Olá a todos, sou Xiaohua sênior, um blogueiro da área de informática. Após anos de estudo e prática, acumulei um rico conhecimento e experiência em informática. Gostaria de compartilhar aqui minha experiência de aprendizado e habilidades com você para ajudá-lo a se tornar um programador melhor.
Como blogueiro de informática, tenho me concentrado em programação, algoritmos, desenvolvimento de software e outras áreas, e acumulei muita experiência nessas áreas. Acredito que compartilhar é uma situação em que todos ganham, pois através do compartilhamento posso ajudar outras pessoas a melhorar seu nível técnico e ao mesmo tempo ter a oportunidade de aprender e se comunicar.
Em meus artigos, você verá minhas análises e análises de diversas linguagens de programação, ferramentas de desenvolvimento e problemas comuns. Fornecerei soluções práticas e técnicas de otimização com base na minha experiência real em projetos. Acredito que essas experiências não apenas o ajudarão a resolver os problemas que você está enfrentando atualmente, mas também a melhorar seu pensamento de programação e suas habilidades de resolução de problemas.
Além de compartilhar aspectos técnicos, também abordarei alguns tópicos sobre desenvolvimento de carreira e métodos de aprendizagem. Como ex-aluno, sei como me aprimorar e enfrentar desafios na área de informática. Compartilharei alguns métodos de aprendizagem, habilidades para entrevistas e experiências no local de trabalho, na esperança de ter um impacto positivo no desenvolvimento de sua carreira.
Meus artigos serão publicados na comunidade CSDN, que é uma comunidade de tecnologia da computação muito ativa e profissional. Aqui você pode se comunicar, aprender e compartilhar com outras pessoas que amam tecnologia. Seguindo meu blog, você poderá obter meus artigos mais recentes o mais rápido possível e interagir comigo e com outros leitores.
Se você está interessado na área de informática e espera melhorar suas habilidades de programação e nível técnico, siga meu blog CSDN. Acredito que o que compartilho irá ajudá-lo e inspirá-lo, permitindo-lhe alcançar maior sucesso na área da informática!
Vamos nos tornar melhores programadores juntos e explorar juntos o maravilhoso mundo da computação! Obrigado pela sua atenção e apoio!
Todos os códigos-fonte de projetos de computador compartilhados incluem documentos e podem ser usados para projetos de graduação ou projetos de cursos. Bem-vindo a deixar uma mensagem para compartilhar dúvidas e trocar experiências!
Resumo
Com o rápido desenvolvimento da tecnologia de rede, as empresas com múltiplas filiais remotas devem ter boas capacidades e necessidades de escritórios móveis na construção de informações. Uma rede privada virtual (VPN) é uma rede temporária e segura estabelecida através de uma rede pública. O custo de conexão é menor. do que a linha alugada tradicional.Além disso, o uso de tecnologia de túnel e criptografia pode garantir melhor a segurança da transmissão de informações na intranet da empresa. Os funcionários da empresa podem acessar a rede interna da empresa a qualquer momento e remotamente com base na Internet ou na rede 4G, e realizar vários serviços de escritório com eficiência. SSL VPN é a tecnologia mais rápida, segura e eficaz para usuários remotos acessarem dados internos da empresa. Usuários pode usá-lo de forma rápida e segura Ele pode efetivamente realizar o trabalho remoto, ajudar as empresas a melhorar a produtividade e aumentar a segurança da rede. Também pode reduzir os custos de gerenciamento, operação e manutenção das empresas.
Este artigo apresenta os princípios básicos da VPN e várias tecnologias de implementação importantes. Este artigo analisa e compara as vantagens e desvantagens da VPN SSL e da VPN IPsec e explica como usar a tecnologia VPN SSL para construir uma intranet corporativa. Este artigo fornece uma visão geral da tecnologia SSL VPN, analisa e estuda a aplicação da tecnologia de rede SSL VPN em sistemas de informação empresariais, com o objetivo de usar a tecnologia SSL VPN para resolver as deficiências em aplicações de rede de grande e médio porte para garantir a segurança das informações corporativas. sistemas.
Usando SSL VPN para construir uma rede corporativa, os funcionários podem discar para se conectar à rede interna da empresa quando estão em viagem de negócios ou em casa e transferir dados com segurança. Possui amplas perspectivas de aplicação, possui requisitos de segurança mais elevados e é mais conveniente para trabalho remoto e estabilidade.
Palavras-chave: rede de túneis de segurança empresarial SSL
Abstrato
Com o rápido desenvolvimento da tecnologia de rede, as empresas com múltiplas filiais em diferentes locais devem ter boa capacidade de escritório móvel e demanda na construção de informações. A rede privada virtual (VPN) é uma conexão temporária e segura estabelecida através de uma rede pública. Comparado com a forma tradicional de linha alugada, tem custo menor. Além disso, utiliza tecnologia de túnel e criptografia, podendo garantir melhor a segurança da transmissão das informações na intranet da empresa. Na Internet ou na rede 4G, os funcionários da empresa podem visitar a rede interna da empresa a qualquer momento e realizar todos os tipos de negócios de escritório com eficiência. SSL VPN é a tecnologia mais rápida, segura e eficaz para usuários remotos acessarem os dados internos da empresa. Os usuários podem realizar negócios remotos com rapidez e segurança, e ajudar a empresa a melhorar a produtividade, aumentar a segurança da rede. Ao mesmo tempo, também pode reduzir o custo de gestão empresarial, operação e manutenção.
Este artigo apresenta o princípio básico da VPN e várias tecnologias de implementação importantes. Este artigo analisa e compara as vantagens e desvantagens da VPN SSL e da VPN IPSec e explica como usar a tecnologia VPN SSL para construir uma intranet corporativa. Este artigo resume a tecnologia SSL VPN, analisa e estuda a aplicação da tecnologia de rede SSL VPN em sistemas de informação empresariais, visando solucionar os problemas existentes em aplicações de redes de grande e médio porte utilizando a tecnologia SSL VPN, de forma a garantir a segurança da empresa sistema de informação.
Usando SSL VPN para construir uma rede corporativa, os funcionários podem discar para a rede interna da empresa quando estão no trabalho ou em casa e transferir dados com segurança. Possui uma ampla perspectiva de aplicação, requisitos de segurança mais elevados e comportamento mais conveniente e estável para realizar escritórios remotos.
Palavras-chave: Rede de túnel de segurança empresarial SSL
Índice
1.2 Significado da pesquisa... 1
Capítulo 2 Análise do Sistema... 3
2.1 Análise de viabilidade... 3
2.2 Análise de requisitos... 3
Capítulo 3 Visão geral das tecnologias relacionadas... 6
Capítulo 4 Projeto do Sistema... 13
4.1 Projeto geral da rede... 13
4.2 Projeto de segurança de rede... 13
4.3 Diagrama de topologia de rede... 14
4.4 Planejamento de endereço IP... 15
4.5 Seleção de equipamentos... 16
Capítulo 5 Projeto Detalhado... 21
5.1 Implementação da tecnologia VPN... 21
5.3 Design da camada central... 22
5.4 Design da camada de agregação... 23
5.5 Projeto da camada de acesso... 23
5.6 Principais tecnologias e dificuldades... 24
5.7 Problemas e soluções existentes... 24
Capítulo 6 Teste do sistema... 25
6.1 Aceitação do Fenômeno de Conclusão da Rede... 25
Capítulo 1 Introdução
Com a popularização e o rápido desenvolvimento da informatização no século XXI, pessoas em todas as áreas têm desfrutado da grande conveniência trazida pela Internet, mas ao mesmo tempo que a desfrutam, ela também trouxe novos problemas, o mais crucial dos quais é a segurança da rede. As questões de segurança de rede sempre foram motivo de preocupação e medo nas plataformas online. Em particular, utilizadores como finanças e empresas atribuem grande importância às questões de segurança da informação de rede.
O desenvolvimento da tecnologia de rede também complicou o ambiente de rede, de modo que não existem apenas vários problemas de segurança no próprio sistema, mas também existem inúmeros problemas de segurança na Internet. Como usar efetivamente as tecnologias de ambiente de rede existentes para melhorar o nível geral de segurança e gerenciamento deve ser o principal problema a ser resolvido.O desenvolvimento e o progresso da sociedade também tornaram os equipamentos de hardware de rede mais maduros e estáveis.
1.1 Contexto da pesquisa
A segurança do sistema de rede trata da segurança nacional, do desenvolvimento nacional estável e das principais questões estratégicas que os cidadãos enfrentam nas suas vidas e no trabalho.Pode-se dizer que sem segurança de rede não há segurança nacional.
De acordo com a situação atual enfrentada pela segurança de redes no mundo, foram analisados os principais problemas de segurança enfrentados pelos sistemas de rede e feitas configurações para diversos problemas de segurança. O resultado da discussão é que a tecnologia VPN desenvolvida para garantir a transmissão de dados entre regiões visa melhorar a controlabilidade e a segurança da rede. VPN (Virtual Private Network) é uma rede privada virtual que depende da rede pública. Ela tem o características técnicas de taxas baixas, velocidade rápida, forte escalabilidade e alta segurança. Consegue um efeito semelhante ao aluguel de uma linha dedicada de uma operadora. Pode criar um túnel dedicado entre fluxos de dados especiais. O túnel é uma VPN. Quanto à tecnologia principal , pode-se dizer que não se chama VPN sem túnel.Para implementar a tecnologia de túnel, o protocolo de túnel deve ser seguido.
O surgimento da Rede Privada Virtual resolve o problema do acesso seguro entre sites fixos. É uma tecnologia de rede nova nos últimos anos, que pode criar um canal virtual para conexão ponto a ponto na rede Internet, realizando assim a construção de uma rede privada em um ambiente de rede pública. Este artigo fala principalmente sobre a tecnologia SSL VPN em VPN. Ela pertence à tecnologia VPN de camada de rede e à estrutura de segurança definida pela IETF. Pode ser usada para garantir verificação ponto a ponto e criptografia de dados transmitidos entre ambientes de rede pública e privada para alcançar acesso a dados.Baixo custo e recursos de alta segurança.
1.2 Importância da pesquisa
O principal significado deste projeto é resolver o problema de segurança da comunicação de dados na rede corporativa e realizar a transmissão segura de túneis virtualizados ponto a ponto para o pessoal móvel do escritório da empresa na rede ISP, de modo a fornecer confiabilidade , segurança e confidencialidade para comunicação de dados.Garantir que a integridade dos dados das comunicações móveis do escritório para o pessoal que sai não seja afetada.
1.3 Conteúdo de pesquisa
Atualmente, com o desenvolvimento da tecnologia da informação, a interação de informações entre funcionários e parceiros dentro da empresa intensificou-se.Como acessar o sistema interno da empresa através da Internet e conseguir o trabalho remoto tornou-se um requisito inevitável para o desenvolvimento empresarial. A natureza não criptografada da transmissão em rede pública torna a segurança e a confidencialidade extremamente precárias. As redes privadas virtuais (VPNs) são cada vez mais favorecidas pelas empresas por suas vantagens de conexão à rede pública e transmissão criptografada. As tecnologias VPN incluem L2TP, PPTP, VPN IPsec e VPN SSL, etc. Nos primeiros sistemas de escritório remoto corporativo, o IPSecVPN era usado principalmente. No entanto, devido às deficiências do IPSecVPN, como baixo desempenho de comunicação, necessidade de instalação de software cliente especial, dificuldade de instalação e manutenção e relativamente poucos sistemas que são realmente totalmente suportados , nos últimos anos, o IPSecVPN foi adotado. Com o desenvolvimento da tecnologia SSL VPN, mais e mais empresas tendem a usar SSL VPN para construir escritórios remotos corporativos. Com base nisso, este artigo estuda e discute a implementação e design de acesso de SSL VPN em redes corporativas.
Capítulo 2 Análise do Sistema
2.1 Análise de viabilidade
2.1.1 Viabilidade técnica
Em comparação com a VPN IPSec tradicional, a VPN SSL pode permitir que usuários mais remotos da empresa acessem de diferentes locais, acessem mais recursos de rede e tenham requisitos mais baixos nos equipamentos do cliente, reduzindo assim os custos de configuração e suporte operacional. Muitos usuários corporativos usam SSL VPN como tecnologia de acesso remoto seguro e o que eles valorizam principalmente é sua função de controle de acesso. SSL VPN fornece recursos aprimorados de acesso remoto seguro. A VPN IPSec consegue acesso transparente a toda a rede criando um túnel entre dois sites para acesso direto (sem proxy). Enquanto o túnel for criado, o PC do usuário se comportará como se estivesse fisicamente na LAN corporativa. Isso traz muitos riscos de segurança, principalmente quando o usuário de acesso possui permissões excessivas. SSL VPN fornece conexões seguras e proxy. Somente usuários autenticados podem acessar recursos, o que é muito mais seguro. SSL VPN pode subdividir túneis criptografados, permitindo que os usuários finais acessem a Internet e os recursos internos da rede corporativa ao mesmo tempo, o que é controlável. Além disso, o SSL VPN também pode refinar a função de controle de acesso para facilitar diferentes direitos de acesso a diferentes usuários para obter acesso escalável. Este tipo de funcionalidade precisa é basicamente inatingível para VPN IPSec de acesso remoto.
2.1.2 Viabilidade econômica
A VPN SSL pode acessar dispositivos corporativos gerenciados ou não gerenciados, como PCs domésticos ou locais públicos de acesso à Internet, enquanto os clientes VPN IPSec só podem acessar dispositivos gerenciados ou fixos. Com a crescente demanda por acesso remoto, a VPN IPSec enfrenta grandes desafios no controle de acesso, e o custo de gerenciamento e operação é alto. É a melhor solução para conexões ponto a ponto, mas para completar o acesso remoto seguro em qualquer local, É muito mais satisfatório usar SSL VPN.
2.1.3 Viabilidade operacional
A VPN IPSec é difícil de atravessar firewalls e NATs em uma estrutura de rede um tanto complicada e não pode resolver efetivamente o problema de conflitos de endereços IP. A VPN SSL quase não tem restrições de locais de acesso e pode acessar recursos de rede a partir de um grande número de dispositivos de acesso à Internet em qualquer local remoto. A comunicação SSL VPN é baseada na transmissão do protocolo TCP/UDP padrão, para que possa atravessar todos os dispositivos NAT, firewalls baseados em proxy e firewalls de inspeção com estado. Isso permite que os usuários acessem de qualquer lugar, seja através de um firewall baseado em proxy na rede de outra empresa ou através de uma conexão de banda larga.
2.2 Análise de demanda
2.2.1 Requisitos funcionais
As empresas precisam usar a tecnologia SSL VPN, que pode estender com segurança a rede corporativa a qualquer usuário autorizado, para que usuários externos ou funcionários possam usar navegadores da Web padrão para estabelecer conexões de acesso remoto aos recursos da empresa de qualquer lugar com conexão à Internet.
2.2.2 Requisitos não funcionais
1. Requisitos de desempenho
A VPN SSL precisa ser capaz de suportar várias pessoas ao mesmo tempo para que a conexão VPN funcione e precisa ser capaz de expandir o número de usuários e o número de conexões simultâneas para exceder um determinado limite de usuários. A porta de rede do dispositivo precisa para suportar acesso à Internet Gigabit à rede e ter várias placas de rede., pode realizar a separação de endereços comerciais e de gerenciamento.
2. Requisitos de usabilidade
SSL VPN é atualmente a tecnologia de solução mais simples e segura do setor para usuários remotos acessarem dados da empresa. Basicamente, não é restrito pelo local de acesso e pode atravessar todos os dispositivos NAT, firewalls baseados em proxy e firewalls de inspeção com estado. Não faz isso. require Assim como a VPN IPSec tradicional, o software cliente deve ser instalado em cada computador cliente. O SSL pode realizar a conexão remota de informações de maneira simples e fácil de usar. Qualquer computador de usuário com um navegador instalado pode usá-lo. Os funcionários só precisam usar um navegador da Web e sua criptografia SSL local para acessar a partir de terminais de dispositivos que não pertencem à LAN da empresa, como PCs domésticos, quiosques de Internet ou pontos de acesso sem fio. Redes corporativas, muitas vezes onde os departamentos de TI não conseguem implantar e gerenciar facilmente software cliente VPN para conexões VPN IPSec. Onde os requisitos de acesso ao aplicativo são restritos, o SSL VPN não exige o uso de software cliente VPN pré-instalado. Os administradores podem fornecer portais de usuário personalizados e controle de acesso preciso para sites da Web e aplicativos corporativos.
3. Requisitos de confiabilidade
Como todos sabem, o ambiente de rede básica doméstica é relativamente difícil: coexistem fibra óptica, banda larga residencial, ADSL , discagem de banda estreita, 3G e outros métodos de acesso à rede, e há várias operadoras da China Telecom, China Mobile e China Unicom, especialmente a situação das linhas entre operadoras.Devido à sua instabilidade, os sistemas SSL VPN adquiridos por muitos usuários apresentam baixo desempenho após a implantação e não podem atingir a meta planejada de trabalho móvel a qualquer hora e em qualquer lugar. Depois que a VPN SSL de muitos usuários acessou a plataforma, devido à má experiência, cada vez menos usuários se conectaram e acessaram, e eventualmente ela ficou em estado de abandono, com baixo retorno do investimento.
Portanto, a VPN precisa ter carga multilinha e outras tecnologias, bem como tecnologia HTTP rápida, tecnologia flash-link, etc. Essas tecnologias podem aumentar várias vezes com sucesso a velocidade de acesso da maioria dos usuários finais de VPN SSL.
5. Requisitos de segurança
Nas pequenas e médias empresas, os produtos comumente utilizados pelos usuários para isolar redes de escritórios e redes empresariais são muitas vezes insatisfatórios.Produtos tradicionais, como gatekeepers e firewalls, não podem atender às necessidades dos usuários que precisam isolar redes e, ao mesmo tempo, permitir o acesso a determinados aplicativos. novos requisitos. Da mesma forma, a proteção de isolamento da rede SSL VPN, a alocação detalhada de permissões de pessoal de acesso, gravação e outros recursos funcionais podem atender perfeitamente aos requisitos do usuário e obter efeitos de acesso seguro com base no isolamento. Ao implantar SSL VPN no front-end do servidor ou rede comercial, ele fornece garantias de segurança abrangentes, desde isolamento lógico, pessoal de acesso, alocação de permissão e auditoria de comportamento de acesso.
Capítulo 3 Visão Geral das Tecnologias Relacionadas
3.1 Tecnologia SSL VPN
3.1.1 Visão geral da VPN SSL
SSL (Secure Sockets Layer) é um conjunto de protocolos de segurança de dados da Internet desenvolvido pela Netscape.A versão atual é a 3.0. Tem sido amplamente utilizado para autenticação e transmissão de dados criptografados entre navegadores e servidores da web. O protocolo SSL está localizado entre o protocolo TCP/IP e vários protocolos da camada de aplicação, fornecendo suporte de segurança para comunicação de dados. O protocolo SSL pode ser dividido em duas camadas: Protocolo de registro SSL: é construído em um protocolo de transmissão confiável (como TCP) e fornece suporte para funções básicas, como encapsulamento de dados, compactação e criptografia para protocolos de alto nível. Protocolo SSL Handshake: Ele é baseado no protocolo de registro SSL e é usado para autenticação de identidade, negociação de algoritmos de criptografia e troca de chaves de criptografia entre as partes em comunicação antes do início da transmissão real de dados.
3.1.2 Segurança da VPN SSL
Em termos de aplicações de acesso remoto, como escritórios móveis que estão surgindo hoje, o SSL VPN tem maiores vantagens. Garanta a segurança da solução SSLVPN desde aspectos como segurança de transmissão, autenticação de identidade, inspeção de segurança de acesso e autorização de acesso.
1. Segurança de transmissão
A segurança da transmissão é garantida através do protocolo SSL. SSL garante a confidencialidade, integridade e autenticação mútua das partes de transmissão e comunicação de dados. Ele pode usar vários algoritmos de chave pública (RSA, DSA), algoritmos de chave simétrica (DES, 3DES, RC4) e integridade (MD5, SHIA-1). algoritmo.
2. Autenticação de identidade
No protocolo SSL, Cliente e Servidor serão autenticados durante a fase de handshake, e esta autenticação é a autenticação entre dispositivos. A autenticação bidirecional do protocolo SSL garante a credibilidade do dispositivo terminal, mas não pode provar a identidade da pessoa que utiliza o terminal. SSL VPN pode fornecer função de autenticação de identidade de usuário de acesso na camada de aplicação (em vez de na camada SSL). Além do método tradicional de autenticação de nome de usuário/senha, o SSL VPN também pode fornecer uma variedade de métodos de autenticação estendidos, como autenticação de certificado digital, autenticação de senha dinâmica e vinculação de código de recurso de hardware de terminal de acesso.
3. Verificação de segurança de acesso
A complexidade do ambiente do usuário e a incerteza do terminal utilizado terão um impacto potencial na segurança da intranet. Diante desse problema, o gateway SSL VPN introduz estratégias de inspeção e controle de segurança de terminal para verificar a segurança e a credibilidade dos terminais dos usuários. O status de segurança do terminal é avaliado com base nos resultados da inspeção e então é decidido se o usuário tem permissão para acessar a intranet e quais recursos podem ser acessados.
4. Autorização de acesso
Os usuários do SSL VPN são diversos e podem ser autorizados com base em funções, grupos de usuários e usuários individuais. Para os sistemas de autorização existentes dos usuários, o SSL VPN pode suportar a integração com sistemas de autorização externos existentes, facilitando aos administradores a implantação de políticas de autorização para toda a rede. Ao implementar diferentes autorizações de acesso para diferentes usuários, o gateway SSL VPN só pode permitir o acesso de usuários legais. Os administradores podem agrupar usuários ou definir diferentes funções e configurar diferentes recursos para que usuários específicos possam acessar apenas recursos específicos autorizados. Quanto mais fina for a granularidade do controle dos recursos internos, mais eficaz será a segurança da intranet.SSLVPN pode acessar e controlar URLs, IPs, portas e serviços de aplicativos.
3.1.3 Processo de funcionamento do SSL VPN
Qual é o processo de conexão do SSL VPN, conforme mostrado abaixo:
Figura 3.1 Processo de estabelecimento de VPN SSL
1. O usuário do computador remoto faz login na página SSL VPN, usa a navegação na web para abrir o endereço de rede externo do servidor SSL VPN 6.16.5.6 e insere as informações de identidade do usuário, como conta e senha para fazer login. Nesse momento, uma sessão HTTPS será estabelecida e o servidor usará esta sessão para que os usuários carreguem automaticamente o programa cliente SSL VPN;
2. O objetivo do programa cliente SSL VPN neste momento é criar uma placa de rede virtual para o PC do usuário obter uma conexão VPN com a rede da sede;
3. Após a criação da placa de rede virtual, o servidor VPN SSL pegará um endereço como 192.168.1.2 do pool de endereços 192.168.1.0/24 e o atribuirá ao usuário do computador remoto. Ao mesmo tempo, ele fornecerá roteamento , DNS e outras informações. O servidor SSL VPN terá como alvo esse endereço. O pool também terá um endereço de servidor 192.168.1.1, que serve como gateway para todas as placas de rede virtuais do programa cliente;
4. Neste momento, uma nova sessão SSL será estabelecida entre o programa cliente SSL VPN e o servidor, usada especificamente para transmitir tráfego entre a placa de rede virtual e o servidor SSL VPN;
5. Suponha que o usuário do computador remoto queira acessar o servidor DNS interno 10.6.16.1 da empresa. De acordo com a relação de roteamento, o PC remoto encaminhará a solicitação de acesso ao DNS interno da empresa (fonte 192.168.1.2 e destino 10.6.16.1) para o servidor SSL VPN 192.168 através da placa de rede virtual 1.1;
6. O programa cliente SSL VPN no PC remoto encapsulará os pacotes IP enviados pela placa de rede virtual em uma nova sessão SSL e os transmitirá ao servidor SSL VPN através da Internet;
7. O servidor SSL VPN descriptografa e descobre que o endereço IP de destino é 10.6.16.1 após o desencapsulamento e o encaminha para o servidor DNS interno;
8. O processo reverso e acesso ao servidor ERP interno 10.6.16.4 é semelhante a este.
3.1.4 VPN SSL versus VPN IPSEC
(1) Os custos de implantação e gerenciamento de VPN IPSec são altos. O valor da VPN IPSec reside na segurança da sua transmissão. Contudo, a implementação do IPScc requer grandes modificações na infra-estrutura para facilitar o acesso remoto, mas os custos de gestão são elevados. Requer a instalação de software complexo no cliente.Quando a política VPN do usuário muda, sua dificuldade de gerenciamento aumentará exponencialmente. SSL VPN é exatamente o oposto. O cliente não precisa instalar nenhum software ou hardware. Usando um navegador padrão, ele pode acessar com segurança informações na rede afegã através do simples protocolo de criptografia de segurança SSL, e seu custo é muito menor.
(2) A VPN SSI está instalada. O protocolo IPSec estabelece canais apenas na extremidade dos recursos da rede Rayleigh do cliente. O escopo da proteção é suficiente para proteger as conexões dos clientes até a borda da rede da empresa, e todos os dados na rede interna são transparentes. O canal seguro estabelecido pelo SSL é suficiente entre o cliente e os recursos acessados, os dados não são transparentes seja na rede interna ou na Internet, e toda operação do recurso por parte do cliente deve ser autenticada e criptografada. para garantir uma verdadeira segurança de ponta a ponta.
(3) SSI.VPN tem melhor escalabilidade. Isso ocorre porque ao implantar a VPN IPSec, a topologia da rede deve ser considerada. Adicionar novos dispositivos todos os dias pode causar alterações na estrutura da rede e exigir a redistribuição, resultando em baixa escalabilidade da VPN IPSec. SSL VPN é diferente: você pode adicionar servidores que exijam proteção VPN a qualquer momento, conforme necessário, o que o torna mais flexível.
3.2 Tecnologia DHCP
DHCP (Dynamic Host Configuration Protocol) é geralmente usado em ambientes de rede local de grande escala. Sua principal função é gerenciar e alocar endereços IP centralmente, para que os hosts no ambiente de rede possam obter dinamicamente endereços IP, endereços de gateway e DNS. Endereço do servidor e outras informações, podendo melhorar o uso do endereço.
O protocolo DHCP usa um modelo cliente/servidor e a alocação dinâmica de endereços de host é controlada pelo host da rede. Quando o servidor DHCP recebe as informações do host da rede solicitando um endereço, ele enviará a configuração de endereço relevante e outras informações ao host da rede para obter a configuração dinâmica das informações de endereço do host da rede. O DHCP tem as seguintes funções:
(1) Certifique-se de que qualquer endereço IP possa ser usado apenas por um cliente DHCP ao mesmo tempo.
(2) O DHCP deve ser capaz de atribuir endereços IP fixos permanentes aos usuários.
(3) O DHCP deve ser capaz de coexistir com hosts que utilizam outros métodos para obter endereços IP (como hosts com endereços IP configurados manualmente).
(4) O servidor DHCP deve fornecer serviços aos clientes BOOTP existentes.
Figura 3.2 Processo de trabalho do DHCP
O DHCP possui três mecanismos para atribuir endereços IP:
1) Alocação automática: O servidor DHCP atribui um endereço IP permanente ao host. Depois que o cliente DHCP aluga com sucesso um endereço IP do servidor DHCP pela primeira vez, ele pode usar o endereço permanentemente.
2) Alocação Dinâmica: O servidor DHCP atribui um endereço IP com limite de tempo ao host.Quando o tempo expira ou o host desiste explicitamente do endereço, o endereço pode ser usado por outros hosts.
3) Alocação manual: O endereço IP do cliente é especificado pelo administrador da rede, e o servidor DHCP apenas informa ao host do cliente o endereço IP especificado.
Dos três métodos de alocação de endereços, apenas a alocação dinâmica pode reutilizar endereços que não são mais necessários ao cliente.
3.3 Projeto de ACL
ACL é uma tecnologia de controle de fluxo baseada na filtragem de pacotes. É amplamente utilizada em roteadores. Pode controlar efetivamente o acesso dos usuários da rede aos recursos da rede na terceira camada, que pode ser específico para aplicativos de rede entre dois dispositivos de rede. Uma ampla gama de o gerenciamento do controle de acesso pode ser realizado de acordo com os segmentos da rede. Ao implementar a ACL, você pode implantar efetivamente políticas de saída de rede corporativa. Ela também pode ser usada para controlar o acesso a recursos internos na LAN e garantir a segurança dos recursos. No entanto, aumentará a sobrecarga do roteador e aumentará a complexidade e dificuldade de gerenciamento. Seja para usar a tecnologia ACL é um compromisso entre eficiência de gerenciamento e segurança de rede. No início, a ACL era suportada apenas em roteadores. Nos últimos anos, ela foi estendida para switches da camada 3. Alguns switches da camada 2, como o 2950, também começaram a fornecer ACL.
apoiar.
Figura 3.3 Diagrama de correspondência de ACL
Como pode ser visto na figura acima, o processo de trabalho do ACL é o seguinte:
Independentemente de haver uma ACL no roteador, após receber o pacote de dados, quando os dados entram em uma determinada estação, o roteador irá primeiro verificar se é roteável. Se não for roteável, será descartado. Caso contrário , será encontrado na tabela de roteamento Informações detalhadas da rota e interface de saída correspondente;
Supondo que seja roteável, encontre a interface para enviá-lo. Neste momento, o roteador verifica se a porta de saída está incluída na ACL. Caso contrário, ele a enviará diretamente desta porta. Se houver uma ACL, o roteador combinará os dados com a ACL em ordem de cima para baixo e os executará um por um. Se corresponder a uma das ACLs, os dados serão processados de acordo com a operação especificada pela ACL .
(allow ou deny) e pare de continuar a consulta; se nenhuma correspondência for encontrada no final da ACL, chame a instrução implícita deny any no final da ACL para descartar o pacote.
As listas de controle de acesso podem ser divididas em duas categorias: listas de controle de acesso padrão e listas de controle de acesso estendidas.
1. Lista de controle de acesso IP padrão
Uma lista de controle de acesso IP padrão corresponde ao endereço de origem ou parte do endereço de origem no pacote IP e pode realizar duas ações para negar ou permitir o pacote correspondente. O intervalo de números vai de 1 a 99. A lista de controle de acesso é uma lista de controle de acesso IP padrão.
2. Estenda a lista de controle de acesso IP
A lista estendida de controle de acesso IP tem mais correspondências do que a lista de controle de acesso IP padrão, incluindo endereço de origem do tipo de protocolo, endereço de destino, porta de origem, porta de destino, estabelecimento de conexão e prioridade de IP, etc. As listas de controle de acesso com números que variam de 100 a 199 são listas estendidas de controle de acesso IP.
3. Lista de controle de acesso IP nomeado
A chamada lista de controle de acesso IP nomeada usa o nome da lista em vez do número da lista para definir a lista de controle de acesso IP. Ela também inclui dois tipos de listas: padrão e estendida. As instruções que definem a filtragem são semelhantes ao método de numeração.
3.4 Projeto NAT
O nome completo do NAT em inglês é "Network Address Translation", que significa "Network Address Translation" em chinês. É um padrão IETF (Internet Engineering Task Force, Internet Engineering Task Force) que permite que uma organização inteira apareça com um público Endereço IP (Internet Protocol) na Internet. Como o nome sugere, é uma tecnologia que traduz endereços de rede privada interna (endereços IP) em endereços IP de rede legais, portanto, podemos acreditar que o NAT pode efetivamente resolver o problema de endereços de rede pública insuficientes até certo ponto.
Simplificando, o NAT utiliza o endereço interno da rede interna da LAN, e quando o nó interno quiser se comunicar com a rede externa, ele estará no gateway (que pode ser entendido como a saída, como uma porta de quintal, para exemplo). O endereço é substituído por um endereço público para que possa ser usado normalmente na rede pública externa (internet). O NAT pode permitir que vários computadores compartilhem conexões de Internet. Esta função resolve bem o problema da escassez de endereços IP públicos . Através deste método, você só pode solicitar um endereço IP legal e conectar os computadores de toda a LAN à Internet. Neste momento, o NAT bloqueia a rede interna e todos os computadores da intranet ficam invisíveis para a rede pública, e os usuários de computadores da intranet geralmente não estão cientes da existência do NAT. Como mostrado abaixo. O endereço interno aqui mencionado refere-se ao endereço IP privado atribuído ao nó na rede interna, este endereço só pode ser utilizado na rede interna e não pode ser encaminhado por roteamento.
3.5 Projeto OSPF
O nome completo do protocolo de roteamento OSPF é Open Shortest Path First, que é o primeiro protocolo de caminho mais curto aberto. Como o OSPF foi desenvolvido pela IETF, seu uso não é restrito por nenhum fabricante e pode ser usado por todos, por isso é chamado de aberto, e o primeiro protocolo do caminho mais curto é chamado de aberto. A prioridade do caminho (SPF) é apenas a ideia central do OSPF. O algoritmo que ele usa é o algoritmo de Dijkstra. A prioridade do caminho mais curto não tem muito significado especial. Não existe um protocolo de roteamento que priorize o caminho mais longo. Todos os protocolos escolherão o mais curto.
O protocolo OSPF introduz o conceito de "roteamento hierárquico", que divide a rede em um conjunto de partes independentes conectadas por um "backbone".Essas partes independentes são chamadas de "áreas", e a parte do "backbone" é chamada de "área de backbone" . Cada área é como uma rede independente, e o roteador OSPF nesta área salva apenas o status do link desta área. O banco de dados de estado do link de cada roteador pode ser mantido em um tamanho razoável, e o tempo de cálculo da rota e o número de pacotes não serão muito grandes.
Figura 3.4 Pacotes de dados OSPF
A vantagem do OSPF é que ele pode suportar redes de vários tamanhos, até centenas de roteadores; o OSPF seleciona caminhos com base na largura de banda; se a topologia da rede mudar, o OSPF envia imediatamente uma mensagem de atualização para que a mudança seja refletida no sistema autônomo Sincronização ; como o OSPF usa o algoritmo de árvore de caminho mais curto para calcular rotas através do status do link coletado, o próprio algoritmo garante que nenhuma rota de auto-loop será gerada; como o OSPF carrega as informações de máscara do segmento de rede ao descrever a rota, o protocolo OSPF Não é limitado por máscaras naturais e fornece bom suporte para VLSM e CIDR; o protocolo OSPF permite que a rede de sistemas autônomos seja dividida em áreas para gerenciamento, e as informações de roteamento transmitidas entre áreas sejam ainda mais abstraídas, reduzindo assim a largura de banda ocupada por rede; OSPF suporta múltiplas rotas de valor igual para o mesmo endereço de destino; OSPF usa 4 tipos diferentes de rotas, que em ordem de prioridade são: roteamento intra-área, roteamento inter-área, roteamento externo tipo 1 e roteamento externo tipo 2 roteamento; suporta verificação de pacotes baseada em interface para garantir a segurança dos cálculos de rotas.
Capítulo 4 Projeto do Sistema
4.1 Projeto geral da rede
Após vários anos de desenvolvimento, a atual tecnologia de rede SSL VPN tornou-se uma escolha inevitável para as empresas construírem sistemas ERP. Como o acesso ao ERP envolve questões de privacidade corporativa e segurança de dados, a segurança da transmissão de dados e a legalidade do acesso devem ser consideradas ao implementar o acesso remoto baseado na Internet para evitar que dados ultrassecretos sejam obtidos, adulterados e manipulados por hackers ou mesmo concorrentes, destruir. Portanto, ao construir um sistema ERP empresarial, seus requisitos de segurança são particularmente proeminentes em comparação com outros sistemas de informação empresarial. Além disso, como garantir a eficiência do sistema ERP e manter a escalabilidade do negócio sob a premissa de segurança também são questões fundamentais que precisam ser consideradas na implementação atual do ERP. Ao mesmo tempo, o desenvolvimento dos negócios empresariais também requer a capacidade de obter acesso altamente seguro e estável aos sistemas ERP.
Existem 9 departamentos estabelecidos no ambiente de rede deste projecto, nomeadamente o Departamento de Segurança, o Departamento Comercial, o Departamento Administrativo, o Departamento de Vendas, o Departamento de Recursos Humanos, o Departamento Financeiro, o Gabinete do Gestor, o Departamento Técnico e a Conferência. Sala. A rede local usa interconexão completa de link Gigabit para garantir a velocidade de transmissão da rede. Para projeto de rede, use o simulador Cisco Packet Trace. Deixe o switch aprender automaticamente as informações da VLAN no servidor VTP. Também usado em conjunto com interfaces SVI para rotear o tráfego entre VLANs. A rede interna da empresa utiliza o protocolo OSPF e os usuários da rede interna da sede utilizam NAT para converter endereços privados da intranet em endereços privados da rede externa para garantir a segurança. Use o serviço DHCP para alocar IP dinamicamente para melhorar a utilização. Usando a tecnologia ACL, a rede interna pode acessar o servidor e a rede externa, e a rede externa pode acessar o servidor, mas não a rede interna.
Zoneie toda a rede e proteja os gateways internos. Reduza o problema de pacotes de dados inúteis excessivos causados por grandes quantidades de circulação de dados na LAN. O que precisamos não é apenas adotar tecnologia internacionalmente avançada, mas também garantir a segurança, confiabilidade e praticidade do sistema, bem como alto desempenho, alta largura de banda e gerenciamento simples.A arquitetura geral da rede é selecionada após análise e discussão interna. A arquitetura de rede adotada é um modelo de design de rede hierárquico de três camadas de "camada de acesso à camada de agregação da camada central".
4.2 Projeto de segurança de rede
Sempre prestamos atenção às questões de segurança de rede e também precisamos seguir alguns princípios ao projetar sistemas de proteção de segurança de rede. Os principais são: o princípio do menor privilégio, o princípio da defesa em profundidade, o princípio da diversidade de defesa, o princípio da integridade da defesa, o princípio da segurança e do equilíbrio de custos e o princípio da hierarquia dos recursos da rede.
(1) Princípio do menor privilégio
Qualquer objeto deve ter apenas as permissões necessárias para concluir as tarefas designadas e limitar o escopo, espaço, tempo, etc. de uso da permissão.
(2) Princípio da defesa em profundidade
O sistema de proteção de segurança de rede deve ser um sistema de segurança multicamadas.Para evitar se tornar um "ponto único de falha" na rede, vários sistemas de defesa devem ser implantados.
(3) Princípio da diversidade de defesa
Existem dois aspectos: tecnologia e métodos de defesa. Em termos de tecnologia, é necessário garantir a segurança do host e da rede e, ao mesmo tempo, prestar atenção à proteção contra vírus e cavalos de Tróia. Em termos de métodos de defesa, firewalls, IDS, honeypots, etc. podem ser implantados para proteger a segurança do sistema.
(4) Princípio holístico de segurança de rede
É necessário que quando a rede for atacada ou danificada, os serviços do centro de informações da rede sejam restaurados o mais rápido possível para reduzir perdas.
(5) Avaliação de segurança e princípio de equilíbrio
Para qualquer rede, a segurança absoluta é difícil de alcançar e não é necessariamente necessária, por isso é necessário estabelecer um sistema razoável de avaliação e equilíbrio para segurança prática e necessidades do usuário.
(6) Princípios de padronização e consistência
O sistema de segurança é um sistema complexo de engenharia que envolve humanos, tecnologia, operação e outros elementos. Nem a tecnologia por si só nem a gestão por si só podem conseguir isto. Portanto, é necessário combinar diversas tecnologias de segurança com mecanismos de gestão da operação, educação ideológica e capacitação técnica de pessoal e construção de normas e regulamentos de segurança.
Com o aprofundamento da informatização empresarial, a ligação entre empresas, filiais e trabalhadores estrangeiros não será separada pela separação geográfica.Do ponto de vista da transmissão e integração do fluxo de informação, são mais como um todo, e o acesso remoto seguro funciona de forma colaborativa. A procura tornar-se-á cada vez mais óbvia. Por isso, muitos usuários estão observando e buscando produtos adequados para atender às suas necessidades de aceleração de aplicações ERP com alto grau de segurança. Neste momento, o SSL VPN, que apresenta alta segurança, escalabilidade, estabilidade e gerenciamento flexível, tornou-se gradualmente a solução de acesso preferida. Maior segurança da informação e desempenho de aplicativos são os benefícios mais óbvios trazidos pelo SSL VPN. Como o próprio protocolo SSL é uma tecnologia de segurança, o SSL VPN tem as características de prevenir o vazamento de informações, rejeitar acessos ilegais, proteger a integridade das informações, impedir a representação do usuário e garantir a disponibilidade do sistema. Ele pode garantir ainda mais a segurança do acesso, portanto, os recursos de segurança têm foi ampliado. Como protocolo de segurança entre a camada de aplicação e a camada TCP/UDP, comparado ao IPSec SSL na camada de rede, ele pode fornecer controle de acesso baseado na camada de aplicação e é mais adequado para a mobilidade e descentralização do acesso remoto seguro. Após vários anos de desenvolvimento, a atual tecnologia de rede SSL VPN tornou-se uma escolha inevitável para as empresas construírem sistemas ERP. Como o sistema ERP realiza a concentração de dados e o gerenciamento da cadeia de suprimentos, ele exige que o sistema ERP opere de forma estável e com um alto grau de segurança. SSL VPN fornece apenas interconexão da camada de aplicação, cada usuário só pode acessar as aplicações que lhe são autorizadas, não podendo acessar outros recursos, garantindo a segurança dos recursos do sistema.
4.3 Diagrama de topologia de rede
A estrutura de rede projetada com base em SSL VPN adota uma hierarquia típica de três camadas, que é a camada de acesso de agregação central. A arquitetura de design de três camadas é sem dúvida a mais adequada para ambientes de rede corporativa.A camada de acesso implementa a interface de rede do terminal, a camada de agregação coleta o tráfego de acesso e a camada central recebe o tráfego agregado e o encaminha, tornando o tráfego claro e claro.
A camada principal inclui switches principais e roteadores de saída. O protocolo de roteamento dinâmico OSPF é configurado entre as áreas principais para aprender automaticamente as rotas da LAN. O roteador de saída executa a tradução de endereços NAT para que os usuários internos possam acessar a Internet normalmente.
Quanto à implementação da VPN SSL discutida neste tópico, ela é naturalmente configurada no roteador, pois o roteador é um dispositivo de acesso à Internet. O dispositivo chama o nome do grupo e o pool de endereços de acesso à Internet e VPN SSL, para que funcionários fora do a empresa pode acessar a Internet a qualquer momento. O acesso remoto VPN SSL pode ser realizado em qualquer ambiente de Internet para acessar a LAN interna para trabalho de escritório e interação de dados; com base em considerações de segurança, o switch principal também implementa restrições de acesso de política de controle ACL para o SSL Conjunto de endereços virtuais VPN.
O diagrama de topologia de rede projetado por meio do simulador Cisco packet tracer é o seguinte:
Figura 4.1 Diagrama de topologia de rede
4.4 Planejamento de endereço IP
O endereço IP é dividido em duas partes: o endereço de rede e o endereço do host. A estrutura do endereço IP é semelhante ao número de telefone com o qual entramos em contato diariamente. O número de telefone consiste no código de área e no número do dispositivo. A parte da rede na frente do endereço IP refere-se a um segmento de rede, e o host a parte posterior refere-se à rede conectada a esta rede: Equipamento Terminal. A vantagem desta estrutura hierárquica de endereços IP é que cada dispositivo de rede de três camadas não precisa armazenar o endereço IP de cada host, mas apenas armazenar o endereço de rede de cada segmento de rede. Como o endereço de rede pode representar todos os hosts no segmento de rede, as entradas da tabela de roteamento também serão bastante reduzidas e a flexibilidade de roteamento será aprimorada de acordo.
Tabela 4.1 Tabela de planejamento de endereços IP
| departamento |
VLAN |
PI |
Porta de entrada |
| Ministério da Segurança |
10 |
10.1.10.0/24 |
10.1.10.1 |
| Ministério do Comércio |
11 |
10.1.11.0/24 |
10.1.11.1 |
| Departamento de Administração |
12 |
10.1.12.0/24 |
10.1.12.1 |
| Vendas |
13 |
10.1.13.0/24 |
10.1.13.1 |
| Departamento pessoal |
14 |
10.1.14.0/24 |
10.1.14.1 |
| Departamento de Finanças |
15 |
10.1.15.0/24 |
10.1.15.1 |
| Sala do gerente |
16 |
10.1.16.0/24 |
10.1.16.1 |
| Departamento de Tecnologia |
17 |
10.1.17.0/24 |
10.1.17.1 |
| sala de reuniões |
18 |
10.1.18.0/24 |
10.1.18.1 |
| Servidor dns |
100 |
10.1.100.254/24 |
10.1.100.1 |
| servidor de vendas |
100 |
10.1.100.253/24 |
10.1.100.1 |
| Servidor de pessoal |
100 |
10.1.100.252/24 |
10.1.100.1 |
| Servidor financeiro |
100 |
10.1.100.251/24 |
10.1.100.1 |
| PC de gerenciamento de rede |
100 |
10.1.100.2/24 |
10.1.100.1 |
4.5 Seleção de equipamentos
4.5.1 Seleção do switch central
Recomenda-se usar switches 10G Camada 3 de alto desempenho para equipamentos da camada central, conectar-se a equipamentos da camada de agregação por meio de links Gigabit e interconectar a camada central por meio de links 10G. Portanto, desta vez é recomendado usar CISCO C9300-48T-A como switch principal .
Figura 4.2 Diagrama do produto Cisco®Catalyst®9300
Os switches Cisco® Catalyst® série 9300 são a plataforma de switching empresarial empilhável líder da Cisco, desenvolvida para segurança, IoT, mobilidade e nuvem. C9300-48T-A é apenas um switch Network Advantage de dados de 48 portas da série 9300. A série Catalyst 9300 é a plataforma de switching de próxima geração mais amplamente implantada no setor. Eles são a solução de largura de banda de empilhamento de maior densidade do setor, a 480 Gbps, com a arquitetura de uplink mais flexível. A série Catalyst 9300 é a primeira plataforma otimizada para 802.11ac Wave2 de alta densidade. Ele define um novo máximo para o tamanho da rede. Esses switches também estão prontos para o futuro com arquitetura de CPU x86 e mais memória, permitindo hospedar contêineres e executar aplicativos e scripts de terceiros nativamente dentro do switch.
Os parâmetros específicos são os seguintes:
Tabela 4.2 Parâmetros C9300-48T-A
| Código do produto |
C9300-48T-A |
| Taxa de transmissão |
10/100/1000Mbps |
| Largura de banda do backplane |
256 Gbps |
| Taxa de encaminhamento de pacotes |
190,48 Mpps |
| Descrição do produto |
Total de portas de cobre 10/100/1000 ou Gigabit |
| Alimentação CA padrão |
350WAC |
| Potência PoE disponível |
/ |
| Dimensões (altura x largura x profundidade) |
1,73 x 17,5 x 17,5 polegadas |
| peso |
16,33 libras |
4.5.2 Seleção de chave de agregação
Os switches de agregação incluem switches de rede multigigabit e 10 Gbps empilháveis da série Catalyst 3650 que permitem a convergência de redes com e sem fio, proporcionando a capacidade de dimensionar e proteger sua rede.
Figura 4.3 Diagrama do produto Catalyst 3650
É a primeira plataforma de comutação de acesso empilhável da Cisco que implementa serviços com e sem fio em uma única plataforma baseada no software Cisco IOS XE. Com essa tecnologia, a Cisco é a primeira a permitir recursos avançados, como alta disponibilidade baseada em stateful switching (SSO) na pilha, QoS refinado, segurança e Fluxo de rede flexível (FNF) entre redes com e sem fio de maneira contínua. . Além disso, os recursos com e sem fio são agrupados em uma única imagem do Cisco IOS Software, o que elimina a necessidade de diversas imagens de software que os usuários devem qualificar/certificar antes de ativar na rede. O gerenciamento da interface de linha de comando (CLI) por meio de uma única porta de console elimina vários pontos de contato para o gerenciamento de serviços com e sem fio, reduzindo a complexidade da rede, simplificando as operações de rede e diminuindo o TCO do gerenciamento da infraestrutura. Ele também oferece economia de energia otimizada, EEE (na porta RJ45), operação de baixo consumo de energia para os melhores recursos de gerenciamento de energia e consumo de energia da categoria. As portas do Cisco Catalyst 3650 suportam o modo de energia reduzida para que as portas não utilizadas possam entrar em um estado de baixo consumo de energia.
CISCO WS-C3650-48TS-L é selecionado como o switch da camada de agregação.Os parâmetros específicos são os seguintes:
Tabela 4.3 Parâmetros CISCO WS-C3650-48TS-L
| Tipo de Produto |
Comutador Gigabit Ethernet |
| Taxa de transmissão |
10/100/1000Mbps |
| método de troca |
armazenar e encaminhar |
| Estrutura portuária |
não modular |
| Número de portas |
48 |
| Descrição da porta |
Interfaces Ethernet de 48 Gigabits |
| tensão |
Alimentação CA |
| Fonte de energia |
250W |
4.5.3 Seleção do switch de acesso
Os switches Cisco série 2960 são switches Gigabit Ethernet não modulares projetados para fornecer acesso básico de classe empresarial à Camada 2 para aplicações fora de filiais, espaços de trabalho tradicionais e armários de fiação.
Figura 4.4 Diagrama do produto Cisco 2960
Esta série de produtos foi projetada para reduzir o custo total de propriedade, simplificando as operações e pode aproveitar vários recursos do software Cisco IOS para obter operações comerciais seguras e com economia de energia. Escolha os switches Cisco Catalyst série 2960 na camada de acesso. Devido às suas características de rede semelhantes aos switches de última geração e suas portas fixas de alta densidade, os switches da série 2960 são geralmente adequados para switches de acesso em redes de campus. Os switches da série 2960 podem suportar muitos recursos de comutação avançados, como: controle de admissão, segurança integrada, flexibilidade, etc., e têm preços razoáveis e são econômicos. Pode fornecer serviços inteligentes até a borda da rede.
O 2960-X apresenta: 4 uplinks Small Form Factor Plus (SFP+); 2 ou 4 uplinks Gigabit Small Form Factor Plug (SFP); suporte Power over Ethernet Plus (PoE+) Disponível em orçamentos de energia de até 370 W; PoE permanente fornece ininterrupto energia para dispositivos conectados, mesmo quando o switch está inicializando; Operação sem ventoinha, temperatura operacional máxima de 45°C quando implantado fora de um armário de fiação; devido à ausência de atividade Componentes mecânicos para aumento do tempo médio entre falhas (MTBF); Menos de 11,5 polegadas de profundidade para casos de uso com restrição de espaço; Menor consumo de energia e recursos avançados de gerenciamento de energia; O acesso ao console RJ45 e USB simplifica a operação e é intuitivo A interface do usuário da web é fácil de implantar e gerenciar e pode ser configurada e gerenciada sem fio por meio de uma interface Bluetooth. Em termos de desempenho, os switches da série 2960 suportam matrizes de comutação de 32 Gbit/s; suportam links EtherChannel; e suportam até 8.000 endereços MAC. Redundância de spanning tree e 802.3ad também são suportados. Em termos de segurança, os switches da série 2960 suportam recursos de segurança avançados 802.1x, permitem acesso remoto e gerenciamento remoto e suportam tráfego criptografado de administrador em sessões remotas, protegendo efetivamente a segurança da rede.
O switch de acesso usa o switch CISCO WS-C2960X-48TS-L. Os parâmetros específicos são os seguintes:
Tabela 4.4Parâmetros CISCO WS-C2960X-48TS-L
| Tipo de Produto |
Switch gerenciado |
| nível de aplicação |
Segundo andar |
| Taxa de transmissão |
10/100/1000Mbps |
| processador |
APM86392 núcleo duplo de 600 MHz |
| Memória do produto |
Memória flash: 128MB |
| método de troca |
armazenar e encaminhar |
| Largura de banda do backplane |
108 Gbps |
| Taxa de encaminhamento de pacotes |
107,1 Mpps |
| Número de portas |
52 |
| Descrição da porta |
48 interfaces 10/100/1000, 4 interfaces SFP |
| Modo de transmissão |
Full duplex/half duplex adaptativo |
| Tamanho do produto |
45×279×445mm |
Capítulo 5 Projeto Detalhado
本课题设计的网络环境中包含1台核心交换机、3台汇聚接入交换机、10台接入交换机,4台服务器,网络数据交互通过三层核心交换机转发,互联网出口链路接入路由器,设置SSL VPN供外出的员工在互联网上通过账户密码连接,进行远程办公,但是为了保障安全性,对于VPN账号和权限设定了限制,只允许连接的VPN账户访问固定的内部网段。
5.1 VPN技术实现方式
VPN技术的虚拟性体现在进行通信的用户对之间没有真正的物流连接,而是通过ISP供应商的公共网络,如Inlecmct,其专用线则表现为除了企业内部的负工可以使用网络资源外,外网用户无法进行数据和资源的共享。实现VPN的技术主要有以下几种方式:
(1)隧道技术。隧道技术将其他协议的数据包重新封装,在新的包头中传输,包头提供新的路中,从而使数据可以在Intenet中传输,隧道可以建立在不同的协议层,如网络层,应用层等。
(2)加密技术。通过使用现有的加解密技术,实现保密通信,确保公司信息和个人信息在网络中的安全传递吗,不被窃取。
(3)密饼管理技术。即产生、分发、控制、管理和跟踪密钥,开验证密钥的真实性。
(4)身份验证技术。对用户进行身份验证,通常使用用户名和密码或智能卡进行,只对过的合法人员能正常接入网络。
5.2 SSL安全性
SSL通过加密方式保护在互联网.上传输的数据安全性,它可以自动应用在每-一个浏览器上。这里,需要提供一个数字证书给Web服务器,这个数字证书需要付费购买,想对而言,给应用程序设立SSL服务是比较容易的。如果应用程序本身不支持SSL,那么就需要改变一些链接,这只与应用程序有关。对于出现较大信息量的情况,建议给SSL进行加速以避免流量瓶颈。通常SSL加速装置为热插拔装置。VPN则主要应用于虚拟连接网络,它可以确保数据的机密性并且具有一定的访问控制功能。过去,VPN总是和IPSec联系在-起,因为它是VPN加密信息实际用到的协议。IPSec运行于网络层,IPSec VPN则多用于连接两具网络或点到点之间的连接。
SSL可以防止信息泄漏。由于客户端与SSL VPN网关之间实现高强度的加密信息传输,因此虽然信息传输是通过公网进行的,但是其安全性是可以得到保证的。第三方即使可以得到传输数据,但是却无法得到隐藏到其中的明文信息。因此敏感的信息如业务账号等被保护起来,杜绝了有效信的泄露。(2 )杜绝非法访问.SSL VPN的访问要经过认证和授权,充分保证用户身份的合法性。SSL VPN只允许那些拥有相应权限的用户进行网络连接。如果请求连接的用户没有合法身份,则SSL VPN将拒绝其连接请求,从而限制了非法用户对内网的访问。(3)保护信息的完整性.SSL VPN使用数字证书进行机密性与完整性参数的协商,它不仅能够对所传输的数据进行机密性的保护,同时也对其提供完整性保护。当在传输过程中的数据被篡改之后,SSL VPN是可以检测到的,如果检测到数据被篡改,他们就会放弃所接收到的数据。
5.3核心层设计
图5.1 核心层
VPN的设计主要在核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常需要保证数据高速的传输。网络的控制功能最好尽量的少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。
在既有网络的架构当中, SSL VPN的应用方式其实是很简单的,比起传统IPSecVPN要容易许多。因为它所在的位置是在防火墙后方,人员只需要针对SSL VPN装置在防火墙当中开启设定, 就完成安装了。并不会像IPSecVPN一样,需要针对不同用户开启不同的VPN Profile 设定。因为远程的使用者是利用浏览器连接到SSL VPN设备,然后透过IP封包转译的方式,由SSL VPN设备[模拟]远程使用者在[内部]进行数据存取,所以才有办法突破各种网络的限制,达到执行各种ERP、CRM或者是特定应用程序。传统使用VPNClient程序的架构,由于使用者取得的是内部IP位置,因此在执行企业内部专属程序的时候,只有该程序所使用的连接协议是VPN装置所支持,就没有设定上的问题。
本课题核心层的设备包含路由器和三层交换机,核心区域之间配置OSPF动态路由协议的骨干区域做路由的一个自动学习功能,路由器上做SSL VPN隧道连接,设立VPN组和账户密码以及VPN地址池来给连接用户进行分配,再通过核心交换机对这些地址池的访问限制做一个ACL访问控制列表策略。
5.4 汇聚层设计
图5.2 汇聚层设计
汇聚层的功能主要是连接接入层节点和核心层中心。汇聚层设计为连接本地的逻辑中心,仍需要较高的性能和比较丰富的功能,汇聚设备的转发能力也是需要一定的要求。
本课题设计的汇聚层主要用来汇聚接入交换机的上联链路,再通过汇聚设备统一的链路转发给核心交换机,减轻核心交换机的负荷,设计中包含3台汇聚交换机,这三台汇聚交换机每台分别接入3台接入交换机,做到汇聚的效果。交换机上创建接入层的vlan号,并且将所有互联口配置成Trunk口,放行多个VLAN通过。
5.5 接入层设计
核心层和汇聚层的设计中主要考虑的是网络性能和功能性要高,那么网络接入层的设计主要考虑的是使用性能价格比高的设备。接入层是内部员工或者外来人员最终与网络的接口,它应该提供即插即用的特性,同时应该非常易于使用和维护。当然我们也应该考虑端口密度的问题。
本设计的接入层分别部署在各个部门弱电间里,一个部门一台接入交换机,保证端口的可用性和外来人员接入的扩展性。
5.6 关键性技术及难点
网络环境设计中主要涉及的关键技术为互联网接口的NAT源地址转换策略和SSL VPN相关技术的实现和访问,局域网内部的路由学习则采用OSPF路由协议来进行学习。
难点在于NAT地址转换的时候出现了IP地址被占用的情况,后面发现使用端口复用NAT可以很好的解决内部用户同时上网的问题。
5.7 存在的问题和解决方法
在设计过程中发现,SSL VPN用户一但从互联网接入成功之后,内网的所有网段路由都可达,造成了很大的安全隐患。因此,通过ACL访问控制列表的限制措施下,设置了针对用户访问权限的一个放行和拒绝访问的规则集合,这样一来,远程办公的用户就算拨入VPN,也只能访问自己部门的一个网段及服务器。
第6章 系统测试
6.1 网络结论现象验收
6.1.1 查看DHCP地址池分配,如图6.1所示:
图6.1 DHCP地址池分配
6.1.2 网关地址状态
核心交换机网关地址状态,如图6.2所示:
图6.2 地址状态
6.1.3 OSPF邻居状态
路由器的OSPF建立状态,如图6.3所示:
图6.3 OSPF邻居状态
6.1.4 路由表信息
路由器的路由表信息如图6.4所示:
图6.4 OSPF路由信息
6.1.5 NAT信息
路由器地址转换信息如图6.5所示:
图6.5 NAT信息
6.2 连通性测试
6.2.1 终端DHCP自动获取测试
图6.6 人事部自动获取到地址
通过在核心交换机上设立了DHCP服务器,终端用户自动获取到了下发的地址。
6.2.2 跨VLAN之间的互相访问
图6.7 跨三层访问
通过商务部的PC去访问技术部跟会议室的网段,测试结果返回正常。
6.2.3 ACL测试
图6.8 访问销售部服务器
行政部访问销售部服务器返回的结果显示目的主机不可达,销售部访问销售部服务器返回结果正常,证明ACL生效了。
6.2.4 VPN连接测试
图6.9 VPN连接成功
图6.10 人事部VPN连接
上图可以看到人事部连接VPN成功后,只能访问人事部的网段,无法访问内部其它网段地址。
6.2.5 访问互联网测试
经理室访问互联网地址正常,如图6.11所示:
图6.11 经理室访问互联网
第7章 总结
本次设计的题目为基于SSL VPN技术的中小企业网络接入设计与实现,毕业设计是我们作为学生在学习阶段的最后一个环节,是对所学基础知识和专业知识的一种综合应用,是一种综合的再学习、再提高的过程,这一过程对学生的学习能力和独立思考及工作能力也是一个培养,同时毕业设计也是一个重要的环节,是我们步入社会参与实际工作的一次极好的演示,也是对我们自学能力和解决问题能力的一次考验,是学校生活与社会生活间的过渡。在完成毕业设计的这段时间里,我收获颇多,掌握了很多SSL VPN方面和网络方面的知识,对我所学过的知识有所巩固和提高,让我对现在社会的网络环境的现状有所了解。
参考文献
[1]张兴.SSL-VPN技术在高校图书馆资源共享中的应用研究[J].兰台世界,2020.
[2]马军锋.SSLVPN技术原理及其应用[J].电信网技术,2018,08:22-24.
[3]包丽红,李立亚.基于SSL的VPN技术研究[J].网络安全技术与应用,2018(5):38-40.
[4]吕俊霞,景文富.基于SSL的VPN技术原理与实现[J].济南职业学院学报,2019(04):112-115.
[5]包瑞.基于SSLVPN技术的远程资源访问模式研究[J].河南图书馆学刊,2020,30(001):72-74.
[6]梁绍宇.SSLVPN技术应用研究[D].华南理工大学.2018.
[7]陈旭东.VPDN与SSLVPN技术在"金保工程"中的应用[J].湖北民族学院学报:自然科学版,2018
[8]赵新辉,郭瑞.基于OpenVPN技术的SSLVPN的实现与研究[J].网络安全技术与应用,2018
[9]胡国强,邓希廉,周兆永.浅析SSLVPN技术在我校校园网的应用[J].中国科技博览,2020
[10]颜雪峰,翟雅萌,武渊博.基于SSL VPN技术的信息平台搭建[J].铁道通信信号,2021
[11]邵旻晖,竺荣,楼文彦.基于SSL VPN的医院OA-钉钉安全接入方案[J].电子技术与软件工程,2021
[12]刘邦桂.虚拟专用网技术在校园网应用中的研究与实现[J].软件工程,2020
[13]代锐锋.基于SSL虚拟技术的高校网络安全体系模型构建[J].计算机与现代化,2020
[14]童长卫.VPN技术在院校资源共享中的设计与实现[J].长江技术经济,2020
[15]刘媛,姜川.SSL VPN在黄委网络安全中的应用和改进[J].人民黄河,2020.
附 录
附 录1:
ip dhcp pool 10
network 10.1.10.0 255.255.255.0
default-router 10.1.10.1
dns-server 10.1.100.254
ip dhcp pool 11
network 10.1.11.0 255.255.255.0
default-router 10.1.11.1
dns-server 10.1.100.254
ip dhcp pool 12
network 10.1.12.0 255.255.255.0
default-router 10.1.12.1
dns-server 10.1.100.254
ip dhcp pool 13
network 10.1.13.0 255.255.255.0
default-router 10.1.13.1
dns-server 10.1.100.254
ip dhcp pool 14
network 10.1.14.0 255.255.255.0
default-router 10.1.14.1
dns-server 10.1.100.254
ip dhcp pool 15
network 10.1.15.0 255.255.255.0
default-router 10.1.15.1
dns-server 10.1.100.254
ip dhcp pool 16
network 10.1.16.0 255.255.255.0
default-router 10.1.16.1
dns-server 10.1.100.254
ip dhcp pool 17
network 10.1.17.0 255.255.255.0
default-router 10.1.17.1
dns-server 10.1.100.254
ip dhcp pool 18
network 10.1.18.0 255.255.255.0
default-router 10.1.18.1
dns-server 10.1.100.254
interface FastEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk
interface FastEthernet0/2
switchport trunk encapsulation dot1q
switchport mode trunk
interface FastEthernet0/3
switchport trunk encapsulation dot1q
switchport mode trunk
interface FastEthernet0/4
no switchport
ip address 172.16.1.1 255.255.255.0
ip access-group 110 in
duplex auto
speed auto
interface FastEthernet0/5
switchport access vlan 100
interface Vlan10
mac-address 0001.6400.ba01
ip address 10.1.10.1 255.255.255.0
ip access-group 101 in
interface Vlan11
mac-address 0001.6400.ba02
ip address 10.1.11.1 255.255.255.0
ip access-group 101 in
interface Vlan12
mac-address 0001.6400.ba03
ip address 10.1.12.1 255.255.255.0
ip access-group 101 in
interface Vlan13
mac-address 0001.6400.ba04
ip address 10.1.13.1 255.255.255.0
ip access-group 100 in
interface Vlan14
mac-address 0001.6400.ba05
ip address 10.1.14.1 255.255.255.0
ip access-group 100 in
interface Vlan15
mac-address 0001.6400.ba06
ip address 10.1.15.1 255.255.255.0
ip access-group 100 in
interface Vlan16
mac-address 0001.6400.ba07
ip address 10.1.16.1 255.255.255.0
interface Vlan17
mac-address 0001.6400.ba08
ip address 10.1.17.1 255.255.255.0
interface Vlan18
mac-address 0001.6400.ba09
ip address 10.1.18.1 255.255.255.0
interface Vlan100
mac-address 0001.6400.ba0a
ip address 10.1.100.1 255.255.255.0
router ospf 1
log-adjacency-changes
network 10.1.0.0 0.0.255.255 area 0
network 172.16.0.0 0.0.255.255 area 0
access-list 101 permit ip any host 10.1.100.254
access-list 101 deny ip 10.1.10.0 0.0.0.255 10.1.100.0 0.0.0.255
access-list 101 deny ip 10.1.11.0 0.0.0.255 10.1.100.0 0.0.0.255
access-list 101 deny ip 10.1.12.0 0.0.0.255 10.1.100.0 0.0.0.255
access-list 101 permit ip any any
access-list 100 permit ip any host 10.1.100.254
access-list 100 permit ip 10.1.13.0 0.0.0.255 host 10.1.100.253
access-list 100 permit ip 10.1.14.0 0.0.0.255 host 10.1.100.252
access-list 100 permit ip 10.1.15.0 0.0.0.255 host 10.1.100.251
access-list 100 deny ip any 10.1.100.0 0.0.0.255
access-list 100 permit ip any any
access-list 110 permit ip 172.17.0.0 0.0.255.255 10.1.14.0 0.0.0.255
access-list 110 permit ip 172.18.0.0 0.0.255.255 10.1.15.0 0.0.0.255
access-list 110 permit ip 172.17.0.0 0.0.255.255 host 10.1.100.252
access-list 110 permit ip 172.18.0.0 0.0.255.255 10.1.100.0 0.0.0.255
access-list 110 deny ip 172.17.0.0 0.0.255.255 any
access-list 110 deny ip 172.18.0.0 0.0.255.255 any
access-list 110 permit ip any any
路由器源代码:
aaa authentication login 1 local
aaa authorization network 2 local
aaa authorization network vpn1 local
aaa authorization network 1 local
username vpn password 0 vpn
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp client configuration group vpn
key vpn
pool pool1
crypto isakmp client configuration group vpn1
key vpn
pool pool2
crypto ipsec transform-set lan esp-3des esp-md5-hmac
crypto dynamic-map map 10
set transform-set lan
reverse-route
crypto map map client authentication list 1
crypto map map isakmp authorization list 1
crypto map map client configuration address respond
crypto map map 10 ipsec-isakmp dynamic map
interface FastEthernet0/0
ip address 172.16.1.2 255.255.255.0
ip nat inside
duplex auto
speed auto
interface Serial0/0/0
ip address 211.192.45.1 255.255.255.0
ip nat outside
crypto map map
router ospf 1
log-adjacency-changes
network 172.16.0.0 0.0.255.255 area 0
default-information originate
ip local pool pool1 172.17.1.100 172.17.1.200
ip local pool pool2 172.18.1.100 172.18.1.200
ip nat inside source list 1 interface Serial0/0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 211.192.45.2
access-list 1 permit any
汇聚交换机1源代码:
interface FastEthernet0/1
switchport mode trunk
interface FastEthernet0/2
switchport access vlan 10
interface FastEthernet0/3
switchport access vlan 11
interface FastEthernet0/4
switchport access vlan 12
汇聚交换机2源代码:
interface FastEthernet0/1
switchport mode trunk
interface FastEthernet0/2
switchport access vlan 13
interface FastEthernet0/3
switchport access vlan 14
interface FastEthernet0/4
switchport access vlan 15
汇聚交换机3源代码:
interface FastEthernet0/1
switchport mode trunk
interface FastEthernet0/2
switchport access vlan 16
interface FastEthernet0/3
switchport access vlan 17
interface FastEthernet0/4
switchport access vlan 18