三級(jí)交換網(wǎng)絡(luò)的構(gòu)建與實(shí)現(xiàn)

三級(jí)交換網(wǎng)絡(luò)的構(gòu)建與實(shí)現(xiàn) 摘 要 網(wǎng)絡(luò)技術(shù)的高速發(fā)展的今天，企業(yè)網(wǎng)絡(luò)的優(yōu)劣已經(jīng)成為衡量企業(yè)競(jìng)爭(zhēng)力的標(biāo)準(zhǔn)之一。針對(duì)我校整體的特點(diǎn)，本文介紹了一個(gè)行業(yè)專(zhuān)業(yè)網(wǎng)絡(luò)的整體設(shè)計(jì)方案。充分考慮到網(wǎng)絡(luò)的負(fù)載均衡和穩(wěn)定性能，所以本方案采用典型三層網(wǎng)絡(luò)結(jié)構(gòu)。其中，匯聚層采用三臺(tái)設(shè)備，對(duì)接入層進(jìn)行訪問(wèn)控制。路由協(xié)議則是選擇安全性高、收斂速度快的 OSPF 協(xié)議。我們采用銳捷交換機(jī)帶寬聚合技術(shù)將多條物理線路捆綁為一條邏輯鏈路，使其有更高帶寬。服務(wù)器群組則重點(diǎn)介紹了 FTP、郵件服務(wù)器及 WEB服務(wù)器等企業(yè)中較常用到的服務(wù)器的軟件選擇及搭 建方法。對(duì)于網(wǎng)絡(luò)中可能存在的安全威脅，針對(duì)不同的需求，方案中提出了 VLAN 技術(shù)、訪問(wèn)控制列表、防火墻技術(shù)以及VPN 等安全解決方案，以求構(gòu)建一個(gè)安全、高效、可靠的企業(yè)網(wǎng)絡(luò)。 關(guān)鍵詞： 網(wǎng)絡(luò)層次化，虛擬局域網(wǎng)，安全，控制列表，防火墻 Abstract As the high-speed development of the network technique, the quality of enterprise network has already become one of the standards that measure the competition ability of the enterprise. According to the characteristics of the whole school, this paper will introduce an overall design of professional network applying for enterprise. Seriously Considering the load balance and stability of the network, we adopt three layers structure in the design. Convergence Layer adopts three equipments to the access of access control. The routing protocol chooses the protocol of OSPF, which has high security and rapidly converging. The server applications set the point on introducing the method of creation and software selection for the common enterprise server applications, such as FTP, the mail server and the WEB server etc. In order to set up a safety, fuel-efficient and reliable enterprise network, we put forward the VLAN technique, the fire wall technique and VPN for the different needs in resisting the safety threaten. Key words: Hierarchical Network, Vlan, security,ACL, Firewall 目 錄 1 引言 . 1 2 需求分析 . 2 2.1 項(xiàng)目背景 . 2 2.2 設(shè)計(jì)目標(biāo) . 2 2.3 用戶(hù)現(xiàn)實(shí)要求 . 3 3 網(wǎng)絡(luò)整體設(shè)計(jì) . 3 3.1 網(wǎng)絡(luò)拓?fù)?. 3 3.2 網(wǎng)絡(luò)層次化設(shè)計(jì) . 3 3.2.1 核心層設(shè)計(jì) . 4 3.2.2 匯聚層設(shè)計(jì) . 4 3.2.3 接入層設(shè)計(jì) . 5 3.2.4 路由協(xié)議選擇 . 6 3.3 VLAN 的劃分及 IP 地址規(guī)劃 . 7 4 各層相關(guān)配置信息 . 7 4.1 IP 地址規(guī)劃 . 7 4.2 相關(guān)配置 . 8 4.2.1 接入層基本配置信息 . 8 4.2.2 匯聚層基本配置信息 . 8 4.2.3 核心層基本配置信息 . 9 4.2.4 路由器 RG-R1762 基本配置信息 . 10 4.2.5 防火墻基本配置 . 11 4.3 路由配置信息 . 13 4.3.1 RG-S3550-24-1 路由配置 . 13 4.3.2 RG-S6806E 路由配置 . 13 4.3.3 路由器 RG-R1762 配置 . 14 4.4 安全配置信息 . 14 4.4.1 接入層防病毒配置 . 14 4.4.2 匯聚層安全配置 . 15 4.5 防火墻安全策略 . 15 4.6 路由 器的 NAT 配置 . 19 5 總結(jié) . 20 參考文獻(xiàn) . 21 致 謝 . 22 可以聯(lián)系我： QQ 784695063 TEL1 1 引言 現(xiàn)代網(wǎng)絡(luò)及其復(fù)雜，對(duì)企業(yè)的成功尤為關(guān)鍵。隨著組織程序持續(xù)增加帶寬、可靠性和功能要求，網(wǎng)絡(luò)設(shè)計(jì)人員面臨著快速構(gòu)建和改進(jìn)網(wǎng)絡(luò)，使用新協(xié)議和技術(shù)的挑戰(zhàn)。網(wǎng)絡(luò)設(shè)計(jì)人員還面臨著適應(yīng)互聯(lián)網(wǎng)行業(yè)的持續(xù)和快速變化的挑戰(zhàn)?，F(xiàn)代組織環(huán)境中的網(wǎng)絡(luò)操作人員和設(shè)計(jì)人員需要設(shè)計(jì)健壯、可靠、可擴(kuò)展的網(wǎng)絡(luò)。 網(wǎng)絡(luò)是 IT基礎(chǔ)設(shè)施，隨著 IT技術(shù)的發(fā)展和應(yīng)用的普及，在廣度和深度上不斷擴(kuò)展和加強(qiáng)，已滲透到各行各業(yè)和不同領(lǐng)域，從大型企業(yè)網(wǎng)到中小型企業(yè)網(wǎng)、從電信網(wǎng)絡(luò)到行業(yè)網(wǎng)絡(luò)、從研究型網(wǎng)絡(luò)到應(yīng)用型網(wǎng)絡(luò)，基于 IP 的網(wǎng)絡(luò)部署和網(wǎng)絡(luò)應(yīng)用快速發(fā)展。網(wǎng)絡(luò)建設(shè)開(kāi) 始于網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì)，同時(shí)，網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)也是網(wǎng)絡(luò)建設(shè)過(guò)程中最重要的環(huán)節(jié)。良好的網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)是保證網(wǎng)絡(luò)快速、穩(wěn)定、安全運(yùn)行的基礎(chǔ)和關(guān)鍵。網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)的不完善和不合理會(huì)導(dǎo)致許多問(wèn)題，例如：網(wǎng)絡(luò)基礎(chǔ)設(shè)施不能滿(mǎn)足網(wǎng)絡(luò)應(yīng)用的需求，網(wǎng)絡(luò)建設(shè)和運(yùn)行成本過(guò)高，網(wǎng)絡(luò)投資大于網(wǎng)絡(luò)的收益，由于網(wǎng)絡(luò)結(jié)構(gòu)的不靈活性、可擴(kuò)展性差而阻礙整個(gè)網(wǎng)絡(luò)和網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展等。 開(kāi)放式網(wǎng)絡(luò)體系結(jié)構(gòu)和網(wǎng)絡(luò)協(xié)議的標(biāo)準(zhǔn)化使得在技術(shù)上實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)并不難，但是規(guī)劃和設(shè)計(jì)一個(gè)適應(yīng)復(fù)雜環(huán)境、綜合各種因素、滿(mǎn)足用戶(hù)需求的網(wǎng)絡(luò)卻不是一件容易的事情。有些情況是從無(wú)到 有規(guī)劃設(shè)計(jì)一個(gè)全新的網(wǎng)絡(luò)，而有些時(shí)候則需要在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施里融進(jìn)新的技術(shù)、擴(kuò)展網(wǎng)絡(luò)規(guī)模以適應(yīng)網(wǎng)絡(luò)上的新應(yīng)用或業(yè)務(wù)發(fā)展。網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)必須滿(mǎn)足用戶(hù)的網(wǎng)絡(luò)建設(shè)需求，沒(méi)有一種網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)方案可以適合所有的網(wǎng)絡(luò)。網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)應(yīng)用發(fā)展日新月異，網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)方法和技術(shù)也越來(lái)越復(fù)雜，更新越來(lái)越快；網(wǎng)絡(luò)設(shè)計(jì)工具往往功能單一而且很容易過(guò)時(shí)；網(wǎng)絡(luò)協(xié)議的多樣化和復(fù)雜化也增加了網(wǎng)絡(luò)設(shè)計(jì)的技術(shù)難度和復(fù)雜性；在Internet 時(shí)代，各種組織或企業(yè)不得不基于 IP 技術(shù)組建網(wǎng)絡(luò)。盡管 IP 技術(shù)發(fā)展迅速，但 IP 網(wǎng)絡(luò)固有的缺陷仍然使得構(gòu) 建高校、高性能、高安全、高可靠性的網(wǎng)絡(luò)不能成為一件輕松、容易的事情。因此，網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)是一項(xiàng)高技術(shù)含量、高層次而且具有很強(qiáng)的工程性的工作。除了要求網(wǎng)絡(luò)設(shè)計(jì)人員或網(wǎng)絡(luò)工程師系統(tǒng)掌握網(wǎng)絡(luò)互連的基礎(chǔ)理論和相關(guān)技術(shù)外，還需要了解網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)流程，清楚流程中每一個(gè)階段的任務(wù)，掌握設(shè)計(jì)內(nèi)容以及設(shè)計(jì)原則、設(shè)計(jì)方法等 1。 可以聯(lián)系我： QQ 784695063 TEL2 2 需求分析 2.1 項(xiàng)目背景 XX 校園是一所有悠久歷史的高等院校，學(xué)校有中心機(jī)房，科技樓、行政樓、教學(xué)樓、教工樓、職工宿舍 6 棟樓需要聯(lián)網(wǎng)，上網(wǎng)人數(shù)大約規(guī)劃為 300 人左右，所有PC機(jī)都采用 TCP/IP協(xié)議，經(jīng)一級(jí)交換機(jī)互連到一起，各樓的交換機(jī)出口通過(guò)光纖上行連到網(wǎng)絡(luò)中心的三層交換機(jī)，進(jìn)入鄭州市城域網(wǎng)。 2.2 設(shè)計(jì)目標(biāo) 除保證可靠性、安全性、先進(jìn)性和開(kāi)放性原則外，要遵循： 實(shí)用性原則：建設(shè)設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)的出發(fā)點(diǎn)是基于學(xué)校目前和將來(lái)發(fā)展的需要，具有很強(qiáng)的實(shí)用性。應(yīng)實(shí)現(xiàn)各部門(mén)、各層次信息查詢(xún)與管理工作的科學(xué)化、規(guī)范化，并在用戶(hù)發(fā)展的基礎(chǔ)上，不斷地?cái)U(kuò)充和完善。 經(jīng)濟(jì)性原則：投資合理 ,有良好的性能價(jià)格比。還要注意到由于邏輯上業(yè)務(wù)網(wǎng)和管理網(wǎng)必須分開(kāi)，所以建成后企業(yè)網(wǎng)應(yīng)能提供多個(gè)網(wǎng)段的劃分和隔離，并能做到靈活改變 配置，以適應(yīng)企業(yè)辦公環(huán)境的調(diào)整和改變，即 VLAN 的整體劃分。 考慮到校內(nèi)數(shù)據(jù)的重要性、保密性，為了保證校內(nèi)網(wǎng)絡(luò)順利運(yùn)行，保證網(wǎng)絡(luò)的不間斷運(yùn)行，網(wǎng)絡(luò)平臺(tái)應(yīng)具有以下一些特點(diǎn)： 高可靠性 網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制定可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持各個(gè)系統(tǒng)的正常運(yùn)行。 高性能 承載網(wǎng)絡(luò)性能是網(wǎng)絡(luò)通訊系統(tǒng)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保障各種信息（數(shù)據(jù)、語(yǔ)音、圖像）的高質(zhì)量傳輸。 標(biāo)準(zhǔn)開(kāi) 放性 支持國(guó)際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國(guó)際標(biāo)準(zhǔn)的大型的動(dòng)態(tài)路由協(xié)議等開(kāi)放協(xié)議，有利于保證與其他網(wǎng)絡(luò)（如公共數(shù)據(jù)網(wǎng)、行內(nèi)其他網(wǎng)絡(luò)）之間的平滑連接互通，以及將來(lái)網(wǎng)絡(luò)的擴(kuò)展。 靈活性及可擴(kuò)展性 根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)充和升級(jí)，最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和設(shè)備的調(diào)整。 可管理性 對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、分權(quán)管理、并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，具有對(duì)設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析，及可提供故障自動(dòng)報(bào)警。 可以聯(lián)系我： QQ 784695063 TEL3 安全性 制訂統(tǒng)一的骨干網(wǎng)安全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性 2。 2.3 用 戶(hù)現(xiàn)實(shí)要求 （ 1） 實(shí)現(xiàn)學(xué)校內(nèi)部資源共享，即文件服務(wù)器，但是對(duì)不同的資源要有相應(yīng)的權(quán)限。 （ 2）滿(mǎn)足校內(nèi)日常的教學(xué)，及資料數(shù)據(jù)的傳輸和存儲(chǔ)。 （ 3）院校各部門(mén)可以通過(guò)即時(shí)通信軟件聯(lián)系，建立公司郵件服務(wù)器。 （ 4）打印機(jī)共享。 （ 5）公司內(nèi)部要網(wǎng)絡(luò)接入 Internet。 （ 6）架設(shè)院校 web 服務(wù)器，發(fā)布院校網(wǎng)站。 （ 7）為保證安全， Internet 與公司內(nèi)部網(wǎng)絡(luò)間應(yīng)采用防護(hù)措施，防止外界對(duì)內(nèi)部網(wǎng)絡(luò)未經(jīng)授權(quán)的訪問(wèn) 3。 3 網(wǎng)絡(luò)整體設(shè)計(jì) 3.1 網(wǎng)絡(luò)拓?fù)?計(jì)算機(jī)網(wǎng)絡(luò)的組成元素可以分為兩大類(lèi)，即網(wǎng)絡(luò)節(jié)點(diǎn)（又可 分為端節(jié)點(diǎn)和轉(zhuǎn)發(fā)節(jié)點(diǎn)）和通信鏈路，網(wǎng)絡(luò)中節(jié)點(diǎn)的互聯(lián)模式叫網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。網(wǎng)絡(luò)拓?fù)涠x了網(wǎng)絡(luò)中資源的鏈接方式，局域網(wǎng)中常用的拓?fù)浣Y(jié)構(gòu)有：總線型結(jié)構(gòu)、環(huán)形結(jié)構(gòu)、星型結(jié)構(gòu)。 考慮到學(xué)校的分布情況我們這里采用形形拓?fù)浣Y(jié)構(gòu)，星型拓?fù)浣Y(jié)構(gòu)是由通過(guò)點(diǎn)到點(diǎn)鏈路接到中央節(jié)點(diǎn)的各站點(diǎn)組成的。星型網(wǎng)絡(luò)中有一個(gè)唯一的轉(zhuǎn)發(fā)節(jié)點(diǎn)（中央節(jié)點(diǎn)），每一臺(tái)計(jì)算機(jī)都通過(guò)單獨(dú)的通信線路連接到中央節(jié)點(diǎn)。 在星型拓?fù)渲欣弥醒牍?jié)點(diǎn)可方便地提供服務(wù)和重新配置網(wǎng)絡(luò)；單個(gè)連接點(diǎn)故障只會(huì)影響故障點(diǎn)連接的一個(gè)設(shè)備，不會(huì)影響全網(wǎng)，容易監(jiān)測(cè)隔離故障、便于維護(hù)；任何 一個(gè)連接只涉及到中央節(jié)點(diǎn)和一個(gè)站點(diǎn)，控制介質(zhì)訪問(wèn)的方法很簡(jiǎn)單、從而訪問(wèn)協(xié)議也十分簡(jiǎn)單 4。 3.2 網(wǎng)絡(luò)層次化設(shè)計(jì) 網(wǎng)絡(luò)的設(shè)計(jì)模型主要包括層次化設(shè)計(jì)模型和非層次化設(shè)計(jì)模型兩種。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長(zhǎng)，非層次化的網(wǎng)絡(luò)設(shè)計(jì)已經(jīng)不適合當(dāng)今企業(yè)的網(wǎng)絡(luò)應(yīng)用，由于非層次化網(wǎng)絡(luò)沒(méi)有適當(dāng)?shù)囊?guī)劃，網(wǎng)絡(luò)最終會(huì)發(fā)展成為非結(jié)構(gòu)的形式，這樣當(dāng)網(wǎng)絡(luò)設(shè)備之間相互通信時(shí)，設(shè)備上的 CPU 必然會(huì)承擔(dān)相當(dāng)大的負(fù)載，不利于網(wǎng)絡(luò)的 可以聯(lián)系我： QQ 784695063 TEL4 運(yùn)行和發(fā)展，當(dāng)大量的數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時(shí)，容易引起線路擁堵甚至網(wǎng)絡(luò)的癱瘓。所以我們選擇層次化的網(wǎng)絡(luò)設(shè)計(jì) 。 多層設(shè)計(jì)模塊化的網(wǎng)絡(luò)容量可隨著日后 網(wǎng)絡(luò)節(jié)點(diǎn)的增加而不斷增大。多層次網(wǎng)絡(luò)有很大的確定性，因此在運(yùn)行和擴(kuò)展過(guò)程中進(jìn)行故障查找和排除非常簡(jiǎn)單。多層模式使網(wǎng)絡(luò)的移植更為簡(jiǎn)單易行，因?yàn)樗Ａ糁诼酚善骱徒粨Q機(jī)的網(wǎng)絡(luò)原有的尋址方案，對(duì)以往的網(wǎng)絡(luò)有很好的兼容性。另外分層結(jié)構(gòu)也能夠?qū)W(wǎng)絡(luò)的故障進(jìn)行很好的隔離。 針對(duì)實(shí)際情況我們采用典型的三層結(jié)構(gòu)模型，即核心層、分布層（匯聚層）、接入層。每個(gè)層次有不同的功能。核心層作為整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心，起主要的功能是高速、可靠的進(jìn)行數(shù)據(jù)交換。分布層主要進(jìn)行接入層的數(shù)據(jù)流量匯聚，并對(duì)數(shù) 據(jù)流量進(jìn)行訪問(wèn)控制。接入層主要提供最終用戶(hù)接入網(wǎng)絡(luò)的途徑。主要進(jìn)行 VLAN 的劃分、與分布層的連接等。 3.2.1 核心層設(shè)計(jì) 網(wǎng)絡(luò)核心層（設(shè)在中心機(jī)房）是網(wǎng)絡(luò)的中心，其功能是實(shí)現(xiàn)高性能的交換和傳輸。因此核心層設(shè)備應(yīng)該是高性能的交換機(jī)，可實(shí)現(xiàn)高速度的交換傳輸，以連接服務(wù)器等核心設(shè)備；并且非常可靠，實(shí)現(xiàn)不間斷工作。所以我們選擇使用一臺(tái) RG-S6806E 多業(yè)務(wù)萬(wàn)兆路由交換機(jī)高性能、高可靠性、高可用性是我們主要考慮的因素。本區(qū)的安全性可以由邊界防火墻提供，如果有需要，還可以在 6806 上面部署安全策略，使得核心交換區(qū) 的安全性進(jìn)一步的增強(qiáng)。 RG-S6806E 系列憑借眾多智能服務(wù)將控制擴(kuò)展到網(wǎng)絡(luò)邊緣，其中包括現(xiàn)金的服務(wù)質(zhì)量（ QoS）、支持流量控制（ Flow Control），支持端口鏡像（ Port Mirror），支持IGMP 偵聽(tīng)（ Snooping），生成樹(shù)協(xié)議支持， ACL 訪問(wèn)控制支持、 802.1x 認(rèn)證支持、 MAC綁定與過(guò)濾支持、背板帶寬可擴(kuò)展 1.6T、 6 個(gè)模塊化插槽（ 2 個(gè)用于管理引擎模塊）、交換容量達(dá) 400G、路由表項(xiàng) 256K。銳捷網(wǎng)絡(luò)的模塊化架構(gòu)、介質(zhì)靈活性和可擴(kuò)展性減少了重復(fù)運(yùn)營(yíng)開(kāi)支，提高了投資回報(bào)（ ROI），從而 在延長(zhǎng)部署壽命的同時(shí)降低了擁有成本?？蔀橹行推髽I(yè)提供價(jià)格合理、易于使用的可擴(kuò)展性、創(chuàng)新安全性、集成可靠性和 靈活性。 3.2.2 匯聚層設(shè)計(jì) 匯聚層主要進(jìn)行接入 層的數(shù)據(jù)流量匯聚，并對(duì)數(shù)據(jù)流量進(jìn)行訪問(wèn)控制。包括訪問(wèn)控制列表、 VLAN 路由等等。這里采用三臺(tái)銳捷 RG-S3550-24 作為匯聚交換機(jī)。保證 可以聯(lián)系我： QQ 784695063 TEL5 網(wǎng)絡(luò)的高可用性和穩(wěn)定性，避免單臺(tái)核心設(shè)備的負(fù)載太重導(dǎo)致網(wǎng)絡(luò)性能問(wèn)題。 RG-S3550 系列交換機(jī)是一個(gè)創(chuàng)新的產(chǎn)品系列，它結(jié)合世界領(lǐng)先的易用性和高冗余性，有效的提升了堆疊式交換機(jī)在局域網(wǎng)中的工作效率。該系列交換機(jī)硬件支 持 2至 4 層的多層線速交換，提供二到七層的智能的流分類(lèi)和完善的服務(wù)質(zhì)量（ QoS）以及組播管理特性，支持完善的高性能路由協(xié)議，并可以實(shí)施靈活多樣的 ACL 訪問(wèn)控制策略?？赏ㄟ^(guò) SNMP、 Telnet、 Web 和 Console 口等多種方式提供豐富的管理。 RG-S3550系列交換機(jī)為各類(lèi)型網(wǎng)絡(luò)提供線速多層交換、完善的端到端的服務(wù)質(zhì)量，豐富的安全設(shè)置和基于策略的網(wǎng)絡(luò)管理，最大化滿(mǎn)足高速、安全、智能的企業(yè)網(wǎng)新需求。此系列交換機(jī)具有以下特性： 1.高性能多層交換； 2.完備的安全控制； 3.豐富的組播特性； 4.完善的 QoS 策 略。 3.2.3 接入層設(shè)計(jì) 接入層主要提供最終用戶(hù)接入網(wǎng)絡(luò)的途徑。主要是進(jìn)行 VLAN 的劃分、與分布層的連接等。這里接入層交換機(jī)采用銳捷 RG-S2126/S2150 系列智能以太網(wǎng)交換機(jī)以千兆以太鏈路和匯聚交換機(jī)相連接，并為用戶(hù)終端提供 10/100M 自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。辦公系統(tǒng)所需的各種服務(wù)器如 FTP服務(wù)器、郵件服務(wù)器、 DHCP 服務(wù)器等組成服務(wù)器群，連接到匯聚交換機(jī)的千兆模塊上面 ,因此，內(nèi)部的局域網(wǎng)采用三層結(jié)構(gòu)組建 5。 網(wǎng)絡(luò)總體拓?fù)淙鐖D如（ 3-1） 可以聯(lián)系我： QQ 784695063 TEL6 圖 3-1 網(wǎng)絡(luò)綜合 拓?fù)?3.2.4 路由協(xié)議選擇 為達(dá)到路由快速收斂、尋址以及方便網(wǎng)絡(luò)管理員管理的目的，我們采用動(dòng)態(tài)路由協(xié)議，目前較好的動(dòng)態(tài)路由協(xié)議是 OSPF 協(xié)議， OSPF 以協(xié)議標(biāo)準(zhǔn)化強(qiáng)，支持廠家多，受到廣泛應(yīng)用。考慮網(wǎng)絡(luò)的擴(kuò)展性、數(shù)據(jù)資源的保護(hù)等原因，我們選擇 OSPF 路由協(xié)議。 OSPF 協(xié)議采用鏈路狀態(tài)協(xié)議算法，每個(gè)路由器維護(hù)一個(gè)相同的鏈路狀態(tài)數(shù)據(jù)庫(kù)，保存整個(gè) AS 的拓?fù)浣Y(jié)構(gòu)（ AS 不劃分情況下）。一旦每個(gè)路由器有了完整的鏈路狀態(tài)數(shù)據(jù)庫(kù)，該路由器就可以自己為根，構(gòu)造最短路徑樹(shù)，然后再根據(jù)最短路徑構(gòu)造路由表。對(duì)于大型的網(wǎng)絡(luò)，為了進(jìn)一步減少路由協(xié)議通信流量，利于管理和計(jì)算。OSPF 將整個(gè) AS 劃分為若干個(gè)區(qū)域，區(qū)域內(nèi)的路由器維護(hù)一個(gè)相同的鏈路狀態(tài)數(shù)據(jù)庫(kù)，保存該區(qū)域的拓?fù)浣Y(jié)構(gòu)。 OSPF 路由器相互間交換信息，但交換的信息不是路由，而是鏈路狀態(tài)。 OSPF 定義了 5 種分組： Hello 分組用于建立和維護(hù)連接；數(shù)據(jù)庫(kù)描述分組初始化路由器的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫(kù)；當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫(kù)中的某部分信息已經(jīng)過(guò)時(shí)后，路由器發(fā)送鏈路狀態(tài)請(qǐng)求分組，請(qǐng)求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來(lái)主動(dòng)擴(kuò)散自己的鏈路狀態(tài)數(shù)據(jù)庫(kù)或?qū)︽溌窢顟B(tài)請(qǐng)求 分組進(jìn)行響應(yīng)；由于 OSPF 直接運(yùn)行在 IP 層，協(xié)議本身要提供確認(rèn)機(jī)制，鏈路狀態(tài)應(yīng)答分組是對(duì)鏈路狀態(tài)更新分組進(jìn)行確認(rèn)。 相對(duì)于其它協(xié)議， OSPF 有許多優(yōu)點(diǎn)。 OSPF 支持各種不同鑒別機(jī)制，并且允許各個(gè)系統(tǒng)或區(qū)域采用互不相同的鑒別機(jī)制；提供負(fù)載均衡功能，如果計(jì)算出到某個(gè)目 可以聯(lián)系我： QQ 784695063 TEL7 的站有若干條費(fèi)用相同的路由， OSPF 路由器會(huì)把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送出去；在一個(gè)自治系統(tǒng)內(nèi)可劃分出若干個(gè)區(qū)域，每個(gè)區(qū)域根據(jù)自己的拓?fù)浣Y(jié)構(gòu)計(jì)算最短路徑，這減少了 OSPF 路由實(shí)現(xiàn)的工作量； OSPF 屬動(dòng)態(tài)的 自適應(yīng)協(xié)議，對(duì)于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速地做出反應(yīng)，進(jìn)行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比， OSPF 在對(duì)網(wǎng)絡(luò)拓?fù)渥兓奶幚磉^(guò)程中僅需要最少的通信流量； OSPF 提供點(diǎn)到多點(diǎn)接口。 公司現(xiàn)有網(wǎng)絡(luò)規(guī)劃為 area0，內(nèi)部網(wǎng)絡(luò)設(shè)備都規(guī)劃為 area0。后期若有分支機(jī)構(gòu)各區(qū)域接入路由器根據(jù)區(qū)域不同使用動(dòng)態(tài)協(xié)議，或者使用靜態(tài)路由與動(dòng)態(tài)路由結(jié)合的方式 6。 3.3 VLAN 的劃分及 IP 地址規(guī)劃 VLAN 的劃分一般有三種方法，一是基于端口、二是基于 MAC 地址、最后是基于路由的劃分。在這里 我們采用基于端口的劃分，把一個(gè)或者多個(gè)交換機(jī)上的端口放到一個(gè) VLAN 內(nèi)，這個(gè)方法是最簡(jiǎn)單最有效的，網(wǎng)絡(luò)管理人員只需要對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行分配即可，不用考慮端口所連接的設(shè)備。 IP 地址是 TCP/IP 協(xié)議族中的網(wǎng)絡(luò)層邏輯地址，它被用來(lái)唯一地標(biāo)示網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)。 IP 地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效的利用地址空間，又要體現(xiàn)網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿(mǎn)足路由協(xié)議的要求，提高路由算法的效率，加快路由變化 的收斂速度。 根據(jù)校園聯(lián)網(wǎng)的情況，每個(gè)部門(mén)劃分為一個(gè) VLAN，各部門(mén)分別屬于不同的網(wǎng)段，各部門(mén)之間在邏輯上被隔離，但是各部門(mén)間的通訊，可根據(jù)需要對(duì)匯聚層交換機(jī)進(jìn)行配置來(lái)實(shí)現(xiàn) 7。 4 各層相關(guān)配置信息 4.1 IP 地址規(guī)劃及整體拓?fù)?圖 IP 地址規(guī)劃如下： 設(shè)備名稱(chēng) VLAN 端口名稱(chēng) IP 地址 端口連接情況 RG-S3550-24-1 VLAN1 /24 F0/1-RG-S2150G VLAN2 /24 F0/2-RG-S2126G VLAN10 /24 F0/10-RG-S6806E-F0/10 可以聯(lián)系我： QQ 784695063 TEL8 RG-S3550-24-2 VLAN3 /24 F0/1-RG-S2150G VLAN4 /24 F0/2-RG-S2126G VLAN10 /24 F0/10-RG-S6806E-F0/11 RG-S3550-24-3 VLAN5 /24 F0/1-RG-S2150G VLAN6 /24 F0/2-RG-S2126G VLAN10 /24 F0/10-RG-S6806E-F0/12 RG-S6806E VLAN10 /24 F0/10-RG-S3760-1F0/10 VLAN10 /24 F0/11-RG-S3760-2F0/10 VLAN10 /24 F0/12-RG-S3760-3F0/10 VLAN11 1/24 F0/13 防火墻 eth0 VLAN24 /24 F0/24-內(nèi)網(wǎng)服務(wù)器 RG-R1762 Fastethernet1/0 2/24 F1/0-防火墻 eth1 Serial 1/2(DTE) 外網(wǎng) IP 外網(wǎng)接口 4.2 相關(guān)配置 4.2.1 接入層基本配置信息 主要是創(chuàng)建 VLAN，將端口加入 VLAN， A 區(qū) vlan 創(chuàng)建命令如下： Switch(config)#vlan 1 Switch(config-vlan)#exit Switch(config)#interface range fa 0/1-24 Switch(config-if-range)#switchport access vlan 1 說(shuō)明： B 區(qū)、 C 區(qū) 配置同上。 4.2.2 匯聚層基本配置信息 創(chuàng)建 VLAN，分配 IP，命令如下： Switch(config)#vlan 1 Switch(config-vlan)#exit Switch(config)#vlan 2 Switch(config-vlan)#exit Switch(config)#vlan 10 Switch(config-vlan)#exit 創(chuàng)建 vlan 信息 可以聯(lián)系我： QQ 784695063 TEL9 Switch(config)#interface fa 0/1 Switch(config-if)#switch access vlan 1 Switch(config-if)#exit Switch(config)#interface fa 0/2 Switch(config-if)#switch access vlan 2 Switch(config-if)#exit Switch(config)#interface fa 0/10 Switch(config-if)#switch access vlan 10 Switch(config-if)#exit 將端口加入 vlan Switch(config)#interface vlan 1 Switch(config-if)#ip address Switch(config-if)#no shutdown Switch(config-if)#exit Switch(config)#interface vlan 2 Switch(config-if)#ip address Switch(config-if)#no shutdown Switch(config-if)#exit Switch(config)#interface vlan 10 Switch(config-if)#ip address Switch(config-if)#no shutdown Switch(config-if)#exit 配置 VLAN IP 4.2.3 核心層基本配置信息 進(jìn)行接入層的數(shù)據(jù)流量匯聚 ，并對(duì)數(shù)據(jù)流量進(jìn)行訪問(wèn)控制。配置命令如下： switch(config)#vlan 10 switch(config-vlan)#exit switch(config)#vlan 11 switch(config-vlan)#exit switch(config)#vlan 24 switch(config-vlan)#exit 創(chuàng)建 vlan switch(config)#interface range fa 0/10-12 可以聯(lián)系我： QQ 784695063 TEL10 switch(config-if-range)#switch access vlan 10 switch(config-if)#exit switch(config)#interface fa 0/13 switch(config-if)#switch access vlan 11 switch(config-if)#exit switch(config)#interface fa 0/24 switch(config-if)#switch access vlan 24 switch(config-if)#exit 分配端口 switch(config)#interface vlan 10 switch(config-if)#ip address switch(config-if)#no shutdown switch(config-if)#exit switch(config)#interface vlan 11 switch(config-if)#ip address 1 switch(config-if)#no shutdown switch(config-if)#exit switch(config)#interface vlan 24 switch(config-if)#ip address switch(config-if)#no shutdown switch(config-if)#exit 分配 vlan IP 4.2.4 路由器 RG-R1762 基本配置信息 基本配置命令如下： Red-Giantenable Red-Giant#config terminal Red-Giant#interface fa 1/0 Red-Giant(config-if)#ip address 2 Red-Giant(config-if)#no shutdown Red-Giant(config-if)#exit Red-Giant(config)#interface serial 1/2 Red-Giant(config-if)#ip address WAN IP 可以聯(lián)系我： QQ 784695063 TEL11 Red-Giant(config-if)#no shutdown8 4.2.5 防火墻基本配置 1 登 錄 防火 墻，打開(kāi) 管理 IP 地址 功能如圖 4-1。 圖 4-1 管理 IP 功能圖 2 設(shè)置防火墻的管理地址為 /24 和 /24，如圖 4-2。 圖 4-2 管理地址圖 3 設(shè)置防 火墻的工作模式為：網(wǎng)橋模式，如圖 4-3、 4-3、 4-5、 4-6。 可以聯(lián)系我： QQ 784695063 TEL12 圖 4-3 網(wǎng)橋模式圖 圖 4-4 轉(zhuǎn)換界面圖 可以聯(lián)系我： QQ 784695063 TEL13 圖 4-5 確定轉(zhuǎn)換圖 圖 4-6 完成 4.3 路由配置信息 4.3.1 RG-S3550-24-1 路由配置 命令如 下： Switch(config)#ip routing Switch(config)#ip route Switch(config)#show ip route 4.3.2 RG-S6806E 路由配置 命令如下： 可以聯(lián)系我： QQ 784695063 TEL14 Switch(config)#ip routing Switch(config)#ip route 2 Switch(config)#ip route Switch(config)#ip route Switch(config)#ip route Switch(config)#ip route Switch(config)#ip route Switch(config)#ip route 4.3.3 路由器 RG-R1762 配置 Red-Giant（ config） # ip route 1 Red-Giant（ config） # ip route 1 Red-Giant（ config） # ip route 1 Red-Giant（ config） # ip route 1 Red-Giant（ config） # ip route 1 Red-Giant（ config） # ip route 19 4.4 安全配置信息 4.4.1 接入層防病毒配置 RG-2126G(config)# ip access-list extended deny_worms RG-2126G(config-ext-nacl)# deny tcp any any eq 135 RG-2126G(config-ext-nacl)# deny tcp any any eq 136 RG-2126G(config-ext-nacl)# deny tcp any any eq 137 RG-2126G(config-ext-nacl)# deny tcp any any eq 138 RG-2126G(config-ext-nacl)# deny tcp any any eq 139 RG-2126G(config-ext-nacl)# deny tcp any any eq 445 RG-2126G(config-ext-nacl)# deny udp any any eq 135 RG-2126G(config-ext-nacl)# deny udp any any eq 136 RG-2126G(config-ext-nacl)# deny udp any any eq netbios-ns RG-2126G(config-ext-nacl)# deny udp any any eq netbios-dgm 可以聯(lián)系我： QQ 784695063 TEL15 RG-2126G(config-ext-nacl)# deny udp any any eq netbios-ss RG-2126G(config-ext-nacl)# deny udp any any eq 445 RG-2126G(config-ext-nacl)# permit ip any any RG-2126G(config-ext-nacl)#exi RG-2126G(config)#inter range fa 0/1-24 RG-2126G(config-if-range)#ip access-group deny_worms in 說(shuō)明： B,C區(qū) RG-2126G， RG-S2150 配置同上。 4.4.2 匯聚層安全配置 Switch(config)# ip access-list extended deny_ftp Switch(config-ext-nacl)# deny tcp 55 55 eq ftp Switch(config-ext-nacl)# deny tcp 55 55 eq ftp-data Switch(config-ext-nacl)# permit ip any any Switch(config-ext-nacl)#end10 4.5 防火墻安全策略 1登錄防火墻。 2選擇“策略”“服務(wù)”選項(xiàng)。 可以聯(lián)系我： QQ 784695063 TEL16 圖 4-7 防火墻管理策略圖 圖 4-8 服務(wù)選項(xiàng) 3 在服務(wù) 中添加服務(wù)名稱(chēng)，并在服務(wù)名稱(chēng)中指定相關(guān)協(xié)議與接口。 可以聯(lián)系我： QQ 784695063 TEL17 圖 4-9 添加指定協(xié)議、接口 4添加多個(gè)規(guī)則，并且加入到服務(wù)組中 (服務(wù)組名稱(chēng)可在“服務(wù)組”選項(xiàng)中設(shè)定 )。 圖 4-10 添加多個(gè)規(guī)則 5規(guī)則添加完畢。 可以聯(lián)系我： QQ 784695063 TEL18 圖 4-11 添加完畢 6在“策略”“規(guī)則”選項(xiàng)中將服務(wù)與源地址及目標(biāo)地址關(guān)聯(lián)。 圖 4-12 關(guān)聯(lián)服務(wù)與地址 圖 4-13 關(guān)聯(lián)服務(wù)與地址 7將訪問(wèn)規(guī)則中定義的接口的所 有源到所有目的的動(dòng)作指定為拒絕，可在允許、拒絕、拒絕（ ICMP）拒絕（重設(shè)）這 4 個(gè)選項(xiàng)中，點(diǎn)選第二項(xiàng) (拒絕 )。 可以聯(lián)系我： QQ 784695063 TEL19 圖 4-14 指定動(dòng)作 4.6 路由器的 NAT 配置 Red-Giant(config)#access-list 1 permit 55 Red-Giant (config)#access-list 1 permit 55 Red-Giant (config)#int fa 1/0 Red-Giant (config-if)#ip nat inside Red