计算机专业毕业论文.doc

山西轻工职业技术学院毕业论文编号：30山西轻工职业技术学院毕业设计（论文）题目：企业网络构建规划教 学 系： 信息工程系 专业班级： 网络1031 学生姓名： 王 杰 指导教师： 徐秋菊 山西轻工职业技术学院二一三年三月三十一日摘 要随着网络技术新系统、新领域的长足发展，传统企业也正利用其行业的特点，融合网络技术的优势，发展自身。在信息化生产逐步普及的今天，组建企业内部网络已经是企业必不可少的一部分，建立高速、稳定、安全、智能的办公网，是组建中小型企业局域网的核心。中小型企业局域网建设,必须采取“结构化、系统化”思想做指导。一个良好的、规范的网络开发过程不仅不会成为干扰实际健忘工作的负担，相反会使设计的工作更清晰、更加高效和更令人满意，同时也可以大大减少网络开发成本和提高网络工程质量。本毕业设计作品定位于公司局域网设计，因此配置了比较完备的硬件资源。在内容选择上，一方面以对中小型企业的网络拓扑和所需设备进行了设计；另一方面用很直观的网络拓扑图概述了本次毕业设计相关的网络安全、网络所需设备以及所实现的网络功能和应用等。毕业设计论文包括课题概况：太原益民中医院对网络性能和网络安全要求严格。使用业界流行的核心层汇聚层接入层三层结构设计的公司局域网，结合广为使用的通过划分虚拟局域网（VLAN）隔离不同部门，访问控制列表（ACL）控制端口进出数据包，网络地址转换（NAT）节约公有地址、动态分配IP（DHCP）、热备份路由(HSRP)等技术，增强网络的稳定性和安全性。统需求分析：本课题对结合港隆文具局域网网络特点进行了详细的需求描述和详细的分析。系统设计：系统设计包括网络拓扑结构选择、网络设备选型、VLAN、DHCP和子网的划分，详细描述了网络组成结构。港隆文具公司局域网网络安全：从网络流量控制、网络设备安全、无线网络安全详细描述了安全实施。关键词：局域网，网络拓扑，VLAN，网络安全，系统实施，ACL，NAT 目 录1 概述11.1课题背景11.2课题概况21.3 课题目的32 局域网需求分析和设计原则42.1需求与分析42.1.1具体需求42.1.2需求分析52.3 设计原则53 局域网系统设计方案73.1网络拓扑设计73.1.1拓扑选择73.1.2拓扑结构图83.1.3拓扑结构说明93.2三层详细设计及设备选型103.2.1核心层设计103.2.2汇聚层设计133.2.3接入层设计163.3 虚拟局域网VLAN与IP子网设计183.3.1虚拟VLAN简介193.3.2 VLAN规划203.3.3 IP子网设计213.3.4访问控制列表（ACL）设计方案243.4路由协议的选择254 网络安全管理274.1内网安全274.1.1VLAN设置需求274.1.2防病毒系统需求274.1.3网络管理需求274.2 外网安全274.2.1物理安全需求284.2.2数据链路层需求284.2.3入侵检测系统需求284.2.4防病毒系统需求285 安全管理体制295.1网络应用安全295.1.1网络嗅探295.1.2 ARP欺骗305.1.3 IP地址欺骗305.1.4 DOS攻击30总 结32参考文献33致 谢341 概述1.1课题背景随着我国经济的飞速发展，我国中小型企业数量已有5000多万家。为了获取更好的经济效益，完善的网络体系成为了对外联系及对内交流最为关键的因素。在这个信息化时代，一个优秀的团队必然有着完整的网络构建、调理的网络布局以及安全的信息库。在国民经济中，60%的总产值来自于中小企业，并为社会提供了70%以上的就业机会。然而，在中国国民经济和社会发展中一直占据着至关重要的战略地位的中小型企业，其信息化建设却十分落后。今后如何应对瞬息万变、竞争激烈的国内外市场环境以及如何利用网络技术迅速提升企业核心竞争力为企业成败的关键。中小型企业的信息化建设工程通常有规模小、结构简单的特点，综合资金投入、专业人才以及未来发展等因素，网络实用性、安全性与拓展性（升级改造能力）是中小型企业实现信息化建设的主要要求，局域网内进行信息交流包括发布通知, 安排日程表、工作计划,提交工作总结,进行信息汇总等也是企业的要求。因此，成本低廉、炒作简易、便于维护并能满足业务运用需要的网络办公环境是这一领域的真正需求。针对绝多数中小型企业集中办公这一现实特点，组建一个适合中小企业需求的高性价比实用的网络是十分有实际意义的。下面我们将模拟医疗行业来建设网络信息化工程。太原益民中医院地处太原市南内环街8号(南内环街东口)，建筑面积6000多平方米，是太原市政府、市卫生局直管医院。医院科室设置齐全，专科特色明显，中医优势突出，技术力量雄厚，医院功能完善，综合服务能力强，能够提供全面、持续地中西医医疗、护理、预防、保健、康复服务，从事较高层次中医教学、中医科研工作，渐成为区域中医技术中心。是北京消化界专家及中国人民解放军消化疾病微创治疗中心交流和技术合作基地。医院注重加强中医特色专科建设，改善技术装备条件，拓宽服务领域，不断满足人民群众对中医药的需求，同时认真继承中医药的特色和优势，勇于创新，积极利用现代化科学技术，促进中医药理论和实践的发展，努力打造现代化综合性中医医院。医院核定床位150张，拥有先进的DR、四探头彩超、全自动生化分析仪、全自动血流变仪、动态心电图、进口PENTAX高清数字电子胃镜等设备。医院现有职工150余名，拥有一批省内外名老中医专家长期在院坐诊，中国人民解放军消化疾病微创治疗中心专家常年在院诊疗，北京消化界专家教授定期来院讲学和指导。医院设有消化疾病微创治疗中心、中医康复治疗中心、中医脾胃科、中医不孕不育科、中医骨科、中医老年病科、中医肾病科、中医儿科、中医皮肤科、中医糖尿病科、中医疼痛科、中医脑病科、中医男科、中医失眠科等临床科室，同时设立中、西药房、医学检验科、心电诊断室、放射科、彩超室、内镜室等技能科室，并设有针炙、推拿、按摩等传统中医治疗室、理疗室、运动和作业治疗室、多间VIP病房等。太原益民中医院以一流的技术、一流的质量、一流的设备、一流的管理、一流的环境、一流的服务为永恒的追求，并牢固树立“以医疗质量为核心”的“大经营”理念，努力提供“以患者为关注焦点”的星级优质服务，坚持走“创名院、建名科、出名医”的发展之路，创建和谐的“健康家园”。太原益民中医院最原始的网络需求来自于对LAN 上共享资源、业务的开展需要，最小规模的局域网可能就要算通过1 台共享式集线器来连接打印机、文件服务器的组建模式了，但是，在信息科技日益发展的今天，基于共享式技术的网络已经不能符合当前业务的发展的需求，更高速、更精准、更可靠、更安全以及更方便的网络和业务管理已经成为新时期医疗行业发展的重点。如何最大程度的满足医疗行业的网络需求，为此设计次方案。1.2课题概况太原益民中医院以前网络设备落后，经常掉网、断网。网络走线混乱。完成对医院的新网络的规划，重新设计实施。以前的网络不能适应当前的医疗发展，需要更完善、快速、安全、稳定的网络提供，满足需求的患者和内部之间的相互通信。该医院有100多人，有各医疗科室、市场部、网络部、企划部等众多部门组成，因此为了维持内部的正常运作，需要一个庞大的网络体系。太原益民中医院新设计搭建的网络将根据当前与今后一段时间的发展需求，规划一个全新的公司局域网系统，该公司局域网系统必须具备民营医院发展的快特点，满足财务部、销售部和人力资源部对医院的管理和医院患者之间信息化需求，同时新的局域网系统必须满足将来扩展的需要进行整体计划，在满足当前需要的同时，还必须具备一定的前瞻性。在实际的建设过程当中，应当充分考虑到太原益民中医院内部网业务较少，销售部占用网络带宽比较大以客户访问该公司等。对其他部门实行网络流量控制和服务。满足客户和销售部之间的通信。1.3 课题目的满足益民中医院各部门之间安全稳定的通信。设计搭建新的网络满足医院发展需求。对销售部流量比较大要求大，分配更多的流量。该公司网络技术人员较少，因而对网络的依赖性很高，要求网络尽可能简单、可靠、易用，降低网络的使用和维护成本为该公司电子商务网络系统提供一个统一、可靠、安全的专用信息通信平台，支持话音、数据和图像的交换与传输，实现计算机数据、话音、电视会议、图片传输等多种信息通信业务，并具有完备的网络管理系统。2 局域网需求分析和设计原则2.1需求与分析太原益民中医院是一家比较有潜力的医院，近几年发展很快。该公司对网络总体需求包括以下几点：适应桌面计算机处理、I/O能力大幅度提高的现状，发挥桌面机的网络性能，提高桌面机的访问带宽；适应连网规模大、总流量大的情况，合理分布流量，实现流量隔离和控制；为销售部、人力资源部、财务部，合理进行网络划分，实现有效的安全访问控制和运行管理；为客户/服务器的应用环境提供支撑；增加网络系统的运行可靠性，降低故障隐患，提高系统的可管理性。本方案针对港隆公司网络系统应用场合对安全提出了很高的要求，因此网络设计充分考虑网络上敏感数据传输的安全性，一方面需要充分利用网络设备提供的安全策略（VLAN划分等），另一方面为了保障内部数据传输的安全性，采用各种安全技术（防火墙、入侵检测、防病毒体系等），并且尽量不影响到整个网络的运行效率。为了更好的保证网络的正常运行，设计的网络系统还考虑到网络管理，实现网络的统一管理。一般中小型企业网的主要需求有：1、管理的需求：包括对用户和设备的管理，可操作、易管理、具备灵活的计费策略、扩展能力强。2、区分内、外网需求：限制资源的访问。3、安全需求：非法的DHCP Server、病毒、攻击、上网日志等。4、NAT需求：公网地址不够，5、多业务需求：强大的组播支持能力、多业务融合（语言、数据、）能力。6、可靠性需求：设备具备高性能、高可靠性、高稳定性、高安全性。7、投资需求：高性价比、平滑升级、投资保护。8、Qos需求：具备完善的QOS能力。2.1.1具体需求港隆公司销售部、财务部等部门不能相互进行访问，但对公司文件服务区可以访问。采用交换，必要时实现路由隔离。根据业务用户分布和数据的流向，合理的进行网段划分。允许采用虚拟网技术（VLAN）。实现各计算机网络系统的互联，形成公共信息的交换环境，为企业用户提供网络服务平台。 实现信息资源和软硬件资源共享，提供丰富的网络信息服务，以推动办公自动化。根据益民中医院两栋楼宇之间不同，采用光线接入。2.1.2需求分析1、 对医院提供安全快速的网络。2、防止不明计算机接入，保证接入的安全性。3、核心到汇集全部采用单模光纤并做相应的备份，提供高速可靠的传输。4、保障需求患者正常访问医院和销售部与外网通信，防止不必要流量产生。 5、为以后员工提供宽带服务。2.2 设计目标针对本次益民中医院局域网建设课题，按照以下目标来实施网络建设：1、建设成为信息一体化、管理集中化、业务多样化的公司局域安全网络；2、新网络结构清晰，网络层次合理数据网络需要采用分布式布线： 3、网络带宽大幅提升满足港隆文具有限公司的业务发展需求和冗余连接：4、多样性访问权限控制与管理；针对不同部门之间采取不同认证：2.3 设计原则1、可管理性具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降低网络运营成本。同时由于高校网络的使用者数量巨大，网上开展的业务众多，因此需要能够提供用户的高效管理，以确保公司的利益不受损失。2、可增值性公司局域网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。3、可扩充性考虑到公司的业务种类发展的不确定性，局域网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。4、开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。 5、安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。3 局域网系统设计方案根据益民中医院发展需求，并结合当前医疗局域网状况和未来发展趋势，整个网络方案设计突出层次化、可管理、易维护、高可靠性的原则，确保网络在具有高性能的同时具有良好的前瞻性和持续发展性。3.1网络拓扑设计3.1.1拓扑选择采用模块化的设计思想，按照功能划分为以下区块：交换区块和核心区块。对于由交换区块和核心区块构成的局域网再按照目前流行的层次化的设计思想，划分为接入层、汇聚层和核心层。1、交换区块的主要功能是提供用户的接入点，并防止广播数据流和网络问题到达核心区块或者其他区块，交换区块由接入层交换机和汇聚层交换机构成：(1)接入层：接入层设备作为最终用户的网络接入点，使用100M双绞线连接各层桌面终端，为每个用户提供专用的带宽，并可基于端口或MAC地址的VLAN成员资格和流量进行过滤，接入层主要的设计原则是能够通过低成本、高端口密度的设备提供这些功能。(2)汇聚层：接入层交换机使用100M双绞线汇聚到一台或者多台汇聚层设备，汇聚层设备在接入层交换机之间提供第二层连接，作为接入层交换机的集中连接点及接入层和核心层之间的分界点，汇聚层在提供接入层接入的同时，还能够做到广播域的隔离、不同网段之间的路由、介质转换、安全控制。汇聚层需要提供第三层功能，即支持路由选择和网络层服务，以保护交换区块不受网络其他部分失效的影响，并防止本交换区块故障对网络其他部分的影响，如果交换区块发生了广播风暴，分布层设备可以防止该广播风暴扩散到核心和网络的其他部分。2、核心区块是公司网络的主干，主要功能是在交换区块之间用最小的时延传输数据，尽可能快的将交换数据提供到其他区块（比如交换区块）。核心区块由核心层构成，包含一个或一组用来连接多个交换区块的交换机。核心层：核心层交换机负责所有交换区块设备和广域网设备的接入，因此需要高速的数据转发能力。核心层设备需要支持port-channel链路捆绑技术，来保证数据的转发能力，防止出现线路瓶颈。作为企业网络的心脏，核心层也是路由协议最优选路和运行稳定的保证，需要合理的配置路由协议，并添加冗余处理器或者应用冗余协议来保障网络核心的稳定，使企业数据流正常运作。3.1.2拓扑结构图总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。新网络拓扑图如图3-1所示。图3-1-2 太原益民中医院网络拓扑3.1.3拓扑结构说明 1、从核心层到汇聚层全部使用单模光纤。 2、采用使用四条100M双绞线连接到汇聚层。 3、所有用户接入采用有线结合。 4、采用层次结构使网络易于管理。 5、采用高性能的单核心交换。 6、做热路由备份3.2三层详细设计及设备选型 3.2.1核心层设计核心交换机是整个网络的计算和内部数据交换处理中心，在整个局域网内是最为关键和重要的设备。核心交换机推荐采用华为S5700交换机二台。如图3-2所示。图3-2-1 华为 S5700交换机特点：免维护易部署S5700支持自动配置、即插即用、USB开局、自动批量远程升级等功能，便于部署升级和业务发放，简化后续的管理和维护性能。从而大大降低了维护成本。S5700支持SNMP V1/V2/V3、CLI命令行、Web网管、TELNET、HGMP集群管理等多样化的管理和维护方式，设备管理更加灵活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主机、基于端口的流量统计，支持NQA网络质量分析，有利于进一步作好网络规划和改造。强大的多业务支持能力S5700支持IGMP v1/v2/v3 Snooping/Filter/Fast Leave/Proxy等协议。S5700支持线速的跨VLAN组播复制功能，支持捆绑端口的组播负载分担，支持可控组播，可以充分满足IPTV和其他组播业务的需求。S5700支持MCE功能，实现了不同VPN用户在同一台设备的隔离，有效解决用户数据安全问题，同时降低用户投资成本。完备的高可靠保护机制S5700不仅支持传统的STP/RSTP/MSTP生成树协议，还支持SmartLink和RRPP等增强型以太网技术，可以实现毫秒级链路保护倒换，保证高可靠性的网络质量。此外，针对Smartlink和 RRPP均提供多实例功能，可实现链路负载分担，进一步提高了链路带宽利用率。产品规格及参数：）华为Quidway S5700大容量交换机产品物理参数:主要参数产品类型千兆以太网交换机应用层级三层传输速率10/100/1000Mbps交换方式存储-转发背板带宽256Gbps包转发率96MppsMAC地址表32K端口参数端口结构非模块化端口数量24个端口描述24个10/100/1000Base-T端口扩展模块2个扩展插槽传输模式全双工/半双工自适应功能特性网络标准IEEE 802.3，IEEE 802.3u，IEEE 802.3ab，IEEE 802.3z，IEEE 802.3x，IEEE 802.1Q，IEEE 802.1d，IEEE 802.1X堆叠功能可堆叠VLAN支持4K个VLAN支持Guest VLAN、Voice VLAN支持基于MAC/协议/IP子网/策略/端口的VLAN支持1:1和N:1 VLAN交换功能QOS支持对端口接收和发送报文的速率进行限制支持报文重定向支持基于端口的流量监管，支持双速三色CAR功能每端口支持8个队列支持WRR、DRR、SP、WRRSP、DRR+SP队列调度算法支持报文的802.1p和DSCP优先级重新标记支持L2（Layer 2）-L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN的非法帧过滤功能支持基于队列限速和端口Shapping功能组播管理支持IGMP v1/v2/v3 Snooping和快速离开机制支持VLAN内组播转发和组播多VLAN复制支持捆绑端口的组播负载分担支持可控组播基于端口的组播流量统计IGMP v1/v2/v3、PIM-SM、PIM-DM、PIM-SSM网络管理支持堆叠支持MFF支持虚拟电缆检测（Virtual Cable Test）支持端口镜像和RSPAN（远程端口镜像）支持Telnet远程配置、维护支持SNMPv1/v2/v3支持RMON支持网管系统、支持WEB网管特性支持集群管理HGMP支持系统日志、分级告警支持GVRP协议支持MUX VLAN功能安全管理用户分级管理和口令保护支持防止DOS、ARP攻击功能、ICMP防攻击支持IP、MAC、端口、VLAN的组合绑定支持端口隔离、端口安全、Sticky MAC支持黑洞MAC地址支持MAC地址学习数目限制支持IEEE 802.1X认证，支持单端口最大用户数限制支持AAA认证，支持Radius、TACACS+、NAC等多种方式支持SSH V2.0支持HTTPS支持CPU保护功能支持 黑名单和白名单表3-23.2.2汇聚层设计为了保证数据传输和交换的效率，在楼内设置二层楼内汇聚层。楼内汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性采用H3C S3600-28P-SI汇聚交换机。如图3-3图3-2-2 H3C S3600-28P-SI交换机特点：1扩展性IRF技术允许交换机利用互联电缆实现多台设备的扩展，最大扩展至384个10/100M端口;具有即插即用、单一IP管理，同时大大降低系统扩展的成本。2可靠性通过专利的路由热备份技术，在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断三层转发，极大的增强了堆叠架构的可靠性和性能，同时消除了单点故障，避免了业务中断。3.分布性通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。产品规格及参数： H3C S5500-SI产品规格及参数:产品类型智能交换机应用层级三层传输速率10/100/1000Mbps交换方式存储-转发背板带宽32Gbps包转发率9.6MppsMAC地址表16K端口结构非模块化端口数量28个端口描述24个10/100Base-TX以太网端口，4个1000Base-X SFP千兆以太网端口控制端口1个Console口传输模式全双工/半双工自适应网络标准IEEE 802.1Q，IEEE 802.1D，IEEE 802.1w，IEEE 802.1s，IEEE 802.3x，IEEE 802.1XVLAN支持基于端口的VLAN（4K个）支持基于协议的VLAN支持Voice VLAN支持GVRP支持VLAN VPN（QinQ），灵活QinQQOS支持对端口接收报文的速率和发送报文的速率进行限制支持报文的802.1p和DSCP优先级重新标记支持报文重定向支持CAR功能支持8个端口输出队列支持灵活的队列调度算法组播管理IGMP SnoopingIGMP V1/V2、PIM-SM、PIM-DM、MSDP（EI系列支持）网络管理支持XModem/FTP/TFTP加载升级支持命令行接口（CLI）、Telnet、Console口进行配置支持SNMPV1/V2/V3、WEB网管支持RMON 1，2，3，9组MIB支持iMC智能管理中心支持HGMPv2集群管理支持系统日志、分级告警、调试信息输出支持PING、Tracert支持上电POST、风扇堵转、PoE设备过热等情况的检测与告警支持VCT（Virtual Cable Test）电缆检测功能支持DLDP（Device Link Detection Protocol，设备连接检测协议）支持端口环回检测支持IPv6 host功能族，实现IPv6管理表3-2-2S5700支持自动配置、即插即用、USB开局、自动批量远程升级等功能，便于部署升级和业务发放，简化后续的管理和维护性能。从而大大降低了维护成本。S5700支持SNMP V1/V2/V3、CLI命令行、Web网管、TELNET、HGMP集群管理等多样化的管理和维护方式，设备管理更加灵活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主机、基于端口的流量统计，支持NQA网络质量分析，有利于进一步作好网络规划和改造。3.2.3接入层设计接入层是直接连接多台计算机相连的设备，公司网络中接入层建设中，每个部门网络接入最为典型，其主要特点是上网时间集中，突发流量大、安全控制要求高。鉴于上述特点，对于港隆公司网络接入层配合PVLAN、单端口环回检测、端口速率限制、集群管理等手段.因此接入层设备采用H3C S3100-52p 24口交换机如图3-4图3-2-3 H3C S3100交换机特点：高带宽和高扩展H3C S3100-52p交换机为所有的端口提供二层线速交换能力，同时支持4个GE的上行扩展，满足行业用户多业务和高带宽的应用需求。灵活的用户管理和完备的安全控制策略H3C S3100-52p千兆交换机支持集中式MAC地址认证和802.1x认证，在用户接入网络时完成必要的身份认证，支持广播风暴抑制和端口锁定功能，支持配合H3C公司的CAMS系统对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为，保证接入用户的合法性。支持对Proxy进行有效的管理。H3C S5024P千兆交换机支持通过建立和维护DHCP Snooping绑定表实现侦听接入用户的MAC地址、IP地址、租用期、VLAN-ID 接口等信息，解决 DHCP用户的IP和端口跟踪定位问题。丰富的QOS策略H3C S3100-52p交换机支持每个端口8个输出队列，支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR三种队列调度算法。支持端口双向限速，限速的控制粒度为64 Kbps。多样的管理方式 H3C S3100-52p千兆交换机支持VCT（Virtual Cable Test）电缆检测功能，便于快速定位网络故障点。支持通过FTP、TFTP实现设备的远程升级，支持HGMP集群管理系统和故障诊断，实现了设备的集中管理和维护，支持SNMP，可支持Open View等通用网管平台，以及Quidview网管系统。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便。 产品规格及参数：（见表所示）型号H3C S3100-52p固定端口24个10/100Base-TX以太网端口，2个10/100/1000Base-T以太网端口和2个复用的 1000Base-X SFP千兆以太网端口交换容量所有端口支持线速转发 19.2Gbps包转发率6.55Mpps交换模式存储转发模式（Store and Forward）支持QoS每个端口支持4个输出队列MAC地址支持8K MAC地址 支持黑洞MAC 支持设置端口最大MAC地址学习VLAN支持基于端口的VLAN(4K 个) 支持VLAN VPN（QinQ） 支持GVRP支持ACL支持L2（Layer 2）L4（Layer 4）包过滤功能，可以匹配报文前80个字节，提供基于源MAC地址、目的MAC、源IP地址、目的IP地址、IP协议类型、TCP/UDP端口、TCP/UDP端口范围、VLAN等定义ACL 支持基于时间段（Time Range）的ACL 支持基于端口组、全局、VLAN批量下发ACL安全特性用户分级管理和口令保护 支持Guest VLAN 支持IEEE 802.1X认证 支持集中MAC地址认证 支持SSH 2.0 支持IP源地址保护 支持ARP 入侵检测功能 支持ARP报文限速功能 支持端口隔离 支持IP端口的绑定 支持IP+MAC的绑定 支持端口MAC的绑定 支持IP+MAC+端口的绑定管理与维护支持XModem/FTP/TFTP加载升级 支持命令行接口（CLI），Telnet，Console口进行配置 支持SNMPv1/v2/v3，WEB网管 支持RMON（Remote Monitoring）1，2，3，9组MIB 支持H3C iMC智能管理中心 支持系统日志，分级告警，调试信息输出 支持IPv6 host，包括IPv6单播地址配置，ICMPv6，IPv6邻居发现协议（ND），IPv6静态路由，IPv6-PING，IPv6-TCP，IPv6-TFTP，支持Telnet远程维护 支持上电POST 支持DLDP（Device Link Detection Protocol）单向链路检测协议 支持Loopback-detection 端口环回检测3.3 虚拟局域网VLAN与IP子网设计划分虚拟局域网是整个网络系统的重要技术之一。医院网络内部的环境复杂、分布区域广、网络用户多，以至于企业内部网络用户的可靠性得不到完全的保证。通过划分虚拟局域网，隔离不同部门，可以增强企业网络安全性，以下详细论述了虚拟局域网的技术及在网络系统中的必要性和设计方案。3.3.1虚拟VLAN简介以太网基本上是以广播为基础的，如最初包的寻址等，交换机虽然能够通过建立地址映射表减少不必要的广播，但是地址映射表的建立过程仍然是基于广播的，网络节点（如PC机）在处理广播时浪费了CPU处理时间，降低了处理性能，根据统计，当网络上存在15000个广播包时，将耗尽CPU资源；在传统的网络里，节点的吞吐量都会随着节点的增多而下降，交换式以太网虽然能够隔离冲突域及第二层广播，但是无法隔离第三层网络。另一方面，接入网需要保障用户数据（单播地址的帧）的安全性，隔离携带有用户信息的广播消息（如ARP、DHCP消息等），防止关键设备受到攻击。对每个用户而言，当然不希望他的信息被别人利用，因此需要从物理上隔离用户数据（单播地址的帧），保证用户单播地址的帧只有该用户可以接收到，不像在局域网中采用共享总线方式，使单播地址的帧能被总线上的所有用户接收。如果不隔离这些广播消息而让其他用户接收到，容易发生MAC/IP地址仿冒，影响设备的正常运行，中断合法用户的通信过程。为了隔离第三层广播，增强安全性、提高网络性能，可以运用VLAN（虚拟局域网）技术或者使用路由设备。使用路由器时可以将网络划分多个物理网段，这些物理网段可以连接到路由器的多个端口，多个物理网段间通过路由器进行通信，但是路由器的端口价格远远高出交换机的端口价格，所以这种方式将增加设备投资，在物理网段增多时就更为严重，而且只有使用高端设备才能满足高端口密度的要求，所以不推荐这种方式。VLAN技术不需要特殊的设备，目前第二层交换机均支持VLAN技术。通过在一个物理网段上划分出多个逻辑网段，由每一个逻辑网段构成一个VLAN，其内部采用交换机连接，所有的广播信息只限制在本VLAN内，而之间的连接则采用路由实现，具体实施时可以外加路由器，或者直接使用第三层交换设备。使用路由器时，将这些逻辑网段连接到路由器时可以只使用一条物理链路、占用一个路由器接口，这样就节省了设备的投资，而使用三层交换设备时，不需要额外增加设备，只要交换机支持三层路由功能即可，由于三层交换设备的工作效率高于路由器，所以在本论文中推荐采用三层交换设备实现VLAN之间的路由。3.3.2 VLAN规划目前，VLAN技术可以使用以下方式组建：基于交换机端口的VLAN、基于MAC地址的VLAN和基于应用协议的VLAN：基于端口的VLAN，即静态VLAN，特点是技术简单，容易配置且维护工作量小，缺点是终端设备移动时需要更改设备配置。基于MAC地址的VLAN，即动态VLAN，基于Vlan策略服务组建，特点是终端设备可以在整个局域网中移动而不用改变配置，适合于移动办公型的网络环境，缺点是配置工作量大、繁琐。由于交换机为二层设备，所以基于应用协议的VLAN对于交换机来说没有任何意义，反而会造成交换机性能的下降。考虑到本系统的特点，节点在网络中内移动的可能性较小，基于易维护、易管理方面的考虑，使用基于交换机端口的VLAN进行配置。采用虚拟局域网VLAN主要出于三个目的：用户隔离、提高网络效率；提供灵活的管理；提高系统安全性。因此，规划VLAN时也应该综合考虑这三方面的因素。接入层设备为二层交换机。为了进行不同用户间的有效隔离和互联，需要利用交换机对用户进行相应的VLAN划分。具体做法可以是将交换机的每一端口划分一个VLAN以实现所有用户间的二层隔离，此时如果需要互联，可通过上连设备的ACL功能来控制；也可以根据需要将多个交换机的不同端口划为同一个VLAN，直接实现有限制的用户互联。VLAN规划参照表和图3-5，各个VLAN间由ACL控制，限制互访。其中VLAN10VLAN40为各部门VLAN，禁止互访，VLAN 50为公司文件服务器区，能被任何部门访问，VLAN 60为网管区，能单向访问各个部门。VLAN号网段描述VLAN 10192.168.1.0/24人力资源部VLAN 20192.168.2.0/24财务部VLAN 30192.168.3.0/24销售部VLAN 40192.168.4.0/24网络部VLAN 50192.168.5.0/24行政办公VLAN 100192.168.100.0/24网络管理中心表3-3-2图3-3-23.3.3 IP子网设计IP地址分配要遵循以下原则：1、简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式。2、连续性：为同一个网络区域分配连续的网络地址，便于采用SUMMARIZATION及CIDR(CLASSLESS INTER-DOMA IN ROUTING)技术缩减路由表的表项，提高路由器的处理效率。3、可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性。4、灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化。5、可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。6、安全性：网络内应按工作内容划分成不同网段即子网以便进行管理。根据以上设计和校园网的需求，公司的IP子网划分见表和图3-6所示：表3-6IP子网划分：图3-3-3 SW5Fa0/3192.168.10.2/24Fa0/1192.168.1.2/24Fa0/2192.168.2.2/24SW6Fa0/3192.168.20.2/24Fa0/1192.168.3.2/24Fa0/2192.168.4.2/24SW7Fa0/1192.168.100.1/30Fa0/2192.168.7.2/24Fa0/3192.168.11.2/24Fa0/4192.168.12.2/24 CoreSW1Fa0/1192.168.11.1/24Fa0/2192.168.5.1/24Fa0/3192.168.102.1/24Fa0/4192.168.10.1/24CoreSW2Fa0/1192.168.12.1/24Fa0/2192.168.5.2/24Fa0/3192.168.101.1/24Fa0/4192.168.20.1/24聚合R1Fa0/0192.168.103.1/30Fa0/1192.168.11.2/24Fa0/2192.168.12.2/24PC1192.168.1.3 255.255.255.0PC2192.168.1.4 255.255.255.0PC3192.168.2.3 255.255.255.0PC4192.168.2.4 255.255.255.0PC5192.168.3.3 255.255.255.0PC6192.168.3.4 255.255.255.0PC7192.168.4.3 255.255.255.0PC8192.168.4.4 255.255.255.0表3-3-33.3.4访问控制列表（ACL）设计方案访问控制列表（Access Control List，ACL） 是路由器接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。 ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议（IP、AppleTalk以及IPX）的情况，那么，用户必须定义三种ACL来分别控制这三种协议的数据包。自反访问表在路由器的一边创建I P流量的动态开启，该过程是基于来自路由器另一边的会话进行的。在正常的操作模式下，自反访问表被配置并用于从路由器的不可信方，例如连接到I n t e r n e t的串行端口，创建开启表项。这些开启表项的创建是基于源于设备的可信方的会话进行的，例如以太网或令牌环网的用户连接到一个网段或连接到路由器端口的环。在该过程中，访问表执行的动作称为自反向过滤（ reflexive filtering）。该名称是根据此访问表的类型得来的。在I O S版本11 . 3中引入了自反访问表，并且它可用在所有的路由器平台上。在核心层交换机上配置SW5（由于各个端口配置相似，故只列出核心交换机SW5的e0/1.1）：ip access-list extended e0/0.1-inevaluate admin deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255 deny ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255permit ip any anyexitip access-list extended e-outpermit ip any any reflect adminint e0/0.1ip access-group e-out outip access-group e0/0.1-in inexit3.4路由协议的选择OSPF提供了更多更灵活的路由控制策略，方便复杂网络结构的用户实施路由规划。另一方面则在于OSPF的开放性，为用户网络今后的扩展提供了较大的空间和灵活性，从而获得了广泛的认可，使之成为内部路由协议的一种较佳选择。总的来说OSPF路由协议具有以下优点：适合中小型企业网络搭建节省网络带宽：OSPF属于链路状态协议，只有当网络连接状态发生变化时才彼此更新变化了的拓扑信息，而并非整个网络的LSDB，从而大大节省了网络带宽，这对于大型的广域网来说很重要。支持VLSM：OSPF LSA(Link State Advertisement)中包含子网掩码。支持层次化的网络结构设计：网络设计人员可以把一个大型OSPF网络分成若干域(Area)，其中一个是主干域(Backbone Area, Area ID 0.0.0.0)，其它非主干域均与主干域相连，并通过主干域交换LSDB。同时OSPF还引入了外部路由(External Routes)及ASBR (Autonomous System Boundary Router)概念，非OSPF路由均视为外部路由，由ASBR注入到OSPF域。支持路由总结(Route Summary)：OSPF ABR（连接多个区域的设备）具有路由总结的功能，如果连续地分配IP地址空间，则ABR仅向主干域广播总结后的路由信息，抑制那些具体的路由信息的广播，从而大大减小了其它域中路由器LSDB及路由表的大小。没有路由跳数限制：OSFF路由表是基于LSDB运行Dijkstra算法计算出来的，没有跳数限制。没有路由环路问题：OSPF属于Link-State路由协议，没有环路问题。OSPF其它特性：OSPF定义了Stub Area及 Not-So-Stubby-Area(NSSA)，为设计包含多种路由协议的混合网络，以及控制LSDB及路由表的大小提供了手段。SW5核心交换配置OSPF协议(其他配置一样的，在这里不详细叙述) router ospf 1 network 192.168.5.0 0.0.0.225area1 network 192.168.11.0 0.0.0.255 area1 network 192.168.101.0 0.0.0.3area1 network 192.168.10.0 0.0.0.255 area14 网络安全管理4.1内网安全运用多种技术，如VLAN、防病毒体系等，对各个部门、系所访问进行控制，各单位之间在未授权的情况下不能互相访问，保证系统内部的安全。内网对安全的需求包括VLAN设置需求、防病毒系统需求、网络管理需求和网络系统管理等。4.1.1VLAN设置需求企业网络内部的环境比较复杂，而且各子网的分布区域广，网络用户多，因此，内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户，如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性，必须要对它进行详尽的设计，尽可能防护到网络的每一节点。4.1.2防病毒系统需求针对防病毒危害性极大并且传播极为迅速，必须配备从单机到服务器的整套防病毒软件，实现全网的病毒安全防护。4.1.3网络管理需求此次建设的企业网络系统是一个相当复杂的计算机网络，包含多种设备和技术。随着系统复杂度的增加，会给系统管理带来成指数增加的管理工作量。为此必须要设计一套健全的管理系统。针对系统的功能采取相应的管理措施。4.2 外网安全由于外网主要运行企业各部门非涉密的内部办公业务以及运行面向客户的公开信息，所以必须采取过硬的安全技术来实现企业的网络系统不受Internet的“黑客”、病毒等攻击。外网对安全的需求包括物理安全需求、数据链路层需求、入侵检测系统需求、防病毒系统需求和安全管理体制等。4.2.1物理安全需求针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放机密信息的机房进行必要的设计，如构建屏蔽室。采用辐射干扰机，防止电磁辐射泄漏机密信息。对重要的设备进行冗余配置；对重要系统进行备份等安全保护。4.2.2数据链路层需求信息的泄漏很多都是在链路上被搭线窃取，数据也可能因为在链路上被截获、被篡改后传输给对方，造成数据真实性、完整性得不到保证。如果利用加密设备对传输数据进行加密，使得在网上传输的数据以密文传输。因为数据是密文，所以，即使在传输过程中被截获，入侵者也读不懂，而且加密机还能通过先进行技术手段，对数据传输过程中的完整性、真实性进行鉴别。可以保证数据的保密性、完整性及可靠性。因此，可能需要配备加密设备对数据进行传输加密。4.2.3入侵检测系统需求网络安全是整体的、动态的，不是单一产品能够完全实现的，所以为了确保网络更加安全必须配备入侵检测系统，对透过防火墙的攻击进行检测并做相应反应（记录、报警、阻断）。4.2.4防病毒系统需求针对防病毒危害性极大并且传播极为迅速，必须配备从单机到服务器的整套防病毒软件，实现全网的病毒安全防护。5 安全管理体制安全系统只能提供技术手段和措施，但人为的因素不可忽略，只有确立健全的安全管理体制，设立相应的安全管理岗位，从制度上加以严格管理。系统中包含大量的网络设备，必须为其配置功能强大的管理系统，该系统应具有以下功能：(1)虚拟网管理、分配；(2)对所有网络设备端口的监视和管理；(3)对网络流量的监测和管理；(4)对所有网络设备的远程管理和控制，包括网络端口设备的开放和关闭；(5)整个网络的故障监测，故障自动报警功能；(6)整个网络性能的统计和分析报告。5.1网络应用安全谈到网络应用安全，人们首先想到的是网络黑客。确实，网络黑客几乎与网络同时诞生，黑客与反黑的斗争从来就没有停止过。要有效防止黑客，就必须首先了解黑客所使用的手段。一般说来黑客所使用的手段主要有下面几类。5.1.1网络嗅探一般说来，有网络路由器的地方都有探测程序（sniffer program）。探测程序是一种分析网络流量的网络应用程序。IP的最基本的缺点是缺乏一种机制来确定数据包的真正来源。所有的包都含有源地址和目的地址，但是在IP包中没有任何东西可以确认IP包的源和目的地址是否变动过。显然，安全性不好的系统将是黑客进驻和安装探测软件的地方。一旦探测软件安装完毕，黑客就可以通过分析经过的所有数据流量，从而得到所需要的地址、帐号和密码等数据。其中典型的包探测程序也就是利用IP的弱点，因为它可以用来探测有效的Internet连接。一旦这种连接被检测到，包探测程序就可以利用IP的其它弱点窃取其它连接信息。5.1.2 ARP欺骗感染了ARP 欺骗病毒的计算机会向同网段内所有计算机发ARP欺骗包，导致网络内其它计算机因网关物理地址被更改而无法上网，被欺骗计算机的典型症状是刚开机能上网，几分钟之后断网，如此不断重复，造成了该子网段范围内的不稳定，影响其它机器的正常使用。更为严重的是ARP欺骗病毒及其变形“恶意窃听”等病毒的中毒主机会截取局域网范围内所有的通讯数据。5.1.3 IP地址欺骗当一个黑客开始使用一种用以散布网络路由信息的应用程序RIP时，一种路由方式的地址欺骗就开始了。一般说来，当一个网络收到RIP信息时，这种信息是没有得到验证的。这种缺陷的结果是使得黑客可以发送虚假的路由信息到他想进行欺骗的一台主机，如主机A。这种假冒的信息页将发送到主机A的路径上的所有网关。主机A和这些网关收到的虚假路由信息是来自网络上的一台不工作或没有使用的主机，如主机B。这样，任何要发送到主机B的信息都会转送到黑客的计算机上，而主机A和网关还认为信息是流向了主机B网络上一个可信任的节点。一旦黑客成功地将他的计算机取代了网络上的一台实际主机，就实现了主机欺骗。5.1.4 DOS攻击DOS攻击也称强攻击，其最基本的方法就是通过发起大量的服务请求，消耗服务器或网络的系统资源，使之最终无法响应其它请求，导致系统瘫痪。具体实现方法有下面几种：1、PING/ICMP Echo Flood攻击这种攻击模式一般是发起大量的ICMP Echo请求给一个指定的目标，以达到使服务瘫痪的目的。但是需要发起这么大量的ICMP 请求是不可能从一台具有正确IP地址的主机上做到的，因为这样也会对自身产生很大的影响，发起者不得不接受同样多的回应。所以HACKER需要利用虚假的地址再发起攻击。我们可以利用H3C 9512的源地址验证功能实现防止PING攻击。2、SMURF攻击SMURF攻击类似与PING攻击，是一种带宽消耗的攻击模式。它需要大量虚假ICMP请求导向到IP广播地址上。当一