《毕业设计论文多业务园区网出口设计方案.doc》由会员分享,可在线阅读,更多相关《毕业设计论文多业务园区网出口设计方案.doc(23页珍藏版)》请在三一办公上搜索。
1、西安高新科技职业学院毕 业 设 计(论文)课题名称 年 级 系 别 专 业 班 级 姓 名 学号 指导教师 多业务园区网出口设计方案【摘 要】园区出口网络作为局域网与互联网联系的关口在整个园区网络设计中占有举足轻重的地位,而一个园区的出口网络设计的好坏直接关系到这个园区网络的性能。本论文将先阐述当今网络的现在与研究背景,分析当今出口网络的缺点,然后通过深入的研究出口网络所必须的网络基础知识以及先进的网络技术从而进行对园区出口网络进行设计与实现。【关键词】园区出口、GLBP、策略路由、NAT、cisco第20页 目录1. 网络现状分析11.1当今网络现状11.2出口网络的现状12. 主要应用的技
2、术22.1 NAT22.1.1 静态NAT32.1.2 NAPT32.2 QoS:32.3 PBR:42.4 GLBP:43. 实验环境分析53.1 架空环境53.2实验网络环境描述53.2.1实验环境53.2.2设计需求的思想与原则54. 园区出口网络的设备选型64.1 Cisco网络设备的优点64.2设备选型64.2.1 网络边缘路由器64.2.2 防火墙64.2.3 核心交换机74.3 园区出口网络解决方案的制定74.3.1 园区出口网络的基本功能方案74.3.2 网络设备的管理85. 园区网络设备的具体配置85.1 出口路由器的配置105.1.1 NAT配置105.1.2 出口冗余策略
3、的配置105.2 防火墙的配置105.3 基础配置125.4 策略及QoS的配置135.5 设备管理以及监管145.5.1 路由器交换机syslog配置145.5.2 设备安全管理设计146. 测试156.1 路由测试156.2 vrrp故障切换166.2 边缘路由器测试176.3 测试小结177. 总结178致谢181. 网络现状分析1.1当今网络现状如今是一个信息网络迅速膨胀的年代,各种校园信息化建设也逐步深入,教育教学工作的运作越来越离不开计算机网络,各学校各单位的沟通、应用、财务、会议、教学等等数据都必须基于网络进行传输,构建一个安全可靠、管理方便的高端网络已经成为如今校园信息化建设基
4、础。随着学校院系的不断扩张和发展,将出现越来越多庞大的院系结构。 因此,如今的校园网络所承载的数据将更加的繁杂。下图是当今大型校园网普遍的组网模型,使用标准的3层设计模型,网络中数据流量大,同时包括视频点播FTP等业务,使得网络流量更加复杂,而随着锐捷、迈普等价格便宜的网络设备进入校园市场,各大高校核心网也开始使用10GE链路连接,俨然已经进入10GE高速度园区网络时代。图1.1当今校园网拓扑模型(锐捷设备组网图)1.2出口网络的现状虽然校园各机构经过多年持续不断的基础设施建设和应用提升,已经形成了较为稳定的颇有规模的园区网架构、相对丰富的园区网应用平台。但是,如今是一个讲求信息共享、资源整合
5、的时代,园区网出口区域所存在的问题开始困扰着大家。实践中发现,许多学校都测试了多种出口网络结构,却未能很好的解决问题,无法取得理想的效果。作为校园网平台的“门户”出口区域网,承担着各院系各学校部门对外交流的窗口的重要作用,而如今园区出口网却长期处于一种“亚健康”状态,简易的出口模型网络在许多大型园区网中存在,这样的园区出口网将成为内部网络与外部网络联系的瓶颈。常见的出口模型有如下几种,他们都存在诸如单点故障、NAT转换效率低、安全性低的缺点。单点故障:一条链路连接到运营商,当这条链路出现问题,内网用户将无法访问外网。NAT转换率低:中低端的路由在进行NAT地址转换时将消耗大量的系统资源,而出口
6、路由器并不仅仅进行NAT地址转换的工作还要进行路由转发等工作,而没有NAT转换卡的中低端路由器将成为内网访问外网的一个瓶颈。低安全性出口:在没有安装防火墙的出口网络中,如果单一的出口路由被攻破后,内网没有其他的保护措施,内网的敏感数据将毫无安全可言。图1.2当今园区网中普遍存在的出口拓扑本方案将运用如今流行的成熟的网络技术改造大型园区网的出口网络,解决以上出现的这些问题,下一章我们将介绍本方案所运用到的网络技术。2. 主要应用的技术2.1 NATNAT-网络地址转换,是通过将专用网络地址(如校园内部网地址)转换为公用地址(如互联网地址),从而对外隐藏了内部网络的 IP 地址。这样,能够在校园网
7、内部使用非注册(私网)的 IP 地址,并将它们转换为很小一部分外部注册(公网)的 IP 地址,从而达到减少IP 地址注册的费用以及节省了目前越来越缺乏的IP地址空间(即IPv4地址空间)。同时,也可以达到隐藏内部网络结构及地址的目的,从而降低了从外网针对内部网络攻击的风险。 2.1.1 静态NAT静态NAT是将内部网络中的某些主机地址映射成外部网络中的某个合法的公网地址。地址转换的优点在于,在为内部主机提供安全保护隐藏内部IP的前提下,实现了内部网络的主机通过这项功能访问外部网络的资源。但它也有一些缺点:由于需要对IP包进行修改,涉及到需要加密的数据包的它则无能为力。在应用协议中,如果包中有地
8、址或端口需要转换,则无法对包进行加密。例如,不能使用安全的telnet连接,还有VPN技术也同样不能使用NAT技术。当然由于NAT技术的使用,网络攻击的定位也变得更加困难。比如,某一台内部网络的主机试图攻击其它网络,则很难发现究竟内网的哪一台机器是攻击者,因为主机的IP地址被NAT网关转换过了从而被隐藏了。2.1.2 NAPTNAPT是把多个内部地址转换到外部网络的另一个IP地址的不同端口上。NAPT(Network Address Port Translation,网络地址端口转换)是NAT的一种变形和加强,它允许多个内部地址映射到同一个不同子网的地址上,也就是我们常说的地址复用。下图描述了
9、NAPT的基本原理。图 2.1 NAPT基本原理示意图如图2.1所示,四个带有内部地址的数据包到达NAT网关,其中数据包1和2来自同一个内部地址但有不同的源端口号,数据包3和4来自不同的内部地址但具有相同的源端口号。通过NAPT映射,四个数据包的源IP地址都被转换到同一个外部地址,但每个数据包都被赋予了不同的源端口号,因而仍保留了报文之间的区别。当回应报文到达时,NAT网关仍能够根据回应报文的目的地址和端口号来区别该报文应转发到的内部主机。采用NAPT可以更加充分地利用IP地址资源,实现更多内部网络主机对外部网络的同时访问。由于NAT只是一个解决IPv4与IPv6过渡的一个临时解决方案,所以N
10、AT拥有与主机之间的通信变得复杂等缺点,导致通信效率的降低。2.2 QoS:QoS(Quality of Service)服务质量。主要的服务质量包括传输的带宽、传送的时延、数据的丢包率、传输的抖动等。使用QoS的主要目的是为了保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动,使用这些措施来提高服务质量。在网络资源总量有限的情况下,就会存在抢夺网络资源的现象,就会有需要使用QoS的要求。服务质量是相对网络业务而言的,在保证某些特定的业务的畅通的同时,就要损害其它业务的服务质量。例如,在网络总带宽固定的情况下,某类业务所使用的带宽越多,则其他业务能使用的带宽就越少,可能会影响其他业务
11、的使用。因此,网络管理者需要根据各种业务的特点来对网络资源进行合理的规划和分配,从而使网络资源得到高效利用。QoS技术包括流分类、流量监管、流量整形、接口限速、拥塞管理、拥塞避免等。下面简述一下QoS技术在网络中的位置。图2.2 常用QoS技术在网络中的位置2.3 PBR:策略路由是一种比基于目标网络使得路由能够更加灵活的数据包路由转发机制。通常的路由器是通过对数据包的目的地址定位来进行路由选路的,而策略路由不仅仅根据目的地址还可以根据数据包源地址、数据包大小、数据表的扩展字段等条件灵活的为路由器选择数据表转发路径。2.4 GLBP:GLBP(Gateway Load Banancing Pr
12、otoco)网关负载均衡协议是HSRP(HSRP:Hot Standby Router Protocol)热备份路由器协议的扩展,它是Cisco的私有协议。他与众所周知的HSRP、VRRP不同的是,GLBP不仅提供冗余网关,还在各网关之间提供负载均衡,这是HSRP与VRRP不能够实现的,他不仅提供了不间断的网关冗余而且他还能够自动的在资源之间分配流量,从而达到热备份、负载分担及简化配置等目标。对于HSRP、VRRP都必须选定一个活动路由器,而其余备用的路由器在活动路由器出现故障前则处于闲置状态,而GLBP只需要一个有效虚拟网关AVG控制器,他负责为群中每一个路由器分配一个唯一的MAC地址,他负
13、责相应ARP请求,将自己与其他备份虚拟网关AVF的MAC响应ARP的请求,从而实现绑定多个MAC地址到虚拟IP,从而允许客户端选择组中包括AVG在内的路由器作为其默认网关,而网关地址仍使用相同的虚拟IP。如果有效虚拟网关AVG出现故障,则备份虚拟网关AVF会代替AVG的工作使得网关其依旧可以继续工作,并且不会导致主机连通中断现象。下图是GLBP的原理图。图2.3 GLBP原理图从图2.4可以看到,其中主机配置相同的网关IP 10.20.7.253,但他们获取的网关MAC不一样,两个网关SW A和SW B分别为这两个MAC的AVF。其中SW A被选举为这个GLBP组的AVG。3. 实验环境分析3
14、.1 架空环境本论文实验设计将基于福建师范大学福清分校的网络环境对本文提出的方案进行试验验证。福清分校为福建师范大学的一个分校,全校计算机数量逾1000台(不包括学生群体),信息点近900个,目前主要楼宇有教学楼、图书馆、科学楼、昌檀楼等,其它还有11幢学生宿舍楼,8幢教师宿舍。按照校园网络发展的趋势将宿舍区网络与校内办公网络合并,使得校园内拥有2万个信息点,出口链路包括教育网1G以及中国电信100M。3.2实验网络环境描述3.2.1实验环境Dynamips是一个基于虚拟化技术的模拟器(emulator),用于模拟思科(Cisco)的路由器。本论文将使用基于Dynamips的模拟器GNS3。G
15、NS3是一款优秀的具有图形化界面可以运行在多平台(包括Windows, Linux, and MacOS等)的网络虚拟软件。他除了整合了Dynamips以外还整合了Pemu这个PIX防火墙的模拟器。在使用Dynamips同时,为力求实验现象的真实性性还将使用真实设备进行试验。3.2.2设计需求的思想与原则(1)网络可靠性思想与原则: 在网络设计过程当中网络拓扑将使用高可用性的形式,即使用可冗余备份技术,使得安全性得以保障,有效避免出现单点故障,核心层将使用高端的交换机并使用光纤通信技术以达到高速以及容错的特性,使得单点故障不在发生。在加上双出口链路,双出口路由,双防火墙等措施,设备故障能做到自
16、动切换,不影响园区正常的上网需求,使得园区网络更加安全可靠 。高性能的NAT需求,由于接入的电信提供的互联网出口提供有限公网IP,解决园区内2万用户对外部网络的访问需求,需要高性能的NAT转换能力,否则将是制约上网速度的一个重大因数。(2)网络可扩展性思想与原则:园区网内部网络设备支持10GE,将来平滑过渡到10GE,届时对出口的要求又是另一番情况,在设计时需考虑以后的对出口的需求,支持扩展。园区出口网络路由器交换机防火墙等设备将使用思科最先进的产品,其拥有多种的模块插槽,丰富的扩展功能模块,优异的性能,高端的IOS支持等特性,不仅仅支持现有的IPv4技术,同时支持先进的IPv6技术,可以实现
17、IPv4到IPv6的平稳过渡。(3)网络实用性和可管理性思想与原则:由于园区网内用户众多,其中存在着P2P、迅雷等应用的恶意下载,同时目前QQ、MSN等及时聊天工具的视频、在线传输数据等对园区网出口造成较大的压力,要求实现对接入用户的带宽限制,避免不必要的带宽浪费,同时保障关键业务的开展,如视频会议、远程教育等。本方案将结合架空环境的需求进行合理的网络拓扑搭建与设备选型,以协调好可扩展性与实用性为目标进行方案的设计。并选择拥有高可管理性的设备进行方案的实施以达到网络的可管理性原则。(4)网络安全性思想与原则 出口的安全防护一直是园区出口网建设的重点关注的对象,近几年来,网络带宽迅速增长,网络威
18、胁也随之大幅增加,包括攻击、各类扫描、入侵、DDOS攻击、蠕虫病毒攻击、恶意软件、垃圾邮件。园区出口网络带宽越大,网络威胁可能造成的危害也就越大,出口设备的安全防御面临着空前挑战,出口设备需要防范校外网络威胁的攻击或入侵,要求必须对DoS攻击、ARP欺骗/攻击等网络攻击行为有较强的防范能力。面对日益突出的信息安全问题,园区出口安全建设更加重要。本方案将在边界网关处构筑防火墙,对网关路由器进行必要的安全设置,对涉密网络流量进行加密传输等技术来实现园区网的安全化。 4. 园区出口网络的设备选型4.1 Cisco网络设备的优点Cisco作为世界第一大网络设备生产商,目前互联网上近80%的信息流量必须
19、经过思科公司的产品传递。思科公司是国际网络的设备的领头羊,他拥有非常强大的技术研发团队,经验丰富的技术支持工程师,全球拥有35000多名雇员,其产品已经受到全球用户的一致好评。Cisco网络设备的稳定性是首屈一指的,返修率同比其他网络设备生产商要低出许多。对于追求高稳定性的客户来说Cisco设备是不二之选。4.2设备选型4.2.1 网络边缘路由器在网络的边缘本方案选择Cisco的7609路由器。Cisco 7609路由器一般部署于网络边缘的高性能路由器,网络边缘性能、IP服务、冗余性和故障弹性都是十分重要。他通过中央路由处理器和转发引擎相结合,可提供720Gbps的总吞吐量。拥有多功能扩展插槽
20、,通过扩展模块可展至了10G以太网。同时还可以通过NAT加速模块提高NAT IP转换时的效率,也可以加装防火墙模块达到路由器防火墙的效果。Cisco 7609 路由器是9插槽机箱产品。这一增强型机箱进行了设计改进,采用冗余、可变速的风扇架,带有路由处理器、交换矩阵和电源冗余性。4.2.2 防火墙在防火墙方面本方案使用Cisco ASA 5550 Firewall Edition套装。ASA5550是Cisco安全的旗舰产品。他的并发连接数可达到650,000 网络吞吐量:1.2 G bps。自适应安全设备采用可靠的1 机柜单元封装设计,能为大型企业和电信运营商网络提供主动/主动高可用性和光纤及
21、千兆以太网连接,进而可提供千兆位级安全服务。凭借8 个千兆以太网接口、4 个小封装可热挺拔(SFP)光纤接口、以及多达200 个VLAN 支持,企业能够将其网络划分成若干个高性能区域,以提高安全性。每个Cisco ASA 5550 上扩展支持多达5000 个SSL VPN peer;基础平台最多可支持5000 个IPsec VPN peer。通过使用Cisco ASA 5550 的集成VPN 集群和负载平衡能力,VPN 容量和永续性还可进一步提高。Cisco ASA 5550 在一个集群中可支持多达10 台设备,支持最高每集群50,000 个SSL VPN peer 或50,000 个IPse
22、c VPN peer。在业务连续性和事件规划方面,ASA 5550 还可受益于Cisco VPN FLEX 许可。该许可使管理员能够应对或规划最长2 个月的短期猝发并发SSL VPN 远程接入用户。利用Cisco ASA 5550 自适应安全设备的可选安全上下文能力,学校能够在一台设备中部署多达50个虚拟防火墙,针对每个部门或每个客户提供隔离控制,并降低总体管理和支持成本。该系统总共可提供12 个千兆以太网端口,其中只有8 个可以同时投入使用。学校可以选择铜线或光纤连接,支持灵活建立数据中心、园区边缘连接。如此强大的性能完全满足了大型校园网络边界的安全需求。4.2.3 核心交换机在核心交换机方
23、面本方案选择主流的Cisco Catalyst 6509交换机。思科6509系列核心交换机支持完整的QoS机制,涵盖策略,队列,流量整形和拥塞控制。运用NSF/SSO技术,能够保证不间断的高速数据转发和故障切换,确保园区网络服务连续性和实时功能特性升级。此外,6509还能运用SPUER ENGINE32 PISA智能应用程序提供视频流量控制与监控服务。提升整个园区网络Qos的高性能。6509支持最大VLAN数可达到4096个,底版带宽可扩充至720Gbps;数据吞吐性能可扩充至387 Mpps,同时它可支持多种网络协议,是网络核心设备的不二之选。以下是本方案使用的网络设备的选型列表:设备角色设
24、备型号数量(台)出口路由器Cisco76092防火墙ASA55502核心交换机CiscoCatalyst65092表4.1 设备选型列表4.3 园区出口网络解决方案的制定4.3.1 园区出口网络的基本功能方案总体上,选用两组设备,能在网络结构上解决单点故障问题。在线路上,每个防火墙都接入两个核心,能防止单个核心挂掉时,双出口还能继续正常运行;两台7609作为出口路由,在单个出口路由出现问题时能够使用另外一台出口路由访问外部网络,同时能够在单运营商链路出现问题时,自动切换到另外一个运营商,保证校园用户,员工的上网需求。设计如下图所示:图4.2 园区出口网设计拓扑图4.3园区出口网流量示意图4.3
25、.2 网络设备的管理开启所有网络设备的日记功能。日志对于网络安全的分析和安全设备的管理非常重要。使用IOS针对各种网络攻击和安全威胁进行日志记录,采用统一的格式,支持本地查看的同时,还能够通过统一的输出接口将日志发送到日志服务器,为用户事后分析、审计提供重要信息。日志包括:设备日志:设备状态,系统事件日志攻击日志:设备网络受到攻击的日志信息5. 园区网络设备的具体配置下图是网络IP地址规划图,本章节的配置是按照图表中所标注的端口以及IP进行配置的。图5.1网络出口IP地址图设备名及端口设备IPDMZ-HTTP1192.168.74.1(内部) 155.1.23.1(外部)DMZ-HTTP219
26、2.168.74.2(内部) 155.1.23.2(外部)DMZ-FTP192.168.74.3(内部) 155.1.23.3(外部)R1-E0/3192.168.11.1R2-E0/3192.168.22.1SW1-VLAN2-E0/1192.168.11.2SW1-E0/2192.168.10.253SW2-VLAN2-E0/1192.168.22.2SW2-E0/2192.168.10.252教师服务器10.21.0.0/16教师用户192.168.94.0/24表5.2 全网使用IP及端口5.1 出口路由器的配置5.1.1 NAT配置interface eth 0/1 ip nat e
27、nable /开启端口的NAT功能interface eth 0/3 ip nat enableip nat pool dx 202.99.160.2 202.99.160.2 netmask 255.255.255.252 /建立NAT的地址池access-list 1 permit 192.168.0.0 0.0.255.255 /建立访问控制列表ip nat source list1 pool dx overload /应用NAPT于指定的网段ip nat source static 192.168.74.1 155.1.23.1ip nat source static 192.168.
28、74.2 155.1.23.2ip nat source static 192.168.74.3 155.1.23.3 /静态NAT翻译,使用NVI技术由于接入的电信与教育网的互联网出口提供极为有限的公网IP,解决校内2万师生用户对外部网络的访问需求,需要高性能的NAT转换能力同时还必须使用PAT技术节约公网IP的使用,否则将是制约内网访问外网的一个重大因数。5.1.2 出口冗余策略的配置R1:router ospf 10 /建立OSPF实例10default-information originate/通告路由的起源network 192.168.11.1 255.255.255.0 are
29、a 0/将E0/3加入OSPF 区域0interface ethernet0/3ip address 192.168.11.1 255.255.255.0 /设置端口IPip ospf cost 100 /设置ospf的cost值为100no shutdownR2:router ospf 10default-information originatenetwork 192.168.22.1 255.255.255.0 area 0interface ethernet0/3ip ospf cost 100ip address 192.168.22.1 255.255.255.0no shutdo
30、wn本网络将使用OSPF作为动态路由协议动态生成路由表,路由器将通过设置OSPF接口COST值实现出口动态浮动路由,以及达出口冗余策略的配置。5.2 防火墙的配置为了使外部用户能够访问DMZ区域中的公共服务器时,防火墙必须对用户所访问的应用和服务类型进行审核和过滤,本论文以http(80端口以及自定义的8080端口)与ftp(21端口)为例。access-list permit DMZ extended permit tcp any host 192.168.74.1 eq http/允许互联网主机访问DMZ中的HTTP服务器#1access-list permit DMZ extended
31、permit tcp any host 192.168.74.2 eq 8080/允许互联网主机访问DMZ中的HTTP服务器#2access-list permit DMZ extended permit tcp any host 192.168.74.3 eq ftp/允许互联网主机访问DMZ中的FTP服务器access-list permit DMZ extended deny ip any any/拒绝其他一切的访问access-list permit DMZ in interface outside/在防火墙的outside接口上部署为了使外部用户可以访问内部的DMZ网段,在防火墙上创
32、建一个访问控制列表允许外部网络访问内部网络:alias DMZ 192.168.74.1 155.1.23.1 255.255.255.255alias DMZ 192.168.74.2 155.1.23.2 255.255.255.255alias DMZ 192.168.74.3 155.1.23.3 255.255.255.255使inside主机能访问DMZ区域中的服务器学校中的教师服务器只允许教师主机访问。access-list teacher extended permit ip 192.168.94.0 0.0.0.255 10.21.0.0 0.0.255.255 /允许教师主
33、机访问校园网教师服务器access-list teacher extended deny ip any 10.21.0.0 0.0.255.255 /拒绝其余主机访问校园网教师服务器access-list teacher in internface inside/在inside接口上应用该ACL这里教师的主机所在的网络地址为192.168.94.0/24,校园网教师服务器组的IP地址范围为10. 21.0.0/16。定义访问控制列表如下:阻止访问google的图片:class-map type regex match-any url /定义一个正则表达式urlmatch regex match
34、 regex match regex match regex match regex match regex /过滤所有的图片动画Exitclass-map type regex match-all methods /定义一个正则表达式methodsmatch regex “GET”Exit由于互联网上有许多对青少年健康成长有害的信息,所以在网络边界上过滤这些有害信息是至关重要的,下面以过滤用户访问google的图片为例,讲述通过使用正则表达式来进行访问控制的基本方法。class-map type http google_policy /定义一个用于过滤HTTP的MAPmatch reques
35、t url regex class url /匹配HTTP的request请求报文中的URL字段match request method regex class methods /匹配HTTP的request报文中的GET命令Exitpolicy-map type http web_polisyclass google_policydrop /丢弃匹配google上的图片的流量service-policy web_policy interface outside /在接口outside上应用5.3 基础配置核心交换通过启用SVI接口实现交换机与路由的OSPF动态路由协议的通信,通过启用GLBP
36、实现网关的冗余。SW1:vlan 2vlan 10router ospf 10network 0.0.0.0 0.0.0.0 area 0interface vlan 2 /与SW1相连ip ospf 100ip address 192.168.11.2 255.255.255.0interface e0/1switchport mode trunkno shutinterface e0/2switchport mode accessswitchport access vlan 10interface vlan 10ip address 192.168.10.253 255.255.255.0
37、glbp 1 ip 192.168.10.254 glbp 1 preempt glbp 1 priority 105 glbp 1 weighting track int e0/1 10 两台核心交换机配置如下:SW2:vlan 2vlan 10router ospf 10network 0.0.0.0 0.0.0.0 area 0interface vlan 2 /与SW1相连ip ospf 100ip address 192.168.22.2 255.255.255.0interface e0/1switchport mode trunkno shutinterface e0/2swit
38、chport mode accessswitchport access vlan 10interface vlan 10ip address 192.168.10.252 255.255.255.0glbp 1 ip 192.168.10.254 /定义GLBP相关配置参数,创建组1,并且设置虚拟路由器的IPglbp 1 preempt delay 10 /设置延迟10s强占glbp 1 priority 95 /设置端口优先级 glbp 1 weighting track int e0/1 10 /设置跟踪端口E0/1,并且在E0/1 DOWN的情况下优先级自动减105.4 策略及QoS的配
39、置SW1:Access-list 15 permit 162.105.0.0 255.255.0.0Access-list 15 permit 202.4.128.0 255.255.224.0route-map CERNET permit 10 /建立路由图CERNETmatch ip route-source 15 /匹配访问控制列表15set next-hop 192.168.11.1 /设置路由下一跳为172.16.11.1SW2:Access-list 15 permit 162.105.0.0 255.255.0.0Access-list 15 permit 202.4.128.0
40、 255.255.224.0route-map CERNET permit 10 /建立路由图CERNETmatch ip route-source 15 /匹配访问控制列表15set next-hop 172.16.11.1 /设置路由下一跳为 172.16.11.1访问教育网的流量必须通过R1进行NAT地址转换转发到教育网,为了解决同往教育网和电信网的流量区分,我们使用了策略路由进行人工干预数据流的流动。示意图如下:BT是进年来兴起的一种基于P2P的下载方式,这种下载方式在下载的同时同时上传已下载到的数据给其他下载者同时它使用随机端口于其他下载者传输数据,达到下载服务器的负担降低节约服务器
41、带宽流量等目的。然而这种下载方式对校园网的畅通带来了极大的危害同时也极难使用普通的访问控制列表进行封杀,为了保证校园内的网络畅通,本课题使用QoS中的nbar技术对BT进行封杀。copy tftp:bittorrent.pdlm flash: /上传 bittorrent.pdlm 到 flash conf t bittorrent.pdlm /加载 bittorrent.pdlm模块 class-map match-any BT /Match-any 表示匹配以下策略的任一个 match protocol bittorrent match protocol edonkey exit poli
42、cy-map DROP class BT drop exit interface fastEthernet 0/0 service-policy input DROP end5.5 设备管理以及监管5.5.1 路由器交换机syslog配置当网络出现错误或受到攻击的时候,网络管理员能够查看网络日志服务的中的消息记录,从而能够及时存取的查出症结的所在,及时发现和解决问题。logging on logging 172.16.11.1 /日志服务器的IP地址 logging facility local1 /facility标识, RFC3164 规定的本地设备标识为 local0 - local7
43、logging trap errors /日志记录级别 logging source-interface e0 /日志发出用的源IP地址 service timestamps log datetime localtime /日志记录的时间戳设置,可根据需要具体配置log相关配置如下:5.5.2 设备安全管理设计管理数据流信息是比较敏感的,对于它的传递对于安全性的要求是比较高的。为了保证这些敏感数据的安全,比较了SSH、SSL、Rtelnet、SNMP等网络管理手段,并根据福建师大福清分校的情况,选择SSH协议进行远程登录管理。而本方案将以福清分校为例使用CAT6509进行实例配置 。hostn
44、ame SDFX- 6509 /将改路由器命名为SDFX -6509ip domain-name username test password cisco /创建一个用户,名为test,口令为cisco line vty 0 4 /进出VTY链路 login local cryp to key generate rsa /配置SSH的服务The name for the keys will be: SDFX- /SSH的关键字名为:SDFX-ip ssh time-out 180/ 配置SSH的超时时间,把默认值改为180秒ip ssh authentication-retries 5 /配置SHH重试次数,把默认值改成5次以下为配置实例:6. 测试本论文为了追求数据的准确使用了真实设备进行方案的验证以及结果分析,测试使用到的设备较方案中的设备低端,但不影响测试的结果与方案的可行性。方案使用H3C交换机S2126两台做为接入设备,H3C三层交换机S3900两台做为核心设备,cisco2621两台做出口路由器。实验
