2022年中国矿业大学计算机网络与安全实践设计报告doc

1、运算机网络与安全实践设计报告运算机网络与安全实践设计报告某集团公司局域网设计专业 : 信息安全班级 : 09-3班小组成员：管宇佳吴春姗丁君指导老师：李锡渝职 称：试验师中国矿业高校运算机科学与技术学院2022 年 6 月 徐州1 运算机网络与安全实践设计报告题 目 某集团公司局域网设计设计日期 2022 年 6 月 11 日至 2022 年 6 月 18 日小组成员 在本次设计中承担的任务 文档成果管宇佳 网络拓扑设计及设备选型吴春姗 需求分析调查、案例分析以及试验报告丁君 具体网络配置指导老师签字：年月日2 运算机网络与安全实践设计报告目录一、引言 . 51.1 建立企业局域网的必要性.

2、51.2 需求分析 . 5二、网络设计的目标与要求. 62.1 问题重述 . 6 2.2 整体设计策略 . 6 2.3 网络设计步骤 . 6 三、背景学问与分析 . 63.1 背景学问 . 6 四、方案设计与实现 . 74.1 总体规划 . 7 4.2 设备挑选 . 8 4.2.1 选型原就 . 84.2.2 网络层次划分硬件系统结构硬件挑选. 84.3 网络拓扑设计 . 9 4.4 VLAN与 IP 地址规划 . 10 4.5 设备配置 . 10 4.5.1 路由器交换机的基本配置. 10 4.5.2 配置 VLAN . 10 4.5.3 配置 VTP . 11 4.5.4 配置动态路由协议

3、. 12 4.5.5 配置 DHCP . 12 4.5.6 配置 NAT . 13 4.5.7 配置默认路由 . 14 4.5.8 配置 VPN . 14 4.6 NAT设计分析 . 15 4.7 路由协议的规划. 15 4.7 系统安全设计 . 16 五、网络安全设计与治理. 16 5.1 病毒防治 . 16 5.2 建立防火墙 . 17 5.3 网络的保密措施. 17 5.4 数据安全性和完整性措施 . 18 六、本方案的系统特点 . 19 3 运算机网络与安全实践设计报告6.1 合理的系统结构 6.2 牢靠的安全防护 6.3 充分的扩充余地 6.4 稳固的系统性能. 19 . 19 .

4、20 . 20 七、终止语 . 20 八、致谢 . 20 4 运算机网络与安全实践设计报告一、引言 21 世纪是一个信息技术高度发达的社会,无论是办公或者是通信都离不开运算机；现在的人越来越依靠于运算机,再加上电子商务行业的飞速进展Internet 的应用也更加广泛；由于这样的社会环境人们对各种数据形式的信息需求和沟通的不断增长,使得当今的运算机网络,特殊是 Internet 从传统的数据处理设备（如运算机）和治理工具中驳离出来,担当一个特别重要的角色信息技术的基础设施与猎取、共享和沟通信息的主要工具,并成为人们在当今社会生活及工作中不行缺少的组成部分；经过了几年的迅猛进展,运算机网络已经在很

5、多方面转变了人们传统的工作和生活方式 Web浏览、Email 、QQ（上网谈天） 、VOD（视频点悉播） 、文件传输、远程诊断、电子商务、网络高校及虚拟学校等无一不与运算机网络有着千丝万缕的联系；这些基于网络的各种应用,正在以惊人的速度扩展,几乎渗透到了社会生活的各个方面；因此, 在全球信息电子化、网络化快速进展的大环境下,无论是从大趋势上看, 仍是从自身商业利益角度考虑,由之路；1.1 建立企业局域网的必要性建立企业内部局域网是企业顺应时代潮流的必1 建立企业内部局域网,可以充分利用企业现有的硬件资源；节约公司开支,实现无纸化办公； 提高企业员工的工作效率,由于局域网企业内部的资源可以得到共

6、享,防止了不必要的重复工作也可以提高时间的利用率；2 局域网建成后可以节约企业在使用网络资源方面节约更多的开支,便于公司员工查 阅和接受网络信息,也可以简化公司对运算机的日常爱护和治理,节约爱护成本；3 建立局域网提高公司在办公自动化水平和企业内部应用电子商务的才能,逐步实现业务级网络应用； 更有利于企业获得更快、更精确的市场信息,为公司决策供应更科学的依据等；4 建立了局域网也可以使外界能更快更好的熟悉本企业,加强企业的知名度；1.2 需求分析为了能让公司更好的与现代社会的进展接轨,更快的猎取市场信息及为了让外界明白该 本公司的相关信息特组建企业网,以实现对“ 公司档案治理”、“ 产品信息”

7、、“ 供求信息” 等 进行运算机网络化治理；网络功能 依据公司现有规模,业务需要及进展范畴建立的网络有如下功能：1.建立公司自己的网站,可向外界发布信息,并进行网络上的业务；2.要求供销部可以连接 Internet ,与各企业保持联络,接受订单及发布本公；3.司产品信息；其他部门都不能连接Internet ,但要求公司内部由网络连接；4.公司内部网络实现资源共享,以提高工作效率；5.建立网络时应留意网络的扩展性,以便利日后的网络升级和增加运算机；6.司内部建立公司的数据库,如员工档案,业务方案,会议日程等；5 运算机网络与安全实践设计报告二、网络设计的目标与要求 2.1 问题重述 某集团公司共

8、六个分公司,其中四个在集团工业园内各个建筑物内,总部为工业园内30 层的主楼,第一分公司与主楼相距50 米,其次分公司与主楼相距50 米,第三分公司与主楼相距 5 公里,第四分公司与主楼相距8 公里,另外两个分公司在另外的两个城市有各自的办公楼； 各公司及总部都有自己的运算机室,财务部, 行政部, 生产部, 研发部, 后勤部,业务部及人力资源部；2.2 整体设计策略因特网投入和区域网分别第一,在项目的具体设计过程中, 我们需要将因特网接入部分和集团公司园 区网络主体部分进行分别, 这样的话让每一部分完成其自身的功能,可以削减两 者之间的相互影响；其次,因特网接入的变化,只影响接入的变化,对集团

9、公司 园区网络没有影响； 而园区网络的变化对因特网接入部分影响较小；这样可以增 强网络的扩展才能；保持网络层次结构清楚,便于治理和爱护；降低各子公司间的网络关联度由于各子公司之间主要是与集团公司进行业务的往来；子公司之间的业务往 来比较少, 因此降低这部分的网络关联, 可以最大限度的削减各个子公司网络之 间的相互影响,便于分别治理,或者在不同子公司扩展网络的新应用；统一标准,统一治理在整个操作完成中,我们采纳统一的IP 应用标准（ IP 地址,路由协议）,安全标准,接入标准和网络治理平台,这样才能实现真正的统一治理,便于集 团的治理和网络策略的实施；2.3 网络设计步骤对公司网络系统整体方案设

10、计 对接入层交换机进行配置 对汇聚层设备选型 对核心层设备选型 对广域网接入路由器进行配置 对远程拜访服务器进行配置 对整个公司网系统进行测试三、背景学问与分析3.1 背景学问路由、交换与远程拜访技术是现代运算机网络领域中三大支撑技术体系；它们几乎涵盖 6 运算机网络与安全实践设计报告了一个完整园区网实现的方方面面；路由技术： 路由协议工作在 OSI参考模型的第 3 层,因此它的作用主要是在通信子网间路由数据包； 路由器具有在网络中传递数据时挑选正确路径的才能；除了可以完成主要的路由任务,利用拜访掌握列表（Access Control List,ACL）,路由器仍可以用来完成以路由器为中心的流

11、量掌握和过滤功能；在此题案例设计中,内网用户不仅通过路由器接入因特网、内网用户之间也通过 3 层交换机上的路由功能进行数据包交换；交换技术： 传统意义上的数据交换发生在OSI模型的第 2 层；现代交换技术仍实现了第3 层交换和多层交换；高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了园区网数据交换服务质量,满意了不同类型网络应用程序的需要；现代交换网络仍引入了虚拟局域网（ Virtual LAN,VLAN）的概念； VLAN 将广播域限制在单个 VLAN 内部,减小了各 VLAN 间主机的广播通信对其他VLAN 的影响；在 VLAN 间需要通信的时候, 可以利用 VLAN间路由技

12、术来实现；当网络治理人员需要治理的交换机数量众多时,可以使用 VLAN 中继协议（ Vlan Trunking Protocol, VTP）简化治理,它只需在单独一台交换机上定义全部 VLAN；然后通过 VTP协议将 VLAN 定义传播到本治理域中的全部交换机上；这样, 大大减轻了网络治理人员的工作负担和工作强度；为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的；园区网数据交换设备可以划分为三个层次：拜访层、分布层、 核心层； 拜访层为全部的终端用户供应一个接入点；分布层除了负责将拜访层交换机进行聚集外,仍为整个交换网络供应 VLAN 间的路由挑选功能；核心

13、层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换；在本工程案例设计中,也将采纳这三层进行分开设计、配置；远程拜访技术： 远程拜访也是园区网络必需供应的服务之一；它可以为家庭办公用户和出差在外的员工供应移动接入服务；远程拜访有三种可选的服务类型：专线连接、 电路交换和包交换； 不同的广域网连接类型供应的服务质量不同,花费也不相同； 企业用户可以依据所需带宽、 本地服务可用性、花费等因素综合考虑,挑选一种适合企业自身需要的广域网接入方案；）在本工程案例设计中,分别采纳专线连接（到因特网）和电路交换（到公司网）两种方式实现远程拜访需求；作为一个较为完整的公司网实现,路由、 交换与远程拜访技

14、术缺一不行；在后面的内容中,我们将就每一技术领域的常用技术的实现进行具体的争论；通过本书后面章节的学习,信任读者能够系统地把握园区网的设计、实施以及爱护技巧；四、方案设计与实现4.1 总体规划采纳的是层次设计模型,即分别有核心层,汇聚层和接入层,这样的设计模型便于对整个网络的治理与排错,但对核心交换机的性能要求较高；因此,本网使用两台核心交换机,并且汇聚层交换机都分别与两台核心层交换机相连,然后采纳HSRP协议,当其中一台核心交换机显现故障时能很快地切换到另一台核心交换机上,起到很好的备份作用,保证了网络7 运算机网络与安全实践设计报告的稳固性；总部与其中四个公司距离不远,采纳光纤接入,可保证

15、数据的快速传输；但分公司 5和分公司 6 由于在不同的城市,距离较远, 拉专线相连开销过大,因此我们将总公司和分公司的边缘路由器都连到 Internet 上,然后采纳 VPN 技术使分公司能与总公司能够相互通信；考虑到分公司较多,可能需要传递的路由条目比较多,因此, 本网运行当今中大型网络中主流的动态路由协议 OSPF；OSPF使用区域的概念,当网络拓扑发生转变时 ,影响的范畴只限制在局部的本区域内,防止对全网的影响；由于公司内部使用的都是私有 IP 地址,因此边缘路由器上我们需要采纳 NAT技术把私有 IP 地址转换为公有 IP 地址才能拜访 Internet ；全部边缘路由器先连接防火墙再

16、连接到 Internet ,防火墙连接 Internet 的接口设置为外部接口,连接公司边缘路由器的接口为内部接口,连接服务器的接口为 DMZ；这样可预防外部人员对公司的网络进行攻击,为网络供应了肯定的安全保证；4.2 设备挑选4.2.1 选型原就我们在网络系统设计时考虑如下特点：稳固牢靠的网络：一般来说, 只有运行稳固的网络才是牢靠的网络,而网络的牢靠运行取决于诸多因素,要求有物理层、数据链路层和网络层的备份技术；高带宽： 为了支持数据、 话音、视像多媒体的传输才能,在技术上要到达当前的国际先进水平； 要采纳最先进的网络技术,以适应大量数据和多媒体信息的传输,所以采纳高宽带传输；易扩展的网络

17、： 系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的进展不断升级；安全性： 网络系统应具有良好的安全性,才能使用户用着比较合适,由于网络连接园区内部全部用户,安全治理特别重要；所以应支持VLAN 的划分,并能在VLAN 之间进行第三层交换时进行有效的安全掌握,以保证系统的安全性；简单掌握治理 :由于上网用户很多,因此我们需要治理好他们的通信,做到既保证肯定的用户通信质量,又合理的利用网络资源；4.2.2 网络层次划分 硬件系统结构硬件挑选接入层： Cisco Catalyst 2960系列智能以太网交换机是一

18、个全新的、固定配置的独立设备系列,供应桌面智能以太网,可与10/100/1000 千兆以太网连接,可为入门级企业、中型市场和分支机构网络供应增强 LAN 服务；Cisco Catalyst 2960可供应：.集成安全特性,包括网络准入掌握 NAC .高级服务质量 QoS和永续性 .为网络边缘供应智能服务 8 运算机网络与安全实践设计报告汇聚层： Cisco. Catalyst. 3560-E 系列交换机 图 1是一个企业级独立式配线间交换机系 列,支持安全融合应用的部署,并能依据网络和应用需求的进展,最大限度地爱护投资；通 过将 10/100/1000 和以太网供电 PoE配置与万兆以太网上行

19、链路相结合,Cisco Catalyst 3560-E 能够支持 IP 电话、无线和视频等应用,提高了员工生产率；Cisco Catalyst 3560-E系列的主要特性：.Cisco TwinGig 转换器模块,将上行链路从千兆以太网移植到万兆以太网.PoE配置,为全部48 个端口供应了15.4W PoE .模块化电源,可带外部可用备份电源 .在硬件中供应组播路由、IPv6 路由和拜访掌握列表 .带外以太网治理端口,以及 RS-232掌握台端口核心层： 通过 Cisco Catalyst 6500 系列交换机远程对网络进行有效的扩展、虚拟化、保 护和治理； Cisco Catalyst 65

20、00 系列供应功能丰富的高性能平台,适合在园区、数据中心、WAN 和城域以太网网络部署,为无边界网络奠定了坚实的基础,从而让您能够随时随地任 意连接；Cisco Catalyst 6500 系列交换机主要特性：.扩展性能与网络服务 .虚拟交换系统 .安全 .网络虚拟化 .集成服务与运营效率4.3 网络拓扑设计图 1 网络拓扑9 运算机网络与安全实践设计报告4.4 VLAN 与 IP 地址规划表 1：部门VLAN IP 地址运算机室10 172.16.10/24 财务部20 172.16.20.0/24 行政部30 172.16.30.0/24 生产部40 172.16.40.0/24 研发部5

21、0 172.16.50.0/24 后勤部60 172.16.60.0/24 业务部70 172.16.70.0/24 人力资源部80 172.16.80.0/24 4.5 设备配置4.5.1 路由器交换机的基本配置Routerenable / 从用户模式进入特权模式 Router#configure terminal / 进入全局配置模式 Routerconfig#hostname My1-Router / 设置设备名称 My1-Routerconfig#line vty 0 4 My1-Routerconfig-line#password cisco My1-Routerconfig-lin

22、e#privilege level 15 / 设置登录密码,设置等级为 15 级Switchenable My1-Router Switch#configure terminal Switchconfig#hostname My1-Switch My1-Switchconfig#interface fastEthernet 0/1 My1-Switchconfig-if#no switchport My1-Switchconfig-if#exit My1-Switchconfig#line vty 0 4 My1-Switchconfig-line#password cisco My1-Swi

23、tchconfig-line#privilege level 15 4.5.2 配置 VLAN My1-Switchconfig# vlan 10 10 运算机网络与安全实践设计报告/ 创建 VLAN My1-Switchconfig-vlan# name Computer / 设置 VLAN 名字 My1-Switchconfig-vlan# exit My1-Switchconfig# vlan 20 My1-Switchconfig-vlan#name Finance My1-Switchconfig-vlan#exit My1-Switchconfig#vlan 30 My1-Swit

24、chconfig-vlan#name Administration My1-Switchconfig-vlan#exit My1-Switchconfig#vlan 40 My1-Switchconfig-vlan#name Production My1-Switchconfig-vlan#exit My1-Switchconfig#vlan 50 My1-Switchconfig-vlan#name R&D My1-Switchconfig-vlan#exit My1-Switchconfig#vlan 60 My1-Switchconfig-vlan#name Logistics My1-

25、Switchconfig-vlan#exit My1-Switchconfig#vlan 70 My1-Switchconfig-vlan#name Business My1-Switchconfig-vlan#exit My1-Switchconfig#vlan 80 My1-Switchconfig-vlan#name HR My1-Switchconfig-vlan#exit 交换机互联接口设为 trunk 接口ACCESS1config#interface FastEthernet0/1 ACCESS1config-if# switchport mode trunk 交换机连接终端的接

26、口设为access接口,并划入vlan ACCESS1config#interface FastEthernet0/2 ACCESS1config-if# switchport access vlan 10 ACCESS1config-if# switchport mode access 4.5.3 配置 VTP My1-Switchconfig#vtp domain ccie / 设置 VTP域名 My1-Switchconfig#vtp password cisco 11 运算机网络与安全实践设计报告/ 设置 VTP密码 My1-Switchconfig#vtp mode server /

27、 设置 VTP模式 4.5.4 配置动态路由协议My1-Switchconfig# router ospf 110 / 开启 OSPF进程 My1-Switchconfig-router# router-id 1.1.1.1 / 设置 OSPF的 router-id My1-Switchconfig-router# network 172.16.1.1 0.0.0.0 area 0 / 宣告路由进区域 0 4.5.5 配置 DHCP Switchconfig# ip dhcp pool VLAN10 / 设置 DHCP池 Switchdhcp-config# network 172.16.10

28、.0 255.255.255.0 / 为用户安排的 IP 地址 Switchdhcp-config# default-router 172.16.10.254 / 告知用户 DHCP网关路由器 IP Switchdhcp-config# dns-server 202.100.100.100 / 告知用户 DNS 服务器的 IP；Switchconfig# ip dhcp pool VLAN20 Switchdhcp-config# network 172.16.20.0 255.255.255.0 Switchdhcp-config# default-router 172.16.20.254

29、Switchdhcp-config# dns-server 202.100.100.100 Switchconfig#ip dhcp pool VLAN30 Switchdhcp-config#network 172.16.30.0 255.255.255.0 Switchdhcp-config#default-router 172.16.30.254 Switchdhcp-config#dns-server 202.100.100.100 Switchconfig#ip dhcp pool VLAN40 Switchdhcp-config#network 172.16.40.0 255.25

30、5.255.0 Switchdhcp-config#default-router 172.16.40.254 Switchdhcp-config#dns-server 202.100.100.100 Switchconfig#ip dhcp pool VLAN50 12 运算机网络与安全实践设计报告Switchdhcp-config#network 172.16.50.0 255.255.255.0 Switchdhcp-config#default-router 172.16.50.254 Switchdhcp-config#dns-server 202.100.100.100 Switch

31、config#ip dhcp pool VLAN60 Switchdhcp-config#network 172.16.60.0 255.255.255.0 Switchdhcp-config#default-router 172.16.60.254 Switchdhcp-config#dns-server 202.100.100.100 Switchconfig#ip dhcp pool VLAN70 Switchdhcp-config#network 172.16.70.0 255.255.255.0 Switchdhcp-config#default-router 172.16.70.2

32、54 Switchdhcp-config#dns-server 202.100.100.100 Switchconfig#ip dhcp pool VLAN80 Switchdhcp-config#network 172.16.80.0 255.255.255.0 Switchdhcp-config#default-router 172.16.80.254 Switchdhcp-config#dns-server 202.100.100.100 4.5.6 配置 NAT My1-Routerconfig#access-list 1 permit 172.16.0.0 0.0.255.255 /

33、 定义标准 ACL,匹配需要转换为公有 IP 的内网地址 My1-Routerconfig#ip nat inside source list 1 interface f0/ 0 / 配置基于端口的 NAT My1-Routerconfig#interface f0/1 My1-Routerconfig-if#ip nat inside / 设置 NAT入向接口 My1-Routerconfig#exit My1-Routerconfig#interface f1 /0 My1-Routerconfig-if#ip nat inside My1-Routerconfig#exit My1-Ro

34、uterconfig#interface f1 /0 My1-Routerconfig#ip nat outside / 设置 NAT显现接口 My1-Routerconfig#exit 13 运算机网络与安全实践设计报告4.5.7 配置默认路由 所以边界路由器设置一条默认路由指向运营商My1-Routerconfig#iip route 0.0.0.0 0.0.0.0 100.1.1.1 4.5.8 配置 VPN My1-Routerconfig# interface Tunnel1 My1-Routerconfig-if# ip address 192.168.10.4 255.255.2

35、55.0 My1-Routerconfig-if# tunnel source FastEthernet0/ 0 My1-Routerconfig-if# tunnel destination 200.1.1.2 My1-Routerconfig# interface Tunnel2 My1-Routerconfig-if# ip address 192.168.20.4 255.255.255.0 My1-Routerconfig-if# tunnel source FastEthernet0/ 0 My1-Routerconfig-if# tunnel destination 200.20

36、.1.3 My1-Routerconfig# crypto isakmp policy 1 My1-Routerconfig-isakmp# encr 3des My1-Routerconfig-isak mp# authentication pre-share My1-Routerconfig-isakmp# group 2 My1-Routerconfig# crypto isakmp key cisco address 0.0.0.0 0.0.0.0 My1-Routerconfig# crypto ipsec transform-set CCIE esp-3des esp-sha-hm

37、ac My1-Routerconfig# crypto map FF 1 ipsec-isakmp My1-Routerconfig-crypto-map# set peer 200.1.1.2 My1-Routerconfig-crypto-map# set transform-set CCIE My1-Routerconfig-crypto-map# match address 100 My1-Routerconfig# crypto map FF 2 ipsec-isakmp My1-Routerconfig-crypto-map# set peer 200.20.1.3 My1-Rou

38、terconfig-crypto-map# set transform-set CCIE My1-Routerconfig-crypto-map# match address 101 My1-Routerconfig# access-list 100 permit gre host 100.1.1.4 host 200.1.1.2 My1-Routerconfig# access-list 101 permit gre host 100.1.1.4 host 200.20.1.3 查看 VPN配置状况：14 运算机网络与安全实践设计报告My1-Router#show crypto isakmp

39、 sa 4.6 NAT 设计分析NAT包括三种类型,分别是静态 NAT、动态 NAT和端口复用 NAT（即 PAT）；它主要思想是把本地的私有 IP 地址映射到公网的合法 IP 地址,以缓解可用 IP 地址空间的消耗； 而 PAT,是最流行 NAT配置类型；复用实际上是动态 NAT的一种形式,它映射多个私有 IP 地址到单独一个公网合法 IP 地址,形成多对一的关系,实现方式便是通过使用不同的端口；因此,它又被称为端口地址映射（PAT）；通过使用 PAT,可实现上千个用户仅通过一个真实的公网IP 地址连接到 Internet. 再此,我们挑选使用这种端口复用 NAT；在 PAT转换中, 使用到

40、了端口号,所谓复用, 是全部的内部主机被转换成一个单独的 IP地址； 如下列图, 边界路由器把内部本地地址转换为内部全局地址,所不同的是每个转换都带上了端口号； 端口号作用于传输层,加上端口号便可帮忙路由器识别哪一台主机接收返回的流量；内部主机 10.1.1.1 恳求外部服务器 63.40.7.3 的资源,发送的恳求数据包在路由器处被修改,转换成一个公网 IP 与随机端口号的组合,并纪录在 NAT转换表中；当外部服务器返回响应数据包到路由器时,虽然内部全局IP 地址都相同,但可以依据所安排的端口号来识别源主机,从而把返回的流量送往恳求服务的源内部主机；静态与动态 NAT 都是使用IP 地址识别

41、源主机, 由于 PAT答应使用传输层的端口号来识别主机,便可以更加节约公网的合法 IP 地址；DA172.168.2.210.1.1.3DASAInternet63.41.7.310.1.1.210.1.1.1172.168.2.2DA172.168.2.263.40.7.3SA10.1.1.110.1.1.14.7 路由协议的规划策略路由（ PBR）Cisco 3560 系列以太网路由交换机支持高性能的策略路由；策略路由（Policy-Based Routing,简称 PBR）是目前越来越多的路由器或三层交换机设备正在支持的一项路由扩展功能,支持策略路由的设备不仅能以报文的目的IP 地址为依

42、据来进行路由挑选,仍可以以报文的源 IP 地址、源MAC 地址、报文大小、报文进入的端口、报文类型、报文的VLAN属性等等其它扩展条件来挑选路由；通过合理的路由策略设计,可以实现网络流量的负载均衡,15 运算机网络与安全实践设计报告充分利用路由设备,并实现路由、 交换设备之间的冗余备份功能,同时供应各种可以区分的服务等级,为不同用户供应不同的QoS 服务；策略路由是设置在接收报文接口而不是发送接口； Cisco6509 系列以太网路由交换机可以很好地支持策略路由功能,并且可以将路由下 一跳重定向到某个物理端口,或者某个下一跳 IP 地址；我们使用的结构星形网络拓扑结构,如上面整体设计结构示意图

43、,对于星形结构来说 , 能在内部路由采纳 OSPF v2,对于外部路由采纳 BGP4；内部路由在层次上能分为两层：骨干 路由层和接入层；骨干路由层 原就上采纳 OSPF v2, OSPF v2是由 RFC1583定义,适用于自治域内的路由规划 ,有较强 , 的域内路由分区和负载分担的功能 ,更重要的是他是一种开放的标准 ,各种厂家的设备均支持 不必担忧不同厂家设备之间的路由协议的兼容问题；接入层路由 一般采纳静态路由,只有在用户的网络的确需要采纳动态路由协议时才分情形采纳OSPF或 BGP；外部路由协议采纳BGP4协议；BGP4是边界网关协议 , 适用于独立的自治域治理系统 , 有特别强的策略

44、路由和流量掌握 , 路由过滤的功能 . 国内大多数 IP 网络的骨干网络协议均选用 BGP4；综上, 对于总公司与两个外地分公司的连接采纳城域网外部路由的规划设计即 BGP4协议,而对于本地的四个分公司与总公司的连接采纳城域网内部路由规划设计,即汇接层路由 器设计成区域边界路由器；各个汇接区域内接入路由器设计成域内路由器,运行 OSPF协议；4.7 系统安全设计网络系统的运行安全,主要是爱护集团的信息安全,必需进行网络安全方面的规划和实施；第一,我们要有严格和有效执行的治理制度；建议集团制定严格的网络安全治理策略,并有效的执行； 其次,必需具有肯定的技术手段来保证网络的安全；技术和治理手段相结

45、合 实施, 才能够产生良好的成效；通过以下几个技术方面的实施,可以在肯定程度上保证网络 的安全：1.提高设备的物理安全性 2.配置设备的口令 3.进行 VTP域的认证 4.园区网用户的接入掌握 5.应用系统的拜访掌握 6.因特网的接入安全掌握五、网络安全设计与治理5.1 病毒防治1、 禁用没用的服务 Windows 供应了许很多多的服务；16 运算机网络与安全实践设计报告Telnet 就是一个特别典型的例子；在Windows2022 的服务中是怎么说明的：“答应远程用户登录到系统并且使用命令行运行掌握台程序 仍有一个值得一提的就是 NetBIOS；” ；建议禁止该服务Windows 仍有很多服

46、务,在此不做过多地介绍；可以依据自己实际情形禁止某些服务；禁用不必要的服务,除了可以削减安全隐患2、 打补丁Microsofe 公司时不时就会在网上免费供应一些补丁,可以去打补丁；除了可以增强兼容性外,更重要的是堵上已发觉的安全漏洞；3、 反病毒监控挑选一流的反病毒软件；用反病毒软件的根本目的是防病毒；另外, 安装反病毒软件后必需对其进行必要的设置和时刻开启反病毒监控；这样才能发挥其最大的威力；5.2 建立防火墙网络地址转化NAT 网络地址转换是一种用于把 IP 地址转换成暂时的、外部的、注册的 IP 地址标准；它允许具有私有 IP 地址的内部网络拜访因特网；它仍意味着用户不许要为其网络中每一

47、台机器取得注册的 IP 地址；在内部网络通过安全网卡拜访外部网络时,将产生一个映射记录；系统将外出的源地址和源端口映射为一个假装的地址和端口,让这个假装的地址和端口通过非安全网卡与外部网络连接, 这样对外就隐匿了真实的内部网络地址；在外部网络通过非安全网卡拜访内部网络时,它并不知道内部网络的连接情形,而只是通过一个开放的IP 地址和端口来恳求拜访；OLM 防火墙依据预先定义好的映射规章来判定这个拜访是否安全；当符合规章时,防火墙认为拜访是安全的,可以接受拜访恳求,也可以将连接恳求映射到不同的内部运算机中；当不符合规章时, 防火墙认为该拜访是担心全的,不能被接受, 防火墙将屏蔽外部的连接恳求；网

48、络地址转换的过程对于用户来说是透亮的,不需要用户进行设置,用户只要进行常规操作即可；5.3 网络的保密措施1、堵住服务器操作系统安全漏洞任何网络操作系统的安全性都是相对的,无论是UNIX 仍是 NT 都存在安全漏洞,他们的站点会不定期发布系统补丁,系统治理员应定期下载,准时堵住系统漏洞；2、留意爱护系统治理员的密码用户名和密码应当设置合理,口令应大小写混合,最好加上特殊字符和数字,至少不能少于 16 位,同时应定期修改；口令不得以明文方式存放在系统中；建立帐号锁定机制,当 同一帐号的密码校验错误如干次时,自动断开连接并锁定该帐号；3、关闭不必要的服务端口 谨慎开放缺乏安全保证的端口：很多黑客攻

49、击程序是针对特定服务和特定服务端口的；17 运算机网络与安全实践设计报告a、常用服务端口有：WEB：80,SMTP：25,POP3：110,可依据情形挑选关闭；b、比较危急 很可能存在系统漏洞 的服务端口：TELNET：23,FINGER：79,建议关闭掉；c、对必需打开的服务 如 SQL数据库等 进行安全检查；4、制定完善的安全治理制度定期使用网络治理软件对整个局域网进行监控,发觉问题准时防范；定期使用黑客软件攻击自己的系统,以便发觉漏洞,准时补救；谨慎利用共享软件,不应随便下载使用共享软件；做好数据的备份工作,有了完整的数据备份；5、留意 WEB服务的安全问题WEB 编程人员编写的 CGI

50、、ASP、PHP 等程序存在的问题,会暴露系统结构或使服务目录可读写,这样黑客入侵的发挥空间就更大；在给 查；6、小心 DOS攻击和 DDOS攻击WEB 服务器上传前,要进行脚本安全检DOS攻击和 DDOS攻击可以使网站系统失去与互联网通信的才能,甚至于系统崩溃；建议：假如有条件答应的话,可以使用具有 5.4 数据安全性和完整性措施DoS和 DdoS防护的防火墙；数据安全性和完整性就是数据的安全技术；为明白决上述问题,就必需利用另外一种安全技术 -数字签名；PKI（Publie Key Infrastucture ）技术就是利用公钥理论和技术建立的供应安全服务的基础设施； PKI技术是信息安全

51、技术的核心,也是电子商务的关键和基础技术；由于通过网络进行的电子商务、 电子政务、 电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要；而 PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的秘密性、真实性、 完整性、 不行否认性和存取掌握等安全问题；一个有用的 PKI体系应当是安全的易用的、敏捷的和经济的；它必需充分考虑互操作性和可扩展性；它是认证机构（CA）、注册机构（RA）、策略治理、密钥（Key）与证书（Certificate ）治理、密钥备份与复原、撤消系统等功能模块的有机结合；1、认证机构CA（Certificatio

52、n Authorty ）就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性；由 CA签发的网络用户电子身份证明证书, 任何信任该 CA的人,依据第三方信任原就,也都应当信任持有证明的该用户；措施来防止电子证书被伪造或篡改；构建一个具有较强安全性的CA 也要实行一系列相应的 CA是至关重要的,这不仅与密码学有关系,而且与整个 PKI系统的构架和模型有关；此外,敏捷也是 CA 能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的 CA产品兼容；2、注册机构RA（Registration Authorty ）是用户和CA 的接口,它所获得的用户

53、标识的精确性是CA18 运算机网络与安全实践设计报告颁发证书的基础；RA 不仅要支持面对面的登记,也必需支持远程登记；要确保整个 PKI 系统的安全、敏捷,就必需设计和实现网络化、安全的且易于操作的 RA系统；3、策略治理在 PKI系统中, 制定并实现科学的安全策略治理是特别重要的这些安全策略必需适应不同的需求,并且能通过 CA 和 RA技术融入到 CA 和 RA的系统实现中；同时,这些策略应当符合密码学和系统安全的要求,科学地应用密码学与网络安全的理论,并且具有良好的扩展性和互用性；4、密钥备份和复原为了保证数据的安全性,应定期更新密钥和复原意外损坏的密钥是特别重要的,设计和实现健全的密钥治理方案,保证安全的密钥备份、更新、复原,也是关