多業(yè)務園區(qū)網出口設計方案

/西安高新科技職業(yè)學院畢業(yè)設計（論文）課題名稱年級系別專業(yè)班級姓名學號指導老師

多業(yè)務園區(qū)網出口設計方案【摘要】園區(qū)出口網絡作為局域網和互聯網聯系的關口在整個園區(qū)網絡設計中占有舉足輕重的地位，而一個園區(qū)的出口網絡設計的好壞干脆關系到這個園區(qū)網絡的性能。本論文將先闡述當今網絡的現在和探討背景，分析當今出口網絡的缺點，然后通過深化的探討出口網絡所必需的網絡基礎學問以及先進的網絡技術從而進行對園區(qū)出口網絡進行設計和實現?！娟P鍵詞】園區(qū)出口、GLBP、策略路由、NAT、cisco目錄1.網絡現狀分析 11.1當今網絡現狀 11.2出口網絡的現狀 12.主要應用的技術 22.1NAT 22.1.1靜態(tài)NAT 32.1.2NAPT 32.2QoS： 32.3PBR: 42.4GLBP: 43.試驗環(huán)境分析 53.1架空環(huán)境 53.2試驗網絡環(huán)境描述 5試驗環(huán)境 5設計需求的思想和原則 54.園區(qū)出口網絡的設備選型 64.1Cisco網絡設備的優(yōu)點 64.2設備選型 64.2.1網絡邊緣路由器 64.2.2防火墻 64.2.3核心交換機 74.3園區(qū)出口網絡解決方案的制定 74.3.1園區(qū)出口網絡的基本功能方案 74.3.2網絡設備的管理 85.園區(qū)網絡設備的詳細配置 85.1出口路由器的配置 105.1.1NAT配置 105.1.2出口冗余策略的配置 105.2防火墻的配置 105.3基礎配置 125.4策略及QoS的配置 135.5設備管理以及監(jiān)管 145.5.1路由器交換機syslog配置 145.5.2設備平安管理設計 146.測試 156.1路由測試 156.2vrrp故障切換 166.2邊緣路由器測試 176.3測試小結 177.總結 178．致謝 181.網絡現狀分析1.1當今網絡現狀如今是一個信息網絡快速膨脹的年頭，各種校內信息化建設也逐步深化，教化教學工作的運作越來越離不開計算機網絡，各學校各單位的溝通、應用、財務、會議、教學等等數據都必需基于網絡進行傳輸，構建一個平安牢靠、管理便利的高端網絡已經成為如今校內信息化建設基礎。隨著學校院系的不斷擴張和發(fā)展，將出現越來越多浩大的院系結構。因此，如今的校內網絡所承載的數據將更加的繁雜。下圖是當今大型校內網普遍的組網模型，運用標準的3層設計模型，網絡中數據流量大，同時包括視頻點播FTP等業(yè)務，使得網絡流量更加困難，而隨著銳捷、邁普等價格便宜的網絡設備進入校內市場，各大高校核心網也起先運用10GE鏈路連接，儼然已經進入10GE高速度園區(qū)網絡時代。圖1.1當今校內網拓撲模型（銳捷設備組網圖）1.2出口網絡的現狀雖然校內各機構經過多年持續(xù)不斷的基礎設施建設和應用提升，已經形成了較為穩(wěn)定的頗有規(guī)模的園區(qū)網架構、相對豐富的園區(qū)網應用平臺。但是，如今是一個講求信息共享、資源整合的時代，園區(qū)網出口區(qū)域所存在的問題起先困擾著大家。實踐中發(fā)覺，許多學校都測試了多種出口網絡結構，卻未能很好的解決問題，無法取得志向的效果。作為校內網平臺的“門戶”——出口區(qū)域網，擔當著各院系各學校部門對外溝通的窗口的重要作用，而如今園區(qū)出口網卻長期處于一種“亞健康”狀態(tài)，簡易的出口模型網絡在許多大型園區(qū)網中存在，這樣的園區(qū)出口網將成為內部網絡和外部網絡聯系的瓶頸。常見的出口模型有如下幾種，他們都存在諸如單點故障、NAT轉換效率低、平安性低的缺點。單點故障：一條鏈路連接到運營商，當這條鏈路出現問題，內網用戶將無法訪問外網。NAT轉換率低：中低端的路由在進行NAT地址轉換時將消耗大量的系統(tǒng)資源，而出口路由器并不僅僅進行NAT地址轉換的工作還要進行路由轉發(fā)等工作，而沒有NAT轉換卡的中低端路由器將成為內網訪問外網的一個瓶頸。低平安性出口：在沒有安裝防火墻的出口網絡中，假如單一的出口路由被攻破后，內網沒有其他的愛惜措施，內網的敏感數據將毫無平安可言。圖1.2當今園區(qū)網中普遍存在的出口拓撲本方案將運用如今流行的成熟的網絡技術改造大型園區(qū)網的出口網絡，解決以上出現的這些問題，下一章我們將介紹本方案所運用到的網絡技術。2.主要應用的技術2.1NATNAT--網絡地址轉換，是通過將專用網絡地址（如校內內部網地址）轉換為公用地址（如互聯網地址），從而對外隱藏了內部網絡的IP地址。這樣，能夠在校內網內部運用非注冊（私網）的IP地址，并將它們轉換為很小一部特別部注冊(公網)的IP地址，從而達到削減IP地址注冊的費用以及節(jié)約了目前越來越缺乏的IP地址空間（即IPv4地址空間）。同時，也可以達到隱藏內部網絡結構及地址的目的，從而降低了從外網針對內部網絡攻擊的風險。靜態(tài)NAT靜態(tài)NAT是將內部網絡中的某些主機地址映射成外部網絡中的某個合法的公網地址。地址轉換的優(yōu)點在于，在為內部主機供應平安愛惜隱藏內部IP的前提下，實現了內部網絡的主機通過這項功能訪問外部網絡的資源。但它也有一些缺點：由于須要對IP包進行修改，涉及到須要加密的數據包的它則無能為力。在應用協(xié)議中，假如包中有地址或端口須要轉換，則無法對包進行加密。例如，不能運用平安的telnet連接，還有VPN技術也同樣不能運用NAT技術。當然由于NAT技術的運用，網絡攻擊的定位也變得更加困難。比如，某一臺內部網絡的主機試圖攻擊其它網絡，則很難發(fā)覺原委內網的哪一臺機器是攻擊者，因為主機的IP地址被NAT網關轉換過了從而被隱藏了。NAPTNAPT是把多個內部地址轉換到外部網絡的另一個IP地址的不同端口上。NAPT（NetworkAddressPortTranslation，網絡地址端口轉換）是NAT的一種變形和加強，它允許多個內部地址映射到同一個不同子網的地址上，也就是我們常說的地址復用。下圖描述了NAPT的基本原理。圖2.1NAPT基本原理示意圖如圖2.1所示，四個帶有內部地址的數據包到達NAT網關，其中數據包1和2來自同一個內部地址但有不同的源端口號，數據包3和4來自不同的內部地址但具有相同的源端口號。通過NAPT映射，四個數據包的源IP地址都被轉換到同一個外部地址，但每個數據包都被賜予了不同的源端口號，因而仍保留了報文之間的區(qū)分。當回應報文到達時，NAT網關仍能夠依據回應報文的目的地址和端口號來區(qū)分該報文應轉發(fā)到的內部主機。接受NAPT可以更加充分地利用IP地址資源，實現更多內部網絡主機對外部網絡的同時訪問。由于NAT只是一個解決IPv4和IPv6過渡的一個臨時解決方案，所以NAT擁有和主機之間的通信變得困難等缺點，導致通信效率的降低。2.2QoS：QoS（QualityofService）服務質量。主要的服務質量包括傳輸的帶寬、傳送的時延、數據的丟包率、傳輸的抖動等。運用QoS的主要目的是為了保證傳輸的帶寬、降低傳送的時延、降低數據的丟包率以剛好延抖動，運用這些措施來提高服務質量。在網絡資源總量有限的狀況下，就會存在搶奪網絡資源的現象，就會有須要運用QoS的要求。服務質量是相對網絡業(yè)務而言的，在保證某些特定的業(yè)務的暢通的同時，就要損害其它業(yè)務的服務質量。例如，在網絡總帶寬固定的狀況下，某類業(yè)務所運用的帶寬越多，則其他業(yè)務能運用的帶寬就越少，可能會影響其他業(yè)務的運用。因此，網絡管理者須要依據各種業(yè)務的特點來對網絡資源進行合理的規(guī)劃和支配，從而使網絡資源得到高效利用。QoS技術包括流分類、流量監(jiān)管、流量整形、接口限速、擁塞管理、擁塞避開等。下面簡述一下QoS技術在網絡中的位置。圖2.2常用QoS技術在網絡中的位置2.3PBR:策略路由是一種比基于目標網絡使得路由能夠更加靈敏的數據包路由轉發(fā)機制。通常的路由器是通過對數據包的目的地址定位來進行路由選路的，而策略路由不僅僅依據目的地址還可以依據數據包源地址、數據包大小、數據表的擴展字段等條件靈敏的為路由器選擇數據表轉發(fā)路徑。2.4GLBP:GLBP(GatewayLoadBanancingProtoco)網關負載均衡協(xié)議是HSRP（HSRP：HotStandbyRouterProtocol）熱備份路由器協(xié)議的擴展，它是Cisco的私有協(xié)議。他和眾所周知的HSRP、VRRP不同的是，GLBP不僅供應冗余網關，還在各網關之間供應負載均衡，這是HSRP和VRRP不能夠實現的，他不僅供應了不間斷的網關冗余而且他還能夠自動的在資源之間支配流量，從而達到熱備份、負載分擔及簡化配置等目標。對于HSRP、VRRP都必需選定一個活動路由器，而其余備用的路由器在活動路由器出現故障前則處于閑置狀態(tài)，而GLBP只須要一個有效虛擬網關AVG限制器，他負責為群中每一個路由器支配一個唯一的MAC地址，他負責相應ARP請求，將自己和其他備份虛擬網關AVF的MAC響應ARP的請求,從而實現綁定多個MAC地址到虛擬IP，從而允許客戶端選擇組中包括AVG在內的路由器作為其默認網關，而網關地址仍運用相同的虛擬IP。假如有效虛擬網關AVG出現故障，則備份虛擬網關AVF會代替AVG的工作使得網關其照舊可以接著工作，并且不會導致主機連通中斷現象。下圖是GLBP的原理圖。圖2.3GLBP原理圖從圖2.4可以看到，其中主機配置相同的網關IP53，但他們獲得的網關MAC不一樣，兩個網關SWA和SWB分別為這兩個MAC的AVF。其中SWA被選舉為這個GLBP3.試驗環(huán)境分析3.1架空環(huán)境本論文試驗設計將基于福建師范高校福清分校的網絡環(huán)境對本文提出的方案進行試驗驗證。福清分校為福建師范高校的一個分校，全校計算機數量逾1000臺（不包括學生群體），信息點近900個，目前主要樓宇有教學樓、圖書館、科學樓、昌檀樓等，其它還有11幢學生宿舍樓，8幢老師宿舍。依據校內網絡發(fā)展的趨勢將宿舍區(qū)網絡和校內辦公網絡合并，使得校內內擁有2萬個信息點，出口鏈路包括教化網1G以及中國電信100M。3.2試驗網絡環(huán)境描述3.2.1試驗環(huán)境Dynamips是一個基于虛擬化技術的模擬器（emulator），用于模擬思科（Cisco）的路由器。本論文將運用基于Dynamips的模擬器GNS3。GNS3是一款優(yōu)秀的具有圖形化界面可以運行在多平臺（包括Windows,Linux,andMacOS等）的網絡虛擬軟件。他除了整合了Dynamips以外還整合了Pemu這個PIX防火墻的模擬器。在運用Dynamips同時，為力求試驗現象的真實性性還將運用真實設備進行試驗。3.2.2設計需求的思想和原則（1）網絡牢靠性思想和原則：在網絡設計過程當中網絡拓撲將運用高可用性的形式，即運用可冗余備份技術，使得平安性得以保障，有效避開出現單點故障，核心層將運用高端的交換機并運用光纖通信技術以達到高速以及容錯的特性，使得單點故障不在發(fā)生。在加上雙出口鏈路，雙出口路由，雙防火墻等措施，設備故障能做到自動切換，不影響園區(qū)正常的上網需求，使得園區(qū)網絡更加平安牢靠。高性能的NAT需求，由于接入的電信供應的互聯網出口供應有限公網IP，解決園區(qū)內2萬用戶對外部網絡的訪問需求，須要高性能的NAT轉換實力,否則將是制約上網速度的一個重大因數。（2）網絡可擴展性思想和原則：園區(qū)網內部網絡設備支持10GE，將來平滑過渡到10GE，屆時對出口的要求又是另一番狀況，在設計時需考慮以后的對出口的需求，支持擴展。園區(qū)出口網絡路由器交換機防火墻等設備將運用思科最先進的產品，其擁有多種的模塊插槽，豐富的擴展功能模塊，優(yōu)異的性能，高端的IOS支持等特性，不僅僅支持現有的IPv4技術，同時支持先進的IPv6技術，可以實現IPv4到IPv6的平穩(wěn)過渡。（3）網絡好用性和可管理性思想和原則：由于園區(qū)網內用戶眾多，其中存在著P2P、迅雷等應用的惡意下載，同時目前QQ、MSN等剛好閑聊工具的視頻、在線傳輸數據等對園區(qū)網出口造成較大的壓力，要求實現對接入用戶的帶寬限制，避開不必要的帶寬奢侈，同時保障關鍵業(yè)務的開展，如視頻會議、遠程教化等。本方案將結合架空環(huán)境的需求進行合理的網絡拓撲搭建和設備選型，以協(xié)調好可擴展性和好用性為目標進行方案的設計。并選擇擁有高可管理性的設備進行方案的實施以達到網絡的可管理性原則。（4）網絡平安性思想和原則出口的平安防護始終是園區(qū)出口網建設的重點關注的對象，近幾年來，網絡帶寬快速增長，網絡威逼也隨之大幅增加，包括攻擊、各類掃描、入侵、DDOS攻擊、蠕蟲病毒攻擊、惡意軟件、垃圾郵件。園區(qū)出口網絡帶寬越大，網絡威逼可能造成的危害也就越大，出口設備的平安防衛(wèi)面臨著空前挑戰(zhàn)，出口設備須要防范校外網絡威逼的攻擊或入侵，要求必需對DoS攻擊、ARP欺瞞/攻擊等網絡攻擊行為有較強的防范實力。面對日益突出的信息平安問題，園區(qū)出口平安建設更加重要。本方案將在邊界網關處構筑防火墻，對網關路由器進行必要的平安設置，對涉密網絡流量進行加密傳輸等技術來實現園區(qū)網的平安化。4.園區(qū)出口網絡的設備選型4.1Cisco網絡設備的優(yōu)點Cisco作為世界第一大網絡設備生產商，目前互聯網上近80%的信息流量必需經過思科公司的產品傳遞。思科公司是國際網絡的設備的領頭羊，他擁有特殊強大的技術研發(fā)團隊，閱歷豐富的技術支持工程師，全球擁有35000多名雇員，其產品已經受到全球用戶的一樣好評。Cisco網絡設備的穩(wěn)定性是數一數二的，返修率同比其他網絡設備生產商要低出許多。對于追求高穩(wěn)定性的客戶來說Cisco設備是不二之選。4.2設備選型網絡邊緣路由器在網絡的邊緣本方案選擇Cisco的7609路由器。Cisco7609路由器一般部署于網絡邊緣的高性能路由器，網絡邊緣性能、IP服務、冗余性和故障彈性都是特殊重要。他通過中心路由處理器和轉發(fā)引擎相結合，可供應720Gbps的總吞吐量。擁有多功能擴展插槽,通過擴展模塊可展至了10G以太網。同時還可以通過NAT加速模塊提高NATIP轉換時的效率，也可以加裝防火墻模塊達到路由器防火墻的效果。Cisco7609路由器是9插槽機箱產品。這一增加型機箱進行了設計改進，接受冗余、可變速的風扇架，帶有路由處理器、交換矩陣和電源冗余性。防火墻在防火墻方面本方案運用CiscoASA5550FirewallEdition套裝。ASA5550是Cisco平安的旗艦產品。他的并發(fā)連接數可達到650,000網絡吞吐量:1.2Gbps。自適應平安設備接受牢靠的1機柜單元封裝設計，能為大型企業(yè)和電信運營商網絡供應主動/主動高可用性和光纖及千兆以太網連接，進而可供應千兆位級平安服務。憑借8個千兆以太網接口、4個小封裝可熱挺立(SFP)光纖接口、以及多達200個VLAN支持，企業(yè)能夠將其網絡劃分成若干個高性能區(qū)域，以提高平安性。每個CiscoASA5550上擴展支持多達5000個SSLVPNpeer；基礎平臺最多可支持5000個IPsecVPNpeer。通過運用CiscoASA5550的集成VPN集群和負載平衡實力，VPN容量和永續(xù)性還可進一步提高。CiscoASA5550在一個集群中可支持多達10臺設備，支持最高每集群50,000個SSLVPNpeer或50,000個IPsecVPNpeer。在業(yè)務連續(xù)性和事務規(guī)劃方面，ASA5550還可受益于CiscoVPNFLEX許可。該許可使管理員能夠應對或規(guī)劃最長2個月的短期猝發(fā)并發(fā)SSLVPN遠程接入用戶。利用CiscoASA5550自適應平安設備的可選平安上下文實力，學校能夠在一臺設備中部署多達50個虛擬防火墻，針對每個部門或每個客戶供應隔離限制，并降低總體管理和支持成本。該系統(tǒng)總共可供應12個千兆以太網端口，其中只有8個可以同時投入運用。學?？梢赃x擇銅線或光纖連接，支持靈敏建立數據中心、園區(qū)邊緣連接。如此強大的性能完全滿足了大型校內網絡邊界的平安需求。核心交換機在核心交換機方面本方案選擇主流的CiscoCatalyst6509交換機。思科6509系列核心交換機支持完整的QoS機制，涵蓋策略，隊列，流量整形和擁塞限制。運用NSF/SSO技術，能夠保證不間斷的高速數據轉發(fā)和故障切換，確保園區(qū)網絡服務連續(xù)性和實時功能特性升級。此外，6509還能運用SPUERENGINE32PISA智能應用程序供應視頻流量限制和監(jiān)控服務。提升整個園區(qū)網絡Qos的高性能。6509支持最大VLAN數可達到4096個，底版帶寬可擴充至720Gbps；數據吞吐性能可擴充至387Mpps，同時它可支持多種網絡協(xié)議，是網絡核心設備的不二之選。以下是本方案運用的網絡設備的選型列表：設備角色設備型號數量（臺）出口路由器Cisco76092防火墻ASA55502核心交換機CiscoCatalyst65092表4.1設備選型列表4.3園區(qū)出口網絡解決方案的制定園區(qū)出口網絡的基本功能方案總體上，選用兩組設備，能在網絡結構上解決單點故障問題。在線路上,每個防火墻都接入兩個核心，能防止單個核心掛掉時，雙出口還能接著正常運行;兩臺7609作為出口路由，在單個出口路由出現問題時能夠運用另外一臺出口路由訪問外部網絡，同時能夠在單運營商鏈路出現問題時，自動切換到另外一個運營商，保證校內用戶，員工的上網需求。設計如下圖所示：圖4.2園區(qū)出口網設計拓撲圖4.3園區(qū)出口網流量示意圖網絡設備的管理開啟全部網絡設備的日記功能。日志對于網絡平安的分析和平安設備的管理特殊重要。運用IOS針對各種網絡攻擊和平安威逼進行日志記錄，接受統(tǒng)一的格式，支持本地查看的同時，還能夠通過統(tǒng)一的輸出接口將日志發(fā)送到日志服務器，為用戶事后分析、審計供應重要信息。日志包括：設備日志：設備狀態(tài)，系統(tǒng)事務日志攻擊日志：設備網絡受到攻擊的日志信息5.園區(qū)網絡設備的詳細配置下圖是網絡IP地址規(guī)劃圖，本章節(jié)的配置是依據圖表中所標注的端口以及IP進行配置的。圖5.1網絡出口IP地址圖設備名及端口設備IPDMZ-1（內部）（外部）DMZ-2（內部）（外部）DMZ-FTP（內部）（外部）R1-E0/3R2-E0/3SW1-VLAN2-E0/1SW1-E0/2SW2-VLAN2-E0/1SW2-E0/2老師服務器.0/16老師用戶表5.2全網運用IP及端口

5.1出口路由器的配置NAT配置interfaceeth0/1ipnatenable//開啟端口的NAT功能interfaceeth0/3ipnatenableipnatpooldx //建立NAT的地址池access-list1permit55 //建立訪問interfaceeth0/1ipnatenable//開啟端口的NAT功能interfaceeth0/3ipnatenableipnatpooldx //建立NAT的地址池access-list1permit55 //建立訪問限制列表ipnatsourcelist1pooldxoverload //應用NAPT于指定的網段ipnatsourcestaticipnatsourcestatic.2ipnatsourcestatic.3 //靜態(tài)NAT翻譯，運用NVI技術出口冗余策略的配置R1:routerospf10//建立OSPF實例10default-informationoriginate //通告路由的起源R1:routerospf10//建立OSPF實例10default-informationoriginate //通告路由的起源networkarea0 //將E0/3加入OSPF區(qū)域0interfaceethernet0/3ipaddress//設置端口IPipospfcost100//設置ospf的cost值為100noshutdownR2:routerospf10default-informationoriginatenetworkarea0interfaceethernet0/3ipospfcost100ipaddressnoshutdown5.2防火墻的配置為了使外部用戶能夠訪問DMZ區(qū)域中的公共服務器時，防火墻必需對用戶所訪問的應用和服務類型進行審核和過濾，本論文以（80端口以及自定義的8080端口）和ftp（21端口）為例。access-listpermitDMZextendedpermittcpanyhost192.168.74access-listpermitDMZextendedpermittcpanyhosteq//允許互聯網主機訪問DMZ中的服務器#1access-listpermitDMZextendedpermittcpanyhost.2eq8080//允許互聯網主機訪問DMZ中的服務器#2access-listpermitDMZextendedpermittcpanyhost.3eqftp//允許互聯網主機訪問DMZ中的FTP服務器access-listpermitDMZextendeddenyipanyany//拒絕其他一切的訪問access-listpermitDMZininterfaceoutside//在防火墻的outside接口上部署aliasDMZaliasDMZaliasDMZaliasDMZ155.1.23.aliasDMZ155.1.23.學校中的老師服務器只允許老師主機訪問。access-listteacherextendedpermitip.25555//允許老師主機訪問校內網老師服務器access-listteacherextendeddenyipanyaccess-listteacherextendedpermitip.25555//允許老師主機訪問校內網老師服務器access-listteacherextendeddenyipany10.21.0//拒絕其余主機訪問校內網老師服務器access-listteacherininternfaceinside//在inside接口上應用該ACL阻擋訪問google的圖片：class-maptyperegexmatch-anyurl//定義一個正則表達式urlmatchregexgoogle/*.jpgmatchregexgoogle/*.gif阻擋訪問google的圖片：class-maptyperegexmatch-anyurl//定義一個正則表達式urlmatchregexgoogle/*.jpgmatchregexgoogle/*.gifmatchregexgoogle/*.jpegmatchregexgoogle/*.pngmatchregexgoogle/*.bmpmatchregexgoogle/*.swf//過濾全部的圖片動畫Exitclass-maptyperegexmatch-allmethods//定義一個正則表達式methodsmatchregex“GET”Exitclass-maptypeclass-maptypegoogle_policy//定義一個用于過濾的MAPmatchrequesturlregexclassurl//匹配的request請求報文中的URL字段matchrequestmethodregexclassmethods//匹配的request報文中的GET叮囑Exitpolicy-maptypeweb_polisyclassgoogle_policydrop//丟棄匹配google上的圖片的流量service-policyweb_policyinterfaceoutside//在接口outside上應用5.3基礎配置核心交換通過啟用SVI接口實現交換機和路由的OSPF動態(tài)路由協(xié)議的通信，通過啟用GLBP實現網關的冗余。SW1：SW1：vlan2vlan10routerospf10network.0area0interfacevlan2 //和SW1相連ipospf100interfacee0/1switchportmodetrunknoshutinterfacee0/2switchportmodeaccessswitchportaccessvlan10interfacevlan10glbp1ip54glbp1preempt glbp1priority105 glbp1weightingtrackinte0/110SW2SW2：vlan2vlan10routerospf10network.0area0interfacevlan2 //和SW1相連ipospf100interfacee0/1switchportmodetrunknoshutinterfacee0/2switchportmodeaccessswitchportaccessvlan10interfacevlan10glbp1ip54//定義GLBP相關配置參數，創(chuàng)建組1，并且設置虛擬路由器的IPglbp1preemptdelay10 //設置延遲10s強占glbp1priority95//設置端口優(yōu)先級glbp1weightingtrackinte0/110//設置跟蹤端口E0/1，并且在E0/1DOWN的狀況下優(yōu)先級自動減105.4策略及QoS的配置SW1:……route-mapCERNETpermit10//建立路由圖CERNETmatchiproute-source15//匹配訪問限制列表15SW2:……route-mapCERNETpermit10//建立路由圖CERNETmatchiproute-source15//匹配訪問SW1:……route-mapCERNETpermit10//建立路由圖CERNETmatchiproute-source15//匹配訪問限制列表15SW2:……route-mapCERNETpermit10//建立路由圖CERNETmatchiproute-source15//匹配訪問限制列表15BT是進年來興起的一種基于P2P的下載方式，這種下載方式在下載的同時同時上傳已下載到的數據給其他下載者同時它運用隨機端口于其他下載者傳輸數據，達到下載服務器的負擔降低節(jié)約服務器帶寬流量等目的。然而這種下載方式對校內網的暢通帶來了極大的危害同時也極難運用一般的訪問限制列表進行封殺，為了保證校內內的網絡暢通，本課題運用QoS中的nbar技術對BT進行封殺。

copytftp:bittorrent.pdlmflash://上傳bittorrent.pdlm到flashcopytftp:bittorrent.pdlmflash://上傳bittorrent.pdlm到flashconftbittorrent.pdlm//加載bittorrent.pdlm模塊class-mapmatch-anyBT//Match-any表示匹配以下策略的任一個matchprotocolbittorrentmatchprotocoledonkeyexitpolicy-mapDROPclassBTdropexitinterfacefastEthernet0/0service-policyinputDROPend5.5設備管理以及監(jiān)管路由器交換機syslog配置當網絡出現錯誤或受到攻擊的時候，網絡管理員能夠查看網絡日志服務的中的消息記錄，從而能夠剛好存取的查出癥結的所在，剛好發(fā)覺和解決問題。loggingon loggingon //日志服務器的IP地址loggingfacilitylocal1 //facility標識,RFC3164規(guī)定的本地設備標識為local0-local7loggingtraperrors //日志記錄級別loggingsource-interfacee0 //日志發(fā)出用的源IP地址servicetimestampslogdatetimelocaltime//日志記錄的時間戳設置，可依據須要詳細配置設備平安管理設計管理數據流信息是比較敏感的，對于它的傳遞對于平安性的要求是比較高的。為了保證這些敏感數據的平安，比較了SSH、SSL、Rtelnet、SNMP等網絡管理手段，并依據福建師大福清分校的狀況，選擇SSH協(xié)議進行遠程登錄管理。而本方案將以福清分校為例運用CAT6509進行實例配置。hostnameSDFX-6509hostnameSDFX-6509 //將改路由器命名為SDFX-6509ipdomain-namefjsdfxusernametestpasswordcisco //創(chuàng)建一個用戶，名為test，口令為ciscolinevty04//進出VTY鏈路loginlocal cryptokeygeneratersa //配置SSH的服務Thenameforthekeyswillbe:SDFX-6509.fjsdfx//SSH的關鍵字名為：SDFX-6509.fjsdfxipsshtime-out180 //配置SSH的超時時間，把默認值改為180秒ipsshauthentication-retries5//配置SHH重試次數，把默認值改成5次6.測試本論文為了追求數據的精確運用了真實設備進行方案的驗證以及結果分析，測試運用到的設備較方案中的設備低端，但不影響測試的結果和方案的可行性。方案運用H3C交換機S2126兩臺做為接入設備，H3C三層交換機S3900兩臺做為核心設備，cisco2621兩臺做出口路由器。試驗組網拓撲如下：圖6.1真實試驗拓撲詳細方案見論文附錄。6.1路由測試依據方案組網后，兩臺核心交換機將學到一條默認路由：可以看到邊緣路由器學習到了ospf區(qū)域內的全部條目達到全網互聯：6.2vrrp故障切換虛擬路由器冗余協(xié)議（VRRP：VirtualRouterRedundancyProtocol）,它和GLBP實現相同的功能，由于GLBP只能運行在高端的思科交換機上，所以本試驗運用VRRP代替GLBP。正常通信環(huán)境是VLAN10的PC流量通過s3900-1正常工作是s3900-1為Vlan10的Master，Vlan20的Backup當s3900-2上行鏈路E1/0/1出現故障down時，VRRP自動切換V20網關到s3900-1S3900-2部分VRRP切換測試同上。6.2邊緣路由器測試對雙線切換測試的時候，我們把C2621-2外網口shutdown，可以看到S3900-2學到的默認路由將是由C2621-1通告進來的，下一跳地址為即為S3900-1。6.3測試小結在2個邊緣路由器上分別通告了默認路由，因為cisco規(guī)定默認通告的是E2的類型，即在整個ospf傳輸區(qū)域中該路由的開銷值不變，