良品公司网络设备规划设计方案.doc

资源描述

项目实训设计说明书良品公司网络设备规划设计方案设计者：指导教师：专业：计算机网络技术系（院）：信息工程系提交日期：内容摘要21世纪是一个以网络为基础的信息时代。作为计算机技术和通信技术相结合的产物，计算机网络在这个时代发挥着它不可估量的作用，对人们的工作、学习、生活、行为和思维方式都产生着重要的影响。随着科学术的不断进步，计算机技术和网络技术都得到了长足的发展，越来越多的计算机连接到不同的网络中，使得计算机网络不论从结构上还是规模上都发生了很大的变化，这给计算机网络的建设提出了新的挑战，对实施网络工程也提出了新的要求。信息网络不再是虚拟，更是更加贴近我们生活，甚至我们已经离不开网络，正因为我们如此需要网络，网络购物，公司资料，等等，这些非常重要的资料，文件都存储在网络上，所以我们就更应该保证网络的安全和网络的畅通。在整个网络中，我们需要实现一个很好的网络架构，安全，稳定，方便，根据预先设计好的拓扑结构，思想进行设计，对路由器、交换机等配置来实现整个网络架构。本文良品公司网络需求开始分析，根据主流网络设备进行选材，规划最适用于目标网络的拓扑结构，建设合理的网络设计方案。首先，我们利用visio制图制作基本网络拓扑图来实现良品公司网络大体架构，本课题实施部分由cisco模拟器来搭建网络模拟拓扑结构，然后用对路由器交换机的相关配置，在虚拟和理论部悖逆的情况，并且达到理想的效果，进行现场实施。并测试其结果最终验证网络的规划与设计符合企业的需求。在良品公司内部往往也涉及到不同部门需要使用不同的vlan划分，他们之间需要权限，有些部门之间是允许互相访问，资源共享，而对于一些特定的部门，是不允许他们之间进行访问，这样更能促进公司的发展，也能保证公司资料安全不泄露等等，也需要对交换机和路由器进行密码设置，这样特别是核心层交换机，一旦奔溃将使整个公司网络瘫痪，所以我们必须在核心交换机上面实现交换机备份，这样无论是网络的安全性，稳定性，都提高了不少。关键词：局域网，拓扑结构，网络设备目录第一章需求分析41.1项目背景41.2 设计目标41.3 用户实现需求5第二章设计方案52.1 设计原则52.2 网络拓扑结构- 6 -2.3 VLAN的分配和ip的划分- 7 -第三章设备选型- 7 -3.1交换机- 7 -3.2路由器- 9 -3.3服务器- 13 -第四章安全策略- 14 -4.1 网络威胁分析- 14 -4.2 安全要求- 14 -4.3 安全产品选型- 14 -4.4 安全策略部署- 15 -4.4.1VLAN技术- 15 -4.4.2访问控制列表- 16 -4.4.3 VPN- 17 -4.5 防火墙部署- 18 -第五章方案实现结果- 20 -第六章总结- 21 -第一章需求分析1.1项目背景良品公司是一家中型企业，企业规模为800多人。企业办公地址主要为一栋20层大楼，有销售部、办公室、生产部、后勤部及信息中心等多个部门。公司为了加快信息化建设，集团企业网将建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心，以现代化网络技术为低耗，技术先进、扩展性强，将企业的各种办公室、多媒体会议室、网络终端设备、应用系统通过网络连接起来，实现内外沟通的现代化计算机网络系统。1.2 设计目标（1）高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证，在设计中选用高可靠性网络产品，合理设计网络架构，制定可靠的的网络备份策略，保证网络具有故障自愈的能力，最大限度的支持各个系统的正常运行。（2）技术先进性和实用性保证满足系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到公司网络应用的现状和未来的发展趋势。（3）高性能承载网络性能是网络通讯系统良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保障各种信息的高质量传输，才能使网络不成为公司各项业务开展的瓶颈。（4）标准开放性支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于保证与其他网络之间的平滑连接互通，以及将来网络的扩展。（5）灵活性及可扩展性根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度对网络架构和设备的调整。（6）可管理性对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。（7）安全性制定统一的骨干网安全策略，整体考虑网络平台的安全性。1.3 用户实现需求（1）实现公司内部资源共享，即文件服务器，但是对不同的资源要有相应的权限。（2）公司各部可以通过即时通信软件联系，建立公司邮件服务器。（3）打印机共享（4）架设公司web服务器，发布公司网站（5）为了保证安全，Internet与公司内部网络间采用防护措施，防止外界对内部网络未经授权的访问。第二章设计方案2.1 设计原则随着计算机网络的不断发展,信息全球化已成为人类发展的大趋势。由于网络的开放性、互连性等特征,致使网络易受黑客、恶意软件和其他不轨的攻击,所以网上信息尤其是企业内部网络信息的安全和保密是一个至关重要的问题。故此,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。中小企业局域网通常规模较小，结构相对简单，对性能的要求则因应用的同步而差别较大。许多中小企业网络技术人员较少，因而对网络的依赖性很高，要求网络尽可能简单可靠、易用，降低网络的使用和维护成本、提高产品的性能价格比就显得尤为重要。1把握好技术先进性与应用简易性之间的平衡。2具有良好的升级扩展能力。3具有较高的可靠性和安全性。4产品功能与实际应用需求相匹配。5尽可能选择成熟、标准化的技术和产品2.2 网络拓扑结构网络方案逻辑结构图物理结构图 2.3 VLAN的分配和ip的划分第三章设备选型 3.1交换机Quidway S6506： Quidway S6500系列高端多业务交换机是华为3Com公司面向IP城域网、大型企业网及园区网用户的系列大容量、高密度、模块化的二、三层线速以太网交换机产品。为域网、园区网、数据中心提供超高速链路，构建端到端以太网络，打造低成本、高性能、具有丰富业务支持能力的高性能网络。Quidway S6500提供大容量、高密度、模块化的二、三层线速转发性能，同时具有丰富的业务功能、强大的QoS保障、完善的安全管理机制和电信级的高可靠设计，完全满足行业客户和运营商用户对多业务、高可靠、14大容量、模块化的需求。主要作为企业的核心交换机或城域网汇聚层交换机。该系列包括S6502（2槽），S6503（4槽），S6506（7槽），S6506R(8槽)。S6506的产品特点：先进的体系结构 S6500采用全分布式体系结构设计，通过Crossbar技术进行高速报文交换，从而大大提升了路由交换机的转发性能和扩充能力。Crossbar交换网芯片内置于主控板，不再单独占用设备槽位，可提供高达768G的交换容量。强大的QoS能力和精细化用户管理每端口支持8个硬件队列，带宽控制粒度可达64Kbps；强大的用户管理、认证计费功能支持；支持CAMS（综合访问控制管理服务器）系统，提供专业用户管理、计费解决方案；内置IEEE 802.1x认证服务器功能。内置DHCP SERVER功能。运营级可靠性设计系统采用分布式结构； S6500系列所有单板支持热插拔；支持STP/RSTP/MSTP协议和VRRP协议，能够满足苛刻的电信级网络可靠性要求；支持双路电源供电。完善的安全机制支持标准Radius协议，同时提供Radius+功能；支持TACAS+协议；HCBM（华为可控组播管理协议）功能支持；保证对用户的精确认证。支持SSH V1/2。基于最长匹配的路由方式，保证了所有报文均获得相同的转发性能。对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力。接入交换机Quidway S3526C： Quidway S3500系列快速智能三层交换机是华为3Com公司为充分满足高QoS保证的需求而推出的智能型以太网交换机，包括S3526C、S3526E-FS、S3526E-FM三款类型。Quidway S3500系列快速智能三层交换机支持L2L7层的流分类，在流分类的基础上可以进行ACL和QoS方面的多种操作，提供完善的路由协议、VLAN控制、流量交换、QoS保证的机制，以及完备的业务控制和用户管理能力，可作为关注业务管理控制能力的局域网/企业网、业务网和驻地网的汇聚三层交换机。S3526C产品特点：完备的安全智能控制策略：Quidway S3500系列快速智能三层交换机支持802.1x认证，在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持多种ACL访问控制策略，能够对用户访问网络资源的权限进行设置，保证网络的受控访问。丰富的QoS策略：Quidway S3500系列快速智能三层交换机通过对ACL的引用来完成QoS流分类规则的定义，支持基于二层、三层、四层和端口的信息作为匹配依据的复杂流分类；根据服务质量要求的为不同数据流网络流量设置传输优先级标记，满足视频、语音等重要应用的需求。多样的管理方式：Quidway S3500系列快速智能三层交换机支持SNMP，可支持Open View等通用网管平台，以及Quidview、iManager 网管系统。支持Web网管，TELNET，HGMP集群管理，使设备管理更方便 3.2路由器Quidway NetEngine 80：QuidwayNetEngine 80核心路由器是华为公司推出的高端网络产品，主要应用在IP骨干网、IP城域网骨干层以及各种大型IP网络的核心位置。基于分布式的网络处理器硬件转发和无阻塞交换技术，其电信级可靠性、线速转发性能、完善的QoS机制、丰富的业务处理能力、优异的扩展能力，满足不断增长的数据和互联网业务对网络骨干设备的需求。NE80是IP骨干网和IP城域网向宽带化、安全化、业务化发展的重要源动力。NE80的产品特点：分布式第五代路由器 NE80作为第五代路由器采用了业界高性能网络处理器技术，充分继承了第四代全分布式硬件处理的架构，有机地结合了软件的灵活性和硬件的高性能，又具备快速良好的业务升级和扩展能力，最大限度地保证用户投资。 NE80都可以仅通过软件升级方式提供硬件的IPv6转发性能，不需重新购买IPv6硬件设备，为用户节省了大量费用，充分保护用户投资，体现出第五代路由器的优异的扩展能力。业务丰富 NE80基于分布式硬件处理，具备高性能的网络业务能力，提供全面的MPLS VPN业务，胜任高性能P/PE应用，提供高品质、安全和多层次的MPLS VPN解决方案；提供高性能组播能力；提供千兆线速NAT等各种业务。 NE80具备快速良好的业务扩展能力，全面支持IPv6。强大的路由能力、线速的转发性能 NE80支持IP/MPLS分布式转发，路由能力强大，适合IP骨干网应用，支持大路由表，支持丰富的路由协议包括RIP、OSPF、IS-IS、BGP4和多播路由协议，在复杂路由环境下稳定自如电信级可靠性 NE80各关键部件包括路由处理系统、交换网系统、时钟系统、电源、管理总线全部为冗余热备份，实现基于状态的热切换和不间断的路由转发；所有组件支持热插拔；采用无源背板设计；提供热补丁技术，实现软件完全平滑升级；提供IP/MPLS快速重路由、接口自动保护切换（MSP）、虚拟路由冗余协议（VRRP）、RPR自愈环网(IPS)等保护机制，有效保证了全网运行的高速可靠。无与伦比的性能价格比 S6500提供系列化机箱和系列化超级引擎，可以根据不同组网需要进行灵活配置;15 S6500提供多种高密度百兆、千兆、万兆接口板，有效简化网络结构、降低建网成本；S6502无需专门的主控交换引擎，主控交换功能内置于接口板内部，进一步降低建网成本。强大的扩展性能 S6500具有强大的性能和业务扩展能力；背板带宽高达1.6Tbps；可以实现灵活的智能化业务能力，如NAT/MPLS/IP v6等高级业务特性，从而有效保障用户的投资。外网部分在设计外网时，路由器使用Quidway R3640E，交换机使用Quidway S3026F，出口为国产知名品牌的防火墙天融信网络卫士4000-UF。天融信网络卫士4000-UF：严格的安全区域保护 NGFW4000-UF 采用多安全区域体系，NGFW4000-UF 防火墙的每个物理接口对应一个独立的防火区域，每个区域的安全策略只对该区域有效。每个区域可以单独设置自己的默认安全策略，所有对该区域的访问都将匹配与该区域对应的安全策略。也可以设定是否允许从该区域PING 、TELNET 以及管理防火墙。可以定义某个接口连接的网络为安全服务器网络（SSNSecurity Server Network ），将提供信息访问服务的服务器安装于该网络区域内，与内、外网络从物理上隔离开来，并提供专门的安全保护。NGFW4000-UF一般情况下，SSN 主机不允许主动向内、外网发起连接请求，只允许向内、外网回应其请求数据包；外网用户也只能访问SSN 上的主机，不能访问内部网主机。即SSN 与外部网之间受防火墙保护，同时SSN 与内部网之间也受防火墙保护，即使SSN 受破坏，内部网络仍处于防火墙保护之下。同时NGFW4000-UF 提供的SSN 保护功能针对用户最常提供的Web 访问服务进行专门保护，能定时检查SSN 区Web服务器，进行校验，一旦发现服务器被入侵修改，能够根据备份的信息及时恢复服务器内容，将服务器被入侵修改造成的影响减至最小。强大的VPN功能 NGFW 4000-UF支持内建VPN功能模块。选择拥有VPN功能的NGFW4000-UF，就能够与VPN 体系中的VPN网关、Windows 客户端，当然也包括另外的启用了VPN 功能的NGFW 4000-UF互通。它们之间可以建立加密隧道进行加密通信，形成虚拟专用网，借助互联网组建安全可靠的私有网络。NGFW 4000-UF防火墙支持内嵌VPN模块支持，支持IPSEC、IKE等国际标准，支持国家有关密码管理部门批准的密码算法；支持网关到网关、网关到远程客户端的隧道。NGFW 4000-UF无缝集成VPN功能，就相当于一台VPN网关与一台防火墙两套系统组合起来，更好地管理维护，而且由于是内建的功能支持，功能间的结合更加平滑易用，并且可以实现防火墙能对密文和解密后的明文进行多层次的安全控制，提供更高的安全性。该方案中使用网络卫士4000-UF是基于网络安全的考虑，企业网络对安全要求较高，保证高效办公的同时又要保证政务办公网的安全，因此政务办公网和Internet外网络必须进行隔离，NGFW 4000-UF的SSN技术可以满足这一要求。对于Internet用户，考虑到有些领导在出差时期需要进行移动办公，移动办公基于安全的考虑使用VPN拨号，因此要求防火墙具有强大的VPN功能，在保证移动办公的同时，又保证了政务办公网的安全。 3.3服务器DNS服务器：采用浪潮英信系列服务器NF130 G2一台，选用主频为Intel XEON 2.8MHz/512K的CPU两块，内存为2G，服务器硬盘采用36.4G二块做RAID1来保护操作系统的安全。操作系统采用Windows Server 2003标准版，运行DNS服务来进行域名解析服务，并于邮件服务器相配合完成邮件的内、外网的收发工作。WEB服务器：采用浪潮英信系列服务器NF130 G2一台，选用主频为Intel XEON 2.8MHz/512K的CPU两块，内存为2G，服务器硬盘采用36.4G二块做RAID1来保护操作系统的安全。操作系统采用Windows Server 2003标准版，运行IIS Server 6.0 来进行网站的发布，通过此网站来实现对用户Internet平台的统一界面。能够为客户提供通过Internet进行办公信息、的发布和查询等功能。认证服务器：采用华为的CAMS 综合访问管理服务器，该服务器采用Linux 9系统平台，Oracle9.0数据库。CAMS作为网络中的用户管理核心，在基本的AAA（Authorization、Authentication and Accounting）功能之上，提供了强大的管理、维护和安全控制平台，实现网络的可管理、可运营和高安全。第四章安全策略 4.1 网络威胁分析公司网络的安全风险可能包括以下几个：(1)公司网络与公网连接，可能遭到来自各地的越权访问，还可能遭到网络黑客的恶意攻击和计算机病毒的入侵； (2)内部的各个子网通过骨干交换相互连接，这样的话，某些重要的部门可能会遭到来自其它部门的越权访问。这些越权访问可能包括恶意攻击、误操作等，据统计约有70左右的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚的优势，但是无论怎样，结果都将导致重要信息的泄露或者网络的瘫痪；(3)设备的自身安全性也会直接关系到网络系统和各种网络应用的正常运转。例如，路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。重要服务器或操作系统自身存在安全的漏洞，如果管理员没有及时的发现并且进行修复，将会为网络的安全带来很多不安定的因素。重要服务器的当机或者重要数据的意外丢失，都将会造成公司日常办公无法进行。 4.2 安全要求（1）物理安全包括保护计算机网络设备设施以及数据库资料免遭地震、水灾、火灾等环境事故以及人为操作失误导致系统损坏，同时要避免由于电磁泄漏引起的信息失密。 (2)网络安全主要包括系统安全和网络运行安全，检测到系统安全漏洞和对于网络访问的控制。（3）信息安全包括信息传输的安全、信息存储的安全以及对用户的授权和鉴别。 4.3 安全产品选型（1）安全保密产品的接入应不明显影响网络系统运行效率，并且满足工作的要求；（2）安全保密产品必须通过国管部门指定的测评机构的检测；安全保密产；（3）品必须具备自我保护能力；（4）安全保密产品必须符合国家和国际上的相关标准；（5）安全产品必须操作简单易用，便于简单部署和集中管理。 4.4 安全策略部署 4.4.1VLAN技术 VLAN（Virtual Local Area Network）的中文名为“虚拟局域网”。VLAN 是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。VLAN要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内，这样就大大的增加了局域网内部的此信息安全性。将各部门划属不同的VLAN，它们之间是不能通信的，这样能有效避免部门间的越权访问，特别是像资产管理部这样的数据比较敏感的部门，对于那些与他不属于一个VLAN的电脑是无法访问它的。同时，这样还防止广播风暴的发生，避免过多广播包占据带宽造成网络拥塞。另外，VLAN为网络管理带来了很大的方便，将每个部门划分为一个VLAN，每个VLAN内的客户终端需求是基本相似的，对于故障排查或者软件升级等都比较方便，大大提高了网络管理人员的工作效率。各个vlan之间数据的传输，必须经过trunk链路。Trunk是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器。基于端口汇聚的功能，允许交换机与交换机、交换机与路由器、交换机与主机或路由之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量，大幅度提高整个网络的能力。Trunk端口一般为交换机和交换机之间的级联端口，用于传递所有vlan信息。 Trunk链路配置命令： Switch(config)#interface range interface-number Switch (config-if-range)#switchport trunk encapsulation dot1q Switch(config-if-range)#switchport mode trunk Switch (config-if-range)#exit VLAN技术中用到的协议有vtp(vlan trunking protocol),这是vlan中继协议，也被称为虚拟局域网干道协议。它是思科的专有协议，vtp可以减少vlan的相关人物管理。 VTP基本配置命令： Switch (vlan) # vtp domain domain-name Switch (vlan) # vtp mode server/client/transparent Switch (vlan) # vtp password password Switch (vlan) #trunk on | off | desirable | auto | nonegotiate Switch (vlan) # exit Switch (vlan)#vlan vlan-id name vlan-name4.4.2访问控制列表访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。使用访问控制列表不但能过滤通过路由器的数据包，而且也是控制网络中数据流量的一个重要方法 ACL示意图标准访问列表配置命令: Router(config)#access-list access-list-number permit|deny source mask 扩展访问列表配置命令: Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator- port established log 4.4.3 VPN 公司员工可能需要经常出差或者在外办公，需要通过公网访问公司网络，这时数据在公网上传播就很不安全，所以我们需要一条专门的通道来安全传输信息，这就是VPN（虚拟专用网）。 VPN被定义为通过一个公共网络建立一个临时的、安全的连接，是一条穿过混乱的公共网络的安全、稳定的隧道。虚拟专用网事对企业内部网的扩展。虚拟专用可以帮助运程用户、公司分支机构、商业伙伴及移动办公用户的内部网络建立可信的安全连接，并保证数据的安全传输。一个企业的虚拟专用网解决方案也将大幅度减少用户花费在城域网和远程网络连接上的费用。 VPN业务都是基于隧道技术实现的，隧道机制是VPN实施的关键。数据通过安全的“加密管道”在公共网络中传播。VPN的隧道技术就是数据包不是公开在网上传输，而是首先进行加密以确保安全，然后由VPN封装成IP包的形式，通过隧道在网上传输。源网络的VPN隧道发起器与目标网络上的VPN隧道发起器进行通信。两者就加密方案达成一致，然后隧道发起器对包进行加密，确保安全（为了加强安全，应采用验证过程，以确保连接用户拥有进入目标网络的相应的权限。大多数现有的VPN产品支持多种验证方式）。最后，VPN发起器将整个加密包封装成IP包。现在不管原先传输的是何种协议，它都能在纯IP因特网上传输。又因为包进行了加密，所以谁也无法读取原始数据。在目标网络这头，VPN隧道终结器收到包后去掉IP信息，然后根据达成一致的加密方案对包进行解密，将随后获得的包发给远程接入服务器或本地路由器，他们在把隐藏的IPX包发到网络，最终发往相应目的地。VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。VPN原理示意图： 4.5 防火墙部署防火墙：思科的ASA5505-SEC-BUN-K9防火墙是为中小型企业设计的一款产品，它集高安全性和高可扩展性于一身，能够对病毒、垃圾邮件、非授权访问等进行实时监控，并提供VPN服务，为用户提供全面的保护。它构建于Cisco PIX 安全设备系列的基础之上，能够提供内部网到内部网和远程接入到内部网两种安全保护，可以防御互联网中的病毒、间谍软件的攻击，并可阻止垃圾邮件和非法连接，在提供安全网络环境的同时，也提高了员工的工作效率，为公司创造更高的经济效益。(1）包过滤：控制流出和流入的网络数据，可基于源地址、源端口、目的地址、目的端口、协议和时间，根据地址簿进行设置规则。（2）地址转换：将内部网络或外部网络的IP地址转换，可分为源地址转换Source NAT(SNAT)和目的地址转换Destination NAT(DNAT)。SNAT用于对内部网络地址进行转换，对外部网络隐藏起内部网络的结构，避免受到来自外部其他网络的非授权访问或恶意攻击。并将有限的IP地址动态或静态的与内部IP地址对应起来，用来缓解地址空间的短缺问题，节省资源，降低成本。DNAT主要用于外网主机访问内网主机。（3）认证和应用代理：认证指防火墙对访问网络者合法身分的确定。代理指防火墙内置用户认证数据库;提供HTTP、FTP和SMTP代理功能，并可对这三种协议进行访问控制。同时支持URL过滤功能，防止员工在上班时间访问某些网站，影响工作效率。（4）透明和路由：将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问，同时阻止了外部未授权访问者对专用网络的非法访问;防火墙还支持路由方式，提供静态路由功能，支持内部多个子网之间的安全访问。第五章方案实现结果网络工程实施完成后，主要实现以下功能：首先是公司内部办公资源的高度共享，通过FTP服务，员工可按权限上传下载资料。上传权限只赋予网络管理人员，下载权限根据文件性质设定，一般按部门来限定文件的下载权限。设定FTP服务的最大访问量为50人，即同时只能50人同时访问FTP服务器，以防访问量过多造成网络拥堵。在公司的PC机上安装即时通讯软件，那么公司内部员工可利用即时通讯软件及时的沟通和文件传送，同时公司下达通知也方便了很多。其次，该网络提供宽带网络支持，内部用户可连接Internet。但是出于网络安全考虑，我们在防火墙和和核心交换机上都部署了安全策略，限制了内部用户对某些网站的访问权限。例如核心交换机上写入的扩展访问控制列表，可以禁止公司员工使用某些下载软件，以免影响公司网络稳定。同时也可以使员工在上班时间不能访问某些网页，避免员工在工作时间娱乐，影响工作效率。方案中防火墙主要就是对Internet中的病毒，垃圾邮件以及非授权访问的拦截。并监控进出的数据流量，防止内部人员泄露公司机密资料。第三，通过web服务器公司向外发布公司网站，公布行业信息以及网上交易系统。用户通过网站进行交易，每日有庞大的数据量在传输，且交易讲求的就是即时准确，所以核心层和汇聚层都使用两台设备，且采用了端口汇聚技术，即保证了数据传输所需要的带宽，而且在任何一台设备出现故障时，网络还能正常运转，保证了网上交易的即时。第四，vpn是为出差员工需要通过公网连接入公司内部网络办公而专门架设的。在方案中选用的防火墙Cisco ASA5505-SEC-BUN-K9可以作为VPN网关设备，在其中写入公司的固定IP地址，移动办公用户使用VPN客户端软件，拨号进入公司网络。在用户使用VPN客户端通过拨号进入公司网络的过程中，VPN网关设备将会对VPN客户端进行身份认证以确保只有合法用户才可以连入公司网络。第六章总结根据一个行业的特定要求做的一个企业网络解决方案。其中应用了现今企业网络中较为常用的主流技术。网络整体采用的是Cisco三层架构，这个结构的优点是稳定性好、设备负载均衡、易扩展，并且网络故障排查也比较容易。核心层和汇聚层都用两台设备，既平衡设备负载又防止机器故障致使网络瘫痪。证劵企业的网络最重要的是在网络安全方面，所以在本方案中我们用vlan技术和ACL技术作为内部网络的安全策略，主要是防止公司内部的非授权访问。而在内部网络与Internet之间我们则采用硬件防火墙将两部分网络隔离开，设置策略只允许合法的数据进出，各种网络安全技术相结合，使得网络更安全可靠。组建一个高速、宽带、稳定、可靠，且能融合安全与保密等全新需求的内外联网络系统，是当前企业网络发展的趋势。随着金融业的全球化，网上交易、电子商务等网上交易手段的日益普及，网络传输信息量日益剧增，高层交换机的研发和应用将会成为主流。在未来的高层交换机上，将会集中体现ISO的七层标准，将传统的网络分立设备统一起来，这不仅可以极大地提高网络系统的数据分发、传输和交换能力与速率，还能够降低设备成本、简化网络管理、优化组网过程，使企业网络更加的高速、稳定，成为企业发展进步的一个助力。

展开阅读全文