多业务园区网出口设计

西安高新科技职业学院毕 业 设 计（论文）课题名称 年 级 系 别 专 业 班 级 姓 名 学号 指导教师 多业务园区网出口设计方案【摘 要】园区出口网络作为局域网与互联网联系的关口在整个园区网络设计中占有举足轻重的地位，而一个园区的出口网络设计的好坏直接关系到这个园区网络的性能。本论文将先阐述当今网络的现在与研究背景，分析当今出口网络的缺点，然后通过深入的研究出口网络所必须的网络基础知识以及先进的网络技术从而进行对园区出口网络进行设计与实现。【关键词】园区出口、GLBP、策略路由、NAT、cisco第20页 目录1. 网络现状分析11.1当今网络现状11.2出口网络的现状12. 主要应用的技术22.1 NAT22.1.1 静态NAT32.1.2 NAPT32.2 QoS：32.3 PBR:42.4 GLBP:43. 实验环境分析53.1 架空环境53.2实验网络环境描述53.2.1实验环境53.2.2设计需求的思想与原则54. 园区出口网络的设备选型64.1 Cisco网络设备的优点64.2设备选型64.2.1 网络边缘路由器64.2.2 防火墙64.2.3 核心交换机74.3 园区出口网络解决方案的制定74.3.1 园区出口网络的基本功能方案74.3.2 网络设备的管理85. 园区网络设备的具体配置85.1 出口路由器的配置105.1.1 NAT配置105.1.2 出口冗余策略的配置105.2 防火墙的配置105.3 基础配置125.4 策略及QoS的配置135.5 设备管理以及监管145.5.1 路由器交换机syslog配置145.5.2 设备安全管理设计146. 测试156.1 路由测试156.2 vrrp故障切换166.2 边缘路由器测试176.3 测试小结177. 总结178致谢181. 网络现状分析1.1当今网络现状如今是一个信息网络迅速膨胀的年代，各种校园信息化建设也逐步深入，教育教学工作的运作越来越离不开计算机网络，各学校各单位的沟通、应用、财务、会议、教学等等数据都必须基于网络进行传输，构建一个安全可靠、管理方便的高端网络已经成为如今校园信息化建设基础。随着学校院系的不断扩张和发展，将出现越来越多庞大的院系结构。 因此，如今的校园网络所承载的数据将更加的繁杂。下图是当今大型校园网普遍的组网模型，使用标准的3层设计模型，网络中数据流量大，同时包括视频点播FTP等业务，使得网络流量更加复杂，而随着锐捷、迈普等价格便宜的网络设备进入校园市场，各大高校核心网也开始使用10GE链路连接，俨然已经进入10GE高速度园区网络时代。图1.1当今校园网拓扑模型（锐捷设备组网图）1.2出口网络的现状虽然校园各机构经过多年持续不断的基础设施建设和应用提升，已经形成了较为稳定的颇有规模的园区网架构、相对丰富的园区网应用平台。但是，如今是一个讲求信息共享、资源整合的时代，园区网出口区域所存在的问题开始困扰着大家。实践中发现，许多学校都测试了多种出口网络结构，却未能很好的解决问题，无法取得理想的效果。作为校园网平台的“门户”出口区域网，承担着各院系各学校部门对外交流的窗口的重要作用，而如今园区出口网却长期处于一种“亚健康”状态，简易的出口模型网络在许多大型园区网中存在，这样的园区出口网将成为内部网络与外部网络联系的瓶颈。常见的出口模型有如下几种，他们都存在诸如单点故障、NAT转换效率低、安全性低的缺点。单点故障：一条链路连接到运营商，当这条链路出现问题，内网用户将无法访问外网。NAT转换率低：中低端的路由在进行NAT地址转换时将消耗大量的系统资源，而出口路由器并不仅仅进行NAT地址转换的工作还要进行路由转发等工作，而没有NAT转换卡的中低端路由器将成为内网访问外网的一个瓶颈。低安全性出口：在没有安装防火墙的出口网络中，如果单一的出口路由被攻破后，内网没有其他的保护措施，内网的敏感数据将毫无安全可言。图1.2当今园区网中普遍存在的出口拓扑本方案将运用如今流行的成熟的网络技术改造大型园区网的出口网络，解决以上出现的这些问题，下一章我们将介绍本方案所运用到的网络技术。2. 主要应用的技术2.1 NATNAT-网络地址转换，是通过将专用网络地址（如校园内部网地址）转换为公用地址（如互联网地址），从而对外隐藏了内部网络的 IP 地址。这样，能够在校园网内部使用非注册（私网）的 IP 地址，并将它们转换为很小一部分外部注册(公网)的 IP 地址，从而达到减少IP 地址注册的费用以及节省了目前越来越缺乏的IP地址空间（即IPv4地址空间）。同时，也可以达到隐藏内部网络结构及地址的目的，从而降低了从外网针对内部网络攻击的风险。 2.1.1 静态NAT静态NAT是将内部网络中的某些主机地址映射成外部网络中的某个合法的公网地址。地址转换的优点在于，在为内部主机提供安全保护隐藏内部IP的前提下，实现了内部网络的主机通过这项功能访问外部网络的资源。但它也有一些缺点：由于需要对IP包进行修改，涉及到需要加密的数据包的它则无能为力。在应用协议中，如果包中有地址或端口需要转换，则无法对包进行加密。例如，不能使用安全的telnet连接，还有VPN技术也同样不能使用NAT技术。当然由于NAT技术的使用，网络攻击的定位也变得更加困难。比如，某一台内部网络的主机试图攻击其它网络，则很难发现究竟内网的哪一台机器是攻击者，因为主机的IP地址被NAT网关转换过了从而被隐藏了。2.1.2 NAPTNAPT是把多个内部地址转换到外部网络的另一个IP地址的不同端口上。NAPT（Network Address Port Translation，网络地址端口转换）是NAT的一种变形和加强，它允许多个内部地址映射到同一个不同子网的地址上，也就是我们常说的地址复用。下图描述了NAPT的基本原理。图 2.1 NAPT基本原理示意图如图2.1所示，四个带有内部地址的数据包到达NAT网关，其中数据包1和2来自同一个内部地址但有不同的源端口号，数据包3和4来自不同的内部地址但具有相同的源端口号。通过NAPT映射，四个数据包的源IP地址都被转换到同一个外部地址，但每个数据包都被赋予了不同的源端口号，因而仍保留了报文之间的区别。当回应报文到达时，NAT网关仍能够根据回应报文的目的地址和端口号来区别该报文应转发到的内部主机。采用NAPT可以更加充分地利用IP地址资源，实现更多内部网络主机对外部网络的同时访问。由于NAT只是一个解决IPv4与IPv6过渡的一个临时解决方案，所以NAT拥有与主机之间的通信变得复杂等缺点，导致通信效率的降低。2.2 QoS：QoS（Quality of Service）服务质量。主要的服务质量包括传输的带宽、传送的时延、数据的丢包率、传输的抖动等。使用QoS的主要目的是为了保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动，使用这些措施来提高服务质量。在网络资源总量有限的情况下，就会存在抢夺网络资源的现象，就会有需要使用QoS的要求。服务质量是相对网络业务而言的，在保证某些特定的业务的畅通的同时，就要损害其它业务的服务质量。例如，在网络总带宽固定的情况下，某类业务所使用的带宽越多，则其他业务能使用的带宽就越少，可能会影响其他业务的使用。因此，网络管理者需要根据各种业务的特点来对网络资源进行合理的规划和分配，从而使网络资源得到高效利用。QoS技术包括流分类、流量监管、流量整形、接口限速、拥塞管理、拥塞避免等。下面简述一下QoS技术在网络中的位置。图2.2 常用QoS技术在网络中的位置2.3 PBR:策略路由是一种比基于目标网络使得路由能够更加灵活的数据包路由转发机制。通常的路由器是通过对数据包的目的地址定位来进行路由选路的，而策略路由不仅仅根据目的地址还可以根据数据包源地址、数据包大小、数据表的扩展字段等条件灵活的为路由器选择数据表转发路径。2.4 GLBP:GLBP(Gateway Load Banancing Protoco)网关负载均衡协议是HSRP（HSRP：Hot Standby Router Protocol）热备份路由器协议的扩展，它是Cisco的私有协议。他与众所周知的HSRP、VRRP不同的是，GLBP不仅提供冗余网关，还在各网关之间提供负载均衡，这是HSRP与VRRP不能够实现的，他不仅提供了不间断的网关冗余而且他还能够自动的在资源之间分配流量，从而达到热备份、负载分担及简化配置等目标。对于HSRP、VRRP都必须选定一个活动路由器，而其余备用的路由器在活动路由器出现故障前则处于闲置状态，而GLBP只需要一个有效虚拟网关AVG控制器，他负责为群中每一个路由器分配一个唯一的MAC地址，他负责相应ARP请求，将自己与其他备份虚拟网关AVF的MAC响应ARP的请求,从而实现绑定多个MAC地址到虚拟IP，从而允许客户端选择组中包括AVG在内的路由器作为其默认网关，而网关地址仍使用相同的虚拟IP。如果有效虚拟网关AVG出现故障，则备份虚拟网关AVF会代替AVG的工作使得网关其依旧可以继续工作，并且不会导致主机连通中断现象。下图是GLBP的原理图。图2.3 GLBP原理图从图2.4可以看到，其中主机配置相同的网关IP 10.20.7.253，但他们获取的网关MAC不一样，两个网关SW A和SW B分别为这两个MAC的AVF。其中SW A被选举为这个GLBP组的AVG。3. 实验环境分析3.1 架空环境本论文实验设计将基于福建师范大学福清分校的网络环境对本文提出的方案进行试验验证。福清分校为福建师范大学的一个分校，全校计算机数量逾1000台（不包括学生群体），信息点近900个，目前主要楼宇有教学楼、图书馆、科学楼、昌檀楼等，其它还有11幢学生宿舍楼，8幢教师宿舍。按照校园网络发展的趋势将宿舍区网络与校内办公网络合并，使得校园内拥有2万个信息点，出口链路包括教育网1G以及中国电信100M。3.2实验网络环境描述3.2.1实验环境Dynamips是一个基于虚拟化技术的模拟器（emulator），用于模拟思科（Cisco）的路由器。本论文将使用基于Dynamips的模拟器GNS3。GNS3是一款优秀的具有图形化界面可以运行在多平台（包括Windows, Linux, and MacOS等）的网络虚拟软件。他除了整合了Dynamips以外还整合了Pemu这个PIX防火墙的模拟器。在使用Dynamips同时，为力求实验现象的真实性性还将使用真实设备进行试验。3.2.2设计需求的思想与原则（1）网络可靠性思想与原则： 在网络设计过程当中网络拓扑将使用高可用性的形式，即使用可冗余备份技术，使得安全性得以保障，有效避免出现单点故障，核心层将使用高端的交换机并使用光纤通信技术以达到高速以及容错的特性，使得单点故障不在发生。在加上双出口链路，双出口路由，双防火墙等措施，设