构建网络的目的：就是为了相互之间能够通信，而通信的目的就是为了传达信息。（信息传达和信息接收的安全性。） 企业网络的目的：是作为企业业务的支撑平台，是企业的信息中枢。

网络中常见的协议：

静态路由通常手工配置，网络发生故障时需要管理员手动修改，动态路由协议可以在由其他路可达目的主机的前题下自动学习路由，绕过故障节点。

一、内部网关协议： 内部网关协议(IGP：Interior Gateway Protocol)，适用于单个ISP的统一路由协议的运行，一般由一个ISP运营的网络位于一个AS（自治系统）内，有统一的AS number（自治系统号），用来处理内部路由。

RIP、IGRP（Cisco私有协议）、EIGRP（Cisco私有协议）、OSPF、IS-IS等都是内部网关协议。

1、RIP（Routing Information Protocol）：路由信息协议。 是一种比较简单的内部网关协议，主要用于规模较小的网络，比如校园网以及结构较简单的地区性网络。对于更为复杂的环境和大型网络，一般不使用RIP。 RIP是一种基于距离矢量（Distance-Vector）算法的协议，它通过UDP报文进行路由信息的交换，使用的端口号为520。其使用跳数来衡量到达目的地址的距离，为了限制收敛时间，RIP规定度量值（该值等于从本网络到达目的网络间的路由器数量）为0到15之间的整数，大于等于16的跳数将会定义为网络或主机不可达，因此RIP不适合大型网络。 RIP有两个版本：RIP V1（有类别路由协议）和RIP V2（无分类路由协议）。

2、IGRP（Interior Gateway Routing Protool）：内部网关路由协议。 属于Cisco的私有协议，最大跳数默认为100，现已被Cisco独立开发的EIGRP协议取代。

3、OSPF（Open Shortest Path First）：开放式最短路径优先协议。 属于链路状态路由协议，OSPF提出了“区域（area）”的概念，每个区域中所有路由器维护着一个相同的链路状态数据库 （LSDB），其使用链路状态数据库，通过最短生成树算法（SPF算法）计算得到路由表，因此其收敛速度较快。目前OSPF协议在各种网络中广泛部署，目前针对IPv4协议使用的是OSPF Version 2（RFC2328）；针对IPv6协议使用OSPF Version 3（RFC2740）。

4、IS-IS（Intermediate System-to-Intermediate System）：中间系统到中间系统路由协议。 属于链路状态路由协议。与OSPF协议相似，其使用最短路径优先SPF（Shortest Path First）算法进行路由计算。

二、域间路由协议 BGP(Border Gateway Protocol)：边界网关协议。 为了维护各个ISP的独立利益，标准化组织制定了ISP间的路由协议BGP，其用来处理各ISP之间的路由传递。 与内部网关协议不同的是，其不在于发现和计算路由，而在于控制路由的传播和选择最佳路由。

传统的网络层次结构是OSI七层模型，但在现实中采用的是TCP/IP协议。 （一）OSI七层模型 （1）物理层 设备之间原始数据传输，数据格式比特流。 （2）数据链路层 将原始比特流转换成逻辑传输数据，mac地址寻址，数据格式帧。 （3）网络层 最复杂的一层，通信子网最高层。通过路由算法提供最佳传输路径。数据格式IP数据包。 数据链路层解决同一网络节点间数据传输，网络层解决不同子网间通信。 （4）传输层 拆分数据包，提供端对端不同主机用户进程间传输数据，提供可靠或不可靠传输及流量控制，是连接通信子网和资源子网的桥梁。数据格式TCP数据包。 （5）会话层 不同机器用户间建立或解除会话关系。 （6）表示层 数据的表示方式（格式处理及编码转换）及特定功能实现（加解密、解压缩等）。 （7）应用层 向用户提供服务，完成用户在网络上想完成的工作。如上网、发邮件、下载ftp等。

（1）链路层 包括物理层和数据链路层链路层是通过mac地址传输数据的。 （2）网络层 包括多种协议。 IP协议：通过路由选择将数据封装后交给链路层。 ICMP协议：用于主机和路由器直接传递控制消息，常用的ping就是用这个协议。 ARP协议：是正向地址解析协议，通过IP查找mac地址。 RARP协议：是反向地址解析协议，通过mac地址查找IP。 （3）传输层 TCP协议：传输控制协议，面向连接的、可靠的、基于IP的传输层协议。 UDP协议：用户数据报协议，提供面向事务的简单不可靠信息传送协议。 （4）应用层 FTP协议：文件传输协议，用于文件的上传下载。 Telnet协议：用户远程登录服务。 DNS协议：域名解析协议，提供域名到IP的解析。 SMTP协议：简单的邮件传送协议，用于控制信件的发送中转。 NFS协议：网络文件系统，用于不同主机间文件共享。 HTTP协议：超文本传输协议，用于实现互联网访问功能。

模型结构：

网络拓扑结构类型：

3.环形拓扑 各结点通过通信线路组成闭合回路，环中数据只能单向传输。 优点：结构简单、容易实现，适合使用光纤，传输距离远，传输延迟确定。 缺点：环网中的每个结点均成为网络可靠性的瓶颈，任意结点出现故障都会造成网络瘫痪，另外故障诊断也较困难。最著名的环形拓扑结构网络是令牌环网（Token Ring）

5.网状拓扑 又称作无规则结构，结点之间的联结是任意的，没有规律。 优点：系统可靠性高，比较容易扩展，但是结构复杂，每一结点都与多点进行连结，因此必须采用路由算法和流量控制方法。目前广域网基本上采用网状拓扑结构。 缺点：由于结点也多个结点连接，故结点的路由选择由选择和流量控制难度大，管理软件复杂，硬件成本高。 广域网与局域网所使用的网络拓扑结构有所不同。广域网多采用分布式或树型结构，局域网常用总线型、环型、星型或树型结构

网络设计的基本原则 可靠性：要求网络在发生一定的故障时，仍然能够保证承载的业务不中断 可扩展性：要求网络能够支持不断增加的业务量。 可运营性：保证网络的运行和维护 可管理性：要求网络提供标准的管理手段，便于监控和维护 成本问题：综合考虑，选择性价比高的网络设计方案。

模块化设计原则：根据所承载的功能区域来划分不同的模块； 层次化设计原则：根据企业需求设计网络，选用二层，三层网络模型； 性价比： 高性能： 可靠性： 安全性：

层次化设计的优点： 节约成本、容易理解、有利于模块化、有利于故障隔离； 模块化设计优点： 将一个企业网络按照功能的不同，分为了不同的模块，不同的模块有不同的需求和特点； 每一个模块相对独立，可以单独构建这个模块里面需要的一些结构，模块之间相互没有影响； 便于扩容、管理，不同模块有不同的安全策略； DMZ：非军事区域（官方称呼），互联网服务区或者互联网隔离区（民间称呼）；

模块的安全等级： 安全等级由低到高： 陌生访客–>分支机构–>DMZ–>数据中心/服务器群–>管理中心； 分支机构一般有固定的地址； 管理中心存储着高权限的账号，一旦被入侵，对整个网络危害最大；

自上而下的设计思路和自下而上的设计思路

根据场景设计合适的方案

三层网络架构：接入层–>汇聚层–>核心层； 适用场景–通常用于大型网络的构建，需要通过IP路由实现跨网段的通讯；

二层网络架构：接入层–>汇聚层或者核心层； 它的组网能力是非常有限的，一般用于中小型局域网；

一般企业网络使用三层网络结构：

企业网络的经典结构就是基于安全域的网络结构，一般包括企业数据中心，企业办公内网，DMZ区，广域网和Internet几个部分。

企业网络各个区域之间通信受到限制，区域内部通信多不进行限制。

为了保障企业的信息安全，我们应该从哪几个方面入手？

1、终端计算机

2、互联网出入口

3、广域网出入口

4、公司对外发布服务的DMZ服务器

5、VPN和类似远程连接设备。

上述五个方面，基本涵盖了公司网络边界的几个方面。

对公司网络边界进行防护，仅仅是做好公司信息安全防护工作的第一步。

那么接下来我们应该考虑什么呢？

当然是如果上述五个方面被黑客攻陷了，那么我们还拿什么进行防护？

这就涉及到了黑客攻击的几个步骤，黑客提权或者拿到设备权限之后，第一件事就是想知道我们的内网是什么样子的。

那么，他们一定会进行内网扫描。而网络扫描这种事情，又是一种特征非常明显的网络攻击行为，非常易于识别。

这就要求我们企业安全管理人员要重点关注内网扫描，做好被攻击后的进一步防护工作。

由于上述5个方面易于被黑客攻陷，易于产生信息安全问题，那么我们就不能让这些区域可直接访问我们的核心资源。因此，需要进行安全域划分。同时，我们也要在各个高风险安全域的核心交换机上部署IDS，做好网络安全监控，并且在安全域出入口处部署防火墙，针对IDS产生的报警及时切断相关网络访问路径，保障损失的最小化。

于是，企业网络安全的基本中的基本要求就是根据面临的风险，划分安全域，在安全域之间部署防火墙，在每个安全域内部署IDS。这也是我个人理解的网络安全域划分的本质安全需要。

1 . 规划 组织策略：考虑公司的组织架构，就是公司有哪些部门。

2 . 简要的网络设计方案。

3 . 详细设计的网络方案

4 . 实施：根据需求规划网络

5 . 运营：

这些指标达到一定的预警范围，我们就需要对它进行处理（80-85%）。 考虑是否进行扩容， 可用性、可靠性、安全性

6 . 提升：

用户需求：即企业需求（这里的用户指的就是企业）；

IT应用：实际上就是将给我们的业务需求转换成我们的技术需求。（主要是由架构师和售前做的）；

如何分析用户需求：