版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、<p><b> *****學(xué)院</b></p><p> 畢 業(yè) 論 文(設(shè) 計)</p><p> 論文(設(shè)計)題目:三級交換網(wǎng)絡(luò)的構(gòu)建與實現(xiàn)</p><p> 所屬系別 信息工程系 </p><p> 專業(yè)班級 計算機(jī)網(wǎng)絡(luò)技術(shù) </p>
2、<p> 姓 名 *** </p><p> 學(xué) 號 ********* </p><p> 指導(dǎo)教師 *** </p><p> 撰寫日期 2012 年 5 月</p><p><b>
3、 摘 要</b></p><p> 網(wǎng)絡(luò)技術(shù)的高速發(fā)展的今天,企業(yè)網(wǎng)絡(luò)的優(yōu)劣已經(jīng)成為衡量企業(yè)競爭力的標(biāo)準(zhǔn)之一。針對我校整體的特點,本文介紹了一個行業(yè)專業(yè)網(wǎng)絡(luò)的整體設(shè)計方案。充分考慮到網(wǎng)絡(luò)的負(fù)載均衡和穩(wěn)定性能,所以本方案采用典型三層網(wǎng)絡(luò)結(jié)構(gòu)。其中,匯聚層采用三臺設(shè)備,對接入層進(jìn)行訪問控制。路由協(xié)議則是選擇安全性高、收斂速度快的OSPF協(xié)議。我們采用銳捷交換機(jī)帶寬聚合技術(shù)將多條物理線路捆綁為一條邏輯
4、鏈路,使其有更高帶寬。服務(wù)器群組則重點介紹了FTP、郵件服務(wù)器及WEB服務(wù)器等企業(yè)中較常用到的服務(wù)器的軟件選擇及搭建方法。對于網(wǎng)絡(luò)中可能存在的安全威脅,針對不同的需求,方案中提出了VLAN技術(shù)、訪問控制列表、防火墻技術(shù)以及VPN等安全解決方案,以求構(gòu)建一個安全、高效、可靠的企業(yè)網(wǎng)絡(luò)。</p><p> 關(guān)鍵詞:網(wǎng)絡(luò)層次化,虛擬局域網(wǎng),安全,控制列表,防火墻</p><p><b&g
5、t; Abstract</b></p><p> As the high-speed development of the network technique, the quality of enterprise network has already become one of the standards that measure the competition ability of the e
6、nterprise. According to the characteristics of the whole school, this paper will introduce an overall design of professional network applying for enterprise. Seriously Considering the load balance and stability of the ne
7、twork, we adopt three layers structure in the design. Convergence Layer adopts three equipments to the ac</p><p> Key words: Hierarchical Network, Vlan, security,ACL, Firewall</p><p><b>
8、 目 錄</b></p><p><b> 1引言1</b></p><p><b> 2 需求分析2</b></p><p> 2.1 項目背景2</p><p> 2.2 設(shè)計目標(biāo)2</p><p> 2.3 用戶現(xiàn)實要求3</p&
9、gt;<p><b> 3網(wǎng)絡(luò)整體設(shè)計3</b></p><p> 3.1 網(wǎng)絡(luò)拓?fù)?</p><p> 3.2 網(wǎng)絡(luò)層次化設(shè)計3</p><p> 3.2.1 核心層設(shè)計4</p><p> 3.2.2 匯聚層設(shè)計4</p><p> 3.2.3 接入層設(shè)計
10、5</p><p> 3.2.4 路由協(xié)議選擇6</p><p> 3.3 VLAN的劃分及IP地址規(guī)劃7</p><p> 4各層相關(guān)配置信息7</p><p> 4.1 IP地址規(guī)劃7</p><p><b> 4.2相關(guān)配置8</b></p><p&g
11、t; 4.2.1接入層基本配置信息8</p><p> 4.2.2匯聚層基本配置信息8</p><p> 4.2.3核心層基本配置信息9</p><p> 4.2.4路由器RG-R1762基本配置信息10</p><p> 4.2.5防火墻基本配置11</p><p> 4.3路由配置信息13&
12、lt;/p><p> 4.3.1 RG-S3550-24-1路由配置13</p><p> 4.3.2 RG-S6806E路由配置13</p><p> 4.3.3 路由器RG-R1762配置14</p><p> 4.4安全配置信息14</p><p> 4.4.1 接入層防病毒配置14</p&
13、gt;<p> 4.4.2 匯聚層安全配置15</p><p> 4.5防火墻安全策略15</p><p> 4.6路由器的NAT配置19</p><p><b> 5 總結(jié)20</b></p><p><b> 參考文獻(xiàn)21</b></p><
14、p><b> 致 謝22</b></p><p><b> 1引言</b></p><p> 現(xiàn)代網(wǎng)絡(luò)及其復(fù)雜,對企業(yè)的成功尤為關(guān)鍵。隨著組織程序持續(xù)增加帶寬、可靠性和功能要求,網(wǎng)絡(luò)設(shè)計人員面臨著快速構(gòu)建和改進(jìn)網(wǎng)絡(luò),使用新協(xié)議和技術(shù)的挑戰(zhàn)。網(wǎng)絡(luò)設(shè)計人員還面臨著適應(yīng)互聯(lián)網(wǎng)行業(yè)的持續(xù)和快速變化的挑戰(zhàn)?,F(xiàn)代組織環(huán)境中的網(wǎng)絡(luò)操作人員和設(shè)計人
15、員需要設(shè)計健壯、可靠、可擴(kuò)展的網(wǎng)絡(luò)。</p><p> 網(wǎng)絡(luò)是IT基礎(chǔ)設(shè)施,隨著IT技術(shù)的發(fā)展和應(yīng)用的普及,在廣度和深度上不斷擴(kuò)展和加強(qiáng),已滲透到各行各業(yè)和不同領(lǐng)域,從大型企業(yè)網(wǎng)到中小型企業(yè)網(wǎng)、從電信網(wǎng)絡(luò)到行業(yè)網(wǎng)絡(luò)、從研究型網(wǎng)絡(luò)到應(yīng)用型網(wǎng)絡(luò),基于IP的網(wǎng)絡(luò)部署和網(wǎng)絡(luò)應(yīng)用快速發(fā)展。網(wǎng)絡(luò)建設(shè)開始于網(wǎng)絡(luò)規(guī)劃和設(shè)計,同時,網(wǎng)絡(luò)規(guī)劃與設(shè)計也是網(wǎng)絡(luò)建設(shè)過程中最重要的環(huán)節(jié)。良好的網(wǎng)絡(luò)規(guī)劃與設(shè)計是保證網(wǎng)絡(luò)快速、穩(wěn)定、安全運行的
16、基礎(chǔ)和關(guān)鍵。網(wǎng)絡(luò)規(guī)劃與設(shè)計的不完善和不合理會導(dǎo)致許多問題,例如:網(wǎng)絡(luò)基礎(chǔ)設(shè)施不能滿足網(wǎng)絡(luò)應(yīng)用的需求,網(wǎng)絡(luò)建設(shè)和運行成本過高,網(wǎng)絡(luò)投資大于網(wǎng)絡(luò)的收益,由于網(wǎng)絡(luò)結(jié)構(gòu)的不靈活性、可擴(kuò)展性差而阻礙整個網(wǎng)絡(luò)和網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展等。</p><p> 開放式網(wǎng)絡(luò)體系結(jié)構(gòu)和網(wǎng)絡(luò)協(xié)議的標(biāo)準(zhǔn)化使得在技術(shù)上實現(xiàn)網(wǎng)絡(luò)互聯(lián)并不難,但是規(guī)劃和設(shè)計一個適應(yīng)復(fù)雜環(huán)境、綜合各種因素、滿足用戶需求的網(wǎng)絡(luò)卻不是一件容易的事情。有些情況是從無到有規(guī)劃設(shè)
17、計一個全新的網(wǎng)絡(luò),而有些時候則需要在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施里融進(jìn)新的技術(shù)、擴(kuò)展網(wǎng)絡(luò)規(guī)模以適應(yīng)網(wǎng)絡(luò)上的新應(yīng)用或業(yè)務(wù)發(fā)展。網(wǎng)絡(luò)規(guī)劃與設(shè)計必須滿足用戶的網(wǎng)絡(luò)建設(shè)需求,沒有一種網(wǎng)絡(luò)規(guī)劃與設(shè)計方案可以適合所有的網(wǎng)絡(luò)。網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)應(yīng)用發(fā)展日新月異,網(wǎng)絡(luò)規(guī)劃與設(shè)計方法和技術(shù)也越來越復(fù)雜,更新越來越快;網(wǎng)絡(luò)設(shè)計工具往往功能單一而且很容易過時;網(wǎng)絡(luò)協(xié)議的多樣化和復(fù)雜化也增加了網(wǎng)絡(luò)設(shè)計的技術(shù)難度和復(fù)雜性;在Internet時代,各種組織或企業(yè)不得不基于IP技
18、術(shù)組建網(wǎng)絡(luò)。盡管IP技術(shù)發(fā)展迅速,但I(xiàn)P網(wǎng)絡(luò)固有的缺陷仍然使得構(gòu)建高校、高性能、高安全、高可靠性的網(wǎng)絡(luò)不能成為一件輕松、容易的事情。因此,網(wǎng)絡(luò)規(guī)劃與設(shè)計是一項高技術(shù)含量、高層次而且具有很強(qiáng)的工程性的工作。除了要求網(wǎng)絡(luò)設(shè)計人員或網(wǎng)絡(luò)工程師系統(tǒng)掌握網(wǎng)絡(luò)互連的基礎(chǔ)理論和相關(guān)技術(shù)外,還需要了解網(wǎng)絡(luò)規(guī)劃與設(shè)計流程,清楚流程中每一個階段的任務(wù),掌握設(shè)計內(nèi)容以及設(shè)計原則、設(shè)計方法等[1]。</p><p><b>
19、 2 需求分析</b></p><p><b> 2.1 項目背景</b></p><p> XX校園是一所有悠久歷史的高等院校,學(xué)校有中心機(jī)房,科技樓、行政樓、教學(xué)樓、教工樓、職工宿舍6棟樓需要聯(lián)網(wǎng),上網(wǎng)人數(shù)大約規(guī)劃為300人左右,所有PC機(jī)都采用TCP/IP協(xié)議,經(jīng)一級交換機(jī)互連到一起,各樓的交換機(jī)出口通過光纖上行連到網(wǎng)絡(luò)中心的三層交換機(jī),進(jìn)入鄭州
20、市城域網(wǎng)。</p><p><b> 2.2 設(shè)計目標(biāo)</b></p><p> 除保證可靠性、安全性、先進(jìn)性和開放性原則外,要遵循:</p><p> 實用性原則:建設(shè)設(shè)計網(wǎng)絡(luò)系統(tǒng)的出發(fā)點是基于學(xué)校目前和將來發(fā)展的需要,具有很強(qiáng)的實用性。應(yīng)實現(xiàn)各部門、各層次信息查詢與管理工作的科學(xué)化、規(guī)范化,并在用戶發(fā)展的基礎(chǔ)上,不斷地擴(kuò)充和完善。&l
21、t;/p><p> 經(jīng)濟(jì)性原則:投資合理,有良好的性能價格比。還要注意到由于邏輯上業(yè)務(wù)網(wǎng)和管理網(wǎng)必須分開,所以建成后企業(yè)網(wǎng)應(yīng)能提供多個網(wǎng)段的劃分和隔離,并能做到靈活改變配置,以適應(yīng)企業(yè)辦公環(huán)境的調(diào)整和改變,即VLAN的整體劃分。</p><p> 考慮到校內(nèi)數(shù)據(jù)的重要性、保密性,為了保證校內(nèi)網(wǎng)絡(luò)順利運行,保證網(wǎng)絡(luò)的不間斷運行,網(wǎng)絡(luò)平臺應(yīng)具有以下一些特點:</p><p&
22、gt; 高可靠性——網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運行的關(guān)鍵保證,在設(shè)計中選用高可靠性網(wǎng)絡(luò)產(chǎn)品,合理設(shè)計網(wǎng)絡(luò)架構(gòu),制定可靠的網(wǎng)絡(luò)備份策略,保證網(wǎng)絡(luò)具有故障自愈的能力,最大限度地支持各個系統(tǒng)的正常運行。</p><p> 高性能——承載網(wǎng)絡(luò)性能是網(wǎng)絡(luò)通訊系統(tǒng)良好運行的基礎(chǔ),設(shè)計中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力,保障各種信息(數(shù)據(jù)、語音、圖像)的高質(zhì)量傳輸。</p><p> 標(biāo)準(zhǔn)開放
23、性——支持國際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國際標(biāo)準(zhǔn)的大型的動態(tài)路由協(xié)議等開放協(xié)議,有利于保證與其他網(wǎng)絡(luò)(如公共數(shù)據(jù)網(wǎng)、行內(nèi)其他網(wǎng)絡(luò))之間的平滑連接互通,以及將來網(wǎng)絡(luò)的擴(kuò)展。</p><p> 靈活性及可擴(kuò)展性——根據(jù)未來業(yè)務(wù)的增長和變化,網(wǎng)絡(luò)可以平滑地擴(kuò)充和升級,最大程度的減少對網(wǎng)絡(luò)架構(gòu)和設(shè)備的調(diào)整。</p><p> 可管理性——對網(wǎng)絡(luò)實行集中監(jiān)測、分權(quán)管理、并統(tǒng)一分配帶寬資源。選用先進(jìn)的
24、網(wǎng)絡(luò)管理平臺,具有對設(shè)備、端口等的管理、流量統(tǒng)計分析,及可提供故障自動報警。</p><p> 安全性——制訂統(tǒng)一的骨干網(wǎng)安全策略,整體考慮網(wǎng)絡(luò)平臺的安全性[2]。</p><p> 2.3 用戶現(xiàn)實要求</p><p> ?。?) 實現(xiàn)學(xué)校內(nèi)部資源共享,即文件服務(wù)器,但是對不同的資源要有相應(yīng)的權(quán)限。</p><p> ?。?)滿足校內(nèi)日
25、常的教學(xué),及資料數(shù)據(jù)的傳輸和存儲。</p><p> ?。?)院校各部門可以通過即時通信軟件聯(lián)系,建立公司郵件服務(wù)器。</p><p><b> (4)打印機(jī)共享。</b></p><p> ?。?)公司內(nèi)部要網(wǎng)絡(luò)接入Internet。</p><p> ?。?)架設(shè)院校web服務(wù)器,發(fā)布院校網(wǎng)站。</p>
26、<p> ?。?)為保證安全,Internet 與公司內(nèi)部網(wǎng)絡(luò)間應(yīng)采用防護(hù)措施,防止外界對內(nèi)部網(wǎng)絡(luò)未經(jīng)授權(quán)的訪問[3]。</p><p><b> 3網(wǎng)絡(luò)整體設(shè)計</b></p><p><b> 3.1 網(wǎng)絡(luò)拓?fù)?lt;/b></p><p> 計算機(jī)網(wǎng)絡(luò)的組成元素可以分為兩大類,即網(wǎng)絡(luò)節(jié)點(又可分為端節(jié)點
27、和轉(zhuǎn)發(fā)節(jié)點)和通信鏈路,網(wǎng)絡(luò)中節(jié)點的互聯(lián)模式叫網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。網(wǎng)絡(luò)拓?fù)涠x了網(wǎng)絡(luò)中資源的鏈接方式,局域網(wǎng)中常用的拓?fù)浣Y(jié)構(gòu)有:總線型結(jié)構(gòu)、環(huán)形結(jié)構(gòu)、星型結(jié)構(gòu)。</p><p> 考慮到學(xué)校的分布情況我們這里采用形形拓?fù)浣Y(jié)構(gòu),星型拓?fù)浣Y(jié)構(gòu)是由通過點到點鏈路接到中央節(jié)點的各站點組成的。星型網(wǎng)絡(luò)中有一個唯一的轉(zhuǎn)發(fā)節(jié)點(中央節(jié)點),每一臺計算機(jī)都通過單獨的通信線路連接到中央節(jié)點。</p><p>
28、 在星型拓?fù)渲欣弥醒牍?jié)點可方便地提供服務(wù)和重新配置網(wǎng)絡(luò);單個連接點故障只會影響故障點連接的一個設(shè)備,不會影響全網(wǎng),容易監(jiān)測隔離故障、便于維護(hù);任何一個連接只涉及到中央節(jié)點和一個站點,控制介質(zhì)訪問的方法很簡單、從而訪問協(xié)議也十分簡單[4]。</p><p> 3.2 網(wǎng)絡(luò)層次化設(shè)計</p><p> 網(wǎng)絡(luò)的設(shè)計模型主要包括層次化設(shè)計模型和非層次化設(shè)計模型兩種。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和
29、網(wǎng)上應(yīng)用量的增長,非層次化的網(wǎng)絡(luò)設(shè)計已經(jīng)不適合當(dāng)今企業(yè)的網(wǎng)絡(luò)應(yīng)用,由于非層次化網(wǎng)絡(luò)沒有適當(dāng)?shù)囊?guī)劃,網(wǎng)絡(luò)最終會發(fā)展成為非結(jié)構(gòu)的形式,這樣當(dāng)網(wǎng)絡(luò)設(shè)備之間相互通信時,設(shè)備上的CPU必然會承擔(dān)相當(dāng)大的負(fù)載,不利于網(wǎng)絡(luò)的運行和發(fā)展,當(dāng)大量的數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時,容易引起線路擁堵甚至網(wǎng)絡(luò)的癱瘓。所以我們選擇層次化的網(wǎng)絡(luò)設(shè)計。</p><p> 多層設(shè)計模塊化的網(wǎng)絡(luò)容量可隨著日后網(wǎng)絡(luò)節(jié)點的增加而不斷增大。多層次網(wǎng)絡(luò)有很大的確定
30、性,因此在運行和擴(kuò)展過程中進(jìn)行故障查找和排除非常簡單。多層模式使網(wǎng)絡(luò)的移植更為簡單易行,因為它保留著基于路由器和交換機(jī)的網(wǎng)絡(luò)原有的尋址方案,對以往的網(wǎng)絡(luò)有很好的兼容性。另外分層結(jié)構(gòu)也能夠?qū)W(wǎng)絡(luò)的故障進(jìn)行很好的隔離。</p><p> 針對實際情況我們采用典型的三層結(jié)構(gòu)模型,即核心層、分布層(匯聚層)、接入層。每個層次有不同的功能。核心層作為整個網(wǎng)絡(luò)系統(tǒng)的核心,起主要的功能是高速、可靠的進(jìn)行數(shù)據(jù)交換。分布層主要進(jìn)
31、行接入層的數(shù)據(jù)流量匯聚,并對數(shù)據(jù)流量進(jìn)行訪問控制。接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。主要進(jìn)行VLAN的劃分、與分布層的連接等。</p><p> 3.2.1 核心層設(shè)計</p><p> 網(wǎng)絡(luò)核心層(設(shè)在中心機(jī)房)是網(wǎng)絡(luò)的中心,其功能是實現(xiàn)高性能的交換和傳輸。因此核心層設(shè)備應(yīng)該是高性能的交換機(jī),可實現(xiàn)高速度的交換傳輸,以連接服務(wù)器等核心設(shè)備;并且非??煽?,實現(xiàn)不間斷工作。所以我們選
32、擇使用一臺RG-S6806E多業(yè)務(wù)萬兆路由交換機(jī)高性能、高可靠性、高可用性是我們主要考慮的因素。本區(qū)的安全性可以由邊界防火墻提供,如果有需要,還可以在6806上面部署安全策略,使得核心交換區(qū)的安全性進(jìn)一步的增強(qiáng)。</p><p> RG-S6806E系列憑借眾多智能服務(wù)將控制擴(kuò)展到網(wǎng)絡(luò)邊緣,其中包括現(xiàn)金的服務(wù)質(zhì)量(QoS)、支持流量控制(Flow Control),支持端口鏡像(Port Mirror),支持I
33、GMP偵聽(Snooping),生成樹協(xié)議支持,ACL訪問控制支持、802.1x認(rèn)證支持、MAC綁定與過濾支持、背板帶寬可擴(kuò)展1.6T、6個模塊化插槽(2個用于管理引擎模塊)、交換容量達(dá)400G、路由表項256K。銳捷網(wǎng)絡(luò)的模塊化架構(gòu)、介質(zhì)靈活性和可擴(kuò)展性減少了重復(fù)運營開支,提高了投資回報(ROI),從而在延長部署壽命的同時降低了擁有成本。可為中型企業(yè)提供價格合理、易于使用的可擴(kuò)展性、創(chuàng)新安全性、集成可靠性和靈活性。</p>
34、<p> 3.2.2 匯聚層設(shè)計</p><p> 匯聚層主要進(jìn)行接入層的數(shù)據(jù)流量匯聚,并對數(shù)據(jù)流量進(jìn)行訪問控制。包括訪問控制列表、VLAN路由等等。這里采用三臺銳捷RG-S3550-24作為匯聚交換機(jī)。保證網(wǎng)絡(luò)的高可用性和穩(wěn)定性,避免單臺核心設(shè)備的負(fù)載太重導(dǎo)致網(wǎng)絡(luò)性能問題。</p><p> RG-S3550系列交換機(jī)是一個創(chuàng)新的產(chǎn)品系列,它結(jié)合世界領(lǐng)先的易用性和高冗
35、余性,有效的提升了堆疊式交換機(jī)在局域網(wǎng)中的工作效率。該系列交換機(jī)硬件支持2至4層的多層線速交換,提供二到七層的智能的流分類和完善的服務(wù)質(zhì)量(QoS)以及組播管理特性,支持完善的高性能路由協(xié)議,并可以實施靈活多樣的ACL訪問控制策略。可通過SNMP、Telnet、Web和Console口等多種方式提供豐富的管理。RG-S3550系列交換機(jī)為各類型網(wǎng)絡(luò)提供線速多層交換、完善的端到端的服務(wù)質(zhì)量,豐富的安全設(shè)置和基于策略的網(wǎng)絡(luò)管理,最大化滿足高
36、速、安全、智能的企業(yè)網(wǎng)新需求。此系列交換機(jī)具有以下特性:</p><p> 1.高性能多層交換;</p><p> 2.完備的安全控制;</p><p> 3.豐富的組播特性;</p><p> 4.完善的QoS策略。</p><p> 3.2.3 接入層設(shè)計</p><p> 接入
37、層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。主要是進(jìn)行VLAN的劃分、與分布層的連接等。這里接入層交換機(jī)采用銳捷RG-S2126/S2150 系列智能以太網(wǎng)交換機(jī)以千兆以太鏈路和匯聚交換機(jī)相連接,并為用戶終端提供10/100M 自適應(yīng)的接入,從而形成千兆為骨干,百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。辦公系統(tǒng)所需的各種服務(wù)器如FTP服務(wù)器、郵件服務(wù)器、DHCP 服務(wù)器等組成服務(wù)器群,連接到匯聚交換機(jī)的千兆模塊上面,因此,內(nèi)部的局域網(wǎng)采用三層結(jié)構(gòu)組建[5]。&
38、lt;/p><p> 網(wǎng)絡(luò)總體拓?fù)淙鐖D如(3-1)</p><p> 圖3-1 網(wǎng)絡(luò)綜合拓?fù)?lt;/p><p> 3.2.4 路由協(xié)議選擇</p><p> 為達(dá)到路由快速收斂、尋址以及方便網(wǎng)絡(luò)管理員管理的目的,我們采用動態(tài)路由協(xié)議,目前較好的動態(tài)路由協(xié)議是OSPF 協(xié)議,OSPF 以協(xié)議標(biāo)準(zhǔn)化強(qiáng),支持廠家多,受到廣泛應(yīng)用??紤]網(wǎng)絡(luò)的擴(kuò)展
39、性、數(shù)據(jù)資源的保護(hù)等原因,我們選擇OSPF 路由協(xié)議。</p><p> OSPF 協(xié)議采用鏈路狀態(tài)協(xié)議算法,每個路由器維護(hù)一個相同的鏈路狀態(tài)數(shù)據(jù)庫,保存整個AS 的拓?fù)浣Y(jié)構(gòu)(AS 不劃分情況下)。一旦每個路由器有了完整的鏈路狀態(tài)數(shù)據(jù)庫,該路由器就可以自己為根,構(gòu)造最短路徑樹,然后再根據(jù)最短路徑構(gòu)造路由表。對于大型的網(wǎng)絡(luò),為了進(jìn)一步減少路由協(xié)議通信流量,利于管理和計算。OSPF將整個AS 劃分為若干個區(qū)域,區(qū)域
40、內(nèi)的路由器維護(hù)一個相同的鏈路狀態(tài)數(shù)據(jù)庫,保存該區(qū)域的拓?fù)浣Y(jié)構(gòu)。OSPF 路由器相互間交換信息,但交換的信息不是路由,而是鏈路狀態(tài)。OSPF 定義了5 種分組:Hello分組用于建立和維護(hù)連接;數(shù)據(jù)庫描述分組初始化路由器的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫;當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫中的某部分信息已經(jīng)過時后,路由器發(fā)送鏈路狀態(tài)請求分組,請求鄰站提供更新信息;路由器使用鏈路狀態(tài)更新分組來主動擴(kuò)散自己的鏈路狀態(tài)數(shù)據(jù)庫或?qū)︽溌窢顟B(tài)請求分組進(jìn)行響應(yīng);由于OSPF 直接運行在IP
41、層,協(xié)議本身要提供確認(rèn)機(jī)制,鏈路狀態(tài)應(yīng)答分組是對鏈路狀態(tài)更新分組進(jìn)行確認(rèn)。</p><p> 相對于其它協(xié)議,OSPF 有許多優(yōu)點。OSPF 支持各種不同鑒別機(jī)制,并且允許各個系統(tǒng)或區(qū)域采用互不相同的鑒別機(jī)制;提供負(fù)載均衡功能,如果計算出到某個目的站有若干條費用相同的路由,OSPF 路由器會把通信流量均勻地分配給這幾條路由,沿這幾條路由把該分組發(fā)送出去;在一個自治系統(tǒng)內(nèi)可劃分出若干個區(qū)域,每個區(qū)域根據(jù)自己的拓?fù)?/p>
42、結(jié)構(gòu)計算最短路徑,這減少了OSPF 路由實現(xiàn)的工作量;OSPF 屬動態(tài)的自適應(yīng)協(xié)議,對于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速地做出反應(yīng),進(jìn)行相應(yīng)調(diào)整,提供短的收斂期,使路由表盡快穩(wěn)定化,并且與其它路由協(xié)議相比,OSPF在對網(wǎng)絡(luò)拓?fù)渥兓奶幚磉^程中僅需要最少的通信流量;OSPF 提供點到多點接口。</p><p> 公司現(xiàn)有網(wǎng)絡(luò)規(guī)劃為area0,內(nèi)部網(wǎng)絡(luò)設(shè)備都規(guī)劃為area0。后期若有分支機(jī)構(gòu)各區(qū)域接入路由器根據(jù)區(qū)域不同使
43、用動態(tài)協(xié)議,或者使用靜態(tài)路由與動態(tài)路由結(jié)合的方式[6]。</p><p> 3.3 VLAN的劃分及IP地址規(guī)劃</p><p> VLAN的劃分一般有三種方法,一是基于端口、二是基于MAC地址、最后是基于路由的劃分。在這里我們采用基于端口的劃分,把一個或者多個交換機(jī)上的端口放到一個VLAN內(nèi),這個方法是最簡單最有效的,網(wǎng)絡(luò)管理人員只需要對網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行分配即可,不用考慮端口所
44、連接的設(shè)備。</p><p> IP地址是TCP/IP協(xié)議族中的網(wǎng)絡(luò)層邏輯地址,它被用來唯一地標(biāo)示網(wǎng)絡(luò)中的一個節(jié)點。IP地址空間的分配,要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng),既要有效的利用地址空間,又要體現(xiàn)網(wǎng)絡(luò)的可擴(kuò)展性和靈活性,同時能滿足路由協(xié)議的要求,提高路由算法的效率,加快路由變化的收斂速度。</p><p> 根據(jù)校園聯(lián)網(wǎng)的情況,每個部門劃分為一個VLAN,各部門分別屬于不同的網(wǎng)段,各部門之
45、間在邏輯上被隔離,但是各部門間的通訊,可根據(jù)需要對匯聚層交換機(jī)進(jìn)行配置來實現(xiàn)[7]。</p><p><b> 4各層相關(guān)配置信息</b></p><p> 4.1 IP地址規(guī)劃及整體拓?fù)鋱D</p><p><b> IP地址規(guī)劃如下:</b></p><p><b> 4.2相關(guān)
46、配置</b></p><p> 4.2.1接入層基本配置信息</p><p> 主要是創(chuàng)建VLAN,將端口加入VLAN,A區(qū)vlan創(chuàng)建命令如下:</p><p> Switch(config)#vlan 1</p><p> Switch(config-vlan)#exit</p><p> S
47、witch(config)#interface range fa 0/1-24</p><p> Switch(config-if-range)#switchport access vlan 1</p><p> 說明:B區(qū)、C區(qū)配置同上。</p><p> 4.2.2匯聚層基本配置信息</p><p> 創(chuàng)建VLAN,分配IP,命令
48、如下:</p><p> Switch(config)#vlan 1</p><p> Switch(config-vlan)#exit</p><p> Switch(config)#vlan 2</p><p> Switch(config-vlan)#exit</p><p> Switch(confi
49、g)#vlan 10</p><p> Switch(config-vlan)#exit \\創(chuàng)建vlan信息</p><p> Switch(config)#interface fa 0/1</p><p> Switch(config-if)#switch access vlan 1</p><p> Switch(c
50、onfig-if)#exit</p><p> Switch(config)#interface fa 0/2</p><p> Switch(config-if)#switch access vlan 2</p><p> Switch(config-if)#exit</p><p> Switch(config)#interfac
51、e fa 0/10</p><p> Switch(config-if)#switch access vlan 10</p><p> Switch(config-if)#exit \\將端口加入vlan</p><p> Switch(config)#interface vlan 1</p><p> Switch(c
52、onfig-if)#ip address 192.168.11.1 255.255.255.0</p><p> Switch(config-if)#no shutdown</p><p> Switch(config-if)#exit</p><p> Switch(config)#interface vlan 2</p><p>
53、 Switch(config-if)#ip address 192.168.12.1 255.255.255.0</p><p> Switch(config-if)#no shutdown</p><p> Switch(config-if)#exit</p><p> Switch(config)#interface vlan 10</p>
54、<p> Switch(config-if)#ip address 192.168.6.1 255.255.255.0</p><p> Switch(config-if)#no shutdown</p><p> Switch(config-if)#exit \\配置VLAN IP</p><p> 4.2.3核心層基本配置信息<
55、/p><p> 進(jìn)行接入層的數(shù)據(jù)流量匯聚,并對數(shù)據(jù)流量進(jìn)行訪問控制。配置命令如下:</p><p> switch(config)#vlan 10</p><p> switch(config-vlan)#exit</p><p> switch(config)#vlan 11</p><p> switch(c
56、onfig-vlan)#exit</p><p> switch(config)#vlan 24</p><p> switch(config-vlan)#exit \\ 創(chuàng)建vlan</p><p> switch(config)#interface range fa 0/10-12</p><p> switc
57、h(config-if-range)#switch access vlan 10</p><p> switch(config-if)#exit</p><p> switch(config)#interface fa 0/13</p><p> switch(config-if)#switch access vlan 11</p><p
58、> switch(config-if)#exit</p><p> switch(config)#interface fa 0/24</p><p> switch(config-if)#switch access vlan 24</p><p> switch(config-if)#exit \\分配端口</p>
59、<p> switch(config)#interface vlan 10</p><p> switch(config-if)#ip address 192.168.6.2 255.255.255.0</p><p> switch(config-if)#no shutdown</p><p> switch(config-if)#exit<
60、;/p><p> switch(config)#interface vlan 11</p><p> switch(config-if)#ip address 192.168.1.11 255.255.255.0</p><p> switch(config-if)#no shutdown</p><p> switch(config-i
61、f)#exit</p><p> switch(config)#interface vlan 24</p><p> switch(config-if)#ip address 192.168.24.1 255.255.255.0</p><p> switch(config-if)#no shutdown</p><p> switc
62、h(config-if)#exit \\分配vlan IP</p><p> 4.2.4路由器RG-R1762基本配置信息</p><p><b> 基本配置命令如下:</b></p><p> Red-Giant>enable </p><p> Red-Giant#config termin
63、al</p><p> Red-Giant#interface fa 1/0</p><p> Red-Giant(config-if)#ip address 192.168.1.12 255.255.255.0</p><p> Red-Giant(config-if)#no shutdown</p><p> Red-Giant(
64、config-if)#exit</p><p> Red-Giant(config)#interface serial 1/2</p><p> Red-Giant(config-if)#ip address WAN IP </p><p> Red-Giant(config-if)#no shutdown[8]</p><p>
65、4.2.5防火墻基本配置</p><p> 1.登錄防火墻,打開管理IP地址功能如圖 4-1。</p><p> 圖4-1 管理IP功能圖</p><p> 2.設(shè)置防火墻的管理地址為192.168.1.2/24和192.168.1.3/24,如圖4-2。</p><p> 圖4-2 管理地址圖</p><p&
66、gt; 3.設(shè)置防火墻的工作模式為:網(wǎng)橋模式,如圖4-3、4-3、4-5、4-6。</p><p> 圖4-3 網(wǎng)橋模式圖</p><p> 圖4-4 轉(zhuǎn)換界面圖</p><p> 圖4-5 確定轉(zhuǎn)換圖</p><p><b> 圖4-6 完成</b></p><p><b
67、> 4.3路由配置信息</b></p><p> 4.3.1 RG-S3550-24-1路由配置</p><p><b> 命令如下:</b></p><p> Switch(config)#ip routing</p><p> Switch(config)#ip route 0.0.0.0
68、 0.0.0.0 192.168.6.2</p><p> Switch(config)#show ip route </p><p> 4.3.2 RG-S6806E路由配置</p><p><b> 命令如下:</b></p><p> Switch(config)#ip routing</p>
69、<p> Switch(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.12</p><p> Switch(config)#ip route 192.168.11.0 255.255.255.0 192.168.6.1</p><p> Switch(config)#ip route 192.168.12.0 255.255.255
70、.0 192.168.6.1</p><p> Switch(config)#ip route 192.168.13.0 255.255.255.0 192.168.6.1</p><p> Switch(config)#ip route 192.168.14.0 255.255.255.0 192.168.6.1</p><p> Switch(config
71、)#ip route 192.168.15.0 255.255.255.0 192.168.6.1</p><p> Switch(config)#ip route 192.168.16.0 255.255.255.0 192.168.6.1</p><p> 4.3.3 路由器RG-R1762配置</p><p> Red-Giant(config)# ip
72、 route 192.168.11.0 255.255.255.0 192.168.1.11</p><p> Red-Giant(config)# ip route 192.168.12.0 255.255.255.0 192.168.1.11</p><p> Red-Giant(config)# ip route 192.168.13.0 255.255.255.0 192.16
73、8.1.11</p><p> Red-Giant(config)# ip route 192.168.14.0 255.255.255.0 192.168.1.11</p><p> Red-Giant(config)# ip route 192.168.15.0 255.255.255.0 192.168.1.11</p><p> Red-Giant(c
74、onfig)# ip route 192.168.16.0 255.255.255.0 192.168.1.11[9]</p><p><b> 4.4安全配置信息</b></p><p> 4.4.1 接入層防病毒配置</p><p> RG-2126G(config)# ip access-list extended deny_wor
75、ms</p><p> RG-2126G(config-ext-nacl)# deny tcp any any eq 135</p><p> RG-2126G(config-ext-nacl)# deny tcp any any eq 136</p><p> RG-2126G(config-ext-nacl)# deny tcp any any
76、 eq 137</p><p> RG-2126G(config-ext-nacl)# deny tcp any any eq 138</p><p> RG-2126G(config-ext-nacl)# deny tcp any any eq 139</p><p> RG-2126G(config-ext-nacl)# deny tcp any
77、 any eq 445</p><p> RG-2126G(config-ext-nacl)# deny udp any any eq 135</p><p> RG-2126G(config-ext-nacl)# deny udp any any eq 136</p><p> RG-2126G(config-ext-nacl)# deny ud
78、p any any eq netbios-ns</p><p> RG-2126G(config-ext-nacl)# deny udp any any eq netbios-dgm</p><p> RG-2126G(config-ext-nacl)# deny udp any any eq netbios-ss</p><p> RG-2126G
79、(config-ext-nacl)# deny udp any any eq 445</p><p> RG-2126G(config-ext-nacl)# permit ip any any</p><p> RG-2126G(config-ext-nacl)#exi</p><p> RG-2126G(config)#inter range fa
80、0/1-24</p><p> RG-2126G(config-if-range)#ip access-group deny_worms in</p><p> 說明:B,C區(qū)RG-2126G,RG-S2150配置同上。</p><p> 4.4.2 匯聚層安全配置</p><p> Switch(config)# ip access
81、-list extended deny_ftp</p><p> Switch(config-ext-nacl)# deny tcp 192.168.11.0 0.0.0.255 192.168.24.0 0.0.0.255 eq ftp</p><p> Switch(config-ext-nacl)# deny tcp 192.168.11.0 0.0.0.255 192.168.
82、24.0 0.0.0.255 eq ftp-data</p><p> Switch(config-ext-nacl)# permit ip any any</p><p> Switch(config-ext-nacl)#end[10]</p><p> 4.5防火墻安全策略</p><p><b> 1.登錄防火墻。&l
83、t;/b></p><p> 2.選擇“策略”→“服務(wù)”選項。</p><p> 圖 4-7 防火墻管理策略圖</p><p> 圖 4-8 服務(wù)選項</p><p> 3.在服務(wù)中添加服務(wù)名稱,并在服務(wù)名稱中指定相關(guān)協(xié)議與接口。</p><p> 圖4-9 添加指定協(xié)議、接口</p>
84、<p> 4.添加多個規(guī)則,并且加入到服務(wù)組中(服務(wù)組名稱可在“服務(wù)組”選項中設(shè)定)。</p><p> 圖4-10 添加多個規(guī)則</p><p><b> 5.規(guī)則添加完畢。</b></p><p> 圖4-11 添加完畢</p><p> 6.在“策略”→“規(guī)則”選項中將服務(wù)與源地址及目標(biāo)
85、地址關(guān)聯(lián)。</p><p> 圖4-12 關(guān)聯(lián)服務(wù)與地址</p><p> 圖 4-13關(guān)聯(lián)服務(wù)與地址</p><p> 7.將訪問規(guī)則中定義的接口的所有源到所有目的的動作指定為拒絕,可在允許、拒絕、拒絕(ICMP)拒絕(重設(shè))這4個選項中,點選第二項(拒絕)。</p><p> 圖4-14 指定動作</p><
86、;p> 4.6路由器的NAT配置</p><p> Red-Giant(config)#access-list 1 permit 192.168.11.0 0.0.0.255</p><p> Red-Giant (config)#access-list 1 permit 192.168.12.0 0.0.0.255</p><p> Red-Gian
87、t (config)#int fa 1/0</p><p> Red-Giant (config-if)#ip nat inside</p><p> Red-Giant (config-if)#exit</p><p> Red-Giant (config)#int s1/2</p><p> Red-Giant (config-i
88、f)#ip nat outside</p><p> Red-Giant (config-if)#exit</p><p> Red-Giant (config)#ip nat inside source list 1 interface serial 1/2 overload[11]</p><p><b> 5 總結(jié)</b></
89、p><p> 本文根據(jù)一個校園網(wǎng)絡(luò)的特定要求做的一個合理的網(wǎng)絡(luò)解決方案。其中應(yīng)用了現(xiàn)今企業(yè)網(wǎng)絡(luò)中較為常用的主流技術(shù)。網(wǎng)絡(luò)整體采用的是銳捷三層架構(gòu),這個結(jié)構(gòu)的優(yōu)點是穩(wěn)定性好、設(shè)備負(fù)載均衡、易擴(kuò)展,并且網(wǎng)絡(luò)故障排查也比較容易。核心層和匯聚層都用兩臺設(shè)備,既平衡設(shè)備負(fù)載又防止機(jī)器故障致使網(wǎng)絡(luò)癱瘓。校內(nèi)的網(wǎng)絡(luò)最重要的是在網(wǎng)絡(luò)安全方面,所以在本方案中我們用vlan技術(shù)和ACL技術(shù)作為內(nèi)部網(wǎng)絡(luò)的安全策略,主要是防止學(xué)校內(nèi)部的非
90、授權(quán)訪問。而在內(nèi)部網(wǎng)絡(luò)與Internet之間我們則采用硬件防火墻將兩部分網(wǎng)絡(luò)隔離開,設(shè)置策略只允許合法的數(shù)據(jù)進(jìn)出,各種網(wǎng)絡(luò)安全技術(shù)相結(jié)合,使得網(wǎng)絡(luò)更安全可靠。</p><p><b> 參考文獻(xiàn)</b></p><p> [1]郭銳, 企業(yè)內(nèi)部網(wǎng)規(guī)劃分析, 信息技術(shù)與信息化, 2005</p><p> [2]方國洪,金紅. 淺談如何構(gòu)建
91、安全的企業(yè)網(wǎng)絡(luò). 2010.2</p><p> [3]Addison Wesley.Firwalls and Internet Security:Repelling the Wily Hacker.Professional Computing.2000</p><p> [4]熊琦. 深入淺出談防火墻技術(shù). 科協(xié)論壇(下半月),2007.3:31-32</p><
92、p> [5]Emilie Lundin Edand Jonsson. Anomaly-based intrustion detection:privacy concerns and other problems[J]. Computer Networks.2000,34(2):623-640.</p><p> [6]萬錦華.電力企業(yè)網(wǎng)絡(luò)信息安全的防范措施討論.科技與生活,2010年第一期</p&
93、gt;<p> [7][美] Richard tibbs,Edward oakes. 防火墻與VPN—原理與實踐.北京:清華大學(xué)出版社,2008</p><p> [8][美] vijay. Ipsec vpn 設(shè)計. 北京:人民郵電出版社,2006</p><p> [9]李強(qiáng).三網(wǎng)融合,前景幾何[J].中國報道,2010(03)</p><p&g
94、t; [10]張宗府.有線網(wǎng)絡(luò)跨區(qū)域整合有望加快[J].中國記者.2009(10)</p><p> [11]杜詩露.網(wǎng)絡(luò)電視:念占三網(wǎng)合一的制高點[J].當(dāng)代電視,2009(11)</p><p><b> 致 謝</b></p><p> 在我的指導(dǎo)老師***老師精心的指導(dǎo)下,我順利完成了論文的設(shè)計,隨著論文的完成,代表著三年的大學(xué)
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 三級路由網(wǎng)絡(luò)的構(gòu)建與實現(xiàn)畢業(yè)論文
- 網(wǎng)絡(luò)課程設(shè)計-- 交換網(wǎng)絡(luò)三級結(jié)構(gòu)的構(gòu)建
- 畢業(yè)論文:移動軟交換網(wǎng)絡(luò)中的sigtran及其實現(xiàn)
- 網(wǎng)絡(luò)課程設(shè)計--交換網(wǎng)絡(luò)三級結(jié)構(gòu)綜合設(shè)計
- 網(wǎng)絡(luò)課程設(shè)計交換網(wǎng)絡(luò)三級結(jié)構(gòu)綜合設(shè)計
- 三級Clos交換網(wǎng)絡(luò)結(jié)構(gòu)及其調(diào)度算法研究.pdf
- 交換網(wǎng)絡(luò)優(yōu)化研究與實現(xiàn).pdf
- 高性能三級Clos交換網(wǎng)絡(luò)結(jié)構(gòu)及調(diào)度算法研究.pdf
- 畢業(yè)論文-對于二層交換網(wǎng)絡(luò)冗余技術(shù)的研究
- 電信軟交換網(wǎng)絡(luò)構(gòu)建研究.pdf
- 光突發(fā)交換網(wǎng)絡(luò)與光路交換網(wǎng)絡(luò)的互連.pdf
- 奧運交換網(wǎng)絡(luò)構(gòu)建方案探討.pdf
- 軟交換網(wǎng)絡(luò)規(guī)劃與實現(xiàn)研究.pdf
- 軟交換網(wǎng)絡(luò)的規(guī)劃設(shè)計與實現(xiàn).pdf
- 多級交換網(wǎng)絡(luò)中間級與輸出級關(guān)鍵模塊的設(shè)計與實現(xiàn).pdf
- 銀聯(lián)信息交換網(wǎng)絡(luò)系統(tǒng)構(gòu)建.pdf
- 交換網(wǎng)絡(luò)上網(wǎng)絡(luò)監(jiān)控的研究與網(wǎng)絡(luò)監(jiān)控軟件的設(shè)計實現(xiàn).pdf
- 交換網(wǎng)絡(luò)資源輔助管理的研究與實現(xiàn).pdf
- 5Gbps ATM交換網(wǎng)絡(luò)的設(shè)計與實現(xiàn).pdf
- 光突發(fā)交換網(wǎng)絡(luò)邊緣節(jié)點的設(shè)計與實現(xiàn).pdf
評論
0/150
提交評論