3.1.1 OSPF区域划分天津水利办公广域网运行OSPF路由协议,对现节点OSPF协议中的AREA值设定为1O0。随着更多设备接入,网络扩充,可划分更多区域,根据不同区域的网络特点设定相应的网络环境。达到隔离故障,防止蠕虫病毒及网络设备失效(如端口故障)等对全网的影响作用。并可对外隐蔽网络结构,阻止外部用户通过扫描探测网络的结构。
3.1.2路由器配置内容①核心路由器0SPF配置为:
routerospf100 /启动OFPS协议/
log-adjacency-changes /记录OSPF邻居状态的改变/
redistributestatic /引入静态路由信息/
network192.168..O.O.O.3area100/通告本地连接网段路由信息/
(其他节点互连网段略)
②下属各单位路由器OSPF配置。以cisco2821接入路
由器为例0SPF配置如下:
routerospf1OO
log—adjacency—changes
redistributestatic
network192.168..O.O0.255 area1OO
netw ork192.168..O.O.O.0area 1OO
3.1.3 OSPF路由的实现广域网的连接自动完成OSPF路由学习功能,把整个区域的所有路由自动学习到默认网关上面,完全不需要人工设置路由,达到了路由自动寻找和更新的目的。
配置完成后,键入显示路由命令show Proute,可显示路由表中各路由获取方式:
3.2安全防范措施
在天津水利办公网络系统中,要确保网络设备的安全,保证非授权用户不能访问路由器、交换机或防火墙等关键网络设备。主要采用了以下措施:
3.2.1对网络设备的控制台访问和远程访问都必须在严格的管理和控制之下,提供强认证机制,保证用户口令不在网络中明码传输,并定期更换口令。配置认证服务器,对网络设备的访问进行统一的认证、授权、审计(AAA)。
3.2.2通过对设备的配置,使得只能由某个指定JP地址的网管工作站才能进行网络管理,对路由器或网络设备进行读写操作。
3.3.3根据全网的安全访问控制策略,配置防火墙的过滤规则;访问控制的原则为必须是缺省禁止,即凡是没有被明令允许的访问一律禁止。
3.3.4关闭路由器的源路由功能,以防止通过假冒lP地址和源路由技术侵入内部网;在路由器或交换机上配置静态ARP,以防止假冒lP地址的主机接入内部网。
3.3.5由于拨号网络使用公用的电话交换网,在网络上传输的机密信息存在被窃听、篡改等威胁。针对以上威胁,必须保障用户口令不在网络上以明码形式传输。
3.3.6水利专业网络作为业务系统的内部网络,从路由概念上讲不与公用网络直接互连。
4结语
通过天津水利办公广域网的建设,下属单位与局机关实现了稳定、快速的网上办公、信息传递。并同时满足了未来网络数据、语音和视频等信息业务发展的需求。不仅为今后全局网络系统基础平台建设工作奠定了坚实的基础,而且为实现全局范围内的信息资源共享提供了良好的网络基础环境。