计算机网络搭建毕业论文.doc 32页

'计算机网络搭建毕业论文目录第一章概述11.1课题背景11.2课题概况21.3课题目的3第二章局域网需求分析和设计原则32.1需求与分析32.1.1具体需求42.1.2需求分析42.2设计目标42.3设计原则5第三章局域网系统设计方案53.1网络拓扑设计63.1.1拓扑选择63.1.2拓扑结构图63.1.3拓扑结构说明73.2三层详细设计及设备选型83.2.1核心层设计83.2.2汇聚层设计113.2.3接入层设计133.3虚拟局域网VLAN与IP子网设计163.3.1虚拟VLAN简介163.3.2VLAN规划173.3.3IP子网设计183.3.4访问控制列表（ACL）设计方案213.4路由协议的选择22第四章网络安全管理234.1内网安全234.1.1VLAN设置需求234.1.2防病毒系统需求234.1.3网络管理需求234.2外网安全244.2.1物理安全需求244.2.2数据链路层需求244.2.3入侵检测系统需求244.2.4防病毒系统需求24第五章.安全管理体制245.1网络应用安全255.1.1网络嗅探255.1.2ARP欺骗255.1.3IP地址欺骗25 5.1.4DOS攻击26总结28参考文献29致谢30 第一章概述1.1课题背景目前，我国中小企业数量已超过1000万家。在国民经济中，60%的总产值来自于中小企业，并为社会提供了70%以上的就业机会。然而，在中国国民经济和社会发展中一直占据着至关重要的战略地位的中小企业，其信息化程度却十分落后。今后如何应对瞬息万变、竞争激烈的国内外市场环境以及如何利用网络技术迅速提升企业核心竞争力为企业成败的关键。中小型企业的信息化建设工程通常有规模小、结构简单的特点，综合资金投入、专业人才以及未来发展等因素，网络实用性、安全性与拓展性（升级改造能力）是中小型企业实现信息化建设的主要要求，局域网内进行信息交流包括发布通知,安排日程表、工作计划,提交工作总结,进行信息汇总等也是企业的要求。因此，成本低廉、炒作简易、便于维护并能满足业务运用需要的网络办公环境是这一领域的真正需求。针对绝多数中小型企业集中办公这一现实特点，组建一个适合中小企业需求的高性价比实用的网络是十分有实际意义的。超玩在线最原始的网络需求来自于对LAN上共享资源、业务的开展需要，最小规模的局域网可能就要算通过1台共享式集线器来连接打印机、文件服务器的组建模式了，但是，在信息科技日益发展的今天，基于共享式技术的网络已经不能符合当前业务的发展的需求，更高速、更可靠、更安全以及更方便的网络和业务管理已经成为新时期企港隆文具发展的重点。如何最大程度的超玩在线科技有限公司的这些需求，为此设计次方案。1.2课题概况超玩在线科技有限公司以前网络设备落后，网络走线混乱。完成对港隆文具的新网络的规划，重新设计实施。以前的网络不能适应当前的公司发展，需要更完善、快速、安全、稳定的网络提供。满足公司客户和内部之间的相互通信。该公司有四个部门。运维部、生产30/30 部、人力资源部、财务部。一共有两栋大楼。一栋是生产车间。一栋是公司管理区。运维部部6人、生产部120人、财务部2人、人资部8人。超玩在线新设计搭建的网络将根据当前与今后一段时间的发展需求，规划一个全新的公司局域网系统，该公司局域网系统必须具备中小型企业发展的快特点，满足生产部、财务部、销售部和人力资源部对公司的管理和公司客户之间信息化需求，同时新的局域网系统必须满足将来扩展的需要进行整体计划，在满足当前需要的同时，还必须具备一定的前瞻性。在实际的建设过程当中，应当充分考虑到超玩在线科技有限公司内部网业务较少，销售部占用网络带宽比较大以客户访问该公司等。对其他部门实行网络流量控制和服务。满足客户和人资部前台之间的通信。1.3课题目的满足超玩在线科技有限公司各部门之间安全稳定的通信。设计搭建新的网络满足公司发展需求。对销售部流量比较大要求大，分配更多的流量。该公司网络技术人员较少，因而对网络的依赖性很高，要求网络尽可能简单、可靠、易用，降低网络的使用和维护成本为该公司电子商务网络系统提供一个统一、可靠、安全的专用信息通信平台，支持话音、数据和图像的交换与传输，实现计算机数据、话音、电视会议、图片传输等多种信息通信业务，并具有完备的网络管理系统。第二章局域网需求分析和设计原则2.1需求与分析超玩在线科技30/30 有限公司是一家比较有潜力的公司，近几年发展很快。该公司对网络总体需求包括以下几点：适应桌面计算机处理、I/O能力大幅度提高的现状，发挥桌面机的网络性能，提高桌面机的访问带宽；适应连网规模大、总流量大的情况，合理分布流量，实现流量隔离和控制；为生产部、销售部、人力资源部、财务部，合理进行网络划分，实现有效的安全访问控制和运行管理；为客户/服务器的应用环境提供支撑；增加网络系统的运行可靠性，降低故障隐患，提高系统的可管理性。本方案针对超玩在线科技有限公司网络系统应用场合对安全提出了很高的要求，因此网络设计充分考虑网络上敏感数据传输的安全性，一方面需要充分利用网络设备提供的安全策略（VLAN划分等），另一方面为了保障内部数据传输的安全性，采用各种安全技术（防火墙、入侵检测、防病毒体系等），并且尽量不影响到整个网络的运行效率。为了更好的保证网络的正常运行，设计的网络系统还考虑到网络管理，实现网络的统一管理。一般中小型企业网的主要需求有：1、管理的需求：包括对用户和设备的管理，可操作、易管理、具备灵活的计费策略、扩展能力强。2、区分内、外网需求：限制资源的访问。3、安全需求：非法的DHCPServer、病毒、攻击、上网日志等。4、NAT需求：公网地址不够，5、多业务需求：强大的组播支持能力、多业务融合（语言、数据、）能力。6、可靠性需求：设备具备高性能、高可靠性、高稳定性、高安全性。7、投资需求：高性价比、平滑升级、投资保护。8、Qos需求：具备完善的QOS能力。2.1.1具体需求超玩在线财务部、生产部等部门不能相互进行访问，但对公司文件服务区可以访问。采用交换，必要时实现路由隔离。根据业务用户分布和数据的流向，合理的进行网段划分。允许采用虚拟网技术（VLAN）。实现各计算机网络系统的互联，形成公共信息的交换环境，为企业用户提供网络服务平台。实现信息资源和软硬件资源共享，提供丰富的网络信息服务，以推动办公自动化。根据超玩在线科技有限公司两栋楼宇之间不同，采用光线接入。2.1.2需求分析1、对公司提供安全快速的网络。2、防止不明计算机接入，保证接入的安全性。3、核心到汇集全部采用单模光纤并做相应的备份，提供高速可靠的传输。4、保障公司客户正常访问公司和销售部与外网通信，防止不必要流量产生。5、为以后员工提供宽带服务。30/30 2.2设计目标针对本次超玩在线科技有限公司局域网建设课题，按照以下目标来实施网络建设：1、建设成为信息一体化、管理集中化、业务多样化的公司局域安全网络；2、新网络结构清晰，网络层次合理数据网络需要采用分布式布线：3、网络带宽大幅提升满足超玩在线科技有限公司的业务发展需求和冗余连接：4、多样性访问权限控制与管理；针对不同部门之间采取不同认证：2.3设计原则1、可管理性具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降低网络运营成本。同时由于高校网络的使用者数量巨大，网上开展的业务众多，因此需要能够提供用户的高效管理，以确保公司的利益不受损失。2、可增值性公司局域网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。3、可扩充性考虑到公司的业务种类发展的不确定性，局域网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。4、开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。5、安全可靠性30/30 设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。第三章局域网系统设计方案根据超玩在线发展需求，并结合当前企业局域网状况和未来发展趋势，整个网络方案设计突出层次化、可管理、易维护、高可靠性的原则，确保网络在具有高性能的同时具有良好的前瞻性和持续发展性。3.1网络拓扑设计3.1.1拓扑选择采用模块化的设计思想，按照功能划分为以下区块：交换区块和核心区块。对于由交换区块和核心区块构成的局域网再按照目前流行的层次化的设计思想，划分为接入层、汇聚层和核心层。1、交换区块的主要功能是提供用户的接入点，并防止广播数据流和网络问题到达核心区块或者其他区块，交换区块由接入层交换机和汇聚层交换机构成：(1)接入层：接入层设备作为最终用户的网络接入点，使用100M双绞线连接各层桌面终端，为每个用户提供专用的带宽，并可基于端口或MAC地址的VLAN成员资格和流量进行过滤，接入层主要的设计原则是能够通过低成本、高端口密度的设备提供这些功能。(2)汇聚层：接入层交换机使用100M双绞线汇聚到一台或者多台汇聚层设备，汇聚层设备在接入层交换机之间提供第二层连接，作为接入层交换机的集中连接点及接入层和核心层之间的分界点，汇聚层在提供接入层接入的同时，还能够做到广播域的隔离、不同网段之间的路由、介质转换、安全控制。汇聚层需要提供第三层功能，即支持路由选择和网络层服务，以保护交换区块不受网络其他部分失效的影响，并防止本交换区块故障对网络其他部分的影响，如果交换区块发生了广播风暴，分布层设备可以防止该广播风暴扩散到核心和网络的其他部分。2、核心区块是公司网络的主干，主要功能是在交换区块之间用最小的时延传输数据，尽可能快的将交换数据提供到其他区块（比如交换区块）。核心区块由核心层构成，包含一个或一组用来连接多个交换区块的交换机。30/30 核心层：核心层交换机负责所有交换区块设备和广域网设备的接入，因此需要高速的数据转发能力。核心层设备需要支持port-channel链路捆绑技术，来保证数据的转发能力，防止出现线路瓶颈。作为企业网络的心脏，核心层也是路由协议最优选路和运行稳定的保证，需要合理的配置路由协议，并添加冗余处理器或者应用冗余协议来保障网络核心的稳定，使企业数据流正常运作。3.1.2拓扑结构图总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。新网络拓扑图如图3-1所示。30/30 图3-1港隆文具公司网络拓扑3.1.3拓扑结构说明1、从核心层到汇聚层全部使用单模光纤。2、采用使用四条100M双绞线连接到汇聚层。3、所有用户接入采用有线结合。4、采用层次结构使网络易于管理。5、采用高性能的单核心交换。6、做热路由备份3.2三层详细设计及设备选型3.2.1核心层设计核心交换机是整个网络的计算和内部数据交换处理中心，在整个局域网内是最为关键和重要的设备。核心交换机推荐采用华为S5700交换机二台。如图3-2所示图3-2华为S5700交换机特点：免维护易部署S5700支持自动配置、即插即用、USB开局、自动批量远程升级等功能，便于部署升级和业务发放，简化后续的管理和维护性能。从而大大降低了维护成本。S5700支持SNMPV1/V2/V3、CLI命令行、Web网管、TELNET、HGMP集群管理等多样化的管理和维护方式，设备管理更加灵活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主机、基于端口的流量统计，支持NQA网络质量分析，有利于进一步作好网络规划和改造。强大的多业务支持能力S5700支持IGMPv1/v2/v3Snooping/Filter/FastLeave/Proxy等协议。S5700支持线速的跨VLAN组播复制功能，支持捆绑端口的组播负载分担，支持可控组播，可以充分满足IPTV和其他组播业务的需求。S5700支持MCE功能，实现了不同VPN用户在同一台设备的隔离，有效解决用户数据安全问题，同时降低用户投资成本。30/30 完备的高可靠保护机制S5700不仅支持传统的STP/RSTP/MSTP生成树协议，还支持SmartLink和RRPP等增强型以太网技术，可以实现毫秒级链路保护倒换，保证高可靠性的网络质量。此外，针对Smartlink和RRPP均提供多实例功能，可实现链路负载分担，进一步提高了链路带宽利用率。产品规格及参数：）华为QuidwayS5700大容量交换机产品物理参数:主要参数产品类型千兆以太网交换机应用层级三层传输速率10/100/1000Mbps交换方式存储-转发背板带宽256Gbps包转发率96MppsMAC地址表32K端口参数端口结构非模块化端口数量24个端口描述24个10/100/1000Base-T端口扩展模块2个扩展插槽传输模式全双工/半双工自适应功能特性网络标准IEEE802.3，IEEE802.3u，IEEE802.3ab，IEEE802.3z，IEEE802.3x，IEEE802.1Q，IEEE802.1d，IEEE802.1X堆叠功能可堆叠VLAN支持4K个VLAN支持GuestVLAN、VoiceVLAN支持基于MAC/协议/IP子网/策略/端口的VLAN支持1:1和N:1VLAN交换功能30/30 QOS支持对端口接收和发送报文的速率进行限制支持报文重定向支持基于端口的流量监管，支持双速三色CAR功能每端口支持8个队列支持WRR、DRR、SP、WRR＋SP、DRR+SP队列调度算法支持报文的802.1p和DSCP优先级重新标记支持L2（Layer2）-L4（Layer4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN的非法帧过滤功能支持基于队列限速和端口Shapping功能组播管理支持IGMPv1/v2/v3Snooping和快速离开机制支持VLAN内组播转发和组播多VLAN复制支持捆绑端口的组播负载分担支持可控组播基于端口的组播流量统计IGMPv1/v2/v3、PIM-SM、PIM-DM、PIM-SSM网络管理支持堆叠支持MFF支持虚拟电缆检测（VirtualCable30/30 Test）支持端口镜像和RSPAN（远程端口镜像）支持Telnet远程配置、维护支持SNMPv1/v2/v3支持RMON支持网管系统、支持WEB网管特性支持集群管理HGMP支持系统日志、分级告警支持GVRP协议支持MUXVLAN功能安全管理用户分级管理和口令保护支持防止DOS、ARP攻击功能、ICMP防攻击支持IP、MAC、端口、VLAN的组合绑定支持端口隔离、端口安全、StickyMAC支持黑洞MAC地址支持MAC地址学习数目限制支持IEEE802.1X认证，支持单端口最大用户数限制支持AAA认证，支持Radius、TACACS+、NAC等多种方式支持SSHV2.0支持HTTPS支持CPU保护功能支持黑名单和白名单3.2.2汇聚层设计为了保证数据传输和交换的效率，在楼内设置二层楼内汇聚层。楼内汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性采用H3CS3600-28P-SI汇聚交换机。如图3-3图3-3H3CS3600-28P-SI交换机特点：1扩展性—IRF技术允许交换机利用互联电缆实现多台设备的扩展，最大扩展至384个10/100M端口;具有即插即用、单一IP管理，同时大大降低系统扩展的成本。30/30 2可靠性通过专利的路由热备份技术，在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断三层转发，极大的增强了堆叠架构的可靠性和性能，同时消除了单点故障，避免了业务中断。3.分布性通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。产品规格及参数：H3CS5500-SI产品规格及参数:产品类型智能交换机应用层级三层传输速率10/100/1000Mbps交换方式存储-转发背板带宽32Gbps包转发率9.6MppsMAC地址表16K端口结构非模块化端口数量28个端口描述24个10/100Base-TX以太网端口，4个1000Base-XSFP千兆以太网端口控制端口1个Console口传输模式全双工/半双工自适应网络标准IEEE802.1Q，IEEE802.1D，IEEE802.1w，IEEE802.1s，IEEE802.3x，IEEE802.1XVLAN支持基于端口的VLAN（4K个）支持基于协议的VLAN支持VoiceVLAN支持GVRP支持VLANVPN（QinQ），灵活QinQQOS30/30 支持对端口接收报文的速率和发送报文的速率进行限制支持报文的802.1p和DSCP优先级重新标记支持报文重定向支持CAR功能支持8个端口输出队列支持灵活的队列调度算法组播管理IGMPSnoopingIGMPV1/V2、PIM-SM、PIM-DM、MSDP（EI系列支持）网络管理支持XModem/FTP/TFTP加载升级支持命令行接口（CLI）、Telnet、Console口进行配置支持SNMPV1/V2/V3、WEB网管支持RMON1，2，3，9组MIB支持iMC智能管理中心支持HGMPv2集群管理支持系统日志、分级告警、调试信息输出支持PING、Tracert支持上电POST、风扇堵转、PoE设备过热等情况的检测与告警支持VCT（VirtualCableTest）电缆检测功能支持DLDP（DeviceLinkDetectionProtocol，设备连接检测协议）支持端口环回检测支持IPv6host功能族，实现IPv6管理S5700支持自动配置、即插即用、USB开局、自动批量远程升级等功能，便于部署升级和业务发放，简化后续的管理和维护性能。从而大大降低了维护成本。S5700支持SNMPV1/V2/V3、CLI命令行、Web网管、TELNET、HGMP集群管理等多样化的管理和维护方式，设备管理更加灵活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主机、基于端口的流量统计，支持NQA网络质量分析，有利于进一步作好网络规划和改造。3.2.3接入层设计接入层是直接连接多台计算机相连的设备，公司网络中接入层建设中，每个部门网络接入最为典型，其主要特点是上网时间集中，突发流量大、30/30 安全控制要求高。鉴于上述特点，对于超玩公司网络接入层配合PVLAN、单端口环回检测、端口速率限制、集群管理等手段.因此接入层设备采用H3CS3100-52p24口交换机如图3-4图3-4H3CS3100交换机特点：高带宽和高扩展H3CS3100-52p交换机为所有的端口提供二层线速交换能力，同时支持4个GE的上行扩展，满足行业用户多业务和高带宽的应用需求。灵活的用户管理和完备的安全控制策略H3CS3100-52p千兆交换机支持集中式MAC地址认证和802.1x认证，在用户接入网络时完成必要的身份认证，支持广播风暴抑制和端口锁定功能，支持配合H3C公司的CAMS系统对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为，保证接入用户的合法性。支持对Proxy进行有效的管理。H3CS5024P千兆交换机支持通过建立和维护DHCPSnooping绑定表实现侦听接入用户的MAC地址、IP地址、租用期、VLAN-ID接口等信息，解决DHCP用户的IP和端口跟踪定位问题。丰富的QOS策略H3CS3100-52p交换机支持每个端口8个输出队列，支持SP（StrictPriority）、WRR（WeightedRoundRobin）、SP+WRR三种队列调度算法。支持端口双向限速，限速的控制粒度为64Kbps。多样的管理方式H3CS3100-52p千兆交换机支持VCT（VirtualCableTest）电缆检测功能，便于快速定位网络故障点。支持通过FTP、TFTP实现设备的远程升级，支持HGMP集群管理系统和故障诊断，实现了设备的集中管理和维护，支持SNMP，可支持Open30/30 View等通用网管平台，以及Quidview网管系统。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便。产品规格及参数：（见表所示）型号H3CS3100-52p固定端口24个10/100Base-TX以太网端口，2个10/100/1000Base-T以太网端口和2个复用的1000Base-XSFP千兆以太网端口交换容量所有端口支持线速转发19.2Gbps包转发率6.55Mpps交换模式存储转发模式（StoreandForward）支持QoS每个端口支持4个输出队列MAC地址支持8KMAC地址支持黑洞MAC支持设置端口最大MAC地址学习VLAN支持基于端口的VLAN(4K个)支持VLANVPN（QinQ）支持GVRP支持ACL支持L2（Layer2）～L4（Layer4）包过滤功能，可以匹配报文前80个字节，提供基于源MAC地址、目的MAC、源IP地址、目的IP地址、IP协议类型、TCP/UDP端口、TCP/UDP端口范围、VLAN等定义ACL支持基于时间段（TimeRange）的ACL支持基于端口组、全局、VLAN批量下发ACL安全特性用户分级管理和口令保护支持GuestVLAN支持IEEE802.1X认证支持集中MAC地址认证支持SSH2.0支持IP源地址保护支持ARP入侵检测功能支持ARP报文限速功能支持端口隔离支持IP＋端口的绑定支持IP+MAC的绑定支持端口＋MAC的绑定支持IP+MAC+端口的绑定管理与维护支持XModem/FTP/TFTP加载升级支持命令行接口（CLI），Telnet，Console口进行配置30/30 支持SNMPv1/v2/v3，WEB网管支持RMON（RemoteMonitoring）1，2，3，9组MIB支持H3CiMC智能管理中心支持系统日志，分级告警，调试信息输出支持IPv6host，包括IPv6单播地址配置，ICMPv6，IPv6邻居发现协议（ND），IPv6静态路由，IPv6-PING，IPv6-TCP，IPv6-TFTP，支持Telnet远程维护支持上电POST支持DLDP（DeviceLinkDetectionProtocol）单向链路检测协议支持Loopback-detection端口环回检测3.3虚拟局域网VLAN与IP子网设计划分虚拟局域网是整个网络系统的重要技术之一。公司网络内部的环境复杂、分布区域广、网络用户多，以至于企业内部网络用户的可靠性得不到完全的保证。通过划分虚拟局域网，隔离不同部门，可以增强企业网络安全性，以下详细论述了虚拟局域网的技术及在网络系统中的必要性和设计方案。3.3.1虚拟VLAN简介以太网基本上是以广播为基础的，如最初包的寻址等，交换机虽然能够通过建立地址映射表减少不必要的广播，但是地址映射表的建立过程仍然是基于广播的，网络节点（如PC机）在处理广播时浪费了CPU处理时间，降低了处理性能，根据统计，当网络上存在15000个广播包时，将耗尽CPU资源；在传统的网络里，节点的吞吐量都会随着节点的增多而下降，交换式以太网虽然能够隔离冲突域及第二层广播，但是无法隔离第三层网络。30/30 另一方面，接入网需要保障用户数据（单播地址的帧）的安全性，隔离携带有用户信息的广播消息（如ARP、DHCP消息等），防止关键设备受到攻击。对每个用户而言，当然不希望他的信息被别人利用，因此需要从物理上隔离用户数据（单播地址的帧），保证用户单播地址的帧只有该用户可以接收到，不像在局域网中采用共享总线方式，使单播地址的帧能被总线上的所有用户接收。如果不隔离这些广播消息而让其他用户接收到，容易发生MAC/IP地址仿冒，影响设备的正常运行，中断合法用户的通信过程。为了隔离第三层广播，增强安全性、提高网络性能，可以运用VLAN（虚拟局域网）技术或者使用路由设备。使用路由器时可以将网络划分多个物理网段，这些物理网段可以连接到路由器的多个端口，多个物理网段间通过路由器进行通信，但是路由器的端口价格远远高出交换机的端口价格，所以这种方式将增加设备投资，在物理网段增多时就更为严重，而且只有使用高端设备才能满足高端口密度的要求，所以不推荐这种方式。VLAN技术不需要特殊的设备，目前第二层交换机均支持VLAN技术。通过在一个物理网段上划分出多个逻辑网段，由每一个逻辑网段构成一个VLAN，其内部采用交换机连接，所有的广播信息只限制在本VLAN内，而之间的连接则采用路由实现，具体实施时可以外加路由器，或者直接使用第三层交换设备。使用路由器时，将这些逻辑网段连接到路由器时可以只使用一条物理链路、占用一个路由器接口，这样就节省了设备的投资，而使用三层交换设备时，不需要额外增加设备，只要交换机支持三层路由功能即可，由于三层交换设备的工作效率高于路由器，所以在本论文中推荐采用三层交换设备实现VLAN之间的路由。3.3.2VLAN规划目前，VLAN技术可以使用以下方式组建：基于交换机端口的VLAN、基于MAC地址的VLAN和基于应用协议的VLAN：基于端口的VLAN，即静态VLAN，特点是技术简单，容易配置且维护工作量小，缺点是终端设备移动时需要更改设备配置。基于MAC地址的VLAN，即动态VLAN，基于Vlan策略服务组建，特点是终端设备可以在整个局域网中移动而不用改变配置，适合于移动办公型的网络环境，缺点是配置工作量大、繁琐。由于交换机为二层设备，所以基于应用协议的VLAN对于交换机来说没有任何意义，反而会造成交换机性能的下降。考虑到本系统的特点，节点在网络中内移动的可能性较小，基于易维护、易管理方面的考虑，使用基于交换机端口的VLAN进行配置。采用虚拟局域网VLAN主要出于三个目的：用户隔离、提高网络效率；提供灵活的管理；提高系统安全性。因此，规划VLAN时也应该综合考虑这三方面的因素。30/30 接入层设备为二层交换机。为了进行不同用户间的有效隔离和互联，需要利用交换机对用户进行相应的VLAN划分。具体做法可以是将交换机的每一端口划分一个VLAN以实现所有用户间的二层隔离，此时如果需要互联，可通过上连设备的ACL功能来控制；也可以根据需要将多个交换机的不同端口划为同一个VLAN，直接实现有限制的用户互联。VLAN规划参照表和图3-5，各个VLAN间由ACL控制，限制互访。其中VLAN10——VLAN40为各部门VLAN，禁止互访，VLAN50为公司文件服务器区，能被任何部门访问，VLAN60为网管区，能单向访问各个部门。VLAN号网段描述VLAN10192.168.1.0/24人力资源部VLAN20192.168.2.0/24财务部VLAN30192.168.3.0/24运维部VLAN40192.168.4.0/24生产部VLAN50192.168.5.0/24公司文件服务区VLAN100192.168.100.0/24网络管理中心表30/30 图3-53.3.3IP子网设计IP地址分配要遵循以下原则：1、简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式。2、连续性：为同一个网络区域分配连续的网络地址，便于采用SUMMARIZATION及CIDR(CLASSLESSINTER-DOMAINROUTING)技术缩减路由表的表项，提高路由器的处理效率。3、可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性。30/30 4、灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化。5、可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。6、安全性：网络内应按工作内容划分成不同网段即子网以便进行管理。根据以上设计和校园网的需求，公司的IP子网划分见表和图3-6所示：表3-6IP子网划分：SW5Fa0/3192.168.10.2/24Fa0/1192.168.1.2/24Fa0/2192.168.2.2/2430/30 SW6Fa0/3192.168.20.2/24Fa0/1192.168.3.2/24Fa0/2192.168.4.2/24SW7Fa0/1192.168.100.1/30Fa0/2192.168.7.2/24Fa0/3192.168.11.2/24Fa0/4192.168.12.2/24CoreSW1Fa0/1192.168.11.1/24Fa0/2192.168.5.1/24Fa0/3192.168.102.1/24Fa0/4192.168.10.1/24CoreSW2Fa0/1192.168.12.1/24Fa0/2192.168.5.2/24Fa0/3192.168.101.1/24Fa0/4192.168.20.1/24聚合R1Fa0/0192.168.103.1/30Fa0/1192.168.11.2/24Fa0/2192.168.12.2/2430/30 PC1192.168.1.3255.255.255.0PC2192.168.1.4255.255.255.0PC3192.168.2.3255.255.255.0PC4192.168.2.4255.255.255.0PC5192.168.3.3255.255.255.0PC6192.168.3.4255.255.255.0PC7192.168.4.3255.255.255.0PC8192.168.4.4255.255.255.03.3.4访问控制列表（ACL）设计方案访问控制列表（AccessControlList，ACL）是路由器接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议（IP、AppleTalk以及IPX）的情况，那么，用户必须定义三种ACL来分别控制这三种协议的数据包。自反访问表在路由器的一边创建IP流量的动态开启，该过程是基于来自路由器另一边的会话进行的。在正常的操作模式下，自反访问表被配置并用于从路由器的不可信方，例如连接到Internet的串行端口，创建开启表项。这些开启表项的创建是基于源于设备的可信方的会话进行的，例如以太网或令牌环网的用户连接到一个网段或连接到路由器端口的环。在该过程中，访问表执行的动作称为自反向过滤（reflexivefiltering）。该名称是根据此访问表的类型得来的。在IOS版本11.3中引入了自反访问表，并且它可用在所有的路由器平台上。在核心层交换机上配置SW5（由于各个端口配置相似，故只列出核心交换机SW5的e0/1.1）：ipaccess-listextendede0/0.1-inevaluateadmin30/30 denyip192.168.1.00.0.0.255192.168.2.00.0.0.255denyip192.168.1.00.0.0.255192.168.3.00.0.0.255denyip192.168.1.00.0.0.255192.168.4.00.0.0.255denyip192.168.1.00.0.0.255192.168.100.00.0.0.255permitipanyanyexitipaccess-listextendede-outpermitipanyanyreflectadmininte0/0.1ipaccess-groupe-outoutipaccess-groupe0/0.1-ininexit3.4路由协议的选择OSPF提供了更多更灵活的路由控制策略，方便复杂网络结构的用户实施路由规划。另一方面则在于OSPF的开放性，为用户网络今后的扩展提供了较大的空间和灵活性，从而获得了广泛的认可，使之成为内部路由协议的一种较佳选择。总的来说OSPF路由协议具有以下优点：适合中小型企业网络搭建节省网络带宽：OSPF属于链路状态协议，只有当网络连接状态发生变化时才彼此更新变化了的拓扑信息，而并非整个网络的LSDB，从而大大节省了网络带宽，这对于大型的广域网来说很重要。支持VLSM：OSPFLSA(LinkStateAdvertisement)中包含子网掩码。支持层次化的网络结构设计：网络设计人员可以把一个大型OSPF网络分成若干域(Area)，其中一个是主干域(BackboneArea,AreaID0.0.0.0)，其它非主干域均与主干域相连，并通过主干域交换LSDB。同时OSPF还引入了外部路由(ExternalRoutes)及ASBR(AutonomousSystemBoundaryRouter)概念，非OSPF路由均视为外部路由，由ASBR注入到OSPF域。支持路由总结(RouteSummary)：OSPFABR（连接多个区域的设备）具有路由总结的功能，如果连续地分配IP地址空间，则ABR仅向主干域广播总结后的路由信息，抑制那些具体的路由信息的广播，从而大大减小了其它域中路由器LSDB及路由表的大小。没有路由跳数限制：OSFF路由表是基于LSDB运行Dijkstra算法计算出来的，没有跳数限制。30/30 没有路由环路问题：OSPF属于Link-State路由协议，没有环路问题。OSPF其它特性：OSPF定义了StubArea及Not-So-Stubby-Area(NSSA)，为设计包含多种路由协议的混合网络，以及控制LSDB及路由表的大小提供了手段。SW5核心交换配置OSPF协议(其他配置一样的，在这里不详细叙述)routerospf1network192.168.5.00.0.0.225area1network192.168.11.00.0.0.255area1network192.168.101.00.0.0.3area1network192.168.10.00.0.0.255area1第四章网络安全管理4.1内网安全运用多种技术，如VLAN、防病毒体系等，对各个部门、系所访问进行控制，各单位之间在未授权的情况下不能互相访问，保证系统内部的安全。内网对安全的需求包括VLAN设置需求、防病毒系统需求、网络管理需求和网络系统管理等。4.1.1VLAN设置需求企业网络内部的环境比较复杂，而且各子网的分布区域广，网络用户多，因此，内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户，如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性，必须要对它进行详尽的设计，尽可能防护到网络的每一节点。4.1.2防病毒系统需求针对防病毒危害性极大并且传播极为迅速，必须配备从单机到服务器的整套防病毒软件，实现全网的病毒安全防护。4.1.3网络管理需求此次建设的企业网络系统是一个相当复杂的计算机网络，包含多种设备和技术。随着系统复杂度的增加，会给系统管理带来成指数增加的管理工作量。为此必须要设计一套健全的管理系统。针对系统的功能采取相应的管理措施。30/30 4.2外网安全由于外网主要运行企业各部门非涉密的内部办公业务以及运行面向客户的公开信息，所以必须采取过硬的安全技术来实现企业的网络系统不受Internet的“黑客”、病毒等攻击。外网对安全的需求包括物理安全需求、数据链路层需求、入侵检测系统需求、防病毒系统需求和安全管理体制等。4.2.1物理安全需求针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放机密信息的机房进行必要的设计，如构建屏蔽室。采用辐射干扰机，防止电磁辐射泄漏机密信息。对重要的设备进行冗余配置；对重要系统进行备份等安全保护。4.2.2数据链路层需求信息的泄漏很多都是在链路上被搭线窃取，数据也可能因为在链路上被截获、被篡改后传输给对方，造成数据真实性、完整性得不到保证。如果利用加密设备对传输数据进行加密，使得在网上传输的数据以密文传输。因为数据是密文，所以，即使在传输过程中被截获，入侵者也读不懂，而且加密机还能通过先进行技术手段，对数据传输过程中的完整性、真实性进行鉴别。可以保证数据的保密性、完整性及可靠性。因此，可能需要配备加密设备对数据进行传输加密。4.2.3入侵检测系统需求网络安全是整体的、动态的，不是单一产品能够完全实现的，所以为了确保网络更加安全必须配备入侵检测系统，对透过防火墙的攻击进行检测并做相应反应（记录、报警、阻断）。4.2.4防病毒系统需求针对防病毒危害性极大并且传播极为迅速，必须配备从单机到服务器的整套防病毒软件，实现全网的病毒安全防护。第五章.安全管理体制安全系统只能提供技术手段和措施，但人为的因素不可忽略，只有确立健全的安全管理体制，设立相应的安全管理岗位，从制度上加以严格管理。30/30 系统中包含大量的网络设备，必须为其配置功能强大的管理系统，该系统应具有以下功能：(1)虚拟网管理、分配；(2)对所有网络设备端口的监视和管理；(3)对网络流量的监测和管理；(4)对所有网络设备的远程管理和控制，包括网络端口设备的开放和关闭；(5)整个网络的故障监测，故障自动报警功能；(6)整个网络性能的统计和分析报告。5.1网络应用安全谈到网络应用安全，人们首先想到的是网络黑客。确实，网络黑客几乎与网络同时诞生，黑客与反黑的斗争从来就没有停止过。要有效防止黑客，就必须首先了解黑客所使用的手段。一般说来黑客所使用的手段主要有下面几类。5.1.1网络嗅探一般说来，有网络路由器的地方都有探测程序（snifferprogram）。探测程序是一种分析网络流量的网络应用程序。IP的最基本的缺点是缺乏一种机制来确定数据包的真正来源。所有的包都含有源地址和目的地址，但是在IP包中没有任何东西可以确认IP包的源和目的地址是否变动过。显然，安全性不好的系统将是黑客进驻和安装探测软件的地方。一旦探测软件安装完毕，黑客就可以通过分析经过的所有数据流量，从而得到所需要的地址、帐号和密码等数据。其中典型的包探测程序也就是利用IP的弱点，因为它可以用来探测有效的Internet连接。一旦这种连接被检测到，包探测程序就可以利用IP的其它弱点窃取其它连接信息。5.1.2ARP欺骗感染了ARP欺骗病毒的计算机会向同网段内所有计算机发ARP欺骗包，导致网络内其它计算机因网关物理地址被更改而无法上网，被欺骗计算机的典型症状是刚开机能上网，几分钟之后断网，如此不断重复，造成了该子网段范围内的不稳定，影响其它机器的正常使用。更为严重的是ARP欺骗病毒及其变形“恶意窃听”等病毒的中毒主机会截取局域网范围内所有的通讯数据。5.1.3IP地址欺骗30/30 当一个黑客开始使用一种用以散布网络路由信息的应用程序RIP时，一种路由方式的地址欺骗就开始了。一般说来，当一个网络收到RIP信息时，这种信息是没有得到验证的。这种缺陷的结果是使得黑客可以发送虚假的路由信息到他想进行欺骗的一台主机，如主机A。这种假冒的信息页将发送到主机A的路径上的所有网关。主机A和这些网关收到的虚假路由信息是来自网络上的一台不工作或没有使用的主机，如主机B。这样，任何要发送到主机B的信息都会转送到黑客的计算机上，而主机A和网关还认为信息是流向了主机B——网络上一个可信任的节点。一旦黑客成功地将他的计算机取代了网络上的一台实际主机，就实现了主机欺骗。5.1.4DOS攻击DOS攻击也称强攻击，其最基本的方法就是通过发起大量的服务请求，消耗服务器或网络的系统资源，使之最终无法响应其它请求，导致系统瘫痪。具体实现方法有下面几种：1、PING/ICMPEchoFlood攻击这种攻击模式一般是发起大量的ICMPEcho请求给一个指定的目标，以达到使服务瘫痪的目的。但是需要发起这么大量的ICMP请求是不可能从一台具有正确IP地址的主机上做到的，因为这样也会对自身产生很大的影响，发起者不得不接受同样多的回应。所以HACKER需要利用虚假的地址再发起攻击。我们可以利用H3C9512的源地址验证功能实现防止PING攻击。2、SMURF攻击SMURF攻击类似与PING攻击，是一种带宽消耗的攻击模式。它需要大量虚假ICMP请求导向到IP广播地址上。当一个包是从设备的本地网络外发送到本地网络的广播地址的时候，它被转发到这个本地网络的所有设备上。于是我们可以看到在SMURF攻击中有3大部分：发起攻击者，中间系统，和受害者。当然中间系统也可能同样是受害者。中间系统接从广播地址那里收到ICMP应答请求，当这些设备同时回答请求的时候，就会导致严重网络阻塞。防止SMURF攻击的重要措施是在路由器上配置不准广播进入的条目。我们也可以利用ZXR10-UAS的安全ARP功能去阻挡流量到广播地址。3、SYN攻击TCPSYN攻击是一种以大量虚假IP地址发起SYN握手信号消耗掉被攻击设备的资源的攻击模式。设备要做出大量的SYN回应，而三次握手却是无法正常完成，必须等待Timeout之后（通常是1分钟左右）。在短时间内大量发起SYN攻击，会很快消耗完设备的资源，让被攻击者无法完成正常的TCP服务，如E-MAIL，WWW等。4、LAND攻击30/30 LAND攻击是SYN攻击一种演变，它似的好像主机是在自己给自己发送包，从而让系统变得不断的尝试应答自己。5、分布式DOS攻击（DDOS）DDOS攻击是一种更严重的攻击手段，它通过某些主机操作系统/软件的缺陷，从而操纵大量的第三方设备向目标发起攻击，扩大了DOS攻击的强度。一般来说，HACKER主要利用EMAIL或者JAVEScript等去控制其他主机，而且通常都以UNIX主机/服务器为主，因为它们是24*7工作模式，方便被HACKER在方便的时候操纵和发起攻击。通常我们需要在路由器上打开外出包过滤去防止欺骗包离开网络，同时也可以采用工具去搜索本网络中DDOS的引擎并且删除它。黑客攻击是网络应用安全的重点，但并不是全部。网络应用安全还应该包括对网络内部不同用户权限的外部访问控制（例如没有授权用户不准上Internet或不准访问与公司业务无关的娱乐性网站等）。30/30 总结1）随着科技的发展，网络在经济规模中正以不可替代的趋势，扮演着“利用信息资源，协调生产成本，提高经济效益”的重要角色。对于企业而言，网络的构建是企业不可缺少的一部分。2）在设计网络结构时，企业的商业目的是优先处理的因素，因此要考虑其成本、扩充性、安装维护是否方便等。综合这些因素，使用网络设备商的中低端设备，构建快速以太网，是适合中小型企业网络的解决方案。3)通过这次的毕业论文设计，我真的学到了很多的东西，在实际的工作我们要做的除了模块化的东西外，我们尽量要把东西系统化，因为很多东西就是有联系的你只要找到了他们的关系会为你处理问题带来很高的效率，我也从中发现了自身很多不足的地方知识面还不够广，系统的认识问题还不够，在学习中趋于模块化了，所有要加强系统化的学习，努力提高自己的技术水平。3）本方案中使用的主要技术方法：<1>采用成熟的OSPF协议规划网络；<2>VLAN技术保证部门的隔离和安全，VTP管理VLAN的传播；<3>HSRP技术增强骨干网的稳定性，<4>组播技术，保证链路带宽费充分利用，避免浪费；<5>ACL管理，保证企业数据的安全性；30/30 参考文献[1Brian.Morgan.Cisco.Press.CCNP.ISCW.Official.Exam.Certification.Guide.1st.Editio.人民邮电出版社[2DinaeTeare.CCNP学习指南：组建可扩展的Cisco互联网络（BSCI）（第三版）.人民邮电出版社[3BrianMorganNeilLovering.CCNAISCW认证考试指南.人民邮电出版社[4AmirRanjbar.CCNPONT认证考试指南.人民邮电出版社[5RichardFroom,BalajiSivasubramanian,ErumFrahim.CCNP学习指南：组建Cisco多层交换网络(BCMSN)(第4版).人民邮电出版社[6DavidHucaby.CCNPBCMSN认证考试指南(第4版).人民邮电出版社[7DavidHucaby.CCNPBCMSN认证考试指南(第三版).人民邮电出版社[8、王达编著<<网络工程师必读——网络安全系统设计>>电子工业出版社2009年出版[9、徐昌彪、鲜永菊编著<<计算机网络中的拥塞控制与流量控制>>人民邮电出版社2007年出版30/30 致谢在论文完成之际，我要特别感谢我的指导老师肖丽娜老师的热情关怀和悉心指导。在我撰写论文的过程中，肖老师倾注了大量的心血和汗水，无论是在论文的选题、构思和资料的收集方面，还是在论文的研究方法以及成文定稿方面，我都得到了肖老师悉心细致的教诲和无私的帮助，特别是她广博的学识、深厚的学术素养、严谨的治学精神和一丝不苟的工作作风使我终生受益，在此表示真诚地感谢和深深的谢意。在论文的写作过程中，也得到了许多同学的宝贵建议，同时还得到许多实习期同事的支持和帮助，在此一并致以诚挚的谢意，感谢所有关心、支持、帮助过我的良师益友。最后，向在百忙中抽出时间对本文进行评审并提出宝贵意见的各位老师表示衷心的感谢！感谢所有教过我的老师你们辛苦了，在你们的教导下我知道了知识的发展前沿，知道了人生道理。感谢在轻工三年里和我共同学习和生活的同学们感谢你们对我的照顾对我做错事情的理解。30/30'