基于安全的企业网络毕业设计

毕业设计说明书(论文)

作 者： 学 号： 院 系： 专 业： 题 目：

指导者： (姓 名) (专业技术职务)

评阅者：

(姓 名) (专业技术职务)

年 月 南

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

毕业设计说明书（论文）中文摘要

如今，网络接入技术迅猛发展，有线网络已经不能满足企业对灵活、快捷、高效办公的需求。无线网络不受网线和地理位置的束缚，已然成为当今现代化企业网络的发展趋势。但是，无线网相对于有线网，比较脆弱，而且企业无线网有异于一般的家庭无线网，它的安全性是需要着重考虑的。本文介绍了基于安全的中小企业无线网络的组建，利用Cisco Packet Tracer模拟软件模拟企业无线网基本的构架和方案。 组建的企业内部网络分为三个层次。核心层，使用三层交换机进行负载均衡和冗余。汇聚层，依靠访问控制列表（ACL）制订不同部门的通信规则。接入层，划分虚拟局域网（VLAN）将各部门的计算机分隔开来，通过无线设备将计算机接入网络中。从功能上将整个网络分为两个部分，一是内部网络，所有部门的通信以及对内部服务器的访问都通过此网络，不能与外部通信。另一个则是能访问，面向客户的网络。这样极大地提高了内网数据的安全。为了提高网络信息安全性，还布设防火墙、内外地址转换（NAT）、分部与总部建立虚拟专用网络（VPN）等安全措施。 关键字 无线网络 信息安全 安全措施 最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

毕业设计说明书（论文）外文摘要

Title Wireless network structures based on the safety of SMEs Abstract Today, the network access technology rapid development of wired network can not meet the demand for flexible, fast and efficient office. Wireless network from the shackles of cable and geographical location, has become the development trend of today's modern enterprise networks. However, the wireless network relative to the cable network is relatively weak, different from most home wireless network and the wireless network, its security is the important consideration. This article describes the formation of a wireless network based on the safety of small and medium enterprises, based on Cisco Packet Tracer simulation software to simulate the enterprise wireless network architecture and programs. The internal network is divided into three levels. The core layer, using the three switches for load balancing and redundancy. Convergence layer, relying on access control list (ACL) to the development of different sectors of communication rules. Access layer, divided into virtual local area network (VLAN) separated from the various departments of computer, computer wireless devices access the network. The entire network from the function will be divided into two parts, one is the internal network, all sectors of communications, and the internal server access through this network can not communicate with the outside. The other is able to access the external network, customer-oriented network. This greatly improves the security of data within the network. In order to improve the security of network information, but also laid the firewall, internal and external address translation (NAT), segments and head office to establish a virtual private network (VPN) and other security measures. Keywords Network Security, VLAN, ACL, NAT，VPN 最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

目 录

前 言 ........................................................... 1 第一章 无线网络综述 .............................................. 2 1.1 无线网络标准 .................................................... 2 1.2 企业网络的安全误区 .............................................. 3 1.3 术语及相关缩写解释 .............................................. 4 第二章 企业网络安全综述 .......................................... 5 2.1 相关设备的概述 .................................................. 5 2.2 企业网应用的主要技术 ............................................ 5 第三章 网络安全的设计与实现 ..................................... 16 3.1 整体框架说明 ................................................... 16 3.2 企业网内部交换机的配置 ......................................... 17 3.3 防火墙的配置 ................................................... 23 3.4 VPN的配置 ..................................................... 25 第四章 企业内部服务器的配置 ..................................... 41 4.1 AAA服务器的配置 ............................................... 41 4.2 WEB服务器的配置 ............................................... 43 4.2 FTP服务器的配置 ............................................... 43 4.3 DNS服务器的配置 ............................................... 44 4.4 E-mail服务器的配置 ............................................ 44 4.5 DHCP服务器的配置 .............................................. 44 第五章 结束语 ................................................... 45 5.1 毕业设计的难点与创新 ........................................... 45 5.2 毕业设计的收获 ................................................. 46 致 谢......................................................... 47 参考文献 ........................................................ 48 附录：英文技术资料翻译 .......................................... 49

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

前 言

如今社会信息化发展迅猛，无线网络技术支持已日渐成熟。随着人们对无线网络的要求和依赖性越来越强、现代企业追求更高的效率和便捷的办公环境，有线网络已经不能满足现代化企业的要求。由于无线网络不受网线和地点的束缚，组网效率高，接入速度快，成为企业组建网络的首选。但是企业无线网络，除了便捷和高效之外，安全也是需要着重考虑的。作为一个企业，应该保证网络数据安全性以及具有抵御黑客和病毒攻击的能力。

在组建无线网络时，保障企业网络安全比其他任何方面都要重要。无线网络依靠无线电波来传输数据，理论上无线电波范围内的任何一台设备都可以登录并监听无线网络。如果企业内部网络的安全措施不够严密，则完全有可能被窃听、浏览甚至操作。为了使授权设备可以访问网络而非法用户无法截取网络信息，无线网络安全就显得至关重要。

其次，无线网络的稳定是也是不容忽视的问题。不稳定的无线网非但没有体现出它的便捷高效的特点，还影响了企业的正常运转。为了能够让内部的员工在公司任何地方都可以无线上网，使用的无线设备需要有很强的穿透能力和大的信号覆盖范围。即使企业存在很多障碍物，强穿透力依然能保证网络的稳定传输。

企业在组建无线网络时，不应完全放弃有线网络。而是以有线网络为核心，无线网络为接入层，充分利用有线网络与无线网络的优点，达到扬长避短的目的。为了保证企业网络的容错率和多样化，在企业内部应备有有线网络接口，以供特殊用途。如视频会议，文件传输等应用对网络的稳定性、数据传输速率和数据安全有较高的要求。

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

第一章 无线网络综述

1.1 无线网络标准

无线网络采用802.11规范，典型情况下，其传送信号时工作原理与基本的以太网集线器很像：他们都采用双向通信的形式，为半双工模式。依靠射频频率（RF），通过天线将无线电波辐射到周围。

802.11协议组是国际电工电子工程学会（IEEE）为无线局域网络制定的标准。采用2.4GHz和5GHz这两个ISM频段。常见的802.11标准如下：

1）802.11b

802.11b是应用得最为广泛的无线网络标准，它运行在2.4GHz射频频段，使用直接序列扩频（DSSS）调制技术，最大传输速率为11Mb/s。另外，也可根据实际情况切换到5.5Mbps、2 Mbps和1 Mbps带宽，实际的工作速度一般在5Mb/s左右，与普通的10Base-T规格有线局域网几乎是处于同一水平。作为企业内部的设施，可以基本满足使用要求。IEEE 802.11b使用的是开放的2.4GHz频段，既可作为对有线网络的补充，也可组网，从而使网络用户摆脱网线的束缚，实现真正意义上的移动应用。

2）802.11g

802.11g在2．4GHz频段使用正交频分复用（OFDM）调制技术，使数据传输速率提高到20Mbit/s以上；能够与802.11b的Wi-Fi系统互联互通，可共存于同一AP的网络里，从而保障了后向兼容性。这样原有的WLAN系统可以平滑地向高速WLAN过渡，延长了802．11b产品的使用寿命，降低了用户的投资。

3）802.11a

802.11a的传输技术为多载波调制技术。802.11a标准是众多场合得到广泛应用的802.11b无线联网标准的后续标准。它工作在5GHzU-NII频带，物理层速率可达54Mb/s，传输层可达25Mbps。可提供25Mbps的无线ATM接口和10Mbps的以太网无线帧结构接口，以及TDD/TDMA的空中接口；支持语音、数据、图像业务；一个扇区可接入多个用户，每个用户可带多个用户终端。

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

1.2 企业网络的安全误区

1.2.1 防火墙误区

防火墙主要工作都是控制存取与过滤封包，所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效，可以提供网络周边的安全防护。但如果攻击行为不经过防火墙，或是将应用层的攻击程序隐藏在正常的封包内，便力不从心了，许多防火墙只是工作在网络层。

防火墙的原理是“防外不防内”，对内部网络的访问不进行任何阻挠，而事实上，企业网络安全事件绝大部分还是源于企业内部。

1.2.2 杀毒软件误区

安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒，但这并不能保证就没有病毒入侵了，因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现，杀毒软件误区有以下几种：

1）在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效

网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络，管理非常方便，对于单机版是不可能做到的。

2）只要不上网就不会中毒

虽然不少病毒是通过网页传播的，但像QQ聊天接发邮件同样是病毒传播的主要途径，而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着，就要防范病毒。

3）文件设置只读就可以避免感染病毒

设置只读只是调用系统的几个命令，而病毒或黑客程序也可以做到这一点，设置只读并不能有效防毒，不过在局域网中为了共享安全，放置误删除，还是比较有用的。

1.2.3 网络攻击误区

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

基于内部的网络攻击更加容易，不需要借助于其他的网络连接方式，就可以直接在内部网络中实施攻击。所以，加强内部网络安全管理，特别是用户帐户管理，如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。

1.3 术语及相关缩写解释

 VLAN：全称Virtual Local Area Network，虚拟局域网；  ACL：全称Access Control List，访问控制列表；  IDS：全称Intrusion Detection System，入侵检测系统；  NAT：全称Network Address Translation，网络地址转换；  PAT：全称Port Address Translation，即端口地址转换；  DMZ：全称Demilitarized Zone，非军事区，停火区，隔离区；  VPN: 全称Virtual Private Network，虚拟装用网；  VTP：全称VLAN Trunking Protocol，VLAN中继协议。

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

第二章 企业网安全的主要技术

本章主要讲述企业网里使用到的常用的安全技术，并对这些技术进行详细的介绍。

2.1 相关设备的概述

在企业网中设备的选型时非常重要的，在本设计中全部选用的是Cisco的产品设备。因为选用同一厂商设备的好处是兼容性比较好，且能够进行统一管理，使管理更加方便。

2.2 企业网应用的主要技术

2.2.1 物理安全

物理安全是整个计算机网络系统安全的前提，是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏的过程。

物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面：机房环境安全、通信线路安全、设备安全，以及电源安全。

物理安全重要性和措施主要涉及以下方面： 1）保证机房环境安全

信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从以下三个方面考虑：

 自然灾害、物理损坏和设备故障  电磁辐射、乘机而入、痕迹泄漏等  操作失误、意外疏漏等

2）选用合适的传输介质

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

屏蔽式双绞线的抗干扰能力更强，且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地（最好多处接地），对于干扰严重的区域应使用屏蔽式双绞线，并将其放在金属管内以增强抗干扰能力。

光纤是超长距离和高容量传输系统最有效的途径，从传输特性等分析，无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好，不易被窃听或被截获数据、传输的误码率很低，可靠性高，体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量，能够有效地阻止窃听。

3）保证供电安全可靠

计算机和网络主干设备对交流电源的质量要求十分严格，对交流电的电压和频率，对电源波形的正弦性，对三相电源的对称性，对供电的连续性、可靠性稳定性和抗干扰性等各项指标，都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求，又要满足网络应用的要求，必须做到保证网络系统运行的可靠性，保证设备的设计寿命保证信息安全保证机房人员的工作环境。

2.2.2 VLAN技术

随着交换技术的发展也加快了虚拟局域网的应用速度。虚拟局域网VLAN(Virtual Local Area Network)是以交换式网络为基础，把网络上用户的终端设备划分为若干个逻辑工作组，每个逻辑工作组就是一个VLAN。VLAN就是一个网络设备或用户的逻辑组，该逻辑组是一个的逻辑网络、单一广播域，而这个逻辑组的设定不受实际交换机区段的，也不受用户所在的物理位置和物理网段的。

在现在的企业网络中都能见到VLAN的身影，VLAN都是一个的逻辑网段，一个的广播域，VLAN的广播信息只发送给同一个VLAN的成员，其他VLAN的成员是收不到的，这样就减小的广播域的大小，提高了带宽的利用率。VLAN之间是不能直接通信的必须通过三层路由功能完成，所以在企业网络中可以按部门进行划分VLAN，这个不同的部门之间的互访就受到，有效保护了某些敏感部门的敏感信息不被泄露。VLAN对于网络用户来说是完全透明的，用户感觉不到使用中与交换网络有任何的差别，但对于网络管理人员则有很大的不同，因为这主要取决于VLAN的

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

几点优势：对网络中的广播风暴的控制，提高网络的整体安全性，通过路由访问列表、MAC地址分配等VLAN划分原则，可以控制用户的访问权限和逻辑网段的大小。网络管理的简单、直观。

在企业网络中划分VLAN可以有多种方式： 1）基于端口的VLAN：

基于端口的VLAN的划分是最简单、最有效的VLAN划分方法。该方法只需网络管理员针对于网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可。而不用考虑该端口所连接的设备是什么。

2）基于MAC地址的VLAN：

MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是唯一的。基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合。在网络规模较小时，该方案亦不失为一个好的方法，但随着网络规模的扩大，网络设备、用户的增加，则会在很大程度上加大管理的难度。

3）基于路由的VLAN：

路由协议工作在七层协议的第三层：网络层，即基于IP和IPX协议的转发。这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。

划分好VLAN后一般是把接入层交换机接入到核心交换机上，由核心交换机负责内部网络的路由，如果不采用核心交换机，而是直接通过单臂路由的形式接到网络出口的路由器或者防火墙上，那么会给出口路由器或防火墙带来负担，如果出口路由器或防火墙性能不强的话，很有可能造成瓶颈，这样网络的可用性就会降低。所以一般是建议采用核心交换机的方式。

2.2.3 ACL技术

访问控制列表ACL(Access Control List)技术在路由器中被广泛采用，它是一种基于包过滤的流控制技术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素，并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上，可以通过实施ACL，可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加，一些企业已经开始使用ACL来控制对局域网内部

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

资源的访问能力，进而来保障这些资源的安全性。

在企业网中ACL扮演着很重要的角色，在网络中我们可以通过划分VLAN来不同VLAN成员的互访，但如果把二层交换机接入路由器或者三层交换机，那么原来不同VLAN是不通的，现在不同VLAN之间也能通信，那么原来通过划分VLAN来使不同VLAN之间不能通信已经行不通了。在这就要使用ACL来控制了。使用ACL的好处还有就是可以控制用户对主机或服务器的访问，即对于一台服务器那些用户可以访问而那些用户不能访问。这样就进一步增加了企业网内部的安全。

就我们现在的IP网络来说ACL技术可以分为一下几种： 1）标准IP访问控制列表

一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1~99以及1300~1999的访问控制列表是标准IP访问控制列表。一般来说标准的ACL放置在靠近目的的路由器或三层交换机上。

2）扩展IP访问控制列表

扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100~199以及2000~2699的访问控制列表是扩展IP访问控制列表。一般来说扩展的ACL放置在靠近源的路由器或者三层交换机上。

3）命名IP访问控制列表

所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。

本设计中在Cisco Catalyst 30核心交换机上配置扩展的ACL使得其他的部门无法访问财务部门，ACL的应用范围很广，在本设计中总部与分布之间建立IPSec VPN是就需要使用ACL来定义感兴趣的流量，只有感兴趣的流量才会进入VPN隧道。

2.2.4 NAT技术

到目前为止全球的IPv4的地址已经耗尽，现在的地址缺乏或者说已经没有空余的IPv4的地址了，那么企业网络中有很多主机需要访问Internet，为每一台主机分配一个公网地址那是不可能的事。所以借助于NAT(Network Address Translation)

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

技术，私有(保留)地址的\"内部\"网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。NAT将自动修改IP报文的源IP地址和目的IP地址，IP地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中，所以还需要同时对报文进行修改，以匹配IP头中已经修改过的源IP地址。否则，在报文数据都分别嵌入IP地址的应用程序就不能正常工作。

NAT实现方式有以下三种： 1）静态转换(Static Nat)

将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

2）动态转换(Dynamic Nat)

将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

3）端口多路复用(Overload)

改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。

另外，在NAT中经常使用的术语：

1）内部局部地址（Inside Local Address）：在内部网络使用的地址，是私有地址。

2）内部全局地址（Inside Global Address）：用来替代一个或多个本地IP地址的、对外的、向NIC注册过的地址。

3）外部局部地址（Outside Local Address）：一个外部主机相对于内部网络所

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

用的IP地址、不一定是合法的地址。

4）外部全局地址（Outside Global Address）：外部网络主机的合法地址。 NAT还可以用于端口映射，在企业网中服务器群一般是放置在DMZ区域中，使用的是私有地址，如果某台服务器要向发布服务的时候就需要在网络出口的路由器和防火墙上做端口映射，这样用户就可以通过访问企业的公网IP，就能够访问到内网的服务器。

2.2.5 VPN技术

现在很多企业都有分支机构而且分支机构和总部都在异地，企业网的内部网络可以通过各种手段来保证安全，那么总部与分部之间传输的数据怎样才能保证其安全呢。这里就可以采用VPN（Virtual Private Network）技术，VPN技术是在公网上建立一个临时的，安全的连接，是一条穿越混乱的公用网络的安全的稳定的隧道。使用这条隧道可以对数据进行加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可以通过特殊加密的通讯协议连接到Internet上，在位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路，可以节约成本。

VPV按照所使用的隧道协议大致有以下几种： 1）PPTP（Point to Point Protocol）

PPTP属于OSI第二层隧道协议，该协议会把网络协议的数据包放进IP封包，包装好的封包看起来就像正常的IP封包一样，所有遇到该封包的路由器或机器都会把它视为一个IP封包，以一般正常IP封包的方式来处理它。PPTP使用TCP（传输控制协议）连接的创建，维护，与终止隧道，并使用GRE(通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。PPTP的使用比较简单如Microsoft Windows等操作系统就自带PPTP。

另外，PPTP VPN使用的身份验证有以下几种方法。

（1）PAP口令验证协议 是一种简单的明文验证方式。NAS（网络接入服务器，Network Access Server）要求用户提供用户名和口令，PAP以明文方式返回用户信

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

息。很明显，这种验证方式的安全性较差，第三方可以很容易的获取被传送的用户名和口令，并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以，一旦用户密码被第三方窃取，PAP无法提供避免受到第三方攻击的保障措施。

（2）CHAP身份验证 CHAP通过使用MD5（一种工业标准的散列方案）来协商一种加密身份验证的安全形式。CHAP 在响应时使用质询-响应机制和单向 MD5 散列。用这种方法，可以向服务器证明客户机知道密码，但不必实际地将密码发送到网络上。

（3）MS-CHAP 同CHAP相似，微软开发MS-CHAP 是为了对远程 Windows 工作站进行身份验证，它在响应时使用质询-响应机制和单向加密。而且 MS-CHAP 不要求使用原文或可逆加密密码。

（4）MS-CHAP v2 MS-CHAP v2是微软开发的第二版的质询握手身份验证协议，它提供了相互身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用 MS-CHAP v2 作为唯一的身份验证方法，那么客户端和服务器端都要证明其身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。值得注意的是。VPN服务端和VPN客户端之间一定要采用相同的身份验证，比如VPN服务端选择了MS-CHAP2，那么相应的VPN客户端也要选择MS-CHAP2，否则无法连接。

2）L2TP（Layer Two Tunneling Protocol）

L2TP是结合L2F（Layer-2 Forwarding）和PPTP的协议，L2TP也属于二层隧道协议。L2TP使用两种类型的消息：控制消息和数据隧道消息。控制消息负责创建、维护及终止L2TP隧道，而数据隧道消息则负责用户数据的真正传输。L2TP支持标准的安全特性CHAP和PAP，可以进行用户身份认证。在安全性考虑上，L2TP仅定义了控制消息的加密传输方式，对传输中的数据并不加密。L2TP的使用比较简单如Microsoft Windows等操作系统就自带PPTP。

3）IPSec（IP Security）

IPSec是一个标准的第三层安全协议，他是在隧道外面再封装，保证了隧在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证，正是这一点才使IPSec可以确保包括远程登录，电子邮件，文件传输及WEB访问在内多种应用程序的安全。IPSec协议包括IKE协商程序，可为IPSec产生密钥，其它还包括算法、密钥长度、转码程序以及算法专用的资讯，而协商时常使用的参数则

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

被归类在一个单独的文件中。IPSec它不是一个单独的协议，它给出了应用于IP 层上网络数据安全的一整套体系结构。该体系结构包括认证头协议（Authentication Header，简称为AH），AH 是一种为IPSec提供数据完整性、数据源验证和可选的防重放功能特性的体系框架。不提供数据机密性 因此数据可以被偷窥，因此一般和ESP配合使用 利用HMAC验证完整。封装安全负载协议（Encapsulating Security Payload，简称为ESP）ESP 是一种为IPSec提供数据机密性、数据完整性、数据源验证、和可选的防重放功能特性的体系框架。密钥管理协议（Internet Key Exchange，简称为IKE）动态的更改IPSec参数和密钥的机制 通过自动的密钥交换/更新机制来防止IPSec会话的密钥被攻击 使得IPSec具备良好的扩展性。在2个端点自动建立SA SA是2个对等体之间协商参数和用于网络认证及加密的一些算法等。

4）SSL（Secure Socket Layer）

SSL是高层协议，是第四层隧道协议，SSL VPN和其他的VPN最大的不通之处就是客户端只需要有浏览器就可以工作，不需要安装其他的客户端软件，是VPN的可用性大大提高。SSL利用内置在每个Web浏览器中的加密和验证功能，并与安全网关相结合，提供安全远程访问企业应用的机制，这样，远程移动用户可以轻松访问公司内部B/S和C/S应用及其他核心资源。

在本设计中总部已分部之间可以使用总部->分部这样的方式在总部路由器和分部路由器之间建立一条IPSec VPN通道，移动客户端可以使用PPTP、L2TP或者EasyVPN与总部互联。

2.2.6 防火墙技术

对于企业网来说最重要的就是防火墙，防火墙可以提高安全和减少外部网络对内部网络的威胁。如果没有防火墙内网中的主机就会暴露于网络中，很容易遭受黑客的攻击。防火墙更具用户设定的安全规则，对进入内网以及出的数据包进行检测，一旦发现威胁就断开连接，使内部网络避免被黑客的攻击。

如今的防火墙各式各样，但总体来讲可以分为“包过滤型”和“应用代理型”两大类:

1） 包过滤型

包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。如下图2-1所示。

图2-1包过滤防火墙示意图

包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。

2） 应用代理型

应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全\"阻隔\"了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。其典型网络结构如图2-2所示。

图2-2应用代理防火墙示意图

代理类型防火墙的最突出的优点就是安全。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

数据进行过滤。

另外代理型防火墙采取是一种代理机制，它可以为每一种应用服务建立一个专门的代理，所以内外部网络之间的通信不是直接的，而都需先经过代理服务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。

2.2.7 企业版杀毒软件

1） 企业版杀毒软件介绍

网络版杀毒软件的一个最大的特点就是可以整个网络主机和服务器同步杀毒，这对于网络病毒横行的今天来说尤其重要。因为在网络中只要有一台主机感染了病毒，则很可能在全网络主机上感染。

另外，网络版实现全网络服务器和客户端程序同步更新。还有一个管理中心控制台，可以对整个网络的服务器端和客户端程序集中管理，实现全网络的同步更新和杀毒。

2） 企业版杀毒软件的实施

这里选用Symantec Endpoint Protection，它是为各种简单或复杂网络环境设计的计算机病毒网络防护系统，即适用于包含若干台主机的单一网段网络，也适用于包含各种WEB服务器、邮件服务器、应用服务器，以及分布在不同城市，包含数十万台主机的超大型网络。

Symantec Endpoint Protection具有以下显著特点：  先进的体系结构  超强的杀毒能力  完备的远程控制  方便的分级、分组管理

主控制中心部署在DMZ服务器区，子控制中心部署在3层交换机上面。如图2-3所示。

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

图2-3 企业版杀毒软件示意图

控制中心负责整个Symantec Endpoint Protection的管理与控制，是整个Symantec Endpoint Protection的核心，在部署Symantec Endpoint Protection网络时，必须首先安装。除了对网络中的计算机进行日常的管理与控制外，它还实时地记录着Symantec Endpoint Protection防护体系内每台计算机上的病毒监控、查杀病毒和升级等信息。在1个网段内仅允许安装1台控制中心。 根据控制中心所处的网段的不同，可以将控制中心划分为主控制中心和子控制中心，子控制中心除了要 完成控制中心的功能外，还要负责与它的上级——主控制中心进行通信。这里的“主”和“子”是一个 相对的概念：每个控制中心对于它的下级的网段来说都是主控制中心，对于它的上级的网段来说又是子控制中心，这种控制结构可以根据网络的需要无限的延伸下去。

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

第三章 网络安全的设计与实现

本章主要对网络系统的整体框架进行设计，并实现企业内部局域网的搭建，VLAN间通信，DMZ区服务器交换机搭建，出口防火墙的安全配置以及VPN等。

3.1 整体框架说明

将企业内部网和服务器组成分别置于PIX防火墙的inside口和DMZ口相连接，防火墙的outside端口连接ISP的Internet接入。对于三个端口的权限设置为：outside为0、DMZ为50、inside为100（最高）。在PIX防火墙上激活网络入侵检测IDS系统，提供对多个网络的入侵检测，一旦发现网络中存在供给行为或非正常数据包，防火墙将会报警并且在Log中留下记录。

内部网使用两台Cisco Catalyst 30交换机提供的VLAN技术和虚拟访问控制列表VACL等安全交换技术，以及使用生成树做冗余。同时通过合理的IP地址分配策略和路由策略，在接入层交换机上使用端口安全技术来对用户的接入进行控制。

服务器群应该是通过一台Cisco Catalyst 30交换机连接到防火墙的DMZ端口，并为之的分配一个VLAN，通过在防火墙做端口映射把内网需要发布的服务器发布到，同时通过防火墙上的访问控制列表ACL和访问端口数据监控等安全技术提供对服务器的安全控制。

对于接入，在防火墙上配置安全策略，允许外部连接可以到达指定服务器的服务端口，同时定义安全规则，允许指定的应用数据包通过防火墙。在防火墙上配置VPN服务允许企业分部通过安全的VPN通道访问企业内部网。对于需要利用远程访问接入企业内部网的用户，DMZ区放置AAA为控制管理路由器权限的工具，登录路由器用户的权限。还有就是在防火墙上要配置NAT来代理内部网络访问Interne，企业网总体拓扑如图3-1所示。

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

分部DMZ区FirewallInternet核心层交换机接入层交换机 图3-1企业总拓扑图

3.2企业网内部交换机的配置

本设计中该企业网络使用的接入层交换机是Cisco Catalyst 2960，其特性是端口速率是100Mb/s，支持全双工模式，本设计中企业内部网拓扑如图3-2所示。

图3-2 企业内部网拓扑图

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

如图3-2所示，该企业网的接入层是由Cisco Catalyst 2960交换机组成，汇聚层和核心层划在一起使用两台Cisco Catalyst 30，Catalyst30特点是端口速率为100Mb/s，支持双工模式，而且路由功能是由硬件完成的能够实现更快的转发速度。这样可以减少企业购买设备的开销，以及连接到交换机上的计算机构成；从逻辑上看，内部网包括四个VLAN，分别对应四个IP段：

VLAN1O：192.168.10.0/24 VLAN20：192.168.20.0/24 VLAN30：192.168.30.0/24 VLAN40：192.168.40.0/24

内部网的核心是Cisco catalyst 30交换机，它将与PIX防火墙的inside口相连接。

Coreswitch1和Coreswitch2的预期功能是：

 建立四个VLAN，分别为VLAN10,VLAN20,VLAN30,VLAN40。

 启用三层交换功能做VLAN间路由，并配置访问列表，使VLAN20、VLAN30、VLAN40能够访问VLAN10，但不能互相访问。

 Coreswitch1为VLAN10、VLAN20、VLAN30、VLAN40提供DHCP服务。  在Coreswitch1和Coreswitch2以及接入层交换机之间配置生成树，提高网络的可靠性。

 做端口安全，每个接二层交换机的每个端口只能接1台主机。 下面将对它的配置进行详细的说明：

3.2.1 接入层交换机VLAN的配置

打开Catalyst 2960交换机的Console口连接，进入模式进行配置。这里以接入层的SW0交换机为例，配置如下：

hostname SW0 /*将该交换机命名为SW0 vlan database /*进入vlan数据库

vlan 10 name caiwu /*创建vlan 10并将其命名为caiwu exit /*退出并保存

interface FastEthernet0/0 /*将F0/0口设置为Trunk口 switchport mode trunk

interface FastEthernet0/1 /*将F0/1口设置为Trunk口 switchport mode trunk

interface FastEthernet0/2 /将F0/2口划分到vlan10中

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

switchport access vlan 10

interface FastEthernet0/3 /将F0/3口划分到vlan10中 switchport access vlan 10

将SW0交换机上的Fastethernet0/2和Fastethernet0/3划分到VLAN10，也就是划分到财务部，在SW1上把fastethernet0/3-4端口划分到VLAN20里，在SW5上把fastethernet0/3-4端口划分到VLAN30里，在SW6上把fastethernet0/3-4划分到VLAN40里。

3.2.2 接入层交换机端口安全配置

交换机端口安全配置中通过maximum参数来设置交换机的一个端口最多允许几台PC接入，对于接入的MAC地址可以选择粘性学习或者自己手工指定MAC地址。为了减小配置时间，本设计中将其设置成sticky粘性学习。

在SW0上配置端口安全：

interface range fastEthernet 0/2-3 /*进入fastEthernet 0/2 至3 switchport port-security /*启动端口安全

switchport port-security maximum 1 /*允许最大MAC地址数

switchport port-security mac-address sticky /*设置MAC地址的方式为粘性学习

3.2.3 三层交换机VLAN的配置

在确保二层交换机配置完成后并检查配置无误后，进行三层交换机的配置。在三层交换机上配置内部网络里所有的VLAN，并给每个VLAN配置一个网关。以Coreswitch1配置为例，Coreswitch1的vlan配置如下：

vlan database /*进入vlan配置模式

vlan 10 name caiwu /*新建vlan10并命名为caiwu vlan 20 name jishu /*新建vlan20并命名为jishu vlan 30 name xiaoshou /*新建vlan30并命名为xiaoshou vlan 40 name shouhou /*新建vlan40并命名为shouhou

exit /*退出vlan配置模式自动保存vlan信息 interface vlan10

ip address 192.168.10.1 255.255.255.0 /*配置vlan10的网关 interface vlan20

ip address 192.168.20.1 255.255.255.0 /*配置vlan20的网关 interface vlan30

ip address 192.168.30.1 255.255.255.0 /*配置vlan30的网关 interface vlan40

ip address 192.168.40.1 255.255.255.0 /*配置vlan40的网关 exit

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

3.2.4 三层交换机DHCP的配置

DHCP服务可以为内网的主机自动分配地址信息，可以大大简化对网络的管理，而且可以避免有些用户因不会配置TCP/IP协议而导致无法上网的问题。在本设计中DHCP服务是由Coreswitch1来承担，下面以caiwu部门配置的DHCP为例。首先要为caiwu部门配置一个DHCP的用来分配给客户机地址池，地址池配置完成后还需要配置一些基本的信息，如默认网关和DNS服务器的地址。

Coreswitch1配置DHCP如下：

ip dhcp pool caiwu /*为caiwu部门配置DHCP服务 network 192.168.10.0 255.255.255.0 /*分配地址池192.168.10.0/24 default-router 192.168.10.1 /*设置默认网关

dns-server 192.168.168.29 /*设置DNS服务器地址 exit

DHCP配置完成后内网的主机就可以自动获取到IP地址，图3-3为内网的一台Windows 2000 Professional属于caiwu部门自动获取的IP地址为192.168.10.3。

图3-3 caiwu部门主机自动获得的IP地址

3.2.5 三层交换机路由协议的配置

本设计中使用的动态路由协议是OSPF（Open Shortest Path First，开放最短链路优先）路由协议，因为OSPF协议有很多特点，比如收敛速度快、无路由环路、支持VLSM和CIDR、支持认证等，更重要的是OSPF是开放的路由协议支持不同厂商的设备互联。在这里Coreswitch1的fastethernet 0/15口与Headquarter路由器的fastethernet f2/0口相连，所以需要把fastethernet 0/15口设置成三层接口，

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

并分配一个IP地址。

Coreswitch1配置如下：

interface FastEthernet0/15 /*进入f 0/15口 no switchport /*设置为三层接口

ip address 172.16.16.1 255.255.255.0 /*配置f 0/15口的IP地址 router ospf 100 /*启用OSPF进程

network 172.16.16.0 0.0.0.255 area 0 /*把f 0/15口参与OSPF进程

network 192.168.10.0 0.0.0.255 area 0 /*把interface vlan 10虚接口参与OSPF进程 network 192.168.20.0 0.0.0.255 area 0 /*把interface vlan 20虚接口参与OSPF进程 network 192.168.30.0 0.0.0.255 area 0 /*把interface vlan 30虚接口参与OSPF进程

network 192.168.40.0 0.0.0.255 area 0 /*把interface vlan 40虚接口参与OSPF进程 Coreswitch2配置如下：

router ospf 100 /*启用OSPF进程

network 192.168.10.0 0.0.0.255 area 0 /*把interface vlan 10虚接口参与OSPF进程 network 192.168.20.0 0.0.0.255 area 0 /*把interface vlan 20虚接口参与OSPF进程 network 192.168.30.0 0.0.0.255 area 0 /*把interface vlan 30虚接口参与OSPF进程

network 192.168.40.0 0.0.0.255 area 0 /*把interface vlan 40虚接口参与OSPF进程

3.2.6 三层交换机ACL的配置

ACL技术在网络安全中是一个很重要的技术，ACL可以灵活在交换机和路由器上使用，通过ACL技术可以控制不同VLAN即不同部门之间的访问。在这个设计中是不允许其他的部门访问财务部门，那么可以通过设置ACL来对其他的部门进行，ACL的配置如下：

Coreswitch1上ACL的配置：

access-list 101 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 /*拒绝技术部访问财务部

access-list 101 deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 /*拒绝销售部访问财务部

access-list 101 deny ip 192.168.40.0 0.0.0.255 192.168.10.0 0.0.0.255 /*拒绝售后部访问财务部

access-list 101 permit ip any any interface vlan10

ip access-group 101 out /*把ACL应用到虚接口上是ACL生效 Coreswitch2上ACL的配置：

access-list 101 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 /*拒绝技术部访问财务部

access-list 101 deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 /*拒绝销售部访问财务部

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

access-list 101 deny ip 192.168.40.0 0.0.0.255 192.168.10.0 0.0.0.255 /*拒绝售后部访问财务部

access-list 101 permit ip any any interface vlan10

ip access-group 101 out /*把ACL应用到虚接口上是ACL生效

当ACL配置完成后，从其他部门无法ping通caiwu部门的主机，图3-4是jishu部的PC3 ping caiwu部的Windows 2000，无法ping通。

图3-4 PC3 ping Windows 2000

3.2.7 三层交换机spanning-tree的配置

在企业网络中为了减少网络的故障时间，需要引入冗余链路，然而这样却会引起交换环路。交换环路会带来三个问题：广播风暴、同一帧的多个拷贝、交换机CAM表的不稳定，STP（Spanning Tree Protocol）可以解决这个问题。STP基本思路是阻断一些交换机接口，构建一棵没有环路的转发树。STP利用BPDU（Bridge Protocol Data Unit）和其他交换机进行通信，从而确定哪个交换机该阻断哪个接口。在BPDU中有几个关键的字段，如：根桥ID、路径代价和端口ID等。

为了在网络中形成一个没有环路的拓扑，网络中的交换机要进行一下三个步骤：第一步选举根桥，第二步选取根端口，第三步选取指定端口。在这些步骤中，哪个交换机能获胜取决于一下因数：1、最低的根桥ID，2、最低的根路径代价，3、最低发送者桥ID，4、最低发送者端口ID。桥ID由两部分组成：网桥优先级+MAC地址。网桥优先级是一个两个字节是数，交换机默认优先级为32768；MAC地址就是交换机的MAC地址。具有最低桥ID的交换机就是根桥。根桥上的接口都是指定端口，会转发数据包。选举了根桥后，其他的交换机就成了非根桥了。每台非根桥要选举一条到根桥的根路径STP使用路径的Cost来决定到达根桥的最佳路径，具有最低Cost

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

值的路径就是根路径，该接口就是根接口；如果Cost值一样，就根据选举顺序选举根接口，根接口转发数据包。在Cisco Catalyst 交换机上Spanning Tree是默认开启的，那么可以更改交换的优先级来控制哪台交换机为根交换机，在此设计中手工指定Coreswitch1为根交换机起配置如下：

spanning-tree vlan 10 priority 4096 /*使Coreswitch1为vlan10的根 spanning-tree vlan 20 priority 4096 /*使Coreswitch1为vlan20的根 spanning-tree vlan 30 priority 4096 /*使Coreswitch1为vlan30的根 spanning-tree vlan 40 priority 4096 /*使Coreswitch1为vlan40的根

这样默认情况下数据都是从Coreswitch1上转发的，Coreswitch2就成了备份交换机，只有当接入层交换机与Coreswitch1连接的上行链路断开时那么就会启用与Coreswitch2连接的链路，从而增加了网络的可靠性。

3.3 防火墙的配置

防火墙是本网络安全设计的核心部分，它的作用不仅仅是作为、内部网及DMZ区的安全中转站，还需要担任VPN服务器的角色，防火墙一共有三个接口，inside端口，DMZ端口以及outside端口。inside口连接内部网的交换机，而DMZ端口则连接到DMZ区的交换机；相应的，outside端口将直接与ISP网关相连接。防火墙在这里，起一个交通枢纽的作用，而且，是一个保证流经防火墙的数据的安全性的交通枢纽，图3-5为企业网的DMZ区、防火墙及分部的网络拓扑。

图3-5 DMZ区、防火墙及分部的网络拓扑

防火墙的预期功能为：

 能够抵御来自Internet的入侵，阻止未授权用户对企业内部网络的访问。  内部网通过NAT或PAT服务对Internet进行访问，从而阻止内部网暴露在外

界中。对需要向外发布的服务器，则利用NAT的端口映射对外提供服务。  配置IPSec VPN，使企业分部能够通过VPN接入总部网络。

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

 做为AAA服务器的client端，指定VPN用户拨入时通过AAA服务器做认证。 下面对防火墙的基本部分进行配置。

3.3.1 防火墙端口的配置

首先，主机名改为PIX，方便日后维护，然后设置telnet密码和enable密码，使用MD5加密，保证防火墙的安全。配置三个端口，定义安全等级：

interface ethernet0 auto interface ethernet1 auto interface ethernet2 auto /*设置端口为自适应

nameif ethernet0 outside security 0 nameif ethernet1 inside security 100 nameif ethernet2 dmz security 50 /*为三个端口命名并分配安全级

ip address outside 200.100.100.1 255.255.255.0 ip address inside 172.16.16.2 255.255.255.0 ip address dmz 192.168.168.2 255.255.255.0 /*设置各端口IP

3.3.2 防火墙路由表的配置

在防火墙上配置静态路由，由于处于边界，且共连接三个网段，对于防火墙本身来说并不知道该怎样转发数据包，所以加入以下三条路由表：

route outside0.0.0.0 0.0.0.0 serial1/0 /*指向ISP的默认路由 router ospf 100 /*启用OSPF路由协议 network 172.16.16.0 0.0.0.255 area 0 network 172.32.32.0 0.0.0.255 area 0 network 192.168.168.0 0.0.0.255 area 0

接着对防火墙监视的端口进行配置，fixup命令可以来完成这一配置：

fixup protocol http 80 fixup protocol http 443 fixup protocol ftp 21

上面的三条命令将会对HTTP、HTTPS以及FTP中的数据流量进行监视，如果发现有非正常的连接，则会中断该连接，并在log中留下记录。

3.3.3 PAT及端口映射配置

内网用户需要访问Internet那么在防火墙上就要配置NAT在这里公网出口只有一个公有IP所以需要配置PAT,其PAT的配置如下：

access-list 10 permit 192.168.10.0 0.0.0.255 /*定义vlan10里面的地址允许被转换

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

access-list 10 permit 192.168.20.0 0.0.0.255 /*定义vlan20里面的地址允许被转换 access-list 10 permit 192.168.30.0 0.0.0.255 /*定义vlan30里面的地址允许被转换 access-list 10 permit 192.168.40.0 0.0.0.255 /*定义vlan40里面的地址允许被转换 ip nat inside source list 10 interface Serial1/0 overload /*在口s 1/0上启用PAT

interface fastethernet2/0

ip nat inside /*定义f 2/0口为内网口 interface serial1/0

ip nat outside /*定义s 1/0口为内网口 exit

然后就是要配置端口映射，哪些服务器需要对外提供服务那么就需要在防火墙上配置端口映射，这样外部网络就能访问被发布的服务器，在本设计中只对web服务器进行端口映射，其端口映射配置如下：

ip nat inside source static tcp 192.168.168.29 80 200.100.100.1 80 extendable /*192.168.168.29这台服务器的80端口被映射到口200.100.100.1的80端口 interface fastethernet0/0

ip nat inside /*定义f 0/0口为内网口

端口映射后，公网上的用户可以通过访问200.100.100.1的80端口来访问位于DMZ区的web服务器，这里在Internet路由器上 telnet 200.100.100.1 80来验证是否能够访问内网WEB服务器的80端口，如图3-6，80端口能open，说明发布WEB服务器成功。

图3-6 成功发布web服务器的示意图

3.3.4 防火墙IDS的配置

最后，在防火墙上启用IDS功能：

ip audit name attack-rule attack action alarm reset ip audit name info-rule info action alarm reset ip audit interface outside info-rule ip audit interface outside attack-rule

至此，防火墙的基本配置部分完成，下面，将对VPN部分进行介绍。

3.4 VPN的配置

当前，企业员工具有很大的可移动性，因此实现信息的无障碍访问已成为几乎

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

所有知识型员工的迫切业务需要。这不仅仅局限于经常外出的员工，据统计，35%的企业员工（如管理人员、市场人员、客户服务人员等等），至少将20%的工作时间花在其主要工作场所之外。而且固定办公人员的移动性也在提高，如出席各种会议、外出就餐、往返多个办公场所、或希望晚上（或周末）在家工作灯。业务合作伙伴、供应商和客户也需要从自己的办公室、工厂、家或其他地点，接入公司的相关应用和内容、访问权限内的相关资源。

本设计中VPN的实现有以下四种方案：

1）在DMZ区的服务器上搭建一个VPN服务器，分部的主机通过PPTP或者L2TP连接到总部的VPN服务器上。

2）在总部Headquarter路由器和分部Branch路由器上配置了GRE Over IPSec VPN，那么总部和分部之间就建立了一条IPSec隧道，总部和分部之间进入隧道的数据将会被加密。

3）在总部Headquarter路由器建立一个EasyVPN远程用户可通过Cisco VPN Client接入企业内部网；定点的分公司可直接与总公司内部网相连。 4）在总部Headquarter路由器上配置SSL VPN，远程客户端通过浏览器登录到SSL VPN服务器，并访问相应的web资源。 下面将对VPN的配置部分进行详细说明：

3.4.1 PPTP VPN和L2TP VPN的配置

要使Headquarter路由器和Branch路由器能够通信，首先要配置GRE隧道。 Headquarter路由器上配置GRE隧道：

interface tunnel0 /*开启tunnel口

ip address 172.32.32.1 255.255.255.0 /*给tunnel口分配一个IP tunnel source Serial1/0 /*定义tunnel的源是S 1/0 tunnel destination 200.200.200.2 /*定义tunnel的目的IP就是Branch路由器口的IP地址

Branch路由器上配置GRE隧道：

interface Tunnel0 /*开启tunnel口

ip address 172.32.32.2 255.255.255.0 /*给tunnel口配置一个IP tunnel source Serial1/0 /*定义tunnel的源为S 1/0 tunnel destination 200.100.100.1 /*定义tunnel的目的IP即Headquarter路由器口的IP

要使Headquarter和Branch能够通信还需要在这两台路由器上配置路由协议，

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

这里考虑到内网使用的路由协议时OSPF所以在Headquarter和Branch上也配置OSPF路由协议。

Headquarter路由器上配置路由协议：

router ospf 100 /*启用OSPF进程

network 172.16.16.0 0.0.0.255 area 0 /*把f 2/0口参与OSPF进程 network 172.32.32.0 0.0.0.255 area 0 /*把tunnel口参与OSPF进程 network 192.168.168.0 0.0.0.255 area 0 /*把f 0/0口参与OSPF进程

Branch路由器上配置路由协议：

router ospf 100 /*启用OSPF进程

network 172.18.18.0 0.0.0.255 area 0 /*把f 2/0口参与OSPF进程 network 172.32.32.0 0.0.0.255 area 0 /*把tunnel口参与OSPF进程

至此GRE和路由都配置完毕，现在Headquarter和Branch就能够通信了从Branch

可以ping通Headquarter了，如图3-7所示

图3-7 总部与分部能够互相通信

3.4.1.1 PPTP VPN的配置

在本设计中PPTP VPN使用Windows 2003做VPN服务器。

1）服务器端的配置

（1）配置Internet验证服务器即RADIUS服务器的配置

这里Internet验证服务器把路由和远程访问服务器做为自己客户端，而这两个服务都在同一台电脑上所以填写的客户端的IP地址就是本机自己的IP地址。

（2）配置路由和远程访问服务器

在路由和远程访问服务器上需要配置一个虚拟IP地址池，这些IP地址是分配给拨入VPN服务器的客户端的。

在路由和远程访问服务器里需要配置RADIUS服务器的信息，就是路由和远程访问服务器捕获的验证消息转交给Internet验证服务器，由Internet验证服务器来验证用户是否合法，这里Internet验证服务器和路由和远程访问服务器在同一台服务器上所以服务器的IP为自身的IP地址，为192.168.168.29。 radius身份验证

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

的端口有1812和15，记账端口有1813和16，然后需要配置机密为123456，也就是在Internet验证服务器上配置的共享的机密，如图3-8所示。

图3-8 设置共享的机密

配置身份验证方法，为了增加安全身份认证方法选择MS-CHAP、MS-CHAP v2和CHAP，如图3-9所示。

图3-9 设置身份验证方法

（3）配置允许进行VPN拨入的账户

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

在Active Directory用户和计算机里新建一个用户，这个用户是客户端拨入总部所使用的用户名。 2）客户端的配置

（1）在虚拟机里安装一台Windows XP做为客户端，在Windows XP中打开网络连接，创建一个新的连接。

（2）在主机名或IP地址里填入VPN服务器的IP为192.168.168.29，完成客户端的配置。

（3）客户端配置完成后现在就可以进行VPN的连接了，打开刚才VPN连接，输入用户名和密码，点击连接。

（4）连接成功后的信息，如图3-10和图3-11所示

图3-10客户端PPTP VPN的信息

图3-11客户端获得的IP

到此PPTP VPN 配置完毕。

3.4.1.2 L2TP VPN的配置

L2TP（Layer Two Tunneling Protocol，第二层通道协议）是VPDN（虚拟专用拨号网络）技术的一种，专门用来进行第二层数据的通道传送，即将第二层数据单

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

元，如点到点协议（PPP）数据单元，封装在IP或UDP载荷内，以顺利通过包交换网络（如Internet），抵达目的地。它使用两种类型的消息：控制消息和数据隧道消息。控制消息负责创建、维护及终止L2TP隧道，而数据隧道消息则负责用户数据的真正传输。L2TP支持标准的安全特性CHAP和PAP，可以进行用户身份认证。在安全性考虑上，L2TP仅定义了控制消息的加密传输方式，对传输中的数据并不加密。

L2TP VPN比PPTP VPN的配置就多了一个IPSec的预共享密钥所以只需要在服务器端和客户端配置一个相同的预共享密钥就好了。 1）服务器的配置

在路由与远程访问服务器中为L2TP连接允许定义IPSec策略，并输入预共享密钥123，如图3-12所示。

图3-12 设置预共享密钥

2）客户端的配置

客户端需要在IPSec中设置使用预共享的密钥作为身份验证，并输入预共享密钥，这里的预共享密钥要与服务器端定义的密钥是一样的，否则客户端不能成功连接VPN服务器的，输入用户名密码并连接。连接成功后如图3-13和3-14所示。

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

图3-13客户端L2TP VPN的信息

图3-14连接成功后的信息

3.4.2 IPSec VPN的配置

本设计中在Headquarter路由器和Branch路由器上建立一条IPSec VPN隧道，是进入VPN隧道的数据都进行加密处理。IPSec VPN配置步骤如下： 1）adquarter路由器上IPSec VPN的配置

 首先先定义感兴趣的流量，只有这些感兴趣的流量才会进入IPSec VPN隧道

access-list 101 permit gre host 200.100.100.1 host 200.200.200.2 /*定义允许走GRE通道的数据能够进入IPSec VPN隧道。

 定义IKE1阶段策略

IKE1阶段 强制性阶段1在IPSec对等体之间建立一个双向SA，终端设备之间使用相同密钥。执行对等体验证，确认IPSec端点身份 IKE建立双向SA时可以采取2种模式主模式/积极模式 阶段一完成参数协商 如哈希分发和变换集。

crypto isakmp policy 10 /*定义一个策略10，建立IPSec VPN两端的策略要一致

authentication pre-share /*认证方式有三种预共享密钥、rsa数字签名、rsa加密 hash sha /*消息完整性算法有两种sha和MD5默认是sha encryption des /*加密算法有三种3des、aes、des默认是des

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

group 2 /*定义密钥交换参数group有三个参数1、2、5,1使用768位密钥，2使用1024位密钥 crypto isakmp key cisco address 200.200.200.2 /*确定使用的预共享密钥这里为cisco 和目的路由器的IP地址。

 定义IKE2阶段策略

IKE2阶段 强制性阶段2利用阶段1同意的参数在IPSec端点之间实现单向SA 使用单向SA也就意味着每个方向都要使用的密钥素材，阶段2使用IKE的快速模式来建立每个方向的单向SA。

crypto ipsec transform-set myset esp-3des esp-md5-hmac /*配置IPSec转换集

crypto map mymap 1 ipsec-isakmp /*配置加密映射 set peer 200.200.200.2 /*指定对等体 set transform-set myset /*加载加密算法 match address 101 /*加载定义的ACL

interface serial1/0 /*进入接口

crypto map mymap /*将定义的密码图应用到接口上

到此Headquarter路由器上的IPSec VPN就配置完毕 2）验证IPSec VPN

在Headquarter路由器上show crypto isakmp sa查看IPSec VPN状态已经是出于活动状态如图3-15所示。

图3-15 查看已经建立VPN连接的路由器

在Headquarter路由器上show crypto IPSec sa查看已经有数据包被加密和被

解密，如图3-16所示。

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

图3-16 查看加密的数据包

再从分部ping总部的服务器地址并在Headquarter路由器口抓包所抓到的包都是经过ESP加密的，如图3-17所示。

图3-17 VPN通道里加密的数据包

到此IPSec VPN配置完毕。

3.4.3 Cisco EasyVPN的配置

1）服务器端的配置

在Headquarter路由器上配置Easy VPN的server端 username xu password cisco /*定义本地用户数据库 aaa new-model /*启用AAA认证

aaa authorization network easy local /*定义授权访问列表这里为easyVPN aaa authentication login nj local /*定义登陆验证列表这里为nj ip local pool vpool 192.168.50.1 192.168.50.254 /*定义虚拟IP地址池

 IKE1阶段策略

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

crypto isakmp policy 10 /*定义一个策略10 authentication pre-share /*使用预共享密钥 hash sha /*定义消息完整性算法

encryption 3des /*定义加密算法，客户端只支持3des

group 2 /*定义密钥交换参数，客户端只支持group2 crypto isakmp client configuration group easy /*调用授权访问列表 key cisco /*设置预共享密钥，这里为cisco domain abc.com /*定义客户端获得的域名，可选参数 dns 192.168.168.29 /*定义客户端获得的DNS服务器的地址 pool vpool /*加载上面定义的虚拟IP地址池

 IKE2阶段策略

crypto IPSec transform-set myset esp-3des esp-md5-hmac /*配置装换集 crypto dynamic-map dyn 1 /*动态加密映射 set transform-set myset /*加载装换集 reverse-route /*反向路由注入

crypto map mymap 10 IPSec-isakmp dynamic dyn /*将动态映射到静态

crypto map mymap client authentication list nj /*定义客户端使用的验证列表 crypto map mymap isakmp authorization list easy /*定义授权访问列表 crypto map mymap client configuration address respond /*向客户端推送配置 interface serial1/0

crypto map mymap /*将定义的密码图应用到接口上

2）客户端的配置

在分部或移动的主机上安装Cisco VPN Client这个软件点击[new]按钮添加VPN

服务器的信息Connection Entry自己可以给他起个名字这里填入headquarter，Host里填入VPN服务器的公网IP为200.100.100.1,Name应填写VPN 服务器端定义的访问列表的名字为easyVPN，这里的password是预共享密钥为cisco，点击Save保存。如图3-18所示。

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

图3-18设置预共享密钥

然后点击Connect 会出现如下的对话框，在弹出的对话框里填入VPN端在用户数据库里定义好的一个用户这里填入上面定义的一个用户，输入用户名和密码，然后确定，如图3-19所示。

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

图3-19登陆验证

3）Cisco Easy的验证

连接成功后在客户端通过ipcnfig来查看VPN的信息，如图3-20。

图3-20客户端获得的IP地址

在总部的ping 192.168.50.3 这个虚拟IP，并在Branch路由器的口进行抓包发现所传送的数据包都是被ESP进行加密过的，如图3-21所示。

图3-21 VPN通道里的加密数据

到此Easy VPN的配置完毕。

3.4.4 Cisco SSL VPN的配置

SSL VPN利用内置在Web浏览器中的SSL加密和验证功能，并与安全网关相结合，提供安全远程访问企业应用的机制，SSL VPN的好处就是客户端不需要安装VPN软件，大大简化的用户的使用难度。 1）服务端的配置

因为这里定义的虚拟IP池和内网不在同一个网段，所以要创建一个环回口作为SSL VPN客户端的网关。

interface loopback0

ip address 10.1.1.1 255.255.255.255 /*配置回环口的地址

aaa new-model /*启用AAA认证

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

aaa authentication login web local

ip local pool vpool 192.168.60.1 192.168.60.254 /*定义虚拟IP地址池 username xuaaa password 123 /*定义本地用户数据库

web gateway sslgateway /*定义webVPN在哪个端口上监听 ip address 10.1.1.1 port 443 /*定义监听端口的IP和端口号 inservice /*启用webVPN gateway配置 exit

web context webcontext /*定义webVPN的上下文

gateway sslgateway /*将context和sslgateway关联 aaa authentication list web /*将context和sslgateway关联 inservice /*启用webcontext配置 policy group ssl-policy /*进入ssl VPN策略组 functions svc-enabled

svc address-pool vpool /*分配svc使用的地址池

到此服务端的配置完毕，下面是客户端的使用配置。 2）客户端登陆SSL VPN服务器

打开Internet Explorer 在浏览器里输入SSL VPN服务器的地址https://10.1.1.1回车会出现浏览器需要安装证书，点击时是安装证书如图3-22所示。

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

图3-22 SSL VPN 安装证书

证书安装好后会出现如下的登陆界面，输入VPN服务器端定义好的用户名和密码，如图3-23所示。

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

图3-23 登陆SSL VPN服务器

登陆成功后所显示的主界面和SSL VPN工具条，如图3-24所示。

图3-24 SSL VPN界面

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

3）验证SSL VPN

在Enter Web Address栏里输入WEB服务器的地址192.168.168.29，能打开WEB资源，如图3-25所示。

图3-25使用SSL VPN打开网页

再在Headquarter路由器的接口抓包，所看到的数据包是经过SSL加密的，如图3-26所示。

图3-26 被SSL加密的数据包

到此整个VPN部分的配置完毕。

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

第四章 企业内部服务器的配置

4.1 AAA服务器的配置

在企业网络中对内部网络的交换机和路由器等网络设备要进行集中管理，以防止不法用户未进过允许而登陆网络设备。这里使用Windows Server 2003的Interne验证服务器作为Radius服务器，本设计中在Headquarter路由器上配置. 1）Headquarter路由器上的配置

enable password cisco /*配置全局模式密码 aaa new-model

aaa authentication login telnet group radius /*定义telnet组 radius-server host 192.168.168.29 /*定义Radius服务器的地址 radius-server key 123456 /*定义预共享的密钥 line vty 0 4

login authentication telnet /*在vty线路上启用认证

2）Internet验证服务器的配置

这里Internet验证服务器需要把Headquarter路由器作为客户端，所以填写的IP为Headquarter路由器DMZ接口的IP。Service-Type的属性要改为Login，这样通过远程telnet路由器就会被授予登陆权限，如图4-1所示。

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

图4-1 配置远程登陆设备的属性值

在身份验证选项卡里的身份验证方法选择未加密的身份验证(PAP，SPAP)，如图4-2所示。

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

图4-2 身份验证方法

3）测试Radius服务器

在远程的台主机上telnet Headquarter路由器，能够进入路由器的配置模式，如图4-3所示。

图4-3 成功登陆网络设备

4.2 WEB和FTP服务器的配置

本设计中WEB服务器和FTP服务器都在一台Windows Server 2003服务器里，

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

服务器所使用的IP地址为192.168.168.29，WEB服务器有一级网站和二级网站，对于FTP服务器，把权限设置为可读可写，这样可以用作简单的文件服务器。

4.3 DNS服务器的配置

DNS能将主机名转换为IP地址，在DNS中有两大部分

一是正向查找区域，是将域名映射到IP地址的数据库，用于将域名解析为IP地址，正向查找是基于存储在地址(A)资源记录中的一台计算机的DNS名称的搜索，这类查询希望将IP地址作为应答的资源数据。本设计中为WEB服务器分配了一个域名为www.abc.com，其IP指向为192.168.168.29，当客户端访问www.abc.com时就先通过域名解析成IP地址，从而能够访问到WEB服务器。为FTP服务器也分配一个域名为ftp.abc.com，其IP指向192.168.168.29。为邮件服务器的SMTP和POP3分配一个域名为mail.abc.com，其IP指向192.168.168.29。

二是反向查找区域，将IP地址映射到域名的数据库，用于将IP地址解析为域名，反向查找主要是给DNS服务器取名字。

4.4 E-mail服务器的配置

本设计中E-mail服务器使用的是MuseMail Server ，在Outlook Express 设置SMTP和POP3的地址为mail.abc.com，这样就能通过Outlook Express发送和接受邮件了。

到此整个企业网络的安全以及基本的web，ftp，e-mial等应用都配置完毕，网络的内部和外部都能通过域名访问web和ftp服务器，所有用户都可以使用Windows自带的Outlook Express邮件客户端来收发邮件。

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

第五章 结束语

通过自己的努力，终于地完成了本次毕业设计课题。设计完成的网络安全系统能够很好的运行，基本能够满足企业安全的需求和基本的应用需求，在做毕业设计中对自己所了解的知识有了更深的理解。

5.1 毕业设计的难点与创新

本课题的主题是中小型企业网络的设计与安全实现。首先是对企业网整体架构的构思。并在理论设计的基础上确定出具体的配置方案。其次就是对方案进行具体的实施。本设计中模拟的是真实的网络环境所涉及到很多方面的知识，有局域网内部的VLAN配置、ACL的配置、Spanning-Tree的配置、路由协议的配置、DHCP的配置、NAT/PAT的配置等，外部网络涉及到PPTP/L2TP VPN的配置、IPSec VPN的配置、SSL VPN的配置和Cisco EasyVPN的配置，服务器上涉及的配置有WEB/FTP服务器的配置、E-mail服务器的配置、DNS服务器的配置、Radius服务器的配置、活动目录(AD)的配置等等。最终，通过对相关理论知识的系统学习和具体的实践操作，完成了本课题的设计任务。

本设计的难点是总部和分部VPN的搭建以及AAA服务器验证的实现以及权限的控制，还有就是涉及到VMware Workstation里的虚拟机和GNS3以及真机之间的交互问题。设计中以Cisco PIX防火墙为主要防护设备，使用一系列访问策略，对进入内网和出内网的数据进行监控，尽可能的保证了企业网络的安全。对于一些要向外部发布服务的服务器应该放置于防火墙的DMZ区，防火墙对访问DMZ区服务器的连接进行监控，阻止非法连接，保证DMZ区服务器的安全。内部网络通过使用VLAN技术按部门划分出多个虚拟网络，能够对不同VLAN之间的访问进行控制，增强了全性，防止未授权用户接入内部网进行访问。在网络的出口处使用NAT技术，对企业内部网进行保护，阻止未授权的用户的访问。本设计充分考虑了真实企业网络环境的情况，并用软件模拟出真实的网络环境，并且实施成功。

由于真实的企业网络环境比模拟的要大很多，内网的主机可能有上百台，而且服务器可能也有好几台，虽然能像本设计中那样把所有服务都集中在一台服务器上，

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

这样可以大大较少开支，节约成本，但出于安全考虑，最好是一台服务器提供一种或两种服务，然后把这些服务器群接入性能比较强的三层交换机，再把三层交换机接到防火墙的DMZ口，防火墙可以对DMZ口进行监控，保证的服务器群的安全。

如果企业网络规模很大，在内部网络中为了保证网络的可靠性，可以在核心交换层放置多台核心交换机，采用生成树结构，这样不但可以防止环路的产生而且增加了企业网络的可用性，减少单点故障。当然在企业网络设计的初期设备的选型也是很重要的，在设计网络的初期先要了解网络规模，以及该网络的主要应用，估算网络的最大带宽，并购买相应的网络设备。在网络中路由协议也是不容忽视的，现在的一些路由协议如RIPv2，OSPF，EIGRP，等路由协议都支持明文和MD5加密，对这些路由更新信息进行加密，也能防止通过路由更新信息对网络的攻击。

因本人学识所限，服务器上的安全设置还不够全面，考虑还不够周到。

5.2 毕业设计的收获

经过这段网络系统的设计，我对基于Cisco的网络技术以及服务器的配置有了更深的了解和认识，掌握了路由交换的一些技巧和方法。本次毕业设计给了我一个思考和解决问题的机会，在网络系统的需求分析、功能模块和各方面的设计配置中，都需要进行细致全面的思考，从中让我学会了以前不曾接触过的知识，并且学会了怎样将书本知识转化到实际应用开发工作中去。毕业设计能够很好地提高我们的综合能力。除了学习到了相关的技术之外，还培养了自学、的解决问题的能力。

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

致 谢

在毕业设计即将结束之际，我要真诚地感谢我的指导老师——XX老师。在整个毕业设计过程中，X老师给了我悉心的指导和热情的帮助。在毕业设计刚开始时，老师耐心地给我分析设计所涉及的研究思路，使我一开始就能够很好地把握开发设计的方向。在毕业设计过程中，X老师始终在百忙之中为我在毕业设计中遇到的问题给予解答，使我的毕业设计能够顺利地进行下去，在整个系统设计即将结束的时候，老师又很负责地给我提出了很多改进意见，并帮助我一起解决遇到的难题，使我能够很好地完成本次毕业设计，所以我要再一次地感谢X老师。

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

参考文献

[01]何新权.全国计算机等级考试四级网络工程师.北京：高等教育出版社.2009 [02]谢希仁.计算机网络(第五版).北京：电子工业出版社.2008 [03]曹鹏. 企业网络安全维护案例精粹. 北京：电子工业出版.2008 [04]陈泽徐.浅析企业网络安全策略.北京：电子工业出版社，2009

[05]沈传案，王吉伟.企业网络安全解决方案.北京：机械工业出版社，2008 [06] 张仕斌，陈麟,方睿.网络安全基础教程. 北京：人民邮电出版社，2009 [07] 刘化君.网络安全技术.北京：机械工业出版社，2010

[08] 袁德明，乔月圆.计算机网络安全. 北京：电子工业出版，2007

[09] Diane Teare.Catherine Paquest(美).CCNP学习指南：组建可扩展的Cisco互联网络.北京：人民邮电出版社，2010 [10]Richard Froom.Balaji Sivasubramanian.Erum Frahim(美).CCNP学习指南：组建Cisco多层交换网络.北京：人民邮电出版社，2010

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

附录：英文技术资料翻译

英文原文：

Solutions, such as the various encryption methods and PKI, enable businesses to securely extend their networks through the Internet. One way in which businesses accomplish this extension is through Virtual Private Networks (VPNs).

A VPN is a private network that is created via tunneling over a public network, usually the Internet. Instead of using a dedicated physical connection, a VPN uses virtual connections routed through the Internet from the organization to the remote site. The first VPNs were strictly IP tunnels that did not include authentication or encryption of the data. For example, Generic Routing Encapsulation (GRE) is a tunneling protocol developed by Cisco that can encapsulate a wide variety of Network Layer protocol packet types inside IP tunnels. This creates a virtual point-to-point link to Cisco routers at remote points over an IP internetwork. Other examples of VPNs that do not automatically include security measures are Frame Relay, ATM PVCs, and MultIProtocol Label Switching (MPLS) networks.

A VPN is a communications environment in which access is strictly controlled to permit peer connections within a defined community of interest. Confidentiality is achieved by encrypting the traffic within the VPN. Today, a secure implementation of VPN with encryption is what is generally equated with the concept of virtual private networking.

VPNs have many benefits:

 Cost savings - VPNs enable organizations to use cost-effective,

third-party Internet transport to connect remote offices and remote users to the main corporate site. VPNs eliminate expensive dedicated WAN links and modem banks. Additionally, with the advent of

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

cost-effective, high-bandwidth technologies, such as DSL, organizations can use VPNs to reduce their connectivity costs while simultaneously increasing remote connection bandwidth.

 Security - VPNs provide the highest level of security by using advanced

encryption and authentication protocols that protect data from unauthorized access.

 Scalability - VPNs enable corporations to use the Internet

infrastructure that is within Internet service providers (ISPs) and devices. This makes it easy to add new users, so that corporations can add significant capacity without adding significant infrastructure.

 Compatibility with broadband technology - VPNs allow mobile workers,

telecommuters, and people who want to extend their workday to take advantage of high-speed, broadband connectivity to gain access to their corporate networks, providing workers significant flexibility and efficiency. High-speed broadband connections provide a cost-effective solution for connecting remote offices.

In the simplest sense, a VPN connects two endpoints over a public network to form a logical connection. The logical connections can be made at either Layer 2 or Layer 3 of the OSI model. VPN technologies can be classified broadly on these logical connection models as Layer 2 VPNs or Layer 3 VPNs. Establishing connectivity between sites over a Layer 2 or Layer 3 VPN is the same. A delivery header is added in front of the payload to get it to the destination site. This chapter focuses on Layer 3 VPN technology.

Common examples of Layer 3 VPNs are GRE, MPLS, and IPSec. Layer 3 VPNs can be point-to-point site connections such as GRE and IPSec, or they can establish any-to-any connectivity to many sites using MPLS.

Generic routing encapsulation (GRE) was originally developed by Cisco and later standardized as RFC 1701. An IP delivery header for GRE is defined in RFC 1702. A GRE tunnel between two sites that have IP reachability can

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

be described as a VPN, because the private data between the sites is encapsulated in a GRE delivery header.

Pioneered by Cisco, MPLS was originally known as tag switching and later standardized via the IETF as MPLS. Service providers are increasingly deploying MPLS to offer MPLS VPN services to customers. MPLS VPNs use labels to encapsulate the original data, or payload, to form a VPN.

How does a network administrator prevent eavesdropping of data in a VPN? Encrypting the data is one way to protect it. Data encryption is achieved by deploying encryption devices at each site. IPSec is a suite of protocols developed with the backing of the IETF to achieve secure services over IP packet-switched networks. The Internet is the most ubiquitous packet-switched public network; therefore, an IPSec VPN deployed over the public Internet can provide significant cost savings to a corporation as compared to a leased-line VPN.

IPSec services allow for authentication, integrity, access control, and confidentiality. With IPSec, the information exchanged between remote sites can be encrypted and verified. Both remote-access and site-to-site VPNs can be deployed using IPSec.

There are two basic types of VPN networks: Site-to-site Remote-access

A site-to-site VPN is created when connection devices on both sides of the VPN connection are aware of the VPN configuration in advance. The VPN remains static, and internal hosts have no knowledge that a VPN exists. Frame Relay, ATM, GRE, and MPLS VPNs are examples of site-to-site VPNs.

A remote-access VPN is created when VPN information is not statically set up, but instead allows for dynamically changing information and can be enabled and disabled. Consider a telecommuter who needs VPN access to corporate data over the Internet. The telecommuter does not necessarily have the VPN connection set up at all times. The telecommuter's PC is responsible

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

for establishing the VPN. The information required to establish the VPN connection, such as the IP address of the telecommuter, changes dynamically depending on the location of the telecommuter.

A site-to-site VPN is an extension of a classic WAN network. Site-to-site VPNs connect entire networks to each other, for example, they can connect a branch office network to a company headquarters network. In the past, a leased line or Frame Relay connection was required to connect sites, but because most corporations now have Internet access, these connections can be replaced with site-to-site VPNs. Site-to-site VPN

In a site-to-site VPN, hosts send and receive normal TCP/IP traffic through a VPN gateway, which can be a router, firewall, Cisco VPN Concentrator, or Cisco ASA 5500 Series Adaptive Security Appliance. The VPN gateway is responsible for encapsulating and encrypting outbound traffic from a particular site and sending it through a VPN tunnel over the Internet to a peer VPN gateway at the target site. Upon receIPt, the peer VPN gateway strIPs the headers, decrypts the content, and relays the packet toward the target host inside its private network. Remote-Access VPN

Remote-access VPNs are an evolution of circuit-switching networks, such as plain old telephone service (POTS) or ISDN. Remote-access VPNs can support the needs of telecommuters, mobile users, and extranet consumer-to-business traffic. Remote-access VPNs support a client / server architecture where a VPN client (remote host) requires secure access to the enterprise network via a VPN server device at the network edge.

In the past, corporations supported remote users by using dial-in networks and ISDN. With the advent of VPNs, a mobile user simply needs access to the Internet to communicate with the central office. In the case of telecommuters, their Internet connectivity is typically a broadband connection.

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

In a remote-access VPN, each host typically has Cisco VPN client software. Whenever the host tries to send traffic intended for the VPN, the Cisco VPN Client software encapsulates and encrypts that traffic before sending it over the Internet to the VPN gateway at the edge of the target network. Upon receIPt, the VPN gateway behaves as it does for site-to-site VPNs.

An emerging remote-access technology is Cisco IOS SSL VPN. This technology provides remote-access connectivity from almost any Internet-enabled host using a web browser and its native Secure Sockets Layer (SSL) encryption. SSL VPNs allow users to access web pages and services, including the ability to access files, send and receive email, and run TCP-based applications without IPSec VPN Client software. They provide the flexibility to support secure access for all users, regardless of the host from which they establish a connection. This flexibility enables companies to extend their secure enterprise networks to any authorized user by providing remote-access connectivity to corporate resources from any Internet-enabled host.

SSL VPN currently delivers two modes of access: clientless and thin client. With clientless SSL VPN, a remote client needs only an SSL-enabled web browser to access HTTP- or HTTPS-enabled web servers on the corporate LAN. In a thin client SSL VPN environment, a remote client must download a small, Java-based applet for secure access of TCP applications that use static port numbers. UDP is not supported in a thin client environment.

SSL VPNs are appropriate for user populations that require per-application or per-server access control, or access from non-enterprise-owned desktops. SSL VPNs are not a complete replacement for IPSec VPNs. IPSec VPNs allow secure access to all of an organization's client/server applications. Additionally, SSL VPNs do not support the same level of cryptographic security that IPSec VPNs support. While SSL VPNs cannot replace IPSec VPNs, in many cases, they are complementary because they solve different problems. This complementary approach allows a single device to

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

address all remote-access user requirements.

The primary benefit of SSL VPNs is that they are compatible with Dynamic MultIPoint VPNs (DMVPNs), Cisco IOS Firewalls, IPSec, intrusion prevention systems (IPSs), Cisco Easy VPN, and Network Address Translation (NAT).

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

中文译文：

解决方案，如各种加密方法和PKI，使企业能够安全地通过互联网扩展其网络，实现这一企业网络扩展的方式之一就是通过虚拟专用网。

VPN通常是通过公共网络建立隧道的专用网络，VPN不是使用专用的物理连接，而是使用一个虚拟链路通过互联网实现远程站点到本地网络的连接，起初VPN的IP隧道中并不包含对身份验证和加密数据的服务，例如，思科公司开发的通用路由封装隧道协议，可以封装一个网络层协议在IP隧道内的各种数据包类型。远程站点可以通过创建一个虚拟的点对点链路进入到内部网络。另外一些例子，比如一些不会自动采取安全措施的协议，帧中继，ATM虚拟链路和多协议标签交换网络。

VPN是一种严格访问控制权限的通信环境，加密数据在虚拟专用网内进行传输。今天，执行安全VPN加密通常就是等同于与虚拟专用网的概念。

虚拟专用网有许多好处：

 节约成本：虚拟专用网使企业能够降通过第三方互联网传输进行远程办公用户和

企业总部之间连接的成本，虚拟专用网消除了昂贵的专用广域网连接和调制解调器器件，此外，随着成本的出现效益，高带宽的技术，如DSL，企业可以使用VPN连接，以减少成本，同时提高远程连接带宽，

 安全性 - VPN提供采用先进的加密和认证协议，以最高级别的安全机制保护数

据免受未授权的访问。

 可扩展性 - 虚拟专用网络使企业能够利用互联网基础设施，与Internet服务提

供商的设备建立通信，这十分方便的添加新用户，使公司与其他公司建立通信在不增加基础设施的前提下。

 兼容宽带技术 VPN允许移动员工，移动办公，员工可以在工作日以外时间通过

VPN以高速的宽带连接来访问企业网络，这为工作人员提供了极好的灵活性和提高了工作效率，高速宽带连接提供了具有成本效益的远程办公室连接的解决方案 简单的来讲，VPN通过公共网络实现两个端点的逻辑连接。逻辑连接可以建立在OSI模型的第2层和第3层。VPN技术大致可以分为第2层VPN或第3层逻辑VPN两种连接模型， 第2层或第3层VPN建立的是相同站点之间的连接，在数据包的头部增加了一个标识字段来使数据到达目的站点，本章的重点是第三层VPN技术。

常见的VPN例子有GRE，MPLS，和IPSec。第3层VPN可以实现站点到站点直接的连接，如GRE和IPSec，或者通过MPLS建立多对多的站点连接。

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

通用路由封装（GRE）最初是由思科创建的，后来作为RFC 1701规范。在RFC 1702中定义了GRE的一种IP头，两个站点之间的GRE隧道是提供IP可达作为VPN的描述，因为站点之间的私人数据被封装在一个GRE交付头。

思科首创的MPLS最初被称为标签交换，后来通过了IETF标准化才被叫做MPLS。服务供应商正越来越多地部署MPLS技术的MPLS VPN服务提供给客户，MPLS VPN的使用标签来封装原始数据，或有效载荷，形成一个VPN。

网络管理员如何防止一个VPN数据窃听？数据加密是保护它的方法之一。数据加密是通过在每个站点部署加密设备。IPSec是一个在IETF的支持下开发的来实现对IP数据包安全交换的网络服务协议。互联网是最普遍的分组交换公用网络，因此，一个IPSec VPN通过公共互联网部署可以节约公司大量的成本与采用租用线的VPN网络相比。

IPSec允许服务认证，完整性，访问控制和保密性。通过IPSec远程站点之间交换的信息可以得到加密和验证。

远程访问和站点到站点VPN都可以使用IPSec来部署。 有两个基本类型的VPN网络： 站点到站点 远程访问 一个站点到站点的VPN的被创建时，两端连接VPN的设备是提前知道VPN设置的。VPN是静态的，而内部主机是不知道VPN的存在的。帧中继，ATM，GRE和MPLS VPN 都是站点到站点的 VPN 的例子。 远程接入VPN时创建的VPN信息不是静态设置，而是用于动态变化的信息，可以启用和禁用允许。 考虑到远程办公的人需要通过VPN拨入访问企业数据在internet上。但没必要在任何时候都要有VPN连接. 远程办公的PC负责建立VPN连接。在建立VPN连接的时候需要一些信息，比如，远程工作者的IP地址，根据远程工作的地址该成动态的。 站点到站点的VPN 一个站点到站点的VPN是一个典型的广域网络的扩展。站点到站点的VPN相互连接整个网络，例如，可以把一个分支办公室的网络连接到公司总部网络上。在过去，通过租用线路或帧中继连接需要连接的站点,但因为现在大多数企业有internet最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

接入,这些连接可以被替换为站点到站点VPN

在一个站点到站点VPN中，主机发送和接收正常的TCP/IP数据通过一个VPN网关，这个VPN网关可以是一个路由器，防火墙，思科的VPN连接器或者是一个思科的5500系列的安全模块。VPN网关负责封装和加密从一个特定的站点发送的出站通信数据，通过互联网上的VPN隧道到达目标站点的相同VPN网关上。收到数据后，目标站点的VPN网管检查数据头，解密内容，转发数据包到私有网络内的目标主机上。 远程VPN拨入

远程拨入VPN是一种扩展的电路交换网络，比如普通老式电话服务或者综合业务数字网。

远程拨入VPN可以为有需要的远程办公者，移动用户和外部客户对企业数据的访问提供支持。

当一个VPN客户端(远程主机)要求通过边缘网络上的一个VPN服务器设备安全地访问企业网络时，远程拨入VPN可以提供支持。

在过去，公司为远程用户提供支持通过拨号网络和ISDN.随着VPN的到来，移动用户与办公室进行交流只需要访问互联网.在远程情况下，他们的互联网连接通常是一个宽带连接。

在远程接入VPN时，每个主机通常有思科的VPN客户端软件。当主机尝试发送VPN数据时，思科的VPN客户端软件用于数据封装和加密，然后递交给因特网上的目标网络边缘上的VPN网关。目标VPN网关收到数据后，把它作为一个站点到站点的VPN来处理。

一个新兴的远程接入技术是思科IOS的SSL VPN。这项技术几乎为所有的互联网远程访问连接功能的主机提供了使用Web浏览器及其本地安全套接字层（SSL）加密。SSL VPN产品允许用户访问网页和服务，包括访问文件的能力，发送和接收电子邮件，并运行基于TCP无IPSec VPN客户端软件的应用。它们提供了灵活性，以支持所有用户的安全访问，无论从他们任意一台主机建立连接。这种灵活的方式使公司通过提供远程访问，让其安全的企业网络的授权用户可以从任何可上网的主机上连接到公司访问企业资源。

目前提供的SSL VPN两种接入方式：客户端和瘦客户端，在客户端SSL VPN模式下，远程客户端只需要启用SSL的Web浏览器访问的HTTP或HTTPS，就可以访问到企业局域网的网络服务器，在瘦客户端模式下，远程客户端必须下载一个Java的

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43

……………………………………………………………最新资料推荐…………………………………………………

TCP应用小程序，使用静态的端口号进行安全的连接，UDP协议不被支持在瘦客户端模式下。 SSL VPN产品适合需要对每个应用程序或每个服务器的都进行访问控制的用户群，或从非接入企业的台式机。SSL VPN并不是一个完整的IPSec VPN的替代品，IPSec VPN允许安全地连接进入一个组织的所有客户端/服务器应用程序， 此外，SSL VPN产品并不像IPSec VPN一样支持同样级别的安全加密，SSL VPN并不能替代IPSec VPN，在许多情况下，它们是互补的，因为他们解决不同的问题， 这种互补的方法实现在单个设备情况下解决所有远程访问用户的需求。 SSL VPN的主要特点是兼容动态多点虚拟专用网，思科IOS防火墙，IPSec，入侵防御系统（IPS产品），思科的虚拟私人网络，和网络地址转换（NAT）。

最新精品资料整理推荐，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43