交换方向 - 图文

专科生毕业设计 网 络 工 程 路由交换方向

院 系 软件学院 专 业 网络技术 班 级 09应届专科2班 学 号 1601090220 学 生 姓 名 张凯迪 联 系 方 式 13782325231 指 导 教 师 朱永超 职称：讲师 李孔文 职称：讲师

2011年4月

- 1 -

独 创 性 声 明

本人郑重声明：所呈交的毕业论文（设计）是本人在指导老师指导下取得的研究成果。除了文中特别加以注释和致谢的地方外，论文（设计）中不包含其他人已经发表或撰写的研究成果。与本研究成果相关的所有人所做出的任何贡献均已在论文（设计）中作了明确的说明并表示了谢意。

签名：

年 月 日

授权声明

本人完全了解许昌学院有关保留、使用专科生毕业论文（设计）的规定，即：有权保留并向国家有关部门或机构送交毕业论文（设计）的复印件和磁盘，允许毕业论文（设计）被查阅和借阅。本人授权许昌学院可以将毕业论文（设计）的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编论文（设计）。

本人论文（设计）中有原创性数据需要保密的部分为： 。

签名： ______ 年 月 日 指导教师签名：

年 月 日

- 2 -

摘 要

21世纪是一个以网络为基础的信息时代。作为计算机技术和通信技术相结合的产物，计算机网络在这个时代发挥着它不可估量的作用，对人们的工作、学习、生活、行为和思维方式都产生着重要的影响。随着科学技术的不断进步，计算机技术和网络技术都得到了长足的发展，越来越多的计算机连接到不同的网络中，使得计算机网络不论从结构上还是规模上都发生了很大的变化，这给计算机网络的建设提出了新的挑战，对实施网络工程也提出了新的要求。

随着网络的逐步普及，中小型企业的建设是企业向信息化发展的必然选择，企业网络系统是一个非常庞大而复杂的系统，它不仅为企业现代化、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。而中小型企业工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设计课题将主要以中小型局域网络建设过程可能用到的各种技术及实施方案为设计方向，为中小型企业的建设提供理论依据和实践指导。

本课题共分34章，主要包括二大方面：windows和Linux。Windows主要内容包括windows server 2003的安装与基本配置、windows server 2003系统管理、windows网络配置、windows DNS和DHCP服务器等；Linux主要内容包括Linux操作系统的安装与基本配置、Linux网络配置、samba服务器、ftp服务器、DNS服务器等各种网络服务器的安装与配置。本项目也解决了企业局域网之间的VPN搭建以及路由器和交换机的配置。

关键词：局域网搭建；Linux服务器配置；windows管理；路由与交换配置；网络安全；

系统集成等

- 3 -

ABSTRACT

The 21st century is a web-based information age. Computer technology and

communication technology as a combination product, the computer network in this day and age of its invaluable role to play on people's work, study, living, behavior and way of thinking has produced a significant effect. With the continuous progress of science and technology, computer technology and network technology have been developed rapidly, more and more computers connected to different networks, making the computer network, whether from the structure or size, great changes have taken place , which gives the computer network of building the new challenges, the implementation of the network project has also raised new demands.

With the gradual popularization of the network, small and medium business enterprises to build is an inevitable choice for the development of information technology, enterprise network system is a very large and complex system, it not only for enterprise modernization, integrated information management and office automation applications and a series of provide the basic operating platform, but also provide a variety of application services to make the information timely and accurately transmitted to the various systems. The construction of small and medium enterprises in the main applications of network technology to the important branch of local area network technology to the construction and management, so the graduation project will focus on the process of building small and medium local area network may be used in a variety of technical and implementation options for the design of direction for the construction of small and medium enterprises to provide a theoretical basis and practical guidance. The project is divided into 34 chapters, including two major aspects: windows and

Linux. Windows main contents include the installation of windows server 2003 and the basic configuration, windows server 2003 system administration, windows network configuration, windows DNS and DHCP servers; Linux Linux operating system mainly covers the installation and basic configuration, Linux network configuration, samba server, ftp servers, DNS servers and other network server installation and configuration. The project also addresses the

enterprise LAN VPN between the structures and the configuration of routers and switches.

Keywords: local area network set up; Linux server configuration; windows management; routing and switching configuration; network security; system integration

- 4 -

目 录

第1章 第2章

引 言 .................................... 5 项目需求分析 ............................... 5

2.1、 项目背景............................................ 5 2.2、 需求分析............................................ 6

第3章 网络总体建设目标 ............................ 6

3.1、 网络建设目标 ........................................ 6 3.2、 网络及系统建设内容及要求 ............................. 6 3.3、 网络设计原则 ........................................ 7

第4章 网络总体设计 ............................... 7

4.1、 网络拓扑图 .......................................... 7 4.2、 网络层次化设计 ...................................... 8 4.3、 内联接入............................................ 9

第5章

1. 2. 3.

路由、交换设计 ............................. 9

路由协议............................................ 9 交换技术........................................... 10 IPV6 .............................................. 10

5.4、 设备选择........................................... 10 5.5、 设备命名规范 ....................................... 11 5.6、 VLAN、子网及IP地址规划 ............................. 11

第6章

6.1

网络安全解决方案 ........................... 13

网络边界安全威胁分析 ................................ 13

6.2 网络内部安全威胁分析 .................................. 13 6.3解决方案 .............................................. 14

第7章

7.1 7.2 7.3 7.4

关键技术介绍 ................ 错误！未定义书签。

VLAN ................................错误！未定义书签。 HSRP ................................错误！未定义书签。 VTP .................................错误！未定义书签。 TRUNK ...............................错误！未定义书签。

7.5 7.6

STP .................................错误！未定义书签。 VPN .................................错误！未定义书签。

第8章 设备简介 ................... 错误！未定义书签。

8.1 Cisco 2800系列集成多业务路由器 ...........错误！未定义书签。 8.2 8.3 8.4

Cisco 4500系列交换机 .................错误！未定义书签。 Cisco Catalyst 3750 系列集成交换机 .....错误！未定义书签。 Cisco Catalyst2960系列交换机 ..........错误！未定义书签。

第9章

9.1 9.2 9.3 9.4 9.5

项目实施计划 ................ 错误！未定义书签。

项目组织结构 .........................错误！未定义书签。 工程进度计划 .........................错误！未定义书签。 项目实施前的准备工作 ..................错误！未定义书签。 安装前的场地准备 .....................错误！未定义书签。 核心及各网点的安装调试 ................错误！未定义书签。

第10章 网络测试 ................... 错误！未定义书签。

10.1 10.2

网络测试目的 .........................错误！未定义书签。 测试文档.............................错误！未定义书签。

第11章 基本配置 ................... 错误！未定义书签。

11.1

总部基本配置 .........................错误！未定义书签。

11.3分部基本配置 ...........................错误！未定义书签。

第12章 Trunk基本配置 ............... 错误！未定义书签。

12.1 12.2 12.3 12.4

技术简介.............................错误！未定义书签。 设备简介.............................错误！未定义书签。 基本配置.............................错误！未定义书签。 验证配置.............................错误！未定义书签。

第13章 VLAN配置 ................... 错误！未定义书签。

13.1 13.2 13.3 13.4 13.5

技术简介.............................错误！未定义书签。 设备简介.............................错误！未定义书签。 基本配置.............................错误！未定义书签。 验证配置.............................错误！未定义书签。 配置vlan地址和网关 ...................错误！未定义书签。

第14章 14.1 14.2 14.3 14.4

第15章 15.1 15.2 15.3 15.4

第16章 16.1 16.2 16.3 16.4

第17章 17.1 17.2 17.3 17.4

第18章 18.1 18.2 18.3 18.4

第19章 19.1 19.2 19.3 19.4

VTP配置 .................... 错误！未定义书签。

技术简介.............................错误！未定义书签。 设备简介.............................错误！未定义书签。 基本配置.............................错误！未定义书签。 验证配置.............................错误！未定义书签。

以太网通道配置 .............. 错误！未定义书签。

技术简介.............................错误！未定义书签。 设备简介.............................错误！未定义书签。 基本配置.............................错误！未定义书签。 验证配置.............................错误！未定义书签。

STP配置 .................... 错误！未定义书签。

技术简介.............................错误！未定义书签。 设备简介.............................错误！未定义书签。 基本配置.............................错误！未定义书签。 验证配置.............................错误！未定义书签。

OSPF配置 ................... 错误！未定义书签。

技术简介.............................错误！未定义书签。 设备简介.............................错误！未定义书签。 基本配置.............................错误！未定义书签。 验证配置.............................错误！未定义书签。

HSRP配置 ................... 错误！未定义书签。

技术简介.............................错误！未定义书签。 设备简介.............................错误！未定义书签。 基本配置.............................错误！未定义书签。 验证配置.............................错误！未定义书签。

GRE over IPSEC配置 .......... 错误！未定义书签。

技术简介.............................错误！未定义书签。 设备简介.............................错误！未定义书签。 基本配置.............................错误！未定义书签。 验证配置.............................错误！未定义书签。

第20章 PPP配置 .................... 错误！未定义书签。

20.1 20.2 20.3

PPP认证 .............................错误！未定义书签。 配置PPP认证 .........................错误！未定义书签。 验证 ................................错误！未定义书签。

第21章 ACL配置 .................... 错误！未定义书签。

21.1

ACL介绍 .............................错误！未定义书签。

21.2 ACL的作用 .............................错误！未定义书签。 21.3 ACL的执行过程 .........................错误！未定义书签。 21.4 ACL的分类 .............................错误！未定义书签。 21.5配置 ..................................错误！未定义书签。

第22章 ISA防火墙配置 ............... 错误！未定义书签。

22.1 22.2 22.3

ISA简介 .............................错误！未定义书签。 应用位置及项目角色....................错误！未定义书签。 ISA服务架构 .........................错误！未定义书签。

第23章 Iptables配置 ................ 错误！未定义书签。

23.1

Iptables概述 ........................错误！未定义书签。

23.2 实现目标 ..............................错误！未定义书签。 23.3

NAT配置 .............................错误！未定义书签。

结 束 语 错误！未定义书签。 参 考 文 献 15 致 谢 16

第1章 引 言

随着信息技术的飞速发展，网络改变了人们的生活，地球变成了地球村，全世界的人可以随时进行网络交流。信息资源的共享，带来社会生产力空前提高，互联网与人们生活越来越密切，如网上证券期货交易、远程电子视频会议、网上购物等应用使得人们的生活已经越来越离不开网络。

然而网络安全问题伴随着网络的产生而产生，可以说，有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件，目前主要是通过网络进行的，而且几乎每时每刻都在发生，遍及全球。随着信息进程的提速，越来越多地企业信息被披露于企业内外部网络环境，如何保护企业机密，保障企业信息安全，成为企业信息话发展过程中必然需要面临和解决的问题。

对于企业信息网络安全管理需要部署的内容，首先要明确企业的哪些资产需要保护，确定关键数据和相关业务支持技术资产价值，然后再此基础上，制定并实施安全策略，完成安全策略的责任分配，设立安全标准。

本设计结合中小企业实际需求，举例分析、设计、配置、模拟组建了一个典型的中小企业网络。

第2章 项目需求分析

2.1、 项目背景

Ambow是一家新型的IT企业.本项目的目标是：“建立一个设计规范、功能完备、性能优良可靠、有良好扩展性与可用性且具备易维护的现代网络办公体系.”

集团的业务涉及基础教育服务、职业教育服务、企业培训等领域，Ambow高考与同步培训机构、Ambow国际学校、Ambow实训基地、Ambow职业教育学院、Ambow学习体验中心等机构已遍及全国二十多个重点城市，形成了以区域教育服务中心和实训基地为依托，以师资、课程、服务流程、IT支持、网络学习服务的标准化为载体的服务体系，通过标准品质的服务保障全国各地用户的个性化需求。

Ambow教育集团创建专业的教育和技术研发机构——Ambow研究院进行前瞻性教育理念和资源的创造与创新。Ambow数十种自主知识产权技术、产品获得国家版权认证、专利认证和科技成果鉴定。Ambow还与北京师范大学合作创立北师大Ambow教育发展

研究院，开展教育政策与理论探索、国际高端项目交流，目前已参与和承办了多项国家重大教育课题、国际高端学术论坛。http://dzsstb.com/

目前Ambow总部在北京，分部分别在大连及江苏的昆山。总部设有品质保障部、教学支持部、财务部、市场部，员工约有150人。分部的部门与总部相同，两个分部各有员工约50人。http://ghrsc.com/

2.2、 需求分析

总部分为数据中心，核心交换区，服务器和接入，数据中心作为工厂生产运营系统的

存放地，其性能、稳定性、安http://djxcoop.com/全性，可靠性的要求最高。因此我们在设计的时候，应该考虑到这些要求，核心交换区的功能是高速可靠地交换数据，因此该部分的设计应考虑性能和可靠性的平衡，分部用户接入作为外联单位接入区域，其安全性应该是放在第一位。总部办公网络作为内部互联单http://fcsjzw.com/位，可信度较高，用WEB、FTP、MAIL、DNS、DHCP等内部服务器为员工提供内部信息。分部访问总部采用VPN技术，通过VPN隧道保证传送信息的安全。INTERNET用户接入，需要考虑安全性和冗余性。当前的网络管理范畴比较广，包括设备管理、资源管理、故障管理、性能管理、安全管理等。在网络规模相对较大的时候，合适的网络系统可以帮助用户方便管理网络内的设备及运行情况，以提高网络的运行效率。

第3章 网络总体建设目标

3.1、 网络建设目标

本项目的目标是：“建立一个设计规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台，以高效率，高速度，低成本的方式提高公司员工的工作效率与执行效率”。 搭建公司核心网络及服务器,以实现生产运营系统的运行, 各公司用户能够进行资源共享，并能够进行上网查资料，电子邮件，对外发布网站等等。按照“高效能、低成本”的要求，采用两层网络结构，按要求实现网络安全的需求。网络设备主要以核心交换区设备为主。要求计算机网络系统满足系统集成的网络平台需求，并考虑对设备投资保护，保证未来几年的系统扩展。组建一个高效、稳定、可靠、易管理、安全的企业网.

3.2、 网络及系统建设内容及要求

根据Ambow公司的网络情况，我们把整个网络分为内部交换网络设计、网络出口设

计、网络安全设计几大方面。对于内部交换网络我们采用分层设计。内部交换网络分成核心层、汇聚层、接入层三大部分。

对于内部交换网络我们采用分层设计。内部交换网络分成核心层和接入层两大部分。核心层作为整个网络系统的核心，其主要功能是高速、可靠的进行数据交换。为加速数据的快速转发，我们在核心层采用以太通道技术，增加网络带宽，提高数据转发效率。为提高网络链路的冗余性，采用HSRP技术做热备份，STP技术，保证链路的冗余性等。接入层主要提供最终用户接入网络的途径。主要进行vlan的划分等。

对于设备，我们采用了性价比较高的设备。对于网络带宽，由于带宽有限且租金昂贵，我们建议用QOS技术进行拥塞管理、拥塞避免、流量整形等策略对网络上的流量进行管理。

3.3、 网络设计原则

高可靠性----网络系统的稳定性是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络结构，制定可靠地网络备份策略，保证网络具有故障自愈的能力，最大限制地支持各个系统的正常运行。

灵活性及可扩展性-----根据未来业务的增长和变化，网络可以平滑地扩展和升级，最大限制地减少对网络架构和设备的调整。

高性能-----承载网络性能是网络通讯系统良好运行的基础，设计中心必须保障网络及设备的高吞吐能力，保证各种信息（数据，语音，图像）的高质量传输，才能使网络不成为各项业务开展的瓶颈。

性价比高----网络方案的设计必须充分考虑投资保护。

第4章 网络总体设计

4.1、 网络拓扑图

Ambow公司整体网络可以根据功能划分为北京总部核心网络，内嵌接入包括品质保障部网络，教学支持部网络，财务部和市场部。外联单位接入大连分部网络和昆山分布网络。各区域相对独立，通过核心网络进行数据的交互。

在整个网络拓扑图中，我们采用了层次化的设计，核心层、汇聚层、接入层。这样节省成本，使整个网络拓扑更加清晰，由于各个层次的功能不同，因此易于我们排错。

4.2、 网络层次化设计

在网络领域，层次型设计用于将设备划分到多个网络中，这些网络采用分层方法组织。层次型设计模型包含3个基本层：

? 核心层：连接分布层设备。

? 分布层：将较小的本地网络互连起来。

? 接入层：向网络中的主机和终端设备提供连接性。

相对于平面网络设计，层次型网络有些优点。将平面网络分为易于管理的小型模块的优点是，本地数据流将留在本地，只有前往其他网络的数据流才进入更高层。 三部分的功能分别是：

核心层：核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设

计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。 核心层需要考虑冗余设计。

汇聚层： 汇聚层的功能主要是连接接入层节点和核心层中心，汇聚层设计连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。汇聚层设备一般采用可管理的三层交换机或堆叠式交换机以达到带宽和传输性能的要求，其设备性能较好，但价格高于接入层设备，而且对环境的要求也较高，汇聚层设备之间以及汇聚层设备与核心层设备之间多采用光纤互联，以提高系统的传输性能和吞吐量。

接入层：接入层的主要功能是完成用户流量的接入和隔离，对于无线局域网wlan用户，用户终端通过无线网卡和无线接入点AP完成用户接入。它可以共享、独享或交换带宽的方式为用户提供入网的接口。 4.2.1、 核心层设计

核心层主要进行数据的高速路由转发，以及维护全网路由的计算，我们推荐使用cisco 2821的路由器来完成，它的高性能，可靠性，可用性，在核心层我们还应该采用Cisco4506系类的交换机来完成，在核心层为了保证数据的安全性和保密性应接入防火墙。 4.2.2、 分布层设计

分布层交换机和接入层交换机之间可以利用全双工技术和高传输率网络互联,保证分支主干无带宽瓶颈。分布层的设计要满足核心层、分布层交换机和服务器集合环境对千兆端口密度、可扩展性、高可用性以及多层交换的不断增长的需求,支持大用户量、多媒体信息传输等应用。所以选择的设备配置比核心层稍低。可采用思科Cisco3750交换机。 4.2.3、 接入层设计

接入层是使用交换机相连，为用户终端提供了接入的方式，办公系统所需要的服务器群，数据中心的多种系统应用服务器，链接到会聚交换的模块上，因此，内部的局域网是采用三层结构组建。在接入层使用的是Cisco2960系列的交换机来完成。

4.3、 内联接入

内连接入的作用是用于链接外网的网络。我们使用Cisco 2800系列的路由器通过SDH/DDN线路完成此功能。

由于接入外网时需要考虑到安全问题，因此，还需要接外部防火墙。

第5章 路由、交换设计

1. 路由协议

在本次网络项目中，北京总部的路由器BJ-R-001和交换机BJ-S-01、 BJ-S-02 、BJ-S-03及 BJ-S-04。

为达到路由快速收敛、寻址以及方便网络管理员管理的目的，为这个网络选择ospf协议。

Ambow总部规划为area 0，其内部网络也都规划为area 0。各区域接入路由器跟据区域不同使用动态协议，或者使用静态路由与动态路由结合的方式。

2. 交换技术

对于本次项目的核心层交换机Cisco 4506，我们将采用建立在生成树基础上的多链路冗余连接。这样不仅可以避免了由于网络环路造成的广播风暴等，还可以保证骨干交换机之间存在备份连接和负载均衡，完成高带宽、大容量网络层路由交换功能。这样当交换机之间的线路出现故障时，传输的数据会快速自动切换到另外一条线路上进行传输，不影响网络系统的正常工作。

而对于汇聚层交换机Cisco 3750和接入层交换机Cisco 2960，我们将采用VTP、VLAN、HSRP等协议。使用VTP协议，可以把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样他们可以自动学习到server上的VLAN 信息。这样不仅可以少在多台设备上配置同一个VLAN信息的工作量，而且还保持了VLAN配置的统一性。而VLAN 技术，则可以限制广播范围，并能够形成虚拟工作组，动态管理网络。不仅提高了网络的安全性，而且成本低，性能高，节省了人力，具有很高的灵活性。HSRP 是热备份路由协议。在北京总部和分部在汇聚层的交换机上我们采用热备份协议，运用两台交换机，当其中的一台出现故障致使网络不能正常通信时，备用的那台马上起到作用，避免了网络的“短路”问题。HSRP 实现容错备份功能，可以有效解决网络不畅问题，保证了网络的可靠性。

3. IPV6

由于IPV4网络地址的资源有限，所以，为了提高网络的可扩展性，在本次网络项目中所采用的设备，均支持IPV6。IPV6以其灵活的IP报文头部格式，不仅取代了IPV4中可变长度的选项字段，而且也使路由器可以简单路过选项而不做任何处理，加快了报文处理速度，提高了吞吐量。而且IPV6还具有安全性、身份认证和隐私权等特性。支持更多的服务类型，允许协议继续演变，增加新的功能，使之适应未来技术的发展。

5.4、 设备选择

网络设备清单

设备型号 Cisco 2811 Cisco WS-C4506 Cisco WS-C3750-24TS-S Cisco WS-C2960-24TT-L Cisco WS-C2960-48TC-L 数量（台） 3 2 6 9 3 单价（元） 5200 22000 9000 3600 7500 总价（元） 15600 44000 54000 32400 22500 总计：168500

5.5、 设备命名规范

网络设备命名

设备型号 Cisco 2811 Cisco WS-C4506 Cisco WS-C3750-24TS-S Cisco WS-C2960-24TT-L 北京 BJ-R-001 BJ-S-01 BJ-S-02 BJ-S-03 BJ-S-04 大连 DL-R-001 DL-S-01 DL-S-02 DL-S-03 DL-S-04 DL-S-05 DL-S-06 昆山 KS-R-001 KS-S-01 KS-S-02 KS-S-03 KS-S-04 KS-S-05 KS-S-06 BJ-S-05 Cisco WS-C2960-48TC-L BJ-S-06 BJ-S-07 BJ-S-08

5.6、 VLAN、子网及IP地址规划

IP地址的规划在网络设计中举足轻重。直接影响网络运行的效率。IP地址设计的总原则是简单、易管理、易扩展。 我们配IP地址按以下原则：

唯一性：一个IP网络中不可能有两个主机采用相同的IP地址。

简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项。 连续性：连续地址在此结构网络中易于进行路由总结（Route Summarization）,大大缩减路由表，提高路由算法效率。

可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性。

灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术，以满足多种路由策略的优化，充分利用地址空间。

北京总部IP地址划分

部门名称 品质保障部 教学支持部 财务部 市场部 服务器

大连分部IP地址划分

部门名称 品质保障部 教学支持部 财务部 市场部 服务器

昆山分部IP地址划分

部门名称 品质保障部 教学支持部 财务部 人数 14 19 4 VLAN ID VLAN 10 (KS-PZ) VLAN 20 (KS-JX) VLAN 30 (KS-CW) 网络号 192.168.3.32/27 192.168.3.0/27 192.168.3.96/29 可分配IP地址 192.168.3.33-62 192.168.3.1-30 192.168.3.97-102 人数 13 18 3 16 VLAN ID VLAN 10 (DL-PZ) VLAN 20 (DL-JX) VLAN 30 (DL-CW) VLAN 40 (DL-SC) 网络号 192.168.2.64/27 192.168.2.0/27 192.168.2.96/29 192.168.2.32/27 可分配IP地址 192.168.2.65-94 192.168.2.1-30 192.168.2.97-102 192.168.2.33-62 192.168.2.104-108 人数 47 47 8 48 VLAN ID VLAN 10 (BJ-PZ) VLAN 20 (BJ-JX) VLAN 30 (BJ-CW) VLAN 40 (BJ-SC) 网络号 192.168.1.64/26 192.168.1.128/26 192.168.1.192/28 192.168.1.0/26 可分配IP地址 192.168.1.65-126 192.168.1.129-190 192.168.1.193-206 192.168.1.1-62 192.168.1.227-239

市场部 服务器 13 VLAN 40 (KS-SC) 192.168.3.64/27 192.168.3.65-94 192.168.1.104-108

第6章 网络安全解决方案

6.1 网络边界安全威胁分析

网络边界隔离着不同功能或地域的多个网络区域，存在着安全风险。我们应用以下方法来杜绝这些存在的潜在的安全：

1、防火墙技术，防火墙是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络的安全的有效管理，从总体上看防火墙应该具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止行为；记录通过防火墙的信息内容和活动；对网络攻击进行监测和告警。 2、通过vlan惊醒端口通讯和安全隔离，确保数据流进入有效端口

3、可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定，有效确认用户合法性和唯一性。

6.2 网络内部安全威胁分析

内部用户的越权访问:

公司内部的资源也不是对任何的员工都开放的，也需要有相应的访问权限。内部

用户的非授权的访问，更容易造成资源和重要信息的泄露。 内部用户的误操作：

由于内部用户的计算机制造的水平参差不齐，对于应用软件的理解也各不相同，

如果一部分软件没有相应的对误操作的防范措施，极容易给服务系统和其他主机造成危害。

内部用户的恶意攻击：

就网络安全来说，据统计约有70%左右的攻击来自内部网络用户，相比外部攻击

来说，内部用户有更得天独厚的优势，因此，对内部用户攻击的防范也很重要。 设备的自身安全性也会直接关系到公司网络系统和各种网络应用的正常运转。例如，路由

设备存在路由信息你泄露、交换机和路由器设备配置风险等。 重要服务器或操作系统自身存在的安全漏洞：

如果管理员没有及时的发现并且进行修复，将会为网络的安全带来很多不安定的

因素。重要服务器的当机或者重要数据的意外丢失，都将会造成这公司内部业务的无法正常运行。

6.3解决方案

6.3.1ISA和iptables防火墙 （1） （2） （3）

防火墙能强化安全策略

防火墙能有效的记录internet上的活动。

防火墙限制暴露用户点，防火墙能够用来隔开网络中一个网段与另一个网段，这样，能够防止影响一个网段的问题通过整个网络传播。

（4）

防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。

（5） （6）

价格较低

性能开销小,处理速度较快

在公司分部，我们选择在linux系统上建立iptables防火墙。iptables是复杂的，它集成到linux内核中。用户通过iptables，可以对进出你的计算机的数据包进行过滤。通过iptables命令设置你的规则，来把守你的计算机网络──哪些数据允许通过，哪些不能通过，哪些通过的数据进行记录。

6.3.2病毒防护

因为公司的数据核心是非常重要的，为免被窃取要设置访问权限；网络可能被 病毒攻击和破坏，所以安装杀毒软件和防火墙。 (1)阻止病毒的传播

在防火墙、SMTP服务器、网络服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。 (2)检查和清除病毒

使用防病毒软件检查和清除病毒。 (3)病毒数据库的升级

病毒数据库应不断更新，并下发到桌面系统。

(4)在防火墙及PC上安装控制扫描软件，禁止未经许可的控件下载和安装。 6.3.3认证和数字签名

(1)认证

1.路由器认证，路由器和交换机之间的认证 2.操作系统认证，操作系统对用户的认证 3.拨号访问服务与客户之间的认证 4.电子邮件通讯双方认证 (2)数字签名技术

认证过程通常涉及到加密和密钥交换。 Password认证

该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet等，但由于此种认证方式过程不加密，即password容易被监听和解密。 使用摘要算法的认证 基于PKI的认证

使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。

参 考 文 献

[1]万振凯等．网络操作系统：windows Server 2003管理与应用[M]．北京：清华大学出版社；北京交通大学出版社，2008.8

[2]高升，邵玉梅．Windows Server 2003系统管理（第二版）[M].北京:清华大学出版社,2007.5

[3]刘化君．网络安全技术[M]．北京：机械工业出版社，2010.5

[4]陈萍．Linux网络服务器配置与管理[M]：[M]，北京：机械工业出版社，2010.1 [3]http://shsstats.com/88yulecheng/ [4]http://hywhsc.com/88yulecheng/ By-gnksguybb

致 谢

大学生活在这个季节即将画上一个句号，而我将面对又一次的征程。二年的求学生涯在老师和同学的大力支持下，走的辛苦却也收获颇丰。在论文即将完成之际，我的心情无法平静。二年的求学生涯在老师和同学的大力支持下，走的辛苦却也收获颇丰。特别是我的导师朱永超老师和李孔文老师，在论文完成过程中付出了辛勤的劳动，还教会了我基本的研究方法；同时感谢在我20年生命中养育我的父母，帮助过我的朋友，关怀过我的同学。向你们致敬！在即将踏向社会的时刻，我的心情可以说是激动万千，但是我仍然不会忘记：感谢许昌学院以及所有导师。

同时，在大学二年的学习生活中，学校严谨的治学作风、良好的学习氛围、老师们认真的工作态度，都给我留下了非常深刻的印象。在这里我真诚的向那些曾经帮助过我、关心过我的老师、同学们说一声：谢谢!

本文来源：https://www.bwwdw.com/article/2337.html