網絡安全課程設計(某中小企業(yè)網絡規(guī)劃與設計)

1、精選優(yōu)質文檔-傾情為你奉上成績 徐州工程學院綜 合 訓 練 報 告 課 程 名 稱 計算機網絡綜合訓練 專 業(yè) 計算機科學與技術 班 級 學 生 姓 名 學 號 設 計 題 目 某中小企業(yè)網絡規(guī)劃和設計指 導 教 師 設計起止時間：2009 年12月7日至 2009年 12月25日 某中小企業(yè)網絡規(guī)劃和設計一 需求分析隨著經濟的飛速發(fā)展和社會信息化建設的大力推進，網絡平臺已經成為企業(yè)進行業(yè)務拓展、經營管理和進行形象宣傳的一個獨特的窗口。建立企業(yè)網絡，早已不再是為了趕潮流或是博取好聽的名聲，而是把網絡技術同企業(yè)管理體系、工作流程和商務運作等緊密地聯系在了一起，充分利用互聯網不受時空限制的信息平臺

2、，建立最直接、豐富、快捷的商務溝通平臺和管理平臺，從而搭建高效的經營管理機制和商務運作平臺。1.1企業(yè)對信息的需求全球信息網的出現和信息化社會的來臨，使得社會的生產方式發(fā)生深刻的變化。面對著激烈的市場競爭，公司對信息的收集、傳輸、加工、存貯、查詢以及預測決策等工作量越來越大，原來的電腦只是停留在單機工作的模式，各科室間的數據不能實現共享，致使工作效率大大下降，純粹手工管理方式和手段已不能適應需求，這將嚴重妨礙公司的生存和發(fā)展。1. 2 對企業(yè)經營的影響它正全方位地改變企業(yè)的經營方式：企業(yè)可以進行網上廣告宣傳，可以及時獲取重要的有關市場信息和企業(yè)間的競爭情報，還可利用網絡的電子郵件功能和有業(yè)務往

3、來的客戶進行方便、快捷的遠程通信。另外，企業(yè)還可在網上進行人才招聘，通過上網招聘可以引進更優(yōu)秀的人才。企業(yè)通過把因特網技術引進企業(yè)內部，建立企業(yè)內部管理信息系統(tǒng)(局域網)，這樣的局域網既具有因特網的功能，又為企業(yè)全部擁有。1. 3 從企業(yè)管理和業(yè)務發(fā)展的角度出發(fā)通過網絡對網絡資源的共用來改善企業(yè)內部和企業(yè)與客戶之間的信息交流方式，滿足業(yè)務部門對信息存儲、檢索、處理和共享需求，使企業(yè)能迅速掌握瞬息萬變的市場行情，使企業(yè)信息更有效地發(fā)揮效力；提高辦公自動化水平，提高工作效率，降低管理成本，提高企業(yè)在市場上的競爭力；通過對每項業(yè)務的跟蹤，企業(yè)管理者可以了解業(yè)務進展情況，掌握第一手資料，及時掌握市場動

4、態(tài)，為企業(yè)提供投資導向信息，為領導決策提供數據支持；通過企業(yè)內部網建立，企業(yè)各業(yè)務部門可以有更方便的交流溝通，管理者可隨時了解每一位員工的情況，并加強對企業(yè)人力資源合理調度，切實做到系統(tǒng)的集成化設計，使原有的設備、投資得到有效利用。二 客戶的需求某公司部門，由于網絡規(guī)模不斷擴大，信息流量逐漸加大，人員管理變得日益復雜，給企業(yè)網的安全、穩(wěn)定和高效運行帶來新的隱患，為了消除這些隱患，公司需要使用以太網交換機來構建內部局域網，而在辦公區(qū)域有多個業(yè)務部門員工。要求同一部門之間能夠互相通信，某些部門之間可以互相通信，而某些不同部門之間不能通信，因此需要在局域網中為每個部門劃分VLAN，將同部門所用計算機

5、劃分在同一個VLAN內，而不同部門所用計算機在不同的VLAN，從而實現不同部門之間的隔離。劃分VLAN之后是為了實現各VLAN之間的三層以上的互通，還需要在三層交換機上配置VLAN接口以實現VLAN之間的互通(即VLAN Routing) 。而為了保證信息安全以及權限控制，可以在整個網絡的出口或入口上通過配置引用ACL訪問控制列表來實現。三 中小型網絡的發(fā)展情況在國內行業(yè)信息化快速推進之時，中小網絡作為網絡化建設的一支主體力量，其市場前景得到越來越多的關注。由于我國中小網絡市場尚處于培育發(fā)展階段，所以中小網絡還停留在物理型的網絡水平上。但隨著網絡應用越來越復雜，物理型網絡建設與應用暴露出越來越

6、多的問題，物理型網絡的局限與日益豐富的應用需求形成尖銳的矛盾，具體而言表現在以下幾個方面：（1）物理型網絡只能實現信息共享，但不能保證安全。對于中小企業(yè)辦公局域網而言，由于以前的網絡是封閉的，主要是用做網絡資源共享，因而比較容易保護其安全性，簡單的非網管交換設備就可以承擔其任務。而現在，中小企業(yè)不約而同地在建立企業(yè)經營信息管理系統(tǒng)，這些系統(tǒng)提供信息是企業(yè)核心的機密之一。為保證這些重要信息，很多企業(yè)借助于操作系統(tǒng)和數據庫口令機制。但由于這些方法無法真正保證安全，會經常發(fā)生由于信息泄露或丟失直接造成重要客戶流失、重大項目丟單等巨大損失。同時，由于無法跟蹤每個員工究竟使用哪些信息，事先無法做到有效的

7、威懾和防范；而就算事后通過其它途徑得知時，往往沒有證據而無法舉證。這嚴重地影響了企業(yè)的正常運營。（2）物理型網絡非常容易受到廣播風暴的侵襲，造成網絡擁堵，降低網絡性能。目前，網絡內部數據交流也越來越頻繁，如工作信息共享、內部即時通訊、內部郵件系統(tǒng)等，這往往需要使用廣播報文完成查詢對方地址等功能。但是這些應用程序也可能因故障錯誤而發(fā)送過量的廣播報文；同時，由于網卡故障、病毒發(fā)作、交換機故障或交換機產生環(huán)路等原因，都可能產生大量的廣播報文。事實上，在局域網中廣播的存在是合理的，但過多的廣播就會形成廣播風暴，造成網絡中大量數據流的碰撞，擁堵會隨之出現，嚴重時會導致網絡崩潰。 （3）還有一些應用使得物

8、理型網絡與新需求的矛盾更加激化?；ヂ摼W是獲取信息、對外聯系、提高工作的重要途徑，但是一些企業(yè)經常發(fā)生員工上班炒股等不良行為。為提高網絡服務質量，提高發(fā)現計算機設備運行問題，必須對重要服務CPU利用率、硬盤運行情況和網卡流量統(tǒng)計等信息實施監(jiān)控；同時，由于網絡應用復雜，需要通過統(tǒng)一的管理平臺對互聯網使用情況、不同交換機和路由器等設備運行情況進行監(jiān)控。 中小網絡中應用越來越復雜，這使得網絡傳輸狀況變得擁擠不堪，越來越多的用戶意識到物理型網絡的智能升級的必要性，因此如何提高網絡的可管理性和安全性是企業(yè)迫在眉睫的重要課題。面對實現功能上的瓶勁，物理型網絡與日益復雜的新應用需求產生了尖銳的矛盾，而新應用與

9、新需求的出現與普及使得這樣的矛盾進一步激化，中小網絡以更強烈的聲音呼喚著可管理的應用型網絡出現。對于中小網絡而言根據不同部門劃分不同的虛擬子網（VLAN），進行限制性的訪問，而且記錄重要信息的訪問過程，是保證網絡安全最為有效的方法。而且通過配置某個VLAN的廣播風暴抑制比，對網絡中廣播流量進行監(jiān)控，設置每秒中允許廣播的廣播包數，當流量的帶寬超過這個配置的限度時，過濾該VLAN上超出的流量，有效保證網絡業(yè)務的正常運行。采用網絡管理系統(tǒng)進行遠程的監(jiān)控、管理和配置，有助于及時發(fā)現和解決問題，從而降低管理的復雜性，提高管理效率。四 網絡規(guī)劃設計 4.1 中小型企業(yè)網的主要功能  中小型企業(yè)網

10、絡主要實現有以下幾個方面的功能：（1） 資源共享功能。網絡內的各個桌面用戶可共享數據庫、共享打印機，實現辦公自動化系統(tǒng)中的各項功能。（2） 通信服務功能。最終用戶通過廣域網連接可以收發(fā)電子郵件、實現Web應用、接入互聯網、進行安全的廣域網訪問。（3） 多媒體功能。支持多媒體組播，具有卓越的服務質量保證功能。（4） 遠程VPN撥入訪問功能。系統(tǒng)支持遠程PPTP接入，外地員工可利用INTERNET遠程訪問公司資源。  4.2 中小型企業(yè)網設計原則 （1）實用性和經濟性。系統(tǒng)建設應始終貫徹面向應用，注重實效的方針，堅持實用、經濟的原則，建設企業(yè)的網絡系統(tǒng)。 （2）先進性和成熟性。系統(tǒng)設計既

11、要采用先進的概念、技術和方法，又要注意結構、設備、工具的相對成熟。不但能反映當今的先進水平，而且具有發(fā)展?jié)摿?，能保證在未來若干年內企業(yè)網絡仍占領先地位。 (3) 可靠性和穩(wěn)定性。在考慮技術先進性和開放性的同時，還應從系統(tǒng)結構、技術措施、設備性能、系統(tǒng)管理、廠商技術支持及維修能力等方面著手，確保系統(tǒng)運行的可靠性和穩(wěn)定性，達到最大的平均無故障時間，TP-LINK網絡作為國內知名品牌，網絡領導廠商，其產品的可靠性和穩(wěn)定性是一流的。 (4) 安全性和保密性。在系統(tǒng)設計中，既考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統(tǒng)應分別針對不同的應用和不同的網絡通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機

12、制、數據存取的權限控制等，TP-LINK網絡充分考慮安全性，針對小型企業(yè)的各種應用，有多種的保護機制，如劃分VLAN、MAC地址綁定、802.1x、802.1d等。 （5） 可擴展性和易維護性。為了適應系統(tǒng)變化的要求，必須充分考慮以最簡便的方法、最低的投資，實現系統(tǒng)的擴展和維護，采用可網管產品，降低了人力資源的費用，提高網絡的易用性。 4.3中小型企業(yè)網的設計為了滿足中小型企業(yè)的需求及長遠利益，中小型企業(yè)網絡系統(tǒng)設備應依據上述網絡設計原則進行選型，在網絡設備方面選用國內領先的網絡互聯廠商TP-LINK的產品，其產品與服務通過智能、安全及可靠的網絡將信息設備連為一體，具有很好的可靠性和穩(wěn)定性。T

13、P-LINK的高性能、功能全面的千兆網絡產品解決方案，利用千兆以太網技術建網，網絡中心交換機選用TP-LINK多功能千兆網管型交換機TL-SL3226P，背板帶寬達8.8G，完全滿足中小型企業(yè)內辦公和其他應用的需要。在TL-SL3226P下方可根據實際情況級聯智能型或基本型交換機，來滿足不同的中小型企業(yè)網用戶的不同需要，另外考慮到企業(yè)內部存在不方便布線地點或移動性很強的用戶接入問題，在某些特定的區(qū)域設計了無線信號覆蓋，通過TL-WA200無線接入點和TP-LINK系列無線網卡，以11M的帶寬高速連上企業(yè)網。整個企業(yè)網通過TP-LINK寬帶路由器TL-R460實現與INTERNET的連接，該產品

14、支持各種常見接入方式，并能支持局域網上網權限限制。 由TP-LINK產品組成的中小型企業(yè)網，主要使用以下幾個方面的技術：（1） 帶寬聚合技術：在兩臺交換機間提供鏈路的聚合，提供并行帶寬，將多條物理上的連接組成一條邏輯通路（Trunk）。主要功能包括成倍增加帶寬和為線路冗余提供可靠性。實現核心網絡連接的線路冗余和平衡負載。 （2）靈活的帶寬控制技術：以64K為單位，對每個端口的輸入和輸出帶寬根據實際需求進行靈活的控制，達到不讓某一臺或一組工作站占用網絡過多帶寬的目的。 （3）采用TP-LINK的MAC地址限制技術：最大可以設置256個MAC地址綁定，實現網絡PORT接入的安全保護，同時酌情采用8

15、02.1X技術，實現對用戶接入的訪問控制，進一步提高網絡安全性。（4）支持VLAN的劃分：基于端口VLAN和支持跨交換機802.1Q 的VLAN，增強網絡的靈活性，提高網絡安全，控制廣播風暴。（5） 支持無線WEP加密技術：對于無線產品的安全性有較好的保障，支持WEP 256位的加密，很大程度上杜絕了非法用戶在無線覆蓋區(qū)域內的接入。五 網絡拓撲圖按組網規(guī)則，規(guī)劃網絡要規(guī)劃到未來的三到五年。并且在未來，公司的電腦會不斷增加。比較環(huán)形、星形、總線形三種基本拓撲結構，星形連接在將用戶接入網絡時具有更大的靈活性。當系統(tǒng)不斷發(fā)展或系統(tǒng)發(fā)生重大變化時，這種優(yōu)點將變得更加突出，所以選擇星形網絡最好。（1）初

16、步整體網絡設計拓撲結構如下頁所示：（2）實際的具體的設計拓撲圖如下六 企業(yè)vlan的設計6.1 vlan的劃分和地址的分配經理辦子網(vlan2)：  192.168.1.0      子網掩碼: 255.255.255.0   網關：192.168.1.1生產子網(vlan3)：     192.168.2.0       子網掩碼: 255.255.255.0   網關：192.168.2.1 

17、;市場子網(vlan4)：192.168.3.0      子網掩碼: 255.255.255.0   網關：192.168.3.1 財務子網(vlan5)：  192.168.4.0      子網掩碼: 255.255.255.0   網關：192.168.4.1   資源子網(vlan6): 192.168.5.0      子網掩碼: 255.255.255.

18、0    網關：192.168.5.1 6.2 訪問權限控制策略（1）經理辦VLAN2可以訪問其余所有VLAN。（2）財務VLAN5可以訪問生產VLAN3、市場VLAN4、資源VLAN6，不可以訪問經理辦VLAN2。（3）市場VLAN4、生產VLAN3、資源VLAN6都不能訪問經理辦VLAN2、財務VLAN5。（4）生產VLAN4和銷售VLAN3可以互訪。6.3 具體設備的配置 步驟一：在三層交換機S1上劃分vlan，并向vlan中添加端口。S1#configure terminalS1(config)#vlan 2S1(config-vlan)#nam

19、e vlan2S1(config-vlan)#exitS1(config)#vlan 3S1(config-vlan)#name vlan3S1(config-vlan)#exit1(config)#vlan 4S1(config-vlan)#name vlan4S1(config-vlan)#exit1(config)#vlan 5S1(config-vlan)#name vlan5S1(config-vlan)#exitS1(config)#vlan 6S1(config-vlan)#name vlan6S1(config-vlan)#exitS1(config)#int f0/1S1(c

20、ongig-if)#switchport access vlan 2S1(config-vlan)#exitS1(config)#int f0/2S1(congig-if)#switchport access vlan 3 S1(config-vlan)#exitS1(config)#int f0/3S1(congig-if)#switchport access vlan 4S1(config-vlan)#exitS1(config)#int f0/4S1(congig-if)#switchport access vlan 5S1(config-vlan)#exitS1(config)#int

21、 f0/5S1(congig-if)#switchport access vlan 6步驟二：給vlan分配IP地址，此時vlan作“虛接口”處理。S1(config)#interface vlan 2S1(config-if)#ipaddress 192.168.1.1 255.255.255.0S1(config-if)#no shutS1(config)#interface vlan 3S1(config-if)#ipaddress 192.168.2.1 255.255.255.0S1(config-if)#no shutS1(config)#interface vlan 4S1(co

22、nfig-if)#ipaddress 192.168.3.1 255.255.255.0S1(config-if)#no shutS1(config)#interface vlan 5S1(config-if)#ipaddress 192.168.4.1 255.255.255.0S1(config-if)#no shutS1(config)#interface vlan 6S1(config-if)#ipaddress 192.168.5.1 255.255.255.0S1(config-if)#no shut步驟三：配置三層交換機和二層交換機之間的trunk口例如：三層交換機S1和總經理辦

23、子網處的二層交換機S2之間的配置S1(config)#int f0/1S1(config-if)#switchport mode trunkS2 (config)#int f0/1S2 (config-if)#switchport mode trunk同理配置三層交換機S1與其他4臺二層交換機之間的trunk口的配置。步驟四：完成三層交換機S1和路由器R1上的路由配置S1(config)# ip route 0.0.0.0 0.0.0.0 192.168.10.1R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.0步驟五：在三層換機上實現訪問控制配置S

24、1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 anyS1(config)#access-list 101 deny ip any 192.168.1.0 0.0.0.255S1(config)#access-list 101 deny ip any 192.168.4.0 0.0.0.255S1(config)#access-list 101 permit ip any any七 系統(tǒng)測試與評價7.1系統(tǒng)測試配置生效后，經理辦VLAN2中的PC分別ping網絡中的其它PC，都可以ping通，反之則不能。在實際應用中，公司權限

25、最高的經理辦可以訪問其余所有部門子網，并且不被其余所有子網訪問，保證了公司經理辦對整個企業(yè)的集中管理和信息安全。 生產子網、市場子網、資源子網中的PC分別ping財務子網中的PC，都ping不通，只有經理辦VLAN2中PC 可以ping通財務子網中的PC。在實際應用中，保證了公司權限僅次于經理辦的財務部對經理辦以外的其它部門的管理與財務信息安全。生產子網、市場子網、資源子網中的任意兩臺PC都可以相互ping通。7.2 系統(tǒng)評價（1）信息共享 。做到了信息統(tǒng)一存放、統(tǒng)一管理、各個業(yè)務共享。減少重復錄入、避免信息不一致，提高工作效率。（2）系統(tǒng)維護功能強 ?？梢苑奖愕卦O置、添加和隨時調整各管理部門的相關業(yè)務處理，機構的變化，方便地設置各部門、人員的