畢業(yè)論文---企業(yè)網(wǎng)的規(guī)劃與設(shè)計(jì)

1、<p>　　畢業(yè)設(shè)計(jì)說(shuō)明書(shū)(論文）</p><p>　　作 者： 學(xué) 號(hào)： </p><p>　　系 部： </p><p>　　專 業(yè)： 計(jì)算機(jī)科學(xué)與技術(shù) </p>

2、;<p>　　題 目： 企業(yè)網(wǎng)的設(shè)計(jì)與規(guī)劃 </p><p>　　指導(dǎo)者： 　 </p><p>　　(姓 名) (專業(yè)技術(shù)職務(wù))</p><p>　　評(píng)閱者： </p>

3、<p>　　(姓 名) (專業(yè)技術(shù)職務(wù))</p><p>　　畢業(yè)設(shè)計(jì)說(shuō)明書(shū)（論文）中文摘要</p><p><b>　　摘 要</b></p><p>　　企業(yè)不斷發(fā)展的同時(shí)其網(wǎng)絡(luò)規(guī)模也在不斷擴(kuò)大，復(fù)雜的網(wǎng)絡(luò)面臨更多的安全問(wèn)題。</p><p>　　面對(duì)日益龐大的網(wǎng)絡(luò)系統(tǒng)，如何做到高

4、效長(zhǎng)期穩(wěn)定地進(jìn)行通信是我們所追求的目標(biāo)。對(duì)于工作或者私人客戶端的不同網(wǎng)絡(luò)需求，我們需要通過(guò)運(yùn)用不同的相關(guān)技術(shù)去實(shí)現(xiàn)。隨著時(shí)代的進(jìn)步，安全也成為一個(gè)迫在眉睫的關(guān)鍵所在，于是便有了VLAN和冗余等技術(shù)的出現(xiàn)。通過(guò)最少的配置量來(lái)達(dá)到最好的效果，并進(jìn)行相應(yīng)的優(yōu)化，仔細(xì)規(guī)劃配置方案，確保做到首尾兼顧。然后還要考慮到成本的問(wèn)題，“性價(jià)比”這個(gè)名詞的出現(xiàn)代表著人們已經(jīng)走出盲從消費(fèi)的怪圈，因此我們需要仔細(xì)思考該項(xiàng)目的帶來(lái)的收益值得我們投入多少，才能使得

5、該項(xiàng)目的性價(jià)比最高，并確定方案是否可行，進(jìn)行項(xiàng)目實(shí)施時(shí)我們需要步步為營(yíng)，避免不必要的配置錯(cuò)誤或者環(huán)路，一勞永逸。</p><p>　　關(guān)鍵詞 規(guī)模 安全 成本 穩(wěn)定</p><p>　　畢業(yè)設(shè)計(jì)說(shuō)明書(shū)（論文）外文摘要</p><p>　　Title Based on the formation of enterprise network desig

6、n</p><p><b>　　Abstract</b></p><p>　　enterprise constant development, but also its network scale is expanding continually, complicated network face more safety problems.</p>&l

7、t;p>　　Facing the increasingly extensive network system, how to accomplish efficient long-term stability to communicate is our goal. For work or private client demand, we need different network by using different relat

8、ed technologies to achieve. With the progress of The Times, safety has become a looming key, so they have a VLAN and redundancy technique appears. Through the least amount of configuration to achieve the best effect, and

9、 carries on the corresponding optimization, careful planning scheme, </p><p>　　Keywords: scale， security, cost， stability</p><p><b>　　目 錄</b></p><p><b>　　摘 要2

10、</b></p><p><b>　　前言1</b></p><p>　　第一章 企業(yè)網(wǎng)組建設(shè)計(jì)與需求分析2</p><p>　　1.1網(wǎng)絡(luò)設(shè)計(jì)原則2</p><p>　　1.2網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)初步規(guī)劃3</p><p>　　1.3網(wǎng)絡(luò)安全系統(tǒng)需求3</p>&l

11、t;p>　　1.4 總體需求4</p><p>　　第二章 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案7</p><p>　　2.1 企業(yè)網(wǎng)分層架構(gòu)設(shè)計(jì)7</p><p>　　2.2 網(wǎng)絡(luò)搭建設(shè)備7</p><p>　　2.3網(wǎng)絡(luò)管理、接入控制、日志審計(jì)系統(tǒng)9</p><p>　　第三章 網(wǎng)絡(luò)技術(shù)設(shè)計(jì)分析11</p>

12、;<p>　　3.1網(wǎng)絡(luò)IP地址規(guī)劃11</p><p>　　3.2企業(yè)網(wǎng)絡(luò)技術(shù)分類12</p><p>　　3.3路由協(xié)議選擇15</p><p>　　第四章 網(wǎng)絡(luò)拓?fù)渚唧w配置17</p><p>　　4.1網(wǎng)絡(luò)的配置規(guī)劃17</p><p>　　4.2 網(wǎng)路的ACL配置18</p&g

13、t;<p>　　第五章 網(wǎng)絡(luò)故障應(yīng)急方案21</p><p>　　5.1 故障預(yù)防21</p><p>　　5.2 系統(tǒng)應(yīng)急21</p><p>　　5.3 其他突發(fā)事件應(yīng)急23</p><p><b>　　結(jié)束語(yǔ)24</b></p><p><b>　　致 謝

14、25</b></p><p><b>　　參考文獻(xiàn)26</b></p><p><b>　　附錄A27</b></p><p><b>　　附錄B28</b></p><p>　　附錄：英文技術(shù)資料翻譯36</p><p><

15、b>　　前言</b></p><p>　　如今，應(yīng)用將網(wǎng)絡(luò)用作一種資源，這種方式促使以太網(wǎng)不斷發(fā)展，數(shù)據(jù)中心網(wǎng)絡(luò)不斷演進(jìn)。對(duì)于網(wǎng)絡(luò)的要求已經(jīng)改變，它不再僅僅用于傳統(tǒng)的客戶機(jī)-服務(wù)器交易。例如，服務(wù)器集群的部署不斷增加，導(dǎo)致服務(wù)間流量隨之不斷增長(zhǎng)。同時(shí)，網(wǎng)格計(jì)算也進(jìn)一步增加了服務(wù)器間流量。如今，數(shù)據(jù)流量要在多方之間進(jìn)行轉(zhuǎn)移，包括從客戶機(jī)到服務(wù)器、服務(wù)器到服務(wù)器、服務(wù)器到存儲(chǔ)設(shè)備、以及存儲(chǔ)設(shè)備到存儲(chǔ)

16、設(shè)備等。 </p><p>　　這些趨勢(shì)顯著增加了總體流量，同時(shí)流量模式的變更也導(dǎo)致更加依賴于網(wǎng)絡(luò)來(lái)提供支持服務(wù)器集群應(yīng)用所需的吞吐率?，F(xiàn)在，應(yīng)用性能和網(wǎng)絡(luò)性能均為企業(yè)測(cè)量的目標(biāo)，這意味著帶寬和延遲都非常重要。同時(shí)，所發(fā)送流量的類型也存在區(qū)別。客戶機(jī)到服務(wù)器和服務(wù)器到服務(wù)器交涉及短暫的突發(fā)性傳輸。而大多數(shù)服務(wù)器到存儲(chǔ)設(shè)備和純存儲(chǔ)應(yīng)用要求長(zhǎng)期、穩(wěn)定的訊息流。這就要求網(wǎng)絡(luò)架構(gòu)非常靈活，并且具備出色網(wǎng)絡(luò)智能，以支持、發(fā)

17、現(xiàn)和響應(yīng)網(wǎng)絡(luò)情況的變化。 </p><p>　　應(yīng)用處理丟包的能力也存在差異。丟包對(duì)不同協(xié)議的影響有所不同，應(yīng)用會(huì)以不同的方式做出響應(yīng)：一些應(yīng)用可以容忍這一情況，通過(guò)重新發(fā)送所丟數(shù)據(jù)包得以恢復(fù)。以太網(wǎng)能夠支持這些情況，但其它應(yīng)用不能容忍任何丟包情況，要求保證端到端傳輸沒(méi)有丟包。通過(guò)以太網(wǎng)傳輸?shù)墓饫w通道流量就是要求無(wú)丟包服務(wù)的一個(gè)典型示例。為了使以太網(wǎng)能夠滿足應(yīng)用的無(wú)丟包要求，企業(yè)需要制定一種方法來(lái)通過(guò)以太網(wǎng)提供無(wú)

18、損服務(wù)。IEEE數(shù)據(jù)中心橋接的流量管理擴(kuò)展提供了這一能力。 </p><p>　　網(wǎng)絡(luò)還必須能夠支持大型的平面設(shè)計(jì)。隨著中心網(wǎng)絡(luò)不斷擴(kuò)展，以及客戶增添越來(lái)越多的服務(wù)器和交換機(jī)，原本已經(jīng)非常龐大的現(xiàn)有扁平式第二層網(wǎng)絡(luò)正在變得更加龐大，并且這一趨勢(shì)已成為一種普遍現(xiàn)象。</p><p>　　本文從公司對(duì)信息的需求對(duì)和該工程給公司帶來(lái)的效益來(lái)敘述了本論文的開(kāi)端，來(lái)構(gòu)建一個(gè)企業(yè)局域網(wǎng)，從主流組網(wǎng)技術(shù)

19、的分析與比較，來(lái)選擇一個(gè)最適合一個(gè)中小型企業(yè)局域網(wǎng)的組網(wǎng)分析，來(lái)實(shí)現(xiàn)企業(yè)網(wǎng)帶來(lái)的經(jīng)濟(jì)效益，在這個(gè)發(fā)展迅速的時(shí)代，網(wǎng)絡(luò)的快速發(fā)展是必然的，所以企業(yè)局域網(wǎng)也是必然的發(fā)展才能展現(xiàn)出一個(gè)企業(yè)現(xiàn)代化的實(shí)力，才能更方便快捷的和時(shí)代接軌，利用最前沿的普遍的網(wǎng)絡(luò)來(lái)來(lái)推進(jìn)公司的發(fā)展。 </p><p>　　第一章 企業(yè)網(wǎng)組建設(shè)計(jì)與需求分析</p><p><b>　　1.1網(wǎng)絡(luò)設(shè)計(jì)原則</

20、b></p><p>　　新建網(wǎng)絡(luò)必須滿足公司未來(lái)3～5年內(nèi)的研究、生產(chǎn)、辦公需求，遵循“可靠性、實(shí)用性、安全保密性、先進(jìn)性、經(jīng)濟(jì)性、開(kāi)放性”的設(shè)計(jì)原則，以系統(tǒng)生命周期長(zhǎng)、管理維護(hù)方便、系統(tǒng)集成度高和保護(hù)投資為主要技術(shù)特色，適應(yīng)XX公司當(dāng)前應(yīng)用及后續(xù)不斷發(fā)展。</p><p>　　該企業(yè)網(wǎng)絡(luò)是具有高密度用戶群的網(wǎng)絡(luò)，為了保障全網(wǎng)的高速轉(zhuǎn)發(fā)，企業(yè)網(wǎng)網(wǎng)全網(wǎng)的組網(wǎng)設(shè)計(jì)的無(wú)瓶頸性，要求方案設(shè)

21、計(jì)的階段就要充分考慮到，同時(shí)要交換機(jī)具有高性能、高帶寬的特性，整網(wǎng)的核心交換要求能夠提供無(wú)瓶頸的數(shù)據(jù)交換。 </p><p>　　1）可管理:該企業(yè)網(wǎng)絡(luò)是一個(gè)龐大而且復(fù)雜的網(wǎng)絡(luò)，為了保障網(wǎng)絡(luò)的正常使用以及設(shè)備的良好維護(hù)需要一個(gè)功能強(qiáng)大，具有分級(jí)、分權(quán)管理能力的網(wǎng)管系統(tǒng)，實(shí)現(xiàn)統(tǒng)一的網(wǎng)絡(luò)業(yè)務(wù)調(diào)度和管理，降低網(wǎng)絡(luò)運(yùn)營(yíng)成本。同時(shí)由于企業(yè)網(wǎng)絡(luò)的使用者數(shù)量較多，跨網(wǎng)絡(luò)開(kāi)展的業(yè)務(wù)眾多，因此需要能夠提供用戶的高效管理，以確企業(yè)網(wǎng)

22、絡(luò)的信息安全。</p><p>　　2）可增值:企業(yè)網(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。所以在建設(shè)時(shí)要充分考慮業(yè)務(wù)的擴(kuò)展能力，能提供豐富的寬帶增值業(yè)務(wù)（如VoIP，IPV6等），全網(wǎng)支持IPV6，使網(wǎng)絡(luò)能適應(yīng)未來(lái)需求，節(jié)約各類費(fèi)用。確保新建網(wǎng)絡(luò)在3～5年內(nèi)的使用價(jià)值。</p><p>　　3）安全保密性:充分考慮整個(gè)網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點(diǎn)

23、的備份和線路保護(hù)，提供網(wǎng)絡(luò)安全防范措施。能有效通過(guò)軟硬件相互聯(lián)動(dòng)，有效保證企業(yè)網(wǎng)的安全；選擇設(shè)備必須具有較高的安全特性，如蠕蟲(chóng)病毒防御、ARP欺騙防御、防代理、防攻擊掃描、防私設(shè)DHCP等功能，系統(tǒng)采用數(shù)字簽名,安全認(rèn)證,密碼技術(shù)以及超級(jí)防火墻軟件,代理服務(wù)器和VPN(虛擬隧道網(wǎng)絡(luò)技術(shù))等來(lái)確保網(wǎng)內(nèi)安全。對(duì)員工的上網(wǎng)行為進(jìn)行實(shí)時(shí)記錄，并保存到日志服務(wù)器。</p><p>　　4）可擴(kuò)展與成熟性:企業(yè)網(wǎng)絡(luò)要建設(shè)成完

24、整統(tǒng)一、組網(wǎng)靈活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺(tái)，要具有可擴(kuò)展性和可升級(jí)性。隨著業(yè)務(wù)的增長(zhǎng)和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長(zhǎng)，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能隨著技術(shù)的發(fā)展不斷升級(jí)。</p><p>　　5）經(jīng)濟(jì)性:在滿足高性能價(jià)格比(高性價(jià)比)的前提下,選用物廉價(jià)美,經(jīng)濟(jì)實(shí)用的產(chǎn)品,以減少開(kāi)支。</p><p>　　6）開(kāi)放性：技術(shù)選擇必須符合相關(guān)國(guó)際標(biāo)準(zhǔn)及國(guó)內(nèi)標(biāo)準(zhǔn)，避免個(gè)別廠家的私

25、有標(biāo)準(zhǔn)或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開(kāi)放性和互連互通，滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需要；開(kāi)放的接口，支持良好的維護(hù)、測(cè)量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實(shí)時(shí)監(jiān)控的遙測(cè)、遙控的信息處理功能，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。</p><p>　　1.2網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)初步規(guī)劃</p><p>　　首先根據(jù)需求構(gòu)建網(wǎng)絡(luò)拓?fù)?，考慮到數(shù)據(jù)傳輸?shù)姆€(wěn)定及安全性，這里采用三層架構(gòu)體系，劃分為核心層、匯聚層、接入層。各部分

26、需求如下：</p><p>　　1）核心層：主干網(wǎng)絡(luò)設(shè)備采用交換機(jī)進(jìn)行組網(wǎng)，配置兩臺(tái)高性能核心三層交換機(jī)，完成各匯聚節(jié)點(diǎn)與核心節(jié)點(diǎn)以及各匯聚節(jié)點(diǎn)之間的數(shù)據(jù)高速路由轉(zhuǎn)發(fā)以及各節(jié)點(diǎn)園區(qū)網(wǎng)的業(yè)務(wù)匯聚，并在整個(gè)骨干網(wǎng)上啟用HSRP進(jìn)行冗余，進(jìn)行容災(zāi)處理。</p><p>　　核心層為下兩層提供優(yōu)化的數(shù)據(jù)傳輸功能，它是一個(gè)高速的路由交換骨干，其作用是盡可能快地交換數(shù)據(jù)包，滿足匯聚節(jié)點(diǎn)與核心節(jié)點(diǎn)之間高

27、速通信的需要。核心交換機(jī)應(yīng)具備盡可能強(qiáng)大的性能、業(yè)務(wù)支持和端口接入的擴(kuò)展能力。</p><p>　　2）匯聚層：每個(gè)匯聚節(jié)點(diǎn)的匯聚交換機(jī)通過(guò)2個(gè)快速以太口與企業(yè)數(shù)據(jù)中心的2臺(tái)核心交換機(jī)相聯(lián)，構(gòu)成雙核心，雙歸屬的骨干網(wǎng)絡(luò)。</p><p>　　匯聚層提供基于統(tǒng)一策略的互連性，它是核心層和接入層的分界點(diǎn)，定義了網(wǎng)絡(luò)的邊界，對(duì)數(shù)據(jù)包進(jìn)行復(fù)雜的運(yùn)算。在整個(gè)網(wǎng)絡(luò)環(huán)境中，匯聚層主要提供如下功能：部門和

28、工作組的接入和匯聚，VLAN的路由，HSRP的封裝，實(shí)現(xiàn)冗余等。 </p><p>　　3）接入層：接入層節(jié)點(diǎn)采用百兆三層接入交換機(jī)，千兆光/電接口上聯(lián)匯聚交換機(jī)，支持802.1x接入，做到面向端點(diǎn)的安全控制能力。</p><p>　　拓?fù)鋱D如圖1-1所示。</p><p>　　1.3網(wǎng)絡(luò)安全系統(tǒng)需求</p><p>　　信息化網(wǎng)絡(luò)建設(shè)，涉及

29、與Internet的連接，涉及到與多個(gè)下屬部分單位的連接。WWW應(yīng)用、FTP應(yīng)用等等需要針對(duì)不同的部門、不同的人員服務(wù)，對(duì)網(wǎng)絡(luò)的安全提出了以下的需求：</p><p>　　采用安全控制措施，實(shí)現(xiàn)人員的集中管理和控制。</p><p>　　采用安全措施，加強(qiáng)對(duì)核心服務(wù)器系統(tǒng)的保護(hù)。</p><p>　　采用安全措施，實(shí)現(xiàn)與Internet的安全連接，同時(shí)對(duì)外提供服務(wù)。

30、</p><p>　　實(shí)現(xiàn)集中統(tǒng)一的全網(wǎng)安全管理，減輕管理的負(fù)擔(dān)。</p><p><b>　　圖1-1 拓?fù)鋱D</b></p><p><b>　　1.4 總體需求</b></p><p>　　1)系統(tǒng)建設(shè)的總體需求有：</p><p><b>　　(1) 高帶寬

31、</b></p><p>　　為了支持?jǐn)?shù)據(jù)、話音、視像多媒體的傳輸能力，在技術(shù)上要到達(dá)當(dāng)前的國(guó)際先進(jìn)水平。要采用比較先進(jìn)的網(wǎng)絡(luò)技術(shù)，以適應(yīng)大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)務(wù)需求，又要充分考慮未來(lái)的發(fā)展。為此應(yīng)選用高帶寬的先進(jìn)技術(shù)。</p><p><b>　　(2) 高可靠性</b></p><p>　　網(wǎng)絡(luò)系統(tǒng)應(yīng)具有高

32、可靠性、高安全性，具體到本項(xiàng)目中，要求采用可靠性較高的產(chǎn)品和網(wǎng)絡(luò)架構(gòu)，在物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層等多個(gè)層次都有相應(yīng)的技術(shù)，以最大程度的保證網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。</p><p><b>　　(3) QoS保證</b></p><p>　　當(dāng)今網(wǎng)絡(luò)中多媒體的應(yīng)用越來(lái)越多，這類應(yīng)用對(duì)服務(wù)質(zhì)量的要求較高，新的網(wǎng)絡(luò)系統(tǒng)應(yīng)能保證QoS，以支持這類應(yīng)用。</p><

33、;p><b>　　(4) 多協(xié)議支持</b></p><p>　　由于網(wǎng)絡(luò)將要存在不同的業(yè)務(wù)和辦公應(yīng)用系統(tǒng)，并基于不同的網(wǎng)絡(luò)協(xié)議，所以網(wǎng)絡(luò)系統(tǒng)應(yīng)能支持多種協(xié)議（IP、SNA、Netbios等），是一個(gè)開(kāi)放型的網(wǎng)絡(luò)，支持各種協(xié)議的互連。</p><p>　　(5) 易管理、易維護(hù)</p><p>　　由于企業(yè)的網(wǎng)絡(luò)系統(tǒng)規(guī)模龐大，需要網(wǎng)絡(luò)系統(tǒng)

34、具有良好的可管理性，網(wǎng)管系統(tǒng)具有監(jiān)測(cè)、故障診斷、故障隔離、過(guò)濾設(shè)置等功能，以便于系統(tǒng)的管理和維護(hù)。同時(shí)應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品，以便于管理和維護(hù)。</p><p><b>　　(6) 安全性</b></p><p>　　網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性，要充分的保證網(wǎng)絡(luò)的安全性，應(yīng)該根據(jù)相應(yīng)的管理制度和網(wǎng)絡(luò)策略制定一套完善的安全政策，基于此安全政策，采用合適的

35、技術(shù)手段，以達(dá)成目標(biāo)，保證系統(tǒng)的安全性。</p><p>　　(7) 可擴(kuò)展性和可升級(jí)性</p><p>　　系統(tǒng)要有可擴(kuò)展性和可升級(jí)性，隨著業(yè)務(wù)的增長(zhǎng)和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長(zhǎng)，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能隨著技術(shù)的發(fā)展不斷升級(jí)。</p><p>　　1.4.1企業(yè)對(duì)業(yè)務(wù)的需求情況</p><p>　　網(wǎng)絡(luò)事支撐企

36、業(yè)各種業(yè)務(wù)的基礎(chǔ)設(shè)施。所以在規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)之前，應(yīng)該清楚它的使用。使他能夠隨著公司的發(fā)展而擴(kuò)大，預(yù)計(jì)該企業(yè)在以后3-5年內(nèi)計(jì)劃聘用的人數(shù)、業(yè)務(wù)規(guī)?；蚓W(wǎng)絡(luò)數(shù)據(jù)流量的預(yù)計(jì)增長(zhǎng)情況來(lái)估計(jì)公司的增長(zhǎng)率確定公司在可靠性和有效性方面的需求，包括網(wǎng)絡(luò)故障帶來(lái)的嚴(yán)重后果，當(dāng)然網(wǎng)絡(luò)修復(fù)的費(fèi)用，網(wǎng)絡(luò)的安全性，web站點(diǎn)和Internet連接性，遠(yuǎn)程訪問(wèn)等的實(shí)現(xiàn)都對(duì)于網(wǎng)絡(luò)的規(guī)劃有至關(guān)重要的地位。</p><p>　　經(jīng)過(guò)我們對(duì)該企業(yè)的研

37、究，預(yù)計(jì)企業(yè)在未來(lái)幾年企業(yè)將進(jìn)一步擴(kuò)大，我們將預(yù)留一定的升級(jí)空間方便新用戶的接入，其中包括網(wǎng)絡(luò)設(shè)備支持升級(jí)其他應(yīng)用設(shè)備的接入，全面實(shí)現(xiàn)計(jì)算機(jī)資源共享：對(duì)于局域網(wǎng)中的各種資源,通過(guò)設(shè)置網(wǎng)絡(luò)用戶的共享權(quán)限,讓他成為網(wǎng)絡(luò)共享資源。（如計(jì)算機(jī)硬盤、軟驅(qū)、光驅(qū)、刻錄機(jī),各類軟件和文本文件、打印機(jī)、 掃描儀、調(diào)制解調(diào)器等I/O設(shè)備）當(dāng)然隨著網(wǎng)絡(luò)設(shè)計(jì)過(guò)程的接入，我們的設(shè)計(jì)也許會(huì)有一定的調(diào)整。</p><p>　　1.4.2用戶

38、需求分析</p><p>　　對(duì)于一個(gè)企業(yè)網(wǎng)絡(luò)而言用戶的需求是基礎(chǔ)，經(jīng)營(yíng)想到應(yīng)用、計(jì)算機(jī)平臺(tái)甚至網(wǎng)絡(luò)。用戶需求主要包括可靠性、可用性、可升級(jí)性、安全性、及時(shí)性以及響應(yīng)時(shí)間。</p><p>　　企業(yè)的用戶群包括管理層，普通用戶群的也用代表，在與用戶群的適當(dāng)?shù)慕涣靼▎?wèn)卷調(diào)查，集中訪談，個(gè)人采訪中我們發(fā)現(xiàn)，“快”是多數(shù)用戶對(duì)網(wǎng)絡(luò)響應(yīng)的要求了，其中包括下載速度、連接速度等，我們將為核心設(shè)備提供

39、冗余，以盡量保障系統(tǒng)的99.95%的可靠性，同時(shí)我們將根據(jù)企業(yè)的需求，為用戶停工遠(yuǎn)程登錄，文件傳輸服務(wù)，在年底企業(yè)統(tǒng)計(jì)全年信息時(shí)候會(huì)出現(xiàn)企業(yè)通訊高峰時(shí)間，我們的服務(wù)器將以滿足高峰期通訊為基礎(chǔ)選型的。當(dāng)然我們將提供防火墻等安全設(shè)備，保障用戶信息，物理資源的機(jī)密性，網(wǎng)整性和確實(shí)性，提供一定的數(shù)據(jù)加密、自動(dòng)備份、發(fā)生問(wèn)題的恢復(fù)等。當(dāng)然也包括網(wǎng)絡(luò)應(yīng)提供的服務(wù)資源共享、辦公自動(dòng)化、遠(yuǎn)程控制、電子郵件、www應(yīng)用等。</p><

40、p>　　1.4.3企業(yè)對(duì)網(wǎng)絡(luò)的需求</p><p>　　對(duì)于一個(gè)企業(yè)網(wǎng)絡(luò)而言用戶的需求是基礎(chǔ)，經(jīng)營(yíng)想到應(yīng)用、計(jì)算機(jī)平臺(tái)甚至網(wǎng)絡(luò)。用戶需求主要包括可靠性、可用性、可升級(jí)性、安全性、及時(shí)性以及響應(yīng)時(shí)間。</p><p>　　企業(yè)的用戶群包括管理層，普通用戶群的也用代表，在與用戶群的適當(dāng)?shù)慕涣靼▎?wèn)卷調(diào)查，集中訪談，個(gè)人采訪中我們發(fā)現(xiàn)，“快”是多數(shù)用戶對(duì)網(wǎng)絡(luò)響應(yīng)的要求了，其中包括下載速度、

41、連接速度等，我們將為核心設(shè)備提供冗余，以盡量保障系統(tǒng)的99.95%的可靠性，同時(shí)我們將根據(jù)企業(yè)的需求，為用戶停工遠(yuǎn)程登錄，文件傳輸服務(wù)，在年底企業(yè)統(tǒng)計(jì)全年信息時(shí)候會(huì)出現(xiàn)企業(yè)通訊高峰時(shí)間，我們的服務(wù)器將以滿足高峰期通訊為基礎(chǔ)選型的。當(dāng)然我們將提供防火墻等安全設(shè)備，保障用戶信息，物理資源的機(jī)密性，網(wǎng)整性和確實(shí)性，提供一定的數(shù)據(jù)加密、自動(dòng)備份、發(fā)生問(wèn)題的恢復(fù)等。當(dāng)然也包括網(wǎng)絡(luò)應(yīng)提供的服務(wù)資源共享、辦公自動(dòng)化、遠(yuǎn)程控制、電子郵件、www應(yīng)用等。

42、</p><p>　　第二章 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案</p><p>　　2.1 企業(yè)網(wǎng)分層架構(gòu)設(shè)計(jì)</p><p>　　依據(jù)企業(yè)網(wǎng)的分層架構(gòu)：核心層、匯聚層、接入層,Internet接入、網(wǎng)絡(luò)管理、接入控制、日志審計(jì)系統(tǒng)。按照需求分層設(shè)計(jì)。</p><p>　　2.2 網(wǎng)絡(luò)搭建設(shè)備 </p><p>　　選擇CISCO及

43、Juniper的設(shè)備及技術(shù)來(lái)組建企業(yè)網(wǎng)。</p><p>　　2.2.1 核心層設(shè)計(jì)</p><p>　　作為全網(wǎng)數(shù)據(jù)和業(yè)務(wù)的核心，網(wǎng)絡(luò)上所有業(yè)務(wù)的數(shù)據(jù)流都要經(jīng)過(guò)核心交換機(jī)進(jìn)行交換，因此它的安全性、可靠性和高性能對(duì)于全網(wǎng)數(shù)據(jù)和業(yè)務(wù)應(yīng)用的正常開(kāi)展至關(guān)重要。我們采用的思科網(wǎng)絡(luò)公司萬(wàn)兆核心路由交換機(jī)C3750G系列，基于新一代核心交換機(jī)的設(shè)計(jì)理念，在本項(xiàng)目中具備如下特色：</p>

44、<p>　　3750系列交換機(jī)是一個(gè)創(chuàng)新的產(chǎn)品系列，它結(jié)合業(yè)界領(lǐng)先的易用性和最高的冗余性，里程碑地提升了堆疊式交換機(jī)在局域網(wǎng)中的工作效率。這個(gè)產(chǎn)品系列采用了最新的思科StackWise智能堆疊技術(shù)，不但實(shí)現(xiàn)高達(dá)32Gbps的堆疊互聯(lián)，還從物理上到邏輯上使若干獨(dú)立交換機(jī)在堆疊時(shí)集成在一起，便于用戶建立一個(gè)統(tǒng)一、高度靈活的交換系統(tǒng) -- 就好像是一整臺(tái)交換機(jī)一樣。這代表了堆疊式交換機(jī)新的工業(yè)技術(shù)水平和標(biāo)準(zhǔn)。</p>

45、<p>　　3750系列最多可以將9個(gè)交換機(jī)堆疊在一起，構(gòu)成一個(gè)統(tǒng)一的邏輯單元，其中總共包含468個(gè)以太網(wǎng)10/100端口或者252個(gè)以太網(wǎng)10/100/1000端口。各個(gè)10/100和10/100/1000單元可以根據(jù)網(wǎng)絡(luò)的需要任意組合。 </p><p>　　3750系列可以使用標(biāo)準(zhǔn)多層軟件鏡像（SMI）或者增強(qiáng)多層軟件鏡像（EMI）。SMI功能集包括先進(jìn)的服務(wù)質(zhì)量（QoS）、速率限制、訪問(wèn)控制列表

46、（ACL）和基本的靜態(tài)和路由信息協(xié)議（RIP）路由功能。EMI可以提供一組更加豐富的企業(yè)級(jí)功能，包括先進(jìn)的、基于硬件的IP單播和組播路由。</p><p><b>　　具體見(jiàn)附錄B。</b></p><p>　　2.2.2 匯聚層設(shè)計(jì)</p><p>　　匯聚層在骨干網(wǎng)絡(luò)中起到承上啟下的作用，應(yīng)具備可靠性、高性能和多業(yè)務(wù)兼顧的特點(diǎn)?？梢宰鳛槠髽I(yè)

47、以后拓展用，不過(guò)我們依然采用的思科網(wǎng)絡(luò)公司萬(wàn)兆核心路由交換機(jī)C3750G系列，在本項(xiàng)目中具備如下特色：</p><p><b>　　多協(xié)議支持</b></p><p>　　支持服務(wù)質(zhì)量（QOS）</p><p>　　支持訪問(wèn)控制列表（ACL）</p><p><b>　　。</b></p>

48、;<p>　　2.2.3 接入層設(shè)計(jì)</p><p>　　在一個(gè)企業(yè)網(wǎng)絡(luò)里，接入交換機(jī)具有數(shù)量多，部署分散的特點(diǎn)，且直接負(fù)責(zé)終端的接入，應(yīng)具備可管理性強(qiáng)、端口控制能力強(qiáng)、性價(jià)比高的特點(diǎn)。我們選用的思科C2960-24TC-L系列二層接入交換機(jī)，具備如下優(yōu)勢(shì)：</p><p>　　1、支持創(chuàng)新的堆疊技術(shù)-IRF，，使堆疊組完全可看作一個(gè)設(shè)備，使可管理性大幅度提高。</p&

49、gt;<p>　　2、具有良好的端點(diǎn)控制能力，支持豐富的MAC、IP、端口的靈活綁定。</p><p>　　3、VLAN能力強(qiáng)，支持最高的4096個(gè)VLAN；</p><p><b>　　具體見(jiàn)附錄B。</b></p><p>　　2.2.4 Internet接入設(shè)計(jì) </p><p>　　對(duì)外訪問(wèn)區(qū)負(fù)責(zé)全

50、網(wǎng)對(duì)INTERNET的訪問(wèn)，同時(shí)承載太重門戶網(wǎng)站的對(duì)外發(fā)布和EMAIL系統(tǒng)。</p><p>　　雖然現(xiàn)在網(wǎng)絡(luò)上80%的安全隱患都在內(nèi)網(wǎng)，但互聯(lián)網(wǎng)出口的安全問(wèn)題仍然是對(duì)企業(yè)網(wǎng)絡(luò)最具威脅的區(qū)域，黑客入侵、企業(yè)機(jī)密數(shù)據(jù)外泄、新病毒的導(dǎo)入都幾乎全部發(fā)生在這里，所以互聯(lián)網(wǎng)接入設(shè)計(jì)中，安全設(shè)計(jì)仍然放在首位。</p><p>　　我們采用路由器+防火墻+入侵防御系統(tǒng)（IPS）的方式來(lái)構(gòu)建對(duì)外訪問(wèn)區(qū)。&

51、lt;/p><p>　　1) 路由器：路由器是連接內(nèi)外網(wǎng)的紐帶，路由器的性能直接影響對(duì)于寶貴帶寬的使用率，此外對(duì)于中小型企業(yè)網(wǎng)出口，由于內(nèi)部網(wǎng)絡(luò)用戶數(shù)量有一定的數(shù)量，路由器應(yīng)該具備高性能的NAT轉(zhuǎn)發(fā)能力。我們采用思科的CISCO 1841高性能路由器，部署在太重網(wǎng)絡(luò)的互聯(lián)網(wǎng)出口。該設(shè)備在本項(xiàng)目中的技術(shù)優(yōu)勢(shì)如下：</p><p>　　(1) 高性能：具備4.5Mpps的包轉(zhuǎn)發(fā)性能，滿足未來(lái)三條千

52、兆線路（千兆鏈路線速轉(zhuǎn)發(fā)理論值1.488Mpps）的全線速轉(zhuǎn)發(fā)。</p><p>　　(2) 強(qiáng)大的NAT能力：CISCO 1841設(shè)備具備并發(fā)NAT連接的能力，且支持豐富的NAT特性，提供NAT日志的輸出，可配合日志審計(jì)系統(tǒng)，做到對(duì)于對(duì)外訪問(wèn)的紀(jì)錄和跟蹤。</p><p>　　(3) 深度業(yè)務(wù)感知：CISCO 1841路由器具備思科專利特色的深度業(yè)務(wù)感知功能，可以根據(jù)流量的協(xié)議類型對(duì)其加

53、以識(shí)別、分類、限制或阻斷?？蓪⒊Ｒ?guī)應(yīng)用協(xié)議流量限制，BT等帶寬濫用流量或其他非常規(guī)流量由IPS進(jìn)行限制。</p><p>　　2) 防火墻：使用原有Juniper防火墻，劃分DMZ（非軍事區(qū)域）區(qū)域，通過(guò)原有華為5000千兆交換機(jī)，連接門戶服務(wù)器及EMAIL服務(wù)器等。配置策略偏重安全區(qū)劃分，安全抵御由入侵防御系統(tǒng)著重完成。</p><p>　　3) 入侵防御系統(tǒng)：配置TippingPoin

54、t X505，具備100M吞吐量，滿足當(dāng)前接入帶寬。重點(diǎn)配置對(duì)于黑客入侵、蠕蟲(chóng)病毒、木馬程序的防范。</p><p>　　2.3網(wǎng)絡(luò)管理、接入控制、日志審計(jì)系統(tǒng)</p><p>　　1) CiscoWorks LMS網(wǎng)絡(luò)管理軟件</p><p>　　CiscoWorks是思科公司推出的網(wǎng)絡(luò)管理產(chǎn)品，LMS(LAN Management Solution)是定位于局域

55、網(wǎng)的網(wǎng)絡(luò)管理產(chǎn)品，它可以對(duì)LAN環(huán)境中的設(shè)備進(jìn)行維護(hù)、監(jiān)測(cè)、排錯(cuò)，也可以讓網(wǎng)絡(luò)管理員通過(guò)自己的網(wǎng)絡(luò)瀏覽器有效的管理整個(gè)網(wǎng)絡(luò)及其設(shè)備。它采用了基于Web的客戶端/服務(wù)器模式，也可以與其它廠商的網(wǎng)絡(luò)管理工具集成使用。</p><p>　　思科公司的網(wǎng)管產(chǎn)品是按照不同的使用環(huán)境分類的。比如，我們介紹的LMS是在局域網(wǎng)環(huán)境中使用的；在廣域網(wǎng)環(huán)境中使用的是RWAN(CiscoWorks Routed WAN Managem

56、ent), 它主要適應(yīng)廣域網(wǎng)中對(duì)響應(yīng)時(shí)間和訪問(wèn)控制的管理需要；在IP語(yǔ)音環(huán)境中是ITEM(IP Telephony Environment Monitor), 它主要適用于管理傳輸IP語(yǔ)音流量網(wǎng)絡(luò)；在VPN環(huán)境中是VMS(VPN/Security Management Solution), 它用于管理和監(jiān)測(cè)VPN及其安全措施。</p><p>　　CiscoWorks LMS包括一組應(yīng)用程序和工具對(duì)局域網(wǎng)進(jìn)行配置

57、、監(jiān)測(cè)和排錯(cuò)。這些工具包括錯(cuò)誤管理，網(wǎng)絡(luò)拓?fù)涞牟炜矗O(shè)備配置的管理，二層/三層路由分析，語(yǔ)音路由追蹤，流量監(jiān)測(cè)，端站點(diǎn)的流量追蹤，設(shè)備的排錯(cuò)等等。</p><p><b>　　2) 接入認(rèn)證系統(tǒng)</b></p><p>　　思科® 安全訪問(wèn)控制服務(wù)器為思科智能信息網(wǎng)絡(luò)提供基于身份的全面的訪問(wèn)控制解決方案。它是用于管理企業(yè)網(wǎng)絡(luò)用戶、管理員和網(wǎng)絡(luò)基礎(chǔ)設(shè)施資源的集

58、成和控制層。 </p><p>　　思科® 安全訪問(wèn)控制服務(wù)器為思科智能信息網(wǎng)絡(luò)提供基于身份的全面的訪問(wèn)控制解決方案。它是用于管理企業(yè)網(wǎng)絡(luò)用戶、管理員和網(wǎng)絡(luò)基礎(chǔ)設(shè)施資源的集成和控制層。 </p><p>　　SecureCisco® ACS (ACS)是具高可擴(kuò)展性的高性能訪問(wèn)控制服務(wù)器，可作為集中的RADIUS 和 TACACS+ 服務(wù)器運(yùn)行。Cisco Secur

59、e ACS將驗(yàn)證、用戶訪問(wèn)和管理員訪問(wèn)與策略控制結(jié)合在一個(gè)集中的身份識(shí)別網(wǎng)絡(luò)解決方案中，因此提高了靈活性、移動(dòng)性、安全性和用戶生產(chǎn)率， 從而進(jìn)一步增強(qiáng)了訪問(wèn)安全性。它針對(duì)所有用戶執(zhí)行統(tǒng)一安全策略，不受用戶網(wǎng)絡(luò)訪問(wèn)方式的影響。它減輕了與擴(kuò)展用戶和網(wǎng)絡(luò)管理員訪問(wèn)權(quán)限相關(guān)的管理負(fù)擔(dān)。通過(guò)對(duì)所有用戶帳戶使用一個(gè)集中數(shù)據(jù)庫(kù)，Cisco Secure ACS可集中控制所有的用戶權(quán)限并將他們分配到網(wǎng)絡(luò)中的幾百甚至幾千個(gè)接入點(diǎn)。對(duì)于記帳服務(wù)，Cisco

60、 Secure ACS針對(duì)網(wǎng)絡(luò)用戶的行為提供具體的報(bào)告和監(jiān)控功能，并記錄整個(gè)網(wǎng)絡(luò)上每次的訪問(wèn)連接和設(shè)備配置變化。這個(gè)特性對(duì)于企業(yè)遵守Sarbanes Oxley法規(guī)尤其重要。Cisco Secure ACS支持廣泛的訪問(wèn)連接，包括有線和無(wú)線局域網(wǎng)、寬帶、內(nèi)容、存儲(chǔ)、IP上的語(yǔ)音(VoIP)、防火墻和VPN等。 </p><p>　　Cisco Secure ACS是思科基于身份的網(wǎng)絡(luò)服務(wù)(IBNS)架構(gòu)的重要組件

61、。Cisco IBNS基于802.1x (用于基于端口的網(wǎng)絡(luò)訪問(wèn)控制的IEEE標(biāo)準(zhǔn))和可擴(kuò)展驗(yàn)證協(xié)議(EAP)等端口安全標(biāo)準(zhǔn)，并將安全驗(yàn)證、授權(quán)和記帳(AAA)從網(wǎng)絡(luò)外圍擴(kuò)展到了LAN中的每個(gè)連接點(diǎn)。您可在這個(gè)全新架構(gòu)中部署新的策略控制工具(如每個(gè)用戶的配額、VLAN分配和訪問(wèn)控制列表[ACL])，這是因?yàn)樗伎平粨Q機(jī)和無(wú)線接入點(diǎn)的擴(kuò)展功能可用于在RADIUS協(xié)議上查詢Cisco Secure ACS。 </p><p

62、>　　3) CS-MARS日志審計(jì)系統(tǒng)</p><p>　　思科® 安全監(jiān)控分析和響應(yīng)系統(tǒng)(MARS)是一個(gè)高性能、可擴(kuò)展的威脅管理、監(jiān)控和防御設(shè)備系列，將傳統(tǒng)安全事件監(jiān)控與網(wǎng)絡(luò)智能、上下文關(guān)聯(lián)、因素分析</p><p>　　異常流量檢測(cè)、熱點(diǎn)識(shí)別和自動(dòng)防御功能相結(jié)合，可幫助客戶更為高效地使用</p><p>　　絡(luò)和安全設(shè)備。通過(guò)結(jié)合這些功能，思科

63、安全MARS可幫助公司準(zhǔn)確識(shí)別和消除</p><p>　　網(wǎng)絡(luò)攻擊，且保持網(wǎng)絡(luò)的安全策略符合性。</p><p>　　第三章 網(wǎng)絡(luò)技術(shù)設(shè)計(jì)分析</p><p>　　3.1網(wǎng)絡(luò)IP地址規(guī)劃</p><p>　　1）IP地址合理規(guī)劃的意義</p><p>　　在企業(yè)網(wǎng)網(wǎng)絡(luò)規(guī)劃中，IP地址方案的設(shè)計(jì)至關(guān)重要，好的IP地址方案

64、不僅可以減少網(wǎng)絡(luò)負(fù)荷，還能為以后的網(wǎng)絡(luò)擴(kuò)展打下良好的基礎(chǔ)。</p><p>　　IP地址的合理是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。企業(yè)網(wǎng)IP地址的分配應(yīng)該盡可能地利用申請(qǐng)到的地址空間，充分考慮到地址空間的合理使用，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布。具體地來(lái)說(shuō)IP地址的合理規(guī)劃有如下的意義：</p><p>　　減少對(duì)各種資源（內(nèi)存、CPU的處理能力以及網(wǎng)絡(luò)帶寬等）的

65、需求——IP地址的合理規(guī)劃有利于網(wǎng)絡(luò)中路由的匯聚，因而可以使得核心交換機(jī)中的路由表數(shù)目以及鏈路狀態(tài)數(shù)據(jù)庫(kù)等占用的內(nèi)存減少，同時(shí)更新所占用的網(wǎng)絡(luò)帶寬也降低了；</p><p>　　有利于IP地址空間的合理使用；</p><p>　　優(yōu)化業(yè)務(wù)流量的分布；</p><p><b>　　有利于故障診斷。</b></p><p>

66、　　IP地址空間的分配與合理使用與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)組織及路由政策有非常密切的關(guān)系，將對(duì)校園網(wǎng)的可用性、可靠性與有效性產(chǎn)生顯著影響，應(yīng)充分考慮本地網(wǎng)對(duì)IP地址的需求，以滿足未來(lái)業(yè)務(wù)發(fā)展對(duì)IP地址的需求。</p><p><b>　　2）IP地址規(guī)劃</b></p><p>　　根據(jù)國(guó)際互聯(lián)網(wǎng)絡(luò)技術(shù)發(fā)展的趨勢(shì)，結(jié)合當(dāng)今企業(yè)的現(xiàn)實(shí)情況，我們建議IP地址規(guī)劃遵循如下原則來(lái)設(shè)

67、計(jì)：</p><p>　　網(wǎng)絡(luò)出口、對(duì)外服務(wù)器群采用電信/cernet公網(wǎng)IP地址；</p><p>　　企業(yè)網(wǎng)采用先地區(qū)后業(yè)務(wù)劃分方法進(jìn)行IP地址分配。</p><p>　　地區(qū)位（8位）. 業(yè)務(wù)功能位（8位）. 子網(wǎng)位 主機(jī)位</p><p>　　資源中心公共服務(wù)器盡量采用合法IP地址；</p><p>　　企業(yè)網(wǎng)

68、所有網(wǎng)絡(luò)設(shè)備均配置內(nèi)部管理IP地址，防止非法用戶登錄。</p><p>　　各接入點(diǎn)根據(jù)現(xiàn)有信息點(diǎn)數(shù)，并預(yù)留30-40％的擴(kuò)容率，分配連續(xù)IP地址段；</p><p>　　各核心節(jié)點(diǎn)下聯(lián)各接入點(diǎn)分配連續(xù)IP地址段，統(tǒng)一在核心節(jié)點(diǎn)提供IP路由，并做路由聚合。</p><p>　　各核心節(jié)點(diǎn)內(nèi)部根據(jù)用戶群體地理位置劃分VLAN，并將VLAN網(wǎng)關(guān)IP設(shè)置在各核心節(jié)點(diǎn)交換機(jī)

69、上。</p><p>　　3.2企業(yè)網(wǎng)絡(luò)技術(shù)分類</p><p>　　在企業(yè)園區(qū)中使用的最多也是最廣泛的技術(shù)就是交換技術(shù)，交換技術(shù)的成熟帶動(dòng)著這個(gè)網(wǎng)絡(luò)的發(fā)展。而企業(yè)網(wǎng)是基于這個(gè)交換架構(gòu)的網(wǎng)絡(luò)，因此在交換式的網(wǎng)絡(luò)中有眾多技術(shù)VLAN，VTP，TRUNK，三層交換，STP，HSRP/VRRP，ETHERCHANNEL、DHCP，Multi PPP等。下面將分別介紹這些技術(shù)的應(yīng)用： </p

70、><p>　　1) VLAN技術(shù) </p><p>　?。╒irtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。</p><p>　　從技

71、術(shù)角度講，VLAN的劃分可依據(jù)不同原則，一般有以下三種劃分方法：</p><p>　　(1) 基于端口的VLAN劃分 這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組，這是最簡(jiǎn)單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。</p><p>　　(2) 基于MAC地址的VLAN劃分 MAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符，每一

72、塊網(wǎng)卡的MAC地址都是惟一且固化在網(wǎng)卡上的。MAC地址由12位16進(jìn)制數(shù)表示，前8位為廠商標(biāo)識(shí)，后4位為網(wǎng)卡標(biāo)識(shí)。網(wǎng)絡(luò)管理員可按MAC地址把一些站點(diǎn)劃分為一個(gè)邏輯子網(wǎng)。 </p><p>　　(3) 基于路由協(xié)議的VLAN劃分 路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)）。該方式允許一個(gè)VLAN跨越多個(gè)交換機(jī)，或一個(gè)端口位于多個(gè)VLAN中。在XX公司的交換網(wǎng)絡(luò)中使用基于端口的VLAN

73、技術(shù)，將設(shè)備的管理VLAN定義為VLAN1，將辦公業(yè)務(wù)劃分為VLAN2和VLAN3，將總部服務(wù)器劃入VLAN100，可以控制廣播風(fēng)暴的范圍，提高網(wǎng)絡(luò)整體安全性，并且使得網(wǎng)絡(luò)管理簡(jiǎn)單、直觀。</p><p>　　2) VTP技術(shù) </p><p>　　VTP（VLAN Trunking Protocol）：是VLAN中繼協(xié)議，也被稱為虛擬局域網(wǎng)干道協(xié)議。它是一個(gè)OSI參考模型第二層的通信協(xié)

74、議，主要用于管理在同一個(gè)域的網(wǎng)絡(luò)范圍內(nèi)VLANs的建立、刪除和重命名。在一臺(tái)VTP Server 上配置一個(gè)新的VLAN時(shí)，該VLAN的配置信息將自動(dòng)傳播到本域內(nèi)的其他所有交換機(jī)。這些交換機(jī)會(huì)自動(dòng)地接收這些配置信息，使其VLAN的配置與VTP Server保持一致，從而減少在多臺(tái)設(shè)備上配置同一個(gè)VLAN信息的工作量，而且保持了VLAN配置的統(tǒng)一性。</p><p>　　VTP有三種工作模式：VTP Server、

75、VTP Client 和 VTP Transparent。 一般，一個(gè)VTP域內(nèi)的整個(gè)網(wǎng)絡(luò)只設(shè)一個(gè)VTP Server。VTP Server維護(hù)該VTP域中所有VLAN 信息列表，VTP Server可以建立、刪除或修改VLAN。VTP Client雖然也維護(hù)所有VLAN信息列表，但其VLAN的配置信息是從VTP Server學(xué)到的，VTP Client不能建立、刪除或修改VLAN。VTP Transparent相當(dāng)于是一上獨(dú)立的交換機(jī)

76、，它不參與VTP工作，不從VTP Server學(xué)習(xí)VLAN的配置信息，而只擁有本設(shè)備上自己維護(hù)的VLAN信息。VTP Transparent可以建立、刪除和修改本機(jī)上的 VLAN信息。</p><p>　　XX公司的VLAN中包含設(shè)備管理VLAN，業(yè)務(wù)VLAN，服務(wù)器VLAN，總部和分部中的交換設(shè)備較多，因此選擇VTP技術(shù)來(lái)簡(jiǎn)化VLAN的配置，是一種較好的方案。</p><p>　　3)

77、TRUNK技術(shù) </p><p>　　鏈路聚合（Trunk）是一種封裝技術(shù)，它是一條點(diǎn)到點(diǎn)的鏈路，鏈路的兩端可以都是交換機(jī)，也可以是交換機(jī)和路由器，還可以是主機(jī)和交換機(jī)或路由器。Trunk的主要功能就是僅通過(guò)一條鏈路就可以連接多個(gè)VLAN。 </p><p><b>　　4) 三層交換 </b></p><p>　　第三層交換的實(shí)質(zhì)是路由，

78、類似于IP子網(wǎng)間的數(shù)據(jù)交換機(jī)制。當(dāng)網(wǎng)絡(luò)內(nèi)數(shù)據(jù)流量的分布偏離80/20規(guī)則，而且流量必須大量跨越子網(wǎng)邊界時(shí)，傳統(tǒng)的路由器就成了交通中的瓶頸，第三層交換技術(shù)的提出就是試圖消除這個(gè)瓶頸。第三層交換設(shè)備可以保證在不改變IP編址方式和網(wǎng)絡(luò)連接方式的前提下消除網(wǎng)絡(luò)中的路由瓶徑，并且實(shí)現(xiàn)第二層交換無(wú)法提供的第三層包轉(zhuǎn)發(fā)和過(guò)濾能力。</p><p>　　系統(tǒng)劃分VLAN一方面隔離了廣播，從而有效利用系統(tǒng)帶寬，另一方面也提高了系統(tǒng)

79、的安全性，但劃分了VLAN之后各個(gè)子網(wǎng)之間需要路由，用傳統(tǒng)的路由器可以解決這一問(wèn)題，但即使性能再高的路由器也會(huì)成為系統(tǒng)性能的瓶頸，而只有三層交換才能最好的解決這一問(wèn)題，它以二層交換的性能實(shí)現(xiàn)三層交換的功能。</p><p>　　本次方案中選擇的Catalyst3560交換機(jī)支持VLAN技術(shù)，可以提供Layer3(網(wǎng)絡(luò)層)的線速路由（三層交換），使系統(tǒng)性能與安全性獲得最佳平衡。</p><p&g

80、t;　　5) STP技術(shù) </p><p>　　即Spanning-tree protocol ，STP協(xié)議是一個(gè)二層的鏈路管理協(xié)議，它在提供鏈路冗余的同時(shí)防止網(wǎng)絡(luò)產(chǎn)生環(huán)路。定義在IEEE 802.1D 中，是一種鏈路管理協(xié)議，它為網(wǎng)絡(luò)提供路徑冗余同時(shí)防止產(chǎn)生環(huán)路。一旦二層存在環(huán)路，會(huì)產(chǎn)生廣播風(fēng)暴、MAC表不穩(wěn)定和使終端收到同個(gè)幀的多個(gè)副本等問(wèn)題。為使以太網(wǎng)更好地工作，兩個(gè)工作站之間只能有一

81、條活動(dòng)路徑。網(wǎng)絡(luò)環(huán)路的發(fā)生有多種原因，最常見(jiàn)的一種是有意生成的冗余，萬(wàn)一一個(gè)鏈路或交換機(jī)失敗，會(huì)有另一個(gè)鏈路或交換機(jī)替代。</p><p>　　由于在XX公司總部和分部的核心層均使用了雙機(jī)單模塊的設(shè)備冗余，存在二層環(huán)路，因此需要在接入層和核心層的交換機(jī)上使用STP技術(shù)，以便在提供路徑冗余的同時(shí)在邏輯上斷開(kāi)環(huán)路。</p><p>　　6) 幀中繼（FR）技術(shù)</p><p

82、>　　幀中繼是在X.25分組交換技術(shù)的基礎(chǔ)上發(fā)展起來(lái)的一種快速分組交換技術(shù)，是改進(jìn)了的X.25協(xié)議。</p><p>　　它是在用戶與網(wǎng)絡(luò)接口之間提供用戶信息流的雙向傳送，并保持順序不變的一種承載業(yè)務(wù)。幀中繼是以幀為單位，在網(wǎng)絡(luò)上傳輸，并將流量控制、糾錯(cuò)等功能，全部交由智能終端設(shè)備處理的一種新型高速網(wǎng)絡(luò)接口技術(shù)幀中繼是當(dāng)前數(shù)據(jù)通信中的一種廣為應(yīng)用的廣域網(wǎng)技術(shù)，作為高速數(shù)據(jù)接口，幀中繼可以實(shí)現(xiàn)局域網(wǎng)的（LAN

83、）互聯(lián)等應(yīng)用。幀中繼業(yè)務(wù)是在用戶與網(wǎng)路接口(UNI)之間提供用戶信息流的雙向傳送，并保持原順序不變的一種承載業(yè)務(wù)。用戶與網(wǎng)路接口之間以虛電路進(jìn)行連接，對(duì)用戶信息流進(jìn)行統(tǒng)計(jì)復(fù)用。幀中繼網(wǎng)路提供基本業(yè)務(wù)和用戶選用業(yè)務(wù)。</p><p><b>　　7) HSRP </b></p><p>　　熱備份路由器協(xié)議（HSRP）的設(shè)計(jì)目標(biāo)是支持特定情況下 IP 流量失敗轉(zhuǎn)移不會(huì)引

84、起混亂、并允許主機(jī)使用單路由器，以及即使在實(shí)際第一跳路由器使用失敗的情形下仍能維護(hù)路由器間的連通性。換句話說(shuō)，當(dāng)源主機(jī)不能動(dòng)態(tài)知道第一跳路由器的 IP 地址時(shí)，HSRP 協(xié)議能夠保護(hù)第一跳路由器不出故障。該協(xié)議中含有多種路由器，對(duì)應(yīng)一個(gè)虛擬路由器。HSRP 協(xié)議只支持一個(gè)路由器代表虛擬路由器實(shí)現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過(guò)程。終端主機(jī)將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。</p><p>　　負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動(dòng)路

85、由器（Active Router）。一旦主動(dòng)路由器出現(xiàn)故障，HSRP 將激活備份路由器（Standby Routers）取代主動(dòng)路由器。HSRP 協(xié)議提供了一種決定使用主動(dòng)路由器還是備份路由器的機(jī)制，并指定一個(gè)虛擬的 IP 地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。如果主動(dòng)路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動(dòng)路由器的所有任務(wù)，并且不會(huì)導(dǎo)致主機(jī)連通中斷現(xiàn)象。</p><p>　　由于在2.2節(jié)

86、所示的企業(yè)網(wǎng)絡(luò)中的核心層使用了2臺(tái)核心交換機(jī)做備份，則在此時(shí)就可以通過(guò)HSRP來(lái)實(shí)現(xiàn)流量負(fù)載。通過(guò)這一技術(shù)可以大大的緩解核心層中設(shè)備使用過(guò)于集中而備份設(shè)備出現(xiàn)閑置的狀況。</p><p><b>　　8) DHCP </b></p><p>　　動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）是一種使網(wǎng)絡(luò)管理員能夠集中管理和自動(dòng)分配 IP 網(wǎng)絡(luò)地址的通信協(xié)議。在 IP 網(wǎng)絡(luò)中，每個(gè)連接

87、 Internet 的設(shè)備都需要分配唯一的 IP 地址。DHCP 使網(wǎng)絡(luò)管理員能從中心結(jié)點(diǎn)監(jiān)控和分配 IP 地址。當(dāng)某臺(tái)計(jì)算機(jī)移到網(wǎng)絡(luò)中的其它位置時(shí)，能自動(dòng)收到新的 IP 地址。</p><p>　　DHCP 使用了租約的概念，或稱為計(jì)算機(jī) IP 地址的有效期。租用時(shí)間是不定的，主要取決于用戶在某地聯(lián)接 Internet 需要多久，這對(duì)于教育行業(yè)和其它用戶頻繁改變的環(huán)境是很實(shí)用的。通過(guò)較短的租期， DHCP 能夠

88、在一個(gè)計(jì)算機(jī)比可用 IP 地址多的環(huán)境中動(dòng)態(tài)地重新配置網(wǎng)絡(luò)。</p><p>　　為了給終端動(dòng)態(tài)分配IP地址，我們?cè)赬X公司總部的二個(gè)核心交換機(jī)和分部的路由器R7上均配置DHCP服務(wù)，以實(shí)現(xiàn)IP地址按要求動(dòng)態(tài)分配和DHCP服務(wù)的備份。</p><p><b>　　3.3路由協(xié)議選擇</b></p><p>　　在設(shè)計(jì)大中型網(wǎng)絡(luò)時(shí)，由于靜態(tài)路由協(xié)

89、議設(shè)置麻煩、對(duì)網(wǎng)絡(luò)的變化適應(yīng)性差，一般不予采用，而今作為路由設(shè)計(jì)的補(bǔ)充?，F(xiàn)在，常用的動(dòng)態(tài)路由協(xié)議有以下四種：</p><p><b>　　3.3.1 RIP</b></p><p>　　RIP是一種Distance Vector路由協(xié)議，有以下特點(diǎn)：</p><p>　　簡(jiǎn)單，廣泛使用，技術(shù)成熟，信息源與目的地間限制在15個(gè)hops（或路由器）

90、之內(nèi)，超過(guò)15hops將認(rèn)為不可及。</p><p>　　RIPv1不支持VLSM（Variable Length Subnet Mask），不可能有效地利用IP地址。每30秒傳送路由信息將耗費(fèi)大量的帶寬，在大型網(wǎng)絡(luò)及低速鏈路中更明顯。路由收斂較慢，此算法將經(jīng)歷Hold-down(180S)的周期。RIP在計(jì)算路徑時(shí)，只考慮hop count，不考慮網(wǎng)絡(luò)鏈路的延遲和cost。RIP網(wǎng)絡(luò)適用于平面結(jié)構(gòu)的網(wǎng)絡(luò)。RIP

91、適用于中、小型網(wǎng)絡(luò)。一般網(wǎng)絡(luò)的路由器數(shù)目少于20個(gè)。</p><p>　　3.3.2 OSPF</p><p>　　OSPF是Link State，層次化拓?fù)涞穆酚蓞f(xié)議。有以下特點(diǎn)：</p><p>　　僅用于IP網(wǎng)絡(luò)，無(wú)hop count的限制，適于大型網(wǎng)絡(luò)，支持VLSM，用hello通知其他路由器本路由器工作正常。通過(guò)IP multicast發(fā)送鏈路更新的信息，

92、并且僅在路由發(fā)生變化是進(jìn)行更新，由此優(yōu)化路由器的資源和帶寬。</p><p>　　路由收斂較快，在路徑的選擇中，metric主要考慮鏈路的延遲，支持相同cost的多條鏈路路由，較好地實(shí)現(xiàn)負(fù)載均衡。cost=100,000,000/bandwidth in bps。通過(guò)劃分區(qū)域更好的規(guī)劃網(wǎng)絡(luò)，減少路由更新信息。在網(wǎng)絡(luò)設(shè)計(jì)中推薦每個(gè)AS區(qū)域中路由器少于50個(gè)。</p><p>　　3.3.3

93、IGRP</p><p>　　IGRP是Distance Vector路由協(xié)議，由CISCO開(kāi)發(fā)，用于大型IP及OSI網(wǎng)絡(luò)，有以下特點(diǎn)：</p><p>　　不支持VLSM（Variable Length Subnet Mask)，不可能有效地利用IP地址。每90秒傳送路由信息將耗費(fèi)部分的帶寬。在路徑的選擇上采用組合的metrics包括：延遲、帶寬、可靠性、MTU和負(fù)載。支持多條路徑路由。

94、</p><p>　　3.3.4 EIGRP</p><p>　　EIGRP是intra-domain，先進(jìn)的Distance Vector路由協(xié)議，由CISCO開(kāi)發(fā)和支持：</p><p>　　結(jié)合了距離向量(DV)協(xié)議和連接狀態(tài)(LS)協(xié)議的優(yōu)點(diǎn)，采用了DUAL算法達(dá)到網(wǎng)絡(luò)的快速收斂。支持層次化和平面網(wǎng)絡(luò)結(jié)構(gòu)，支持VLSM網(wǎng)絡(luò)地址分配，可在任意位邊界對(duì)直接相連的

95、網(wǎng)絡(luò)進(jìn)行路徑疊合，只有在網(wǎng)絡(luò)變化時(shí)EIGRP才發(fā)送路由表更新信息，而且只發(fā)給相關(guān)路由器，因此廣域網(wǎng)帶寬浪費(fèi)很少，DUAL算法使其具有最好的收斂性。</p><p>　　采用五維參數(shù)來(lái)決定最佳路徑：帶寬、時(shí)延、可靠性、線路負(fù)載和最大數(shù)據(jù)包尺寸。EIGRP路由算法自動(dòng)根據(jù)這五項(xiàng)參數(shù)值動(dòng)態(tài)計(jì)算最優(yōu)路徑，隨時(shí)更新。它采用模塊化軟件支持IP、IPX和AT協(xié)議。</p><p>　　RIP由于性能和擴(kuò)

96、展性差而逐漸推出了歷史的舞臺(tái)。EIGRP本身的設(shè)計(jì)定位是取代IGRP的，所以IGRP也逐漸淡出。</p><p>　　3.3.5 綜合的選擇</p><p>　　根據(jù)以上的比較，EIGRP和OSPF都比較適合大型網(wǎng)絡(luò)，并且兩者均有很多成功案例。但EIGRP屬于Cisco公司專有的路由協(xié)議，兼容性較差。而OSPF的開(kāi)放性和對(duì)備份線路的特別支持特性，適合作為中大規(guī)模網(wǎng)絡(luò)。故建議采用OSPF協(xié)議

97、作為設(shè)計(jì)廣域網(wǎng)的路由協(xié)議。</p><p>　　路由設(shè)計(jì)，在核心交換機(jī)上啟用三層路由功能，實(shí)現(xiàn)各VLAN間的通信，同時(shí)在核心路由器上啟用動(dòng)態(tài)路由協(xié)議OSPF，支持變長(zhǎng)子網(wǎng)掩碼，在接入的工作站和服務(wù)器上配置缺省網(wǎng)關(guān)。同時(shí)配合國(guó)家數(shù)據(jù)及主控中心、各省及控制中心啟動(dòng)OSPF動(dòng)態(tài)路由協(xié)議，并做好相應(yīng)的路由協(xié)議參數(shù)配置，從而實(shí)現(xiàn)全網(wǎng)統(tǒng)一的大的OSPF動(dòng)態(tài)路由網(wǎng)絡(luò)。</p><p>　　將區(qū)域數(shù)據(jù)中心

98、的路由器劃入OSPF的area0內(nèi)，與之相連的下級(jí)節(jié)點(diǎn)的設(shè)備再分別劃分為不同的OSPF area，可以各級(jí)節(jié)點(diǎn)為單位，不同的級(jí)別節(jié)點(diǎn)劃分不同的區(qū)域。這將最大限度的利用OSPF的分區(qū)管理優(yōu)勢(shì)。</p><p>　　OSPF在路徑的選擇中，metric主要考慮鏈路的延遲。如果不同的路徑有相同cost，那么OSPF可以在這些不同的路徑上實(shí)現(xiàn)負(fù)載均衡。如果不同的路徑的也cost不同，那么OSPF會(huì)有先啟動(dòng)cost值?。╟

99、ost值越小，則鏈路的延遲越?。┑哪菞l路徑，如果該路徑失效，則OSPF會(huì)啟動(dòng)cost大的其他路徑。OSPF的這點(diǎn)功能可以被用來(lái)在主備線路或多條鏈路上實(shí)現(xiàn)負(fù)載均衡功能或主備線路之間自動(dòng)切換功能。</p><p>　　為了保證網(wǎng)絡(luò)上的工作站和服務(wù)器的最大可用性，在核心交換機(jī)上對(duì)不同的VLAN分別使用HSRP熱備份路由協(xié)議，虛擬出一個(gè)缺省網(wǎng)關(guān)，在一臺(tái)核心交換機(jī)失效時(shí)，仍可以保證工作站和服務(wù)器的正常運(yùn)行。在最大程度上保證

100、了用戶業(yè)務(wù)正常運(yùn)行。</p><p>　　第四章 網(wǎng)絡(luò)拓?fù)渚唧w配置</p><p>　　4.1網(wǎng)絡(luò)的配置規(guī)劃</p><p>　　1) 企業(yè)網(wǎng)劃分為行政中心，財(cái)務(wù)部，市場(chǎng)銷售部，人力資源部。行政中心IP地址從DHCP服務(wù)器中獲取該網(wǎng)段為192.168.10.0/24，財(cái)務(wù)部IP地址段為192.168.20.1/24，市場(chǎng)銷售部IP地址段為192.168.30.1/2

101、4，人力資源部IP地址段為192.168.40.1/24</p><p>　?。?） 數(shù)據(jù)及DHCP服務(wù)器IP地址段為192.168.10.0/24。</p><p>　?。?） 對(duì)外路由器IP地址為：201.1.123.1。</p><p>　?。?） 防火墻路由器IP地址為：192.168.12.2,192.168.23.2。</p><p&

102、gt;　?。?） 行政中心能、市場(chǎng)銷售、人力資源能對(duì)外訪問(wèn)，財(cái)務(wù)部不能。</p><p>　　（5） 最后在核心交換機(jī)上創(chuàng)建VLAN 10，VLAN 20,VLAN 30,VLAN 40,行政中心和服務(wù)器劃入VLAN 10, 財(cái)務(wù)部劃入VLAN 20,市場(chǎng)銷售部劃入VLAN 30,人力資源部劃入VLAN 40。</p><p>　　2) 網(wǎng)絡(luò)的路由協(xié)議配置，采用OSPF協(xié)議，路由器的配置命

103、令格式：</p><p>　　Router(config)#router ospf 1</p><p>　　Router(config-router)#network A.B.C.D wild mask area 0</p><p><b>　　配置如下：</b></p><p>　　Router(config)#rou

104、ter ospf 110 啟用OSFP協(xié)議</p><p>　　Router(config-router)#router-id 1.1.1.1 路由器標(biāo)示</p><p>　　Router(config-router)#log-adjacency-changes 打開(kāi)同步信息</p><p>　　Router(config-router)#netwo

105、rk 192.168.23.2 0.0.0.0 area 0 把該網(wǎng)段宣告進(jìn)該區(qū)域</p><p>　　Router(config-router)# network 192.168.12.2 0.0.0.0 area 0 同上</p><p>　　4.2 網(wǎng)路的ACL配置</p><p>　　ACL是一系列運(yùn)用到網(wǎng)絡(luò)地址或者上層協(xié)議上的允許或拒絕指令的集合。一個(gè)

106、ACL就是一組指令，規(guī)定數(shù)據(jù)報(bào)如何進(jìn)入路由器的某個(gè)端口、如何在路由器內(nèi)轉(zhuǎn)送、如何離開(kāi)路由器的某個(gè)端口。ACL允許控制哪些客戶端可以訪問(wèn)的網(wǎng)絡(luò)。在ACL中的條件可以是篩選某些主機(jī)允許或者禁止訪問(wèn)的部分網(wǎng)絡(luò)，也可以是允許或者禁止用戶訪問(wèn)某一類協(xié)議，如FTP，HTTP等。</p><p><b>　　ACL有如下幾種：</b></p><p>　　1) 標(biāo)準(zhǔn)ACL是最早的A

107、CL類型，標(biāo)準(zhǔn)ACL通過(guò)對(duì)IP數(shù)據(jù)包中源地址和ACL中配置的地址進(jìn)行比較來(lái)控制流量?！?lt;/p><p>　　2) 擴(kuò)展ACL——擴(kuò)展ACL通過(guò)比較IP數(shù)據(jù)包中源地址、目的地址與ACL中配置地址的差別來(lái)控制流量?！?lt;/p><p>　　3) IP　ACL——在CISCO軟件中，取代編號(hào)，允許對(duì)標(biāo)準(zhǔn)ACL和擴(kuò)展ACL進(jìn)行命名。</p><p>　　4) 反身ACL——反

108、身ACL允許通過(guò)上層會(huì)話信息對(duì)IP數(shù)據(jù)包進(jìn)行過(guò)濾。主要用來(lái)允許出站流量和限制入站流量，從而響應(yīng)在路由器內(nèi)部創(chuàng)建的會(huì)話。</p><p>　　5) 注釋IP ACL目錄——注釋使得ACL更加容易理解并且可以方便地應(yīng)用于標(biāo)準(zhǔn)或擴(kuò)展的ACL中。</p><p>　　6) 基于上下文的訪問(wèn)控制——CBAC，檢查防火墻和管理傳輸協(xié)議TCP和用戶報(bào)文UDP會(huì)話狀態(tài)信息的流量，將這些狀態(tài)信息用于訪問(wèn)控制

109、列表中，從而實(shí)現(xiàn)網(wǎng)絡(luò)安全。</p><p>　　ACL指令的放置順序是很重要的。當(dāng)路由器在決定是否轉(zhuǎn)發(fā)或者阻止數(shù)據(jù)報(bào)的時(shí)候，軟件會(huì)按照ACL中指令的順序依次檢查數(shù)據(jù)報(bào)是否滿足某一個(gè)指令條件。當(dāng)檢測(cè)到某個(gè)指令條件滿足的時(shí)候，就不會(huì)再檢測(cè)后面的指令條件。</p><p>　　在每一個(gè)路由器的端口，可以為每一個(gè)支持的Routed Protocols創(chuàng)建ACL。對(duì)于某些協(xié)議，可以創(chuàng)建多個(gè)ACL：一