网路功能路由交换毕业设计论文.doc

专科生毕业设计网 络 工 程路由交换方向摘 要随着Internet的普及，网络技术的飞速发展,网络设计的方法不停地更新和淘汰，中国正在努力把计算机网络发展成第三生产力，而实现这个目标的关键就是要实现企业信息化，企业信息化生产管理可以把计算机网络变成给国家创造效益的生产工具。一个优秀的计算机网络设计，能给信息化的企业带来一个高效的生产工具。既然计算机网络成了生产工具，那么本课题完成的结果就直接关系到了工厂的生产成本和生产效率，所以本毕业论文在网络设计中要强调的三个方面是性价比、稳定性和可复用性。 本论文以计算机网络技术为基本理论基础，设计的原则是先做好物理架构，以后逐步添加设备。所以对物理层，就是布线的设计需要一步到位。本课题的研究成果将具有较好的开放型，可以推广应用于所有类似的企业信息化系统。当然不同的客户需求会有不同的网络设计结果。论文从网络设计的方法论角度出发，通过工厂计算机网络这个案例研究可以推导出网络设计的标准化模式，论文对于中型计算机网络设计的规范化有良好的促进作用。关键词：网络结构；布线设计；需求分析；网络配置；网络安全；网络拓扑ABSTRACTWith the popularity of Internet, network technology rapid development, web design method constantly updated and knocked out, China is working hard to put the computer network development into the third productivity, and the key to achieve this goal is to achieve enterprise informatization, the enterprise information production management can put the computer network into the country to create benefit production tools. A good computer network design, can give information enterprise to bring a more efficient manufacturing tools. Since the computer network became production tools, then this topic completed the result is directly related to factory production costs and production efficiency, so this dissertation in network design should be emphasized in the three aspects are cost-effective, stability and reusability.In this paper the basic theory of computer network technology as the foundation, design principle is to make a physical structure, and then gradually add equipment. So for the physical, the design needs one pace reachs the designated position is wiring. This topic research results will have good open model, which can be applied to all similar enterprise information system. Of course different customer demand will have different network design results. From network design methodology papers Angle, through the factory computer network this case study can deduce that the standardization of the network design, the paper for medium model of computer network design standardization has good stimulative effect. Keywords: Network structure; Wiring design; Demand analysis; Network configuration; Network security; Network topology目 录第1章引 言1第2章项目需求分析12.1、项目背景12.2、需求分析1第3章网络总体建设目标23.1、网络建设目标23.2、网络及系统建设内容及要求23.3、网络设计原则3第4章网络总体设计34.1、网络总体拓扑图34.2、网络层次化设计44.2.1、核心层设计44.2.2、分布层设计54.2.3、接入层设计54.3、总部与分部内联接入5第5章路由、交换设计55.1、设备选择55.2、设备命名规范65.3、VLAN、子网及IP地址规划（-3.0）65.4、路由协议75.5、交换技术85.6、IPV68第6章服务器设计86.1、服务器的系统选择96.2、DNS、DHCP、DC、FTP、Mail、WebApache服务器9第7章网络安全解决方案107.1、网络边界安全威胁分析107.2、网络内部安全威胁分析117.3、解决方案117.3.1、ISA防火墙和iptables防火墙117.3.2、病毒防护技术117.3.3、认证和数字签名技术11第8章关键技术介绍128.1、HSRP128.2、VLAN128.3、VTP138.4、TRUNK138.5、STP138.6、VPN138.7、DNS148.8、DHCP148.9、DC148.10、FTP148.11、MAIL15第9章设备简介159.1、Cisco 2800系列集成多业务路由器159.2、Cisco 4500系列交换机169.3、CiscoCatalyst 3750 系列集成交换机169.4、Cisco Catalyst2960系列交换机17第10章项目实施计划1910.1、项目组织结构1910.2、项目人员分工1910.3、项目实施前的准备工作1910.4、安装前的场地准备2010.5、核心及各网点的安装调试20第11章网络测试2011.1、网络测试目的2011.2、测试文档21第12章基本配置2212.1、总部基本配置2212.1.1、网络描述2212.1.2、基本配置2212.2、分部基本配置2612.2.1、网络描述2612.2.2、基本配置26第13章Trunk基本配置2913.1、技术简介2913.2、设备简介2913.3、基本配置30第14章VLAN配置3414.1、技术简介3414.2、设备简介3414.3、基本配置3414.4、配置vlan地址和默认网关36第15章VTP配置3615.1、技术简介3615.2、设备简介3715.3、基本配置37第16章以太网通道配置4016.1、技术简介4016.2、设备简介4016.3、基本配置40第17章STP配置4117.1、技术简介4117.2、设备简介4117.3、基本配置41第18章OSPF配置4318.1、技术简介4318.2、设备简介4318.3、基本配置43第19章HSRP配置4719.1、技术简介4719.2、设备简介4719.3、基本配置4719.4、验证配置51第20章GRE over IPSEC配置5120.1、技术简介5120.2、设备简介5220.3、基本配置52第21章PPP配置5621.1、PPP认证5621.2、配置PPP认证5621.3、验证57第22章ACL配置5722.1、ACL介绍5722.2、ACL的作用5722.3、ACL的执行过程5722.4、ACL的分类5722.5、配置58结 束 语.60参 考 文 献61致 谢.62第1章 引 言随着万维网的发展，Internet技术的应用已经渗透到科研、经济、贸易、政府和军事等各个领域，电子商务和电子政务等新鲜词汇也不再新鲜。网络技术在极大方便人民生产生活，提高工作效率和生活水平的同时，其隐藏的安全风险问题也不容忽视。因为基于TCP/IP架构的计算机网络是个开放和自由的网络，这给黑客攻击和人侵敞开了大门。传统的病毒借助于计算机网络加快其传播速度，各种针对网络协议和应用程序漏洞的新型攻击方法也日新月异。因此计算机网络应用中的安全问题就日益成为一个函待研究和解决的问题。第2章 项目需求分析2.1、 项目背景安博公司是以学习者为中心面向个人及组织提供学习和教育服务的一家新型的IT领航企业。安博教育集团创建专业的教育和技术研发机构安博研究院进行前瞻性教育理念和资源的创造与创新。安博数十种自主知识产权技术、产品获得国家版权认证、专利认证和科技成果鉴定。安博还与北京师范大学合作创立北师大安博教育发展研究院，开展教育政策与理论探索、国际高端项目交流，目前已参与和承办了多项国家重大教育课题、国际高端学术论坛。目前安博总部在北京，分部分别在大连及江苏的昆山。总部设有品质保障部、教学支持部、财务部、市场部，员工约有150人。分部的部门与总部相同，两个分部各有员工约50人。2.2、 需求分析安博公司正处于快速发展期，原已有简单的网络系统，但3部分局域网只是通过因特网进行互联，不能适应企业发展的需要。为了提高生产办公的效率、加强管理、加强部门间配合，提高获取知识的能力，所以需要升级网络，深化信息化应用，建设一个实用和先进、高可靠、高性能、高灵活性和扩展性、操作管理简单的信息化融合网络。本项目的网络可划分为北京总部、昆山分部和大连分部。其中北京总部综合项目招标，其性能，稳定性，安全性，可靠性的要求一定要高，尤其是核心区域。因此我们在设计时，需要考虑这些需要。而核心区的功能是高速可靠地交换数据，因此该部分的设计更应该考虑性能和可用性的平衡。并且冗余性也要考虑。我们还可以利用ACL、防火墙来屏蔽一些网站的访问。第3章 网络总体建设目标3.1、 网络建设目标网络建设的目标是：充分利用计算机网络、多媒体、Internet/Intranet、数据库、数字通信等先进技术构筑研究院的网络平台，实现绘图、管理设计生产的网络化，辅助领导掌握企业发展进行决策，建立先进的办公自动化管理系统。组建一个高效，可靠，稳定，易管理，安全的网络。建立一个使集团数据、邮件、关键业务由总公司统一管理，并实现公司总部与分部的高效通信与资源共享的综合信息网。3.2、 网络及系统建设内容及要求根据安博的网络情况，我们把整个网络分为内部交换网络设计、网络出口设计、网络安全设计几大方面。对于内部交换网络我们采用分层设计。内部交换网络分成核心层、汇聚层、接入层三大部分。为了保证总部和分部网络的高可用性和稳定性，能有效防止局部故障引起整个网络系统的瘫痪，应在网络设计中提供拓扑和设备的冗余和备份，使故障能在最短的时间内进行恢复，让网络故障的发生和损失降到最小。使用生成树协议（STP）可以实现交换机之间的冗余连接，避免网络环路的出现，实现网络的高可靠性，它实现在交换机之间传递桥接，从而保证其稳定性，还可以用路由器备份协议（HSRP）支持多台路由器形成热备份而消除单台设备失效造成的网络中断。我们建议在设计时，交换机采用HSRP、STP等协议。借助VLAN技术，使得对于网络内有关server的访问变得更加安全有效。在服务器操作系统选择方面，我们采用较为安全的Linux操作系统。对于边界网络接入网络，网络的安全性将是一个需要考虑的非常重要的因素。所以确保在网络的边界处部署相应的安全策略以防止黑客和各种恶意代码的攻击至关重要。在数据传输安全方面，总部和分部之间，我们架设VPN虚拟通道。VPN主要采用思想安全保证技术，分别是隧道技术、加解密技术、密钥管理技术、和使用者与设备身份认证技术。在安全方面，VPN直接构建在公用网上，实现简单、方便、灵活，同时保证通过公用网络平台传输数据的专用性和安全性。对于设备，我们采用性价比较高的设备。对于网络带宽，由于带宽有限且租金昂贵，我们建议用QOS技术进行拥塞管理、拥塞避免、流量整形等策略对网络上的流量进行管理。3.3、 网络设计原则先进性：随着网络的迅速发展，网络的设计要立足于较高的起点，保证系统有较长的生命力。保证满足系统业务的同时，又要体现出网络系统的先进性。可靠性：在网络设计中选用高可靠性的网络产品，合理设计网络架构，制定可靠的网络备份策略，保证网络具有故障治愈的能力，最大限度的支持各个系统的正常运行。安全性：在网络设计中，应采用硬件技术与软件技术相结合的方式，全面系统的保护网络的安全运行。系统应提供一套完整的安全防范措施，防止由于操作人员的误操作以及系统中的某些故障而造成数据被破坏或系统的误操作。兼容和拓展性：尽量采用成熟的技术，保证软硬件的兼容性，同时考虑设备的更新与升级的能力。可管理性：网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态、故障报警等都可以通过网管平台进行监控，通过网络管理平台简化管理工作，提高网络管理的效率。第4章 网络总体设计4.1、 网络总体拓扑图图4-1 企业网络拓扑结构图如上图所示，安博公司整体网络可以根据功能划分为北京总部核心网络，内嵌接入包括品质保障部网络，教学支持部网络，财务部和市场部。外联单位接入大连分部网络和昆山分布网络。各区域相对独立，通过核心网络进行数据的交互。4.2、 网络层次化设计随着网络技术的迅速发展和网上应用量的增长, 分布式的网络服务和交换已经移至用户级。由此形成了一个新的，更适应现代的高速大型网络的分层设计模型。这种方法被称为“层次化网络设计”。层次化网络设计有以下好处：网络简单：通过将网络分成许多小单元，降低了网络的整体复杂性,使故障排除或扩展更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题。网络设计灵活：网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无须改变整个环境。网络可管理：层次结构降低了设备配置的复杂性,使网络更容易管理。针对于安博公司的内部交换网络，我们采用三层结构模型。将内部交换网络分成核心层、汇聚层、接入层三大部分。三大部分的功能分别为：核心层：实现数据的高速通信与交换，提供高可靠性，冗余链路，故障隔离，迅速升级，提供较少的滞后和好的可管理性，避免由滤波器或其它处理引起的慢包操作，有有限和一致的直径。汇聚层：提供策略，安全，部门或工作组级访问，定义广播/多播域，虚拟LAN之间路由选择，介质翻译，在路由选择域之间重分布，静态路由和动态路由选择协议划分。接入层：对汇聚层的访问控制和策略进行支持，建立独立冲突域，建立工作组与汇聚层的连接。提供多种方式来让用户接入网络，并做安全验证。4.2.1、 核心层设计核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。核心层的任务是为其他两层提供优化的数据传输功能。核心层的主干交换机一般采用最快速率的链路连接技术，在与分布层骨干交换机相连时要考虑采用建立在生成树基础上的多链路冗余连接，以保证与骨干交换机之间存在备份连接和负载均衡，完成高带宽、大容量网络层路由交换功能。这样当交换机之间的线路出现故障时，传输的数据会快速自动切换到另外一条线路上进行传输，不影响网络系统的正常工作。因此根据以上的原理，在核心层选用Cisco4506交换机。4.2.2、 分布层设计分布层提供基于统一策略的互联性,定义了网络的边界,可以对数据包进行复杂的运算。局域网的分布层主要提供了地址的聚集、部门和工作组的接入、广播域/组播传输域的定义、VLAN路由、安全控制等功能。分布层交换机和接入层交换机之间可以利用全双工技术和高传输率网络互联,保证分支主干无带宽瓶颈。分布层的设计要满足核心层、分布层交换机和服务器集合环境对千兆端口密度、可扩展性、高可用性以及多层交换的不断增长的需求,支持大用户量、多媒体信息传输等应用。所以选择的设备配置比核心层稍低。可采用思科Cisco3750交换机。4.2.3、 接入层设计接人层的主要目标是为最终用户提供对网络访问的途径等功能。交换机的普通端口直接与用户计算机相连,高速端口用于上连高速率的分布层网络交换机,用以有效地缓解网络骨干的瓶颈。根据分析，我们可以采用cisco2960交换机。4.3、 总部与分部内联接入内联接入是用于连接北京总部和昆山分布及大连分布的网络。我们使用Cisco 2800系列的路由器完成此功能。北京及昆山、大连内部使用VLAN的划分，北京总部与大连、昆山分布之间使用ipsec vpn实现互相通信，漫游用户通过easy vpn 来实现对公司的访问。第5章 路由、交换设计5.1、 设备选择表5-1 网络设备清单设备型号设备图片数量（台）单价（元）总价（元）Cisco 28113520015600Cisco WS-C450622200044000Cisco WS-C3750-24TS-S6900054000Cisco WS-C2960-24TT-L9360032400Cisco WS-C2960-48TC-L3750022500总计：1685005.2、 设备命名规范表5-2 网络设备命名设备型号北京大连昆山Cisco 2811BJ-R-001DL-R-001KS-R-001Cisco WS-C4506BJ-S-01BJ-S-02Cisco WS-C3750-24TS-SBJ-S-03BJ-S-04DL-S-01DL-S-02KS-S-01KS-S-02Cisco WS-C2960-24TT-LBJ-S-05DL-S-03DL-S-04DL-S-05DL-S-06KS-S-03KS-S-04KS-S-05KS-S-06Cisco WS-C2960-48TC-LBJ-S-06BJ-S-07BJ-S-085.3、 VLAN、子网及IP地址规划（-3.0）IP地址设计的总原则是简单、易管理、易扩展。我们按以下原则分配IP地址：唯一性：一个IP网络中不可能有两个主机采用相同的IP地址。简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项。连续性：连续地址在此结构网络中易于进行路由总结（Route Summarization）,大大缩减路由表，提高路由算法效率。可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性。灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术，以满足多种路由策略的优化，充分利用地址空间。表5-3 北京总部IP地址划分部门名称人数VLAN ID网络号可分配IP地址品质保障部47VLAN 10(BJ-PZ)4/265-126教学支持部47VLAN 20(BJ-JX)28/2629-190财务部8VLAN 30(BJ-CW)92/2893-206市场部48VLAN 40(BJ-SC)/26-62服务器27-239表5-4 大连分部IP地址划分部门名称人数VLAN ID网络号可分配IP地址品质保障部13VLAN 10(DL-PZ)4/275-94教学支持部18VLAN 20(DL-JX)/27-30财务部3VLAN 30(DL-CW)6/297-102市场部16VLAN 40(DL-SC)2/273-62服务器04-108表5-5 昆山分部IP地址划分部门名称人数VLAN ID网络号可分配IP地址品质保障部14VLAN 10(KS-PZ)2/273-62教学支持部19VLAN 20(KS-JX)/27-30财务部4VLAN 30(KS-CW)6/297-102市场部13VLAN 40(KS-SC)4/275-94服务器04-1085.4、 路由协议本次网络项目中，北京总部的路由器BJ-R-001和交换机BJ-S-01、 BJ-S-02 、BJ-S-03及 BJ-S-04，我们均采用OSPF协议，分部也同样使用。使用OSPF协议可以使路由快速收敛，方便网络管理员管理。OSPF协议标准化强，支持多种厂家，受到广泛的应用。相对其他协议，OSPF有很多优点。OSPF支持各种不同鉴别机制（如简单口令验证。MD5 加密认证），OSPF收敛速度快，能够在最短的时间内将路由变化传递到整个自治系统，提供负载均衡功能。安博总部规划为area 0，其内部网络也都规划为area 0。各区域接入路由器跟据区域不同使用动态协议，或者使用静态路由与动态路由结合的方式。5.5、 交换技术本次项目的核心层交换机Cisco 4506，我们将采用建立在生成树基础上的多链路冗余连接。这样不仅可以避免了由于网络环路造成的广播风暴等，还可以保证骨干交换机之间存在备份连接和负载均衡，完成高带宽、大容量网络层路由交换功能。这样当交换机之间的线路出现故障时，传输的数据会快速自动切换到另外一条线路上进行传输，不影响网络系统的正常工作。对于汇聚层交换机Cisco 3750和接入层交换机Cisco 2960，我们将采用VTP、VLAN、HSRP等协议。使用VTP协议，可以把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样他们可以自动学习到server上的VLAN 信息。这样不仅可以少在多台设备上配置同一个VLAN信息的工作量，而且还保持了VLAN配置的统一性。而VLAN 技术，则可以限制广播范围，并能够形成虚拟工作组，动态管理网络。不仅提高了网络的安全性，而且成本低，性能高，节省了人力，具有很高的灵活性。HSRP 是热备份路由协议。在北京总部和分部在汇聚层的交换机上我们采用热备份协议，运用两台交换机，当其中的一台出现故障致使网络不能正常通信时，备用的那台马上起到作用，避免了网络的“短路”问题。HSRP 实现容错备份功能，可以有效解决网络不畅问题，保证了网络的可靠性。5.6、 IPV6 由于IPV4网络地址的资源有限，为了提高网络的可扩展性，在本次网络项目中所采用的设备，均支持IPV6。IPV6以其灵活的IP报文头部格式，不仅取代了IPV4中可变长度的选项字段，而且也使路由器可以简单路过选项而不做任何处理，加快了报文处理速度，提高了吞吐量。而且IPV6还具有安全性、身份认证和隐私权等特性。支持更多的服务类型，允许协议继续演变，增加新的功能，使之适应未来技术的发展。第6章 服务器设计6.1、 服务器的系统选择服务器群的主要功能是为客户端提供各种网络服务，包括：资源共享、Web服务、文件传输、邮件服务、身份验证服务等等。在本次项目中，针对于DC服务器，我们则采用windows 2003操作系统。因为活动目录服务是Windows操作系统平台的中心组件之一。Windows Server 2003集成了多种功能且对硬件要求不高，总体成本较低。工作站普遍使用Windows操作系统，服务器与客户端兼容性更好。Windows服务器系统提供图形化界面，减少配置和维护的工作量。6.2、 DNS、DHCP、DC、FTP、Mail、WebApache服务器针对于各种服务的不同需求，我们推荐使用戴尔PowerEdge T410服务器。它以其优良的性能，均能满足各种服务的要求。服务器型号：戴尔PowerEdge T410图6-1 dell服务器表6-1 产品规格表戴尔PowerEdge T410(Xeon E5506/4GB/2*500GB)处理器CPU型号Xeon E5506CPU频率2.13GHz标配CPU数量1颗 最大CPU数量2颗二级缓存1MB三级缓存4MBCPU核心四核CPU线程数四线程主板主板芯片组Intel 5500扩展槽5PCI插槽内存内存类型ECC DDR3内存容量4GB内存描述22GB内存插槽数量8最大内存容量64GB存储硬盘接口类型SATA标配硬盘容量1TB最大硬盘容量12TB硬盘描述2块500GB SATA硬盘内部硬盘架数最大支持6块3.5英寸有线硬盘/3.5英寸热插拔硬盘/2.5英寸热插拔硬盘光驱DVD-ROM网络网络控制器双端口千兆网卡显示系统显示芯片Matrox G200eW，8MB显存第7章 网络安全解决方案7.1、 网络边界安全威胁分析把不同安全级别的网络相连接，就产生了网络边界。防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。网络边界上的安全问题主要有下面几个方面：信息泄密：网络上的资源是可以共享的，但没有授权的人得到了他不该得到的资源，信息就泄露了。信息泄密有两种方式： 攻击者进入了网络，获取了信息，这是从网络内部的泄密 合法使用者进行正常业务往来时，信息被外人获得，这是从网络外部的泄密 入侵者的攻击：互联网是世界级的大众网络，网络上有各种势力与团体。入侵就是有人通过互联网进入你的网络(或其他渠道)，篡改数据，或实施破坏行为，造成你网络业务的瘫痪，这种攻击是主动的、有目的、甚至是有组织的行为。 网络病毒：与非安全网络的业务互联，难免在通讯中带来病毒，一旦在你的网络中发作，业务将受到巨大冲击，病毒的传播与发作一般有不确定的随机特性。这是“无对手”、“无意识”的攻击行为。 木马入侵：木马的发展是一种新型的攻击行为，他在传播时像病毒一样自由扩散，没有主动的迹象，但进入你的网络后，便主动与他的“主子”联络，从而让主子来控制你的机器，既可以盗用你的网络信息，也可以利用你的系统资源为他工作，比较典型的就是“僵尸网络”。7.2、 网络内部安全威胁分析内部用户的非授权访问：网络内部的资源也不是对任何的员工都开放的，也需要有相应的访问权限。内部用户的非授权的访问，更容易造成资源和重要信息的泄露。内部用户的误操作：由于内部用户的计算机造作的水平参差不齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对误操作的防范措施，极容易给服务系统和其他主机造成危害。内部用户的恶意攻击：就网络安全来说，据统计约有70%左右的攻击来自内部用户攻击的防范也很重要。设备的自身安全性也会直接关系到公司网络系统和各种网络应用的正常运转。例如，路由设备存在路由信息泄露、交换机和路由器设备配置风险等。重要服务器或操作系统自身存在安全的漏洞，如果管理员没有及时的发现并且进行修复，将会为网络的安全带来很多不安定的因素。重要服务器的当机或者重要数据的意外丢失，都将会造成公司内部的业务无法正常进行。安全管理的困难，对于众多的网络设备和网络安全设备，安全策略的配置和安全事件管理的难度很大。7.3、 解决方案7.3.1、 ISA防火墙和iptables防火墙网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。7.3.2、 病毒防护技术(1)阻止病毒的传播：在防火墙、SMTP服务器、网络服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。 (2)检查和清除病毒：使用防病毒软件检查和清除病毒。 (3)病毒数据库的升级：病毒数据库应不断更新，并下发到桌面系统。 (4)在防火墙及PC上安装控制扫描软件，禁止未经许可的控件下载和安装。7.3.3、 认证和数字签名技术(1)认证：1.路由器认证，路由器和交换机之间的认证2.操作系统认证，操作系统对用户的认证3.拨号访问服务与客户之间的认证4.电子邮件通讯双方认证(2)数字签名技术：认证过程通常涉及到加密和密钥交换。Password认证 该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet等，但由于此种认证方式过程不加密，即password容易被监听和解密。 使用摘要算法的认证 基于PKI的认证使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。第8章 关键技术介绍8.1、 HSRPHSRP是 Hot Standby Routing Protocol（热备份路由协议的缩写）。它的作用是能够把一台或多台路由器用来做备份。我们使用HSRP来实现对故障路由器的接管，其含义是系统中有多台路由器，他们组成一个“热备份组”，这个组形成一个虚拟路由器。在任一时刻，一个组内只有一个路由器是活动的，并有它来转发数据包，如果活动路由器发生了故障，将选择一个备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。所以主机仍然保持连续，没有收到故障的影响，这样就较好的解决了路由器切换的问题。8.2、 VLANVLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备裸机地而不是物理地划分成一个个网段从而实现虚拟工作组的新技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1q协议标准草案。VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。 8.3、 VTP在一台VTP Server 上配置一个新的VLAN时，该VLAN的配置信息将自动传播到本域内的其他所有交换机。这些交换机会自动地接收这些配置信息，使其VLAN的配置与VTP Server保持一致，从而减少在多台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。VTP有三种工作模式：VTP Server、VTP Client 和 VTP Transparent。一般，一个VTP域内的整个网络只设一个VTP Server。VTP Server维护该VTP域中所有VLAN 信息列表，VTP Server可以建立、删除或修改VLAN。VTP Client虽然也维护所有VLAN信息列表，但其VLAN的配置信息是从VTP Server学到的，VTP Client不能建立、删除或修改VLAN。VTP Transparent相当于是一上独立的交换机，它不参与VTP工作，不从VTP Server学习VLAN的配置信息，而只拥有本设备上自己维护的VLAN信息。VTP Transparent可以建立、删除和修改本机上的 VLAN信息。8.4、 TRUNKTRUNK是一条点到点的链路。基于TRUNK功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接，同时传输以提高带宽、更大吞吐量，大幅度提供整个网络能力。8.5、 STP在局域网中是不允许出现环路的，而为了实现冗余和负载均衡，通常会有多条链路的连接，这样就会形成环路，所以要使用STP协议。在交换机上对端口的优先权的设置可以基于VLAN进行，每个端口对于不同的VLAN设置不同的优先级。对于指定的VLAN，具有该VLAN最高优先权的端口转发该VLAN的信息，其他VLAN的信息则阻塞。通过这种方法，在具有冗余连接的交换机端口上分别针对不同的VLAN设置不同的优先权 ，既可实现链路的冗余，又可实现负载的均衡。8.6、 VPN虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。 8.7、 DNS DNS 是域名系统 (Domain Name System) 的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。在Internet上域名与IP地址之间是一对一（或者多对一）的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。当用户在应用程序中输入DNS名称时，DNS 服务可以将此名称解析为与之相关的其他信息，如 IP 地址。因为，你在上网时输入的网址，是通过域名解析系统解析找到了相对应的IP地址，这样才能上网。其实，域名的最终指向是IP。8.8、 DHCPDHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)缩写，DHCP指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。首先，DHCP服务器必须是一台安装有Windows 2000 Server/Advanced Server系统的计算机；其次，担任DHCP服务器的计算机需要安装TCP/IP，并为其设置静态IP地址、子网掩码、默认网关等内容。8.9、 DC在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。 域控制器中包含由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。电脑联入网络时，域控制器首先鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，它只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。8.10、 FTPFTP服务可以独立于平台，在UNIXDOSWINDOWS等操作系统中都可以实现FTP的客户端和服务器。公司内部实现信息共享，文件传输是内网办公非常重要的一个内容之一，FTP是C/S模式。用户通过客户机，连接到在远程主机上的FTP服务器。用户通过客户机向服务器发出命令，服务器执行用户所发出的命令，并将执行的结果返回到客户机。8.11、 MAILsendmail是最重要的邮件传输代理程序。理解电子邮件的工作模式是非常重要的。一般情况下，我们把电子邮件程序分解成用户代理，传输代理和投递代理。 用户代理用来接受用户的指令，将用户的信件传送至信件传输代理。而投递代理则从信件传输代理取得信件传送至最终用户的邮箱。第9章 设备简介9.1、 Cisco 2800系列集成多业务路由器图9-1 Cisco 2811路由器实物图表9-1 Cisco 2811简要参数端口结构模块化网络协议IEEE 802.3X传输速率10/100Mbps固定的局域网接口2个其他端口Console内置防火墙是Qos支持支持支持VPN支持扩展模块4产品内存256MB(最大760MB)网络管理协议：Cisco ClickStart，SNMP9.2、 Cisco 4500系列交换机图9-2 Cisco 4506交换机实物图表9-2 Cisco 4506简要参数交换机类型企业级交换机应用层级四层传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE 802.3、10BASE-T,IEEE 802.3u、100BASE-TX,IEEE 802.3、10BASE-FX,IEEE 802.3z、IEEE 802.3x、IEEE 802.3ab,10BASE-X(GBIC)端口结构模块化传输模式支持全双工背板带宽100Gbps包转发率75MppsVLAN支持支持QOS支持支持网管支持支持网管功能SNMP管理信息库(MIB)II，SNMP MIB扩展，桥接MIB(RFC 1493)模块化插槽数69.3、 CiscoCatalyst 3750 系列集成交换机图9-3 Cisco 3750交换机实物图表9-3 Cisco 3750简要参数交换机类型企业级交换机应用层级三层传输速率10Mbps/100Mbps/1000Mbps端口结构非模块化端口数量24传输模式支持全双工配置形式可堆叠交换方式存储-转发背板带宽32Gbps包转发率6.5MppsVLAN支持支持QOS支持支持网管支持支持网管功能SNMP, CLI, Web, 管理软件MAC地址表12K模块化插槽数29.4、 Cisco Catalyst2960系列交换机图9-4 Cisco WS-C2960-24TT-L交换机实物图表9-4 Cisco WS-C2960-24TT-L简要参数交换机类型智能交换机应用层级二层产品内存64MB传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE 802.3、IEEE 802.3u、IEEE 802.1x、IEEE 802.1Q、IEEE 802.1p、IEEE 802.1D、IEEE 802.1s、IEEE 802.1w、IEEE 802.3ad、IEEE 802.3zIEEE 802.3端口结构非模块化端口数量24接口介质10/100Base-T、10/100/1000Base-Tx传输模式全双工/半双工自适应背板带宽4.4Gbps包转发率6.5MppsVLAN支持支持QOS支持支持网管支持支持网管功能Web浏览器,SNMP,CLIMAC地址表8K模块化插槽数2指示面板每端口状态:连接完整性、禁用、活动、