《毕业论文改12.doc》由会员分享,可在线阅读,更多相关《毕业论文改12.doc(39页珍藏版)》请在三一文库上搜索。
1、美术学院网络规划与设计系 别:计算机与电子系专 业 班:计算机科学与技术0804班姓 名:罗冰清学 号:20081183066指导教师:吴奕 2012年5月美术学院网络规划与设计Network Planning and Design ofthe Arts Academy 摘 要随着计算机网络技术和网络建设的迅速发展,网络技术的应用日益广泛,各行各业对网络的以来也与日俱增。从某种意义上讲,计算机网络的发展水平不仅反映了一个国家的九三级科学和通信技术泙,而且已经成为衡量其锅里及现代化程度的重要标志之一。社会对网络技术人才的需求已经从具备单一专业技术应用能力,转变成为能够按照网络的实际需求解决问题的
2、、具有较高综合素质的应用型人才;通常,网络建成后,网络的使用、运行和维护需要大量能够继续拧网络设备安全配置管理和对网络设备进行访问控制设置的技术人才。网络规划与设计将分析关于局域网,广域网,交换技术,网络互联,TCP/IP,网络安全,设备选型等一系列问题,并提出符合目标客户要求的解决方案,且能够对设备重新规划和配置。不仅能够有效的建立学院互联网的网络平台系统,也能建立互联网的硬件、软件系统,数据库系统,设备管理和保护系统,信息共享和资源限制系统,并能够对后续的发展和更新做出最大化的减少资源的输出和损耗。 本论文将通过需求分析,逻辑网络设计,物理网络设计,网络测试和优化这四个方面来进行网络的规划
3、和编写,其特点是细化用户需求的各个方面,渗入学科管理,信息共享,办公自动化等多个方面。关键字:校园网 局域网 广域网 交换技术 网络互联 TCP/IP AbstractAlong with the computer network technology and the rapid development of the network construction and network techniques are applied widely, all walks of life to the network was growing since. In a sense, the developm
4、ent of computer network level not only reflect a nations nine level 3 science and communications technology Peng, and has become the pot and measure modernization degree one of the important marks. Social network technology talented persons demand from a single professional technology have already a
5、pplied ability, able to follow the change to become the actual demand of the network to solve problems and the higher the comprehensive quality of the applied talents; Usually, after the completion of the network, the network of the use, operation and maintenance needs a large number of can continue
6、 to twist network equipment safety configuration management and network equipment on access control to set the technical personnel. The network planning and design will analysis about LAN, wan, exchange technology, network interconnection, TCP/IP, network security, equipment selection and so on a se
7、ries of problems, and put forward the meet the requirements of the target customer solutions, and can be to planning and allocation of equipment. Not only can effectively, the establishment of the institute of Internet network platform system, can also set up the Internet system hardware, software,
8、database system, equipment management and protection system, information sharing and resource constraints system, and to the development of a follow-up and update to minimize the resources of the output and loss. This paper will be through the needs analysis, logic network design, physical network d
9、esign, network testing and optimizing the four aspects to network planning and writing, its characteristic is thinning the needs of the user each aspect, infiltration discipline management, information sharing, office automation, etc. Key word: campus network LAN wan exchange technology TCP/IP netwo
10、rk connections目 录摘要IAbstractII绪论11 用户需求分析21.1 商业目标及约束分析21.2 技术目标分析与折中21.2.1 可扩展性21.2.2 可用性21.2.3 网络性能21.2.4 安全31.2.5 可管理性41.3 现有互联网的特征41.3.1 绘制网络结构图41.4 检查现有网络的状况51.5 描述现有网络特征的工具51.6 网络健康检查表52 逻辑网络设计72.1 网络拓扑设计72.1.1 层次化网络设计72.1.2 冗余网络拓扑设计82.1.3 模块化网络设计82.1.4 园区网络拓扑设计82.2 地址和命名模型设计112.2.1 网络层地址分配原则1
11、12.2.2 域名系统132.3 交换和路由协议的选择132.3.1 桥接和交换协议的选择132.3.2 路由协议的选择142.3.3 IP路由152.3.4 在互联网中使用多种路由协议152.3.5 路由协议总结162.4 网络安全策略设计182.4.1 安全机制182.4.2 园区网安全设计192.5 网络管理策略设计202.5.1 管理过程202.5.2 网络管理体系结构212.5.3 网络管理的协议选择212.5.4 网络管理工具的选择223 物理网络设计233.1 网络技术和设备选择233.1.1 局域网布线233.1.2 局域网技术263.1.3 园区网络设计的设备选择284 测试
12、与优化304.1 网络设计测试304.1.1 构造和测试原型网络系统304.1.2 网络测试的工具304.2 网络设计优化314.2.1 使用多播技术优化贷款的使用314.2.2 减少串行延迟314.2.3 优化网络性能31结论32致谢33参考文献3333绪 论 随着计算机技术的迅猛发展,特别是随着网络技术的出现标志着信息时代已经来临。信息化浪潮、网络革命不断冲击着社会的发展,人们逐渐意识到信息的重要意义,许多企业和个人纷纷建立了自己的网站。在这种背景下,传统的生活和工作模式正在受到重大的挑战,人们已开始利用网络和计算机学习和工作。在知识经济时代,人的智能和知识将作为社会的主要资本不断代替机器
13、和厂房。这个新时代将充满残酷的竞争和替代,年轻一代的未来将依赖于他们一生中掌握新概念、作出新选择、不断学习、不断适应的能力。校园网络的建设和发展是推动素质教育的需要互联网已经成为学校培养学生道德品质,创新能力等方面的新环境,成为培养高素质人才的崭新的平台,是学校推进素质教育的需要。校园网络的建设和发展是学校教育改革的战略制高点创造丰富多彩的校园网络文化对于转变陈旧的教育思想和观念,促进教学内容,教学方法,教学结构和教学模式的改革,对于深化基础教育的改革,提高教育质量,培养高素质的创新人才具有深远意义。校园网络的建设和发展是学校教育现代化的重点标志运用现代教育技术建设和发展校园网,营造清新的校园
14、网络文化氛围,就是从根本上落实教育的战略地位,解放师生的生产力,推动和发展教师及学生的创造力的一总创新优势的重要标志。2 1 用户需求分析 1.1 商业目标及约束分析结构化的网络设计过程:(1) 系统是按自顶向下的顺序进行设计的。(2) 在工程设计过程中,可以使用集中式技术和模型描述现有系统、用户的新需求及其在未来系统中的结构。(3) 重点理解数据流、数据类型及数据存取货数据改变过程。(4) 重点理解存取、改变数据的用户群的位置和需求。(5) 逻辑模型的简历要先于物理模型。逻辑模型代表了几本的体系结构模块,它可以划分为功能结构和系统结构。物理模型代表了设备和具体的技术及实现。1.2 技术目标分
15、析与折中1.2.1 可扩展性(1) 在以后的一年里能增加1-2个站点。对于美术学院而言,可能考虑教务网,一年后增加内部信息网,校园文化网,艺术作品展网等(2) 每一个新站点的网络范围将扩展至学院的新建地段。在最初的设计过程中,网络的覆盖范围具有局限性,在未来将扩展至学校的各个角落,同时也紧跟校园建设,保证网络的同步覆盖率。(3) 在未来的一年中有超过万数的新用户访问互联网。(4) 未来的一年将会在互联网中增加5-6台服务器。1.2.2 可用性美术学院的网络用户每天利用网络的时间限制在8-10小时,特殊机构,如机房,办公室,广播室,配电室等网络全开放式以应对随时可能需要的网络需求。1.2.3 网
16、络性能(1) 连接校内所有教学楼,绘画室,展览室,实验室,手工室,办公楼中的PC和电子设备(2) 同时支持约2000人同时浏览,使用网络资源。 (3) 提供丰富的网络服务,实现广泛的软件、硬件资源共享。包括:提供基本的Internet网络服务功能:如电子邮件、文件传输、远程登录、新闻组讨论、电子公告牌、域名服务等 提供校内各个管理机构的办公自动化: 提供财务查询、报账服务;提供受存取控制权的文件、档案查询服务;提供贵重仪器,设备的信息管理服务;提供各学科专业资料数据库服务;提供学校自己的管理信息系统(MIS) 提供图书,文献查询,工艺品,绘画作品检索服务,增强图书馆,展览室信息自动化能力。全校
17、共享软件库服务,避免重复投资,发挥最大效益。提供CAI教学和科研的便利条件。经广域网接口,提供国内外计算机系统的互联,为国际间的信息交流和合作,为学校快速获得最新教学成果及技术合作等创造良好的信息通道。31.2.4 安全 (1) 网络设备可能遭受的威胁经过网络的数据流可能被截取、分析、更改或删除,从而危及数据的完整性和机密性。基于网络设备之间的信任的网络相关服务的安全性受到威胁。破话用户口令安全。改变设备配置(2) 威胁攻击的侦察 Ping扫描:发现活动主机的网络地址。网络和端口扫描:发现目标主机的活动端口。栈指纹识别:确定目标主机运行的目标操作系统和应用。列举:推断出网络拓扑结构。(3) 安
18、全需求保证数据的机密性。只有授权用户才能看到敏感信息。保证数据的完整性。只有授权用户才可修改敏感信息。系统和数据的可用性。可以提供对重要的计算机资源不中断访问为各部门办公司用户、移动用户和远距离工作者授权和验证。鉴别从内部或外部路由器接受的路由表更新。从物理上保护主机和互联网设备。保护应用和数据免受软件病毒的攻击。使用版权或其他合法途径保护知识产权。1.2.5 可管理性(1) 性能管理:分析流量和应用行为以优化网络,满足服务级别协议要求,为扩展作计划。(2) 故障管理:检测、隔离和改正错误,向终端用户和管理人员报告错误,跟踪问题的发展趋势。(3) 配置管理:控制、操作、确定和从被管理设备收集数
19、据。(4) 安全管理:监视和测试安全和保护策略、维护和分发口令及其他鉴别和授权信息、管理加密密钥、审核安全策略的连贯性。(5) 计费管理:网络使用的计费是为网络用户分配费用或为容量需求的改变而设计。41.3 现有互联网的特征1.3.1 绘制网络结构图(1) 网络结构图绘制工具Cisco Works、HP OpenView、Whatsup Gold、微软Viso(2) 数据链路层广域网WAN和局域网LAN数据链路层技术;广域网服务提供商的名字;广域网电路表示ID;局域网交换机位置和高级配置信息;虚拟专用网的位置和范围;局域网交换机之前中继线的位置和高级配置。(3) 布线和介质特征单模光纤、多磨光
20、纤、屏蔽双绞线(STP)、非屏蔽双绞线、同轴电缆、微薄、激光、无线电、红外线。大多数建筑物内,从无线电通信配线室到工作站之间的距离大约为100M,包括工作区沛县,通常只有几米。如果有任何迹象显示线缆距离大于100M,那就应该使用时域反射器(TDR)来加以验证。51.4 检查现有网络的状况(1) 建立网络性能基线。(2) 分析网络可用性。(3) 分析网络利用率。(4) 通过协议测量带宽利用率。(5) 分析网络精确度。(6) 网络效率分析。(7) 延迟和时间影响分析。(8) 检查主要路由器、交换机和防火墙的状态。1.5 描述现有网络特征的工具(1) 协议分析仪;Network Associates
21、、tcpdump、Sniffer Network Analyzer。(2) 网络监视和管理工具;Multi Router Traffic Grapher、Cricket。(3) 远程监测工具;RMON MIB。(4) 现有互联网信息的组织:IPPM、CAIDA、NLANR。61.6 网络健康检查表(1) 为网络拓扑和物理基础结构编制了最佳的文档。(2) 网络地址和名字以结构化的方式分配,并编制了最佳的文档。(3) 网络沛县是以结构化的方式安装的,并打上了合适的标签。(4) 网络沛县已经过测试和鉴定。(5) 无线电通信见和中端站点之间的网络配线不超过100m。(6) 网络的可用性达到了现有客户的
22、目标。(7) 网络安全性达到了现有客户的目标。(8) 没有局域网或广域网网段饱和。(9) 在以太网双工网段,帧碰撞低于0.1%。没有迟碰撞。(10) 全双工以太链路上不存在碰撞。(11) 每个网段上广播通信量少于全部通信量的20%。(12) 无论哪里,只要有可能,帧尺寸都应该尽可能优化为最大,以便用于数据链路层。(13) 路由器没有过度使用。(14) 路由器平均丢失分组不超过1%。(15) 最新的路由器、交换机和其他设备的配置信息已经收集存档,并作为设计研究分析的一部分。(16) 客户端和服务器端之间的响应时间通常少于100MS。72 逻辑网络设计 2.1 网络拓扑设计2.1.1 层次化网络设
23、计层次化的拓扑结构如图所示: 图2-1 园区层次化拓扑结构层次化模型可最大限度的降低费用。可以为层次结构中的每一层购买合适的网络设备,从而避免在某一层不必要的特征上浪费开支。此外由于层次化设计模型中模块化特征,能准确地算出每层的容量,从而减少了带宽的浪费。网络管理的责任和网络管理系统可以分步到模块化体系结构的不同层以控制管理费用。8层次化、模块化网络设计原则的基础上满足以下条件:(1) 设计者已经知道如何增加一座新大楼、一个新的楼层、WAN链接、远程站点、电子商务等;(2) 新增设备只是引起本地与其直接连接的设备的变化;(3) 网络规模加倍或者增加到三倍时,主要的设计无须改变;(4) 复杂协议
24、的相互作用不再成为障碍,检修变的更容易。层次化网络设计的原则;首先应该控制层次化网络拓扑的直径范围,可提供低的和可预测的延迟,也有助于预测路由路径、通信流量和容量需求,也可使排错和网络文档编制更加容易。应严格控制放未曾的网络拓扑。除了避免增加链路之类的错误外,还应该避开后门错误。最后层次化网络设计的另一指南应该首先设计访问层,然后是分布层最后才是核心层。92.1.2 冗余网络拓扑设计冗余的网络设计可以通过复制网络元素满足网络可用性要求。冗余设计可消除网络上的单点故障,其目标是复制任何需要的组件,否则组件失效会导致关键应用的失败。(1) 备用路径当一个或多个连接失效,主路径出现问题时,为了保持互
25、联性冗余的网络设计必须包括一条备用路径。备用路径由路由器和交换机,以及路由器和交换机之间的备用链路组成。(2) 负载分配冗余的首要目标是满足可用性要求,其次是通过并行链路支持负载共享来提高性能。102.1.3 模块化网络设计大型网络设计工程和大型网络一般包括不同的区域和模块。每个区域都应该采用系统化的,自顶向下的方法,使用合适的层次化和冗余来进行设计。2.1.4 园区网络拓扑设计(1) 生成树协议交换机遵循以下4步来使拓扑生成树收敛:交换机选择唯一一台交换机作为生成树的根桥。交换机在每台交换机上选择一个端口以提供到达根桥的最短路径。对每个局域网段,交换机选择一个指定网桥和指定端口。指定端口是局
26、域网段内到根桥最短路径的端口。指定端口转发从局域网网段到根桥的帧。所有根桥上的端口都是指定端口。最后,交换机决定哪些交换端口将被包含在生成树拓扑结构中。(2) 虚拟局域网虚拟局域网是对标准局域网的仿真。它允许在没有传统物理上的网络约束的情况下传输数据。VLAN是属于管理组的一组局域网设备,其组员基于配置参数和管理策略而不是物理位置。VLAN成员之间的通信就像他们在同一线路或集线器上,他们可以处于不同的物理网段上。不同虚拟局域网的成员,即使处在同一个交换机上,他妈恩之间的通信也像他们处在不同的网段上一样,因为VLAN是基于逻辑的而不是物理连接的,所以非常灵活。在基于IP的园区网络中,鉴于地址解析
27、协议的工作方式远古,VLAN通常是它自己的IP子网。当子网中的一个IP主机需要到达同一子网中的另一台主机时,就发送ARP信息以确定它所要到达的主机的媒体访问控制(MAC)地址。11 虚拟局域网设计的基础如图所示:图2-1 链接虚拟局域网LAN A和LAN B的单个交换机图2-2 LAN A和LAN B跨越两个交换机中继链路允许网络设计者将跨越多个交换机的VLAN连在一起。设计中应主要考虑每个VLAN所覆盖的范围,并确定它所跨越交换机的数量。每个VLAN都有一个广播域,广播域应限制在数百个工作站内。(3) 无线局域网用户的移动性对于园区网络来说已经成为很重要的目标。一个或多个无限局域网可以通过在
28、园区的开阔场地和高密度场地提供内联网和因特网访问,来满足这一目标。无限网络技术也用于在使用电缆不划算或不实际的办公室或减租屋的局域网中。定位访问的最大覆盖范围全天向天线通常是4-6英寸的传输但愿,经常附在可旋转或可定位的支座上。从全天向发出的信号在与天线轴垂直的方向上最强,在天线轴同向的方向上最弱。这有助于为最大的覆盖范围定位。无限网络和虚拟局域网可以在同一设施中设置多个访问点,以使用户能够不间断地访问网络资源的同时,自由地漫游于整个扩展区域。确保用户可以漫游的最简易的方法是将所有的用户放在同一IP子网和同一虚拟局域网中。冗余无限访问点在有限和无限园区局域网系统结构中,一般需要冗余措施在保证预
29、期的高可用性。(4) 有线局域网中的冗余和负载平衡下图设计使用了VLAN并支持IEEE 802.1S,冗余链路除了容错之外,还可以提供负载分配。它显示了使用生成树算法和VLAN冗余园区网络设计,如果所示:图2-3 VLAN冗余园区网络设计(5) 服务器冗余在大的园区网络中,DHCP服务器常常放在不同的网段而不是放在使用它的端系统上。如果服务器在路由器的另一边,则可以配置路由器以从端系统转发DHCP广播。路由器转发广播到服务器地址。路由器将接受请求的借口地址插入DHCP请求的giaddr域中。服务器使用giaddr域决定哪一个地址池中选择地址。实现冗余有可用性和性能优势。可以使用文件服务器在服务
30、器之间分配负载。用户可以使用内容分发网络和内容服务设备,直接访问保留相同数据的镜像服务器。2.2 地址和命名模型设计2.2.1 网络层地址分配原则有助于构建网络设计可扩展性和可管理型的建议网络层寻址规则:在分配任何地址之前,设计一个结构化模型;为地址模型的扩展留下空间;用层次化方式分配地址块能提高可扩展性和可用性;根据物理网络而非组中成员的资格分配地址快,以避免移动时出现问题;如果地区和分办公室的网络管理技术水平很高,那就可以委派他们管理区域地址和分办公室网络、子网、服务器和终端系统的地址分配工作;为了最大限度增加灵活性且减少配置,终端系统可使用动态地址;为了最大限度增加安全性和实用性,在IP
31、环境下,可以使用带有网络地址翻译(NAT)的私有专用地址。12(1) 结构化网络层地址模型地址的结构化模型意味着,地址是有意义、层次化且经过规划的。IP地址是结构化的,它由一个前缀和主机部分组成。为网络分配一个IP网络号,然后按网络号划分子网,并把子网进一步划分为更小的子网。对于IP地址来说,这是一个结构化层次化的模型。(2) 在终端系统中使用动态地址动态地址减少了将终端系统连入互联网所需的配置任务。动态地址也支持经常改变工作地点的用户。有了动态地址,工作站就能自动了解目前所在的网段,并相应地调整网络层地址。使用动态地址或者静态地址的参考标准:终端系统的数量,当超过大约30个系统时,通常选区动
32、态地址。重新编号,如果终端系统较多,可能不久就需要重新给系统编号,因此动态地址分配是更好的选择。高可用性,静态分配的IP地址任何时候都是可用的。动态IP地址必须首先从一台服务器获得,如果服务器出了问题,就不能获得地址,为了避免该问题,可以配置冗余DHCP服务器或者使用静态地址。安全,使用动态分配地址是,链接到网络的任何设备大多数情况下都能获得有效的地址。地址跟踪,如果一个管理或安全策略要求跟踪地址,静态地址可能比动态地址更容易实现。额外参数,如果终端系统需要地址意外的信息,动态地址很有用,因为服务器能给客户提供一些和地址一起的附加参数。(2) 0DHCP中转代理。路由器可以充当DHCP中继代理
33、。路由器从客户机向DHCP服务器传递DHCP广播信息,而DHCP服务器和客户机不在同一子网上,这样就避免了在每个带有客户机的子网上都必须放置一台DHCP服务器。(3) IPV6动态地址。和IPV4一样,IPV6也支持静态和动态地址。IOV6也称动态地址自动分配,它可以有状态或无状态的自动分配。(4) 层次化地址分配模型层次化路由。层次化路由意味着网络拓扑和配置局部化。单独的路由不需要了解到达其他的网段的方法。层次化的路由需要网络管理员按层次化的形式分配地址。在数据网络中,当一个分组数据穿越网络时,需要作出类似电话系统的决定。传统IP网络中,路径选择并不与本地电话呼叫例子完全向东。无类路由与分类
34、路由的比较。IP地址包含前缀部分和主机部分。路由器利用前缀确定非本地网络的目的地路径。路由器利用主机号找到本网主机。变长子网掩码。使用无类路由协议意味着每个网络中可有大小不同的子网。可变子网打大小也被称作可变长度的子网掩码或者VLSM。每个WAN链路使用一个单独子网的缺点是,每一个子网为路由表添加了一个表项。某些路由不必为点对点WAN力啊路上每个串行端口编号,这就消除了对小型WAN的点对点子网的需要。但是这种无编号端口的缺点是不能够ping到它们,这是故障排除变得很困难。如果SNMP活着其他网络管理工具可以确定端口故障,那么pingWAN端口的能力就不重要了。在这种情况下,比起小型WAN点对点
35、子网,使用无编号的WAN端口能更好地解决问题。132.2.2 域名系统DNS域名中教育系统常用到的是.edu.2.3 交换和路由协议的选择2.3.1 桥接和交换协议的选择(1) 透明桥接。透明网桥链接一个或者多个局域网网段,以便不同网段上的终端系统可以以透明方式相互通信。当数据帧到达网桥时,网桥通过查看帧中的目的地址,把它和交换表中的表项做比较。如果网桥已经知道目的地工作站在哪儿,它可以直接把帧阮发到正确的端口。透明网桥洪泛发送不知道目的地地址的数据帧,并把所有的多播/广播帧从每个端口发送出去。(2) 透明交换。交换机可以进行存储转发处理,直通处理和碎片隔离。在直通转发处理中,交换机循序查看目
36、的地地址,决定输出端口,并且立即向输出端口发送比特。(3) 选择增强型生成树协议。透明网桥和交换机执行生成树算法,从而可以避免出现拓扑回路。设计时考虑应该选择哪一种增强型STP,以保证园区网络的高可用性。比如IEEE 802.1W,它可以生成树重新快速聚合;一种是IEEE 802.1S,它将一系列基于虚拟局域网的生成树汇聚到不同的实例中,而且每个例子中只用一种快速生成树算法。同时还有快速端口和单向链路检测能够提高STP园区网络的可用性和弹性。如果将交换机的一个端口连接到仅有一个网络接口卡的工作站或服务器上时,就会大大降低连接产生回路的风险。因此端口在进入转发状态之前就不必等待30秒。(4) 传
37、输VLAN信息的协议。当VLAN用于交换式网络时,交换机需要确保VLAN内部流量到达正确的端口。要利用VLAN的优点,交换机需要保证流向特定VLAN的通信量能正确到达那个VLAN而非其他VLAN。142.3.2 路由协议的选择(1) 距离矢量和链路状态路由协议。距离矢量路由协议的种类IP路由信息协议(RIP)IP内部网关路由协议(IGRP)IP增强型IGRP(高级距离矢量协议)IP便捷网关协议(BGP)(路径矢量路由协议)IPX RIP网络分组交换路由信息协议链路状态路由协议的种类开放最短路径有些协议(OSPF)中间协同到中间系统协议(IS-IS)(2) 距离矢量和链路状态协议的选择下列情况选
38、择距离矢量网络使用简单的平面拓扑,且不需要层次化设计。网络使用简单的集中星状拓扑管理员没有足够的经验来运行链路状态协议并实现排错不考虑网络护具的最坏情况选择链路状态路由协议的情况络设计呈层次化,大型网络通常都是如此理员对所选的链路状态协议十分了解网络的快速汇聚至关重要(3) 有类路由和无类路由协议有类路由协议可以通过主要的网络号自动汇聚地址。这就意味着不连续的子网彼此是不可见的,也不支持变长子编码。无类路由则使用IP网络地址传输前缀长度或子网掩码信息。 (4) 动态默认路由与静态默认路由静态路由是手工配置的路由而不依赖于路由协议的更新。经常用来连接只有一个借口与外部相连的网络。静态默认路由减少
39、了资源的耗费,也付出了丢掉详细路由信息的代价。2.3.3 IP路由最常用的IP路由协议是RIP、IGRP、EIGRP、OSPF、IS-IS和BGP.(1) 路由信息协议(RIP)RIP经常用于拨号或给予ISDN的网络,因为它支持快照路由。(2) 开放最短路径优先(OSPF)OSPF是由许多提供商支持的开放标准OSPF汇聚速度快。OSPF为协议交换提供热证,以满足安全要求。OSPF支持不连续的子网和VLSM。OSPF发送多播帧,而非广播帧,这就降低了LAN主机上的CPU使用率OSF网络可以在层次化区域中设计,这样可以减低路由器上的内存和CPU需求。OSPF所需带宽较少。(3) 中间系统-中间系统
40、(IS-IS)在IS-IS中,区域之间的便捷在路由器之间的陆路上。一个路由器仅属于一个区域。有了IS-IS,所有路由器的借口都可以在同一区域,这使得IS-IS在一定程度上更加模块化,也意味着在有些情况下,一个区域可以在不影响多数路由器的情况下升级。(4) 边界网关协议(BGP)BGP的主要目的是允许路由器在到达目的网络的路径上交换信息。2.3.4 在互联网中使用多种路由协议对于互联网的不同部分,选择协议的标准也不尽相同。当讲一个新网络与一个原有网络融合时,也常常需要运行多个路由协议。(1) 路由协议和层次化设计模型涵盖以下三层:核心层路由协议。核心层应该包括冗余链路同等费用路径间的负载分配。在
41、链路失效时,它应该及时作出反应,并尽快适应改变。如OSPF和IS-IS。分布层路由协议。分布层代表了核心层和访问层的连接点。如RIPv2、OSPF、OS-IS。访问层路由协议。访问层为本地和远程用户提供网络资源访问。如RIPv2、OSPF。(2) 路由协议的重新分配解析不兼容度量管理距离路由和桥接的集成2.3.5 路由协议总结 表2-1 路由协议的分类距离矢量或链路状态内部或外部有类或无类可持度量扩展性汇聚时间消耗资源支持安全性路由鉴别易于设计配置和排错RIPv1距离矢量内部有类跳数15跳可能会很长(如果没有负载平衡)内存:低Cpu:低带宽:高否容易RIPv2距离矢量内部有类跳数15跳可能会很
42、长(如果没有负载平衡)内存:低Cpu:低带宽:高是容易IGRP距离矢量内部有类带宽、延迟、可靠性、负载255跳(默认100)快速(使用出发更新和毒性逆转)内存:低Cpu:低带宽:高否容易EIGRP高级距离矢量内部无类带宽、延迟、可靠性、负载有几百个域,每个域有几百个路由器非常快(使用DUAL算法)内存:中等Cpu:低带宽:低是容易OSPF链路状态内部无类费用(100百万被思科路由器的带宽除)1000个路由器快(使用链路状态广告和hello分组)内存:高Cpu:高带宽:低是中等BGP路径矢量外部无类路径的属性值和其他可配置的因素有数百个域,每个月有数百个路由器快内存:高Cpu:高带宽:低是中等I
43、S-IS连入状态内部无类配置的路精致加上延迟,费用和错误1000个路由器快(使用链路广告)内存:高Cpu:高带宽:低是中等RTMP距离矢量内部N/A跳数15跳可能很长时间内存:中等Cpu:中等带宽:高否容易AURP距离矢量内部或外部N/A跳数每一边15跳很快(支持汇聚)内存:低Cpu:中等带宽:低是中等IPX RIP距离矢量内部N/ATicks和跳数15跳很快(使用立即更新)内存:中等Cpu:中等带宽:高否容易NLSP链路状态内部N/A费用(1-63之间的整数)127跳快(使用链路状态分组和层次化路由)内存:高Cpu:高带宽:低是容易2.4 网络安全策略设计(1) 确定网络资产(2) 分析安全
44、风险(3) 分析安全需求和折中(4) 设计安全方案(5) 定义安全策略(6) 设计应用安全策略的步骤(7) 设计技术实施策略(8) 从用户、技术人员处获取(9) 用户和技术人员培训(10) 技术策略和安全步骤实施(11) 发现问题时测试网络的安全性并更新(12) 周期性安排独立审计、阅读审计记录、处理突发事件、阅读最新资料和代理警报、继续测试和培训以及更新安全方案和策略,以维持网络的安全性2.4.1 安全机制(1) 威胁防御:病毒防护、通信量过滤、入侵检测和防御、GAP技术、内容过滤;(2) 通信保护:加密虚拟专用网络(VPN)、安全套接字层(SSL)、文件加密;(3) 信任机制和身份验证:验证、授权和账户(AAA)、网络允许控制(NAC)、公开密钥基础设施(PKI);(4) 网络安全最佳策略:网络管理、评估审计、策略。2.4.2 园区网安全设计 园区网模块图如图所示: 图2-3 园区网模块图园区安全设计详示如下表:表2-2 园区模块设备园区模块关键设备安全设计中需要考