02 计算机网络系统建设
计算机与网络提升网络安全的系统建设方案三篇
计算机与网络提升网络安全的系统建设方案三篇《篇一》随着互联网的普及,网络安全问题日益凸显,计算机与网络的安全问题已经引起了广泛的关注。
为了提升网络安全,我计划建设一套系统化的安全方案,以保障个人信息和数据的安全。
1.安全评估:进行安全评估,了解当前网络安全的现状,找出潜在的安全隐患,并为后续的安全措施依据。
2.安全策略制定:根据安全评估的结果,制定一套完整的安全策略,包括访问控制、数据加密、安全审计等方面的措施。
3.安全防护实施:根据安全策略,采取相应的技术手段,包括防火墙、入侵检测系统、恶意代码防护等措施,以确保网络的安全。
4.安全培训与宣传:组织安全培训和宣传活动,提高用户的安全意识和安全技能,以减少人为因素引起的安全事故。
5.安全监控与维护:建立一套完善的安全监控体系,定期进行安全检查和维护,确保网络安全的持续性和稳定性。
6.第一阶段:进行安全评估,找出潜在的安全隐患,完成时间为一个月。
7.第二阶段:根据安全评估结果,制定安全策略,完成时间为一个月。
8.第三阶段:实施安全防护措施,包括技术手段和人为措施,完成时间为两个月。
9.第四阶段:组织安全培训和宣传活动,提高用户的安全意识和安全技能,完成时间为一个月。
10.第五阶段:建立安全监控体系,进行定期安全检查和维护,持续进行。
工作的设想:通过建设这套系统化的安全方案,我希望能够提升网络安全,减少网络攻击和数据泄露的风险,保障个人信息和数据的安全。
也希望通过安全培训和宣传活动,提高用户的安全意识和安全技能,共同维护网络安全。
1.第一周:收集相关资料,了解当前网络安全的现状,制定安全评估方案。
2.第二周:进行安全评估,找出潜在的安全隐患,记录并分析。
3.第三周:根据安全评估结果,制定初步的安全策略。
4.第四周:完善安全策略,并提交给相关负责人审批。
5.第五周:根据安全策略,制定安全防护措施的技术方案。
6.第六周:实施安全防护措施,包括防火墙、入侵检测系统等的配置和部署。
计算机网络的建设与管理
计算机网络的建设与管理计算机网络是一个由全球各地的计算机所组成的互联网络,人们可以在计算机网络上进行数据交换和资源共享。
计算机网络的建设和管理是保证网络正常运作的关键因素之一,是信息社会中不可缺少的基础设施。
计算机网络的建设和管理包含了多个方面,其中最重要的是网络拓扑结构、安全、性能和监控。
网络拓扑结构是指网络中各台计算机之间的连接关系,它决定了网络能否高效、稳定地运行。
目前主流的网络拓扑结构有星形、总线型、环形和网状等,每种拓扑结构都有其优点和缺点,因此在建设过程中需要结合实际情况选择最适合的拓扑结构。
在计算机网络中,安全是最为关键的问题之一。
网络漏洞和攻击是导致网络安全问题的主要原因。
网络管理员需要做出相应的策略和措施,确保网络安全和数据的保护。
例如,防火墙、加密技术和访问控制都是常用的网络安全措施。
性能是评估网络质量的重要指标之一,它反映了网络的传输速率、可靠性和延迟等因素。
在网络建设过程中要充分考虑性能问题,有效地配置网络资源和设备,提高网络性能。
此外,网络监控也是提升网络性能的关键措施之一,可以对网络流量、带宽、响应时间等进行实时监控,及时发现和处理问题,确保网络质量。
除了上述方面,计算机网络的建设和管理还需考虑其他一些问题,例如网络扩容、兼容性和故障处理等。
网络扩容通常是因为用户增加或者业务需求增加而进行的,需要对网络设备和资源进行适当地增加;兼容性是指网络不同组成部分之间能否正常协同工作,需要进行相应的测试和验证;故障处理则需要网络管理员能够快速准确地诊断和处理问题,以最小化故障对业务的影响。
总之,计算机网络的建设和管理需要综合考虑多个方面,保障网络的正常运行和安全,为信息化时代的各个行业提供良好的网络基础设施。
随着技术的发展和应用场景的变化,网络建设和管理也面临着不断的挑战和变革。
网络管理员需要不断学习新知识、掌握新技术,才能不断提高网络的质量和性能。
随着物联网、云计算、大数据等新兴技术的应用,计算机网络的建设和管理变得更加重要和复杂。
计算机网络结构与系统建构方法
计算机网络结构与系统建构方法计算机网络结构是指计算机网络中各个组成部分的布局和连接方式。
它主要包括以下几个方面:1.网络拓扑结构:计算机网络的物理布局,包括星形拓扑、总线拓扑、环形拓扑、树形拓扑等。
2.网络协议层次结构:计算机网络采用分层的协议体系结构,包括物理层、数据链路层、网络层、传输层、会话层、表示层和应用层等。
3.网络设备:计算机网络中的设备,包括交换机、路由器、网关、防火墙、网络接口卡等。
4.网络传输介质:计算机网络中用于传输数据的物理介质,包括双绞线、同轴电缆、光纤、无线电波等。
系统建构方法是指在构建计算机网络系统时所采用的方法和步骤。
它主要包括以下几个方面:1.需求分析:明确网络系统的功能、性能、规模等需求,为系统设计提供依据。
2.网络规划:根据需求分析,对网络的拓扑结构、设备选型、传输介质等进行规划。
3.网络设计:在规划的基础上,详细设计网络的体系结构、协议选择、接口规范等。
4.网络实施:根据设计文档,采购设备、施工布线、配置网络参数等。
5.网络测试与调试:对构建的网络进行功能和性能测试,发现并解决存在的问题。
6.网络维护与管理:对网络系统进行日常维护、故障处理、性能优化等。
7.网络安全保障:采取措施保护网络系统免受攻击、窃密等安全威胁。
8.系统集成与融合:将不同类型的网络系统进行集成,实现资源共享和信息传输的顺畅。
计算机网络结构与系统建构方法是计算机网络领域的基础知识,对于中学生来说,了解这些知识点有助于培养网络素养,为将来深入学习计算机网络知识打下基础。
习题及方法:1.习题:计算机网络按拓扑结构分类,下列哪种拓扑结构不属于常见的网络拓扑?(A)星形拓扑(B)环形拓扑(C)三角形拓扑(D)树形拓扑解题方法:此题考查对常见网络拓扑结构的了解。
根据知识点中的网络拓扑结构,我们可以得知常见的网络拓扑有星形拓扑、总线拓扑、环形拓扑、树形拓扑等。
对照选项,可以发现三角形拓扑并不属于常见的网络拓扑结构。
计算机网络系统施工方案
计算机网络系统施工方案1. 简介计算机网络系统是现代企业通信和信息交流的基础设施,为实现高效的信息传输和数据共享,需要一个可靠、高性能的网络系统。
本文档旨在介绍计算机网络系统施工方案,包括网络设计、硬件选型、软件配置等方面的内容。
2. 网络设计网络设计是计算机网络系统施工的关键步骤,它涉及到网络拓扑、子网划分、IP地址规划等方面的内容。
2.1 网络拓扑根据企业规模和需求,我们采用星型拓扑作为计算机网络系统的基本架构。
在这种拓扑中,所有终端设备都连接到中央集线器或交换机,以实现设备之间的通信。
2.2 子网划分为了提高网络的性能和安全性,可以将整个网络划分为多个子网。
每个子网可以根据其功能、部门或位置进行划分,以便更好地管理和控制网络。
2.3 IP地址规划根据子网划分的需求,需要制定一个合理的IP地址规划方案。
IP地址规划应考虑到网络的扩展性、可管理性和安全性,确保每个子网都有足够的IP地址可用。
3. 硬件选型计算机网络系统的硬件选型是为了满足网络需求,提供稳定可靠的网络基础设施。
3.1 网络设备网络设备包括交换机、路由器、防火墙等。
在选型时,应根据网络规模、带宽要求和功能需求等因素进行综合评估,选择符合需求的设备。
3.2 服务器根据业务需求,对服务器进行选型。
应考虑服务器的处理能力、存储容量、可靠性和可扩展性等因素。
如果需要提供远程访问服务,还需要考虑服务器的安全性。
3.3 终端设备终端设备包括个人电脑、打印机、手机等。
在选型时,应考虑设备的性能、兼容性和可靠性。
另外,对于涉密信息处理的部门,还需要选用具备安全性能的终端设备。
4. 软件配置除了硬件设备的选型外,还需要进行软件配置,以确保网络系统的正常运行和安全性。
4.1 操作系统选择合适的操作系统对于网络系统的稳定运行至关重要。
根据实际需求,可以选择Windows、Linux等操作系统。
4.2 网络安全软件为了保护网络系统免受各种安全威胁,需要安装和配置网络安全软件,如防火墙、入侵检测系统等。
计算机网络系统 施工方案
计算机网络系统施工方案一、项目背景随着信息技术的不断发展和运用,计算机网络系统在各个行业中起着至关重要的作用。
为了满足企业的信息化需求,我们将为您提供一份计算机网络系统施工方案,以确保网络系统的安全、高效地运行。
二、项目目标本项目的主要目标是搭建一个稳定、高效、安全的企业计算机网络系统,以满足企业内部员工的日常办公需求。
具体的项目目标包括:1.实现全面覆盖的无线局域网(WLAN)。
2.搭建安全可靠的有线网络系统。
3.确保服务器的高可用性和数据的安全性。
4.提供远程访问和VPN连接功能,以支持员工的灵活办公。
5.配置网络监控系统,及时发现和解决网络故障。
三、项目计划1. 需求分析和设计在项目开始阶段,我们将与您进行详细的需求分析,了解您的具体需求和预期目标。
根据需求分析的结果,我们将制定网络系统的总体设计方案,包括网络拓扑结构、硬件设备的选型和布局等。
2. 网络设备采购和部署根据设计方案,我们将帮助您采购合适的网络设备,并负责设备的部署和配置。
我们将确保设备的选型符合您的需求,并在使用过程中保证设备的稳定性和性能。
3. 网络安全配置网络安全是计算机网络系统的重要组成部分。
我们将协助您进行网络安全配置,包括防火墙设置、入侵检测与防御系统的部署、数据加密和身份验证等。
4. 服务器建设和维护为了保证服务器的高可用性和数据的安全性,我们将协助您进行服务器建设和维护。
我们将进行服务器的硬件选购、操作系统安装和配置、数据备份和恢复等工作,以确保服务器的正常运行。
5. 远程访问和VPN配置为了支持员工的灵活办公,我们将配置远程访问和VPN连接功能。
员工将能够通过安全的方式从家庭或外出办公地点访问企业网络,实现随时随地的办公。
6. 网络监控和故障处理我们将配置网络监控系统,实时监测网络设备和连接的状态。
一旦发现网络故障,我们将立即采取相应措施进行故障处理,以确保网络系统的连续运行。
在项目完成后,我们将进行最终的交付和验收。
计算机网络系统设计方案
计算机网络系统设计方案摘要:计算机网络系统的设计方案是在当前以及未来互联网技术的发展趋势下,为满足用户需求和提高系统性能而制定的一套具体措施的方案。
本文将从系统的架构设计、网络拓扑设计、安全性设计和性能优化等方面,详细阐述计算机网络系统的设计方案。
一、系统架构设计系统架构设计是指计算机网络系统的整体结构和组织形式的设计。
在设计中需要考虑到系统的可扩展性、容错性和可维护性等方面。
1.1 系统层次结构设计系统层次结构设计是指将网络系统划分为多个层次,每个层次负责不同的功能模块。
常用的网络系统层次结构包括七层OSI模型和四层TCP/IP模型。
在设计中,需根据系统需求选择合适的层次结构,并确定每个层次的功能和接口。
1.2 系统模块划分设计系统模块划分设计是指将网络系统划分为多个模块,每个模块负责不同的功能模块。
常见的系统模块包括用户接口模块、路由模块、安全模块等。
在设计中,需根据系统需求和功能划分合理的模块,并确定模块之间的接口和交互方式。
二、网络拓扑设计网络拓扑设计是指计算机网络系统中各个节点之间的连接方式和布局的设计。
在设计中需要考虑到系统的安全性、可靠性和性能等方面。
2.1 局域网设计局域网设计是指在一个办公室或者一个建筑物内部的网络设计。
常见的局域网拓扑结构包括总线型、星型、环型和树型等。
在设计中,需根据网络规模和设备布局选择合适的拓扑结构,并考虑到网络安全和性能的需求。
2.2 广域网设计广域网设计是指连接多个地理位置的局域网的网络设计。
常见的广域网拓扑结构包括点对点连接、星型连接和网状连接等。
在设计中,需根据地理位置和带宽需求选择合适的拓扑结构,并考虑到网络安全和性能的需求。
三、安全性设计安全性设计是指计算机网络系统中各种安全机制和措施的设计。
在设计中需要考虑到系统的数据保护、访问控制和防御攻击等方面。
3.1 防火墙设计防火墙设计是指在网络系统中设置防火墙,用于过滤和控制网络流量。
在设计中,需根据网络系统的安全需求,选择合适的防火墙类型和配置规则,以保护系统免受未经授权的访问和攻击。
办公大楼计算机网络系统建设方案
计算机网络系统建设方案一、需求分析在人类迈向社会信息化的今天,如何进一步提高行政办公效率,健全管理指挥系统,进行信息共享,提高信息的传递速度和质量,实现管理现代化和决策的科学性、先进性和实时性,是摆在每一个企事业单位和领导者面前的重要课题。
随着市场竞争的日益加剧,我们已经充分认识到科学的管理和决策是增强竞争实力的重要途径。
政府作为国家的职能机构,承担大量的管理和服务职能,为适应未来社会发展的需要,政府信息化已成为社会信息化的基础。
XXX财政局为了提高办公效率,加强管理能力,适应今后信息化社会的发展要求,将在财政局内全面应用办公自动化系统。
但对于任何应用系统都需要计算机网络系统作为系统运行的基础,因此XXX财政局的首要任务是在财政局办公大楼内搭建高性能的计算机网络系统平台。
在本次网络的规划和建设中,我们将根据XXX财政局办公自动化系统具体的应用需求,对办公楼的布线系统进行设计,建立一套高质量、高可靠性的综合布线系统,并通过选择最新的网络技术和性能优异的网络产品构建办公局域网系统。
同时我们对办公自动化系统服务器和其他软硬件提出合理建议,最终为XXX财政局办公自动化系统的应用提供一个可靠、安全、高性价比的应用基础平台。
整个XXX财政局办公大楼计算机网络系统建设将要实现以下的总体目标:1、建立起XXX财政局办公大楼的局域网,实现XXX财政局内部各种信息资源的共享,以及相互访问、调用文件和程序。
2、建设一个高性能、高可用性及高可扩展性的服务器系统。
3、将来建设XXX财政局办公自动化网,实现内部的办公自动化和传递信息无纸化。
4、实现与XXX政府信息网和广州市财局的财政网络互连,并通过专线连接Internet,实现XXX财政局内部用户访问Internet,获取各方面信息的功能。
根据XXX财政局对计算机网络信息网络的需求和实现目标,本次我们将对布线系统、网络系统、服务器系统和软件平台的建设提出建议。
二、总体解决方案2.1 系统设计原则一个计算机信息网络系统的设计,必须有一个好的设计指导思想。
如何构建计算机网络
如何构建计算机网络如何构建计算机网络如何构建计算机网络?以下就是如何构建计算机网络等等的介绍,希望对您有所帮助。
家庭〔电脑〕建立局域网,只要把多台电脑同时接到同一个路由器,并自动获取路由器下发的IP后,这些电脑就处于同一个局域网了。
如果必须要互相传输文件,则必须要局域网共享。
局域网共享的设置:1、两台电脑都连上同一个路由器。
2、右击桌面网络----属性----更改高级共享设置3、选择公共网络---选择以下选项:启动网络发现------启动文件和打印机共享-----启用共享以便可以访问网络的用户可以读取和写入公用文件夹中的文件(可以不选)----关闭密码保护共享( 其他选项使用默认值)4、储存,并确定。
5、选择必须要共享的文件夹或者盘符,右击--属性6、打开安全选项卡选择编辑添加everyone。
7、打开共享选项卡---- 选择共享---弹出对话框---添加"Guest'---共享8、选择高级共享 ----选择共享此文件 ----确定9、选择高级共享 ----选择共享此文件选择权限添加everyone。
10、在另一台电脑上双击打开网络,就会出现刚刚共享的文件夹或者盘符了。
注意:为了防止意外错误,请把两台电脑的防火墙都关闭。
数据交换网络建设架构计算机网络系统分内部办公网、外网。
各个网络拓扑为星型结构,采纳分层〔制定〕,层次网络架构包括:接入层、核心层等二层,建立网络主干千兆,百兆到桌面的网络应用。
1) 物理网络描述依据大楼业务网运营数据的特点,内部办公网、外网互相之间逻辑隔离。
中心网络采纳多链路100M光纤链路INTERNET接入,以大容量高速骨干交换为网络核心,千兆光纤下行至各楼层小机房的全千兆接入二层交换,以及采纳无线交换机对整个无线网路进行统一的〔管理〕。
终端采纳无线或有线方式实现用户网络接入,保证楼内网络的灵活性和可扩大性。
同时在网络边界防火墙出开出独立DMZ区域,作为中心核心数据管理存储中心,对内外提供不同服务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录1.1.计算机网络系统 (2)1.1.1.概述 (2)1.1.2.网络结构 (2)1.1.3.组网方案 (10)1.1.4.IP地址及路由规划 (10)1.1.5.Vlan规划设计 (12)1.1.6.网络管理设计 (13)1.1.7.省局与监狱的网络连接 (14)1.1.8.主要设备的性能和参数要求 (14)1.1.计算机网络系统1.1.1.概述美兰监狱的网络建设,包括外网、内网、教育改造网三个物理隔离网络,外网即互联网,外网承载门户网站、对外业务及信息公布。
内网主要考虑中心与接入层互连的冗余链路结构,同时也要考虑到全网统一的身份认证系统建设、网管管理平台建设、服务器平台建设内容。
1.1.2.网络结构美兰监狱网络整体架构设计上,为了信息的安全,网络分为外网、内网和教育改造网,并实现三网物理隔离。
外网已在使用,故在本方案中不再重复设计。
内网及教育改造网主要设计如下:网络由于楼体结构的原因,建议按照三层结构进行设计,包括核心层、汇聚层、接入层。
网络与安全一体化融合设计,采用防火墙提供全面立体的安全防护。
采用网络管理软件管理各网所有网络设备。
网络拓扑图如下:内网网络拓扑图教育网网络拓扑图(1)网络分层设计分层设计方法可为网络带来以下三个优点:1)层次性网络的可扩展性可扩展性是在交换网络连接中使用层次性设计的主要优点。
层次性网络具有更多的可扩展性是因为它可以让你用模块化方式扩展网络而不会遇到非层次性网络或平面性网络很快所遇上的问题。
2)层次性网络的可管理性使网络简单化--通过把网络元素划分为小单元、层次化,降低了整个网络的复杂性。
这种网络单元的划分使故障诊断变得清晰和简单了,同时还可以提供防止广播风暴、路由循环等其他潜在问题的内在保护机制。
使设计更灵活--层次化设计使得骨干网和服务接入网之间的包交换形式更具灵活性。
很多网络都得益于使用混合方式来构造整个网络架构。
在大多数情况下,可在骨干网部分使用专线而在区域网或本地网接入部分使用包交换服务。
使网络设备管理更容易--由于层次化网络结构使网络分层,相对缩小的网络区域使网络设备的邻居或对等通信端量减少,因此时网络设备的配置变得简单化。
3)网络更安全通过在骨干网络边缘设备的过滤功能,限制对核心网络数据库的访问。
我们将这一网络的结构设计分为三级结构:核心层、汇聚层、接入层。
核心层主要作用是提供高速传输和数据的访问。
汇聚层主要负责各建筑流量的汇聚,并与核心交换机进行高带宽的连接。
接入层主要完成网络流量的控制机制以使骨干网和用户接入网环境隔离开来。
(2)技术方案特点1)高带宽/高性能高带宽体现在本项目主干采用高速的千兆以太网技术。
网络设备的高交换性能,为全网提供数据转发的可靠保障。
2)高可扩展性从网络设备上讲,核心交换机具备高容量交换能力和端口密度的升级;而接入访问交换机,也可通过开展提供更大的端口密度和交换能力。
从网络结构上讲,核心、接入这样分层次的结构设计,使得网络更易于扩展。
无论从规模上增加,还是性能的上的提高,都可以得到较好的效果。
3)高安全性从用户网络应用需求看,为了保证不同部门之间的控制隔离和安全的数据共享,本方案在网络设备选择和方案上作了充分的安全考虑设计。
网络核心交换机和接入层交换机全面支持VLAN,很好实现不同部门间的划分和管理能力。
既节省了投资,又达到建设多隔离网的效果。
4)多媒体数据支持能力对多媒体视频监控数据的支持能力,主要体现在本网络是一个可获知网络应用的网络系统,为多媒体应用提供了极大的帮助。
5)高可靠性网络无论从网络设备还是结构上的设计,整个网络实现了性能和高可用性的完美结合。
(3)核心层需求分析核心交换区部署防暴防逃指挥中心大楼的核心网络机房,负责汇聚各个楼层区域据集中和转发,同时也负责与服务器区、网络出口区之间的流量转发。
因此核心交换机上还需要配置足够的端口,为各区域网络设备接入核心设备中提供接口。
作为整个网络的中心枢纽,几乎80%的网络传输都由核心交换机完成,因此,核心交换机的性能也就决定着整个网络的性能。
考虑到项目建设的可靠性和可扩展性,根据业务的需求,核心交换机应采用业内最为先进技术,需配置足够的千兆光纤接口、千兆电接口和万兆接口,利用冗余路由和转发引擎间的状态化故障转换功能,提供理想的核心网络平台功能;能提供为灵活的端口配置,从而为组建网络带来了最大的灵活性。
设计时还需要通过设备冗余、路由冗余、链路冗余等技术,充分保障网络系统稳定性。
核心交换机作为网络的核心设备,对整个系统的稳定和性能起着至关重要的作用。
建议核心交换机应当具有如下特点:1)采用先进的多级多平面交换架构,采用控制引擎和处理引擎相分离,具有多个独立交换功能板卡插槽,能提供冗余的交换功能板卡,的可以提供持续的带宽升级能力,支持40GE和100GE以太网标准,配置核心交换机配置10G以太网光接口板用与2台万兆核心交换机之间10G互联,实现全网骨干核心的无阻塞交换。
2)核心交换机应该是高性能模块化交换机,支持模块化插槽至少8块以上,插槽采用有力利设备散热和抗压能力的设计。
3)核心设备应当支持虚拟化堆叠技术。
能将多台物理设备虚拟化为一台逻辑设备,虚拟组内可以实现一致的转发表项,统一的管理,跨物理设备的链路聚合;4)核心交换机应当具备多业务能力。
支持MPLS VPN、IPv6、应用安全、应用控制网关,功能模块,无线等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间。
5)在可靠性方面,具有99.999%的高可靠性,支持电源等关键部件的1+1冗余热备份,支持VRRP、路由(GR)等高可靠性协议,实现核心层的业务不间断转发。
6)在业务特性方面。
核心交换机支持丰富的QoS特性,可保障重要业务得到优先转发;支持IPv6,可平稳过渡到下一代网络;并且支持内置、内置无线控制器、负载均衡、应用控制、流量清洗等多种业务功能插卡,可以进行灵活的部署,实现业务的扩展和融合。
7)在安全性方面,核心交换机应采用“最长匹配、逐包转发”模式,能够抵御网络病毒的攻击;支持OSPF、RIPv2 及BGPv4 报文的明文及MD5密文认证;支持IP、VLAN 、MAC和端口等多种组合绑定方式,防范地址盗用;支持广播报文抑制,有效控制ARP等非法广播流量对设备造成冲击;支持URPF,防止IP地址欺骗;支持报文安全过滤,防止非法侵入和恶意报文攻击等。
既能保障自身的运行安全,也能通过一些安全机制保障所承载业务的安全。
(4)汇聚层需求分析汇聚层是信息汇聚点,是连接接入层和核心层的网络设备,为接入层提供数据的汇聚\传输\管理\分发处理,汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务,认证管理等。
通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层.汇聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定。
楼栋汇聚区主要负责楼栋内信息点的汇聚,是路由域与交换域的分界层。
以各个建筑物为单位分别部署汇聚节点。
汇聚交换机主要实现以下的功能:汇聚本区域内楼栋的IP地址或路由。
部署本区域内楼栋的VLAN信息,实现VLAN终结与本楼栋内。
实现本区域内楼栋到核心交换区的路由策略。
实施安全访问控制,保证网络安全。
(5)接入层需求分析接入层交换机采用自带的百兆端口,千兆端口上行,通过链路捆绑上联至不同的汇聚交换机。
需要部署多台时可对接入层交换机再进行虚拟化。
接入层交换机上支持以下多种安全策略:1)防ARP攻击ARP攻击包括中间人攻击和仿冒网关两种类型:中间人攻击:按照ARP 协议的原理,为了减少网络上过多的ARP 数据通信,一个主机,即使收到的ARP 应答并非自己请求得到的,它也会将其插入到自己的ARP 缓存表中,这样,就造成了“ARP 欺骗”的可能。
如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个ARP 应答包,让两台主机都“误”认为对方的MAC 地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。
黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。
在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。
仿冒网关:攻击者冒充网关发送免费ARP,其它同一网络内的用户收到后,更新自己的ARP表项,后续,受攻击用户发往网关的流量都会发往攻击者。
此攻击导致用户无法正常和网关通信。
而攻击者可以凭借此攻击而独占上行带宽。
应对——ARP入侵检测(ARP Intrusion Detection)在DHCP的网络环境中,使能DHCP Snooping功能,交换机会记录用户的IP 和MAC信息,形成IP+MAC+Port+VLAN的绑定记录。
交换机利用该绑定信息,可以判断用户发出的ARP报文是否合法。
使能对指定VLAN内所有端口的ARP检测功能,即对该VLAN内端口收到的ARP报文的源IP或源MAC进行检测,只有符合绑定表项的ARP报文才允许转发;如果端口接收的ARP报文的源IP或源MAC 不在DHCP Snooping动态表项或DHCP Snooping静态表项中,则ARP报文被丢弃。
这样就有效的防止了非法用户的ARP攻击。
2)防止地址仿冒常见的地址欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗,其目的一般为伪造身份或者获取针对IP/MAC的特权。
当目前较多的是攻击行为:如Ping Of Death、SYN flood、ICMP Unreachable Storm等,另外病毒和木马的攻击也具有典型性,比如伪造源地址攻击公网上的DNS服务器,直接目的是希望通过DNS服务器对伪造源地址的响应和等待,造成DDOS攻击,并以此扩大攻击效果。
应对——IP Source Check对于DHCP用户,使能DHCP Snooping后,结合IP+MAC+Port+VLAN的绑定表项下发硬件ACL,使端口上只能通过符合该绑定的IP报文,对于不符合绑定关系的直接丢弃。
由于该功能由硬件实现,不影响交换机的CPU性能。
对于静态IP的用户,通过配置静态的绑定表项,也可以完成该功能。
3)防止DHCP攻击在某些情况下,入侵者可以将一个DHCP 服务器加入网络,令其“冒充”这个网段的DHCP 服务器。
这让入侵者可以为缺省的网关和域名服务器(DNS 和WINS)提供错误的DHCP 信息,从而将客户端指向黑客的主机。
这种误导让黑客获得其他用户对保密信息的访问权限,例如用户名和密码,而其他用户对攻击一无所知。