【正文】 租用電信 E1 線路來(lái)實(shí)現(xiàn)局域網(wǎng)的連接，并采用 PPP 封裝， CHAP[10]進(jìn)行安全驗(yàn)證。是使用特征匹配的方式來(lái)搜索數(shù)據(jù)包的，當(dāng)一個(gè)數(shù)據(jù)包到達(dá)的時(shí)候，通過(guò)一定的策略，從這個(gè)數(shù)據(jù)包里提出幾個(gè)特征值來(lái)，與已有的特征庫(kù)比較。深信服 IPSec VPN 可為您提供一種高性價(jià)比的異地機(jī)構(gòu)組網(wǎng)方案，使用普通的互聯(lián)網(wǎng)連接即可實(shí)現(xiàn)安全、快速、便利的組網(wǎng)，在降低網(wǎng)絡(luò)成本的同時(shí)大大提高異地機(jī)構(gòu)協(xié)同辦公效率。任何安裝瀏覽器的機(jī)器都可以使用 SSL VPN， 這是因?yàn)?SSL 內(nèi)嵌在瀏覽器中。原因很簡(jiǎn)單， NAT 不僅完美地解決了 lP 地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī) 。 (4)管控外發(fā)信息，降低泄密風(fēng)險(xiǎn)。 5 網(wǎng)絡(luò)解決方案 OSPF 組網(wǎng)實(shí)現(xiàn) 該企業(yè)網(wǎng)絡(luò)的骨干部分采用 OSPF 動(dòng)態(tài)路由協(xié)議組網(wǎng)，采用骨干區(qū)域 (area 0)和一個(gè)非骨干區(qū)域 (area 10)來(lái)實(shí)現(xiàn)，如圖 10 所示： 通過(guò)在這些網(wǎng)絡(luò)設(shè)備上運(yùn)行 OSPF 協(xié)議，來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備之間 的 路由的學(xué)習(xí)，同時(shí)能保證網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化時(shí)，路由設(shè)備能夠動(dòng)態(tài)的獲悉變更的信息，實(shí)現(xiàn)路由動(dòng)態(tài)的收斂。我們通過(guò)采用 PPP 捆綁技術(shù)來(lái)實(shí)現(xiàn)帶寬的提升，數(shù)據(jù)的負(fù)載均衡和鏈路之間的冗余備份。具體的步驟如下： （ 1） 根據(jù)設(shè)備性能和需求，指定根網(wǎng)橋和備份根網(wǎng)橋。 （ 4） 配置端口跟蹤（可選）。 （ 2） 配置虛擬 IP，配置搶占模式。 26 舉例： GZC2900ABR 設(shè)備上的廣域網(wǎng)配置命令： GZC2900ABR(config)username DGC2900JR password cisco GZC2900ABR(config)interface multilink 1 GZC2900ABR(configif)ip address GZC2900ABR(configif)ppp multilink GZC2900ABR(configif)ppp multilink group 1 GZC2900ABR(configif)ppp authentication chap GZC2900ABR(configif)ppp chap hostname GZC2900ABR GZC2900ABR(configif)no sh GZC2900ABR(config)interface s0/0 GZC2900ABR(configif)clock rate 2021000 GZC2900ABR(configif)bandwidth 2021 GZC2900ABR(configif)no ip address GZC2900ABR(configif)encapsulation ppp GZC2900ABR(configif)ppp multilink group 1 GZC2900ABR(config)interface s0/1 GZC2900ABR(configif)clock rate 2021000 GZC2900ABR(configif)bandwidth 2021 GZC2900ABR(configif)no ip address GZC2900ABR(configif)encapsulation ppp GZC2900ABR(configif)ppp multilink group 1 總公司核心交換機(jī) 總公司核心層采用兩臺(tái)三層交換機(jī)相互冗余備份，采用 STP 和 HSRP[14]協(xié)議避免二層鏈路環(huán)路和路由熱備份，如圖 12 所示： 圖 12 廣州總部拓?fù)? Guangzhou topology 27 配置 STP 在實(shí)現(xiàn)鏈路的冗余備份后，網(wǎng)絡(luò)的拓?fù)涑霈F(xiàn)環(huán)狀結(jié)構(gòu)，這樣的結(jié)果會(huì)導(dǎo)致廣播風(fēng)暴的產(chǎn)生，而廣播風(fēng)暴會(huì)使數(shù)據(jù)幀反復(fù)不停的在設(shè)備之間周轉(zhuǎn)，消耗設(shè)備大量的系統(tǒng)資源，造成交換機(jī) MAC 地址表的不穩(wěn)定，同時(shí)可能會(huì)使用戶進(jìn)程收到同一個(gè)幀的對(duì)個(gè)副本，可能會(huì)導(dǎo)致一些進(jìn)程無(wú)法正確處理。 舉例：核心層 GZC3750A 設(shè)備上的 OSPF 配置命令： GZC3750A(config)router ospf 1 GZC3750A(configrouter)routerid GZC3750A(configrouter)work area 0 GZC3750A(configrouter)work area 0 GZC3750A(configrouter)work area 0 24 GZC3750A(configrouter)work area 0 GZC3750A(configrouter)work area 0 GZC3750A(configrouter)work area 0 GZC3750A(configrouter)work area 0 圖 10 OSPF 組網(wǎng)拓?fù)? ospf work topology GZC3750A(configrouter)work area 0 GZC3750A(configrouter)passiveinterface f0/0 GZC3750A(configrouter)passiveinterface f1/2 GZC3750A(configrouter)passiveinterface vlan20 GZC3750A(configrouter)passiveinterface vlan21 GZC3750A(configrouter)passiveinterface vlan23 GZC3750A(configrouter)passiveinterface vlan30 25 GZC3750A(configrouter)defaultinformation originate metric 1000 metrictype 1 廣域網(wǎng)配置 廣域網(wǎng)部分主要是東莞分部通過(guò)廣域網(wǎng)連接廣州總部，用到的主要協(xié)議為PPP[13]。 達(dá)到負(fù)載均衡的目的。 (3)記錄上網(wǎng)軌跡滿足法規(guī)要求。深信服 SSL VPN 提供完整的關(guān)鍵業(yè)務(wù)信息系統(tǒng)安全加固方案，提供完整的身份認(rèn)證機(jī)制及訪問(wèn)過(guò)程保護(hù)，并具有專利技術(shù)主從帳號(hào)綁定指定用戶的應(yīng)用訪問(wèn)帳號(hào)，杜絕帳號(hào)冒用及越權(quán)訪問(wèn)。在有線無(wú)法覆蓋的區(qū)域， 3G 網(wǎng)絡(luò)作為主線路，通過(guò) 3G VPN 實(shí)現(xiàn) VPN 互聯(lián)。通過(guò) VPN 技術(shù)我們可以實(shí)現(xiàn)： (1)異地機(jī)構(gòu)遠(yuǎn)程互聯(lián)。 (2)流緩存技術(shù)。 HSRP 網(wǎng)關(guān)熱備份 HSRP 是一種非常流行的默認(rèn)網(wǎng)關(guān)冗余協(xié)議，被廣泛用于 Cisco 多層交換網(wǎng)絡(luò)中，它通過(guò)在冗余網(wǎng)關(guān)之間共享協(xié)議和 MAC 地址，提供不間斷的 IP 路徑冗余。 作為一種鏈路狀態(tài)的路由協(xié)議， OSPF 將鏈路狀態(tài)廣播數(shù)據(jù)包 LSA， 傳送給在某一區(qū)域內(nèi)的所有路由器，這一點(diǎn)與距離矢量路由協(xié)議不同。例如， ACL 允許主機(jī) A 訪問(wèn)人力資源網(wǎng)絡(luò)，而拒絕主機(jī) B 訪問(wèn)。 訪問(wèn)控制列表（ Access Control List， ACL） 是路由器和交換機(jī)接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。 每個(gè)非根網(wǎng)橋選擇一個(gè)到達(dá)根網(wǎng)橋管理開(kāi)銷(xiāo)最少的端口作為根端口，根端口處于轉(zhuǎn)發(fā)狀態(tài)。 STP 技術(shù) STP 的基本定義：即 Spanningtree protocol ，是交換機(jī)通過(guò)某種特定算法來(lái)邏輯地阻塞物理冗余網(wǎng)絡(luò)中某些接口，以達(dá)到避免數(shù)據(jù)轉(zhuǎn)發(fā)循環(huán)，生成無(wú)環(huán)拓?fù)涞囊环N二層協(xié)議。一個(gè)VLAN 組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。 業(yè)務(wù)功能代碼表，如表 3示： 表 3 功能代碼表 Table 3 Function code table 業(yè)務(wù)功能位代碼 業(yè)務(wù) 備注 0 三層設(shè)備 loopback地址 loopback 12 鏈路地址 鏈路 3 二層交換機(jī)網(wǎng)管 網(wǎng)管 4 研發(fā)業(yè)務(wù) 業(yè)務(wù) 5 辦公業(yè)務(wù) 辦公 67保留 該工程整體 IP地址規(guī)劃，如表 4所示： 表 4 IP地址分配表 Table 4 IP address allocation table 設(shè)備 接口 IP 對(duì)端設(shè)備 對(duì)端接口 對(duì)端 IP 3750A Loopback0 3750A VLAN20 3750A VLAN21 續(xù)表 1 15 設(shè)備 接口 IP 對(duì)端設(shè)備 對(duì)端接口 對(duì)端 IP 3750A VLAN23 3750A VLAN30 3750A VLAN800 3750A F0/0 3750A VLAN 23 3750A F2/0 GZHJ VLAN30 500YF VLAN30 500YW VLAN30 Sangfor AC 3750B Loopback0 3750B VLAN20 3750B VLAN21 3750B VLAN23 3750B VLAN30 3750B VLAN24 3750B VLAN24 3750B F1/0 3750B F2/0 ABR Loopback0 ABR MUL0/0 DGJR F1/ DGJR F1/ Sangfor AC 東莞二層交換機(jī) WOC WOC WOC Sangfor AC 續(xù)表 2 16 設(shè)備 接口 IP 對(duì)端設(shè)備 對(duì)端接口 對(duì)端 IP 深圳二層交換機(jī) DGJR Loopback0 DGJR VLAN30 DGJR F1/ VLAN 的劃分 VLAN[6]（ Virtual Local Area Network）的中文名為 虛擬局域網(wǎng) 。 二合一負(fù)載均衡：深信服 AD 系列產(chǎn)品一方面提供鏈路負(fù)載均衡，保證網(wǎng)絡(luò)穩(wěn)定與可用性、解決跨運(yùn)營(yíng)商問(wèn)題，另一方面提供服務(wù)器負(fù)載均衡，避免服務(wù)器任務(wù)分擔(dān)不均衡、提升服務(wù)器利用率，實(shí)現(xiàn)一臺(tái)設(shè)備提供兩方面負(fù)載均衡方案。 目前， NGAF 的應(yīng)用可視化引擎不但可以識(shí)別 724 多種的應(yīng)用及其應(yīng)用動(dòng)作，還可以與多種認(rèn)證系統(tǒng)（ AD、 LDAP、 Radius 等）、應(yīng)用系統(tǒng)（ POP SMTP 等）無(wú)縫對(duì)接，自動(dòng)識(shí)別出網(wǎng)絡(luò)當(dāng)中 IP 地址對(duì)應(yīng)的用戶信息，并建立組織的用戶分組結(jié)構(gòu)；既滿足了普通互聯(lián)網(wǎng)邊界行為管控的要求，同時(shí)還滿足了在內(nèi)網(wǎng)數(shù)據(jù)中心和廣域網(wǎng)邊界的部署要求，可以識(shí)別和控制豐富的內(nèi)網(wǎng)應(yīng)用， 圖 6 深信服下一代防火墻 Sangrfor NGAF SANGFOR SSL 作為國(guó)家 SSL VPN 標(biāo)準(zhǔn)的核心制定者之一，深信服 SSL VPN 產(chǎn)品擁有業(yè)界最多的專利技術(shù)，是國(guó)內(nèi)應(yīng)用最廣泛、最完善的 SSL 遠(yuǎn)程訪問(wèn)解決方案。所有 Cisco 2900 系列集成多業(yè)務(wù)路由器均提供嵌入式硬件加密加速、支持語(yǔ)音和視頻的數(shù)字信號(hào)處理器 (DSP) 插槽、可選防火墻、入侵預(yù)防、呼叫處理、語(yǔ)音信箱以及應(yīng)用程序服務(wù)。 深圳分部 廣州總部 東莞分部 8 為了選擇具有高性價(jià)比、滿足業(yè)務(wù)需求的設(shè)備，在進(jìn)行網(wǎng)絡(luò)設(shè)備選型之前，了解設(shè)備選型的基本原則是必要也是必須的。 匯聚層起著承上啟下的作用，負(fù)責(zé)對(duì)各種接入的匯聚，通常為接入層與骨干層實(shí) 現(xiàn)基于策略的網(wǎng)絡(luò)間連接。在充分滿足企業(yè)的需求前提下，應(yīng)充分考慮到企業(yè)的經(jīng)濟(jì)承受能力，根據(jù)性能價(jià)格比原則，盡量花最少的錢(qián)，獲得最大的實(shí)際應(yīng)用。 第四，采用劃 分 VLAN 的方式來(lái)實(shí)現(xiàn)二層數(shù)據(jù)的隔離，以達(dá)到部門(mén)之間通信的訪問(wèn)隔離目的。 (4)采用 Cisc