多業(yè)務(wù)園區(qū)網(wǎng)出口設(shè)計(jì)方案

精選優(yōu)質(zhì)文檔-----傾情為你奉上/r/n精選優(yōu)質(zhì)文檔-----傾情為你奉上/r/n專心---專注---專業(yè)/r/n專心---專注---專業(yè)/r/n精選優(yōu)質(zhì)文檔-----傾情為你奉上/r/n專心---專注---專業(yè)/r/n西安高新科技職業(yè)學(xué)院/r/n畢業(yè)設(shè)計(jì)（論文）/r/n課題名稱/r/n/r/n年級(jí)/r/n/r/n系別/r/n/r/n專業(yè)/r/n/r/n班級(jí)/r/n/r/n姓名/r/n/r/n學(xué)號(hào)/r/n/r/n指導(dǎo)教師/r/n/r/n

/r/n多業(yè)務(wù)園區(qū)網(wǎng)出口設(shè)計(jì)方案/r/n【/r/n摘要/r/n】/r/n園區(qū)出口網(wǎng)絡(luò)作為局域網(wǎng)與互聯(lián)網(wǎng)聯(lián)系的關(guān)口在整個(gè)園區(qū)網(wǎng)絡(luò)設(shè)計(jì)中占有舉足輕重的地位，而一個(gè)園區(qū)的出口網(wǎng)絡(luò)設(shè)計(jì)的好壞直接關(guān)系到這個(gè)園區(qū)網(wǎng)絡(luò)的性能。本論文將先闡述當(dāng)今網(wǎng)絡(luò)的現(xiàn)在與研究背景，分析當(dāng)今出口網(wǎng)絡(luò)的缺點(diǎn)，然后通過深入的研究出口網(wǎng)絡(luò)所必須的網(wǎng)絡(luò)基礎(chǔ)知識(shí)以及先進(jìn)的網(wǎng)絡(luò)技術(shù)從而進(jìn)行對(duì)園區(qū)出口網(wǎng)絡(luò)進(jìn)行設(shè)計(jì)與實(shí)現(xiàn)。/r/n【/r/n關(guān)鍵詞/r/n】/r/n園區(qū)出口、GLBP、策略路由、NAT、cisco/r/n目錄/r/n/r/n1/r/n./r/n網(wǎng)絡(luò)現(xiàn)狀分析/r/n1.1當(dāng)今網(wǎng)絡(luò)現(xiàn)狀/r/n如今是一個(gè)信息網(wǎng)絡(luò)迅速膨脹的年代，各種校園信息化建設(shè)也逐步深入，教育教學(xué)工作的運(yùn)作越來越離不開計(jì)算機(jī)網(wǎng)絡(luò)，各學(xué)校各單位的溝通、應(yīng)用、財(cái)務(wù)、會(huì)議、教學(xué)等等數(shù)據(jù)都必須基于網(wǎng)絡(luò)進(jìn)行傳輸，構(gòu)建一個(gè)安全可靠、管理/r/n方便/r/n的高端網(wǎng)絡(luò)已經(jīng)成為/r/n如今/r/n校園信息化建設(shè)基礎(chǔ)。隨著學(xué)校院系的不斷擴(kuò)張和發(fā)展，將出現(xiàn)越來越多龐大的院系結(jié)構(gòu)。因此，如今的校園網(wǎng)絡(luò)所承載的數(shù)據(jù)將更加的繁雜。/r/n下圖是當(dāng)今大型校園網(wǎng)普遍的組網(wǎng)模型，使用標(biāo)準(zhǔn)的3層設(shè)計(jì)模型，網(wǎng)絡(luò)中數(shù)據(jù)流量大，同時(shí)包括視頻點(diǎn)播FTP等業(yè)務(wù)，使得網(wǎng)絡(luò)流量更加復(fù)雜，而隨著銳捷、邁普等價(jià)格便宜的網(wǎng)絡(luò)設(shè)備進(jìn)入校園市場(chǎng)，各大高校核心網(wǎng)也開始使用10GE鏈路連接，儼然已經(jīng)進(jìn)入10GE高速度園區(qū)網(wǎng)絡(luò)時(shí)代。/r/n圖1.1當(dāng)今校園網(wǎng)拓?fù)淠Ｐ停ㄤJ捷設(shè)備組網(wǎng)圖）/r/n1.2出口網(wǎng)絡(luò)的現(xiàn)狀/r/n雖然/r/n校園各機(jī)構(gòu)經(jīng)過多年持續(xù)不斷的基礎(chǔ)設(shè)施建設(shè)和應(yīng)用提升，已經(jīng)形成了較為穩(wěn)定的頗有規(guī)模的園區(qū)網(wǎng)架構(gòu)、相對(duì)豐富的園區(qū)網(wǎng)應(yīng)用平臺(tái)。但是，如今是一個(gè)講求信息共享、資源整合的時(shí)代，園區(qū)網(wǎng)出口區(qū)域所存在的問題開始困擾著大家。實(shí)踐中發(fā)現(xiàn)，許多學(xué)校都測(cè)試了多種/r/n出口網(wǎng)絡(luò)結(jié)構(gòu)/r/n，卻未能很好的解決問題，無法取得理想的效果。作為校園網(wǎng)平臺(tái)的“門戶”——出口區(qū)域網(wǎng)，承擔(dān)著各院系各學(xué)校部門/r/n對(duì)外/r/n交流的窗口的重要作用，而如今園區(qū)出口網(wǎng)/r/n卻/r/n長(zhǎng)期處于一種“亞健康”狀態(tài)/r/n，簡(jiǎn)易的出口模型網(wǎng)絡(luò)在許多大型園區(qū)網(wǎng)中存在，這樣的園區(qū)出口網(wǎng)將成為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)聯(lián)系的瓶頸。/r/n常見的出口模型有如下幾種，他們都存在諸如單點(diǎn)故障、NAT轉(zhuǎn)換效率低、安全性低的缺點(diǎn)。/r/n單點(diǎn)故障：一條鏈路連接到運(yùn)營商，當(dāng)這條鏈路出現(xiàn)問題，內(nèi)網(wǎng)用戶將無法訪問外網(wǎng)。/r/nNAT轉(zhuǎn)換率低：中低端的路由在進(jìn)行NAT地址轉(zhuǎn)換時(shí)將消耗大量的系統(tǒng)資源，而出口路由器并不僅僅進(jìn)行NAT地址轉(zhuǎn)換的工作還要進(jìn)行路由轉(zhuǎn)發(fā)等工作，而沒有NAT轉(zhuǎn)換卡的中低端路由器將成為內(nèi)網(wǎng)訪問外網(wǎng)的一個(gè)瓶頸。/r/n低安全性出口：在沒有安裝防火墻的出口網(wǎng)絡(luò)中，如果單一的出口路由被攻破后，內(nèi)網(wǎng)沒有其他的保護(hù)措施，內(nèi)網(wǎng)的敏感數(shù)據(jù)將毫無安全可言。/r/n圖1.2當(dāng)今園區(qū)網(wǎng)中普遍存在的出口拓?fù)?r/n本方案將運(yùn)用如今流行的成熟的網(wǎng)絡(luò)技術(shù)改造大型園區(qū)網(wǎng)的出口網(wǎng)絡(luò)，解決以上出現(xiàn)的這些問題，下一章我們將介紹本方案所運(yùn)用到的網(wǎng)絡(luò)技術(shù)。/r/n2/r/n./r/n主要應(yīng)用的技術(shù)/r/n2.1NAT/r/nNAT/r/n--/r/n網(wǎng)絡(luò)地址轉(zhuǎn)換，是通過將專用網(wǎng)絡(luò)地址（如校園內(nèi)部網(wǎng)地址）轉(zhuǎn)換為公用地址（如互聯(lián)網(wǎng)地址），從而對(duì)外隱藏了內(nèi)部網(wǎng)絡(luò)的IP地址。這樣，能夠在校園網(wǎng)內(nèi)部使用非注冊(cè)/r/n（私網(wǎng)）/r/n的IP地址，并將它們轉(zhuǎn)換為很小一部分外部注冊(cè)/r/n(公網(wǎng))/r/n的IP地址，從而達(dá)到減少IP地址注冊(cè)的費(fèi)用以及節(jié)省了目前越來越缺乏的/r/nIP/r/n地址空間（即IPv4地址空間）。同時(shí)，也/r/n可以達(dá)到/r/n隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)/r/n及地址/r/n的目的，從而降低了/r/n從外網(wǎng)針對(duì)/r/n內(nèi)部網(wǎng)絡(luò)/r/n攻/r/n擊的風(fēng)險(xiǎn)。/r/n2.1.1/r/n/r/n靜態(tài)NAT/r/n靜態(tài)NAT是將內(nèi)部網(wǎng)絡(luò)中的某些主機(jī)地址映射成外部網(wǎng)絡(luò)中的某個(gè)合法的公網(wǎng)地址/r/n。/r/n地址轉(zhuǎn)換的優(yōu)點(diǎn)在于，在為內(nèi)部主機(jī)提供安全保護(hù)隱藏內(nèi)部IP的前提下，實(shí)現(xiàn)了內(nèi)部網(wǎng)絡(luò)的主機(jī)通過這項(xiàng)功能訪問外部網(wǎng)絡(luò)的資源。但它也有一些缺點(diǎn)：/r/n由于需要對(duì)IP包進(jìn)行修改，涉及到需要加密的數(shù)據(jù)包的它則無能為力。在應(yīng)用協(xié)議中，如果包中有地址或端口需要轉(zhuǎn)換，則無法對(duì)包進(jìn)行加密。例如，不能使用安全的telnet連接，還有VPN技術(shù)也同樣不能使用NAT技術(shù)。/r/n當(dāng)然由于NAT技術(shù)的使用，網(wǎng)絡(luò)攻擊的定位也變得更加困難。比如，某一臺(tái)內(nèi)部網(wǎng)絡(luò)的主機(jī)試圖攻擊其它網(wǎng)絡(luò)，則很難發(fā)現(xiàn)究竟內(nèi)網(wǎng)的哪一臺(tái)機(jī)器是攻擊者，因?yàn)橹鳈C(jī)的/r/nIP/r/n地址被NAT網(wǎng)關(guān)轉(zhuǎn)換過了從而被隱藏了。/r/n2.1.2/r/n/r/nNAPT/r/nNAPT是把多個(gè)內(nèi)部地址/r/n轉(zhuǎn)換/r/n到外部網(wǎng)絡(luò)的/r/n另/r/n一個(gè)IP地址的不同端口上。/r/nNAPT/r/n（/r/nNetworkAddressPortTranslation/r/n，網(wǎng)絡(luò)地址端口轉(zhuǎn)換）是/r/nNAT/r/n的一種變形和加強(qiáng)，它允許多個(gè)內(nèi)部地址映射到同一個(gè)不同子網(wǎng)的地址上，也就是我們常說的地址復(fù)用。/r/n下圖描述了/r/nNAPT/r/n的基本原理。/r/n圖2/r/n.1/r/nNAPT/r/n基本原理示意圖/r/n如圖2.1所示，四個(gè)帶有內(nèi)部地址的數(shù)據(jù)包到達(dá)/r/nNAT/r/n網(wǎng)關(guān)，其中數(shù)據(jù)包/r/n1/r/n和/r/n2/r/n來自同一個(gè)內(nèi)部地址但有不同的源端口號(hào)，數(shù)據(jù)包/r/n3/r/n和/r/n4/r/n來自不同的內(nèi)部地址但具有相同的源端口號(hào)。通過/r/nNAPT/r/n映射，四個(gè)數(shù)據(jù)包的源/r/nIP/r/n地址都被轉(zhuǎn)換到同一個(gè)外部地址，但每個(gè)數(shù)據(jù)包都被賦予了不同的源端口號(hào)，因而仍保留了報(bào)文之間的區(qū)別。當(dāng)回應(yīng)報(bào)文到達(dá)時(shí)，/r/nNAT/r/n網(wǎng)關(guān)仍能夠根據(jù)回應(yīng)報(bào)文的目的地址和端口號(hào)來區(qū)別該報(bào)文應(yīng)轉(zhuǎn)發(fā)到的內(nèi)部主機(jī)。/r/n采用/r/nNAPT/r/n可以更加充分地利用/r/nIP/r/n地址資源，實(shí)現(xiàn)更多內(nèi)部網(wǎng)絡(luò)主機(jī)對(duì)外部網(wǎng)絡(luò)的同時(shí)訪問。/r/n由于NAT只是一個(gè)解決IPv4與IPv6過渡的一個(gè)臨時(shí)解決方案，所以NAT擁有與主機(jī)之間的通信變得復(fù)雜等缺點(diǎn)，導(dǎo)致通信效率的降低。/r/n2.2QoS：/r/nQoS/r/n（/r/nQualityofService/r/n）服務(wù)質(zhì)量。主要的服務(wù)質(zhì)量包括傳輸?shù)膸挕魉偷臅r(shí)延、數(shù)據(jù)的丟包率、傳輸?shù)亩秳?dòng)等。使用QoS的主要目的是為了保證傳輸?shù)膸挕⒔档蛡魉偷臅r(shí)延、降低數(shù)據(jù)的丟包率以及時(shí)延抖動(dòng)，使用這些措施來提高服務(wù)質(zhì)量。/r/n在網(wǎng)絡(luò)資源總量有限的情況下，就會(huì)存在搶奪網(wǎng)絡(luò)資源的現(xiàn)象，就會(huì)有需要使用QoS的要求。服務(wù)質(zhì)量是相對(duì)網(wǎng)絡(luò)業(yè)務(wù)而言的，在保證某些特定的業(yè)務(wù)的暢通的同時(shí)，就要損害其它業(yè)務(wù)的服務(wù)質(zhì)量。例如，在網(wǎng)絡(luò)總帶寬固定的情況下，某類業(yè)務(wù)所使用的帶寬越多，則其他業(yè)務(wù)能使用的帶寬就越少，可能會(huì)影響其他業(yè)務(wù)的使用。因此，網(wǎng)絡(luò)管理者需要根據(jù)各種業(yè)務(wù)的特點(diǎn)來對(duì)網(wǎng)絡(luò)資源進(jìn)行合理的規(guī)劃和分配，從而使網(wǎng)絡(luò)資源得到高效利用。/r/nQoS/r/n技術(shù)包括流分類、流量監(jiān)管、流量整形、接口限速、擁塞管理、擁塞避免等。下面簡(jiǎn)述一下/r/nQoS/r/n技術(shù)在網(wǎng)絡(luò)中的位置。/r/n圖/r/n2.2/r/n/r/n常用/r/nQoS/r/n技術(shù)在網(wǎng)絡(luò)中的位置/r/n2./r/n3/r/nPBR:/r/n策略路由是一種比基于目標(biāo)網(wǎng)絡(luò)使得路由能夠更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機(jī)制。通常的路由器是/r/n通過對(duì)數(shù)據(jù)/r/n包的目的地址/r/n定位/r/n來進(jìn)行路由選路的，而策略路由/r/n不僅僅根據(jù)目的地址還/r/n可以根據(jù)數(shù)據(jù)包源地址、數(shù)據(jù)包大小/r/n、數(shù)據(jù)表的擴(kuò)展字段/r/n等條件靈活的為路由器選擇/r/n數(shù)據(jù)表轉(zhuǎn)發(fā)/r/n路徑。/r/n2./r/n4/r/nGLBP:/r/nGLBP(GatewayLoadBanancingProtoco)網(wǎng)關(guān)負(fù)載均衡協(xié)議是HSRP（HSRP：HotStandbyRouterProtocol）熱備份路由器協(xié)議的擴(kuò)展，/r/n它是C/r/nisco/r/n的私有協(xié)議/r/n。他與眾所周知的H/r/nSR/r/nP、VRRP不同的是，GLBP不僅提供冗余網(wǎng)關(guān)，還在各網(wǎng)關(guān)之間提供負(fù)載均衡，這是H/r/nSR/r/nP與VRRP不能夠?qū)崿F(xiàn)的，他不僅提供了不間斷的/r/n網(wǎng)關(guān)/r/n冗余而且他還能夠自動(dòng)的在資源之間分配流量，從而達(dá)到熱備份、負(fù)載分擔(dān)及簡(jiǎn)化配置等目標(biāo)。/r/n對(duì)于H/r/nSR/r/nP、VRRP都必須選定一個(gè)活動(dòng)路由器，而其余備用的路由器在活動(dòng)路由器出現(xiàn)故障前則處于閑置狀態(tài)，而GLBP只需要一個(gè)有效虛擬網(wǎng)關(guān)AVG控制器，他負(fù)責(zé)為群中每一個(gè)路由器分配一個(gè)唯一的MAC地址，他負(fù)責(zé)相應(yīng)ARP請(qǐng)求，將自己與其他備份虛擬/r/n網(wǎng)關(guān)/r/nAVF的MAC響應(yīng)ARP的請(qǐng)求,從而實(shí)現(xiàn)綁定多個(gè)MAC地址到虛擬IP，從而允許客戶端選擇組中包括AVG在內(nèi)的路由器作為其默認(rèn)網(wǎng)關(guān)，而網(wǎng)關(guān)地址仍使用相同的虛擬IP。如果有效虛擬網(wǎng)關(guān)AVG出現(xiàn)故障，則備份虛擬網(wǎng)關(guān)AVF會(huì)代替AVG的工作使得網(wǎng)關(guān)其依舊可以繼續(xù)工作，并且不會(huì)導(dǎo)致主機(jī)連通中斷現(xiàn)象。/r/n下圖是/r/nGLBP/r/n的原理圖。/r/n圖/r/n2.3/r/n/r/nGLBP原理圖/r/n從圖2.4可以看到，其中主機(jī)配置相同的網(wǎng)關(guān)/r/nI/r/nP10.2/r/n0/r/n./r/n7/r/n./r/n253，但他們獲取的網(wǎng)關(guān)/r/nMAC/r/n不一樣，兩個(gè)網(wǎng)關(guān)SW/r/nA/r/n和SW/r/nB/r/n分別為這兩個(gè)/r/nMAC/r/n的/r/nAVF/r/n。其中SW/r/nA/r/n被選舉為這個(gè)/r/nGLBP/r/n3/r/n./r/n實(shí)驗(yàn)環(huán)境分析/r/n3.1/r/n架空環(huán)境/r/n本論文實(shí)驗(yàn)設(shè)計(jì)將基于福建師范大學(xué)福清分校的網(wǎng)絡(luò)環(huán)境對(duì)本文提出的方案進(jìn)行試驗(yàn)驗(yàn)證。/r/n福清/r/n分校/r/n為福建師范大學(xué)的一個(gè)分校，全校計(jì)算機(jī)數(shù)量逾1000臺(tái)（不包括學(xué)生群體），信息點(diǎn)近900個(gè)，目前主要樓宇有教學(xué)樓、圖書館、科學(xué)樓、昌檀樓等，其它還有11幢學(xué)生宿舍樓，8幢教師宿舍。按照校園網(wǎng)絡(luò)發(fā)展的趨勢(shì)將宿舍區(qū)網(wǎng)絡(luò)與校內(nèi)辦公網(wǎng)絡(luò)合并，使得校園內(nèi)擁有2萬個(gè)信息點(diǎn)，出口鏈路包括教育網(wǎng)1G以及中國電信100M。/r/n3./r/n2/r/n實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境描述/r/n3./r/n2/r/n.1/r/n實(shí)驗(yàn)環(huán)境/r/nDynamips是一個(gè)基于虛擬化技術(shù)的模擬器（emulator），用于模擬思科（Cisco）的路由器。本論文將使用基于Dynamips的模擬器GNS3。GNS3是一款優(yōu)秀的具有圖形化界面可以運(yùn)行在多平臺(tái)（包括Windows,Linux,andMacOS等）的網(wǎng)絡(luò)虛擬軟件。他除了整合了Dynamips以外還整合了Pemu這個(gè)PIX防火墻的模擬器。/r/n在使用Dynamips同時(shí)，為力求實(shí)驗(yàn)現(xiàn)象的真實(shí)性性還將使用真實(shí)設(shè)備進(jìn)行試驗(yàn)。/r/n3./r/n2/r/n.2/r/n設(shè)計(jì)/r/n需求的/r/n思想與原則/r/n（1）網(wǎng)絡(luò)可靠性思想與原則：/r/n在網(wǎng)絡(luò)設(shè)計(jì)過程當(dāng)中網(wǎng)絡(luò)拓?fù)鋵⑹褂酶呖捎眯缘男问?，即使用可冗余備份技術(shù)，使得安全性得以保障，有效避免出現(xiàn)單點(diǎn)故障，核心層將使用高端的交換/r/n機(jī)/r/n并使用光纖通信技術(shù)以達(dá)到高速以及容錯(cuò)的特性，使得單點(diǎn)故障不在發(fā)生。在加上雙出口鏈路，雙出口路由，雙防火墻等措施，設(shè)備故障能做到自動(dòng)切換，不影響園區(qū)正常的上網(wǎng)需求，使得園區(qū)網(wǎng)絡(luò)更加安全可靠。/r/n高性能的NAT需求，由于接入的電信提供的互聯(lián)網(wǎng)出口提供有限公網(wǎng)IP，解決園區(qū)內(nèi)2萬用戶對(duì)外部網(wǎng)絡(luò)的訪問需求，需要高性能的NAT轉(zhuǎn)換能力,否則將是制約上網(wǎng)速度的一個(gè)重大因數(shù)。/r/n（2）網(wǎng)絡(luò)可擴(kuò)展性思想與原則：/r/n園區(qū)網(wǎng)內(nèi)部網(wǎng)絡(luò)/r/n設(shè)備/r/n支持10GE，將來平滑過渡到10GE，屆時(shí)對(duì)出口的要求又是另一番情況，在設(shè)計(jì)時(shí)需考慮以后的對(duì)出口的需求，支持?jǐn)U展。/r/n園區(qū)出口網(wǎng)絡(luò)路由器交換機(jī)防火墻等設(shè)備將使用思科最先進(jìn)的產(chǎn)品，其擁有多種的模塊插槽，豐富的擴(kuò)展功能模塊，優(yōu)異的性能，高端的IOS支持等特性，不僅僅支持現(xiàn)有的IPv4技術(shù)，同時(shí)支持先進(jìn)的IPv6技術(shù)，可以實(shí)現(xiàn)IPv4到IPv6的平穩(wěn)過渡。/r/n（3）網(wǎng)絡(luò)實(shí)用性和可管理性思想與原則：/r/n由于園區(qū)網(wǎng)內(nèi)用戶眾多，其中存在著P2P、迅雷等應(yīng)用的惡意下載，同時(shí)目前QQ、MSN等及時(shí)聊天工具的視頻、在線傳輸數(shù)據(jù)等對(duì)園區(qū)網(wǎng)出口造成較大的壓力，要求實(shí)現(xiàn)對(duì)接入用戶的帶寬限制，避免不必要的帶寬/r/n浪費(fèi)/r/n，同時(shí)保障關(guān)鍵業(yè)務(wù)的開展，如視頻會(huì)議/r/n、遠(yuǎn)程教育/r/n等。/r/n本方案將結(jié)合架空環(huán)境的需求進(jìn)行合理的網(wǎng)絡(luò)拓?fù)浯罱ㄅc設(shè)備選型，以協(xié)調(diào)好可擴(kuò)展性與實(shí)用性為目標(biāo)進(jìn)行方案的設(shè)計(jì)。并選擇擁有高可管理性的設(shè)備進(jìn)行方案的實(shí)施以達(dá)到網(wǎng)絡(luò)的可管理性原則。/r/n（4）網(wǎng)絡(luò)安全性思想與原則/r/n出口的安全防護(hù)一直是園區(qū)出口網(wǎng)建設(shè)的重點(diǎn)關(guān)注的對(duì)象，近幾年來，網(wǎng)絡(luò)帶寬迅速增長(zhǎng)，網(wǎng)絡(luò)威脅也隨之大幅增加，包括攻擊、/r/n各類/r/n掃描、入侵、DDOS攻擊、蠕蟲病毒攻擊、惡意軟件、垃圾郵件。園區(qū)出口網(wǎng)絡(luò)帶寬越大，網(wǎng)絡(luò)威脅可能造成的危害也就越大，出口設(shè)備的安全防御面臨著空前挑戰(zhàn)，出口設(shè)備需要防范校外網(wǎng)絡(luò)威脅的攻擊或入侵，要求必須對(duì)DoS攻擊、ARP欺騙/攻擊等網(wǎng)絡(luò)攻擊行為有較強(qiáng)的防范能力。面對(duì)日益突出的信息安全問題，園區(qū)出口安全建設(shè)更加重要。/r/n本方案將在邊界網(wǎng)關(guān)處構(gòu)筑防火墻，對(duì)網(wǎng)關(guān)路由器進(jìn)行必要的安全設(shè)置，對(duì)涉密網(wǎng)絡(luò)流量進(jìn)行加密傳輸?shù)燃夹g(shù)來實(shí)現(xiàn)園區(qū)網(wǎng)的安全化。/r/n4/r/n./r/n園區(qū)出口網(wǎng)絡(luò)的設(shè)備選型/r/n4.1Cisco網(wǎng)絡(luò)設(shè)備的優(yōu)點(diǎn)/r/nCisco作為世界第一大網(wǎng)絡(luò)設(shè)備生產(chǎn)商，目前互聯(lián)網(wǎng)上近80%的信息流量/r/n必須/r/n經(jīng)過思科公司的產(chǎn)品傳遞。思科公司是國際網(wǎng)絡(luò)的/r/n設(shè)備的領(lǐng)頭羊/r/n，他擁有/r/n非常/r/n強(qiáng)大的/r/n技術(shù)/r/n研發(fā)團(tuán)隊(duì)，經(jīng)驗(yàn)豐富/r/n的/r/n技術(shù)支持工程師，全球擁有35000多名雇員，其產(chǎn)品已經(jīng)受到全球用戶的/r/n一致好評(píng)/r/n。Cisco網(wǎng)絡(luò)設(shè)備的穩(wěn)定性是首屈一指的，返修率同比其他網(wǎng)絡(luò)設(shè)備生產(chǎn)商要低出許多。對(duì)于追求高穩(wěn)定性的客戶來說Cisco設(shè)備是不二之選。/r/n4.2設(shè)備選型/r/n4.2.1/r/n網(wǎng)絡(luò)邊緣路由器/r/n在網(wǎng)絡(luò)的邊緣本方案選擇Cisco的7609路由器。Cisco7609路由器一般部署于網(wǎng)絡(luò)邊緣的高性能路由器，網(wǎng)絡(luò)邊緣性能、IP服務(wù)、冗余性和故障彈性都是十分重要。他通過中央路由處理器和轉(zhuǎn)發(fā)引擎相結(jié)合，可提供720Gbps的總吞吐量。/r/n擁有多功能擴(kuò)展插槽,通過擴(kuò)展模塊可展至了10G以太網(wǎng)。同時(shí)還可以通過NAT加速模塊提高NATIP轉(zhuǎn)換時(shí)的效率，也可以/r/n加裝/r/n防火墻模塊達(dá)到路由器防火墻的效果。/r/nCisco7609路由器是9插槽機(jī)箱產(chǎn)品。這一增強(qiáng)型機(jī)箱進(jìn)行了設(shè)計(jì)改進(jìn)，采用冗余、可變速的風(fēng)扇架，帶有路由處理器、交換矩陣和電源冗余性/r/n。/r/n4.2.2/r/n防火墻/r/n在防火墻方面本方案使用CiscoASA5550FirewallEdition套裝/r/n。/r/nASA5550是Cisco安全的旗艦產(chǎn)品/r/n。/r/n他的并發(fā)連接數(shù)可達(dá)到650,000網(wǎng)絡(luò)吞吐量:1.2Gbps/r/n。/r/n自適應(yīng)安全設(shè)備采用可靠的1機(jī)柜單元封裝設(shè)計(jì)，能為大型企業(yè)和電信運(yùn)營商網(wǎng)絡(luò)提供主動(dòng)/主動(dòng)高可用性和光纖及千兆以太網(wǎng)連接，進(jìn)而可提供千兆位級(jí)安全服務(wù)。憑借8個(gè)千兆以太網(wǎng)接口、4個(gè)小封裝可熱挺拔(SFP)光纖接口、以及多達(dá)200個(gè)VLAN支持，企業(yè)能夠?qū)⑵渚W(wǎng)絡(luò)劃分成若干個(gè)高性能區(qū)域，以提高安全性。/r/n每個(gè)CiscoASA5550上擴(kuò)展支持多達(dá)5000個(gè)SSLVPNpeer；基礎(chǔ)平臺(tái)最多可支持5000個(gè)IPsecVPNpeer。通過使用CiscoASA5550的集成VPN集群和負(fù)載平衡能力，VPN容量和永續(xù)性還可進(jìn)一步提高。CiscoASA5550在一個(gè)集群中可支持多達(dá)10臺(tái)設(shè)備，支持最高每集群50,000個(gè)SSLVPNpeer或50,000個(gè)IPsecVPNpeer。在業(yè)務(wù)連續(xù)性和事件規(guī)劃方面，ASA5550還可受益于CiscoVPNFLEX許可。該許可使管理員能夠應(yīng)對(duì)或規(guī)劃最長(zhǎng)2個(gè)月的短期猝發(fā)并發(fā)SSLVPN遠(yuǎn)程接入用戶。/r/n利用CiscoASA5550自適應(yīng)安全設(shè)備的可選安全上下文能力，/r/n學(xué)校/r/n能夠在一臺(tái)設(shè)備中部署多達(dá)/r/n50/r/n個(gè)虛擬防火墻，針對(duì)每個(gè)部門或每個(gè)客戶提供隔離控制，并降低總體管理和支持成本。/r/n該系統(tǒng)總共可提供12個(gè)千兆以太網(wǎng)端口，其中只有8個(gè)可以同時(shí)投入使用。/r/n學(xué)校/r/n可以選擇銅線或光纖連接，支持靈活建立數(shù)據(jù)中心、園區(qū)邊緣連接。/r/n如此強(qiáng)大的性能完全滿足了大型/r/n校園網(wǎng)絡(luò)/r/n邊界的安全需求。/r/n4.2.3/r/n核心交換機(jī)/r/n在核心交換機(jī)方面本方案選擇主流的CiscoCatalyst6509交換機(jī)。/r/n思科6509系列核心交換機(jī)支持完整的QoS機(jī)制，涵蓋策略，隊(duì)列，流量整形和擁塞控制。運(yùn)用NSF/SSO技術(shù)，能夠保證不間斷的高速數(shù)據(jù)轉(zhuǎn)發(fā)和故障切換，確保園區(qū)網(wǎng)絡(luò)服務(wù)連續(xù)性和實(shí)時(shí)功能特性升級(jí)。此外，6509還能運(yùn)用SPUERENGINE32PISA智能應(yīng)用程序提供視頻流量控制與監(jiān)控服務(wù)。提升整個(gè)園區(qū)網(wǎng)絡(luò)Qos的高性能。/r/n6509支持/r/n最大VLAN數(shù)可達(dá)到/r/n4096個(gè)/r/n，底版帶寬可擴(kuò)充至/r/n720/r/nGbps；/r/n數(shù)據(jù)吞吐/r/n性能可擴(kuò)充至/r/n387/r/nMpps/r/n，/r/n同時(shí)它可支持多種網(wǎng)絡(luò)協(xié)議，是網(wǎng)絡(luò)核心設(shè)備的不二之選。/r/n以下是本方案使用的網(wǎng)絡(luò)設(shè)備的選型列表：/r/n設(shè)備角色/r/n設(shè)備型號(hào)/r/n數(shù)量（臺(tái)）/r/n出口路由器/r/nCisco7609/r/n2/r/n防火墻/r/nASA5550/r/n2/r/n核心交換機(jī)/r/nCiscoCatalyst6509/r/n2/r/n表4.1設(shè)備選型列表/r/n4.3園區(qū)出口網(wǎng)絡(luò)解決方案的制定/r/n4.3.1/r/n園區(qū)出口網(wǎng)絡(luò)的基本功能方案/r/n總體上，選用兩組設(shè)備，能在/r/n網(wǎng)絡(luò)結(jié)構(gòu)/r/n上解決單點(diǎn)故障/r/n問題/r/n。/r/n在線路上,每個(gè)防火墻都接入兩個(gè)核心，能防止單個(gè)核心掛掉時(shí)，雙出口還能繼續(xù)正常運(yùn)行;兩臺(tái)7609/r/n作為出口路由/r/n，/r/n在單個(gè)出口路由出現(xiàn)問題時(shí)能夠使用另外一臺(tái)出口路由訪問外部網(wǎng)絡(luò)，同時(shí)/r/n能夠在單運(yùn)營商鏈路出現(xiàn)問題時(shí)，自動(dòng)切換到另外一個(gè)運(yùn)營商，保證/r/n校園用戶，/r/n員工的上網(wǎng)需求。/r/n設(shè)計(jì)如下圖所示：/r/n圖4.2園區(qū)出口網(wǎng)設(shè)計(jì)拓?fù)?r/n圖4.3園區(qū)出口網(wǎng)流量示意圖/r/n4.3.2/r/n/r/n網(wǎng)絡(luò)設(shè)備的管理/r/n開啟所有網(wǎng)絡(luò)設(shè)備的日記功能。/r/n日志對(duì)于網(wǎng)絡(luò)安全的分析和安全設(shè)備的管理非常重要。/r/n使用/r/nIOS針對(duì)各種網(wǎng)絡(luò)攻擊和安全威脅進(jìn)行日志記錄，采用統(tǒng)一的格式，支持本地查看的同時(shí)，還能夠通過統(tǒng)一的輸出接口將日志發(fā)送到日志服務(wù)器，為用戶事后分析、審計(jì)提供重要信息。/r/n日志包括：/r/n設(shè)備日志：設(shè)備狀態(tài)，系統(tǒng)事件日志/r/n攻擊日志：設(shè)備網(wǎng)絡(luò)受到攻擊的日志信息/r/n5/r/n./r/n園區(qū)網(wǎng)絡(luò)設(shè)備的具體配置/r/n下圖是網(wǎng)絡(luò)IP地址規(guī)劃圖，本章節(jié)的配置是按照?qǐng)D表中所標(biāo)注的端口以及IP進(jìn)行配置的。/r/n圖5.1網(wǎng)絡(luò)出口IP地址圖/r/n設(shè)備名及端口/r/n設(shè)備IP/r/nDMZ-HTTP1/r/n/r/n（內(nèi)部）/r/n/r/n（外部）/r/nDMZ-HTTP2/r/n/r/n（內(nèi)部）/r/n155.1.23./r/n2（外部）/r/nDMZ-FTP/r/n/r/n（內(nèi)部）/r/n155.1.23./r/n3（外部）/r/nR1-E0/3/r/n/r/nR2-E0/3/r/n/r/nSW1-VLAN2-E0/1/r/n/r/nSW1-E0/2/r/n53/r/nSW2-VLAN2-E0/1/r/n/r/nSW2-E0/2/r/n52/r/n教師服務(wù)器/r/n10.21.0/r/n.0/16/r/n教師用戶/r/n/24/r/n表5.2全網(wǎng)使用IP及端口/r/n

/r/n5.1/r/n/r/n出口路由器的配置/r/n5.1.1/r/n/r/nNAT配置/r/ninterfaceeth0/1/r/nipnatenable/r/ninterfaceeth0/1/r/nipnatenable/r/n//開啟端口的NAT功能/r/ninterfaceeth0//r/n3/r/n/r/nipnatenable/r/nipnatpool/r/ndx/r/nnetmask52/r/n //建立NAT的地址池/r/naccess-list1permit/r/n/r/n0.0./r/n255/r/n.255/r/n //建立訪問控制列表/r/nipnatsourcelist1pool/r/ndx/r/noverload/r/n //應(yīng)用NAPT于指定的網(wǎng)段/r/nipnatsourcestatic/r/n192.168.74/r/n.1/r/nipnatsourcestatic/r/n192.168.74/r/n./r/n2/r/n155.1.23./r/n2/r/nipnatsourcestatic/r/n192.168.74/r/n./r/n3/r/n155.1./r/n2/r/n3./r/n3 //靜態(tài)NAT翻譯，使用NVI技術(shù)/r/n5.1.2/r/n/r/n出口冗余策略的配置/r/nR1:/r/nr/r/nouterospf10/r/n//建立OSPF實(shí)例10/r/nR1:/r/nr/r/nouterospf10/r/n//建立OSPF實(shí)例10/r/ndefault-informationoriginate/r/n //通告路由的起源/r/nn/r/networkarea0/r/n //將E0/3加入OSPF區(qū)域0/r/ninterfaceethernet0//r/n3/r/nipaddress/r/n/r/n//設(shè)置端口IP/r/nipospfcost/r/n1/r/n0/r/n0/r/n//設(shè)置ospf的cost值為100/r/nnoshutdown/r/nR2:/r/nr/r/nouterospf10/r/ndefault-informationoriginate/r/nn/r/networkarea0/r/ninterfaceethernet0//r/n3/r/nipospfcost/r/n100/r/nipaddress/r/n/r/nnoshutdown/r/n5.2/r/n/r/n防火墻的配置/r/n為了使/r/n外部用戶/r/n能夠/r/n訪問DMZ區(qū)域中的公共服務(wù)器/r/n時(shí)/r/n，/r/n防火墻必須對(duì)用戶所訪問/r/n的應(yīng)用和服務(wù)類型進(jìn)行審核和過濾/r/n，本論文以http（80端口以及自定義的8080端口）與ftp（21端口）為例。/r/naccess-listpermitDMZextendedpermittcpanyhost1/r/n92/r/n.16/r/n8/r/naccess-listpermitDMZextendedpermittcpanyhost1/r/n92/r/n.16/r/n8/r/n./r/n74/r/n.1eqhttp/r/n//允許互聯(lián)網(wǎng)主機(jī)訪問DMZ中的HTTP服務(wù)器#1/r/naccess-listpermitDMZextendedpermittcpanyhost/r/n192.168.74/r/n.2eq/r/n8080/r/n//允許互聯(lián)網(wǎng)主機(jī)訪問DMZ中的HTTP服務(wù)器#2/r/naccess-listpermitDMZextendedpermittcpanyhost/r/n192.168.74/r/n.3eqftp/r/n//允許互聯(lián)網(wǎng)主機(jī)訪問DMZ中的FTP服務(wù)器/r/naccess-listpermitDMZextendeddenyipanyany/r/n//拒絕其他一切的訪問/r/naccess-listpermitDMZininterfaceoutside/r/n//在防火墻的outside接口上部署/r/naliasDMZ/r/n/r/naliasDMZ/r/n/r/n55/r/naliasDMZ/r/n155.1.23./r/n255/r/naliasDMZ/r/n155.1.23./r/n355/r/n學(xué)校/r/n中的教師服務(wù)器只/r/n允許教師主機(jī)訪問/r/n。/r/naccess-listteacherextendedpermitip192.168./r/n94/r/n.0/r/n0.0.0/r/n.255/r/n10./r/n21.0.055/r/n//允許教師主機(jī)訪問校園網(wǎng)教師服務(wù)器/r/naccess-listteacherextendedpermitip192.168./r/n94/r/n.0/r/n0.0.0/r/n.255/r/n10./r/n21.0.055/r/n//允許教師主機(jī)訪問校園網(wǎng)教師服務(wù)器/r/naccess-list/r/n/r/nteacherextendeddenyipany/r/n10./r/n21.0/r/n//拒絕其余主機(jī)訪問校園網(wǎng)教師服務(wù)器/r/naccess-listteacherininternfaceinside/r/n//在inside接口上應(yīng)用該ACL/r/n阻止訪問google的圖片/r/n：/r/nclass-maptyperegexmatch-any/r/nurl/r/n//定義一個(gè)正則表達(dá)式/r/nurl/r/nmatchregex/*.jpg/r/nmatchregex/*.gif/r/nmatchregex/*.jpeg/r/nmatchregex/*./r/npng/r/n阻止訪問google的圖片/r/n：/r/nclass-maptyperegexmatch-any/r/nurl/r/n//定義一個(gè)正則表達(dá)式/r/nurl/r/nmatchregex/*.jpg/r/nmatchregex/*.gif/r/nmatchregex/*.jpeg/r/nmatchregex/*./r/npng/r/nmatchregex/*./r/nbmp/r/nmatchregex/*./r/nswf/r/n//過濾所有的圖片/r/n動(dòng)畫/r/nExit/r/nclass-maptyperegexmatch-allmethods/r/n//定義一個(gè)正則表達(dá)式methods/r/nmatchregex“GET”/r/nE/r/nxit/r/nclass-maptypehttp/r/nclass-maptypehttp/r/ngoogle/r/n_policy/r/n//定義一個(gè)用于過濾HTTP的MAP/r/nmatchrequesturlregexclassurl/r/n//匹配HTTP的request請(qǐng)求報(bào)文中的URL字段/r/nmatchrequestmethodregexclassmethods/r/n//匹配HTTP的request報(bào)文中的GET命令/r/nExit/r/npolicy-maptypehttp/r/nweb/r/n_polisy/r/nclass/r/ngoogle/r/n_policy/r/ndrop/r/n///r/n丟棄匹配/r/ngoogle上的圖片/r/n的流量/r/nservice-policy/r/nweb/r/n_policyinterfaceoutside/r/n//在接口outside上應(yīng)用/r/n5.3/r/n/r/n基礎(chǔ)配置/r/n核心交換通過啟用SVI接口實(shí)現(xiàn)交換機(jī)與路由的OSPF動(dòng)態(tài)路由協(xié)議的通信，通過啟用GLBP實(shí)現(xiàn)網(wǎng)關(guān)的冗余。/r/nSW1/r/n：/r/nSW1/r/n：/r/nvlan2/r/nvlan10/r/nrouterospf10/r/nnetwork/r/n0.0.0/r/n.0area0/r/ninterfacevlan2 ///r/n與/r/nSW1/r/n相連/r/nipospf100/r/nipaddress/r/ninterfacee0/1/r/nswitchportmode/r/ntrunk/r/nnoshut/r/ninterfacee0/2/r/nswitchportmodeaccess/r/nswitchportaccessvlan10/r/ninterfacevlan10/r/nipaddress53/r/nglbp1ip54/r/nglbp1preempt /r/nglbp1priority105 /r/nglbp1weightingtrackinte0/110/r/nSW2/r/nSW2/r/n：/r/nvlan2/r/nvlan10/r/nrouterospf10/r/nnetwork/r/n0.0.0/r/n.0area0/r/ninterfacevlan2 ///r/n與/r/nSW1/r/n相連/r/nipospf100/r/nipaddress/r/ninterfacee0/1/r/nswitchportmode/r/ntrunk/r/nnoshut/r/ninterfacee0/2/r/nswitchportmodeaccess/r/nswitchportaccessvlan10/r/ninterfacevlan10/r/nipaddress52/r/nglbp1ip54///r/n定義/r/nGLBP/r/n相關(guān)配置參數(shù)，創(chuàng)建組/r/n1/r/n，并且設(shè)置虛擬路由器的/r/nIP/r/nglbp1preemptdelay10 ///r/n設(shè)置延遲10s強(qiáng)占/r/nglbp1priority95///r/n設(shè)置端口優(yōu)先級(jí)/r/n/r/nglbp1weightingtrackinte0/110/r/n///r/n設(shè)置跟蹤端口/r/nE0/1/r/n，并且在/r/nE0/1DOWN/r/n的情況下優(yōu)先級(jí)自動(dòng)減/r/n10/r/n5.4/r/n/r/n策略/r/n及QoS/r/n的配置/r/nSW1:/r/nAccess-list15permit/r/nSW1:/r/nAccess-list15permit/r/nAccess-list15permit/r/n……/r/nroute-mapCERNETpermit10/r/n//建立路由圖CERNET/r/nmatchiproute-source15/r/n//匹配訪問控制列表15/r/nsetnext-hop/r/n//設(shè)置路由下一跳為/r/nSW2:/r/nAccess-list15permit/r/nAccess-list15permit/r/n……/r/nroute-mapCERNETpermit10/r/n//建立路由圖CERNET/r/nmatchiproute-source15/r/n//匹配訪問控制列表15/r/nsetnext-hop/r/n//設(shè)置路由下一跳為/r/nBT是進(jìn)年來興起的一種基于P2P的下載方式，這種下載方式在下載的同時(shí)同時(shí)上傳已下載到的數(shù)據(jù)給其他下載者同時(shí)它使用隨機(jī)端口于其他下載者傳輸數(shù)據(jù)，達(dá)到下載服務(wù)器的負(fù)擔(dān)降低節(jié)約服務(wù)器帶寬流量等目的。然而這種下載方式對(duì)校園網(wǎng)的暢通帶來了極大的危害同時(shí)也極難使用普通的訪問控制列表進(jìn)行封殺，為了保證校園內(nèi)的網(wǎng)絡(luò)暢通，本課題使用QoS中的nbar技術(shù)對(duì)BT進(jìn)行封殺。/r/n

/r/ncopytftp:bittorrent.pdlmflash://上傳bittorrent.pdlm到flash/r/ncopytftp:bittorrent.pdlmflash://上傳bittorrent.pdlm到flash/r/nconft/r/nbittorrent.pdlm//加載bittorrent.pdlm模塊/r/nclass-mapmatch-anyBT//Match-any表示匹配以下策略的任一個(gè)/r/nmatchprotocolbittorrent/r/nmatchprotocoledonkey/r/nexit/r/npolicy-mapDROP/r/nclassBT/r/ndrop/r/nexit/r/ninterfacefastEthernet0/0/r/nservice-policyinputDROP/r/nend/r/n5.5設(shè)備管理以及監(jiān)管/r/n5.5.1/r/n/r/n路由器交換機(jī)syslog配置/r/n當(dāng)網(wǎng)絡(luò)出現(xiàn)錯(cuò)誤或受到攻擊的時(shí)候，網(wǎng)絡(luò)管理員能夠查看網(wǎng)絡(luò)日志服務(wù)的中的消息記錄，從而能夠及時(shí)存取的查出癥結(jié)的所在，及時(shí)發(fā)現(xiàn)/r/n和/r/n解決問題。/r/nloggingon/r/nlogging/r/nloggingon/r/nlogging/r/n /r/n//日志服務(wù)器的IP地址/r/nloggingfacilitylocal1/r/n /r/n//facility標(biāo)識(shí),RFC3164規(guī)定的本地設(shè)備標(biāo)識(shí)為local0-local7/r/nloggingtraperrors/r/n /r/n//日志記錄級(jí)別/r/nloggingsource-interfacee0/r/n /r/n//日志發(fā)出用的源IP地址/r/nservicetimestampslogdatetimelocaltime/r/n/r/n//日志記錄的時(shí)間戳設(shè)置，可根據(jù)需要具體配置/r/n5.5.2/r/n/r/n設(shè)備安全管理設(shè)計(jì)/r/n管理/r/n數(shù)據(jù)流信息/r/n是比較敏感的，對(duì)于它/r/n的傳遞/r/n對(duì)于/r/n安全性/r/n的要求是比較高的/r/n。為了保證這些/r/n敏感/r/n數(shù)據(jù)/r/n的/r/n安全，比較了SSH、SSL、/r/nRtelnet、SNMP/r/n等網(wǎng)絡(luò)/r/n管理手段/r/n，并根據(jù)福建師大福清分校的情況，選擇SSH/r/n協(xié)議進(jìn)行遠(yuǎn)程登錄管理/r/n。而/r/n本方案將以福清分校為例使用CAT/r/n6509/r/n進(jìn)行實(shí)例配置/r/n。/r/nhostname/r/nSDFX-/r/n6509/r/nhostname/r/nSDFX-/r/n6509/r/n /r/n//將改路由器命名為/r/nSDFX/r/n-6509/r/nipdomain-name/r/nfjsdfx/r//r/nusernametestpassword/r/ncisco/r/n/r/n /r/n//創(chuàng)建一個(gè)用戶，名為test，口令為/r/ncisco/r/n/r/nlinevty04/r/n//進(jìn)出VTY鏈路/r/n/r/nloginlocal/r/n /r/ncryptokeygeneratersa/r/n /r/n//配置SSH的服務(wù)/r/nThenameforthekeyswillbe:/r/nSDFX/r/n-6509./r/nfjsdfx/r/n./r/ncom/r/n/r/n//SSH的關(guān)鍵字名為：/r/nSDFX/r/n-6509./r/nfjsdfx/r/n./r/ncom/r/nipsshtime-out180/r/n /r/n//配置SSH的超時(shí)時(shí)間，把默認(rèn)值改為180秒/r/nipsshauthentication-retries5//配置SHH重試次數(shù)，把默認(rèn)值改成5次/r/n6/r/n./r/n測(cè)試/r/n本論文為了追求數(shù)據(jù)的準(zhǔn)確使用了真實(shí)設(shè)備進(jìn)行方案的驗(yàn)證以及結(jié)果分析，測(cè)試使用到的設(shè)備較方案中的設(shè)備低端，但不影響測(cè)試的結(jié)果與方案的可行性。/r/n方案使用H3C交換機(jī)S2126兩臺(tái)做為接入設(shè)備，H3C三層交換機(jī)S3900兩臺(tái)做為核心設(shè)備，cisco2621兩臺(tái)做出口路由器。實(shí)驗(yàn)組網(wǎng)拓?fù)淙缦拢?r/n圖6.1真實(shí)實(shí)驗(yàn)拓?fù)?r/n具體方案見論文附錄。/r/n6.1/r/n路由/r/n測(cè)試/r/n按照方案組網(wǎng)后，兩臺(tái)核心交換機(jī)將學(xué)到一條默認(rèn)路由：/r/n可以看到邊緣路由器學(xué)習(xí)到了ospf區(qū)域內(nèi)的所有條目達(dá)到全網(wǎng)互聯(lián)：/r/n6.2/r/nvrrp故障切換/r/n虛擬路由器冗余協(xié)議（VRRP：VirtualRouterRedundancyProtocol）,它和GLBP實(shí)現(xiàn)相同的功能，由于GLBP只能運(yùn)行在高端的思科交換機(jī)上，所以本實(shí)驗(yàn)使用VRRP代替GLBP。/r/n正常通信環(huán)境是VLAN10的PC流量通過s3900-1/r/n正常工作是s3900-1為Vlan10的Master，Vlan20的Backup/r/n當(dāng)s3900-2上行鏈路E1/0/1出現(xiàn)故障down時(shí)，VRRP自動(dòng)切換V20網(wǎng)關(guān)到s3900-1/r/nS3900-2部分VRRP切換測(cè)試同上。/r/n6.2/r/n/r/n邊緣路由器測(cè)試/r/n對(duì)雙線切換測(cè)試的時(shí)候，我們把C2621-2外網(wǎng)口shutdown，可以看到/r/nS3900/r/n-2學(xué)到的默認(rèn)路由將是由C2621-1通告進(jìn)來的，下一跳地址為即為/r/nS/r/n3900-1。/r/n6.3/r/n/r/n測(cè)試小結(jié)/r/n在2個(gè)邊緣路由器上分別通告了默認(rèn)路由，因?yàn)閏isco規(guī)定默認(rèn)通告的是E2的類型，即在整個(gè)ospf傳輸區(qū)域中該路由的開銷值不變，理論上結(jié)果是在每臺(tái)3900上路由學(xué)到了2條默認(rèn)路由，即實(shí)現(xiàn)了負(fù)載均衡。這樣