Hola a todos, soy el mayor Xiaohua, un bloguero en el campo de la informática. Después de años de estudio y práctica, he acumulado un rico conocimiento y experiencia en informática. Aquí me gustaría compartir mi experiencia de aprendizaje y mis habilidades contigo para ayudarte a convertirte en un mejor programador.
Como blogger informático, me he centrado en programación, algoritmos, desarrollo de software y otros campos, y he acumulado mucha experiencia en estas áreas. Creo que compartir es una situación en la que todos ganan. Al compartir, puedo ayudar a otros a mejorar su nivel técnico y al mismo tiempo tener la oportunidad de aprender y comunicarse.
En mis artículos, verá mi análisis y análisis de varios lenguajes de programación, herramientas de desarrollo y problemas comunes. Le proporcionaré soluciones prácticas y técnicas de optimización basadas en mi experiencia real en proyectos. Creo que estas experiencias no solo lo ayudarán a resolver los problemas que enfrenta actualmente, sino que también mejorarán su pensamiento en programación y sus habilidades para resolver problemas.
Además de compartir aspectos técnicos, también tocaré algunos temas sobre desarrollo profesional y métodos de aprendizaje. Como ex alumno, sé cómo superarme mejor y afrontar los desafíos en el campo de la informática. Compartiré algunos métodos de aprendizaje, habilidades para entrevistas y experiencias laborales, con la esperanza de tener un impacto positivo en su desarrollo profesional.
Mis artículos se publicarán en la comunidad CSDN, que es una comunidad de tecnología informática muy activa y profesional. Aquí podrás comunicarte, aprender y compartir con otras personas amantes de la tecnología. Si sigue mi blog, podrá obtener mis últimos artículos lo antes posible e interactuar conmigo y con otros lectores.
Si está interesado en el campo de la informática y espera mejorar sus habilidades de programación y su nivel técnico, siga mi blog de CSDN. ¡Creo que lo que comparto te ayudará e inspirará, permitiéndote lograr un mayor éxito en el campo de la informática!
¡Convirtámonos juntos en mejores programadores y exploremos juntos el maravilloso mundo de la informática! ¡Gracias por su atención y apoyo!
Todos los códigos fuente de proyectos informáticos compartidos incluyen documentos y pueden usarse para proyectos de graduación o diseños de cursos. ¡Bienvenido a dejar un mensaje para compartir preguntas e intercambiar experiencias!
Resumen
Con el rápido desarrollo de la tecnología de redes informáticas, especialmente el advenimiento de la era de la información, la gente se está dando cuenta gradualmente de la importancia de la informatización. Se ha convertido en una tendencia inevitable para una empresa tener su propia red. El establecimiento de una red empresarial es un importante paso para que las empresas se desarrollen hacia la informatización: elección inevitable. Hoy en día, muchas empresas están creando sus propios sitios web para promocionar sus marcas y aumentar la influencia de ésta. Sin embargo, con la mejora y el desarrollo continuos de la tecnología de redes informáticas, el rendimiento de muchas redes empresariales ya no puede seguir el ritmo de los cambios en la información moderna. Para muchas empresas, ampliar la red existente es una medida indispensable. En los últimos años, con la mejora continua y la madurez de la tecnología de redes, las empresas se han vuelto cada vez más dependientes de los sistemas de redes informáticas y ahora tienen requisitos cada vez mayores para la compatibilidad con versiones anteriores de las redes recién construidas. Por lo tanto, este proyecto de graduación se basa principalmente en diversas tecnologías y planes de implementación que pueden usarse en el proceso de planificación y construcción de redes empresariales, y proporciona bases teóricas y orientación práctica para el establecimiento y diseño de sistemas de redes empresariales.
Este diseño combina las necesidades reales de las pequeñas y medianas empresas y utiliza ejemplos para analizar, diseñar, configurar y simular una red de doble enlace de doble núcleo para pequeñas y medianas empresas, que utiliza principalmente HSRP, OSPF, ACL. , NAT y otras tecnologías para diseño y mejora.
La arquitectura y la implementación de la red diseñadas esta vez han mejorado en gran medida la eficiencia de la oficina dentro de la empresa, han brindado una gran comodidad y una experiencia en línea completa a los empleados de la empresa, y el uso de listas de control ha profundizado el control de seguridad.
Palabras clave: arquitectura de red informática de red empresarial ACL
Abstracto
Con el rápido desarrollo de la tecnología de redes informáticas, especialmente el advenimiento de la era de la información, la gente se da cuenta gradualmente de la importancia de la informatización. Se ha convertido en una tendencia inevitable que una empresa tenga su propia red. El establecimiento de una red empresarial es una opción inevitable para que una empresa se desarrolle hacia la informatización. Ahora muchas empresas han creado sus propios sitios web para promover la marca y mejorar la influencia de la misma. Pero con la mejora y el desarrollo continuos de la tecnología de redes informáticas, el rendimiento de muchas redes empresariales no puede seguir el ritmo de los cambios de la información moderna. Para muchas empresas, ampliar la red existente es una medida esencial. En los últimos años, con la mejora continua y la madurez de la tecnología de red, Las empresas dependen cada vez más de los sistemas de redes informáticas. Ahora las empresas tienen mayores requisitos de compatibilidad con versiones anteriores de la nueva red. Por lo tanto, el proyecto de graduación se basa principalmente en diversas tecnologías y esquemas de implementación que pueden usarse en el proceso de planificación y construcción de redes empresariales, lo que proporciona bases teóricas y orientación práctica para el establecimiento y diseño de sistemas de redes empresariales.
Combinado con las necesidades reales de las pequeñas y medianas empresas, este diseño analiza, diseña, configura y simula una red de doble núcleo y doble enlace para pequeñas y medianas empresas. Utiliza principalmente HSRP, OSPF, ACL, NAT y otras tecnologías para mejorar el diseño.
El diseño de la arquitectura y la implementación de la red mejoran en gran medida la eficiencia de la oficina de la empresa, los empleados de la empresa brindan una gran comodidad y una experiencia en línea completa, y el uso de la lista de control para el control de seguridad.
Palabras clave: arquitectura de red informática de red empresarial ACL
Tabla de contenido
1.1 Antecedentes de la investigación... 1
1.2 Importancia de la investigación... 1
1.3 Contenido de la investigación... 1
Capítulo 2 Análisis del sistema... 2
2.1 Análisis de viabilidad... 2
2.2 Análisis de requisitos... 2
Capítulo 3 Descripción general de las tecnologías relacionadas... 4
Capítulo 4 Diseño del sistema... 11
4.1 Principios de diseño de arquitectura de red... 11
4.2 Diagrama de topología de la red... 12
4.3 Diseño de seguridad de red... 12
4.4 Planificación de direcciones IP... 13
4.5 Selección del equipo... 13
Capítulo 5 Diseño detallado... 17
5.1 Diseño de red de capa central... 17
5.2 Diseño de red de capa de agregación... 18
5.3 Diseño de la capa de acceso... 18
5.4 Tecnologías clave y dificultades... 18
Capítulo 6 Pruebas del sistema... 19
Capítulo 1 Introducción
El diseño de este tema se centra principalmente en el diseño de la seguridad de la red empresarial. Es necesario dominar completamente el protocolo ACL y proporcionar una introducción teórica a las direcciones clave de investigación de ACL; implementar ACL en la empresa para reducir razonablemente el acceso innecesario y aumentar la seguridad de la intranet de la empresa; utilice el rastreador de paquetes de Cisco para simular Utilice el servidor para simular todo el entorno de red; llame correctamente a ACL para utilizar filtrado de paquetes, traducción de direcciones de red, enrutamiento de políticas, enrutamiento dinámico, etc.; domine los principios de coincidencia y los métodos de aplicación de ACL, dominar las diferencias entre diferentes módulos comerciales de ACL (como TELNET) Método de aplicación: optimizar la estructura de la red, lograr una rápida convergencia dentro del área y dominar completamente los comandos comunes de ACL.
Con el continuo desarrollo y popularización de las redes informáticas, las redes informáticas han aportado recursos infinitos. La construcción de redes en una empresa es una opción inevitable para que las empresas se desarrollen hacia la informatización. Una empresa tendrá requisitos de compatibilidad cada vez mayores para su red recién construida en el futuro. Pero al mismo tiempo, sus riesgos de seguridad también nos traen muchos problemas. La red empresarial es un sistema de red grande y complejo que no solo puede proporcionar operaciones básicas para una serie de aplicaciones, como desarrollo moderno, gestión integral de la información, etc. .plataforma. También puede proporcionar muchos servicios de aplicaciones para transmitir información a varios sistemas de manera oportuna y precisa, lo que aporta mucha comodidad al trabajo. Por lo tanto, en el diseño de soluciones de seguridad de red, se deben tener en cuenta algunas necesidades de la empresa y la compatibilidad futura al seleccionar servidores y equipos de red. Muchas empresas tienen ahora sus propias redes para promocionar sus marcas a través de Internet, lo que hace que el trabajo de los empleados sea cada vez más cómodo. Una vez que la red de la empresa se haya establecido con éxito, podrá buscar información (WWW), recibir y recibir correos electrónicos (E-MAIL), transferir archivos (FTP) y otras funciones. A la hora de configurar servidores y dispositivos de red, debemos configurarlos según algunos requisitos del usuario. Esta vez, la tecnología LAN se utilizó principalmente en el diseño de la red empresarial. Las medidas de seguridad de la LAN deben poder abordar de manera integral diversas amenazas y vulnerabilidades, a fin de garantizar la confidencialidad, integridad y disponibilidad de la información de la red.
1.2 Importancia de la investigación
Con el desarrollo de la red, Internet se está volviendo cada vez más común en nuestra vida diaria. La escala de las redes empresariales también se está expandiendo gradualmente, la cantidad de computadoras utilizadas está aumentando, el desarrollo de la tecnología de redes informáticas, la aplicación generalizada de la tecnología de la información empresarial, los sistemas de aplicaciones informáticas empresariales se aplican a todos los aspectos de la gestión empresarial y al nivel de aplicación. Cada vez más, estas aplicaciones han jugado un papel muy importante en la promoción de que las empresas mejoren su nivel de gestión y aumenten los beneficios económicos, pero al mismo tiempo han traído muchos problemas nuevos y mayores dificultades de gestión a la gestión de redes empresariales.
1.3 Contenido de la investigación
A medida que las aplicaciones de red desempeñan un papel cada vez más importante en las operaciones empresariales, las aplicaciones de red proporcionan una forma de cooperación entre diferentes empresas, comunicación entre departamentos internos de la empresa y uso compartido de recursos; pero al mismo tiempo, la interconexión de redes también ha llevado a la Se reduce la confidencialidad de la información y los datos entre departamentos, lo que afecta la seguridad de la información de la empresa. Por lo tanto, la gestión de seguridad de las redes empresariales debe tener en cuenta el control de acceso entre varios departamentos. El uso de listas de control de acceso (ACL) puede garantizar que los recursos de la red empresarial no se utilicen ni accedan ilegalmente, que los intrusos externos no puedan robar información interna y puede reducir el número de empresas que aumentan la red. Gastos adicionales en equipos de seguridad.
Capítulo 2 Análisis del sistema
2.1 Análisis de viabilidad
2.1.1 Viabilidad técnica
Con el desarrollo y la popularización de las redes informáticas, la tendencia de desarrollo de la informatización global se está acercando cada vez más a nosotros. Al mismo tiempo, la seguridad del entorno de la red también está sujeta a cada vez más amenazas. Las precauciones tradicionales de seguridad de la red por sí solas no son suficientes. Ya no es suficiente. Satisface las necesidades actuales de protección de seguridad de la red. Hoy en día, la mayoría de las empresas han implementado sus propios sistemas de red, que almacenan una gran cantidad de archivos e información internos de la empresa, pero es probable que esta información sea robada y destruida ilegalmente durante el proceso de transmisión, lo que causará graves problemas a la empresa. pérdidas inconmensurables. Por lo tanto, la protección de la seguridad de la red empresarial es muy importante: es necesario proteger el hardware, el software y los datos del sistema de red relevantes en el sistema para que pueda funcionar de manera continua y confiable.
La tecnología ACL puede realizar estadísticas de tráfico, duplicación de flujo, emitir límites de velocidad CAR, etc. También hay muchas funciones de red que en realidad se implementan a través de ACL, como enlace de IP, autenticación de portal, autenticación de MAC y prevención de ataques, aunque no son visibles. en la línea de comando. A la sombra de ACL, ACL en realidad se usa en la implementación de software de red. Estas funciones son suficientes para ilustrar el poder de ACL. Se puede decir que los equipos de red no pueden prescindir de ACL y los equipos de red no pueden funcionar en absoluto. sin LCA. Los centros de datos tienen requisitos muy altos para las redes: deben operar de forma segura e implementar servicios de manera flexible, todo lo cual es inseparable de las ACL. Dado que hay aplicaciones cada vez más complejas en los centros de datos, hacer un mejor uso de ACL y enriquecer las diversas funciones de ACL son opciones inevitables para la implementación de tecnología de red empresarial.
2.1.2 Viabilidad económica
La tecnología ACL no requiere la compra de equipos independientes para su implementación a nivel de red. Por ejemplo, los equipos de red y equipos de seguridad como conmutadores, enrutadores, firewalls, etc. en las empresas pueden implementar operaciones de control de acceso ACL. No hay necesidad de gastar costos separados para la adquisición., La tecnología ACL puede garantizar un alto grado de seguridad de la red empresarial y, al mismo tiempo, las empresas no necesitan gastar más dinero para comprar equipos independientes.
2.2 Análisis de la demanda
2.2.1 Requisitos funcionales
No hay duda de que no hay necesidad de ningún tipo de "predicación". Hoy en día, cuando la información y las redes se utilizan ampliamente, cualquier administrador o usuario de la red sabe muy bien que todas las redes informáticas utilizadas están destinadas a ser atacadas y atacadas intencionalmente o no. .Riesgo de daños. Las redes empresariales también tienen riesgos de seguridad. Para la mayoría de los piratas informáticos de redes, invadir con éxito el sistema de red de una empresa, especialmente una empresa conocida, tiene el valor de demostrar y mostrar su "capacidad", aunque la intención original de este comportamiento puede no tener un propósito malicioso; robar Los datos de red de la empresa, o incluso destruir su sistema de red, tienen un valor comercial más realista y a largo plazo [5]. Por tanto, la necesidad de establecer un sistema de seguridad completo para las redes empresariales es evidente.
El uso de listas de control de acceso en servidores y clientes internos de una empresa puede proteger la seguridad de la red interna de la empresa y protegerla de ataques de piratas informáticos externos cuando la red de la empresa está conectada a Internet. Sin embargo, en el caso de las redes corporativas, no sólo existen ataques externos sino también ataques internos. Las listas de control de acceso interno (ACL) pueden ayudar a proteger la seguridad de la red contra daños internos, como el robo de documentos confidenciales corporativos por parte de empleados o el sabotaje interno causado por empresas competidoras. Por lo tanto, la red empresarial debe cumplir con los requisitos de acceso restringido a los servidores entre varios departamentos. Algunos departamentos especiales no pueden acceder al servidor, o un servidor que no necesita acceder a Internet necesita restringir el acceso al servidor a través de un LCA. Al mismo tiempo, la empresa plantea requisitos para la red: en primer lugar, que la red sea viable. Todos los empleados pueden acceder a la red externa con autorización. Pueden tener velocidades de red rápidas durante el horario laboral y la red debe tener buena seguridad. Al mismo tiempo, los servidores importantes de la red interna deben tener políticas de control implementadas para evitar que externos acceso no autorizado, quedando prohibida la entrada de tráfico a la intranet de la empresa.
2.2.2 Requisitos no funcionales
1. Requisitos del entorno de red
A medida que diversas aplicaciones comerciales de las empresas se trasladan gradualmente a las redes informáticas, el funcionamiento ininterrumpido de las comunicaciones en red se ha convertido en la clave para garantizar la producción y el funcionamiento normales de las empresas. Las redes empresariales modernas a gran escala deben considerar principalmente tres aspectos en términos de diseño de confiabilidad: primero, el diseño de confiabilidad a nivel de dispositivo. Aquí no solo examinamos si el equipo de red ha logrado una copia de seguridad redundante de los componentes clave, sino que también consideramos la arquitectura de diseño general y motor de procesamiento del equipo de red. Se deben investigar los tipos y otros aspectos; en segundo lugar, el diseño de confiabilidad del negocio. Aquí debemos prestar atención a si el equipo de red tiene un impacto en el funcionamiento normal del negocio durante el proceso de conmutación de fallas; En tercer lugar, el diseño de confiabilidad del enlace. La seguridad del enlace de Ethernet proviene de Debido a su selección de rutas múltiples, al construir una red empresarial, es necesario considerar si el equipo de red puede proporcionar medios efectivos de autorreparación del enlace y soporte para protocolos de redireccionamiento rápido.
2.Necesidades de gestión
La red actual se ha convertido en una plataforma de infraestructura de información "centrada en aplicaciones", y los requisitos para las capacidades de administración de la red se han elevado al nivel de los requisitos comerciales. Esos dispositivos de red tradicionales que parecían muy inteligentes y avanzados en ese momento ya no existen. obsoleto en la sociedad actual y no puede apoyar eficazmente el desarrollo de las necesidades de gestión de redes. Por lo tanto, las redes empresariales modernas a gran escala necesitan con urgencia equipos de red que tengan la capacidad de admitir la operación y el mantenimiento de redes inteligentes "centrados en las aplicaciones" y que tengan un conjunto de software de gestión inteligente para liberar al personal de gestión de redes del trabajo pesado. Por lo tanto, los interruptores en la red necesitan interruptores administrables por la red y el inicio de sesión de administración remota está habilitado. El personal de operación y mantenimiento no necesita ingresar a la sala de corriente débil o sala de computadoras para administrar directamente el equipo cuando ocurre una falla, lo que hace que el mantenimiento sea conveniente para Responsables de operación y mantenimiento.
3. Requisitos de confiabilidad
4. Requisitos de volumen de comunicación
Las empresas tienen una gran cantidad de interacción de datos y descargas de archivos todos los días. Todo el entorno de red debe garantizar que el acceso a Internet y los enlaces de transmisión de datos de los usuarios empresariales no estén congestionados y que puedan navegar por páginas web y realizar operaciones comerciales a alta velocidad.
5. Requisitos de seguridad
Se debe establecer en la red un conjunto completo y factible de políticas de gestión y seguridad de la red para controlar el contenido de las solicitudes de servicios de red, de modo que se rechace el acceso ilegal antes de llegar al host; se debe fortalecer la autenticación de acceso para los usuarios legales, mientras que se deben fortalecer los derechos de acceso de los usuarios. debe controlarse a un límite mínimo; copia de seguridad y recuperación ante desastres, fortalecer la copia de seguridad del sistema y lograr una recuperación rápida del sistema; fortalecer la gestión de seguridad de la red, proporcionar conciencia de seguridad de la red y tecnología de prevención para todo el personal del sistema; prevenir ataques maliciosos y destrucción por parte de intrusos; proteger a los usuarios durante la transmisión en línea Confidencialidad, integridad.
Capítulo 3 Descripción general de las tecnologías relacionadas
3.1 tecnología HSRP
HSRP (Protocolo de enrutador de espera activa) Protocolo de enrutador de espera activa, es decir, varios enrutadores forman un "grupo de espera activa" y simulan un enrutador virtual. El enrutador virtual tiene una dirección IP virtual y una dirección MAC virtual. En un grupo de respaldo en caliente, solo un enrutador reenvía paquetes de datos como enrutador activo. Solo cuando el enrutador activo falla, se seleccionará un enrutador de respaldo como enrutador activo, pero para los hosts en la red, el enrutador virtual no ocurre. Cualquier cambio no provocará que se interrumpa la comunicación con el host.
El protocolo HSRP se utiliza en un entorno donde los dispositivos de puerta de enlace son redundantes, aplica el concepto de virtualización hasta cierto punto y virtualiza lógicamente varios dispositivos de puerta de enlace en un dispositivo lógico, es decir, un grupo de respaldo en caliente.
Sin embargo, solo un dispositivo en este grupo de respaldo en caliente realmente funciona como reenviador para la puerta de enlace, es decir, está en el estado Activo. Los otros dispositivos no están funcionando, es decir, el estado de espera. Solo escuchan los paquetes HSRP. enviado por el dispositivo activo para confirmar el dispositivo activo.
Está en estado de funcionamiento. El saludo predeterminado se envía cada 3 segundos. Si el modo de espera no recibe el paquete hHSRP del dispositivo activo, se considera que el dispositivo activo está defectuoso y se elige automáticamente otro enrutador para cambiar del estado de espera. al estado activo para heredar la obra.
En una LAN específica real, pueden coexistir o superponerse varios grupos de respaldo activo. Cada grupo de respaldo activo simula un enrutador virtual y tiene una dirección MAC conocida y una dirección IP. La dirección IP, la dirección de interfaz del enrutador del grupo y el host están en la misma subred, pero no pueden ser iguales. Cuando hay varios grupos de respaldo activo en una LAN, la carga se puede compartir distribuyendo hosts a diferentes grupos de respaldo activo.
Cómo funciona HSRP HSRP utiliza un esquema de prioridad para determinar qué enrutador configurado con el protocolo HSRP se convierte en el enrutador activo predeterminado. Si la prioridad de un enrutador se establece más alta que la de todos los demás enrutadores, el enrutador se convierte en el enrutador activo. La prioridad predeterminada de un enrutador es 100, por lo que si configura solo un enrutador con una prioridad superior a 100, ese enrutador se convertirá en el enrutador activo.
Al transmitir las prioridades HSRP entre enrutadores configurados con el protocolo HSRP, el protocolo HSRP selecciona el enrutador activo actual. Cuando el enrutador activo no puede enviar mensajes de saludo dentro de un período de tiempo preestablecido, el enrutador de respaldo con mayor prioridad se convierte en el enrutador activo. La transmisión de paquetes entre enrutadores es transparente para todos los hosts de la red. Los enrutadores configurados con el protocolo HSRP intercambian los siguientes tres tipos de mensajes de multidifusión:
Hola: el mensaje de saludo notifica a otros enrutadores que envíen la información de estado y prioridad HSRP del enrutador. El enrutador HSRP envía de forma predeterminada un mensaje de saludo cada 3 segundos;
Coup: envía un mensaje de golpe cuando un enrutador de respaldo se convierte en un enrutador activo;
Renunciar: cuando el enrutador activo deja de funcionar o cuando un enrutador con una prioridad más alta envía un mensaje de saludo, el enrutador activo envía un mensaje de renuncia. En cualquier momento, un enrutador configurado con el protocolo HSRP estará en uno de los siguientes cinco estados:
Inicial———El estado cuando se inicia HSRP. HSRP aún no se ha ejecutado. Generalmente se ingresa a este estado cuando se cambia la configuración o el puerto recién se inicia.
Escuche: el enrutador ha obtenido una dirección IP virtual, pero no es un enrutador activo ni un enrutador en espera. Sigue escuchando los mensajes HOLA enviados desde enrutadores activos y enrutadores en espera.
Hablar: en este estado, el enrutador envía mensajes HOLA con regularidad y participa activamente en la elección de enrutadores activos o espera enrutadores.
En espera: el enrutador está preparado para asumir las funciones de transmisión de paquetes cuando falla el enrutador activo.
Activo: el enrutador realiza la función de transmisión de paquetes.
3.2 tecnología DHCP
DHCP es la abreviatura de Protocolo de configuración dinámica de host y es una tecnología utilizada para administrar y configurar de forma centralizada las IP de los usuarios. Resuelve el tedioso proceso de configurar manualmente las direcciones IP. Incluso en redes más pequeñas, DHCP se puede utilizar para hacer que las configuraciones IP posteriores de los dispositivos de red sean simples y rápidas. Para resolver el problema de configurar parámetros de red como las direcciones IP, la organización IETF desarrolló el protocolo BOOTP. El protocolo BPPTP se ejecuta en un entorno relativamente estático y los administradores deben configurar un archivo de parámetros BOOTP especial para cada host antes de poder utilizarlo. En respuesta a las diversas deficiencias de BOOTP, el IETF ha desarrollado un nuevo protocolo que proporciona un protocolo para asignar y configurar dinámicamente parámetros de configuración de red (es decir, direcciones IP), que es DHCP.
DHCP utiliza un rango de direcciones IP para asignar IP a todos los terminales para lograr una administración y configuración dinámica y unificada de las direcciones IP. La dirección IP asignada por el servidor DHCP a cada cliente define un período de uso, que se denomina arrendamiento. Antes de que expire el contrato de arrendamiento, si el cliente DHCP aún necesita usar la dirección IP, puede solicitar extender el contrato; de lo contrario, puede liberar activamente la dirección IP. Cuando no haya otras direcciones libres disponibles, el servidor DHCP asignará la dirección IP liberada activamente por el cliente a otros clientes. Todas las direcciones IP asignadas dinámicamente por el servidor DHCP están limitadas por el período de concesión, y diferentes servidores DHCP pueden configurar diferentes períodos de concesión. Las direcciones IP asignadas estáticamente no están limitadas por el período de arrendamiento y tienen un período de uso ilimitado. El cliente DHCP no esperará hasta que expire el contrato de arrendamiento antes de solicitar una dirección IP, lo que hará que el servidor reclame la dirección IP y luego la asigne a otros clientes. Para garantizar que se pueda utilizar la dirección IP original, el cliente comenzará a solicitar una extensión del contrato de arrendamiento en un momento determinado antes de que expire el contrato de arrendamiento.
La siguiente figura describe el flujo de trabajo de DHCP en escenarios generales. Se divide principalmente en cuatro pasos.
Figura 3.1 Diagrama de flujo de trabajo DHCP
1).Etapa de descubrimiento
El cliente DHCP que se conecta a la red por primera vez no conoce la dirección IP del servidor DHCP, para obtener la dirección IP del servidor DHCP, el cliente DHCP envía un mensaje DHCP DISCOVER en modo transmisión. (El mensaje DHCP DISCOVER lleva la dirección MAC del cliente, la entrada de la tabla de parámetros de solicitud, el indicador de transmisión y otra información).
2).Proporcionar escenario
El servidor DHCP que está en el mismo segmento de red que el cliente DHCP recibirá el mensaje DHCP DISCOVER. El servidor DHCP selecciona un grupo de direcciones que está en el mismo segmento de red que la dirección IP de la interfaz que recibe el mensaje DHCP DISCOVER y selecciona una dirección IP disponible y luego la envía al cliente DHCP a través del mensaje OFERTA DHCP.
3).Etapa de solicitud
Si varios servidores DHCP responden a mensajes DHCP OFERTA al cliente DHCP, el cliente DHCP generalmente solo recibe el primer mensaje DHCP OFERTA recibido. Después de recibir el mensaje OFERTA DHCP, el cliente DHCP envía un mensaje SOLICITUD DHCP en modo de transmisión. El mensaje SOLICITUD DHCP contiene el identificador del servidor DHCP y la dirección IP del cliente que el cliente desea elegir.
El cliente DHCP transmite un mensaje SOLICITUD DHCP para notificar a todos los servidores DHCP, seleccionará la dirección IP proporcionada por un servidor DHCP y otros servidores DHCP asignarán la dirección IP asignada al cliente DHCP a otros clientes DHCP.
4) Etapa de confirmación
Cuando el servidor DHCP recibe el mensaje DHCP REQUEST enviado por el cliente DHCP, el servidor DHCP responde con un mensaje DHCP ACK, indicando que la dirección IP solicitada en el mensaje DHCP REQUEST está asignada al cliente.
3.3 tecnología STP
Introducción al protocolo STP: STP --- Protocolo de árbol de expansión (Protocolo de árbol de expansión) rompe lógicamente el bucle para evitar la aparición de tormentas de transmisión. En una red de conmutación, puede ocurrir un punto único de falla. El llamado punto único de falla se refiere Se debe al fallo de un determinado dispositivo de la red que afecta la comunicación de toda la red. Para evitar puntos únicos de falla y mejorar la confiabilidad de la red, esto se puede resolver construyendo una topología redundante. Sin embargo, una topología redundante provocará bucles en nuestra red y producirá otros impactos. Para resolver el problema de los bucles de Capa 2, se diseñó STP.
El principio básico de STP es determinar la topología de la red transmitiendo un mensaje de protocolo especial, Unidad de datos de protocolo de puente (BPDU), entre conmutadores. Hay dos tipos de BPDU, BPDU de configuración (y BPDU TCN): el primero se usa para calcular un árbol de expansión sin bucles y el segundo se usa para acortar el tiempo de actualización de las entradas de la tabla MAC cuando cambia la topología de la red de capa 2.
El papel de STP: se puede aplicar al establecimiento de estructuras de topología de árbol en redes informáticas. Su función principal es evitar que los enlaces redundantes en la red puente formen bucles, lo que puede resolver el problema de robustez de la red que requiere enlaces redundantes en el red de capa central requisitos y puede resolver el problema de la "tormenta de transmisión" causada por bucles físicos formados por enlaces redundantes.
(1) Tormenta de transmisión
Suponga que el protocolo STP no está habilitado en el dispositivo de conmutación. Si la PC1 envía una solicitud de transmisión, el mensaje de transmisión se recibirá en el puerto 1 de los dos dispositivos de conmutación y se transmitirá a través del puerto 2 respectivamente. Luego, el puerto 2 de los dos conmutadores recibirá el paquete del otro dispositivo de conmutación. Los paquetes de transmisión se envían entonces reenviado desde el puerto 1 de los dos dispositivos de conmutación respectivamente. Este proceso se repite, lo que finalmente provoca que se agoten todos los recursos de la red y que la red quede paralizada y no disponible.
(2) Copia de varios fotogramas
Cuando la PC1 envía una transmisión de solicitud, la solicitud puede llegar directamente al dispositivo de la otra parte, pero el conmutador también recibirá e inundará los datos. Los datos inundados se transmiten desde el enlace al dispositivo de la otra parte. Después de una transmisión repetida, el dispositivo de la otra parte Obtendrá múltiples marcos de datos idénticos.
(3) Impacto en la tabla de direcciones MAC
El conmutador S1 puede aprender la dirección MAC de la PCB en el puerto 2, pero dado que el S2 reenviará la trama de datos de transmisión enviada por la PC2 a sus otros puertos, el S1 también puede aprender la dirección MAC de la PC2 en el puerto 1. De esta manera, las tramas de transmisión se reenvían continuamente entre los dos dispositivos de conmutación y el S1 modificará constantemente su tabla de direcciones MAC. Provoca fluctuaciones en la tabla de direcciones MAC.
Para garantizar la redundancia del enlace y garantizar que no ocurran los problemas anteriores, diseñamos el protocolo STP para resolver el problema. La idea central es retener una ruta óptima y recalcular la ruta óptima cuando ocurre un problema de enlace. lo que no sólo garantiza la redundancia, sino que también garantiza que no se produzcan bucles de Capa 2.
3.4 tecnología OSPF
El nombre completo del protocolo de enrutamiento OSPF es Open Shortest Path First, que es el primer protocolo abierto de ruta más corta. Debido a que OSPF fue desarrollado por IETF, su uso no está restringido por ningún fabricante y puede ser utilizado por todos, por lo que se llama abierto. y el primer protocolo de ruta más corta se llama abierto. La prioridad de ruta (SPF) es solo la idea central de OSPF. El algoritmo que utiliza es el algoritmo de Dijkstra. La prioridad de ruta más corta no tiene mucho significado especial. No existe un protocolo de enrutamiento que priorice el camino más largo. Todos los protocolos elegirán el más corto.
Máquina de estados----Cuando se establece OSPF, hay varias etapas;
(1) Abajo Una vez que el local envía un paquete de saludo, ingresa al siguiente estado
(2) Init inicializa el paquete de saludo recibido localmente y almacena el RID local para ingresar al siguiente estado.
(3) bandera de establecimiento de relación de vecino de comunicación bidireccional;
Coincidencia de condiciones: la red punto a punto ingresa directamente al siguiente estado, la red MA realizará la elección DR/BDR (40S) y las salas que no son DR/BDR no pueden ingresar al siguiente estado;
(4) El preinicio de exstart utiliza DBD similar a hello para elegir la relación maestro-esclavo. El RID es más grande que el maestro y el maestro ingresa primero al siguiente estado.
(5) Exchange cuasi-exchange utiliza paquetes DBD reales para compartir directorios de bases de datos, lo que requiere ACK;
(6) La carga utiliza LSR/LSU/LSack para obtener información LSA desconocida;
(7) Bandera para el establecimiento de una relación de adyacencia de reenvío total
Proceso de trabajo OSPF:
Una vez completada la configuración de inicio, el paquete de saludo se utiliza localmente para establecer relaciones de vecinos y generar tablas de vecinos;
Se realiza una coincidencia condicional, las coincidencias fallidas siguen siendo vecinas y solo se mantiene vivo el período del paquete de saludo;
Aquellos que coincidan con éxito utilizarán DBD/LSR/LSU/LSack para obtener información de LSA desconocida. Después de recopilar todas las LSA en su red, se generará una tabla de datos LSDB; luego se utilizará el algoritmo de ruta más corta para calcular la distancia local a todos los segmentos de red desconocidos. Luego, la ruta óptima se carga en la tabla de enrutamiento y se completa la convergencia.
3.5 tecnología ACL
3.5.1 Principio de ACL
Lista de control de acceso ACL utiliza tecnología de filtrado de paquetes para leer la información en los encabezados de tercera y cuarta capa del enrutador, como la dirección de origen, la dirección de destino, el puerto de origen, el puerto de destino, etc., según las reglas predefinidas que filtran los paquetes para lograr el acceso. fines de control. Es decir, edite la dirección de origen, la dirección de destino, el número de puerto y otra información de parámetros de algún inicio de datos para recopilar reglas de coincidencia de tráfico y luego filtre las solicitudes de paquetes entrantes y salientes a través de la acción de mensaje coincidente configurada y otra información y control de acceso. enumerar parámetros., para lograr el control de seguridad de enrutadores y redes.
3.5.2 El papel de ACL
ACL se puede utilizar en empresas para limitar el tráfico de la red y mejorar el rendimiento de la red. Por ejemplo, una ACL puede especificar la prioridad de un paquete de datos según su protocolo. ACL proporciona un medio para controlar el tráfico de comunicaciones. Por ejemplo, ACL puede limitar o simplificar la longitud de la información de actualización de enrutamiento, limitando así el tráfico de comunicación que pasa a través de un determinado segmento de red del enrutador, y también es un medio básico para que las empresas proporcionen acceso seguro a la red. Determina qué tipo de tráfico se reenvía o bloquea en el puerto de un enrutador. Por ejemplo, los usuarios pueden permitir que se enrute el tráfico de correo electrónico y denegar todo el tráfico Telnet.
Por ejemplo, si un departamento requiere que solo se pueda utilizar la función WWW, se puede implementar a través de ACL; por ejemplo, para la confidencialidad de un determinado departamento, no se le permite acceder a la red externa y la red externa no está Se le permite acceder a él y se puede implementar a través de ACL.
3.5.3 Clasificación ACL
Tabla 3.1 Tipos de ACL
| Clasificación |
Versión IP aplicable |
Descripción de la definición de regla |
rango de números |
|
| ACL básica |
IPv4 |
Para definir las reglas solo se utilizan la dirección IP de origen, la información de fragmentación y la información del período de tiempo efectivo del paquete. |
2000~2999 |
|
| ACL avanzada |
IPv4 |
Puede usar la dirección IP de origen de los paquetes IPv4, o puede usar la dirección IP de destino, el tipo de protocolo IP, el tipo ICMP, el puerto de origen/destino TCP, el número de puerto de origen/destino UDP, el período de tiempo efectivo, etc. para definir reglas. |
3000~3999 |
|
| ACL de capa 2 |
IPv4 e IPv6 |
Utilice la información del encabezado de la trama Ethernet del paquete para definir reglas, como la dirección MAC (control de acceso a medios) de origen, la dirección MAC de destino, el tipo de protocolo de capa 2, etc. |
4000~4999 |
|
| ACL definida por el usuario |
IPv4 e IPv6 |
Utilice el encabezado del mensaje, la posición de desplazamiento, la máscara de cadena y la cadena definida por el usuario para definir las reglas, es decir, utilice el encabezado del mensaje como base para especificar el número de bytes en el mensaje comenzando desde "Y" con la máscara de cadena. ”Operación y compara la cadena extraída con la cadena definida por el usuario para filtrar los mensajes coincidentes. |
5000~5999 |
|
| ACL de usuario |
IPv4 |
Puede usar la dirección IP de origen o el grupo UCL (lista de control de usuarios) de origen del mensaje IPv4, o puede usar la dirección IP de destino o el grupo UCL de destino, el tipo de protocolo IP, el tipo ICMP, el puerto de origen/destino TCP y UDP. Puerto de origen/destino Número de puerto, etc. para definir reglas. |
6000~9999 |
|
| ACL6 básico |
IPv6 |
Las reglas se pueden definir utilizando la dirección IPv6 de origen, la información de fragmentación y el período de tiempo efectivo de los paquetes IPv6. |
2000~2999 |
|
| ACL6 avanzado |
IPv6 |
Las reglas se pueden definir utilizando la dirección IPv6 de origen, la dirección IPv6 de destino, el tipo de protocolo IPv6, el tipo ICMPv6, el puerto de origen/destino TCP, el número de puerto de origen/destino UDP, el período de tiempo efectivo, etc. del mensaje IPv6. |
3000~3999 |
|
3.6 tecnología NAT
NAT (Network Address Translation) es una tecnología de traducción de direcciones de red que nació en 1994. Este método ha ralentizado el agotamiento de las direcciones IPV4, aunque IPV4 había asignado la última dirección hace dos años, es decir, en 2019, pero esta tecnología se puede ampliar a redes IPV6.
Hay tres tipos de NAT:
NAT estática (uno a uno). Convierta la dirección IP privada de la red interna en una dirección IP pública. El par de direcciones IP es uno a uno y permanece sin cambios.
Dirección dinámica NAT (NAT agrupada) (muchos a muchos). Al convertir la dirección IP privada de una red interna en una dirección IP pública, la dirección IP no está definida y es aleatoria. Todas las direcciones IP privadas autorizadas para acceder a Internet se pueden convertir aleatoriamente a cualquier dirección IP legal especificada. En otras palabras, siempre que especifique qué direcciones internas se pueden traducir y qué direcciones legales se utilizan como direcciones externas, se puede realizar la traducción NAT dinámica. La NAT dinámica configura un grupo de direcciones IP externas en el enrutador. Cuando una computadora interna necesita comunicarse con el exterior, dinámicamente extrae una dirección IP externa del grupo de direcciones y vincula su relación correspondiente a la tabla NAT. Una vez completada la comunicación , la IP de la red externa se libera y puede ser utilizada por otras traducciones de direcciones IP internas. Esta IP de arrendamiento DHCP tiene similitudes. Cuando las direcciones IP legales proporcionadas por el ISP son ligeramente menores que la cantidad de computadoras dentro de la red. Se puede utilizar la conversión dinámica.
Traducción de puerto de dirección de red NAPT (traducción de puerto de dirección de red). Cambie el puerto de origen de los paquetes de datos salientes y realice la conversión de puertos mediante multiplexación de puertos. Todos los hosts de la red interna pueden compartir una dirección IP externa legal para acceder a Internet, lo que puede ahorrar recursos de dirección IP al máximo. Al mismo tiempo, todos los hosts dentro de la red también se pueden ocultar para evitar eficazmente ataques desde Internet. Por lo tanto, las reglas PAT son actualmente las más utilizadas en la red. Esta es la tecnología NAT más utilizada y una de las razones más importantes por las que se puede mantener IPv4 hasta el día de hoy. Proporciona un método de muchos a uno. Para múltiples direcciones IP de redes internas, el enrutamiento fronterizo puede asignarles una red externa. IP, utilice diferentes puertos de esta red externa IP para comunicarse con el mundo exterior. NAPT se diferencia de la NAT dinámica en que asigna conexiones internas a una dirección IP separada en la red externa y agrega un número de puerto seleccionado por el dispositivo NAT a la dirección.
Capítulo 4 Diseño del sistema
4.1 Principios de diseño de arquitectura de red
En el diseño de este sistema, adoptamos un método de diseño en capas para dividir la estructura lógica de la red en partes y discutimos los detalles del diseño y la implementación en capas. La topología de la red se divide en tres capas: capa central, capa de agregación y capa de acceso.
Beneficios de adoptar un enfoque de diseño en capas:
(1) Ahorro de costos. Cuando el tráfico fluye desde la capa de acceso a la capa central, converge en enlaces de alta velocidad; cuando el tráfico fluye desde la capa central a la capa de acceso, se distribuye en enlaces de baja velocidad. Por lo tanto, , el enrutador de la capa de acceso puede utilizar un dispositivo más pequeño. Después de adoptar el método de diseño jerárquico, cada capa es responsable de una transmisión de datos diferente y no es necesario considerar el mismo problema al mismo tiempo. La naturaleza modular del modelo jerárquico permite que cada capa de la red haga un buen uso del ancho de banda y reduzca el desperdicio de recursos del sistema.
(2) Es fácil de entender: la estructura de topología de red diseñada utilizando el método de diseño dividido tiene una estructura jerárquica clara y puede implementar la gestión de diferentes dificultades en diferentes niveles, lo que reduce el costo de gestión.
(3) Fácil de expandir: la modularización jerárquica diseñada mediante el método de diseño jerárquico es más propicia para la expansión del sistema. La modularización jerárquica fácil de solucionar problemas puede descomponer la topología de la red en estructuras de subred fáciles de entender. Los administradores pueden determinar más fácilmente el alcance de las fallas de la red y eliminarlas más rápidamente.
4.2 Diagrama de topología de red
Figura 4.1 Diagrama de topología de red
4.3 Diseño de seguridad de la red
Cumplir con los requisitos básicos de seguridad de la red empresarial es una condición necesaria para el funcionamiento exitoso de la red. Sobre esta base, proporcionar una sólida garantía de seguridad es un principio importante de la seguridad del sistema de red. Dentro de la red se implementan numerosos dispositivos y servidores de red. Proteger el funcionamiento normal de estos dispositivos y mantener la seguridad de los principales sistemas comerciales son requisitos de seguridad básicos para la red. Para diversos ataques a la red, cómo resistir y detectar ataques a la red mientras se brindan servicios de información y comunicaciones de red flexibles y eficientes, y se proporcionan medios para rastrear los ataques.
Las empresas deben utilizar el control de acceso y establecer un sistema de control de acceso para segmentos y servicios de red específicos para prevenir la gran mayoría de los ataques antes de que lleguen al objetivo del ataque;
Verifique periódicamente las vulnerabilidades de seguridad. A través de inspecciones periódicas de las vulnerabilidades de seguridad, incluso si el ataque puede alcanzar el objetivo del ataque, la mayoría de los ataques pueden no ser válidos; el monitoreo de ataques, a través del sistema de monitoreo de ataques establecido para segmentos y servicios de red específicos, puede detectar errores absolutos en tiempo real. tiempo. La mayoría de los ataques; comunicación cifrada, la comunicación cifrada activa puede evitar que los atacantes comprendan o modifiquen información confidencial; autenticación, un buen sistema de autenticación puede evitar que los atacantes se hagan pasar por usuarios legítimos; copia de seguridad y recuperación, un buen mecanismo de copia de seguridad y recuperación puede Cuando un ataque causa las pérdidas, los datos y los servicios del sistema se restauran lo más rápido posible; la defensa multicapa retrasa o bloquea a los atacantes para que no alcancen el objetivo del ataque después de atravesar la primera línea de defensa; la información interna se oculta para que los atacantes no puedan comprender la situación básica del sistema Establecer un centro de monitoreo de seguridad para brindar servicios de gestión, monitoreo, mantenimiento y emergencia de sistemas de seguridad para sistemas de información.
4.4 Planificación de direcciones IP
La dirección IP es la identificación del host y el dispositivo en la red. En la misma red, dos hosts no pueden usar la misma dirección IP.
De lo contrario habrá un conflicto y la comunicación será imposible, por lo que la dirección IP debe ser única. Al mismo tiempo, con el continuo desarrollo y expansión de las empresas y el continuo aumento de negocios y personal, se reflejan los requisitos de escalabilidad de las direcciones IP, por lo que al diseñar direcciones IP debe haber margen.
Tabla 4.1 Planificación de direcciones IP
| departamento |
VLAN |
IP |
puerta |
| Departamento de Tecnología de Producción |
10 |
172.16.10.0/24 |
172.16.10.254 |
| Departamento de Planificación y Marketing |
11 |
172.16.11.0/24 |
172.16.11.254 |
| Departamento de Supervisión de Seguridad |
12 |
172.16.12.0/24 |
172.16.12.254 |
| Departamento de Finanzas |
13 |
172.16.13.0/24 |
172.16.13.254 |
| Departamento de Recursos Humanos |
14 |
172.16.14.0/24 |
172.16.14.254 |
| Departamento de Administración |
15 |
172.16.15.0/24 |
172.16.15.254 |
| Oficina del Director General |
dieciséis |
172.16.16.0/24 |
172.16.16.254 |
| servidor DNS |
20 |
172.16.20.1/24 |
172.16.17.254 |
| servidor WEB |
20 |
172.16.20.2/24 |
172.16.20.254 |
| Servidor de correo electrónico |
20 |
172.16.20.3/24 |
172.16.20.254 |
| Servidor DHCP |
20 |
172.16.20.4/24 |
172.16.20.254 |
| servidor FTP |
20 |
172.16.20.5/24 |
172.16.20.254 |
4.5 Selección de equipo
4.5.1 Selección del interruptor central
El conmutador central utiliza el conmutador de clase empresarial CISCO WS-C6509-E de Cisco. El rendimiento del conmutador y el ancho de banda del backplane satisfacen los requisitos de interacción de datos de las pequeñas y medianas empresas. Los parámetros específicos son los siguientes:
Tabla 4.2Parámetros del WS-C6509-E
| Los principales parámetros |
tipo de producto |
Cambio de nivel empresarial |
| nivel de aplicación |
cuarto piso |
|
| Velocidad de transmision |
10/100/1000Mbps |
|
| método de intercambio |
almacenamiento y reenvio |
|
| Ancho de banda del plano posterior |
720 Gbps |
|
| Tasa de reenvío de paquetes |
387Mpps |
|
| tabla de direcciones MAC |
64K |
|
| Parámetros del puerto |
Estructura portuaria |
Modular |
| Módulos de extensión |
9 ranuras modulares |
|
| Modo de transmisión |
Soporta dúplex completo |
|
| Características |
VLAN |
apoyo |
| QOS |
apoyo |
|
| administración de redes |
apoyo |
|
| LCA |
apoyo |
|
| Otros parámetros |
Fuente de alimentación |
4000W |
Figura 4.2 Interruptor WS-C6509-E
4.5.2 Selección del interruptor de agregación
El conmutador CISCO WS-C3560X-24T-L se selecciona para su implementación como conmutador de agregación en la red empresarial . Los parámetros específicos de este conmutador son los siguientes:
Tabla 4.2 Parámetros del C3560X
| tipo de producto |
Conmutador Gigabit Ethernet |
| nivel de aplicación |
Segunda planta |
| Velocidad de transmision |
10/100/1000Mbps |
| Memoria del producto |
Memoria DRAM: 256MB Memoria FLASH: 128MB |
| método de intercambio |
almacenamiento y reenvio |
| Ancho de banda del plano posterior |
160 Gbps |
| Tasa de reenvío de paquetes |
65,5Mpps |
| Estructura portuaria |
no modular |
| Descripción del puerto |
24 puertos Ethernet 10/100/1000 |
Figura 4.3 CISCO WS-C3560X-24T-L
4.5.3 Selección de enrutador
路由器使用思科Cisco®2900 系列集成多业务路由器建立在 25 年思科创新和产品领先地位之上。新平台的构建旨在继续推动分支机构的发展,为分支机构提供富媒体协作和虚拟化,同时最大程度地节省运营成本。第 2 代集成多业务路由器平台支持未来的多核 CPU,支持具有未来增强的视频功能的高容量 DSP(数字信号处理器)、具有更高可用性的高功率服务模块、具有增强 POE 的千兆位以太网交换产品以及新能源监控和控制功能,同时提高整体系统性能。此外,通过全新 Cisco IOS® 软件通用映像和服务就绪引擎模块,还可以将硬件和软件部署分离,从而奠定灵活的技术基础以及时满足不断发展的网络需求。总而言之,通过智能集成市场领先的安全、统一通信、无线和应用程序服务,Cisco 2900 系列可提供无与伦比的总拥有成本节约和网络灵活性。
表4.3 2911路由器特性
| 模块化平台 |
Cisco 2900 系列集成多业务路由器是高度模块化平台,具有多种类型的模块插槽,可添加连接性和服务,以满足不同的分支机构网络需求。ISR 通过模块提供行业内范围最广的局域网和广域网连接选项,以适应未来技术的现场升级,而无需更换平台。 |
| 处理器 |
Cisco 2900 系列由高性能多核处理器支持,可在分支机构运行多并发服务的同时,满足其不断增长的高速广域网连接需求。 |
| 多千兆位光纤 (MGF) |
Cisco 2900 系列引入了创新的多千兆位光纤 (MGF),可实现有效的模块到模块通信,从而增强模块间的服务交互,同时减少路由处理器的管理费用。 |
| TDM 互联光纤 |
通过使用系统架构中的 TDM 互联光纤,分支机构的统一通信服务得到显著增强,从而可扩展 DS-0 通道容量。 |
| 集成千兆位以太网端口 |
所有板载广域网端口均为 10/100/1000 千兆位以太网广域网路由端口。Cisco 2921 和 2951 上的三个 10/100/1000 以太网广域网端口之一代替了 RJ-45 端口,支持基于小型封装热插拔 (SFP) 的连接以及光纤连接。 |
图4-4 2911路由器
第5章 详细设计
传统中小型局域网络由二层交换机构成局域网骨干,整个网络是一个广播域。如果企业中的网络都属于同一个子网掩码的网段之下,那么网内的二层数据之间的交互不需要通过网关设备,也就相当于局域网内都通过一台或者多台接入交换机的MAC寻址转发就搞定了,只有跨网段访问的地址才需要经过网关。
本课题的企业网络设计总体逻辑架构,遵循现代局域网的部署准则,由三层交换设备构成局域网骨干,对各个部门按需划分VLAN,进行逻辑隔离,这些小型局域网通过三层设备的路由交换功能互连。无论是哪种网段,都是计算机节点的划分方式。但目前基于三层交换实现跨网段访问的方法,已经逐渐成为主流。因为三层起码可做到可控、可查、可溯源的安全效果。
5.1 核心层网络设计
图5.1 核心层
网络核心层的主要工作是交换数据包,核心层设备的主要存在任务是为了数据交互转发的,要尽量避免在核心上接入过多的终端设备;并且核心层的路由一定要具备可到达性,也就是说核心设备对网内的所有设备或者目的都需要具备路由可达,可实现交互转发的一个功能。
此次设计为提高核心层交换网络的可靠性,实现物理链路和网关冗余的双层保障, 核心层将决定使用HSRP (热备份路由器协议)来实现网关冗余,至于物理链路的冗余则通过STP生成树的环路监测机制来实行。对于各个业务VLAN终端地址,网关均指向这个HSRP所维护的虛拟IP地址,因此才能够保证HSRP技术为全网提供一个可靠的网关地址,以实现在核心层核心交换机之间进行设备的硬件冗余,并且HSRP通过内部的协议传输机制可以自动进行工作角色的切换。进而为网络高效处理大集中数据提供了可靠的保障。
5.2 汇聚层网络设计
5.2 汇聚层设计
汇聚层网络主要完成企业各园区内办公楼宇和相关单位的内接入交换机的,汇聚及数据交换和VLAN终结,汇聚层是核心层和接入层的连接模块,其主要功能联合公司自动化系统的汇聚层,主要是为各个配线间以及服务器群的中心网络设备提供接入层设备的集中和核心层链路的接入。
本课题设计的汇聚层网络上联核心交换机、下联接入交换机,均采用双线STP破环实现链路的备份冗余,让网络不存在单点故障问题的发生,保证用户上网体验。
5.3 接入层设计
图5.3 接入层设计
接入层是面向最终用户的设备,主要功能如下:提供高密度的用户端口;提供许可控制,包括:安全控制和QoS控制。采用多层网络的设计方法,必须依赖于利用网络的高弹性和扩充性。所谓的弹性指的是对故障的容忍度和故障情况下的恢复能力;所谓扩充性是指根据实际需要,可以在各个不同层次实现升级和扩充,实现对网络可控的、有序的优化。在这种体系结构内,接入层为终端用户提供10/100M交换端口,并提供到网络汇聚层的.上联链路。各个楼层的终端设备或局域网络全部通过接入层进入网络系统。
5.4 关键性技术及难点
本课题采用的关键技术为ACL访问控制列表,针对一些部门对服务器的访问限制,服务器的上网限制等策略实现企业内的网络安全,排除安全隐患的发生;其次局域网内使用了DHCP、OSPF、NAT等IP路由关键技术,针对冗余性的考虑核心设备还使用了HSRP+STP组合物理链路、网关冗余。
本次设计的难点在于ACL访问控制的策略配置,思科设备上配置ACL一但条目顺序配置错误,那么就需要删除整条ACL规则来进行重新配置,因此配置ACL的时候需要格外注意,一是注意规则配置顺序,二是注意应用的策略方向,以免造成网络大面积中断的网络事故。
第6章 系统测试
6.1 调试与测试
6.1.1核心交换机的HSRP配置调试
interface Vlan10 //进入VLAN 10
ip address 172.16.10.252 255.255.255.0 //配置IP地址
ip helper-address 172.16.20.4 //配置DHCP中继
standby 10 ip 172.16.10.254 //配置HSRP虚拟网关地址
standby 10 priority 101 //配置HSRP优先级
standby 10 preempt //设置HSRP状态为抢占
interface Vlan11
mac-address 0040.0b31.7502
ip address 172.16.11.252 255.255.255.0
ip helper-address 172.16.20.4
standby 11 ip 172.16.11.254
standby 11 priority 101
standby 11 preempt
核心交换机HSRP协议状态如下:
图6.1 核心交换机HSRP状态
本次设计的网络环境中使用两台核心交换机上配置热备份路由器协议HSRP实现终端的网关冗余,当Active设备宕机后马上standby设备会立马接替进行转发,两台设备的相互冗余可以保证整个网络的不中断和可靠性。
6.1.2 DHCP的相关配置
DHCP服务器旁挂核心,创建地址池,网关设备通过DHCP中继协议的指向来向服务器请求地址下发,具体配置如下:
图6.2 DHCP服务器配置
服务器区域设立了DHCP服务器,通过核心交换机在每个网关上设立DHCP中继协议来对接服务器,让接入终端设备都可以自动获取到服务器上所设立的地址池,既简化了管理员手动配置的操作,也能解决IP地址冲突的问题。
6.1.3 OSPF的配置
两台核心交换机配置OSPF路由协议与互联网接入路由器互联,核心交换机相互学习路由,路由器学习网内内部路由并且下发默认路由至核心交换机上。
router ospf 1
router-id 1.1.1.1
log-adjacency-changes
network 172.31.1.0 0.0.0.255 area 0
network 172.16.10.0 0.0.0.255 area 0
network 172.16.11.0 0.0.0.255 area 0
network 172.16.12.0 0.0.0.255 area 0
network 172.16.13.0 0.0.0.255 area 0
network 172.16.14.0 0.0.0.255 area 0
network 172.16.15.0 0.0.0.255 area 0
network 172.16.16.0 0.0.0.255 area 0
network 172.16.20.0 0.0.0.255 area 0
图6.3路由器上学习到内部路由
OSPF动态路由协议在网络环境中应用最为广泛,因为他具有很高的可靠性和收敛速度,对于内部设备的路由变动和增加可以做到第一时间学习路由,不需要像RIP那样等待一定时间的全量更新,本次设计上核心交换机和路由器之间就配置了OSPF路由协议达到自动学习路由的目的,从上图可看出,OSPF协议正常,设备已经自动学习到了局域网内部的路由网段,不需要管理员再进行手动配置。
6.1.4 ACL技术应用
图6.4 ACL配置
在两台核心交换机上配置ACL不允许生产技术部访问邮件服务器、计划营销部访问WEB服务器以及安全监察部访问FTP服务器的操作。核心交换机上的具体配置如下:
access-list 100 deny ip 172.16.10.0 0.0.0.255 host 172.16.20.3 //拒绝生产技术部访问邮件服务器
access-list 100 deny ip 172.16.11.0 0.0.0.255 host 172.16.20.2 //拒绝计划营销部访问WEB服务器
access-list 100 deny ip 172.16.12.0 0.0.0.255 host 172.16.20.5 //拒绝安全监察部访问FTP服务器
access-list 100 permit ip any any //所有流量方向
6.1.5 NAT技术
图6.5 NAT状态
出口路由器上配置NAT地址转换和服务器端口映射,实现内网用户上网需求和对外发布的服务器映射需求。同时在NAT调用的ACL规则上排除了DHCP服务器地址,拒绝DHCP服务器连接互联网。
具体配置如下:
access-list 1 deny host 172.16.20.4 //拒绝源地址为DHCP服务器的流量
access-list 1 permit any //所有流量方向
ip nat inside source list 1 interface GigabitEthernet0/2 overload //将ACL 1 规则调用在NAT地址转换上,并将转换地址设置为G0/2的出接口地址。
ip nat inside source static tcp 172.16.20.2 80 164.100.222.1 80 //WEB服务器映射公网地址164.100.222.1
6.2 连通性测试
6.2.1 DHCP自动获取地址测试
图6.4安全监察部终端自动获取地址
安全监察部通过DHCP动态主机协议自动获取到服务器下发的地址和网关以及DNS。
6.2.2 局域网连通性测试
图6.5 总经理室ping测试
通过总经理室的PC来对生产技术部和计划营销部的终端连通性进行测试,测试结果正常。
6.2.3 ACL限制测试
图6.6拒绝计划营销部访问WEB服务器
用生产技术部的终端和计划营销部的终端同时访问WEB服务器,发现计划营销部无法请求到WEB服务器,生产技术部可正常访问。测试结果正常。
6.2.4 NAT测试
图6.7 访问NAT测试
使用人力资源部终端和DHCP服务器同时访问互联网,发现DHCP服务器无法访问互联,而人力资源部可正常访问。测试结果正常。