网络工程项目-企业组网方案毕业设计

网络工程项目-企业组网方案毕业设计内容摘要：

址数 Vlan 郑州 分公司 广州 分公司 湖南 分公司 江苏 分公司 青海 分公司 第 四 章 网络安全 及技术 方案 . . 网络边界安全威胁分析 网络的边界隔离着不同功能或地域的多个网络区 域，由于职责 和功能的不同，项链网络的密集也不同，这样的网络直连，必然存在着安全风险。 安博总部算面临的威胁是与外界的连接，可能遭来越权访问和恶意攻击。 内部的各个功能网络通过骨干交换机相连，这样的话，重要的部门或者专网将遭到来自其他部门的越权访问，误操作等。 导致网络瘫痪。 网络边界隔离着不同功能或地域的多个网络区域，存在着安全风险。 我们应用以下方法来杜绝这些存在的潜在的安全： 防火墙技术，防火墙是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络的安全的有效管理，从总体上 看防火墙应该具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止行为；记录通过防火墙的信息内容和活动；对网络攻击进行监测和告警。 通过 vlan 惊醒端口通讯和安全隔离，确保数据流进入有效端口 可实现用户账号、 MAC 地址、 IP 地址、交换机 IP、交换机端口等六大元素之间的灵活任意绑定，有效确认用户合法性和唯一性。 网络内部安全威胁分析 主要是整个内网的安全风险，主要表现以下几个方面： 内部用户的非授权访问：安博公司内部的资源也不是对任何的员工都开放，也需要有相应的访问 权限。 内部用户的非授权的访问，更容易造成资源和重要信息的泄漏。 内部用户的恶意攻击，就网络安全来说，很大一部分的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚的优势，因此，对内部用户攻击的防范也很重要。 重要服务器或操作系统自身存在安全的漏洞，如果管理员没有及时的发现并且进行修复，将会为网络的安全 带来很多不安定的因素。 重要服务器的当机或者重要数据的意外丢失，都将会造成安博公司的系统瘫痪，无法正常运行。 安全管理的困难，对于众多的网络设备和网络安全设备，安全侧略的配置值和安全事件管理的难度很大。 安全产品选型原则 公司属于一个新兴的公司但是我们想在搭建自己的网络中具备各自的安. . 全性，因此在安全产品的选型上，必须慎重，选型的原则包括： 安全保密产品的接入应不明显影响网络系统运行效率，并且满足工作的要求，不影响正常的业务； 安全保密产品不许满足上面提出的安全需求，保证整个公司网络的安全性。 安全保密产品必须通过国家主管部门指定的测评机构的检测； 安全保密产品必须具备自我保护能力； 安全保密产品必须符合国家和国际上的相关标准； 安全产品必须操作简单易用，便于简单部署和集中管理。 网络常用技术介绍 VLAN 原理： （ virtual loal Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分一个个网段从而实现虚拟工作组的新型技术， IEEE 于 1999 年颁布了用以标准化 vlan 实现方案的 协议标准草案。 Vlan 技术允许网络管理者将一个物理的 LAN 逻辑地划分成不同的广播域，每一个 vlan都包含一组有着相同需求的计算机工作站，与物理上形成的 LAN 有着相同的属性。 但由于它是逻辑地而不是物理地划分，所以同一个 vlan 内的各个工作站无须被放置在同一个物理空间里，同一个 vlan 的广播和单薄流量都不会转发到其他 vlan 中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 优点： （ 1） 防范广播风暴 （ 2） 安全 （ 3） 降低成本 （ 4） 性能提高 （ 5） 提高员工效率 （ 6） 简化项目管理或应用管理 . . （ 7） 增加了网络连接的灵活性 Vtp 协议 原理：它是一个 OSI参考模型第二层的通信协议，主要用于管理在同一个域的网络范围内 VLANs 的建立、删除和重命名。 在一台 VTP Server 上配置一个新的 VLAN 时，该 VLAN 的配置信息将自动传播到本域内的其他所有交换机。 这些交换机会自动地接收这些配置信息，使其 VLAN 的配置与 VTP Server 保持一致，从而减少在多台设备上配置同一个 VLAN 信息的工作量，而且保持了 VLAN 配置的统一性 Vlan 中继协议：负责在 vtp 域内分发和同步 vlan 信息，使整个网络的 vlan 配置保持一致 Vtp 域：由一组使用相同域名的交换机组成 Vtp 模式： vtp server 、 vtp client、 vtp transparent （ 1） vtp server：负责向相同 vtp 域中启用 vtp 的交换机通告 vtp 域的 vlan 信息，域中 vlan 的创建、删除、修改由此服务器完成 （ 2） vtp client：接收 vtp 服务器发布的 vlan 信息，不能在此模式的交换机上创建、删除、修改 vlan 配置 （ 3） vtp transparent：只负责转发 vtp 通告给 vtp 客户端和 vtp 服务器，自身不接收vtpfuwuqi 发布的 vtp 通告，在此模式的交换机上可以创建、删除、修改 vlan 作用：因为配置 VLAN 工作量大，可以使用 VTP 协议，把一台交换机配置成 VTP Server, 其余交换机配置成 VTP Client,这样他们可以自动学习到 server 上的 VLAN 信息。 可以保证 vtp 域内的 vlan 信息的同步。 STP 在局域网中是不允许出现环路的，而为了实现冗余和负载的均衡，通常会有多条链路的连接，这样就会引入环路。 为了解决这个矛盾，推出了 STP 协议。 STP 算法会将网络中的连接生成一个树，通过特定的算法自动将优先权高的链路激活，将优先权低的链路阻塞，保证在网络中任何时候都不会出现环路。 如果网络的连接状况发生了变化， STP 算法会自动地重新计算新的连接关系，重新选出新的活动的连接。 STP 算法会造成网络的暂时的不稳定状态，该 转换时间在 30秒之内，亦即在 30 秒之内网络会重新恢复到稳定状态。 STP 对于终端是透明的，终端感觉不到 STP 的操作过程。 在交换机上可以通过修改端口的优先级来改变连接的优先权，使得 STP 算法将高优先权的连接作为活动连接，例如：两个交换机之间有两条链路连接，一条是光纤连接，另一条是双绞线连接，由于光纤连接明. . 显要比双绞线连接更稳定、更可靠，我们可以将交换机上的光纤端口的优先权设定成比双绞线端口更高的优先权，这样 STP 算法就会将光纤连接作为活动连接，而将双绞线连接阻塞。 Cisco 交换机的一个非常有用的特性 就是可以对每个 VLAN 设置 Spanning Tree ,而不是对整个网络只能属于一个 SpanningTree。 这个特征是很多厂商的设备所不具备的。 在交换机上对端口的优先权的设置可以基于 VLAN 进行，每个端口对于不同的 VLAN 设置不同的优先权。 对于指定的 VLAN，具有该 VLAN 最高优先权的端口转发该 VLAN的信息，其它 VLAN 的信息则阻塞。 通过这种方法，在具有冗余连接的交换机端口上分别针对不同的 VLAN 设置不同的优先权，既可以实现链路的冗余，又可以实现负载的均衡。 CISCO 交换机端口支持每 VLAN 的生成树协议，每个端口都可设置基于 VLAN 的 Cost 或Priority 参数，从而实现在多条路径上的负载均衡能力。 目前多数厂商都支持 STP 协议，但是不允许多个 STP 域。 采用多个 STP 域显然可以获得比单个域高的网络可靠性。 状态： （ 1） 阻塞状态：不能转发数据帧，能够收发 BPDU 帧，不能获取地址，废弃接口上受到的数据帧 （ 2） 侦听状态：废弃接口上受到的，不能转发数据帧 （ 3） 学习状态：废弃接口上受到的数据帧 （ 4） 转发状态：可以转发数据包，接收和转发受到的数据帧 （ 5） 禁用状态：不转发不接收 作用：避免网络环路的出现， 起到线路备份的作用 EtherChannel 原理： 以太通道也称为以太端口捆绑，端口聚集或以太链路聚集 以太通道为交换机提供了端口捆绑的技术，将多个物理以太端口聚合在一起形成一个逻辑上的聚合组，同一聚合组内的多条物理链路视为一条逻辑链路，链路聚合可以实现出 /入负荷。 在聚合组中各个成员端口之间的负担，以增加单款同时，同一聚合组的各个或负端口之间彼此动态备份，提高了链接可靠性 建立以太通道使用的协议： 一种是思科独有的协议 PAgP(Port Aggregation Protocol)，另一种是 基于 的标准的链路聚合控制协议 LACP(Link Aggregate Control Protocol)。 . . Cisco 交换机上支持 PAGP(端口汇聚协议 )和 LACP(链路汇聚控制协议 )，其中 PAGP 是 Cisco似有的协议，而 LACP 是基于业界标准化组织 的协议，为连接 Cisco 交换机和其他支持 的非 Cisco 厂商交换机则可以使用 LACP 形成的 EtherChannel EtherChannel 配置原则 在每个 EtherChannel 中 Cisco 交换机最多允许包括 8 个 端口 一个 EtherChannel 内的端口必须使用相同的协议（ PAGP 和 LACP） 一个 EtherChannel 内的所有端口都必须具有相同的速度和双工模式，要求端口只能工作在全双工模式下。 一个端口不能再相同时间属于多个通道组。 一个 EtherChannel 内的所有端口都必须配置到相同的接入 vlan 或配置到 vlan 干道中 EtherChannel 内的所有端口都必须配置相同的干道模式。 如果 EtherChannel 的端口通道时 3 层接口，为接口配置 ip 地址。 作用： 流量负载分担：出 /入流量可以在多个成员接口之间 分担。 增加带宽：链路捆绑接口的带宽是各可用成员接口带宽的总和。 提高连接可靠性：当某个成员接口出现故障时，流量会自动切换到其他可用的成员接口上，从而提高整个捆绑链路的链接可靠性。 HSRP 原理： 热备份路由协议（ HSRP）支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一条路由器使用失败的情形下仍能维护路由器间的连通性。 路由器是整个网络的核心和心脏，如果路由器发生致命的故障。 将会导致本地网络的瘫痪，如果是骨干路由器，影响的范围将更大，所造成的损失也是难以估计的。 因此，对路由器采用热备份是提高网络可靠性的必然选择，在一个路由器完全不能工作的情况下，它的全部功能便被系统中的另一个备份路由器接管，直至出现问题的路由器恢复正常。 HSRP 用一组三层设备（ 2 台或多台）按配置成一主一辅或一主多辅的形式，共享同一个虚拟 IP 地址和 MAC 地址。 对其他网络设备来说，只能同该虚拟的 IP 地址通讯。 对一个 HSRP 组来说，只能有一个 active 端口，该端口负责对数据包进行转发，而其他成员端口则处于 standby 状态，当 active 端口出现故障时， standby 端口一刻转变成active 状 态，接替 active 端口的工作，这个切换过程对其他的网络设备来说是透明的，不会认识到端口发生了端口的切换。 一个 HSRP 组中哪个处于 active 状态是通过成员端口分配不同的优先级来实现的，优. . 先级高的端口处于 active 状态，而优先级低的端口则处于 standby 状态。 在局域网中，使用 HSRP 技术来提高网络的可靠性，以保证不会导致通讯发生中断。 具体来说，就是对每个子网的默认网关配置了 HSRP，各个子网的默认网关均是由 HSRP 虚拟出来的 IP 地址。 作用： （ 1） HSRP 用于广播或多播局域网上的路由器热备份，并适于静态 的路由配置 （ 2） 主机设置缺省网关 （ 3） 设置静态路由，可以通过配置静态缺省路由指向虚拟路由器来实现另外一种备份 NAT 动态地址转换 由于内网的私有 ip 地址不能访问外网的服务器，因此需要使用 NAT网络地址转换 网络地址转化属于接入广域网技术，是一种将私有地址转化成合法的 ip 地址的转换技术，它被广泛应用于各种类型 Inter 接入方式和各种类型的网络中 NAT 自动修改 ip 报文的源 ip 地址和目的 ip 地址。 NAT 实现的技术：静态地址转换（ static Nat）、动态地址转换和端口多路复用技术 静态地址转换：将网络中的私有 ip 地址转换成公有 ip 地址。 Ip 地址是一对一的，某个私有ip 地址只能转化成某个公有 IP 地址，借助于静态地址转化，可以实现外部网络对内部网络中某些特定的服务器的访问 动态地址转换：将内部网络中的私有 ip 地址转换为公有 ip 地址时， ip 地址是不确定的，是随机的。 访问 Inter 的私有地址可随机的转换成任何指定的合法 ip 地址。 动态转换可以使用多个合法外部地址集 端口多路复用技术：只改变外。