企業(yè)網(wǎng)絡(luò)規(guī)劃方案設(shè)計與實現(xiàn)-常規(guī)實訓(xùn)報告解讀

.../...常規(guī)實訓(xùn)報告專業(yè)班級:學(xué)號:座號:姓名：目錄1課程設(shè)計的目的及要求21.1設(shè)計目標(biāo)21.2設(shè)計依據(jù)21.2.1可行性分析21.2.2客戶需求分析31.3設(shè)計意義42網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及說明52.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖52.2網(wǎng)絡(luò)拓?fù)湔f明63網(wǎng)絡(luò)解決方案73.1IP地址分配與子網(wǎng)劃分方案74企業(yè)網(wǎng)中設(shè)備主要配置命令84.1接入層交換機(jī)在cisco環(huán)境下的配置84.2匯聚層交換機(jī)在cisco環(huán)境下的配置144.3路由器在cisco環(huán)境下的配置184.4各服務(wù)器在cisco環(huán)境下的配置23配置FTP服務(wù)器23配置DNS服務(wù)器25配置DHCP服務(wù)器27配置WEB服務(wù)器295測試結(jié)果316設(shè)計心得407參考文獻(xiàn)41企業(yè)網(wǎng)絡(luò)規(guī)劃方案設(shè)計與實現(xiàn)摘要在信息技術(shù)迅猛發(fā)展的今天,網(wǎng)絡(luò)技術(shù)已經(jīng)滲透到各行各業(yè),它帶來了大量的新知識、新技術(shù),徹底改變了我們?nèi)粘Ｉ罴肮ぷ鞣绞?。它開闊了人們的眼界,使工作及生活的效率得以提高,網(wǎng)絡(luò)技術(shù)的迅猛普及最終將使我們受益匪淺,使我們以全新的理念及高效率的工作方式迎接新技術(shù)革命的挑戰(zhàn)。本文以網(wǎng)絡(luò)工程設(shè)計與規(guī)劃為題,闡述了如何規(guī)劃與設(shè)計一個大中型網(wǎng)絡(luò)的具體實現(xiàn)步驟,通過網(wǎng)絡(luò)需求收集以及對網(wǎng)絡(luò)層次、拓?fù)?、地址、路由、安全等方面進(jìn)行分析為最終的網(wǎng)絡(luò)設(shè)計方案構(gòu)建提供決策的依據(jù)。關(guān)鍵字：網(wǎng)絡(luò)層次、地址規(guī)劃、安全管理。1課程設(shè)計的目的及要求設(shè)計目標(biāo)將公司網(wǎng)絡(luò)分為三大部分,分別是公司內(nèi)網(wǎng)、信息管理中心、Internet部分。根據(jù)公司的需求,劃分vlan及子網(wǎng)。同時利用VTP技術(shù),實現(xiàn)VLAN信息的同步。公司的所有PC都是通過DHCP服務(wù)器來自動獲取ip及相關(guān)配置信息。DHCP服務(wù)器的IP地址為固定IP。出于安全考慮,除財務(wù)部不允許與其它部門訪問外,其它部門之間要求能夠相互訪問,并且能夠訪問Internet,財務(wù)部和人事部不允許連接到Internet。由于該企業(yè)有上Internet的需求,因此要求網(wǎng)絡(luò)中要部署WEB和DNS服務(wù)器,為了方便企業(yè)內(nèi)部員工資源共享,需要在網(wǎng)絡(luò)中部署FTP服務(wù)器。要求該企業(yè)網(wǎng),能夠?qū)崿F(xiàn)無線網(wǎng)絡(luò)的覆蓋,使得公司的PC可以通過無線接入點(diǎn)〔AP接入公司網(wǎng)絡(luò)。1.2設(shè)計依據(jù)可行性分析企業(yè)網(wǎng)的特點(diǎn)決定了網(wǎng)絡(luò)系統(tǒng)必須要有實用與經(jīng)濟(jì)性。實用性使得網(wǎng)絡(luò)便于管理、維護(hù),以減少網(wǎng)絡(luò)使用人員運(yùn)用網(wǎng)絡(luò)的難度,從而降低人為操作引起的網(wǎng)絡(luò)故障,并使更多的人掌握網(wǎng)絡(luò)的使用。應(yīng)根據(jù)企業(yè)的實際情況,由于企業(yè)的建設(shè)資金有限,所以一般都要求網(wǎng)絡(luò)具有較高的性能和較低的成本,所以在組建企業(yè)網(wǎng)時一定要使用性價比高的網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備,以節(jié)約建設(shè)資金。一個企業(yè)在組建網(wǎng)絡(luò)時,必須根據(jù)自己的實際需要選擇適當(dāng)而又實用的設(shè)備,組建一個能夠完全滿足企業(yè)需要的新型、全面性的網(wǎng)絡(luò),以實現(xiàn)企業(yè)發(fā)展的信息化。那么,如何才能使企業(yè)建網(wǎng)比較經(jīng)濟(jì)呢？當(dāng)然配置設(shè)備是主要的耗資方向。但是,對于設(shè)備的選擇要結(jié)合方案的選擇進(jìn)行。如果沒有適當(dāng)?shù)呐渲梅桨甘沟媒M建的網(wǎng)絡(luò)有更高的性能,而且還不能降低成本,實現(xiàn)經(jīng)濟(jì)性。所以,首先要根據(jù)企業(yè)的資源情況畫出網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖,再根據(jù)拓?fù)浣Y(jié)構(gòu)圖選擇最優(yōu)方案,配備各種網(wǎng)絡(luò)設(shè)備。只有通過綜合分析、考慮才能節(jié)約建設(shè)資金,實現(xiàn)經(jīng)濟(jì)性原則。本企業(yè)網(wǎng)網(wǎng)絡(luò)系統(tǒng)的設(shè)計采用層次化的設(shè)計方法,即核心層、匯聚層和接入層三層結(jié)構(gòu)。對于整個網(wǎng)絡(luò)來說,都是采用樹形結(jié)構(gòu)布線,實現(xiàn)對網(wǎng)絡(luò)的層次化管理,并使用CiscoPacketTracer進(jìn)行模擬測試其可行性?？蛻粜枨蠓治龈鶕?jù)企業(yè)提出需求,進(jìn)行分析,最終將采取以下方案解決企業(yè)需求：申請一個100M的帶寬,以滿足各部門計算機(jī)訪問Internet：申請2個公網(wǎng)IP：一個分配給Internet接入路由器的串行接口,另一個用作NAT；購買一臺路由器一臺核心交換機(jī)和七臺交換機(jī)以實現(xiàn)企業(yè)內(nèi)部各部門之間的網(wǎng)絡(luò)和連接到Internet；將各部門劃分在不同的VLAN；FTP服務(wù)器,WEB服務(wù)器,DNS服務(wù)器分配為一個VLAN下與核心交換機(jī)連接,置于管理機(jī)房,方便管理,同時配置ACL控制各部門訪問權(quán)限；在路由器上配置VPN,以實現(xiàn)出差工作人員及在家辦公人員遠(yuǎn)程訪問企業(yè)內(nèi)部資源及數(shù)據(jù)交換。1.3設(shè)計意義隨著全球經(jīng)濟(jì)一體化和市場經(jīng)濟(jì)、信息時代的快速發(fā)展,世界范圍內(nèi)的各行各業(yè)的發(fā)展越來越離不開辦公自動化和互聯(lián)網(wǎng)技術(shù),特別是國際互聯(lián)網(wǎng)的迅速發(fā)展,使得世界經(jīng)濟(jì)瞬息萬變。同時,網(wǎng)站與上網(wǎng)人數(shù)的急劇增加,也使得人們開發(fā)并利用網(wǎng)絡(luò)資源成為可能,為中國現(xiàn)階段的經(jīng)濟(jì)發(fā)展提供難得的商業(yè)鍥機(jī)。市場競爭日益激烈,為了及時、準(zhǔn)確的獲取第一手信息,提高公司運(yùn)作效率,有效降低公司運(yùn)營成本已經(jīng)越來越被企業(yè)家們所認(rèn)識,企業(yè)家們迫切需要提高公司的競爭力,實現(xiàn)公司信息化,網(wǎng)絡(luò)無疑為他們提供了一個很好的解決手段。因此,企業(yè)必須建立自己的網(wǎng)絡(luò),來滿足這些需求。2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及說明2.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖2.2網(wǎng)絡(luò)拓?fù)湔f明該公司網(wǎng)絡(luò)分為三大部分,分別是公司內(nèi)網(wǎng)、信息管理中心、Internet部分。根據(jù)公司的需求,劃分vlan及子網(wǎng)。同時利用VTP技術(shù),實現(xiàn)VLAN信息的同步?！睼LAN技術(shù),VTP技術(shù)公司的所有PC都是通過DHCP服務(wù)器來自動獲取ip及相關(guān)配置信息。DHCP服務(wù)器的IP地址為固定IP。〔DHCP服務(wù)器配置與DHCP-RELAY除財務(wù)部不允許與其它部門訪問外,其它部門之間要求能夠相互訪問,并且能夠訪問Internet,財務(wù)部和人事部不允許連接到Internet。<NAT,ACL>由于該企業(yè)有上Internet的需求,因此要求網(wǎng)絡(luò)中要部署WEB和DNS服務(wù)器,為了方便企業(yè)內(nèi)部員工資源共享,需要在網(wǎng)絡(luò)中部署FTP服務(wù)器?！瞁EB、WEB、FTP服務(wù)器配置要求該企業(yè)網(wǎng),能夠?qū)崿F(xiàn)無線網(wǎng)絡(luò)的覆蓋,使得公司的PC可以通過無線接入點(diǎn)〔AP接入公司網(wǎng)絡(luò)。優(yōu)化交換機(jī)上的生成樹。〔采用RSTP3網(wǎng)絡(luò)解決方案3.1IP地址分配與子網(wǎng)劃分方案部門名稱VLAN名稱VLANIDIP地址取值范圍VLANSVIip地址研發(fā)部Yanfa1010.2-10.2310.2生產(chǎn)部Shengchan2010.210.2銷售部Xiaoshou30-54客戶部Kehu40-54人事部Renshi50-54財務(wù)部Caiwu60-54信息管理中心Xinguan70-〔靜態(tài)544企業(yè)網(wǎng)中設(shè)備主要配置命令4.1接入層交換機(jī)在cisco環(huán)境下的配置實現(xiàn)功能將各部門PC劃入對應(yīng)vlanVlan信息同步配置命令SW1配置：Switch>enSwitch#conftSwitch<config>#hostSW1SW1<config>#vtpmodeclient//設(shè)置為VTP客戶端SW1<config>#vtpdomainzhouhang//vtp域名為zhouhangSW1<config>#vtppasswordvinhans//vtp密碼為vinhansSW1<config>#intf0/2SW1<config-if>#swmotr//f0/2啟用trunk模式SW1<config-if>#intf0/1SW1<config-if>#swmoacc//f0/1啟用access模式SW1<config-if>#swaccvlan10//將接口f0/2劃入vlan10SW1<config-if>#exitSW1<config>#spanning-treemoderapid-pvst//啟用RSTPSW2配置：Switch>enSwitch#conftSwitch<config>#hostSW2Switch<config>#vtpmodeclientSwitch<config>#vtpdomainzhouhangSwitch<config>#vtppasswordvinhansSwitch<config>#intf0/1SW2<config-if>#swmoaccSW2<config-if>#swaccvlan20SW2<config-if>#intf0/3SW2<config-if>#swmoaccSW2<config-if>#swaccvlan20SW2<config-if>#intf0/24SW2<config-if>#swmotrSW2<config-if>#exitSwitch<config>#spanning-treemoderapid-pvstSW3配置：Switch>enSwitch#conftSwitch<config>#hostSW3SW3<config>#vtpmodeclientSW3<config-if>#vtpdomainzhouhangSW3<config-if>#vtppasswordvinhansSW3<config-if>#intf0/3SW3<config-if>#swmotrSW3<config-if>#intf0/2SW3<config-if>#swmoaccSW3<config-if>#swaccvlan30SW3<config-if>#intf0/4SW3<config-if>#swmoaccSW3<config-if>#swaccvlan30SW3<config-if>#exitSW3<config>#spanning-treemoderapid-pvstSW4配置：Switch>enSwitch#conftSwitch<config>#hostSW4SW4<config>#vtpmodeclientSW4<config>#vtpdomainzhouhangSW4<config>#vtppasswordvinhansSW4<config>#intf0/1SW4<config-if>#swmoaccSW4<config-if>#swaccvlan40SW4<config-if>#intf0/24SW4<config-if>#swmotrSW4<config-if>#exitSW4<config>#spanning-treemoderapid-pvstSW5配置：Switch>enSwitch#conftSwitch<config>#hostSW5SW5<config>#vtpmodeclientSW5<config>#vtpdomainzhouhangSW5<config>#vtppasswordvinhansSW5<config>#intf0/1SW5<config-if>#swmotrSW5<config-if>#intf0/3SW5<config-if>#swmoaccSW5<config-if>#swaccvlan60SW5<config-if>#intf0/2SW5<config-if>#swmoaccSW5<config-if>#swaccvlan60SW5<config-if>#exitSW5<config>#spanning-treemoderapid-pvstSW6配置：Switch>enSwitch#conftSwitch<config>#hostSW6SW6<config>#vtpmodeclientSW6<config>#vtpdomainzhouhangSW6<config>#vtppasswordvinhansSW6<config>#intf0/1SW6<config-if>#swmoaccSW6<config-if>#swaccvlan50SW6<config-if>#intf0/24SW6<config-if>#swmotrSW6<config-if>#exitSW6<config>#spanning-treemoderapid-pvstSW7配置：Switch>enSwitch#conftSwitch<config>#hostSW7SW7<config>#vtpmodeclientSW7<config>#vtpdomainzhouhangSW7<config>#vtppasswordvinhansSW7<config>#intf0/6SW7<config-if>#swmotrSW7<config-if>#intrangef0/1-4SW7<config-if-range>#swmoaccSW7<config-if-range>#swaccvlan70SW7<config-if-range>#exitSW7<config>#spanning-treemoderapid-pvst4.2匯聚層交換機(jī)在cisco環(huán)境下的配置實現(xiàn)功能配置vlan,使各交換機(jī)實現(xiàn)vlan信息同步DHCP中繼代理配置訪問控制列表實現(xiàn)各部門流量控制配置命令L3_SW1配置：Switch>enSwitch#conftSwitch<config>#hostL3_SW1L3_SW1<config>#vtpmodeserver//設(shè)置為VTP服務(wù)端L3_SW1<config>#vtpdomainzhouhangL3_SW1<config>#vtppasswordvinhansL3_SW1<config>#vlan10//創(chuàng)建vlan10L3_SW1<config-vlan>#nameyanfa//將vlan10命名為yanfaL3_SW1<config-vlan>#vlan20L3_SW1<config-vlan>#nameshengchanL3_SW1<config-vlan>#vlan30L3_SW1<config-vlan>#namexiaoshouL3_SW1<config-vlan>#vlan40L3_SW1<config-vlan>#namekehuL3_SW1<config-vlan>#vlan50L3_SW1<config-vlan>#namerenshiL3_SW1<config-vlan>#vlan60L3_SW1<config-vlan>#namecaiwuL3_SW1<config-vlan>#vlan70L3_SW1<config-vlan>#namexinguanL3_SW1<config-vlan>#exitL3_SW1<config>#intrangef0/1-3L3_SW1<config-if-range>#swtrencapdot//選擇dot1q封裝模式L3_SW1<config-if-range>#swmotr//將f0/1到f0/3設(shè)置為trunk模式L3_SW1<config-if-range>#intf0/6L3_SW1<config-if>#swtrencapdotL3_SW1<config-if>#swmotrL3_SW1<config-if>#exitL3_SW1<config>#intvlan10L3_SW1<config-if>#ipadd54//啟用SVI接口,并設(shè)置網(wǎng)關(guān)地址L3_SW1<config-if>#noshL3_SW1<config-if>#iphelper-address//設(shè)置DHCP中繼L3_SW1<config-if>#intvlan20L3_SW1<config-if>#noshL3_SW1<config-if>#intvlan30L3_SW1<config-if>#noshL3_SW1<config-if>#intvlan40L3_SW1<config-if>#noshL3_SW1<config-if>#intvlan50L3_SW1<config-if>#noshL3_SW1<config-if>#intvlan60L3_SW1<config-if>#noshL3_SW1<config-if>#intvlan70L3_SW1<config-if>#noshL3_SW1<config-if>#exitL3_SW1<config>#access-list100denyip5555//設(shè)置擴(kuò)展訪問控制列表100,規(guī)則為拒絕/24網(wǎng)段所有數(shù)據(jù)包去往/24網(wǎng)段L3_SW1<config>#access-list100permitiphost55//設(shè)置擴(kuò)展訪問控制列表100,規(guī)則為允許主機(jī)所有數(shù)據(jù)包去往/24網(wǎng)段。L3_SW1<config>#intvlan60L3_SW1<config-if>#ipaccess-group100out//調(diào)用訪問控制列表100并應(yīng)用在出接口VLAN60的SVI口上L3_SW1<config-if>#exitL3_SW1<config>#intf0/24L3_SW1<config-if>#nosw//f0/24啟用路由功能L3_SW1<config-if>#noshL3_SW1<config-if>#exitL3_SW1<config>#iprouting//啟用路由功能L3_SW1<config>#routeros110//使用ospf動態(tài)路由協(xié)議L3_SW1<config-router>#net55a0//通告/24網(wǎng)段L3_SW1<config-router>#net55a0L3_SW1<config-router>#net55a0L3_SW1<config-router>#net55a0L3_SW1<config-router>#net55a0L3_SW1<config-router>#net55a0L3_SW1<config-router>#net55a0L3_SW1<config-router>#net55a0L3_SW1<config-router>#exitL3_SW1<config>#iproute//寫一條默認(rèn)路由,下一跳ip為L3_SW1<config>#spanning-treemoderapid-pvst4.3路由器在cisco環(huán)境下的配置實現(xiàn)功能實現(xiàn)NAT內(nèi)外網(wǎng)ip轉(zhuǎn)換設(shè)置VPN使得外網(wǎng)PC可以訪問公司內(nèi)網(wǎng)配置命令R1配置：Router>enRouter#conftRouter<config>#hostR1R1<config>#intf0/0R1<config-if>#noshR1<config-if>#ints0/0/0R1<config-if>#clockrate64000R1<config-if>#noshR1<config-if>#exitR1<config>#routeros110R1<config-router>#net55a0R1<config-router>#exitR1<config>#iproutes0/0/0//寫一條默認(rèn)路由,出接口為s0/0/0R1<config>#access-list1permit55//設(shè)置標(biāo)準(zhǔn)訪問控制列表24網(wǎng)段的所有數(shù)據(jù)包R1<config>#intf0/0R1<config-if>#ipnatinside//設(shè)置NAT內(nèi)接口R1<config-if>#ints0/0/0R1<config-if>#ipnatoutside//設(shè)置NAT外接口R1<config-if>#exitR1<config>#ipnatinsidesourcelist1ints0/0/0over//采用多路復(fù)用NAT技術(shù),調(diào)用訪問控制列表1并應(yīng)用到s0/0/0接口R1<config>#aaanew-model//通過配置AAA的方式來定義本地數(shù)據(jù)庫認(rèn)證。R1<config>#aaaauthenticationlogincisco1localR1<config>#aaaauthorizationnetworkcisco2localR1<config>#usernamezhouhangpassword123456R1<config>#cryptoisakmppolicy1R1<config-isakmp>#encryption3des//加密方式為3desR1<config-isakmp>#hashsha//hash算法為shaR1<config-isakmp>#authenticationpre-share//認(rèn)證方式為Pre-SharedKeys<PSK>R1<config-isakmp>#group2//密鑰算法〔Diffie-Hellman為group2R1<config-isakmp>#exitR1<config>#cryptoisakmpclientconfigurationgroupvinhans//用戶組名為vinhansR1<config-isakmp-group>#key654321R1<config-isakmp-group>#poolnet1//地址池名為net1R1<config-isakmp-group>#exitR1<config>#cryptoipsectransform-setccieesp-3desesp-sha-hmac//配置了transform-set為ccie,其中數(shù)據(jù)封裝使用esp加3des加密,并且使用esp結(jié)合sha做hash計算,默認(rèn)的IPsecmode為tunnel。R1<config>#cryptodynamic-mapmap1//動態(tài)加密圖R1<config-crypto-map>#reverse-route//反向路由注入R1<config-crypto-map>#settransform-setccie//調(diào)用的IPsectransform為ccieR1<config-crypto-map>#exitR1<config>#cryptomapezvpnclientconfigurationaddressrespond//如果client是1.x,則不是respond而是initiateR1<config>#cryptomapezvpnclientauthenticationlistcisco1//定義認(rèn)證R1<config>#cryptomapezvpnisakmpauthorizationlistcisco2//定義認(rèn)證查詢IKEqueryingR1<config>#cryptomapezvpn1ipsec-isakmpdynamicmapR1<config>#ints0/0/0R1<config-if>#cryptomapezvpn//將cryptomap關(guān)聯(lián)到外網(wǎng)接口s0/0/0R2配置：Router>enRouter#conftRouter<config>#hostR2R2<config>#ints0/0R2<config-if>#noshR2<config-if>#intf0/0R2<config-if>#nosh4.4各服務(wù)器在cisco環(huán)境下的配置4.4.1配置FTP服務(wù)器4.4.2配置DNS服務(wù)器4.4.3配置DHCP服務(wù)器4.4.4配置WEB服務(wù)器5測試結(jié)果人事部：可以與其他部門及各服務(wù)器通信但不能訪問外網(wǎng)財務(wù)部：只能與本部門和各服務(wù)器間通信,不可訪問外網(wǎng)生產(chǎn)部：可以與其他部