易阳公司网络项目规划书毕业论文.doc

李浩毕业项目设计易阳公司网络项目规划书摘 要本组网主要完成对隆康隆康集团内部网络的组网，布线组网及解决方案。论文主要介绍了隆康集团的内部的组网，所要完成的是组网的整个过程。重点的说明了隆康服装设计有限公司的设计思想、难点技术和解决方案。1引言说明了隆康建设的目标。2隆康集团的设计需求，简明介绍了隆康集团的设计需求。及接点数和大概的组网思路。3组网拓扑图关键字：组网，方案，拓扑图，校园网ABSTRACTThis network of mainly completes longkang design Co., LTD. Internal network of networking, wiring networking and solutions.Paper mainly introduced the sun costume design Co., LTD, internal network to complete the whole process of the is networking. Key illustrates sun clothing design Co., LTD. The design thought, difficulty technology and solutions.1. Preface illustrates s longkang design Co., LTD. Construction of the target.2. longkang design Co., LTD. Simply introduces the design requirements, longkang design Co., LTD design requirements. And the points and probably networking ideas.3. Network topologyKey word: networking, plan, topology, campus network79目 录易阳科技有限公司简介引 言第一章 项目需求分析1.1 项目背景1.2 需求分析第二章 网络总体建设目标2.1.网络建设目标2.2网络及系统建设内容及要求2.3 网络设计原则第三章 网络总体设计3.1 网络总体拓扑图3.2 核心层设计3.3接入层设计3.4内联接入第四章 路由设计4.1 路由协议选择4.2 路由规划拓扑图4.3 IP地址规划第五章 网络安全解决方案5.1 网络边界安全威胁分析5.2 管理的安全威胁分析5.3安全产品选型原则5.4 网络常用技术介绍第六章 产品简介6.1 cisco2811路由器6.2 二层交换机6.3 三层交换机6.4 工程部装用电脑6.5 打印系统6.6文件服务器第七章 设备清单及报价第八章 项目实施方案8.1 项目组织结构8.2 项目人员分工8.3 项目实施前的准备工作8.4核心及各网点的安装调试第九章 网络测试9.1 网络测试目的9.2 测试文档第十章 网络设备基本配置10.1.网络描述10.2.设备基本配置第十一章 网络设备的技术实施方案11.1 trunk配置11.2 VTP配置11.3 VLAN配置11.4 STP配置11.5 HSRP配置11.6 OSPF配置11.7 NAT配置11.8 VPN配置11.9 轮训配置11.10 PPP配置第十二章 项目测试12.1查看物理连结、工作环境、网络设备工作是否合格12.2 VLAN的测试致 谢易阳科技有限公司简介河南易阳科技有限公司是一家注册资本为1.5亿的大中型国有网络企业，有着近二十年的工程经验，具有1级资质。河南省委省政府，许昌学院等各种大型网络均由我公司设计实施。我们拥有一支高素质的队伍，网络设计人员经验丰富，分工明细。致力于提供企业所需的安全性和高性能来支持企业的发展。 2011.3引 言21世纪是信息产业的时代，全球信息电子化的潮流势不可挡，是知识经济的时代，人们所要求的信息量也就会越来越大，计算机被广泛应用于商业、企业、政府部门、学校、家庭，给经济和社会生活带来深刻的变革。随着信息技术和互联网的发展，信息化已经渗透到人类社会的方方面面，并逐步改变着人们的工作、学习和生活方式。随着计算机技术的迅猛发展，特别是随着网络技术的出现标志着信息时代已经来临。信息化浪潮、网络革命不断冲击着社会的发展，人们逐渐意识到信息的重要意义，许多企业和个人纷纷建立了自己的网站。在这种背景下，传统的生活和工作模式正在受到重大的挑战，人们已开始利用网络和计算机学习和工作。做为一个始终站在时代前沿的服装行业，只有作出新选择、不断学习、不断适应才能让公司发展的更快、更好。第一章 项目需求分析1.1. 项目背景 隆康集团是一家以开发中高端精品住宅为主营业务的全国性房地产开发企业。总经理刘旺财于1998年集资1000万 在中国北京上市，集房地产开发，建筑施工，于一体综合性防地产公司，总部设在北京，有员工155人，本市有分公司64人，现在网络抖动频发，不再适应大公司的发展，北京隆康集团已经深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统，已迫在眉睫，新建的办公大楼平地而起，河南易扬科技有限公司作为一个致力于企业信息化和系统集成的高科技公司非常荣幸参与北京隆康集团综合网络信息系统的建设，希望能尽自己的全力来施展我们的专长来实现北京隆康集团网络信息系统的建设。以下是公司组织结构：工程部行政部总经理人事部财务部网络部销售部总公司组织结构：（总计：155人）部门工程部市场部人事部财务部网络部销售部总经理人数45人32人30人9人5人32人2人部门工程部市场部人事部财务部网络部销售部经理人数18人15人13人3人5人9人1人1.2. 需求分析 1数据中心作为公司生产运营系统（如人事考勤系统，财务报价系统等等）的核心数据的存放地，其性能、稳定性、安全性、可靠性的要求最高，因此我们在设计的时候，会着重考虑这些需要，并采用PIX防火墙技术提高网络性能的安全性、可靠性。2核心交换区的功能是高速可靠地交换数据，该部分的设计需考虑性能和可用性的平衡，因此我们将采用多核的数据处理器提高数据的传输效率。3分支机构接入区域，我们将安全性放在第一位，同时，生产运营系统的运行离不开网络和数据中心的连接，因此冗余性的考虑也是必须的。因此我们公司将采用HSRP、STP技术解决冗余问题。4各分部地点办公网络做为内部互联单位，可信度较高，内部网络的可用性是我们首要考虑因素，因此我们将划分VLAN以提高各部门的网络互联性及可用性。5由于当前业界的网络管理范畴较广，包括设备管理、资源管理、故障管理、性能管理、安全管理等等。我们公司在面对网络规模相对较大的时候，将采取合适的网管系统以帮助客户方便管理网络内的设备及运行情况，提高网络的运行效率6公司于分公司之间建立ppp专线连接，这种链路提供全双工操作，并按照顺序传递数据包，安全的传输分总公司之间的数据。若是有新的跨区域的分公司则使用vpn来消除区域性安全的传输第二章 网络总体建设目标2.1 .网络建设目标采用先进的计算机、网络设备和软件，以及先进的系统集成技术和管理模式，实施一个高效的办公网络体系。公司内部形成高效、通畅、安全的网络体系，初步实现公文管理、资源共享、打印管理的电子化、网络化。对外连接到互联网，使公司保持与外界先进事物以及合作伙伴，公司客户密切联系。网络中的各类服务器设备、客户机设备、网络设备以及各种操作系统、应用软件必须考虑技术上的先进性、国内外及各行业的通用性，并且要有良好的市场形象与售后技术支持，便于维护、升级。选购的同时，还应考虑在满足功能与性能的基础上的性能、价格比最优。为了实现基本的网络办公自动化，建设安全、健壮的公司办公局域网，要求网络结构高效及具有良好的可扩展性，采用信息安全交换装置实现必要的信息传输。建成一个快速、高效、通畅、安全的公司办公网络。而重点是建设完善的网络基础架构。总的来说，系统具有以下特性：开放性：采用开放标准、开放技术、开放结构；实用性：网络系统的设计以实用、满足应用为主，不追求最高、最新；先进性：计算机网络技术、软硬件技术的发展甚为迅速，网络的设计要立足于较高的起点，保证系统有较长的生命力；从下列几方面实现系统的:先进设计思想先进，软硬件设备先进，网络结构先进，应用软件先进；安全可靠性：在应用系统的设计、网络系统设计、硬件设备的选型配置几个方面同时考虑，以确保数据的安全；兼容与可扩充性：要采用成熟的技术，保证系统可以在广泛的设备上使用，同时应具有更新与升级的能力；经济性：在满足功能与性能的基础上的性能、价格比最优。可管理性：随着网络规模和复杂程度的增加，网络系统的管理和故障排除将成为较难的事情，针对各种设备都要提供一定的网络管理功能。2.2 .网络及系统建设内容及要求 建设内容：1公司网络的现在只适应于小型公司的发展，拓扑需要重新的规划。2在外出差的员工通过公网访问内部资源，安全性不高3. 公司内部一台三层交换掌控着所有的部门，如果一旦down则不能给全公司创造服务影响公司的正常运行4总公司已经建立了邮件系统、web系统、erp系统等应用系统，邮件系统、web系统等对互联网提供相应的服务，面临着来自互联网的各种威胁。要求： 1网络设备配置配备网络交换设备，实现楼宇间的千兆光纤连接，保证未来各应用系统的实施以及满足集团各种计算机应用系统的大信息量的传输。2网管系统设计提供可以对整个网络系统进行管理的中文图形界面工具，使系统维护人员可以集中控制网络的所有设备。3内、外网隔离过硬盘隔离卡及双布线系统、双网络设备实现办公内网与外网隔离。2.3.网络设计原则 多业务网络系统方案以实现以上功能为基本要求，在设计上力求做到既要采用国际上先进的技术，又要保证系统的安全可靠性和实用性。具体来讲，其设计遵循以下原则：1先进性系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术，符合国际标准和规范；2标准性所采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来兼并公司时间来自不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。3兼容性跟踪世界科技发展动态，网络规划与现有光纤传输网及将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。4可升级和可扩展性随着技术不断发展，新的标准和功能不断增加，网络设备必须可以通过网络进行升级，以提供更先进、更多的功能。在网络建成后，随着应用和用户的增加，核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择，以方便未来更灵活的扩展。5安全性网络的安全性对网络设计是非常重要的，合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问，灵活的实施网络的安全控制策略。在公司网络中，关键应用服务器、核心网络设备，只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限，网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。公司会有采用pix防护墙，保证公司内部的信息。6.网络结构稳定性：当增加/扩充应用子系统时，不影响网络的整体结构以及整体性能，对关键的网络连接采用主备方式，已保证数据的传输的可靠性。本系统应具有较强的容灾容错能力，具有完善的系统恢复和安全机制；7.易操作性提供中文方式的图形用户界面，简单易学，方便实用。优良的性能价格比。系统应着重考虑和满足以上的设计要求。8. 可管理性网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态，故障报警等都可以通过网管平台进行监控，通过网络管理平台简化管理工作，提高网络管理的效率。9. 灵活性安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改和升级10. 可评价性如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。在进行网络设计时，选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置，网络拓扑结构表示，网络设备的状态显示，网络设备的故障事件报警，网络流量统计分析以及计费等。网管软件的应用可以提高网络管理的效率，减轻网络管理人员的负担。网络管理的目标是实现零管理，基于策略的管理方式，网络管理是通过制定统一的策略，由管理策略服务器进行全局控制的。基于Web的网管界面，是网管软件的发展趋势，灵活的操作方式简化了管理人员的工作。在设计园区网的设备选择上，要求网络设备支持标准的网络管理协议SNMP，同时支持RMON/RMONII协议，核心设备要求支持 RAP (远程分析端口) 协议，实施充分的网络管理功能。在设计园区网的原则上应该要求设备的可管理性，同时先进的网管软件可以支持网络维护、监控、配置等功能。针对安全体系的特性，我们可以采用统一规划、分步实施的原则。具体而言，我们可以先对网络做一个比较全面的安全体系规划，然后，根据我们网络的实际应用状况，先建立一个基础的安全防护体系，保证基本的、应有的安全性。随着今后应用的种类和复杂程度的增加，再在原来基础防护体系之上，建立增强的安全防护体系,提高整个网络基础的安全性，保证应用系统的安全性。第3章 网络总体设计3.1.网络总体拓扑图由于考虑到总公司的实际需求，我们给贵公司设计的方案是采用两台路由双线接入负载均衡，都在路由端口上做nat转换节约ip地址。四台CISCO WS-C3750G-24TS-S 做双机热备（两台总部两台分部，可扩展），根据当前贵公司的人数需求，我们用四台WS-C2960-48TT-L二层交换机（可扩展）做vlan划分。用Cisco 专有热备份路由协议技术，根据需求配置成多组HSRP；同时双机还可以做负载均衡。这样设计不但保证网络的高可用性和稳定性，还能够充分利用现有设备的资源，以避免单台核心设备的负载太重而导致的网络性能问题。如上图所示，这是总部内网的架构，整体网络可以根据功能划分为总部核心网络、内联接入包括办公网络，各部门相对独立，通过核心网络进行数据的交互。各部门可以各自建立相互通讯，各部门的网络安全体系，可以有独立的安全策略、数据流量控制等个体的特性，而需要和其他区域的设备进行通讯的时候，则必须遵守核心网络区的策略。在这里，我们对总公司的实际情况考虑，在总公司和分公司之间建立PPP专线连接，让分公司和总司可以进行安全的数据交换，对于虚拟分部（可扩展），我们根据距离和施工的情况建立PPP专线或者VPN，来进行对数据的保护和有效传输，对于在外出差员工我们用easy-VPN的方式来让外部员工进行内部连接3.2 网络层次化设计 随着网络技术的迅速发展和网络需求量的不断增长，分布式的网络服务和交换已经移至用户级，由此形成了一个新的、更适应现代的高速大型网络的分层设计模型。我们将采用层次化网络设计，构建高效、可靠、安全的网络。多层网络系统设计能最有效地利用多种业务，包括负载分担和故障恢复等。在多层网络中运用智能多业务可以大大减少因配置不当或故障设备引起的一般问题。多层模式使网络的移植更为简单易行，因为它保留了基于路由器和交换机的网络原有的寻址方案，对以往的网络有很好的兼容性。另外分层结构也能够对网络的故障进行很好的隔离。3.2核心层设计 为网络提供骨干组件或高速交换组件，高效速度传输是核心层的目标。核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。核心层具有如下几个特性：高可靠性、提供冗余、提供容错、能够迅速适应网络变化、低延时、可管理性良好、网络直径限定和网络直径一致。当网络中使用路由器时，从网络中的一个终端到另一个终端经过的路由器的数目称为网络的“直径”。在一个层次化网络中，应该具有一致的网络直径。也就是说，通过网络主干从任意一个终端到另一个终端经过的路由器的数目是一样的，从网络上任一终端到主干上的服务器的距离也应该是一样的。限定网络的直径，能够提供可预见的性能，排除故障也容易一些。分布层路由器和相连接的局域网可以在不增加网络直径的前提下加入网络，因为它们不影响原有的站点的通信。在核心层中，网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以我们对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。我们将采用高带宽的千兆级交换机，充当核心层设备。因为核心层是网络的枢纽部分，网络流量最大，因此需要提供高带宽。3.3 接入层设计向本地网段提供用户接入、主要提供网络分段、广播能力、多播能力、介质访问的安全性、MAC地址的过滤和路由发现等任务。接入层通常指网络中直接面向用户连接或访问的部分。接入层目的是允许终端用户连接到网络，因此在接入层我们将采用具有低成本和高端口密度特性的交换机。接入交换机是最常见的交换机，它直接与外网联系，使用最广泛，尤其是在一般办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。在传输速度上，现代接入交换机大都提供多个具有10M/100M/1000M自适应能力的端口。 在接入层是最终用户(员工) 与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维护。当然我们也应该考虑端口密度的问题接入层由无线网卡、AP和L2Switch组成，按照宽带网络的定义，接入层的主要功能是完成用户流量的接入和隔离。对于无线局域网WLAN用户，用户终端通过无线网卡和无线接入点AP完成用户接入。接入层交换机一般用于直接连接电脑，具有低成本和高端口密度特性。接入层交换机端口的input 指服务器向交换机端口发送的数据，即是服务器发送出去的数据。接入层交换机端口的output 指交换机端口向服务器传输的数据，即是服务器收到的数据。3.4 内联接入内联接入的作用是用于连接北京总部和北京分部。我们推荐使用两台Cisco 2821系列路由器完成此项功能。由于总部网络和分部机房属于公司的内部网络的一部分，因此我们将着重重视数据的安全性、可靠性。Cisco 2821系列具有以下功能： 集成语音留言 范围广泛的话音接口 支持 SRST, 分支机构可利用集中呼叫控制, 并通过SRST冗余性为IP电话经济有效地提供本地 分支机构备份Cisco 2821还支持QOS，包含网络扩展性，具有内置防火墙功能，提高内部网络的安全性、可靠性。第4章 路由设计4.1 路由协议选择 OSPF全称为开放式最短路径优先协议（Open Shortest-Path First），OSPF采用链路状态协议算法，每个路由器维护一个相同的链路状态数据库，保存整个AS的拓扑结构。一旦每个路由器有了完整的链路状态数据库。对于大型的网络，为了进一步减少路由协议通信流量，利于管理和计算，OSPF将整个AS划分为若干个区域，区域内的路由器维护一个相同的链路状态数据库，保存该区域的拓扑结构。 OSPF支持各种不同鉴别机制，并且允许各个系统或区域采用互不相同的鉴别机制；提供负载均衡功能；OSPF属动态的自适应协议，对于网络的拓扑结构变化可以迅速地做出反应，进行相应调整，提供短的收敛期，使路由表尽快稳定化，并且与其它路由协议相比，OSPF在对网络拓扑变化的处理过程中仅需要最少的通信流量；OSPF提供点到多点接口，支持无类型域间路由地址。4.2 路由规划拓扑图4.3 IP地址规划标识网络中的一个节点。IP 地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。我们根据以下几个原则来分配IP 地址：唯一性：一个IP 网络中不能有两个主机采用相同的IP 地址简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项连续性：连续地址在层次结构网络中易于进行路由总结(RouteSummarization)，大大缩减路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术(VLSM Variable-Length Subnet Mask)，以满足多种路由策略的优化，充分利用地址空间。Vlan的划分：总部Vlan虚拟ip工程部Vlan10192.168.10.254销售部Vlan20192.168.20.254财务部Vlan30192.168.30.254人事部Vlan40192.168.40.254网络部Vlan50192.168.50.254市场部Vlan60192.168.60.254经理Vlan70192.168.70.254IP地址的划分总部Ip地址子网工程部192.168.1.0255.255.255.0销售部192.168.2.0255.255.255.0财务部192.168.3.0255.255.255.0人事部192.168.4.0255.255.255.0网络部192.168.5.0255.255.255.0市场部192.168.6.0255.255.255.0经理192.168.7.0255.255.255.0第5章 网络安全解决方案5.1 网络边界安全威胁分析把不同安全级别的网络相连接，就产生了网络边界。防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。非安全网络互联带来的安全问题与网络内部的安全问题是截然不同的，主要的原因是攻击者不可控，攻击是不可溯源的，也没有办法去“封杀”。一般来说网络边界上的安全问题主要有下面几个方面： 1、信息泄密：网络上的资源是可以共享的，但没有授权的人得到了他不该得到的资源，信息就泄露了。一般信息泄密有两种方式： 攻击者(非授权人员)进入了网络，获取了信息，这是从网络内部的泄密 合法使用者在进行正常业务往来时，信息被外人获得，这是从网络外部的泄密 我们给贵公司设计的各部门之间的vlan划分，不同的vlan之间不能随意的访问，我们会设计权限和密码才能访问。2、入侵者的攻击：互联网是世界级的大众网络，网络上有各种势力与团体。入侵就是有人通过互联网进入你的网络(或其他渠道)，篡改数据，或实施破坏行为，造成你网络业务的瘫痪，这种攻击是主动的、有目的、甚至是有组织的行为。我们给贵公司设计的pix防火墙能设计策略，规定可以访问的服务，哪些人可以访问，防止一些不必要的入侵攻击。 3、网络病毒：与非安全网络的业务互联，难免在通讯中带来病毒，一旦在你的网络中发作，业务将受到巨大冲击，病毒的传播与发作一般有不确定的随机特性。这是“无对手”、“无意识”的攻击行为。 我们为贵公司购买了正版的金山毒霸的杀毒软件，给内部的员工机器安装上，防止员工机器上的客户资料收到病毒和木马的破坏。4、木马入侵：木马的发展是一种新型的攻击行为，他在传播时象病毒一样自由扩散，没有主动的迹象，但进入你的网络后，便主动与他的“主子”联络，从而让主子来控制你的机器，既可以盗用你的网络信息，也可以利用你的系统资源为他工作，比较典型的就是“僵尸网络”。 来自网络外部的安全问题，重点是防护与监控。来自网络内部的安全，人员是可控的，可以通过认证、授权、审计的方式追踪用户的行为轨迹，也就是我们说的行为审计与合轨性审计。由于有这些安全隐患的存在，在网络边界上，最容易受到的攻击方式有下面几种： 1、黑客入侵：入侵的过程是隐秘的，造成的后果是窃取数据与系统破坏。木马的入侵也属于黑客的一种，只是入侵的方式采用的病毒传播，达到的效果与黑客一样。 2、病毒入侵：病毒就是网络的蛀虫与垃圾，大量的自我繁殖，侵占系统与网络资源，导致系统性能下降。病毒对网关没有影响，就象“走私”团伙，一旦进入网络内部，便成为可怕的“瘟疫”，病毒的入侵方式就象“水”的渗透一样，看似漫无目的，实则无孔不入。 3、网络攻击：网络攻击是针对网络边界设备或系统服务器的，主要的目的是中断网络与外界的连接，比如DOS攻击，虽然不破坏网络内部的数据，但阻塞了应用的带宽，可以说是一种公开的攻击，攻击的目的一般是造成你服务的中断“魔高道高，道高魔高”。网络边界是两者长期博弈的“战场”，然而安全技术在“不断打补丁”的同时，也逐渐在向“主动防御、立体防护”的思想上迈进，边界防护的技术也在逐渐成熟，数据交换网技术就已经不再只是一个防护网关，而是一种边界安全网络，综合性的安全防护思路。也许安全的话题是永恒的，但未来的网络边界一定是越来越安全的，网络的优势就在于连通。5.2 网络内部安全威胁分析内部网络的风险分析主要针对整个内部网的安全风险主要表现一下几个方面：内部用户的非授权访问，安博集团的内部资源也不是对任何的员工开放的，也需要相应的访问权限内部用户的非授权的访问。更容易造成资源和重要信息的泄露内部用户的误操作：由于内部用户的计算机造作的水平参差不齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对误操作的防范措施，极容易给服务系统各其他主机造成危害内部用户的恶意攻击：就网络安全来说，据统计约有70%左右的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚的的优势，因此对内部用户攻击的防范也很重要。设备的自身安全行也会直接关系到安博公司网络系统和各种网络应用的正常运行，例如，路由设备存在路由信息泄露，交换机和路由器设备配置风险5.2 管理的安全威胁分析管理是网络中安全最最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案。因此，最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实，所造成的对整个网络的损失都是难以估计的。因此，管理中责任的划分建设是朝阳公司网络建设过程中重要的一环。5.3 安全产品选型原则 公司网络需要在考虑安全性的前提下，综合系统的其它性能，不影响网络系统运行效率、不影响正常的业务，定下系统综合服务品质参数，在此基础上，以不降低综合服务品质为原则，对信息安全产品进行选型。选型原则包括：安全性原则：产品系统具有多层次的安全保护措施，可以满足用户身份鉴别、访问控制、数据完整性、可审核性和保密性传输等要求；标准性：网络安全产品选型符合国家标准，产品的质量以及属性必须达到国家所要求的，符合本产品的性能；扩展性原则：在业务不断发展的情况下 ，产品系统可以不断升级和扩充，并保证系统的稳定运行；性价比：不盲目追求高性能产品，要购买适合自身需求的产品；产品与服务相结合原则：良好的售后服务，否则买回的产品出现故障时既没有技术又没有产品服务，使企业蒙受损失。5.4网络常用技术介绍PPP协议PPP协议是在点到点链路上承载网络层数据包的一种链路层协议，它能够提供用户验证、易于扩充，并且支持同/异步通信它的优点在于简单、具备用户验证能力、可以解决IP分配等。 PPP是一种多协议成帧机制，它适合于调制解调器、HDLC位序列线路、SONET和其它的物理层上使用。它支持错误检测、选项协商、头部压缩以及使用HDLC类型帧格式（可选）的可靠传输。 PPP提供了三类功能：1 成帧：他可以毫无歧义的分割出一帧的起始和结束。2 链路控制：有一个称为LCP的链路控制协议，支持同步和异步线路，也支持面向字节的和面向位的编码方式，可用于启动路线、测试线路、协商参数、以及关闭线路。3 网络控制：具有协商网络层选项的方法，并且协商方法与使用的网络层协议独立。PPP的两种认证方式一种是PAP，一种是CHAP。相对来说PAP的认证方式安全性没有CHAP高。PAP在传输password是明文的，而CHAP在传输过程中不传输密码，取代密码的是hash（哈希值）。PAP认证是通过两次握手实现的，而CHAP则是通过3次握手实现的。PAP认证是被叫提出连接请求，主叫响应。而CHAP则是主叫发出请求，被叫回复一个数据包，这个包里面有主叫发送的随机的哈希值，主叫在数据库中确认无误后发送一个连接成功的数据包连接认证阶段完成之后，PPP将调用在链路创建阶段（阶段1）选定的各种网络控制协议（NCP）。选定的NCP解决PPP链路之上的高层协议问题，经过三个阶段以后，一条完整的PPP链路就建立起来了。利用以太网（Ethernet）资源，在以太网上运行PPP来进行用户认证接入的方式称为PPPoE。PPPoE即保护了用户方的以太网资源，又完成了ADSL的接入要求，是目前ADSL接入方式中应用最广泛的技术标准。 。VtpVTP：是VLAN中继协议，也被称为虚拟局域网干道协议。它是思科私有协议。是十几台交换机在企业网中，配置VLAN工作量大，可以使用VTP协议，把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样他们可以自动学习到server 上的VLAN 信息。VTP是一种消息协议，使用第2层帧，在全网的基础上管理VLAN的添加、删除和重命名，以实现VLAN配置的一致性。可以用VTP管理网络中VLAN1到1005。有了VTP，建立一个VTP管理域，以使它能管理网络上当前的VLAN就可以在一台机换上集中过时行配置变更，所作的变更会被自动传播到网络中所有其他的交换机上。（前提是在同一个VTP域）为了实现此功能，VTP模式有3种 服务器模式（Server）客户机模式（Client）透明模式（Transparent）HSRP 协议我们使用HSRP来实现对故障路由器的接管,HSRP中文解释是热备份路由协议，其含义是系统中有多台路由器，它们组成一个“热备份组”，这个组形成一个虚拟路由器。在任一时刻，一个组内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将选择一个备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了路由器切换的问题。VLAN 技术一般的交换机端口只有属于一个vlan，对于多个vlan需要跨过多台交换机，就需要用到trunk技术。Trunk是指交换机之间与路由之间传递，从而可以将vlan跨越整个网络，而不仅仅是局限在一台交换机上。Cisco支持802.1q，isl的技术，其中Iee802.1q是业界标准协议，而isl是clsco专用的协议，用于在一条链路上封装多个vlan的信息，isl技术得到了inter等厂商的大力支持，tagswitching被3com及cajum支持。对于cisco交换机的trunk端口，既可以指定它的封装协议为802.1q或isl，也可以通过dtp协议自动协商，对也不同厂家的交换机相互连时很有帮助，对于trunk的定义只能在快速以太网端口和千兆以太网端口，也可以是快速以太通道或千兆以太通道，虽然我们采用的思科交换机，但是最为一个标准的，开放，先进的网络系统，我们推荐时采用ieee802.1q标准协议。Vlan即虚拟局域网，是一种通过将局域网内的设备逻辑的而不是物理的划分成一个一个网段从而实现虚拟工作组的新兴技术，iee于1999年颁布了用标准化vlan实现方案的802。1q协议标准草案。VLAN技术允许网络管理者讲一个物理的lan逻辑的划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包括一组有着相同需求的计算机工作站，与物理上形成的vlan有着相同的属性，但由于它是逻辑的而不是物理的划分，所以同一个vlan内的各个工作站无需笨哦放置在同一个物理空间里，即这些工作站不一定属于同一个物理vlan网段里，一个vlan内部的广播和单播流量都不会转发到其他vlan中，从而有助于控制流量，减少设备投资，简化网络管理，提高网络的安全性。Trunk 技术TRUNK是端口汇聚，就是通过配置软件的设置，将2个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机和网络节点之间的带宽，将属于这几个端口的带宽合并，给端口提供一个几倍于独立端口的独享的高带宽。Trunk是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。基于端口汇聚（Trunk）功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量， 大幅度提供整个网络能力。Trunk的优点： 1、可以在不同的交换机之间连接多个VLAN，可以将VLAN扩展到整个网络中。 2、Trunk可以捆绑任何相关的端口，也可以随时取消设置，这样提供了很高的灵活性。 3、Trunk可以提供负载均衡能力以及系统容错。由于Trunk实时平衡各个交换机端口和服务器接口的流量，一旦某个端口出现故障，它会自动把故障端口从Trunk组中撤消，进而重新分配各个Trunk端口的流量，从而实现系统容错。Easy-vpn技术移动VPN技术： Easy VPN Server是RemoteAccess VPN专业设备，而Easy VPN Remote就是专门为了小的分支机构所设计的，一般情况下，小分支接口的网络管理员的水平没有那么高，不可能去配置一堆复杂命令来实现SitetoSite VPN，这时候，只需要通过Easy VPN Remote这个特性配置几条简单的命令，就可以SitetoSite VPN。所有的配置都在Server端来完成，Client的VPN配置都由Server端采用“推”的方式应用到分支机构的设备上。这种技术极大地避免了分支机构配置VPN失败的问题。但这种VPN不支持路由，不支持组播，只能在IP协议下工作，不支持状态故障切换等技术。所以，需要网络管理员在自己的实际工作中留意这些功能是否需要，再决定是否实施Easy VPN技术。SPT协议STP是生成树协议可应用于环路网络，通过一定的算法实现路径冗余，同时将环路网络修剪成无环路的树型网络，从而避免报文在环路网络中的增生和无限循环。通过在交换机之间传递一种特殊的协议报文来确定网络的拓扑结构。配置消息中包含了足够的信息来保证交换机完成生成树计算。Spanning Tree Protocol(STP)是一种二层链路协议，又称生成树协议，该协议在IEEE802.1D文档中定义。该协议的原理是按照树的结构来构造网络拓扑，消除网络中的环路，避免由于环路的存在而造成广播风暴问题。该协议使用BPDU报文传递生成树信息。 STP的基本思想就是按照树的结构构造网络的拓扑结构，树的根是一个称为根桥的桥设备，根据设置不同，不同的交换机会被选为根桥，但任意时刻只能有一个根桥。由根桥开始，逐级形成一棵树，根桥定时发送配置报文，非根桥接收配置报文，并重新计算配置信息并转发，如果某台交换机能够从两个以上的端口接收到配置报文，则说明从该交换机到根有不止一条路径，便构成了循环回路，此时交换机根据端口的配置选出一个端口并把其他的端口阻塞，消除循环。当某个端口长时间不能接收到配置报文的时候，交换机认为端口的配置超时，网络拓扑可能已经改变，此时重新计算网络拓扑，重新生成一棵树。生成树协议最主要的应用是为了避免局域网中的单点故障、网络环回，解决成环以太网网络的“广播风暴”问题，OSPF协议Ospf链路状态的路由协议，使用与大中型的企业，OSPF将链路状态广播数据包LSA（Link State Advertisement）传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。OSPF路由协议支持路由验证，只有互相通过路由验证的路由器之间才能交换路由信息。并且OSPF可以对不同的区域定义不同的验证方式，提高网络的安全性。OSPF路由协议对负载分担的支持性能较好。OSPF路由协议支持多条Cost相同的链路上的负载分担，目前一些厂家的路由器支持6条链路的负载分担。Qos技术 QoS（Quality of Service）即服务质量。对于网络业务，服务质量包括传输的带宽、传送的时延、数据的丢包率等。在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高务质量。服务质量是相对网络业务而言的，在保证某类业务的服务质量的同时，可能就是在损害其它业务的服务质量。网络管理者需要根据各种业务的特点来对网络资源进行合理的规划和分配，从而使网络资源得到高效利用。 目前的Internet仅提供尽力而为(best-effort service)的传送服务，业务量尽快传送，没有明确的时间和可靠性保障。随着网络多媒体技术的飞速发展，公司的不断扩展需要 IP电话、视频会议、视频点播(VOD)、远程教育等多媒体实时业务、电子商务。这些不同的应用需要有不同的Qos(quality of service)要求，Qos通常用带宽、时延、时延抖动和分组丢失率来衡量。服务质量Qos系指用来表示服务性能之属性的任何组合。这些属性必须是可提供的、可管理的、可验证和计费的，必须是始终如一的、可预测的、有的属性甚至是起决定性作用的。为了满足各种用户应用的需要，构建对IP最优并具备各种服务质量机制的网络是完全必要的。专线服务、语音、文件传递、存储转发、交互式视频和广播视频是现有应用的一些例子。在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS 能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。 QoS的关键指标主要包括：可用性、吞吐量、时延、时延变化(包括抖动和漂移)和丢失。第6章 产品简介由于网络设备是整个网络的基础。因此采用主流的网络产品，以保证整个网络的稳定性和持续性。在该项目中。我公司选择美国cisco公司的网络设备，cisco公司是全球领先的网络设备提供商。拥有世界领先的技术水平和齐全的产品线，能够提供完善的售前、售后服务。6.1 cisco2821路由器 路由器：采用的是cisco2821系列的产品。该款能满足目前系统的需求。以及性能指标，也能方便以后的升级和扩展。Cisco路由器的简介：属于模块化路由扩展性强，内置防火墙。能支持vpn，qos等功能，转发率是0.04Mbps内存1024mb够公司办公，有百兆接口以及千兆接口，作为主干交换机实现1000M做主干100M到桌面的需求，在安装千兆光纤模块的同时，还可以安装百兆光纤模块，完全可以适应现在或将来的楼内光纤布线，灵活性很强。 （详见附表） 6.2二层交换机二层交换采用的cisco 2960系列的WS-C2960-48TT-L，是一个企业级可网管型的交换机，建立在一个功能强大且绝对无阻塞的16G交换背板上，可以保证堆叠中的所有端口间实现无阻塞的线速交换。接口为48以便新的员工的加入，全双工支持vlan技术，安全的保证不同vlan间的不部门不相互访问。（详见附表）6.3三层交换三层交换处于汇聚层，要求的采用了可扩展性，。安全性和可改进网络运营的管理能力，从而提高网络的运行效率。而CISCO WS-C3750G-24TS-S就是合适的选择他采用最新的思科StackWise智能堆叠技术，不但实现高达32Gbps的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统 - 就好像是一整台交换机一样。可以使用标准多层软件镜像（SMI）或者增强多层软件镜像（EMI）。SMI功能集包括先进的服务质量（QoS）、速率限制、访问控制列表（ACL）和基本的静态和路由信息协议（RIP）路由功能。EMI可以提供一组更加丰富的企业级功能，包括先进的、基于硬件的IP单播和组播路由。设备名称