网络模拟实验系统的设计及实现_毕业设计论文(编辑修改稿)

网络模拟实验系统的设计及实现_毕业设计论文(编辑修改稿)内容摘要：

层网络管理，把实际地理位置上分散而逻辑上紧密相关的站点划入同一虚拟网，从而实现不相关网络的逻辑隔离是网络安全性的重要保证。 因此，我们在网络方 案施工过程中选用的网络设备应该具有包括物理层、网络层、应用层等多个层次实现安全管理的能力，从而避免发生在同一虚拟网内以及虚拟网之间互联点上的非法侵犯。 本网络工程方案涉及到的网络通信安全协议与数据加密技术有： PPP封装 CHAP 认证机制协议。 CHAP 协议是 PPP（ 点对点协议 ）询问握手认证协议。 它对对端身份的校验是通过 三次握手 机制周期性的检验，其完成是在链路建立初期。 通过不断增长变化的 标识符 和可变的询问数值结果，可避免来自恶意端点的 欺骗性攻击。 从而保证了总公司与分公司之间网络通信的安全性。 ，总公司与分公司以及总公司与出差人员之间的通 信中都应用到了 访问控制列表 （ Access Control List， ACL）网络安全技术。 ACL是 交换机 与 路由器 接口的指令表，用来 对相关端口 数据 8 包的进出进行控制。 ACL 可以用于所有的 路由协议 ，例如 AppleTalk、 IP等。 相关的匹配关系、条件和查询语句都包含在这张表中，表是一种基本框架结构，它的作用是控制某种网络资源访问。 为了确保公司内部网络的安全性，需要通过相关 安全机 制来保证没有授权的用户 只能访问特定的网络资源，从而实现对访问进行控制的功能。 ACL 还可以过滤网络通信过程中的流量，这是一种控制访问的网络技术手段。 应用 ACL 技术给公司不同部门设置不同的网络访问权限更加有效的保证了公司内部资料的安全性。 VPN 通信中应用到网络安全协议以及网络安全机制相关算法有： IKE 协议、 IPSec 协议、 3DES 加密算法、 MD5 算法。 IKE 协议是因特网密钥交换协议，它能够解决在复杂的网络环境中十分安全地建立或更新共享密钥的问题。 这是一种混合型协议，主要是由密钥管理 协议（ ISAKMP）和 Inter 安全关联以及 SKEME 与 OAKLEY 两种密钥交换协议构成。 IKE 创建在由 ISAKMP 定义的框架上，使用了密钥更新和 SKEME 的共享技术以及 OAKLEY 的 密钥 交换模式。 IPSec 全称是 Inter 协议安全性 （ Inter Protocol Security），它 通过使用加 密的 安全服务 以确保在 Inter 协议 (IP) 网络上进行保密而安全的通讯，而且是一种开放标准的框架结构。 它为了防止Inter 与 专用网络 的攻击，采用 端对端 的安全性来提供对主动 的保护。 在通信过程中，只有收发两方才能而且必须了解 IPSec 保护的计算机。 3DES 是三重 数 据加 密 算 法 （ TDEA， Triple Data Encryption 9 Algorithm）块密码的统称。 它的本质就是将 DES 加密算法 分别三次应用于每个要发送的 数据块 ，使用的是 对称密钥 加密法 算法。 它是 DES 向 AES过渡的 加密算法 ，相对于 DES， 3DES 的加密安全性更加可靠，以 DES 为基本模块 ，通过组合分组方法设计出分组 加密算法。 MD5 是一种散列函数，它广泛应用于计算机安全领域，它的功能是提供消息的完整性保护，它的作用是让大容量信息在用 数字签名 软件签署私人 密钥 前被 压缩 成一种保密的格式。 计算机网络系统采用现代交换原理，它促使虚拟网技术的应用在全球范围内快速猛增。 按照网络区域的不同分布对全网实施虚拟网划分，这是提高网络安全性、增强网络性能、加强网络管理、隔离网络故障的有效措施。 但是如果虚拟网的应用仅仅局限于局部网络或单个交换机内部，经过网络划分后，整个网络工程系统将成为一块块支离破碎的盲区。 所以总公司选用的网络核心层交换机应具备跨越分支和主干自由地在全网范围内进行划分虚拟网的功能，而且所有网络设备的虚拟网划分功能应当基于 IEEE 这个统一的标准。 网络通信中的大部分数据流量不再局限于各子网内部，这是Inter/Intra 的相关计算方式对各公司广域网计算机网络系统的 10 另一个重大考验。 网络通信大多是跨越子网边界访问，它对网络中相关设备处理子网间路由的能力要求非常高。 传统路由器以软件方式进行路由操作，这种操作方式产生的传输延迟是交换机产生的几十倍，而且当网络负载变化时，延迟时间会随之有很大变化，这很不利于多媒体的传输；由于采用价格昂贵的高性能处理器和大量高速内存而导致性能价格比非常低，无法进一步对吞吐量进行提高。 如今局域网主干上增加了许多的路由任务，以往路由器的吞吐量已经不能满足当前的网络需求，而过大的延迟又不能适应语音通信、多媒体视频的服务质量需求，使用具有网络层功能的交换机替代路由器实现低延迟、大容量的路由即第三层交换已势在必行。 各公司广域网应选用具有硬件实现的第三层交换能力的网络交换机（本设计选用的是356024ps 型三层交换机）用来满足不断增长的子网间通信需求，同时实现多媒体通信所要求的低延迟和延迟量的稳定性。 为了使网络服务更好地支持不同应用的服务质量需求，应当考虑采用能够根据不同应用区别处理的具有 应用认知功能的缓存设备和具有第四层智能的第二代多层交换机作为网络主干设备，从而更有效地利用宝贵的网络资源。 Inter/Intra 计算是网络计算进一步发展的总体趋势，它需要适应应用技术发展的需求，这不仅要求主干交换机，而且配线间工作组交换机也应选择具备第三层交换能力的设备，这样可以在需要时分担主干交换机的负载，更加有效地利用有限的主干带宽。 我们在强调网络第三层交换功能的同时，以前的第二层交换技术也不能被忽视，主干和分支交换机都应当能够在支持多层交换的同时支持 11 我们可能需要的各种第二层交换技术 ，如快速以太网、 ATM、 FDDI、千兆以太网等。 计算机网络系统是全球各公司广域网智能系统的神经中枢，它的运行状态应该得到全面的管理和监控。 OSI 对网络管理功能提出了性能管理、配置管理、安全管理、错误管理、记帐管理等五大要求，以此为基础，该网络管理系统应当选用基于工业标准的简单网络管理协议（ SNMP）的开放式管理平台，而且需要配合专用的网络管理应用作为网管系统的设计框架。 网管系统应支持设备的配置和监视、网络故障的监测、网络拓扑自动发现和报告等功能，而且能够提供简单方便的图形用户接 口。 第三章介绍了网络模拟工程施工过程中需要应用到的网络技术及其相关原理，其中重点介绍了网络安全应用技术。 下面的第四章就是要对整个网络模拟工程的施工进行详细的说明。 12 第 4 章 网络模拟实验工程总体规划 本网络工程方案的设计划分为五个模块，分别为： ； ppp+chap 网络拓扑设计； ； ； VPN网络通信拓扑设计。 网络总体布局拓扑 ,如图 41： 图 41 网络工程总体拓扑图 13 总公司内部局域网规划 VLAN:VLAN 2,VLAN 3,VLAN 4,VLAN 8,分别分配给公司内部，销售部、研发部、后勤部、保安部，将公司划分为四个网段，便于管理； VLAN 之间互相通信，由于公司各部门一些特殊的设备需要设置静态 IP，所以设需要留地址范围是： 20 ， 30 ， 40； TELNET，网管中心对公司内部局域网进行远程控制管理。 总公司与分公司网络规划 PPP连接需封装 CHAP 认证，认证密码设为：123； OSPF 技术实现网络连接。 OSPF 路由协议的相关配置过程有如下几个步骤： （ 1） 在相关路由器或三层交换上指定使用 ospf 协议，协议 ID为 10。 （ 2） 在不同型号的路由设备上设置其路由 ID； （ 3） 指定与路由器相连的网络，区域号设置为 0。 IP,其 IP地址范围是： ； 14 ACL 技术，仅允许后勤部网段的 80端口可以访问分公司服务器。 总公司与广域网间网络规划 NAT 技术，将公司内部私有的 IP 地址转换为公有的 IP 地址，使得公司内部网络接入广域网。 该 NAT 的配置大致可分为以下步骤： （ 1） 在边缘路由器和 ISP 路由器上配置访问控制链表，用以规定允许访问广域网 IP 范围； （ 2） 将访问控制链表与相应的路由端口映射在一起； （ 3） 指定 NAT 网络内部和外部接口，用以确定 NAT 网络数据的流 向。 ，应用 ACL 技术，过滤网络中的流量 ，实现禁止保安部与后勤部访问互联网上资源的功能。 DHCP 协议，使得缘路由器与外网连接的端口可以自动获得 IP地址。 DHCP 协议的配置主要有以下步骤 : （ 1）设定 DHCP 协议 IP 地址池； （ 2）定义 DHCP 网络地址，即一个网段，所有该网段内的网络设备只能获得规定的该网段内的 IP 地址； （ 3）配置该网段的网关； （ 4）给该网段配置 DNS； （ 5）除去某些预留的 IP地址段，网段内设备启动 DHCP 协议获取 IP地 址时，不能获取该段内的 IP 地址。 15 总公司与合作伙伴间网络规划 总公司与其合作伙伴间采用点对点通信并结合 帧中继技术，其网络设计主要分为以下步骤 : （ 1） 在相关路由器广域网端口上封装 帧中继协议； （ 2） 在上述物理端口上建立虚拟子接口，设置其为 pointtopoint类型，并为其配置相应 IP地址； （ 3） 给子接口配置 DLCI 值并建立对端协议地址与本地 DLCI 的映射关系； （ 4） 配置帧中继中云相关端口 ,指定数据流流向的端口，从而实现 点对点通信的链路连接。 总公司与出差人员间网络规划 总公司与 在外出员工间采用 VPN 技术，实现出差人员 能够访问总公司的服务器功能。 在 VPN 设计中，主要做以下工作 : （ Inter 密钥交换）协议设置： （ 1）分别对通信两端 建立 isakmp 策略并且采用 3des 加密协议； （ 2）哈希采用 md5算法验证，双方采用欲共享密钥认证方式； （ 3）对通道进行加密，并设置对端 IP地址； （ 4）为了增强数据传输中的安全性， 创建变换集，采用 esp3des 和 espmd5hmac 算法。 16 ２ .应用 ACL技术定义感兴趣流，确定通信双方数据的流向。 ３ .通过创建加 密图将感兴趣流与变换集映射在一起，从而确定了受保护的数据流。 ４ .将加密图绑定在对应的端口上。 以上比较详细的介绍了整个模拟网络项目工程总体规划以及其中比较重要的网络技术或协议的设计流程，接下来是整个模拟网络工程拓扑的配置。 17 第 5 章 网络模拟实验项目配置概述 核心层交换机配置 在核心层交换机上配置 :VLAN VLAN VLAN VLAN8 四个虚拟局网段分别分配给：销售部、研发部、后勤部及保安部。 配置命令如下： ： Sw35(config)vlan 2 Sw35(configvlan)vlan 3 Sw35(configvlan)vlan 4 Sw35(configvlan)vlan 8 Sw35(configvlan)exit f0/ f0/ f0/ f0/8 端口分别接入到四个局域网中，而且这四个端口分别连接到四个部门的接入层交换机上，这里仅列出一个端口的配置，其他端口配置与此相似： Sw35(config)int f0/2 Sw35(configif)switchport access vlan 2 Sw35(configif)switch。