企業(yè)廠區(qū)組網(wǎng)方案

課程設(shè)計(jì)題目：企業(yè)廠區(qū)網(wǎng)絡(luò)組建與配置目錄TOC\o"1-5"\h\z\o"CurrentDocument"引言 4\o"CurrentDocument"1需求分析 5\o"CurrentDocument"1.1項(xiàng)目介紹 5\o"CurrentDocument"1.2項(xiàng)目方組網(wǎng)要求 5\o"CurrentDocument"1.3接入點(diǎn)統(tǒng)計(jì) 5\o"CurrentDocument"1.4安全需求 5\o"CurrentDocument"2網(wǎng)絡(luò)設(shè)計(jì)原則 6\o"CurrentDocument"3IP地址以及Vlan規(guī)劃 .7\o"CurrentDocument"3.1IP地址規(guī)劃原則 .73.2具體設(shè)計(jì) 8\o"CurrentDocument"4網(wǎng)絡(luò)總體設(shè)計(jì) 9\o"CurrentDocument"4.1網(wǎng)絡(luò)拓?fù)鋱D 94.2網(wǎng)絡(luò)拓?fù)涿枋?9\o"CurrentDocument"4.3區(qū)域設(shè)計(jì) 10\o"CurrentDocument"4.4技術(shù)選型 10\o"CurrentDocument"4.5網(wǎng)絡(luò)安全 10\o"CurrentDocument"4.5.1網(wǎng)絡(luò)物理是否安全 10\o"CurrentDocument"4.5.2網(wǎng)絡(luò)平臺(tái)是否安全 11\o"CurrentDocument"4.5.3系統(tǒng)是否安全 12\o"CurrentDocument"4.5.4應(yīng)用是否安全 12\o"CurrentDocument"4.5.5管理是否安全 12\o"CurrentDocument"4.5.6人為惡意攻擊手段 13\o"CurrentDocument"4.5.7數(shù)據(jù)備份與恢復(fù) 13\o"CurrentDocument"4.5.8虛擬專用網(wǎng)絡(luò)（VPN） 14\o"CurrentDocument"5設(shè)備選型 14\o"CurrentDocument"5.1設(shè)備選型 145.2設(shè)備介紹 15\o"CurrentDocument"6設(shè)備配置與驗(yàn)證 16\o"CurrentDocument"6.1接入層交換機(jī)配置 16\o"CurrentDocument"6.2接入層交換機(jī)配置驗(yàn)證 17\o"CurrentDocument"6.3核心交換機(jī)配置 19\o"CurrentDocument"6.4核心交換機(jī)配置驗(yàn)證 21\o"CurrentDocument"6.5出口設(shè)備配置 24\o"CurrentDocument"7總結(jié) 26引言從1959年ARPA建立了ARPANET網(wǎng)開始，互聯(lián)網(wǎng)只經(jīng)過短短四十多年的發(fā)展，今天，網(wǎng)絡(luò)已經(jīng)開始對(duì)整個(gè)經(jīng)濟(jì)體系產(chǎn)生影響。網(wǎng)絡(luò)將像電話、汽車等的發(fā)明一樣產(chǎn)生深刻影響，并比他們的影響更深遠(yuǎn)。許多發(fā)達(dá)國(guó)家和一些發(fā)展中國(guó)家也相繼提出了本國(guó)或本地區(qū)的信息基礎(chǔ)設(shè)施計(jì)劃。可以說，信息化程度已成為衡量一個(gè)國(guó)家現(xiàn)代化水平和綜合國(guó)力強(qiáng)弱的重要標(biāo)志。如果網(wǎng)絡(luò)沒有被有效的利用到現(xiàn)代企業(yè)的發(fā)展中，那么中國(guó)企業(yè)的信息化建設(shè)將普遍滯后，未能從戰(zhàn)略的高度把信息化作為企業(yè)自我發(fā)展的內(nèi)在需求，未能把網(wǎng)絡(luò)提供的市場(chǎng)機(jī)會(huì)和管理運(yùn)營(yíng)創(chuàng)新作為企業(yè)提高競(jìng)爭(zhēng)力的有效途徑和企業(yè)可持續(xù)發(fā)展的新的增長(zhǎng)點(diǎn)。對(duì)大多數(shù)企業(yè)而言，成長(zhǎng)方式、經(jīng)營(yíng)模式、運(yùn)行機(jī)制和組織結(jié)構(gòu)等都還沿著用工業(yè)經(jīng)濟(jì)條件下的那一套，很多企業(yè)內(nèi)部聯(lián)網(wǎng)都沒有建立，遠(yuǎn)不能適應(yīng)網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展對(duì)企業(yè)的需要和要求。企業(yè)信息化滯后是構(gòu)成網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展的“瓶頸”，企業(yè)的良好發(fā)展當(dāng)然也無從談起?；谏厦嬉幌盗兄袊?guó)企業(yè)面臨的信息化問題，中國(guó)企業(yè)能否實(shí)現(xiàn)信息化已經(jīng)成為企業(yè)能否順利發(fā)展的必要條件。信息技術(shù)作為新技術(shù)革命的核心.具有高增值性、高滲透性，以極強(qiáng)的親和力和擴(kuò)散速度向經(jīng)濟(jì)各部門滲透，使其結(jié)構(gòu)和效益發(fā)生根本性改變。信息化已成為當(dāng)代經(jīng)濟(jì)發(fā)展與社會(huì)進(jìn)步的巨大推力。1需求分析1.1項(xiàng)目介紹該企業(yè)為了適應(yīng)現(xiàn)代化辦公需要，決定建設(shè)自己的網(wǎng)絡(luò)。該企業(yè)分為新廠區(qū)和老廠區(qū)，該項(xiàng)目負(fù)責(zé)新廠區(qū)的組網(wǎng)方案。新廠區(qū)分為A區(qū)、B區(qū)、C區(qū)以及D區(qū)。A區(qū)為核心區(qū)域，嚴(yán)格控制其它區(qū)域訪問控制。B區(qū)、C區(qū)和D區(qū)在建造時(shí)采用相同的設(shè)計(jì)結(jié)構(gòu)。1.2項(xiàng)目方組網(wǎng)要求1＞成本控制2＞訪問控制3＞雙出口1.3接入點(diǎn)統(tǒng)計(jì)接入點(diǎn)統(tǒng)計(jì)如下表：接入點(diǎn)統(tǒng)計(jì)區(qū)域接入點(diǎn)流量A區(qū)240480B區(qū)120240C區(qū)120240D區(qū)120240總計(jì)60012001.4安全需求1＞內(nèi)部網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)2＞內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)安全3＞內(nèi)部網(wǎng)絡(luò)設(shè)備安全4＞內(nèi)部用戶接入安全5＞內(nèi)部網(wǎng)絡(luò)訪問控制6＞外部網(wǎng)絡(luò)訪問控制2網(wǎng)絡(luò)設(shè)計(jì)原則運(yùn)用國(guó)內(nèi)外的成熟、先進(jìn)技術(shù)，把握計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的大趨勢(shì)， 結(jié)合實(shí)際情況、特點(diǎn)、使用需求及未來發(fā)展，提出以下建設(shè)原則：2.1經(jīng)濟(jì)適用性升級(jí)擴(kuò)容信息網(wǎng)絡(luò)必須經(jīng)濟(jì)實(shí)用且具有很高的性能價(jià)格比。2.2系統(tǒng)可靠性和穩(wěn)定性系統(tǒng)的高可靠性和穩(wěn)定性是網(wǎng)絡(luò)系統(tǒng)應(yīng)用環(huán)境正常運(yùn)行的首要條件。在保證系統(tǒng)可靠性的基礎(chǔ)上，進(jìn)一步提高系統(tǒng)的可用性。網(wǎng)絡(luò)的高可靠性、穩(wěn)定性就是保證網(wǎng)絡(luò)可以在任何時(shí)間、任何地點(diǎn)提供信息訪問服務(wù)。設(shè)備要有可靠的質(zhì)量，并支持熱插拔特性及線路、電源備份，以保持一個(gè)穩(wěn)定的運(yùn)行環(huán)境。2.3系統(tǒng)實(shí)用性和可管理性當(dāng)今世界，通信技術(shù)和計(jì)算機(jī)技術(shù)的發(fā)展日新月異，網(wǎng)絡(luò)設(shè)計(jì)既要適應(yīng)新技術(shù)發(fā)展的潮流，保證系統(tǒng)的先進(jìn)性，選擇代表世界先進(jìn)水平的技術(shù)和設(shè)備，不使投資的設(shè)備在短時(shí)間內(nèi)落伍。但也要兼顧技術(shù)的成熟性、標(biāo)準(zhǔn)性、實(shí)用性考慮，不采用還未成為標(biāo)準(zhǔn)的技術(shù)及設(shè)備接口，也要兼顧技術(shù)的成熟性、實(shí)用性降低由于新技術(shù)和新產(chǎn)品不成熟等因素給用戶帶來的風(fēng)險(xiǎn)。網(wǎng)絡(luò)設(shè)計(jì)中，選擇先進(jìn)的網(wǎng)絡(luò)管理軟件是必不可少的。通過這個(gè)管理平臺(tái)的控制，監(jiān)控主機(jī)、網(wǎng)絡(luò)設(shè)備狀態(tài)，故障報(bào)警，從而簡(jiǎn)化了管理工作，提高了主機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的利用效率。2.4系統(tǒng)可擴(kuò)展性和開放性在網(wǎng)絡(luò)設(shè)計(jì)時(shí)，首先要滿足現(xiàn)有規(guī)模網(wǎng)絡(luò)用戶和應(yīng)用的需求，同時(shí)考慮未來業(yè)務(wù)發(fā)展、規(guī)模的擴(kuò)大，應(yīng)該設(shè)計(jì)關(guān)鍵網(wǎng)絡(luò)設(shè)備具備擴(kuò)展能力以及網(wǎng)絡(luò)實(shí)施新應(yīng)用的能力。同時(shí)，設(shè)備應(yīng)采用開放技術(shù)、支持標(biāo)準(zhǔn)協(xié)議，具有良好的互連互通性，能夠支持同一廠家的不同系列的產(chǎn)品以及不同廠家的產(chǎn)品之間的無縫連接與通信。靈活擴(kuò)充性：靈活的端口擴(kuò)充能力，模塊擴(kuò)充能力，滿足網(wǎng)絡(luò)規(guī)模的擴(kuò)充。支持新應(yīng)用的能力：產(chǎn)品具有支持新應(yīng)用的技術(shù)準(zhǔn)備，能夠符合實(shí)際要求的，方便快捷地實(shí)施新應(yīng)用。在公司內(nèi)采用統(tǒng)一的網(wǎng)絡(luò)體系結(jié)構(gòu)，統(tǒng)一網(wǎng)絡(luò)協(xié)議。圍繞著統(tǒng)一網(wǎng)絡(luò)體系結(jié)構(gòu)，確定網(wǎng)絡(luò)互連結(jié)構(gòu)，網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)應(yīng)用。2.5系統(tǒng)安全性和保密性安全性是網(wǎng)絡(luò)運(yùn)行的生命線。對(duì)人員、設(shè)備的安全有所考慮；對(duì)網(wǎng)絡(luò)系統(tǒng)安全的考慮。硬件設(shè)備采用具有自主知識(shí)產(chǎn)權(quán)的設(shè)備，支持多種數(shù)字認(rèn)證和加密方法，嗎組電子政務(wù)網(wǎng)絡(luò)安全性需求。網(wǎng)絡(luò)架構(gòu)方面，根據(jù)國(guó)家對(duì)電子政務(wù)網(wǎng)絡(luò)的要求，實(shí)現(xiàn)內(nèi)外網(wǎng)隔離。合理的網(wǎng)絡(luò)安全控制，可以使應(yīng)用環(huán)境中的信息資源得到有效的保護(hù)。網(wǎng)絡(luò)可以阻止任何非法的操作；網(wǎng)絡(luò)設(shè)備可進(jìn)行基于協(xié)議、基于IP地址的包過濾控制功能，不同的業(yè)務(wù)，劃分到不同的虛網(wǎng)中。3IP地址以及Vlan規(guī)劃3.1IP地址規(guī)劃原則該企業(yè)使用私有IP地址來規(guī)劃內(nèi)網(wǎng)IP地址，選擇/16地址。IP地址規(guī)劃分為四塊：用戶地址、設(shè)備互聯(lián)地址、設(shè)備管理地址以及服務(wù)器地址。用戶IP地址：/24—/24設(shè)備管理IP地址：/24設(shè)備互聯(lián)IP地址：/24服務(wù)器IP地址：/241＞終端設(shè)備IP地址規(guī)劃終端設(shè)備IP以及Vlan規(guī)劃區(qū)域網(wǎng)段默認(rèn)網(wǎng)關(guān)vlan號(hào)Vlan名A區(qū)/2410area-AB區(qū)/2520area-BC區(qū)28/252830area-CD區(qū)/2540area-Dserverl/30server2/30sever3/300DMZ-server3/3042＞設(shè)備管理IP地址規(guī)劃設(shè)備管理IP地址規(guī)劃區(qū)域管理IP/32設(shè)備命名A區(qū)Switch-A1Switch-A2Switch-A3Switch-A4Switch-A5B區(qū)Switch-B1Switch-B2Switch-B3C區(qū)Switch-C10Switch-C21Switch-C3D區(qū)2Switch-D13Switch-D24Switch-D33＞設(shè)備互聯(lián)IP地址規(guī)劃設(shè)備互聯(lián)IP規(guī)劃使用位置IP網(wǎng)段備注核心交換機(jī)防火墻/30/24網(wǎng)絡(luò)用作設(shè)備IP核心交換機(jī)老廠區(qū)/304網(wǎng)絡(luò)總體設(shè)計(jì)4.1網(wǎng)絡(luò)拓?fù)鋱D基于該企業(yè)現(xiàn)有結(jié)構(gòu)，分為A區(qū)域、B區(qū)域、C區(qū)域、D區(qū)域，加上出口內(nèi)部服務(wù)器群以及老廠區(qū)，分為七個(gè)模塊來設(shè)計(jì)的。該網(wǎng)絡(luò)設(shè)計(jì)的整體結(jié)構(gòu)采用的是單核心單鏈路，使用防火墻做網(wǎng)絡(luò)出口，按照企業(yè)的要求，為雙出口，電線和聯(lián)通。4.3區(qū)域設(shè)計(jì)A區(qū)A區(qū)共有240個(gè)接入點(diǎn)，需要使用5臺(tái)交換機(jī)，設(shè)計(jì)時(shí)，該區(qū)總流量為480M,選取設(shè)備完全能拿承受五個(gè)接入層交換機(jī)級(jí)聯(lián)方式。使用一條千兆多模光纖和核心設(shè)備連接。B區(qū)、C區(qū)、D區(qū)該區(qū)120個(gè)接入點(diǎn)，需要使用3臺(tái)交換機(jī)，級(jí)聯(lián)后使用一條千兆上行線路和核心設(shè)備連接。4.4技術(shù)選型參加設(shè)備配置章節(jié)。4.5網(wǎng)絡(luò)安全這個(gè)企業(yè)的局域網(wǎng)是一個(gè)信息點(diǎn)較為密集的萬兆局域網(wǎng)絡(luò)系統(tǒng)，它所聯(lián)接的現(xiàn)有上千個(gè)信息點(diǎn)為在整個(gè)企業(yè)內(nèi)辦公的各部門提供了一個(gè)快速、方便的信息交流平臺(tái)。不僅如此，通過專線與Internet的連接，打通了一扇通向外部世界的窗戶，各個(gè)部門可以直接與互聯(lián)網(wǎng)用戶進(jìn)行交流、查詢資料等。通過對(duì)外服務(wù)器，企業(yè)可以直接對(duì)外發(fā)布信息或者發(fā)送電子郵件。高速交換技術(shù)的采用、靈活的網(wǎng)絡(luò)互連方案設(shè)計(jì)為用戶提供快速、方便、靈活通信平臺(tái)的同時(shí)，也為網(wǎng)絡(luò)的安全帶來了更大的風(fēng)險(xiǎn)。因此，實(shí)施一套完整、可操作的安全解決方案不僅是可行的，而且是必需的。網(wǎng)絡(luò)安全可以從以下幾個(gè)方面來理解：4.5.1網(wǎng)絡(luò)物理是否安全網(wǎng)絡(luò)的物理安全主要指地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線路截獲等。它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。在這個(gè)企業(yè)區(qū)局域網(wǎng)內(nèi)，由于網(wǎng)絡(luò)的物理跨度不大，只要制定健全的安全管理制度，做好備份，并且加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房的管理，這些風(fēng)險(xiǎn)是可以避免的。保證網(wǎng)絡(luò)的物理安全主要包括三個(gè)方面：環(huán)境安全：對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；（參見國(guó)家標(biāo)準(zhǔn)GB50173-93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、國(guó)標(biāo)GB2887-89《計(jì)算站場(chǎng)地技術(shù)條件》、GB9361-88《計(jì)算站場(chǎng)地安全要求》）設(shè)備安全：主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等；媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。4.5.2網(wǎng)絡(luò)平臺(tái)是否安全網(wǎng)絡(luò)結(jié)構(gòu)的安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等。企業(yè)局域網(wǎng)內(nèi)服務(wù)器區(qū)（包括對(duì)內(nèi)、對(duì)外服務(wù)器）作為公司的信息發(fā)布和共享的平臺(tái)，一旦不能運(yùn)行或者受到攻擊，對(duì)企業(yè)的聲譽(yù)影響巨大。我們有必要將對(duì)外服務(wù)器、對(duì)內(nèi)服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時(shí)還要對(duì)外網(wǎng)的服務(wù)請(qǐng)求加以過濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其他的請(qǐng)求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。安全的應(yīng)用往往是建立在網(wǎng)絡(luò)系統(tǒng)之上的。網(wǎng)絡(luò)系統(tǒng)的成熟與否直接影響安全系統(tǒng)成功的建設(shè)。在這個(gè)企業(yè)局域網(wǎng)絡(luò)系統(tǒng)中，使用了一臺(tái)路由器和一個(gè)防火墻，用作與Internet連結(jié)的邊界路由器，網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)簡(jiǎn)單，具體配置時(shí)可以考慮使用靜態(tài)路由，這就大大減少了因網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)路由造成的安全風(fēng)險(xiǎn)。防火墻具有以下五大基本功能：過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和告警。4.5.3系統(tǒng)是否安全系統(tǒng)的安全是指整個(gè)局域網(wǎng)網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信任。沒有完全安全的操作系統(tǒng)。但我們可以對(duì)現(xiàn)有的操作平臺(tái)進(jìn)行安全配置、對(duì)操作和訪問權(quán)限進(jìn)行嚴(yán)格控制，提高系統(tǒng)的安全性。因此，不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺(tái)。而且，必須加強(qiáng)登錄過程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。4.5.4應(yīng)用是否安全應(yīng)用的安全性涉及到：機(jī)密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。由于這個(gè)企業(yè)局域網(wǎng)跨度不大，絕大部分重要信息都在內(nèi)部傳遞，因此信息的機(jī)密性和完整性是可以保證的。對(duì)于有些特別重要的信息需要對(duì)內(nèi)部進(jìn)行保密的（比如財(cái)務(wù)系統(tǒng)傳遞的重要信息）可以考慮在應(yīng)用級(jí)進(jìn)行加密，針對(duì)具體的應(yīng)用直接在應(yīng)用系統(tǒng)開發(fā)時(shí)進(jìn)行加密。此外，進(jìn)行訪問控制，內(nèi)外網(wǎng)的隔離以及內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離，是必須的。設(shè)置隔離區(qū)（DMZ），把郵件等服務(wù)器放到該區(qū)，并把該區(qū)的服務(wù)器映射到外網(wǎng)的合法地址上以便Internet網(wǎng)上用戶訪問。嚴(yán)禁Internet網(wǎng)上用戶到企業(yè)內(nèi)部網(wǎng)的訪問。4.5.5管理是否安全管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)，使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進(jìn)入機(jī)房重地，或者員工有意無意泄漏他們所知道的一些重要信息，而管理上卻沒有相應(yīng)制度來約束。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對(duì)站點(diǎn)的訪問活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結(jié)合。4.5.6人為惡意攻擊手段人為惡意攻擊手段包括黑客攻擊，惡意代碼，病毒攻擊，內(nèi)部員工的破壞等。黑客們的攻擊行動(dòng)是無時(shí)無刻不在進(jìn)行的，而且會(huì)利用系統(tǒng)和管理上的一切可能利用的漏洞。為了防止黑客入侵，需要設(shè)置服務(wù)器權(quán)限，使得它不離開自己的空間而進(jìn)入另外的目錄。另外，還應(yīng)設(shè)置組特權(quán)，不允許任何使用服務(wù)器的人訪問WWW頁面文件以外的東西。在這個(gè)企業(yè)的局域網(wǎng)內(nèi)我們可以綜合采用防火墻技術(shù)、Web頁面保護(hù)技術(shù)、入侵檢測(cè)技術(shù)、安全評(píng)估技術(shù)來保護(hù)網(wǎng)絡(luò)內(nèi)的信息資源，防止黑客攻擊。網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒和消毒三種技術(shù)：預(yù)防病毒技術(shù)：它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)進(jìn)行破壞。這類技術(shù)有，加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制（如防病毒軟件等）。檢測(cè)病毒技術(shù)：它是通過對(duì)計(jì)算機(jī)病毒的特征來進(jìn)行判斷的技術(shù)，如自身校驗(yàn)、關(guān)鍵字、文件長(zhǎng)度的變化等。清除病毒技術(shù)：它通過對(duì)計(jì)算機(jī)病毒的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。4.5.7數(shù)據(jù)備份與恢復(fù)數(shù)據(jù)的安全對(duì)企業(yè)來說是至關(guān)重要的，但是沒有絕對(duì)的安全，因此對(duì)數(shù)據(jù)的備份是必不可少的。備份系統(tǒng)為一個(gè)目的而存在：盡可能快地全盤恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。根據(jù)系統(tǒng)安全需求可選擇的備份機(jī)制有：場(chǎng)點(diǎn)內(nèi)高速度、大容量自動(dòng)的數(shù)據(jù)存儲(chǔ)、備份與恢復(fù)；場(chǎng)點(diǎn)外的數(shù)據(jù)存儲(chǔ)、備份與恢復(fù)；對(duì)系統(tǒng)設(shè)備的備份。備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時(shí)起到保護(hù)作用，也在入侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊及破壞數(shù)據(jù)完整性時(shí)起到保護(hù)作用，同時(shí)亦是系統(tǒng)災(zāi)難恢復(fù)的前提之一。4.5.8虛擬專用網(wǎng)絡(luò)（VPN）虛擬專用網(wǎng)（vpn）被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。使用這條隧道可以對(duì)數(shù)據(jù)進(jìn)行幾倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的壓網(wǎng)絡(luò)上，一個(gè)企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同時(shí)，這將簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理，加速連接新的用戶和網(wǎng)站。另外，虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。5設(shè)備選型5.1設(shè)備選型具體設(shè)備選型參加下表：設(shè)備選型設(shè)備類型數(shù)量型號(hào)核心設(shè)備1RG-S5750S24GT/12SFP接入層交換機(jī)14RG-2652G出口設(shè)備1RG-WALL16005.2設(shè)備介紹核心交換機(jī)：RG-S5750S24GT/12SFPRG-S5750系列是銳捷網(wǎng)絡(luò)推出的融合了高性能、高安全、多智能、易用性的新一代萬兆機(jī)架式多層交換機(jī)。該系列交換機(jī)提供的接口形式和組合非常靈活，即可以提供24個(gè)或48個(gè)10/100/1000M自適應(yīng)的千兆電口，又可以提供有24個(gè)SFP千兆光口，又能提供PoE遠(yuǎn)程供電的接口。接入交換機(jī)：RG-2652GRG-S2300系列是銳捷網(wǎng)絡(luò)為滿足構(gòu)建多業(yè)務(wù)支持，易管理，高安全網(wǎng)絡(luò)量身定制的以太網(wǎng)交換機(jī)。靈活的端口形態(tài)為網(wǎng)絡(luò)架構(gòu)提供方便，也為未來網(wǎng)絡(luò)擴(kuò)展提供投資保護(hù)。支持混合堆疊，方便用戶增加端口密度。通過實(shí)施多種多樣的安全策略，有效防止和控制網(wǎng)絡(luò)病毒的擴(kuò)散。更可提供基于硬件的IPv6ACL，方便未來網(wǎng)絡(luò)的升級(jí)擴(kuò)展。高級(jí)QoS機(jī)制適應(yīng)網(wǎng)絡(luò)中多業(yè)務(wù)的順利開展，為服務(wù)質(zhì)量提供保證。防火墻：RG-WALL1600RG-WALL系列采用銳捷網(wǎng)絡(luò)獨(dú)創(chuàng)的分類算法(ClassificationAlgorithm)設(shè)計(jì)的新一代安全產(chǎn)品——第三類防火墻，支持?jǐn)U展的狀態(tài)檢測(cè)(StatefulInspection)技術(shù)，具備高性能的網(wǎng)絡(luò)傳輸功能；同時(shí)在啟用動(dòng)態(tài)端口應(yīng)用程序(如VoIP、H.323等)時(shí)，可提供強(qiáng)有力的安全信道。6設(shè)備配置與驗(yàn)證6.1接入層交換機(jī)配置僅以A區(qū)接入層交換機(jī)為例：Router>enRouter#vlandataRouter(vlan)#vlan10namearea-AVLAN10added:Name:area-ARouter(vlan)#exitAPPLYcompleted.Exiting....===========================Vlan配置=========================Router#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hosswitch-A1switch-A1(config)#intf0/0switch-A1(config-if)#swmodetrunkswitch-A1(config-if)#intrangef0/1-15switch-A1(config-if-range)#swmodaccswitch-A1(config-if-range)#swaccvlan10*Mar100:02:45.291:%DTP-5-TRUNKPORTON:PortFa0/0hasbecomedot1qtrunkswitch-A1(config-if-range)#switch-A1(config-if-range)#intvlan10switch-A1(config-if)#ipaddswitch-A1(config-if)#end=====================設(shè)備命名以及接口基本配置====================switch-A1#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.switch-A1(config)#ipdhcpexcluded-addressswitch-A1(config)#ipdhcppoolvlan10switch-A1(dhcp-config)#network/24switch-A1(dhcp-config)#default-routerswitch-A1(dhcp-config)#end===========================DHCP配置================================switch-A1#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.switch-A1(config)#enablepassword321switch-A1(config)#linevty04switch-A1(config-line)#passwordabcswitch-A1(config-line)#loginswitch-A1(config-line)#exitswitch-A1(config)#lineconsole0switch-A1(config-line)#password123switch-A1(config-line)#loginswitch-A1(config-line)#exitswitch-A1(config)#==========================登陸密碼配置==========================6.2接入層交換機(jī)配置驗(yàn)證switch-A1#showvlan-sVLANNameStatusPorts1 default-active10area-AactiveFa0/1,Fa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/6,Fa0/7,Fa0/8Fa0/9,Fa0/10,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/151002fddi-defaultactive1003token-ring-defaultactive1004fddinet-defaultactive1005trnet-defaultactiveVLANTypeSAID MTUParentRingNoBridgeNoStpBrdgModeTrans1Trans21enet1000011500- -- - -1002100310enet1000101500- -- - -001002fddi1010021500- -- - -110031003tr10100315001005 0- -srb110021004fdnet1010041500- -1 ibm-001005trnet1010051500- -1 ibm-00switch-A1#showipintbInterfaceIP-AddressOK?MethodStatusProtocolFastEthernet0/0unassignedYESunsetupupFastEthernet0/1unassignedYESunsetupupFastEthernet0/2unassignedYESunset updownFastEthernet0/3unassignedYESunset updownFastEthernet0/4unassignedYESunset updownFastEthernet0/5unassignedYESunset upFastEthernet0/6downunassignedYESunsetupFastEthernet0/7downunassignedYESunsetupFastEthernet0/8downunassignedYESunsetupFastEthernet0/9downunassignedYESunsetupFastEthernet0/10downunassignedYESunsetupFastEthernet0/11downunassignedYESunsetupFastEthernet0/12downunassignedYESunsetupFastEthernet0/13downunassignedYESunsetupFastEthernet0/14downunassignedYESunsetupFastEthernet0/15downunassignedYESunsetupVlan1unassignedYESunsetupupVlan10YESmanualupupswitch-A1#showintstatusPortNameStatusVlanDuplexSpeedTypeFa0/0connectedtrunka-fulla-10010/100BaseTXFa0/1connected10a-fulla-10010/100BaseTXFa0/2notconnect10autoauto10/100BaseTXFa0/3notconnect10autoauto10/100BaseTXFa0/4notconnect10autoauto10/100BaseTXFa0/5notconnect10autoauto10/100BaseTXFa0/6notconnect10autoauto10/100BaseTXFa0/7notconnect10autoauto10/100BaseTXFa0/8notconnect10autoauto10/100BaseTXFa0/9notconnect10autoauto10/100BaseTXFa0/10notconnect10autoauto10/100BaseTXFa0/11notconnect10autoauto10/100BaseTXFa0/12notconnect10autoauto10/100BaseTXFa0/13notconnect10autoauto10/100BaseTXFa0/14notconnect10autoauto10/100BaseTXFa0/15notconnect10autoauto10/100BaseTXswitch-A1#6.3核心交換機(jī)配置Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hoscorecore(config)#endcore#vlandatacore(vlan)#vlan10namearea-AVLAN10added:Name:area-Acore(vlan)#vlan20namearea-BVLAN20added:Name:area-Bcore(vlan)#vlan30namearea-CVLAN30added:Name:area-Ccore(vlan)#vlan40namearea-DVLAN40added:Name:area-Dcore(vlan)#exitAPPLYcompleted.Exiting....============================Vlan配置===========================core#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.core(config)#intvlan10core(config-if)#ipaddcore(config-if)#intvlan20core(config-if)#ipadd28core(config-if)#intvlan30core(config-if)#ipadd2828Badmask/25foraddress28core(config-if)#intvlan40core(config-if)#ipadd28core(config-if)#end*Mar100:00:46.687:%SYS-5-CONFIG_I:Configuredfromconsolebyconsolecore#*Mar100:00:49.939:%SYS-5-CONFIG_I:Configuredfromconsolebyconsolecore#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.core(config)#intrangef0/0-3core(config-if-range)#swmodtrunkcore(config-if-range)#intrangef0/4-8core(config-if-range)#noswitchcore(config-if-range)#intf0/0core(config-if)#descriptionconn-to-area-Acore(config-if)#intf0/1core(config-if)#descriptionconn-to-area-Bcore(config-if)#intf0/2core(config-if)#descriptionconn-to-area-ccore(config-if)#intf0/3core(config-if)#descriptionconn-to-area-Dcore(config-if)#intf0/4core(config-if)#descriptionconn-t0-server-Acore(config-if)#ipadd52core(config-if)#intf0/5core(config-if)#descriptionconn-to-server-Bcore(config-if)#ipadd52core(config-if)#intf0/6core(config-if)#descriptionconn-to-server-Ccore(config-if)#ipadd52core(config-if)#intf0/7core(config-if)#ipadd52core(config-if)#descriptionconn-to-old-faccore(config-if)#intf0/8core(config-if)#ipadd52core(config-if)#descriptionconn-to-firewallcore(config-if)#endcore#*Mar100:01:10.767:%DTP-5-TRUNKPORTON:PortFa0/0-1hasbecomedot1qtrunk*Mar100:01:11.251:%SYS-5-CONFIG_I:Configuredfromconsolebyconsole*Mar100:01:11.267:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan10,changedstatetoup*Mar100:01:11.267:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan20,changedstatetoup*Mar100:01:11.275:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan30,changedstatetoup*Mar100:01:11.283:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan40,changedstatetoup*Mar 100:01:13.631:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/4,changed*Mar 100:01:13.695:statetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/5,changed*Mar 100:01:13.711:statetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/6,changed*Mar 100:01:13.719:statetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/7,changedstatetodown*Mar100:01:13.751:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/8,changedstatetoup================================基本接口配置================================core#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.core(config)#routerospf100TOC\o"1-5"\h\zcore(config-router)#net 55 a 0core(config-router)#net 27 a 0core(config-router)#net 28 27 a 0core(config-router)#net 27 a 0core(config-router)#net a 0core(config-router)#net a 0core(config-router)#net a 0core(config-router)#net a 0core(config-router)#net a 0core(config-router)#exit===============================路由配置========================core(config)#core(config)#$110denyip2755core(config)#access-list110permitipanyanycore(config)#$120denyip282755core(config)#access-list120permitipanyanycore(config)#$130denyip2755core(config)#access-list130permitipanyanycore(config)#intf0/0core(config-if)#ipaccess-group110incore(config-if)#intf0/1core(config-if)#ipaccess-group120incore(config-if)#intf0/2core(config-if)#ipaccess-group130incore(config-if)#end============================訪控列表配置=======================6.4核心交換機(jī)配置驗(yàn)證core#core#showvlan-sVLANName StatusPorts1 default active-Fa0/2,Fa0/3,Fa0/9,Fa0/10Fa0/11,Fa0/12,Fa0/13,Fa0/14Fa0/15

10area-A20area-B30area-C40area-Dfddi-defaulttoken-ring-defaultParentRiiactiveactiveactiveactiveactiveactivefddinet-defaulttrnet-defaultVLANTypeSAIDMTUactiveactiveigNoBridgeNoStpBrdgModeTrans1Trans21enet100001-1500-- - - 1002 100310enet1000101500- -- - - 0 020enet1000201500- -- - - 0 030enet1000301500- -- - - 0 040enet1000401500- -- - - 0 01002fddi1010021500- -- - - 1 1003VLANTypeSAIDMTUParentRingNoBridgeNoStpBrdgModeTrans1Trans21003tr101003-15001005 0- -srb 1 10021004fdnet1010041500- -1 ibm- 0 01005trnet101005core#showipintbriInterfaceProtocol1500- -1 ibm- 0 0IP-Address OK?MethodStatusFastEthernet0/0unassignedYESunsetup upFastEthernet0/1FastEthernet0/2downFastEthernet0/3downunassignedYESunsetup upunassigned YESunset upunassigned YESunset upFastEthernet0/4YESmanualup downFastEthernet0/5YESmanualup downFastEthernet0/6YESmanualup downFastEthernet0/7YESmanualup downFastEthernet0/8FastEthernet0/9downFastEthernet0/10downFastEthernet0/11downFastEthernet0/12YESmanualup upunassigned YES unset upunassigned YES unset upunassigned YES unset upunassigned YES unset upFastEthernet0/13unassignedYESunsetupdownFastEthernet0/14unassignedYESunsetupdownFastEthernet0/15unassignedYESunsetupdownVlan1unassignedYESunsetupupVlan10YESmanualupupVlan20YESmanualupupVlan30unassignedYESunsetupupVlan40YESmanualupupcore#showintstatuPortFa0/0Nameconn-to-area-AStatusconnectedVlantrunkDuplexSpeedTypea-fulla-10010/100BaseTXFa0/1conn-to-area-Bconnectedtrunka-fulla-10010/100BaseTXFa0/2conn-to-area-cnotconnect1autoauto10/100BaseTXFa0/3conn-to-area-Dnotconnect1autoauto10/100BaseTXFa0/4conn-t0-server-Anotconnectroutedautoauto10/100BaseTXFa0/5conn-to-server-Bnotconnectroutedautoauto10/100BaseTXFa0/6conn-to-server-Cnotconnectroutedautoauto10/100BaseTXFa0/7conn-to-old-facnotconnectroutedautoauto10/100BaseTXFa0/8conn-to-firewallconnectedroutedautoauto10/100BaseTXFa0/9notconnect1autoauto10/100BaseTXFa0/10notconnect1autoauto10/100BaseTXFa0/11notconnect1autoauto10/100BaseTXFa0/12notconnect1autoauto10/100BaseTXFa0/13notconnect1autoauto10/100BaseTXFa0/14notconnect1autoauto10/100BaseTXFa0/15core#:showiproutenotconnect1autoauto10/100BaseTXCodes:C-connected,S-static,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2i-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticrouteo-ODR,P-periodicdownloadedstaticrouteGatewayoflastresortistonetwork/16isvariablysubnetted,5subnets,3masksC/25isdirectlyconnected,Vlan40C/30isdirectlyconnected,FastEthernet0/8C /24 isdirectly connected, Vlan10C /25 isdirectly connected, Vlan20O 2/30 [110/2]via ,00:29:28, FastEthernet0/8O*E2/0[110/1] via,00:22:56,FastEthernet0/8core#6.5出口設(shè)備配置Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hosR-outR-out(config)#intf0/0R-out(config-if)#ipadd352R-out(config-if)#noshutR-out(config-if)#descriptionconn-to-DMZR-out(config-if)#intf1/0R-out(config-if)#ipadd52R-out(config-if)#noshutR-out(config-if)#descriptionconn-to-coreR-out(config-if)#ints2/0R-out(config-if)#ipadd52R-out(config-if)#noshutR-out(config-if)#descriptionconn-to-ChinaTelcomR-out(config-if)#ints2/1R-out(config-if)#ipadd52R-out(config-if)#noshutR-out(config-if)#descriptionconn-to-CNCR-out(config-if)#endR-out#*Mar100:01:32.147:%LINK-3-UPDOWN:InterfaceFastEthernet0/0,changedstatetoup*Mar100:01:32.331:%LINK-3-UPDOWN:InterfaceFastEthernet1/0,changedstatetoup*Mar100:01:32.427:%LINK-3-UPDOWN:InterfaceSerial2/0,changedstatetoup*Mar100:01:33.019:%SYS-5-CONFIG_I:Configuredfromconsolebyconsole*Mar 1 00:01:33.147: %LINEPROTO-5-