公司網(wǎng)絡(luò)設(shè)計畢業(yè)論文

1、<p><b>　　畢業(yè)綜合實踐報告</b></p><p>　　Graduation synthesis practice report</p><p>　　電子商務(wù)有限公司網(wǎng)絡(luò)設(shè)計與虛擬實現(xiàn)</p><p>　　QuYuan Electronic Business Co. Network Design And Virtual Im

2、plement</p><p><b>　　摘要</b></p><p>　　隨著網(wǎng)絡(luò)的逐步普及，企業(yè)網(wǎng)絡(luò)的建設(shè)是企業(yè)向信息化發(fā)展的必然選擇，企業(yè)網(wǎng)網(wǎng)絡(luò)系統(tǒng)是一個非常龐大而復(fù)雜的系統(tǒng)，它不僅為現(xiàn)代化發(fā)展、綜合信息管理和辦公自動化等一系列應(yīng)用提供基本操作平臺，而且能提供多種應(yīng)用服務(wù)，使信息能及時、準確地傳送給各個系統(tǒng)。而企業(yè)網(wǎng)工程建設(shè)中主要應(yīng)用了網(wǎng)絡(luò)技術(shù)中的重要分支局域

3、網(wǎng)技術(shù)來建設(shè)與管理的，其主要包括局域網(wǎng)的技術(shù)思想、網(wǎng)絡(luò)設(shè)計方案、網(wǎng)絡(luò)拓撲結(jié)構(gòu)、布線系統(tǒng)、Intranet/Internet的應(yīng)用、網(wǎng)絡(luò)安全等。因此本畢業(yè)設(shè)計課題將主要以企業(yè)局域網(wǎng)絡(luò)建設(shè)過程可能用到的技術(shù)及實施方案為設(shè)計方向，為企業(yè)網(wǎng)的建設(shè)提供理論依據(jù)和實踐指導(dǎo)。 </p><p>　　Along with network popularizing step-by-step, the enterprise netw

4、ork construction is the enterprise to the informationization development inevitably choice, the enterprise network network system is one extremely huge and the complex system, not only it for the modernized development,

5、the synthesis information management and the office automation and so on a series of applications provides the elementary operation eo platform, moreover can provide many kinds of application service, enables the in</

6、p><p><b>　　目錄</b></p><p>　　畢業(yè)綜合實踐報告1</p><p><b>　　摘要4</b></p><p>　　一、園區(qū)網(wǎng)概述6</p><p><b>　　(一)定義6</b></p><p&g

7、t;　　(二)主要特征6</p><p>　　(三)發(fā)展趨勢6</p><p>　　(四)需求分析6</p><p>　　二、園區(qū)網(wǎng)設(shè)計7</p><p>　　(一)網(wǎng)絡(luò)設(shè)計原則7</p><p>　　(二)網(wǎng)絡(luò)設(shè)計特點8</p><p>　　(三)網(wǎng)絡(luò)模型設(shè)計8&l

8、t;/p><p>　　(四)園區(qū)網(wǎng)絡(luò)拓撲圖9</p><p>　　(五)IP地址的規(guī)劃10</p><p>　　(六)VLAN的規(guī)劃10</p><p>　　(七)網(wǎng)絡(luò)設(shè)備的選擇11</p><p>　　三、網(wǎng)絡(luò)安全設(shè)計12</p><p>　　(一)基本概念12</p

9、><p>　　(二)主要特點12</p><p>　　(三)VLAN技術(shù)12</p><p>　　(四)ACL的介紹與作用13</p><p>　　(五)殺毒軟件14</p><p>　　(六)防火墻技術(shù)14</p><p>　　(七)其它安全措施15</p>

10、<p>　　(八)安全技術(shù)的應(yīng)用16</p><p>　　四、網(wǎng)絡(luò)虛擬實現(xiàn)17</p><p>　　(一)模擬器介紹17</p><p>　　(二)模擬環(huán)境拓撲圖17</p><p>　　(三)具體配置17</p><p><b>　　五、測試21</b><

11、/p><p>　　(一)內(nèi)網(wǎng)與ISP及外網(wǎng)服務(wù)器連接狀態(tài)21</p><p>　　(二)因特網(wǎng)訪問內(nèi)網(wǎng)服務(wù)器23</p><p>　　(三)NAT轉(zhuǎn)換表24</p><p><b>　　六、總結(jié)25</b></p><p><b>　　參考文獻26</b><

12、;/p><p><b>　　園區(qū)網(wǎng)概述</b></p><p><b>　　定義</b></p><p>　　園區(qū)網(wǎng)通常是指大學(xué)的校園網(wǎng)及企業(yè)的內(nèi)部網(wǎng)（intranet)</p><p><b>　　主要特征</b></p><p>　　網(wǎng)絡(luò)特別是路由結(jié)構(gòu)完

13、全由一個機構(gòu)來管理。但是很多時候，園區(qū)網(wǎng)的使用效率不高，尤其是關(guān)鍵業(yè)務(wù)得不到保證。</p><p><b>　　發(fā)展趨勢</b></p><p>　　從計算機網(wǎng)絡(luò)應(yīng)用角度來看，網(wǎng)絡(luò)應(yīng)用系統(tǒng)將向更深和更寬的方向發(fā)展，這也相應(yīng)的影響著未來園區(qū)網(wǎng)的發(fā)展方向。</p><p>　　首先，Internet信息服務(wù)將會得到更大發(fā)展。網(wǎng)上信息瀏覽、信息交換、

14、資源共享等技術(shù)將進一步提高速度、容量及信息的安全性。</p><p>　　其次，遠程會議、遠程教學(xué)、遠程醫(yī)療、遠程購物等應(yīng)用將逐步從實驗室走出，不再只是幻想。網(wǎng)絡(luò)多媒體技術(shù)的應(yīng)用也將成為網(wǎng)絡(luò)發(fā)展的熱點話題。</p><p><b>　　需求分析</b></p><p>　　**電子商務(wù)有限公司是一個由十幾人組成的小公司（單一的局域網(wǎng)），由于經(jīng)營

15、得當，發(fā)展較快。所以公司現(xiàn)在需要擴大規(guī)模來滿足更多的業(yè)務(wù)需求。公司租用一棟大樓的幾層，并劃分為幾個部門（財務(wù)部，研發(fā)部，技術(shù)部，人事部，市場營銷部），要求每個部門處在不同的網(wǎng)絡(luò)，但一個部門不一定要在一個樓層。并且要有對外的WEB站點，對內(nèi)的FTP和MAIL服務(wù)器。</p><p><b>　　園區(qū)網(wǎng)設(shè)計</b></p><p><b>　　網(wǎng)絡(luò)設(shè)計原則<

16、;/b></p><p><b>　　技術(shù)先進性</b></p><p>　　計算機網(wǎng)絡(luò)技術(shù)的發(fā)展非常迅速，在計算機應(yīng)用領(lǐng)域占有越來越重要的地位。必須認識到，建立計算機網(wǎng)絡(luò)是一個動態(tài)的過程，在這個過程中將不斷有新技術(shù)產(chǎn)生，有新產(chǎn)品出現(xiàn)。因此,一定要采用最先進的組網(wǎng)技術(shù)，選用代表當今世界潮流趨勢的計算機公司的網(wǎng)絡(luò)產(chǎn)品，才能在未來的發(fā)展中保持技術(shù)領(lǐng)先。 </p

17、><p><b>　　國際標準及開放性</b></p><p>　　現(xiàn)代網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢是遵循國際統(tǒng)一標準的開放系統(tǒng)、支持分布式計算和客戶機/計算機，運行多種網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議，兼容其他廠商的網(wǎng)絡(luò)產(chǎn)品，遵守國際標準的開放式系統(tǒng)。這樣，才能在未來的發(fā)展中保持網(wǎng)絡(luò)配置和應(yīng)用模式的靈活性。 </p><p>　　充足的、可擴展的帶寬</p&g

18、t;<p>　　隨著應(yīng)用軟件復(fù)雜程度的增加，網(wǎng)絡(luò)用戶數(shù)量的增長以及多媒體技術(shù)的普及，當今網(wǎng)絡(luò)對帶寬的需求日益增加。傳統(tǒng)的共享式10M/16M 網(wǎng)絡(luò)已不能滿足需求。網(wǎng)絡(luò)系統(tǒng)應(yīng)該能為用戶提供足夠的帶寬，滿足用戶的實際應(yīng)用需求，并且?guī)拺?yīng)該是動態(tài)可調(diào)整、可擴展的。 </p><p><b>　　安全可靠性</b></p><p>　　網(wǎng)絡(luò)的安全可靠性是網(wǎng)絡(luò)的一

19、個重要的指標。計算機網(wǎng)絡(luò)系統(tǒng)必須絕對可靠，網(wǎng)絡(luò)設(shè)計必須可靠性重點考慮。從結(jié)構(gòu)設(shè)計、產(chǎn)品選擇以及網(wǎng)絡(luò)管理上要對網(wǎng)絡(luò)的可靠性作出保證。安全性與可靠性同樣重要，除了系統(tǒng)提供多種安全控制的手段外，網(wǎng)絡(luò)設(shè)計也要提供保障其安全的手段。 </p><p><b>　　網(wǎng)絡(luò)可管理</b></p><p>　　網(wǎng)絡(luò)系統(tǒng)有限公司的網(wǎng)絡(luò)是一條信息公路，設(shè)計時必須提供足夠的手段對信息公路進行

20、方便的管理，以確保其始終保持在最佳狀態(tài)下運行。沒有網(wǎng)絡(luò)管理功能將很難保證系統(tǒng)的正常運行。 </p><p><b>　　實用性</b></p><p>　　網(wǎng)絡(luò)設(shè)計一定要充分保護網(wǎng)絡(luò)系統(tǒng)現(xiàn)有資源。同時要根據(jù)實際情況，采用新技術(shù)和新裝備，還需要考慮組網(wǎng)過程要與平臺建設(shè)及開發(fā)同步進行，建立一個實用的網(wǎng)絡(luò)。力求使網(wǎng)絡(luò)既滿足目前需要，又能適應(yīng)未來發(fā)展，同時達到較好的性能/價格

21、比。</p><p><b>　　網(wǎng)絡(luò)設(shè)計特點</b></p><p>　　開放式的網(wǎng)絡(luò)體系結(jié)構(gòu)，使不同軟硬件環(huán)境、不同網(wǎng)絡(luò)協(xié)議的網(wǎng)可以互連，真正達到資源共享，數(shù)據(jù)通信和分布處理的目標。 </p><p>　　向高性能發(fā)展。追求高速、高可靠和高安全性，采用多媒體技術(shù)，提供文本、聲音圖像等綜合性服務(wù)。 </p><p>　

22、　計算機網(wǎng)絡(luò)的智能化，多方面提高網(wǎng)絡(luò)的性能和綜合的多功能服務(wù)，并更加合理地進行網(wǎng)絡(luò)各種業(yè)務(wù)的管理，真正以分布和開放的形式向用戶提供服務(wù)。 </p><p><b>　　網(wǎng)絡(luò)模型設(shè)計</b></p><p>　　三層網(wǎng)絡(luò)架構(gòu)采用層次化模型設(shè)計，即將復(fù)雜的網(wǎng)絡(luò)設(shè)計分成三個層次，每個層次著重于某些特定的功能，這樣就能夠使一個復(fù)雜的大問題變成許多簡單的小問題。三層網(wǎng)絡(luò)架構(gòu)設(shè)計

23、的網(wǎng)絡(luò)有以下三個層次：</p><p><b>　　核心層</b></p><p>　　核心層是網(wǎng)絡(luò)的高速交換主干,對整個網(wǎng)絡(luò)的連通起到至關(guān)重要的作用。核心層應(yīng)該具有如下幾個特性:可靠性、高效性、冗余性、容錯性、可管理性、適應(yīng)性、低延時性等。</p><p>　　該層必須是基于千兆高速交換和路由的設(shè)計，設(shè)備的性能容量也是最高的（高達百Gbps

24、容量和每秒千萬級數(shù)據(jù)包轉(zhuǎn)發(fā)能力）。主要是由全模塊化的高性能多層路由交換機和高性能服務(wù)器組成，系統(tǒng)帶寬必須是千兆甚至10Gbps。</p><p><b>　　匯聚層</b></p><p>　　匯聚層是網(wǎng)絡(luò)接入層和核心層的“中介”，就是在工作站接入核心層前先做匯聚，以減輕核心層設(shè)備的負荷。匯聚層具有實施路由策略、安全、工作組接入、虛擬局域網(wǎng)(VLAN)之間的路由、源地

25、址或目的地址過濾等多種功能。</p><p>　　該層一般采用100M 或1000M的快速交換路由設(shè)計，設(shè)備的性能容量性也很高，主要由固定配置+可選模塊的三層路由交換設(shè)備組成。</p><p><b>　　接入層</b></p><p>　　接入層向本地網(wǎng)段提供工作站接入。在接入層中，減少同一網(wǎng)段的工作站數(shù)量,能夠向工作組提供高速帶寬。<

26、/p><p>　　訪問層是由100M 快速以太網(wǎng)交換機和客戶機組成，該層次一般采用100M 快速以太網(wǎng)，采用可管理的固定配置的工作組級別的交換機，能提供多層堆疊功能實現(xiàn)大量用戶的接入。</p><p>　　三層網(wǎng)絡(luò)架構(gòu)的特點是網(wǎng)絡(luò)性能高，層次清晰，網(wǎng)絡(luò)管理直觀、方便，并合理地分散了網(wǎng)絡(luò)設(shè)備帶來的安全風(fēng)險，網(wǎng)絡(luò)結(jié)構(gòu)安全可靠。</p><p><b>　　園區(qū)網(wǎng)絡(luò)

27、拓撲圖</b></p><p><b>　　IP地址的規(guī)劃</b></p><p>　　雖然該公司現(xiàn)在規(guī)模不大，每個網(wǎng)絡(luò)每需容納的IP數(shù)也不超過254（C類的可用IP數(shù)），但由于公司現(xiàn)階段發(fā)展較快，單個網(wǎng)絡(luò)的規(guī)模也會越來越大。為了使公司網(wǎng)絡(luò)更具可拓展性，建議使用B類或A類地址。</p><p>　　服務(wù)器所在網(wǎng)絡(luò)使用172.20.0

28、.0/16,公司的五個部門（人事部，財務(wù)部，研發(fā)部，技術(shù)部，市場營銷部）分別使用IP地址172.21.0.0/24~172.25.0/24,而每個網(wǎng)關(guān)的IP使用該網(wǎng)絡(luò)最后一個有效IP地址。</p><p><b>　　VLAN的規(guī)劃</b></p><p>　　虛擬局域網(wǎng)(VLAN)是將局域網(wǎng)內(nèi)廣播域邏輯地劃分為若干子網(wǎng)。在一個交換局域網(wǎng)中，所有局域網(wǎng)段通過交換機連接

29、到一起，路由器連在交換機上(如果是三層交換機，則不需路由器)，可以按網(wǎng)段和站點的邏輯分組形成廣播域，通過在局域網(wǎng)交換機內(nèi)過濾廣播包，使得源于特定虛擬局域網(wǎng)的信息包僅傳送到那些也屬于這個虛擬局域網(wǎng)的網(wǎng)段上。虛擬局域網(wǎng)之間的尋徑由路由器完成。</p><p>　　虛擬局域網(wǎng)建立以后，能有效地控制網(wǎng)絡(luò)的廣播風(fēng)暴，減少不必要的資源帶寬浪費，并能隨著企業(yè)規(guī)模的發(fā)展和調(diào)整改變通信流的模式。</p><p&

30、gt;　　VLAN規(guī)劃需要考慮如下因素：</p><p>　?、儆脩鬡LAN與設(shè)備管理VLAN分開(IP地址)。</p><p>　?、跒榫W(wǎng)絡(luò)擴容進行可匯總的預(yù)留設(shè)計。</p><p>　?、跧P地址與VLAN編號(其它相關(guān)因素)有一定的對照性。</p><p>　　該公司的園區(qū)網(wǎng)絡(luò)IP地址具體規(guī)劃如表：</p><p&g

31、t;<b>　　網(wǎng)絡(luò)設(shè)備的選擇</b></p><p>　　通過對目前市場上設(shè)備的性能分析，結(jié)合企業(yè)實際和對網(wǎng)絡(luò)擴展性的考慮，以及基于高性能、全交換，可擴展性強，系統(tǒng)安全，保密性高，管理簡單，保護投資的選擇原則，選擇了以下4 款設(shè)備：</p><p><b>　　服務(wù)器：2臺</b></p><p>　　出口設(shè)備：2811

32、 2臺。</p><p>　　匯聚設(shè)備：S3560 1臺，每臺配置2塊千兆光纜接口。</p><p>　　接入設(shè)備：S2960二層交換機4臺。</p><p>　　鏈路設(shè)備：萬兆光纖、千兆光纖、雙絞線。</p><p><b>　　網(wǎng)絡(luò)安全設(shè)計</b></p><p><b>　　基本概

33、念</b></p><p>　　網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。 網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安

34、全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。</p><p><b>　　主要特點</b></p><p>　　保密性：信息不泄露給非授權(quán)用戶、實體或過程，或供其利用的特性。 </p><p>　　完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。 </p><p&

35、gt;　　可用性：可被授權(quán)實體訪問并按需求使用的特性。即當需要時能否存取所需 的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊； </p><p>　　可控性：對信息的傳播及內(nèi)容具有控制能力。</p><p>　　可審查性：出現(xiàn)安全問題時提供依據(jù)與手段</p><p><b>　　VLAN技術(shù)</b></

36、p><p>　　VLAN（Virtual Local Area Network）的中文名為"虛擬局域網(wǎng)"。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機和路由器中，但主流應(yīng)用還是在交換機之中。但又不是所有交換機都具有此功能，只有VLAN協(xié)議的第三層以上交換機才具有此功能，這一點可以查看相應(yīng)交換機的說明書即可得知。VLAN的優(yōu)點

37、：</p><p><b>　　廣播風(fēng)暴防范</b></p><p>　　限制網(wǎng)絡(luò)上的廣播，將網(wǎng)絡(luò)劃分為多個VLAN可減少參與廣播風(fēng)暴的設(shè)備數(shù)量。LAN分段可以防止廣播風(fēng)暴波及整個網(wǎng)絡(luò)。VLAN可以提供建立防火墻的機制，防止交換網(wǎng)絡(luò)的過量廣播。使用VLAN，可以將某個交換端口或用戶賦于某一個特定的VLAN組，該VLAN組可以在一個交換網(wǎng)中或跨接多個交換機，在一個VLA

38、N中的廣播不會送到VLAN之外。同樣，相鄰的端口不會收到其他VLAN產(chǎn)生的廣 播。這樣可以減少廣播流量，釋放帶寬給用戶應(yīng)用，減少廣播的產(chǎn)生。 </p><p><b>　　安全</b></p><p>　　增強局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機密信息的可能性。不同VLAN內(nèi)的報文在傳輸時是相互隔離的，即一個VLAN內(nèi)的用戶不能和

39、其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設(shè)備。 </p><p><b>　　成本降低</b></p><p>　　成本高昂的網(wǎng)絡(luò)升級需求減少，現(xiàn)有帶寬和上行鏈路的利用率更高，因此可節(jié)約成本。 </p><p><b>　　性能提高</b></p><

40、p>　　將第二層平面網(wǎng)絡(luò)劃分為多個邏輯工作組（廣播域）可以減少網(wǎng)絡(luò)上不必要的流量并提高性能。 </p><p><b>　　提高IT員工效率</b></p><p>　　VLAN為網(wǎng)絡(luò)管理帶來了方便，因為有相似網(wǎng)絡(luò)需求的用戶將共享同一個VLAN。 </p><p>　　簡化項目管理或應(yīng)用管理</p><p>　　V

41、LAN 將用戶和網(wǎng)絡(luò)設(shè)備聚合到一起，以支持商業(yè)需求或地域上的需求。通過職能劃分，項目管理或特殊應(yīng)用的處理都變得十分方便，例如可以輕松管理教師的電子教學(xué)開發(fā)平臺。此外，也很容易確定升級網(wǎng)絡(luò)服務(wù)的影響范圍。 </p><p>　　增加了網(wǎng)絡(luò)連接的靈活性。</p><p>　　借助VLAN技術(shù)，能將不同地點、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個虛擬的網(wǎng)絡(luò)環(huán)境，就像使用本地LAN一樣方便、靈活、

42、有效。VLAN可以降低移動或變更工作站地理位置的管 理費用，特別是一些業(yè)務(wù)情況有經(jīng)常性變動的公司使用了VLAN后，這部分管理費用大大降低。</p><p><b>　　ACL的介紹與作用</b></p><p>　　信息點間通信和內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達到對

43、訪問進行控制的目的。簡而言之，ACL可以過濾網(wǎng)絡(luò)中的流量，是控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。 </p><p>　　ACL的定義也是基于每一種協(xié)議的。如果路由器接口配置成為支持三種協(xié)議（IP、AppleTalk以及IPX）的情況，那么，用戶必須定義三種ACL來分別控制這三種協(xié)議的數(shù)據(jù)包。</p><p>　　ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如，ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)

44、先級。 </p><p>　　ACL提供對通信流量的控制手段。例如，ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網(wǎng)段的通信流量。 </p><p>　　ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。ACL允許主機A訪問人力資源網(wǎng)絡(luò)，而拒絕主機B訪問。 </p><p>　　ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，用戶可以允許E-m

45、ail通信流量被路由，拒絕所有的Telnet通信流量。</p><p><b>　　殺毒軟件</b></p><p>　　殺毒軟件，也稱反病毒軟件或防毒軟件，是用于消除電腦病毒、特洛伊木馬和惡意軟件的一類軟件。殺毒軟件通常集成監(jiān)控識別、病毒掃描和清除和自動升級等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)等功能，是計算機防御系統(tǒng)（包含殺毒軟件，防火墻，特洛伊木馬和其他惡意軟件的查

46、殺程序，入侵預(yù)防系統(tǒng)等）的重要組成部分。</p><p><b>　　防火墻技術(shù)</b></p><p>　　目前，在保護計算機網(wǎng)絡(luò)安全的設(shè)備中，使用最多的就是防火墻。防火墻是在兩個網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，這兩個網(wǎng)絡(luò)中，通常一個是要保護的內(nèi)部網(wǎng)，一個是外部網(wǎng)，防火墻在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)成一道屏障，通過檢測、限制或者更改通過它的數(shù)據(jù)流，對外屏蔽內(nèi)部網(wǎng)的信息、結(jié)構(gòu)和

47、運行狀況，以防止發(fā)生網(wǎng)絡(luò)入侵或攻擊，達到對內(nèi)部網(wǎng)的安全保護。防火墻原理如圖4.2所示：</p><p>　　圖4.2 防火墻原理圖</p><p><b>　　其它安全措施</b></p><p>　　服務(wù)器本身的安全考慮：不同的功能應(yīng)盡量分布在不同的主機上，出于節(jié)省投資，有時需要將多種應(yīng)用系統(tǒng)合并到一臺物理主機上承載，例如，一臺服務(wù)器同時提供

48、HTTP 服務(wù)和數(shù)據(jù)庫服務(wù)?？紤]服務(wù)器合并時，不僅考慮它的承載能力和處理能力，還要考慮合并的各種服務(wù)的安全級別。不要把對外服務(wù)的應(yīng)用與對內(nèi)管理的應(yīng)用合并。</p><p>　　操作系統(tǒng)：授予不同用戶不同的權(quán)限。</p><p>　　應(yīng)用軟件：在應(yīng)用軟件開發(fā)中，也需要考慮分級權(quán)限控制，以防止錯誤操作引起系統(tǒng)數(shù)據(jù)丟失。</p><p>　　最后系統(tǒng)管理員要養(yǎng)成良好的安全

49、管理習(xí)慣，例如：定期修改管理員口令，避免使用規(guī)律的、易猜測的密碼，定期檢查安全漏洞等。</p><p><b>　　安全技術(shù)的應(yīng)用</b></p><p>　　因為該公司目前的網(wǎng)絡(luò)沒有跨區(qū)域，所以并不需要用VPN，而主要應(yīng)用的安全技術(shù)有VLAN、ACL、防火墻和殺毒軟件等。</p><p><b>　　網(wǎng)絡(luò)虛擬實現(xiàn)</b>

50、</p><p><b>　　模擬器介紹</b></p><p>　　此次網(wǎng)絡(luò)虛擬實現(xiàn)軟件采用Cisco PacketTracer 5.3.1(PT5.3.1)，該軟件并不需要真實的ISO，所以同時模擬多臺網(wǎng)絡(luò)設(shè)備也不會占用太多的系統(tǒng)資源。</p><p><b>　　模擬環(huán)境拓撲圖</b></p><

51、p><b>　　具體配置</b></p><p><b>　　接入層交換機配置</b></p><p>　　Switch(config)#no ip domain-lookup </p><p>　　Switch(config)#enable secret cisco</p><p>　　Sw

52、itch(config)#hostname sw1</p><p>　　sw1(config)#vlan 21</p><p>　　sw1(config-vlan)#exit</p><p>　　sw1(config)#interface range fastEthernet 0/1-10</p><p>　　sw1(config-if-ra

53、nge)#switchport access vlan 21</p><p>　　sw1(config-if-range)#exit</p><p>　　sw1(config)#vlan 22</p><p>　　sw1(config)#interface range fastEthernet 0/11-20</p><p>　　sw1(co

54、nfig-if-range)#switchport access vlan 22</p><p>　　sw1(config-if-range)#exit</p><p>　　sw1(config)#interface fastEthernet 0/24</p><p>　　sw1(config-if)#switchport mode trunk </p>

55、<p>　　sw1(config-if)#switchport trunk allowed vlan all</p><p><b>　　三層交換機配置</b></p><p>　　Switch(config)#no ip domain-lookup </p><p>　　Switch(config)#enable secret

56、cisco</p><p>　　Switch(config)#vlan 20</p><p>　　Switch(config-vlan)#vlan 21</p><p>　　Switch(config-vlan)#vlan 22</p><p>　　Switch(config-vlan)#vlan 23</p><p>

57、;　　Switch(config-vlan)#vlan 24</p><p>　　Switch(config-vlan)#exit</p><p>　　Switch(config)#interface range fastEthernet 0/20-23</p><p>　　Switch(config-if-range)#switchport trunk encap

58、sulation dot1q </p><p>　　Switch(config-if-range)#switchport mode trunk </p><p>　　Switch(config-if-range)#switchport trunk allowed vlan all</p><p>　　Switch(config-if-range)#exit</

59、p><p>　　Switch(config)#interface vlan 21</p><p>　　Switch(config-if)#ip address 172.21.255.254 255.255.0.0</p><p>　　Switch(config-if)#exit</p><p>　　Switch(config)#interface

60、 vlan 22</p><p>　　Switch(config-if)#ip address 172.22.255.254 255.255.0.0</p><p>　　Switch(config-if)#exit</p><p>　　Switch(config)#interface vlan 23</p><p>　　Switch(conf

61、ig-if)#ip address 172.23.255.254 255.255.0.0</p><p>　　Switch(config-if)#exit</p><p>　　Switch(config)#ip routing</p><p>　　Switch(config)#interface fastEthernet 0/1</p><p&g

62、t;　　Switch(config-if)#no switchport </p><p>　　Switch(config-if)#ip address 172.16.0.2 255.255.0.0</p><p>　　Switch(config-if)#no shutdown </p><p>　　Switch(config-if)#exit</p>

63、<p>　　Switch(config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 0/1</p><p><b>　　路由器配置</b></p><p>　　Router(config)#no ip domain-lookup </p><p>　　Router(config)#interface

64、fastEthernet 0/0</p><p>　　Router(config-if)#ip address 172.16.0.1 255.255.0.0</p><p>　　Router(config-if)#no shutdown </p><p>　　Router(config-if)#exit</p><p>　　Router(co

65、nfig)#interface fastEthernet 0/1</p><p>　　Router(config-if)#ip address 172.17.0.254 255.255.0.0</p><p>　　Router(config-if)#no shutdown </p><p>　　Router(config-if)#exit</p>&l

66、t;p>　　Router(config)#interface serial 0/0/0</p><p>　　Router(config-if)#ip address 202.1.1.2 255.255.255.0</p><p>　　Router(config-if)#no shutdown</p><p>　　Router(config-if)#exit&l

67、t;/p><p>　　Router(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0/0</p><p>　　Router(config)#ip route 172.20.0.0 255.255.0.0 fastEthernet 0/0</p><p>　　Router(config)#ip route 172.21.0.0 255

68、.255.0.0 fastEthernet 0/0</p><p>　　Router(config)#ip route 172.22.0.0 255.255.0.0 fastEthernet 0/0</p><p>　　Router(config)#ip route 172.23.0.0 255.255.0.0 fastEthernet 0/0</p><p>　　

69、Router(config)#ip route 172.24.0.0 255.255.0.0 fastEthernet 0/0</p><p><b>　　ACL和NAT配置</b></p><p>　　Router(config)#interface fastEthernet 0/0</p><p>　　Router(config-if)#i

70、p nat inside </p><p>　　Router(config)#interface fastEthernet 0/1</p><p>　　Router(config-if)#ip nat inside </p><p>　　Router(config-if)#exit</p><p>　　Router(config)#acces

71、s-list 1 permit 172.20.0.0 0.0.255.255</p><p>　　Router(config)#access-list 1 permit 172.21.0.0 0.0.255.255</p><p>　　Router(config)#access-list 1 permit 172.22.0.0 0.0.255.255</p><p>

72、;　　Router(config)#access-list 1 permit 172.23.0.0 0.0.255.255</p><p>　　Router(config)#access-list 1 permit 172.24.0.0 0.0.255.255</p><p>　　Router(config)#access-list 1 permit 172.17.0.0 0.0.255.

73、255</p><p>　　Router(config)#ip nat inside source list 1 interface serial 0/0/0 overload</p><p>　　Router(config)#ip nat inside source static tcp 172.17.0.1 80 202.1.1.2 80</p><p><

74、;b>　　測試</b></p><p>　　內(nèi)網(wǎng)與ISP及外網(wǎng)服務(wù)器連接狀態(tài)</p><p>　　因特網(wǎng)訪問內(nèi)網(wǎng)服務(wù)器</p><p><b>　　NAT轉(zhuǎn)換表</b></p><p><b>　　總結(jié)</b></p><p>　　畢業(yè)設(shè)計已經(jīng)差不多完成了，

75、雖然學(xué)習(xí)網(wǎng)絡(luò)也有兩年多了，但這還是第一次做畢業(yè)設(shè)計，所以一開始有點不知道從何下手。于是從網(wǎng)上找了一些參考資料，照著文檔的思路，先規(guī)劃，再設(shè)計，最后才是虛擬實現(xiàn)，有了這個思路，事情也就好辦多了。</p><p>　　首先，以一個十幾人的小公司為背景，該公司由于不斷發(fā)展，需要從一個單一的局域網(wǎng)升級為一個園區(qū)網(wǎng)，因為同一網(wǎng)絡(luò)的主機，不一定在同一物理位置，VLAN又能解決這個問題，所以就決定用VLAN來劃分子網(wǎng)。另外，因

76、為外網(wǎng)IP只有一個，因特網(wǎng)的主機也是通過外網(wǎng)的接口地址來訪問DMZ區(qū)域的WEB服務(wù)器，所以就需要用到NAT和ACL。設(shè)計的時候，由于考慮到，現(xiàn)階段的公司可能發(fā)展較快，所以采用了B類的私有地址。最后虛擬實現(xiàn)則是用到了思科的模擬器PT。</p><p>　　總的來說，這次的畢業(yè)設(shè)計出現(xiàn)了比較多的不足之處，在老師多次指正之后，希望該次的論文會有所改正。</p><p><b>　　參考

77、文獻</b></p><p>　　[1] 張新有.網(wǎng)絡(luò)工程技術(shù)與實驗教程[M].北京:清華大學(xué)出版社,2009:203-298</p><p>　　[2] 雷震甲.網(wǎng)絡(luò)工程師教程[M].北京:清華大學(xué)出版社,2009:386-397</p><p>　　[3] Paul Buis,Chris Hare.Internet Security[M]．USA：N

78、ew Riders Pub,1996:126-230</p><p>　　[4] Ian Foster ,Carl Kesselman , Steven Tuecke. The anatomy of the grid：Enabling scalableVirtualorganizations[J].InternationalJournalSupercompu-terApplications,2001 5(3):2

79、00-222</p><p>　　[5] David Ferraiolo,John F Barkley, D Richard Kuhn. A rolebased access con-trol model and reference implementation with in a corrporate Intranet[J]．ACM Trans on Information and System Securi

80、ty,1999,2(1):34-64</p><p>　　[6] FermiNationalAcceleratorLaboratory,Batavia,IL,U.S.A. Tools for Distributed Monitoring of the Campus Network with Low Latency Time[J].2001.5:421-423</p><p>　　[7] 翁

81、昌晶,劉謙.一個大型醫(yī)院千兆園區(qū)網(wǎng)的方案設(shè)計與實施[J],?？?湖南省人民醫(yī)院信息中心,2002:8-18</p><p>　　[8] 李艷花,聶勇海,王劍.企業(yè)園區(qū)網(wǎng)的構(gòu)建[J],太原:北方自動控制技術(shù)研究所,2010:38-40</p><p>　　[9] 楊芳.校園網(wǎng)絡(luò)安全體系設(shè)計與實施[D],武漢:華中科技大學(xué),2005</p><p>　　[10] 鄧曉君

82、.淺談企業(yè)園區(qū)網(wǎng)的構(gòu)建[J],上海:中國航空研究所,2010:45-50</p><p>　　[11] David F Ferraiolo,John F Barkley, D Richard Kuhn. A rolebased access control model and reference implementation with in a corrporate Intranet[J]．ACM Trans o

83、n Information and System Security,1999,2(1):34-64</p><p>　　[12] N. Sulaiman and C.Y. Yaakub. WIRELESS LAN[J].2010.4:8-12</p><p>　　[13]段國云,周迪民.以太網(wǎng)技術(shù)在校園網(wǎng)可靠性設(shè)計中的應(yīng)用[J],湖南:湖南科技學(xué)院 現(xiàn)代教育技術(shù)中心,2011:60-70&