【正文】 由于用戶不小心配置了DHCP服務器引起的網(wǎng)絡混亂非常常見，足可見此問題的普遍性。 三種地址分配方式中，只有動態(tài)分配可以重復使用客戶端不再需要的地址。 手動分配 由網(wǎng)絡管理員為客戶端指定固定的IP地址。 動態(tài)分配 DHCP服務器給客戶端分配有時間限制的IP地址，使用期限到期后，客戶端需要重新申請地址，客戶端也可以主動釋放該地址。DHCP服務器有三種機制分配IP地址：此外，DHCP還可以確保不使用重復地址、重新分配未使用的地址，并且可以自動為主機連接的子網(wǎng)分配適當?shù)腎P地址。DHCPDHCP是一種用于簡化主機IP配置管理的協(xié)議標準。比如：大型熱點區(qū)域和企業(yè)用戶選用無線WDS技術的解決方案的時候，可以通過各種可選的無線應用方式來連接各個AP，這樣就大大提高了整個網(wǎng)絡結構的靈活型和便捷性。即：橋接模式+AP模式。WDS最多允許在訪問點之間配置四個點對點鏈路。的通信量中繼至另一具有以太網(wǎng)連接的此鏈路可以將來自一個不具有以太網(wǎng)連接的AP(WDS)無線分布式系統(tǒng)(WDS)的無線中繼模式，就是在WDS上可以讓無線AP之間通過無線進行橋接（中繼），在這同時并不影響其無線AP覆蓋的功能。根據(jù)AP的功用不同，WLAN可以根據(jù)用戶的不同網(wǎng)絡環(huán)境的需求, 實現(xiàn)不同的組網(wǎng)方式。在AP信號覆蓋范圍內(nèi)的無線工作站可以通過它進行相互通信，沒有AP基本上就無法組建真正意義上可訪問Internet的WLAN。通俗的講，無線AP是無線網(wǎng)和有線網(wǎng)之間溝通的橋梁。你的無線網(wǎng)絡仍然可以使用，只是不會出現(xiàn)在其他人所搜索到的可用網(wǎng)絡列表中。 無線路由器一般都會提供“允許SSID廣播”功能。出于安全考慮可以不廣播SSID，此時用戶就要手工設置SSID才能進入相應的網(wǎng)絡。簡單說，SSID就是一個局域網(wǎng)的名稱，只有設置為名稱相同SSID的值的電腦才能互相通信。無線組網(wǎng)模式SSID SSID（Service Set Identifier）也可以寫為ESSID，用來區(qū)分不同的網(wǎng)絡，最多可以有32個字符，無線網(wǎng)卡設置了不同的SSID就可以進入不同網(wǎng)絡，SSID通常由AP廣播出來，通過XP自帶的掃描功能可以相看當前區(qū)域內(nèi)的SSID。這使得網(wǎng)絡上的多媒體應用有了長足發(fā)展的機會，為服務質(zhì)量(QoS)控制提供了良好的網(wǎng)絡平臺.l 加入了對自動配置(Autoconfiguration),使得網(wǎng)絡(尤其是局域網(wǎng))的管理更加方便和快捷。IPv6的地址分配一開始就遵循聚類 (Aggregation)的原則，這使得路由器能在路由表中用一條記錄(Entry)表示一片子網(wǎng)，大大減小了路由器中路由表的長度，提高了路由器轉發(fā)數(shù)據(jù)包的速度。IPv6中IP地址的長度為128，即有2^1281個地址。IPv6的主要優(yōu)勢體現(xiàn)在以下幾方面：擴大地址空間、提高網(wǎng)絡的整體吞吐量、改善服務質(zhì)量(QoS)、安全性有更好的保證、支持即插即用和移動性、更好實現(xiàn)多播功能。VLAN采用多種方式配置于企業(yè)網(wǎng)絡中，包括網(wǎng)絡安全認證、隔離IP語音流在不同協(xié)議的網(wǎng)絡中傳輸數(shù)據(jù)等虛擬局域網(wǎng)（VLAN）的出現(xiàn)打破了傳統(tǒng)網(wǎng)絡的許多固有觀念，使網(wǎng)絡結構變得靈活、方便。通過劃分虛擬網(wǎng)，可以把廣播限制在各個虛擬網(wǎng)的范圍內(nèi)，從而減少整個網(wǎng)絡范圍內(nèi)廣播包的傳輸，提高了網(wǎng)絡的傳輸效率；同時各虛擬網(wǎng)之間不能直接進行通訊，而必須通過路由器轉發(fā)，為高級的安全控制提供了可能，增強了網(wǎng)絡的安全性。VLAN虛擬局域網(wǎng)VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術。標準訪問控制列表一般放在靠近目標的路由器上,而擴展訪問控制列表一般放于近源端的路由器上。而擴展訪問列表則可以提供更細的決定，它可以具體到端口，從而精確到某一個服務，比如對 WEB,FTP 的訪問等，給我們網(wǎng)絡的策略提供了更細的控制手段。我們通過這些設置來滿足實際網(wǎng)絡的靈活需求，從而達到設置網(wǎng)絡安全策 略，防止網(wǎng)絡中的敏感設備受到非授權訪問的情況。NAPT與動態(tài)地址NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設備選定的TCP端口號。網(wǎng)絡地址端口轉換NAPT（Network Address Port Translation）是人們比較熟悉的一種轉換方式。 動態(tài)地址NAT只是轉換IP地址，它為每一個內(nèi)部的IP地址分配一個臨時的外部IP地址，主要應用于撥號，對于頻繁的遠程聯(lián)接也可以采用動態(tài)NAT。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡的一個IP地址的不同端口上。其中靜態(tài)NAT設置起來最為簡單和最容易實現(xiàn)的一種，內(nèi)部網(wǎng)絡中的每個主機都被永久映射成外部網(wǎng)絡中的某個合法的地址。這里提到的內(nèi)部地址，是指在內(nèi)部網(wǎng)絡中分配給節(jié)點的私有IP地址，這個地址只能在內(nèi)部網(wǎng)絡中使用，不能被路由（一種網(wǎng)絡技術，可以實現(xiàn)不同路徑轉發(fā)）。這時，NAT屏蔽了內(nèi)部網(wǎng)絡，所有內(nèi)部網(wǎng)計算機對于公共網(wǎng)絡來說是不可見的，而內(nèi)部網(wǎng)計算機用戶通常不會意識到NAT的存在。 NAT就是在局域網(wǎng)內(nèi)部網(wǎng)絡中使用內(nèi)部地址，而當內(nèi)部節(jié)點要與外部網(wǎng)絡進行通訊時，就在網(wǎng)關（可以理解為出口，打個比方就像院子的門一樣）處，將內(nèi)部地址替換成公用地址，從而在外部公網(wǎng)（internet）上正常使用，NAT可以使多臺計算機共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問題。NAT的實現(xiàn) NAT英文全稱是“Network Address Translation”，中文意思是“網(wǎng)絡地址轉換”，它是一個IETF(Internet Engineering Task Force, Internet工程任務組)標準，允許一個整體機構以一個公用IP（Internet Protocol）地址出現(xiàn)在Internet上。 l 當主線路出現(xiàn)故障時自動使能備份線路，切換數(shù)據(jù)流。IEEE ，它提供了網(wǎng)絡的動態(tài)冗余切換機制。STP生成樹協(xié)議STP（生成樹協(xié)議）是一個二層管理協(xié)議。對于無線局域網(wǎng)接入而言，認證之后建立起來的信道（端口）被獨占，不存在其它用戶再次使用的問題，但是，就存在端口打開之后，其它用戶（合法或非法）可自由接入和無法控制的問題。認證的結果在于端口狀態(tài)的改變，而不涉及通常認證技術必須考慮的IP地址協(xié)商和分配問題，是各種認證技術中最簡化的實現(xiàn)方案。 ，又稱EAPOE認證，主要用于寬帶IP城域網(wǎng)。 (美)電氣與電子工程師協(xié)會提出，剛剛完成標準化的一個符合IEEE 802協(xié)議集的局域網(wǎng)接入控制協(xié)議，其全稱為基于端口的訪問控制協(xié)議。l IP地址的MAC地址綁定 IP地址靜態(tài)綁定時，接入網(wǎng)絡時檢查用戶的IP地址是否合法。局域網(wǎng)接入控制技術地址綁定l 基于端口的MAC地址綁定 設置交換機上某個端口綁定一個具體的MAC地址，這樣只有這個主機可以使用網(wǎng)絡，如果對該主機的網(wǎng)卡進行了更換或者其他PC機想通過這個端口使用網(wǎng)絡都不可用，除非刪除或修改該端口上綁定的MAC地址，才能正常使用。對于某些管理目的，如QoS需求或VPN拓撲結構，要求某些路由必須經(jīng)過特定的路徑，就可以使用策略路由。一個接口應用策略路由后，將對該接口接收到的所有包進行檢查，不符合路由圖任何策略的數(shù)據(jù)包將按照通常的路由轉發(fā)進行處理，符合路由圖中某個策略的數(shù)據(jù)包就按照該策略中定義的操作進行處理?！　貌呗月酚?，必須要指定策略路由使用的路由圖，并且要創(chuàng)建路由圖。策略路由協(xié)議 策略路由是一種比基于目標網(wǎng)絡進行路由更加靈活的數(shù)據(jù)包路由轉發(fā)機制。 作為一種鏈路狀態(tài)的路由協(xié)議，OSPF將鏈路狀態(tài)廣播數(shù)據(jù)包LSA（Link State Advertisement）傳送給在某一區(qū)域內(nèi)的所有路由器，這一點與距離矢量路由協(xié)議不同。在這里，路由域是指一個自治系統(tǒng)（Autonomous System），即AS，它是指一組通過統(tǒng)一的路由政策或路由協(xié)議互相交換路由信息的網(wǎng)絡。OSPF通過路由器之間通告網(wǎng)絡接口的狀態(tài)來建立鏈路狀態(tài)數(shù)據(jù)庫，生成最短路徑樹，每個OSPF路由器使用這些最短路徑構造路由表。與RIP相對，OSPF是鏈路狀態(tài)路由協(xié)議，而RIP是距離向量路由協(xié)議。若采用RIP協(xié)議，其網(wǎng)絡內(nèi)部所經(jīng)過的鏈路數(shù)不能超過15，這使得RIP協(xié)議不適于大型網(wǎng)絡。這加速了網(wǎng)絡的聚合，但容易產(chǎn)生廣播泛濫。分割范圍解決了兩個路由器之間的路由環(huán)路問題，但不能防止3個或多個路由器形成路由環(huán)路。但RIP也有明顯的不足，即當有多個網(wǎng)絡時會出現(xiàn)環(huán)路問題。但事實上RIP也有它自己的優(yōu)點。RIP2定義了一套有效的改進方案，新的RIP2支持子網(wǎng)路由選擇，支持CIDR，支持組播，并提供了驗證機制。RIP1被提出較早，其中有許多缺陷。在RIP中，如果一個路由在180s內(nèi)未被刷，則相應的距離就被設定成無窮大，并從路由表中刪除該表項。RIP進程使用UDP的520端口來發(fā)送和接收RIP分組。三層路由技術RIP路由協(xié)議RIP是路由信息協(xié)議（Routing Information Protocol）的縮寫，是一種在網(wǎng)關與主機之間交換路由選擇信息的標準，采用距離向量算法，是當今應用最為廣泛的內(nèi)部網(wǎng)關協(xié)議。第一代產(chǎn)品是一種由分立電子元件和原語式軟件相結合的簡單混合體，設備體積大、重量重、功耗高，所需散熱風扇功率高、體積大，而性能較差。 用戶權限控制RGS5750服務器群 Web/視頻…DHCP 服務器RS08……其他學生住宅樓…..其他校區(qū) IP地址規(guī)劃⑴網(wǎng)絡中心：核心交換機接口IP地址子網(wǎng)掩碼4/1(大樓A)4/2(大樓B)4/3(大樓C)4/4(大樓D)3/0(出口路由)Vlan88 路由器接口/公網(wǎng)IP配置情況IP地址子網(wǎng)掩碼0/0（內(nèi)網(wǎng)）S1/1(chinanet)0/1（Cernet）所得公網(wǎng)IP段DNS服務器⑵大樓1：Vlan號/端口網(wǎng)絡號/IP地址子網(wǎng)掩碼網(wǎng)　關1/1(上行)Vlan11Vlan12Vlan13Vlan14Vlan15⑶大樓2：Vlan號/端口網(wǎng)絡號/IP地址子網(wǎng)掩碼網(wǎng)　關1/1(上行)Vlan21Vlan22Vlan23Vlan24Vlan25⑷大樓3：Vlan號/端口網(wǎng)絡號/IP地址子網(wǎng)掩碼網(wǎng)　關1/1(上行)Vlan31Vlan32Vlan33Vlan34Vlan35第四章 技術選型三層交換技術的應用及選擇 第三層交換機，實際上就好象是將傳統(tǒng)交換器與傳統(tǒng)路由器結合起來的網(wǎng)絡設備，它既可以完成傳統(tǒng)交換機的端口交換功能，又可完成部分路由器的路由功能。 接入時段控制252。 支持集群功能，最多支持4臺防火墻之間的Active/Standby ,Active/Active模式產(chǎn)品參數(shù)RGWALL 1600千兆防火墻/VPN網(wǎng)關端 口固化4個10/100/1000BaseT 端口+4個SFP端口尺 寸標準19英寸寬度，2U高度電氣性能電源類型：AC 100240V/5060Hz電源功率：400W，冗余電源工作環(huán)境操作環(huán)境：溫度0℃~40℃，濕度0%~80%存儲環(huán)境：溫度40℃~80℃，濕度0%~ 95%技術性能MTBF（平均故障間隔時間）：≥100,000小時RGS2126S 40*6*20000=4800000元RGS5750 1*40*99000=360000元RGS8600 2*239800=479600元RGWALL1600 2*350000=700000元線纜費用10萬 總計 10096400*+100000=4,048,560元第三章網(wǎng)絡拓撲和IP規(guī)劃100M光纖雙絞線…1000M光纖10G光纖ChinaNetCennNet教學科研樓圖書館樓行政辦公樓綜合管理平臺學生住宅樓核心交換機RGS8606RGS8606RGS2126SRGS2126SRGS2126SRGS2126SRGS5750RGS5750RGS5750RGS5750RGWALL1600RGIDS入侵檢測系統(tǒng)接入控制：252。 支持冗余電源，提供更高設備可靠性 支持多種IDS產(chǎn)品聯(lián)動和自動響應阻斷方式 支持入侵檢測和防護（IPS） 支持BT/eDonkey/Kazaa等P2P軟件的禁止和帶寬限制 提供操作簡單的圖形化用戶界面對防火墻進行配置 安全的網(wǎng)絡結構和安全的體系結構 工作模式的多樣性，可以不影響現(xiàn)有網(wǎng)絡，迅速投入使用 流量控制管理，保證關鍵用戶，關鍵流量對網(wǎng)絡的使用 ● 基于網(wǎng)絡IP和MAC地址綁定的包過濾 實現(xiàn)DNS分離功能，保護了內(nèi)