换机该阻断哪个接口。
2.1.5 NAT
NAT(Network Address Translation,网络地址转换)是将IP 数据报报头中的IP 地址转换为另一个IP 地址的过程。在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,将有助于减缓可用IP 地址空间的枯竭。
2.1.6 ACL
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制,ACL具有以下功能:
① ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协
议,指定数据包的优先级。
② ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。
③ ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。
2.1.7隧道技术
隧道技术(Tunneling)是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息,以便通过互联网传递被封装的负载数据。这里所说的隧道类似于点到点的连接。这种方式能够使来自许多信息源的网络业务在同一个基础设施中通过不同的隧道进行传输。隧道技术使用点对点通信协议代替了交换连接,通过路由网络来连接数据地址。
- 7 -
2.1.8端口安全
从基本原理上讲,Port Security特性记住的是连接到交换机端口的以太网MAC地址即网卡号,并只答应某个MAC地址通过本端口通信。假如任何其它MAC地址试图通过此端口通信,端口安全特性会阻止它。使用端口安全特性可以防止某些设备访问网络,并增强安全性。
2.1.9 OSPF
OSPF作为一种内部网关协议(Interior Gateway Protocol,IGP),用于在同一个自治系统(AS)中的路由器之间交换路由信息。OSPF的特性如下:
① 可适应大规模网络; ② 收敛速度快; ③ 无路由环路; ④ 支持VLSM和CIDR; ⑤ 支持等价路由;
⑥ 支持区域划分,构成结构化的网络; ⑦ 提供路由分级管理; ⑧ 支持简单口令和MD5认证; ⑨ 以组播方式传送协议报文; ⑩ OSPF路由协议的管理距离是110; ? OSPF路由协议采用cost作为度量标准; ? OSPF维护邻居表、拓扑表和路由表。
另外,OSPF将网络划分为4种类型:广播多路访问型(BMA)、非广播多路访问型(NBMA)、点到点型(Point-to-Point)和点到多点型(Point-to-MultiPoint)。不同的二层链路的类型需要OSPF不同的网络类型来适应。下面的几个术语是学习OSPF要掌握的。
① 链路:链路就是路由器用来连接网络的接口;
② 链路状态:用来描述路由器接口及其与邻居路由器的关系,所有链路状态信息构成链路状态数据库;
③ 区域:有相同区域标志的一组路由器和网络的集合,在同一个区域内的路由器有相同的链路状态数据库;
- 8 -
④ 自治系统:采用同一种路由协议交换路由信息的路由器及其网络构成一个自治系统;
⑤ 链路状态通告(LSA):LSA用来描述路由器的本地状态,LSA包括信息有路由器接口的状态和所形成的邻接状态;
最短路径优先(SPF)算法;是OSPF路由协议的基础,SPF算法有时也被称为Dijkstra算法,这是因为最短路径优先算法(SPF)是Dijkstra发明的,OSPF路由器利用SPF,独立地计算出到达任意目的地的最佳路由。
2.1.10 VPN
虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式)、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
VPN的特点:(1)安全保障;(2)服务质量保证(QoS);(3)可扩充性和灵活性;(4)可管理性。
2.2系统设计
通过以上详细的系统分析,设计出适应于整个网络的最佳拓扑结构,并在虚拟软件Packet Tracer进行了模拟练习,以及各个校区IP地址的分配和VLAN的划分。
2.2.1网络拓扑结构设计
9512核心交换机在整个校园网中站了主导地位,所以必须保证其安全性和可靠性,故使用两台设备来进行设备冗余的设计,保证其安全可用并可减轻负载。主干线路使用千兆线缆到各楼宇,校区使用万兆以太网连接,通过使用VPN技术是校区和三个宿舍区互联。在交换机上使用RSTP协议,并在服务器上启用DHCP服务。为了提高带宽,又增加了CNC带宽到1000Mbps,实现负载均衡,在所有三层交换机上运行OSPF。总体网络拓扑如图2.1所示,校内网络拓扑如图2.2
- 9 -
所示,十里铺网络拓扑如图2.3所示,三里屯网络拓扑如图2.4所示:
图2.1 总体网络拓扑图
图2.2 校内网络拓扑图
- 10 -
