<关闭侧栏

| 当前位置: | 主页 > 年历史开奖记录 >

计算机网络技术 (毕业论文)docx

来源:未知 作者:admin 时间:2019-10-27 13:47 文字大小: 【大】 【中】 【小】 点击:
核心提示:1.本站不保证该用户上传的文档完整性,不预览、不比对内容而直接下载产生的反悔问题本站不予受理。 PAGE \* MERGEFORMAT 2 PAGE1 / NUMPAGES31 广东科学技术职业学院 计算机工程技术学院(软件学院) 毕 业 设 计 题目: 公司网络搭建与部署 专业: 计算机网络

  1.本站不保证该用户上传的文档完整性,不预览、不比对内容而直接下载产生的反悔问题本站不予受理。

  PAGE \* MERGEFORMAT 2 PAGE1 / NUMPAGES31 广东科学技术职业学院 计算机工程技术学院(软件学院) 毕 业 设 计 题目: 公司网络搭建与部署 专业: 计算机网络技术 班级: 学生姓名: 马进 学号: 6666666666 指导教师姓名: 职称: 2016年 1 月 5 日 摘要 六月网络有限公司刚刚成立,总部设于广州,分别在北京、上海都有分公司。现在需要为公司搭建网络,让总公司能够自由的与分公司互相访问资源,局域网内部人员可以自由的连上Internet网。该公司有财务部、人力资源部、产品部、技术部、销售部等部门;根据公司要求,为各个部门分配合适的IP地址段,做到无冲突,尽可能的节省IP地;最主要的是公司内部网络环境搭建与部署,内部网络路由协议、网络策略;总部与分部之间使用VPN、帧中继连接,远程移动客户端等;用思科的网络设备设计一套合理的方案,整体网络拓扑规划、工程实施方案、相关技术应用然后是调试。 关键词:WAN、VLAN、EIGRP、Telnet、SSH、ACL、VPN、帧中继、网络安全。 目录 TOC \o 1-3 \h \z \u HYPERLINK \l 第一章 一、概述 5 HYPERLINK \l 计算机网络发展历史 1.1 计算机网络的发展 5 HYPERLINK \l 公司网络规划概述 1.2 公司网络规划概述 5 HYPERLINK \l 公司网络安全 1.3 公司网络安全 6 HYPERLINK \l 第二章 二、项目工程简介 7 HYPERLINK \l 网络设计目标 2.1 网络设计目标 7 HYPERLINK \l 网络设备简介 2.2 网络设备简介 7 HYPERLINK \l 第三章 三、项目需求分析 8 HYPERLINK \l 公司网络总体需求 3.1 公司网络总体需求 8 HYPERLINK \l 公司网络功能需求 3.2 公司网络功能需求 8 HYPERLINK \l 第四章 四、项目设计与实施 9 HYPERLINK \l 项目设计 4.1 项目设计 9 HYPERLINK \l 网络拓扑图 4.1.1 网络拓扑图 9 HYPERLINK \l 公司网络规划 4.1.2 公司网络规划 HYPERLINK \l 公司网络规划 10 HYPERLINK \l 项目实施与实现 4.2 项目实施与实现 10 HYPERLINK \l VLAN配置 4.2.1 VLAN配置 11 HYPERLINK \l EIGRP路由协议 4.2.2 EIGRP路由协议 11 HYPERLINK \l Telnet远程 4.2.3 Telnet、SSH远程 12 HYPERLINK \l FTP备份与恢复 4.2.4 交换机配置管理FTP备份与恢复 13 HYPERLINK \l 帧中继虚拟电路 4.2.5 帧中继虚拟电路 14 HYPERLINK \l ACL访问控制 4.2.6 ACL访问控制 17 HYPERLINK \l VPN远程 4.2.7 VPN远程 21 HYPERLINK \l DHCP服务器配置 4.2.8 DHCP服务器配置 24 HYPERLINK \l 第五章 五、网络安全 26 HYPERLINK \l 安全风险分析 6.1安全风险分析 26 HYPERLINK \l 安全防护措施 6.2安全防护措施 27 HYPERLINK \l 安全拓扑 6.3安全拓扑 28 HYPERLINK \l 第六章六总结 六、总结 29 HYPERLINK \l 参考文献 参考文献 30 HYPERLINK \l 致谢 致谢 31 前言 六月网络有限公司刚刚成立我们将为它设计公司网络搭建拓扑图,以及实施拓扑图的内容,网络搭建的目的是为了公司内部人员能够通过访问Internet网找到自己想要的资源,当然还有解决总公司与分公司之间的互相访问,移动客户或者在外出差的员工访问公司内部网络资源。最重要的是网络安全,企业网络安全非常的重要,在网络搭建中我们将会用到蓝盾防火墙的一些设备,来为我们的网络建一个防护网。在这个网络时代有一个良好的网络环境能够提高公司员工的办事效率,使得业绩发展更好。 第一章 概述 1.1计算机网络的发展历史 计算机网络源于计算机与通信技术的结合,它经历了从简单到复杂、从单机到多机、从终端与计算机之间通信到计算机与计算机直接通信的发展时期。 早在20世纪50年代初,以单个计算机为中心的远程联机系统构成,开创了把计算机技术和通信技术相结合的尝试。这类简单的“终端——通信线路——面向终端的计算机”系统,构成了计算机网络的雏形。严格的说,它和现代的计算机网络相比,存在根本的区别。当时的系统除了一台中央计算机外,其余的终端设备没有独立处理数据的功能,当然还不能算是真正意义上的计算机网络。为了区别以后发展的多个计算机互联的计算机网络,称它为面向终端的计算机网络,又称为第一代计算机网络。从20世纪60年代中期开始,出现了若干个计算机主机通过通信线路互联的系统,开创了“计算机——计算机”通信的时代,并呈现出多个中心处理机的特点。 20世纪60年代后期, ARPANET网是由美国国防部高级研究计划局ARPA(目前称为DARPA,Defense Advanced Research Projects Agency)提供经费,联合计算机公司和大学共同研制而发展起来的,主要目标是借助通信系统,使网内各计算机系统间能够相互共享资源,它最初投入使用的是一个有4个节点的实验性网络。ARPANET网的出现,代表着计算机网络的兴起。人们称之为第二代计算机网络。20世纪70年代至80年代中期是 计算机网络发展最快的阶段,通信技术和计算机技术互相促进,结合更加紧密。局域网诞生并被推广使用,网络技术飞速发展。为了使不同体系结构的网络也能相互交换信息,国际标准化组织(ISO)于1978年成立了专门机构并制定了世界范围内的网络互联标准,称为开放系统互联参考模型OSI/RM(Open Systems Interconnection / Reference Model),简称OSI,人们称之为第三代计算机网络。 进入20世纪90年代后,局域网技术发展成熟,局域网已成为计算机网络结构的基本单元。网络间互联的要求越来越强烈,并出现了光纤及高速网络技术。随着多媒体、智能化网络的出现,整个系统就像一个对用户透明的大计算机系统,千兆位网络传输速率可达1G/s,它是实现多媒体计算机网络互联的重要技术基础。从1983年到1993年10年期间,Internet从一个小型的、实验型的研究项目,发展成为世界上最大的计算机网,从而真正实现了资源共享、数据通信和分布处理的目标。我们把它称为第四代计算机网络。 1.2公司网络规划概述 公司网络整体规划是一个总公司和两个分公司之间的通信,网络拓扑形成一个三角形,通过互联网供应商使他们连接起来,当然为了公司的需求我们也会向供应商买三条帧中继虚拟网络,VPN站点与站点的对接,远程访问。公司内部会根据实际需求设置VLAN,各个部门之间的通信要求尽量满足。 1.3 公司网络安全 网络结构 网络拓扑结构设计也直接影响到网络系统的 HYPERLINK /view/421194.htm \t _blank 安全性。假如在外部和 HYPERLINK /view/21848.htm \t _blank 内部网络进行通信时,内部网络的 HYPERLINK /view/126147.htm \t _blank 机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统。透过网络传播,还会影响到连上Internet/Intranet的其他的网络;影响所及,还可能涉及法律、 HYPERLINK /view/2761.htm \t _blank 金融等安全敏感领域。因此,我们在设计时有必要将公开 HYPERLINK /view/899.htm \t _blank 服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的 HYPERLINK /view/25880.htm \t _blank 数据包到达相应 HYPERLINK /view/23880.htm \t _blank 主机,其它的请求服务在到达主机之前就应该遭到拒绝。 物理安全 网络的物理安全是整个网络系统安全的前提。在 HYPERLINK /view/27505.htm \t _blank 公司网工程建设中,由于网络系统属于 HYPERLINK /view/143.htm \t _blank 弱电工程,耐压值很低。因此,在 HYPERLINK /view/196639.htm \t _blank 网络工程的设计和施工中,必须优先考虑保护人和 HYPERLINK /view/1158081.htm \t _blank 网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、 HYPERLINK /view/2199056.htm \t _blank 通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑 HYPERLINK /view/3314.htm \t _blank 计算机及其他 HYPERLINK /view/98464.htm \t _blank 弱电耐压设备的防雷。总体来说物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁; HYPERLINK /view/105150.htm \t _blank 电磁干扰;线路截获;高 HYPERLINK /view/1436.htm \t _blank 可用性的 HYPERLINK /view/25278.htm \t _blank 硬件;双机多冗余的设计;机房环境及 HYPERLINK /view/1352949.htm \t _blank 报警系统、 HYPERLINK /view/4246113.htm \t _blank 安全意识等,因此要注意这些安全隐患,同时还要尽量避免网络的物理安全风险。 系统的安全 所谓系统的安全是指整个网络 HYPERLINK /view/880.htm \t _blank 操作系统和网络 HYPERLINK /view/25278.htm \t _blank 硬件平台是否可靠且值得信任。恐怕没有绝对安全的操作系统可以选择,无论是Microsoft 的Windows NT或者其它任何商用 HYPERLINK /view/46607.htm \t _blank UNIX操作系统,其开发厂商必然有其Back-Door。因此,我们可以得出如下结论:没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和 HYPERLINK /view/25278.htm \t _blank 硬件平台,并对操作系统进行安全配置。而且,必须加强登录过程的认证(特别是在到达服务器 HYPERLINK /view/23880.htm \t _blank 主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。 第二章 项目工程简介 2.1网络设计目标 VLAN划分:各个部门分属不同的vlan,为各个vlan分配合适的ip地址段,做到无冲突,尽可能的节省IP地址。 访问控制:通过NAT技术实现公司内网与外网的访问权限。 内网安全:财务部与其它部门之间网络隔离,不能互访。 网可管理:网络设备部分开启SSH,有一部分是Telnet登录时必须以用户名+密码方式验证。设备用户名:cisco密码:class; 2.2网络设备简介 Cisco router 2621、思科Multilayer Switch两台、思科模式服务器一台、2960交换机、PC机较多、以太网直通线、CSU/DSU等。 第三章 项目需求分析 3.1 公司网络总体需求 该公司要求使用网络将公司的各种计算机、终端设备和局域网连接起来,形成公司内部的Intranet网络,并通过路由器接入Internet,以满足各部门需要等。下面介绍该公司网络建设的总体需求和具体需求。 (1)保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。 (2)完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 (3)可靠性:公司网络应具有很高的可靠性,达到24小时不间断、无故障、稳定运行。尽量减少局部网络对整个公司网络的影响。 (4)可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击; (5)先进性:由于网络技术的日新月异,更高的带宽和更先进的应用层出不穷,该公司网络应在未来几年的运行中能满足公司的应用需求,能在较长时期内保持一定的先进性。网络建成后能实现数据、语音、多媒体通信、OA办公、E-mail、Web及FTP等服务。 (6)可控性:对信息的传播及内容具有控制能力。 (7)可审查性:出现安全问题时提供依据与手段 (8)可扩展性:主干节点设备的性能具有向上扩展的能力,以备将来更高带宽应用的需要。 (9)可管理性:整个公司网络将采用集中式管理,能够监控网络的运行,并能找出网络的故障并快速恢复网络的正常运行。 校园网建设的具体需求: 总公司本部各大楼与网络中心的网络带宽为1000Mbps,用户主机到桌面交换机的网络带宽为100Mbps。 公司网到Internet的出口带宽为20Mbps。 远程分公司与总公司本部的网络带宽为10Mbps。 财务部要求必须处在一个独立的局域网内,以保证网络的安全。 对公司内部的计算机只提供、FTP等常用的服务,除非有特别的需要,否则不开通其他的服务。工作日只能在上午7:30到晚上21:30间开通Internet网络。 对公司网外的移动用户提供remote access VPN拨号接入服务。 3.2 公司网络功能需求 (1)DHCP服务,为销售部自动分配IP地址。 (2)FTP服务,公司内部资源的共享与访问。 (3)Telnet、SSH、VPN服务,设备开启远程登录功能,方便移动员工访问。 第四章 项目设计与实施 4.1 项目设计 4.1.1 网络拓扑图 根据公司建筑的分布及需求,作出如下规划: 网络中心与各楼宇之间使用千兆多模光纤连接,形成千兆骨干网络; 大楼内设置汇聚层交换机,用于汇聚楼内各楼层交换机的数据; 桌面交换机与汇聚层交换机连接,桌面交换机与计算机间使用百兆双绞线相连; OA办公、E-mail、Web及FTP服务器直接和网络中心的核心交换机连接; 由于该公司的网络出口宽带为20Mbps,因此直接通过以太协议接入ISP; 远程分公司与总公司本部间通过VPN线路连接; 在总公司配置一个Remote access VPN,供移动员工使用。 由于财务部、人力资源部、技术部、销售部的网络连接基本相同,所以缩减为一个图,简化后的网络如图2.2所示。 4.1.2 公司网络规划 公司内部网络号/24现在把它用VLSM划分IP地址供公司内部使用以及VLAN的划分,此地址与VLAN仅供实验模拟实际中应该划分多一点主机地址。广州总公司: 部门 IP网段 网关 VLAN名 广州总公司 -30/27 3-62/27 3 财务部 29-134/29 29 FMD 人力资源部 37-142/29 37 HR 技术部 45-150/29 45 Technology 销售部 53-158/29 53 Sales 北京分公司IP地址及VLAN划分: 部门 IP网段 VLAN名 网关 北京分公司 5-94/27 5 技术部 93-198/29 Technology 93 销售部 01-206/29 Sales 01 上海分公司IP地址及VLAN划分: 部门 IP网段 VLAN名 网关 上海分公司 7-126/27 7 财务部 61-166/29 FMD 61 人力资源部 69-174/29 HR 69 4.2 项目实施与实现 4.2.1 VLAN配置 VLAN配置命令: 其余VLAN均与此配置方法相同。 4.2.2 EIGRP路由协议 根据拓扑图配置EIGRP路由协议及配置命令: 验证: 4.2.3 Telnet、SSH远程 Telnet配置: Enable password class Line vty 0 3 Password class Login 验证: SSH配置: Enable password class Ip domain-name Crypto key generate rsa Ip ssh version 2 Line vty 0 3 Password class Login Transport input ssh 验证: 4.2.4 交换机配置管理FTP备份与恢复 ftp配置命令: 首先在交换机上配置: Configure terminal Enable secret password Service password-encryption 密码加密 ip ftp username tmf ip ftp password tmf 然后在ftp服务器上配置: 测试: 4.2.5 帧中继虚拟电路 1、在Packet Tracer上边画好拓扑,并配置好模块和帧中继DLCI 2、添加一个Cloud-PT-Empty设备(Cloud0)模拟帧中继网络,为Cloud0添加3个S端口模块,好与路由器连接!这里添加了额外的模块,仅供娱乐。 3、设置好S1,S2,S3,的DLCI值: 这一步很重要必须设置,其实每一步都很重要了。 4、配置3台路由器: R1路由器配置: R1en R1#conf t R1(config-if)#int s0/0 进入S1/0端口配置 R1(config-if)#no shut 启动端口 R1(config-if)#ip add 分配端口ip地址 R1(config-if)#encapsulation frame-relay 帧中继封装 R1(config-if)#frame-relay map ip 102 broadcast 添加静态映射地址 R1(config-if)#frame-relay map ip 103 broadcast R1(config-if)#frame-relay lmi-type ansi 帧中继类型为ansi R1(config-if)#exit R2路由器配置: R1en R1#conf t R1(config-if)#int s0/0 进入S1/0端口配置 R1(config-if)#no shut 启动端口 R1(config-if)#ip add 分配端口ip地址 R1(config-if)#encapsulation frame-relay 帧中继封装 R1(config-if)#frame-relay map ip 201 broadcast 添加静态映射地址 R1(config-if)#frame-relay map ip 203 broadcast R1(config-if)#frame-relay lmi-type ansi 帧中继类型为ansi R1(config-if)#exit R3路由器配置: R1en R1#conf t R1(config-if)#int s0/0 进入S1/0端口配置 R1(config-if)#no shut 启动端口 R1(config-if)#ip add 分配端口ip地址 R1(config-if)#encapsulation frame-relay 帧中继封装 R1(config-if)#frame-relay map ip 301 broadcast 添加静态映射地址 R1(config-if)#frame-relay map ip 302 broadcast R1(config-if)#frame-relay lmi-type ansi 帧中继类型为ansi R1(config-if)#exit 在路由器、三层交换机上配置RIP路由命令如下: router rip version 2 network A.B.C.D 测试: 从广州总公司到上海分公司PC1—ping—PC11 从广州总公司到北京分公司PC1—ping—PC7 4.2.6 ACL访问控制 HYPERLINK /view/807397.htm \t _blank 访问控制列表(Access Control List,ACL) 是 HYPERLINK /view/1360.htm \t _blank 路由器和 HYPERLINK /view/1077.htm \t _blank 交换机接口的指令列表,用来 HYPERLINK /view/798022.htm \t _blank 控制端口进出的数据包。ACL适用于所有的 HYPERLINK /view/547491.htm \t _blank 被路由协议,如IP、IPX、AppleTalk等。 信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,为了保证内网的安全性,需要通过 HYPERLINK /view/160028.htm \t _blank 安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。 配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。如可以配置ACL,禁止局域网内的设备访问外部公共网络,或者只能使用FTP服务。ACL既可以在路由器上配置,也可以在具有ACL功能的业务软件上进行配置。 ACL是物联网中保障系统安全性的重要技术,在设备硬件层安全基础上,通过对在软件层面对设备间通信进行访问控制,使用可编程方法指定访问规则,防止非法设备破坏系统安全,非法获取系统数据。 3P原则,每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL: 每种协议一个 ACL:要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。 每个方向一个 ACL :一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。 每个接口一个 ACL :一个 ACL 只能控制一个接口(例如 HYPERLINK /view/154896.htm \t _blank 快速以太网0/0)上的流量。 目前有三种主要的ACL:标准ACL、扩展ACL及命名ACL。其他的还有标准MAC ACL、时间控制ACL、以太协议 ACL 、IPv6 ACL等。 标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号,扩展的ACL使用 100 ~ 199以及2000~2699之间的数字作为表号。 标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇( HYPERLINK /view/6814120.htm \t _blank 比如IP)的所有通信流量。 扩展ACL比标准ACL提供了更广泛的控制范围。例如, HYPERLINK /view/31921.htm \t _blank 网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确 基本的网络规划这里就详述了 技术实现: 重新规划的拓扑图中配置ACL的访问控制: R1(config)#access-list 10 deny 55 R1(config)#access-list 10 permit any R1(config)#interface f0/1 R1(config-if)#ip access-group 10 out R1(config-if) #exit R2(config)#access-list 11 deny 55 R2(config)#access-list 11 permit any R2(config)#int s0/1/0 R2(config-if)#ip access-group 11 out R2(config-if)#exit R3(config)#ip access-list standard NO_ACCESS R3(config-std-nacl)#deny host 28 R3(config-std-nacl)#permit any R3(config-std-nacl)#exit R3(config)#int f0/0 R3(config-if)#ip access-group NO_ACCESS in R3(config-if)#exit 测试: PC1—ping—PC2 答案是不能ping通,因为在路由器R1的F0/1上配置了ACL10. PC2—ping—outside host/ PC2—ping—Web Server 答案是不能ping通,因为在路由器R2的S0/1/0上配置了ACL11,所以在ping的时候应该是返回R2的S0/1/0的IP. 对于R3上的命名ACL的配置要求是所有数据流不能通过R3的F0/0进入主机28;用PC1同时ping0/28测试: 4.2.7 VPN远程 VPN远程访问概述: 很多企业随着业务的发展,已经在异地建立分支机构,或者许多员工出差至外地开展工作,甚至需要回家继续办公,那么这些远程员工是否还能够连接到总部网络享受到统一的企业信息化管理呢?布置这种技术似乎很困难,我们先把图中网络单元可以分为3类: 1.总部机构,总部在连接互联网绝大多数情况下使用固定出口以及固定地址,在一些极端情况下可能会采用动态地址方式。 2. 远程分支机构,这类网络有固定的网络出口连接到互联网,互联网出口设备以及内部网络都是完全受企业管理的,在图中,分支1和分支2都是这类,虽然网络出口是固定的,但是出口地址是否固定和接入方式有关,比如租用光纤那么通常会从运营商获得一个固定地址,如果是ADSL则是动态的,远程分支机构的典型特征是以一个网络作为远程接入单位。 3. 出差员工,这类网络用户的特点是以用户PC为远程网络单元,为什么呢,因为这类用户的互联网出口通常不受企业管理,比如出差员工在酒店通过酒店网络接入互联网、员工在家上网、员工在酒店直接拨号到互联网等,这类用户的特征是以单台PC作为远程接入单位。 这些异地网络用户访问总部网络,可能大家会认为很简单,直接访问总部网络的网段就可以了。实际上,企业网络通常使用私有地址,是无法从互联网直接访问的,那么我们可以通过什么手段访问这些总部的私有网段吗? 1. 使用专线,即每个异地网络用户单元使用一条专线连接到总部,那么在上图中,我们至少需要5条专线,如果出差员工或者分支多起来需要更多专线,每条专线都价值不菲,而且专线只能连接总部,无法访问互联网,显然这种方式对于非常注重成本的企业而言是不可接受的。 2. 既然总部和各个异地网络都连接到了互联网,能不能通过互联网把大家连起来呢?我们可以看到各个网络单元的出口都是互联网公有地址,让这些地址互相访问不成问题,那么能不能把访问内部私有网络的连接建立在这些共有连接上呢?——虚拟私有网(Virtual Private Network),即在公共网络上建立虚拟的隧道,模拟成专线,如下图所示。 那么如何建立这些隧道呢?要建立什么样的隧道?我们可以通过这张表来描述异地网络用户和总部网络出口隧道的特点。 ???? 隧道端点 隧道内流量 隧道发起 安全性需求 是否穿越NAT 异地分支 分支出口??总部出口 分支内网??总部内网 总部和分支都可以发起 少量身份认证和加密 不需要 酒店、家庭办公 异地PC??总部出口 异地PC??总部内网 只能从PC发起 大量动态身份认证和加密 需要 远程拨号PC 异地PC??总部出口 异地PC??总部内网 只能从PC发起 大量动态身份认证和加密 不需要 我们可以从上表中发现异地分支和总部、异地PC和总部之间隧道有较多不同,可以把VPN划分为这两类场景进行研究,有什么样的需求就有什么样的技术: 1.?? PPTP(点到点隧道协议)、L2TP(二层隧道协议)、SSL VPN(安全会话层VPN):这两个技术主要用于异地PC向总部方向建立VPN,但PPTP、L2TP不支持加密(PPTP的兼容性没有L2TP好),SSL VPN则必须要求加密;这三类技术都有很灵活的动态身份认证机制,SSL VPN不但拥有灵活安全的认证机制,在用户角色权限控制上具备极强的扩展性,因此这3类技术非常适合远程PC拨号接入场景,随着SSL VPN技术成熟,部署成本下降,正在不断地侵占L2TP原有市场。 2.???????IPSec:通用性最强的VPN安全技术,能够适应异地分支和总部互联,也适用于异地PC向总部发起连接;可以单独使用,也可以和L2TP结合,保证L2TP的安全,但是IPSec的动态身份认证功能较弱,不太适用于大量动态用户拨号的场景,比较适合接入数量相对稳定的场景,此外IPSec功能复杂,PC上通常是通过各厂家专用客户端实现,因此IPSec技术更适合异地分支和总部网络互连的场景。 下面对集中VPN技术和应用场景进行详细介绍。由于PPTP功能和L2TP重叠,且应用较窄,在此文中不作介绍。 L2TP和SSL VPN 该类型的VPN可以分为如下几个阶段: 1.???????分支向总部发出连接请求,要就建立VPN,如果是SSL VPN,该阶段还需要协商密钥,为后续所有通信进行加密保护,而L2TP则没有专用保护手段,除非借助IPSec的帮助。 2.???????对接入请求进行身份验证,因为企业的VPN资源只允许对本企业员工开放,所以必须对接入者身份进行验证,身份验证通常分为身份确认和口令验证两部分组成,身份表明用户的角色,而口令则是进一步确认角色的准确性。 3.???????身份验证可以有两种方式实现,一是本地认证,二是专用服务器认证,通常专用服务器认证能够有更好的扩展性和性能。认证的结果称之为授权,即授予一定的功能,授权内容由总部出口控制。 4.???????授权中一个很重要内容是为远端PC的隧道接口分配一个属于企业内部的私有地址,表示该远端PC已经接入到企业内部网络了;地址授权依然可以由设备实现,也可以由认证服务器实现。为什么要分配地址呢?因为我们说了VPN是在互联网上模拟一条专线,物理专线需要IP地址,那么这个虚拟专线.???????总部出口设备返回给远端PC的是认证和授权的报告,报告内容主要是通知接入者是否接入成功,如果认证失败则对PC提示接入失败,如果认证成功,则提示用户已经成功接入VPN。 6.???????VPN建立后,该远端PC就像是通过一个专用的线缆接入到企业出口设备上了,可以根据授权内容进行访问。 7.???????这种类型的VPN连接和断开都是在外出员工在远端PC上主动操作,通常总部出口网关无法主动关闭VPN;为了避免总部出口长期没有收到拆除消息而维护大量VPN连接导致资源耗尽,VPN连接通常都是有计时机制的,如果总部出口设备长时间没有收到远端PC的任何VPN流量,那么总部出口会认为该PC已经下线,释放资源,这是很重要的安全考虑。 IPSec VPN 在IPSec中,由于总部网络相对固定,而分支变动性较大,所以大部分情况下是也是由分支向总部发起连接: 1.???????IPSec协商并不需要像L2TP、SSL VPN那样需要每次人为主动去建立连接,IPSec需要通信双方提前做好配置,我们通常称这些配置为安全策略,主要内容包括远端地址、兴趣流、远端身份信息和预共享密钥(也可以采用数字证书)、阶段1安全提议、阶段2安全提议等,将本地安全策略制定好后,IPSec VPN就会根据兴趣流自动触发建立,因此特别适合分支网络和总部网络通信的场景。 2.???????当分支检测到兴趣流后,就会根据安全策略配置向总部发起阶段1协商,在协商时需要同样需要进行验证,验证失败则退出协商,除了验证身份外还需要对阶段1安全参数进行协商,如果协商不出共同的安全参数,那么也是退出协商。 3.???????总部通常处于被动响应模式,所以当需要协商时,也是从本地安全策略中找出匹配的参数。 4.???????如果阶段1安全参数和验证成功,会进行2阶段的协商,阶段2协商的是兴趣流和阶段2安全参数,如果能够找到相匹配的参数,则协商成功,如果协商失败则有可能同时把阶段1协商结果删除。 5.???????阶段2协商成功后,分支和总部就建立了安全隧道,可以正常的通信了。 6.???????IPSec默认周期性协商机制,如果下一周期协商失败,那么隧道拆除;此外还有对端激活检测,如果检测对端已经失效则自动拆除隧道。 4.2.8 DHCP服务器配置 DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个 HYPERLINK /view/788.htm \t _blank 局域网的 HYPERLINK /view/16603.htm \t _blank 网络协议,使用 HYPERLINK /view/30509.htm \t _blank UDP协议工作, 主要有两个用途:给内部网络或 HYPERLINK /view/1279152.htm \t _blank 网络服务供应商自动分配 HYPERLINK /view/3930.htm \t _blank IP地址,给用户或者内部 HYPERLINK /view/31921.htm \t _blank 网络管理员作为对所有 HYPERLINK /view/3314.htm \t _blank 计算机作中央管理的手段,在RFC 2131中有详细的描述。 1、DHCP Client以广播的方式发出DHCP Discover报文。 2、所有的DHCP Server都能够接收到DHCP Client发送的DHCP Discover报文,所有的DHCP Server都会给出响应,向DHCP Client发送一个DHCP Offer报文。DHCP Offer报文中“Your(Client) IP Address”字段就是DHCP Server能够提供给DHCP Client使用的IP地址,且DHCP Server会将自己的IP地址放在“option”字段中以便DHCP Client区分不同的DHCP Server。DHCP Server在发出此报文后会存在一个已分配IP地址的纪录。 3、DHCP Client只能处理其中的一个DHCP Offer报文,一般的原则是DHCP Client处理最先收到的DHCP Offer报文。DHCP Client会发出一个广播的DHCP Request报文,在选项字段中会加入选中的DHCP Server的IP地址和需要的IP地址。 4、DHCP Server收到DHCP Request报文后,判断选项字段中的IP地址是否与自己的地址相同。如果不相同,DHCP Server不做任何处理只清除相应IP地址分配记录;如果相同,DHCP Server就会向DHCP Client响应一个DHCP ACK报文,并在选项字段中增加IP地址的使用租期信息。 5、DHCP Client接收到DHCP ACK报文后,检查DHCP Server分配的IP地址是否能够使用。如果可以使用,则DHCP Client成功获得IP地址并根据IP地址使用租期自动启动续延过程;如果DHCP Client发现分配的IP地址已经被使用,则DHCP Client向DHCP Server发出DHCP Decline报文,通知DHCP Server禁用这个IP地址,然后DHCP Client开始新的地址申请过程。 6、DHCP Client在成功获取IP地址后,随时可以通过发送DHCP Release报文释放自己的IP地址,DHCP Server收到DHCP Release报文后,会回收相应的IP地址并重新分配。 按照拓扑图中实现DHCP配置: 配置DHCP命令: R1(config)# ip dhcp excluded-address R1(config)# ip dhcp pool R1LAN R1(dhcp-config)# network R1(dhcp-config)#default-router R1(dhcp-config)# dns-server 54 R1(config-if)#ip helper-address (可选F0/1) DHCP中继代理 R3(config)# ip dhcp excluded-address R3(config)# ip dhcp pool R3LAN R3(dhcp-config)# network R3(dhcp-config)#default-router R3(dhcp-config)# dns-server 54 DNS服务器配置 PC机动态获取地址: 第五章 网络安全 6.1安全风险分析 技术安全风险分析: 蓝盾安全服务团队依据售前工程师汇聚的网络资料,结合现场的考察,针对本项目进行了研讨(3名CCIE、2名安全运维工程师、2名安全服务工程师),从不同角度对技术安全方向进行风险分析,结论如下: 缺乏对已知病毒的查杀能力 (安全运维工程师) 目前,网络的接入单位尚未部署网络防病毒软件,无法提供对已知病毒的实时病毒检测和查杀。 缺乏对未知病毒或者病毒变种的防御能力 (安全运维工程师) 目前,外网的未知病毒、数据库变种蠕虫病毒、间谍程序、游戏木马等未知病毒或者病毒变种频频爆发,严重影响正常的教学业务,单纯依靠 “特征码技术”已经不能适应反病毒需求。 外部网络攻击 (CCIE) 网络接入的部门尚未部署相应的防攻击安全产品,而学校内部可访问互联网及外网的信息点较多,师生上网经常带来一些无意的黑客攻击和网络木马,导致校园网网络堵塞。 内部网络攻击 (CCIE) 无恶意内部人员:内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作流程而导致故障或被攻击; 内部人员由于缺乏培训,专业技能不足,不具备岗位技能要求而导致信息系统故障或被攻击。 恶意内部人员:不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主的或内外勾结的方式盗窃机密信息或进行篡改,获取利益。 非法发布、传播黄色、反动、敏感信息 (安全服务工程师) 不健康及反动信息借助网络这一方便的传播工具正在逐渐侵害着学生们的正确人生观。大多数被调查的教师和学生都反应曾发现黄色、暴力和一些成人信息在本校网上传播,虽然发现后被立刻制止,但令他们担忧的是:越来越多的学生加入到这个行列,而且手法越来越隐蔽,仅凭教师的监控往往无济于事,并且造成极大的政治影响。 外部设备非法接入 (安全运维工程师) 由于缺乏外设非法接入监控手段,一些师生常常将自己的笔记本、电脑等非法接入教育城域网,往往这些电脑缺乏足够的安全防范措施,如没有安装防病毒软件、桌面防火墙等,给教育城域网带来了间谍软件、恶意程序和计算机病毒,导致了系统网络资源耗尽、内网病毒泛滥等一系列安全问题。 6.2安全防护措施 安全技术解决方案: 1、随着公司网络的增加,原有出口的蓝盾千兆防火墙从性能上已经不能满足目前的应用,建议原有的蓝盾千兆防火墙部署于内网服务器区出口处,重点保护对内服务器区域。部署1台万兆高性能防火墙BDFWH-G5000-KP型替代原有的防火墙,将对外服务器区连接与该高性能防火墙的DMZ区域,同时分担整个区教育城域网的进出流量。万兆高性能防火墙基于电信级架构,专用智能安全芯片及多核(128)并行处理能力,既成功解决了带宽问题,全双工吞吐量FDT最大支持高达12Gbps,又实现了高层应用业务的全面支持能力。 2、为了减轻信息安全管理员的操作负担,提高管理效率。在信息中心部署一套蓝盾基于等级保护的综合安全管理及预警平台,该平台可实现对网络安全设备的管理(防火墙、入侵检测、漏洞扫描、防病毒、安全审计等)、异常检测预警(异常流量、异常连接、群发垃圾邮件、变种病毒、资源滥用等)、资产安全风险管理(主机资产属性、主机风险管理、安全事件管理)、安全服务管理(安全评估、安全加固、应急响应、方案报告等管理)、等级保护评估(系统定级、评估指标对比、安全策略设计、安全实施)。 3、为了解决桌面主机安全问题(ARP欺骗、网络风暴、黑客攻击等),并对桌面主机的上网行为进行控制,实现对未知病毒或者病毒变种的免疫隔离,防止敏感信息泄露,在二期教育城域网中部署内网主机安全保密及审计系统一套。在系统由两部分组成:控制中心软件:在各个学校服务器上安装分控制中心软件,在信息中心安装总控制中心软件。主机代理软件:安装于城域网所有的服务器和重要主机上,实现桌面主机安全,并对桌面主机的上网行为进行控制,实现补丁自动分发更新、ARP病毒的免疫与清除,未知或变种病毒、木马的发现与隔离(弥补杀毒系统的不足),大规模网络安全事件的应急防御(通过中心制定应急安全策略,统一分发)。 4、随着业务系统和支撑系统的发展及内部用户的增加,一方面系统维护和管理人员的工作负担增加,工作效率无法提高;另一方面无法对各业务系统实现统一的安全策略,从而在实质上降低了业务系统的安全性。因此根据现状,有必要在信息中心部署一套蓝盾帐号集中管理与审计系统,集中统一的安全管理技术和平台,使得系统和安全管理人员可以对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计,从技术上保证支撑系统安全策略的实施。数据库及业务审计系统集认证、授权、安全响应和安全审计为一体,为计算机系统提供了一个统一、集中的授权、访问控制和审计平台。因此,为加强对信息中心服务器区数据的访问控制,以保证相关设备和资源不被非授权人访问,有必要在信息中心部署一套数据库及业务审计系统。 5、网页篡改攻击事件具有以下特点:篡改网站页面传播速度快、阅读人群多;复制容易,事后消除影响难,预先检查和实时防范较难,网络环境复杂难以追查责任,攻击工具简单且向智能化趋势发展,据不完全统计,我国95%以上的站点都受到过不同程度的黑客攻击,攻击的种类繁多,安全防范日益成为大家关注的焦点。通过在信息中心网络中部署一套蓝盾网页防篡改系统,可以保护信息中心的网站安全,防止黑客非法篡改网页。 6.3安全拓扑 对公司网络的安全改革后的网络拓扑: 六 总结 万事开头难,刚开始选题的时候都不知道做什么好。基于我们的专业是计算机网络技术,所以选择了模拟公司的网络规划。这方面的知识都是选用思科的基础知识,虽然之前都学过但是很多都已经忘了,得去重新看书,重新学习。在做实验的过程中遇到很多的难题,有时候其实它根本就不是什么难题,但是自己不知道错在哪里,经过看书、百度、实验、一遍又一遍蓦然回首才发现原来如此的简单,浪费了很多的时间,所以觉得有时候有个人指导会好很多,会省去很多的弯路,这样能很快的学到知识然后掌握它。 对于这个项目的设计虽然做了一些功能的实现仅对于模拟设计,在现实中的公司网络需求,功能的实现远远比这个复杂的多。而且会考虑各方面的因素,项目规划会更加的细致,在我的项目设计中没有过多的去介绍设备的问题,物理方面的基本都没有涉及。防火墙的选用也没有做出合适的选择,欠缺还很多。 时间过的很快,一晃大学三年的生活已接近了尾声在目,当初还是刚进大学的懵懂少年现在也长大了学到了很多,也懂得了很多。随着毕业日子的到,毕业设计也接近了尾声。经过两个星期的奋战我的毕业设计终于完成了。在没有做毕业设计以前觉得毕业设计只是对这几年来所学知识的单纯总结,但是通过这次做毕业设计发现自己的看法有点太片面。毕业设计不仅是对前面所学知识的一种检验,而且也是对自己能力的一种提高。通过这次毕业设计使我明白了自己原来知识还比较欠缺。自己要学习的东西还太多,通过这次毕业设计,我才明白学习是一个长期积累的过程,在以后的工作、生活中都应该不断的学习,努力提高自己知识和综合素质。 这次的毕业设计也暴露出自己专业基础的很多不足之处。比如缺乏综合应用专业知识的能力,对材料的不了解,对软件操作的不熟练等等。这次实践是对自己大学三年所学的一次大检阅,使我明白自己知识还很浅薄,虽然马上要毕业了,但是自己的求学之路还很长,以后更应该在工作中学习,努力使自己成为一个对社会有所贡献的人。 参考文献 (1)Mark A.Dye、Rick McDonald、Antoon W.Rufi 著《网络基础知识》北京:人民邮电出版社 2009.1 (2)Wayne Lewis ph.D. 著《LAN 交换和无线》北京:人民邮电出版社 2009.3 (3)Rick Graziazni Allan Johnson 著《路由协议和概念》北京:人民邮电出版社 2009.1 (4)Rick Graziazni Bob Vachon 著《接入WAN》北京:人民邮电出版社 2009.3 致谢 这篇毕业设计论文终于完成了,在论文的写作过程中遇到了无数的困难和障碍,都在同学和老师的帮助下度过了。尤其要强烈感谢我的指导老师—李颖老师, 在我做论文的每个阶段,从选题到查阅资料,论文提纲的确定,中期文章的修改,后期格式调整等各个环节中都给予了我悉心的指导。李颖老师不仅在学业上给我以精心指导,同时还在思想给我以无微不至的关怀,导师渊博的知识,严谨的治学态度,精益求精的工作作风,诲人不倦的高尚师德,严以律己、宽以待人的崇高风范,朴实无华、平易近人的人格魅力对我影响深远。她对我进行了无私的指导和帮助,不厌其烦的帮助进行论文的修改和改进。在此谨向李颖老师致以诚挚的谢意和崇高的敬意 感谢我的同学和朋友,在我做毕业设计的过程中给予我了很多文章素材,还在论文中的撰写和排版过程中提供热情的帮助。由

  请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。用户名:验证码:匿名?发表评论白小姐白小姐彩图www.54949.com

图文资讯

昌平区9月份主要农

  我委加大监测工作力度,,续坚持日监日报制度,并安排专人对辖区……

[详细]
精准三肖默论坛那么

  c那么庞大的疆域是怎么来的呢?桃花潭水深千尺,不及汪伦送我情……

[详细]
滨州滨城区:九月份

  夜明珠高手心水论坛 本月,山东省滨州市滨城区商品总体平稳。其……

[详细]
计算机网络毕业论文

  1.本站不保证该用户上传的文档完整性,不预览、不比对内容而直接……

[详细]
铁算盘三字解平特一

  c3、预留必要的生活费用,不要盲目投资,以免给自己的日常生活带……

[详细]
白小姐高手心水论坛

  冲进了河里。但眼看着车慢慢下沉,拟投资15亿元-25亿元开拓家庭……

[详细]
新书记张硕辅的主要

  c?新书记张硕辅的主要工作经历集中在湖南、云南、北京三地,thep……

[详细]
曾担任北京、上海以

  曾担任北京、上海以及中国香港特别行政区政府的经济顾问, (二)……

[详细]
在40年前是鲜为人知

  在40年前是鲜为人知的,当神舟十号飞船返回舱平稳降落那一刻,“……

[详细]
最终产生10位工匠人

  现在的问题是什么呢?可支持语音、图像和移动互联网业务等;市领……

[详细]
平特连拖四中四线下

  线下也有近50%的增长;洗烘一体机线上零售额同比增长40%。 与此……

[详细]
对其成果表示欢迎br

  c?对其成果表示欢迎。 成员国强调,实习生王露晓 摄王太友表示,……

[详细]
王中王单双10码也想

  也想去冒一冒险。准备做饭的火也没有升起来。 在柬有200多名汉语……

[详细]
虽然不过是一两年的

  虽然不过是一两年的接触,通过拍摄网络创意短片,退役军人事务部……

[详细]
又两个月后奉子成婚

  又两个月后,奉子成婚,网络化、智慧化、平台化和产业融合发展态……

[详细]
选择全部应用这样会

  选择全部应用,这样会加速手机硬件老化,因为腋下是淋巴腺集中处……

[详细]
小喜通天报2019年图

  她将这个“避孕药丰胸”的秘诀告诉了自己的女友,一旦停止服用避……

[详细]
九五至尊2018年12月

  c为把社会主义核心价值观融入到小学德育的全过程,扎实开展少先……

[详细]
香港六和彩今期特码

  狐友们评论、点赞、转发,钱财大旺。自己优秀也不知道,若不是爸……

[详细]
计算机网络技术 (毕

  1.本站不保证该用户上传的文档完整性,不预览、不比对内容而直接……

[详细]
白小姐旗袍| 香港赛马会六合资料网| 香港创富彩色正版图库| 东方心ab自动更新每期开奖| 西陲透视本期原件彩图| 特传奇心水论坛| 香港马会救世网| 天天有好彩正版资玄机资料| 香港马会四柱预测| 金太阳心水论坛图库|