【文章內(nèi)容簡(jiǎn)介】 LAN 有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個(gè) VLAN 內(nèi)的各個(gè)工作站無須被放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理 LAN 網(wǎng)段。一個(gè) VLAN 內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他 VLAN 中，即使是兩臺(tái)計(jì)算機(jī)有著同樣的網(wǎng)段，但是它們卻沒有相同的 VLAN 號(hào)，它們各自的廣播流也不會(huì)相互轉(zhuǎn)發(fā) ,從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 VLAN 是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了 VLAN 頭，用 VLAN ID 把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。 既然 VLAN 隔離了廣播風(fēng)暴，同時(shí)也隔離了各個(gè)不同的 VLAN 之間的通訊，所以不同的 VLAN 之間的通訊是需要有路由來完成的。 DHCP DHCP 是 Dynamic Host Configuration Protocol(動(dòng)態(tài)主機(jī)分配協(xié)議 )縮寫 。它分為兩個(gè)部份：一個(gè)是服務(wù)器端，而另一個(gè)是客戶端。所有的 IP 網(wǎng)絡(luò) 設(shè)定數(shù)據(jù)都由 DHCP 服務(wù)器集中管理，并負(fù)責(zé)處理客戶端的 DHCP 要求；而客戶端則會(huì)使用從服務(wù)器分配下來的 IP 環(huán)境數(shù)據(jù)。比較起 BOOTP ， DHCP 透過 租約 的概念，有效且動(dòng)態(tài)的分配客戶端的 TCP/IP 設(shè)定，而且，作為兼容考慮，DHCP 的分配形式 首先，必須至少有一臺(tái) DHCP 工作在網(wǎng)絡(luò)上面，它會(huì)監(jiān)聽網(wǎng)絡(luò)的 DHCP 請(qǐng)求，并與客戶端 磋商 TCP/IP 的設(shè)定環(huán)境。 DHCP 是 BOOTP 的擴(kuò)展，是基于 C/S 模式的，它提供了一種動(dòng)態(tài)指定 IP地址和配置參數(shù)的機(jī)制。這主要用于大型網(wǎng)絡(luò)環(huán)境和配 置比較困難的地方。DHCP 服務(wù)器自動(dòng)為客戶機(jī)指定 IP 地址，指定的配置參數(shù)有些和 IP 協(xié)議并不相關(guān)，但這必沒有關(guān)系，它的配置參數(shù)使得網(wǎng)絡(luò)上的計(jì)算機(jī)通信變得方便而容易實(shí)現(xiàn)了。 DHCP 使 IP 地址的可以租用，對(duì)于許多擁有許多臺(tái)計(jì)算機(jī)的大型網(wǎng)絡(luò)來說，每臺(tái)計(jì)算機(jī)擁有一個(gè) IP 地址有時(shí)候可能是不必要的。租期從 1 分鐘到 100年不定，當(dāng)租期到了的時(shí)候，服務(wù)器可以把這個(gè) IP 地址分配給別的機(jī)器使用。客戶也可以請(qǐng)求使用自己喜歡的網(wǎng)絡(luò)地址及相應(yīng)的配置參數(shù) GRE 通用路由封裝（ GRE: Generic Routing Encapsulation）定義了在任意本科 畢業(yè)設(shè)計(jì)（論文） _______________________________________________________________________________ 9 一種網(wǎng)絡(luò)層協(xié)議上封裝任意一個(gè)其它網(wǎng)絡(luò)層協(xié)議的協(xié)議。 在大多數(shù)常規(guī)情況下，系統(tǒng)擁有一個(gè)有效載荷（或負(fù)載）包，需要將它封裝并發(fā)送至某個(gè)目的地。首先將有效載荷封裝在一個(gè) GRE 包中，然后將此 GRE 包封裝在其它某協(xié)議中并進(jìn)行轉(zhuǎn)發(fā)。此外發(fā)協(xié)議即為發(fā)送協(xié)議。當(dāng) IPv4 被作為 GRE 有效載荷傳輸時(shí)，協(xié)議類型字段必須被設(shè)置為 0x800。當(dāng)一個(gè)隧道終點(diǎn)拆封此含有 IPv4 包作為有效載荷的 GRE 包時(shí)， IPv4 包頭中的目的地址必須用來轉(zhuǎn)發(fā)包，并且需要減少有效載荷包的 TTL。值得注意的是，在轉(zhuǎn)發(fā)這樣一個(gè)包時(shí)，如果有效載荷包的目的地址就是包的封裝器（也就是隧道另一端），就會(huì)出現(xiàn)回路現(xiàn)象。在此情形下，必須丟棄該包。當(dāng) GRE 包被封裝在 IPv4 中時(shí)，需要使用 IPv4 協(xié)議 47。 GRE 下的網(wǎng)絡(luò)安全與常規(guī)的 IPv4 網(wǎng)絡(luò)安全是較為相似的， GRE 下的路由采用 IPv4 原本使用的路由，但路由過濾保持不變 。包過濾要求防火墻檢查 GRE 包，或者在 GRE 隧道終點(diǎn)完成過濾過程。在那些這被看作是安全問題的環(huán)境下，可以在防火墻上終止隧道。 VPN VPN的 英文全稱是 “Virtual Private Network”，翻譯過來就是 “虛擬專用網(wǎng)絡(luò) ”。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。 它可以通過特殊的加密的通訊協(xié)議在連接在 Inter 上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購買路由器等硬件設(shè)備。 VPN 技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機(jī)，防火墻設(shè)備或 WINDOWS2021 等軟件里也都支持 VPN 功能，一句話， VPN 的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。 虛擬專用網(wǎng)（ VPN）被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。 虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴 和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。 本科 畢業(yè)設(shè)計(jì)（論文） _______________________________________________________________________________ 10 PVST PVST: PerVLAN Spanning Tree（每 VLAN 生成樹） PVST 是解決在虛擬局域網(wǎng)上處理生成樹的 CISCO 特有解決方案． PVST為每個(gè)虛擬局域網(wǎng)運(yùn)行單獨(dú)的生成樹實(shí)例．一般情況下 PVST 要求在交換機(jī)之間的中繼鏈路上運(yùn)行 CISCO 的 ISL。 每 VLAN 生成樹 (PVST)為每個(gè)在網(wǎng)絡(luò)中配置的 VLAN 維護(hù)一個(gè)生成樹實(shí)例。它使用 ISL 中繼和允許一個(gè) VLAN 中繼當(dāng)被其它 VLANs 的阻塞時(shí)將一些VLANs 轉(zhuǎn)發(fā)。盡管 PVST 對(duì)待每個(gè) VLAN 作 為一個(gè)單獨(dú)的網(wǎng)絡(luò)，它有能力 (在第2 層 )通過一些在主干和其它在另一個(gè)主干中的不引起生成樹循環(huán)的 Vlans 中的一些 VLANs 來負(fù)載平衡通信。 HSRP HSRP：熱備份路由器協(xié)議（ HSRP： Hot Standby Router Protocol） 熱備份路由器協(xié)議（ HSRP）的設(shè)計(jì)目標(biāo)是支持特定情況下 IP 流量失敗轉(zhuǎn)移不會(huì)引起混亂、并允許主機(jī)使用單路由器，以及即使在實(shí)際第一跳路由器使用失敗的情形下仍能維護(hù)路由器間的連通性。換句話說，當(dāng)源主機(jī)不能動(dòng)態(tài)知道第一跳路由器的 IP 地址時(shí)， HSRP 協(xié)議能 夠保護(hù)第一跳路由器不出故障。該協(xié)議中含有多種路由器，對(duì)應(yīng)一個(gè)虛擬路由器。 HSRP 協(xié)議只支持一個(gè)路由器代表虛擬路由器實(shí)現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過程。終端主機(jī)將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。 負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動(dòng)路由器（ Active Router）。一旦主動(dòng)路由器出現(xiàn)故障， HSRP 將激活備份路由器（ Standby Routers）取代主動(dòng)路由器。HSRP 協(xié)議提供了一種決定使用主動(dòng)路由器還是備份路由器的機(jī)制，并指定一個(gè)虛擬的 IP 地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。如果主動(dòng)路由器出現(xiàn)故障，備份路由器（ Standby Routers）承接主動(dòng)路由器的所有任務(wù)，并且不會(huì)導(dǎo)致主機(jī)連通中斷現(xiàn)象。 HSRP 運(yùn)行在 UDP 上，采用端口號(hào) 1985。路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使用的是實(shí)際 IP 地址，而并非虛擬地址，正是基于這一點(diǎn)， HSRP 路由器間能相互識(shí)別 . AAA認(rèn)證 AAA 身份驗(yàn)證 (Authentication) 、 授 權(quán) (Authorization) 和 統(tǒng) 計(jì) 本科 畢業(yè)設(shè)計(jì)（論文） _______________________________________________________________________________ 11 (Accounting)Cisco 開發(fā)的一個(gè)提供網(wǎng)絡(luò)安全的系統(tǒng)。 AAA ，認(rèn)證 (Authentication)：驗(yàn)證用戶的 身份與可使用的網(wǎng)絡(luò)服務(wù) 。授權(quán)(Authorization)：依據(jù)認(rèn)證結(jié)果開放網(wǎng)絡(luò)服務(wù)給用戶 。計(jì)帳 (Accounting)：記錄用戶對(duì)各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計(jì)費(fèi)系統(tǒng)。整個(gè)系統(tǒng)在網(wǎng)絡(luò)管理與安全問題中十分有效。 首先，認(rèn)證部分提供了對(duì)用戶的認(rèn)證。整個(gè)認(rèn)證通常是采用用戶輸入用戶名與密碼來進(jìn)行權(quán)限審核。認(rèn)證的原理是每個(gè)用戶都有一個(gè)唯一的權(quán)限獲得標(biāo)準(zhǔn)。由 AAA 服務(wù)器將用戶的標(biāo)準(zhǔn)同數(shù)據(jù)庫中每個(gè)用戶的標(biāo)準(zhǔn)一一核對(duì)。如果符合，那么對(duì)用戶認(rèn)證通過。如果不符合，則拒絕提供網(wǎng)絡(luò)連接。 接下來，用戶還要通過授權(quán)來獲得操作相應(yīng) 任務(wù)的權(quán)限。比如，登陸系統(tǒng)后，用戶可能會(huì)執(zhí)行一些命令來進(jìn)行操作，這時(shí)，授權(quán)過程會(huì)檢測(cè)用戶是否擁有執(zhí)行這些命令的權(quán)限。簡(jiǎn)單而言，授權(quán)過程是一系列強(qiáng)迫策略的組合，包括：確定活動(dòng)的種類或質(zhì)量、資源或者用戶被允許的服務(wù)有哪些。授權(quán)過程發(fā)生在認(rèn)證上下文中。一旦用戶通過了認(rèn)證，他們也就被授予了相應(yīng)的權(quán)限。 最后一步是帳戶，這一過程將會(huì)計(jì)算用戶在連接過程中消耗的資源數(shù)目。這些資源包括連接時(shí)間或者用戶在連接過程中的收發(fā)流量等等?？梢愿鶕?jù)連接過程的統(tǒng)計(jì)日志以及用戶信息，還有授權(quán)控制、賬單、趨勢(shì)分析、資源利用以及容量計(jì)劃活動(dòng)來 執(zhí)行帳戶過程。 驗(yàn)證授權(quán)和帳戶由 AAA 服務(wù)器來提供。 AAA 服務(wù)器是一個(gè)能夠提供這三項(xiàng)服務(wù)的程序。當(dāng)前同 AAA 服務(wù)器協(xié)作的網(wǎng)絡(luò)連接服務(wù)器接口是 “遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù) (RADIUS)”。 本科 畢業(yè)設(shè)計(jì)（論文） _______________________________________________________________________________ 12 3 網(wǎng)絡(luò)設(shè)計(jì) 真實(shí)案例 Cisco 公司已經(jīng)成功地在中國實(shí)踐了前述的教育網(wǎng)絡(luò)設(shè)計(jì)思想，特別是河南省教育科研寬帶 IP 骨干網(wǎng)絡(luò)全部采用了先進(jìn)的高速寬帶 光傳輸網(wǎng)絡(luò)技術(shù)，已經(jīng)成為這類新型教育網(wǎng)絡(luò)的典范。 河南省教育科研寬帶 IP 網(wǎng)絡(luò)全面采用 Cisco 公司的 AVVID 網(wǎng)絡(luò)體系結(jié)構(gòu)，一期工程總共采用了 10 臺(tái) Cisco GSR 12021 和 GSR12021，近 20 臺(tái) Cisco OSR 6509，其他各類交換機(jī)和路由器數(shù)百臺(tái)。該網(wǎng)絡(luò)集成了遠(yuǎn)程教學(xué)等多種多媒體應(yīng)用，特別是采用了 550 部 Cisco 的新型 7940 IP 電話和 4 套 CallManager 組建了我國第一個(gè)省級(jí) IP Telephony 網(wǎng)絡(luò)，并結(jié)合 Cisco 視頻產(chǎn)品 IPTV 系列建立了許多新的教育模式。這一網(wǎng)絡(luò)基于分層設(shè)計(jì)分為三層：骨干傳輸網(wǎng)、城域網(wǎng)、接入網(wǎng)，采用三級(jí)管理模式：省網(wǎng)絡(luò)中心、地市網(wǎng)絡(luò)中心、校園網(wǎng)，連接省內(nèi)各大中專院校、各中小學(xué)校、各級(jí)教育主管部 門和其他教育科研單位，未來更將延伸到每一個(gè)需要教育培訓(xùn)的公眾面前。 骨干網(wǎng)絡(luò)由分布在 17 個(gè)地市的核心節(jié)點(diǎn)組成，與河南省廣電合作利用其光纖資源，全省形成環(huán)網(wǎng)狀冗余拓?fù)浣Y(jié)構(gòu)。在各個(gè)核心節(jié)點(diǎn)分別配置 Cisco 公司在國際上多次獲獎(jiǎng)的千兆位路由交換機(jī) GSR 12021 系列中的 12021 和 12021 作為核心傳輸設(shè)備，節(jié)點(diǎn)間使用裸光纖配合 POS 技術(shù)實(shí)現(xiàn) 鏈路互連 并采用 HSRP 技術(shù) ，以提供物理層、鏈路層及 IP 層的冗余連接能力。根據(jù)各地市的具體情況，可以建設(shè)城域教育網(wǎng)絡(luò)也可以在核心節(jié)點(diǎn)配置匯接設(shè)備直接 解決接入網(wǎng)絡(luò)的接入問題，匯接設(shè)備可選用 Cisco 12021 或 6509，采用 POS、 DPT 或千兆以太技術(shù)，傳輸速率可達(dá) 1～ ， 具體設(shè)計(jì)可以非常靈活。 基于 Cisco IOS 的多功能網(wǎng)絡(luò)平臺(tái)：網(wǎng)絡(luò)中采用的網(wǎng)絡(luò)設(shè)備均采用 Cisco IOS (Interworking Operation System 互聯(lián)網(wǎng)絡(luò)操作系統(tǒng) )為核心功能軟件。 Cisco IOS集成了路由技術(shù)，局域網(wǎng)交換技術(shù)， ATM 交換技術(shù)，各種移動(dòng)遠(yuǎn)程訪問接入技術(shù)，廣域網(wǎng)互連技術(shù)等超過 15,000 個(gè)網(wǎng)絡(luò)互連功能，已經(jīng)成為網(wǎng)絡(luò)互連的標(biāo)準(zhǔn) 。CiscoIOS 系統(tǒng)支持今天的絕大多數(shù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)，同時(shí) Cisco IOS 系統(tǒng)可提供從數(shù)據(jù)鏈路層到應(yīng)用層的多種網(wǎng)絡(luò)服務(wù)，如： L2/L3VPN(虛擬專網(wǎng) )， VPDN(虛擬撥號(hào)專網(wǎng) )，以及對(duì) MPLS 技術(shù)的支持允許提供各種網(wǎng)絡(luò)增值服務(wù)。 豐富的網(wǎng)絡(luò)安全機(jī)制：網(wǎng)絡(luò)設(shè)計(jì)是按照標(biāo)準(zhǔn) ISP(國際互聯(lián)網(wǎng)絡(luò)服務(wù)商 )方式設(shè)計(jì)的 IP 交換網(wǎng)絡(luò)平臺(tái)。整個(gè)網(wǎng)絡(luò)與國際互聯(lián)網(wǎng)絡(luò)平滑連接，因此網(wǎng)絡(luò)的安全性尤其重要。方案中采用 Cisco IOS 多種安全策略： 本科 畢業(yè)設(shè)計(jì)（論文） _______________________________________________________________________________ 13 1) 網(wǎng)絡(luò)路由信息交換安全策略：包含路由器的認(rèn)證，路由信息過濾，多種動(dòng)態(tài)路由協(xié)議 信息交換控制等。 2) 網(wǎng)絡(luò)服務(wù)安全控制：包含標(biāo)準(zhǔn)訪問控制列表 (ACL)，擴(kuò)展的訪問控制列表(Extend ACL)，動(dòng)態(tài)訪問