畢業(yè)設(shè)計-中型企業(yè)網(wǎng)的構(gòu)建

畢業(yè)設(shè)計說明書（計算機學院） 設(shè)計課題：中型企業(yè)網(wǎng)的構(gòu)建專業(yè)班級：計算機網(wǎng)絡(luò)技術(shù)1104班摘要以Internet為代表的信息化浪潮席卷全球，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用日益普及和深入，伴隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，企業(yè)網(wǎng)網(wǎng)絡(luò)需要從網(wǎng)絡(luò)的搭建及網(wǎng)絡(luò)管理方面著手。對于一個企業(yè)來說，有效的運用因特網(wǎng)的輔助，將能夠高效低成本的提高公司的經(jīng)營效益。信息技術(shù)給商業(yè)帶來的變化是巨大的，它可以讓員工、領(lǐng)導(dǎo)、合作伙伴之間實現(xiàn)優(yōu)化的信息溝通，它使商業(yè)交流突破了時間和空間的限制，大大擴展了商業(yè)交流的形式和空間。但是，企業(yè)信息設(shè)施在提高企業(yè)效益的同時，也給企業(yè)增加了風險隱患。大企業(yè)所面臨的安全問題也一直困擾著中小企業(yè)，關(guān)于中小企業(yè)網(wǎng)絡(luò)安全的相關(guān)報導(dǎo)也一直層不窮，給中小企業(yè)所造成的損失不可估量。為企業(yè)建立自己一個安全企業(yè)網(wǎng)絡(luò)已經(jīng)成為現(xiàn)代企業(yè)的當務(wù)之急。本文將通過對企業(yè)網(wǎng)局域網(wǎng)規(guī)劃思想過程的論述，對就如何建立一個安全高效的企業(yè)網(wǎng)提供設(shè)計的思想和依據(jù)。關(guān)鍵詞：信息技術(shù)、局域網(wǎng)、商業(yè)、網(wǎng)絡(luò)安全PAGEPAGE2目錄TOCHYPERLINK第四章網(wǎng)絡(luò)工程設(shè)計 5HYPERLINKPVST+技術(shù)介紹 8HYPERLINK\l"__RefHeading__55_636994202"PVST+技術(shù)應(yīng)用 9HYPERLINK\l"__RefHeading__57_636994202"4.5.2VTP技術(shù) 10HYPERLINK\l"__RefHeading__59_636994202"VTP技術(shù)介紹 10HYPERLINK\l"__RefHeading__61_636994202"VTP技術(shù)應(yīng)用 11HYPERLINK\l"__RefHeading__63_636994202"4.5.3OSPF技術(shù) 11HYPERLINK\l"__RefHeading__65_636994202"OSPF技術(shù)介紹 11HYPERLINK\l"__RefHeading__67_636994202"OSPF技術(shù)應(yīng)用 13HYPERLINK\l"__RefHeading__69_636994202"4.5.4HSRP技術(shù) 14HYPERLINK\l"__RefHeading__71_636994202"HSRP技術(shù)介紹 14HYPERLINK\l"__RefHeading__73_636994202"HSRP技術(shù)應(yīng)用 15HYPERLINK\l"__RefHeading__75_636994202"4.5.5IPSecVPN技術(shù) 16HYPERLINK\l"__RefHeading__77_636994202"IPSecVPN技術(shù)介紹 16HYPERLINK\l"__RefHeading__79_636994202"IPSecVPN技術(shù)應(yīng)用 17第一章引言信息技術(shù)日新月異的今天，網(wǎng)絡(luò)技術(shù)發(fā)展速度極其迅速，信息傳輸已經(jīng)不僅僅局限于單純的文本數(shù)據(jù)、數(shù)字數(shù)據(jù)的傳輸，隨之而來的是視頻、音頻等多媒體技術(shù)的廣泛應(yīng)用。隨著技術(shù)的快速發(fā)展，網(wǎng)絡(luò)設(shè)備的性能和傳輸介質(zhì)容量有了非常大的提升，但是由于用戶數(shù)目的快速增長和用戶需求的不斷提高，網(wǎng)絡(luò)環(huán)境的日益復(fù)雜，網(wǎng)絡(luò)規(guī)模的日益擴大，使得網(wǎng)絡(luò)規(guī)劃成為一項越發(fā)困難的課題，作為企業(yè)網(wǎng)的規(guī)劃的成敗與否，將直接影響到企業(yè)網(wǎng)絡(luò)系統(tǒng)性能的高低，從而影響業(yè)務(wù)進度和辦公效果。企業(yè)網(wǎng)絡(luò)的性能固然重要，但是企業(yè)網(wǎng)絡(luò)的安全更加的重要。當今互聯(lián)網(wǎng)的安全問題日益突出，企業(yè)一旦接入到因特網(wǎng)，就會面臨著各種嚴重的網(wǎng)絡(luò)安全威脅，給企業(yè)信息安全帶來了種種嚴重威脅和挑戰(zhàn)，形勢日趨嚴峻。特別是網(wǎng)絡(luò)黑客、計算機病毒、垃圾信息的攻擊日趨頻繁而激烈，網(wǎng)絡(luò)犯罪活動日趨猖獗，對企業(yè)信息安全的破壞性越來越大。有效維護企業(yè)網(wǎng)安全是企業(yè)網(wǎng)管理的重要范疇，是保障企業(yè)信息安全和網(wǎng)絡(luò)穩(wěn)定必然要求。對此，必須高度警惕，采取有效措施，保障信息安全，確保企業(yè)的商業(yè)信息的安全，下面主要對企業(yè)網(wǎng)的規(guī)劃思想進行探討。第二章工程概述2.1計算機網(wǎng)絡(luò)的概念以及發(fā)展2.11計算機網(wǎng)絡(luò)的概念計算機網(wǎng)絡(luò)是由計算機集合加通信設(shè)施組成的系統(tǒng)，即利用各種通信手段，把地理上分散的計算機連在一起，達到相互通信而且共享軟件、硬件和數(shù)據(jù)等資源的系統(tǒng)。計算機網(wǎng)絡(luò)按其計算機分布范圍通常被分為局域網(wǎng)和廣域網(wǎng)。局域網(wǎng)覆蓋地理范圍較小，一般在數(shù)米到數(shù)十公里之間。廣域網(wǎng)覆蓋地理范圍較大，如校園、城市之間、乃至全球。計算機網(wǎng)絡(luò)的發(fā)展，導(dǎo)致網(wǎng)絡(luò)之間各種形式的連接。采用統(tǒng)一協(xié)議實現(xiàn)不同網(wǎng)絡(luò)的互連，使互聯(lián)網(wǎng)絡(luò)很容易得到擴展。因特網(wǎng)就是用這種方式完成網(wǎng)絡(luò)之間聯(lián)結(jié)的網(wǎng)絡(luò)。因特網(wǎng)采用TCP/IP協(xié)議作為通信協(xié)議，將世界范圍內(nèi)計算機網(wǎng)絡(luò)連接在一起，成為當今世界最大的和最流行的國際性網(wǎng)絡(luò)。2.12計算機網(wǎng)絡(luò)的發(fā)展20世紀50年代的初期，在美國出現(xiàn)了面向終端的聯(lián)機系統(tǒng)，它將地面上分散的多個終端通信路線連接到一臺中心計算機上，除了一臺中心計算機，其余的終端都不具備自主處理的能力，也就是說如果中心計算機沒有工作或是通信路線出問題，遠程的終端是不能工作的。在系統(tǒng)中主要是終端和中心計算機的通信因而也被稱為面向終端的計算機系統(tǒng)。但這種系統(tǒng)將計算機技術(shù)和通信技術(shù)結(jié)合在一起，實現(xiàn)了遠距離的用計算機，這為計算機網(wǎng)絡(luò)的出現(xiàn)做好了技術(shù)準備，奠定了良好的理論基礎(chǔ)。后來，60年代初，美國航空公司的飛機訂票系統(tǒng)又一次嘗試通過一臺中央計算機連接了遍布美國全境的兩千多臺計算機，從而實現(xiàn)了分時多用戶和集中控制處理，以計算機為中心的聯(lián)機系統(tǒng)也就這樣產(chǎn)生了。20世紀60年代中期，出現(xiàn)了將若干臺計算機互連起來的實現(xiàn)信息交換和資源共享的系統(tǒng)，即計算機—計算機網(wǎng)絡(luò)。其特征：具備了自主處理的能力，不存在主從關(guān)系。第二代計算機網(wǎng)絡(luò)的重點在于網(wǎng)絡(luò)的整體性，用戶不僅可以共享與之直接相連的主機資源，而且還能通過通信子網(wǎng)共享其他主機和用戶的軟、硬件資源。70年年代中期，伴隨著微型計算機的出現(xiàn)和微處理技術(shù)的發(fā)展，使得它對計算機在短距離間的通信要求也越發(fā)明顯，就此局域網(wǎng)便應(yīng)運而生了。計算機網(wǎng)絡(luò)要求開始正式步入標準化的網(wǎng)絡(luò)體系結(jié)構(gòu)時代，美國IBM公司率先公布了系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)標準，在這之后，DEC公司也提出了數(shù)字網(wǎng)絡(luò)體系結(jié)構(gòu)標準。在此期間，由于網(wǎng)絡(luò)的體系機構(gòu)不同，這樣不同公司的要想互連在一起就比較困難。在1977年，國際標準化組織ISO成立了一個專門機構(gòu)，并于1983年正式提出了一個各種計算機能夠在世界范圍內(nèi)互連成網(wǎng)的標準框架，即著名的開發(fā)系統(tǒng)互連基本參考模型，簡稱OSI參考模型。該模型的提出使計算機網(wǎng)絡(luò)有了一個標準的網(wǎng)絡(luò)體系機構(gòu)，能夠?qū)崿F(xiàn)將不同廠家生產(chǎn)的計算機互連成網(wǎng)。20世紀90年代，計算機網(wǎng)絡(luò)的發(fā)展進入了第四個階段，即高速互聯(lián)階段。許多不同類型的網(wǎng)絡(luò)相互連接起來了，形成了大規(guī)模的互聯(lián)網(wǎng)絡(luò)。計算機網(wǎng)絡(luò)化，協(xié)同計算能力發(fā)展以及全球互連網(wǎng)絡(luò)的盛行。計算機的發(fā)展已經(jīng)完全與網(wǎng)絡(luò)融為一體，體現(xiàn)了“網(wǎng)絡(luò)就是計算機”的口號。目前，計算機網(wǎng)絡(luò)已經(jīng)真正進入社會各行各業(yè)，為社會各行各業(yè)所采用。另外，虛擬網(wǎng)絡(luò)FDDI及ATM技術(shù)的應(yīng)用，使網(wǎng)絡(luò)技術(shù)蓬勃發(fā)展并迅速走向市場，走進平民百姓的生活。PAGE\*Arabic19PAGE\*Arabic192.2工程設(shè)計要求本次的網(wǎng)絡(luò)規(guī)劃的配置對操作系統(tǒng)的要求如下：硬件要求：CPU：最低IntelPentiumII500MHz。磁盤空間：250MB（完全安裝），155MB（快速安裝）。內(nèi)存：512MB（最好1GB以上）。操作系統(tǒng)：Windows2003以上的操作系統(tǒng)。2.2.1網(wǎng)絡(luò)設(shè)備：思科Cisco網(wǎng)絡(luò)設(shè)備思科系統(tǒng)公司（CiscoSystems,Inc.），簡稱思科公司或思科，1984年12月正式成立，是互聯(lián)網(wǎng)解決方案的領(lǐng)先提供者，其設(shè)備和軟件產(chǎn)品主要用于連接計算機網(wǎng)絡(luò)系統(tǒng)，總部位于美國加利福尼亞州圣何塞。1986年，Cisco第一臺多協(xié)議路由器面市。1993年，思科建成了世界上第一個由1000臺路由器連接的網(wǎng)絡(luò)，由此進入了一個迅猛發(fā)展的時期。如今思科系統(tǒng)公司已成為公認的全球網(wǎng)絡(luò)互聯(lián)解決方案的領(lǐng)先廠商，其提供的解決方案是世界各地成千上萬的公司、大學、企業(yè)和政府部門建立互聯(lián)網(wǎng)的基礎(chǔ)，用戶遍及電信、金融、服務(wù)、零售等行業(yè)以及政府部門和教育機構(gòu)等。同時，思科系統(tǒng)公司也是建立網(wǎng)絡(luò)的中堅力量，互聯(lián)網(wǎng)上近80%的信息流量經(jīng)由思科系統(tǒng)公司的產(chǎn)品傳遞。思科已經(jīng)成為毋庸置疑的網(wǎng)絡(luò)領(lǐng)導(dǎo)者。第三章需求分析3.1網(wǎng)絡(luò)需求分析金融行業(yè)有著自身的特殊性，企業(yè)網(wǎng)對整個網(wǎng)絡(luò)性能要求相對較高，企業(yè)網(wǎng)網(wǎng)組建需滿足對數(shù)字、語音、圖形圖象等多媒體技術(shù)的廣泛應(yīng)用，以及綜合科研信息的傳輸和處理需求的綜合數(shù)字網(wǎng)，并能符合多種協(xié)議的要求，其體系應(yīng)當符合國際標準（如TCP/IP協(xié)議），同時能兼容已有的網(wǎng)絡(luò)環(huán)境。因此設(shè)計組網(wǎng)前，應(yīng)對各方面需求總結(jié)歸納并做出細致分析：（1）內(nèi)部光纜主干需求：分析綜合布線系統(tǒng)及其子系統(tǒng)，主配線間以及內(nèi)部網(wǎng)絡(luò)連接采用100M線纜。（2）網(wǎng)絡(luò)應(yīng)用需求：搭建DMZ區(qū)域放置FTP服務(wù)器、WEB服務(wù)器、郵件服務(wù)器等服務(wù)器。（3）網(wǎng)絡(luò)流量需求：要求企業(yè)網(wǎng)有足夠的網(wǎng)絡(luò)吞吐量來滿足辦公任務(wù)，保證信息的高質(zhì)高效率傳輸，企業(yè)網(wǎng)流量涉及到：語音會話、多媒體課件、服務(wù)器訪問、Web瀏覽等，對帶寬需求和時延性要求極高。（4）網(wǎng)絡(luò)安全需求：校園網(wǎng)絡(luò)必須有完善的安全管理機制，能夠確保網(wǎng)絡(luò)內(nèi)部可靠運行，還要防止來自外部的和來自內(nèi)部的非法訪問和入侵，保證關(guān)鍵服務(wù)器和信息的安全。（5）網(wǎng)絡(luò)可靠性需求：網(wǎng)絡(luò)設(shè)計過程中網(wǎng)絡(luò)拓撲應(yīng)采用穩(wěn)定可靠的形式，如：雙路由網(wǎng)絡(luò)拓撲、環(huán)行網(wǎng)絡(luò)結(jié)構(gòu)。因為它們既可冗余備份，安全性又可以得到保障。核心層交換可采用高端交換設(shè)備和光纖技術(shù)的主干鏈路（TRUNK）來實現(xiàn)較高的容錯性，這樣就可以避免單點故障的出現(xiàn)。網(wǎng)絡(luò)結(jié)構(gòu)使用雙鏈路，雙匯聚交換設(shè)備，雙路由備份可靠措施，都可以使校園網(wǎng)可靠性和實用性得到大大的提高3.2網(wǎng)絡(luò)規(guī)劃的目標總體上，該企業(yè)網(wǎng)的規(guī)劃是要建立一個高效率安全穩(wěn)定的企業(yè)網(wǎng)絡(luò)，使能滿足企業(yè)在日常辦公和商業(yè)往來的各種要求。第四章網(wǎng)絡(luò)工程設(shè)計4.1網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計網(wǎng)絡(luò)中心是企業(yè)網(wǎng)的信息資源中心和信息樞紐中心，其網(wǎng)絡(luò)體系結(jié)構(gòu)直接關(guān)系到網(wǎng)絡(luò)系統(tǒng)的安全、可靠、高效的運行。因此，網(wǎng)絡(luò)拓撲結(jié)構(gòu)要嚴格按照內(nèi)外網(wǎng)隔離的模式設(shè)計。非軍事區(qū)（DMZ）包括交換機、公司W(wǎng)WW服務(wù)器、E-mail服務(wù)器、防火墻。內(nèi)部網(wǎng)絡(luò)有核心交換機、匯聚層交換機、接入層交換機、防火墻、路由器、FTP服務(wù)器等。如下圖所示：4.2網(wǎng)絡(luò)設(shè)備選擇：4.2.1核心層設(shè)備CISCO2900路由器CISCO2900系列集成多業(yè)務(wù)路由器支持嵌入式硬件加密加速、支持語音和視頻的數(shù)字信號處理器DSP插槽、可選防火墻、入侵預(yù)防、呼叫處理、語音信箱以及應(yīng)用程序服務(wù)，可提供無與倫比的總擁有成本節(jié)約和網(wǎng)絡(luò)靈活性。4.2.2匯聚層設(shè)備CISCOCatalyst3560系列是一個固定配置、企業(yè)級、IEEE802.3af和思科預(yù)標準以太網(wǎng)供電（PoE）交換機系列，工作在快速以太網(wǎng)和千兆位以太網(wǎng)配置下，適用于中型企業(yè)布線室或分支機構(gòu)環(huán)境。4.2.3接入層設(shè)備CISCOCatalyst2960系列交換機是一系列采用以太網(wǎng)供電或非PoE配置，可提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，并可為入門級企業(yè)、中間市場和分支機構(gòu)網(wǎng)絡(luò)實現(xiàn)高級局域網(wǎng)服務(wù)的固定配置獨立式智能以太網(wǎng)設(shè)備。4.2.4因特網(wǎng)接入設(shè)備CISCOASA5510系列防火墻是一個易于部署、經(jīng)濟有效的安全設(shè)備，為中小企業(yè)和大型企業(yè)的遠程/分支機構(gòu)提供了種類豐富的高級安全和網(wǎng)絡(luò)服務(wù)。4.3IP地址規(guī)劃在網(wǎng)絡(luò)規(guī)劃中，IP地址方案的設(shè)計非常的重要，合理的IP地址方案不僅可以減少網(wǎng)絡(luò)負荷，還能為以后的網(wǎng)絡(luò)擴展打下良好的基礎(chǔ)，在IP地址規(guī)劃時必須考慮周全。4.3.1子網(wǎng)劃分的需求在動手開始劃分子網(wǎng)之前，我們一定要先分析一下企業(yè)的需求以及將來的發(fā)展的規(guī)劃。一般情況下我們遵循這樣的準則：(1)確定好網(wǎng)絡(luò)中的物理段的數(shù)量(子網(wǎng)個數(shù))。(2)確定好每個子網(wǎng)需要的主機數(shù)（注意一個主機至少一個IP地址）。(3)基于以上需求，定義整個網(wǎng)絡(luò)的子網(wǎng)屏蔽、每個子網(wǎng)唯一的子網(wǎng)號和每個子網(wǎng)的主機號范圍。4.3.2IP與Vlan的劃分公司本部采用B類私有IP地址，公司分部采用C類私有IP地址，具體分配如下：VLAN號VLAN名稱IP網(wǎng)段默認網(wǎng)關(guān)說明VLAN10VLAN10/24財政部VLAN20VLAN20/24人力資源部VLAN30VLAN30/24市場營銷部VLAN40VLAN40/24生產(chǎn)部VLAN50VLAN50/24信息技術(shù)部VLAN60VLAN60/24技術(shù)研發(fā)部VLAN70VLAN70/24行政部VLAN80VLAN80/24物流部VLAN90VLAN90/24本征VLANVLAN100VLAN100/241管理VLAN4.3.2網(wǎng)絡(luò)設(shè)備地址表設(shè)備接口地址子網(wǎng)掩碼COREFa1/0Fa2/0Fa3/0FIREWALLE0/0E0/1E0/2DSW-1Fa0/0VLAN100DSW-2Fa0/0VLAN100ASW-1VLAN100ASW-2VLAN100ASW-3VLAN100ASW-4VLAN1004.4網(wǎng)絡(luò)安全設(shè)計目前網(wǎng)絡(luò)的用硬越來越普及，圍繞網(wǎng)絡(luò)安全方面的問題也越來越多。由于網(wǎng)絡(luò)資源的開放性和計算機網(wǎng)絡(luò)技術(shù)及計算機軟硬件的不完善，計算機收到的攻擊也越來越多。很多不法分子或者黑客利用網(wǎng)絡(luò)進行不法操作和破壞，使得人們對網(wǎng)絡(luò)正常的使用受到了巨大的影響。對網(wǎng)絡(luò)按性能的改善和增強是相當有必要的，這需要人們?nèi)ネ晟凭W(wǎng)絡(luò)系統(tǒng)的各個環(huán)節(jié)，入完善網(wǎng)絡(luò)設(shè)備功能和資源管理軟件性能、提高網(wǎng)絡(luò)性能呢個的監(jiān)控和管理能力。所以在規(guī)劃企業(yè)的網(wǎng)絡(luò)時候，企業(yè)網(wǎng)絡(luò)的安全性設(shè)計是不容忽視的一個環(huán)節(jié)。需要在網(wǎng)絡(luò)內(nèi)部署一些安全措施防止外來或者來自內(nèi)部的網(wǎng)絡(luò)攻擊。4.4.1防火墻4.4.2網(wǎng)絡(luò)安全提升措施4.5主要網(wǎng)絡(luò)技術(shù)的設(shè)計4.5.1PVST+技術(shù)PVST+技術(shù)介紹PVST+（PerVLANSpanningTreePlus，增強的按VLAN生成樹）是CISCO解決在虛擬局域網(wǎng)上處理生成樹問題的另一個方案。PVST+允許CST(公共生成樹)信息傳給PVST，以便與其他廠商對在VLAN上運行生成樹的實現(xiàn)方法進行操作。PVST+支持在相同網(wǎng)絡(luò)中同時存在CST和PVST，PVST+可以用802.1Q封裝。PVST+在Catalyst802.1Qtrunks上是自動啟動的。也是每個Vlan一棵STP。也可以實現(xiàn)第2層的負載均衡。PVST+分成3種類型的區(qū)域：PVST區(qū)域/PVST+區(qū)域/單生成樹區(qū)域。PVST+1支持ISL和IEEE802.1Q中繼2支持cisco專有的stp擴展3添加BPDU防護和根防護增強功能PVST+技術(shù)應(yīng)用使用PVST+技術(shù)應(yīng)用在所有交換機上，將指定的Vlan的生成樹的根橋放在指定的匯聚層交換機上，可以達到負載均衡和方便管理的作用。例如：指定DSW-1為Vlan10,的根橋，DSW-2為Vlan10的備份根橋指定DSW-2為Vlan50的根橋，DSW-1為Vlan50的備份根橋4.5.2VTP技術(shù)VTP技術(shù)介紹VTP（VLANTrunkingProtocol）：是VLAN中繼協(xié)議，也被稱為虛擬局域網(wǎng)干道協(xié)議。它是思科私有協(xié)議。作用是十幾臺交換機在企業(yè)網(wǎng)中，配置VLAN工作量大，可以使用VTP協(xié)議，把一臺交換機配置成VTPServer,其余交換機配置成VTPClient,這樣他們可以自動學習到server上的VLAN信息。它是一個OSI參考模型第二層的通信協(xié)議，主要用于管理在同一個域的網(wǎng)絡(luò)范圍內(nèi)VLANs的建立、刪除和重命名。在一臺VTPServer上配置一個新的VLAN時，該VLAN的配置信息將自動傳播到本域內(nèi)的其他所有交換機。這些交換機會自動地接收這些配置信息，使其VLAN的配置與VTPServer保持一致，從而減少在多臺設(shè)備上配置同一個VLAN信息的工作量，而且保持了VLAN配置的統(tǒng)一性。VTP通過網(wǎng)絡(luò)(ISL幀或cisco私有DTP幀)保持VLAN配置統(tǒng)一性。VTP在系統(tǒng)級管理增加，刪除，調(diào)整的VLAN，自動地將信息向網(wǎng)絡(luò)中其它的交換機廣播。此外，VTP減小了那些可能導(dǎo)致安全問題的配置。便于管理,只要在vtpserver做相應(yīng)設(shè)置,vtpclient會自動學習vtpserver上的vlan信息*當使用多重名字VLAN能變成交叉--連接。*當它們是錯誤地映射在一個和其它局域網(wǎng)，VLAN能變成內(nèi)部斷開。VTP有三種工作模式：VTPServer、VTPClient和VTPTransparent。新交換機出廠時的默認配置是預(yù)配置為VLAN1，VTP模式為服務(wù)器。一般，一個VTP域內(nèi)的整個網(wǎng)絡(luò)只設(shè)一個VTPServer。VTPServer維護該VTP域中所有VLAN信息列表，VTPServer可以建立、刪除或修改VLAN，發(fā)送并轉(zhuǎn)發(fā)相關(guān)的通告信息，同步vlan配置，會把配置保存在NVRAM中。VTPClient雖然也維護所有VLAN信息列表，但其VLAN的配置信息是從VTPServer學到的，VTPClient不能建立、刪除或修改VLAN，但可以轉(zhuǎn)發(fā)通告，同步vlan配置，不保存配置到NVRAM中。VTPTransparent相當于是一項獨立的交換機，它不參與VTP工作，不從VTPServer學習VLAN的配置信息，而只擁有本設(shè)備上自己維護的VLAN信息。VTPTransparent可以建立、刪除和修改本機上的VLAN信息，同時會轉(zhuǎn)發(fā)通告并把配置保存到NVRAM中。VTP技術(shù)應(yīng)用使用VTP協(xié)議在所有的交換機上，可以更加方便管理眾多的Vlan信息。匯聚層的交換機DSW-1為Server模式,其余交換機都為Client模式。開啟密碼防止非法的交換機進入該VTP域，并且開啟了VTP修建功能，減少交換機間帶寬的浪費。4.5.3OSPF技術(shù)OSPF技術(shù)介紹OSPF路由協(xié)議是一種典型的鏈路狀態(tài)（Link-state）的路由協(xié)議，一般用于同一個路由域內(nèi)。在這里，路由域是指一個自治系統(tǒng)（AutonomousSystem），即AS，它是指一組通過統(tǒng)一的路由政策或路由協(xié)議互相交換路由信息的網(wǎng)絡(luò)。在這個AS中，所有的OSPF路由器都維護一個相同的描述這個AS結(jié)構(gòu)的數(shù)據(jù)庫，該數(shù)據(jù)庫中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息，OSPF路由器正是通過這個數(shù)據(jù)庫計算出其OSPF路由表的。作為一種鏈路狀態(tài)的路由協(xié)議，OSPF將鏈路狀態(tài)廣播數(shù)據(jù)LSA（LinkStateAdvertisement）傳送給在某一區(qū)域內(nèi)的所有路由器，這一點與距離矢量路由協(xié)議不同。運行距離矢量路由協(xié)議的路由器是將部分或全部的路由表傳遞給與其相鄰的路由器。OSPF協(xié)議主要優(yōu)點：1、OSPF是真正的LOOP-FREE（無路由自環(huán)）路由協(xié)議。源自其算法本身的優(yōu)點。（鏈路狀態(tài)及最短路徑樹算法）2、OSPF收斂速度快：能夠在最短的時間內(nèi)將路由變化傳遞到整個自治系統(tǒng)。3、提出區(qū)域（area）劃分的概念，將自治系統(tǒng)劃分為不同區(qū)域后，通過區(qū)域之間的對路由信息的摘要，大大減少了需傳遞的路由信息數(shù)量。也使得路由信息不會隨網(wǎng)絡(luò)規(guī)模的擴大而急劇膨脹。4、將協(xié)議自身的開銷控制到最小。見下：1）用于發(fā)現(xiàn)和維護鄰居關(guān)系的是定期發(fā)送的是不含路由信息的hello報文，非常短小。包含路由信息的報文時是觸發(fā)更新的機制。（有路由變化時才會發(fā)送）。但為了增強協(xié)議的健壯性，每1800秒全部重發(fā)一次。2）在廣播網(wǎng)絡(luò)中，使用組播地址（而非廣播）發(fā)送報文，減少對其它不運行ospf的網(wǎng)絡(luò)設(shè)備的干擾。3）在各類可以多址訪問的網(wǎng)絡(luò)中（廣播，NBMA），通過選舉DR，使同網(wǎng)段的路由器之間的路由交換（同步）次數(shù)由O（N*N）次減少為O（N）次。4）提出STUB區(qū)域的概念，使得STUB區(qū)域內(nèi)不再傳播引入的ASE路由。5）在ABR（區(qū)域邊界路由器）上支持路由聚合，進一步減少區(qū)域間的路由信息傳遞。6）在點到點接口類型中，通過配置按需播號屬性（OSPFoverOnDemandCircuits），使得ospf不再定時發(fā)送hello報文及定期更新路由信息。只在網(wǎng)絡(luò)拓撲真正變化時才發(fā)送更新信息。5、通過嚴格劃分路由的級別（共分四極），提供更可信的路由選擇。6、良好的安全性，ospf支持基于接口的明文及md5驗證。7、OSPF適應(yīng)各種規(guī)模的網(wǎng)絡(luò)，最多可達數(shù)千臺OSPF技術(shù)應(yīng)用4.5.4HSRP技術(shù)HSRP技術(shù)介紹熱備份路由器協(xié)議（HSRP）的設(shè)計目標是支持特定情況下IP流量失敗轉(zhuǎn)移不會引起混亂、并允許主機使用單路由器，以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。換句話說，當源主機不能動態(tài)知道第一跳路由器的IP地址時，HSRP協(xié)議能夠保護第一跳路由器不出故障。負責轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為活動路由器（ActiveRouter）。一旦主動路由器出現(xiàn)故障，HSRP將激活備份路由器（StandbyRouters）取代主動路由器。HSRP協(xié)議提供了一種決定使用主動路由器還是備份路由器的機制，并指定一個虛擬的IP地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。如果主動路由器出現(xiàn)故障，備份路由器（StandbyRouters）承接主動路由器的所有任務(wù)，并且不會導(dǎo)致主機連通中斷現(xiàn)象。HSRP運行在UDP上，采用端口號1985。路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使用的是實際IP地址，而并非虛擬地址，正是基于這一點，HSRP路由器間能相互識別。HSRP協(xié)議利用一個優(yōu)先級方案來決定哪個配置了HSRP協(xié)議的路由器成為默認的主動路由器。如果一個路由器的優(yōu)先級設(shè)置的比所有其他路由器的優(yōu)先級高，則該路由器成為主動路由器。路由器的缺省優(yōu)先級是100，所以如果只設(shè)置一個路由器的優(yōu)先級高于100，則該路由器將成為主動路由器。通過在設(shè)置了HSRP協(xié)議的路由器之間廣播HSRP優(yōu)先級，HSRP協(xié)議選出當前的主動路由器。當在預(yù)先設(shè)定的一段時間內(nèi)主動路由器不能發(fā)送hello消息時，優(yōu)先級最高的備用路由器變?yōu)橹鲃勇酚善鳌Ｂ酚善髦g的包傳輸對網(wǎng)絡(luò)上的所有主機來說都是透明的。配置了HSRP協(xié)議的路由器交換以下三種多點廣播消息：Hello———hello消息通知其他路由器發(fā)送路由器的HSRP優(yōu)先級和狀態(tài)信息，HSRP路由器默認為每3秒鐘發(fā)送一個hello消息；Coup———當一個備用路由器變?yōu)橐粋€主動路由器時發(fā)送一個coup消息；Resign———當主動路由器要宕機或者當有優(yōu)先級更高的路由器發(fā)送hello消息時，主動路由器發(fā)送一個resign消息。在任一時刻，配置了HSRP協(xié)議的路由器都將處于以下六種狀態(tài)之一：Initial———HSRP啟動時的狀態(tài)，HSRP還沒有運行，一般是在改變配置或端口剛剛啟動時進入該狀態(tài)。Learn———學習狀態(tài)，不知道虛擬IP，未看到活躍路由器發(fā)hello。等待活躍路由器發(fā)hello。Listen———路由器已經(jīng)得到了虛擬IP地址，但是它既不是活動路由器也不是等待路由器。它一直監(jiān)聽從活動路由器和等待路由器發(fā)來的HELLO報文。Speak———在該狀態(tài)下，路由器定期發(fā)送HELLO報文，并且積極參加活動路由器或等待路由器的競選。Standby———當主動路由器失效時路由器準備接管包傳輸功能。Active———路由器執(zhí)行包傳輸功能。HSRP技術(shù)應(yīng)用使用HSRP技術(shù)在匯聚層的交換機上，為每一個Vlan的用戶提供路由備份的功能，并且平均分配在2個匯聚層交換機上實現(xiàn)負載均衡。在匯聚層的交換機上都設(shè)置驗證密碼，防止非法交換機的接入。4.5.5IPSecVPN技術(shù)IPSecVPN技術(shù)介紹IPSecVPN即指采用IPSec協(xié)議來實現(xiàn)遠程接入的一種VPN技術(shù)，IPSec全稱為InternetProtocolSecurity，是由InternetEngineeringTaskForce(IETF)定義的安全標準框架，用以提供公用和專用網(wǎng)絡(luò)的端對端加密和驗證服務(wù)。IPSec(IPSECURITY)是為實現(xiàn)VPN功能而最普遍使用的協(xié)議。通過相應(yīng)的隧道技術(shù)，可實現(xiàn)VPN。IPSec有兩種模式：隧道模式和傳輸模式。IPSec不是一個單獨的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)。該體系結(jié)構(gòu)包括認證頭協(xié)議（AuthenticationHeader，簡稱為AH）、封裝安全負載協(xié)議（EncapsulatingSecurityPayload，簡稱為ESP）、密鑰管理協(xié)議（InternetKeyExchange，簡稱為IKE）和用于網(wǎng)絡(luò)認證及加密的一些算法等。IPSec規(guī)定了如何在對等體之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問控制、數(shù)據(jù)源認證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。認證頭協(xié)議（AH）：IPsec體系結(jié)構(gòu)中的一種主要協(xié)議，它為IP數(shù)據(jù)包提供無連接完整性與數(shù)據(jù)源認證，并提供保護以避免重播情況。AH盡可能為IP頭和上層協(xié)議數(shù)據(jù)提供足夠多的認證。IPsec封裝安全負載（ESP）：IPsec體系結(jié)構(gòu)中的一種主要協(xié)議。ESP加密需要保護的數(shù)據(jù)并且在IPsecESP的數(shù)據(jù)部分進行數(shù)據(jù)的完整性校驗，以此來保證機密性和完整性。ESP提供了與AH相同的安全服務(wù)并提供了一種保密性（加密）服務(wù)，ESP與AH各自提供的認證根本區(qū)別在于它們的覆蓋范圍。密鑰管理協(xié)議（IKE）：一種混合型協(xié)議，由Internet安全聯(lián)盟（SA）和密鑰管理協(xié)議（ISAKMP）這兩種密鑰交換協(xié)議組成。IKE用于協(xié)商AH和ESP所使用的密碼算法，并將算法所需的必備密鑰放到恰當位置。IPSec工作時，首先兩端的網(wǎng)絡(luò)設(shè)備必須就SA(securityassociation)達成一致，這是兩者之間的一項安全策略協(xié)定IPSecVPN技術(shù)應(yīng)用第五章總結(jié)通過完成這次畢業(yè)設(shè)計－中型企業(yè)網(wǎng)的設(shè)計，我的技術(shù)水平得到了顯著的提高，收獲良多?？梢赃@么說，我收獲的不止是技術(shù)上的東西，還有的就是學習方法和為人處世的道理。以前沒有嘗試過動手規(guī)劃和實施一個中型企業(yè)的網(wǎng)絡(luò)，學的知識都是零碎的，所以這次規(guī)劃和實施一個中型企業(yè)網(wǎng)對我來說是一個非常大的挑戰(zhàn)。首先要把以前所學的零碎的知識結(jié)合起來，還要一邊做實驗一邊學習新知識。遇到自己不懂的問題，通過利用網(wǎng)絡(luò)還找不到解決方法，我就會去向老師請教。從中我明白了如何更有效的解決問題，如何的更好和老師相處，還學會了學習的方法：理論和實踐結(jié)合，也就是知行合一。用這個方法學習網(wǎng)絡(luò)知識，真的很有效果。參考文獻[1].梁廣民王隆杰.《思科網(wǎng)絡(luò)實驗室CCNP交換技術(shù)試驗指南》.電子工業(yè)出版社出版社.2012.05[2].梁廣民王隆杰.《思科網(wǎng)絡(luò)實驗室CCNP路由技術(shù)試驗指南》.電子工業(yè)出版社出版社.2012.05[3].秦柯.《CiscoIPsecVPN實戰(zhàn)指南》.人民郵電出版社.2012.06[4].嚴學軍魯立.《LINUX操作系統(tǒng)配置與管理》.中國水利水電出版社.2008.01[5].魯立.《網(wǎng)絡(luò)安全技術(shù)項目引導(dǎo)教程》.中國水利水電出版社.2012.06致謝經(jīng)過幾個多月的不懈努力，我的畢業(yè)設(shè)計終于圓滿完成了。在整個設(shè)計過程中，遇到了不少的難題和挫折，但都在魯老師和同學們的幫助下和自己的努力學習下克服了。這次畢業(yè)設(shè)計使我受到了全方位的訓練，獨立思考、專業(yè)技術(shù)能力得到了很大提高。此時，我的心情無法平靜，從開始進入課題到論文的順利完成，有多少可敬的師長、同學、朋友給了我無言的幫助，是你們?yōu)槲覔纹鹨黄炜?，在這里請接受我誠摯的謝意。基于C8051F單片機直流電動機反饋控制系統(tǒng)的設(shè)計與研究基于單片機的嵌入式Web服務(wù)器的研究MOTOROLA單片機MC68HC（8）05PV8/A內(nèi)嵌EEPROM的工藝和制程方法及對良率的影響研究基于模糊控制的電阻釬焊單片機溫度控制系統(tǒng)的研制基于MCS-51系列單片機的通用控制模塊的研究基于單片機實現(xiàn)的供暖系統(tǒng)最佳啟停自校正（STR）調(diào)節(jié)器單片機控制的二級倒立擺系統(tǒng)的研究基于增強型51系列單片機的TCP/IP協(xié)議棧的實現(xiàn)基于單片機的蓄電池自動監(jiān)測系統(tǒng)基于32位嵌入式單片機系統(tǒng)的圖像采集與處理技術(shù)的研究基于單片機的作物營養(yǎng)診斷專家系統(tǒng)的研究基于單片機的交流伺服電機運動控制系統(tǒng)研究與開發(fā)基于單片機的泵管內(nèi)壁硬度測試儀的研制基于單片機的自動找平控制系統(tǒng)研究基于C8051F040單片機的嵌入式系統(tǒng)開發(fā)基于單片機的液壓動力系統(tǒng)狀態(tài)監(jiān)測儀開發(fā)模糊Smith智能控制方法的研究及其單片機實現(xiàn)一種基于單片機的軸快流CO〈,2〉激光器的手持控制面板的研制基于雙單片機沖床數(shù)控系統(tǒng)的研究基于CYGNAL單片機的在線間歇式濁度儀的研制基于單片機的噴油泵試驗臺控制器的研制基于單片機的軟起動器的研究和設(shè)計基于單片機控制的高速快走絲電火花線切割機床短循環(huán)走絲方式研究基于單片機的機電產(chǎn)品控制系統(tǒng)開發(fā)基于PIC單片機的智能手機充電器基于單片機的實時內(nèi)核設(shè)計及其應(yīng)用研究基于單片機的遠程抄表系統(tǒng)的設(shè)計與研究基于單片機的煙氣二氧化硫濃度檢測儀的研制基于微型光譜儀的單片機系統(tǒng)單片機系統(tǒng)軟件構(gòu)件開發(fā)的技術(shù)研究基于單片機的液體點滴速度自動檢測儀的研制基于單片機系統(tǒng)的多功能溫度測量儀的研制基于PIC單片機的電能采集終端的設(shè)計和應(yīng)用基于單片機的光纖光柵解調(diào)儀的研制氣壓式線性摩擦焊機單片機控制系統(tǒng)的研制基于單片機的數(shù)字磁通門傳感器基于單片機的旋轉(zhuǎn)變壓器-數(shù)字轉(zhuǎn)換器的研究基于單片機的光纖Bragg光柵解調(diào)系統(tǒng)的研究單片機控制的便攜式多功能乳腺治療儀的研制基于C8051F020單片機的多生理信號檢測儀基于單片機的電機運動控制系統(tǒng)設(shè)計Pico專用單片機核的可測性設(shè)計研究基于MCS-51單片機的熱量計基于雙單片機的智能遙測微型氣象站MCS-51單片機構(gòu)建機器人的實踐研究基于單片機的輪軌力檢測基于單片機的GPS定位儀的研究與實現(xiàn)基于單片機的電液伺服控制系統(tǒng)用于單片機系統(tǒng)的MMC卡文件系統(tǒng)研制基于單片機的時控和計數(shù)系統(tǒng)性能優(yōu)化的研究基于單片機和CPLD的粗光柵位移測量系統(tǒng)研究單片機控制的后備式方波UPS提升高職學生單片機應(yīng)用能力的探究基于單片機控制的自動低頻減載裝置研究基于單片機控制的水下焊接電源的研究基于單片機的多通道數(shù)據(jù)采集系統(tǒng)基于uPSD3234單片機的氚表面污染測量儀的研制基于單片機的紅外測油儀的研究96系列單片機仿真器研究與設(shè)計基于單片機的單晶金剛石刀具刃磨設(shè)備的數(shù)控改造基于單片機的溫度智能控制系統(tǒng)的設(shè)計與實現(xiàn)基于MSP430單片機的電梯門機控制器的研制基于單片機的氣體測漏儀的研究基于三菱M16C/6N系列單片機的CAN/USB協(xié)議轉(zhuǎn)換器基于單片機和DSP的變壓器油色譜在線監(jiān)測技術(shù)研究基于單片機的膛壁溫度報警系統(tǒng)設(shè)計基于AVR單片機的低壓無功補償控制器的設(shè)計基于單片機船舶電力推進電機監(jiān)測系統(tǒng)基于單片機網(wǎng)絡(luò)的振動信號的采集系統(tǒng)基于單片機的大容量數(shù)據(jù)存儲技術(shù)的應(yīng)用研究基于單片機的疊圖機研究與教學方法實踐基于單片機嵌入式Web服務(wù)器技術(shù)的研究及實現(xiàn)基于AT89S52單片機的通用數(shù)據(jù)采集系統(tǒng)基于單片機的多道脈沖幅度分析儀研究機器人旋轉(zhuǎn)電弧傳感角焊縫跟蹤單片機控制系統(tǒng)基于單片機的控制系統(tǒng)在PLC虛擬教學實驗中的應(yīng)用研究基于單片機系統(tǒng)的網(wǎng)絡(luò)通信研究與應(yīng)用基于PIC16F877單片機的莫爾斯碼自動譯碼系統(tǒng)設(shè)計與研究基于單片機的模糊控制器在工業(yè)電阻爐上的應(yīng)用研究基于雙單片機沖床數(shù)控系統(tǒng)的研究與開發(fā)基于Cygnal單片機的μC/OS-Ⅱ的研究基于單片機的一體化智能差示掃描量熱儀系統(tǒng)研究基于TCP/IP協(xié)議的單片機與Internet互聯(lián)的研究與實現(xiàn)變頻調(diào)速液壓電梯單片機控制器的研究基于單片機γ-免疫計數(shù)器自動換樣功能的研究與實現(xiàn)基于單片機的倒立擺控制系統(tǒng)設(shè)計與實現(xiàn)HYPERLINK"/detail.htm?