皆さんこんにちは、コンピューター分野のブロガー、Xiaohua先輩です。長年の学習と実践を経て、私は豊富なコンピューターの知識と経験を蓄積してきましたが、ここでは、皆さんがより優れたプログラマーになるために、私の学習経験とスキルを皆さんと共有したいと思います。
私はコンピューターブロガーとして、プログラミング、アルゴリズム、ソフトウェア開発などの分野に注力しており、これらの分野で多くの経験を積んできました。共有することはWin-Winの関係だと私は信じており、共有することで他の人の技術レベルを向上させることができ、同時に学びとコミュニケーションの機会を得ることができます。
私の記事では、さまざまなプログラミング言語、開発ツール、一般的な問題についての私の分析と分析をご覧いただけます。実際のプロジェクト経験に基づいた実践的なソリューションと最適化テクニックを提供します。これらの経験は、現在直面している問題を解決するだけでなく、プログラミング的思考や問題解決能力の向上にもつながると信じています。
技術的な側面を共有することに加えて、キャリア開発や学習方法に関するいくつかのトピックについても触れます。私は元学生として、自分自身をより良く改善し、コンピューター分野での課題に対処する方法を知っています。皆さんのキャリア開発にプラスの影響を与えることを願って、いくつかの学習方法、面接スキル、職場での経験を共有します。
私の記事は、非常に活発で専門的なコンピューター テクノロジ コミュニティである CSDN コミュニティに公開されます。ここでは、テクノロジーを愛する他の人々とコミュニケーションし、学び、共有することができます。私のブログをフォローすると、私の最新記事をいち早く入手でき、私や他の読者と交流することができます。
コンピュータ分野に興味があり、プログラミング スキルと技術レベルをさらに向上させたいと考えている場合は、私の CSDN ブログをフォローしてください。私が共有する内容があなたを助け、インスピレーションを与え、コンピュータ分野でより大きな成功を収めることができると信じています。
一緒に優れたプログラマーになり、コンピューティングの素晴らしい世界を一緒に探索しましょう。ご注目とご支援に感謝いたします!
共有されるすべてのコンピューター プロジェクトのソース コードにはドキュメントが含まれており、卒業プロジェクトやコース設計に使用できます。質問を共有したり、経験を交換したりするためにメッセージを残すことを歓迎します。
まとめ
コンピュータネットワーク技術の急速な発展、特に情報化時代の到来に伴い、人々は情報化の重要性を徐々に認識しており、企業が独自のネットワークを保有することは避けられない傾向となっています。企業が情報化に向けて発展するためのステップ、避けられない選択。現在、多くの企業が自社のブランドを宣伝し、ブランドの影響力を高めるために独自の Web サイトを構築しています。しかし、コンピュータネットワーク技術の継続的な改善と発展により、多くの企業ネットワークのパフォーマンスは現代の情報の変化に追いつかなくなり、多くの企業にとって既存のネットワークの拡張は不可欠な対策となっています。近年、ネットワーク技術の継続的な改善と成熟に伴い、企業はコンピュータ ネットワーク システムへの依存度をますます高めており、新たに構築するネットワークの下位互換性に対する要件がますます高まっています。したがって、この卒業プロジェクトは主に、企業ネットワークの計画と構築プロセスで使用される可能性のあるさまざまなテクノロジーと実装計画に基づいており、企業ネットワーク システムの確立と設計のための理論的基礎と実践的なガイダンスを提供します。
この設計は、中小企業の実際のニーズを組み合わせ、例を使用して中小企業向けのデュアルコア デュアルリンク ネットワークを分析、設計、構成、シミュレーションします。主に HSRP、OSPF、ACL を使用します。 、NAT およびその他の設計と改善のためのテクノロジー。
今回設計されたネットワーク アーキテクチャと実装により、企業内のオフィス効率が大幅に向上し、従業員に大きな利便性と完全なオンライン エクスペリエンスがもたらされ、制御リストの使用によりセキュリティ管理が強化されました。
キーワード: ACL エンタープライズ ネットワーク コンピュータ ネットワーク アーキテクチャ
抽象的な
コンピュータネットワーク技術の急速な発展、特に情報化時代の到来により、人々は情報化の重要性を徐々に認識しています。企業が独自のネットワークを持つことは避けられない傾向になっています。企業が情報化に向けて発展するためには、企業ネットワークの構築は避けられない選択です。現在、多くの企業がブランドを宣伝し、ブランドの影響力を高めるために独自の Web サイトを構築しています。しかし、コンピュータ ネットワーク テクノロジの継続的な改善と発展により、多くの企業ネットワークのパフォーマンスが最新の情報の変化に追いつけなくなっています。多くの企業にとって、既存のネットワークを拡張することは不可欠な対策です。近年、ネットワーク技術の継続的な向上と成熟に伴い、企業はコンピュータ ネットワーク システムへの依存度を高めています。現在、企業は新しいネットワークの下位互換性に対してより高い要件を求めています。したがって、卒業プロジェクトは主に、エンタープライズネットワークの計画と構築のプロセスで使用できるさまざまなテクノロジーと実装スキームに基づいており、エンタープライズネットワークシステムの確立と設計のための理論的基礎と実践的なガイダンスを提供します。
この設計は、中小企業の実際のニーズと組み合わせて、中小企業向けのデュアル コアおよびデュアル リンク ネットワークを分析、設計、構成、およびシミュレートします。主に HSRP、OSPF、ACL、NAT などのテクノロジーを使用して設計を改善します。
ネットワーク アーキテクチャの設計と実装により、企業のオフィス効率が大幅に向上し、企業の従業員に大きな利便性と完全なオンライン エクスペリエンスをもたらし、セキュリティ制御のための制御リストの使用が可能になります。
キーワード: ACL エンタープライズ ネットワーク コンピュータ ネットワーク アーキテクチャ
目次
第1章はじめに
このトピックの設計は主にエンタープライズ ネットワーク セキュリティの設計に焦点を当てています。ACL プロトコルを完全にマスターし、ACL の主要な研究方向への理論的入門を提供する必要があります。不要なアクセスを合理的に削減し、アクセス数を増やすために ACL を企業に展開します。企業のイントラネットのセキュリティ、cisco パケット トレーサを使用してシミュレーションする サーバーを使用してネットワーク環境全体をシミュレーションする、ACL を適切に呼び出してパケット フィルタリング、ネットワーク アドレス変換、ポリシー ルーティング、動的ルーティングなどを使用する、マッチングの原則と適用方法を習得するACL の異なるビジネス モジュール (TELNET など) の違いを習得する 適用方法: ネットワーク構造を最適化し、エリア内の迅速なコンバージェンスを実現し、共通の ACL コマンドを完全に習得します。
コンピュータネットワークの絶え間ない発展と普及により、コンピュータネットワークは無限の資源をもたらしており、企業が情報化に向けて発展するためには、企業内ネットワークの構築は避けられない選択となっています。企業は将来、新しく構築するネットワークに対する互換性要件がますます高くなるでしょう。企業ネットワークは大規模かつ複雑なネットワーク システムであり、最新の開発や包括的な情報管理などの一連のアプリケーションの基本的な操作を提供することができます。 .プラットフォーム。また、さまざまなシステムに情報をタイムリーかつ正確に送信するためのアプリケーションサービスも多数提供しており、業務の利便性を高めます。したがって、ネットワーク セキュリティ ソリューションの設計では、サーバーとネットワーク機器を選択する際に、企業のニーズと将来の互換性を考慮する必要があります。現在、多くの企業がインターネットを通じて自社のブランドを宣伝するための独自のネットワークを持っており、従業員の仕事はますます便利になっています。社内ネットワークの構築が完了すると、情報の閲覧(WWW)、メールの送受信(E-MAIL)、ファイル転送(FTP)などが利用できるようになります。サーバーとネットワークデバイスを構成するときは、いくつかのユーザー要件に従って構成する必要があります。今回は企業ネットワークの設計に主にLAN技術が活用されましたが、LANのセキュリティ対策は、ネットワーク情報の機密性、完全性、可用性を確保するために、さまざまな脅威や脆弱性を総合的にターゲットにすることが求められます。
1.2 研究の意義
ネットワークの発展に伴い、インターネットは私たちの日常生活にますます浸透してきています。企業ネットワークの規模も徐々に拡大し、使用されるコンピュータの数も増加し、コンピュータネットワーク技術の発展、企業情報技術の広範な適用、企業コンピュータアプリケーションシステムは企業管理のあらゆる側面に適用され、アプリケーションレベルも向上しています。これらのアプリケーションは、企業の管理レベルの向上と経済的利益の増加を促進する上で大きな役割を果たしてきましたが、同時に、企業のネットワーク管理に多くの新たな問題とより大きな管理上の困難をもたらしました。
1.3 研究内容
企業運営においてネットワーク アプリケーションの役割がますます重要になるにつれ、ネットワーク アプリケーションは、異なる企業間の協力、企業の内部部門間の通信、およびリソースの共有の手段を提供しますが、同時に、ネットワークの相互接続により、部門間の情報やデータの機密性が低下し、企業の情報セキュリティに影響を及ぼします。したがって、企業ネットワークのセキュリティ管理では、さまざまな部門間のアクセス制御を考慮する必要があり、アクセス制御リスト (ACL) を使用することで、企業ネットワーク リソースが不正に使用されたりアクセスされたり、外部侵入者が内部情報を盗んだりすることを防ぎます。ネットワークを拡大する企業の数を減らすことができます。 安全装置の追加費用も削減できます。
第 2章システム分析
2.1 実現可能性の分析
2.1.1 技術的な実現可能性
コンピュータネットワークの発展と普及により、世界的な情報化の波がますます私たちに近づいていると同時に、ネットワーク環境のセキュリティに対する脅威も増大しており、従来のネットワークセキュリティ対策だけでは対応できません。今日のネットワーク セキュリティ保護のニーズを満たします。現在、ほとんどの企業は独自のネットワーク システムを導入しており、そこに大量の社内ファイルや情報が保存されていますが、これらの情報は送信プロセス中に不正に盗まれたり破壊されたりする可能性があり、企業に重大な問題を引き起こす可能性があります。計り知れない損失。したがって、企業ネットワークのセキュリティの保護は非常に重要であり、継続的かつ確実に動作できるように、関連するネットワーク システムのハードウェア、ソフトウェア、およびシステム内のデータを保護する必要があります。
ACL テクノロジーは、トラフィック統計、フロー ミラーリング、CAR レート制限の発行などを実行できます。また、目に見えませんが、IP バインディング、ポータル認証、MAC 認証、攻撃防止など、ACL を通じて実際に実装されるネットワーク機能も多数あります。コマンド ライン上で実行されます ACL の影で、ACL はネットワーク ソフトウェアの実装で実際に使用されます。これらの機能は ACL の威力を説明するのに十分です。ネットワーク機器は ACL なしでは機能しません。また、ネットワーク機器はまったく機能しません。 ACLなし。データセンターのネットワークに対する要件は非常に高く、安全に運用し、サービスを柔軟に展開する必要があり、そのすべてが ACL と切り離すことができません。データセンター内のアプリケーションはますます複雑になるため、ACL をより有効に活用し、ACL のさまざまな機能を強化することは、エンタープライズ ネットワーク テクノロジの導入において避けられない選択です。
2.1.2 経済的実現可能性
ACL テクノロジーは、ネットワーク レベルでの導入に独立した機器を購入する必要がありません。たとえば、企業内のスイッチ、ルーター、ファイアウォールなどのネットワーク機器およびセキュリティ機器は、ACL アクセス制御操作を実装できます。 ACL テクノロジは、企業ネットワークのセキュリティを大幅に保証できると同時に、企業は独立した機器を購入するために追加の費用を費やす必要がありません。
2.2 需要分析
2.2.1 機能要件
情報とネットワークが広く利用されている今日、使用されているすべてのコンピュータネットワークが意図的か非意図的かに関わらず攻撃され、攻撃される可能性があることは、ネットワーク管理者やユーザーであれば誰でもよく知っています。 . 損傷の危険性があります。企業ネットワークにはセキュリティ リスクもあります。ほとんどのネットワーク ハッカーにとって、企業、特に有名企業のネットワーク システムへの侵入に成功することには、自分の「能力」を証明し誇示するという価値がありますが、この行為の本来の目的には悪意はなく、窃盗が目的であったとしても、企業のネットワーク データ、あるいはネットワーク システムを破壊することには、より現実的かつ長期的なビジネス価値があります [5]。したがって、企業ネットワークに完全なセキュリティ システムを確立する必要性は自明のことです。
企業の内部サーバーおよびクライアントでアクセス制御リストを使用すると、企業の内部ネットワークのセキュリティを保護し、企業のネットワークがインターネットに接続されているときに外部のハッカーによる攻撃から保護できます。しかし、企業ネットワークの場合、外部からの攻撃だけでなく内部からの攻撃も存在します。内部アクセス制御リスト (ACL) は、従業員による企業機密文書の盗難や、競合企業による内部妨害行為などの内部被害からネットワーク セキュリティを保護するのに役立ちます。したがって、企業ネットワークでは、特定の部門がサーバーにアクセスできないようにしたり、インターネットにアクセスする必要のないサーバーがサーバーへのアクセスを制限したりするなど、さまざまな部門間のサーバーへのアクセス制限の要件を満たす必要があります。 ACL。同時に、同社はネットワークに対する要件を提示します。まず、ネットワークが実現可能である必要があります。すべての従業員は、承認を得て外部ネットワークにアクセスできます。従業員は勤務時間中は高速なネットワーク速度を使用でき、ネットワークには優れたセキュリティが必要です。同時に、内部ネットワークの重要なサーバーには、外部からのアクセスを防ぐための制御ポリシーが設定されている必要があります。不正アクセス: トラフィックが会社のイントラネットに入ることが禁止されています。
2.2.2 非機能要件
1.ネットワーク環境要件
企業のさまざまなビジネス アプリケーションが徐々にコンピューター ネットワークに移行するにつれて、ネットワーク通信の中断のない運用が企業の正常な生産と運営を確保するための鍵となっています。現代の大規模企業ネットワークでは、信頼性設計に関して主に 3 つの側面を考慮する必要があります: まず、デバイス レベルの信頼性設計です。ここでは、ネットワーク機器が主要コンポーネントの冗長バックアップを実現しているかどうかを検証するだけでなく、全体的な設計アーキテクチャと、ネットワーク機器の処理エンジンの種類などを調査する必要がある、次にビジネスの信頼性設計、ここでは、ネットワーク機器が障害切り替えプロセス中にビジネスの正常な動作に影響を与えるかどうかに注意を払う必要があります。イーサネットのリンク セキュリティは、マルチパスを選択するため、企業ネットワークを構築する場合、ネットワーク機器が効果的なリンクの自己修復手段とサポートを提供できるかどうかを考慮する必要があります。高速再ルーティングプロトコル。
2.管理ニーズ
現在のネットワークは「アプリケーション中心」の情報インフラストラクチャプラットフォームに発展し、ネットワーク管理機能の要件はビジネス要件のレベルまで引き上げられています。当時、非常にインテリジェントで先進的に見えた従来のネットワークデバイスは、登場して久しいです。ネットワーク管理のニーズの発展を効果的にサポートすることはできません。したがって、現代の大規模企業ネットワークには、「アプリケーション中心」のインテリジェントなネットワーク運用と保守をサポートする機能と、ネットワーク管理担当者を重労働から解放する一連のインテリジェントな管理ソフトウェアを備えたネットワーク機器が緊急に必要とされています。したがって、ネットワーク内のスイッチにはネットワーク管理可能なスイッチが必要であり、リモート管理ログインが可能であり、障害発生時に運用保守担当者が微弱電流室や計算機室に入る必要がなく、機器を直接管理できるため、メンテナンスが容易になります。運用保守管理者。
3.信頼性の要件
4. 通信量要件
企業では毎日大量のデータ通信やファイルのダウンロードが行われており、ネットワーク環境全体では、企業ユーザーのインターネット アクセスやデータ送信リンクが混雑せず、Web ページの閲覧や業務を高速に実行できるようにする必要があります。
5. セキュリティ要件
ネットワーク セキュリティおよびネットワーク管理ポリシーの完全かつ実行可能なセットをネットワーク内に確立して、ネットワーク サービス要求の内容を制御し、不正なアクセスがホストに到達する前に拒否されるようにする必要があります。正規ユーザーのアクセス認証を強化するとともに、ユーザーのアクセス権を強化する必要があります。最小限に制御する必要がある; バックアップと災害復旧、システムバックアップを強化し、迅速なシステム復旧を実現する; ネットワークセキュリティ管理を強化し、すべてのシステム担当者にネットワークセキュリティの意識と予防技術を提供する; 侵入者による悪意のある攻撃と破壊を防ぐ; ユーザーを保護するオンライン送信中の機密保持、完全性。
第3 章関連技術の概要
3.1 HSRP テクノロジー
HSRP (Hot Standby Router Protocol)ホットスタンバイルータプロトコル、つまり複数のルータが「ホットスタンバイグループ」を形成し、仮想ルータを模擬するプロトコルであり、仮想ルータは仮想IPアドレスと仮想MACアドレスを持ちます。ホット バックアップ グループでは、1 台のルータのみがアクティブ ルータとしてデータ パケットを転送し、アクティブ ルータに障害が発生した場合にのみ、バックアップ ルータがアクティブ ルータとして選択されますが、ネットワーク内のホストについては、仮想ルータは発生しません。変更によってホスト通信が中断されることはありません。
HSRP プロトコルは、ゲートウェイ デバイスが冗長化されている環境で使用され、仮想化の概念をある程度適用し、複数のゲートウェイ デバイスを 1 つの論理デバイス、つまりホット バックアップ グループに論理的に仮想化します。
ただし、このホット バックアップ グループ内の 1 つのデバイスだけが実際にゲートウェイのフォワーダとして機能しており、つまりアクティブ状態にあります。他のデバイスは動作していません、つまりスタンバイ状態であり、HSRP パケットをリッスンするだけです。アクティブなデバイスを確認するためにアクティブなデバイスによって送信されます。
動作ステータスです。デフォルトの hello は 3 秒ごとに送信されます。スタンバイがアクティブ デバイスから hHSRP パケットを受信しない場合、アクティブ デバイスに障害があるとみなされ、別のルータがスタンバイ状態から変更するために自動的に選択されます。アクティブ状態に移行して作業を継承します。
特定の実際の LAN 内では、複数のホット バックアップ グループが共存または重複する場合があります。各ホット バックアップ グループは仮想ルーターをシミュレートし、既知の MAC アドレスと IP アドレスを持ちます。IP アドレス、グループ内のルーターのインターフェイス アドレス、およびホストは同じサブネット内にありますが、同じにすることはできません。LAN上に複数のホットバックアップグループがある場合、ホストを異なるホットバックアップグループに分散することで負荷を分散できます。
HSRP の仕組み HSRP は優先順位スキームを使用して、HSRP プロトコルで設定されたどのルータがデフォルトのアクティブ ルータになるかを決定します。ルータの優先度が他のすべてのルータよりも高く設定されている場合、そのルータがアクティブ ルータになります。ルーターのデフォルトの優先順位は 100 なので、1 つのルーターだけを 100 より高い優先順位に設定すると、そのルーターがアクティブルーターになります。
HSRP プロトコルで設定されたルータ間で HSRP 優先順位をブロードキャストすることにより、HSRP プロトコルは現在アクティブなルータを選択します。アクティブ ルータがあらかじめ設定された時間内に hello メッセージを送信できない場合、最も高い優先度を持つバックアップ ルータがアクティブ ルータになります。ルーター間のパケット送信は、ネットワーク上のすべてのホストに対して透過的です。HSRP プロトコルが設定されたルーターは、次の 3 種類のマルチキャスト メッセージを交換します。
Hello:Hello メッセージは、ルータの HSRP 優先順位およびステータス情報を送信するように他のルータに通知します。HSRP ルータはデフォルトで 3 秒ごとに Hello メッセージを送信します。
Coup:バックアップ ルータがアクティブ ルータになったときに Coup メッセージを送信します。
辞任:アクティブ ルータがダウンしている場合、またはより高い優先順位を持つルータが hello メッセージを送信している場合、アクティブ ルータは辞任メッセージを送信します。HSRP プロトコルが設定されたルータは常に、次の 5 つの状態のいずれかになります。
Initial———HSRP が開始されたときの状態です。HSRP はまだ実行されていません。通常、この状態は、設定が変更されたとき、またはポートが開始されたばかりのときに入ります。
リッスン - ルーターは仮想 IP アドレスを取得しましたが、アクティブなルーターでも待機中のルーターでもありません。アクティブなルータと待機中のルータから送信される HELLO メッセージをリッスンし続けます。
Speak - この状態では、ルータは定期的に HELLO メッセージを送信し、アクティブなルータの選択に積極的に参加するか、ルータを待機します。
スタンバイ - ルーターは、アクティブ ルーターに障害が発生した場合にパケット送信機能を引き継ぐ準備ができています。
アクティブ - ルーターはパケット送信機能を実行します。
3.2 DHCP テクノロジー
DHCP は、Dynamic Host Configuration Protocol の略で、ユーザー IP を集中管理および設定するために使用されるテクノロジーです。IP アドレスを手動で構成する面倒なプロセスが解決され、小規模なネットワークでも、DHCP を使用してネットワーク デバイスの後続の IP 構成を簡単かつ迅速に行うことができます。IP アドレスなどのネットワーク パラメータの構成の問題を解決するために、IETF 組織は BOOTP プロトコルを開発しました。BPPTP プロトコルは比較的静的な環境で実行されるため、管理者は使用する前にホストごとに特別な BOOTP パラメータ ファイルを構成する必要があります。BOOTP のさまざまな欠点に対応して、IETF は、ネットワーク構成パラメータ (つまり、IP アドレス) を動的に割り当てて構成するためのプロトコルを提供する新しいプロトコル、DHCP を開発しました。
DHCP は、IP アドレスの動的かつ一元的な管理と設定を実現するために、IP アドレス範囲を使用してすべての端末に IP を割り当てます DHCP サーバーによって各クライアントに割り当てられる IP アドレスは、リースと呼ばれる使用期間を定義します。リースの期限が切れる前に、DHCP クライアントがまだ IP アドレスを使用する必要がある場合は、リースの延長を要求できます。そうでない場合は、IP アドレスを積極的に解放できます。他に使用可能な空きアドレスがない場合、DHCP サーバーはクライアントによってアクティブに解放された IP アドレスを他のクライアントに割り当てます。DHCP サーバーによって動的に割り当てられるすべての IP アドレスはリース期間によって制限され、DHCP サーバーごとに異なるリース期間を設定できます。静的に割り当てられた IP アドレスは、リース期間に制限されず、使用期間は無制限です。DHCP クライアントは、リースの期限が切れるまで待たずに IP アドレスを申請するため、その IP アドレスはサーバーによって再利用され、他のクライアントに割り当てられます。元の IP アドレスを確実に使用できるようにするために、クライアントはリース期限が切れる前の特定の時点でリース延長の申請を開始します。
次の図は、一般的なシナリオにおける DHCP のワークフローを示しています。大きく4つのステップに分かれます。
図 3.1 DHCP ワークフロー チャート
1).ディスカバリーステージ
初めてネットワークに接続する DHCP クライアントは、DHCP サーバーの IP アドレスを知らないため、DHCP サーバーの IP アドレスを取得するために、ブロードキャスト モードで DHCP DISCOVER メッセージを送信します。(DHCP DISCOVER メッセージには、クライアントの MAC アドレス、要求パラメータ テーブル エントリ、ブロードキャスト フラグ、およびその他の情報が含まれます)。
2).ステージの提供
DHCP クライアントと同じネットワーク セグメント上にある DHCP サーバーは、DHCP DISCOVER メッセージを受信します。DHCP サーバーは、DHCP DISCOVER メッセージを受信するインターフェイスの IP アドレスと同じネットワーク セグメント内にあるアドレス プールを選択します。そこから利用可能な IP アドレスを選択し、DHCP OFFER メッセージを通じて DHCP クライアントに送信します。
3).リクエストステージ
複数の DHCP サーバーが DHCP クライアントへの DHCP OFFER メッセージに応答する場合、DHCP クライアントは通常、最初に受信した DHCP OFFER メッセージのみを受信します。DHCP OFFER メッセージを受信した DHCP クライアントは、クライアントが選択する DHCP サーバー識別子とクライアント IP アドレスを含む DHCP REQUEST メッセージをブロードキャスト モードで送信します。
DHCP クライアントは、DHCP REQUEST メッセージをブロードキャストしてすべての DHCP サーバーに通知し、DHCP サーバーから提供された IP アドレスを選択し、他の DHCP サーバーは、DHCP クライアントに割り当てられた IP アドレスを他の DHCP クライアントに割り当てます。
4). 確認段階
DHCP サーバーが DHCP クライアントによって送信された DHCP REQUEST メッセージを受信すると、DHCP サーバーは DHCP REQUEST メッセージで要求された IP アドレスがクライアントに割り当てられていることを示す DHCP ACK メッセージで応答します。
3.3 STPテクノロジー
STP プロトコルの紹介: STP --- スパニング ツリー プロトコル (スパニング ツリー プロトコル) は、ブロードキャスト ストームの発生を防ぐために論理的にループを切断します。スイッチング ネットワークでは、単一障害点が発生することがあります。いわゆる単一障害点とは、これは、ネットワーク内の特定のデバイスの障害が原因で、ネットワーク全体の通信に影響を及ぼします。単一障害点を回避し、ネットワークの信頼性を向上させるために、冗長トポロジを構築することで問題を解決できます。ただし、冗長トポロジはネットワーク内でループを引き起こし、他の影響を及ぼします。レイヤ 2 ループの問題を解決するために、STP が設計されました。
STP の基本原理は、特別なプロトコル メッセージであるブリッジ プロトコル データ ユニット (BPDU) をスイッチ間で送信することによってネットワーク トポロジを決定することです。BPDU にはコンフィギュレーション BPDU (および TCN BPDU) の 2 種類があり、前者はループフリーのスパニング ツリーを計算するために使用され、後者はレイヤ 2 ネットワーク トポロジが変更された場合の MAC テーブル エントリのリフレッシュ時間を短縮するために使用されます。
STP の役割: コンピュータ ネットワークにおけるツリー トポロジ構造の確立に適用できます。その主な機能は、ブリッジ ネットワーク内の冗長リンクがループを形成するのを防ぐことです。これにより、ブリッジ ネットワーク内の冗長リンクを必要とするネットワークの堅牢性の問題を解決できます。コア層ネットワークの要件を満たしており、冗長リンクによって形成される物理ループによって引き起こされる「ブロードキャスト ストーム」の問題を解決できます。
(1) ブロードキャストストーム
STP プロトコルがスイッチング デバイスで有効になっていないと仮定します。PC1 がブロードキャスト要求を送信すると、ブロードキャスト メッセージは 2 台のスイッチング デバイスのポート 1 で受信され、ポート 2 を介してそれぞれブロードキャストされ、2 台のスイッチのポート 2 がもう一方のスイッチング デバイスからパケットを受信します。このプロセスが繰り返されると、最終的にはネットワーク リソース全体が使い果たされ、ネットワークが麻痺して使用できなくなります。
(2) マルチフレームコピー
PC1 がリクエストブロードキャストを送信すると、リクエストは相手のデバイスに直接届きますが、スイッチもデータを受信してフラッディングします。フラッディングされたデータはリンクから相手のデバイスに送信されます。送信を繰り返すと、相手のデバイスはフラッディングします。複数の同一のデータ フレームを取得します。
(3) MACアドレステーブルショック
スイッチ S1 はポート 2 上の PCB の MAC アドレスを学習できますが、S2 は PC2 によって送信されたブロードキャスト データ フレームを他のポートに転送するため、S1 はポート 1 上の PC2 の MAC アドレスも学習できます。このようにして、ブロードキャスト フレームは 2 つのスイッチング デバイス間で継続的に転送され、S1 はその MAC アドレス テーブルを常に変更します。MAC アドレス テーブルでフラッピングを引き起こします。
リンクの冗長性を確保し、上記の問題が発生しないようにするために、最適なルートを保持し、リンクの問題が発生した場合に最適なルートを再計算することを中心に、この問題を解決する STP プロトコルを設計しました。これにより、冗長性が確保されるだけでなく、レイヤ 2 ループが発生しないことが保証されます。
3.4 OSPFテクノロジー
ルーティングプロトコルOSPFの正式名称はOpen Shortest Path First、つまりオープンな最短パスファーストプロトコルであり、OSPFはIETFによって開発されたため、どのメーカーの利用も制限されず誰でも利用できることからオープンと呼ばれています。最短パス優先プロトコルはオープンと呼ばれます. パス優先順位 (SPF) は OSPF の中心的な概念にすぎません. それが使用するアルゴリズムはダイクストラのアルゴリズムです. 最短パス優先順位には特別な意味はありません. 優先順位を付けるルーティング プロトコルはありません.すべてのプロトコルは最短のパスを選択します。
ステート マシン ----OSPF が確立されると、さまざまな段階があります。
(1) Down ローカルが Hello パケットを送信すると、次の状態に移行します。
(2) Init はローカルで受信した hello パケットを初期化し、ローカル RID を保存して次の状態に移行します。
(3)2way双方向通信隣接関係確立フラグ。
条件一致: ポイントツーポイント ネットワークは直接次の状態に入ります。MA ネットワークは DR/BDR 選出 (40S) を実行し、非 DR/BDR ルームは次の状態に入ることができません。
(4) exstart pre-start は、hello と同様の DBD を使用してマスターとスレーブの関係を選択します。RID はマスターより大きく、マスターが最初に次の状態に入ります。
(5) Exchange 疑似交換では、データベース ディレクトリ共有に実際の DBD パッケージが使用されます。これには ACK が必要です。
(6) ロードでは LSR/LSU/LSack を使用して未知の LSA 情報を取得します。
(7) フルフォワーディング隣接関係確立フラグ
OSPFの作業プロセス:
スタートアップ コンフィギュレーションが完了すると、Hello パケットがローカルで使用されてネイバー関係が確立され、ネイバー テーブルが生成されます。
条件付きマッチングが実行され、失敗したマッチングは近隣に残ります。Hello パケット期間のみが維持されます。
マッチングに成功した企業は、DBD/LSR/LSU/LSack を使用して未知の LSA 情報を取得します。ネットワーク内のすべての LSA を収集した後、LSDB データ テーブルが生成され、最短パス アルゴリズムを使用してローカル距離が計算されます。すべての未知のネットワーク セグメントに最適なルートがルーティング テーブルにロードされ、コンバージェンスが完了します。
3.5 ACLテクノロジー
3.5.1 ACL の原則
アクセス コントロール リスト ACL は、パケット フィルタリング テクノロジを使用して、送信元アドレス、宛先アドレス、送信元ポート、宛先ポートなどのルータの第 3 層と第 4 層のヘッダー内の情報を読み取り、事前定義されたルール フィルター パケットに基づいてアクセスを実現します。制御目的。つまり、一部のデータ開始の送信元アドレス、宛先アドレス、ポート番号、その他のパラメータ情報を編集してトラフィック一致ルールを収集し、設定された一致メッセージ アクションやその他の情報とアクセス制御を通じて受信パケット要求と送信パケット要求をフィルタリングします。パラメータをリストし、ルーターやネットワークのセキュリティ制御を実現します。
3.5.2 ACLの役割
ACL を企業で使用すると、ネットワーク トラフィックを制限し、ネットワーク パフォーマンスを向上させることができます。たとえば、ACL は、プロトコルに基づいてデータ パケットの優先順位を指定できます。ACL は、通信トラフィックを制御する手段を提供します。たとえば、ACL はルーティング更新情報の長さを制限または簡素化し、ルーターの特定のネットワーク セグメントを通過する通信トラフィックを制限することができ、企業が安全なネットワーク アクセスを提供するための基本的な手段でもあります。これにより、ルータ ポートで転送またはブロックされるトラフィックのタイプが決まります。たとえば、ユーザーは電子メール トラフィックのルーティングを許可し、すべての Telnet トラフィックを拒否できます。
例えば、ある部門の機密保持のため、外部ネットワークへのアクセスを禁止し、外部ネットワークへのアクセスを禁止するなど、部門が WWW 機能のみを使用できるようにする必要がある場合、ACL を通じて実装できます。アクセスが許可されており、ACL を通じて実装できます。
3.5.3 ACL の分類
表 3.1 ACL の種類
| 分類 |
適用可能なIPバージョン |
ルール定義の説明 |
数値範囲 |
|
| 基本的なACL |
IPv4 |
ルールの定義には、パケットの送信元 IP アドレス、フラグメンテーション情報、有効期間情報のみが使用されます。 |
2000~2999 |
|
| 高度な ACL |
IPv4 |
IPv4 パケットの送信元 IP アドレスを使用することも、宛先 IP アドレス、IP プロトコル タイプ、ICMP タイプ、TCP 送信元/宛先ポート、UDP 送信元/宛先ポート番号、有効期間などを使用してルールを定義することもできます。 |
3000~3999 |
|
| レイヤ 2 ACL |
IPv4和IPv6 |
パケットのイーサネット フレーム ヘッダー情報を使用して、送信元 MAC (メディア アクセス コントロール) アドレス、宛先 MAC アドレス、レイヤー 2 プロトコル タイプなどのルールを定義します。 |
4000~4999 |
|
| ユーザー定義のACL |
IPv4和IPv6 |
メッセージ ヘッダー、オフセット位置、文字列マスク、およびユーザー定義の文字列を使用してルールを定義します。つまり、メッセージ ヘッダーをベースとして使用し、文字列マスクを使用して「AND」から始まるメッセージのバイト数を指定します。 」操作を実行し、抽出された文字列とユーザー定義の文字列を比較して、一致するメッセージを除外します。 |
5000~5999 |
|
| ユーザーACL |
IPv4 |
IPv4 メッセージの送信元 IP アドレスまたは送信元 UCL (ユーザー コントロール リスト) グループを使用することも、宛先 IP アドレスまたは宛先 UCL グループ、IP プロトコル タイプ、ICMP タイプ、TCP 送信元ポート/宛先ポート、および UDP を使用することもできます。送信元ポート/宛先、ルールを定義するためのポート番号など。 |
6000~9999 |
|
| 基本ACL6 |
IPv6 |
送信元IPv6アドレス、フラグメンテーション情報、IPv6パケットの有効期間などを利用してルールを定義できます。 |
2000~2999 |
|
| 高度な ACL6 |
IPv6 |
ルールは、IPv6 メッセージの送信元 IPv6 アドレス、宛先 IPv6 アドレス、IPv6 プロトコル タイプ、ICMPv6 タイプ、TCP 送信元/宛先ポート、UDP 送信元/宛先ポート番号、有効期間などを使用して定義できます。 |
3000~3999 |
|
3.6 NATテクノロジー
NAT (ネットワーク アドレス変換) は、ネットワーク アドレス変換テクノロジーです。1994 年に誕生しました。この方法により、IPV4 アドレスの枯渇が遅くなりましたが、IPV4 は 2 年前、つまり 2019 年に最後のアドレスを割り当てていました。 IPV6 ネットワークに拡張できます。
NAT には 3 つのタイプがあります。
静的 NAT (1 対 1)。内部ネットワークのプライベート IP アドレスをパブリック IP アドレスに変換します。IP アドレスのペアは 1 対 1 で変更されません。
動的アドレス NAT (プール NAT) (多対多)。内部ネットワークのプライベート IP アドレスをパブリック IP アドレスに変換する場合、IP アドレスは未定義でランダムです。インターネットへのアクセスを許可されたすべてのプライベート IP アドレスは、指定された合法的な IP アドレスにランダムに変換できます。つまり、どの内部アドレスを変換できるか、どの正当なアドレスを外部アドレスとして使用するかを指定する限り、動的 NAT 変換を実行できます。ダイナミック NAT はルーター上に外部 IP アドレス プールを構成します。内部コンピュータが外部と通信する必要がある場合、外部 IP アドレスはアドレス プールから動的に取得され、それらの対応関係が NAT テーブルにバインドされます。通信が完了した後、 、外部ネットワーク IP が解放され、他の内部 IP アドレス変換で使用できるようになります。この DHCP リース IP には類似点があります。ISP によって提供される正当な IP アドレスが、ネットワーク内のコンピュータの数よりわずかに少ない場合。動的変換を使用できます。
ネットワーク アドレス ポート変換 NAPT (ネットワーク アドレス ポート変換)。送信データ パケットの送信元ポートを変更し、ポート多重化を使用してポート変換を実行します。内部ネットワーク内のすべてのホストは、インターネットにアクセスするために合法的な外部 IP アドレスを共有できるため、IP アドレス リソースを最大限に節約できます。同時に、ネットワーク内のすべてのホストを非表示にして、インターネットからの攻撃を効果的に回避することもできます。したがって、現在ネットワークでは PAT ルールが最も一般的に使用されています。これは、最も一般的に使用されている NAT テクノロジであり、IPv4 が今日まで維持されている最も重要な理由の 1 つです。多対 1 の方法を提供します。複数の内部ネットワーク IP アドレスに対して、ボーダー ルーティングによって外部ネットワークを割り当てることができます。 IP では、この外部ネットワーク IP のさまざまなポートを使用して外部と通信します。NAPT は、内部接続を外部ネットワークの別の IP アドレスにマッピングし、NAT デバイスによって選択されたポート番号をアドレスに追加するという点でダイナミック NAT とは異なります。
第4章システム設計
4.1 ネットワークアーキテクチャの設計原則
今回のシステム設計では、ネットワークの論理構造を部分に分解する階層設計手法を採用し、階層ごとに設計・実装の詳細を検討しました。ネットワーク トポロジは、コア層、アグリゲーション層、アクセス層の 3 つの層に分かれています。
階層化された設計アプローチを採用する利点は次のとおりです。
(1) コスト削減 アクセス層からコア層にトラフィックが流れる場合は高速リンクに集中し、コア層からアクセス層にトラフィックが流れる場合は低速リンクに分散されるため、 、アクセス層ルーターは、より小さいデバイスを使用できます。階層設計手法を採用すると、各層が異なるデータ伝送を担当するようになり、同じ問題を同時に考える必要がなくなります。階層モデルのモジュール性により、ネットワーク内の各層が帯域幅を有効に活用し、システム リソースの無駄を削減できます。
(2) 分かりやすい 分割設計手法で設計されたネットワークトポロジ構造は明確な階層構造を持ち、異なる困難をレベルごとに管理できるため、管理コストを削減できます。
(3) 拡張が容易 階層設計手法による階層モジュール化により、システムの拡張が容易です。トラブルシューティングが容易な階層モジュール化により、ネットワーク トポロジを理解しやすいサブネット構造に分解できるため、管理者はネットワーク障害の範囲をより簡単に判断し、ネットワーク障害をより迅速に排除できます。
4.2 ネットワークトポロジ図
図 4.1 ネットワークトポロジ図
4.3 ネットワークセキュリティ設計
企業ネットワークの基本的なセキュリティ要件を満たすことは、ネットワークを正常に運用するための必須条件であり、その上で強力なセキュリティを保証することがネットワーク システム セキュリティの重要な原則です。ネットワーク内には多数のネットワーク機器やサーバーが配置されており、これらの機器の正常な動作を保護し、主要な業務システムのセキュリティを維持することは、ネットワークのセキュリティの基本要件です。さまざまなネットワーク攻撃に対して、柔軟かつ効率的なネットワーク通信および情報サービスを提供しながら、ネットワーク攻撃に抵抗および検出する方法、および攻撃を追跡する手段を提供する方法。
企業は、アクセス制御を使用し、特定のネットワーク セグメントおよびサービスに対するアクセス制御システムを確立して、大部分の攻撃を攻撃目標に到達する前に防ぐ必要があります。
セキュリティの脆弱性を定期的にチェックする セキュリティの脆弱性を定期的に検査することで、たとえ攻撃が攻撃対象に到達したとしても、ほとんどの攻撃は無効となる可能性があり、特定のネットワークセグメントやサービスごとに構築された攻撃監視システムにより、実際の絶対的なエラーを検出できる攻撃監視を行うことができます。ほとんどの攻撃; 暗号化通信、アクティブな暗号化通信により、攻撃者による機密情報の理解や変更を防ぐことができます; 認証、優れた認証システムにより、攻撃者による正当なユーザーへのなりすましを防ぐことができます; バックアップとリカバリ、優れたバックアップおよびリカバリ メカニズムにより、攻撃が引き起こされる場合損失、データ、およびシステム サービスは可能な限り迅速に復元されます。多層防御により、攻撃者が最初の防御線を突破した後に攻撃ターゲットに到達するのが遅延または阻止されます。攻撃者がシステム内の基本的な状況を理解できないように内部情報が隠蔽されます。 ; 情報システムのセキュリティシステム管理、監視、保守、緊急サービスを提供するセキュリティ監視センターを設置する。
4.4 IPアドレスの計画
IP アドレスはネットワーク内のホストとデバイスを識別するものであり、同じネットワーク内で 2 つのホストが同じ IP アドレスを使用することはできません。
そうしないと競合が発生して通信できなくなるため、IPアドレスは一意である必要があります。同時に、企業の継続的な発展と拡大、ビジネスと人材の継続的な増加に伴い、IP アドレスの拡張性要件が反映されるため、IP アドレスを設計する際には余裕を持たせる必要があります。
表 4.1 IP アドレスの計画
| 部門 |
VLAN |
IP |
ゲートウェイ |
| 生産技術部 |
10 |
172.16.10.0/24 |
172.16.10.254 |
| 企画マーケティング部 |
11 |
172.16.11.0/24 |
172.16.11.254 |
| 安全監督部 |
12 |
172.16.12.0/24 |
172.16.12.254 |
| 財務部 |
13 |
172.16.13.0/24 |
172.16.13.254 |
| 人事部 |
14 |
172.16.14.0/24 |
172.16.14.254 |
| 管理部 |
15 |
172.16.15.0/24 |
172.16.15.254 |
| 総支配人室 |
16 |
172.16.16.0/24 |
172.16.16.254 |
| DNSサーバー |
20 |
172.16.20.1/24 |
172.16.17.254 |
| WEBサーバー |
20 |
172.16.20.2/24 |
172.16.20.254 |
| 電子メールサーバー |
20 |
172.16.20.3/24 |
172.16.20.254 |
| DHCPサーバー |
20 |
172.16.20.4/24 |
172.16.20.254 |
| FTPサーバー |
20 |
172.16.20.5/24 |
172.16.20.254 |
4.5機器の選択
4.5.1 コアスイッチの選択
コア スイッチには Cisco の CISCO WS-C6509-E エンタープライズ クラス スイッチが使用されており、スイッチのスループットとバックプレーン帯域幅は中小企業のデータ インタラクション要件を満たしています。具体的なパラメータは次のとおりです。
表4.2WS-C6509-Eパラメータ
| 主なパラメータ |
製品の種類 |
エンタープライズグレードのスイッチ |
| アプリケーションレベル |
四階 |
|
| 伝送速度 |
10/100/1000Mbps |
|
| 交換方法 |
ストアアンドフォワード |
|
| バックプレーンの帯域幅 |
720Gbps |
|
| パケット転送速度 |
387Mpps |
|
| MACアドレステーブル |
64K |
|
| ポートパラメータ |
港湾構造 |
モジュラー |
| 拡張モジュール |
9 モジュラースロット |
|
| 送信モード |
全二重をサポート |
|
| 特徴 |
VLAN |
サポート |
| QOS |
サポート |
|
| ネットワーク管理 |
サポート |
|
| ACL |
サポート |
|
| その他のパラメータ |
電源 |
4000W |
図 4.2 WS-C6509-E スイッチ
4.5.2 アグリゲーションスイッチの選択
CISCO WS-C3560X-24T-Lスイッチは、企業ネットワーク内の集約スイッチとして展開するために選択されています。このスイッチの特定のパラメータは次のとおりです。
表 4.2 C3560X パラメータ
| 製品の種類 |
ギガビットイーサネットスイッチ |
| アプリケーションレベル |
2階 |
| 伝送速度 |
10/100/1000Mbps |
| 製品メモリ |
DRAMメモリ:256MB フラッシュメモリ:128MB |
| 交換方法 |
ストアアンドフォワード |
| バックプレーンの帯域幅 |
160Gbps |
| パケット転送速度 |
65.5Mpps |
| 港湾構造 |
非モジュール式 |
| ポートの説明 |
24 10/100/1000 イーサネット ポート |
図 4.3 CISCO WS-C3560X-24T-L
4.5.3 ルーターの選択
路由器使用思科Cisco®2900 系列集成多业务路由器建立在 25 年思科创新和产品领先地位之上。新平台的构建旨在继续推动分支机构的发展,为分支机构提供富媒体协作和虚拟化,同时最大程度地节省运营成本。第 2 代集成多业务路由器平台支持未来的多核 CPU,支持具有未来增强的视频功能的高容量 DSP(数字信号处理器)、具有更高可用性的高功率服务模块、具有增强 POE 的千兆位以太网交换产品以及新能源监控和控制功能,同时提高整体系统性能。此外,通过全新 Cisco IOS® 软件通用映像和服务就绪引擎模块,还可以将硬件和软件部署分离,从而奠定灵活的技术基础以及时满足不断发展的网络需求。总而言之,通过智能集成市场领先的安全、统一通信、无线和应用程序服务,Cisco 2900 系列可提供无与伦比的总拥有成本节约和网络灵活性。
表4.3 2911路由器特性
| 模块化平台 |
Cisco 2900 系列集成多业务路由器是高度模块化平台,具有多种类型的模块插槽,可添加连接性和服务,以满足不同的分支机构网络需求。ISR 通过模块提供行业内范围最广的局域网和广域网连接选项,以适应未来技术的现场升级,而无需更换平台。 |
| 处理器 |
Cisco 2900 系列由高性能多核处理器支持,可在分支机构运行多并发服务的同时,满足其不断增长的高速广域网连接需求。 |
| 多千兆位光纤 (MGF) |
Cisco 2900 系列引入了创新的多千兆位光纤 (MGF),可实现有效的模块到模块通信,从而增强模块间的服务交互,同时减少路由处理器的管理费用。 |
| TDM 互联光纤 |
通过使用系统架构中的 TDM 互联光纤,分支机构的统一通信服务得到显著增强,从而可扩展 DS-0 通道容量。 |
| 集成千兆位以太网端口 |
所有板载广域网端口均为 10/100/1000 千兆位以太网广域网路由端口。Cisco 2921 和 2951 上的三个 10/100/1000 以太网广域网端口之一代替了 RJ-45 端口,支持基于小型封装热插拔 (SFP) 的连接以及光纤连接。 |
图4-4 2911路由器
第5章 详细设计
传统中小型局域网络由二层交换机构成局域网骨干,整个网络是一个广播域。如果企业中的网络都属于同一个子网掩码的网段之下,那么网内的二层数据之间的交互不需要通过网关设备,也就相当于局域网内都通过一台或者多台接入交换机的MAC寻址转发就搞定了,只有跨网段访问的地址才需要经过网关。
本课题的企业网络设计总体逻辑架构,遵循现代局域网的部署准则,由三层交换设备构成局域网骨干,对各个部门按需划分VLAN,进行逻辑隔离,这些小型局域网通过三层设备的路由交换功能互连。无论是哪种网段,都是计算机节点的划分方式。但目前基于三层交换实现跨网段访问的方法,已经逐渐成为主流。因为三层起码可做到可控、可查、可溯源的安全效果。
5.1 核心层网络设计
图5.1 核心层
网络核心层的主要工作是交换数据包,核心层设备的主要存在任务是为了数据交互转发的,要尽量避免在核心上接入过多的终端设备;并且核心层的路由一定要具备可到达性,也就是说核心设备对网内的所有设备或者目的都需要具备路由可达,可实现交互转发的一个功能。
此次设计为提高核心层交换网络的可靠性,实现物理链路和网关冗余的双层保障, 核心层将决定使用HSRP (热备份路由器协议)来实现网关冗余,至于物理链路的冗余则通过STP生成树的环路监测机制来实行。对于各个业务VLAN终端地址,网关均指向这个HSRP所维护的虛拟IP地址,因此才能够保证HSRP技术为全网提供一个可靠的网关地址,以实现在核心层核心交换机之间进行设备的硬件冗余,并且HSRP通过内部的协议传输机制可以自动进行工作角色的切换。进而为网络高效处理大集中数据提供了可靠的保障。
5.2 汇聚层网络设计
5.2 汇聚层设计
汇聚层网络主要完成企业各园区内办公楼宇和相关单位的内接入交换机的,汇聚及数据交换和VLAN终结,汇聚层是核心层和接入层的连接模块,其主要功能联合公司自动化系统的汇聚层,主要是为各个配线间以及服务器群的中心网络设备提供接入层设备的集中和核心层链路的接入。
本课题设计的汇聚层网络上联核心交换机、下联接入交换机,均采用双线STP破环实现链路的备份冗余,让网络不存在单点故障问题的发生,保证用户上网体验。
5.3 接入层设计
图5.3 接入层设计
接入层是面向最终用户的设备,主要功能如下:提供高密度的用户端口;提供许可控制,包括:安全控制和QoS控制。采用多层网络的设计方法,必须依赖于利用网络的高弹性和扩充性。所谓的弹性指的是对故障的容忍度和故障情况下的恢复能力;所谓扩充性是指根据实际需要,可以在各个不同层次实现升级和扩充,实现对网络可控的、有序的优化。在这种体系结构内,接入层为终端用户提供10/100M交换端口,并提供到网络汇聚层的.上联链路。各个楼层的终端设备或局域网络全部通过接入层进入网络系统。
5.4 关键性技术及难点
本课题采用的关键技术为ACL访问控制列表,针对一些部门对服务器的访问限制,服务器的上网限制等策略实现企业内的网络安全,排除安全隐患的发生;其次局域网内使用了DHCP、OSPF、NAT等IP路由关键技术,针对冗余性的考虑核心设备还使用了HSRP+STP组合物理链路、网关冗余。
本次设计的难点在于ACL访问控制的策略配置,思科设备上配置ACL一但条目顺序配置错误,那么就需要删除整条ACL规则来进行重新配置,因此配置ACL的时候需要格外注意,一是注意规则配置顺序,二是注意应用的策略方向,以免造成网络大面积中断的网络事故。
第6章 系统测试
6.1 调试与测试
6.1.1核心交换机的HSRP配置调试
interface Vlan10 //进入VLAN 10
ip address 172.16.10.252 255.255.255.0 //配置IP地址
ip helper-address 172.16.20.4 //配置DHCP中继
standby 10 ip 172.16.10.254 //配置HSRP虚拟网关地址
standby 10 priority 101 //配置HSRP优先级
standby 10 preempt //设置HSRP状态为抢占
interface Vlan11
mac-address 0040.0b31.7502
ip address 172.16.11.252 255.255.255.0
ip helper-address 172.16.20.4
standby 11 ip 172.16.11.254
standby 11 priority 101
standby 11 preempt
核心交换机HSRP协议状态如下:
图6.1 核心交换机HSRP状态
本次设计的网络环境中使用两台核心交换机上配置热备份路由器协议HSRP实现终端的网关冗余,当Active设备宕机后马上standby设备会立马接替进行转发,两台设备的相互冗余可以保证整个网络的不中断和可靠性。
6.1.2 DHCP的相关配置
DHCP服务器旁挂核心,创建地址池,网关设备通过DHCP中继协议的指向来向服务器请求地址下发,具体配置如下:
图6.2 DHCP服务器配置
服务器区域设立了DHCP服务器,通过核心交换机在每个网关上设立DHCP中继协议来对接服务器,让接入终端设备都可以自动获取到服务器上所设立的地址池,既简化了管理员手动配置的操作,也能解决IP地址冲突的问题。
6.1.3 OSPF的配置
两台核心交换机配置OSPF路由协议与互联网接入路由器互联,核心交换机相互学习路由,路由器学习网内内部路由并且下发默认路由至核心交换机上。
router ospf 1
router-id 1.1.1.1
log-adjacency-changes
network 172.31.1.0 0.0.0.255 area 0
network 172.16.10.0 0.0.0.255 area 0
network 172.16.11.0 0.0.0.255 area 0
network 172.16.12.0 0.0.0.255 area 0
network 172.16.13.0 0.0.0.255 area 0
network 172.16.14.0 0.0.0.255 area 0
network 172.16.15.0 0.0.0.255 area 0
network 172.16.16.0 0.0.0.255 area 0
network 172.16.20.0 0.0.0.255 area 0
图6.3路由器上学习到内部路由
OSPF动态路由协议在网络环境中应用最为广泛,因为他具有很高的可靠性和收敛速度,对于内部设备的路由变动和增加可以做到第一时间学习路由,不需要像RIP那样等待一定时间的全量更新,本次设计上核心交换机和路由器之间就配置了OSPF路由协议达到自动学习路由的目的,从上图可看出,OSPF协议正常,设备已经自动学习到了局域网内部的路由网段,不需要管理员再进行手动配置。
6.1.4 ACL技术应用
图6.4 ACL配置
在两台核心交换机上配置ACL不允许生产技术部访问邮件服务器、计划营销部访问WEB服务器以及安全监察部访问FTP服务器的操作。核心交换机上的具体配置如下:
access-list 100 deny ip 172.16.10.0 0.0.0.255 host 172.16.20.3 //拒绝生产技术部访问邮件服务器
access-list 100 deny ip 172.16.11.0 0.0.0.255 host 172.16.20.2 //拒绝计划营销部访问WEB服务器
access-list 100 deny ip 172.16.12.0 0.0.0.255 host 172.16.20.5 //拒绝安全监察部访问FTP服务器
access-list 100 permit ip any any //所有流量方向
6.1.5 NAT技术
图6.5 NAT状态
出口路由器上配置NAT地址转换和服务器端口映射,实现内网用户上网需求和对外发布的服务器映射需求。同时在NAT调用的ACL规则上排除了DHCP服务器地址,拒绝DHCP服务器连接互联网。
具体配置如下:
access-list 1 deny host 172.16.20.4 //拒绝源地址为DHCP服务器的流量
access-list 1 permit any //所有流量方向
ip nat inside source list 1 interface GigabitEthernet0/2 overload //将ACL 1 规则调用在NAT地址转换上,并将转换地址设置为G0/2的出接口地址。
ip nat inside source static tcp 172.16.20.2 80 164.100.222.1 80 //WEB服务器映射公网地址164.100.222.1
6.2 连通性测试
6.2.1 DHCP自动获取地址测试
图6.4安全监察部终端自动获取地址
安全监察部通过DHCP动态主机协议自动获取到服务器下发的地址和网关以及DNS。
6.2.2 局域网连通性测试
图6.5 总经理室ping测试
通过总经理室的PC来对生产技术部和计划营销部的终端连通性进行测试,测试结果正常。
6.2.3 ACL限制测试
图6.6拒绝计划营销部访问WEB服务器
用生产技术部的终端和计划营销部的终端同时访问WEB服务器,发现计划营销部无法请求到WEB服务器,生产技术部可正常访问。测试结果正常。
6.2.4 NAT测试
图6.7 访问NAT测试
使用人力资源部终端和DHCP服务器同时访问互联网,发现DHCP服务器无法访问互联,而人力资源部可正常访问。测试结果正常。