课程设计 2

网络工程课程实践方案设计书

总体设计

该企业网从结构上分为核心层、汇聚层和接入层。

采用层次化模型来设计网络拓扑结构，将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。在采用层次模型之后，各层次各司其职，不再在同一个平台上考虑所有的事情。这样设计使得网络中的每一层都能够很好地利用带宽，减少了对系统资源的浪费。而且网络结构清晰明了，可以在不同的层次实施不同难度的管理，降低了管理成本。

核心层网络主要完成园区内各汇聚层设备之间的数据交换和与骨干核心层网络之间的路由转发，本方案中我采用备份路由器来避免一个临时发生故障的路由器影响整个园区网的网络运行，在网络中心也可以进行冗余处理。扩展服务器带宽和增加吞吐量，加强网络数据处理能力，提高网络的灵活性和可用性。3560三层交换机之间的链路冗余备份和负载均衡来实现安全可靠的网络构架。它主要完成以下任务:解决网络拥塞问题，服务就近提供，实现地理位置无关性 ;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效。业务复杂，QOS要求较高的特点，在本方案中采用思科3600的三层交换机组建高性能的核心网络平台。核心层的功能主要是实现骨干网之间的优化传输，要求重点是冗余，可靠性和高效得传输，同时还要非常好的扩展能力来适应未来网络的发展。本实验中我在核心交换机分配了预留地址以适应网络的发展。

网络和接入internet

因为其他地理位置可能存在该公司的子公司，所以我在方案中采用VPN技术来连接子公司，安全可靠。

网络入口：

在网通和电信出口各加一个防火墙，对流入和流出的所有流量进行扫描，过滤一些攻击，用它还可以关闭一些不使用的端口来确保安全，为网络的安全尽力提供保障。

NET

为了本实验可用的地址空间不够，为了节约地址，我在内部使用私有地址段中的地址，但是使用私有地址不能访问 Internet,所以必须申请多个公开地址配置在和 Internet 相连的局域网边缘设备上并应用 NAT 进行地址转换。

备份路由器：

本方案中我采用备份路由器来避免一个临时发生故障的路由器影响整个园区网的网络运行，在网络中心也可以进行冗余处理。扩展服务器带宽和增加吞吐量，加强网络数据处理能力，提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题，服务就近提供，实现地理位置无关性 ;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键

部位出现单点失效。

流量监控：

要达到有效得监控网络，必须对流量进行分类统计，我在核心层的思科三层交换机上配置QOS策略、流量监管功能，通过他们对不同流量的分类和标记以及以一定策略丢弃，对网络的实时变化进行监控和及时调整。

支持10GE或将来平滑过渡到10GE

我采用思科3560的模块交换机在核心层，必要时可以通过增加模块来平滑过渡到10GE。

DHCP监听（DHCP snooping）

本方案中采用Cisco交换机在每个VLAN基础上启用DHCP监听特性。通过这种特性，交换机能够拦截第二层VLAN域内的所有DHCP报文。

DHCP监听将交换机端口划分为两类：

●非信任端口：通常为连接终端设备的端口，如PC，网络打印机等

●信任端口：连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口

通过开启DHCP监听特性，交换机限制用户端口（非信任端口）只能够发送DHCP请求，丢弃来自用户端口的所有其它DHCP报文，例如DHCP Offer报文等。而且，并非所有来自用户端口的DHCP请求都被允许通过，交换机还会比较DHCP 请求报文的（报文头里的）源MAC地址和（报文内容里的）DHCP客户机的硬件地址（即CHADDR字段），只有这两者相同的请求报文才会被转发，否则将被丢弃。这样就防止了DHCP耗竭攻击。信任端口可以接收所有的DHCP报文。通过只将交换机连接到合法DHCP服务器的端口设置为信任端口，其他端口设置为非信任端口，就可以防止用户伪造DHCP服务器来攻击网络。DHCP监听特性还可以对端口的DHCP报文进行限速。通过在每个非信任端口下进行限速，将可以阻止合法DHCP 请求报文的广播攻击。DHCP监听还有一个非常重要的作用就是建立一张DHCP监听绑定表（DHCP snooping Binding）。一旦一个连接在非信任端口的客户端获得一个合法的DHCP Offer，交换机就会自动在DHCP监听绑定表里添加一个绑定条目，内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息。

防止ARP攻击

可以使用ip捆绑技术。，动态捆绑IP地址，可以使用DHCP服务器来绑定用户网卡MAC地址和IP地址，再根据不同IP设定权限。

防止DOS攻击

逆向转发（RPF），该功能用来检查路由器接口所接收到的每一个数据包。如果路由器接收到一个源IP地址为10 10.10.1的数据包，但是CEF（Cisco Express Forwarding）路由表中没有为该IP地址提供任何路由信息，路由器就会丢弃该数据包，因此逆向转发能够阻止Smurf攻击和其他基于IP地址伪装的攻击。使用RPF功能需要将路由器设为快速转发模式（CEF switching），并且不能将启用RPF功能的接口配置为CEF交换。

防止非法DHCPServer

将交换机上的信任接口和非信任的分开。信任的被允许响应DHCP请求,非信任则不然。交换机跟踪非信任端口的DHCP绑定,并将DHCP消息限制在一定速率内启用DHCP偷窥

Switch(config)#ip dhcp snooping

针对VLAN必须启用DHCP偷窥

Switch(config-if)#ip dhcp snooping vlan number

在接口级设置信任端口

Switch(config-if)#ip dhcp snooping trust

对非信任端口速率限制

Switch(config-if)#ip dhcp snoping limit rate [rate]

在交换机端口有多个系统(通过交换机等)DHCP偷窥不是很有用

DHCP VACL可规定那些地址能发送DHCP回复,过滤其他的DHCP回复

为了安全考虑，地址要进行端口绑定。

接入层交换机思科2918

Vlan划分，可以避免广播风暴，为了使网络管理更加方便，划分vlan，给Valn之间的安全机制

在中心使用了三层交换机，因此所有vlan之间的访问都需要经过三层交换机，可以通过ACL控制vlan之间的访问，使优先级高的vlan被允许访问低优先级的vlan，而低优先级的不能进入高优先级的vlan。

接入层下

是网管人员和管理信息系统之间的借口，网管中心在各个网络节点采集数据维护管理信息库（MIB），使网络管理人员可以实时监控和维护网络的正常运行。

连接了员工公寓，因为本设计方案中20000个员工，我一共分了10栋，每栋十层来居住，我在每一层都划分一个vlan。

公司下面一共有11个分部门，每个划分在一个vlan中。

网络整体拓扑