基于Packet Tracer的智能公司局域網(wǎng)組建

基于PacketTracer的智能公司局域網(wǎng)的組建摘要如今，一個安全高效智能的網(wǎng)絡化辦公環(huán)境是現(xiàn)代化公司必不可少的條件，一個公司肯定會需要擁有自己的一個安全可靠運行的局域網(wǎng)，供內(nèi)部員工互相溝通合作、高效辦公，解決大量的對內(nèi)對外的辦公要求。但是由于目前的網(wǎng)絡環(huán)境不樂觀，網(wǎng)絡中充斥著各種安全隱患及危險，對企業(yè)網(wǎng)絡做好安全防護，保護企業(yè)網(wǎng)絡可靠運行是當今網(wǎng)絡安全的一大重點。針對企業(yè)網(wǎng)絡規(guī)劃中出現(xiàn)的相關設計問題、實施方案及可能運用到的技術手段，本次畢業(yè)設計的課題就此作為方向，為企業(yè)網(wǎng)絡規(guī)劃提供有利的理論依據(jù)及實踐參考。此次網(wǎng)絡的規(guī)劃設計運用到Ciscopackettracer仿真軟件作為企業(yè)網(wǎng)絡搭建平臺，通過對公司企業(yè)相關網(wǎng)絡拓撲圖的模擬，找到公司企業(yè)網(wǎng)絡中的薄弱之處及容易受到安全威脅的地方，通過各種技術手段及安全設備進行防護。以及公司企業(yè)內(nèi)部網(wǎng)絡的各種服務器的部署，讓企業(yè)網(wǎng)絡達到進一步的智能方便，同時根據(jù)對企業(yè)網(wǎng)絡組建方案的設計，再按照安全部署的相關配置及服務器架設的設計方案，解決企業(yè)網(wǎng)絡安全、企業(yè)局域網(wǎng)組建、企業(yè)服務器部署、網(wǎng)絡規(guī)劃等問題。關鍵詞：計算機網(wǎng)絡；中小型企業(yè)局域網(wǎng)；網(wǎng)絡搭建；CiscoPacketTracerTheestablishmentofintelligentcompanyLANbasedonPacketTracerAbstractNowadays,asafe,efficientandintelligentnetworkingofficeenvironmentisanindispensableconditionforamoderncompany.Acompanydefinitelyneedstohaveitsownsecureandreliablelocalareanetworkwhichprovideaninternalchanneltoemployeesforefficientcommunicatingandcooperating.However,thecurrentnetworkenvironmentisnotoptimistic.Thenetworkisfullofvarioussecurityrisksanddangers.Protectingenterprisenetworkandmakingsuretheenterprisenetworkrunreliablyarekeypointsofpresentnetworksecurity.Therefore,takingthetechnicalmethods,designissuesandimplementationplansthatmaybeencounteredintheprocessoftheconstructionofenterprisenetworkplanasthedirection,thisgraduationprojectisdevotedtoprovidetheoreticalbasisandpracticalreferencefortheconstructionofenterprisenetworkplan.ThisplananddesignofnetworkwillusetheCiscopackettracersimulationsoftwareasanenterprisenetworkbuildingplatform.Bysimulatingthecompany'snetworktopologymap,itwouldfindtheweakpointsinthecompany'scorporatenetworkandtheplacesthatarevulnerabletofacewithsecuritythreats.Thenprovideprotectionthroughdifferentmethodsandequipment.Moreover,thedeploymentofvariousserversinthecompany'sinternalnetworkmakestheenterprisenetworkmoreintelligentandconvenient.Wewillsolvetheproblemssuchas,theservererectionschemedesign,theenterprisenetworksecuritydesignthroughthedesignofenterprisenetworkestablishmentschemeandconfigurationschemebasedonsecuritydeployment.Itiscommittedtosolvingissuesoncorporatenetworksecurity,corporateLANsetup,corporateserverdeployment,networkplanningandsoon.Keywords:computernetwork;smallandmediumenterpriselocalareanetwork;networkconstruction;CiscoPacketTracer

目錄一、前言 頁一、前言如今，一個安全高效智能的網(wǎng)絡化辦公是現(xiàn)代化公司的標配，一個公司肯定會需要自己的一個安全可靠運行的局域網(wǎng)，供內(nèi)部員工高效的辦公，解決大量的對內(nèi)對外的辦公要求。但是目前的網(wǎng)絡環(huán)境并不樂觀，網(wǎng)絡中充斥著各種安全隱患及危險，作為網(wǎng)絡工程的學生，為現(xiàn)在互聯(lián)網(wǎng)的安全及運營貢獻自己一份力是不可開脫的。（一）本設計的目的、意義及解決的主要問題本次研究目標是通過packettracer組建智能公司局域網(wǎng)，通過對公司企業(yè)網(wǎng)絡拓撲圖的模擬，找到公司企業(yè)網(wǎng)絡中的薄弱之處及容易受到安全威脅的地方，通過各種技術手段及安全設備進行防護。以及公司企業(yè)內(nèi)部網(wǎng)絡的各種服務器的部署，讓企業(yè)網(wǎng)絡達到進一步的智能方便，通過設計企業(yè)網(wǎng)絡組建方案，基于安全部署的配置方案，設計服務器架設的方案，企業(yè)網(wǎng)絡安全設計等內(nèi)容進行解決。解決企業(yè)網(wǎng)絡安全、企業(yè)局域網(wǎng)組建、企業(yè)服務器部署、網(wǎng)絡規(guī)劃等問題。（二）可行性分析現(xiàn)在是一個科技高速發(fā)展的時代，現(xiàn)代市場競爭激烈，而競爭手段已經(jīng)從以前的手工方式轉變?yōu)樽詣踊绞剑惹昂唵蔚氖止す芾矸椒ìF(xiàn)在是不能適應現(xiàn)代化公司發(fā)展的需求。社會、科學的發(fā)展，標示著落后的網(wǎng)絡管理方法終將被企業(yè)淘汰。建立自動化網(wǎng)絡管理信息系統(tǒng)對現(xiàn)代化企業(yè)自身來說已刻不容緩，是現(xiàn)在企業(yè)應有的形象，能夠有效提高公司的管理水平，增加公司的經(jīng)濟效益。實現(xiàn)企業(yè)自動化管理，能夠提高整個公司的工作效率及優(yōu)質的服務環(huán)境，提高企業(yè)辦公水平，也能提升員工的幸福感，大大提升員工的工作效率，為公司創(chuàng)造更大的社會權益。企業(yè)智能內(nèi)部網(wǎng)絡的建設，可以很大程度的改變一個公司，使其工作從量到完成質的飛躍。因此，建立一個自動化、可靠、安全、統(tǒng)一的企業(yè)網(wǎng)絡是至關重要的。（三）本設計技術要求前期準備時收集大量的中小型企業(yè)局域網(wǎng)規(guī)劃與設計的案例，通過對收集的案例進行分析，并結合現(xiàn)在的組網(wǎng)技術與現(xiàn)代企業(yè)對局域網(wǎng)的要求進行新舊組合優(yōu)化，通過在思科packettracer上模擬企業(yè)局域網(wǎng)的網(wǎng)絡拓撲，搭建出現(xiàn)在中小型企業(yè)局域網(wǎng)的雛形，然后在根據(jù)企業(yè)的防護要求配置上硬件防火墻，對防火墻的防護策略進行配置，以保證局域網(wǎng)的安全可靠性，對局域網(wǎng)內(nèi)部進行服務器搭建，配置服務器，滿足局域網(wǎng)內(nèi)工作終端的工作需求，在核心主干網(wǎng)絡上采用三層交換機，多臺核心交換機組成冗余與熱備份功能，為局域網(wǎng)提供更高的可靠性。（四）基本思路根據(jù)企業(yè)規(guī)模來規(guī)劃公司企業(yè)網(wǎng)絡框架拓撲，因為是中小型企業(yè)，所以采用的是樹形拓撲結構，他的優(yōu)點就是易于排查故障和易于升級，帶寬選擇更有前瞻性的千兆以太網(wǎng)，選擇一臺企業(yè)級路由器，路由器提供了鏈接內(nèi)網(wǎng)跟外網(wǎng)的功能，一個企業(yè)級路由器，它會帶有防火墻和路由功能配置。對防火墻進行配置實現(xiàn)內(nèi)外網(wǎng)隔離，網(wǎng)絡主干設備以及核心層設備選取千兆的三層交換機，三層交換機提供網(wǎng)絡的配置和子網(wǎng)劃分、各VLAN的數(shù)據(jù)交換，之所以選擇千兆以太網(wǎng)，是考慮到局域網(wǎng)內(nèi)部的人員叫多，內(nèi)網(wǎng)速率重視程度應大于外網(wǎng)。匯聚層或接入層選擇普通的二層交換機，實現(xiàn)劃分VLAN，多臺終端互連功能。配置企業(yè)內(nèi)部的服務器，包括HTTP、DHCP、MAIL等內(nèi)部服務器，然后把局域網(wǎng)內(nèi)的終端連接到交換機上構成企業(yè)局域網(wǎng)。（五）實驗平臺及環(huán)境本論文中所涉及的實驗環(huán)境及實驗仿真平臺如下:網(wǎng)絡仿真軟件實驗平臺：CiscoPacketTracer操作系統(tǒng)：MicrosoftWindows10二、企業(yè)網(wǎng)絡搭建涉及的路由與交換技術介紹（一）NAT（NetworkAddressTranslation）網(wǎng)絡地址轉換IP地址剛出現(xiàn)時，全部人認為IP地址的數(shù)量一定能覆蓋到每一個人。理論上，不一樣的IP地址有4,294,967,296個。然而事實上可以利用的地址數(shù)并沒有這么多(在32億至33億之間)，因為部分IP地址是要用來進行廣播的，隨著家庭與公司網(wǎng)絡需求的不斷增加，現(xiàn)在的IP地址是不夠的。在將地址空間從IPv4轉到IPv6之前，在申請不到足夠的公網(wǎng)IP地址的這種情況下，必須使用NAT技術。如圖1.1所示。NAT通過把內(nèi)部私用地址轉換成公網(wǎng)可路由地址，使用部分公有IP地址來代表大部分的私有IP地址的方式。NAT解決了IPv4地址空間不足、私有與公有網(wǎng)絡互連的問題，NAT的使用有助于局域網(wǎng)內(nèi)保持私有IP，無需改變，只需在出口路由上配置NAT即可，NAT還可以隱藏內(nèi)部網(wǎng)絡的拓撲結構，為內(nèi)部網(wǎng)絡安全提供一件“迷彩服”。NAT有靜態(tài)NAT（StaticNAT）、動態(tài)地址池NAT（PooledNAT）和網(wǎng)絡地址端口轉換NAPT（PAT）。路由器、三層交換機還有防火墻等具有NAT功能，一般我們會選擇在出口路由上配置NAT功能，以減少防火墻的負擔。圖1.1NAT轉化原理ACL（AccessControlLists）訪問控制列表ACL使用包過濾技術，基于原定義好的規(guī)則過濾流量包，讀取第三、四層包頭中的信息，如源地址、目的地址、目的端口、源端口等，從而達到訪問控制的目的。如圖2.1所示圖2.1ACL對數(shù)據(jù)包進行訪問控制ACL的功能就是保護資源的節(jié)點，阻止非法用戶對資源節(jié)點進行訪問，也對某些用戶節(jié)點的訪問權限進行限制。訪問規(guī)則必須先小范圍精確匹配，再到大范圍，因為ACL的訪問順序是按照每條規(guī)則語句順序執(zhí)行下去的，當數(shù)據(jù)包匹配并符合了前面的規(guī)則語句，就結束比較過程并放行通過了。當創(chuàng)建了ACL之后，會把新添加的語句行加到ACL的最后，無法刪除某條語句，所以更改ACL規(guī)則，只能刪掉整個ACL之后再重新創(chuàng)建。表2.1顯示了常用的端口及應用程序。命名ACL是用名字代替數(shù)字來表示編號的，它不受99條標準ACL和100條擴展ACL的限制，網(wǎng)絡管理員能夠方便修改ACL，可以使用命令可以刪除某條ACL規(guī)則，但是增加的仍然會被加在最后一行?；跁r間的ACL則是對時間范圍進行限制，通過定義時間范圍、引用時間范圍、把ACL應用到具體接口上進行訪問限制。表2.1常用的端口及應用程序VTP（VLANTrunkingProtocol）局域網(wǎng)干道協(xié)議當一個局域網(wǎng)中的交換機有足夠多，當配置的VLAN工作量比較大的時候，可以使用思科私有協(xié)議，也就是VTP協(xié)議，用途就是通過設置局域網(wǎng)上的交換機，配置成VTPServer，通過一臺交換機管理局域網(wǎng)內(nèi)其他全部的交換機，使得局域網(wǎng)內(nèi)的所以VLAN信息列表統(tǒng)一，能夠減少手工配置VLAN的工作量并且達到簡化管理。VTP現(xiàn)在有3種工作模式，第一種是VTPServer，第二種是VTPClient，還有一種是獨立于前兩者之外的VTPTransparent。打個比方，VTPServer和VTPClient的關系就像樹根和樹葉一樣，VTP域就是這一棵樹。VTPServer負責對該VTP域內(nèi)的所有VLAN信息列表進行創(chuàng)建、修改以及刪除。VTPClient其實只負責同步從VTPServer傳來的VLAN信息列表，它本身不能創(chuàng)建、刪除或者修改VLAN的信息列表。VTPTransparent是另一種工作模式，不參與VTP工作，只對本現(xiàn)有的一些VLAN信息進行維護。如圖4.1所示。圖4.1VTP工作模式（五）HSRP（HotStandbyRouterProtocol）熱備份路由器協(xié)議互聯(lián)網(wǎng)快速發(fā)展，大到國家交通、醫(yī)療、金融穩(wěn)定運行，小到個人社交生活，都在說明我們?nèi)藗儗W(wǎng)絡的依賴性越來越強，所以我們注重網(wǎng)絡的穩(wěn)定性，一個穩(wěn)定可靠的網(wǎng)絡架構體系是現(xiàn)代社會發(fā)展的硬件要求。優(yōu)秀的網(wǎng)絡架構師不僅要有優(yōu)秀的網(wǎng)絡規(guī)劃能力，還需要擁有對未來發(fā)展的遠見和對意料之外的網(wǎng)絡事故有可控能力，基于設備的備份結構一開始就被人們想到了，在服務器上為了數(shù)據(jù)的安全性而采用雙硬盤結構，采用不同模式的存儲陣列來對我們數(shù)據(jù)的安全還有穩(wěn)定提供保障，路由器是整個網(wǎng)絡的一個心臟，如果出現(xiàn)故障，會造成整個網(wǎng)絡癱瘓，假如是骨干路由器，那后果將是打擊性毀滅性的，我們難以估計最終會造成怎樣的損失，因此，人類想到備份路由器，對多個路由器進行同時管理，當其中的一個路由器完全工作不了的情況下，他的全部功能將被系統(tǒng)中的另一個備份路由器進行完全接管，直至系統(tǒng)恢復正常，這一套完整的應急方案我們稱之為熱備份路由協(xié)議。如下圖5.1所示。圖5.1HSRP熱備份熱備份路由器協(xié)議（HSRP）也是思科的私有協(xié)議，就是組合多臺路由器，形成熱備份組，也就是我們說的虛擬路由器，這些路由器里面有一個的狀態(tài)是活躍的。如果活躍狀態(tài)下的路由器出現(xiàn)故障了，將會由備份路由器來接管它的工作。單純站在網(wǎng)絡上的主機的角度來看，網(wǎng)關其實沒有改變，熱備份組就是為了在特定情況下不會由于某個路由器發(fā)生故障而導致網(wǎng)絡癱瘓。（六）VPN（VirtualPrivateNetwork）虛擬專用網(wǎng)絡2020年初爆發(fā)了新冠狀肺炎，疫情的影響非常大，全國上下幾乎所有地方停工停業(yè)停課，人們都居家隔離戶不出門，遠程辦公、居家辦公、線上教學成了今年的關鍵詞，此時此刻人們也感受到了互聯(lián)網(wǎng)的重要性，互聯(lián)網(wǎng)使我們在疫情中停課不停學，居家可辦公，不僅讓我們能夠保障自己的身體健康，而且還能讓我們在家就能高效辦公。虛擬專用網(wǎng)絡VPN保證了消息的安全性。VPN的設立就是服務于在內(nèi)網(wǎng)之外的用戶需要訪問內(nèi)網(wǎng)資源的情況。VPN相對于傳統(tǒng)的遠程訪問，能夠節(jié)約網(wǎng)絡成本和保障傳輸安全，在公用網(wǎng)絡中建立一條專用的網(wǎng)絡，我們可以把它比喻成一條數(shù)據(jù)通訊隧道，隧道這頭是需要訪問公司內(nèi)網(wǎng)的用戶，隧道的另一端是公司內(nèi)網(wǎng)，隧道被加密算法所加密，隧道外的用戶是無法獲取到隧道內(nèi)的傳輸數(shù)據(jù)。VPN是一種基于C/S結構的應用，要求在員工的電腦上安裝VPN的程序端，才能和企業(yè)網(wǎng)建立一個經(jīng)過加密的安全隧道連接。只要通過VPN接入到企業(yè)網(wǎng)絡后，這臺主機就成為了企業(yè)網(wǎng)絡的內(nèi)網(wǎng)部分，就跟實際連接企業(yè)網(wǎng)的主機一樣，能訪問企業(yè)網(wǎng)的數(shù)據(jù)信息資源。實現(xiàn)VNP的關鍵技術有以下幾個方面：（1）隧道技術，隧道協(xié)議將數(shù)據(jù)包重新封裝再發(fā)送。（2）加密解密技術，通過非對稱加密和對稱加密等各種加密算法，進而保證通信安全。（3）密匙管理技術，無論是建立隧道，還是保密通信，都需要密匙管理技術進行支持，用來負責密匙的生成、分發(fā)、控制和跟蹤以及驗證密匙的真實性，確保加密技術的實施。（4）身份認證技術，不是任何用戶都能夠通過VPN訪問內(nèi)網(wǎng)，只有通過了身份認證的用戶才能連接和訪問內(nèi)網(wǎng)，通常使用用戶名和密碼，或者智能卡認證身份。VPN一般的解決方案有以下三種：（1）內(nèi)聯(lián)網(wǎng)VPN（IntranetVPN），一般用于大型企業(yè)，擁有很多在不同地域的分公司，內(nèi)聯(lián)網(wǎng)VPN用于實現(xiàn)企業(yè)內(nèi)部各LAN的安全互連，如圖6.1所示。圖6.1內(nèi)聯(lián)網(wǎng)VPN（IntranetVPN）（2）外聯(lián)網(wǎng)VPN（ExtranetVPN），一般用于企業(yè)連接外部顧客團體。用外聯(lián)網(wǎng)VPN進行認證身份，快速提供訪問公司業(yè)務的權限，如圖6.2所示。圖6.2外聯(lián)網(wǎng)VPN（ExtranetVPN）（3）遠程接入VPN（AccessVPN），適用于類似保險和流動服務性強的企業(yè)、有大量外出流動性辦公人員需要訪問企業(yè)內(nèi)網(wǎng)的情況，遠程接入VPN可以以企業(yè)或企業(yè)人員所需方式來對企業(yè)內(nèi)部網(wǎng)絡資源進行訪問，大大方便了出差的員工對公司網(wǎng)關的訪問，如圖6.3所示。圖6.3遠程接入VPN（AccessVPN）VLAN（VirtualLocalAreaNetwork）虛擬局域網(wǎng)VLAN主要用于路由器和交換機上，但目前主流是用在交換機（三層交換機才有此功能）之中。使用VLAN有什么好處呢，我們要從廣播域來看，當一個局域網(wǎng)足夠龐大的時候，局域網(wǎng)內(nèi)會有大量的通信設備，同一個廣播域中有所有的設備都，當兩臺主機要進行通信時，根據(jù)以太網(wǎng)的通信，需要指定目標MAC地址之后才可以進行正常的通信，所以主機A必須進行ARP請求信息的廣播，我們稱之為Flooding，最終廣播域中的所有主機收到主機A發(fā)出的ARP請求信息，本來只是想讓主機B收到主機A的請求的，但是事實上，數(shù)據(jù)幀已經(jīng)傳遍了全網(wǎng)絡。這樣一來，廣播信息不僅消耗了網(wǎng)絡的整體帶寬，而且網(wǎng)絡中的主機還要消耗CPU資源，形成了無謂的消耗。VLAN的使用就是為了限制局域網(wǎng)通信的廣播域問題，把廣播域分成很多個小的邏輯網(wǎng)絡，有效的隔離了廣播風暴，避免了不必要的資源消耗。不同的VLAN之間的主機是無法直接進行互通的，VLAN間也無法互通。圖3.1是VLAN的一個實例，其中定義了3個不同的VLAN，每個VLAN分布在不同位置的3臺交換機上。圖3.1把交換局域網(wǎng)劃分成多個VLANVLAN的主流劃分方法主要有靜態(tài)分配和動態(tài)分配兩種方法：靜態(tài)分配VLAN是根據(jù)端口劃分的一種方法，管理員不需要考慮端口所連接的設備進行，只要對網(wǎng)絡設備端口進行分配就可以了，這是相對來說最簡單、也是最有用的劃分方法。動態(tài)分配VLAN的好處就是當用戶從一個物理位置移動到其他地方時，其VLAN成員身份是不會發(fā)生改變的。通過把物理網(wǎng)絡劃分成多個VLAN，不僅可以起到控制網(wǎng)絡流量，而且對廣播風暴進行控制，有效減小沖突域，并能提高網(wǎng)絡安全性。企業(yè)網(wǎng)絡搭建涉及的服務器技術介紹（一）DHCP（DynamicHostConfigurationProtocol）動態(tài)主機配置協(xié)議IP地址作為主機訪問互聯(lián)網(wǎng)的一個ID，只有當主機擁有了IP地址才能夠訪問互聯(lián)網(wǎng)。對于我們家庭自用或者小型辦公室自用的網(wǎng)絡，大都是通過網(wǎng)管親自為我們每一部電腦配置IP地址的。但是如果是應用于大型企業(yè)、學校、小區(qū)或者園區(qū)這類相對來說比較大的網(wǎng)絡，通過網(wǎng)管來為主機配置IP是不現(xiàn)實d，主機數(shù)量多，工作量相當大，不僅需要較長的時間進行配置，而且對每臺主機的管理也是很麻煩的。所以，在中大型網(wǎng)絡中使用DHCP服務會非常高效的分配管理網(wǎng)絡內(nèi)的IP地址分配問題。使用DHCP分配IP地址的好處有以下幾點。（1）管理員能夠快速對IP地址進行驗證，不用對每一臺主機單獨進行檢查。（2）DHCP可以在可配置的范圍內(nèi)分配IP地址給主機，所以不存在多臺主機同時使用一個相同的IP地址，避免手工操作的失誤。（3）當主機需要從一個物理位置移動到其他位置的時候，DHCP會重新對主機進行分配IP地址。DCHP服務具體的工作流程如下：（1）有DHCP服務器時，當主機首次啟動時，主機就是一個DHCP客戶端，使用廣播的方式，采用UDP傳輸協(xié)議，發(fā)送出DHCPDiscover報文。服務器的67號端口用來對客戶端發(fā)來的請求消息進行接收，并發(fā)送回應消息到客戶端的68號端口。（2）網(wǎng)絡內(nèi)的DHCP服務器都會接收到客戶端發(fā)來的DHCP發(fā)現(xiàn)報文，然后所以的DHCP服務器都會給出響應，向客戶端發(fā)送一個DHCPOffer報文作為響應報文。（3）客戶端收到響應報文之后就會對其進行處理，越早到達的Offer報文就越先進行處理。客戶端處理后就廣播一個叫DHCPRequest的報文，報文中包含客戶端選擇收到的IP地址和自己所需的IP地址。（4）DHCP服務器接收報文后，會對報文內(nèi)的服務器IP地址和客戶端提出的所需IP地址進行判斷，假如地址符合條件，服務器就會發(fā)送DHCPACK確認報文給客戶端。其中每個IP地址的使用都會有一個期限，叫做使用租期，可以理解為當客戶端需要上網(wǎng)的時候，會使用IP地址，這個地址是在服務器上租用的，如果使用期限到期了，就無法上網(wǎng)了。假如客戶端想繼續(xù)用，那就需要續(xù)租，如果不續(xù)租，IP地址就會被服務器收回。一般我們使用IP地址的期限超過約定時間的一半時，我們會向服務器發(fā)送報文說明要續(xù)租IP地址，如果后面收到了DHCPACK報文，則說明續(xù)期成功，如果沒收到，客戶端還是可以繼續(xù)使用IP地址，無任何影響，直到使用租期超過87.5%時，服務器會廣播DHCPRequest報文來續(xù)租IP地址，如果客戶端收到了來自DHCP服務器發(fā)來的DHCPACK報文，則說明續(xù)期成功，如果沒收到，客戶端還是可以繼續(xù)使用IP地址直至到期，然后重新申請IP地址。（5）客戶端收到確認報文之后，首先檢查IP地址正不正常，如果能地址正?？梢杂?，那將會獲取到IP地址。如果被其他客戶端使用了IP地址，則發(fā)送一個DHCPDecline報文，告知服務器哪個IP地址無法再進行使用了，則把這個IP地址禁用了。這個過程能有效地解決一個IP地址是否會被重復使用的問題。然后客戶端會重新進行申請IP地址的流程。這種工作流程如圖1.1所示。圖1.1DHCP服務器工作原理（二）DNS（DomainNameSystem）域名服務協(xié)議我們訪問網(wǎng)關時，需要訪問某個網(wǎng)站的時候，通常都會直接輸入我們平時說的網(wǎng)址，這個網(wǎng)址域名，這個網(wǎng)址其實是提供服務主機的名字，但是網(wǎng)絡上的計算機之間只能經(jīng)過IP地址進行通信，網(wǎng)址的作用只是為了人們快速記憶才被使用，通迅時，網(wǎng)絡IP地址是由二進制數(shù)組成的（32位），但是為了是人們能夠直觀的看懂，人們會采用點分十進制來表示IP地址，比如說32位二進制數(shù)01100100.00000100.00000101.00000110看似很難，不夠直觀，但是如果轉化成十進制數(shù)就是，這樣就顯得直觀明了，但是人們生活中需要訪問的網(wǎng)站有許多，人們很難記住這些以數(shù)字，所以才發(fā)明域名，通過一個自定義的名字來代替IP地址。當我們需要訪問谷歌的時候，只需要輸入即可訪問百度，而不用記住IP地址，但是在我們輸入谷歌的網(wǎng)站后，起作用的卻是DNS了，DNS將域名解析成IP地址，對谷歌服務器進行訪問，如圖2.1所示。圖2.1訪問谷歌時DNS查詢過程DNS服務器，是提供域名解析服務的，域名系統(tǒng)其實也叫做名字系統(tǒng)，但是在互聯(lián)網(wǎng)的命名系統(tǒng)中使用了很多的域，所以叫域名系統(tǒng)。以前計算機的數(shù)量很少，只有幾百臺，當時是使用了host文件，然后再文件列表里列出了這個網(wǎng)絡上面全部主機的名字和對應的IP地址，當我想訪問張三的主機的時候，只需要輸入張三，即可在host文件列表中找到張三主機對應的IP地址進行訪問，但隨著互聯(lián)網(wǎng)的越來越大，網(wǎng)絡中的主機越來越多，理論上是能夠只用一個DNS服務器，在服務器上裝入互聯(lián)網(wǎng)上所以的主機名和對應的IP地址，但是互聯(lián)網(wǎng)規(guī)模太大，DNS服務器出現(xiàn)負荷會導致不能正常進行工作，一旦DNS無法正常進行工作，整個網(wǎng)絡就會癱瘓了，所以互聯(lián)網(wǎng)標準RFC.1034,1035規(guī)定了DNS要采用聯(lián)機分布式結構。域名系統(tǒng)DNS設計成一個聯(lián)機分布式數(shù)據(jù)庫系統(tǒng)，采用C/S方式。大多數(shù)地址解析都在本地進行，只有極少部分需要在互聯(lián)網(wǎng)上進行通信?；ヂ?lián)網(wǎng)的域名命名都需要根據(jù)域名系統(tǒng)中的域逐層定義，構成一個唯一的域名，每個域名間通過小數(shù)點.進行分隔，用域名樹來表示互聯(lián)網(wǎng)的域名系統(tǒng)如圖2.2。圖2.2互聯(lián)網(wǎng)域名空間結構域名解析的流程就是：當某個進程需要解析主機名得到IP地址的時候，這是就需要調用解析程序，然后成為DNS的客戶端，將待解析的域名發(fā)送給本地域名解析服務器，如果解析成功得到了對應的IP地址，服務器就會將域名所對應的IP地址返回給客戶端，如果解析失敗，那么這個域名服務器就暫時的成為DNS客戶端，繼續(xù)向上一層的域名解析服務器繼續(xù)傳遞解析服務，通過遞歸查詢和迭代查詢直至得到解析，如圖2.3所示2.3DNS遞歸查詢和迭代查詢（三）FTP（FileTransferProtocol）文件傳輸協(xié)議企業(yè)對于一些需要在局域網(wǎng)內(nèi)進行共享的資料，但是如果需要共享給很多個用戶的時候，就需要把文件一個一個的分享給需要者，這是個效率十分低下的方法，假如有一臺電腦，可以集中寄存需要共享的文件，需要使用這些文件的時候可以自行下載，也可以隨便上傳想要分享的文件，那就很大的提高了工作效率。在公司局域網(wǎng)中建立一臺專門用于寄放文件的FTP服務器就可以解決以上苦難。我們平時上網(wǎng)的過程中，本質就是作為FTP客戶端向各種服務提供商的服務器進行訪問。FTP協(xié)議是工作在TCP/IP協(xié)議族的應用層，基于C/S工作模式，采用雙向傳輸，通過采用三次握手方式，建立可靠的TCP連接，保證文件傳輸?shù)母咝Х€(wěn)定可靠。FTP使用兩個分別負責傳輸控制命令的控制端口21和負責傳輸數(shù)據(jù)的數(shù)據(jù)端口20。FTP文件傳輸協(xié)議分別有Standard（Active方式、也稱主動方式）和Passive（PASV、也稱被動方式）。Passive模式FTP的客戶端發(fā)送PASV命令到FTP服務器。兩者的區(qū)別就在于Standard模式是發(fā)送PORT命令，告訴服務器客戶端接收數(shù)據(jù)的具體端口，服務器發(fā)送數(shù)據(jù)時建新的一個連接來發(fā)送數(shù)據(jù)，而Passive模式則是在客戶端在發(fā)送PASV命令時，服務器會在1024—5000之間隨機打開一個端口，并且通知客戶端要在這個指定端口建立數(shù)據(jù)傳輸，不需要再重新建立連接負責傳輸數(shù)據(jù)。具體流程如圖3.1所示。Standard模式Passive模式圖3.1Standard模式和Passive模式WEB服務器是用來存放各種網(wǎng)頁文件的服務器，供訪問者進行瀏覽訪問的服務器，（四）WWW（WorldWideWeb）服務器WWW采用C/S工作模式，由WWW服務器和客戶機（瀏覽器）構成，當我們需要訪問某個網(wǎng)頁時，我們會在瀏覽器中輸入網(wǎng)址，然后瀏覽器就會顯示出我們想訪問的內(nèi)容，其中具體的工作原理如下：當我們輸入完網(wǎng)址后再點擊回車的一瞬間，主機就會開始查找本機DNS緩存，找到對應的IP地址，一般該IP地址對應的服務器就是WWW服務器，它與客戶端建立TCP連接，HTTP協(xié)議是屬于應用層協(xié)議，而TCP協(xié)議是屬于傳輸層協(xié)議，只有當?shù)蛯訁f(xié)定建立后才能建立高層協(xié)議，當TCP連接建立成功后WEB瀏覽器會向WWW服務器發(fā)送請求命令，然后通過HTTP傳輸HTML（超文本標記語言），HTML再經(jīng)過瀏覽器的處理與渲染，最終以網(wǎng)頁的形式出現(xiàn)在屏幕上。我們訪問web服務器的過程如圖4.1所示。圖4.1訪問www服務器過程四、總體方案（一）項目背景及現(xiàn)狀本公司是一家中小型IT軟件公司，負責自主開發(fā)軟件并對其軟件產(chǎn)品進行銷售，對銷售出去的產(chǎn)品進行售后服務，現(xiàn)公司員工規(guī)模有300-400人，公司在軟件產(chǎn)業(yè)園擁有兩棟獨立的辦公樓，公司部門有財務部、研發(fā)部、銷售部、運維部、網(wǎng)絡部、行政部。運維需要出外辦公維護客戶軟件，公司內(nèi)部使用自動化辦公系統(tǒng)、OA系統(tǒng)、ERP系統(tǒng)。（二）流量分析及組網(wǎng)解決方案公司內(nèi)部流量有大量的內(nèi)網(wǎng)互連，各辦公人員需要對FTP服務器進行訪問，局域網(wǎng)內(nèi)文件共享，研發(fā)部在研發(fā)軟件的時候需要占用大量帶寬進行代碼調試及網(wǎng)絡訪問，運維部在對客進行施遠程軟件維護、實施時也需要占用大量帶寬，網(wǎng)絡部需要針對企業(yè)局域網(wǎng)進行安全防護，網(wǎng)絡流量監(jiān)控，對不正常的大量占用帶寬的主機進行限速，保證企業(yè)局域網(wǎng)能夠最大限度的發(fā)揮工作作用，行政部需要處理日常的行政業(yè)務，發(fā)布工作通知，對外發(fā)布WEB信息，財務部為了保證其網(wǎng)絡環(huán)境安全，不允許訪問外網(wǎng)，也不允許外網(wǎng)對其發(fā)起訪問，最大限度的隔離其受到網(wǎng)絡攻擊。組建企業(yè)局域網(wǎng)的要求就是企業(yè)網(wǎng)絡的需求統(tǒng)一、可靠安全、傳輸效率高效、可拓展、可統(tǒng)一管理。在現(xiàn)代網(wǎng)絡資源緊張的時代，合理分配網(wǎng)絡資源，提供最高性能的網(wǎng)絡處理能力。針對企業(yè)的獨特性出發(fā)設計組網(wǎng)方案與網(wǎng)絡拓撲，對該企業(yè)進行一下網(wǎng)絡部署方案：將每個部門劃分在不同VLAN，對企業(yè)內(nèi)部服務器和網(wǎng)絡管理部門創(chuàng)立獨立的VLAN。針對外出辦公的運維人員，在路由器上配置VPN，實現(xiàn)遠程辦公及對內(nèi)部網(wǎng)絡的訪問。通過組建兩臺核心交換機的冗余設計，實現(xiàn)HRSP功能。（三）拓撲設計本次設計用到了cisco公司的路由器、交換機等設備，部署同一公司的設備，可以有效地避免設備不兼容的問題，cisco作為全球領先的網(wǎng)絡設備商，其設備性能和私有協(xié)議是十分可靠的?？煽康挠布O備是組建企業(yè)網(wǎng)絡的基礎。拓撲圖如圖3.1所示。圖3.1網(wǎng)絡拓撲設計圖在圖3.1的網(wǎng)絡拓撲圖中，采用了兩臺三層交換機互連實現(xiàn)HRSP，組成核心交換機，在網(wǎng)絡入口采用企業(yè)級路由器，路由器支持防火墻功能，ACL功能，實現(xiàn)訪問控制，控制內(nèi)網(wǎng)用戶對不安全的外網(wǎng)的訪問，有效的避免外網(wǎng)非法訪問內(nèi)部，內(nèi)網(wǎng)采用星型拓撲結構，這種結構能夠將所以設備都接入網(wǎng)絡，能夠避免單點故障，便于故障排查，當網(wǎng)絡需要進行大型升級改造的時候，星型結構的靈活性就能發(fā)揮作用了。在接入層處使用二層交換機采用堆疊模式，因為一個交換機最多只支持48個快速以太網(wǎng)端口，采用堆疊模式能夠加強網(wǎng)絡拓展性，最大限度地提高性能以及可用性，保障可靠安全性。（四）IP地址規(guī)劃及VLAN劃分目前網(wǎng)絡現(xiàn)狀IP地址緊缺，可用的公網(wǎng)IP地址不多，一般企業(yè)只需要向ISP申請少量的公網(wǎng)IP地址，供企業(yè)網(wǎng)絡對外互連，在企業(yè)內(nèi)網(wǎng)入口路由上配置NAT，實現(xiàn)地址轉換，映射多個內(nèi)網(wǎng)IP地址，供內(nèi)部網(wǎng)絡互連，也能保障內(nèi)網(wǎng)的網(wǎng)絡安全與資源合理分配。，如果企業(yè)條件允許，可向不同的ISP申請多個外網(wǎng)IP地址，不同的ISP線路可以保證服務器對外可靠運行，實現(xiàn)實時聯(lián)網(wǎng)容災備份。目前申請的IP地址都是C類的地址，相對應的內(nèi)網(wǎng)IP我們可以使用網(wǎng)段的內(nèi)網(wǎng)地址，網(wǎng)劃分子網(wǎng)掩碼采用。然后使用VLAN對各部門劃分虛擬子網(wǎng)，將大的廣播域進行劃分，分成許多個小的廣播域，當局域網(wǎng)內(nèi)主機過多并不進行VLAN劃分時，會因為廣播風暴導致網(wǎng)絡癱瘓。具體IP地址及VLAN劃分如下表4.1所示。表4.1VLAN及IP地址編址方案（五）設備選型作為企業(yè)網(wǎng)絡，應該是一個內(nèi)部統(tǒng)一的通信平臺，園區(qū)內(nèi)的設備應該具備有一定的冗余度冗余包括了設備冗余和鏈路冗余，在數(shù)據(jù)鏈路層、網(wǎng)絡層、應用層也應擁有一定的容錯能力，企業(yè)園區(qū)的物理構造中有核心層、匯聚層、接入層，在本設計中，我把匯聚層跟接入層沒有做出很明顯的區(qū)分，把它們劃分到了一起。在本網(wǎng)絡中的核心層，網(wǎng)絡主干區(qū)域配置兩臺核心路由交換機，本是設計使用的是CiscoCatalyst3560-24PS交換機，3560交換機有24個以太網(wǎng)10/100端口，背板帶寬32Gbit/s，完全能夠滿足企業(yè)網(wǎng)絡內(nèi)部數(shù)據(jù)交換要求。匯聚層接入應用4臺CiscoCatalyst2960-24TT交換機，24個以太網(wǎng)10/100Mbps端口,可計算得出核心交換機背板帶寬至少需要9.4Gbps。雖然網(wǎng)管部門也使用了2960交換機，但是網(wǎng)管部門接入的主機數(shù)不會太多，占用帶寬微乎其微，可以忽略不計。企業(yè)入口路由，考慮到是企業(yè)級網(wǎng)絡，需要擁有安全策略及協(xié)議，本設計采用CiscoISR4321路由器，因為4000系列路由器是集成多業(yè)務路由器，適用于分支結構，能夠將企業(yè)內(nèi)網(wǎng)、計算機、廣域網(wǎng)服務集于一身，CiscoISR4321與UCSE系列服務器模塊相結合，形成一個靈活的平臺，能夠輕松應對變化莫測的企業(yè)應用需求，滿足企業(yè)多元化發(fā)展與豐富的拓展性，其運轉的CiscoIOS-XE多核CPU，高效得處理能力，即使在負載高峰期也能游刃有余。CiscoIRS4321支持千兆以太網(wǎng)、T1/E1、T3/E3、PRI和xDSL等各種鏈路，最大程度的保障企業(yè)網(wǎng)絡的吞吐量。基于區(qū)域的VRF感知防火墻和網(wǎng)絡地址裝換NAT服務。服務器集群是網(wǎng)絡用量最大的地方，服務器的選擇很大程度依據(jù)企業(yè)網(wǎng)絡中的業(yè)務需求，對服務器的業(yè)務能力、響應能力的高效與否由服務器的硬件體系結構設計有關，服務器的CPU、硬盤讀寫能力、操作系統(tǒng)的進程能力、可拓展性、散熱、功耗、安裝程度都要進行綜合考慮。所選的服務器必須具備數(shù)據(jù)處理能力強、高可靠性、高吞吐率、可拓展性強的特點。接入層交換機設備采用CiscoCatalyst2960-24TT交換機，2960可堆疊交換機滿足未來的可拓展性，作為建筑接入交換機，提供固定的24口端口密度，容許許多高級交換特性，支持802.1x認證，可綁定MAC、IP、VLAN各種組合，有效的進行訪問控制，阻止非法用戶訪問網(wǎng)絡，從而保障網(wǎng)絡訪問的受控性。五安全體系（一）網(wǎng)絡安全分析企業(yè)網(wǎng)絡分為內(nèi)網(wǎng)和外網(wǎng)，內(nèi)網(wǎng)為內(nèi)部局域網(wǎng)，員工內(nèi)部資源交流與業(yè)務處理，外網(wǎng)為對外服務器，對外網(wǎng)提供資源，整理出可能受到的網(wǎng)絡安全威脅如下：（1）Internet網(wǎng)絡用戶對企業(yè)網(wǎng)存在惡意攻擊及非法訪問。內(nèi)部設備操作系統(tǒng)的漏洞。來自外網(wǎng)的各種病毒、木馬、蠕蟲，可能由內(nèi)部員工通過郵件、u盤將病毒帶入企業(yè)內(nèi)網(wǎng)。內(nèi)部人員通過訪問非法網(wǎng)站，如黃色、暴力、反動網(wǎng)站，將病毒下載到內(nèi)部網(wǎng)絡。外網(wǎng)用戶可能通過惡意工具對內(nèi)網(wǎng)發(fā)動DDOS、DOS攻擊、ARP攻擊、ICMP攻擊、中間人攻擊，導致內(nèi)網(wǎng)癱瘓或網(wǎng)絡信息泄露。企業(yè)內(nèi)部人員對安全意識不夠強，管理體制不夠健全，導致設備的物理損壞。網(wǎng)絡安全需求分析具體要求包括：安全性要求、可控性要求、可管理性要求、用性要求、可恢復性要求、可拓展性、合法性。針對以上威脅，從物理、網(wǎng)絡、系統(tǒng)、管理層、應用等角度進行分析和設計安全方案。（二）物理層安全物理層安全針對實體安全這個概念來描述，實體安全是保護網(wǎng)絡設施、媒體等實體設備免遭自然災害地震等其他環(huán)境事故破壞的措施及過程，針對網(wǎng)絡系統(tǒng)的環(huán)境、場地、設施及操作人員等方面，采用安全技術和措施。主要包括防盜、防火、防靜電、防雷擊、防電磁泄漏。由于網(wǎng)絡核心設備是盜竊者重點的盜竊對象，而核心設備往往存儲了大量重要資料，被盜取的損失往往大于設備本身的價值，因此采取重點保護措施，對機房設備采取嚴格的物理防護，如對核心設備進行集中存放，嚴格控制接觸核心設備人員。網(wǎng)絡中心機房發(fā)生火災一般都是因為電氣原因、人為事故、外部火災蔓延等，電氣設備因為短路、過載接觸不良、絕緣層破壞等引起電打火，日常檢查核心設備的物理健康狀況，能有效避免設備起火。防靜電則因為電氣設備的靜電沒有得到釋放，高電位保留在設備上，引起靜電放電火花，引起火災。傳統(tǒng)避雷針不僅增大受擊可能性，而且還會產(chǎn)生感應雷，突然的高電壓會對設備造成破壞性損壞，還會引起火災。防電磁輻射則是由電氣設備工作過程中產(chǎn)生的電輻射，電輻射可被靈敏設備接收，并且進行監(jiān)聽、分析、還原，造成信息泄漏。（三）網(wǎng)絡層安全企業(yè)內(nèi)部網(wǎng)絡作為一個大的局域網(wǎng)，可控性難以得到控制，通過劃分子網(wǎng)將局域網(wǎng)劃分成多個子網(wǎng)，以子網(wǎng)為安全單位進行管控，以及劃分VLAN加以管控，對網(wǎng)絡邊界進行訪問控制設置，如企業(yè)內(nèi)網(wǎng)、企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，利用防火墻策略進行訪問控制和流量過濾，在網(wǎng)絡入口區(qū)域設立入侵檢測系統(tǒng)IDS。按需要對服務器與通信主機間使用電子簽章和電子信封等各種安全管控技術，建立安全可靠通信信道。在內(nèi)網(wǎng)與網(wǎng)外邊界建立防火墻，管控企業(yè)內(nèi)網(wǎng)與外網(wǎng)之間的數(shù)據(jù)傳輸與與數(shù)據(jù)存取。網(wǎng)絡管理員應根據(jù)企業(yè)網(wǎng)絡安全需求制定相關網(wǎng)絡安全使用規(guī)定、安全等級分級策略，建立身份認證機制，入網(wǎng)服務、出網(wǎng)服務和稽查準則，防止數(shù)據(jù)在傳輸過程中被竊聽、修改、刪除、下載等非法操作。（四）系統(tǒng)層安全針對操作系統(tǒng)，及時的掃描漏洞及對漏洞進行修復，對存放大量機密資料數(shù)據(jù)的服務器及大型主機，應設置高級密碼，規(guī)劃高級安全等級，強化登錄身份認證機制，防止非法使用者冒用合法用戶身份登錄系統(tǒng)，限制遠程登錄及遠程撥接，不允許機密數(shù)據(jù)經(jīng)電話線路或網(wǎng)際網(wǎng)絡傳輸，防止網(wǎng)絡服務如FTP、HTTP、Telnet等密碼被竊聽及截取。針對企業(yè)內(nèi)部網(wǎng)絡大型主機及服務器，禁止遠程登錄等方式，對IDS和防火墻系統(tǒng)軟件要及時更新版本。針對對外服務器可能受到的攻擊如DDOS、ARP攻擊等，惡意破壞者可能發(fā)送操作指令或大量資料等手段，導致服務器癱瘓，提前對服務器進行配置與數(shù)據(jù)分流設置。（五）應用層安全禁止網(wǎng)絡用戶使用非法軟件，經(jīng)網(wǎng)絡下載的未知軟件應用應由網(wǎng)絡管理員事先測試及掃描過后，安全性得到確認方可在內(nèi)網(wǎng)進行安裝執(zhí)行。內(nèi)網(wǎng)的大型主機及服務器上，因安裝防病毒軟件，網(wǎng)絡管理員應定期使用殺毒軟件及掃描工具，對內(nèi)網(wǎng)進行日常殺毒及漏洞掃描，分析病毒與惡意軟件可能入侵的管道，提前對有風險的端口與軟件進行卸載或修復。當發(fā)現(xiàn)以有病毒或惡意軟件入侵網(wǎng)絡時，應及時對受感染主機用戶進行通知，及時對其進行離線操作，使其與企業(yè)網(wǎng)絡未感染區(qū)域隔離，直到對受感染主機清除病毒，清除后門后，方可在網(wǎng)絡上線，網(wǎng)絡管理員要對感染情況進行日志保存，路徑追蹤，對威脅應用及漏洞進行查封。（六）管理層安全根據(jù)企業(yè)安全管理需求，針對性制網(wǎng)絡安全管理條例，嚴格篩選網(wǎng)絡管理人員，網(wǎng)絡管理人員嚴格按照網(wǎng)絡安全管理條例對企業(yè)網(wǎng)絡安全進行監(jiān)控、維護、管理，在授權范圍內(nèi)進行企業(yè)網(wǎng)絡資源的存取與修改。網(wǎng)絡管理者要對網(wǎng)絡管理密匙嚴密管控，不得非法授權其他人員對企業(yè)網(wǎng)絡進行訪問與修改，對惡意訪問破壞企業(yè)網(wǎng)絡的用戶進行拒絕訪問，對內(nèi)部破壞網(wǎng)絡的使用者進行監(jiān)控、警告、降權。網(wǎng)絡管理員是企業(yè)網(wǎng)絡的守護神，應該為企業(yè)網(wǎng)絡安全的可靠運行提供保駕護航。針對網(wǎng)絡信息安全事件危機，應當有響應的處理方案，在網(wǎng)絡初期應制定準備方案，管理人員要與網(wǎng)絡發(fā)展實時共進，了解最新的網(wǎng)絡攻擊手段與解決方案，提前落實安全防護工作，如熟知操作系統(tǒng)與常用軟件版本更新機制、帳號與密碼的更新管理、規(guī)劃災后恢復計劃等，提前的準備能夠為后面的信息安全事件處理提供可靠的幫助與參考，也能大大的減少遭受網(wǎng)絡攻擊的風險幾率。程序性的處理信息安全事件，針對網(wǎng)絡安全事件癥狀對癥下藥，對遭受風險的設備進行封鎖、移除、恢復，對攻擊者的取證、追蹤、封鎖，避免網(wǎng)絡攻擊事件再次發(fā)生。六仿真實現(xiàn)以下仿真拓撲圖是根據(jù)以上設計方案綜合考慮設計、設備選取、網(wǎng)絡搭建的具體配置參數(shù)。為了網(wǎng)絡設計的簡化，提高網(wǎng)絡可拓展性，提高實用性與管理性，我把企業(yè)網(wǎng)絡分層管理，劃分成核心層、匯聚層、接入層，分別對三層進行配置與講解。 （一）仿真實驗拓撲圖本實驗通過在packettracer上搭建網(wǎng)絡仿真拓撲圖，對網(wǎng)絡進行配置與搭建，總體拓撲圖如圖1.1所示圖1.1仿真實驗拓撲圖拓撲圖中，每種顏色是一個VLAN區(qū)域，方便進行管理，該企業(yè)網(wǎng)絡拓撲如圖所示，由一個企業(yè)級路由器連接Internet，然后由路由器接入核心層的兩臺構成冗余組的核心三層交換機，核心交換機上連接了內(nèi)部核心服務器集群，和企業(yè)網(wǎng)絡接入層的交換機。（二）配置接入層交換機的基本參數(shù)接入層交換機作用基本相同，所以選取財務部的交換機進行說明：所有接入交換機僅對上下行接口配置工作模式及透傳VLAN，對外網(wǎng)服務器接入交換機使用默認配置接入層交換機通過FastEthernet0/1和FastEthernet0/2端口連接核心交換機，這兩條鏈路是主干鏈路，需要在此兩個端口設置成trunk模式interfaceFastEthernet0/1//進入接口0/1端口（0/1是連接核心交換機1的端口）switchportmodetrunk//端口模式設置為trunkinterfaceFastEthernet0/2//進入接口0/2端口（0/2是連接核心交換機2的端口）switchportmodetrunk//端口模式設置為trunk在接入層交換機上，可對交換機端口進行配置，對其端口終端進行VLAN劃分。interfaceFastEthernet0/3//進入接口0/3端口（0/3是連接接入終端的端口）switchportaccessvlan10//把該端口的接入終端劃分到VLAN10switchportmodeaccess//端口模式設置為access因為網(wǎng)絡使用將vtp技術，將核心交換機設置成VTP服務器，將接入層的交換機設置成VTP的客戶機，這樣客戶機就會通過VTP服務器獲取所以VLAN的信息，Switch(config)#vtpmodeclient（三）配置核心層交換機的基本參數(shù)核心層的設備是本企業(yè)網(wǎng)絡中的核心設備，負責網(wǎng)絡的數(shù)據(jù)高速轉發(fā)工作，本設計中，沒有嚴格區(qū)分核心層和匯聚層，我兩層融合在了一起，方便管理，核心層設備如圖3.1所示：圖3.1核心層交換機本設計中，核心層交換機用到了兩臺，設備冗余和鏈路冗余提供容災處理，兩臺核心交換機配置大致一樣，在HSRP上由主從關系，具體配置參數(shù)如下：核心交換機1作為VTPserver，負責創(chuàng)建vlan，管理vlan，配置VTP自動關聯(lián)vlan，分別根據(jù)規(guī)劃需求創(chuàng)建VLAN，vtpmodeserver//設置核心交換機1為VTPservervtpdomainaavlan10//創(chuàng)建vlan10vlan20//創(chuàng)建vlan20，以下同理vlan30vlan40vlan50vlan100vlan110三層交換機擁有路由功能，開啟交換機路由功能iprouting配置STP生成樹及負載均衡spanning-treemoderapid-pvstspanning-treevlan1,10,20,30,40priority0spanning-treevlan50,100,110priority4096配置鏈路聚合接口工作模式interfacePort-channel1switchporttrunkencapsulationdot1qswitchportmodetrunk配置端口工作模式，分別對各個端口進行工作模式端口配置，配置如下。interfaceFastEthernet0/1switchporttrunkencapsulationdot1qswitchportmodetrunk加入聚合組1interfaceFastEthernet0/23switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeoninterfaceFastEthernet0/24switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeon進入G0/1接口，配置到路由器的接口IP地址interfaceGigabitEthernet0/1noswitchportipaddress52配置SVI接口及HSRPinterfaceVlan10ipaddress53iphelper-addressipaccess-groupcwout//應用名為cw的ACL訪問控制列表，方向為outstandby10ip54standby10priority125standby10preemptinterfaceVlan20ipaddress53iphelper-addressstandby20ip54standby20priority125standby20preemptinterfaceVlan30ipaddress53iphelper-addressstandby30ip54standby30priority125standby30preemptinterfaceVlan40ipaddress53iphelper-addressstandby40ip54standby40priority125standby40preemptinterfaceVlan50ipaddress53iphelper-addressstandby50ip54standby50preemptinterfaceVlan100ipaddress53standby100ip54standby100preemptinterfaceVlan110ipaddress53standby110ip54standby110preempt配置動態(tài)路由routerospf1networkarea0network55area0network55area0network55area0network55area0network55area0network55area0network55area0配置ACL允許源55到目的55，以及源55到目的55，禁止其他任何通信ipaccess-listextendedcwpermitip5555permitip5555denyipanyany核心交換機2配置參數(shù)與核心交換機1大同小異，相同的我就不一一列出來了，這里只列舉下核心交換機2不同與核心交換機1的配置：核心交換機2相對于核心交換機1，vtp為客戶端，STP組優(yōu)先級別互換vtpmodeclient配置STP生成樹及負載均衡spanning-treemoderapid-pvstspanning-treevlan50,100,110priority0spanning-treevlan1,10,20,30,40priority4096（四）廣域網(wǎng)接入模塊本設計中，廣域網(wǎng)接入模塊采用CiscoISR4321路由器如圖4.1，支持內(nèi)部防火墻與VPN、NAT等，對入口路由器具體配置參數(shù)如下：圖4.1廣域網(wǎng)接入模塊針對外出工作人員，配置easyvpn，對其提供VPN服務，啟動aaa認證aaanew-modelaaaauthenticationloginvpn-alocalaaaauthorizationnetworkvpn-olocal//建立用戶名密碼usernamevpnpassword0vpn123//配置第一階段ipsec安全參數(shù)，序號為10cryptoisakmppolicy10hashmd5authenticationpre-share//建立easyvpn組名為vpngroupcryptoisakmpclientconfigurationgroupvpngroupkeyvpn123poolVPN-POOL//配置ipsect第二階段策略，命名為vpn，加密方式為3des，完整性校驗算法為MD5cryptoipsectransform-seteasy-setesp-3desesp-md5-hmac配置動態(tài)加密圖cryptodynamic-mapd-map10settransform-seteasy-setreverse-route配置easyvpn用戶的認證授權cryptomapeasy-mapclientauthenticationlistvpn-acryptomapeasy-mapisakmpauthorizationlistvpn-ocryptomapeasy-mapclientconfigurationaddressrespondcryptomapeasy-map10ipsec-isakmpdynamicd-map配置接口Ip及應用NAT入口interfaceGigabitEthernet0/0/0ipaddress52ipnatinsideinterfaceGigabitEthernet0/0/1ipaddress52ipnatinsideinterfaceVlan120ipaddress54ipnatinside配置接口IP及應用nat出口,應用名為easy-vpn的easyvpnmapinterfaceSerial0/1/0ipaddress52ipnatoutsidecryptomapeasy-map更改工作模式，透傳vlan120interfaceGigabitEthernet0/2/0switchportaccessvlan120switchportmodeaccessswitchportnonegotiate配置OSPF動態(tài)路由routerospf1networkarea0networkarea0network55area0default-informationoriginate配置本地地址池供esayvpn使用iplocalpoolVPN-POOL54配置natipnatinsidesourcelistnatinterfaceSerial0/1/0overloadipnatinsidesourcestatictcp8080ipnatinsidesourcestaticudp500500ipnatinsidesourcestatic配置nat的aclipaccess-listextendednatdenyip55anydenyip55anypermitipanyany//配置默認路由iproute廣域網(wǎng)模塊還有通過路由器模擬廣域網(wǎng)，對ISP路由器配置參數(shù)：配置接口IP，作為互聯(lián)網(wǎng)用戶使用interfaceGigabitEthernet0/0/0ipaddress54配置接口IP，連接出口路由器，作為運營商分配的IP網(wǎng)關給公司使用。interfaceSerial0/1/0ipaddress52clockrate64000參考文獻[1]謝希仁．計算機網(wǎng)絡［J］．電子工業(yè)出版社，2017.1：286-288.

[2]斯桃枝.路由協(xié)議與交換技術［J］.清華大學出版社，2012.11：11-14.[3]葉阿勇.計算機網(wǎng)絡實驗與學習指導——基于Ciscopackettracer模擬器［J］.電子工業(yè)出版社，2014.11：11-14.

[4]崔北亮、陳家遷.非常網(wǎng)管，網(wǎng)絡管理從入門到精通（修訂版）［J］.人民郵電出版社，2010.12：110-342.

[5]雷震甲.網(wǎng)絡工程師教程（第五版）［J］.清華大學出版社，2018.

[6]崔洪洋．基于packettracer的企業(yè)網(wǎng)絡設計及安全實現(xiàn)［Ｄ］．湖南：湖南工程學院，2014．[7]基于packettracer的企業(yè)網(wǎng)絡設計［D］.商丘師范，2014[8]\o"dengzhongmingabc"dengzhongmingabc．公司局域網(wǎng)如何組建公司局域網(wǎng)搭建方法［EB/OL］．/dengzhongmingabc/article/details/81078341,2018.7.17[9]練振興.淺談校園網(wǎng)VRRP部署[J].電腦知識與技術,2018(25):29-30.

[10]李聰慧.淺析校園網(wǎng)絡防病毒體系[J].信息安全與技術,2011(05):38-40.

[11]朱振宇.現(xiàn)代電信技術實驗室數(shù)據(jù)通信綜合實驗設計方法[J].長沙通信職業(yè)技術學院學報,2012(01):26-32.

[12]崔思東.基于客戶需求的交換機、路由器選擇方案[J].電子世界,2012(17):18-18.

[13]劉沖.淺談VLAN在AIMS系統(tǒng)維護中的應用[J].數(shù)字技術與應用,2010(02):14-15.

[14]王宏群尹向兵.仿真軟件在網(wǎng)絡工程實驗教學中的應用[J].安徽警官職業(yè)學院學報,2013(02):116-116.

[15]董德順.FTP主動和被動傳輸區(qū)別[J].才智,2010(07):47-47.

[16]孫光懿.基于HSRP和RIP協(xié)議實現(xiàn)校園網(wǎng)出口多組負載均衡[J].實驗室研究與探索,2017(12):5-5.

[17]李貴華.配管VLAN“兩不誤”[J].網(wǎng)絡運維與管理,2014(9):2-2.

[18]ThomasWeiseRaymondChiong.EvolutionaryOptimizationPitfallsandBoobyTraps[J].JournalofComputerScience&,2012(05):7-36.

[19]司桂榮張藝弛宗國升陶佰睿.基于三層交換技術的虛擬局域網(wǎng)規(guī)劃設計[J].內(nèi)蒙古師范大學學報(自然科學漢文版),2014(01):106-110.

[20]李安邦.華為和思科VLAN實現(xiàn)的分析與比較[J].電腦知識與技術,2018(27):33-35.[21]馮乃光程曦.基于端口引用訪問的ACL包過濾技術實現(xiàn)[J].現(xiàn)代電子技術,2009(20):90-92.

[22]劉利李津生洪佩琳朱文濤.基于策略的組播接入控制研究[J].應用科學學報,2005(02):108-111.

[23]奚婧胡文驊.基于Net平臺的DNS域名解析仿真實驗教學設計[J].中國信息技術教育,2019(08):108-111.

[24]岳建平嚴劍煒陳潔.淺議我校精品課程網(wǎng)絡資源的共享控制[J].現(xiàn)代經(jīng)濟信息,2009(07):207-207.

[25]游勝玉何璘琳趙美麗.基于GNS3的計算機網(wǎng)絡仿真實驗教學研究[J].東華理工大學學報(社會科學版),2015(01):88-91.

[26]賀文華陳志剛.虛擬局域網(wǎng)技術研究[J].計算機時代,2007(11):31-35.

[27]張振江蔣巍張哲.靜態(tài)綁定技術在局域網(wǎng)管理中應用[J].電腦知識與技術,2012(10):33-34.

[28]孫立新張栩之.關于計算機網(wǎng)絡系統(tǒng)物理安全研究與分析[J].網(wǎng)絡安全技術與應用,2009(10):68-69.

謝辭為時一個學期的畢業(yè)設計即將結束了，這也意味者我在北京理工大學珠海學院的大學生涯也即將結束。在畢業(yè)設計這段時間里，我得到了很大的自身提高，其中包含了對汽車系統(tǒng)知識的理解、還有對有關這方面書籍的認識等等，這些都得益于老師和同學的大力幫助，…….附錄附錄1程序源代碼ISP_running-config： interfaceGigabitEthernet0/0/0ipaddress54interfaceSerial0/1/0ipaddress52clockrate64000出口路由器_running-config：aaanew-modelaaaauthenticationloginvpn-alocalaaaauthorizationnetworkvpn-olocalusernamevpnpassword0vpn123cryptoisakmppolicy10hashmd5authenticationpre-sharecryptoisakmpclientconfigurationgroupvpngroupkeyvpn123poolVPN-POOLcryptoipsectransform-seteasy-setesp-3desesp-md5-hmaccryptodynamic-mapd-map10settransform-seteasy-setreverse-routecryptomapeasy-mapclientauthenticationlistvpn-acryptomapeasy-mapisakmpauthorizationlistvpn-ocryptomapeasy-mapclientconfigurationaddressrespondcryptomapeasy-map10ipsec-isakmpdynamicd-mapinterfaceGigabitEthernet0/0/0ipaddress52ipnatinsideinterfaceGigabitEthernet0/0/1ipaddress52ipnatinsideinterfaceSerial0/1/0ipaddress52ipnatoutsidecryptomapeasy-mapinterfaceGigabitEthernet0/2/0switchportaccessvlan120switchportmodeaccessswitchportnonegotiateinterfaceVlan120ipaddress54ipnatinsiderouterospf1networkarea0networkarea0network55area0default-informationoriginateiplocalpoolVPN-POOL54ipnatinsidesourcelistnatinterfaceSerial0/1/0overloadipnatinsidesourcestaticipnatinsidesourcestatictcp8080iprouteipaccess-listextendednatdenyip55anydenyip55anypermitipanyany核心交換機1_running-config：vtpmodeservervtpdomainaavlan10vlan20vlan30vlan40vlan50vlan100vlan110iproutingspanning-treemoderapid-pvstspanning-treevlan1,10,20,30,40priority0spanning-treevlan50,100,110priority4096interfacePort-channel1switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/1switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/2switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/3switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/4switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/5switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/6switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/7switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/8switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/9switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/10switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/23switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeoninterfaceFastEthernet0/24switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeoninterfaceGigabitEthernet0/1noswitchportipaddress52interfaceVlan10ipaddress53iphelper-addressipaccess-groupcwoutstandby10ip54standby10priority125standby10preemptinterfaceVlan20ipaddress53iphelper-addressstandby20ip54standby20priority125standby20preemptinterfaceVlan30ipaddress53iphelper-addressstandby30ip54standby30priority125standby30preemptinterfaceVlan40ipaddress53iphelper-addressstandby40ip54standby40priority125standby40preemptinterfaceVlan50ipaddress53iphelper-addressstandby50ip54standby50preemptinterfaceVlan100ipaddress53standby100ip54standby100preemptinterfaceVlan110ipaddress53standby110ip54standby110preemptrouterospf1networkarea0network55area0network55area0network55area0network55area0network55area0network55area0network55area0ipaccess-listextendedcwpermitip5555permitip5555denyipanyany核心交換機2_running-config：vtpmodeclientiproutingspanning-treemoderapid-pvstspanning-treevlan50,100,110priority0spanning