路由交換方向畢業(yè)論文

1、<p><b>　　?？粕厴I(yè)設(shè)計(jì) </b></p><p>　　網(wǎng) 絡(luò) 工 程 </p><p><b>　　路由交換方向</b></p><p>　　院 系　軟件學(xué)院</p><p>　　專 業(yè)　網(wǎng)絡(luò)技術(shù)</p><p>　　班

2、 級　09網(wǎng)絡(luò)技術(shù)2班</p><p>　　2011年 5 月</p><p><b>　　獨(dú) 創(chuàng) 性 聲 明</b></p><p>　　本人鄭重聲明：所呈交的畢業(yè)論文（設(shè)計(jì)）是本人在指導(dǎo)老師指導(dǎo)下取得的研究成果。除了文中特別加以注釋和致謝的地方外，論文（設(shè)計(jì)）中不包含其他人已經(jīng)發(fā)表或撰寫的研究成果。與本研究成果相關(guān)的所有人

3、所做出的任何貢獻(xiàn)均已在論文（設(shè)計(jì)）中作了明確的說明并表示了謝意。</p><p>　　簽名： 　</p><p><b>　　年　　月　　日</b></p><p><b>　　授權(quán)聲明</b></p><p>　　本人完全了解許昌學(xué)院有關(guān)保留、使用本科生畢業(yè)論文（設(shè)計(jì)）

4、的規(guī)定，即：有權(quán)保留并向國家有關(guān)部門或機(jī)構(gòu)送交畢業(yè)論文（設(shè)計(jì)）的復(fù)印件和磁盤，允許畢業(yè)論文（設(shè)計(jì)）被查閱和借閱。本人授權(quán)許昌學(xué)院可以將畢業(yè)論文（設(shè)計(jì)）的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存、匯編論文（設(shè)計(jì)）。</p><p>　　本人論文（設(shè)計(jì)）中有原創(chuàng)性數(shù)據(jù)需要保密的部分為：　　。</p><p>　　簽名： </p&g

5、t;<p><b>　　年　　月　　日</b></p><p>　　指導(dǎo)教師簽名： </p><p><b>　　年　　月　　日</b></p><p><b>　　摘 要</b></p><p>　　  

6、60; 網(wǎng)絡(luò)技術(shù)的飛速發(fā)展標(biāo)志著一個(gè)新的時(shí)代——網(wǎng)絡(luò)時(shí)代的來臨。網(wǎng)絡(luò)技術(shù)引發(fā)的全球信息化浪潮沖擊著傳統(tǒng)社會(huì)生活的每一個(gè)角落，網(wǎng)絡(luò)化、數(shù)據(jù)化、知識化已成為時(shí)代的主旋率。網(wǎng)絡(luò)時(shí)代整個(gè)社會(huì)經(jīng)濟(jì)的產(chǎn)生結(jié)構(gòu)和勞動(dòng)結(jié)構(gòu)發(fā)生了改變，整個(gè)社會(huì)經(jīng)濟(jì)成為了與電子商務(wù)緊密相連的網(wǎng)絡(luò)經(jīng)濟(jì)。這種全球化的、高速度、低成本、數(shù)據(jù)安全性、虛擬化的，不斷創(chuàng)新的經(jīng)濟(jì)模型改變了傳統(tǒng)的企業(yè)管理模式、經(jīng)營模式和會(huì)計(jì)模式。滿足了企業(yè)發(fā)展的需要。</p><

7、;p>　　關(guān)鍵詞：網(wǎng)絡(luò)技術(shù)；信息化；數(shù)據(jù)化；安全性；</p><p><b>　　ABSTRACT</b></p><p>　　The rapid development of network technology marks a new era -- the advent of the Internet age. Network technology trig

8、ger global informationization wave hitting the traditional social life's each quoin, network, digital, knowledge has become the main spin rate era. The whole economy in network era of produce structure and labor stru

9、cture changed, the whole economy became and e-commerce connected network economy. This kind of globalization, high speed, low cost, the data security, virtualization,</p><p>　　Keywords: Internet Technology i

10、nformatization digitization safety</p><p><b>　　目 錄</b></p><p>　　第1章 引 言………………………………………………………………………………1</p><p>　　第2章 項(xiàng)目需求分析……………………………………………………………………1</p><p

11、>　　2.1 項(xiàng)目背景………………………………………………………………………………1</p><p>　　2.2 需求分析………………………………………………………………………………1</p><p>　　第3章 項(xiàng)目需求分析……………………………………………………………………2</p><p>　　3.1 網(wǎng)絡(luò)建設(shè)目標(biāo)……………………………………………………

12、……………………2</p><p>　　3.2 網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容及要求…………………………………………………………3</p><p>　　3.3 網(wǎng)絡(luò)設(shè)計(jì)原則…………………………………………………………………………3</p><p>　　第4章 網(wǎng)絡(luò)建設(shè)方案……………………………………………………………………4</p><p>　　4.1

13、網(wǎng)絡(luò)總體拓?fù)鋱D………………………………………………………………………4</p><p>　　4.2 網(wǎng)絡(luò)層次化設(shè)計(jì)………………………………………………………………………5</p><p>　　4.2.1 核心層 ……………………………………………………………………………6</p><p>　　4.2.2 匯聚層 ………………………………………………………………………

14、……6</p><p>　　4.2.3 接入層 ……………………………………………………………………………6</p><p>　　路由設(shè)計(jì)…………………………………………………………………………7</p><p>　　5.1 路由協(xié)議選擇…………………………………………………………………………7</p><p>　　5.2 路由規(guī)劃拓?fù)鋱D……

15、…………………………………………………………………8</p><p>　　5.3 ip地址規(guī)劃…………………………………………………………………… ……8</p><p>　　5.3.1 ip地址分配表……………………………………………………………………9</p><p>　　網(wǎng)絡(luò)安全解決方案……………………………………………………………11</p>

16、<p>　　6.1 網(wǎng)絡(luò)邊界安全威脅分析…………………………………………………………… 11</p><p>　　6.2 網(wǎng)絡(luò)內(nèi)部安全威脅分析…………………………………………………………… 11</p><p>　　6.3 安全產(chǎn)品選型原則………………………………………………………………… 12</p><p>　　第七章 網(wǎng)絡(luò)常用內(nèi)網(wǎng)技術(shù)介紹………………

17、…………………………………… 12</p><p>　　7.1 熱備份路由協(xié)議HSRP………………………………………………………………12</p><p>　　7.2 VLAN技術(shù)……………………………………………………………………………13</p><p>　　7.3 Trunk技術(shù)…………………………………………………………………………14</p>

18、<p>　　7.4 VTP技術(shù)… …………………………………………………………………………15</p><p>　　7.5 Spanning-Tree協(xié)議………………………………………………………………16</p><p>　　7.6 Etherchannel技術(shù)…………………………………………………………………16</p><p>　　7.7 靜態(tài)路由

19、……………………………………………………………………………17</p><p>　　7.8 dhcp技術(shù)……………………………………………………………………………17</p><p>　　第八章 網(wǎng)絡(luò)常用外網(wǎng)技術(shù)介紹………………………………………………………17</p><p>　　8.1 PIX防火墻技術(shù)………………………………………………………………………17

20、 8.2 DMZ技術(shù)………………………………………………………………………………17</p><p>　　8.3 ACL技術(shù)………………………………………………………………………………18 8.4 VPN技術(shù)………………………………………………………………………………19</p><p>　　8.5 漫游用戶………………………………………………………………………………19</p

21、><p>　　8.6 內(nèi)網(wǎng)間及遠(yuǎn)程訪問……………………………………………………………………20</p><p>　　8.7 nat技術(shù)………………………………………………………………………………20</p><p>　　產(chǎn)品簡介…………………………………………………………………………21</p><p>　　9.1 路由交換設(shè)備………………………

22、…………………………………………………21</p><p>　　9.2 辦公設(shè)備………………………………………………………………………………26</p><p>　　9.3 安全設(shè)備………………………………………………………………………………36</p><p>　　結(jié)束語（正文標(biāo)題，用四號黑體，加粗，下同）…………………………………………44</p>

23、<p>　　參考文獻(xiàn)……………………………………………………… ……………………………45</p><p>　　致 謝……………………………………………………………… …………………………46</p><p><b>　　第1章 引 言</b></p><p>　　隨著科學(xué)技術(shù)的發(fā)展日新月異，九十年代，在計(jì)算機(jī)技術(shù)和通信技術(shù)結(jié)合下

24、，網(wǎng)絡(luò)技術(shù)得到了飛速的發(fā)展。如今，不僅計(jì)算機(jī)已經(jīng)和網(wǎng)絡(luò)緊密結(jié)合，整個(gè)社會(huì)都不可能脫離網(wǎng)絡(luò)而存在。網(wǎng)絡(luò)技術(shù)已經(jīng)成為現(xiàn)代信息技術(shù)的主流，人們對網(wǎng)絡(luò)的認(rèn)識也隨著網(wǎng)絡(luò)應(yīng)用的逐漸普及而迅速改變。在不久的將來，網(wǎng)絡(luò)必將成為和電話一樣通用的工具，成為人們生活、工作、學(xué)習(xí)中必不可少的一部分。</p><p>　　網(wǎng)絡(luò)對于制造業(yè)的發(fā)展也起到了不可忽視的作用，形成了用信息技術(shù)來提升企業(yè)的市場分析、銷售、計(jì)劃、倉儲能力，通過先進(jìn)使用的

25、高速交換網(wǎng)構(gòu)筑信息通訊平臺的局面。</p><p>　　第2章 項(xiàng)目需求分析</p><p><b>　　2.1 項(xiàng)目背景</b></p><p>　　該公司是一家即將成立的一家制造工廠，網(wǎng)絡(luò)平臺建設(shè)為北京總部，外設(shè)有五個(gè)分部，分別設(shè)置在廣州、天津、上海、西安和浙江?？偛吭O(shè)計(jì)用戶節(jié)點(diǎn)數(shù)為1000，每個(gè)分部地為10-50個(gè)用戶。需要“建立一個(gè)設(shè)計(jì)

26、規(guī)范、功能完備、性能優(yōu)良、安全可靠、技術(shù)先進(jìn)和實(shí)用性、兼容性、冗余、容錯(cuò)性、有良好的擴(kuò)展性與可用性并且具備可管理易維護(hù)的網(wǎng)絡(luò)及系統(tǒng)平臺，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率”。</p><p><b>　　2.2 需求分析</b></p><p>　　本次項(xiàng)目的網(wǎng)絡(luò)設(shè)計(jì)是以北京公司為中心，進(jìn)而構(gòu)建與廣州、天津、上海、西安和浙江五大分公司之間的

27、網(wǎng)絡(luò)。構(gòu)建過程中需要設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)、IP地址架構(gòu)、系統(tǒng)架構(gòu)。其中，是以北京總部為數(shù)據(jù)中心，核心交換區(qū)，交易所接入等。網(wǎng)絡(luò)之間信息的傳送均是有總部發(fā)起的。數(shù)據(jù)中心作為網(wǎng)絡(luò)互通的存放地，其性能、穩(wěn)定性、安全性、可靠性的要求最高，因此我們在設(shè)計(jì)的時(shí)候，應(yīng)該考慮到這些要求。應(yīng)采用性能高的設(shè)備。而核心交換區(qū)的功能是高速可靠地交換數(shù)據(jù)，因此該部分的設(shè)計(jì)應(yīng)考慮性能和可靠性的平衡。交易所接入作為外聯(lián)單位接入?yún)^(qū)域，其安全性應(yīng)該是放在第一位，同時(shí)，網(wǎng)絡(luò)互通離

28、不開交易所的連接，</p><p>　　因此也應(yīng)該考慮冗余性。</p><p>　　公司總部和分公司的內(nèi)部網(wǎng)絡(luò)作為內(nèi)部互聯(lián)單位，可信度較高，因此其內(nèi)部網(wǎng)絡(luò)的可用性是首先考慮的因素。在內(nèi)部信息傳送的同時(shí)，為保證信息的安全性，我們應(yīng)該在設(shè)計(jì)網(wǎng)絡(luò)的時(shí)候，考慮信息的備份問題，避免單點(diǎn)故障的出現(xiàn)。</p><p>　　各個(gè)分公司均通過VPN隧道訪問北京總部，承載IP語音電話流

29、量，實(shí)現(xiàn)分部與總部互相撥打網(wǎng)絡(luò)電話，降低總部與分部電話通訊成本。大大增強(qiáng)了網(wǎng)絡(luò)的穩(wěn)定性和高速性。</p><p>　　北京總部外部網(wǎng)絡(luò)與外網(wǎng)連接時(shí)，需要考慮其可訪問性。INTERNET用戶接入，需要考慮安全性 和冗余性。當(dāng)前的網(wǎng)絡(luò)管理范疇比較廣，包括設(shè)備管理、資源管理、故障管理、性能管理、安全管理等。在網(wǎng)絡(luò)規(guī)模相對較大的時(shí)候，合適的網(wǎng)絡(luò)系統(tǒng)可以幫助用戶方便管理網(wǎng)絡(luò)內(nèi)的設(shè)備及運(yùn)行情況，以提高網(wǎng)絡(luò)的運(yùn)行效率。在系統(tǒng)管

30、理平臺中由于面臨著大量的使用用戶，外界每天都會(huì)與總部之間都會(huì)產(chǎn)生大量的數(shù)據(jù)通信，這就要求外界與總部之間有一條高數(shù)的鏈路，保證外界與總部通信的高速可靠性和可行性。同時(shí)要采取各種措施保證內(nèi)網(wǎng)和各臺服務(wù)器的安全。對此我們可以通過拉光纖增加帶寬和購買先進(jìn)的路由設(shè)備來滿足巨大的吞吐量處理時(shí)間，減少延時(shí)率。</p><p><b>　　網(wǎng)絡(luò)總體建設(shè)目標(biāo)</b></p><p>　

31、　3.1 網(wǎng)絡(luò)建設(shè)目標(biāo)</p><p>　　1、北京總部內(nèi)有大型服務(wù)器提供服務(wù)，外接分支機(jī)網(wǎng)絡(luò)平臺</p><p>　　2、要求這些分布用戶和總部之間能夠高速連接并且保證與總部通信的可靠性和可行性。</p><p>　　3、同時(shí)要求總部內(nèi)部安全機(jī)制能夠提高。保證內(nèi)網(wǎng)安全同時(shí)保證各臺服務(wù)器的安全。</p><p>　　4、要求計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)滿足

32、系統(tǒng)集成的網(wǎng)絡(luò)平臺需求可用性、安全性、可靠性和可擴(kuò)展性，網(wǎng)絡(luò)系統(tǒng)不間斷，選購符合分支機(jī)構(gòu)及中心機(jī)房需求的高性價(jià)的網(wǎng)絡(luò)設(shè)備，采用三層網(wǎng)絡(luò)結(jié)構(gòu)，來實(shí)現(xiàn)網(wǎng)絡(luò)安全的需求。</p><p>　　5、網(wǎng)絡(luò)設(shè)備主要以核心交換區(qū)設(shè)備為主。并考慮對設(shè)備投資保護(hù)，保證未來幾年的系統(tǒng)擴(kuò)展，組建一個(gè)高效、穩(wěn)定、可靠、易管理、安全的企業(yè)網(wǎng)。</p><p>　　3.2 網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容及要求</p>

33、<p>　　根據(jù)該公司中心機(jī)房的網(wǎng)絡(luò)情況，我們把整個(gè)網(wǎng)絡(luò)分為內(nèi)部網(wǎng)絡(luò)交換網(wǎng)絡(luò)設(shè)計(jì)、網(wǎng)絡(luò)出口設(shè)計(jì)、網(wǎng)絡(luò)安全 設(shè)計(jì)三部分。保證設(shè)計(jì)和實(shí)現(xiàn)上的標(biāo)準(zhǔn)化、功能框架的模塊化、充分考慮網(wǎng)絡(luò)的兼容性、整體方案的開放性、擴(kuò)展性和再開發(fā)性，同時(shí)還應(yīng)具備穩(wěn)定、可靠、速度快等特點(diǎn)。</p><p>　　北京總部數(shù)據(jù)中心網(wǎng)絡(luò)平臺承載著該公司所有的關(guān)鍵核心業(yè)務(wù)。設(shè)計(jì)時(shí)，保證中心機(jī)房網(wǎng)絡(luò)的高可用性和穩(wěn)定性至關(guān)重要。而北京總部用FT

34、P、MAIL等內(nèi)部服務(wù)器為員工提供總部內(nèi)部信息。另外還要屏蔽部分網(wǎng)絡(luò)訪問以確保公司的工作有序正常的進(jìn)行。</p><p>　　對于邊界網(wǎng)絡(luò)接入（Internet接入稱為邊界網(wǎng)絡(luò)），總部用</p><p>　　Web服務(wù)器為用戶提供服務(wù)。使用交換機(jī)的vtp 技術(shù)使網(wǎng)絡(luò)內(nèi)有關(guān)Server的訪問變的更加安全。因?yàn)榫W(wǎng)絡(luò)的安全性是一個(gè)非常重要的因素。而確保在網(wǎng)絡(luò)的邊界外部相應(yīng)的安全策略以防止黑客和各

35、種惡意代碼的攻擊也變的至關(guān)重要，同時(shí)邊界中的設(shè)備的冗余設(shè)計(jì)也是設(shè)計(jì)考慮的一個(gè)重要環(huán)節(jié)，從而能夠有效地防止單點(diǎn)故障。</p><p>　　由于公司業(yè)務(wù)不斷發(fā)展壯大，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也會(huì)隨之發(fā)生變化，在采購網(wǎng)絡(luò)設(shè)備時(shí)應(yīng)注意選擇擴(kuò)展性和兼容性強(qiáng)的設(shè)備，以便日后網(wǎng)絡(luò)拓?fù)涞淖儎?dòng)。</p><p>　　3.3 網(wǎng)絡(luò)設(shè)計(jì)原則</p><p>　　作為一家優(yōu)秀的系統(tǒng)集成商，向用戶提供的

36、不僅僅是設(shè)備，而是整套的技術(shù)與服務(wù)。我們始終堅(jiān)持“高標(biāo)準(zhǔn)，高性能”的原則。在方案設(shè)計(jì)時(shí)，我們將嚴(yán)格遵循以下設(shè)計(jì)原則：</p><p>　　高可靠性----網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)，制定可靠地網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限制地支持各個(gè)系統(tǒng)的正常運(yùn)行。</p><p>　　網(wǎng)絡(luò)安全性----由于企業(yè)網(wǎng)的特

37、殊性，網(wǎng)絡(luò)的安全性在本次網(wǎng)絡(luò)建設(shè)中是比較重要的，整個(gè)網(wǎng)絡(luò)必須保證萬無一失的安全性，并對各個(gè)部門的信息要有嚴(yán)格分離保護(hù)的辦法，防止網(wǎng)絡(luò)黑客非法入侵。網(wǎng)絡(luò)系統(tǒng)應(yīng)配備全面的病毒防治和安全保護(hù)功能。</p><p>　　靈活性及可擴(kuò)展性-----根據(jù)未來業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)展和升級，最大限制地減少對網(wǎng)絡(luò)架構(gòu)和設(shè)備的調(diào)整。</p><p>　　先進(jìn)性------以先進(jìn)、成熟的網(wǎng)絡(luò)通信技

38、術(shù)進(jìn)行組網(wǎng)，支持?jǐn)?shù)據(jù)、語音和視頻圖像等多媒體應(yīng)用，采用基于交換的技術(shù)代替?zhèn)鹘y(tǒng)的基于路由的技術(shù)，并且能確保網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)產(chǎn)品在幾年內(nèi)基本滿足需求。</p><p>　　高性能-----承載網(wǎng)絡(luò)性能是網(wǎng)絡(luò)通訊系統(tǒng)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中心必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)，語音，圖像）的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為各項(xiàng)業(yè)務(wù)開展的瓶頸。</p><p>　　可管理性----網(wǎng)絡(luò)建設(shè)

39、的一項(xiàng)重要內(nèi)容是網(wǎng)絡(luò)管理，網(wǎng)絡(luò)的建設(shè)必須保證網(wǎng)絡(luò)運(yùn)行的可管理性。在優(yōu)秀的網(wǎng)絡(luò)管理之下，將大大提高網(wǎng)絡(luò)的運(yùn)行速率，并可迅速簡便地進(jìn)行網(wǎng)絡(luò)故障的診斷。</p><p>　　經(jīng)濟(jì)性-----在滿足應(yīng)用要求的基礎(chǔ)上，盡可能降低造價(jià)。</p><p><b>　　網(wǎng)絡(luò)建設(shè)方案</b></p><p>　　4.1 網(wǎng)絡(luò)總體拓?fù)鋱D</p>&l

40、t;p>　　結(jié)合幾種網(wǎng)絡(luò)結(jié)構(gòu)與技術(shù)，根據(jù)該公司網(wǎng)絡(luò)功能需求的具體情況，我們選用兩臺Cisco Catalyst 3750做雙機(jī)熱備，用Cisco專有熱備份路由協(xié)議技術(shù)（HSRP），同時(shí)雙機(jī)還可以做負(fù)載均衡。在分交換機(jī)的選擇上，建議選擇具有支持VLAN劃分的網(wǎng)絡(luò)交換機(jī)。品牌和性能盡可能和主交換機(jī)相一致，以便于維護(hù)，便于統(tǒng)一。</p><p>　　如上圖所示，該模型將公司網(wǎng)絡(luò)系統(tǒng)品臺分為三個(gè)層次：核心層，匯聚層

41、，接入層。各區(qū)域相對獨(dú)立，通過核心網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換。另外各區(qū)域還可以各自建設(shè)交換網(wǎng)絡(luò)，路由接入，網(wǎng)絡(luò)安全體系，可以有獨(dú)立的安全策略，數(shù)據(jù)流量控制等個(gè)體特征。</p><p>　　4.2 網(wǎng)絡(luò)層次化設(shè)計(jì)</p><p>　　隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長，分布式的網(wǎng)絡(luò)服務(wù)和交換已經(jīng)移至用戶級，由此形成了一個(gè)新的，更適應(yīng)現(xiàn)代的高速大型網(wǎng)絡(luò)的分層設(shè)計(jì)模型。這種分級方式被成為“多層設(shè)計(jì)”

42、。多層設(shè)計(jì)的好處：</p><p>　　1有很大的確定性，在運(yùn)行和擴(kuò)展過程中進(jìn)行故障查找和排除非常簡單。</p><p>　　2將局部拓?fù)浣Y(jié)構(gòu)的改變所產(chǎn)生的影響降至最小。</p><p>　　3減少路由器必須存儲和處理的數(shù)據(jù)量，提供良好的路由器聚合數(shù)據(jù)流收斂。</p><p>　　4具有模板化的，網(wǎng)絡(luò)容量可隨著日后網(wǎng)絡(luò)節(jié)點(diǎn)的增加而不斷增加。&

43、lt;/p><p>　　5升級靈活：網(wǎng)絡(luò)容易升級到最新的技術(shù)，升級任意層的網(wǎng)絡(luò)不會(huì)對其他層造成影響，無需改變整個(gè)網(wǎng)絡(luò)環(huán)境</p><p>　　對于公司網(wǎng)絡(luò)的實(shí)際情況我們可以采用三層結(jié)構(gòu)模型。三層結(jié)構(gòu)模型劃分為三個(gè)層次，即核心層，匯聚層，接入層。每個(gè)層次完成不同的功能。</p><p><b>　　4.2.1 核心層</b></p>&

44、lt;p>　　網(wǎng)絡(luò)主干部分稱為核心層。核心層的主要目的在于通過高速轉(zhuǎn)發(fā)通信，提供可靠的骨干傳輸結(jié)構(gòu)，因此核心層交換機(jī)應(yīng)擁有更高的可靠性，更快速率的鏈路連接技術(shù)，并且能快速適應(yīng)網(wǎng)絡(luò)的變化。性能和吞吐量應(yīng)根據(jù)不同層次用不同的要求設(shè)計(jì)網(wǎng)絡(luò)，并且使用冗余組件來設(shè)計(jì)，在與匯聚層交換機(jī)相連時(shí)要考慮采用建立在生成樹基礎(chǔ)上的多鏈路冗余連接，以保證與核心層交換機(jī)之間存在備份連接和負(fù)載均衡，完成高帶寬、大容量網(wǎng)絡(luò)層路由交換功能。因此，在核心層中，我們

45、應(yīng)該采用高帶寬的千兆以上交換機(jī)。</p><p><b>　　4.2.2 分布層</b></p><p>　　位于接入層和核心層之間的部分稱為分布層或匯聚層。匯聚層交換層是多臺接入層交換機(jī)的匯聚點(diǎn)，它必須能夠處理來自接入層設(shè)備的所有通信量，并提供到核心層的上行鏈路，因此匯聚層交換機(jī)與接入層交換機(jī)比較，需要更高的性能、更少的接口和更高的交換速率。匯聚層的設(shè)計(jì)要滿足核心層

46、、匯聚層交換機(jī)和服務(wù)器集合環(huán)境對千兆端口密度、可擴(kuò)展性、高可用性以及多層交換的不斷增長的需求，支持大用戶量、多媒體信息傳輸?shù)葢?yīng)用。</p><p><b>　　4.2.3 接入層</b></p><p>　　通常將網(wǎng)絡(luò)中直接面向用戶連接或訪問網(wǎng)絡(luò)的部分稱為接入層。接入層目的是允許終端用戶連接到網(wǎng)絡(luò)，提供了帶寬共享、交換帶寬、MAC層過濾和網(wǎng)段劃分等功能。接入層交換機(jī)具

47、有低成本和高端口密度特點(diǎn)，考慮采用可網(wǎng)管、可堆疊的接入級交換機(jī)。交換機(jī)的高速端口用于上連高速率的匯聚層交換機(jī)，普通端口直接與用戶計(jì)算機(jī)相連，以有效地緩解網(wǎng)絡(luò)骨干的瓶頸。</p><p>　　4.2.3 核心層設(shè)計(jì)</p><p>　　核心層是網(wǎng)絡(luò)的樞紐中心，重要性突出。我們使用了兩臺思科Cisco WS-C4506 的三層交換機(jī)完成此項(xiàng)功能。這兩臺交換機(jī)的可靠性、高效性、冗余性是我們考慮的

48、主要因素，另外，在這個(gè)層面的設(shè)計(jì)時(shí)，我們還需要考慮冗余網(wǎng)絡(luò)的設(shè)計(jì)，本區(qū)域的安全性可以有邊界防火墻提供。</p><p><b>　　路由設(shè)計(jì)</b></p><p>　　5.1 路由協(xié)議選擇</p><p>　　為達(dá)到路由快速收斂，尋址以及方便管理網(wǎng)絡(luò)管理員管理的目的，我們采用動(dòng)態(tài)路由協(xié)議---OSPF協(xié)議，考慮到網(wǎng)絡(luò)的擴(kuò)展性，公開性，投資的保

49、護(hù)等原因，我們采用OSPF路由協(xié)議和靜態(tài)路由相結(jié)合的路由方式。</p><p>　　OSPF協(xié)議采用鏈路狀態(tài)協(xié)議算法，OSPF協(xié)議有五種報(bào)文。</p><p>　　1 Hello報(bào)文，通過周期性地發(fā)送來發(fā)現(xiàn)和維護(hù)鄰接關(guān)系； </p><p>　　2 DD(鏈路狀態(tài)數(shù)據(jù)庫描述)報(bào)文，描述本地路由器保存的LSDB(鏈路狀態(tài)數(shù)據(jù)庫)； </p><p&

50、gt;　　3 LSR(LS Request)報(bào)文，向鄰居請求本地沒有的LSA； </p><p>　　4 LSU(LS Update)報(bào)文，向鄰居發(fā)送其請求或更新的LSA； </p><p>　　5 LSAck(LS ACK)報(bào)文，收到鄰居發(fā)送的LSA后發(fā)送的確認(rèn)報(bào)文。</p><p>　　為了進(jìn)一步減少路由協(xié)議通信流量，利于管理和計(jì)算。OSPF協(xié)議進(jìn)行了區(qū)域劃分，

51、在兩個(gè)不同區(qū)域之間的路由信息傳遞，由區(qū)域邊界路由器(ABR)完成。它把相連兩個(gè)區(qū)域內(nèi)生成的路由，以類型3的LSA向?qū)Ψ絽^(qū)域發(fā)送。此時(shí)，一個(gè)區(qū)域內(nèi)的OSPF路由器只保留本區(qū)域內(nèi)的鏈路狀態(tài)信息，沒有其他區(qū)域的鏈路狀態(tài)信息。這樣，在兩個(gè)區(qū)域之間減小了鏈路狀態(tài)數(shù)據(jù)庫，降低了生成數(shù)算法的計(jì)算量。同時(shí)，當(dāng)一個(gè)區(qū)域中的拓?fù)浣Y(jié)構(gòu)發(fā)生變化時(shí)，其他區(qū)域中的路由器不需要重新進(jìn)行計(jì)算。OSPF協(xié)議中的區(qū)域劃分機(jī)制，有效地解決了OSPF在大規(guī)模網(wǎng)絡(luò)中應(yīng)用時(shí)產(chǎn)生的

52、問題。</p><p>　　在與服務(wù)器連接的網(wǎng)絡(luò)中我們采用靜態(tài)NAT技術(shù)，來保證外來客戶的訪問，這樣網(wǎng)絡(luò)的安全性也成為我們考慮的重要因素。靜態(tài)NAT是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。簡單的說，NAT就是在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，而當(dāng)內(nèi)部節(jié)點(diǎn)要與外部網(wǎng)絡(luò)進(jìn)行通訊時(shí)，就在網(wǎng)關(guān)（可以理解為出口，打個(gè)比方就像院子的門一樣）處，將內(nèi)部地址替換成公用地址，從而在外部公網(wǎng)（internet

53、）上正常使用，NAT可以使多臺計(jì)算機(jī)共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問題。也確保了網(wǎng)絡(luò)的可訪問性和安全性。</p><p>　　5.2 路由規(guī)劃拓?fù)鋱D</p><p>　　5.3 ip地址規(guī)劃</p><p>　　IP地址的規(guī)劃在網(wǎng)絡(luò)設(shè)計(jì)中的作用舉足輕重。直接影響整個(gè)網(wǎng)絡(luò)運(yùn)行的效率。IP地址設(shè)計(jì)的總原則是簡單，易管理，易擴(kuò)展。<

54、/p><p>　　IP地址是TCP/IP協(xié)議族中的網(wǎng)絡(luò)層邏輯地址，它被用來唯一的標(biāo)識網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)。IP地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，提高路由算法的效果，加快路由變化的收斂速度。</p><p>　　IP地址分配和管理應(yīng)遵循的原則：</p><p>　　唯一性----被分配出

55、去的IP地址必須保證在全球范圍內(nèi)是唯一的，以保證每臺主機(jī)都能被正確地識別。</p><p>　　可記錄性----已分配出去的地址塊必須記錄在數(shù)據(jù)庫中，為定位網(wǎng)絡(luò)故障提供依據(jù)。</p><p>　　可聚集性----地址空間應(yīng)該盡量劃分為層次，以保證聚集性，縮短路由表長度。同時(shí)，對地址的分配要盡量避免地址碎片出現(xiàn)。</p><p>　　節(jié)約性----地址申請者必須提供完

56、整的書面報(bào)告，證明它確實(shí)需要這么多地址。同時(shí)，應(yīng)該避免閑置被分配出去的地址。</p><p>　　公平性----所有團(tuán)體，無論其所處地理位置或所屬國家，都具有公平地使用IPv6全球單播地址的權(quán)利。</p><p>　　可擴(kuò)展性----考慮到網(wǎng)絡(luò)的高速增長，必須在一段時(shí)間內(nèi)留給地址申請者足夠的地址增長空間，而不需要它頻繁地向上一級組織申請新的地址。</p><p>　

57、　公網(wǎng)地址與私網(wǎng)地址相結(jié)合原則---可用的公網(wǎng)地址數(shù)量畢竟有限，而可用的私網(wǎng)地址數(shù)量卻非常多，是解決地址數(shù)量不足的良方之一。</p><p>　　公司總部有九個(gè)部門，有1000個(gè)用戶</p><p>　　公司總部IP地址分配表</p><p>　　公司總部VLAN劃分表如下</p><p>　　各個(gè)分公司IP地址分配表</p>

58、<p>　　第六章 網(wǎng)絡(luò)安全解決方案</p><p>　　6.1 網(wǎng)絡(luò)邊界安全威脅分析</p><p>　　網(wǎng)絡(luò)的邊界隔離著不同的功能或地域的多個(gè)網(wǎng)絡(luò)區(qū)域，由于職責(zé)和功能的不同，相連網(wǎng)絡(luò)的密集也不同，這樣的網(wǎng)絡(luò)直接相連，必然存在著安全隱患。</p><p>　　該公司的網(wǎng)絡(luò)主要存在的邊界安全風(fēng)險(xiǎn)包括：</p><p>　　北京內(nèi)部網(wǎng)

59、絡(luò)接入外部網(wǎng)絡(luò)，可能會(huì)遭到來自各地的越權(quán)訪問，惡意攻擊和計(jì)算機(jī)病毒的入侵，例如：一個(gè)不滿的內(nèi)部用戶，利用盜版軟件或從Internet下載的黑客程序惡意攻擊內(nèi)部站點(diǎn)，致使網(wǎng)絡(luò)局部或整體癱瘓。</p><p>　　內(nèi)部的各個(gè)功能網(wǎng)絡(luò)通過骨干交換相互連接，這樣的話，重要的部門或者專網(wǎng)將會(huì)遭到來自其他部門的越權(quán)訪問。這些越權(quán)訪問可能包括惡意的攻擊，誤操作等等。但是他們的后果將會(huì)導(dǎo)致重要信息的泄露或者網(wǎng)絡(luò)的癱瘓。</

60、p><p>　　安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題。</p><p>　　6.2 網(wǎng)絡(luò)內(nèi)部安全威脅分析</p><p>　　該公司內(nèi)部網(wǎng)絡(luò)的風(fēng)險(xiǎn)分析主要針對北京總部的整個(gè)內(nèi)網(wǎng)的安全分析。</p><p>　　內(nèi)部用戶非授權(quán)訪問；安博內(nèi)部網(wǎng)絡(luò)的資源也不是對任何的員工開放的，也需要相應(yīng)的訪問權(quán)限。內(nèi)部用戶的非授權(quán)訪問，更容易造成資源和重

61、要信息的泄漏。</p><p>　　內(nèi)部用戶的誤操作；由于內(nèi)部用戶的計(jì)算機(jī)操作水平不齊，對于應(yīng)用軟件的理解也各不相同，如果一部分軟件沒有相應(yīng)的對誤操作防范措施，極容易服務(wù)系統(tǒng)和其他主機(jī)造成無害。</p><p>　　內(nèi)部用戶的惡意攻擊；就網(wǎng)絡(luò)安全來說，據(jù)統(tǒng)計(jì)約有70%左右的攻擊來自內(nèi)部用戶相比外部攻擊來說，內(nèi)部用戶具有更得天獨(dú)厚的優(yōu)勢，因此，對內(nèi)部用戶攻擊的防范很重要。</p>

62、<p>　　設(shè)備的自身安全性也會(huì)直接關(guān)系到安博綜合網(wǎng)絡(luò)體系和各種網(wǎng)路應(yīng)用的正常運(yùn)轉(zhuǎn)。例如，路由設(shè)備存在路由信息泄漏、交換機(jī)和路由器設(shè)備風(fēng)險(xiǎn)等。</p><p>　　重要服務(wù)器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒有及時(shí)的發(fā)現(xiàn)并且進(jìn)行修復(fù)，將會(huì)給網(wǎng)絡(luò)帶來很大不穩(wěn)定性的因素。重要服務(wù)器的down機(jī)或重要數(shù)據(jù)的以外丟失，都會(huì)造成安博內(nèi)部的業(yè)務(wù)無法正常運(yùn)行。</p><p>　　

63、安全管理困難，對于眾多的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備，安全策略的配置和安全事件管理的難度很大。</p><p>　　6.3 安全產(chǎn)品選型原則</p><p>　　北京總部綜合網(wǎng)路屬于一個(gè)企業(yè)的專用網(wǎng)絡(luò)。在安全產(chǎn)品的選用上，我們遵循的以下原則：</p><p>　　安全保密產(chǎn)品的接入應(yīng)不影響網(wǎng)絡(luò)系統(tǒng)的運(yùn)行效率，并滿足工作的要求，不影響正常的業(yè)務(wù)；</p>&l

64、t;p>　　安全保密產(chǎn)品必須滿足貴公司提出的要求，保證整個(gè)綜合網(wǎng)絡(luò)的安全性。</p><p>　　安全保密產(chǎn)品必須通過國家主管部門制定的測評機(jī)構(gòu)的檢測。（中國的網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)廠家基本可分為三類：國家級的專業(yè)信息安全產(chǎn)品供應(yīng)廠家、新興的專業(yè)信息安全產(chǎn)品供應(yīng)廠家和國外廠家。）</p><p>　　安全保密產(chǎn)品必須具備自我保護(hù)能力；</p><p>　　安全保密產(chǎn)

65、品必須操作簡單以用，便于簡單部署和集中管理。</p><p>　　www.gaoxingle.com </p><p>　　第七章 網(wǎng)絡(luò)常用技術(shù)（內(nèi)網(wǎng)）介紹</p><p>　　7.1熱備份路由協(xié)議HSRP</p><p>　　我們使用HSRP來實(shí)現(xiàn)故障路由器的接管。HSRP協(xié)議是Cisco公司制定的專有路由器備份協(xié)議，支持多臺路由器形成備份

66、而消除單臺設(shè)備失效造成的網(wǎng)絡(luò)中斷。比且確保了當(dāng)網(wǎng)絡(luò)邊緣或接入鏈路出現(xiàn)故障時(shí)，用戶通信能迅速并透明的恢復(fù)，并為此IP網(wǎng)絡(luò)提供了冗余性。HSRP支持在某個(gè)路由器出現(xiàn)故障時(shí)可以快速的進(jìn)行默認(rèn)網(wǎng)關(guān)的切換，通過共同提供一個(gè)IP地址和MAC地址，兩個(gè)或者多個(gè)路由器可以做為一個(gè)虛擬路由器，當(dāng)某個(gè)路由器出現(xiàn)故障時(shí)，其他路由器可以無縫的接替它進(jìn)行路由選擇。，這樣就很好的解決了路由器切換的問題。</p><p>　　使用RSTP的優(yōu)

67、勢：PVST是解決在虛擬局域網(wǎng)上處理生成樹的Cisco特有解決方案．PVST為每個(gè)vlan運(yùn)行單獨(dú)的生成樹實(shí)例，并具有在二層維持負(fù)載均衡的能力。一般情況下PVST要求在交換機(jī)之間的中繼鏈路上運(yùn)行Cisco的ISL．使用此技術(shù)減小了生成樹拓?fù)涞目偡秶?。增?qiáng)了可擴(kuò)張性并減少了收斂時(shí)間，提供快速回復(fù)和更好的可靠性。使端口針對不同的根橋?qū)嵤┳枞Ｊ姑織l中繼鏈路都在為不同的Vlan傳輸數(shù)據(jù)，高效合理的利用好網(wǎng)絡(luò)當(dāng)中的每條可用鏈路。</p&g

68、t;<p>　　7.2 VLAN技術(shù)</p><p>　　VLAN（虛擬局域網(wǎng)）是對連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè)VLAN可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進(jìn)行分組?；诮粨Q機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬問題。</p&g

69、t;<p>　　VLAN技術(shù)的出現(xiàn)，使得管理員根據(jù)實(shí)際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域，每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站沒有限制在同一個(gè)物理范圍中，即這些工作站可以在不同物理LAN網(wǎng)段。由VLAN的特點(diǎn)可知，一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中

70、，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 </p><p>　　VLAN網(wǎng)絡(luò)可以是有混合的網(wǎng)絡(luò)類型設(shè)備組成，比如：10M以太網(wǎng)、100M以太網(wǎng)、令牌網(wǎng)、FDDI、CDDI等等，可以是工作站、服務(wù)器、集線器、網(wǎng)絡(luò)上行主干等等。 </p><p>　　VLAN除了能將網(wǎng)絡(luò)劃分為多個(gè)廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點(diǎn)外，還可以

71、用于控制網(wǎng)絡(luò)中不同部門、不同站點(diǎn)之間的互相訪問。 </p><p><b>　　VLAN的優(yōu)點(diǎn)</b></p><p>　　1. 廣播風(fēng)暴防范：</p><p>　　限制網(wǎng)絡(luò)上的廣播，將網(wǎng)絡(luò)劃分為多個(gè)VLAN可減少參與廣播風(fēng)暴的設(shè)備數(shù)量。LAN分段可以防止廣播風(fēng)暴波及整個(gè)網(wǎng)絡(luò)。VLAN可以提供建立防火墻的機(jī)制，防止交換網(wǎng)絡(luò)的過量廣播。使用VLA

72、N，可以將某個(gè)交換端口或用戶賦于某一個(gè)特定的VLAN組，該VLAN組可以在一個(gè)交換網(wǎng)中或跨接多個(gè)交換機(jī)， 在一個(gè)VLAN中的廣播不會(huì)送到VLAN之外。同樣，相鄰的端口不會(huì)收到其他VLAN產(chǎn)生的廣 播。這樣可以減少廣播流量，釋放帶寬給用戶應(yīng)用，減少廣播的產(chǎn)生。 </p><p><b>　　2. 安全：</b></p><p>　　增強(qiáng)局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶

73、組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性。不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備。 </p><p><b>　　3.成本降低：</b></p><p>　　成本高昂的網(wǎng)絡(luò)升級需求減少，現(xiàn)有帶寬和上行鏈路的利用率更高，因此可節(jié)約

74、成本。 </p><p><b>　　4.性能提高：</b></p><p>　　將第二層平面網(wǎng)絡(luò)劃分為多個(gè)邏輯工作組（廣播域）可以減少網(wǎng)絡(luò)上不必要的流量并提高性能。 </p><p>　　5.提高IT員工效率：</p><p>　　VLAN為網(wǎng)絡(luò)管理帶來了方便，因?yàn)橛邢嗨凭W(wǎng)絡(luò)需求的用戶將共享同一個(gè)VLAN。 </

75、p><p>　　6.簡化項(xiàng)目管理或應(yīng)用管理：</p><p>　　VLAN 將用戶和網(wǎng)絡(luò)設(shè)備聚合到一起，以支持商業(yè)需求或地域上的需求。通過職能劃分，項(xiàng)目管理或特殊應(yīng)用的處理都變得十分方便， </p><p>　　7. 增加了網(wǎng)絡(luò)連接的靈活性。</p><p>　　借助VLAN技術(shù)，能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境

76、 ，就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動(dòng)或變更工作站地理位置的管 理費(fèi)用，特別是一些業(yè)務(wù)情況有經(jīng)常性變動(dòng)的公司使用了VLAN后，這部分管理費(fèi)用大大降低</p><p>　　7.3 Trunk技術(shù)</p><p>　　一般的交換機(jī)端口只能屬于一個(gè)VLAN，對于多個(gè)VLAN需要跨越多臺交換機(jī)，就需要Trunk技術(shù)。Trunk是指交換機(jī)之間或路由器之間傳遞，從而可以將VL

77、AN跨越整個(gè)網(wǎng)絡(luò)，而不僅僅是局限在一臺交換機(jī)上。</p><p>　　Cisco支持802.1Q.ISL的技術(shù)，其中802.1Q是業(yè)界的標(biāo)準(zhǔn)協(xié)議，而ISL是Cisco專有的協(xié)議，用于在一條鏈路上封裝多個(gè)VLAN的信息。</p><p>　　對于Cisco交換機(jī)的Trunk端口，既可以指定它的封裝協(xié)議為802.1q或ISL，也可以通過DHP協(xié)議自動(dòng)協(xié)商。DHP協(xié)議主要用于處理Trunk端口的

78、802.1q和ISL封裝協(xié)議的自動(dòng)協(xié)商，對于不同廠家的交換機(jī)互聯(lián)時(shí)很有幫助。對Trunk的定義只能在快速以太網(wǎng)端口或千兆以太網(wǎng)端口上進(jìn)行，它既可以是單個(gè)的快速以太網(wǎng)端口或千兆以太網(wǎng)端口，也可以是快速以太網(wǎng)通道或千兆以太網(wǎng)通道。我們使用IEEE802.1Q標(biāo)準(zhǔn)協(xié)議。</p><p><b>　　7.4 VTP技術(shù)</b></p><p>　　VTP（VLAN Trunk

79、ing Protocol）：是VLAN中繼協(xié)議，也被稱為虛擬局域網(wǎng)干道協(xié)議。它是思科私有協(xié)議。作用是十幾臺交換機(jī)在企業(yè)網(wǎng)中，配置VLAN工作量大，可以使用VTP協(xié)議，把一臺交換機(jī)配置成VTP Server, 其余交換機(jī)配置成VTP Client,這樣他們可以自動(dòng)學(xué)習(xí)到server 上的VLAN 信息。</p><p><b>　　原理</b></p><p>　　它是

80、一個(gè)OSI參考模型第二層的通信協(xié)議，主要用于管理在同一個(gè)域的網(wǎng)絡(luò)范圍內(nèi)VLANs的建立、刪除和重命名。在一臺VTP Server 上配置一個(gè)新的VLAN時(shí)，該VLAN的配置信息將自動(dòng)傳播到本域內(nèi)的其他所有交換機(jī)。這些交換機(jī)會(huì)自動(dòng)地接收這些配置信息，使其VLAN的配置與VTP Server保持一致，從而減少在多臺設(shè)備上配置同一個(gè)VLAN信息的工作量，而且保持了VLAN配置的統(tǒng)一性。 </p><p>　　VTP模式

81、有3種 服務(wù)器模式（Server）客戶機(jī)模式（Client）透明模式（Transparent） </p><p>　　服務(wù)器模式：提供VTP消息：包括VLAN ID和名字信息 。學(xué)習(xí)相同域名的VTP消息 。轉(zhuǎn)發(fā)相同域名的VTP消息 。可以添加、刪除和更改VLAN VLAN信息寫入NVRAM </p><p>　　客戶機(jī)模式：請求VTP消息。學(xué)習(xí)相同域名的VTP消息。 轉(zhuǎn)發(fā)相同域名的VTP消

82、息。 不可以添加、刪除和更改VLAN VLAN信息不會(huì)寫入NVRAM </p><p>　　透明模式：不提供VTP消息 。不學(xué)習(xí)VTP消息 。轉(zhuǎn)發(fā)VTP消息 ?？梢蕴砑印h除和更改VLAN，只在本地有效 VLAN信息寫入NVRAM </p><p><b>　　VTP優(yōu)點(diǎn)： </b></p><p>　?。?）保持了VLAN的一致性 </

83、p><p>　?。?）提供從一個(gè)交換機(jī)到另一個(gè)交換機(jī)在整個(gè)管理域中增加虛擬局域網(wǎng)的方法 </p><p>　　（3）VTP協(xié)議是思科的專用協(xié)議，大多數(shù)的Catalys交換機(jī)都支持該協(xié)議，VTP可以減少VLAN的相關(guān)管理任務(wù)。</p><p>　　7.5 Spanning-Tree協(xié)議</p><p>　　生成樹算法的網(wǎng)橋協(xié)議STP(Spannin

84、g Tree Protocol) 它通過生成生成樹保證一個(gè)已知的網(wǎng)橋在網(wǎng)絡(luò)拓?fù)渲醒匾粋€(gè)環(huán)動(dòng)態(tài)工作。網(wǎng)橋與其他網(wǎng)橋交換BPDU消息來監(jiān)測環(huán)路，然后關(guān)閉選擇的網(wǎng)橋接口取消環(huán)路，統(tǒng)指IEEE802?1生成樹協(xié)議標(biāo)準(zhǔn)和早期的數(shù)字設(shè)備合作生成樹協(xié)議，該協(xié)議是基于后者產(chǎn)生的。IEEE版本的生成樹協(xié)議支持網(wǎng)橋區(qū)域，它允許網(wǎng)橋在一個(gè)擴(kuò)展本地網(wǎng)中建設(shè)自由環(huán)形拓?fù)浣Y(jié)構(gòu)。IEEE版本的生成樹協(xié)議通常為在數(shù)字版本之上的首選版本。</p><

85、p>　　生成樹協(xié)議的功能：一是在利用生成樹算法、在以太網(wǎng)絡(luò)中，創(chuàng)建一個(gè)以某臺交換機(jī)的某個(gè)端口為根的生成樹，避免環(huán)路。二是在以太網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)，通過生成樹協(xié)議達(dá)到收斂保護(hù)的目的。</p><p><b>　　生成樹協(xié)議特點(diǎn)</b></p><p>　　在局域網(wǎng)中是不允許出現(xiàn)環(huán)路的，而為實(shí)現(xiàn)冗余和負(fù)載的均衡，通常會(huì)有多條鏈路的鏈接，這樣就會(huì)引入環(huán)路，為了解決這一

86、問題我們采用STP協(xié)議。STP算法會(huì)將網(wǎng)絡(luò)中的連接生成一個(gè)樹，通過特定的算法自動(dòng)將優(yōu)先權(quán)高的鏈路激活，將優(yōu)先權(quán)底的鏈路阻塞，保證在網(wǎng)絡(luò)中任何時(shí)后都不會(huì)出現(xiàn)環(huán)路，如果網(wǎng)絡(luò)的連接狀況發(fā)生了變化，STP算法會(huì)自動(dòng)地重新計(jì)算新的連接關(guān)系，重新選出新的活動(dòng)的連接。</p><p>　　Cisco交換機(jī)的一個(gè)非常有用的特征就是可以對每個(gè)VLAN設(shè)置Spanning-Tree，而不是對整個(gè)網(wǎng)絡(luò)只能屬于一個(gè)Spanning-Tr

87、ee。這個(gè)特征是很多廠商的設(shè)備所不具備的。在交換機(jī)上對端口的優(yōu)先權(quán)的設(shè)置可以基于VLAN進(jìn)行，每個(gè)端口對于不同的VLAN設(shè)置不同的優(yōu)先權(quán)。對于指定的VLAN，具有該VLAN最高優(yōu)先權(quán)的端口轉(zhuǎn)發(fā)該VLAN信息，其它VLAN信息則阻塞。通過這種方法，在具有冗余連接的交換機(jī)端口上分別針對不同的VLAN設(shè)置不同的優(yōu)先權(quán)，既可以實(shí)現(xiàn)鏈路的冗余，又可以實(shí)現(xiàn)負(fù)載的均衡。</p><p>　　7.6 Etherchannel技術(shù)

88、</p><p>　　Etherchannel 簡介：以太通道也稱為以太端口捆綁，端口聚集或以以太鏈路聚集。以太通道為交換機(jī)提供了端口捆綁技術(shù)，將多個(gè)物理以太網(wǎng)端口聚集在一起形成一個(gè)邏輯上的聚合組，同一個(gè)聚合組內(nèi)的多條物理鏈路是為一條邏輯鏈路。鏈路聚合可以實(shí)現(xiàn)出入負(fù)荷在聚合組中各個(gè)成員端口之間，以增加帶寬。同時(shí)，同一個(gè)聚合組的各個(gè)成員端口之間彼此動(dòng)態(tài)備份，提高了連接的可靠性。</p><p&g

89、t;　　GEC或FEC（Gigabit Etherent Channel/Fast Etherent Channel）稱為Cisco交換機(jī)帶寬聚合技術(shù)，它用于千兆或百兆以太網(wǎng)端口，在兩臺Cisco交換機(jī)互連時(shí)，利用GEC/FEC技術(shù)股，可以將2條或多條物理鏈路捆綁成為一條更高的邏輯貸款，利用GEC技術(shù)，我們可以得到一條全雙工4G帶寬的鏈路。</p><p>　　Etherchannel 配置原則：</p&g

90、t;<p>　　1在每個(gè)Etherchannel中，cisco交換機(jī)最多允許包括8個(gè)端口。</p><p>　　2 一個(gè)Etherchannel內(nèi)的所有端口必須使用相同的協(xié)議（PAGP或者LACP）</p><p>　　3 一個(gè)Etherchannel內(nèi)的說有接口都必須具有相同的速度和雙工的模式，要求端口工作在全雙工模式下。</p><p>　　4 一

91、個(gè)端口不能再相同的所有端口都必須配置到相同的接入VLAN。</p><p>　　7.7 靜態(tài)路由的配置</p><p>　　靜態(tài)路由是一種特殊的路由，它由管理員手工配置。當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)簡單時(shí)，只需配置簡單路由就可以使網(wǎng)絡(luò)正常工作。恰當(dāng)?shù)卦O(shè)置和使用靜態(tài)路由可以改進(jìn)網(wǎng)絡(luò)的性能，并可以為重要的網(wǎng)絡(luò)應(yīng)用保證帶寬。</p><p>　　7.8 DHCP技術(shù)</p>

92、<p>　　DHCP是動(dòng)態(tài)獲取IP地址的協(xié)議。它的優(yōu)點(diǎn)是能夠讓PC機(jī)自動(dòng)獲取IP地址，減輕網(wǎng)絡(luò)管理員因配置IP地址而引起的不必要麻煩，并且這樣的動(dòng)態(tài)獲取IP地址大部分是連續(xù)的，便于網(wǎng)絡(luò)管理，一定程度上提高網(wǎng)絡(luò)的運(yùn)行速度。</p><p>　　網(wǎng)絡(luò)常用外網(wǎng)技術(shù)介紹</p><p>　　8.1 pix 防火墻技術(shù)</p><p>　　PIX防火墻主要是在網(wǎng)絡(luò)的

93、核心層實(shí)現(xiàn)的。在訪問外網(wǎng)的時(shí)候我們也要保證鏈路的安全性，因此我們需要建立一個(gè)防火墻，也可以在防火墻上配置訪問控制列表只允許某種流量的經(jīng)過，沒有被定義的一律拒絕。</p><p><b>　　8.2 dmz技術(shù)</b></p><p>　　DMZ區(qū)是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)

94、內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個(gè)DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，因?yàn)檫@種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對攻擊者來說又多了一道關(guān)卡。</p><p>　　DMZ(Demilitarized Zone)即俗稱的非軍事區(qū)，與軍事區(qū)和信任區(qū)相對應(yīng),作用是把WEB,e-mail,等允許外部訪問的

95、服務(wù)器單獨(dú)接在該區(qū)端口，使整個(gè)需要保護(hù)的內(nèi)部網(wǎng)絡(luò)接在信任區(qū)端口后，不允許任何訪問，實(shí)現(xiàn)內(nèi)外網(wǎng)分離，達(dá)到用戶需求。DMZ可以理解為一個(gè)不同于外網(wǎng)或內(nèi)網(wǎng)的特殊網(wǎng)絡(luò)區(qū)域，DMZ內(nèi)通常放置一些不含機(jī)密信息的公用服務(wù)器，比如Web、Mail、FTP等。這樣來自外網(wǎng)的訪問者可以訪問DMZ中的服務(wù)，但不可能接觸到存放在內(nèi)網(wǎng)中的公司機(jī)密或私人信息等，即使DMZ中服務(wù)器受到破壞，也不會(huì)對內(nèi)網(wǎng)中的機(jī)密信息造成影響。</p><p>

96、<b>　　使用 DMZ的優(yōu)勢</b></p><p>　　在實(shí)際的運(yùn)用中，某些主機(jī)需要對外提供服務(wù)，為了更好地提供服務(wù)，同時(shí)又要有效地保護(hù)內(nèi)部網(wǎng)絡(luò)的安全，將這些需要對外開放的主機(jī)與內(nèi)部的眾多網(wǎng)絡(luò)設(shè)備分隔開來，根據(jù)不同的需要，有針對性地采取相應(yīng)的隔離措施，這樣便能在對外提供友好的服務(wù)的同時(shí)最大限度地保護(hù)了內(nèi)部網(wǎng)絡(luò)。針對不同資源提供不同安全級別的保護(hù)，可以構(gòu)建一個(gè)DMZ區(qū)域，DMZ可以為主機(jī)環(huán)

97、境提供網(wǎng)絡(luò)級的保護(hù)，能減少為不信任客戶提供服務(wù)而引發(fā)的危險(xiǎn)，是放置公共信息的最佳位置。在一個(gè)非DMZ系統(tǒng)中，內(nèi)部網(wǎng)絡(luò)和主機(jī)的安全通常并不如人們想象的那樣堅(jiān)固，提供給Internet的服務(wù)產(chǎn)生了許多漏洞，使其他主機(jī)極易受到攻擊。但是，通過配置DMZ，我們可以將需要保護(hù)的Web應(yīng)用程序服務(wù)器和數(shù)據(jù)庫系統(tǒng)放在內(nèi)網(wǎng)中，把沒有包含敏感數(shù)據(jù)、擔(dān)當(dāng)代理數(shù)據(jù)訪問職責(zé)的主機(jī)放置于DMZ中，這樣就為應(yīng)用系統(tǒng)安全提供了保障。DMZ使包含重要數(shù)據(jù)的內(nèi)部系統(tǒng)免于

98、直接暴露給外部網(wǎng)絡(luò)而受到攻擊，攻擊者即使初步入侵成功，還要面臨DMZ設(shè)置的新的障礙。</p><p>　　8.3 ACL技術(shù)</p><p>　　訪問控制列表（ACL）：應(yīng)用在路由器接口的指令列表，用來告訴路由器哪些數(shù)據(jù)包可以接收轉(zhuǎn)發(fā)，哪些數(shù)據(jù)包需要拒絕。工作原理 ：讀取第三層及第四層包頭中的信息 ，根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾</p><p>　　使用ACL

99、的優(yōu)勢：（1）提供對通信流量的控制手段 </p><p>　?。?）提供網(wǎng)絡(luò)安全訪問的基本手段</p><p>　　（3）在路由器端口決定哪種流量被轉(zhuǎn)發(fā)或被阻塞</p><p><b>　?。?）包過濾簡介:</b></p><p>　　包過濾防火墻是最簡單的一種防火墻，它在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)防火墻的規(guī)則表，來檢

100、測攻擊行為。包過濾防火墻一般作用在網(wǎng)絡(luò)層（IP層），故也稱網(wǎng)絡(luò)層防火墻（Network Lev Firewall）或IP過濾器（IP filters）。數(shù)據(jù)包過濾（Packet Filtering）是指在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行分析、選擇。通過檢查數(shù)據(jù)流中每一個(gè)數(shù)據(jù)包的源IP地址、目的IP地址、源端口號、目的端口號、協(xié)議類型等因素或它們的組合來確定是否允許該數(shù)據(jù)包通過。在網(wǎng)絡(luò)層提供較低級別的安全防護(hù)和控制。</p><p&

101、gt;<b>　　（2）包過濾特點(diǎn)：</b></p><p>　　包過濾防火墻使用基于源和目標(biāo)網(wǎng)絡(luò),端口,協(xié)議等信息實(shí)施數(shù)據(jù)包過濾:1 established關(guān)鍵字僅可以對面向連接TCP會(huì)話提供支持。</p><p>　　2無法支持動(dòng)態(tài)協(xié)商的會(huì)話所產(chǎn)生的臨時(shí)會(huì)話端口。</p><p>　　3會(huì)產(chǎn)生大量的ACL條目,因此其維護(hù)非常困難。</

102、p><p><b>　　8.4 VPN技術(shù)</b></p><p><b>　　VPN簡介：</b></p><p>　　虛擬專用網(wǎng)（vpn）被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。使用這條隧道可以對數(shù)據(jù)進(jìn)行幾倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。虛擬專用網(wǎng)是對

103、企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。</p><p>　　VPN技術(shù)分為L2LP、GRE、IPsec。 IPSec (Internet 協(xié)議安全)是

104、一個(gè)工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議，為 IP 網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù) TCP/IP 通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡(luò)攻擊，同時(shí)保持易用性。</p><p><b>　　8.5 漫游用戶</b></p><p><b>　　漫游用戶的簡介</b></p><p>　　用戶登錄時(shí)下載到本地計(jì)算機(jī)，而用戶注銷時(shí)本地和服務(wù)器都

105、進(jìn)行更新的基于服務(wù)器的用戶配置文件。用戶登錄到工作站或服務(wù)器，服務(wù)器的漫游用戶配置文件是可用的。登錄時(shí)，如果本地用戶配置文件比服務(wù)器上的要新，則用戶可以使用該本地文件。</p><p><b>　　使用漫游用戶的優(yōu)勢</b></p><p>　　無論用戶登錄到哪臺基于 Microsoft Windows NT 的計(jì)算機(jī)上，漫游用戶配置文件都為用戶提供相同的工作環(huán)境。這

106、樣就可以避免因?yàn)閾Q了機(jī)器而丟失以前的作用環(huán)境而不爽了，也不會(huì)降低工作質(zhì)量。</p><p>　　8.6 內(nèi)網(wǎng)間及遠(yuǎn)程訪問</p><p>　　IPSec (Internet 協(xié)議安全)是一個(gè)工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議，為 IP 網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù) TCP/IP 通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡(luò)攻擊，同時(shí)保持易用性。IPSec有兩個(gè)基本目標(biāo)：1）保護(hù)IP數(shù)據(jù)包安全；2）為抵御網(wǎng)絡(luò)

107、攻擊提供防護(hù)措施。 </p><p>　　IPSec結(jié)合密碼保護(hù)服務(wù)、安全協(xié)議組和動(dòng)態(tài)密鑰管理三者來實(shí)現(xiàn)上述兩個(gè)目標(biāo)，不僅能為企業(yè)局域網(wǎng)與撥號用戶、域、網(wǎng)站、遠(yuǎn)程站點(diǎn)以及Extranet之間的通信提供強(qiáng)有力且靈活的保護(hù)，而且還能用來篩選特定數(shù)據(jù)流。 IPSec基于一種端-對-端的安全模式。這種模式有一個(gè)基本前提假設(shè)，就是假定數(shù)據(jù)通信的傳輸媒介是不安全的，因此通信數(shù)據(jù)必須經(jīng)過加密，而掌握加解密方法的只有數(shù)據(jù)流的發(fā)送

108、端和接收端，兩者各自負(fù)責(zé)相應(yīng)的數(shù)據(jù)加解密處理，而網(wǎng)絡(luò)中其他只負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)的路由器或主機(jī)無須支持IPSec，該特性有助于企業(yè)用戶在下列方案中成功地配置IPSecIPSec 。</p><p>　　使用 ipsec-vpn技術(shù)的優(yōu)勢： 為保護(hù)IP數(shù)據(jù)包安全，為抵御網(wǎng)絡(luò)攻擊提供的一種防護(hù)措施。</p><p>　　降低手工配置的復(fù)雜度，安全聯(lián)盟定時(shí)更新，密鑰定時(shí)更新，允許IPSec提供反重放服務(wù)

109、，允許在端與端之間動(dòng)態(tài)認(rèn)證。</p><p>　　過濾每一個(gè)訪問計(jì)算機(jī)的數(shù)據(jù)包，并可根據(jù)數(shù)據(jù)報(bào)的源IP地址、協(xié)議和端口進(jìn)行過濾</p><p>　　對應(yīng)用程序完全透明，應(yīng)用程序無需任何調(diào)整</p><p><b>　　三種身份驗(yàn)證</b></p><p>　　對數(shù)據(jù)包進(jìn)行加密，以防止數(shù)據(jù)包在網(wǎng)絡(luò)傳輸中被截取</p&

110、gt;<p>　　使用HASH算法保障數(shù)據(jù)包在傳輸過程中保持完整性</p><p>　　確保每個(gè)IP數(shù)據(jù)包的唯一性</p><p><b>　　8.7 nat技術(shù)</b></p><p>　　NAT，私有(保留)地址的"內(nèi)部"網(wǎng)絡(luò)通過路由器發(fā)送數(shù)據(jù)包時(shí)，私有地址被轉(zhuǎn)換成合法的IP地址，一個(gè)局域網(wǎng)只需使用少量IP