路由交換方向計(jì)算機(jī)畢業(yè)論文

1、畢業(yè)設(shè)計(jì)網(wǎng) 絡(luò) 工 程路由交換方向摘 要21世紀(jì)是一個(gè)以網(wǎng)絡(luò)為基礎(chǔ)的信息時(shí)代。作為計(jì)算機(jī)技術(shù)和通信技術(shù)相結(jié)合的產(chǎn)物，計(jì)算機(jī)網(wǎng)絡(luò)在這個(gè)時(shí)代發(fā)揮著它不可估量的作用，對(duì)人們的工作、學(xué)習(xí)、生活、行為和思維方式都產(chǎn)生著重要的影響。隨著科學(xué)技術(shù)的不斷進(jìn)步，計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)都得到了長(zhǎng)足的發(fā)展，越來越多的計(jì)算機(jī)連接到不同的網(wǎng)絡(luò)中，使得計(jì)算機(jī)網(wǎng)絡(luò)不論從結(jié)構(gòu)上還是規(guī)模上都發(fā)生了很大的變化，這給計(jì)算機(jī)網(wǎng)絡(luò)的建設(shè)提出了新的挑戰(zhàn)，對(duì)實(shí)施網(wǎng)絡(luò)工程也提出了新的要求。隨著網(wǎng)絡(luò)的逐步普及，中小型企業(yè)的建設(shè)是企業(yè)向信息化發(fā)展的必然選擇，企業(yè)網(wǎng)絡(luò)系統(tǒng)是一個(gè)非常龐大而復(fù)雜的系統(tǒng)，它不僅為企業(yè)現(xiàn)代化、綜合信息管理和辦公自動(dòng)化等一系

2、列應(yīng)用提供基本操作平臺(tái)，而且能提供多種應(yīng)用服務(wù)，使信息能及時(shí)、準(zhǔn)確地傳送給各個(gè)系統(tǒng)。而中小型企業(yè)工程建設(shè)中主要應(yīng)用了網(wǎng)絡(luò)技術(shù)中的重要分支局域網(wǎng)技術(shù)來建設(shè)與管理的，因此本畢業(yè)設(shè)計(jì)課題將主要以中小型局域網(wǎng)絡(luò)建設(shè)過程可能用到的各種技術(shù)及實(shí)施方案為設(shè)計(jì)方向，為中小型企業(yè)的建設(shè)提供理論依據(jù)和實(shí)踐指導(dǎo)。本課題共分34章，主要包括二大方面：windows和linux。windows主要內(nèi)容包括windows server 2003的安裝與基本配置、windows server 2003系統(tǒng)管理、windows網(wǎng)絡(luò)配置、windows dns和dhcp服務(wù)器等；linux主要內(nèi)容包括linux操作系統(tǒng)的安裝與

3、基本配置、linux網(wǎng)絡(luò)配置、samba服務(wù)器、ftp服務(wù)器、dns服務(wù)器等各種網(wǎng)絡(luò)服務(wù)器的安裝與配置。本項(xiàng)目也解決了企業(yè)局域網(wǎng)之間的vpn搭建以及路由器和交換機(jī)的配置。關(guān)鍵詞：局域網(wǎng)搭建；linux服務(wù)器配置；windows管理；路由與交換配置abstractthe 21st century is a web-based information era. as computer technology and communication technology, the combination of computer network in this age of plays it an ines

4、timable role, to peoples work, study and life, behavior and the way of thinking has the important influence. with the improvement of science and technology, computer technology and network technology have been considerable development, more and more of the computer connected to a different networks,

5、 makes the computer network no matter from the structure or scale has changed very greatly, this gives computer network construction, and puts forward new challenges for implementing network project also puts forward new requirements. along with the network popularization, the small and medium-sized

6、 enterprises gradually to the informatization construction of enterprise is the inevitable choice for the development of, enterprise network system is a very large and complex system, it is not only for enterprise modernization and comprehensive information management and office automation and so on

7、 a series of applied to provide basic operation platform, and can provide various application service, make the information can timely, accurately transmitted to each system. and small and medium enterprises mainly used in engineering construction network technology to an important branch of lan tec

8、hnology, the construction and management of graduation design topic, so this will mainly small and medium-sized local area network construction process may use different techniques for the design and implementation plan for small and medium enterprises, the direction of construction to provide the t

9、heory basis and the practical guidance. this topic is divided into 34 chapters, mainly including the largest aspects: windows and linux. windows main contents include windows server 2003 installation and basic configuration, windows server 2003 system management, windows network configuration, windo

10、ws dns and a dhcp server etc; linux main content includes the linux operating system installation and basic configuration, linux network configuration, samba server, ftp server, the dns server, etc. this program also include enterprise lan and the vpn structures between the router and switch configu

11、ration. keywords: lan build; linux server configuration; windows management; routing and switching configuration目 錄第1章引 言1第2章項(xiàng)目需求分析12.1、項(xiàng)目背景22.2、需求分析2第3章網(wǎng)絡(luò)總體建設(shè)目標(biāo)33.1、網(wǎng)絡(luò)建設(shè)目標(biāo)33.2、網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容及要求33.3、網(wǎng)絡(luò)設(shè)計(jì)原則4第4章網(wǎng)絡(luò)總體設(shè)計(jì)54.1、網(wǎng)絡(luò)總體拓?fù)鋱D54.2、網(wǎng)絡(luò)層次化設(shè)計(jì)54.2.1、核心層設(shè)計(jì)64.2.2、分布層設(shè)計(jì)64.2.3、接入層設(shè)計(jì)64.3、總部與分部?jī)?nèi)聯(lián)接入7第5章路由、交換設(shè)計(jì)75.1、

12、設(shè)備選擇75.2、設(shè)備命名規(guī)范75.3、vlan、子網(wǎng)及ip地址規(guī)劃（-3.0）85.4、路由協(xié)議95.5、交換技術(shù)95.6、ipv610第6章服務(wù)器設(shè)計(jì)106.1、服務(wù)器的系統(tǒng)選擇106.2、dns、dhcp、dc、ftp、mail、webapache服務(wù)器11第7章網(wǎng)絡(luò)安全解決方案127.1、網(wǎng)絡(luò)邊界安全威脅分析127.2、網(wǎng)絡(luò)內(nèi)部安全威脅分析127.3、解決方案137.3.1、isa防火墻和iptables防火墻137.3.2、病毒防護(hù)技術(shù)137.3.3、認(rèn)證和數(shù)字簽名技術(shù)13第8章關(guān)鍵技術(shù)介紹148.1、hsrp148.2、vlan148.3、vtp148.4、t

13、runk158.5、stp158.6、vpn158.7、dns168.8、dhcp168.9、dc168.10、ftp178.11、mail17第9章設(shè)備簡(jiǎn)介179.1、cisco 2800系列集成多業(yè)務(wù)路由器179.2、cisco 4500系列交換機(jī)189.3、ciscocatalyst 3750 系列集成交換機(jī)199.4、cisco catalyst2960系列交換機(jī)20第10章項(xiàng)目實(shí)施計(jì)劃2210.1、項(xiàng)目組織結(jié)構(gòu)2210.2、項(xiàng)目人員分工2310.3、工程進(jìn)度計(jì)劃2310.4、項(xiàng)目實(shí)施前的準(zhǔn)備工作2410.5、安裝前的場(chǎng)地準(zhǔn)備2410.6、核心及各網(wǎng)點(diǎn)的安裝調(diào)試25第11章網(wǎng)絡(luò)測(cè)試25

14、11.1、網(wǎng)絡(luò)測(cè)試目的2511.2、測(cè)試文檔25第12章基本配置2912.1、總部基本配置2912.1.1、網(wǎng)絡(luò)描述2912.1.2、基本配置2912.1.3、檢查設(shè)備的連通性32第13章trunk基本配置3413.1、技術(shù)簡(jiǎn)介3413.2、設(shè)備簡(jiǎn)介3413.3、基本配置34第14章vlan配置3614.1、技術(shù)簡(jiǎn)介3614.2、設(shè)備簡(jiǎn)介3714.3、基本配置3714.4、配置vlan地址和默認(rèn)網(wǎng)關(guān)37第15章vtp配置3815.1、技術(shù)簡(jiǎn)介3815.2、設(shè)備簡(jiǎn)介3915.3、基本配置39第16章以太網(wǎng)通道配置4116.1、技術(shù)簡(jiǎn)介4116.2、設(shè)備簡(jiǎn)介4116.3、基本配置4116.4、驗(yàn)證

15、配置42第17章stp配置4217.1、技術(shù)簡(jiǎn)介4217.2、設(shè)備簡(jiǎn)介4217.3、基本配置43第18章ospf配置4318.1、技術(shù)簡(jiǎn)介4318.2、設(shè)備簡(jiǎn)介4318.3、基本配置44第19章hsrp配置4719.1、技術(shù)簡(jiǎn)介4719.2、設(shè)備簡(jiǎn)介4719.3、基本配置4719.4、驗(yàn)證配置49第20章gre over ipsec配置5020.1、技術(shù)簡(jiǎn)介5020.2、設(shè)備簡(jiǎn)介5020.3、基本配置5120.4、驗(yàn)證配置52第21章ppp配置5321.1、ppp認(rèn)證5421.2、配置ppp認(rèn)證5421.3、驗(yàn)證54第22章acl配置5522.1、acl介紹5522.2、acl的作用5522.

16、3、acl的執(zhí)行過程5522.4、acl的分類5522.5、配置56第23章dns配置5725.1、技術(shù)簡(jiǎn)介5725.2、設(shè)備簡(jiǎn)介5725.3、基本配置58第24章ftp配置6127.1、技術(shù)簡(jiǎn)介6227.2、設(shè)備簡(jiǎn)介6227.3、基本配置62第25章web配置6228.1、技術(shù)簡(jiǎn)介6228.2、設(shè)備簡(jiǎn)介6228.3、基本配置6264第26章dhcp配置6429.1、技術(shù)簡(jiǎn)介6429.2、設(shè)備簡(jiǎn)介6429.3、基本配置64第27章isa防火墻配置8034.1、isa簡(jiǎn)介8034.1.1、isa特性介紹8034.1.2、平臺(tái)需求8134.1.3、關(guān)鍵術(shù)語8134.2、應(yīng)用位置及項(xiàng)目角色8134.

17、2.1、應(yīng)用位置8234.2.2、項(xiàng)目角色8234.3、isa服務(wù)架構(gòu)8334.3.1、安裝83結(jié) 束 語83參 考 文 獻(xiàn)84致 謝85第1章 引 言網(wǎng)絡(luò)改變了人們的生活，地球變成了地球村，全世界的人可以隨時(shí)進(jìn)行網(wǎng)絡(luò)交流。信息資源的共享，帶來社會(huì)生產(chǎn)力空前提高，互聯(lián)網(wǎng)與人們生活越來越密切，如網(wǎng)上證券期貨交易、遠(yuǎn)程電子視頻會(huì)議、網(wǎng)上購物等應(yīng)用使得人們的生活已經(jīng)越來越離不開網(wǎng)絡(luò)，由此，信息高速公路的建設(shè)變得十分重要。企業(yè)規(guī)模的不斷壯大和業(yè)務(wù)量的不斷增加，原有的工作方式已不能滿足現(xiàn)代企業(yè)的需要，特別是對(duì)突發(fā)事件的處理能力與速度的需求?，F(xiàn)代企業(yè)如果沒有信息技術(shù)的支持，就不能稱之為現(xiàn)代企業(yè)。隨著網(wǎng)絡(luò)技

18、術(shù)的不斷成熟、網(wǎng)絡(luò)產(chǎn)品價(jià)格的不斷下降，以及對(duì)數(shù)據(jù)傳輸和信息交換需求的不斷增加，現(xiàn)在各企業(yè)均正在或已搭建了企業(yè)內(nèi)部局域網(wǎng)，因?yàn)?，企業(yè)網(wǎng)絡(luò)的建設(shè)是企業(yè)向信息化發(fā)展的必然選擇。企業(yè)網(wǎng)絡(luò)為企業(yè)的現(xiàn)代化發(fā)展、綜合信息管理和辦公自動(dòng)化等一系列應(yīng)用提供了基礎(chǔ)平臺(tái)。本設(shè)計(jì)結(jié)合中小企業(yè)實(shí)際需求，舉例分析、設(shè)計(jì)、配置、模擬組建了一個(gè)典型的中小企業(yè)網(wǎng)絡(luò)。第2章 項(xiàng)目需求分析2.1、 項(xiàng)目背景安博公司是一個(gè)教育公司，是“以學(xué)習(xí)者為中心”面向個(gè)人及機(jī)構(gòu)提供學(xué)習(xí)和教育服務(wù)的機(jī)構(gòu)，致力于通過領(lǐng)先的技術(shù)方案、高品位的教育服務(wù)和變革性的創(chuàng)新資源，完善個(gè)體的終生學(xué)習(xí)和學(xué)習(xí)型組織的發(fā)展進(jìn)程，助力于全社會(huì)的創(chuàng)新能力和國(guó)民素質(zhì)的提升。

19、集團(tuán)的業(yè)務(wù)涉及基礎(chǔ)教育服務(wù)、職業(yè)教育服務(wù)、企業(yè)培訓(xùn)等領(lǐng)域，安博高考與同步培訓(xùn)機(jī)構(gòu)、安博國(guó)際學(xué)校、安博實(shí)訓(xùn)基地、安博職業(yè)教育學(xué)院、安博學(xué)習(xí)體驗(yàn)中心等機(jī)構(gòu)已遍及全國(guó)二十多個(gè)重點(diǎn)城市，形成了以區(qū)域教育服務(wù)中心和實(shí)訓(xùn)基地為依托，以師資、課程、服務(wù)流程、it支持、網(wǎng)絡(luò)學(xué)習(xí)服務(wù)的標(biāo)準(zhǔn)化為載體的服務(wù)體系，通過標(biāo)準(zhǔn)品質(zhì)的服務(wù)保障全國(guó)各地用戶的個(gè)性化需求。安博教育集團(tuán)創(chuàng)建專業(yè)的教育和技術(shù)研發(fā)機(jī)構(gòu)安博研究院進(jìn)行前瞻性教育理念和資源的創(chuàng)造與創(chuàng)新。安博數(shù)十種自主知識(shí)產(chǎn)權(quán)技術(shù)、產(chǎn)品獲得國(guó)家版權(quán)認(rèn)證、專利認(rèn)證和科技成果鑒定。安博還與北京師范大學(xué)合作創(chuàng)立北師大安博教育發(fā)展研究院，開展教育政策與理論探索、國(guó)際高端項(xiàng)目交流，目

20、前已參與和承辦了多項(xiàng)國(guó)家重大教育課題、國(guó)際高端學(xué)術(shù)論壇。目前安博總部在北京，分部分別在大連及江蘇的昆山。總部設(shè)有品質(zhì)保障部、教學(xué)支持部、財(cái)務(wù)部、市場(chǎng)部，員工約有150人。分部的部門與總部相同，兩個(gè)分部各有員工約50人。2.2、 需求分析由于安博公司正處于快速發(fā)展期，所以目前的網(wǎng)絡(luò)規(guī)模已不能滿足當(dāng)前的發(fā)展需要。為了提高生產(chǎn)辦公的效率、加強(qiáng)管理、加強(qiáng)部門間配合，提高獲取知識(shí)的能力，所以需要升級(jí)網(wǎng)絡(luò)，深化信息化應(yīng)用，建設(shè)一個(gè)實(shí)用和先進(jìn)、高可靠、高性能、高靈活性和擴(kuò)展性、操作管理簡(jiǎn)單的信息化融合網(wǎng)絡(luò)。本項(xiàng)目的網(wǎng)絡(luò)可以劃分為北京總部、昆山分部和大連分部。其中北京總部綜合項(xiàng)目招標(biāo)，其性能，穩(wěn)定性，安全性，

21、可靠性的要求一定要很高，尤其是核心區(qū)域。因此我們?cè)谠O(shè)計(jì)時(shí)，需要考慮這些需要。而核心區(qū)的功能是高速可靠地交換數(shù)據(jù)，因此該部分的設(shè)計(jì)更應(yīng)該考慮性能和可用性的平衡。并且冗余性也要考慮。我們還可以利用acl、防火墻來屏蔽一些網(wǎng)站的訪問。當(dāng)前的網(wǎng)絡(luò)管理范疇比較廣，包括設(shè)備管理，資源管理，故障管理，性能管理，安全管理等等。在網(wǎng)絡(luò)規(guī)模相對(duì)較大的時(shí)候，合適的網(wǎng)管系統(tǒng)可以幫助客戶方便管理網(wǎng)絡(luò)內(nèi)的設(shè)備及運(yùn)行情況，提高網(wǎng)絡(luò)的運(yùn)行效率。具體分析如下：業(yè)務(wù)需求需要實(shí)現(xiàn)總公司內(nèi)部的互相通信，同時(shí)也要和分公司之間也能互相訪問，需要郵件服務(wù)、web服務(wù)、視頻服務(wù)。管理需求要對(duì)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程管理,遠(yuǎn)程管理可以幫助網(wǎng)絡(luò)管理員利用遠(yuǎn)

22、程控制軟件管理網(wǎng)絡(luò)設(shè)備,使網(wǎng)管工作更方便,更高效，更穩(wěn)定。安全性需求因?yàn)楣镜臄?shù)據(jù)核心是非常重要的，為免被竊取要設(shè)置訪問權(quán)限；網(wǎng)絡(luò)可能被病毒攻擊和破壞，所以安裝殺毒軟件和防火墻。通信量需求要滿足ftp、http、mail、文件共享、視頻等各種服務(wù)的帶寬要求。性價(jià)比需求以盡量少的成本建成性能較好的網(wǎng)絡(luò)。網(wǎng)絡(luò)擴(kuò)展性需求分析安博公司正處于高速發(fā)展時(shí)期，所以公司將會(huì)有新員工加入；有些設(shè)備可能被淘汰，有些主機(jī)的性能要提升，操作系統(tǒng)平臺(tái)的升級(jí)。第3章 網(wǎng)絡(luò)總體建設(shè)目標(biāo)3.1、 網(wǎng)絡(luò)建設(shè)目標(biāo)安博公司綜合項(xiàng)目網(wǎng)絡(luò)建設(shè)的目標(biāo)是：按照“高標(biāo)準(zhǔn)，高起點(diǎn)”的要求，采用三層網(wǎng)絡(luò)結(jié)構(gòu)，按要求實(shí)現(xiàn)網(wǎng)絡(luò)安全的需求。充分利用計(jì)

23、算機(jī)網(wǎng)絡(luò)、多媒體、internet/intranet、數(shù)據(jù)庫、數(shù)字通信等先進(jìn)技術(shù)構(gòu)筑研究院的網(wǎng)絡(luò)平臺(tái)，實(shí)現(xiàn)繪圖、管理設(shè)計(jì)生產(chǎn)的網(wǎng)絡(luò)化，輔助領(lǐng)導(dǎo)掌握企業(yè)發(fā)展進(jìn)行決策，建立先進(jìn)的辦公自動(dòng)化管理系統(tǒng)。組建一個(gè)高效，可靠，穩(wěn)定，易管理，安全的網(wǎng)絡(luò)。建立一個(gè)使集團(tuán)數(shù)據(jù)、郵件、關(guān)鍵業(yè)務(wù)由總公司統(tǒng)一管理，并實(shí)現(xiàn)公司總部與分部的高效通信與資源共享的綜合信息網(wǎng)。3.2、 網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容及要求根據(jù)安博公司的網(wǎng)絡(luò)情況，我們把整個(gè)網(wǎng)絡(luò)分為內(nèi)部交換網(wǎng)絡(luò)設(shè)計(jì)、網(wǎng)絡(luò)出口設(shè)計(jì)、網(wǎng)絡(luò)安全設(shè)計(jì)幾大方面。對(duì)于內(nèi)部交換網(wǎng)絡(luò)我們采用分層設(shè)計(jì)。內(nèi)部交換網(wǎng)絡(luò)分成核心層、匯聚層、接入層三大部分。為了保證總部和分部網(wǎng)絡(luò)的高可用性和穩(wěn)定性，

24、為了能有效防止局部故障引起整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓，應(yīng)在網(wǎng)絡(luò)設(shè)計(jì)中提供拓?fù)浜驮O(shè)備的冗余和備份，使故障能在最短的時(shí)間內(nèi)進(jìn)行恢復(fù)，讓網(wǎng)絡(luò)故障的發(fā)生和損失降到最小。使用生成樹協(xié)議（stp）可以實(shí)現(xiàn)交換機(jī)之間的冗余連接，避免網(wǎng)絡(luò)環(huán)路的出現(xiàn)，實(shí)現(xiàn)網(wǎng)絡(luò)的高可靠性，它實(shí)現(xiàn)在交換機(jī)之間傳遞橋接，從而保證其穩(wěn)定性，還可以用路由器備份協(xié)議（hsrp）支持多臺(tái)路由器形成熱備份而消除單臺(tái)設(shè)備失效造成的網(wǎng)絡(luò)中斷。我們建議在設(shè)計(jì)時(shí)，交換機(jī)采用hsrp、stp等協(xié)議。借助vlan技術(shù)，使得對(duì)于網(wǎng)絡(luò)內(nèi)有關(guān)server的訪問變得更加安全有效。在服務(wù)器操作系統(tǒng)選擇方面，我們采用較為安全的linux操作系統(tǒng)。對(duì)于邊界網(wǎng)絡(luò)接入網(wǎng)絡(luò)，網(wǎng)絡(luò)的

25、安全性將是一個(gè)需要考慮的非常重要的因素。所以確保在網(wǎng)絡(luò)的邊界處部署相應(yīng)的安全策略以防止黑客和各種惡意代碼的攻擊至關(guān)重要。在數(shù)據(jù)傳輸安全方面，總部和分部之間，我們架設(shè)vpn虛擬通道。vpn主要采用思想安全保證技術(shù)，分別是隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、和使用者與設(shè)備身份認(rèn)證技術(shù)。在安全方面，vpn直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，同時(shí)保證通過公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。對(duì)于設(shè)備，我們采用性價(jià)比較高的設(shè)備。對(duì)于網(wǎng)絡(luò)帶寬，由于帶寬有限且租金昂貴，我們建議用qos技術(shù)進(jìn)行擁塞管理、擁塞避免、流量整形等策略對(duì)網(wǎng)絡(luò)上的流量進(jìn)行管理。3.3、 網(wǎng)絡(luò)設(shè)計(jì)原則先進(jìn)性：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、軟件技

26、術(shù)的發(fā)展迅速，網(wǎng)絡(luò)的設(shè)計(jì)要立足于較高的起點(diǎn)，保證系統(tǒng)有較長(zhǎng)的生命力。保證滿足系統(tǒng)業(yè)務(wù)的同時(shí)，又要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來，充分考慮到公司網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來的發(fā)展趨勢(shì)。可靠性：網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性的網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制定可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障治愈的能力，最大限度的支持各個(gè)系統(tǒng)的正常運(yùn)行。安全性：在網(wǎng)絡(luò)設(shè)計(jì)中，應(yīng)采用硬件技術(shù)與軟件技術(shù)相結(jié)合的方式，全面系統(tǒng)的保護(hù)網(wǎng)絡(luò)的安全運(yùn)行。系統(tǒng)應(yīng)提供一套完整的安全防范措施，防止由于操作人員的誤操作以及系統(tǒng)中的某些故障而造成數(shù)據(jù)被

27、破壞或系統(tǒng)的誤操作。兼容和拓展性：盡量采用成熟的技術(shù)，保證軟硬件的兼容性，同時(shí)需考慮設(shè)備的更新與升級(jí)的能力?？晒芾硇裕壕W(wǎng)絡(luò)中的任何設(shè)備均可以通過網(wǎng)絡(luò)管理平臺(tái)進(jìn)行控制，網(wǎng)絡(luò)的設(shè)備狀態(tài)、故障報(bào)警等都可以通過網(wǎng)管平臺(tái)進(jìn)行監(jiān)控，通過網(wǎng)絡(luò)管理平臺(tái)簡(jiǎn)化管理工作，提高網(wǎng)絡(luò)管理的效率。實(shí)用性：網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)以實(shí)用、滿足應(yīng)用為主，不追求最高、最新。經(jīng)濟(jì)性：在滿足功能與性能的基礎(chǔ)上實(shí)現(xiàn)性能/價(jià)格比最優(yōu)。第4章 網(wǎng)絡(luò)總體設(shè)計(jì)4.1、 網(wǎng)絡(luò)總體拓?fù)鋱D企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如上圖所示，安博公司整體網(wǎng)絡(luò)可以根據(jù)功能劃分為北京總部核心網(wǎng)絡(luò)，內(nèi)嵌接入包括品質(zhì)保障部網(wǎng)絡(luò)，教學(xué)支持部網(wǎng)絡(luò)，財(cái)務(wù)部和市場(chǎng)部。外聯(lián)單位接入大連分部網(wǎng)絡(luò)和昆

28、山分布網(wǎng)絡(luò)。各區(qū)域相對(duì)獨(dú)立，通過核心網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的交互。4.2、 網(wǎng)絡(luò)層次化設(shè)計(jì)隨著通信技術(shù)和計(jì)算機(jī)技術(shù)的發(fā)展,網(wǎng)絡(luò)結(jié)構(gòu)的選擇直接影響著網(wǎng)絡(luò)的運(yùn)行效率、可靠性和網(wǎng)絡(luò)安全。由此形成了一個(gè)新的，更適應(yīng)現(xiàn)代的高速大型網(wǎng)絡(luò)的分層設(shè)計(jì)模型。這種方法被稱為“層次化網(wǎng)絡(luò)設(shè)計(jì)”。層次化網(wǎng)絡(luò)設(shè)計(jì)有以下好處：網(wǎng)絡(luò)簡(jiǎn)單：通過將網(wǎng)絡(luò)分成許多小單元，降低了網(wǎng)絡(luò)的整體復(fù)雜性,使故障排除或擴(kuò)展更容易，能隔離廣播風(fēng)暴的傳播、防止路由循環(huán)等潛在的問題。網(wǎng)絡(luò)設(shè)計(jì)靈活：網(wǎng)絡(luò)容易升級(jí)到最新的技術(shù)，升級(jí)任意層次的網(wǎng)絡(luò)不會(huì)對(duì)其他層次造成影響，無須改變整個(gè)環(huán)境。網(wǎng)絡(luò)可管理：層次結(jié)構(gòu)降低了設(shè)備配置的復(fù)雜性,使網(wǎng)絡(luò)更容易管理。針對(duì)于安博公司的

29、內(nèi)部交換網(wǎng)絡(luò)，我們采用三層結(jié)構(gòu)模型。將內(nèi)部交換網(wǎng)絡(luò)分成核心層、匯聚層、接入層三大部分。三大部分的功能分別為：核心層：實(shí)現(xiàn)數(shù)據(jù)的高速通信與交換，提供高可靠性，冗余鏈路，故障隔離，迅速升級(jí)，提供較少的滯后和好的可管理性，避免由濾波器或其它處理引起的慢包操作，有有限和一致的直徑。匯聚層：提供策略，安全，部門或工作組級(jí)訪問，定義廣播/多播域，虛擬lan之間路由選擇，介質(zhì)翻譯，在路由選擇域之間重分布，靜態(tài)路由和動(dòng)態(tài)路由選擇協(xié)議劃分。接入層：對(duì)匯聚層的訪問控制和策略進(jìn)行支持，建立獨(dú)立沖突域，建立工作組與匯聚層的連接。提供多種方式來讓用戶接入網(wǎng)絡(luò)，并做安全驗(yàn)證。4.2.1、 核心層設(shè)計(jì)核心層是網(wǎng)絡(luò)的高速交換

30、主干，對(duì)整個(gè)網(wǎng)絡(luò)的連通起到至關(guān)重要的作用。核心層的任務(wù)是為其他兩層提供優(yōu)化的數(shù)據(jù)傳輸功能。核心層由一個(gè)高速的骨干網(wǎng)組成,其作用是盡可能快地交換數(shù)據(jù)包。核心層的主干交換機(jī)一般采用最快速率的鏈路連接技術(shù)，在與分布層骨干交換機(jī)相連時(shí)要考慮采用建立在生成樹基礎(chǔ)上的多鏈路冗余連接，以保證與骨干交換機(jī)之間存在備份連接和負(fù)載均衡，完成高帶寬、大容量網(wǎng)絡(luò)層路由交換功能。這樣當(dāng)交換機(jī)之間的線路出現(xiàn)故障時(shí)，傳輸?shù)臄?shù)據(jù)會(huì)快速自動(dòng)切換到另外一條線路上進(jìn)行傳輸，不影響網(wǎng)絡(luò)系統(tǒng)的正常工作。因此根據(jù)以上的原理，在核心層選用cisco4506交換機(jī)。4.2.2、 分布層設(shè)計(jì)分布層提供基于統(tǒng)一策略的互聯(lián)性,定義了網(wǎng)絡(luò)的邊界,可

31、以對(duì)數(shù)據(jù)包進(jìn)行復(fù)雜的運(yùn)算。分布層內(nèi)的千兆位交換機(jī)及主干鏈路均可采用千兆模塊進(jìn)行生成樹冗余鏈路連接。局域網(wǎng)的分布層主要提供了地址的聚集、部門和工作組的接入、廣播域/組播傳輸域的定義、vlan路由、安全控制等功能。分布層交換機(jī)和接入層交換機(jī)之間可以利用全雙工技術(shù)和高傳輸率網(wǎng)絡(luò)互聯(lián),保證分支主干無帶寬瓶頸。分布層的設(shè)計(jì)要滿足核心層、分布層交換機(jī)和服務(wù)器集合環(huán)境對(duì)千兆端口密度、可擴(kuò)展性、高可用性以及多層交換的不斷增長(zhǎng)的需求,支持大用戶量、多媒體信息傳輸?shù)葢?yīng)用。所以選擇的設(shè)備配置比核心層稍低?？刹捎盟伎芻isco3750交換機(jī)。4.2.3、 接入層設(shè)計(jì)接人層的主要目標(biāo)是為最終用戶提供對(duì)網(wǎng)絡(luò)訪問的途徑等功

32、能。交換機(jī)的普通端口直接與用戶計(jì)算機(jī)相連,高速端口用于上連高速率的分布層網(wǎng)絡(luò)交換機(jī),用以有效地緩解網(wǎng)絡(luò)骨干的瓶頸。根據(jù)分析，我們可以采用cisco2960交換機(jī)。4.3、 總部與分部?jī)?nèi)聯(lián)接入內(nèi)聯(lián)接入的作用是用于連接北京總部和昆山分布及大連分布的網(wǎng)絡(luò)。我們推薦使用cisco 2800系列的路由器完成此功能。北京及昆山、大連內(nèi)部使用vlan的劃分，北京總部與大連、昆山分布之間使用ipsec vpn實(shí)現(xiàn)互相通信，漫游用戶通過easy vpn 來實(shí)現(xiàn)對(duì)公司的訪問。第5章 路由、交換設(shè)計(jì)5.1、 設(shè)備選擇 網(wǎng)絡(luò)設(shè)備清單設(shè)備型號(hào)數(shù)量（臺(tái)）單價(jià)（元）總價(jià)（元）cisco 28113520015600cisc

33、o ws-c450622200044000cisco ws-c3750-24ts-s6900054000cisco ws-c2960-24tt-l9360032400cisco ws-c2960-48tc-l3750022500總計(jì)：1685005.2、 設(shè)備命名規(guī)范 網(wǎng)絡(luò)設(shè)備命名設(shè)備型號(hào)北京大連昆山cisco 2811bj-r-001dl-r-001ks-r-001cisco ws-c4506bj-s-01bj-s-02cisco ws-c3750-24ts-sbj-s-03bj-s-04dl-s-01dl-s-02ks-s-01ks-s-02cisco ws-c2960-24tt-lbj-

34、s-05dl-s-03dl-s-04dl-s-05dl-s-06ks-s-03ks-s-04ks-s-05ks-s-06cisco ws-c2960-48tc-lbj-s-06bj-s-07bj-s-085.3、 vlan、子網(wǎng)及ip地址規(guī)劃（-3.0）ip地址的規(guī)劃在網(wǎng)絡(luò)設(shè)計(jì)中舉足輕重。直接影響網(wǎng)絡(luò)運(yùn)行的效率。ip地址設(shè)計(jì)的總原則是簡(jiǎn)單、易管理、易擴(kuò)展。我們配ip地址按以下原則：唯一性：一個(gè)ip網(wǎng)絡(luò)中不可能有兩個(gè)主機(jī)采用相同的ip地址。簡(jiǎn)單性：地址分配應(yīng)簡(jiǎn)單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡(jiǎn)化路由表的款項(xiàng)。連續(xù)性：連續(xù)地址在此結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路由總結(jié)（route su

35、mmarization）,大大縮減路由表，提高路由算法效率?？蓴U(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址總結(jié)所需的連續(xù)性。靈活性：地址分配應(yīng)具有靈活性，可借助可變長(zhǎng)子網(wǎng)掩碼技術(shù)，以滿足多種路由策略的優(yōu)化，充分利用地址空間。北京總部ip地址劃分部門名稱人數(shù)vlan id網(wǎng)絡(luò)號(hào)可分配ip地址品質(zhì)保障部47vlan 10(bj-pz)4/265-126教學(xué)支持部47vlan 20(bj-jx)28/2629-190財(cái)務(wù)部8vlan 30(bj-cw)92/28192

36、.168.1.193-206市場(chǎng)部48vlan 40(bj-sc)/26-62服務(wù)器27-239 大連分部ip地址劃分部門名稱人數(shù)vlan id網(wǎng)絡(luò)號(hào)可分配ip地址品質(zhì)保障部13vlan 10(dl-pz)4/275-94教學(xué)支持部18vlan 20(dl-jx)/27-30財(cái)務(wù)部3vlan 30(dl-cw)6/297-102市場(chǎng)部16vlan 40(dl-sc)2/2719

37、3-62服務(wù)器04-108 昆山分部ip地址劃分部門名稱人數(shù)vlan id網(wǎng)絡(luò)號(hào)可分配ip地址品質(zhì)保障部14vlan 10(ks-pz)2/273-62教學(xué)支持部19vlan 20(ks-jx)/27-30財(cái)務(wù)部4vlan 30(ks-cw)6/297-102市場(chǎng)部13vlan 40(ks-sc)4/275-94服務(wù)器04-1085.4、 路由協(xié)議在本次網(wǎng)絡(luò)項(xiàng)

38、目中，北京總部的路由器bj-r-001和交換機(jī)bj-s-01、 bj-s-02 、bj-s-03及 bj-s-04，我們均采用ospf協(xié)議，分部也同樣使用。使用ospf協(xié)議可以使路由快速收斂，方便網(wǎng)絡(luò)管理員管理。ospf協(xié)議標(biāo)準(zhǔn)化強(qiáng)，支持多種廠家，受到廣泛的應(yīng)用。相對(duì)其他協(xié)議，ospf有很多優(yōu)點(diǎn)。ospf支持各種不同鑒別機(jī)制（如簡(jiǎn)單口令驗(yàn)證。md5 加密認(rèn)證），ospf收斂速度快，能夠在最短的時(shí)間內(nèi)將路由變化傳遞到整個(gè)自治系統(tǒng)，提供負(fù)載均衡功能。安博總部規(guī)劃為area 0，其內(nèi)部網(wǎng)絡(luò)也都規(guī)劃為area 0。各區(qū)域接入路由器跟據(jù)區(qū)域不同使用動(dòng)態(tài)協(xié)議，或者使用靜態(tài)路由與動(dòng)態(tài)路由結(jié)合的方式。5.5、

39、 交換技術(shù)對(duì)于本次項(xiàng)目的核心層交換機(jī)cisco 4506，我們將采用建立在生成樹基礎(chǔ)上的多鏈路冗余連接。這樣不僅可以避免了由于網(wǎng)絡(luò)環(huán)路造成的廣播風(fēng)暴等，還可以保證骨干交換機(jī)之間存在備份連接和負(fù)載均衡，完成高帶寬、大容量網(wǎng)絡(luò)層路由交換功能。這樣當(dāng)交換機(jī)之間的線路出現(xiàn)故障時(shí)，傳輸?shù)臄?shù)據(jù)會(huì)快速自動(dòng)切換到另外一條線路上進(jìn)行傳輸，不影響網(wǎng)絡(luò)系統(tǒng)的正常工作。而對(duì)于匯聚層交換機(jī)cisco 3750和接入層交換機(jī)cisco 2960，我們將采用vtp、vlan、hsrp等協(xié)議。使用vtp協(xié)議，可以把一臺(tái)交換機(jī)配置成vtp server, 其余交換機(jī)配置成vtp client,這樣他們可以自動(dòng)學(xué)習(xí)到server

40、上的vlan 信息。這樣不僅可以少在多臺(tái)設(shè)備上配置同一個(gè)vlan信息的工作量，而且還保持了vlan配置的統(tǒng)一性。而vlan 技術(shù)，則可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。不僅提高了網(wǎng)絡(luò)的安全性，而且成本低，性能高，節(jié)省了人力，具有很高的靈活性。hsrp 是熱備份路由協(xié)議。在北京總部和分部在匯聚層的交換機(jī)上我們采用熱備份協(xié)議，運(yùn)用兩臺(tái)交換機(jī)，當(dāng)其中的一臺(tái)出現(xiàn)故障致使網(wǎng)絡(luò)不能正常通信時(shí)，備用的那臺(tái)馬上起到作用，避免了網(wǎng)絡(luò)的“短路”問題。hsrp 實(shí)現(xiàn)容錯(cuò)備份功能，可以有效解決網(wǎng)絡(luò)不暢問題，保證了網(wǎng)絡(luò)的可靠性。5.6、 ipv6 由于ipv4網(wǎng)絡(luò)地址的資源有限，所以，為了提高網(wǎng)絡(luò)的可

41、擴(kuò)展性，在本次網(wǎng)絡(luò)項(xiàng)目中所采用的設(shè)備，均支持ipv6。ipv6以其靈活的ip報(bào)文頭部格式，不僅取代了ipv4中可變長(zhǎng)度的選項(xiàng)字段，而且也使路由器可以簡(jiǎn)單路過選項(xiàng)而不做任何處理，加快了報(bào)文處理速度，提高了吞吐量。而且ipv6還具有安全性、身份認(rèn)證和隱私權(quán)等特性。支持更多的服務(wù)類型，允許協(xié)議繼續(xù)演變，增加新的功能，使之適應(yīng)未來技術(shù)的發(fā)展。第6章 服務(wù)器設(shè)計(jì)6.1、 服務(wù)器的系統(tǒng)選擇服務(wù)器群的主要功能是為客戶端提供各種網(wǎng)絡(luò)服務(wù)，包括：資源共享、web服務(wù)、文件傳輸、郵件服務(wù)、身份驗(yàn)證服務(wù)等等。在本次項(xiàng)目中，除了dc服務(wù)器采用windows 2003操作系統(tǒng)，其它的服務(wù)器，我們將使用linux操作系統(tǒng)

42、。linux操作系統(tǒng)有如下的優(yōu)點(diǎn)： 1、完全免費(fèi)2、多用戶、多任務(wù)3、良好的界面4、豐富的網(wǎng)絡(luò)功能5、可靠的安全、穩(wěn)定性能6、支持多種平臺(tái)而針對(duì)于dc服務(wù)器，我們則采用windows 2003操作系統(tǒng)。因?yàn)榛顒?dòng)目錄服務(wù)是windows操作系統(tǒng)平臺(tái)的中心組件之一。windows server 2003集成了多種功能且對(duì)硬件要求不高，總體成本較低。工作站普遍使用windows操作系統(tǒng)，服務(wù)器與客戶端兼容性更好。windows服務(wù)器系統(tǒng)提供圖形化界面，減少配置和維護(hù)的工作量。6.2、 dns、dhcp、dc、ftp、mail、webapache服務(wù)器針對(duì)于各種服務(wù)的不同需求，我們推薦使用戴爾powe

43、redge t410服務(wù)器。它以其優(yōu)良的性能，均能滿足各種服務(wù)的要求。服務(wù)器型號(hào)：戴爾poweredge t410 dell服務(wù)器 產(chǎn)品規(guī)格表戴爾poweredge t410(xeon e5506/4gb/2*500gb)產(chǎn)品類別塔式處理器cpu類型intel 至強(qiáng)5500cpu型號(hào)xeon e5506cpu頻率2.13ghz標(biāo)配cpu數(shù)量1顆 最大cpu數(shù)量2顆制程工藝45nm二級(jí)緩存1mb三級(jí)緩存4mbcpu核心四核cpu線程數(shù)四線程主板主板芯片組intel 5500擴(kuò)展槽5pci插槽內(nèi)存內(nèi)存類型ecc ddr3內(nèi)存容量4gb內(nèi)存描述22gb內(nèi)存插槽數(shù)量8最大內(nèi)存容量64gb存儲(chǔ)硬盤接口類

44、型sata標(biāo)配硬盤容量1tb最大硬盤容量12tb硬盤描述2塊500gb sata硬盤內(nèi)部硬盤架數(shù)最大支持6塊3.5英寸有線硬盤/3.5英寸熱插拔硬盤/2.5英寸熱插拔硬盤光驅(qū)dvd-rom外部驅(qū)動(dòng)器架數(shù)2塊5.25英寸光驅(qū)托架，可選dvd-rom或dvd +/- rw或tbu網(wǎng)絡(luò)網(wǎng)絡(luò)控制器雙端口千兆網(wǎng)卡顯示系統(tǒng)顯示芯片matrox g200ew，8mb顯存第7章 網(wǎng)絡(luò)安全解決方案7.1、 網(wǎng)絡(luò)邊界安全威脅分析把不同安全級(jí)別的網(wǎng)絡(luò)相連接，就產(chǎn)生了網(wǎng)絡(luò)邊界。防止來自網(wǎng)絡(luò)外界的入侵就要在網(wǎng)絡(luò)邊界上建立可靠的安全防御措施。該項(xiàng)目網(wǎng)絡(luò)邊界上的安全問題如下：1、信息泄密2、入侵者的攻擊3、網(wǎng)絡(luò)病毒7.2、

45、 網(wǎng)絡(luò)內(nèi)部安全威脅分析本項(xiàng)目網(wǎng)絡(luò)內(nèi)部安全存在的主要問題，主要表現(xiàn)以下幾個(gè)方面：1. 網(wǎng)絡(luò)建設(shè)單位、管理人員和技術(shù)人員缺乏安全防范意識(shí)2. 組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)安全防范沒有形成完整的、組織化的體系結(jié)構(gòu)3. 竊取者將自己的計(jì)算機(jī)非法接入內(nèi)網(wǎng)或者非法直接鏈接計(jì)算機(jī)終端，竊取內(nèi)網(wǎng)重要數(shù)據(jù)；4. 竊取者直接利用局域網(wǎng)中的某一臺(tái)主機(jī)，通過網(wǎng)絡(luò)攻擊或欺騙的手段，非法取得其他主機(jī)甚至是某臺(tái)服務(wù)器的重要數(shù)據(jù)；5. 內(nèi)部員工將只允許在局域網(wǎng)內(nèi)部使用的數(shù)據(jù)通過磁盤復(fù)制、打印、非法撥號(hào)外聯(lián)等手段泄漏到外部；6. 內(nèi)部人員竊取管理員用戶名和密碼，非法進(jìn)入重要的系統(tǒng)和應(yīng)用服務(wù)器獲取內(nèi)部重要數(shù)據(jù)。7.3、 解決方案7.3

46、.1、 isa防火墻和iptables防火墻網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備.它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。7.3.2、 病毒防護(hù)技術(shù)(1)阻止病毒的傳播在防火墻、smtp服務(wù)器、網(wǎng)絡(luò)服務(wù)器上安裝病毒過濾軟件。在桌面pc安裝病毒監(jiān)控軟件。 (2)檢查和清除病毒使用防病毒軟件檢查和清除病毒。 (3)病毒數(shù)據(jù)庫的升級(jí)病毒數(shù)據(jù)庫應(yīng)不斷更新，并下發(fā)到桌面系統(tǒng)。 (4)在防火墻及pc上安裝

47、控制掃描軟件，禁止未經(jīng)許可的控件下載和安裝。7.3.3、 認(rèn)證和數(shù)字簽名技術(shù)(1)認(rèn)證1.路由器認(rèn)證，路由器和交換機(jī)之間的認(rèn)證2.操作系統(tǒng)認(rèn)證，操作系統(tǒng)對(duì)用戶的認(rèn)證3.撥號(hào)訪問服務(wù)與客戶之間的認(rèn)證4.電子郵件通訊雙方認(rèn)證(2)數(shù)字簽名技術(shù)認(rèn)證過程通常涉及到加密和密鑰交換。password認(rèn)證該種認(rèn)證方式是最常用的一種認(rèn)證方式，用于操作系統(tǒng)登錄、telnet等，但由于此種認(rèn)證方式過程不加密，即password容易被監(jiān)聽和解密。 使用摘要算法的認(rèn)證 基于pki的認(rèn)證使用公開密鑰體系進(jìn)行認(rèn)證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對(duì)稱加密、對(duì)稱加密、數(shù)字簽名等技術(shù)，很好地將安全性和高效率

48、結(jié)合起來。這種認(rèn)證方法目前應(yīng)用在電子郵件、應(yīng)用服務(wù)器訪問、客戶認(rèn)證、防火墻驗(yàn)證等領(lǐng)域。第8章 關(guān)鍵技術(shù)介紹8.1、 hsrphsrp是 hot standby routing protocol（熱備份路由協(xié)議的縮寫）。它的作用是能夠把一臺(tái)或多臺(tái)路由器用來做備份。當(dāng)采用 hsrp， 用戶看到的是一臺(tái)虛擬路由器，該虛擬路由器有自己的虛擬 ip 地址和虛擬 mac 地址，該虛擬路由器是由一組路由器組成的，這組路由器稱為備份組。備份組內(nèi)由一臺(tái)活動(dòng)路由器、一臺(tái)備份路由器，以及群眾路由器構(gòu)成。一般情況下，一旦活動(dòng)路由器壞掉，該備份路由器成為活動(dòng)路由器，然后備份組內(nèi)選舉組內(nèi)的另一臺(tái)路由器為備份路由器。組內(nèi)路

49、由器通過接受來自活動(dòng)路由器的周期性 hello 報(bào)文來判斷活動(dòng)路由器是否工作正常。如果組內(nèi)備份路由器 r 在一定時(shí)間間隔未收到活動(dòng)路由器 hello 報(bào)文，就認(rèn)為活動(dòng)路由器壞掉了，優(yōu)先級(jí)高的備份路由器最終成為活動(dòng)路由器。備份路由器也是通過類似過程產(chǎn)生的。這樣總能保證備份組中有一臺(tái)活動(dòng)路由器，一臺(tái)備份路由器。8.2、 vlanvlan（虛擬局域網(wǎng)）是對(duì)連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè)vlan可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。vlan可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進(jìn)行分組?；诮粨Q機(jī)

50、的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬問題。 因此使用vlan技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備可搭建安全可靠的網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員通過控制交換機(jī)的每一個(gè)端口來控制網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)資源的訪問，同時(shí)vlan和第三層第四層的交換結(jié)合使用能夠?yàn)榫W(wǎng)絡(luò)提供較好的安全措施。8.3、 vtpvtp協(xié)議主要用于管理在同一個(gè)域的網(wǎng)絡(luò)范圍內(nèi)vlan的建立、刪除和重命名。在一臺(tái)vtp server 上配置一個(gè)新的vlan時(shí)，該vlan的配置信息將自動(dòng)傳播到本域內(nèi)的其他所有交換機(jī)。這些交換機(jī)會(huì)自動(dòng)地接收這些配置信息，使其vlan的配置與vtp server保持一致，從而減少在多臺(tái)設(shè)備上配置同一個(gè)vlan信息的

51、工作量，而且保持了vlan配置的統(tǒng)一性。vtp有三種工作模式：vtp server、vtp client 和 vtp transparent。一般，一個(gè)vtp域內(nèi)的整個(gè)網(wǎng)絡(luò)只設(shè)一個(gè)vtp server。vtp server維護(hù)該vtp域中所有vlan 信息列表，vtp server可以建立、刪除或修改vlan。vtp client雖然也維護(hù)所有vlan信息列表，但其vlan的配置信息是從vtp server學(xué)到的，vtp client不能建立、刪除或修改vlan。vtp transparent相當(dāng)于是一上獨(dú)立的交換機(jī)，它不參與vtp工作，不從vtp server學(xué)習(xí)vlan的配置信息，而只擁有

52、本設(shè)備上自己維護(hù)的vlan信息。vtp transparent可以建立、刪除和修改本機(jī)上的 vlan信息。8.4、 trunktrunking是用來在不同的交換機(jī)之間進(jìn)行連接，以保證在跨越多個(gè)交換機(jī)上建立的同一個(gè)vlan的成員能夠相互通訊。其中交換機(jī)之間互聯(lián)用的端口就稱為trunk端口。與一般的交換機(jī)的級(jí)聯(lián)不同，trunking是基于osi第二層數(shù)據(jù)鏈路層技術(shù)，如果在2個(gè)交換機(jī)上分別劃分了多個(gè)vlan（vlan也是基于layer2的），那么分別在兩個(gè)交換機(jī)上的vlan10和vlan20的各自的成員如果要互通，就需要在a交換機(jī)上設(shè)為vlan10的端口中取一個(gè)和交換機(jī)b上設(shè)為vlan10的某個(gè)端口

53、作級(jí)聯(lián)連接。vlan20也是這樣。那么如果交換機(jī)上劃了10個(gè)vlan就需要分別連10條線作級(jí)聯(lián)，端口效率就太低了。 當(dāng)交換機(jī)支持trunking的時(shí)候，事情就簡(jiǎn)單了，只需要2個(gè)交換機(jī)之間有一條級(jí)聯(lián)線，并將對(duì)應(yīng)的端口設(shè)置為trunk，這條線路就可以承載交換機(jī)上所有vlan的信息。這樣的話，就算交換機(jī)上設(shè)了上百個(gè)個(gè)vlan也只用1個(gè)端口就解決了。 8.5、 stp在局域網(wǎng)中是不允許出現(xiàn)環(huán)路的，而為了實(shí)現(xiàn)冗余和負(fù)載均衡，通常會(huì)有多條鏈路的連接，這樣就會(huì)形成環(huán)路。所以要用stp協(xié)議。在交換機(jī)上對(duì)端口的優(yōu)先權(quán)的設(shè)置可以基于vlan進(jìn)行，每個(gè)端口對(duì)于不同的vlan設(shè)置不同的優(yōu)先級(jí)。對(duì)于指定的vlan，具有

54、該vlan最高優(yōu)先權(quán)的端口轉(zhuǎn)發(fā)該vlan的信息，其他vlan的信息則阻塞。通過這種方法，在具有冗余連接的交換機(jī)端口上分別針對(duì)不同的vlan設(shè)置不同的優(yōu)先權(quán) ，既可實(shí)現(xiàn)鏈路的冗余，又可實(shí)現(xiàn)負(fù)載的均衡。該協(xié)議的目的是在實(shí)現(xiàn)交換機(jī)之間的冗余連接的同時(shí)，避免網(wǎng)絡(luò)環(huán)路的出現(xiàn)，實(shí)現(xiàn)網(wǎng)絡(luò)的高可靠性。確定根橋，決定哪些端口處于轉(zhuǎn)發(fā)狀態(tài)，哪些端口處于阻斷狀態(tài)，以免引起網(wǎng)絡(luò)環(huán)路。8.6、 vpn虛擬專用網(wǎng)（vpn）被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。 虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上，一個(gè)企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同時(shí)，這將簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理，加速連接新的用戶和網(wǎng)站。另外，虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。 8.7、 dns dns 是域名系統(tǒng) (do