程鳴洋 廣州大學(xué)松田學(xué)院 511300

1 VLAN技術(shù)

隨著網(wǎng)絡(luò)中的計算機的數(shù)量越來越多，傳統(tǒng)的以太網(wǎng)絡(luò)開始面臨各種的網(wǎng)絡(luò)沖突，廣播泛濫以及安全性無法保障等各種問題。

VLAN(Virtual Local Area Network)即虛擬局域網(wǎng)，時間一個物理的局域網(wǎng)在邏輯上劃分成多個廣播域的技術(shù)，通過在交換機上配置VLAN，可以實現(xiàn)在同一個VLAN內(nèi)的用戶可以進行網(wǎng)絡(luò)的二層訪問，而不同VLAN的用戶則會被二層隔離這樣既能夠隔離廣播域，又能夠提升網(wǎng)絡(luò)的安全性。

1.1 DHCP技術(shù)

在大型企業(yè)網(wǎng)絡(luò)中，會有大量的計算機或設(shè)備需要獲取IP地址等網(wǎng)絡(luò)參數(shù)，如果手工配置，工作量大且不好管理，如果有用戶扇子修改網(wǎng)絡(luò)參數(shù)，還有可能造成IP地址沖突等問題。使用動態(tài)主機配置協(xié)議DHCP（Dynamic Host Configuration Protocol）來分配IP地址等網(wǎng)絡(luò)參數(shù)，可減少管理員的工作量，避免用戶在手動配置IP地址時造成網(wǎng)絡(luò)總IP地址的沖突。

1.2 RIP技術(shù)

路由信息協(xié)議RIP（Routing Information Protocol）的簡稱，它是一種基于距離矢量（Distance-Vector）算法的協(xié)議，使用跳數(shù)作為度量來衡量到達(dá)目的網(wǎng)絡(luò)的距離。RIP主要應(yīng)用于規(guī)模較小的網(wǎng)絡(luò)中。并且RIP協(xié)議可以動態(tài)的獲取到其他網(wǎng)段的IP地址，配置簡單。

1.3 IPsec VPN技術(shù)

企業(yè)對網(wǎng)絡(luò)安全性的需求日益提升，而傳統(tǒng)的TCP/IP協(xié)議缺乏有效的安全認(rèn)證和保密機制。IPSec（Internet Protocol Security）作為一種開放標(biāo)準(zhǔn)的安全框架結(jié)構(gòu)，可以用來保證IP數(shù)據(jù)報文在網(wǎng)絡(luò)上傳輸?shù)臋C密性、完整性和防重放。并且采用VPN虛擬局域網(wǎng)來進行跨區(qū)域的實行公司內(nèi)部網(wǎng)絡(luò)。

1.4 RSTP技術(shù)

STP協(xié)議雖然能夠解決環(huán)路問題，但是收斂速度慢，影響了用戶通信質(zhì)量。如果STP網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)頻繁變化，網(wǎng)絡(luò)也會頻繁失去連通性，從而導(dǎo)致用戶通信頻繁中斷。IEEE于2001年發(fā)布的802.1w標(biāo)準(zhǔn)定義了快速生成樹協(xié)議RSTP（Rapid Spanning-Tree Protocol），RSTP在STP基礎(chǔ)上進行了改進，實現(xiàn)了網(wǎng)絡(luò)拓?fù)淇焖偈諗俊?/p>

本次網(wǎng)絡(luò)構(gòu)建是在ensp上面進行的所以采用一臺路由器來模擬模擬公網(wǎng)的環(huán)境，ip地址為200.200.200.0/24.具體的在網(wǎng)絡(luò)搭建總使用的IP地址如下：

VLAN 10 20 30 40的IP地址分別是192.168.1.0/24，192.168.2.0/24，192.168.3.0/24，10.0.0.0/24.VLAN 10 20 30分別為三個樓層的用戶來提供用于pc接入網(wǎng)絡(luò)的IP地址。VLAN 40這個網(wǎng)段是總公司的主要交換網(wǎng)絡(luò)接入到防火墻的網(wǎng)段。在這里使用了10.0.0.0/24這整個網(wǎng)段是為了在之后的網(wǎng)絡(luò)擴建加入新的設(shè)備，以及維護的便捷來提供了足夠的有效IP地址。同時這樣的劃分也提高了網(wǎng)絡(luò)的可擴展性。極大的減小了之后對于本網(wǎng)絡(luò)維護人員的工作量。

在LSW1上，我們?yōu)榱耸谷齻€VLAN之間可以正常的通信，所以在交換機上配置了三個VLAN的虛擬接口作為網(wǎng)關(guān)，使交換網(wǎng)絡(luò)可以實現(xiàn)不同的網(wǎng)段三層通信的順暢。網(wǎng)關(guān)地址分別為VLAN 10 192.168.1.254/24， VLAN 20 192.168.2.254/24 VLAN 30 192.168.3.254/24，并且為了使內(nèi)部網(wǎng)絡(luò)可以正常的接入到防火墻我們劃分了VLAN 40并將與防火墻相連的端口劃分到這個VLAN里面，具體的地址為10.0.0.1/24.

防火墻FW1中通過10.0.0.2/24與LSW1相連實現(xiàn)內(nèi)網(wǎng)對公網(wǎng)的訪問。另一個接口200.200.1.2/24為公網(wǎng)地址。防火墻直接連接入公網(wǎng)。并且為了使內(nèi)網(wǎng)的服務(wù)器可以正常的為外網(wǎng)用戶提供服務(wù)。三臺服務(wù)器的網(wǎng)段為192.168.4.0/24，在防火墻GE0/0/2接口上配置網(wǎng)關(guān)192.168.4.254/24.為三臺服務(wù)器192.168.4.1/24，192.168.4.2/24，192.168.4.3/24提供路由轉(zhuǎn)發(fā)的功能。

并且在本次實驗中我們采用了一臺路由器來模擬公網(wǎng)的網(wǎng)絡(luò)環(huán)境我們使用的網(wǎng)段是200.200.1.0/24，100.100.2.0/24。在AR5中我們使用200.200..1.1/24與總部的防火墻相連，采用200.200.2.1/24這個IP與分部的防火墻相連。

在FW2中我們使用192.168.20.254/24來作為分部的網(wǎng)關(guān)。并且通過200.200.2.2/24與路由器相連，以實現(xiàn)分部的內(nèi)網(wǎng)用戶與外網(wǎng)的通信。

1.5 ACL技術(shù)

企業(yè)網(wǎng)絡(luò)中的設(shè)備進行通信時，需要保障數(shù)據(jù)傳輸?shù)陌踩煽亢途W(wǎng)絡(luò)的性能穩(wěn)定。

訪問控制列表ACL（Access Control List）可以定義一系列不同的規(guī)則，設(shè)備根據(jù)這些規(guī)則對數(shù)據(jù)包進行分類，并針對不同類型的報文進行不同的處理，從而可以現(xiàn)對網(wǎng)絡(luò)訪問行為的控制、限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能、防止網(wǎng)絡(luò)攻擊等等。

2 驗證IPsecVPN協(xié)商

當(dāng)分部的主機訪問總部的服務(wù)器的收數(shù)據(jù)包都是通過ESP加密的。這樣我們就可以得知IPsec的配置生效了。并且在WEB中我們所配置VPN的時候使用防火墻的內(nèi)部的檢查系統(tǒng)可以得知IPsecVPN協(xié)商成功。證明我們的配置是正確的，總部和分部的IPsec 已經(jīng)成功的協(xié)商進行匹配。這樣就保證了網(wǎng)絡(luò)通信的安

2.1 驗證服務(wù)器訪問控制

在本次架構(gòu)中，服務(wù)器承擔(dān)著為公司內(nèi)部提供有效安全的服務(wù)，為外網(wǎng)客戶提供穩(wěn)定高效的FTP服務(wù)以及WEB服務(wù)，所以服務(wù)器的安全就顯得尤為重要。在內(nèi)網(wǎng)我們通過ACL來隊服務(wù)器的訪問進行控制，對于公網(wǎng)我們通過防火墻的服務(wù)器映射來實現(xiàn)公網(wǎng)的用戶訪問服務(wù)器，有效的保證了服務(wù)器的信息安全。使服務(wù)器可以提供有效穩(wěn)定的服務(wù)。

2.2 關(guān)于網(wǎng)絡(luò)架構(gòu)的總結(jié)

內(nèi)蒙古了拍科技網(wǎng)絡(luò)有限公司的網(wǎng)絡(luò)構(gòu)建充分的考慮到了網(wǎng)絡(luò)的安全性，穩(wěn)定性，健壯性等特點。通過VLAN，IPsecVPN，RIP，DHCP等等網(wǎng)絡(luò)技術(shù)的運用實現(xiàn)樂公司的內(nèi)網(wǎng)的訪問控制，與外部的訪問通暢，與分公司的加密訪問，服務(wù)器群在公網(wǎng)的映射等等。都充分的體現(xiàn)出了每項技術(shù)的特點，并使其結(jié)合在一起使用，為用戶提供了安全，效率，可靠的網(wǎng)絡(luò)服務(wù)。

同時本網(wǎng)絡(luò)拓?fù)淝逦?，結(jié)構(gòu)明了，便于維護。但是也要求維護工程師對于本網(wǎng)絡(luò)總所用到的RIP，DHCP，NAT，IPsec VPN有一定的掌握程度，雖說拓?fù)浣Y(jié)構(gòu)不復(fù)雜但是當(dāng)出現(xiàn)故障的時候維護工程是應(yīng)當(dāng)以最快的速度找到故障點并加以搶修。這就是本次的網(wǎng)絡(luò)架構(gòu)的全部內(nèi)容。