路由交換方向畢業(yè)論文

1、<p><b>　　專科生畢業(yè)設(shè)計(jì) </b></p><p>　　網(wǎng) 絡(luò) 工 程 </p><p><b>　　路由交換方向</b></p><p>　　院 系　 </p><p>　　專 業(yè)　計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 　 </p&

2、gt;<p>　　班 級(jí)　 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)二班 </p><p><b>　　摘 要</b></p><p>　　當(dāng)今信息時(shí)代，科技迅猛發(fā)展，知識(shí)更新越來(lái)越快，隨著技術(shù)的進(jìn)步和經(jīng)濟(jì)的發(fā)展，人類社會(huì)總是在不斷地發(fā)生著巨大的變化。我們正邁向一個(gè)嶄新的信息時(shí)代。為了適應(yīng)形勢(shì)的發(fā)展和工作業(yè)務(wù)的需要，我國(guó)的各行各業(yè)都在積極地籌建或擴(kuò)建各類信息網(wǎng)絡(luò)

3、系統(tǒng)，這標(biāo)志著我國(guó)的信息化社會(huì)建設(shè)步入了一個(gè)新的時(shí)期和起點(diǎn)。這也是社會(huì)的發(fā)展對(duì)各行各業(yè)提出的新的要求和挑戰(zhàn)。企業(yè)為適應(yīng)新的業(yè)務(wù)發(fā)展需要，結(jié)合辦公樓圖紙，旨在實(shí)現(xiàn)辦公樓信息管理系統(tǒng)現(xiàn)代化；網(wǎng)絡(luò)化；綜合性和多功能，因此，本畢業(yè)設(shè)計(jì)課題將主要以中小型企業(yè)為基準(zhǔn)組建中小企業(yè)局域網(wǎng)絡(luò)建設(shè)可能用到的各種技術(shù)及實(shí)施方案為設(shè)計(jì)方向，為中小企業(yè)網(wǎng)絡(luò)建設(shè)提供理論依據(jù)和實(shí)踐指導(dǎo)。</p><p>　　全套課題共分11章，主要解決企業(yè)局

4、域網(wǎng)內(nèi)部以及企業(yè)局域網(wǎng)之間的安全高效互聯(lián)，及路由、交換技術(shù)。</p><p>　　關(guān)鍵詞：局域網(wǎng)絡(luò)開(kāi)發(fā)建設(shè)；VPN安全機(jī)制；路由、交換技術(shù)；網(wǎng)絡(luò)安全技術(shù)；系統(tǒng)操作管理；</p><p><b>　　ABSTRACT</b></p><p>　　Current information times, science and technology,

5、rapid development, knowledge update more and more quickly, as technology progress and economic development, human society has always are constantly having huge changes. We are towards a new era of information. In order t

6、o adapt to the development of the situation and the needs of business, our industries are actively planning or expansion of all kinds of information network system in China, which marks the construction of information so

7、ciety int</p><p>　　Full subject is divided into chapter 11, mainly to solve enterprise LAN internal and enterprise LAN security and efficiency between interconnected, and routing, exchange technology.</p&

8、gt;<p>　　Keywords: local area network development and construction; VPN security mechanism; Routing, exchange technology; Network security technology; System operation management;</p><p><b>　　目

9、 錄</b></p><p>　　第1章 引 言1</p><p>　　第2章 需求分析2</p><p>　　2.1 項(xiàng)目背景2</p><p>　　2.2 需求分析2</p><p>　　第3章 網(wǎng)絡(luò)總體建設(shè)目標(biāo)3</p><p>　　3.1 項(xiàng)目建設(shè)目標(biāo)3

10、</p><p>　　3.2網(wǎng)絡(luò)設(shè)計(jì)原則3</p><p>　　3.3網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容與要求3</p><p>　　第4章 網(wǎng)絡(luò)總體設(shè)計(jì)5</p><p><b>　　4.1背景5</b></p><p>　　4.2 預(yù)見(jiàn)網(wǎng)絡(luò)拓?fù)涿枋?</p><p>　　4

11、.2.1 全局拓?fù)鋱D5</p><p>　　4.2.2 總部拓?fù)鋱D5</p><p>　　4.2.3 分部拓?fù)鋱D6</p><p>　　4.3 網(wǎng)絡(luò)層次化設(shè)計(jì)6</p><p>　　4.3.1 核心層設(shè)計(jì)7</p><p>　　4.3.2 匯聚層設(shè)計(jì)7</p><p>　　4.3.3

12、 接入層設(shè)計(jì)7</p><p>　　第5章 路由交換設(shè)計(jì)8</p><p>　　5.1 路由協(xié)議選擇8</p><p>　　5.2 路由規(guī)劃拓?fù)鋱D8</p><p>　　5.3 IP地址規(guī)劃9</p><p>　　5.3.1總部IP地址規(guī)劃：9</p><p>　　5.3.2分部I

13、P地址規(guī)劃：10</p><p>　　第6章 網(wǎng)絡(luò)安全解決方案11</p><p>　　6.1 網(wǎng)絡(luò)邊界安全威脅分析11</p><p>　　6.2 網(wǎng)絡(luò)內(nèi)部安全威脅分析11</p><p>　　6.3 安全產(chǎn)品選型原則12</p><p>　　第7章 網(wǎng)絡(luò)技術(shù)介紹12</p><p

14、>　　7.1 VLAN技術(shù)：12</p><p>　　7.1.1使用VLAN技術(shù)的優(yōu)勢(shì)：12</p><p>　　7.1.2 VLAN劃分12</p><p>　　7.2 VTP技術(shù)：13</p><p>　　7.2.1 VTP有三種工作模式：VTPServer、VTPClient和VTPTransparent。13</

15、p><p>　　7.2.2使用VTP技術(shù)的優(yōu)勢(shì)：13</p><p>　　7.3 STP生成樹(shù)協(xié)議：13</p><p>　　7.3.1使用STP協(xié)議的優(yōu)勢(shì)：14</p><p>　　7.4 EthernetChannel：14</p><p>　　7.4.1以太通道的特點(diǎn)：14</p><p

16、>　　7.4.2 使用Etherchannel的優(yōu)勢(shì)：14</p><p>　　7.4.3以太通道的特點(diǎn)：14</p><p>　　7.4.4 以太通道的規(guī)則：參與捆綁的端口必須屬于同一個(gè)VLAN，或者都是中繼模式15</p><p>　　7.5 Trunk技術(shù)15</p><p>　　7.6 HSRP路由熱備份：15<

17、/p><p>　　7.6.1 使用HSRP的優(yōu)勢(shì)：15</p><p>　　7.7 DHCP：16</p><p>　　7.8 VPN技術(shù)：16</p><p>　　7.8.1 Site-to-Site VPN16</p><p>　　7.8.2 Easy VPN17</p><p>　　

18、7.9 QOS技術(shù)：17</p><p>　　7.9.1 QOS的服務(wù)模型有三種常見(jiàn)模式：17</p><p>　　7.10 NAT技術(shù)：17</p><p>　　7.10.1 NAT的類型有：17</p><p>　　7.10.2使用靜態(tài)NAT技術(shù)到的優(yōu)勢(shì)：17</p><p>　　7.11 ACL訪問(wèn)控制

19、列表18</p><p>　　7.11.1 ACL的分類：18</p><p>　　7.11.2 ACL的特點(diǎn)：19</p><p>　　7.12 IOS防火墻:19</p><p>　　7.13 OSPF協(xié)議19</p><p>　　7.13.1 OSPF協(xié)議的優(yōu)點(diǎn)：20</p><p

20、>　　7.13.2 OSPF的網(wǎng)絡(luò)類型21</p><p>　　第8章 設(shè)備簡(jiǎn)介22</p><p>　　8.1 路由器22</p><p>　　8.2 交換機(jī)23</p><p>　　8.2.1 三層交換機(jī)23</p><p>　　8.2.2二層交換機(jī)：24</p><p>

21、;　　8.3 服務(wù)器25</p><p>　　8.3.1聯(lián)想萬(wàn)全R52025</p><p>　　8.3.2惠普ProLiant26</p><p>　　8.4 備份緩存：27</p><p>　　8.5 UPS電源：28</p><p>　　8.6 PC機(jī)：28</p><p>　

22、　8.7 筆記本電腦：29</p><p>　　8.8 打印機(jī)：30</p><p>　　8.9 傳真機(jī)：30</p><p>　　8.10 IP電話：31</p><p>　　8.11 煙霧防火報(bào)警器：32</p><p>　　8.12 網(wǎng)絡(luò)硬盤(pán)錄像機(jī)：32</p><p>　　8

23、.13 監(jiān)視器：33</p><p>　　8.14 監(jiān)控?cái)z像：33</p><p>　　8.15 集團(tuán)電話：34</p><p>　　第9章 服務(wù)器設(shè)計(jì)36</p><p>　　9.1 DNS服務(wù)器36</p><p>　　9.2 Apache 服務(wù)器36</p><p>　　9.

24、3 Sendmail 服務(wù)器37</p><p>　　9.4 FTP服務(wù)器38</p><p>　　9.5 DHCP服務(wù)器38</p><p>　　第10章 項(xiàng)目實(shí)施計(jì)劃39</p><p>　　10.1 項(xiàng)目實(shí)施計(jì)劃和周期39</p><p>　　10.1.1項(xiàng)目實(shí)施計(jì)劃：39</p>&

25、lt;p>　　10.1．2基本環(huán)境要求40</p><p>　　10.1.3 我方人員行為規(guī)范40</p><p>　　10.1.4 工程合格規(guī)范40</p><p>　　10.2 售后服務(wù)40</p><p>　　10.2.1售后服務(wù)細(xì)則：40</p><p>　　10.2.2售后服務(wù)工作的劃歸41

26、</p><p>　　10.2.3售后服務(wù)的管理人員的資格41</p><p>　　10.2.4資料存檔41</p><p>　　10.2.5建立聯(lián)系制度41</p><p>　　10.2.6建立定期檢查和回訪制度，制定回訪聯(lián)系單41</p><p>　　結(jié) 束 語(yǔ)42</p><p&

27、gt;　　參 考 文 獻(xiàn)43</p><p><b>　　致 謝44</b></p><p><b>　　引 言</b></p><p>　　隨著全球性的計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)的迅速發(fā)展和普及，越來(lái)越多的企業(yè)都認(rèn)識(shí)到網(wǎng)絡(luò)改變了整個(gè)信息產(chǎn)業(yè)的面貌，改變了整個(gè)經(jīng)濟(jì)體制結(jié)構(gòu)的變化，也從根本上加強(qiáng)促進(jìn)了群體工作成員之間的信

28、息交流、資源共享、科學(xué)計(jì)算及技術(shù)合作等，進(jìn)而推進(jìn)了教育、科研及經(jīng)濟(jì)生產(chǎn)的發(fā)展。隨之網(wǎng)絡(luò)技術(shù)及網(wǎng)絡(luò)互聯(lián)平臺(tái)也在企業(yè)的殘酷競(jìng)爭(zhēng)中脫穎而出，計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜，計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)作整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)、數(shù)據(jù)做全面的防范。信息安全防范體系顯示安全防范是一個(gè)動(dòng)態(tài)過(guò)程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防

29、范活動(dòng)的始終。</p><p>　　XX公司是一家即將成立的新型的制造企業(yè)，在企業(yè)內(nèi)部實(shí)現(xiàn)資源高度共享，為生產(chǎn)、辦公、管理提供服；實(shí)現(xiàn)辦公自動(dòng)化，提供總部與分部、分部、與分部之間通迅的出入口，提高工作效率和管理水平；及時(shí)、準(zhǔn)確、可靠地收集、處理、存儲(chǔ)、傳輸企業(yè)的辦公、管理信息，實(shí)現(xiàn)企業(yè)資源和社會(huì)資源的有機(jī)結(jié)合；實(shí)現(xiàn)音頻數(shù)字化資源共享、集中管理；建立企業(yè)網(wǎng)絡(luò)管理應(yīng)用系統(tǒng)。以順應(yīng)時(shí)代的發(fā)展趨勢(shì)，充分利用現(xiàn)代化技術(shù)來(lái)進(jìn)

30、一步提高管理質(zhì)量和辦公效率。</p><p><b>　　需求分析</b></p><p><b>　　2.1 項(xiàng)目背景</b></p><p>　　XX公司是一家即將成立的新型制造工廠，網(wǎng)絡(luò)平臺(tái)建設(shè)為總部和五個(gè)外設(shè)分部共六個(gè)網(wǎng)絡(luò)互聯(lián)平臺(tái)建設(shè)?？偛吭O(shè)計(jì)用戶節(jié)點(diǎn)數(shù)為1000，各個(gè)分部地為10-50個(gè)用戶。需要“建立一個(gè)設(shè)計(jì)規(guī)

31、范、功能完備、性能優(yōu)良、安全可靠、技術(shù)先進(jìn)和實(shí)用性、兼容性、冗余、容錯(cuò)性、有良好的擴(kuò)展性與可用性并且具備可管理易維護(hù)的網(wǎng)絡(luò)及系統(tǒng)平臺(tái)，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率”。</p><p><b>　　2.2 需求分析</b></p><p>　　本項(xiàng)目的網(wǎng)絡(luò)可以劃分成XX公司總部為數(shù)據(jù)中心，及5個(gè)分部網(wǎng)絡(luò)。需要設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)、IP地址架構(gòu)、

32、系統(tǒng)架構(gòu)。</p><p>　　其中，XX公司總部為數(shù)據(jù)中心，核心交換區(qū)，交易所接入等。數(shù)據(jù)中心作為網(wǎng)絡(luò)互通的存放地，其性能、穩(wěn)定性、安全性，、可靠性的要求最高，因此我們?cè)谠O(shè)計(jì)的時(shí)候，應(yīng)該考慮到這些要求。而核心交換區(qū)的功能是高速可靠地交換數(shù)據(jù)，因此該部分的設(shè)計(jì)應(yīng)考慮性能和可靠性的平衡。交易所接入作為外聯(lián)單位接入?yún)^(qū)域，其安全性應(yīng)該是放在第一位，同時(shí)，網(wǎng)絡(luò)互通離不開(kāi)交易所的連接，因此也應(yīng)該考慮冗余性。</p&g

33、t;<p>　　XX公司總部辦公網(wǎng)絡(luò)作為內(nèi)部互聯(lián)單位，可信度較高，用WEB、FTP、E-MAIL、DNS、DHCP等內(nèi)部服務(wù)器為員工提供內(nèi)部信息，外部使用RAS服務(wù)器提供漫游員工所使用的信息。對(duì)于有些部門(mén)還要屏蔽一些網(wǎng)絡(luò)訪問(wèn)（如聊天工具、種菜站點(diǎn)）等。因此其內(nèi)部網(wǎng)絡(luò)的可用性是首先考慮的因素?？紤]到網(wǎng)絡(luò)的安全性和可靠性，分部所需求的信息，都是由總部發(fā)起的。分部訪問(wèn)外網(wǎng)和總部采用VPN技術(shù)，通過(guò)VPN隧道保證傳送信息的安全。&

34、lt;/p><p>　　而XX公司總部與外網(wǎng)連接的，需要考慮其可訪問(wèn)性。INTERNET用戶接入，需要考慮安全性和冗余性。當(dāng)前的網(wǎng)絡(luò)管理范疇比較廣，包括設(shè)備管理、資源管理、故障管理、性能管理、安全管理等。在網(wǎng)絡(luò)規(guī)模相對(duì)較大的時(shí)候，合適的網(wǎng)絡(luò)系統(tǒng)可以幫助用戶方便管理網(wǎng)絡(luò)內(nèi)的設(shè)備及運(yùn)行情況，以提高網(wǎng)絡(luò)的運(yùn)行效率。</p><p><b>　　網(wǎng)絡(luò)總體建設(shè)目標(biāo)</b></

35、p><p>　　3.1 項(xiàng)目建設(shè)目標(biāo)</p><p>　　XX公司網(wǎng)絡(luò)項(xiàng)目工程的建設(shè)目標(biāo)：</p><p>　　建立一個(gè)設(shè)計(jì)規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴(kuò)展性與可用性并且具備可管理易維護(hù)的網(wǎng)絡(luò)及系統(tǒng)平臺(tái)，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率。</p><p>　　工程項(xiàng)目完成后，網(wǎng)絡(luò)平臺(tái)總部?jī)?nèi)有大型服務(wù)器

36、提供服務(wù)，外接分支機(jī)構(gòu)網(wǎng)絡(luò)平臺(tái)的設(shè)計(jì)用戶節(jié)點(diǎn)數(shù)，要求這些用戶和總部之間 能夠 高速連接并且保證與總部通信的可靠性和可行性。</p><p>　　同時(shí)要求總部?jī)?nèi)部安全機(jī)制能夠提高。保證內(nèi)網(wǎng)安全同時(shí)保證各臺(tái)服務(wù)器的安全。</p><p><b>　　3.2網(wǎng)絡(luò)設(shè)計(jì)原則</b></p><p>　　作為一家優(yōu)秀的系統(tǒng)集成商，向用戶提供的不僅僅是設(shè)備，

37、而是整套的技術(shù)與服務(wù)。我們始終堅(jiān)持“高標(biāo)準(zhǔn)，高性能”的原則。在方案設(shè)計(jì)時(shí)，我們將嚴(yán)格遵循以下設(shè)計(jì)原則：</p><p>　　高可靠性----網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)，制定可靠地網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限制地支持各個(gè)系統(tǒng)的正常運(yùn)行。</p><p>　　靈活性及可擴(kuò)展性-----根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和

38、變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)展和升級(jí)，最大限制地減少對(duì)網(wǎng)絡(luò)架構(gòu)和設(shè)備的調(diào)整。</p><p>　　高性能-----承載網(wǎng)絡(luò)性能是網(wǎng)絡(luò)通訊系統(tǒng)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中心必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)，語(yǔ)音，圖像）的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為各項(xiàng)業(yè)務(wù)開(kāi)展的瓶頸。</p><p>　　性價(jià)比高----網(wǎng)絡(luò)方案的設(shè)計(jì)必須充分考慮投資保護(hù)。</p><p>　　

39、3.3網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容與要求</p><p>　　我們把整個(gè)網(wǎng)絡(luò)分為內(nèi)部交換網(wǎng)絡(luò)設(shè)計(jì)、網(wǎng)絡(luò)出口設(shè)計(jì)，網(wǎng)絡(luò)安全設(shè)計(jì)三大部分：</p><p>　　對(duì)于內(nèi)部交換網(wǎng)絡(luò)我們采用傳統(tǒng)分層設(shè)計(jì)。內(nèi)部交換網(wǎng)絡(luò)分成核心層、匯聚層和接入層三大部分。</p><p>　　核心層作為整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心，其主要功能是高速、可靠的進(jìn)行數(shù)據(jù)交換。為加速數(shù)據(jù)的快速轉(zhuǎn)發(fā)，我們?cè)诤诵膶硬捎靡蕴ǖ?/p>

40、技術(shù)，增加網(wǎng)絡(luò)帶寬，提高數(shù)據(jù)轉(zhuǎn)發(fā)效率。為提高網(wǎng)絡(luò)鏈路的冗余性，解決局域網(wǎng)中的網(wǎng)絡(luò)中斷問(wèn)題，采用HSRP路由熱備份技術(shù)進(jìn)行熱備，STP技術(shù)，保證鏈路的冗余性等，使用VLAN技術(shù)進(jìn)行虛擬局域網(wǎng)的劃分，保證網(wǎng)絡(luò)的高效。</p><p>　　匯聚層為接入層提供基于策略的連接,如地址合并,協(xié)議過(guò)濾,路由服務(wù),認(rèn)證管理等.通過(guò)網(wǎng)段劃分(如VLAN)與網(wǎng)絡(luò)隔離可以防止某些網(wǎng)段的問(wèn)題蔓延和影響到核心層。匯聚層同時(shí)也可以提供接入層

41、虛擬網(wǎng)之間的互連,控制和限制接入層對(duì)核心層的訪問(wèn),保證核心層的安全和穩(wěn)定，因此在匯聚層使用VALN技術(shù)進(jìn)行虛擬局域網(wǎng)的劃分，為了保證鏈路的冗余性采用STP技術(shù)。</p><p>　　接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。主要進(jìn)行vlan的劃分等。</p><p>　　對(duì)于邊界網(wǎng)絡(luò)，網(wǎng)絡(luò)的安全是一個(gè)需要考慮的重要因素，所以應(yīng)部署相應(yīng)的安全策略以防止黑客攻擊，邊界設(shè)備的冗余設(shè)計(jì)也是需要考慮的，

42、防止單點(diǎn)故障。因此，除了在選擇設(shè)備是考慮安全機(jī)制因素外，還在總部與分部間使用VPN技術(shù)，來(lái)保障局域網(wǎng)與局域網(wǎng)之間互訪的可靠性和高效性。</p><p>　　對(duì)于服務(wù)器，采用Raid5磁盤(pán)陣列，數(shù)據(jù)除第一次用完全備份后，以后每天做增量備份，備份的的服務(wù)器或設(shè)備單獨(dú)放置其他全安地點(diǎn)。</p><p><b>　　網(wǎng)絡(luò)總體設(shè)計(jì)</b></p><p>

43、;<b>　　4.1背景</b></p><p>　　XX公司是一家即將成立的新型制造工廠，網(wǎng)絡(luò)平臺(tái)建設(shè)為總部和五個(gè)外設(shè)分部共六個(gè)網(wǎng)絡(luò)互聯(lián)平臺(tái)建設(shè)?？偛吭O(shè)計(jì)用戶節(jié)點(diǎn)數(shù)為1000，各個(gè)分部地為10-50個(gè)用戶。需要“建立一個(gè)設(shè)計(jì)規(guī)范、功能完備、性能優(yōu)良、安全可靠、技術(shù)先進(jìn)和實(shí)用性、兼容性、冗余、容錯(cuò)性、有良好的擴(kuò)展性與可用性并且具備可管理易維護(hù)的網(wǎng)絡(luò)及系統(tǒng)平臺(tái)，以高效率，高速度，低成本的方式提

44、高公司員工的工作效率與執(zhí)行效率”。</p><p>　　4.2 預(yù)見(jiàn)網(wǎng)絡(luò)拓?fù)涿枋?lt;/p><p>　　4.2.1 全局拓?fù)鋱D</p><p>　　4.2.2 總部拓?fù)鋱D</p><p>　　4.2.3 分部拓?fù)鋱D</p><p>　　4.3 網(wǎng)絡(luò)層次化設(shè)計(jì)</p><p>　　根據(jù)XX公司的實(shí)際

45、情況，我們把整個(gè)網(wǎng)絡(luò)分為局域網(wǎng)絡(luò)設(shè)計(jì)、網(wǎng)絡(luò)安全設(shè)計(jì)和Internet網(wǎng)絡(luò)互聯(lián)設(shè)計(jì)幾大部分。在局域網(wǎng)絡(luò)設(shè)計(jì)中采取分層網(wǎng)絡(luò)設(shè)計(jì)。其分層網(wǎng)絡(luò)主要包括核心層、分布層和接入層三大部分。</p><p><b>　　核心層</b></p><p>　　核心層作為整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心，其主要功能是高速、可靠的進(jìn)行數(shù)據(jù)交換。所以在設(shè)計(jì)時(shí)首要目標(biāo)是追求高速，其次才考慮系統(tǒng)開(kāi)銷較大的功能。

46、</p><p><b>　　分布層</b></p><p>　　分布層主要進(jìn)行接入層的數(shù)據(jù)流量匯聚，并對(duì)數(shù)據(jù)流量進(jìn)行訪問(wèn)控制。同時(shí)，分布層是核心層的邊界，它將影響核心層高速的因素局限在一個(gè)較小的范圍，處理工作組訪問(wèn)，定義廣播/組播域等。</p><p><b>　　接入層</b></p><p>

47、　　接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。主要是進(jìn)行vlan的劃分、與分布層的連接等</p><p>　　4.3.1 核心層設(shè)計(jì)</p><p>　　核心交換區(qū)的作用是盡快地提供所有區(qū)域的數(shù)據(jù)交換。因此我們推薦核心層采用兩臺(tái)Cisco WS-C3560G-24TS-S三層千兆交換機(jī)，以實(shí)現(xiàn)路由熱備、鏈路聚合、冗余和負(fù)載均衡以及實(shí)現(xiàn)VLAN技術(shù)。</p><p>　　

48、4.3.2 匯聚層設(shè)計(jì)</p><p>　　匯聚層是連接接入層和核心層的網(wǎng)絡(luò)設(shè)備，為接入層提供數(shù)據(jù)的匯聚、傳輸、管理、分發(fā)處理.匯聚層為接入層提供基于策略的連接，如地址合并，協(xié)議過(guò)濾，路由服務(wù)。認(rèn)證管理等.通過(guò)網(wǎng)段劃分(如VLAN)與網(wǎng)絡(luò)隔離可以防止某些網(wǎng)段的問(wèn)題蔓延和影響到核心層。匯聚層同時(shí)也可以提供接入層虛擬網(wǎng)之間的互連,控制和限制接入層對(duì)核心層的訪問(wèn),保證核心層的安全和穩(wěn)定。因此在這項(xiàng)設(shè)計(jì)中我們將采用Cis

49、co Catalyst 2950T-24作為匯聚層的交換機(jī)，用于實(shí)現(xiàn)VLAN技術(shù)劃分多個(gè)虛擬局域網(wǎng)，保障網(wǎng)絡(luò)的高效；實(shí)現(xiàn)STP技術(shù)在達(dá)到交換機(jī)間的冗余連接的同時(shí)，避免網(wǎng)絡(luò)環(huán)路的出現(xiàn)；實(shí)現(xiàn)VTP技術(shù)防止不需要的廣播信息從一個(gè)VLAN泛洪到VTP域中所有的中繼鏈路。</p><p>　　4.3.3 接入層設(shè)計(jì)</p><p>　　接入層是指網(wǎng)絡(luò)中直接面向用戶連接或訪問(wèn)的部分。接入層目的是允許終

50、端用戶連接到網(wǎng)絡(luò)，因此接入層交換機(jī)具有低成本和高端口密度特性。在本網(wǎng)絡(luò)中接入為各個(gè)分公司的交換機(jī)，因?yàn)榉止镜乃袛?shù)據(jù)流都必須經(jīng)過(guò)它來(lái)傳輸所以它同樣要求具備高穩(wěn)定性和高可靠性。根據(jù)XX公司總部與分部網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)的實(shí)際情況，在XX公司總部局域網(wǎng)的設(shè)計(jì)中，接入層采用Cisco WS-C2960G-48TC-L交換機(jī)，而在各分部的局域網(wǎng)接入層中則采用Cisco WS-C2960-24TC-L交換機(jī)，VLAN技術(shù)劃分多個(gè)虛擬局域網(wǎng)，保障網(wǎng)絡(luò)的高效

51、；實(shí)現(xiàn)STP技術(shù)在達(dá)到交換機(jī)間的冗余連接的同時(shí)，避免網(wǎng)絡(luò)環(huán)路的出現(xiàn)；實(shí)現(xiàn)VTP技術(shù)防止不需要的廣播信息從一個(gè)VLAN泛洪到VTP域中所有的中繼鏈路。</p><p><b>　　路由交換設(shè)計(jì)</b></p><p>　　5.1 路由協(xié)議選擇</p><p>　　為了達(dá)到路由快速收斂、尋址以及方便網(wǎng)絡(luò)管理員管理的目的，我建議采用動(dòng)態(tài)路由協(xié)議，目前

52、較好的動(dòng)態(tài)路由協(xié)議是OSPF協(xié)議和EIGRP協(xié)議，OSPF以協(xié)議標(biāo)準(zhǔn)化強(qiáng)，支持廠家多，受到廣泛應(yīng)用，而EIGRP協(xié)議由Cisco公司發(fā)明，只有Cisco公司自己的產(chǎn)品支持，屬于私有性質(zhì)，其他廠商設(shè)備不支持。考慮網(wǎng)絡(luò)的擴(kuò)展性、公開(kāi)性、投資的保護(hù)等原因，建議采用OSPF路由協(xié)議和靜態(tài)路由相結(jié)合的路由方式。</p><p>　　給予OSPF協(xié)議的特質(zhì)，XX公司總部規(guī)劃為area0，內(nèi)部網(wǎng)絡(luò)設(shè)備都規(guī)劃為area0。各區(qū)域

53、接入路由器根據(jù)區(qū)域不同使用動(dòng)態(tài)協(xié)議，或者靜態(tài)協(xié)議。各個(gè)分部分別規(guī)劃為area1-5區(qū)域。</p><p>　　5.2 路由規(guī)劃拓?fù)鋱D</p><p>　　5.3 IP地址規(guī)劃</p><p>　　IP地址規(guī)劃在網(wǎng)絡(luò)設(shè)計(jì)中的作用舉足輕重。直接影響整個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)的效率。IP地址設(shè)計(jì)的總原則是簡(jiǎn)單、易管理、以擴(kuò)展。</p><p>　　IP地址是TC

54、P/IP協(xié)議中的網(wǎng)絡(luò)層邏輯地址，它被用來(lái)唯一地標(biāo)識(shí)網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)。IP地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。</p><p>　　5.3.1總部IP地址規(guī)劃：</p><p>　　5.3.2分部IP地址規(guī)劃：</p><p>　　其他分部

55、IP地址規(guī)劃方法同上。</p><p><b>　　網(wǎng)絡(luò)安全解決方案</b></p><p>　　通過(guò)對(duì)該項(xiàng)目的要求分析,我們?cè)诰W(wǎng)絡(luò)安全方面主要考慮的問(wèn)題如下:</p><p>　　1、必須考慮這個(gè)方案的安全性和穩(wěn)定性、可管理性和維護(hù)性，以及能夠滿足未來(lái)網(wǎng)絡(luò)發(fā)展的需要。</p><p>　　2、目前網(wǎng)絡(luò)地址（總部和分部）

56、已經(jīng)統(tǒng)一規(guī)劃，不能更改。VPN建設(shè)不能和原來(lái)的專線網(wǎng)絡(luò)建設(shè)發(fā)生沖突。</p><p>　　3、對(duì)于分部的網(wǎng)絡(luò)，采用路由器和VPN隧道技術(shù)，實(shí)現(xiàn)和總部網(wǎng)絡(luò)互通。</p><p>　　6.1 網(wǎng)絡(luò)邊界安全威脅分析</p><p>　　網(wǎng)絡(luò)的邊界隔離著不同功能或地域的多個(gè)網(wǎng)絡(luò)區(qū)域，由于各功能不同，相連網(wǎng)絡(luò)的密集也不同，這樣的網(wǎng)絡(luò)直接相連，必然存在危險(xiǎn)，下面就是對(duì)該項(xiàng)目網(wǎng)絡(luò)

57、邊界安全問(wèn)題的分析。</p><p>　　1、XX公司總部網(wǎng)絡(luò)與各級(jí)單元的連接，可能遭到來(lái)自各地的越權(quán)訪問(wèn)、惡意攻擊和計(jì)算機(jī)病毒的入侵。</p><p>　　2、內(nèi)部的各個(gè)功能網(wǎng)絡(luò)通過(guò)骨干交換相互連接，這樣重要的部門(mén)或?qū)＞W(wǎng)將遭到來(lái)自其他部門(mén)的越權(quán)訪問(wèn)。這些越權(quán)訪問(wèn)可能包括惡意的攻擊、誤操作等，但后果都將導(dǎo)致重要信息泄漏或者網(wǎng)絡(luò)癱瘓。</p><p>　　6.2 網(wǎng)絡(luò)

58、內(nèi)部安全威脅分析</p><p>　　XX公司總部?jī)?nèi)部及分部?jī)?nèi)部網(wǎng)絡(luò)風(fēng)險(xiǎn)可能表現(xiàn)在以下幾個(gè)方面：</p><p>　　1、內(nèi)部用戶的非授權(quán)訪問(wèn)?？偛?jī)?nèi)部的資源并非對(duì)任何員工開(kāi)放，也需有相應(yīng)的訪問(wèn)權(quán)限。內(nèi)部用戶的非授權(quán)訪問(wèn)更容易造成資源和重要信息的泄漏。</p><p>　　2、內(nèi)部用戶的誤操作。由于內(nèi)部用戶的失誤操作也極容易給服務(wù)器和其他主機(jī)造成危害。</p&

59、gt;<p>　　3、內(nèi)部用戶的惡意攻擊。相對(duì)與外部攻擊來(lái)說(shuō)，內(nèi)部攻擊更是容易，因此，對(duì)內(nèi)部用戶攻擊的防范也很重要。</p><p>　　4、設(shè)備自身安全性也會(huì)直接關(guān)系到網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。</p><p>　　5、重要的服務(wù)器或操作系統(tǒng)自身存在安全的漏洞，也將會(huì)為網(wǎng)絡(luò)的安全帶來(lái)很多不安定的因素。</p><p>　　6.3 安全產(chǎn)品選型原則</p&

60、gt;<p>　　該項(xiàng)目的網(wǎng)絡(luò)屬于專用網(wǎng)絡(luò)，因此在安全產(chǎn)品的選型上應(yīng)慎重，其選型的原則包括：</p><p>　　1、安保產(chǎn)品的接入不能明顯影響網(wǎng)絡(luò)系統(tǒng)的運(yùn)行效率，并滿足工作需要，不影響正常工作。</p><p>　　2、安保產(chǎn)品必須通過(guò)國(guó)家主管部門(mén)指定的測(cè)評(píng)機(jī)構(gòu)的檢測(cè)。</p><p>　　3、安保產(chǎn)品必須具備自保能力。</p><

61、;p>　　4、安保產(chǎn)品必須符合國(guó)家和國(guó)際上的相關(guān)標(biāo)準(zhǔn)。</p><p>　　5、安保產(chǎn)品必須操作簡(jiǎn)單易用，便于簡(jiǎn)單部署和集中管理。</p><p><b>　　網(wǎng)絡(luò)技術(shù)介紹</b></p><p>　　7.1 VLAN技術(shù)：</p><p>　　VLAN（Virtual Local Area Network，虛擬局

62、域網(wǎng)）技術(shù)主要為了解決交換機(jī)在進(jìn)行局域網(wǎng)互連時(shí)無(wú)法限制廣播的問(wèn)題?？梢园岩粋€(gè)LAN劃分成多個(gè)邏輯Vlan，每個(gè)Vlan是一個(gè)廣播域，Vlan內(nèi)的主機(jī)間通信和在一個(gè)LAN內(nèi)一樣，而Vlan間則不能直接互通，這樣，廣播報(bào)文被限制在一個(gè)Vlan內(nèi)。</p><p>　　7.1.1使用VLAN技術(shù)的優(yōu)勢(shì)： </p><p>　　通過(guò)劃分VLAN子網(wǎng)，能劃小了廣播域，避免了廣播風(fēng)暴的產(chǎn)生。提高交換

63、網(wǎng)絡(luò)的交換效率，保證網(wǎng)絡(luò)穩(wěn)定，提高網(wǎng)絡(luò)安全性，根據(jù)Ambow公司內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)的需求，采用VLAN技術(shù)來(lái)劃分企業(yè)網(wǎng)絡(luò)，一個(gè)VLAN可以將公司部門(mén)、項(xiàng)目組或者服務(wù)器組將不同地理位置的工作站劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在子網(wǎng)之間移動(dòng)，VLAN提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制，VLAN技術(shù)很好的解決了網(wǎng)絡(luò)管理的問(wèn)題，能實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)督與管理的自動(dòng)化，從而更有效的進(jìn)行網(wǎng)絡(luò)監(jiān)控。</p><p&g

64、t;　　7.1.2 VLAN劃分</p><p>　　1、根據(jù)端口劃分Vlan</p><p>　　以交換機(jī)端口劃分網(wǎng)絡(luò)成員，配置過(guò)成簡(jiǎn)單明了，是常用的一種方式。</p><p>　　2、根據(jù)MAC地址劃分VLAN</p><p>　　根據(jù)每個(gè)主機(jī)的MAC地址來(lái)劃分，即對(duì)每個(gè)MAC地址的主機(jī)都配置它屬于哪VLAN。這種劃分方法的優(yōu)點(diǎn)是當(dāng)用戶物

65、理位置移動(dòng)時(shí)，VLAN不用重新配置，缺點(diǎn)是初始化時(shí)，所有的用戶都必須進(jìn)行配置，如果有幾百個(gè)甚至上千個(gè)用戶的話，管理員的配置工作量非常大。</p><p>　　3、根據(jù)網(wǎng)絡(luò)層劃分VLAN</p><p>　　根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型劃分。</p><p>　　4、根據(jù)IP組播劃分VLAN</p><p>　　IP組播實(shí)際上也是一種VL

66、AN的定義，即認(rèn)為一個(gè)組播就是一個(gè)VLAN，這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過(guò)路由器進(jìn)行擴(kuò)展，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高。</p><p>　　5、基于規(guī)則的VLAN</p><p>　　也稱為基于策略的VLAN。這是最靈活的VLAN劃分方法，具有自動(dòng)配置的能力，整個(gè)網(wǎng)絡(luò)可以非常方便地通過(guò)路由器擴(kuò)展網(wǎng)絡(luò)規(guī)模。</p&g

67、t;<p>　　6、按用戶定義、非用戶授權(quán)劃分VLAN</p><p>　　基于用戶定義、非用戶授權(quán)來(lái)劃分VLAN，是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò)，根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來(lái)定義和設(shè)計(jì)VLAN，而且可以讓非VLAN群體用戶訪問(wèn)VLAN，但是需要提供用戶密碼，在得到VLAn管理的認(rèn)證后才可以加入一個(gè)Vlan。</p><p>　　7.2 VTP技術(shù)： </p>

68、<p>　　VTP（VLAN Trunking Protocol）：是Vlan中級(jí)協(xié)議，也稱為虛擬局域網(wǎng)干道協(xié)議。VTP協(xié)議是思科的專用協(xié)議，大多數(shù)的Catalys交換機(jī)都支持該協(xié)議，VTP可以減少Vlan的相關(guān)管理任務(wù)。</p><p>　　7.2.1 VTP有三種工作模式：VTPServer、VTPClient和VTPTransparent。</p><p>　　7.2.2

69、使用VTP技術(shù)的優(yōu)勢(shì)：</p><p>　　使用VTP技術(shù)，主要是為了防止不需要的廣播信息從一個(gè)vlan泛洪到VTP域中所有的中繼鏈路。Vtp修剪允許交換機(jī)協(xié)商 將那些VLAN分配到中繼鏈路另一端的端口，因此剪除未分配到遠(yuǎn)程交換機(jī)端口的VLAN。VTP修剪功能默認(rèn)為禁用，可以使用全局配置命令vtp pruning啟用vtp修剪，只需要在域內(nèi)一臺(tái)VTP服務(wù)器交換機(jī)上啟用修剪功能即可。</p><

70、p>　　7.3 STP生成樹(shù)協(xié)議：</p><p>　　STP (Spanning Tree Protocol)生成樹(shù)協(xié)議該協(xié)議的目的是在實(shí)現(xiàn)交換機(jī)之間的冗余連接的同時(shí)，避免網(wǎng)絡(luò)環(huán)路的出現(xiàn)，實(shí)現(xiàn)網(wǎng)絡(luò)的高可靠性。邏輯上斷開(kāi)環(huán)路，防止廣播風(fēng)暴的產(chǎn)生。當(dāng)線路出現(xiàn)故障，斷開(kāi)的接口被激活，恢復(fù)通信，起到線路備份的作用。</p><p>　　Stp 使用生成樹(shù)算法（STA）計(jì)算網(wǎng)絡(luò)中的那些交換機(jī)

71、端口應(yīng)配置為阻塞以防止出現(xiàn)環(huán)路。所有參與STP的交換機(jī)互相交換BPDU幀， BPDU幀是運(yùn)行STP的 交換機(jī)之間交換的包含STP消息的幀。每個(gè)BPDU都包含一個(gè)BID，用于標(biāo)識(shí)發(fā)送該BPDU的交換機(jī)。</p><p>　　7.3.1使用STP協(xié)議的優(yōu)勢(shì)：</p><p>　　根據(jù)所設(shè)計(jì)的拓?fù)鋱D，采用生成樹(shù)的協(xié)議，該協(xié)議的目的是在實(shí)現(xiàn)交換機(jī)之間的冗余連接的同時(shí)，避免網(wǎng)絡(luò)環(huán)路的出現(xiàn)，

72、實(shí)現(xiàn)網(wǎng)絡(luò)的高可靠性，它實(shí)現(xiàn)在交換機(jī)之間傳遞橋接。，當(dāng)邏輯上斷開(kāi)環(huán)路，防止廣播風(fēng)暴的產(chǎn)生，當(dāng)線路出現(xiàn)故障，斷開(kāi)的借口唄激活，恢復(fù)通信，起備份線路的作用。</p><p>　　7.4 EthernetChannel：</p><p>　　以太通道也稱為以太端口捆綁、端口聚集或以太鏈路聚集。以太通道為交換機(jī)提供了端口捆綁的技術(shù)，將多個(gè)物理以太網(wǎng)端口聚合在一起形成一個(gè)邏輯上的聚合組；同一聚合組內(nèi)的

73、多條物理鏈路視為一條邏輯鏈路。鏈路聚合可以實(shí)現(xiàn)出/入負(fù)荷在聚合組中各個(gè)成員端口之間分擔(dān)，以增加帶寬。同時(shí)，同一聚合組的各個(gè)成員端口之間彼此動(dòng)態(tài)備份，提高了連接可靠性。</p><p>　　7.4.1以太通道的特點(diǎn)：</p><p>　　以太網(wǎng)通道最多可以捆綁8條物理鏈路，可以是雙絞線，也可以是光纖。 </p><p>　　以太通道的規(guī)則：參與捆綁的端口必須屬于同一個(gè)

74、VLAN，或者都是中繼模式 </p><p>　　如果端口配置是中繼模式，則鏈路中的兩個(gè)端口必須都是中繼模式 </p><p>　　所有參與捆綁的端口的物理參數(shù)必須相同，例如全部為半雙工或者全部為全雙工。</p><p>　　7.4.2 使用Etherchannel的優(yōu)勢(shì)：</p><p>　　GEC技術(shù)一方面為我們提供了一種擴(kuò)展網(wǎng)絡(luò)帶寬的手

75、段，另一方面，它還為連接提供了容錯(cuò)。平時(shí)，網(wǎng)絡(luò)流量是被分?jǐn)偟玫綐?gòu)成GEC/FEC的2條或多條物理鏈路上，如果其中一條鏈路發(fā)生故障，該故障鏈路上的物理流量會(huì)立刻被重新分配到其他正常的流量上，congenial達(dá)到了容錯(cuò)的目的。</p><p>　　7.4.3以太通道的特點(diǎn)：</p><p>　　以太網(wǎng)通道最多可以捆綁8條物理鏈路，可以是雙絞線，也可以是光纖。 </p><

76、p>　　7.4.4 以太通道的規(guī)則：參與捆綁的端口必須屬于同一個(gè)VLAN，或者都是中繼模式 </p><p>　　7.5 Trunk技術(shù)</p><p>　　Trunk是一種封裝技術(shù)，它是一條點(diǎn)到點(diǎn)的鏈路，鏈路的兩端可以都是交換機(jī)，也可以是交換機(jī)和路由器，還可以是主機(jī)和交換機(jī)或路由器?；诙丝趨R聚（Trunk）功能，允許交換機(jī)與交換機(jī)、交換機(jī)與路由器、主機(jī)與交換機(jī)或路由器之間通過(guò)兩個(gè)

77、或多個(gè)端口并行連接同時(shí)傳輸以提供更高帶寬、更大吞吐量， 大幅度提供整個(gè)網(wǎng)絡(luò)能力。是帶寬擴(kuò)展和鏈路備份的一個(gè)重要途徑。TRUNK把多個(gè)物理端口捆綁在一起當(dāng)作一個(gè)邏輯端口使用，可以把多組端口的寬帶疊加起來(lái)使用。TRUNK技術(shù)可以實(shí)現(xiàn)TRUNK內(nèi)部多條鏈路互為備份的功能，即當(dāng)一條鏈路出現(xiàn)故障時(shí)，不影響其他鏈路的工作，同時(shí)多鏈路之間還能實(shí)現(xiàn)流量均衡。</p><p>　　7.6 HSRP路由熱備份：</p>

78、<p>　　HSRP(Hot Standby Router Protocol)是CISCO公司制定的專有路由器備份協(xié)議，支持多臺(tái)路由器形成熱備而消除單臺(tái)設(shè)備失效造成的網(wǎng)絡(luò)中斷。HSRP允許在一個(gè)局域網(wǎng)（以太網(wǎng)，令牌環(huán)，F(xiàn)DDI）上或ISL封裝的VLAN上的多個(gè)路由器共享一個(gè)虛擬IP地址和MAC地址，共享地址的一組路由器被配置成HSRP組，組中每一個(gè)路由器配置一個(gè)組IP地址和優(yōu)先級(jí)。存在一個(gè)路由器是活躍激活的，接受所有合法網(wǎng)絡(luò)

79、IP/MAC地址包，如果激活的路由器發(fā)生故障，組中的另一個(gè)路由器激活并接收包。</p><p>　　7.6.1 使用HSRP的優(yōu)勢(shì)：</p><p>　　我們使用HSRP來(lái)實(shí)現(xiàn)故障路由器的接管。HSRP協(xié)議是Cisco公司制定的專有路由器備份協(xié)議，支持多臺(tái)路由器形成備份而消除單臺(tái)設(shè)備失效造成的網(wǎng)絡(luò)中斷。比且確保了當(dāng)網(wǎng)絡(luò)邊緣或接入鏈路出現(xiàn)故障時(shí)，用戶通信能迅速并透明的恢復(fù)，并為此IP網(wǎng)絡(luò)提供

80、了冗余性。HSRP支持在某個(gè)路由器出現(xiàn)故障時(shí)可以快速的進(jìn)行默認(rèn)網(wǎng)關(guān)的切換，通過(guò)共同提供一個(gè)IP地址和MAC地址，兩個(gè)或者多個(gè)路由器可以做為一個(gè)虛擬路由器，當(dāng)某個(gè)路由器出現(xiàn)故障時(shí)，其他路由器可以無(wú)縫的接替它進(jìn)行路由選擇。，這樣就很好的解決了路由器切換的問(wèn)題。</p><p>　　為了把網(wǎng)絡(luò)阻塞降到最底限度，網(wǎng)絡(luò)中只有活路由器和備份路由器可以在完成HSRP協(xié)議選擇過(guò)程后發(fā)送一次HSRP消息包。如果活路由器失效，則備份

81、路由器將取代它作為新的活路由器工作。而當(dāng)備份路由器失效或者它變成了活路由器時(shí)，另外一個(gè)路由器將被選為備份路由器。</p><p><b>　　7.7 DHCP：</b></p><p>　　DHCP動(dòng)態(tài)主機(jī)設(shè)置協(xié)議（Dynamic Host Configuration Protocol, DHCP）是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作，主要有兩個(gè)用途：給內(nèi)部網(wǎng)絡(luò)

82、或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動(dòng)分配IP地址給用戶給內(nèi)部網(wǎng)絡(luò)管理員作為對(duì)所有計(jì)算機(jī)作中央管理的手段。</p><p>　　7.8 VPN技術(shù)：</p><p>　　虛擬專用網(wǎng)（vpn）被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。使用這條隧道可以對(duì)數(shù)據(jù)進(jìn)行幾倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫

83、助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。</p><p>　　VPN技術(shù)分為L(zhǎng)2LP、GRE、IPsec。 IPSec (Internet 協(xié)議安全)是一個(gè)工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議，為 IP

84、 網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù) TCP/IP 通信免遭竊聽(tīng)和篡改，可以有效抵御網(wǎng)絡(luò)攻擊，同時(shí)保持易用性。</p><p>　　7.8.1 Site-to-Site VPN</p><p>　　Site-to-Site VPN就是站點(diǎn)到站點(diǎn)的VPN。</p><p>　　IPSec（IP Security）是IETF制定的為保證在Internet上傳送數(shù)據(jù)的安全保

85、密性能的框架協(xié)議。IPSec包括報(bào)文驗(yàn)證頭協(xié)議AH（協(xié)議號(hào)51） 和報(bào)文安全封裝協(xié)議ESP（協(xié)議號(hào)50）兩個(gè)協(xié)議。 IPSec有隧道（tunnel）和傳送（transport）兩種工作方式 </p><p>　　它提供兩個(gè)安全協(xié)議：</p><p>　　1、AH (Authentication Header)報(bào)文認(rèn)證頭協(xié)議 </p><p>　　MD5(

86、Message Digest 5)</p><p>　　SHA1(Secure Hash Algorithm)</p><p>　　2、ESP (Encapsulation Security Payload)封裝安全載荷協(xié)議 </p><p>　　DES (Data Encryption Standard) </p><p><b>

87、;　　3DES</b></p><p>　　其他的加密算法：Blowfish ，blowfish、cast </p><p>　　安全特性：數(shù)據(jù)機(jī)密性（Confidentiality）、數(shù)據(jù)完整性（Data Integrity）、數(shù)據(jù)來(lái)源認(rèn)證（Data Authentication） 、反重放（Anti-Replay）</p><p>　　7.8.2 E

88、asy VPN</p><p>　　Easy VPN又名ezVPN，是Cisco專用VPN技術(shù)。它分為EASY VPN SERVER和EASY VPN REMOTE兩種，EASY VPN SERVER 是REMOT--ACCESS VPN專業(yè)設(shè)備。配置復(fù)雜，支持POLICY PUSHING等特性，現(xiàn)在的900、1700、PIX、VPN3002和ASA等很多設(shè)備都支持。此種技術(shù)應(yīng)用在中小企業(yè)居多。如Cisco金睿系

89、類的路由器都有整合easy VPN。</p><p>　　7.9 QOS技術(shù)：</p><p>　　Quality of Service（服務(wù)質(zhì)量）是指網(wǎng)絡(luò)通信過(guò)程中，允許用戶業(yè)務(wù)在丟包率、延遲、抖動(dòng)和帶寬等方面獲得可預(yù)期的服務(wù)水平。</p><p>　　IP QoS目標(biāo)是：避免并管理IP網(wǎng)絡(luò)擁塞、減少IP報(bào)文的丟失率、調(diào)控IP網(wǎng)絡(luò)的流量、為特定用戶或特定業(yè)務(wù)提供專

90、用帶寬、支撐IP網(wǎng)絡(luò)上的實(shí)時(shí)業(yè)務(wù)。</p><p>　　7.9.1 QOS的服務(wù)模型有三種常見(jiàn)模式：</p><p>　　Best-Effort service模型：是目前Internet的缺省服務(wù)模型，主要實(shí)現(xiàn)技術(shù)是先進(jìn)先出隊(duì)列(FIFO)。</p><p>　　Integrated service模型：通過(guò)信令向網(wǎng)絡(luò)申請(qǐng)?zhí)囟ǖ腝oS服務(wù)，網(wǎng)絡(luò)在流量參數(shù)描述的范圍

91、內(nèi)，預(yù)留資源以承諾滿足該請(qǐng)求。</p><p>　　Differentiated service模型：當(dāng)網(wǎng)絡(luò)出現(xiàn)擁塞時(shí)，根據(jù)業(yè)務(wù)的不同服務(wù)等級(jí)約定，有差別地進(jìn)行流量控制和轉(zhuǎn)發(fā)來(lái)解決擁塞問(wèn)題。</p><p>　　7.10 NAT技術(shù)：</p><p>　　NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是將IP數(shù)據(jù)報(bào)文頭中的IP地址轉(zhuǎn)換

92、為另一個(gè)IP地址的過(guò)程。在實(shí)際應(yīng)用中，NAT主要用于實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問(wèn)公共網(wǎng)絡(luò)的功能。這種通過(guò)使用少量的公網(wǎng)IP地址代表較多的私網(wǎng)IP地址的方式，將有助于減緩可用IP地址空間的枯竭。</p><p>　　7.10.1 NAT的類型有：</p><p>　　靜態(tài)NAT(Static NAT) </p><p>　　動(dòng)態(tài)地址NAT(Pooled NAT)</p>

93、;<p>　　網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port－Level NAT）</p><p>　　7.10.2使用靜態(tài)NAT技術(shù)到的優(yōu)勢(shì)：</p><p>　　1對(duì)于內(nèi)部通訊可以利用私網(wǎng)地址，如果需要與外部通訊或訪問(wèn)外部資源，則可通過(guò)將私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址來(lái)實(shí)現(xiàn)。</p><p>　　2通過(guò)公網(wǎng)地址與端口的結(jié)合，可使多個(gè)私網(wǎng)用戶共用一個(gè)公網(wǎng)地址</p

94、><p>　　3通過(guò)靜態(tài)映射，不同的內(nèi)部服務(wù)器可以映射到同一個(gè)公網(wǎng)地址。外部用戶可通過(guò)公網(wǎng)地址和端口訪問(wèn)不同的內(nèi)部服務(wù)器，同時(shí)還隱藏了內(nèi)部服務(wù)器的真實(shí)IP地址，從而防止外部對(duì)內(nèi)部服務(wù)器乃至內(nèi)部網(wǎng)絡(luò)的攻擊行為。</p><p>　　4方便網(wǎng)絡(luò)管理，如通過(guò)改變映射表就可實(shí)現(xiàn)私網(wǎng)服務(wù)器的遷移，內(nèi)部網(wǎng)絡(luò)的改變也很容易。</p><p>　　7.11 ACL訪問(wèn)控制列表</

95、p><p>　　訪問(wèn)控制列表（Access Control List，ACL） 是路由器和交換機(jī)接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語(yǔ)句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對(duì)某種訪問(wèn)進(jìn)行控制。信息點(diǎn)間通信，內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過(guò)安全策略來(lái)保障非授權(quán)用戶只

96、能訪問(wèn)特定的網(wǎng)絡(luò)資源，從而達(dá)到對(duì)訪問(wèn)進(jìn)行控制的目的。簡(jiǎn)而言之，ACL可以過(guò)濾網(wǎng)絡(luò)中的流量，控制訪問(wèn)的一種網(wǎng)絡(luò)技術(shù)手段。</p><p>　　ACL的定義也是基于每一種協(xié)議的。如果路由器接口配置成為支持三種協(xié)議（IP、AppleTalk以及IPX）的情況，那么，用戶必須定義三種ACL來(lái)分別控制這三種協(xié)議的數(shù)據(jù)包。</p><p>　　7.11.1 ACL的分類：</p><

97、;p>　　目前有兩種主要的ACL:標(biāo)準(zhǔn)ACL和擴(kuò)展ACL、通過(guò)命名、通過(guò)時(shí)間。 　　</p><p>　　標(biāo)準(zhǔn)的ACL使用 1 ~ 99 以及1300~1999之間的數(shù)字作為表號(hào)，擴(kuò)展的ACL使用 100 ~ 199以及2000~2699之間的數(shù)字作為表號(hào)。 　　</p><p>　　標(biāo)準(zhǔn)ACL可以阻止來(lái)自某一網(wǎng)絡(luò)的所有通信流量，或者允許來(lái)自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)

98、議簇（比如IP）的所有通信流量。 　　</p><p>　　擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍。例如，網(wǎng)絡(luò)管理員如果希望做到“允許外來(lái)的Web通信流量通過(guò)，拒絕外來(lái)的FTP和Telnet等通信流量”，那么，他可以使用擴(kuò)展ACL來(lái)達(dá)到目的，標(biāo)準(zhǔn)ACL不能控制這么精確。 　　</p><p>　　在標(biāo)準(zhǔn)與擴(kuò)展訪問(wèn)控制列表中均要使用表號(hào)，而在命名訪問(wèn)控制列表中使用一個(gè)字母或數(shù)字組合的字

99、符串來(lái)代替前面所使用的數(shù)字。使用命名訪問(wèn)控制列表可以用來(lái)刪除某一條特定的控制條目，這樣可以讓我們?cè)谑褂眠^(guò)程中方便地進(jìn)行修改。　</p><p>　　隨著網(wǎng)絡(luò)的發(fā)展和用戶要求的變化，從IOS 12.0開(kāi)始，思科（CISCO）路由器新增加了一種基于時(shí)間的訪問(wèn)列表。通過(guò)它，可以根據(jù)一天中的不同時(shí)間，或者根據(jù)一星期中的不同日期，或二者相結(jié)合來(lái)控制網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)。這種基于時(shí)間的訪問(wèn)列表，就是在原來(lái)的標(biāo)準(zhǔn)訪問(wèn)列表和擴(kuò)展訪問(wèn)

100、列表中，加入有效的時(shí)間范圍來(lái)更合理有效地控制網(wǎng)絡(luò)。首先定義一個(gè)時(shí)間范圍，然后在原來(lái)的各種訪問(wèn)列表的基礎(chǔ)上應(yīng)用它。</p><p>　　7.11.2 ACL的特點(diǎn)：</p><p>　　ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。</p><p>　　ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。</p><p>　　ACL可以根據(jù)數(shù)

101、據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級(jí)</p><p>　　ACL提供對(duì)通信流量的控制手段</p><p>　　ACL是提供網(wǎng)絡(luò)安全訪問(wèn)的基本手段</p><p>　　7.12 IOS防火墻:</p><p>　　所謂防火墻指的是一個(gè)有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。</p>&l

102、t;p>　　防火墻技術(shù)，最初是針對(duì) Internet 網(wǎng)絡(luò)不安全因素所采取的一種保護(hù)措施。顧名思義，防火墻就是用來(lái)阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問(wèn)。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問(wèn)政策、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一

103、個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件(其中硬件防火墻用的很少只有國(guó)防部等地才用,因?yàn)樗鼉r(jià)格昂貴)。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)此防火墻。</p><p>　　功能：防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過(guò)濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn)，從而防止來(lái)自不明入侵者的所有通信

104、。</p><p>　　7.13 OSPF協(xié)議</p><p>　　開(kāi)放式最短路徑優(yōu)先（Open Shortest Path First，OSPF）協(xié)議是一種為IP網(wǎng)絡(luò)開(kāi)發(fā)的內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議，由IETF開(kāi) 發(fā)并推薦使用。OSPF協(xié)議由三個(gè)子協(xié)議組成：Hello協(xié)議、交換協(xié)議和擴(kuò)散協(xié)議。其中Hello協(xié)議負(fù)責(zé)檢查鏈路是否可用，并完成指定路由器及備份指 定路由器；交換協(xié)議完成“主”、“從”

105、路由器的指定并交換各自的路由數(shù)據(jù)庫(kù)信息；擴(kuò)散協(xié)議完成各路由器中路由數(shù)據(jù)庫(kù)的同步維護(hù)。 </p><p>　　OSPF 協(xié)議采用鏈路狀態(tài)協(xié)議算法，每個(gè)路由器維護(hù)一個(gè)相同的鏈路狀態(tài)數(shù)據(jù)庫(kù)，保存整個(gè)AS的拓?fù)浣Y(jié)構(gòu)（在AS不劃分的情況下）。一旦每個(gè)路由器有了完整的鏈路狀態(tài)數(shù)據(jù)庫(kù)，該路由器就可以自己為根，構(gòu)造最短路徑路徑樹(shù)，然后再根據(jù)最短路徑構(gòu)造路徑表。對(duì)于大型的網(wǎng)絡(luò)，為了進(jìn)一步減少路由協(xié)議通信流量，利于管理和計(jì)算。OSP

106、F將整個(gè)AS 劃分為若干個(gè)區(qū)域 ，區(qū)域內(nèi)的路由器維護(hù)一個(gè)相同的鏈路狀態(tài)數(shù)據(jù)庫(kù)，保存該區(qū)域的拓?fù)鋱D結(jié)構(gòu)。OSPF 路由器相互間交換信息，但交換的信息不是路由，而是鏈路狀態(tài)。OSPF 定義了5種分組：Hello分組用于建立和維護(hù)鄰居關(guān)系；數(shù)據(jù)庫(kù)描述分組初始化路由器的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫(kù)；當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫(kù)中的某部分信息已經(jīng)過(guò)時(shí)后，路由器發(fā)送鏈路狀態(tài)請(qǐng)求分組，請(qǐng)求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來(lái)主動(dòng)擴(kuò)展自己的鏈路狀態(tài)數(shù)據(jù)庫(kù)或?qū)︽溌窢顟B(tài)請(qǐng)求分

107、組進(jìn)行相應(yīng)；由于OSPF直接運(yùn)行在IP層，協(xié)議本身要提供確認(rèn)機(jī)制，鏈路狀態(tài)應(yīng)答分組狀態(tài)更新分組進(jìn)行確認(rèn)。</p><p>　　相對(duì)于其他協(xié)議，OSPF有許多優(yōu)點(diǎn)。OSPF 支持各種不同鑒別機(jī)制（如簡(jiǎn)單口令驗(yàn)證，MD5加密驗(yàn)證等），并且允許各個(gè)系統(tǒng)或區(qū)域采用互不相同的鑒別機(jī)制；提供負(fù)載均衡功能，如果計(jì)算出道某個(gè)目的站有若干條費(fèi)用相同的路由，OSPF 路由器會(huì)把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送

108、出去；在一個(gè)自制系統(tǒng)內(nèi)可劃分出若干個(gè)區(qū)域，每一個(gè)區(qū)域根據(jù)自己的拓?fù)浣Y(jié)構(gòu)計(jì)算最短路徑，這樣減少了OSPF路由實(shí)現(xiàn)的工作量；OSPF屬于動(dòng)態(tài)的自適應(yīng)協(xié)議，對(duì)于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速的作出反應(yīng)，進(jìn)行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比，OSPF在對(duì)網(wǎng)絡(luò)拓?fù)渥兓奶幚磉^(guò)程中僅需要最少的通信流量；OSPF 提供點(diǎn)到多點(diǎn)接口，支持CIDR(無(wú)類路由)地址。</p><p>　　7.13.1

109、 OSPF協(xié)議的優(yōu)點(diǎn)： </p><p>　　OSPF能夠在自己的鏈路狀態(tài)數(shù)據(jù)庫(kù)內(nèi)表示整個(gè)網(wǎng)絡(luò)，這極大地減少了收斂時(shí)間，并且支持大型異構(gòu)網(wǎng)絡(luò)的互聯(lián)，提供了一個(gè)異構(gòu)網(wǎng)絡(luò)間通過(guò)同一種協(xié)議交換網(wǎng)絡(luò)信息的途徑，并且不容易出現(xiàn)錯(cuò)誤的路由信息。OSPF支持通往相同目的的多重路徑。 </p><p>　　OSPF使用路由標(biāo)簽區(qū)分不同的外部路由。 </p><p>　　OSPF支持

110、路由驗(yàn)證，只有互相通過(guò)路由驗(yàn)證的路由器之間才能交換路由信息；并且可以對(duì)不同的區(qū)域定義不同的驗(yàn)證方式，從而提高了網(wǎng)絡(luò)的安全性。 </p><p>　　OSPF支持費(fèi)用相同的多條鏈路上的負(fù)載均衡。 </p><p>　　OSPF是一個(gè)非族類路由協(xié)議，路由信息不受跳數(shù)的限制，減少了因分級(jí)路由帶來(lái)的子網(wǎng)分離問(wèn)題。 </p><p>　　OSPF支持VLSM和非族類路由查表，

111、有利于網(wǎng)絡(luò)地址的有效管理OSPF使用AREA對(duì)網(wǎng)絡(luò)進(jìn)行分層，減少了協(xié)議對(duì)CPU處理時(shí)間和內(nèi)存的需求。</p><p>　　7.13.2 OSPF的網(wǎng)絡(luò)類型</p><p>　　OSPF定義的5種網(wǎng)絡(luò)類型:</p><p>　　點(diǎn)到點(diǎn)網(wǎng)絡(luò) (point-to-point)</p><p>　　廣播型網(wǎng)絡(luò) (broadcast)</p>

112、;<p>　　非廣播型(NBMA)網(wǎng)絡(luò) (non-broadcast)</p><p>　　點(diǎn)到多點(diǎn)網(wǎng)絡(luò) (point-to-multipoint)</p><p>　　虛鏈接(virtual link)</p><p>　　點(diǎn)到點(diǎn)網(wǎng)絡(luò), 比如T1線路,是連接單獨(dú)的一對(duì)路由器的網(wǎng)絡(luò),點(diǎn)到點(diǎn)網(wǎng)絡(luò)上的有效鄰居總是可以形成鄰接關(guān)系的,在這種網(wǎng)絡(luò)上,OSPF包