家世公司网络项目规划书毕业论文.doc

家世公司网络项目规划书毕业论文目 录荣宏公司简介6引 言6第一章 项目需求分析71.1.项目背景71.2.需求析8第二章 网络总体建设目标92.1.网络建设目标92.2.网络及系统建设内容及要求92.3.网络设计原则10第三章 网络总体设计123.1.网络总体拓扑图123.2 网络层次化设计133.3 核心层设计143.4 接入层设计143.5 内联接入14第四章 路由设计154.1 路由协议选择154.2 路由规划拓扑图154.3 IP地址规划16第五章 网络安全解决方案175.1 网络边界安全威胁分析175.2 网络内公司安全威胁分析175.3 管理的安全威胁分析185.4 安全产品选型原则185.5 网络常用技术介绍19第六章 产品简介226.1 PIX 525防火墙226.2 CISCO 2800 系列集成多业务路由器226.3 CISCO Catalyst 3560 系列集成交换机226.4 CISCO Catalyst 2960 系列集成交换机236.5 ISA防火墙236.6 操作系统246.7 网管软件选择24第七章 设备清单及报价25第八章 项目实施方案258.1 项目组织结构258.2项目实施前的准备工作268.3安装前的场地准备278.4 核心及各网点的安装调试27第九章 网络测试289.1 网络测试目的289.2 测试文档29第十章 网络设备基本配置3010.1.网络描述3010.2.设备基本配置31第十一章 网络设备的技术实施方案3411.1 trunk配置3411.2 VTP配置3611.3 VLAN配置3811.4 STP配置3911.5 HSRP配置4011.6 OSPF配置4111.7 NAT配置4211.8 VPN配置4311.9 轮训配置4711.10 PPP配置48第十二章 项目测试4912.1查看物理连结、工作环境、网络设备工作是否合格4912.2 VLAN的测试5012.3 trunk的测试5112.4 STP生成树测试5112.5 HSRP的测试5212.6路由的测试5312.7DNS测试5412.8DHCP测试5412.9MAIL测试5412.10WEB测试5512.11FTP测试5512.12AD测试5512.13 服务器测试5612.14 文件备份测试5712.15 NAT&ACL测试5812.16 PPP测试5812.17 轮训测试5812.18 VPN测试59 致谢.61 引 言21世纪是信息产业的时代，全球信息电子化的潮流势不可挡，是知识经济的时代，人们所要求的信息量也就会越来越大，计算机被广泛应用，给经济和社会生活带来深刻的变革。随着信息技术和互联网的发展，信息化已经渗透到人类社会的各个方面，并逐步改变着人们的工作、学习和生活方式。随着计算机技术的迅猛发展和网络技术的出现标志着信息时代已经来临。信息化浪潮、网络革命不断冲击着社会的发展，人们逐渐意识到信息的重要意义，许多企业和个人纷纷建立了自己的网站。人们已开始利用网络和计算机学习和工作。做为一个时代前沿的服装行业，只有作出新选择、不断适应才能让公司发展的更快、更好。做为一个时代前沿的服装行业，只有作出新选择、不断适应才能让公司发展的更快、更好。2011年，家世公司决定构建内公司网络，以实现与其他代理商、顾客、本公司工作人员等众多人的良好沟通。第一章 项目需求分析1.1. 项目背景 家世服装贸易有限公司是一家注册资金5000万。集服装设计、服装加工、服装销售与于一体的有限责任公司。公司法人代表李启明随着Internet的迅速发展，更多的人热衷于通过网络进行网上购物。为适应当今的市场需求，家世公司决定构建内公司网络，以实现与其他代理商、顾客、本公司工作人员等众多人的良好沟通。为了保证构建网络的质量、工期、成本，家世公司网络单列为项目，组织专业人员讨论并编写了招标文件，从社会公开招标，通过竞争来选择有实力的系统集成公司对此次项目进行实施本项目的目标是：“建立一个设计规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台，以高效率，高速度，低成本的方式提高公司员工的工作效率与执行效率”。以下是规划贵公司需要面临的问题：1：家世公司总公司有销售公司、设计公司、人事公司、生产公司、财务公司以及其它工作人员，为提高网络的安全性、防止网络因单块网卡故障引起的网络问题。2：由于总公司与分公司之间有大量的数据进行传输，总公司与分公司之间的数据传输的安全性、可靠性、以及传输速率也是我们必须考虑的问题。3：由于总公司承载这整个公司的运行，因此总公司网络的稳定性、安全性是进行网络规划面临的重要问题。4：考虑到公司网络运行的廉价性，要尽可能少的运用公网IP地址的。5：由于总公司有自己的网络服务器，服务器及操作系统的选择也是该网络面临的重要问题。6：由于公司有众多的服务器，因此中心机房的室内环境以及中心机房的网络防护设施、电路的安全性都是必须考虑的问题。7：考虑到公司构建网络的廉价性，我们要做到用传输速率较低的传输介质承载较高的带宽。8由于web服务器访问人员较多，服务器的负载均衡也是必须考虑的问题。1.2. 需求析 满足公司信息化的要求,为各类应用系统提供方便、快捷的信息通路；具有良好的性能，能够支持实时性的数据传输；能够可靠运行，具有较低的故障率和维护要求。提供网络安全机制，满足公司信息安全的要求，具有较高的性价比，未来升级扩展容易，保护用户投资；同时要保证用户使用简单、维护容易，为用户提供良好的售后服务。本项目网络可以划分总公司和分公司以及外出移动的工作人员三公司分构成。总公司地点分为数据中心、核心交换区、服务器和普通员工接入等。数据中心作为工厂生产运营系统的核心数据的存放地，其性能、稳定性、安全性、可靠性的要求极高，在这里我们建议将其放在中心机房室内的温度、空气湿度、安全防护设施等各项性能指标都要达到标准中心机房的性能指标、使用性能较好的思科交换机同时做二层和三层的冗余备份、传输介质建议使用千兆以太网甚至光纤，同时使用与之相匹配的网络防火墙；我们在进行网络设计不仅要能够保证其安全性的，同时还保证网络的性能以及网络运行的可靠性。作为外联单位接入区域，其安全性应该是放在第一位，同时，生产运营系统的运行离不开网络和数据中心的连接，适当性的冗余是必须的技术。分公司地点办公网络作为内公司互联单位，可信度较高，因此其内公司网络的可用性是首要考虑因素。为了能够使外出的工作人员能够安全的、廉价的访问公司内公司服务器实现跨Internet办公，显然VPN最佳选择。对于外公司的接入，我们建议通过easy VPN进行拨号接入，以实现廉价、安全的数据通信。对于家世公司的员工来说，由于各公司门之间通信量较少，各公司门之间网络的安全性、减少广播域的泛洪等都是不得不考虑的问题；对于公司内各公司门对网络的依存程度不同，我们要保证网络中对网络依靠程度较高公司门的数据优先、快速的进行数据转发；对于公司的服务器，由于客户以及内公司员工都需要访问公司的网络服务器，因此网络服务器的运行速度、性能的稳定性，都是必须考虑的问题，在这里我们建议通过光纤或千兆以太网接入来保证网络的运行速度，同时接入UPS保证网络供电的稳定性以及断电时服务器数据的正常保存等其它作业；对于网络的安全性我们建议选用硬件防火墙进行内公司网络的安全防护；对于公司的存储服务器上的数据我们要用更安全的手段进行数据保护，防止内公司数据的外泄。对于服务器的接入，为防止其他工作人员的错误操作影响网络的正常运行，我们建议通过端口安全、网络设备的特权密码设置、服务器上安装软防火墙等方式进行安全维护；为实现廉价的网络构建成本，我们将通过NAT技术尽可能多的节约公网IP地址数量。为便于未来网络的管理、维护，我们建议开启CDP、telnet等诸多协议便于网络管理员对网络的管理；为是便于未来网络的扩展，我们建议中心网络设备再考虑性价比的同时还要考虑其冗余性；对于后期的网络管理员培训我们尽量会使用图形化配置，以减少贵公司的网络管理员学习难度等。在服务器VLAN中有windows2003平台以及LINUX平台，搭建有DHCP服务器，有DNS服务器实现域名解析，有万维网服务器，实现局域网络内公司的信息服务，要求使用集群技术和raid-5技术以及ftp服务器，实现文档的上传和下载，要求采用配额。对于网络设备的管理我们建议将重要设备放入中心机房，这样便于网络设备的统一管理、给予合理的运行环境。我们将通过防火墙配置严格限制外公司人员对公司重要服务器的访问、同时我们会让计算机在网络运行过程中做好每天的数据备份工作。第二章 网络总体建设目标2.1 .网络建设目标 我们以先进、成熟的网络应用技术，设计和规划家世公司网络系统；采用先进的计算机、网络设备和软件，以及先进的系统集成技术，构建一个高效的办公网络。正确地规划和设计的计算机网络。为企业实现数据共享、资源共享，提供稳定的信息交换和网络系统服务平台。此项系统网络项目工程的建设目标主要包括以下方面：1.为公司的业务数据提供便捷的查询服务。2.搭建公司核心网络及服务器,以实现生产、销售等系统的高效运行。各公司用户能够进行资源共享，并能够进行上网查资料，电子邮件，对外发布网站等等。3.确保企业内网的安全性，为服务器和客户机提供安全可靠的网络环境，按要求实现网络安全的需求。4.WEB服务器：公司在CNNIC处申请了域名以及对应的固定IP，搭建公司门户站点。同时公司有自己的内网域名，发布公司动态等信息。5要求计算机网络系统满足系统集成的网络平台需求，并考虑对设备投资保护，保证未来15-20年内的系统扩展。6. 要对员工用户安全、账户管理、用户权限管理、网络访问控制等，并提供完善的日志功能。7.通过多种网络技术组建一个高效、稳定、可靠、易管理、安全的企业网。8.优秀的销售服务无时无刻为贵公司服务。2.2 .网络及系统建设内容及要求 根据公司中心机房的网络情况，我们把整个网络分为内公司交换网络设计、网络出口设计，网络安全设计几大公司分。对于内公司交换网络我们采用分层设计。内公司交换网络分成核心层和接入层两大公司分。公司数据中心网络平台承载着公司所有的关键核心业务，设计时，保证中心机房网络的高可用性和稳定性至关重要，设计时中心路由交换机建议采用热备（HSRP），各分支交换机两条上联千兆线路分别上连到两台中心路由交换机上，构成全路由交换的网络；借助于跨骨干的VLAN 技术，使得对于网络内有关Server 的访问变得更加安全有效。 对于总公司与分公司（两者之间的距离较近）之间的通信我们采用专用的线路（使用广域网连接的PPP协议）进行数据通信。这样，不仅能够满足分公司大量数据的快速传输，同时还能够保证数据的安全性。 对于外公司用户的拨入，我们通过easy VPN进行。easy VPN是通过Internet建立的一种临时的、安全的网络链接，是外出移动工作人员远程拨入公司内公司的最佳选择。 对于边界网络接入网络（与合作伙伴、分支机构以及Internet 接入通称为边界网络），网络的安全性将是一个需要考虑的非常重要的因素。所以确保在网络的边界处公司署相应的安全策略以防止黑客和各种恶意代码的攻击至关重要，同时边界处的设备的冗余设计也是设计考虑的一个重要因素，防止单点故障。对于服务器，采用RID5磁盘阵列，数据除第一次用完全备份后，以后每天做增量备份，备份的的服务器或设备单独放置其他全安地点。 此次家世公司的网络建设将采用先进的计算机、网络设备和软件，以及先进的系统集成技术和管理模式，实现一个高效的办公网络体系。我们保证：所以硬件必须是新产品，而且在质量和性能上能提供可靠证明、集成商所提供的硬件设备应符合国建有关标准及规定、系统采用TIA/EIA568A和568B以及其它相关布线标准实施、所有员工均能连到互联网上、IP地址规划要合理其次要满足未来发展的需要、网络技术采用高宽带、高速度且简单成熟的以太网交换技术、为了满足设备的兼容性，路由交换应该采用相同的设备。网络中的各类服务器设备和网络设备以及各种操作系统和应用软件必须考虑技术上的先进性，国内外及各行业的通用性，并且要有良好的市场形象与售后技术支持，便于维护和升级。 系统测试及验收要求：1：在系统的整体安装、调试完成和工程的施工结束后，必须按相应的标准，提供测试方案对系统功能性、连通性等做综合测试。2：建设方与施工方代表在场依据测试文档和测试报告再综合测试审核工程建设情况。3：要能够保证公司的网络管理员在自己的办公司能够登录公司内任意一台网络设备。4：要能够通过我们提供的网管软件测试公司的数据流量。5：为了设备的安全性，在进行设备调试的时候，都需要给设备加上密码，密码由贵公司制定。6: 本项目所有网络设备全公司使用 CISCO的网络设备。7：施工期间必须对用户技术人员进行必要的技术培训。2.3.网络设计原则 网络设计应该遵循开放性和标准化原则、实用性与先进性兼顾原则、可用性原则、高性能原则 、经济性原则 、可靠性原则、适度的可扩展性原则、充分利用现有资源原则、易管理性原则、易维护性原则、最佳的性能价格比原则等。 作为一家优秀的系统集成商，向用户提供的不仅仅是设备，而是整套的技术与服务。在方案设计时，我们将严格遵循以下设计原则：1：可用性 构建一个网络，可用性是最基本的网络设计目标。由于本网络对数据的安全性要求较高，因此在网络的总体设计时重点要考虑的是网络本身的安全性以及设备自身的安全性。2：安全性 在当今这样社会是一个信息社会的时代，信息的安全性将这接影响到企业的综合效益。因此网络的建设中安全性显的尤为重要。网络系统应配备全面的病毒防治和安全保护功能。3：易操作以管理性 在保证网络各方面性能的同时，也要注意网络管理的易操作以管理性。网络布线的设计要求便于管理和维护，当某条链路出现故障时，必须保证可以在主设备间或配线间内重新配置。4：可扩展性 对于企业来说，发展迅速具有不可预料的特点。因此，要保证网络具有较好的可扩张性。它包括IP地址的可扩展性物理链路的可扩展性。5：冗余性 在网络的规划是要考虑具有适当的冗余度。软硬件设备都应具有一定的冗余性，以提高网络的运行效率（主要是总公司）。6：容错性不能因某台设备的故障而影响到整个主干网络的正常运行；尽量做到任意一条链路的中断不能使得主干网络的任何公司分中断工作。第3章 网络总体设计3.1.网络总体拓扑图 考虑到总公司的实际需求（总公司办公楼三座，员工住宿楼5座公司实际人数800人），因此在进行网络设计是不仅要考虑二成的冗余，同时还要进行三层的冗余。在二层冗余建议使用思科的私有协议每VLAN生成树协议，由于总共五个公司门，不会因为广播BPDU帧而影响网络的正常运行，而且还可以充分利用现有的网络资源，防止单台核心设备的负载太重而导致的网络性能问题。在进行三层冗余时，我们建议采用两台CISCO Catalyst 3560（或使用49系列） 做热备，同时使用CISCO 私有热备份路由协议技术（HSRP）。CISCO Catalyst 35系列交换机是一种价格低廉，有较高转发速率的三层交换机，同时还是CISCO生产线中适合做HSRP的交换机之一。HSRP是思科的私有协议，它的优点是网络的收敛速度快，能够更好的使用网络变化，它可以根据需求配置成多组HSRP等功能，这样设计保证网络的高可用性和稳定性，充分利用现有设备的资源，以避免单台核心设备的负载太重而导致的网络性能问题。对于AD的选择，由于要不断的进行策略的更改下发、加上LINUX系统域服务远不如WINDOW，我们建议使用window操作系统，这样便于网络管理员进行操作。由于公司有大量的顾客以及公司员工要访问公司web服务器，我们将通过在核心路由器上配置轮训，以实现两台web服务器的负载均衡。 由于分公司也连接internet，那么内公司网络安全问题仍然不能忽视。分公司人员只有40-50人，那么访问internet占用的流量不多我们建议使用ISA来做分公司的网络防火墙。这样能够承载的网络流量不如硬件防火墙，但能够满足分公司的现在以及未来的网络需求。 对于外出的工作人员，他需要了解公司的相关情况，我们建议通过使用廉价、方便、快捷的easy VPN实现外出用户的远程拨入，同时这样还能为公司工作人员实现家庭办公提供有利的条件。 由于总公司与分公司相距较近，且两公司门之间有大量的实时数据进行传递，同时从安全的角度进行考虑，总公司与分公司之间使用专线连接（协议选择PPP协议）是最佳选择。为保证网路的冗余性专线出现问题，我们建议分公司通过IPSEC VPN实现与总公司的网络链接。 如上图所示，整体网络可以根据功能划分为总公司核心网络、内联接入，各区域相对独立，通过核心网络进行数据的交互。各区域可以各自建立交换网络、路由接入、网络安全体系，可以有独立的安全策略、数据流量控制等个体的特性，而需要和其他区域的设备进行通讯的时候，则必须遵守核心网络区的策略。 作为总公司，需要向分公司及总公司内的员工进行软件的安全，策略的发布等。如果通过管理员手动设置的方式进行相关操作，很不现实，通过域模型可以很方便的解决这个问题。因此我们建议在总公司设立一台域控制器，以便于对公司员工的计算机进行统一的管理。 3.2 网络层次化设计 随着网络技术的迅速发展和网上应用量的增长，分布式的网络服务和交换已经移至用户级，由此形成了一个新的、更适应现代的高速大型网络的分层设计模型。这种分级方法被称为“多层设计”。多层设计有以下一些好处：1：多层设计有很好的容错功能.2：多层设计是模块化的，网络容量可随着日后网络节点的增加而不断增大。3：多层网络系统设计最有效地利用多种第3 层业务，包括分段负载分担和故障恢复等。4：多层网络中运用智能第3 层业务可以大大减少因配置不当或故障设备引起的一般问题。5：多层模式使网络的移植更为简单易行，因为它保留了基于路由器和交换机的网络原有的寻址方案，对以往的网络有很好的兼容性。6：多层设计有很好的冗余性。随着网络规模的不断扩大，网络的可用性变的越来越重要。 由于分层设计的网络每台接入层交换机连接两台汇聚层交换机，每台汇聚层交换及连接两台核心层交换机，借以确保路径的冗余性。 针对实际情况我们可以采用二层结构模型。 二层结构模型划分核心层、接入层。每个层次完成不同的功能。核心层 核心层作为整个网络系统的核心。它的功能主要是实现骨干网络之间的优化传输,核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要公司分，其主要功能是高速、可靠的进行数据交换。业务汇聚层 业务汇聚层任务通常是冗余能力、可靠性、为接入层交换机提供接口和高速的传输，同时进行接入层的数据流量汇聚，并对数据流量进行访问控制（包括访问控制列表、VLAN 路由等等）。汇聚层是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。接入层 接入层主要任务是为终端用户提供足量的接口。因此接入层交换机具有低成本和高端口密度特性。同时，接入层是最终用户与网络的接口，它应该提供即插即用的接口，同时应该非常易于使用和维护。主要是进行VLAN的划分、与分布层的连接等等。3.3 核心层设计 核心交换机的作用是尽快地提供所有的区域间的数据交换。我们推荐使用两台CISCO Catalyst 3560交换机完成此项功能。两台3560交换机高性能、可靠性、可用性是我们主要考虑的因素。本区的安全性可以由边界防火墙提供，如有需要在3560 上面可以公司署安全策略，使得核心交换区的安全性进一步地增强。CISCO Catalyst 3560 系列凭借众多智能服务将控制扩展到网络边缘，其中包括先进的服务质量 (QoS)、可预测性能、高级安全性和全面的管理，同时它还支持图形化配置。它提供带集成永续性的出色控制，将永续性集成到硬件和软件中，缩短了网络停运时间。3.4 接入层设计 对于公司连接员工的接入层交换机采用思科的WS-C2960 以千兆以太链路和汇聚交换机相连接，并为用户终端提供10/100M 自适应的接入，从而形成千兆为骨干，百兆到桌面的以太网三层结构。办公系统所需的各种服务器如WEB服务器、邮件服务器、FTP服务器、域控制器等组成服务器群，对于连接服务器的接入层交换机，建议使用有较高吞吐量的交换机二层交换机来做接入层接入，以满足当前以及未来的网络需求，在这里我们建议使用SR2042系列交换机3.5 内联接入 内联接入的作用是用于连接总公司和分公司之间的网络。我们推荐总公司是用CISCO 2821路由器、分公司是用2811路由器。CISCO 2821自带2个10/100/1000兆自适应端口，可以作为连接两台3560系列交换机是用，是用WIC模块连接广域网接口。与相似价位的前几代思科路由器相比，CISCO 2800系列的性能提高了五倍、安全性和话音性能提高了十倍、具有全新内嵌服务选项，且大大提高了插槽性能和密度，同时保持了对目前CISCO 1700系列和CISCO 2600系列中现有90多种模块中大多数模块的支持，从而提供了极大的性能优势，它是当前CISCO公司唯一种价格低廉，功能完备的路由器，是做内联接入的首选路由器。第4章 路由设计4.1 路由协议选择 为达到路由快速收敛、寻址以及方便网络管理员管理的目的，我们建议采用动态路由协议。目前较好的动态路由协议是OSPF 协议和EIGRP 协议。OSPF 以协议标准化强，支持厂家多，受到广泛应用，而EIGRP 协议由CISCO 公司发明，不便于未来网络扩展，考虑到网络的快速收敛和扩展性、公开性、投资的保护等原因，我们设计采用OSPF路由协议和静态路由相结合的路由方式。OSPF(Open Shortest Path First开放式最短路径优先)是一个内公司关协议(Interior Gateway Protocol,简称IGP)，用于在单一自治系统(autonomous system,AS)内决策路由。OSPF的协议管理距离（AD）是110。4.2 路由规划拓扑图4.3 IP地址规划 IP地址是用来标识网络中的一个节点。IP 地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空间，又要便于管理员手动配置以及IP地址的扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。我们根据以下几个原则来分配IP 地址：唯一性：一个IP 网络中不能有两个主机采用相同的IP 地址。简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项。连续性：连续地址在层次结构网络中易于进行路由总结(RouteSummarization)，大大缩减路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性。以管理、以维护性：由于网络中需要启用NAT技术，在进行网络规划是我们认为不必要考虑 IP地址浪费问题。我们着重考虑的应该是网络的IP地址配置、子网掩码配置的方便、简单、易操作等问题。 第5章 网络安全解决方案5.1 网络边界安全威胁分析 网络的边界隔离不同功能或地域的多个网络区域，由于职责和功能的不同，相连网络的密级也不同，这样的网络直接相连，必然存在着安全风险，下面我们将对公司网络就网络边界问题做脆弱性和风险的分析。5.2 网络内公司安全威胁分析公司内公司网络的风险分析主要针对整个内网的安全风险，主要表现为以下几个方面：1、内公司用户的非授权访问；内公司的资源也不是对任何的员工都开放的，也需要有相应的访问权限。内公司用户的非授权的访问，更容易造成资源和重要信息的泄漏。2、内公司用户的误操作；由于内公司用户的计算机造作的水平参差不齐，对于应用软件的理解也各不相同，如果一公司分软件没有相应的对误操作的防范措施，极容易给服务系统和其他主机造成危害。3、内公司用户的恶意攻击；就网络安全来说，据统计约有70左右的攻击来自内公司用户，相比外公司攻击来说，内公司用户具有更得天独厚的优势，因此，对内公司用户攻击的防范也很重要。4、重要服务器或操作系统自身存在安全的漏洞，如果管理员没有及时的发现并且进行修复，将会为网络的安全带来很多不安定的因素。5、重要服务器的当机或者重要数据的意外丢失，都将会造成内公司的业务无法正常运行。如断电、硬盘损坏等问题。6、安全管理的困难，对于众多的网络设备和网络安全设备，安全策略的配置和安全事件管理的难度很大。5.3 管理的安全威胁分析管理是网络中安全最最重要的公司分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时（如内公司人员的违规操作等），无法进行实时的检测、监控、报告与预警。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案。因此，最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实，所造成的对整个网络的损失都是难以估计的。因此，管理中责任的划分建设是家世公司网络建设过程中重要的一环。5.4 安全产品选型原则 公司网络属于一个行业的专用网络，因此在安全产品的选型上，必须慎重，选型的原则包括：1、安全保密产品的接入应不明显影响网络系统运行效率，并且满足工作的要求，不影响正常的业务；2、安全保密产品必须满足上面提出的安全需求，保证整个公司企业网络的安全性。3、安全保密产品必须通过国家主管公司门指定的测评机构的检测；安全保密产品必须具备自我保护能力；4、安全保密产品必须符合国家和国际上的相关标准；5、适用原则。绝对的安全是不存在的，因此公司必须具有“安全风险”意识。信息安全产品的安装不一定意味信息系统不发生安全事故。所有的安全产品只是降低安全事件发生的可能性，减小安全事件所造成的损失，提供弥补损失的手段。6、结合实际原则：企业应考虑清楚自己信息系统最大的安全威胁来自何处，信息系统中最有价值的是什么，信息系统造成的哪些损失是自己无法忍受的。安全产品只要为企业提供足够的手段应对主要的安全威胁，将可能的损失减小到可以接受的范围之内。7、不降低信息系统综合服务品质的原则。目前中国许多企业往往是在信息系统规划（或建设）完成之后才考虑信息安全，即所谓的“打安全补丁”。这种“补丁”做法往往会给信息安全产品的选型带来很多困难，因为很多时候，信息安全与系统的使用便利性和效率往往是一对矛盾。8、企业需要在考虑安全性的前提下，综合系统的其它性能，结合评估系统的服务品质，定下系统综合服务品质参数，在此基础上，以不降低综合服务品质为原则，对信息安全产品进行选型。9、安全产品必须操作简单易用，便于简单公司署和集中管理 。5.5 网络常用技术介绍HSRP 协议 我们使用HSRP来实现对故障路由器的接管,HSRP中文解释是热备份路由协议，其含义是系统中有多台路由器，它们组成一个或多个“热备份组”。这每一个热备份组中的所有路由器共享一个虚拟IP与MAC。在任一时刻，这个组内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将选择一个备份路由器（需配置端口抢占）来替代活动路由器，但是在本网络内的主机看来，本机的网关仍然没有down掉。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了路由器切换的问题。由于每一个热备份组中的活动路由器可以不集中在一个路由器上（可通过优先级配置），因此HSRP能够较好的实现负载均衡。 HSRP组中的路由器通过的组播地址交换组播hello包来发布优先级，hello消息在配置HSRP组的链路上交换缺省条件下，路由器每3秒发送一个hello消息。如果活跃的激活路由器在保持时间（缺省条件为10秒）的可配置时间段内无法发送hello，拥有最高优先级的备份路由器将被激活，开始接收发网组MAC地址的包。OSPF协议 OSPF（中文名开放最短路径优先协议）协议是典型的链路状态路由协议，每个路由器都有和本区域内其它路由器相同的链路状态数据库，而后路由器根据SP-F算法计算出到达目的地的最短路径，其写入路由表。 OSPF工作原理是：通过hello报文发现邻居，在通过LSA的泛洪形成相同的链路状态数据库，最后通过SP-F算法计算出到达目的地的最短路径，将其写入路由表。 OSPF协议的借口状态有五种：down、init、two-way、exstart、exchange、loading、full五种状态。Down状态没有收到hello包；init状态是指收到hello包；two-way状态双方都收到对方的hello包.启用OSPF路由协议的路由器中都会有一个链路状态数据库，它保存着7中类型的LSA，其中前五种类型用于相同AS之间的路由通信，后两种用于外公司。1、路由LSA：它是由非DR、非BDR通过的组播地址发送个DR、BDR。2、网络LSA：它是有DR、BDR始发通过的组播地址发送给其它非DR、BDR的路由器。3、网络汇总LSA：它是由ABR始发通告其它区域的LSA给 0 区域。4、ASBR汇总LSA：它是由ABR始发通告ASBR的位置。5、自治域系统LSA：它是由ASBR始发，向area 0 通告不同AS之间的路由信息。7：类型 7的LSA：它是由特殊区域产生的LSA。 对于大型的网络，为了进一步减少路由协议通信流量，OSPF可以将网络划分不同的区域，防止网络中大量的LSA防洪影响网络的运行速度。为减少路由表提高网络的查询速度，OSPF定义了末梢区域、完全末梢区域、次末节区域、完全次末节区域等。VLAN 技术VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE 于1999 年颁布了用以标准化VLAN 实现方案的802.1Q 协议标准草案。VLAN 技术允许网络管理者将一个物理的LAN 逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN 都包含一组有着相同需求的计算机工作站，与物理上形成的LAN 有着相同的属性。一个VLAN内公司的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。Trunk 技术 一般的交换机端口只能属于一个VLAN，对于多个VLAN 需要跨过多台交换机，就需要用到Trunk 技术，它的作用是承载不同的VLAN信息。Trunk 是指交换机之间或交换机与路由器之间VLAN 之间的连接，VLAN 信息通过Trunk 在交换机之间或路由器之间传递，从而可以将VLAN 跨越整个网络，而不仅仅是局限在一台交换机上。CISCO 支持802.1Q、ISL 两种trunk封装技术。其中IEEE 802.1q 是业界的标准协议，而ISL 是CISCO 专有的协议，用于在一条链路上封装多个VLAN 的信息。对于CISCO 交换机的Trunk 端口，既可以指定它的封装协议为802.1q 或ISL，也可以通过DTP 协议自动协商。DTP 协议主要用于处理Trunk 端口的802.1q 和ISL 封装协议的自动协商，对于不同厂家的交换机互连时很有帮助。 对Trunk 的定义只能在快速以太网端口和千兆以太网端口上进行，它既可以是单个的快速以太网端口或千兆以太网端口，也可以是快速以太网通道或千兆以太网通道。虽然我们采用的是思科交换机，但是最为一个标准的、开放、先进的网络系统，我们推荐是用IEEE802.1Q 标准协议。Spanning-Tree协议 在局域网中是不允许出现环路的，而为了实现冗余和负载的均衡，通常会有多条链路的连接，这样就会引入环路。为了解决这个矛盾，推出了STP 协议。STP 算法会将网络中的连接生成一个树，通过特定的算法自动将优先权高的链路激活，将优先权低的链路阻塞，保证在网络中任何时候都不会出现环路。如果网络的连接状况发生了变化，STP 算法会自动地重新计算新的连接关系，重新选出新的活动的连接。STP 对于终端是透明的，终端感觉不到STP 的操作过程。在交换机上可以通过修改端口的优先级来改变连接的优先权，使得STP 算法将高优先权的连接作为活动连接，例如：两个交换机之间有两条链路连接，一条是光纤连接，另一条是双绞线连接，由于光纤连接明显要比双绞线连接更稳定、更可靠，我们可以将交换机上的光纤端口的优先权设定成比双绞线端口更高的优先权，这样STP 算法就会将光纤连接作为活动连接，而将双绞线连接阻塞。CISCO 交换机的一个非常有用的特性就是可以对每个VLAN 设置Spanning -Tree ,而不是对整个网络只能属于一个Spanning-Tree。这个特征是很多厂商的设备所不具备的。 CISCO 交换机端口支持每VLAN 的生成树协议，每个端口都可设置基于VLAN 的Cost 或Priority 参数，从而实现在多条路径上的负载均衡能力。目前多数厂商都支持STP 协议，但是不允许多个STP 域。采用多个STP 域显然可以获得比单个域高的网络可靠性。DHCP协议 动态主机分配协议是一个局域网的网络协议，使用UDP协议工作，主要作用：给内公司网络或网络服务供应商自动分配IP地址、子网掩码、DNS、网关，减少网络管理员的配置负担。DHCP工作原理：DHCP客户端首次正确登录网络后，以后再登录网络时，只需要广播包含上次分配IP地址的DHCP_request报文即可，不需要再次发送DHCP_discover报文。DHCP服务器收到DHCP_request报文后，如果客户端申请的地址没有被分配，则返回DHCP_ack确认报文，通知该DHCP客户端继续使用原来的IP地址。 如DHCP服务器分配给客户端的动态IP地址通常有一定的租借期限，期满后服务器会收回该IP地址。如果此IP地址有效，则DHCP服务器回应DHCP_ack报文，通知DHCP客户端已经获得新IP租约。 动态分配指的是：当 DHCP 第一次从 DHCP 服务器端租用到 IP 地址之后，并非永久的使用该地址，只要租约到期，客户端就得释放(release)这个 IP 地址，以给其它工作站使用。当然，客户端可以比其它主机更优先的更新(renew)租约，或是租用其它的 IP 地址。这样在一定的程度上可以减少IP地址的浪费问题。在贵公司的网络运行DHCP我们建议在路由器或其它服务器上附加DHCP功能（这就需要做DHCP转发器），这样可以降低构建成本（如果设置一台DHCP服务器成本太高）。第6章 产品简介6.1 PIX 525防火墙 PIX 525是CISCO的硬件防火墙，硬件防火墙有工作速度快，使用方便等特点。 PIX 525有很多型号，并发连接数是PIX防火墙的重要参数。 CISCO Secure PIX 525防火墙是世界领先的CISCO Secure PIX防火墙系列的组成公司分，能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。它所提供的完全防火墙保护以及IP安全（IPSEC）虚拟专网（VPN）能力使特别适合于保护企业总公司的边界。 防火墙是网络安全的屏障。 Pix 525防火墙（作为阻塞点、控制点）能极大地提高一个内公司网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。Pix 525防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。 6.2 CISCO 2800 系列集成多业务路由器模块化CISCO2800 系列集成多业务路由器. 建立在思科20 年的领先地位及创新技术的基础之上，智能地将数据、安全性和话音服务内嵌于单一永续系统，能快速、可扩展地提供关键任务业务应用。CISCO 2800 系列的独特集成系统架构提供了最高业务灵活性和投资保护。 CISCO 2800 系列由四个新平台组成：CISCO 2801、CISCO 2811、CISCO2821 和CISCO 2851。与相似价位的前几代思科路由器相比，CISCO2800 系列的性能提高了五倍、安全性和话音性能提高了十倍、具有全新服务选项，且大大提高了插槽性能和密度，同时保持了对目前CISCO 1700 系列和CISCO 2600 系列中现有90 多种模块中大多数模块的支持，从而提供了极大的性能优势。 CISCO 2800 系列能以线速为多条T1/E1/xDSL 连接提供多种高质量并发服务。这些路由器提供了内嵌加密加速和主板话音数字信号处理器（DSP）插槽；入侵保护和防火墙功能；集成化呼叫处理和语音留言；用于多种连接需求的高密度接口；以及充足的性能和插槽密度，以用于未来网络扩展和高级应用。6.3 CISCO Catalyst 3560 系列集成交换机 思科新推出的CISCO Catalyst 3560 系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。 中型组织和企业分支机构而言，CISCO Catalyst 3560 系列可以通过提供配置灵活性，支持融合网络模式，已经自动配置智能化网络服务，降低融合应用的公司署难度，适应不断变化的业务需求。此外，CISCO Catalyst 3750 系列针对高密度千兆位以太网公司署进行了专门的优化，其中包含多种可以满足接入、汇聚或者小型网络骨干网连接需求的交换机。 CISCO Catalyst 3560 系列可以使用标准多层软件镜像（SMI）或者增强多层软件镜像（EMI）。EMI可以提供一组更加丰富的企业级功能，包括先进的、基于硬件的IP 单播和组播路由。思科STACKWISE 技术是一种针对千兆位以太网优化的、先进的堆叠架构。利用特殊的堆叠互联电缆和堆叠软件，思科STACKWISE 技术最多可以将9 台单独的CISCO Catalyst 3750 交换机连接到一个统一的逻辑单元中。堆叠相当于一个单一的交换单元，由一个从成员交换机中选出的主交换机管理。主交换机可以自动地创建和升级所有的交换信息和可选的路由表。一个工作中的堆叠可以在不中断服务的情况下，添加新的成员或者移除旧的成员。6.4 CISCO Catalyst 2960 系列集成交换机 CISCO Catalyst 2960 系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强LAN 服务。Catalyst 2960 系列具有集成安全特性，包括网络准入控制(NAC)、高级服务质量和永续性，可为网络边缘提供智能服务。Catalyst 2960 系列中的IBNS 可防止未授权接入，并确保用户只获得其指定权利。它能动态管理网络接入的具体层次。使用802.1x 标准和思科安全访问控制服务器（ACS），无论用户在何处连接到网络中，都可在验证基础上分配到一个VLAN。设置使IT 公司门能在不影响用户移动性的情况下，以最低管理开销实施强大的安全策略。凭借动态主机配置协议(DHCP)监听，可以只允许来自不可信用户端口的DHCP 请求（但不允许响应）进入网络，从而防止DHCP 电子欺骗。此外，DHCP 接口跟踪器(选项82) 特性可为主机IP 地址请求添加交换机端口ID，有助于实现对于IP 地址分配的精确控制。MAC 地址通知特性可向管理站发送报警，从而监控网络和跟踪用户，以使网络管理员知道用户何时、从何处进入网络。TACACS+或RADIUS 验证实现了交换机的集中访问控制，并限制未授权用户改变配置。此外，可在交换机上配置本地用户名和密码数据库。6.5 ISA防火墙ISA是微软公司的产品，全名叫Internet Security and Acceleration，它有标准版、企业版两种。ISA 服务器构建在 Microsoft Windows Serve 2003 和 Windows 2000 Server 等服务器操作系统上。它以其低廉的价格，以及简单的图形化操作在中小型企业有很大的市场占有率。 ISA能够提供安全、快速和管理的internet连接。ISA server集成了可扩展、多层企业级的防火墙和伸缩的高性能web缓存系统。构建在windows 2003的安全特性和目录基础上，提供基于策略的安全、加速和管理。每个组织的安全策略和规则都不同。 通过快速和高效的访问internet内容，可以极大程度上提高您的生产效率。ISA server web缓存通过将web信息保存在本地，在用户需要的时候提供本地服务，可以极大的提高性能，节省网络带宽资源。这样员工可以更快的访问所需要的内容，通过降低额外的internet访问费用改善了性能。6.6 操作系统 针对大中型企业而设计的 Windows Server 2003 企业版是推荐运行某些应用程序的服务器应该使用的操作系统，这些应用程序包括：联网、消息传递、清单和顾客服务系统、数据库、电子商务 Web 站点以及文件和打印服务器。Windows Server 2003 企业