【正文】 公司能利用無處不在的 Inter，通過單一網(wǎng)絡(luò)結(jié)構(gòu)，為職員和商業(yè)伙伴和提供無縫和安全連接。 VPN 可以為企業(yè)和服務(wù)器提供商帶來 很多 好處。使用 VPN 有節(jié)省成本、提供遠(yuǎn)程訪問、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等優(yōu)點(diǎn)，將會(huì)成為今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。 Sw2(config)int f0/4 Sw2(configif)shut Sw2(configif)int f0/5 Sw2(configif)standby 200 track f0/4 30 Sw2(configif)no shut Sw1(configif)int f0/5 Sw1(configif)standby 200 preempt Sw1(configif)no shut Sw2(configif)int f0/4 Sw2(configif)no shut 最后啟用調(diào)試功能： debug standby 41 虛擬專用網(wǎng)（ Virtual Private Netword， VPN） VPN 技術(shù)概述 虛擬專用網(wǎng)（ VPN）技術(shù)使是指在公共網(wǎng)絡(luò)中建立一個(gè)專用網(wǎng)絡(luò)，使數(shù)據(jù)通過安全 的加密通道在公共網(wǎng)絡(luò)中傳播。 Sw1(config)int f0/5 Sw1(configif)ip add Sw1(configif)no shut Sw1(configif)standby 200 ip Sw1(configif)no shut Sw1(configif)standby 200 priority 110 Sw1(configif)no shut Sw2(config)int f0/5 Sw2(configif)ip add Sw2(configif)no shut Sw2(configif)standby 200 ip 40 Sw2(configif)no shut Sw2(configif)standby 200 priority 120 Sw2(configif)no shut 第四步：配置 HSRP 的占先權(quán) 。 Sw1(config)int f0/4 Sw1(configif)ip add Sw1(configif)no shut Sw1(configif)standby 100 ip Sw1(configif)no shut Sw1(configif)standby 100 priority 120 Sw1(configif)no shut 39 第二步：配置三層交換機(jī) 2（ sw2）中的 f0/4 的 IP 地址、配置它的 HSRP組和它的 Virtualipaddress， 以及它的 Priority。下面 本人 將網(wǎng)絡(luò)組建的三層交換機(jī) 1 和 2的結(jié)構(gòu)從圖 1中抽離出來，如圖 13。一般常見的熱 備份技術(shù)主要有：設(shè)備模塊的熱備份、路由的熱備份（包括路由器的熱備份、多層交換機(jī)的熱備份、防火墻的熱備份等）、服務(wù)器的熱備份等。 路由熱備份技術(shù) 熱備份，就是將兩臺(tái)或多臺(tái)設(shè)備模擬成一臺(tái)設(shè)備，平時(shí)以一臺(tái)設(shè)備提供服務(wù)，而另外的設(shè)備帶電備份，一旦主設(shè)備出現(xiàn)故障，備份設(shè)備立刻接替主設(shè)備工作，從而不使網(wǎng)絡(luò)服務(wù)中斷的技術(shù)。 圖 12 干道技術(shù)的應(yīng)用 還可以根據(jù)需要拒絕某些 VLAN 對(duì)敏感數(shù)據(jù)的訪問。 如圖 12 所示，將在核心交換機(jī) 1 和 2 中應(yīng)用干道技術(shù)，此處，以交換機(jī) 1 為例。這種自動(dòng)協(xié)商 通常依賴于兩部交換機(jī) (在同一網(wǎng)段上 )之間已有的鏈路，并且與這條鏈路相連的端 口要專用于干線連接，這與靜態(tài)干線設(shè)置非常相似。在這種情況下， 交換機(jī)周期性地發(fā)送指示幀，表明它們希望轉(zhuǎn)到干線連接模式。這類干線設(shè)置對(duì)于一個(gè)由端節(jié)點(diǎn)和干線混合組成的網(wǎng)段可能會(huì)很有用。例如，交換機(jī)可以通告自己能夠支持某種類型的幀標(biāo)記36 VLAN，因此按這個(gè)交換機(jī)通告的幀格式向其發(fā)送幀是不會(huì)有錯(cuò)的。當(dāng)自動(dòng)協(xié)商機(jī)制不能正常工作或不可用時(shí)，靜態(tài)配置是非常有用的，其缺點(diǎn)是必須手工維護(hù)。干線上每一個(gè)交換機(jī)都可由程序設(shè)定發(fā)送及接收使用特定干線連接協(xié)議的幀。它至少有如下三種處理方法：靜態(tài)干線配置、干線功能通告、干線自動(dòng)協(xié)商。當(dāng)幀通過中繼以后，去掉標(biāo)記同時(shí)把幀交換到相應(yīng)的 VLAN 端口。每 一個(gè)交換機(jī)要維護(hù)復(fù)雜的過濾表，現(xiàn)在使用的是幀標(biāo)記法。 在中 trunk 線路上傳輸不同的 VLAN 的數(shù)據(jù)時(shí)，可使用有兩種方法識(shí)別不同的 VLAN 的數(shù)據(jù)：幀過濾和幀標(biāo)記。一個(gè)帶有外出端口的缺省 PVID 相等的 PVID 的包發(fā)送 不被加標(biāo)簽。一個(gè) IEEE 干道端口同時(shí)支持加標(biāo)簽和未加標(biāo)簽的流量。它只用在 CISCO 產(chǎn)品中。在一個(gè) ISL 干道端口中，所有接收到的數(shù)據(jù)包被使用 ISL 頭部封裝，并且所有被傳輸和發(fā)送的包都帶有35 一個(gè) ISL 頭。 交換機(jī)間鏈路（ ISL）是一種 CISCO 專用的協(xié)議，用于連接多個(gè)交換機(jī)。 VLAN 標(biāo)識(shí)從邏輯上定義了，哪個(gè)數(shù)據(jù)包是它有多種協(xié) 議，而 最常用到的是基于 : IEEE 和 CISCO 專用的協(xié)議： ISL。同時(shí) Trunk鏈路可以連接一臺(tái)交換機(jī)或者路由器或者服務(wù)器，還可以采用通過 Trunk 技術(shù)和上級(jí)交換機(jī)級(jí)聯(lián)的方式來擴(kuò)展接口數(shù)量，可以達(dá)到近似堆疊的功能，節(jié)省了網(wǎng)絡(luò)硬件的成本。在接入模式下，接口屬于且只屬于一個(gè) VLAN。 34 干道 干道技術(shù)的用途 交換機(jī)的接口可以運(yùn)行為接入模式（ Access Mode）或者干道模式（ Trunk Mode）。 VLAN 的優(yōu)點(diǎn) VLAN 的優(yōu)點(diǎn)在于，網(wǎng)絡(luò)的管理者可以在對(duì)網(wǎng)絡(luò)的物理結(jié)構(gòu)不做或者少做調(diào)整 的前提下對(duì)用戶進(jìn)行組織和優(yōu)化。 VLAN 之間通過路由器可以互訪，二層交換機(jī)不能讓 VLAN 互訪。 33 然 后 將定義的訪問控制列表應(yīng)用在接口上，從圖 1 可知，網(wǎng)段 1 到網(wǎng)段3 主要有兩個(gè)接口可以通過 f0/4 和 f0/5，所以我們?cè)?f0/4 和 f0/5 上使用in 方向的訪問控制列表。 下面將以核心交換機(jī) 1 為例， 要在核心交換機(jī)里面限制 vlan1 和 vlan2與 vlan3 和 vlan4 之間的互訪。當(dāng)在出方向使用訪問控制列表，雖然也可以達(dá)到目的，但是被過濾的數(shù)據(jù)包也經(jīng)過了查詢路由的操作，這樣就浪費(fèi)了路由器的系統(tǒng)資源，使路由器的包通過率比使用進(jìn)方向的訪問控制列表低。 進(jìn)方向和出方向的訪問控制列表的工作流程如圖 10 和圖 11 所示。 31 訪問控制列表的工作流程 圖 10 進(jìn)方向上的訪問控制列表的工作流程 訪問控制列表是用在接口上來過濾數(shù)據(jù)流量的技術(shù)，接口上有進(jìn)（ in）和出 （ out）兩個(gè) 方向，所以訪問控制列表的配置也有進(jìn)和出兩個(gè)方向。通過正確地應(yīng)用訪問控制列表，網(wǎng)絡(luò)管理員幾乎可以做到任何 他想要的安全策略。訪問控制列表就是用來在使用路由技術(shù)的網(wǎng)絡(luò)里，識(shí)別和 過濾哪些由某些網(wǎng)絡(luò)發(fā)出的或者被發(fā)送去某些網(wǎng)絡(luò)的符合我們所規(guī)定條件的數(shù)據(jù)流量，以決定這些數(shù)據(jù)流量是應(yīng)該轉(zhuǎn)發(fā)還是應(yīng)該丟棄的技術(shù)。 Router(configrouter)area 1 authentication messagedigest 聲明區(qū)域 1 中的路由設(shè)備使用密文鄰居驗(yàn)證。 30 因?yàn)檫吔缏酚善骱屯獠柯酚善髦g屬于 area1所以此處以 area1 為例說明。 Router(configrouter)area areaid authentication messagedigest 密文鄰居驗(yàn)證在組網(wǎng)中的應(yīng)用 以邊界路由器為和外部路由器為例說明密文驗(yàn)證的應(yīng)用。 Router(configrouter)area areaid authentication 配置密文驗(yàn)證 ： 在路由器連接相鄰路由設(shè) 備的接口上配置密文密碼命令，在該命令中，Password 處應(yīng)該填寫密文密碼， KeyID 是 Key 的值， MD5 是一種加密的算法。 配置明文驗(yàn)證 ： 使用下面的命令在路由器連接相鄰路由設(shè)備的接口上配置明文密碼命令，在該命令中， Password 處應(yīng)該填寫明文密碼。 同一區(qū)域內(nèi)的路由器，通過互相交換 Hello 包，可以識(shí)別到相鄰路由器29 所配置的密碼，如果密碼不同， OSPF 路由協(xié)議的鄰居關(guān)系就不能建立。 Authentication Date 是驗(yàn)證的具體數(shù)據(jù)。 Authentication Type 是驗(yàn)證的類型。通過在同一區(qū)域內(nèi)的路由器上配置密碼，可以使運(yùn)行 OSPF 路由協(xié)議的路由器之間進(jìn)行身份驗(yàn)證，只有密碼相同的路由器之間才可以建立鄰居關(guān)系，而密碼不同的路由器之間不能建立鄰居關(guān)系。 三層交 換機(jī)中，由于總的交換機(jī)并不是很多，沒有超過 20 臺(tái)，所以將這部分 OSPF 協(xié)議的區(qū)域劃分都劃分為區(qū)域 0，給予不同交換機(jī) OSPF 不同的進(jìn)程號(hào)。在核心交換機(jī) 1 中， OSPF 進(jìn)程號(hào)定義為 12，將該交換機(jī)中的所有網(wǎng)段 劃分為區(qū)域 0。 小組 在邊界路由器中， 小組 將 OSPF 進(jìn)程號(hào)定義為 10，將網(wǎng)段 劃分到區(qū)域 0，網(wǎng)段 劃分區(qū)域 1，網(wǎng) 段 劃分為區(qū)域 2。另外 OSPF 路由協(xié)議分區(qū)域的網(wǎng)絡(luò)設(shè)計(jì)，能夠最大限度的限制網(wǎng)絡(luò)故障對(duì)整個(gè)路由網(wǎng)絡(luò)的沖擊，其能夠控制網(wǎng)絡(luò)故障所影響的范圍，盡量保證網(wǎng)絡(luò)的正常運(yùn)行， 所以在網(wǎng)絡(luò)中使用 OSPF 路由協(xié)議，并對(duì)路由網(wǎng)絡(luò)劃分區(qū)域 ，是比較符合 本小組 這個(gè)網(wǎng)絡(luò)組建的要求的。 圖 8 運(yùn)行 OSPF 的網(wǎng)絡(luò)環(huán)境 27 企業(yè)網(wǎng)絡(luò)組建中 OSPF 的應(yīng)用 圖 9 企業(yè)網(wǎng)絡(luò)組建中 OSPF 的應(yīng)用 首先， 組建的網(wǎng)絡(luò)屬于中型企業(yè)網(wǎng)絡(luò)， OSPF 路由協(xié)議是一個(gè)開放式的路由協(xié)議，該路由協(xié)議可以被大多數(shù)的網(wǎng)絡(luò)設(shè)備廠商支持。我們需要使用最短路徑優(yōu)先算法從這個(gè)拓?fù)浣Y(jié)構(gòu)中計(jì)算出最短路徑。 但是這個(gè)拓?fù)溥€有環(huán)路存在。如圖8 所示的網(wǎng)絡(luò)。 OSPF 路由協(xié)議的最短路徑優(yōu)先算法 最短路徑優(yōu)先（ Shortest Path First）算法是由一位荷蘭的計(jì)算機(jī)科學(xué)家 Dijkstra 與 1959年發(fā)現(xiàn)的，所以該算法又稱為 Dijkstra 算法。路由器學(xué)習(xí)到全部的網(wǎng)絡(luò)拓?fù)洌⑼負(fù)浔碇?，它們?huì)使用最短路徑優(yōu)先的算法，從拓?fù)浔碇杏?jì)算出路由來。 運(yùn)行 OSPF 路由協(xié)議的路由器，在剛剛開始工作的時(shí)候，首先和相鄰路由器建立鄰居關(guān)系，形成鄰居表，然后互相交換自己所了解的網(wǎng)絡(luò)拓?fù)洹?OSPF 路由協(xié)議中的開放式（ OPEN）表示該協(xié)議 是 向公眾開放的非私有協(xié)議。 RIPv2 路由協(xié)議并不像 RIPv1一樣使用廣播發(fā)送路由更新，它使用多點(diǎn)廣播進(jìn)行路由更新。但由于 RIPv2 路由協(xié)議支持在發(fā)送路由表更新的同時(shí)，也發(fā)送網(wǎng)段的子網(wǎng)掩碼信息，所以 RIPv2 路由協(xié)議支持 VLSM（可變長(zhǎng)子網(wǎng)掩碼），運(yùn)行 RIPv2 路由協(xié)議可以學(xué) 習(xí)到子網(wǎng)的路由。 這是由 RIP 路由協(xié)議工作原理決定的，是無法改變的。所以，路由器必須依靠相鄰路由器來獲取網(wǎng)絡(luò)的可達(dá)信息。 由于 RIP 路由協(xié)議對(duì)度量值的計(jì)算方法非常簡(jiǎn)單，所以應(yīng)用 RIP 路由協(xié)議時(shí)，配置簡(jiǎn)單方便，對(duì)網(wǎng)絡(luò)工程師來說，學(xué)習(xí)和應(yīng)用路由都非常容易。 圖 7 RIP 路由協(xié)議路徑選擇 24 RIP 的特性、優(yōu)缺點(diǎn)及適用的網(wǎng)絡(luò)類型 RIP 路由協(xié)議的特性是簡(jiǎn)單易用和收斂時(shí)間長(zhǎng)。 PC1 與 PC2 之間有 100Mbps的以太路徑，但由于它所經(jīng)過的路由器比10Mbps 的以太網(wǎng)路徑所經(jīng)過的多，因此，運(yùn)行 RIP 路由協(xié)議的路由器還是選擇會(huì)選擇 10Mbps 的以太網(wǎng)路徑作為最佳路由。到達(dá)同一個(gè)網(wǎng)段跳數(shù)越少，路徑的路由就越佳，跳數(shù)最少的路徑被記入路由表，成為路由。所以，雖然它不適合大規(guī) 模路由網(wǎng)絡(luò)應(yīng)用，但是在小規(guī)模網(wǎng)絡(luò)中，應(yīng)用還是比較普遍。而我們今天所熟知 RIP 路由協(xié)議，是 Xerox 于 1970 年開發(fā)出來的。 RIP 路由協(xié)議 RIP 路由協(xié)議的工作原理 RIP（路由協(xié)議）是一種用于路由器之間及主機(jī)之間交換路由信息的距離矢量 路由協(xié)議。之后是指定數(shù)據(jù)傳輸?shù)淖畲髠鬏攩卧?，命令如下? Router(configif)ip mtu 1492 然后封裝 PPP，以及配置 PPP 驗(yàn)證參數(shù)，命令在此處省略，附錄中給出。 22 配置 VPDN 組：其作用在于聲明路由器使用 PPPoE 的 ADSL 封裝方式。 如圖 6 將在邊界路由器上實(shí)現(xiàn) ADSL 技術(shù)，用以實(shí)現(xiàn)遠(yuǎn)程訪問，自動(dòng)獲取 IP 地址，并實(shí)現(xiàn) Tel 遠(yuǎn)程管理。 21 企業(yè)網(wǎng)絡(luò)組建中 ADSL 技術(shù)的應(yīng)用 前面 已經(jīng)說明， PPPoE 方式的 ADSL 連接方法是從 ADSL MODEM 直接連接以太雙絞線電纜到路由器的以 太接口上，而 PPPoA 方式的 ADSL 連接方法是把 ISP， 直接連到路由器的 ATM 模塊上，不管是路由器的以太接口或是 ATM模塊，都不是能夠進(jìn)行撥號(hào)的接口（能撥號(hào)的有 BRI 接口、直接連接電話線的接口等），以太接口和 ATM 接口不能完成 ADSL 撥號(hào)工作， Cisco 路由器使用虛擬接口的方式解決這一問題 。 如圖 5 所示，我們可以看到， ISP 的 ADSL 線路沒有通過 ADSL MODEM，而是直 接連接到 CPE（這時(shí)一般是路由器）的 ATM