畢業(yè)論文用Cisco設備構建大型企業(yè)網(wǎng)絡的解決方案安全的遠程訪問

1、【摘摘 要要】 隨著 Internet 技術日趨成熟，已經(jīng)開始了從以提供和保證網(wǎng)絡聯(lián)通性為主 要目標的第一代 Internet 技術向以提供網(wǎng)絡數(shù)據(jù)信息服務為特征的第二代 Internet 技術的過渡。與此同時，數(shù)以萬計的商業(yè)公司、政府機構在多年的猶豫、 觀望之后，意識到采用 Internet 技術并使企業(yè)數(shù)據(jù)通信網(wǎng)絡成為 Internet 的延 伸已成為發(fā)展趨勢。這使得企業(yè)數(shù)據(jù)網(wǎng)絡正迅速地從以封閉型的專線、專網(wǎng)為特 征的第二代技術轉向以 Internet 互聯(lián)技術為基礎的第三代企業(yè)信息網(wǎng)絡。國際 標準化組織將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和管 理的安全保護，保護計算機

2、硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、 更改和泄漏” 。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容， 其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性 和可用性的保護，而網(wǎng)絡安全性的含義是信息安全的引申，即網(wǎng)絡安全是對網(wǎng)絡 信息保密性、完整性和可用性的保護。計算機網(wǎng)絡安全的具體含義會隨著使用者 的變化而變化，使用者不同，對網(wǎng)絡安全的認識和要求也就不同。從普通使用者 的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡上傳輸時受到保護，避免 被竊聽、篡改和偽造；而網(wǎng)絡提供商除了關心這些網(wǎng)絡信息安全外，還要考慮如 何應付突發(fā)情況時如何恢復網(wǎng)絡通信，保持網(wǎng)絡通信

3、的連續(xù)性。 關鍵詞：關鍵詞：安全；虛擬局域網(wǎng)；虛擬專用網(wǎng)；AAA 認證。 【Abstract】 With Internet has already turned from the first generation the second.Meanwhile,thousands of company and governments realize the importance of Internet and take measures to build their own Network,so that extend the development of the Internet.This mak

4、es the Internet transfer from the second generation to the third which features basis of Inter connecting.International Standardization Organization is defined Computer security as:To set up data processing systems and the adoption of the technology and management of security protection,the protecti

5、on of computer hardware,software,data is not due to accidental and malicious destruction of reasons,change and leakage.The above definition of computer security include physical security and logical security of both the contents of the contents of the logic may be understood to safety often said tha

6、t our information security,information refers to the confidentiality,integrity and availability of protection,and network security the meaning of safety information are extended,that is,network security information on the network are confidentiality,integrity and availability protection.Computer net

7、work security as the specific meaning of the changes the user,the user is different from the understanding of network security and demands will be different.From the ordinary users point of view,only possible hope of personal privacy or confidential information on transfers in the network be protect

8、ed against eavesdropping,tampering and forgery;and apart from the network provider of information security concern for these networks,we must also consider how to deal with unexpected situation,how to restore network communications,and maintain continuity of network communications. Keyword：SECURE VL

9、AN VPN AAA. 目目 錄錄 第一章 緒論.1 第二章 網(wǎng)絡原理.2 1. VLAN 原理.2 2. VTP 原理.3 3. PVST 原理.4 4 SVI-VLAN 間路由.4 5 HSRP 原理.4 6. DHCP 原理.5 7 STP ROOT GUARD根保護原理.5 7.1 Spanning-Tree BUDU.5 7.2 STP Root Guard.6 8 PORTFAST UPLINKFAST BACKBONEFAST原理.7 8.1 Portfast.7 8.2 Uplinkfast.8 8.3 Backbonefast.8 9 AAA 認證原理.9 10 OSPF 原

10、理.10 11 VPN 虛擬專用網(wǎng)與加密原理.12 第三章 設計方案.16 1. 醫(yī)院網(wǎng)絡分析.16 2. 需求分析.19 3. 設備選型.20 4. 網(wǎng)絡設計.21 4.1 設備連接情況.21 4.2 醫(yī)院網(wǎng)絡拓撲.22 第四章 網(wǎng)絡系統(tǒng)實現(xiàn).24 1. 基礎配置.24 2 接入層配置.24 3 分布層配置.25 4 信息中心配置.26 5 核心層配置.27 5.1 核心交換機.27 5.1 核心路由器.32 第五章 結論.36 4.參考文獻.37 5.致謝.38 畢業(yè)設計（論文） 1 第一章第一章 緒論緒論 人類步入 21 世紀這個信息時代，信息可以幫助團體或個人，使他們受益， 同樣，信息

11、也可以用來對他們構成威脅，造成破壞。Internet 是一個開放的、 無控制機構的網(wǎng)絡，黑客（Hacker）經(jīng)常會侵入網(wǎng)絡中的計算機系統(tǒng)，或竊取 機密數(shù)據(jù)和盜用特權，或破壞重要數(shù)據(jù)，或使系統(tǒng)功能得不到充分發(fā)揮直至癱 瘓。Internet 的數(shù)據(jù)傳輸是基于 TCP/IP 通信協(xié)議進行的，這些協(xié)議缺乏使傳 輸過程中的信息不被竊取的安全措施。在計算機上存儲、傳輸和處理的電子信 息，還沒有像傳統(tǒng)的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去 向是否真實，內(nèi)容是否被改動，以及是否泄露等，在應用層支持的服務協(xié)議中 是憑著君子協(xié)定來維系的。電子郵件存在著被拆看、誤投和偽造的可能性。使 用電子郵件來傳輸

12、重要機密信息會存在著很大的危險。計算機病毒通過 Internet 的傳播給上網(wǎng)用戶帶來極大的危害，病毒可以使計算機和計算機網(wǎng)絡 系統(tǒng)癱瘓、數(shù)據(jù)和文件丟失。在網(wǎng)絡上傳播病毒可以通過公共匿名 FTP 文件傳 送、也可以通過郵件和郵件的附加文件傳播。與此同時太網(wǎng)技術的發(fā)展，以太 網(wǎng)的規(guī)模也越來越大，從小型的辦公環(huán)境到大型的園區(qū)網(wǎng)絡，網(wǎng)絡管理變得越 來越復雜。首先，在采用共享介質的以太網(wǎng)中，所有結點位于同一個沖突域中， 同時也位于同一個廣播域中，即一個結點向網(wǎng)絡中某些結點的廣播會被網(wǎng)絡中 所有的結點所接收，造成很大的帶寬資源和主機處理能力的浪費。為了解決傳 統(tǒng)以太網(wǎng)的沖突域問題，采用了交換機來對網(wǎng)段進

13、行邏輯劃分，于是虛擬局域 網(wǎng)也顯得更為重要了。虛擬專用網(wǎng)，VPN 它是利用公用網(wǎng)絡來連接到企業(yè)私有 網(wǎng)絡。但在 VPN 中，用安全機制來保障機密型，真實可靠行，完整性嚴格的訪 問控制。這樣就建立了一個邏輯上虛擬的私有網(wǎng)絡。它提供了一個經(jīng)濟有效的 手段來解決通過公用網(wǎng)絡安全的交換私有信息。它可以實現(xiàn)不同網(wǎng)絡的組件和 資源之間的相互連接。它能夠利用 Internet 或其它公共互聯(lián)網(wǎng)絡的基礎設施為 用戶創(chuàng)建隧道，并提供與專用網(wǎng)絡一樣的安全和功能保障。使用它技術可以解 決在當今遠程通訊量日益增大，企業(yè)全球運作廣泛分布的情況下，員工需要訪 問中央資源，企業(yè)相互之間必須進行及時和有效的通訊的問題。如果希

14、望企業(yè) 員工無論身處何地都能夠與企業(yè)計算資源建立連接，企業(yè)必須采用一個可靠性 高、擴展性強的遠程訪問解決方案。本次研究主要以構建健康良好的網(wǎng)絡為基 礎，實現(xiàn)通信無障礙化；并且在此基礎之上建立一個安全的私密的網(wǎng)絡環(huán)境將 成為本次研究的重點。 畢業(yè)設計（論文） 2 第二章第二章 網(wǎng)絡原理網(wǎng)絡原理 1.1. VLANVLAN 原理原理 隨著以太網(wǎng)技術的普及，以太網(wǎng)的規(guī)模也越來越大，從小型的辦公環(huán)境到 大型的園區(qū)網(wǎng)絡，網(wǎng)絡管理變得越來越復雜。首先，在采用共享介質的以太網(wǎng) 中，所有結點位于同一個沖突域中，同時也位于同一個廣播域中，即一個結點 向網(wǎng)絡中某些結點的廣播會被網(wǎng)絡中所有的結點所接收，造成很大的帶

15、寬資源 和主機處理能力的浪費。為了解決傳統(tǒng)以太網(wǎng)的沖突域問題，采用了交換機來 對網(wǎng)段進行邏輯劃分。交換機雖然能解決沖突域問題，卻不能克服廣播域問題。 例如，一個 ARP 廣播就會被交換機轉發(fā)到與其相連的所有網(wǎng)段中，當網(wǎng)絡上有 大量這樣的廣播存在時，不僅是對帶寬的浪費，還會因過量的廣播產(chǎn)生廣播風 暴，當交換網(wǎng)絡規(guī)模增加時，網(wǎng)絡廣播風暴問題還會更加嚴重，并可能因此導 致網(wǎng)絡癱瘓。第二，在傳統(tǒng)的以太網(wǎng)中，同一個物理網(wǎng)段中的結點也就是一個 邏輯工作組，不同物理網(wǎng)段中的結點是不能直接相互通信的。這樣，當用戶由 于某種原因在網(wǎng)絡中移動但同時還要繼續(xù)原來的邏輯工作組時，就必然會需要 進行新的網(wǎng)絡連接乃至重新

16、布線。 為了解決上述問題，虛擬局域網(wǎng)（Virtual Local Area Network，VLAN） 應運而生。虛擬局域網(wǎng)是以局域網(wǎng)交換機為基礎，通過交換機軟件實現(xiàn)根據(jù)功 能、部門、應用等因素將設備或用戶組成虛擬工作組或邏輯網(wǎng)段的技術，其最 大的特點是在組成邏輯網(wǎng)時無須考慮用戶或設備在網(wǎng)絡中的物理位置。VLAN 可 以在一個交換機或者跨交換機實現(xiàn)。 在 IEEE 802.1Q 標準中對虛擬局域網(wǎng)（VLAN）是這樣定義的：虛擬局域網(wǎng) 是由一些局域網(wǎng)網(wǎng)段構成的與物理位置無關的邏輯組，而這些網(wǎng)段具有某些共 同的需求。每一個 VLAN 的幀都有一個明確的標識符，指明發(fā)送這個幀的工作站 是屬于哪一個

17、VLAN。利用以太網(wǎng)交換機可以很方便地實現(xiàn)虛擬局域網(wǎng)（VLAN） 。 虛擬局域網(wǎng)其實只是局域網(wǎng)給用戶提供的一種服務，并不是一種新型局域網(wǎng)。 VLAN 的優(yōu)點：（1）減少移動和改變的代價，即所說的動態(tài)管理網(wǎng)絡，也 就是當一個用戶從一個位置移動到另一個位置時，其網(wǎng)絡屬性不需要重新配置， 而是動態(tài)地完成，這種動態(tài)管理網(wǎng)絡給網(wǎng)絡管理者和使用者都帶來了極大的好 處，無論一個用戶在哪里，他都能不做任何修改地接入網(wǎng)絡，這種前景是非常 美好的。 當然，并不是所有的 VLAN 定義方法都能做到這一點。 （2）虛擬工作 組，VLAN 最具雄心的目標就是建立虛擬工作組模型，例如，在校園網(wǎng)中，同一 個系的就好像在同一

18、個 LAN 上一樣，很容易地互相訪問、交流信息，同時，所 畢業(yè)設計（論文） 3 有的廣播包也都限制在該虛擬 LAN 上，而不影響其他 VLAN 的人，一個人如果從 一個辦公地點換到另外一個地點，而他仍然在該系，那么，其配置無須改變， 同時，如果一個人雖然辦公地點沒有變，但他換了一個系，那么，只需在網(wǎng)絡 管理處配置即可。這個功能的目標就是建立一個動態(tài)的組織環(huán)境，當然，這只 是一個遠大的目標，要實現(xiàn)它，還需要一些其他包括管理等方面的支持。 （3） 限制廣播包，按照 802.1D 透明網(wǎng)橋的算法，如果一個數(shù)據(jù)包找不到路由，那么 交換機就會將該數(shù)據(jù)包向所有其他端口發(fā)送，這就是橋的廣播方式的轉發(fā)，這 樣

19、，極大地浪費了帶寬，如果配置了 VLAN，那么，當一個數(shù)據(jù)包沒有路由時， 交換機只會將此數(shù)據(jù)包發(fā)送到所有屬于該 VLAN 的其他端口，而不是所有交換機 的端口，這樣，就將數(shù)據(jù)包限制到了一個 VLAN 內(nèi)。在一定程度上可以節(jié)省帶寬。 （3）安全性，由于配置了 VLAN 后，一個 VLAN 的數(shù)據(jù)包不會發(fā)送到另一個 VLAN，這樣，其他 VLAN 用戶的網(wǎng)絡上收不到任何該 VLAN 的數(shù)據(jù)包，從而確保 了該 VLAN 的信息不會被其他 VLAN 的人竊聽，從而實現(xiàn)了信息的保密。 2.2. VTPVTP 原理原理 VLAN 中繼協(xié)議（VTP，VLANTRUNKING PROTOCOL）是 CISCO

20、 專用協(xié)議，大 多數(shù)交換機都支持該協(xié)議VTP 負責在 VTP 域內(nèi)同步 VLAN 信息，這樣就不必在 每個交換上配置相同的 VLAN 信息，并且可以很好的管理 VLAN。 VTP 還提供一種映射方案，以便通信流能跨越混合介質的骨干。 VTP 最重要的作用是，將進行變動時可能會出現(xiàn)在的配置不一致性降至最 低。 VTP 也有一些缺點，這些缺點通常都與生成樹協(xié)議有關。如果不能正確使 用 VTP 也是很危險的。 VLAN 中繼協(xié)議（VTP）利用第 2 層中繼幀，在一組交換機之間進行 VLAN 通 信VTP 從一個中心控制點開始，維護整個企業(yè)網(wǎng)上 VLAN 的添加、添加和重命 名工作，確何配置的一致性。

21、 VTP 的優(yōu)點：保持配置的一致性；提供跨不同介質類型如 ATM FDDI 和以太 網(wǎng)配置虛擬局域網(wǎng)的方法；提供跟蹤和監(jiān)視虛擬局域網(wǎng)的方法；提供檢測加到 另一個交換機上的虛擬局域的方法；提供從一個交換機在整個管理域中增加虛 擬局域網(wǎng)的方法。 VTP 是一種消息協(xié)議，使用第 2 層幀，在全網(wǎng)的基礎上管理 VLAN 的添加、 刪除和重命名，以實現(xiàn) VLAN 配置的一致性?？梢杂?VTP 管理網(wǎng)絡中 VLAN1 到 1005。VTPv3 提供管理擴展 VLAN 的功能，一般機器不自帶這種功能。 有了 VTP，就可以在一臺機換上集中過時行配置變更，所作的變更會被自 動傳播到網(wǎng)絡中所有其他的交換機上。

22、（前提是在同一個 VTP 域） 畢業(yè)設計（論文） 4 為了實現(xiàn)此功能，必須先建立一個 VTP 管理域，以使它能管理網(wǎng)絡上當前 的 VLAN。在同一管理域中的交換機共享它們的 VLAN 信息，并且，一個交換機 只能參加到一個 VTP 管理域，不同域中的交換機不能共享 VTP 信息。 3.3. PVSTPVST 原理原理 PVST: Per-VLAN Spanning Tree，每 VLAN 生成樹 (PVST)為每個在網(wǎng)絡中 配置的 VLAN 維護一個生成樹實例。它使用 ISL 中繼和允許一個 VLAN 中繼當被 其它 VLANs 的阻塞時將一些 VLANs 轉發(fā)。盡管 PVST 對待每個 VL

23、AN 作為一個單 獨的網(wǎng)絡，它有能力(在第 2 層)通過一些在主干和其它在另一個主干中的不引 起生成樹循環(huán)的 Vlans 中的一些 VLANs 來負載平衡通信。 4 4 SVI-VLANSVI-VLAN 間路由間路由 SVI（交換虛擬接口）是指為交換機中的 VLAN 創(chuàng)建虛擬接口，并且配置 IP 地址。三層交換機給接口配置 IP 地址，采用 SVI 的方式實現(xiàn) VLAN 間互連。 5 5 HSRPHSRP 原理原理 鏈路聚合技術 鏈路匯聚是指將多個交換機之間、交換機和路由器之間以及 交換機和服務器之間的并行鏈路同時使用，其功能是將交換機的多個低帶寬端 口捆綁成一條高帶寬鏈路，從而實現(xiàn)鏈路的負載

24、平衡，避免鏈路出現(xiàn)擁塞現(xiàn)象。 通過該技術，可將最多 8 條鏈路綁在一起，疊加傳輸帶寬，從而使快速以太網(wǎng) 和千兆以太網(wǎng)實現(xiàn)最高 800Mbps 和 8Gbps 的連接帶寬。同時，當部分端口聚合 鏈路出現(xiàn)故障時，也不會導致連接中斷，其他鏈路將能夠不受影響地正常工作， 從而增強了網(wǎng)絡的穩(wěn)定性和安全性。 例如：單條 GE 鏈路在正常狀態(tài)下的鏈路帶寬為 1G，采用鏈路聚合技術對 兩條鏈路進行聚合后，其上行帶寬可由原來的 1G 變?yōu)?2G，同時，當其中 1 條 鏈路中斷時，整個鏈路仍可采用 1G 速率正常通信。這樣就實現(xiàn)了鏈路的冗余。 在進行端口聚合的配置時，有大量的參數(shù)可供選擇，本案例僅選取基本的 參數(shù)

25、進行配置。 熱備份路由協(xié)議 由于當前網(wǎng)絡均采用 Cisco 網(wǎng)絡設備，因此可以采用 Cisco 的熱備份路由協(xié)議（HSRP）實現(xiàn)路由冗余。HSRP 的目的在于當有冗余交 換機的時候，使主機看上去只使用一個交換機，并且即使在它當前所使用的交 換機出現(xiàn)故障的情況下，仍能夠保持路由的連通性。HSRP 協(xié)議中所涉及到的多 個交換機都映射為一個虛擬的交換機。 HSRP 使主交換機代替虛擬交換機進行數(shù)據(jù)包的發(fā)送，終端把數(shù)據(jù)包發(fā)向該 虛擬交換機，而實際轉發(fā)數(shù)據(jù)包的卻是主交換機。假如這個主交換機在某個時 候由于某種原因而無法正常工作的話，那么備份的交換機將被用來代替原來的 畢業(yè)設計（論文） 5 主交換機，承擔

26、數(shù)據(jù)包的轉發(fā)功能，而不會在對主機的連通性上產(chǎn)生大的故障。 網(wǎng)絡中的主交換機和備份交換機在完成 HSRP 協(xié)議的選擇過程后發(fā)送消息包 來實現(xiàn)主、備交換機之間的信息交換。假如主交換機失效，則備份交換機將取 代它作為新的主交換機工作。而當備份交換機失效或者變成主交換機時，另外 一個交換機將被選為備份交換機。一般根據(jù)需要選擇部分配置作為交換機的實 際配置并在主、備交換機上同時實現(xiàn)。 6.6. DHCPDHCP 原理原理 DHCP 協(xié)議是一種簡化主機 IP 配置管理的 TCPIP 標準， 用于減少網(wǎng)絡客 戶機 IP 地址配置的復雜度和管理開銷。DHCP 服務允許網(wǎng)絡中一臺計算機作為 DHCP 服務器并配

27、置用戶網(wǎng)絡中啟用 DHCP 的客戶計算機。DHCP 在服務器上運行， 能夠自動集中管理網(wǎng)絡上的 IP 地址和用戶網(wǎng)絡中客戶計算機所配置的其他 TCPIP 設置。 對于基于 TCPIP 的網(wǎng)絡， DHCP 減少了重新配置計算機所涉及的管理員 的工作量和復雜性， 大大降低了 用于配置和重新配置網(wǎng)上計算機的時間。 DHCP 的客戶機無需手動輸入任何數(shù)據(jù)，避免了手動鍵入值而引起的配置錯誤， 同時 DHCP 可以防止出現(xiàn)新計算機重用以前指派 IP 地址引起的沖突的問題。 通過在網(wǎng)絡上安裝和配置 DHCP 服務器，啟用 DHCP 的客戶機可在每次啟動 并加入網(wǎng)絡時動態(tài)地獲得其 IP 地址和相關配置參數(shù)。D

28、HCP 服務器以地址租約 的形式將該配置提供給發(fā)出請求的客戶機。 DHCP 實現(xiàn)流程：（1）在特定的時間內(nèi)將 IP 地址租用給 DHCP 客戶端， 然后當客戶端請求續(xù)訂時自動續(xù)訂 IP 地址。 （2）通過更改 DHCP 服務器處的 服務器或作用域選項而不是在所有 DHCP 客戶端上分別執(zhí)行此操作，來更新 DHCP 客戶端參數(shù)。 （3）為特定的計算機或其他設備保留 IP 地址，以便它們總 是具有相同的 IP 地址，同時還接收最新的 DHCP 選項。 （4）從 DHCP 服務器 分發(fā)中排除 IP 地址或地址范圍，以便能夠使用這些 IP 地址和范圍對服務器、 路由器和其他需要靜態(tài) IP 地址的設備進

29、行靜態(tài)配置。 （5）為眾多子網(wǎng)提供 DHCP 服務（如果 DHCP 服務器和需要提供服務的子網(wǎng)之間的所有路由器都被配 置成轉發(fā) DHCP 消息） 。 （6）配置 DHCP 服務器以便為 DHCP 客戶端執(zhí)行 DNS 名稱注冊服務。 （7）為基于 IP 的 DHCP 客戶端提供多播地址分配。 7 7 STPSTP RootRoot GuardGuard 根保護原理根保護原理 7.17.1 Spanning-TreeSpanning-Tree BUDUBUDU 網(wǎng)橋協(xié)議數(shù)據(jù)單元（Bridge Protocol Data Unit)。是一種生成樹 畢業(yè)設計（論文） 6 （Spanning-Tree）

30、協(xié)議問候數(shù)據(jù)包，它以可配置的間隔發(fā)出，用來在網(wǎng)絡的網(wǎng) 橋間進行信息交換。網(wǎng)橋有三種典型的方式：透明橋、源路由橋與源路由透明 橋。網(wǎng)橋典型地連接兩個用同樣介質存取控制方法的網(wǎng)段，IEEE 802.1d 規(guī)范 （此規(guī)范是為所有的 802 介質存取方法開發(fā)的）定義了透明橋。源路由橋是由 IBM 公司為它的令牌環(huán)網(wǎng)絡開發(fā)的；而源路由透明橋則是透明橋和源路由橋的 組合。橋兩邊的網(wǎng)段分屬于不同的沖突域，但卻屬于同一個廣播域。 在一個橋接的局域網(wǎng)里，為了增強可靠性，必然要建立一個冗余的路徑， 網(wǎng)段會用冗余的網(wǎng)橋連接。但是，在一個透明橋橋接的網(wǎng)絡里，存在冗余的路 徑就能建立一個橋回路，橋回路對于一個局域網(wǎng)是致

31、命的。 生成樹協(xié)議是一種橋嵌套協(xié)議，在 IEEE 802.1D 規(guī)范里定義，可以用來消 除橋回路。它的工作原理是這樣的：生成樹協(xié)議定義了一個數(shù)據(jù)包，叫做橋協(xié) 議數(shù)據(jù)單元 BPDU（Bridge Protocol Data Unit） 。網(wǎng)橋用 BPDU 來相互通信， 并用 BPDU 的相關機能來動態(tài)選擇根橋和備份橋。但是因為從中心橋到任何網(wǎng)段 只有一個路徑存在，所以橋回路被消除。 在一個生成樹環(huán)境里，橋不會立即開始轉發(fā)功能，它們必須首先選擇一個 橋為根橋，然后建立一個指定路徑。在一個網(wǎng)絡里邊擁有最低橋 ID 的將變成一 個根橋，全部的生成樹網(wǎng)絡里面只有一個根橋。根橋的主要職責是定期發(fā)送配 置信

32、息，然后這種配置信息將會被所有的指定橋發(fā)送。這在生成樹網(wǎng)絡里面是 一種機制，一旦網(wǎng)絡結構發(fā)生變化，網(wǎng)絡狀態(tài)將會重新配置。 當選定根橋之后，在轉發(fā)數(shù)據(jù)包之前，它們必須決定每一個網(wǎng)段的指定橋， 運用生成樹的這種算法，根橋每隔 2 秒鐘從它所有的端口發(fā)送 BPDU 包，BPDU 包被所有的橋從它們的根端口復制過來，根端口是接根橋的那些橋端口。BPDU 包括的信息叫做端口的 COST，網(wǎng)絡管理員分配端口的 COST 到所有的橋端口， 當根橋發(fā)送 BPDU 的時候，根橋設置它的端口值為零。然后沿著這條路徑，下一 個橋增加它的配置端口 COST 為一個值，這個值是它接收和轉發(fā)數(shù)據(jù)包到下一個 網(wǎng)段的值。這樣

33、每一個橋都增加它的端口的 COST 值為它所接收的 BPDU 的包的 COST 值，所有的橋都檢測它們的端口的 COST 值，擁有最低端口的 COST 值的橋 就變?yōu)榱酥付ǖ臉颉碛斜容^高端口 COST 值的橋置它的端口進入阻塞狀態(tài)，變 為了備份橋。在阻塞狀態(tài)，一個橋停止了轉發(fā)，但是它會繼續(xù)接收和處理 BPDU 數(shù)據(jù)包。 7.27.2 STPSTP RootRoot GuardGuard 傳統(tǒng)的 802.1D STP 沒有給網(wǎng)絡管理員提供確保交換式第 2 層網(wǎng)絡拓撲安全。 當新接入的交換機優(yōu)先級更低，將搶占原有的根網(wǎng)橋。 根保護的目的是確保啟用了根保護的端口成為指定端口。通常一個根橋的 所有端

34、口均為指定端口。除非連接到兩個或多根網(wǎng)橋的端口。如果網(wǎng)橋在啟用 畢業(yè)設計（論文） 7 根保護的端口上收到一個較好的 STP BPDU。這個端口進入 STP 的根不一致狀態(tài)， 不會有流量通過該端口。 8 8 PortfastPortfast UplinkfastUplinkfast BackbonefastBackbonefast 原理原理 因為傳統(tǒng)的生成樹協(xié)議，如果要由 block 狀態(tài)轉換到 forwarding 狀態(tài)需要 50s。這對于一個大型網(wǎng)絡來說，時間太長了。所以，cisco 發(fā)明了三個對生成 樹增強的協(xié)議。就是 Portfast，Uplinkfast，Backbonefast。Pr

35、otfast 是對于 接入端口來說的，也就是使用了 Portfast 的端口直接就進入傳輸狀態(tài)，而不需 要經(jīng)過中間的其他狀態(tài)。Uplinkfast 一般是用在接入層的。也就是說當有兩條 上行鏈路連向上層的時候，傳統(tǒng)的生成樹會把其中一條置為 block 狀態(tài)，如果 一條鏈路實效了，另一條也要經(jīng)過 50 秒才能變?yōu)閭鬏敔顟B(tài)，而使用 Uplinkfast 不需要經(jīng)過 block 狀態(tài)。 BackboneFast 和 Uplinkfast 的作用是一樣的，只不過用于不同的情況。 而且 Backbonefast 是要配置在所有的交換機上。Backbonefast 是可以快速診 斷非直連鏈路的故障，并且使

36、生成樹快速收斂。對 Backbonefast 工作方式舉個 例子：假設有 A,B,C 三個交換機。B 與 A 相連，C 也與 A 相連，C 與 B 也相連， 也就是說三臺交換機兩兩相連。A 是根橋，所以 B 和 C 相連的兩個端口要有一 個端口是 block 狀態(tài)的。他們之間是不通的（你可以用紙畫一下，不然很抽象） 。 這個時候 A 和 B 之間的鏈路 down 掉了。那么 B 就和根橋失去了聯(lián)系，所以 B 就 開始發(fā)出 BPDU，宣布自己是根橋。這個 BPDU 只能是發(fā)到 C（因為和 A 的鏈路 down 掉了） 。C 接收到這個 BPDU，發(fā)現(xiàn)和自己之前的根橋不同，C 就會發(fā)出一個 “ro

37、ot link query”的查詢，查詢以前的根橋是否還是有效的。A 收到了這個 查詢包就會回復給 C 一個應答，說自己仍然有效。C 收到這個應答后，就會通 知 B 根橋仍然還在，并且打開 B 和 C 相連的兩個端口中的那個 block 狀態(tài)的端 口。B 就開始從 C 到達根橋了。整個過程也省略了由 block 狀態(tài)到 listen 狀態(tài) 的 20 秒時間。 8.18.1 PortfastPortfast Portfast 是用在 access layer 中的交換機上的而且用在有阻斷端口的交 換機上，當 RP 失效，馬上啟動阻斷端口保持通信。這樣收斂時間很快，不用從 新進行 STP 運算，直

38、接從 blocking 跳到 fowarding。 缺省情況下，假定交換機的所有端口都將與交換機或者網(wǎng)橋連接，所以所 有端口都運行 STP 算法，即如果網(wǎng)絡發(fā)生了變化，在端口發(fā)送數(shù)據(jù)之前要等待 50s，而事實上許多端口會直接連接工作站或者服務器。所以我們采用 PortFast 可以讓這些端口節(jié)省 Listening 和 Learning 狀態(tài)的時間，立即進入 Forwarding 狀態(tài)。需要注意的是：PortFast 僅僅讓端口在網(wǎng)絡環(huán)境變化的情況 畢業(yè)設計（論文） 8 下直接進入 Forwarding 狀態(tài)。而端口仍然運行 STP 協(xié)議，所以如果檢測到環(huán)路， 端口仍將由 Forwarding

39、 狀態(tài)變成 Blocking 狀態(tài)。 Portfast 快速端口是一個 Catalyst 的一個特性，能使交換機或中繼端口 跳過偵聽學習狀態(tài)而進入 STP 轉發(fā)狀態(tài)，在基于 IOS 交換機上，PortFast 只能 用于連接到終端工作站的接入端口上。 當一個設備連接到一個端口上時，端口通常進入偵聽狀態(tài)。當轉發(fā)延遲定 時器超時后，進入學習狀態(tài)，當轉發(fā)延遲定時器第二次超時，端口進入到轉發(fā) 或者阻塞狀態(tài)，當一個交換機或中繼端口啟用 PortFast 后，端口立即進入轉發(fā) 狀態(tài)，但交換機檢測到鏈路，端口就進入轉發(fā)狀態(tài)(插電纜后的 2s) 。如果端 口檢測到一個環(huán)路同時又啟用了 PortFast 功能。

40、它就進入阻塞狀態(tài)。重要的 是要注意到 PortFast 值在端口初始化的時候才生效。如果端口由于某種原因 又被迫進入阻塞狀態(tài)，隨后又需要回到轉發(fā)狀態(tài)，仍然要經(jīng)過正常的偵聽。 啟用 PortFast 的主要原因是防止啟動周期小于 30s 的 PC 需要和交換機端 口從未連接狀態(tài)進入到轉發(fā)狀態(tài)，一些網(wǎng)卡直到 MAC 層軟件驅動被實際加載之 后才會啟動鏈路。這種情況下就會導致一些故障，例如 DHCP 環(huán)境下，這可能會 出現(xiàn)一些問題。 8.28.2 UplinkfastUplinkfast 背景資料：STP 確保了在拓撲變化的情況下沒有環(huán)路產(chǎn)生，但收斂速度慢。 一些實時以及對帶寬敏感的網(wǎng)絡應用是不能接

41、受的。STP 收斂速度慢的原因是 收斂算法需要化時間確定一條可替代的鏈路，缺省時間是 50s，即 20s（BlockingListening）15s（ListeningLearning） 15s（LearningForwarding） 。解決的方法是一旦發(fā)現(xiàn)了線路 down，馬上把 Blocking 的 port 切換到 Forwarding，不要經(jīng)過 Listening 和 Learning 階段。 這就是 UplinkFast，切換時間可以在 2s4s。UplinkFast 被設計應用在接入 層交換機。一般應用兩條上行鏈路連接到分布層，一條是冗余鏈路。 UplinkFast 激活一個快速重

42、新配置的條件：（1）在交換機上必須啟動了 UplinkFast 功能；（2）至少有一個處于 Blocking 的端口（即有冗余鏈路） ； （3）鏈路失效必須發(fā)生在 Root Port 上。 交換機啟動了 UplinkFast 后，由于提高了交換機上所有端口的路徑開銷， 所以不適合作為根橋。 具體來說，一個上行鏈路組由根端口和除自環(huán)端口之外的一組阻斷端口組 成，上行速鏈路使交換機上的一個阻斷端口幾乎立刻進行轉發(fā)。很重要的一點 就是：上行鏈路只能配置在接入層交換機上，因為從根端口到其非指定備份端 口的快速轉發(fā)只能在生成樹拓撲結構的根端口上被確定性的完成。 8.38.3 BackbonefastBa

43、ckbonefast 畢業(yè)設計（論文） 9 BackboneFast 用在 distribution layer 中的交換機上。而且要求所有交 換機都得啟動 Backbonefast。當一臺交換機的 RP 壞掉的時候，失去了和 RB 的 連接，它向他的其他端口，包括阻塞端口（如果有的話）發(fā)送下級 BPDU。收到 下級 BPDU 的交換機有 3 種情況：1，如果收到下級 BPDU 的端口是阻塞端口，那 么阻塞端口和根端口都作為候選端口（用來到達根橋用的） ；2，如果收到下級 BPDU 的端口是根端口，那么阻塞端口被作為候選端口，因為只能通過它到達根 橋了；3，如果收到下級 BPDU 的端口是根端

44、口，并且這個交換機上沒有阻塞端 口，那么證明這臺交換機失去了到根橋的連接，需要從新進行 STP 運算。交換 機中只要有一臺處于第三種狀態(tài)，就要從新進行 STP 運算。除此之外，只需花 去 max age delay 的時間（就是最初的 20s）就可以收斂完畢。 BackboneFast 能使交換機在收到 inferior BPDU 后，根據(jù)接收該 BPDU 端 口的狀態(tài)，來決定通向 Root Bridge 的 alternate Path，并通過 Blocking 端 口來發(fā)送 Root Link Query，根據(jù)應答，判斷哪個端口為 Newly Current Root Bridge Por

45、t，并將其馬上進行狀態(tài)轉換，無需等待 Max Age Timer 計時器到時。 9 9 AAAAAA 認證原理認證原理 AAA 安全服務，是使用相同方式配置三種獨立的安全功能的一種結構。它 提供了完成下列服務的模塊化方法： 認證，一種提供識別用戶的方法，包括注冊和口令對話框、詢問和響應、 消息支持以及根據(jù)所選擇的安全協(xié)議進行加密。認證是接受用戶訪問網(wǎng)絡和網(wǎng) 絡服務前識別他們的方法。通過定義一張命名的認證方法列表對 AAA 認證進行 配置，然后應用該列表于各種接口。方法列表定義了所執(zhí)行的認證的類型和它 們執(zhí)行的次序；任何定義的認證方法執(zhí)行之前都必須應用在具體的接口上。唯 一的例外是缺省方法列表（

46、其名稱為 default） 。如果沒有定義其它方法列表， 缺省方法列表自動應用于所有接口。定義任何方法列表將覆蓋缺省方法列表。 除了本地口令、線路口令和開啟認證外，所有的認證方法都必須通過 AAA 來定 義。有關所有認證的配置方法的詳細資料，包括那些在 AAA 安全服務之外實現(xiàn) 的方法，請參見第 2 章“認證配置” 。 授權，一種提供遠程訪問控制的方法，包括一次性授權或者單項服務授權、 每個用戶帳目列表和簡介、用戶包支持以及 IP、IPX、ARA 和 Telnet 支持。 AAA 授權是通過匯集一組屬性來發(fā)揮作用的，這些屬性描述了用戶被授予執(zhí)行 哪些權限。將這些屬性與包括在數(shù)據(jù)庫中某個特定用戶

47、的信息相比較，結果返 回給 AAA，以確定該用戶的實際權力和限制。這個數(shù)據(jù)庫可以位于所訪問的本 地服務器或路由器，或者位于遠程 RADIUS 或 TACACS+安全服務器。像 RADIUS 畢業(yè)設計（論文） 10 和 TACACS+這樣的遠程安全服務器，通過與用戶相聯(lián)系的屬性值（AV）對 （Attribute-Value Pairs）來給用戶授予具體的權限，屬性值（AV）對定義了 那些所要授予的權限。所有的授權方法必須通過 AAA 定義。與認證一樣，通過 定義授權方法的一張命名列表對 AAA 授權進行配置，然后在各種接口中應用該 列表。有關使用 AAA 進行授權配置的詳細情況。 記帳，一種給安

48、全服務器收集、發(fā)送信息提供服務的方法，這些信息用來 開列帳單、審計和形成報表，如用戶標識、開始時間和停止時間、執(zhí)行的命令 （如 PPP） 、包的數(shù)量以及字節(jié)數(shù)。記帳功能不僅可以跟蹤用戶訪問的服務，同 時還可以跟蹤他們消耗的網(wǎng)絡資源數(shù)量。當激活 AAA 記帳功能時，網(wǎng)絡訪問服 務器以記帳記錄的形式向 TACACS+或 RADIUS 安全服務器（依賴于所實現(xiàn)的安全 方法）報告用戶的活動。每條記帳記錄包括記帳屬性值（AV）對，記帳記錄存 儲在訪問控制服務器上。然后這個數(shù)據(jù)可由網(wǎng)絡管理、客戶帳單和/或審計進行 分析。與認證和授權一樣，通過定義一張命名的記帳方法列表對 AAA 記帳進行 配置，然后在不同

49、的接口中使用這張表。有關使用 AAA 進行記帳配置的詳細材 料。 在很多情況下，AAA 使用像 RADIUS、TACACS+和 Kerberos 這樣的協(xié)議來管 理其安全功能。如果路由器或者訪問服務器用作網(wǎng)絡訪問服務器，AAA 就是在 網(wǎng)絡訪問服務器和 RADIUS、TACACS+或 Kerberos 等安全服務器之間建立通信的 方法。雖然 AAA 是控制訪問的主要方法（也是推薦方法） ，Cisco IOS 軟件還提 供了額外的功能來實現(xiàn)簡單的訪問控制，如本地用戶名認證、線路口令認證和 開啟口令認證，這些訪問控制不在 AAA 的范圍之內(nèi)。然而，這些功能所提供的 控制訪問的程度不如使用 AAA

50、所能達到的深度。 1010 OSPFOSPF 原理原理 OSPF(Open Shortest Path First 開放式最短路徑優(yōu)先)是一個內(nèi)部網(wǎng)關協(xié) 議(Interior Gateway Protocol,簡稱 IGP)，用于在單一自治系統(tǒng)(autonomous system,AS)內(nèi)決策路由。OSPF 是鏈路狀態(tài)路由協(xié)議。 鏈路是路由器接口的另一種說法，因此 OSPF 也稱為接口狀態(tài)路由協(xié)議。 OSPF 通過路由器之間通告網(wǎng)絡接口的狀態(tài)來建立鏈路狀態(tài)數(shù)據(jù)庫，生成最短路 徑樹，每個 OSPF 路由器使用這些最短路徑構造路由表。 OSPF 路由協(xié)議是一種典型的鏈路狀態(tài)（Link-state）

51、的路由協(xié)議，一般用 于同一個路由域內(nèi)。在這里，路由域是指一個自治系統(tǒng)（Autonomous System） ， 即 AS，它是指一組通過統(tǒng)一的路由政策或路由協(xié)議互相交換路由信息的網(wǎng)絡。 在這個 AS 中，所有的 OSPF 路由器都維護一個相同的描述這個 AS 結構的數(shù)據(jù)庫， 該數(shù)據(jù)庫中存放的是路由域中相應鏈路的狀態(tài)信息，OSPF 路由器正是通過這個 數(shù)據(jù)庫計算出其 OSPF 路由表的。 畢業(yè)設計（論文） 11 作為一種鏈路狀態(tài)的路由協(xié)議，OSPF 將鏈路狀態(tài)廣播數(shù)據(jù)包 LSA（Link State Advertisement）傳送給在某一區(qū)域內(nèi)的所有路由器，這一點與距離矢量 路由協(xié)議不同。運行

52、距離矢量路由協(xié)議的路由器是將部分或全部的路由表傳遞 給與其相鄰的路由器。 在 DR 和 BDR 出現(xiàn)之前，每一臺路由器和他的鄰居之間成為完全網(wǎng)狀的 OSPF 鄰接關系，這樣 5 臺路由器之間將需要形成 10 個鄰接關系,同時將產(chǎn)生 25 條 LSA.而且在多址網(wǎng)絡中,還存在自己發(fā)出的 LSA 從鄰居的鄰居發(fā)回來,導致網(wǎng) 絡上產(chǎn)生很多 LSA 的拷貝,所以基于這種考慮，產(chǎn)生了 DR 和 BDR。 DR 將完成如下工作：描述這個多址網(wǎng)絡和該網(wǎng)絡上剩下的其他相關路由器； 管理這個多址網(wǎng)絡上的 flooding 過程；同時為了冗余性，還會選取一個 BDR， 作為雙備份之用。 DR BDR 選取規(guī)則：

53、DR BDR 選取是以接口狀態(tài)機的方式觸發(fā)的。 （1）路由 器的每個多路訪問(multi-access)接口都有個路由器優(yōu)先級(Router Priority),8 位長的一個整數(shù),范圍是 0 到 255,Cisco 路由器默認的優(yōu)先級是 1 優(yōu)先級為 0 的 話將不能選舉為 DR/BDR.優(yōu)先級可以通過命令 ip ospf priority 進行修改。 （2）Hello 包里包含了優(yōu)先級的字段,還包括了可能成為 DR/BDR 的相關接口的 IP 地址。 （3）當接口在多路訪問網(wǎng)絡上初次啟動的時候,它把 DR/BDR 地址設置 為 ,同時設置等待計時器(wait timer)的值

54、等于路由器無效間隔 (Router Dead Interval)。 DR BDR 選取過程：（1）在和鄰居建立雙向(2-Way)通信之后,檢查鄰居的 Hello 包中 Priority,DR 和 BDR 字段,列出所有可以參與 DR/BDR 選舉的鄰居.所 有的路由器聲明它們自己就是 DR/BDR(Hello 包中 DR 字段的值就是它們自己的 接口地址;BDR 字段的值就是它們自己的接口地址)。 （2）從這個有參與選舉 DR/BDR 權的列表中,創(chuàng)建一組沒有聲明自己就是 DR 的路由器的子集(聲明自己 是 DR 的路由器將不會被選舉為 BDR)。 （3）如果在這個子集里,不管有沒有宣稱 自己

55、就是 BDR,只要在 Hello 包中 BDR 字段就等于自己接口的地址,優(yōu)先級最高 的就被選舉為 BDR;如果優(yōu)先級都一樣,RID 最高的選舉為 BDR。 （4）如果在 Hello 包中 DR 字段就等于自己接口的地址,優(yōu)先級最高的就被選舉為 DR;如果優(yōu) 先級都一樣,RID 最高的選舉為 DR;如果選出的 DR 不能工作,那么新選舉的 BDR 就成為 DR，再重新選舉一個 BDR。 （5）要注意的是,當網(wǎng)絡中已經(jīng)選舉了 DR/BDR 后,又出現(xiàn)了 1 臺新的優(yōu)先級更高的路由器,DR/BDR 是不會重新選舉的。 （6）DR/BDR 選舉完成后,DRother 只和 DR/BDR 形成鄰接關系

56、.所有的路由器將 組播 Hello 包到 AllSPFRouters 地址 以便它們能跟蹤其他鄰居的信 息,即 DR 將洪泛 update packet 到 ;DRother 只組播 update packet 畢業(yè)設計（論文） 12 到 AllDRouter 地址 ,只有 DR/BDR 監(jiān)聽這個地址。 OSPF 區(qū)域OSPF 的精華：Link-state 路由在設計時要求需要一個層次性 的網(wǎng)絡結構。OSPF 網(wǎng)絡分為以下 2 個級別的層次：骨干區(qū)域 (backbone or area 0)和非骨干區(qū)域 (nonbackbone area

57、s)。 在一個 OSPF 區(qū)域中只能有一個骨干區(qū)域,可以有多個非骨干區(qū)域,骨干區(qū)域 的區(qū)域號為 0。各非骨干區(qū)域間是不可以交換信息的，他們只有與骨干區(qū)域相 連，通過骨干區(qū)域相互交換信息。 非骨干區(qū)域和骨干區(qū)域之間相連的路由叫邊界路由（ABRs-Area Border Routers）,只有 ABRs 記載了各區(qū)域的所有路由表。各非骨干區(qū)域內(nèi)的非 ABRs 只記載了本區(qū)域內(nèi)的路由表，若要與外部區(qū)域中的路由相連，只能通過本區(qū)域 的 ABRs，由 ABRs 連到骨干區(qū)域的 BR，再由骨干區(qū)域的 BR 連到要到達的區(qū)域。 骨干區(qū)域和非骨干區(qū)域的劃分，大大降低了區(qū)域內(nèi)工作路由的負擔。 OSPF 協(xié)議的優(yōu)

58、點：OSPF 是基于國際標準的協(xié)議，具有開放性強的特點，被 眾多網(wǎng)絡設備廠商所支持；使用 SPF 算法計算最佳路徑，能準確反映實際鏈路 和拓撲情況；具有很好的收斂特性；支持 VLSM；使用觸發(fā)的路由更新，快速反 應網(wǎng)絡變化，減小協(xié)議本身對網(wǎng)絡流量的占用；使用層次化的結構，支持大型 網(wǎng)絡，并能優(yōu)化路由更新。 1111 VPNVPN 虛擬專用網(wǎng)與加密原理虛擬專用網(wǎng)與加密原理 VPN（虛擬專用網(wǎng)）是指通過共享的 IP 網(wǎng)絡建立私有數(shù)據(jù)傳輸通道，將遠 程的分支辦公室、商業(yè)伙伴、移動辦公人員等連接起來，提供端到端的服務質 量（QoS）保證以及安全服務。隨著 VPN 的興起，用戶和運營商都將目光轉向了 這

59、種極具競爭力和市場前景的 VPN。對用戶而言，VPN 可以非常方便地替代租用 線和傳統(tǒng)的 ATM/幀中繼（FR）VPN 來連接計算機或局域網(wǎng)（LAN） ，同時還可以 提供租用線的備份、冗余和峰值負載分擔等，大大降低了成本費用；對服務提 供商而言，IP VPN 則是其未來數(shù)年內(nèi)擴大業(yè)務范圍、保持競爭力和客戶忠誠度、 降低成本和增加利潤的重要手段。 VPN 需要通過一定的隧道機制實現(xiàn)，其目的是要保證 VPN 中分組的封裝方 式及使用的地址與承載網(wǎng)絡的封裝方式及使用編址無關。另外，隧道本身能夠 提供一定的安全性，并且隧道機制還可以映射到 IP 網(wǎng)絡的流量管理機制之中。 VPN 本質上是對專用網(wǎng)通信的

60、仿真，因此除了隧道協(xié)議外，其邏輯結構 （如編址、拓撲、連通性、可達性和接入控制等）都與使用專和設施的傳統(tǒng)專 用網(wǎng)部分或全部相同，也同樣考慮路由、轉發(fā)、QoS、業(yè)務管理和業(yè)務提供等問 題。 用于在兩個通信實體協(xié)商和建立安全相關，交換密鑰。安全相關 畢業(yè)設計（論文） 13 （SecurityAssociation）是 IPSec 中的一個重要概念。一個安全相關表示兩個 或多個通信實體之間經(jīng)過了身份認證，且這些通信實體都能支持相同的加密算 法，成功地交換了會話密鑰，可以開始利用 IPSec 進行安全通信。IPSec 協(xié)議 本身沒有提供在通信實體間建立安全相關的方法，利用 IKE 建立安全相關。 IK