【文章內(nèi)容簡介】 LAN 有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個 VLAN 內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理 LAN 網(wǎng)段。一個 VLAN 內(nèi)部的廣播和單播流量都不會轉發(fā)到其他 VLAN 中，即使是兩臺計算機有著同樣的網(wǎng)段，但是它們卻沒有相同的 VLAN 號，它們各自的廣播流也不會相互轉發(fā) ,從而有助于控制流量、減少設備投資、簡化網(wǎng)絡管理、提高網(wǎng)絡的安全性。 VLAN 是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎上增加了 VLAN 頭，用 VLAN ID 把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡。 既然 VLAN 隔離了廣播風暴，同時也隔離了各個不同的 VLAN 之間的通訊，所以不同的 VLAN 之間的通訊是需要有路由來完成的。 DHCP DHCP 是 Dynamic Host Configuration Protocol(動態(tài)主機分配協(xié)議 )縮寫 。它分為兩個部份：一個是服務器端，而另一個是客戶端。所有的 IP 網(wǎng)絡 設定數(shù)據(jù)都由 DHCP 服務器集中管理，并負責處理客戶端的 DHCP 要求；而客戶端則會使用從服務器分配下來的 IP 環(huán)境數(shù)據(jù)。比較起 BOOTP ， DHCP 透過 租約 的概念，有效且動態(tài)的分配客戶端的 TCP/IP 設定，而且，作為兼容考慮，DHCP 的分配形式 首先，必須至少有一臺 DHCP 工作在網(wǎng)絡上面，它會監(jiān)聽網(wǎng)絡的 DHCP 請求，并與客戶端 磋商 TCP/IP 的設定環(huán)境。 DHCP 是 BOOTP 的擴展，是基于 C/S 模式的，它提供了一種動態(tài)指定 IP地址和配置參數(shù)的機制。這主要用于大型網(wǎng)絡環(huán)境和配 置比較困難的地方。DHCP 服務器自動為客戶機指定 IP 地址，指定的配置參數(shù)有些和 IP 協(xié)議并不相關，但這必沒有關系，它的配置參數(shù)使得網(wǎng)絡上的計算機通信變得方便而容易實現(xiàn)了。 DHCP 使 IP 地址的可以租用，對于許多擁有許多臺計算機的大型網(wǎng)絡來說，每臺計算機擁有一個 IP 地址有時候可能是不必要的。租期從 1 分鐘到 100年不定，當租期到了的時候，服務器可以把這個 IP 地址分配給別的機器使用?？蛻粢部梢哉埱笫褂米约合矚g的網(wǎng)絡地址及相應的配置參數(shù) GRE 通用路由封裝（ GRE: Generic Routing Encapsulation）定義了在任意本科 畢業(yè)設計（論文） _______________________________________________________________________________ 9 一種網(wǎng)絡層協(xié)議上封裝任意一個其它網(wǎng)絡層協(xié)議的協(xié)議。 在大多數(shù)常規(guī)情況下，系統(tǒng)擁有一個有效載荷（或負載）包，需要將它封裝并發(fā)送至某個目的地。首先將有效載荷封裝在一個 GRE 包中，然后將此 GRE 包封裝在其它某協(xié)議中并進行轉發(fā)。此外發(fā)協(xié)議即為發(fā)送協(xié)議。當 IPv4 被作為 GRE 有效載荷傳輸時，協(xié)議類型字段必須被設置為 0x800。當一個隧道終點拆封此含有 IPv4 包作為有效載荷的 GRE 包時， IPv4 包頭中的目的地址必須用來轉發(fā)包，并且需要減少有效載荷包的 TTL。值得注意的是，在轉發(fā)這樣一個包時，如果有效載荷包的目的地址就是包的封裝器（也就是隧道另一端），就會出現(xiàn)回路現(xiàn)象。在此情形下，必須丟棄該包。當 GRE 包被封裝在 IPv4 中時，需要使用 IPv4 協(xié)議 47。 GRE 下的網(wǎng)絡安全與常規(guī)的 IPv4 網(wǎng)絡安全是較為相似的， GRE 下的路由采用 IPv4 原本使用的路由，但路由過濾保持不變 。包過濾要求防火墻檢查 GRE 包，或者在 GRE 隧道終點完成過濾過程。在那些這被看作是安全問題的環(huán)境下，可以在防火墻上終止隧道。 VPN VPN的 英文全稱是 “Virtual Private Network”，翻譯過來就是 “虛擬專用網(wǎng)絡 ”。顧名思義，虛擬專用網(wǎng)絡我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。 它可以通過特殊的加密的通訊協(xié)議在連接在 Inter 上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬件設備。 VPN 技術原是路由器具有的重要技術之一，目前在交換機，防火墻設備或 WINDOWS2021 等軟件里也都支持 VPN 功能，一句話， VPN 的核心就是在利用公共網(wǎng)絡建立虛擬私有網(wǎng)。 虛擬專用網(wǎng)（ VPN）被定義為通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。 虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴 和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。 本科 畢業(yè)設計（論文） _______________________________________________________________________________ 10 PVST PVST: PerVLAN Spanning Tree（每 VLAN 生成樹） PVST 是解決在虛擬局域網(wǎng)上處理生成樹的 CISCO 特有解決方案． PVST為每個虛擬局域網(wǎng)運行單獨的生成樹實例．一般情況下 PVST 要求在交換機之間的中繼鏈路上運行 CISCO 的 ISL。 每 VLAN 生成樹 (PVST)為每個在網(wǎng)絡中配置的 VLAN 維護一個生成樹實例。它使用 ISL 中繼和允許一個 VLAN 中繼當被其它 VLANs 的阻塞時將一些VLANs 轉發(fā)。盡管 PVST 對待每個 VLAN 作 為一個單獨的網(wǎng)絡，它有能力 (在第2 層 )通過一些在主干和其它在另一個主干中的不引起生成樹循環(huán)的 Vlans 中的一些 VLANs 來負載平衡通信。 HSRP HSRP：熱備份路由器協(xié)議（ HSRP： Hot Standby Router Protocol） 熱備份路由器協(xié)議（ HSRP）的設計目標是支持特定情況下 IP 流量失敗轉移不會引起混亂、并允許主機使用單路由器，以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。換句話說，當源主機不能動態(tài)知道第一跳路由器的 IP 地址時， HSRP 協(xié)議能 夠保護第一跳路由器不出故障。該協(xié)議中含有多種路由器，對應一個虛擬路由器。 HSRP 協(xié)議只支持一個路由器代表虛擬路由器實現(xiàn)數(shù)據(jù)包轉發(fā)過程。終端主機將它們各自的數(shù)據(jù)包轉發(fā)到該虛擬路由器上。 負責轉發(fā)數(shù)據(jù)包的路由器稱之為主動路由器（ Active Router）。一旦主動路由器出現(xiàn)故障， HSRP 將激活備份路由器（ Standby Routers）取代主動路由器。HSRP 協(xié)議提供了一種決定使用主動路由器還是備份路由器的機制，并指定一個虛擬的 IP 地址作為網(wǎng)絡系統(tǒng)的缺省網(wǎng)關地址。如果主動路由器出現(xiàn)故障，備份路由器（ Standby Routers）承接主動路由器的所有任務，并且不會導致主機連通中斷現(xiàn)象。 HSRP 運行在 UDP 上，采用端口號 1985。路由器轉發(fā)協(xié)議數(shù)據(jù)包的源地址使用的是實際 IP 地址，而并非虛擬地址，正是基于這一點， HSRP 路由器間能相互識別 . AAA認證 AAA 身份驗證 (Authentication) 、 授 權 (Authorization) 和 統(tǒng) 計 本科 畢業(yè)設計（論文） _______________________________________________________________________________ 11 (Accounting)Cisco 開發(fā)的一個提供網(wǎng)絡安全的系統(tǒng)。 AAA ，認證 (Authentication)：驗證用戶的 身份與可使用的網(wǎng)絡服務 。授權(Authorization)：依據(jù)認證結果開放網(wǎng)絡服務給用戶 。計帳 (Accounting)：記錄用戶對各種網(wǎng)絡服務的用量，并提供給計費系統(tǒng)。整個系統(tǒng)在網(wǎng)絡管理與安全問題中十分有效。 首先，認證部分提供了對用戶的認證。整個認證通常是采用用戶輸入用戶名與密碼來進行權限審核。認證的原理是每個用戶都有一個唯一的權限獲得標準。由 AAA 服務器將用戶的標準同數(shù)據(jù)庫中每個用戶的標準一一核對。如果符合，那么對用戶認證通過。如果不符合，則拒絕提供網(wǎng)絡連接。 接下來，用戶還要通過授權來獲得操作相應 任務的權限。比如，登陸系統(tǒng)后，用戶可能會執(zhí)行一些命令來進行操作，這時，授權過程會檢測用戶是否擁有執(zhí)行這些命令的權限。簡單而言，授權過程是一系列強迫策略的組合，包括：確定活動的種類或質量、資源或者用戶被允許的服務有哪些。授權過程發(fā)生在認證上下文中。一旦用戶通過了認證，他們也就被授予了相應的權限。 最后一步是帳戶，這一過程將會計算用戶在連接過程中消耗的資源數(shù)目。這些資源包括連接時間或者用戶在連接過程中的收發(fā)流量等等。可以根據(jù)連接過程的統(tǒng)計日志以及用戶信息，還有授權控制、賬單、趨勢分析、資源利用以及容量計劃活動來 執(zhí)行帳戶過程。 驗證授權和帳戶由 AAA 服務器來提供。 AAA 服務器是一個能夠提供這三項服務的程序。當前同 AAA 服務器協(xié)作的網(wǎng)絡連接服務器接口是 “遠程身份驗證撥入用戶服務 (RADIUS)”。 本科 畢業(yè)設計（論文） _______________________________________________________________________________ 12 3 網(wǎng)絡設計 真實案例 Cisco 公司已經(jīng)成功地在中國實踐了前述的教育網(wǎng)絡設計思想，特別是河南省教育科研寬帶 IP 骨干網(wǎng)絡全部采用了先進的高速寬帶 光傳輸網(wǎng)絡技術，已經(jīng)成為這類新型教育網(wǎng)絡的典范。 河南省教育科研寬帶 IP 網(wǎng)絡全面采用 Cisco 公司的 AVVID 網(wǎng)絡體系結構，一期工程總共采用了 10 臺 Cisco GSR 12021 和 GSR12021，近 20 臺 Cisco OSR 6509，其他各類交換機和路由器數(shù)百臺。該網(wǎng)絡集成了遠程教學等多種多媒體應用，特別是采用了 550 部 Cisco 的新型 7940 IP 電話和 4 套 CallManager 組建了我國第一個省級 IP Telephony 網(wǎng)絡，并結合 Cisco 視頻產(chǎn)品 IPTV 系列建立了許多新的教育模式。這一網(wǎng)絡基于分層設計分為三層：骨干傳輸網(wǎng)、城域網(wǎng)、接入網(wǎng)，采用三級管理模式：省網(wǎng)絡中心、地市網(wǎng)絡中心、校園網(wǎng)，連接省內(nèi)各大中專院校、各中小學校、各級教育主管部 門和其他教育科研單位，未來更將延伸到每一個需要教育培訓的公眾面前。 骨干網(wǎng)絡由分布在 17 個地市的核心節(jié)點組成，與河南省廣電合作利用其光纖資源，全省形成環(huán)網(wǎng)狀冗余拓撲結構。在各個核心節(jié)點分別配置 Cisco 公司在國際上多次獲獎的千兆位路由交換機 GSR 12021 系列中的 12021 和 12021 作為核心傳輸設備，節(jié)點間使用裸光纖配合 POS 技術實現(xiàn) 鏈路互連 并采用 HSRP 技術 ，以提供物理層、鏈路層及 IP 層的冗余連接能力。根據(jù)各地市的具體情況，可以建設城域教育網(wǎng)絡也可以在核心節(jié)點配置匯接設備直接 解決接入網(wǎng)絡的接入問題，匯接設備可選用 Cisco 12021 或 6509，采用 POS、 DPT 或千兆以太技術，傳輸速率可達 1～ ， 具體設計可以非常靈活。 基于 Cisco IOS 的多功能網(wǎng)絡平臺：網(wǎng)絡中采用的網(wǎng)絡設備均采用 Cisco IOS (Interworking Operation System 互聯(lián)網(wǎng)絡操作系統(tǒng) )為核心功能軟件。 Cisco IOS集成了路由技術，局域網(wǎng)交換技術， ATM 交換技術，各種移動遠程訪問接入技術，廣域網(wǎng)互連技術等超過 15,000 個網(wǎng)絡互連功能，已經(jīng)成為網(wǎng)絡互連的標準 。CiscoIOS 系統(tǒng)支持今天的絕大多數(shù)網(wǎng)絡應用系統(tǒng)，同時 Cisco IOS 系統(tǒng)可提供從數(shù)據(jù)鏈路層到應用層的多種網(wǎng)絡服務，如： L2/L3VPN(虛擬專網(wǎng) )， VPDN(虛擬撥號專網(wǎng) )，以及對 MPLS 技術的支持允許提供各種網(wǎng)絡增值服務。 豐富的網(wǎng)絡安全機制：網(wǎng)絡設計是按照標準 ISP(國際互聯(lián)網(wǎng)絡服務商 )方式設計的 IP 交換網(wǎng)絡平臺。整個網(wǎng)絡與國際互聯(lián)網(wǎng)絡平滑連接，因此網(wǎng)絡的安全性尤其重要。方案中采用 Cisco IOS 多種安全策略： 本科 畢業(yè)設計（論文） _______________________________________________________________________________ 13 1) 網(wǎng)絡路由信息交換安全策略：包含路由器的認證，路由信息過濾，多種動態(tài)路由協(xié)議 信息交換控制等。 2) 網(wǎng)絡服務安全控制：包含標準訪問控制列表 (ACL)，擴展的訪問控制列表(Extend ACL)，動態(tài)訪問