企业网络规划

辽 宁 工 业 大 学 计算机网络基础 实训报告题目： 企业网络规划 院（系）: 专业班级： 学 号： 学生姓名： 指导教师： 教师职称： 起止时间： 实训任务及评语院（ 教研室：学 号学生姓名专业班级实训题目企业网络规划实训任务实训任务及要求：1、掌握基本网络的组建方法2、掌握子网划分的方法。3、了解WEB、FTP服务器的用途。实训过程中，要严格遵守实训的时间安排，听从指导教师的指导。正确地完成上述内容，记录实习日记，规范完整地撰写出实训报告。指导教师评语及成绩成绩： 指导教师签字： 辽 宁 工 业 大 学 实 训 说 明 书（论 文）目 录第1章 实训目的与要求11.1 实训目的11.2 实训环境11.3 实训的预备知识11.4 实训要求1第2章 实训内容22.1网络总体设计22.2网络详细设计32.3网络管理软件的应用11第3章 实训日记17第4章 实训总结18参考资料19第1章 实训目的与要求1.1 实训目的 本实训要求学生能够对网络进行子网划分，掌握WEB、FTP服务器的组建方法，了解WEB、FTP服务器的用途及测试方法。1.2 实训环境 网络环境下，多媒体计算机一台（每人）。1.3 实训的预备知识 该实训安排在计算机网络基础课程结束后进行，学生已经掌握了一定的网络基础知识。1.4 实训要求实训过程中，要严格遵守实训的时间安排，听从指导教师的指导。正确地完成上述内容，记录实习日记，规范完整地撰写出实训报告。第2章 实训内容2.1 网络总体设计1、背景描述企业许多核心业务都运转在服务器上，而一些公司的web服务、网站等都需要服务器的支持，因为系统管理员需求维护这些服务器。具体工作主要是：配置和管理服务器，安装管理DNS服务器，为终端用户颁发许可证，管理本地和远程式终端等。通过以上操作，服务器才能真正为企业服务，而服务器正常运转后，服务器的网络环境、运行状态、参数设置等情况又是需要管理员时刻关注的。网络用户是网络行为的参与者，只有保证每个网络用户的行为是安全的，才能确保网络系统不被破坏，不受病毒侵害。需要网络管理系统对网络用户的终端操作行为进行有效控制，合理、合法控制其使用终端的权利，从而保证终端系统的程序运行是稳定、健康的，有利于形成良好的网络环境，提高工作效率。领导决策层希望可以根据需要，自由定义网络统计报表，通过报表直观查看整个IT系统的运行数据和运行状态;同时，这样也可以方便网络管理员及时整理发布各类型统计报告，为领导做IT预算和IT规划提供依据。设计原则企业需求为基本原则：坚持以企业具体需求为企业网信息系统方案设计的根本和前提，同时，也要注重保证前提更要高于前提的原则，注意用专业化的技术思想来帮助企业进行企业网的规划与设计，确保企业网的实用性、先进性和便于扩展性。品质与成匹配原则：选择品质最好的设备不一定是最佳方案，成本因素也是一个不容忽视的问题，只有将品质与成本实现最佳匹配，才是一个最优秀的方案。设备选型兼顾原则：满足企业对公司的现代化管理的要求；满足企业网建设及国联网的要求；所选设备在国际上保持技术先进性；供应商有良好的商业信誉和优质的国内、国际的售后服务。2、网络拓扑图根据企业网络规划做如2.1所示的拓扑图：图2.1 网络拓扑图3、网络拓扑说明路由器作为整个网络的出口担负了很大的任务，所以他必须是要高性能才可以。路由器后面是一个防火墙，保证内网的安全。之后是一个核心层交换机。Switch A是人事部、客服部还有后勤部的设备，Switch B是经理部的设备，Switch C是财务部的设备。2.2网络详细设计1、IP分配我们选择C类IP地址，网络地址我们选择192.1 50.0.0。根据网络的特性，我们把网络划分5个子网，每个子网分配30个IP地址。由计算得知对于 网络 以及子网掩码 24。具体子网划分如表2.1。表2.1 子网划分 网络主机数广播地址从到0123234545672627282958596061909192932223242554552、设备选择路由器因为责任重大，所以我们选择锐捷RG-NBR2500。RG-NBR2500是锐捷网络公司推出的高性能高端宽带路由器。它主要定位于以太网/光纤/ADSL接入的普教中小学、政府、企业机构、网吧、酒店等网络环境。RG-NBR2500是锐捷网络公司针对高带宽应用环境的一款旗舰级千兆核心宽带路由器，其带机数可达1500台。它采用64位高性能专用网络处理器，固化带有1个千兆和2个百兆以太网WAN口，5个千兆以太网LAN口，一个Console配置口，最大支持50万条的超大容量NAT并发会话。RG-NBR2500拥有先进的千兆硬件架构，业内最高的小包转发能力，内置高性能防火墙，具备超强防病毒、防攻击能力，丰富的内网安全特性和智能的带宽管理功能，人性化的WEB管理和监控界面，以及专利的设备联动管理为大型网络构建高速、安全、稳定、智能、易管理的千兆网络提供最佳的出口解决方案。防火墙我们选择锐捷RG-WALL。RG-WALL系列采用锐捷网络独创的分类算法（Classification Algorithm）设计的新一代安全产品第三类防火墙，支持扩展的状态检测（Stateful Inspection）技术，具备高性能的网络传输功能；同时在启用动态端口应用程序(如VoIP、H.323等)时，可提供强有力的安全信道。采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响，产品安装前后丝毫不会影响网络速度；同时，RG-WALL在内核层处理所有数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。另外，RG-WALL具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。RG-WALL的主要功能包括：扩展的状态检测功能、防范入侵及其它（如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等）附加功能。针对于核心交换机的工作的特点，我们选择锐捷RG-S6800E。RG-S6800E是锐捷网络推出的基于NP+ASIC构架的新一代多业务万兆核心路由交换机，RG-S6800E在保障高性能大容量的基础上提供强大的安全防护能力，并且拥有业务按需叠加扩展能力，达到业务和性能并重的设计需求。目前提供10竖插槽设计和6横插槽设计两种主机：RG-S6810E和RG-S6806E。RG-S6800E系列多业务万兆核心路由交换机提供2.4T/1.2T背板带宽，并支持将来扩展到4.8T/2.4T的能力，高达857Mpps/428Mpps的二/三层包转发速率可为用户提供高速无阻塞的数据交换，强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是大型网络核心骨干和大流量节点交换机的理想选择。RG-S6800E交换机通过先进的第三代高性能引擎可硬件支持策略路由、IPV6等协议，并可扩展支持MPLS、load balancing、NAT、VPN、Firewall、IDS、web cache redirect等丰富的业务功能，满足客户环境灵活而复杂的不同应用需求。对于汇聚层的交换机我们选择锐捷STAR-S2128G。STAR-S2128G是锐捷网络推出的充分融合了高性能、高安全、多智能、易用性的安全智能交换机。在提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性同时，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，可有效防止和控制病毒传播和网络攻击，控制非法用户使用网络，保证合法用户合理使用网络资源，充分保障网络安全和网络合理化使用和运营。S2128G可通过SNMP、Telnet、Web和Console口等多种配置方式提供丰富的管理，方便网络管理和维护。S2128G还采用了灵活复用的千兆上链接口形式，非常利于用户根据网络布线需要，选择所需的上链接口形式。STAR-S2128G以极高的性价比为各种类型网络接入提供完善的端到端的QoS服务质量、灵活丰富的安全策略管理和基于策略的网管，非常适合作为宽带小区、商务楼宇、宾馆、企业网（政务网）、校园网等应用的接入设备，为用户提供了高速、高效、安全、智能的接入方案。3、设备调试1划分VLAN将人事部、客服部、后勤部划为VLAN1，经理部为VLAN2，财务部为VLAN3。Switch#configure terminal /进入全局配置模式Switch(config)#vlan 1 /创建vlan1Switch(config-vlan)#name 1 /命名为1Switch(config)#vlan 2 /创建vlan2Switch(config-vlan)name 2 /命名为2Switch(config)#vlan 3 /创建vlan3Switch(config-vlan)name 3 /命名为3Switch(config)#interface fastethernet 0/5 /进入F0/5口 Switch(config-if)#switch access vlan 1 /将当前口加入VLAN 1Switch(config)#interface fastethernet 0/10 /进入F0/10口Switch(config-if)#switch access vlan 2 /将当前口加入VLAN2Switch(config)#interface fastethernet 0/15 /进入F0/15口Switch(config-if)#switch access vlan 3 /将当前口加入VLAN3图2.2测试界面12快速生成树协议RSTP在经理部和财务部之间建立快速生成树，使网络在有冗余链路环路的产生，避免广播风暴。SwitchB#configure terminal /进入全局配置模式SwitchB(config)#spanning-tree /开启生成树协议SwitchB(config)#endSwitchB#configure terminal /进入全局配置模式SwitchB(config)#spanning-tree made rstp /设置生成树协议模式为RSTPSwitchB(config)#spanning-tree priority 8192 /配置生成树优先级3编号的标准IP访问列表其他部门对财务部进行访问，但经理部可以对财务部进行访问。Red-Giant#configure terminal /进入全局配置模式Red-Giant(config)#interface fastethernet 0 /进入F0口Red-Giant(config-if)#ip add /配置端口IP地址Red-Giant(config-if)#no sh /开启端口 Red-Giant(config)#interface fastethernet 1 /进入F1口Red-Giant(config-if)#ip add /配置端口IP地址Red-Giant(config-if)#no sh /开启端口Red-Giant(config)#interface fastethernet 2 /进入F2口Red-Giant(config-if)#ip add /配置端口IP地址Red-Giant(config-if)#no sh /开启端口Red-Giant(config-if)#exitRed-Giant(config)#access-list 1 deny 55 /设置拒绝同过的IP段Red-Giant(config)#access-list 1 permit 55 /设置允许通过的IP段Red-Giant(config)#interface fastethernet 1Red-Giant(config-if)#ip access-group 1 out图2.3测试界面 24、网络安全由于互联网络的发展，整个世界经济正在迅速地融为一体，而整个国家犹如一部巨大的网络机器。计算机网络已经成为国家的经济基础和命脉。计算机网络在经济和生活的各个领域正在迅速普及，整个社会对网络的依赖程度越来越大。众多的企业、组织、政府部门与机构都在组建和发展自己的网络，并连接到Internet上，以充分共享、利用网络的信息和资源。网络已经成为社会和经济发展强大动力，其地位越来越重要。伴随着网络的发展，也产生了各种各样的问题，其中安全问题尤为突出。了解网络面临的各种威胁，防范和消除这些威胁，实现真正的网络安全已经成了网络发展中最重要的事情。网络面临的主要威胁主要来自下面几方面:1:黑客的攻击黑客对于大家来说，不再是一个高深莫测的人物，黑客技术逐渐被越来越多的人掌握和发展，目前，世界上有20多万个黑客网站，这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞，因而系统、站点遭受攻击的可能性就变大了。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得黑客攻击的隐蔽性好，“杀伤力”强，是网络安全的主要威胁。2:管理的欠缺 网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上，很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA的调查显示，美国90的IT企业对黑客攻击准备不足。目前，美国7585的网站都抵挡不住黑客的攻击，约有75的企业网上信息失窃，其中25的企业损失在25万美元以上。3:网络的缺陷 因特网的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存的TCP/IP协议族，缺乏相应的安全机制，而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输，基本没有考虑安全问题，因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。4:软件的漏洞或“后门”随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在，比如我们常用的操作系统，无论是Windows还是UNIX几乎都存在或多或少的安全漏洞，众多的各类服务器、浏览器、一些桌面软件、等等都可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞，这也是网络安全的主要威胁之一。5:企业网络内部网络内部用户的误操作，资源滥用和恶意行为再完善的防火墙也无法抵御来自网络内部的攻击，也无法对网络内部的滥用做出反应。由此可见，有众多的网络安全风险需要考虑，因此，企业必须采取统一的安全策略来保证网络的安全性。一个完整的安全技术和产品包括：身份认证、访问控制、流量监测、网络加密技术、防火墙、入侵检测、防病毒、漏洞扫描等；而造成安全事件的原因则包括技术因素、管理因素以及安全架构设计上的疏漏等问题。1.外部入侵的防范措施(1)网络加密(Ipsec)IP层是TCP/IP网络中最关键的一层，IP作为网络层协议，其安全机制可对其上层的各种应用服务提供透明的覆盖式安全保护。因此，IP安全是整个TCP/IP安全的基础，是网络安全的核心。IPSec是目前唯一一种能为任何形式的Internet通信提供安全保障的协议。对于用户来说，便可以对于不同的需要定义不同级别地安全保护(即不同保护强度的IPSec通道)。IPSec为网络数据传输提供了数据机密性、数据完整性、数据来源认证、抗重播等安全服务，使得数据在通过公共网络传输时，不用担心被监视、篡改和伪造。IPSec是通过使用各种加密算法、验证算法、封装协议和一些特殊的安全保护机制来实现这些目的，而这些算法及其参数是保存在进行IPSec通信两端的SA(Security Association，安全联盟)，当两端的SA中的设置匹配时，两端就可以进行IPSec通信了。在虚拟专用网(VPN)中主要采用了IPSec技术。(2)防火墙防火墙是一种网络安全保障手段，是网络通信时执行的一种访问控制尺度，其主要目标就是通过控制进、出一个网络的权限，在内部和外部两个网络之间建立一个安全控制点，对进、出内部网络的服务和访问进行控制和审计，在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监视了内部网络和Internet之间的任何活动，保证了内部网络的安全。 防火墙有软、硬件之分，实现防火墙功能的软件，称为软件防火墙。软件防火墙运行于特定的计算机上，它需要计算机操作系统的支持。基于专用的硬件平台的防火墙系统，称为硬件防火墙。它们也是基于PC架构，运行一些经过裁剪和简化的操作系统，承载防火墙软件。(3)入侵检测部署入侵检测产品，并与防火墙联动，以监视局域网外部绕过或透过防火墙的攻击，并及时触发联动的防火墙及时关闭该连接；同时监视主服务器网段的异常行为，以防止来自局域网内部的攻击或无意的误用及滥用行为。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力。2.内部非法活动的防范措施(1)身份认证网络安全身份认证是指登录计算机网络时系统对用户身份的确认技术。是网络安全的第一道防线，也是最重要的一道防线。用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由安全管理员按照需要进行配置。审计系统根据审计设置记录用户的请求和行为，同时入侵检测系统实时或非实时地检测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统提供的用户的身份。身份认证在安全系统中的地位极其重要，是最基本的安全服务，其它的安全服务都要依赖于它。一旦身份认证系统被攻破，那么系统的所有安全措施将形同虚设。黑客攻击的目标往往就是身份认证系统，因此身份认证实在是网络安全的关键。(2)访问控制访问控制决定了用户可以访问的网络范围、使用的协议、端口；能访问系统的何种资源以及如何使用这些资源。在路由器上可以建立访问控制列表，它是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。在应用系统中，访问控制的手段包括用户识别代码、口令、登录控制、资源授权(例如用户配置文件、资源配置文件和控制列表)、授权核查、日志和审计。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据，根据授予的权限限制其对资源的利用范围和程度。(3)流量监测目前有很多因素造成网络的流量异常，如拒绝服务攻击(DoS)、网络蠕虫病毒的传播、一些网络扫描工具产生的大量TCP连接请求等，很容易使网络设备瘫痪。这些网络攻击，都是利用系统服务的漏洞或利用网络资源的有限性，在短时间内发动大规模网络攻击，消耗特定资源，造成网络或计算机系统瘫痪。因此监控网络的异常流量非常重要。基于SNMP收集的网络流量信息包括：输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。基于Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集，在此基础上实现的流量信息采集效率和效果均能够满足网络流量异常监测的需求。通过以上管理机制和技术措施的实施，提高了网络安全性，降低了网络安全事故的风险，保证了网络长期平稳的运行。2.3网络管理软件应用这两年，病毒木马日益猖獗，刚刚还笼罩在熊猫烧香的阴影里，机器狗又出来作祟而且更为重要的是防火墙工具，配置好实时防护后，防火墙工具可以一直驻守你的电脑，从而捍卫系统安全。这里为大家带来的是国外一款比较知名的网络防火墙工具Agnitum Outpost Firewall，该软件是一款短小精悍的网络防火墙软件，不但具有一般防火墙的防护功能，还可以扫描系统中的间谍软件，还具有广告和图片过滤、内容过滤等功能。最为重要的是，该软件是市场上第一个支持插件的防火墙，因此，它的扩展性很好，功能也更强大，下面一起来看看。一、设置应用程序访问规则安装并运行Outpost防火墙，与通常的防火墙工具一样，该软件会对所有的程序进行金控，各类应用程序第一次运行时，你可以设置程序的访问规则，包括“禁止”、“允许”和“创建规则”三种。图2.4设置应用程序访问规划这里对于信任的程序，可以勾选“Allow all activties for thin application”或者点击下方的“Allow Once”来对程序放行。反之则可以点击“Block once”来阻止程序的运行。当然，Outpost已经在安装时为常用的网络应用程序预设了规则，只要点击“create rules using preset”，然后选择“custom”，参照软件的预设值就可以手动建立新的访问规则。二、轻松查杀间谍软件恶意软件是令很多用户都非常反感的东西，也正因为这样，才催生了瑞星卡卡、金山系统清理专家、360安全卫士、恶意软件清理助手一类的上网安全辅助工具，而借助Agnitum Outpost Firewall，你可以不再安装单独的恶意软件工具了。新版的Outpost具有间谍软件查杀的功能，而且提供了向导式界面操作，很简单。点击任务栏上托盘图标，选择“scan for spyware”一项，将打开一个向导窗口，可以设置为快速扫描、完全扫描以及典型扫描等模式。图2.5多种间谍软件扫描模式选定好某种方式后，点击“下一步”按钮，将执行扫描，并给出扫描结果，笔者的机器刚进行了全面清理，所幸的是没有查到间谍软件。图2.6间谍软件扫描结果三、防火墙防护模式选择Outpost个人防火墙的最大的一个特点就在于使用简单，安装运行后立刻开始工作，无须用户做复杂的设置工作。但用户可以根据自己需要进行简单的设置，Outpost个人防火墙有五种防护模式，运行时会在系统托盘区显示目前处于哪一种防护模式下。如果你发现有网络入侵时，应立即停止所有网络访问。这里的五个选项的含义依次是：全部阻止、阻止绝大部分、按规则向导设置、允许绝大部分程序和禁用防火墙。这些设置都很简单，只要进行简单的选择即可。图2.7防火墙防护模式除了通过任务栏上图标进行修改外，还可以双击托盘图标从而打开软件主界面，在“Firewall”选项中，我们仍然可以看到防火墙规则设置，这里还可以看到网络连接和端口使用情况。图2.8防火墙安全级别设置在“Attack Detection”中，可以开启防攻击的功能，默认是开启的，但是安全级别比较低。点击安全级别后面的链接，可以打开设置界面，这里拖动滑块即可设置安全级别，与IE安全级别设置方法类似，这里不再介绍。图2.9更改安全级别设置四、特色功能插件扩展前面提到，Outpost个人防火墙的一大特色是插件功能，这些插件之间以及与主防火墙模块之间是相互独立的，通过插件这种开放式结构，可以使功能得到进一步扩展，为对付不断出现的新型网络非法入侵提供了方便。Outpost个人防火墙默认的插件有广告过滤、入侵检测、内容过滤、附件过滤、活动内容过滤、DNS缓存等。其中广告过滤功能可以通过检测网页中的字符串和带超级链接的图象尺寸的方法，阻止网页上的旗帜广告(banner)的显示，如果想要保留某个网站中的广告，可以把它的网址添加到信任站点列表中，这样就能正常显示了。具体操作是点击“settings”，在打开的窗口中，点击“web control”下的“Ads and sites”，在右侧的界面中点击相应的选项进行设置。图2.10广告过滤图2.11阻止广告条目此外，Outpost个人防火墙还可以检测到来自Internet网和局域网的多种网络入侵，阻止浏览符合过滤条件的网页和网站。可以控制网