毕业论文大型超市办公网络需求分析

《毕业论文大型超市办公网络需求分析》由会员分享，可在线阅读，更多相关《毕业论文大型超市办公网络需求分析（52页珍藏版）》请在装配图网上搜索。

1、摘 要随着计算机技术的发展，信息时代正在来临，信息技术所带来的巨大经济效益似的各个行业加快脚步进行信息化，百货商场以及尤其演变而来的超市，仓储店等各类商业同样面临着信息化的巨大挑战。本文主要针对大型超市办公网络的日常管理要求，对大型超市的网络需求进行了研究。最后根据大型超市网络的需求，提出了大型超市的总体解决方案，整个方案从网络安全策略，网络技术选型等几个方面进行研究，整个系统采用具有高可靠性的总体设计，采用的技术是相对成熟的技术，整个系统的性能是可靠的，便于管理的。关键词信息网络网络需求网络设计网络工程AbstractWith the development of computer tech

2、nology, the information era is coming, the information technology has brought enormous economic benefits like each industry to accelerate the pace of information, department stores and especially evolved from the supermarkets, warehouse stores and other types of business is also facing the enormous

3、challenge of informatization. This article mainly aims at the large-scale supermarket daily office network management requirements, in large supermarket network demand undertook study. According to the large supermarket network demand, put forward large supermarket of the overall solution, the entir

4、e program from network security strategy, network technology selection and other aspects of research, the entire system with high reliability design, the technology is relatively mature technology, the performance of the whole system is reliable, easy to manage.Key wordsinformation network network r

5、equirements network design networkengineering目 录摘 要IAbstractII第1章 绪论11.1 选题的意义1第2章 超市办公网络需求分析22.1 超市办公网络背景分析22.2 网络设计原则32.3 网络方案描述4第3章 网络结构方案设计63.1 超市办公网络街头方案总体设计63.1.1 网络拓扑结构图设计63.1.2 设备的选购73.1.3 设备参数83.2 超市办公网络方案规划123.2.1 IP地址规划123.2.2 VLAN技术及规划143.2.3 Trunk技术及规划153.2.4 VRRP技术及规划153.2.5 静态路由技术及规划1

6、73.2.6 ARP技术及规划173.2.7 NAT技术及规划193.2.8 ACL技术及规划203.2.9 SSL VPN技术及规划21 TELENT技术及规划23第4章 超市办公网络的配置264.1 二层交换的配置264.1.1 VLAN的配置264.2.2 TRUNK的配置284.2 三层交换机的配置294.2.1 三层交换机配置VLAN及VLAN地址294.2.2 三层交换TRUNK的配置314.2.3 三层交换机VRRP的配置324.2.4 三层交换机ACL的配置364.3 路由器及SSL VPN的配置414.3.1 路由器NAT的配置414.3.2 静态路由的配置434.3.3 路

7、由器ARP绑定的配置444.3.4 SSL VPN的配置464.3.5 TELNET的配置46结论48致谢49参考文献50第1章 绪论 选题的意义随着计算机和网络技术的不断发展，在商业经济发展进程中将产生新的模式、建立新的秩序并形成新的商业经济理论和运作方式。从而将逐步加深商业经济的社会化和现代化程度，信息化和网络化的发展也成为商业经济宏观调控方式的转变提供了现实的客观条件和有力的工具。信息网络化在在商业经济领域的应用，必将成为更为社会化商业运作模式和更为现代化的交易方式，必将有利于节约交易成本，缩短交易周期，提高市场效率，从而必将实现产业经济的繁荣发展。在信息网络技术的支持下，整个商务平台可

8、以以最低的成本，最优质的服务、最快的管理反映进行运作。经营和管理将产生了一个革命性的转变：从模糊管理转向精确管理，从事后管理转向实时管理，从商品大类管理转向单品管理，从单纯的商品管理转向商品管理+顾客管理。我国大中型零售企业有80%不同程度地采用那个了计算机管理，其中绝大多数是实行连锁经营的零售企业。有70%以上的连锁企业建立了系统开发的前台POS销售系统和后台的MIS/ERP管理系统，30%左右的企业率先进入了商业自动化技术、现代通信金属和网络信息化技术组合的数字化管理系统集成的阶段。信息化的发展给我国连锁零售企业带来的绩效是巨大的，反映在增加商品销售规模每年达20%以上，也就是600亿元以

9、上，减少采购、配送、通信、离火的人工直接费用达40%，提高管理绩效、减少库存积压、提高商品资金周转率节约的间接费用达50%。本方案的总体设计思想是以XXXX超市所提供的应用系统（MIS）建设总体规划和要求为指导，力求为超市提供一个先进、灵活、可靠、基于标准的多业务网络平台，增加市场竞争能力；并为满足今后新的业务需求，迅速推出新的业务打好基础。第2章 超市办公网络需求分析 超市办公网络背景分析更快速的利用/消化新兴信息技术，将成为企业的业务模式的变化发展和业务范围的扩展奠定了坚实的技术基础，在此前提下，为了适应信息形势下超市将来业务量的不断增长和业务模式的不断变化，超市提出了建设高性能企业业务网

10、，将超市供应链MMIS系统等业务纳入该网络系统，为超市的业务发展奠定坚实的网络基础。分析表明，网络系统应该能够满足企业内部对于IP交换/路由，局部网络互联，安全控制，网络管理等服务需求；而且本期设计应该考虑到将来提供包括数据、语音、视频等在内的中和业务及增值业务，并能够实现各种业务网络的无缝连接和互联，形成以IP技术为核心的新一代通信基础网络架构，进一步推动XX超市的信息化进程。下面我们将基于上述诸点进一步对用户的需求加以分析。从设计和功能实现上，我们可以把网络划分为两层架构：核心层和接入层。核心层网络将实现主干网络的连通需求，并能够通过某种手段保证主干稳定可靠。而且，一旦某个主干连接中断时，

11、网络能自动隔离故障点并继续工作。主干网络还应该能很高的提供服务质量保证。光线的财通为我们的设计高带宽的传输骨干奠定了坚实的物质基础。同时，核心层网络还应该具有高带宽，高可靠性，支持主流的协议TCP/IP；支持多服务，如数据、语音、视频等等，提供质量保证（QoS）；高安全性；易于扩展和升级，招呼投资；易于管理和维护，有较低的拥有成本。在主干网络上传输的业务主要有MIS应用，他们构成了整个企业的管理信息留。各楼称将建设告诉局域网，完成接入层功能。该局域网将告诉交换机提供高速接口连接核心层主干网络，同事，对每个用户提供网络接入服务，完成到用户的最终连接。全部挽留过的接入设备应该能够提供服务质量保证、

12、安全、流量分类功能。 网络设计原则本方案的总体设计思想是以XX超市所提出的总体规划和要求为指导，力求为超市提供一个先进、灵活、可靠、基于标准的多业务网络平台，支持超市降低生产成本，增加事项竞争力，并为满足今后新的业务需求迅速推出新的业务打好基础。有鉴于此，设计/组建超市办公网络是应主要遵循一下设计/组建原则：l 开放和标准考虑到超市未来的企业发展、互联及互操作性的要求，组网采用的网络设备应该支持多种标准化协议，使得内部连接及外部通讯更加方便。l 先进性和成熟性采用业界先进而又成熟的网络技术和网络设备，能够承载和交换各种信息。l 可拓展性网络系统的设计既要考虑到用户业务的需求，又要考虑到在市场竞

13、争的环境下，未来企业业务的扩展。因此，在网络技术的选择上，网络设备的选择上，应考虑到未来的升级、扩展。而且，网络总体设计规模应适度超前，建设可以分期进行，各类接入端口虚分期配置。从用户需求情况看，全网为超市办公的各种业务提供各种告诉的网络服务，降低企业内部信息交换的成本开支。在未来几年，新型业务发展将成倍增长。这种业务趋势要求网络具有很好的可扩展性，以适应不断增长的业务需求。l 交换设备的可扩容性从Internet网络的发展来看，网络的容量增长非常迅速。预计在2年内将扩展到Terabits级，因此骨干路由/交换设备应具有千兆容量。l 端口的可扩容性在网络组建伊始，由于业务量处在发展的初期，端口

14、和模块可以相应配置的较少。随着业务量不断的增长，只有在也有的设备上增加模块和端口，以适应业务的需求。因此要求集线器具有较强的端口扩展属性，从而使网络适应业务增长的趋势。l 提高可扩展的多种网络业务随着TCP/IP技术的不断发展，应用越来越多地转移到IP平台上，采用TCP/IP网络技术建立支持多种业务的统一网络平台以成为一种经济的、搞笑的做法。同时充分利用光线技术和资源，构架新的企业网。为确保不同的业务得到服务质量保证(QoS)，网络交换设备应该能够提供QoS和COS功能l 高可靠性对于企业网络来说，能够提供可靠的业务是很重要的。特备是在网络环境不太稳定的建网初期，以及自然条件不好的情况下，如何

15、保证网络的可靠性就成为一个极具挑战性的问题。l 设计实施考虑 超市的网络建设，应本着“总体设计/统一实施”的原则，即设计时对全系统挽留过及业务系统统一做出考虑；实施的每一个阶段应确定实施管理目标，网络实施方案应与系统及应用的实施充分考虑衔接和兼容，做到从总体上要统一的考虑，保证投资的最大效益。 网络方案描述超市的办公网络系统主要用于承载对本企业而言至关重要的信息留。该网络主要为企业的MIS应用，OA应用提供可靠的保证。他的主要特点是：l 高可靠性/高可用性由于企业网络所服务的对象是支持整个企业业务活动的关键应用，因此要求组成网络的主要设备具有相当高的可靠性；同时在网络的整体拓扑结构的设计方面，

16、也必须仔细考虑，使其在某些物理链路故障时，仍能保证不影响应用的运行。l 可控制性对企业而言，出于本身业务的特点和要求，往往希望对所建的网络拥有相当的控制/管理能力以满足不同时期、不同应用对于这一关键资源的需求。l 生命力对于投入了大量人力、物理建设的网络，自然希望它能够尽可能持久有服务于业务的需求，所以网络所使用/选用的技术设备，以及所采用的拓扑结构必须能够支持未来至少五至十年的通讯需求的能力。l 层次性企业网络往往包含多种多样的应用，他们对带宽/可靠性的要求并不完全一样，如：企业关键的数据库安全，带宽，可靠性，可用性等反面都要大大高于桌面用户的要求；而且，层次化网络也便于管理，便于升级，拓展

17、。l 弹性的，模块化的设计思想 正因为架设企业主干网是一项投资大、周期长的建设，因此在规划、设计及设备选型阶段，必须充分考虑未来需求的成长、技术的升级和投资的保护等等因素，选择具有先进的体系结构，弹性的、模块化的结构、以便容纳未来新型的应用、技术。另外，从投资效益的角度出发，尽可能以统一的硬件设备来支持多重的通讯需求才是最佳的选择。第3章 网络结构方案设计3.1 超市办公网络街头方案总体设计 网络拓扑结构图设计根据超市办公挽留过的需求和业务系统，我们建议超市的网络：主干主要采用千兆的快速以太网技术。千兆快速以太网技术最高传输速率为1Gbps，与以太网技术、快速以太网技术向下兼容，而且，千兆以太

18、网交换机具有极高的性能，是目前大型办公企业的主流选择。网络应用协议应以TCP/IP为主，TCP/IP协议是开放的网络协议，它也是事实上的工业标准，因为众多的生存厂商都支持该标准。基于TCP/IP协议开发的应用程序极为丰富。特别是九十年代以后，随着Internet的爆炸性增长，在Internet上的应用程序如雨后春笋搬涌现出来。其中包括IP 、图像传输、视频点播、电视会议系统等多媒体应用程序。随着技术发展的和应用的丰富，IP的服务质量（QoS）也不断的改善。与ATM网络相比，IP网络的QoS技术发展得更快，应用支持更加丰富。IP协议在未来几年内成为世界上的主流网络协议已经不可阻挡。基于以上考虑，

19、超市的网络拓扑结构设计如图3-1：根据办公的需求，预期实现一下功能：1.核心交换机采用双机热备技术，可以保证当其中一台核心交换机出现故障时，公司的办公网络可以正常运作。2.为公司配置VPN服务器，这样可以保证出差人员随时对公司的网络进行管理。3.为公司的数据库服务器，OA服务器，FTP服务器配置ACL访问控制列表，实现只有特定的用户可以访问特定的服务器，其余用户不可以访问。4.在出口路由器上进行WEB服务器的发布，来配合公司网站的建设和邮件服务器功能的实现。5.公司网络采用静态路由协议，并在核心交换机上进行ARP绑定，这样可以避免局域网内ARP病毒的传播。图3-1 网络拓扑机构设计 设备的选购

20、从办公网络体系发展的实际出发，我们建议超市办公局域网络主要采用H3C公司的网络设备，整个网络采用以太网技术，不同的层次根据业务的需要选用不同的网络设备。具体设备选购如表3-1：表3-1 设备选购表厂商型号数量报价H3CH3C SR6600138600H3CH3C SecBlade SSL18000H3CH3C S5500-28c-EI217100H3CH3C S5024E43600H3CH3C S5024F-SI374003 设备参数l H3C SR6600：多业务路由器，模块化端口，速率支持10/100/1000Mbps 10000Mbps。l H3C SecBlade SSL： SSL V

21、PN模块。l H3C S5024E：表3-2表3-2 H3C5024E参数表主要参数产品类型：智能交换机 应用层级：二层 纠错 传输速率：10/100/1000Mbps 交换方式：存储-转发 背板带宽：48Gbps 包转发率： MAC地址表：8K端口参数端口结构：非模块化 端口数量：24个 端口描述：24个10/100/1000BASE-T自协商的以太网端口 控制端口：1个Console端口 传输模式：全双工/半双工自适应 功能特性网络标准：IEEE 802.3，IEEE 802.3u，IEEE 802.3ab，IEEE 802.3z，IEEE 802.3x 最多支持24个基于端口的VLAN支

22、持802.1q VLAN下的端口隔离 QOS：支持802.1p、DSCP优先级支持每端口4个优先级队列支持WRR、HQ-WRR队列调度 组播管理：支持IGMP Snooping最多支持256个组播组 网络管理：支持Web网管支持通过Console口进行管理支持Telnet远程管理支持DHCP-client支持网吧专区智能设定支持SNMP v2c，支持RMON 安全管理：支持IP+MAC+端口+VLAN绑定支持智能绑定（一键绑定）支持DHCP-Snooping支持防ARP欺骗，支持攻击源定位，ARP限速支持IP-ACL、MAC-ACL、VLAN-ACL支持防DoS攻击支持防蠕虫病毒攻击支持安全专

23、区脚本配置支持管理VLAN支持两级用户管理，支持高级用户密码保护支持黑洞地址支持防MAC地址泛滥攻击支持基于端口及基于MAC的l H3C S5500-28c-EI：表3-3：表3-3 H3C S5500-28c-Ei参数表主要参数产品类型：千兆以太网交换机 传输速率：10/100/1000Mbps交换方式：存储-转发背板带宽：128Gbps 包转发率：96Mpps MAC地址表：16K 端口参数端口结构：非模块化 端口数量：28个 端口描述：24个10/100/1000Base-T以太网端口，4个复用的1000Base-X千兆SFP端口 扩展模块：2个扩展插槽 传输模式：支持全双工功能特性堆叠

24、功能：可堆叠 VLAN：支持基于端口的VLAN（4K个）支持基于MAC的VLAN基于协议的VLAN支持QinQ，灵活QinQ支持VLAN Mapping支持Voice VLAN支持GVRP 纠错 QOS：支持对端口接收报文的速率和发送报文的速率进行限制支持报文重定向支持CAR（Committed Access Rate）功能每个端口支持8个输出队列支持端口队列调度支持报文的802.1p和DSCP优先级重新标记 组播管理：支持IGMP Snooping/MLD Snooping支持组播VLAN支持未知组播丢弃 网络管理：支持XModem/FTP/TFTP加载升级支持命令行接口（CLI），Teln

25、et，Console口进行配置支持SNMPv1/v2/v3，WEB网管支持RMON（Remote Monitoring）告警、事件、历史记录支持iMC智能管理中心支持系统日志，分级告警，调试信息输出支持HGMPv2支持NTP支持电源的告警功能，风扇、温度告警支持Ping、Tracert支持VCT（Virtual Cable Test）电缆检测功能支持DLDP（Device Link Detection Protocol）单向链路检测协议支持Loopback-detection 端口环回检测 纠错 安全管理：支持用户分级管理和口令保护支持认证/集中式MAC地址认证支持Guest VLAN支持RA

26、DIUS认证支持支持端口隔离支持端口安全支持EADl H3C S5024F-SI：表3-4表3-4 H3C S5024F-SI参数表主要参数产品类型：千兆以太网交换机应用层级：三层 传输速率：10/100/1000Mbps 交换方式：存储-转发 MAC地址表：8K端口参数端口结构：非模块化 端口数量：24个 端口描述：8个10/100/1000BASE-T自适应以太网端口，16个独立100Mbps/1000Mbps SFP光口控制端口：1个Console端口功能特性网络标准：，ANSI/IEEE 802.3 NWay，IEEE 802.3x VLAN：最多支持512个符合标准的VLAN最多支持

27、24个基于端口的VLAN（Port-based VLAN）QOS：支持、DSCP优先级支持每端口4个优先级队列支持WRR、HQ-WRR队列调度 组播管理：支持IGMP Snooping最多支持256个组播组 网络管理：支持Web网管支持通过Console口进行管理支持Telnet远程管理支持DHCP-client支持SNMP v2c，支持RMON支持H3C iMC智能网管系统 安全管理：支持管理VLAN支持两级用户管理，支持高级用户密码保护支持黑洞地址支持防MAC地址泛滥攻击支持基于端口及基于MAC的支持端口隔离支持AAA，支持Radius认证3.2 超市办公网络方案规划 IP地址规划随着这些

28、年网络的发展，越来越多的企业都组建了内部局域网，来实现自动化无纸办公等高效率、低成本的运营和管理。很多新成立的中小企业以及一些以前没有组网的老企业，现在也都纷纷组建企业局域网，企业中“无网不利”已经成为大势所趋。但是这些企业由于原来并没有网络管理和规划的经验，很多新上任的网管对IP地址的规划管理不够重视，以在以后需要扩展网络或增加服务时造成很多不便，而且随着时间的推移，没有结构化的编制对日常的维护管理也会逐渐增加难度。合理的地址分配有几个基本规则：规则一：体系化编址。体系化其实就是结构化、组织化，根据企业的具体需求和组织结构为原则对整个网络地址进行有条理的规划。一般这个规划的过程是由大局、整体

29、着眼，然后逐级由大到小分割、划分的。这其实跟实际的物理地址分配原则是一样的，肯定是先划分省市、再细分割出县区、再细分出道路、再来是街巷，最后是门牌。从网络总体来说，体系化编制由于相邻或者具有相同服务性质的主机或办公群落都在IP地址上也是连续的，这样在各个区块的边界路由设备上便于进行有效的路由汇总，使整个网络的结构清晰，路由信息明确，也能减小路由器中的路由表。而每个区域的地址与其他的区域地址相对独立，也便于独立的灵活管理。规则二：可持续扩展性。其实就是在初期规划时为将来的网络拓展考虑，眼光要放得长远一些，在将来很可能增大规模的区块中要留出较大的余地。IP地址最开始是按有类划分的，A、B、C各类标

30、准网段都只能严格按照规定使用地址。但现在发展到了无类阶段，由于可以自由规划子网的大小和实际的主机数，所以使得地址资源分配的更加合理，无形中就增大了网络的可拓展性。虽然在网络初期的一段可能很长的时间里，未合理考虑余量的IP地址规划也能满足需要，但是当一个局部区域出现高增长，或者整体的网络规模不断增大，这时不合理的规划很可能必须重新部署局部甚至整体的IP地址，这在一个中、大型网络中就绝不是一个轻松的工作了。 规则三：按需分配公网IP。相对于私有IP而言，公网IP是不能由自己完全做主要求的，而是ISP等机构统一分配和租用的。这就造成了公网IP要稀缺的多，所以对公网IP必须按实际需求来分配。如：对外提

31、供服务的服务器群组区域，不仅要够用，还得预留出余量；而员工部门等仅需要浏览Internet等基本需求的区域，可以通过NAT（网络地址转换）来多个节点共享一个或几个公网IP；最后，那些只对内部提供服务，或只限于内部通讯的主机自然不用分配公网IP了。公网IP具体的分配，必须根据实际的需求，进行合理的规划。遵循以上的规则本此设计将IP做如下的划分：表3-5表3-5 公司IP地址规划部门名称所属VLANIP地址范围产品客户部10192.168.10.0行政部20192.168.20.0财务部30192.168.30.0库房40192.168.40.0设计部50192.168.50.0经理办公室6019

32、2.168.60.0公司服务器70192.168.70.0与路由器相连的端口100192.168.1.0设备的管理VLAN1000192.168.100.0 VLAN技术及规划VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费

33、可贵的带宽；而且对广播风暴的控制和网络安全只能在第三层的路由器上实现1。VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在一个VLAN内部，划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。另外，VLAN具有灵活性和可扩张性等特点，方便于网络维护和管理，

34、这两个特点正是现代局域网设计必须实现的两个基本目标，在局域网中有效利用虚拟局域网技术能够提高网络运行效率。根据公司的具体要求，先对公司的VLAN进行如下划分：VLAN10：产品客户部VLAN20：行政部VLAN30：财务部VLAN40：库房VLAN50：设计部VLAN60：经理办公室VLAN70：公司服务器VLAN100：与路由器相连的端口VLAN1000：设备的管理VLAN Trunk技术及规划 Trunk是端口汇聚的意思，即通过配置软件的设置，将两个或多个物理端口组合在一起成为一条逻辑的路径，从而增加在交换机和网络节点之间的带宽，将属于这几个端口的带宽合并，给端口提供一个几倍于独立端口的独

35、享的高带宽。Trunk是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和核心交换机或路由器。基于端口汇聚(Trunk)功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接和同时传输，以提供更高带宽、更大吞吐量，大幅度提高整个网络的性能2。 VRRP技术及规划 在基于TCP/IP协议的网络中，为了保证不直接物理连接的设备之间的通信，必须指定路由。目前常用的指定路由的方法有两种：一种是通过路由协议（比如：内部路由协议RIP和OSPF）动态学习；另一种是静态配置。在每一个终端都运行动态路由协议是不现实的，大多

36、客户端操作系统平台都不支持动态路由协议，即使支持也受到管理开销、收敛度、安全性等许多问题的限制。因此普遍采用对终端IP设备静态路由配置，一般是给终端设备指定一个或者多个默认网关（Default Gateway）。静态路由的方法简化了网络管理的复杂度和减轻了终端设备的通信开销，但是它仍然有一个缺点：如果作为默认网关的路由器损坏，所有使用该网关为下一跳主机的通信必然要中断。即便配置了多个默认网关，如不重新启动终端设备，也不能切换到新的网关。采用虚拟路由冗余协议（Virtual Router Redundancy Protocol，简称VRRP）可以很好的避免静态指定网关的缺陷3。 在VRRP协议中

37、，有两组重要的概念：VRRP路由器和虚拟路由器，主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器，是物理实体，虚拟路由器是指VRRP协议创建的，是逻辑概念。一组VRRP路由器协同工作，共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色：主控路由器和备份路由器，一个VRRP组中有且只有一台处于主控角色的路由器，可以有一个或者多个处于备份角色的路由器。VRRP协议使用选择策略从路由器组中选出一台作为主控，负责ARP相应和转发IP数据包，组中的其它路由器作为备份的角色处于待命状态。当由于某种原

38、因主控路由器发生故障时，备份路由器能在几秒钟的时延后升级为主路由器。由于此切换非常迅速而且不用改变IP地址和MAC地址，故对终端使用者系统是透明的。 一个VRRP路由器有唯一的标识：VRID，范围为0255。该路由器对外表现为唯一的虚拟MAC地址，地址的格式为00-00-5E-00-01-VRID。主控路由器负责对ARP请求用该MAC地址做应答。这样，无论如何切换，保证给终端设备的是唯一一致的IP和MAC地址，减少了切换对终端设备的影响。 VRRP控制报文只有一种：VRRP通告(advertisement)。它使用IP多播数据包进行封装，组地址为，发布范围只限于同一局域网内。这保证了VRID在

39、不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举4。 在VRRP路由器组中，按优先级选举主控路由器，VRRP协议中优先级范围是0255。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同，则称该虚拟路由器作VRRP组中的IP地址所有者；IP地址所有者自动具有最高优先级：255。优先级0一般用在IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1254。优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其它管理策略设定。主控路由器

40、的选举中，高优先级的虚拟路由器获胜，因此，如果在VRRP组中有IP地址所有者，则它总是作为主控路由的角色出现。对于相同优先级的候选路由器，按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略，如果配置了该策略，高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。 为了保证VRRP协议的安全性，提供了两种安全认证措施：明文认证和IP头认证。明文认证方式要求：在加入一个VRRP路由器组时，必须同时提供相同的VRID和明文密码。适合于避免在局域网内的配置错误，但不能防止通过网络监听方式获得密码。IP头认证的方式提供了更高的安全性，能够防止报文重放和修改等攻击。 静态路由技术

41、及规划 静态路由一般是由管理员手工设置的路由，而动态路由则是路由器中的动态路由协议根据网络拓扑情况和特定的要求自动生成的路由条目。 什么样的路由器要使用什么样的路由协议，是由网络的管理策略直接决定的。一般中小型的网络，网络拓扑比较简单，不存在线路冗余等因素，所以通常采用静态路由的方式来配置。但是大型网络网络拓扑复杂，路由器数量大，线路冗余多，管理人员相对较少，要求管理效率要高等原因，通常都会使用动态路由协议，适当的辅以静态路由的方式。 静态路由基本上都是人为配置的路由，或由人为的相关设置自动生成的，如你配置了IP地址就会产生一个直连路由5。 一般的静态路由设置经过保存后重起路由器都不会消失，但

42、相应端口关闭或失效时就会有相应的静态路由消失。反而动态路由却会消失，因为动态路由要在动态路由协议正常运行的前提下才能产生的。 3.2.6 ARP技术及规划 在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信流量使网络阻塞6。 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机

43、的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下所示： A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd

44、-dd-dd-dd-dd 我们以主机A（）向主机B（）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“”，这表示向同一网段内的所有主机发出这样的询问：“ 的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时

45、它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。这正好是D能够接收到A发送的数据包了么，嗅探成功。 A对这个变化一点都

46、没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。 做“man in the middle”，进行ARP重定向。打开D的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如D发送ICMP重定向的话就中断了整个计划。 D直接进行整个包的修改转发，捕获到A发送给C的数据包，全部进行修改后再转发给C，而C接收到的数据包完全认为是从A发送来的。不过，C发送的数据包又直接传递给A，倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了，对于A和C之间的通讯就可以了如指掌了。 NAT技术及规划 随着Interne

47、t的发展和网络应用的增多，IPv4地址枯竭已成为制约网络发展的瓶颈。尽管IPv6可以从根本上解决IPv4地址空间不足问题，但目前众多网络设备和网络应用大多是基于IPv4的，因此在IPv6广泛应用之前，一些过渡技术（如CIDR、私网地址等）的使用是解决这个问题最主要的技术手段7。 其中，使用私网地址之所以能够节省IPv4地址，主要是利用了这样一个事实：一个局域网中在一定时间内只有很少的主机需访问外部网络，而80%左右的流量只局限于局域网内部。由于局域网内部的互访可通过私网地址实现，且私网地址在不同局域网内可被重复利用，因此私网地址的使用有效缓解了IPv4地址不足的问题。当局域网内的主机要访问外部

48、网络时，只需通过NAT技术将其私网地址转换为公网地址即可，这样既可保证网络互通，又节省了公网地址。 作为一种过渡方案，NAT通过地址重用的方法来满足IP地址的需要，可以在一定程度上缓解IP地址空间枯竭的压力。它具备以下优点：l 对于内部通讯可以利用私网地址，如果需要与外部通讯或访问外部资源，则可通过将私网地址转换成公网地址来实现。l 通过公网地址与端口的结合，可使多个私网用户共用一个公网地址。l 通过静态映射，不同的内部服务器可以映射到同一个公网地址。外部用户可通过公网地址和端口访问不同的内部服务器，同时还隐藏了内部服务器的真实IP地址，从而防止外部对内部服务器乃至内部网络的攻击行为。l 方便

49、网络管理，如通过改变映射表就可实现私网服务器的迁移，内部网络的改变也很容易。 NAT的基本原理是仅在私网主机需要访问Internet时才会分配到合法的公网地址，而在内部互联时则使用私网地址。当访问Internet的报文经过NAT网关时，NAT网关会用一个合法的公网地址替换原报文中的源IP地址，并对这种转换进行记录；之后，当报文从Internet侧返回时，NAT网关查找原有的记录，将报文的目的地址再替换回原来的私网地址，并送回发出请求的主机。这样，在私网侧或公网侧设备看来，这个过程与普通的网络访问并没有任何的区别。 3.2.8 ACL技术及规划 ACL技术在路由器中被广泛采用，它是一种基于包过滤

50、的流控制技术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素，并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上，可以通过实施ACL，可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加，一些企业已经开始使用ACL来控制对局域网内部资源的访问能力，进而来保障这些资源的安全性。 ACL技术可以有效的在三层上控制网络用户对网络资源的访问，它可以具体到两台网络设备间的网络应用，也可以按照网段进行大范围的访问控制管理，为网络应用提供了一个有效的安全手段8。一方面，采用ACL技术，网络管理员需要明确每一台主机及工作站所在的IP子网并确认它们之间的访问

51、关系，适用于网络终端数量有限的网络。对于大型网络，为了完成某些访问控制甚至不得不浪费很多的IP地址资源。同时，巨大的网络终端数量，同样会增加管理的复杂度和难度。另一方面，维护ACL不仅耗时，而且在较大程度上增加路由器开销。访问控制列表的策略性非常强，并且牵涉到网络的整体规划，它的使用对于策略制定及网络规划的人员的技术素质要求比较高。因此，是否采用ACL技术及在多大的程度上利用它，是管理效益与网络安全之间的一个权衡。 访问控制列表从概念上来讲并不复杂，复杂的是对它的配置和使用，许多初学者往往在使用访问控制列表时出现错误。下面是对几种访问控制列表的简要总结。l 标准IP访问控制列表： 一个标准IP

52、访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。l 扩展IP访问控制列表：扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。l 命名的IP访问控制列表：所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。 l 标准IPX访问控制列表：标准IPX访问控制列表的编号范围是80

53、0-899，它检查IPX源网络号和目的网络号，同样可以检查源地址和目的地址的节点号部分。 l 扩展IPX访问控制列表： 扩展IPX访问控制列表在标准IPX访问控制列表的基础上，增加了对IPX报头中以下几个字段的检查，它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围是900-999。 命名的IPX访问控制列表与命名的IP访问控制列表一样，命名的IPX访问控制列表是使用列表名取代列表编号。从而方便定义和引用列表，同样有标准和扩展之分。 SSL VPN技术及规划SSLVPN、IPSecVPN、网络安全VPN是一项非常实用的技术，它可以扩展企业的内部网络，近期，传统的

54、IPSecVPN出现了客户端不易配置等问题，相对而言，SSLVPN作为一种全新的技术正在被广泛关注，SSL利用内置在每个Web浏览器中的加密和验证功能，并与安全网关相结合，提供安全远程访问企业应用的机制，这样，远程移动用户可以轻松访问公司内部B/S和C/S应用及其他核心资源9。SSLVPN是指应用层的VPN，基于HTTPS来访问受保护的应用。目前常见的SSLVPN方案有两种：直路方式和旁路方式。直路方式中，当客户端需要访问一应用服务器时，首先，客户端和SSLVPN网关通过证书互相验证双方；其次，客户端和SSLVPN网关之间建立SSL通道;然后，SSLVPN网关作为客户端的代理和应用服务器之间建

55、立TCP连接，在客户端和应用服务器之间转发数据。旁路方式与直路不同的是，为了减轻在进行SSL加解密时的运行负担，也可以独立出SSL加速设备，在SSLVPNServer接收到HTTPS请求时将SSL加密的过程交给SSL加速设备来处理，当SSL加速设备处理完之后再将数据转发给SSLVPNServer。 保密性就是对抗对手的被动攻击，保证不泄漏给未经授权的人。由于使用的是SSL协议，该协议是介于HTTP层及TCP层的安全协议。传输的内容是经过加密的。SSLVPN通过设置不同级别的用户，设置不同级别的权限来屏蔽非授权用户的访问。用户的设置可以有设置帐户、使用证书、Radius机制等不同的方式。SSL数

56、据加密的安全性由加密算法来保证，各家公司的算法可能都不一样。黑客想要窃听网络中的数据，就要能够解开这些加密算法后的数据包。 完整性就是对抗对手主动攻击，防止被未经授权的篡改。由于SSLVPN一般在GATEWAY上或者在防火墙后面，把企业内部需要被授权外部访问的内部应用注册到SSLVPN上，这样对于GATEWAY来讲，需要开通443这样的端口到SSLVPN即可，而不需要开通所有内部的应用的端口，如果有黑客发起攻击也只能到SSLVPN这里，攻击不到内部的实际应用。 可用性就是保证及系统确实为授权使用者所用。前面已经提到，对于SSLVPN要保护的后台应用，可以为其设置不同的级别，只有相应级别的用户才

57、可以访问到其对应级别的资源，从而保证了的可用性。 可控性就是对及系统实施安全监控。SSLVPN作为一个安全的访问连接建立工具，所有的访问都要经过这个网关，所以记录日志对于网关来说非常重要。不仅要记录日志，还要提供完善的超强的日志分析能力，才能帮助管理员有效地找到可能的漏洞和已经发生的攻击，从而对系统实施监控。 客户端的区别是SSLVPN最大的优势。浏览器内嵌了SSL协议，所以预先安装了Web浏览器的客户机可以随时作为SSLVPN的客户端。这样，使用零客户端的SSLVPN远程访问的用户可以为远程员工、客户、合作伙伴及供应商等，通过SSLVPN，客户端可以在任何时间任何地点对应用资源进行访问，也就

58、是说是基于B/S结构的业务时，可以直接使用浏览器完成SSL的VPN建立；而IPSecVPN只允许已经定义好的客户端进行访问，所以它更适用于企业内部。 一般企业在Internet联机入口，都是采取适当的防毒侦测措施。不论是IPSecVPN或SSLVPN联机，对于入口的病毒侦测效果是相同的，但是比较从远程客户端入侵的可能性，就会有所差别。采用IPSec联机，若是客户端电脑遭到病毒感染，这个病毒就有机会感染到内部网络所连接的每台电脑。而对于SSLVPN的联机，病毒传播会局限于这台主机，而且这个病毒必须是针对应用系统的类型，不同类型的病毒是不会感染到这台主机的。因此通过SSLVPN连接，受外界病毒感染

59、的可能性大大减小。用户部署VPN是为了保护网络中重要数据的安全。IPSecVPN只是搭建虚拟传输网络，SSLVPN重点在于保护具体的敏感数据，比如SSLVPN可以根据用户的不同身份，给予不同的访问权限。就是说，虽然都可以进入内部网络，但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上，不仅可以控制访问人员的权限，还可以对访问人员的每个访问，做的每笔交易、每个操作进行数字签名，保证每笔数据的不可抵赖性和不可否认性，为事后追踪提供了依据。 使用SSLVPN具有很好的经济性，因为只需要在总部放置一台硬件设备就可以实现所有用户的远程安全访问接入。但是对于IPSecVPN来说，每增

60、加一个需要访问的分支，就需要添加一个硬件设备。就使用成本而言，SSLVPN具有更大的优势，由于这是一个即插即用设备，在部署实施以后，一个具有一定IT知识的普通工作人员就可以完成日常的管理工作。 综观上述，SSLVPN在其易于使用性及安全层级，都比IPSecVPN高。我们都知道，由于Internet的迅速扩展，针对远程安全登入的需求也日益提升。对于使用者而言，方便安全的解决方案，才能真正符合需求。 TELENT技术及规划 Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用t

61、elnet程序，用它连接到服务器。终端使用者可以在telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器10。要开始一个telnet会话，必须输入用户名和密码来登录服务器。Telnet是常用的远程控制Web服务器的方法。它最初是由ARPANET开发的，但是现在它主要用于Internet会话。它的基本功能是，允许用户登录进入远程主机系统。起初，它只是让用户的本地计算机与远程计算机连接，从而成为远程主机的一个终端。它的一些较新的版本在本地执行更多的处理，于是可以提供更好的响应，并且减少了通过链路发送到远程主机的信息数量。 Telnet的应

62、用不仅方便了我们进行远程登录，也给hacker们提供了又一种入侵手段和后门，但无论如何，在你尽情享受Telnet所带给你的便捷的同时，你是否真正的了解Telnet呢？Telnet服务虽然也属于客户机、服务器模型的服务，但它更大的意义在于实现了基于Telnet协议的远程登录（远程交互式计算），那么就让我们来认识一下远程登录。先来看看什么叫登录：分时系统允许多个用户同时使用一台计算机，为了保证系统的安全和记账方便，系统要求每个用户有单独的帐号作为登录标识，系统还为每个用户指定了一个口令。用户在使用该系统之前要输入标识和口令，这个过程被称为登录。远程登陆是指用户使用Telnet命令，使自己的计算机暂时成为远程主机的一个仿真终端的过程。仿真终端等效于一个非智能的机器，它只负责把用户输入的每个字符传递给主机，再将主机输出的每个信息回显在屏幕上。我们可以先构