路由交换方向网络工程毕业论文.doc

路由交换方向网络工程毕业论文目 录第1章 引 言8第2章项目需求分析92.1、项目背景92.2、需求分析9第3章网络总体建设目标 103.1、网络建设目标103.2、网络及系统建设内容及要求103.3、网络设计原则11第4章网络总体设计114.1、背景114.2、网络总体拓扑图124.3、网络层次化设计124.4 层次化网络124.4.1 层次化网络的优点134.5 核心层设计134.5.1 核心层的目标134.5.2 核心层的技术134.5.3冗余链路134.5.4互联拓扑144.6汇聚层设计144.6.1会聚的定义及影响因素144.6.2会聚层的设计考虑因素144.7 接入层设计154.7.1接入层的管理154.8 内联接入15第5章路由设计165.1、路由协议选择165.1.1静态路由165.2、OSPF协议165.2.1 OSPF协议具有以下优点185.2.2 OSPF的网络类型185.2.3 OSPF的DR及BDR195.3、ACL215.3.1 ACL的特点215.3.2 ACL的执行过程215.3.3 ACL的分类225.3.4 定义ACL 225.4、PPP点对点协议235.5、路由规划拓扑图245.6、IP地址规划25第6章网络安全解决方案306.1、网络边界安全威胁分析306.2、网络内部安全威胁分析 306.3 安全产品选型原则31第7章网络技术介绍 327.1、Vlan技术327.2、Hsrp技术327.3、Trunk技术337.4、 Stp技术337.5、 Vtp技术33第8章 网络设备简介358.1、Cisco 4500 交换机358.2、Cisco 2800 系列集成多业务路由器368.3、Cisco Catalyst 3750系列集成交换机368.4、Cisco Catalyst 2960系列集成交换机378.5、服务器系列388.6、电话机398.7、监控的设备产品428.8、打印和传真机488.9、台式机 538.10、笔记本电脑548.11、烟雾警报器 558.12 防火警报器56第9章系统服务和设计9.1、DNS服务器589.2、Apache 服务器 589.3、Sendmail 服务器599.4、Ftp服务器60第10章域架构和公司服务器设计10.1、域架构设计6110.2、服务器设计61第11章防火墙选择62第12章 项目实施计划12.1 项目人员分工6412.2 工程进度计划表6512.3 目实施前的准备工作6612.4 安装前的场地准备6612.5 核心及各网点的安装调试67第13章 网络测试13.1网络测试目的6813.2 测试文档68结 束 语78致 谢79参 考 文 献80附 录81第1章 引 言随着信息技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，是企业在残酷的竞争环境中拖影而出。经营管理对计算机应用系统的依赖增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应作整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据、数据做全面的防范。信息安全防范体系显示安全防范是一个动态过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。网络安全问题伴随着网络的产生而产生，可以说，有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件，目前主要是通过网络进行的，而且几乎每时每刻都在发生，遍及全球。随着信息进程的提速，越来越多地企业信息被披露于企业内外部网络环境，如何保护企业机密，保障企业信息安全，成为企业信息话发展过程中必然需要面临和解决的问题。对于企业信息网络安全管理需要部署的内容，首先要明确企业的哪些资产需要保护，确定关键数据和相关业务支持技术资产价值，然后再此基础上，制定并实施安全策略，完成安全策略的责任分配，设立安全标准。 第二章 需求分析2.1项目背景XX公司是一家即将成立的一家制造工厂。本项目的目标是：“建立一个设计规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台，以高效率，高速度，低成本的方式提高公司员工的工作效率与执行效率”。本期工程项目完成后，网络平台总部内有大型服务器提供服务，外接分支机构网络平台的设计用户节点数总部为1000或更多用户分部地为10-50个用户。这些用户分布在4个不同的地区，要求这些用户和总部之间能够高速连接并且保证与总部通信的可靠性和可行性。同时要求总部内部安全机制能够提高。保证内网安全同时保证各台服务器的安全2.2需求分析总部分为数据中心，核心交换区，服务器和接入，数据中心作为工厂生产运营系统的存放地，其性能、稳定性、安全性，可靠性的要求最高。因此我们在设计的时候，应该考虑到这些要求，核心交换区的功能是高速可靠地交换数据，因此该部分的设计应考虑性能和可靠性的平衡，分部用户接入作为外联单位接入区域，其安全性应该是放在第一位。总部办公网络作为内部互联单位，可信度较高，用WEB、FTP、MAIL、DNS、DHCP等内部服务器为员工提供内部信息。分部访问总部采用VPN技术，通过VPN隧道保证传送信息的安全。INTERNET用户接入，需要考虑安全性和冗余性。当前的网络管理范畴比较广，包括设备管理、资源管理、故障管理、性能管理、安全管理等。在网络规模相对较大的时候，合适的网络系统可以帮助用户方便管理网络内的设备及运行情况，以提高网络的运行效率。第三章 网络总体建设目标3.1网络建设目标本项目的目标是：“建立一个设计规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台，以高效率，高速度，低成本的方式提高公司员工的工作效率与执行效率”。 搭建公司核心网络及服务器,以实现生产运营系统的运行, 各公司用户能够进行资源共享，并能够进行上网查资料，电子邮件，对外发布网站等等。按照“高效能、低成本”的要求，采用两层网络结构，按要求实现网络安全的需求。网络设备主要以核心交换区设备为主。要求计算机网络系统满足系统集成的网络平台需求，并考虑对设备投资保护，保证未来几年的系统扩展。组建一个高效、稳定、可靠、易管理、安全的企业网.3.2网络及系统建设内容及要求我们把整个网络分为内部交换网络设计、网络出口设计，网络安全设计三大部分：对于内部交换网络我们采用分层设计。内部交换网络分成核心层和接入层两大部分。核心层作为整个网络系统的核心，其主要功能是高速、可靠的进行数据交换。为加速数据的快速转发，我们在核心层采用以太通道技术，增加网络带宽，提高数据转发效率。为提高网络链路的冗余性，采用HSRP技术做热备份，STP技术，保证链路的冗余性等。接入层主要提供最终用户接入网络的途径。主要进行vlan的划分等。对于边界网络，网络的安全是一个需要考虑的重要因素，所以应部署相应的安全策略以防止黑客攻击，边界设备的冗余设计也是需要考虑的，防止单点故障。对于服务器，采用Raid5磁盘阵列，数据除第一次用完全备份后，以后每天做增量备份，备份的的服务器或设备单独放置其他全安地点。3.3网络设计原则作为一家优秀的系统集成商，向用户提供的不仅仅是设备，而是整套的技术与服务。我们始终坚持“高标准，高性能”的原则。在方案设计时，我们将严格遵循以下设计原则： 高可靠性-网络系统的稳定性是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络结构，制定可靠地网络备份策略，保证网络具有故障自愈的能力，最大限制地支持各个系统的正常运行。 灵活性及可扩展性-根据未来业务的增长和变化，网络可以平滑地扩展和升级，最大限制地减少对网络架构和设备的调整。 高性能-承载网络性能是网络通讯系统良好运行的基础，设计中心必须保障网络及设备的高吞吐能力，保证各种信息（数据，语音，图像）的高质量传输，才能使网络不成为各项业务开展的瓶颈。 性价比高-网络方案的设计必须充分考虑投资保护。第四章 网络设计4.1背景该公司是一家即将成立的一家制造工厂，本项目的目标是：建立一个设计规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台，以高效率，高速度，低成本的方式提高公司员工的工作效率与执行效率。本期工程项目完成后，网络平台总部内有大型服务器提供服务，外接分支机构网络平台的设计用户节点数为总部为500或更多用户分部地为10-50个用户。 所以拓扑图分为两个部分：总公司的总部网络和分公司的分部网络，中间架设防火墙以防止内部信息的泄露和防止外部闲杂人员的攻击，所以拓扑图这样设计。4.2 网络总体拓扑图4.3 网络层次化设计随着网络技术的迅速发展，信息化浪起潮涌。整个广域网（总部网络、分布网络）都采用CISCO层次化结构来设计，在网络设计中，我们将原来的接入层，汇聚层和核心层三层构架紧缩成核心层和接入层，实现CISCO二层紧缩式网络模型，层次化的网络结构结合层次化的IP编址方案，不仅能提高网络的可管理性，更加提高了网络的稳定性和可扩展性，为以后网络升级提供了广阔的空间。4.4 层次网络在网络领域，层次型设计用于将设备划分到多个网络中，这些网络采用分层方法组织。层次型设计模型包含3个基本层： 核心层：连接分布层设备。 分布层：将较小的本地网络互连起来。 接入层：向网络中的主机和终端设备提供连接性。相对于平面网络设计，层次型网络有些优点。将平面网络分为易于管理的小型模块的优点是，本地数据流将留在本地，只有前往其他网络的数据流才进入更高层。4.4.1层次化网络的优点1) 构建了确定性网络，明确定义了各个模块之间的边界。2) 这提供了清晰的分界点，让网络设计人员能够确切了解数据流的源 头和去向。3) 各个模块彼此独立，使设计变得简单，设计人员只需关注每个区域的需求，让企业能够方便地添加模块，从而提供了可扩展性，随着网络的复杂程度增加，设计人员可以添加新的功能模块。4) 让设计人员无需修改底层的网络设计就能添加服务和解决方案。4.5 核心层设计核心层即叫网络主干。核心层的路由器和交换机提供高速连接。在企业LAN中，核心层可能连接多栋大楼或多个站点，通过实现核心层，可降低网络的复杂程度，从而简化管理和故障排除工作。4.5.1核心层的目标核心层使得能够在网络的不同部分之间高效和快速地传输数据。核心层的主要设计目标如下： 提供100%的正常运行时间； 最大限度地提高吞吐量； 支持网络增长。4.5.2核心层技术核心层使用的技术包括： 融路由选择和交换功能于一身的路由器或多层交换机； 冗余和负载均衡； 高速和聚合链路。扩展性良好且会聚速度快的路由选择协议，如增强内部网关路由选择协议（EIGRP）和开放最短路径优先（OSPF）协议。4.5.3冗余链路通过在核心层部署冗余链路，可确保发生故障时网络设备能找到替代路径来发送数据。如果核心层使用了第三层设备，则除备用外，这些冗余链路还可用于负载均衡。在平面型第2层网络设计中，除非主链路发生故障，否则生成树协议（STP）将禁用冗余链路。STP的这种行为导致无法在冗余链路上进行负载均衡。4.5.4互联拓扑网络中的大多数核心层都采用全互联或部分互联拓扑。在全互联拓扑中，任何两台设备都直接相连。4.6 汇聚层设计汇聚层是连接接入层和核心层的网络设备，为接入层提供数据的汇聚、传输、管理、分发处理.汇聚层为接入层提供基于策略的连接，如地址合并，协议过滤，路由服务。认证管理等.通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层。汇聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定。4.6.1会聚的定义及影响因素当所有路由器都获取了有关网络的完整、准确信息时，网络便会聚完毕。会聚时间越短，网络对拓扑变化做出反应的速度越快。影响会聚时间的因素包括： 路由选择更新到达网络中所有路由器的速度； 每台路由器确定最佳路径所需的时间； 选择会聚时间可接受的路由选择协议。在小型网络中，大多数动态路由选择协议的会聚时间都是可接受的；在大型网络中，路由选择信息协议第2版（RIPv2）等协议的会聚速度可能太慢，无法在链路发生故障时避免网络服务中断。一般而言，在大型企业网络中，EIGRP或OSPF协议提供的路由选择解决方案最稳定。4.6.2会聚层的设计考虑因素大多数网络同时使用动态路由和静态路由。网络设计人员必须考虑确保网络中所有目的地都可达所需的路由数量。大型路由选择表的会聚可能需要很长时间，网络编址方案以及各层的汇总策略都会影响路由选择协议对故障的反应速度。4.7 接入层设计接入层是指网络中直接面向用户连接或访问的部分。接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。在本网络中接入为各个分公司的交换机，因为分公司的所有数据流都必须经过它来传输所以它同样要求具备高稳定性和高可靠性。4.7.1接入层的管理网络设计人员的一个主要考虑因素是改进接入层的可管理性。接入层管理非常重要，其原因如下：1）接入层连接设备的数量和类型在不断增多； 在LAN中引入了无线接入点； 方便管理的设计。2）除在接入层提供基本连接性外，设计人员还需要考虑如下因素：命名结构； VLAN架构； 数据流模式； 优先级策略。对大型融合网络来说，配置和使用网络管理系统非常重要，尽可能让配置和设备标准化也非常重要。3）遵循优秀的设计原则可简化网络管理和支持，因为这样可以： 避免网络变得太复杂； 简化故障排除； 以后更容易新增功能和服务。4.8 内联接入又称企业内连网，是用因特网技术建立的可支持企事业内部业务处理和信息交流的综合网络信息系统，通常采用一定的安全措施与企事业外部的因特网用户相隔离，对内部用户在信息使用的权限上也有严格的规定。内联接入的作用是用于连接总部网络和分部网络，这样做的目的是保证整个网络的安全性。第五章 路由设计5.1 路由协议选择为达到路由快速收敛、寻址以及方便网络管理员管理的目的，为这个网络选择ospf和静态路由两种协议：路由器提供了异构网互联的机制，实现将一个网络的数据包发送到另一个网络。而路由就是指导IP数据包发送的路径信息。路由协议主要运行于路由器上，就是在路由指导IP数据包发送过程中事先约定好的规定和标准。路由协议是用来确定到达路径的，它包括RIP,IGRP,EIGRP,OSPF。它工作在网络层。5.1.1静态路由静态路由表在开始选择路由之前就被网络管理员建立，并且只能由网络管理员更改，所以只适于网络传输状态比较简单的环境。1）静态路由具有以下特点： u 静态路由无需进行路由交换，因此节省网络的带宽、CPU的利用率和路由器的内存。 u 静态路由具有更高的安全性。在使用静态路由的网络中，所有要连到网络上的路由器都需在邻接路由器上设置其相应的路由。因此，在某种程度上提高了网络的安全性。 u 有的情况下必须使用静态路由，如DDR、使用NAT技术的网络环境。 2）静态路由具有以下缺点： u 管理者必须真正理解网络的拓扑并正确配置路由。 u 网络的扩展性能差。如果要在网络上增加一个网络，管理者必须在所有路由器上加一条路由。 u 配置烦琐，特别是当需要跨越几台路由器通信时，其路由配置更为复杂。5.2 OSPF协议 开放式最短路径优先（Open Shortest Path First，OSPF）协议是一种为IP网络开发的内部网关路由选择协议，由IETF开 发并推荐使用。OSPF协议由三个子协议组成：Hello协议、交换协议和扩散协议。其中Hello协议负责检查链路是否可用，并完成指定路由器及备份指 定路由器；交换协议完成“主”、“从”路由器的指定并交换各自的路由数据库信息；扩散协议完成各路由器中路由数据库的同步维护。 OSPF 协议采用链路状态协议算法，每个路由器维护一个相同的链路状态数据库，保存整个AS的拓扑结构（在AS不划分的情况下）。一旦每个路由器有了完整的链路状态数据库，该路由器就可以自己为根，构造最短路径路径树，然后再根据最短路径构造路径表。对于大型的网络，为了进一步减少路由协议通信流量，利于管理和计算。OSPF将整个AS 划分为若干个区域 ，区域内的路由器维护一个相同的链路状态数据库，保存该区域的拓扑图结构。OSPF 路由器相互间交换信息，但交换的信息不是路由，而是链路状态。OSPF 定义了5种分组：Hello分组用于建立和维护邻居关系；数据库描述分组初始化路由器的网络拓扑数据库；当发现数据库中的某部分信息已经过时后，路由器发送链路状态请求分组，请求邻站提供更新信息；路由器使用链路状态更新分组来主动扩展自己的链路状态数据库或对链路状态请求分组进行相应；由于OSPF直接运行在IP层，协议本身要提供确认机制，链路状态应答分组状态更新分组进行确认。相对于其他协议，OSPF有许多优点。OSPF 支持各种不同鉴别机制（如简单口令验证，MD5加密验证等），并且允许各个系统或区域采用互不相同的鉴别机制；提供负载均衡功能，如果计算出道某个目的站有若干条费用相同的路由，OSPF 路由器会把通信流量均匀地分配给这几条路由，沿这几条路由把该分组发送出去；在一个自制系统内可划分出若干个区域，每一个区域根据自己的拓扑结构计算最短路径，这样减少了OSPF路由实现的工作量；OSPF属于动态的自适应协议，对于网络的拓扑结构变化可以迅速的作出反应，进行相应调整，提供短的收敛期，使路由表尽快稳定化，并且与其它路由协议相比，OSPF在对网络拓扑变化的处理过程中仅需要最少的通信流量；OSPF 提供点到多点接口，支持CIDR(无类路由)地址。我们把总部规划为area0，内部网络设备都规划位area0。各区域接入路由器根本区域不同使用动态协议，或者使用静态路由与动态路由结合的方式。5.2.1 OSPF协议具有以下优点： 1. OSPF能够在自己的链路状态数据库内表示整个网络，这极大地减少了收敛时间，并且支持大型异构网络的互联，提供了一个异构网络间通过同一种协议交换网络信息的途径，并且不容易出现错误的路由信息。OSPF支持通往相同目的的多重路径。 2. OSPF使用路由标签区分不同的外部路由。 3. OSPF支持路由验证，只有互相通过路由验证的路由器之间才能交换路由信息；并且可以对不同的区域定义不同的验证方式，从而提高了网络的安全性。 4. OSPF支持费用相同的多条链路上的负载均衡。 5. OSPF是一个非族类路由协议，路由信息不受跳数的限制，减少了因分级路由带来的子网分离问题。 6. OSPF支持VLSM和非族类路由查表，有利于网络地址的有效管理OSPF使用AREA对网络进行分层，减少了协议对CPU处理时间和内存的需求。 5.2.2 OSPF的网络类型OSPF定义的5种网络类型:1. 点到点网络 (point-to-point)2. 广播型网络 (broadcast)3. 非广播型(NBMA)网络 (non-broadcast)4. 点到多点网络 (point-to-multipoint)5. 虚链接(virtual link)i. 点到点网络, 比如T1线路,是连接单独的一对路由器的网络,点到点网络上的有效邻居总是可以形成邻接关系的,在这种网络上,OSPF包的目标地址使用的是,这个组播地址称为AllSPFRouters.ii. 广播型网络,比如以太网,Token Ring和FDDI,这样的网络上会选举一个DR和BDR,DR/BDR的发送的OSPF包的目标地址为,运载这些OSPF包的帧的目标MAC地址为0100.5E00.0005;而除了DR/BDR以外发送的OSPF包的目标地址为,这个地址叫AllDRouters.iii. NBMA网络, 比如X.25,Frame Relay,和ATM,不具备广播的能力,因此邻居要人工来指定,在这样的网络上要选举DR和BDR,OSPF包采用unicast的方式iv. 点到多点网络 是NBMA网络的一个特殊配置,可以看成是点到点链路的集合. 在这样的网络上不选举DR和BDR.v. 虚链接: OSPF包是以unicast的方式发送5.2.3 OSPF的DR及BDR在DR和BDR出现之前，每一台路由器和他的所有邻居成为完全网状的OSPF邻接关系，这样5台路由器之间将需要形成10个邻接关系,同时将产生25条LSA.而且在多址网络中,还存在自己发出的LSA 从邻居的邻居发回来,导致网络上产生很多LSA的拷贝,所以基于这种考虑，产生了DR和BDR.DR将完成如下工作1. 描述这个多址网络和该网络上剩下的其他相关路由器.2. 管理这个多址网络上的flooding过程.3. 同时为了冗余性，还会选取一个BDR，作为双备份之用.DR BDR选取规则： DR BDR选取是以接口状态机的方式触发的.1. 路由器的每个多路访问(multi-access)接口都有个路由器优先级(Router Priority),8位长的一个整数,范围是0到255,Cisco路由器默认的优先级是1优先级为0的话将不能选举为DR/BDR.优先级可以通过命令ip ospf priority进行修改.2. Hello包里包含了优先级的字段,还包括了可能成为DR/BDR的相关接口的IP地址.3. 当接口在多路访问网络上初次启动的时候,它把DR/BDR地址设置为,同时设置等待计时器(wait timer)的值等于路由器无效间隔(Router Dead Interval).DR BDR选取过程：1. 路由器X在和邻居建立双向(2-Way)通信之后,检查邻居的Hello包中Priority,DR和BDR字段,列出所有可以参与DR/BDR选举的邻居(priority不为).2. 如果有一台或多台这样的路由器宣告自己为BDR（也就是说，在其Hello包中将自己列为BDR，而不是DR），选择其中拥有最高路由器优先级的成为BDR；如果相同，选择拥有最大路由器标识的。如果没有路由器宣告自己为BDR，选择列表中路由器拥有最高优先级的成为BDR，（同样排除宣告自己为DR的路由器），如果相同，再根据路由器标识。3. 按如下计算网络上的DR。如果有一台或多台路由器宣告自己为DR（也就是说，在其Hello包中将自己列为DR），选择其中拥有最高路由器优先级的成为DR；如果相同，选择拥有最大路由器标识的。如果没有路由器宣告自己为DR，将新选举出的BDR设定为DR。4.如果路由器X新近成为DR或BDR，或者不再成为DR或BDR，重复步骤2和3，然后结束选举。这样做是为了确保路由器不会同时宣告自己为DR和BDR。5. 要注意的是,当网络中已经选举了DR/BDR后,又出现了1台新的优先级更高的路由器,DR/BDR是不会重新选举的。6. DR/BDR选举完成后,DRother只和DR/BDR形成邻接关系.所有的路由器将组播Hello包到AllSPFRouters地址以便它们能跟踪其他邻居的信息,即DR将泛洪update packet到;DRother只组播update packet到AllDRouter地址,只有DR/BDR监听这个地址.DR的筛选过程1.优先级为0的不参与选举；2.优先级高的路由器为DR；3.优先级相同时，以router ID 大为DR；router ID 以回环接口中最大ip为准；若无回环接口，以真实接口最大ip为准。4.缺省条件下，优先级为1。OSPF邻居关系邻接关系建立的4个阶段: 邻居发现阶段 双向通信阶段：Hello报文都列出了对方的RID，则BC完成. 数据库同步阶段： 完全邻接阶段: full adjacency邻居关系的建立和维持都是靠Hello包完成的,在一般的网络类型中,Hello包周期性的以HelloInterval秒发送,有1个例外:在NBMA网络中,路由器每经过一个PollInterval周期发送Hello包给状态为down的邻居(其他类型的网络是不会把Hello包发送给状态为down的路由器的).Cisco路由器上PollInterval默认60s Hello Packet以组播的方式发送给，在NBMA类型，点到多点和虚链路类型网络，以单播发送给邻居路由器。邻居可以通过手工配置或者Inverse-ARP发现.5.3 ACL访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段。ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议（IP、AppleTalk以及IPX）的情况，那么，用户必须定义三种ACL来分别控制这三种协议的数据包。5.3.1 ACL的特点 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。 ACL可以限制网络流量、提高网络性能。 ACL可以根据数据包的协议，指定数据包的优先级 ACL提供对通信流量的控制手段 ACL是提供网络安全访问的基本手段5.3.2 ACL的执行过程一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。这里要注意，ACL不能对本路由器产生的数据包进行控制。5.3.3 ACL的分类目前有两种主要的ACL:标准ACL和扩展ACL、通过命名、通过时间。 标准的ACL使用 1 99 以及13001999之间的数字作为表号，扩展的ACL使用 100 199以及20002699之间的数字作为表号。 标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。 扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。 在标准与扩展访问控制列表中均要使用表号，而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目，这样可以让我们在使用过程中方便地进行修改。随着网络的发展和用户要求的变化，从IOS 12.0开始，思科（CISCO）路由器新增加了一种基于时间的访问列表。通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。5.3.4 定义ACL （1）ACL的列表号指出了是哪种协议的ACL。各种协议有自己的ACL，而每个协议的ACL又分为标准ACL和扩展ACL。这些ACL是通过ACL列表号区别的。如果在使用一种访问ACL时用错了列表号，那么就会出错误。 （2）一个ACL的配置是每协议、每接口、每方向的。路由器的一个接口上每一种协议可以配置进方向和出方向两个ACL。也就是说，如果路由器上启用了IP和IPX两种协议栈，那么路由器的一个接口上可以配置IP、IPX两种协议，每种协议进出两个方向，共四个ACL。 （3）ACL的语句顺序决定了对数据包的控制顺序。在ACL中各描述语句的放置顺序是很重要的。当路由器决定某一数据包是被转发还是被阻塞时，会按照各项描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据报进行检查，一旦找到了某一匹配条件就结束比较过程，不再检查以后的其他条件判断语句。 （4）最有限制性的语句应该放在ACL语句的首行。把最有限制性的语句放在ACL语句的首行或者语句中靠近前面的位置上，把“全部允许”或者“全部拒绝”这样的语句放在末行或接近末行，可以防止出现诸如本该拒绝(放过)的数据包被放过(拒绝)的情况。 （5）新的表项只能被添加到ACL的末尾，这意味着不可能改变已有访问控制列表的功能。如果必须改变，只有先删除已存在的ACL，然后创建一个新ACL，将新ACL应用到相应的接口上。 （6）在将ACL应用到接口之前，一定要先建立ACL。首先在全局模式下建立ACL，然后把它应用在接口的出方向或进方向上。在接口上应用一个不存在的ACL是不可能的。 （7）ACL语句不能被逐条的删除，只能一次性删除整个ACL。 （8）在ACL的最后，有一条隐含的“全部拒绝”的命令，所以在 ACL里一定至少有一条“允许”的语句。 （9）ACL只能过滤穿过路由器的数据流量，不能过滤由本路由器上发出的数据包。 （10）在路由器选择进行以前，应用在接口进入方向的ACL起作用。 （11）在路由器选择决定以后，应用在接口离开方向的ACL起作用。5.4 PPP点对点协议l l链路控制：有一个称为LCP的链路控制协议，支持同步和异步线路，也支持面向字节的和面向位的编码方式，可用于启动路线、测试线路、协商参数、以及关闭线路。PPP多连接协议可以在两个系统间提供多条连接，以增加额外带宽。当进行远程资源访存时，PPP多连接协议允许将两个带宽合而为一或者将物理通信线路比如模拟调制解调器，ISDN和其他的模拟或数字链路进行合并以提高整体的吞吐量。 l l链路控制协议LCP（作为PPP协议的一个组成部分和PPP定义在同一个RFC中）使用标示自己的特殊数字作为特征来发现回路。当使用PPP协议的时候，端点发出具有和其他端点都不相同的特殊数字标识的LCP信息，如果线路存在回路，发出这个信息的端点就会收到含有自己标识的信息而不是其他人的标识信息。 l lPPP协议提供钩子供每个端用户自动配置网络接口（设置IP地址和默认网关等）和身份鉴别。网络控制：具有协商网络层选项的方法，并且协商方法与使用的网络层协议独立5.5 路由规划拓扑图5.6 IP地址规划IP地址规划在网络设计中的作用举足轻重。直接影响整个网络运营的效率。IP地址设计的总原则是简单、易管理、以扩展。IP地址是TCP/IP协议中的网络层逻辑地址，它被用来唯一地标识网络中的一个节点。IP地址空间的分配，要与网络层次结构相适应，既要有效利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。我们根据以下几个原则来分配IP地址：唯一性：一个IP网络中不能有两个主机采用相同的IP地址简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项连续性:续地址在层次结构中易于进行路由总结（Route Summarization），大大所见路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需要的连续性灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术（VLSM）,以满足多种路由策略的优化，充分利用地址空间。总部IP规划部门VALNIDIP子网掩码网关上网方式IP获取方式财务部254NATDHCP行政部354NATDHCP外联部454NATDHCP技术部554NATDHCP信息办654NATDHCP信息科754NATDHCP品保部854NATDHCP人力资源部954NATDHCP企业文化部1054NATDHCP安全环保部1154NATDHCP制造技术部1254NATDHCP采购部1354NATDHCP项目经理部1454NATDHCP仓储中心1554NATDHCP教培中心1654NATDHCP生产部1718.05454NATDHCP服务器Web54无手动配置File54无手动配置Mail54无手动配置Dns54无手动配置Dhcp54无手动配置Ftp54无手动配置其它设备互联：-/24分部IP规划分部IP地址范围子网掩码上网方式IP获取方式119.0NATDHCP228.0NATDHCP337.0NATDHCP446.0NATDHCP555.0NATDHCP其它设备互联：/24-/24第六章 网络安全解决方案（1） 必须考虑整个方案的安全性、稳定性、可管理性和维护性，以及够满足未来网络发展的需求；（2） 目前网络地址（总部和分部）已经统一规划，不能更改。VPN建设不能和原来的专线网络建设发生冲突。（3） 对于分部的网络，采用路由器和VPN隧道技术，实现和总部网络互通；（4）角度分析（总部、分部内网；总部、分部互联实现；服务器发布；漫游用户；公网与私有IP）6.1 网络边界安全威胁分析网络的边界隔离着不同功能或地域的多个网络区域，由于职责和功能的不同，相连网络的密级也不同，这样的网络直接相连，必然存在着安全风险。XX公司网络与各级单位的连接，可能遭到来自各地的越权访问、恶意攻击和计算机病毒的入侵；例如一个不满的内部用户，利用盗版软件或从Internet下载的黑客程序恶意攻击内部站点，致使网络局部或整体瘫痪。内部的各个功能网络通过骨干交换相互连接，这样的话，重要的部门或者专网将遭到来自其他部门的越权访问。这些越权访问可能包括恶意的攻击、误操作等等，但是他们的后果都将导致重要信息的泄露或者是网络的瘫痪。6.2 网络内部安全威胁分析XX公司网络内部网络的风险分析主要针对该公司的整个内网的安全风险，主要表现为一下几个方面：内部用户的越权访问:公司内部的资源也不是对任何的员工都开放的，也需要有相应的访问权限。内部用户的非授权的访问，更容易造成资源和重要信息的泄露。内部用户的误操作：由于内部用户的计算机制造的水平参差不齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对误操作的防范措施，极容易给服务系统和其他主机造成危害。内部用户的恶意攻击：就网络安全来说，据统计约有70%左右的攻击来自内部网络用户，相比外部攻击来说，内部用户有更得天独厚的优势，因此，对内部用户攻击的防范也很重要。设备的自身安全性也会直