毕业设计（论文）-中小规模的网络拓扑规划.docx

廊坊师范学院本科毕业论文 学 号： 姓 名： 年 级： 2012级 专 业： 计算机科学与技术 论文题目： 中小规模的网络拓扑规划 指导教师： 廊坊师范学院本科生毕业论文（设计） 论文题目：中小规模的网络拓扑规划论文摘要： 随着1994年我国接入因特网，我们国家的互联网事业得到了飞速的发展。因特网能够非常迅速地传递大量信息，因此，网络现在已经成为信息社会的命脉和发展知识经济的重要基础。越来越多的个人与企业有接入互联网的需求，因特网正在改变着我们工作和生活的各个方面。 本文以一个中小规模的企业为例，根据企业内部对网络的需求，一方面将企业内部的计算机连接起来，实现资源共享与信息传递，提高员工的工作效率；另一方面与外部网络连通，让企业能够掌握市场的最新动态，以便做出正确的决策。 规划网络拓扑不仅仅要保证网络的连通性，而且还需要考虑网络的安全性、可拓展性、冗余性等特性，这样才能保证规划好的网络能够满足不同的服务需求。本文利用作者学习过的网络技术，对企业网络进行规划与设计，由于网络模拟工具功能有限，以及作者自身的知识储备的局限，使得此次网络规划的某些功能不能实现或者不尽人意，还请望见谅。关键词：因特网；中小规模的企业;企业内部网络；外部网络Title：Network topology planning of small and medium sizeAbstract：With the access to the Internet in 1994, our countrys Internet industry has been developing rapidly. The Internet can transmit a lot of information very quickly, so the network has now become the lifeblood of the information society and the important basis for the development of knowledge economy. More and more individuals and businesses have access to the Internet, the Internet is changing all aspects of our work and life.In this paper, a small and medium-sized enterprise as an example, according to the demand of network enterprise, on the one hand to connect the internal computer, realize the sharing of resources and information transmission, improve the efficiency of the staff; on the other hand, connected with the external network, so that enterprises can grasp the latest developments in the market, in order to make the correct decision making.Planning network topology is not only to guarantee the connectivity of the network, but also need to consider the security of the network, can be expanded, redundancy and other characteristics, so as to ensure that the planning of the network to meet the needs of different services. In this paper the author studied the network technology, the planning and design of enterprise network, the network simulation tools limited function, and limitations of the authors own knowledge reserve, some functions can not make the network planning to achieve or unsatisfactory, please also hope.Keywords：Internet; Small and medium sized enterprises; Enterprise internal network; External network目 录1. 绪论11.1 系统背景以及意义11.2 研究现状12. 需求分析23. 设计原则以及设计目标34. 网络地址划分44.1 IP地址以及划分方法简介44.2 IP地址分配原则44.3 申请公网地址54.4 规划内网地址55. VLAN的规划65.1 VLAN简介65.2 该企业网VLAN划分66. 选择路由协议76.1 路由协议的基本概念76.1.1 路由算法76.1.2 分层的选路协议76.1.3 自治系统76.2 路由协议选择87. 网络拓扑设计97.1 拓扑结构设计97.2 网络拓扑描述97.2.1 网络结构分类97.2.2 接入层拓扑描述107.2.3 汇聚层拓扑描述107.2.4 核心层拓扑描述118. 网络技术方案128.1 接入层技术方案128.1.1 VLAN技术128.1.2 Trunk技术128.1.3 生成树协议138.1.4 链路捆绑技术148.1.5 单臂路由技术148.1.6 对生成树的优化和保护178.1.7 网络安全技术178.2 汇聚层技术方案188.2.1 OSPF188.2.2 负载均衡198.2.3 ACL208.3 核心层技术方案228.3.1 网关冗余技术228.3.2 NAT技术239. 总结24参考文献25致谢261. 绪论1.1 系统背景以及意义随着互联网的高速发展，越来越多的企业与个人离不开网络。通过网络，企业的员工之间能够实现更高效的信息沟通和资源共享，企业之间能够加强合作关系，从而获得更多的效益。因此构建企业内部局域网成为了一件迫切的事情，它能够实现企业内部资源的共享，同时可以提高工作效率，还可通过连接互联网获得最新的市场动态，从而达到降低成本、提高收益的效果。本文所介绍的是基于TCP/IP协议的企业内部局域网络，实现局域网内部全网互通、资源共享、提供应用服务等基本功能。1.2 研究现状现如今，几乎所有的企业都有接入互联网的需求，构建企业局域网是根据企业的实际需求进行逻辑上的网络规划，部署基本的网络服务，最终实现给企业带来收益的结果。2. 需求分析人类正在进入信息社会，从日常的商品信息、商业情报、到国内国际的政治经济形势，各种各样的信息充斥着社会生活的方方面面，影响着人们的经济活动和社会活动。信息社会的基本构成是计算机网络，计算机网络是现代计算机技术和通信技术合理结合的产物，是随社会对资源共享和信息传递的要求而发展起来的。该企业有六个部门有接入企业局域网的需求，分别为：(1)经理部，设有总经理一名，副总经理三名；(2)财务部；(3)人事部；(4)市场部；(5)行政部；(6)后勤部。出于对高效化办公、信息沟通以及资源共享等需求，该企业有必要建成一条能适应企业大部分需求的现代化计算机网络系统，通过运用先进的手段，高效化的网络培养出能适应信息时代所需的人才，并为办公、信息沟通服务。用户决定了该网络系统的特殊性，按照用户的需求，网络系统必须实现以下功能：1. 信息交流。整个企业的内部局域网全部可以连通，并且可通过连接Internet实现与外部信息平台的交流和沟通，从而获取当今世界的最新信息。2. 具有扩展性。构建企业局域网，需要考虑到企业三到五年内的发展，在现有资源的基础上，要保证用户可以随时合理地增加设备和需求。3. 信息共享。企业允许员工在内部传递的各种资料，相关信息，如办公资料、人事调动通知等可通过网络进行查询。4. 企业内部局域网应该有无线上网的功能，能够实现员工的移动办公，从而提高工作效率。5. 该企业内部局域网应该部署基本的网络服务，如ftp服务器、邮件服务器、web服务器等。6. 具有完善的网络安全机制。3. 设计原则以及设计目标根据该企业的具体要求，决定按照以下原则设计企业内部局域网：1 标准性。网络系统采用开放的、标准的协议；2 实用性。遵循面向应用，注重实效，逐步完善的原则；3 可靠性。系统应能可靠运行，主要的、关键的设备应有冗余，并且要有灾难恢复策略和网络安全策略。4 可扩展性。企业是不断发展的，所以该企业的内部局域网也应该是不断发展的，以适应企业网络的改变的需求。5 简易性。在满足要求的情况下，尽可能采用简单的网络拓扑结构，尽量使用统一的网络设备和通信设备。4. 网络地址划分4.1 IP地址以及划分方法简介整个的因特网就是一个单一的、抽象的网络。IP地址是给每个连入因特网的主机的相应接口分配在全世界独一无二的32位的标记符。IP地址是网络层和以上各层使用的地址，是一种逻辑地址。最初IP地址是分类划分的(IP地址:=,)，一个A类地址最多可以包含16777214台主机，而一个B类地址最多则可以包含65534台主机，就连一个C类地址最多都能包含254台主机，所以这样的划分方法就造成了IP地址的极大浪费。后来就在分类划分的基础上出现了另外一种IP地址规划方法划分子网(IP地址:=,)，就是将所属的物理网络划分为若干个子网。划分子网是一个单位内部的事情。本单位以外的网络不知道这个网络是分为多少个子网，所以这个单位对于外部来说还是一个完整的网络。子网划分在一定程度上缓解了IP地址消耗的速率，但是在1992年因特网仍然面临IPV4地址即将耗尽的情况。所以就出现了一种新的划分方法无分类编址CIDR(构成超网)。CIDR消除了最初的分类地址和后来的划分子网的概念，它的记法为：IP地址:=,。使用CIDR可以根据本单位的实际需求情况去申请合适的IP地址，从而减少了地址的浪费，减缓地址被分配的速度。4.2 IP地址分配原则如果网络没有经过良好的规划就投入使用，那么当网络产生故障时，就很难对其故障进行检测，与此同时，路由器的寻址效率也会降低。所以在规划网络地址时，需要遵循一些简单原则，它们可以让设计出的网络具有一定的可管理性和简易性。以下是这些地址分配原则：(1) 按照分层的方式分配地址块，提高地址的可用性；(2) 分配网络地址时尽量使用有规律的编号；(3) 考虑到网络未来扩充的可能性，在规划网络地址时需要按照分层的方式分配地址块；(4) 根据网络的物理地址分配地址块，而不是根据网络的逻辑地址，从而避免因为移动带来的问题。4.3 申请公网地址由于本企业是一个中小规模的企业，所以申请一个CIDR地址块:00/28。此地址块包含四个地址，分别为：00(此地址为这个地址块的网络地址)；01,02(这两个地址是此地址块中可使用的地址)；03(此地址为该地址块的广播地址)；4.4 规划内网地址内网地址即私有地址，它是专门为组织机构内部所用的地址，不会出现在外部网络上的。私有地址大概有以下三类：(1) A类 -55；(2) B类 -55；(3) C类 -55；本企业使用的是C类私有地址。表4-1 企业部门私有地址分配序号部门名称网段网关1经理部/24542行政部/24543人事部/24544市场部/24545财务部/24546后勤部/24545. VLAN的规划5.1 VLAN简介VLAN(虚拟局域网)是一种能够大大提升网络性能的技术，它把一个大的广播域切割成若干个较小的合适的广播域，换句话说，将一个大的网络划分成几个较小的独立的网络。通过划分VLAN，能够达到有效管理网络资源、简化网络管理和提高网络数据安全性的效果。使用VLAN主要有有以下优点：(1) 更加安全。含有重要的数据的部分可以与网络的其他部分隔离，从而减少泄露信息的可能性；(2) 降低成本。现有线路的利用率更高，因此可以节约成本；(3) 性能大幅度提升。将大的广播域切割，可以减少网络上多余的数据流，从而提高性能；(4) 防止广播风暴。切割广播域可以减少参与广播风暴的设备数。(5) 提高工作效率。通过划分VLAN，管理员可以将用共同网络需求的用户放到同一个VLAN里，这样可以大大提高管理员的工作效率。5.2 该企业网VLAN划分由于该企业总共有六个部门，并且六个部门的职能各不相同，且相互之间进行通信的需求也不多。所以将为本企业划分6个VLAN，具体划分情况见下表。表5-1 企业网划分VLAN情况序号部门名称VLAN IDVLAN NAME1经理部vlan 10manager2行政部vlan 20admin3人事部vlan 30hr4市场部vlan 40market5财务部vlan 50finance6后勤部vlan 60logistic6. 选择路由协议6.1 路由协议的基本概念6.1.1 路由算法路由算法是路由选择协议的核心，使用算法才能获得路由表中的路由项目。一个成熟的算法应该具有以下的特点：(1) 正确并且完整；(2) 计算简单，易于理解；(3) 算法应该是稳定的；(4) 算法具有公平性；(5) 能够适应网络拓扑的变化；(6) 算法就当前来说应当是最佳的。实际上，每一个路由选择算法都应该尽可能接近于理想的算法。根据不同的条件或者需求，路由算法对上面提到的六个特点会有不同的侧重。6.1.2 分层的选路协议因特网使用的路由协议主要是动态的选路协议，由于下面两个原因，因特网使用分层的选路协议。(1) 网络规模巨大。若让网络上所有的路由器都知道怎么到达网络的各个部分，则这些路由器的路由表项将会非常庞大，处理起来也会花费大量的时间；(2) 大部分机构不希望外部网络了解本机构的网络细节，但是还是需要连接到因特网上。6.1.3 自治系统自治系统是指在单独的技术管理之下的若干个路由器，这些路由器使用同一种选路协议；同时还使用一种自治系统之间的选路协议。因此，根据自治系统的定义，因特网中的选路协议就分为两大类：(1) 内部网关协议IGP。在同一个自制系统中使用的选路协议，例如RIP和OSPF等；(2) 外部网关协议EGP。若数据流量的传送是跨越两个或者多个自治系统的时候，就需要一种路由协议在不同的自治系统之间传递路由选择信息，这样的协议就是外部网关协议EGP。6.2 路由协议选择鉴于本企业的实际情况，所以不需要使用外部网关协议，只需选择一个内部网关协议即可。常见的内部网关协议有RIP(有两个版本，现在大多数使用第二个版本)、OSPF、EIGRP、IGRP等。通过表6-1可以初步地了解到各个路由协议的特点和区别。表6-1 各路由协议之间比较协议名称RIPV2OSPFIGRPEIGRP协议类型距离向量链路状态距离向量高级距离向量度量依据跳数带宽、时延、可靠性、负载带宽、时延、可靠性、负载带宽、时延、可靠性、负载规模15跳每区约50台路由器，大约有100个区255跳1000台路由器收敛速度很慢快快非常快安全性支持否是否是配置与维护的难易程度容易中等容易中等结合表6-1和本企业的情况，使用OSPF路由协议最为合适。7. 网络拓扑设计7.1 拓扑结构设计鉴于本企业是一个中小规模的企业，需要连入网络的主机数量大约在200台到300台之间，所以它的网络拓扑结构也不会是很复杂，如果建立的网络结构过于复杂，就会违背建立企业内部局域网的初衷。所建立的网络最好简单可行且易于维护，这样才能提高员工的工作效率，增加企业的效益。7.2 网络拓扑描述7.2.1 网络结构分类网络拓扑结构设计主要分为平面拓扑结构和分层网络结构。平面拓扑结构适用于规模较小或者较为简单的网络。所谓平面拓扑就是没有层次的网路，每一个网络设备实际上所完成的功能是一样的，所以，平面拓扑结构相对于分层网络结构来说比较容易设计和实现。而当联网设备所完成的工作各不相同时，再使用平面拓扑结构就不利于网络的日常管理和运行维护了，这时候，就应该选择使用分层网络结构了。使用分层拓扑设计网络结构具有如下好处：(1) 减轻网络中PC的负担。例如，一个广播域中的广播分组，会中断这个域中的所有主机的进程，让其CPU调用程序来接收和处理该广播分组；(2) 增加网络可用带宽。分层网络中的每一层都可以采用合适的网络设备，并且可以对每一层进行精确的流量规划，以减少不必要的带宽浪费；(3) 简化设计并且易于理解。由于进行了分层设计，所以每层所实现的功能也较为清晰，使得网络容易测试和维护；(4) 可扩展性良好。分层化的网络结构使得网络设备或者网络结构进行变更时，不会影响网络的其他部分。7.2.2 接入层拓扑描述接入层为用户提供了在局域网访问互联网的能力。企业网的接入层主要是使用交换机来搭建的，它分解了带宽冲突域，从而满足了需要大量带宽或者不允许共享带宽的用户程序的需求。该企业网接入层采用三台二层交换机，通过集线器连接同一部门的PC，每台交换机下面连接若干个集线器(图中未表示全部集线器和PC，而是分别画出一台电脑和一个集线器来表示一个部门)。其中，经理部因为业务需求，所以这个部门的网络配备了无线接入点，从而实现了用户利用移动终端进行网上办公等功能。7.2.3 汇聚层拓扑描述汇聚层是接入层和核心层之间的分界点。汇聚层往往具有一些重要的功能，例如：(1) 对网络上的流量进行访问控制；(2) 配置能够实现不同VLAN间通信的路由；(3) 汇总接入层的路由；(4) 进行地址转换。该企业网汇聚层由三台路由器和一台服务器组成，其中三台路由器分别与三台接入层交换机相互连接，而与经理部和行政部所属的交换机相连的路由器则连接着服务器，服务器内配置WEB、DNS等网络服务。7.2.4 核心层拓扑描述分层网络结构中的核心层是互联网络的高速主干，所以往往采用冗余组件设计核心层。核心层具有高可靠性，并且能够快速适应变化。核心层应当具有有限和一致的范围，限制核心层的范围可以使其性能变的可以预测，并且易于发现故障。该企业网核心层则由三台路由器和一台交换机组成，其中的两台路由器为网关路由器，网关1为主网关，网关2为备份网关。使用冗余网关的好处就是当主网关因为种种原因不能正常工作时，备份网关可以替代其实现企业内部网络与互联网之间进行信息交流、数据传送等功能。8. 网络技术方案8.1 接入层技术方案8.1.1 VLAN技术VLAN是virtual local area network的简称,中文名称是虚拟局域网络。它是一种将局域网设备在逻辑上划分成不同的网段，从而实现虚拟网段的数据交换技术。VLAN技术的出现，使得设计者和管理员可以根据实际的网络需求，把属于同一物理广播域内的用户划分到不同的逻辑广播域中，每一个VLAN中的用户都有着相同的工作需求。由于它是从逻辑上划分的，所以同一个VLAN中的PC并没有被限制在同一个物理区域中，换句话说，这些PC可以在不同的物理局域网中。根据VLAN的特点，可知一个VLAN内部的广播流量，在通常的情况下不会转发到其他的VLAN中，从而有助于控制流量、减少设备投资、简化网络管理和提高网路的安全性。VLAN技术通过在以太网帧的基础上增加VLAN开头，用VLAN ID字段来区分不同的VLAN，限制了不同虚拟局域网之间的用户访问。虚拟局域网的好处就是可以限制广播范围，并能够形成虚拟网段。VLAN主要有五种类型，分别为基于端口的VLAN、基于MAC地址的VLAN、基于协议的VLAN、基于网络地址的VLAN和基于定义规则的VLAN。本企业共有六个部门有接入局域网的需求，所以划分六个VLAN供这些部门使用，具体的划分情况已经由前面的5.2节和表5-1介绍过，所以在此就不再详细说明了。8.1.2 Trunk技术Trunk技术一般用于交换机与交换机之间，它用于在交换机之间的链路上传送多个VLAN的流量。Trunk技术会根据每一个VLAN的ID值，在交换机的链路之间传递VLAN的流量时会给相应的VLAN打上标记，这样就能区分不同VLAN，正确地将不同的流量传送到目的端口。其中，native vlan(本征VLAN)不打标记，默认情况下VLAN 1为本征VLAN。8.1.3 生成树协议在一个网络当中可能出现由于网络中某台设备故障，而影响整个网络的通信的情况。为避免发生这样的情况，提高网络的可靠性，可以通过构建一个物理的冗余链路来解决。但是，一个冗余的拓扑，又会给网路造成逻辑上的环路，从而产生其他的影响，生成树协议就是用来在交换机之间避免产生逻辑环路的协议。交换机之间通过互相发送BPDU(bridge protocol data units，桥协议数据单元)来进行根的选举，具体原则如下：(1) 比较Bridge ID中的Priority(优先级)，数值小者优先；(2) 若优先级相同，则比较Bridge ID中的(MAC)address，数值小者优先。选举出生成树的根之后，接着在各个交换机上选根端口，根端口的选举原则如下：(1) 本交换机上的端口之间进行比较，到根的最短路径开销(lowest path cost to root bridge)，根发出BPDU的开销是0，其他交换机收到后加上链路的开销；(2) 若最短路径开销相同，则比较发送方的的Bridge ID，哪个端口的值小就为根端口；(3) 若发送方的Bridge ID也相同，则比较发送方的port ID。port ID由端口优先级和端口号组成，哪个端口的port ID小就为根端口。选举完根端口后，接着选举指定端口，指定端口的选举原则和根端口的选举原则一致。剩下的端口就为阻塞端口，阻塞端口并不转发数据流量。生成树协议包括以下三种类型：(1) PVST(Per Vlan STP,每个VLAN生成一个树)。它是基于时间的，收敛速度很慢；(2) RSTP(Rapid STP,快速生成树)。它是基于提议-同意的，收敛速度要比PVST快很多；(3) MSTP(Multiple STP,多生成树)。它是根据实例来维护生成树的，所以耗费的资源要大大减少，并且它的收敛速度很快。虽然MSTP比其他两种生成树类型更加优秀，但是该企业内部局域网只有接入层有交换机，汇聚层与核心层均没有交换机，所以该企业在二层交换机上使用收敛速度更快的RSTP技术。8.1.4 链路捆绑技术为了保证接入层网络的可靠性，通常会在交换机之间搭建两条链路，然而由于生成树协议的存在，使得两条链路不会同时连通，这样虽然避免了逻辑链路，但是却会造成链路资源的浪费。然而链路捆绑技术就可以解决这样的问题，它通过将物理链路捆绑到一起，形成一条逻辑链路，增加了链路的带宽，从而提高了交换机之间的链路利用率。8.1.5 单臂路由技术之前已经介绍过VLAN，即虚拟局域网，它是将一个大的广播域切割成若干个较小的广播域，同一个VLAN内部的广播流量，在通常的情况下不会转发到其他的VLAN中。但是该企业接入层网络有六个VLAN，当属于不同VLAN(或者部门)的PC之间需要进行通信时该如何解决呢？允许这种跨VLAN进行通信的一种方法就是单臂路由技术，下面就配合图8-1来详细说明如何使用单臂路由技术进行跨VLAN的通信的。由图所示，PC1属于VLAN 10，PC2属于VLAN 20，在没有使用单臂路由技术之前，PC1是无法和PC2进行通信的。单臂路由技术是在原有的交换机-PC的基础之上再加一个路由器，路由器通过一条物理链路与交换机相连，它通过单个物理接口在网络中的多个VLAN之间传递流量。如图8-1所示，路由器R1与交换机SW1通过单一的物理网络互连。路由器通过接收与交换机相连的接口上来自交换机的VLAN标记流量，并通过子接口在不同的VLAN间进行路由，随后，路由器会把发往目的VLAN的VLAN标记流量通过同一物理接口转发出去。下面是在Cisco Packet Tracer模拟器上实现单臂路由的命令：(1) Switch(config)#int f0/1Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 10% Access VLAN does not exist. Creating vlan 10Switch(config-if)#int f0/2Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 20% Access VLAN does not exist. Creating vlan 20将交换机SW1的F0/1和F0/2接口设置为access接口，并且将F0/1接口下的流量化为VLAN 10的流量，将F0/2接口下的流量化为VLAN 20的流量。(2) Router(config)#int f0/0.1Router(config-subif)#encapsulation dot1q 10Router(config-subif)#ip add 54 Router(config-subif)#int f0/0.2Router(config-subif)#encapsulation dot1q 20Router(config-subif)#ip add 54 Router(config-subif)#int f0/0Router(config-if)#no shutdown分别在路由器的子接口F0/0.1和F0/0.2上配置VLAN 10和VLAN 20的管理地址，然后再打开F0/0接口。(3) Switch(config)#int f0/3Switch(config-if)#switchport mode trunk将交换机SW1上与路由器R1相连的F0/3接口设置为trunk接口。在PC1上查看结果：8.1.6 对生成树的优化和保护(1) BPDU guardBPDU是bridge protocol data units的简称，中文名称是桥协议数据单元。交换机通过互相发送BPDU并进行比较，从而选举出根、根端口、指定端口和阻塞端口，形成完整的生成树。BPDU guard的作用是防止交换机的对端因误接交换机(如图8-3所示)而形成环路。配置完BPDU guard后，交换机的相应端口不再允许接收BPDU，如果接收到了，则会down掉端口。(2) 根保护通过根保护能够将交换机的接口强制设置为指定端口，进而防止对端交换机成为根。设置了根保护的交换机端口如果收到了一个优于原来BPDU的新BPDU，它将会把该端口设置为阻塞端口，从而不转发数据流量。过一段时间之后，如果没有再收到BPDU，则会恢复端口。8.1.7 网络安全技术(1) arp粘连arp是address resolution protocol的简称，中文名称是地址解析协议，它的作用是通过IP地址获取相应的物理地址。使用arp粘连的目的是防范mac层攻击，mac层攻击是指黑客不停地变化自己主机的mac地址，其他的PC不停地学习新的mac地址，导致mac表被填满，正常的数据帧传送到PC上时，PC不知道如何转发，便进行泛洪，这样黑客就知道了其他PC的mac地址。交换机配置过arp粘连后，其对端的PC一旦启动，就向交换机发送arp，交换机就把PC发过来的mac地址“粘住”，这样就可以防范mac层攻击了。8.2 汇聚层技术方案8.2.1 OSPFOSPF是Open Shortest Path First的简称，中文名称是开放最短路径优先，它是一种内部网关协议。与RIP、EIGRP等距离矢量路由协议不同的是，OSPF是一种链路状态路由协议。OSPF的基本工作原理为：路由器之间并不传递路由信息，每一个路由器都产生自己的lsa(link state advertisement,链路状态通告)，lsa可以简单地理解为路由器的接口信息。路由器周期性地将自己的lsa进行泛洪，邻居路由器收到后保存到自己的lsdb(link state database,链路状态数据库)中，复制一份后再发送给自己的邻居。最后每个路由器都会得到其所在区域的lsa，从而还原出以自己为根的网络拓扑。为了更好地对网络进行管理，OSPF将一个自治系统划分成几个区域(area)。每一个区域都有自己的区域标识码，其中，主干区域的标识码为，此区域的作用是连接其他区域。其他区域必须与主干区域相连，这样做是为了防止环路产生。划分区域有如下好处：(1) 减少了每一个路由器的路由条目；(2) 能够把网络拓扑变更局限在一个区域内部；(3) 减少了lsa泛洪，使得泛洪在区域边界就停止。OSPF有五种数据包类型，分别为：(1) hello包。用来建立和维持邻居关系；(2) dbd(database description)包。包含路由器数据库lsa的清单，它是用来进行路由器数据库同步的；(3) lsr(link state request)包。用来向对方请求lsr信息；(4) lsu(link state update)包。路由器通过使用lsu数据包将自己的链路状态发送给邻居；(5) lsack(link state acknowledgement)包。对lsu数据包的确认。有关OSPF的内容还有很多很多，比如路由器类型、不同类型lsa和特殊区域等等，但是这里只介绍在该企业局域网中用到的技术，所以OSPF的其他内容就不再一一描述了。8.2.2 负载均衡由于该企业局域网汇聚层使用了OSPF，所以负载均衡也是在OSPF的基础上实现的。OSPF的度量值是OSPF Cost，它的计算方法为：OSPF Cost=108/BW(bps)。其中，BW是bandwidrh的简称，它的值代表接口带宽。了解过OSPF Cost值得计算方法后，可以得出在OSPF链路中实现负载均衡的两种方法：(1) 进入OSPF协议，修改OSPF Cost值；(2) 进入相应的接口，修改带宽值，从而达到修改OSPF Cost值的目的。由于在该企业汇聚层网络拓扑中，R1与R2之间是串行链路，而R1与R4之间是百兆链路，如果没有配置等价负载均衡的话，从R1发往R3的数据流量一定只走R1-R4-R3这条路径，这样就会造成R1与R2之间的链路资源的浪费，所以需要在R1上进行OSPF的等价负载均衡的配置，使得R1发往R3的数据流量既走R1-R4-R3这条路径，又走R1-R2-R3这条路径。8.2.3 ACLACL是Access Control List的简称，中文名称是访问控制列表。ACL是一种路由过滤工具，通过使用ACL可以控制网络流量的传递。它从逻辑概念上可以分为两个层面，控制层面是网络中的路由信息，数据层面是数据流量的传递，要想数据流量可以传递，首先要搞定控制层面。访问控制列表一般分为以下三类：(1) 标准ACL。只能根据源IP地址来进行分类，可以使用的号码为1-99；(2) 扩展ACL。可以根据源IP地址、目的IP地址、源端口号、目的端口号和协议来进行分类，可以使用的号码为100-199；(3) 命名的ACL。只是将标准ACL或者扩展ACL取个名字，它的优势是可以对ACL进行增加和删除操作。ACL的匹配规则：(1) 逐行匹配。按顺序从第一条开始，然后再往下一条比较；(2) 如果一个数据包与ACL的某行匹配，则按匹配的ACL语句进行操作，不再进行后续的比较；(3) 每一个ACL的最后都隐含一句“deny any any”，若数据包与所有行都不匹配的话，则丢弃该数据包。ACL的配置原则：(1) 每个ACL至少应含有一个permit语句，否则将拒绝所有数据流量；(2) ACL既可以应用在接口的入方向，也可以应用在出方向，但是在接口的某一个方向上只能有一个ACL；(3) 路由器对自己产生的数据流量不做过滤；(4) 将标准ACL尽可能配置在靠近目的地址的地方，将扩展ACL尽可能配置在靠近源地址的地方。该企业局域网的接入层和汇聚层均有配置ACL的必要，具体需求分别为：(1) 在接入层做ACL访问控制，使得只有后勤部的PC可以远程访问SW1、SW2和SW3；(2) 在汇聚层做ACL访问控制，使得所有用户都可以访问内部网站。8.3 核心层技术方案8.3.1 网关冗余技术观察图8-5，通常情况下，R1只能指向一个网关(假设此时指向的是网关1)，由于某些原因，网关1不能继续正常工作了，为了能够连接外部网络，只能手工将R1指向网关2。这样做虽然可以解决连接外部网络的问题，但是如果每次都是手工重新指向其他网关，不仅浪费时间，而且不能保证每一次出现这样的问题时都能够及时发现。面对这样的问题，仅仅依赖于每次手工指向新网关是不现实的，所以需要使用网关冗余技术来解决。HSRP(hot standby router protocol,热备份路由协议)和VRRP(virtual router redundancy protocol虚拟网关冗余协议)均可以解决上述的问题，它们两个的原理大致相同：为不同的网关设定不同的优先级，平常只有优先级最高的网关工作，当其出现问题不能工作时，优先级仅比它低的网关便接替它的工作。高优先级的网关恢复正常后，低优先级的网关就停止工作，由恢复后的网关继续工作。通过使用网关冗余技术，提高了网络的可靠性和健壮性，可以减少由于某个网关的故障而导致整个网络故障的可能性，这样对于整个企业来说可以将损失降低到最少，从而获得更多的效益。8.3.2 NAT技术NAT是Network Address Translation的简称，中文名称是网络地址转换。假如该企业内部一个PC想访问外部网络，但是由于私有网络地址不能出现在因特网上，所以使用NAT技术。使用NAT技术所带来的优点主要有：(1) 节约公网地址；(2) 使内部网络更加安全。使用NAT进行地址转换时，主要有以下三种方式：(1) 静态地址转换。内部地址被映射到指定的公共地址，并且它们之间是一一对应的关系；(2) 动态地址转换。内部地址被映射到地址池中的公共地址，它们之间是一对一或多对一的关系；(3) 端口转换。多个地址共享一个公共地址，只不过通过在