中小企業(yè)網(wǎng)絡(luò)設(shè)計(jì)方案畢業(yè)設(shè)計(jì)方案

第PAGEI頁(yè)共IV頁(yè)摘要互聯(lián)網(wǎng)技術(shù)發(fā)展到現(xiàn)在已經(jīng)相當(dāng)成熟,當(dāng)今互聯(lián)網(wǎng)已經(jīng)成為全世界最大最全的信息中心,越來(lái)越多的人利用互聯(lián)網(wǎng)來(lái)解放他們的生活，他們利用互聯(lián)網(wǎng)來(lái)完成幾乎所有現(xiàn)實(shí)生活中的事物.本設(shè)計(jì)結(jié)合一家中小企業(yè)網(wǎng)絡(luò)的實(shí)際需求,通過對(duì)網(wǎng)絡(luò)架構(gòu)組建方案的設(shè)計(jì)、基于安全的網(wǎng)絡(luò)配置方案設(shè)計(jì)、服務(wù)器架設(shè)方案設(shè)計(jì)、企業(yè)網(wǎng)絡(luò)高級(jí)服務(wù)設(shè)計(jì)等方面的仿真研究，詳盡的探討了對(duì)該網(wǎng)絡(luò)進(jìn)行規(guī)劃設(shè)計(jì)時(shí)遇到的關(guān)鍵性問題,以及網(wǎng)絡(luò)相關(guān)的服務(wù).該設(shè)計(jì)主要包括需求分析、拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)、ＩＰ地址規(guī)劃方案設(shè)計(jì)、服務(wù)器架設(shè)和網(wǎng)絡(luò)安全設(shè)計(jì)等內(nèi)容。論文針對(duì)中小企業(yè)網(wǎng)絡(luò)拓?fù)溥M(jìn)行設(shè)計(jì)和分析,通過CｉｓcoPａcｋetＴracer軟件進(jìn)行網(wǎng)絡(luò)仿真配置和安全設(shè)計(jì),給出了網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)解決方案。關(guān)鍵之：CiscoPacketTrａceｒ；企業(yè)網(wǎng)絡(luò);互聯(lián)網(wǎng)第PAGEII頁(yè)共IV頁(yè)AbstｒａctＴheｄeveｌopmentｏｆIｎternettecｈnｏｌｏgｙisquitematurenow，tｏdａy,theＩnteｒｎethaｓｂecoｍｅtｈｅｗorｌd＇slargｅsｔｉｎfｏrｍatｉoncｅｎtｅｒfoｒtｈewoｒｌｄ,ｍoreａｎｄｍｏｒepｅoplｅuｓetheInｔeｒnettoｔhｅlibeｒａｔｉonoftｈeiｒliｖeｓ,ａndtｈeyuseｔｈｅＩnterｎettｏcompleteaｌmｏstalｌｏｆthｅthingsｉnｒeaｌｌiｆe．Tｈｉｓｄeｓｉgnisbasｅontheａｃｔuaｌdemａnｄoｆasｍａlｌ—miｄdleenterprise,tｈroｕghthｅdesｉgnofwoｒｋinｆｒastｒuctuｒe,thedesignofｓｅｃuｒity—baｓeｄｎeｔworkconｆiguratioｎsoｌｕtion，theｄｅsｉgｎoftｈeｉnfraｓtrｕctｕｒeofseverfarm,theｄesignofadvancｅserｖices,tｏdeeplyｉｎvestｉｇａｔeiｎｔothｅprｏblemｗemeｔ，ａnｄtheｓeｒvｉcerelatｅdｔotｈeｎetworkｄｅｓiｇｎ．Thisdeｓｉｇｎiｓmａｉnｌｙfｏcusｏｎtherequiremｅntanaｌｙsｉｓ,ｔｏpolｏｇyｅｘcogｉｔatiｏｎ,IPaｄdｒeｓsdesign，serverfaｒmanｄｎｅtwｏrkｓecｕriｔydｅsiｇｎ．ThｉsａrticlｅｉｓfｏｃusontｈeａnaｌysisoｆnｅtｗorkｔopoｌogｙdeｓｉgnaｎduｓeｔｈeCisｃｏPaｃkｅtｔrａceｒtobｕildａｓｉmulaｔedinfｒasｔrucｔｕｒeｔｏillustraｔｅwhaｔIhavｅdone.Keyｗoｒds：CiscoPacｋetＴraｃer；Interｎet;EnｔerpriseNetwork目錄ＴO(shè)Ｃ\ｏ”1－3”＼h＼z\uＨＹPERＬINK＼l"＿Tｏc295245200”第一章緒論?PＡGＥＲEF_Toc295245２00\h1ＨYPERＬINK2．１企業(yè)背景?ＰＡGEREＦ＿Toｃ２９5２４5２０2\h2ＨYPERLINＫ\l"＿Toc29５２4５２０3＂2.2應(yīng)用需求 PＡGEREＦ_Toc2９５2452０３＼h２HYPERLIＮK＼l＂_Tｏc２952４5204＂２。2。１帶寬性能需求?PAGERＥF_Ｔoc2９5２45204\h2HＹPＥRLＩＮK\ｌ"_Toc29５245205＂2。２．2穩(wěn)定可靠需求 PAGEREＦ＿Toc2９52４5２０５\ｈ2ＨYPERLＩNK\l”＿Tｏc295245２06”2．2．３服務(wù)質(zhì)量需求?PAＧEREF_Toc２95２452０6\h３ＨYPERLＩNＫ＼ｌ”_Tｏｃ2９５２４５207"2.2．４網(wǎng)絡(luò)安全需求?PＡGＥREF_Tｏc2９5245207\h３ＨＹＰＥRLＩNK＼l"_Toc２９５2４5208"2。2．5應(yīng)用服務(wù)需求?PAGＥREF_Ｔoc29５２45208＼h３HYPERＬＩNK\ｌ”_Toc2９５245２０9"2.３網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)原則?ＰＡGERＥF_Tｏc295２４５２０9＼h3HＹPERLIＮK＼l"_Ｔoｃ２９524５2１0＂第三章網(wǎng)絡(luò)技術(shù)與拓?fù)浣Y(jié)構(gòu)?PAＧＥREＦ_Toｃ2９５2４52１０\h５ＨＹＰERLINＫ＼l＂_Tｏc２9５2４52１1＂3.1網(wǎng)絡(luò)設(shè)計(jì)原則?PAＧＥREF_Ｔoc2９５2４５２11\h５HYPERLINＫ\l＂_Ｔoc2９５2４52１２"3．２網(wǎng)絡(luò)技術(shù)選擇 PAGＥREF_Toc295245212＼h5ＨＹPＥRＬＩNK＼l”_Tｏc２９5２45213＂3.2。１快速以太網(wǎng)?PＡＧＥREF＿Toc2952４52１３\h５HYPERLINK\ｌ"_Toc2９5２45214”３.２．２VLＡN?PAGEＲＥF_Toc295２4５２14\h6HＹPEＲＬINK\ｌ"_Ｔoc２95２４521５＂3。２。3ＤHCP?PＡGEREF_Ｔoc2952４5215\ｈ7HYPERＬIＮK\l＂_Ｔoc2９5２45２16"3.2.4NAT PAＧERＥＦ_Tｏc２９5２4５21６\ｈ8HYＰEＲＬIＮK3.2.5ＡCＬ?PAＧEＲEF＿Toc2９５2４5２1７\ｈ９ＨYPERLIＮK\l”_Ｔoc２9524５2１8"3。3拓?fù)浣Y(jié)構(gòu)圖設(shè)計(jì)?PAGERＥF_Toｃ2９52４５218\h1０HYPＥRLINK＼l"_Toc２95２４5219＂3.3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的規(guī)劃設(shè)計(jì)原則?ＰAGERＥF＿Tｏc2９５2４5２１9\h10HYPERLＩNK\ｌ”＿Toｃ29５2452２0”3.3。2主干網(wǎng)絡(luò)(核心層）設(shè)計(jì)?ＰＡＧEＲEF_Tｏc295２452２０＼h1０ＨYPERLＩＮK＼l"_Ｔoc29524５221”3。３．３分布層/接入層設(shè)計(jì)?PＡGEREF＿Ｔｏc２９5２４5221\h11HYＰEＲＬＩNＫ\l"_Tｏｃ2９５２4５222"3。３．４遠(yuǎn)程接入訪問的規(guī)劃設(shè)計(jì)?PAGEＲＥＦ＿Ｔｏｃ29５2４5222＼h11HYＰERLＩNK＼ｌ＂＿Ｔｏc２95２4522３”3.4拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)圖 PAGEREＦ＿Toｃ295２45223＼h１2HYPEＲLINK＼l”_Ｔoc295２4522４”第四章ＩP地址規(guī)劃網(wǎng)絡(luò)設(shè)備配置?ＰAＧＥＲＥF_Tｏｃ29５2４５２24\h１4HYＰERＬＩＮK\l”_Ｔoc29５２4５2２5”４。1網(wǎng)絡(luò)地址配置?ＰAＧEＲＥF_Toc2９5２45225\h14ＨYPEＲＬINK\l”_Toc2９52452２6＂４.2設(shè)備接口配置?PAGEREF_Toｃ２９５2４5２26\h16HYＰＥRLINＫ\l”_Ｔｏc29５２4５227＂4。3網(wǎng)絡(luò)設(shè)備的配置命令 PAGEＲEF_Tｏc29５2452２7\ｈ18HYPＥＲＬINK＼l＂＿Toｃ２95２4５22８"4。３．１核心交換機(jī)COＲＥ１主要配置命令?PＡＧERＥＦ_Toｃ２9５245２２8\ｈ18ＨYＰＥRLINＫ４。３。２路由器的配置?PＡGEREF_Tｏｃ295２４５2２9\h20HYPERLINK\l＂_Toｃ２９52４5230"4.３。3匯聚層交換機(jī)ＤSW１配置 ＰAＧERＥF_Tｏc２952４５２３0\h２１HYＰＥＲLINK＼l＂_Toc２9５2４5231"4.3.4接入層交換機(jī)MGR配置?ＰAGＥRＥF＿Tｏｃ２952４５２３1＼h22HYPERLＩNＫ＼l"_Ｔoc２952４５232"第五章測(cè)試各設(shè)備的連通性 PAＧＥREF_Ｔoc２952452３2＼h23ＨYPEＲＬINK\ｌ"＿Ｔoc2952４5233＂5.１VLAN間的連通性測(cè)試 ＰAGＥREF_Tｏc２95２452３3\ｈ23HYＰEＲLINＫ＼ｌ”_Toc2９52452３4”5．2設(shè)備的管理?ＰAＧEＲEＦ_Ｔｏc295２4５２34＼ｈ25ＨＹPERLＩNＫ＼l＂＿Toc2952４５２３5＂5．２。1對(duì)核心交換機(jī),匯聚層交換機(jī)的tｅlｎet測(cè)試?ＰＡGEREＦ＿Tｏc29５245235＼h2５ＨYPEＲＬIＮＫ\l”_Ｔｏｃ２95２４5２36＂5。2.2路由器進(jìn)行Ｔeｌnｅt測(cè)試?ＰAGEREF_Ｔoc2９5245２36＼h26ＨYＰＥRLINK\ｌ”＿Tｏｃ29524523７”５．2。3測(cè)試外網(wǎng)的連通性?PAＧEＲEF_Ｔoc2９５24５2３７\h28HＹPＥRLＩＮＫ＼l＂＿Toc29５245238"5.3驗(yàn)證ＮＡT?２952４５23８\h29HYＰＥＲＬINK\l”_Toc２９５245239＂5．４驗(yàn)證ＤＨCP服務(wù)?PAＧERＥＦ_Toc29５2４523９\ｈ3０HＹＰＥRLINK第六章服務(wù)器搭建?PAGEREF_Ｔｏc295２4５240\h３１ＨＹPＥＲLＩNK\l”_Toc295２４５２4１＂6.1DNＳ服務(wù)器配置?ＰＡGＥＲEF_Toc29５245241\h31HYPEＲＬINK\l”_Ｔoc295２4５242"６。2Email服務(wù)器配置 PＡGＥREＦ_Ｔoc2952４5２４２\ｈ３２HYＰERLIＮK＼l"＿Toｃ2952452４3＂6．３ＦTＰ服務(wù)器配置 ＰAGEＲＥF_Toc295２４５２43\h33HＹPＥＲLＩNK\l＂＿Tｏc29５2４524４"6.4ＴＦTP服務(wù)器配置?PAGＥREF_Tｏc29524５2４4＼h35ＨYＰERLIＮＫ\l”_Toc295245２4５＂6。５HTＴP服務(wù)器?PＡＧＥREF＿Toc２9５２452４5＼h３5ＨYPEＲＬＩNK＼ｌ"_Ｔoｃ29５245246”6.6Syｓloｇ服務(wù)器?PAGERＥＦ＿Toc2９５２４5２46\h36ＨYPEＲLＩNK\ｌ"_Toｃ2９524５２4７"第七章企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)?ＰAＧEＲEF_Tｏc29５245２47＼ｈ3７HＹPERLＩNK\ｌ＂＿Ｔoc２９524５２48＂7。1建立企業(yè)網(wǎng)絡(luò)安全?PAGERＥF_Toｃ295245２48＼h37HYPEＲLINＫ＼l＂_Ｔｏｃ29５24524９"7.１。1網(wǎng)絡(luò)設(shè)備 ＰＡＧEREF＿Toc295245２49\h37HYPEＲLINK7。1.２數(shù)據(jù)庫(kù)及應(yīng)用軟件?ＰAGＥRＥＦ＿Ｔｏc2952４5250\h3７ＨＹPＥＲＬINK\l”_Ｔoｃ29５２4５２51＂7。1。3E—mａil系統(tǒng)?PAGERＥF＿Ｔｏｃ295245251＼h３７HＹPＥＲLINK＼l＂_Ｔoc29５２45252”7。１.4Ｗeｂ站點(diǎn) PAＧＥREF＿Toｃ295245252\h38HＹPERLＩNK\l”_Toc２9524５25３＂７。２建立安全體系結(jié)構(gòu) PAGERＥF_Toc295２45253\ｈ38ＨYPERLINK＼l”_Toc2952４５２5４＂7.２.1物理安全?PAGＥREF_Toｃ295245２5４\h38ＨYＰEＲＬIＮＫ\l"_Toc２９5２45２５5”７。2。２操作系統(tǒng)安全?PＡGEREＦ_Toc２952４５255\ｈ38HＹPERLINＫ＼l"_Toｃ295245２56＂7．３使用ＡＣL封堵常見病毒端口?PAGＥREF_Ｔoc2９524５２56\ｈ38HYＰＥＲＬINK\l＂＿Ｔoc29５245２57"7．4封堵p2p端口?PAＧＥREＦ＿Ｔoｃ29５２452５７＼ｈ３9HYＰEＲLINＫ\l"＿Toc２952４525８”總結(jié)?PAGEＲＥF_Ｔｏｃ29５24525８\ｈ41ＨＹPERLINＫ\l”＿Toc29５24525９＂致謝?ＰＡGEＲEF_Toｃ2952４５259＼h4２HYＰERＬＩNK\ｌ"_Ｔoｃ29５２4５2６0”參考文獻(xiàn)?PＡGEＲEF_Tｏc29５2４5２60＼ｈ43HYPEＲLINＫ\l＂＿Toｃ295２45261"附錄部分配置命令?ＰＡGＥREF＿Tｏc295245２6１＼h44第32頁(yè)共49頁(yè)第一章緒論網(wǎng)絡(luò)改變了人們的生活,地球變成了地球村，全世界的人可以隨時(shí)進(jìn)行網(wǎng)絡(luò)交流。信息資源的共享，帶來(lái)社會(huì)生產(chǎn)力空前提高，互聯(lián)網(wǎng)與人們生活越來(lái)越密切，如網(wǎng)上證券期貨交易、遠(yuǎn)程電子視頻會(huì)議、網(wǎng)上購(gòu)物等應(yīng)用使得人們的生活已經(jīng)越來(lái)越離不開網(wǎng)絡(luò)，由此，信息高速公路的建設(shè)變得十分重要。企業(yè)規(guī)模的不斷壯大和業(yè)務(wù)量的不斷增加,原有的工作方式已不能滿足現(xiàn)代企業(yè)的需要，特別是對(duì)突發(fā)事件的處理能力與速度的需求?，F(xiàn)代企業(yè)如果沒有信息技術(shù)的支持，就不能稱之為現(xiàn)代企業(yè)。隨著網(wǎng)絡(luò)技術(shù)的不斷成熟、網(wǎng)絡(luò)產(chǎn)品價(jià)格的不斷下降,以及對(duì)數(shù)據(jù)傳輸和信息交換需求的不斷增加,現(xiàn)在各企業(yè)均正在或已搭建了企業(yè)內(nèi)部局域網(wǎng),因?yàn)?，企業(yè)網(wǎng)絡(luò)的建設(shè)是企業(yè)向信息化發(fā)展的必然選擇。企業(yè)網(wǎng)絡(luò)為企業(yè)的現(xiàn)代化發(fā)展、綜合信息管理和辦公自動(dòng)化等一系列應(yīng)用提供了基礎(chǔ)平臺(tái)。本設(shè)計(jì)結(jié)合中小企業(yè)實(shí)際需求，舉例分析、設(shè)計(jì)、配置、模擬組建了一個(gè)典型的中小企業(yè)網(wǎng)絡(luò)。CｉsｃoＰａcｋetＴracｅｒ是由Ｃisco公司發(fā)布的一個(gè)網(wǎng)絡(luò)仿真工具,使用該工具可以搭建網(wǎng)絡(luò)的模擬環(huán)境，對(duì)網(wǎng)絡(luò)進(jìn)行設(shè)計(jì)、配置、故障排除等。用戶可以在工具的圖形用戶界面上直接使用拖曳方法建立網(wǎng)絡(luò)拓?fù)?，并可提供?shù)據(jù)包在網(wǎng)絡(luò)中行進(jìn)的詳細(xì)處理過程,觀察網(wǎng)絡(luò)實(shí)時(shí)運(yùn)行情況.可以學(xué)習(xí)IOＳ的配置、鍛煉故障排查能力等。目前最新的版本是PacketＴrａcｅr5．3。第二章需求分析本章結(jié)合企業(yè)背景，應(yīng)用需求，安全設(shè)計(jì)原則對(duì)網(wǎng)絡(luò)進(jìn)行詳細(xì)的需求分析２．１企業(yè)背景該企業(yè)是一家生產(chǎn)研發(fā)型企業(yè),主樓是一座四層辦公大樓,辦公大樓后方是一棟較大的生產(chǎn)車間。整個(gè)辦公樓有信息點(diǎn)大概１０0個(gè),企業(yè)中心機(jī)房設(shè)在辦公大樓三樓中間.2．2應(yīng)用需求２．2.1帶寬性能需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強(qiáng)大的性能,以滿足用戶日益增長(zhǎng)的通信需求。隨著計(jì)算機(jī)技術(shù)的高速發(fā)展,基于網(wǎng)絡(luò)的各種應(yīng)用日益增多,今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個(gè)多業(yè)務(wù)承載平臺(tái)。不僅要繼續(xù)承載企業(yè)的辦公自動(dòng)化,Ｗeｂ瀏覽等簡(jiǎn)單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及企業(yè)生產(chǎn)運(yùn)營(yíng)的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù),以及帶寬和時(shí)延都要求很高的ＩP電話、視頻會(huì)議等多媒體業(yè)務(wù)。因此，數(shù)據(jù)流量將大大增加,尤其是對(duì)核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的要求。另外，隨著千兆位端口成本的持續(xù)下降，千兆位到桌面的應(yīng)用會(huì)在不久的將來(lái)成為企業(yè)網(wǎng)的主流。從2００4年全球交換機(jī)市場(chǎng)分析可以看到,增長(zhǎng)最迅速的就是10Gｂps級(jí)別機(jī)箱式交換機(jī),可見，萬(wàn)兆位的大規(guī)模應(yīng)用已經(jīng)真正開始。所以，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)不能再用百兆位到桌面千兆位骨干來(lái)作為建網(wǎng)的標(biāo)準(zhǔn),核心層及骨干層必須具有萬(wàn)兆位級(jí)帶寬和處理性能，才能構(gòu)筑一個(gè)暢通無(wú)阻的＂高品質(zhì)"大型企業(yè)網(wǎng)，從而適應(yīng)網(wǎng)絡(luò)規(guī)模擴(kuò)大，業(yè)務(wù)量日益增長(zhǎng)的需要。2.2。2穩(wěn)定可靠需求現(xiàn)代大型企業(yè)的網(wǎng)絡(luò)應(yīng)具有更全面的可靠性設(shè)計(jì)，以實(shí)現(xiàn)網(wǎng)絡(luò)通信的實(shí)時(shí)暢通,保障企業(yè)生產(chǎn)運(yùn)營(yíng)的正常進(jìn)行.隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計(jì)算機(jī)網(wǎng)絡(luò)上來(lái)，網(wǎng)絡(luò)通信的無(wú)中斷運(yùn)行已經(jīng)成為保證企業(yè)正常生產(chǎn)運(yùn)營(yíng)的關(guān)鍵?，F(xiàn)代大型企業(yè)網(wǎng)絡(luò)在可靠性設(shè)計(jì)方面主要應(yīng)從以下３個(gè)方面考慮。設(shè)備的可靠性設(shè)計(jì)：不僅要考察網(wǎng)絡(luò)設(shè)備是否實(shí)現(xiàn)了關(guān)鍵部件的冗余備份，還要從網(wǎng)絡(luò)設(shè)備整體設(shè)計(jì)架構(gòu)、處理引擎種類等多方面去考察。業(yè)務(wù)的可靠性設(shè)計(jì):網(wǎng)絡(luò)設(shè)備在故障倒換過程中,是否對(duì)業(yè)務(wù)的正常運(yùn)行有影響。鏈路的可靠性設(shè)計(jì):以太網(wǎng)的鏈路安全來(lái)自于多路徑選擇,所以在企業(yè)網(wǎng)絡(luò)建設(shè)時(shí)，要考慮網(wǎng)絡(luò)設(shè)備是否能夠提供有效的鏈路自愈手段，以及快速重路由協(xié)議的支持。2．２.3服務(wù)質(zhì)量需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)需要提供完善的端到端QｏS保障，以滿足企業(yè)網(wǎng)多業(yè)務(wù)承載的需求。大型企業(yè)網(wǎng)絡(luò)承載的業(yè)務(wù)不斷增多,單純的提高帶寬并不能夠有效地保障數(shù)據(jù)交換的暢通無(wú)阻,所以今天的大型企業(yè)網(wǎng)絡(luò)建設(shè)必須要考慮到網(wǎng)絡(luò)應(yīng)能夠智能識(shí)別應(yīng)用事件的緊急和重要程度,如視頻、音頻、數(shù)據(jù)流（MIＳ、ＥRP、ＯA、備份數(shù)據(jù)）。同時(shí)能夠調(diào)度網(wǎng)絡(luò)中的資源，保證重要和緊急業(yè)務(wù)的帶寬、時(shí)延、優(yōu)先級(jí)和無(wú)阻塞的傳送，實(shí)現(xiàn)對(duì)業(yè)務(wù)的合理調(diào)度才是一個(gè)大型企業(yè)網(wǎng)絡(luò)提供"高品質(zhì)"服務(wù)的保障。2.２．4網(wǎng)絡(luò)安全需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案,以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟(jì)損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施主要是通過部署防火墻、IDS、殺毒軟件，以及配合交換機(jī)或路由器的ACL來(lái)實(shí)現(xiàn)對(duì)病毒和黑客攻擊的防御,但實(shí)踐證明這些被動(dòng)的防御措施并不能有效地解決企業(yè)網(wǎng)絡(luò)的安全問題。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運(yùn)營(yíng)的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入控制,病毒報(bào)文識(shí)別到主動(dòng)抑制的一系列安全控制手段,這樣才能有效地保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。2．２.５應(yīng)用服務(wù)需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具備更智能的網(wǎng)絡(luò)管理解決方案,以適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴(kuò)大，維護(hù)工作更加復(fù)雜的需要。當(dāng)前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為”以應(yīng)用為中心”的信息基礎(chǔ)平臺(tái),網(wǎng)絡(luò)管理能力的要求已經(jīng)上升到了業(yè)務(wù)層次,傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管理需求的發(fā)展。比如，網(wǎng)絡(luò)調(diào)試期間最消耗人力與物力的線纜故障定位工作,網(wǎng)絡(luò)運(yùn)行期間對(duì)不同用戶靈活的服務(wù)策略部署、訪問權(quán)限控制、以及網(wǎng)絡(luò)日志審計(jì)和病毒控制能力等方面的管理工作，由于受網(wǎng)絡(luò)設(shè)備功能本身的限制,都還屬于費(fèi)時(shí)、費(fèi)力的任務(wù)。所以現(xiàn)代的大型企業(yè)網(wǎng)絡(luò)迫切需要網(wǎng)絡(luò)設(shè)備具備支撐”以應(yīng)用為中心"的智能網(wǎng)絡(luò)運(yùn)營(yíng)維護(hù)的能力，并能夠有一套智能化的管理軟件，將網(wǎng)絡(luò)管理人員從繁重的工作中解脫出來(lái)。２.3網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)原則雖然任何人都不可能設(shè)計(jì)出絕對(duì)安全和保密的網(wǎng)絡(luò)信息系統(tǒng)，但是,如果在設(shè)計(jì)之初就遵從一些合理的原則,那么相應(yīng)的網(wǎng)絡(luò)系統(tǒng)的安全和保密就會(huì)更加有保障。如果設(shè)計(jì)時(shí)考慮不全面，消極地將安全和保密措施寄托在事后“打補(bǔ)丁”的思路是非常危險(xiǎn)的。從工程技術(shù)角度，應(yīng)遵循的原則如圖２。1所示。圖2．１網(wǎng)絡(luò)安全設(shè)計(jì)原則木桶原則:對(duì)信息均衡、全面地進(jìn)行保護(hù)。整體性原則:進(jìn)行安全防護(hù)、監(jiān)測(cè)和應(yīng)急恢復(fù)。實(shí)用性原則：不影響系統(tǒng)的正常運(yùn)行和合法用戶的操作.等級(jí)性原則：區(qū)分安全層次和安全級(jí)別。動(dòng)態(tài)化原則：安全需要不斷更新.設(shè)計(jì)為本原則：安全設(shè)計(jì)與網(wǎng)絡(luò)設(shè)計(jì)同步進(jìn)行。第三章網(wǎng)絡(luò)技術(shù)與拓?fù)浣Y(jié)構(gòu)本章結(jié)合企業(yè)的需求分析,對(duì)企業(yè)的網(wǎng)絡(luò)架構(gòu)進(jìn)行搭建,并對(duì)該企業(yè)架構(gòu)所用到的技術(shù)進(jìn)行分析,以及對(duì)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)進(jìn)行分析.3。1網(wǎng)絡(luò)設(shè)計(jì)原則實(shí)用性和經(jīng)濟(jì)性:系統(tǒng)建設(shè)應(yīng)始終貫徹面向應(yīng)用,注重實(shí)效的方針,堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則，建設(shè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)。先進(jìn)性和成熟性：系統(tǒng)設(shè)計(jì)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對(duì)成熟。不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿?，能保證在未來(lái)若干年內(nèi)企業(yè)網(wǎng)絡(luò)仍占領(lǐng)先地位?？煽啃院头€(wěn)定性：在考慮技術(shù)先進(jìn)性和開放性的同時(shí),還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及維修能力等方面著手,確保系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性,達(dá)到最大的平均無(wú)故障時(shí)間。安全性和保密性:在系統(tǒng)設(shè)計(jì)中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制.可擴(kuò)展性和易維護(hù)性:為了適應(yīng)系統(tǒng)變化的要求，必須充分考慮以最簡(jiǎn)便的方法、最低的投資,實(shí)現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)，采用可網(wǎng)管產(chǎn)品,降低了人力資源的費(fèi)用，提高網(wǎng)絡(luò)的易用性。3．2網(wǎng)絡(luò)技術(shù)選擇網(wǎng)路技術(shù)的選擇對(duì)影響網(wǎng)絡(luò)性能，網(wǎng)絡(luò)的維護(hù)，網(wǎng)絡(luò)的安全指數(shù)有著重大的聯(lián)系,因此對(duì)網(wǎng)絡(luò)技術(shù)的選擇必須高度重視.3．2．1快速以太網(wǎng)以太網(wǎng)(Ｅthernｅt)是一種計(jì)算機(jī)局域網(wǎng)組網(wǎng)技術(shù)。IEEE制定的IＥEＥ８0２。3標(biāo)準(zhǔn)給出了以太網(wǎng)的技術(shù)標(biāo)準(zhǔn).它規(guī)定了包括物理層的連線、電信號(hào)和介質(zhì)訪問層協(xié)議的內(nèi)容.以太網(wǎng)是當(dāng)前應(yīng)用最普遍的局域網(wǎng)技術(shù).它很大程度上取代了其他局域網(wǎng)標(biāo)準(zhǔn),如令牌環(huán)網(wǎng)(tokｅnｒing）、ＦDDI和ARCNＥT。以太網(wǎng)的標(biāo)準(zhǔn)拓?fù)浣Y(jié)構(gòu)為總線型拓?fù)?，但目前的快速以太網(wǎng)（1０0BＡSE—T、100０BASE－T標(biāo)準(zhǔn)）為了最大程度的減少?zèng)_突，最大程度的提高網(wǎng)絡(luò)速度和使用效率，使用交換機(jī)(Sｗiｔchhｕb）來(lái)進(jìn)行網(wǎng)絡(luò)連接和組織，這樣，以太網(wǎng)的拓?fù)浣Y(jié)構(gòu)就成了星型,但在邏輯上，以太網(wǎng)仍然使用總線型拓?fù)浜虲SMA/ＣＤ（CarrｉｅｒＳeｎｓｅＭultipｌeＡｃcesｓ/CｏllisｉonＤeｔect即帶沖突檢測(cè)的載波監(jiān)聽多路訪問）的總線爭(zhēng)用技術(shù)?？焖僖蕴W(wǎng)是世界上應(yīng)用最廣泛的組網(wǎng)技術(shù),其強(qiáng)大的靈活性，簡(jiǎn)便性，傳輸介質(zhì)的多樣性，拓?fù)浣Y(jié)構(gòu)的靈活性，符合中小企業(yè)的設(shè)計(jì)要求以太網(wǎng)基于網(wǎng)絡(luò)上無(wú)線電系統(tǒng)多個(gè)節(jié)點(diǎn)發(fā)送信息的想法實(shí)現(xiàn)，每個(gè)節(jié)點(diǎn)必須取得電纜或者信道的才能傳送信息，有時(shí)也叫做以太(Eｔhｅr）.（這個(gè)名字來(lái)源于19世紀(jì)的物理學(xué)家假設(shè)的電磁輻射媒體—光以太。后來(lái)的研究證明光以太不存在.)每一個(gè)節(jié)點(diǎn)有全球唯一的４８位地址也就是制造商分配給網(wǎng)卡的MＡＣ地址,以保證以太網(wǎng)上所有系統(tǒng)能互相鑒別。由于以太網(wǎng)十分普遍,許多制造商把以太網(wǎng)卡直接集成進(jìn)計(jì)算機(jī)主板。3。2.2VLＡN為實(shí)現(xiàn)交換機(jī)以太網(wǎng)路的廣播隔離,一種理想的解決方案就是采用虛擬局域網(wǎng)技術(shù)。這種對(duì)連接到第2層交換機(jī)端口的網(wǎng)絡(luò)使用者的邏輯分段技術(shù)實(shí)現(xiàn)非常靈活，它可以不受使用者物理位置限制，根據(jù)使用者需求進(jìn)行ＶＬＡN劃分；可在一個(gè)交換機(jī)上實(shí)現(xiàn)，也可跨交換機(jī)實(shí)現(xiàn)；可以根據(jù)網(wǎng)絡(luò)使用者的位置、作用、部門或根據(jù)使用的應(yīng)用程序、上層協(xié)議或者以太網(wǎng)路連接硬件地址來(lái)進(jìn)行劃分.一個(gè)VLAN相當(dāng)于OＳＩ模型第2層的廣播域,它能將廣播控制在一個(gè)VLＡN內(nèi)部。而不同VＬＡＮ之間或VLAN與ＬAＮ/WＡN的數(shù)據(jù)通訊必須通過第３層（網(wǎng)絡(luò)層）完成。否則,即便是同一交換機(jī)上的連接，假如它們不處于同一個(gè)VLＡN，正常情況下也無(wú)法進(jìn)行數(shù)據(jù)通訊為了解決資訊安全議題，1９95年IEEＥ802委員會(huì)發(fā)表了802．1ＱVLＡN技術(shù)的實(shí)作標(biāo)準(zhǔn)與訊框結(jié)構(gòu)，希望能透過設(shè)定邏輯位址（TPID、TCＩ),對(duì)實(shí)體局域網(wǎng)區(qū)隔成獨(dú)立虛擬網(wǎng)段,以規(guī)范封包廣播時(shí)的最大范圍。如下圖，VLAＮ解決了物理位置的限制圖3．１ＶＬＡＮ示意圖VLＡN的標(biāo)準(zhǔn)有兩種，Ciscｏ公司的ＩＳL，以及IEEE8０2.1Q由于后者是國(guó)際化標(biāo)準(zhǔn)，而且其傳輸效率更高，所以更適合網(wǎng)絡(luò)需求。使用VLAN的好處有以下幾點(diǎn)：廣播風(fēng)暴防范：限制網(wǎng)絡(luò)上的廣播，在一個(gè)VＬＡN中的廣播不會(huì)送到VLAN之外。同樣,相鄰的端口不會(huì)收到其他VLＡＮ產(chǎn)生的廣播。這樣可以減少?gòu)V播流量,釋放帶寬給用戶應(yīng)用，減少?gòu)V播的產(chǎn)生。安全：不同VＬAＮ內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè)VLAＮ內(nèi)的用戶不能和其它VＬAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備.成本降低:成本高昂的網(wǎng)絡(luò)升級(jí)需求減少，現(xiàn)有帶寬和上行鏈路的利用率更高,因此可節(jié)約成本。性能提高：將第二層平面網(wǎng)絡(luò)劃分為多個(gè)邏輯工作組（廣播域)可以減少網(wǎng)絡(luò)上不必要的流量并提高性能.另外使用ＶLＡＮ還可以提高ＩT員工效率，簡(jiǎn)化項(xiàng)目管理或應(yīng)用管理,增加了網(wǎng)絡(luò)連接的靈活性等優(yōu)點(diǎn)。3.２。３DHＣP某些的主機(jī)不需要靜態(tài)的IＰ，因?yàn)槠洳⒎怯谰玫氖褂迷摰刂罚?dāng)主機(jī)離開網(wǎng)絡(luò)，就得釋放這個(gè)IP地址，以給其它工作站使用,動(dòng)態(tài)分配顯然更加靈活。DHＣP是目前應(yīng)用最為廣泛的為網(wǎng)絡(luò)主機(jī)分配ＩP地址的方式之一.DHCＰ允許ＤHCP客戶端從DHCP服務(wù)器獲取ＩＰ地址，子網(wǎng)掩碼,默認(rèn)網(wǎng)關(guān)ＩP地址，ＤＮS服務(wù)器IP地址以及其他IP地址類型信息.DHCP工作原理如圖圖３．2ＤHＣP的工作原理第一步：由于DHCP客戶端初始啟動(dòng)時(shí)沒有IＰ地址,默認(rèn)網(wǎng)關(guān)或這類配置信息，因而DＨCＰ客戶端初始啟動(dòng)后通過發(fā)送目的地為２５5．255。2５5.２５5的廣播消息(DＨCPdiscoｖｅry）來(lái)試圖發(fā)現(xiàn)DＨＣＰ服務(wù)器。第二步：DHＣP服務(wù)器接收到ＤHCＰdisｃoｖｅｒy消息后，響應(yīng)以DHCPoffer消息。由于DHＣPdｉｓｃovｅrｙ消息是以廣播方式向外發(fā)送的，因而可能會(huì)有多個(gè)DHCP服務(wù)器響應(yīng)發(fā)現(xiàn)請(qǐng)求,不過客戶端通常會(huì)選擇其接收到的第一個(gè)DＨＣＰoffｅｒ消息的服務(wù)器作為ＤＨCP服務(wù)器。第三步：DHCP客戶端通過發(fā)送DHＣPrｅｑｕest消息與選定的服務(wù)器進(jìn)行通信,讓DＨCP服務(wù)器提供IP配置參數(shù)。第四步：最后,DHCP服務(wù)器以DHCPACＫ消息響應(yīng)客戶端，DHCPＡＣＫ消息包含了響應(yīng)的IP配置參數(shù)。3。2。４ＮAT在計(jì)算機(jī)網(wǎng)絡(luò)中,網(wǎng)絡(luò)地址轉(zhuǎn)換（NetwoｒkAddressTｒanｓlaｔｉon或簡(jiǎn)稱NAT，也叫做網(wǎng)絡(luò)掩蔽或者IＰ掩蔽)是一種在ＩP數(shù)據(jù)包通過路由器或防火墻時(shí)重寫源IＰ地址或/和目的IＰ地址的技術(shù).這種技術(shù)被普遍使用在有多臺(tái)主機(jī)但只通過一個(gè)公有IP地址訪問因特網(wǎng)的私有網(wǎng)絡(luò)中。目前人們普遍認(rèn)為NAT完美的解決了IP地址不足的問題，的確,他真的是一樣很有用的工具，可以說沒有NＡT，我們的網(wǎng)絡(luò)不會(huì)得到如此迅速的發(fā)展.但NAT也讓主機(jī)之間的通信變得復(fù)雜，導(dǎo)致通信效率的降低。NAT優(yōu)點(diǎn):節(jié)約合法注冊(cè)地址，減少地址重疊出現(xiàn)，增加鏈接Ｉｎｔｅrｎｅt的靈活性，網(wǎng)絡(luò)變更時(shí)避免地址的重新分配。NAＴ缺點(diǎn):地址轉(zhuǎn)換產(chǎn)生交換延遲,無(wú)法進(jìn)行端到端的IP跟蹤，某些應(yīng)用程序無(wú)法實(shí)現(xiàn)在ＮAT的網(wǎng)絡(luò)中運(yùn)行。NＡT運(yùn)行示例：在下圖中主機(jī)１0．１。1。1發(fā)送一個(gè)外出數(shù)據(jù)包到配置了ＮAＴ的邊界路由器,邊界路由器識(shí)別出此IP地址為內(nèi)部IP地址，目標(biāo)是外部網(wǎng)絡(luò)，他要轉(zhuǎn)換內(nèi)部本地IP地址，并把轉(zhuǎn)換結(jié)果記錄到NAT表中，這個(gè)數(shù)據(jù)包使用轉(zhuǎn)換后的新的源地址被發(fā)送到外部接口，外部主機(jī)返回此包到目標(biāo)主機(jī),NAT路由使用ＮAT表轉(zhuǎn)換內(nèi)部全局IP地址為內(nèi)部IＰ地址,整個(gè)過程基本就是這樣。下圖是基本的ＮＡＴ工作原理示意圖圖３。3NAＴ工作原理示意圖3．2.５A(chǔ)ＣL內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求,但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來(lái)保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源,從而達(dá)到對(duì)訪問進(jìn)行控制的目的。簡(jiǎn)而言之,ACL可以過濾網(wǎng)絡(luò)中的流量，控制訪問的一種網(wǎng)絡(luò)技術(shù)手段.ＡCＬ可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如,ＡＣL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級(jí).ＡCL提供對(duì)通信流量的控制手段。例如,ACL可以限定或簡(jiǎn)化路由更新信息的長(zhǎng)度,從而限制通過路由器某一網(wǎng)段的通信流量。ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。ACL允許主機(jī)A訪問人力資源網(wǎng)絡(luò)，而拒絕主機(jī)B訪問.AＣL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞.例如，用戶可以允許Ｅ-mａil通信流量被路由，拒絕所有的Tｅｌnet通信流量。例如：某部門要求只能使用WWW這個(gè)功能，就可以通過ＡCＬ實(shí)現(xiàn);又例如,為了某部門的保密性，不允許其訪問外網(wǎng),也不允許外網(wǎng)訪問它,就可以通過ACL實(shí)現(xiàn)。訪問控制列表的工作示意圖數(shù)據(jù)包進(jìn)入接口數(shù)據(jù)包進(jìn)入接口允許通過是否設(shè)置了ACL與ACL對(duì)比是否匹配有沒有更多的ACL?與下一條ACL對(duì)比丟棄圖３.4ACＬ工作示意圖3。3拓?fù)浣Y(jié)構(gòu)圖設(shè)計(jì)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行效率，技術(shù)性能發(fā)揮,可靠性與費(fèi)用等方面都有著中重要的影響。確立為網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是整個(gè)網(wǎng)絡(luò)系統(tǒng)方案的規(guī)劃設(shè)計(jì)的基礎(chǔ).拓?fù)浣Y(jié)構(gòu)的選擇和地理環(huán)境的分布，傳輸介質(zhì)，介質(zhì)訪問控制方法,甚至網(wǎng)絡(luò)設(shè)備選型等因素緊密相關(guān).3.3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的規(guī)劃設(shè)計(jì)原則構(gòu)成局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)有很多種，最常見到的有總線拓?fù)?、星型拓?fù)洹h(huán)型拓?fù)浼案鞣N混合性拓?fù)涞?。采用不同的網(wǎng)絡(luò)控制策略（即網(wǎng)絡(luò)數(shù)據(jù)的傳輸與通信的有關(guān)協(xié)議和控制方法)，所有使用的網(wǎng)絡(luò)連接設(shè)備也不一樣。因此，無(wú)論在網(wǎng)絡(luò)的規(guī)劃或設(shè)計(jì)時(shí)都必須首先決定將采用那一種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，選擇合適的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)非常重要的。也就是說，選擇網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)的第一步.中小企業(yè)在選擇網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的時(shí)候，應(yīng)從經(jīng)濟(jì)性、靈活性和擴(kuò)展性好、可靠性、易于管理和維護(hù)幾個(gè)方面著重入手.在現(xiàn)在企業(yè)中經(jīng)濟(jì)效益都是首要考慮的，在建設(shè)網(wǎng)絡(luò)投資的同時(shí)就考慮到經(jīng)濟(jì)效益的回報(bào)。拓?fù)浣Y(jié)構(gòu)的選擇直接決定了網(wǎng)絡(luò)安裝和維護(hù)的費(fèi)用。因?yàn)?拓?fù)浣Y(jié)構(gòu)的選擇與傳輸介質(zhì)的選擇、傳輸距離的長(zhǎng)短及所需網(wǎng)絡(luò)的連接設(shè)備密切相關(guān)。靈活性和擴(kuò)展性也是選擇網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時(shí)應(yīng)充分重視的問題。任何一個(gè)網(wǎng)絡(luò)都不能一勞永逸的，隨著用戶的增加,應(yīng)用的深入和擴(kuò)大，網(wǎng)絡(luò)新技術(shù)的不斷涌現(xiàn),特別是應(yīng)用方式和要求的改變，網(wǎng)絡(luò)經(jīng)常需要加以調(diào)整。然而，網(wǎng)絡(luò)的可調(diào)性與靈活性，以及可擴(kuò)展性與建立網(wǎng)絡(luò)時(shí)拓?fù)浣Y(jié)構(gòu)直接相關(guān)。網(wǎng)絡(luò)的可靠性是任何一個(gè)網(wǎng)絡(luò)的生命。當(dāng)網(wǎng)絡(luò)總的某個(gè)節(jié)點(diǎn)或站點(diǎn)發(fā)生問題的時(shí)候時(shí),網(wǎng)絡(luò)不能正常工作。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的選擇還直接決定網(wǎng)絡(luò)故障檢測(cè)和故障隔離的方便性?？傊?中小企業(yè)網(wǎng)拓?fù)浣Y(jié)構(gòu)的選擇，需要考慮的因素很多,這些因素同時(shí)影響網(wǎng)絡(luò)的運(yùn)行速度和網(wǎng)絡(luò)軟硬件接口的復(fù)雜程度等等。3。3．2主干網(wǎng)絡(luò)（核心層)設(shè)計(jì)主干網(wǎng)絡(luò)技術(shù)的選擇,需根據(jù)需求分析中地理距離、信息流量個(gè)數(shù)據(jù)負(fù)載的輕重而定.一般而言,主干網(wǎng)一般用來(lái)連接建筑群和服務(wù)器群,可能會(huì)容納網(wǎng)絡(luò)上的4０%-６0％的信息流，是網(wǎng)絡(luò)的大動(dòng)脈。連接建筑群的主干網(wǎng)一般以光纖作為傳輸介質(zhì),典型的主干網(wǎng)技術(shù)主要有千兆以太網(wǎng)、ATM和FＤDＩ等。根據(jù)中小企業(yè)的需求和中小企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的規(guī)劃設(shè)計(jì)原則等角度來(lái)考慮，采用千兆以太網(wǎng)是中小企業(yè)比較理想的做法。ＦDDI基本已屬于昨天的技術(shù)，支持它的廠商越來(lái)越少。AＴＭ是面向連接的網(wǎng)絡(luò)，能保證一些突出負(fù)載在網(wǎng)上傳輸，但由于ATM在企業(yè)局域網(wǎng)的所有應(yīng)用需要ＥLAN仿真來(lái)實(shí)現(xiàn),不僅技術(shù)難度大,且?guī)捫实?已證明不適合做企業(yè)網(wǎng)絡(luò),但如果單建網(wǎng)單位對(duì)實(shí)時(shí)傳輸要求極高,也可以考慮選用。根據(jù)中小企業(yè)的建網(wǎng)規(guī)模，對(duì)經(jīng)費(fèi)比較緊張的企業(yè),可以采用100BASE—FX,即用光傳輸介質(zhì)上快速以太網(wǎng)。端口價(jià)格低,對(duì)光纜要求不高。是一種非常經(jīng)濟(jì)的選擇。主干網(wǎng)的焦點(diǎn)是核心交換機(jī)（或路由器).如果考慮提供較高的可用性，而且經(jīng)費(fèi)允許，主干網(wǎng)可采用雙星（樹）結(jié)構(gòu)，即采用兩臺(tái)同樣的交換機(jī)，與接入層／分布層交換機(jī)分別連接。雙星結(jié)構(gòu)解決了單點(diǎn)故障失效問題，不僅抗毀性強(qiáng),而且通過采用較新的鏈路聚合技術(shù)，例如快速以太網(wǎng)的FＥC、千兆以太網(wǎng)的ＧＥＣ等技術(shù)，則可以通過允許每條冗余連接鏈路實(shí)現(xiàn)負(fù)載分擔(dān)。千兆以太網(wǎng)一般采用光纜作為傳世介質(zhì)。多種波長(zhǎng)的單模和多模光纖分別用于不同的場(chǎng)合和距離。由于企業(yè)建筑群布線路徑復(fù)雜的特殊性，一般直線距離超過300M的建筑群之間的千兆以太網(wǎng)線路就必須要用單模光纖。單模光纖本身不貴,昂貴的是光端口及組件。在企業(yè)中,經(jīng)常會(huì)根據(jù)需要對(duì)骨干網(wǎng)及核心交換機(jī)改善設(shè)計(jì)或?qū)εf網(wǎng)經(jīng)行升級(jí)改造的技術(shù)，如:ＦEC/GEＣ（快速以太網(wǎng)/千兆以太網(wǎng)鏈路聚合技術(shù)）、ＣGMＰ（分組管理協(xié)議）、ＧＢIＣ(千兆位集成電路)、HSRP（熱等待路由協(xié)議）。3.3。３分布層／接入層設(shè)計(jì)中小企業(yè)網(wǎng)絡(luò)中分布層的存在與否，取決于外圍網(wǎng)采用的擴(kuò)充互聯(lián)方法。當(dāng)建筑物內(nèi)信息點(diǎn)較多（如，22０個(gè)）超出一臺(tái)交換機(jī)所容納的端口密度，而不得不增加交換機(jī)擴(kuò)充端口密度時(shí)，如果采用級(jí)聯(lián)方式,即將一組固定端口交換機(jī)上聯(lián)到一臺(tái)背板寬帶和性能較好的二級(jí)交換機(jī)上，再由二級(jí)交換機(jī)上聯(lián)到主干；如果采用多個(gè)并行交換機(jī)堆疊方式擴(kuò)充端口密度，其中一臺(tái)交換機(jī)上聯(lián)，則網(wǎng)絡(luò)中就有接入層,沒有分布層。要不要分布層，采用級(jí)連還是堆疊，要看網(wǎng)絡(luò)信息流的特點(diǎn)，堆疊體內(nèi)能夠有充足的寬帶保證,適合本地（樓宇內(nèi)）信息流密集、全局信息負(fù)載相對(duì)較輕的情況；級(jí)連適宜于全網(wǎng)信息流較平均的場(chǎng)合，且分布層交換機(jī)大都具有組播和初級(jí)QｏＳ(服務(wù)質(zhì)量）管理能力,適合處理一些突發(fā)的重負(fù)載（如VOD視頻點(diǎn)播),但增加分布層的同時(shí)也會(huì)使成本提高.分布層/接入層一般采用100BASＥ-Ｔ(X)快速(交換式）以太網(wǎng),采用10／10０Mbｉｔ/ｓ自動(dòng)適宜傳輸速率到桌面計(jì)算機(jī)。傳輸介質(zhì)則基本上是雙絞線。接入層交換機(jī)可選擇的產(chǎn)品很多，但是一定要注意接入層交換機(jī)必須支持１~2個(gè)光端口模塊，必須支持堆疊,如果主干網(wǎng)為千兆以太網(wǎng),接入層交換機(jī)還必須支持ＧBＥ模塊。３．３。４遠(yuǎn)程接入訪問的規(guī)劃設(shè)計(jì)在企業(yè)中,由于布線系統(tǒng)費(fèi)用與實(shí)現(xiàn)上的限制，對(duì)于零散的遠(yuǎn)程用戶接入，利用PSTM市話網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程撥號(hào)訪問幾乎是唯一的經(jīng)濟(jì)、簡(jiǎn)便的選擇。遠(yuǎn)程撥號(hào)訪問需要規(guī)劃遠(yuǎn)程訪問服務(wù)器和Modｅｍ設(shè)備，并申請(qǐng)一組中繼線（企業(yè)內(nèi)部有PABＸ電話交換機(jī)則最好）。由于整個(gè)網(wǎng)絡(luò)中惟一的窄寬設(shè)備,這一部分在未來(lái)的網(wǎng)絡(luò)中可能會(huì)逐步減少使用。遠(yuǎn)程訪問服務(wù)器（ＲAＳ)和Moｄem組的端口數(shù)目一一對(duì)應(yīng),一般按一個(gè)端口支持20個(gè)用戶計(jì)算來(lái)配置。3。4拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)圖在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的方案設(shè)定后,進(jìn)一步具體化的時(shí)候就需要考慮網(wǎng)絡(luò)結(jié)點(diǎn)的規(guī)模設(shè)計(jì),理論上采用排對(duì)論等數(shù)學(xué)工具進(jìn)行設(shè)計(jì)，但是實(shí)際中往往采用類比法。中小企業(yè)網(wǎng)絡(luò)拓?fù)湟?guī)劃設(shè)計(jì)中根據(jù)主干網(wǎng)拓?fù)浣Y(jié)構(gòu),確定分組交換結(jié)點(diǎn)位置、設(shè)備、結(jié)點(diǎn)間傳輸介質(zhì)，包括網(wǎng)絡(luò)協(xié)議，確定結(jié)點(diǎn)間實(shí)現(xiàn)的協(xié)議、結(jié)點(diǎn)數(shù)目、數(shù)據(jù)流量和傳輸速率.在設(shè)計(jì)中要充分考慮到網(wǎng)絡(luò)管理的需要，在結(jié)點(diǎn)中加載符合國(guó)際標(biāo)準(zhǔn)的網(wǎng)管模塊，以實(shí)現(xiàn)對(duì)全網(wǎng)的監(jiān)視和動(dòng)態(tài)檢測(cè).本設(shè)計(jì)由模擬器所實(shí)現(xiàn)，由于模擬器能實(shí)現(xiàn)的設(shè)備只有少數(shù),但其都具有較好的代表性,這里交換機(jī)統(tǒng)一選擇2960－24ＴT,三層交換機(jī)先用３650—24PS，出口路由選擇2811，IＳP路由選擇1841．這里,設(shè)備型號(hào)并不是本設(shè)計(jì)所關(guān)心的.本設(shè)計(jì)使用３層拓?fù)浣Y(jié)構(gòu)設(shè)計(jì),其中包括接入層，匯聚層，核心層。核心層與匯聚層拓?fù)浣Y(jié)構(gòu)如下圖3。5核心層與匯聚層拓?fù)浣Y(jié)構(gòu)示意圖如上圖所示，核心交換機(jī)之間使用了兩條鏈路的連接，比采用ｔunnｅl技術(shù)，其目的是為了應(yīng)付核心與核心之間的高速通信,匯聚層的交換機(jī)與核心層的兩個(gè)交換機(jī)都有鏈路連接,目的是為了保障企業(yè)網(wǎng)絡(luò)具有更高的可靠性。每個(gè)核心交換機(jī)與出口路由器連接,并可以對(duì)IＳP進(jìn)行訪問。雙核心交換機(jī)的設(shè)計(jì)使得企業(yè)網(wǎng)絡(luò)的可靠性更高,容錯(cuò)性更強(qiáng)。匯聚層與接入層之間的連接如下圖所示圖３.6匯聚層與接入層的拓?fù)浣Y(jié)構(gòu)示意圖為了實(shí)現(xiàn)高可靠性，高容錯(cuò)性，每臺(tái)二層交換機(jī)都以兩條鏈路與匯聚層的三層交換機(jī)連接，這樣做的目的是即使其中一條鏈路,或其中一個(gè)交換機(jī)出現(xiàn)故障了，也不會(huì)影響用戶的正常通信。第四章ＩP地址規(guī)劃網(wǎng)絡(luò)設(shè)備配置IＰv４正在面臨地址枯竭的危機(jī),這個(gè)問題是無(wú)法避免的,我們需要交流，而現(xiàn)有的系統(tǒng)已經(jīng)難以為繼，就像馬車快遞比不上航空快件一樣，人們已經(jīng)在保留IP地址方面付出了很多時(shí)間和努力,但一個(gè)明顯的事實(shí)是連接到網(wǎng)絡(luò)中的人員和設(shè)備數(shù)量每天都在增加，IＰv4地址大約有4３億個(gè)，理論上說，我們并沒有用完這些地址,實(shí)際上只有2億5千萬(wàn)個(gè)地址可以分配給設(shè)備使用，當(dāng)然NAT，CIDR的使用很大程度上緩解了地址枯竭的問題,但我們終有一天會(huì)把這些地址耗盡,這種情況可能就在幾年之后,中國(guó)人才剛剛開始上網(wǎng),據(jù)計(jì)算，我國(guó)只有10%的人連接到Interｎet。而按照這個(gè)數(shù)據(jù)統(tǒng)計(jì)，我們不可能每個(gè)人都擁有一臺(tái)計(jì)算機(jī).但事實(shí)上,我們不僅只有一臺(tái)筆記本電腦，而且還有手機(jī)，臺(tái)式機(jī),打印機(jī)等?，F(xiàn)今的企業(yè)一般只能分配到一個(gè)公用的IP地址,通過使用NＡＴ地址轉(zhuǎn)換,將內(nèi)部地址轉(zhuǎn)換為公有地址，比對(duì)外網(wǎng)進(jìn)行訪問。4．１網(wǎng)絡(luò)地址配置企業(yè)公網(wǎng)地址為６6。６６．66.66/２９內(nèi)部局域網(wǎng)地址為192．１68.0。０/20VLＡN規(guī)劃如下表表4。１VLAN詳細(xì)劃分及地址分配部門VLＡN地址范圍(/２4)默認(rèn)網(wǎng)關(guān)ＩT技術(shù)與管理1１９2。１6８.１。0１９2．168．1.1工作組1２１92．168．２．019２．１6８.2.1工作組23１９2．１68．3。01９２．１6８。3．1工作組3419２．1６8.4.０192．168．4．1工作組4５１92。168.5．0１92。168.５。1工作組561９2．1６８.6。０1９２．1６８.6。１工作組671９２.１6８.7.0192.168.７.1工作組７８19２.１6８.８。0192.１68。8.1工作組8９1９２。1６8.９．0192.１6８．9。1客戶10192。168.１0。0192。１６8.10。１服務(wù)器是網(wǎng)絡(luò)中不可少的一個(gè)部分。服務(wù)器的合理的搭建是影響網(wǎng)絡(luò)性能的關(guān)鍵,下面給出網(wǎng)絡(luò)內(nèi)服務(wù)器的地址信息。表4。2服務(wù)器IP地址規(guī)劃服務(wù)器名稱IP地址VLAN網(wǎng)關(guān)備注DＮS１92。１６8．8。108192.1６8．8。1域名解析ＥＭＡＩL192.16８．8.２０８1９２.１68．8。１郵件TＦTＰ1９2．１68.8．3081９2．16８。8．１簡(jiǎn)單文件HＴTＰ192.16８。８.４0８1９２。１６８。８．１WWWFＴP19２。１68。8。5０819２.16８。８．1文件傳輸AAA1９2。168.8．6０８1９2.16８。8。1AAＡ認(rèn)證通過使用對(duì)每個(gè)設(shè)備分配一個(gè)ＳVＩ的VＬAＮ1地址，目的是用于設(shè)備的遠(yuǎn)程管理。SVI配置如下表表４．3各網(wǎng)絡(luò)設(shè)備的管理地址設(shè)備名稱管理地址(ＶLAＮ1地址）所含VLANＭＧR1９２．168。1.1１1，２AＳＷ1192。168。1．121,3ASＷ２192.１６8.1．１3１。4ＡSW3１９2．168.1.141．5ASW4192.１６8．1。1５１,6ＡSＷ5192.1６8．１．161,7ＤＳＷ１19２．16８.1。101-7DSW2192．168。1.２0１－7ＤSW3192．１６8．1。301,９－１0DSW４192。1６8.１.40１，9-10DＳW５1９2．１68.１。50１，8ＤSW６192。1６8。1.601，8ＣORE119２.168.１。１ALLCORE２１92。1６８.１.2ALLG２ASW11９2.168.1。3１１，9G2ASＷ２192．１６8.1．32１，９G２AＳW３192．168．１。3３1,10G2AＳW41９2.168.1。３４1，1０為方便統(tǒng)一管理網(wǎng)絡(luò)設(shè)備的ｅnaｂle密碼都設(shè)置為ｅｎablｅｓecrｅtjｅasｋｙ,相比eｎaｂleｐassword命令，secret以加密方式保存,而passｗord則以明文保存,前者安全性較高。由于網(wǎng)絡(luò)設(shè)備地理位置差異，對(duì)設(shè)備進(jìn)行遠(yuǎn)程管理是網(wǎng)絡(luò)設(shè)計(jì)不可少的一個(gè)部分,為了方便管理，所有網(wǎng)絡(luò)設(shè)備teｌnet密碼都設(shè)為jeasｋy.４。2設(shè)備接口配置核心交換機(jī)與路由器的接口配置為路由接口,并配置了ＩＰ地址，與路由器相連，具體配置信息如下表.表４．4核心交換機(jī)和路由器端口ＩＰ配置接口名稱IＰ／mａｓk備注CORＥ1ｆ0/２４１7２。１６．1.2/２4連接路由器ｆ0／0CＯＲE２Ｆ0／２４1７2．16。1。3/２４連接路由器f0/1路由器f0/０172．16．1.１／２４連接CORE１f0／2４路由器f０／1172．16.１.4/24連接COＲE2ｆ0／24路由器s０/0/0６6．66．66．66／２9連接ＩＳP核心交換機(jī)的各個(gè)端口的端口號(hào),用途,以及接口類型如下表表４。5核心交換機(jī)端口用途與類型端口號(hào)用途接口類型FａstEthｅrｎet０／1連接DＳW1ＴｒuｎkFａstEtherｎet０/２連接DＳＷ2TrunkFastEtｈｅrnet0/3連接DSW3TｒuｎｋＦastＥtherｎet0／4連接ＤSW4TrｕｎkFastＥｔherｎet0/5連接DSW５ＴｒunｋＦａstEtｈerｎet0/6連接ＤSW6TrｕnkFaｓtEｔheｒnet0／24連接路由器ＲｏｕｔeｄPortＧiｇaｂitEthｅrneｔ0／１與COＲＥ２組成etherｃhａnｎelEtherChａnneｌＧigaｂitEtｈernｅt0／２與CＯＲE２組成eｔherｃhannelEｔherCｈanｎｅｌ匯聚層交換機(jī)的各個(gè)設(shè)備名稱，以及該設(shè)備的端口號(hào),端口用途，端口類型的相機(jī)信息如下表4．6匯聚層交換機(jī)端口用途與類型設(shè)備名稱端口號(hào)用途類型DSW1FasｔEｔheｒneｔ０/1連接CＯＥR１TｒｕnkＤSＷ1FａsｔＥtheｒneｔ0/2連接ＣOＥR２TｒｕｎkDSW１FastＥtｈｅrnｅｔ0/3連接ASＷ1TrｕnｋＤＳW１FaｓtEｔｈｅｒneｔ0/4連接ＡＳW2TｒunｋＤＳＷ１ＦastEｔheｒｎeｔ０/5連接ASＷ３TrunｋDSW１FastEｔhernｅｔ０／6連接ASW4TrunｋDSW1ＦaｓｔEthｅｒｎet0/7連接ASW5TrｕnkＤSW1FasｔEｔｈerneｔ0／8連接AＳW6TｒunkDSW2FasｔEｔｈerｎｅt0／1連接COＥR1TruｎkＤSＷ2FaｓtEtｈｅrnet０/2連接CＯEＲ２TruｎkＤＳW２FaｓtＥtｈernｅt0/3連接ASW1TｒunｋＤＳW2ＦaｓtＥｔherneｔ0/４連接ＡＳＷ2TｒｕnｋDSW2FａｓtEtherneｔ０/5連接AＳW3TｒuｎｋDＳW2FａstEｔhernｅt０／６連接AＳW4TruｎkＤＳW2FａsｔEｔheｒneｔ0／7連接ASW5TｒｕnｋDＳＷ2ＦasｔEｔｈeｒnet０/８連接ＡSＷ６TrｕｎkDSW3FastEtｈernet0/1連接ＣＯEＲ１TruｎkDSW3ＦastEｔｈerｎｅt０/2連接CＯER2TruｎkDSW3FasｔＥtheｒｎｅｔ０/3連接G２ASＷ1TrunkDSＷ3FａstＥtherneｔ０/4連接Ｇ2AＳW2ＴrｕnｋＤSW3FastＥtｈernet０/5連接G2ASW３ＴｒuｎkDＳＷ3FaｓtＥtｈernet0／６連接G2ＡSW4TrｕnkDＳW4ＦastEｔherｎet0/1連接COＥR1TrｕnkＤSW４FａｓtEｔｈernet0/２連接ＣＯＥR2ＴrunｋDSW４FａｓｔEthｅrnet0/3連接G2AＳW1TｒuｎkＤSW４FastＥｔhernet0/4連接G2ＡＳW２ＴｒunｋDＳW４ＦastＥｔｈernet0/5連接G2AＳW３TｒunkDSW4FastEtｈｅrｎｅｔ０／６連接G２ＡＳW４TrｕｎｋＤSW5ＦａｓtEthernｅt0/1連接COEＲ1TruｎｋDSＷ５ＦａstＥtｈerneｔ０／2連接COEＲ２TｒｕnkDSＷ5FasｔEtherｎet0/3連接DＮＳAcceｓｓDSW５ＦastEtｈerneｔ０／4連接ＥMＡIＬAccｅssDSW５FaｓtＥtｈｅrｎet0/5連接ＴFTPＡｃcｅｓsDSW６FａstEtheｒｎｅｔ0／1連接COEＲ１ＴrｕnkＤSW６FasｔEtherｎeｔ０／２連接COEＲ2ＴrunkDＳW6FaｓｔＥtherneｔ０/３連接ＨTTPＡｃcｅssDＳW6FastEｔherneｔ０／４連接FＴPＡcｃｅssＤSW６FastEthｅｒnet０/５連接ＡAＡＡccess接入層交換機(jī)的設(shè)備名稱，以及該設(shè)備的端口號(hào)，端口的所屬ＶLＡN，其用途與類型如下表.表4。7接入層交換機(jī)端口號(hào)用途與類型設(shè)備名稱端口號(hào)ＶLAＮ用途類型ＭGRＦ0／１—F０/10１主機(jī)接入AcceｓｓＭＧＲＦ0／１1－２０2主機(jī)接入AccessMGRF0/21—連接DSＷ1TruｎkＭGRF0/２２—連接DＳW2ＴrｕnkASW1F0/１－F0/20３主機(jī)接入AcｃeｓｓASW1F０/21—連接DSW１TrｕnkASＷ1F0／22—連接DＳW２TrunkAＳW2F0/１-Ｆ0／２0４主機(jī)接入AｃｃeｓｓASＷ2F0／２1—連接DSＷ１TruｎkＡSW２Ｆ0／２２—連接DＳＷ2TrunkＡSＷ３Ｆ0／1—F0／2０5主機(jī)接入AｃcessASW3F０／2１—連接ＤＳW1TrunkASＷ3F０/２2—連接DＳＷ２ＴrｕnkAＳW４F０/1-F0／206主機(jī)接入AccｅssAＳW4F0/２1—連接DSＷ1TrunkＡSＷ４F0／22-連接DSW2TrｕnkＡSＷ5F０/1—F０／２０７主機(jī)接入ＡｃcesｓＡSW５Ｆ0/21—連接DＳW1TｒuｎｋAＳW5Ｆ０/22-連接DSＷ2TｒuｎkＧ2ASW１Ｆ０/1—Ｆ０／2０９主機(jī)接入AcｃｅssG2ＡSＷ１F０/21—連接ＤＳW3TrｕnｋＧ２ASW１Ｆ0/2２—連接ＤSW3TｒuｎkG２ＡSW2F０/１-F0/２0９主機(jī)接入ＡccessG２ASＷ２F0/２1—連接ＤSＷ３TrunkG２ＡＳW2Ｆ０/２2—連接ＤSＷ3TruｎｋＧ2ＡＳＷ3F0/1—F０/２0１0主機(jī)或AP接入AcｃｅsｓＧ２ASW3F0/21—連接ＤSＷ3TｒuｎｋＧ2AＳW3F0/２２—連接DSW3TrｕｎｋG2ASW4Ｆ0/1—F０／2010主機(jī)或AP接入AccessG2ＡＳW４Ｆ０/２1-連接ＤＳW3TrｕnkＧ2ＡSＷ4F0/2２-連接DＳW３Ｔrｕnk4.3網(wǎng)絡(luò)設(shè)備的配置命令各網(wǎng)絡(luò)詳細(xì)配置見附錄,核心交換機(jī)CORE1，路由器Ｒoｕter,匯聚交換機(jī)DＳＷ1與接入層交換機(jī)MGR的配置如下4．３．1核心交換機(jī)CORE1主要配置命令核心交換機(jī)的主機(jī)名為ＣOＲE1，并設(shè)置了設(shè)置enablesｅｃret密碼為jeasｋy,密碼經(jīng)過加密處理。該設(shè)備為ＶＬＡN10客戶提供DHＣＰ服務(wù),并保留地址192．1６８．1。１作為VLAＮ１０的默認(rèn)網(wǎng)關(guān)，所以該地址不在DHCＰ分配范圍內(nèi)。該設(shè)備創(chuàng)建一個(gè)了ＤＨＣP池，名稱為ｔeｓt,并應(yīng)用到網(wǎng)段為１9２．1６８.1０。0／2４網(wǎng)絡(luò)，即VLAN10,指定默認(rèn)網(wǎng)關(guān)為１9２.168。10．１（ＣORＥ1的VｌAＮ1０地址),DNＳ服務(wù)器為192。１６8.8．1０(VＬAN8地址）。為保證所有通信都由此核心交換機(jī)完成,該配置這個(gè)交換機(jī)為所有有VＬＡN的Root,命令spanninｇ—trｅｅvｌａn1—10rooｔpｒｉｍａry確保ＣＯＥＲ1是所有VLAN的Roｏｔ。將端口Fa0/１到Fa0/6設(shè)置ｔｒunk端口并使用８０２。1Ｑ封裝其他接口保留默認(rèn)模式即dｙｎaｍｉｃauｔo當(dāng)接口另一端為dynａmｉcdeｓｉｒabｌe,或?yàn)椋裕騯nk時(shí)該接口為自動(dòng)談判為trunk模式,當(dāng)接口另一端為accesｓ或ｄyｎamｉｃauto時(shí)該接口自動(dòng)談判為acｃesｓ。將FａsｔEtherｎet0／２4接口定義為三層路由接口，用于連接路由器。將GｉgabｉｔＥthernｅｔ0/１–GiｇａbｉtＥthｅｒnｅt0/2端口添加到Etherchaｎnｅｌ1組，并使用ＬACP（LiｎｋＡggregatｉonCoｎtｒolProtoｃｏl，鏈路匯聚控制協(xié)議）acｔiｖe主動(dòng)模式，該模式下端口會(huì)主動(dòng)向?qū)Ψ蕉丝诎l(fā)送LＡＣPDU報(bào)文設(shè)置靜態(tài)路由,將所有主機(jī)對(duì)外訪問轉(zhuǎn)發(fā)至路由器定義訪問列表，只允許IP地址屬于VLAN1主機(jī)的通過該訪問列表把系統(tǒng)日志發(fā)送到Syslｏg服務(wù)器(19２.１68．8。50)。定義該設(shè)備只允許符合aｃcess—list1０對(duì)其進(jìn)行ｔｅlnet遠(yuǎn)程管理，并設(shè)置telｎｅt密碼為ｊeａsky其部分配置命令如下。hostnamｅCＯRE1ipdhcpexclｕｄｅｄ—ａddress１92。１68．10．１iｐｄhcppoｏｌｔｅstnｅｔｗoｒｋ192．168。10。025５。255。２５5。0ｄｅｆauｌt-rｏuｔeｒ１92．16８。1０.1dｎｓ-sｅrvｅr19２.１６8．８。１0spａnniｎｇ—treevｌan１－10prioｒitｙ２45７６iｎteｒfaceｒangeFasｔEｔherｎｅt0／１–ＦastＥtheｒnet0/6swｉtｃhporttｒunｋencapｓｕｌatｉondot1qswitｃｈpｏrｔmoｄetrｕｎｋiｎterfaceFａstEtherｎeｔ０／２4nｏswiｔchportiｐaddｒesｓ1７2。16.１．2２55．2５5.255。0ｉｎterfacｅｒanｇeGｉｇabitＥthernet０/1–ＧiｇａbitEtheｒnｅｔ０／２ｃhａnｎel—protocollａｃpchannｅｌ－grｏｕp１moｄeactｉveｓｗitchｐorｔｔｒｕnkencａｐsuｌationdot１qｓwｉtcｈportｍodetrunkｓｗitcｈpｏrttｒｕnｋeｎcapsulaｔｉondoｔ1qswitcｈｐｏｒtmoｄetｒuｎｋinterfａcePorｔ—cｈaｎneｌ1swｉｔchporｔｔｒunｋｅncａpsｕlatｉondot1qsｗｉｔｃhportmodeｔｒunkiproｕte0.０。0。00。０．0。017２。16.１。1access—ｌisｔ10pｅrmit1９2.１68.1.０0。０.0．25５ｌogｇiｎｇ192．１６8．８．50liｎｅvty015aｃcesｓ-clａss10iｎｐａｓｓｗｏｒdjｅａskyｌｏgin4.３。２路由器的配置路由器全局開啟AAＡ服務(wù)，設(shè)置默認(rèn)登錄組,并使用ＲADＩUＳ：(RemoteAuｔhentｉcaｔｉonＤｉａｌＩnＵserService),遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)端口FａsｔEthｅrneｔ0/０配置了ＩＰ地址,并設(shè)置為ＮＡT轉(zhuǎn)換地址的內(nèi)部端口，內(nèi)部端口連接的網(wǎng)絡(luò)用戶使用的是內(nèi)部IP地址端口Seｒial０/０/0配置的IＰ地址是企業(yè)向ISP申請(qǐng)的Pｕblｉc地址，并將該接口配置為ＮAT外部端口，外部端口連接的是外部的網(wǎng)絡(luò)，如Intｅrnet。路由器配置了一個(gè)NAT池，名稱是tｅst低地址６6．66。66.６6高地址也為66。６６．6６。6６子網(wǎng)掩碼為/２9，NAT內(nèi)部訪問列表為列表１0并映射到地址池test，并使用地址復(fù)用。路由器配置了兩條靜態(tài)路由,一條是通往內(nèi)部網(wǎng)絡(luò)的,所有到1９２。１６8．0.０的數(shù)據(jù)包都轉(zhuǎn)發(fā)到172。1６.1.2,另一條是所有未知的數(shù)據(jù)包都由路由s0/0/0端口發(fā)出定義AＣL只允許192.168。１.0/24網(wǎng)段的用戶RADＩUS服務(wù)器的IP為1９２．16８．8.60并使用默認(rèn)的認(rèn)證端口164５密碼是rad1２3把系統(tǒng)日志發(fā)送到該ＩP的主機(jī),該地址是Ｓyslog服務(wù)器地址設(shè)置ｔeｌｎｅｔ的訪問控制，控制只有192.１68。1．０網(wǎng)段的用戶能對(duì)其進(jìn)行遠(yuǎn)程登錄路由器的部分配置命令如下：hｏｓtｎaｍeRｏuteraaanew-modelaａaauthｅntｉcatiｏnlogiｎdeｆaｕltgrouprａdｉuｓloｃaｌiｎterｆaceＦaｓtＥthｅrneｔ０／０ｉｐaddreｓｓ1７２。16．1。1２５5．２５５.2５5.0ｉpnaｔinsｉdedupleｘautosｐｅe(cuò)dauｔointeｒfaceFａstＥthernet0/1nｏipａddrｅｓｓｄuｐｌexａｕtｏｓpeeｄａｕtoshｕtdｏwｎintｅrfaceＳｅｒiａl0/０/０ｉpaddress6６.6６．66.６6255.2５５.255.２48ipnａｔoｕtｓideipnａt(yī)poolteｓt66．66。６6.6666.6６。66。66ｎetmaｓk２55。255.255.２48ipnatｉnｓideｓｏurcelist1０ｐooltｅsｔｏverlｏadiｐclassleｓsiｐrｏuｔe19２。16８。0。025５.255．０．０172．１6．1．2iprｏutｅ０.０。0.０0。0。0.0Ｓeｒial０/0/０aｃcess-ｌisｔ１０pｅrｍit192。168。1。００。0．0。2５５rａdiｕs—ｓervｅrhost19２．１６８．８。6０aｕｔｈ－pｏrｔ１645kｅｙraｄ123ｌｏggiｎg192．168．8.50linecon0loginliｎeｖty04aｃｃｅss—cｌasｓ10inlｏｇiｎlogiｎauｔhｅntｉｃationdefaultｌinevｔy５15ａcｃｅｓｓ－clａsｓ10ｉｎｌoｇｉnloｇinａuｔhenｔicaｔiｏndefault!4.3。3匯聚層交換機(jī)DSＷ１配置hｏstnaｍｅDSW1interｆaceＦasｔEｔherｎeｔ0/1intｅｒｆaｃerangeFastEtｈerｎｅｔ0/2–FaｓtEtｈｅｒnet０／8swｉｔchｐorｔtrunkeｎｃａpsｕｌａt(yī)iｏnｄot1qsｗｉｔcｈpoｒtｍｏdeｔrｕnkiｎｔｅrfａceＶｌａｎ1ｉpaddreｓs１９2．1６8.1.10255.２55．２55。０intｅrfａceVlan2noiｐaｄdressinteｒfaｃｅVlan3noipａddressｉnｔerｆａceVlａn4noｉｐadｄrｅｓsinｔeｒｆaｃeVｌａｎ5noipａddreｓｓinｔeｒfaceVlａｎ６ｎoipaddrｅssｉｎｔeｒｆaceVｌaｎ7ｎoipaddressｉｐclａｓｓleｓｓiｐroute１72．１6.1。0255．２５5.255.0192．168.１．1acceｓｓ-list1０ｐｅrmit19２。16８。１。00。０。0。２5５loggiｎg19２.1６８。８.50ｌiｎecｏｎ0linevtｙ0４acceｓs-cｌaｓs10inpaｓsｗｏrdjeaｓkylｏｇinliｎｅｖty5１5access-ｃｌａss10inpaｓｓwｏｒdjｅaskylogｉn４。3。4接入層交換機(jī)ＭＧＲ配置端口FastEｔhｅrnet0／1–ＦastEthernet0／２0配置為ａccｅss模式,用于主機(jī)接入，并配置了Pｏrtfast，這個(gè)命令要求該端口接的是hosｔ的才能起使用,如果端口接的是接交換機(jī)的就一定不能啟用，否則會(huì)造成環(huán)路（lｏｏp）。Pｏrtfast能使２層端口接入主機(jī)時(shí)立即進(jìn)入forwarding狀態(tài)，而不需要進(jìn)入正常的ｂlｏｃkｉｎg，listeninｇ，ｌｅarning,forwardｉnｇ，過程,而直接可以從bｌockｉnｇ到達(dá)forwａｒdｉng狀態(tài)下面是接入層交換機(jī)的部分配置ｈostnamｅMＧRｉｎｔｅｒfaceranｇeFastＥthernet0/1–ＦasｔEｔｈerｎｅt0/２０ｓwitｃhpｏｒtmｏdeacｃeｓsｓpannｉng－ｔreｅporｔfaｓtｉnｔerfacｅVｌａn1ipaddress1９2．1６8.１．1１255．25５。２55.0intｅｒfaｃｅＶlan２ｎoｉpａdｄｒｅssiｐdｅfaｕlt－gaｔｅwaｙ１９２．１68．１.1accｅss-ｌｉｓt１０ｐermｉｔ１0。0.0．255logｇing1９2。168。8.5０ｌineｃoｎ0liｎevty04access—cｌaｓs１0ｉnｐassｗordｊｅａｓｋylｏｇiｎｌinｅｖty５15aｃｃesｓ—clａsｓ10iｎpaｓsｗｏｒdjeaｓkyｌogiｎEnd第五章測(cè)試各設(shè)備的連通性對(duì)網(wǎng)絡(luò)架構(gòu)搭建完成后，并不能馬上投入使用，此時(shí)應(yīng)該做的是測(cè)試各個(gè)點(diǎn)的連同性,所提供的服務(wù)是否和計(jì)劃的一樣，和驗(yàn)證配置信息是否有誤。下面對(duì)網(wǎng)絡(luò)的連通性進(jìn)行測(cè)試。5。1ＶLAＮ間的連通性測(cè)試選擇網(wǎng)絡(luò)中的兩臺(tái)ＰC，并將ＰC的IP地址，掩碼,網(wǎng)關(guān)，DＮＳ服務(wù)器信息配置好，用其中一臺(tái)PＣ對(duì)另一臺(tái)ＰC進(jìn)行Ｐｉnｇ命令.下面先在PC1輸入ipcｏnfiｇ命令查看PＣ1的IP配置信息,然后用ＰC1piｎgPC2與PC9。其結(jié)果如下。圖5.１測(cè)試PＣ間的連通性用PCｐingDＮS,HＴＴP服務(wù)器，測(cè)試其連通性。如下圖所示，IP地址為１９2．168．1。100的PＣ可ｐiｎｇ通兩個(gè)服務(wù)器，主機(jī)和服務(wù)器可以進(jìn)行通信.圖5。2測(cè)試ＰＣ與服務(wù)器連通性核心交換機(jī)的主要目的在于通過高速轉(zhuǎn)發(fā)通信，提供優(yōu)化,可靠的骨干傳輸結(jié)構(gòu),因此核心層交換機(jī)應(yīng)擁有更高的可靠性,性能和吞吐量。路由器提供局域網(wǎng)的出口服務(wù)，路由器連接到Iｎternｅt，局域網(wǎng)用戶訪問Inｔｅｒｎｅt都通過路由器出去，接入層交換機(jī)接面向用戶連接或訪問網(wǎng)絡(luò),接入層的目的是允許終端用戶連接到網(wǎng)絡(luò)，因此接入層交換機(jī)具有低成本和高端口密度特性.下面通過對(duì)核心層交換機(jī)，路由器,以及接入層交換機(jī)進(jìn)行PINＧ測(cè)試，其測(cè)試方式是用ｐiｎｇ命令對(duì)各設(shè)備的ＶLAN1地址進(jìn)行pｉng測(cè)試，以檢測(cè)各設(shè)備的連通性。其測(cè)試結(jié)果如下圖圖５.3測(cè)試設(shè)備的連通性上述給出部分的測(cè)試結(jié)果，另外檢測(cè)了各個(gè)設(shè)備具都具有端對(duì)端的的連通性。５.２設(shè)備的管理下面對(duì)每個(gè)設(shè)備進(jìn)行Ｔelｎeｔ測(cè)試，驗(yàn)證是否與計(jì)劃中的匹配。５.２。1對(duì)核心交換機(jī),匯聚層交換機(jī)的telnｅt測(cè)試由于該網(wǎng)絡(luò)只允VLAN１的ＰC對(duì)各個(gè)設(shè)備進(jìn)行管理，而拒絕其他VLＡＮ的PC對(duì)設(shè)備進(jìn)行Ｔｅlnｅt，下面測(cè)試用ＰＣ１對(duì)對(duì)核心交換機(jī)(１９2.1６8.1。１)，匯聚層交換機(jī)（192.1６8。１.10)進(jìn)行Tｅlnet,由結(jié)果看出，Tｅlnｅt都成功（ＯPEＮ）。圖5．4Telnet輸出結(jié)果另外還要使用非VLAN1的主機(jī)對(duì)各設(shè)備進(jìn)行Tｅlnet,下圖為VLAN２中的PＣ對(duì)路由器進(jìn)行Telneｔ，其輸出結(jié)果如下，可以看到Ｔｅlnｅt均被拒絕了。這是由于其Ｔelnｅt接口(lｉnｅvty015）都配置了訪問控制，只允許ＶLＡＮ1的主機(jī)對(duì)其進(jìn)行Telnet.圖5。5Telnet被拒絕由于受到accesｓ-ｌiｓt的限制,只有VLAN1的主機(jī)可以多所有網(wǎng)絡(luò)設(shè)備進(jìn)行telnｅt管理。5．2．2路由器進(jìn)行Telnet測(cè)試由于路由器指定了AAA服務(wù)器,Telnｅt必須先通過AAA服務(wù)器的認(rèn)證,所以其安全性更強(qiáng)，管理也更加方便。在ＡＡA服務(wù)器配置了如下一條項(xiàng)目。ＣliｅntNamｅ：rｏｕtｅrClienIP:172．16.1．1SeｒverTｙｐe：RAＤＩＵSＫey：rad1２3Ｕserｎａｍe:ｊeａskyＰasｓwoｒd：jeasｋy圖5。６AAＡ服務(wù)器配置下面驗(yàn)證路由器的AAA認(rèn)證，使用ＰC（１92.１68。１.１00）對(duì)路由器進(jìn)行Teｌneｔ,輸出結(jié)果如下.圖5.7Telnet輸出結(jié)果由上圖得知ＰC成功對(duì)路由器Telneｔ,并使用了登錄用戶名和密碼,該用戶名和密碼記錄在ＡAA服務(wù)器上，必須與AAＡ服務(wù)器進(jìn)行認(rèn)證才成功能授權(quán)PC對(duì)路由器的管理。下面測(cè)試PC2（1９２．1６８.2．10)對(duì)路由器進(jìn)行Telnｅt，按照配置命令,Telneｔ應(yīng)該會(huì)被路由器上配置的AＣL拒絕.原因是PC的IP地址不屬于ＶＬＡＮ１，而只有處于VＬＡN１地址內(nèi)的PＣ對(duì)設(shè)備有管理權(quán)限。其測(cè)試結(jié)果如下:圖5.８Teｌｎet被拒絕可以看到測(cè)試結(jié)果，Telneｔ不成功，由于使用了ＡAA認(rèn)證，即使有人成功得到用戶名或密碼,但由于其IP不屬于ＶLAN1即使有用戶名密碼，也不能入侵路由器,進(jìn)一步加強(qiáng)了其網(wǎng)絡(luò)的安全性。５．２。３測(cè)試外網(wǎng)的連通性用任意一臺(tái)主機(jī)ｐｉｎｇ外網(wǎng)，如下圖圖5。９Ｐｉng輸出結(jié)果如上圖piｎｇ不成功，但返回結(jié)果卻不同，簡(jiǎn)單來(lái)說Deｓtinatｉoｎhoｓｔｕnrｅaｃｈaｂｌe即是去不到，而Ｒeｑuｅsttimｅｄｏｕｔ則是回不來(lái),兩種結(jié)果對(duì)網(wǎng)絡(luò)的Trｏublｅｓｈｏoｔinｇ起很大作用，在第一次pinｇ不通后，我在路由器加入了一條命令ｉｐｒｏｕｔe０。0．０.0０.０.０。0sｅ０/0／０指定了路由器所有位置數(shù)據(jù)包的出口即出口路由，然后進(jìn)行第二次ｐinｇ測(cè)試,但仍然不能pinｇ通,原因是網(wǎng)絡(luò)上根本不存在２11.２11.２11.２12這個(gè)節(jié)點(diǎn),但卻可以根據(jù)返回結(jié)果不同,可以決定包是在去的途徑丟失，還是回來(lái)的途徑丟失，很大程度上降低了網(wǎng)絡(luò)排錯(cuò)的困難。一般企業(yè)網(wǎng)絡(luò)都有上千個(gè)節(jié)點(diǎn),有時(shí)候根本不可能發(fā)現(xiàn)錯(cuò)誤出現(xiàn)在那個(gè)節(jié)點(diǎn)，因此piｎg,tｒａｃer等命令可以則可以在排錯(cuò)上減少很多不必要的困難.5．3驗(yàn)證NAT要驗(yàn)證NAT工作情況,首先要在路由器上輸入dｅbｕgipｎat命令，該命令可以檢測(cè)實(shí)時(shí)NAＴ地址轉(zhuǎn)換的情況，并輸出其結(jié)果。下面首先用使用任意一臺(tái)主機(jī)，在主機(jī)上輸入ping６6.６6.66.6５命令,該地址為ISP的IＰ地址，以檢測(cè)其連通性,其輸出結(jié)果如下。圖５.10ＰiｎgISP輸出結(jié)果由上圖可以看出Ｐinｇ成功，接下來(lái)檢測(cè)檢查路由器是否進(jìn)行了NAT地址轉(zhuǎn)換。圖５．11路由器的deｂｕg輸出由上面輸出結(jié)果可以得出,ＮAＴ正在進(jìn)行地址轉(zhuǎn)換，由于啟用了地址復(fù)用,所以所有源地址為1９2.１68。０．0/16網(wǎng)段的包,向外訪問時(shí)都轉(zhuǎn)換成源地址為66。６6.６６.66的包。這也是使用NＡT地址轉(zhuǎn)換的好處.５．4驗(yàn)證ＤHＣP服務(wù)將主機(jī)連接接入層交換機(jī)G2AＳＷ3，并且不需要給主機(jī)配置ＩP地址，讓主機(jī)發(fā)送ＤＨＣP請(qǐng)求，并獲?。蒔地址。其輸出獲取信息如下圖圖５．１２獲取DＨCＰ服務(wù)如上圖，主機(jī)成功獲取ＩＰ地址及相關(guān)信息，然后檢測(cè)器連通性,對(duì)任意幾臺(tái)ＰC進(jìn)行piｎg測(cè)試,其輸出結(jié)果如下。圖5。13測(cè)試設(shè)備連通性經(jīng)過多個(gè)階段的測(cè)試，各設(shè)備的連通性基本沒有發(fā)現(xiàn)問題,整個(gè)檢測(cè)過程完成。第六章服務(wù)器搭建本次模擬實(shí)驗(yàn)共搭建了６臺(tái)服務(wù)器，分別是DＮS，EMＡＩL，F(xiàn)ＴＰ，TFTP，ＨTTP,ＡAＡ。首先配置好個(gè)服務(wù)器的IＰ信息.并測(cè)試其連通性，當(dāng)沒有發(fā)現(xiàn)連通性問題后則可以對(duì)服務(wù)器進(jìn)行配置。6．１DNS服務(wù)器配置ＤNS服務(wù)器對(duì)企業(yè)環(huán)境有著重要的影響,其負(fù)責(zé)域名與ＩP地址之間的轉(zhuǎn)換.DNS的配置信息如下圖6。1DNS的配置信息配置一個(gè)ARecord命名為jeasｋy.cｏｍ，其指向的是Eｍaiｌ服務(wù)器的IＰ地址(19２．１68.8．2０）。然后配置POＰ與SMＴＰ（SｉmpleMailTｒansｆeｒPrｏtｏcol）服務(wù)器的別名CNAME，指向ｊeaｓｋｙ.com。接下來(lái)配置一個(gè)類型為ARｅｃｏｒd的記錄,并命名為ｗww．ｊeａｓky.cｏｍ指向HTTP服務(wù)器，IP地址為１9２.１６8。８。40。6．2Ｅmaｉｌ服務(wù)器配置郵件的收發(fā)對(duì)每個(gè)企業(yè)都是不可少的一部分，搭建郵件服務(wù)器對(duì)企業(yè)的正常運(yùn)轉(zhuǎn)也有著重大的聯(lián)系，下面進(jìn)行郵件服務(wù)器的搭建。首先在郵件服務(wù)器上記錄用戶信息，其用戶信息如下表6．１Ｅmaｉl上的用戶記錄UｓerｎameＰasswordPc1pｃ1Pｃ2pc2Pc３pｃ３Ｅmaｉl服務(wù)器的域名配置為ｊeasｋ.com其中創(chuàng)建了幾個(gè)用戶，用于測(cè)試服務(wù)器是否正常工作。下面對(duì)ＰC1與PＣ２進(jìn)行配置，ＰＣ２的配置信息與PC1基本相同，其配置信息如下圖６．2ＰＣ郵件服務(wù)配置信息下面測(cè)試從PC1發(fā)郵件到ＰC２,然后從ＰＣ2上檢測(cè)郵件的收發(fā)圖6。3發(fā)送郵件點(diǎn)擊sｅnd按鈕后在PC2上檢測(cè)是否能收到由PC1發(fā)出的郵件.下面是PＣ2上的收件箱視圖圖6.4PC2收件箱如上輸出所示ＰC2成功接收。這也意味著DＮS上郵件服務(wù)器的配置沒有出錯(cuò)。６。3FTP服務(wù)器配置首先在ＦTＰ服務(wù)器上配置如下用戶,配置圖如下圖6.５ＦＴP服務(wù)器配置在FTP上有一個(gè)默認(rèn)用戶，其用戶名和密碼都為cisｃo,然后自行配置了一個(gè)用戶名為usｅｒ