3.8 DHCP技术
DHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)缩写。它分为两个部份:一个是服务器端,而另一个是客户端。所有的 IP 网络设定数据都由 DHCP 服务器集中管理,并负责处理客户端的 DHCP 请求;而客户端则使用从服务器分配下来的IP环境数据。DHCP 透过 "租约" 的概念,有效且动态的分配客户端的 TCP/IP 设定,它会监听网络的 DHCP 请求,并与客户端磋商 TCP/IP 的设定环境。
DHCP是基于C/S模式的,它提供了一种动态指定IP地址和配置参数的机制。这主要用于大型网络环境和配置比较困难的地方。DHCP服务器自动为客户机指定IP地址,它的配置参数使得网络上的计算机不再需要去手工指定IP地址了。对于许多拥有许多台计算机的大型网络来说,每台计算机拥有一个IP地址有时候可能是不必要的。DHCP使IP地址的可以租用,租期从1分钟到100年不定,当租期到了的时候,服务器可以把这个IP地址分配给别的机器使用。客户也可以请求使用自己喜欢的网络地址及相应的配置参数。
3.9 ACL技术
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的路由协议,如IP、IPX、AppleTalk等。访问控制列表中包含了匹配关系、条件和查询语句。表只是一个框架结构,其目的是为了对访问进行控制。
ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。ACL是提供网络安全访问的基本手段。ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。
一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较。如果匹配(假设为允许发送),则不管是第一条还是最后一条语句,数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。
4 大型企业内部局域网整体设计
4.1 网络拓扑图设计
在本次设计中,将整个企业局域网划分为三个层次,如图4.1。最上面的一层是核心层两台比较高级的三层交换机,进行冗余备份以及负载均衡等配置,并且启用VTP配置,作为VTP Server,这样可以更加简便地创建和管理VLAN。第二层是汇聚层,第三层是接入层。另外企业在本地之外还有两个分公司,采用购买运营商的帧中继线路来实现连通。企业内部存在着服务器群,里面有DHCP服务器,有新机器接入网络时,只需要设置部门的网关即可自动获得相应的IP地址,无需手动配置。最后在企业出口服务器上,我们将利用ACL访问控制列表来进行流量控制。
图4.1 网络拓扑设计
4.2 各部门IP分配
局域网私有IP地址一共分为三类,A类私有地址是10.0.0.1---10.255.255.254拥有2的24次方个地址,B类私有地址是172.16.0.0---172.31.255.254拥有2的20次方个地址,C类私有地址是192.168.0.1---192.168.255.255拥有2的16次方个地址,我们选择主机数比较适中的B类私有地址作为我们的局域网地址。每个部门的IP的数量设计为254个,因为每一段IP地址的第一位以及最后一位,都是不可用于主机的IP地址,所以除去172.16.0.0(网络地址)以及172.16.0.255(广播地址)外还拥有254个可用主机地址,详见表4.1 IP分配表。但是考虑到市场部人员较多,发展可能比较迅速,在市场部现有IP地址段后预留了508个IP地址,也就是172.16.5.1-172.16.6.254这508个IP地址,以满足他们的增长需求,除此之外每个IP地址段后都预留了254个IP地址,方便了今后企业发展壮大以及人员的增加。 OSPF大型企业内网构建设计与实现(7):http://www.751com.cn/jisuanji/lunwen_8479.html