.PAGE.

畢業設計靚點企業網絡安全設計學生__班級：計算機網絡一班指導系部：電子信息技術系提交時間：學院電子信息系畢業論文作

者：指導〔級計算機網絡技術專業,摘要：隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在20XX后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。本公司計劃在近期內建設企業網絡信息系統,在企業內部實現資源高度共享,為生產、辦公、管理提供服務；實現辦公自動化,提供總部與分部、分部與分部之間通訊的出入口,提高工作效率和管理水平；及時、準確、可靠地收集、處理、存儲、傳輸企業的辦公。完成與因特網的通訊和資源共享,實現企業資源和社會資源的有機結合。以實現音頻數字化資源共享、集中管理；以及數據的安全,建立企業網絡管理應用系統。關鍵字：局域網internet計算機網絡網絡安全服務器目錄前言2第一章企業網絡安全概述31.1企業網絡的主要安全隱患31.2企業網絡的安全誤區3第二章企業網絡安全現狀分析52.1公司背景52.2企業網絡安全需求52.3需求分析62.4企業網絡結構6第三章企業網絡安全解決實施93.1靚點網絡企業物理安全93.2靚點企業網絡VLAN劃分103.3靚點企業網絡設備的選型123.4靚點企業網絡設備配置243.6靚點企業網絡防病毒措施51總結54參考文獻55致謝56前言隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終。網絡安全問題伴隨著網絡的產生而產生,可以說,有網絡的地方就存在網絡安全隱患。像病毒入侵和黑客攻擊之類的網絡安全事件,目前主要是通過網絡進行的,而且幾乎每時每刻都在發生,遍及全球。除此之外,像惡意軟件入侵、攻擊,用戶的非法訪問和操作,用戶郵件的非法截取和更改等都是普遍存在的安全事實。網絡安全事件所帶來的危害,相信我們每個計算機用戶都或多或少地親身體驗過一些：輕則使電腦系統運行不正常,重則使整個計算機系統中的磁盤數據全部覆滅,甚至導致磁盤、計算機等硬件的損壞。為了防范這些網絡安全事故的發生,每個計算機用戶,特別是企業網絡用戶,必須采取足夠的安全防范措施,甚至可以說要在利益均衡情況下不惜一切代價。但要注意,企業網絡安全策略的實施是一項系統工程,它涉及許多方面。因此既要充分考慮到那些平時經常提及的外部網絡威脅,又要對來自內部網絡和網絡管理本身所帶來的安全隱患有足夠的重視,不能孤立地看待任何一個安全隱患和安全措施。因為這些安全隱患爆發的途徑可以是多方面的,而許多安全措施都是相輔相成的。.企業網絡安全概述1.1企業網絡的主要安全隱患現在網絡安全系統所要防范的不再僅是病毒感染,更多的是基于網絡的非法入侵、攻擊和訪問,同時企業網絡安全隱患的來源有內、外網之分,很多情況下內部網絡安全威脅要遠遠大于外部網絡,因為內部中實施入侵和攻擊更加容易,企業網絡安全威脅的主要來源主要包括。病毒、木馬和惡意軟件的入侵。網絡黑客的攻擊。重要文件或郵件的非法竊取、訪問與操作。關鍵部門的非法訪問和敏感信息外泄。外網的非法入侵。備份數據和存儲媒體的損壞、丟失。針對這些安全隱患,所采取的安全策略可以通過安裝專業的網絡版病毒防護系統,同時也要加強內部網絡的安全管理,配置好防火墻過濾策略和系統本身的各項安全措施,及時安裝系統安全補丁,有條件的還可以在內、外網之間安裝網絡掃描檢測、網絡嗅探器、IDS、IPS系統,甚至配置網絡安全隔離系統,對內、外網絡進行安全隔離；加強內部網絡的安全管理,嚴格實行"最小權限"原則,為各個用戶配置好恰當的用戶權限；同時對一些敏感數據進行加密保護,對數據還可以進行數字簽名措施；根據企業實際需要配置好相應的數據策略,并按策略認真執行。1.2企業網絡的安全誤區安裝防火墻就安全了防火墻主要工作都是控制存取與過濾封包,所以對DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效,可以提供網絡周邊的安全防護。但如果攻擊行為不經過防火墻,或是將應用層的攻擊程序隱藏在正常的封包內,便力不從心了,許多防火墻只是工作在網絡層。防火墻的原理是"防外不防內",對內部網絡的訪問不進行任何阻撓,而事實上,企業網絡安全事件絕大部分還是源于企業內部。安裝了最新的殺毒軟件就不怕病毒了安裝殺毒軟件的目的是為了預防病毒的入侵和查殺系統中已感染的計算機病毒,但這并不能保證就沒有病毒入侵了,因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現。在每臺計算機上安裝單機版殺毒軟件和網絡版殺毒軟件等效網絡版殺毒軟件核心就是集中的網絡防毒系統管理。網絡版殺毒軟件可以在一臺服務器上通過安全中心控制整個網絡的客戶端殺毒軟件同步病毒查殺、監控整個網絡的病毒。同時對于整個網絡,管理非常方便,對于單機版是不可能做到的。只要不上網就不會中毒雖然不少病毒是通過網頁傳播的,但像QQ聊天接發郵件同樣是病毒傳播的主要途徑,而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著,就要防范病毒。文件設置只讀就可以避免感染病毒設置只讀只是調用系統的幾個命令,而病毒或黑客程序也可以做到這一點,設置只讀并不能有效防毒,不過在局域網中為了共享安全,放置誤刪除,還是比較有用的。網絡安全主要來自外部基于內部的網絡攻擊更加容易,不需要借助于其他的網絡連接方式,就可以直接在內部網絡中實施攻擊。所以,加強內部網絡安全管理,特別是用戶帳戶管理,如帳戶密碼、臨時帳戶、過期帳戶和權限等方面的管理非常必要了。第二章企業網絡安全現狀分析2.1公司背景靚點傳媒股份是靚點〔控股由北京靚點傳媒股份〔簡稱靚點傳媒、北京靚點影業〔簡稱靚點影業兩個獨立運營的公司組成。靚點傳媒是中國最大的民營傳媒和娛樂集團。靚點傳媒業務板塊囊括了當前影視娛樂相關領域,包括電視節目制作和經營業務、大型活動和頒獎禮業務、電視劇投資制作和發行業務、藝人經紀業務以及新媒體業務。靚點傳媒以上板塊業務都分別在該領域名列前茅,靚點傳媒十年來持續盈利,經營規模不斷擴大,是一個處在高速增長期的成長型傳媒企業。靚點總部：目前,靚點擁有300多名高素質的員工。擁有四千平方米辦公面積的靚點傳媒,每天均有明星到訪,被稱為中國最具觀賞價值的傳媒娛樂集團辦公總部。靚點正在打造北京市區內最大的演播中心,包含4個演播室,總面積超過2000平方米。公司希望建立一個設計規范、功能完備、性能優良、安全可靠、有良好的擴展性與可用性并且具備可管理易維護的網絡宣傳平臺。以便于公司未來的發展,在同行企業中具有跟更強的競爭優勢。建立企業網站介紹企業信息,展示企業產品,打造企業形象、利用互相網獨有宣傳方式與優勢〔低成本、高效益,增加市場宣傳軌道,擴大行業影響力。2.2企業網絡安全需求本項目的網絡因為要實現網絡互訪,展示公司完美一面,打造企業形象、利用互相網宣傳,所以數據非常重要其性能、穩定性、安全性、可靠性的要求最高,因考慮到公司網絡是娛樂性質的,訪問量極大。而且靚點是一所上市公司,所以我們在設計的時候,需要考慮這些需要,并且嚴格和有效執行的管理制度。建議集團制定嚴格的網絡安全管理策略,并有效的執行。靚點傳媒網有三百多用戶,網絡規模比較大,并且和因特網存在連接。同時需要建立WEB服務器,用于在互聯網上發布企業信息。為了保障網絡系統的運行安全,保護集團的信息安全,必須進行網絡安全方面的規劃和實施,以及技術手段來保障網絡的安全,因此需要進行適當的培訓和管理手段。我們會用PIX防火墻,保障公司的資源和信息的絕對安全。包括辦公自動化,郵件收發,信息共享和發布,員工帳戶管理,系統安全管理等。激速工作室會用最先進,最高端的科技技術為靚點打造最優秀高效的網絡平臺。2.3需求分析通過了解靚點網絡公司的需求與現狀,為實現靚點網絡公司的網絡安全建設實施網絡系統改造,提高企業網絡系統運行的穩定性,保證企業各種設計信息的安全性,避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機加以保護,記錄用戶對客戶端計算機中關鍵目錄和文件的操作,使企業有手段對用戶在客戶端計算機的使用情況進行追蹤,防范外來計算機的侵入而造成破壞。通過網絡的改造,使管理者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監控和管理。因此需要構建良好的環境確保企業物理設備的安全劃分VLAN控制內網安全安裝防火墻體系建立VPN<虛擬專用網絡>確保數據安全Email辦公加強企業對網絡資源的管理2.4企業網絡結構靚點網絡公司網絡拓撲圖,如圖2-1所示:圖2-1企業網絡結構網絡將采用層次化結構設計,可以將網絡結構分為三層：核心層,匯聚層,接入層。核心層：核心層是網絡的高速交換主干,對整個網絡的連通起到至關重要的作用。核心層應該具有如下幾個特性：可靠性、高效性、冗余性、容錯性、可管理性、適應性、低延時性等。在核心層中,應該采用高帶寬的千兆以上交換機。因為核心層是網絡的樞紐中心,重要性突出。核心層設備采用雙機冗余熱備份是非常必要的,也可以使用負載均衡功能,來改善網絡性能。匯聚層：匯聚層是網絡接入層和核心層的"中介",就是在工作站接入核心層前先做匯聚,以減輕核心層設備的負荷。匯聚層具有實施策略、安全、工作組接入、虛擬局域網〔VLAN之間的路由、源地址或目的地址過濾等多種功能。在匯聚層中,應該采用支持三層交換技術和VLAN的交換機,以達到網絡隔離和分段的目的。接入層：接入層向本地網段提供工作站接入。在接入層中,減少同一網段的工作站數量,能夠向工作組提供高速帶寬。接入層可以選擇不支持VLAN和三層交換技術的普通交換機。第三章企業網絡安全解決實施3.1靚點網絡企業物理安全靚點企業網絡中保護網絡設備的物理安全是其整個計算機網絡系統安全的前提,物理安全是指保護計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等環境事故、人為操作失誤或各種計算機犯罪行為導致的破壞。針對靚點網絡企業的物理安全主要考慮的問題是環境、場地和設備的安全及物理訪問控制和應急處置計劃等。物理安全在整個計算機網絡信息系統安全中占有重要地位。它主要包括以下幾個方面：保證機房環境安全信息系統中的計算機硬件、網絡設施以及運行環境是信息系統運行的最基本的環境。要從一下三個方面考慮：a.自然災害、物理損壞和設備故障b.電磁輻射、乘機而入、痕跡泄漏等c.操作失誤、意外疏漏等2>選用合適的傳輸介質屏蔽式雙絞線的抗干擾能力更強,且要求必須配有支持屏蔽功能的連接器件和要求介質有良好的接地〔最好多處接地,對于干擾嚴重的區域應使用屏蔽式雙絞線,并將其放在金屬管內以增強抗干擾能力。光纖是超長距離和高容量傳輸系統最有效的途徑,從傳輸特性等分析,無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠、抗雷電和電磁的干擾性好保密性好,不易被竊聽或被截獲數據、傳輸的誤碼率很低,可靠性高,體積小和重量輕等特點。與雙絞線或同軸電纜不同的是光纖不輻射能量,能夠有效地阻止竊聽。3>保證供電安全可靠計算機和網絡主干設備對交流電源的質量要求十分嚴格,對交流電的電壓和頻率,對電源波形的正弦性,對三相電源的對稱性,對供電的連續性、可靠性穩定性和抗干擾性等各項指標,都要求保持在允許偏差范圍內。機房的供配電系統設計既要滿足設備自身運轉的要求,又要滿足網絡應用的要求,必須做到保證網絡系統運行的可靠性,保證設備的設計壽命保證信息安全保證機房人員的工作環境。3.2靚點企業網絡VLAN和IP地址劃分VLAN技術能有效隔離局域網,防止網內的攻擊,所以靚點網絡網絡中按部門進行了VLAN劃分：公司Vlan的劃分：VLAN用途VLAN10人事部工作人員VLAN20財務部工作人員VLAN30行政部工作人員VLAN40業務部工作人員VLAN41業務部工作人員VLAN50無線會議室VLAN60網絡管理員VLAN80總經理公司ip地址的分配：機構地址空間用途北京總部集團全部地址空間總部全部地址空間總部網管類全部地址總部互聯類全部地址總部應用類全部地址總部因特網全部地址/23總部網管工作人員地址空間總部財務部工作人員地址空間總部行政部工作人員地址空間總部業務部工作人員地址空間總部無線會議室地址空間總部總經理地址空間上海分部分公司全部地址空間分公司網管類全部地址空間分公司互聯類全部地址空間分公司應用類全部地址空間分公司因特網全部地址分公司工作人員全部地址空間分公司財務部工作人員全部地址空間分公司行政部工作人員全部地址空間分公司網絡管理工作人員全部地址空間分公司業務部工作人員全部地址空間3.3靚點企業網絡設備的選擇CiscoWS-C4948-E核心交換機簡介：CiscoCatalyst4948系列是一個線速、低延遲IRU固定配置交換機系列,用于提供針對機架優化的服務器交換和DSLAM匯聚。在Catalyst4500系列硬件和軟件成熟架構的基礎上,Catalyst4948系列為高性能服務器和工作站的低密度、多層匯聚提供了出色的性能和可靠性。CiscoCatalyst4948系列的關鍵特性有：低延遲和線速交換多達48個10/100/1000端口和4個小型可插拔〔SFP端口,或48個10/100/1000端口和2個萬兆以太網端口冗余內部交流或直流電源,配備可熱插拔的風扇架光纖端口上具有SFP或X2靈活性,能提供多種布線距離核心交換機CiscoWS-C4948-E配置基本規格交換機類型千兆以太網交換機傳輸速率10/100/1000應用層級四層交換方式存儲-轉發背板帶寬96Gbps包轉發率72Mpps端口結構固定端口處理器CPU速度,266MHz內存256MBMAC地址表33KVLAN功能支持網絡網絡標準802.1x,IEEE802.1Q,802.1s,802.1w,802.3ad網絡協議EIGRP,OSPF,RIP,RIP2網管功能基于Web的管理,SNMP堆疊功能不可堆疊端口接口數量48個接口類型10/100/1000端口,ESs/w,1個ACp/s模塊化插槽數4個其它是否支持全雙工全雙工網管支持可網管型電氣規格電源電壓100-240VAC,50-60Hz額定功率300W外觀參數高度44.5mm環境參數工作溫度0-45工作濕度10%-85%工作高度3049m存儲溫度-25～70存儲濕度10%-85%存儲高度4573mCiscoWS-C3750G-48TS-S工作組交換機簡介：配置：主體品牌思科〔CISCO型號WS-C3750G-48TS-S規格網絡標準IEEE802.3、IEEE802.3u、IEEE802.1x、IEEE802.1Q、IEEE802.1p、IEEE802.1D、IEEE802.1s、IEEE802.1w、IEEE802.3ad、IEEE802.3z、IEEE802.3端口48千兆口尺寸4.4*44.5*40.9〔cm>重量6.1kg特性第二層和第三層交換矩陣的最大轉發帶寬為32Gbps

64字節分組的堆疊轉發速率為38.7mpps

轉發速率：6.5mpps

128MBDRAM和16MB閃存主體品牌思科〔CISCO型號WS-C3750G-48TS-S規格網絡標準IEEE802.3、IEEE802.3u、IEEE802.1x、IEEE802.1Q、IEEE802.1p、IEEE802.1D、IEEE802.1s、IEEE802.1w、IEEE802.3ad、IEEE802.3z、IEEE802.3端口48千兆口尺寸4.4*44.5*40.9〔cm>重量6.1kg特性第二層和第三層交換矩陣的最大轉發帶寬為32Gbps

64字節分組的堆疊轉發速率為38.7mpps

轉發速率：6.5mpps

128MBDRAM和16MB閃存路由器〔cisco7206VXR1Cisco7206VXR路由器簡介：Cisco7200系列路由器提供優異的性價比,可以滿足下列需求：須要廣域網和Internet網關連接的地區辦事處和分公司；企業和服務供應商的遠程站點集合,通過一個中心站點將多個分散站點連接起來；須要IBM數據中心連接的站點；須要結合上述所有特征多方面功能的站點,以便支持多服務語音、視頻和數據流量。Cisco7200的一個關鍵有點是其模塊性。通過4和6插槽機箱,提供300Kpps速度的5各處理器,帶有48各端口的廣泛的局域網和廣域網接口,以及單個或雙重電源,客戶可以獲得所需的性能和容量。這種模塊還提供投資保衛和可靠的擴展路徑。配置〔型號Cisco7206VXR：功能Cisco7204VXRCisco7206VXR固定端口無無模塊化插槽46LAN端口適配器4或8端口10BaseT5端口10BaseFL1端口100BaseTX1端口100BaseFX2端口100BaseTX〔TRISL2端口100BaseFX〔TRISL1端口千兆位以太網4端口令牌環4/16Mbps,半/全雙工12端口以太網/2端口快速以太網以太交換機與Cisco7204VXR相同串行端口適配器4端口串行,增強型8端口串行,V.35,RS-232,或X.214端口串行E1〔G.703與Cisco7204VXR相同高速串行端口1和2端口HSSI1和2端口高速T3串行〔使用DSU1和2端口高速E3串行〔使用DSU與Cisco7204VXR相同多通道和ISDN端口2端口增強多通道T31端口多通道T31端口多通道E32、4和8端口多通道T1〔CSU/DSU&PRI2和8端口多通道E1〔G.703/G.704&PRI8端口ISDNBRI〔S/T4端口ISDNBRI〔U,NT-1與Cisco7204VXR相同數字語音主干端口適配器2端口T1/E1高容量數字語音2端口T1/E1中容量數字語音與Cisco7204VXR相同SONET端口適配器2端口動態分組傳輸OC12/STM41端口SONET分組OC-3/STM1與Cisco7204VXR相同ATM端口適配器1端口ATMOC-3/STM1多模和單模1端口ATM增強OC-12/STM4多模和單模1端口ATM增強OC3/STM1多模和單模1端口ATM增強DS31端口ATM增強E38端口ATM增強T1IMA8端口ATM增強E1IMAATM線路仿真服務與Cisco7204VXR相同大型機通道連接端口適配器1端口ESCON大型機通道端口適配器1端口并行大型機通道端口適配器與Cisco7204VXR相同I/O卡FE2FE/EGE+EFE與Cisco7204VXR相同服務適配器模塊加密與Cisco7204VXR相同網絡處理引擎NPE-225NPE-300NPE-400NSE-1與Cisco7204VXR相同處理器速度〔類型225、263或350MHz〔MIPSRISC與Cisco7204VXR相同快閃PCMCIA內存20MB、48MB〔缺省；110MB,512MB〔最大與Cisco7204VXR相同DRAM內存64MB、128MB〔缺省256MB、512MB〔最大與Cisco7204VXR相同電源直流或交流電源,可選雙電源直流或交流電源,可選雙電源體積〔高×長×寬5.25×16.8×17英寸5.25×16.8×17英寸服務類別1314服務器聯想萬全T168G6〔XeonX3430>配置：基本參數服務器級別企業級服務器類型塔式主要性能主板芯片組Intel3420標配CPU個數1顆最大CPU個數1顆CPU類型IntelXeonX3430處理器標稱主頻2.4GHz智能加速主頻2.8GHz查看服務器報價二級緩存4×256KB三級緩存8MB總線規格2.5GT/s多核運算四核心四線程查看服務器報價內存內存容量2GB內存描述PC3-8500ECCDDR3UDIMM查看服務器報價存儲標配硬盤容量500GB標配硬盤類型SATA,LFF,7200轉查看服務器報價標配硬盤描述500GBSATA光驅DVD光驅網絡網絡控制器1×千兆接口電源電源功率350W電源數量1電源類型標準電源其他PCI擴展槽標配:

1×PCI-EGen2x16

1×PCI-EGen2x8

1×PCI-EGen2x4

1×PCI-EGen2x1

2×PCII/O接口4×USB2.0接口

1×D-SUB接口

1×RJ-45網絡接口

1×串行接口

1×并行接口機身重量26Kg機身尺寸470×210×505mm終端客戶端的設備選擇惠普〔HPG2030CX〔臺式配置：主體品牌惠普HP型號G2030CX推薦用途家用電腦平臺AMD平臺操作系統Linux主板芯片組nVidianForce430顯卡類型獨立顯卡聲卡集成聲卡網卡100Mbps以太網卡CPU類型Sempron180核心數雙核速度2.4GHz二級緩存1MB顯卡顯示芯片ATIHD4350獨立顯卡〔512MB顯存顯存容量在Win7操作系統下,最大可共享至1279MB內存容量2GB速度DDR3插槽數量2個最大支持容量8GB硬盤容量500G類型SATA串行轉速7200轉/分鐘光驅類型DVD光驅輸入設備鼠標惠普光電鼠標〔有線鍵盤惠普超薄鍵盤〔有線前<側>面接口USB2音頻接口2后面接口視頻接口1個DVI、1個VGA音頻接口1USB4RJ451擴展性PCI槽<空閑/總數>1個PCI插槽〔空置PCI-E1個PCIExpressx16插槽〔使用、2個PCIExpressx1插槽〔空置規格電源功率250W尺寸415<L>x167<W>x381<H>mmLenovoY460P-IFI〔高層筆記本配置：主體品牌聯想lenovo型號Y460P-IFI顏色灰色平臺Intel軟件隨機系統中文Windows7HomeBasic_64處理器CPU類型酷睿雙核i5處理器CPU型號i5-2410MCPU速度2.3GHz可睿頻加速至2.9GHz三級緩存3M芯片組芯片組IntelHM65內存內存容量4GB內存類型DDR3插槽數量2xSO-DIMM最大支持容量8GB硬盤硬盤容量500GB顯卡類型獨立顯卡顯示芯片ATIMobilityRadeonHD6550顯存容量1GBDDR3獨立顯存光驅光驅類型DVD刻錄界面內置規格超級DVD刻錄顯示器屏幕規格14.0英寸顯示比例寬屏16：9物理分辨率1366x768屏幕類型LED背光特征超薄炫彩屏通信調制解調器modem無內置藍牙藍牙2.0模塊局域網10/100/1000Mbps無線局域網1000BGN無線網卡內置3G無端口PC卡插槽無USB4個USB2.0接口<其中一個和Esata共用>IEEE1394無音頻端口1x麥克風接口;1x音頻接口顯示端口VGAx1/HDMIx1其他端口EsataCombo音效系統揚聲器內置揚聲器內置麥克風有輸入設備鍵盤聯想高觸感筆記本鍵盤觸摸板有其它設備網絡攝像頭有攝像頭像素130萬指紋識別無讀卡器多合一讀卡器<SD/MMC,xD,MS,MSpro,SDPro>電源電池高性能6芯鋰離子電池電源適配器100-240V自適應交流電源適配器機器規格尺寸340mmx235mmx20~32.8mm重量2.2Kg<含有6芯電池,具體重量依據產品出貨配置為準>防毒墻〔神州數碼的DCFW-1800SUTM傳統的計算機病毒防范是在需要保護的計算機內部建立反病毒系統,隨著網絡病毒的日益嚴重和各種網絡垃圾郵件等的侵害,如何更好、有效地保護企業內部網絡是當前安全廠家、企業用戶都在關心的問題,神州數碼的DCFW-1800SUTM就是在當前網絡安全急需一個有效解決方案的情況下推出的一款網絡安全產品神州數碼公司將專業的基于應用層的安全技術引入到防毒墻,形成一體化的安全網關產品,神州數碼的DCFW-1800SUTM在毀滅性病毒和蠕蟲病毒進入網絡前即在網絡邊緣進行全面掃描,神州數碼的DCFW-1800SUTM可用于獨立式邊緣病毒掃描結構,同時,它也可以作為企業整體網絡防病毒的一個組成部分,建立網絡邊緣〔網關、客戶端和服務器一層病毒掃描架構的立體網絡防病毒體系,此外,神州數碼的DCFW-1800SUTM還提供了防火墻、VPN、反垃圾郵件、內容過濾等多種網絡安全功能,是一個網絡一體安全解決方案的網絡安全產品。3.4靚點企業網絡設備配置靚點傳媒Vlan的配置Vlan的簡介：VLAN〔VirtualLocalAreaNetwork的中文名為"虛擬局域網"。VLAN是一種將局域網設備從邏輯上劃分成一個個網段,從而實現虛擬工作組的新興數據交換技術。這一新興技術主要應用于交換機和路由器中,但主流應用還是在交換機之中。Vlan優點1.廣播風暴防范：限制網絡上的廣播,將網絡劃分為多個VLAN可減少參與廣播風暴的設備數量。LAN分段可以防止廣播風暴波及整個網絡。VLAN可以提供建立防火墻的機制,防止交換網絡的過量廣播。使用VLAN,可以將某個交換端口或用戶賦于某一個特定的VLAN組,該VLAN組可以在一個交換網中或跨接多個交換機,在一個VLAN中的廣播不會送到VLAN之外。同樣,相鄰的端口不會收到其他VLAN產生的廣播。這樣可以減少廣播流量,釋放帶寬給用戶應用,減少廣播的產生。2.安全：增強局域網的安全性,含有敏感數據的用戶組可與網絡的其余部分隔離,從而降低泄露機密信息的可能性。不同VLAN內的報文在傳輸時是相互隔離的,即一個VLAN內的用戶不能和其它VLAN內的用戶直接通信,如果不同VLAN要進行通信,則需要通過路由器或三層交換機等三層設備。3.成本降低：成本高昂的網絡升級需求減少,現有帶寬和上行鏈路的利用率更高,因此可節約成本。4.性能提高：將第二層平面網絡劃分為多個邏輯工作組〔廣播域可以減少網絡上不必要的流量并提高性能。5.提高IT員工效率：VLAN為網絡管理帶來了方便,因為有相似網絡需求的用戶將共享同一個VLAN。6.簡化項目管理或應用管理：VLAN將用戶和網絡設備聚合到一起,以支持商業需求或地域上的需求。通過職能劃分,項目管理或特殊應用的處理都變得十分方便,例如可以輕松管理教師的電子教學開發平臺。此外,也很容易確定升級網絡服務的影響范圍。7.增加了網絡連接的靈活性。借助VLAN技術,能將不同地點、不同網絡、不同用戶組合在一起,形成一個虛擬的網絡環境,就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管理費用,特別是一些業務情況有經常性變動的公司使用了VLAN后,這部分管理費用大大降低。靚點公司的vlan設計:VLAN用途Vlan的名稱端口號VLAN10人事部工作人員renshiF0/1-5VLAN20財務部工作人員CaiwuF0/6-10VLAN30行政部工作人員XingzhengF0/11-13VLAN40業務部工作人員YewuF0/14-17VLAN41業務部工作人員Yewu1F0/18-19VLAN50無線會議室WuxianF0/20-22VLAN60網絡管理員WangguanF0/23VLAN80總經理ZongjingliF0/24具體的配置：創建vlan：Switch#vlandata%Warning:ItisrecommendedtoconfigureVLANfromconfigmode,asVLANdatabasemodeisbeingdeprecated.PleaseconsultuserdocumentationforconfiguringVTP/VLANinconfigmode.Switch<vlan>#vlan10namerenshiVLAN10added:Name:renshiSwitch<vlan>#vlan20namecaiwuVLAN20added:Name:caiwuSwitch<vlan>#vlan30namexingzhengVLAN30added:Name:xingzhengSwitch<vlan>#vlan40nameyewuVLAN40added:Name:yewuSwitch<vlan>#vlan41nameyewuVLAN#40and#41haveanidenticalname:yewuAPPLYfailed.Switch<vlan>#vlan41nameyewu1VLAN41added:Name:yewu1Switch<vlan>#vlan50namewuxianVLAN50added:Name:wuxianSwitch<vlan>#vlan60namewangguanVLAN60added:Name:wangguanSwitch<vlan>#vlan80namezongjingli將對應端口加入到vlan：Switch<config>#hostnameldld<config>#intrangef0/1-5ld<config-if-range>#switchportaccessvlan10ld<config>#intrangef0/6-10ld<config-if-range>#switchportaccessvlan20ld<config>#intrangef0/11-13ld<config-if-range>#switchportaccessvlan30ld<config>#intrangef0/14-17ld<config-if-range>#switchportaccessvlan40ld<config>#intrangef0/18-19ld<config-if-range>#switchportaccessvlan41ld<config>#intrangef0/20-22ld<config-if-range>#switchportaccessvlan50ld<config>#intrangef0/23ld<config-if-range>#switchportaccessvlan60ld<config>#intrangef0/24ld<config-if-range>#switchportaccessvlan80上海分部的vlan配置上同Vtp、trunk技術的簡單介紹及基本配置VTP原理概述它是一個OSI參考模型第二層的通信協議,主要用于管理在同一個域的網絡范圍內VLANs的建立、刪除和重命名。在一臺VTPServer上配置一個新的VLAN時,該VLAN的配置信息將自動傳播到本域內的其他所有交換機。這些交換機會自動地接收這些配置信息,使其VLAN的配置與VTPServer保持一致,從而減少在多臺設備上配置同一個VLAN信息的工作量,而且保持了VLAN配置的統一性。VTP通過網絡<ISL幀或cisco私有DTP幀>保持VLAN配置統一性。VTP在系統級管理增加,刪除,調整的VLAN,自動地將信息向網絡中其它的交換機廣播。此外,VTP減小了那些可能導致安全問題的配置。便于管理,只要在vtpserver做相應設置,vtpclient會自動學習vtpserver上的vlan信息*當使用多重名字VLAN能變成交叉--連接。*當它們是錯誤地映射在一個和其它局域網,VLAN能變成內部斷開。VTP有三種工作模式：VTPServer、VTPClient和VTPTransparent。新交換機出廠時的默認配置是預配置為VLAN1,VTP模式為服務器。一般,一個VTP域內的整個網絡只設一個VTPServer。VTPServer維護該VTP域中所有VLAN信息列表,VTPServer可以建立、刪除或修改VLAN。VTPClient雖然也維護所有VLAN信息列表,但其VLAN的配置信息是從VTPServer學到的,VTPClient不能建立、刪除或修改VLAN。VTPTransparent相當于是一上獨立的交換機,它不參與VTP工作,不從VTPServer學習VLAN的配置信息,而只擁有本設備上自己維護的VLAN信息。VTPTransparent可以建立、刪除和修改本機上的VLAN信息。VTP的用途通常情況下,我們需要在整個園區網或者企業網中的一組的交換機中保持VLAN數據庫的同步,以保證所有交換機都能從數據幀中讀取相關的VLAN信息進行正確的數據轉發,然而對于大型網絡來說,可能有成百上千臺交換機,而一臺交換機上都可能存在幾十乃至數百個VLAN,如果僅憑網絡工程師手工配置的話是一個非常大的工作量,并且也不利于日后維護——每一次添加修改或刪除VLAN都需要在所有的交換機上部署。在這種情況下,我們引入了VTP〔VLANTrunkingProtocol。Trunk簡介TRUNK是端口匯聚的意思,通過配置軟件的設置,將2個或多個物理端口組合在一起成為一條邏輯的路徑從而增加在交換機和網絡節點之間的帶寬,將屬于這幾個端口的帶寬合并,給端口提供一個幾倍于獨立端口的獨享的高帶寬。Trunk是一種封裝技術,它是一條點到點的鏈路,鏈路的兩端可以都是交換機,也可以是交換機和路由器,還可以是主機和交換機或路由器。基于端口匯聚〔Trunk功能,允許交換機與交換機、交換機與路由器、主機與交換機或路由器之間通過兩個或多個端口并行連接同時傳輸以提供更高帶寬、更大吞吐量,大幅度提供整個網絡能力。"TRUNK"的三個意思在技術領域中把TRUNK翻譯為中文是"主干、干線、中繼線、長途線",不過一般不翻譯,直接用原文。而且這個詞在不同場合也有不同的解釋：1、在網絡的分層結構和寬帶的合理分配方面,TRUNK被解釋為"端口匯聚",是帶寬擴展和鏈路備份的一個重要途徑。TRUNK把多個物理端口捆綁在一起當作一個邏輯端口使用,可以把多組端口的寬帶疊加起來使用。TRUNK技術可以實現TRUNK內部多條鏈路互為備份的功能,即當一條鏈路出現故障時,不影響其他鏈路的工作,同時多鏈路之間還能實現流量均衡,就像我們熟悉的打印機池和MODEM池一樣。2、在電信網絡的語音級的線路中,Trunk指"主干網絡、干線",即兩個交換局或交換機之間的連接電路或信道,它能夠在兩端之間進行轉接,并提供必要的信令和終端設備。3、但是在最普遍的路由與交換領域,VLAN的端口聚合也有的叫TRUNK,不過大多數都叫TRUNKING,如CISCO公司。所謂的TRUNKING是用來在不同的交換機之間進行連接,以保證在跨越多個交換機上建立的同一個VLAN的成員能夠相互通訊。其中交換機之間互聯用的端口就稱為TRUNK端口。與一般的交換機的級聯不同,TRUNKING是基于OSI第二層數據鏈路層〔DataLinkLayer>RUNKING技術,如果你在2個交換機上分別劃分了多個VLAN〔VLAN也是基于Layer2的,那么分別在兩個交換機上的VLAN10和VLAN20的各自的成員如果要互通,就需要在A交換機上設為VLAN10的端口中取一個和交換機B上設為VLAN10的某個端口作級聯連接。VLAN20也是這樣。那么如果交換機上劃了10個VLAN就需要分別連10條線作級聯,端口效率就太低了。當交換機支持TRUNKING的時候,事情就簡單了,只需要2個交換機之間有一條級聯線,并將對應的端口設置為Trunk,這條線路就可以承載交換機上所有VLAN的信息。這樣的話,就算交換機上設了上百個個VLAN也只用1個端口就解決了。如果是不同臺的交換機上相同id的vlan要相互通信,那么可以通過共享的trunk端口就可以實現,如果是同一臺上不同id的vlan/不同臺不同id的vlan它們之間要相互通信,需要通過第三方的路由來實現Vtp的基本配置<包含trunk的配置>拓撲SW-1的配置：Switch>enSwitch#configureterminalSwitch<config>#hostnameSW-1SW-1<config>#interfacerangef0/1-2SW-1<config-if-range>#switchportmodetrunkSW-1<config-if-range>#endSW-1#vlandataSW-1<vlan>#vtpserverSW-1<vlan>#vtpdomainLDCMSW-1<vlan>#vtppassword123SW-1<vlan>#vlan10namerenshiVLAN10added:Name:renshiSW-1<vlan>#vlan20namexingzhengVLAN20added:Name:xingzhengSW-1<vlan>#vlan20namecaiwuVLAN20modified:Name:caiwuSW-1<vlan>#vlan30namexingzhengVLAN30added:Name:xingzhengSW-1<vlan>#vlan40nameyewuVLAN40added:Name:yewuSW-1<vlan>#vlan41nameyewu2VLAN41added:Name:yewu2SW-1<vlan>#vlan50namewuxianVLAN50added:Name:wuxianSW-1<vlan>#vlan60namewangguanVLAN60added:Name:wangguanSW-1<vlan>#vlan80namezongjingliVLAN80added:Name:zongjingliSW-2的配置：Switch>enSwitch#configureterminalSwitch<config>#hostnameSW-2SW-2<config>#intf0/1SW-2<config-if>#switchportmodetrunkSW-2<config-if>#endSW-2#vlandataSW-2<vlan>#vtpclientSW-2<vlan>#vtpdomainLDCMSW-2<vlan>#vtppassword123SW-3的配置：Switch>enSwitch#configureterminalSwitch<config>#hostnameSW-3SW-3<config>#interfacef0/2SW-3<config-if>#switchportmodetrunkSW-3<config-if>#endSW-3#vlandataSW-3<vlan>#vtpclientSW-3<vlan>#vtpdomainLDCMSW-3<vlan>#vtppassword123靚點傳媒stpStp簡介與功能SpanningTreeProtocol<STP>是一種二層鏈路協議,又稱生成樹協議,該協議在IEEE802.1D文檔中定義。該協議的原理是按照樹的結構來構造網絡拓撲,消除網絡中的環路,避免由于環路的存在而造成廣播風暴問題。該協議使用BPDU報文傳遞生成樹信息。SpanningTreeProtocol<STP>的基本思想就是按照"樹"的結構構造網絡的拓撲結構,樹的根是一個稱為根橋的橋設備,根據設置不同,不同的交換機會被選為根橋,但任意時刻只能有一個根橋。由根橋開始,逐級形成一棵樹,根橋定時發送配置報文,非根橋接收配置報文,并重新計算配置信息并轉發,如果某臺交換機能夠從兩個以上的端口接收到配置報文,則說明從該交換機到根有不止一條路徑,便構成了循環回路,此時交換機根據端口的配置選出一個端口并把其他的端口阻塞,消除循環。當某個端口長時間不能接收到配置報文的時候,交換機認為端口的配置超時,網絡拓撲可能已經改變,此時重新計算網絡拓撲,重新生成一棵樹。生成樹協議最主要的應用是為了避免局域網中的單點故障、網絡環回,解決成環以太網網絡的"廣播風暴"問題,從某種意義上說是一種網絡保護技術,可以消除由于失誤或者意外帶來的循環連接。STP也提供了為網絡提供備份連接的可能,可與SDH保護配合構成以太環網的雙重保護。新型以太單板支持符IEEE802.1d標準的生成樹協議STP及IEEE802.1w規定的快速生成樹協議RSTP,收斂速度可達到1s。說明：默認的ld-h-1為根網橋,將核心層的兩臺交換機進行鏈路聚合.用不同的vlan選擇不同的根網橋實現負載均衡,ld-h-1為vtpserver有八個部門的vlan號,其他的都為client同步server的信息vtp之前已配置這里不做詳細的說明了。ld-h-1為vlan2-3的根網橋,ld-h-2為vlan4-5的根網橋。 Ld-h-1,2均為核心層交換機,SW1,2,3為接入層交換機。鏈路聚合的配置ld-h-1：Switch<config>#hostnameld-h-1ld-h-1<config>#intrangef0/1-2ld-h-1<config-if-range>#switchportmodetrunkld-h-1<config-if-range>#channel-group2modeonld-h-2：Switch<config>#hostnameld-h-2ld-h-2<config-if-range>#intrangef0/1-2ld-h-2<config-if-range>#switchportmodetrunkld-h-2<config-if-range>#channel-group2modeon根橋配置：ld-h-1：ld-h-1<config>#intrangef0/3-5ld-h-1<config-if-range>#switchportmodetrunkld-h-1<config>#exitld-h-1<config>#spanning-treevlan10-40priority24576ld-h-1<config>#spanning-treevlan50-80priority28672ld-h-2：ld-h-1<config>#intrangef0/3-5ld-h-1<config-if-range>#switchportmodetrunkld-h-1<config>#exitld-h-1<config>#spanning-treevlan10-40priority28672ld-h-1<config>#spanning-treevlan50-80priority24576SW1：SW1<config>#intrangef0/1-2SW1<config-if-range>#switchportmodetrunkSW1<config-if-range>#exitSW1<config>#intf0/3SW1<config-if>#switchportaccesevlan10SW2：SW2<config>#intrangef0/1-2SW2<config-if-range>#switchportmodetrunkSW3：SW3<config>#intrangef0/1-2SW3<config-if-range>#switchportmodetrunkSW3<config>#intf0/3SW3<config-if>#switchportaccesevlan10注：以上舉例說明其他部門只要將端口加入vlan,上海分部配置同上。測試：用左邊pcping右邊pc能通當將連接f0/1與F0/4斷掉后依然能ping通,只是線路發生了改變。靚點傳媒hsrpHSRP介紹HSRP：熱備份路由器協議〔HSRP：HotStandbyRouterProtocol熱備份路由器協議〔HSRP的設計目標是支持特定情況下IP流量失敗轉移不會引起混亂、并允許主機使用單路由器,以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。換句話說,當源主機不能動態知道第一跳路由器的IP地址時,HSRP協議能夠保護第一跳路由器不出故障。關于HSRP該協議中含有多種路由器,對應一個虛擬路由器。HSRP協議只支持一個路由器代表虛擬路由器實現數據包轉發過程。終端主機將它們各自的數據包轉發到該虛擬路由器上。HSRP技術在網絡中的應用隨著Internet的日益普及,人們對網絡的依賴性也越來越強。這同時對網絡的穩定性提出了更高的要求,人們自然想到了基于設備的備份結構,就像在服務器中為提高數據的安全性而采用雙硬盤結構一樣。路由器是整個網絡的核心和心臟,如果路由器發生致命性的故障,將導致本地網絡的癱瘓,如果是骨干路由器,影響的范圍將更大,所造成的損失也是難以估計的。因此,對路由器采用熱備份是提高網絡可靠性的必然選擇。在一個路由器完全不能工作的情況下,它的全部功能便被系統中的另一個備份路由器完全接管,直至出現問題的路由器恢復正常,這就是熱備份路由協議〔HotStandbyRouterProtocol,HSRP-RFC2281技術要解決的問題。HSRP協議概述實現HSRP的條件是系統中有多臺路由器,它們組成一個"熱備份組",這個組形成一個虛擬路由器。在任一時刻,一個組內只有一個路由器是活動的,并由它來轉發數據包,如果活動路由器發生了故障,將選擇一個備份路由器來替代活動路由器,但是在本網絡內的主機看來,虛擬路由器沒有改變。所以主機仍然保持連接,沒有受到故障的影響,這樣就較好地解決了路由器切換的問題。為了減少網絡的數據流量,在設置完活動路由器和備份路由器之后,只有活動路由器和備份路由器定時發送HSRP報文。如果活動路由器失效,備份路由器將接管成為活動路由器。如果備份路由器失效或者變成了活躍路由器,將由另外的路由器被選為備份路由器。在實際的一個特定的局域網中,可能有多個熱備份組并存或重疊。每個熱備份組模仿一個虛擬路由器工作,它有一個Well－known－MAC地址和一個IP地址。該IP地址、組內路由器的接口地址、主機在同一個子網內,但是不能一樣。當在一個局域網上有多個熱備份組存在時,把主機分布到不同的熱備份組,可以使負載得到分擔。HSRP的工作原理負責轉發數據包的路由器稱之為主動路由器〔ActiveRouter。一旦主動路由器出現故障,HSRP將激活備份路由器〔StandbyRouters取代主動路由器。HSRP協議提供了一種決定使用主動路由器還是備份路由器的機制,并指定一個虛擬的IP地址作為網絡系統的缺省網關地址。如果主動路由器出現故障,備份路由器〔StandbyRouters承接主動路由器的所有任務,并且不會導致主機連通中斷現象。HSRP運行在UDP上,采用端口號1985。路由器轉發協議數據包的源地址使用的是實際IP地址,而并非虛擬地址,正是基于這一點,HSRP路由器間能相互識別.HSRP協議利用一個優先級方案來決定哪個配置了HSRP協議的路由器成為默認的主動路由器。如果一個路由器的優先級設置的比所有其他路由器的優先級高,則該路由器成為主動路由器。路由器的缺省優先級是100,所以如果只設置一個路由器的優先級高于100,則該路由器將成為主動路由器。通過在設置了HSRP協議的路由器之間廣播HSRP優先級,HSRP協議選出當前的主動路由器。當在預先設定的一段時間內主動路由器不能發送hello消息時,優先級最高的備用路由器變為主動路由器。路由器之間的包傳輸對網絡上的所有主機來說都是透明的。配置了HSRP協議的路由器交換以下三種多點廣播消息：Hello———hello消息通知其他路由器發送路由器的HSRP優先級和狀態信息,HSRP路由器默認為每3秒鐘發送一個hello消息；Coup———當一個備用路由器變為一個主動路由器時發送一個coup消息；Resign———當主動路由器要宕機或者當有優先級更高的路由器發送hello消息時,主動路由器發送一個resign消息。在任一時刻,配置了HSRP協議的路由器都將處于以下五種狀態之一：Initial———HSRP啟動時的狀態,HSRP還沒有運行,一般是在改變配置或端口剛剛啟動時進入該狀態。Listen———路由器已經得到了虛擬IP地址,但是它既不是活動路由器也不是等待路由器。它一直監聽從活動路由器和等待路由器發來的HELLO報文。Speak———在該狀態下,路由器定期發送HELLO報文,并且積極參加活動路由器或等待路由器的競選。Standby———當主動路由器失效時路由器準備接管包傳輸功能。Active———路由器執行包傳輸功能。HSRP簡單配置：拓撲圖：R1：hostnameLD-R1interfaceEthernet0/0standbypreemptstandby1priority200noshutdownR2：hostnameLD-R2interfaceEthernet0/0standbypreemptnoshutdownHSRP與VRRP和差別1.在功能上,VRRP和HSRP非常相似,但是就安全而言,VRRP對HSRP的一個主要優勢:它允許參與VRRP組的設備間建立認證機制.并且,不像HSRP那樣要求虛擬路由器不能是其中一個路由器的ip地址,但是VRRP允許這種情況發生<如果"擁有"虛擬路由器地址的路由器被建立并且正在運行,那么應該總是由這個虛擬路由器管理—等價于HSRP中的活動路由器>,但是為了確保萬一失效發生的時候終端主機不必重新學習MAC地址,它指定使用的MAC地址00-00-5e-00-01-VRID,這里的VRID是虛擬路由器的ID<等價于一個HSRP的組標識符>.2.另外一個不同是VRRP不使用HSRP中的政變或者一個等價消息,VRRP的狀態機比HSRP的要簡單,HSRP有6個狀態<初始<Initial>狀態,學習<Learn>狀態,監聽<Listen>狀態,對話<Speak>狀態,備份<Standby>狀態,活動<Active>狀態>和8個事件,VRRP只有3個狀態<初始狀態<Initialize>、主狀態<Master>、備份狀態<Backup>>和5個事件.3.HSRP有三種報文,而且有三種狀態可以發送報文呼叫<Hello>報文告辭<Resign>報文突變<Coup>報文VRRP有一種報文VRRP廣播報文：由主路由器定時發出來通告它的存在,使用這些報文可以檢測虛擬路由器各種參數,還可以用于主路由器的選舉。4.HSRP將報文承載在UDP報文上,而VRRP承載在TCP報文上<HSRP使用UDP1985端口,向組播地址發送hello消息。>5.VRRP的安全:VRRP協議包括三種主要的認證方式:無認證,簡單的明文密碼和使用MD5HMACip認證的強認證.強認證方法使用IP認證頭<AH>協議.AH是與用在IPSEC中相同的協議,AH為認證VRRP分組中的內容和分組頭提供了一個方法.MD5HMAC的使用表明使用一個共享的密鑰用于產生hash值.路由器發送一個VRRP分組產生MD5hash值,并將它置于要發送的通告中,在接收時,接受方使用相同的密鑰和MD5值,重新計算分組內容和分組頭的hash值,如果結果相同,這個消息就是真正來自于一個可信賴的主機,如果不相同,它必須丟棄,這可以防止攻擊者通過訪問LAN而發出能影響選擇過程的通告消息或者其他一些方法中斷網絡.另外,VRRP包括一個保護VRRP分組不會被另外一個遠程網絡添加內容的機制<設置TTL值=255,并在接受時檢查>,這限制了可以進行本地攻擊的大部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1.6.VRRP的崩潰間隔時間:3*通告間隔+時滯時間<skew-time>靚點傳媒路由設計基于靚點傳媒公司的規模將采用eigrp路由協議EIGRP:EnhancedInteriorGatewayRoutingProtocol即增強網關內部路由線路協議。也翻譯為加強型內部網關路由協議。EIGRP是Cisco公司的私有協議。Cisco公司是該協議的發明者和唯一具備該協議解釋和修改權的廠商。EIGRP結合了鏈路狀態和距離矢量型路由選擇協議的Cisco專用協議,采用彌散修正算法〔DUAL來實現快速收斂,可以不發送定期的路由更新信息以減少帶寬的占用,支持Appletalk、IP、Novell和NetWare等多種網絡層協議。優點：1.快速收斂鏈路狀態包<Link-StatePacket,LSP>的轉發是不依靠路由計算的,所以大型網絡可以較為快速的進行收斂.它只宣告鏈路和鏈路狀態,而不宣告路由,所以即使鏈路發生了變化,不會引起該鏈路的路由被宣告.但是鏈路狀態路由協議使用的是Dijkstra算法,該算法比較復雜,并且和其他路由協議單獨計算路由相比較占CPU和內存資源,EIGRP采用彌散更新算法<diffusingcomputations>,通過多個路由器并行的進行路由計算,這樣就可以在無環路產生的情況下快速的收斂.2.減少帶寬占用EIGRP不作周期性的更新,它只在路由的路徑和度發生變化以后做部分更新.當路徑信息改變以后,DUAL只發送那條路由信息改變了的更新,而不是發送整個路由表.和更新傳輸到一個區域內的所有路由器上的鏈路狀態路由協議相比,DUAL只發送更新給需要該更新信息的路由器。在WAN低速鏈路上,EIGRP可能會占用大量帶寬,默認只占用鏈路帶寬50%,之后發布的IOS允許使用命令ipbandwidth-percenteigrp來修改這一默認值.3.支持多種網絡層協議EIGRP通過使用"協議相關模塊"<即protocol-dependentmodule<PDM>>,可以支持IPX,ApplleTalk,IP,IPv6和NovellNetware等協議.4.無縫連接數據鏈路層協議和拓撲結構EIGRP不要求對OSI參考模型的層2協議做特別的配置.不像OSPF,OSPF對不同的層2協議要做不同配置,比如以太網和幀中繼,EIGRP能夠有效的工作在LAN和WAN中,而且EIGRP保證網絡不會產生環路<loop-free>;而且配置起來很簡單;支持VLSM;它使用多播和單播,不使用廣播,這樣做節約了帶寬;它使用和IGRP一樣的度的算法,但是是32位長的;它可以做非等價的路徑的負載平衡.總公司：將各個部門和總經理所處地址網段發布進eigrp中。設置遠程訪問口令：SW1<config>#linevty04SW1<config-line>#password123SW1<config-line>#loginSW1<config>#enablesecret123路由的發布SW1<config>#routereigrp100SW1<config>#noauto-summarySW1<config-router>#network55設置遠程訪問口令：SW2<config>#linevty04SW2<config-line>#password123SW2<config-line>#loginSW2<config>#enablesecret123路由的發布：SW2<config>#routereigrp100SW2<config>#noauto-summarySW2<config-router>#network55SW2<config-router>#netwo設置遠程訪問口令：R1<config>#linevty04R1<config-line>#password123R1<config-line>#loginR1<config>#enablesecret123R1<config>#routereigrp100R1<config>#noauto-summary分公司：設置遠程訪問口令：R1<config>#linevty04R1<config-line>#password123R1<config-line>#loginR1<config>#enablesecret123路由的發布：R1<config>#routereigrp100R1<config>#noauto-summaryR1<config-router>#networkR1<config-router>#network19PPP〔PointtoPointProtocol又稱點對點協議。對點協議〔PPP為在點對點連接上傳輸多協議數據包提供了一個標準方法。PPP最初設計是為兩個對等節點之間的IP流量傳輸提供一種封裝協議。在TCP-IP協議集中它是一種用來同步調制連接的數據鏈路層協議〔OSI模式中的第二層,替代了原來非標準的第二層協議,即SLIP。除了IP以外PPP還可以攜帶其它協議,包括DECnet和Novell的Internet網包交換〔IPX。PPP主要由以下幾部分組成：封裝：一種封裝多協議數據報的方法。PPP封裝提供了不同網絡層協議同時在同一鏈路傳輸的多路復用技術。PPP封裝精心設計,能保持對大多數常用硬件的兼容性,克服了SLIP不足之處的一種多用途、點到點協議,它提供的WAN數據鏈接封裝服務類似于LAN所提供的封閉服務。所以,PPP不僅僅提供幀定界,而且提供協議標識和位級完整性檢查服務。鏈路控制協議：一種擴展鏈路控制協議,用于建立、配置、測試和管理數據鏈路連接。網絡控制協議：協商該鏈路上所傳輸的數據包格式與類型,建立、配置不同的網絡層協議；配置：使用鏈路控制協議的簡單和自制機制。該機制也應用于其它控制協議,例如：網絡控制協議〔NCP。為了建立點對點鏈路通信,PPP鏈路的每一端,必須首先發送LCP包以便設定和測試數據鏈路。在鏈路建立,LCP所需的可選功能被選定之后,PPP必須發送NCP包以便選擇和設定一個或更多的網絡層協議。一旦每個被選擇的網絡層協議都被設定好了,來自每個網絡層協議的數據報就能在鏈路上發送了。鏈路將保持通信設定不變,直到有LCP和NCP數據包關閉鏈路,或者是發生一些外部事件的時候〔如,休止狀態的定時器期滿或者網絡管理員干涉。應用：假設同樣是在Windows98,并且已經創建好"撥號連接"。那么可以通過下面的方法來設置PPP協議：首先,打開"撥號連接"屬性,同樣選擇"服務器類型"選項卡；然后,選擇默認的"PPP：Internet,WindowsNTServer,Windows98",在高級選項中可以設置該協議其它功能選項；最后,單擊"確定"按鈕即可。PPP協議是一種點——點串行通信協議。PPP具有處理錯誤檢測、支持多個協議、允許在連接時刻協商IP地址、允許身份認證等功能,還有其他。PPP提供了3類功能：成幀；鏈路控制協議LCP；網絡控制協議NCP。PPP是面向字符類型的協議。PPP有兩種認證方式；一種是PAP,一種是CHAP。相對來說PAP的認證方式安全性沒有CHAP高。PAP在傳輸password是明文的,而CHAP在傳輸過程中不傳輸密碼,取代密碼的是hash〔哈希值。PAP認證是通過兩次握手實現的,而CHAP則是通過3次握手實現的。PAP認證是被叫提出連接請求,主叫響應。而CHAP則是主叫發出請求,被叫回復一個數據包,這個包里面有主叫發送的隨機的哈希值,主叫在數據庫中確認無誤后發送一個連接成功的數據包連接。配置命令：R1：Router>enableRouter#configureterminalRouter<config>#hostnamer1r1<config>#interfaces1/0r1<config-if>#noshutdownr1<config-if>#encapsulationpppr1<config-if>#pppauthenticationchapr1<config-if>#endr1#configureterminalr1<config>#usernamer2passwordliangdian123r1<config>#endR2：Router>enableRouter#configureterminalRouter<config>#hostnamer2r2<config>#interfaces1/0r2<config-if>#noshutdownr2<config-if>#encapsulationpppr2<config-if>#pppauthenticationchapr2<config-if>#endr2#configureterminalr2<config>#usernamer1passwordliangdian123r2<config>#endNAT的配置NAT是將多個或單個本地IP地址翻譯轉換為多個或單個IP地址進入公網。它節省資源,安全可靠,在各個領域廣泛使用。PAT是一種將多個內部本地IP地址翻譯為一個內部全局IP地址的方法.為了區分不同主機之間的會話連接,必須依靠第四層信息<TCP/UDP端口>加以區分.目前主要使用的就是這種方法.基本拓撲圖：/23總經理辦公室/23無線會議室/23業務部辦公室目的：讓這三個辦公室與公網連接,并且用NAT轉換地址使這三個網段都用f0/0端口連接因特網。配置命令：Router0:Router<config>#interfaceEthernet1/0Router<config-if>#noshRouter<config>#interfaceEthernet1/1Router<config-if>#ipaRouter<config-if>#noshRouter<config>#interfaceEthernet1/2Router<config-if>#noshRouter<config>#interface