皆さんこんにちは、コンピューター分野のブロガー、Xiaohua先輩です。長年の学習と実践を経て、私は豊富なコンピューターの知識と経験を蓄積してきましたが、ここでは、皆さんがより優れたプログラマーになるために、私の学習経験とスキルを皆さんと共有したいと思います。
私はコンピューターブロガーとして、プログラミング、アルゴリズム、ソフトウェア開発などの分野に注力しており、これらの分野で多くの経験を積んできました。共有することはWin-Winの関係だと私は信じており、共有することで他の人の技術レベルを向上させることができ、同時に学びとコミュニケーションの機会を得ることができます。
私の記事では、さまざまなプログラミング言語、開発ツール、一般的な問題についての私の分析と分析をご覧いただけます。実際のプロジェクト経験に基づいた実践的なソリューションと最適化テクニックを提供します。これらの経験は、現在直面している問題を解決するだけでなく、プログラミング的思考や問題解決能力の向上にもつながると信じています。
技術的な側面を共有することに加えて、キャリア開発や学習方法に関するいくつかのトピックについても触れます。私は元学生として、自分自身をより良く改善し、コンピューター分野での課題に対処する方法を知っています。皆さんのキャリア開発にプラスの影響を与えることを願って、いくつかの学習方法、面接スキル、職場での経験を共有します。
私の記事は、非常に活発で専門的なコンピューター テクノロジ コミュニティである CSDN コミュニティに公開されます。ここでは、テクノロジーを愛する他の人々とコミュニケーションし、学び、共有することができます。私のブログをフォローすると、私の最新記事をいち早く入手でき、私や他の読者と交流することができます。
コンピュータ分野に興味があり、プログラミング スキルと技術レベルをさらに向上させたいと考えている場合は、私の CSDN ブログをフォローしてください。私が共有する内容があなたを助け、インスピレーションを与え、コンピュータ分野でより大きな成功を収めることができると信じています。
一緒に優れたプログラマーになり、コンピューティングの素晴らしい世界を一緒に探索しましょう。ご注目とご支援に感謝いたします!
共有されるすべてのコンピューター プロジェクトのソース コードにはドキュメントが含まれており、卒業プロジェクトやコース設計に使用できます。質問を共有したり、経験を交換したりするためにメッセージを残すことを歓迎します。
スーパーマーケットネットワーク計画の実施は、スーパーマーケット間の便利なコミュニケーションのハブとなります。今日の社会では、スーパーマーケットのネットワークの規模とアプリケーションレベルがスーパーマーケットのネットワーク環境の主要な要素となっており、スーパーマーケットのネットワークではイントラネットとサーバーのセキュリティが最優先事項となっています。したがって、スーパーマーケットの既存の条件を利用し、これに基づいて安全で統一されたスーパーマーケットネットワークを設計する必要があります。
需要分析に基づいて、基本的なコア テクノロジー (ポート アグリゲーション、スパニング ツリーの優先順位、VLAN アプリケーション) が提供され、より適切なトポロジ プランニングとより正確な分析の最新化によって業界の発展に対応します。スーパーマーケットの流通によれば、IP アドレスの計画は VLAN の適切な部分であり、ユーザー アクセス (MAC アドレスを使用して IP アドレスをバインドする) を選択すると管理が容易になります。プランに応じてデバイスのブランド名とモデルを選択してください。ACL プロトコルはネットワークを最適化するために使用され、ルーターのコマンド リストとスイッチ インターフェイスを通じてポートに送受信されるデータ パケットを制御します。出口展開ルータはオペレータのネットワーク機器に接続されており、スーパーマーケットの内部ユーザーのアクセスは、出口ルータのネットワーク アドレス変換設定を通じて完了します。
キーワード: ネットワーク計画、VLAN 、ネットワーク アドレス変換
目次
2.2 現在普及しているスーパーマーケットの社内ネットワーク構築技術 4
4.5.2 IP アドレスの割り当てと DHCP の設定 15
4.5.3 スーパーマーケットネットワークにおける NAT の設定と適用 18
4.5.4 スーパーマーケットネットワークにおけるアクセス制御リストの設定と管理 19
1 . 1 スーパーマーケット内部ネットワーク誕生の背景
スーパーマーケットは、商品経済の隆盛とともに発展した買い物手段であり、客層や商品の種類、商品情報の種類が異なり、従来の食料品店の単一形態とは異なり、対面を効果的に回避できる。お客様と店員との触れ合いを大切にし、お客様に自由でリラックスした快適なショッピング環境を提供します。そのため、ますます多くの消費者に支持され、人々の日常生活においてますます重要な役割を果たしています。
近年、スーパーマーケットなどの伝統的なビジネスモデルは電子商取引の影響を受けていますが、この買い物方法は我が国の国情に合致しています。大規模集落と小規模集落が混在する我が国の生活形態により、大衆に密着する必要のある経済国家である中小規模のスーパーマーケットが都市や地方の隅々に点在し、国民生活と直結し、社会の重要な役割を果たしている。現代の社会生活において、かけがえのない重要な役割を果たしています。21世紀以降、経済のグローバル化は加速し、中国の改革開放は深化を続け、小売業界の競争はますます激化しています。このため、中小スーパーマーケットは、熾烈な市場競争を勝ち抜くために、基礎的な競争力の強化が求められています。中小スーパーマーケットが厳しい競争環境で勝ち残り、困難に直面する場合、高品質な商品や快適な買い物環境に加え、時代の変化に対応し、顧客のニーズに常に応えていくことが最も重要です。タイムリーに、効率的かつ高速なネットワーク管理システムを構築します。
1 . 2 スーパーマーケットの社内ネットワークの現状と分析
インターネットの発展により、人と人との距離は遠くなくなり、情報交換はより直接的かつ便利になりました。現代の情報技術は、人々の働き方、学び方、考え方、管理の方法も変えました。これにより、コンピュータの適用範囲が大幅に拡大しただけでなく、読み書き、計算の歴史的な変化がもたらされ、コンピュータの学習が容易になりました。新しい時代の社会細胞が成熟すると、またこの時代が到来します。コンピュータの単純さと学習の容易さは、あらゆる種類の情報の普及も促進します。情報を受け取る新しいダイナミックな方法は、知識を受け取る従来の方法や教育システムに大きな影響を与えるだけでなく、人類自体にも大きな影響を与えるでしょう。
この記事では、スーパーマーケットのネットワーク情報ニーズとネットワーク機能に基づいて、ネットワーク ソリューション アーキテクチャを詳細に分析します。スーパーマーケットの経済コスト、収入と人の流れの直接的な関係、ネットワーク通信プラットフォームのニーズ、および特定のアプリケーションの具体的な実装を考慮して、適切で高速な多層スイッチング ネットワーク管理を確立することをお勧めします。アプリケーションシステム。ペーパーレスオフィスの将来の発展傾向のために、スーパーマーケットのリソース共有を実現し、完全なデータ交換システムを確立し、情報を迅速に伝達し、デジタル作業環境に事前に適応することができます。Linux イノベーションに基づいたネットワーク マーケティング プログラムは、金融、ビジネス、オンライン ブランチなどの新しいテクノロジーの維持に取り組んでいます。スーパーマーケットの競争力を最大化し、冗長リンク、セキュリティ条件、負荷分散などのネットワーク アプリケーションのニーズを満たすには、最新の関連テクノロジーを最大限に活用する必要があります。スーパーマーケットに良好なハードウェア環境を提供します。
2システム概要
スーパーマーケット内のシステムを構成するプラットフォームと、現在注目されているスーパーマーケット内部ネットワーク構築技術、階層モデル設計技術、仮想LAN、ネットワークセキュリティ技術について紹介します。
2.1 スーパーマーケット内のシステム構成
2.1.1 情報プラットフォーム
現在、より高い帯域幅要件やシステム開放の問題を持つユーザーにも、情報管理とアプリケーションのためのネットワーク セキュリティ システムを確立する必要があることが推奨されています。プロジェクト全体の目標は、データ伝送とバックアップ、マルチメディア アプリケーション、音声伝送、OA アプリケーション、インターネット アクセスを統合した、信頼性の高い高性能のマルチメディア企業ネットワークを構築することです。サーバーのサービス能力を向上させ、サーバー障害を防止し、システムのオープン性を低下させますが、情報管理とアプリケーションのためのネットワークセキュリティシステムを確立することも必要です。
2.1.2 システムの管理と保守
ネットワークリソースの最適化、ネットワーク監視、柔軟かつ効率的なネットワーク管理ツール、ネットワーク運用管理、システムハードウェアおよびソフトウェア環境のチェック、およびネットワークシステムの包括的な監視の維持。柔軟性があり、さまざまな通信メディア、複数の物理インターフェイス、テクノロジーのアップデート、機器のアップグレードをサポートしており、システムの改善とアップデートが可能です。プログラム設計の目的は、信頼性が高く高性能なスーパーマーケットのイントラネットを構築することです。サーバーのサービス処理機能を向上させるだけでなく、サーバーの単一障害点を回避し、アプリケーションの正常な使用を保証します。
2.2 現在普及しているスーパーマーケットの社内ネットワーク構築技術
2.2.1 階層モデル設計技術
ネットワーク設計フレームワーク:
1.コア層: 通常、ユーザーのデータがインターネットに高速で到達するためだけにポリシーを実装しません。
2.アグリゲーション層:異なるVLAN間のアクセスとVLAN間のポリシーを実現
3.アクセス層: PC、プリンターなどの端末機器へのアクセス、無線ユーザー アクセス
コア層はバックボーン ネットワーク (バックボーン ネットワークとも呼ばれます) を形成し、国道に匹敵する高性能でノンブロッキングの高速チャネルを提供します。
アグリゲーション層はバックボーン アクセス ネットワークを形成し、州道や市道に匹敵する高速バックボーンへのアクセスを提供します。
アクセス層は、一般的な高速道路に相当する、ユーザー アクセスのためのインターフェイスを提供します。
このようにして、ネットワーク全体が復元力があり、効率的で信頼性が高くなります。
2.2.2 仮想LAN
純粋にスイッチングされたインターネットワークでは、ブロードキャスト ドメインを分割する方法は、仮想 LAN ( VLAN) を作成することです。VLAN は、マネージャーが定義したスイッチ ポートに接続されているネットワーク ユーザーとネットワーク リソースの論理グループです。VLAN を作成する場合、異なるサブネットにサービスを提供するようにポート スイッチを割り当てることができます。VLAN を使用してブロードキャスト ドメインを作成すると、すべてのポートとユーザーを完全に制御できます。また、ネットワーク リソース ユーザーに基づいて VLAN を作成し、スイッチを構成してアクセスし、ネットワーク リソースへの不正アクセスをネットワーク管理ステーションに通知することもできます。VLAN 間の通信のセキュリティを確保するために、ルーターの制限を使用してこの問題を解決できます。
( 1) 強い柔軟性 - 地理的な制限を受けない
( 2) セキュリティ --- デフォルトでは、VLAN は相互に通信できません。
( 3) セグメンテーション: 1 つの VLAN = 1 ブロードキャスト ドメイン = 1 サブネット/1 メインクラス
VLAN の特性上、ブロードキャストおよびユニキャスト トラフィックが属する VLAN は他の VLAN にトラフィックを転送せず、トラフィックの制御、ネットワーク セキュリティの向上、設備投資の削減、ネットワーク管理の簡素化を目的としています。
2.2.3 ネットワークセキュリティ技術
ネットワークが完了したら、ネットワーク全体が適切に機能していることを確認します。特に重要なのは、コンピュータ ウイルスがネットワークに侵入するのを防ぎ、「ハッカー」の侵入を防ぐことです。そのためには、ネットワークがデータの整合性、ID 認証、アクセス許可、ウイルス侵入対策、データ保護などのセキュリティ予防策を適切に実行する必要があります。機密保持、監査記録などの詳細。IPSec 標準の仮想プライベート VPN 接続を使用してファイアウォールを構成し、安全なイントラネット、リモート ネットワーク、インターネット セキュリティ アクセスを向上させることができます。
スイッチドネットワークの攻撃分類
(1 ) MAC層攻撃:MACアドレステーブルのオーバーフローを利用して監視
(2 ) VLAN攻撃(VLANホッピング攻撃)
(3 ) スプーフィング攻撃(ARPスプーフィング、DHCPスプーフィング)
(4 )攻撃スイッチ装備
ネットワーク上には多数のクライアントや各種アプリケーションサーバーが存在するため、個人の不正使用等によりクライアントやサーバーのコンピュータウイルスがいつでも感染する可能性があり、あらゆるウイルス防御システムが必須となります。
3要件分析とシステム設計原則
3.1 ユーザーのニーズ
3.1.1 ネットワーク要件
(1)ネットワークの信頼性と可用性を判断します。
(2)ネットワークのセキュリティを決定します。
(3)通信量要件
3.1.2 管理要件
プログラムの基本要件は、使いやすさと管理のしやすさです。典型的な 3 層ネットワーク アーキテクチャを採用する具体的な実装では、スーパーマーケット ネットワークを構築する実際の運用の難しさを考慮するだけでなく、ネットワークの安定性も確保します。今後のネットワークの発展や企業の成長を考慮すると、ネットワーク情報は常に更新される必要があります。
3.2 システム設計の原則
3.2.1 機器の選択原則
計画によれば、コアスイッチにはサーバーソフトウェアのインストール、ネットワーク管理ソフトウェア、インターネットの動作管理などの機能を統合することが求められる。これをネットワーク機器の中心として使用し、レイヤー2スイッチなどの機器を使用してネットワークを拡張・拡張します。
(1)ブランドの選定
H3C 機器は、経済コスト、機器のブランド認知度、アプリケーションの利便性などを総合的に考慮して使用する必要があります。
(2)主要機器の技術的性能要件
3 種類の H3C 装置の具体的な情報と特徴は次のとおりです。
表 3-2 代替機器の詳細情報
サポート機能 |
S5130-28S-SI |
S5130-52S-SI |
S5130-28F-SI |
||
全体的なマシンのスイッチング容量 |
256Gbps |
||||
パケット転送速度 |
96Mpps |
132Mpps |
96Mpps |
||
固定ポート |
24*10/100/1000Base-T 電気ポート 4*10G BASE-X SFP+ 10G 光ポート |
48*10/100/1000Base-T電気ポート 4*10G BASE-X SFP+ 10G 光ポート |
24×100/1000Base-X ギガビット光ポート (8×コンボポート) 4×10G BASE-X SFP+ 10G 光ポート |
||
リンクアグリゲーション |
GE/10GEポートアグリゲーションをサポート 動的集約をサポート クロスデバイスアグリゲーションをサポート |
||||
ポートの特性 |
PPS/BPSに基づくストーム抑制をサポート IEEE802.3xフロー制御(全二重)をサポート ポートレートのパーセンテージに基づいたストーム抑制をサポート |
||||
IRF2 |
標準イーサネットインターフェイス経由でスタッキングをサポート IRF2インテリジェントエラスティックアーキテクチャをサポート 分散デバイス管理と分散リンクアグリゲーションをサポート ローカルスタッキングとリモートスタッキングをサポート |
||||
IPルーティング |
スタティックルーティングをサポート |
||||
VLAN |
プロトコルベースのVLANをサポート ポートベースのVLANをサポート VLANマッピングのサポート 音声VLANをサポート QinQ をサポート、柔軟な QinQ ゲストVLANのサポート |
||||
ACL |
L2(レイヤ2)~L4(レイヤ4)パケットフィルタリング機能をサポートし、送信元MACアドレス、宛先MACアドレス、送信元IPアドレス、宛先IPアドレス、TCP/UDPポート、プロトコルタイプ、VLANに基づくフロー分類を提供します。 サポート時間範囲 (Time Range) ACL ポート、VLAN、およびグローバルに基づいた ACL 配信をサポート |
||||
QoS |
ポートがパケットを受信する速度とパケットを送信する速度の制限をサポートします。 メッセージのリダイレクトをサポート ポートごとに 8 つの出力キューをサポート ポートキュースケジューリングをサポート (SP、WRR、SP+WRR) 802.1p および DSCP 優先パケットのリマーキングをサポート |
||||
DHCP |
DHCPスヌーピングをサポート DHCPクライアントのサポート DHCPリレーのサポート 支持DHCP Snooping option82 DHCPサーバーのサポート DHCP 自動構成をサポート (ゼロ構成) |
||||
マルチキャスト |
IGMPスヌーピング/MLDスヌーピングをサポート マルチキャストVLANをサポート |
||||
レイヤ 2 リング ネットワーク プロトコル |
STP/RSTP/MSTP/PVSTをサポート |
||||
セキュリティ機能 |
802.1X認証/集中MACアドレス認証をサポート ユーザー階層管理とパスワード保護をサポート ゲストVLANのサポート SSH2.0のサポート ポート分離をサポート RADIUS認証をサポート IP+MAC+ポートマルチグループバインディングをサポート ポートセキュリティをサポート MACアドレス学習数制限に対応 IP送信元アドレス保護をサポート ARP侵入検知機能をサポート |
||||
管理とメンテナンス |
XModem/FTP/TFTPのロードとアップグレードをサポート 設定用のコマンドラインインターフェイス(CLI)、Telnet、およびコンソールポートをサポート 支持SNMPv1/v2/v3,WEB网管 支持RMON告警、事件、历史记录 支持iMC智能管理中心 支持系统日志,分级告警,调试信息输出 支持NTP 支持Ping、Tracert 支持VCT电缆检测功能 支持DLDP单向链路检测协议 支持Loopback-detection 端口环回检测 |
||||
绿色节能 |
支持EEE(802.3az) 支持端口自动Power down功能 支持端口定时down功能(Schedule job) |
||||
功耗 |
静态:19W 满载:26W |
静态:38W 满载:45W |
静态 AC: 30W DC: 38W 满载: AC: 60W DC: 68W |
||
工作环境温度 |
0℃~45℃ |
||||
工作环境相对湿度(非凝露) |
5%~95% |
||||
综合考虑上述设备的条件,本计划采用S5130-28S-SI。
3.2.2 设计目标原则
项目目标
(1)全网连通:分开内外网,各地分超市相互连通。
(2)网络安全:防止外来黑客入侵,保护数据安全。
(3)便于管理:使用基础配置,保证稳定性。
使用典型三层网络架构--------核心层、汇聚层和接入层为一体的网络架构模式。
(1)核心层
负责数据高速转发到Internet,不做任何策略
在主交换机的需求可以旁挂独立的安全设备,为所有的办公网络提供安全功能,确保其安全性。
汇聚接入层交换机,保证VLAN之间的路由和过滤,流量的限速。负责各区域的终端接入,因为每个区域都划分成一个VLAN,不需要区域三路选路,所以接入层交换机为二层交换机。
接入终端设备用户。在本方案中,多以各部门PC设备为主。
4系统组建方案
主要介绍在本次设计中方案综述,拓扑图的规划,设计中用到的主要技术路线,网络硬件设备的选取服务器的设计,VLAN划分以及ACL的应用以及无线网络在超市中的应用。
4.1 方案综述
本方案的基础步骤是:
1.二层交换机和三层交换机之间封装,trunk配置。
2.划分VLAN。
3.DHCP配置,地址分配。
4.网络核心层与路由器之间采用OSPF协议。
5.边界路由器R2运用复用NAT,区分内外网。
6.子网络中的路由器R3加入之前的OSPD协议中。
7.HSRP的配置(主备交换机配置)。
8.服务器配置测试
4.2 拓扑图规划
拓扑图如图1所示:
图4-1拓扑图规划
网络主干主要采用百兆以太网技术是根据超市项目和业务系统的需求给出的切实可靠的超市网络的实施办法,具体表现百兆以太网技术,100Mbps数据传输速率和快速以太网下后兼容技术,以及快速和高性价比的特征使得百兆以太网交换机逐渐成为校园和企业等网络的主要选择应用技术。
4.3 主要技术路线
HSRP (hot standby router protocol )热备份路由器协议
(1)维护虚拟路由器的路由器如果维护路由器失败,那么虚拟路由器是无效的。
(2)PC只需要指定网关到虚拟路由器,维护的路由器会选举以下角色,仅仅只有active路由器才能够进行转发
A.active路由器
B.standby路由器
C.listen 路由器
在核心层采用HSRP协议,在本方案中使用互为主备的方式。将多个VLAN均等划分给两台交换机,分别设定为不同交换机的主备。当某VLAN在一台主核心交换机在工作时,则该VLAN在另一台处于备用状态。这时,汇聚层交换机与两台核心连接,但只与具体运行VLAN的主核心交换机进行通信。主核心交换机间和备用交换机通信以进行冗余备份。当主核心出现问题,备份交换机可立刻接过工作,使网络畅通。因此如要生成树优先设计,如下图图2主交换机。
图4-3 HSRP交换机
现代交换机的通用技术是端口聚合,它的最终效果是在配置的端口,使该端口获得更高的带宽、更大的吞吐量和可恢复性的技术。它的工作具体是将一组物理端口进行合并,形成一个逻辑通道。这样,交换机会认为这个逻辑通道为一个端口,以提供更高的带宽、更大的吞吐量和可恢复性的技术。
Trunk的条件:
1)两边封装的协议一定要相同(ISL/802.1Q)
2)两边的模式一定要匹配
3)vtp domain 一定要相同(要么都为空,要么都一样)
技术如图图3,图4端口聚合设计。
每个路由器都会产生自己的LSA(链路状态通告),然后通告出去,收到LSA的路由器会转发给其他的路由器,这个过程就是OSPF的工作过程。
OSPF区域是基于路由器的接口划分的,而不是基于整台路由器划分的,一台路由器可以属于单个区域,也可以属于多个区域。
OSPF划分区域优点:在边界路由器做汇总
(1)减少LSA的泛洪的范围,只会在本区域内进行泛洪
(2)能够减少路由表条目
在该实验中R1 和 DHCP-server1 ,DHCP-server2 之间运行OSPF协议。 最好在运行OSPF的每台设备上创建一个lo 0接口,作为它的RID地址。
图4-7 R1路由条目
4.4 服务器设计
(1)DNS服务器设计
本设计中加入了一台专门的DNS服务器,由其统一对IP地址进行管理,DNS服务器的IP地址为:100.1.1.1。下图为本设计的服务器页面。
图4-8 DNS服务器
(2)WEB服务器设计
Web服务器是指驻留于因特网上某种类型计算机的程序。
图4-9 WEB服务器
(3)FTP服务器设计
Internet中一种广泛使用的服务之一,是传输文件的服务,主要用来在两台机器之间(甚至是一同系统)应用。在该实验中配置FTP服务器的地址为100.1.1.3。
图4-10 FTP服务器
4.5 网络配置与管理
4.5.1 VLAN划分
因为在实际超市网络中各种部门的划分,二层交换机的大量使用以及子超市、分店的存在,要保证业务隔离又保证业务效率,还有从安全性和实际操作难度综合考虑,合理的网络划分是解决该问题的办法。
表4-1VLAN和IP分配表
IP网段 |
||
VLAN10 |
DHCP地址分配 |
|
VLAN20 |
DHCP地址分配 |
|
VLAN30 |
DHCP地址分配 |
|
VLAN40 |
DHCP地址分配 |
|
创建VLAN、命名VLAN如图图4-11划分vlan
图4-11 VLAN划分
图4-12 VLAN接口
4.5.2 IP地址分配与DHCP设置
DCHP请求过程:
(1)客户端发送discover报文到服务器(请求服务器分配地址)---广播方式方式
(2)服务器收到客户端请求,那么服务器就会发送offer报文给客户端(包含IP地址,子网掩码,地址租期,网关,DNS--并且标记不可用)
(3)客户端收到offer报文,虽然有地址,但是不能够使用,所以发送request报文,请求地址使用
(4)服务器收到request报文,发送ackonwledgement报文并且标记地址可用,那么客户端就可以使用了
图4-13 DHCP地址规划
图4-14 PC的DHCP地址配置
将两个属于不同VLAN的网络 ping,检查连通性。
图4-15 不同VLANping测试
由图15结果可知在该实验中处于同一VLAN中网络可通。
PC本地信息查看中,可查看简单的地址信息
图4-16 DHCP测试
由上图可知,dhcp配置成功。
图4-17 外网测试
图4-17表明该PC可以连通外网。
图4-18 分店的连通性测试
图4-18表明子超市可以与超市端销售PC相通。
图4-19 NAT配置
图4-20 分店与外网连接测试
根据以上结果,超市网络内部的任何电脑都可以访问互联网,且在内网互通。
图4-21 WEB服务器效果
4.5.3 NAT在超市网络中的设置和应用
NAT核心思想:将私网地址转换成公网地址。解决了lP地址不足的问题的有效方法之一----网络地址转换,而且NAT还可以避免网络外部的攻击,有效隐藏和保护网络中的计算机。
NAT的类型:
1.静态NAT:手工指定一对一
2.动态NAT:动态绑定一对一
3.复用NAT:一对多(65535),用端口号来区分
4.状态化NAT:冗余的NAT,跟HSRP结合,当主路由器失效,那么切换到备份的路由器做NAT
NAL优点:
1.节省了公网IP地址
2.能够处理编址方案重叠的情况
3.网络发生改变时不需要重新编址
4.隐藏了真正的IP地址
NAT缺点:
1.NAT引起数据交互的延迟
2.导致无法进行端到端的IP跟踪
3.某些应用程序不支持NAT
4.需要消耗额外的CPU和内存
4.5.4 访问控制列表在超市网络中的设置和管理
访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。NAT核心思想:将私网地址转换成公网地址。ACL 分为三大类:
(1)标准访问控制列表 standard access control list:
A.列表号1-99,1300-1999
B.只检查源地址,不检查目的地址
C.允许或者拒绝整个协议
(2) 扩展访问控制列表 extended access control list:
A.列表号100-199,2000-2699
B.检查源地址与目的地址
C.允许或者拒绝某个特定的协议
(3) 命名访问控制列表 named access control list:
A.列表号就是一个名字,而不是一个数字
ACL的应用场合:
1.telnet的过滤/vty的过滤--限制仅仅某个主机才能够telnet
2.QOS(quality of service 服务质量)的判断---默认情况下,所有的数据优先级都为0,可以采用ACL针对某些流量设置不同的优先级,不同的流量分配的不同标记
3.数据层面的过滤:只能够允许某个网络
4.控制层面的过滤:只允许接受某些路由条目
5 网络安全配置
5.1 防病毒软件
针对与其他设备和软件工具相关的特定环境问题制作反病毒解决方案。与此同时,病毒的来源也远比单机环境复杂得多。一个反病毒软件不仅保护文件服务,而且在邮件,员工使用pc,网关和所有其他计算机硬件的保护。另外,防病毒软件必须能够监控并拦截可能导致病毒的任何信息来源,例如电子邮件,FTP文件,网站,磁盘,CD等等。 一般来说,软件应该着重于以下几个方面:
l病毒查杀能力
l对新病毒的反应能力
l病毒实时监测
l快速方便的升级
l智能安装、远程识别远程安装、远程设置
l管理方便,易于操作
l对现有资源的占用情况
l系统兼容性
l软件的价格
l软件商的企业实力
5.2 安全策略
在大中型企业网络中,各种安全策略的具体实现是以外围路由器、内部路由器和防火墙这三者的搭配和具体配置来协调完成的。内部路由器通过使用访问控制列表来过滤发送到企业网络的受保护部分的信息以增加安全性。
在可信网络内部,可不使用路由器,而结合使用虚拟局域网(VLAN)和交换机。多层交换机内置了安全功能,可替代内部路由器在VLAN架构中提供较高的性能。
5.3 禁用和配置网络服务
默认情况下,思科IOS运行了一些不必要的服务,如果不禁用它们,它们很可能成为拒绝服务(DoS)攻击的目标。
DoS攻击是最常见的攻击,因为这种攻击最容易发动。要检测并防范这些有害的简单攻击,可使用软件和硬件工具,如入侵检测系统(IDS)和入侵防范系统(IPS)。然而如果不能实现IDS/IPS,可在路由器上执行一些基本命令,让路由器更安全,但没有任何措施可确保当今的网络绝对安全。
下面来看看应在路由器上禁用的部分基本服务。
1.禁用HTTP进程
2.阻断SNMP分组
3.禁用代理ARP
4.禁用BootP和自动配置
5.禁用echo
6.禁用重定向消息