网络公司构架之浅谈 毕业论文.doc

本科生毕业设计 网网络络公公司司构构架架之之浅浅谈谈 院院 系系 计算机科学与技术学院计算机科学与技术学院 专专 业业 计算机科学与技术计算机科学与技术 班班 级级 0909 网技网技 1 1 班班 学学 号号 16010901221601090122 学学 生生 姓姓 名名 联联 系系 方方 式式 1503747043415037470434 指指 导导 教教 师师 职称：职称： 讲师讲师 20112011 年年 5 5 月月 独独 创创 性性 声声 明明 本人郑重声明：所呈交的毕业论文（设计）是本人在指导老师指导下取得的研究成果。 除了文中特别加以注释和致谢的地方外，论文（设计）中不包含其他人已经发表或撰写的研 究成果。与本研究成果相关的所有人所做出的任何贡献均已在论文（设计）中作了明确的说 明并表示了谢意。 签名： 年 月 日 授权声明授权声明 本人完全了解许昌学院有关保留、使用本科生毕业论文（设计）的规定，即：有权保留 并向国家有关部门或机构送交毕业论文（设计）的复印件和磁盘，允许毕业论文（设计）被 查阅和借阅。本人授权许昌学院可以将毕业论文（设计）的全部或部分内容编入有关数据库 进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编论文（设计） 。 本人论文（设计）中有原创性数据需要保密的部分为： 。 签名： 年 月 日 指导教师签名： 年 月 日 摘摘 要要 随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络的 安全性、保密性、可靠稳定性，对于企业和一些跨区域专门从事特定业务的部 门，非常重要。所以有一个良好的网络构架那是必须的。 关键字：网络规划，路由，交换机关键字：网络规划，路由，交换机 abstract with the rapid development of the internet, network security has become a potential huge problems. network security, privacy, reliable stability, for enterprises and some cross area to specialize in particular business department, is very important. so theres a good network structure that is a must. keyboard：the network planning, routing, switches 目目 录录 绪 论- 1 - 第一章第一章项目需求分析项目需求分析- 1 - 项目背景- 1 - 1.1.需求分析- 2 - 第二章 网络总体建设目标- 3 - 2.1网络建设目标- 3 - 2.2网络及系统建设内容及要求- 3 - 2.3网络设计原则- 4 - 第三章 网络总体设计- 5 - 3.1 网络总体拓扑图- 5 - 3.2 网络层次化设计- 6 - 第四章 路由设计- 7 - 4.1 路由协议选择- 7 - 4.2 路由规划拓扑图- 9 - 4.3 ip 地址规划.- 9 - 第五章 网络安全解决方案- 11 - 5.1 网络边界安全威胁分析- 11 - 5.2 网络内部安全威胁分析- 13 - 5.3 安全产品选型原则- 13 - 5.4 网络常用技术介绍- 13 - 第六章 产品简介- 16 - 第七章 项目实施计划- 17 - 7.1 项目组织结构- 17 - 7.2 项目人员分工- 18 - 7.3 项目实施前的准备工作- 18 - 7.4 安装前的场地准备- 19 - 7.5 核心及各网点的安装调试- 20 - 第八章 网络测试- 20 - 8.1 网络测试目的- 20 - 8.2 测试文档- 21 - 第九章 总部实验文档- 23 - 一、实验拓扑- 23 - 二、实验配置- 24 - 第十章 服务器配置- 45 - 一、dns- 45 - 二、ad- 48 - 三、mail- 57 - 四、web- 60 - 五、ftp- 65 - 六、file- 69 - 七、isa- 76 - 结结 束束 语语.2 参考文献参考文献.3 致致 谢谢.1 绪 论 网络发展存在的几个方面的差异，将会在中小型企业中特别是偏远和经济相对落后的企业， 网络发展建设迫在眉睫，网络建设随后带来的安全性问题就成为一个艰巨而又长期的问题。 而在目前网络管理安全技术人员短缺、安全意识相对淡薄的情况下，如何能够在网络建设初 期或正在建设过程中尽早的建立起网络安全意识，了解网络安全存在的威胁，选拔和培养自 己的安全人才，新的安全人员能够了解和掌握基本安全防范措施，制定适合本单位网络安全 的安全实施计划，最大限度的避免和减少网络威胁给企业带来不必要的损失。本课题研究的 目的和意义就是:在以上这些方面，为中小型企业网络建设及网络安全管理提供参考指导和 帮助，同时，在一些安全技术上，给出分析和经过具体实践的解决方案。 国内的目前情况是网络建设工程通常由网络服务提供商(isp)或者网络工程公司根据用 户需求提供设计方案，往往是公司方面的意见占上风，而企业方因为对网络建设了解较少并 且缺乏这一方面的技术人员，从而变成了单方面的策略模式;其二，公司方面为方便日后的 维护等工作，在安全等方面更多注重设备的选型。但是，网络运行、应用和安全的主要工作 在于建设之后，存在许多动态可变的因素。除了工程的问题或网络安全己经出现问题的时候， 公司才出面维护或解决，而真正的防范安全或运行工作却需要企业自己来完成。因此，企业 更加主动的参与网络设计和建设，更好的运用网络需要相对具体的参考和指导文献，在这一 方面还相对缺乏和不足。在发达国家，计算机网络建设相当普及，基本成为标准化的模式， 网络的重点是技术应用和研究，不存在或极少存在类似于我们这样的差异。正因为网络应用 的如此广泛，又在生活中扮演很重要的角色，所以其安全性是不容忽视的，它是网络能否经 历考验的关键，如果安全性不好会给人们带来很多麻烦。网络信息交流现已是生活中必不可 少的一个环节，然而信息安全却得不到相应的重视。 第一章第一章 项目需求分析项目需求分析 项目背景 河北承德露露股份有限公司坐落于承德市高新技术产业开发区，注册资金为 2 亿人民币， 现为万向三农有限公司（法人）控股的上市公司。公司于 1997 年年底在深交所上市，成为 国内饮料行业首批上市公司之一。其总公司人数 600 人，分公司 400 人，公司以发展民族饮 料为目标，坚持走科技兴厂的道路，本着“高起点引进、高速度发展、创造高效益”的原则， 使技术装备水平居国内领先地位，从而使公司的生产能力、科技含量有了更大的提高。 公司发展稳健，成长性良好，连续多年名列深市排行榜前列。公司坚持用优质的产品回 报消费者，用良好的信誉、投资回报率答谢支持露露的广大投资者。 公司理念为：视品质为生命坚持质量第一，生产高品质产品是露露企业的信念。露露严格把 控产品质量关，从不在质量上投机取巧，因为露露坚信只有真正为消费者提供高品质产品， 才能使消费者享受到健康营养，企业也因此才能立于不败之地。 所以本项目的目标是：建立一个世纪规范、功能完备、性能优良、安全可靠、有良好的 扩展性与可用性并且具备可管理易维护的网络及系统平台，以高效率，高速度，低成本的方 式提高公司员工的工作效率与执行效率”。 1.1. 需求分析 项目建设关键因素分析 通过对整个项目建设的理解和分析，我们认为整个项目建设需要考虑一下几个关键因素 1. 所选择产品设备的成熟度 对于露露集团的客户来说，信息化程度高，客户较多，所以对于设备的选择，一定 要是世界知名的、设计先进的、技术理念成熟的产品。 2. 建立和维护需要的人力成本 知识管理时代需要处理海量信息的时代，仅仅依靠人工的操作时无法满足用户需求 的，系统应该拥有高度的自动化，给员工的操作和维护负担就越少，从另一层面也 节省了投资。 3. 易用性及实用性的考虑 建设项目的系统使用性、可维护性是首要考虑问题，如果一个系统搭建起来，实用 性差、维护不方便，不能满足项目建设目标，不能发挥信息服务和支撑的作用。从 这个角度看，只是管理平台需要具有非常优秀的易用性和实用性。 4. 系统稳定性及高性能考虑 系统需要支持长时间的不间断工作，能够支持多客户的并发访问，在客户和信息不 断增长的情况下，系统应该提供高性能稳定的服务。 5. 安全性 安全性是任何一个大企业的关心的问题，所以整个系统需要具有非常周密的安全性 考虑。 6. 扩展性 对于一个系统，一定要考虑到系统今后的扩展和升级，所以整个系统应该有良好的 构架，具有良好的扩展能力。 具体项目建设因素分析 我们本次的项目建设范围为总部和分部。 总部： 本地区具有本公司重要信息，分为几个重要区域：数据中心，服务器，核心交换区。 数据中心区域存储本公司机密，其需要性能好，稳定性好，安全可靠；核心交换区能高 速安全可靠的交换数据，它需要性能佳，稳定性好，冗余性好，可扩展性好。因此我们 在设计时会着重考虑这些因素。 分部： 本地区相当于总部的子区域，因此总部可以知道其内部的网络构架，并合理利用其 资源。相对来讲，为了防止机密流失，我们会防止其分部进入总部的骨干区域。 在当今的市场，对于以上的技术分析，都有相应的设备对其进行完善，对公司的网络运 营有很大帮助。 第二章第二章 网络总体建设目标网络总体建设目标 2.1 网络建设目标 贵公司目前网络尚不完善，我们的建设目标是：完善公司的高层核心网络和服务器，使 其内部员工在工作时间内仅可以访问共享资源，上网查资料，收发邮件，绝对杜绝员工 于工作时间玩游戏，聊天等。建设一个具有高可用性、高可靠性、先进、开放、可扩展 的智能信息化网络系统。 2.2 网络及系统建设内容及要求 骨干核心层网络设计 企业生产办公网络的核心网主要完成整个企业集团内部不同地域企业之间的高速数 据路由转发，以及维护全网路由的计算。鉴于集团企业的用户数量众多，业务复杂，数 据转发时难免遇到拥塞、阻塞等情况，所以需要用到 qos 技术。 在骨干核心层中，我们采用核心路由交换机组成一个环形多机热备份的核心交换机系统 解决方案。为提高核心网络的健壮性，防止单台设备失效造成的网络中断，实现链路的 安全保障，本方案骨干核心层环网中可以采用 hsrp（热备份路由协议）技术。对于各个 业务 vlan 可以指向这个虚拟的 ip 地址作为网关，因此应用 hsrp 技术为核心交换机提 供了一个可靠的网关地址，以实现在核心层核心交换机之间进行设备的冗余，一主两备， 共用一个虚拟的 ip 地址和 mac 地址，通过内部的协议传输机制可以自动进行工作角色 的切换。进而双引擎、双电源的设计为网络高效处理集中数据提供了可靠的保障。另外， 我们还采用 channel（链路捆绑技术）技术，提高链路的高效利用,可以把两条物理链路 捆绑成一条虚拟的链路,可以避免环路。链路捆绑技术是把多条链路捆绑起来，为了提 高带宽，出入流量可以在多个成员接口之间分担，也可以加大链路的利用率。而且链路 捆绑技术用来做冗余，将两条物理链路捆绑成一条，可以使同时使用的带宽变为两倍， 数据在两条链路上同时发送数据。当某个成员接口出现故障时，流量会自动切换到其他 可用的成员接口上，并且进行无缝切换，不会影响到数据的传输，从而提高整个捆绑链 路的连接可靠性。假如贵公司正在传输一份合同，却因为网络中断而失去了这一次机会， 继而损失的不只是财富，名誉也会有所影响。所以这个技术会帮助贵公司进一步完善网 络。 核心层网络设计 企业生产办公网络的核心层网络主要完成园区内各个汇集层设备之间的数据交换和与骨 干核心层网络之间的路由转发。本层采用 cisco ws-c3560g-24ts-s 核心路由交换机作 为企业生产办公网络的园区核心路由交换设备，cisco ws-c3560g-24ts-s 具有强大的 业务和路由交换的处理能力，能提供 vpn 、qos、策略路由、 nat、pppoe/web/802.1x/l2tp 认证等丰富业务能力，并可通过内置防火墙模块实现各 种强大的网络安全策略，可以充分满足企业不同园区网络的高速数据交换和支持多业务 功能的要求，并能够提供完善的安全防御策略，保障企业园区网络的稳定运行。 汇聚层网络设计 汇聚层网络主要完成企业各园区内办公楼和相关单位的内接入交换机的汇聚及数据交换 和 vlan 终结，在本方案中采用 ws-c2960-24tt-l 交换机多层交换机作为汇聚层的交换 机。ws-c2960-24tt-l 交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智 能高速处理的需要，并能够灵活的部署在网络边缘的各个位置。能够同时提供多个高速 专用堆叠端口和百兆光口/电口。这些交换机都具备较强的多业务提供的能力。为用户 提供丰富、高性能价比的组网选择。 接入层网络设计 以往传统企业网络接入层的建设中并不关注于安全控制和 qos 提供的能力，而将网络的 安全防御措施和 qos 保障依赖于网络的汇聚层或骨干层设备，这给汇聚层和骨干层设备 带来了巨大的压力，往往内网病毒泛滥成灾后导致骨干层设备瘫痪，使网络没有 qos 服 务质量的保障。 cisco ws-c2918-48tc-c(思科二层交换机)是满足高安全、多业务承载、高性能网络 环境的换机，具备传统二层交换机大容量、高性能等优点，同时还具有领先的安全特性， 进一步加强了企业网络对边缘接入层的安全控制能力。用户可以根据需要来订制自身的 安全策略并部署在此交换机上。该产品具备的端口带宽限制、端口镜像、qos、端口安 全、广播风暴抵制等功能可以很好的协助用户实现网络的管理和维护。除此之外，此交 换机还具备多个专用堆叠接口，可以满足楼层，楼宇内多个交换机高性能汇聚的需要。 冗余/负载均衡设计 冗余和负载均衡的设计是网络设计的重要部分，是保证网络整体可靠性能的重要手段。 但是投资也将增加。部分企业网在早期的建设中由于成本的原因并未在设计中考虑到冗 余的问题，而在优化工作中则需从网络链路和网络设备两方面着手。冗余和负载均衡设 计可以贯穿整个层次化结构。我们采用了 pvst（每 vlan 生成树协议）技术，它为每个 在网络中配置的 vlan 维护一个生成树实例 ，减少了生成树拓扑的总范围，增强了可 扩张性并减少了收敛时间，提供快速回复和更好的可靠性。并且防止了环路，实现 了负载均衡，数据的备份和冗余。万一网络中某条路径失效时，冗余链路可以提供另一 条路径，使网络能够及时的正常运行，高效合理的利用好网络当中的每条可用链路。 服务器冗余设计 企业网中服务器、大型机，如网络存储服务器，sql server 服务器，其存储的数据对于 企业来说至关重要，一些核心数据被视为企业的生命。一方面它对企业的重要性毋庸置 疑，另一方面，由于这些数据的性质决定了其较大的被访问量，这个对服务器提出了稳 定和快速的要求。为此，我们采用的是轮询的方法，轮询是基站为终端分配带宽的一 种处理流程，这种分配可以是针对单个终端或是一组终端的。轮询是基于终端的，带 宽的请求总是基于 cid，而分配则是基于终端。为一组终端和连接分配带宽实际上是 定义带宽请求竞争机制，这种分配不是使用一个单独的消息，而是上行链路映射消息 中包含的一系列分配机制 ，这样使得每个服务器都能够更好、更快的工作，提高了 工作效率，更充分的利用了每个服务器。 本网络中应具备有多台服务器设备，包括db server 数据库服务器， web 等应 用服务器，news，mall 等通讯服务器以及多媒体服务器等。 2.3 网络设计原则 为构建高质量的网络，再网络建设中要坚持以下原则： 1. 高可靠性：网络的稳定可靠是应用系统正常运行的关键，保证在网络设计中选用高 可靠性的网络产品设备，充分考虑冗余、容错和备份能力，同时合理设计网络构架， 制定可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的 可靠运行。 2. 技术先进性：在保证满足基本业务应用的同时，又要体现出网络的先进性。再网络 设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到网络应用的 现状和未来发展趋势。 3. 高性能：骨干网络的性能是整个网络良好运行的基础，在设计中必须保障网络及设 备的高吞吐能力，保证各种信息（数据、语音、图像）的高质量传输，才能使网络 不成为业务的扩展。 4. 标准开放性：支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等 开放协议，有利于以保证与其他网络之间的平滑连接互通，以及将来网络的扩展。 5. 可管理性：选用先进的网络管理平台，具有对设备、端口等的管理及流量统计分析， 并可提供保障自动报警。 6. 可扩展性：根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的 减少对网络构架和现有设备的调整。 7. 安全性：制定统一的网络安全策略，整体考虑网络平台的安全性，做到业务数据的 安全传递和网络设备不受黑客攻击。 8. 经济性：在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有 计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有的网络设备或 做必要的升级。 第三章第三章 网络总体设计网络总体设计 3.1 网络总体拓扑图 考虑到总公司的实际需求，建议采用两台cisco catalyst3560 做双机热备，用cisco 专有 热备份路由协议技术（hsrp），根据需求配置成多组hsrp；同时双机还可以做负载均衡。 这样设计不但保证网络的高可用性和稳定性，还能够充分利用现有设 备的资源，以避免单台核心设备的负载太重而导致的网络性能问题。 如上图所示，整体网络可以根据功能划分为总部核心网络、内联接入包括办公网络、数据中 心、分公司接入等，各区域相对独立，通过 核心网络进行数据的交互。 各区域可以各自建立交换网络、路由接入、网络安全体系，可 以有独立的安全策略、数据流量控制等个体的特性，而需要和其他区 域的设备进行通讯的时候，则必须遵守核心网络区的策略。 3.2 网络层次化设计 随着网络技术的迅速发展和网上应用量的增长，分布式的网络服 务和交换已经移至用户级，由此形成了一个新的、更适应现代的高速 大型网络的分层设计模型。这种分级方法被称为“多层设计”。多层 设计有以下一些好处： 多层设计是模块化的，网络容量可随着日后网络节点的增加而不 断增大。 多层网络有很大的确定性，因此在运行和扩展过程中进行故障查 找和排除非常简单。 多层网络系统设计最有效地利用多种第3 层业务，包括分段负 载分担和故障恢复等。 在分层网络中运用智能第3 层业务可以大大减少因配置不当或 故障设备引起的一般问题。 多层模式使网络的移植更为简单易行，因为它保留了基于路由器 和交换机的网络原有的寻址方案，对以往的网络有很好的兼容性。 另外分层结构也能够对网络的故障进行很好的隔离。 针对实际情况我们可以采用三层结构模型。 三层结构模型划分 为三个层次，即核心层、分布层、接入层。每个层次完成不同的功能。 核心层 核心层作为整个网络系统的核心，其主要功能是高速、可靠的进 行数据交换。 分布层 分布层主要进行接入层的数据流量汇聚，并对数据流量进行访问 控制。包括访问控制列表、vlan 路由等等。 接入层 接入层主要提供最终用户接入网络的途径。主要是进行vlan 的划分、与分布层的连接等等。 核心层设计 核心交换区的作用是尽快地提供所有的区域间的数据交换。我们 推荐使用两台cisco catalyst 3560交换机完成此项功能。两台3560 交换机高性能、可靠性、可用性是我们主要考虑的因素。本区的安全 性可以由边界防火墙提供，如有需要在3560 上面可以部署安全策略，使得核心交换区的安 全性进一步地增强。 cisco catalyst 3560 系列凭借众多智能服务将控制扩展到网络 边缘，其中包括先进的服务质量 (qos)、可预测性能、高级安全性和全面的管理。它提供带 集成永续性的出色控制，将永续性集成到硬件和软件中，缩短了网络停运时间。cisco catalyst 3560 系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支，提高了投 资回报（roi），从而在延长部署寿命的同时降低了拥有成本。 接入层设计 接入层交换机采用思科的ws-c2960 以千兆以太链路和汇聚交换机相连接，并为用户终端提 供10/100m 自适应的接入，从而形成千兆为骨干，百兆到桌面的以太网三层结构。办公系统 所需的各种服务器如办公自动化服务器、邮件服务器、dhcp 服务器等组成服务器群，数据 中心的多种金融系统应用服务器, 连接到汇聚交换机的千兆模块上面,因此，内部的局域网 是采用三层结构组建。 内联接入 内联接入的作用是用于连接上海期货机房和北京办公网络。我们推荐使用两台cisco 2800系 列路由器通过sdh/ddn线路完成此项功能。 由于总部网络和分部机房属于公司的内部网络的一部分，因此可信度很高；接入时主要作用 是生产运营系统的数据交换，查询等等和管理以及监控。总结以上的原因，内联路由器与核 心交换网络间不需要配置额外的防火墙。 第四章第四章 路由设计路由设计 4.1 路由协议选择 开放式最短路径优先（open shortest path first，ospf）协议是一种为 ip 网络开发的 内部网关路由选择协议，由 ietf 开 发并推荐使用。 ospf 定义了 5 种分组：hello 分组用于建立和维护连接；数据库描述分组初始化路由器 的网络拓扑数据库；当发现数据库中的某部分信息已经过时后，路由器发送链路状态请求分 组，请求邻站提供更新信息；路由器使用链路状态更新分组来主动扩散自己的链路状态数据 库或对链路状态请求分组进行响应；由于 ospf 直接运行在 ip 层，协议本身要提供确认机制， 链路状态应答分组是对链路状态更新分组进行确认。 ospf 协议由三个子协议组成：hello 协议、交换协议和扩散协议。其中 hello 协议负责 检查链路是否可用，并完成指定路由器及备份指定路由器；交换协议完成“主”、“从”路 由器的指定并交换各自的路由数据库信息；扩散协议完成各路由器中路由数据库的同步维护。 ospf 协议主要优点： 1. 为了克服距离矢量路由选择协议的缺点，开发了链路状态选择协议。 2. 链路状态路由选择协议仅在网络拓扑发生变化时才生成路由选择更新。 3. 链路状态路由选择协议具体如下特征： 快速响应网络变化 . 在网络变化时发送触发更新 . 以较低的频率发送定期更新，被称为链路状态刷新（lsu）. spf 算法 最短路径优先（spf）路由算法，又称 dijkstra 算法，所有的 ospf 路由器并执行 spf 算法， 根据路由器的拓扑数据库构造出来以他自己为根结点的最短路径树。这个最短路径树就生成 了路由表。 ospf 规定有层次的网路结构，ospf 将网络分为若干区域： 1. 传输区域（骨干区域）：主要的功能为快速高效的传输 ip 分组的 ospf 区域，中转区域 将其他类型的 ospf 区域连接起来。 2. 常规区域（非骨干区域）：主要功能是为了连接用户和资源的 ospf 区域 3. 骨干区域的区域号必须为 0。所以的常规区域必须与骨干区域相连。 层次化区域的优点：便于管理。 最小化路由表 将拓扑变更影响限制在区域内 将 lsa 变更泛洪限制在范围内 ospf 路由器在完全邻接之前,所经过的几个状态: down:此状态还没有与其他路由器交换信息。首先从其 ospf 接口向外发送 hello 分组，还并 不知道 dr(若为广播网络)和任何其他路由器。发送 hello 分组使用组播地址 。 attempt: 只适于 nbma 网络,在 nbma 网络中邻居是手动指定的,在该状态下,路由器将使用 hellointerval 取代 pollinterval 来发送 hello 包。 init: 表明在 deadinterval 里收到了 hello 包,但是 2-way 通信仍然没有建立起来。 two-way: 双向会话建立,而 rid 彼此出现在对方的邻居列表中。(若为广播网络：例如：以 太网。在这个时候应该选举 dr,bdr)。 exstart: 信息交换初始状态，在这个状态下,本地路由器和邻居将建立 master/slave 关系, 并确定 dd sequence number,路由器 id 大的的成为 master. exchange: 信息交换状态，本地路由器和邻居交换一个或多个 dbd 分组（也叫 ddp) 。dbd 包含有关 lsdb 中 lsa 条目的摘要信息)。 loading: 信息加载状态：收到 dbd 后,将收到的信息同 lsdb 中的信息进行比较。如果 dbd 中有更新的链路状态条目，则向对方发送一个 lsr，用于请求新的 lsa 。 full: 完全邻接状态,邻接间的链路状态数据库同步完成，通过邻居链路状态请求列表为空 且邻居状态为 loading 判断。 另外 ospf 还有自己的自制系统即 as 自治系统（autonomous system）：一组相互管理下的 网络，它们共享同一个路由选择方法，自治系统由地区再划分并必须由 iana 分配一个单独 的 16 位数字。地区通常连接到其他地区，使用路由器创建一个自治系统。 为了保持骨干区域与普通区域的连通性，需要虚链路。 虚链路(virtual link) 以下两种情况需要使用到虚链路: 1. 通过一个非骨干区域连接到一个骨干区域。 2. 通过一个非骨干区域连接一个分段的骨干区域两边的部分区域。 虚链接是一个逻辑的隧道（tunnel）,配置虚链接的一些规则: 1. 虚链接必须配置在 2 个 abr 之间。 2. 虚链接所经过的区域叫 transit area,它必须拥有完整的路由信息。 3. transit area 不能是 stub area。 4. 尽可能的避免使用虚链接,它增加了网络的复杂程度和加大了排错的难度。 4.2 路由规划拓扑图 4.3 ip 地址规划 标识网络中的一个节点。ip 地址空间的分配，要与网络层次结构相 适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活 性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变 化的收敛速度。 我们根据以下几个原则来分配ip 地址： 唯一性：一个ip 网络中不能有两个主机采用相同的ip 地址 简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路 由表的款项 连续性：连续地址在层次结构网络中易于进行路由总结(route summarization)，大大缩减路由表，提高路由算法的效率 可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时 能保证地址总结所需的连续性 灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术 (vlsm variable-length subnet mask)，以满足多种路由策略的优 化，充分利用地址空间。 部门网段子网掩码网关地址广播地址 vlan 市场部 552 财务部 553 营销部 554 人事部 555 科研部 556 总部 行政部 557 部门网段子网掩码网关地址广播地址 vlan 市 场 部 2412 财 务 部 487033 营 销 部 24334 人 事 部 40595 科 研 部 4056 分 部 行 政 部 4805117 第五章第五章 网络安全解决方案网络安全解决方案 5.1 网络边界安全威胁分析 与非安全网络的互联面临的安全问题与网络内部的安全是不同的，主要的原因是攻击人是不 可控的，攻击是不可溯源的，也没有办法去“封杀”，一般来说网络边界上的安全问题主要 有下面几个方面： 1、 信息泄密：网络上的资源是可以共享的，但没有授权的人得到了他不该得到的资源， 信息就泄露了。一般信息泄密有两种方式： 攻击者(非授权人员)进入了网络，获取了信息，这是从网络内部的泄密 合法使用者在进行正常业务往来时，信息被外人获得，这是从网络外部的泄密 2、 入侵者的攻击：互联网是世界级的大众网络，网络上有各种势力与团体。入侵就是 有人通过互联网进入你的网络(或其他渠道)，篡改数据，或实施破坏行为，造成你网络业务 的瘫痪，这种攻击是主动的、有目的、甚至是有组织的行为。 3、 网络病毒：与非安全网络的业务互联，难免在通讯中带来病毒，一旦在你的网络中 发作，业务将受到巨大冲击，病毒的传播与发作一般有不确定的随机特性。这是“无对手”、 “无意识”的攻击行为。 4、 木马入侵：木马的发展是一种新型的攻击行为，他在传播时象病毒一样自由扩散， 没有主动的迹象，但进入你的网络后，便主动与他的“主子”联络，从而让主子来控制你的 机器，既可以盗用你的网络信息，也可以利用你的系统资源为他工作，比较典型的就是“僵 尸网络”。 来自网络外部的安全问题，重点是防护与监控。来自网络内部的安全，人员是可控的， 可以通过认证、授权、审计的方式追踪用户的行为轨迹，也就是我们说的行为审计与合轨性 审计。 由于有这些安全隐患的存在，在网络边界上，最容易受到的攻击方式有下面几种： 1、 黑客入侵：入侵的过程是隐秘的，造成的后果是窃取数据与系统破坏。木马的入侵 也属于黑客的一种，只是入侵的方式采用的病毒传播，达到的效果与黑客一样。 2、 病毒入侵：病毒就是网络的蛀虫与垃圾，大量的自我繁殖，侵占系统与网络资源， 导致系统性能下降。病毒对网关没有影响，就象“走私”团伙，一旦进入网络内部，便成为 可怕的“瘟疫”，病毒的入侵方式就象“水”的渗透一样，看似漫无目的，实则无孔不入。 3、 网络攻击：网络攻击是针对网络边界设备或系统服务器的，主要的目的是中断网络 与外界的连接，比如 dos 攻击，虽然不破坏网络内部的数据，但阻塞了应用的带宽，可以说 是一种公开的攻击，攻击的目的一般是造成你服务的中断。 5.2 网络内部安全威胁分析 公司内部网络的风险分析主要针对整个内网的安全风险，主要表现为以下几个方面： 1内部用户的非授权访问；内部的资源也不是对任何的员工都开放的，也需要有相应的访 问权限。内部用户的非授权的访问，更容易造成资源和重要信息的泄漏。 2.内部用户的误操作；由于内部用户的计算机造作的水平参差不 齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对 误操作的防范措施，极容易给服务系统和其他主机造成危害。 内部用户的恶意攻击；就网络安全来说，据统计约有70左右 的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚 的优势，因此，对内部用户攻击的防范也很重要。 设备的自身安全性也会直接关系到各种系统和各种网络应用的正常运转。例如，路由设备存 在路由信息泄漏、交换机和路由器设备配置风险等。 3.重要服务器或操作系统自身存在安全的漏洞，如果管理员没有及 时的发现并且进行修复，将会为网络的安全带来很多不安定的因素。 重要服务器的当机或者重要数据的意外丢失，都将会造成内部的业务无法正常运行。 4.安全管理的困难，对于众多的网络设备和网络安全设备，安全策 略的配置和安全事件管理的难度很大。 5.3 安全产品选型原则 公司网络属于一个行业的专用网络，因此在安全产品的选型 上，必须慎重，选型的原则包括： 1.安全保密产品的接入应不明显影响网络系统运行效率，并且满足 工作的要求，不影响正常的业务； 2.安全保密产品必须满足上面提出的安全需求，保证整个公司企业网络的安全性。 3.安全保密产品必须通过国家主管部门指定的测评机构的检测； 4.安全保密产品必须具备自我保护能力； 5.安全保密产品必须符合国家和国际上的相关标准； 6.安全产品必须操作简单易用，便于简单部署和集中管理 5.4 网络常用技术介绍 hsrp 协议 我们使用hsrp来实现对故障路由器的接管,hsrp中文解释是热备份路由协议，其含义是系统 中有多台路由器，它们组成一个“热备份组”，这个组形成一个虚拟路由器。在任一时刻， 一个组内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将 选择一个备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。 所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了路由器切换的问题。 vlan 技术 （virtual local area network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不 是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。ieee 于1999 年颁布了用以标 准化vlan 实现方案的802.1q 协议标准草案。 vlan 技术允许网络管理者将一个物理的lan 逻辑地划分成不同的广播域（或称虚拟lan，即 vlan），每一个vlan 都包含一组有着相同需求的计算机工作站，与物理上形成的lan 有着 相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个vlan 内的各个工作站无须 被放置在同一个物理空间里，即这些工作站不一定属于同一个物理lan网段。一个vlan内部 的广播和单播流量都不会转发到其他vlan中，从而有助于控制流量、减少设备投资、简化网 络管理、提高网络的安全性。 trunk 技术 一般的交换机端口只能属于一个vlan，对于多个vlan 需要跨过 多台交换机，就需要用到trunk 技术。trunk 是指交换机之间或交换 机与路由器之间vlan 之间的连接，vlan 信息通过trunk 在交换机之间或路由器之间传递， 从而可以将vlan 跨越整个网络，而不仅仅是局限在一台交换机上。cisco 支持802.1q、isl 的技术。其中ieee 802.1q 是业界的标准协议，而isl 是cisco 专有的协议，用于在一条链 路上封装多个vlan 的信息。isl 技术得到了intel 等厂商的大力支持，tagswitching 被 3com 及lucent cajun 支持。 对于cisco 交换机的trunk 端口，既可以指定它的封装协议为802.1q 或isl，也可以通过 dtp 协议（dynamic trunking protocol） 自动协商。dtp 协议主要用于处理trunk 端口的802.1q 和isl 封装 协议的自动协商，对于不同厂家的交换机互连时很有帮助。 对trunk 的定义只能在快速以太网端口和千兆以太网端口上进行，它既可以是单个的快速以 太网端口或千兆以太网端口，也可以是快速以太网通道（fec）或千兆以太网通道（gec）。 虽然我们采用的是思科交换机，但是最为一个标准的、开放、先进的网络系统，我们推荐是 用ieee802.1q 标准协议。 spanning-tree协议 在局域网中是不允许出现环路的，而为了实现冗余和负载的均衡，通常会有多条链路的连接， 这样就会引入环路。为了解决这个矛盾，推出了stp 协议。stp 算法会将网络中的连接生成 一个树，通过特定的算法自动将优先权高的链路激活，将优先权低的链路阻塞，保证在网络 中任何时候都不会出现环路。如果网络的连接状况发生了变化，stp 算法会自动地重新计算 新的连接关系，重新选出新的活动的连接。stp 算法会造成网络的暂时的不稳定状态，该转 换时间在30秒之内，亦即在30 秒之内网络会重新恢复到稳定状态。stp 对于终端是透明的， 终端感觉不到stp 的操作过程。在交换机上可以通过修改端口的优先级来改变连接的优先权， 使得stp 算法将高优先权的连接作为活动连接，例如：两个交换机之间有两条链路连接，一 条是光纤连接，另一条是双绞线连接，由于光纤连接明显要比双绞线连接更稳定、更可靠， 我们可以将交换机上的光纤端口的优先权设定成比双绞线端口更高的优先权，这样stp 算法 就会将光纤连接作为活动连接，而将双绞线连接阻塞。cisco 交换机的一个非常有用的特性 就是可以对每个vlan 设置spanning -tree ,而不是对整个网络只能属于一个spanning- tree。这个特征是很多厂商的设备所不具备的。在交换机上对端口的优先权的设置可以基于 vlan 进行，每个端口对于不同的vlan 设置不同的优先权。对于指定的vlan，具有该vlan 最高优先权的端口转发该vlan的信息，其它vlan 的信息则阻塞。通过这种方法，在具有冗 余连接的交换机端口上分别针对不同的vlan 设置不同的优先权，既可以实现链路的冗余， 又可以实现负载的均衡。 cisco 交换机端口支持每vlan 的生成树协议，每个端口都可设置基于vlan 的cost 或 priority 参数，从而实现在多条路径上的负载均衡能力。目前多数厂商都支持stp 协议， 但是不允许多个stp 域。采用多个stp 域显然可以获得比单个域高的网络可靠性。 qos 为了防止数据包的传输质量，为了解决这个问题，就用到了qos技术。 服务质量（quality of service，qos）是网络（互联网）传输质量和服务可用性的度 量。服务可用性是 qos 的重要基础要素。成功实现 qos 的前提是网络基础构造必须高度可靠。 它是指网络为某特定数据流提供优良服务（满足或超过业务要求的服务质量）的能力。承载 数据流的底层网络技术包括帧中继、atm、以太、sonet/sdh 和 ptn 网络等。qos 利用以下特 性提供优良的、更可预知的网络服务： 提供专用带宽； 降低丢包率； 管理和避免网络拥塞； 对网络流量整形（shaping）； 设置数据优先级。 决定 qos 的因素 端到端（end-to-end）qos 是指从网络一端到另一端的 qos，这种 qos 是全路程的 qos， 不是点到点的。端到端（end-to-end）qos 也是指网络能够为特定数据提供所要求服务质量 的能力。决定这种能力的因素有以下几种。 （1）带宽（bandwidth）-带宽描述了网络设备的接口或网络链路在单位时间（秒）内 发送或传送的比特量。带宽越大表示单位时间内传送的数据量越大，越能够保证服务质量。 （2）丢包率（loss）-指未被接收到的数据包占总发送数据包的比率。丢包率是网络 可靠性的一个参数。如果网络高度可靠，则在非拥塞情况下丢包率应该是 0。在拥塞情况下， 如果使用了 qos，则 qos 将决定选择丢弃哪些数据包来缓解拥塞。 （3）延迟（delay）-一个数据包从发送端被发送出去到达接收端所经历的有限时间。 如语音，它的延迟就是指从讲话者说出口，到接听者听到声音这段时间。如果延迟过大，超 过了规定值，就表明网络所提供的服务质量低，不能满足业务要求。 （4）抖动（jitter）-也称延迟变量（delay variation），用来描述不同数据包在端 到端传输中的不同延迟。如一个数据包从源端到目的端用时 100ms，而其后的数据包经由同 一条路径时却花费 125ms，那么抖动就是 25ms。终端设备上的应用软件，如 media player，可以使用缓冲区来弥补由抖动造成的质量下降，但它不能补偿数据包到达时间的瞬 时变化，这也会造成缓冲区的过载或欠载运行，导致业务质量降级。如在网上看电影时，视 频播放仍然不够流畅。 网络对任何组织都是非常重要的。它承载着大量的应用，包括实时语音、高质量视频和 对延迟敏感的数据等，这就要求网络必须能够通过管理带宽、延迟、抖动和丢包率等参数提 供可预测、可管理，甚至有时是可保证的服务。 qos 就是用于达到这一目标的技术和工具。qos 的目标是形成一个聚合的、对于用户来 说透明的网络，在这个聚合的网络平台上，各种数据共存且并不公平地竞争网络资源，加上 重要应用的数据被网络设备赋予较高的优先级或得到优先服务，这样这些应用的服务质量就 不会降低至不可用的地步了。 第六章第六章 产品简介产品简介 cisco 2800 系列集成多业务路由器 思科系统公司推出了一个全新的集成多业务路由器系列，它进行了专门的优化，可安全、 线速地同时提供数据、话音和视频服务，重新定义了最佳大型企业和中小型企业路由。模块 化cisco 2800 系列集成多业务路由器. 建立在思科20 年的领先地位及创新技术的基础之上， 智能地将数据、安全性和话音服务内嵌于单一永续系统，能快速、可扩展地提供关键任务业 务应用。cisco 2800 系列的独特集成系统架构提供了最高业务灵活性和投资保护。 cisco 2800 系列由四个新平台组成：cisco 2801、cisco 2811、cisco 2821 和cisco 2851。与相似价位的前几代思科路由器相比，cisco 2800 系列的性能提高了五倍、安全性和话音性能提高了十倍、具有 全新内嵌服务选项，且大大提高了插槽性能和密度，同时保持了对目 前cisco 1700 系列和cisco 2600 系列中现有90 多种模块中大多数 模块的支持，从而提供了极大的性能优势。 cisco 2800 系列能以线速为多条t1/e1/xdsl 连接提供多种高质量并发服务。这些路由器提 供了内嵌加密加速和主板话音数字信号处理器（dsp）插槽；入侵保护和防火墙功能；集成 化呼叫处理和语音留言；用于多种连接需求的高密度接口；以及充足的性能和插槽密度，以 用于未来网络扩展和高级应用。 cisco catalyst 3560 系列集成交换机 思科新推出的cisco catalyst 3560 系列交换机是一个创新的产品 系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆 叠式交换机在局域网中的工作效率。这个新的产品系列采用了最新的 思科stackwise 技术，不但实现高达32gbps 的堆叠互联，还从物理 上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一 个统一、高度灵活的交换系统-就好像是一整台交换机一样。这代表 了堆叠式交换机新的工业技术水平和标准。 对于中型组织和企业分支机构而言，cisco catalyst 3560 系列可以通过提供配置灵活性，