华北航天工业学院闫文兴毕业设计报告.doc

毕业设计报告(论文)报告(论文)题目： 北华航天工业学院 网络优化方案（安全和售后）作者所在系部： 计算机科学与工程系 作者所在专业 计算机网络技术 作者所在班级： 07521 作 者 姓 名 ： 闫文兴 作 者 学 号 ： 20073052134 指导教师姓名： 陈少清 完 成 时 间 ： 2010年6月 北华航天工业学院教务处制摘 要本次毕业设计，是基于北华航天工业学院现有网络状况和网络对高速安全等方面的要求设计的网络优化方案。通过对北华航天工业学院整个校区进行网络规划，将现有的由阳光新锐运营的学生宿舍网络和校园网络整合起来，形成一个统一的校园网络，降低网络管理与后期维护的运营成本，减少学生上网的高额付费。网络优化后将地址配置方式由静态配置更改为从DHCP服务器动态获取，减少地址冲突，增加终端安全。现在流到Internet的P2P流量占网络流量的百分之六十以上。网络优化以后通过限制P2P上传到Internet的流量，放宽校园网内的P2P流量互访，实现校园网内部的高速互访和对外网的高速的访问。核心层是整个网络的可用性要求最高的地方，核心层设备的故障将导致整个网络的瘫痪，影响师生的工作和学习，所以对核心层网络设备应用冗余技术，是非常重要的。同样核心网络的安全在很大程度上决定了整个网络的安全性，通过划分TRUST、UNTRUST和DMZ区域并将服务器放在DMZ区域将大大提高学校网络的安全性。关键词：高速 安全 P2P 冗余 核心层AbstractThe graduation project is based is based on the North China Institute of Aerospace Engineering existing high-speed network conditions and network security requirements Design network optimization program. On the North China Institute of Aerospace Engineering paralysis for the entire campus network planning, will be available from the sun cutting-edge operation of student hostels and the campus network integration network to form a unified campus network, reduce network management and post-maintenance operating costs, reduce student Internet high pay. Network optimization will address configuration from static configuration changes dynamically from DHCP server to obtain and reduce address conflict, increase endpoint security. P2P traffic now flow to the Internet, accounting for more than 60 percent of network traffic. P2P network optimization later uploaded to the Internet by limiting the flow, relax the P2P traffic within the campus visits, campus network to achieve high-speed internal and external exchange of visits between high-speed network access. Core layer is the network where the highest availability requirements, the core layer equipment failures will lead to paralysis of the entire network, affecting teachers and students work and study, so the core network equipment, application layer redundancy is very important. The same core network security to a large extent determines the security of the entire network, through division of TRUST, UNTRUST and DMZ server on the DMZ area region and will greatly enhance the security of school networks. Keywords: high speed，security，peer to peer，redundancy，core layer目 录摘 要IAbstractII目 录III毕业设计(论文)任务书V第1章 绪 论11.1 项目背景介绍11.2网络优化要使用的部分技术11.2.1 QOS技术11.2.2故障倒换技术11.2.3路由技术21.2.4安全管理技术21.2.5 P2P技术21.2.6 双网卡技术21.3 网络优化要解决的主要内容3第2章 北华航天工业学院网络需求分析42.1 北华航天工业学院网络存在的问题42.2 网络优化方案要实现的目标6第3章 网络核心层的设计73.1 核心设计总体分析73.2 防火墙的设计83.2.1 NETSCREEN NSRP保证防火墙冗余的实现83.2.2防火墙安全区域103.2.3防火墙的接口划分103.2.4 防火墙策略的设置113.2.5应用信息流整形技术限制P2P的外网流量113.2.6添加DHCP中继服务123.2.7防火墙与Infranet联动进行接入认证123.2.8防火墙对IPV6的支持123.3 核心交换机的设计133.3.1 BGP协议保证交换机可以到达Internet和Cernet教育网133.3.2HSRP协议保证冗余133.3.3 VLAN技术143.4 核心路由器的设计153.4.1EBGP保证在教育网和Cernet之间精确转发数据流153.4.2路由控制技术保证核心路由器和交换机之间负载均衡15第4章 分布层和接入层设计164.1 分布层交换机设计164.1.1 VRRP协议保证分布层的冗余164.1.2 以太网链路聚合技术增加带宽164.1.3正确引导P2P流量使网络更高速运行174.2 接入层交换机设计224.2.1多生成树协议22第5章 服务器设计235.1 DHCP服务器系统235.1.1部署DHCP服务器的必要性235.1.2DHCP服务的器的实施235.2 代理服务器系统245.3 DNS服务器系统255.4 WEB服务器系统25第6章 网络优化后期维护266.1 服务器数据库文件的备份266.2 网络设备配置文件的备份266.3 服务器和网络设备的运行状态的监控26结 论28致 谢29参考文献30毕业设计(论文)任务书学生姓名： 闫文兴 专业：计算机网络技术 班级： 07521 学号： 20073052134 指导教师： 陈少清 职 称： 高工 完成时间：2010年6月3日 毕业设计(论文)题目：华航院网络优化方案题目来源教师科研课 题纵向课题（）题目类型理论研究（）注：请直接在所属项目括号内打“”横向课题（）应用研究（）教师自拟课题（）应用设计（）学生自拟课题（）其 他（）总体设计要求及技术要点：本次毕业设计，是基于北华航天工业学院现有网络状况和网络对高速安全等方面的要求设计的网络优化方案。通过对北华航天工业学院整个校区进行网络规划，将现有的由阳光新锐运营的学生宿舍网络和校园网络整合起来，形成一个统一的校园网络，降低网络管理与后期维护的运营成本，减少学生上网的高额付费。网络优化后将地址配置方式由静态配置更改为从DHCP服务器动态获取，减少地址冲突，增加终端安全。现在流到Internet的P2P流量占网络流量的百分之六十以上。网络优化以后通过限制P2P上传到Internet的流量，放宽校园网内的P2P流量互访，实现校园网内部的高速互访和对外网的高速的访问。核心层是整个网络的可用性要求最高的地方，核心层设备的故障将导致整个网络的瘫痪，影响师生的工作和学习，所以对核心层网络设备应用冗余技术，是非常重要的。同样核心网络的安全在很大程度上决定了整个网络的安全性，通过划分TRUST、UNTRUST和DMZ区域并将服务器放在DMZ区域将大大提高学校网络的安全性。工作环境及技术条件：CISCO路由器，华为路由器，JUNIPER防火墙，联想服务器。开发工具是工程绘图软件Miscrosoft Office Vision，ScureCRT，Dynamips模拟器，华为RS模拟器、DHCP服务器、DNS服务器、WEB服务器。工作内容及最终成果：（1）收集并查阅资料，明确毕业设计题目要实现的各功能及所需技术，在阅读与本设计有关的资料和对学校网络分布情况进行了解的基础上，按要求撰写网络优化方案。（2）按照规定的格式要求，撰写毕业设计开题报告并参加开题检查。（3）对整个网络进行设计规划，绘制改造后的新网络的拓扑图，满足设计要点和技术要求。（4）划分安全区域将各种服务器放在DMZ区域，将学生宿舍划分为STUDENT区域，将学校机房划分为TRUST区域，将办公室划分为TEACHER将外网划分为UNTRUST区域。（5）完成网络设备的配置文件的编写，并在模拟条件下进行测试，新建DHCP服务器，使地址获取的方式更改为自动获取。（6）撰写毕业设计报告（论文），参加成果验收并上交所设计的网络优化方案。（7）参加毕业答辩，将所有毕业设计文档上交导师。时间进度安排：2010.4.12010.4.7完成毕业论文选题、查阅文献等初期准备工作2010.4.82010.4.21完成对学校网络情况、宿舍以及学校机房和办公室的分布情况进行分析了解的工作2010.4.222010.4.25完成学校网络优化方案的核心和安全方面的需求部分的编写的工作2010.4.262010.4.29完成新网络的拓扑的绘制工作2010.4.302010.5.10-完成学校网络优化方案的核心冗余以及安全区域部分的编写的工作2010.5.152010.5.31完成毕业论文初稿的编写2010.6.12010.6.7对毕业论文进行修改完善指导教师签字： 年 月 日教研室主任意见：教研室主任签字： 年 月 日第1章 绪 论QOS、安全性、可靠性、可运营和可管理已经成为当今网络面临的主要问题，另外P2P流量又成为了当今带宽的主要消耗者，现在有百分之六十的因特网带宽被P2P消耗。而且当今的因特网已经成为病毒泛滥、攻击频繁的网络。因此要解决网络的安全问题，使网络可靠运行就要解决网络的QOS问题、网络的安全性、管理运营的安全保证网络可靠的运行。北华航天工业学院的网络目前也大存在着带宽被大量P2P占用的问题，网络结构分散存在不安全因素，不能很好的应对上网高峰的流量。因此，要给学校师生提供一个安全高速的网络就要解决以上的这些问题，只有解决这些问题才能使学校师生更容易快速的获取信息，同时对师生的生活带来愉快的享受。使师生在拥有高速安全的网络以后，有更多的精力的时间去学习工作，通过网络获取信息通过网络对社会做出贡献。1.1 项目背景介绍 本项目是对北华航天工业学院的网络进行优化的规划，下面是对北华航天工业学院的一些基本信息：当前北华航天工业学院的网络由学校校园网络和学生宿舍网络两个独立的网络构成，从整体上看网络分散，学生宿舍网络访问学校网络要经过因特网中转减慢了速度。两个网络的IP规划不一样，各自独立。而校园网内部的地址分配方式大部分为静态配置的方式，容易造成地址冲突。校园网内部还存在着核心设备的单点故障问题，一旦核心设备出了问题，将造成校园网的瘫痪，影响师生工作和学习。1.2网络优化要使用的部分技术1.2.1 QOS技术QoS（Quality of Service）服务质量，是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS 能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。1.2.2故障倒换技术目前NSRP、HSRP、VRRP、等技术可以实现故障设备的切换，实现网络的可靠性。故障倒换技术可以把一个虚拟路由器的责任动态分配到局域网上的故障倒换组中的另一台路由器中的一台。主路由器负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用故障倒换技术，可以设定一个虚拟IP地址作为默认路由器。虚拟 IP 地址在路由器间共享，其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用，这个虚拟IP地址就会映射到一个备份路由器的IP地址（这个备份路由器就成为了主路由器）。1.2.3路由技术内部网关协议和外部网关协议保证了大网络的可管理和可运营。OSPF、ISIS等内部网关协议是在一个自治网络内网关（主机和路由器）间交换路由信息的协议用于提供同一个自治系统内的路由。外部网关协议（EGP）为两个相邻的位于各自域边界上的路由器提供一种交换消息和信息的方法。为两个位于它们各自域边界的相邻路由器交换信息和消息。1.2.4安全管理技术网络的安全管理技术可以通过配置访问控制列表，只允许特定主机网段对网络设备进行管理。传统的Telnet是明文传输信息，而使用SSH（Secure Shell）可以把所有传输的数据进行加密，这样“中间人”这种攻击方式就不可能实现了， 而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。访问控制列表加上SSH保证的网络的安全管理。1.2.5 P2P技术P2P是英文Peer-to-Peer（对等）的简称，又被称为“点对点”。“对等”技术，是一种网络新技术，依赖网络中参与者的计算能力和带宽，而不是把依赖都聚集在较少的几台服务器上。P2P还是英文Point to Point （点对点）的简称。它是下载术语，意思是在你自己下载的同时，自己的电脑还要继续做主机上传，这种下载方式，人越多速度越快。当前P2P技术占用了大量因特网带宽，但只要加以控制P2P可以为人们带来很大的方便并且不影响带宽的占用。1.2.6 双网卡技术由于服务器连接在两台核心交换机，所以需要使用又网卡技术，通过软或者硬件设置将两块或者多块网卡绑定在同一个IP地址上，使用起来就好象在使用一块网卡。使用双网可以增大带宽，可以分担负载，双网卡被绑定成“一块网卡”之后，同步一起工作，提高了抗并发访问的能力，保证了服务器访问的稳定和畅快，提供了冗余功能。1.3 网络优化要解决的主要内容在网络中配置DHCP服务器解决地址静态配置容易引发地址冲突的问题。在网络中应用QOS保证WEB流量可靠性，同时在保证web流量的前题下，解决P2P流量对带宽的占用的问题，从而提高学生的网络上网速度。这次网络优化还要解决北华航天工业学院校园和宿舍网分散的问题，使在学生宿舍内不通过因特网直接访问北华航天工业学院的网站。第2章 北华航天工业学院网络需求分析QOS、安全性、可靠性、可运营和可管理已经成为当今网络面临的主要问题，另外P2P流量又成为了当今带宽的主要消耗者，现在有百分之六十的因特网带宽被P2P消耗。而且当今的因特网已经成为病毒泛滥、攻击频繁的网络。因此要解决网络的安全问题，使网络可靠运行就必须解决以上几个问题。2.1 北华航天工业学院网络存在的问题北华航天工业学院的校园网和学生宿舍网是两个独立的网络，学生宿舍访问校园网络要经过Internet浪费宝贵的Internet的带宽。北华航天工业学院目前的核心网络存在单点故障，一旦核心交换机出现问题，将造成整个网络的瘫痪。北华航天工业学院的网络目前也大存在着带宽被大量P2P占用的问题，网络结构分散存在不安全因素，不能很好的应对上网高峰的流量。北华航天工业学院的主要上网对像是学生，做为学生这个特殊的团体上网获取的信息有着很大的相似性，学生访问的网页有很多是相同的，而每一个学生访问一次这样的信息就需要重新访问一次因特网下载重复的东西，浪费了宝贵的带宽。北华航天工业学院目前的大部分终端为手工配置IP地址的方式，容易造成地址冲突，给学生正常的学习带来不便。2.2 网络优化方案要实现的目标本次网络优化针对北华航天工业学院的网络进行统一安全的管理，绕过因特网直接访问学校网站，通过保证WEB流量的QOS从而限制P2P对外网带宽的占用，通过安装冗余设备实现网络的可靠性，通过动态获取地址保证减少终端设备的冲突，通过IC服务器实现网络合法用户的安全接入，实现只有相应权限的人才能访问相应的资源。第3章 网络核心层的设计3.1 核心设计总体分析北华航天工业学院的网络中采用CISCO 3662路由器连接Internet和教育网两个网络，通过外部BGP协议将教育网和Internet的路由重分布到路由器中。核心交换机采用两台6509做负载分担,核心交换机和和核心路由器通过BGP交换路由表。WEB、MAIL、DNS、DHCP等服务器全部直接接在6509交换机上。网络核心采用两台Juniper SSG520防火墙作主备，当主防火墙出现故障时全部业务可以切换到备用防火墙保证业务的不间断性。防火墙上划分二层接口并绑定成组，在组上划分子接口，在接口上打上标签用来转发信息。采用Juniper 的IC4500做为接入认证服务器并且IC4500与SSG520进行联动，当合法用户正确完成认证时可以按照相应的权限对网络进行访问，当客户终端不能正确进行账号认证时防火墙将禁止其接入网络。3.2 防火墙的设计3.2.1 NETSCREEN NSRP保证防火墙冗余的实现NSRP（NetScreen Redundant Protocol）是Juniper公司基于VRRP协议规范自行开发的设备冗余协议。防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，为满足客户不间断业务访问需求，要求防火墙设备必须具备高可靠性，能够在设备、链路及互连设备出现故障的情况下，提供网络访问路径无缝切换。NSRP冗余协议提供复杂网络环境下的冗余路径保护机制。一、NSRP主要功能有：（1）在高可用群组成员之间同步配置信息。（2）提供活动会话同步功能，以保证发生路径切换情况下不会中断网络连接。（3）采用高效的故障切换算法，能够在短短几秒内迅速完成故障检测和状态切换。二、.NSRP集群两种工作模式： （1）Active/Passive模式：通过对一个冗余集群中的两台安全设备进行电缆连接和配置，使其中一台设备作为主用设备，另一台作为备用设备。主用设备负责处理所有网络信息流，备用设备处于在线备份状态。主设备将其网络和配置命令及当前会话信息传播到备用设备，备用设备始终保持与主用设备配置信息和会话连接信息的同步，并跟踪主用设备状态，一旦主设备出现故障，备份设备将在极短时间内晋升为主设备并接管信息流处理。 （2）Active/Active模式：在NSRP中创建两个虚拟安全设备 (VSD) 组，每个组都具有自己的虚拟安全接口(VSI)，通过VSI接口与网络进行通信。设备A充当VSD组1的主设备和VSD 组2的备份设备。设备B充当VSD组2的主设备和VSD组1的备份设备。Active/Active模式中两台防火墙同时进行信息流的处理并彼此互为备份。在双主动模式中不存在任何单一故障点。如下图所示，通过调整防火墙上下行路由/交换设备到网络的路由指向，HostA通过左侧路径访问ServerA，HostB通过右侧路径访问ServerB，网络中任一设备或链路出现故障时，NSRP集群均能够做出正确的路径切换。 三、NSRP集群技术优势主要体现于： （1）消除防火墙及前后端设备单点故障，提供网络高可靠性。即使在骨干网络中两类核心设备同时出现故障，也能够保证业务安全可靠运行。 （2）根据客户网络环境和业务可靠性需要，提供灵活多样的可靠组网方式。NSRP双机集群能够提供1、Active-Passive模式Layer2/3多虚拟路由器多虚拟系统和口型/交叉型组网方式；2、Active-Active模式Layer2/3多虚拟路由器多虚拟系统和口型/Fullmesh交叉型组网方式。为用户提供灵活的组网选择。 （3）NSRP双机结构便于网络维护管理，通过将流量在双机间的灵活切换，在防火墙软件升级、前后端网络结构优化改造及故障排查时，双机结构均能够保证业务的不间断运行。（4）结合Netscreen虚拟系统和虚拟路由器技术，部署一对NSRP集群防火墙，可以为企业更多的应用提供灵活可靠的安全防护，减少企业防火墙部署数量和维护成本。 四、NSRP典型结构与配置 （1）Layer3口型A/P组网模式 Layer3 口型A/P组网模式是当前很多企业广泛采用的HA模式，该模式具有对网络环境要求不高，无需网络结构做较大调整，具有较好冗余性、便于管理维护等优点。缺点是Netscreen防火墙利用率不高，同一时间只有一台防火墙处理网络流量；冗余程度有限，仅在一侧链路和设备出现故障时提供冗余切换。Layer3 口型组网A/P模式具有较强冗余性、低端口成本和网络结构简单、便于维护管理等角度考虑，成为很多企业选用该组网模式的标准。配置说明：两台Netscreen设备采用相同硬件型号和软件版本，组成Active/Passive冗余模式，两台防火墙均使用一致的Ethernet接口编号连接到网络。通过双HA端口或将2Ethernet接口放入HA区段，其中控制链路用于NSRP心跳信息、配置信息和Session会话同步，数据链路用于在两防火墙间必要时传输数据流量。 （2）Layer3 Fullmesh A/P组网模式 Layer3 Fullmesh连接A/P组网使用全交叉网络连接模式，容许在同一设备上提供链路级冗余，发生链路故障时，由备用链路接管网络流量，防火墙间无需进行状态切换。仅在上行或下行两条链路同时发生故障情况下，防火墙才会进行状态切换，Fullmesh连接进一步提高了业务的可靠性。该组网模式在提供设备冗余的同时提供链路级冗余，成为很多企业部署关键业务时的最佳选择。 （2）Layer3 Fullmesh连接A/A组网模式 Layer3 Fullmesh连接A/A结构提供了一种更为灵活的组网方式，在保证网络高可靠性的同时提升了网络的可用性。A/A结构中两台防火墙同时作为主用设备并提供互为在线备份，各自独立处理信息流量并共享连接会话信息。一旦发生设备故障另一台设备将负责处理所有进出网络流量。Fullmesh连接A/A组网模式对网络环境要求较高，要求网络维护人员具备较强技术能力，防火墙发生故障时，接管设备受单台设备容量限制，可能会导致会话连接信息丢失，采用A/A模式组网时，建议每台防火墙负责处理的会话连接数量不超过单台设备容量的50，以确保故障切换时不会丢失会话连接。 3.2.2防火墙安全区域在单个安全设备上可以配置多个安全区段，将网络化分成多段，可对这些网段应用各种安全选项以满足各段的需要。必须最少定义两个安全区段，以便在网络的不同区段间分开提供基本的将的保护。在某些安全平台上，可以定义多个安全区段，使网络安全设计具有更高的精确度，而且这样做无需配置多个安全设备。Juniper Networks防火墙用于保护网络的安全，具体做法是先检查要求从一个安全区段到另一区段的通路的所有连接尝试，然后予以允许或拒绝。对于每个区段和MGT区段，可启用一组预定义的SCREEN选项，检测并阻塞安全设备将其确定为具有潜在危害的各种信息流。在北华航天工业学院的网络优化中将网络划分为三个区域，其中服务器位于DMZ区域，学校的机房和办公室以及图书馆等位于trust区域，学生宿舍为student区域。Internet为Untrust区域。3.2.3防火墙的接口划分信息流可以通过物理接口和子接口进出安全区段。为了使网络信息流能流入和流出安全区段，必须将一个接口绑定到该区段，如果它是第3层区段，给它分配一个IP地址。然后必须配置允许信息流在区段之间从接口传递到接口和策略。可将多个接口指派给一个区段，但是不能将单个接口分配给多个区段。接口能以网络地址转换（NAT）、路由和透明有三种不同的模式运行。如果绑定到第3层区段的接口具有IP地址，刚可为该接口定义NAT或路由操作模式。绑定到第2层区段（如预定义的V1-trust、V1-Untrstd、V1-DMZ或用户定义的第2层区段）的接口必须为透明模式。在配置接口时选择操作模式。尽管可以将绑定到任意第3层区段的接口定义为NAT，但是安全设备只将对通过该接口传递到Untrust区段的信息流执行NAT。对于通往Untrust区段之外的其它任意区段的信息流，ScreenOS不执行NAT。接口处于透明模式时，安全设备将过滤通过防火墙的封包，而不会修改IP封包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分，而安全设备的作用更像是第2层交换机或桥接器。在“透明”模式下，接口 IP地址被设置为，使得安全设备对于用户来说是透明（不可见）的。入口接口处于NAT模式下时，安全设备的作用与第3层交换机或（路由器）相似，将通往Untrust区段的外网IP封包包头中的两个组件进行转换。安全设备用Untrust区段的IP地址替换始发端主机的源IP地址。接口为路由模式时，安全设备在不同区段间转发信息流时IP封包包头中的源地址和端口号保持不变。与透明模式不同，每个区段内的接口都在不同的子网中。某些安全设备支持聚合接口。聚合接口中是两个或多个物理接口的聚集，这些物理接口平均分担流向聚合接口中IP地址的信息流负载。通过使用聚合接口，可以增加单个IP地址可用的总带宽。同时如果聚合接口的一个成员失败，其它成员可以继续物理信息流。子接口与物理接口相似，充当信息流进出安全区段的入口。逻辑上，可将物理接口分成几个虚拟子接口。每个虚拟子接口都从自己来源的物理接口借用所需的带宽，因此其名称是物理接口名称的扩展，例如,Ethernet3/2.1。可以将子接口绑定到任何第3层区段。还可将子接口绑定到物理接口所在的同一区段，或将其绑定到不同区段。这次优化设计在NCIAE-SSG520上设置聚合端口，然后在在聚合端口上设置子接口，用来作服务器和重要区域的网关地址。3.2.4 防火墙策略的设置安全设备的缺省行为是拒绝安全区段之间的所有信息流（区段之间信息流），并允许选定的区段之间的信息流通过安全设备，必须创建覆盖缺省行为的区段之间的策略。同样，为了防止选定的区段内部信息流通过安全设备，必须创建区段内部策略。区段之间策略提供对安全区段内部信息流的控制。可通过设置区段之间策略来拒绝、允许、丢弃从一个区段到另一个区段的信息流或对信息流执行通道动作。区段内部策略提供对绑定到同一安全区段的接口间信息流的控制。源地址和目的地址都在同一安全区段中，但是通过安全设备上的不同接口到达。与区段之间策略一样，区段内部策略也控制信息流单身流动。要允许从数据路径一端发起的信息流必须创建两个策略，每个方向一个策略。与区段之间和区段内部策略不同，全局策略不引用特定的源和上的区段。全局策略引用用户定义的Global区段地址或预定义的Global区段地址“any”。这些地址可以跨越多个安全区段。例如，如果发提供对多个区段的访问或从多个区段进行访问，则可以创建具有Global区段地址”any”的全局策略，它包含所有区段中的所有地址。防火墙提供具有单个进入或退出点的网线和边界。由于所有信息流都必须通过此点，因此可以筛选并引导通过执行策略组列表产生的信息流。地址是通过相对于防火墙的位置识别网络设备（如主机和网络）的对像。要为特定地址创建策略必须首先在地址簿中创建相关主机和网络的条目。也可以创建地址组，并将策略应用到地址组。服务是使用第4层信息（如应用程序服务Telnet、FTP、SMTP和HTTP的标准和公认的TCP和UDP端口号）识别应用程序协议的对像。可以定义策略，指定允许、拒绝、加密、记录或统计哪些服务。3.2.5应用信息流整形技术限制P2P的外网流量信息流整形是指为接口上的每一们用户和应用程序分配适当的网络带宽数量。适当的信息流整形是指在保证服务质量（QOS）的前提下具有成本效益的载流容量。通过创建策略并将适当的速率在控制应用到流经设备的每一类信息流，可以使用安全设备对信息进行整形。要将信息流分类可创建和指定每类信息流的保障带宽数量、最大带宽及优先级等内容的策略。保障带宽和最大带宽并不是严格基于策略的。如果出口区段中存在多个物理接口，刚带宽同时基于策略和可用的总出口物理接口带宽。每一接口的物理带宽都分配给所有信息流整形策略的保障带宽参数。如果带宽剩余，可由其它信息流共享。通过Juniper Networks安全设备上的信息流整形功能，可对未分配给保障带宽的或未使用的保障带宽执行优先级排队。优先级排队功能允许所有用户和应用程序在需要时都能访问可用带宽，同时又确保重要信息流可以通过，必要以牺牲重要信息流的带宽为代价。策略的优先级设置意味着未分配给其它策略的带宽基于高优先级在前和低优先级在后的原则进行了排列。具有相同优先级设置的策略将以轮询方式带宽。安全设备首先处理具有较高优先级策略的所有信息流，网络优化后学生宿舍和校园网将形成一个很大的网络，这对P2P来说有了丰富的P2P资源可以下载。在核心设备上通过保证web、dns、mail等的可用带宽从而达到限制 P2P的上传和下载流量，提高网络的快速访问。把P2P的大部分流量限制在内网。3.2.6添加DHCP中继服务充当DHCP中继代理时，安全设备负责在直接连接到一个接口DHCP客户端和通过另一个接口可访问的一个或多个DHCP服务器之间转发DHCP请求和分配信息。客户端和服务器可能位于同一安全区段或不同的安全区段内。当安全设备用作DHCP中继代理时，其接口必须处于路由模式或充当第3层设备。3.2.7防火墙与Infranet联动进行接入认证在统一访问控制部署中，安全设备使用Infranet控制器进行操作，以强制执行策略。Infranet执行器部署在需要保护的服务器和资源的前端。安全设备和Infranet控制器协同工作，以提供精确的端点安全性的防火墙服务，从而允许合格的最终用户访问受保护的资源。3.2.8防火墙对IPV6的支持目前IPV4面对着就要被分配完的状态因些寻找新的寻址方式对网络的可扩展性来说是非常重要的。由于IPV6使用的寻址方式和模式与IPV4不同，IPV6允许连接的主机数远远多于IPV4。IPV6为IPV4设备和IPV6设备之间提供了互操作性。通常可以在不损失IPV4功能的情况下在安全设备上安装IPV6，这样组织可以进行逐步升级，从而避免从IPV4迁移到IPV6期间发生服务中断。3.3 核心交换机的设计二层交换机用于小型的局域网络，在小型局域网中，广播包影响不大，二层交换机的快速交换功能、多个接入端口和低谦价格为小型网络用户提供了很完善的解决方案。当网络规模比较大的时候使用二层交换机就会造成广播风暴。路由器的优点在于接口类型丰富，支持的三层功能强大，路由能力强大，适合用于大型的网络间的路由，它的优势在于选择最佳路由，负荷分担，链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。 三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，加入路由功能也是为这个目的服务的。如果把大型网络按照部门，地域等等因素划分成一个个小局域网，这将导致大量的网际互访，单纯的使用二层交换机不能实现网际互访；如单纯的使用路由器，由于接口数量有限和路由转发速度慢，将限制网络的速度和网络规模，采用具有路由功能的快速转发的三层交换机就成为首选。 3.3.1 BGP协议保证交换机可以到达Internet和Cernet教育网BGP(Border Gateway Protocol)是一种在自治系统之间动态交换路由信息的路由协议。一个自治系统是指在一个管理机构控制之下的一组路由网络设备器，它使用IGP和普通度量值向其他自治系统转发报文。 在BGP中使用自治系统这个术语是为了强调这样一个事实：一个自治系统的管理对于其他自治系统而言是提供一个统一的内部选路计划，它为那些通过它可以到达的网络提供了一个一致的描述。 BGP,边界网关协议，是自主网络系统中网关之间交换器路由信息的协议。边界网关协议常常应用于互联网的网关之间。路由表包含已知路由器的列表、路由器能够达到的地址以及到达每个路由器的路径的跳数。使用边界网关协议的主机一般也使用传输控制协议（TCP）。当网络检测到某台主机发出变化时，就会发送新的路由表。BGP-4，边界网关协议的最新版本，允许网络管理员在策略描述下配置跳数的规格。核心交换机与核心路由器通过BGP建立邻居关系，将Cernet和因特网的路由重分布到核心交换机的OSPF路由协议中。3.3.2HSRP协议保证冗余随着Internet的日益普及，人们对网络的依赖性也越来越强。这同时对网络的稳定性提出了更高的要求，人们自然想到了基于设备的备份结构，就像在服务器中为提高数据的安全性而采用双硬盘结构一样。路由器是整个网络的核心和心脏，如果路由器发生致命性的故障，将导致本地网络的瘫痪，如果是骨干路由器，影响的范围将更大，所造成的损失也是难以估计的。因此，对路由器采用热备份是提高网络可靠性的必然选择。在一个路由器完全不能工作的情况下，它的全部功能便被系统中的另一个备份路由器完全接管，直至出现问题的路由器恢复正常，这就是热备份路由协议（HotStandbyRouterProtocal），技术要解决的问题。 实现HSRP的条件是系统中有多台路由器，它们组成一个“热备份组”，这个组形成一个虚拟路由器。在任一时刻，一个组内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将选择一个备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了路由器切换的问题。为了减少网络的数据流量，在设置完活动路由器和备份路由器之后，只有活动路由器和备份路由器定时发送HSRP报文。如果活动路由器失效，备份路由器将接管成为活动路由器。如果备份路由器失效或者变成了活跃路由器，将由另外的路由器被选为备份路由器。 负责转发数据包的路由器称之为主动路由器（Active Router）。一旦主动路由器出现故障，HSRP 将激活备份路由器（Standby Routers）取代主动路由器。HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器（Standby Routers）承接主动路由器的所有任务，并且不会导致主机连通中断现象。3.3.3 VLAN技术VLAN（Virtual Local Area Network，虚拟局域网）技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LANVLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内。使用VLAN技术可以限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机， 在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。使用VLAN技术可以增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。通过使用VLAN技术将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。同时借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境 ，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管 理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。在两台6509核心交换机上设置二层高速交换端口，保证数据的快速转发，使防火墙作为内网终端的网关。3.4 核心路由器的设计核心路由器连接到因特网和教育网两个网络，因此需要在两个不同的网络甚至是自治系统之间做出路由选择，内部路由协议很难完成这样的功能，所以只能用外部路由协议EBGP获取教育网和因特网庞大的路由表。3.4.1EBGP保证在教育网和Cernet之间精确转发数据流核心路由器采用CISCO的3662路由器，在该路由器上利用EBGP和因特网以及教育网的边缘路由器建立邻居，学习到教育网和因特网的路由，然后在通过EBGP传递到核心三层交换机上。核心交换机通过OSPF将BGP路由生重分布到OSPF中。由于北华航天工业学院校园网要接入教育网Cernet和Internet两个网络，所以如何在这两个网络之间进行路由的发现，以及如何在这两个网络之间进行正确的选路变的非常重要。用一条默认静态路由以及任何内部网关协议都不能解决在教育网和因特网进行选路以及进行路由重分布的问题。利用BGP多线接入技术就能很好解决上述问题，例如BGP双线，使用BGP技术配合教育网和因特网，彻底解决了在校园网与因特网和教育网精确转发数据流比较困难的问题。3.4.2路由控制技术保证核心路由器和交换机之间负载均衡核心路由器与每个核心交换机建立内部BGP邻居，通过路由控制技术把教育网的路由宣告到NCIAE-6509B的路由表中，把因特网的汇总路由宣告到6509A的路由表中。第4章 分布层和接入层设计4.1 分布层交换机设计分布层交换机采用CISCO 的3560的48口交换机，其优点是交换速度快，端口密集度大，可以完成联接数量众多的接入层CISCO2950交换机的汇聚工作。4.1.1 VRRP协议保证分布层的冗余虚拟路由器冗余协议（VRRP：Virtual Router Redundancy Protocol）是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中的一台。控制虚拟路由器IP地址的VRRP 路由器称为主路由器，它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送。 使用VRRP，可以通过手动或DHCP设定一个虚拟IP地址作为默认路由器。虚拟 IP 地址在路由器间共享，其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用，这个虚拟 IP 地址就会映射到一个备份路由器的 IP 地址（这个备份路由器就成为了主路由器）。VRRP也可用于负载均衡。VRRP协议的工作机理与CISCO公司的HSRP（Hot Standby Routing Protocol）有许多相似之处。但二者主要的区别是在CISCO的HSRP中，需要单独配置一个IP地址作为虚拟路由器对外体现的地址，这个地址不能是组中任何一个成员的接口地址。4.1.2 以太网链路聚合技术增加带宽根据STP原理，在交换机间可以有多条链接，但是只有一个连接可以使用，其余连接都不起作用，从链路使用的角度来看效率太低了。现在，因为网络设备可以变得更加可靠，一般情况下主链路不会失败，后备链路用不上。为使用第二条链路以及提高网络性能，许多厂商使用了一种名为trunk，C