路由技术设计概要设计文档.docx
- 文档编号:25812661
- 上传时间:2023-06-15
- 格式:DOCX
- 页数:12
- 大小:74.23KB
路由技术设计概要设计文档.docx
《路由技术设计概要设计文档.docx》由会员分享,可在线阅读,更多相关《路由技术设计概要设计文档.docx(12页珍藏版)》请在冰豆网上搜索。
路由技术设计概要设计文档
校园网网络工程项目
路由技术设计——需求分析文档
目录
一、ACL、NAT、RIP/OSPF概述3
a)ACL3
b)NAT3
i.NAT技术概述3
ii.NAT技术的分类4
c)RIP/OSPF协议:
5
RIP:
5
OSPF:
5
二、影响设计的约束因素:
6
ACL所需的功能:
6
选择路由协议需考虑的因素:
7
三、结合需求分析的结果,给出ACL、NAT、RIP/OSPF在校园网设计中的应用7
a)校园网ACL的应用概述7
b)校园网NAT的应用概述9
c)校园网OSPF的应用概述10
一、ACL、NAT、RIP/OSPF概述
a)ACL
ACLs的全称为接入控制列表(AccessControlLists),也称为访问列表(AccessLists),俗称为防火墙,在有的文档中还称之为包过滤。
ACLs通过定义一些规则对网络设备接口上的数据报文进行控制:
允许通过或丢弃。
按照其使用的范围,可以分为安全ACLs和QoSACLs。
对数据流进行过滤可以限制网络中的通讯数据的类型,限制网络的使用者或使用的设备。
安全ACLs在数据流通过网络设备时对其进行分类过滤,并对从指定接口输入或者输出的数据流进行检查,根据匹配条件(Conditions)决定是允许其通过(Permit)还是丢弃(Deny)。
总的来说,安全ACLs用于控制哪些数据流允许从网络设备通过,Qos策略对这些数据流进行优先级分类和处理。
ACLs由一系列的表项组成,我们称之为接入控制列表表项(AccessControlEntry:
ACE)。
每个接入控制列表表项都申明了满足该表项的匹配条件及行为。
访问列表规则可以针对数据流的源地址、目标地址、上层协议,时间区域等信息。
b)NAT
i.NAT技术概述
网络地址转换(NetworkAddressTranslation,NAT)属接入广域网技术,用来实现私有地址与公有地址之间的转换。
私有地址是指局域网内部的主机IP地址,而公有地址是Internet全球唯一的合法IP地址。
NAT工作原理:
在一个组织或机构内部,采用RFC1918定义的私有地址方案来组建自己的网络,形成相对独立和封闭的网络。
私有地址在Internet中是不能被路由转发的,因而内网中的主机无法直接访问公网上的资源。
若要访问公网,必须将私有地址转换为可路由的唯一的公有地址,这个过程就是NAT。
NAT通常被集成到路由器、防火墙或者是单独的NAT设备中。
NAT设备维护一个状态表,用来把私有地址映射到公有地址上去。
每个包在NAT设备中都被转换成公有地址,发往下一级。
ii.NAT技术的分类
NAT的实现方式有三种:
静态NAT、动态NAT和端口地址转换(PAT)。
静态NAT是最简单的一种转换方式,能够实现两个IP地址之间一对一的映射。
某个私有IP地址只转换为某个公有IP地址。
由于是一对一的映射,所以静态NAT没有节省地址空间,它主要实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态NAT能够实现多对多或多对一的映射。
在公有网络中定义一系列的合法地址,内网中被授权的私有IP地址可随机转换为这些合法IP地址中的任何一个。
这种NAT方式的公有地址每次都会被动态地分配给内部主机,采用动态分配的方法映射到内部网络。
PAT与动态NAT不同,它将内部地址映射到外部网络中一个单独的IP地址上,同时在该地址上加一个由NAT设备选定的TCP端口号,即将内部地址映射到外部网络IP地址的不同端口上。
PAT可最大限度地节约IP地址资源,目前网络中应用最多的就是PAT
使用NAT设备进行Internet通信的网络示例。
正如固定电缆调制解调器或DSL调制解调器可以作为NAT设备一样,PC也可以作为NAT设备。
c)RIP/OSPF协议:
RIP:
Internet中常用的路由协议,RIP采用距离向量算法,即路由根据距离选择路由,也可称为距离向量协议。
路由收集所有到达目的地的不同路径,并且保存有关到达每个目的地的最少站点数的路径信息,除到达目的低的最佳路径信息外,其他信息均予以丢弃。
同时路由器也把所收集的路由信息通知相邻的其他路由器。
这样,正确的路由信息逐渐扩散到了全网。
RIP的度量是基于跳数的,每经过一台路由器跳数增加一。
这样跳数越多,路径就越长,RIP算法总是有限选择跳数最少的路径,他允许的最大跳数是15,任何超过15跳数的目的地均被表为不可达。
另外,RI每隔30秒向UDP端口520发送一次路由信息广播,广播自己的路由表,每一个RIP数据包包含一个指令、一个版本号和一个路由域以及最多25条路由信息(一个数据包内),这也是构成网络广播风暴的重要原因之一,起收敛速度也很慢。
所以RIP只适用于小型的同构网络。
RIP目前有两个版本:
RIPv1、RIPv2。
第一版RIPv1不支持CIDR(无类域间路由选择)地址解析,而RIPv2支持,RIPv1使用广播发送路由信息,RIPv2使用多播技术。
OSPF:
链路是路由器接口的另一种说法,因此OSPF也称为接口状态路由协议。
OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短路径构造路由表。
OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。
在这里,路由域是指一个自治系统(Autonomous System),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。
在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。
作为一种链路状态的路由协议,OSPF将链路状态广播数据LSA(Link State Advertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。
运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。
OSPF与RIP的比较:
RIP协议是距离矢量路由选择协议,它选择路由的度量标准(metric)是跳数,最大跳数是15跳,如果大于15跳,它就会丢弃数据包。
OSPF协议是链路状态路由选择协议,它选择路由的度量标准是带宽,延迟。
RIP的局限性在大型网络中使用所产生的问题:
1)RIP的15跳限制,超过15跳的路由被认为不可达
2)RIP不能支持可变长子网掩码(VLSM),导致IP地址分配的低效率
3)周期性广播整个路由表,在低速链路及广域网云中应用将产生很大问题
4)收敛速度慢于OSPF,在大型网络中收敛时间需要几分钟
5)RIP没有网络延迟和链路开销的概念,路由选路基于跳数。
拥有较少跳数的路由总是被选为最佳路由即使较长的路径有低的延迟和开销
6)RIP没有区域的概念,不能在任意比特位进行路由汇总一些增强的功能被引入RIP的新版本RIPv2中,RIPv2支持VLSM,认证以及组播更新。
但RIPv2的跳数限制以及慢收敛使它仍然不适用于大型网络
相比RIP而言,OSPF更适合用于大型网络:
1)没有跳数的限制
2)支持可变长子网掩码(VLSM)
3)使用组播发送链路状态更新,在链路状态变化时使用触发更新,提高了带宽的利用率
4)收敛速度快
5)具有认证功能
OSPF协议主要优点:
1、OSPF是真正的LOOP-FREE(无路由自环)路由协议。
源自其算法本身的优点。
(链路状态及最短路径树算法)
2、OSPF收敛速度快:
能够在最短的时间内将路由变化传递到整个自治系统。
3、提出区域(area)划分的概念,将自治系统划分为不同区域后,通过区域之间的对路由信息的摘要,大大减少了需传递的路由信息数量。
也使得路由信息不会随网络规模的扩大而急剧膨胀。
4、将协议自身的开销控制到最小。
5、通过严格划分路由的级别(共分四极),提供更可信的路由选择。
6、良好的安全性,OSPF支持基于接口的明文及md5验证。
7、OSPF适应各种规模的网络,最多可达数千台。
二、影响设计的约束因素:
●ACL所需的功能:
a)接入点上网时间的控制
b)病毒的过滤
c)服务器的控制
d)流量的控制
●选择路由协议需考虑的因素:
i.路由协议的开放性
开放性的路由协议保证了不同厂商都能对本路由协议进行支持,这不仅保证了目前网络的互通性,而且保证了将来网络发展的扩充能力和选择空间。
ii.网络的拓扑结构
网络拓扑结构直接影响协议的选择。
例如RIP这样比较简单的路由协议不支持分层次的路由信息计算,对复杂网络的适应能力较弱。
路由协议还必须支持网络拓扑的变化,在拓扑发生变化时,无论是对网络中的路由本身,还是网络设备的管理都要使影响最小。
iii.网络节点数量
不同的协议对于网络规模的支持能力有所不同,需要按需求适当选择,有时还需要采用一些特殊技术解决适应网络规模方而的扩展性问题。
iv.与其他网络的互连要求
通过划分成相对独立管理的网络区域,可以减少网络间的相关性,有利于网络的扩展,路由协议要能支持减少网络间的相关性,是通常划分为一个自治系统(AS),在AS之间需要采用适当的区域间路由协议。
必要时还要考虑路由信息安全因素和对路由交换的限制管理。
v.管理和安全上的要求
通常要求在可以满足功能需求的情况下尽可能简化管理。
但有时为了实现比较完善的管理功能或为了满足安全的需要,例如对路由的传播和选用提出一些人为的要求,就需要路由协议对策略的支持。
三、结合需求分析的结果,给出ACL、NAT、RIP/OSPF在校园网设计中的应用
a)校园网ACL的应用概述
i.上网时间的控制
学生的自觉性与自我约束的能力比较差,经常上网忘了时间,使生活变得毫无规律,严重影响了正常的学习,为了防止学生熬夜上网,可以利用ACL限定上网的时间,比如限定在一学期的周一至周五晚24:
00—早8:
00不能访问外网,周末和放假期间可以放开,具体配置如下:
Router(config)#time—rangelimit
Router(config)#absolutestart0:
001September2010end24:
0031December2010periodicweekday24:
00to8:
00
Router(config)#access—list120denyip172.16.1.00.0.0.255anylimit
//172.16.1.00.0.0.255为学生宿舍所在网段。
Router(config)#access-list120permitipanyany
ii.过滤病毒
计算机病毒能够破坏网络设备、破坏计算机系统软件和文件系统,木马程序会导致信息泄漏,蠕虫类病毒则会导致网络运行效率下降甚至瘫痪。
所以说影响校园网络安全的主要因素是病毒,除了应该配置防火墙和对计算机安装杀毒软件外,我们还可以通过配置ACL列表来关闭一些常见病毒程序端口,达到保护网络安全的目的。
例如针对冲击波病毒,我们知道冲击波病毒常用的端口69、135,138、445、593、4444等,所以在路由器上建立ACL,封锁病毒传播、扫描、攻击所利用的端口,禁止与这些目的端口匹配的数据包通过路由器,把病毒阻止在设备之外。
具体配置如下:
Router(config)#access-list120denytcpanyanyeq135
Router(config)#access-list120denytcpanyanyeq138
Router(config)#access-list120denytcpanyanyeq139
Router(config)#access-list120denytcpanyanyeq445
Router(config)#access-list120denytcpanyanyeq593
Router(config)#access-list120denytcpanyanyeq4444
Router(config)#access-list120denyudpanyanyeq69
Router(config)#access-list120denyudpanyanyeq135
Router(config)#access-list120denyudpanyanyeq445
Router(config)#access-list120permitipanyany
iii.对服务器进行控制
服务器是校园网的重要设施,是与外界沟通的桥梁,比如主页服务器,是宣传学校的窗口,同时也是恶意攻击的首选目标,特别是来自校园内部,学生是Internet环境中比较活跃的群体,他们求知欲强,好奇心更强,喜欢在网上进行一些尝试,有的没什么目的,只是为了满足一时的好奇心和表现欲,所以我们除了在服务器本身做好安全措施外,还可以在路由器或交换机上建立ACL,只放开与服务器对应的一些端口,其余都关闭,例如WWW服务器只开放80端口、DNS服务器只开放53端口、Email服务器开放80、25、110端口,这样一些数据包在没到达服务器之前,已经被路由器或交换机过滤掉。
具体配置如下:
Router(config)#access-list120permittcpanyhost172.16.1.1eqwww
Router(config)#access-list120permittcpanyhost172.16.1.2eqdomain
Router(config)#access-list120permittcpanyhost172.16.1.3eqwww
Router(config)#access-list120permittcpanyhost172.16.1.3eqsmtp
Router(config)#access-list120permittcpanyhost172.16.1.3eqpop3
Router(config)#access-list120permitipanyany
//172.16.1.1为WWW服务器,172.16.1.2为DNS服务器,172.16.1.3为Email服务器。
iv.流量控制
校园网用户利用BT等工具下载电影,占用了大量的网络带宽,影响了校园网的正常使用。
BT是一种P2P的应用。
客户端本身就是一个服务器,可以采取一定的措施,限制校园外的用户对校园网内的BT用户发起主动连接,从而限制出流量,进而达到限制双向BT流量的目的。
具体配置如下:
Router(config)#access-list120permittcpanyanygt1023established
Router(config)#access-list120permittcpanyany
以上控制列表的含义:
只允许校园网内的主机主动与校园网外的主机建立TCP连接进行下载,不允许校园网外的主机对校园内的主机主动发起连接。
b)校园网NAT的应用概述
i.配置静态NAT。
DMZ区中的WWW服务器的私有IP(IP:
192.168.1.3)静态NAT到218.58.59.93(SMTP服务器的静态NAT可同样配置)。
EageRouter(config)#ipnatinsidesourcestatic192.168.1.3218.58.59.93//在内部地址与公有地址之间建立静态地址转换
EageRouter(config)#interfacefa0/0
EageRouter(config-if)#ipnatinside//指定内部接口
EageRouter(config)#interfaces0/0
EageRouter(config-if)#ipnatoutside//指定外部接口
ii.配置动态NAT。
将管理网段、行政网段的内部私有IP动态NAT到218.58.59.95和218.58.59.96。
EageRouter(config)#ipnatpoolmypool218.58.59.95218.58.59.96netmask255.255.255.0//定义可进行分配的全球地址池
EageRouter(config)#access-list1permit192.168.3.00.0.0.255//定义标准ACL1包含允许的内部地址
EageRouter(config)#access-list1permit192.168.2.00.0.0.255
EageRouter(config)#ipnatinsidesourcelist1poolmypool//在ACL1指定的内部地址与全球地址池之间建立动态地址转换
EageRouter(config)#interfacefa0/0
EageRouter(config-if)#ipnatinside//指定内部接口
EageRouter(config)#interfaces0/0
EageRouter(config-if)#ipnatoutside//指定外部接口
iii.配置PAT。
将教学网段、宿舍网段的内部私有IPPAT到218.58.59.97。
EageRouter(config)#ipnatpoolmypool1218.58.59.97218.58.59.97netmask255.255.255.0//定义地址池
EageRouter(config)#access-list2permit192.168.4.00.0.0.255//定义标准ACL2包含允许的内部地址
EageRouter(config)#access-list2permit192.168.5.00.0.0.255
EageRouter(config)#ipnatinsidesourcelist2poolmypool1overload//在ACL2指定的内部地址与全球地址池之间建立端口地址转换
EageRouter(config)#interfacefa0/0
EageRouter(config-if)#ipnatinside//指定内部接口
EageRouter(config)#interfaces0/0
EageRouter(config-if)#ipnatoutside//指定外部接口
总之,NAT技术有效缓解了公有IP地址的不足,而且能使得内外网络隔离,提供一定的网络安全保障。
NAT也存在局限性,如增加网络负担、对某些应用程序支持不够等。
但随着对其研究的深入及Internet的应用发展,NAT不会随着IPv6的采用而消亡,而在虚拟服务器(负载平衡)、网络安全、单目的多路由器、备份系统等领域有重要应用。
c)校园网OSPF的应用概述
i.为了便于网络管理,优化网络性能,实现故障隔离,增强网络的扩展性,校园网拓扑结构一般分为:
核心层、汇聚层、接入层。
ii.校园网中存在许多节点高度密集的逻辑区域,这些区域中往往又包含许多局域网络它们的存在将直接影响着校园网的路由规划。
iii.为了满足大小不一的逻辑区域的需要,校园网使用变长子网掩码(VLSM)。
由于校园网具有以上特点,在校园网的路由设计中,应充分体现路由层次化结构和减少交互路由信息量的原则,从而避免平面结构中每个路由器都必须维护整个网络路由表的问题,提高网络路由的效率和可靠性。
在汇聚层,核心层交换机以及边界路由器中配置OSPF协议。
配置OSPF时,相关的规划有:
1)保持OSPF数据库的稳定性:
Router-id的选择
2)层次化的网络设计:
OSPF区域的规划
3)非骨干区域内部路由器的路由表项优化:
特殊区域的使用
4)骨干区域路由器的路由表项优化:
非骨干区域IP子网规划和路由汇总
5)OSPF默认路由的引入和选路优化:
重分布静态和cost调整
6)OSPF网络基本安全:
阻止发往用户的OSPF报文
7)可选的配置有:
OSPF可选配置
OSPF接口参数调整
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 路由 技术设计 概要 设计 文档