【導(dǎo)讀】?jī)?nèi)部的某些資源。軟件和實(shí)驗(yàn)室具體操作相結(jié)合的方式來(lái)完成。的互訪，ADSL技術(shù)實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)等等。例如企業(yè)內(nèi)部限制了投資部和財(cái)務(wù)部之間的互訪，而部門(mén)內(nèi)部可以互。訪，同時(shí)它們還可以訪問(wèn)資料庫(kù)。時(shí)可以在運(yùn)行OSPF的路由器上，配置密文認(rèn)證的方式，增加網(wǎng)絡(luò)的安全性。的研究，能為今后中小企業(yè)網(wǎng)絡(luò)的組建提供一個(gè)可參考的模型。勇老師給定的若干個(gè)課題中選擇的。自動(dòng)獲取IP地址，并且實(shí)現(xiàn)Tel遠(yuǎn)程管理。事部等不能互訪，但他們能同時(shí)訪問(wèn)辦公室和公共資料庫(kù)。絡(luò)安全模塊中，應(yīng)具備常見(jiàn)的訪問(wèn)安全、操作系統(tǒng)安全、設(shè)備安全。設(shè)計(jì)的總體目標(biāo)一是使系統(tǒng)互通互連，最大限度地實(shí)現(xiàn)信息資源共享；二是電子信息的傳遞取代紙面文件、材料的傳送，逐漸實(shí)現(xiàn)“無(wú)紙辦公”，分析，為各級(jí)領(lǐng)導(dǎo)提供決策支持，更好地組織生產(chǎn)和經(jīng)營(yíng)?？晒芾硇约耙拙S護(hù)性、對(duì)業(yè)務(wù)流量模型變化的適應(yīng)性。轉(zhuǎn)換技術(shù)），ADSL技術(shù)。數(shù)據(jù)流控技術(shù)應(yīng)用訪問(wèn)控制列表控制數(shù)據(jù)流。

　　

【正文】 控制列表是用在接口上來(lái)過(guò)濾數(shù)據(jù)流量的技術(shù)，接口上有進(jìn)（ in）和出 （ out）兩個(gè) 方向，所以訪問(wèn)控制列表的配置也有進(jìn)和出兩個(gè)方向。進(jìn)方向的訪問(wèn)控制列表負(fù)責(zé)過(guò)濾進(jìn)入接口的數(shù)據(jù)流量，出方向的訪問(wèn)控制負(fù)責(zé)控制從接口發(fā)出的數(shù)據(jù)流量。 進(jìn)方向和出方向的訪問(wèn)控制列表的工作流程如圖 10 和圖 11 所示。 從以上兩個(gè)工作流程可以看出，如果在接口 s0 上使用進(jìn)方向的訪問(wèn)控制列表 ，可以在為數(shù)據(jù)包查詢(xún)路由之前就將我們要過(guò)濾掉的數(shù)據(jù)包丟棄。當(dāng)在出方向使用訪問(wèn)控制列表，雖然也可以達(dá)到目的，但是被過(guò)濾的數(shù)據(jù)包也經(jīng)過(guò)了查詢(xún)路由的操作，這樣就浪費(fèi)了路由器的系統(tǒng)資源，使路由器的包通過(guò)率比使用進(jìn)方向的訪問(wèn)控制列表低。 32 圖 11 出方向上的訪問(wèn)控制列表的工作流程 網(wǎng)絡(luò)設(shè)計(jì)中訪問(wèn)控制列表的應(yīng)用 本次企業(yè)網(wǎng)絡(luò)的組建中， 也將大量運(yùn)用訪問(wèn)控制列表，按照設(shè)計(jì)要求，投資部、財(cái)務(wù)部、人事部、信息部等，它們之間是不能互訪的，所以 要在核心交換機(jī) 1 和核心交換機(jī) 2 中利用訪問(wèn)控制列表限制要求的各個(gè)網(wǎng)段之間的互訪，即過(guò)濾掉某些網(wǎng)段的數(shù)據(jù)包。 下面將以核心交換機(jī) 1 為例， 要在核心交換機(jī)里面限制 vlan1 和 vlan2與 vlan3 和 vlan4 之間的互訪。 在全局模式下建立訪問(wèn)控制列表 ： Switch(config)accesslist 110 deny ip 將訪問(wèn)控制列表表號(hào)設(shè)為 110， deny 是拒絕 網(wǎng)段的數(shù)據(jù)包到 網(wǎng)段，這里也可以使 permit（允許） ，但是設(shè)計(jì)要求是不能訪問(wèn)所以是 deny。 33 然 后 將定義的訪問(wèn)控制列表應(yīng)用在接口上，從圖 1 可知，網(wǎng)段 1 到網(wǎng)段3 主要有兩個(gè)接口可以通過(guò) f0/4 和 f0/5，所以我們?cè)?f0/4 和 f0/5 上使用in 方向的訪問(wèn)控制列表。 Switch (config)int f0/4 Switch (configif)accessgroup 110 in Switch (configif)int f0/5 Switch (configif)accessgroup 110 in Switch (configif)exit VLAN 技術(shù) VLAN 的定義 VLAN 能夠提供全部傳統(tǒng)的 LAN 所能夠提供的特性，如可擴(kuò)展性、安全性（ VLAN 之間不通過(guò)路由器不能互訪）、網(wǎng)絡(luò)的管理等。 VLAN 之間通過(guò)路由器可以互訪，二層交換機(jī)不能讓 VLAN 互訪。 VLAN 依靠路由提供廣播過(guò)濾、安全性 和數(shù)據(jù)流量的管理。 VLAN 的優(yōu)點(diǎn) VLAN 的優(yōu)點(diǎn)在于，網(wǎng)絡(luò)的管理者可以在對(duì)網(wǎng)絡(luò)的物理結(jié)構(gòu)不做或者少做調(diào)整 的前提下對(duì)用戶(hù)進(jìn)行組織和優(yōu)化。 VLAN 具有以下優(yōu)點(diǎn)：可以容易地添加、移動(dòng)網(wǎng)絡(luò)中的主機(jī)，可以容易地改變 LAN 的配置，還可以簡(jiǎn)單地控制網(wǎng)絡(luò)中的數(shù)據(jù)流量和增進(jìn)安全性。 34 干道 干道技術(shù)的用途 交換機(jī)的接口可以運(yùn)行為接入模式（ Access Mode）或者干道模式（ Trunk Mode）。交換機(jī)接口所連接的鏈路也被相應(yīng)地稱(chēng)為接入鏈路和 Trunk 鏈路。在接入模式下，接口屬于且只屬于一個(gè) VLAN。 Trunk 技術(shù) 是 一種封 裝 技術(shù)，它是一條點(diǎn)到點(diǎn)的鏈路，主要功能就是僅通過(guò)一條鏈路就可以連接多個(gè)交換機(jī)從而擴(kuò)展 到 配置多個(gè) VLAN。同時(shí) Trunk鏈路可以連接一臺(tái)交換機(jī)或者路由器或者服務(wù)器，還可以采用通過(guò) Trunk 技術(shù)和上級(jí)交換機(jī)級(jí)聯(lián)的方式來(lái)擴(kuò)展接口數(shù)量，可以達(dá)到近似堆疊的功能，節(jié)省了網(wǎng)絡(luò)硬件的成本。 干道技術(shù)工作過(guò)程（ Trunk） 要傳輸多個(gè) VLAN 的通信，需要用專(zhuān)門(mén)的協(xié)議封裝或者加上標(biāo)記（ tag），以便接收設(shè)備能區(qū)分?jǐn)?shù)據(jù)所屬的 VLAN。 VLAN 標(biāo)識(shí)從邏輯上定義了，哪個(gè)數(shù)據(jù)包是它有多種協(xié) 議，而 最常用到的是基于 : IEEE 和 CISCO 專(zhuān)用的協(xié)議： ISL。下面 本人 簡(jiǎn)要的 介 紹一下這兩種協(xié)議。 交換機(jī)間鏈路（ ISL）是一種 CISCO 專(zhuān)用的協(xié)議，用于連接多個(gè)交換機(jī)。當(dāng)數(shù)據(jù)在 交 換機(jī)之間傳遞時(shí)負(fù)責(zé)保持 VLAN 信息的協(xié)議。在一個(gè) ISL 干道端口中，所有接收到的數(shù)據(jù)包被使用 ISL 頭部封裝，并且所有被傳輸和發(fā)送的包都帶有35 一個(gè) ISL 頭。從一個(gè) ISL 端口收到的本地幀（ nontagged）被丟棄。它只用在 CISCO 產(chǎn)品中。 IEEE 正式名稱(chēng)是虛擬橋接局域網(wǎng)標(biāo)準(zhǔn)，用在不同的產(chǎn)家生產(chǎn)的交 換機(jī)之間。一個(gè) IEEE 干道端口同時(shí)支持加標(biāo)簽和未加標(biāo)簽的流量。一個(gè) IEEE 干道端口被指派了一個(gè)缺省的端口 VLAN id（ PVID, Portbase VLAN ID），并且所有的未加標(biāo)簽的 流量在該端口的缺省 PVID 上傳輸。一個(gè)帶有外出端口的缺省 PVID 相等的 PVID 的包發(fā)送 不被加標(biāo)簽。所有其他的流量發(fā)送是被加上 VLAN 標(biāo)簽的。 在中 trunk 線路上傳輸不同的 VLAN 的數(shù)據(jù)時(shí)，可使用有兩種方法識(shí)別不同的 VLAN 的數(shù)據(jù)：幀過(guò)濾和幀標(biāo)記。幀過(guò)濾法根據(jù)交換機(jī)的過(guò)濾表檢查幀的詳細(xì)信息。每 一個(gè)交換機(jī)要維護(hù)復(fù)雜的過(guò)濾表，現(xiàn)在使用的是幀標(biāo)記法。數(shù)據(jù)幀在中繼線上傳輸?shù)臅r(shí)候，交換機(jī)在幀頭的信息中加標(biāo)記來(lái)指定相應(yīng)的VLAN id。當(dāng)幀通過(guò)中繼以后，去掉標(biāo)記同時(shí)把幀交換到相應(yīng)的 VLAN 端口。幀標(biāo)記法被 IEEE 選定為標(biāo)準(zhǔn)化的中繼機(jī)制。它至少有如下三種處理方法：靜態(tài)干線配置、干線功能通告、干線自動(dòng)協(xié)商。 靜態(tài)干線配置 ： 靜態(tài)干線配置最容易理解。干線上每一個(gè)交換機(jī)都可由程序設(shè)定發(fā)送及接收使用特定干線連接協(xié)議的幀。在這種設(shè)置下，端口通常專(zhuān)用于干線連接，而不能用于連接端節(jié)點(diǎn)，至少不能連接那些不使用干線連接協(xié)議 ( Trunking protocol)的端節(jié)點(diǎn)。當(dāng)自動(dòng)協(xié)商機(jī)制不能正常工作或不可用時(shí)，靜態(tài)配置是非常有用的，其缺點(diǎn)是必須手工維護(hù)。 干線功能通告 ： 交換機(jī)可以周期性地發(fā)送通告幀，表明它們能夠?qū)崿F(xiàn)某種干線連接功能。例如，交換機(jī)可以通告自己能夠支持某種類(lèi)型的幀標(biāo)記36 VLAN，因此按這個(gè)交換機(jī)通告的幀格式向其發(fā)送幀是不會(huì)有錯(cuò)的。交換機(jī)的功能還止這些，它還可以通告它現(xiàn)在想為哪個(gè) VLAN 提供干線連接服務(wù)。這類(lèi)干線設(shè)置對(duì)于一個(gè)由端節(jié)點(diǎn)和干線混合組成的網(wǎng)段可能會(huì)很有用。 干線自動(dòng)協(xié)商：干線也能通過(guò)協(xié)商過(guò)程自動(dòng)設(shè)置。在這種情況下， 交換機(jī)周期性地發(fā)送指示幀，表明它們希望轉(zhuǎn)到干線連接模式。如果另一端的交換機(jī)收到并識(shí)別這些幀， 并自動(dòng)進(jìn)行配置，那么這兩部交換機(jī)就會(huì)將這些端口設(shè)成干線連接模式。這種自動(dòng)協(xié)商 通常依賴(lài)于兩部交換機(jī) (在同一網(wǎng)段上 )之間已有的鏈路，并且與這條鏈路相連的端 口要專(zhuān)用于干線連接，這與靜態(tài)干線設(shè)置非常相似。 企業(yè)網(wǎng)絡(luò)組建中干道技術(shù)的應(yīng)用 在組建網(wǎng)絡(luò)時(shí)，用到了兩個(gè)三層交換機(jī)做核心交換機(jī)，在這兩個(gè)核心交換機(jī)中一共劃分了 7 個(gè) VLAN，要實(shí)現(xiàn)多個(gè) VLAN 可以傳遞數(shù)據(jù)流量，所以 本小組 將引入干道技術(shù)實(shí)現(xiàn) 交換機(jī)之間的連接。 如圖 12 所示，將在核心交換機(jī) 1 和 2 中應(yīng)用干道技術(shù)，此處，以交換機(jī) 1 為例。核心交換機(jī) 1 的 interface f0/4f0/9 端口將配置干道技術(shù)， 這里只以 interface0/4 為例， 配置方式如下： Switchconfig terminal Switch(config)interface f0/4 Switch(configif)switch mode trunk //設(shè)置接口為干道模式 37 Switch(configif)switch trunk encapsulation dot1q //設(shè)置接口的封裝類(lèi)型為 IEEE ，如 //前文所述， 另一種封裝類(lèi)型為 ISL Switch（ configif） switch trunk allowed vlan all //Trunk 接口允許所有 VLAN 發(fā)送和接口傳輸。 圖 12 干道技術(shù)的應(yīng)用 還可以根據(jù)需要拒絕某些 VLAN 對(duì)敏感數(shù)據(jù)的訪問(wèn)。例如： switch trunk allowed vlan remove vlan 60，允許所有 VLAN，去除 VLAN 60。 路由熱備份技術(shù) 熱備份，就是將兩臺(tái)或多臺(tái)設(shè)備模擬成一臺(tái)設(shè)備，平時(shí)以一臺(tái)設(shè)備提供服務(wù)，而另外的設(shè)備帶電備份，一旦主設(shè)備出現(xiàn)故障，備份設(shè)備立刻接替主設(shè)備工作，從而不使網(wǎng)絡(luò)服務(wù)中斷的技術(shù)。 38 圖 13 HSRP 的配置 目前，在網(wǎng)絡(luò)中大量應(yīng)用熱備份技術(shù)，以提供網(wǎng)絡(luò)的冗余能力。一般常見(jiàn)的熱 備份技術(shù)主要有：設(shè)備模塊的熱備份、路由的熱備份（包括路由器的熱備份、多層交換機(jī)的熱備份、防火墻的熱備份等）、服務(wù)器的熱備份等。 在企業(yè)網(wǎng)絡(luò)組建時(shí)主要是在三層交換機(jī) 1 和 2 中應(yīng)用路由 熱備份技術(shù)。下面 本人 將網(wǎng)絡(luò)組建的三層交換機(jī) 1 和 2的結(jié)構(gòu)從圖 1中抽離出來(lái)，如圖 13。 第一步：配置三層交換機(jī) 1（ sw1）的端口 f0/4 的 IP 地址、配置它的HSRP 組和它的 Virtualipaddress， 以及它的 Priority（優(yōu)先權(quán)） 。 Sw1(config)int f0/4 Sw1(configif)ip add Sw1(configif)no shut Sw1(configif)standby 100 ip Sw1(configif)no shut Sw1(configif)standby 100 priority 120 Sw1(configif)no shut 39 第二步：配置三層交換機(jī) 2（ sw2）中的 f0/4 的 IP 地址、配置它的 HSRP組和它的 Virtualipaddress， 以及它的 Priority。 Sw2(config)int f0/4 Sw2(configif)ip add Sw2(configif)no shut Sw2(configif)standby 100 ip Sw2(configif)no shut Sw2(configif)standby 100 priority 110 Sw2(configif)no shut 第三步：配置 sw1 和 sw2 的 IP 地址、配置它的 HSRP 組和它的Virtualipaddress， 以及它的 Priority。 Sw1(config)int f0/5 Sw1(configif)ip add Sw1(configif)no shut Sw1(configif)standby 200 ip Sw1(configif)no shut Sw1(configif)standby 200 priority 110 Sw1(configif)no shut Sw2(config)int f0/5 Sw2(configif)ip add Sw2(configif)no shut Sw2(configif)standby 200 ip 40 Sw2(configif)no shut Sw2(configif)standby 200 priority 120 Sw2(configif)no shut 第四步：配置 HSRP 的占先權(quán) 。 Sw2(config)int f0/5 Sw2(configif)standby 200 preempt 第五步：配置 HSRP 的端口跟蹤 。 Sw2(config)int f0/4 Sw2(configif)shut Sw2(configif)int f0/5 Sw2(configif)standby 200 track f0/4 30 Sw2(configif)no shut Sw1(configif)int f0/5 Sw1(configif)standby 200 preempt Sw1(configif)no shut Sw2(configif)int f0/4 Sw2(configif)no shut 最后啟用調(diào)試功能： debug standby 41 虛擬專(zhuān)用網(wǎng)（ Virtual Private Netword， VPN） VPN 技術(shù)概述 虛擬專(zhuān)用網(wǎng)（ VPN）技術(shù)使是指在公共網(wǎng)絡(luò)中建立一個(gè)專(zhuān)用網(wǎng)絡(luò)，使數(shù)據(jù)通過(guò)安全 的加密通道在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專(zhuān)線，連接上本地的 Inter 各地的機(jī)構(gòu)就可以互相傳遞信息。使用 VPN 有節(jié)省成本、提供遠(yuǎn)程訪問(wèn)、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等優(yōu)點(diǎn)，將會(huì)成為今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。 VPN 組網(wǎng)優(yōu)勢(shì) VPN 實(shí)際上就是一種服務(wù)，用戶(hù)在使用中感覺(jué)好像直接和個(gè)人網(wǎng)絡(luò)相連，但事實(shí)上是通過(guò)服務(wù)商來(lái)實(shí)現(xiàn)連接的。 VPN 可以為企業(yè)和服務(wù)器提供商帶來(lái) 很多 好處。 采用遠(yuǎn)程訪問(wèn)的公司提前支付了購(gòu)買(mǎi)和支持整個(gè)遠(yuǎn)程訪問(wèn)基礎(chǔ)結(jié)構(gòu)的全部費(fèi)用。 公司能利用無(wú)處不在的 Inter，通過(guò)單一網(wǎng)絡(luò)結(jié)構(gòu)，為職員和商業(yè)伙伴和提供無(wú)縫和安全連接。對(duì)于企業(yè)基于撥號(hào) VPN 的 Extra 能加強(qiáng)與用戶(hù)、商業(yè)