路由交換方向畢業(yè)論文

1、<p><b>　　?？粕厴I(yè)設(shè)計 </b></p><p>　　網(wǎng) 絡 工 程 </p><p><b>　　路由交換方向</b></p><p>　　院 系　 </p><p>　　專 業(yè)　計算機網(wǎng)絡技術(shù) 　 </p&

2、gt;<p>　　班 級　 計算機網(wǎng)絡技術(shù)二班 </p><p><b>　　摘 要</b></p><p>　　當今信息時代，科技迅猛發(fā)展，知識更新越來越快，隨著技術(shù)的進步和經(jīng)濟的發(fā)展，人類社會總是在不斷地發(fā)生著巨大的變化。我們正邁向一個嶄新的信息時代。為了適應形勢的發(fā)展和工作業(yè)務的需要，我國的各行各業(yè)都在積極地籌建或擴建各類信息網(wǎng)絡

3、系統(tǒng)，這標志著我國的信息化社會建設(shè)步入了一個新的時期和起點。這也是社會的發(fā)展對各行各業(yè)提出的新的要求和挑戰(zhàn)。企業(yè)為適應新的業(yè)務發(fā)展需要，結(jié)合辦公樓圖紙，旨在實現(xiàn)辦公樓信息管理系統(tǒng)現(xiàn)代化；網(wǎng)絡化；綜合性和多功能，因此，本畢業(yè)設(shè)計課題將主要以中小型企業(yè)為基準組建中小企業(yè)局域網(wǎng)絡建設(shè)可能用到的各種技術(shù)及實施方案為設(shè)計方向，為中小企業(yè)網(wǎng)絡建設(shè)提供理論依據(jù)和實踐指導。</p><p>　　全套課題共分11章，主要解決企業(yè)局

4、域網(wǎng)內(nèi)部以及企業(yè)局域網(wǎng)之間的安全高效互聯(lián)，及路由、交換技術(shù)。</p><p>　　關(guān)鍵詞：局域網(wǎng)絡開發(fā)建設(shè)；VPN安全機制；路由、交換技術(shù)；網(wǎng)絡安全技術(shù)；系統(tǒng)操作管理；</p><p><b>　　ABSTRACT</b></p><p>　　Current information times, science and technology,

5、rapid development, knowledge update more and more quickly, as technology progress and economic development, human society has always are constantly having huge changes. We are towards a new era of information. In order t

6、o adapt to the development of the situation and the needs of business, our industries are actively planning or expansion of all kinds of information network system in China, which marks the construction of information so

7、ciety int</p><p>　　Full subject is divided into chapter 11, mainly to solve enterprise LAN internal and enterprise LAN security and efficiency between interconnected, and routing, exchange technology.</p&

8、gt;<p>　　Keywords: local area network development and construction; VPN security mechanism; Routing, exchange technology; Network security technology; System operation management;</p><p><b>　　目

9、 錄</b></p><p>　　第1章 引 言1</p><p>　　第2章 需求分析2</p><p>　　2.1 項目背景2</p><p>　　2.2 需求分析2</p><p>　　第3章 網(wǎng)絡總體建設(shè)目標3</p><p>　　3.1 項目建設(shè)目標3

10、</p><p>　　3.2網(wǎng)絡設(shè)計原則3</p><p>　　3.3網(wǎng)絡及系統(tǒng)建設(shè)內(nèi)容與要求3</p><p>　　第4章 網(wǎng)絡總體設(shè)計5</p><p><b>　　4.1背景5</b></p><p>　　4.2 預見網(wǎng)絡拓撲描述5</p><p>　　4

11、.2.1 全局拓撲圖5</p><p>　　4.2.2 總部拓撲圖5</p><p>　　4.2.3 分部拓撲圖6</p><p>　　4.3 網(wǎng)絡層次化設(shè)計6</p><p>　　4.3.1 核心層設(shè)計7</p><p>　　4.3.2 匯聚層設(shè)計7</p><p>　　4.3.3

12、 接入層設(shè)計7</p><p>　　第5章 路由交換設(shè)計8</p><p>　　5.1 路由協(xié)議選擇8</p><p>　　5.2 路由規(guī)劃拓撲圖8</p><p>　　5.3 IP地址規(guī)劃9</p><p>　　5.3.1總部IP地址規(guī)劃：9</p><p>　　5.3.2分部I

13、P地址規(guī)劃：10</p><p>　　第6章 網(wǎng)絡安全解決方案11</p><p>　　6.1 網(wǎng)絡邊界安全威脅分析11</p><p>　　6.2 網(wǎng)絡內(nèi)部安全威脅分析11</p><p>　　6.3 安全產(chǎn)品選型原則12</p><p>　　第7章 網(wǎng)絡技術(shù)介紹12</p><p

14、>　　7.1 VLAN技術(shù)：12</p><p>　　7.1.1使用VLAN技術(shù)的優(yōu)勢：12</p><p>　　7.1.2 VLAN劃分12</p><p>　　7.2 VTP技術(shù)：13</p><p>　　7.2.1 VTP有三種工作模式：VTPServer、VTPClient和VTPTransparent。13</

15、p><p>　　7.2.2使用VTP技術(shù)的優(yōu)勢：13</p><p>　　7.3 STP生成樹協(xié)議：13</p><p>　　7.3.1使用STP協(xié)議的優(yōu)勢：14</p><p>　　7.4 EthernetChannel：14</p><p>　　7.4.1以太通道的特點：14</p><p

16、>　　7.4.2 使用Etherchannel的優(yōu)勢：14</p><p>　　7.4.3以太通道的特點：14</p><p>　　7.4.4 以太通道的規(guī)則：參與捆綁的端口必須屬于同一個VLAN，或者都是中繼模式15</p><p>　　7.5 Trunk技術(shù)15</p><p>　　7.6 HSRP路由熱備份：15<

17、/p><p>　　7.6.1 使用HSRP的優(yōu)勢：15</p><p>　　7.7 DHCP：16</p><p>　　7.8 VPN技術(shù)：16</p><p>　　7.8.1 Site-to-Site VPN16</p><p>　　7.8.2 Easy VPN17</p><p>　　

18、7.9 QOS技術(shù)：17</p><p>　　7.9.1 QOS的服務模型有三種常見模式：17</p><p>　　7.10 NAT技術(shù)：17</p><p>　　7.10.1 NAT的類型有：17</p><p>　　7.10.2使用靜態(tài)NAT技術(shù)到的優(yōu)勢：17</p><p>　　7.11 ACL訪問控制

19、列表18</p><p>　　7.11.1 ACL的分類：18</p><p>　　7.11.2 ACL的特點：19</p><p>　　7.12 IOS防火墻:19</p><p>　　7.13 OSPF協(xié)議19</p><p>　　7.13.1 OSPF協(xié)議的優(yōu)點：20</p><p

20、>　　7.13.2 OSPF的網(wǎng)絡類型21</p><p>　　第8章 設(shè)備簡介22</p><p>　　8.1 路由器22</p><p>　　8.2 交換機23</p><p>　　8.2.1 三層交換機23</p><p>　　8.2.2二層交換機：24</p><p>

21、;　　8.3 服務器25</p><p>　　8.3.1聯(lián)想萬全R52025</p><p>　　8.3.2惠普ProLiant26</p><p>　　8.4 備份緩存：27</p><p>　　8.5 UPS電源：28</p><p>　　8.6 PC機：28</p><p>　

22、　8.7 筆記本電腦：29</p><p>　　8.8 打印機：30</p><p>　　8.9 傳真機：30</p><p>　　8.10 IP電話：31</p><p>　　8.11 煙霧防火報警器：32</p><p>　　8.12 網(wǎng)絡硬盤錄像機：32</p><p>　　8

23、.13 監(jiān)視器：33</p><p>　　8.14 監(jiān)控攝像：33</p><p>　　8.15 集團電話：34</p><p>　　第9章 服務器設(shè)計36</p><p>　　9.1 DNS服務器36</p><p>　　9.2 Apache 服務器36</p><p>　　9.

24、3 Sendmail 服務器37</p><p>　　9.4 FTP服務器38</p><p>　　9.5 DHCP服務器38</p><p>　　第10章 項目實施計劃39</p><p>　　10.1 項目實施計劃和周期39</p><p>　　10.1.1項目實施計劃：39</p>&

25、lt;p>　　10.1．2基本環(huán)境要求40</p><p>　　10.1.3 我方人員行為規(guī)范40</p><p>　　10.1.4 工程合格規(guī)范40</p><p>　　10.2 售后服務40</p><p>　　10.2.1售后服務細則：40</p><p>　　10.2.2售后服務工作的劃歸41

26、</p><p>　　10.2.3售后服務的管理人員的資格41</p><p>　　10.2.4資料存檔41</p><p>　　10.2.5建立聯(lián)系制度41</p><p>　　10.2.6建立定期檢查和回訪制度，制定回訪聯(lián)系單41</p><p>　　結(jié) 束 語42</p><p&

27、gt;　　參 考 文 獻43</p><p><b>　　致 謝44</b></p><p><b>　　引 言</b></p><p>　　隨著全球性的計算機互聯(lián)網(wǎng)絡的迅速發(fā)展和普及，越來越多的企業(yè)都認識到網(wǎng)絡改變了整個信息產(chǎn)業(yè)的面貌，改變了整個經(jīng)濟體制結(jié)構(gòu)的變化，也從根本上加強促進了群體工作成員之間的信

28、息交流、資源共享、科學計算及技術(shù)合作等，進而推進了教育、科研及經(jīng)濟生產(chǎn)的發(fā)展。隨之網(wǎng)絡技術(shù)及網(wǎng)絡互聯(lián)平臺也在企業(yè)的殘酷競爭中脫穎而出，計算機網(wǎng)絡規(guī)模不斷擴大，網(wǎng)絡結(jié)構(gòu)日益復雜，計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。信息安全防范應作整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)、數(shù)據(jù)做全面的防范。信息安全防范體系顯示安全防范是一個動態(tài)過程，事前、事中和事后的技術(shù)手段應當完備，安全管理應貫穿安全防

29、范活動的始終。</p><p>　　XX公司是一家即將成立的新型的制造企業(yè)，在企業(yè)內(nèi)部實現(xiàn)資源高度共享，為生產(chǎn)、辦公、管理提供服；實現(xiàn)辦公自動化，提供總部與分部、分部、與分部之間通迅的出入口，提高工作效率和管理水平；及時、準確、可靠地收集、處理、存儲、傳輸企業(yè)的辦公、管理信息，實現(xiàn)企業(yè)資源和社會資源的有機結(jié)合；實現(xiàn)音頻數(shù)字化資源共享、集中管理；建立企業(yè)網(wǎng)絡管理應用系統(tǒng)。以順應時代的發(fā)展趨勢，充分利用現(xiàn)代化技術(shù)來進

30、一步提高管理質(zhì)量和辦公效率。</p><p><b>　　需求分析</b></p><p><b>　　2.1 項目背景</b></p><p>　　XX公司是一家即將成立的新型制造工廠，網(wǎng)絡平臺建設(shè)為總部和五個外設(shè)分部共六個網(wǎng)絡互聯(lián)平臺建設(shè)?？偛吭O(shè)計用戶節(jié)點數(shù)為1000，各個分部地為10-50個用戶。需要“建立一個設(shè)計規(guī)

31、范、功能完備、性能優(yōu)良、安全可靠、技術(shù)先進和實用性、兼容性、冗余、容錯性、有良好的擴展性與可用性并且具備可管理易維護的網(wǎng)絡及系統(tǒng)平臺，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率”。</p><p><b>　　2.2 需求分析</b></p><p>　　本項目的網(wǎng)絡可以劃分成XX公司總部為數(shù)據(jù)中心，及5個分部網(wǎng)絡。需要設(shè)計網(wǎng)絡架構(gòu)、IP地址架構(gòu)、

32、系統(tǒng)架構(gòu)。</p><p>　　其中，XX公司總部為數(shù)據(jù)中心，核心交換區(qū)，交易所接入等。數(shù)據(jù)中心作為網(wǎng)絡互通的存放地，其性能、穩(wěn)定性、安全性，、可靠性的要求最高，因此我們在設(shè)計的時候，應該考慮到這些要求。而核心交換區(qū)的功能是高速可靠地交換數(shù)據(jù)，因此該部分的設(shè)計應考慮性能和可靠性的平衡。交易所接入作為外聯(lián)單位接入?yún)^(qū)域，其安全性應該是放在第一位，同時，網(wǎng)絡互通離不開交易所的連接，因此也應該考慮冗余性。</p&g

33、t;<p>　　XX公司總部辦公網(wǎng)絡作為內(nèi)部互聯(lián)單位，可信度較高，用WEB、FTP、E-MAIL、DNS、DHCP等內(nèi)部服務器為員工提供內(nèi)部信息，外部使用RAS服務器提供漫游員工所使用的信息。對于有些部門還要屏蔽一些網(wǎng)絡訪問（如聊天工具、種菜站點）等。因此其內(nèi)部網(wǎng)絡的可用性是首先考慮的因素。考慮到網(wǎng)絡的安全性和可靠性，分部所需求的信息，都是由總部發(fā)起的。分部訪問外網(wǎng)和總部采用VPN技術(shù)，通過VPN隧道保證傳送信息的安全。&

34、lt;/p><p>　　而XX公司總部與外網(wǎng)連接的，需要考慮其可訪問性。INTERNET用戶接入，需要考慮安全性和冗余性。當前的網(wǎng)絡管理范疇比較廣，包括設(shè)備管理、資源管理、故障管理、性能管理、安全管理等。在網(wǎng)絡規(guī)模相對較大的時候，合適的網(wǎng)絡系統(tǒng)可以幫助用戶方便管理網(wǎng)絡內(nèi)的設(shè)備及運行情況，以提高網(wǎng)絡的運行效率。</p><p><b>　　網(wǎng)絡總體建設(shè)目標</b></

35、p><p>　　3.1 項目建設(shè)目標</p><p>　　XX公司網(wǎng)絡項目工程的建設(shè)目標：</p><p>　　建立一個設(shè)計規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴展性與可用性并且具備可管理易維護的網(wǎng)絡及系統(tǒng)平臺，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率。</p><p>　　工程項目完成后，網(wǎng)絡平臺總部內(nèi)有大型服務器

36、提供服務，外接分支機構(gòu)網(wǎng)絡平臺的設(shè)計用戶節(jié)點數(shù)，要求這些用戶和總部之間 能夠 高速連接并且保證與總部通信的可靠性和可行性。</p><p>　　同時要求總部內(nèi)部安全機制能夠提高。保證內(nèi)網(wǎng)安全同時保證各臺服務器的安全。</p><p><b>　　3.2網(wǎng)絡設(shè)計原則</b></p><p>　　作為一家優(yōu)秀的系統(tǒng)集成商，向用戶提供的不僅僅是設(shè)備，

37、而是整套的技術(shù)與服務。我們始終堅持“高標準，高性能”的原則。在方案設(shè)計時，我們將嚴格遵循以下設(shè)計原則：</p><p>　　高可靠性----網(wǎng)絡系統(tǒng)的穩(wěn)定性是應用系統(tǒng)正常運行的關(guān)鍵保證，在網(wǎng)絡設(shè)計中選用高可靠性網(wǎng)絡產(chǎn)品，合理設(shè)計網(wǎng)絡結(jié)構(gòu)，制定可靠地網(wǎng)絡備份策略，保證網(wǎng)絡具有故障自愈的能力，最大限制地支持各個系統(tǒng)的正常運行。</p><p>　　靈活性及可擴展性-----根據(jù)未來業(yè)務的增長和

38、變化，網(wǎng)絡可以平滑地擴展和升級，最大限制地減少對網(wǎng)絡架構(gòu)和設(shè)備的調(diào)整。</p><p>　　高性能-----承載網(wǎng)絡性能是網(wǎng)絡通訊系統(tǒng)良好運行的基礎(chǔ)，設(shè)計中心必須保障網(wǎng)絡及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)，語音，圖像）的高質(zhì)量傳輸，才能使網(wǎng)絡不成為各項業(yè)務開展的瓶頸。</p><p>　　性價比高----網(wǎng)絡方案的設(shè)計必須充分考慮投資保護。</p><p>　　

39、3.3網(wǎng)絡及系統(tǒng)建設(shè)內(nèi)容與要求</p><p>　　我們把整個網(wǎng)絡分為內(nèi)部交換網(wǎng)絡設(shè)計、網(wǎng)絡出口設(shè)計，網(wǎng)絡安全設(shè)計三大部分：</p><p>　　對于內(nèi)部交換網(wǎng)絡我們采用傳統(tǒng)分層設(shè)計。內(nèi)部交換網(wǎng)絡分成核心層、匯聚層和接入層三大部分。</p><p>　　核心層作為整個網(wǎng)絡系統(tǒng)的核心，其主要功能是高速、可靠的進行數(shù)據(jù)交換。為加速數(shù)據(jù)的快速轉(zhuǎn)發(fā)，我們在核心層采用以太通道

40、技術(shù)，增加網(wǎng)絡帶寬，提高數(shù)據(jù)轉(zhuǎn)發(fā)效率。為提高網(wǎng)絡鏈路的冗余性，解決局域網(wǎng)中的網(wǎng)絡中斷問題，采用HSRP路由熱備份技術(shù)進行熱備，STP技術(shù)，保證鏈路的冗余性等，使用VLAN技術(shù)進行虛擬局域網(wǎng)的劃分，保證網(wǎng)絡的高效。</p><p>　　匯聚層為接入層提供基于策略的連接,如地址合并,協(xié)議過濾,路由服務,認證管理等.通過網(wǎng)段劃分(如VLAN)與網(wǎng)絡隔離可以防止某些網(wǎng)段的問題蔓延和影響到核心層。匯聚層同時也可以提供接入層

41、虛擬網(wǎng)之間的互連,控制和限制接入層對核心層的訪問,保證核心層的安全和穩(wěn)定，因此在匯聚層使用VALN技術(shù)進行虛擬局域網(wǎng)的劃分，為了保證鏈路的冗余性采用STP技術(shù)。</p><p>　　接入層主要提供最終用戶接入網(wǎng)絡的途徑。主要進行vlan的劃分等。</p><p>　　對于邊界網(wǎng)絡，網(wǎng)絡的安全是一個需要考慮的重要因素，所以應部署相應的安全策略以防止黑客攻擊，邊界設(shè)備的冗余設(shè)計也是需要考慮的，

42、防止單點故障。因此，除了在選擇設(shè)備是考慮安全機制因素外，還在總部與分部間使用VPN技術(shù)，來保障局域網(wǎng)與局域網(wǎng)之間互訪的可靠性和高效性。</p><p>　　對于服務器，采用Raid5磁盤陣列，數(shù)據(jù)除第一次用完全備份后，以后每天做增量備份，備份的的服務器或設(shè)備單獨放置其他全安地點。</p><p><b>　　網(wǎng)絡總體設(shè)計</b></p><p>

43、;<b>　　4.1背景</b></p><p>　　XX公司是一家即將成立的新型制造工廠，網(wǎng)絡平臺建設(shè)為總部和五個外設(shè)分部共六個網(wǎng)絡互聯(lián)平臺建設(shè)?？偛吭O(shè)計用戶節(jié)點數(shù)為1000，各個分部地為10-50個用戶。需要“建立一個設(shè)計規(guī)范、功能完備、性能優(yōu)良、安全可靠、技術(shù)先進和實用性、兼容性、冗余、容錯性、有良好的擴展性與可用性并且具備可管理易維護的網(wǎng)絡及系統(tǒng)平臺，以高效率，高速度，低成本的方式提

44、高公司員工的工作效率與執(zhí)行效率”。</p><p>　　4.2 預見網(wǎng)絡拓撲描述</p><p>　　4.2.1 全局拓撲圖</p><p>　　4.2.2 總部拓撲圖</p><p>　　4.2.3 分部拓撲圖</p><p>　　4.3 網(wǎng)絡層次化設(shè)計</p><p>　　根據(jù)XX公司的實際

45、情況，我們把整個網(wǎng)絡分為局域網(wǎng)絡設(shè)計、網(wǎng)絡安全設(shè)計和Internet網(wǎng)絡互聯(lián)設(shè)計幾大部分。在局域網(wǎng)絡設(shè)計中采取分層網(wǎng)絡設(shè)計。其分層網(wǎng)絡主要包括核心層、分布層和接入層三大部分。</p><p><b>　　核心層</b></p><p>　　核心層作為整個網(wǎng)絡系統(tǒng)的核心，其主要功能是高速、可靠的進行數(shù)據(jù)交換。所以在設(shè)計時首要目標是追求高速，其次才考慮系統(tǒng)開銷較大的功能。

46、</p><p><b>　　分布層</b></p><p>　　分布層主要進行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進行訪問控制。同時，分布層是核心層的邊界，它將影響核心層高速的因素局限在一個較小的范圍，處理工作組訪問，定義廣播/組播域等。</p><p><b>　　接入層</b></p><p>

47、　　接入層主要提供最終用戶接入網(wǎng)絡的途徑。主要是進行vlan的劃分、與分布層的連接等</p><p>　　4.3.1 核心層設(shè)計</p><p>　　核心交換區(qū)的作用是盡快地提供所有區(qū)域的數(shù)據(jù)交換。因此我們推薦核心層采用兩臺Cisco WS-C3560G-24TS-S三層千兆交換機，以實現(xiàn)路由熱備、鏈路聚合、冗余和負載均衡以及實現(xiàn)VLAN技術(shù)。</p><p>　　

48、4.3.2 匯聚層設(shè)計</p><p>　　匯聚層是連接接入層和核心層的網(wǎng)絡設(shè)備，為接入層提供數(shù)據(jù)的匯聚、傳輸、管理、分發(fā)處理.匯聚層為接入層提供基于策略的連接，如地址合并，協(xié)議過濾，路由服務。認證管理等.通過網(wǎng)段劃分(如VLAN)與網(wǎng)絡隔離可以防止某些網(wǎng)段的問題蔓延和影響到核心層。匯聚層同時也可以提供接入層虛擬網(wǎng)之間的互連,控制和限制接入層對核心層的訪問,保證核心層的安全和穩(wěn)定。因此在這項設(shè)計中我們將采用Cis

49、co Catalyst 2950T-24作為匯聚層的交換機，用于實現(xiàn)VLAN技術(shù)劃分多個虛擬局域網(wǎng)，保障網(wǎng)絡的高效；實現(xiàn)STP技術(shù)在達到交換機間的冗余連接的同時，避免網(wǎng)絡環(huán)路的出現(xiàn)；實現(xiàn)VTP技術(shù)防止不需要的廣播信息從一個VLAN泛洪到VTP域中所有的中繼鏈路。</p><p>　　4.3.3 接入層設(shè)計</p><p>　　接入層是指網(wǎng)絡中直接面向用戶連接或訪問的部分。接入層目的是允許終

50、端用戶連接到網(wǎng)絡，因此接入層交換機具有低成本和高端口密度特性。在本網(wǎng)絡中接入為各個分公司的交換機，因為分公司的所有數(shù)據(jù)流都必須經(jīng)過它來傳輸所以它同樣要求具備高穩(wěn)定性和高可靠性。根據(jù)XX公司總部與分部網(wǎng)絡節(jié)點數(shù)的實際情況，在XX公司總部局域網(wǎng)的設(shè)計中，接入層采用Cisco WS-C2960G-48TC-L交換機，而在各分部的局域網(wǎng)接入層中則采用Cisco WS-C2960-24TC-L交換機，VLAN技術(shù)劃分多個虛擬局域網(wǎng)，保障網(wǎng)絡的高效

51、；實現(xiàn)STP技術(shù)在達到交換機間的冗余連接的同時，避免網(wǎng)絡環(huán)路的出現(xiàn)；實現(xiàn)VTP技術(shù)防止不需要的廣播信息從一個VLAN泛洪到VTP域中所有的中繼鏈路。</p><p><b>　　路由交換設(shè)計</b></p><p>　　5.1 路由協(xié)議選擇</p><p>　　為了達到路由快速收斂、尋址以及方便網(wǎng)絡管理員管理的目的，我建議采用動態(tài)路由協(xié)議，目前

52、較好的動態(tài)路由協(xié)議是OSPF協(xié)議和EIGRP協(xié)議，OSPF以協(xié)議標準化強，支持廠家多，受到廣泛應用，而EIGRP協(xié)議由Cisco公司發(fā)明，只有Cisco公司自己的產(chǎn)品支持，屬于私有性質(zhì)，其他廠商設(shè)備不支持?？紤]網(wǎng)絡的擴展性、公開性、投資的保護等原因，建議采用OSPF路由協(xié)議和靜態(tài)路由相結(jié)合的路由方式。</p><p>　　給予OSPF協(xié)議的特質(zhì)，XX公司總部規(guī)劃為area0，內(nèi)部網(wǎng)絡設(shè)備都規(guī)劃為area0。各區(qū)域

53、接入路由器根據(jù)區(qū)域不同使用動態(tài)協(xié)議，或者靜態(tài)協(xié)議。各個分部分別規(guī)劃為area1-5區(qū)域。</p><p>　　5.2 路由規(guī)劃拓撲圖</p><p>　　5.3 IP地址規(guī)劃</p><p>　　IP地址規(guī)劃在網(wǎng)絡設(shè)計中的作用舉足輕重。直接影響整個網(wǎng)絡運營的效率。IP地址設(shè)計的總原則是簡單、易管理、以擴展。</p><p>　　IP地址是TC

54、P/IP協(xié)議中的網(wǎng)絡層邏輯地址，它被用來唯一地標識網(wǎng)絡中的一個節(jié)點。IP地址空間的分配，要與網(wǎng)絡層次結(jié)構(gòu)相適應，既要有效利用地址空間，又要體現(xiàn)出網(wǎng)絡的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。</p><p>　　5.3.1總部IP地址規(guī)劃：</p><p>　　5.3.2分部IP地址規(guī)劃：</p><p>　　其他分部

55、IP地址規(guī)劃方法同上。</p><p><b>　　網(wǎng)絡安全解決方案</b></p><p>　　通過對該項目的要求分析,我們在網(wǎng)絡安全方面主要考慮的問題如下:</p><p>　　1、必須考慮這個方案的安全性和穩(wěn)定性、可管理性和維護性，以及能夠滿足未來網(wǎng)絡發(fā)展的需要。</p><p>　　2、目前網(wǎng)絡地址（總部和分部）

56、已經(jīng)統(tǒng)一規(guī)劃，不能更改。VPN建設(shè)不能和原來的專線網(wǎng)絡建設(shè)發(fā)生沖突。</p><p>　　3、對于分部的網(wǎng)絡，采用路由器和VPN隧道技術(shù)，實現(xiàn)和總部網(wǎng)絡互通。</p><p>　　6.1 網(wǎng)絡邊界安全威脅分析</p><p>　　網(wǎng)絡的邊界隔離著不同功能或地域的多個網(wǎng)絡區(qū)域，由于各功能不同，相連網(wǎng)絡的密集也不同，這樣的網(wǎng)絡直接相連，必然存在危險，下面就是對該項目網(wǎng)絡

57、邊界安全問題的分析。</p><p>　　1、XX公司總部網(wǎng)絡與各級單元的連接，可能遭到來自各地的越權(quán)訪問、惡意攻擊和計算機病毒的入侵。</p><p>　　2、內(nèi)部的各個功能網(wǎng)絡通過骨干交換相互連接，這樣重要的部門或?qū)＞W(wǎng)將遭到來自其他部門的越權(quán)訪問。這些越權(quán)訪問可能包括惡意的攻擊、誤操作等，但后果都將導致重要信息泄漏或者網(wǎng)絡癱瘓。</p><p>　　6.2 網(wǎng)絡

58、內(nèi)部安全威脅分析</p><p>　　XX公司總部內(nèi)部及分部內(nèi)部網(wǎng)絡風險可能表現(xiàn)在以下幾個方面：</p><p>　　1、內(nèi)部用戶的非授權(quán)訪問?？偛績?nèi)部的資源并非對任何員工開放，也需有相應的訪問權(quán)限。內(nèi)部用戶的非授權(quán)訪問更容易造成資源和重要信息的泄漏。</p><p>　　2、內(nèi)部用戶的誤操作。由于內(nèi)部用戶的失誤操作也極容易給服務器和其他主機造成危害。</p&

59、gt;<p>　　3、內(nèi)部用戶的惡意攻擊。相對與外部攻擊來說，內(nèi)部攻擊更是容易，因此，對內(nèi)部用戶攻擊的防范也很重要。</p><p>　　4、設(shè)備自身安全性也會直接關(guān)系到網(wǎng)絡的正常運轉(zhuǎn)。</p><p>　　5、重要的服務器或操作系統(tǒng)自身存在安全的漏洞，也將會為網(wǎng)絡的安全帶來很多不安定的因素。</p><p>　　6.3 安全產(chǎn)品選型原則</p&

60、gt;<p>　　該項目的網(wǎng)絡屬于專用網(wǎng)絡，因此在安全產(chǎn)品的選型上應慎重，其選型的原則包括：</p><p>　　1、安保產(chǎn)品的接入不能明顯影響網(wǎng)絡系統(tǒng)的運行效率，并滿足工作需要，不影響正常工作。</p><p>　　2、安保產(chǎn)品必須通過國家主管部門指定的測評機構(gòu)的檢測。</p><p>　　3、安保產(chǎn)品必須具備自保能力。</p><

61、;p>　　4、安保產(chǎn)品必須符合國家和國際上的相關(guān)標準。</p><p>　　5、安保產(chǎn)品必須操作簡單易用，便于簡單部署和集中管理。</p><p><b>　　網(wǎng)絡技術(shù)介紹</b></p><p>　　7.1 VLAN技術(shù)：</p><p>　　VLAN（Virtual Local Area Network，虛擬局

62、域網(wǎng)）技術(shù)主要為了解決交換機在進行局域網(wǎng)互連時無法限制廣播的問題。可以把一個LAN劃分成多個邏輯Vlan，每個Vlan是一個廣播域，Vlan內(nèi)的主機間通信和在一個LAN內(nèi)一樣，而Vlan間則不能直接互通，這樣，廣播報文被限制在一個Vlan內(nèi)。</p><p>　　7.1.1使用VLAN技術(shù)的優(yōu)勢： </p><p>　　通過劃分VLAN子網(wǎng)，能劃小了廣播域，避免了廣播風暴的產(chǎn)生。提高交換

63、網(wǎng)絡的交換效率，保證網(wǎng)絡穩(wěn)定，提高網(wǎng)絡安全性，根據(jù)Ambow公司內(nèi)部網(wǎng)絡機構(gòu)的需求，采用VLAN技術(shù)來劃分企業(yè)網(wǎng)絡，一個VLAN可以將公司部門、項目組或者服務器組將不同地理位置的工作站劃分為一個邏輯網(wǎng)段。在不改動網(wǎng)絡物理連接的情況下可以任意地將工作站在子網(wǎng)之間移動，VLAN提供了網(wǎng)段和機構(gòu)的彈性組合機制，VLAN技術(shù)很好的解決了網(wǎng)絡管理的問題，能實現(xiàn)網(wǎng)絡監(jiān)督與管理的自動化，從而更有效的進行網(wǎng)絡監(jiān)控。</p><p&g

64、t;　　7.1.2 VLAN劃分</p><p>　　1、根據(jù)端口劃分Vlan</p><p>　　以交換機端口劃分網(wǎng)絡成員，配置過成簡單明了，是常用的一種方式。</p><p>　　2、根據(jù)MAC地址劃分VLAN</p><p>　　根據(jù)每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置它屬于哪VLAN。這種劃分方法的優(yōu)點是當用戶物

65、理位置移動時，VLAN不用重新配置，缺點是初始化時，所有的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，管理員的配置工作量非常大。</p><p>　　3、根據(jù)網(wǎng)絡層劃分VLAN</p><p>　　根據(jù)每個主機的網(wǎng)絡層地址或協(xié)議類型劃分。</p><p>　　4、根據(jù)IP組播劃分VLAN</p><p>　　IP組播實際上也是一種VL

66、AN的定義，即認為一個組播就是一個VLAN，這種劃分的方法將VLAN擴大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴展，當然這種方法不適合局域網(wǎng)，主要是效率不高。</p><p>　　5、基于規(guī)則的VLAN</p><p>　　也稱為基于策略的VLAN。這是最靈活的VLAN劃分方法，具有自動配置的能力，整個網(wǎng)絡可以非常方便地通過路由器擴展網(wǎng)絡規(guī)模。</p&g

67、t;<p>　　6、按用戶定義、非用戶授權(quán)劃分VLAN</p><p>　　基于用戶定義、非用戶授權(quán)來劃分VLAN，是指為了適應特別的VLAN網(wǎng)絡，根據(jù)具體的網(wǎng)絡用戶的特別要求來定義和設(shè)計VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAn管理的認證后才可以加入一個Vlan。</p><p>　　7.2 VTP技術(shù)： </p>

68、<p>　　VTP（VLAN Trunking Protocol）：是Vlan中級協(xié)議，也稱為虛擬局域網(wǎng)干道協(xié)議。VTP協(xié)議是思科的專用協(xié)議，大多數(shù)的Catalys交換機都支持該協(xié)議，VTP可以減少Vlan的相關(guān)管理任務。</p><p>　　7.2.1 VTP有三種工作模式：VTPServer、VTPClient和VTPTransparent。</p><p>　　7.2.2

69、使用VTP技術(shù)的優(yōu)勢：</p><p>　　使用VTP技術(shù)，主要是為了防止不需要的廣播信息從一個vlan泛洪到VTP域中所有的中繼鏈路。Vtp修剪允許交換機協(xié)商 將那些VLAN分配到中繼鏈路另一端的端口，因此剪除未分配到遠程交換機端口的VLAN。VTP修剪功能默認為禁用，可以使用全局配置命令vtp pruning啟用vtp修剪，只需要在域內(nèi)一臺VTP服務器交換機上啟用修剪功能即可。</p><

70、p>　　7.3 STP生成樹協(xié)議：</p><p>　　STP (Spanning Tree Protocol)生成樹協(xié)議該協(xié)議的目的是在實現(xiàn)交換機之間的冗余連接的同時，避免網(wǎng)絡環(huán)路的出現(xiàn)，實現(xiàn)網(wǎng)絡的高可靠性。邏輯上斷開環(huán)路，防止廣播風暴的產(chǎn)生。當線路出現(xiàn)故障，斷開的接口被激活，恢復通信，起到線路備份的作用。</p><p>　　Stp 使用生成樹算法（STA）計算網(wǎng)絡中的那些交換機

71、端口應配置為阻塞以防止出現(xiàn)環(huán)路。所有參與STP的交換機互相交換BPDU幀， BPDU幀是運行STP的 交換機之間交換的包含STP消息的幀。每個BPDU都包含一個BID，用于標識發(fā)送該BPDU的交換機。</p><p>　　7.3.1使用STP協(xié)議的優(yōu)勢：</p><p>　　根據(jù)所設(shè)計的拓撲圖，采用生成樹的協(xié)議，該協(xié)議的目的是在實現(xiàn)交換機之間的冗余連接的同時，避免網(wǎng)絡環(huán)路的出現(xiàn)，

72、實現(xiàn)網(wǎng)絡的高可靠性，它實現(xiàn)在交換機之間傳遞橋接。，當邏輯上斷開環(huán)路，防止廣播風暴的產(chǎn)生，當線路出現(xiàn)故障，斷開的借口唄激活，恢復通信，起備份線路的作用。</p><p>　　7.4 EthernetChannel：</p><p>　　以太通道也稱為以太端口捆綁、端口聚集或以太鏈路聚集。以太通道為交換機提供了端口捆綁的技術(shù)，將多個物理以太網(wǎng)端口聚合在一起形成一個邏輯上的聚合組；同一聚合組內(nèi)的

73、多條物理鏈路視為一條邏輯鏈路。鏈路聚合可以實現(xiàn)出/入負荷在聚合組中各個成員端口之間分擔，以增加帶寬。同時，同一聚合組的各個成員端口之間彼此動態(tài)備份，提高了連接可靠性。</p><p>　　7.4.1以太通道的特點：</p><p>　　以太網(wǎng)通道最多可以捆綁8條物理鏈路，可以是雙絞線，也可以是光纖。 </p><p>　　以太通道的規(guī)則：參與捆綁的端口必須屬于同一個

74、VLAN，或者都是中繼模式 </p><p>　　如果端口配置是中繼模式，則鏈路中的兩個端口必須都是中繼模式 </p><p>　　所有參與捆綁的端口的物理參數(shù)必須相同，例如全部為半雙工或者全部為全雙工。</p><p>　　7.4.2 使用Etherchannel的優(yōu)勢：</p><p>　　GEC技術(shù)一方面為我們提供了一種擴展網(wǎng)絡帶寬的手

75、段，另一方面，它還為連接提供了容錯。平時，網(wǎng)絡流量是被分攤得到構(gòu)成GEC/FEC的2條或多條物理鏈路上，如果其中一條鏈路發(fā)生故障，該故障鏈路上的物理流量會立刻被重新分配到其他正常的流量上，congenial達到了容錯的目的。</p><p>　　7.4.3以太通道的特點：</p><p>　　以太網(wǎng)通道最多可以捆綁8條物理鏈路，可以是雙絞線，也可以是光纖。 </p><

76、p>　　7.4.4 以太通道的規(guī)則：參與捆綁的端口必須屬于同一個VLAN，或者都是中繼模式 </p><p>　　7.5 Trunk技術(shù)</p><p>　　Trunk是一種封裝技術(shù)，它是一條點到點的鏈路，鏈路的兩端可以都是交換機，也可以是交換機和路由器，還可以是主機和交換機或路由器。基于端口匯聚（Trunk）功能，允許交換機與交換機、交換機與路由器、主機與交換機或路由器之間通過兩個

77、或多個端口并行連接同時傳輸以提供更高帶寬、更大吞吐量， 大幅度提供整個網(wǎng)絡能力。是帶寬擴展和鏈路備份的一個重要途徑。TRUNK把多個物理端口捆綁在一起當作一個邏輯端口使用，可以把多組端口的寬帶疊加起來使用。TRUNK技術(shù)可以實現(xiàn)TRUNK內(nèi)部多條鏈路互為備份的功能，即當一條鏈路出現(xiàn)故障時，不影響其他鏈路的工作，同時多鏈路之間還能實現(xiàn)流量均衡。</p><p>　　7.6 HSRP路由熱備份：</p>

78、<p>　　HSRP(Hot Standby Router Protocol)是CISCO公司制定的專有路由器備份協(xié)議，支持多臺路由器形成熱備而消除單臺設(shè)備失效造成的網(wǎng)絡中斷。HSRP允許在一個局域網(wǎng)（以太網(wǎng)，令牌環(huán)，F(xiàn)DDI）上或ISL封裝的VLAN上的多個路由器共享一個虛擬IP地址和MAC地址，共享地址的一組路由器被配置成HSRP組，組中每一個路由器配置一個組IP地址和優(yōu)先級。存在一個路由器是活躍激活的，接受所有合法網(wǎng)絡

79、IP/MAC地址包，如果激活的路由器發(fā)生故障，組中的另一個路由器激活并接收包。</p><p>　　7.6.1 使用HSRP的優(yōu)勢：</p><p>　　我們使用HSRP來實現(xiàn)故障路由器的接管。HSRP協(xié)議是Cisco公司制定的專有路由器備份協(xié)議，支持多臺路由器形成備份而消除單臺設(shè)備失效造成的網(wǎng)絡中斷。比且確保了當網(wǎng)絡邊緣或接入鏈路出現(xiàn)故障時，用戶通信能迅速并透明的恢復，并為此IP網(wǎng)絡提供

80、了冗余性。HSRP支持在某個路由器出現(xiàn)故障時可以快速的進行默認網(wǎng)關(guān)的切換，通過共同提供一個IP地址和MAC地址，兩個或者多個路由器可以做為一個虛擬路由器，當某個路由器出現(xiàn)故障時，其他路由器可以無縫的接替它進行路由選擇。，這樣就很好的解決了路由器切換的問題。</p><p>　　為了把網(wǎng)絡阻塞降到最底限度，網(wǎng)絡中只有活路由器和備份路由器可以在完成HSRP協(xié)議選擇過程后發(fā)送一次HSRP消息包。如果活路由器失效，則備份

81、路由器將取代它作為新的活路由器工作。而當備份路由器失效或者它變成了活路由器時，另外一個路由器將被選為備份路由器。</p><p><b>　　7.7 DHCP：</b></p><p>　　DHCP動態(tài)主機設(shè)置協(xié)議（Dynamic Host Configuration Protocol, DHCP）是一個局域網(wǎng)的網(wǎng)絡協(xié)議，使用UDP協(xié)議工作，主要有兩個用途：給內(nèi)部網(wǎng)絡

82、或網(wǎng)絡服務供應商自動分配IP地址給用戶給內(nèi)部網(wǎng)絡管理員作為對所有計算機作中央管理的手段。</p><p>　　7.8 VPN技術(shù)：</p><p>　　虛擬專用網(wǎng)（vpn）被定義為通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。使用這條隧道可以對數(shù)據(jù)進行幾倍加密達到安全使用互聯(lián)網(wǎng)的目的。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫

83、助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。</p><p>　　VPN技術(shù)分為L2LP、GRE、IPsec。 IPSec (Internet 協(xié)議安全)是一個工業(yè)標準網(wǎng)絡安全協(xié)議，為 IP

84、 網(wǎng)絡通信提供透明的安全服務，保護 TCP/IP 通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡攻擊，同時保持易用性。</p><p>　　7.8.1 Site-to-Site VPN</p><p>　　Site-to-Site VPN就是站點到站點的VPN。</p><p>　　IPSec（IP Security）是IETF制定的為保證在Internet上傳送數(shù)據(jù)的安全保

85、密性能的框架協(xié)議。IPSec包括報文驗證頭協(xié)議AH（協(xié)議號51） 和報文安全封裝協(xié)議ESP（協(xié)議號50）兩個協(xié)議。 IPSec有隧道（tunnel）和傳送（transport）兩種工作方式 </p><p>　　它提供兩個安全協(xié)議：</p><p>　　1、AH (Authentication Header)報文認證頭協(xié)議 </p><p>　　MD5(

86、Message Digest 5)</p><p>　　SHA1(Secure Hash Algorithm)</p><p>　　2、ESP (Encapsulation Security Payload)封裝安全載荷協(xié)議 </p><p>　　DES (Data Encryption Standard) </p><p><b>

87、;　　3DES</b></p><p>　　其他的加密算法：Blowfish ，blowfish、cast </p><p>　　安全特性：數(shù)據(jù)機密性（Confidentiality）、數(shù)據(jù)完整性（Data Integrity）、數(shù)據(jù)來源認證（Data Authentication） 、反重放（Anti-Replay）</p><p>　　7.8.2 E

88、asy VPN</p><p>　　Easy VPN又名ezVPN，是Cisco專用VPN技術(shù)。它分為EASY VPN SERVER和EASY VPN REMOTE兩種，EASY VPN SERVER 是REMOT--ACCESS VPN專業(yè)設(shè)備。配置復雜，支持POLICY PUSHING等特性，現(xiàn)在的900、1700、PIX、VPN3002和ASA等很多設(shè)備都支持。此種技術(shù)應用在中小企業(yè)居多。如Cisco金睿系

89、類的路由器都有整合easy VPN。</p><p>　　7.9 QOS技術(shù)：</p><p>　　Quality of Service（服務質(zhì)量）是指網(wǎng)絡通信過程中，允許用戶業(yè)務在丟包率、延遲、抖動和帶寬等方面獲得可預期的服務水平。</p><p>　　IP QoS目標是：避免并管理IP網(wǎng)絡擁塞、減少IP報文的丟失率、調(diào)控IP網(wǎng)絡的流量、為特定用戶或特定業(yè)務提供專

90、用帶寬、支撐IP網(wǎng)絡上的實時業(yè)務。</p><p>　　7.9.1 QOS的服務模型有三種常見模式：</p><p>　　Best-Effort service模型：是目前Internet的缺省服務模型，主要實現(xiàn)技術(shù)是先進先出隊列(FIFO)。</p><p>　　Integrated service模型：通過信令向網(wǎng)絡申請?zhí)囟ǖ腝oS服務，網(wǎng)絡在流量參數(shù)描述的范圍

91、內(nèi)，預留資源以承諾滿足該請求。</p><p>　　Differentiated service模型：當網(wǎng)絡出現(xiàn)擁塞時，根據(jù)業(yè)務的不同服務等級約定，有差別地進行流量控制和轉(zhuǎn)發(fā)來解決擁塞問題。</p><p>　　7.10 NAT技術(shù)：</p><p>　　NAT（Network Address Translation，網(wǎng)絡地址轉(zhuǎn)換）是將IP數(shù)據(jù)報文頭中的IP地址轉(zhuǎn)換

92、為另一個IP地址的過程。在實際應用中，NAT主要用于實現(xiàn)私有網(wǎng)絡訪問公共網(wǎng)絡的功能。這種通過使用少量的公網(wǎng)IP地址代表較多的私網(wǎng)IP地址的方式，將有助于減緩可用IP地址空間的枯竭。</p><p>　　7.10.1 NAT的類型有：</p><p>　　靜態(tài)NAT(Static NAT) </p><p>　　動態(tài)地址NAT(Pooled NAT)</p>

93、;<p>　　網(wǎng)絡地址端口轉(zhuǎn)換NAPT（Port－Level NAT）</p><p>　　7.10.2使用靜態(tài)NAT技術(shù)到的優(yōu)勢：</p><p>　　1對于內(nèi)部通訊可以利用私網(wǎng)地址，如果需要與外部通訊或訪問外部資源，則可通過將私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址來實現(xiàn)。</p><p>　　2通過公網(wǎng)地址與端口的結(jié)合，可使多個私網(wǎng)用戶共用一個公網(wǎng)地址</p

94、><p>　　3通過靜態(tài)映射，不同的內(nèi)部服務器可以映射到同一個公網(wǎng)地址。外部用戶可通過公網(wǎng)地址和端口訪問不同的內(nèi)部服務器，同時還隱藏了內(nèi)部服務器的真實IP地址，從而防止外部對內(nèi)部服務器乃至內(nèi)部網(wǎng)絡的攻擊行為。</p><p>　　4方便網(wǎng)絡管理，如通過改變映射表就可實現(xiàn)私網(wǎng)服務器的遷移，內(nèi)部網(wǎng)絡的改變也很容易。</p><p>　　7.11 ACL訪問控制列表</

95、p><p>　　訪問控制列表（Access Control List，ACL） 是路由器和交換機接口的指令列表，用來控制端口進出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個框架結(jié)構(gòu)，其目的是為了對某種訪問進行控制。信息點間通信，內(nèi)外網(wǎng)絡的通信都是企業(yè)網(wǎng)絡中必不可少的業(yè)務需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只

96、能訪問特定的網(wǎng)絡資源，從而達到對訪問進行控制的目的。簡而言之，ACL可以過濾網(wǎng)絡中的流量，控制訪問的一種網(wǎng)絡技術(shù)手段。</p><p>　　ACL的定義也是基于每一種協(xié)議的。如果路由器接口配置成為支持三種協(xié)議（IP、AppleTalk以及IPX）的情況，那么，用戶必須定義三種ACL來分別控制這三種協(xié)議的數(shù)據(jù)包。</p><p>　　7.11.1 ACL的分類：</p><

97、;p>　　目前有兩種主要的ACL:標準ACL和擴展ACL、通過命名、通過時間。 　　</p><p>　　標準的ACL使用 1 ~ 99 以及1300~1999之間的數(shù)字作為表號，擴展的ACL使用 100 ~ 199以及2000~2699之間的數(shù)字作為表號。 　　</p><p>　　標準ACL可以阻止來自某一網(wǎng)絡的所有通信流量，或者允許來自某一特定網(wǎng)絡的所有通信流量，或者拒絕某一協(xié)

98、議簇（比如IP）的所有通信流量。 　　</p><p>　　擴展ACL比標準ACL提供了更廣泛的控制范圍。例如，網(wǎng)絡管理員如果希望做到“允許外來的Web通信流量通過，拒絕外來的FTP和Telnet等通信流量”，那么，他可以使用擴展ACL來達到目的，標準ACL不能控制這么精確。 　　</p><p>　　在標準與擴展訪問控制列表中均要使用表號，而在命名訪問控制列表中使用一個字母或數(shù)字組合的字

99、符串來代替前面所使用的數(shù)字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目，這樣可以讓我們在使用過程中方便地進行修改。　</p><p>　　隨著網(wǎng)絡的發(fā)展和用戶要求的變化，從IOS 12.0開始，思科（CISCO）路由器新增加了一種基于時間的訪問列表。通過它，可以根據(jù)一天中的不同時間，或者根據(jù)一星期中的不同日期，或二者相結(jié)合來控制網(wǎng)絡數(shù)據(jù)包的轉(zhuǎn)發(fā)。這種基于時間的訪問列表，就是在原來的標準訪問列表和擴展訪問

100、列表中，加入有效的時間范圍來更合理有效地控制網(wǎng)絡。首先定義一個時間范圍，然后在原來的各種訪問列表的基礎(chǔ)上應用它。</p><p>　　7.11.2 ACL的特點：</p><p>　　ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。</p><p>　　ACL可以限制網(wǎng)絡流量、提高網(wǎng)絡性能。</p><p>　　ACL可以根據(jù)數(shù)

101、據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級</p><p>　　ACL提供對通信流量的控制手段</p><p>　　ACL是提供網(wǎng)絡安全訪問的基本手段</p><p>　　7.12 IOS防火墻:</p><p>　　所謂防火墻指的是一個有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。</p>&l

102、t;p>　　防火墻技術(shù)，最初是針對 Internet 網(wǎng)絡不安全因素所采取的一種保護措施。顧名思義，防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡屏障，其目的就是防止外部網(wǎng)絡用戶未經(jīng)授權(quán)的訪問。它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)（Security Gateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務訪問政策、驗證工具、包過濾和應用網(wǎng)關(guān)4個部分組成，防火墻就是一

103、個位于計算機和它所連接的網(wǎng)絡之間的軟件或硬件(其中硬件防火墻用的很少只有國防部等地才用,因為它價格昂貴)。該計算機流入流出的所有網(wǎng)絡通信均要經(jīng)過此防火墻。</p><p>　　功能：防火墻對流經(jīng)它的網(wǎng)絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信

104、。</p><p>　　7.13 OSPF協(xié)議</p><p>　　開放式最短路徑優(yōu)先（Open Shortest Path First，OSPF）協(xié)議是一種為IP網(wǎng)絡開發(fā)的內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議，由IETF開 發(fā)并推薦使用。OSPF協(xié)議由三個子協(xié)議組成：Hello協(xié)議、交換協(xié)議和擴散協(xié)議。其中Hello協(xié)議負責檢查鏈路是否可用，并完成指定路由器及備份指 定路由器；交換協(xié)議完成“主”、“從”

105、路由器的指定并交換各自的路由數(shù)據(jù)庫信息；擴散協(xié)議完成各路由器中路由數(shù)據(jù)庫的同步維護。 </p><p>　　OSPF 協(xié)議采用鏈路狀態(tài)協(xié)議算法，每個路由器維護一個相同的鏈路狀態(tài)數(shù)據(jù)庫，保存整個AS的拓撲結(jié)構(gòu)（在AS不劃分的情況下）。一旦每個路由器有了完整的鏈路狀態(tài)數(shù)據(jù)庫，該路由器就可以自己為根，構(gòu)造最短路徑路徑樹，然后再根據(jù)最短路徑構(gòu)造路徑表。對于大型的網(wǎng)絡，為了進一步減少路由協(xié)議通信流量，利于管理和計算。OSP

106、F將整個AS 劃分為若干個區(qū)域 ，區(qū)域內(nèi)的路由器維護一個相同的鏈路狀態(tài)數(shù)據(jù)庫，保存該區(qū)域的拓撲圖結(jié)構(gòu)。OSPF 路由器相互間交換信息，但交換的信息不是路由，而是鏈路狀態(tài)。OSPF 定義了5種分組：Hello分組用于建立和維護鄰居關(guān)系；數(shù)據(jù)庫描述分組初始化路由器的網(wǎng)絡拓撲數(shù)據(jù)庫；當發(fā)現(xiàn)數(shù)據(jù)庫中的某部分信息已經(jīng)過時后，路由器發(fā)送鏈路狀態(tài)請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來主動擴展自己的鏈路狀態(tài)數(shù)據(jù)庫或?qū)︽溌窢顟B(tài)請求分

107、組進行相應；由于OSPF直接運行在IP層，協(xié)議本身要提供確認機制，鏈路狀態(tài)應答分組狀態(tài)更新分組進行確認。</p><p>　　相對于其他協(xié)議，OSPF有許多優(yōu)點。OSPF 支持各種不同鑒別機制（如簡單口令驗證，MD5加密驗證等），并且允許各個系統(tǒng)或區(qū)域采用互不相同的鑒別機制；提供負載均衡功能，如果計算出道某個目的站有若干條費用相同的路由，OSPF 路由器會把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送

108、出去；在一個自制系統(tǒng)內(nèi)可劃分出若干個區(qū)域，每一個區(qū)域根據(jù)自己的拓撲結(jié)構(gòu)計算最短路徑，這樣減少了OSPF路由實現(xiàn)的工作量；OSPF屬于動態(tài)的自適應協(xié)議，對于網(wǎng)絡的拓撲結(jié)構(gòu)變化可以迅速的作出反應，進行相應調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比，OSPF在對網(wǎng)絡拓撲變化的處理過程中僅需要最少的通信流量；OSPF 提供點到多點接口，支持CIDR(無類路由)地址。</p><p>　　7.13.1

109、 OSPF協(xié)議的優(yōu)點： </p><p>　　OSPF能夠在自己的鏈路狀態(tài)數(shù)據(jù)庫內(nèi)表示整個網(wǎng)絡，這極大地減少了收斂時間，并且支持大型異構(gòu)網(wǎng)絡的互聯(lián)，提供了一個異構(gòu)網(wǎng)絡間通過同一種協(xié)議交換網(wǎng)絡信息的途徑，并且不容易出現(xiàn)錯誤的路由信息。OSPF支持通往相同目的的多重路徑。 </p><p>　　OSPF使用路由標簽區(qū)分不同的外部路由。 </p><p>　　OSPF支持

110、路由驗證，只有互相通過路由驗證的路由器之間才能交換路由信息；并且可以對不同的區(qū)域定義不同的驗證方式，從而提高了網(wǎng)絡的安全性。 </p><p>　　OSPF支持費用相同的多條鏈路上的負載均衡。 </p><p>　　OSPF是一個非族類路由協(xié)議，路由信息不受跳數(shù)的限制，減少了因分級路由帶來的子網(wǎng)分離問題。 </p><p>　　OSPF支持VLSM和非族類路由查表，

111、有利于網(wǎng)絡地址的有效管理OSPF使用AREA對網(wǎng)絡進行分層，減少了協(xié)議對CPU處理時間和內(nèi)存的需求。</p><p>　　7.13.2 OSPF的網(wǎng)絡類型</p><p>　　OSPF定義的5種網(wǎng)絡類型:</p><p>　　點到點網(wǎng)絡 (point-to-point)</p><p>　　廣播型網(wǎng)絡 (broadcast)</p>

112、;<p>　　非廣播型(NBMA)網(wǎng)絡 (non-broadcast)</p><p>　　點到多點網(wǎng)絡 (point-to-multipoint)</p><p>　　虛鏈接(virtual link)</p><p>　　點到點網(wǎng)絡, 比如T1線路,是連接單獨的一對路由器的網(wǎng)絡,點到點網(wǎng)絡上的有效鄰居總是可以形成鄰接關(guān)系的,在這種網(wǎng)絡上,OSPF包