企业网络组建与环境配置+文献综述(8)
时间:2017-02-07 20:27 来源:毕业论文 作者:毕业论文 点击:次
3.5.3 防火墙安装与配置 上面的所有交换机初始化工作做好后,将核心交换机连接到防火墙,之间连接的介质最好是高稳定、高传输、低延迟的网线,我们可以采用超优尔类线这类的。在整个机柜里我们将防火墙放置在最顶端。防火墙首先要做NAT地址转换,我们常用的是PAT,它是NAT的一种,能将多个内部地址转换成一个公网上的IP地址,从而节省IP的数量。接着是做一些ACL控制列表来限制访问的权限,这里比较好的是我们只对各个vlan的地址做ACL访问控制列表,这样对于每部门的客户做限制的话,只需将该客户对应的交换机端口划到相应的Vlan当中。 3.5.4 路由器安装与配置 当前拓扑当中路由器的只是在城域网之间进行路由传输,因为该企业有许多分公司,比如说杭州、北京、天津、深圳、大连等,每个项目在其他分公司几乎都有,它们也需要进行内部的数据交换机。除此之外一点,公司里除了IS部门之外所有的项目和其他部门都是通过代理上网的,而代理服务器是安装在杭州,同时Wsus服务器、Macaffe加密服务器、ESM监控服务器都是在杭州,当需要更新补丁或者解密之类的操作,就需要总部那边推送到各个分公司。因此这边的路由器是必不可少,也许有些人会质疑为什么不直接通过防火墙过去,这是因为一方面内部数据交换通过IPS传输的话耗费大量的流量,同时给整个公司网络带来极大的延迟,而且传输的路径大大增加,耗时也长。这里可将路由器安装到防火墙下面一层,主要添加一些路由,通过OSPF路由协议传输。同时做一些内部网络的ACL访问控制列表,比如IS可以访问其他任意部门的网络,但是其他部门却不能访问IS部门的网络。 3.6 实现的技术方式 3.6.1 交换网络实现 SSH加密技术,交换机当中盛行的两种远程管理登陆方式有Telnet和SSH。Telnet被人称为透明方式,当你使用Telnet远程访问计算机时就像在离开某个建筑时大声喊叫你的用户名和口令,接着很快就会有人来监听你,他们会利用你缺乏安全意识来截取你的包从中得到用户名和密码,因为它在网上上传输口令是采用明文传输的口令和数据,而且很容易受到“中间人”这种方式的攻击。而SSH是采用一个数字证书将认证客户端和服务器之间进行验证的,同时还会将口令进行加密。SSH1使用RSA加密秘钥,SSH2使用数字签名算法(DSA)密钥保护连接和认证,有助于防止欺骗,阻止“中间人”攻击,而且能够防止DNS和IP欺骗,除此之外通过SSH加密传输的数据是经过压缩的,所以还有可以加快传输速率。目前比较常用的的SSH远程管理工具是Putty。 Trunk封装,这个技术想必只要学过《计算机网络原理》的人都应该知道,这是一个专门用于Vlan传输数据时所要配置的。他的意思是主干、中继线,就像是一棵树的主干一样,无论水分、各种元素都要经过的。而这里是用来在不同的交换机之间进行连接,确保在跨越多台交换机上建立同一个Vlan的成员可以相互通讯。当一个端口被设置成Trunk模式时,它可以允许所有Vlan的传输(除做了Vtp修剪),现在许多交换机都支持通过命令“Switchport Mode Trunk”开启端口Trunk模式,如果开启不了,可以在这之前添加“Switchport Trunk Encap Dot.1”进行封装。 Vlan简称虚拟局域网,Vlan是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。交换机当中每个端口之间都存在冲突域,而Vlan可以把冲突域降到最小同时通过Vacl可以防止广播风暴的肆意传输,同时能够将企业的项目和部门分隔开以便于管理,除此之外Vlan可以添加IP地址,这样就可以方便管理网络设备。 (责任编辑:qin) |