三級交換網(wǎng)絡(luò)的構(gòu)建與實現(xiàn)

三級交換網(wǎng)絡(luò)的構(gòu)建與實現(xiàn) 摘 要 網(wǎng)絡(luò)技術(shù)的高速發(fā)展的今天，企業(yè)網(wǎng)絡(luò)的優(yōu)劣已經(jīng)成為衡量企業(yè)競爭力的標(biāo)準(zhǔn)之一。針對我校整體的特點，本文介紹了一個行業(yè)專業(yè)網(wǎng)絡(luò)的整體設(shè)計方案。充分考慮到網(wǎng)絡(luò)的負載均衡和穩(wěn)定性能，所以本方案采用典型三層網(wǎng)絡(luò)結(jié)構(gòu)。其中，匯聚層采用三臺設(shè)備，對接入層進行訪問控制。路由協(xié)議則是選擇安全性高、收斂速度快的 OSPF 協(xié)議。我們采用銳捷交換機帶寬聚合技術(shù)將多條物理線路捆綁為一條邏輯鏈路，使其有更高帶寬。服務(wù)器群組則重點介紹了 FTP、郵件服務(wù)器及 WEB服務(wù)器等企業(yè)中較常用到的服務(wù)器的軟件選擇及搭 建方法。對于網(wǎng)絡(luò)中可能存在的安全威脅，針對不同的需求，方案中提出了 VLAN 技術(shù)、訪問控制列表、防火墻技術(shù)以及VPN 等安全解決方案，以求構(gòu)建一個安全、高效、可靠的企業(yè)網(wǎng)絡(luò)。 關(guān)鍵詞： 網(wǎng)絡(luò)層次化，虛擬局域網(wǎng)，安全，控制列表，防火墻 Abstract As the high-speed development of the network technique, the quality of enterprise network has already become one of the standards that measure the competition ability of the enterprise. According to the characteristics of the whole school, this paper will introduce an overall design of professional network applying for enterprise. Seriously Considering the load balance and stability of the network, we adopt three layers structure in the design. Convergence Layer adopts three equipments to the access of access control. The routing protocol chooses the protocol of OSPF, which has high security and rapidly converging. The server applications set the point on introducing the method of creation and software selection for the common enterprise server applications, such as FTP, the mail server and the WEB server etc. In order to set up a safety, fuel-efficient and reliable enterprise network, we put forward the VLAN technique, the fire wall technique and VPN for the different needs in resisting the safety threaten. Key words: Hierarchical Network, Vlan, security,ACL, Firewall 目 錄 1 引言 . 1 2 需求分析 . 2 2.1 項目背景 . 2 2.2 設(shè)計目標(biāo) . 2 2.3 用戶現(xiàn)實要求 . 3 3 網(wǎng)絡(luò)整體設(shè)計 . 3 3.1 網(wǎng)絡(luò)拓撲 . 3 3.2 網(wǎng)絡(luò)層次化設(shè)計 . 3 3.2.1 核心層設(shè)計 . 4 3.2.2 匯聚層設(shè)計 . 4 3.2.3 接入層設(shè)計 . 5 3.2.4 路由協(xié)議選擇 . 6 3.3 VLAN 的劃分及 IP 地址規(guī)劃 . 7 4 各層相關(guān)配置信息 . 7 4.1 IP 地址規(guī)劃 . 7 4.2 相關(guān)配置 . 8 4.2.1 接入層基本配置信息 . 8 4.2.2 匯聚層基本配置信息 . 8 4.2.3 核心層基本配置信息 . 9 4.2.4 路由器 RG-R1762 基本配置信息 . 10 4.2.5 防火墻基本配置 . 11 4.3 路由配置信息 . 13 4.3.1 RG-S3550-24-1 路由配置 . 13 4.3.2 RG-S6806E 路由配置 . 13 4.3.3 路由器 RG-R1762 配置 . 14 4.4 安全配置信息 . 14 4.4.1 接入層防病毒配置 . 14 4.4.2 匯聚層安全配置 . 15 4.5 防火墻安全策略 . 15 4.6 路由 器的 NAT 配置 . 19 5 總結(jié) . 20 參考文獻 . 21 致 謝 . 22 可以聯(lián)系我： QQ 784695063 TEL1 1 引言 現(xiàn)代網(wǎng)絡(luò)及其復(fù)雜，對企業(yè)的成功尤為關(guān)鍵。隨著組織程序持續(xù)增加帶寬、可靠性和功能要求，網(wǎng)絡(luò)設(shè)計人員面臨著快速構(gòu)建和改進網(wǎng)絡(luò)，使用新協(xié)議和技術(shù)的挑戰(zhàn)。網(wǎng)絡(luò)設(shè)計人員還面臨著適應(yīng)互聯(lián)網(wǎng)行業(yè)的持續(xù)和快速變化的挑戰(zhàn)?，F(xiàn)代組織環(huán)境中的網(wǎng)絡(luò)操作人員和設(shè)計人員需要設(shè)計健壯、可靠、可擴展的網(wǎng)絡(luò)。 網(wǎng)絡(luò)是 IT基礎(chǔ)設(shè)施，隨著 IT技術(shù)的發(fā)展和應(yīng)用的普及，在廣度和深度上不斷擴展和加強，已滲透到各行各業(yè)和不同領(lǐng)域，從大型企業(yè)網(wǎng)到中小型企業(yè)網(wǎng)、從電信網(wǎng)絡(luò)到行業(yè)網(wǎng)絡(luò)、從研究型網(wǎng)絡(luò)到應(yīng)用型網(wǎng)絡(luò)，基于 IP 的網(wǎng)絡(luò)部署和網(wǎng)絡(luò)應(yīng)用快速發(fā)展。網(wǎng)絡(luò)建設(shè)開 始于網(wǎng)絡(luò)規(guī)劃和設(shè)計，同時，網(wǎng)絡(luò)規(guī)劃與設(shè)計也是網(wǎng)絡(luò)建設(shè)過程中最重要的環(huán)節(jié)。良好的網(wǎng)絡(luò)規(guī)劃與設(shè)計是保證網(wǎng)絡(luò)快速、穩(wěn)定、安全運行的基礎(chǔ)和關(guān)鍵。網(wǎng)絡(luò)規(guī)劃與設(shè)計的不完善和不合理會導(dǎo)致許多問題，例如：網(wǎng)絡(luò)基礎(chǔ)設(shè)施不能滿足網(wǎng)絡(luò)應(yīng)用的需求，網(wǎng)絡(luò)建設(shè)和運行成本過高，網(wǎng)絡(luò)投資大于網(wǎng)絡(luò)的收益，由于網(wǎng)絡(luò)結(jié)構(gòu)的不靈活性、可擴展性差而阻礙整個網(wǎng)絡(luò)和網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展等。 開放式網(wǎng)絡(luò)體系結(jié)構(gòu)和網(wǎng)絡(luò)協(xié)議的標(biāo)準(zhǔn)化使得在技術(shù)上實現(xiàn)網(wǎng)絡(luò)互聯(lián)并不難，但是規(guī)劃和設(shè)計一個適應(yīng)復(fù)雜環(huán)境、綜合各種因素、滿足用戶需求的網(wǎng)絡(luò)卻不是一件容易的事情。有些情況是從無到 有規(guī)劃設(shè)計一個全新的網(wǎng)絡(luò)，而有些時候則需要在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施里融進新的技術(shù)、擴展網(wǎng)絡(luò)規(guī)模以適應(yīng)網(wǎng)絡(luò)上的新應(yīng)用或業(yè)務(wù)發(fā)展。網(wǎng)絡(luò)規(guī)劃與設(shè)計必須滿足用戶的網(wǎng)絡(luò)建設(shè)需求，沒有一種網(wǎng)絡(luò)規(guī)劃與設(shè)計方案可以適合所有的網(wǎng)絡(luò)。網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)應(yīng)用發(fā)展日新月異，網(wǎng)絡(luò)規(guī)劃與設(shè)計方法和技術(shù)也越來越復(fù)雜，更新越來越快；網(wǎng)絡(luò)設(shè)計工具往往功能單一而且很容易過時；網(wǎng)絡(luò)協(xié)議的多樣化和復(fù)雜化也增加了網(wǎng)絡(luò)設(shè)計的技術(shù)難度和復(fù)雜性；在Internet 時代，各種組織或企業(yè)不得不基于 IP 技術(shù)組建網(wǎng)絡(luò)。盡管 IP 技術(shù)發(fā)展迅速，但 IP 網(wǎng)絡(luò)固有的缺陷仍然使得構(gòu) 建高校、高性能、高安全、高可靠性的網(wǎng)絡(luò)不能成為一件輕松、容易的事情。因此，網(wǎng)絡(luò)規(guī)劃與設(shè)計是一項高技術(shù)含量、高層次而且具有很強的工程性的工作。除了要求網(wǎng)絡(luò)設(shè)計人員或網(wǎng)絡(luò)工程師系統(tǒng)掌握網(wǎng)絡(luò)互連的基礎(chǔ)理論和相關(guān)技術(shù)外，還需要了解網(wǎng)絡(luò)規(guī)劃與設(shè)計流程，清楚流程中每一個階段的任務(wù)，掌握設(shè)計內(nèi)容以及設(shè)計原則、設(shè)計方法等 1。 可以聯(lián)系我： QQ 784695063 TEL2 2 需求分析 2.1 項目背景 XX 校園是一所有悠久歷史的高等院校，學(xué)校有中心機房，科技樓、行政樓、教學(xué)樓、教工樓、職工宿舍 6 棟樓需要聯(lián)網(wǎng)，上網(wǎng)人數(shù)大約規(guī)劃為 300 人左右，所有PC機都采用 TCP/IP協(xié)議，經(jīng)一級交換機互連到一起，各樓的交換機出口通過光纖上行連到網(wǎng)絡(luò)中心的三層交換機，進入鄭州市城域網(wǎng)。 2.2 設(shè)計目標(biāo) 除保證可靠性、安全性、先進性和開放性原則外，要遵循： 實用性原則：建設(shè)設(shè)計網(wǎng)絡(luò)系統(tǒng)的出發(fā)點是基于學(xué)校目前和將來發(fā)展的需要，具有很強的實用性。應(yīng)實現(xiàn)各部門、各層次信息查詢與管理工作的科學(xué)化、規(guī)范化，并在用戶發(fā)展的基礎(chǔ)上，不斷地擴充和完善。 經(jīng)濟性原則：投資合理 ,有良好的性能價格比。還要注意到由于邏輯上業(yè)務(wù)網(wǎng)和管理網(wǎng)必須分開，所以建成后企業(yè)網(wǎng)應(yīng)能提供多個網(wǎng)段的劃分和隔離，并能做到靈活改變 配置，以適應(yīng)企業(yè)辦公環(huán)境的調(diào)整和改變，即 VLAN 的整體劃分。 考慮到校內(nèi)數(shù)據(jù)的重要性、保密性，為了保證校內(nèi)網(wǎng)絡(luò)順利運行，保證網(wǎng)絡(luò)的不間斷運行，網(wǎng)絡(luò)平臺應(yīng)具有以下一些特點： 高可靠性 網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運行的關(guān)鍵保證，在設(shè)計中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計網(wǎng)絡(luò)架構(gòu)，制定可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持各個系統(tǒng)的正常運行。 高性能 承載網(wǎng)絡(luò)性能是網(wǎng)絡(luò)通訊系統(tǒng)良好運行的基礎(chǔ)，設(shè)計中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保障各種信息（數(shù)據(jù)、語音、圖像）的高質(zhì)量傳輸。 標(biāo)準(zhǔn)開 放性 支持國際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國際標(biāo)準(zhǔn)的大型的動態(tài)路由協(xié)議等開放協(xié)議，有利于保證與其他網(wǎng)絡(luò)（如公共數(shù)據(jù)網(wǎng)、行內(nèi)其他網(wǎng)絡(luò)）之間的平滑連接互通，以及將來網(wǎng)絡(luò)的擴展。 靈活性及可擴展性 根據(jù)未來業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)可以平滑地擴充和升級，最大程度的減少對網(wǎng)絡(luò)架構(gòu)和設(shè)備的調(diào)整。 可管理性 對網(wǎng)絡(luò)實行集中監(jiān)測、分權(quán)管理、并統(tǒng)一分配帶寬資源。選用先進的網(wǎng)絡(luò)管理平臺，具有對設(shè)備、端口等的管理、流量統(tǒng)計分析，及可提供故障自動報警。 可以聯(lián)系我： QQ 784695063 TEL3 安全性 制訂統(tǒng)一的骨干網(wǎng)安全策略，整體考慮網(wǎng)絡(luò)平臺的安全性 2。 2.3 用 戶現(xiàn)實要求 （ 1） 實現(xiàn)學(xué)校內(nèi)部資源共享，即文件服務(wù)器，但是對不同的資源要有相應(yīng)的權(quán)限。 （ 2）滿足校內(nèi)日常的教學(xué)，及資料數(shù)據(jù)的傳輸和存儲。 （ 3）院校各部門可以通過即時通信軟件聯(lián)系，建立公司郵件服務(wù)器。 （ 4）打印機共享。 （ 5）公司內(nèi)部要網(wǎng)絡(luò)接入 Internet。 （ 6）架設(shè)院校 web 服務(wù)器，發(fā)布院校網(wǎng)站。 （ 7）為保證安全， Internet 與公司內(nèi)部網(wǎng)絡(luò)間應(yīng)采用防護措施，防止外界對內(nèi)部網(wǎng)絡(luò)未經(jīng)授權(quán)的訪問 3。 3 網(wǎng)絡(luò)整體設(shè)計 3.1 網(wǎng)絡(luò)拓撲 計算機網(wǎng)絡(luò)的組成元素可以分為兩大類，即網(wǎng)絡(luò)節(jié)點（又可 分為端節(jié)點和轉(zhuǎn)發(fā)節(jié)點）和通信鏈路，網(wǎng)絡(luò)中節(jié)點的互聯(lián)模式叫網(wǎng)絡(luò)的拓撲結(jié)構(gòu)。網(wǎng)絡(luò)拓撲定義了網(wǎng)絡(luò)中資源的鏈接方式，局域網(wǎng)中常用的拓撲結(jié)構(gòu)有：總線型結(jié)構(gòu)、環(huán)形結(jié)構(gòu)、星型結(jié)構(gòu)。 考慮到學(xué)校的分布情況我們這里采用形形拓撲結(jié)構(gòu)，星型拓撲結(jié)構(gòu)是由通過點到點鏈路接到中央節(jié)點的各站點組成的。星型網(wǎng)絡(luò)中有一個唯一的轉(zhuǎn)發(fā)節(jié)點（中央節(jié)點），每一臺計算機都通過單獨的通信線路連接到中央節(jié)點。 在星型拓撲中利用中央節(jié)點可方便地提供服務(wù)和重新配置網(wǎng)絡(luò)；單個連接點故障只會影響故障點連接的一個設(shè)備，不會影響全網(wǎng)，容易監(jiān)測隔離故障、便于維護；任何 一個連接只涉及到中央節(jié)點和一個站點，控制介質(zhì)訪問的方法很簡單、從而訪問協(xié)議也十分簡單 4。 3.2 網(wǎng)絡(luò)層次化設(shè)計 網(wǎng)絡(luò)的設(shè)計模型主要包括層次化設(shè)計模型和非層次化設(shè)計模型兩種。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長，非層次化的網(wǎng)絡(luò)設(shè)計已經(jīng)不適合當(dāng)今企業(yè)的網(wǎng)絡(luò)應(yīng)用，由于非層次化網(wǎng)絡(luò)沒有適當(dāng)?shù)囊?guī)劃，網(wǎng)絡(luò)最終會發(fā)展成為非結(jié)構(gòu)的形式，這樣當(dāng)網(wǎng)絡(luò)設(shè)備之間相互通信時，設(shè)備上的 CPU 必然會承擔(dān)相當(dāng)大的負載，不利于網(wǎng)絡(luò)的 可以聯(lián)系我： QQ 784695063 TEL4 運行和發(fā)展，當(dāng)大量的數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時，容易引起線路擁堵甚至網(wǎng)絡(luò)的癱瘓。所以我們選擇層次化的網(wǎng)絡(luò)設(shè)計 。 多層設(shè)計模塊化的網(wǎng)絡(luò)容量可隨著日后 網(wǎng)絡(luò)節(jié)點的增加而不斷增大。多層次網(wǎng)絡(luò)有很大的確定性，因此在運行和擴展過程中進行故障查找和排除非常簡單。多層模式使網(wǎng)絡(luò)的移植更為簡單易行，因為它保留著基于路由器和交換機的網(wǎng)絡(luò)原有的尋址方案，對以往的網(wǎng)絡(luò)有很好的兼容性。另外分層結(jié)構(gòu)也能夠?qū)W(wǎng)絡(luò)的故障進行很好的隔離。 針對實際情況我們采用典型的三層結(jié)構(gòu)模型，即核心層、分布層（匯聚層）、接入層。每個層次有不同的功能。核心層作為整個網(wǎng)絡(luò)系統(tǒng)的核心，起主要的功能是高速、可靠的進行數(shù)據(jù)交換。分布層主要進行接入層的數(shù)據(jù)流量匯聚，并對數(shù) 據(jù)流量進行訪問控制。接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。主要進行 VLAN 的劃分、與分布層的連接等。 3.2.1 核心層設(shè)計 網(wǎng)絡(luò)核心層（設(shè)在中心機房）是網(wǎng)絡(luò)的中心，其功能是實現(xiàn)高性能的交換和傳輸。因此核心層設(shè)備應(yīng)該是高性能的交換機，可實現(xiàn)高速度的交換傳輸，以連接服務(wù)器等核心設(shè)備；并且非?？煽?，實現(xiàn)不間斷工作。所以我們選擇使用一臺 RG-S6806E 多業(yè)務(wù)萬兆路由交換機高性能、高可靠性、高可用性是我們主要考慮的因素。本區(qū)的安全性可以由邊界防火墻提供，如果有需要，還可以在 6806 上面部署安全策略，使得核心交換區(qū) 的安全性進一步的增強。 RG-S6806E 系列憑借眾多智能服務(wù)將控制擴展到網(wǎng)絡(luò)邊緣，其中包括現(xiàn)金的服務(wù)質(zhì)量（ QoS）、支持流量控制（ Flow Control），支持端口鏡像（ Port Mirror），支持IGMP 偵聽（ Snooping），生成樹協(xié)議支持， ACL 訪問控制支持、 802.1x 認證支持、 MAC綁定與過濾支持、背板帶寬可擴展 1.6T、 6 個模塊化插槽（ 2 個用于管理引擎模塊）、交換容量達 400G、路由表項 256K。銳捷網(wǎng)絡(luò)的模塊化架構(gòu)、介質(zhì)靈活性和可擴展性減少了重復(fù)運營開支，提高了投資回報（ ROI），從而 在延長部署壽命的同時降低了擁有成本?？蔀橹行推髽I(yè)提供價格合理、易于使用的可擴展性、創(chuàng)新安全性、集成可靠性和 靈活性。 3.2.2 匯聚層設(shè)計 匯聚層主要進行接入 層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進行訪問控制。包括訪問控制列表、 VLAN 路由等等。這里采用三臺銳捷 RG-S3550-24 作為匯聚交換機。保證 可以聯(lián)系我： QQ 784695063 TEL5 網(wǎng)絡(luò)的高可用性和穩(wěn)定性，避免單臺核心設(shè)備的負載太重導(dǎo)致網(wǎng)絡(luò)性能問題。 RG-S3550 系列交換機是一個創(chuàng)新的產(chǎn)品系列，它結(jié)合世界領(lǐng)先的易用性和高冗余性，有效的提升了堆疊式交換機在局域網(wǎng)中的工作效率。該系列交換機硬件支 持 2至 4 層的多層線速交換，提供二到七層的智能的流分類和完善的服務(wù)質(zhì)量（ QoS）以及組播管理特性，支持完善的高性能路由協(xié)議，并可以實施靈活多樣的 ACL 訪問控制策略?？赏ㄟ^ SNMP、 Telnet、 Web 和 Console 口等多種方式提供豐富的管理。 RG-S3550系列交換機為各類型網(wǎng)絡(luò)提供線速多層交換、完善的端到端的服務(wù)質(zhì)量，豐富的安全設(shè)置和基于策略的網(wǎng)絡(luò)管理，最大化滿足高速、安全、智能的企業(yè)網(wǎng)新需求。此系列交換機具有以下特性： 1.高性能多層交換； 2.完備的安全控制； 3.豐富的組播特性； 4.完善的 QoS 策 略。 3.2.3 接入層設(shè)計 接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。主要是進行 VLAN 的劃分、與分布層的連接等。這里接入層交換機采用銳捷 RG-S2126/S2150 系列智能以太網(wǎng)交換機以千兆以太鏈路和匯聚交換機相連接，并為用戶終端提供 10/100M 自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。辦公系統(tǒng)所需的各種服務(wù)器如 FTP服務(wù)器、郵件服務(wù)器、 DHCP 服務(wù)器等組成服務(wù)器群，連接到匯聚交換機的千兆模塊上面 ,因此，內(nèi)部的局域網(wǎng)采用三層結(jié)構(gòu)組建 5。 網(wǎng)絡(luò)總體拓撲如圖如（ 3-1） 可以聯(lián)系我： QQ 784695063 TEL6 圖 3-1 網(wǎng)絡(luò)綜合 拓撲 3.2.4 路由協(xié)議選擇 為達到路由快速收斂、尋址以及方便網(wǎng)絡(luò)管理員管理的目的，我們采用動態(tài)路由協(xié)議，目前較好的動態(tài)路由協(xié)議是 OSPF 協(xié)議， OSPF 以協(xié)議標(biāo)準(zhǔn)化強，支持廠家多，受到廣泛應(yīng)用?？紤]網(wǎng)絡(luò)的擴展性、數(shù)據(jù)資源的保護等原因，我們選擇 OSPF 路由協(xié)議。 OSPF 協(xié)議采用鏈路狀態(tài)協(xié)議算法，每個路由器維護一個相同的鏈路狀態(tài)數(shù)據(jù)庫，保存整個 AS 的拓撲結(jié)構(gòu)（ AS 不劃分情況下）。一旦每個路由器有了完整的鏈路狀態(tài)數(shù)據(jù)庫，該路由器就可以自己為根，構(gòu)造最短路徑樹，然后再根據(jù)最短路徑構(gòu)造路由表。對于大型的網(wǎng)絡(luò)，為了進一步減少路由協(xié)議通信流量，利于管理和計算。OSPF 將整個 AS 劃分為若干個區(qū)域，區(qū)域內(nèi)的路由器維護一個相同的鏈路狀態(tài)數(shù)據(jù)庫，保存該區(qū)域的拓撲結(jié)構(gòu)。 OSPF 路由器相互間交換信息，但交換的信息不是路由，而是鏈路狀態(tài)。 OSPF 定義了 5 種分組： Hello 分組用于建立和維護連接；數(shù)據(jù)庫描述分組初始化路由器的網(wǎng)絡(luò)拓撲數(shù)據(jù)庫；當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫中的某部分信息已經(jīng)過時后，路由器發(fā)送鏈路狀態(tài)請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來主動擴散自己的鏈路狀態(tài)數(shù)據(jù)庫或?qū)︽溌窢顟B(tài)請求 分組進行響應(yīng)；由于 OSPF 直接運行在 IP 層，協(xié)議本身要提供確認機制，鏈路狀態(tài)應(yīng)答分組是對鏈路狀態(tài)更新分組進行確認。 相對于其它協(xié)議， OSPF 有許多優(yōu)點。 OSPF 支持各種不同鑒別機制，并且允許各個系統(tǒng)或區(qū)域采用互不相同的鑒別機制；提供負載均衡功能，如果計算出到某個目 可以聯(lián)系我： QQ 784695063 TEL7 的站有若干條費用相同的路由， OSPF 路由器會把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送出去；在一個自治系統(tǒng)內(nèi)可劃分出若干個區(qū)域，每個區(qū)域根據(jù)自己的拓撲結(jié)構(gòu)計算最短路徑，這減少了 OSPF 路由實現(xiàn)的工作量； OSPF 屬動態(tài)的 自適應(yīng)協(xié)議，對于網(wǎng)絡(luò)的拓撲結(jié)構(gòu)變化可以迅速地做出反應(yīng)，進行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比， OSPF 在對網(wǎng)絡(luò)拓撲變化的處理過程中僅需要最少的通信流量； OSPF 提供點到多點接口。 公司現(xiàn)有網(wǎng)絡(luò)規(guī)劃為 area0，內(nèi)部網(wǎng)絡(luò)設(shè)備都規(guī)劃為 area0。后期若有分支機構(gòu)各區(qū)域接入路由器根據(jù)區(qū)域不同使用動態(tài)協(xié)議，或者使用靜態(tài)路由與動態(tài)路由結(jié)合的方式 6。 3.3 VLAN 的劃分及 IP 地址規(guī)劃 VLAN 的劃分一般有三種方法，一是基于端口、二是基于 MAC 地址、最后是基于路由的劃分。在這里 我們采用基于端口的劃分，把一個或者多個交換機上的端口放到一個 VLAN 內(nèi)，這個方法是最簡單最有效的，網(wǎng)絡(luò)管理人員只需要對網(wǎng)絡(luò)設(shè)備的交換端口進行分配即可，不用考慮端口所連接的設(shè)備。 IP 地址是 TCP/IP 協(xié)議族中的網(wǎng)絡(luò)層邏輯地址，它被用來唯一地標(biāo)示網(wǎng)絡(luò)中的一個節(jié)點。 IP 地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效的利用地址空間，又要體現(xiàn)網(wǎng)絡(luò)的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化 的收斂速度。 根據(jù)校園聯(lián)網(wǎng)的情況，每個部門劃分為一個 VLAN，各部門分別屬于不同的網(wǎng)段，各部門之間在邏輯上被隔離，但是各部門間的通訊，可根據(jù)需要對匯聚層交換機進行配置來實現(xiàn) 7。 4 各層相關(guān)配置信息 4.1 IP 地址規(guī)劃及整體拓撲 圖 IP 地址規(guī)劃如下： 設(shè)備名稱 VLAN 端口名稱 IP 地址 端口連接情況 RG-S3550-24-1 VLAN1 /24 F0/1-RG-S2150G VLAN2 /24 F0/2-RG-S2126G VLAN10 /24 F0/10-RG-S6806E-F0/10 可以聯(lián)系我： QQ 784695063 TEL8 RG-S3550-24-2 VLAN3 /24 F0/1-RG-S2150G VLAN4 /24 F0/2-RG-S2126G VLAN10 /24 F0/10-RG-S6806E-F0/11 RG-S3550-24-3 VLAN5 /24 F0/1-RG-S2150G VLAN6 /24 F0/2-RG-S2126G VLAN10 /24 F0/10-RG-S6806E-F0/12 RG-S6806E VLAN10 /24 F0/10-RG-S3760-1F0/10 VLAN10 /24 F0/11-RG-S3760-2F0/10 VLAN10 /24 F0/12-RG-S3760-3F0/10 VLAN11 1/24 F0/13 防火墻 eth0 VLAN24 /24 F0/24-內(nèi)網(wǎng)服務(wù)器 RG-R1762 Fastethernet1/0 2/24 F1/0-防火墻 eth1 Serial 1/2(DTE) 外網(wǎng) IP 外網(wǎng)接口 4.2 相關(guān)配置 4.2.1 接入層基本配置信息 主要是創(chuàng)建 VLAN，將端口加入 VLAN， A 區(qū) vlan 創(chuàng)建命令如下： Switch(config)#vlan 1 Switch(config-vlan)#exit Switch(config)#interface range fa 0/1-24 Switch(config-if-range)#switchport access vlan 1 說明： B 區(qū)、 C 區(qū) 配置同上。 4.2.2 匯聚層基本配置信息 創(chuàng)建 VLAN，分配 IP，命令如下： Switch(config)#vlan 1 Switch(config-vlan)#exit Switch(config)#vlan 2 Switch(config-vlan)#exit Switch(config)#vlan 10 Switch(config-vlan)#exit 創(chuàng)建 vlan 信息 可以聯(lián)系我： QQ 784695063 TEL9 Switch(config)#interface fa 0/1 Switch(config-if)#switch access vlan 1 Switch(config-if)#exit Switch(config)#interface fa 0/2 Switch(config-if)#switch access vlan 2 Switch(config-if)#exit Switch(config)#interface fa 0/10 Switch(config-if)#switch access vlan 10 Switch(config-if)#exit 將端口加入 vlan Switch(config)#interface vlan 1 Switch(config-if)#ip address Switch(config-if)#no shutdown Switch(config-if)#exit Switch(config)#interface vlan 2 Switch(config-if)#ip address Switch(config-if)#no shutdown Switch(config-if)#exit Switch(config)#interface vlan 10 Switch(config-if)#ip address Switch(config-if)#no shutdown Switch(config-if)#exit 配置 VLAN IP 4.2.3 核心層基本配置信息 進行接入層的數(shù)據(jù)流量匯聚 ，并對數(shù)據(jù)流量進行訪問控制。配置命令如下： switch(config)#vlan 10 switch(config-vlan)#exit switch(config)#vlan 11 switch(config-vlan)#exit switch(config)#vlan 24 switch(config-vlan)#exit 創(chuàng)建 vlan switch(config)#interface range fa 0/10-12 可以聯(lián)系我： QQ 784695063 TEL10 switch(config-if-range)#switch access vlan 10 switch(config-if)#exit switch(config)#interface fa 0/13 switch(config-if)#switch access vlan 11 switch(config-if)#exit switch(config)#interface fa 0/24 switch(config-if)#switch access vlan 24 switch(config-if)#exit 分配端口 switch(config)#interface vlan 10 switch(config-if)#ip address switch(config-if)#no shutdown switch(config-if)#exit switch(config)#interface vlan 11 switch(config-if)#ip address 1 switch(config-if)#no shutdown switch(config-if)#exit switch(config)#interface vlan 24 switch(config-if)#ip address switch(config-if)#no shutdown switch(config-if)#exit 分配 vlan IP 4.2.4 路由器 RG-R1762 基本配置信息 基本配置命令如下： Red-Giantenable Red-Giant#config terminal Red-Giant#interface fa 1/0 Red-Giant(config-if)#ip address 2 Red-Giant(config-if)#no shutdown Red-Giant(config-if)#exit Red-Giant(config)#interface serial 1/2 Red-Giant(config-if)#ip address WAN IP 可以聯(lián)系我： QQ 784695063 TEL11 Red-Giant(config-if)#no shutdown8 4.2.5 防火墻基本配置 1 登 錄 防火 墻，打開 管理 IP 地址 功能如圖 4-1。 圖 4-1 管理 IP 功能圖 2 設(shè)置防火墻的管理地址為 /24 和 /24，如圖 4-2。 圖 4-2 管理地址圖 3 設(shè)置防 火墻的工作模式為：網(wǎng)橋模式，如圖 4-3、 4-3、 4-5、 4-6。 可以聯(lián)系我： QQ 784695063 TEL12 圖 4-3 網(wǎng)橋模式圖 圖 4-4 轉(zhuǎn)換界面圖 可以聯(lián)系我： QQ 784695063 TEL13 圖 4-5 確定轉(zhuǎn)換圖 圖 4-6 完成 4.3 路由配置信息 4.3.1 RG-S3550-24-1 路由配置 命令如 下： Switch(config)#ip routing Switch(config)#ip route Switch(config)#show ip route 4.3.2 RG-S6806E 路由配置 命令如下： 可以聯(lián)系我： QQ 784695063 TEL14 Switch(config)#ip routing Switch(config)#ip route 2 Switch(config)#ip route Switch(config)#ip route Switch(config)#ip route Switch(config)#ip route Switch(config)#ip route Switch(config)#ip route 4.3.3 路由器 RG-R1762 配置 Red-Giant（ config） # ip route 1 Red-Giant（ config） # ip route 1 Red-Giant（ config） # ip route 1 Red-Giant（ config） # ip route 1 Red-Giant（ config） # ip route 1 Red-Giant（ config） # ip route 19 4.4 安全配置信息 4.4.1 接入層防病毒配置 RG-2126G(config)# ip access-list extended deny_worms RG-2126G(config-ext-nacl)# deny tcp any any eq 135 RG-2126G(config-ext-nacl)# deny tcp any any eq 136 RG-2126G(config-ext-nacl)# deny tcp any any eq 137 RG-2126G(config-ext-nacl)# deny tcp any any eq 138 RG-2126G(config-ext-nacl)# deny tcp any any eq 139 RG-2126G(config-ext-nacl)# deny tcp any any eq 445 RG-2126G(config-ext-nacl)# deny udp any any eq 135 RG-2126G(config-ext-nacl)# deny udp any any eq 136 RG-2126G(config-ext-nacl)# deny udp any any eq netbios-ns RG-2126G(config-ext-nacl)# deny udp any any eq netbios-dgm 可以聯(lián)系我： QQ 784695063 TEL15 RG-2126G(config-ext-nacl)# deny udp any any eq netbios-ss RG-2126G(config-ext-nacl)# deny udp any any eq 445 RG-2126G(config-ext-nacl)# permit ip any any RG-2126G(config-ext-nacl)#exi RG-2126G(config)#inter range fa 0/1-24 RG-2126G(config-if-range)#ip access-group deny_worms in 說明： B,C區(qū) RG-2126G， RG-S2150 配置同上。 4.4.2 匯聚層安全配置 Switch(config)# ip access-list extended deny_ftp Switch(config-ext-nacl)# deny tcp 55 55 eq ftp Switch(config-ext-nacl)# deny tcp 55 55 eq ftp-data Switch(config-ext-nacl)# permit ip any any Switch(config-ext-nacl)#end10 4.5 防火墻安全策略 1登錄防火墻。 2選擇“策略”“服務(wù)”選項。 可以聯(lián)系我： QQ 784695063 TEL16 圖 4-7 防火墻管理策略圖 圖 4-8 服務(wù)選項 3 在服務(wù) 中添加服務(wù)名稱，并在服務(wù)名稱中指定相關(guān)協(xié)議與接口。 可以聯(lián)系我： QQ 784695063 TEL17 圖 4-9 添加指定協(xié)議、接口 4添加多個規(guī)則，并且加入到服務(wù)組中 (服務(wù)組名稱可在“服務(wù)組”選項中設(shè)定 )。 圖 4-10 添加多個規(guī)則 5規(guī)則添加完畢。 可以聯(lián)系我： QQ 784695063 TEL18 圖 4-11 添加完畢 6在“策略”“規(guī)則”選項中將服務(wù)與源地址及目標(biāo)地址關(guān)聯(lián)。 圖 4-12 關(guān)聯(lián)服務(wù)與地址 圖 4-13 關(guān)聯(lián)服務(wù)與地址 7將訪問規(guī)則中定義的接口的所 有源到所有目的的動作指定為拒絕，可在允許、拒絕、拒絕（ ICMP）拒絕（重設(shè)）這 4 個選項中，點選第二項 (拒絕 )。 可以聯(lián)系我： QQ 784695063 TEL19 圖 4-14 指定動作 4.6 路由器的 NAT 配置 Red-Giant(config)#access-list 1 permit 55 Red-Giant (config)#access-list 1 permit 55 Red-Giant (config)#int fa 1/0 Red-Giant (config-if)#ip nat inside Red