基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)說明

1、 . . 57/62畢業(yè)設(shè)計(jì)說明書(論文)作 者： 學(xué) 號：院 系：專 業(yè)：題 目：指導(dǎo)者：(姓 名) (專業(yè)技術(shù)職務(wù))評閱者：(姓 名) (專業(yè)技術(shù)職務(wù))年月 南畢業(yè)設(shè)計(jì)說明書（論文）中文摘要如今，網(wǎng)絡(luò)接入技術(shù)迅猛發(fā)展，有線網(wǎng)絡(luò)已經(jīng)不能滿足企業(yè)對靈活、快捷、高效辦公的需求。無線網(wǎng)絡(luò)不受網(wǎng)線和地理位置的束縛，已然成為當(dāng)今現(xiàn)代化企業(yè)網(wǎng)絡(luò)的發(fā)展趨勢。但是，無線網(wǎng)相對于有線網(wǎng)，比較脆弱，而且企業(yè)無線網(wǎng)有異于一般的家庭無線網(wǎng)，它的安全性是需要著重考慮的。本文介紹了基于安全的中小企業(yè)無線網(wǎng)絡(luò)的組建，利用Cisco Packet Tracer模擬軟件模擬企業(yè)無線網(wǎng)基本的構(gòu)架和方案。組建的企業(yè)部網(wǎng)絡(luò)分為三個

2、層次。核心層，使用三層交換機(jī)進(jìn)行負(fù)載均衡和冗余。匯聚層，依靠訪問控制列表（ACL）制訂不同部門的通信規(guī)則。接入層，劃分虛擬局域網(wǎng)（VLAN）將各部門的計(jì)算機(jī)分隔開來，通過無線設(shè)備將計(jì)算機(jī)接入網(wǎng)絡(luò)中。從功能上將整個網(wǎng)絡(luò)分為兩個部分，一是部網(wǎng)絡(luò)，所有部門的通信以與對部服務(wù)器的訪問都通過此網(wǎng)絡(luò)，不能與外部通信。另一個則是能訪問外網(wǎng)，面向客戶的網(wǎng)絡(luò)。這樣極提高了網(wǎng)數(shù)據(jù)的安全。為了提高網(wǎng)絡(luò)信息安全性，還布設(shè)防火墻、外地址轉(zhuǎn)換（NAT）、分部與總部建立虛擬專用網(wǎng)絡(luò)（VPN）等安全措施。關(guān)鍵字無線網(wǎng)絡(luò)信息安全安全措施畢業(yè)設(shè)計(jì)說明書（論文）外文摘要Title Wireless network structur

3、es based on the safety of SMEsAbstractToday, the network access technology rapid development of wired network can not meet the demand for flexible, fast and efficient office. Wireless network from the shackles of cable and geographical location, has become the development trend of todays modern ente

4、rprise networks. However, the wireless network relative to the cable network is relatively weak, different from most home wireless network and the wireless network, its security is the important consideration. This article describes the formation of a wireless network based on the safety of small an

5、d medium enterprises, based on Cisco Packet Tracer simulation software to simulate the enterprise wireless network architecture and programs.The internal network is divided into three levels. The core layer, using the three switches for load balancing and redundancy. Convergence layer, relying on ac

6、cess control list (ACL) to the development of different sectors of communication rules. Access layer, divided into virtual local area network (VLAN) separated from the various departments of computer, computer wireless devices access the network. The entire network from the function will be divided

7、into two parts, one is the internal network, all sectors of communications, and the internal server access through this network can not communicate with the outside. The other is able to access the external network, customer-oriented network. This greatly improves the security of data within the net

8、work. In order to improve the security of network information, but also laid the firewall, internal and external address translation (NAT), segments and head office to establish a virtual private network (VPN) and other security measures.KeywordsNetwork Security, VLAN,ACL, NAT，VPN目錄 TOC o 1-3 h z u

9、HYPERLINK l _Toc295288369前言 PAGEREF _Toc295288369 h 1HYPERLINK l _Toc295288370第一章無線網(wǎng)絡(luò)綜述 PAGEREF _Toc295288370 h 2HYPERLINK l _Toc2952883711.1 無線網(wǎng)絡(luò)標(biāo)準(zhǔn) PAGEREF _Toc295288371 h 2HYPERLINK l _Toc2952883721.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū) PAGEREF _Toc295288372 h 2HYPERLINK l _Toc2952883731.3 術(shù)語與相關(guān)縮寫解釋 PAGEREF _Toc295288373 h

10、 4HYPERLINK l _Toc295288374第二章企業(yè)網(wǎng)絡(luò)安全綜述 PAGEREF _Toc295288374 h 5HYPERLINK l _Toc2952883752.1 相關(guān)設(shè)備的概述 PAGEREF _Toc295288375 h 5HYPERLINK l _Toc2952883762.2企業(yè)網(wǎng)應(yīng)用的主要技術(shù) PAGEREF _Toc295288376 h 5HYPERLINK l _Toc295288384第三章網(wǎng)絡(luò)安全的設(shè)計(jì)與實(shí)現(xiàn) PAGEREF _Toc295288384 h 16HYPERLINK l _Toc2952883853.1 整體框架說明 PAGEREF _

11、Toc295288385 h 16HYPERLINK l _Toc2952883863.2企業(yè)網(wǎng)部交換機(jī)的配置 PAGEREF _Toc295288386 h 17HYPERLINK l _Toc2952883873.3 防火墻的配置 PAGEREF _Toc295288387 h 23HYPERLINK l _Toc2952883883.4 VPN的配置 PAGEREF _Toc295288388 h 26HYPERLINK l _Toc295288389第四章企業(yè)部服務(wù)器的配置 PAGEREF _Toc295288389 h 41HYPERLINK l _Toc2952883904.1 A

12、AA服務(wù)器的配置 PAGEREF _Toc295288390 h 41HYPERLINK l _Toc2952883914.2 WEB服務(wù)器的配置 PAGEREF _Toc295288391 h 43HYPERLINK l _Toc2952883914.2 FTP服務(wù)器的配置 PAGEREF _Toc295288391 h 43HYPERLINK l _Toc2952883924.3 DNS服務(wù)器的配置 PAGEREF _Toc295288392 h 44HYPERLINK l _Toc2952883934.4 E-mail服務(wù)器的配置 PAGEREF _Toc295288393 h 44HY

13、PERLINK l _Toc2952883934.5DHCP服務(wù)器的配置 PAGEREF _Toc295288393 h 44HYPERLINK l _Toc295288394第五章結(jié)束語 PAGEREF _Toc295288394 h 45HYPERLINK l _Toc2952883955.1 畢業(yè)設(shè)計(jì)的難點(diǎn)與創(chuàng)新 PAGEREF _Toc295288395 h 45HYPERLINK l _Toc2952883965.2 畢業(yè)設(shè)計(jì)的收獲 PAGEREF _Toc295288396 h 46HYPERLINK l _Toc295288397致 PAGEREF _Toc295288397 h

14、 47HYPERLINK l _Toc295288398參考文獻(xiàn) PAGEREF _Toc295288398 h 48HYPERLINK l _Toc295288399附錄：英文技術(shù)資料翻譯 PAGEREF _Toc295288399 h 49前言如今社會信息化發(fā)展迅猛，無線網(wǎng)絡(luò)技術(shù)支持已日漸成熟。隨著人們對無線網(wǎng)絡(luò)的要求和依賴性越來越強(qiáng)、現(xiàn)代企業(yè)追求更高的效率和便捷的辦公環(huán)境，有線網(wǎng)絡(luò)已經(jīng)不能滿足現(xiàn)代化企業(yè)的要求。由于無線網(wǎng)絡(luò)不受網(wǎng)線和地點(diǎn)的束縛，組網(wǎng)效率高，接入速度快，成為企業(yè)組建網(wǎng)絡(luò)的首選。但是企業(yè)無線網(wǎng)絡(luò)，除了便捷和高效之外，安全也是需要著重考慮的。作為一個企業(yè)，應(yīng)該保證網(wǎng)絡(luò)數(shù)據(jù)安全性

15、以與具有抵御黑客和病毒攻擊的能力。在組建無線網(wǎng)絡(luò)時(shí)，保障企業(yè)網(wǎng)絡(luò)安全比其他任何方面都要重要。無線網(wǎng)絡(luò)依靠無線電波來傳輸數(shù)據(jù)，理論上無線電波圍的任何一臺設(shè)備都可以登錄并監(jiān)聽無線網(wǎng)絡(luò)。如果企業(yè)部網(wǎng)絡(luò)的安全措施不夠嚴(yán)密，則完全有可能被竊聽、瀏覽甚至操作。為了使授權(quán)設(shè)備可以訪問網(wǎng)絡(luò)而非法用戶無法截取網(wǎng)絡(luò)信息，無線網(wǎng)絡(luò)安全就顯得至關(guān)重要。其次，無線網(wǎng)絡(luò)的穩(wěn)定是也是不容忽視的問題。不穩(wěn)定的無線網(wǎng)非但沒有體現(xiàn)出它的便捷高效的特點(diǎn)，還影響了企業(yè)的正常運(yùn)轉(zhuǎn)。為了能夠讓部的員工在公司任何地方都可以無線上網(wǎng)，使用的無線設(shè)備需要有很強(qiáng)的穿透能力和大的信號覆蓋圍。即使企業(yè)存在很多障礙物，強(qiáng)穿透力依然能保證網(wǎng)絡(luò)的穩(wěn)定傳輸

16、。企業(yè)在組建無線網(wǎng)絡(luò)時(shí)，不應(yīng)完全放棄有線網(wǎng)絡(luò)。而是以有線網(wǎng)絡(luò)為核心，無線網(wǎng)絡(luò)為接入層，充分利用有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò)的優(yōu)點(diǎn)，達(dá)到揚(yáng)長避短的目的。為了保證企業(yè)網(wǎng)絡(luò)的容錯率和多樣化，在企業(yè)部應(yīng)備有有線網(wǎng)絡(luò)接口，以供特殊用途。如視頻會議，文件傳輸?shù)葢?yīng)用對網(wǎng)絡(luò)的穩(wěn)定性、數(shù)據(jù)傳輸速率和數(shù)據(jù)安全有較高的要求。第一章 無線網(wǎng)絡(luò)綜述1.1 無線網(wǎng)絡(luò)標(biāo)準(zhǔn)無線網(wǎng)絡(luò)采用802.11規(guī)，典型情況下，其傳送信號時(shí)工作原理與基本的以太網(wǎng)集線器很像：他們都采用雙向通信的形式，為半雙工模式。依靠射頻頻率（RF），通過天線將無線電波輻射到周圍。802.11協(xié)議組是國際電工電子工程學(xué)會（IEEE）為無線局域網(wǎng)絡(luò)制定的標(biāo)準(zhǔn)。采用2.4

17、GHz和5GHz這兩個ISM頻段。常見的802.11標(biāo)準(zhǔn)如下：1）802.11b802.11b是應(yīng)用得最為廣泛的無線網(wǎng)絡(luò)標(biāo)準(zhǔn)，它運(yùn)行在2.4GHz射頻頻段，使用直接序列擴(kuò)頻（DSSS）調(diào)制技術(shù)，最大傳輸速率為11Mb/s。另外，也可根據(jù)實(shí)際情況切換到5.5Mbps、2 Mbps和1 Mbps帶寬，實(shí)際的工作速度一般在5Mb/s左右，與普通的10Base-T規(guī)格有線局域網(wǎng)幾乎是處于同一水平。作為企業(yè)部的設(shè)施，可以基本滿足使用要求。IEEE 802.11b使用的是開放的2.4GHz頻段，既可作為對有線網(wǎng)絡(luò)的補(bǔ)充，也可獨(dú)立組網(wǎng)，從而使網(wǎng)絡(luò)用戶擺脫網(wǎng)線的束縛，實(shí)現(xiàn)真正意義上的移動應(yīng)用。2）802.11

18、g802.11g在24GHz頻段使用正交頻分復(fù)用（OFDM）調(diào)制技術(shù)，使數(shù)據(jù)傳輸速率提高到20Mbit/s以上；能夠與802.11b的Wi-Fi系統(tǒng)互聯(lián)互通，可共存于同一AP的網(wǎng)絡(luò)里，從而保障了后向兼容性。這樣原有的WLAN系統(tǒng)可以平滑地向高速WLAN過渡，延長了80211b產(chǎn)品的使用壽命，降低了用戶的投資。3）802.11a802.11a的傳輸技術(shù)為多載波調(diào)制技術(shù)。802.11a標(biāo)準(zhǔn)是眾多場合得到廣泛應(yīng)用的802.11b無線聯(lián)網(wǎng)標(biāo)準(zhǔn)的后續(xù)標(biāo)準(zhǔn)。它工作在5GHzU-NII頻帶，物理層速率可達(dá)54Mb/s，傳輸層可達(dá)25Mbps?？商峁?5Mbps的無線ATM接口和10Mbps的以太網(wǎng)無線幀結(jié)構(gòu)

19、接口，以與TDD/TDMA的空中接口；支持語音、數(shù)據(jù)、圖像業(yè)務(wù)；一個扇區(qū)可接入多個用戶，每個用戶可帶多個用戶終端。1.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)1.2.1防火墻誤區(qū)防火墻主要工作都是控制存取與過濾封包，所以對DoS攻擊、非法存取與篡改封包等攻擊模式的防極為有效，可以提供網(wǎng)絡(luò)周邊的安全防護(hù)。但如果攻擊行為不經(jīng)過防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包，便力不從心了，許多防火墻只是工作在網(wǎng)絡(luò)層。防火墻的原理是“防外不防”，對部網(wǎng)絡(luò)的訪問不進(jìn)行任何阻撓，而事實(shí)上，企業(yè)網(wǎng)絡(luò)安全事件絕大部分還是源于企業(yè)部。1.2.2殺毒軟件誤區(qū)安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒，但這

20、并不能保證就沒有病毒入侵了，因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧笥谠摬《镜某霈F(xiàn)，殺毒軟件誤區(qū)有以下幾種：1）在每臺計(jì)算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺服務(wù)器上通過安全中心控制整個網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個網(wǎng)絡(luò)的病毒。同時(shí)對于整個網(wǎng)絡(luò)，管理非常方便，對于單機(jī)版是不可能做到的。2）只要不上網(wǎng)就不會中毒雖然不少病毒是通過網(wǎng)頁傳播的，但像 聊天接發(fā)同樣是病毒傳播的主要途徑，而且盜版光盤以與U盤等也會存在著病毒。所以只要計(jì)算機(jī)開著，就要防病毒。3）文件設(shè)置只讀就可以避免感染病毒設(shè)置只讀只是調(diào)用系統(tǒng)的幾個命令

21、，而病毒或黑客程序也可以做到這一點(diǎn)，設(shè)置只讀并不能有效防毒，不過在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。1.2.3網(wǎng)絡(luò)攻擊誤區(qū)基于部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在部網(wǎng)絡(luò)中實(shí)施攻擊。所以，加強(qiáng)部網(wǎng)絡(luò)安全管理，特別是用戶管理，如密碼、臨時(shí)、過期和權(quán)限等方面的管理非常必要了。1.3術(shù)語與相關(guān)縮寫解釋VLAN：全稱Virtual Local Area Network，虛擬局域網(wǎng)；ACL：全稱Access Control List，訪問控制列表；IDS：全稱Intrusion Detection System，入侵檢測系統(tǒng)；NAT：全稱Network Add

22、ress Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換；PAT：全稱Port Address Translation，即端口地址轉(zhuǎn)換；DMZ：全稱Demilitarized Zone，非軍事區(qū)，停火區(qū)，隔離區(qū)；VPN: 全稱Virtual Private Network，虛擬裝用網(wǎng)；VTP：全稱VLAN Trunking Protocol，VLAN中繼協(xié)議。第二章 企業(yè)網(wǎng)安全的主要技術(shù)本章主要講述企業(yè)網(wǎng)里使用到的常用的安全技術(shù)，并對這些技術(shù)進(jìn)行詳細(xì)的介紹。2.1 相關(guān)設(shè)備的概述在企業(yè)網(wǎng)中設(shè)備的選型時(shí)非常重要的，在本設(shè)計(jì)中全部選用的是Cisco的產(chǎn)品設(shè)備。因?yàn)檫x用同一廠商設(shè)備的好處是兼容性比較好，且能夠

23、進(jìn)行統(tǒng)一管理，使管理更加方便。企業(yè)網(wǎng)應(yīng)用的主要技術(shù)2.2.1物理安全物理安全是整個計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的前提，是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以與其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞的過程。物理安全主要考慮的問題是環(huán)境、場地和設(shè)備的安全與物理訪問控制和應(yīng)急處置計(jì)劃等。物理安全在整個計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個方面：機(jī)房環(huán)境安全、通信線路安全、設(shè)備安全，以與電源安全。物理安全重要性和措施主要涉與以下方面：1）保證機(jī)房環(huán)境安全信息系統(tǒng)中的計(jì)算機(jī)硬件、網(wǎng)絡(luò)設(shè)施以與運(yùn)行環(huán)境是信息系統(tǒng)運(yùn)行的最基本的環(huán)境。要從以下三個方面考慮：自然災(zāi)害、物

24、理損壞和設(shè)備故障 電磁輻射、乘機(jī)而入、痕跡泄漏等 操作失誤、意外疏漏等2）選用合適的傳輸介質(zhì)屏蔽式雙絞線的抗干擾能力更強(qiáng)，且要求必須配有支持屏蔽功能的連接器件和要求介質(zhì)有良好的接地（最好多處接地），對于干擾嚴(yán)重的區(qū)域應(yīng)使用屏蔽式雙絞線，并將其放在金屬管以增強(qiáng)抗干擾能力。光纖是超長距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠(yuǎn)、抗雷電和電磁的干擾性好性好，不易被竊聽或被截獲數(shù)據(jù)、傳輸?shù)恼`碼率很低，可靠性高，體積小和重量輕等特點(diǎn)。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽。3）保證供電安全可靠計(jì)算機(jī)和網(wǎng)絡(luò)主干設(shè)備對交

25、流電源的質(zhì)量要求十分嚴(yán)格，對交流電的電壓和頻率，對電源波形的正弦性，對三相電源的對稱性，對供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項(xiàng)指標(biāo)，都要求保持在允許偏差圍。機(jī)房的供配電系統(tǒng)設(shè)計(jì)既要滿足設(shè)備自身運(yùn)轉(zhuǎn)的要求，又要滿足網(wǎng)絡(luò)應(yīng)用的要求，必須做到保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性，保證設(shè)備的設(shè)計(jì)壽命保證信息安全保證機(jī)房人員的工作環(huán)境。2.2.2VLAN技術(shù)隨著交換技術(shù)的發(fā)展也加快了虛擬局域網(wǎng)的應(yīng)用速度。虛擬局域網(wǎng)VLAN(Virtual Local Area Network)是以交換式網(wǎng)絡(luò)為基礎(chǔ)，把網(wǎng)絡(luò)上用戶的終端設(shè)備劃分為若干個邏輯工作組，每個邏輯工作組就是一個VLAN。VLAN就是一個網(wǎng)絡(luò)設(shè)備或用戶的邏

26、輯組，該邏輯組是一個獨(dú)立的邏輯網(wǎng)絡(luò)、單一廣播域，而這個邏輯組的設(shè)定不受實(shí)際交換機(jī)區(qū)段的限制，也不受用戶所在的物理位置和物理網(wǎng)段的限制。在現(xiàn)在的企業(yè)網(wǎng)絡(luò)中都能見到VLAN的身影，VLAN都是一個獨(dú)立的邏輯網(wǎng)段，一個獨(dú)立的廣播域，VLAN的廣播信息只發(fā)送給同一個VLAN的成員，其他VLAN的成員是收不到的，這樣就減小的廣播域的大小，提高了帶寬的利用率。VLAN之間是不能直接通信的必須通過三層路由功能完成，所以在企業(yè)網(wǎng)絡(luò)中可以按部門進(jìn)行劃分VLAN，這個不同的部門之間的互訪就受到限制，有效保護(hù)了某些敏感部門的敏感信息不被泄露。VLAN對于網(wǎng)絡(luò)用戶來說是完全透明的，用戶感覺不到使用中與交換網(wǎng)絡(luò)有任何的

27、差別，但對于網(wǎng)絡(luò)管理人員則有很大的不同，因?yàn)檫@主要取決于VLAN的幾點(diǎn)優(yōu)勢：對網(wǎng)絡(luò)中的廣播風(fēng)暴的控制，提高網(wǎng)絡(luò)的整體安全性，通過路由訪問列表、MAC地址分配等VLAN劃分原則，可以控制用戶的訪問權(quán)限和邏輯網(wǎng)段的大小。網(wǎng)絡(luò)管理的簡單、直觀。在企業(yè)網(wǎng)絡(luò)中劃分VLAN可以有多種方式：1）基于端口的VLAN：基于端口的VLAN的劃分是最簡單、最有效的VLAN劃分方法。該方法只需網(wǎng)絡(luò)管理員針對于網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配組合在不同的邏輯網(wǎng)段中即可。而不用考慮該端口所連接的設(shè)備是什么。2）基于MAC地址的VLAN：MAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的MAC地址都是唯一的?；贛AC地址的VL

28、AN劃分其實(shí)就是基于工作站、服務(wù)器的VLAN的組合。在網(wǎng)絡(luò)規(guī)模較小時(shí)，該方案亦不失為一個好的方法，但隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)設(shè)備、用戶的增加，則會在很大程度上加大管理的難度。3）基于路由的VLAN：路由協(xié)議工作在七層協(xié)議的第三層：網(wǎng)絡(luò)層，即基于IP和IPX協(xié)議的轉(zhuǎn)發(fā)。這類設(shè)備包括路由器和路由交換機(jī)。該方式允許一個VLAN跨越多個交換機(jī)，或一個端口位于多個VLAN中。劃分好VLAN后一般是把接入層交換機(jī)接入到核心交換機(jī)上，由核心交換機(jī)負(fù)責(zé)部網(wǎng)絡(luò)的路由，如果不采用核心交換機(jī)，而是直接通過單臂路由的形式接到網(wǎng)絡(luò)出口的路由器或者防火墻上，那么會給出口路由器或防火墻帶來負(fù)擔(dān)，如果出口路由器或防火墻性能不

29、強(qiáng)的話，很有可能造成瓶頸，這樣網(wǎng)絡(luò)的可用性就會降低。所以一般是建議采用核心交換機(jī)的方式。2.2.3ACL技術(shù)訪問控制列表ACL(Access Control List)技術(shù)在路由器中被廣泛采用，它是一種基于包過濾的流控制技術(shù)。標(biāo)準(zhǔn)訪問控制列表通過把源地址、目的地址與端口號作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過。ACL通常應(yīng)用在企業(yè)的出口控制上，可以通過實(shí)施ACL，可以有效的部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略。隨著局域網(wǎng)部網(wǎng)絡(luò)資源的增加，一些企業(yè)已經(jīng)開始使用ACL來控制對局域網(wǎng)部資源的訪問能力，進(jìn)而來保障這些資源的安全性。在企業(yè)網(wǎng)中ACL扮演著很重要的角色，在網(wǎng)絡(luò)中我們可以通過劃分V

30、LAN來限制不同VLAN成員的互訪，但如果把二層交換機(jī)接入路由器或者三層交換機(jī)，那么原來不同VLAN是不通的，現(xiàn)在不同VLAN之間也能通信，那么原來通過劃分VLAN來使不同VLAN之間不能通信已經(jīng)行不通了。在這就要使用ACL來控制了。使用ACL的好處還有就是可以控制用戶對主機(jī)或服務(wù)器的訪問，即對于一臺服務(wù)器那些用戶可以訪問而那些用戶不能訪問。這樣就進(jìn)一步增加了企業(yè)網(wǎng)部的安全。就我們現(xiàn)在的IP網(wǎng)絡(luò)來說ACL技術(shù)可以分為一下幾種：1）標(biāo)準(zhǔn)IP訪問控制列表一個標(biāo)準(zhǔn)IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包采取拒絕或允許兩個操作。編號圍是從199以與13001999的訪問控制

31、列表是標(biāo)準(zhǔn)IP訪問控制列表。一般來說標(biāo)準(zhǔn)的ACL放置在靠近目的的路由器或三層交換機(jī)上。2）擴(kuò)展IP訪問控制列表擴(kuò)展IP訪問控制列表比標(biāo)準(zhǔn)IP訪問控制列表具有更多的匹配項(xiàng)，包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級等。編號圍是從100199以與20002699的訪問控制列表是擴(kuò)展IP訪問控制列表。一般來說擴(kuò)展的ACL放置在靠近源的路由器或者三層交換機(jī)上。3）命名IP訪問控制列表所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表，同樣包括標(biāo)準(zhǔn)和擴(kuò)展兩種列表，定義過濾的語句與編號方式中相似。本設(shè)計(jì)中在Cisco Catalyst 3640核心交換機(jī)上

32、配置擴(kuò)展的ACL使得其他的部門無法訪問財(cái)務(wù)部門，ACL的應(yīng)用圍很廣，在本設(shè)計(jì)中總部與分布之間建立IPSecVPN是就需要使用ACL來定義感興趣的流量，只有感興趣的流量才會進(jìn)入VPN隧道。2.2.4 NAT技術(shù)到目前為止全球的IPv4的地址已經(jīng)耗盡，現(xiàn)在的地址缺乏或者說已經(jīng)沒有空余的IPv4的地址了，那么企業(yè)網(wǎng)絡(luò)中有很多主機(jī)需要訪問Internet，為每一臺主機(jī)分配一個公網(wǎng)地址那是不可能的事。所以借助于NAT(Network Address Translation)技術(shù)，私有(保留)地址的部網(wǎng)絡(luò)通過路由器發(fā)送數(shù)據(jù)包時(shí)，私有地址被轉(zhuǎn)換成合法的IP地址，一個局域網(wǎng)只需使用少量IP地址(甚至是1個)即

33、可實(shí)現(xiàn)私有地址網(wǎng)絡(luò)所有計(jì)算機(jī)與Internet的通信需求。NAT將自動修改IP報(bào)文的源IP地址和目的IP地址，IP地址校驗(yàn)則在NAT處理過程中自動完成。有些應(yīng)用程序?qū)⒃碔P地址嵌入到IP報(bào)文的數(shù)據(jù)部分中，所以還需要同時(shí)對報(bào)文進(jìn)行修改，以匹配IP頭中已經(jīng)修改過的源IP地址。否則，在報(bào)文數(shù)據(jù)都分別嵌入IP地址的應(yīng)用程序就不能正常工作。NAT實(shí)現(xiàn)方式有以下三種：1）靜態(tài)轉(zhuǎn)換(Static Nat)將部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。2）動態(tài)轉(zhuǎn)換

34、(Dynamic Nat)將部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址是不確定的，是隨機(jī)的，所有被授權(quán)訪問上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些部地址可以進(jìn)行轉(zhuǎn)換，以與用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)部的計(jì)算機(jī)數(shù)量時(shí)?？梢圆捎脛討B(tài)轉(zhuǎn)換的方式。3）端口多路復(fù)用(Overload)改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，Port Address Translation).采用端口多路復(fù)用方式。部網(wǎng)絡(luò)的所有主機(jī)均可共享一個合法外部

35、IP地址實(shí)現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時(shí)，又可隱藏網(wǎng)絡(luò)部的所有主機(jī)，有效避免來自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。另外，在NAT中經(jīng)常使用的術(shù)語：1）部局部地址（Inside Local Address）：在部網(wǎng)絡(luò)使用的地址，是私有地址。2）部全局地址（Inside Global Address）：用來替代一個或多個本地IP地址的、對外的、向NIC注冊過的地址。3）外部局部地址（Outside Local Address）：一個外部主機(jī)相對于部網(wǎng)絡(luò)所用的IP地址、不一定是合法的地址。4）外部全局地址（Outside G

36、lobal Address）：外部網(wǎng)絡(luò)主機(jī)的合法地址。NAT還可以用于端口映射，在企業(yè)網(wǎng)中服務(wù)器群一般是放置在DMZ區(qū)域中，使用的是私有地址，如果某臺服務(wù)器要向外網(wǎng)發(fā)布服務(wù)的時(shí)候就需要在網(wǎng)絡(luò)出口的路由器和防火墻上做端口映射，這樣外網(wǎng)用戶就可以通過訪問企業(yè)的公網(wǎng)IP，就能夠訪問到網(wǎng)的服務(wù)器。2.2.5VPN技術(shù)現(xiàn)在很多企業(yè)都有分支機(jī)構(gòu)而且分支機(jī)構(gòu)和總部都在異地，企業(yè)網(wǎng)的部網(wǎng)絡(luò)可以通過各種手段來保證安全，那么總部與分部之間傳輸?shù)臄?shù)據(jù)怎樣才能保證其安全呢。這里就可以采用VPN（Virtual Private Network）技術(shù)，VPN技術(shù)是在公網(wǎng)上建立一個臨時(shí)的，安全的連接，是一條穿越混亂的公用網(wǎng)

37、絡(luò)的安全的穩(wěn)定的隧道。使用這條隧道可以對數(shù)據(jù)進(jìn)行加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。虛擬專用網(wǎng)是對企業(yè)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴與供應(yīng)商同公司的部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可以通過特殊加密的通訊協(xié)議連接到Internet上，在位于不同地方的兩個或多個企業(yè)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路，可以節(jié)約成本。VPV按照所使用的隧道協(xié)議大致有以下幾種：1）PPTP（Point to Point Protocol）PPTP屬于OSI第二層隧道協(xié)議，該協(xié)議會把網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包放進(jìn)IP

38、封包，包裝好的封包看起來就像正常的IP封包一樣，所有遇到該封包的路由器或機(jī)器都會把它視為一個IP封包，以一般正常IP封包的方式來處理它。PPTP使用TCP（傳輸控制協(xié)議）連接的創(chuàng)建，維護(hù)，與終止隧道，并使用GRE(通用路由封裝)將PPP幀封裝成隧道數(shù)據(jù)。被封裝后的PPP幀的有效載荷可以被加密或者壓縮或者同時(shí)被加密與壓縮。PPTP的使用比較簡單如Microsoft Windows等操作系統(tǒng)就自帶PPTP。另外，PPTP VPN使用的身份驗(yàn)證有以下幾種方法。（1）PAP口令驗(yàn)證協(xié)議 是一種簡單的明文驗(yàn)證方式。NAS（網(wǎng)絡(luò)接入服務(wù)器，Network Access Server）要求用戶提供用戶名和口

39、令，PAP以明文方式返回用戶信息。很明顯，這種驗(yàn)證方式的安全性較差，第三方可以很容易的獲取被傳送的用戶名和口令，并利用這些信息與NAS建立連接獲取NAS提供的所有資源。所以，一旦用戶密碼被第三方竊取，PAP無法提供避免受到第三方攻擊的保障措施。（2）CHAP身份驗(yàn)證 CHAP通過使用MD5（一種工業(yè)標(biāo)準(zhǔn)的散列方案）來協(xié)商一種加密身份驗(yàn)證的安全形式。CHAP 在響應(yīng)時(shí)使用質(zhì)詢-響應(yīng)機(jī)制和單向 MD5 散列。用這種方法，可以向服務(wù)器證明客戶機(jī)知道密碼，但不必實(shí)際地將密碼發(fā)送到網(wǎng)絡(luò)上。（3）MS-CHAP 同CHAP相似，微軟開發(fā)MS-CHAP 是為了對遠(yuǎn)程 Windows 工作站進(jìn)行身份驗(yàn)證，它在

40、響應(yīng)時(shí)使用質(zhì)詢-響應(yīng)機(jī)制和單向加密。而且 MS-CHAP 不要求使用原文或可逆加密密碼。（4）MS-CHAP v2 MS-CHAP v2是微軟開發(fā)的第二版的質(zhì)詢握手身份驗(yàn)證協(xié)議，它提供了相互身份驗(yàn)證和更強(qiáng)大的初始數(shù)據(jù)密鑰，而且發(fā)送和接收分別使用不同的密鑰。如果將VPN連接配置為用 MS-CHAP v2 作為唯一的身份驗(yàn)證方法，那么客戶端和服務(wù)器端都要證明其身份，如果所連接的服務(wù)器不提供對自己身份的驗(yàn)證，則連接將被斷開。值得注意的是。VPN服務(wù)端和VPN客戶端之間一定要采用一樣的身份驗(yàn)證，比如VPN服務(wù)端選擇了MS-CHAP2，那么相應(yīng)的VPN客戶端也要選擇MS-CHAP2，否則無法連接。2）L

41、2TP（Layer Two Tunneling Protocol）L2TP是結(jié)合L2F（Layer-2 Forwarding）和PPTP的協(xié)議，L2TP也屬于二層隧道協(xié)議。L2TP使用兩種類型的消息：控制消息和數(shù)據(jù)隧道消息?？刂葡⒇?fù)責(zé)創(chuàng)建、維護(hù)與終止L2TP隧道，而數(shù)據(jù)隧道消息則負(fù)責(zé)用戶數(shù)據(jù)的真正傳輸。L2TP支持標(biāo)準(zhǔn)的安全特性CHAP和PAP，可以進(jìn)行用戶身份認(rèn)證。在安全性考慮上，L2TP僅定義了控制消息的加密傳輸方式，對傳輸中的數(shù)據(jù)并不加密。L2TP的使用比較簡單如Microsoft Windows等操作系統(tǒng)就自帶PPTP。3）IPSec（IP Security）IPSec是一個標(biāo)準(zhǔn)的第

42、三層安全協(xié)議，他是在隧道外面再封裝，保證了隧在傳輸過程中的安全。IPSec的主要特征在于它可以對所有IP級的通信進(jìn)行加密和認(rèn)證，正是這一點(diǎn)才使IPSec可以確保包括遠(yuǎn)程登錄，電子，文件傳輸與WEB訪問在多種應(yīng)用程序的安全。IPSec協(xié)議包括IKE協(xié)商程序，可為IPSec產(chǎn)生密鑰，其它還包括算法、密鑰長度、轉(zhuǎn)碼程序以與算法專用的資訊，而協(xié)商時(shí)常使用的參數(shù)則被歸類在一個單獨(dú)的文件中。IPSec它不是一個單獨(dú)的協(xié)議，它給出了應(yīng)用于IP 層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)。該體系結(jié)構(gòu)包括認(rèn)證頭協(xié)議（Authentication Header，簡稱為AH），AH 是一種為IPSec提供數(shù)據(jù)完整性、數(shù)據(jù)源驗(yàn)

43、證和可選的防重放功能特性的體系框架。不提供數(shù)據(jù)性 因此數(shù)據(jù)可以被偷窺，因此一般和ESP配合使用 利用HMAC驗(yàn)證完整。封裝安全負(fù)載協(xié)議（EncapsulatingSecurityPayload，簡稱為ESP）ESP 是一種為IPSec提供數(shù)據(jù)性、數(shù)據(jù)完整性、數(shù)據(jù)源驗(yàn)證、和可選的防重放功能特性的體系框架。密鑰管理協(xié)議（Internet Key Exchange，簡稱為IKE）動態(tài)的更改IPSec參數(shù)和密鑰的機(jī)制 通過自動的密鑰交換/更新機(jī)制來防止IPSec會話的密鑰被攻擊 使得IPSec具備良好的擴(kuò)展性。在2個端點(diǎn)自動建立SA SA是2個對等體之間協(xié)商參數(shù)和用于網(wǎng)絡(luò)認(rèn)證與加密的一些算法等。4）S

44、SL（Secure Socket Layer）SSL是高層協(xié)議，是第四層隧道協(xié)議，SSL VPN和其他的VPN最大的不通之處就是客戶端只需要有瀏覽器就可以工作，不需要安裝其他的客戶端軟件，是VPN的可用性大大提高。SSL利用置在每個Web瀏覽器中的加密和驗(yàn)證功能，并與安全網(wǎng)關(guān)相結(jié)合，提供安全遠(yuǎn)程訪問企業(yè)應(yīng)用的機(jī)制，這樣，遠(yuǎn)程移動用戶可以輕松訪問公司部B/S和C/S應(yīng)用與其他核心資源。在本設(shè)計(jì)中總部已分部之間可以使用總部-分部這樣的方式在總部路由器和分部路由器之間建立一條IPSecVPN通道，移動客戶端可以使用PPTP、L2TP或者EasyVPN與總部互聯(lián)。2.2.6防火墻技術(shù)對于企業(yè)網(wǎng)來說最重

45、要的就是防火墻，防火墻可以提高安全和減少外部網(wǎng)絡(luò)對部網(wǎng)絡(luò)的威脅。如果沒有防火墻網(wǎng)中的主機(jī)就會暴露于網(wǎng)絡(luò)中，很容易遭受黑客的攻擊。防火墻更具用戶設(shè)定的安全規(guī)則，對進(jìn)入網(wǎng)以與出外網(wǎng)的數(shù)據(jù)包進(jìn)行檢測，一旦發(fā)現(xiàn)威脅就斷開連接，使部網(wǎng)絡(luò)避免被黑客的攻擊。如今的防火墻各式各樣，但總體來講可以分為“包過濾型”和“應(yīng)用代理型”兩大類:1）包過濾型包過濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)源地址，目的地址、端口號和協(xié)議類型等標(biāo)志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。如下圖2-1所示。圖2-1包過濾防火墻示意圖包過濾方式是一種通用、

46、廉價(jià)和有效的安全手段。之所以通用，是因?yàn)樗皇轻槍Ω鱾€具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式，適用于所有網(wǎng)絡(luò)服務(wù)；之所以廉價(jià)，是因?yàn)榇蠖鄶?shù)路由器都提供數(shù)據(jù)包過濾功能，所以這類防火墻多數(shù)是由路由器集成的；之所以有效，是因?yàn)樗芎艽蟪潭壬蠞M足了絕大多數(shù)企業(yè)安全要求。2）應(yīng)用代理型應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全阻隔了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖2-2所示。圖2-2應(yīng)用代理防火墻示意圖代理類型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層，所以它可以對網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，而不是像包過濾

47、那樣，只是對網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。另外代理型防火墻采取是一種代理機(jī)制，它可以為每一種應(yīng)用服務(wù)建立一個專門的代理，所以外部網(wǎng)絡(luò)之間的通信不是直接的，而都需先經(jīng)過代理服務(wù)器審核，通過后再由代理服務(wù)器代為連接，根本沒有給、外部網(wǎng)絡(luò)計(jì)算機(jī)任何直接會話的機(jī)會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵部網(wǎng)。2.2.7 企業(yè)版殺毒軟件1）企業(yè)版殺毒軟件介紹網(wǎng)絡(luò)版殺毒軟件的一個最大的特點(diǎn)就是可以整個網(wǎng)絡(luò)主機(jī)和服務(wù)器同步殺毒，這對于網(wǎng)絡(luò)病毒橫行的今天來說尤其重要。因?yàn)樵诰W(wǎng)絡(luò)中只要有一臺主機(jī)感染了病毒，則很可能在全網(wǎng)絡(luò)主機(jī)上感染。另外，網(wǎng)絡(luò)版實(shí)現(xiàn)全網(wǎng)絡(luò)服務(wù)器和客戶端程序同步更新。還有一個管理中心控制臺，可以

48、對整個網(wǎng)絡(luò)的服務(wù)器端和客戶端程序集中管理，實(shí)現(xiàn)全網(wǎng)絡(luò)的同步更新和殺毒。2）企業(yè)版殺毒軟件的實(shí)施這里選用Symantec Endpoint Protection，它是為各種簡單或復(fù)雜網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的計(jì)算機(jī)病毒網(wǎng)絡(luò)防護(hù)系統(tǒng)，即適用于包含若干臺主機(jī)的單一網(wǎng)段網(wǎng)絡(luò)，也適用于包含各種WEB服務(wù)器、服務(wù)器、應(yīng)用服務(wù)器，以與分布在不同城市，包含數(shù)十萬臺主機(jī)的超大型網(wǎng)絡(luò)。Symantec Endpoint Protection具有以下顯著特點(diǎn)：先進(jìn)的體系結(jié)構(gòu)超強(qiáng)的殺毒能力完備的遠(yuǎn)程控制方便的分級、分組管理主控制中心部署在DMZ服務(wù)器區(qū)，子控制中心部署在3層交換機(jī)上面。如圖2-3所示。圖2-3 企業(yè)版殺毒軟件示意

49、圖控制中心負(fù)責(zé)整個Symantec Endpoint Protection的管理與控制，是整個Symantec Endpoint Protection的核心，在部署Symantec Endpoint Protection網(wǎng)絡(luò)時(shí)，必須首先安裝。除了對網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行日常的管理與控制外，它還實(shí)時(shí)地記錄著Symantec Endpoint Protection防護(hù)體系每臺計(jì)算機(jī)上的病毒監(jiān)控、查殺病毒和升級等信息。在1個網(wǎng)段僅允許安裝1臺控制中心。 根據(jù)控制中心所處的網(wǎng)段的不同，可以將控制中心劃分為主控制中心和子控制中心，子控制中心除了要 完成控制中心的功能外，還要負(fù)責(zé)與它的上級主控制中心進(jìn)行通信。

50、這里的“主”和“子”是一個 相對的概念：每個控制中心對于它的下級的網(wǎng)段來說都是主控制中心，對于它的上級的網(wǎng)段來說又是子控制中心，這種控制結(jié)構(gòu)可以根據(jù)網(wǎng)絡(luò)的需要無限的延伸下去。第三章 網(wǎng)絡(luò)安全的設(shè)計(jì)與實(shí)現(xiàn)本章主要對網(wǎng)絡(luò)系統(tǒng)的整體框架進(jìn)行設(shè)計(jì)，并實(shí)現(xiàn)企業(yè)部局域網(wǎng)的搭建，VLAN間通信，DMZ區(qū)服務(wù)器交換機(jī)搭建，出口防火墻的安全配置以與VPN等。3.1整體框架說明將企業(yè)部網(wǎng)和服務(wù)器組成分別置于PIX防火墻的inside口和DMZ口相連接，防火墻的outside端口連接ISP的Internet接入。對于三個端口的權(quán)限設(shè)置為：outside為0、DMZ為50、inside為100（最高）。在PIX防火墻

51、上激活網(wǎng)絡(luò)入侵檢測IDS系統(tǒng)，提供對多個網(wǎng)絡(luò)的入侵檢測，一旦發(fā)現(xiàn)網(wǎng)絡(luò)中存在供給行為或非正常數(shù)據(jù)包，防火墻將會報(bào)警并且在Log中留下記錄。部網(wǎng)使用兩臺Cisco Catalyst 3640交換機(jī)提供的VLAN技術(shù)和虛擬訪問控制列表VACL等安全交換技術(shù)，以與使用生成樹做冗余。同時(shí)通過合理的IP地址分配策略和路由策略，在接入層交換機(jī)上使用端口安全技術(shù)來對用戶的接入進(jìn)行控制。服務(wù)器群應(yīng)該是通過一臺Cisco Catalyst 3640交換機(jī)連接到防火墻的DMZ端口，并為之獨(dú)立的分配一個VLAN，通過在防火墻做端口映射把網(wǎng)需要發(fā)布的服務(wù)器發(fā)布到外網(wǎng)，同時(shí)通過防火墻上的訪問控制列表ACL和訪問端口數(shù)據(jù)監(jiān)

52、控等安全技術(shù)提供對服務(wù)器的安全控制。對于外網(wǎng)接入，在防火墻上配置安全策略，允許外部連接可以到達(dá)指定服務(wù)器的服務(wù)端口，同時(shí)定義安全規(guī)則，允許指定的應(yīng)用數(shù)據(jù)包通過防火墻。在防火墻上配置VPN服務(wù)允許企業(yè)分部通過安全的VPN通道訪問企業(yè)部網(wǎng)。對于需要利用遠(yuǎn)程訪問接入企業(yè)部網(wǎng)的用戶，DMZ區(qū)放置AAA為控制管理路由器權(quán)限的工具，限制登錄路由器用戶的權(quán)限。還有就是在防火墻上要配置NAT來代理部網(wǎng)絡(luò)訪問Interne，企業(yè)網(wǎng)總體拓?fù)淙鐖D3-1所示。圖3-1企業(yè)總拓?fù)鋱D3.2企業(yè)網(wǎng)部交換機(jī)的配置本設(shè)計(jì)中該企業(yè)網(wǎng)絡(luò)使用的接入層交換機(jī)是Cisco Catalyst 2960，其特性是端口速率是100Mb/s，支

53、持全雙工模式，本設(shè)計(jì)中企業(yè)部網(wǎng)拓?fù)淙鐖D3-2所示。圖3-2企業(yè)部網(wǎng)拓?fù)鋱D如圖3-2所示，該企業(yè)網(wǎng)的接入層是由Cisco Catalyst 2960交換機(jī)組成，匯聚層和核心層劃在一起使用兩臺Cisco Catalyst 3640，Catalyst3640特點(diǎn)是端口速率為100Mb/s，支持雙工模式，而且路由功能是由硬件完成的能夠?qū)崿F(xiàn)更快的轉(zhuǎn)發(fā)速度。這樣可以減少企業(yè)購買設(shè)備的開銷，以與連接到交換機(jī)上的計(jì)算機(jī)構(gòu)成；從邏輯上看，部網(wǎng)包括四個VLAN，分別對應(yīng)四個IP段：VLAN1O：/24VLAN20：/24VLAN30：/24VLAN40：/24部網(wǎng)的核心是Cisco catalyst 3640交換

54、機(jī)，它將與PIX防火墻的inside口相連接。Coreswitch1和Coreswitch2的預(yù)期功能是：建立四個VLAN，分別為VLAN10,VLAN20,VLAN30,VLAN40。啟用三層交換功能做VLAN間路由，并配置訪問列表，使VLAN20、VLAN30、VLAN40能夠訪問VLAN10，但不能互相訪問。Coreswitch1為VLAN10、VLAN20、VLAN30、VLAN40提供DHCP服務(wù)。在Coreswitch1和Coreswitch2以與接入層交換機(jī)之間配置生成樹，提高網(wǎng)絡(luò)的可靠性。做端口安全，限制每個接二層交換機(jī)的每個端口只能接1臺主機(jī)。下面將對它的配置進(jìn)行詳細(xì)的說明：

55、3.2.1接入層交換機(jī)VLAN的配置打開Catalyst 2960交換機(jī)的Console口連接，進(jìn)入特權(quán)模式進(jìn)行配置。這里以接入層的SW0交換機(jī)為例，配置如下：hostname SW0/*將該交換機(jī)命名為SW0vlan database/*進(jìn)入vlan數(shù)據(jù)庫vlan 10 name caiwu/*創(chuàng)建vlan 10并將其命名為caiwuexit /*退出并保存interface FastEthernet0/0 /*將F0/0口設(shè)置為Trunk口switchport mode trunkinterface FastEthernet0/1 /*將F0/1口設(shè)置為Trunk口switchport m

56、ode trunkinterface FastEthernet0/2/將F0/2口劃分到vlan10中switchport access vlan 10interface FastEthernet0/3 /將F0/3口劃分到vlan10中switchport access vlan 10將SW0交換機(jī)上的Fastethernet0/2和Fastethernet0/3劃分到VLAN10，也就是劃分到財(cái)務(wù)部，在SW1上把fastethernet0/3-4端口劃分到VLAN20里，在SW5上把fastethernet0/3-4端口劃分到VLAN30里，在SW6上把fastethernet0/3-4劃

57、分到VLAN40里。3.2.2接入層交換機(jī)端口安全配置交換機(jī)端口安全配置過maximum參數(shù)來設(shè)置交換機(jī)的一個端口最多允許幾臺PC接入，對于接入的MAC地址可以選擇粘性學(xué)習(xí)或者自己手工指定MAC地址。為了減小配置時(shí)間，本設(shè)計(jì)中將其設(shè)置成sticky粘性學(xué)習(xí)。在SW0上配置端口安全：interface range fastEthernet 0/2-3 /*進(jìn)入fastEthernet 0/2 至3switchport port-security/*啟動端口安全switchport port-security maximum 1/*允許最大MAC地址數(shù)switchport port-securit

58、y mac-address sticky /*設(shè)置MAC地址的方式為粘性學(xué)習(xí)3.2.3三層交換機(jī)VLAN的配置在確保二層交換機(jī)配置完成后并檢查配置無誤后，進(jìn)行三層交換機(jī)的配置。在三層交換機(jī)上配置部網(wǎng)絡(luò)里所有的VLAN，并給每個VLAN配置一個網(wǎng)關(guān)。以Coreswitch1配置為例，Coreswitch1的vlan配置如下：vlan database /*進(jìn)入vlan配置模式vlan 10 name caiwu /*新建vlan10并命名為caiwuvlan 20 name jishu /*新建vlan20并命名為jishuvlan 30 name xiaoshou /*新建vlan30并命名為

59、xiaoshouvlan 40 name shouhou /*新建vlan40并命名為shouhouexit /*退出vlan配置模式自動保存vlan信息interface vlan10 ip address /*配置vlan10的網(wǎng)關(guān)interface vlan20 ip address /*配置vlan20的網(wǎng)關(guān)interface vlan30 ip address /*配置vlan30的網(wǎng)關(guān)interface vlan40 ip address /*配置vlan40的網(wǎng)關(guān)exit3.2.4三層交換機(jī)DHCP的配置DHCP服務(wù)可以為網(wǎng)的主機(jī)自動分配地址信息，可以大大簡化對網(wǎng)絡(luò)的管理，而且可

60、以避免有些用戶因不會配置TCP/IP協(xié)議而導(dǎo)致無法上網(wǎng)的問題。在本設(shè)計(jì)中DHCP服務(wù)是由Coreswitch1來承擔(dān)，下面以caiwu部門配置的DHCP為例。首先要為caiwu部門配置一個DHCP的用來分配給客戶機(jī)地址池，地址池配置完成后還需要配置一些基本的信息，如默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器的地址。Coreswitch1配置DHCP如下：ip dhcp pool caiwu/*為caiwu部門配置DHCP服務(wù)network /*分配地址池/24default-router /*設(shè)置默認(rèn)網(wǎng)關(guān)dns-server 9 /*設(shè)置DNS服務(wù)器地址exitDHCP配置完成后網(wǎng)的主機(jī)就可以自動獲取到IP地址，