【正文】 ospf 協(xié)議 ,實現(xiàn)公司局域網(wǎng)與便于路由器的連接，為公司局域網(wǎng)接入廣域網(wǎng)作中繼： bound(config)router ospf 10 bound(configrouter)routerid bound(configrouter) a 0 網(wǎng)的安全，配置單向路由阻止外部網(wǎng)絡(luò)訪問公司內(nèi)部資源： Sw35(config)ip route ISP 上執(zhí)行 NAT轉(zhuǎn)換，允許銷售部、研發(fā)部接入 INTERNET(后勤部、保安部除外 ): 在邊緣路由器上配置訪問控制列表 10，允許銷售部、研發(fā)部接入： bound(config)accesslist 10 permit bound(config)accesslist 10 permit bound(config)ip nat inside source list 10 int f0/1 overload bound(config)int f0/1 bound(configif)ip nat outside bound(configif)int f0/0 bound(configif)ip nat inside 在 ISP 路由器上配置訪問控制列表 20，允許銷售部、研發(fā)部接入 互 聯(lián)網(wǎng)： ISP(config)accesslist 20 permit ISP(config)ip nat inside source list 20 int s1/0 overload ISP(config)int s1/0 ISP(configif)ip nat outside ISP(configif)int f0/0 ISP(configif)ip nat inside ISP(config)ip route 22 公司與合作伙伴間網(wǎng)絡(luò)配置 幀中繼配置 R1 與合作伙伴相連接的端口配置： R1(config)int s1/1 R1(configif)ip add R1(configif)no shut 2. 總公司與合作伙伴 2 封裝幀中繼并配置點對點協(xié)議，這里僅列出了其與合作伙伴 1 連接的命令 ,其他合作伙伴配置命令與此相似： 連接端口的配置： R6(config)int f0/0 R6(configif)no shut R6(configif)ip add 在物理端口（廣域網(wǎng)端口 s0/1/0）封裝幀中繼協(xié)議 : R6(configif)int s0/1/0 R6(configif)no shut R6configif)clock rate 64000 R6(configif)encapsulation framerelay 在物理端口上建立子接口，并指定接口類型 :pointtopoint，并配置 IP 地址： R6(configif)int s0/1/ pointtopoint R6(configsubif)ip add 給子接口配置 DLCI 值 : R6(configsubif)framerelay interfacedlci 30 建立對端協(xié)議地址與本地 DLCI 的映射關(guān)系 : R6(configsubif)description link to R5 dlic 20 應(yīng)用 OSPF 協(xié)議實現(xiàn)總公司與合作伙伴幀中繼分裝 PPP 的 連接 : R6(config)router ospf 10 R6(configrouter)routerid R6(configrouter) a 0 R6(configrouter) a 0 23 幀中繼云配置 配置幀中繼中云相關(guān)端口 ,指定數(shù)據(jù)流流向的端口，從而實現(xiàn)點對點通信的鏈路連接，該鏈接端口配置如圖 51： 圖 51 幀中繼云端口配置圖 VPN 配置 總公司核心路由器 R1 建立 VPN相關(guān)端口配置 ： R1(config)int f0/1 R1(configif)no shut R1(configif)int s1/2 R1(configif)no shut R1(configif)ip add R1(configif)clock rate 64000 R1(configif)int f0/1 R1(configif)ip add R1(configif)exit 24 IKE 第一階段 IKE 配置： isakmp 策略 10: R1(config)crypto isakmp policy 10 3des 加密 : R1(configisakmp)encryption 3des md5 驗證 : R1(configisakmp)hash md5 : R1(configisakmp)authentication preshare R1(configisakmp)exit ，并設(shè)置對端 IP 地址 : R1(config)crypto isakmp key 123abc add IKE 第二階段 sset，后面兩項為加密傳輸?shù)乃惴?: R1(config)crypto ipsec transformset sset esp3des espmd5hmac ： R1(config)accesslist 110 permit ip 感興趣流與變換集映射 123abc 序號 10: R1(config)crypto map 123abc 10 ipsecisakmp 隧道對端的 IP 地址 : R1(configcryptomap)set peer : 25 R1(configcryptomap)set transformset sset ,與第一步對應(yīng)引入訪問列表確定 受保護的數(shù)據(jù)流 : R1(configcryptomap)match address 110 R1(configcryptomap)exit 綁 定 Map 接口 R1(config)int s1/2 R1(configif)crypto map 123abc R1(configif)exit R1(config)ip route 第五章主要介紹了整個模擬網(wǎng)絡(luò)工程的詳細配置過程，接下來的第六章是在網(wǎng)絡(luò)模擬平臺上進行網(wǎng)絡(luò)模擬項目實驗，從而展示其網(wǎng)絡(luò)模擬功能。 以上比較詳細的介紹了整個模擬網(wǎng)絡(luò)項目工程總體規(guī)劃以及其中比較重要的網(wǎng)絡(luò)技術(shù)或協(xié)議的設(shè)計流程，接下來是整個模擬網(wǎng)絡(luò)工程拓撲的配置。 ３ .通過創(chuàng)建加 密圖將感興趣流與變換集映射在一起，從而確定了受保護的數(shù)據(jù)流。在 VPN 設(shè)計中，主要做以下工作 : （ Inter 密鑰交換）協(xié)議設(shè)置： （ 1）分別對通信兩端 建立 isakmp 策略并且采用 3des 加密協(xié)議； （ 2）哈希采用 md5算法驗證，雙方采用欲共享密鑰認證方式； （ 3）對通道進行加密，并設(shè)置對端 IP地址； （ 4）為了增強數(shù)據(jù)傳輸中的安全性， 創(chuàng)建變換集，采用 esp3des 和 espmd5hmac 算法。 15 總公司與合作伙伴間網(wǎng)絡(luò)規(guī)劃 總公司與其合作伙伴間采用點對點通信并結(jié)合 幀中繼技術(shù)，其網(wǎng)絡(luò)設(shè)計主要分為以下步驟 : （ 1） 在相關(guān)路由器廣域網(wǎng)端口上封裝 幀中繼協(xié)議； （ 2） 在上述物理端口上建立虛擬子接口，設(shè)置其為 pointtopoint類型，并為其配置相應(yīng) IP地址； （ 3） 給子接口配置 DLCI 值并建立對端協(xié)議地址與本地 DLCI 的映射關(guān)系； （ 4） 配置幀中繼中云相關(guān)端口 ,指定數(shù)據(jù)流流向的端口，從而實現(xiàn) 點對點通信的鏈路連接。 DHCP 協(xié)議，使得緣路由器與外網(wǎng)連接的端口可以自動獲得 IP地址。該 NAT 的配置大致可分為以下步驟： （ 1） 在邊緣路由器和 ISP 路由器上配置訪問控制鏈表，用以規(guī)定允許訪問廣域網(wǎng) IP 范圍； （ 2） 將訪問控制鏈表與相應(yīng)的路由端口映射在一起； （ 3） 指定 NAT 網(wǎng)絡(luò)內(nèi)部和外部接口，用以確定 NAT 網(wǎng)絡(luò)數(shù)據(jù)的流 向。 IP,其 IP地址范圍是： ； 14 ACL 技術(shù)，僅允許后勤部網(wǎng)段的 80端口可以訪問分公司服務(wù)器。 OSPF 路由協(xié)議的相關(guān)配置過程有如下幾個步驟： （ 1） 在相關(guān)路由器或三層交換上指定使用 ospf 協(xié)議，協(xié)議 ID為 10。 網(wǎng)絡(luò)總體布局拓撲 ,如圖 41： 圖 41 網(wǎng)絡(luò)工程總體拓撲圖 13 總公司內(nèi)部局域網(wǎng)規(guī)劃 VLAN:VLAN 2,VLAN 3,VLAN 4,VLAN 8,分別分配給公司內(nèi)部，銷售部、研發(fā)部、后勤部、保安部，將公司劃分為四個網(wǎng)段，便于管理； VLAN 之間互相通信，由于公司各部門一些特殊的設(shè)備需要設(shè)置靜態(tài) IP，所以設(shè)需要留地址范圍是： 20 ， 30 ， 40； TELNET，網(wǎng)管中心對公司內(nèi)部局域網(wǎng)進行遠程控制管理。下面的第四章就是要對整個網(wǎng)絡(luò)模擬工程的施工進行詳細的說明。網(wǎng)管系統(tǒng)應(yīng)支持設(shè)備的配置和監(jiān)視、網(wǎng)絡(luò)故障的監(jiān)測、網(wǎng)絡(luò)拓撲自動發(fā)現(xiàn)和報告等功能，而且能夠提供簡單方便的圖形用戶接 口。 計算機網(wǎng)絡(luò)系統(tǒng)是全球各公司廣域網(wǎng)智能系統(tǒng)的神經(jīng)中樞，它的運行狀態(tài)應(yīng)該得到全面的管理和監(jiān)控。 Inter/Intra 計算是網(wǎng)絡(luò)計算進一步發(fā)展的總體趨勢，它需要適應(yīng)應(yīng)用技術(shù)發(fā)展的需求，這不僅要求主干交換機，而且配線間工作組交換機也應(yīng)選擇具備第三層交換能力的設(shè)備，這樣可以在需要時分擔主干交換機的負載，更加有效地利用有限的主干帶寬。各公司廣域網(wǎng)應(yīng)選用具有硬件實現(xiàn)的第三層交換能力的網(wǎng)絡(luò)交換機（本設(shè)計選用的是356024ps 型三層交換機）用來滿足不斷增長的子網(wǎng)間通信需求，同時實現(xiàn)多媒體通信所要求的低延遲和延遲量的穩(wěn)定性。傳統(tǒng)路由器以軟件方式進行路由操作，這種操作方式產(chǎn)生的傳輸延遲是交換機產(chǎn)生的幾十倍，而且當網(wǎng)絡(luò)負載變化時，延遲時間會隨之有很大變化，這很不利于多媒體的傳輸；由于采用價格昂貴的高性能處理器和大量高速內(nèi)存而導致性能價格比非常低，無法進一步對吞吐量進行提高。 網(wǎng)絡(luò)通信中的大部分數(shù)據(jù)流量不再局限于各子網(wǎng)內(nèi)部，這是Inter/Intra 的相關(guān)計算方式對各公司廣域網(wǎng)計算機網(wǎng)絡(luò)系統(tǒng)的 10 另一個重大考驗。 但是如果虛擬網(wǎng)的應(yīng)用僅僅局限于局部網(wǎng)絡(luò)或單個交換機內(nèi)部，經(jīng)過網(wǎng)絡(luò)劃分后，整個網(wǎng)絡(luò)工程系統(tǒng)將成為一塊塊支離破碎的盲區(qū)。 計算機網(wǎng)絡(luò)系統(tǒng)采用現(xiàn)代交換原理，它促使虛擬網(wǎng)技術(shù)的應(yīng)用在全球范圍內(nèi)快速猛增。它是 DES 向 AES過渡的 加密算法 ，相對于 DES， 3DES 的加密安全性更加可靠，以 DES 為基本模塊 ，通過組合分組方法設(shè)計出分組 加密算法 。 3DES 是三重 數(shù) 據(jù)加 密 算 法 （ TDEA， Triple Data Encryption 9 Algorithm）塊密碼的統(tǒng)稱。 它為了防止Inter 與 專用網(wǎng)絡(luò) 的攻擊，采用 端對端 的安全性來提供對主動 的保護。 IKE 創(chuàng)建在由 ISAKMP 定義的框架上，使用了密鑰更新和 SKEME 的共享技術(shù)以及 OAKLEY 的 密鑰 交換模式。