【文章內(nèi)容簡(jiǎn)介】 的網(wǎng)絡(luò)，為了進(jìn)一步減少路由協(xié)議通信流量，利于管理和計(jì)算。 OSPF 將整個(gè) AS 劃分為若干個(gè)區(qū)域，區(qū)域內(nèi)的路由器維護(hù)一個(gè)相同的鏈路狀態(tài)數(shù)據(jù)庫(kù)，保存該區(qū)域的拓?fù)浣Y(jié)構(gòu)。OSPF 路由器相互間交換信息，但交換的信息不是路由，而是鏈路狀態(tài)。 OSPF 定義了 5 種分組： Hello 分組用于建立和維護(hù)連接；數(shù)據(jù)庫(kù)描述分組初始化路由器的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫(kù)；當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫(kù)中的某部分信息已經(jīng)過(guò)時(shí)后，路由器發(fā)送鏈路狀態(tài)請(qǐng)求分組，請(qǐng)求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來(lái)主動(dòng)擴(kuò)散自己的鏈路狀態(tài)數(shù)據(jù)庫(kù)或?qū)︽溌窢顟B(tài)請(qǐng)求分組進(jìn)行響應(yīng)；由于 OSPF 直接運(yùn)行在 IP 層，協(xié)議本身要提供確認(rèn)機(jī)制，鏈路狀態(tài)應(yīng)答分組 是對(duì)鏈路狀態(tài)更新分組進(jìn)行確認(rèn)。 相對(duì)于其它協(xié)議， OSPF 有許多優(yōu)點(diǎn)。 OSPF 支持各種不同鑒別機(jī)制（如簡(jiǎn)單口令驗(yàn)證， MD5 加密驗(yàn)證等），并且允許各個(gè)系統(tǒng)或區(qū)域采用互不相同的鑒別機(jī)制；提供負(fù)載均衡功能，如果計(jì)算出到某個(gè)目的站有若干條費(fèi)用相同的路由， OSPF 路由器會(huì)把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送出去；在一個(gè)自治系統(tǒng)內(nèi)可劃分出 《小型企業(yè)網(wǎng)組網(wǎng)方案 — 拓?fù)湟?guī)劃及設(shè)備選型》 第 ９ 頁(yè) 共 23 頁(yè) 若干個(gè)區(qū)域，每個(gè)區(qū)域根據(jù)自己的拓?fù)浣Y(jié)構(gòu)計(jì)算最短路徑，這減少了 OSPF 路由實(shí)現(xiàn)的工作量； OSPF 屬動(dòng)態(tài)的自適應(yīng)協(xié)議，對(duì)于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速地做出反 應(yīng)，進(jìn)行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比， OSPF 在對(duì)網(wǎng)絡(luò)拓?fù)渥兓奶幚磉^(guò)程中僅需要最少的通信流量； OSPF 提供點(diǎn)到多點(diǎn)接口，支持CIDR（無(wú)類(lèi)型域間路由）地址。 因?yàn)槭切⌒推髽I(yè) ,考慮后續(xù)的發(fā)展 ,公司現(xiàn)有網(wǎng)絡(luò)規(guī)劃為 area0，內(nèi)部網(wǎng)絡(luò)設(shè)備都規(guī)劃為area0。后期若有分支機(jī)構(gòu)各區(qū)域接入路由器根據(jù)區(qū)域不同使用動(dòng)態(tài)協(xié)議，或者使用靜態(tài)路由與動(dòng)態(tài)路由結(jié)合的方式。 （五）防火墻 防火墻只目前應(yīng)用最廣、最具代表性的網(wǎng)絡(luò)安全技術(shù)，它分為硬件防火墻和軟件防火墻。硬件防火墻是把軟件嵌入到硬 件中，由硬件執(zhí)行這些功能，這樣就減少了 CPU 的負(fù)擔(dān)，使路由更穩(wěn)定。軟件防火墻一般只據(jù)有過(guò)濾包的作用，而硬件防火墻的功能則要強(qiáng)大的多，它還包括 CF（內(nèi)容過(guò)濾）、 IDS（ 入侵偵測(cè)）、 IPS（入侵防護(hù)）以及 VPN 等功能。硬件防火墻一般使用經(jīng)過(guò)內(nèi)核編譯后的 Linux，憑借 Linux 本身的高可靠性和穩(wěn)定性保證了防火墻整體的穩(wěn)定性。防火墻主要由服務(wù)訪問(wèn)政策、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)四部分組成。我們?cè)诤诵膶勇酚善髋c Inter 之間配置一臺(tái)硬件防火墻，這樣，所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都要通過(guò)防火墻，而該防火墻應(yīng)具有以下的功能 ： （ 1）包過(guò)濾： 控制流出和流入的網(wǎng)絡(luò)數(shù)據(jù)，可基于源地址、源端口、目的地址、目的端口、協(xié)議和時(shí)間，根據(jù)地址簿進(jìn)行設(shè)置規(guī)則。 （ 2）地址轉(zhuǎn)換： 將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的 IP 地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換 Source NAT(SNAT)和目的地址轉(zhuǎn)換 Destination NAT(DNAT)。 SNAT 用于對(duì)內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來(lái)自外部其他網(wǎng)絡(luò)的非授權(quán)訪問(wèn)或惡意攻擊。并將有限的 IP地址動(dòng)態(tài)或靜態(tài)的與內(nèi)部 IP 地址對(duì)應(yīng)起來(lái)，用來(lái)緩解地址空間的短缺問(wèn)題，節(jié)省資源，降低成本。 DNAT 主要用于外網(wǎng)主機(jī)訪問(wèn)內(nèi)網(wǎng)主機(jī)。 （ 3）認(rèn)證和應(yīng)用代理： 認(rèn)證指防火墻對(duì)訪問(wèn)網(wǎng)絡(luò)者合法身分的確定。代理指防火墻內(nèi)置用戶認(rèn)證數(shù)據(jù)庫(kù) 。提供 HTTP、 FTP 和 SMTP 代理功能，并可對(duì)這三種協(xié)議進(jìn)行訪問(wèn)控制。同時(shí)支持 URL 過(guò) 《小型企業(yè)網(wǎng)組網(wǎng)方案 — 拓?fù)湟?guī)劃及設(shè)備選型》 第 １０ 頁(yè) 共 23 頁(yè) 濾功能，防止員工在上班時(shí)間訪問(wèn)某些網(wǎng)站，影響工作效率。 （ 4）透明和路由： 將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對(duì)互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問(wèn)，同時(shí)阻止了外部未授權(quán)訪問(wèn)者對(duì)專(zhuān)用網(wǎng)絡(luò)的非法訪問(wèn) 。防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個(gè)子網(wǎng)之間的安全訪問(wèn)。 （ 5）入侵檢測(cè) : 能夠提供內(nèi)部網(wǎng)到內(nèi)部網(wǎng)和遠(yuǎn)程接入到內(nèi)部網(wǎng)兩種安全保護(hù)，可以防御互聯(lián)網(wǎng)中的病毒、間諜軟件的攻擊，并可阻止垃圾郵件和非法連接 （ 因?yàn)檐浖拗?,本論文中未在拓?fù)鋱D中使用防火墻 ,但考慮企業(yè)網(wǎng)絡(luò)安全性 ,我們?cè)谕負(fù)渲惺褂昧嗽L問(wèn)控制技術(shù) )。 確定整個(gè)網(wǎng)絡(luò)拓?fù)涞慕Y(jié)構(gòu)及各層的功能后，按照以上要求 ， 在 GNS3 設(shè)計(jì)出的網(wǎng)絡(luò)總體拓?fù)淙鐖D 所示： 圖 網(wǎng)絡(luò)總體拓?fù)鋱D 《小型企業(yè)網(wǎng)組網(wǎng)方案 — 拓?fù)湟?guī)劃及設(shè)備選型》 第 １１ 頁(yè) 共 23 頁(yè) 5 設(shè)備選型 按照第 4 節(jié)的拓?fù)湓O(shè)計(jì)及規(guī)劃，本節(jié)給出了網(wǎng)絡(luò)各部分的重要設(shè)備選擇，在附錄中介紹了參與選擇設(shè)備的具體參數(shù)。 核心 層設(shè)備選擇 推薦使用兩臺(tái) Cisco Catalyst 4506E 交換機(jī)完成此項(xiàng)功能。 Cisco4506 交換機(jī)高性能、高可靠性、高可用性是我們主要考慮的因素。本區(qū)的安全性可以由邊界防火墻提供，如果有需要，還可以在 4506 上面部署安全策略，使得核心交換區(qū)的安全性進(jìn)一步地增強(qiáng)。 Cisco Catalyst 4500 系列憑借眾多智能服務(wù)將控制擴(kuò)展到網(wǎng)絡(luò)邊緣，其中包括先進(jìn)的服務(wù)質(zhì)量 (QoS)、可預(yù)測(cè)性能、高級(jí)安全性和全面的管理。它提供帶集成永續(xù)性的出色控制，將永續(xù)性集成到硬件和軟件中，縮短了網(wǎng)絡(luò)停運(yùn)時(shí) 間。 Cisco Catalyst 4500 系列的模塊化架構(gòu)、介質(zhì)靈活性和可擴(kuò)展性減少了重復(fù)運(yùn)營(yíng)開(kāi)支，提高了投資回報(bào)（ ROI），從而在延長(zhǎng)部署壽命的同時(shí)降低了擁有成本。方案中 Catalyst 4506 交換機(jī)配置了一塊 WSX4515 引擎 (Supervisor IV),Catalyst 4500 Supervisor IV 引擎用于 Cisco Catalyst 4506 交換機(jī)機(jī)箱，是一款 64Gbps、 4800 萬(wàn)分組 /秒 (48mpps)的第二到四層交換引擎，直接在管理引擎面板上配備了 2 個(gè)線速 GBIC 端口。當(dāng)部署了 Catalyst 4500 系列 Supervisor IV 時(shí)，這些附加端口可將 Catalyst4506 的最大密度擴(kuò)展到 240 個(gè)端口。添加了這款新管理引擎后， Catalyst 4506 可為中型企業(yè)提供價(jià)格合理、易于使用的可擴(kuò)展性、創(chuàng)新安全性、集成可靠性和靈活性 。 匯聚層設(shè)備選擇 推薦采用兩臺(tái) Cisco WSC3750G12SE 作為匯聚交換機(jī)。兩臺(tái) CiscoWSC3750G12S E 做雙機(jī)熱備，采用 Cisco 專(zhuān)有熱備份協(xié)議技術(shù)（ HSRP） ，根據(jù)需求配置成多組 HSRP。 Cisco Catalyst 3750 系列交換機(jī)是一個(gè)創(chuàng)新的產(chǎn)品系列，它結(jié)合業(yè)界領(lǐng)先的易用性和最高的冗余性，里程碑地提升了堆疊式交換機(jī)在局域網(wǎng)中的工作效率。這個(gè)新的產(chǎn)品系列采用了最新的思 StackWise 技術(shù)，不但實(shí)現(xiàn)高達(dá) 32Gbps 的堆疊互聯(lián)，還從物理上到邏輯上使若干獨(dú)立交換機(jī)在堆疊時(shí)集成在一起，便于用戶建立一個(gè)統(tǒng)一、高度靈活的交換系統(tǒng) 《小型企業(yè)網(wǎng)組網(wǎng)方案 — 拓?fù)湟?guī)劃及設(shè)備選型》 第 １２ 頁(yè) 共 23 頁(yè) 就好像是一整臺(tái)交換機(jī)一樣。這代表了堆疊式交換機(jī)新的工業(yè)技術(shù)水平和標(biāo)準(zhǔn)。 對(duì)于中 小 型企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)， Cisco Catalyst 3750 系列通過(guò)提供配置靈活性 、支持融合網(wǎng)絡(luò)模式及自動(dòng)進(jìn)行智能網(wǎng)絡(luò)服務(wù)配置，簡(jiǎn)化了融合應(yīng)用的部署，并可針對(duì)不斷變化的業(yè)務(wù)需求進(jìn)行調(diào)整。此外 ， Cisco Catalyst 3750 系列針對(duì)高密度千兆位以太網(wǎng)部署進(jìn)行了優(yōu)化，包括多種交換機(jī)，以滿足接入、匯聚或小型網(wǎng)絡(luò)骨干連接需求。 Cisco Catalyst 3750G12S 提供 12 個(gè)千兆位以太網(wǎng) SFP 端口用于連接數(shù)據(jù)中心和辦公樓的接入層交換機(jī)和中心核心機(jī)房的 Catalyst 4506 交換機(jī)。 GEC 或 FEC（ Gigabit Ether Channel/Fast Ether Channel） 稱(chēng)為 Cisco 交換機(jī)帶寬聚合技術(shù)，它用于千兆或百兆以太網(wǎng)端口。在兩臺(tái) Cisco 交換機(jī)互連時(shí)，利用 GEC/FEC 技