1、广东科学技术职业学院计算机工程技术学院(软件学院)毕 业 设 计题目: 公司网络搭建与部署 专业: 计算机网络技术 班级: 学生姓名: 马进 学号: 6666666666 指导教师姓名: 职称: 2016年 1 月 5 日摘要六月网络有限公司刚刚成立,总部设于广州,分别在北京、上海都有分公司。现在需要为公司搭建网络,让总公司能够自由的与分公司互相访问资源,局域网内部人员可以自由的连上Internet网。该公司有财务部、人力资源部、产品部、技术部、销售部等部门;根据公司要求,为各个部门分配合适的IP地址段,做到无冲突,尽可能的节省IP地;最主要的是公司内部网络环境搭建与部署,内部网络路由协议、网
2、络策略;总部与分部之间使用VPN、帧中继连接,远程移动客户端等;用思科的网络设备设计一套合理的方案,整体网络拓扑规划、工程实施方案、相关技术应用然后是调试。关键词:WAN、VLAN、EIGRP、Telnet、SSH、ACL、VPN、帧中继、网络安全。目录一、概述51.1 计算机网络的发展51.2 公司网络规划概述51.3 公司网络安全6二、项目工程简介72.1 网络设计目标72.2 网络设备简介7三、项目需求分析83.1 公司网络总体需求83.2 公司网络功能需求8四、项目设计与实施94.1 项目设计94.1.1 网络拓扑图94.1.2 公司网络规划104.2 项目实施与实现104.2.1 V
3、LAN配置114.2.2 EIGRP路由协议114.2.3 Telnet、SSH远程124.2.4 交换机配置管理FTP备份与恢复134.2.5 帧中继虚拟电路144.2.6 ACL访问控制174.2.7 VPN远程214.2.8 DHCP服务器配置24五、网络安全266.1安全风险分析266.2安全防护措施276.3安全拓扑28六、总结29参考文献30致谢31前言 六月网络有限公司刚刚成立我们将为它设计公司网络搭建拓扑图,以及实施拓扑图的内容,网络搭建的目的是为了公司内部人员能够通过访问Internet网找到自己想要的资源,当然还有解决总公司与分公司之间的互相访问,移动客户或者在外出差的员工
4、访问公司内部网络资源。最重要的是网络安全,企业网络安全非常的重要,在网络搭建中我们将会用到蓝盾防火墙的一些设备,来为我们的网络建一个防护网。在这个网络时代有一个良好的网络环境能够提高公司员工的办事效率,使得业绩发展更好。第一章 概述1.1计算机网络的发展历史计算机网络源于计算机与通信技术的结合,它经历了从简单到复杂、从单机到多机、从终端与计算机之间通信到计算机与计算机直接通信的发展时期。 早在20世纪50年代初,以单个计算机为中心的远程联机系统构成,开创了把计算机技术和通信技术相结合的尝试。这类简单的“终端通信线路面向终端的计算机”系统,构成了计算机网络的雏形。严格的说,它和现代的计算机网络相
5、比,存在根本的区别。当时的系统除了一台中央计算机外,其余的终端设备没有独立处理数据的功能,当然还不能算是真正意义上的计算机网络。为了区别以后发展的多个计算机互联的计算机网络,称它为面向终端的计算机网络,又称为第一代计算机网络。从20世纪60年代中期开始,出现了若干个计算机主机通过通信线路互联的系统,开创了“计算机计算机”通信的时代,并呈现出多个中心处理机的特点。 20世纪60年代后期, ARPANET网是由美国国防部高级研究计划局ARPA(目前称为DARPA,Defense Advanced Research Projects Agency)提供经费,联合计算机公司和大学共同研制而发展起来的,
6、主要目标是借助通信系统,使网内各计算机系统间能够相互共享资源,它最初投入使用的是一个有4个节点的实验性网络。ARPANET网的出现,代表着计算机网络的兴起。人们称之为第二代计算机网络。20世纪70年代至80年代中期是 计算机网络发展最快的阶段,通信技术和计算机技术互相促进,结合更加紧密。局域网诞生并被推广使用,网络技术飞速发展。为了使不同体系结构的网络也能相互交换信息,国际标准化组织(ISO)于1978年成立了专门机构并制定了世界范围内的网络互联标准,称为开放系统互联参考模型OSI/RM(Open Systems Interconnection / Reference Model),简称OSI
7、,人们称之为第三代计算机网络。 进入20世纪90年代后,局域网技术发展成熟,局域网已成为计算机网络结构的基本单元。网络间互联的要求越来越强烈,并出现了光纤及高速网络技术。随着多媒体、智能化网络的出现,整个系统就像一个对用户透明的大计算机系统,千兆位网络传输速率可达1G/s,它是实现多媒体计算机网络互联的重要技术基础。从1983年到1993年10年期间,Internet从一个小型的、实验型的研究项目,发展成为世界上最大的计算机网,从而真正实现了资源共享、数据通信和分布处理的目标。我们把它称为第四代计算机网络。1.2公司网络规划概述公司网络整体规划是一个总公司和两个分公司之间的通信,网络拓扑形成一
8、个三角形,通过互联网供应商使他们连接起来,当然为了公司的需求我们也会向供应商买三条帧中继虚拟网络,VPN站点与站点的对接,远程访问。公司内部会根据实际需求设置VLAN,各个部门之间的通信要求尽量满足。1.3 公司网络安全网络结构网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统。透过网络传播,还会影响到连上Internet/Intranet的其他的网络;影响所及,还可能涉及法律、金融等安全敏感领域。因此,我们在设计时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的
9、隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。物理安全网络的物理安全是整个网络系统安全的前提。在公司网工程建设中,由于网络系统属于弱电工程,耐压值很低。因此,在网络工程的设计和施工中,必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有,地震、水灾、火灾等环
10、境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等,因此要注意这些安全隐患,同时还要尽量避免网络的物理安全风险。系统的安全所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。恐怕没有绝对安全的操作系统可以选择,无论是Microsoft 的Windows NT或者其它任何商用UNIX操作系统,其开发厂商必然有其Back-Door。因此,我们可以得出如下结论:没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬
11、件平台,并对操作系统进行安全配置。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。第二章 项目工程简介2.1网络设计目标VLAN划分:各个部门分属不同的vlan,为各个vlan分配合适的ip地址段,做到无冲突,尽可能的节省IP地址。访问控制:通过NAT技术实现公司内网与外网的访问权限。内网安全:财务部与其它部门之间网络隔离,不能互访。网可管理:网络设备部分开启SSH,有一部分是Telnet登录时必须以用户名+密码方式验证。设备用户名:cisco密码:class;2.2网络设备简介Cisco
12、router 2621、思科Multilayer Switch两台、思科模式服务器一台、2960交换机、PC机较多、以太网直通线若干、DB-60、EIA/TIA-232、CSU/DSU等。第三章 项目需求分析3.1 公司网络总体需求该公司要求使用网络将公司的各种计算机、终端设备和局域网连接起来,形成公司内部的Intranet网络,并通过路由器接入Internet,以满足各部门需要等。下面介绍该公司网络建设的总体需求和具体需求。(1)保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。(2)完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特
13、性。(3)可靠性:公司网络应具有很高的可靠性,达到24小时不间断、无故障、稳定运行。尽量减少局部网络对整个公司网络的影响。(4)可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;(5)先进性:由于网络技术的日新月异,更高的带宽和更先进的应用层出不穷,该公司网络应在未来几年的运行中能满足公司的应用需求,能在较长时期内保持一定的先进性。网络建成后能实现数据、语音、多媒体通信、OA办公、E-mail、Web及FTP等服务。(6)可控性:对信息的传播及内容具有控制能力。(7)可审查性:出现安全问题时提供
14、依据与手段(8)可扩展性:主干节点设备的性能具有向上扩展的能力,以备将来更高带宽应用的需要。(9)可管理性:整个公司网络将采用集中式管理,能够监控网络的运行,并能找出网络的故障并快速恢复网络的正常运行。校园网建设的具体需求:总公司本部各大楼与网络中心的网络带宽为1000Mbps,用户主机到桌面交换机的网络带宽为100Mbps。公司网到Internet的出口带宽为20Mbps。远程分公司与总公司本部的网络带宽为10Mbps。财务部要求必须处在一个独立的局域网内,以保证网络的安全。对公司内部的计算机只提供WWW、E-mail、FTP等常用的服务,除非有特别的需要,否则不开通其他的服务。工作日只能在
15、上午7:30到晚上21:30间开通Internet网络。对公司网外的移动用户提供remote access VPN拨号接入服务。3.2 公司网络功能需求(1)DHCP服务,为销售部自动分配IP地址。(2)FTP服务,公司内部资源的共享与访问。(3)Telnet、SSH、VPN服务,设备开启远程登录功能,方便移动员工访问。第四章 项目设计与实施4.1 项目设计 4.1.1 网络拓扑图根据公司建筑的分布及需求,作出如下规划:网络中心与各楼宇之间使用千兆多模光纤连接,形成千兆骨干网络;大楼内设置汇聚层交换机,用于汇聚楼内各楼层交换机的数据;桌面交换机与汇聚层交换机连接,桌面交换机与计算机间使用百兆双
16、绞线相连;OA办公、E-mail、Web及FTP服务器直接和网络中心的核心交换机连接;由于该公司的网络出口宽带为20Mbps,因此直接通过以太协议接入ISP;远程分公司与总公司本部间通过VPN线路连接;在总公司配置一个Remote access VPN,供移动员工使用。由于财务部、人力资源部、技术部、销售部的网络连接基本相同,所以缩减为一个图,简化后的网络如图2.2所示。4.1.2 公司网络规划公司内部网络号192.168.90.0/24现在把它用VLSM划分IP地址供公司内部使用以及VLAN的划分,此地址与VLAN仅供实验模拟实际中应该划分多一点主机地址。广州总公司:部门IP网段网关VLAN
17、名广州总公司192.168.90.1-30/27192.168.90.1192.168.90.33-62/27192.168.90.33财务部192.168.90.129-134/29192.168.90.129FMD人力资源部192.168.90.137-142/29192.168.90.137HR技术部192.168.90.145-150/29192.168.90.145Technology销售部192.168.90.153-158/29192.168.90.153Sales北京分公司IP地址及VLAN划分:部门IP网段VLAN名网关北京分公司192.168.90.65-94/27192.
18、168.90.65技术部192.168.90.193-198/29Technology192.168.90.193销售部192.168.90.201-206/29Sales192.168.90.201上海分公司IP地址及VLAN划分:部门IP网段VLAN名网关上海分公司192.168.90.97-126/27192.168.90.97财务部192.168.90.161-166/29FMD192.168.90.161人力资源部192.168.90.169-174/29HR192.168.90.1694.2 项目实施与实现 4.2.1 VLAN配置VLAN配置命令:其余VLAN均与此配置方法相同。
19、4.2.2 EIGRP路由协议根据拓扑图配置EIGRP路由协议及配置命令:验证:4.2.3 Telnet、SSH远程Telnet配置:Enable password classLine vty 0 3Password classLogin验证:SSH配置:Enable password classIp domain-name Crypto key generate rsaIp ssh version 2Line vty 0 3Password classLoginTransport input ssh验证:4.2.4 交换机配置管理FTP备份与恢复ftp配置命令:首先在交换机上配置:Confi
20、gure terminalEnable secret passwordService password-encryption 密码加密ip ftp username tmfip ftp password tmf然后在ftp服务器上配置:测试:4.2.5 帧中继虚拟电路1、在Packet Tracer上边画好拓扑,并配置好模块和帧中继DLCI2、添加一个Cloud-PT-Empty设备(Cloud0)模拟帧中继网络,为Cloud0添加3个S端口模块,好与路由器连接!这里添加了额外的模块,仅供娱乐。3、设置好S1,S2,S3,的DLCI值:这一步很重要必须设置,其实每一步都很重要了。4、配置3台路
21、由器:R1路由器配置:R1enR1#conf tR1(config-if)#int s0/0 进入S1/0端口配置R1(config-if)#no shut 启动端口R1(config-if)#ip add 10.10.10.1 255.255.255.0 分配端口ip地址R1(config-if)#encapsulation frame-relay 帧中继封装R1(config-if)#frame-relay map ip 10.10.10.2 102 broadcast 添加静态映射地址R1(config-if)#frame-relay map ip 10.10.10.3 103 broa
22、dcast R1(config-if)#frame-relay lmi-type ansi 帧中继类型为ansiR1(config-if)#exitR2路由器配置:R1enR1#conf tR1(config-if)#int s0/0 进入S1/0端口配置R1(config-if)#no shut 启动端口R1(config-if)#ip add 10.10.10.2 255.255.255.0 分配端口ip地址R1(config-if)#encapsulation frame-relay 帧中继封装R1(config-if)#frame-relay map ip 10.10.10.1 201
23、 broadcast 添加静态映射地址R1(config-if)#frame-relay map ip 10.10.10.3 203 broadcast R1(config-if)#frame-relay lmi-type ansi 帧中继类型为ansiR1(config-if)#exitR3路由器配置:R1enR1#conf tR1(config-if)#int s0/0 进入S1/0端口配置R1(config-if)#no shut 启动端口R1(config-if)#ip add 10.10.10.3 255.255.255.0 分配端口ip地址R1(config-if)#encapsu
24、lation frame-relay 帧中继封装R1(config-if)#frame-relay map ip 10.10.10.1 301 broadcast 添加静态映射地址R1(config-if)#frame-relay map ip 10.10.10.2 302 broadcast R1(config-if)#frame-relay lmi-type ansi 帧中继类型为ansiR1(config-if)#exit在路由器、三层交换机上配置RIP路由命令如下: router rip version 2network A.B.C.D测试:从广州总公司到上海分公司PC1pingPC1
25、1从广州总公司到北京分公司PC1pingPC74.2.6 ACL访问控制访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。如可以配置ACL,禁止局
26、域网内的设备访问外部公共网络,或者只能使用FTP服务。ACL既可以在路由器上配置,也可以在具有ACL功能的业务软件上进行配置。ACL是物联网中保障系统安全性的重要技术,在设备硬件层安全基础上,通过对在软件层面对设备间通信进行访问控制,使用可编程方法指定访问规则,防止非法设备破坏系统安全,非法获取系统数据。3P原则,每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL:每种协议一个 ACL:要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。每个方向一个 ACL :一个 ACL 只能控制接口上一
27、个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。每个接口一个 ACL :一个 ACL 只能控制一个接口(例如快速以太网0/0)上的流量。目前有三种主要的ACL:标准ACL、扩展ACL及命名ACL。其他的还有标准MAC ACL、时间控制ACL、以太协议 ACL 、IPv6 ACL等。标准的ACL使用 1 99 以及13001999之间的数字作为表号,扩展的ACL使用 100 199以及20002699之间的数字作为表号。标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。扩展ACL比标准ACL提供了
28、更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确基本的网络规划这里就详述了 技术实现:重新规划的拓扑图中配置ACL的访问控制:R1(config)#access-list 10 deny 192.168.10.0 0.0.0.255R1(config)#access-list 10 permit anyR1(config)#interface f0/1R1(config-if)#ip access-group 10 outR1(config-if) #exi
29、tR2(config)#access-list 11 deny 192.168.11.0 0.0.0.255R2(config)#access-list 11 permit anyR2(config)#int s0/1/0R2(config-if)#ip access-group 11 outR2(config-if)#exitR3(config)#ip access-list standard NO_ACCESSR3(config-std-nacl)#deny host 192.168.30.128R3(config-std-nacl)#permit anyR3(config-std-nac
30、l)#exitR3(config)#int f0/0R3(config-if)#ip access-group NO_ACCESS inR3(config-if)#exit测试:PC1pingPC2答案是不能ping通,因为在路由器R1的F0/1上配置了ACL10.PC2pingoutside host/ PC2pingWeb Server答案是不能ping通,因为在路由器R2的S0/1/0上配置了ACL11,所以在ping的时候应该是返回R2的S0/1/0的IP.对于R3上的命名ACL的配置要求是所有数据流不能通过R3的F0/0进入主机192.168.30.128;用PC1同时ping192
31、.168.30.10/192.168.30.128测试:4.2.7 VPN远程VPN远程访问概述:很多企业随着业务的发展,已经在异地建立分支机构,或者许多员工出差至外地开展工作,甚至需要回家继续办公,那么这些远程员工是否还能够连接到总部网络享受到统一的企业信息化管理呢?布置这种技术似乎很困难,我们先把图中网络单元可以分为3类:1总部机构,总部在连接互联网绝大多数情况下使用固定出口以及固定地址,在一些极端情况下可能会采用动态地址方式。2. 远程分支机构,这类网络有固定的网络出口连接到互联网,互联网出口设备以及内部网络都是完全受企业管理的,在图中,分支1和分支2都是这类,虽然网络出口是固定的,但是
32、出口地址是否固定和接入方式有关,比如租用光纤那么通常会从运营商获得一个固定地址,如果是ADSL则是动态的,远程分支机构的典型特征是以一个网络作为远程接入单位。3. 出差员工,这类网络用户的特点是以用户PC为远程网络单元,为什么呢,因为这类用户的互联网出口通常不受企业管理,比如出差员工在酒店通过酒店网络接入互联网、员工在家上网、员工在酒店直接拨号到互联网等,这类用户的特征是以单台PC作为远程接入单位。这些异地网络用户访问总部网络,可能大家会认为很简单,直接访问总部网络的网段就可以了。实际上,企业网络通常使用私有地址,是无法从互联网直接访问的,那么我们可以通过什么手段访问这些总部的私有网段吗?1.
33、 使用专线,即每个异地网络用户单元使用一条专线连接到总部,那么在上图中,我们至少需要5条专线,如果出差员工或者分支多起来需要更多专线,每条专线都价值不菲,而且专线只能连接总部,无法访问互联网,显然这种方式对于非常注重成本的企业而言是不可接受的。2. 既然总部和各个异地网络都连接到了互联网,能不能通过互联网把大家连起来呢?我们可以看到各个网络单元的出口都是互联网公有地址,让这些地址互相访问不成问题,那么能不能把访问内部私有网络的连接建立在这些共有连接上呢?虚拟私有网(Virtual Private Network),即在公共网络上建立虚拟的隧道,模拟成专线,如下图所示。那么如何建立这些隧道呢?要
34、建立什么样的隧道?我们可以通过这张表来描述异地网络用户和总部网络出口隧道的特点。隧道端点隧道内流量隧道发起安全性需求是否穿越NAT异地分支分支出口总部出口分支内网总部内网总部和分支都可以发起少量身份认证和加密不需要酒店、家庭办公异地PC总部出口异地PC总部内网只能从PC发起大量动态身份认证和加密需要远程拨号PC异地PC总部出口异地PC总部内网只能从PC发起大量动态身份认证和加密不需要我们可以从上表中发现异地分支和总部、异地PC和总部之间隧道有较多不同,可以把VPN划分为这两类场景进行研究,有什么样的需求就有什么样的技术:1. PPTP(点到点隧道协议)、L2TP(二层隧道协议)、SSL VPN
35、(安全会话层VPN):这两个技术主要用于异地PC向总部方向建立VPN,但PPTP、L2TP不支持加密(PPTP的兼容性没有L2TP好),SSL VPN则必须要求加密;这三类技术都有很灵活的动态身份认证机制,SSL VPN不但拥有灵活安全的认证机制,在用户角色权限控制上具备极强的扩展性,因此这3类技术非常适合远程PC拨号接入场景,随着SSL VPN技术成熟,部署成本下降,正在不断地侵占L2TP原有市场。2.IPSec:通用性最强的VPN安全技术,能够适应异地分支和总部互联,也适用于异地PC向总部发起连接;可以单独使用,也可以和L2TP结合,保证L2TP的安全,但是IPSec的动态身份认证功能较弱
36、,不太适用于大量动态用户拨号的场景,比较适合接入数量相对稳定的场景,此外IPSec功能复杂,PC上通常是通过各厂家专用客户端实现,因此IPSec技术更适合异地分支和总部网络互连的场景。下面对集中VPN技术和应用场景进行详细介绍。由于PPTP功能和L2TP重叠,且应用较窄,在此文中不作介绍。L2TP和SSL VPN该类型的VPN可以分为如下几个阶段:1.分支向总部发出连接请求,要就建立VPN,如果是SSL VPN,该阶段还需要协商密钥,为后续所有通信进行加密保护,而L2TP则没有专用保护手段,除非借助IPSec的帮助。2.对接入请求进行身份验证,因为企业的VPN资源只允许对本企业员工开放,所以必
37、须对接入者身份进行验证,身份验证通常分为身份确认和口令验证两部分组成,身份表明用户的角色,而口令则是进一步确认角色的准确性。3.身份验证可以有两种方式实现,一是本地认证,二是专用服务器认证,通常专用服务器认证能够有更好的扩展性和性能。认证的结果称之为授权,即授予一定的功能,授权内容由总部出口控制。4.授权中一个很重要内容是为远端PC的隧道接口分配一个属于企业内部的私有地址,表示该远端PC已经接入到企业内部网络了;地址授权依然可以由设备实现,也可以由认证服务器实现。为什么要分配地址呢?因为我们说了VPN是在互联网上模拟一条专线,物理专线需要IP地址,那么这个虚拟专线也需要IP地址。5.总部出口设
38、备返回给远端PC的是认证和授权的报告,报告内容主要是通知接入者是否接入成功,如果认证失败则对PC提示接入失败,如果认证成功,则提示用户已经成功接入VPN。6.VPN建立后,该远端PC就像是通过一个专用的线缆接入到企业出口设备上了,可以根据授权内容进行访问。7.这种类型的VPN连接和断开都是在外出员工在远端PC上主动操作,通常总部出口网关无法主动关闭VPN;为了避免总部出口长期没有收到拆除消息而维护大量VPN连接导致资源耗尽,VPN连接通常都是有计时机制的,如果总部出口设备长时间没有收到远端PC的任何VPN流量,那么总部出口会认为该PC已经下线,释放资源,这是很重要的安全考虑。IPSec VPN
39、在IPSec中,由于总部网络相对固定,而分支变动性较大,所以大部分情况下是也是由分支向总部发起连接:1.IPSec协商并不需要像L2TP、SSL VPN那样需要每次人为主动去建立连接,IPSec需要通信双方提前做好配置,我们通常称这些配置为安全策略,主要内容包括远端地址、兴趣流、远端身份信息和预共享密钥(也可以采用数字证书)、阶段1安全提议、阶段2安全提议等,将本地安全策略制定好后,IPSec VPN就会根据兴趣流自动触发建立,因此特别适合分支网络和总部网络通信的场景。2.当分支检测到兴趣流后,就会根据安全策略配置向总部发起阶段1协商,在协商时需要同样需要进行验证,验证失败则退出协商,除了验证
40、身份外还需要对阶段1安全参数进行协商,如果协商不出共同的安全参数,那么也是退出协商。3.总部通常处于被动响应模式,所以当需要协商时,也是从本地安全策略中找出匹配的参数。4.如果阶段1安全参数和验证成功,会进行2阶段的协商,阶段2协商的是兴趣流和阶段2安全参数,如果能够找到相匹配的参数,则协商成功,如果协商失败则有可能同时把阶段1协商结果删除。5.阶段2协商成功后,分支和总部就建立了安全隧道,可以正常的通信了。6.IPSec默认周期性协商机制,如果下一周期协商失败,那么隧道拆除;此外还有对端激活检测,如果检测对端已经失效则自动拆除隧道。4.2.8 DHCP服务器配置DHCP(Dynamic Ho
41、st Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作, 主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段,在RFC 2131中有详细的描述。1、DHCP Client以广播的方式发出DHCP Discover报文。2、所有的DHCP Server都能够接收到DHCP Client发送的DHCP Discover报文,所有的DHCP Server都会给出响应,向DHCP Client发送一个DHCP Offer报文。DHCP Offer报文中“Your(Client)
42、IP Address”字段就是DHCP Server能够提供给DHCP Client使用的IP地址,且DHCP Server会将自己的IP地址放在“option”字段中以便DHCP Client区分不同的DHCP Server。DHCP Server在发出此报文后会存在一个已分配IP地址的纪录。3、DHCP Client只能处理其中的一个DHCP Offer报文,一般的原则是DHCP Client处理最先收到的DHCP Offer报文。DHCP Client会发出一个广播的DHCP Request报文,在选项字段中会加入选中的DHCP Server的IP地址和需要的IP地址。4、DHCP Se
43、rver收到DHCP Request报文后,判断选项字段中的IP地址是否与自己的地址相同。如果不相同,DHCP Server不做任何处理只清除相应IP地址分配记录;如果相同,DHCP Server就会向DHCP Client响应一个DHCP ACK报文,并在选项字段中增加IP地址的使用租期信息。5、DHCP Client接收到DHCP ACK报文后,检查DHCP Server分配的IP地址是否能够使用。如果可以使用,则DHCP Client成功获得IP地址并根据IP地址使用租期自动启动续延过程;如果DHCP Client发现分配的IP地址已经被使用,则DHCP Client向DHCP Serv
44、er发出DHCP Decline报文,通知DHCP Server禁用这个IP地址,然后DHCP Client开始新的地址申请过程。6、DHCP Client在成功获取IP地址后,随时可以通过发送DHCP Release报文释放自己的IP地址,DHCP Server收到DHCP Release报文后,会回收相应的IP地址并重新分配。按照拓扑图中实现DHCP配置:配置DHCP命令:R1(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.9R1(config)# ip dhcp pool R1LANR1(dhcp-config)# n
45、etwork 192.168.10.0 255.255.255.0R1(dhcp-config)#default-router 192.168.10.1R1(dhcp-config)# dns-server 192.168.20.254R1(config-if)#ip helper-address 192.168.10.1(可选F0/1) DHCP中继代理R3(config)# ip dhcp excluded-address 192.168.30.1 192.168.30.9R3(config)# ip dhcp pool R3LANR3(dhcp-config)# network 192.168.30.0 255.255.255.0R3(dhcp-config)#d
