《我国中小企业融资问题的现状、成因和解决办法 毕业论文.doc》由会员分享,可在线阅读,更多相关《我国中小企业融资问题的现状、成因和解决办法 毕业论文.doc(163页珍藏版)》请在三一文库上搜索。
1、 专科生毕业设计 网络工程设计方案 -网络构架院 系计算机科学与技术学院 专 业计算机科学与技术 班 级09网络技术一班 学 号16501090106 学 生 姓 名 联 系 方 式15038937811 指 导 教 师 职称:讲师 _职称:_辅导员_2011年5月 独 创 性 声 明本人郑重声明:所呈交的毕业论文(设计)是本人在指导老师指导下取得的研究成果。除了文中特别加以注释和致谢的地方外,论文(设计)中不包含其他人已经发表或撰写的研究成果。与本研究成果相关的所有人所做出的任何贡献均已在论文(设计)中作了明确的说明并表示了谢意。签名: 年月日授权声明本人完全了解许昌学院有关保留、使用本科生
2、毕业论文(设计)的规定,即:有权保留并向国家有关部门或机构送交毕业论文(设计)的复印件和磁盘,允许毕业论文(设计)被查阅和借阅。本人授权许昌学院可以将毕业论文(设计)的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存、汇编论文(设计)。本人论文(设计)中有原创性数据需要保密的部分为:。 签名: 年月日指导教师签名: 年月日摘 要中小企业在一国的经济中发挥的作用具有不可替代性,但其进一步的发展却受到许多因素制约,这些因素中最突出的表现就是融资难。中小企业融资难是一个普遍性的问题,包括融资渠道不畅、融资结构失衡、融资成本高等一系列融资难的问题已经对我国中小企业的进一步发
3、展构成了瓶颈制约。中小企业在融资方面的“营养”不良以及由此带来的“健康”状况上的每况愈下正引起人们的广泛关注。本文立足企业和银行,着眼于整个社会信用环境和政府职能,遵循提出问题、分析问题以及依据国情并借鉴其他国家做法解决问题的基本思路,对我国中小企业融资问题的现状、成因和解决办法进行了深入的分析和探讨,力图做到系统综合,标本兼治。关键词 中小企业 融资 成因 现状 解决对策ABSTRACTSME s roles playing in one national economy cannot be substituted by anything else, but SME s further de
4、velopment will subject to many factors, the most prominent aspect of which is SME s financing difficulty. SME s financing difficulty is a widespread issue, but the solutions of different countries or areas to it should be based differently upon their conditions in terms of what type of financing cha
5、nnels should be used in resolving financing issue. In present periods of our economic development,. This article based on enterprises and banks, focusing on the entire social credit environment and government functions, to follow questions, analyze problems and in accordance with national conditions
6、 and practices in other countries to solve the problem of the basic ideas, on Chinas small and medium enterprises financing the current situation, causes and solutions an in-depth analysis and discussion of trying to do systems integration, both temporary and permanent cures.Key words SMEs Financing
7、 Innovation 目 录摘 要3ABSTRACT3目 录4引 言2第一章 项目需求分析21.1.项目背景31.2需求分析4第二章 网络总体建设目标52.1网络建设目标52.2网络及系统建设内容及要求62.3网络设计原则8第三章 网络总体设计93.1 网络总体拓扑图93.2 网络层次化设计103.3 核心层设计113.4 接入层设计123.5 内联接入13第四章 路由设计134.1 路由协议选择134.1.1 OSPF协议主要优点:134.1.2 SPF算法134.1.3 OSPF规定有层次的网路结构,OSPF将网络分为若干区域:144.1.4 OSPF路由器在完全邻接之前,所经过的几个状
8、态:144.1.5 虚链路(Virtual Link)154.2 路由规划拓扑图154.3 IP地址规划15第五章 网络安全解决方案175.1 网络边界安全威胁分析175.2 网络内部安全威胁分析195.3 安全产品选型原则195.4 网络常用技术介绍20第六章 产品简介246.1 Cisco 2800 系列集成多业务路由器246.2 Cisco Catalyst 3560 系列集成交换机246.3 Cisco Catalyst 2960 系列集成交换机25第七章 项目实施计划277.1 项目组织结构277.2 项目人员分工277.3 项目实施前的准备工作297.4 安装前的场地准备297.5
9、 核心及各网点的安装调试31第八章 网络测试328.1 网络测试目的328.2 测试文档32第九章 网络架构37第十章 网络设备基本配置(内部)4910.1 网络描述4910.2基本配置4910.2.1交换机Cisco3560的基本配置4910.2 IP地址配置5210.3检查设备的连通性5310.4 Windows服务器的安装:5410.5安装DNS、DC、WEB、FTP等服务器,配置如下6710.5.1安装DNS6710.5.2安装域控制器(DC)7510.5.3安装WEB8510.5.4安装FTP92第十一章 网络配置的基本配置(分部)9811.1网络描述9811.2 基本配置9911.
10、2.1交换机Catalyst3560的基本配置9911.2.2 IP地址配置10211.3 检查设备的连通性10311.4 Windows服务器的安装:10411.5安装DNS、DC、WEB、FTP等服务器,配置如下11811.5.1安装DNS11811.5.2 安装域控制器(DC)12611.5.4 安装FTP148第十二章 项目测试154致 谢156引 言跨入21世纪的今天,世界继新技术革命以后,又掀起了一场以加速社会信息化为宗旨的信息高速公路建设的浪潮,信息正以其前所未有的迅猛态势渗透于社会的方面,改变着人们原有的社会空间,信息已日益成为社会各领域中最活跃、最具有决定意义的因素,而作为基
11、础学科之一的信息教学,它既是应用科学的基础,又兼有了科学与技术的双重身份,它更是培养创新型人才的重要阵地。那么,如何在信息教学中培养学生的信息素养,提高他们的信息感悟、信息实践能力,以促进他们的身心发展,为进一步培养创新型人才奠定基础呢?一、投石探路认识信息 同样重要的信息,有的人善于抓住,有的人却漠然视之,这正是由于各人的信息意识强弱不同所致。信息,指的是当人们与外界接触时,有意无意所接受到的一些事物材料,有数字、文字、影像、数量关系等。如果能使学生对接受到的这些信息源加以分析、整理,主动获取自己所需的信息,或找到对自己有利的信息而后加以利用,则将促使他们关注周围的事物,沟通数学与生活的联系
12、,大大提高他们的信息意识。二、找频看球感受信息一个球迷,只要找到自己想看的球赛频道,便会津津有味地看下去,甚至于不吃不睡。信息教学时,就应尽可能增强学生的信息情感,培养他们类似于“看球”的热衷情感,当他们多次从多方面感受信息时,便能形成某种持久、稳定的、反映心底需求关系的内心体验,这便是信息情感。当学生形成较稳定的信息情感时,便能产生巨大的信息热情,这将大大提高他们对信息的敏感性与兴趣性。三、点石成金利用信息 在信息时代,静态的知识不具有情报信息价值,只有对知识的新认识和深入挖掘,并进行动态处理,才能使其产生推动社会进步的巨大能量。认识和挖掘出知识的现实价值,并利用好它,这才是信息素质的最好体
13、现。只有具有利用信息能力的人,才知识怎样组织知识,发现和使用信息,他们也才具有终身学习的能力。当代社会,信息是最主要的资源,对整个社会的发展具有决定性的作用,在数学教学中培养学生的信息素养是学生接受终身教育的前提条件,更是培养创新人才的先决条件,只有把“培养学生的信息素养”植根于数学教学的方面,才能真正提高学生的信息意识、信息能力,成为可持续发展的人。 第一章 项目需求分析1.1. 项目背景 河北承德露露股份有限公司坐落于承德市高新技术产业开发区,现为万向三农有限公司控股的上市公司。公司于1997年年底在深交所上市,成为国内饮料行业首批上市公司之一。企业的法律代表人:管大源先生,1963年12
14、月出生,浙江萧山人,研究生学历,高级经济师,中共党员。以6000万注册此公司。其总公司人数600人,分公司400人,公司以发展民族饮料为目标,坚持走科技兴厂的道路,本着“高起点引进、高速度发展、创造高效益”的原则,使技术装备水平居国内领先地位,从而使公司的生产能力、科技含量有了更大的提高。 公司发展稳健,成长性良好,连续多年名列深市排行榜前列。公司坚持用优质的产品回报消费者,用良好的信誉、投资回报率答谢支持露露的广大投资者。 公司理念为:视品质为生命坚持质量第一,生产高品质产品是露露企业的信念。露露严格把控产品质量关,从不在质量上投机取巧,因为露露坚信只有真正为消费者提供高品质产品,才能使消费
15、者享受到健康营养,企业也因此才能立于不败之地。所以本项目的目标是:建立一个世纪规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台,以高效率,高速度,低成本的方式提高公司员工的工作效率与执行效率”。1.2需求分析随着公司经济效益不断的提高,人员的扩展,在整体网络的规划中,始终以高效、稳定、安全为总体设计目标。除了保证易于使用、用户界面统一、标准,表现力强;易于安装和维护,网络运行质量高;开放性好,便于移植、扩展和推广;还要具备较好的性能价格比,并在几年内保持解决方案与技术上的领先,为用户提供一个灵活的办公平台, 对用户和网络进行有效的管理,构建一个稳定
16、的、可拓展的网络环境。要求网络设备集成的安全性(本方案设计中可以涉及专门的防火墙、VPN等,但是实验配置时安全是指交换机、路由器等网络基础设施产品中的集成安全,不涉及其他产品),网络平台需要提供防止非法的ARP攻击、dos攻击、非法的DHCPserver的能力实现内部网络按用户、功能进行VLAN划分分布式三层架构,启用三层路由功能及相应访问控制病毒攻击防护,出口实现NAT地址转换,发布对外的WEB服务 支持10GE或将来平滑过渡到10GE 要求对网络主干进行流量监控本着以上建网思路,锐捷网络为生产行业定制的高速率、广覆盖、易管理的安全可信企业网解决方案及网络产品,经过激烈的竞争,在众多国内、外
17、品牌中脱颖而出,成功服务于企业网络项目。第二章 网络总体建设目标2.1 网络建设目标全覆盖:以108Mbps高速无线的方式覆盖整个公司,覆盖范围主要包括办公室、会议厅等,在以上场合可保证网络访问流畅。提供数据接入业务,让企业人员体会到无线局域网给公司带来的好处。可管理:企业有线网络已经建成,统一的网络管理已经投入使用。本次建成的无线网络很好地融合进现有企业网络管理系统中,对无线网内用户和无线接入点/网桥进行统一管理。安全性:原有网络系统已经具备多种安全防御能力,建成的无线网络很好地融合进原有网络安全解决方案体系中,并根据无线网络的安全技术特征,补充了具有多层次的安全保护措施,以满足用户身份鉴别
18、、访问控制、可稽核性和保密性等要求。可扩充性:在企业网络规模不断发展的情况下,无线网络可在不改变主体架构与大部分设备的前提下,平滑实现升级和扩充,减少硬件投资,并保证扩展后系统的可用性与稳定性。与认证计费系统的融合:校园原有的认证计费系统架构已经实现稳定运行。在新建成的无线网络中,作为网络接入层的有效补充,能够完全融合进原有认证计费体系,支持今后全网对所有用户的上网控制、认证与计费的持续运营。多种服务的支持:基于企业级网络的未来可持续发展,采用的无线产品均具备可适应未来发展企业级无线宽带应用(如无线语音应用、无线视频会议应用、无线多媒体通信应用等)的需要,并提供低成本的无缝升级和前后兼容。企业
19、采用锐捷网络提供的高速率、广覆盖、易管理的安全可信企业无线网络解决方案,进行了全公司的无线网络部署。建成后的企业网将成为华北地区唯一实现全网无线覆盖的企业级网络,企业信息化水平将得到进一步的提升。2.2 网络及系统建设内容及要求骨干核心层网络设计企业生产办公网络的核心网主要完成整个企业集团内部不同地域企业之间的高速数据路由转发,以及维护全网路由的计算。鉴于集团企业的用户数量众多,业务复杂,数据转发时难免遇到拥塞、阻塞等情况,所以需要用到QOS技术。在骨干核心层中,我们采用核心路由交换机组成一个环形多机热备份的核心交换机系统解决方案。为提高核心网络的健壮性,防止单台设备失效造成的网络中断,实现链
20、路的安全保障,本方案骨干核心层环网中可以采用HSRP(热备份路由协议)技术。对于各个业务VLAN可以指向这个虚拟的IP地址作为网关,因此应用HSRP技术为核心交换机提供了一个可靠的网关地址,以实现在核心层核心交换机之间进行设备的冗余,一主两备,共用一个虚拟的IP地址和MAC地址,通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网络高效处理集中数据提供了可靠的保障。另外,我们还采用CHANNEL(链路捆绑技术)技术,提高链路的高效利用,可以把两条物理链路捆绑成一条虚拟的链路,可以避免环路。链路捆绑技术是把多条链路捆绑起来,为了提高带宽,出入流量可以在多个成员接口之间分
21、担,也可以加大链路的利用率。而且链路捆绑技术用来做冗余,将两条物理链路捆绑成一条,可以使同时使用的带宽变为两倍,数据在两条链路上同时发送数据。当某个成员接口出现故障时,流量会自动切换到其他可用的成员接口上,并且进行无缝切换,不会影响到数据的传输,从而提高整个捆绑链路的连接可靠性。假如贵公司正在传输一份合同,却因为网络中断而失去了这一次机会,继而损失的不只是财富,名誉也会有所影响。所以这个技术会帮助贵公司进一步完善网络。核心层网络设计企业生产办公网络的核心层网络主要完成园区内各个汇集层设备之间的数据交换和与骨干核心层网络之间的路由转发。本层采用CISCO WS-C3560G-24TS-S 核心路
22、由交换机作为企业生产办公网络的园区核心路由交换设备,CISCO WS-C3560G-24TS-S 具有强大的业务和路由交换的处理能力,能提供 VPN 、Qos、策略路由、NAT、PPPOE/WEB/802.1X/L2TP 认证等丰富业务能力,并可通过内置防火墙模块实现各种强大的网络安全策略,可以充分满足企业不同园区网络的高速数据交换和支持多业务功能的要求,并能够提供完善的安全防御策略,保障企业园区网络的稳定运行。CISCO WS-C3560G-24TS-S CISCO WS-C3560G-24TS-S汇聚层网络设计汇聚层网络主要完成企业各园区内办公楼和相关单位的内接入交换机的汇聚及数据交换和V
23、LAN终结,在本方案中采用CISCO WS-C3560G-24TS-S 交换机多层交换机作为汇聚层的交换机。CISCO WS-C3560G-24TS-S 交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处理的需要,并能够灵活的部署在网络边缘的各个位置。能够同时提供多个高速专用堆叠端口和百兆光口/电口。这些交换机都具备较强的多业务提供的能力。为用户提供丰富、高性能价比的组网选择接入层网络设计以往传统企业网络接入层的建设中并不关注于安全控制和QOS提供的能力,而将网络的安全防御措施和QOS保障依赖于网络的汇聚层或骨干层设备,这给汇聚层和骨干层设备带来了巨大的压力,往往内网病毒泛滥成灾后
24、导致骨干层设备瘫痪,使网络没有QOS服务质量的保障。Cisco WS-C2918-48TC-C(思科二层交换机)是满足高安全、多业务承载、高性能网络环境的换机,具备传统二层交换机大容量、高性能等优点,同时还具有领先的安全特性,进一步加强了企业网络对边缘接入层的安全控制能力。用户可以根据需要来订制自身的安全策略并部署在此交换机上。该产品具备的端口带宽限制、端口镜像、QOS、端口安全、广播风暴抵制等功能可以很好的协助用户实现网络的管理和维护。除此之外,此交换机还具备多个专用堆叠接口,可以满足楼层,楼宇内多个交换机高性能汇聚的需要。冗余/负载均衡设计冗余和负载均衡的设计是网络设计的重要部分,是保证网
25、络整体可靠性能的重要手段。但是投资也将增加。部分企业网在早期的建设中由于成本的原因并未在设计中考虑到冗余的问题,而在优化工作中则需从网络链路和网络设备两方面着手。冗余和负载均衡设计可以贯穿整个层次化结构。我们采用了PVST(每vlan生成树协议)技术,它为每个在网络中配置的VLAN维护一个生成树实例,减少了生成树拓扑的总范围,增强了可扩张性并减少了收敛时间,提供快速回复和更好的可靠性。并且防止了环路,实现了负载均衡,数据的备份和冗余。万一网络中某条路径失效时,冗余链路可以提供另一条路径,使网络能够及时的正常运行,高效合理的利用好网络当中的每条可用链路。服务器冗余设计企业网中服务器、大型机,如网
26、络存储服务器,SQL Server服务器,其存储的数据对于企业来说至关重要,一些核心数据被视为企业的生命。一方面它对企业的重要性毋庸置疑,另一方面,由于这些数据的性质决定了其较大的被访问量,这个对服务器提出了稳定和快速的要求。为此,我们采用的是轮询的方法,轮询是基站为终端分配带宽的一种处理流程,这种分配可以是针对单个终端或是一组终端的。轮询是基于终端的,带宽的请求总是基于CID,而分配则是基于终端。为一组终端和连接分配带宽实际上是定义带宽请求竞争机制,这种分配不是使用一个单独的消息,而是上行链路映射消息中包含的一系列分配机制,这样使得每个服务器都能够更好、更快的工作,提高了工作效率,更充分的利
27、用了每个服务器。本网络中应具备有多台服务器设备,包括DB SERVER 数据库服务器,WEB 等应用服务器,NEWS,MALL等通讯服务器以及多媒体服务器等。2.3 网络设计原则1.综合性、整体性原则应运用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业技术措施即访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等。一个较好的安全措施往往是多种方法适当综合的应用结果。2.一致性原则一致性原则主要是指网络安全问题应与整个网络的工作周期同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计及实施计划、网络验证、验收、运行
28、等,都要有安全的内容及措施。实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也少得多。3.适应性及灵活性原则安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改和升级。4.合理利用资金,性价比高,要考虑到设备价格等问题第三章 网络总体设计3.1 网络总体拓扑图考虑到总公司的实际需求,建议采用两台Cisco Catalyst3560 做双机热备,用Cisco 专有热备份路由协议技术(HSRP),根据需求配置成多组HSRP;同时双机还可以做负载均衡。这样设计不但保证网络的高可用性和稳定性,还能够充分利用现有设备的资源,以避免单台核心设备
29、的负载太重而导致的网络性能问题。如上图所示,整体网络可以根据功能划分为总部核心网络、内联接入包括办公网络、数据中心、分公司接入等,各区域相对独立,通过核心网络进行数据的交互。各区域可以各自建立交换网络、路由接入、网络安全体系,可以有独立的安全策略、数据流量控制等个体的特性,而需要和其他区域的设备进行通讯的时候,则必须遵守核心网络区的策略。Cisco Catalyst35603.2 网络层次化设计随着网络技术的迅速发展和网上应用量的增长,分布式的网络服务和交换已经移至用户级,由此形成了一个新的、更适应现代的高速大型网络的分层设计模型。这种分级方法被称为“多层设计”。多层设计有以下一些好处:多层设
30、计是模块化的,网络容量可随着日后网络节点的增加而不断增大。多层网络有很大的确定性,因此在运行和扩展过程中进行故障查找和排除非常简单。多层网络系统设计最有效地利用多种第3 层业务,包括分段负载分担和故障恢复等。在分层网络中运用智能第3 层业务可以大大减少因配置不当或故障设备引起的一般问题。多层模式使网络的移植更为简单易行,因为它保留了基于路由器和交换机的网络原有的寻址方案,对以往的网络有很好的兼容性。另外分层结构也能够对网络的故障进行很好的隔离。针对实际情况我们可以采用三层结构模型。 三层结构模型划分为三个层次,即核心层、分布层、接入层。每个层次完成不同的功能。核心层核心层作为整个网络系统的核心
31、,其主要功能是高速、可靠的进行数据交换。分布层分布层主要进行接入层的数据流量汇聚,并对数据流量进行访问控制。包括访问控制列表、VLAN 路由等等。接入层接入层主要提供最终用户接入网络的途径。主要是进行VLAN的划分、与分布层的连接等等。3.3 核心层设计核心交换区的作用是尽快地提供所有的区域间的数据交换。我们推荐使用两台Cisco Catalyst 3560交换机完成此项功能。两台3560交换机高性能、可靠性、可用性是我们主要考虑的因素。本区的安全性可以由边界防火墙提供,如有需要在3560 上面可以部署安全策略,使得核心交换区的安全性进一步地增强。Cisco Catalyst 3560 系列凭
32、借众多智能服务将控制扩展到网络边缘,其中包括先进的服务质量 (QOS)、可预测性能、高级安全性和全面的管理。它提供带集成永续性的出色控制,将永续性集成到硬件和软件中,缩短了网络停运时间。Cisco Catalyst 3560 系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支,提高了投资回报(ROI),从而在延长部署寿命的同时降低了拥有成本。3.4 接入层设计接入层交换机采用思科的WS-C2960 以千兆以太链路和汇聚交换机相连接,并为用户终端提供10/100M 自适应的接入,从而形成千兆为骨干,百兆到桌面的以太网三层结构。办公系统所需的各种服务器如办公自动化服务器、邮件服务器、DHCP
33、 服务器等组成服务器群,数据中心的多种金融系统应用服务器, 连接到汇聚交换机的千兆模块上面,因此,内部的局域网是采用三层结构组建。WS-C29603.5 内联接入内联接入的作用是用于连接上海期货机房和北京办公网络。我们推荐使用两台Cisco 2800系列路由器通过SDH/DDN线路完成此项功能。由于总部网络和分部机房属于公司的内部网络的一部分,因此可信度很高;接入时主要作用是生产运营系统的数据交换,查询等等和管理以及监控。总结以上的原因,内联路由器与核心交换网络间不需要配置额外的防火墙。第四章 路由设计4.1 路由协议选择开放式最短路径优先(Open Shortest Path First,O
34、SPF)协议是一种为IP网络开发的内部网关路由选择协议,由IETF开 发并推荐使用。OSPF定义了5种分组:Hello分组用于建立和维护连接;数据库描述分组初始化路由器的网络拓扑数据库;当发现数据库中的某部分信息已经过时后,路由器发送链路状态请求分组,请求邻站提供更新信息;路由器使用链路状态更新分组来主动扩散自己的链路状态数据库或对链路状态请求分组进行响应;由于OSPF直接运行在IP层,协议本身要提供确认机制,链路状态应答分组是对链路状态更新分组进行确认。OSPF协议由三个子协议组成:Hello协议、交换协议和扩散协议。其中Hello协议负责检查链路是否可用,并完成指定路由器及备份指定路由器;
35、交换协议完成“主”、“从”路由器的指定并交换各自的路由数据库信息;扩散协议完成各路由器中路由数据库的同步维护。4.1.1 OSPF协议主要优点:1. 为了克服距离矢量路由选择协议的缺点,开发了链路状态选择协议。2. 链路状态路由选择协议仅在网络拓扑发生变化时才生成路由选择更新。3. 链路状态路由选择协议具体如下特征: 快速响应网络变化 . 在网络变化时发送触发更新 . 以较低的频率发送定期更新,被称为链路状态刷新(LSU).4.1.2 SPF算法最短路径优先(SPF)路由算法,又称Dijkstra算法,所有的OSPF路由器并执行SPF算法,根据路由器的拓扑数据库构造出来以他自己为根结点的最短路
36、径树。这个最短路径树就生成了路由表。4.1.3 OSPF规定有层次的网路结构,OSPF将网络分为若干区域:1. 传输区域(骨干区域):主要的功能为快速高效的传输IP分组的OSPF区域,中转区域将其他类型的OSPF区域连接起来。2. 常规区域(非骨干区域):主要功能是为了连接用户和资源的OSPF区域3. 骨干区域的区域号必须为0。所以的常规区域必须与骨干区域相连。层次化区域的优点:便于 管理。 最小化路由表 将拓扑变更影响限制在区域内 将LSA变更泛洪限制在范围内 4.1.4 OSPF路由器在完全邻接之前,所经过的几个状态:Down:此状态还没有与其他路由器交换信息。首先从其ospf接口向外发送
37、hello分组,还并不知道DR(若为广播网络)和任何其他路由器。发送hello分组使用组播地址224.0.0.5。Attempt: 只适于NBMA网络,在NBMA网络中邻居是手动指定的,在该状态下,路由器将使用HelloInterval取代PollInterval来发送Hello包。Init: 表明在DeadInterval里收到了Hello包,但是2-Way通信仍然没有建立起来。two-way: 双向会话建立,而RID彼此出现在对方的邻居列表中。(若为广播网络:例如:以太网。在这个时候应该选举DR,BDR)。ExStart: 信息交换初始状态,在这个状态下,本地路由器和邻居将建立Master
38、/Slave关系,并确定DD Sequence Number,路由器ID大的的成为Master.Exchange: 信息交换状态,本地路由器和邻居交换一个或多个DBD分组(也叫DDP) 。DBD包含有关LSDB中LSA条目的摘要信息)。Loading: 信息加载状态:收到DBD后,将收到的信息同LSDB中的信息进行比较。如果DBD中有更新的链路状态条目,则向对方发送一个LSR,用于请求新的LSA 。Full: 完全邻接状态,邻接间的链路状态数据库同步完成,通过邻居链路状态请求列表为空且邻居状态为Loading判断。另外OSPF还有自己的自制系统即AS 自治系统(autonomous syste
39、m):一组相互管理下的网络,它们共享同一个路由选择方法,自治系统由地区再划分并必须由IANA分配一个单独的16位数字。地区通常连接到其他地区,使用路由器创建一个自治系统。为了保持骨干区域与普通区域的连通性,需要虚链路。4.1.5 虚链路(Virtual Link)以下两种情况需要使用到虚链路: 1. 通过一个非骨干区域连接到一个骨干区域。2. 通过一个非骨干区域连接一个分段的骨干区域两边的部分区域。虚链接是一个逻辑的隧道(Tunnel),配置虚链接的一些规则:1. 虚链接必须配置在2个ABR之间。2. 虚链接所经过的区域叫Transit Area,它必须拥有完整的路由信息。3. Transit
40、 Area不能是Stub Area。4. 尽可能的避免使用虚链接,它增加了网络的复杂程度和加大了排错的难度。4.2 路由规划拓扑图4.3 IP地址规划标识网络中的一个节点。IP 地址空间的分配,要与网络层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,提高路由算法的效率,加快路由变化的收敛速度。我们根据以下几个原则来分配IP 地址:唯一性:一个IP 网络中不能有两个主机采用相同的IP 地址简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的款项连续性:连续地址在层次结构网络中易于进行路由总结(RouteSummarization)
41、,大大缩减路由表,提高路由算法的效率可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址总结所需的连续性灵活性:地址分配应具有灵活性,可借助可变长子网掩码技术(VLSM Variable-Length Subnet Mask),以满足多种路由策略的优化,充分利用地址空间。部门网段子网掩码网关地址广播地址VLAN总部市场部10.1.1.0255.255.255.010.1.1.110.1.1.2552财务部10.1.2.0255.255.255.010.1.2.110.1.2.2553营销部10.1.3.0255.255.255.010.1.3.110.1.3.2554人事部1
42、0.1.4.0255.255.255.010.1.4.110.1.4.2555科研部10.1.5.0255.255.255.010.1.5.110.1.5.2556行政部10.1.6.0255.255.255.010.1.6.110.1.6.2557部门网段子网掩码子网网段网关地址广播地址保留地址VLAN分部市场部10.10.0.0255.255.255.22410.10.0.0/2710.10.0.110.10.0.316个2财务部10.10.0.0255.255.255.24810.10.0.96/2910.10.0.9710.10.0.1031个3营销部10.10.0.0255.255.
43、255.22410.10.0.32/2710.10.0.3310.10.0.6310个4人事部10.10.0.0255.255.255.24010.10.0.64/2810.10.0.6510.10.0.794个5科研部10.10.0.0255.255.255.24010.10.0.80/2810.10.0.8110.10.0.954个6行政部10.10.0.0255.255.255.24810.10.0.104/2910.10.0.10510.10.0.1111个7第五章 网络安全解决方案5.1 网络边界安全威胁分析与非安全网络的互联面临的安全问题与网络内部的安全是不同的,主要的原因是攻击人
44、是不可控的,攻击是不可溯源的,也没有办法去“封杀”,一般来说网络边界上的安全问题主要有下面几个方面:1、 信息泄密:网络上的资源是可以共享的,但没有授权的人得到了他不该得到的资源,信息就泄露了。一般信息泄密有两种方式: 攻击者(非授权人员)进入了网络,获取了信息,这是从网络内部的泄密 合法使用者在进行正常业务往来时,信息被外人获得,这是从网络外部的泄密2、 入侵者的攻击:互联网是世界级的大众网络,网络上有各种势力与团体。入侵就是有人通过互联网进入你的网络(或其他渠道),篡改数据,或实施破坏行为,造成你网络业务的瘫痪,这种攻击是主动的、有目的、甚至是有组织的行为。3、 网络病毒:与非安全网络的业
45、务互联,难免在通讯中带来病毒,一旦在你的网络中发作,业务将受到巨大冲击,病毒的传播与发作一般有不确定的随机特性。这是“无对手”、“无意识”的攻击行为。4、 木马入侵:木马的发展是一种新型的攻击行为,他在传播时象病毒一样自由扩散,没有主动的迹象,但进入你的网络后,便主动与他的“主子”联络,从而让主子来控制你的机器,既可以盗用你的网络信息,也可以利用你的系统资源为他工作,比较典型的就是“僵尸网络”。来自网络外部的安全问题,重点是防护与监控。来自网络内部的安全,人员是可控的,可以通过认证、授权、审计的方式追踪用户的行为轨迹,也就是我们说的行为审计与合轨性审计。由于有这些安全隐患的存在,在网络边界上,最容易受到的攻击方式有下面几种:1、 黑客入侵:入侵的过程是隐秘的,造成的后果是窃取数据与系统破坏。木马的入侵也属于黑客的一种,只是入侵的方式采用的病毒传播,达到的效果与黑客一样。2、 病毒入侵:病毒就是网络的蛀虫与垃圾,大量的自我繁殖,侵占系统与网络资源,导致系统性能下降。病毒对网关没有影响,就象“走私”团伙,一旦进入网络内部,便成为可怕的“瘟疫”,病毒的入侵方式就