多業(yè)務園區(qū)網(wǎng)出口設計方案

/西安高新科技職業(yè)學院畢業(yè)設計（論文）課題名稱年級系別專業(yè)班級姓名學號指導老師

多業(yè)務園區(qū)網(wǎng)出口設計方案【摘要】園區(qū)出口網(wǎng)絡作為局域網(wǎng)和互聯(lián)網(wǎng)聯(lián)系的關口在整個園區(qū)網(wǎng)絡設計中占有舉足輕重的地位，而一個園區(qū)的出口網(wǎng)絡設計的好壞干脆關系到這個園區(qū)網(wǎng)絡的性能。本論文將先闡述當今網(wǎng)絡的現(xiàn)在和探討背景，分析當今出口網(wǎng)絡的缺點，然后通過深化的探討出口網(wǎng)絡所必需的網(wǎng)絡基礎學問以及先進的網(wǎng)絡技術從而進行對園區(qū)出口網(wǎng)絡進行設計和實現(xiàn)。【關鍵詞】園區(qū)出口、GLBP、策略路由、NAT、cisco目錄1.網(wǎng)絡現(xiàn)狀分析 11.1當今網(wǎng)絡現(xiàn)狀 11.2出口網(wǎng)絡的現(xiàn)狀 12.主要應用的技術 22.1NAT 22.1.1靜態(tài)NAT 32.1.2NAPT 32.2QoS： 32.3PBR: 42.4GLBP: 43.試驗環(huán)境分析 53.1架空環(huán)境 53.2試驗網(wǎng)絡環(huán)境描述 5試驗環(huán)境 5設計需求的思想和原則 54.園區(qū)出口網(wǎng)絡的設備選型 64.1Cisco網(wǎng)絡設備的優(yōu)點 64.2設備選型 64.2.1網(wǎng)絡邊緣路由器 64.2.2防火墻 64.2.3核心交換機 74.3園區(qū)出口網(wǎng)絡解決方案的制定 74.3.1園區(qū)出口網(wǎng)絡的基本功能方案 74.3.2網(wǎng)絡設備的管理 85.園區(qū)網(wǎng)絡設備的詳細配置 85.1出口路由器的配置 105.1.1NAT配置 105.1.2出口冗余策略的配置 105.2防火墻的配置 105.3基礎配置 125.4策略及QoS的配置 135.5設備管理以及監(jiān)管 145.5.1路由器交換機syslog配置 145.5.2設備平安管理設計 146.測試 156.1路由測試 156.2vrrp故障切換 166.2邊緣路由器測試 176.3測試小結(jié) 177.總結(jié) 178．致謝 181.網(wǎng)絡現(xiàn)狀分析1.1當今網(wǎng)絡現(xiàn)狀如今是一個信息網(wǎng)絡快速膨脹的年頭，各種校內(nèi)信息化建設也逐步深化，教化教學工作的運作越來越離不開計算機網(wǎng)絡，各學校各單位的溝通、應用、財務、會議、教學等等數(shù)據(jù)都必需基于網(wǎng)絡進行傳輸，構(gòu)建一個平安牢靠、管理便利的高端網(wǎng)絡已經(jīng)成為如今校內(nèi)信息化建設基礎。隨著學校院系的不斷擴張和發(fā)展，將出現(xiàn)越來越多浩大的院系結(jié)構(gòu)。因此，如今的校內(nèi)網(wǎng)絡所承載的數(shù)據(jù)將更加的繁雜。下圖是當今大型校內(nèi)網(wǎng)普遍的組網(wǎng)模型，運用標準的3層設計模型，網(wǎng)絡中數(shù)據(jù)流量大，同時包括視頻點播FTP等業(yè)務，使得網(wǎng)絡流量更加困難，而隨著銳捷、邁普等價格便宜的網(wǎng)絡設備進入校內(nèi)市場，各大高校核心網(wǎng)也起先運用10GE鏈路連接，儼然已經(jīng)進入10GE高速度園區(qū)網(wǎng)絡時代。圖1.1當今校內(nèi)網(wǎng)拓撲模型（銳捷設備組網(wǎng)圖）1.2出口網(wǎng)絡的現(xiàn)狀雖然校內(nèi)各機構(gòu)經(jīng)過多年持續(xù)不斷的基礎設施建設和應用提升，已經(jīng)形成了較為穩(wěn)定的頗有規(guī)模的園區(qū)網(wǎng)架構(gòu)、相對豐富的園區(qū)網(wǎng)應用平臺。但是，如今是一個講求信息共享、資源整合的時代，園區(qū)網(wǎng)出口區(qū)域所存在的問題起先困擾著大家。實踐中發(fā)覺，許多學校都測試了多種出口網(wǎng)絡結(jié)構(gòu)，卻未能很好的解決問題，無法取得志向的效果。作為校內(nèi)網(wǎng)平臺的“門戶”——出口區(qū)域網(wǎng)，擔當著各院系各學校部門對外溝通的窗口的重要作用，而如今園區(qū)出口網(wǎng)卻長期處于一種“亞健康”狀態(tài)，簡易的出口模型網(wǎng)絡在許多大型園區(qū)網(wǎng)中存在，這樣的園區(qū)出口網(wǎng)將成為內(nèi)部網(wǎng)絡和外部網(wǎng)絡聯(lián)系的瓶頸。常見的出口模型有如下幾種，他們都存在諸如單點故障、NAT轉(zhuǎn)換效率低、平安性低的缺點。單點故障：一條鏈路連接到運營商，當這條鏈路出現(xiàn)問題，內(nèi)網(wǎng)用戶將無法訪問外網(wǎng)。NAT轉(zhuǎn)換率低：中低端的路由在進行NAT地址轉(zhuǎn)換時將消耗大量的系統(tǒng)資源，而出口路由器并不僅僅進行NAT地址轉(zhuǎn)換的工作還要進行路由轉(zhuǎn)發(fā)等工作，而沒有NAT轉(zhuǎn)換卡的中低端路由器將成為內(nèi)網(wǎng)訪問外網(wǎng)的一個瓶頸。低平安性出口：在沒有安裝防火墻的出口網(wǎng)絡中，假如單一的出口路由被攻破后，內(nèi)網(wǎng)沒有其他的愛惜措施，內(nèi)網(wǎng)的敏感數(shù)據(jù)將毫無平安可言。圖1.2當今園區(qū)網(wǎng)中普遍存在的出口拓撲本方案將運用如今流行的成熟的網(wǎng)絡技術改造大型園區(qū)網(wǎng)的出口網(wǎng)絡，解決以上出現(xiàn)的這些問題，下一章我們將介紹本方案所運用到的網(wǎng)絡技術。2.主要應用的技術2.1NATNAT--網(wǎng)絡地址轉(zhuǎn)換，是通過將專用網(wǎng)絡地址（如校內(nèi)內(nèi)部網(wǎng)地址）轉(zhuǎn)換為公用地址（如互聯(lián)網(wǎng)地址），從而對外隱藏了內(nèi)部網(wǎng)絡的IP地址。這樣，能夠在校內(nèi)網(wǎng)內(nèi)部運用非注冊（私網(wǎng)）的IP地址，并將它們轉(zhuǎn)換為很小一部特別部注冊(公網(wǎng))的IP地址，從而達到削減IP地址注冊的費用以及節(jié)約了目前越來越缺乏的IP地址空間（即IPv4地址空間）。同時，也可以達到隱藏內(nèi)部網(wǎng)絡結(jié)構(gòu)及地址的目的，從而降低了從外網(wǎng)針對內(nèi)部網(wǎng)絡攻擊的風險。靜態(tài)NAT靜態(tài)NAT是將內(nèi)部網(wǎng)絡中的某些主機地址映射成外部網(wǎng)絡中的某個合法的公網(wǎng)地址。地址轉(zhuǎn)換的優(yōu)點在于，在為內(nèi)部主機供應平安愛惜隱藏內(nèi)部IP的前提下，實現(xiàn)了內(nèi)部網(wǎng)絡的主機通過這項功能訪問外部網(wǎng)絡的資源。但它也有一些缺點：由于須要對IP包進行修改，涉及到須要加密的數(shù)據(jù)包的它則無能為力。在應用協(xié)議中，假如包中有地址或端口須要轉(zhuǎn)換，則無法對包進行加密。例如，不能運用平安的telnet連接，還有VPN技術也同樣不能運用NAT技術。當然由于NAT技術的運用，網(wǎng)絡攻擊的定位也變得更加困難。比如，某一臺內(nèi)部網(wǎng)絡的主機試圖攻擊其它網(wǎng)絡，則很難發(fā)覺原委內(nèi)網(wǎng)的哪一臺機器是攻擊者，因為主機的IP地址被NAT網(wǎng)關轉(zhuǎn)換過了從而被隱藏了。NAPTNAPT是把多個內(nèi)部地址轉(zhuǎn)換到外部網(wǎng)絡的另一個IP地址的不同端口上。NAPT（NetworkAddressPortTranslation，網(wǎng)絡地址端口轉(zhuǎn)換）是NAT的一種變形和加強，它允許多個內(nèi)部地址映射到同一個不同子網(wǎng)的地址上，也就是我們常說的地址復用。下圖描述了NAPT的基本原理。圖2.1NAPT基本原理示意圖如圖2.1所示，四個帶有內(nèi)部地址的數(shù)據(jù)包到達NAT網(wǎng)關，其中數(shù)據(jù)包1和2來自同一個內(nèi)部地址但有不同的源端口號，數(shù)據(jù)包3和4來自不同的內(nèi)部地址但具有相同的源端口號。通過NAPT映射，四個數(shù)據(jù)包的源IP地址都被轉(zhuǎn)換到同一個外部地址，但每個數(shù)據(jù)包都被賜予了不同的源端口號，因而仍保留了報文之間的區(qū)分。當回應報文到達時，NAT網(wǎng)關仍能夠依據(jù)回應報文的目的地址和端口號來區(qū)分該報文應轉(zhuǎn)發(fā)到的內(nèi)部主機。接受NAPT可以更加充分地利用IP地址資源，實現(xiàn)更多內(nèi)部網(wǎng)絡主機對外部網(wǎng)絡的同時訪問。由于NAT只是一個解決IPv4和IPv6過渡的一個臨時解決方案，所以NAT擁有和主機之間的通信變得困難等缺點，導致通信效率的降低。2.2QoS：QoS（QualityofService）服務質(zhì)量。主要的服務質(zhì)量包括傳輸?shù)膸?、傳送的時延、數(shù)據(jù)的丟包率、傳輸?shù)亩秳拥?。運用QoS的主要目的是為了保證傳輸?shù)膸挕⒔档蛡魉偷臅r延、降低數(shù)據(jù)的丟包率以剛好延抖動，運用這些措施來提高服務質(zhì)量。在網(wǎng)絡資源總量有限的狀況下，就會存在搶奪網(wǎng)絡資源的現(xiàn)象，就會有須要運用QoS的要求。服務質(zhì)量是相對網(wǎng)絡業(yè)務而言的，在保證某些特定的業(yè)務的暢通的同時，就要損害其它業(yè)務的服務質(zhì)量。例如，在網(wǎng)絡總帶寬固定的狀況下，某類業(yè)務所運用的帶寬越多，則其他業(yè)務能運用的帶寬就越少，可能會影響其他業(yè)務的運用。因此，網(wǎng)絡管理者須要依據(jù)各種業(yè)務的特點來對網(wǎng)絡資源進行合理的規(guī)劃和支配，從而使網(wǎng)絡資源得到高效利用。QoS技術包括流分類、流量監(jiān)管、流量整形、接口限速、擁塞管理、擁塞避開等。下面簡述一下QoS技術在網(wǎng)絡中的位置。圖2.2常用QoS技術在網(wǎng)絡中的位置2.3PBR:策略路由是一種比基于目標網(wǎng)絡使得路由能夠更加靈敏的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機制。通常的路由器是通過對數(shù)據(jù)包的目的地址定位來進行路由選路的，而策略路由不僅僅依據(jù)目的地址還可以依據(jù)數(shù)據(jù)包源地址、數(shù)據(jù)包大小、數(shù)據(jù)表的擴展字段等條件靈敏的為路由器選擇數(shù)據(jù)表轉(zhuǎn)發(fā)路徑。2.4GLBP:GLBP(GatewayLoadBanancingProtoco)網(wǎng)關負載均衡協(xié)議是HSRP（HSRP：HotStandbyRouterProtocol）熱備份路由器協(xié)議的擴展，它是Cisco的私有協(xié)議。他和眾所周知的HSRP、VRRP不同的是，GLBP不僅供應冗余網(wǎng)關，還在各網(wǎng)關之間供應負載均衡，這是HSRP和VRRP不能夠?qū)崿F(xiàn)的，他不僅供應了不間斷的網(wǎng)關冗余而且他還能夠自動的在資源之間支配流量，從而達到熱備份、負載分擔及簡化配置等目標。對于HSRP、VRRP都必需選定一個活動路由器，而其余備用的路由器在活動路由器出現(xiàn)故障前則處于閑置狀態(tài)，而GLBP只須要一個有效虛擬網(wǎng)關AVG限制器，他負責為群中每一個路由器支配一個唯一的MAC地址，他負責相應ARP請求，將自己和其他備份虛擬網(wǎng)關AVF的MAC響應ARP的請求,從而實現(xiàn)綁定多個MAC地址到虛擬IP，從而允許客戶端選擇組中包括AVG在內(nèi)的路由器作為其默認網(wǎng)關，而網(wǎng)關地址仍運用相同的虛擬IP。假如有效虛擬網(wǎng)關AVG出現(xiàn)故障，則備份虛擬網(wǎng)關AVF會代替AVG的工作使得網(wǎng)關其照舊可以接著工作，并且不會導致主機連通中斷現(xiàn)象。下圖是GLBP的原理圖。圖2.3GLBP原理圖從圖2.4可以看到，其中主機配置相同的網(wǎng)關IP53，但他們獲得的網(wǎng)關MAC不一樣，兩個網(wǎng)關SWA和SWB分別為這兩個MAC的AVF。其中SWA被選舉為這個GLBP3.試驗環(huán)境分析3.1架空環(huán)境本論文試驗設計將基于福建師范高校福清分校的網(wǎng)絡環(huán)境對本文提出的方案進行試驗驗證。福清分校為福建師范高校的一個分校，全校計算機數(shù)量逾1000臺（不包括學生群體），信息點近900個，目前主要樓宇有教學樓、圖書館、科學樓、昌檀樓等，其它還有11幢學生宿舍樓，8幢老師宿舍。依據(jù)校內(nèi)網(wǎng)絡發(fā)展的趨勢將宿舍區(qū)網(wǎng)絡和校內(nèi)辦公網(wǎng)絡合并，使得校內(nèi)內(nèi)擁有2萬個信息點，出口鏈路包括教化網(wǎng)1G以及中國電信100M。3.2試驗網(wǎng)絡環(huán)境描述3.2.1試驗環(huán)境Dynamips是一個基于虛擬化技術的模擬器（emulator），用于模擬思科（Cisco）的路由器。本論文將運用基于Dynamips的模擬器GNS3。GNS3是一款優(yōu)秀的具有圖形化界面可以運行在多平臺（包括Windows,Linux,andMacOS等）的網(wǎng)絡虛擬軟件。他除了整合了Dynamips以外還整合了Pemu這個PIX防火墻的模擬器。在運用Dynamips同時，為力求試驗現(xiàn)象的真實性性還將運用真實設備進行試驗。3.2.2設計需求的思想和原則（1）網(wǎng)絡牢靠性思想和原則：在網(wǎng)絡設計過程當中網(wǎng)絡拓撲將運用高可用性的形式，即運用可冗余備份技術，使得平安性得以保障，有效避開出現(xiàn)單點故障，核心層將運用高端的交換機并運用光纖通信技術以達到高速以及容錯的特性，使得單點故障不在發(fā)生。在加上雙出口鏈路，雙出口路由，雙防火墻等措施，設備故障能做到自動切換，不影響園區(qū)正常的上網(wǎng)需求，使得園區(qū)網(wǎng)絡更加平安牢靠。高性能的NAT需求，由于接入的電信供應的互聯(lián)網(wǎng)出口供應有限公網(wǎng)IP，解決園區(qū)內(nèi)2萬用戶對外部網(wǎng)絡的訪問需求，須要高性能的NAT轉(zhuǎn)換實力,否則將是制約上網(wǎng)速度的一個重大因數(shù)。（2）網(wǎng)絡可擴展性思想和原則：園區(qū)網(wǎng)內(nèi)部網(wǎng)絡設備支持10GE，將來平滑過渡到10GE，屆時對出口的要求又是另一番狀況，在設計時需考慮以后的對出口的需求，支持擴展。園區(qū)出口網(wǎng)絡路由器交換機防火墻等設備將運用思科最先進的產(chǎn)品，其擁有多種的模塊插槽，豐富的擴展功能模塊，優(yōu)異的性能，高端的IOS支持等特性，不僅僅支持現(xiàn)有的IPv4技術，同時支持先進的IPv6技術，可以實現(xiàn)IPv4到IPv6的平穩(wěn)過渡。（3）網(wǎng)絡好用性和可管理性思想和原則：由于園區(qū)網(wǎng)內(nèi)用戶眾多，其中存在著P2P、迅雷等應用的惡意下載，同時目前QQ、MSN等剛好閑聊工具的視頻、在線傳輸數(shù)據(jù)等對園區(qū)網(wǎng)出口造成較大的壓力，要求實現(xiàn)對接入用戶的帶寬限制，避開不必要的帶寬奢侈，同時保障關鍵業(yè)務的開展，如視頻會議、遠程教化等。本方案將結(jié)合架空環(huán)境的需求進行合理的網(wǎng)絡拓撲搭建和設備選型，以協(xié)調(diào)好可擴展性和好用性為目標進行方案的設計。并選擇擁有高可管理性的設備進行方案的實施以達到網(wǎng)絡的可管理性原則。（4）網(wǎng)絡平安性思想和原則出口的平安防護始終是園區(qū)出口網(wǎng)建設的重點關注的對象，近幾年來，網(wǎng)絡帶寬快速增長，網(wǎng)絡威逼也隨之大幅增加，包括攻擊、各類掃描、入侵、DDOS攻擊、蠕蟲病毒攻擊、惡意軟件、垃圾郵件。園區(qū)出口網(wǎng)絡帶寬越大，網(wǎng)絡威逼可能造成的危害也就越大，出口設備的平安防衛(wèi)面臨著空前挑戰(zhàn)，出口設備須要防范校外網(wǎng)絡威逼的攻擊或入侵，要求必需對DoS攻擊、ARP欺瞞/攻擊等網(wǎng)絡攻擊行為有較強的防范實力。面對日益突出的信息平安問題，園區(qū)出口平安建設更加重要。本方案將在邊界網(wǎng)關處構(gòu)筑防火墻，對網(wǎng)關路由器進行必要的平安設置，對涉密網(wǎng)絡流量進行加密傳輸?shù)燃夹g來實現(xiàn)園區(qū)網(wǎng)的平安化。4.園區(qū)出口網(wǎng)絡的設備選型4.1Cisco網(wǎng)絡設備的優(yōu)點Cisco作為世界第一大網(wǎng)絡設備生產(chǎn)商，目前互聯(lián)網(wǎng)上近80%的信息流量必需經(jīng)過思科公司的產(chǎn)品傳遞。思科公司是國際網(wǎng)絡的設備的領頭羊，他擁有特殊強大的技術研發(fā)團隊，閱歷豐富的技術支持工程師，全球擁有35000多名雇員，其產(chǎn)品已經(jīng)受到全球用戶的一樣好評。Cisco網(wǎng)絡設備的穩(wěn)定性是數(shù)一數(shù)二的，返修率同比其他網(wǎng)絡設備生產(chǎn)商要低出許多。對于追求高穩(wěn)定性的客戶來說Cisco設備是不二之選。4.2設備選型網(wǎng)絡邊緣路由器在網(wǎng)絡的邊緣本方案選擇Cisco的7609路由器。Cisco7609路由器一般部署于網(wǎng)絡邊緣的高性能路由器，網(wǎng)絡邊緣性能、IP服務、冗余性和故障彈性都是特殊重要。他通過中心路由處理器和轉(zhuǎn)發(fā)引擎相結(jié)合，可供應720Gbps的總吞吐量。擁有多功能擴展插槽,通過擴展模塊可展至了10G以太網(wǎng)。同時還可以通過NAT加速模塊提高NATIP轉(zhuǎn)換時的效率，也可以加裝防火墻模塊達到路由器防火墻的效果。Cisco7609路由器是9插槽機箱產(chǎn)品。這一增加型機箱進行了設計改進，接受冗余、可變速的風扇架，帶有路由處理器、交換矩陣和電源冗余性。防火墻在防火墻方面本方案運用CiscoASA5550FirewallEdition套裝。ASA5550是Cisco平安的旗艦產(chǎn)品。他的并發(fā)連接數(shù)可達到650,000網(wǎng)絡吞吐量:1.2Gbps。自適應平安設備接受牢靠的1機柜單元封裝設計，能為大型企業(yè)和電信運營商網(wǎng)絡供應主動/主動高可用性和光纖及千兆以太網(wǎng)連接，進而可供應千兆位級平安服務。憑借8個千兆以太網(wǎng)接口、4個小封裝可熱挺立(SFP)光纖接口、以及多達200個VLAN支持，企業(yè)能夠?qū)⑵渚W(wǎng)絡劃分成若干個高性能區(qū)域，以提高平安性。每個CiscoASA5550上擴展支持多達5000個SSLVPNpeer；基礎平臺最多可支持5000個IPsecVPNpeer。通過運用CiscoASA5550的集成VPN集群和負載平衡實力，VPN容量和永續(xù)性還可進一步提高。CiscoASA5550在一個集群中可支持多達10臺設備，支持最高每集群50,000個SSLVPNpeer或50,000個IPsecVPNpeer。在業(yè)務連續(xù)性和事務規(guī)劃方面，ASA5550還可受益于CiscoVPNFLEX許可。該許可使管理員能夠應對或規(guī)劃最長2個月的短期猝發(fā)并發(fā)SSLVPN遠程接入用戶。利用CiscoASA5550自適應平安設備的可選平安上下文實力，學校能夠在一臺設備中部署多達50個虛擬防火墻，針對每個部門或每個客戶供應隔離限制，并降低總體管理和支持成本。該系統(tǒng)總共可供應12個千兆以太網(wǎng)端口，其中只有8個可以同時投入運用。學?？梢赃x擇銅線或光纖連接，支持靈敏建立數(shù)據(jù)中心、園區(qū)邊緣連接。如此強大的性能完全滿足了大型校內(nèi)網(wǎng)絡邊界的平安需求。核心交換機在核心交換機方面本方案選擇主流的CiscoCatalyst6509交換機。思科6509系列核心交換機支持完整的QoS機制，涵蓋策略，隊列，流量整形和擁塞限制。運用NSF/SSO技術，能夠保證不間斷的高速數(shù)據(jù)轉(zhuǎn)發(fā)和故障切換，確保園區(qū)網(wǎng)絡服務連續(xù)性和實時功能特性升級。此外，6509還能運用SPUERENGINE32PISA智能應用程序供應視頻流量限制和監(jiān)控服務。提升整個園區(qū)網(wǎng)絡Qos的高性能。6509支持最大VLAN數(shù)可達到4096個，底版帶寬可擴充至720Gbps；數(shù)據(jù)吞吐性能可擴充至387Mpps，同時它可支持多種網(wǎng)絡協(xié)議，是網(wǎng)絡核心設備的不二之選。以下是本方案運用的網(wǎng)絡設備的選型列表：設備角色設備型號數(shù)量（臺）出口路由器Cisco76092防火墻ASA55502核心交換機CiscoCatalyst65092表4.1設備選型列表4.3園區(qū)出口網(wǎng)絡解決方案的制定園區(qū)出口網(wǎng)絡的基本功能方案總體上，選用兩組設備，能在網(wǎng)絡結(jié)構(gòu)上解決單點故障問題。在線路上,每個防火墻都接入兩個核心，能防止單個核心掛掉時，雙出口還能接著正常運行;兩臺7609作為出口路由，在單個出口路由出現(xiàn)問題時能夠運用另外一臺出口路由訪問外部網(wǎng)絡，同時能夠在單運營商鏈路出現(xiàn)問題時，自動切換到另外一個運營商，保證校內(nèi)用戶，員工的上網(wǎng)需求。設計如下圖所示：圖4.2園區(qū)出口網(wǎng)設計拓撲圖4.3園區(qū)出口網(wǎng)流量示意圖網(wǎng)絡設備的管理開啟全部網(wǎng)絡設備的日記功能。日志對于網(wǎng)絡平安的分析和平安設備的管理特殊重要。運用IOS針對各種網(wǎng)絡攻擊和平安威逼進行日志記錄，接受統(tǒng)一的格式，支持本地查看的同時，還能夠通過統(tǒng)一的輸出接口將日志發(fā)送到日志服務器，為用戶事后分析、審計供應重要信息。日志包括：設備日志：設備狀態(tài)，系統(tǒng)事務日志攻擊日志：設備網(wǎng)絡受到攻擊的日志信息5.園區(qū)網(wǎng)絡設備的詳細配置下圖是網(wǎng)絡IP地址規(guī)劃圖，本章節(jié)的配置是依據(jù)圖表中所標注的端口以及IP進行配置的。圖5.1網(wǎng)絡出口IP地址圖設備名及端口設備IPDMZ-1（內(nèi)部）（外部）DMZ-2（內(nèi)部）（外部）DMZ-FTP（內(nèi)部）（外部）R1-E0/3R2-E0/3SW1-VLAN2-E0/1SW1-E0/2SW2-VLAN2-E0/1SW2-E0/2老師服務器.0/16老師用戶表5.2全網(wǎng)運用IP及端口

5.1出口路由器的配置NAT配置interfaceeth0/1ipnatenable//開啟端口的NAT功能interfaceeth0/3ipnatenableipnatpooldx //建立NAT的地址池access-list1permit55 //建立訪問interfaceeth0/1ipnatenable//開啟端口的NAT功能interfaceeth0/3ipnatenableipnatpooldx //建立NAT的地址池access-list1permit55 //建立訪問限制列表ipnatsourcelist1pooldxoverload //應用NAPT于指定的網(wǎng)段ipnatsourcestaticipnatsourcestatic.2ipnatsourcestatic.3 //靜態(tài)NAT翻譯，運用NVI技術出口冗余策略的配置R1:routerospf10//建立OSPF實例10default-informationoriginate //通告路由的起源R1:routerospf10//建立OSPF實例10default-informationoriginate //通告路由的起源networkarea0 //將E0/3加入OSPF區(qū)域0interfaceethernet0/3ipaddress//設置端口IPipospfcost100//設置ospf的cost值為100noshutdownR2:routerospf10default-informationoriginatenetworkarea0interfaceethernet0/3ipospfcost100ipaddressnoshutdown5.2防火墻的配置為了使外部用戶能夠訪問DMZ區(qū)域中的公共服務器時，防火墻必需對用戶所訪問的應用和服務類型進行審核和過濾，本論文以（80端口以及自定義的8080端口）和ftp（21端口）為例。access-listpermitDMZextendedpermittcpanyhost192.168.74access-listpermitDMZextendedpermittcpanyhosteq//允許互聯(lián)網(wǎng)主機訪問DMZ中的服務器#1access-listpermitDMZextendedpermittcpanyhost.2eq8080//允許互聯(lián)網(wǎng)主機訪問DMZ中的服務器#2access-listpermitDMZextendedpermittcpanyhost.3eqftp//允許互聯(lián)網(wǎng)主機訪問DMZ中的FTP服務器access-listpermitDMZextendeddenyipanyany//拒絕其他一切的訪問access-listpermitDMZininterfaceoutside//在防火墻的outside接口上部署aliasDMZaliasDMZaliasDMZaliasDMZ155.1.23.aliasDMZ155.1.23.學校中的老師服務器只允許老師主機訪問。access-listteacherextendedpermitip.25555//允許老師主機訪問校內(nèi)網(wǎng)老師服務器access-listteacherextendeddenyipanyaccess-listteacherextendedpermitip.25555//允許老師主機訪問校內(nèi)網(wǎng)老師服務器access-listteacherextendeddenyipany10.21.0//拒絕其余主機訪問校內(nèi)網(wǎng)老師服務器access-listteacherininternfaceinside//在inside接口上應用該ACL阻擋訪問google的圖片：class-maptyperegexmatch-anyurl//定義一個正則表達式urlmatchregexgoogle/*.jpgmatchregexgoogle/*.gif阻擋訪問google的圖片：class-maptyperegexmatch-anyurl//定義一個正則表達式urlmatchregexgoogle/*.jpgmatchregexgoogle/*.gifmatchregexgoogle/*.jpegmatchregexgoogle/*.pngmatchregexgoogle/*.bmpmatchregexgoogle/*.swf//過濾全部的圖片動畫Exitclass-maptyperegexmatch-allmethods//定義一個正則表達式methodsmatchregex“GET”Exitclass-maptypeclass-maptypegoogle_policy//定義一個用于過濾的MAPmatchrequesturlregexclassurl//匹配的request請求報文中的URL字段matchrequestmethodregexclassmethods//匹配的request報文中的GET叮囑Exitpolicy-maptypeweb_polisyclassgoogle_policydrop//丟棄匹配google上的圖片的流量service-policyweb_policyinterfaceoutside//在接口outside上應用5.3基礎配置核心交換通過啟用SVI接口實現(xiàn)交換機和路由的OSPF動態(tài)路由協(xié)議的通信，通過啟用GLBP實現(xiàn)網(wǎng)關的冗余。SW1：SW1：vlan2vlan10routerospf10network.0area0interfacevlan2 //和SW1相連ipospf100interfacee0/1switchportmodetrunknoshutinterfacee0/2switchportmodeaccessswitchportaccessvlan10interfacevlan10glbp1ip54glbp1preempt glbp1priority105 glbp1weightingtrackinte0/110SW2SW2：vlan2vlan10routerospf10network.0area0interfacevlan2 //和SW1相連ipospf100interfacee0/1switchportmodetrunknoshutinterfacee0/2switchportmodeaccessswitchportaccessvlan10interfacevlan10glbp1ip54//定義GLBP相關配置參數(shù)，創(chuàng)建組1，并且設置虛擬路由器的IPglbp1preemptdelay10 //設置延遲10s強占glbp1priority95//設置端口優(yōu)先級glbp1weightingtrackinte0/110//設置跟蹤端口E0/1，并且在E0/1DOWN的狀況下優(yōu)先級自動減105.4策略及QoS的配置SW1:……route-mapCERNETpermit10//建立路由圖CERNETmatchiproute-source15//匹配訪問限制列表15SW2:……route-mapCERNETpermit10//建立路由圖CERNETmatchiproute-source15//匹配訪問SW1:……route-mapCERNETpermit10//建立路由圖CERNETmatchiproute-source15//匹配訪問限制列表15SW2:……route-mapCERNETpermit10//建立路由圖CERNETmatchiproute-source15//匹配訪問限制列表15BT是進年來興起的一種基于P2P的下載方式，這種下載方式在下載的同時同時上傳已下載到的數(shù)據(jù)給其他下載者同時它運用隨機端口于其他下載者傳輸數(shù)據(jù)，達到下載服務器的負擔降低節(jié)約服務器帶寬流量等目的。然而這種下載方式對校內(nèi)網(wǎng)的暢通帶來了極大的危害同時也極難運用一般的訪問限制列表進行封殺，為了保證校內(nèi)內(nèi)的網(wǎng)絡暢通，本課題運用QoS中的nbar技術對BT進行封殺。

copytftp:bittorrent.pdlmflash://上傳bittorrent.pdlm到flashcopytftp:bittorrent.pdlmflash://上傳bittorrent.pdlm到flashconftbittorrent.pdlm//加載bittorrent.pdlm模塊class-mapmatch-anyBT//Match-any表示匹配以下策略的任一個matchprotocolbittorrentmatchprotocoledonkeyexitpolicy-mapDROPclassBTdropexitinterfacefastEthernet0/0service-policyinputDROPend5.5設備管理以及監(jiān)管路由器交換機syslog配置當網(wǎng)絡出現(xiàn)錯誤或受到攻擊的時候，網(wǎng)絡管理員能夠查看網(wǎng)絡日志服務的中的消息記錄，從而能夠剛好存取的查出癥結(jié)的所在，剛好發(fā)覺和解決問題。loggingon loggingon //日志服務器的IP地址loggingfacilitylocal1 //facility標識,RFC3164規(guī)定的本地設備標識為local0-local7loggingtraperrors //日志記錄級別loggingsource-interfacee0 //日志發(fā)出用的源IP地址servicetimestampslogdatetimelocaltime//日志記錄的時間戳設置，可依據(jù)須要詳細配置設備平安管理設計管理數(shù)據(jù)流信息是比較敏感的，對于它的傳遞對于平安性的要求是比較高的。為了保證這些敏感數(shù)據(jù)的平安，比較了SSH、SSL、Rtelnet、SNMP等網(wǎng)絡管理手段，并依據(jù)福建師大福清分校的狀況，選擇SSH協(xié)議進行遠程登錄管理。而本方案將以福清分校為例運用CAT6509進行實例配置。hostnameSDFX-6509hostnameSDFX-6509 //將改路由器命名為SDFX-6509ipdomain-namefjsdfxusernametestpasswordcisco //創(chuàng)建一個用戶，名為test，口令為ciscolinevty04//進出VTY鏈路loginlocal cryptokeygeneratersa //配置SSH的服務Thenameforthekeyswillbe:SDFX-6509.fjsdfx//SSH的關鍵字名為：SDFX-6509.fjsdfxipsshtime-out180 //配置SSH的超時時間，把默認值改為180秒ipsshauthentication-retries5//配置SHH重試次數(shù)，把默認值改成5次6.測試本論文為了追求數(shù)據(jù)的精確運用了真實設備進行方案的驗證以及結(jié)果分析，測試運用到的設備較方案中的設備低端，但不影響測試的結(jié)果和方案的可行性。方案運用H3C交換機S2126兩臺做為接入設備，H3C三層交換機S3900兩臺做為核心設備，cisco2621兩臺做出口路由器。試驗組網(wǎng)拓撲如下：圖6.1真實試驗拓撲詳細方案見論文附錄。6.1路由測試依據(jù)方案組網(wǎng)后，兩臺核心交換機將學到一條默認路由：可以看到邊緣路由器學習到了ospf區(qū)域內(nèi)的全部條目達到全網(wǎng)互聯(lián)：6.2vrrp故障切換虛擬路由器冗余協(xié)議（VRRP：VirtualRouterRedundancyProtocol）,它和GLBP實現(xiàn)相同的功能，由于GLBP只能運行在高端的思科交換機上，所以本試驗運用VRRP代替GLBP。正常通信環(huán)境是VLAN10的PC流量通過s3900-1正常工作是s3900-1為Vlan10的Master，Vlan20的Backup當s3900-2上行鏈路E1/0/1出現(xiàn)故障down時，VRRP自動切換V20網(wǎng)關到s3900-1S3900-2部分VRRP切換測試同上。6.2邊緣路由器測試對雙線切換測試的時候，我們把C2621-2外網(wǎng)口shutdown，可以看到S3900-2學到的默認路由將是由C2621-1通告進來的，下一跳地址為即為S3900-1。6.3測試小結(jié)在2個邊緣路由器上分別通告了默認路由，因為cisco規(guī)定默認通告的是E2的類型，即在整個ospf傳輸區(qū)域中該路由的開銷值不變，