【文章內(nèi)容簡介】 的網(wǎng)絡(luò)，為了進(jìn)一步減少路由協(xié)議通信流量，利于管理和計算。 OSPF 將整個 AS 劃分為若干個區(qū)域，區(qū)域內(nèi)的路由器維護(hù)一個相同的鏈路狀態(tài)數(shù)據(jù)庫，保存該區(qū)域的拓?fù)浣Y(jié)構(gòu)。OSPF 路由器相互間交換信息，但交換的信息不是路由，而是鏈路狀態(tài)。 OSPF 定義了 5 種分組： Hello 分組用于建立和維護(hù)連接；數(shù)據(jù)庫描述分組初始化路由器的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫；當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫中的某部分信息已經(jīng)過時后，路由器發(fā)送鏈路狀態(tài)請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來主動擴散自己的鏈路狀態(tài)數(shù)據(jù)庫或?qū)︽溌窢顟B(tài)請求分組進(jìn)行響應(yīng)；由于 OSPF 直接運行在 IP 層，協(xié)議本身要提供確認(rèn)機制，鏈路狀態(tài)應(yīng)答分組 是對鏈路狀態(tài)更新分組進(jìn)行確認(rèn)。 相對于其它協(xié)議， OSPF 有許多優(yōu)點。 OSPF 支持各種不同鑒別機制（如簡單口令驗證， MD5 加密驗證等），并且允許各個系統(tǒng)或區(qū)域采用互不相同的鑒別機制；提供負(fù)載均衡功能，如果計算出到某個目的站有若干條費用相同的路由， OSPF 路由器會把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送出去；在一個自治系統(tǒng)內(nèi)可劃分出 《小型企業(yè)網(wǎng)組網(wǎng)方案 — 拓?fù)湟?guī)劃及設(shè)備選型》 第 ９ 頁 共 23 頁 若干個區(qū)域，每個區(qū)域根據(jù)自己的拓?fù)浣Y(jié)構(gòu)計算最短路徑，這減少了 OSPF 路由實現(xiàn)的工作量； OSPF 屬動態(tài)的自適應(yīng)協(xié)議，對于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速地做出反 應(yīng)，進(jìn)行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比， OSPF 在對網(wǎng)絡(luò)拓?fù)渥兓奶幚磉^程中僅需要最少的通信流量； OSPF 提供點到多點接口，支持CIDR（無類型域間路由）地址。 因為是小型企業(yè) ,考慮后續(xù)的發(fā)展 ,公司現(xiàn)有網(wǎng)絡(luò)規(guī)劃為 area0，內(nèi)部網(wǎng)絡(luò)設(shè)備都規(guī)劃為area0。后期若有分支機構(gòu)各區(qū)域接入路由器根據(jù)區(qū)域不同使用動態(tài)協(xié)議，或者使用靜態(tài)路由與動態(tài)路由結(jié)合的方式。 （五）防火墻 防火墻只目前應(yīng)用最廣、最具代表性的網(wǎng)絡(luò)安全技術(shù)，它分為硬件防火墻和軟件防火墻。硬件防火墻是把軟件嵌入到硬 件中，由硬件執(zhí)行這些功能，這樣就減少了 CPU 的負(fù)擔(dān)，使路由更穩(wěn)定。軟件防火墻一般只據(jù)有過濾包的作用，而硬件防火墻的功能則要強大的多，它還包括 CF（內(nèi)容過濾）、 IDS（ 入侵偵測）、 IPS（入侵防護(hù)）以及 VPN 等功能。硬件防火墻一般使用經(jīng)過內(nèi)核編譯后的 Linux，憑借 Linux 本身的高可靠性和穩(wěn)定性保證了防火墻整體的穩(wěn)定性。防火墻主要由服務(wù)訪問政策、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)四部分組成。我們在核心層路由器與 Inter 之間配置一臺硬件防火墻，這樣，所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都要通過防火墻，而該防火墻應(yīng)具有以下的功能 ： （ 1）包過濾： 控制流出和流入的網(wǎng)絡(luò)數(shù)據(jù)，可基于源地址、源端口、目的地址、目的端口、協(xié)議和時間，根據(jù)地址簿進(jìn)行設(shè)置規(guī)則。 （ 2）地址轉(zhuǎn)換： 將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的 IP 地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換 Source NAT(SNAT)和目的地址轉(zhuǎn)換 Destination NAT(DNAT)。 SNAT 用于對內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來自外部其他網(wǎng)絡(luò)的非授權(quán)訪問或惡意攻擊。并將有限的 IP地址動態(tài)或靜態(tài)的與內(nèi)部 IP 地址對應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。 DNAT 主要用于外網(wǎng)主機訪問內(nèi)網(wǎng)主機。 （ 3）認(rèn)證和應(yīng)用代理： 認(rèn)證指防火墻對訪問網(wǎng)絡(luò)者合法身分的確定。代理指防火墻內(nèi)置用戶認(rèn)證數(shù)據(jù)庫 。提供 HTTP、 FTP 和 SMTP 代理功能，并可對這三種協(xié)議進(jìn)行訪問控制。同時支持 URL 過 《小型企業(yè)網(wǎng)組網(wǎng)方案 — 拓?fù)湟?guī)劃及設(shè)備選型》 第 １０ 頁 共 23 頁 濾功能，防止員工在上班時間訪問某些網(wǎng)站，影響工作效率。 （ 4）透明和路由： 將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問，同時阻止了外部未授權(quán)訪問者對專用網(wǎng)絡(luò)的非法訪問 。防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個子網(wǎng)之間的安全訪問。 （ 5）入侵檢測 : 能夠提供內(nèi)部網(wǎng)到內(nèi)部網(wǎng)和遠(yuǎn)程接入到內(nèi)部網(wǎng)兩種安全保護(hù)，可以防御互聯(lián)網(wǎng)中的病毒、間諜軟件的攻擊，并可阻止垃圾郵件和非法連接 （ 因為軟件限制 ,本論文中未在拓?fù)鋱D中使用防火墻 ,但考慮企業(yè)網(wǎng)絡(luò)安全性 ,我們在拓?fù)渲惺褂昧嗽L問控制技術(shù) )。 確定整個網(wǎng)絡(luò)拓?fù)涞慕Y(jié)構(gòu)及各層的功能后，按照以上要求 ， 在 GNS3 設(shè)計出的網(wǎng)絡(luò)總體拓?fù)淙鐖D 所示： 圖 網(wǎng)絡(luò)總體拓?fù)鋱D 《小型企業(yè)網(wǎng)組網(wǎng)方案 — 拓?fù)湟?guī)劃及設(shè)備選型》 第 １１ 頁 共 23 頁 5 設(shè)備選型 按照第 4 節(jié)的拓?fù)湓O(shè)計及規(guī)劃，本節(jié)給出了網(wǎng)絡(luò)各部分的重要設(shè)備選擇，在附錄中介紹了參與選擇設(shè)備的具體參數(shù)。 核心 層設(shè)備選擇 推薦使用兩臺 Cisco Catalyst 4506E 交換機完成此項功能。 Cisco4506 交換機高性能、高可靠性、高可用性是我們主要考慮的因素。本區(qū)的安全性可以由邊界防火墻提供，如果有需要，還可以在 4506 上面部署安全策略，使得核心交換區(qū)的安全性進(jìn)一步地增強。 Cisco Catalyst 4500 系列憑借眾多智能服務(wù)將控制擴展到網(wǎng)絡(luò)邊緣，其中包括先進(jìn)的服務(wù)質(zhì)量 (QoS)、可預(yù)測性能、高級安全性和全面的管理。它提供帶集成永續(xù)性的出色控制，將永續(xù)性集成到硬件和軟件中，縮短了網(wǎng)絡(luò)停運時 間。 Cisco Catalyst 4500 系列的模塊化架構(gòu)、介質(zhì)靈活性和可擴展性減少了重復(fù)運營開支，提高了投資回報（ ROI），從而在延長部署壽命的同時降低了擁有成本。方案中 Catalyst 4506 交換機配置了一塊 WSX4515 引擎 (Supervisor IV),Catalyst 4500 Supervisor IV 引擎用于 Cisco Catalyst 4506 交換機機箱，是一款 64Gbps、 4800 萬分組 /秒 (48mpps)的第二到四層交換引擎，直接在管理引擎面板上配備了 2 個線速 GBIC 端口。當(dāng)部署了 Catalyst 4500 系列 Supervisor IV 時，這些附加端口可將 Catalyst4506 的最大密度擴展到 240 個端口。添加了這款新管理引擎后， Catalyst 4506 可為中型企業(yè)提供價格合理、易于使用的可擴展性、創(chuàng)新安全性、集成可靠性和靈活性 。 匯聚層設(shè)備選擇 推薦采用兩臺 Cisco WSC3750G12SE 作為匯聚交換機。兩臺 CiscoWSC3750G12S E 做雙機熱備，采用 Cisco 專有熱備份協(xié)議技術(shù)（ HSRP） ，根據(jù)需求配置成多組 HSRP。 Cisco Catalyst 3750 系列交換機是一個創(chuàng)新的產(chǎn)品系列，它結(jié)合業(yè)界領(lǐng)先的易用性和最高的冗余性，里程碑地提升了堆疊式交換機在局域網(wǎng)中的工作效率。這個新的產(chǎn)品系列采用了最新的思 StackWise 技術(shù)，不但實現(xiàn)高達(dá) 32Gbps 的堆疊互聯(lián)，還從物理上到邏輯上使若干獨立交換機在堆疊時集成在一起，便于用戶建立一個統(tǒng)一、高度靈活的交換系統(tǒng) 《小型企業(yè)網(wǎng)組網(wǎng)方案 — 拓?fù)湟?guī)劃及設(shè)備選型》 第 １２ 頁 共 23 頁 就好像是一整臺交換機一樣。這代表了堆疊式交換機新的工業(yè)技術(shù)水平和標(biāo)準(zhǔn)。 對于中 小 型企業(yè)網(wǎng)絡(luò)來說， Cisco Catalyst 3750 系列通過提供配置靈活性 、支持融合網(wǎng)絡(luò)模式及自動進(jìn)行智能網(wǎng)絡(luò)服務(wù)配置，簡化了融合應(yīng)用的部署，并可針對不斷變化的業(yè)務(wù)需求進(jìn)行調(diào)整。此外 ， Cisco Catalyst 3750 系列針對高密度千兆位以太網(wǎng)部署進(jìn)行了優(yōu)化，包括多種交換機，以滿足接入、匯聚或小型網(wǎng)絡(luò)骨干連接需求。 Cisco Catalyst 3750G12S 提供 12 個千兆位以太網(wǎng) SFP 端口用于連接數(shù)據(jù)中心和辦公樓的接入層交換機和中心核心機房的 Catalyst 4506 交換機。 GEC 或 FEC（ Gigabit Ether Channel/Fast Ether Channel） 稱為 Cisco 交換機帶寬聚合技術(shù)，它用于千兆或百兆以太網(wǎng)端口。在兩臺 Cisco 交換機互連時，利用 GEC/FEC 技