基于安全的企业网络毕业设计

……………最新资料推荐…………………基于安全的企业网络毕业设计最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43……………最新资料推荐…………………最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43毕业设计说明书(论文)作者：学号：院系：专业：题目：指导者：(姓名)(专业技术职务)评阅者：(姓名)(专业技术职务)基于安全的企业网络毕业设计全文共62页，当前为第1页。年月南基于安全的企业网络毕业设计全文共62页，当前为第1页。基于安全的企业网络毕业设计全文共62页，当前为第2页。毕业设计说明书（论文）中文摘要基于安全的企业网络毕业设计全文共62页，当前为第2页。如今，网络接入技术迅猛发展，有线网络已经不能满足企业对灵活、快捷、高效办公的需求。无线网络不受网线和地理位置的束缚，已然成为当今现代化企业网络的发展趋势。但是，无线网相对于有线网，比较脆弱，而且企业无线网有异于一般的家庭无线网，它的安全性是需要着重考虑的。本文介绍了基于安全的中小企业无线网络的组建，利用CiscoPacketTracer模拟软件模拟企业无线网基本的构架和方案。组建的企业内部网络分为三个层次。核心层，使用三层交换机进行负载均衡和冗余。汇聚层，依靠访问控制列表（ACL）制订不同部门的通信规则。接入层，划分虚拟局域网（VLAN）将各部门的计算机分隔开来，通过无线设备将计算机接入网络中。从功能上将整个网络分为两个部分，一是内部网络，所有部门的通信以及对内部服务器的访问都通过此网络，不能与外部通信。另一个则是能访问外网，面向客户的网络。这样极大地提高了内网数据的安全。为了提高网络信息安全性，还布设防火墙、内外地址转换（NAT）、分部与总部建立虚拟专用网络（VPN）等安全措施。关键字无线网络信息安全安全措施基于安全的企业网络毕业设计全文共62页，当前为第3页。毕业设计说明书（论文）外文摘要基于安全的企业网络毕业设计全文共62页，当前为第3页。TitleWirelessnetworkstructuresbasedonthesafetyofSMEsAbstractToday,thenetworkaccesstechnologyrapiddevelopmentofwirednetworkcannotmeetthedemandforflexible,fastandefficientoffice.Wirelessnetworkfromtheshacklesofcableandgeographicallocation,hasbecomethedevelopmenttrendoftoday'smodernenterprisenetworks.However,thewirelessnetworkrelativetothecablenetworkisrelativelyweak,differentfrommosthomewirelessnetworkandthewirelessnetwork,itssecurityistheimportantconsideration.Thisarticledescribestheformationofawirelessnetworkbasedonthesafetyofsmallandmediumenterprises,basedonCiscoPacketTracersimulationsoftwaretosimulatetheenterprisewirelessnetworkarchitectureandprograms.Theinternalnetworkisdividedintothreelevels.Thecorelayer,usingthethreeswitchesforloadbalancingandredundancy.Convergencelayer,relyingonaccesscontrollist(ACL)tothedevelopmentofdifferentsectorsofcommunicationrules.Accesslayer,dividedintovirtuallocalareanetwork(VLAN)separatedfromthevariousdepartmentsofcomputer,computerwirelessdevicesaccessthenetwork.Theentirenetworkfromthefunctionwillbedividedintotwoparts,oneistheinternalnetwork,allsectorsofcommunications,andtheinternalserveraccessthroughthisnetworkcannotcommunicatewiththeoutside.Theotherisabletoaccesstheexternalnetwork,customer-orientednetwork.Thisgreatlyimprovesthesecurityofdatawithinthenetwork.Inordertoimprovethesecurityofnetworkinformation,butalsolaidthefirewall,internalandexternaladdresstranslation(NAT),segmentsandheadofficetoestablishavirtualprivatenetwork(VPN)andothersecuritymeasures.KeywordsNetworkSecurity,VLAN,ACL,NAT，VPN目录前言 1第一章无线网络综述 21.1无线网络标准 21.2企业网络的安全误区 21.3术语及相关缩写解释 4第二章企业网络安全综述 52.1相关设备的概述 52.2 企业网应用的主要技术 5第三章网络安全的设计与实现 163.1整体框架说明 163.2企业网内部交换机的配置 173.3防火墙的配置 233.4VPN的配置 26第四章企业内部服务器的配置 414.1AAA服务器的配置 414.2WEB服务器的配置 434.2FTP服务器的配置 434.3DNS服务器的配置 444.4E-mail服务器的配置 444.5DHCP服务器的配置 44第五章结束语 455.1毕业设计的难点与创新 455.2毕业设计的收获 46致

谢 47参考文献 48附录：英文技术资料翻译 49基于安全的企业网络毕业设计全文共62页，当前为第4页。基于安全的企业网络毕业设计全文共62页，当前为第4页。前言如今社会信息化发展迅猛，无线网络技术支持已日渐成熟。随着人们对无线网络的要求和依赖性越来越强、现代企业追求更高的效率和便捷的办公环境，有线网络已经不能满足现代化企业的要求。由于无线网络不受网线和地点的束缚，组网效率高，接入速度快，成为企业组建网络的首选。但是企业无线网络，除了便捷和高效之外，安全也是需要着重考虑的。作为一个企业，应该保证网络数据安全性以及具有抵御黑客和病毒攻击的能力。在组建无线网络时，保障企业网络安全比其他任何方面都要重要。无线网络依靠无线电波来传输数据，理论上无线电波范围内的任何一台设备都可以登录并监听无线网络。如果企业内部网络的安全措施不够严密，则完全有可能被窃听、浏览甚至操作。为了使授权设备可以访问网络而非法用户无法截取网络信息，无线网络安全就显得至关重要。其次，无线网络的稳定是也是不容忽视的问题。不稳定的无线网非但没有体现出它的便捷高效的特点，还影响了企业的正常运转。为了能够让内部的员工在公司任何地方都可以无线上网，使用的无线设备需要有很强的穿透能力和大的信号覆盖范围。即使企业存在很多障碍物，强穿透力依然能保证网络的稳定传输。企业在组建无线网络时，不应完全放弃有线网络。而是以有线网络为核心，无线网络为接入层，充分利用有线网络与无线网络的优点，达到扬长避短的目的。为了保证企业网络的容错率和多样化，在企业内部应备有有线网络接口，以供特殊用途。如视频会议，文件传输等应用对网络的稳定性、数据传输速率和数据安全有较高的要求。基于安全的企业网络毕业设计全文共62页，当前为第5页。

第一章无线网络综述基于安全的企业网络毕业设计全文共62页，当前为第5页。1.1无线网络标准无线网络采用802.11规范，典型情况下，其传送信号时工作原理与基本的以太网集线器很像：他们都采用双向通信的形式，为半双工模式。依靠射频频率（RF），通过天线将无线电波辐射到周围。802.11协议组是国际电工电子工程学会（IEEE）为无线局域网络制定的标准。采用2.4GHz和5GHz这两个ISM频段。常见的802.11标准如下：1）802.11b802.11b是应用得最为广泛的无线网络标准，它运行在2.4GHz射频频段，使用直接序列扩频（DSSS）调制技术，最大传输速率为11Mb/s。另外，也可根据实际情况切换到5.5Mbps、2Mbps和1Mbps带宽，实际的工作速度一般在5Mb/s左右，与普通的10Base-T规格有线局域网几乎是处于同一水平。作为企业内部的设施，可以基本满足使用要求。IEEE802.11b使用的是开放的2.4GHz频段，既可作为对有线网络的补充，也可独立组网，从而使网络用户摆脱网线的束缚，实现真正意义上的移动应用。2）802.11g802.11g在2．4GHz频段使用正交频分复用（OFDM）调制技术，使数据传输速率提高到20Mbit/s以上；能够与802.11b的Wi-Fi系统互联互通，可共存于同一AP的网络里，从而保障了后向兼容性。这样原有的WLAN系统可以平滑地向高速WLAN过渡，延长了802．11b产品的使用寿命，降低了用户的投资。3）802.11a基于安全的企业网络毕业设计全文共62页，当前为第6页。802.11a的传输技术为多载波调制技术。802.11a标准是众多场合得到广泛应用的802.11b无线联网标准的后续标准。它工作在5GHzU-NII频带，物理层速率可达54Mb/s，传输层可达25Mbps。可提供25Mbps的无线ATM接口和10Mbps的以太网无线帧结构接口，以及TDD/TDMA的空中接口；支持语音、数据、图像业务；一个扇区可接入多个用户，每个用户可带多个用户终端。基于安全的企业网络毕业设计全文共62页，当前为第6页。1.2企业网络的安全误区1.2防火墙主要工作都是控制存取与过滤封包，所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效，可以提供网络周边的安全防护。但如果攻击行为不经过防火墙，或是将应用层的攻击程序隐藏在正常的封包内，便力不从心了，许多防火墙只是工作在网络层。防火墙的原理是“防外不防内”，对内部网络的访问不进行任何阻挠，而事实上，企业网络安全事件绝大部分还是源于企业内部。1.2.2安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒，但这并不能保证就没有病毒入侵了，因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现，杀毒软件误区有以下几种：1）在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络，管理非常方便，对于单机版是不可能做到的。2）只要不上网就不会中毒虽然不少病毒是通过网页传播的，但像QQ聊天接发邮件同样是病毒传播的主要途径，而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着，就要防范病毒。3）文件设置只读就可以避免感染病毒设置只读只是调用系统的几个命令，而病毒或黑客程序也可以做到这一点，设置只读并不能有效防毒，不过在局域网中为了共享安全，放置误删除，还是比较有用的。基于安全的企业网络毕业设计全文共62页，当前为第7页。1.2.3基于安全的企业网络毕业设计全文共62页，当前为第7页。基于内部的网络攻击更加容易，不需要借助于其他的网络连接方式，就可以直接在内部网络中实施攻击。所以，加强内部网络安全管理，特别是用户帐户管理，如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。1.3术语及相关缩写解释VLAN：全称VirtualLocalAreaNetwork，虚拟局域网；ACL：全称AccessControlList，访问控制列表；IDS：全称IntrusionDetectionSystem，入侵检测系统；NAT：全称NetworkAddressTranslation，网络地址转换；PAT：全称PortAddressTranslation，即端口地址转换；DMZ：全称DemilitarizedZone，非军事区，停火区，隔离区；VPN:全称VirtualPrivateNetwork，虚拟装用网；VTP：全称VLANTrunkingProtocol，VLAN中继协议。基于安全的企业网络毕业设计全文共62页，当前为第8页。

第二章企业网安全的主要技术基于安全的企业网络毕业设计全文共62页，当前为第8页。本章主要讲述企业网里使用到的常用的安全技术，并对这些技术进行详细的介绍。2.1相关设备的概述在企业网中设备的选型时非常重要的，在本设计中全部选用的是Cisco的产品设备。因为选用同一厂商设备的好处是兼容性比较好，且能够进行统一管理，使管理更加方便。企业网应用的主要技术2.2.1物理安全物理安全是整个计算机网络系统安全的前提，是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏的过程。物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面：机房环境安全、通信线路安全、设备安全，以及电源安全。物理安全重要性和措施主要涉及以下方面：1）保证机房环境安全信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从以下三个方面考虑：自然灾害、物理损坏和设备故障电磁辐射、乘机而入、痕迹泄漏等操作失误、意外疏漏等基于安全的企业网络毕业设计全文共62页，当前为第9页。2）选用合适的传输介质基于安全的企业网络毕业设计全文共62页，当前为第9页。屏蔽式双绞线的抗干扰能力更强，且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地（最好多处接地），对于干扰严重的区域应使用屏蔽式双绞线，并将其放在金属管内以增强抗干扰能力。光纤是超长距离和高容量传输系统最有效的途径，从传输特性等分析，无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好，不易被窃听或被截获数据、传输的误码率很低，可靠性高，体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量，能够有效地阻止窃听。3）保证供电安全可靠计算机和网络主干设备对交流电源的质量要求十分严格，对交流电的电压和频率，对电源波形的正弦性，对三相电源的对称性，对供电的连续性、可靠性稳定性和抗干扰性等各项指标，都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求，又要满足网络应用的要求，必须做到保证网络系统运行的可靠性，保证设备的设计寿命保证信息安全保证机房人员的工作环境。2.2.2VLAN技术随着交换技术的发展也加快了虚拟局域网的应用速度。虚拟局域网VLAN(VirtualLocalAreaNetwork)是以交换式网络为基础，把网络上用户的终端设备划分为若干个逻辑工作组，每个逻辑工作组就是一个VLAN。VLAN就是一个网络设备或用户的逻辑组，该逻辑组是一个独立的逻辑网络、单一广播域，而这个逻辑组的设定不受实际交换机区段的限制，也不受用户所在的物理位置和物理网段的限制。基于安全的企业网络毕业设计全文共62页，当前为第10页。在现在的企业网络中都能见到VLAN的身影，VLAN都是一个独立的逻辑网段，一个独立的广播域，VLAN的广播信息只发送给同一个VLAN的成员，其他VLAN的成员是收不到的，这样就减小的广播域的大小，提高了带宽的利用率。VLAN之间是不能直接通信的必须通过三层路由功能完成，所以在企业网络中可以按部门进行划分VLAN，这个不同的部门之间的互访就受到限制，有效保护了某些敏感部门的敏感信息不被泄露。VLAN对于网络用户来说是完全透明的，用户感觉不到使用中与交换网络有任何的差别，但对于网络管理人员则有很大的不同，因为这主要取决于VLAN的几点优势：对网络中的广播风暴的控制，提高网络的整体安全性，通过路由访问列表、MAC地址分配等VLAN划分原则，可以控制用户的访问权限和逻辑网段的大小。网络管理的简单、直观。基于安全的企业网络毕业设计全文共62页，当前为第10页。在企业网络中划分VLAN可以有多种方式：1）基于端口的VLAN：基于端口的VLAN的划分是最简单、最有效的VLAN划分方法。该方法只需网络管理员针对于网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可。而不用考虑该端口所连接的设备是什么。2）基于MAC地址的VLAN：MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是唯一的。基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合。在网络规模较小时，该方案亦不失为一个好的方法，但随着网络规模的扩大，网络设备、用户的增加，则会在很大程度上加大管理的难度。3）基于路由的VLAN：路由协议工作在七层协议的第三层：网络层，即基于IP和IPX协议的转发。这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。划分好VLAN后一般是把接入层交换机接入到核心交换机上，由核心交换机负责内部网络的路由，如果不采用核心交换机，而是直接通过单臂路由的形式接到网络出口的路由器或者防火墙上，那么会给出口路由器或防火墙带来负担，如果出口路由器或防火墙性能不强的话，很有可能造成瓶颈，这样网络的可用性就会降低。所以一般是建议采用核心交换机的方式。2.2.3ACL技术基于安全的企业网络毕业设计全文共62页，当前为第11页。访问控制列表ACL(AccessControlList)技术在路由器中被广泛采用，它是一种基于包过滤的流控制技术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素，并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上，可以通过实施ACL，可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加，一些企业已经开始使用ACL来控制对局域网内部资源的访问能力，进而来保障这些资源的安全性。基于安全的企业网络毕业设计全文共62页，当前为第11页。在企业网中ACL扮演着很重要的角色，在网络中我们可以通过划分VLAN来限制不同VLAN成员的互访，但如果把二层交换机接入路由器或者三层交换机，那么原来不同VLAN是不通的，现在不同VLAN之间也能通信，那么原来通过划分VLAN来使不同VLAN之间不能通信已经行不通了。在这就要使用ACL来控制了。使用ACL的好处还有就是可以控制用户对主机或服务器的访问，即对于一台服务器那些用户可以访问而那些用户不能访问。这样就进一步增加了企业网内部的安全。就我们现在的IP网络来说ACL技术可以分为一下几种：1）标准IP访问控制列表一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1~99以及1300~1999的访问控制列表是标准IP访问控制列表。一般来说标准的ACL放置在靠近目的的路由器或三层交换机上。2）扩展IP访问控制列表扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100~199以及2000~2699的访问控制列表是扩展IP访问控制列表。一般来说扩展的ACL放置在靠近源的路由器或者三层交换机上。3）命名IP访问控制列表所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。本设计中在CiscoCatalyst3640核心交换机上配置扩展的ACL使得其他的部门无法访问财务部门，ACL的应用范围很广，在本设计中总部与分布之间建立IPSecVPN是就需要使用ACL来定义感兴趣的流量，只有感兴趣的流量才会进入VPN隧道。2.2.4NAT技术基于安全的企业网络毕业设计全文共62页，当前为第12页。到目前为止全球的IPv4的地址已经耗尽，现在的地址缺乏或者说已经没有空余的IPv4的地址了，那么企业网络中有很多主机需要访问Internet，为每一台主机分配一个公网地址那是不可能的事。所以借助于NAT(NetworkAddressTranslation)技术，私有(保留)地址的"内部"网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。NAT将自动修改IP报文的源IP地址和目的IP地址，IP地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中，所以还需要同时对报文进行修改，以匹配IP头中已经修改过的源IP地址。否则，在报文数据都分别嵌入IP地址的应用程序就不能正常工作。基于安全的企业网络毕业设计全文共62页，当前为第12页。NAT实现方式有以下三种：1）静态转换(StaticNat)将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。2）动态转换(DynamicNat)将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。3）端口多路复用(Overload)改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，PortAddressTranslation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。另外，在NAT中经常使用的术语：1）内部局部地址（InsideLocalAddress）：在内部网络使用的地址，是私有地址。2）内部全局地址（InsideGlobalAddress）：用来替代一个或多个本地IP地址的、对外的、向NIC注册过的地址。基于安全的企业网络毕业设计全文共62页，当前为第13页。3）外部局部地址（OutsideLocalAddress）：一个外部主机相对于内部网络所用的IP地址、不一定是合法的地址。基于安全的企业网络毕业设计全文共62页，当前为第13页。4）外部全局地址（OutsideGlobalAddress）：外部网络主机的合法地址。NAT还可以用于端口映射，在企业网中服务器群一般是放置在DMZ区域中，使用的是私有地址，如果某台服务器要向外网发布服务的时候就需要在网络出口的路由器和防火墙上做端口映射，这样外网用户就可以通过访问企业的公网IP，就能够访问到内网的服务器。2.2.5VPN技术现在很多企业都有分支机构而且分支机构和总部都在异地，企业网的内部网络可以通过各种手段来保证安全，那么总部与分部之间传输的数据怎样才能保证其安全呢。这里就可以采用VPN（VirtualPrivateNetwork）技术，VPN技术是在公网上建立一个临时的，安全的连接，是一条穿越混乱的公用网络的安全的稳定的隧道。使用这条隧道可以对数据进行加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可以通过特殊加密的通讯协议连接到Internet上，在位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路，可以节约成本。VPV按照所使用的隧道协议大致有以下几种：1）PPTP（PointtoPointProtocol）PPTP属于OSI第二层隧道协议，该协议会把网络协议的数据包放进IP封包，包装好的封包看起来就像正常的IP封包一样，所有遇到该封包的路由器或机器都会把它视为一个IP封包，以一般正常IP封包的方式来处理它。PPTP使用TCP（传输控制协议）连接的创建，维护，与终止隧道，并使用GRE(通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。PPTP的使用比较简单如MicrosoftWindows等操作系统就自带PPTP。另外，PPTPVPN使用的身份验证有以下几种方法。基于安全的企业网络毕业设计全文共62页，当前为第14页。（1）PAP口令验证协议是一种简单的明文验证方式。NAS（网络接入服务器，NetworkAccessServer）要求用户提供用户名和口令，PAP以明文方式返回用户信息。很明显，这种验证方式的安全性较差，第三方可以很容易的获取被传送的用户名和口令，并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以，一旦用户密码被第三方窃取，PAP无法提供避免受到第三方攻击的保障措施。基于安全的企业网络毕业设计全文共62页，当前为第14页。（2）CHAP身份验证CHAP通过使用MD5（一种工业标准的散列方案）来协商一种加密身份验证的安全形式。CHAP在响应时使用质询-响应机制和单向MD5散列。用这种方法，可以向服务器证明客户机知道密码，但不必实际地将密码发送到网络上。（3）MS-CHAP同CHAP相似，微软开发MS-CHAP是为了对远程Windows工作站进行身份验证，它在响应时使用质询-响应机制和单向加密。而且MS-CHAP不要求使用原文或可逆加密密码。（4）MS-CHAPv2MS-CHAPv2是微软开发的第二版的质询握手身份验证协议，它提供了相互身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用MS-CHAPv2作为唯一的身份验证方法，那么客户端和服务器端都要证明其身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。值得注意的是。VPN服务端和VPN客户端之间一定要采用相同的身份验证，比如VPN服务端选择了MS-CHAP2，那么相应的VPN客户端也要选择MS-CHAP2，否则无法连接。2）L2TP（LayerTwoTunnelingProtocol）L2TP是结合L2F（Layer-2Forwarding）和PPTP的协议，L2TP也属于二层隧道协议。L2TP使用两种类型的消息：控制消息和数据隧道消息。控制消息负责创建、维护及终止L2TP隧道，而数据隧道消息则负责用户数据的真正传输。L2TP支持标准的安全特性CHAP和PAP，可以进行用户身份认证。在安全性考虑上，L2TP仅定义了控制消息的加密传输方式，对传输中的数据并不加密。L2TP的使用比较简单如MicrosoftWindows等操作系统就自带PPTP。3）IPSec（IPSecurity）基于安全的企业网络毕业设计全文共62页，当前为第15页。IPSec是一个标准的第三层安全协议，他是在隧道外面再封装，保证了隧在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证，正是这一点才使IPSec可以确保包括远程登录，电子邮件，文件传输及WEB访问在内多种应用程序的安全。IPSec协议包括IKE协商程序，可为IPSec产生密钥，其它还包括算法、密钥长度、转码程序以及算法专用的资讯，而协商时常使用的参数则被归类在一个单独的文件中。IPSec它不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构。该体系结构包括认证头协议（AuthenticationHeader，简称为AH），AH是一种为IPSec提供数据完整性、数据源验证和可选的防重放功能特性的体系框架。不提供数据机密性因此数据可以被偷窥，因此一般和ESP配合使用利用HMAC验证完整。封装安全负载协议（EncapsulatingSecurityPayload，简称为ESP）ESP是一种为IPSec提供数据机密性、数据完整性、数据源验证、和可选的防重放功能特性的体系框架。密钥管理协议（InternetKeyExchange，简称为IKE）动态的更改IPSec参数和密钥的机制通过自动的密钥交换/更新机制来防止IPSec会话的密钥被攻击使得IPSec具备良好的扩展性。在2个端点自动建立SASA是2个对等体之间协商参数和用于网络认证及加密的一些算法等。基于安全的企业网络毕业设计全文共62页，当前为第15页。4）SSL（SecureSocketLayer）SSL是高层协议，是第四层隧道协议，SSLVPN和其他的VPN最大的不通之处就是客户端只需要有浏览器就可以工作，不需要安装其他的客户端软件，是VPN的可用性大大提高。SSL利用内置在每个Web浏览器中的加密和验证功能，并与安全网关相结合，提供安全远程访问企业应用的机制，这样，远程移动用户可以轻松访问公司内部B/S和C/S应用及其他核心资源。在本设计中总部已分部之间可以使用总部->分部这样的方式在总部路由器和分部路由器之间建立一条IPSecVPN通道，移动客户端可以使用PPTP、L2TP或者EasyVPN与总部互联。2.2.6防火墙技术对于企业网来说最重要的就是防火墙，防火墙可以提高安全和减少外部网络对内部网络的威胁。如果没有防火墙内网中的主机就会暴露于网络中，很容易遭受黑客的攻击。防火墙更具用户设定的安全规则，对进入内网以及出外网的数据包进行检测，一旦发现威胁就断开连接，使内部网络避免被黑客的攻击。如今的防火墙各式各样，但总体来讲可以分为“包过滤型”和“应用代理型”两大类:1）包过滤型基于安全的企业网络毕业设计全文共62页，当前为第16页。包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。如下图2-1所示。基于安全的企业网络毕业设计全文共62页，当前为第16页。图2-1包过滤防火墙示意图包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。2）应用代理型应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全"阻隔"了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。其典型网络结构如图2-2所示。图2-2应用代理防火墙示意图基于安全的企业网络毕业设计全文共62页，当前为第17页。代理类型防火墙的最突出的优点就是安全。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。基于安全的企业网络毕业设计全文共62页，当前为第17页。另外代理型防火墙采取是一种代理机制，它可以为每一种应用服务建立一个专门的代理，所以内外部网络之间的通信不是直接的，而都需先经过代理服务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。2.2.7企业版杀毒软件1）企业版杀毒软件介绍网络版杀毒软件的一个最大的特点就是可以整个网络主机和服务器同步杀毒，这对于网络病毒横行的今天来说尤其重要。因为在网络中只要有一台主机感染了病毒，则很可能在全网络主机上感染。另外，网络版实现全网络服务器和客户端程序同步更新。还有一个管理中心控制台，可以对整个网络的服务器端和客户端程序集中管理，实现全网络的同步更新和杀毒。2）企业版杀毒软件的实施这里选用SymantecEndpointProtection，它是为各种简单或复杂网络环境设计的计算机病毒网络防护系统，即适用于包含若干台主机的单一网段网络，也适用于包含各种WEB服务器、邮件服务器、应用服务器，以及分布在不同城市，包含数十万台主机的超大型网络。SymantecEndpointProtection具有以下显著特点：先进的体系结构超强的杀毒能力完备的远程控制方便的分级、分组管理基于安全的企业网络毕业设计全文共62页，当前为第18页。主控制中心部署在DMZ服务器区，子控制中心部署在3层交换机上面。如图2-3所示。基于安全的企业网络毕业设计全文共62页，当前为第18页。图2-3企业版杀毒软件示意图控制中心负责整个SymantecEndpointProtection的管理与控制，是整个SymantecEndpointProtection的核心，在部署SymantecEndpointProtection网络时，必须首先安装。除了对网络中的计算机进行日常的管理与控制外，它还实时地记录着SymantecEndpointProtection防护体系内每台计算机上的病毒监控、查杀病毒和升级等信息。在1个网段内仅允许安装1台控制中心。根据控制中心所处的网段的不同，可以将控制中心划分为主控制中心和子控制中心，子控制中心除了要完成控制中心的功能外，还要负责与它的上级——主控制中心进行通信。这里的“主”和“子”是一个相对的概念：每个控制中心对于它的下级的网段来说都是主控制中心，对于它的上级的网段来说又是子控制中心，这种控制结构可以根据网络的需要无限的延伸下去。基于安全的企业网络毕业设计全文共62页，当前为第19页。

第三章网络安全的设计与实现基于安全的企业网络毕业设计全文共62页，当前为第19页。本章主要对网络系统的整体框架进行设计，并实现企业内部局域网的搭建，VLAN间通信，DMZ区服务器交换机搭建，出口防火墙的安全配置以及VPN等。3.1整体框架说明将企业内部网和服务器组成分别置于PIX防火墙的inside口和DMZ口相连接，防火墙的outside端口连接ISP的Internet接入。对于三个端口的权限设置为：outside为0、DMZ为50、inside为100（最高）。在PIX防火墙上激活网络入侵检测IDS系统，提供对多个网络的入侵检测，一旦发现网络中存在供给行为或非正常数据包，防火墙将会报警并且在Log中留下记录。内部网使用两台CiscoCatalyst3640交换机提供的VLAN技术和虚拟访问控制列表VACL等安全交换技术，以及使用生成树做冗余。同时通过合理的IP地址分配策略和路由策略，在接入层交换机上使用端口安全技术来对用户的接入进行控制。服务器群应该是通过一台CiscoCatalyst3640交换机连接到防火墙的DMZ端口，并为之独立的分配一个VLAN，通过在防火墙做端口映射把内网需要发布的服务器发布到外网，同时通过防火墙上的访问控制列表ACL和访问端口数据监控等安全技术提供对服务器的安全控制。基于安全的企业网络毕业设计全文共62页，当前为第20页。对于外网接入，在防火墙上配置安全策略，允许外部连接可以到达指定服务器的服务端口，同时定义安全规则，允许指定的应用数据包通过防火墙。在防火墙上配置VPN服务允许企业分部通过安全的VPN通道访问企业内部网。对于需要利用远程访问接入企业内部网的用户，DMZ区放置AAA为控制管理路由器权限的工具，限制登录路由器用户的权限。还有就是在防火墙上要配置NAT来代理内部网络访问Interne，企业网总体拓扑如图3-1所示。基于安全的企业网络毕业设计全文共62页，当前为第20页。图3-1企业总拓扑图3.2企业网内部交换机的配置本设计中该企业网络使用的接入层交换机是CiscoCatalyst2960，其特性是端口速率是100Mb/s，支持全双工模式，本设计中企业内部网拓扑如图3-2所示。基于安全的企业网络毕业设计全文共62页，当前为第21页。图3-2企业内部网拓扑图基于安全的企业网络毕业设计全文共62页，当前为第21页。如图3-2所示，该企业网的接入层是由CiscoCatalyst2960交换机组成，汇聚层和核心层划在一起使用两台CiscoCatalyst3640，Catalyst3640特点是端口速率为100Mb/s，支持双工模式，而且路由功能是由硬件完成的能够实现更快的转发速度。这样可以减少企业购买设备的开销，以及连接到交换机上的计算机构成；从逻辑上看，内部网包括四个VLAN，分别对应四个IP段：VLAN1O：/24VLAN20：/24VLAN30：/24VLAN40：/24内部网的核心是Ciscocatalyst3640交换机，它将与PIX防火墙的inside口相连接。Coreswitch1和Coreswitch2的预期功能是：建立四个VLAN，分别为VLAN10,VLAN20,VLAN30,VLAN40。启用三层交换功能做VLAN间路由，并配置访问列表，使VLAN20、VLAN30、VLAN40能够访问VLAN10，但不能互相访问。Coreswitch1为VLAN10、VLAN20、VLAN30、VLAN40提供DHCP服务。在Coreswitch1和Coreswitch2以及接入层交换机之间配置生成树，提高网络的可靠性。做端口安全，限制每个接二层交换机的每个端口只能接1台主机。下面将对它的配置进行详细的说明：3.2.1接入层交换机打开Catalyst2960交换机的Console口连接，进入特权模式进行配置。这里以接入层的SW0交换机为例，配置如下：hostnameSW0/*将该交换机命名为SW0vlandatabase/*进入vlan数据库vlan10namecaiwu/*创建vlan10并将其命名为caiwuexit/*退出并保存interfaceFastEthernet0/0/*将F0/0口设置为Trunk口switchportmodetrunkinterfaceFastEthernet0/1/*将F0/1口设置为Trunk口switchportmodetrunk基于安全的企业网络毕业设计全文共62页，当前为第22页。interfaceFastEthernet0/2/将F0/2口划分到vlan10中基于安全的企业网络毕业设计全文共62页，当前为第22页。switchportaccessvlan10interfaceFastEthernet0/3/将F0/3口划分到vlan10中switchportaccessvlan10将SW0交换机上的Fastethernet0/2和Fastethernet0/3划分到VLAN10，也就是划分到财务部，在SW1上把fastethernet0/3-4端口划分到VLAN20里，在SW5上把fastethernet0/3-4端口划分到VLAN30里，在SW6上把fastethernet0/3-4划分到VLAN40里。3.2.2交换机端口安全配置中通过maximum参数来设置交换机的一个端口最多允许几台PC接入，对于接入的MAC地址可以选择粘性学习或者自己手工指定MAC地址。为了减小配置时间，本设计中将其设置成sticky粘性学习。在SW0上配置端口安全：interfacerangefastEthernet0/2-3/*进入fastEthernet0/2至3switchportport-security/*启动端口安全switchportport-securitymaximum1/*允许最大MAC地址数switchportport-securitymac-addresssticky/*设置MAC地址的方式为粘性学习3.2.3在确保二层交换机配置完成后并检查配置无误后，进行三层交换机的配置。在三层交换机上配置内部网络里所有的VLAN，并给每个VLAN配置一个网关。以Coreswitch1配置为例，Coreswitch1的vlan配置如下：vlandatabase/*进入vlan配置模式vlan10namecaiwu/*新建vlan10并命名为caiwuvlan20namejishu/*新建vlan20并命名为jishuvlan30namexiaoshou/*新建vlan30并命名为xiaoshouvlan40nameshouhou/*新建vlan40并命名为shouhouexit/*退出vlan配置模式自动保存vlan信息interfacevlan10ipaddress/*配置vlan10的网关interfacevlan20ipaddress/*配置vlan20的网关interfacevlan30ipaddress/*配置vlan30的网关interfacevlan40ipaddress/*配置vlan40的网关exit基于安全的企业网络毕业设计全文共62页，当前为第23页。基于安全的企业网络毕业设计全文共62页，当前为第23页。3.2.4DHCP服务可以为内网的主机自动分配地址信息，可以大大简化对网络的管理，而且可以避免有些用户因不会配置TCP/IP协议而导致无法上网的问题。在本设计中DHCP服务是由Coreswitch1来承担，下面以caiwu部门配置的DHCP为例。首先要为caiwu部门配置一个DHCP的用来分配给客户机地址池，地址池配置完成后还需要配置一些基本的信息，如默认网关和DNS服务器的地址。Coreswitch1配置DHCP如下：ipdhcppoolcaiwu/*为caiwu部门配置DHCP服务network/*分配地址池/24default-router/*设置默认网关dns-server9/*设置DNS服务器地址exitDHCP配置完成后内网的主机就可以自动获取到IP地址，图3-3为内网的一台Windows2000Professional属于caiwu部门自动获取的IP地址为。图3-3caiwu部门主机自动获得的IP地址3.2.5基于安全的企业网络毕业设计全文共62页，当前为第24页。本设计中使用的动态路由协议是OSPF（OpenShortestPathFirst，开放最短链路优先）路由协议，因为OSPF协议有很多特点，比如收敛速度快、无路由环路、支持VLSM和CIDR、支持认证等，更重要的是OSPF是开放的路由协议支持不同厂商的设备互联。在这里Coreswitch1的fastethernet0/15口与Headquarter路由器的fastethernetf2/0口相连，所以需要把fastethernet0/15口设置成三层接口，并分配一个IP地址。基于安全的企业网络毕业设计全文共62页，当前为第24页。Coreswitch1配置如下：interfaceFastEthernet0/15/*进入f0/15口noswitchport/*设置为三层接口ipaddress/*配置f0/15口的IP地址routerospf100/*启用OSPF进程network55area0/*把f0/15口参与OSPF进程network55area0/*把interfacevlan10虚接口参与OSPF进程network55area0/*把interfacevlan20虚接口参与OSPF进程network55area0/*把interfacevlan30虚接口参与OSPF进程network55area0/*把interfacevlan40虚接口参与OSPF进程Coreswitch2配置如下：routerospf100/*启用OSPF进程network55area0/*把interfacevlan10虚接口参与OSPF进程network55area0/*把interfacevlan20虚接口参与OSPF进程network55area0/*把interfacevlan30虚接口参与OSPF进程network55area0/*把interfacevlan40虚接口参与OSPF进程3.2.6ACL技术在网络安全中是一个很重要的技术，ACL可以灵活在交换机和路由器上使用，通过ACL技术可以控制不同VLAN即不同部门之间的访问。在这个设计中是不允许其他的部门访问财务部门，那么可以通过设置ACL来对其他的部门进行限制，ACL的配置如下：Coreswitch1上ACL的配置：access-list101denyip5555/*拒绝技术部访问财务部access-list101denyip5555/*拒绝销售部访问财务部access-list101denyip5555/*拒绝售后部访问财务部access-list101permitipanyanyinterfacevlan10ipaccess-group101out/*把ACL应用到虚接口上是ACL生效Coreswitch2上ACL的配置：access-list101denyip5555/*拒绝技术部访问财务部基于安全的企业网络毕业设计全文共62页，当前为第25页。access-list101denyip5555/*拒绝销售部访问财务部基于安全的企业网络毕业设计全文共62页，当前为第25页。access-list101denyip5555/*拒绝售后部访问财务部access-list101permitipanyanyinterfacevlan10ipaccess-group101out/*把ACL应用到虚接口上是ACL生效当ACL配置完成后，从其他部门无法ping通caiwu部门的主机，图3-4是jishu部的PC3pingcaiwu部的Windows2000，无法ping通。图3-4PC3pingWindows20003.2.7在企业网络中为了减少网络的故障时间，需要引入冗余链路，然而这样却会引起交换环路。交换环路会带来三个问题：广播风暴、同一帧的多个拷贝、交换机CAM表的不稳定，STP（SpanningTreeProtocol）可以解决这个问题。STP基本思路是阻断一些交换机接口，构建一棵没有环路的转发树。STP利用BPDU（BridgeProtocolDataUnit）和其他交换机进行通信，从而确定哪个交换机该阻断哪个接口。在BPDU中有几个关键的字段，如：根桥ID、路径代价和端口ID等。基于安全的企业网络毕业设计全文共62页，当前为第26页。为了在网络中形成一个没有环路的拓扑，网络中的交换机要进行一下三个步骤：第一步选举根桥，第二步选取根端口，第三步选取指定端口。在这些步骤中，哪个交换机能获胜取决于一下因数：1、最低的根桥ID，2、最低的根路径代价，3、最低发送者桥ID，4、最低发送者端口ID。桥ID由两部分组成：网桥优先级+MAC地址。网桥优先级是一个两个字节是数，交换机默认优先级为32768；MAC地址就是交换机的MAC地址。具有最低桥ID的交换机就是根桥。根桥上的接口都是指定端口，会转发数据包。选举了根桥后，其他的交换机就成了非根桥了。每台非根桥要选举一条到根桥的根路径STP使用路径的Cost来决定到达根桥的最佳路径，具有最低Cost值的路径就是根路径，该接口就是根接口；如果Cost值一样，就根据选举顺序选举根接口，根接口转发数据包。在CiscoCatalyst交换机上SpanningTree是默认开启的，那么可以更改交换的优先级来控制哪台交换机为根交换机，在此设计中手工指定Coreswitch1为根交换机起配置如下：基于安全的企业网络毕业设计全文共62页，当前为第26页。spanning-treevlan10priority4096/*使Coreswitch1为vlan10的根spanning-treevlan20priority4096/*使Coreswitch1为vlan20的根spanning-treevlan30priority4096/*使Coreswitch1为vlan30的根spanning-treevlan40priority4096/*使Coreswitch1为vlan40的根这样默认情况下数据都是从Coreswitch1上转发的，Coreswitch2就成了备份交换机，只有当接入层交换机与Coreswitch1连接的上行链路断开时那么就会启用与Coreswitch2连接的链路，从而增加了网络的可靠性。3.3防火墙的配置防火墙是本网络安全设计的核心部分，它的作用不仅仅是作为外网、内部网及DMZ区的安全中转站，还需要担任VPN服务器的角色，防火墙一共有三个接口，inside端口，DMZ端口以及outside端口。inside口连接内部网的交换机，而DMZ端口则连接到DMZ区的交换机；相应的，outside端口将直接与ISP网关相连接。防火墙在这里，起一个交通枢纽的作用，而且，是一个保证流经防火墙的数据的安全性的交通枢纽，图3-5为企业网的DMZ区、防火墙及分部的网络拓扑。图3-5DMZ区、防火墙及分部的网络拓扑防火墙的预期功能为：能够抵御来自Internet的入侵，阻止未授权用户对企业内部网络的访问。内部网通过NAT或PAT服务对Internet进行访问，从而阻止内部网暴露在外界中。对需要向外发布的服务器，则利用NAT的端口映射对外提供服务。基于安全的企业网络毕业设计全文共62页，当前为第27页。配置IPSecVPN，使企业分部能够通过VPN接入总部网络。基于安全的企业网络毕业设计全文共62页，当前为第27页。做为AAA服务器的client端，指定VPN用户拨入时通过AAA服务器做认证。下面对防火墙的基本部分进行配置。3.3首先，主机名改为PIX，方便日后维护，然后设置telnet密码和enable密码，使用MD5加密，保证防火墙的安全。配置三个端口，定义安全等级：interfaceethernet0autointerfaceethernet1autointerfaceethernet2auto/*设置端口为自适应nameifethernet0outsidesecurity0nameifethernet1insidesecurity100nameifethernet2dmzsecurity50/*为三个端口命名并分配安全级ipaddressoutsideipaddressinsideipaddressdmz/*设置各端口IP3.3在防火墙上配置静态路由，由于处于边界，且共连接三个网段，对于防火墙本身来说并不知道该怎样转发数据包，所以加入以下三条路由表：routeoutsideserial1/0/*指向ISP的默认路由routerospf100/*启用OSPF路由协议network55area0network55area0network55area0接着对防火墙监视的端口进行配置，fixup命令可以来完成这一配置：fixupprotocolhttp80fixupprotocolhttp443fixupprotocolftp21上面的三条命令将会对HTTP、HTTPS以及FTP中的数据流量进行监视，如果发现有非正常的连接，则会中断该连接，并在log中留下记录。3.3.3内网用户需要访问Internet那么在防火墙上就要配置NAT在这里公网出口只有一个公有IP所以需要配置PAT,其PAT的配置如下：基于安全的企业网络毕业设计全文共62页，当前为第28页。access-list10permit55/*定义vlan10里面的地址允许被转换基于安全的企业网络毕业设计全文共62页，当前为第28页。access-list10permit55/*定义vlan20里面的地址允许被转换access-list10permit55/*定义vlan30里面的地址允许被转换access-list10permit55/*定义vlan40里面的地址允许被转换ipnatinsidesourcelist10interfaceSerial1/0overload/*在外网口s1/0上启用PATinterfacefastethernet2/0ipnatinside/*定义f2/0口为内网口interfaceserial1/0ipnatoutside/*定义s1/0口为内网口exit然后就是要配置端口映射，哪些服务器需要对外提供服务那么就需要在防火墙上配置端口映射，这样外部网络就能访问被发布的服务器，在本设计中只对web服务器进行端口映射，其端口映射配置如下：ipnatinsidesourcestatictcp98080extendable/*9这台服务器的80端口被映射到外网口的80端口interfacefastethernet0/0ipnatinside/*定义f0/0口为内网口端口映射后，公网上的用户可以通过访问的80端口来访问位于DMZ区的web服务器，这里在Internet路由器上telnet80来验证是否能够访问内网WEB服务器的80端口，如图3-6，80端口能open，说明发布WEB服务器成功。图3-6成功发布web服务器的示意图3.3.4最后，在防火墙上启用IDS功能：ipauditnameattack-ruleattackactionalarmresetipauditnameinfo-ruleinfoactionalarmresetipauditinterfaceoutsideinfo-ruleipauditinterfaceoutsideattack-rule至此，防火墙的基本配置部分完成，下面，将对VPN部分进行介绍。3.4VPN的配置基于安全的企业网络毕业设计全文共62页，当前为第29页。当前，企业员工具有很大的可移动性，因此实现信息的无障碍访问已成为几乎所有知识型员工的迫切业务需要。这不仅仅局限于经常外出的员工，据统计，35%的企业员工（如管理人员、市场人员、客户服务人员等等），至少将20%的工作时间花在其主要工作场所之外。而且固定办公人员的移动性也在提高，如出席各种会议、外出就餐、往返多个办公场所、或希望晚上（或周末）在家工作灯。业务合作伙伴、供应商和客户也需要从自己的办公室、工厂、家或其他地点，接入公司的相关应用和内容、访问权限内的相关资源。基于安全的企业网络毕业设计全文共62页，当前为第29页。本设计中VPN的实现有以下四种方案：1）在DMZ区的服务器上搭建一个VPN服务器，分部的主机通过PPTP或者L2TP连接到总部的VPN服务器上。在总部Headquarter路由器和分部Branch路由器上配置了GREOverIPSecVPN，那么总部和分部之间就建立了一条IPSec隧道，总部和分部之间进入隧道的数据将会被加密。在总部Headquarter路由器建立一个EasyVPN远程用户可通过CiscoVPNClient接入企业内部网；定点的分公司可直接与总公司内部网相连。在总部Headquarter路由器上配置SSLVPN，远程客户端通过浏览器登录到SSLVPN服务器，并访问相应的web资源。下面将对VPN的配置部分进行详细说明：3.4.1PPTP要使Headquarter路由器和Branch路由器能够通信，首先要配置GRE隧道。Headquarter路由器上配置GRE隧道：interfacetunnel0/*开启tunnel口ipaddress/*给tunnel口分配一个IPtunnelsourceSerial1/0/*定义tunnel的源是S1/0tunneldestination/*定义tunnel的目的IP就是Branch路由器外网口的IP地址Branch路由器上配置GRE隧道：interfaceTunnel0/*开启tunnel口ipaddress/*给tunnel口配置一个IPtunnelsourceSerial1/0/*定义tunnel的源为S1/0tunneldestination/*定义tunnel的目的IP即Headquarter路由器外网口的IP基于安全的企业网络毕业设计全文共62页，当前为第30页。要使Headquarter和Branch