• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      基于H3C Cloud Lab的企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與仿真

      2020-07-11 14:41:48鵬,霍瑛,蔣
      實(shí)驗(yàn)室研究與探索 2020年5期
      關(guān)鍵詞:分部網(wǎng)關(guān)路由器

      邱 鵬,霍 瑛,蔣 悅

      (南京工程學(xué)院計(jì)算機(jī)工程學(xué)院,南京211167)

      0 引 言

      近年來(lái),隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,各類企業(yè)幾乎都部署了不同的網(wǎng)絡(luò)系統(tǒng),這些系統(tǒng)基本都?xì)w化依賴于不同類型的計(jì)算機(jī)網(wǎng)絡(luò),構(gòu)建網(wǎng)絡(luò)在保障企業(yè)各部門之間連通性的同時(shí),也可以為網(wǎng)絡(luò)系統(tǒng)的上層應(yīng)用提供靈活而智能的服務(wù)[1-2]。在實(shí)際網(wǎng)絡(luò)中,由于一個(gè)實(shí)體自制系統(tǒng)規(guī)模龐大且復(fù)雜,導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)庫(kù)所存儲(chǔ)的數(shù)據(jù)量巨大,可能引發(fā)數(shù)據(jù)溢出[3];如網(wǎng)絡(luò)中某一鏈路或設(shè)備出現(xiàn)故障,勢(shì)必影響整個(gè)網(wǎng)絡(luò)的信息通信,甚至導(dǎo)致網(wǎng)絡(luò)通信過(guò)程中的信息被非法監(jiān)聽(tīng)、截獲、篡改等安全問(wèn)題[4-5]。

      本文通過(guò)某品牌云實(shí)驗(yàn)室(H3C Cloud Lab,HCL)模擬軟件設(shè)計(jì)了一個(gè)企業(yè)網(wǎng)絡(luò)構(gòu)建仿真實(shí)驗(yàn),利用開(kāi)放式最短路徑優(yōu)先(Open Shortest Path First,OSPF)鏈路狀態(tài)路由協(xié)議支持區(qū)域劃分的特性[6-7],對(duì)企業(yè)各職能部門進(jìn)行區(qū)域劃分,以減少需要傳遞的路由信息量,改善路由計(jì)算;通過(guò)部署虛擬路由冗余協(xié)議(Virtual Router Redundancy Protocol,VRRP)、多生成樹(shù)協(xié)議(Multiple Spanning Tree Protocol,MSTP)、通用路由封裝協(xié)議虛擬專用網(wǎng)絡(luò)(Generic Routing Encapsulation Virtual Private Network,GRE VPN)等網(wǎng)絡(luò)技術(shù),給企業(yè)網(wǎng)絡(luò)提供安全防護(hù)功能,增加可靠性。

      1 企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

      根據(jù)企業(yè)需求劃分多區(qū)域,整體網(wǎng)絡(luò)架構(gòu)由總部和分部組成??偛靠珊?jiǎn)述為核心層設(shè)備與雙出口路由設(shè)備,通過(guò)專線或者外網(wǎng)與分部進(jìn)行數(shù)據(jù)交互。分部根據(jù)骨干區(qū)域和非骨干區(qū)域的分布,把不同職能部門劃分到不同虛擬局域網(wǎng)(Virtual Local Area Network,VLAN)中再進(jìn)行數(shù)據(jù)通信。設(shè)計(jì)的重點(diǎn)是企業(yè)內(nèi)部業(yè)務(wù)流量在各部分之間的選路情況及全網(wǎng)連接情況。根據(jù)企業(yè)網(wǎng)絡(luò)整體規(guī)劃,設(shè)計(jì)的企業(yè)總部與分部的網(wǎng)絡(luò)連接結(jié)構(gòu)如圖1 所示。

      圖1 企業(yè)網(wǎng)絡(luò)連接拓?fù)鋱D

      2 企業(yè)網(wǎng)絡(luò)仿真實(shí)驗(yàn)

      本次實(shí)驗(yàn)采用HCL作為仿真網(wǎng)絡(luò)模擬軟件,為企業(yè)網(wǎng)絡(luò)設(shè)計(jì)提供了具有圖形界面化功能的組網(wǎng)平臺(tái)[8]。整體采取從分部到總部的順序進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)和設(shè)備配置。

      2.1 分部網(wǎng)絡(luò)設(shè)計(jì)

      在分部網(wǎng)絡(luò)的設(shè)計(jì)中,把不同職能部門隔離劃分成不同的VLAN,骨干區(qū)為AREA0,非骨干區(qū)為area1和area2,通過(guò)訪問(wèn)控制技術(shù)按照需求過(guò)濾各VLAN之間的通信數(shù)據(jù)。由圖1 可見(jiàn),AREA0 是管理部門包括人事部和總裁辦;area1 是開(kāi)發(fā)部,包括產(chǎn)品設(shè)計(jì)、研發(fā)和測(cè)試部門;area2 是市場(chǎng)部包含銷售和宣傳兩個(gè)職能部門以及由售前和售后組成的客服部。

      2.2 分部網(wǎng)絡(luò)互通區(qū)域配置

      步驟1 在開(kāi)發(fā)部的交換機(jī)SW1 上開(kāi)啟3 層路由功能,并規(guī)劃在OSPF 路由進(jìn)程下的非骨干區(qū)域area1。具體配置如下:

      同時(shí),分別部署在非骨干區(qū)域area2 和客服部的交換機(jī)SW2 和SW9,也使用類似配置用以實(shí)現(xiàn)網(wǎng)絡(luò)連通。

      步驟2 在路由器R3 上進(jìn)行OSPF多區(qū)域配置,R3 作為區(qū)域邊界路由器(Area Border Route,ABR)在area1 中與SW1 建立鄰居的同時(shí),在AREA0 與路由器R1 完成鄰居建立,實(shí)現(xiàn)報(bào)文在不同區(qū)域之間的轉(zhuǎn)發(fā)。具體配置如下:

      步驟3 在R1 上完成骨干區(qū)域AREA0 的OSPF路由進(jìn)程宣告配置,具體配置如下:

      配置完成后,驗(yàn)證OSPF 路由進(jìn)程下設(shè)備SW1、R3、R1、R4 已經(jīng)建立的鄰居關(guān)系,如圖2 ~5 所示。

      圖2 SW1上的OSPF鄰居信息

      圖3 R3上的OSPF鄰居信息

      圖4 R1上的OSPF鄰居信息

      圖5 R4上的OSPF鄰居信息

      以路由器R4 的鄰居信息為例,如圖5:Area 為鄰居所屬的區(qū)域,Router ID 為鄰居路由地址,Address 為鄰居接口地址,Pri為路由器優(yōu)先級(jí),Dead-Time為鄰居失效時(shí)間,State Full/BDR 為鄰居狀態(tài)建立成功,Interface為與鄰居相連的接口。

      R4 上的OSPF接口信息如圖6 所示,鏈路的OSPF網(wǎng)絡(luò)類型Type為廣播類型,該路由器在area1 區(qū)域的當(dāng)前鏈路狀態(tài)State 是指定路由器(designated router,DR),接口開(kāi)銷Cost為1,優(yōu)先級(jí)Pri為1,接口所屬網(wǎng)段的指定路由器DR 的網(wǎng)際互聯(lián)協(xié)議(Internet Protocol,IP)地址是10.3.3.2,備份指定路由器(Backup Designated Router,BDR)IP 地址是10.3.3.1。需要說(shuō)明的是如果DR\BDR 字段顯示為0.0.0.0,則表示鏈路上不存在DR\BDR。

      2.3 分部業(yè)務(wù)流量需求及配置分析

      (1)訪問(wèn)外網(wǎng)流量控制。企業(yè)網(wǎng)絡(luò)通過(guò)路由器R1 訪問(wèn)外網(wǎng),不允許總部流量通過(guò)分部訪問(wèn)外網(wǎng);分部網(wǎng)絡(luò)通過(guò)R4 訪問(wèn)外網(wǎng),不允許分部通過(guò)總部訪問(wèn)外網(wǎng)。以R1 為例,在R1 上配置網(wǎng)絡(luò)地址轉(zhuǎn)換(Networt Address Translation,NAT)技術(shù),具體配置如下:

      圖6 R4上的OSPF接口信息

      在出網(wǎng)設(shè)備上向內(nèi)網(wǎng)發(fā)送一個(gè)路由,告訴內(nèi)網(wǎng)需要通過(guò)出網(wǎng)設(shè)備訪問(wèn)外網(wǎng)。

      在R1 上配置路由過(guò)濾技術(shù),具體配置如下:

      (2)DHCP 地址池配置。在交換機(jī)SW1、SW5、SW6、SW2、SW9 上部署動(dòng)態(tài)主機(jī)設(shè)置協(xié)議(Dynamic Host Configuration Protocol,DHCP)地址池技術(shù),這樣可以為設(shè)備自動(dòng)提供地址,從而減少人工配置過(guò)程中的誤操作,降低配置工作量,提高網(wǎng)絡(luò)系統(tǒng)安全性[9]。以SW1 為例具體配置如下:

      (3)網(wǎng)絡(luò)設(shè)備的VRRP技術(shù)部署。為了防止網(wǎng)關(guān)設(shè)備故障導(dǎo)致下層接入設(shè)備無(wú)法正常入網(wǎng)使用,把分部網(wǎng)絡(luò)骨干區(qū)域中的人事部劃分到VLAN40,總裁辦劃分到VLAN50,利用VRRP 技術(shù)進(jìn)行虛擬網(wǎng)關(guān)備份[10]。對(duì)交換機(jī)SW5 和SW6 進(jìn)行VRRP 冗余設(shè)計(jì),以SW5 為例,配置結(jié)果如圖7 所示。

      圖7 SW5的VRRP配置結(jié)果

      配置方法如下:

      (4)網(wǎng)絡(luò)設(shè)備的鏈路聚合技術(shù)部署。在SW5、SW6 之間配置鏈路聚合技術(shù),可以有效增加兩臺(tái)交換機(jī)之間的鏈路帶寬,保障網(wǎng)絡(luò)鏈路可靠性[11],具體配置如下:

      配置完成后,兩臺(tái)交換機(jī)之間建立了靜態(tài)鏈路聚合,檢查2 層聚合端口表項(xiàng),顯示如圖8 所示,2 層端口狀態(tài)是UP打開(kāi)狀態(tài),端口速度為2 Gb/s,端口鏈路類型是Trunk,通過(guò)的VLAN有40 和50,Trunk端口協(xié)議類型為802.1q。

      端口鏈路聚合詳情如圖9 所示,聚合組模式Status為靜態(tài),端口G1/0/3、G1/0/4 是Selected端口。

      圖8 2層聚合端口表項(xiàng)

      圖9 鏈路聚合詳細(xì)信息

      (5)網(wǎng)絡(luò)設(shè)備的MSTP技術(shù)部署。對(duì)交換機(jī)SW5和SW6 部署MSTP 技術(shù),不僅可以解決廣播風(fēng)暴問(wèn)題,還可以向下兼容生成樹(shù)協(xié)(Spanning Tree Protocol,STP)和快速生成樹(shù)協(xié)議(Rapid Spanning Tree Protocol,RSTP),收斂速度快,實(shí)現(xiàn)企業(yè)分部的VLAN流量負(fù)載分擔(dān)以及備份功能,保證網(wǎng)絡(luò)的冗余性[12]。具體配置如下:

      已經(jīng)生效的MST 域的配置信息如圖10 所示,配置VLAN40 映射到實(shí)例1,VLAN50 映射到實(shí)例2,備份根橋相關(guān)端口在首選根橋被破壞或者關(guān)機(jī)的情況下及時(shí)取代它,成為指定實(shí)例的根。

      圖10 MST域配置信息

      2.4 分部網(wǎng)絡(luò)IP地址規(guī)劃

      除了需要規(guī)劃分部各職能部門子網(wǎng)地址,對(duì)網(wǎng)絡(luò)設(shè)備的IP地址進(jìn)行合理的規(guī)劃也是必不可少的,這不但能減輕后期維護(hù)、管理壓力,對(duì)將來(lái)網(wǎng)絡(luò)擴(kuò)展或增加服務(wù)也能帶來(lái)很大便利。仿真實(shí)驗(yàn)中主要設(shè)備的IP地址規(guī)劃見(jiàn)表1。

      表1 主要設(shè)備IP地址規(guī)劃

      2.5 總部網(wǎng)絡(luò)設(shè)計(jì)

      (1)總部業(yè)務(wù)流量需求及配置分析。在交換機(jī)SW11 和SW12 之間部署鏈路聚合技術(shù),并通過(guò)VRRP技術(shù)對(duì)下游設(shè)備進(jìn)行雙備份,通過(guò)更改鏈路開(kāi)銷或改變路由的優(yōu)先級(jí),選舉產(chǎn)生備份鏈路,防止單點(diǎn)故障造成整個(gè)網(wǎng)絡(luò)癱瘓,確保鏈路可靠性。在訪問(wèn)外網(wǎng)設(shè)備上配置NAT轉(zhuǎn)換技術(shù)作為訪問(wèn)控制策略,總部網(wǎng)絡(luò)使用的是私網(wǎng)地址,與分部的IP 地址規(guī)劃類似,此處不再贅述。為了防止用戶私自更改地址,造成網(wǎng)絡(luò)地址沖突,在接入層設(shè)備部署DHCP地址池技術(shù),為用戶自動(dòng)分配地址。

      (2)企業(yè)總部與分部邊界網(wǎng)絡(luò)設(shè)計(jì)??偛颗c分部邊界網(wǎng)絡(luò)通過(guò)虛擬專用網(wǎng)絡(luò)(Virtual Private Network,VPN)隧道進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)交互,部署的是GRE VPN 技術(shù),GRE VPN支持除IP 協(xié)議之外的其他特殊協(xié)議并且不局限于單播報(bào)文的傳送,組播、廣播數(shù)據(jù)包在GRE隧道中也可以暢通無(wú)阻,這意味著它能夠支持運(yùn)行動(dòng)態(tài)路由協(xié)議。GRE VPN隧道技術(shù)配置簡(jiǎn)單,容易部署,維護(hù)不復(fù)雜[13]。

      在R1、R2 路由設(shè)備上配置GRE VPN技術(shù),以R2為例具體配置如下:

      3 企業(yè)網(wǎng)絡(luò)的安全策略

      仿真實(shí)驗(yàn)中的企業(yè)網(wǎng)絡(luò)采用了路由協(xié)議安全技術(shù)、防止地址解析協(xié)議(Address Resolution Protocol,ARP)欺騙攻擊技術(shù)、配置端口隔離技術(shù)等安全策略。在保證網(wǎng)絡(luò)可靠性的基礎(chǔ)上,增加了網(wǎng)絡(luò)的安全性。

      3.1 路由協(xié)議安全技術(shù)

      路由協(xié)議作為信息通信的根本,在路由學(xué)習(xí)交互時(shí)可能存在安全隱患,為了保證路由轉(zhuǎn)發(fā)過(guò)程的穩(wěn)定性,本次網(wǎng)絡(luò)設(shè)計(jì)對(duì)路由學(xué)習(xí)轉(zhuǎn)發(fā)的鏈路進(jìn)行了加密操作,包括鏈路間的VRRP 驗(yàn)證和點(diǎn)對(duì)點(diǎn)協(xié)議(Pointto-Point Protocol,PPP)握手認(rèn)證協(xié)議驗(yàn)證(Challenge Handshake Authentication Protocol,CHAP)。

      (1)VRRP驗(yàn)證功能。在交換機(jī)SW5、SW6 實(shí)現(xiàn)VRRP驗(yàn)證功能,以SW5 為例,具體配置如下:

      (2)PPP 協(xié)議的CHAP 驗(yàn)證[14]。在路由器R1、R4 實(shí)現(xiàn)CHAP驗(yàn)證功能,以R1 為例,具體配置如下:

      3.2 防止ARP欺騙攻擊技術(shù)[15]

      依據(jù)網(wǎng)絡(luò)設(shè)備中的ARP表,當(dāng)局域網(wǎng)存在一個(gè)虛假的媒體存取控制(Media Access Control,MAC)地址而導(dǎo)致網(wǎng)絡(luò)不通時(shí),可開(kāi)啟動(dòng)態(tài)ARP 監(jiān)測(cè),配置方法如下:

      3.3 配置端口隔離技術(shù)

      端口隔離技術(shù)可以實(shí)現(xiàn)報(bào)文間的2 層隔離,在同一VLAN中的不同部門之間實(shí)現(xiàn)通信隔離,每個(gè)部門都能與隔離組的上行端口通信[16]。將交換機(jī)SW7 的G1/0/1 和G1/0/3 加入到隔離組,實(shí)現(xiàn)兩接口下的主機(jī)不能互訪,具體配置如下:

      4 實(shí)驗(yàn)仿真測(cè)試

      為了測(cè)試企業(yè)網(wǎng)絡(luò)是否具備安全防范功能,人為致使網(wǎng)關(guān)設(shè)備或者網(wǎng)關(guān)設(shè)備上行鏈路出現(xiàn)故障,查看備用鏈路能否及時(shí)切換,以使得網(wǎng)絡(luò)通信依然正常。

      以分部網(wǎng)絡(luò)骨干區(qū)域中的交換機(jī)SW5、SW6 為例,通過(guò)仿真測(cè)試,鏈路故障前SW5 是VLAN40 的主網(wǎng)關(guān)設(shè)備,優(yōu)先級(jí)是120,同時(shí)是VLAN50 的備份網(wǎng)關(guān)設(shè)備,當(dāng)設(shè)備SW5 出現(xiàn)故障宕機(jī)后,VLAN40 的主網(wǎng)關(guān)設(shè)備切換為SW6,備份網(wǎng)關(guān)設(shè)備切換為SW5,優(yōu)先級(jí)降到了100,說(shuō)明主備網(wǎng)關(guān)進(jìn)行了切換。

      圖11 為SW5 設(shè)備故障前的分部網(wǎng)絡(luò)業(yè)務(wù)流量選路情況,對(duì)照表1 主要設(shè)備的IP 地址可知,分部網(wǎng)絡(luò)的業(yè)務(wù)流量從產(chǎn)品測(cè)試部門路由到人事部的路徑為SW1→R3→R1→SW5→SW7,當(dāng)SW5 上行鏈路故障后,即SW6 切換成為主網(wǎng)關(guān)設(shè)備后,對(duì)照表1 可以從圖12 中發(fā)現(xiàn),業(yè)務(wù)流量從產(chǎn)品測(cè)試部門路由到人事部的路徑為SW1→R3→R1→SW6→SW7,符合選路的需求,證明了設(shè)計(jì)的網(wǎng)絡(luò)能夠有效防止由于單點(diǎn)故障引起的網(wǎng)絡(luò)中斷。

      圖11 鏈路故障前流量選路情況

      圖12 鏈路故障后流量選路情況

      5 結(jié) 語(yǔ)

      本文利用HCL模擬器設(shè)計(jì)了企業(yè)網(wǎng)絡(luò)仿真實(shí)驗(yàn),從網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃到部署各項(xiàng)網(wǎng)絡(luò)技術(shù)都給出了具有代表性的配置方法,最終實(shí)現(xiàn)了網(wǎng)絡(luò)的互通并保障了網(wǎng)絡(luò)的安全性和可靠性。通過(guò)仿真實(shí)驗(yàn)學(xué)生可以進(jìn)一步了解OSPF路由選擇協(xié)議,加深對(duì)GRE VPN隧道技術(shù)支持動(dòng)態(tài)路由協(xié)議以及對(duì)VRRP 冗余備份原理的理解,有助于提高學(xué)生綜合運(yùn)用多種網(wǎng)絡(luò)技術(shù)配置計(jì)算機(jī)網(wǎng)絡(luò)的能力。

      猜你喜歡
      分部網(wǎng)關(guān)路由器
      與有序分拆的分部量1 相關(guān)的恒等式及組合證明
      買千兆路由器看接口參數(shù)
      基于改進(jìn)RPS技術(shù)的IPSEC VPN網(wǎng)關(guān)設(shè)計(jì)
      關(guān)于正整數(shù)不含分部量2的有序分拆的幾個(gè)組合雙射
      關(guān)于分部積分的幾點(diǎn)說(shuō)明
      考試周刊(2016年86期)2016-11-11 07:46:31
      你所不知道的WIFI路由器使用方法?
      LTE Small Cell網(wǎng)關(guān)及虛擬網(wǎng)關(guān)技術(shù)研究
      應(yīng)對(duì)氣候變化需要打通“網(wǎng)關(guān)”
      一種實(shí)時(shí)高效的伺服控制網(wǎng)關(guān)設(shè)計(jì)
      探討不定積分分部積分法
      河南科技(2014年15期)2014-02-27 14:12:50
      观塘区| 蚌埠市| 蒲江县| 株洲县| 宝坻区| 安吉县| 岱山县| 乌拉特后旗| 托克逊县| 靖江市| 淳化县| 海伦市| 湄潭县| 常熟市| 攀枝花市| 财经| 灵璧县| 天峨县| 视频| 邻水| 甘谷县| 万荣县| 平阴县| 石门县| 开江县| 称多县| 和田县| 白沙| 中宁县| 汾阳市| 桦川县| 溆浦县| 成武县| 宁国市| 射洪县| 德保县| 鄂州市| 南城县| 安庆市| 鹤壁市| 额尔古纳市|