中小型企業(yè)網絡的組建畢業(yè)論文

1、摘 要本文的研究對象為中小型企業(yè)網絡，通過各種網絡技術實現企業(yè)內部的通信，資源共享，限制投資部、財務部等部門vlan之間的通信，以及企業(yè)內部的用戶與企業(yè)網絡外的其他用戶的通信，以及遠程用戶訪問本企業(yè)網絡內部的某些資源。研究中小型企業(yè)網絡的方法，主要通過cisco packet tracer5.3模擬軟件和實驗室具體操作相結合的方式來完成。運用各種網絡技術實現我們需要的功能，例如運用acl（訪問控制列表）技術限制或者允許某些vlan之間的互訪，adsl技術實現遠程訪問等等。通過一系列的模擬和具體的實際操作基本實現中小型企業(yè)網絡的功能需求。例如企業(yè)內部限制了投資部和財務部之間的互訪，而部門內部可以

2、互訪，同時它們還可以訪問資料庫。筆者主要在企業(yè)網絡中負責路由設計部分，通過為網絡配置路由技術實現網絡的某些功能，例如配置ospf技術，使網絡的收斂速度更加快速，同時可以在運行ospf的路由器上，配置密文認證的方式，增加網絡的安全性。ospf它是一個開放式的路由協(xié)議適用多家廠家的路由器，具有更好的兼容性。中小型企業(yè)網絡的組建在保證企業(yè)網絡需求基礎上，為企業(yè)提供高性價比的網絡，是本小組致力于此次研究的主要目的，同時本小組希望通過這次的研究，能為今后中小企業(yè)網絡的組建提供一個可參考的模型。關鍵詞：企業(yè)網絡；網絡技術；綜合布線；網絡安全；ospf技術abstractthe object of this

3、 paper for small and medium-sized enterprise networks, internal communication, resource sharing through a variety of network technologies to restrict the communications of other users in the communication between certain vlan, as well as internal users and corporate network and remote users to acces

4、s internal resources of the enterprise network.we study the network of small and medium enterprises, primarily through a combination of the specific operation of the cisco packet tracer5.3 simulation software and laboratory. the use of a variety of network technology to achieve the functionality we

5、need, for example, use acls (access control list) technology to restrict or allow the exchange of visits between certain vlan, adsl technology to achieve remote access.the basic realization of the functional requirements of small and medium-sized enterprise networks through a series of simulations a

6、nd specific practical. such as internal limiting the exchange of visits between the ministry of investment and the ministry of finance, within the department can exchange visits, they can also access the database.i responsible for routing the design section in enterprise networks, configured for the

7、 network routing technology, network features, such as configure ospf, the network convergence speed faster, and can run ospf on the router, configure the ciphertext authenticationway to increase network security. ospf it is an open routing protocol applicable to a number of manufacturers of routers

8、, with better compatibility. the formation of our small and medium-sized enterprise networks, ensure that the enterprise network needs on the basis of cost-effective network to provide enterprises with, we are committed to the main purpose of this study, the same time, we hope that through this rese

9、arch for future sme networks set up to provide a reference modelkeywords: enterprise networks;network technology;integreted wiring;network security設計說明畢業(yè)設計的研究課題中小型企業(yè)網絡的組建，是本小組從指導老師杜勇老師給定的若干個課題中選擇的。設計要求完成的基本功能為：在給定的模型中，完成模型中的全部功能。使模型中所有主機能夠連internet。在服務器提供靜態(tài)地址轉換，即對外屏蔽服務器地址。通過dsl實現遠程訪問，自動獲取ip地址，并且實現te

10、lnet遠程管理。對外部路由器使用靜態(tài)或者默認路由協(xié)議，內部路由用動態(tài)路由協(xié)議rip或ospf。投資部、財務部、人事部等不能互訪，但他們能同時訪問辦公室和公共資料庫。在路由器之間采用密文認證。相同的vlan內部可以互訪。為無線用戶提供無線訪問。在網絡安全模塊中，應具備常見的訪問安全、操作系統(tǒng)安全、設備安全。設計的總體目標一是使系統(tǒng)互通互連，最大限度地實現信息資源共享；二是電子信息的傳遞取代紙面文件、材料的傳送，逐漸實現“無紙辦公”，改變傳統(tǒng)的工作方式，進一步提高工作效率；三是利用各種業(yè)務信息的綜合分析，為各級領導提供決策支持，更好地組織生產和經營。設計的原則是使企業(yè)網絡具有高性能、可擴展性、安

11、全性、標準開放性、可管理性及易維護性、對業(yè)務流量模型變化的適應性。企業(yè)網絡中設計的技術主要有4大類：廣域網接入技術、路由技術、數據流控技術、和其他實用技術。廣域網接入技術主要運用了動態(tài)nat（地址轉換技術），adsl技術（使用路由器通過pppoe的方式接入adsl線路）。路由技術主要為rip（路由信息協(xié)議）和ospf（開放式最短路徑優(yōu)先）協(xié)議的運用。數據流控技術應用訪問控制列表（acl）控制數據流。其他實用技術包括vlan與vlan間路由技術的應用，干道技術，vtp域，以及路由熱備份技術（hsrp）。關鍵詞：企業(yè)網絡；資源共享；高性能；廣域網接入；路由技術目 錄1 引言11.1 論文背景11.

12、2研究的意義和目的12 可行性分析32.1 中小型企業(yè)網絡組建的可行性分析32.2 中小型企業(yè)網絡組建的需求及分布32.3 中小型企業(yè)網絡建設的目標32.4 決定可行性的主要因素32.5 小組成員的分工42.6 企業(yè)網絡組建設備要求53 需求分析63.1 中小型企業(yè)網絡的發(fā)展63.2 中小型企業(yè)網絡發(fā)展的現狀63.3需求分析的方式63.4設計要求64 方案設計74.1 設計目標與原則74.1.1 網絡設計的總體目標74.1.2 網絡設計的原則74.1.3 網絡體系結構設計84.1.4 網絡拓撲結構設計94.1.5 網絡安全設計95 網絡技術115.1 nat技術115.1.1 nat技術產生的

13、原因115.1.2 nat的優(yōu)缺點125.1.3 企業(yè)網絡組建中nat技術的應用125.2 adsl接入配置135.2.1 xdsl技術的基礎知識135.2.2 adsl技術概述145.2.3 企業(yè)網絡組建中adsl技術的應用155.3 rip路由協(xié)議165.3.1 rip路由協(xié)議的工作原理165.3.2 rip的特性、優(yōu)缺點及適用的網絡類型175.3.3 ripv2路由協(xié)議的優(yōu)勢175.4 ospf路由協(xié)議185.4.1 ospf路由協(xié)議的原理概述185.4.2 ospf路由協(xié)議的最短路徑優(yōu)先算法185.4.3 企業(yè)網絡組建中ospf的應用195.4.4 應用密文鄰居驗證提供ospf路由網絡

14、安全性205.4.5 密文鄰居驗證在組網中的應用215.5 應用訪問控制列表控制數據流225.5.1 訪問控制列表的作用225.5.2 訪問控制列表的工作流程225.5.3 網絡設計中訪問控制列表的應用235.6 vlan技術245.6.1 vlan的定義245.6.2 vlan的優(yōu)點245.7 干道245.7.1 干道技術的用途245.7.2 干道技術工作過程（trunk）245.7.3 企業(yè)網絡組建中干道技術的應用265.8 路由熱備份技術275.9 虛擬專用網（virtual private netword，vpn）295.9.1 vpn技術概述295.9.2 vpn組網優(yōu)勢295.9.

15、3 配置vpn網絡306 設備選型326.1 網絡傳輸介質326.2 交換機326.3 路由器326.4 服務器336.5 網絡操作系統(tǒng)337 綜合布線347.1 綜合布線簡述347.2 綜合布線的特點347.3 綜合布線的優(yōu)點357.4 綜合布線的組成部分358 網絡安全378.1 網絡安全概述378.2 網絡安全威脅與攻擊378.3 防御對策379 實驗及系統(tǒng)測試3910 結論42參考文獻43致謝44附錄451 引 言1.1 論文背景自從有了計算機，就有了計算機技術和通信技術的結合。早在1951年，美國麻省理工學院林肯實驗室就開始為美國空軍設計成為sage的半自動化地面防空系統(tǒng)，該系統(tǒng)最終

16、于1963年建成，被認為是計算機和通信技術結合的先驅。這便是早起計算機網絡的發(fā)展。計算機網絡的發(fā)展和形成大致可以分為早期的計算機網絡、現代計算機網絡的發(fā)展、計算機網絡的標準化階段、微型機局域網的發(fā)展時期、國際因特網的發(fā)展時期。隨著計算機網絡技術的不斷發(fā)展和日益普及，計算機網絡的應用已滲透到社會的各個領域，其功能也得到不斷發(fā)展，歸納起來，計算機網絡的功能主要有以下幾個方面，數據通信，資源共享，提高計算機的可靠性和可用性，促進分布式計算與協(xié)同工作。目前局域網技術發(fā)展非常迅速，計算機網絡已經滲透到社會生活的方方面面，成為現代信息社會中人與人之間傳遞信息的一個重要工具。企業(yè)建設局域網可以實現企業(yè)內部資

17、源共享，降低企業(yè)的經營成本，提高企業(yè)的運作效率。建立企業(yè)局域網，可實現企業(yè)內部的文件與資源共享，可以加速內部信息傳播速度，實現硬件設備如打印機共享，可以使用企業(yè)的硬件設備獲得更加充分的利用，有助于降低企業(yè)經營成本。近年來隨著企業(yè)信息化建設的深入，企業(yè)的運作越來越融入到計算機網絡中，企業(yè)的溝通、應用、財務、決策和會議等數據流都在企業(yè)網絡上傳輸，構建一個“安全可靠、性能卓越、管理方便”高品質企業(yè)網絡，已成為企業(yè)信息化建設成功的關鍵基石。本文中著重研究的是中小型企業(yè)網絡的組建，即主要為中小型辦公局域網的組建。在組建該局域網時，小組將嚴格按照網絡建設的流程進行操作。該中小型企業(yè)局域網的組建將主要進行下

18、列步驟：需求分析，方案設計，網絡技術與設備選型，綜合布線，設備以及系統(tǒng)的配置，網絡測試，工程驗收等。1.2研究的意義和目的企業(yè)建設局域網可以實現企業(yè)內部資源共享，降低企業(yè)的經營成本，提高企業(yè)的運作效率。當前的網絡已經發(fā)展成為“以應用為中心”的信息基礎平臺，網絡管理能力的要求已經上升到了業(yè)務層次，傳統(tǒng)的網絡設備的智能已經不能有效支持網絡管理需求的發(fā)展?，F代的中型企業(yè)網絡迫切需要網絡設備具備支撐“以應用為中心”的智能網絡運營維護的能力，并能夠有一套智能化管理的軟件。企業(yè)網絡研究的主要目的有以下幾點：資源共享。包括硬件資源共享、軟件資源共享及數據庫共享。在企業(yè)局域網可以共享昂貴的硬件資源，如大型外部

19、存儲器、繪圖儀等。用戶可共享網絡上的系統(tǒng)軟件和應用軟件，避免重復投資和重復勞動。網絡技術使分散的數據能被迅速集中、分析和處理，分散在網內的計算機用戶可以共享網內的大型數據庫而不必重復設計這些數據庫。提供信息的訪問。企業(yè)網絡的目的是連接所有公司的計算機資源，包括服務器，打印機，掃描儀，傳真機，個人電腦和筆記本電腦。此外，很多現代化網絡，包括網絡監(jiān)控設備和安全攝像機。所有這些設備的目的是給員工訪問他們所需信息。網絡安全。獲取信息是至關重要的業(yè)務，但必須控制訪問。信息安全訪問安全的三大支柱是保密性，完整性和可用性通?？s寫為cia。這些必須定義一個精心設計的網絡中。在企業(yè)網絡的安全挑戰(zhàn)是要確保信息安全

20、的同時，在同一時間，它是沒有授權的用戶訪問信息的困難。其他通信設備的連接。語音和視頻目前是企業(yè)網絡的一部分，企業(yè)網絡的需要，以解決電話用戶以及數據用戶的需求。企業(yè)網絡能夠傳輸語音和視頻互動溝通的實施交互。語音和視頻流量比現代企業(yè)網絡正常數據流量的要求要低得多。所以企業(yè)網絡必須提供良好的qos，是企業(yè)網絡組成的重要部分。地理網絡的分布。從工作地或家庭提供的訪問。一個企業(yè)員工能夠任何時候無論局域網，城域網，還是廣域網都能連接在世界各地的網絡。企業(yè)網絡的目的是提供根據需要的信息的訪問，無論身在何處。2 可行性分析2.1 中小型企業(yè)網絡組建的可行性分析 通過近年來分析各個企業(yè)的發(fā)展歷程不難看出，除了信

21、息產業(yè)以外，部分企業(yè)尤其是外貿企業(yè)。服務型企業(yè)的業(yè)務流程逐漸轉移至網絡，其他企業(yè)對更新網絡的需求也變得越來越迫切。很多中小企業(yè)具備網絡擴展所需的基礎條件；網絡管理人員已有一定的專業(yè)基礎知識，經培訓可以應付組建或改造后的網絡條件基礎；組建及維護的難度在于網絡安全方面，可以針對不同的需求做出是實際的解決方案。2.2 中小型企業(yè)網絡組建的需求及分布本文研究的中小型企業(yè)網絡的組建主要將整個網絡劃分為投資部、財政部、人事部、信息部、后勤部、資料庫等6個子網，其中投資部、財政部、人事部 、信息部等部門不能互訪，但是它們能訪問后勤部門與資料庫，這些部門通過線纜連接。相同子網可以互訪，同時為無線用戶提供訪問。

22、在網絡安全模塊中，具備常見的訪問安全、操作系統(tǒng)安全、設備安全等。2.3 中小型企業(yè)網絡建設的目標總體目標是利用先進的計算機技術和網絡通信技術，建設高質量、高效率的統(tǒng)一的通信網絡。具體的目標：一是使系統(tǒng)互通互連，最大限度地實現信息資源共享；二是電子信息的傳遞取代紙面文件、材料的傳送，逐漸實現“無紙辦公”，改變傳統(tǒng)的工作方式，進一步提高工作效率；三是利用各種業(yè)務信息的綜合分析，為各級領導提供決策支持，更好地組織生產和經營。2.4 決定可行性的主要因素成本/效益分析結果：對于中小型企業(yè)來說組建公司的局域網，各個部門功能的實現。短期內的投入可能會很大，一些小型企業(yè)可以依據具體情況實施。從長期利益來看，

23、公司通過對網絡資源的公用來改善企業(yè)內部和企業(yè)客戶之間的信息交流方式，滿足業(yè)務部門對信息存儲、檢索、處理和共享需求，使企業(yè)能夠迅速掌握瞬息萬變的市場行情，使企業(yè)信息更有效地發(fā)揮效力；提高辦公自動化水平，提高工作效率，降低管理成本，提高企業(yè)在市場上的競爭力等，所以企業(yè)組建網絡對于一個企業(yè)的長期發(fā)展，具有非常重要的意義。技術可行性分析：通過現有的技術，相關人員通過對網絡組建的各個環(huán)節(jié)的分析，包括設備的采買，配置，綜合布線，各種網絡技術的選擇等。在一定專業(yè)人員的組織下基本能完成所有的技術問題。網絡技術與設備選型工作是緊密聯系的，同時也直接決定了網絡組建與實施的成功與否。本次可行性分析是按照普通企業(yè)網絡

24、工作的規(guī)范步驟進行的，即按復查項目目標和規(guī)模，研究目前正使用的網絡，導出新網絡的高層邏輯模型，重新定義問題這一循環(huán)反復的過程。2.5 小組成員的分工表1 設備要求設備名稱設備型號設備數量路由器cisco 2811c2三層交換機cisco catalyst 35608二層交換機cisco ws-c2960-24tc-l7服務器ibm system x3650 m31家庭無線路由器tp-link tl-wr841n1pc機18直通線若干交叉線若干首先本小組將完成統(tǒng)一分配的任務，在給定的模型中，完成模型中的全部功能，使得模型中所有主機能夠連接internet。在服務器端提供靜態(tài)地址轉換，即對外屏蔽服

25、務器地址。通過dsl實現遠程訪問，自動獲取ip地址，并實現telnet遠程管理。路由模塊：主要由陳孟亞完成，并且完成對外路由必須使用靜態(tài)或者默認路由，內部路由采用動態(tài)路由協(xié)議rip或ospf協(xié)議，在各路由之間采用密文認證。交換模塊：該部分主要由盧燦明完成，同時完成對劃分的vlan投資部、財務部、人事部、等不能互訪，但他們能同時訪問辦公室和公共資料庫。網絡安全模塊：此部分由黃宇杰完成，并完成為無線用戶提供無線訪問，在此模塊中，應具備常見的訪問安全、操作系統(tǒng)安全、設備安全。2.6 企業(yè)網絡組建設備要求表1是實現企業(yè)網絡組建所需設備要求，畢業(yè)設計可能無法讓所有條件實現，學校實驗室也無法滿足以上設備要

26、求，所以小組將表格的設備要求是假設在現實情況下的要求，實驗的時候本小組會列出具體的設備情況。3 需求分析3.1 中小型企業(yè)網絡的發(fā)展本文主要針對的是中小型企業(yè)網絡組建。中小型企業(yè)對網絡的需求日益增加，但隨之而來是面臨一些難題：投入的資金、設計方案、網管人員的日常維護、網絡安全等等方面；如何能滿足中小企業(yè)日益網絡的需求，同時又盡量減輕由此帶來的經濟負擔，是一個值得探討的問題。3.2 中小型企業(yè)網絡發(fā)展的現狀現今我國中小型企業(yè)網絡的發(fā)展遇到的問題主要集中在網絡建成之后的維護上，特別是網絡安全漏洞和系統(tǒng)的漏洞，管理信息的傳遞問題上。公關的目標不明確，缺乏系統(tǒng)的操作。網絡公共關系具有一定的盲目性，建筑

27、企業(yè)對公共關系活動的目標不明確，往往是顧此失彼，目前也沒有形成系統(tǒng)的操作體系。這就使得建筑企業(yè)難以組織有效的網絡公關活動，因此宣傳的效果不明顯。3.3需求分析的方式需求分析共工作主要定位在“三個階段”：第一階段“訪談式”。第二階段“誘導式”。第三階段“確認式”。這個三個階段是需求分析中不可忽視的一個重要部分，對用戶和承建方都同樣提供了項目成功的保障。3.4設計要求在給定的模型中，完成模型中的全部功能。使模型中所有主機能夠連接internet。在服務器端提供動態(tài)地址轉換，即對外屏蔽服務器地址。通過dsl實現遠程訪問，自動獲取ip地址，并且實現telnet遠程管理。對外部路由器使用靜態(tài)或者默認路由

28、協(xié)議內部路由用動態(tài)路由協(xié)議rip或ospf。投資部、財務部、人事部等不能互訪，但他們能同時訪問辦公室和公共資料庫。在路由器之間采用密文認證。相同的vlan內部可以互訪。為無線用戶提供無線訪問。在網絡安全模塊中，應具備常見的訪問安全、操作系統(tǒng)安全。4 方案設計4.1 設計目標與原則4.1.1 網絡設計的總體目標企業(yè)網絡的設計目的是如前文所說一是使系統(tǒng)互通互連，最大限度地實現信息資源共享；二是電子信息的傳遞取代紙面文件、材料的傳送，逐漸實現“無紙辦公”，改變傳統(tǒng)的工作方式，進一步提高工作效率；三是利用各種業(yè)務信息的綜合分析，為各級領導提供決策支持，更好地組織生產和經營。4.1.2 網絡設計的原則高

29、性能：隨著公司業(yè)務的增加和計算機技術的發(fā)展，接入局域網的用戶可能會越來越多，對于終端和工作站的處理能力要求也會隨之增強，以及圖形圖像和多媒體的應用越來越廣泛，要求每個職員實際可用帶寬較高才能使網絡通信流暢， 網絡將成為提供多種業(yè)務的統(tǒng)一網絡平臺，并應該為不同的業(yè)務提供服務質量保證（qos）。因此，設計方案時充分了考慮將來公司業(yè)務量的增大， 保證當前及今后一定時期內網絡的高效與通暢。 可擴展性：網絡要能滿足公司當前需求以及將來公司業(yè)務需求的增長、新技術發(fā)展等變化。因此在保護原有的投資同時，要保證用戶數的增加，以及用戶隨時隨地增加設備、 增加網絡功能等。 可靠性和安全性：網絡的可靠性是網絡設計中需

30、要考慮的一個主要原則。作為信息系統(tǒng)應用 的依賴和基礎，要求系統(tǒng)連續(xù)安全可靠地運行，所以在系統(tǒng)結構設計中選用高可靠性網絡產品，合理設計網絡架構，盡可能利用成熟技術，網絡關鍵部分要制定可靠的網絡備份策略，對于重要的網絡節(jié)點應采用先進可靠的容錯技術，以保證網絡系統(tǒng)具有故障自愈的能力，最大限度地支持專網內各業(yè)務系統(tǒng)的正常運行。 安全性：通過vpn網絡、內外網隔離、加密、防火墻等技術。標準開放性：支持國際上通用標準的網絡協(xié)議、國際標準的大型的動態(tài)路由協(xié)議等開放協(xié)議，有利于保證與其它網絡之間平滑連接互通，以及將來網絡的擴展。 圖1 網絡分層結構可管理性及易維護性：對網絡實行集中監(jiān)測、分權管理，并統(tǒng)一分配帶

31、寬資源。選用先進的網絡管理平臺，具有對設備、端口等的管理、流量統(tǒng)計分析，及可提供故障自動報警。對業(yè)務流量模型變化的適應性：未來網絡中的業(yè)務流量模型將會業(yè)務的發(fā)展而不斷發(fā)生變化。因此在進行網絡設計時應該考慮網絡結構對未來業(yè)務流量模型的變化的適應性，可以根據流量的變化方便的進行調整。 網絡管理的復雜程度 ：鑒于ip網絡越來越大，未來的網絡管理的工作量也會變的越來越大和復雜。因此在網絡設計應該考慮網絡管理的因素，使得故障定位和流量調整的難度和復雜性降低。 4.1.3 網絡體系結構設計網絡體系結構是關于完整的計算機通信網絡的一幅設計藍圖，是設計、構造和管理通信網絡的構架和技術基礎。組建的企業(yè)網絡將采用

32、分層結構模式。分層格局是當今網絡設計的基本原則，將通信任務劃分為若干部分，每部分完成各自特殊的子任務，并通過明確的途徑與其他部分相互作用。而且分層結構中通信各部分的設計和測試相對簡單，因為各部分不涉及整個體系結構。網絡體系結構的優(yōu)劣將直接影響總線、接口和網絡的性能，而網絡體系結構的關鍵要素恰恰就是協(xié)議和拓撲。圖1是組網過程中的分層網絡體系結構的設計。圖2 網絡拓撲結構4.1.4 網絡拓撲結構設計網絡拓撲結構設計是從空間角度來討論網絡體系結構的連接形式，在網絡中，各個節(jié)點相互連接的方法和形式稱為網絡拓撲。每一種網絡組成的結構稱為網絡拓撲結構。網絡拓撲圖給出網絡中各個設備相互間的連接，它的結構主要

33、有星型結構、總線型結構、樹形結構、網狀結構和分布式結構。根據圖1可知組網采用分層結構模式，各個網絡層有其明確的定義和功能。所以企業(yè)網絡的組建采用的拓撲結構為樹形結構，網絡中除最低層節(jié)點及其連線外，任一節(jié)點或連線的故障均影響其所在支路網絡的正常工作。所以在某些網絡中采用冗余網絡結構，如上圖1所示在核心交換機1和核心交換機2之間設計了冗余網絡，即使其中一個設備故障也不會使整個網絡癱瘓。4.1.5 網絡安全設計在計算機科學中，安全就是防止未授權的使用者訪問信息和未授權而試圖破壞更改信息。完整敘述為安全就是一個系統(tǒng)保護信息和系統(tǒng)資源相應的機密性和完整性的能力。在實際應用中黑客瞄準網絡存在的安全漏洞，他

34、們所制造的各類新型的風險將會不斷產生，這些風險有很多種因素引起，與網絡體系結構和系統(tǒng)的應用等因素密切相關。下面從物理安全、網絡安全、系統(tǒng)安全和應用安全進行分類描述。物理安全：網絡物理安全是整個網絡安全的前提。其主要影響物理安全的有地震、水災或火災等環(huán)境造成整個系統(tǒng)的毀滅。電源故障造成設備斷電以至操作系統(tǒng)引導失敗或數據庫信息丟失。電磁輻射可能造成數據信息被竊取或偷閱。網絡安全：內部網絡與外部網絡如果沒有采取一定的安全防護措施，內部網絡容易遭到來自外網的攻擊。包括來自internet上的風險和下級單位的風險。內部網不同部門或用戶之間如果沒有采用相應的訪問控制，也可能造成信息泄露或者非法攻擊。應用安

35、全：應用系統(tǒng)的安全設計很多方面。應用系統(tǒng)是動態(tài)的、不斷變化的，應用的安全性也是動態(tài)的。比如新增的一個新的應用程序，肯定會出現新的安全漏洞，必須在安全策略上做一些調整，不斷完善。5 網絡技術網絡技術是通信技術與計算機技術相結合的產物。計算機網絡又是按照網絡協(xié)議，將分散、獨立的計算機設備相互連接的集合。計算機網絡的劃分可以按照拓撲結構、網絡范圍和設備互聯的距離等不同的標準進行種類劃分。一般有局域網（lan）、城域網（man）、廣域網（wan）。在局域網中我們常見的有以太網、快速以太網fddi、atm網絡技術和千兆位以太網技術等。5.1 nat技術5.1.1 nat技術產生的原因全球網絡上使用的ip

36、地址，被分為公有地址和私有地址兩部分、其中公有地址是在因特網上可用的ip地址，而私有地址只能在某個企業(yè)或機構內部網絡中使用，私有地址是不能夠在因特網上使用地址。如果在一個連接因特網的網絡節(jié)點上使用一個私有ip地址，則該節(jié)點將不能和因特網的任何節(jié)點通信，因為因特網上的其他節(jié)點認為該節(jié)點的地址是非法的。ipv4地址標準中定義的私有地址包括：10.0.0.010.255.255.255172.16.0.0172.31.255.255192.168.0.0192.168.255.255將ip地址劃分為公有地址和私有地址的原因，是因為因特網的爆炸式增長使得ip地址資源極度緊缺。而私有地址只負責連接企業(yè)內

37、部網絡，這些地址不能在因特網上使用。這樣，私有地址就可以在不同的企業(yè)或機構的內部網絡被重復使用。從而在一定程度上緩解了ip地址耗盡的危機。為解決內部網絡使用私有地址的主機和因特網上使用公有地址的主機的通信問題，必須進行網絡地址的轉換（nat），即在通信時把私有地址轉換成因特網上合法的公有地址。nat技術的產生，主要是因為因特網地址資源緊缺，nat技術保證了企業(yè)或機構內部網絡使用私有地址的同時還能夠和因特網上的主機通信。5.1.2 nat的優(yōu)缺點nat技術是一種在網絡中被廣泛應用的技術，幾乎所有的內部網絡和因特網接口處都會有nat技術在使用，因此，了解nat技術的優(yōu)缺點，對于用好nat技術使至關

38、重要的一個前提。nat的優(yōu)點：為節(jié)省公有地址提供了技術支持。在外部用戶中隱藏了內部網絡地址。nat的缺點：nat的操作比較消耗設備資源，可能增加網絡延時。不能ping或者trace應用了nat技術的路由器里面的網段。某些應用可能無法穿越過nat。5.1.3 企業(yè)網絡組建中nat技術的應用本次企業(yè)網絡的組建中，在邊界路由器上運用nat技術，如圖3由于中小企pc40-100臺，而為了節(jié)省成本公司只申請了一個合法的公共ip，所以在此次組網中采用復用nat技術。在邊界路由器上配置內外接口，進行地址轉換。 配置方式：圖3 企業(yè)網絡中復用natrouter(config)#int f0/0router(c

39、onfig-if)#ip address 190.10.10.1 255.255.255.0router(config-if)#ip nat insiderouter(config-if)#int s0/2/0router(config-if)#ip address 202.10.10.1 255.255.255.0router(config-if)#ip nat outsiderouter(config-if)#access-list 1 permit 190.10.10.0 0.0.0.255router(config)#ip nat pool 526 202.10.10.3 202.10

40、.10.3 netmask 255.255.255.0router(config)#ip nat inside source list 1 pool 526 overload5.2 adsl接入配置adsl是在我國近年來發(fā)展非常迅速的一種因特網接入技術，它為企業(yè)提供了廉價而實用的因特網接入解決方案、adsl技術使xdsl技術中的一種，面前作為向企業(yè)提供因特網接入的重要手段。5.2.1 xdsl技術的基礎知識表2 主要的xdsl技術dsl種類最大速率(下行/上行)最大距離（km）特 點vdsl51-55mbps/1.6-2.3mbps13mbps/1.6-2.3mbps0.31.5非?？焖俜菢藴?/p>

41、adsl8mbps/1mbps1.5mbps/640kbps5.5使用銅質電話線idsl144kbps/144kbps5.5使用idsl終端標準sdsl1168kbps/1163kbps3.65非標準g.shdsl192kbps-2.3mbps192kbps-2.3mbps8.52itu標準xdsl是dsl（digital subscribe line）技術的統(tǒng)稱，即數字用戶線路。它是以銅電話線為傳輸介質的點對點傳輸技術。xdsl技術在傳統(tǒng)電話網絡（post）的用戶環(huán)路上支持對稱和非對稱傳輸模式。由于用戶環(huán)路已經被大量鋪設，所以通過應用xdsl技術，可以充分利用現有的銅纜資源，實現高速的因特網

42、接入，從而解決了經常發(fā)生在isp和最終用戶間的傳輸瓶頸。這是一種建設成本低而見效快的接入技術，在快速城域網普及之前xdsl是一種很好的過渡技術。xdsl技術包括有多種傳輸技術，其中主要的技術有vdsl、adsl、idsl、sdsl、hdsl等它們的參數表2所示。5.2.2 adsl技術概述adsl技術能夠利用現有電話網絡的銅質電話線進行信號傳輸，其最高速率：下行信號（從局端到用戶）為8mbps，上行信號（從用戶到局端）為1mbps?，F有電話網的用戶數量十分巨大，而adsl能對現有的銅質電話線進行充分利用，可以有效地利用原有資源。但是adsl技術只能使用銅質電話線路，使用鋁質線路會對信號傳輸造成

43、比較大的影響。而且，adsl技術只能把信號傳遞到5km左右的距離。圖4 使用adsl modem連接cpe的連接方式目前的電話線路主要有非屏蔽雙絞線組成，在非屏蔽雙絞線上傳輸的信號衰減主要與傳輸距離和信號頻率有關。如果信號傳輸超過一定距離，由于信號的衰減，其傳輸質量將難以保證。此外，線路上的橋接抽頭也將對增加對信號的衰減。因此線路衰減是影響adsl性能的主要因素。adsl通過不對稱傳輸，利用頻分復用技術使上、下行信道分開，以減少串音的影響，從而實現信號的高速傳送。圖5 直接連接cpe的連接方式adsl的傳輸方式有兩種：pppoe）和pppoa adsl的數據傳輸使用的是ppp幀，這和大多數撥號

44、接入方式一樣。但是，由于用戶端所連接的設備不同，ppp幀需要被封裝在不同的幀格式中傳輸，所有有了pppoe和pppoa兩種傳輸方式。如圖4所示，可以看到，當使用adsl modem連接cpe時，由于adsl modem和cpe之間是使用以太線路相連接的，所以ppp數據幀必須封裝到以太幀中穿過以太線路。這就是pppoe。pppoe適合家庭或中小企業(yè)使用。如圖5所示，我們可以看到，isp的adsl線路沒有通過adsl modem，而是直接連接到cpe（這時一般是路由器）的atm模塊上，ppp數據幀需要封裝到atm幀中傳輸，這就是pppoa。pppoa一般適合于大中型企業(yè)或機關使用。5.2.3 企業(yè)

45、網絡組建中adsl技術的應用前面已經說明，pppoe方式的adsl連接方法是從adsl modem直接連接以太雙絞線電纜到路由器的以太接口上，而pppoa方式的adsl連接方法是把isp，直接連到路由器的atm模塊上，不管是路由器的以太接口或是atm模塊，都不是能夠進行撥號的接口（能撥號的有bri接口、直接連接電話線的接口等），以太接口和atm接口不能完成adsl撥號工作，cisco路由器使用虛擬接口的方式解決這一問題。圖6 adsl配置首先需要在路由器上虛擬一個dialer接口，對于路由器來說，它視虛擬接口如同實際接口一樣，在虛擬的dialer接口上可以配置adsl的撥號，然后將實際連接ad

46、sl線路的物理接口和這個虛擬接口綁定，這樣就可以使用cisco路由器完成adsl撥號了。如圖6將在邊界路由器上實現adsl技術，用以實現遠程訪問，自動獲取ip地址，并實現telnet遠程管理。配置過程如下。配置vpdn組：其作用在于聲明路由器使用pppoe的adsl封裝方式。配置連接外網的以太接口：連接外網以太接口的主要配置包括配置ip地址，配置物理接口和撥號接口的綁定關系，這個綁定關系命令格式如下：router(config-if)#pppoe enablerouter(config-if)#pppoe-client dial-pool-number 1配置邏輯撥號接口：在撥號接口上首先是i

47、p地址的配置，這個地址應該是協(xié)商的，由isp分配給客戶，其命令如下：router(config-if)#ip add negotiated然后制定綁定的pool，命令格式如下：router(config-if)#dialer pool number其中number應該和物理接口上綁定的pool號相同，這樣物理接口和邏輯接口綁定到了一起。之后是指定數據傳輸的最大傳輸單元，命令如下：router(config-if)#ip mtu 1492然后封裝ppp，以及配置ppp驗證參數，命令在此處省略，附錄中給出。最后是配置內部網絡接口和配置nat。5.3 rip路由協(xié)議5.3.1 rip路由協(xié)議的工作原

48、理rip（路由協(xié)議）是一種用于路由器之間及主機之間交換路由信息的距離矢量路由協(xié)議。它是基于bellhamm-ford（距離矢量）算法工作的，該算法與1969年被應用于計算機的路由選擇。而我們今天所熟知rip路由協(xié)議，是xerox于1970年開發(fā)出來的。rip路由協(xié)議屬于距離矢量路由協(xié)議，具有原理簡單、應用方便的特性。所以，雖然它不適合大規(guī)模路由網絡應用，但是在小規(guī)模網絡中，應用還是比較普遍。rip路由協(xié)議是使用從源網段所經過的路由器的個數（跳數）來計算度量值的，最大有效跳數是15跳。到達同一個網段跳數越少，路徑的路由就越佳，跳數最少的路徑被記入路由表，成為路由。如圖7所示。pc1與pc2之間有

49、100mbps的以太路徑，但由于它所經過的路由器比10mbps的以太網路徑所經過的多，因此，運行rip路由協(xié)議的路由器還是選擇會選擇10mbps的以太網路徑作為最佳路由。rip路由協(xié)議默認地支持四條路徑作負載均衡，最多使用6條路勁作負載均衡。圖7 rip路由協(xié)議路徑選擇5.3.2 rip的特性、優(yōu)缺點及適用的網絡類型rip路由協(xié)議的特性是簡單易用和收斂時間長。這兩個特性一個是它的優(yōu)點，一個是它的缺點。由于rip路由協(xié)議對度量值的計算方法非常簡單，所以應用rip路由協(xié)議時，配置簡單方便，對網絡工程師來說，學習和應用路由都非常容易。但是rip路由協(xié)議有一個問題，就是由其過于簡單的學習路由的方式，造

50、成路由器不知道網絡全局情況。所以，路由器必須依靠相鄰路由器來獲取網絡的可達信息。為了保證不出現路由信息的錯誤，rip路由協(xié)議使用了最大跳數、水平分割、路由中毒、保持時間，等一系列手段來保證路由信息的正確性，這樣造成了路由信息收斂速度慢的問題。這是由rip路由協(xié)議工作原理決定的，是無法改變的。5.3.3 ripv2路由協(xié)議的優(yōu)勢ripv2路由協(xié)議在很多特性上都與ripv1路由協(xié)議相同，包括同樣是距離矢量路由協(xié)議，同樣使用跳值來計算路由，同樣使用水平分割和180秒的保持時間來防止出現路由環(huán)路。但由于ripv2路由協(xié)議支持在發(fā)送路由表更新的同時，也發(fā)送網段的子網掩碼信息，所以ripv2路由協(xié)議支持v

51、lsm（可變長子網掩碼），運行ripv2路由協(xié)議可以學習到子網的路由。另外，ripv2路由協(xié)議像ospf（開發(fā)式最短路徑優(yōu)先）路由協(xié)議一樣，可以使用明碼或者md5加密的密碼驗證以增加網絡的安全性。ripv2路由協(xié)議并不像ripv1一樣使用廣播發(fā)送路由更新，它使用多點廣播進行路由更新。5.4 ospf路由協(xié)議5.4.1 ospf路由協(xié)議的原理概述開放式最短路徑優(yōu)先（open shortest path first，ospf）路由協(xié)議是一種基于開放式標準的鏈路狀態(tài)路由協(xié)議。ospf路由協(xié)議中的開放式（open）表示該協(xié)議是向公眾開放的非私有協(xié)議。相對距離矢量路由協(xié)議，ospf路由協(xié)議有收斂時間很短

52、、使用范圍大的優(yōu)點。運行ospf路由協(xié)議的路由器，在剛剛開始工作的時候，首先和相鄰路由器建立鄰居關系，形成鄰居表，然后互相交換自己所了解的網絡拓撲。路由器在沒有學習到全部網絡拓撲之前，是不會進行任何的路由操作的，因為這時路由表是空的。路由器學習到全部的網絡拓撲，建立拓撲表之后，它們會使用最短路徑優(yōu)先的算法，從拓撲表中計算出路由來。因為所有運行ospf路由協(xié)議的路由器都維護著相同的拓撲表，路由器可以自己從中計算路由，所以這些路由器之間不必周期性的維護著相同的拓撲。5.4.2 ospf路由協(xié)議的最短路徑優(yōu)先算法最短路徑優(yōu)先（shortest path first）算法是由一位荷蘭的計算機科學家di

53、jkstra與1959年發(fā)現的，所以該算法又稱為dijkstra算法。表3 圖11中各個路由到達鄰居的鏈路開銷路由器a路由器b路由器c路由器d路由器e路由器f路由器gb/5a/5b/1c/5c/2e/2a/2g/2c/1d/5e/1d/1g/2f/2e/2f/2該算法把網絡考慮為一組點到點連接的節(jié)點，每條鏈路有個開銷值，每個節(jié)點有它自己的名字及一個包含物理拓撲的完整鏈路信息的數據庫。如圖8所示的網絡。表3所示描述每臺路由器達到鄰居的鏈路開銷，如圖8和表3所示，可以看到整個網絡拓撲，這就是反映在路由器的拓撲表里的網絡信息。但是這個拓撲還有環(huán)路存在。比如從路由器b到達路由器d就存在環(huán)路，數據包經過

54、路由器a和c都可以到達路由器d。我們需要使用最短路徑優(yōu)先算法從這個拓撲結構中計算出最短路徑。計算出路由的同時，避免出現路由環(huán)路。圖8 運行ospf的網絡環(huán)境5.4.3 企業(yè)網絡組建中ospf的應用圖9 企業(yè)網絡組建中ospf的應用首先，組建的網絡屬于中型企業(yè)網絡，ospf路由協(xié)議是一個開放式的路由協(xié)議，該路由協(xié)議可以被大多數的網絡設備廠商支持。其次，ospf路由協(xié)議的配置和維護也比較簡單，實施方便，維護人員也能夠比較容易掌握其原理。另外ospf路由協(xié)議分區(qū)域的網絡設計，能夠最大限度的限制網絡故障對整個路由網絡的沖擊，其能夠控制網絡故障所影響的范圍，盡量保證網絡的正常運行，所以在網絡中使用osp

55、f路由協(xié)議，并對路由網絡劃分區(qū)域，是比較符合本小組這個網絡組建的要求的。如圖9所示，本小組將在這個網絡中的邊界路由器、外部路由器、核心交換機和三層交換機中實現對ospf協(xié)議的應用。小組在邊界路由器中，小組將ospf進程號定義為10，將網段190.10.10.254劃分到區(qū)域0，網段202.10.10.254劃分區(qū)域1，網段172.19.0.254劃分為區(qū)域2。在外部路由器中，將ospf進程號定義為11，將網段202.10.10.254劃分區(qū)域1。在核心交換機1中，ospf進程號定義為12，將該交換機中的所有網段劃分為區(qū)域0。在核心交換機2中，ospf進程號定義為13，將該交換機中的所有網段劃分

56、為區(qū)域0。三層交換機中，由于總的交換機并不是很多，沒有超過20臺，所以將這部分ospf協(xié)議的區(qū)域劃分都劃分為區(qū)域0，給予不同交換機ospf不同的進程號。5.4.4 應用密文鄰居驗證提供ospf路由網絡安全性ospf采用鄰居驗證功能來屏蔽這一漏洞。通過在同一區(qū)域內的路由器上配置密碼，可以使運行ospf路由協(xié)議的路由器之間進行身份驗證，只有密碼相同的路由器之間才可以建立鄰居關系，而密碼不同的路由器之間不能建立鄰居關系。在hello包頭里面有兩個參數，authentication type和authentication date。authentication type是驗證的類型。ospf路由協(xié)議支持兩種鄰居驗證的類型：明文的鄰居驗證和密文的鄰居驗證。authentication date是驗證的具體數據。當使用文明的鄰居驗證時，這個位置攜帶的是明文密碼；當使用密文的鄰居驗證時，這個位置攜帶的是驗證所使用的key值。同一區(qū)域內的路由器，通過互相交換hello包，可以識別到相鄰路由器所配置的密碼，如果密碼不同，ospf路由協(xié)議的鄰居關系就不能建立。通過鄰居驗證的方式，可以避免虛假的路由信息來欺騙其他的路由器。配置明文驗證：使用下面的命令在路由器連接相鄰路由設備的接口上配置明文密碼命令，在該命令中，password處應該填寫明文密碼。route