畢業(yè)設(shè)計--中型企業(yè)網(wǎng)的構(gòu)建

1、<p><b>　　畢業(yè)設(shè)計說明書</b></p><p><b>　?。ㄓ嬎銠C學院）</b></p><p>　　設(shè)計課題： 中型企業(yè)網(wǎng)的構(gòu)建 </p><p>　　專業(yè)班級： 計算機網(wǎng)絡(luò)技術(shù)1104班 </p><p><b>　　摘 要</

2、b></p><p>　　以Internet為代表的信息化浪潮席卷全球，信息網(wǎng)絡(luò)技術(shù)的應用日益普及和深入，伴隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，企業(yè)網(wǎng)網(wǎng)絡(luò)需要從網(wǎng)絡(luò)的搭建及網(wǎng)絡(luò)管理方面著手。對于一個企業(yè)來說，有效的運用因特網(wǎng)的輔助，將能夠高效低成本的提高公司的經(jīng)營效益。信息技術(shù)給商業(yè)帶來的變化是巨大的，它可以讓員工、領(lǐng)導、合作伙伴之間實現(xiàn)優(yōu)化的信息溝通，它使商業(yè)交流突破了時間和空間的限制，大大擴展了商業(yè)交流的形式和空間

3、。但是，企業(yè)信息設(shè)施在提高企業(yè)效益的同時，也給企業(yè)增加了風險隱患。大企業(yè)所面臨的安全問題也一直困擾著中小企業(yè)，關(guān)于中小企業(yè)網(wǎng)絡(luò)安全的相關(guān)報導也一直層不窮，給中小企業(yè)所造成的損失不可估量。為企業(yè)建立自己一個安全企業(yè)網(wǎng)絡(luò)已經(jīng)成為現(xiàn)代企業(yè)的當務之急。本文將通過對企業(yè)網(wǎng)局域網(wǎng)規(guī)劃思想過程的論述，對就如何建立一個安全高效的企業(yè)網(wǎng)提供設(shè)計的思想和依據(jù)。</p><p>　　關(guān)鍵詞：信息技術(shù)、局域網(wǎng)、商業(yè)、網(wǎng)絡(luò)安全</p

4、><p><b>　　目 錄</b></p><p>　　第一章 引 言1</p><p>　　第二章 工程概述2</p><p>　　2.1 計算機網(wǎng)絡(luò)的概念以及發(fā)展2</p><p>　　2.11計算機網(wǎng)絡(luò)的概念2</p><p>　　2.12計算機網(wǎng)絡(luò)的

5、發(fā)展2</p><p>　　2.2工程設(shè)計要求4</p><p>　　2.2.1 網(wǎng)絡(luò)設(shè)備：思科Cisco 網(wǎng)絡(luò)設(shè)備4</p><p>　　第三章 需求分析4</p><p>　　3.1網(wǎng)絡(luò)需求分析4</p><p>　　3.2網(wǎng)絡(luò)規(guī)劃的目標5</p><p>　　第四章 網(wǎng)絡(luò)工

6、程設(shè)計5</p><p>　　4.1 網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計5</p><p>　　4.2 網(wǎng)絡(luò)設(shè)備選擇：6</p><p>　　4.2.1核心層設(shè)備6</p><p>　　4.2.2匯聚層設(shè)備6</p><p>　　4.2.3接入層設(shè)備6</p><p>　　4.2.4因特網(wǎng)接入設(shè)備6

7、</p><p>　　4.3 IP地址規(guī)劃7</p><p>　　4.3.1 子網(wǎng)劃分的需求7</p><p>　　4.3.2 IP與Vlan的劃分7</p><p>　　4.3.2 網(wǎng)絡(luò)設(shè)備地址表7</p><p>　　4.4 網(wǎng)絡(luò)安全設(shè)計8</p><p>　　4.4.1 防火墻

8、8</p><p>　　4.4.2 網(wǎng)絡(luò)安全提升措施8</p><p>　　4.5主要網(wǎng)絡(luò)技術(shù)的設(shè)計8</p><p>　　4.5.1 PVST+技術(shù)8</p><p>　　PVST+技術(shù)介紹8</p><p>　　PVST+ 技術(shù)應用9</p><p>　　4.5.2 VTP技術(shù)1

9、0</p><p>　　VTP技術(shù)介紹10</p><p>　　VTP技術(shù)應用11</p><p>　　4.5.3 OSPF技術(shù)11</p><p>　　OSPF 技術(shù)介紹11</p><p>　　OSPF技術(shù)應用13</p><p>　　4.5.4 HSRP 技術(shù)14</p

10、><p>　　HSRP 技術(shù)介紹14</p><p>　　HSRP 技術(shù)應用15</p><p>　　4.5.5 IPSec VPN技術(shù)16</p><p>　　IPSec VPN技術(shù)介紹16</p><p>　　IPSec VPN技術(shù)應用17</p><p><b>　　第一章

11、 引 言</b></p><p>　　信息技術(shù)日新月異的今天，網(wǎng)絡(luò)技術(shù)發(fā)展速度極其迅速，信息傳輸已經(jīng)不僅僅局限于單純的文本數(shù)據(jù)、數(shù)字數(shù)據(jù)的傳輸，隨之而來的是視頻、音頻等多媒體技術(shù)的廣泛應用。隨著技術(shù)的快速發(fā)展，網(wǎng)絡(luò)設(shè)備的性能和傳輸介質(zhì)容量有了非常大的提升，但是由于用戶數(shù)目的快速增長和用戶需求的不斷提高，網(wǎng)絡(luò)環(huán)境的日益復雜，網(wǎng)絡(luò)規(guī)模的日益擴大，使得網(wǎng)絡(luò)規(guī)劃成為一項越發(fā)困難的課題，作為企業(yè)網(wǎng)的規(guī)劃的成

12、敗與否，將直接影響到企業(yè)網(wǎng)絡(luò)系統(tǒng)性能的高低，從而影響業(yè)務進度和辦公效果。企業(yè)網(wǎng)絡(luò)的性能固然重要，但是企業(yè)網(wǎng)絡(luò)的安全更加的重要。當今互聯(lián)網(wǎng)的安全問題日益突出，企業(yè)一旦接入到因特網(wǎng)，就會面臨著各種嚴重的網(wǎng)絡(luò)安全威脅，給企業(yè)信息安全帶來了種種嚴重威脅和挑戰(zhàn)，形勢日趨嚴峻。特別是網(wǎng)絡(luò)黑客、計算機病毒、垃圾信息的攻擊日趨頻繁而激烈，網(wǎng)絡(luò)犯罪活動日趨猖獗，對企業(yè)信息安全的破壞性越來越大。有效維護企業(yè)網(wǎng)安全是企業(yè)網(wǎng)管理的重要范疇，是保障企業(yè)信息安全和

13、網(wǎng)絡(luò)穩(wěn)定必然要求。對此，必須高度警惕，采取有效措施，保障信息安全，確保企業(yè)的商業(yè)信息的安全，下面主要對企業(yè)網(wǎng)的規(guī)劃思想進行探討。</p><p><b>　　第二章 工程概述</b></p><p>　　2.1 計算機網(wǎng)絡(luò)的概念以及發(fā)展</p><p>　　2.11計算機網(wǎng)絡(luò)的概念</p><p>　　計算機網(wǎng)絡(luò)是由計

14、算機集合加通信設(shè)施組成的系統(tǒng)，即利用各種通信手段，把地理上分散的計算機連在一起，達到相互通信而且共享軟件、硬件和數(shù)據(jù)等資源的系統(tǒng)。計算機網(wǎng)絡(luò)按其計算機分布范圍通常被分為局域網(wǎng)和廣域網(wǎng)。局域網(wǎng)覆蓋地理范圍較小，一般在數(shù)米到數(shù)十公里之間。廣域網(wǎng)覆蓋地理范圍較大，如校園、城市之間、乃至全球。計算機網(wǎng)絡(luò)的發(fā)展，導致網(wǎng)絡(luò)之間各種形式的連接。采用統(tǒng)一協(xié)議實現(xiàn)不同網(wǎng)絡(luò)的互連，使互聯(lián)網(wǎng)絡(luò)很容易得到擴展。因特網(wǎng)就是用這種方式完成網(wǎng)絡(luò)之間聯(lián)結(jié)的網(wǎng)絡(luò)。因特網(wǎng)

15、采用TCP/IP協(xié)議作為通信協(xié)議，將世界范圍內(nèi)計算機網(wǎng)絡(luò)連接在一起，成為當今世界最大的和最流行的國際性網(wǎng)絡(luò)。</p><p>　　2.12計算機網(wǎng)絡(luò)的發(fā)展</p><p>　　20世紀50年代的初期，在美國出現(xiàn)了面向終端的聯(lián)機系統(tǒng)，它將地面上分散的多個終端通信路線連接到一臺中心計算機上，除了一臺中心計算機，其余的終端都不具備自主處理的能力，也就是說如果中心計算機沒有工作或是通信路線出問題，

16、遠程的終端是不能工作的。在系統(tǒng)中主要是終端和中心計算機的通信因而也被稱為面向終端的計算機系統(tǒng)。但這種系統(tǒng)將計算機技術(shù)和通信技術(shù)結(jié)合在一起，實現(xiàn)了遠距離的用計算機，這為計算機網(wǎng)絡(luò)的出現(xiàn)做好了技術(shù)準備，奠定了良好的理論基礎(chǔ)。 </p><p>　　后來，60年代初，美國航空公司的飛機訂票系統(tǒng)又一次嘗試通過一臺中央計算機連接了遍布美國全境的兩千多臺計算機，從而實現(xiàn)了分時多用戶和集中控制處理，以計算機為中心的聯(lián)機系統(tǒng)也

17、就這樣產(chǎn)生了。</p><p>　　20世紀60年代中期，出現(xiàn)了將若干臺計算機互連起來的實現(xiàn)信息交換和資源共享的系統(tǒng)，即計算機—計算機網(wǎng)絡(luò)。其特征：具備了自主處理的能力，不存在主從關(guān)系。</p><p>　　第二代計算機網(wǎng)絡(luò)的重點在于網(wǎng)絡(luò)的整體性，用戶不僅可以共享與之直接相連的主機資源，而且還能通過通信子網(wǎng)共享其他主機和用戶的軟、硬件資源。</p><p>　　70

18、年年代中期，伴隨著微型計算機的出現(xiàn)和微處理技術(shù)的發(fā)展，使得它對計算機在短距離間的通信要求也越發(fā)明顯，就此局域網(wǎng)便應運而生了。計算機網(wǎng)絡(luò)要求開始正式步入標準化的網(wǎng)絡(luò)體系結(jié)構(gòu)時代，美國IBM公司率先公布了系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)標準，在這之后，DEC公司也提出了數(shù)字網(wǎng)絡(luò)體系結(jié)構(gòu)標準。在此期間，由于網(wǎng)絡(luò)的體系機構(gòu)不同，這樣不同公司的要想互連在一起就比較困難。在1977年，國際標準化組織ISO成立了一個專門機構(gòu)，并于1983年正式提出了一個各種計算機能夠在

19、世界范圍內(nèi)互連成網(wǎng)的標準框架，即著名的開發(fā)系統(tǒng)互連基本參考模型，簡稱OSI參考模型。該模型的提出使計算機網(wǎng)絡(luò)有了一個標準的網(wǎng)絡(luò)體系機構(gòu)，能夠?qū)崿F(xiàn)將不同廠家生產(chǎn)的計算機互連成網(wǎng)。</p><p>　　20世紀90年代，計算機網(wǎng)絡(luò)的發(fā)展進入了第四個階段，即高速互聯(lián)階段。許多不同類型的網(wǎng)絡(luò)相互連接起來了，形成了大規(guī)模的互聯(lián)網(wǎng)絡(luò)。計算機網(wǎng)絡(luò)化，協(xié)同計算能力發(fā)展以及全球互連網(wǎng)絡(luò)的盛行。計算機的發(fā)展已經(jīng)完全與網(wǎng)絡(luò)融為一體，體

20、現(xiàn)了“網(wǎng)絡(luò)就是計算機”的口號。目前，計算機網(wǎng)絡(luò)已經(jīng)真正進入社會各行各業(yè)，為社會各行各業(yè)所采用。另外，虛擬網(wǎng)絡(luò)FDDI及ATM技術(shù)的應用，使網(wǎng)絡(luò)技術(shù)蓬勃發(fā)展并迅速走向市場，走進平民百姓的生活。</p><p><b>　　2.2工程設(shè)計要求</b></p><p>　　本次的網(wǎng)絡(luò)規(guī)劃的配置對操作系統(tǒng)的要求如下：</p><p><b>

21、　　硬件要求：</b></p><p>　　CPU：最低Intel Pentium II 500 MHz。</p><p>　　磁盤空間：250MB（完全安裝），155MB（快速安裝）。</p><p>　　內(nèi)存：512MB（最好1GB以上）。</p><p>　　操作系統(tǒng)：Windows 2003以上的操作系統(tǒng)。</p&

22、gt;<p>　　2.2.1 網(wǎng)絡(luò)設(shè)備：思科Cisco 網(wǎng)絡(luò)設(shè)備</p><p>　　思科系統(tǒng)公司（Cisco Systems, Inc.），簡稱思科公司或思科，1984年12月正式成立，是互聯(lián)網(wǎng)解決方案的領(lǐng)先提供者，其設(shè)備和軟件產(chǎn)品主要用于連接計算機網(wǎng)絡(luò)系統(tǒng)，總部位于美國加利福尼亞州圣何塞。1986年，Cisco第一臺多協(xié)議路由器面市。1993年，思科建成了世界上第一個由1000臺路由器連接的網(wǎng)絡(luò)

23、，由此進入了一個迅猛發(fā)展的時期。</p><p>　　如今思科系統(tǒng)公司已成為公認的全球網(wǎng)絡(luò)互聯(lián)解決方案的領(lǐng)先廠商，其提供的解決方案是世界各地成千上萬的公司、大學、企業(yè)和政府部門建立互聯(lián)網(wǎng)的基礎(chǔ)，用戶遍及電信、金融、服務、零售等行業(yè)以及政府部門和教育機構(gòu)等。同時，思科系統(tǒng)公司也是建立網(wǎng)絡(luò)的中堅力量，互聯(lián)網(wǎng)上近80%的信息流量經(jīng)由思科系統(tǒng)公司的產(chǎn)品傳遞。思科已經(jīng)成為毋庸置疑的網(wǎng)絡(luò)領(lǐng)導者。</p><

24、;p><b>　　第三章 需求分析</b></p><p><b>　　3.1網(wǎng)絡(luò)需求分析</b></p><p>　　金融行業(yè)有著自身的特殊性，企業(yè)網(wǎng)對整個網(wǎng)絡(luò)性能要求相對較高，企業(yè)網(wǎng)網(wǎng)組建需滿足對數(shù)字、語音、圖形圖象等多媒體技術(shù)的廣泛應用，以及綜合科研信息的傳輸和處理需求的綜合數(shù)字網(wǎng)，并能符合多種協(xié)議的要求，其體系應當符合國際標準（如

25、TCP/IP協(xié)議），同時能兼容已有的網(wǎng)絡(luò)環(huán)境。因此設(shè)計組網(wǎng)前，應對各方面需求總結(jié)歸納并做出細致分析：</p><p>　?。?）內(nèi)部光纜主干需求：分析綜合布線系統(tǒng)及其子系統(tǒng)，主配線間以及內(nèi)部網(wǎng)絡(luò)連接采用100M線纜。</p><p>　?。?）網(wǎng)絡(luò)應用需求：搭建DMZ區(qū)域放置FTP服務器、WEB服務器、郵件服務器等服務器。</p><p>　　（3）網(wǎng)絡(luò)流量需求：要

26、求企業(yè)網(wǎng)有足夠的網(wǎng)絡(luò)吞吐量來滿足辦公任務，保證信息的高質(zhì)高效率傳輸，企業(yè)網(wǎng)流量涉及到：語音會話、多媒體課件、服務器訪問、Web瀏覽等，對帶寬需求和時延性要求極高。</p><p>　?。?）網(wǎng)絡(luò)安全需求：校園網(wǎng)絡(luò)必須有完善的安全管理機制，能夠確保網(wǎng)絡(luò)內(nèi)部可靠運行，還要防止來自外部的和來自內(nèi)部的非法訪問和入侵，保證關(guān)鍵服務器和信息的安全。</p><p>　?。?）網(wǎng)絡(luò)可靠性需求：網(wǎng)絡(luò)設(shè)計過

27、程中網(wǎng)絡(luò)拓撲應采用穩(wěn)定可靠的形式，如：雙路由網(wǎng)絡(luò)拓撲、環(huán)行網(wǎng)絡(luò)結(jié)構(gòu)。因為它們既可冗余備份，安全性又可以得到保障。核心層交換可采用高端交換設(shè)備和光纖技術(shù)的主干鏈路（TRUNK）來實現(xiàn)較高的容錯性，這樣就可以避免單點故障的出現(xiàn)。網(wǎng)絡(luò)結(jié)構(gòu)使用雙鏈路，雙匯聚交換設(shè)備，雙路由備份可靠措施，都可以使校園網(wǎng)可靠性和實用性得到大大的提高</p><p>　　3.2網(wǎng)絡(luò)規(guī)劃的目標</p><p>　　總體上

28、，該企業(yè)網(wǎng)的規(guī)劃是要建立一個高效率安全穩(wěn)定的企業(yè)網(wǎng)絡(luò)，使能滿足企業(yè)在日常辦公和商業(yè)往來的各種要求。</p><p>　　第四章 網(wǎng)絡(luò)工程設(shè)計</p><p>　　4.1 網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計</p><p>　　網(wǎng)絡(luò)中心是企業(yè)網(wǎng)的信息資源中心和信息樞紐中心，其網(wǎng)絡(luò)體系結(jié)構(gòu)直接關(guān)系到網(wǎng)絡(luò)系統(tǒng)的安全、可靠、高效的運行。因此，網(wǎng)絡(luò)拓撲結(jié)構(gòu)要嚴格按照內(nèi)外網(wǎng)隔離的模式設(shè)計。非軍

29、事區(qū)（DMZ）包括交換機、公司W(wǎng)WW服務器、E-mail服務器、防火墻。內(nèi)部網(wǎng)絡(luò)有核心交換機、匯聚層交換機、接入層交換機、防火墻、路由器、FTP服務器等。如下圖所示：</p><p>　　4.2 網(wǎng)絡(luò)設(shè)備選擇：</p><p>　　4.2.1核心層設(shè)備</p><p>　　CISCO 2900 路由器</p><p>　　CISCO 2900

30、系列集成多業(yè)務路由器支持嵌入式硬件加密加速、支持語音和視頻的數(shù)字信號處理器DSP插槽、可選防火墻、入侵預防、呼叫處理、語音信箱以及應用程序服務，可提供無與倫比的總擁有成本節(jié)約和網(wǎng)絡(luò)靈活性。</p><p>　　4.2.2匯聚層設(shè)備</p><p>　　CISCO Catalyst 3560系列是一個固定配置、企業(yè)級、IEEE 802.3af和思科預標準以太網(wǎng)供電（PoE）交換機系列，工作在

31、快速以太網(wǎng)和千兆位以太網(wǎng)配置下，適用于中型企業(yè)布線室或分支機構(gòu)環(huán)境。</p><p>　　4.2.3接入層設(shè)備</p><p>　　CISCO Catalyst 2960系列交換機是一系列采用以太網(wǎng)供電或非PoE配置，可提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，并可為入門級企業(yè)、中間市場和分支機構(gòu)網(wǎng)絡(luò)實現(xiàn)高級局域網(wǎng)服務的固定配置獨立式智能以太網(wǎng)設(shè)備。</p><p>　　

32、4.2.4因特網(wǎng)接入設(shè)備</p><p>　　CISCO ASA5510系列防火墻是一個易于部署、經(jīng)濟有效的安全設(shè)備，為中小企業(yè)和大型企業(yè)的遠程/分支機構(gòu)提供了種類豐富的高級安全和網(wǎng)絡(luò)服務。</p><p>　　4.3 IP地址規(guī)劃</p><p>　　在網(wǎng)絡(luò)規(guī)劃中，IP地址方案的設(shè)計非常的重要，合理的IP地址方案不僅可以減少網(wǎng)絡(luò)負荷，還能為以后的網(wǎng)絡(luò)擴展打下良好的

33、基礎(chǔ)，在IP地址規(guī)劃時必須考慮周全。</p><p>　　4.3.1 子網(wǎng)劃分的需求</p><p>　　在動手開始劃分子網(wǎng)之前，我們一定要先分析一下企業(yè)的需求以及將來的發(fā)展的規(guī)劃。一般情況下我們遵循這樣的準則： </p><p>　　(1) 確定好網(wǎng)絡(luò)中的物理段的數(shù)量(子網(wǎng)個數(shù))。</p><p>　　(2) 確定好每個子網(wǎng)需要的主機數(shù)（

34、注意一個主機至少一個IP地址）。 </p><p>　　(3) 基于以上需求，定義整個網(wǎng)絡(luò)的子網(wǎng)屏蔽、每個子網(wǎng)唯一的子網(wǎng)號和每個子網(wǎng)的主機號范圍。</p><p>　　4.3.2 IP與Vlan的劃分</p><p>　　公司本部采用B類私有IP地址，公司分部采用C類私有IP地址，具體分配如下：</p><p>　　4.3.2 網(wǎng)絡(luò)設(shè)備地址

35、表</p><p>　　4.4 網(wǎng)絡(luò)安全設(shè)計</p><p>　　目前網(wǎng)絡(luò)的用硬越來越普及，圍繞網(wǎng)絡(luò)安全方面的問題也越來越多。由于網(wǎng)絡(luò)資源的開放性和計算機網(wǎng)絡(luò)技術(shù)及計算機軟硬件的不完善，計算機收到的攻擊也越來越多。很多不法分子或者黑客利用網(wǎng)絡(luò)進行不法操作和破壞，使得人們對網(wǎng)絡(luò)正常的使用受到了巨大的影響。對網(wǎng)絡(luò)按性能的改善和增強是相當有必要的，這需要人們?nèi)ネ晟凭W(wǎng)絡(luò)系統(tǒng)的各個環(huán)節(jié)，入完善網(wǎng)絡(luò)設(shè)

36、備功能和資源管理軟件性能、提高網(wǎng)絡(luò)性能呢個的監(jiān)控和管理能力。所以在規(guī)劃企業(yè)的網(wǎng)絡(luò)時候，企業(yè)網(wǎng)絡(luò)的安全性設(shè)計是不容忽視的一個環(huán)節(jié)。需要在網(wǎng)絡(luò)內(nèi)部署一些安全措施防止外來或者來自內(nèi)部的網(wǎng)絡(luò)攻擊。</p><p><b>　　4.4.1 防火墻</b></p><p>　　4.4.2 網(wǎng)絡(luò)安全提升措施</p><p>　　4.5主要網(wǎng)絡(luò)技術(shù)的設(shè)計<

37、;/p><p>　　4.5.1 PVST+技術(shù)</p><p><b>　　PVST+技術(shù)介紹</b></p><p>　　PVST+（Per VLAN Spanning Tree Plus，增強的按VLAN生成樹） 是CISCO解決在虛擬局域網(wǎng)上處理生成樹問題的另一個方案。PVST+ 允許CST (公共生成樹)信息傳給PVST，以便與其他廠商對在

38、 VLAN 上運行生成樹的實現(xiàn)方法進行操作。</p><p>　　PVST+支持在相同網(wǎng)絡(luò)中同時存在CST和PVST，PVST+可以用802.1Q封裝。PVST+在Catalyst 802.1Q trunks上是自動啟動的。也是每個Vlan一棵STP。也可以實現(xiàn)第2層的負載均衡。PVST+分成3種類型的區(qū)域：PVST區(qū)域/PVST+區(qū)域/單生成樹區(qū)域。</p><p><b>　

39、　PVST+</b></p><p>　　1 支持ISL和IEEE802.1Q中繼</p><p>　　2 支持cisco專有的stp擴展</p><p>　　3 添加BPDU防護和根防護增強功能</p><p>　　PVST+ 技術(shù)應用</p><p>　　使用PVST+技術(shù)應用在所有交換機上，將指定的V

40、lan的生成樹的根橋放在指定的匯聚層交換機上，可以達到負載均衡和方便管理的作用。</p><p><b>　　例如：</b></p><p>　　指定DSW-1為Vlan10,的根橋，DSW-2為Vlan10的備份根橋</p><p>　　指定DSW-2為Vlan50 的根橋，DSW-1為Vlan50的備份根橋</p><p

41、>　　4.5.2 VTP技術(shù)</p><p><b>　　VTP技術(shù)介紹</b></p><p>　　VTP（VLAN Trunking Protocol）：是VLAN中繼協(xié)議，也被稱為虛擬局域網(wǎng)干道協(xié)議。它是思科私有協(xié)議。作用是十幾臺交換機在企業(yè)網(wǎng)中，配置VLAN工作量大，可以使用VTP協(xié)議，把一臺交換機配置成VTP Server, 其余交換機配置成VTP C

42、lient,這樣他們可以自動學習到server 上的VLAN 信息。</p><p>　　它是一個OSI參考模型第二層的通信協(xié)議，主要用于管理在同一個域的網(wǎng)絡(luò)范圍內(nèi)VLANs的建立、刪除和重命名。在一臺VTP Server 上配置一個新的VLAN時，該VLAN的配置信息將自動傳播到本域內(nèi)的其他所有交換機。這些交換機會自動地接收這些配置信息，使其VLAN的配置與VTP Server保持一致，從而減少在多臺設(shè)備上配置

43、同一個VLAN信息的工作量，而且保持了VLAN配置的統(tǒng)一性。</p><p>　　VTP通過網(wǎng)絡(luò)(ISL幀或cisco私有DTP幀)保持VLAN配置統(tǒng)一性。VTP在系統(tǒng)級管理增加，刪除，調(diào)整的VLAN，自動地將信息向網(wǎng)絡(luò)中其它的交換機廣播。此外，VTP減小了那些可能導致安全問題的配置。便于管理,只要在vtp server做相應設(shè)置,vtp client會自動學習vtp server上的vlan信息</p&g

44、t;<p>　　* 當使用多重名字VLAN能變成交叉--連接。</p><p>　　* 當它們是錯誤地映射在一個和其它局域網(wǎng)，VLAN能變成內(nèi)部斷開。</p><p>　　VTP有三種工作模式：VTP Server、VTP Client 和 VTP Transparent。新交換機出廠時的默認配置是預配置為VLAN1，VTP 模式為服務器。 一般，一個VTP域內(nèi)的整個網(wǎng)絡(luò)只設(shè)

45、一個VTP Server。VTP Server維護該VTP域中所有VLAN 信息列表，VTP Server可以建立、刪除或修改VLAN，發(fā)送并轉(zhuǎn)發(fā)相關(guān)的通告信息，同步vlan配置，會把配置保存在NVRAM中。VTP Client雖然也維護所有VLAN信息列表，但其VLAN的配置信息是從VTP Server學到的，VTP Client不能建立、刪除或修改VLAN，但可以轉(zhuǎn)發(fā)通告，同步vlan配置，不保存配置到NVRAM中。VTP Tran

46、sparent相當于是一項獨立的交換機，它不參與VTP工作，不從VTP Server學習VLAN的配置信息，而只擁有本設(shè)備上自己維護的VLAN信息。VTP Transparent可以建立、刪除和修改本機上的 VLAN信息，同時會轉(zhuǎn)發(fā)通告并把配置保存到NVRAM中。</p><p><b>　　VTP技術(shù)應用</b></p><p>　　使用VTP協(xié)議在所有的交換機上，

47、可以更加方便管理眾多的Vlan信息。匯聚層的交換機DSW-1為Server模式,其余交換機都為Client模式。開啟密碼防止非法的交換機進入該VTP域，并且開啟了VTP修建功能，減少交換機間帶寬的浪費。</p><p>　　4.5.3 OSPF技術(shù)</p><p><b>　　OSPF 技術(shù)介紹</b></p><p>　　OSPF路由協(xié)議是

48、一種典型的鏈路狀態(tài)（Link-state）的路由協(xié)議，一般用于同一個路由域內(nèi)。在這里，路由域是指一個自治系統(tǒng)（Autonomous System），即AS，它是指一組通過統(tǒng)一的路由政策或路由協(xié)議互相交換路由信息的網(wǎng)絡(luò)。在這個AS中，所有的OSPF路由器都維護一個相同的描述這個AS結(jié)構(gòu)的數(shù)據(jù)庫，該數(shù)據(jù)庫中存放的是路由域中相應鏈路的狀態(tài)信息，OSPF路由器正是通過這個數(shù)據(jù)庫計算出其OSPF路由表的。作為一種鏈路狀態(tài)的路由協(xié)議，OSPF將鏈路

49、狀態(tài)廣播數(shù)據(jù)LSA（Link State Advertisement）傳送給在某一區(qū)域內(nèi)的所有路由器，這一點與距離矢量路由協(xié)議不同。運行距離矢量路由協(xié)議的路由器是將部分或全部的路由表傳遞給與其相鄰的路由器。</p><p>　　OSPF協(xié)議主要優(yōu)點：</p><p>　　1、OSPF是真正的LOOP- FREE（無路由自環(huán)）路由協(xié)議。源自其算法本身的優(yōu)點。（鏈路狀態(tài)及最短路徑樹算法）<

50、;/p><p>　　2、OSPF收斂速度快：能夠在最短的時間內(nèi)將路由變化傳遞到整個自治系統(tǒng)。</p><p>　　3、提出區(qū)域（area）劃分的概念，將自治系統(tǒng)劃分為不同區(qū)域后，通過區(qū)域之間的對路由信息的摘要，大大減少了需傳遞的路由信息數(shù)量。也使得路由信息不會隨網(wǎng)絡(luò)規(guī)模的擴大而急劇膨脹。</p><p>　　4、將協(xié)議自身的開銷控制到最小。見下：</p>

51、<p>　　1）用于發(fā)現(xiàn)和維護鄰居關(guān)系的是定期發(fā)送的是不含路由信息的hello報文，非常短小。包含路由信息的報文時是觸發(fā)更新的機制。（有路由變化時才會發(fā)送）。但為了增強協(xié)議的健壯性，每1800秒全部重發(fā)一次。</p><p>　　2）在廣播網(wǎng)絡(luò)中，使用組播地址（而非廣播）發(fā)送報文，減少對其它不運行ospf 的網(wǎng)絡(luò)設(shè)備的干擾。</p><p>　　3）在各類可以多址訪問的網(wǎng)絡(luò)中（廣

52、播，NBMA），通過選舉DR，使同網(wǎng)段的路由器之間的路由交換（同步）次數(shù)由O（N*N）次減少為 O （N）次。</p><p>　　4）提出STUB區(qū)域的概念，使得STUB區(qū)域內(nèi)不再傳播引入的ASE路由。</p><p>　　5）在ABR（區(qū)域邊界路由器）上支持路由聚合，進一步減少區(qū)域間的路由信息傳遞。</p><p>　　6）在點到點接口類型中，通過配置按需播號屬

53、性（OSPF over On Demand Circuits）</p><p>　　，使得ospf不再定時發(fā)送hello報文及定期更新路由信息。只在網(wǎng)絡(luò)拓撲真正變化時才發(fā)送更新信息。</p><p>　　5、通過嚴格劃分路由的級別（共分四極），提供更可信的路由選擇。</p><p>　　6、良好的安全性，ospf支持基于接口的明文及md5 驗證。</p>

54、<p>　　7、OSPF適應各種規(guī)模的網(wǎng)絡(luò)，最多可達數(shù)千臺</p><p><b>　　OSPF技術(shù)應用</b></p><p>　　4.5.4 HSRP 技術(shù)</p><p><b>　　HSRP 技術(shù)介紹</b></p><p>　　熱備份路由器協(xié)議（HSRP）的設(shè)計目標是支持特定

55、情況下 IP 流量失敗轉(zhuǎn)移不會引起混亂、并允許主機使用單路由器，以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。換句話說，當源主機不能動態(tài)知道第一跳路由器的 IP 地址時，HSRP 協(xié)議能夠保護第一跳路由器不出故障。</p><p>　　負責轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為活動路由器（Active Router）。一旦主動路由器出現(xiàn)故障，HSRP 將激活備份路由器（Standby Routers）取代

56、主動路由器。HSRP 協(xié)議提供了一種決定使用主動路由器還是備份路由器的機制，并指定一個虛擬的 IP 地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。如果主動路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動路由器的所有任務，并且不會導致主機連通中斷現(xiàn)象。</p><p>　　HSRP 運行在UDP上，采用端口號1985。路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使用的是實際 IP 地址，而并非虛擬地址，正是基于這一點，HSR

57、P 路由器間能相互識別。</p><p>　　HSRP協(xié)議利用一個優(yōu)先級方案來決定哪個配置了HSRP協(xié)議的路由器成為默認的主動路由器。如果一個路由器的優(yōu)先級設(shè)置的比所有其他路由器的優(yōu)先級高，則該路由器成為主動路由器。路由器的缺省優(yōu)先級是100，所以如果只設(shè)置一個路由器的優(yōu)先級高于100，則該路由器將成為主動路由器。</p><p>　　通過在設(shè)置了HSRP協(xié)議的路由器之間廣播HSRP優(yōu)先級

58、，HSRP協(xié)議選出當前的主動路由器。當在預先設(shè)定的一段時間內(nèi)主動路由器不能發(fā)送hello消息時，優(yōu)先級最高的備用路由器變?yōu)橹鲃勇酚善?。路由器之間的包傳輸對網(wǎng)絡(luò)上的所有主機來說都是透明的。</p><p>　　配置了HSRP協(xié)議的路由器交換以下三種多點廣播消息：</p><p>　　Hello———hello消息通知其他路由器發(fā)送路由器的HSRP優(yōu)先級和狀態(tài)信息，HSRP路由器默認為每3秒鐘

59、發(fā)送一個hello消息；</p><p>　　Coup———當一個備用路由器變?yōu)橐粋€主動路由器時發(fā)送一個coup消息；</p><p>　　Resign———當主動路由器要宕機或者當有優(yōu)先級更高的路由器發(fā)送hello消息時，主動路由器發(fā)送一個resign消息。在任一時刻，配置了HSRP協(xié)議的路由器都將處于以下六種狀態(tài)之一：</p><p>　　Initial———H

60、SRP啟動時的狀態(tài)，HSRP還沒有運行，一般是在改變配置或端口剛剛啟動時進入該狀態(tài)。</p><p>　　Learn——— 學習狀態(tài)，不知道虛擬IP，未看到活躍路由器發(fā)hello。等待活躍路由器發(fā)hello。</p><p>　　Listen———路由器已經(jīng)得到了虛擬IP地址，但是它既不是活動路由器也不是等待路由器。它一直監(jiān)聽從活動路由器和等待路由器發(fā)來的HELLO報文。</p>

61、;<p>　　Speak———在該狀態(tài)下，路由器定期發(fā)送HELLO報文，并且積極參加活動路由器或等待路由器的競選。</p><p>　　Standby———當主動路由器失效時路由器準備接管包傳輸功能。</p><p>　　Active———路由器執(zhí)行包傳輸功能。</p><p><b>　　HSRP 技術(shù)應用</b></p&

62、gt;<p>　　使用HSRP技術(shù)在匯聚層的交換機上，為每一個Vlan的用戶提供路由備份的功能，并且平均分配在2個匯聚層交換機上實現(xiàn)負載均衡。在匯聚層的交換機上都設(shè)置驗證密碼，防止非法交換機的接入。</p><p>　　4.5.5 IPSec VPN技術(shù)</p><p>　　IPSec VPN技術(shù)介紹</p><p>　　IPSec VPN即指采用IP

63、Sec協(xié)議來實現(xiàn)遠程接入的一種VPN技術(shù)，IPSec全稱為Internet Protocol Security，是由Internet Engineering Task Force (IETF) 定義的安全標準框架，用以提供公用和專用網(wǎng)絡(luò)的端對端加密和驗證服務。</p><p>　　IPSec (IP SECURITY)是為實現(xiàn)VPN 功能而最普遍使用的協(xié)議。通過相應的隧道技術(shù)，可實現(xiàn)VPN。IPSec有兩種模式：

64、隧道模式和傳輸模式。</p><p>　　IPSec 不是一個單獨的協(xié)議，它給出了應用于IP 層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)。該體系結(jié)構(gòu)包括認證頭協(xié)議（Authentication Header，簡稱為AH）、封裝安全負載協(xié)議（EncapsulatingSecurity Payload，簡稱為ESP）、密鑰管理協(xié)議（Internet Key Exchange，簡稱為IKE）和用于網(wǎng)絡(luò)認證及加密的一些算法等。&l

65、t;/p><p>　　IPSec 規(guī)定了如何在對等體之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問控制、數(shù)據(jù)源認證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務。</p><p>　　認證頭協(xié)議（AH）：IPsec 體系結(jié)構(gòu)中的一種主要協(xié)議，它為IP 數(shù)據(jù)包提供無連接完整性與數(shù)據(jù)源認證，并提供保護以避免重播情況。AH 盡可能為IP頭和上層協(xié)議數(shù)據(jù)提供足夠多的認證。</p><p>

66、　　IPsec 封裝安全負載（ESP）：IPsec 體系結(jié)構(gòu)中的一種主要協(xié)議。ESP 加密需要保護的數(shù)據(jù)并且在IPsec ESP 的數(shù)據(jù)部分進行數(shù)據(jù)的完整性校驗，以此來保證機密性和完整性。ESP 提供了與AH 相同的安全服務并提供了一種保密性（加密）服務，ESP 與AH 各自提供的認證根本區(qū)別在于它們的覆蓋范圍。</p><p>　　密鑰管理協(xié)議（IKE）：一種混合型協(xié)議，由Internet 安全聯(lián)盟（SA）和密

67、鑰管理協(xié)議（ISAKMP）這兩種密鑰交換協(xié)議組成。IKE 用于協(xié)商AH 和ESP所使用的密碼算法，并將算法所需的必備密鑰放到恰當位置。</p><p>　　IPSec工作時，首先兩端的網(wǎng)絡(luò)設(shè)備必須就SA(security association)達成一致，這是兩者之間的一項安全策略協(xié)定</p><p>　　IPSec VPN技術(shù)應用</p><p><b>

68、;　　第五章 總 結(jié)</b></p><p>　　通過完成這次畢業(yè)設(shè)計－中型企業(yè)網(wǎng)的設(shè)計，我的技術(shù)水平得到了顯著的提高，收獲良多?？梢赃@么說，我收獲的不止是技術(shù)上的東西，還有的就是學習方法和為人處世的道理。以前沒有嘗試過動手規(guī)劃和實施一個中型企業(yè)的網(wǎng)絡(luò)，學的知識都是零碎的，所以這次規(guī)劃和實施一個中型企業(yè)網(wǎng)對我來說是一個非常大的挑戰(zhàn)。首先要把以前所學的零碎的知識結(jié)合起來，還要一邊做實驗一邊學習新知識。

69、遇到自己不懂的問題，通過利用網(wǎng)絡(luò)還找不到解決方法，我就會去向老師請教。從中我明白了如何更有效的解決問題，如何的更好和老師相處，還學會了學習的方法：理論和實踐結(jié)合，也就是知行合一。用這個方法學習網(wǎng)絡(luò)知識，真的很有效果。</p><p><b>　　參考文獻</b></p><p>　　[1]. 梁廣民 王隆杰.《思科網(wǎng)絡(luò)實驗室CCNP交換技術(shù)試驗指南》.電子工業(yè)出版社出

70、版社.2012.05</p><p>　　[2]. 梁廣民 王隆杰.《思科網(wǎng)絡(luò)實驗室CCNP路由技術(shù)試驗指南》.電子工業(yè)出版社出版社.2012.05</p><p>　　[3]. 秦柯.《Cisco IPsecVPN實戰(zhàn)指南》.人民郵電出版社.2012.06</p><p>　　[4]. 嚴學軍 魯立.《LINUX操作系統(tǒng)配置與管理》.中國水利水電出版社.2008.

71、01</p><p>　　[5]. 魯立. 《網(wǎng)絡(luò)安全技術(shù)項目引導教程》.中國水利水電出版社.2012.06</p><p><b>　　致謝</b></p><p>　　經(jīng)過幾個多月的不懈努力，我的畢業(yè)設(shè)計終于圓滿完成了。在整個設(shè)計過程中，遇到了不少的難題和挫折，但都在*老師和同學們的幫助下和自己的努力學習下克服了。這次畢業(yè)設(shè)計使我受到了全方