—————————-
最后经过我的计算,将各部门IP地址分配如下表: IP地址网段 VLAN编号 默认网关 财务部 192.168.10.0/24 10 192.168.0.254/24 生产部 192.168.20.0/24 20 192.168.0.254/24 销售部 192.168.30.0/24 30 192.168.0.254/24 行政部 192.168.40.0/24 40 192.168.0.254/24 用户地址与VLAN划分 Web服务器IP地址: 192.168.100.1/24 FTP服务器IP地址: 192.168.100.2/24 路由器出口IP地址: 222.18.44.3/24
16
第四章 网络安全及管理机制
4.1 完善的安全机制
企业楼宇交换机通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击, 控制非法用户使用网络,保证合法用户合理化使用网络,如端口安全、端口隔离、ACL、端口 ARP 报文合法性检查、基于数据流的带宽限速、六元素绑定等等, 满足企业网加强对访问者进行控制、限制非授权用户通信的需求;在汇聚、核心交 换设备设置由硬件实现 ACL,对病毒进行过滤,我们选用的汇聚、 核心交换设备都支持SPOH,所以在使用ACL 时将不会影响整个交换机的性能。
1. 硬件实现端口与 MAC 地址和用户IP 地址的绑定,严格限定端口上用户接入。
2. 通过 Private VLAN 可以在交换机的同一 VLAN 中提供端口之间的通讯 或安全隔离,确保数据流进入有效端口,而不会被发送到其它端口,即解决了因 传统 802.1QVLAN 造成 全网 VID 资源不够的问题,同时又无需利用安全规则 资源即能达到隔离不同用户以及不同 组用户之间通讯的功能,充分保护用户隐私。
3.可实现用户账号、MAC 地址、IP 地址、交换机 IP、 交换机端口等六大元素之间的灵活任意绑定,有效确认用户合法性和唯一性。
4.支持业界特有的 IGMP 源端口检查,有效杜绝非法组播源播放和大量占用大量网络带 宽,提高网络安全性。
5.提供极为有效的Port Blocking 功能,避免端口受到其它端口发送的广播包、多播包等报文的干扰,有效减轻端口负载负担,提高端口带宽,保护用户 PC 更高效安全地运行。
6.基于源 IP 地址控制的 Telnet 和 Web 设备访问控制,增强了设备网管 的安全性,避免黑客恶意攻击和控制设备。
7.提供加密传输Secure Shell(SSH),保证管理设备信息的安全性,防止黑客攻击和控制设备。
8.可灵活控制 2-7 层数据报文,使得任何一个用户 PC 上的任何一种应用报文通过网络都能得到有效控制,充分保障了网络的安全和合理化使用。
4.2 解决安全威胁
在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,才能有效的保证企业网络的稳定运行。 1.防冲击波病毒
随着蠕虫病毒等的攻击手段呈多元化发展,单一的防护措施已经无能为力
17
保 卫校园网络安全。IDS 只能根据预先定义的策略进行检测,对新的攻击方式无能 为力,或者当 IDS 侦测到某终端用户感染病毒后,只能将相关信息形成报告通知 网管人员,等待处理。然而,此时受感染的用户可能已经通过网络散播到了校园 网络的各个角落。
2.来自网络内部的恶意或误操作攻击
据相关数字显示,目前,网络遭受的恶意攻击90%以上是来自于内部,诸如窃取他人密码等重要信息、盗打 IP 电话、校园一卡通金额被盗等事件时 有发生。对此,如果仅仅 倚靠被动的监测方式,就给事后追查“嫌疑人”的网 管人员制造了难以逾越的瓶颈。
4.3 VPN (虚拟专用网)
虚拟专用网(virtual private network)是一种在公用网络上通过创建隧道,封装 数据模拟的一种私有专用链路。隧道起一个提供逻辑上点对点连接的作用,从隧 道的一端到另外一端支持数据身份验证和加密。由于数据本身也要进行加密,所 以即使通过公共网络,它仍然是安全的,因为即便数据包在通过网络结点时被拦 截(如经过服务器时)但只要拦截者没有密钥。就无法查看包的内容。
从内容上来说 VPN 的连接主要可以分为两个部分,即隧道的建立和数据的 加密,在第 2 层上常见的隧道协议包括 PPTP(Point to Point Tunneling Protocol) 点对点隧道协议,还有 L2TP(Layer2 Tunneling Protocol)第二层隧道协议,L2TP 隧道能够提供 ATM 和 FRAME RELAY 上的隧道,而且由于不依赖 IP 协议,它 还可以支持不止一个连接,那么一般的网络设备如路由器等大多支持这个协议。 在第三层上创建的隧道是基于 IP 的虚拟连接,这些连接通过收发 IP 数据包实现, 这个抱被封装在由 IETF(Internet Engineering Task Force)指定的协议包装之内。 包装使用 IP sec,IKE,以及身份验证和加密方法,如 MD5,DES,以及 SHA。 数据加密使用的加密数据协议有MPPE,IPSEC,VPND,SSHH IP SEC 可以与 L2TP 一 起使用,这个时候 L2TP 建立隧道,IPSEC 加密数据,这种形式下 IP SEC 运行于传输模式。
18
第五章 网络设备选型
校园网网络系统从结构上分为核心层、汇聚层和接入层。核心层主要是实现骨干网络之间的优化传输,骨干层设计的重点是冗余能力、可靠性和高速的传输。因为学校存在大量的语音和视频传输。据此,考虑汇聚层对 QOS 有良好的支持并且能提供大的带宽。接入层设备是最终用户的最直接上联的设备,它应该具备即插即用特性以及易于维护的特点。在接入层面,通过定义相应的访问策略,实现访问控制,内外隔离。
19
第六章 方案的扩展性考虑
本方案中所采取的技术与产品充分考虑到了网络未来的升级与发展,无论从企业网的扩展到广域网的建设都作了周密的考虑。再是由于系统选择的是最成熟与标准的快速以太网技术,把网络已构筑了高速和坚固的信息高速公路,面对未来的发展将处于非常有利的境界。
20
相关推荐:
loading