企業(yè)網(wǎng)絡(luò)組建

-PAGEII-摘要隨著網(wǎng)絡(luò)技術(shù)新系統(tǒng)、新領(lǐng)域的長足發(fā)展，傳統(tǒng)企業(yè)也正利用其行業(yè)的特點，融合網(wǎng)絡(luò)技術(shù)的優(yōu)勢，發(fā)展自身。在信息化生產(chǎn)逐步普及的今天，組建企業(yè)內(nèi)部網(wǎng)絡(luò)已經(jīng)是企業(yè)必不可少的一部分，建立高速、穩(wěn)定、安全、智能的辦公網(wǎng)，是組建中小型企業(yè)局域網(wǎng)的核心。中小型企業(yè)局域網(wǎng)建設(shè),必須采取“結(jié)構(gòu)化、系統(tǒng)化”思想做指導。一個良好的、規(guī)范的網(wǎng)絡(luò)開發(fā)過程不僅不會成為干擾實際健忘工作的負擔，相反會使設(shè)計的工作更清晰、更加高效和更令人滿意，同時也可以大大減少網(wǎng)絡(luò)開發(fā)成本和提高網(wǎng)絡(luò)工程質(zhì)量。本網(wǎng)絡(luò)設(shè)計定位于公司局域網(wǎng)設(shè)計，因此配置了比較完備的硬件資源。在內(nèi)容選擇上，一方面以對中小型企業(yè)的網(wǎng)絡(luò)拓撲和所需設(shè)備進行了設(shè)計；另一方面用很直觀的網(wǎng)絡(luò)拓撲圖概述了本次畢業(yè)設(shè)計相關(guān)的網(wǎng)絡(luò)安全、網(wǎng)絡(luò)所需設(shè)備以及所實現(xiàn)的網(wǎng)絡(luò)功能和應(yīng)用等。廣東港隆文具有限公司對網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安全要求嚴格。使用業(yè)界流行的核心層—匯聚層—接入層三層結(jié)構(gòu)設(shè)計的公司局域網(wǎng)，結(jié)合廣為使用的通過劃分虛擬局域網(wǎng)（VLAN）隔離不同部門，訪問控制列表（ACL）控制端口進出數(shù)據(jù)包，網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）節(jié)約公有地址、動態(tài)分配IP（DHCP）、熱備份路由(HSRP)等技術(shù)，增強網(wǎng)絡(luò)的穩(wěn)定性和安全性。[關(guān)鍵詞]：局域網(wǎng)網(wǎng)絡(luò)拓撲VLAN網(wǎng)絡(luò)安全系統(tǒng)實施、ACL、NAT目錄摘要 I1概述 11.1課題背景 11.2項目需求 11.3管理需求 22原則網(wǎng)絡(luò)系統(tǒng)設(shè)計 32.1網(wǎng)絡(luò)設(shè)計要求 32.2網(wǎng)絡(luò)設(shè)計原則 32.3企業(yè)網(wǎng)絡(luò)拓撲設(shè)計 32.4IP地址規(guī)劃 33VLAN劃分 63.1

基于端口劃分的VLAN 63.2基于MAC地址劃分VLAN 63.3基于網(wǎng)絡(luò)層劃分VLAN 64網(wǎng)絡(luò)安全 74.1安全需求 74.2防火墻 74.3入侵檢測 75網(wǎng)絡(luò)安全管理 85.1局域網(wǎng)安全控制與病毒防治策略 85.2局域網(wǎng)安全控制策略 85.3病毒防治 96結(jié)論 10參考文獻 10－2原則網(wǎng)絡(luò)系統(tǒng)設(shè)計2.1網(wǎng)絡(luò)設(shè)計要求本網(wǎng)絡(luò)主要進行路由組織、IP地址、網(wǎng)絡(luò)安全、VLAN劃分和設(shè)備具體配置等設(shè)計。企業(yè)局域網(wǎng)是企業(yè)網(wǎng)建設(shè)的基礎(chǔ)，也是本次企業(yè)網(wǎng)絡(luò)系統(tǒng)組建規(guī)劃的主要工作，其他所有的建設(shè)都是建立在此基礎(chǔ)之上的。企業(yè)信息網(wǎng)絡(luò)系統(tǒng)應(yīng)是一個以寬帶IP網(wǎng)為目標，建立數(shù)據(jù)連接為一體化的內(nèi)部辦公網(wǎng)絡(luò)和外部寬帶。網(wǎng)絡(luò)系統(tǒng)應(yīng)實現(xiàn)虛擬局域網(wǎng)（VLAN）的功能，以保證全網(wǎng)的良好性能及網(wǎng)絡(luò)安全性。主干網(wǎng)交換機應(yīng)具有很高的傳輸速度，整個網(wǎng)絡(luò)應(yīng)具有高速的三層交換功能。2.2網(wǎng)絡(luò)設(shè)計原則遵循《中國公眾多媒體通信網(wǎng)技術(shù)體制》、《中國公眾多媒體通信網(wǎng)工程實施技術(shù)要求》、以及其它國家相關(guān)標準和技術(shù)體制。采用層次化設(shè)計，網(wǎng)絡(luò)結(jié)構(gòu)的不同部分有不同的功能，使網(wǎng)絡(luò)具有優(yōu)良的結(jié)構(gòu)。提供有效的安全保密措施，確保整個網(wǎng)絡(luò)的安全。網(wǎng)絡(luò)具有較強的可升級性，在將來需要時可以對網(wǎng)絡(luò)進行必要的擴充。在增加新硬件設(shè)備時能方便地接入網(wǎng)絡(luò)，軟件上便于更新、維護、升級。盡量詳細準確，減低工程的復雜程度，使系統(tǒng)建設(shè)和改造的工作量減至最少，以保證工程的順利和有效完成。2.3企業(yè)網(wǎng)絡(luò)層設(shè)計物理層：物理層是計算機網(wǎng)絡(luò)osi模型中最低的一層。它規(guī)定：為傳輸數(shù)據(jù)所需要的物理鏈路創(chuàng)建，維持，拆除，而提供具有機械的，電子的，功能的和歸范的特性。簡單的說，物理層確保原始的數(shù)據(jù)可在各種物理媒體上傳輸。局域網(wǎng)和廣域網(wǎng)都是第1，2層。物理層雖然是osi的最底層，但是它卻是整個開發(fā)系統(tǒng)的基礎(chǔ)。物理層為設(shè)備之間的數(shù)據(jù)通信提供傳輸媒體及互連設(shè)備，為傳輸數(shù)據(jù)提供可靠環(huán)境。簡單地可把它描述為信號和介質(zhì)。數(shù)據(jù)鏈路層：數(shù)據(jù)鏈路層是osi參考模型中的第二層，介乎于物理層和網(wǎng)絡(luò)層之間。數(shù)據(jù)鏈路層在物理層提供的服務(wù)上向網(wǎng)絡(luò)層提供服務(wù)，其最基本的服務(wù)是將源自網(wǎng)絡(luò)層的數(shù)據(jù)可靠的傳輸?shù)较噜徑Y(jié)點的目標機網(wǎng)絡(luò)層。為完成這一目的，數(shù)據(jù)鏈路必須具備一些相應(yīng)功能，將數(shù)據(jù)組合成數(shù)據(jù)快，我們在數(shù)據(jù)鏈路層中稱這種數(shù)據(jù)為楨，楨是數(shù)據(jù)鏈路層的傳送單位；如何控制楨在物理信道上的傳輸，還有如何處理傳輸差錯，如何調(diào)節(jié)發(fā)送速率以使之與接受方匹配；還有的就是在兩個網(wǎng)絡(luò)實體之間提供數(shù)據(jù)鏈路通路的建立，維持和釋放的管理。網(wǎng)絡(luò)層；它是osi參考模型中的第三層，介于傳輸層和數(shù)據(jù)鏈路層之間，它的數(shù)據(jù)鏈路層提供的兩個相鄰端點之間的數(shù)據(jù)楨的傳輸功能上，更進一步的管理網(wǎng)絡(luò)中的數(shù)據(jù)傳輸通信，將數(shù)據(jù)設(shè)法從源端經(jīng)過若干個中間節(jié)點傳送到目的端，從而向運輸層提供最基本的端到端的數(shù)據(jù)傳輸服務(wù)。主要有：虛電路分組交換和數(shù)據(jù)報分組交換，路由選擇算法，阻塞控制方法，X25協(xié)議，綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)，異步傳輸模式及國際互連原理與實現(xiàn)。網(wǎng)絡(luò)層的目的是實現(xiàn)兩個端系統(tǒng)之間的數(shù)據(jù)透明傳送，其中包括尋址和路由選擇，建立連接，終止和保持等。2.4IP地址規(guī)劃絕大多數(shù)企業(yè)局域網(wǎng)采用TCP/IP協(xié)議，因此IP地址規(guī)劃在組建企業(yè)局域網(wǎng)時至關(guān)重要。在企業(yè)網(wǎng)網(wǎng)絡(luò)規(guī)劃中，好的IP地址方案不僅可以減少網(wǎng)絡(luò)負荷,還能為以后的網(wǎng)絡(luò)擴展打下良好的基礎(chǔ)。IP地址規(guī)劃應(yīng)考慮：唯一性——一個IP網(wǎng)絡(luò)中不能有兩臺主機采用相同的IP地址;連續(xù)性——為同一網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，縮減速路由表的表項，提高路由表的處理效率;可擴充性——為一個網(wǎng)絡(luò)區(qū)域分配的IP應(yīng)有一定的地址冗余，以便于主機數(shù)量增加，保證網(wǎng)絡(luò)的可持續(xù)發(fā)展;簡單性——地址分配簡單，避免在主干上采用復雜的掩碼方式;安全性——公司網(wǎng)絡(luò)內(nèi)可按不同的部門劃分不同的網(wǎng)段，以便進行管理。公司申請了一個B類公網(wǎng)IP：以下表格為本設(shè)計方案的網(wǎng)絡(luò)地址規(guī)劃：設(shè)備IP地址分配表和部門IP地址分配表有6個部門，2的n次≥6，所以n的最小值為3。需要3位來劃分子網(wǎng)。將用二進制表示11000000101010000000000000000000借三位后劃分6個子網(wǎng)掩碼1100000010101000001000000000000011000000101010000100000000000000110000001010100001100000000000001100000010101000100000000000000011000000101010001010000000000000110000001010100011000000000000003VLAN劃分3.1

基于端口劃分的VLAN

這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機的端口來劃分，比如我們可以把交換機的1~8端口為VLAN

４，９~15為VLAN

11，16~24為VLAN22，當然，這些屬于同一VLAN的端口可以不連續(xù)，如何配置，我們可以單獨配置。根據(jù)端口劃分是目前定義VLAN的最廣泛的方法，IEEE802.1Q規(guī)定了依據(jù)以太網(wǎng)交換機的端口來劃分VLAN的國際標準。這種劃分的方法的優(yōu)點是定義VLAN成員時非常簡單，只要將所有的端口都定義一下就可以了。它的缺點是如果VLAN

A的用戶離開了原來的端口，到了一個新的交換機的某個端口，那么就必須重新定義。

3.2基于MAC地址劃分VLAN

基于MAC地址的VLAN分配方案確實可使某些移動、添加和更改操作自動化。如果用戶根據(jù)MAC地址被分配到一個VLAN或多個VLAN，他們的計算機可以連接交換網(wǎng)絡(luò)的任何一個端口，所有通信量均能正確無誤地到達目的地。顯然，管理員要進行VLAN初始分配，但用戶移動到不同的物理連接不需要在管理控制臺進行人工干預；例如有很多移動用戶的站，他們并非總是連接同一端口，或許因為辦公室都是臨時性的，采用基于MAC地址的VLAN可避免很多麻煩。

3.3基于網(wǎng)絡(luò)層劃分VLAN

這種劃分VLAN的方法是根據(jù)每個主機的網(wǎng)絡(luò)層地址或協(xié)議類型(如果支持多協(xié)議)劃分的，雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址，它查看每個數(shù)據(jù)包的IP地址，但由于不是路由，所以，沒有RIP，OSPF等路由協(xié)議，這樣可以減少網(wǎng)絡(luò)的通信量。但這種方法效率低，因為檢查每一個數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時間的。4網(wǎng)絡(luò)安全4.1安全需求可用性：

授權(quán)實體有權(quán)訪問數(shù)據(jù)。

機密性：

信息不暴露給未授權(quán)實體或進程。

完整性：

保證數(shù)據(jù)不被未授權(quán)修改。

可控性：

控制授權(quán)范圍內(nèi)的信息流向及操作方式。

可審查性：對出現(xiàn)的安全問題提供依據(jù)與手段。

訪問控制：需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離，對與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機、所交換的數(shù)據(jù)進行嚴格的訪問控制。同樣，對內(nèi)部網(wǎng)絡(luò)，由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，也需要使用防火墻將不同的LAN或網(wǎng)段進行隔離，并實現(xiàn)相互的訪問控制。

數(shù)據(jù)加密：數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲過程中防止非法竊取、篡改信息的有效運用多種技術(shù)，如VLAN、防病毒體系等，對各個部門、系所訪問進行控制，各單位之間在未授權(quán)的情況下不能互相訪問，保證系統(tǒng)內(nèi)部的安全。內(nèi)網(wǎng)對安全的需求包括VLAN設(shè)置需求、防病毒系統(tǒng)需求、網(wǎng)絡(luò)管理需求和網(wǎng)絡(luò)系統(tǒng)管理等。4.2防火墻在與Internet相連的每一臺電腦上都裝上防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。在防火墻設(shè)置上按照以下原則配置來提高網(wǎng)絡(luò)安全性:

(1)根據(jù)校園網(wǎng)安全策略和安全目標，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則.

(2）禁止訪問系統(tǒng)級別的服務(wù)(

如HTTP

,

FTP等)。局域網(wǎng)內(nèi)部的機器只允許訪問文件、打印機共享服務(wù)。使用動態(tài)規(guī)則管理，允許授權(quán)運行的程序開放的端口服務(wù)，比如網(wǎng)絡(luò)游戲或者視頻語音電話軟件提供的服務(wù)。

4.3入侵檢測入侵檢測系統(tǒng)是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊。擴展系統(tǒng)管理員的安全管理能力．提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測系統(tǒng)能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并記錄有關(guān)事件。入侵檢測系統(tǒng)還可以發(fā)出實時報警，使網(wǎng)絡(luò)管理員能夠及時采取應(yīng)對措施。5網(wǎng)絡(luò)安全管理5.1局域網(wǎng)安全控制與病毒防治策略要確保信息安全工作的順利進行，必須注重把每個環(huán)節(jié)落實到每個層次上，而進行這種具體操作的是人，人正是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)，然而這個環(huán)節(jié)的加固又是見效最快的。所以必須加強對使用網(wǎng)絡(luò)的人員的管理，注意管理方式和實現(xiàn)方法。從而加強工作人員的安全培訓。增強內(nèi)部人員的安全防范意識，提高內(nèi)部管理人員整體素質(zhì)。同時要加強法制建設(shè)，進一步完善關(guān)于網(wǎng)絡(luò)安全的法律，以便更有利地打擊不法分子。對局域網(wǎng)內(nèi)部人員，從下面幾方面進行培訓：(1)加強安全意識培訓，讓每個工作人員明白數(shù)據(jù)信息安全的重要性，理解保證數(shù)據(jù)信息安全是所有計算機使用者共同的責任。(2)加強安全知識培訓，使每個計算機使用者掌握一定的安全知識，至少能夠掌握如何備份本地的數(shù)據(jù)，保證本地數(shù)據(jù)信息的安全可靠。(3)加強網(wǎng)絡(luò)知識培訓，通過培訓掌握一定的網(wǎng)絡(luò)知識，能夠掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識，樹立良好的計算機使用習慣。5.2局域網(wǎng)安全控制策略安全管理保護網(wǎng)絡(luò)用戶資源與設(shè)備以及網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授權(quán)的用戶訪問。目前網(wǎng)絡(luò)管理工作量最大的部分是客戶端安全部分，對網(wǎng)絡(luò)的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網(wǎng)絡(luò)內(nèi)部的安全問題，才可以排除網(wǎng)絡(luò)中最大的安全隱患，對于內(nèi)部網(wǎng)絡(luò)終端安全管理主要從終端狀態(tài)、行為、事件三個方面進行防御。利用現(xiàn)有的安全管理軟件加強對以上三個方面的管理是當前解決局域網(wǎng)安全的關(guān)鍵所在。(1)利用桌面管理系統(tǒng)控制用戶入網(wǎng)。(2)采用防火墻技術(shù)。采用防火墻技術(shù)發(fā)現(xiàn)及封阻應(yīng)用攻擊所采用的技術(shù)有：①深度數(shù)據(jù)包處理。②IP/URL過濾。②TCP/IP終止。④訪問網(wǎng)絡(luò)進程跟蹤。(3)屬性安全控制。5.3病毒防治病毒的侵入必將對系統(tǒng)資源構(gòu)成威脅，影響系統(tǒng)的正常運行。特別是通過網(wǎng)絡(luò)傳播的計算機病毒，能在很短的時間內(nèi)使整個計算機網(wǎng)絡(luò)處于癱瘓狀態(tài)，從而造成巨大的損失。因此，防止病毒的侵入要比發(fā)現(xiàn)和消除病毒更重要。防毒的重點是控制病毒的傳染。防毒的關(guān)鍵是對病毒行為的判斷，如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的，主要從以下幾個方面制定有針對性的防病毒策略：(1)增加安全意識和安全知識，對工作人員定期培訓。首先明確病毒的危害，文件共享的時候盡量控制權(quán)限和增加密碼，對來歷不明的文件運行前進行查殺等，都可以很好地防止病毒在網(wǎng)絡(luò)中的傳播。這些措施對杜絕病毒，主觀能動性起到很重要的作用。(2)小心使用移動存儲設(shè)備。在使用移動存儲設(shè)備之前進行病毒的掃描和查殺，也可把病毒拒絕在外。(3)挑選網(wǎng)絡(luò)版殺毒軟件。一般而言，查殺是否徹底，界面是否友好、方便，能否實現(xiàn)遠程控制、集中管理是決定一個網(wǎng)絡(luò)殺毒軟件的三大要素。通過以上策略的設(shè)置，能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)運行中存在的問題，快速有效的定位網(wǎng)絡(luò)中病毒、蠕蟲等網(wǎng)絡(luò)安全威脅的切入點，及時、準確的切斷安全事件發(fā)生點和網(wǎng)絡(luò)。局域網(wǎng)安全控制與病毒防治是一項長期而艱巨的任務(wù)，需要不斷的探索。隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展計算機病毒形式及傳播途徑日趨多樣化，安全問題日益復雜化，網(wǎng)絡(luò)安全建設(shè)已不再像單臺計算安全防護那樣簡單。計算機網(wǎng)絡(luò)安全需要建立多層次的、立體的防護體系，要具備完善的管理系統(tǒng)來設(shè)置和維護對安全的防護策略。6結(jié)論本網(wǎng)絡(luò)設(shè)計從企業(yè)網(wǎng)的建設(shè)思想、目標、可以選用的網(wǎng)絡(luò)技術(shù)以及網(wǎng)絡(luò)設(shè)備的介紹和選擇等多方面進行論述，在此之前我們所學的都是一些關(guān)于網(wǎng)絡(luò)方面的理論知識，很少用于實踐中去，通過此次對該企業(yè)網(wǎng)的組建規(guī)劃，是對網(wǎng)絡(luò)理論知識的又一次系統(tǒng)的學習，也是一次更完整的學習。在設(shè)計期間我學到了很多實際應(yīng)用的知識，。在以后的規(guī)劃中以建立網(wǎng)絡(luò)教學，辦公為目標，從經(jīng)濟性、實用性、擴展性的原則來設(shè)計網(wǎng)絡(luò)。整個規(guī)劃基本做到量體設(shè)計，并且對以后的網(wǎng)絡(luò)擴展