毕业论文用cisco设备构建大型企业网络的解决方案——安全的远程访问

毕业论文用cisco设备构建大型企业网络的解决方案——安全的远程访问内容摘要：

CP的客户机无需手动输入任何数据，避免了手动键入值而引起的配置错误，同时DHCP 可以防止出现新计算机重用以前指派 IP 地址引起的冲突的问题。 通过在网络上安装和配置 DHCP 服务器，启用 DHCP 的客户机可在每次启动并加入网络时动态地获得其 IP 地址和相关 配置参数。 DHCP 服务器以地址租约的形式将该配置提供给发出请求的客户机。 DHCP 实现流程：（ 1） 在特定的时间内将 IP 地址租用给 DHCP 客户端，然后当客户端请求续订时自动续订 IP 地址。 （ 2） 通过更改 DHCP 服务器处的服务器或作用域选项而不是在所有 DHCP 客户端上分别执行此操作，来更新 DHCP 客户端参数。 （ 3） 为特定的计算机或其他设备保留 IP 地址，以便它们总是具有相同的 IP 地址，同时还接收最新的 DHCP 选项。 （ 4） 从 DHCP 服务器分发中排除 IP 地址或地址范围，以便能 够使用这些 IP 地址和范围对服务器、路由器和其他需要静态 IP 地址的设备进行静态配置。 （ 5） 为众多子网提供 DHCP 服务（如果 DHCP 服务器和需要提供服务的子网之间的所有路由器都被配置成转发 DHCP 消息）。 （ 6） 配置 DHCP 服务器以便为 DHCP 客户端执行 DNS 名称注册服务。 （ 7）为基于 IP 的 DHCP 客户端提供多播地址分配。 7． STP Root Guard 根保护原理 SpanningTree BUDU 网桥协议数据单元（ Bridge Protocol Data Unit)。 是一种生成树（ SpanningTree） 协议问候数据包，它以可配置的间隔发出，用来在网络的网毕业设计（论文） 6 桥间进行信息交换。 网桥有三种典型的方式：透明桥、源路由桥与源路由透明桥。 网桥典型地连接两个用同样介质存取控制方法的网段， IEEE 规范（此规范是为所有的 802 介质存取方法开发的）定义了透明桥。 源路由桥是由 IBM 公司为它的令牌环网络开发的；而源路由透明桥则是透明桥和源路由桥的组合。 桥两边的网段分属于不同的冲突域，但却属于同一个广播域。 在一个桥接的局域网里，为了增强可靠性，必然要建立一个冗余 的路径，网段会用冗余的网桥连接。 但是，在一个透明桥桥接的网络里，存在冗余的路径就能建立一个桥回路，桥回路对于一个局域网是致命的。 生成树协议是一种桥嵌套协议，在 IEEE 规范里定义，可以用来消除桥回路。 它的工作原理是这样的：生成树协议定义了一个数据包，叫做桥协议数据单元 BPDU（ Bridge Protocol Data Unit）。 网桥用 BPDU 来相互通信，并用 BPDU的相关机能来动态选择根桥和备份桥。 但是因为从中心桥到任何网段只有一个路径存在，所以桥回路被消除。 在一个生成树环境里，桥不会立即 开始转发功能，它们必须首先选择一个桥为根桥，然后建立一个指定路径。 在一个网络里边拥有最低桥 ID 的将变成一个根桥，全部的生成树网络里面只有一个根桥。 根桥的主要职责是定期发送配置信息，然后这种配置信息将会被所有的指定桥发送。 这在生成树网络里面是一种机制，一旦网络结构发生变化，网络状态将会重新配置。 当选定根桥之后，在转发数据包之前，它们必须决定每一个网段的指定桥，运用生成树的这种算法，根桥每隔 2 秒钟从它所有的端口发送 BPDU 包， BPDU 包被所有的桥从它们的根端口复制过来，根端口是接根桥的那些桥端口。 BPDU 包括 的信息叫做端口的 COST，网络管理员分配端口的 COST 到所有的桥端口，当根桥发送 BPDU 的时候，根桥设置它的端口值为零。 然后沿着这条路径，下一个桥增加它的配置端口 COST 为一个值，这个值是它接收和转发数据包到下一个网段的值。 这样每一个桥都增加它的端口的 COST 值为它所接收的 BPDU 的包的 COST值，所有的桥都检测它们的端口的 COST 值，拥有最低端口的 COST 值的桥就变为了指定的桥。 拥有比较高端口 COST 值的桥置它的端口进入阻塞状态，变为了备份桥。 在阻塞状态，一个桥停止了转发，但是它会继续接收和处理 BPDU 数 据包。 STP Root Guard 传统的 STP没有给网络管理员提供确保交换式第 2层网络拓扑安全。 当新接入的交换机优先级更低，将抢占原有的根网桥。 根保护的目的是确保启用了根保护的端口成为指定端口。 通常一个根桥的所有端口均为指定端口。 除非连接到两个或多根网桥的端口。 如果网桥在启用根保护的端口上收到一个较好的 STP BPDU。 这个端口进入 STP 的根不一致状态， 不会有流量通过该端口。 毕业设计（论文） 7 8． Portfast Uplinkfast Backbonefast 原理 因为传统的生成树协议，如果 要由 block 状态转换到 forwarding 状态需要50s。 这对于一个大型网络来说，时间太长了。 所以， cisco 发明了三个对生成树增强的协议。 就是 Portfast， Uplinkfast， Backbonefast。 Protfast 是对于接入端口来说的，也就是使用了 Portfast 的端口直接就进入传输状态，而不需要经过中间的其他状态。 Uplinkfast 一般是用在接入层的。 也就是说当有两条上行链路连向上层的时候，传统的生成树会把其中一条置为 block 状态，如果一条链路实效了，另一条也要经过 50 秒才能变为传输状态 ，而使用 Uplinkfast不需要经过 block 状态。 BackboneFast 和 Uplinkfast 的作用是一样的，只不过用于不同的情况。 而且 Backbonefast 是要配置在所有的交换机上。 Backbonefast 是可以快速诊断非直连链路的故障，并且使生成树快速收敛。 对 Backbonefast 工作方式举个例子：假设有 A,B,C 三个交换机。 B 与 A 相连， C 也与 A 相连， C 与 B 也相连，也就是说三台交换机两两相连。 A 是根桥，所以 B 和 C 相连的两个端口要有一个端口是block 状态的。 他们之间是不通的（你可以用纸画一下 ，不然很抽象）。 这个时候 A 和 B 之间的链路 down 掉了。 那么 B 就和根桥失去了联系，所以 B 就开始发出 BPDU，宣布自己是根桥。 这个 BPDU 只能是发到 C（因为和 A 的链路 down 掉了）。 C 接收到这个 BPDU，发现和自己之前的根桥不同， C 就会发出一个“ root link query”的查询，查询以前的根桥是否还是有效的。 A 收到了这个查询包就会回复给 C 一个应答，说自己仍然有效。 C 收到这个应答后，就会通知 B 根桥仍然还在，并且打开 B 和 C 相连的两个端口中的那个 block 状态的端口。 B 就开始从 C到达根桥了。 整个过程也省略了由 block 状态到 listen 状态的 20 秒时间。 Portfast Portfast 是用在 access layer 中的交换机上的而且用在有阻断端口的交换机上，当 RP 失效，马上启动阻断端口保持通信。 这样收敛时间很快，不用从新进行 STP 运算，直接从 blocking 跳到 fowarding。 缺省情况下，假定交换机的所有端口都将与交换机或者网桥连接，所以所有端口都运行 STP 算法，即如果网络发生了变化，在端口发送数据之前要等待 50s，而事实上许多端口会直接连接工作站或者服务器。 所以我们采用 PortFast 可以让这 些端口节省 Listening和 Learning状态的时间，立即进入 Forwarding状态。 需要注意的是： PortFast 仅仅让端口在网络环境变化的情况下直接进入Forwarding 状态。 而端口仍然运行 STP 协议，所以如果检测到环路，端口仍将由 Forwarding 状态变成 Blocking 状态。 Portfast 快速端口是一个 Catalyst 的一个特性，能使交换机或中继端口跳毕业设计（论文） 8 过侦听学习状态而进入 STP 转发状态，在基于 IOS 交换机上， PortFast 只能用于连接到终端工作站的接入端口上。 当一个设备连接到一个 端口上时，端口通常进入侦听状态。 当转发延迟定时器超时后，进入学习状态，当转发延迟定时器第二次超时，端口进入到转发或者阻塞状态，当一个交换机或中继端口启用 PortFast 后，端口立即进入转发状态，但交换机检测到链路，端口就进入转发状态 (插电缆后的 2s)。 如果端口检测到一个环路同时又启用了 PortFast 功能。 它就进入阻塞状态。 重要的是要注意到PortFast 值在端口初始化的时候才生效。 如果端口由于某种原因又被迫进入阻塞状态，随后又需要回到转发状态，仍然要经过正常的侦听。 启用 PortFast的主要原因是 防止启动周期小于 30s的 PC需要和交换机端口从未连接状态进入到转发状态，一些网卡直到 MAC 层软件驱动被实际加载之后才会启动链路。 这种情况下就会导致一些故障，例如 DHCP 环境下，这可能会出现一些问题。 Uplinkfast 背景资料： STP 确保了在拓扑变化的情况下没有环路产生，但收敛速度慢。 一些实时以及对带宽敏感的网络应用是不能接受的。 STP 收敛速度慢的原因是收敛算法需要化时间确定一条可替代的链路，缺省时间是 50s，即 20s（ Blocking→ Listening）＋ 15s（ Listening→ Learning）＋ 15s（ Learning→ Forwarding）。 解决的方法是一旦发现了线路 down，马上把 Blocking 的 port 切换到Forwarding，不要经过 Listening 和 Learning 阶段。 这就是 UplinkFast，切换时间可以在 2s～ 4s。 UplinkFast 被设计应用在接入层交换机。 一般应用两条上行链路连接到分布层，一条是冗余链路。 UplinkFast 激活一个快速重新配置的条件： （ 1） 在交换机上必须启动了UplinkFast 功能； （ 2） 至少有一个处于 Blocking 的端口（即有 冗余链路）； （ 3）链路失效必须发生在 Root Port 上。 交换机启动了 UplinkFast 后，由于提高了交换机上所有端口的路径开销，所以不适合作为根桥。 具体来说，一个上行链路组由根端口和除自环端口之外的一组阻断端口组成，上行速链路使交换机上的一个阻断端口几乎立刻进行转发。 很重要的一点就是：上行链路只能配置在接入层交换机上，因为从根端口到其非指定备份端口的快速转发只能在生成树拓扑结构的根端口上被确定性的完成。 Backbonefast BackboneFast 用在 distribution layer 中的交换机上。 而且要求所有交换机都得启动 Backbonefast。 当一台交换机的 RP 坏掉的时候，失去了和 RB 的连接，它向他的其他端口，包括阻塞端口（如果有的话）发送下级 BPDU。 收到下毕业设计（论文） 9 级 BPDU 的交换机有 3 种情况： 1，如果收到下级 BPDU 的端口是阻塞端口，那么阻塞端口和根端口都作为候选端口（用来到达根桥用的）； 2，如果收到下级 BPDU的端口是根端口，那么阻塞端口被作为候选端口，因为只能通过它到达根桥了；3，如果收到下级 BPDU 的端口是根端口，并且这个交换机上没有阻塞端口，那么证明这台交换机失去了到根桥的连 接，需要从新进行 STP 运算。 交换机中只要有一台处于第三种状态，就要从新进行 STP运算。 除此之外，只需花去 max age delay的时间（就是最初的 20s）就可以收敛完毕。 BackboneFast 能使交换机在收到 inferior BPDU 后，根据接收该 BPDU 端口的状态，来决定通向 Root Bridge 的 alternate Path，并通过 Blocking 端口来发送 Root Link Query，根据应答，判断哪个端口为 Newly Current Root Bridge Port，并将其马上进行状态转换， 无需等待 Max Age Timer 计时器到时。 9． AAA 认证原理 AAA 安全服务 ， 是使用相同方式配置三种独立的安全功能的一种结构。 它提供了完成下列服务的模块化方法： 认证， 一种提供识别用户的方法，包括注册和口令对话框、询问和响应、消息支持以及根据所选择的安全协议进行加密。 认证是接受用户访问网络和网络服务前识别他们的方法。 通过定义一张命名的认证方法列表对 AAA 认证进行配置，然后应用该列表于各种接口。 方法列表定义了所执行的认证的类型和它们执行的次序；任何定义的认证方法执行之前都必须应用在具体的接口上。 唯一的 例外是缺省方法列表（其名称为 default）。 如果没有定义其它方法列表，缺省方法列表自动应用于所有接口。 定义任何方法列表将覆盖缺省方法列表。 除了本地口令、线路口令和开启认证外，所有的认证方法都必须通过 AAA 来定义。 有关所有认证的配置方法的详细资料，包括那些在 AAA 安全服务之外实现的方法，请参见第 2章“认证配置”。 授权，一 种提供远程访问控制的方法，包括一次性授权或者单项服务授权、每个用户帐目列表和简介、用户包支持以及 IP、 IPX、 ARA 和 Tel 支持。 AAA授权是通过汇集一组属性来发挥作用的，这些属性 描述了用户被授予执行哪些权限。 将这些属性与。