·共享Internet访问:所有局域网计算机可以通过地址翻译(NAT)共享一条宽带线路连接上互联网。
·支持LAN接入:支持在使用以太网接入(FTTx+LAN)时,使用固定或动态的IP地址。
·支持DSL:持在使用ADSL时,使用固定或动态的IP地址(PPPoE拨号方式)。 ·支持路由:静态和动态路由(RIP I,RIP II)
·局域网端口(LAN):集成了4端口交换机,每个端口10/100M自适应。 ·DHCP服务器:可以作为局域网的DHCP服务器为网内计算机提供DHCP服务。DHCP(动态主机分配协议)可以给局域网中的计算机动态分配IP地址以及网关地址、DNS服务器等信息。 宽带路由器高级特性:
·虚拟服务器(DMZ):支持虚拟服务器设置,既方便了Internet用户访问内部开放的计算机,如对外的www服务器、Email服务器等,又同时保障着本地网络的安全。
·特殊应用支持:支持一些特殊的Internet应用,例如QQ、网络游戏、视频程序、音频程序、NetMeeting等的使用。
·防火墙保护:利用NAT功能,可以监控所有来自Internet的包,过滤所有对局域网内计算机的请求,过滤黑客软件对局域网IP地址和端口的扫描,以防止外来的恶意攻击。
·访问控制:可以限制局域网用户对某些不良网站的访问,规避不必要的风险。
·日志记录:通过完整地记录局域网用户对Internet的访问,确保用户行为的可控性。日志记录的内容,可以利用Email发送报表来查看。
4.3 IP/VLAN的划分
4.3.1确定公司网——内网IP地址的类型
2)考虑到公司以后的发展需要在申请的IP地址资源不足的情况下,可以为公司网-内网分配RFC1918中定义的非Internet连接的网络地址,也称为专用Internet地址。由Internet地址授权机构(IANA)控制的IP地址分配方案中,留出了三类网络地址,给不连到Internet上的专用网使用;
3)IANA保证这些网络号不会分配给连到Internet上的任何网络,因此任何
人都可以自由地选择这些网络地址作为自己的私有网络地址。在申请的合法IP不足的情况下,公司网-内网可以采用私有IP地址的网络地址分配方案,公司网-外网、DMZ区使用合法IP地址; 4.3.2规划主交换机端口VLAN及网络设备IP
根据原有的公司网络中的主交换机提供了到各模块二级交换机的连接,因此为主交换机的端口重新指定VLAN是规划整个内部网的关键 4.3.3规划虚拟局域网IP地址
本方案按模块划分虚拟局域网(VLAN),如销售部、采购部、财务部、管理部、制造部、信息中心、机房等。VLAN成员可以不受地理位置的限制;VLAN划分分为两类,董事长、总监、调试室根据接入层交换机的端口划分为静态VLAN划分方式,为了方便日后的维护管理,VLAN与IP子网之间一般是一一对应的关系;而销售部、采购部、财务部、管理部、制造部、信息中心、机房根据接入层交换机的端口划分为动态VLAN划分方式。使用VPN技术将分公司与主公司互联成内网。 Vlan的划分: 长沙驻地公司网:
董事长\\总监(VLAN2):192.168.1.3--192.168.1.6/28 调试室(VLAN3):192.168.1.7—192.168.1.8/30 前台(VLAN4): 192.168.1.10/30
服务器(VLAN5):192.168.1.240—192.168.1.242/29 株洲驻地公司网:
经理\\总监(VLAN2):192.168.2.3—192.168.2.6/28 调试室(VLAN3):192.168.2.7—192.168.2.8/30 前台(VLAN4): 192.168.2.10/30
服务器(VLAN5):192.168.2.240—192.168.2.242/29 湘潭驻地公司网:
经理\\总监(VLAN2):192.168.3.3—192.168.3.6/28 调试室(VLAN3):192.168.3.7—192.168.3.8/30 前台(VLAN4): 192.168.3.10/30
服务器(VLAN5):192.168.3.240—192.168.3.242/29
4.3.4 规划公司网内网用户的IP地址
针对公司高层领导比较集中、信息点位置相对固定的情况,本方案建议使用静态IP。这对于日后的管理、维护、故障排查非常重要,管理员可以根据IP地址迅速确定主机所在位置。使用静态IP,公司网用户与联接交换机的端口处于同一VLAN。为方便新的用户IP地址的分配,应做好现有用户IP地址的记录;而公司各部门分部相对比较分散,所以适合使用动态IP,以便员工可以随时上网。使用WCDMA技术架构无线网络,使公司有无线网络供给员工随时上网络查资料。
4.4 公司网内网NAT实现
当公司网的IP/VLAN规划基本完成后,要采用网络地址转换(NAT)技术,即通过1个或几个外部IP 地址来实现公司网-内网用户访问Internet。本方案将使用软件来进行NAT转换。使用虚拟专用网(VPN)通过因特网建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对公司内部网的扩展。虚拟专用网可以帮助三个公司内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现校园网站之间安全通信的虚拟专用线路,用于经济有效地连接到安全外联网虚拟专用网。 4.4.1
VPN技术原理
所谓VPN (Virtual Private Network, 虚拟专用网络) 是指将物理上分布在不同地点的网络、主机通过Internet互联起来, 并且提供安全的端到端的数据通信的一种广域网。在Internet上提供安全的端到端的数据通信需要许多的协议、技术支持, 但其具体实现一般采用隧道技术, 将企业网的数据封装在隧道中进行传输。其中IPSec是目前采用较多的主流技术。 IPSEC的工作原理
IPSEC提供三种不同的形式来保护通过Internet来传送的私有数据。 (1) 认证
可以确定所接受的数据与所发送的数据是一致的, 同时可以确定申请发送者在
实际上是真实发送者, 而不是伪装的。 (2) 数据完整
保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。 (3) 机密性
使相应的接收者能获取发送的真正内容,而无意获取数据的接收者无法获知数据的真正内容。在IPSEC由三个基本要素来提供以上三种保护形式: 认证协议头(AH) 、安全加载封装(ESP) 和互联网密匙管理协议( IKMP) 。认证协议头和安全加载封装可以通过分开或组合使用来达到所希望的保护等级。认证协议头(AH) 是在所有数据包头加入一个数字签名。AH通过这个数字签名来对用户进行认证。同时AH 还能维持数据的完整性,因为在传输过程中无论多小的变化被加载, 数据包头的数字签名都能把它检测出来。不过由于AH不能加密数据包所加载的内容, 因而它不保证任何的机密性。两个最普遍的AH标准是MD5和SHA - 1, MD5使用最高到128位的密匙, 而SHA - 1 通过最高到160 位密匙提供更强的保护。安全加载封装( ESP) 通过对数据包的全部数据和加载内容进行全加密来严格保证传输 信息的机密性, 这样可以避免其他用户通过监听来打开信息交换的内容, 因为只有受信任的用户拥有密匙打开内容。ESP也能提供认证和维持数据的完整性。最主要的ESP标准是数据加密标准(DES) , DES最高支持56位的密匙。由于ESP实际上加密所有的数据, 因而它比AH需要更多的处理时间, 从而导致性能下降。密匙管理包括密匙确定和密匙分发两个方面, 最多需要四个密匙: AH 和ESP各两个发送和接收密匙。密匙管理包括手工和自动两种方式, 使用手工管理系统, 密匙由管理站点确定然后分发到所有的远程用户。真实的密匙可以用随机数字生成器或简单的任意拼凑计算出来, 每一个密匙可以根据总公司的安全政策进行修改。使用自动管理系统, 可以动态地确定和分发密匙, 也更加安全, 能最大限度的发挥IPSEC的效用。 IPSEC的实现方式
IPSEC的一个最基本的优点是它可以在路由器、防火墙, 甚至是一般的主机和服务器上完全实现, 这为升级提供了很大的方便。同时ESP (安全加载封装) 也通过两种模式(传送模式和隧道模式) 在应用上提供了更多的弹性。传送模式通常当ESP在一台主机(客户机或服务器) 上实现时使用, 它利用原始明文IP头, 并
且只加密数据, 包括它的TCP 和UDP头。这种模式用于移动办公、家庭办公和总公司之间的连接。隧道模式被用在两端或是一端是VPN网关的架构中, 例如装有IPSec的路由器或防火墙。使用了隧道模式, 防火墙内很多主机不需要安装IPSec也能安全地通信。这些主机所生成的未加保护的数据包, 经过外网时, 使用隧道模式进行传输。例如在图2中, 某分公司网络的主机A生成一个IP包, 目的地址是总公司网络中的主机B。这个包被发送到主机A 的网络边缘的VPN网关。VPN网关把所有出去的包过滤, 判断有哪些包需要进行IPSec的处理。如果这个从A到B的包需要使用IPSec, VPN网关就进行IP2Sec的处理, 对该包进行封装, 添加外层IP包头。这个外层包头的源地址是VPN网关, 而目的地址可能是主机B 的网络边缘的VPN 网关。现在这个包被传送到主机B的VPN网关, 中途的路由器只检查外层的IP包头。主机B网络的VPN网关会把外层IP包头除掉, 把IP内层发送到主机B去。
第五章 方案的实施
5.1逻辑布线方案
布线主要采取外线进入公司机房然后星形对外布线,如下图: 防火墙 INTERNET 办公区交换机1 办公区交换机2 各办公区1 公司路由设备 交换机 无线路由器 各服务器 各领导办公室 各办公区2 公司是光纤接入,然后通过自己的路由器接到交换机,然后接分交换机 5.2 设备选择
选择需要的网络设备,首先要符合CERNet、Internet等国内、国际联网标准;其实要能支持多种网络协议,如TCP/IP、IPX、DECnet等常用网络协议,具有良好的可靠性、可扩充性和可管理性;第三,价格在预算范围内,有良好的性能价格比;第四,应选择信誉高的网