【文章內(nèi)容簡介】 的配置方法。使用EIGRP協(xié)議只需使用router eigrp命令在路由器上啟動(dòng)EIGRP 路由進(jìn)程，然后再使用network 命令使能網(wǎng)絡(luò)范圍內(nèi)的接口即可。OSPF和EIGRP的比較參數(shù)環(huán)路收斂速度帶寬占用安全性鏈路負(fù)載擴(kuò)展性維護(hù)難度OSPF無環(huán)快少M(fèi)D5中中高EIGRP無環(huán)較快較少M(fèi)D5高高低綜合考慮到產(chǎn)品對OSPF和EIGRP的支持的成熟性以及OSPF和EIGRP工程經(jīng)驗(yàn)，建議采用EIGRP作為網(wǎng)絡(luò)的主用動(dòng)態(tài)路由協(xié)議。 QoS服務(wù)質(zhì)量保障 QOS介紹服務(wù)質(zhì)量(QoS)是指為某種選定的網(wǎng)絡(luò)流量提供更好服務(wù)的能力。QoS的主要目標(biāo)包括專用帶寬、可控的抖動(dòng)和時(shí)延(某些實(shí)時(shí)和交互式流量的需要)，以及改進(jìn)了的信息丟失特性。概括而言，QoS基本工作流程是：首先要根據(jù)實(shí)際的需求對進(jìn)入某端口的信息流進(jìn)行分類，同時(shí)看是否需要對其中的某類信息按照一定的規(guī)則加以限制。在這兩步的基礎(chǔ)上，將其放入相應(yīng)的隊(duì)列中，最后，路由器按照某種特定的隊(duì)列調(diào)度技術(shù)對這些隊(duì)列進(jìn)行調(diào)度，從輸出端口上將這些信息發(fā)送出去。因此，QoS的實(shí)現(xiàn)技術(shù)主要包括：信息分類技術(shù)、隊(duì)列處理技術(shù)和擁塞管理技術(shù)。企業(yè)網(wǎng)絡(luò)上將傳輸MES、MES等關(guān)鍵業(yè)務(wù)數(shù)據(jù)以及OA業(yè)務(wù)數(shù)據(jù)，今后還將開展語音、視頻等各種業(yè)務(wù)應(yīng)用。這要求網(wǎng)絡(luò)要有強(qiáng)大的ＱＯＳ 功能，QoS可以讓網(wǎng)絡(luò)管理者控制網(wǎng)絡(luò)帶寬、 延遲、抖動(dòng)和數(shù)據(jù)丟失，從而保證各種業(yè)務(wù)的服務(wù)質(zhì)量。思科路由器、交換機(jī)產(chǎn)品有統(tǒng)一的IOS 軟件，可執(zhí)行統(tǒng)一的QOS策略，提供最完善的端到端QoS解決方案，利用CAR等技術(shù)做流量分類和限速，將語音和視頻流量標(biāo)記出來以區(qū)別對待。借助各種隊(duì)列技術(shù)(WFQ、CBWFQ、LLQ)等保證語音和視頻流的優(yōu)先傳遞。利用WRED等技術(shù)在擁塞點(diǎn)有控制地丟棄不重要的其他數(shù)據(jù)包。這些技術(shù)統(tǒng)一構(gòu)成了一個(gè)完整的IP網(wǎng)QOS解決框架。隊(duì)列處理技術(shù)：QOS技術(shù)的框架：分類――入流量控制――排隊(duì)――出流量控制。 IP優(yōu)先級(jí)： 使用IP包頭的三位來標(biāo)記數(shù)據(jù)包的級(jí)別(最多可獲得6個(gè)級(jí)別)。這個(gè)操作是在邊緣設(shè)備進(jìn)行的，核心設(shè)備處得到加強(qiáng)，在網(wǎng)絡(luò)中， 不同的標(biāo)簽被用來表示不同的優(yōu)先級(jí)。 加權(quán)隨機(jī)早期檢測(WRED)：在擁塞發(fā)生前，進(jìn)行檢測，通過減小數(shù)據(jù)傳送速度防止網(wǎng)絡(luò)擁塞。WRED有選擇的丟掉數(shù)據(jù)包，它會(huì)警告TCP發(fā)送者減緩發(fā)送速度，權(quán)值會(huì)被分配給不同的服務(wù)類別，導(dǎo)致低優(yōu)先級(jí)的數(shù)據(jù)會(huì)比高優(yōu)先級(jí)的數(shù)據(jù)有明顯的延遲。 低延時(shí)分類的加權(quán)公平排隊(duì)(LLQ)：提供在邊緣和核心設(shè)備重新 對數(shù)據(jù)包排序和控制延遲的能力。通過給不同的服務(wù)類別分配不同的權(quán)值，路由器可以對每一個(gè)服務(wù)門類進(jìn)行緩存和帶寬管理。這個(gè)機(jī)制限制了對時(shí)間敏感的數(shù)據(jù)流, 如語音和圖像的時(shí)延。 基于策略的路由：基于策略的路由可以源地址、應(yīng)用類型為依據(jù)進(jìn)行優(yōu)選路由選擇。尤其是對于特殊的流量類型例如：對于語音的傳輸，策略路由可減少路由器hop的數(shù)量和延遲以保證語音高質(zhì)量服務(wù)的要求。 資源預(yù)留協(xié)議（RSVP）：RSVP是Cisco制定單并被標(biāo)準(zhǔn)化組織接受并推廣的一種網(wǎng)絡(luò)協(xié)議。RSVP使網(wǎng)絡(luò)用戶根據(jù)自己對帶寬，時(shí)延的要求動(dòng)態(tài)地申請保留網(wǎng)絡(luò)資源來滿足它們特別的應(yīng)用要求。通過proxyRSVP功能，Cisco路由器可代替最終網(wǎng)絡(luò)節(jié)點(diǎn)用戶的應(yīng)用申請資源。這樣使更多通用應(yīng)用能享使RSVP的優(yōu)點(diǎn)。RSVP對于有實(shí)時(shí)需求的流量（例如：語音和多媒體）動(dòng)態(tài)請求和預(yù)留網(wǎng)絡(luò)資源以保證QoS的需求。通過RSVP代理的方式，Cisco的路由產(chǎn)品利用RSVP基于應(yīng)用請求資源。 QoS設(shè)計(jì)實(shí)現(xiàn)參照QoS的有關(guān)標(biāo)準(zhǔn)RFC2474:Definition of the Differentiated Services FieldRFC2475: An Architecture for Differentiated ServiceRFC2597: Assured Forwarding PHB GroupRFC2698: A Two Rate Three Color MarkerRFC3246: An Expedited Forwarding PHB (PerHop Behavior)RFC3270:MultiProtocol Label Switching (MPLS) Support of Differentiated ServicesRFC4182: Removing a Restriction on the use of MPLS Explicit NULL基于以上的業(yè)務(wù)分析，我們共設(shè)置四個(gè)隊(duì)列：高、中、低、缺省。應(yīng)用L3 分類L2 分類隊(duì)列IP優(yōu)先級(jí)PHB以太網(wǎng)COSMPLS EXP路由信令6CS666Reserved關(guān)鍵業(yè)務(wù)流、語音流、控制流5EF55High普通業(yè)務(wù)流、視頻流4AF4144Medium其它業(yè)務(wù)數(shù)據(jù)3AF3133low網(wǎng)絡(luò)管理2CS222low其它流量1AF1111defaultBE0000default PHB 每一跳行為：步驟 PHB 每一跳行為：機(jī)制多個(gè)隊(duì)列 – 輸出屬性 IP網(wǎng)絡(luò)的QOS可管理性 利用思科的IP SLA技術(shù)實(shí)現(xiàn)對于QoS的全面測量。可定量測量相應(yīng)的延時(shí)及抖動(dòng)等QoS指標(biāo)，幫助網(wǎng)絡(luò)管理者更高效的管理QoS服務(wù)和各類網(wǎng)絡(luò)資源。 接入/匯聚/核心QoS實(shí)現(xiàn)方案一個(gè)完整的QoS保證應(yīng)該是端到端實(shí)現(xiàn)的，同時(shí)，一個(gè)設(shè)計(jì)良好、效率高、能真正發(fā)揮作用的QoS體系應(yīng)該是層次化的。即QoS的機(jī)制的實(shí)現(xiàn)應(yīng)合理地分配到網(wǎng)絡(luò)的不同層次。從網(wǎng)絡(luò)的高效性來看，對數(shù)據(jù)包的分類、標(biāo)記、整形等等策略化的操作應(yīng)放在網(wǎng)絡(luò)的邊緣，這些操作往往需要對數(shù)據(jù)包進(jìn)行深入的分析，可能要分析到數(shù)據(jù)包的上層協(xié)議，也可能會(huì)用到訪問控制列表。而網(wǎng)絡(luò)核心的作用是高速轉(zhuǎn)發(fā)數(shù)據(jù)包，由大量的高速連接和數(shù)據(jù)流組成。核心節(jié)點(diǎn)不應(yīng)該去監(jiān)視所有的數(shù)據(jù)流，它只需要簡單地執(zhí)行PHBs，否則消耗大量的資源，影響交換效率，這可能和我們設(shè)計(jì)QoS的初衷相反。所以，最好的結(jié)構(gòu)是在網(wǎng)絡(luò)的入口邊界對流量進(jìn)行分類，我們建議上面所提到的對數(shù)據(jù)包的分類、標(biāo)記、整形/策略等操作放在網(wǎng)絡(luò)接入邊緣，這里說的接入邊緣指數(shù)據(jù)包進(jìn)入IP網(wǎng)絡(luò)的入口。例如在高性能的局域網(wǎng)三層交換機(jī)上。而在核心層路由交換機(jī)上，只執(zhí)行擁塞管理－即CBWFQ/LLQ和擁塞避免－即WRED，保證整個(gè)網(wǎng)絡(luò)的高效。 對于接入層在接入前端設(shè)備（PC、攝像機(jī)、讀卡器、報(bào)警器）的以太網(wǎng)端口上，基于接口及業(yè)務(wù)類型（高、中、低優(yōu)先級(jí)）分別打上以太網(wǎng)COS,IP優(yōu)先級(jí)標(biāo)記；在接入交換機(jī)的上連端口上，基于CoS及IPP標(biāo)記，進(jìn)行排隊(duì)，高優(yōu)先級(jí)的放在PQ中，并保證相應(yīng)的帶寬及延時(shí)，中、低優(yōu)先級(jí)的放在CBWFQ中，并保證相應(yīng)的帶寬。 對于匯聚層將IP的優(yōu)先級(jí)映射為MPLS 的Exp, 在匯聚交換機(jī)的上連端口上，基于Exp標(biāo)記，進(jìn)行排隊(duì)，高優(yōu)先級(jí)的放在PQ中，并保證相應(yīng)的帶寬及延時(shí)，中、低優(yōu)先級(jí)的放在CBWFQ中，并保證相應(yīng)的帶寬。在匯聚交換機(jī)的下連端口上，基于IP優(yōu)先級(jí)標(biāo)記，進(jìn)行排隊(duì)，高優(yōu)先級(jí)的放在PQ中，并保證相應(yīng)的帶寬及延時(shí)，中、低優(yōu)先級(jí)的放在CBWFQ中，并保證相應(yīng)的帶寬。 對于核心層在連接到匯聚交換機(jī)的端口上，基于Exp標(biāo)記，進(jìn)行排隊(duì)，高優(yōu)先級(jí)的放在PQ中，并保證相應(yīng)的帶寬及延時(shí)，中、低優(yōu)先級(jí)的放在CBWFQ中，并保證相應(yīng)的帶寬。在連接到服務(wù)器群的端口上，基于IP優(yōu)先級(jí)標(biāo)記，進(jìn)行排隊(duì)，高優(yōu)先級(jí)的放在PQ中，并保證相應(yīng)的帶寬及延時(shí)，中、低優(yōu)先級(jí)的放在CBWFQ中，并保證相應(yīng)的帶寬。 ACL訪問控制列表 在次北京XXXX學(xué)院圖書館網(wǎng)絡(luò)建設(shè)項(xiàng)目中,保障數(shù)據(jù)的連續(xù)性,可靠性,和安全性,和校園網(wǎng)絡(luò)穩(wěn)定,和防止黑客攻擊,病毒轉(zhuǎn)播,對服務(wù)器,教學(xué)設(shè)備的破壞,進(jìn)行對數(shù)據(jù)流的訪問控制,采用ACL策略.綜合考慮在網(wǎng)絡(luò)建設(shè)完畢,對學(xué)校的數(shù)據(jù)流進(jìn)行監(jiān)聽,對一些存在安全隱患的數(shù)據(jù),端口,進(jìn)行屏蔽。 ACL介紹訪問控制列表（Access Control List，ACL） 是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對某種訪問進(jìn)行控制。 信息點(diǎn)間通信，內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達(dá)到對訪問進(jìn)行控制的目的。簡而言之，ACL可以過濾網(wǎng)絡(luò)中的流量，控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。 ACL的定義也是基于每一種協(xié)議的。如果路由器接口配置成為支持三種協(xié)議（IP、AppleTalk以及IPX）的情況，那么，用戶必須定義三種ACL來分別控制這三種協(xié)議的數(shù)據(jù)包。 ACL的作用　ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如，ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級(jí)。 ACL提供對通信流量的控制手段。例如，ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網(wǎng)段的通信流量。 ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。ACL允許主機(jī)A訪問人力資源網(wǎng)絡(luò)，而拒絕主機(jī)B訪問。 ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，用戶可以允許Email通信流量被路由，拒絕所有的Telnet通信流量。 定義ACL時(shí)所應(yīng)遵循的規(guī)范（1）ACL的列表號(hào)指出了是那種協(xié)議的ACL。各種協(xié)議有自己的ACL，而每個(gè)協(xié)議的ACL又分為標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。這些ACL是通過ACL列表號(hào)區(qū)別的。如果在使用一種訪問ACL時(shí)用錯(cuò)了列表號(hào)，那么就會(huì)出錯(cuò)誤。 （2）一個(gè)ACL的配置是每協(xié)議、每接口、每方向的。路由器的一個(gè)接口上每一種協(xié)議可以配置進(jìn)方向和出方向兩個(gè)ACL。也就是說，如果路由器上啟用了IP和IPX兩種協(xié)議棧，那么路由器的一個(gè)接口上可以配置IP、IPX兩種協(xié)議，每種協(xié)議進(jìn)出兩個(gè)方向，共四個(gè)ACL。 （3）ACL的語句順序決定了對數(shù)據(jù)包的控制順序。在ACL中各描述語句的放置順序是很重要的。當(dāng)路由器決定某一數(shù)據(jù)包是被轉(zhuǎn)發(fā)還是備阻塞時(shí)，會(huì)按照各描述語句在ACL重的順序，根據(jù)各描述語句的判斷條件，對數(shù)據(jù)報(bào)進(jìn)行檢查，一旦找到了某一匹配條件就結(jié)束比較過程，不再檢查以后的其他條件判斷語句（4）最有限制性的語句應(yīng)該放在ACL語句的首行。把最有限制性的語句放在ACL語句的首行或者語句中靠近前面的位置上，把“全部允許”或者“全部拒絕”這樣的語句放在末行或接近末行，可以防止出現(xiàn)諸如本該拒絕的數(shù)據(jù)包被放過的情況。 （5）新的表項(xiàng)只能被添加到ACL的末尾，這意味著不可能改變已有訪問控制列表的功能。如果必須改變，只有先刪除已存在的ACL，然后創(chuàng)建一個(gè)新ACL，將新ACL應(yīng)用到相應(yīng)的接口上。（6）在將ACL應(yīng)用到接口之前，一定要先建立ACL。首先在全局模式下建立ACL，然后把它應(yīng)用在接口的出方向或進(jìn)方向上。在接口上應(yīng)用一個(gè)不存在的ACL是不可能的。 （7）ACL語句不能被逐條的刪除，只能一次性刪除整個(gè)ACL。 （8）在ACL的最后，有一條隱含的“全部拒絕”的命令，所以在 ACL里一定至少有一條“允許”的語句。 （9）ACL只能過濾穿過路由器的數(shù)據(jù)流量，不能過濾由本路由器上發(fā)出的數(shù)據(jù)包。 （10）在路由器選擇進(jìn)行以前，應(yīng)用在接口進(jìn)入方向的ACL起作用。 （11）在路由器選擇決定以后，應(yīng)用在接口離開方向的ACL起作用。第四章 WLAN設(shè)計(jì)面對的北京XXXX學(xué)院圖書館用戶需求、設(shè)計(jì)目標(biāo)及眾多的技術(shù)問題，結(jié)合WLA的設(shè)計(jì)原則，下面整理一下設(shè)計(jì)思路，為下一步的網(wǎng)絡(luò)建設(shè)設(shè)計(jì)方案做好準(zhǔn)備。 1）現(xiàn)場勘查　　在WLAN工程中，需要通過對北京XXXX學(xué)院圖書館現(xiàn)場勘查的方式了解建筑物和周圍各種物質(zhì)的材質(zhì)，從而來確定WLAN設(shè)備的安裝位置?！　∮捎跓o線信號(hào)是在空氣中直線傳播的，無線電波傳輸、接收數(shù)據(jù)的能力及傳輸速度都受到周圍環(huán)境中各種物體的影響。無線信號(hào)每遇到一個(gè)障礙物，就會(huì)被削弱一部分；尤其是像澆注的鋼筋混凝土墻體、金屬、紙張和陶瓷等，對無線信號(hào)的影響都非常大?！?）組網(wǎng)結(jié)構(gòu)　　將采用目前最流行的無線局域網(wǎng)組建的方式，即“Splic MAC”架構(gòu)，主要采用LWAPP協(xié)議，使用“瘦”AP與WLAN控制器組網(wǎng)的方式，適用于北京XXXX學(xué)院圖書館WLAN組網(wǎng)。因?yàn)锳P數(shù)量較多，原始的“胖”AP組網(wǎng)方式，管理難度高，工作量大，并且無法保證移動(dòng)性強(qiáng)的實(shí)時(shí)數(shù)據(jù)流通信。3）無線標(biāo)準(zhǔn)　　WLAN技術(shù)主要是遵循IEEE ，但是考慮的前瞻性和無線網(wǎng)絡(luò)使用,此次項(xiàng)目中無線網(wǎng)絡(luò)設(shè)計(jì)和部署將主要采用支持IEEE a/b/g標(biāo)準(zhǔn)的無線AP、控制器及無線終端等設(shè)備。符合IEEE （下一代高速無線局域網(wǎng)標(biāo)準(zhǔn)）4）連續(xù)性和時(shí)延性　　鑒于對無線網(wǎng)絡(luò)中移動(dòng)性和實(shí)時(shí)性較強(qiáng)數(shù)據(jù)流的傳輸連續(xù)性問題和時(shí)延性問題，可以采用無線漫游（WLAN Roaming）技術(shù)，可以實(shí)現(xiàn)2層Roaming和3層Roaming，既可以在同一控制器域內(nèi)部實(shí)現(xiàn)不同AP之間的無縫漫游，也可以實(shí)現(xiàn)跨越到不同控制器域之間AP的Roaming，這樣就可以保證無線語音和數(shù)據(jù)網(wǎng)絡(luò)的實(shí)時(shí)暢通。5）安全方面　　在WLAN安全方面，除了從網(wǎng)絡(luò)結(jié)構(gòu)、硬件設(shè)施、安全策略和RF檢測等管理端的技術(shù)手段以外，還需要對無線網(wǎng)絡(luò)的客戶終端實(shí)施安全認(rèn)證技術(shù)，通過安全認(rèn)證系統(tǒng)對接入端的網(wǎng)絡(luò)用戶進(jìn)行驗(yàn)證、監(jiān)控、管理及日志記錄等操作。. 思科集中化無線網(wǎng)絡(luò)解決方案使用自主接入點(diǎn)的第一代無線局域網(wǎng)是一種方便的網(wǎng)絡(luò)。從WLAN首次面世以來，技術(shù)需求發(fā)生了很多變化。現(xiàn)在，基本的網(wǎng)絡(luò)連接已經(jīng)不足以滿足需要。校園網(wǎng)需要在他們的辦公樓中提供無所不在的無線網(wǎng)絡(luò)連接。他們的WLAN必須支持多種移動(dòng)服務(wù)，例如語音、訪客接入、定位和增強(qiáng)的無線入侵防御系統(tǒng)（WIPS），同時(shí)還應(yīng)當(dāng)提供簡化的部署、管