毕业设计初稿

xx学院计算机工程技术学院(软件学院)毕业设计题目：局域网网络平安设计专业：学生姓名：学号：大一班级：大三班级：指导教师姓名：职称：2017年3月25日xx学院计算机工程技术学院计算机网络技术专业毕业设计任务书填表日期：2017年3月25日工程名局域网网络平安设计学生姓名学生号联系指导教师单位联系工程简介本工程模拟某企业的局域网内部网络，运用一些网络技术，加上网络平安设备，从而使该企业的局域网网络处于相对平安的局面。设计任务、目标与计划目标：模拟某企业的局域网内部网络，实现企业局域网内部网络的平安，防止非法设备接入内网并将其阻断配置防火墙的平安策略，防止来自外部网络的侵害3.允许内部主机能够访问外网方案：确定设计的选题，明确具体的研究方向查阅相关的技术文献，并通过实验检验选题的可行性起草设计论文的主要内容，撰写设计文档初稿交由指导老师审阅修改完善设计文档，完成设计任务指导教师评语：指导教师评分：指导教师签名：年月日辩论专家组对毕业设计辩论评议及成绩评定：辩论组长：〔签章〕年月日学院毕业审核意见：院长：〔签章〕年月日局域网网络平安设计摘要近几年来，Internet技术日趋成熟，已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息效劳为特征的第二代Internet技术的过渡。这些都促使了计算机网络互联技术迅速的大规模使用。众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机连网，拓宽了共享资源。但是，由于在早期网络协议设计上对平安问题的无视，以及在管理和使用上的无政府状态，逐渐使Internet自身平安受到严重威胁，与它有关的平安事故屡有发生。网络平安的威胁主要表现在：非授权访问，冒充合法用户，破坏数据完整性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面。因此本论文为企业构架网络平安体系，主要运用vlan划分、防火墙技术、病毒防护等技术，来实现企业的网络平安。关键词：端口平安，网络，平安，防火墙，vlanIIAbstractInrecentyears,Internettechnologyhasmatured,hasbeguntoprovideandguaranteefromthenetworkconnectivityasthemaintargetofthefirstgenerationofInternettechnologytoprovidenetworkdataservicesforthecharacteristicsofthesecondgenerationofInternettechnologytransition.Theseallcontributedtotherapidcomputernetworkingtechnologyoflarge-scaleuse.Asweallknow,theworld'slargestinformationnetworkuseof,Internetopennessoftheiragreementgreatlyfacilitateavarietyofcomputernetworkingtobroadenthesharingofresources.However,intheearlydesignofnetworkprotocolsonsecurityissuesofneglect,aswellasinmanagementanduseoftheanarchy,theInternetincreasinglyseriousthreattotheirsecurity,anditsrelatedsecurityincidentshappenedquitefrequently.Networksecuritythreatsmainlyin:unauthorizedaccess,posingaslegitimateusers,damagetodataintegrity,interferewiththenormaloperationofthesystem,usingtheInternetspreadthevirus,linetappingandsoon.Therefore,thispaperfortheenterprisearchitecturenetworksecuritysystem,mainlybytheuseofvlan,firewall,virusprotectionandothertechnologiestoachievecorporatenetworksecurity.Keywords:PortSecurity，network,security,firewall,vlan引言随着计算机运用到各个领域，计算机用户的数量逐渐增多，这就涉及到越来越多的重要信息被计算机存储下来，所以对于计算机平安问题的解决以及预防是刻不容缓的任务。计算机容易受到黑客、病毒的侵入，而这些不仅会影响到计算机的平安，更加会影响到用户信息的平安，会给用户造成极大的危害，所以计算机的平安问题必须值得深思和研究。工程需求分析〔黑体4号〕1．局域网平安威胁分析局域网〔LAN〕是指在小范围内由效劳器和多台电脑组成的工作组互联网络。由于通过交换机和效劳器连接网内每一台电脑，因此局域网内信息的传输速率比拟高，同时局域网采用的技术比拟简单，平安措施较少，同样也给病毒传播提供了有效的通道和数据信息的平安埋下了隐患。局域网的网络平安威胁通常有以下几类：〔1〕欺骗性的软件使数据平安性降低；〔2〕计算机病毒及恶意代码的威胁；〔3〕效劳器区域没有进行独立防护；.〔4〕IP地址冲突；〔5〕局域网用户平安意识不强；正是由于局域网内应用上这些独特的特点，造成局域网内的病毒快速传递，数据平安性低，网内电脑相互感染，病毒屡杀不尽，数据经常丧失。2.局域网平安解决方法当前，保证局域网平安的解决方法有以下几种：〔1〕网络分段网络分段通常被认为是控制网络播送风暴的一种根本手段，但其实也是保证网络平安的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式。目前，一般的局域网大多采用以交换机为中心、路由器为边界的网络格局，应重点挖掘中心交换机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现对局域网的平安控制。〔2〕VLAN的划分为了克服以太网的播送问题，除了上述方法外，还可以运用VLAN〔虚拟局域网〕技术，将以太网通信变为点到点通信，防止大局部基于网络侦听的入侵。目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比拟成熟，在实际应用中效果显著，广受欢送。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN，理论上非常理想，但实际应用却尚不成熟。在集中式网络环境下，我们通常将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，我们可以按机构或部门的设置来划分VLAN。各部门内部的所有效劳器和用户节点都在各自的VLAN内，互不侵扰。三、工程设计利用华为模拟器eNsp模拟一个小型企业的局域网局部内部网络，其拓扑图如下：1.设计任务：A该公司内部主机的地址全部通过dhcp获取，R1做dhcp效劳器，B在接入交换机中开启端口平安，配置接口MAC地址学习限制数为1；配置端口平安功能的保护动作为shutdown；开启接口StickyMAC功能。C在R1跟防火墙之间使用动态路由协议ospfD在防火墙中配置区域平安，并设置平安策略，在防火墙做NAT,将内部的私有地址映射出去，允许内部地址访问外部网络。2.原理分析：A．VlanVLAN〔VirtualLocalAreaNetwork〕的中文名为"虚拟局域网"。虚拟局域网〔VLAN〕是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好似它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比拟新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个播送域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比拟，VLAN技术更加灵活，它具有以下优点：网络设备的移动、添加和修改的管理开销减少；可以控制播送活动；可提高网络的平安性。在计算机网络中，一个二层网络可以被划分为多个不同的播送域，一个播送域对应了一个特定的用户组，默认情况下这些不同的播送域是相互隔离的。不同的播送域之间想要通信，需要通过一个或多个路由器。这样的一个播送域就称为VLAN。划分VLAN后，不同VLAN之间不能直接通信。如果要实现VLAN间通信，可以采取以下方案：图2通过子接口实现VLAN间的通信a．子接口如上图2所示，DeviceA为支持配置子接口的三层设备，DeviceB为二层交换设备。LAN通过DeviceB的以太网接口〔交换式以太网接口〕与DeviceA的以太网接口〔路由式以太网接口〕相连。用户主机被划分到两个VLAN：VLAN2和VLAN3。可通过如下配置实现VLAN间互通。在DeviceA的以太网接口〔与DeviceB相连的以太网接口〕上创立2个子接口Port1.1和Port2.1，并配置802.1Q封装与VLAN2和VLAN3分别对应。配置子接口的IP地址，保证两个子接口对应的IP地址路由可通。将DeviceB与DeviceA相连的以太网接口类型配置为Trunk或Hybrid类型，允许VLAN2和VLAN3的帧通过。将用户设备的缺省网关设置为所属VLAN对应子接口的IP地址。主机A和C的通信过程如下:主机A将主机C的IP地址和自己所在网段进行比拟，发现主机C和自己不在同一个子网。主机A发送ARP请求给自己的网关DeviceA，请求网关的MAC地址。DeviceA收到该ARP请求后，返回ARP应答报文，报文中源MAC地址为VLAN2对应子接口的MAC地址。主机A学习到网关的MAC地址。主机A向网关发送目的MAC为子接口MAC地址、目的IP为主机C的IP地址的报文。DeviceA收到该报文后进行三层转发，发现主机C的IP地址为直连路由，报文将通过VLAN3关联的子接口进行转发。DeviceA作为VLAN3内主机的网关，向VLAN3内发送一个ARP播送，请求主机C的MAC地址。主机C收到网关发送的ARP播送后，对此请求进行ARP应答。网关收到主机C的应答后，就把主机A的报文发送给主机C。主机A之后要发给C的报文都先发送给网关，由网关做三层转发。b．VLANIF接口三层交换技术是将路由技术与交换技术合二为一的技术，在交换机内部实现了路由，提高了网络的整体性能。三层交换机通过路由表传输第一个数据流后，会产生一个MAC地址与IP地址的映射表。当同样的数据流再次通过时，将根据此表直接从二层通过而不是通过三层，从而消除了路由器进行路由选择而造成的网络延迟，提高了数据包转发效率。为了保证第一次数据流通过路由表正常转发，路由表中必须有正确的路由表项。因此必须在三层交换机上部署三层接口并部署路由协议，实现三层路由可达。VLANIF接口由此而产生。VLANIF接口是三层逻辑接口，可以部署在三层交换机上，也可以部署在路由器上。在下列图3所示的网络中，交换机上划分了2个VLAN：VLAN2和VLAN3。可通过如下配置实现VLAN间互通。在Device上创立2个VLANIF接口并配置VLANIF接口的IP地址，保证两个VLANIF接口对应的IP地址路由可通。将用户设备的缺省网关设置为所属VLAN对应VLANIF接口的IP地址。图3通过VLANIF接口实现VLAN间的通信主机A和C的通信过程如下:主机A将主机C的IP地址和自己所在网段进行比拟，发现主机C和自己不在同一个子网。主机A发送ARP请求给自己的网关Device，请求网关的MAC地址。Device收到该ARP请求后，返回ARP应答报文，报文中源MAC地址为VLANIF2的MAC地址。主机A学习到网关的MAC地址。主机A向网关发送目的MAC为VLANIF接口MAC地址、目的IP为主机C的IP地址的报文。Device收到该报文后进行三层转发，发现主机C的IP地址为直连路由，报文将通过VLANIF3接口进行转发。Device作为VLAN3内主机的网关，向VLAN3内发送一个ARP播送，请求主机C的MAC地址。主机C收到网关发送的ARP播送后，对此请求进行ARP应答。网关收到主机C的应答后，就把主机A的报文发送给主机C。主机A之后要发给C的报文都先发送给网关，由网关做三层转发。B．端口平安端口平安是一种基于MAC地址对网络接入进行控制的平安机制，是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问，通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。端口平安的主要功能是通过定义各种端口平安模式，让设备学习到合法的源MAC地址，以到达相应的网络管理效果。启动了端口平安功能之后，当发现非法报文时，系统将触发相应特性，并按照预先指定的方式进行处理，既方便用户的管理又提高了系统的平安性。这里的非法报文是指：a禁止MAC地址学习时，收到的源MAC地址为未知MAC的报文；b端口学习到的MAC地址到达端口所允许的最大MAC地址数后，收到的源MAC地址为未知MAC的报文；c未通过认证的用户发送的报文。C.OSPFOSPF是一种分层次的路由协议，其层次中最大的实体是AS〔自治系统〕，即遵循共同路由策略管理下的一局部网络实体。在每个AS中，将网络划分为不同的区域。每个区域都有自己特定的标识号。对于主干〔backbone〕区域，负责在区域之间分发链路状态信息。这种分层次的网络结构是根据OSPF的实际提出来的。当网络中自治系统非常大时，网络拓扑数据库的内容就更多，所以如果不分层次的话，一方面容易造成数据库溢出，另一方面当网络中某一链路状态发生变化时，会引起整个网络中每个节点都重新计算一遍自己的路由表，既浪费资源与时间，又会影响路由协议的性能〔如聚合速度、稳定性、灵活性等〕。因此，需要把自治系统划分为多个域，每个域内部维持本域一张唯一的拓扑结构图，且各域根据自己的拓扑图各自计算路由，域边界路由器把各个域的内部路由总结后在域间扩散。这样，当网络中的某条链路状态发生变化时，此链路所在的域中的每个路由器重新计算本域路由表，而其它域中路由器只需修改其路由表中的相应条目而无须重新计算整个路由表，节省了计算路由表的时间。OSPF由两个互相关联的主要局部组成：“呼叫”协议和“可靠泛洪”机制。呼叫协议检测邻居并维护邻接关系，可靠泛洪算法可以确保统一域中的所有的OSPF路由器始终具有一致的链路状态数据库，而该数据库构成了对域的网络拓扑和链路状态的映射。链路状态数据库中每个条目称为LSA〔链路状态通告〕，共有5种不同类型的LSA，路由器间交换信息时就是交换这些LSA。每个路由器都维护一个用于跟踪网络链路状态的数据库，然后各路由器的路由选择就是基于链路状态，通过Dijkastra算法建立起来最短路径树，用该树跟踪系统中的每个目标的最短路径。最后再通过计算域间路由、自治系统外部路由确定完整的路由表。与此同时，OSPF动态监视网络状态，一旦发生变化那么迅速扩散到达对网络拓扑的快速聚合，从而确定出新的网络路由表。OSPF的设计实现要涉及到指定路由器、备份指定路由器的选举、协议包的接收、发送、泛洪机制、路由表计算等一系列问题。NAT〔NetworkAddressTranslation，网络地址转换〕是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址〔即仅在本专用网内使用的专用地址〕，但现在又想和因特网上的主机通信〔并不需要加密〕时，可使用NAT方法。这种方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器，它至少有一个有效的外部全球IP地址。这样，所有使用本地地址的主机在和外界通信时，都要在NAT路由器上将其本地地址转换成全球IP地址，才能和因特网连接。另外，这种通过使用少量的公有IP地址代表较多的私有IP地址的方式，将有助于减缓可用的IP地址空间的枯竭。借助于NAT，私有〔保存〕地址的"内部"网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址〔甚至是1个〕即可实现私有地址网络内所有计算机与Internet的通信需求。NAT将自动修改IP报文的源IP地址和目的IP地址，Ip地址校验那么在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据局部中，所以还需要同时对报文的数据局部进行修改，以匹配IP头中已经修改正的源IP地址。否那么，在报文数据局部嵌入IP地址的应用程序就不能正常工作。Nat-工作流程1①如右图这个client〔终端〕的gateway〔网关〕设定为NAT主机，所以当要连上Internet的时候，该封包就会被送到NAT主机，这个时候的封包Header之sourceIP〔源IP〕为192.168.1.100；②而透过这个NAT主机，它会将client的对外联机封包的sourceIP(192.168.1.100)伪装成ppp0(假设为拨接情况)这个接口所具有的公共IP，因为是公共IP了，所以这个封包就可以连上Internet了，同时NAT主机并且会记忆这个联机的封包是由哪一个(192.168.1.100)client端传送来的；Nat工作流程2③由Internet传送回来的封包，当然由NAT主机来接收了，这个时候，NAT主时机去查询原本记录的路由信息，并将目标IP由ppp0上面的公共IP改回原来的192.168.1.100；④最后那么由NAT主机将该封包传送给原先发送封包的Client

。DHCP协议采用UDP作为传输协议，主机发送请求消息到DHCP效劳器的67号端口，DHCP效劳器回应应答消息给主机的68号端口。详细的交互过程如下列图。DHCPClient以播送的方式发出DHCPDiscover报文。所有的DHCPServer都能够接收到DHCPClient发送的DHCPDiscover报文，所有的DHCPServer都会给出响应，向DHCPClient发送一个DHCPOffer报文。DHCPOffer报文中“Your(Client)IPAddress”字段就是DHCPServer能够提供应DHCPClient使用的IP地址，且DHCPServer会将自己的IP地址放在“option”字段中以便DHCPClient区分不同的DHCPServer。DHCPServer在发出此报文后会存在一个已分配IP地址的纪录。DHCPClient只能处理其中的一个DHCPOffer报文，一般的原那么是DHCPClient处理最先收到的DHCPOffer报文。DHCPClient会发出一个播送的DHCPRequest报文，在选项字段中会参加选中的DHCPServer的IP地址和需要的IP地址。DHCPServer收到DHCPRequest报文后，判断选项字段中的IP地址是否与自己的地址相同。如果不相同，DHCPServer不做任何处理只去除相应IP地址分配记录；如果相同，DHCPServer就会向DHCPClient响应一个DHCPACK报文，并在选项字段中增加IP地址的使用租期信息。DHCPClient接收到DHCPACK报文后，检查DHCPServer分配的IP地址是否能够使用。如果可以使用，那么DHCPClient成功获得IP地址并根据IP地址使用租期自动启动续延过程；如果DHCPClient发现分配的IP地址已经被使用，那么DHCPClient向DHCPServer发出DHCPDecline报文，通知DHCPServer禁用这个IP地址，然后DHCPClient开始新的地址申请过程。DHCPClient在成功获取IP地址后，随时可以通过发送DHCPRelease报文释放自己的IP地址，DHCPServer收到DHCPRelease报文后，会回收相应的IP地址并重新分配。在使用租期超过50%时刻处，DHCPClient会以单播形式向DHCPServer发送DHCPRequest报文来续租IP地址。如果DHCPClient成功收到DHCPServer发送的DHCPACK报文，那么按相应时间延长IP地址租期；如果没有收到DHCPServer发送的DHCPACK报文，那么DHCPClient继续使用这个IP地址。在使用租期超过87.5%时刻处，DHCPClient会以播送形式向DHCPServer发送DHCPRequest报文来续租IP地址。如果DHCPClient成功收到DHCPServer发送的DHCPACK报文，那么按相应时间延长IP地址租期；如果没有收到DHCPServer发送的DHCPACK报文，那么DHCPClient继续使用这个IP地址，直到IP地址使用租期到期时，DHCPClient才会向DHCPServer发送DHCPRelease报文来释放这个IP地址，并开始新的IP地址申请过程。需要说明的是：DHCP客户端可以接收到多个DHCP效劳器的DHCPOFFER数据包，然后可能接受任何一个DHCPOFFER数据包，但客户端通常只接受收到的第一个DHCPOFFER数据包。另外，DHCP效劳器DHCPOFFER中指定[1]的地址不一定为最终分配的地址，通常情况下，DHCP效劳器会保存该地址直到客户端发出正式请求。正式请求DHCP效劳器分配地址DHCPREQUEST采用播送包，是为了让其它所有发送DHCPOFFER数据包的DHCP效劳器也能够接收到该数据包，然后释放已经OFFER〔预分配〕给客户端的IP地址。如果发送给DHCP客户端的地址已经被其他DHCP客户端使用，客户端会向效劳器发送DHCPDECLINE信息包拒绝接受已经分配的地址信息。在协商过程中，如果DHCP客户端发送的REQUEST消息中的地址信息不正确，如客户端已经迁移到新的子网或者租约已经过期，DHCP效劳器会发送DHCPNAK消息给DHCP客户端，让客户端重新发起地址请求过程。四、工程实现[R1]ippoolvlan10[R1-ip-pool-vlan10]gateway-list192.168.10.1[R1-ip-pool-vlan10]network192.168.10.0mask255.255.255.0[R1-ip-pool-vlan10]leaseday10hour0minute0[R1-ip-pool-vlan10]dns-list8.8.8.8114.114.114.114[R1-ip-pool-vlan10]ippoolvlan20[R1-ip-pool-vlan20]gateway-list192.168.20.1[R1-ip-pool-vlan20]network192.168.20.0mask255.255.255.0[R1-ip-pool-vlan20]leaseday10hour0minute0[R1-ip-pool-vlan20]dns-list8.8.8.8114.114.114.114查看主机分配情况2.端口平安[SW2]intEthernet0/0/2[SW2-Ethernet0/0/2]portlink-typeaccess[SW2-Ethernet0/0/2]portdefaultvlan10[SW2-Ethernet0/0/2]port-securityenable[SW2-Ethernet0/0/2]port-securityprotect-actionshutdown[SW2-Ethernet0/0/2]port-securitymac-addresssticky[SW2-Ethernet0/0/2]quit[SW2]intEthernet0/0/3[SW2-Ethernet0/0/3]portlink-typeaccess[SW2-Ethernet0/0/3]portdefaultvlan10[SW2-Ethernet0/0/3]port-securityenable[SW2-Ethernet0/0/3]port-securityprotect-actionshutdown[SW2-Ethernet0/0/3]port-securitymac-addresssticky查看地址stikey情况3.ospf配置[R1]ospf1router-id1.1.1.1[R1-ospf-1]area0.0.0.0[R1-ospf-1-area-0.0.0.0]network10.1.1.00.0.0.3[R1-ospf-1-area-0.0.0.0]network192.168.10.00.0.0.255[R1-ospf-1-area-0.0.0.0]network192.168.20.00.0.0.255[Eudemon[Eudemon[Eudemon4.平安策略配置[Eudemon]firewallzonetrust[Eudemon-zone-trust]setpriority85[Eudemon-zone-trust]addinterfaceGigabitEthernet0/0/0[Eudemon-zone-trust]q[Eudemon]firewallzoneuntrust[Eudemon-zone-untrust]setpriority5[Eudemon-zone-untrust]addinterfaceGigabitEthernet0/0/1[Eudemon]firewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutbound/当数据流无法匹配域间包过滤中的ACL规那么时，会按照域间缺省包过滤规那么转发或丢弃该数据流的报文配置[Eudemon]interfaceGigabitEthernet1/0/2[Eudemon-GigabitEthernet1/0/2]ipaddress202.169.10.124[Eudemon-GigabitEthernet1/0/2]quit[Eudemon]acl2000[Eudemon-acl-basic-200