科技型跨广域网企业设计课程设计-毕业论文.doc

1、重庆理工大学综合课程设计报告 科技型跨广域网企业设计 综合课程设计报告 题目 科技型跨广域网企业设计 重庆理工大学综合课程设计报告 基于Android平台上手机理财管理系统的设计与实现重庆理工大学综合课程设计报告 科技型跨广域网企业设计目 录摘要1一、 前言2二、 需求分析32.1 背景32.2 设计目标3三、方案设计43.1 园区设计43.2 总公司设计43.3 分公司设计43.4 三层网络架构设计53.5 公网设计63.6 拓扑设计6四、 相关技术简介74.1交换技术74.1.1 生成树74.1.2 HSRP 热备份路由协议94.1.3 DHCP94.1.4 端口聚合94.1.5 VTP技

2、术104.1.6 Trunk104.2 路由技术104.2.1 动态路由协议（OSPF、EIGRP）104.3路由控制与互操作114.3.1 IP SLA技术114.3.2 PBR 策略路由124.3.3 Route-Map124.3.4 Distribute-List134.3.5 访问控制列表ACL134.3.6 路由重分布144.3.7 IPsec144.3.8 GRE 隧道204.3.9 DMVPN204.3.10 NHRP214.4 其他技术214.4.1 NAT21五、 项目实施225.1 路由功能的实现225.1.1 模拟互联网225.1.2 NAT的实现225.1.3 PBR的

3、实现235.1.4 DMVPN的实现255.1.5 路由重分布285.1.6 分发列表解决环路295.2 三层交换功能的实现305.2.1 核心层配置305.2.2 汇聚层配置365.2.3 接入层配置36六、 网络测试376.1 全网互联376.2 NAT 测试386.3 PBR 策略路由的测试38七、 结论40八、 参考文献40摘要迅速发展的Internet正对全世界的信息产业带来巨大的变革和深远的影响。市场的全球化竞争已经成为趋势。对于企业园区来说，在调整发展战略时，必须考虑市场的全球竞争战略，而这一切也将以信息化平台为基础，借助计算机网络原理及网络规划技术，以网络通畅为保证。企业园区网

4、络是规模较庞大而设计复杂，它不仅为企业现代化、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确、无故障的传给各个系统。这对企业园区的网络规划和设计提出了一定的要求。在利用当今流行的企业园区网络设计技术的同时，考虑到将来的业务拓展和应用网络并行和发展，提出了一套合理企业园区以及跨广域网的设计。 关键词：Internet ;以太网；OSPF；VPN；MST；VPN；PBRAbstractThe rapid development of Internet is the worlds information industry has brought tr

5、emendous changes and far-reaching impact. Global competition in the market has become a trend. For enterprise park, in order to adjust the development strategy, we must take into account the global competition strategy, and this will be based on the information platform, with the help of computer ne

6、twork principle and network planning technology, to ensure the smooth network. Enterprise park network is a large and complex design, it not only for the enterprise modernization, comprehensive information management and office automation and a series of applications to provide basic operating platf

7、orm, but also to provide a variety of services, so that information can be timely, accurate and no fault of the system. This paper puts forward some requirements for the network planning and design of enterprise park. At the same time, considering the future business development and application of n

8、etwork design technology, the design of a reasonable enterprise park and a wide area network is put forward.Key words: Internet; Ethernet; OSPF; VPN; MST; VPN; PBR一、 前言当今社会已步入信息社会，信息成为社会经济发展的核心因素，信息化已经成为当今世界潮流。信息技术作为新技术革命的核心，不仅具有高增值性、成为最具经济活力的经济增长点，且具有高渗透性，以及强的亲和力和扩散速度向经济格部门渗透，使其结构和效益发生根改变。信息化已成为当代经

9、济发展与社会进步的巨大推力，尤其是作为国名经济信息化基础的企业信息化，当前更显得尤为重要，信息化建设已成为企业发展的必经之路。信息化是企业加快实现现代化的必然选择！近年来，在全国各地新建了许多企业园区（开发区），使发展、引进高新技术与科技创新有了肥沃的生存土壤。企业园区的建立与发展，为吸引国内外资金、技术、发展外向型经济、参与国际间的分工协作、进入世界经济舞台，创造了优越的条件和基础。根据城市布局形态的调整和发展目标的变化，将城市中心区向城市边缘区扩展，增加城市的功能，实现城市化发展，已经成为世界高新技术产业区发展的规律和发展趋势。同时随着时代的进步科技的发展，全球正进入一个赞新的知识经济时代

10、，而无穷无尽的知识和信息基本都通过网络传输，并以空前未有的深度和广度，影响和改变着一个每一个企业。能否及时获取信息、反馈信息及发布信息，将直接影响到一个企业能否健康的发展，同时这一形式也对企业内部各部门之间、领导与职工之间的协调与配合提出了新的更高要求。由于网络、数据库及与之相关的应用技术不断发展，尤其是国际互联网（Internet）和内部网（Intranet）技术的广泛应用，世界正迈入网络中心计算时代。人们传统的交互和工作模式正在改变，处在不同地理位置的人们可以共享数据，能够协同工作等；Intranet 是Internet 的延伸和发展，正式利用了Internet 的先进技术。所以我们在设计

11、一个企业园区的要充分考虑到企业的安全、园区的拓展、应用技术的不断更新带来的威胁，以及跨广域网的连通性的可靠性。二、 需求分析2.1 背景本课题以一个企业园区网络规划为背景，实现网络规划设计和模拟，同时完成详细的网络实施方案。该企业为一家跨区的大型集团企业，总公司位于某科技型园区内，其他分公司位于不同的跨广域网区域。要实现各个不同区域公司的联网以及访问互联网。其中在总公司要实现对不同网络的不同策略访问和访问控制策略；各公司间内部要实现数据流的均衡负载，冗余以及自动备份设计，基于接入层端口安全保护。在外网的设计上，要设计多出口接入，保证网络连通性。2.2 设计目标（1） 总公司能与其各区域的分公司

12、间能够互通（2） 各公司通过NAT技术访问互联网（3） 总公司位于企业园区（开发区），跑不同的路由协议，以实现对自己公司内部的自治（4） 各公司内部实现数据流负载均衡，冗余和备份（5） 多出口接入，实现网络的可靠性、连通性（6） 采用路由协议认证提高网络安全性（7） 实现对不同网络的可控制性策略（8） 具有较好的可扩展性，对以后公司的发展扩容做好准备（9） 设备选型上必须在技术上具有先进性，通用性，且必须便于管理，维护。应具备未来良好的可扩展性，可升级性，保护公司的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品。三、方案设计3.1 园

13、区设计总公司位于某科技型园区内，园区路由协议为OSPF，园区有两个与ISP接入的出口，一个是电信出口，一个为网通出口，要实现去往不同的目的网络走不同的ISP接口。园区对互联网的访问要做NAT技术。使用PBR结合SLA技术（策略路由，在项目实施中详细介绍）实现对路由的策略管理。3.2 总公司设计（1）大型集团总公司要实现对互联网的访问，通过园区的ISP出口进行反问。由于总公司可能存在PC端要求量大，对广播域的控制，有多个VLAN。所以采用三层网络架构设计，即核心层，汇聚层，接入层。其中核心层要作为内网的根网桥。这里有两台核心层交换机，两台核心层交换之间端口聚合，绑定以太网通道，实现增加带宽和快速

14、交换功能。那么要实现对所有VLAN的负载均和以及备份。在核心层交换机上利用HSRP（思科私有热备份路由协议）实现虚拟网关技术，且要结合MST根网桥运用，共同实现冗余和备份设计（在项目实施中详细介绍）。所有PC端均由核心层交换机上的DHCP服务器提供。（2）使用VTP协议，实现在一台交换机上对所有VLAN的统一管理由于VLAN 多，边缘端口量庞大，如果运用默认的STP生成树（思科默认PVST+）收敛速度慢，且只有根网桥才会发送BPDU包，若网络拓扑发生改变，收敛速度很慢，大约50秒，将会影响其网络的稳定。如果采用RSTP生成树，每一个交换机都要维护STP，开销大，若VLAN 改变，波动范围广。这

15、里考虑到，其位于园区网络，所以采用MST 生成树，可以实现对VLAN的分组管理，且是基于实例，收敛速度快，对交换机的开销小。（3）总公司与各分公司的互联技术向IPS（CT）租借帧中继或者做IPsec VPN 技术来实现。考虑到公司的扩展，这里运用DMVPN（动态多点VPN，后面技术简介会详细介绍）技术来实现互联。3.3 分公司设计分公司1 考虑到在边远地区刚刚发展，所以采用PVST+生成树来实现内部数据复制均衡。分公司2 在另一个大中型城市，规模比较大，所以采用RSTP来实现内部数据的快速收敛和负载均衡。3.4 三层网络架构设计三层网络架构采用层次化模型设计，即将复杂的网络设计分成几个层次，每

16、个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。三层网络 架构设计的网络有三个层次：核心层（网络的高速交换主干）、 汇聚层（提供基于策略的连接）、 接入层 （将工作站接入网络）。核心层：核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性：可靠性、高效性、 冗余性、 容错性、可管理性、适应性、低延时性等。在核心层中，应该采用高带宽的千兆以上 交换机。因为核心层是网络的枢纽中心，重要性突出。核心层设备采用双机 冗余 热备份是非常必要的，也可以使用 负载均衡功能，来改善网络性能。汇聚层：汇聚层是网络 接入层和核心层的“中介”，就是

17、在 工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。 汇聚层具有实施策略、安全、工作组接入、 虚拟局域网（VLAN）之间的 路由、源地址或目的地址过滤等多种功能。在 汇聚层中，应该选用支持 三层交换技术和VLAN的 交换机，以达到网络隔离和分段的目的。接入层：接入层向本地网段提供工作站接入。在 接入层中，减少 同一网段的 工作站数量，能够向 工作组提供高速 带宽。 接入层可以选择不支持VLAN和 三层交换技术的普通 交换机。如图3-4-1所示图3-4-1网络三层架构模型3.5 公网设计用5台路由器模拟做互联网，如图3-5-1所示，R4为电信DNS，R5为网通DNS。图3-5-1模拟互联网3

18、.6 拓扑设计如下图3-6-1所示，模拟其设计拓扑图图3-6-1 设计拓扑图四、 相关技术简介4.1交换技术4.1.1 生成树在二层交换网络中，一旦存在环路就会造成报文在环路内不断循环和增生，产生广播风暴，从而占用所有的有效带宽，使网络变得不可用。在这种环境下生成树协议应运而生，生成树协议是一种二层管理协议，它通过有选择性地阻塞网络冗余链路来达到消除网络二层环路的目的，同时具备链路的备份功能。生成树协议和其他协议一样，是随着网络的不断发展而不断更新换代的。最初被广泛应用的是IEEE 802.1D-1998 STP（Spanning Tree Protocol，生成树协议），随后以它为基础产生了

19、IEEE 802.1w RSTP（Rapid Spanning Tree Protocol，快速生成树协议）、PVST（Per VLAN Spanning Tree，每VLAN生成树）协议和IEEE 802.1s MSTP（Multiple Spanning Tree Protocol，多生成树协议）。（1） STP（802.1D） STP是为克服冗余网络中的环路问题而创建的。STP通过判断网络中存在环路的地方，并阻断冗余链路来实现无环网络。STP采用STA（Spanning Tree Arithmetic）算法。STA会在冗余链路中选择一个参考点（生成树的根），将选择到达要的单条路径，同时阻

20、断其他冗余路径。一旦已选路径失效，将启用其他路径。STP的各种选举是通过交换BPDU报文来实现的，BPDU是直接封装在以太网帧中的。对于参与STP的所有SW，它们都通过数据消息的交换来获取网络中其他SW的信息，这种消息就被称为BPDU。（2） RSTP（802.1W）为了解决STP的收敛速度缺陷，2001年IEEE定义了基于IEEE 802.1w（已经合入IEEE 802.1D-2004）标准的快速生成树协议RSTP。RSTP在STP基础上做了三点重要改进，加快了收敛速度（最快可在1秒以内）：a、为根端口和指定端口设置了快速切换用的替换端口（Alternate Port）和备份端口（Backu

21、p Port）两种角色。当根端口失效的情况下，替换端口就会快速转换为新的根端口并无时延地进入转发状态；b、当指定端口失效的情况下，备份端口就会快速转换为新的指定端口并进入转发状态。 在只连接了两个交换端口的点对点链路中，指定端口只需与下游网桥进行一次握手就可以无时延地进入转发状态。如果是连接了三个以上网桥的共享链路，下游网桥是不会响应上游指定端口发出的握手请求的，只能等待两倍Forward Delay时间进入转发状态。 c、直接与终端相连而不与其他网桥相连的端口定义为边缘端口（Edge Port）。边缘端口可以直接进入转发状态，不需要任何延时。由于网桥无法知道端口是否是直接与终端相连，所以需要

22、人工配置。（3） MST(802.1S)实例和域多生成树协议MSTP（Multiple Spanning Tree Protocol）是IEEE 802.1s中定义的一种新型生成树协议。简单说来，STP/RSTP是基于端口的，PVST是基于VLAN的，而MSTP是基于实例的。MSTP中引入了“实例”（Instance）和“域”(Region) 的概念。“实例”Instance 就是多个VLAN的一个集合，实例映射在同一个域中必须一致。“域”Region是指网络中有相同的域名，配置修订号，摘要信息的网桥构成的一个集合“修定版本号”revision 同一个域中必须一致。4.1.2 HSRP 热备份

23、路由协议HSRP：热备份路由器协议（HSRP：Hot Standby Router Protocol），是cisco平台一种特有的技术，是cisco的私有协议。该协议中含有多台路由器，对应一个HSRP组。该组中只有一个路由器承担转发用户流量的职责，这就是活动路由器。当活动路由器失效后，备份路由器将承担该职责，成为新的活动路由器。这就是热备份的原理。实现HSRP的条件是系统中有多台路由器，它们组成一个“热备份组”，这个组形成一个虚拟路由器。在任一时刻，一个组内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将选择一个备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟

24、路由器没有改变。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了路由器切换的问题。为了减少网络的数据流量，在设置完活动路由器和备份路由器之后，只有活动路由器和备份路由器定时发送HSRP报文。如果活动路由器失效，备份路由器将接管成为活动路由器。如果备份路由器失效或者变成了活跃路由器，将由另外的路由器被选为备份路由器。在实际的一个特定的局域网中，可能有多个热备份组并存或重叠。每个热备份组模仿一个虚拟路由器工作，它有一个WellknownMAC地址和一个IP地址。该IP地址、组内路由器的接口地址、主机在同一个子网内，但是不能一样。当在一个局域网上有多个热备份组存在时，把主机分布到不同的热

25、备份组，可以使负载得到分担。4.1.3 DHCP动态主机设置协议（Dynamic Host Configuration Protocol, DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址；给用户或者内部网络管理员作为对所有计算机作中央管理的手段。动态主机设置协定（DHCP）能够集中管理和自动分配IP网络地址的通信协议。在IP网络中，每个连接Internet的设备都需要分配唯一的IP地址。DHCP使网络管理员能从中心结点监控和分配IP地址。当某台计算机移到网络中的其它位置时，能自动收到新的IP地址。4.1.4 端口聚合端口聚合主要

26、用于交换机之间连接。由于两个交换机之间有多条冗余链路的时候，STP会将其中的几条链路关闭，只保留一条，这样可以避免二层的环路产生。但是，失去了路径冗余的优点，因为STP的链路切换会很慢，在50s左右。使用以太通道的话，交换机会把一组物理端口联合起来，做为一个逻辑的通道，也就是channelgroup，这样交换机会认为这个逻辑通道为一个端口。4.1.5 VTP技术VTP（Virtual Local Area Network或简写VLAN， V-LAN），是一种建构于局域网交换技术（LAN Switch）的网络管理的技术，VLAN中继协议，也被称为虚拟局域网干道协议，它是思科私有协议。网管人员可以

27、借此通过控制交换机有效分派出入局域网的数据包到正确的出入端口，达到对不同实体局域网中的设备进行逻辑分群（Grouping）管理，并降低局域网内大量数据流通时，因无用数据包过多导致雍塞的问题，以及提升局域网的信息安全保障。比如，十几台交换机在企业网中，配置VLAN工作量大，可以使用VTP协议，把一台交换机配置成VTP Server，其余交换机配置成VTP Client，这样它们就可以自动学习到server 上的VLAN 信息。4.1.6 Trunktrunk在虚拟局域网技术中指主干，描述连接多个虚拟局域网的链接。每个局域网都由一个被插入到它们所发送数据的标签“Tag”进行标识。这个词在不同场合还

28、有不同的解释：1.在网络的分层结构和宽带的合理分配方面，TRUNK被解释为“端口汇聚”，是带宽扩展和链路备份的一个重要途径。2.在电信网络的语音级的线路中，Trunk指“主干网络、电话干线”，即两个交换局或交换机之间的连接电路或信道，它能够在两端之间进行转接，并提供必要的信令和终端设备。3.在普遍的路由与交换领域，VLAN的端口聚合也有的叫TRUNK，不过大多数都叫TRUNKING。4.2 路由技术4.2.1 动态路由协议（OSPF、EIGRP）由于本次课题只涉及到OSPF 和EIGRP路由协议，在此只介绍此两种动态协议。(1) OSPF 开发式最短路径优先 OSPF是一个内部网关协议(Int

29、erior Gateway Protocol，简称IGP），用于在单一自治系统（autonomous system,AS）内决策路由。是对链路状态路由协议的一种实现，隶属内部网关协议（IGP），故运作于自治系统内部。OSPF路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域内。在这里，路由域是指一个自治系统（Autonomous System），即AS，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。链路是路由器接口的另一种说法，因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个

30、OSPF路由器使用这些最短路径构造路由表。OSPF路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域内。在这里，路由域是指一个自治系统（Autonomous System），即AS，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中，所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。作为一种链路状态的路由协议，OSPF将链路状态组播数据LSA（Link State Advertisement）传送给在某一区域内的所有路由器

31、，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器（2） EIGRP 增强内部网关协议EIGRP：Enhanced Interior Gateway Routing Protocol 即 增强内部网关路由线路协议。也翻译为 加强型内部网关路由协议。 EIGRP是Cisco公司的私有协议。Cisco公司是该协议的发明者和唯一具备该协议解释和修改权的厂商。 EIGRP结合了链路状态和距离矢量型路由选择协议的Cisco专用协议，采用弥散修正算法（DUAL）来实现快速收敛，可以不发送定期的路由更新信息以减少带宽的占用，支持Appletalk、IP、

32、Novell和NetWare等多种网络层协议。EIGRP协议继承了IGRP协议的最大的优点是矢量路由权。EIGRP协议在路由计算中要对网络带宽、网络时延、信道占用率和信道可信度等因素作全面的综合考虑，所以EIGRP的路由计算更为准确，更能反映网络的实际情况。4.3路由控制与互操作4.3.1 IP SLA技术IPSLA是 Internet Protocol Service-Level Agreement的缩写，意思是互联网协议服务等级协议。IP SLA主要有以下三种应用场合：1.浮动静态路由下一跳检测。2.HSRP出接口检测。3.PBR策略路由下一跳检测。Cisco IOS IP SLA可执行可

33、达性测试，IP SLA可以在Router上配置去探测DNS服务器。IP SLAs 工具对象跟踪：对象对指定的对象的可达性（如DNS服务器）进行跟踪。Cisco IOS IP SLA的探测：思科IOS IP SLA向对象发生不同类型的探测。IP SLA源向目标发生探测分组所有的IP SLA的测量探测操作都是在IP SLA的源（Cisco IOS路由器）配置的。源使用的IP SLA的控制协议响应之前发送测试数据包通信。IP SLA的控制消息支持的Message Digest5（MD5）认证。一个IP SLA的响应器，嵌入在Cisco IOS设备，让设备能够接收并响应IP SLA请求分组。一个IP

34、SLA的操作，包括协议，频率，自陷(trap)和阈值。在本次课题中，主要用于对电信以及网通DNS的可达性检测。4.3.2 PBR 策略路由PBR就是使用route-map这一工具对某个接口进来的数据流做一些策略，符合条件的按相应的策略进行路由，不符合条件的按正常情况进行转发。IP路由典型的基于目标路由；PBR允许基于源路由；能够使用不同的Tos配置来标记流量。可以实现负载均衡。PBR优于路由表。如果路由器上设置了PBR，当数据包到达路由器时，是先匹配PBR，如果匹配上了，直接按PBR进行转发，如果没匹配上，再去找路由表进行转发，所以说PBR覆盖了正常的路由选择进程。PBR中不匹配的数据包不会D

35、ENY（丢弃），而是normal forwarding(正常转发)本次课题中，主要用于实现对不同ISP出口的不同数据流向。4.3.3 Route-MapRoute-Map也叫路由图或者路由映射表，是对路由进行加工处理的工具。Route Map的应用：1、重发布路由过滤；2、PBR(策略路由)；3、NAT；4、BGP策略实施；Route-Map配置特点1、route-map可以调用ACL或prefix抓出一部分路由进行加工处理2、每一个route-map可以有多条语句，每条语句都有一个序号3、每条语句都有两种动作：match 和 set4、每条语句对抓出来的路由都有两种处理方式：permit 或

36、 denyroute-map的使用分三步操作：1、定义ACL或prefix抓出路由2、定义route-map说明对匹配的路由所采取的处理方式4.3.4 Distribute-ListDistribute-List（分发列表） 用来过滤路由分发列表通过调用ACL来对路由进行过滤，可以在一个单独的路由区域内过滤，也可在路由协议之间做重分布的时候进行过滤。本次课题中，主要用于实现对总公司与园区内多路由协议重分发而导致的环路问题的解决。4.3.5 访问控制列表ACL访问列表的分类：1、标准访问列表 只能基于源IP地址来进行分类 可以使用列表号：1-99、1300-1999 标准的访问列表通常要求放置在

37、靠近目标的地方2、扩展访问列表 可以根据源IP地址、目的IP地址、源端口号、目的端口号，协议来进行分类 可以使用列表号：100-199、2000-2699 扩展访问列表通常要求放置在靠近源的地方3、命名的访问列表 只是将标准访问列表或扩展访问列表取个名字 优点：可以对访问列表进行增加、删除操作。访问列表的比较规则：1、如果一个访问列表有多行语句，通常按顺序从第一条开始比较，然后再往下一条条比较。2、一个数据包如果与访问列表的一行匹配，则按规定进行操作，不再进行后续的比较。3、在每个访问列表的最后一行是隐含的deny any语句-意味着如果数据包与所有行都不配的话，将被丢弃。访问列表的配置规则：

38、1、你在访问列表中可以写多条比较语句，它们是按你输入的顺序来进行放置的。2、在标准访问列表扩展访问列表中，你不能单独删除其中的一行，只能删除整个列表。3、每个列表应当至少有一个permit语句，否则将拒绝所有流量。4、访问列表可以用在接口的出方向，也可以用在入方向，但是要注意，在一个接口在一个方向上只能有一个访问列表。5、访问列表可以过滤通过路由器的流量，对自已产生的流量不起作用。6、将标准访问列表要尽可能放置在靠近目的地址的地方7、将扩展访问列表要尽量放置在靠近源地址的地方4.3.6 路由重分布路由器可以同时运行多种路由协议，当不同路由协议进行LSA交换时，需要设置一种路由协议进程中来通告另

39、一种路由协议进程的路由。如本次课题中，用于OSPF和EIGRP的双向多点重分发和在各公司的三层核心交换机上将直连路由重分布进OSPF进程或EIGRP进程中4.3.7 IPsec IPSec 是一项标准的安全技术，主要用来保护网络层（IP）数据，它提供了网络层的安全性。 IP头部IPSec 头部TCP/UDP头部应用层头部应用层数据IPSec的封装方式可以对原始的IP负载实现加密，同时还可以实现对IPSec头部和IP负载的验证，以确保数据的完整性。IPSec技术对VPN流量提供3方面的保护：1、私密性（Confidentiality） 对数据加密 DES2、完整性（Integrity） 没有第三

40、方篡改 MD53、源认证（Authenticity） 源认证 DH(迪夫赫尔曼算法)(一)、IPSce框架(1)、散列函数（HASH函数） 代表：MD5/SHA-1 散列函数的特点： 1.固定大小 MD5 输出长度总是128bit SHA-1输出长度总是160bit 2.雪崩效应 原始数据修改一个bit,也会发生巨大变化 3.单向 4.冲突避免 几乎不能找到另外一个数据和当前数据计算的HASH值相同。 散列函数能够确认数据的完整性，却不能确保这个数据来自于可信的源（不提供源认证）为了弥补不提供源认证的漏洞，就可以用HMAC这项技术来解决，HMAC 不仅仅能够实现完整性校验，还能完成认证的任务。

41、HMAC（Hash-based Message Authentication Code)是密钥相关的哈希运算消息认证码。（例如HMAC技术如何验证OSPF路由更新包）（2）加密算法 a.对称加密算法； 相同密钥 优点：速度快、安全、紧凑 缺点：明文传输共享密钥、参与人多密钥急剧膨胀、密钥不好管理、不支持数字签名。 对称加密算法的主流协议： 1.DES 2.3DES 3.AES 4.RC4 b.非对称加密算法 在使用非对称加密算法之前，都要使用非对称加密算法（如：RSA）产生一对密钥，包括一个公钥和一个私钥。 私钥用于数字签名，公钥实现数据加密，共同实现数据的私密性、不可否认性。 优点：安全、密

42、钥数据不变、事先不用建立信任关系、支持签名 缺点： 加密速度慢、密文会变长 非对称加密的主流协议： 1.RSA（数字证书和数字签名的主要协议） 2.DH (IPSec产生密钥资源的主要协议) 3.ECC( 椭圆曲线算法)在加密解决的方案中一般采用对称加密算法加密数据，非对称加密算法加密随机密钥IPSec VPN使用非对称密钥算法DH来产生密钥资源，再用对称密钥算法来加密实际数据。DiffieHellman key exchange(迪菲赫尔曼密钥交换)（三）封装协议 IPSec有ESP和AH两种封装协议。1.ESP协议的IP协议号为50，ESP能够为数据提供加密、完整性和源认证三大方面的保护。

43、而且能够抵御重放攻击（反复发送相同的数据包）2.AH协议（Authentication Header）IP协议号为51，只能为数据提供完整性和源认证两方面的安全服务，并且抵御重放攻击。 AH不提供加密服务。 AH协议封装的IPsec数据包不能穿越NAT。 3.封装模式 IPSec有两种封装模式：传输模式和隧道模式 传输模式封装会在IP头的后面加入ESP头部，再数据最后加ESP尾部和ESP验证数据传输模式：原始IP头ESP头TCP头应用层数据ESP尾部ESP验证数据隧道模式：新IP头ESP头原始IP头TCP头应用层数据ESP尾部ESP验证数据4.密钥有效期CISCO IPSec VPN 加密密钥

44、，默认每一个小时（3600S） 更新一次。PFS 完美向前保密 每一个小时重新生成DH算法交换新的加密密钥。三、互联网密钥交换协议IKE(Internet Key Exchange) 作用：执行加密协议、散列函数、封装协议、封装模式、和密钥有效期等协商任务的协议。 协商完成后的结果就叫做安全关联SA SA有两种类型：一是IKE SA,另一种是IPSec SA. IKE SA 维护了安全防护（加密协议、散列函数、封装协议、封装模式、和密钥有效期）IKE协议细节 IPSec SA则维护安全防护实际用户流量的细节IKE 3大组成协议SKEME 决定了IKE的密钥交换方式，IKE主要使用DH来实现密钥

45、交换。Oakley 决定了IPSec的框架设计，让IPSec能够支持更多的协议。ISAKMP是IKE的本质协议，它决定了IKE协商包的封装格式，交换过程和模式的切换。ISAKMP是IKE的核心协议，通常会把IKE与这两个术语互换使用。IKE的2个阶段和3个模式 （1）IKE的2个阶段 阶段1-第一阶段协商的主要目的就是对建立IPSec的双方进行认证，以确保只有合法的对等体（Peer）才能建立IPSecVNP 第一阶段协商分别可以用6个包交换的主模式或者3个包交换的主动模式（野蛮模式）来完成。 在网络上建立一个IKE SA，为阶段2协商提供保护 主模式（Main Mode）和野蛮模式（Aggressive Mode） 只有一种情况可以才使用Aggressive Mode ，这就是通过预共享密钥认证的远程访问V