网络层次化VLAN访问控制列表防火墙论文04455.doc

摘 要：随着网络的逐步普及，企业网络的建设是企业向信息化发展的必然选择，企业网网络系统是一个非常庞大而复杂的系统，它不仅为现代化管理、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。而企业网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设计课题将主要以企业局域网络建设过程可能用到的各种技术及实施方案为设计方向，为企业网的建设提供理论依据和实践指导。关键词：网络层次化，vlan，访问控制列表，防火墙目 录前言41 计算机网络概述51.1计算机网络的定义51.2计算机网络的发展阶段51.3计算机网络的分类51.4拓扑结构的定义62 局域网硬件设备72.1网络服务器72.2工作站72.3网络设备72.4通信介质73 网络组建83.1需求分析83.2网络拓扑83.3网络层次化设计83.4服务器群组134 网络管理154.1 vlan技术154.2访问控制列表164.3防火墙174.4 vpn185 网络维护205.1网络故障排除的目的205.2故障诊断与排除的基本过程206 总结21参考文献22致 谢23第 21 页 共 23页 2012届毕业项目小型局域网的组建与管理前言随着计算机技术和网络技术的快速发展和普及，目前几乎所有的行业都已经建立或即将建立自己的局域网，并且都有接入互联网的需求。这其中以小型局域网的建立更为普及。如何从头开始规划、建立、管理和维护一个中小型局域网？这就需要掌握包括网络原理、网络硬件和软件等方面的知识。对于用户而言，计算机网络和计算机单机除了可以共享一些资源外，没有什么区别；而对于一个网管员来说，计算机网络要比单机复杂的多，尤其是网络架构、网络设备的配置、网络的运维、网络的管理、网络的安全防护，以及当网络出现故障时如何进行查找和排除，这些都需要网管员掌握大量的网络知识和积累丰富的实践经验。1 计算机网络概述1.1计算机网络的定义在计算机领域，网络（network）就是用物理链路将各个孤立的工作站和主机相连在一起，组成数据链路，从而达到资源共享和通信的目的。凡将地理位置不同、并具有独立功能的多个计算机系统通过通信设备和线路连接起来，且以功能完善的网络软件（网路协议、信息交换方式及网络操作系统等）实现网络资源共享的系统，都可称为计算机网络。1.2计算机网络的发展阶段（1）远程终端连接（2）计算机网络阶段（3）计算机网络互联阶段（4）信息高速公路1.3计算机网络的分类按覆盖范围来分，主要有以下几种。(1)局域网lan局部区域网络（local area network），通常简称为“局域网”，缩写为lan。局域网是结构复杂程度最低的网络。局域网仅是在同一地点上经网络连接在一起的组计算机。局域网中的计算机通常挨得很近，它是目前应用最广泛的一类网络。(2)广域网wan广域网（wide area network）是影响广泛的复杂网络系统。wan由两个以上的lan构成，这些lan间的连接可以穿越30英里以上的距离。大型的wan可以由各大洲的许多lan和man组成。最广为人知的全球范围的wan就是internet，它由全球成千上万的lan和wan组成。(3)城域网man城域网（metropolitan area network）是介于wan与lan之间的网络类型，是覆盖一个城市的地理范围、用来将同一区域内的多个局域网互联起来的中等范围的计算机网。有时lan、man和wan间的边界非常不明显，很难确定lan在何处终止，man和wan在何处开始。但可以通过四种网络特性：通信介质、协议、拓扑以及私有网和公共网间的边界点来确定网络的类型。1.4拓扑结构的定义网络中的计算机等设备要实现互联，就需要以一定的结构方式进行连接，这种连接方式就叫做“拓扑结构”，也就是说这些网络设备如何连接在一起。在局域网中常用的拓扑结构有星型结构、环型结构、网格型结构。2 局域网硬件设备局域网组成里面包括网络服务器、工作站、网络设备、通信介质、网络操作系统和网络协议。2.1网络服务器网络上可以根据需要配备不同数量的服务器，以提供各种服务。对于专门的服务器，其技术性能指标主要有通信处理能力、内存容量、硬盘容量、系统容错能力、并发处理能力和高速缓存能力。从具体应用角度看，网络服务器可以分为应用服务器、文件服务器、打印服务器。根据用途不同，应用服务器又可以分为web服务器、邮件服务器、数据库服务器、通信服务器。2.2工作站工作站是指连接到网络上并运行应用程序的计算机，是数据处理的主要应用场所。用户通过工作站与网络交换信息、共享网络资源。工作站有几种分类方法，例如可以根据有无外部存储器（如硬盘），将工作站分为有盘工作站和无盘工作站等。2.3网络设备网络设备是指用于网络通信的设备，包括网络接口卡、中继器（repeater）、集线器（hub）、网桥（bridge）、交换机（switch）、路由器（router）、网关（gateway）、防火墙（firewall）等。2.4通信介质通信介质是网络中信息传输的载体，是网络通信的主要物理基础，通信介质的性能特点是对传输速率、通信距离、可连接的网络节点数和数据传输的可靠性等都有很大的影响。因此，必须根据不同的通信要求和地理环境等因素合理的选择通信介质。局域网中常用的通信介质有双绞线、同轴电缆、光缆，以及微波、红外线、蓝牙等无线介质。3 网络组建3.1需求分析（1）实现公司内部资源共享。（2）公司各部可以通过即时通信软件联系，建立公司邮件服务器。（3）打印机共享。（4）公司内部要网络接入internet。（5）架设公司web服务器，发布公司网站。（6）为保证安全，internet与公司内部网络间应采用防护措施，防止外界对内部网络未经授权的访问。3.2网络拓扑计算机网络的组成元素可以分为两大类，即网络节点（又可分为端节点和转发节点）和通信链路，网络中节点的互联模式叫网络的拓扑结构。网络拓扑定义了网络中资源的连接方式，局域网中常用的拓扑结构有：总线型结构、环形结构、星型结构。由于企业局域网网络站点不是特别的多，而且联网的站点相对集中，因此我们采用星型的网络拓扑。星型拓扑结构是由通过点到点链路接到中央节点的各站点组成的。星型网络中有一个唯一的转发节点（中央节点），每一台计算机都通过单独的通信线路连接到中央节点。在星型拓扑中利用中央结点可方便地提供服务和重新配置网络；单个连接点故障只会影响故障点连接的一个设备，不会影响全网，容易检测隔离故障、便于维护；任何一个连接只涉及到中央结点和一个站点，控制介质访问的方法很简单，从而访问协议也十分简单。3.3网络层次化设计网络的设计模型主要包括层次化设计模型和非层次化设计模型两种。随着网络技术的迅速发展和网上应用量的增长，非层次化的网络设计已经不适合当今企业的网络应用，由于非层次化网络没有适当的规划，网络最终会发展成为非结构的形式，这样当网络设备之间相互通信时，设备上的cpu必然会承受相当大的负载，不利于网络的运行和发展，当大量的数据在网络中传输时，容易引起线路拥堵甚至网络的瘫痪。 所以我们选择层次化的网络设计。多层设计是模块化的，网络容量可随着日后网络节点的增加而不断增大。多层次网络有很大的确定性，因此在运行和扩展过程中进行故障查找和排除非常简单。多层模式使网络的移植更为简单易行，因为它保留着基于路由器和交换机的网络原有的寻址方案，对以往的网络有很好的兼容性。另外分层结构也能够对网络的故障进行很好的隔离。针对实际情况我们采用三层结构模型，即核心层、分布层、接入层。每个层次有不同的功能。核心层作为整个网络系统的核心，起主要功能是高速、可靠的进行数据交换。分布层主要进行接入层的数据流量汇聚，并对数据流量进行访问控制。接入层主要提供最终用户接入网络的途径。主要进行vlan的换分、与分布层的连接等。3.3.1核心层设计核心层作为整个网络系统的核心，其主要功能是高速、可靠的进行数据交换。核心交换区的作用是尽快地提供所有的区域间的数据交换。所以推荐使用两台cisco catalyst 4506e交换机完成此项功能。cisco4506交换机高性能、高可靠性、高可用性是我们主要考虑的因素。本区的安全性可以由边界防火墙提供，如果有需要，还可以在4506 上面部署安全策略，使得核心交换区的安全性进一步地增强。cisco catalyst 4500 系列凭借众多智能服务将控制扩展到网络边缘，其中包括先进的服务质量 (qos)、可预测性能、高级安全性和全面的管理。它提供带集成永续性的出色控制，将永续性集成到硬件和软件中，缩短了网络停运时间。cisco catalyst 4500 系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支，提高了投资回报（roi），从而在延长部署寿命的同时降低了拥有成本。方案中catalyst 4506 交换机配置了一块ws-x4515 引擎(supervisor iv),catalyst 4500 supervisor iv 引擎用于cisco catalyst 4506 交换机机箱，是一款64gbps、4800 万分组/秒(48mpps)的第二到四层交换引擎，直接在管理引擎面板上配备了2 个线速gbic 端口。当部署了catalyst 4500 系列supervisor iv 时，这些附加端口可将catalyst4506 的最大密度扩展到240 个端口。添加了这款新管理引擎后，catalyst 4506 可为中型企业提供价格合理、易于使用的可扩展性、创新安全性、集成可靠性和灵活性。3.3.2汇聚层设计汇聚层主要进行接入层的数据流量汇聚，并对数据流量进行访问控制。包括访问控制列表、vlan 路由等等。推荐采用两台cisco ws-c3750g-12s-e 作为汇聚交换机。两台cisco ws-c3750g-12s-e做双机热备，采用cisco专有热备份协议技术（hsrp），根据需求配置成多组hsrp。这样设计部不但保证网络的高可用性和稳定性，还能避免单台核心设备的负载太重导致网络性能问题。cisco catalyst 3750 系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。这个新的产品系列采用了最新的思科stackwise 技术，不但实现高达32gbps 的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统-就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。对于中型企业网络来说， cisco catalyst 3750 系列通过提供配置灵活性、支持融合网络模式及自动进行智能网络服务配置，简化了融合应用的部署，并可针对不断变化的业务需求进行调整。此外，cisco catalyst 3750 系列针对高密度千兆位以太网部署进行了优化，包括多种交换机，以满足接入、汇聚或小型网络骨干连接需求。cisco catalyst 3750g-12s 提供12 个千兆位以太网sfp 端口用于连接数据中心和办公楼的接入层交换机和中心核心机房的catalyst 4506 交换机。gec或fec（gigabit ethernet channel/fast ethernet channel）称为cisco交换机带宽聚合技术，它用于千兆或百兆以太网端口。在两台cisco交换机互连时，利用gec/fec技术，可以将2 条或多条物理链路捆绑成为一条更高带宽的逻辑链路，在本方案中，cisco ws-c3750g-12s-e之间用两条千兆光纤相连，利用gec技术，我们可以得到一条全双工4g 带宽的链路。这样不仅可以提高交换机之间的互连带宽，更重要的是能够在多条物理链路间提供容错，使得任意一条线路断掉不影响交换机之间的畅通。etherchannel基本配置命令：switch(config)#interface port-channel1switch (config)#switchport trunk encapsulation dot1qswitch (config)#switchport mode trunkswitch (config)#interface range interface-numberswitch (config-if-range)#channel-group group-id mode onswitch (config-if-range)#exithsrp基本配置命令：switch (config)#interface vlan vlan-numberswitch (config-if)#ip address ip-address switch (config-if)#standby vlan-id ip ip-addressswitch (config-if)#standby 10 priority 105switch (config-if)#standby 10 preemptswitch (config-if)#standby 10 track interface-idswitch (config-if)#exit3.3.3接入层设计接入层主要提供最终用户接入网络的途径。主要是进行vlan的划分、与分布层的连接等等。建议接入层交换机采用思科的2960 系列智能以太网交换机以千兆以太链路和汇聚交换机相连接，并为用户终端提供10/100m 自适应的接入，从而形成千兆为骨干，百兆到桌面的以太网三层结构。办公系统所需的各种服务器如ftp服务器、邮件服务器、dhcp 服务器等组成服务器群，连接到汇聚交换机的千兆模块上面,因此，内部的局域网采用三层结构组建。cisco catalyst 2960 系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强lan 服务。catalyst 2960 系列具有集成安全特性，包括网络准入控制(nac)、高级服务质量(qos)和永续性，可为网络边缘提供智能服务。凭借 cisco catalyst 2960 系列提供的广泛安全特性，企业可保护重要信息，防止未授权人员接入网络，确保私密性及维持不间断运行。网络总体拓扑如图3-1所示：图3-1 整体网络拓扑图3.3.4路由协议选择为达到路由快速收敛、寻址以及方便网络管理员管理的目的，我们采用动态路由协议，目前较好的动态路由协议是ospf 协议和eigrp 协议，ospf 以协议标准化强，支持厂家多，受到广泛应用，而eigrp 协议由cisco 公司发明，只有cisco 公司自己的产品支持，属于私有性质，其他厂商设备是不支持的。考虑网络的扩展性、数据资源的保护等原因，我们选择ospf 路由协议。ospf 协议采用链路状态协议算法，每个路由器维护一个相同的链路状态数据库，保存整个as 的拓扑结构（as 不划分情况下）。一旦每个路由器有了完整的链路状态数据库，该路由器就可以自己为根，构造最短路径树，然后再根据最短路径构造路由表。对于大型的网络，为了进一步减少路由协议通信流量，利于管理和计算。ospf将整个as 划分为若干个区域，区域内的路由器维护一个相同的链路状态数据库，保存该区域的拓扑结构。ospf 路由器相互间交换信息，但交换的信息不是路由，而是链路状态。ospf 定义了5 种分组：hello分组用于建立和维护连接；数据库描述分组初始化路由器的网络拓扑数据库；当发现数据库中的某部分信息已经过时后，路由器发送链路状态请求分组，请求邻站提供更新信息；路由器使用链路状态更新分组来主动扩散自己的链路状态数据库或对链路状态请求分组进行响应；由于ospf 直接运行在ip 层，协议本身要提供确认机制，链路状态应答分组是对链路状态更新分组进行确认。相对于其它协议，ospf 有许多优点。ospf 支持各种不同鉴别机制（如简单口令验证，md5 加密验证等），并且允许各个系统或区域采用互不相同的鉴别机制；提供负载均衡功能，如果计算出到某个目的站有若干条费用相同的路由，ospf 路由器会把通信流量均匀地分配给这几条路由，沿这几条路由把该分组发送出去；在一个自治系统内可划分出若干个区域，每个区域根据自己的拓扑结构计算最短路径，这减少了ospf 路由实现的工作量；ospf 属动态的自适应协议，对于网络的拓扑结构变化可以迅速地做出反应，进行相应调整，提供短的收敛期，使路由表尽快稳定化，并且与其它路由协议相比，ospf在对网络拓扑变化的处理过程中仅需要最少的通信流量；ospf 提供点到多点接口，支持cidr（无类型域间路由）地址。公司现有网络规划为area0，内部网络设备都规划为area0。后期若有分支机构各区域接入路由器根据区域不同使用动态协议，或者使用静态路由与动态路由结合的方式。3.4服务器群组3.4.1 ftp服务器ftp的全称是file transfer protocol(文件传输协议)。顾名思义，就是专门用来传输文件的协议。企业的ftp服务主要是针对公司内部一些日常办公资料、软件的共享而设置的，相当于一个信息系统的大仓库，仅公司内部pc机可以访问。ftp服务器操作系统采用windows server 2003，为了登陆方便，该ftp服务器采用匿名访问方式，但是为了某些文件、数据的安全性，各部门属于不同的用户组，对不同的用户组设置相应的上传和下载的权限，具体权限根据公司各部门的职能来设定。另外，为了防止大部分员工同时访问ftp服务器造成服务器瘫痪，还要设置最大访问人数。若公司预算有限，也可不选用专门的服务器，而采用一台配置相对较高的pc机装上ftp服务器端软件作为ftp服务器。serv-u是一种被广泛运用的ftp服务器端软件，支持3x/9x/me/nt/2k等全windows系列。可以设定多个ftp服务器、限定登录用户的权限、登录主目录及空间大小等，功能非常完备。 它具有非常完备的安全特性，支持ssl ftp传输，支持在多个serv-u和ftp客户端通过ssl加密连接保护数据安全等。 3.4.2 dhcp服务器由于公司整个网络节点较多，若是由网管人员分别为每台pc机配置ip地址那将是一件非常麻烦的事，而且也不利于网络ip地址的管理，所以我们采用dhcp服务器，为接入公司网络的pc机自动分配ip地址。dhcp（dynamic host configuration protocol），即动态主机设置协议，是一个局域网的网络协议，使用udp协议工作。dhcp服务器的操作系统选择windows server 2003。由于dhcp服务器与公司其他pc机在不同的vlan中，所以还需要在汇聚层交换机上配置dhcp中继服务功能才能成功运行dhcp服务。3.4.3邮件服务器电子邮件是互联网最基本、但却是最重要的组成部分，通过电子邮件进行方便快捷的信息交流已经成为企业工作中不可或缺的工作习惯。企业邮箱一般以企业的域名作为邮箱后缀，既能体现公司的品牌和形象，还能使公司商业信函来往得到更好更安全的管理。常见的邮件服务器软件有很多，例如：微软 exchange server 、mdaemon server、winwebmail 、imail server等等。在这里我们选用微软exchange server 2003作为服务器端软件，该版本也是microsoft exchange server中应用最广泛，功能最稳定的一个版本。exchange server 2003常见的任务包括：备份与还原、建立新邮箱、恢复、移动、安装新的硬件、存储区、软件和工具，以及应用更新和修补程序等。新工具和改进的工具可帮助 网络管理员更有效地完成工作。例如，一位管理人员可能需要恢复几个月以前删除的一封非常重要的旧电子邮件，通过使用“恢复存储组”功能，管理员可以恢复个人用户的邮箱，以便查找以前删除的重要电子邮件。其他新的管理功能包括： 并行移动多个邮箱。 改进的消息跟踪和 outlook 客户端性能记录功能。 增强的队列查看器，它使用户能够从同一控制台同时查看 smtp 和 x.400 队列。 新的基于查询的通讯组列表，它现在支持动态地实时查找成员。 此外，用于 microsoft operations manager 的 exchange 管理包可自动监视整个 exchange 环境，从而使用户能够对 exchange 问题预先采取管理措施并快速予以解决。在部署exchange 2003邮件服务器之前，首先为公司申请合法的域名，建立域控服务器，打开“运行”对话框，输入dcpromo命令，然后根据向导创建域控服务器。将公司内的所有pc机加入该域。为了防止主域控服务器出现故障而导致通信故障和信息丢失，所以我们还需要一台辅助域控。当然，还需要在dns服务器中写入记录，这样发出的邮件才知道去处。3.4.4 web服务器web服务器也称为www(world wide web)服务器，主要功能是提供网上信息浏览服务。本方案中web服务器主要是向外发布公司网站，时时更新公司以及证劵市场信息以供用户网上参考。使用最多的 web server 服务器软件有两个：微软的信息服务器（iis），和apache。本方案中，我们选择linux作为web服务器的操作系统，所以服务器端软件则用apache。apache是世界上用的最多的web服务器，市场占有率达60%左右,它源于ncsahttpd服务器。apache有多种产品，可以支持ssl技术，支持多个虚拟主机。它是以进程为基础的结构，进程要比线程消耗更多的系统开支。因为它是自由软件，所以不断有人来为它开发新的功能、新的特性、修改原来的缺陷。apache的特点是简单、速度快、性能稳定，并可做代理服务器来使用。它的成功之处主要在于它的源代码开放、有一支开放的开发队伍、支持跨平台的应用(可以运行在几乎所有的unix、windows、linux系统平台上)以及它的可移植性等方面。4 网络管理4.1 vlan技术vlan（virtual local area network）的中文名为“虚拟局域网”。vlan是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。vlan要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个lan划分成多个逻辑的vlan，每个vlan是一个广播域，vlan内的主机间通信就和在一个lan内一样，而vlan间则不能直接互通，这样，广播报文被限制在一个vlan内，这样就大大的增加了局域网内部的信息安全性。将各部门划属不同的vlan，它们之间是不能通信的，这样能有效避免部门间的越权访问，特别是像资产管理部这样的数据比较敏感的部门，对于那些与他不属于一个vlan的电脑是无法访问它的。同时，这样还防止广播风暴的发生，避免过多广播包占据带宽造成网络拥塞。另外，vlan为网络管理带来了很大的方便，将每个部门划分为一个vlan，每个vlan内的客户终端需求是基本相似的，对于故障排查或者软件升级等都比较方便，大大提高了网络管理人员的工作效率。各个vlan之间数据的传输，必须经过trunk链路。trunk是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器。基于端口汇聚的功能，允许交换机与交换机、交换机与路由器、交换机与主机或路由之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量，大幅度提高整个网络的能力。trunk端口一般为交换机和交换机之间的级联端口，用于传递所有vlan信息。trunk链路配置命令：switch(config)#interface range interface-number switch (config-if-range)#switchport trunk encapsulation dot1q /*封装为dot1q类型*/switch (config-if-range)#switchport mode trunkswitch (config-if-range)#exitvlan技术中用到的协议有vtp(vlan trunking protocol),这是vlan中继协议，也被称为虚拟局域网干道协议。它是思科的专有协议，vtp可以减少vlan的相关人物管理。vtp基本配置命令：switch (vlan) # vtp domain domain-nameswitch (vlan) # vtp mode server/client/transparent/*选择vtp模式*/switch (vlan) # vtp password passwordswitch (vlan) #trunk on | off | desirable | auto | nonegotiate/*打开主干功能*/switch (vlan) # exitswitch (vlan)#vlan vlan-id name vlan-name/*创建一个vlan*/4.2访问控制列表访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。访问控制列表(acl)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。使用访问控制列表不但能过滤通过路由器的数据包，而且也是控制网络中数据流量的一个重要方法。访问控制列表分为两类，一个是标准访问列表，一个是扩展访问列表。标准访问列表的编号是从199，它只使用数据包的源ip地址作为条件测试，只有允许或拒绝两个操作，通常是对一个协议组产生作用，不区分ip流量类型。而编号100以上的称作扩展访问列表，它可测试ip包的第3层和第4层报头中的其他字段，比标准访问列表具有更多的匹配项，例如协议类型、源地址、目的地址、源端口、目的端口、建立连接的和ip优先级等。 标准访问列表配置命令:router(config)#access-list access-list-number permit|deny source mask/*为访问列表设置参数,ip 标准访问列表编号 1 到 99,缺省的通配符掩码 = */router(config-if)#ip access-group access-list-number in | out /*在端口上应用访问列表,指明是进方向还是出方向*/扩展访问列表配置命令:router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator- port established log/*为标准访问列表设置参数,可具体到某个端口,某种协议*/根据公司各部门的性质，我们可根据需要在汇聚层的设备上配置访问控制。如财务部、资产管理部信息数据机密度较高，我们就可以编写访问控制列表，禁止其它网段也就是其它vlan的用户访问这些部门的电脑，无论是以什么样的形式，即使用标准访问控制列表。当然，写完访问列表后，要将其应用在相应的端口上。有的部门可能对信息的保密要求没有那么高，那么就可以使用扩展访问列表，只对某一端口的数据进行控制，如telnet等。4.3防火墙飞速发展的信息时代，在残酷竞争的市场，谁先掌握了信息谁就先掌握了契机，internet的迅猛发展满足了人们对信息的渴求，同时internet里也存在着许多不安全的因素，网络信息的非法获取、网络体系的不期破坏等等，都将为企业带来难以估计的损失，这时，防火墙以一个安全卫士的身份应运而生，实现着管理者的安全策略，有效地维护着企业保护网络的安全。防火墙是目前应用最广、最具代表性的网络安全技术，它分为硬件防火墙和软件防火墙。硬件防火墙是把软件嵌入到硬件中，由硬件执行这些功能，这样就减少了cpu的负担，使路由更稳定。软件防火墙一般只具有过滤包的作用，而硬件防火墙的功能则要强大的多，它还包括cf（内容过滤）、ids（入侵侦测）、ips（入侵防护）以及vpn等功能。硬件防火墙一般使用经过内核编译后的linux，凭借linux本身的高可靠性和稳定性保证了防火墙整体的稳定性。防火墙主要由服务访问政策、验证工具、包过滤和应用网关四部分组成。我们在核心层路由器与internet之间配置一台硬件防火墙，这样，所有进出网络的数据都要通过防火墙，而该防火墙应具有以下的功能：（1）包过滤：控制流出和流入的网络数据，可基于源地址、源端口、目的地址、目的端口、协议和时间，根据地址簿进行设置规则。（2）地址转换：将内部网络或外部网络的ip地址转换，可分为源地址转换source nat(snat)和目的地址转换destination nat(dnat)。snat用于对内部网络地址进行转换，对外部网络隐藏起内部网络的结构，避免受到来自外部其他网络的非授权访问或恶意攻击。并将有限的ip地址动态或静态的与内部ip地址对应起来，用来缓解地址空间的短缺问题，节省资源，降低成本。dnat主要用于外网主机访问内网主机。（3）认证和应用代理：认证指防火墙对访问网络者合法身份的确定。代理指防火墙内置用户认证数据库;提供http、ftp和smtp代理功能，并可对这三种协议进行访问控制。同时支持url过滤功能，防止员工在上班时间访问某些网站，影响工作效率。（4）透明和路由：将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问，同时阻止了外部未授权访问者对专用网络的非法访问;防火墙还支持路由方式，提供静态路由功能，支持内部多个子网之间的安全访问。（5）入侵检测：思科的asa5505-sec-bun-k9防火墙是为中小型企业设计的一款产品，它集高安全性和高可扩展性于一身，能够对病毒、垃圾邮件、非授权访问等进行实时监控，并提供vpn服务，为用户提供全面的保护。它构建于ciscopix安全设备系列的基础之上，能够提供内部网到内部网和远程接入到内部网两种安全保护，可以防御互联网中的病毒、间谍软件的攻击，并可阻止垃圾邮件和非法连接，在提供安全网络环境的同时，也提高了员工的工作效率，为公司创造更高的经济效益。4.4 vpn公司员工可能需要经常出差或者在外办公，需要通过公网访问公司网络，这时数据在公网上传播就很不安全，所以我们需要一条专门的通道来安全传输信息，这就是vpn（虚拟专用网）。vpn被定义为通过一个公共网络建立一个临时的、安全的连接，是一条穿过混乱的公共网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用可以帮助运程用户、公司分支机构、商业伙伴及移动办公用户的内部网络建立可信的安全连接，并保证数据的安全传输。一个企业的虚拟专用网解决方案也将大幅度减少用户花费在城域网和远程网络连接上的费用。vpn业务都是基于隧道技术实现的，隧道机制是vpn实施的关键。数据通过安全的“加密管道”在公共网络中传播。vpn的隧道技术就是数据包不是公开在网上传输，而是首先进行加密以确保安全，然后由vpn封装成ip包的形式，通过隧道在网上传输。源网络的vpn隧道发起器与目标网络上的vpn隧道发起器进行通信。两者就加密方案达成一致，然后隧道发起器对包进行加密，确保安全（为了加强安全，应采用验证过程，以确保连接用户拥有进入目标网络的相应的权限。大多数现有的vpn产品支持多种验证方式）。最后，vpn发起器将整个加密包封装成ip包。现在不管原先传输的是何种协议，它都能在纯ip因特网上传输。又因为包进行了加密，所以谁也无法读取原始数据。在目标网络这头，vpn隧道终结器收到包后去掉ip信息，然后根据达成一致的加密方案对包进行解密，将随后获得的包发给远程接入服务器或本地路由器，他们在把隐藏的ipx包发到网络，最终发往相应目的地。vpn主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术，如图4-1所示。图4-1 vpn原理示意图 在本方案中，我们采用ip-vpn技术。ip-vpn是指在运行ip协议的网络上实现vpn。该vpn技术的实现是通过隧道（tunnel）进行连接，隧道技术通过软件“叠加”在物理网络上这也是vpn”虚拟特征的体现。借助隧道vpn，还能够使用内部网络中采用的安全和优先策略，使我们能够完全控制数据流，隧道提供了一层名副其实的安全保障。目前各种vpn安全协议中，ipsec的保密性是最好的。ipsec使用了ipsec隧道模式，在这种隧道模式中，用户的数据包加密后，封装进新的ip。这样在新的数据包中，分别以开通器和终端器的地址掩蔽用户和宿主服务器的地址。我们选用的asa5500系列防火墙具有vpn功能，所以不需要额外购买vpn设备。利用ciscoasa5500系列，不需要增加成本，也不需要提高设计、部署或运作的复杂性，就能够将访问控制、应用检测和威胁防御作为vpn解决方案的一部分。管理员只需制定一个网络策略，就可以既提高安全性，又保持网络环境的可访问性。5 网络维护5.1网络故障排除的目的网络故障诊断和排除应该实现三方面的目的：一是确定故障原因，恢复网络的正常运行；二是找出网络规划和配置的缺点，改善和优化网络性能；三是观察网络的运行状况，检测网络通信质量并进行改进。同时要注意，网络故障的诊断和排除是一个综合活动，需要同时运用相关的软件知识和硬件知识来整体思考，并设计做出相应的解决方法来排除故障，恢复网络的正常高效运行。5.2故障诊断与排除的基本过程（1）了解故障现象。在排除故障之前，需要确切了解到底网络出现了什么故障现象，比如不能连接其他计算机、不能上网、单台还是多台出现故障、以前是否出现过故障、最近正常运行的时间等。（2）对故障现象进行详细检测。了解故障现象后，需要对故障现象进行检测，比如亲