企业网络搭建网络工程项目毕业论文

企业网络搭建网络工程项目毕业论文内容摘要：

是采用三层结构组建。 内联接入 内联接入的作用是用于连接南京分公司和北京办公网络。 我们要求这些本地用户、分部的员工与总部之间能够实现高速连接并且能够保证与总部通信的可靠性和可行性。 还要求总部内部安全机制能够提高 ，因此我们推荐采用 cisco 3800系列路由器来完成此项功能。 由于总部网络和分部网络属于公司的内部网络的一部分，因此我们必须考虑到分布与总部传输信息的安全性和可靠性。 ；接入时主要作用是生产运营系统的数据交换，查询等等和管理以及监控。 第四 章 路由设计 路由协议选择 路由协议的选择： 为达到路由快速收敛、寻址以及方便网络管理员管理的目的，我们建议采用动态路由协议，目前较好的动态路由协议是 OSPF 协议和 EIGRP 协议， OSPF 以协议标准化强，支持厂家多，受到广泛应用，而 EIGRP 协议由 Cisco 公 司发明，考虑网络的快速收敛和扩展性、公开性、投资的保护等原因，我 们设计采用 OSPF12 1 12 路由协议和静态路由相结合的路由方式。 OSPF 路由协议 : 1､OSPF是真正的无路由自环路由协议 ｡源自其算法本身的优点 ｡(链路状态及最短路径树算法 ) 2､OSPF收敛速度快 :能够在最短的时间内将路由变化传递到整个自治系统 ｡ 3､提出区域 (area)划分的概念 ,将自治系统划分为不同区域后 ,通过区域之间的对路由信息的摘要 ,大大减少了需传递的路由信息数量 ｡也使得路由信息不会随网络规模的扩大而急剧膨胀 ｡ 4､将协议自身的开销控 制到最小 ｡ 1)用于发现和维护邻居关系的是定期发送的是不含路由信息的 hello报文 ,非常短小 ｡包含路由信息的报文时是触发更新的机制 ｡(有路由变化时才会发送 )｡但为了增强协议的健壮性 ,每 1800秒全部重发一次 ｡ 2)在广播网络中 ,使用组播地址 (而非广播 )发送报文 ,减少对其它不运行 ospf 的网络设备的干扰 ｡ 3)在各类可以多址访问的网络中 (广播 ,NBMA),通过选举 DR,使同网段的路由器之间的路由交换 (同步 )次数由 O(N*N)次减少为 O (N)｡ 4)提出 STUB区域的概念 ,使得 STUB区域内不再传播引入 的 ASE路由 ｡ 5)在 ABR(区域边界路由器 )上支持路由聚合 ,进一步减少区域间的路由信息传递 ｡ 13 1 13 6)在点到点接口类型中 ,通过配置按需播号属性 (OSPF over On Demand Circuits),使得 ospf不再定时发送 hello 报文及定期更新路由信息 ｡只在网络拓扑真正变化时才发送更新信息 ｡ 7） ospf协议 是链路状态路由选择协议，它选择路由的度量标准是带宽，延迟。 OSPF 定义的 5种网络类型 : 点到点网络 ， 广播型网络 ， 非广播型 (NBMA)网络 ， 点到多点网络 ， .虚链接(virtual link) 点到点网络 ： 比如 T1 线路 ,是连接单独的一对路由器的网络 ,点到点网络上的有效邻居总是可以形成邻接关系的 ,在这种网络上 ,OSPF包的目标地址使用的是 ,这个组播地址称为 AllSPFRouters. 广播型网络 ： 比如以太网 ,Token Ring和 FDDI,这样的网络上会选举一个 DR和 BDR,DR/BDR的发送的 OSPF包的目标地址为 ,运载这些 OSPF包的帧的目标 MAC地址为。 而除了 DR/BDR以外发送的 OSPF 包的目标地址为 ,这个地址叫 AllDRouters. NBMA 网络 ： 比如 ,Frame Relay,和 ATM,不具备广播的能力 ,因此邻居要人工来指定 ,在这样的网络上要选举 DR 和 BDR,OSPF包采用 unicast的方式 下面是 Eigrp与 OSPF的区别： Eigrp是 Cisco的专用，而 OSPF则是通用协议。 Eigrp是距离矢量协议，而 OSPF是状态协议。 Eigrp的汇总速度要比 OSPF快，因为在他的拓扑图中保存了可选后继，直接后继找不到可以直接通过可选后继转发。 Eigrp 的多播地址是： ， OSPF 是： 和。 14 1 14 Eigrp的路径度量是复合型， OSPF则是 cost型的。 尽管 Eigrp支持路由汇总功能，但是他没有路由分级的概念，不像 OSPF那样多网络进行分级。 在汇总功能实现上， eigrp可以再任何路由器的任何借口出 现，而 OSPF则只能在 abr和 asbr上实现而他的路由汇总不是基于接口的。 Eigrp支持不等路径度量值的负载均衡，而 OSPF则支持相等度量值的负载均衡。 EIGRP(增强的内部网关路由选择协议 )，可以使路由器交换信息比使用早先的 网络协议 更加有效。 EIGRP 是由 IGRP（内部网关路由选择协议）发展而来并且不论是使用 EIGRP还是 IGRP的路由都可以交互操作。 使用增强的内部网关路由选择协议，一个路由器保持一份它的邻近路由器的路由表副本。 OSPF 是一个内部网关协议，用于在单一自治系统内决策路由。 与 RIP相对， OSPF是链路状态 路由协议 ，而 RIP是距离 向量 路由协议。 由于 EIGRP是 CISCO私有的路由协议 而 OSPF 是公有的 所以 现实环境中 大多都是启用的 OSPF 而 EIGRP启用前提是全网内必须都是 CISCO设备 EIGRP被誉为没有环路的协议 Rip 与 ospf相比 ： 由于该公司属于大型企业，而 rip协议只适合用于小型的局域网，所以 rip 和 OSPF相比采用 OSPF路由协议比较好。 以下是 RIP的局限性在大型网络中使用所产生的问题 : RIP 的 15 跳限制，超过 15 跳的路由被认为不可 达 RIP 不能支持可变长 子网掩码 (VLSM)，导致 IP 地址分配的低效率 15 1 15 RIP 没有网络延迟和链路开销的概念，路由选路基于跳数。 拥有较少跳数的路由总是被选为最佳路由即使较长的路径有低的延迟和开销 RIP 没有区域的概念，不能在任 意比特位进行路由汇总 一些增强的功能被引入 RIP的新版本 RIPv2中， RIPv2支持 VLSM，认证 以及 组播 更新。 但 RIPv2的跳数限制以及慢收敛使它仍然不适用于大型网络 所以 相比 RIP而言， OSPF更适合用于大型网络 : 没有跳数的限制 ， 支持可变长子网掩码 (VLSM) 使用组播发送链路状态更新，在链路状态变化时使用触发更新，提高了带宽的利用率 ， 收敛速度快 ， 具有认证功 能。 路由规划拓扑图 IP地址规划 分配 ip的原则 ： IP 地址有 5类， A类到 E类，各用在不同类型的网络中。 地址分类反映了网络的大小以及数据包是单播还是组播的。 16 1 16 但目前只用到 A 类到 C类的 ip 地址。 Ip 的分配原则： IP 地址是 IP 网络中数据传输的依据，它标识了 IP 网络中的一个连接，一台主机可以有多个 IP 地址。 IP 分组中的 IP 地址在网络传输中是保持不变的。 现在的 IP 网络使用 32 位地址 ，以点分十进制表示，如。 地址格式为： IP 地址 =网络地址＋主机地址 或 IP 地址 =主机地址＋子网地址＋主机地址。 根据用途和安全性级别的不同， IP 地址还可以大致分为两类：公共地址和私有地址。 公用地址在 Inter中使用，可以在 Inter中随意访问。 私有地址只能在内部网络中使用，只有通过代理服务器才能与 Inter通信。 IP 协议中还有一个非常重要的内容，那就是给因特网上的每台计算机和其它设备都规定了一个唯一的地址，叫做 “IP 地址 ”。 由于有这种唯一的地址，才保证了用户在连 网的计算机上操作时，能够高效而且方便地从千千万万台计算机中选出自己所需的对象来。 唯一性 ： 因特网上的每台计算机和其它设备都规定了一个唯一的地址，叫做 “IP 地址 ”。 由于有这种唯一的地址，才保证了用户在连网的计算机上操作时，能够高效而且方便地从千千万万台计算机中选出自己所需的对象来。 Inter 的主机都有一个唯一的 IP地址， IP 地址用一个 32 位二进制的数表示一个主机号码，但 32 位地址资源有限，已经不能满足用户的需求了，因此 Inter 研究组织发布新的主机标识方法，即 IPv6。 在 RFC1884 中，规 定的标准语法建议把 IPv6 地址的 128 位（ 16 个字节）写成 8 个 16 位的无符号整数，每个整数用四个十六进制位表示，这些数之间用冒号（：）分开 Ip 地址的规划表格： 17 1 17 第五 章 网络安全解决方案 网络边界安全威胁分析 18 1 18 为了解决资源的共享而建立了网络 ，然而 安全却成了问题 ，网络的边界隔离着不同功能或地域的多个网络区域，由于职责和功能的不同，相互连接的网络的安全级别也不尽相同，此网络也必然存在着安全风险，下面我们将对公司网络就网络边界问题做脆弱性和风险的分析。 公司网络主要存在的边界安全风险包括：信息 泄密、入侵者的攻击、网络病毒、木马入侵等，边界安全防护的主题思想是： 我们把网络可以看作一个独立的对象，通过自身的属性，维持内部业务的运转。 他的安全威胁来自内部与边界两个方面：内部是指网络的合法用户在使用网络资源的时候，发生的不合规的行为、误操作、恶意破坏等行为，也包括系统自身的健康，如软、硬件的稳定性带来的系统中断。 边界是指网络与外界互通引起的安全问题，有入侵、病毒与攻击。 下面我们分析如何防护边界。 首先建立城墙，把城内与外界分割开来，阻断其与外界的所有联系，然后再修建几座城门，作为进出的检查关卡，监控进出 的所有人员与车辆，是安全的第一种方法；为了防止入侵者的偷袭，再在外部挖出一条护城河，让敌人的行动暴露在宽阔的、可看见的空间里，为了通行，在河上架起吊桥，把路的使用主动权把握在自己的手中，控制通路的关闭时间是安全的第二种方法。 对于已经悄悄混进城的 “危险分子 ”，要在城内建立有效的安全监控体系，比如人人都有身份证、大街小巷的摄像监控网络、街道的安全联防组织，每个公民都是一名安全巡视员，顺便说一下：户籍制度、罪罚、联作等方式从老祖宗商鞅就开始在秦国使用了。 只要入侵者稍有异样行为，就会被立即揪住，这是安全的第三种方法。 为了边界的安全不受到威胁，我们做边界防护技术：防火墙技术、 多重安全网关技术 、 网闸技术。 防火墙的安全设计原理来自于包过滤与应用代理技术，两边是连接不同网络的接口，中间是访问控制列表 ACL，数据流要经过 ACL的过19 1 19 滤才能通过。 ACL有些象海关的身份证检查，检查的是你是哪个国家的人，但你是间谍还是游客就无法区分了，因为 ACL控制的是网络的三层与四层，对于应用层是无法识别的。 后来的防火墙增加了 NAT/PAT技术，可以隐藏内网设备的 IP地址，给内部网络蒙上面纱，成为外部 “看不到 ”的灰盒子，给入侵增加了 一定的难度。 防 火墙的作用就是建起了网络的 “城门 ”，把住了进入网络的必经通道，所以在网络的边界安全设计中，防火墙成为不可缺的一部分。 防火墙的缺点是：不能对应用层识别，面对隐藏在应用中的病毒、木马都好无办法。 所以作为安全级别差异较大的网络互联，防火墙的安全性就远远不够了。 既然一道防火墙不能解决各个层面的安全防护，就多上几道安全网关，如用于应用层入侵的 IPS、用于对付病毒的 AV、用于对付 DDOS攻击的 … 此时 UTM设备就诞生了，设计在一起是 UTM，分开就是各种不同类型的安全网关。 就是运用多重安全网关技术。 网闸的安全思路来自于 “不 同时连接 ”。 不同时连接两个网络，通过一个中间缓冲区来“摆渡 ”业务数据，业务实现了互通， “不连接 ”原则上入侵的可能性就小多了。 网闸的思想是先堵上，根据 “城内 ”的需要再开一些小门，防火墙是先打开大门，对不希望的人再逐个禁止，两个思路刚好相反。 在入侵的识别技术上差不多，所以采用多重网关增加对应用层的识别与防护对两者都是很好的补充。 这样边界的安全可以得到较好的保证。 网络内部安全威胁分析 内网安全的威胁不同于网络边界的威胁。 网络边界安全技术防范来自Inter 上的攻击，主要是防范来自公共的网络服务器如 HTTP 或 SMTP 的攻击。 网络边界防范 (如边界防火墙系统等 )减小了资深黑客仅仅只需接入互联网、写程序就可访问企业网的几率。 内网安全威胁主要源于企业内部。 恶性的黑客攻击事件一般都会先控制局域网络内部的一台 Server，然后以此为基地，对20 1 20 Inter 上其他主机发起恶性攻击。 因此，应在边界展开黑客防护措施，同时建立并加强内网防范策略。 内部用户的恶意攻击 ， 限制 VPN的访问 ， 虚拟专用网 (VPN)用户的访问对内网的安全造成了巨大的威胁。 因为它们将弱化的桌面操作系统置于企业防火墙的防护之外。 很明显 VPN 用户是可以访问 企业内网的。 因此要避免给每一位 VPN用户访问内网的全部权限。 这样可以利用登录控制权限列表来限制 VPN 用户的登录权限的级别，即只需赋予他们所需要的访问权限级别即可，如访问邮件服务器或其他可选择的网络资源的权限。 自动跟踪的安全策略 ， 智能的自动执行实时跟踪的安全策略是有效地实现网络安全实践的关键。 它带来了商业活动中一大改革，极大的超过了手动安全策略的功效。 商业活动的现。