旅游电子商务平台的网络系统设计与实现.pdf

目录目录 第一章第一章 概述概述.-1-1.1 项目背景.-1-1.2 项目意义.-1-1.3 项目内容.-2-第二第二章章 需求分析需求分析.-4-2.1 总体需求.-4-2.2 网络需求.-4-2.3 业务需求.-5-2.4 功能需求.-5-2.5 性能需求.-6-第三章第三章 系统设计系统设计.-7-3.1 设计原则.-7-3.2 总体设计.-8-3.3 拓扑结构.-10-3.4 资源规划.-11-第四章第四章 系统实现系统实现.-13-4.1 设备选型.-13-4.1.1 交换机选型.-13-4.1.2 防火墙选型.-14-4.2.3 服务器选型.-15-4.2.4 设备标价表.-16-4.2 设备配置.-16-4.2.1 MSTP 配置.-16-4.2.2 OSPF 配置.-18-4.2.3 PPP 认证配置.-20-4.2.4 VRRP 配置.-21-4.2.5 BFD 配置.-22-第五章第五章 安全与管理安全与管理.-23-5.1 网络安全.-23-5.1.1 防火墙.-23-5.1.2 入侵检测.-23-5.1.3 病毒防范.-24-5.2 网络管理.-24-5.2.1 配置管理.-24-5.2.2 故障管理.-25-5.2.3 性能管理.-25-5.2.4 安全管理.-25-5.2.5 计费管理.-26-结语结语.-27-参考文献参考文献.-28-1-第一章第一章 概述概述 1.1 项目背景项目背景 随着社会的发展，旅游业已成为全球经济中发展势头最强劲和规模最大的产业之-。旅游业在城市经济发展中的产业地位、经济作用逐步增强，旅游业对城市经济的拉动性、社会就业的带动力、以及对文化与环境的促进作用日益显现。尽管中国旅游业的发展仍存在诸多问题和障碍，旅游电子商务还不完善，特别是旅游业管理体制和投资机制的市场化程度较低。但总体上看，中国旅游业的投资环境呈不断优化的趋势，旅游电子商务是不可逆转的，它必将取代传统的旅游经营方式。面对近年来电子商务的兴起与壮大，互联网为传统旅游业提供新的机遇及提高服务水平和运作水平的手段，但同时，没有开展网，上业务的中小旅行社则面临严峻的挑战。万径旅游有限公司(以下简称为万径)希望借助互联网，解决传统旅游业不能解决的适应游客行、吃、住、游、玩一体化的需求;同时还由于旅游也作为一个整体的商业生态链，涉及到旅行服务机构、酒店、景区、交通等等，万径希望将这些环节连成一个统一的整体，从而提高服务的水平和业务的来源。1.2 项目意义项目意义信息技术的蓬勃发展与广泛应用对人类的社会生活和经济生活产生了根本性的、普遍的影响。信息技术已经成为推动世界经济和社会全面发展的关键因素。信息技术对商业领域的最大影响就是“电子商务”的兴起与广泛开展。所谓电子商务，就是在国际互联网上开展商务活动。它是以电子交易为手段，完成金融、物品、服务、信息的等价值交换，是快速而有效地进行各种商务活动的最新方法。电子商务的出现，改变了传统的一手交钱一手交货商业模式，导致商业模式发生了根本性的变化。电子商务所提供的网上沟通方式，使得顾客、厂商、供应商以及员工达到了前所未有的紧密联系程度，能够提高企业的经营效率。旅游业作为 -2-一个相对独立的经济产业，已成为世界上发展势头最为强劲的和最大的产业。旅游业发展之快，产业带动力之强，使许多国家和地区都把旅游业作为经济发展的重点产业，予以大力扶持和发展。而信息技术对旅游业的影响就是旅游电子商务的出现。中国是一个自然环境丰富、文化历史深厚的国度，其旅游产业具有很大的发展活力和发展潜力，对外国游客有巨大吸引力。据世界旅游组织预测，到2020 年，中国将成为世界上第一大旅游目的地和第四大客源市场国内各省市、地区的旅游企业为了尽量吸引国内外广大游客，提高旅游经济效益，于 1996 年就开始提出构建自己的旅游网站。1.3 项目内容项目内容 旅游电子商务是指以网络为主体，以旅游信息库、电子化商务银行为基础，利用最先进的电子手段运作旅游业及其分销系统的商务体系。它集合了客户心理学、消费者心理学、商户心理学、计算机网络等多门学科，展现和提升了“网络”和“旅游”的价值，具有营运成本低、用户范围广、无时空限制以及能同用户直接交流等特点，提供了更加个性化、人性化的服务，具有下面三个特性：(1)聚合性。旅游产品是一个纷繁复杂，多个部分组成的结构实体。旅游电子商务像一张大网，把众多的旅游供应商、旅游中介、旅游者联系在一起。景区、旅行社、旅游饭店及旅游相关行业，如租车业，可借助同一网站招徕更多的顾客。新兴的“网络旅游公司”即将成为旅游行业的多面手，它们将原来市场分散的利润点集中起来，提高了资源的利用效率。由此可见，旅游市场的规模将因导入电子商务而扩大。(2)有形性。旅游产品具有无形性的特点，旅游者在购买这一产品之前无法亲自了解，只能从别人的经历或介绍中寻求了解。随着信息技术的发展，网络旅游提供了大量的旅游信息和虚拟旅游产品，网络多媒体给旅游产品提供了“身临其境”的展示机会。这种全新的旅游体验，使足不出户畅游天下的梦想成真，并且培养和壮大了潜在的游客群。因此，旅游电子商务使无形的旅游产品慢慢变得“有形”起来。(3)服务性。旅游业是典型的服务性行业，旅游电子商务也以服务为本。据CNNIC 报告，用户选择 Web 服务商(ISP)最主要的因素，第一位是连线速度(占 -3-43)，第二位就是服务质量(占 24)；用户认为一个成功网站须具备的最主要的因素，第一位就是信息量大，更新及时，有吸引人的服务(占 6335)。因此，旅游网站希望具有较高的访问量，能够产生大量的交易，必须提供能在线交易的平台，提供不同特色、多角度、多侧面、多种类、高质量的服务来吸引各种不同类型的消费者。因此，旅游电子商务可简单地理解为电子商务技术在旅游产业中的活动，是一种存在于企业与企业、企业与客户、企业内部部门间的联系网络，贯穿了企业行为的全过程。-4-第二章第二章 需求分析需求分析 互联网的迅猛发展，正在深刻地改变着人类的生产、工作和生活方式，对社会政治、经济和文化生活产生了广泛而深远的影响。在信息社会中，人们的各种观念习惯都在改变，包括人们对新技术。新知识的学习，不在满足于各种条件限制的面授教学，都想充分利用现有的资源，获得较好的商业效果。因此，组建一个旅游电子商务平台越来越受到大众和企业单位的青睐。人们可以利用现有的计算机和越来越普及的互联网网络，不受时间、地域和天气条件等限制，随时随地进行购物。2.1 总体需求总体需求 首先，产品和价格信息最受关注，居民出游前最希望获取的信息主要是旅游核心产品及价格信息，包括旅游目的地与旅游线路、景区、住宿与交通价格的信息，包括食住行游购娱等旅游关联产业的信息和服务质量情况。其次，游客的散客化趋势进一步明晰，居民出游前希望通过参加旅行社或自己组织团队的形式较多，通过单位组织出游的比例相对较低。第三，互联网已成为当前绝大部分居民出游前了解相关信息的最主要渠道，亲朋好友对旅游目的地的评价也是居民出游的重要信息渠道。2.2 网络需求网络需求万径的战略目标就是通过最低成本，最简便的交易，最智能的信息，为客户提供最好的、最个性化的旅行服务，打造中国最大的、最智能的旅行服务市场，让万径旅游成为出行者寻求资讯和帮助的首选，为广大出行者提供完善的、个性化的服务。根据万径旅游的定位于目标，其网站作为旅游休闲度假专业网站，市场定位上以出境旅游为主、国.内旅游为重要补充:在商业模式上依托技术手段，立足标准化产品体系，建立在线预订、在线签约、在线支付平台；并致力于建立一个以万径品牌为依托和保证，具备个性、开放性、全国性的旅游度假产品预订及旅行服务网站。-5-2.3 业务需求业务需求 当前旅游业正步入大众旅游消费的时代，呈现出大众化、散客化和常态化的趋势，旅游活动参与方式从传统旅行社组团旅游为主向以目的地散客自助旅游为主，旅游活动性质也由传统观光旅游向观光与休闲度假并重转变，旅游需求的个性化和多样化趋势愈加明显。从旅游者角度而言，在进行跨国、跨区域旅游时，一个有效、方便、价格低廉、多沟通渠道的，可以实现食、住、行、游、购、娱六个方面信息和服务的旅游综合平台，能帮助他们更好的了解旅游地信息，做出消费决定。此外，游客不仅对天气、地图、外汇、文化差异、签证等信息和服务有需求，还需要获得旅游景点、各类服务设施、及建筑物的布局，以及基于位置的语音导航、导游等服务来满足他们对自助旅游和休闲度假的需求。随着智能手机大规模应用和发展，4G网络和 WIFI 的普及，越来越多的人利用智能终端设备接入互联网，获取丰富的网络服务。目前大部分智能终端设备普遍支持大屏幕触控系统，具.有丰富的交互方式，如手势、语音、体感等，能提供更好的用户体验，同时，这也是人们日常生活中必带物品，是游客在外旅游时连接入网的第-选择。因此，本文提出一种基于新一代信息技术的跨区域旅游信息系统的设计方案，以期推动广西与东盟旅游服务的发展。2.4 功能需求功能需求 对于一家旅游电子商务公司来说，网络系统必需具备有完善的、安全的智能化网络管理功能，其基本需求如下：1.网络设备支持基于端口的虚拟网（VLAN）划分，利用网络管理软件能动态地调整配置 VLAN。使划分的各个虚网之间既能相互共享所需的信息，又能分别独立运作，加强各个虚网之间信息的安全性。这样易于实现网络重组并具备隔离广播风暴的能力，提高网络系统的可靠性，从而提高服务质量；2.具有基于端口的访问控制模式，有效防止外部或内部对某些重要信息点的访问，达到控制信息流向的目的，增强网络的安全性，保障顾客信息安全；3.动态监控登录网络代理用户数，有效及时地防止某些非法访问，提高员工的工作效率；-6-4.对网络故障及时报警，并实现隔离，高网络系统的可靠性，提高服务质量。2.5 性能需求性能需求1.能满足灵活应用的要求；2.除了固定于建筑物内线缆外，所有的接插件都应是模块化的标准件，以方便系统管理和使用；3.系统要有可扩充性，以便将来系统增加时，很容易将设备扩展进去；能实现数据通信，话音通信和图像传递；4.为计算机网络与高速电信网络之间提供接口，以方便平台计算机系统扩展这对城域网的高速通信需求。-7-第三章第三章 系统设计系统设计 3.1 设计原则设计原则 该系统建成后将成为景区票务管理的核心系统，可见安全性尤为重要。系统应该是安全可靠的，必须考虑应用 CA 认证机制及 PKI 公钥体系，建立系统统-一、安全、可靠的电子身份认证和数据加密、数据解密等的功能。系统应使用统一的应用支撑平台、安全支持平台及数据交换平台，三大平台.将构建当前及未来“景区电子商务”各种业务应用的基础。系统应用支撑平台的构建过程中，可将大部分、通用性的应用服务剥离出来。一个通用性的应用支撑平台包括接口设计、交换引擎、.报表定制、报表编辑器、系统管理、系统接口、WEB服务、PKI服务等。技术上，应采用 JAVA 技术及 J2EE 架构，经过多年的发展，JavaInternet 业务系统中得到普遍应用，J2EE技术日趋成熟，J2EE 更是在所有大型的已被公认为是构造企业级核心业务 系统的首选技术。利用基于 SDL、XML、SOAP、UDDI 的 WebService 技术规范，WebService技术规范的使用将改变目前的业务系统的开发模式，大大降低业 务系统开发部署费用。通过使用 WebService，每个部门可以根据这个标准将 自身的业务系统组件化，很方便地在不同的部门之间共享，同时架构跨部门的业务应用，形成 Web 服务。系统采用当今世界最先进、最成熟、最有发展前途的技术，使系统建立在较高的起点上。主机系统、存储设备、应用服务器、数据库产品等选用业界领先和主流的产品。系统建设中我们将采用目前最先进的J2EE体系架构，利用 Java技术实现系统应用的安全、稳定及扩展要求以及开放的跨平台能力和兼容性;实现了操作界面、应用逻辑、业务数据相对独立，使本系统的实施非常方便、灵活、易于扩展;在数据交换与接口的设计上，我们将利用主流先进的 XML 技术，实现应用系统有序的数据交换。由于本系统任何失误都可能造成极其重大的后果。所以整个系统长期可靠的运行，对景区业务和管理工作的正常运转，具有非常重大的意义。因此，准确、不间断的数据传输与存储变得十分重要。为了确保整个系统运行的可靠性，平台 -8-系统应具有强大的容错能力，保证系统 7*24 小时不间断工作。该系统在设计时将结合计算机应用系统及应用支撑平台数据交换接口规范、国家信息数据交换标准、数据交换过程的实际使用需要，为我们的应用打造一个开放的、简易维护、灵活的、易于扩展的、统一的标准数据接口。3.2 总体设计总体设计 为了满足旅游市场的发展要求，探索旅游业务创新的模式，扩大销售渠道，寻求新的利润增长点，网站定位于有地方特色的、个性化的旅游电子商务服务平台。通过建立旅游电子商务网站，旅行社将实现传统经营与现代化经营相结合，建立旅游管理信息系统。通过信息技术满足顾客对个性化产品的需要，提供优质化的服务，以实现旅游产品增值，通过信息化降低成本、增强公司的竞争力。1、网站总体风格为方便海内外及港、澳、台用户，网站的主页提供简体中文、繁体中文及英文版三个版本。网站设计风格结合网民的游览习惯,功能上以大众化方式进行操作。页面设计上采用天蓝色为主色调，以红色、绿色为基调,突出网站的青春活泼，具有旅游艺术潮流的风格。适当添加动态按钮，活动的小图标，优美协调的色彩配以悦耳的背景音乐，将会使浏览者留下深刻的印象。以此来增加网站的访问量。网站 Logo,网站首页主题应表达准确，易理.解与辨析;内容明晰、分类清楚、重点突出、简明扼要。2、内容规划主要栏目有公司简介、新闻中心、旅游线路、景点、酒店、美食、内部网入口等。分栏目发布新闻信息，及时更新旅游信息，并将公司的特色服务栏信息放在首页。开设论坛，界面设计新颖活泼，激发用户参与，提升网站的人气指数。提供完善的后台支持，包括网站的维护、网站流量的统计。3、技术解决方案鉴于公司处在起步阶段，为节约成本，服务器租用采用主机方式。为方便操作，服务器系统选择 Windows 系列产品。网站的开发人员主要是学校的计算机教 -9-授、高 级 工 程 师 等 技 术 人 员。采 用 现 今 网 络 上 最 流 行 的CSS、Flash,Javascript, 等技术进行网站的静态和动态页面设计。、推广从成本角度出发，最先考虑以下几种推广方案。媒体推广，利用“学生创业”的特点，通过媒体报道来推广网站。传单推广，印刷传单，在新生入校或学校开展集体活动时发放;在机场、商场等公共场所发放;在旅游时给游客发放;通过学生、学生家长、游客、市民进行推广。网络推广，发动学生通过 QQ 群、校友录等网络方式进行推广。湖南软件职业学院毕业设计（作业）-10-3.3 拓扑结构拓扑结构 网络系统由多种完成不同功能的网络设备组成，包括路由器、交换机、Internet 接入设备、防火墙等以及各种服务器，如：远程教育服务器、网管服务器（包括网管软件）、主服务器（包括 WWW、E-mail、DNS 等）。校园内部网络采用共享或交换式以太网，通过 DDN、ASDL、ISDNPSTN 等方式，选择中国科研教育网接入到 Internet，校际之间通过国际互联网的方式互相联接。同时采取相应的措施，确保通讯数据的安全、保密。系统运行要安全、可靠、故障小。网络拓扑结构设计的要符合以下几点要求：1.要适应未来网络的扩展和拓扑结构的变化。2.要能为特定的用户组提供访问路径。3.要保证网络能不间断地运行。4.当网络应用增加时，变化的网络结构要能应付相应的带宽要求。5.使用频率较高的应用能够支持网上大多数的用户。6.能合理地分配用户对网内、网外的信息流量。所以，要达到以上这些设计要求，分层的设计功能及星型、树型和交叉型的拓扑结构应给予足够的重视。网络拓扑图如图下 公司共有 2 栋大楼，分别是大楼 1 和大楼 2。其中公司的总部在 1 栋大楼，包含有人事部和财务部，2 栋大楼包含集团的教育和后勤部，服务器组建设在总部所在的 1 栋大楼。公司内网 IP 地址采用 192.168.10.0/24 网段，通过划分四个 VLAN（VLAN10-VLAN40），使得公司的各个部门分属不同的广播域。-11-系统拓扑机构图 3.4 资源规划资源规划 IP 地址规划方案公司一共有 4 个部门，分别是人事部、财务部、销售部、技术部。其中，人事部有 12人，财务部有 6 人，销售部有 32 人，技术部有 10 人。网络 IP 地址分配具体如下表：（1）VLAN 规划 VLAN 号 部门 员工数子网号子网掩码 VLAN 10 人事部12192.168.10.10255.255.255.192 VLAN 20 销售部32192.168.10.64255.255.255.192 VLAN 30 技术部10192.168.10.128255.255.255.192 VLAN 40 财务部6192.168.10.192255.255.255.192（2）路由器间地址 总俱乐部路由器10.10.1.1255.255.255.252 分俱乐部路由器10.10.1.2255.255.255.252（2）网关地址 网关所属网络IP网关子网掩码 VLAN 10192.168.10.62255.255.255.192 VLAN 20192.168.10.126255.255.255.192 VLAN 30192.168.10.190255.255.255.192 -12-VLAN 40192.168.10.222255.255.255.192（4）服务器 IP 地址 IP服务器地址子网掩码 FIP 服务器192.168.20.58225.255.255.224 -13-第四章第四章 系统实现系统实现 4.1 设备选型设备选型 所谓设备选型既是从多种可以满足相同需要的不同型号、规格的设备中，经过技术经济的分析评价，选择最佳方案以做出购买决策。合理选择设备，可使有限的资金发挥最大的经济效益。设备选型应遵循的原则如下：(1)实用性原则：采用成熟的、经实践证明其实用性的技术。这能满足现行业务的管理，又能适应 35 年的业务发展的要求；(2)可靠性原则：设计详细的故障处理及紧急事故处理方案，保证系统运行的稳定性和可靠性；(3)标准性和开放性原则：网络系统的设计符合国际标准和工业标准，采用开放式系统体系结构；(4)安全性原则：系统具有多层次的安全保护措施，可以满足用户身份鉴别、访问控制、数据完整性、可审核性和保密性传输等要求；(5)扩展性原则：在业务不断发展的情况下，路由系统可以不断升级和扩充，并保证系统的稳定运行；(6)性价比：不盲目追求高性能产品，要购买适合自身需求的产品。(7)先进性原则：要求其性能指标保持先进水平，以利提高产品质量和延长其技术寿命。1、PC 电脑选择：惠普（HP280/282 G4 MT 台式）。2、交换机选择：华为 S5700。3、路由器选择：华为 AR2200、防火墙路由器为。4、服务器选择：华为 1288H V5 服务器。4.1.1 交换机选型交换机选型1.交换机（switch）是集线器的换代产品，其作用也是将传输介质的线缆汇聚在一起，以实现计算机的连接。但集线器工作在 OSI 模型的物理层，而交换机工作在 OSI 模型的数据链路层。交换机在网络中的昨天主要表现在以下几个方面：-14-1）提供网络接口2）扩充网络接口 3）扩展网络范围2.交换机分类：可网管交换机和傻瓜交换机：以交换机是否可管理，可以将交换机划分为可网管交换机和傻瓜交换机两种类型。固定端口交换机和模块交换机：以交换机的结构为标准，交换机可分为固定端口交换机和模块交换机两种不得结构。接入层交换机、汇聚层交换机和核心层交换机：以交换机的应用规模为标准，交换机被划分为接入层交换机、汇聚层交换机和核心层交换机。二、三、四层交换机：根据交换机工作在 OSI 七层网络模型的协议层不同，交换机又可以分为第二层交换机、第三层交换机、第四层交换机等。所谓的核心交换机是针对网络架构而言，如果是个几台电脑的小局域网，一个 8 口的小交换机就可以称之为核心交换机！而在网络行业中核心交换机是指有网管功能，吞吐量强大的 2 层或者 3 层交换机，一个超过 100 台电脑的网络,如果想稳定并高速的运行,核心交换机必不可少。模块化结构拥有更强劲的性能、更大的灵活性和可扩充性，可以根据现实或者未来的需要选择不同数量、不同速率和不同接口类型的模块，以适应千变万化的网络需求。4.1.2 防火墙选型防火墙选型 安全设备首要的必然是防火墙。防火墙是一种重要的网络安全设备，是设置在不同网络或不同安全域之间的一道安全屏障，用于网络或安全域之间的安全访问控制。防火墙的目的是保证网络内部数据流的合法性，防止外部非法数据流的侵入，同时管理内部网络用户访问外部网络的权限，并在此前提下将网络中的数据流快速地从一条链路转发到另外的链路上。防火墙对流经它的数据流进行安全访问控制，只有符合防火墙策略的数据才允许通过，不符合策略的数据将被拒绝。防火墙可以关闭不使用的端口，禁止指定端口的通信或来自指定站点的访问。2.防火墙的具体功能主要表现在以下方面：防火墙是网络安全的屏障防火墙可以强化网络安全策略对网络存取和访问进行监控防止内部信息的外泄 -15-VPN 支持3.防火墙的分类：物理特性分类：分为硬件防火墙和软件防火墙以及芯片级防火墙。技术分类：防火墙按其所采用的技术分类可分为包过滤技术防火墙、应用代理技术防火墙、状态监视技术防火墙。结构分类：防火墙按其结构分类可分为单一主机防火墙、路由器集成式防火墙和分布式防火墙。4.2.3 服务器选型服务器选型 服务器是网络中关键设备之一，必须具有高性能全交换、千兆主干，且作冗余备份连接，可以满足大负荷网络运行需求；支持 FTP;DHCP；DNS 等多种网络服务；利用虚拟网络(VLAN)方便管理，提高网络的安全与性能；卓越的多媒体应用系统，满足用户上传、下载等需求；实现业务需求；管理简单，系统安全、保密性高。带宽优化技术，降低链路费用；专线接入 Internet，实现企业园区网内所有用户高速访问广域网。高带宽专线接入大规模企业园区网由于用户多、范围广，因此，对服务器的负荷量要求较高。其间更涉及 2 栋办公大楼、1 间食堂，3 栋宿舍，2 栋车间这些企业园区的办公自动化，且数据传输、系统安全、保密性都比中小型网络结构要求高。因此，服务器不但要性能优越，更要功能齐全。所以与普通的 pc 机不同的是，服务器需要具有如下的特殊要求：较高的稳定性较高的性能较高的扩展性能2.服务器的划分应用层次划分：入门级服务器、工作组级服务器、部门级服务器和企业级服务器。处理器架构划分：CISC 架构服务器 RISC 架构服务器 VLIW 架构服务器。用途划分：通用性服务器、专用性服务器。-16-结构划分：塔式服务器、机架式服务器、刀片式服务器。3.主流服务器IBM System x3550 M2戴尔 R410HP XW4600 工作站华硕 RS520-E6宝德 GS-1000联想万全 T260 G3 服务器 4.2.4 设备标价表设备标价表 4.2 设备配置设备配置 4.2.1 MSTP 配置配置汇聚层与核心层交换机之间运行 MSTP 协议，在防止产生二层环路的同时实现不同 vlan 流量的负载分担。stp instance 1 root primarystp instance 2 root secondary 类型 单价数量总价 PC 3，5007202，520，000 6，交换机000848，000 7，路由器000335，000 10，服务器000110，000 3，510，总价000 -17-stp instance 1 root secondary stp instance 2 root primarystp region-configuration region-name LYinstance 1 vlan 10 20 200instance 2 vlan 30 40 50active region-configuration两核心层交换机之间通过 eth-trunk 增加链路的带宽，达到链路的冗余性。lacp priority 0interface Eth-Trunk1port link-type trunkport trunk allow-pass vlan 2 to 4094mode lacp-staticmax active-linknumber 2trunkport G0/0/5trunkport G0/0/6trunkport G0/0/7interface GigabitEthernet0/0/7eth-trunk 1lacp priority 60000 interface Eth-Trunk1 mode lacp-staticport link-type trunkport trunk allow-pass vlan 2 to 4094trunkport G0/0/5trunkport G0/0/6trunkport G0/0/4各个主机通过核心交换机实现 vlan 间互访。Vlanif10 192.168.1.254/24 up up Vlanif20 192.168.2.254/24 up up Vlanif30 192.168.3.254/24 up up Vlanif40 192.168.4.254/24 up up Vlanif10 192.168.1.253/24 up up -18-Vlanif20 192.168.2.253/24 up up Vlanif30 192.168.3.253/24 up up Vlanif40 192.168.4.253/24 up up Vlanif50 192.168.5.10/24 up up 4.2.2 OSPF 配置配置 核心交换机与各个路由器之间运行 OSPF 协议。vlan batch 100 200interface GigabitEthernet0/0/1port link-type accessport default vlan 100interface Vlanif200ip address 10.1.89.8 255.255.255.0ospf 1 router-id 10.1.1.18silent-interface Vlanif10silent-interface Vlanif20silent-interface Vlanif30silent-interface Vlanif40area 0.0.0.0network 10.1.118.18 0.0.0.0network 10.1.89.8 0.0.0.0network 192.168.0.0 0.0.255.255vlan batch 100 200interface GigabitEthernet0/0/1port link-type accessport default vlan 100interface Vlanif100ip address 10.1.69.19 255.255.255.0interface Vlanif200ip address 10.1.89.9 255.255.255.0ospf 1 router-id 10.1.1.19silent-interface Vlanif10silent-interface Vlanif20 -19-silent-interface Vlanif30silent-interface Vlanif40area 0.0.0.0network 10.1.69.19 0.0.0.0network 10.1.89.9 0.0.0.0network 192.168.0.0 0.0.255.255 Interface IP Address/Mask Physical Protocol GigabitEthernet0/0/0 10.1.12.1/24 up up GigabitEthernet0/0/1 0.1.118.1/24 up up ospf 1 router-id 10.1.1.1 area 0.0.0.0 network 10.1.118.1 0.0.0.0 area 0.0.0.1 network 10.1.12.1 0.0.0.0 interface GigabitEthernet0/0/0ip address 10.1.26.6 255.255.255.0 interface GigabitEthernet0/0/1ip address 10.1.69.6 255.255.255.0 ospf 1 router-id 10.1.6.6 area 0.0.0.0 network 10.1.69.6 0.0.0.0 area 0.0.0.1 network 10.1.26.6 0.0.0.0防火墙：interface GigabitEthernet0/0/0ip address 10.1.12.2 255.255.255.0 interface GigabitEthernet0/0/1ip address 10.1.26.2 255.255.255.0 ospf 1 router-id 10.1.2.2 area 0.0.0.1 network 10.1.12.2 0.0.0.0 network 10.1.26.2 0.0.0.0 -20-除了办公楼、实验楼能够访问 FTP 服务器外，其他均不能访问。interface GigabitEthernet0/0/4port link-type accessport default vlan 60traffic-filter outbound acl 2000acl number 2000rule 5 permit source 192.168.1.0 0.0.0.255rule 10 permit source 192.168.2.0 0.0.0.255rule 15 deny夜晚 00:00 至早上 6 点宿舍楼不允许上网。acl number 2000 rule 5 deny source 192.168.3.0 0.0.0.255 time-range worktime-range work 0:0 to 6:0 working-day interface Serial2/0/0link-protocol pppip address 100.1.1.1 255.255.255.252 traffic-filter outbound acl 2000 4.2.3 PPP4.2.3 PPP 认证配置认证配置 防火墙与运营商网络之间运行 PPP 认证，使用 CHAP 认证类型。interface Serial2/0/0ppp chap user LY ppp chap password simple LY aaalocal-user ly password cipher LYlocal-user ly service-type pppinterface Serial2/0/0link-protocol pppppp authentication-mode chap由于能够申请到的 IPV4 公网地址有限，为保证公司能够访问外网，需要在防火墙配置 NAT 地址转换。ISP：ospf 1 router-id 10.1.2.2 efault-route-advertise alwaysimport-route staticacl number 2001 -21-rule 5 permit interface Serial2/0/0nat outbound 2001 4.2.4 VRRP 配置配置 办公楼与实验楼之间使用 VRRP 协议，实现网关的冗余性。interface Vlanif10ip address 192.168.1.254 255.255.255.0vrrp vrid 10 virtual-ip 192.168.1.10vrrp vrid 10 priority 150vrrp vrid 10 track bfd-session session-name 2 reduced 60#interface Vlanif20ip address 192.168.2.254 255.255.255.0vrrp vrid 20 virtual-ip 192.168.2.10vrrp vrid 20 priority 150vrrp vrid 20 track bfd-session session-name 2 reduced 60#interface Vlanif30ip address 192.168.3.254 255.255.255.0vrrp vrid 30 virtual-ip 192.168.3.10#interface Vlanif40ip address 192.168.4.254 255.255.255.0vrrp vrid 40 virtual-ip 192.168.4.10interface Vlanif10ip address 192.168.1.253 255.255.255.0vrrp vrid 10 virtual-ip 192.168.1.10#interface Vlanif20ip address 192.168.2.253 255.255.255.0vrrp vrid 20 virtual-ip 192.168.2.10#-22-interface Vlanif30ip address 192.168.3.253 255.255.255.0vrrp vrid 30 virtual-ip 192.168.3.10vrrp vrid 30 priority 150vrrp vrid 30 track bfd-session session-name 2 reduced 60#interface Vlanif40ip address 192.168.4.253 255.255.255.0vrrp vrid 40 virtual-ip 192.168.4.10vrrp vrid 40 priority 150vrrp vrid 40 track bfd-session session-name 2 reduced 120 4.2.5BFD 配置配置 使用 BFD 检测上行链路故障，实现网关自动切换。Bfdbfd 1 bind peer-ip 10.1.12.2 source-ip 10.1.12.1 autobfd 2 bind peer-ip 10.1.118.8 source-ip 10.1.118.1 autobfdbfd 1 bind peer-ip 10.1.26.2 source-ip 10.1.26.6 autobfd 2 bind peer-ip 10.1.69.19 source-ip 10.1.69.6 auto -23-第五章第五章 安全与管理安全与管理 5.1 网络安全网络安全 5.1.1 防火墙防火墙 从各个方面预防网络攻击，从而达到必要的网络安全需求。有一下几点：1、物理安全策略：物理安全策略旨在保护计算机系统、网络服务器、打印机和一系列硬件实体，以及通信免受自然灾害或人为损坏的一级网络攻击等。检测用户身份级别权限等，以防止用户超出其权限进行操作。确保计算机系统具有正常的 EMC 工作场所。第二，要建立完整有序的安全管理体系，防止非法进入计算机控制室和各种盗窃行为。防止损坏。2、访问控制策略：访问控制、访问控制、目录级安全控制、信息属性安全控制、网络端口、网络监控、锁定控制和节点安全控制等。3、防火墙防御：防火墙是随着现代社会的快速发展而采取的保护计算机网络信息安全的技术措施。这是阻止黑客访问组织网络的一个障碍。我们也可以称之为控制双向通信的门槛。在网络边界上，通过建立