当前位置:   article > 正文

中小型企业网络安全防护设计(完整文档+拓扑图)_企业网安全防护课程设计

企业网安全防护课程设计

大家好,我是小华学长,一名计算机领域的博主。经过多年的学习和实践,我积累了丰富的计算机知识和经验,在这里我想与大家分享我的学习心得和技巧,帮助你成为更好的程序员
作为一名计算机博主,我一直专注于编程、算法、软件开发等领域,在这些方面积累了大量的经验。我相信分享是一种双赢的方式,通过分享,我可以帮助他人提升技术水平,同时也能够得到学习交流的机会。
在我的文章中,你将会看到我对于各种编程语言、开发工具以及常见问题的解析和分析。我会结合自己的实际项目经验,为你提供实用的解决方案和优化技巧。我相信这些经验不仅能够帮助你解决当前遇到的问题,还能够提升你的编程思维和解决问题的能力。
除了技术方面的分享,我还会涉及到一些关于职业发展和学习方法的话题。作为一名曾经的学生,我深知在计算机领域如何更好地提升自己和面对挑战。我会分享一些学习方法、面试技巧和职场经验,希望能够对你的职业发展产生积极的影响。
我的文章会发布在CSDN社区,这是一个非常活跃和专业的计算机技术社区。在这里,你可以与其他热爱技术的人们交流、学习和分享。通过关注我的博客,你可以第一时间获取到我的最新文章,并与我和其他读者互动交流。
如果你对计算机领域有兴趣,希望能够更好地提升自己的编程能力和技术水平,那么请关注我的CSDN博客。我相信我的分享会带给你帮助和启发,让你在计算机领域取得更大的成就!
让我们一起成为更好的程序员,共同探索计算机领域的精彩世界吧!感谢你的关注与支持!
分享的所有计算机项目源码均包含文档,可做毕业设计或课程设计,欢迎留言分享问题,交流经验!

摘    要

随着计算机网络技术的迅速发展,特别是信息时代的来临,人们逐渐意识到信息化的重要性,一个企业拥有自己的网络已经成为企业发展的必然趋势,企业网络的组建是企业向信息化发展的必然选择。现在许多企业纷纷建设自己的网站来宣传品牌,提高品牌影响力。但随着计算机网络技术的不断提高与发展,很多企业网络的性能已经跟不上现代信息的变化了,对于很多企业来说扩展现有网络是必不可少的措施。近年来,随着网络技术的不断提高与成熟,企业对计算机网络系统的依赖程度也越来越高,现在企业对新建网络的向后兼容性的要求也越来越高。因此本毕业设计课题主要是以企业网络规划建设过程可能用到的各种技术及实施方案为设计方向,为企业网络系统的组建与设计提供理论依据和实践指导。

本设计结合中小型企业的实际需求,举例分析、设计、配置、模拟组建了一个中小型企业双核心双链路的网络,主要使用了HSRP、OSPF、ACL、NAT等技术进行设计完善。

本次设计的网络架构和实施,大大地提高了企业内的办公效率,企业员工带来了很大的方便性和十足的上网体验感,并且使用控制列表针对安全方面的控制加深。

关键词:  ACL    企业    网络    计算机   网络架构

 

Abstract

With the rapid development of computer network technology, especially the advent of the information age, people gradually realize the importance of informatization. It has become an inevitable trend for an enterprise to have its own network. The establishment of enterprise network is an inevitable choice for an enterprise to develop towards informatization. Now many enterprises have built their own websites to promote the brand and improve the brand influence. But with the continuous improvement and development of computer network technology, the performance of many enterprise networks can not keep up with the changes of modern information. For many enterprises, expanding the existing network is an essential measure. In recent years, with the continuous improvement and maturity of network technology, enterprises are more and more dependent on computer network system. Now enterprises have higher requirements for backward compatibility of new network. Therefore, the graduation project is mainly based on various technologies and implementation schemes that may be used in the process of enterprise network planning and construction, which provides theoretical basis and practical guidance for the establishment and design of enterprise network system.

Combined with the actual needs of small and medium-sized enterprises, this design analyzes, designs, configures and simulates a dual core and dual link network for small and medium-sized enterprises. It mainly uses HSRP, OSPF, ACL, NAT and other technologies to improve the design.

The design of the network architecture and implementation, greatly improve the office efficiency of the enterprise, enterprise employees bring great convenience and full online experience, and the use of control list for security control.

Keywords:  ACL   Enterprise    network    computer    network architecture

目    录

第1章  引言... 1

1.1      研究背景... 1

1.2  研究意义... 1

1.3  研究内容... 1

第2章  系统分析... 2

2.1  可行性分析... 2

2.2  需求分析... 2

第3章  相关技术综述... 4

3.1  HSRP技术... 4

3.2 DHCP技术... 6

3.3 STP技术... 8

3.4 OSPF技术... 9

3.5 ACL技术... 9

3.6 NAT技术... 11

第4章  系统设计... 11

4.1  网络架构设计原则... 11

4.2  网络拓扑图... 12

4.3  网络安全设计... 12

4.4 IP地址规划... 13

4.5设备选型... 13

第5章  详细设计... 17

5.1  核心层网络设计... 17

5.2  汇聚层网络设计... 18

5.3 接入层设计... 18

5.4  关键性技术及难点... 18

第6章  系统测试... 19

6.1  调试与测试... 19

6.2  连通性测试... 22

第7章  总结... 24

参考文献... 25

致    谢... 26

附    录... 27

1章  引言

本课题设计主要在于企业网络安全方向的设计,需要充分掌握ACL协议,对ACL重点研究方向进行理论介绍;对企业进行ACL部署,合理减少不必要访问,增加企业内网安全;使用cisco packet tracer模拟器对网络环境进行全网环境模拟;合理调用ACL运用包过滤、网络地址转换、策略路由、动态路由等;掌握ACL的匹配原则及应用方式;掌握ACL的不同业务模块(如TELNET)下的不同应用方式;优化网络结构、达到区域内部快速收敛和对ACL常用命令充分掌握。

    1. 研究背景

随着计算机网络的不断发展和普及,计算机网络带来了无穷的资源,在一个企业里网络的建设是企业向信息化发展的必然选择。一个企业对新建的网络,以后的兼容性要求也越来越高。但是同时它的安全隐患也给我们带来了许多麻烦,企业网网络是一个很大又很复杂的网络系统,它不仅可以为现代化的发展、综合信息的管理、等一系列应用提供基本的操作平台。而且还能够提供很多应用服务,让信息及时、准确的传送到各个系统,这样给工作带来了很多方便。所以在网络安全方案设计中,选择服务器和网络设备的时候一定要考虑到企业的一些需求和以后的兼容性。现在很多公司都有自己的网络,通过网络来宣传自己的品牌,使员工的工作越来越方便。公司的网络搭建成功后,可以浏览信息( WWW)、 接发电子邮件(E-MAIL)、文件传输(FTP)、等功能。在配置服务器和网络设备的时候,我们要依据用户的一些要求来配置。这次企业网设计中主要应用了局域网技术,局域网的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。

1.2  研究意义

随着网络的发展,Internet 在我们的日常生活中越来越普遍。企业网络规模也逐渐扩大,使用计算机数量不断增加,计算机网络技术的发展,企业信息化技术的广泛应用,企业计算机应用系统运用到企业管理的各个环节,且应用水平越来越高,这些应用为企业提高管理水平,增加经济效益起到了巨大的推动作用,但同时对企业网络管理带来了许多新问题和更大的管理难度。

1.3  研究内容

随着网络应用在企业运营中的作用越来越重要,网络的应用为不同企业之间的合作,企业内部部门之间通信,以及资源的共享提供了途径;但同时网络互联也导致了企业的资料和各部门之间数据的保密性降低,影响了企业的信息安全。因此,企业网络的安全管理必需考虑到各部门之间的访问控制,采用访问控制列表ACL能够保证企业网络资源不被非法使用和访问,外来入侵者不能盗窃到内部信息,并能降低企业增加网络安全设备所付出的额外开支。

2章  系统分析

2.1  可行性分析

2.1.1技术可行性

随着计算机网络的发展和普及,全球信息化的发展趋势离我们越来越近,与此同时网络环境的安全性也受到越来越多的威胁,仅凭借传统的网络安全防范措施已然无法满.足当今的网络安全的保护需求。现如今,大多数的企业内部都实施了自己的网络系统,其中保存着大量的企业内部文件与信息,但是这些信息在传输的过程中很有可能就会被非法的窃取和破坏,进而给企业带来不可估量的损失。因此对于企业网络安全的保护十分重要,需要对相关的网络系统硬件、软件以及系统中的数据等来进行保护,使其能够连续可靠的运行。

ACL技术可以做流量统计,流镜像,下发CAR限速等,还有很多网络功能实际上也是通过ACL来实现的,比如IP绑定,Portal认证,MAC认证,防攻击虽然命令行上看不到ACL的影子,实际在网络软件实现上也是用ACL来实现的,这些功能足以说明ACL功能的强大,可以说网络设备离不开ACL,没有ACL网络设备根本玩不转。数据中心对网络的要求很高,既要安全运行,又要部署业务灵活,这些都离不开ACL。随着数据中心的各种复杂应用越来越多,更好地使用ACL,丰富ACL的各种功能,是企业网络技术部署的必然选择。

2.1.2 经济可行性

ACL技术对网络层面来说不需要单独购买独立的设备进行部署,例如企业中的交换机、路由器、防火墙等网络设备、安全设备都可以实现ACL的访问控制操作,不需要说单独花成本去进行采购,ACL技术在企业的网络安全方面上可以有很大程度保障,同时企业也不需要多花费资金来进行购买独立设备。

2.2  需求分析

2.2.1  功能需求

毫无疑问,不需要任何形式的“说教”,在信息和网络被广泛应用的今天,任何一个网络管理或使用者都非常清楚,所有被使用的计算机网络都必然存在被有意或无意的攻击和破坏之风险。企业的网络同样存在安全方面的风险问题。对于大多数网络黑客来说,成功地侵入一企业特别是著名企业的网络系统,具有证明和炫耀其“能耐”的价值,尽管这种行为的初衷也许并不具有恶意的目的;窃取企业的网络数据,甚至破坏其网络系统,更加具有现实和长远的商业价值[5]。因此,企业网络建立完善的安全系统,其必要性不言而喻。

在企业内部服务器和客户端上使用访问控制列表可以保护企业的内部网络安全,使该企业的网络连接互联网时免受外部黑客的攻击。然而对于企业网络来说,不仅有外部攻击还有内部的攻击。内部的访问控制列表ACL可以帮助保护网络安全免遭内部危害,如员工盗窃企业机密文件,各企业竞争有人造成内部破坏等。因此,企业网络需要满足各个部门间针对服务器的访问受限,部分特殊部门不允许访问服务器,或某台无必要上网的服务器需要通过ACL来限制上网。同时公司对网络提出要求,首先网络具有可实行性。所有员工可在有授权的情况下允许访问外网,在工作时间能有较快的网速,并且网络必须具有良好的安全性,同时内网的重要服务器要做好控制策略,外部未经授权的流量禁止进入公司内网。

2.2.2  非功能需求

1.网络环境需求

    随着企业各种业务应用逐渐转移到计算机网络上来,网络通讯的无中断运行已经成为保证企业正常的生产运营的关键。现代大型企业网络在可靠性设计方面主要应从三方面考虑:首先是设备级可靠性设计,这里不仅要考察网络设备是否实现了关键部件的冗余备份,还要从网络设备整体设计架构、处理引擎种类等多方面去考察;其次是业务的可靠性设计,这里要注意网络设备在故障倒换过程中是否对业务的正常运行有影响;再次是链路的可靠性设计,以太网的链路安全来自于它的多路径选择,所以在企业网络建设时要考虑网络设备是否能够提供有效的链路自愈手段和快速重路由协议的支持。

2.管理需求

当前的网络已经发展成为“以应用为中心”的信息基础平台,网络管理能力的要求已经提升到了业务要求方面的层次,以前那些传统的网络设备在当时看来非常智能先进,在当今社会上早已不能有效支持网络管理需求的发展。所以现代的大型企业网络迫切需要网络设备具备支撑“以应用为中心”的智能网络运营维护的能力,并能够有一套智能化的管理软件,将网络管理.人员从繁重的工作中解脱出来。因此网络中的交换机需要可网管的交换机,开启远程管理登录,不需要运维人员在出现故障的时候都需要进弱电间或者机房去直接设备进行管理,为运维管理人员的维护提供便捷。

3.可靠性需求

网络构造需要具有灵活性和容忍性,以便于后期公司规模扩大所需要增加设备、网络节点的要求;要具有经济性,架构的部署方式及选型要贴近校园人员办公、日常所使用网络的情况而选择设备;要具有可靠性和稳定性,如果学校三天两头的断网或者出现网络丢包、速度慢等情况,那么十分影响用户的上网体验性,因此技术上和物理上需要达到双冗余,确保公司业务的正常运行。

4.通讯量需求

企业每天会有大量的数据交互和文件下载,整个网络环境中需要保证企业用户上网和数据传输链路不拥塞,能够高速浏览网页和执行业务操作。

5.安全性需求

网络中应当建立一套完整可行的网络安全和网络管理策略,对网络服务请求内容进行控制,使非法访问在到达主机前被拒绝;加强合法用户的访问认证,同时将用户的访问权限控制在最低限度;备份和灾难恢复,强化系统备份,实现系统快速恢复;加强网络安全管理,提供系统全体人员的网络安全意识和防范技术;防范入侵者的恶意攻击与破坏;保护用户通过网上传输过程中的机密性、完整性。

3章  相关技术综述

3.1  HSRP技术

HSRP(Hot Standby Router Protocol)热备份路由器协议,即多台路由器组成一个“热备份组”,模拟成一个虚拟的路由器,虚拟路由器拥有虚拟的IP 地址和虚拟的MAC地址。在一个热备份组中,只有一台路由器作为活动路由器转发数据包,只有当活动路由器失效后,才会选择一台备份路由器作为活动路由器,但对于网络中的主机来说,虚拟路由器并没有发生任何改变,不会导致主机通信中断现象。

HSRP协议实在网关设备冗余的环境下使用的,他在一定程度上应用了虚拟化的概念, 将多个个网关设备在逻辑上虚拟化成一个逻辑设备,即一个热备份组

但是在这个热备份组中只有一个是真正起网关的转发作用的,即处于Active状态,其他设备则不工作即standby状态,只侦听active设备发来的HSRP报文以确认active设备

正处于工作状态,默认的hello每隔3s发送一次,若standby没有收到active设备的hHSRP包,则认定active设备故障而自动选举另一台路由器由standby状态转变为active状态来继承工作

在实际的一个特定的局域网中,可能有多个热备份组并存或重叠。每个热备份组模仿一个虚拟路由器工作,它有一个Well-known-MAC地址和一个IP地址。该IP地址、组内路由器的接口地址、主机在同一个子网内,但是不能一样。当在一个局域网上有多个热备份组存在时,把主机分布到不同的热备份组,可以使负载得到分担。

HSRP的工作原理  HSRP利用一个优先级方案来决定哪个配置了HSRP协议的路由器成为默认的主动路由器。如果一个路由器的优先级设置的比所有其他路由器的优先级高,则该路由器成为主动路由器。路由器的缺省优先级是100,所以如果只设置一个路由器的优先级高于100,则该路由器将成为主动路由器。

通过在设置了HSRP协议的路由器之间广播HSRP优先级,HSRP协议选出当前的主动路由器。当在预先设定的一段时间内主动路由器不能发送hello消息时,优先级最高的备用路由器变为主动路由器。路由器之间的包传输对网络上的所有主机来说都是透明的。配置了HSRP协议的路由器交换以下三种多点广播消息:

Hello———hello消息通知其他路由器发送路由器的HSRP优先级和状态信息,HSRP路由器默认为每3秒钟发送一个hello消息;

 Coup———当一个备用路由器变为一个主动路由器时发送一个coup消息;

Resign———当主动路由器要宕机或者当有优先级更高的路由器发送hello消息时,主动路由器发送一个resign消息。在任一时刻,配置了HSRP协议的路由器都将处于以下五种状态之一:

Initial———HSRP启动时的状态,HSRP还没有运行,一般是在改变配置或端口刚刚启动时进入该状态。

Listen———路由器已经得到了虚拟IP地址,但是它既不是活动路由器也不是等待路由器。它一直监听从活动路由器和等待路由器发来的HELLO报文。

Speak———在该状态下,路由器定期发送HELLO报文,并且积极参加活动路由器或等待路由器的竞选。

Standby———当主动路由器失效时路由器准备接管包传输功能。

Active———路由器执行包传输功能。

3.2 DHCP技术

DHCP就是Dynamic Host Configuration Protocol 动态主机配置协议的缩写,DHCP是一种用于集中对用户的IP进行管理和配置的技术。解决了手动配置IP地址繁琐的过程,就算在规模较小的网络中,也可以通过DHCP使后续增加网络设备的IP配置变得简单快捷。为了解决IP地址等网络参数的配置问题,IETF组织制定了BOOTP协议。BPPTP协议运行在相对静态的环境中,管理员需要为每台主机配置专门的BOOTP参数文件才可使用。针对BOOTP的各种不足,IETF又研发了一个新的协议,提供动态的分配和配置网络配置参数(即IP地址)的协议,即为DHCP。

DHCP用一块IP地址区间分配IP给所有的终端,实现对IP地址动态统一的管理和配置,DHCP服务器分配给每个客户端的IP地址定义一个使用期限,该使用期限被称为租期。在租期到期前,DHCP客户端如果仍需要使用该IP地址,可以请求延长租期;如果不需要,可以主动释放该IP地址。在没有其他空闲地址可用的情况下,DHCP服务器会把客户端主动释放的IP地址分配给其他客户端。DHCP服务器动态分配的所有IP地址都受租期时长的限制,不同的DHCP服务器配置的租期时长可以不同。静态分配的IP地址不受租期时长的限制,使用期限为无限长。DHCP客户端不会等到租期到期后再申请IP地址,这样会导致IP地址被服务器回收,然后分配给其他客户端。为保证能够使用原来的IP地址,客户端会在租期到期前的某个时间点就开始申请延长租期。

如下图描述一般场景时DHCP的工作流程。主要分为四步。

 

图3.1 DHCP工作流程图

1).发现阶段

首次接入网络的DHCP客户端并不清楚DHCP服务器的IP地址,为了得到DHCP服务器的IP地址,DHCP客户端以广播方式发送DHCP DISCOVER报文。(DHCP DISCOVER报文中携带了客户端的MAC地址、请求参数表项、广播标志位等信息)。

2).提供阶段

与DHCP客户端位于同意网段的DHCP服务器都会收到DHCP DISCOVER报文,DHCP服务器选择跟接收DHCP DISCOVER报文接口的IP地址处于同一网段的地址池,并且从中选择一个可用的IP地址,然后通过DHCP OFFER报文发送给DHCP客户端。

3).请求阶段

如果有多个DHCP服务器向DHCP客户端回应DHCP OFFER报文,DHCP客户端一般只接收第一个收到的DHCP OFFER报文。在收到DHCP OFFER报文之后,DHCP 客户端以广播方式发送DHCP REQUEST报文,DHCP REQUEST报文中包含客户端想选择的DHCP服务器标识符和客户端IP地址。

DHCP客户端广播发送DHCP REQUEST报文通知所有的DHCP服务器,它将选择某个DHCP服务器提供的IP地址,其他的DHCP服务器则会将分配给该DHCP客户端的IP地址分配给其他DHCP客户端。

4).确认阶段

当DHCP服务器收到DHCP客户端发送的DHCP REQUEST报文后,DHCP服务器回应DHCP ACK报文,表示DHCP REQUEST报文中请求的IP地址,分配给客户端使用。

3.3 STP技术

STP协议介绍:STP---Spanning Tree Protocol(生成树协议)逻辑上断开环路,防止广播风暴的产生,在一个交换网络中有可能会出现单点失效的故障,所谓单点失效,指的是由于网络中某一台设备的故障,而影响整个网络的通信。为了避免单点失效,提高网络的可靠性,可以通过构建一个冗余拓扑来解决。但是,一个冗余的拓扑,又会给我们的网络造成环路,而产生其它的影响。为了解决二层环路问题,而设计了STP。

STP的基本原理是通过在交换机之间传递一种特殊的协议报文,网桥协议数据单元(简称BPDU),来确定网络的拓扑结构。BPDU有两种,配置BPDU(和TCN BPDU。前者是用于计算无环的生成树的,后者则是用于在二层网络拓扑发生变化时产生用来缩短MAC表项的刷新时间的。

STP的作用:可应用于计算机网络中树形拓扑结构建立,主要作用是防止网桥网络中的冗余链路形成环路工作,即能解决了核心层网络需要冗余链路的网络健壮性要求,又能解决因为冗余链路形成的物理环路导致“广播风暴”问题。

(1)广播风暴

假设交换设备上没有启用STP协议。如果PC1发出广播请求,那么广播报文将分别被两台交换设备的端口port1接收,并各自再从端口port2广播出去,然后两台交换机的端口port2又收到从另一台交换设备发过来的广播报文,再分别从两台交换设备的端口port1转发出去,如此反复,最终导致整个网络资源被耗尽,网络瘫痪不可用。

(2)多帧复制

当PC1发出请求广播,请求可以直接到达对方的设备,但是交换机也会进行接收和泛洪,泛洪的数据从链路中又传到的对方的设备,这有反复传递以后,对方设备就会获得多个相同的数据帧。

(3)MAC地址表震荡

交换机S1可以在Port2上学习到PCB的MAC地址,但是由于S2会将PC2发出的广播数据帧向自己其它的端口转发,所以S1也可以在port1上学习到PC2的MAC地址。如此广播帧在两台交换设备之间不停转发,S1就会不停的修改自己的MAC地址表。引起MAC地址表的抖动(Flapping)。

为了既保证链路的冗余,又保证一个不会出现以上的问题,我们设计了STP协议解决,最核心的思想是,保留一条最佳的路线,当链路出现问题后重新计算最优路线,既保证了一个冗余,也保证了不会出现二层环路。

3.4 OSPF技术

路由协议OSPF全称为Open Shortest Path First,也就开放的最短路径优先协议,因为OSPF是由IETF开发的,它的使用不受任何厂商限制,所有人都可以使用,所以称为开放的,而最短路径优先(SPF)只是OSPF的核心思想,其使用的算法是Dijkstra算法,最短路径优先并没有太多特殊的含义,并没有任何一个路由协议是最长路径优先的,所有协议,都会选最短的。

状态机----OSPF建立时,存在各个阶段;

(1)down 本地一旦发出hello包进入下一状态

(2)Init初始化 本地接收到的hello包存在本地的RID进入下一状态

(3)2way双向通信 邻居关系建立标志;

条件匹配:点到点网络直接进入下一状态;MA网络将进行DR/BDR选举(40S),非DR/BDR间不得进入下一状态;

(4)exstart 预启动 使用类似hello的DBD进行主从关系选举,RID大为主,主优先进入下一状态

(5)Exchange 准交换 使用真实的DBD包进行数据库目录共享,需要ACK;

(6)Loading 加载 使用LSR/LSU/LSack来获取未知的LSA信息;

(7)Full转发 邻接关系建立的标志

OSPF工作过程:

启动配置完成后,本地使用hello包建立邻居关系,生成邻居表;

进行条件匹配,匹配失败者间保持为邻居关系,仅hello包周期保活即可;

匹配成功者间,将使用DBD/LSR/LSU/LSack来获取未知的LSA信息,当收集其网络中所有LSA后,生成LSDB–数据表;之后使用最短路径算法,计算本地到达所有未知网段的最佳路由,然后将其加载路由表中,收敛完成。

3.5 ACL技术

3.5.1 ACL的原理

访问控制列表( Access Control List ACL )就是使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。也就是编辑好一些数据发起的源地址、目的地址、端口号等参数信息进行流量匹配规则集合,再通过配置的匹配报文动作等信息与访问控制列表参数过滤发进和发出的信息包的请求,实现对路由器和网络的安全控制。

3.5.2 ACL的作用

ACL在企业中可以应用在限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量,也是企业提供网络安全访问的基本手段。它可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由拒绝所有的Telnet通信流量。

例如:某部门要求只能使用 WWW 这个功能,就可以通过ACL实现; 又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。

3.5.3 ACL分类

表3.1 ACL的种类

分类

适用的IP版本

规则定义描述

编号范围

基本ACL

IPv4

仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。

2000~2999

高级ACL

IPv4

既可使用IPv4报文的源IP地址,也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。

3000~3999

二层ACL

IPv4和IPv6

使用报文的以太网帧头信息来定义规则,如根据源MAC(Media Access Control)地址、目的MAC地址、二层协议类型等。

4000~4999

用户自定义ACL

IPv4和IPv6

使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则,即以报文头为基准,指定从报文的第几个字节开始与字符串掩码进行“与”操作,并将提取出的字符串与用户自定义的字符串进行比较,从而过滤出相匹配的报文。

5000~5999

用户ACL

IPv4

既可使用IPv4报文的源IP地址或源UCL(User Control List)组,也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。

6000~9999

基本ACL6

IPv6

可使用IPv6报文的源IPv6地址、分片信息和生效时间段来定义规则。

2000~2999

高级ACL6

IPv6

可以使用IPv6报文的源IPv6地址、目的IPv6地址、IPv6协议类型、ICMPv6类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。

3000~3999

3.6 NAT技术

NAT(Network Address Translation)就是网络地址转换技术,它诞生于1994年,通过这种方法减缓了IPV4地址的枯竭速度,尽管IPV4已在两年前,也就是2019年的时候将最后一个地址分配完了,但是此技术可以延申用到IPV6网络中去。

NAT有三种类型:

静态 NAT ( Static NAT )( 一对一 )。将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一直不变的。

动态地址 NAT ( Pooled NAT )(多对多)。将内部网络的私有 IP 地址转换为公用 IP 地址时,IP 地址是不确定,随机的。所有被授权访问 Internet 的私有 IP 地址可随机转换为任何指定合法的 IP 地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态 NAT 转换。动态 NAT 是在路由器上配置一个外网 IP 地址池,当内部有计算机需要和外部通信时,就从地址池里动态的取出一个外网 IP,并将他们的对应关系绑定到 NAT 表中,通信结束后,这个外网 IP 才被释放,可供其他内部 IP 地址转换使用,这个 DHCP 租约 IP 有相似之处。当 ISP 提供的合法 IP 地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

网络地址端口转换 NAPT(Network Address Port Translation)。改变外出数据包的源端口并进行端口转换,采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部 IP 地址实现对 Internet 的访问,可以最大限度地节约 IP 地址资源。同时,也可以隐藏网络内部的所有主机,有效避免来自 Internet 的攻击。因此,目前网络中应用最多的就是 PAT 规则。这是最常用的 NAT 技术,也是 IPv4 能够维持到今天的最重要的原因之一,它提供了一种多对一的方式,对多个内网 IP 地址,边界路由可以给他们分配一个外网 IP,利用这个外网 IP 的不同端口和外部进行通信。NAPT 与 动态NAT 不同,它将内部连接映射到外部网络中的一个单独的 IP 地址上,同时在该地址上加上一个由 NAT 设备选定的端口号。

4章  系统设计

4.1  网络架构设计原则

在此次系统设计中,我们采用分层设计方法,将网络的逻辑结构化整为零,分层讨论设计与实现的细节问题。将网络拓扑结构划分为3个层次,即核心层、汇聚层和接入层。

采用分层设计方法的好处:

(1)节约成本,流量从接入层流向核心层时,被收敛在高速的链接上;流量从核心层流向接入层时,被发散到低速链接上,因此接入层路由器可以采用较小的设备。在采用分层设计方法之后,各层次负责不同的数据传送,不再需要同时考虑同一个问题。层次模型模块化的特性使网络中的每-层都能够很好地利用带宽,减少了对系统资源的浪费。

(2)易于理解,采用分成设计方法设计出来的网络拓扑结构层次结构清楚,结晰,可以在不同层次上实施不同难度的管理,降低了管理的成本。

(3)易于扩展,分层设计方法设计出来的层次模块化更有利于系统的扩展。易于排错层次模块化能够使网络拓扑结构分解成易于理解的子网结构,管理者能够更方便的确定网络故障的范围,从而更快的排出网络故障。

4.2  网络拓扑图

 

图 4.1 网络拓扑图

4.3  网络安全设计

企业网络满足基本的安全要求,是网络成功运行的必要条件,在此基础上提供强有力的安全保障,是网络系统安全的重要原则。网络内部部署了众多的网络设备、服务器,保护这些设备的正常运行,维护主要业务系统的安全,是网络的基本安全需求。对于各种各样的网络攻击,如何在提供灵活且高效的网络通讯及信息服务的同时,抵御和发现网络攻击,并且提供跟踪攻击的手段。

企业中应当通过访问控制,通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前;

定期检查安全漏洞,通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效;攻击监控,通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击;加密通讯,主动的加密通讯,可使攻击者不能了解、修改敏感信息;认证,良好的认证体系可防止攻击者假冒合法用户;备份和恢复,良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务;多层防御,攻击者在突破第一道防线后,延缓或阻断其到达攻击目标;隐藏内部信息,使攻击者不能了解系统内的基本情况;设立安全监控中心,为信息系统提供安全体系管理、监控,维护及紧急情况服务。

4.4 IP地址规划

IP地址是主机和设备在网络中的标识,在同一.网络中,不能有两台主机使用相同的IP地

址,否则产生冲突,将无法通信,因此,IP地址需要具有唯一性。同时,在企业的不断发展扩大下,业务和人员的不断增加,IP地址的扩展性要求就体现出来了,因此在设计IP地址的时候,一定要留有余量。

表4.1IP地址规划

部门

VLAN

IP

网关

生产技术部

10

172.16.10.0/24

172.16.10.254

计划营销部

11

172.16.11.0/24

172.16.11.254

安全监察部

12

172.16.12.0/24

172.16.12.254

财务部

13

172.16.13.0/24

172.16.13.254

人力资源部

14

172.16.14.0/24

172.16.14.254

行政部

15

172.16.15.0/24

172.16.15.254

总经理办公室

16

172.16.16.0/24

172.16.16.254

DNS服务器

20

172.16.20.1/24

172.16.17.254

WEB服务器

20

172.16.20.2/24

172.16.20.254

Email服务器

20

172.16.20.3/24

172.16.20.254

DHCP服务器

20

172.16.20.4/24

172.16.20.254

FTP服务器

20

172.16.20.5/24

172.16.20.254

4.5设备选型

4.5.1 核心交换机选型

核心交换机选用思科的CISCO WS-C6509-E企业级的交换机,交换机吞吐量和背板带宽满足中小型企业数据交互要求。具体参数如下:

表4.2WS-C6509-E参数

主要参数

产品类型

企业级交换机

应用层级

四层

传输速率

10/100/1000Mbps

交换方式

存储-转发

背板带宽

720Gbps

包转发率

387Mpps

MAC地址表

64K

端口参数

端口结构

模块化

扩展模块

9个模块化插槽

传输模式

支持全双工

功能特性

VLAN

支持

QOS

支持

网络管理

支持

ACL

支持

其它参数

电源功率

4000W

图4.2 WS-C6509-E交换机

4.5.2 汇聚交换机选型

企业网络中的汇聚交换机选择CISCO WS-C3560X-24T-L交换机来进行部署,此交换机的具体参数如下:

表4.2 C3560X参数

产品类型

千兆以太网交换机

应用层级

二层

传输速率

10/100/1000Mbps

产品内存

DRAM内存:256MB

FLASH内存:128MB

交换方式

存储-转发

背板带宽

160Gbps

包转发率

65.5Mpps

端口结构

非模块化

端口描述

24个10/100/1000以太网端口

 

图4.3 CISCO WS-C3560X-24T-L

4.5.3路由器选型

路由器使用思科Cisco®2900 系列集成多业务路由器建立在 25 年思科创新和产品领先地位之上。新平台的构建旨在继续推动分支机构的发展,为分支机构提供富媒体协作和虚拟化,同时最大程度地节省运营成本。第 2 代集成多业务路由器平台支持未来的多核 CPU,支持具有未来增强的视频功能的高容量 DSP(数字信号处理器)、具有更高可用性的高功率服务模块、具有增强 POE 的千兆位以太网交换产品以及新能源监控和控制功能,同时提高整体系统性能。此外,通过全新 Cisco IOS® 软件通用映像和服务就绪引擎模块,还可以将硬件和软件部署分离,从而奠定灵活的技术基础以及时满足不断发展的网络需求。总而言之,通过智能集成市场领先的安全、统一通信、无线和应用程序服务,Cisco 2900 系列可提供无与伦比的总拥有成本节约和网络灵活性。

表4.3 2911路由器特性

模块化平台

Cisco 2900 系列集成多业务路由器是高度模块化平台,具有多种类型的模块插槽,可添加连接性和服务,以满足不同的分支机构网络需求。ISR 通过模块提供行业内范围最广的局域网和广域网连接选项,以适应未来技术的现场升级,而无需更换平台。

处理器

Cisco 2900 系列由高性能多核处理器支持,可在分支机构运行多并发服务的同时,满足其不断增长的高速广域网连接需求。

多千兆位光纤 (MGF)

Cisco 2900 系列引入了创新的多千兆位光纤 (MGF),可实现有效的模块到模块通信,从而增强模块间的服务交互,同时减少路由处理器的管理费用。

TDM 互联光纤

通过使用系统架构中的 TDM 互联光纤,分支机构的统一通信服务得到显著增强,从而可扩展 DS-0 通道容量。

集成千兆位以太网端口

所有板载广域网端口均为 10/100/1000 千兆位以太网广域网路由端口。Cisco 2921 和 2951 上的三个 10/100/1000 以太网广域网端口之一代替了 RJ-45 端口,支持基于小型封装热插拔 (SFP) 的连接以及光纤连接。

图4-4 2911路由器

5章  详细设计

传统中小型局域网络由二层交换机构成局域网骨干,整个网络是一个广播域。如果企业中的网络都属于同一个子网掩码的网段之下,那么网内的二层数据之间的交互不需要通过网关设备,也就相当于局域网内都通过一台或者多台接入交换机的MAC寻址转发就搞定了,只有跨网段访问的地址才需要经过网关。

本课题的企业网络设计总体逻辑架构,遵循现代局域网的部署准则,由三层交换设备构成局域网骨干,对各个部门按需划分VLAN,进行逻辑隔离,这些小型局域网通过三层设备的路由交换功能互连。无论是哪种网段,都是计算机节点的划分方式。但目前基于三层交换实现跨网段访问的方法,已经逐渐成为主流。因为三层起码可做到可控、可查、可溯源的安全效果。

5.1  核心层网络设计

 

 

图5.1 核心层

网络核心层的主要工作是交换数据包,核心层设备的主要存在任务是为了数据交互转发的,要尽量避免在核心上接入过多的终端设备;并且核心层的路由一定要具备可到达性,也就是说核心设备对网内的所有设备或者目的都需要具备路由可达,可实现交互转发的一个功能。

此次设计为提高核心层交换网络的可靠性,实现物理链路和网关冗余的双层保障, 核心层将决定使用HSRP (热备份路由器协议)来实现网关冗余,至于物理链路的冗余则通过STP生成树的环路监测机制来实行。对于各个业务VLAN终端地址,网关均指向这个HSRP所维护的虛拟IP地址,因此才能够保证HSRP技术为全网提供一个可靠的网关地址,以实现在核心层核心交换机之间进行设备的硬件冗余,并且HSRP通过内部的协议传输机制可以自动进行工作角色的切换。进而为网络高效处理大集中数据提供了可靠的保障。

5.2  汇聚层网络设计

5.2 汇聚层设计

 

汇聚层网络主要完成企业各园区内办公楼宇和相关单位的内接入交换机的,汇聚及数据交换和VLAN终结,汇聚层是核心层和接入层的连接模块,其主要功能联合公司自动化系统的汇聚层,主要是为各个配线间以及服务器群的中心网络设备提供接入层设备的集中和核心层链路的接入。

本课题设计的汇聚层网络上联核心交换机、下联接入交换机,均采用双线STP破环实现链路的备份冗余,让网络不存在单点故障问题的发生,保证用户上网体验。

5.3 接入层设计

图5.3 接入层设计

接入层是面向最终用户的设备,主要功能如下:提供高密度的用户端口;提供许可控制,包括:安全控制和QoS控制。采用多层网络的设计方法,必须依赖于利用网络的高弹性和扩充性。所谓的弹性指的是对故障的容忍度和故障情况下的恢复能力;所谓扩充性是指根据实际需要,可以在各个不同层次实现升级和扩充,实现对网络可控的、有序的优化。在这种体系结构内,接入层为终端用户提供10/100M交换端口,并提供到网络汇聚层的.上联链路。各个楼层的终端设备或局域网络全部通过接入层进入网络系统。

5.4  关键性技术及难点

 本课题采用的关键技术为ACL访问控制列表,针对一些部门对服务器的访问限制,服务器的上网限制等策略实现企业内的网络安全,排除安全隐患的发生;其次局域网内使用了DHCP、OSPF、NAT等IP路由关键技术,针对冗余性的考虑核心设备还使用了HSRP+STP组合物理链路、网关冗余。

本次设计的难点在于ACL访问控制的策略配置,思科设备上配置ACL一但条目顺序配置错误,那么就需要删除整条ACL规则来进行重新配置,因此配置ACL的时候需要格外注意,一是注意规则配置顺序,二是注意应用的策略方向,以免造成网络大面积中断的网络事故。

6章  系统测试

6.1  调试与测试

6.1.1核心交换机的HSRP配置调试

interface Vlan10   //进入VLAN 10

ip address 172.16.10.252 255.255.255.0  //配置IP地址

ip helper-address 172.16.20.4       //配置DHCP中继

standby 10 ip 172.16.10.254         //配置HSRP虚拟网关地址

standby 10 priority 101            //配置HSRP优先级

standby 10 preempt                 //设置HSRP状态为抢占

interface Vlan11

mac-address 0040.0b31.7502

ip address 172.16.11.252 255.255.255.0

ip helper-address 172.16.20.4

standby 11 ip 172.16.11.254

standby 11 priority 101

standby 11 preempt

核心交换机HSRP协议状态如下:

图6.1 核心交换机HSRP状态

本次设计的网络环境中使用两台核心交换机上配置热备份路由器协议HSRP实现终端的网关冗余,当Active设备宕机后马上standby设备会立马接替进行转发,两台设备的相互冗余可以保证整个网络的不中断和可靠性。

6.1.2 DHCP的相关配置

DHCP服务器旁挂核心,创建地址池,网关设备通过DHCP中继协议的指向来向服务器请求地址下发,具体配置如下:

图6.2 DHCP服务器配置

服务器区域设立了DHCP服务器,通过核心交换机在每个网关上设立DHCP中继协议来对接服务器,让接入终端设备都可以自动获取到服务器上所设立的地址池,既简化了管理员手动配置的操作,也能解决IP地址冲突的问题。

6.1.3 OSPF的配置

两台核心交换机配置OSPF路由协议与互联网接入路由器互联,核心交换机相互学习路由,路由器学习网内内部路由并且下发默认路由至核心交换机上。

router ospf 1

router-id 1.1.1.1

log-adjacency-changes

network 172.31.1.0 0.0.0.255 area 0

network 172.16.10.0 0.0.0.255 area 0

network 172.16.11.0 0.0.0.255 area 0

network 172.16.12.0 0.0.0.255 area 0

network 172.16.13.0 0.0.0.255 area 0

network 172.16.14.0 0.0.0.255 area 0

network 172.16.15.0 0.0.0.255 area 0

network 172.16.16.0 0.0.0.255 area 0

network 172.16.20.0 0.0.0.255 area 0

图6.3路由器上学习到内部路由

OSPF动态路由协议在网络环境中应用最为广泛,因为他具有很高的可靠性和收敛速度,对于内部设备的路由变动和增加可以做到第一时间学习路由,不需要像RIP那样等待一定时间的全量更新,本次设计上核心交换机和路由器之间就配置了OSPF路由协议达到自动学习路由的目的,从上图可看出,OSPF协议正常,设备已经自动学习到了局域网内部的路由网段,不需要管理员再进行手动配置。

6.1.4 ACL技术应用

图6.4 ACL配置

在两台核心交换机上配置ACL不允许生产技术部访问邮件服务器、计划营销部访问WEB服务器以及安全监察部访问FTP服务器的操作。核心交换机上的具体配置如下:

access-list 100 deny ip 172.16.10.0 0.0.0.255 host 172.16.20.3  //拒绝生产技术部访问邮件服务器

access-list 100 deny ip 172.16.11.0 0.0.0.255 host 172.16.20.2  //拒绝计划营销部访问WEB服务器

access-list 100 deny ip 172.16.12.0 0.0.0.255 host 172.16.20.5  //拒绝安全监察部访问FTP服务器

access-list 100 permit ip any any   //所有流量方向

6.1.5 NAT技术

图6.5 NAT状态

出口路由器上配置NAT地址转换和服务器端口映射,实现内网用户上网需求和对外发布的服务器映射需求。同时在NAT调用的ACL规则上排除了DHCP服务器地址,拒绝DHCP服务器连接互联网。

具体配置如下:

access-list 1 deny host 172.16.20.4     //拒绝源地址为DHCP服务器的流量

access-list 1 permit any             //所有流量方向

ip nat inside source list 1 interface GigabitEthernet0/2 overload    //将ACL 1 规则调用在NAT地址转换上,并将转换地址设置为G0/2的出接口地址。

ip nat inside source static tcp 172.16.20.2 80 164.100.222.1 80    //WEB服务器映射公网地址164.100.222.1

6.2  连通性测试

6.2.1 DHCP自动获取地址测试

图6.4安全监察部终端自动获取地址

安全监察部通过DHCP动态主机协议自动获取到服务器下发的地址和网关以及DNS。

6.2.2 局域网连通性测试

图6.5 总经理室ping测试

通过总经理室的PC来对生产技术部和计划营销部的终端连通性进行测试,测试结果正常。

6.2.3 ACL限制测试

图6.6拒绝计划营销部访问WEB服务器

用生产技术部的终端和计划营销部的终端同时访问WEB服务器,发现计划营销部无法请求到WEB服务器,生产技术部可正常访问。测试结果正常。

6.2.4 NAT测试

图6.7 访问NAT测试

使用人力资源部终端和DHCP服务器同时访问互联网,发现DHCP服务器无法访问互联,而人力资源部可正常访问。测试结果正常。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小蓝xlanll/article/detail/374275
推荐阅读
相关标签
  

闽ICP备14008679号