企業(yè)網(wǎng)絡(luò)搭建畢業(yè)論文

1、<p><b>　　專(zhuān)科生畢業(yè)設(shè)計(jì) </b></p><p><b>　　網(wǎng)絡(luò)工程項(xiàng)目 </b></p><p><b>　　企業(yè)網(wǎng)絡(luò)搭建</b></p><p>　　院 系　計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 </p><p>　　專(zhuān) 業(yè)　網(wǎng)絡(luò)技術(shù) 　

2、</p><p>　　班 級(jí)　09級(jí)專(zhuān)科1班　　</p><p>　　2011年 5 月</p><p><b>　　獨(dú) 創(chuàng) 性 聲 明</b></p><p>　　本人鄭重聲明：所呈交的畢業(yè)論文（設(shè)計(jì)）是本人在指導(dǎo)老師指導(dǎo)下取得的研究成果。除了文中特別加以注釋和致謝的地方外，論文（設(shè)計(jì)）中不包含其

3、他人已經(jīng)發(fā)表或撰寫(xiě)的研究成果。與本研究成果相關(guān)的所有人所做出的任何貢獻(xiàn)均已在論文（設(shè)計(jì)）中作了明確的說(shuō)明并表示了謝意。</p><p>　　簽名： 　</p><p><b>　　年　　月　　日</b></p><p><b>　　授權(quán)聲明</b></p><p>　　本

4、人完全了解許昌學(xué)院有關(guān)保留、使用專(zhuān)科生畢業(yè)論文（設(shè)計(jì)）的規(guī)定，即：有權(quán)保留并向國(guó)家有關(guān)部門(mén)或機(jī)構(gòu)送交畢業(yè)論文（設(shè)計(jì)）的復(fù)印件和磁盤(pán)，允許畢業(yè)論文（設(shè)計(jì)）被查閱和借閱。本人授權(quán)許昌學(xué)院可以將畢業(yè)論文（設(shè)計(jì)）的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫(kù)進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存、匯編論文（設(shè)計(jì)）。</p><p>　　本人論文（設(shè)計(jì)）中有原創(chuàng)性數(shù)據(jù)需要保密的部分為：　　。</p><p&g

5、t;　　簽名： </p><p><b>　　年　　月　　日</b></p><p>　　指導(dǎo)教師簽名： </p><p><b>　　年　　月　　日</b></p><p><b>　　摘 要</b></p><

6、;p>　　建立一個(gè)設(shè)計(jì)規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴(kuò)展性與可用性并且具備可管理易維護(hù)的網(wǎng)絡(luò)及系統(tǒng)平臺(tái)，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率。為需求公司設(shè)計(jì)一個(gè)合理完整、比較可靠的網(wǎng)絡(luò)方案，提供良好的網(wǎng)絡(luò)平臺(tái)。</p><p>　　關(guān)鍵詞：穩(wěn)定高效；安全可靠；可擴(kuò)展；易維護(hù)；</p><p><b>　　ABSTRACT</b&

7、gt;</p><p>　　Establish a design norms and function complete, good performance, safety, reliability, good expansibility and usability and have the network can be management easy maintenance and system platfor

8、m, with high efficiency, low cost, high speed way of improving the company's employees work efficiency and efficiency. To demand the company to design a reasonable complete, more reliable network plan, provide good n

9、etwork platform.</p><p>　　Key words：Stable, effective；Safe and reliable；extensible；Easy maintenance</p><p><b>　　目 錄</b></p><p>　　宇飛公司簡(jiǎn)介………………………………………………………………………………………

10、.1</p><p>　　引 言………………………………………………………………………………………………..2</p><p>　　第一章 項(xiàng)目需求分析……………………………………………………………..3</p><p>　　1.1項(xiàng)目背景……………………………………………………………………………………..3</p><p>　　1.2 需求

11、分析……………………………………………………………………………………………………..5</p><p>　　第二章 網(wǎng)絡(luò)總體建設(shè)目標(biāo)………………………………………………………………………..6</p><p>　　2.1網(wǎng)絡(luò)建設(shè)目標(biāo)…………………………………………………………………………………………….6</p><p>　　2.2.網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容及要求7&

12、lt;/p><p>　　2.3網(wǎng)絡(luò)設(shè)計(jì)原則…………………………………………………………………………………………….7</p><p>　　第三章 網(wǎng)絡(luò)總體設(shè)計(jì)………………………………………………………………………………8</p><p>　　3.1網(wǎng)絡(luò)總體拓?fù)鋱D………………………………………………………………………………………….8</p><p&g

13、t;　　3.2 網(wǎng)絡(luò)層次化設(shè)計(jì)10</p><p>　　3.3 核心層設(shè)計(jì)11</p><p>　　3.4 接入層設(shè)計(jì)11</p><p>　　3.5內(nèi)連接入………………………………………………………………………………………………..12</p><p>　　第四章 路由設(shè)計(jì)…………………………………………………………………………………

14、.12</p><p>　　4.1 路由協(xié)議選擇12</p><p>　　4.2 路由規(guī)劃拓?fù)鋱D16</p><p>　　4.3 IP地址規(guī)劃16</p><p>　　第五章 網(wǎng)絡(luò)安全解決方案18</p><p>　　5.1 網(wǎng)絡(luò)邊界安全威脅分析18</p><p>　　5.2 網(wǎng)絡(luò)內(nèi)

15、部安全威脅分析20</p><p>　　5.3 安全產(chǎn)品選型原則22</p><p>　　5.4 網(wǎng)絡(luò)常用技術(shù)介紹23</p><p>　　第六章 產(chǎn)品簡(jiǎn)介28</p><p>　　6.1 Cisco3800 系列集成多業(yè)務(wù)路由器………………………………………………………………….28</p><p>　　6.

16、2 Cisco Catalyst 3560 系列集成交換機(jī)29</p><p>　　6.3 Cisco Catalyst 3725………………………………………………………………………………..30</p><p>　　6.4 Cisco Catalyst 2960…………………………………………………………………………………31</p><p>　　6.5 Pi

17、x防火墻……………………………………………………………………………………………..31</p><p>　　6.6 windows軟件…………………………………………………………………………………………32</p><p>　　第七章 設(shè)備清單及報(bào)價(jià)33</p><p>　　第八章 項(xiàng)目實(shí)施方案45</p><p>　　8.1 項(xiàng)目組織

18、結(jié)構(gòu)45</p><p>　　8.2 項(xiàng)目人員分工45</p><p>　　8.3 項(xiàng)目實(shí)施前的準(zhǔn)備工作46</p><p>　　8.4 安裝前的場(chǎng)地準(zhǔn)備46</p><p>　　8.5 核心及各網(wǎng)點(diǎn)的安裝調(diào)試48</p><p>　　第九章 網(wǎng)絡(luò)測(cè)試49</p><p>　　9.1

19、 網(wǎng)絡(luò)測(cè)試目的49</p><p>　　9.2 測(cè)試文檔50</p><p>　　第十章 網(wǎng)絡(luò)設(shè)備基本配置51</p><p>　　10.1.網(wǎng)絡(luò)描述51</p><p>　　10.2.設(shè)備基本配置51</p><p>　　第十一章 網(wǎng)絡(luò)設(shè)備的技術(shù)實(shí)施方案53</p><p>　　1

20、1.1 trunk配置53</p><p>　　11.2 VTP配置55</p><p>　　11.3 VLAN配置57</p><p>　　11.4 STP配置58</p><p>　　11.5 HSRP配置59</p><p>　　11.6 NAT配置63</p><p>　　第

21、十二章 項(xiàng)目測(cè)試63</p><p>　　12.1 VLAN的測(cè)試63</p><p>　　12.2 STP生成樹(shù)測(cè)試64</p><p>　　12.3 DNS測(cè)試64</p><p>　　12.4MAIL測(cè)試65</p><p>　　12.5 WEB測(cè)試65</p><p>　　

22、12.6DHCP測(cè)試66</p><p>　　致謝…………………………………………………………………………...66</p><p><b>　　宇飛公司簡(jiǎn)介</b></p><p>　　www.7788tools.com</p><p>　　宇飛網(wǎng)絡(luò)工程公司成立于2001年，專(zhuān)門(mén)從事網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)，法人代表劉蔚。公

23、司位于北京海淀區(qū)，注冊(cè)資金500萬(wàn)。公司本著“以客戶(hù)為中心”的理念。以“靠品質(zhì)生存，憑信心發(fā)展，以質(zhì)量競(jìng)爭(zhēng)，拿效果證明”為宗旨來(lái)接受客戶(hù)的考驗(yàn)。本著“奉獻(xiàn)愛(ài)心，服務(wù)社會(huì)”為根本。</p><p>　　宇飛公司現(xiàn)有員工60人，其中CCIE 2人，CCNP1人，CCNA3人，CCDP5人。2010年公司實(shí)現(xiàn)年純收入6000多萬(wàn)元。我們公司曾與青島海爾集團(tuán)、中國(guó)移動(dòng)通信公司等進(jìn)行過(guò)精誠(chéng)合作。</p>&l

24、t;p><b>　　2011.5</b></p><p><b>　　引 言</b></p><p>　　隨著時(shí)間的推移，信息產(chǎn)業(yè)時(shí)代的到來(lái)，人們所要求的信息量也就會(huì)越來(lái)越大，計(jì)算機(jī)被廣泛應(yīng)用于商業(yè)、企業(yè)、政府部門(mén)、學(xué)校、家庭，給經(jīng)濟(jì)和社會(huì)生活帶來(lái)深刻的變革。隨著信息技術(shù)和互聯(lián)網(wǎng)的發(fā)展，信息化已經(jīng)滲透到人類(lèi)社會(huì)的方方面面，并逐步改變著人們

25、的工作、學(xué)習(xí)和生活方式。</p><p>　　隨著計(jì)算機(jī)技術(shù)的迅猛發(fā)展，特別是隨著網(wǎng)絡(luò)技術(shù)的出現(xiàn)標(biāo)志著信息時(shí)代已經(jīng)來(lái)臨。信息化浪潮、網(wǎng)絡(luò)革命不斷沖擊著社會(huì)的發(fā)展，人們逐漸意識(shí)到信息的重要意義，許多企業(yè)和個(gè)人紛紛建立了自己的網(wǎng)站。在這種背景下，傳統(tǒng)的生活和工作模式正在受到重大的挑戰(zhàn)，人們已開(kāi)始利用網(wǎng)絡(luò)和計(jì)算機(jī)學(xué)習(xí)和工作。做為一個(gè)始終站在時(shí)代前沿的信息產(chǎn)業(yè)，只有作出新選擇、不斷學(xué)習(xí)、不斷適應(yīng)才能讓公司發(fā)展的更快、更好

26、。</p><p>　　第一章 項(xiàng)目需求分析</p><p><b>　　項(xiàng)目背景</b></p><p>　　中國(guó)飛宇集團(tuán)有限公司是剛剛起步的大型企業(yè)集團(tuán)，是以客車(chē)為核心，以工程機(jī)械、汽車(chē)零部件、房地產(chǎn)為戰(zhàn)略的業(yè)務(wù)是汽車(chē)工業(yè)的搖籃。它的注冊(cè)資金200萬(wàn)，企業(yè)法人代表李董事長(zhǎng)。飛宇集團(tuán)其總部北京和分部南京，</p><p&g

27、t;　　該公司在總部有行政部、財(cái)務(wù)部、質(zhì)量管理部、營(yíng)銷(xiāo)部、營(yíng)運(yùn)部、技術(shù)部、維修部門(mén)、人力資源部、客戶(hù)服務(wù)部。</p><p><b>　　其在分部有</b></p><p>　　基于網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，建立一個(gè)比較完整，比較可靠，高靈活性、可靠性、擴(kuò)展性和經(jīng)濟(jì)性的互聯(lián)互通的網(wǎng)絡(luò)體系平臺(tái)，方便總部和分部的信息傳遞。加強(qiáng)公司間的交流和溝通，以達(dá)到更好的暢銷(xiāo)效果和高經(jīng)濟(jì)。<

28、;/p><p>　　總部里有1000位員工，但是每個(gè)分部公司的員工大約有100位人員需要上網(wǎng)。為了方便員工能夠自由的訪問(wèn)總部的信息資源，并且能夠隨時(shí)隨地的訪問(wèn)總部的服務(wù)器。讓我們建立一個(gè)設(shè)計(jì)規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴(kuò)展性與可用性并且具備可管理易維護(hù)的網(wǎng)絡(luò)及系統(tǒng)平臺(tái)，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率。為貴公司設(shè)計(jì)一個(gè)合理完整、比較可靠的網(wǎng)絡(luò)方案，提供良好的網(wǎng)絡(luò)平臺(tái)。&l

29、t;/p><p>　　www.gaoxingle.com</p><p>　　1.2 需求分析</p><p>　　以Internet為代表的信息技術(shù)的發(fā)展不僅直接牽動(dòng)著企業(yè)科技的創(chuàng)新和生產(chǎn)力的提高，也逐漸成為提高企業(yè)競(jìng)爭(zhēng)力的重要力量。貴公司分為總部和分部，以公司總部為中心，其總部?jī)?nèi)部的網(wǎng)絡(luò)平臺(tái)上需要很多大型的服務(wù)器去給用戶(hù)和其他分部的員工提供服務(wù)，所以要求這些本地

30、用戶(hù)、分部的員工與總部之間能夠?qū)崿F(xiàn)高速連接并且能夠保證與總部通信的可靠性和可行性。同時(shí)要求總部?jī)?nèi)部安全機(jī)制能夠提高。保證內(nèi)網(wǎng)安全同時(shí)保證各臺(tái)服務(wù)器的安全。由于總部是各個(gè)信息的來(lái)源，它是數(shù)據(jù)的匯聚中心，所以他的安全是我們必須考慮到。</p><p>　　該公司在其他地方也設(shè)有分部，所以這就必須得考慮到分部與總部傳輸信息的的安全性、穩(wěn)定性和可靠性。保證數(shù)據(jù)的安全傳輸，防止各種非法入侵、病毒的迫害。</p>

31、<p>　　我們?cè)诜桨钢幸?guī)劃設(shè)計(jì)了總部的局域網(wǎng)，進(jìn)行了擴(kuò)容升級(jí)，建立系統(tǒng)FTP、Mail、Web、file、dns等內(nèi)部服務(wù)器為員工提供內(nèi)部信息的發(fā)布、查詢(xún)、瀏覽，建立互聯(lián)網(wǎng)網(wǎng)站，做為對(duì)外窗口之一，宣傳工作。</p><p>　　冗余備份：在總部采用高端路由器做冗余備份，分支機(jī)構(gòu)采用中低端路由器做接入。（軟件冗余和硬件冗余）在總部中我們還做了hsrp和stp來(lái)體現(xiàn)網(wǎng)絡(luò)的冗余性，以及我們安裝有dhcp

32、服務(wù)器來(lái)體現(xiàn)網(wǎng)絡(luò)的擴(kuò)展性，在其對(duì)系統(tǒng)軟件和硬件的安全，數(shù)據(jù)完整性的保證，入侵防護(hù)的安全，內(nèi)部網(wǎng)絡(luò)使用vlan分段，隔離廣播域，防止網(wǎng)絡(luò)竊取和非授權(quán)的跨網(wǎng)段訪問(wèn)。適用防火墻分割內(nèi)部網(wǎng)和外部網(wǎng)</p><p>　　同時(shí)，每一個(gè)信息點(diǎn)要滿(mǎn)足上網(wǎng)的需求，保證網(wǎng)絡(luò)設(shè)備每個(gè)端口的帶寬足夠用，能迅速轉(zhuǎn)發(fā)，實(shí)現(xiàn)資源的共享。</p><p>　　分部與總部通信，需要使用物理專(zhuān)線（ppp）來(lái)確保鏈路信息的安全

33、，在總部使用pix防火墻，保護(hù)內(nèi)網(wǎng)信息的安全，有效的控制病毒傳播和網(wǎng)絡(luò)攻擊</p><p>　　使用pat技術(shù)來(lái)實(shí)現(xiàn)內(nèi)網(wǎng)訪問(wèn)外網(wǎng)，隱藏內(nèi)部網(wǎng)絡(luò)地址。</p><p>　　另外，公司采用AD（域管理），即通過(guò)域控制器來(lái)管理域中的計(jì)算機(jī)。</p><p>　　可擴(kuò)展性：良好的擴(kuò)展性就意味著網(wǎng)絡(luò)具備良好的持續(xù)改進(jìn)能力，隨著公司的不斷發(fā)展，業(yè)務(wù)也在不斷的發(fā)展，接入的用戶(hù)也會(huì)

34、增多，對(duì)數(shù)據(jù)的流量也在一步步的加大，這些都對(duì)網(wǎng)絡(luò)提出擴(kuò)展升級(jí)的 需求。</p><p>　　兼容性分析：（協(xié)議兼容性和硬件兼容性）</p><p>　　所謂的協(xié)議兼容就是在一個(gè)網(wǎng)絡(luò)平臺(tái)里可以使用不同的協(xié)議，如：rip, ,ospf 等協(xié)議，方便網(wǎng)絡(luò)的使用。</p><p>　　所謂的硬件兼容：是指幾個(gè)硬件之間、幾個(gè)軟件兼容或是幾個(gè)軟硬件之間相互配合的程度。<

35、;/p><p>　　第二章 網(wǎng)絡(luò)總體建設(shè)目標(biāo)</p><p><b>　　2.1網(wǎng)絡(luò)建設(shè)目標(biāo)</b></p><p>　　為了更好的開(kāi)展公司的工作，加強(qiáng)和各公司之間的溝通和交流， 形成一個(gè)全局范圍互聯(lián)互通的網(wǎng)絡(luò)平臺(tái)。通過(guò)這個(gè)網(wǎng)絡(luò)平臺(tái)，可以達(dá)到如下目的：</p><p>　　1 使總部與分公司可以時(shí)刻建立安全的通信<

36、;/p><p>　　2 用戶(hù)可以隨時(shí)經(jīng)過(guò)公用網(wǎng)訪問(wèn)公司的資源</p><p>　　3 通過(guò)網(wǎng)絡(luò)互聯(lián)，與商業(yè)的合作伙伴建立高安全，高可靠性的連接，加強(qiáng)之間的合作</p><p>　　4 通過(guò)網(wǎng)絡(luò)互聯(lián)，可以提高各部門(mén)的辦事效率，加強(qiáng)總部與分公司的聯(lián)系，便于開(kāi)展工作。</p><p>　　5 減少網(wǎng)絡(luò)的風(fēng)險(xiǎn)</p>

37、<p>　　6 實(shí)現(xiàn)簡(jiǎn)單、方便、靈活</p><p>　　7 滿(mǎn)足傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。</p><p>　　8 網(wǎng)絡(luò)具有高擴(kuò)展性，經(jīng)濟(jì)性。 &l

38、t;/p><p>　　.網(wǎng)絡(luò)及系統(tǒng)建設(shè)內(nèi)容及要求</p><p>　　根據(jù)公司中心機(jī)房的網(wǎng)絡(luò)情況，我們把整個(gè)網(wǎng)絡(luò)分為內(nèi)部交換網(wǎng)絡(luò)設(shè)計(jì)、網(wǎng)絡(luò)出口設(shè)計(jì)，網(wǎng)絡(luò)安全設(shè)計(jì)幾大部分。對(duì)于內(nèi)部交換網(wǎng)絡(luò)我們采用分層設(shè)計(jì)。內(nèi)部交換網(wǎng)絡(luò)分成核心層和接入層兩大部分。公司數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)承載著公司所有的關(guān)鍵核心業(yè)務(wù)，設(shè)計(jì)時(shí)，保證中心機(jī)房網(wǎng)絡(luò)的高可用性和穩(wěn)定性至關(guān)重要，故設(shè)計(jì)時(shí)中心路由交換機(jī)建議采用雙機(jī)熱備（HSRP）

39、，各分支交換機(jī)兩條上聯(lián)千兆線路分別上連到兩臺(tái)中心路由交換機(jī)上，構(gòu)成全路由交換的網(wǎng)絡(luò)；借助于跨骨干的VLAN 技術(shù)，使得對(duì)于網(wǎng)絡(luò)內(nèi)有關(guān)Server 的訪問(wèn)變得更加安全有效。</p><p>　　對(duì)于總公司與分公司（兩者之間的距離較近）之間的通信我們采用專(zhuān)用的線路（使用廣域網(wǎng)連接的PPP協(xié)議）進(jìn)行數(shù)據(jù)通信。這樣，不僅能夠滿(mǎn)足分公司大量數(shù)據(jù)的快速傳輸，同時(shí)還能夠保證數(shù)據(jù)的安全性。</p><p>

40、;　　對(duì)于外部用戶(hù)的撥入，我們通過(guò)easy VPN進(jìn)行。easy VPN是通過(guò)Internet建立的一種臨時(shí)的、安全的網(wǎng)絡(luò)鏈接，是外出移動(dòng)工作人員遠(yuǎn)程撥入公司內(nèi)部的最佳選擇。</p><p>　　對(duì)于邊界網(wǎng)絡(luò)接入網(wǎng)絡(luò)（與合作伙伴、分支機(jī)構(gòu)以及Internet 接入通稱(chēng)為邊界網(wǎng)絡(luò)），網(wǎng)絡(luò)的安全性將是一個(gè)需要考慮的非常重要的因素。所以確保在網(wǎng)絡(luò)的邊界處部署相應(yīng)的安全策略以防止黑客和各種惡意代碼的攻擊至關(guān)重要，同時(shí)邊界

41、處的設(shè)備的冗余設(shè)計(jì)也是設(shè)計(jì)</p><p>　　考慮的一個(gè)重要因素，防止單點(diǎn)故障。對(duì)于服務(wù)器，采用RID5磁盤(pán)陣列，數(shù)據(jù)除第一次用完全備份后，以后每天做增量備份，備份的的服務(wù)器或設(shè)備單獨(dú)放置其他全安地點(diǎn)。</p><p>　　2.3.網(wǎng)絡(luò)設(shè)計(jì)原則</p><p>　　網(wǎng)絡(luò)設(shè)計(jì)應(yīng)該遵循開(kāi)放性和標(biāo)準(zhǔn)化原則、實(shí)用性與先進(jìn)性兼顧原則、可用性原則、高性能原則 、經(jīng)濟(jì)性原則

42、 、可靠性原則、安全第一原則、適度的可擴(kuò)展性原則、充分利用現(xiàn)有資源原則、易管理性原則、易維護(hù)性原則、最佳的性能價(jià)格比原則、QoS保證等。</p><p>　　作為一家優(yōu)秀的系統(tǒng)集成商，向用戶(hù)提供的不僅僅是設(shè)備，而是整套的技術(shù)與服務(wù)。在方案設(shè)計(jì)時(shí)，我們將嚴(yán)格遵循以下設(shè)計(jì)原則：</p><p><b>　　1：可用性</b></p><p>　　構(gòu)

43、建一個(gè)網(wǎng)絡(luò)，可用性是最基本的網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)。由于本網(wǎng)絡(luò)對(duì)數(shù)據(jù)的安全性要求較高，因此在網(wǎng)絡(luò)的總體設(shè)計(jì)時(shí)重點(diǎn)要考慮的是網(wǎng)絡(luò)本身的安全性﹑以及設(shè)備自身的安全性。</p><p><b>　　2：高可靠性</b></p><p>　　網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的備份策略和快速恢復(fù)策略，保證網(wǎng)絡(luò)和系

44、統(tǒng)具有故障自愈的能力，最大限度地支持各個(gè)系統(tǒng)的正常運(yùn)行。</p><p><b>　　3：安全性</b></p><p>　　在當(dāng)今這樣社會(huì)是一個(gè)信息社會(huì)的時(shí)代，信息的安全性將這接影響到企業(yè)的綜合效益。因此網(wǎng)絡(luò)的建設(shè)中安全性顯的尤為重要。因此，整個(gè)網(wǎng)絡(luò)必須保證萬(wàn)無(wú)一失的安全性，并對(duì)各個(gè)部門(mén)的信息要有嚴(yán)格分離保護(hù)的辦法，防止網(wǎng)絡(luò)黑客非法入侵。網(wǎng)絡(luò)系統(tǒng)應(yīng)配備全面的病毒防治

45、和安全保護(hù)功能。</p><p><b>　　4：易操作以管理性</b></p><p>　　在保證網(wǎng)絡(luò)各方面性能的同時(shí)，也要注意網(wǎng)絡(luò)管理的易操作﹑以管理性。網(wǎng)絡(luò)布線的設(shè)計(jì)要求便于管理和維護(hù)，當(dāng)某條鏈路出現(xiàn)故障時(shí)，必須保證可以在主設(shè)備間或配線間內(nèi)重新配置。對(duì)于常用網(wǎng)絡(luò)設(shè)備的管理要盡量做到使用圖形界面進(jìn)行管理，這樣便于操作。</p><p>&l

46、t;b>　　5：可擴(kuò)展性</b></p><p>　　對(duì)于企業(yè)來(lái)說(shuō)，發(fā)展迅速具有不可預(yù)料的特點(diǎn)。因此，要保證網(wǎng)絡(luò)具有較好的可擴(kuò)張性。它包括IP地址的可擴(kuò)展性﹑物理鏈路的可擴(kuò)展性。</p><p><b>　　6：冗余性</b></p><p>　　在網(wǎng)絡(luò)的規(guī)劃是要考慮具有適當(dāng)?shù)娜哂喽?。軟硬件設(shè)備都應(yīng)具有一定的冗余性，以提高網(wǎng)絡(luò)

47、的運(yùn)行效率（主要是總公司）。</p><p><b>　　7：容錯(cuò)性</b></p><p>　　不能因某臺(tái)設(shè)備的故障而影響到整個(gè)主干網(wǎng)絡(luò)的正常運(yùn)行；盡量做到任意一條鏈路的中斷不能使得主干網(wǎng)絡(luò)的任何部分中斷工作。</p><p>　　第三章 網(wǎng)絡(luò)總體設(shè)計(jì)</p><p>　　3.1.網(wǎng)絡(luò)總體拓?fù)鋱D</p>

48、<p>　　考慮到公司的工作性和實(shí)用性的需求，在總部我們采用兩臺(tái)Cisco Catalyst 3560做雙機(jī)熱備份，采用Cisco專(zhuān)用熱備份路由協(xié)議（HSRP）,</p><p>　　保證網(wǎng)絡(luò)服務(wù)運(yùn)行的不間斷，并有專(zhuān)業(yè)的人員進(jìn)行管理，極大地保護(hù)數(shù)據(jù)的安全性和保密性。</p><p>　　這樣設(shè)計(jì)保證了網(wǎng)絡(luò)的高度可靠性和穩(wěn)定性，當(dāng)主機(jī)停止工作，會(huì)把系統(tǒng)資源轉(zhuǎn)移到備用系統(tǒng)上，備用系統(tǒng)

49、將會(huì)替代主機(jī)發(fā)揮作用，以保證網(wǎng)絡(luò)服務(wù)的運(yùn)行不間斷。同時(shí)還充分利用率帶寬資源，實(shí)現(xiàn)了負(fù)載均衡。在通過(guò)Cisco Catalyst 3560 設(shè)置vtp，劃分vlan，有效地控制了兩個(gè)子網(wǎng)的安全。</p><p>　　分部使用的路由器是帶有防火墻的。使用isa。</p><p>　　接入，在與總部通信時(shí)，需要使用物理專(zhuān)線（ppp）來(lái)確保鏈路信息的安全，如上圖所示：整體網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)了總部的局域

50、網(wǎng)，采用統(tǒng)一的通信協(xié)議、路由協(xié)議；主干網(wǎng)以高速交換鏈路鏈接各子網(wǎng)，通過(guò)vlan技術(shù)形成擁有層次化的網(wǎng)絡(luò)。以總部為核心網(wǎng)絡(luò)，內(nèi)連接入包括辦公網(wǎng)絡(luò)、數(shù)據(jù)中心、分公司接入等，各區(qū)域相對(duì)獨(dú)立，通過(guò)核心網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的交互。</p><p>　　同時(shí)建立系統(tǒng)FTP、Mail、Web、file、dns等內(nèi)部服務(wù)器為員工提供內(nèi)部信息的發(fā)布、查詢(xún)、瀏覽?？偛坑梅阑饓ΓＷo(hù)內(nèi)網(wǎng)信息的安全。</p><p>　

51、　分部?jī)?nèi)部為交換網(wǎng)絡(luò)，路由保證數(shù)據(jù)的傳輸。</p><p><b>　　網(wǎng)絡(luò)層次化設(shè)計(jì)</b></p><p>　　在瞬息萬(wàn)變的市場(chǎng)上，網(wǎng)絡(luò)應(yīng)用可以幫助企業(yè)決策者運(yùn)籌帷幄，充分利用各種企業(yè)資源，優(yōu)化企業(yè)資源配置。在搭建網(wǎng)絡(luò)時(shí)，如果采用分層模式設(shè)計(jì)，與其他網(wǎng)絡(luò)設(shè)計(jì)相比，分層網(wǎng)絡(luò)更容易管理和擴(kuò)展，排除故障也更迅速。同時(shí)多層設(shè)計(jì)還有以下好處：</p><

52、p>　　分層網(wǎng)絡(luò)設(shè)計(jì)，通過(guò)對(duì)網(wǎng)絡(luò)各種功能進(jìn)行分離，可以實(shí)現(xiàn)模塊化的網(wǎng)絡(luò)設(shè)計(jì)，這樣有利于提高網(wǎng)絡(luò)的擴(kuò)展性和性能。</p><p>　　隨著網(wǎng)絡(luò)的不斷擴(kuò)大，網(wǎng)絡(luò)的可用性也變得越來(lái)越重要。利用分層網(wǎng)絡(luò)可以方便地實(shí)現(xiàn)冗余，從而大幅提高可用性。</p><p>　　分層網(wǎng)絡(luò)設(shè)計(jì)可以提高網(wǎng)絡(luò)的安全性并且便于管理。分層設(shè)計(jì)的每一層都執(zhí)行特定的功能，并且整層執(zhí)行的功能都相同，所以分層網(wǎng)絡(luò)更容易管理。

53、</p><p>　　由于分層網(wǎng)絡(luò)在本質(zhì)上模塊化的，并且擴(kuò)展非常方便，因此維護(hù)起來(lái)也很容易。</p><p>　　針對(duì)實(shí)際情況我們可以采用分層結(jié)構(gòu)模型，即三層結(jié)構(gòu)模型。 三層結(jié)構(gòu)模型劃分為三個(gè)層次，即核心層、分布層、接入層。每個(gè)層次完成不同的功能。</p><p><b>　　核心層</b></p><p>　　核心層是

54、網(wǎng)際網(wǎng)絡(luò)的高速主干。能夠迅速的轉(zhuǎn)發(fā)大量的數(shù)據(jù)。</p><p><b>　　分布層</b></p><p>　　分布層使用策略控制網(wǎng)絡(luò)的通信流， 路由聚合及流量收斂，包括網(wǎng)絡(luò)訪問(wèn)策略、過(guò)濾、路由尋址等數(shù)據(jù)處理</p><p><b>　　接入層</b></p><p>　　接入層負(fù)責(zé)連接終端設(shè)備，以

55、提供對(duì)網(wǎng)絡(luò)中其他部分的訪問(wèn)。接入層的重要目的是提供一種將設(shè)備連接到網(wǎng)絡(luò)并控制允許網(wǎng)絡(luò)上的哪些設(shè)備進(jìn)行通信的方法。</p><p><b>　　核心層設(shè)計(jì)</b></p><p>　　核心層的功能重要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，骨干層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力可靠性和高速的傳輸。核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以對(duì)核心層的設(shè)計(jì)要求十分的嚴(yán)格。同時(shí)作

56、為網(wǎng)絡(luò)的核心部分，它的高可靠性，安全性，高可用性、高速通信和交換，是我們必須所考慮到的因素。因此我們建議采用兩臺(tái)Cisco Catalyst3560三層交換機(jī)來(lái)實(shí)現(xiàn)數(shù)據(jù)的高速通信和交換，完成這個(gè)功能。本區(qū)的安全性可以由邊界防火墻提供，如有需要在3560 上面可以部署安全策略，使得核心交換區(qū)的安全性進(jìn)一步地增強(qiáng)。</p><p>　　Cisco Catalyst3560系列交換機(jī)是一個(gè)固定配置的企業(yè)級(jí)的交換機(jī)系列

57、。他提供了最高生產(chǎn)效率和投資保護(hù)，并支持新的應(yīng)用，如ip電話，無(wú)連接入、視頻監(jiān)視的部署，可在整個(gè)網(wǎng)絡(luò)范圍中部署智能服務(wù)，如高級(jí)服務(wù)質(zhì)量（Qos）、限速、訪問(wèn)控制列表（ACL），以及基本的靜態(tài)和路由信息協(xié)議（RIP）路由功能，高性能安全性和管理性，大大的簡(jiǎn)化融合網(wǎng)絡(luò)。它提供帶集成永續(xù)性的出色控制，將永續(xù)性集成到硬件和軟件中，縮短了網(wǎng)絡(luò)停運(yùn)時(shí)間。Cisco Catalyst 3560 系列的模塊化架構(gòu)、介質(zhì)靈活性和可擴(kuò)展性減少了重復(fù)運(yùn)營(yíng)開(kāi)

58、支，提高了投資回報(bào)（ROI），從而在延長(zhǎng)部署壽命的同時(shí)降低了擁有成本。</p><p><b>　　接入層設(shè)計(jì)</b></p><p>　　在核心層和匯聚層的設(shè)計(jì)中主要考慮的是網(wǎng)絡(luò)性能和功能性要高，那么我們?cè)诮尤雽釉O(shè)計(jì)上主張使用性能價(jià)格比高的設(shè)備。接入層是最終用戶(hù)與網(wǎng)絡(luò)的接口，它應(yīng)該提供即插即用的特性，同時(shí)還應(yīng)該考慮它的易于維護(hù)和管理，當(dāng)然我們也應(yīng)該考慮端口密度的問(wèn)題

59、。</p><p>　　接入層的交換機(jī)具有低成本和高端口密度的特性，因此我們采用cisco 的WS-C2960 以千兆以太鏈路和匯聚交換機(jī)相連接，并為用戶(hù)終端提供10/100M 自適應(yīng)的接入，提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接。在本網(wǎng)絡(luò)中，接入層的最終目的是與辦公系統(tǒng)的電腦連接，實(shí)現(xiàn)辦公系統(tǒng)所需的各種服務(wù)器如辦公自動(dòng)化服務(wù)器、郵件服務(wù)器、DHCP 服務(wù)器等組成服務(wù)器群，數(shù)據(jù)中心的多種金融系統(tǒng)應(yīng)用服務(wù)器, 連接到匯

60、聚交換機(jī)的千兆模塊上面,因此，內(nèi)部的局域網(wǎng)是采用三層結(jié)構(gòu)組建。</p><p><b>　　內(nèi)聯(lián)接入</b></p><p>　　內(nèi)聯(lián)接入的作用是用于連接南京分公司和北京辦公網(wǎng)絡(luò)。我們要求這些本地用戶(hù)、分部的員工與總部之間能夠?qū)崿F(xiàn)高速連接并且能夠保證與總部通信的可靠性和可行性。還要求總部?jī)?nèi)部安全機(jī)制能夠提高，因此我們推薦采用cisco 3800系列路由器來(lái)完成此項(xiàng)功能

61、。由于總部網(wǎng)絡(luò)和分部網(wǎng)絡(luò)屬于公司的內(nèi)部網(wǎng)絡(luò)的一部分，因此我們必須考慮到分布與總部傳輸信息的安全性和可靠性。；接入時(shí)主要作用是生產(chǎn)運(yùn)營(yíng)系統(tǒng)的數(shù)據(jù)交換，查詢(xún)等等和管理以及監(jiān)控。</p><p><b>　　第四章 路由設(shè)計(jì) </b></p><p>　　4.1 路由協(xié)議選擇</p><p><b>　　路由協(xié)議的選擇：</b>

62、</p><p>　　為達(dá)到路由快速收斂、尋址以及方便網(wǎng)絡(luò)管理員管理的目的，我們建議采用動(dòng)態(tài)路由協(xié)議，目前較好的動(dòng)態(tài)路由協(xié)議是OSPF 協(xié)議和EIGRP 協(xié)議，OSPF 以協(xié)議標(biāo)準(zhǔn)化強(qiáng)，支持廠家多，受到廣泛應(yīng)用，而EIGRP 協(xié)議由Cisco 公司發(fā)明，考慮網(wǎng)絡(luò)的快速收斂和擴(kuò)展性、公開(kāi)性、投資的保護(hù)等原因，我們?cè)O(shè)計(jì)采用OSPF路由協(xié)議和靜態(tài)路由相結(jié)合的路由方式。</p><p><b

63、>　　OSPF路由協(xié)議:</b></p><p>　　1?OSPF是真正的無(wú)路由自環(huán)路由協(xié)議?源自其算法本身的優(yōu)點(diǎn)?(鏈路狀態(tài)及最短路徑樹(shù)算法)</p><p>　　2?OSPF收斂速度快:能夠在最短的時(shí)間內(nèi)將路由變化傳遞到整個(gè)自治系統(tǒng)?</p><p>　　3?提出區(qū)域(area)劃分的概念,將自治系統(tǒng)劃分為不同區(qū)域后,通過(guò)區(qū)域之間的對(duì)路由信息的

64、摘要,大大減少了需傳遞的路由信息數(shù)量?也使得路由信息不會(huì)隨網(wǎng)絡(luò)規(guī)模的擴(kuò)大而急劇膨脹?</p><p>　　4?將協(xié)議自身的開(kāi)銷(xiāo)控制到最小?</p><p>　　1)用于發(fā)現(xiàn)和維護(hù)鄰居關(guān)系的是定期發(fā)送的是不含路由信息的hello報(bào)文,非常短小?包含路由信息的報(bào)文時(shí)是觸發(fā)更新的機(jī)制?(有路由變化時(shí)才會(huì)發(fā)送)?但為了增強(qiáng)協(xié)議的健壯性,每1800秒全部重發(fā)一次?</p><p&

65、gt;　　2)在廣播網(wǎng)絡(luò)中,使用組播地址(而非廣播)發(fā)送報(bào)文,減少對(duì)其它不運(yùn)行ospf 的網(wǎng)絡(luò)設(shè)備的干擾?</p><p>　　3)在各類(lèi)可以多址訪問(wèn)的網(wǎng)絡(luò)中(廣播,NBMA),通過(guò)選舉DR,使同網(wǎng)段的路由器之間的路由交換(同步)次數(shù)由 O(N*N)次減少為 O (N)?</p><p>　　4)提出STUB區(qū)域的概念,使得STUB區(qū)域內(nèi)不再傳播引入的ASE路由?</p>&

66、lt;p>　　5)在ABR(區(qū)域邊界路由器)上支持路由聚合,進(jìn)一步減少區(qū)域間的路由信息傳遞?</p><p>　　6)在點(diǎn)到點(diǎn)接口類(lèi)型中,通過(guò)配置按需播號(hào)屬性(OSPF over On Demand Circuits),使得ospf不再定時(shí)發(fā)送hello報(bào)文及定期更新路由信息?只在網(wǎng)絡(luò)拓?fù)湔嬲兓瘯r(shí)才發(fā)送更新信息?</p><p>　　7）ospf協(xié)議是鏈路狀態(tài)路由選擇協(xié)議，它選擇路

67、由的度量標(biāo)準(zhǔn)是帶寬，延遲。</p><p>　　OSPF定義的5種網(wǎng)絡(luò)類(lèi)型: </p><p>　　點(diǎn)到點(diǎn)網(wǎng)絡(luò)，廣播型網(wǎng)絡(luò)，非廣播型(NBMA)網(wǎng)絡(luò)，點(diǎn)到多點(diǎn)網(wǎng)絡(luò)，.虛鏈接(virtual link)</p><p>　　點(diǎn)到點(diǎn)網(wǎng)絡(luò)：比如T1線路,是連接單獨(dú)的一對(duì)路由器的網(wǎng)絡(luò),點(diǎn)到點(diǎn)網(wǎng)絡(luò)上的有效鄰居總是可以形成鄰接關(guān)系的,在這種網(wǎng)絡(luò)上,OSPF包的目標(biāo)地址使用的是2

68、24.0.0.5,這個(gè)組播地址稱(chēng)為AllSPFRouters. </p><p>　　廣播型網(wǎng)絡(luò)：比如以太網(wǎng),Token Ring和FDDI,這樣的網(wǎng)絡(luò)上會(huì)選舉一個(gè)DR和BDR,DR/BDR的發(fā)送的OSPF包的目標(biāo)地址為224.0.0.5,運(yùn)載這些OSPF包的幀的目標(biāo)MAC地址為0100.5E00.0005;而除了DR/BDR以外發(fā)送的OSPF包的目標(biāo)地址為224.0.0.6,這個(gè)地址叫AllDRouters.

69、</p><p>　　NBMA網(wǎng)絡(luò)：比如X.25,Frame Relay,和ATM,不具備廣播的能力,因此鄰居要人工來(lái)指定,在這樣的網(wǎng)絡(luò)上要選舉DR和BDR,OSPF包采用unicast的方式</p><p>　　下面是Eigrp與OSPF的區(qū)別：</p><p>　　Eigrp是Cisco的專(zhuān)用，而OSPF則是通用協(xié)議。</p><p>　

70、　Eigrp是距離矢量協(xié)議，而OSPF是狀態(tài)協(xié)議。</p><p>　　Eigrp的匯總速度要比OSPF快，因?yàn)樵谒耐負(fù)鋱D中保存了可選后繼，直接后繼找不到可以直接通過(guò)可選后繼轉(zhuǎn)發(fā)。</p><p>　　Eigrp的多播地址是：224.0.0.10，OSPF是：224.0.0.5 和224.0.0.6。</p><p>　　Eigrp的路徑度量是復(fù)合型，OSPF則是

71、cost型的。</p><p>　　盡管Eigrp支持路由匯總功能，但是他沒(méi)有路由分級(jí)的概念，不像OSPF那樣多網(wǎng)絡(luò)進(jìn)行分級(jí)。</p><p>　　在匯總功能實(shí)現(xiàn)上，eigrp可以再任何路由器的任何借口出現(xiàn)，而OSPF則只能在abr和asbr上實(shí)現(xiàn)而他的路由匯總不是基于接口的。</p><p>　　Eigrp支持不等路徑度量值的負(fù)載均衡，而OSPF則支持相等度量值的

72、負(fù)載均衡。</p><p>　　EIGRP(增強(qiáng)的內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議)，可以使路由器交換信息比使用早先的網(wǎng)絡(luò)協(xié)議更加有效。EIGRP是由IGRP（內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議）發(fā)展而來(lái)并且不論是使用EIGRP還是IGRP的路由都可以交互操作。使用增強(qiáng)的內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議，一個(gè)路由器保持一份它的鄰近路由器的路由表副本。</p><p>　　OSPF是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議，用于在單一自治系統(tǒng)內(nèi)決策路由

73、。與RIP相對(duì)，OSPF是鏈路狀態(tài)路由協(xié)議，而RIP是距離向量路由協(xié)議。</p><p>　　由于EIGRP是CISCO私有的路由協(xié)議 而OSPF是公有的 所以 現(xiàn)實(shí)環(huán)境中 大多都是啟用的OSPF 而EIGRP啟用前提是全網(wǎng)內(nèi)必須都是CISCO設(shè)備 EIGRP被譽(yù)為沒(méi)有環(huán)路的協(xié)議</p><p>　　Rip與ospf相比 ：</p><p>　　由于該公司屬于大型企

74、業(yè)，而rip協(xié)議只適合用于小型的局域網(wǎng)，所以rip和OSPF相比采用OSPF路由協(xié)議比較好。</p><p>　　以下是RIP的局限性在大型網(wǎng)絡(luò)中使用所產(chǎn)生的問(wèn)題:RIP的15跳限制，超過(guò)15跳的路由被認(rèn)為不可達(dá)RIP不能支持可變長(zhǎng)子網(wǎng)掩碼(VLSM)，導(dǎo)致IP地址分配的低效率</p><p>　　RIP沒(méi)有網(wǎng)絡(luò)延遲和鏈路開(kāi)銷(xiāo)的概念，路由選路基于跳數(shù)。擁有較少跳數(shù)的路由總是被選為最佳路

75、由即使較長(zhǎng)的路徑有低的延遲和開(kāi)銷(xiāo)RIP沒(méi)有區(qū)域的概念，不能在任意比特位進(jìn)行路由匯總一些增強(qiáng)的功能被引入RIP的新版本RIPv2中，RIPv2支持VLSM，認(rèn)證以及組播更新。但RIPv2的跳數(shù)限制以及慢收斂使它仍然不適用于大型網(wǎng)絡(luò)所以相比RIP而言，OSPF更適合用于大型網(wǎng)絡(luò):沒(méi)有跳數(shù)的限制，支持可變長(zhǎng)子網(wǎng)掩碼(VLSM)使用組播發(fā)送鏈路狀態(tài)更新，在鏈路狀態(tài)變化時(shí)使用觸發(fā)更新，提高了帶寬的利用率，收斂速度快，具有認(rèn)證功能。<

76、;/p><p>　　4.2 路由規(guī)劃拓?fù)鋱D</p><p>　　4.3 IP地址規(guī)劃</p><p><b>　　分配ip的原則：</b></p><p>　　IP地址有5類(lèi)，A類(lèi)到E類(lèi)，各用在不同類(lèi)型的網(wǎng)絡(luò)中。地址分類(lèi)反映了網(wǎng)絡(luò)的大小以及數(shù)據(jù)包是單播還是組播的。</p><p>　　但目前只用到A

77、類(lèi)到C類(lèi)的ip地址。</p><p><b>　　Ip的分配原則：</b></p><p>　　IP地址是IP網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)囊罁?jù)，它標(biāo)識(shí)了IP網(wǎng)絡(luò)中的一個(gè)連接，一臺(tái)主機(jī)可以有多個(gè)IP地址。IP分組中的IP地址在網(wǎng)絡(luò)傳輸中是保持不變的。 </p><p>　　現(xiàn)在的IP網(wǎng)絡(luò)使用32位地址，以點(diǎn)分十進(jìn)制表示，如172.16.0.0。地址格式為：I

78、P地址=網(wǎng)絡(luò)地址＋主機(jī)地址 或 IP地址=主機(jī)地址＋子網(wǎng)地址＋主機(jī)地址。 </p><p>　　根據(jù)用途和安全性級(jí)別的不同，IP地址還可以大致分為兩類(lèi)：公共地址和私有地址。公用地址在Internet中使用，可以在Internet中隨意訪問(wèn)。私有地址只能在內(nèi)部網(wǎng)絡(luò)中使用，只有通過(guò)代理服務(wù)器才能與Internet通信。 </p><p>　　IP協(xié)議中還有一個(gè)非常重要的內(nèi)容，那就是給因特網(wǎng)上的

79、每臺(tái)計(jì)算機(jī)和其它設(shè)備都規(guī)定了一個(gè)唯一的地址，叫做“IP 地址”。由于有這種唯一的地址，才保證了用戶(hù)在連網(wǎng)的計(jì)算機(jī)上操作時(shí)，能夠高效而且方便地從千千萬(wàn)萬(wàn)臺(tái)計(jì)算機(jī)中選出自己所需的對(duì)象來(lái)。</p><p>　　唯一性：因特網(wǎng)上的每臺(tái)計(jì)算機(jī)和其它設(shè)備都規(guī)定了一個(gè)唯一的地址，叫做“IP 地址”。由于有這種唯一的地址，才保證了用戶(hù)在連網(wǎng)的計(jì)算機(jī)上操作時(shí)，能夠高效而且方便地從千千萬(wàn)萬(wàn)臺(tái)計(jì)算機(jī)中選出自己所需的對(duì)象來(lái)。 </

80、p><p>　　Internet的主機(jī)都有一個(gè)唯一的IP地址，IP地址用一個(gè)32位二進(jìn)制的數(shù)表示一個(gè)主機(jī)號(hào)碼，但32位地址資源有限，已經(jīng)不能滿(mǎn)足用戶(hù)的需求了，因此Internet研究組織發(fā)布新的主機(jī)標(biāo)識(shí)方法，即IPv6。在RFC1884中，規(guī)定的標(biāo)準(zhǔn)語(yǔ)法建議把IPv6地址的128位（16個(gè)字節(jié)）寫(xiě)成8個(gè)16位的無(wú)符號(hào)整數(shù)，每個(gè)整數(shù)用四個(gè)十六進(jìn)制位表示，這些數(shù)之間用冒號(hào)（：）分開(kāi)</p><p>

81、;　　Ip地址的規(guī)劃表格：</p><p>　　第五章 網(wǎng)絡(luò)安全解決方案 </p><p>　　5.1 網(wǎng)絡(luò)邊界安全威脅分析</p><p>　　為了解決資源的共享而建立了網(wǎng)絡(luò)，然而安全卻成了問(wèn)題，網(wǎng)絡(luò)的邊界隔離著不同功能或地域的多個(gè)網(wǎng)絡(luò)區(qū)域，由于職責(zé)和功能的不同，相互連接的網(wǎng)絡(luò)的安全級(jí)別也不盡相同，此網(wǎng)絡(luò)也必然存在著安全風(fēng)險(xiǎn)，下面我們將對(duì)公司網(wǎng)絡(luò)就網(wǎng)絡(luò)邊界問(wèn)題做脆

82、弱性和風(fēng)險(xiǎn)的分析。公司網(wǎng)絡(luò)主要存在的邊界安全風(fēng)險(xiǎn)包括：信息泄密、入侵者的攻擊、網(wǎng)絡(luò)病毒、木馬入侵等，邊界安全防護(hù)的主題思想是：我們把網(wǎng)絡(luò)可以看作一個(gè)獨(dú)立的對(duì)象，通過(guò)自身的屬性，維持內(nèi)部業(yè)務(wù)的運(yùn)轉(zhuǎn)。他的安全威脅來(lái)自?xún)?nèi)部與邊界兩個(gè)方面：內(nèi)部是指網(wǎng)絡(luò)的合法用戶(hù)在使用網(wǎng)絡(luò)資源的時(shí)候，發(fā)生的不合規(guī)的行為、誤操作、惡意破壞等行為，也包括系統(tǒng)自身的健康，如軟、硬件的穩(wěn)定性帶來(lái)的系統(tǒng)中斷。邊界是指網(wǎng)絡(luò)與外界互通引起的安全問(wèn)題，有入侵、病毒與攻擊。<

83、;/p><p>　　下面我們分析如何防護(hù)邊界？首先建立城墻，把城內(nèi)與外界分割開(kāi)來(lái)，阻斷其與外界的所有聯(lián)系，然后再修建幾座城門(mén)，作為進(jìn)出的檢查關(guān)卡，監(jiān)控進(jìn)出的所有人員與車(chē)輛，是安全的第一種方法；為了防止入侵者的偷襲，再在外部挖出一條護(hù)城河，讓敵人的行動(dòng)暴露在寬闊的、可看見(jiàn)的空間里，為了通行，在河上架起吊橋，把路的使用主動(dòng)權(quán)把握在自己的手中，控制通路的關(guān)閉時(shí)間是安全的第二種方法。對(duì)于已經(jīng)悄悄混進(jìn)城的“危險(xiǎn)分子”，要在城內(nèi)

84、建立有效的安全監(jiān)控體系，比如人人都有身份證、大街小巷的攝像監(jiān)控網(wǎng)絡(luò)、街道的安全聯(lián)防組織，每個(gè)公民都是一名安全巡視員，順便說(shuō)一下：戶(hù)籍制度、罪罰、聯(lián)作等方式從老祖宗商鞅就開(kāi)始在秦國(guó)使用了。只要入侵者稍有異樣行為，就會(huì)被立即揪住，這是安全的第三種方法。</p><p>　　為了邊界的安全不受到威脅，我們做邊界防護(hù)技術(shù)：防火墻技術(shù)、多重安全網(wǎng)關(guān)技術(shù)、網(wǎng)閘技術(shù)。防火墻的安全設(shè)計(jì)原理來(lái)自于包過(guò)濾與應(yīng)用代理技術(shù)，兩邊是連接不

85、同網(wǎng)絡(luò)的接口，中間是訪問(wèn)控制列表ACL，數(shù)據(jù)流要經(jīng)過(guò)ACL的過(guò)濾才能通過(guò)。ACL有些象海關(guān)的身份證檢查，檢查的是你是哪個(gè)國(guó)家的人，但你是間諜還是游客就無(wú)法區(qū)分了，因?yàn)锳CL控制的是網(wǎng)絡(luò)的三層與四層，對(duì)于應(yīng)用層是無(wú)法識(shí)別的。后來(lái)的防火墻增加了NAT/PAT技術(shù)，可以隱藏內(nèi)網(wǎng)設(shè)備的IP地址，給內(nèi)部網(wǎng)絡(luò)蒙上面紗，成為外部“看不到”的灰盒子，給入侵增加了一定的難度。防火墻的作用就是建起了網(wǎng)絡(luò)的“城門(mén)”，把住了進(jìn)入網(wǎng)絡(luò)的必經(jīng)通道，所以在網(wǎng)絡(luò)的邊界

86、安全設(shè)計(jì)中，防火墻成為不可缺的一部分。防火墻的缺點(diǎn)是：不能對(duì)應(yīng)用層識(shí)別，面對(duì)隱藏在應(yīng)用中的病毒、木馬都好無(wú)辦法。所以作為安全級(jí)別差異較大的網(wǎng)絡(luò)互聯(lián)，防火墻的安全性就遠(yuǎn)遠(yuǎn)不夠了。既然一道防火墻不能解決各個(gè)層面的安全防護(hù)，就多上幾道安全網(wǎng)關(guān)，如用于應(yīng)用層入侵的IPS、用于對(duì)付病毒的AV、用于對(duì)付DDOS攻擊的…此時(shí)UTM設(shè)備就誕生了，設(shè)計(jì)在一起是UTM，分開(kāi)就是各種不同類(lèi)型的安全網(wǎng)關(guān)。就是運(yùn)用多重安全網(wǎng)關(guān)技術(shù)。網(wǎng)閘</p>&

87、lt;p>　　5.2 網(wǎng)絡(luò)內(nèi)部安全威脅分析</p><p>　　內(nèi)網(wǎng)安全的威脅不同于網(wǎng)絡(luò)邊界的威脅。網(wǎng)絡(luò)邊界安全技術(shù)防范來(lái)自Internet上的攻擊，主要是防范來(lái)自公共的網(wǎng)絡(luò)服務(wù)器如HTTP或SMTP的攻擊。網(wǎng)絡(luò)邊界防范(如邊界防火墻系統(tǒng)等)減小了資深黑客僅僅只需接入互聯(lián)網(wǎng)、寫(xiě)程序就可訪問(wèn)企業(yè)網(wǎng)的幾率。內(nèi)網(wǎng)安全威脅主要源于企業(yè)內(nèi)部。惡性的黑客攻擊事件一般都會(huì)先控制局域網(wǎng)絡(luò)內(nèi)部的一臺(tái)Server，然后以此為基

88、地，對(duì)Internet上其他主機(jī)發(fā)起惡性攻擊。因此，應(yīng)在邊界展開(kāi)黑客防護(hù)措施，同時(shí)建立并加強(qiáng)內(nèi)網(wǎng)防范策略。</p><p>　　內(nèi)部用戶(hù)的惡意攻擊，限制VPN的訪問(wèn)，虛擬專(zhuān)用網(wǎng)(VPN)用戶(hù)的訪問(wèn)對(duì)內(nèi)網(wǎng)的安全造成了巨大的威脅。因?yàn)樗鼈儗⑷趸淖烂娌僮飨到y(tǒng)置于企業(yè)防火墻的防護(hù)之外。很明顯VPN用戶(hù)是可以訪問(wèn)企業(yè)內(nèi)網(wǎng)的。因此要避免給每一位VPN用戶(hù)訪問(wèn)內(nèi)網(wǎng)的全部權(quán)限。這樣可以利用登錄控制權(quán)限列表來(lái)限制VPN用戶(hù)的登錄

89、權(quán)限的級(jí)別，即只需賦予他們所需要的訪問(wèn)權(quán)限級(jí)別即可，如訪問(wèn)郵件服務(wù)器或其他可選擇的網(wǎng)絡(luò)資源的權(quán)限。</p><p>　　自動(dòng)跟蹤的安全策略，智能的自動(dòng)執(zhí)行實(shí)時(shí)跟蹤的安全策略是有效地實(shí)現(xiàn)網(wǎng)絡(luò)安全實(shí)踐的關(guān)鍵。它帶來(lái)了商業(yè)活動(dòng)中一大改革，極大的超過(guò)了手動(dòng)安全策略的功效。商業(yè)活動(dòng)的現(xiàn)狀需要企業(yè)利用一種自動(dòng)檢測(cè)方法來(lái)探測(cè)商業(yè)活動(dòng)中的各種變更，因此，安全策略也必須與相適應(yīng)。例如實(shí)時(shí)跟蹤企業(yè)員工的雇傭和解雇、實(shí)時(shí)跟蹤網(wǎng)絡(luò)利用情

90、況并記錄與該計(jì)算機(jī)對(duì)話的文件服務(wù)器?？傊龅酱_保每天的所有的活動(dòng)都遵循安全策略。</p><p>　　保護(hù)重要資源，若一個(gè)內(nèi)網(wǎng)上連了千萬(wàn)臺(tái)(例如20000臺(tái))機(jī)子，那么要期望保持每一臺(tái)主機(jī)都處于鎖定狀態(tài)和補(bǔ)丁狀態(tài)是非常不現(xiàn)實(shí)的。大型企業(yè)網(wǎng)的安全考慮一般都有擇優(yōu)問(wèn)題。這樣，首先要對(duì)服務(wù)器做效益分析評(píng)估，然后對(duì)內(nèi)網(wǎng)的每一臺(tái)網(wǎng)絡(luò)服務(wù)器進(jìn)行檢查、分類(lèi)、修補(bǔ)和強(qiáng)化工作。必定找出重要的網(wǎng)絡(luò)服務(wù)器(例如實(shí)時(shí)跟蹤客戶(hù)的服務(wù)器

91、)并對(duì)他們進(jìn)行限制管理。這樣就能迅速準(zhǔn)確地確定企業(yè)最重要的資產(chǎn)，并做好在內(nèi)網(wǎng)的定位和權(quán)限限制工作。建立可靠的無(wú)線訪問(wèn)審查網(wǎng)絡(luò)，為實(shí)現(xiàn)無(wú)線訪問(wèn)建立基礎(chǔ)。排除無(wú)意義的無(wú)線訪問(wèn)點(diǎn)，確保無(wú)線網(wǎng)絡(luò)訪問(wèn)的強(qiáng)制性和可利用性，并提供安全的無(wú)線訪問(wèn)接口。將訪問(wèn)點(diǎn)置于邊界防火墻之外，并允許用戶(hù)通過(guò)VPN技術(shù)進(jìn)行訪問(wèn)。</p><p>　　建立安全過(guò)客訪問(wèn)對(duì)于過(guò)客不必給予其公開(kāi)訪問(wèn)內(nèi)網(wǎng)的權(quán)限。許多安全技術(shù)人員執(zhí)行的“內(nèi)部無(wú)Intern

92、et訪問(wèn)”的策略，使得員工給客戶(hù)一些非法的訪問(wèn)權(quán)限，導(dǎo)致了內(nèi)網(wǎng)實(shí)時(shí)跟蹤的困難。因此，須在邊界防火墻之外建立過(guò)客訪問(wèn)網(wǎng)絡(luò)塊。可靠的安全決策，在技術(shù)上，采用安全交換機(jī)、重要數(shù)據(jù)的備份、使用代理網(wǎng)關(guān)、確保操作系統(tǒng)的安全、使用主機(jī)防護(hù)系統(tǒng)和入侵檢測(cè)系統(tǒng)等等措施也不可缺少。</p><p>　　5.3 安全產(chǎn)品選型原則</p><p>　　選擇市場(chǎng)主流產(chǎn)品的原則：選擇產(chǎn)品時(shí)，應(yīng)選擇在國(guó)內(nèi)市場(chǎng)上有相當(dāng)

93、的份額，具有高性能、高可靠性、高安全性、高可擴(kuò)展性、高可維護(hù)性的產(chǎn)品，如中興、3Com、Cisco、華為的產(chǎn)品市場(chǎng)份額較大。</p><p>　　適用原則。絕對(duì)的安全是不存在的，因此您必須具有“安全風(fēng)險(xiǎn)”意識(shí)。信息安全產(chǎn)品的安裝不一定意味信息系統(tǒng)不發(fā)生安全事故。所有的安全產(chǎn)品只是降低安全事件發(fā)生的可能性，減小安全事件所造成的損失，提供彌補(bǔ)損失的手段。您不要（也不可能）追求絕對(duì)的安全。 企業(yè)應(yīng)考慮清楚自己信息系統(tǒng)最

94、大的安全威脅來(lái)自何處，信息系統(tǒng)中最有價(jià)值的是什么，信息系統(tǒng)造成的哪些損失是自己無(wú)法忍受的。安全產(chǎn)品只要為企業(yè)提供足夠的手段應(yīng)對(duì)主要的安全威脅，將可能的損失減小到可以接受的范圍之內(nèi)，就可以了。不降低信息系統(tǒng)綜合服務(wù)品質(zhì)的原則。目前中國(guó)許多企業(yè)往往是在信息系統(tǒng)規(guī)劃（或建設(shè)）完成之后才考慮信息安全，即所謂的“打安全補(bǔ)丁”。這種“補(bǔ)丁”做法往往會(huì)給信息安全產(chǎn)品的選型帶來(lái)很多困難，因?yàn)楹芏鄷r(shí)候，信息安全與系統(tǒng)的使用便利性和效率往往是一對(duì)矛盾。 &

95、lt;/p><p>　　適用性與先進(jìn)性相結(jié)合原則：不同品牌的產(chǎn)品價(jià)格差異較大，因此選擇時(shí)不能只看品牌或追求高價(jià)，也不能只看價(jià)錢(qián)低的，應(yīng)該根據(jù)應(yīng)用的實(shí)際情況，選擇性能價(jià)格比高，既要滿(mǎn)足目前的需要，又能適應(yīng)未來(lái)幾年網(wǎng)絡(luò)發(fā)展的產(chǎn)品。</p><p>　　易于管理原則：所謂易于操作管理主要是指用相應(yīng)的技術(shù)來(lái)簡(jiǎn)化管理以降低維護(hù)費(fèi)用成本，一般通過(guò)硬件與軟件兩個(gè)方面來(lái)達(dá)到這個(gè)目標(biāo)。</p>&

96、lt;p>　　企業(yè)需要在考慮安全性的前提下，綜合系統(tǒng)的其它性能，結(jié)合評(píng)估系統(tǒng)的服務(wù)品質(zhì)，定下系統(tǒng)綜合服務(wù)品質(zhì)參數(shù)，在此基礎(chǔ)上，以不降低綜合服務(wù)品質(zhì)為原則，對(duì)信息安全產(chǎn)品進(jìn)行選型。</p><p>　　標(biāo)準(zhǔn)性：網(wǎng)絡(luò)安全產(chǎn)品選型符合國(guó)家標(biāo)準(zhǔn)，產(chǎn)品的質(zhì)量以及屬性必須達(dá)到國(guó)家所要求的，符合本產(chǎn)品的性能；安全性原則：產(chǎn)品系統(tǒng)具有多層次的安全保護(hù)措施，可以滿(mǎn)足用戶(hù)身份鑒別、訪問(wèn)控制、數(shù)據(jù)完整性、可審核性和保密性傳輸?shù)纫?/p>

97、求；擴(kuò)展性原則：在業(yè)務(wù)不斷發(fā)展的情況下 ，產(chǎn)品系統(tǒng)可以不斷升級(jí)和擴(kuò)充，并保證系統(tǒng)的穩(wěn)定運(yùn)行；性?xún)r(jià)比：不盲目追求高性能產(chǎn)品，要購(gòu)買(mǎi)適合自身需求的產(chǎn)品；產(chǎn)品與服務(wù)相結(jié)合原則：選擇產(chǎn)品時(shí)，既要看產(chǎn)品的品牌又要看生產(chǎn)廠商和銷(xiāo)售商品是否有強(qiáng)大的技術(shù)支持、良好的售后服務(wù)，否則買(mǎi)回的產(chǎn)品出現(xiàn)故障時(shí)既沒(méi)有技術(shù)又沒(méi)有產(chǎn)品服務(wù)，使企業(yè)蒙受損失。。</p><p>　　5.4 網(wǎng)絡(luò)常用技術(shù)介紹</p><p>

98、;<b>　　VLAN技術(shù)</b></p><p>　　VLAN（虛擬局域網(wǎng)）是對(duì)連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶(hù)的邏輯分段，不受網(wǎng)絡(luò)用戶(hù)的物理位置限制而根據(jù)用戶(hù)需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè)VLAN可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶(hù)的位置、作用、部門(mén)或者根據(jù)網(wǎng)絡(luò)用戶(hù)所使用的應(yīng)用程序和協(xié)議來(lái)進(jìn)行分組?；诮粨Q機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬問(wèn)題。</

99、p><p>　　OSPF高級(jí)路由協(xié)議</p><p>　　隨著Internet技術(shù)在全球范圍的飛速發(fā)展，OSPF已成為目前企業(yè)網(wǎng)采用最多、應(yīng)用最廣泛的路由協(xié)議之一。OSPF路由協(xié)議是一種典型的鏈路狀態(tài)（Link-state）的路由協(xié)議，一般用于同一個(gè)路由域內(nèi)。在這里，路由域是指一個(gè)自治系統(tǒng)（Autonomous System），即AS。在這個(gè)AS中，所有的OSPF路由器都維護(hù)一個(gè)相同的描述這

100、個(gè)AS結(jié)構(gòu)的數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息，OSPF路由器正是通過(guò)這個(gè)數(shù)據(jù)庫(kù)計(jì)算出其OSPF路由表的。</p><p><b>　　Trunk技術(shù)</b></p><p>　　Trunk是一種封裝技術(shù)，它是一條點(diǎn)到點(diǎn)的鏈路，鏈路的兩端可以都是交換機(jī)，也可以是交換機(jī)和路由器，還可以是主機(jī)和交換機(jī)或路由器?；诙丝趨R聚（Trunk）功能，允許交換機(jī)與

101、交換機(jī)、交換機(jī)與路由器、主機(jī)與交換機(jī)或路由器之間通過(guò)兩個(gè)或多個(gè)端口并行連接同時(shí)傳輸以提供更高帶寬、更大吞吐量， 大幅度提供整個(gè)網(wǎng)絡(luò)能力。</p><p>　　TRUNK（端口匯聚）是在交換機(jī)和網(wǎng)絡(luò)設(shè)備之間比較經(jīng)濟(jì)的增加帶寬的方法，如服務(wù)器、路由器、工作站或其他交換機(jī)。這中增加帶寬的方法在當(dāng)單一交換機(jī)和節(jié)點(diǎn)之間連接不能滿(mǎn)足負(fù)荷時(shí)是比較有效的。</p><p>　　Trunk可以提供負(fù)載均衡能

102、力以及系統(tǒng)容錯(cuò)。由于Trunk實(shí)時(shí)平衡各個(gè)交換機(jī)端口和服務(wù)器接口的流量，一旦某個(gè)端口出現(xiàn)故障，它會(huì)自動(dòng)把故障端口從Trunk組中撤消，進(jìn)而重新分配各個(gè)Trunk端口的流量，從而實(shí)現(xiàn)系統(tǒng)容錯(cuò)。</p><p>　　TRUNK功能用于交換機(jī)之間的級(jí)聯(lián)，通過(guò)犧牲端口數(shù)來(lái)給交換機(jī)之間的數(shù)據(jù)交換提供捆綁的高帶寬，提高網(wǎng)絡(luò)速度，突破網(wǎng)絡(luò)瓶頸，進(jìn)而大幅提高網(wǎng)絡(luò)性能。</p><p>　　Spanning

103、-Tree協(xié)議</p><p>　　生成樹(shù)協(xié)議是交換式以太網(wǎng)中的重要概念和技術(shù)，該協(xié)議的目的是在實(shí)現(xiàn)交換機(jī)之間的冗余連接的同時(shí)，避免網(wǎng)絡(luò)環(huán)路的出現(xiàn)，實(shí)現(xiàn)網(wǎng)絡(luò)的高可靠 性。它通過(guò)在交換機(jī)之間傳遞橋接協(xié)議數(shù)據(jù)單元（Bridge Protocol Data Unit，BPDU）來(lái)互相告知諸如交換機(jī)的橋ID、鏈路性質(zhì)、根橋（Root Bridge）ID等信息，以確定根橋，決定哪些端口處于轉(zhuǎn)發(fā)狀態(tài)，哪些端口處于阻斷狀態(tài)，以

104、免引起網(wǎng)絡(luò)環(huán)路。</p><p>　　當(dāng)交換機(jī)之間有多個(gè)VLAN時(shí)Trunk線路負(fù)載會(huì)過(guò)重，這時(shí)需要 設(shè)置多個(gè)Trunk端口，但這樣會(huì)形成網(wǎng)絡(luò)環(huán)路。STP協(xié)議便可以解決這一問(wèn)題.</p><p>　　可以通過(guò)配置STP端口權(quán)值STP路徑值來(lái)實(shí)現(xiàn)負(fù)載均衡. 如果使用STP端口權(quán)值來(lái)配置那么二條負(fù)載均衡的trunk必須聯(lián)同一交換機(jī)上。</p><p>　　使用路徑值則即

105、可以聯(lián)相同的交換機(jī)與可以聯(lián)不同的交換機(jī)。</p><p>　　使用STP端口權(quán)值的負(fù)載均衡當(dāng)同一臺(tái)交換機(jī)的二個(gè)口形成環(huán)路時(shí)， STP端口權(quán)值用來(lái)決定那個(gè)口是enable的，那個(gè)口是阻斷的.可以通過(guò)配置端口權(quán)值來(lái)決定二對(duì)trunk各走 那些VLAN, 有較高權(quán)值的端口（數(shù)字較小的）vlan, 將處于轉(zhuǎn)發(fā)狀態(tài)，同一個(gè)VLAN在另一個(gè)trunk有較低的權(quán)值（數(shù)字較大）則將處在阻斷狀 態(tài)。 即同一VLAN只在一個(gè)trun

106、k上發(fā)送接受。</p><p><b>　　PPP協(xié)議</b></p><p>　　由于這個(gè)方案中總部和分部之間是采用物理線路進(jìn)行連接的，所以為了能夠保證信息的安全，我們采用的廣域網(wǎng)的ppp協(xié)議。</p><p>　　所謂的PPP（Point-to-Point Protocol點(diǎn)到點(diǎn)協(xié)議）協(xié)議就是為在同等單元之間傳輸數(shù)據(jù)包這樣的簡(jiǎn)單鏈路設(shè)計(jì)的鏈

107、路層協(xié)議。這種鏈路提供全雙工操作，并按照順序傳遞數(shù)據(jù)包。設(shè)計(jì)目的主要是用來(lái)通過(guò)撥號(hào)或?qū)＞€方式建立點(diǎn)對(duì)點(diǎn)連接發(fā)送數(shù)據(jù)，使其成為各種主機(jī)、網(wǎng)橋和路由器之間簡(jiǎn)單連接的一種共通的解決方案。</p><p>　　PPP有很多豐富的可選特性，如支持多協(xié)議、提供可選的身份認(rèn)證服務(wù)、可以以各種方式壓縮數(shù)據(jù)、支持動(dòng)態(tài)地址協(xié)商、支持多鏈路捆綁等等</p><p><b>　　PPP的功能</b

108、></p><p>　　PPP主要完成了以下功能：</p><p><b>　　鏈路控制</b></p><p>　　PPP為用戶(hù)發(fā)起呼叫以建立鏈路；在建立鏈路時(shí)協(xié)商參數(shù)選擇；通信過(guò)程中隨時(shí)測(cè)試線路，當(dāng)線路空閑時(shí)釋放鏈路等。PPP中完成上述工作的組件是鏈路控制協(xié)議LCP（Link Control Protocol，LCP）。</p&

109、gt;<p><b>　　網(wǎng)絡(luò)控制</b></p><p>　　當(dāng)LCP將鏈路建立好了以后，PPP要開(kāi)始根據(jù)不同用戶(hù)的需要，配置上層協(xié)議所需的環(huán)境。PPP使用網(wǎng)絡(luò)控制協(xié)議NCP（Network Control Protocol，NCP）來(lái)為上層提供服務(wù)接口。針對(duì)上層不同的協(xié)議類(lèi)型，會(huì)使用不同的NCP組件。如對(duì)于IP提供IPCP接口，對(duì)于IPX提供IPXCP接口，對(duì)于APPLET

110、ALK提供ATCP接口等。</p><p>　　PPP協(xié)議包括以下三個(gè)部分：</p><p>　　1． 數(shù)據(jù)幀封裝方法。</p><p>　　2． 鏈路控制協(xié)議LCP（Link Control Protocol）:它用于對(duì)封裝格式選項(xiàng)的自動(dòng)協(xié)商，建立和終止連接，探測(cè)鏈路錯(cuò)誤和配置錯(cuò)誤。 </p><p>　　3． 針對(duì)不同網(wǎng)絡(luò)層協(xié)議的一族網(wǎng)