【正文】 子網(wǎng)掩碼，RIP2進(jìn)行了改進(jìn)，支持變長的子網(wǎng)掩碼。RIP采用廣播的形式進(jìn)行路由信息交換，并且每30秒種發(fā)送一次，由于RIP路由跳數(shù)上的限制，以及路由信息的交換增加了網(wǎng)絡(luò)的負(fù)擔(dān)，所以在經(jīng)研院網(wǎng)絡(luò)建設(shè)中不適宜使用RIP路由協(xié)議。OSPF（開放最短路徑優(yōu)先）是一種鏈路狀態(tài)路由協(xié)議技術(shù)。鏈路狀態(tài)路由不必以分布方式計算最佳路由，而是維護(hù)一張完整的網(wǎng)絡(luò)圖，網(wǎng)絡(luò)圖保存在一個數(shù)據(jù)庫中，其中每個記錄都代表網(wǎng)絡(luò)的一條鏈路。在更新路由信息時只擴(kuò)散路由器相鄰的鏈路的信息，網(wǎng)絡(luò)交換的路由信息量少。OSPF還是一個層次化的路由技術(shù)，當(dāng)網(wǎng)絡(luò)規(guī)模擴(kuò)大時，鏈路狀態(tài)數(shù)據(jù)庫也相應(yīng)地擴(kuò)大，會造成對路由器的內(nèi)存需求增大，路由計算時間過長，為了解決這些問題，可以把整個網(wǎng)絡(luò)分割成圍繞著“主干”連接的若干相對獨(dú)立的部分，這些相對獨(dú)立的部分被稱之為“區(qū)域”。 “主干”部分被稱之為“主干區(qū)域（area0）”，每個區(qū)域內(nèi)的路由器數(shù)據(jù)庫只包含本區(qū)域內(nèi)的鏈路狀態(tài)信息，其它區(qū)域都通過“主干區(qū)域”交換路由信息，所以“主干區(qū)域”有時也被稱為反射器。IGRP/EIGRP（內(nèi)部網(wǎng)關(guān)路由協(xié)議/增強(qiáng)內(nèi)部網(wǎng)關(guān)路由協(xié)議）是Cisco公司的一個專有的網(wǎng)絡(luò)協(xié)議，它只能在Cisco的路由器及使用Cisco公司IOS網(wǎng)絡(luò)操作系統(tǒng)的路由器之間使用。 路由協(xié)議選擇經(jīng)研院的網(wǎng)絡(luò)連接將即采用靜態(tài)路由協(xié)議又采用動態(tài)路由協(xié)議進(jìn)行配置。根據(jù)經(jīng)研院現(xiàn)有三層網(wǎng)絡(luò)設(shè)備情況全部為思科網(wǎng)絡(luò)設(shè)備，確定動態(tài)路由協(xié)議可采用兩種路由協(xié)議，即ospf協(xié)議和EIGRP動態(tài)路由協(xié)議。在此，我們建議應(yīng)采用ospf動態(tài)路由協(xié)議進(jìn)行網(wǎng)絡(luò)配置，原因主要是EIGRP是Cisco公司的專有網(wǎng)絡(luò)協(xié)議，而ospf是各大廠商都支持的動態(tài)路由協(xié)議，在經(jīng)研院需要增加設(shè)備時，ospf可以滿足更多不同廠商、不同型號網(wǎng)絡(luò)設(shè)備的接入。 路由設(shè)計經(jīng)研院核心和中國石化之間采用OSPF動態(tài)路由協(xié)議。經(jīng)研院和中石化互相學(xué)習(xí)到路由條目。核心交換機(jī)和服務(wù)器區(qū)交換機(jī)之間有防火墻模塊進(jìn)行訪問控制，不建議采用動態(tài)路由協(xié)議，采用靜態(tài)路由協(xié)議。核心交換機(jī)和防火墻模塊都向服務(wù)器區(qū)指靜態(tài)路由，服務(wù)器區(qū)交換機(jī)和防火墻向核心交換機(jī)指默認(rèn)路由。這樣保證了服務(wù)器區(qū)、經(jīng)研院和中國石化的連通性。因?yàn)橛蟹阑饓榉?wù)器區(qū)做訪問策略，所以服務(wù)器區(qū)的安全得到了保證。核心交換機(jī)到互聯(lián)網(wǎng)區(qū)路由器使用的默認(rèn)路由，互聯(lián)網(wǎng)區(qū)路由器到互聯(lián)網(wǎng)區(qū)防火墻使用策略路由和默認(rèn)路由，到核心使用靜態(tài)路由?；ヂ?lián)網(wǎng)區(qū)防火墻使用默認(rèn)路由到Internet，到經(jīng)研院內(nèi)網(wǎng)使用靜態(tài)路由。 Internet區(qū)雙運(yùn)營商網(wǎng)絡(luò)和路由設(shè)計 Internet區(qū)域路由策略設(shè)計石化經(jīng)濟(jì)技術(shù)研究院上網(wǎng)是通過雙運(yùn)營商上網(wǎng)，一個聯(lián)通，一個電信，電信鏈路為主要Internet鏈路。為了保證辦公人員快速的訪問聯(lián)通或電信的網(wǎng)絡(luò)，在Internet出口路由器上面做策略路由。訪問聯(lián)通的網(wǎng)絡(luò)從聯(lián)通出口的防火墻出去，在防火墻上把內(nèi)網(wǎng)的地址轉(zhuǎn)換成聯(lián)通網(wǎng)絡(luò)的地址。訪問電信或者其他網(wǎng)的絡(luò)從電信出口的防火墻出去，在防火墻上把內(nèi)網(wǎng)的地址轉(zhuǎn)換成電信網(wǎng)絡(luò)的地址。兩臺Internet區(qū)域的路由器對內(nèi)網(wǎng)配置為HSRP，使路由器A成為主路由器，內(nèi)網(wǎng)上網(wǎng)的流量通過路由器A來進(jìn)行轉(zhuǎn)發(fā)。路由器A的HSRP優(yōu)先級配置為110，路由器B的HSRP優(yōu)先級配置為100。路由器A監(jiān)控鏈接內(nèi)網(wǎng)和外網(wǎng)的兩個接口，當(dāng)某一條鏈路故障的時候，路由器A的HSRP優(yōu)先級降低20，使路由器B成為活動路由器，內(nèi)網(wǎng)上網(wǎng)的流量通過路由器B來轉(zhuǎn)發(fā)。路由器A配置HSRP的搶占功能，當(dāng)出現(xiàn)問題恢復(fù)的時候，使路由器A成為主路由器。 Internet區(qū)域路由設(shè)計我們已經(jīng)知道了所有聯(lián)通網(wǎng)絡(luò)的ip地址段，在Internet區(qū)路由器上配置到目的地址為聯(lián)通網(wǎng)絡(luò)的，下一跳為聯(lián)通防火墻。配置默認(rèn)路由下一跳為電信防火墻。配置浮動默認(rèn)路由，下一跳為聯(lián)通防火墻，優(yōu)先級為200，低于默認(rèn)路由優(yōu)先級。當(dāng)電信的鏈路故障，默認(rèn)路由切換到聯(lián)通線路。當(dāng)廣域網(wǎng)鏈路DOWN了的時候路由器到防火墻的鏈路還是UP的，策略路由和默認(rèn)浮動路由是不會切換的。所以當(dāng)鏈路故障的時候是不會切換到下一條鏈路的。我們可以用CISOC SLA技術(shù)來檢測路由器到互聯(lián)網(wǎng)網(wǎng)關(guān)的連通性。當(dāng)路由器檢測到到電信或者聯(lián)通網(wǎng)關(guān)不通的時候，會切換策略路由或者靜態(tài)路由。SLA使用ECHO ICMP檢測聯(lián)通和電信網(wǎng)關(guān)，嘗試次數(shù)為5次，再把SLA和路由器上的策略路由和默認(rèn)路由關(guān)聯(lián)起來。 鏈路故障切換 內(nèi)部上網(wǎng)正常數(shù)據(jù)流 聯(lián)通鏈路故障內(nèi)部上網(wǎng)數(shù)據(jù)流 聯(lián)通鏈路故障內(nèi)部上網(wǎng)數(shù)據(jù)流 配置舉例ip sla monitor 1 type echo protocol ipicmpecho frequency 5 ip sla monitor schedule 1 life forever starttime now track 10 rtr 1!Routemap aa permit 10 Match ip address 101 Set nexthop verifyavailability 1 track 2!ip route f0/0 track 2! 核心交換防火墻模塊設(shè)計方案 防火墻模塊及防火墻部署兩臺核心交換機(jī)上各配置一塊Catalyst 6500的FWSM防火墻模塊，防火墻模塊對服務(wù)器區(qū)內(nèi)網(wǎng)區(qū)訪問服務(wù)器區(qū)提供安全保護(hù)。兩個防火墻模塊做Failover：核心交換機(jī)上的FWSM模塊使用VLANA、VLANB與核心交換機(jī)互聯(lián)， VLANA用作核心交換機(jī)與防火墻模塊的互聯(lián)VLAN, VLANB作為服務(wù)器區(qū)的互聯(lián)VLAN．兩個FWSM通過VLAND進(jìn)行Failover互聯(lián)，通過VLANE進(jìn)行Stateful Failover互聯(lián)。核心交換機(jī)與防火墻模塊相連的接口劃入VLANA中， 與服務(wù)器區(qū)的設(shè)備相連的接口劃入到VLANB中。在防火墻模塊VLAN A配置與服務(wù)器區(qū)交換機(jī)互連地址，在防火墻模塊VLAN B中配置與核心交換機(jī)互連地址。兩臺核心交換機(jī)之間啟用HSRP。 安全策略設(shè)計關(guān)于In/Out方向的解釋：l In是相對某一區(qū)域由外部發(fā)起至區(qū)域內(nèi)部的訪問；l Out是相對某一區(qū)域由內(nèi)部發(fā)起至區(qū)域外部的訪問；在防火墻模塊上把到內(nèi)網(wǎng)區(qū)定義為Inside，防火墻安全級別為100。到服務(wù)器區(qū)定義為DMZ，防火墻安全級別為50。防火墻Inside和DMZ之間的訪問策略根據(jù)實(shí)際的需求用ACL來控制。 ACS方案設(shè)計 ACS簡介Cisco Secure ACS(Access Control Server)是一種AAA服務(wù)器。所謂AAA，是指： 認(rèn)證(authentication)：當(dāng)NAS(Network Access Server網(wǎng)絡(luò)訪問服務(wù)器)收到一個用戶認(rèn)證的請求，它把有關(guān)信息通過UDP 1645發(fā)給Radius服務(wù)器，服務(wù)器檢查用戶數(shù)據(jù)庫確定是否為授權(quán)用戶，如果是，則給NAS返回驗(yàn)證通過的信息。認(rèn)證就是驗(yàn)證用戶是否可以獲得訪問權(quán)限——“你是誰？”授權(quán)(authorization): 通過Radius服務(wù)器還可以限定獲得認(rèn)證的用戶可以訪問的服務(wù)。如服務(wù)授權(quán)種類或存取時間限制設(shè)定。授權(quán)就是授權(quán)用戶可以使用哪些資源——“你能干什么？”記帳（accounting）: 如果需要，用戶連接結(jié)束后，NAS可以將連接持續(xù)的時間、流量等信息發(fā)給Radius服務(wù)器進(jìn)行記錄，作為計費(fèi)參考資料。記帳就是記錄用戶使用網(wǎng)絡(luò)資源的情況——“你干了些什么？” ACS軟件安裝和管理安裝的windows系統(tǒng)必須基于NT平臺，以管理員身份登錄到設(shè)備開始安裝ACS軟件。安裝后雙擊ACS的快捷方式，在管理員控制選項(xiàng)中添加管理員賬號。然后在客戶端的IE上輸入HTTP：//ACS服務(wù)器的IP：2002，輸入管理員賬號和密碼來設(shè)置ACS服務(wù)器。 ACS設(shè)計ACS服務(wù)器在本項(xiàng)目中只起到認(rèn)證的作用。ACS的用戶認(rèn)證通過Windows的AD的數(shù)據(jù)庫來做認(rèn)證。當(dāng)ACS試圖通過Windows的AD數(shù)據(jù)庫去認(rèn)證用戶的時候，ACS將用戶的憑證轉(zhuǎn)發(fā)給Windows數(shù)據(jù)庫。Windows數(shù)據(jù)庫驗(yàn)證用戶憑證，然后將成功的認(rèn)證信息通知給ACS。 ACS配置 添加ACS客戶端ACS客戶端通過ACS服務(wù)器做認(rèn)證，先要在ACS服務(wù)器上把認(rèn)證的客戶端添加進(jìn)來，采用Radius協(xié)議，并定義通訊的key。l 在導(dǎo)航欄上，點(diǎn)擊Network Configuration。進(jìn)入網(wǎng)絡(luò)配置模式。l 點(diǎn)擊AAA Client下面的Add Entry選項(xiàng)，進(jìn)入添加ACS客戶端界面。l 添加ACS客戶端，包括客戶端的名稱、ip地址、key和所通訊的協(xié)議。注意key和協(xié)議必須和客戶端上面的配置一致。 配置AD以及Windows用戶數(shù)據(jù)庫為了使AD和Windows用戶數(shù)據(jù)庫可以提供ACS的認(rèn)證功能，需要進(jìn)行如下操作：（因?yàn)榻?jīng)研院的域和AD已經(jīng)是配置好的，只需要把ACS服務(wù)器作為成員添加入域即可。）l 將網(wǎng)絡(luò)中的服務(wù)器配置成域控制器。l 在域中創(chuàng)建AD用戶及用戶組。l 將ACS服務(wù)器作為成員添加入域。 在ACS上配置Windows用戶數(shù)據(jù)庫認(rèn)證和組映射現(xiàn)在ACS服務(wù)器已經(jīng)加入了Windows域，下一步就要在ACS上配置Windows用戶數(shù)據(jù)庫認(rèn)證和將外部Windows AD數(shù)據(jù)庫映射到ACS用戶組。那些使用特定數(shù)據(jù)庫認(rèn)證的用戶自動的歸于用戶組，并且繼承了組的授權(quán)信息。 在ACS服務(wù)器上配置Windows外部數(shù)據(jù)庫l 在導(dǎo)航欄上，點(diǎn)擊External User Databases。l 在External User Databases頁面上，點(diǎn)擊Database Configuration。ACS顯示了所有可能的外部用戶數(shù)據(jù)庫的列表。l 點(diǎn)擊Windows Database。如果原先沒有Windows用戶數(shù)據(jù)庫的配置， Database Configuration Creation表就出現(xiàn)。 否則出現(xiàn)的是External User Database Configuration頁面。l 點(diǎn)擊Configure.帶有幾個選項(xiàng)的Windows User Database Configuration就會出現(xiàn)。l 配置必須的選項(xiàng)。所有出現(xiàn)在Windows User Database Configuration 頁面上的設(shè)置都是可選的，你不需要開啟它們除非你想允許這些選項(xiàng)同時配置特定的特性。l 點(diǎn)擊Submit完成配置。ACS保存了Windows用戶數(shù)據(jù)庫的配置?，F(xiàn)在你可以通過將它添加入未知用戶策略或者分配特定的用戶帳戶來利用這個數(shù)據(jù)庫進(jìn)行認(rèn)證。本文使用的是將配置加入未知用戶策略。 用Windows數(shù)據(jù)庫配置未知用戶策略未知用戶策略是一種認(rèn)證信息轉(zhuǎn)發(fā)的方式。從本質(zhì)上說，這一特性在認(rèn)證過程中是一個額外的步驟。如果用戶名在ACS內(nèi)部數(shù)據(jù)庫中不存在，ACS將帶有用戶名和密碼認(rèn)證的請求發(fā)送到所配置的外部數(shù)據(jù)庫。外部數(shù)據(jù)庫必須支持認(rèn)證請求適用的認(rèn)證協(xié)議。在本例中，ACS將從客戶端發(fā)出的認(rèn)證請求轉(zhuǎn)發(fā)到前文配置的Windows數(shù)據(jù)庫。為了達(dá)到這個目的，未知用戶組需要通過以下幾個步驟，映射到外部Windows數(shù)據(jù)庫() ：1. 在導(dǎo)航欄上，點(diǎn)擊External User Databases。然后，點(diǎn)擊Unknown User Policy。2. 為了允許未知用戶的認(rèn)證，允許未知用戶策略：a. 選擇Check the following external user databases選項(xiàng)。b. 在External Databases列表里選擇Windows Database，點(diǎn)擊 ?? (右箭頭) ，將Windows Database從External Databases移動到Selected Databases列表。如果需要從Selected Databases列表中移除，選擇數(shù)據(jù)庫，然后點(diǎn)擊?? (左箭頭) ，將該數(shù)據(jù)庫放回 External Databases列表。3. 點(diǎn)擊Submit。ACS保存并啟用了你所創(chuàng)建的未知用戶策略的配置。 設(shè)備ACS認(rèn)證配置在CISCO的設(shè)備上添加ACS服務(wù)器，協(xié)議用Radius協(xié)議。ACS服務(wù)器添加CISCO設(shè)備為客戶端，定義通訊之間的key。radiusserver host tacacsserver key *****aaa newmodelaaa authentication login loginlist group radius local！line vty 0 15login authentication loginlist！ 無線局域網(wǎng)設(shè)計 無線局域網(wǎng)的功能建立一套無線局域網(wǎng)滿足目前日益增加的無線網(wǎng)接入要求，并對信息點(diǎn)分布不足的地方進(jìn)行補(bǔ)充，可以增加網(wǎng)絡(luò)的覆蓋范圍和網(wǎng)絡(luò)的靈活性。區(qū)域應(yīng)該分布于研究院八個辦公室及其它的開放場所，無線作為有線的靈活補(bǔ)充，本方案提出無線區(qū)域的標(biāo)準(zhǔn)網(wǎng)絡(luò)設(shè)計方案，包含無線的集中管理、無線漫游和無線定位的技術(shù)，實(shí)施時需要提供用戶身份認(rèn)證、數(shù)據(jù)安全加密等功能。 無線局域網(wǎng)設(shè)計局域網(wǎng)無線設(shè)計拓?fù)洌簾o線采用基于CAPWAP標(biāo)準(zhǔn)協(xié)議，采用統(tǒng)一規(guī)劃并集中認(rèn)證，無線接入認(rèn)證采用與現(xiàn)有企業(yè)微軟活動目錄和思科ACS統(tǒng)一認(rèn)證進(jìn)行。無線網(wǎng)絡(luò)針對企業(yè)用戶和訪客分別設(shè)定不同的SSID，并分別對應(yīng)不同的VLAN，在有線網(wǎng)絡(luò)中對不同的VLAN之間訪問進(jìn)行控制，采用ACS集中對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證和管理。配置兩個SSID，一個為內(nèi)部人員使用，加密采用WPA，認(rèn)證采用思科ACS服務(wù)器認(rèn)證，ACS的用戶認(rèn)證通過Windows的AD的數(shù)據(jù)庫來做認(rèn)證。當(dāng)ACS試圖通過Windows的AD數(shù)據(jù)庫去認(rèn)證用戶的時候，ACS將用戶的憑證轉(zhuǎn)發(fā)給Windows數(shù)據(jù)庫。Windows數(shù)據(jù)庫驗(yàn)證用戶憑證，然后將成功的認(rèn)證信息通知給ACS。另一個SSID為guest的SSID，為臨時辦公人員來使用。