企业网络架设及安全防护浅谈研究.doc

企业网络架设及安全防护浅谈 辛颖楠 （大庆油田第六采油厂地质大队） 摘要 随着的不断发展,在不断扩大,用户在不断增加,网络应用也在不断增长,网络变得越来越拥挤,冲突不断产生,管理难度日益加大。内部对于灵活、动态地组建LAN网段的要求也越来越多,客观上要求LAN本身的结构可以实现动态组建、调整和管理。网络建设应遵循以下原则：统一规划、高可用性、高性能、高扩展性、高安全性和高可维护性。为提高网络可靠性及安全性，需要在主干网采用光纤布线。网应实现虚拟局域网（VLAN）的功能，以保证全网的良好性能及网络安全性。主干网交换机应具有很高的包交换速度，整个网络应具有高速的三层交换功能。主干网络应该采用成熟的、可靠的快速以太网和千兆位以太网技术作为企业网主干。企业网应选用先进的网管软件，建立完善的网络管理体系。局域网经常采用总线型、环型、星型和混和型拓扑结构，因此可以把局域网分为总线型局域网、环型局域网、星型局域和混和型局域网等类型。域在进行合理VLAN划分,可通过解决端口隔离充分防止冲突的产生sy sysname dizhi5328 aaa local-user huawei password simple dizhixxxx local-user huawei service-type telnet local-user huawei level 15 quit user-interface vty 0 4 authentication-mode aaa quit 2.2 给交换机一个管理访问的网络地址，以备TELNET方式或ＷＥＢ方式管理之用。 SY ]INT VLAN 1 ]IP ADDRESS 10.64.180.251 255.255.255.0 ]Q SAVE 添加WEB管理用户，用户名为”huawei”,密码为“admin”。 ]LOCAL-USER huawei增加用户名 ]New local user added. ]PASSWORD CIPHER admin （CIPHER为用户配置加密的密码）。 ]SERVICE-TYPE TELNET LEVEL 3(level 3管理员权限) ]Q SAVE 在浏览器的地址栏中输入事先配置好的IP地址输入用户名和密码就可以登录交换机的管理界面了（图2），通过这个界面可以知道端口状态。 白色: 未连接的端口。 ? ? 黄色：工作在低速状态的10/100/1000M自适应端口。 绿色：工作在最大速率下的10/100/1000M RJ45, RJ45 SFP端口，或者已连接的10G端口。 pscan（图3）一类的软件扫描网段中的计算机设备，制作基本档案，计算机名，IP，MAC，留一列待放交换机端口号。 图3 3.1.2 确定对应关系。要确定每台计算机所在端口不是一件简单的事，一是让指定的用户关启网卡或拔插网线在交换机一端确认所在端口，二是用测线器测线查找对应房间的网络接口，三是用交换机的WEB管理功能中提供的MAC地址与档案中的MAC对照确认计算机对应的端口。交换机WEB管理功能已启用，可以使用MAC地址管理功能查证端口对应的用户，并建立对应表。 3.1.3 绑定 实施port+mac绑定如图4在cmd模式下键入telnet IP(交换机IP)。 图4 sy ]INT ETH 1/0/port number ]MAC-ADDRESS MAX-MAC-COUNT 0 ] MAC-ADDRESS STATIC ????-????-???? VLAN 1 ]Q SAVE 上述命令可以在电子表格中创建，批量粘入TELNET状态窗口中运行即可。 3.2 IP-MAC+PORT绑定 IP-MAC+PORT绑定可以有效毕免计算机更改MAC或非法接入现象，即使用其它计算机更改MAC上网也只能在此端口联入。无法随意更改IP地址上网如图5。 图5 绑定方法如下： TELNET 10.64.180.251（用户自已的网关地址） 用户名 口令 sy ]ARP STATIC 10.64.180.? XXXX-XXXX-XXXX (已分配用户的IP) ]Q SAVE 图6 如图6所示，华为s5328支持三项绑定，但是所绑定的port为网关交换机上的端口，并不能实现绑定端口的唯一性，所以在接入层交换机上做一遍mac-port的绑定。 认识 企业网的安全管理是一项复杂的系统工程,没有一劳永逸的安全措施。要在企业网的建设和管理过程中及时分析企业网中的安全问题,并研究方法,制订措施,确保企业网正常、高效、安全地运行,为企业的管理和科研服好务。 参考文献： [1] 彭澎 吴震瑞 等编著《计算机网络教程》(第三版) 机械工业出版社? 2007.11.9 [2] 胡建斌.网