計算機網絡的網絡安全問題

近年來，隨著計算機網絡技術的快速發展，所有行業都對網絡有了越來越多的需求，對網絡的安全性和可靠性要求也越來越高。面對著激烈的市場競爭,各中小企業對信息的收集、傳輸、加工、存貯、查詢以及預測決策等工作量越來越大,所以要提高管理水平,增加經濟和社會效益,就必須建立可靠性高的本企業園區網絡。同時,由于對企業的生產、管理、銷售等活動缺乏深入的了解,系統集成商很難為企業提供一體化完整的網絡建設方案,這就是導致很多中小企業的網絡在建設好之后經常出現故障的主要原因之一鑒于這種情況,筆者通過一個典型的企業園區網絡建設案例及建設過程的分析就中小企業園區網絡建設進行一些探討。一、公司對園區網絡的需求分析1.點整理在點上一個小型的工業園區,員工600多人,使用網絡的信息點大約400個左右;設備分布情況為辦公樓八層,下屬兩個生產型企業分別在兩棟廠房中,中心機房網絡室設在辦公樓的4層;接入方式為光纖接入,擁有公網IP地址64個。2.企業安全網絡的特性隨著公司業務的發展,對網絡的依賴性逐漸增大,對網絡可靠性要求越來越高,一旦發生網絡可靠性故障會導致內部通信中斷、車間停產等重大事故,對企業造成不可估量的損失。因此,安全的網絡必須具備如下特性一是采用先進的網絡通信技術完成企業網絡的建設,連接2個相距較遠的辦公地點;二是為了提高數據的傳輸效率,在整個企業網絡內控制廣播域的范圍;三是在整個企業集團內實現資源共享并保證骨干網絡的高可靠性;四是企業內部網絡中實現高效的路由選擇;五是在企業網絡出口對數據流量進行一定的控制;二、網絡設計的全球規劃1.代表代表和代表代表由于中心辦公樓的各樓層交換機配置基本一樣,所以在圖1中只畫出一個作為代表。在下面的配置說明中將以相對特殊的辦公樓二層為例進行詳細說明。2.靜態聚合模式表1中當作冗余鏈路的接口在接入層交換機的配置當中應把接口的生成樹協議端口優先級調高,并且把兩臺核心交換機的生成樹算法優先級分別設置為4096和8192在這個網絡連接說明中所有的聚合鏈路均采用靜態聚合模式。中心辦公樓的配置以二層的交換機為例,接入層交換機上的VLAN配置如表2所示。3.配置活動依據的hsrp備份組核心層設備包括兩臺帶有路由功能的核心交換機和兩臺邊界路由器。核心層設備的連接方式如表3所示(接入層已描述的將省略或在后文中描述)。兩臺核心交換機之間用兩條千兆雙絞線進行互聯并進行鏈路聚合。這樣做有兩個目的:第一是核心交換機作為園區網絡的核心承擔的數據傳輸業務量非常大,需要有足夠的帶寬來保證網絡的暢通,經過鏈路聚合過的兩臺核心交換機可以提供2G的帶寬,可以充分地保證園區網在核心之間傳輸數據的帶寬要求我們通過上文中介紹的接入層配置(見表2)知道,核心交換機A與辦公樓二層交換機相連的是一組聚合端口,其模式為ACCESS。我們將這個聚合端口加入VLAN12,設置匯聚端口的IP地址為192.168.12.2,并把核心交換機B與辦公樓2層交換機相連的端口也設置為ACCESS,加入VLAN12,設置該端口IP地址為192.168.12.3。然后將這兩個端口加入一個HSRP備份組(組號為12),該備份組的虛擬IP為192.168.12.1。在這個備份組內核心交換機A的HSRP優先級應該大于核心交換機B,以保證在這個備份組內核心交換機A能夠優先成為活動路由器。這個備份組的搶占方式應選擇為搶占。因為連接兩個交換機的鏈路帶寬差異較大,會在一定程度上影響網絡傳輸速度,所以連接在核心交換機B上的鏈路只能在保證鏈路聯通的情況下作為應急鏈路使用,使用搶占方式可以使故障在回復完成后自動地切換回主線路,從而減少管理員的操作程序在連接其他接入層交換機的接口上也以VLAN分組,分別加入不同的HSRP備份組內,但是為了負載均衡的考慮,不同備份組應該選擇不同的活動路由器作為網關。具體的分組及活動路由器分配方案如表4所示。核心交換機與邊界路由之間的連接配置是這樣的:首先像拓撲圖和連接表中所描述的連接方法進行連接;然后核心交換機A和B上設置默認路由為192.168.0.1;再后將邊界路由器A和邊界路由器B加入一個HSRP備份組內(組號為2),設置邊界路由A的端口IP地址為192.168.0.2/,優先級為50,邊界路由器B的端口IP為192.168.0.3/,優先級為60,備份組的虛擬IP為192.168.0.1。搶占方式為非搶占。邊界路由器A和B向外連接Internet的接口也應該加入一個HSRP備份組(組號為3)。其中邊界路由器A上的端口IP為218.249.210.130/26,優先級為100,邊界路由器B上的端口IP為210.249.210.130/26,優先級為80,虛擬IP地址為218.249.210.129/26。搶占方式