畢業(yè)論文用Cisco設(shè)備構(gòu)建大型企業(yè)網(wǎng)絡(luò)的解決方案安全的遠(yuǎn)程訪問(wèn)

1、【摘摘 要要】 隨著 Internet 技術(shù)日趨成熟，已經(jīng)開(kāi)始了從以提供和保證網(wǎng)絡(luò)聯(lián)通性為主 要目標(biāo)的第一代 Internet 技術(shù)向以提供網(wǎng)絡(luò)數(shù)據(jù)信息服務(wù)為特征的第二代 Internet 技術(shù)的過(guò)渡。與此同時(shí)，數(shù)以萬(wàn)計(jì)的商業(yè)公司、政府機(jī)構(gòu)在多年的猶豫、 觀望之后，意識(shí)到采用 Internet 技術(shù)并使企業(yè)數(shù)據(jù)通信網(wǎng)絡(luò)成為 Internet 的延 伸已成為發(fā)展趨勢(shì)。這使得企業(yè)數(shù)據(jù)網(wǎng)絡(luò)正迅速地從以封閉型的專線、專網(wǎng)為特 征的第二代技術(shù)轉(zhuǎn)向以 Internet 互聯(lián)技術(shù)為基礎(chǔ)的第三代企業(yè)信息網(wǎng)絡(luò)。國(guó)際 標(biāo)準(zhǔn)化組織將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管 理的安全保護(hù)，保護(hù)計(jì)算機(jī)

2、硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、 更改和泄漏” 。上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容， 其邏輯安全的內(nèi)容可理解為我們常說(shuō)的信息安全，是指對(duì)信息的保密性、完整性 和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò) 信息保密性、完整性和可用性的保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會(huì)隨著使用者 的變化而變化，使用者不同，對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也就不同。從普通使用者 的角度來(lái)說(shuō)，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免 被竊聽(tīng)、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如 何應(yīng)付突發(fā)情況時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信

3、的連續(xù)性。 關(guān)鍵詞：關(guān)鍵詞：安全；虛擬局域網(wǎng)；虛擬專用網(wǎng)；AAA 認(rèn)證。 【Abstract】 With Internet has already turned from the first generation the second.Meanwhile,thousands of company and governments realize the importance of Internet and take measures to build their own Network,so that extend the development of the Internet.This mak

4、es the Internet transfer from the second generation to the third which features basis of Inter connecting.International Standardization Organization is defined Computer security as:To set up data processing systems and the adoption of the technology and management of security protection,the protecti

5、on of computer hardware,software,data is not due to accidental and malicious destruction of reasons,change and leakage.The above definition of computer security include physical security and logical security of both the contents of the contents of the logic may be understood to safety often said tha

6、t our information security,information refers to the confidentiality,integrity and availability of protection,and network security the meaning of safety information are extended,that is,network security information on the network are confidentiality,integrity and availability protection.Computer net

7、work security as the specific meaning of the changes the user,the user is different from the understanding of network security and demands will be different.From the ordinary users point of view,only possible hope of personal privacy or confidential information on transfers in the network be protect

8、ed against eavesdropping,tampering and forgery;and apart from the network provider of information security concern for these networks,we must also consider how to deal with unexpected situation,how to restore network communications,and maintain continuity of network communications. Keyword：SECURE VL

9、AN VPN AAA. 目目 錄錄 第一章 緒論.1 第二章 網(wǎng)絡(luò)原理.2 1. VLAN 原理.2 2. VTP 原理.3 3. PVST 原理.4 4 SVI-VLAN 間路由.4 5 HSRP 原理.4 6. DHCP 原理.5 7 STP ROOT GUARD根保護(hù)原理.5 7.1 Spanning-Tree BUDU.5 7.2 STP Root Guard.6 8 PORTFAST UPLINKFAST BACKBONEFAST原理.7 8.1 Portfast.7 8.2 Uplinkfast.8 8.3 Backbonefast.8 9 AAA 認(rèn)證原理.9 10 OSPF 原

10、理.10 11 VPN 虛擬專用網(wǎng)與加密原理.12 第三章 設(shè)計(jì)方案.16 1. 醫(yī)院網(wǎng)絡(luò)分析.16 2. 需求分析.19 3. 設(shè)備選型.20 4. 網(wǎng)絡(luò)設(shè)計(jì).21 4.1 設(shè)備連接情況.21 4.2 醫(yī)院網(wǎng)絡(luò)拓?fù)?22 第四章 網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn).24 1. 基礎(chǔ)配置.24 2 接入層配置.24 3 分布層配置.25 4 信息中心配置.26 5 核心層配置.27 5.1 核心交換機(jī).27 5.1 核心路由器.32 第五章 結(jié)論.36 4.參考文獻(xiàn).37 5.致謝.38 畢業(yè)設(shè)計(jì)（論文） 1 第一章第一章 緒論緒論 人類步入 21 世紀(jì)這個(gè)信息時(shí)代，信息可以幫助團(tuán)體或個(gè)人，使他們受益， 同樣，信息

11、也可以用來(lái)對(duì)他們構(gòu)成威脅，造成破壞。Internet 是一個(gè)開(kāi)放的、 無(wú)控制機(jī)構(gòu)的網(wǎng)絡(luò)，黑客（Hacker）經(jīng)常會(huì)侵入網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)，或竊取 機(jī)密數(shù)據(jù)和盜用特權(quán)，或破壞重要數(shù)據(jù)，或使系統(tǒng)功能得不到充分發(fā)揮直至癱 瘓。Internet 的數(shù)據(jù)傳輸是基于 TCP/IP 通信協(xié)議進(jìn)行的，這些協(xié)議缺乏使傳 輸過(guò)程中的信息不被竊取的安全措施。在計(jì)算機(jī)上存儲(chǔ)、傳輸和處理的電子信 息，還沒(méi)有像傳統(tǒng)的郵件通信那樣進(jìn)行信封保護(hù)和簽字蓋章。信息的來(lái)源和去 向是否真實(shí)，內(nèi)容是否被改動(dòng)，以及是否泄露等，在應(yīng)用層支持的服務(wù)協(xié)議中 是憑著君子協(xié)定來(lái)維系的。電子郵件存在著被拆看、誤投和偽造的可能性。使 用電子郵件來(lái)傳輸

12、重要機(jī)密信息會(huì)存在著很大的危險(xiǎn)。計(jì)算機(jī)病毒通過(guò) Internet 的傳播給上網(wǎng)用戶帶來(lái)極大的危害，病毒可以使計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò) 系統(tǒng)癱瘓、數(shù)據(jù)和文件丟失。在網(wǎng)絡(luò)上傳播病毒可以通過(guò)公共匿名 FTP 文件傳 送、也可以通過(guò)郵件和郵件的附加文件傳播。與此同時(shí)太網(wǎng)技術(shù)的發(fā)展，以太 網(wǎng)的規(guī)模也越來(lái)越大，從小型的辦公環(huán)境到大型的園區(qū)網(wǎng)絡(luò)，網(wǎng)絡(luò)管理變得越 來(lái)越復(fù)雜。首先，在采用共享介質(zhì)的以太網(wǎng)中，所有結(jié)點(diǎn)位于同一個(gè)沖突域中， 同時(shí)也位于同一個(gè)廣播域中，即一個(gè)結(jié)點(diǎn)向網(wǎng)絡(luò)中某些結(jié)點(diǎn)的廣播會(huì)被網(wǎng)絡(luò)中 所有的結(jié)點(diǎn)所接收，造成很大的帶寬資源和主機(jī)處理能力的浪費(fèi)。為了解決傳 統(tǒng)以太網(wǎng)的沖突域問(wèn)題，采用了交換機(jī)來(lái)對(duì)網(wǎng)段進(jìn)

13、行邏輯劃分，于是虛擬局域 網(wǎng)也顯得更為重要了。虛擬專用網(wǎng)，VPN 它是利用公用網(wǎng)絡(luò)來(lái)連接到企業(yè)私有 網(wǎng)絡(luò)。但在 VPN 中，用安全機(jī)制來(lái)保障機(jī)密型，真實(shí)可靠行，完整性嚴(yán)格的訪 問(wèn)控制。這樣就建立了一個(gè)邏輯上虛擬的私有網(wǎng)絡(luò)。它提供了一個(gè)經(jīng)濟(jì)有效的 手段來(lái)解決通過(guò)公用網(wǎng)絡(luò)安全的交換私有信息。它可以實(shí)現(xiàn)不同網(wǎng)絡(luò)的組件和 資源之間的相互連接。它能夠利用 Internet 或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為 用戶創(chuàng)建隧道，并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障。使用它技術(shù)可以解 決在當(dāng)今遠(yuǎn)程通訊量日益增大，企業(yè)全球運(yùn)作廣泛分布的情況下，員工需要訪 問(wèn)中央資源，企業(yè)相互之間必須進(jìn)行及時(shí)和有效的通訊的問(wèn)題。如果希

14、望企業(yè) 員工無(wú)論身處何地都能夠與企業(yè)計(jì)算資源建立連接，企業(yè)必須采用一個(gè)可靠性 高、擴(kuò)展性強(qiáng)的遠(yuǎn)程訪問(wèn)解決方案。本次研究主要以構(gòu)建健康良好的網(wǎng)絡(luò)為基 礎(chǔ)，實(shí)現(xiàn)通信無(wú)障礙化；并且在此基礎(chǔ)之上建立一個(gè)安全的私密的網(wǎng)絡(luò)環(huán)境將 成為本次研究的重點(diǎn)。 畢業(yè)設(shè)計(jì)（論文） 2 第二章第二章 網(wǎng)絡(luò)原理網(wǎng)絡(luò)原理 1.1. VLANVLAN 原理原理 隨著以太網(wǎng)技術(shù)的普及，以太網(wǎng)的規(guī)模也越來(lái)越大，從小型的辦公環(huán)境到 大型的園區(qū)網(wǎng)絡(luò)，網(wǎng)絡(luò)管理變得越來(lái)越復(fù)雜。首先，在采用共享介質(zhì)的以太網(wǎng) 中，所有結(jié)點(diǎn)位于同一個(gè)沖突域中，同時(shí)也位于同一個(gè)廣播域中，即一個(gè)結(jié)點(diǎn) 向網(wǎng)絡(luò)中某些結(jié)點(diǎn)的廣播會(huì)被網(wǎng)絡(luò)中所有的結(jié)點(diǎn)所接收，造成很大的帶

15、寬資源 和主機(jī)處理能力的浪費(fèi)。為了解決傳統(tǒng)以太網(wǎng)的沖突域問(wèn)題，采用了交換機(jī)來(lái) 對(duì)網(wǎng)段進(jìn)行邏輯劃分。交換機(jī)雖然能解決沖突域問(wèn)題，卻不能克服廣播域問(wèn)題。 例如，一個(gè) ARP 廣播就會(huì)被交換機(jī)轉(zhuǎn)發(fā)到與其相連的所有網(wǎng)段中，當(dāng)網(wǎng)絡(luò)上有 大量這樣的廣播存在時(shí)，不僅是對(duì)帶寬的浪費(fèi)，還會(huì)因過(guò)量的廣播產(chǎn)生廣播風(fēng) 暴，當(dāng)交換網(wǎng)絡(luò)規(guī)模增加時(shí)，網(wǎng)絡(luò)廣播風(fēng)暴問(wèn)題還會(huì)更加嚴(yán)重，并可能因此導(dǎo) 致網(wǎng)絡(luò)癱瘓。第二，在傳統(tǒng)的以太網(wǎng)中，同一個(gè)物理網(wǎng)段中的結(jié)點(diǎn)也就是一個(gè) 邏輯工作組，不同物理網(wǎng)段中的結(jié)點(diǎn)是不能直接相互通信的。這樣，當(dāng)用戶由 于某種原因在網(wǎng)絡(luò)中移動(dòng)但同時(shí)還要繼續(xù)原來(lái)的邏輯工作組時(shí)，就必然會(huì)需要 進(jìn)行新的網(wǎng)絡(luò)連接乃至重新

16、布線。 為了解決上述問(wèn)題，虛擬局域網(wǎng)（Virtual Local Area Network，VLAN） 應(yīng)運(yùn)而生。虛擬局域網(wǎng)是以局域網(wǎng)交換機(jī)為基礎(chǔ)，通過(guò)交換機(jī)軟件實(shí)現(xiàn)根據(jù)功 能、部門(mén)、應(yīng)用等因素將設(shè)備或用戶組成虛擬工作組或邏輯網(wǎng)段的技術(shù)，其最 大的特點(diǎn)是在組成邏輯網(wǎng)時(shí)無(wú)須考慮用戶或設(shè)備在網(wǎng)絡(luò)中的物理位置。VLAN 可 以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。 在 IEEE 802.1Q 標(biāo)準(zhǔn)中對(duì)虛擬局域網(wǎng)（VLAN）是這樣定義的：虛擬局域網(wǎng) 是由一些局域網(wǎng)網(wǎng)段構(gòu)成的與物理位置無(wú)關(guān)的邏輯組，而這些網(wǎng)段具有某些共 同的需求。每一個(gè) VLAN 的幀都有一個(gè)明確的標(biāo)識(shí)符，指明發(fā)送這個(gè)幀的工作站 是屬于哪一個(gè)

17、VLAN。利用以太網(wǎng)交換機(jī)可以很方便地實(shí)現(xiàn)虛擬局域網(wǎng)（VLAN） 。 虛擬局域網(wǎng)其實(shí)只是局域網(wǎng)給用戶提供的一種服務(wù)，并不是一種新型局域網(wǎng)。 VLAN 的優(yōu)點(diǎn)：（1）減少移動(dòng)和改變的代價(jià)，即所說(shuō)的動(dòng)態(tài)管理網(wǎng)絡(luò)，也 就是當(dāng)一個(gè)用戶從一個(gè)位置移動(dòng)到另一個(gè)位置時(shí)，其網(wǎng)絡(luò)屬性不需要重新配置， 而是動(dòng)態(tài)地完成，這種動(dòng)態(tài)管理網(wǎng)絡(luò)給網(wǎng)絡(luò)管理者和使用者都帶來(lái)了極大的好 處，無(wú)論一個(gè)用戶在哪里，他都能不做任何修改地接入網(wǎng)絡(luò)，這種前景是非常 美好的。 當(dāng)然，并不是所有的 VLAN 定義方法都能做到這一點(diǎn)。 （2）虛擬工作 組，VLAN 最具雄心的目標(biāo)就是建立虛擬工作組模型，例如，在校園網(wǎng)中，同一 個(gè)系的就好像在同一

18、個(gè) LAN 上一樣，很容易地互相訪問(wèn)、交流信息，同時(shí)，所 畢業(yè)設(shè)計(jì)（論文） 3 有的廣播包也都限制在該虛擬 LAN 上，而不影響其他 VLAN 的人，一個(gè)人如果從 一個(gè)辦公地點(diǎn)換到另外一個(gè)地點(diǎn)，而他仍然在該系，那么，其配置無(wú)須改變， 同時(shí)，如果一個(gè)人雖然辦公地點(diǎn)沒(méi)有變，但他換了一個(gè)系，那么，只需在網(wǎng)絡(luò) 管理處配置即可。這個(gè)功能的目標(biāo)就是建立一個(gè)動(dòng)態(tài)的組織環(huán)境，當(dāng)然，這只 是一個(gè)遠(yuǎn)大的目標(biāo)，要實(shí)現(xiàn)它，還需要一些其他包括管理等方面的支持。 （3） 限制廣播包，按照 802.1D 透明網(wǎng)橋的算法，如果一個(gè)數(shù)據(jù)包找不到路由，那么 交換機(jī)就會(huì)將該數(shù)據(jù)包向所有其他端口發(fā)送，這就是橋的廣播方式的轉(zhuǎn)發(fā)，這 樣

19、，極大地浪費(fèi)了帶寬，如果配置了 VLAN，那么，當(dāng)一個(gè)數(shù)據(jù)包沒(méi)有路由時(shí)， 交換機(jī)只會(huì)將此數(shù)據(jù)包發(fā)送到所有屬于該 VLAN 的其他端口，而不是所有交換機(jī) 的端口，這樣，就將數(shù)據(jù)包限制到了一個(gè) VLAN 內(nèi)。在一定程度上可以節(jié)省帶寬。 （3）安全性，由于配置了 VLAN 后，一個(gè) VLAN 的數(shù)據(jù)包不會(huì)發(fā)送到另一個(gè) VLAN，這樣，其他 VLAN 用戶的網(wǎng)絡(luò)上收不到任何該 VLAN 的數(shù)據(jù)包，從而確保 了該 VLAN 的信息不會(huì)被其他 VLAN 的人竊聽(tīng)，從而實(shí)現(xiàn)了信息的保密。 2.2. VTPVTP 原理原理 VLAN 中繼協(xié)議（VTP，VLANTRUNKING PROTOCOL）是 CISCO

20、 專用協(xié)議，大 多數(shù)交換機(jī)都支持該協(xié)議VTP 負(fù)責(zé)在 VTP 域內(nèi)同步 VLAN 信息，這樣就不必在 每個(gè)交換上配置相同的 VLAN 信息，并且可以很好的管理 VLAN。 VTP 還提供一種映射方案，以便通信流能跨越混合介質(zhì)的骨干。 VTP 最重要的作用是，將進(jìn)行變動(dòng)時(shí)可能會(huì)出現(xiàn)在的配置不一致性降至最 低。 VTP 也有一些缺點(diǎn)，這些缺點(diǎn)通常都與生成樹(shù)協(xié)議有關(guān)。如果不能正確使 用 VTP 也是很危險(xiǎn)的。 VLAN 中繼協(xié)議（VTP）利用第 2 層中繼幀，在一組交換機(jī)之間進(jìn)行 VLAN 通 信VTP 從一個(gè)中心控制點(diǎn)開(kāi)始，維護(hù)整個(gè)企業(yè)網(wǎng)上 VLAN 的添加、添加和重命 名工作，確何配置的一致性。

21、 VTP 的優(yōu)點(diǎn)：保持配置的一致性；提供跨不同介質(zhì)類型如 ATM FDDI 和以太 網(wǎng)配置虛擬局域網(wǎng)的方法；提供跟蹤和監(jiān)視虛擬局域網(wǎng)的方法；提供檢測(cè)加到 另一個(gè)交換機(jī)上的虛擬局域的方法；提供從一個(gè)交換機(jī)在整個(gè)管理域中增加虛 擬局域網(wǎng)的方法。 VTP 是一種消息協(xié)議，使用第 2 層幀，在全網(wǎng)的基礎(chǔ)上管理 VLAN 的添加、 刪除和重命名，以實(shí)現(xiàn) VLAN 配置的一致性?？梢杂?VTP 管理網(wǎng)絡(luò)中 VLAN1 到 1005。VTPv3 提供管理擴(kuò)展 VLAN 的功能，一般機(jī)器不自帶這種功能。 有了 VTP，就可以在一臺(tái)機(jī)換上集中過(guò)時(shí)行配置變更，所作的變更會(huì)被自 動(dòng)傳播到網(wǎng)絡(luò)中所有其他的交換機(jī)上。

22、（前提是在同一個(gè) VTP 域） 畢業(yè)設(shè)計(jì)（論文） 4 為了實(shí)現(xiàn)此功能，必須先建立一個(gè) VTP 管理域，以使它能管理網(wǎng)絡(luò)上當(dāng)前 的 VLAN。在同一管理域中的交換機(jī)共享它們的 VLAN 信息，并且，一個(gè)交換機(jī) 只能參加到一個(gè) VTP 管理域，不同域中的交換機(jī)不能共享 VTP 信息。 3.3. PVSTPVST 原理原理 PVST: Per-VLAN Spanning Tree，每 VLAN 生成樹(shù) (PVST)為每個(gè)在網(wǎng)絡(luò)中 配置的 VLAN 維護(hù)一個(gè)生成樹(shù)實(shí)例。它使用 ISL 中繼和允許一個(gè) VLAN 中繼當(dāng)被 其它 VLANs 的阻塞時(shí)將一些 VLANs 轉(zhuǎn)發(fā)。盡管 PVST 對(duì)待每個(gè) VL

23、AN 作為一個(gè)單 獨(dú)的網(wǎng)絡(luò)，它有能力(在第 2 層)通過(guò)一些在主干和其它在另一個(gè)主干中的不引 起生成樹(shù)循環(huán)的 Vlans 中的一些 VLANs 來(lái)負(fù)載平衡通信。 4 4 SVI-VLANSVI-VLAN 間路由間路由 SVI（交換虛擬接口）是指為交換機(jī)中的 VLAN 創(chuàng)建虛擬接口，并且配置 IP 地址。三層交換機(jī)給接口配置 IP 地址，采用 SVI 的方式實(shí)現(xiàn) VLAN 間互連。 5 5 HSRPHSRP 原理原理 鏈路聚合技術(shù) 鏈路匯聚是指將多個(gè)交換機(jī)之間、交換機(jī)和路由器之間以及 交換機(jī)和服務(wù)器之間的并行鏈路同時(shí)使用，其功能是將交換機(jī)的多個(gè)低帶寬端 口捆綁成一條高帶寬鏈路，從而實(shí)現(xiàn)鏈路的負(fù)載

24、平衡，避免鏈路出現(xiàn)擁塞現(xiàn)象。 通過(guò)該技術(shù)，可將最多 8 條鏈路綁在一起，疊加傳輸帶寬，從而使快速以太網(wǎng) 和千兆以太網(wǎng)實(shí)現(xiàn)最高 800Mbps 和 8Gbps 的連接帶寬。同時(shí)，當(dāng)部分端口聚合 鏈路出現(xiàn)故障時(shí)，也不會(huì)導(dǎo)致連接中斷，其他鏈路將能夠不受影響地正常工作， 從而增強(qiáng)了網(wǎng)絡(luò)的穩(wěn)定性和安全性。 例如：?jiǎn)螚l GE 鏈路在正常狀態(tài)下的鏈路帶寬為 1G，采用鏈路聚合技術(shù)對(duì) 兩條鏈路進(jìn)行聚合后，其上行帶寬可由原來(lái)的 1G 變?yōu)?2G，同時(shí)，當(dāng)其中 1 條 鏈路中斷時(shí)，整個(gè)鏈路仍可采用 1G 速率正常通信。這樣就實(shí)現(xiàn)了鏈路的冗余。 在進(jìn)行端口聚合的配置時(shí)，有大量的參數(shù)可供選擇，本案例僅選取基本的 參數(shù)

25、進(jìn)行配置。 熱備份路由協(xié)議 由于當(dāng)前網(wǎng)絡(luò)均采用 Cisco 網(wǎng)絡(luò)設(shè)備，因此可以采用 Cisco 的熱備份路由協(xié)議（HSRP）實(shí)現(xiàn)路由冗余。HSRP 的目的在于當(dāng)有冗余交 換機(jī)的時(shí)候，使主機(jī)看上去只使用一個(gè)交換機(jī)，并且即使在它當(dāng)前所使用的交 換機(jī)出現(xiàn)故障的情況下，仍能夠保持路由的連通性。HSRP 協(xié)議中所涉及到的多 個(gè)交換機(jī)都映射為一個(gè)虛擬的交換機(jī)。 HSRP 使主交換機(jī)代替虛擬交換機(jī)進(jìn)行數(shù)據(jù)包的發(fā)送，終端把數(shù)據(jù)包發(fā)向該 虛擬交換機(jī)，而實(shí)際轉(zhuǎn)發(fā)數(shù)據(jù)包的卻是主交換機(jī)。假如這個(gè)主交換機(jī)在某個(gè)時(shí) 候由于某種原因而無(wú)法正常工作的話，那么備份的交換機(jī)將被用來(lái)代替原來(lái)的 畢業(yè)設(shè)計(jì)（論文） 5 主交換機(jī)，承擔(dān)

26、數(shù)據(jù)包的轉(zhuǎn)發(fā)功能，而不會(huì)在對(duì)主機(jī)的連通性上產(chǎn)生大的故障。 網(wǎng)絡(luò)中的主交換機(jī)和備份交換機(jī)在完成 HSRP 協(xié)議的選擇過(guò)程后發(fā)送消息包 來(lái)實(shí)現(xiàn)主、備交換機(jī)之間的信息交換。假如主交換機(jī)失效，則備份交換機(jī)將取 代它作為新的主交換機(jī)工作。而當(dāng)備份交換機(jī)失效或者變成主交換機(jī)時(shí)，另外 一個(gè)交換機(jī)將被選為備份交換機(jī)。一般根據(jù)需要選擇部分配置作為交換機(jī)的實(shí) 際配置并在主、備交換機(jī)上同時(shí)實(shí)現(xiàn)。 6.6. DHCPDHCP 原理原理 DHCP 協(xié)議是一種簡(jiǎn)化主機(jī) IP 配置管理的 TCPIP 標(biāo)準(zhǔn)， 用于減少網(wǎng)絡(luò)客 戶機(jī) IP 地址配置的復(fù)雜度和管理開(kāi)銷(xiāo)。DHCP 服務(wù)允許網(wǎng)絡(luò)中一臺(tái)計(jì)算機(jī)作為 DHCP 服務(wù)器并配

27、置用戶網(wǎng)絡(luò)中啟用 DHCP 的客戶計(jì)算機(jī)。DHCP 在服務(wù)器上運(yùn)行， 能夠自動(dòng)集中管理網(wǎng)絡(luò)上的 IP 地址和用戶網(wǎng)絡(luò)中客戶計(jì)算機(jī)所配置的其他 TCPIP 設(shè)置。 對(duì)于基于 TCPIP 的網(wǎng)絡(luò)， DHCP 減少了重新配置計(jì)算機(jī)所涉及的管理員 的工作量和復(fù)雜性， 大大降低了 用于配置和重新配置網(wǎng)上計(jì)算機(jī)的時(shí)間。 DHCP 的客戶機(jī)無(wú)需手動(dòng)輸入任何數(shù)據(jù)，避免了手動(dòng)鍵入值而引起的配置錯(cuò)誤， 同時(shí) DHCP 可以防止出現(xiàn)新計(jì)算機(jī)重用以前指派 IP 地址引起的沖突的問(wèn)題。 通過(guò)在網(wǎng)絡(luò)上安裝和配置 DHCP 服務(wù)器，啟用 DHCP 的客戶機(jī)可在每次啟動(dòng) 并加入網(wǎng)絡(luò)時(shí)動(dòng)態(tài)地獲得其 IP 地址和相關(guān)配置參數(shù)。D

28、HCP 服務(wù)器以地址租約 的形式將該配置提供給發(fā)出請(qǐng)求的客戶機(jī)。 DHCP 實(shí)現(xiàn)流程：（1）在特定的時(shí)間內(nèi)將 IP 地址租用給 DHCP 客戶端， 然后當(dāng)客戶端請(qǐng)求續(xù)訂時(shí)自動(dòng)續(xù)訂 IP 地址。 （2）通過(guò)更改 DHCP 服務(wù)器處的 服務(wù)器或作用域選項(xiàng)而不是在所有 DHCP 客戶端上分別執(zhí)行此操作，來(lái)更新 DHCP 客戶端參數(shù)。 （3）為特定的計(jì)算機(jī)或其他設(shè)備保留 IP 地址，以便它們總 是具有相同的 IP 地址，同時(shí)還接收最新的 DHCP 選項(xiàng)。 （4）從 DHCP 服務(wù)器 分發(fā)中排除 IP 地址或地址范圍，以便能夠使用這些 IP 地址和范圍對(duì)服務(wù)器、 路由器和其他需要靜態(tài) IP 地址的設(shè)備進(jìn)

29、行靜態(tài)配置。 （5）為眾多子網(wǎng)提供 DHCP 服務(wù)（如果 DHCP 服務(wù)器和需要提供服務(wù)的子網(wǎng)之間的所有路由器都被配 置成轉(zhuǎn)發(fā) DHCP 消息） 。 （6）配置 DHCP 服務(wù)器以便為 DHCP 客戶端執(zhí)行 DNS 名稱注冊(cè)服務(wù)。 （7）為基于 IP 的 DHCP 客戶端提供多播地址分配。 7 7 STPSTP RootRoot GuardGuard 根保護(hù)原理根保護(hù)原理 7.17.1 Spanning-TreeSpanning-Tree BUDUBUDU 網(wǎng)橋協(xié)議數(shù)據(jù)單元（Bridge Protocol Data Unit)。是一種生成樹(shù) 畢業(yè)設(shè)計(jì)（論文） 6 （Spanning-Tree）

30、協(xié)議問(wèn)候數(shù)據(jù)包，它以可配置的間隔發(fā)出，用來(lái)在網(wǎng)絡(luò)的網(wǎng) 橋間進(jìn)行信息交換。網(wǎng)橋有三種典型的方式：透明橋、源路由橋與源路由透明 橋。網(wǎng)橋典型地連接兩個(gè)用同樣介質(zhì)存取控制方法的網(wǎng)段，IEEE 802.1d 規(guī)范 （此規(guī)范是為所有的 802 介質(zhì)存取方法開(kāi)發(fā)的）定義了透明橋。源路由橋是由 IBM 公司為它的令牌環(huán)網(wǎng)絡(luò)開(kāi)發(fā)的；而源路由透明橋則是透明橋和源路由橋的 組合。橋兩邊的網(wǎng)段分屬于不同的沖突域，但卻屬于同一個(gè)廣播域。 在一個(gè)橋接的局域網(wǎng)里，為了增強(qiáng)可靠性，必然要建立一個(gè)冗余的路徑， 網(wǎng)段會(huì)用冗余的網(wǎng)橋連接。但是，在一個(gè)透明橋橋接的網(wǎng)絡(luò)里，存在冗余的路 徑就能建立一個(gè)橋回路，橋回路對(duì)于一個(gè)局域網(wǎng)是致

31、命的。 生成樹(shù)協(xié)議是一種橋嵌套協(xié)議，在 IEEE 802.1D 規(guī)范里定義，可以用來(lái)消 除橋回路。它的工作原理是這樣的：生成樹(shù)協(xié)議定義了一個(gè)數(shù)據(jù)包，叫做橋協(xié) 議數(shù)據(jù)單元 BPDU（Bridge Protocol Data Unit） 。網(wǎng)橋用 BPDU 來(lái)相互通信， 并用 BPDU 的相關(guān)機(jī)能來(lái)動(dòng)態(tài)選擇根橋和備份橋。但是因?yàn)閺闹行臉虻饺魏尉W(wǎng)段 只有一個(gè)路徑存在，所以橋回路被消除。 在一個(gè)生成樹(shù)環(huán)境里，橋不會(huì)立即開(kāi)始轉(zhuǎn)發(fā)功能，它們必須首先選擇一個(gè) 橋?yàn)楦鶚?，然后建立一個(gè)指定路徑。在一個(gè)網(wǎng)絡(luò)里邊擁有最低橋 ID 的將變成一 個(gè)根橋，全部的生成樹(shù)網(wǎng)絡(luò)里面只有一個(gè)根橋。根橋的主要職責(zé)是定期發(fā)送配 置信

32、息，然后這種配置信息將會(huì)被所有的指定橋發(fā)送。這在生成樹(shù)網(wǎng)絡(luò)里面是 一種機(jī)制，一旦網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化，網(wǎng)絡(luò)狀態(tài)將會(huì)重新配置。 當(dāng)選定根橋之后，在轉(zhuǎn)發(fā)數(shù)據(jù)包之前，它們必須決定每一個(gè)網(wǎng)段的指定橋， 運(yùn)用生成樹(shù)的這種算法，根橋每隔 2 秒鐘從它所有的端口發(fā)送 BPDU 包，BPDU 包被所有的橋從它們的根端口復(fù)制過(guò)來(lái)，根端口是接根橋的那些橋端口。BPDU 包括的信息叫做端口的 COST，網(wǎng)絡(luò)管理員分配端口的 COST 到所有的橋端口， 當(dāng)根橋發(fā)送 BPDU 的時(shí)候，根橋設(shè)置它的端口值為零。然后沿著這條路徑，下一 個(gè)橋增加它的配置端口 COST 為一個(gè)值，這個(gè)值是它接收和轉(zhuǎn)發(fā)數(shù)據(jù)包到下一個(gè) 網(wǎng)段的值。這樣

33、每一個(gè)橋都增加它的端口的 COST 值為它所接收的 BPDU 的包的 COST 值，所有的橋都檢測(cè)它們的端口的 COST 值，擁有最低端口的 COST 值的橋 就變?yōu)榱酥付ǖ臉颉碛斜容^高端口 COST 值的橋置它的端口進(jìn)入阻塞狀態(tài)，變 為了備份橋。在阻塞狀態(tài)，一個(gè)橋停止了轉(zhuǎn)發(fā)，但是它會(huì)繼續(xù)接收和處理 BPDU 數(shù)據(jù)包。 7.27.2 STPSTP RootRoot GuardGuard 傳統(tǒng)的 802.1D STP 沒(méi)有給網(wǎng)絡(luò)管理員提供確保交換式第 2 層網(wǎng)絡(luò)拓?fù)浒踩?當(dāng)新接入的交換機(jī)優(yōu)先級(jí)更低，將搶占原有的根網(wǎng)橋。 根保護(hù)的目的是確保啟用了根保護(hù)的端口成為指定端口。通常一個(gè)根橋的 所有端

34、口均為指定端口。除非連接到兩個(gè)或多根網(wǎng)橋的端口。如果網(wǎng)橋在啟用 畢業(yè)設(shè)計(jì)（論文） 7 根保護(hù)的端口上收到一個(gè)較好的 STP BPDU。這個(gè)端口進(jìn)入 STP 的根不一致?tīng)顟B(tài)， 不會(huì)有流量通過(guò)該端口。 8 8 PortfastPortfast UplinkfastUplinkfast BackbonefastBackbonefast 原理原理 因?yàn)閭鹘y(tǒng)的生成樹(shù)協(xié)議，如果要由 block 狀態(tài)轉(zhuǎn)換到 forwarding 狀態(tài)需要 50s。這對(duì)于一個(gè)大型網(wǎng)絡(luò)來(lái)說(shuō)，時(shí)間太長(zhǎng)了。所以，cisco 發(fā)明了三個(gè)對(duì)生成 樹(shù)增強(qiáng)的協(xié)議。就是 Portfast，Uplinkfast，Backbonefast。Pr

35、otfast 是對(duì)于 接入端口來(lái)說(shuō)的，也就是使用了 Portfast 的端口直接就進(jìn)入傳輸狀態(tài)，而不需 要經(jīng)過(guò)中間的其他狀態(tài)。Uplinkfast 一般是用在接入層的。也就是說(shuō)當(dāng)有兩條 上行鏈路連向上層的時(shí)候，傳統(tǒng)的生成樹(shù)會(huì)把其中一條置為 block 狀態(tài)，如果 一條鏈路實(shí)效了，另一條也要經(jīng)過(guò) 50 秒才能變?yōu)閭鬏敔顟B(tài)，而使用 Uplinkfast 不需要經(jīng)過(guò) block 狀態(tài)。 BackboneFast 和 Uplinkfast 的作用是一樣的，只不過(guò)用于不同的情況。 而且 Backbonefast 是要配置在所有的交換機(jī)上。Backbonefast 是可以快速診 斷非直連鏈路的故障，并且使

36、生成樹(shù)快速收斂。對(duì) Backbonefast 工作方式舉個(gè) 例子：假設(shè)有 A,B,C 三個(gè)交換機(jī)。B 與 A 相連，C 也與 A 相連，C 與 B 也相連， 也就是說(shuō)三臺(tái)交換機(jī)兩兩相連。A 是根橋，所以 B 和 C 相連的兩個(gè)端口要有一 個(gè)端口是 block 狀態(tài)的。他們之間是不通的（你可以用紙畫(huà)一下，不然很抽象） 。 這個(gè)時(shí)候 A 和 B 之間的鏈路 down 掉了。那么 B 就和根橋失去了聯(lián)系，所以 B 就 開(kāi)始發(fā)出 BPDU，宣布自己是根橋。這個(gè) BPDU 只能是發(fā)到 C（因?yàn)楹?A 的鏈路 down 掉了） 。C 接收到這個(gè) BPDU，發(fā)現(xiàn)和自己之前的根橋不同，C 就會(huì)發(fā)出一個(gè) “ro

37、ot link query”的查詢，查詢以前的根橋是否還是有效的。A 收到了這個(gè) 查詢包就會(huì)回復(fù)給 C 一個(gè)應(yīng)答，說(shuō)自己仍然有效。C 收到這個(gè)應(yīng)答后，就會(huì)通 知 B 根橋仍然還在，并且打開(kāi) B 和 C 相連的兩個(gè)端口中的那個(gè) block 狀態(tài)的端 口。B 就開(kāi)始從 C 到達(dá)根橋了。整個(gè)過(guò)程也省略了由 block 狀態(tài)到 listen 狀態(tài) 的 20 秒時(shí)間。 8.18.1 PortfastPortfast Portfast 是用在 access layer 中的交換機(jī)上的而且用在有阻斷端口的交 換機(jī)上，當(dāng) RP 失效，馬上啟動(dòng)阻斷端口保持通信。這樣收斂時(shí)間很快，不用從 新進(jìn)行 STP 運(yùn)算，直

38、接從 blocking 跳到 fowarding。 缺省情況下，假定交換機(jī)的所有端口都將與交換機(jī)或者網(wǎng)橋連接，所以所 有端口都運(yùn)行 STP 算法，即如果網(wǎng)絡(luò)發(fā)生了變化，在端口發(fā)送數(shù)據(jù)之前要等待 50s，而事實(shí)上許多端口會(huì)直接連接工作站或者服務(wù)器。所以我們采用 PortFast 可以讓這些端口節(jié)省 Listening 和 Learning 狀態(tài)的時(shí)間，立即進(jìn)入 Forwarding 狀態(tài)。需要注意的是：PortFast 僅僅讓端口在網(wǎng)絡(luò)環(huán)境變化的情況 畢業(yè)設(shè)計(jì)（論文） 8 下直接進(jìn)入 Forwarding 狀態(tài)。而端口仍然運(yùn)行 STP 協(xié)議，所以如果檢測(cè)到環(huán)路， 端口仍將由 Forwarding

39、 狀態(tài)變成 Blocking 狀態(tài)。 Portfast 快速端口是一個(gè) Catalyst 的一個(gè)特性，能使交換機(jī)或中繼端口 跳過(guò)偵聽(tīng)學(xué)習(xí)狀態(tài)而進(jìn)入 STP 轉(zhuǎn)發(fā)狀態(tài)，在基于 IOS 交換機(jī)上，PortFast 只能 用于連接到終端工作站的接入端口上。 當(dāng)一個(gè)設(shè)備連接到一個(gè)端口上時(shí)，端口通常進(jìn)入偵聽(tīng)狀態(tài)。當(dāng)轉(zhuǎn)發(fā)延遲定 時(shí)器超時(shí)后，進(jìn)入學(xué)習(xí)狀態(tài)，當(dāng)轉(zhuǎn)發(fā)延遲定時(shí)器第二次超時(shí)，端口進(jìn)入到轉(zhuǎn)發(fā) 或者阻塞狀態(tài)，當(dāng)一個(gè)交換機(jī)或中繼端口啟用 PortFast 后，端口立即進(jìn)入轉(zhuǎn)發(fā) 狀態(tài)，但交換機(jī)檢測(cè)到鏈路，端口就進(jìn)入轉(zhuǎn)發(fā)狀態(tài)(插電纜后的 2s) 。如果端 口檢測(cè)到一個(gè)環(huán)路同時(shí)又啟用了 PortFast 功能。

40、它就進(jìn)入阻塞狀態(tài)。重要的 是要注意到 PortFast 值在端口初始化的時(shí)候才生效。如果端口由于某種原因 又被迫進(jìn)入阻塞狀態(tài)，隨后又需要回到轉(zhuǎn)發(fā)狀態(tài)，仍然要經(jīng)過(guò)正常的偵聽(tīng)。 啟用 PortFast 的主要原因是防止啟動(dòng)周期小于 30s 的 PC 需要和交換機(jī)端 口從未連接狀態(tài)進(jìn)入到轉(zhuǎn)發(fā)狀態(tài)，一些網(wǎng)卡直到 MAC 層軟件驅(qū)動(dòng)被實(shí)際加載之 后才會(huì)啟動(dòng)鏈路。這種情況下就會(huì)導(dǎo)致一些故障，例如 DHCP 環(huán)境下，這可能會(huì) 出現(xiàn)一些問(wèn)題。 8.28.2 UplinkfastUplinkfast 背景資料：STP 確保了在拓?fù)渥兓那闆r下沒(méi)有環(huán)路產(chǎn)生，但收斂速度慢。 一些實(shí)時(shí)以及對(duì)帶寬敏感的網(wǎng)絡(luò)應(yīng)用是不能接

41、受的。STP 收斂速度慢的原因是 收斂算法需要化時(shí)間確定一條可替代的鏈路，缺省時(shí)間是 50s，即 20s（BlockingListening）15s（ListeningLearning） 15s（LearningForwarding） 。解決的方法是一旦發(fā)現(xiàn)了線路 down，馬上把 Blocking 的 port 切換到 Forwarding，不要經(jīng)過(guò) Listening 和 Learning 階段。 這就是 UplinkFast，切換時(shí)間可以在 2s4s。UplinkFast 被設(shè)計(jì)應(yīng)用在接入 層交換機(jī)。一般應(yīng)用兩條上行鏈路連接到分布層，一條是冗余鏈路。 UplinkFast 激活一個(gè)快速重

42、新配置的條件：（1）在交換機(jī)上必須啟動(dòng)了 UplinkFast 功能；（2）至少有一個(gè)處于 Blocking 的端口（即有冗余鏈路） ； （3）鏈路失效必須發(fā)生在 Root Port 上。 交換機(jī)啟動(dòng)了 UplinkFast 后，由于提高了交換機(jī)上所有端口的路徑開(kāi)銷(xiāo)， 所以不適合作為根橋。 具體來(lái)說(shuō)，一個(gè)上行鏈路組由根端口和除自環(huán)端口之外的一組阻斷端口組 成，上行速鏈路使交換機(jī)上的一個(gè)阻斷端口幾乎立刻進(jìn)行轉(zhuǎn)發(fā)。很重要的一點(diǎn) 就是：上行鏈路只能配置在接入層交換機(jī)上，因?yàn)閺母丝诘狡浞侵付▊浞荻?口的快速轉(zhuǎn)發(fā)只能在生成樹(shù)拓?fù)浣Y(jié)構(gòu)的根端口上被確定性的完成。 8.38.3 BackbonefastBa

43、ckbonefast 畢業(yè)設(shè)計(jì)（論文） 9 BackboneFast 用在 distribution layer 中的交換機(jī)上。而且要求所有交 換機(jī)都得啟動(dòng) Backbonefast。當(dāng)一臺(tái)交換機(jī)的 RP 壞掉的時(shí)候，失去了和 RB 的 連接，它向他的其他端口，包括阻塞端口（如果有的話）發(fā)送下級(jí) BPDU。收到 下級(jí) BPDU 的交換機(jī)有 3 種情況：1，如果收到下級(jí) BPDU 的端口是阻塞端口，那 么阻塞端口和根端口都作為候選端口（用來(lái)到達(dá)根橋用的） ；2，如果收到下級(jí) BPDU 的端口是根端口，那么阻塞端口被作為候選端口，因?yàn)橹荒芡ㄟ^(guò)它到達(dá)根 橋了；3，如果收到下級(jí) BPDU 的端口是根端

44、口，并且這個(gè)交換機(jī)上沒(méi)有阻塞端 口，那么證明這臺(tái)交換機(jī)失去了到根橋的連接，需要從新進(jìn)行 STP 運(yùn)算。交換 機(jī)中只要有一臺(tái)處于第三種狀態(tài)，就要從新進(jìn)行 STP 運(yùn)算。除此之外，只需花 去 max age delay 的時(shí)間（就是最初的 20s）就可以收斂完畢。 BackboneFast 能使交換機(jī)在收到 inferior BPDU 后，根據(jù)接收該 BPDU 端 口的狀態(tài)，來(lái)決定通向 Root Bridge 的 alternate Path，并通過(guò) Blocking 端 口來(lái)發(fā)送 Root Link Query，根據(jù)應(yīng)答，判斷哪個(gè)端口為 Newly Current Root Bridge Por

45、t，并將其馬上進(jìn)行狀態(tài)轉(zhuǎn)換，無(wú)需等待 Max Age Timer 計(jì)時(shí)器到時(shí)。 9 9 AAAAAA 認(rèn)證原理認(rèn)證原理 AAA 安全服務(wù)，是使用相同方式配置三種獨(dú)立的安全功能的一種結(jié)構(gòu)。它 提供了完成下列服務(wù)的模塊化方法： 認(rèn)證，一種提供識(shí)別用戶的方法，包括注冊(cè)和口令對(duì)話框、詢問(wèn)和響應(yīng)、 消息支持以及根據(jù)所選擇的安全協(xié)議進(jìn)行加密。認(rèn)證是接受用戶訪問(wèn)網(wǎng)絡(luò)和網(wǎng) 絡(luò)服務(wù)前識(shí)別他們的方法。通過(guò)定義一張命名的認(rèn)證方法列表對(duì) AAA 認(rèn)證進(jìn)行 配置，然后應(yīng)用該列表于各種接口。方法列表定義了所執(zhí)行的認(rèn)證的類型和它 們執(zhí)行的次序；任何定義的認(rèn)證方法執(zhí)行之前都必須應(yīng)用在具體的接口上。唯 一的例外是缺省方法列表（

46、其名稱為 default） 。如果沒(méi)有定義其它方法列表， 缺省方法列表自動(dòng)應(yīng)用于所有接口。定義任何方法列表將覆蓋缺省方法列表。 除了本地口令、線路口令和開(kāi)啟認(rèn)證外，所有的認(rèn)證方法都必須通過(guò) AAA 來(lái)定 義。有關(guān)所有認(rèn)證的配置方法的詳細(xì)資料，包括那些在 AAA 安全服務(wù)之外實(shí)現(xiàn) 的方法，請(qǐng)參見(jiàn)第 2 章“認(rèn)證配置” 。 授權(quán)，一種提供遠(yuǎn)程訪問(wèn)控制的方法，包括一次性授權(quán)或者單項(xiàng)服務(wù)授權(quán)、 每個(gè)用戶帳目列表和簡(jiǎn)介、用戶包支持以及 IP、IPX、ARA 和 Telnet 支持。 AAA 授權(quán)是通過(guò)匯集一組屬性來(lái)發(fā)揮作用的，這些屬性描述了用戶被授予執(zhí)行 哪些權(quán)限。將這些屬性與包括在數(shù)據(jù)庫(kù)中某個(gè)特定用戶

47、的信息相比較，結(jié)果返 回給 AAA，以確定該用戶的實(shí)際權(quán)力和限制。這個(gè)數(shù)據(jù)庫(kù)可以位于所訪問(wèn)的本 地服務(wù)器或路由器，或者位于遠(yuǎn)程 RADIUS 或 TACACS+安全服務(wù)器。像 RADIUS 畢業(yè)設(shè)計(jì)（論文） 10 和 TACACS+這樣的遠(yuǎn)程安全服務(wù)器，通過(guò)與用戶相聯(lián)系的屬性值（AV）對(duì) （Attribute-Value Pairs）來(lái)給用戶授予具體的權(quán)限，屬性值（AV）對(duì)定義了 那些所要授予的權(quán)限。所有的授權(quán)方法必須通過(guò) AAA 定義。與認(rèn)證一樣，通過(guò) 定義授權(quán)方法的一張命名列表對(duì) AAA 授權(quán)進(jìn)行配置，然后在各種接口中應(yīng)用該 列表。有關(guān)使用 AAA 進(jìn)行授權(quán)配置的詳細(xì)情況。 記帳，一種給安

48、全服務(wù)器收集、發(fā)送信息提供服務(wù)的方法，這些信息用來(lái) 開(kāi)列帳單、審計(jì)和形成報(bào)表，如用戶標(biāo)識(shí)、開(kāi)始時(shí)間和停止時(shí)間、執(zhí)行的命令 （如 PPP） 、包的數(shù)量以及字節(jié)數(shù)。記帳功能不僅可以跟蹤用戶訪問(wèn)的服務(wù)，同 時(shí)還可以跟蹤他們消耗的網(wǎng)絡(luò)資源數(shù)量。當(dāng)激活 AAA 記帳功能時(shí)，網(wǎng)絡(luò)訪問(wèn)服 務(wù)器以記帳記錄的形式向 TACACS+或 RADIUS 安全服務(wù)器（依賴于所實(shí)現(xiàn)的安全 方法）報(bào)告用戶的活動(dòng)。每條記帳記錄包括記帳屬性值（AV）對(duì)，記帳記錄存 儲(chǔ)在訪問(wèn)控制服務(wù)器上。然后這個(gè)數(shù)據(jù)可由網(wǎng)絡(luò)管理、客戶帳單和/或?qū)徲?jì)進(jìn)行 分析。與認(rèn)證和授權(quán)一樣，通過(guò)定義一張命名的記帳方法列表對(duì) AAA 記帳進(jìn)行 配置，然后在不同

49、的接口中使用這張表。有關(guān)使用 AAA 進(jìn)行記帳配置的詳細(xì)材 料。 在很多情況下，AAA 使用像 RADIUS、TACACS+和 Kerberos 這樣的協(xié)議來(lái)管 理其安全功能。如果路由器或者訪問(wèn)服務(wù)器用作網(wǎng)絡(luò)訪問(wèn)服務(wù)器，AAA 就是在 網(wǎng)絡(luò)訪問(wèn)服務(wù)器和 RADIUS、TACACS+或 Kerberos 等安全服務(wù)器之間建立通信的 方法。雖然 AAA 是控制訪問(wèn)的主要方法（也是推薦方法） ，Cisco IOS 軟件還提 供了額外的功能來(lái)實(shí)現(xiàn)簡(jiǎn)單的訪問(wèn)控制，如本地用戶名認(rèn)證、線路口令認(rèn)證和 開(kāi)啟口令認(rèn)證，這些訪問(wèn)控制不在 AAA 的范圍之內(nèi)。然而，這些功能所提供的 控制訪問(wèn)的程度不如使用 AAA

50、所能達(dá)到的深度。 1010 OSPFOSPF 原理原理 OSPF(Open Shortest Path First 開(kāi)放式最短路徑優(yōu)先)是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié) 議(Interior Gateway Protocol,簡(jiǎn)稱 IGP)，用于在單一自治系統(tǒng)(autonomous system,AS)內(nèi)決策路由。OSPF 是鏈路狀態(tài)路由協(xié)議。 鏈路是路由器接口的另一種說(shuō)法，因此 OSPF 也稱為接口狀態(tài)路由協(xié)議。 OSPF 通過(guò)路由器之間通告網(wǎng)絡(luò)接口的狀態(tài)來(lái)建立鏈路狀態(tài)數(shù)據(jù)庫(kù)，生成最短路 徑樹(shù)，每個(gè) OSPF 路由器使用這些最短路徑構(gòu)造路由表。 OSPF 路由協(xié)議是一種典型的鏈路狀態(tài)（Link-state）

51、的路由協(xié)議，一般用 于同一個(gè)路由域內(nèi)。在這里，路由域是指一個(gè)自治系統(tǒng)（Autonomous System） ， 即 AS，它是指一組通過(guò)統(tǒng)一的路由政策或路由協(xié)議互相交換路由信息的網(wǎng)絡(luò)。 在這個(gè) AS 中，所有的 OSPF 路由器都維護(hù)一個(gè)相同的描述這個(gè) AS 結(jié)構(gòu)的數(shù)據(jù)庫(kù)， 該數(shù)據(jù)庫(kù)中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息，OSPF 路由器正是通過(guò)這個(gè) 數(shù)據(jù)庫(kù)計(jì)算出其 OSPF 路由表的。 畢業(yè)設(shè)計(jì)（論文） 11 作為一種鏈路狀態(tài)的路由協(xié)議，OSPF 將鏈路狀態(tài)廣播數(shù)據(jù)包 LSA（Link State Advertisement）傳送給在某一區(qū)域內(nèi)的所有路由器，這一點(diǎn)與距離矢量 路由協(xié)議不同。運(yùn)行

52、距離矢量路由協(xié)議的路由器是將部分或全部的路由表傳遞 給與其相鄰的路由器。 在 DR 和 BDR 出現(xiàn)之前，每一臺(tái)路由器和他的鄰居之間成為完全網(wǎng)狀的 OSPF 鄰接關(guān)系，這樣 5 臺(tái)路由器之間將需要形成 10 個(gè)鄰接關(guān)系,同時(shí)將產(chǎn)生 25 條 LSA.而且在多址網(wǎng)絡(luò)中,還存在自己發(fā)出的 LSA 從鄰居的鄰居發(fā)回來(lái),導(dǎo)致網(wǎng) 絡(luò)上產(chǎn)生很多 LSA 的拷貝,所以基于這種考慮，產(chǎn)生了 DR 和 BDR。 DR 將完成如下工作：描述這個(gè)多址網(wǎng)絡(luò)和該網(wǎng)絡(luò)上剩下的其他相關(guān)路由器； 管理這個(gè)多址網(wǎng)絡(luò)上的 flooding 過(guò)程；同時(shí)為了冗余性，還會(huì)選取一個(gè) BDR， 作為雙備份之用。 DR BDR 選取規(guī)則：

53、DR BDR 選取是以接口狀態(tài)機(jī)的方式觸發(fā)的。 （1）路由 器的每個(gè)多路訪問(wèn)(multi-access)接口都有個(gè)路由器優(yōu)先級(jí)(Router Priority),8 位長(zhǎng)的一個(gè)整數(shù),范圍是 0 到 255,Cisco 路由器默認(rèn)的優(yōu)先級(jí)是 1 優(yōu)先級(jí)為 0 的 話將不能選舉為 DR/BDR.優(yōu)先級(jí)可以通過(guò)命令 ip ospf priority 進(jìn)行修改。 （2）Hello 包里包含了優(yōu)先級(jí)的字段,還包括了可能成為 DR/BDR 的相關(guān)接口的 IP 地址。 （3）當(dāng)接口在多路訪問(wèn)網(wǎng)絡(luò)上初次啟動(dòng)的時(shí)候,它把 DR/BDR 地址設(shè)置 為 ,同時(shí)設(shè)置等待計(jì)時(shí)器(wait timer)的值

54、等于路由器無(wú)效間隔 (Router Dead Interval)。 DR BDR 選取過(guò)程：（1）在和鄰居建立雙向(2-Way)通信之后,檢查鄰居的 Hello 包中 Priority,DR 和 BDR 字段,列出所有可以參與 DR/BDR 選舉的鄰居.所 有的路由器聲明它們自己就是 DR/BDR(Hello 包中 DR 字段的值就是它們自己的 接口地址;BDR 字段的值就是它們自己的接口地址)。 （2）從這個(gè)有參與選舉 DR/BDR 權(quán)的列表中,創(chuàng)建一組沒(méi)有聲明自己就是 DR 的路由器的子集(聲明自己 是 DR 的路由器將不會(huì)被選舉為 BDR)。 （3）如果在這個(gè)子集里,不管有沒(méi)有宣稱 自己

55、就是 BDR,只要在 Hello 包中 BDR 字段就等于自己接口的地址,優(yōu)先級(jí)最高 的就被選舉為 BDR;如果優(yōu)先級(jí)都一樣,RID 最高的選舉為 BDR。 （4）如果在 Hello 包中 DR 字段就等于自己接口的地址,優(yōu)先級(jí)最高的就被選舉為 DR;如果優(yōu) 先級(jí)都一樣,RID 最高的選舉為 DR;如果選出的 DR 不能工作,那么新選舉的 BDR 就成為 DR，再重新選舉一個(gè) BDR。 （5）要注意的是,當(dāng)網(wǎng)絡(luò)中已經(jīng)選舉了 DR/BDR 后,又出現(xiàn)了 1 臺(tái)新的優(yōu)先級(jí)更高的路由器,DR/BDR 是不會(huì)重新選舉的。 （6）DR/BDR 選舉完成后,DRother 只和 DR/BDR 形成鄰接關(guān)系

56、.所有的路由器將 組播 Hello 包到 AllSPFRouters 地址 以便它們能跟蹤其他鄰居的信 息,即 DR 將洪泛 update packet 到 ;DRother 只組播 update packet 畢業(yè)設(shè)計(jì)（論文） 12 到 AllDRouter 地址 ,只有 DR/BDR 監(jiān)聽(tīng)這個(gè)地址。 OSPF 區(qū)域OSPF 的精華：Link-state 路由在設(shè)計(jì)時(shí)要求需要一個(gè)層次性 的網(wǎng)絡(luò)結(jié)構(gòu)。OSPF 網(wǎng)絡(luò)分為以下 2 個(gè)級(jí)別的層次：骨干區(qū)域 (backbone or area 0)和非骨干區(qū)域 (nonbackbone area

57、s)。 在一個(gè) OSPF 區(qū)域中只能有一個(gè)骨干區(qū)域,可以有多個(gè)非骨干區(qū)域,骨干區(qū)域 的區(qū)域號(hào)為 0。各非骨干區(qū)域間是不可以交換信息的，他們只有與骨干區(qū)域相 連，通過(guò)骨干區(qū)域相互交換信息。 非骨干區(qū)域和骨干區(qū)域之間相連的路由叫邊界路由（ABRs-Area Border Routers）,只有 ABRs 記載了各區(qū)域的所有路由表。各非骨干區(qū)域內(nèi)的非 ABRs 只記載了本區(qū)域內(nèi)的路由表，若要與外部區(qū)域中的路由相連，只能通過(guò)本區(qū)域 的 ABRs，由 ABRs 連到骨干區(qū)域的 BR，再由骨干區(qū)域的 BR 連到要到達(dá)的區(qū)域。 骨干區(qū)域和非骨干區(qū)域的劃分，大大降低了區(qū)域內(nèi)工作路由的負(fù)擔(dān)。 OSPF 協(xié)議的優(yōu)

58、點(diǎn)：OSPF 是基于國(guó)際標(biāo)準(zhǔn)的協(xié)議，具有開(kāi)放性強(qiáng)的特點(diǎn)，被 眾多網(wǎng)絡(luò)設(shè)備廠商所支持；使用 SPF 算法計(jì)算最佳路徑，能準(zhǔn)確反映實(shí)際鏈路 和拓?fù)淝闆r；具有很好的收斂特性；支持 VLSM；使用觸發(fā)的路由更新，快速反 應(yīng)網(wǎng)絡(luò)變化，減小協(xié)議本身對(duì)網(wǎng)絡(luò)流量的占用；使用層次化的結(jié)構(gòu)，支持大型 網(wǎng)絡(luò)，并能優(yōu)化路由更新。 1111 VPNVPN 虛擬專用網(wǎng)與加密原理虛擬專用網(wǎng)與加密原理 VPN（虛擬專用網(wǎng)）是指通過(guò)共享的 IP 網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道，將遠(yuǎn) 程的分支辦公室、商業(yè)伙伴、移動(dòng)辦公人員等連接起來(lái)，提供端到端的服務(wù)質(zhì) 量（QoS）保證以及安全服務(wù)。隨著 VPN 的興起，用戶和運(yùn)營(yíng)商都將目光轉(zhuǎn)向了 這

59、種極具競(jìng)爭(zhēng)力和市場(chǎng)前景的 VPN。對(duì)用戶而言，VPN 可以非常方便地替代租用 線和傳統(tǒng)的 ATM/幀中繼（FR）VPN 來(lái)連接計(jì)算機(jī)或局域網(wǎng)（LAN） ，同時(shí)還可以 提供租用線的備份、冗余和峰值負(fù)載分擔(dān)等，大大降低了成本費(fèi)用；對(duì)服務(wù)提 供商而言，IP VPN 則是其未來(lái)數(shù)年內(nèi)擴(kuò)大業(yè)務(wù)范圍、保持競(jìng)爭(zhēng)力和客戶忠誠(chéng)度、 降低成本和增加利潤(rùn)的重要手段。 VPN 需要通過(guò)一定的隧道機(jī)制實(shí)現(xiàn)，其目的是要保證 VPN 中分組的封裝方 式及使用的地址與承載網(wǎng)絡(luò)的封裝方式及使用編址無(wú)關(guān)。另外，隧道本身能夠 提供一定的安全性，并且隧道機(jī)制還可以映射到 IP 網(wǎng)絡(luò)的流量管理機(jī)制之中。 VPN 本質(zhì)上是對(duì)專用網(wǎng)通信的

60、仿真，因此除了隧道協(xié)議外，其邏輯結(jié)構(gòu) （如編址、拓?fù)?、連通性、可達(dá)性和接入控制等）都與使用專和設(shè)施的傳統(tǒng)專 用網(wǎng)部分或全部相同，也同樣考慮路由、轉(zhuǎn)發(fā)、QoS、業(yè)務(wù)管理和業(yè)務(wù)提供等問(wèn) 題。 用于在兩個(gè)通信實(shí)體協(xié)商和建立安全相關(guān)，交換密鑰。安全相關(guān) 畢業(yè)設(shè)計(jì)（論文） 13 （SecurityAssociation）是 IPSec 中的一個(gè)重要概念。一個(gè)安全相關(guān)表示兩個(gè) 或多個(gè)通信實(shí)體之間經(jīng)過(guò)了身份認(rèn)證，且這些通信實(shí)體都能支持相同的加密算 法，成功地交換了會(huì)話密鑰，可以開(kāi)始利用 IPSec 進(jìn)行安全通信。IPSec 協(xié)議 本身沒(méi)有提供在通信實(shí)體間建立安全相關(guān)的方法，利用 IKE 建立安全相關(guān)。 IK