版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計與實(shí)現(xiàn)畢業(yè)論文長沙民政職業(yè)技術(shù)學(xué)院畢業(yè)實(shí)踐報告題目:企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計與實(shí)現(xiàn)畢業(yè)論文畢業(yè)設(shè)計畢業(yè)專題√類型:指導(dǎo)老師:系別:班級:學(xué)號:姓名:2014年4月25日【摘要】21世紀(jì)是一個信息時代,互聯(lián)網(wǎng)把企業(yè)馳入了全球信息高速公路,讓企業(yè)信息通過互聯(lián)網(wǎng)通達(dá)世界各個角落。企業(yè)通過互聯(lián)網(wǎng)發(fā)布企業(yè)最新的商業(yè)信息,供全球檢索,以此來宣傳自己的企業(yè),宣傳企業(yè)的產(chǎn)品,宣傳企業(yè)的服務(wù),全面展示企業(yè)形象,并通過網(wǎng)絡(luò)與各行各業(yè)進(jìn)行交流、推銷和合作,同時通過互聯(lián)網(wǎng)尋找貨源和新客戶。許多企業(yè)都在互聯(lián)網(wǎng)上找到了機(jī)會,創(chuàng)造了輝煌?!芭c其臨淵羨魚,不如退而結(jié)網(wǎng)”,科技隨著人類不斷的發(fā)展而日新月異,信息化、網(wǎng)絡(luò)化、高效化的腳步已經(jīng)越來越近。對于一個公司來說,網(wǎng)絡(luò)的信息化已經(jīng)成為公司發(fā)展、參與市場競爭的首要條件。企業(yè)網(wǎng)絡(luò)方案設(shè)計從長沙某公司的網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)與企業(yè)網(wǎng)的原則性出發(fā),根據(jù)公司的建設(shè)必要性與需求、公司網(wǎng)絡(luò)的綜合布線以及公司信息點(diǎn)的采集等方面進(jìn)行需求分析,通過網(wǎng)絡(luò)仿真軟件ENSP2.0建立網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)鏈路布線的設(shè)計模型,并模擬網(wǎng)絡(luò)的流量、劃分VLAN、創(chuàng)建訪問控制列表、構(gòu)建冗余鏈路等。綜合性地運(yùn)用當(dāng)今企業(yè)網(wǎng)的優(yōu)點(diǎn)與現(xiàn)代化的管理手段,對網(wǎng)絡(luò)結(jié)構(gòu)架構(gòu):如網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)詳細(xì)規(guī)劃、分層設(shè)計、IP地址的規(guī)劃設(shè)計等方面做了詳細(xì)剖析。從而實(shí)現(xiàn)一個辦公自動化、全方位、多功能、升級能力強(qiáng)的企業(yè)網(wǎng)的構(gòu)建?!娟P(guān)鍵詞】企業(yè)網(wǎng);網(wǎng)絡(luò)規(guī)劃;網(wǎng)絡(luò)設(shè)計;網(wǎng)絡(luò)拓?fù)淠夸浶蜓?-1-從企業(yè)對信息的需求來看 -1-從企業(yè)管理和業(yè)務(wù)發(fā)展的角度出發(fā) -1-1.中小企業(yè)網(wǎng)絡(luò)的建設(shè)目標(biāo) -3-1.1建設(shè)目標(biāo) -3-1.2設(shè)計原則 -3-2.企業(yè)網(wǎng)絡(luò)的總體設(shè)計 -5-2.1網(wǎng)絡(luò)拓樸設(shè)計 -5-2.2IP編址方案及VLAN劃分 -6-2.3核心層設(shè)計及設(shè)備選型 -7-2.3.1園區(qū)主干交換機(jī) -7-2.3.2出口路由器 -7-2.3.3服務(wù)器群組 -8-2.4接入層設(shè)計及設(shè)備選型 -8-2.5安全體系設(shè)計及設(shè)備選型 -8-2.6設(shè)計方案優(yōu)勢 -10-2.6.1高帶寬、高性能 -10-2.6.2網(wǎng)絡(luò)管理 -10-2.6.3完善的安全機(jī)制 -11-2.6.4易維護(hù) -11-2.6.5高可靠性 -12-2.6.6低成本、可擴(kuò)展性強(qiáng) -12-3.企業(yè)網(wǎng)絡(luò)的整體方案部署 -13-3.1交換模塊設(shè)計 -13-3.1.1接入層交換機(jī)服務(wù)的實(shí)現(xiàn)—配置接入層交換機(jī) -13-3.1.2核心層交換機(jī)服務(wù)的實(shí)現(xiàn)—配置核心層交換機(jī) -15-3.2廣域網(wǎng)接入模塊設(shè)計 -18-3.2.1配置路由器AR1的基本參數(shù) -19-3.2.2配置路由器AR1的各接口參數(shù) -19-3.2.3配置路由器AR1的路由功能 -19-3.2.4配置接入路由器AR1上的NAT -20-3.2.5配置接入路由器AR1上的ACL -20-結(jié)束語 -22-參考文獻(xiàn) -23-第1-頁第3-頁序言隨著Internet在全球的發(fā)展與普及,企業(yè)網(wǎng)絡(luò)技術(shù)的發(fā)展以及企業(yè)生存和發(fā)展需要促成了企業(yè)網(wǎng)的形成。自20世紀(jì)90年代以來,企業(yè)網(wǎng)絡(luò)已經(jīng)成為連接企業(yè)、事業(yè)單位各部門與外界交流信息的重要基礎(chǔ)設(shè)施?;诰钟蚓W(wǎng)和廣域網(wǎng)技術(shù)發(fā)展起來的企業(yè)網(wǎng)絡(luò)技術(shù)得到迅速的發(fā)展。為了適應(yīng)網(wǎng)絡(luò)經(jīng)濟(jì)的飛速發(fā)展,擴(kuò)大企業(yè)經(jīng)營的規(guī)模和范圍,方便企業(yè)內(nèi)部和企業(yè)之間的交流,節(jié)省辦公開銷,提高企業(yè)的管理水平,企業(yè)發(fā)展Intranet(企業(yè)內(nèi)部網(wǎng))已經(jīng)是刻不容緩。另外,截至2011年,中國中小企業(yè)的數(shù)量將達(dá)到4660萬,其中擁有企業(yè)網(wǎng)站的企業(yè)數(shù)量將達(dá)到363萬。在國民經(jīng)濟(jì)中,60%的總產(chǎn)來自于中小企業(yè),并為社會提供了60%以上的就業(yè)機(jī)會。然而,在中國國民經(jīng)濟(jì)和社會發(fā)展中一直占據(jù)著至關(guān)重要的戰(zhàn)略地位的小中企業(yè),其信息化程度卻比較落后。今后如何應(yīng)對瞬息萬變、競爭激烈的國內(nèi)外市場環(huán)境以及如何利用網(wǎng)絡(luò)技術(shù)迅速提升企業(yè)核心競爭力就是成為企業(yè)成敗的關(guān)鍵所在。從企業(yè)對信息的需求來看面對著激烈的市場競爭,公司對信息的收集、傳輸、加工、存儲、查詢、預(yù)測、決策及即時的交流、溝通等工作量越來越大,原來的電腦出于網(wǎng)絡(luò)技術(shù)或是安全性等因素考慮,一直只是停留在單機(jī)工作的模式,各部門及科室間的數(shù)據(jù)不能實(shí)現(xiàn)共享,致使工作效率大大下降,純粹手工管理方式和手段已經(jīng)不能適應(yīng)企業(yè)的需要,這將嚴(yán)重妨礙公司的生存和發(fā)展。社會進(jìn)行要求企業(yè)必須改變現(xiàn)有的落后管理體制、管理方法和手段,建立現(xiàn)代企業(yè)的新形象,建立本企業(yè)的辦公自動化管理信息系統(tǒng)(即公司局域網(wǎng)),以提高管理水平,增加經(jīng)濟(jì)和社會效益。從企業(yè)管理和業(yè)務(wù)發(fā)展的角度出發(fā)通過網(wǎng)絡(luò)對網(wǎng)絡(luò)資源的共用來改善企業(yè)內(nèi)部和企業(yè)與客戶之間的信息交流方式,滿足業(yè)務(wù)部門對信息存儲、檢索、處理和共享需求,使企業(yè)能迅速掌握瞬息萬變的市場行情,使企業(yè)信息更有效地發(fā)揮效力;提高辦公自動化水平,提高工作效率,降低管理成本,提高企業(yè)在市場上的競爭力;通過對每項業(yè)務(wù)的跟蹤,企業(yè)管理者可以了解業(yè)務(wù)進(jìn)展情況,掌握第一手資料,及時掌握市場動態(tài),為企業(yè)提供投資導(dǎo)向,為領(lǐng)導(dǎo)決策提供數(shù)據(jù)支持;通過企業(yè)內(nèi)部網(wǎng)建立,企業(yè)各業(yè)務(wù)部門可以有更方便的交流溝通,管理者可隨時了解每一位員工的情況,并加強(qiáng)以企業(yè)人力資源合理調(diào)度,切實(shí)做到系統(tǒng)的集成化設(shè)計,使原有的設(shè)備、投資得到有效利用。因此,有必要建設(shè)好中小型企業(yè)建設(shè)信息網(wǎng)絡(luò),以達(dá)到最大限度地實(shí)現(xiàn)信息資源共享,并使用電子信息的傳遞取代紙面文件、材料的傳送,逐步實(shí)現(xiàn)無紙辦公,改變傳統(tǒng)的工作方式,進(jìn)一步提高工作效率。同時,利用各種業(yè)務(wù)信息的綜合分析,為各級領(lǐng)導(dǎo)提供決策支持,更好地組織生產(chǎn)和經(jīng)營。1.中小企業(yè)網(wǎng)絡(luò)的建設(shè)目標(biāo)建設(shè)目標(biāo)企業(yè)建設(shè)一個以辦公自動化、計算機(jī)輔助生產(chǎn)、控制及管理為核心,以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托,技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、能覆蓋企業(yè)各樓宇的企業(yè)主干網(wǎng)絡(luò),將企業(yè)的各種PC機(jī)、工作站、終端設(shè)備和局域網(wǎng)連接起來,并與有關(guān)廣域網(wǎng)相連,在網(wǎng)上宣傳自己和獲取Internet網(wǎng)上的信息資源。形成結(jié)構(gòu)合理、內(nèi)外溝通的企業(yè)計算機(jī)網(wǎng)絡(luò)系統(tǒng),在此基礎(chǔ)上建立能滿足生產(chǎn)、研發(fā)和管理工作需要的軟硬件環(huán)境,開發(fā)各類信息庫和應(yīng)用系統(tǒng),為企業(yè)各類需求提供充分的網(wǎng)絡(luò)信息服務(wù)。即總體目標(biāo)是利用先進(jìn)的計算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù),建設(shè)高質(zhì)量、高效率的統(tǒng)一的通信網(wǎng)絡(luò)。其具體目標(biāo)如下:通過建設(shè)一個高速、安全、可靠、可擴(kuò)充的網(wǎng)絡(luò)系統(tǒng),使各系統(tǒng)互聯(lián)互通,實(shí)現(xiàn)企業(yè)信息的高度共享、傳遞及管理信息化,各領(lǐng)導(dǎo)能及時、全面、準(zhǔn)確地掌握企業(yè)的研發(fā)、生產(chǎn)、管理、財務(wù)、人事等各方面情況;建立出口信道,實(shí)現(xiàn)企業(yè)與Internet互聯(lián),同時部署企業(yè)各種應(yīng)用服務(wù)器(郵件、文件、網(wǎng)站及各系統(tǒng)服務(wù)器等),實(shí)現(xiàn)企業(yè)信息的發(fā)布,提供各領(lǐng)導(dǎo)和企業(yè)員工的移動撥號接入,進(jìn)行移動辦公和資料查詢;企業(yè)的各通交流,用電子信息的傳遞取代紙面文件、資料的傳送,實(shí)現(xiàn)無紙辦公,改變傳統(tǒng)的工作方式,進(jìn)一步提高工作效率;利用各種業(yè)務(wù)信息的綜合分析,為各級領(lǐng)導(dǎo)提供決策支持,更好地組織生產(chǎn)和經(jīng)營。1.2設(shè)計原則企業(yè)園區(qū)網(wǎng)可能包含大量的信息點(diǎn),并會涉及大量的業(yè)務(wù)應(yīng)用,這就要求企業(yè)網(wǎng)必須是一個實(shí)用的、高可靠、高效率、高擴(kuò)展性及高安全性系統(tǒng)。為使企業(yè)園網(wǎng)絡(luò)系統(tǒng)具有良好的擴(kuò)展性和靈活的接入能力,并易于管理,易于維護(hù),在網(wǎng)絡(luò)設(shè)計及構(gòu)建中始終應(yīng)遵循統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一平臺及網(wǎng)絡(luò)分層的原則,主要包括如下原則:在網(wǎng)絡(luò)規(guī)劃方面,統(tǒng)一采用IP技術(shù),統(tǒng)一規(guī)劃IP地址及各種應(yīng)用,采用開放的技術(shù)及國際標(biāo)準(zhǔn),如路由協(xié)議、安全標(biāo)準(zhǔn)、接入標(biāo)準(zhǔn)和網(wǎng)絡(luò)管理平臺等,才能保證實(shí)現(xiàn)網(wǎng)絡(luò)的統(tǒng)一,并確保網(wǎng)絡(luò)的可擴(kuò)展性,同時為了減少網(wǎng)絡(luò)中各部分的相關(guān)性,便于網(wǎng)絡(luò)的實(shí)施及管理,在網(wǎng)絡(luò)的構(gòu)建中,從整體上可以將網(wǎng)絡(luò)劃分為核心層、匯聚層和接入層等3個層次;在軟硬件選擇方面,所有選擇的軟、硬件產(chǎn)品都必須遵循標(biāo)準(zhǔn)化原則,采用統(tǒng)一的軟、硬件平臺和基本應(yīng)用軟件,以便進(jìn)行統(tǒng)一的軟件版本的升級及管理;在安全方面,所建設(shè)企業(yè)網(wǎng)應(yīng)具有良好的安全性與保密性,根據(jù)企業(yè)的業(yè)務(wù)應(yīng)用需求,部署合理的網(wǎng)絡(luò)訪問策略,同時實(shí)現(xiàn)企業(yè)內(nèi)部敏感信息的保護(hù),在受到攻擊時具有可追溯性;在投資保護(hù)方面,要做到資源共享與保護(hù),充分合理地利用現(xiàn)有的資源,最大限度地與原有系統(tǒng)或在建系統(tǒng)互聯(lián)互通,在盡可能利用已有投資的基礎(chǔ)上,解決好經(jīng)費(fèi)的補(bǔ)充和配套資金到位問題。
2.企業(yè)網(wǎng)絡(luò)的總體設(shè)計2.1網(wǎng)絡(luò)拓樸設(shè)計本次該企業(yè)網(wǎng)絡(luò)設(shè)計方案主要由以下部分構(gòu)成:交換模塊、廣域網(wǎng)接入模塊、服務(wù)器群。整個網(wǎng)絡(luò)系統(tǒng)的拓樸結(jié)構(gòu)圖如圖2-1網(wǎng)絡(luò)拓樸設(shè)計所示,如下:圖2-1網(wǎng)絡(luò)拓樸設(shè)計該設(shè)計符合中小型局域網(wǎng)模型架構(gòu)。它的園區(qū)主干和建筑物分布子模塊沒有十分明確的三層設(shè)計區(qū)分,在功能配置基本上是緊縮到一層中去,因?yàn)槿狈γ黠@分開的園區(qū)主干和建筑物分布子模塊,并且園區(qū)主干子模塊中的密度是有限的,所以在每個建筑物分布子模塊中采用多臺二層交換機(jī)進(jìn)行堆疊即可,在此方案中,出于可擴(kuò)展性、一次性投資成本、網(wǎng)絡(luò)的傳輸性能及長遠(yuǎn)規(guī)劃等方面因素考慮,前期先采用堆疊模式即可滿足所有用戶的接入問題,當(dāng)用戶增加到一定的數(shù)量之后,出于交換機(jī)堆疊數(shù)量的限制,可以選擇增加多一臺建筑物分布子模塊來做匯聚的交換設(shè)備,這樣一樣可以做到后續(xù)有很強(qiáng)的擴(kuò)展性,通過這種設(shè)計,可以使用該企業(yè)達(dá)到滿足現(xiàn)有需求的同時很好的降低了成本且不失后期的擴(kuò)展性(如上拓樸圖示)。以這個設(shè)計方案而言,因?yàn)槟芴峁┙粨Q機(jī)和鏈路冗余,所在園區(qū)主干子模塊不包含任何的單點(diǎn)故障。它采用了星形拓樸結(jié)構(gòu),它相對其他拓樸結(jié)構(gòu)來說,星形拓樸將用戶接入網(wǎng)絡(luò)時具有更大的靈活性。當(dāng)系統(tǒng)不斷發(fā)展或系統(tǒng)發(fā)生重大變化時,這種優(yōu)點(diǎn)將變得更加突出。在接入層,華為S2700系列交換機(jī)通過生成樹提供第二層冗余。華為S2700系列交換機(jī)僅有缺點(diǎn)就是最高只能32Gbit/s交換陣列,并且最多只能支持48個快速以太網(wǎng)端口,但是這對于資金有限的中小型企業(yè)網(wǎng)來說已經(jīng)滿足需求了。在核心層采用三層交換機(jī)華為5700系列部署,可以增加網(wǎng)絡(luò)擴(kuò)展性,提高性能及可用性,增強(qiáng)網(wǎng)絡(luò)安全性。在該設(shè)計中,利用快速以太網(wǎng)通道化/千兆以太網(wǎng)通道化技術(shù)擴(kuò)展網(wǎng)絡(luò)帶寬,可以滿足內(nèi)部網(wǎng)絡(luò)的大負(fù)荷網(wǎng)絡(luò)運(yùn)行需求。2.2IP編址方案及VLAN劃分IP地址規(guī)劃根據(jù)所分配的公網(wǎng)IP地址和內(nèi)部私有網(wǎng)IP地址分配,地址可分為二大塊,一塊是分配多個C類公網(wǎng)IP地址,作為和國際互聯(lián)網(wǎng)互連的地址,一部分企業(yè)相關(guān)的域名就解析在這片地址上,同時提供給企業(yè)用戶上網(wǎng)時的NAT轉(zhuǎn)換用,如果條件允許,可以申請多個運(yùn)營商的線路,關(guān)鍵服務(wù)器及應(yīng)用可以擁有兩條線路的公網(wǎng)IP,分別跨接在不同的運(yùn)營商上進(jìn)行相互備份。當(dāng)前交換技術(shù)的迅速發(fā)展,也加快了虛擬子網(wǎng)技術(shù)(VLAN—VirtualLocalAreaNetwork)的應(yīng)用速度,特別是在當(dāng)前企業(yè)網(wǎng)上的應(yīng)用更廣泛。通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬子網(wǎng)(VLAN),可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全,控制不必要的數(shù)據(jù)廣播。數(shù)據(jù)廣播在網(wǎng)絡(luò)中起著非常重要的作用,隨著企業(yè)網(wǎng)內(nèi)的計算機(jī)數(shù)量的增加,廣播包的數(shù)量也會急劇增加,當(dāng)廣播包的數(shù)量占到總量的30%時,網(wǎng)絡(luò)的傳輸效率將會明顯下降。特別是當(dāng)某網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后,會不停地向網(wǎng)絡(luò)發(fā)送廣播,從而導(dǎo)致網(wǎng)絡(luò)風(fēng)暴,使網(wǎng)絡(luò)通信陷于癱瘓。當(dāng)企業(yè)網(wǎng)絡(luò)內(nèi)計算機(jī)數(shù)超過200臺后,就必須采取措施將網(wǎng)絡(luò)分隔開來,將一個大的廣播域劃分成若干個小的廣播域。該方案IP編址及VLAN劃分如下:表5-1VLAN劃分表VLAN號VLAN名稱IP網(wǎng)段默認(rèn)網(wǎng)關(guān)說明VLAN1-192.168.0.0/24192.168.0.254管理VLANVLAN10CWB192.168.1.0/24192.168.1.254財務(wù)部VLANVLAN20SCB192.168.2.0/24192.168.2.254市場部VLANVLAN30CHB192.168.3.0/24192.168.3.254策劃部VLANVLAN50KFZX192.168.5.0/24192.168.5.254客服中心VLANVLAN60CGB192.168.6.0/24192.168.6.254采購部VLANVLAN70RFB192.168.7.0/24192.168.7.254研發(fā)部VLANVLAN100SERVER192.168.100.0/24192.168.100.254服務(wù)器組VLAN2.3核心層設(shè)計及設(shè)備選型企業(yè)網(wǎng)是各種應(yīng)用的統(tǒng)一通信平臺,平均無故障時間以及故障恢復(fù)時間要保持在一個可容忍的許可范圍之內(nèi)。在這種前提下,園區(qū)主干設(shè)備應(yīng)有一定的冗余度,這種冗余包括有設(shè)備及物理線路等方面,數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層以及應(yīng)用層的容錯能力。園區(qū)主干網(wǎng)以企業(yè)網(wǎng)絡(luò)中心的主機(jī)房為中心節(jié)點(diǎn)向外輻射,通過各部門所在的建筑樓節(jié)點(diǎn)構(gòu)成園區(qū)主干網(wǎng)。企業(yè)園物理結(jié)構(gòu)分為三層:核心層、匯聚層、接入層。園區(qū)主干網(wǎng)中心節(jié)點(diǎn)配置核心路由交換機(jī),該交換機(jī)上配置第三層交換模塊和網(wǎng)絡(luò)監(jiān)控模塊,以實(shí)現(xiàn)網(wǎng)絡(luò)動態(tài)管理和虛擬局域網(wǎng)。企業(yè)網(wǎng)的各建筑物分布子模塊,可采用三層交換機(jī)與企業(yè)網(wǎng)園區(qū)中心的核心路由交換機(jī)連接,以實(shí)現(xiàn)主干通道信息傳輸?shù)呢?fù)載均衡。辦公司樓、研發(fā)樓、生產(chǎn)間、職工公寓等樓宇采用高性能匯聚層交換機(jī),以保證建筑樓信息點(diǎn)對交換機(jī)端口密度的要求和網(wǎng)絡(luò)性能與可靠性的要求。園區(qū)主干網(wǎng)核心層交換機(jī)和匯聚層交換機(jī)采用1000Mbps連接,服務(wù)器采用100Mbps連接。2.3.1園區(qū)主干交換機(jī)園區(qū)主干交換機(jī)是指連接服務(wù)器及樓與樓之間、層與層之間的數(shù)據(jù)交換設(shè)備。根據(jù)企業(yè)網(wǎng)工程的不同階段中網(wǎng)絡(luò)信息點(diǎn)增加及其間伴隨著的使用需求增長,對主干交換機(jī)基本設(shè)備的選型及其階段性的擴(kuò)展需求進(jìn)行總體的合理規(guī)劃。因此本次方案設(shè)計采用華為S5700交換機(jī),它的最高性能可以達(dá)到102Mpps和136Gbit/s,在遠(yuǎn)程辦公室環(huán)境中,這類交換機(jī)即可以作為單臺交換機(jī)發(fā)揮作用,也可以作為包含少量交換機(jī)的中小型網(wǎng)絡(luò)的園區(qū)主干交換機(jī)。在性能方面,具有很強(qiáng)的擴(kuò)展性及多業(yè)務(wù)特性,可以滿足未來企業(yè)豐富的業(yè)務(wù)需求及提供投資保護(hù)。2.3.2出口路由器在此方案中,考慮該企業(yè)Internet出口路由器的配置,采用一臺華為AR3260路由器,因?yàn)槿A為AR3260系列是模塊化設(shè)備,提供了更多的槽和更高的處理能力,它的用途是支持大型分支機(jī)構(gòu)中的復(fù)雜應(yīng)用,或作為中心路由器為多個遠(yuǎn)程站點(diǎn)提供連接,它的網(wǎng)絡(luò)模塊最高可支持OC-3的速度,且對大多數(shù)企業(yè)具有豐富的可提高擴(kuò)展能力。2.3.3服務(wù)器群組服務(wù)器是網(wǎng)絡(luò)服務(wù)器用量最大的地方。服務(wù)器的選擇標(biāo)準(zhǔn)很大程度上取決于中心客戶的類型和應(yīng)用種類。就大部分中小型企業(yè)應(yīng)用而言,Web、ERP應(yīng)用和數(shù)據(jù)庫應(yīng)用仍然占整個數(shù)據(jù)中心的各類應(yīng)用的主要部分。因此對服務(wù)器的網(wǎng)絡(luò)響應(yīng)能力在很大程度上體現(xiàn)了服務(wù)器的硬件體系結(jié)構(gòu)設(shè)計的合理性、CPU或CPU組(SMP)對操作系統(tǒng)的進(jìn)程或線程的分配能力以及磁盤I/O的性能。以及可行性與穩(wěn)定性,同時散熱、功耗和易安裝性也是重點(diǎn)考察和評價的對象。基于以上考慮,所選的服務(wù)器必須具有高可靠性,I/O吞吐能力強(qiáng),數(shù)據(jù)處理快,可擴(kuò)展性和可管理性良好的特點(diǎn)。2.4接入層設(shè)計及設(shè)備選型接入層選用華為S2700可堆疊交換機(jī)作為用戶的接入,這些交換機(jī)通常作為建筑物接入交換機(jī)而部署,能夠提供固定的端口密度,并且具有與高端交換機(jī)相類似的特性,但其成本更低,但它們卻支持非常多的高級交換特性,其中包括集成安全、NAC、高級Qos和彈性等;同時這些交換機(jī)具有固定的端口配置,具有24個或48個10/100BASE-T或10/100/1000BASE-T端口,以及雙目標(biāo)特以太網(wǎng)上行鏈路。使用華為S2700作為本方案設(shè)計的接入交換機(jī),它支持全線速的二層交換,同時具備如下特性:完備的安全智能控制策略:支持802.1x認(rèn)證,還可以通過靈活的MAC、IP、VLAN、PORT任意組合綁定,有效的防止非法用戶訪問網(wǎng)絡(luò)。支持多種ACL訪問控制策略:能夠?qū)τ脩粼L問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行設(shè)置,保證網(wǎng)絡(luò)的受控訪問。高可靠性:支持STP/RSTP生成樹協(xié)議。豐富的QOS策略:支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口,支持帶寬控制功能。2.5安全體系設(shè)計及設(shè)備選型企業(yè)網(wǎng)信息系統(tǒng)是企業(yè)網(wǎng)的數(shù)字神經(jīng)中樞,合理的使用不僅能提高企業(yè)現(xiàn)代化信息化改革、提高工作效率、改善工作模式及流程,同時通過各企業(yè)之間的信息共享及溝通的方便及順暢,將會極大的提高整體行業(yè)的工作效率及工作業(yè)績。企業(yè)網(wǎng)總體上分為企業(yè)內(nèi)網(wǎng)和企業(yè)外網(wǎng)。企業(yè)內(nèi)網(wǎng)主要包括研發(fā)樓局域網(wǎng)、生產(chǎn)車間局域網(wǎng)、辦公自動化局域網(wǎng)等。企業(yè)外網(wǎng)主要指企業(yè)提供對外服務(wù)的服務(wù)器群、與電信的接入以及遠(yuǎn)程移動辦公用戶的接入等,認(rèn)真分析可以總結(jié)出企業(yè)網(wǎng)面臨著如下的安全威脅:各種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞帶來的安全威脅;Internet網(wǎng)絡(luò)用戶對企業(yè)網(wǎng)存在非法訪問或惡意入侵的威脅;來自企業(yè)網(wǎng)內(nèi)外的各種病毒的威脅,外部用戶可能通過郵件以及文件傳輸?shù)葘⒉《編肫髽I(yè)內(nèi)網(wǎng),內(nèi)部職工可能由于使用盜版介質(zhì)將病毒帶入企業(yè)內(nèi);內(nèi)部用戶對Internet的非法訪問威脅,如瀏覽黃色、暴力、反動等網(wǎng)站,以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入企業(yè)內(nèi)網(wǎng);內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS攻擊,導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用;企業(yè)網(wǎng)內(nèi)的職工即時通信工具(比如:QQ),目前針對該類工具的黑客程序隨處可見;可能會因?yàn)槠髽I(yè)網(wǎng)內(nèi)管理人員以及全體職工的安全意識不強(qiáng)、管理制度不健全,帶來企業(yè)網(wǎng)的威脅。基于上面的問題,我們將從物理、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用及管理五個層次分析和設(shè)計適合于企業(yè)網(wǎng)的安全建議方案。
2.6設(shè)計方案優(yōu)勢2.6.1高帶寬、高性能相比于傳統(tǒng)組網(wǎng)設(shè)計方案,該企業(yè)網(wǎng)絡(luò)設(shè)計方案是基于標(biāo)準(zhǔn)的二、三層以太網(wǎng)交換技術(shù),技術(shù)成熟度非常高。企業(yè)網(wǎng)絡(luò)中心放置路由交換機(jī)上行通過GE接至互聯(lián)網(wǎng),GE可以是單?;蛘叨嗄?,到時可以按使用的情況進(jìn)行擴(kuò)展,使出口不會成為企業(yè)網(wǎng)瓶頸。在企業(yè)網(wǎng)絡(luò)中心通過下行使千兆鏈路連接接入層交換機(jī),百兆交換到桌面,100M的帶寬可充分滿足用戶高速上網(wǎng)、內(nèi)容下載及多媒體等多種寬帶業(yè)務(wù)。核心交換機(jī)擁有1000M出口聯(lián)接企業(yè)網(wǎng),各層設(shè)備全部支持線速交換,給用戶提供了真正的高帶寬網(wǎng)絡(luò),對未來高帶寬的寬帶業(yè)務(wù)提供了強(qiáng)大的支撐能力。2.6.2網(wǎng)絡(luò)管理企業(yè)網(wǎng)在為員工提供便捷、高效的學(xué)習(xí)、工作環(huán)境的同時,也在寬帶管理、權(quán)限控制等方面存在許多問題:對帶寬資源的大量占用導(dǎo)致重要應(yīng)用無法進(jìn)行對于企業(yè)來說,它的帶寬資源都是有限的。由于沒有帶寬限制和優(yōu)先級設(shè)置,一些重要用戶和重要應(yīng)用得不到必要的帶寬保證而影響了工作。訪問權(quán)限難以控制隨著使用互聯(lián)網(wǎng)資源、各部門之間不同員工間的保密資源可以隨意獲取,將導(dǎo)致企業(yè)秘密資料或是自主知識產(chǎn)權(quán)被競爭對手抄襲,引起經(jīng)濟(jì)損失。異常網(wǎng)絡(luò)事件的審計和追查當(dāng)異常網(wǎng)絡(luò)事件發(fā)生后,如何盡快的追根溯源,找出幕后“黑手”,避免事件的再次發(fā)生,成了網(wǎng)絡(luò)維護(hù)人員不得不面對的棘手問題。帶寬的限定和業(yè)務(wù)優(yōu)先級的設(shè)定系統(tǒng)能對每個客戶上下行的帶寬上限加以限定,防止個別客戶占用過多網(wǎng)絡(luò)資源。還能對不同的用戶數(shù)據(jù)設(shè)定業(yè)務(wù)優(yōu)先級以保證重要數(shù)據(jù)能得到更好的服務(wù)??旖輰?shí)現(xiàn)全網(wǎng)管理全網(wǎng)拓?fù)浒l(fā)現(xiàn)功能可以對全網(wǎng)設(shè)備、網(wǎng)絡(luò)節(jié)點(diǎn)以及事件、性能、日志進(jìn)行實(shí)時監(jiān)控,統(tǒng)一管理。強(qiáng)大的事件追查功能系統(tǒng)中豐富的日志信息和便捷的追查工具能使網(wǎng)絡(luò)管理員在面對異常事件時,能及時作出反應(yīng),迅速找出幕后“黑手”。2.6.3完善的安全機(jī)制該企業(yè)各樓宇交換機(jī)通過內(nèi)在的多種安全機(jī)制可有效防止和控制病毒傳播和網(wǎng)絡(luò)流量攻擊,控制非法用戶使用網(wǎng)絡(luò),保證合法用戶合理化使用網(wǎng)絡(luò),如端口安全、端口隔離、專家級ACL、時間ACL、端口ARP報文合法性檢查、基于數(shù)據(jù)流的帶寬限速等等,滿足企業(yè)網(wǎng)加強(qiáng)對訪問者進(jìn)行控制、限制非授權(quán)用戶通信的需求;在匯聚、核心交換設(shè)備設(shè)置由硬件實(shí)現(xiàn)ACL,對病毒進(jìn)行過濾。硬件實(shí)現(xiàn)端口與MAC地址和用戶IP地址的綁定,嚴(yán)格限定端口上用戶接入;通過將端口設(shè)為保護(hù)端口即可簡單方便地隔離用戶之間信息互通,不必占用VLAN資源;通過PrivateVLAN可以在交換機(jī)的同一VLAN中提供端口之間的通訊或安全隔離,確保數(shù)據(jù)流進(jìn)入有效端口,而不會被發(fā)送到其它端口,即解決了因傳統(tǒng)802.1QVLAN造成全網(wǎng)VID資源不夠的問題,同時又無需利用安全規(guī)則資源即能達(dá)到隔離不同用戶以及不同組用戶之間通訊的功能,充分保護(hù)用戶隱私;提供極為有效的PortBlocking功能,避免端口受到其它端口發(fā)送的廣播包、多播包等報文的干擾,有效減輕端口負(fù)載負(fù)擔(dān),提高端口帶寬,保護(hù)用戶PC更高效安全地運(yùn)行;基于源IP地址控制的Telnet和Web設(shè)備訪問控制,增強(qiáng)了設(shè)備網(wǎng)管的安全性,避免黑客惡意攻擊和控制設(shè)備;提供加密傳輸?shù)腟ecureShell(SSH),保證管理設(shè)備信息的安全性,防止黑客攻擊和控制設(shè)備;病毒、蠕蟲等多元化發(fā)展控制網(wǎng)絡(luò)病毒。統(tǒng)一對接入層交換機(jī)做動態(tài)下發(fā)安全策略,輕松有效的控制網(wǎng)絡(luò)病毒,使網(wǎng)絡(luò)保持暢通。2.6.4易維護(hù)華為網(wǎng)絡(luò)交換機(jī)都經(jīng)過獨(dú)特設(shè)計具備防塵、防潮、防靜電等多種適于在樓道安裝和使用的特點(diǎn)。而且具有強(qiáng)大的運(yùn)行維護(hù)能力,能有效降低運(yùn)營商的運(yùn)維成本。支持RS-232本地管理口及Telnet、WEB、SNMP代理,遠(yuǎn)程監(jiān)控(RMON1~3,9組)可根據(jù)運(yùn)營商的不同要求,使用不同的管理方案,支持SNMP協(xié)議的全網(wǎng)集中網(wǎng)管。提供了故障告警和日志功能,可通過機(jī)箱面板上指示燈直觀地了解設(shè)備的運(yùn)行狀態(tài)。2.6.5高可靠性華為網(wǎng)絡(luò)產(chǎn)品均使用國際上主流的先進(jìn)ASIC芯片進(jìn)行設(shè)計,并率先采用ISO9002生產(chǎn)標(biāo)準(zhǔn)進(jìn)行生產(chǎn),確保了設(shè)備的穩(wěn)定性。2.6.6低成本、可擴(kuò)展性強(qiáng)以太網(wǎng)交換技術(shù)歷經(jīng)長期發(fā)展,得到眾多廠商的支持,以技術(shù)實(shí)現(xiàn)簡單而獲得極大的性能價格比。華為網(wǎng)絡(luò)公司的以太網(wǎng)交換機(jī)全部基于標(biāo)準(zhǔn)的以太網(wǎng)交換技術(shù),使用專用芯片技術(shù),具有極高的性價比,保證了整個網(wǎng)絡(luò)核心部分的穩(wěn)定、可靠和高性能。華為中心交換機(jī)采用模塊式設(shè)計,用戶只需簡單地添加端口模塊即可實(shí)現(xiàn)網(wǎng)絡(luò)的擴(kuò)容,完整保護(hù)用戶投資。華為交換機(jī)支持彈性堆疊功能,可根據(jù)需要擴(kuò)展堆疊從機(jī);這樣,當(dāng)網(wǎng)絡(luò)需擴(kuò)容時,只需簡單添加堆疊從機(jī),不必再添加設(shè)備管理IP;同時,網(wǎng)絡(luò)速度不會受到影響。
3企業(yè)網(wǎng)絡(luò)的整體方案部署以下是該企業(yè)應(yīng)用以上方案設(shè)計之后,方案中所有的網(wǎng)絡(luò)、服務(wù)器等設(shè)備的具體參數(shù)配置。3.1交換模塊設(shè)計為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴(kuò)展,在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)行的。園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次:接入層、分布層、核心層。在本設(shè)計方案中,需要進(jìn)行三層配置。以下所有配置均屬于真實(shí)在運(yùn)營參數(shù),并且使用SecureCRT6.1作為終端進(jìn)行網(wǎng)絡(luò)設(shè)備的配置驗(yàn)證。3.1.1接入層交換機(jī)服務(wù)的實(shí)現(xiàn)—配置接入層交換機(jī)接入層為所有的終端用戶提供一個接入點(diǎn)。這里的接入層交換機(jī)采用的是S2700-52P-EI交換機(jī)。交換機(jī)擁有48個10/100Mbps自適應(yīng)快速以太網(wǎng)端口。我們以方案拓樸圖示中的接入層交換機(jī)LSW5為例進(jìn)行介紹。如下圖3-1接入層所示:圖3-1接入層配置接入層交換機(jī)LSW5的基本參數(shù)設(shè)置交換機(jī)名稱設(shè)置交換機(jī)名稱,也就是出現(xiàn)在交換機(jī)CLI提示符中的名字。一般我們會以地理位置或行政劃分來為交換機(jī)命名。當(dāng)我們需要Telnet登錄到若干臺交換機(jī)以維護(hù)一個大型網(wǎng)絡(luò)時,通過交換機(jī)名稱提示自己當(dāng)前配置交換機(jī)的位置是很有必要的。使用SecureCRT登錄LSW5進(jìn)入界面后,輸入以下命令為接入層交換機(jī)命名<Huawei>system-view//進(jìn)入用戶模式[Huawei]sysnameLSW5S//修改交換機(jī)名稱[LSW5]//修改成功后的顯示效果設(shè)置登錄虛擬終端線時的口令對于一個已經(jīng)運(yùn)行著的交換網(wǎng)絡(luò)來說,交換機(jī)的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理人員提供了很多的方便,但是,處于安全考慮,在能夠遠(yuǎn)程管理交換機(jī)之前網(wǎng)絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機(jī)的口令。[LSW5]user-interfacevty04//進(jìn)入虛擬終端線路[LSW5-ui-vty0-4]setauthenticationpasswordciphermzxy//設(shè)置登錄密碼為mzxy[LSW5-ui-vty0-4]authentication-modepassword//設(shè)置認(rèn)證模式為密碼認(rèn)證設(shè)置終端線超時時間為了安全考慮,可以設(shè)置終端線超時時間。在設(shè)置障礙的時間內(nèi),如果沒有檢測到鍵盤輸入,交換機(jī)將斷開用戶和交換機(jī)之間的連接。[LSW5-ui-vty0-4]idle-timeout5//設(shè)置登陸交換機(jī)的控制終端線路的超時時間為5分0秒鐘。配置接入層交換機(jī)LSW5的管理IP、默認(rèn)網(wǎng)關(guān)接入層交換機(jī)是OSI參考模型的第二層設(shè)備,即數(shù)據(jù)鏈路層的設(shè)備,因此,給接入層交換機(jī)的每個端口設(shè)置IP地址是沒有意義的,但是,為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到接入層交換機(jī)上進(jìn)行管理,必要給接入層交換機(jī)設(shè)置一個管理用的IP地址,這種情況下,實(shí)際上是將交換機(jī)看成和PC機(jī)一樣的主機(jī),給交換機(jī)設(shè)置管理用的IP地址只能在VLAN1,即本征VLAN中進(jìn)行。按照表2,管理VLAN所在的子網(wǎng)是:/24,這里將接入層交換機(jī)LSW5的管理IP地址設(shè)為:0/24,如下:[LSW5]interfacevlan1[LSW5-Vlanif1]ipadd024//設(shè)置管理IP為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī),還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān)地址54。[LSW5]iproute-static5配置接入層交換機(jī)LSW5的VLAN[LSW5]vlanbatch1020//在交換機(jī)上創(chuàng)建VLAN10、VLAN20配置接入層交換機(jī)LSW5的訪問端口接入層交換機(jī)LSW5為終端用戶提供接入服務(wù),根據(jù)各部門的不同分布,接入層交換機(jī)LSW5為VLAN10及VLAN20提供接入服務(wù)。設(shè)置接入層交換機(jī)SWITCH1的端口1~20為VLAN10,端口21~46為VLAN20,如下:[LSW5]vlan10[LSW5-vlan10]portEthernet0/0/1to0/0/20//設(shè)置端口1~20為VLAN10的成員[LSW5]vlan20[LSW5-vlan20]portEthernet0/0/21to0/0/46//設(shè)置端口21~46為VLAN20的成員配置其他接入層交換機(jī)對接其他入層交換機(jī)的配置步驟、命令和對接入層交換機(jī)LSW5的配置類似按照LSW5的配置,在其他接入層交換機(jī)做相類似的配置,并將各自的端口劃入相應(yīng)的VLAN即可。3.1.2核心層交換機(jī)服務(wù)的實(shí)現(xiàn)—配置核心層交換機(jī)在本設(shè)計方案中,核心層各設(shè)備主要是做數(shù)據(jù)的高速轉(zhuǎn)發(fā)工作,但同時也可以兼顧一些分布層的工作,以方便配置的實(shí)施。下面討論核心層交換機(jī)的配置,如下圖3-2核心層所示:圖3-2核心層對核心層交換機(jī)LSW1的基本參數(shù)的配置配置步驟與接入層交換機(jī)LSW5的基本參數(shù)的配置類似,其配置如下:<Huawei>system-view[Huawei]sysnameLSW1[LSW1]user-interfacevty04[LSW1-ui-vty0-4]authentication-modepassword[LSW1-ui-vty0-4]setauthenticationpasswordciphermzxy[LSW1-ui-vty0-4]idle-timeout配置核心層交換機(jī)LSW1的管理IP、默認(rèn)網(wǎng)關(guān)下面的命令為核心層交換機(jī)CoreSwitch1設(shè)置管理IP并激活管理VLAN,還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址,配置如下:[LSW1]interfacevlan1[LSW1-Vlanif1]ipadd0024[LSW1]iproute-static5在核心層交換機(jī)LSW1上定義VLAN在本設(shè)計方案中,除了默認(rèn)的管理VLAN外,又定義了6個VLAN:[LSW1]vlan10[LSW1-vlan10]descriptionCWB[LSW1]vlan20[LSW1-vlan20]descriptionSCB[LSW1]vlan30[LSW1-vlan30]descriptionCHB[LSW1]vlan40[LSW1-vlan40]descriptionKFZX[LSW1]vlan50[LSW1-vlan50]descriptionCGB[LSW1]vlan60[LSW1-vlan60]descriptionSERVER[LSW1]vlan100[LSW1-vlan100]descriptionTo-LSW配置核心層交換機(jī)LSW1的端口基本參數(shù)如樸拓樸圖所示,核心層交換機(jī)LSW1的端口G0/0/4為服務(wù)器群提供接入服務(wù),而端口G0/0/1分別上連到路由器,其他接口則分配給接入層交換機(jī)使用。此外,為了實(shí)現(xiàn)冗余設(shè)計以及提供主干道的吞吐量,核心層交換機(jī)LSW1將千兆端口G0/0/2、G0/0/3捆綁在一起實(shí)現(xiàn)2000Mbps的千兆以太網(wǎng)信道,然后再連接到另一臺核心層交換機(jī)LSW2,下面是調(diào)協(xié)核心層交換機(jī)LSW2的千兆以太網(wǎng)信道的步驟:[LSW1]interfaceEth-Trunk1//創(chuàng)建組[LSW1-Eth-Trunk1]portlink-typeaccess//設(shè)置模式為TRUNK[LSW1-Eth-Trunk1]trunkportGigabitEthernet0/0/2to0/0/3//加入組配置核心層交換機(jī)LSW1的三層交換功能核心層交換機(jī)CoreSwitch需要為網(wǎng)絡(luò)中的各個VLAN提供路由功能,需要為每個VLAN定義自已的默認(rèn)網(wǎng)關(guān)地址:[LSW1]interfaceVlanif10[LSW1-Vlanif10]ipadd[LSW1]interfaceVlanif20[LSW1-Vlanif20]ipadd[LSW1]interfaceVlanif30[LSW1-Vlanif30]ipadd[LSW1]interfaceVlanif40[LSW1-Vlanif40]ipadd[LSW1]interfaceVlanif50[LSW1-Vlanif50]ipadd[LSW1]interfaceVlanif100[LSW1-Vlanif100]ipadd52此外,還需要定義通往Internet的路由,這里使用了一條缺省路由命令,使用的下一跳地址是Internet接入路由器與核心交換機(jī)相連接的快速以太網(wǎng)接口G0/0/1的IP地址。[LSW1]vlan200[LSW1-vlan200]descriptionTo-AR1[LSW1-vlan200]portGigabitEthernet0/0/1[LSW1]intvlan200[LSW1-Vlanif200]ipadd24CoreSwitch1(config-if)#ipaddress//在交換機(jī)LSW1啟用OSPF路由功能[LSW1]ospf1[LSW1-ospf-1]area0[LSW1-ospf-1-area-]network55[LSW1-ospf-1-area-]network55[LSW1-ospf-1-area-]network55[LSW1-ospf-1-area-]network55[LSW1-ospf-1-area-]network55[LSW1-ospf-1-area-]network55[LSW1-ospf-1-area-]network55[LSW1-ospf-1-area-]network55[LSW1-ospf-1-area-]network192.168.300.055配置核心層交換機(jī)LSW2對核心層交換機(jī)LSW2的配置步驟、命令和對核心層交換機(jī)LSW1的配置類似。3.2廣域網(wǎng)接入模塊設(shè)計在本設(shè)計方案中,廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器AR1來完成的,采用的是華為的3260路由器,它通過自己的串行接口Serial4/0/0接入Internet,它的作用主要是在Internet和企業(yè)網(wǎng)間路由數(shù)據(jù)包,除了完成主要的路由任務(wù)外,利用訪問控制列表(AccessControlList,ACL),廣域網(wǎng)接入路由器AR1還可以用來完成以自身為中心的流量控制和過濾功能并實(shí)現(xiàn)一定的安全功能,所下圖3-3廣域網(wǎng)接入所示。圖3-3廣域網(wǎng)接入3.2.1配置路由器AR1的基本參數(shù)路由器的基本參數(shù)配置和前面交換機(jī)的配置類似,配置如下:<Huawei>system-view[Huawei]sysnameAR1[AR1]user-interfacevty04[AR1-ui-vty0-4]setauthenticationpasswordciphermzxy[AR1-ui-vty0-4]authentication-modepassword[AR1-ui-vty0-4]idle-timeout53.2.2配置路由器AR1的各接口參數(shù)對于路由器IRouter的各接口參數(shù)的配置主要是對接口G0/0/0、G0/0/1以及接口S4/0/0的IP地址、子網(wǎng)掩碼的配置,如下:[AR1]interfaceg0/0/0[AR1-GigabitEthernet0/0/0]ipadd[AR1]interfaceg0/0/1[AR1-GigabitEthernet0/0/1]ipadd192.168.300.1[AR1]interfaceSerial4/0/0[AR1-Serial4/0/0]ipadd52//配置路由器IRouter的各接口的IP地址、子網(wǎng)掩碼3.2.3配置路由器AR1的路由功能在接入路由器AR1上需要定義兩個方向上的路由:到企業(yè)網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由,到Internet上的路由需要定義一條缺省路由,下一跳指定從本路由器的接口S4/0/0送出,如下:[AR1]iproute-staticSerial4/0/0//定義到Internet的缺省路由由于企業(yè)內(nèi)部配置了負(fù)載均衡,所以到企業(yè)網(wǎng)內(nèi)部的路由有兩條路徑,一條經(jīng)由LSW1進(jìn)入企業(yè)網(wǎng)內(nèi)部,另一條是經(jīng)由LSW2進(jìn)入企業(yè)網(wǎng)內(nèi)部,第一條路徑的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。如下:[AR1]ospf1[AR1-ospf-1]area0[AR1-ospf-1-area-]network55[AR1-ospf-1-area-]network192.168.300.055//定義經(jīng)過LSW1及LSW2到企業(yè)網(wǎng)內(nèi)部及外部的路由3.2.4配置接入路由器AR1上的NAT由于目前IP地址資源非常稀缺,不可能給企業(yè)網(wǎng)內(nèi)部的所有工作站都分配一個公有IP(Internet可路由的)地址,為了解決所有工作站訪問Internet的需要,必須使用NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)。根據(jù)前文對企業(yè)網(wǎng)的需求分析,企業(yè)當(dāng)?shù)豂SP申請了9個IP地址,其中一個IP地址:被分配給了Internet接入路由器串行接口,另外8個IP地址:/29~/29用作NAT。這里使用的是接口NAT地址轉(zhuǎn)換,下面配置NAT地址轉(zhuǎn)換:[AR1]acl2000//配置基本ACL,匹配NAT流量[AR1-acl-basic-2000]rule10permitsource55[AR1]nataddress-group1//創(chuàng)建地址池1[AR1]intSerial4/0/0//在接口下啟用NAT[AR1-Serial4/0/0]natoutbound2000address-group13.2.5配置接入路由器AR1上的ACL雖然此方案設(shè)計中,防火墻是網(wǎng)絡(luò)安全保障的第一道關(guān)卡,是網(wǎng)絡(luò)防御的前沿陣地,但路由器的訪問控制列表也是網(wǎng)絡(luò)安全的重要保障之一,訪問控制列表提供了一種機(jī)制,它可以控制和過濾通過路由器的不同接口去往不同方向的信息流,這種機(jī)制允許用戶全長訪問表來管理信息流,以制定公司內(nèi)部網(wǎng)絡(luò)的相關(guān)策略,這些策略可以描述安全功能,并且反映流量的優(yōu)先級別。路由器上的訪問控制列表ACL是保護(hù)內(nèi)網(wǎng)安全的有效手段,一個設(shè)計良好的訪問控制列表不僅可以超到控制網(wǎng)絡(luò)流量、流向的作用,還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)與外網(wǎng)之間,是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時的重要屏障,所以即使在網(wǎng)絡(luò)系統(tǒng)安全了防火墻產(chǎn)品后,仍然有必要對路由器的訪問控制列表進(jìn)行周密的設(shè)計,來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實(shí)施保護(hù)。在
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 微積分 第3版 課件 5.2 換元積分法
- 外陰腫瘤課件教學(xué)課件
- 地鐵與輕軌 知識點(diǎn)提綱與復(fù)習(xí)資料 同濟(jì)大學(xué)
- 老人扶養(yǎng)協(xié)議書(2篇)
- 南京航空航天大學(xué)《電磁頻譜認(rèn)知智能前沿導(dǎo)論》2023-2024學(xué)年期末試卷
- 南京工業(yè)大學(xué)浦江學(xué)院《線性代數(shù)(理工)》2022-2023學(xué)年第一學(xué)期期末試卷
- 南京工業(yè)大學(xué)浦江學(xué)院《設(shè)計思潮與設(shè)計理念》2023-2024學(xué)年第一學(xué)期期末試卷
- 蹲踞式起跑說課稿初中
- 織金縣城關(guān)鎮(zhèn)楊柳河廉租房A棟(126套)工程施工組織設(shè)計
- 南京工業(yè)大學(xué)浦江學(xué)院《計算機(jī)網(wǎng)絡(luò)基礎(chǔ)》2022-2023學(xué)年期末試卷
- 先進(jìn)制造技術(shù)實(shí)驗(yàn)室
- 實(shí)驗(yàn)室CNAS認(rèn)可準(zhǔn)則(ISO17025:2017)轉(zhuǎn)版全套體系文件(手冊+程序文件+記錄表)2020版
- 公交行業(yè)消防安全培訓(xùn)
- 部編版六年級語文上冊(習(xí)作:圍繞中心意思寫)
- 企業(yè)內(nèi)部知識競賽方案
- 格爾木鹽化(集團(tuán))有限責(zé)任公司察爾汗鹽礦礦山地質(zhì)環(huán)境保護(hù)與土地復(fù)墾方案
- 2023-2024學(xué)年北京版三年級上冊期中模擬檢測數(shù)學(xué)試卷(含答案解析)
- (2024年)高層建筑消防要求
- 英語八年級下冊《Unit 2 Ill help to clean up the city parks》單元課件
- (2024年)財務(wù)報表分析培訓(xùn)講義
- 金融學(xué)專業(yè)大學(xué)生職業(yè)生涯規(guī)劃
評論
0/150
提交評論