公司網(wǎng)絡搭建與部署-計算機網(wǎng)絡技術-(畢業(yè)論文)

廣東科學技術職業(yè)學院計算機工程技術學院(軟件學院)畢業(yè)設計題目：公司網(wǎng)絡搭建與部署專業(yè)：計算機網(wǎng)絡技術班級：學生姓名：學號：6666666666指導教師姓名：職稱：摘要六月網(wǎng)絡有限公司剛剛成立，總部設于廣州，分別在北京、上海都有分公司?，F(xiàn)在需要為公司搭建網(wǎng)絡，讓總公司能夠自由的與分公司互相訪問資源，局域網(wǎng)內(nèi)部人員可以自由的連上Internet網(wǎng)。該公司有財務部、人力資源部、產(chǎn)品部、技術部、銷售部等部門；根據(jù)公司要求，為各個部門分配合適的IP地址段，做到無沖突，盡可能的節(jié)省IP地；最主要的是公司內(nèi)部網(wǎng)絡環(huán)境搭建與部署，內(nèi)部網(wǎng)絡路由協(xié)議、網(wǎng)絡策略；總部與分部之間使用VPN、幀中繼連接，遠程移動客戶端等；用思科的網(wǎng)絡設備設計一套合理的方案，整體網(wǎng)絡拓撲規(guī)劃、工程實施方案、相關技術應用然后是調(diào)試。關鍵詞：WAN、VLAN、EIGRP、Telnet、SSH、ACL、VPN、幀中繼、網(wǎng)絡安全。

目錄一、概述 51.1計算機網(wǎng)絡的發(fā)展 51.2公司網(wǎng)絡規(guī)劃概述 51.3公司網(wǎng)絡安全 6二、項目工程簡介 72.1網(wǎng)絡設計目標 72.2網(wǎng)絡設備簡介 7三、項目需求分析 83.1公司網(wǎng)絡總體需求 83.2公司網(wǎng)絡功能需求 8四、項目設計與實施 94.1項目設計 94.1.1網(wǎng)絡拓撲圖 94.1.2公司網(wǎng)絡規(guī)劃 104.2項目實施與實現(xiàn) 104.2.1VLAN配置 114.2.2EIGRP路由協(xié)議 114.2.3Telnet、SSH遠程 124.2.4交換機配置管理FTP備份與恢復 134.2.5幀中繼虛擬電路 144.2.6ACL訪問控制 174.2.7VPN遠程 214.2.8DHCP服務器配置 24五、網(wǎng)絡安全 266.1安全風險分析 266.2安全防護措施 276.3安全拓撲 28六、總結(jié) 29參考文獻 30致謝 31

前言六月網(wǎng)絡有限公司剛剛成立我們將為它設計公司網(wǎng)絡搭建拓撲圖，以及實施拓撲圖的內(nèi)容，網(wǎng)絡搭建的目的是為了公司內(nèi)部人員能夠通過訪問Internet網(wǎng)找到自己想要的資源，當然還有解決總公司與分公司之間的互相訪問，移動客戶或者在外出差的員工訪問公司內(nèi)部網(wǎng)絡資源。最重要的是網(wǎng)絡安全，企業(yè)網(wǎng)絡安全非常的重要，在網(wǎng)絡搭建中我們將會用到藍盾防火墻的一些設備，來為我們的網(wǎng)絡建一個防護網(wǎng)。在這個網(wǎng)絡時代有一個良好的網(wǎng)絡環(huán)境能夠提高公司員工的辦事效率，使得業(yè)績發(fā)展更好。

第一章概述1.1計算機網(wǎng)絡的發(fā)展歷史計算機網(wǎng)絡源于計算機與通信技術的結(jié)合，它經(jīng)歷了從簡單到復雜、從單機到多機、從終端與計算機之間通信到計算機與計算機直接通信的發(fā)展時期。早在20世紀50年代初，以單個計算機為中心的遠程聯(lián)機系統(tǒng)構(gòu)成，開創(chuàng)了把計算機技術和通信技術相結(jié)合的嘗試。這類簡單的“終端——通信線路——面向終端的計算機”系統(tǒng)，構(gòu)成了計算機網(wǎng)絡的雛形。嚴格的說，它和現(xiàn)代的計算機網(wǎng)絡相比，存在根本的區(qū)別。當時的系統(tǒng)除了一臺中央計算機外，其余的終端設備沒有獨立處理數(shù)據(jù)的功能，當然還不能算是真正意義上的計算機網(wǎng)絡。為了區(qū)別以后發(fā)展的多個計算機互聯(lián)的計算機網(wǎng)絡，稱它為面向終端的計算機網(wǎng)絡，又稱為第一代計算機網(wǎng)絡。從20世紀60年代中期開始，出現(xiàn)了若干個計算機主機通過通信線路互聯(lián)的系統(tǒng)，開創(chuàng)了“計算機——計算機”通信的時代，并呈現(xiàn)出多個中心處理機的特點。20世紀60年代后期，ARPANET網(wǎng)是由美國國防部高級研究計劃局ARPA(目前稱為DARPA，DefenseAdvancedResearchProjectsAgency)提供經(jīng)費，聯(lián)合計算機公司和大學共同研制而發(fā)展起來的，主要目標是借助通信系統(tǒng)，使網(wǎng)內(nèi)各計算機系統(tǒng)間能夠相互共享資源，它最初投入使用的是一個有4個節(jié)點的實驗性網(wǎng)絡。ARPANET網(wǎng)的出現(xiàn)，代表著計算機網(wǎng)絡的興起。人們稱之為第二代計算機網(wǎng)絡。20世紀70年代至80年代中期是計算機網(wǎng)絡發(fā)展最快的階段，通信技術和計算機技術互相促進，結(jié)合更加緊密。局域網(wǎng)誕生并被推廣使用，網(wǎng)絡技術飛速發(fā)展。為了使不同體系結(jié)構(gòu)的網(wǎng)絡也能相互交換信息，國際標準化組織(ISO)于1978年成立了專門機構(gòu)并制定了世界范圍內(nèi)的網(wǎng)絡互聯(lián)標準，稱為開放系統(tǒng)互聯(lián)參考模型OSI/RM(OpenSystemsInterconnection/ReferenceModel)，簡稱OSI，人們稱之為第三代計算機網(wǎng)絡。進入20世紀90年代后，局域網(wǎng)技術發(fā)展成熟，局域網(wǎng)已成為計算機網(wǎng)絡結(jié)構(gòu)的基本單元。網(wǎng)絡間互聯(lián)的要求越來越強烈，并出現(xiàn)了光纖及高速網(wǎng)絡技術。隨著多媒體、智能化網(wǎng)絡的出現(xiàn)，整個系統(tǒng)就像一個對用戶透明的大計算機系統(tǒng)，千兆位網(wǎng)絡傳輸速率可達1G/s，它是實現(xiàn)多媒體計算機網(wǎng)絡互聯(lián)的重要技術基礎。從1983年到1993年10年期間，Internet從一個小型的、實驗型的研究項目，發(fā)展成為世界上最大的計算機網(wǎng)，從而真正實現(xiàn)了資源共享、數(shù)據(jù)通信和分布處理的目標。我們把它稱為第四代計算機網(wǎng)絡。1.2公司網(wǎng)絡規(guī)劃概述公司網(wǎng)絡整體規(guī)劃是一個總公司和兩個分公司之間的通信，網(wǎng)絡拓撲形成一個三角形，通過互聯(lián)網(wǎng)供應商使他們連接起來，當然為了公司的需求我們也會向供應商買三條幀中繼虛擬網(wǎng)絡，VPN站點與站點的對接，遠程訪問。公司內(nèi)部會根據(jù)實際需求設置VLAN，各個部門之間的通信要求盡量滿足。1.3公司網(wǎng)絡安全網(wǎng)絡結(jié)構(gòu)網(wǎng)絡拓撲結(jié)構(gòu)設計也直接影響到網(wǎng)絡系統(tǒng)的安全性。假如在外部和內(nèi)部網(wǎng)絡進行通信時，內(nèi)部網(wǎng)絡的機器安全就會受到威脅，同時也影響在同一網(wǎng)絡上的許多其他系統(tǒng)。透過網(wǎng)絡傳播，還會影響到連上Internet/Intranet的其他的網(wǎng)絡；影響所及，還可能涉及法律、金融等安全敏感領域。因此，我們在設計時有必要將公開服務器（WEB、DNS、EMAIL等）和外網(wǎng)及內(nèi)部其它業(yè)務網(wǎng)絡進行必要的隔離，避免網(wǎng)絡結(jié)構(gòu)信息外泄；同時還要對外網(wǎng)的服務請求加以過濾，只允許正常通信的數(shù)據(jù)包到達相應主機，其它的請求服務在到達主機之前就應該遭到拒絕。物理安全網(wǎng)絡的物理安全是整個網(wǎng)絡系統(tǒng)安全的前提。在公司網(wǎng)工程建設中，由于網(wǎng)絡系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網(wǎng)絡工程的設計和施工中，必須優(yōu)先考慮保護人和網(wǎng)絡設備不受電、火災和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須考慮計算機及其他弱電耐壓設備的防雷?？傮w來說物理安全的風險主要有，地震、水災、火災等環(huán)境事故；電源故障；人為操作失誤或錯誤；設備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機多冗余的設計；機房環(huán)境及報警系統(tǒng)、安全意識等，因此要注意這些安全隱患，同時還要盡量避免網(wǎng)絡的物理安全風險。系統(tǒng)的安全所謂系統(tǒng)的安全是指整個網(wǎng)絡操作系統(tǒng)和網(wǎng)絡硬件平臺是否可靠且值得信任?？峙聸]有絕對安全的操作系統(tǒng)可以選擇，無論是Microsoft的WindowsNT或者其它任何商用UNIX操作系統(tǒng)，其開發(fā)廠商必然有其Back-Door。因此，我們可以得出如下結(jié)論：沒有完全安全的操作系統(tǒng)。不同的用戶應從不同的方面對其網(wǎng)絡作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺，并對操作系統(tǒng)進行安全配置。而且，必須加強登錄過程的認證（特別是在到達服務器主機之前的認證），確保用戶的合法性；其次應該嚴格限制登錄者的操作權限，將其完成的操作限制在最小的范圍內(nèi)。

第二章項目工程簡介2.1網(wǎng)絡設計目標VLAN劃分：各個部門分屬不同的vlan，為各個vlan分配合適的ip地址段，做到無沖突，盡可能的節(jié)省IP地址。訪問控制：通過NAT技術實現(xiàn)公司內(nèi)網(wǎng)與外網(wǎng)的訪問權限。內(nèi)網(wǎng)安全：財務部與其它部門之間網(wǎng)絡隔離，不能互訪。網(wǎng)可管理：網(wǎng)絡設備部分開啟SSH，有一部分是Telnet登錄時必須以用戶名+密碼方式驗證。設備用戶名：cisco密碼：class；2.2網(wǎng)絡設備簡介Ciscorouter2621、思科MultilayerSwitch兩臺、思科模式服務器一臺、2960交換機、PC機較多、以太網(wǎng)直通線若干、DB-60、EIA/TIA-232、CSU/DSU等。

第三章項目需求分析3.1公司網(wǎng)絡總體需求該公司要求使用網(wǎng)絡將公司的各種計算機、終端設備和局域網(wǎng)連接起來，形成公司內(nèi)部的Intranet網(wǎng)絡，并通過路由器接入Internet，以滿足各部門需要等。下面介紹該公司網(wǎng)絡建設的總體需求和具體需求。（1）保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性。（2）完整性：數(shù)據(jù)未經(jīng)授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。（3）可靠性：公司網(wǎng)絡應具有很高的可靠性，達到24小時不間斷、無故障、穩(wěn)定運行。盡量減少局部網(wǎng)絡對整個公司網(wǎng)絡的影響。（4）可用性：可被授權實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網(wǎng)絡環(huán)境下拒絕服務、破壞網(wǎng)絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊；（5）先進性：由于網(wǎng)絡技術的日新月異，更高的帶寬和更先進的應用層出不窮，該公司網(wǎng)絡應在未來幾年的運行中能滿足公司的應用需求，能在較長時期內(nèi)保持一定的先進性。網(wǎng)絡建成后能實現(xiàn)數(shù)據(jù)、語音、多媒體通信、OA辦公、E-mail、Web及FTP等服務。（6）可控性：對信息的傳播及內(nèi)容具有控制能力。（7）可審查性：出現(xiàn)安全問題時提供依據(jù)與手段（8）可擴展性：主干節(jié)點設備的性能具有向上擴展的能力，以備將來更高帶寬應用的需要。（9）可管理性：整個公司網(wǎng)絡將采用集中式管理，能夠監(jiān)控網(wǎng)絡的運行，并能找出網(wǎng)絡的故障并快速恢復網(wǎng)絡的正常運行。校園網(wǎng)建設的具體需求：總公司本部各大樓與網(wǎng)絡中心的網(wǎng)絡帶寬為1000Mbps，用戶主機到桌面交換機的網(wǎng)絡帶寬為100Mbps。公司網(wǎng)到Internet的出口帶寬為20Mbps。遠程分公司與總公司本部的網(wǎng)絡帶寬為10Mbps。財務部要求必須處在一個獨立的局域網(wǎng)內(nèi)，以保證網(wǎng)絡的安全。對公司內(nèi)部的計算機只提供WWW、E-mail、FTP等常用的服務，除非有特別的需要，否則不開通其他的服務。工作日只能在上午7:30到晚上21:30間開通Internet網(wǎng)絡。對公司網(wǎng)外的移動用戶提供remoteaccessVPN撥號接入服務。3.2公司網(wǎng)絡功能需求（1）DHCP服務，為銷售部自動分配IP地址。（2）FTP服務，公司內(nèi)部資源的共享與訪問。（3）Telnet、SSH、VPN服務，設備開啟遠程登錄功能，方便移動員工訪問。

第四章項目設計與實施4.1項目設計4.1.1網(wǎng)絡拓撲圖根據(jù)公司建筑的分布及需求，作出如下規(guī)劃：網(wǎng)絡中心與各樓宇之間使用千兆多模光纖連接，形成千兆骨干網(wǎng)絡；大樓內(nèi)設置匯聚層交換機，用于匯聚樓內(nèi)各樓層交換機的數(shù)據(jù)；桌面交換機與匯聚層交換機連接，桌面交換機與計算機間使用百兆雙絞線相連；OA辦公、E-mail、Web及FTP服務器直接和網(wǎng)絡中心的核心交換機連接；由于該公司的網(wǎng)絡出口寬帶為20Mbps，因此直接通過以太協(xié)議接入ISP；遠程分公司與總公司本部間通過VPN線路連接；在總公司配置一個RemoteaccessVPN，供移動員工使用。由于財務部、人力資源部、技術部、銷售部的網(wǎng)絡連接基本相同，所以縮減為一個圖，簡化后的網(wǎng)絡如圖2.2所示。4.1.2公司網(wǎng)絡規(guī)劃公司內(nèi)部網(wǎng)絡號/24現(xiàn)在把它用VLSM劃分IP地址供公司內(nèi)部使用以及VLAN的劃分，此地址與VLAN僅供實驗模擬實際中應該劃分多一點主機地址。廣州總公司：部門IP網(wǎng)段網(wǎng)關VLAN名廣州總公司-30/273-62/273財務部29-134/2929FMD人力資源部37-142/2937HR技術部45-150/2945Technology銷售部53-158/2953Sales北京分公司IP地址及VLAN劃分：部門IP網(wǎng)段VLAN名網(wǎng)關北京分公司5-94/275技術部93-198/29Technology93銷售部01-206/29Sales01上海分公司IP地址及VLAN劃分：部門IP網(wǎng)段VLAN名網(wǎng)關上海分公司7-126/277財務部61-166/29FMD61人力資源部69-174/29HR694.2項目實施與實現(xiàn)4.2.1VLAN配置VLAN配置命令：其余VLAN均與此配置方法相同。4.2.2EIGRP路由協(xié)議根據(jù)拓撲圖配置EIGRP路由協(xié)議及配置命令：驗證：4.2.3Telnet、SSH遠程Telnet配置：EnablepasswordclassLinevty03PasswordclassLogin驗證：SSH配置：EnablepasswordclassIpdomain-nameCryptokeygeneratersaIpsshversion2Linevty03PasswordclassLoginTransportinputssh驗證：4.2.4交換機配置管理FTP備份與恢復ftp配置命令：首先在交換機上配置：ConfigureterminalEnablesecretpasswordServicepassword-encryption密碼加密ipftpusernametmfipftppasswordtmf然后在ftp服務器上配置：測試：4.2.5幀中繼虛擬電路1、在PacketTracer上邊畫好拓撲，并配置好模塊和幀中繼DLCI2、添加一個Cloud-PT-Empty設備（Cloud0）模擬幀中繼網(wǎng)絡，為Cloud0添加3個S端口模塊，好與路由器連接！這里添加了額外的模塊，僅供娛樂。3、設置好S1，S2，S3，的DLCI值：這一步很重要必須設置，其實每一步都很重要了。4、配置3臺路由器：R1路由器配置：R1>enR1#conftR1(config-if)#ints0/0進入S1/0端口配置R1(config-if)#noshut啟動端口R1(config-if)#ipadd分配端口ip地址R1(config-if)#encapsulationframe-relay幀中繼封裝R1(config-if)#frame-relaymapip102broadcast添加靜態(tài)映射地址R1(config-if)#frame-relaymapip103broadcastR1(config-if)#frame-relaylmi-typeansi幀中繼類型為ansiR1(config-if)#exitR2路由器配置：R1>enR1#conftR1(config-if)#ints0/0進入S1/0端口配置R1(config-if)#noshut啟動端口R1(config-if)#ipadd分配端口ip地址R1(config-if)#encapsulationframe-relay幀中繼封裝R1(config-if)#frame-relaymapip201broadcast添加靜態(tài)映射地址R1(config-if)#frame-relaymapip203broadcastR1(config-if)#frame-relaylmi-typeansi幀中繼類型為ansiR1(config-if)#exitR3路由器配置：R1>enR1#conftR1(config-if)#ints0/0進入S1/0端口配置R1(config-if)#noshut啟動端口R1(config-if)#ipadd分配端口ip地址R1(config-if)#encapsulationframe-relay幀中繼封裝R1(config-if)#frame-relaymapip301broadcast添加靜態(tài)映射地址R1(config-if)#frame-relaymapip302broadcastR1(config-if)#frame-relaylmi-typeansi幀中繼類型為ansiR1(config-if)#exit在路由器、三層交換機上配置RIP路由命令如下：routerripversion2networkA.B.C.D測試：從廣州總公司到上海分公司PC1—ping—PC11從廣州總公司到北京分公司PC1—ping—PC74.2.6ACL訪問控制訪問控制列表（AccessControlList，ACL）是路由器和交換機接口的指令列表，用來控制端口進出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。信息點間通信和內(nèi)外網(wǎng)絡的通信都是企業(yè)網(wǎng)絡中必不可少的業(yè)務需求，為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權用戶只能訪問特定的網(wǎng)絡資源，從而達到對訪問進行控制的目的。簡而言之，ACL可以過濾網(wǎng)絡中的流量，是控制訪問的一種網(wǎng)絡技術手段。配置ACL后，可以限制網(wǎng)絡流量，允許特定設備訪問，指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包等。如可以配置ACL，禁止局域網(wǎng)內(nèi)的設備訪問外部公共網(wǎng)絡，或者只能使用FTP服務。ACL既可以在路由器上配置，也可以在具有ACL功能的業(yè)務軟件上進行配置。ACL是物聯(lián)網(wǎng)中保障系統(tǒng)安全性的重要技術，在設備硬件層安全基礎上，通過對在軟件層面對設備間通信進行訪問控制，使用可編程方法指定訪問規(guī)則，防止非法設備破壞系統(tǒng)安全，非法獲取系統(tǒng)數(shù)據(jù)。3P原則，每種協(xié)議(perprotocol)、每個方向(perdirection)、每個接口(perinterface)配置一個ACL：每種協(xié)議一個ACL：要控制接口上的流量，必須為接口上啟用的每種協(xié)議定義相應的ACL。每個方向一個ACL：一個ACL只能控制接口上一個方向的流量。要控制入站流量和出站流量，必須分別定義兩個ACL。每個接口一個ACL：一個ACL只能控制一個接口（例如快速以太網(wǎng)0/0）上的流量。目前有三種主要的ACL:標準ACL、擴展ACL及命名ACL。其他的還有標準MACACL、時間控制ACL、以太協(xié)議ACL、IPv6ACL等。標準的ACL使用1~99以及1300~1999之間的數(shù)字作為表號，擴展的ACL使用100~199以及2000~2699之間的數(shù)字作為表號。標準ACL可以阻止來自某一網(wǎng)絡的所有通信流量，或者允許來自某一特定網(wǎng)絡的所有通信流量，或者拒絕某一協(xié)議簇（比如IP）的所有通信流量。擴展ACL比標準ACL提供了更廣泛的控制范圍。例如，網(wǎng)絡管理員如果希望做到“允許外來的Web通信流量通過，拒絕外來的FTP和Telnet等通信流量”，那么，他可以使用擴展ACL來達到目的，標準ACL不能控制這么精確基本的網(wǎng)絡規(guī)劃這里就詳述了技術實現(xiàn)：重新規(guī)劃的拓撲圖中配置ACL的訪問控制：R1(config)#access-list10deny55R1(config)#access-list10permitanyR1(config)#interfacef0/1R1(config-if)#ipaccess-group10outR1(config-if)#exitR2(config)#access-list11deny55R2(config)#access-list11permitanyR2(config)#ints0/1/0R2(config-if)#ipaccess-group11outR2(config-if)#exitR3(config)#ipaccess-liststandardNO_ACCESSR3(config-std-nacl)#denyhost28R3(config-std-nacl)#permitanyR3(config-std-nacl)#exitR3(config)#intf0/0R3(config-if)#ipaccess-groupNO_ACCESSinR3(config-if)#exit測試：PC1—ping—PC2答案是不能ping通，因為在路由器R1的F0/1上配置了ACL10.PC2—ping—outsidehost/PC2—ping—WebServer答案是不能ping通，因為在路由器R2的S0/1/0上配置了ACL11，所以在ping的時候應該是返回R2的S0/1/0的IP.對于R3上的命名ACL的配置要求是所有數(shù)據(jù)流不能通過R3的F0/0進入主機28;用PC1同時ping0/28測試：4.2.7VPN遠程VPN遠程訪問概述：很多企業(yè)隨著業(yè)務的發(fā)展，已經(jīng)在異地建立分支機構(gòu)，或者許多員工出差至外地開展工作，甚至需要回家繼續(xù)辦公，那么這些遠程員工是否還能夠連接到總部網(wǎng)絡享受到統(tǒng)一的企業(yè)信息化管理呢？布置這種技術似乎很困難，我們先把圖中網(wǎng)絡單元可以分為3類：1．總部機構(gòu)，總部在連接互聯(lián)網(wǎng)絕大多數(shù)情況下使用固定出口以及固定地址，在一些極端情況下可能會采用動態(tài)地址方式。2.遠程分支機構(gòu)，這類網(wǎng)絡有固定的網(wǎng)絡出口連接到互聯(lián)網(wǎng)，互聯(lián)網(wǎng)出口設備以及內(nèi)部網(wǎng)絡都是完全受企業(yè)管理的，在圖中，分支1和分支2都是這類，雖然網(wǎng)絡出口是固定的，但是出口地址是否固定和接入方式有關，比如租用光纖那么通常會從運營商獲得一個固定地址，如果是ADSL則是動態(tài)的，遠程分支機構(gòu)的典型特征是以一個網(wǎng)絡作為遠程接入單位。3.出差員工，這類網(wǎng)絡用戶的特點是以用戶PC為遠程網(wǎng)絡單元，為什么呢，因為這類用戶的互聯(lián)網(wǎng)出口通常不受企業(yè)管理，比如出差員工在酒店通過酒店網(wǎng)絡接入互聯(lián)網(wǎng)、員工在家上網(wǎng)、員工在酒店直接撥號到互聯(lián)網(wǎng)等，這類用戶的特征是以單臺PC作為遠程接入單位。這些異地網(wǎng)絡用戶訪問總部網(wǎng)絡，可能大家會認為很簡單，直接訪問總部網(wǎng)絡的網(wǎng)段就可以了。實際上，企業(yè)網(wǎng)絡通常使用私有地址，是無法從互聯(lián)網(wǎng)直接訪問的，那么我們可以通過什么手段訪問這些總部的私有網(wǎng)段嗎？1.使用專線，即每個異地網(wǎng)絡用戶單元使用一條專線連接到總部，那么在上圖中，我們至少需要5條專線，如果出差員工或者分支多起來需要更多專線，每條專線都價值不菲，而且專線只能連接總部，無法訪問互聯(lián)網(wǎng)，顯然這種方式對于非常注重成本的企業(yè)而言是不可接受的。2.既然總部和各個異地網(wǎng)絡都連接到了互聯(lián)網(wǎng)，能不能通過互聯(lián)網(wǎng)把大家連起來呢？我們可以看到各個網(wǎng)絡單元的出口都是互聯(lián)網(wǎng)公有地址，讓這些地址互相訪問不成問題，那么能不能把訪問內(nèi)部私有網(wǎng)絡的連接建立在這些共有連接上呢？——虛擬私有網(wǎng)（VirtualPrivateNetwork），即在公共網(wǎng)絡上建立虛擬的隧道，模擬成專線，如下圖所示。那么如何建立這些隧道呢？要建立什么樣的隧道？我們可以通過這張表來描述異地網(wǎng)絡用戶和總部網(wǎng)絡出口隧道的特點。

隧道端點隧道內(nèi)流量隧道發(fā)起安全性需求是否穿越NAT異地分支分支出口總部出口分支內(nèi)網(wǎng)總部內(nèi)網(wǎng)總部和分支都可以發(fā)起少量身份認證和加密不需要酒店、家庭辦公異地PC總部出口異地PC總部內(nèi)網(wǎng)只能從PC發(fā)起大量動態(tài)身份認證和加密需要遠程撥號PC異地PC總部出口異地PC總部內(nèi)網(wǎng)只能從PC發(fā)起大量動態(tài)身份認證和加密不需要我們可以從上表中發(fā)現(xiàn)異地分支和總部、異地PC和總部之間隧道有較多不同，可以把VPN劃分為這兩類場景進行研究，有什么樣的需求就有什么樣的技術：1.

PPTP（點到點隧道協(xié)議）、L2TP（二層隧道協(xié)議）、SSLVPN（安全會話層VPN）：這兩個技術主要用于異地PC向總部方向建立VPN，但PPTP、L2TP不支持加密（PPTP的兼容性沒有L2TP好），SSLVPN則必須要求加密；這三類技術都有很靈活的動態(tài)身份認證機制，SSLVPN不但擁有靈活安全的認證機制，在用戶角色權限控制上具備極強的擴展性，因此這3類技術非常適合遠程PC撥號接入場景，隨著SSLVPN技術成熟，部署成本下降，正在不斷地侵占L2TP原有市場。2.

IPSec：通用性最強的VPN安全技術，能夠適應異地分支和總部互聯(lián)，也適用于異地PC向總部發(fā)起連接；可以單獨使用，也可以和L2TP結(jié)合，保證L2TP的安全，但是IPSec的動態(tài)身份認證功能較弱，不太適用于大量動態(tài)用戶撥號的場景，比較適合接入數(shù)量相對穩(wěn)定的場景，此外IPSec功能復雜，PC上通常是通過各廠家專用客戶端實現(xiàn)，因此IPSec技術更適合異地分支和總部網(wǎng)絡互連的場景。下面對集中VPN技術和應用場景進行詳細介紹。由于PPTP功能和L2TP重疊，且應用較窄，在此文中不作介紹。L2TP和SSLVPN該類型的VPN可以分為如下幾個階段：1.

分支向總部發(fā)出連接請求，要就建立VPN，如果是SSLVPN，該階段還需要協(xié)商密鑰，為后續(xù)所有通信進行加密保護，而L2TP則沒有專用保護手段，除非借助IPSec的幫助。2.

對接入請求進行身份驗證，因為企業(yè)的VPN資源只允許對本企業(yè)員工開放，所以必須對接入者身份進行驗證，身份驗證通常分為身份確認和口令驗證兩部分組成，身份表明用戶的角色，而口令則是進一步確認角色的準確性。3.

身份驗證可以有兩種方式實現(xiàn)，一是本地認證，二是專用服務器認證，通常專用服務器認證能夠有更好的擴展性和性能。認證的結(jié)果稱之為授權，即授予一定的功能，授權內(nèi)容由總部出口控制。4.

授權中一個很重要內(nèi)容是為遠端PC的隧道接口分配一個屬于企業(yè)內(nèi)部的私有地址，表示該遠端PC已經(jīng)接入到企業(yè)內(nèi)部網(wǎng)絡了；地址授權依然可以由設備實現(xiàn)，也可以由認證服務器實現(xiàn)。為什么要分配地址呢？因為我們說了VPN是在互聯(lián)網(wǎng)上模擬一條專線，物理專線需要IP地址，那么這個虛擬專線也需要IP地址。5.

總部出口設備返回給遠端PC的是認證和授權的報告，報告內(nèi)容主要是通知接入者是否接入成功，如果認證失敗則對PC提示接入失敗，如果認證成功，則提示用戶已經(jīng)成功接入VPN。6.

VPN建立后，該遠端PC就像是通過一個專用的線纜接入到企業(yè)出口設備上了，可以根據(jù)授權內(nèi)容進行訪問。7.

這種類型的VPN連接和斷開都是在外出員工在遠端PC上主動操作，通?？偛砍隹诰W(wǎng)關無法主動關閉VPN；為了避免總部出口長期沒有收到拆除消息而維護大量VPN連接導致資源耗盡，VPN連接通常都是有計時機制的，如果總部出口設備長時間沒有收到遠端PC的任何VPN流量，那么總部出口會認為該PC已經(jīng)下線，釋放資源，這是很重要的安全考慮。IPSecVPN在IPSec中，由于總部網(wǎng)絡相對固定，而分支變動性較大，所以大部分情況下是也是由分支向總部發(fā)起連接：1.

IPSec協(xié)商并不需要像L2TP、SSLVPN那樣需要每次人為主動去建立連接，IPSec需要通信雙方提前做好配置，我們通常稱這些配置為安全策略，主要內(nèi)容包括遠端地址、興趣流、遠端身份信息和預共享密鑰（也可以采用數(shù)字證書）、階段1安全提議、階段2安全提議等，將本地安全策略制定好后，IPSecVPN就會根據(jù)興趣流自動觸發(fā)建立，因此特別適合分支網(wǎng)絡和總部網(wǎng)絡通信的場景。2.

當分支檢測到興趣流后，就會根據(jù)安全策略配置向總部發(fā)起階段1協(xié)商，在協(xié)商時需要同樣需要進行驗證，驗證失敗則退出協(xié)商，除了驗證身份外還需要對階段1安全參數(shù)進行協(xié)商，如果協(xié)商不出共同的安全參數(shù)，那么也是退出協(xié)商。3.

總部通常處于被動響應模式，所以當需要協(xié)商時，也是從本地安全策略中找出匹配的參數(shù)。4.

如果階段1安全參數(shù)和驗證成功，會進行2階段的協(xié)商，階段2協(xié)商的是興趣流和階段2安全參數(shù)，如果能夠找到相匹配的參數(shù)，則協(xié)商成功，如果協(xié)商失敗則有可能同時把階段1協(xié)商結(jié)果刪除。5.

階段2協(xié)商成功后，分支和總部就建立了安全隧道，可以正常的通信了。6.

IPSec默認周期性協(xié)商機制，如果下一周期協(xié)商失敗，那么隧道拆除；此外還有對端激活檢測，如果檢測對端已經(jīng)失效則自動拆除隧道。4.2.8DHCP服務器配置DHCP（DynamicHostConfigurationProtocol，動態(tài)主機配置協(xié)議）是一個局域網(wǎng)的網(wǎng)絡協(xié)議，使用UDP協(xié)議工作，主要有兩個用途：給內(nèi)部網(wǎng)絡或網(wǎng)絡服務供應商自動分配IP地址，給用戶或者內(nèi)部網(wǎng)絡管理員作為對所有計算機作中央管理的手段，在RFC2131中有詳細的描述。1、DHCPClient以廣播的方式發(fā)出DHCPDiscover報文。2、所有的DHCPServer都能夠接收到DHCPClient發(fā)送的DHCPDiscover報文，所有的DHCPServer都會給出響應，向DHCPClient發(fā)送一個DHCPOffer報文。DHCPOffer報文中“Your(Client)IPAddress”字段就是DHCPServer能夠提供給DHCPClient使用的IP地址，且DHCPServer會將自己的IP地址放在“option”字段中以便DHCPClient區(qū)分不同的DHCPServer。DHCPServer在發(fā)出此報文后會存在一個已分配IP地址的紀錄。3、DHCPClient只能處理其中的一個DHCPOffer報文，一般的原則是DHCPClient處理最先收到的DHCPOffer報文。DHCPClient會發(fā)出一個廣播的DHCPRequest報文，在選項字段中會加入選中的DHCPServer的IP地址和需要的IP地址。4、DHCPServer收到DHCPRequest報文后，判斷選項字段中的IP地址是否與自己的地址相同。如果不相同，DHCPServer不做任何處理只清除相應IP地址分配記錄；如果相同，DHCPServer就會向DHCPClient響應一個DHCPACK報文，并在選項字段中增加IP地址的使用租期信息。5、DHCPClient接收到DHCPACK報文后，檢查DHCPServer分配的IP地址是否能夠使用。如果可以使用，則DHCPClient成功獲得IP地址并根據(jù)IP地址使用租期自動啟動續(xù)延過程；如果DHCPClient發(fā)現(xiàn)分配的IP地址已經(jīng)被使用，則DHCPClient向DHCPServer發(fā)出DHCPDecline報文，通知DHCPServer禁用這個IP地址，然后DHCPClient開始新的地址申請過程。6、DHCPClient在成功獲取IP地址后，隨時可以通過發(fā)送DHCPRelease報文釋放自己的IP地址，DHCPServer收到DHCPRelease報文后，會回收相應的IP地址并重新分配。按照拓撲圖中實現(xiàn)DHCP配置：配置DHCP命令：R1(config)#ipdhcpexcluded-addressR1(config)#ipdhcppoolR1LANR1(dhcp-config)#networkR1(dhcp-config)#default-routerR1(dhcp-config)#dns-server54R1(config-if)#iphelper-address(可選F0/1)DHCP中繼代理R3(config)#ipdhcpexcluded-addressR3(config)#ipdhcppoolR3LANR3(dhcp-config)#networkR3(dhcp-config)#default-routerR3(dhcp-config)#dns-server54DNS服務器配置PC機動態(tài)獲取地址：第五章網(wǎng)絡安全6.1安全風險分析技術安全風險分析：藍盾安全服務團隊依據(jù)售前工程師匯聚的網(wǎng)絡資料，結(jié)合現(xiàn)場的考察，針對本項目進行了研討（3名CCIE、2名安全運維工程師、2名安全服務工程師），從不同角度對技術安全方向進行風險分析，結(jié)論如下：缺乏對已知病毒的查殺能力（安全運維工程師）目前，網(wǎng)絡的接入單位尚未部署網(wǎng)絡防病毒軟件，無法提供對已知病毒的實時病毒檢測和查殺。缺乏對未知病毒或者病毒變種的防御能力（安全運維工程師）目前，外網(wǎng)的未知病毒、數(shù)據(jù)庫變種蠕蟲病毒、間諜程序、游戲木馬等未知病毒或者病毒變種頻頻爆發(fā)，嚴重影響正常的教學業(yè)務，單純依靠“特征碼技術”已經(jīng)不能適應反病毒需求。外部網(wǎng)絡攻擊（CCIE）網(wǎng)絡接入的部門尚未部署相應的防攻擊安全產(chǎn)品，而學校內(nèi)部可訪問互聯(lián)網(wǎng)及外網(wǎng)的信息點較多，師生上網(wǎng)經(jīng)常帶來一些無意的黑客攻擊和網(wǎng)絡木馬，導致校園網(wǎng)網(wǎng)絡堵塞。內(nèi)部網(wǎng)絡攻擊（CCIE）無惡意內(nèi)部人員：內(nèi)部人員由于缺乏責任心，或者由于不關心和不專注，或者沒有遵循規(guī)章制度和操作流程而導致故障或被攻擊；內(nèi)部人員由于缺乏培訓，專業(yè)技能不足，不具備崗位技能要求而導致信息系統(tǒng)故障或被攻擊。惡意內(nèi)部人員：不滿的或有預謀的內(nèi)部人員對信息系統(tǒng)進行惡意破壞；采用自主的或內(nèi)外勾結(jié)的方式盜竊機密信息或進行篡改，獲取利益。非法發(fā)布、傳播黃色、反動、敏感信息（安全服務工程師）不健康及反動信息借助網(wǎng)絡這一方便的傳播工具正在逐漸侵害著學生們的正確人生觀。大多數(shù)被調(diào)查的教師和學生都反應曾發(fā)現(xiàn)黃色、暴力和一些成人信息在本校網(wǎng)上傳播，雖然發(fā)現(xiàn)后被立刻制止，但令他們擔憂的是：越來越多的學生加入到這個行列，而且手法越來越隱蔽，僅憑教師的監(jiān)控往往無濟于事，并且造成極大的政治影響。外部設備非法接入（安全運維工程師）由于缺乏外設非法接入監(jiān)控手段，一些師生常常將自己的筆記本、電腦等非法接入教育城域網(wǎng)，往往這些電腦缺乏足夠的安全防范措施，如沒有安裝防病毒軟件、桌面防火墻等，給教育城域網(wǎng)帶來了間諜軟件、惡意程序和計算機病毒，導致了系統(tǒng)網(wǎng)絡資源耗盡、內(nèi)網(wǎng)病毒泛濫等一系列安全問題。6.2安全防護措施安全技術解決方案：1、隨著公司網(wǎng)絡的增加，原有出口的藍盾千兆防火墻從性能上已經(jīng)不能滿足目前的應用，建議原有的藍盾千兆防火墻部署于內(nèi)網(wǎng)服務器區(qū)出口處，重點保護對內(nèi)服務器區(qū)域。部署1臺萬兆高性能防火墻BDFWH-G5000-KP型替代原有的防火墻，將對外服務器區(qū)連接與該高性能防火墻的DMZ區(qū)域，同時分擔整個區(qū)教育城域網(wǎng)的進出流量。萬兆高性能防火墻基于電信級架構(gòu)，專用智能安全芯片及多核（128）并行處理能力，既成功解決了帶寬問題，全雙工吞吐量FDT最大支持高達12Gbps，又實現(xiàn)了高層應用業(yè)務的全面支持能力。2、為了減輕信息安全管理員的操作負擔，提高管理效率。在信息中心部署一套藍盾基于等級保護的綜合安全管理及預警平臺，該平臺可實現(xiàn)對網(wǎng)絡安全設備的管理（防火墻、入侵檢測、漏洞掃描、防病毒、安全審計等）、異常檢測預警（異常流量、異常連接、群發(fā)垃圾郵件、變種病毒、資源濫用等）、資產(chǎn)安全風險管理（主機資產(chǎn)屬性、主機風險管理、安全事件管理）、安全服務管理（安全評估、安全加固、應急響應、方案報告等管理）、等級保護評估（系統(tǒng)定級、評估指標對比、安全策略設計、安全實施）。3、為了解決桌面主機安全問題（ARP欺騙、網(wǎng)絡風暴、黑客攻擊等），并對桌面主機的上網(wǎng)行為進行控制，實現(xiàn)對未知病毒或者病毒變種的免疫隔離，防止敏感信息泄露，在二期教育城域網(wǎng)中部署內(nèi)網(wǎng)主機安全保密及審計系統(tǒng)一套。在系統(tǒng)由兩部分組成：控制中心軟件：在各個學校服務器上安裝分控制中心軟件，在信息中心安裝總控制中心軟件。主機代理軟件：安裝于城域網(wǎng)所有的服務器和重要主機上，實現(xiàn)桌面主機安全，并對桌面主機的上網(wǎng)行為進行控制，實現(xiàn)補丁自動分發(fā)更新、ARP病毒的免疫與清除，未知或變種病毒、木馬的發(fā)現(xiàn)與隔離（彌補殺毒系統(tǒng)的不足），大規(guī)模網(wǎng)絡安全事件的應急防御（通過中心制定應急安全策略，統(tǒng)一分發(fā)）。4、隨著業(yè)務系統(tǒng)和支撐系統(tǒng)的發(fā)展及內(nèi)部用戶的