畢業(yè)設(shè)計論文企業(yè)局域網(wǎng)設(shè)計

摘要網(wǎng)絡(luò)技術(shù)高速發(fā)展的今天，公司網(wǎng)絡(luò)的優(yōu)劣已經(jīng)成為衡量公司競爭力的原則之一。針對證劵行業(yè)的特點，本文介紹了一種行業(yè)專業(yè)網(wǎng)絡(luò)的整體設(shè)計方案。充足考慮到網(wǎng)絡(luò)的負(fù)載均衡和穩(wěn)定性能，因此本方案采用三層網(wǎng)絡(luò)構(gòu)造。其中，匯聚層采用兩臺設(shè)備，配備CiscoHSRP合同進行雙機熱備份。路由合同則選擇安全性高、收斂速度快的OSPF合同。其中用到的路由交換合同尚有支持VLAN間數(shù)據(jù)傳輸?shù)腣TP合同。我們采用Cisco交換機帶寬聚合技術(shù)將多條物理線路捆綁為一條邏輯鏈路，使其有更高帶寬。服務(wù)器群組則重點介紹了FTP、郵件服務(wù)器及WEB服務(wù)器等公司中較慣用到的服務(wù)器的軟件選擇及搭建辦法。對于網(wǎng)絡(luò)中可能存在的安全威脅，針對不同的需求，方案中提出了VLAN技術(shù)、訪問控制列表、防火墻技術(shù)以及VPN等安全解決方案，以求構(gòu)建一種安全、高效、可靠的公司網(wǎng)絡(luò)。核心詞：網(wǎng)絡(luò)層次化，熱備份，虛擬局域網(wǎng)，控制列表，防火墻目錄第1章需求分析 11.1項目背景 11.2設(shè)計目的 11.3顧客現(xiàn)實需求 2第2章網(wǎng)絡(luò)整體設(shè)計 32.1網(wǎng)絡(luò)拓?fù)?32.2網(wǎng)絡(luò)層次化設(shè)計 32.2.1核心層設(shè)計 42.2.2匯聚層設(shè)計 52.2.3接入層設(shè)計 62.2.4路由合同選擇 72.3VLAN的劃分及IP地址規(guī)劃 82.4服務(wù)器群組 92.4.1FTP服務(wù) 92.4.2DHCP服務(wù)器 102.4.3郵件服務(wù)器 102.4.4web服務(wù)器 12第3章安全方略 133.1網(wǎng)絡(luò)威脅因素分析 133.2安全規(guī)定 133.3安全產(chǎn)品選型原則 143.4安全方略布署 143.4.1VLAN技術(shù) 143.4.2訪問控制列表 153.4.3防火墻 173.4.4VPN 19第五章方案實現(xiàn)成果分析 20第4章總結(jié)與展望 21致謝 22參考文獻(xiàn) 23前言信息化浪潮風(fēng)起云涌的今天，公司的業(yè)務(wù)已經(jīng)全方面電子化，與Internet的聯(lián)系相稱緊密，因此他們需要良好的信息平臺去支撐業(yè)務(wù)的高速發(fā)展。沒有信息技術(shù)背景的公司也將會對網(wǎng)絡(luò)建設(shè)有主動訴求。任何決策的科學(xué)性和可靠性都是以信息為基礎(chǔ)的，信息和決策是同一管理過程中的兩個方面，因此行業(yè)信息化也就成了人們所討論并實踐著的重要課題。公司內(nèi)部網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提高公司核心競爭力的核心因素。公司網(wǎng)已經(jīng)越來越多地被人們提到，運用網(wǎng)絡(luò)技術(shù)，當(dāng)代公司能夠在客戶、合作伙伴、員工之間實現(xiàn)優(yōu)化的信息溝通，公司網(wǎng)絡(luò)的優(yōu)劣直接關(guān)系到公司能否獲得核心的競爭優(yōu)勢。眾多行業(yè)巨擘紛紛上馬多個應(yīng)用方案且獲得了巨大的成功，這使信息化建設(shè)更具吸引力。信息技術(shù)自誕生之日起，就對證劵行業(yè)產(chǎn)生了深遠(yuǎn)的影響，特別是上世紀(jì)90年代以來，隨著金融服務(wù)業(yè)全球化和競爭日益激烈,促使證劵公司加緊運用多個新的信息技術(shù)手段來提高公司管理水平,能夠說金融業(yè)已經(jīng)成為信息技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展的最大收益者之一。網(wǎng)絡(luò)技術(shù)的發(fā)展，讓網(wǎng)上交易快速普及，網(wǎng)上交易有助于證劵公司提高工作效率，減少出錯率，也方便證劵公司對客戶的管理。即使大多數(shù)公司已經(jīng)把互聯(lián)網(wǎng)戰(zhàn)略納入公司經(jīng)營發(fā)展戰(zhàn)略中，但是網(wǎng)絡(luò)黑客攻擊、計算機病毒干擾、數(shù)據(jù)傳輸過程中的泄露等不安全因素，任然讓諸多公司對公司網(wǎng)絡(luò)化猶豫不定。證劵公司的特點是數(shù)據(jù)傳輸量大，且數(shù)據(jù)機密度高，因此證劵業(yè)網(wǎng)絡(luò)就規(guī)定高效、穩(wěn)定和安全，合理的網(wǎng)絡(luò)構(gòu)造設(shè)計能至關(guān)重要。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和網(wǎng)上應(yīng)用量的增加，分布式的網(wǎng)絡(luò)服務(wù)和交換已經(jīng)移至顧客級，由此形成了一種新的，更適應(yīng)當(dāng)代的高速大型網(wǎng)絡(luò)分層設(shè)計模型“多層次設(shè)計”。多層次設(shè)計師模塊化的，它在后來網(wǎng)絡(luò)擴展、負(fù)載均衡、故障排除方面很有效。而現(xiàn)在強大的防火墻技術(shù)和多個各樣的安全方略被應(yīng)用到公司網(wǎng)絡(luò)中，安全得到了保障，那么網(wǎng)路對于 公司的發(fā)展就真正起到了推動的作用。第1章需求分析1.1項目背景XX證劵是一家剛剛成立的證劵公司，公司有資產(chǎn)管理部、財務(wù)部、人力資源部、后勤部、經(jīng)理室（管理部門）和營業(yè)部6個部門，6個部門分布在兩個樓層。后來公司在外地還要開設(shè)分支機構(gòu)，而這里作為公司總部，中心機房也設(shè)在此處。公司的網(wǎng)絡(luò)系統(tǒng)要滿足公司日常辦公電子化，各部門信息共享，日常證劵交易，且作為證劵公司，某些投資機密需要很高的保密度，因此公司網(wǎng)絡(luò)要有很高的可靠性和安全性?？紤]的后來公司的擴張，因此網(wǎng)絡(luò)系統(tǒng)要有可擴展性。1.2設(shè)計目的設(shè)計一種公司的網(wǎng)絡(luò)，首先要擬定顧客對網(wǎng)絡(luò)的真正需求，并在結(jié)合將來可能的發(fā)展規(guī)定的基礎(chǔ)上選擇、設(shè)計適宜的網(wǎng)絡(luò)構(gòu)造和網(wǎng)絡(luò)技術(shù)，提供顧客滿意的高質(zhì)服務(wù)。還要注意到由于邏輯上業(yè)務(wù)網(wǎng)和管理網(wǎng)必須分開，因此建成后公司網(wǎng)應(yīng)能提供多個網(wǎng)段的劃分和隔離，并能做到靈活變化配備，以適應(yīng)公司辦公環(huán)境的調(diào)節(jié)和變化，即VLAN的整體劃分。考慮到證劵行業(yè)數(shù)據(jù)的重要性、保密性，為了確保多想證劵業(yè)務(wù)的順利進行，確保網(wǎng)絡(luò)的不間斷運行，網(wǎng)絡(luò)平臺應(yīng)含有下列某些特點：（1）高可靠性——網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運行的核心確保，在設(shè)計中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份方略，確保網(wǎng)絡(luò)含有故障自愈的能力，最大程度地支持各個系統(tǒng)的正常運行。（2）技術(shù)先進性和實用性——確保滿足證券交易系統(tǒng)業(yè)務(wù)的同時，又要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進性。在網(wǎng)絡(luò)設(shè)計中要把先進的技術(shù)與現(xiàn)有的成熟技術(shù)和原則結(jié)合起來，充足考慮到證券公司網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和將來發(fā)展趨勢。（3）高性能——承載網(wǎng)絡(luò)性能是網(wǎng)絡(luò)通訊系統(tǒng)良好運行的基礎(chǔ)，設(shè)計中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，確保多個信息（數(shù)據(jù)、語音、圖象）的高質(zhì)量傳輸，才干使網(wǎng)絡(luò)不成為證券公司各項業(yè)務(wù)開展的瓶頸。（4）原則開放性——支持國際上通用原則的網(wǎng)絡(luò)合同、國際原則的大型的動態(tài)路由合同等開放合同，有助于確保與其它網(wǎng)絡(luò)(如公共數(shù)據(jù)網(wǎng)、金融網(wǎng)絡(luò)、行內(nèi)其它網(wǎng)絡(luò))之間的平滑連接互通，以及將來網(wǎng)絡(luò)的擴展。（5）靈活性及可擴展性——根據(jù)將來業(yè)務(wù)的增加和變化，網(wǎng)絡(luò)能夠平滑地擴充和升級，減少最大程度的減少對網(wǎng)絡(luò)架構(gòu)和設(shè)備的調(diào)節(jié)。（6）可管理性——對網(wǎng)絡(luò)實施集中監(jiān)測、分權(quán)管理，并統(tǒng)一分派帶寬資源。選用先進的網(wǎng)絡(luò)管理平臺，含有對設(shè)備、端口等的管理、流量統(tǒng)計分析，及可提供故障自動報警。（7）安全性——制訂統(tǒng)一的骨干網(wǎng)安全方略，整體考慮網(wǎng)絡(luò)平臺的安全性。1.3顧客現(xiàn)實需求（1）實現(xiàn)公司內(nèi)部資源共享，即文獻(xiàn)服務(wù)器，但是對不同的資源要有對應(yīng)的權(quán)限。（2）滿足公司日常證劵交易，交易數(shù)據(jù)的傳輸和存儲。（3）公司各部能夠通過即時通信軟件聯(lián)系，建立公司郵件服務(wù)器。（4）打印機共享（5）公司內(nèi)部要網(wǎng)絡(luò)接入Internet（6）架設(shè)公司web服務(wù)器，公布公司網(wǎng)站（7）為確保安全，Internet與公司內(nèi)部網(wǎng)絡(luò)間應(yīng)采用防護方法，避免外界對內(nèi)部網(wǎng)絡(luò)未經(jīng)授權(quán)的訪問。第2章網(wǎng)絡(luò)整體設(shè)計2.1網(wǎng)絡(luò)拓?fù)溆嬎銠C網(wǎng)絡(luò)的構(gòu)成元素能夠分為兩大類，即網(wǎng)絡(luò)節(jié)點（又可分為端節(jié)點和轉(zhuǎn)發(fā)節(jié)點）和通信鏈路，網(wǎng)絡(luò)中節(jié)點的互聯(lián)模式叫網(wǎng)絡(luò)的網(wǎng)絡(luò)的拓?fù)錁?gòu)造。網(wǎng)絡(luò)拓?fù)涠x了網(wǎng)絡(luò)中資源的連接方式，局域網(wǎng)中慣用的拓?fù)錁?gòu)造有：總線型構(gòu)造、環(huán)形構(gòu)造、星型構(gòu)造。由于XX證劵公司總部網(wǎng)絡(luò)站點不是特別的多，并且聯(lián)網(wǎng)的站點相對集中，因此我們采用星型的網(wǎng)絡(luò)拓?fù)洹Ｐ切屯負(fù)錁?gòu)造是由通過點到點鏈路接到中央節(jié)點的各站點構(gòu)成的。星型網(wǎng)絡(luò)中有一種唯一的轉(zhuǎn)發(fā)節(jié)點（中央節(jié)點），每一臺計算機都通過單獨的通信線路連接到中央節(jié)點。在星型拓?fù)渲羞\用中央結(jié)點可方便地提供服務(wù)和重新配備網(wǎng)絡(luò)；單個連接點故障只會影響故障點連接的一種設(shè)備，不會影響全網(wǎng)，容易檢測隔離故障、便于維護；任何一種連接只涉及到中央結(jié)點和一種站點，控制介質(zhì)訪問的辦法很簡樸、從而訪問合同也十分簡樸。2.2網(wǎng)絡(luò)層次化設(shè)計網(wǎng)絡(luò)的設(shè)計模型重要涉及層次化設(shè)計模型和非層次化設(shè)計模型兩種。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和網(wǎng)上應(yīng)用量的增加，非層次化的網(wǎng)絡(luò)設(shè)計已經(jīng)不適合當(dāng)今公司的網(wǎng)絡(luò)應(yīng)用，由于非層次化網(wǎng)絡(luò)沒有適宜的規(guī)劃，網(wǎng)絡(luò)最后會發(fā)展成為非構(gòu)造的形式，這樣當(dāng)網(wǎng)絡(luò)設(shè)備之間互相通信時，設(shè)備上的CPU必然會承受相稱大的負(fù)載，不利于網(wǎng)絡(luò)的運行和發(fā)展，當(dāng)大量的數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時，容易引發(fā)線路擁堵甚至網(wǎng)絡(luò)的癱瘓。因此我們選擇層次化的網(wǎng)絡(luò)設(shè)計。多層設(shè)計師模塊化的，網(wǎng)絡(luò)容量可隨著后來網(wǎng)絡(luò)節(jié)點的增加而不停增大。多層次網(wǎng)絡(luò)有很大的擬定性，因此在運行和擴展過程中進行故障查找和排出非常簡樸。多層模式使網(wǎng)絡(luò)的移植更為簡樸易行，由于它保存看基于路由器和交換機的網(wǎng)絡(luò)原有的尋址方案，對以往的網(wǎng)絡(luò)有較好的兼容性。另外分層構(gòu)造也能夠?qū)W(wǎng)絡(luò)的故障進行較好的隔離。針對實際狀況我們采用三層構(gòu)造模型，即核心層、分布層、接入層。每個層次有不同的功效。核心層作為整個網(wǎng)絡(luò)系統(tǒng)的核心，起重要功效是高速、可靠的進行數(shù)據(jù)交換。分布層重要進行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進行訪問控制。接入層重要提供最后顧客接入網(wǎng)絡(luò)的途徑。重要進行VLAN的換分、與分布層的連接等。2.2.1核心層設(shè)計核心層作為整個網(wǎng)絡(luò)系統(tǒng)的核心，其重要功效是高速、可靠的進行數(shù)據(jù)交換。核心交換區(qū)的作用是盡快地提供全部的區(qū)域間的數(shù)據(jù)交換。因此推薦使用兩臺CiscoCatalyst4506E交換機完畢此項功效。Cisco4506交換機高性能、高可靠性、高可用性是我們重要考慮的因素。本區(qū)的安全性能夠由邊界防火墻提供，如果有需要，還能夠在4506上面布署安全方略，使得核心交換區(qū)的安全性進一步地增強。CiscoCatalyst4500系列憑借眾多智能服務(wù)將控制擴展到網(wǎng)絡(luò)邊沿，其中涉及先進的服務(wù)質(zhì)量(QoS)、可預(yù)測性能、高級安全性和全方面的管理。它提供帶集成永續(xù)性的杰出控制，將永續(xù)性集成到硬件和軟件中，縮短了網(wǎng)絡(luò)停運時間。CiscoCatalyst4500系列的模塊化架構(gòu)、介質(zhì)靈活性和可擴展性減少了重復(fù)運行開支，提高了投資回報（ROI），從而在延長布署壽命的同時減少了擁有成本。方案中Catalyst4506交換機配備了一塊WS-X4515引擎(SupervisorIV),Catalyst4500SupervisorIV引擎用于CiscoCatalyst4506交換機機箱，是一款64Gbps、4800萬分組/秒(48mpps)的第二到四層交換引擎，直接在管理引擎面板上配備了2個線速GBIC端口。當(dāng)布署了Catalyst4500系列SupervisorIV時，這些附加端口可將Catalyst4506的最大密度擴展到240個端口。添加了這款新管理引擎后，Catalyst4506可為中型公司提供價格合理、易于使用的可擴展性、創(chuàng)新安全性、集成可靠性和靈活性。2.2.2匯聚層設(shè)計匯聚層重要進行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進行訪問控制。涉及訪問控制列表、VLAN路由等等。推薦采用兩臺CiscoWS-C3750G-12S-E作為匯聚交換機。兩臺CiscoWS-C3750G-12S-E做雙機熱備，采用Cisco專有熱備份合同技術(shù)（HSRP），根據(jù)需求配備成多組HSRP。這樣設(shè)計部但不僅確保網(wǎng)絡(luò)的高可用性和穩(wěn)定性，還能避免單臺核心設(shè)備的負(fù)載太重造成網(wǎng)絡(luò)性能問題。CiscoCatalyst3750系列交換機是一種創(chuàng)新的產(chǎn)品系列，它結(jié)合業(yè)界領(lǐng)先的易用性和最高的冗余性，里程碑地提高了堆疊式交換機在局域網(wǎng)中的工作效率。這個新的產(chǎn)品系列采用了最新的思StackWise技術(shù)，不僅實現(xiàn)高達(dá)32Gbps的堆疊互聯(lián)，還從物理上到邏輯上使若干獨立交換機在堆疊時集成在一起，便于顧客建立一種統(tǒng)一、高度靈活的交換系統(tǒng)--就仿佛是一整臺交換機同樣。這代表了堆疊式交換機新的工業(yè)技術(shù)水平和原則。對于中型公司網(wǎng)絡(luò)來說，CiscoCatalyst3750系列通過提供配備靈活性、支持融合網(wǎng)絡(luò)模式及自動進行智能網(wǎng)絡(luò)服務(wù)配備，簡化了融合應(yīng)用的布署，并可針對不停變化的業(yè)務(wù)需求進行調(diào)節(jié)。另外，CiscoCatalyst3750系列針對高密度千兆位以太網(wǎng)布署進行了優(yōu)化，涉及多個交換機，以滿足接入、匯聚或小型網(wǎng)絡(luò)骨干連接需求。CiscoCatalyst3750G-12S提供12個千兆位以太網(wǎng)SFP端口用于連接數(shù)據(jù)中心和辦公樓的接入層交換機和中心核心機房的Catalyst4506交換機。GEC或FEC（GigabitEthernetChannel/FastEthernetChannel）稱為Cisco交換機帶寬聚合技術(shù)，它用于千兆或百兆以太網(wǎng)端口。在兩臺Cisco交換機互連時，運用GEC/FEC技術(shù)，能夠?qū)?條或多條物理鏈路捆綁成為一條更高帶寬的邏輯鏈路，在本方案中，CiscoWS-C3750G-12S-E之間用兩條千兆光纖相連，運用GEC技術(shù)，我們能夠得到一條全雙工4G帶寬的鏈路。這樣不僅能夠提高交換機之間的互連帶寬，更重要的是能夠在多條物理鏈路間提供容錯，使得任意一條線路斷掉不影響交換機之間的暢通。Etherchannel基本配備命令：Switch(config)#interfacePort-channel1Switch(config)#switchporttrunkencapsulationdot1qSwitch(config)#switchportmodetrunkSwitch(config)#interfacerange[interface-number]Switch(config-if-range)#channel-group[group-id]modeonSwitch(config-if-range)#exitHSRP基本配備命令：Switch(config)#interfacevlan[vlan-number]Switch(config-if)#ipaddress[ip-address][]Switch(config-if)#standby[vlan-id]ip[ip-address]Switch(config-if)#standby10priority105Switch(config-if)#standby10preemptSwitch(config-if)#standby10track[interface-id]Switch(config-if)#exit2.2.3接入層設(shè)計接入層重要提供最后顧客接入網(wǎng)絡(luò)的途徑。重要是進行VLAN的劃分、與分布層的連接等等。建議接入層交換機采用思科的2960系列智能以太網(wǎng)交換機以千兆以太鏈路和匯聚交換機相連接，并為顧客終端提供10/100M自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層構(gòu)造。辦公系統(tǒng)所需的多個服務(wù)器如FTP服務(wù)器、郵件服務(wù)器、DHCP服務(wù)器等構(gòu)成服務(wù)器群，連接到匯聚交換機的千兆模塊上面,因此，內(nèi)部的局域網(wǎng)采用三層構(gòu)造組建。CiscoCatalyst2960系列智能以太網(wǎng)交換機是一種全新的、固定配備的獨立設(shè)備系列，提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，可為入門級公司、中型市場和分支機構(gòu)網(wǎng)絡(luò)提供增強LAN服務(wù)。Catalyst2960系列含有集成安全特性，涉及網(wǎng)絡(luò)準(zhǔn)入控制(NAC)、高級服務(wù)質(zhì)量(QoS)和永續(xù)性，可為網(wǎng)絡(luò)邊沿提供智能服務(wù)。憑借CiscoCatalyst2960系列提供的廣泛安全特性，公司可保護重要信息，避免未授權(quán)人員接入網(wǎng)絡(luò)，確保私密性及維持不間斷運行。網(wǎng)絡(luò)總體拓?fù)淙鐖D2.1所示：圖2.1整體網(wǎng)絡(luò)拓?fù)鋱D圖2.1整體網(wǎng)絡(luò)拓?fù)鋱D2.2.4路由合同選擇為達(dá)成路由快速收斂、尋址以及方便網(wǎng)絡(luò)管理員管理的目的，我們采用動態(tài)路由合同，現(xiàn)在較好的動態(tài)路由合同是OSPF合同和EIGRP合同，OSPF以合同原則化強，支持廠家多，受到廣泛應(yīng)用，而EIGRP合同由Cisco公司發(fā)明，只有Cisco公司自己的產(chǎn)品支持，屬于私有性質(zhì)，其它廠商設(shè)備是不支持的?？紤]網(wǎng)絡(luò)的擴展性、數(shù)據(jù)資源的保護等因素，我們選擇OSPF路由合同。OSPF合同采用鏈路狀態(tài)合同算法，每個路由器維護一種相似的鏈路狀態(tài)數(shù)據(jù)庫，保存整個AS的拓?fù)錁?gòu)造（AS不劃分狀況下）。一旦每個路由器有了完整的鏈路狀態(tài)數(shù)據(jù)庫，該路由器就能夠自己為根，構(gòu)造最短途徑樹，然后再根據(jù)最短途徑構(gòu)造路由表。對于大型的網(wǎng)絡(luò)，為了進一步減少路由合同通信流量，利于管理和計算。OSPF將整個AS劃分為若干個區(qū)域，區(qū)域內(nèi)的路由器維護一種相似的鏈路狀態(tài)數(shù)據(jù)庫，保存該區(qū)域的拓?fù)錁?gòu)造。OSPF路由器互相間交換信息，但交換的信息不是路由，而是鏈路狀態(tài)。OSPF定義了5種分組：Hello分組用于建立和維護連接；數(shù)據(jù)庫描述分組初始化路由器的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫；當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫中的某部分信息已通過時后，路由器發(fā)送鏈路狀態(tài)請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來主動擴散自己的鏈路狀態(tài)數(shù)據(jù)庫或?qū)︽溌窢顟B(tài)請求分組進行響應(yīng)；由于OSPF直接運行在IP層，合同本身要提供確認(rèn)機制，鏈路狀態(tài)應(yīng)答分組是對鏈路狀態(tài)更新分組進行確認(rèn)。相對于其它合同，OSPF有許多優(yōu)點。OSPF支持多個不同鑒別機制（如簡樸口令驗證，MD5加密驗證等），并且允許各個系統(tǒng)或區(qū)域采用互不相似的鑒別機制；提供負(fù)載均衡功效，如果計算出到某個目的站有若干條費用相似的路由，OSPF路由器會把通信流量均勻地分派給這幾條路由，沿這幾條路由把該分組發(fā)送出去；在一種自治系統(tǒng)內(nèi)可劃分出若干個區(qū)域，每個區(qū)域根據(jù)自己的拓?fù)錁?gòu)造計算最短途徑，這減少了OSPF路由實現(xiàn)的工作量；OSPF屬動態(tài)的自適應(yīng)合同，對于網(wǎng)絡(luò)的拓?fù)錁?gòu)造變化能夠快速地做出反映，進行對應(yīng)調(diào)節(jié)，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由合同相比，OSPF在對網(wǎng)絡(luò)拓?fù)渥兓慕鉀Q過程中僅需要最少的通信流量；OSPF提供點到多點接口，支持CIDR（無類型域間路由）地址。公司現(xiàn)有網(wǎng)絡(luò)規(guī)劃為area0，內(nèi)部網(wǎng)絡(luò)設(shè)備都規(guī)劃為area0。后期若有分支機構(gòu)各區(qū)域接入路由器根據(jù)區(qū)域不同使用動態(tài)合同，或者使用靜態(tài)路由與動態(tài)路由結(jié)合的方式。2.3VLAN的劃分及IP地址規(guī)劃VLAN的劃分普通有三種辦法，一是基于端口、二是基于MAC地址、最后是基于路由的劃分。在這里我們采用基于端口的劃分，把一種或者多個交換機上的端口放到一種VLAN內(nèi)，這個辦法是最簡樸最有效的，網(wǎng)絡(luò)管理人員只需要對網(wǎng)絡(luò)設(shè)備的交換端口進行分派即可，不用考慮端口所連接的設(shè)備。IP地址是TCP/IP合同族中的網(wǎng)絡(luò)層邏輯地址，它被用來唯一地標(biāo)示網(wǎng)絡(luò)中的一種節(jié)點。IP地址空間的分派，要與網(wǎng)絡(luò)層次構(gòu)造相適應(yīng)，既要有效的運用地址空間，又要體現(xiàn)網(wǎng)絡(luò)的可擴展性和靈活性，同時能滿足路由合同的規(guī)定，提高路由算法的效率，加緊路由變化的收斂速度。表2.1ip地址分派表根據(jù)公司狀況，每個部門劃分為一種VLAN，各部門分別屬于不同的網(wǎng)段，各部門之間在邏輯上被隔離，但是各部門間的通訊，可根據(jù)需要對匯聚層交換機進行配備來實現(xiàn)。表2.1ip地址分派表部門VLAN網(wǎng)段網(wǎng)關(guān)子網(wǎng)掩碼資產(chǎn)管理部5/3255營業(yè)廳4/3255財務(wù)部3/3255經(jīng)理室2/3255人力資源部6/3255后勤部7/3255服務(wù)器群組6/32ip地址配備命令：Switch(config)#[interface]/*打開端口*/Switch(config-if)#noswitchportSwitch(config-if)#ipaddress[ip-add][subnet-mask]/*配備ip地址*/Switch(config-if)#noshutdown/*關(guān)閉端口*/默認(rèn)網(wǎng)關(guān)命令:Ipdefault-gateway[ip-add]2.4服務(wù)器群組2.4.1FTP服務(wù)FTP的全稱是FileTransferProtocol(文獻(xiàn)傳輸合同)。顧名思義，就是專門用來傳輸文獻(xiàn)的合同。證劵公司的FTP服務(wù)重要是針對公司內(nèi)部某些日常辦公資料、軟件的共享而設(shè)立的，相稱于一種信息系統(tǒng)的大倉庫，僅公司內(nèi)部PC機能夠訪問。FTP服務(wù)器操作系統(tǒng)采用Windowsserver，為了登陸方便，該FTP服務(wù)器采用匿名訪問方式，但是為了某些文獻(xiàn)、數(shù)據(jù)的安全性，各部門屬于不同的顧客組，對不同的顧客組設(shè)立對應(yīng)的上傳和下載的權(quán)限，具體權(quán)限根據(jù)公司各部門的職能來設(shè)定。另外，為了避免大部分員工同時訪問FTP服務(wù)器造成服務(wù)器癱瘓，還要設(shè)立最大訪問人數(shù)。若公司預(yù)算有限，也可不選用專門的服務(wù)器，而采用一臺配備相對較高的PC機作裝上FTP服務(wù)器端軟件作為FTP服務(wù)器。Serv-U是一種被廣泛運用的FTP服務(wù)器端軟件，支持3x/9x/ME/NT/2K等全Windows系列。能夠設(shè)定多個FTP服務(wù)器、限定登錄顧客的權(quán)限、登錄主目錄及空間大小等，功效非常完備。它含有非常完備的安全特性，支持SSlFTP傳輸，支持在多個Serv-U和FTP客戶端通過SSL加密連接保護數(shù)據(jù)安全等。2.4.2DHCP服務(wù)器由于公司整個網(wǎng)絡(luò)節(jié)點較多，若是由網(wǎng)管人員分別為每臺PC機配備IP地址那將是一件非常麻煩的事，并且也不利于網(wǎng)絡(luò)IP地址的管理，因此我們采用DHCP服務(wù)器，為接入公司網(wǎng)絡(luò)的PC機自動分派IP地址。DHCP（DynamicHostConfigurationProtocol），即動態(tài)主機設(shè)立合同，是一種局域網(wǎng)的網(wǎng)絡(luò)合同，使用UDP合同工作。DHCP服務(wù)器的操作系統(tǒng)選擇WindowsServer。由于DHCP服務(wù)器與公司其它PC機在不同的VLAN中，因此還需要在匯聚層交換機上配備DHCP中繼服務(wù)功效才干成功運行DHCP服務(wù)。2.4.3郵件服務(wù)器電子郵件是互聯(lián)網(wǎng)最基本、但卻是最重要的構(gòu)成部分，通過電子郵件進行方便快捷的信息交流已經(jīng)成為公司工作中不可或缺的工作習(xí)慣。公司郵箱普通以公司的域名作為郵箱后綴，既能體現(xiàn)公司的品牌和形象，還能使公司商業(yè)信函來往得到更加好更安全的管理。常見的郵件服務(wù)器軟件有諸多，例如：微軟ExchangeServer、MDaemonServer、WinWebMail、IMailServer等等。在這里我們選用微軟exchangeserver作為服務(wù)器端軟件，該版本也是Microsoftexchangeserver中應(yīng)用最廣泛，功效最穩(wěn)定的一種版本。exchangeserver常見的任務(wù)涉及：備份與還原、建立新郵箱、恢復(fù)、移動、安裝新的硬件、存儲區(qū)、軟件和工具，以及應(yīng)用更新和修補程序等。新工具和改善的工具可協(xié)助網(wǎng)絡(luò)管理員更有效地完畢工作。例如，一位管理人員可能需要恢復(fù)幾個月以前刪除的一封非常重要的舊電子郵件，通過使用“恢復(fù)存儲組”功效，管理員能夠恢復(fù)個人顧客的郵箱，方便查找以前刪除的重要電子郵件。其它新的管理功效涉及：并行移動多個郵箱。改善的消息跟蹤和Outlook客戶端性能統(tǒng)計功效。增強的隊列查看器，它使顧客能夠從同一控制臺同時查看SMTP和X.400隊列。新的基于查詢的通訊組列表，它現(xiàn)在支持動態(tài)地實時查找組員。另外，用于MicrosoftOperationsManager的Exchange管理包可自動監(jiān)視整個Exchange環(huán)境，從而使顧客能夠?qū)xchange問題預(yù)先采用管理方法并快速予以解決。在布署exchange郵件服務(wù)器之前，首先為公司申請合的域名，建立域控服務(wù)器，打開“運行”對話框，輸入dcpromo命令，然后根據(jù)向?qū)?chuàng)立域控服務(wù)器。圖2.2圖2.2建立域控服務(wù)器將公司內(nèi)的全部PC機加入該域。為了避免主域控服務(wù)器出現(xiàn)故障而造成通信故障和信息丟失，因此我們還需要一臺輔助域控。固然，還需要在DNS服務(wù)器中寫入統(tǒng)計，這樣發(fā)出的郵件才懂得去處。郵件服務(wù)器硬件的選擇根據(jù)公司本身業(yè)務(wù)的應(yīng)用狀況和資金投入來決定。從該公司來看，公司顧客在幾百個下列，但是郵件來往比較多，因此要選擇專業(yè)的PC服務(wù)器才干滿足基本的性能規(guī)定。2.4.4web服務(wù)器WEB服務(wù)器也稱為WWW(WORLDWIDEWEB)服務(wù)器，重要功效是提供網(wǎng)上信息瀏覽服務(wù)。本方案中web服務(wù)器重要是向外公布公司網(wǎng)站，時時更新公司以及證劵市場信息以供顧客網(wǎng)上參考。使用最多的webserver服務(wù)器軟件有兩個：微軟的信息服務(wù)器（iis），和Apache。本方案中，我們選擇Linux作為web服務(wù)器的操作系統(tǒng)，因此服務(wù)器端軟件則用Apache。Apache是世界上用的最多的Web服務(wù)器，市場占有率達(dá)60%左右,它源于NCSAhttpd服務(wù)器。Apache有多個產(chǎn)品，能夠支持SSL技術(shù)，支持多個虛擬主機。它是以進程為基礎(chǔ)的構(gòu)造，進程要比線程消耗更多的系統(tǒng)開支。由于它是自由軟件，因此不停有人來為它開發(fā)新的功效、新的特性、修改原來的缺點。Apache的特點是簡樸、速度快、性能穩(wěn)定，并可做代理服務(wù)器來使用。它的成功之處重要在于它的源代碼開放、有一支開放的開發(fā)隊伍、支持跨平臺的應(yīng)用(能夠運行在幾乎全部的Unix、Windows、Linux系統(tǒng)平臺上)以及它的可移植性等方面。第3章安全方略3.1網(wǎng)絡(luò)威脅因素分析對于證劵業(yè)來說，網(wǎng)絡(luò)的安全性是相稱重要的。而證劵網(wǎng)上交易，信息公布等業(yè)務(wù)使得公司網(wǎng)絡(luò)必須與公網(wǎng)相連，這樣必然存在著安全風(fēng)險。并且公司內(nèi)部網(wǎng)絡(luò)，由于各部門職能不同，某些部門網(wǎng)絡(luò)可能也規(guī)定很高的安全性。公司網(wǎng)絡(luò)的安全風(fēng)險可能涉及下列幾個：(1)公司網(wǎng)絡(luò)與公網(wǎng)連接，可能遭到來自各地的越權(quán)訪問，還可能遭到網(wǎng)絡(luò)黑客的惡意攻擊和計算機病毒的入侵；(2)內(nèi)部的各個子網(wǎng)通過骨干交換互相連接，這樣的話，某些重要的部門可能會遭到來自其它部門的越權(quán)訪問。這些越權(quán)訪問可能涉及惡意攻擊、誤操作等，據(jù)統(tǒng)計約有70％左右的攻擊來自內(nèi)部顧客，相比外部攻擊來說，內(nèi)部顧客含有更得天獨厚的優(yōu)勢，但是無論如何，成果都將造成重要信息的泄露或者網(wǎng)絡(luò)的癱瘓；(3)設(shè)備的本身安全性也會直接關(guān)系到網(wǎng)絡(luò)系統(tǒng)和多個網(wǎng)絡(luò)應(yīng)用的正常運轉(zhuǎn)。例如，路由設(shè)備存在路由信息泄漏、交換機和路由器設(shè)備配備風(fēng)險等。重要服務(wù)器或操作系統(tǒng)本身存在安全的漏洞，如果管理員沒有及時的發(fā)現(xiàn)并且進行修復(fù)，將會為網(wǎng)絡(luò)的安全帶來諸多不安定的因素。重要服務(wù)器的當(dāng)機或者重要數(shù)據(jù)的意外丟失，都將會造成公司日常辦公無法進行。3.2安全規(guī)定（1）物理安全涉及保護計算機網(wǎng)絡(luò)設(shè)備設(shè)施以及數(shù)據(jù)庫資料免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤造成系統(tǒng)損壞，同時要避免由于電磁泄漏引發(fā)的信息失密。(2)網(wǎng)絡(luò)安全重要涉及系統(tǒng)安全和網(wǎng)絡(luò)運行安全，檢測到系統(tǒng)安全漏洞和對于網(wǎng)絡(luò)訪問的控制。（3）信息安全涉及信息傳輸?shù)陌踩?、信息存儲的安全以及對顧客的授?quán)和鑒別。3.3安全產(chǎn)品選型原則XX證劵公司網(wǎng)絡(luò)屬于一種行業(yè)的專用網(wǎng)絡(luò)，因此在安全產(chǎn)品的選型上，必須謹(jǐn)慎。選型的原則涉及：（1）安全保密產(chǎn)品的接入應(yīng)不明顯影響網(wǎng)絡(luò)系統(tǒng)運行效率，并且滿足工作的規(guī)定，不影響正常的網(wǎng)上證劵交易和辦公；（2）安全保密產(chǎn)品必須通過國家主管部門指定的測評機構(gòu)的檢測；安全保密產(chǎn)；（3）品必須含有自我保護能力；（4）安全保密產(chǎn)品必須符合國家和國際上的有關(guān)原則；（5）安全產(chǎn)品必須操作簡樸易用，便于簡樸布署和集中管理。3.4安全方略布署3.4.1VLAN技術(shù)VLAN（VirtualLocalAreaNetwork）的中文名為“虛擬局域網(wǎng)”。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一種個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。VLAN要為理解決交換機在進行局域網(wǎng)互連時無法限制廣播的問題。這種技術(shù)能夠把一種LAN劃分成多個邏輯的VLAN，每個VLAN是一種廣播域，VLAN內(nèi)的主機間通信就和在一種LAN內(nèi)同樣，而VLAN間則不能直接互通，這樣，廣播報文被限制在一種VLAN內(nèi)，這樣就大大的增加了局域網(wǎng)內(nèi)部的此信息安全性。將各部門劃屬不同的VLAN，它們之間是不能通信的，這樣能有效避免部門間的越權(quán)訪問，特別是像資產(chǎn)管理部這樣的數(shù)據(jù)比較敏感的部門，對于那些與他不屬于一種VLAN的電腦是無法訪問它的。同時，這樣還避免廣播風(fēng)暴的發(fā)生，避免過多廣播包占據(jù)帶寬造成網(wǎng)絡(luò)擁塞。另外，VLAN為網(wǎng)絡(luò)管理帶來了很大的方便，將每個部門劃分為一種VLAN，每個VLAN內(nèi)的客戶終端需求是基本相似的，對于故障排查或者軟件升級等都比較方便，大大提高了網(wǎng)絡(luò)管理人員的工作效率。各個vlan之間數(shù)據(jù)的傳輸，必須通過trunk鏈路。Trunk是一種封裝技術(shù)，它是一條點到點的鏈路，鏈路的兩端能夠都是交換機，也能夠是交換機和路由器?；诙丝趨R聚的功效，允許交換機與交換機、交換機與路由器、交換機與主機或路由之間通過兩個或多個端口并行連接同時傳輸以提供更高帶寬、更大吞吐量，大幅度提高整個網(wǎng)絡(luò)的能力。Trunk端口普通為交換機和交換機之間的級聯(lián)端口，用于傳遞全部vlan信息。Trunk鏈路配備命令：Switch(config)#interfacerange[interface-number]Switch(config-if-range)#switchporttrunkencapsulationdot1q/*封裝為dot1q類型*/Switch(config-if-range)#switchportmodetrunkSwitch(config-if-range)#exitVLAN技術(shù)中用到的合同有vtp(vlantrunkingprotocol),這是vlan中繼合同，也被稱為虛擬局域網(wǎng)干道合同。它是思科的專有合同，vtp能夠減少vlan的有關(guān)人物管理。VTP基本配備命令：Switch(vlan)#vtpdomain[domain-name]Switch(vlan)#vtpmode[server/client/transparent]/*選擇vtp模式*/Switch(vlan)#vtppassword[password]Switch(vlan)#trunk[on|off|desirable|auto|nonegotiate]/*打開主干功效*/Switch(vlan)#exitSwitch(vlan)#vlan[vlan-id]name[vlan-name]/*創(chuàng)立一種vlan*/3.4.2訪問控制列表訪問控制是網(wǎng)絡(luò)安全防備和保護的重要方略，它的重要任務(wù)是確保網(wǎng)絡(luò)資源不被非法使用和訪問。它是確保網(wǎng)絡(luò)安全最重要的核心方略之一。訪問控制涉及的技術(shù)也比較廣，涉及入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多個手段。訪問控制列表(ACL)是應(yīng)用在路由器接口的指令列表。這些指令列表用來告訴路由器哪能些數(shù)據(jù)包能夠收、哪能數(shù)據(jù)包需要回絕。使用訪問控制列表不僅能過濾通過路由器的數(shù)據(jù)包，并且也是控制網(wǎng)絡(luò)中數(shù)據(jù)流量的一種重要辦法。ACL示意圖:PacketstoInterface(s)PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYDestinationYNDenyYYNYYMatchLastTest?MatchNextTest(s)MatchFirstTest?DenyDenyDenyPermitPermitPermitInterface(s)Y圖3.1訪問控制列表分為兩類，一種是原則訪問列表，一種是擴展訪問列表。原則訪問列表的編號是從1—99，它只使用數(shù)據(jù)包的源IP地址作為條件測試，只有允許或回絕兩個操作，普通是對一種合同組產(chǎn)生作用，不分辨IP流量類型。而編號100以上的稱作擴展訪問列表，它可測試IP包的第3層和第4層報頭中的其它字段，比原則訪問列表含有更多的匹配項，例如合同類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級等。原則訪問列表配備命令:Router(config)#access-list[access-list-number]{permit|deny}source[mask]/*為訪問列表設(shè)立參數(shù),IP原則訪問列表編號1到99,缺省的通配符掩碼=*/Router(config-if)#ipaccess-group[access-list-number]{in|out}/*在端口上應(yīng)用訪問列表,指明是進方向還是出方向*/擴展訪問列表配備命令:Router(config)#access-list[access-list-number]{permit|deny}protocolsourcesource-wildcard[operatorport]destinationdestination-wildcard[operator-port][established][log]/*為原則訪問列表設(shè)立參數(shù),可具體到某個端口,某種合同*/根據(jù)公司各部門的性質(zhì)，我們可根據(jù)需要在匯聚層的設(shè)備上配備訪問控制。如財務(wù)部、資產(chǎn)管理部信息數(shù)據(jù)機密度較高，我們就能夠編寫訪問控制列表，嚴(yán)禁其它網(wǎng)段也就是其它VLAN的顧客訪問這些部門的電腦，無論是以什么樣的形式，即使用原則訪問控制列表。固然，寫完訪問列表后，要將其應(yīng)用在對應(yīng)的端口上。有的部門可能對信息的保密規(guī)定沒有那么高，那么就能夠使用擴展訪問列表，只對某一端口的數(shù)據(jù)進行控制，如telnet等。3.4.3防火墻飛速發(fā)展的信息時代，在殘酷競爭的市場，誰先掌握了信息誰就先掌握了契機，Internet的迅猛發(fā)展?jié)M足了人們對信息的渴求，同時Internet里也存在著許多不安全的因素，網(wǎng)絡(luò)信息的非法獲取、網(wǎng)絡(luò)體系的不期破壞等等，都將為公司帶來難以預(yù)計的損失，這時，防火墻以一種安全衛(wèi)士的身份應(yīng)運而生，實現(xiàn)著管理者的安全方略，有效地維護這公司保護網(wǎng)絡(luò)的安全。防火墻只現(xiàn)在應(yīng)用最廣、最具代表性的網(wǎng)絡(luò)安全技術(shù)，它分為硬件防火墻和軟件防火墻。硬件防火墻是把軟件嵌入到硬件中，由硬件執(zhí)行這些功效，這樣就減少了CPU的負(fù)擔(dān)，使路由更穩(wěn)定。軟件防火墻普通只據(jù)有過濾包的作用，而硬件防火墻的功效則要強大的多，它還涉及CF（內(nèi)容過濾）、IDS（入侵偵測）、IPS（入侵防護）以及VPN等功效。硬件防火墻普通使用通過內(nèi)核編譯后的Linux，憑借Linux本身的高可靠性和穩(wěn)定性確保了防火墻整體的穩(wěn)定性。防火墻重要由服務(wù)訪問政策、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)四部分構(gòu)成。我們在核心層路由器與Internet之間配備一臺硬件防火墻，這樣，全部進出網(wǎng)絡(luò)的數(shù)據(jù)都要通過防火墻，而該防火墻應(yīng)含有下列的功效：（1）包過濾：控制流出和流入的網(wǎng)絡(luò)數(shù)據(jù)，可基于源地址、源端口、目的地址、目的端口、合同和時間，根據(jù)地址簿進行設(shè)立規(guī)則。（2）地址轉(zhuǎn)換：將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的IP地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換SourceNAT(SNAT)和目的地址轉(zhuǎn)換DestinationNAT(DNAT)。SNAT用于對內(nèi)部網(wǎng)絡(luò)地址進行轉(zhuǎn)換，對外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的構(gòu)造，避免受到來自外部其它網(wǎng)絡(luò)的非授權(quán)訪問或惡意攻擊。并將有限的IP地址動態(tài)或靜態(tài)的與內(nèi)部IP地址對應(yīng)起來，用來緩和地址空間的短缺問題，節(jié)省資源，減少成本。DNAT重要用于外網(wǎng)主機訪問內(nèi)網(wǎng)主機。（3）認(rèn)證和應(yīng)用代理：認(rèn)證指防火墻對訪問網(wǎng)絡(luò)者正當(dāng)身分的擬定。代理指防火墻內(nèi)置顧客認(rèn)證數(shù)據(jù)庫;提供HTTP、FTP和SMTP代理功效，并可對這三種合同進行訪問控制。同時支持URL過濾功效，避免員工在上班時間訪問某些網(wǎng)站，影響工作效率。（4）透明和路由：將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服務(wù)進行幾乎透明的訪問，同時制止了外部未授權(quán)訪問者對專用網(wǎng)絡(luò)的非法訪問;防火墻還支持路由方式，提供靜態(tài)路由功效，支持內(nèi)部多個子網(wǎng)之間的安全訪問。（5）入侵檢測思科的ASA5505-SEC-BUN-K9防火墻是為中小型公司設(shè)計的一款產(chǎn)品，它集高安全性和高可擴展性于一身，能夠?qū)Σ《尽⒗]件、非授權(quán)訪問等進行實時監(jiān)控，并提供VPN服務(wù)，為顧客提供全方面的保護。它構(gòu)建于Cisco

PIX

安全設(shè)備系列的基礎(chǔ)之上，能夠提供內(nèi)部網(wǎng)到內(nèi)部網(wǎng)和遠(yuǎn)程接入到內(nèi)部網(wǎng)兩種安全保護，能夠防御互聯(lián)網(wǎng)中的病毒、間諜軟件的攻擊，并可制止垃圾郵件和非法連接，在提供安全網(wǎng)絡(luò)環(huán)境的同時，也提高了員工的工作效率，為公司發(fā)明更高的經(jīng)濟效益。

3.4.4VPN公司員工可能需要經(jīng)常出差或者在外辦公，需要通過公網(wǎng)訪問公司網(wǎng)絡(luò)，這時數(shù)據(jù)在公網(wǎng)上傳輸就很不安全，因此我們需要一條專門的通道來安全傳輸信息，這就是VPN（虛擬專用網(wǎng)）。VPN被定義為通過一種公共網(wǎng)絡(luò)建立一種臨時的、安全的連接，是一條穿過混亂的公共網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)事對公司內(nèi)部網(wǎng)的擴展。虛擬專用能夠協(xié)助運程顧客、公司分支機構(gòu)、商業(yè)伙伴及移動辦公顧客的內(nèi)部網(wǎng)絡(luò)建立可信的安全連接，并確保數(shù)據(jù)的安全傳輸。一種公司的虛擬專用網(wǎng)解決方案也將大幅度減少顧客耗費在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費用。VPN業(yè)務(wù)都是基于隧道技術(shù)實現(xiàn)的，隧道機制是VPN實施的核心。數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳輸。VPN的隧道技術(shù)就是數(shù)據(jù)包不是公開在網(wǎng)上傳輸，而是首先進行加密以確保安全，然后由VPN封裝成IP包的形式，通過隧道在網(wǎng)上傳輸。源網(wǎng)絡(luò)的VPN隧道發(fā)起器與目的網(wǎng)絡(luò)上的VPN隧道發(fā)起器進行通信。兩者就加密方案達(dá)成一致，然后隧道發(fā)起器對包進行加密，確保安全（為了加強安全，應(yīng)采用驗證過程，以確保連接顧客擁有進入目的網(wǎng)絡(luò)的對應(yīng)的權(quán)限。大多數(shù)現(xiàn)有的VPN產(chǎn)品支持多個驗證方式）。最后，VPN發(fā)起器將整個加密包封裝成IP包?，F(xiàn)在不管原先傳輸?shù)氖呛畏N合同，它都能在純IP因特網(wǎng)上傳輸。又由于包進行了加密，因此誰也無法讀取原始數(shù)據(jù)。在目的網(wǎng)絡(luò)這頭，VPN隧道終止器收到包后去掉IP信息，然后根據(jù)達(dá)成一致的加密方案對包進行解密，將隨即獲得的包發(fā)給遠(yuǎn)程接入服務(wù)器或本地路由器，他們在把隱藏的IPX包發(fā)到網(wǎng)絡(luò)，最后發(fā)往對應(yīng)目的地。VPN重要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。VPN原理示意圖：圖3.2圖3.2在本方案中，我們采用ip-VPN技術(shù)。Ip-VPN是指在運行ip合同的網(wǎng)絡(luò)上實現(xiàn)VPN。該VPN技術(shù)的實現(xiàn)是通過隧道（tunnel）進行連接，隧道技術(shù)通過軟件“疊加”在物理網(wǎng)絡(luò)上這也是VPN”虛擬特性的體現(xiàn)。借助隧道VPN，還能夠使用內(nèi)部網(wǎng)絡(luò)中采用的安全和優(yōu)先方略，使我們能夠完全控制數(shù)據(jù)流，隧道提供了一層名副其實的安全保障?，F(xiàn)在多個VPN安全合同中，IPsec的保密性是最佳的。IPsec使用了IPsec隧道模式，在這種隧道模式中，顧客的數(shù)據(jù)包加密后，封裝進新的ip。這樣在新的數(shù)據(jù)包中，分別以開通器和終端器的地址掩蔽顧客和宿主服務(wù)器的地址。我們選用的ASA5500系列防火墻含有VPN功效，因此不需要額外購置VPN設(shè)備。運用Cisco

ASA

5500系列，不需要增加成本，也不需要提高設(shè)計、布署或運作的復(fù)雜性，就能夠?qū)⒃L問控制、應(yīng)用檢測和威脅防御作為VPN解決方案的一部分。管理員只需制訂一種網(wǎng)絡(luò)方略，就能夠既提高安全性，又保持網(wǎng)絡(luò)環(huán)境的可訪問性。第五章方案實現(xiàn)成果分析網(wǎng)絡(luò)工程實施完畢后，重要實現(xiàn)下列功效：首先是公司內(nèi)部辦公資源的高度共享，通過FTP服務(wù)，員工可按權(quán)限上傳下載資料。上傳權(quán)限只賦予網(wǎng)絡(luò)管理人員，下載權(quán)限根據(jù)文獻(xiàn)