【正文】 人），行政部（ 20 人），生產(chǎn)部（ 100 人），研發(fā)部（ 30 人），后勤部（ 10 人），業(yè)務(wù)部（ 80人），人力資源部（ 10 人）總公司行政劃分也是如此， 人數(shù)比例大致類似分公司。 因特網(wǎng)接入和園區(qū)網(wǎng)分離 將因特網(wǎng)接入部分和園區(qū)網(wǎng)主體部分分離，每部分完成其自身的功能，可以 減少兩者之間的相互影響。這樣可以增強網(wǎng)絡(luò)的擴(kuò)展能力。園區(qū)網(wǎng)與因特網(wǎng)的分離可以保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安安全性，只用在端口處加以策略保護(hù)就可以，限制用戶訪問內(nèi)網(wǎng)，同時內(nèi)網(wǎng)訪問外網(wǎng)便于在出口路由進(jìn)行控制。這種方式采用了 VLAN 的劃分來區(qū)別不同的部門和子公司，便于各部門之間的獨立運行，提高企業(yè)內(nèi)部的運轉(zhuǎn)效率，各部門之間不互相影響，通過 IPsec VPN 技術(shù)實現(xiàn)總部與分公司之間的連接，保證數(shù)據(jù)的安全高效傳輸，設(shè)置 ACL 訪問控制列表，對數(shù)據(jù)流進(jìn)行限制，控制網(wǎng)絡(luò)流量，限制用戶對內(nèi)部網(wǎng)絡(luò)的訪問等等，都極大的提高了內(nèi)部網(wǎng)絡(luò)的安全性，也降低了部門之間的關(guān)聯(lián)度。這樣對于企業(yè)未來的發(fā)展是具有可行性的，對于內(nèi)外部用戶的訪問控制在安全層面來講也是非常有效的，可以實現(xiàn)企業(yè)數(shù)據(jù)流的安全高效的傳輸。每一臺都連接所有的匯聚層交換機(jī)，但相互之間并不連接（提高網(wǎng)絡(luò)的故障收斂速度）。網(wǎng)絡(luò)的可靠性由匯聚層的路由協(xié)議提供保證?？梢詤^(qū)分不同的應(yīng)用和用戶 ,方便集團(tuán)的管理與維護(hù)。 VLAN 用途如表： 表 4– 1 VLAN 劃分用途表 VLAN 用途 VLAN1 應(yīng)用類 1 的微機(jī)室工作人員 VLAN2 應(yīng)用類 1 的財務(wù)部工作人員 VLAN3 應(yīng)用類 1 的行政部工作人員 VLAN4 應(yīng)用類 1 的研發(fā)部工作人員 VLAN5 應(yīng)用類 1 的后勤部工作人員 VLAN6 應(yīng)用類 1 的人力資源部工作人員 VLAN7 應(yīng)用類 1 的業(yè)務(wù)部工作人員 VLAN8 應(yīng)用類 1 的生產(chǎn)部工作人員 企業(yè)網(wǎng)設(shè)計與優(yōu)化 11 IP 地址分配方案 表 4– 1 IPv4 地址結(jié)構(gòu)表 07 810 1115 1618 1931 集團(tuán)標(biāo)識 子公司標(biāo)識 預(yù)留 類別標(biāo)識 用戶空間地址 表 4– 2 各部門地址分部表 位 取值 含義 備注 07 00001010 某某企業(yè) 私有地址 811 0000 保留 0001 總部 主樓的用戶標(biāo)識 0010 分部 1 分部 1 的用戶標(biāo)識 0011 分部 2 分部 2 的的用戶標(biāo)識 0100 分部 3 分部 3 的用戶標(biāo)識 0101 分部 4 分部 4 的用戶標(biāo)識 0110 分部 5 分部 5 的用戶標(biāo)識 0111 分部 6 分部 5 的用戶標(biāo)識 10001111 保留 1213 00 缺省 0011 保留 1417 000 保留 001 網(wǎng)管類 交換機(jī)設(shè)備地址，路由器環(huán)回地址，網(wǎng)管工作站地址 010 互聯(lián)類 交換機(jī)，路由器等設(shè)備之間互相連接用 011 應(yīng)用類 1 企業(yè) OA 類用 111 因特網(wǎng)類 企業(yè)的因特網(wǎng)連接，因特 網(wǎng)應(yīng)用。 為各個部門劃分相應(yīng)的 VLAN，并為其分配相適應(yīng)的端口，保證各部門的良好運行，實現(xiàn)交換機(jī)級聯(lián)技術(shù)，實現(xiàn)了用戶端口的有效擴(kuò)展，保證了網(wǎng)絡(luò)拓?fù)涞纳炜s性的有效實現(xiàn)。 HSRP 向主機(jī)提供了缺省網(wǎng)關(guān)的冗余性，減少了主機(jī)維護(hù)路由表的任務(wù)。通過使用熱備份路由份協(xié)議（ HSRP），可使網(wǎng)絡(luò)對最終用戶的可用性得到充分的保證。 企業(yè)園區(qū)網(wǎng)的 IP 地址規(guī)范中規(guī)定：網(wǎng)關(guān)的地址統(tǒng)一使用子網(wǎng)的最后一個可用地址。 在成對的兩臺匯聚層多層交換機(jī)上，具體的 HSRP 配置規(guī)范如下： 接口的 IP 地址：在第一臺多層交換機(jī)上，某個 VLAN 虛擬接口的 IP 地址是子網(wǎng)的最后第三個可用地址，在第二臺多層交換機(jī)上，某個 VLAN 虛擬接口的 IP 地址是子網(wǎng)的最后第二個可用地址。 熱備份地址：熱備份地址是子網(wǎng)的最后一個可用地址。并且主用的匯聚層交換機(jī)配置占先權(quán)。實現(xiàn)與分公司在互聯(lián)網(wǎng)上的安全高效傳輸，具體拓?fù)鋱D如下所示。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。 企業(yè)網(wǎng)設(shè)計與優(yōu)化 17 訪問控制列表 (ACL)是應(yīng)用在路由器接口的指令列表。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號等的特定指示條件來決定 。作為外網(wǎng)進(jìn)入企業(yè)內(nèi)網(wǎng)的第一道關(guān)卡，路由器上的訪問控制列表成為保護(hù)內(nèi)網(wǎng)安全的有效手段 [12]。 ACL 配置模塊圖如 44 所示： 圖 4– 4 ACL 訪問控制列表功能模塊圖 在配置了標(biāo)準(zhǔn)訪問控制列表及擴(kuò)展訪問控制列表的的情況下，優(yōu)化配置了基于時間的訪問控制列表。在 OSPF 的鏈路狀態(tài)廣播中包括所有接口信息、所有的量度和其它一些變量。而基于距離向量的路由協(xié)議僅向其鄰接路由器發(fā)送有關(guān)路由更新信息。這就大大減少了網(wǎng)絡(luò)開銷，并增加了網(wǎng)絡(luò)的 穩(wěn)定性。 在相應(yīng)的網(wǎng)絡(luò)拓?fù)渖蠈粨Q機(jī)配置相應(yīng)的動態(tài)路由，因為是企業(yè)網(wǎng)，所以 OSPF 更能適應(yīng)企業(yè)規(guī)模的日益擴(kuò)大，有效解決了 RIP 路由協(xié)議的跳數(shù)限制問題，在一定程度上實現(xiàn)了企業(yè)的可擴(kuò)展性。1 生成樹協(xié)議標(biāo)準(zhǔn)和早期的數(shù)字設(shè)備合作生成樹協(xié)議 ,該協(xié)議是基于后者產(chǎn)生的 ,IEEE 版本的生成樹協(xié)議支持網(wǎng)橋區(qū)域，它允許網(wǎng)橋在一個擴(kuò)展本地網(wǎng)中建設(shè)自由環(huán)形拓?fù)浣Y(jié)構(gòu)。如果兩個設(shè)備都有合法的公網(wǎng) IP，那么建立一個隧道是比較容易的。一般通過內(nèi)部的 vpn 節(jié)點發(fā)起一個 udp 連接，再封裝一次 ipsec，送到對方，因為 udp 可以通過防火墻進(jìn)行記憶，因此通過 udp 再封裝的 ipsec 包，可以通過防火墻來回傳遞。 具體配置命令如下： R1 配置 R1(config) int f0/0 R1(configif) ip add R1(configif) no shut R1(configif) int s0/0 R1(configif) ip add R1(configif) clock rate 56000 R1(configif) no shut R1(config) int tunnel 0 企業(yè)網(wǎng)設(shè)計與優(yōu)化 21 R1(configif) ip add R1(configif) tunnel sour s0/0 R1(configif) tunnel destination R1(configif) tunnel mode gre ip R1(configif) no shut R1(configif) exit 定義感興趣的流量和路由協(xié)議： R1(config) accesslist 100 permit gre host host R1(config) ip route s0/0 R1(config) ip route s0/0 全局啟用 ISAKMP 并定義對等體及其 PSK（預(yù)共享密鑰） R1(config) crypto isakmp enable R1(config) crypto isakmp key 911ab address 定義 IKE 策略 R1(config) crypto isakmp policy 10 R1(configisakmp) encryption aes 128 R1(configisakmp) hash sha R1(configisakmp) authentication preshare R1(configisakmp) group 2 R1(configisakmp) lifetime 3600 R1(config) exit 定義 IPsec 轉(zhuǎn)換集 R1(config) crypto ipsec transformset tt espaes 128 espshahmac R1(cfgcryptotrans) mode trunnel R1(cfgcryptotrans) exit 定義 crypto map 并應(yīng)用在接口上 R1(config) crypto map cisco 10 ipsecisakmp R1(configcryptomap) match address 100 R1(configcryptomap) set peer R1(configcryptomap) set transformset tt R1(configcryptomap) exit R1(config) int s0/0 R1(config) crypto map cisco R1(config) end 命令配置完成以后，在子公司路由器 R2 上邊進(jìn)行相應(yīng)的配置，由此通過互聯(lián)網(wǎng)建立起來基于 GRE 與 IPsec VPN 結(jié)合的隧道技術(shù) ，保證公司內(nèi)部的數(shù)據(jù)通過互聯(lián)網(wǎng)能夠安全有效的傳輸，隧道通過 ESP 加密， GRE 隧道本身不帶安全特性，可以通過結(jié)合基于 PSK的 IPsec 來實現(xiàn)安全功能，全局啟用 ISAKMP 并定義對等體及其 PSK 設(shè)置了與子公司之間約定的預(yù)共享密鑰技術(shù)，定義 IKE 策略設(shè)置了加密方式和生存時間限制，定義 IPsec 轉(zhuǎn)換集才能實現(xiàn)上述的配置功能，最后通過把定義的 crypro map 應(yīng)用在接口上實現(xiàn)子公司與總公司之間的連接。在實現(xiàn) VPN 技術(shù)的上有多種安全策略可以應(yīng)用 ，還可以實現(xiàn)不同的隧道技術(shù)，采用不同的加密算法實現(xiàn)數(shù)據(jù)的加密，在配置過程當(dāng)中必須注意對應(yīng)路由之間的數(shù)據(jù)配置的一致性，做到對性的配置，否則會出現(xiàn)網(wǎng)絡(luò)連接失敗的結(jié)果，只是實驗配置不能成功，需靈活掌握其中的細(xì)節(jié)配置問題，最終實現(xiàn)總部與分公司之間的數(shù)據(jù)的安全高效傳輸，具體網(wǎng)絡(luò)拓?fù)鋱D如下。在加密認(rèn)證中需要進(jìn)行數(shù)據(jù)加密，身份認(rèn)證等一系列操作，需要運用數(shù)字簽名等技術(shù)，全局啟用 ISAKMP 并定義對等體及其 PSK（預(yù)共享密鑰），定義 IKE 策略， Ipsec 轉(zhuǎn)換集，基于 ESP 的加密等技術(shù)，在雙方配置了相應(yīng)的策略和密鑰共享機(jī)制以后，才能夠?qū)崿F(xiàn)異地的數(shù)據(jù)安全高效的傳輸 [14]。 Ipsec VPN 配置圖如 410 所示： 企業(yè)網(wǎng)設(shè)計與優(yōu)化 23 圖 4– 10 Ipsec VPN 配置圖 5 系統(tǒng)設(shè)計方案 系統(tǒng)設(shè)計總體需求 本項目的實施目的是在企業(yè) 內(nèi)部建立穩(wěn)定，高效的辦公自動化網(wǎng)絡(luò)，通過項目的實施，為所有員工配桌面 PC，使所有員工能夠通過總部網(wǎng)絡(luò)進(jìn)入 inter，從而提高所有員工的工作效率和加快企業(yè)內(nèi)部信息的傳遞。在總部和子公司均設(shè)立專用發(fā)服務(wù)器，使集團(tuán)內(nèi)所有員工能夠利用服務(wù)器方便的訪問公共文件資源，并能夠完成企業(yè)內(nèi)部郵件的收發(fā)。 系統(tǒng)的構(gòu)架 據(jù)企業(yè)的管理結(jié)構(gòu)。方案中將企業(yè)按單位劃分不同的模塊，企業(yè)總部作為域林的根，每個子公司，分部門為一個獨立的域或者域樹，形成一個完整的樹狀結(jié)企業(yè)網(wǎng)設(shè)計與優(yōu)化 24 構(gòu)。 系統(tǒng)管理設(shè)計 在系統(tǒng)設(shè)計時包括 三個部分，分別是 OU，用戶及組的設(shè)計，為了更好的滿足企業(yè)的需要，便于系統(tǒng)管理員方便管理企業(yè)中的所有用戶，系統(tǒng)管理結(jié)構(gòu)與集團(tuán)的管理結(jié)構(gòu)相匹配，方案中采用了如下所述的設(shè)計。在本方案中按部門劃分 OU 的方法，將每個公司中以部門為單位創(chuàng)建 OU，并在部門 OU 中保存該部門的用戶帳戶，計算機(jī)帳戶及組采用這種設(shè)計的方法，可以在系統(tǒng)管理中清楚的體現(xiàn)公司的管理結(jié)構(gòu)，一般情況下，一個部門內(nèi)部中的用戶常常有相似的安 全需求，利用這樣的設(shè)計方法，也可以方便的將安全策略應(yīng)用到某個部門。用戶帳戶在所屬的部門的 OU 中創(chuàng)建。在每個域中創(chuàng)建全局組，用與組織本域的帳戶，在沒個域中創(chuàng)建域本地組，用于完成權(quán)限的指派。 系統(tǒng)的安全性設(shè)計 在設(shè)計方案中，安全的設(shè)計主要分 2 個部分，首先是 ISA Server 的應(yīng)用，通過 ISA Server 的配置，建立軟件防火墻，保護(hù)集團(tuán)內(nèi)部網(wǎng)絡(luò)不受外部用戶的攻擊，同時利用ISA Server 提供的網(wǎng)站過濾功能和服務(wù)器 發(fā)布功能，對企業(yè)內(nèi)部用戶的上網(wǎng)行為進(jìn)行規(guī)范，并能保障服務(wù)器的安全使用。防止用戶進(jìn)行非授權(quán)的訪問，保護(hù)用戶在工作環(huán)境不受破壞。集團(tuán)中所有的客戶端做為 ISA 的客戶端，所有的互聯(lián)網(wǎng)的訪問均通過 ISA 服務(wù)器轉(zhuǎn)發(fā)，這樣，就可以在 ISA 服務(wù)器上對所有網(wǎng)絡(luò)流量進(jìn)行監(jiān)控并對實現(xiàn)網(wǎng)絡(luò)訪問的過濾。同時，總部與分公司之間采用 Ipsec VPN 基于 GRE 隧道技術(shù)進(jìn)行聯(lián)絡(luò)，增加了安全性，提高了效率，各部門間換分不同的 VLAN ,保證數(shù)據(jù)的高效安全性， STP 生成樹協(xié)議防止廣播風(fēng)暴發(fā)生， HSRP 保證企業(yè)數(shù)據(jù)高效傳輸，實現(xiàn)設(shè)備冗余備份。 客戶端：在所有用戶計算機(jī)上安裝 ISA 客戶端軟件，并配置瀏覽器使用 ISA Server作為代理服務(wù)器上網(wǎng) [17]。各個子公司的系統(tǒng)管理員可以獨立的管理子公司的域，并可以在以后修改和編輯組策略，以適應(yīng)公司未來的需求。 企業(yè)網(wǎng)設(shè)計與優(yōu)化 26 配置成成功測試圖如 61 所示： 圖 6– 1 HSRP 配置成功測試圖 圖 6– 2 HSRP 配置成功測試圖 HSRP 協(xié)議配置成功后，無論從從屬于哪個部門的 VLAN 中對網(wǎng)絡(luò)進(jìn)行測試，比如連接互聯(lián)網(wǎng)，都可以 ping 通，上圖為，不同部門的用戶主機(jī) 1 和 2 分別對網(wǎng)絡(luò)進(jìn)行測試，即使一個核心交換機(jī)出現(xiàn)故障，依然能夠保證網(wǎng)絡(luò)的暢通，數(shù)據(jù)傳輸