)端口向服務(wù)器傳輸?shù)臄?shù)據(jù)，即是服務(wù)器收到的數(shù)據(jù)。接入層交換機(jī)一般用于直接連接辦公系統(tǒng)，具有低成本和高端口密度特性。EMI可以提供一組更加豐富的企業(yè)級(jí)功能，包括先進(jìn)的、基于硬件的IP單播和組播路由。3750系列可以使用標(biāo)準(zhǔn)多層軟件鏡像（SMI）或者增強(qiáng)多層軟件鏡像（EMI