中小型企業(yè)網(wǎng)絡(luò)的構(gòu)建本科畢業(yè)論文設(shè)計(jì)

1、中小型企業(yè)網(wǎng)絡(luò)的構(gòu)建network construction of small and medium-sized enterprises摘 要隨著現(xiàn)代科技的發(fā)展及計(jì)算機(jī)技術(shù)與通訊技術(shù)的結(jié)合，計(jì)算機(jī)幾乎成了每個(gè)企業(yè)的必備設(shè)備，超過一半的企業(yè)擁有自己的網(wǎng)絡(luò)。企業(yè)網(wǎng)絡(luò)不僅可以提供給我們一個(gè)現(xiàn)代化的高效、快捷、安全的辦公環(huán)境，還可以進(jìn)行高速的數(shù)據(jù)傳輸和實(shí)現(xiàn)生產(chǎn)自動(dòng)化。本文根據(jù)網(wǎng)絡(luò)構(gòu)建的原則，從技術(shù)基礎(chǔ)、方案選擇、構(gòu)建方法等方面對(duì)組建一個(gè)中小型企業(yè)網(wǎng)絡(luò)進(jìn)行了分析，在此基礎(chǔ)上構(gòu)建了網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，并進(jìn)行了詳細(xì)的設(shè)計(jì)及配置，為一些類似的企業(yè)公司的網(wǎng)絡(luò)建設(shè)提供了一個(gè)可供參考的模板。最后文章對(duì)網(wǎng)絡(luò)建設(shè)過程中的一

2、些實(shí)踐經(jīng)驗(yàn)進(jìn)行了總結(jié)和討論。關(guān)鍵詞：網(wǎng)絡(luò)；交換機(jī)；路由器；服務(wù)器。abstractwith the development of modern technology and computer technology and communication technology combined with, the computer seems to have become essential equipment for each enterprise. more than half of enterprises have their own network. enterprise network c

3、an not only provide us with a modern, efficient, fast and safe office environment, but also high-speed data transfer and production automation.according to the construction principles, the hardware and software of composing small and medium-sized enterprises networks are analyzed from the aspects su

4、ch as technological base, scheme selection and construction method. on the basis of above, the network topology is constructed. and carried out detailed design and configuration. it can be the reference pattern for similar instances. finally, the practical experience in the process of network constr

5、uction is summarized and discussed.key words: network; switch hub; router; server.1需求分析11.1網(wǎng)絡(luò)平臺(tái)實(shí)現(xiàn)的功能11.2網(wǎng)絡(luò)平臺(tái)的特點(diǎn)12網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)22.1網(wǎng)絡(luò)設(shè)計(jì)原則22.2網(wǎng)絡(luò)設(shè)計(jì)模型32.2.1核心層32.2.2分布層42.2.3接入層42.3系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu)53網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)及配置63.1交換模塊設(shè)計(jì)63.1.1接入層交換服務(wù)的實(shí)現(xiàn)配置接入層交換機(jī)63.1.2分布層交換服務(wù)的實(shí)現(xiàn)配置分布層交換機(jī)103.1.3核心層交換服務(wù)的實(shí)現(xiàn)配置核心層交換機(jī)153.2廣域網(wǎng)接入模塊設(shè)計(jì)173.2.1配置接入路由

6、器internetrouter的基本參數(shù)173.2.2配置接入路由器internetrouter的各接口參數(shù)173.2.3配置接入路由器internetrouter的路由功能183.2.4配置接入路由器internetrouter上的nat183.2.5設(shè)置接入路由器internetrouter上的acl193.3遠(yuǎn)程訪問設(shè)計(jì)和程訪問模塊設(shè)213.4服務(wù)器模塊設(shè)計(jì)224系統(tǒng)總結(jié)231 需求分析1.1 網(wǎng)絡(luò)平臺(tái)實(shí)現(xiàn)的功能作為高速傳輸數(shù)據(jù)、高質(zhì)量通訊和自動(dòng)化管理的網(wǎng)絡(luò)平臺(tái)，應(yīng)具有一下功能：1.實(shí)現(xiàn)企業(yè)內(nèi)資源共享，提供管理應(yīng)用系統(tǒng)，實(shí)現(xiàn)企業(yè)辦公自動(dòng)化。2.接入internet，共享網(wǎng)絡(luò)資源。3.企業(yè)

7、擁有自己的ip地址和域名。4.建立企業(yè)email系統(tǒng)和內(nèi)部通訊系統(tǒng)。5.在公司主機(jī)上建立網(wǎng)站，提供對(duì)外宣傳的信息平臺(tái)。1.2 網(wǎng)絡(luò)平臺(tái)的特點(diǎn)網(wǎng)絡(luò)平臺(tái)是企業(yè)信息化的核心，要求具有高可靠性、高性能、良好可擴(kuò)展性以及端到端的qos服務(wù)質(zhì)量保證。高可用性必須是一個(gè)端到端的網(wǎng)絡(luò)目標(biāo)。網(wǎng)絡(luò)設(shè)備、服務(wù)器集群、操作系統(tǒng)及網(wǎng)絡(luò)接口卡必須作為一個(gè)統(tǒng)一的生態(tài)系統(tǒng)協(xié)同工作，以恢復(fù)任何服務(wù)器、鏈路或網(wǎng)絡(luò)設(shè)備的故障。在考慮設(shè)備硬件可靠性和連接鏈路冗余的同時(shí)，應(yīng)關(guān)注網(wǎng)絡(luò)系統(tǒng)在不同層次上對(duì)系統(tǒng)可用性的軟件功能支持能力，另外容易被忽略的高可用性因素統(tǒng)一的設(shè)備軟件操作平臺(tái)。如果不同設(shè)備采用不同的軟件系統(tǒng)，兼容性、開放性和可擴(kuò)展性

8、都會(huì)受到影響。qos(服務(wù)質(zhì)量保證)是保證向網(wǎng)絡(luò)業(yè)務(wù)提供有品質(zhì)的服務(wù)。它為網(wǎng)絡(luò)中的數(shù)據(jù)劃分優(yōu)先級(jí)，對(duì)于某些數(shù)據(jù)，如語(yǔ)音、視頻等，給予高的優(yōu)先級(jí)，使他們?cè)诰W(wǎng)絡(luò)中優(yōu)先傳輸，來(lái)保證通話及視頻的質(zhì)量。在應(yīng)用系統(tǒng)較為簡(jiǎn)單的網(wǎng)絡(luò)發(fā)展的初期，常常被對(duì)應(yīng)于簡(jiǎn)單的概念，例如設(shè)備可以支持的隊(duì)列數(shù)量等。在網(wǎng)絡(luò)應(yīng)用日趨復(fù)雜的環(huán)境下，如何在有限的網(wǎng)絡(luò)資源里充分保障各類應(yīng)用的實(shí)施，是一個(gè)非常復(fù)雜的問題，實(shí)施qos，是端到端的概念，不是單個(gè)設(shè)備的問題，而是涉及整個(gè)園區(qū)網(wǎng)、甚至跨廣域網(wǎng)的問題。qos的管理和部署可能需要涉及到不同城市、不同廠區(qū)、不同大樓的每一臺(tái)網(wǎng)絡(luò)設(shè)備，甚至每一個(gè)端口。因此，在選擇網(wǎng)絡(luò)設(shè)備和供應(yīng)商的時(shí)候，要擦

9、亮眼睛看看供應(yīng)商的qos能做到什么程度。2 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)2.1 網(wǎng)絡(luò)設(shè)計(jì)原則1） 開放性：系統(tǒng)設(shè)計(jì)應(yīng)采用開放技術(shù)、開放結(jié)構(gòu)、開放系統(tǒng)組件和開放用戶接口，以利于網(wǎng)絡(luò)的維護(hù)、擴(kuò)展升級(jí)及與外界信息的溝通。2） 安全性：應(yīng)能在可靠性的前提下，抵擋來(lái)自內(nèi)部和外部的攻擊；采用的安全措施有效、可信，能夠在多層次上、以多種方式實(shí)現(xiàn)安全的控制。3） 可靠性：系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜，同時(shí)在部分子系統(tǒng)中存在較高的技術(shù)性，因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運(yùn)行，具有很高的mtbf(平均無(wú)故障工作時(shí)間)和極低的mtbr(平均無(wú)故障率)，提高容錯(cuò)設(shè)計(jì)，支持故障檢測(cè)和恢復(fù)，可管理性強(qiáng)。網(wǎng)絡(luò)必須是可靠的，包括網(wǎng)元級(jí)的可靠性，

10、如引擎、風(fēng)扇、單板、總計(jì)等；以及網(wǎng)絡(luò)級(jí)的可靠性，如路由、交換的匯聚，鏈路冗余，負(fù)載均衡等。網(wǎng)絡(luò)必須具有足夠高的性能，滿足業(yè)務(wù)的需要。具有容錯(cuò)功能，能滿足企業(yè)所在地環(huán)境、氣候條件，抗干擾能力強(qiáng)，對(duì)網(wǎng)絡(luò)的設(shè)計(jì)、選型、安裝、調(diào)試等各環(huán)節(jié)進(jìn)行統(tǒng)一規(guī)劃和分析，確保系統(tǒng)運(yùn)行可靠。4） 統(tǒng)一性：在系統(tǒng)的設(shè)計(jì)過程中，堅(jiān)持“三統(tǒng)一”，即統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一出口。5） 先進(jìn)性：在系統(tǒng)的選擇與開發(fā)過程中，既能滿足當(dāng)前網(wǎng)絡(luò)的應(yīng)用需求，又可以在將來(lái)需要擴(kuò)展的時(shí)候，能方便地?cái)U(kuò)展，保護(hù)目前的所有投資；設(shè)計(jì)的配置可以靈活變通，以便適應(yīng)客戶的其他要求。6） 經(jīng)濟(jì)性：在充分滿足以上要求的前提下，應(yīng)充分考慮到企業(yè)的經(jīng)濟(jì)承受能力

11、，盡可能地節(jié)約投資，花好每一分錢。著眼于近期目標(biāo)和長(zhǎng)期的發(fā)展，選用先進(jìn)的設(shè)備進(jìn)行最佳性能組合，利用有限的投資構(gòu)造一個(gè)性能最佳的網(wǎng)絡(luò)系統(tǒng)。7） 實(shí)用性：實(shí)用性設(shè)計(jì)應(yīng)能滿足目前對(duì)網(wǎng)絡(luò)應(yīng)用的要求，充分實(shí)現(xiàn)內(nèi)部管理、信息化等要求，使網(wǎng)絡(luò)的整體性能盡快得到充分的發(fā)揮，并且便于掌握。8） 標(biāo)準(zhǔn)化：網(wǎng)絡(luò)系統(tǒng)應(yīng)符合ieee 802.3、ieee 802.3u、ieee 802.3z等以太網(wǎng)標(biāo)準(zhǔn)和ieee 802.1p、ieee 802.1q、wbm等網(wǎng)絡(luò)管理標(biāo)準(zhǔn)。2.2 網(wǎng)絡(luò)設(shè)計(jì)模型在中型企業(yè)網(wǎng)的設(shè)計(jì)中，一般采用層次化模型來(lái)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。所謂“層次化”模型，就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成幾個(gè)層次，每個(gè)層次著重于

12、某些特定的功能，這樣就能夠使一個(gè)復(fù)雜的大問題變成許多簡(jiǎn)單的小問題?！昂诵膶?分布層-接入層”層次化網(wǎng)絡(luò)設(shè)計(jì)模型有如下優(yōu)點(diǎn)： l 節(jié)省成本：在采用層次模型之后，各層次各司其職，不再在同一個(gè)平臺(tái)上考慮所有的事情。層次模型模塊化的特性使網(wǎng)絡(luò)中的每一層都能夠很好地利用帶寬，減少了對(duì)系統(tǒng)資源的浪費(fèi)。l 易于理解 ：層次化設(shè)計(jì)使得網(wǎng)絡(luò)結(jié)構(gòu)清晰明了，可以在不同的層次實(shí)施不同難度的管理，降低了管理成本。 l 易于擴(kuò)展 ：在網(wǎng)絡(luò)設(shè)計(jì)中，模塊化具有的特性使得網(wǎng)絡(luò)增長(zhǎng)時(shí)網(wǎng)絡(luò)的復(fù)雜性能夠限制在子網(wǎng)中，而不會(huì)蔓延到網(wǎng)絡(luò)的其他地方。而如果采用扁平化和網(wǎng)狀設(shè)計(jì)，任何一個(gè)節(jié)點(diǎn)的變動(dòng)都將對(duì)整個(gè)網(wǎng)絡(luò)產(chǎn)生很大影響。l 易于排錯(cuò)：層

13、次化設(shè)計(jì)能夠使網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分解為易于理解的子網(wǎng)，網(wǎng)絡(luò)管理者能夠輕易地確定網(wǎng)絡(luò)故障的范圍，從而簡(jiǎn)化了排錯(cuò)過程。2.2.1 核心層核心層將各分布層交換機(jī)互連起來(lái)進(jìn)行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。園區(qū)網(wǎng)的核心層連接所有的分布層設(shè)備，必須能夠盡可能高效地交換數(shù)據(jù)流。應(yīng)具有如下特征：l 第2層和第3層的吞吐量非常高；l 不執(zhí)行高成本或不必要的分組處理（訪問列表、分組過濾）；l 支持高可用性的冗余和彈性；l 高級(jí)qos功能。應(yīng)對(duì)園區(qū)網(wǎng)核心層中的設(shè)備進(jìn)行優(yōu)化，以提供高性能的第2層或第3層交換。由于核心層必須處理大量的園區(qū)網(wǎng)級(jí)數(shù)據(jù)，因此核心層設(shè)計(jì)必須簡(jiǎn)單、高效。在本設(shè)計(jì)的核心層中，采用兩臺(tái)cisco cata

14、lyst 4006交換機(jī)組成雙機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案。為提高核心-網(wǎng)絡(luò)的健壯性，實(shí)現(xiàn)鏈路的安全保障，本方案骨干核心層中可以采用vrrp（熱備用路由器協(xié)議）。對(duì)于各個(gè)業(yè)務(wù)vlan可以指向這個(gè)虛擬的ip地址作為網(wǎng)關(guān)，因此應(yīng)用vrrp技術(shù)為核心交換機(jī)提供一個(gè)可靠的網(wǎng)關(guān)地址，以實(shí)現(xiàn)在核心層核心交換機(jī)之間進(jìn)行設(shè)備的硬件冗余，一主兩備，共用一個(gè)虛擬的ip地址和mac地址，通過內(nèi)部的協(xié)議傳輸機(jī)制可以自動(dòng)進(jìn)行工作角色的切換。進(jìn)而雙引擎、雙電源的設(shè)計(jì)為網(wǎng)絡(luò)高效處理大集中數(shù)據(jù)提供了可靠的保障。2.2.2 分布層分布層將園區(qū)網(wǎng)的接入層和核心層連接起來(lái)。必須具備下述的功能：l 聚集多臺(tái)接入層設(shè)備；l 較高的

15、第3層分組處理吞吐量；l 使用訪問列表和分組過濾器提供安全和基于策略的連接；l qos功能；l 連接到核心層和接入層的高速鏈接具有可擴(kuò)展性和彈性。在分布層中，來(lái)自接入層設(shè)備的上行鏈路被聚合在一起。分布層交換機(jī)必須能夠處理來(lái)自所有連接的設(shè)備的總流量。這些交換機(jī)必須擁有能提供高速鏈路的端口密度，以支持所有接入層交換機(jī)。vlan和廣播域在分布層聚合在一起，需要支持路由選擇、過濾和安全。該層的交換機(jī)還必須能夠執(zhí)行高吞吐量的多層交換。2.2.3 接入層接入層位于連接到網(wǎng)絡(luò)的最終用戶處。接入層交換機(jī)通常在用戶之間提供第2層（vlan）連接性。該層設(shè)備有時(shí)被稱為大樓介入交換機(jī)，必須具備下述功能：l 低交換機(jī)

16、端口成本；l 高端口密度；l 連接到高層的可擴(kuò)展上行鏈路；l 用戶接入功能，如vlan成員資格、數(shù)據(jù)流和協(xié)議過濾以及服務(wù)質(zhì)量（qos）；l 使用多條上行鏈路提供彈性。2.3 系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu)為了實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計(jì)方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即cisco公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的好處是可以實(shí)現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。 該企業(yè)網(wǎng)設(shè)計(jì)方案主要由以下四大部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問模塊、服務(wù)器群。網(wǎng)絡(luò)拓?fù)淙缦聢D所示：3 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)及配置 這里我將使用思科的一款虛擬軟件（cisco packet tracer）完成配置，該軟件功能有限，一些

17、配置并不能在該軟件上實(shí)現(xiàn)。以下配置截圖，皆來(lái)自該軟件。3.1 交換模塊設(shè)計(jì)3.1.1 接入層交換服務(wù)的實(shí)現(xiàn)配置接入層交換機(jī)接入層為所有的終端用戶提供一個(gè)接入點(diǎn)。這里的接入層交換機(jī)采用的是cisco catalyst 2950 24口交換機(jī)（ws-c2950-24）。交換機(jī)擁有24個(gè)10/100mbps自適應(yīng)快速以太網(wǎng)端口，運(yùn)行的是cisco的ios操作系統(tǒng)。1. 配置接入層交換機(jī)accessswitch1的基本參數(shù)（1）設(shè)置交換機(jī)名稱設(shè)置交換機(jī)名稱，也就是出現(xiàn)在交換機(jī)cli提示符中的名字。一般我們會(huì)以地理位置或行政劃分來(lái)為交換機(jī)命名。當(dāng)我們需要telnet登錄到若干臺(tái)交換機(jī)以維護(hù)一個(gè)大型網(wǎng)絡(luò)時(shí)

18、，通過交換機(jī)名稱提示符提示自己當(dāng)前配置交換機(jī)的位置是很有必要的。其中h是hostname 的簡(jiǎn)寫，（在真實(shí)環(huán)境中也支持簡(jiǎn)寫）可以用該命令實(shí)現(xiàn)設(shè)備的重命名。（2）設(shè)置交換機(jī)的加密使能口令加密口令為：enable secret +密碼。當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時(shí)，需要提供此口令。此口令會(huì)以md5的形式加密，因此，當(dāng)用戶查看配置文件時(shí)，無(wú)法看到明文形式的口令。（3）設(shè)置登錄虛擬終端線時(shí)的口令line vty 0 15password ciscologinlogin 對(duì)這個(gè)配置很重要，沒有他你就算配了密碼也無(wú)法登陸。對(duì)于一個(gè)已經(jīng)運(yùn)行著的交換網(wǎng)絡(luò)來(lái)說，交換機(jī)的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理人員

19、提供了很多的方便。但是，處于安全考慮，在能夠遠(yuǎn)程管理交換機(jī)之前網(wǎng)絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機(jī)的口令。（4）設(shè)置終端線超時(shí)時(shí)間為了安全考慮，可以設(shè)置終端線超時(shí)時(shí)間。在設(shè)置的時(shí)間內(nèi)，如果沒有檢測(cè)到鍵盤輸入，ios將斷開用戶和交換機(jī)之間的連接。這里設(shè)置的是5分30秒。（5）設(shè)置禁用ip地址解析特性在交換機(jī)默認(rèn)配置的情況下，當(dāng)我們輸入一條錯(cuò)誤的交換機(jī)命令時(shí)，交換機(jī)會(huì)嘗試將其廣播給網(wǎng)絡(luò)上的dns服務(wù)器并將其解析成對(duì)應(yīng)的ip地址。利用命令no ip domain-lookup。可以禁用這個(gè)特性（6）設(shè)置啟用消息同步特性有時(shí)，用戶輸入的交換機(jī)配置命令會(huì)被交換機(jī)產(chǎn)生的消息打亂?？梢允褂妹頻ogging

20、synchronous設(shè)置交換機(jī)在下一行cli提示符后復(fù)制用戶的輸入。2. 配置接入層交換機(jī)accessswitch1的管理ip、默認(rèn)網(wǎng)關(guān)接入層交換機(jī)是osi參考模型的第2層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備。因此，給接入層交換機(jī)的每個(gè)端口設(shè)置ip地址是沒意義的。但是，為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到接入層交換機(jī)上進(jìn)行管理，必要給接入層交換機(jī)設(shè)置一個(gè)管理用ip地址。這種情況下，實(shí)際上是將交換機(jī)看成和pc機(jī)一樣的主機(jī)。給交換機(jī)設(shè)置管理用ip地址只能在vlan1，即本征vlan中進(jìn)行。為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī)，還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān)地址.3. 配置接入層交換機(jī)accessswitch1的v

21、tp從提高效率的角度出發(fā)，在本企業(yè)網(wǎng)實(shí)現(xiàn)實(shí)例中使用了vtp技術(shù)。同時(shí)，將分布層交換機(jī)distributeswitch1設(shè)置成為vtp服務(wù)器，其他交換機(jī)設(shè)置成為vtp客戶機(jī)。這里接入層交換機(jī)accessswitch1將通過vtp獲得在分布層交換機(jī)distributeswitch1中定義的所有vlan的信息。設(shè)置接入層交換機(jī)accessswitch1成為vtp客戶機(jī)。圖中， ver是version的縮寫。以后都將使用這些縮寫。vtp mode client命令設(shè)置該交換機(jī)為vtp的客戶機(jī)模式，vtp ver 2命令設(shè)置使用vtp的版本號(hào)為2。4. 配置接入層交換機(jī)accessswitch1端口基本

22、參數(shù)：端口速度可以設(shè)定某端口根據(jù)對(duì)端設(shè)備速度自動(dòng)調(diào)整本端口速度，也可以強(qiáng)制將端口速度設(shè)為10mpbs或100mbps。在了解對(duì)端設(shè)備速度的情況下，建議手動(dòng)設(shè)置端口速度。設(shè)置接入層交換機(jī)accessswitch1的所有端口（1-24）的速度均為100mbps。int 是interface的縮寫，是進(jìn)入某個(gè)接口的命令；r 為range 的縮寫，f為fastethernet（快速以太網(wǎng)接口）的縮寫，f0/1 -24 表示快速以太網(wǎng)的0/1-0/24共24個(gè)接口。5. 配置接入層交換機(jī)accessswitch1的接入端口接入層交換機(jī)accessswitch1為終端用戶提供接入服務(wù)。接入層交換機(jī)acce

23、ssswitch1為vlan10提供接入服務(wù)。swi為switchport的縮寫，mo為mode的縮寫，acc為access的縮寫。用spanning-tree portfast來(lái)配置生成樹快速端口。（1）設(shè)置接入層交換機(jī)accessswitch1的端口122如圖所示，設(shè)置接入層交換機(jī)accessswitch1的端口1端口24工作在接入模式。同時(shí)，設(shè)置端口1端口22為vlan 10的成員。（2）設(shè)置快速端口默認(rèn)情況下，交換機(jī)在剛加電啟動(dòng)時(shí)，每個(gè)端口都要經(jīng)歷生成樹的四個(gè)階段：阻塞、偵聽、學(xué)習(xí)、轉(zhuǎn)發(fā)。在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前，某個(gè)端口可能最多要等50秒鐘的時(shí)間（20秒的阻塞時(shí)間15秒的偵聽延遲時(shí)

24、間15秒的學(xué)習(xí)延遲時(shí)間）。對(duì)于直接接入終端工作站的端口來(lái)說，用于阻塞和偵聽的時(shí)間是不必要的。為了加速交換機(jī)端口狀態(tài)轉(zhuǎn)化時(shí)間，可以設(shè)置將某端口設(shè)置成為快速端口（portfast）。設(shè)置為快速端口的端口當(dāng)交換機(jī)啟動(dòng)或端口有工作站接入時(shí)，將會(huì)直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，而不會(huì)經(jīng)歷阻塞、偵聽、學(xué)習(xí)狀態(tài)（假設(shè)橋接表已經(jīng)建立）。6. 配置接入層交換機(jī)accessswitch1的主干道端口接入層交換機(jī)accessswitch1通過端口fastethernet 0/23上連到分布層交換機(jī)distributeswitch1的端口fastethernet 0/1。同時(shí)，接入層交換機(jī)accessswitch1還通過端口fas

25、tethernet 0/24上連到分布層交換機(jī)distributeswitch2的端口fastethernet 0/1。這兩條上連鏈路將成為主干道鏈路，在這兩條上連鏈路上將運(yùn)輸多個(gè)vlan的數(shù)據(jù)。設(shè)置接入層交換機(jī)accessswitch1的端口fastethernet 0/23、fastethernet 0/24為主干道端口，即為配置這兩個(gè)端口的中繼。命令為switchport mode trunk7. 配置接入層交換機(jī)accessswitch2、3、4、5接入層交換機(jī)accessswitch2、3、4、5分別為vlan 20、vlan30、vlan40、vlan50的用戶提供接入服務(wù)。同時(shí)，

26、分別通過自己的fastethernet 0/23 、fastethernet 0/24上連到分布層交換機(jī)distributeswitch1、distributeswitch2的端口fastethernet 0/2。對(duì)接入層交換機(jī)accessswitch2、3、4、5的配置步驟、命令和對(duì)接入層交換機(jī)accessswitch1的配置類似。3.1.2 分布層交換服務(wù)的實(shí)現(xiàn)配置分布層交換機(jī)分布層除了負(fù)責(zé)將接入層交換機(jī)進(jìn)行匯集外，還為整個(gè)交換網(wǎng)絡(luò)提供vlan間的路由選擇功能。對(duì)分布層交換機(jī)distributeswitch1的基本參數(shù)的配置步驟與對(duì)接入層交換機(jī)accessswitch1的基本參數(shù)的配置類似

27、。這里，只給出實(shí)際的配置。1配置分布層交換機(jī)distributeswitch1的管理ip、默認(rèn)網(wǎng)關(guān)顯示了為分布層交換機(jī)distributeswitch1設(shè)置管理ip并激活本征vlan。同時(shí)，還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。add為address的縮寫； no sh 即為no shutdown，開啟端口。2配置分布層交換機(jī)distributeswitch1的vtp當(dāng)網(wǎng)絡(luò)中交換機(jī)數(shù)量很多時(shí)，需要分別在每臺(tái)交換機(jī)上創(chuàng)建很多重復(fù)的vlan。工作量很大、過程很繁瑣，并且容易出錯(cuò)。我們常采用vlan中繼協(xié)議（vlan trunking protocol，vtp）來(lái)解決這個(gè)問題。vtp允許我們?cè)谝慌_(tái)交換機(jī)上創(chuàng)建所有

28、的vlan。然后，利用交換機(jī)之間的互相學(xué)習(xí)功能，將創(chuàng)建好的vlan定義傳播到整個(gè)網(wǎng)絡(luò)中需要此vlan定義的所有交換機(jī)上。同時(shí)，有關(guān)vlan的刪除、參數(shù)更改操作均可傳播到其他交換機(jī)。從而大大減輕了網(wǎng)絡(luò)管理人員配置交換機(jī)負(fù)擔(dān)。在本企業(yè)網(wǎng)實(shí)現(xiàn)實(shí)例中使用了vtp技術(shù)。同時(shí)，將分布層交換機(jī)distributeswitch1設(shè)置成為vtp服務(wù)器，其他交換機(jī)設(shè)置成為vtp客戶機(jī)。（1） 配置vtp管理域vtp domain cisco共享相同vlan定義數(shù)據(jù)庫(kù)的交換機(jī)構(gòu)成一個(gè)vtp管理域。每一個(gè)vtp管理域都有一個(gè)共同的vtp管理域域名。不同vtp管理域的交換機(jī)之間不交換vtp通告信息。將vtp管理域的域名

29、定義為“cisco”。（2） 設(shè)置vtp服務(wù)器vtp mode server工作在vtp服務(wù)器模式下的交換機(jī)可以創(chuàng)建、刪除vlan、修改vlan參數(shù)。同時(shí)，還有責(zé)任發(fā)送和轉(zhuǎn)發(fā)vlan更新消息。（3） 激活vtp剪裁功能vtp pruning默認(rèn)情況下主干道傳輸所有vlan的用戶數(shù)據(jù)。有時(shí)，交換網(wǎng)絡(luò)中某臺(tái)交換機(jī)的所有端口都屬于同一vlan的成員，沒有必要接收其他vlan的用戶數(shù)據(jù)。這時(shí)，可以激活主干道上的vtp剪裁功能。當(dāng)激活了vtp剪裁功能以后，交換機(jī)將自動(dòng)剪裁本交換機(jī)沒有定義的vlan數(shù)據(jù)。在一個(gè)vtp域下，只需要在vtp服務(wù)器上激活vtp剪裁功能。同一vtp域下的所有其他交換機(jī)也將自動(dòng)激活

30、vtp剪裁功能。下圖為該交換機(jī)的配置參數(shù)：3在分布層交換機(jī)distributeswitch1上定義vlan在本企業(yè)網(wǎng)實(shí)現(xiàn)實(shí)例中，除了默認(rèn)的本征vlan外，又定義了6個(gè)vlan。由于使用了vtp技術(shù)，所以所有vlan的定義只需要在vtp服務(wù)器，即分布層交換機(jī)distributeswitch1上進(jìn)行。如圖所示，定義了6個(gè)vlan，同時(shí)為每個(gè)vlan命名。4配置分布層交換機(jī)distributeswitch1的端口基本參數(shù)分布層交換機(jī)distributeswitch1的端口fastethernet 0/1fastethernet 0/5連到接入層交換機(jī)accessswitch1-5的端口fasteth

31、ernet 0/23，端口fastethernet 0/10fastethernet 0/12為服務(wù)器群提供接入服務(wù)。此外，分布層交換機(jī)distributeswitch1還通過自己的千兆端口gigabitethernet 1/1上連到核心交換機(jī)coreswitch1的gigabitethernet 0/1。為了實(shí)現(xiàn)冗余設(shè)計(jì)，分布層交換機(jī)distributeswitch1還通過自己的千兆端口gigabitethernet 1/2連接另一臺(tái)到分布層交換機(jī)distributeswitch2的gigabitethernet 1/2。給出了對(duì)所有訪問端口、主干道端口的配置步驟和命令。設(shè)置分布層交換機(jī)di

32、stributeswitch1的各端口參數(shù)其中，f0/1-f0/5，gi1/1,gi1/2都被配為中繼端口，端口f0/10-f0/12被劃分給vlan 100。swi 為switchport的縮寫， acc為 access的縮寫， gi為 gigabitethernet的縮寫，5配置分布層交換機(jī)distributeswitch1的3層交換功能分布層交換機(jī)distributeswitch1需要為網(wǎng)絡(luò)中的各個(gè)vlan提供路由功能。這需要首先啟用分布層交換機(jī)的路由功能。接下來(lái)，需要為每個(gè)vlan定義自己的默認(rèn)網(wǎng)關(guān)地址，此外，還需要定義通往internet的路由。這里使用了一條缺省路由命令，其中，下一

33、跳地址是internet接入路由器的快速以太網(wǎng)接口fastethernet 0/0的ip地址。6配置分布層交換機(jī)distributeswitch2分布層交換機(jī)distributeswitch2的端口fastethernet 0/1-5分別下連到接入層交換機(jī)accessswitch1-5的端口fastethernet 0/24。此外，分布層交換機(jī)distributeswitch2還通過自己的千兆端口gigabitethernet1/1上連到核心交換機(jī)coreswitch2的gigabitethernet 0/1。對(duì)分布層交換機(jī)distributeswitch2的配置步驟、命令和對(duì)分布層交換機(jī)di

34、stributeswitch1的配置類似。3.1.3 核心層交換服務(wù)的實(shí)現(xiàn)配置核心層交換機(jī)1配置核心層交換機(jī)coreswitch1的基本參數(shù)對(duì)核心層交換機(jī)coreswitch1的基本參數(shù)的配置步驟與對(duì)接入層交換機(jī)accessswitch1的基本參數(shù)的配置類似。這里，只給出實(shí)際的配置步驟，不再給出解釋。 2配置核心層交換機(jī)coreswitch1的管理ip、默認(rèn)網(wǎng)關(guān)如圖所示，顯示了為核心層交換機(jī)coreswitch1設(shè)置管理ip并激活本征vlan。同時(shí)，還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。3配置核心層交換機(jī)coreswitch1的的vlan及vtp在本實(shí)例中，核心層交換機(jī)coreswitch1也將作為vtp客

35、戶機(jī)。這里核心層交換機(jī)coreswitch1將通過vtp獲得在分布層交換機(jī)distributeswitch1中定義的所有vlan的信息。完整命令為：vtp mode client4配置核心層交換機(jī)coreswitch1的端口參數(shù)核心層交換機(jī)coreswitch1通過自己的端口fastethernet 0/22同廣域網(wǎng)接入模塊（internet路由器）相連。同時(shí)，核心層交換機(jī)coreswitch1的端口gigabitethernet 0/1gigabitethernet 0/2分別下連到接入層交換機(jī)distributeswitch1和distributeswitch2的端口gigabitethe

36、rnet 1/1。如圖所示，給出了對(duì)上述端口的配置命令。此外，為了提供主干道的吞吐量以及實(shí)現(xiàn)冗余設(shè)計(jì)，在本設(shè)計(jì)中，將核心層交換機(jī)coreswitch1的千兆端口gigabitethernet 2/1、gigabitethernet 2/2捆綁在一起實(shí)現(xiàn)2000mbps的千兆以太網(wǎng)信道，然后再連接到另一臺(tái)核心層交換機(jī)coreswitch2。下面是設(shè)置核心層交換機(jī)coreswitch1的千兆以太網(wǎng)信道的步驟。5配置核心層交換機(jī)coreswitch1的路由功能核心層交換機(jī)coreswitch1通過端口fastethernet 0/22同廣域網(wǎng)接入模塊（internet路由器）相連。因此，需要啟用核心

37、層交換機(jī)的路由功能。同時(shí)，還需要定義通往internet的路由。這里使用了一條缺省路由命令，如圖所示。其中，下一跳地址是internet接入路由器的快速以太網(wǎng)接口fastethernet 0/0的ip地址。6核心層交換機(jī)coreswitch2的配置核心層交換機(jī)coreswitch2的配置步驟、命令和對(duì)核心層交換機(jī)coreswitch1的配置類似。這里，不再詳細(xì)分析。同時(shí)，對(duì)于配置核心層交換機(jī)coreswitch2下連的一系列交換機(jī)，其連接方法以及配置步驟和命令同核心層交換機(jī)coreswitch1下連的一系列交換機(jī)的連接方法以及配置步驟和命令類似。這里，也不再贅述。3.2 廣域網(wǎng)接入模塊設(shè)計(jì)在本

38、設(shè)計(jì)中，廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器internetrouter來(lái)完成的。采用的是cisco的2811路由器。它通過添加wic-2t模塊上帶的串行接口serial 0/0使用ddn（128k）技術(shù)接入internet。它的作用主要是在internet和企業(yè)網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務(wù)外，利用訪問控制列表（access control list，acl），廣域網(wǎng)接入路由器internetrouter還可以用來(lái)完成以自身為中心的流量控制和過濾功能并實(shí)現(xiàn)一定的安全功能。3.2.1 配置接入路由器internetrouter的基本參數(shù)對(duì)接入路由器internetrouter的

39、基本參數(shù)的配置步驟與對(duì)接入層交換機(jī)accessswitch1的基本參數(shù)的配置類似。3.2.2 配置接入路由器internetrouter的各接口參數(shù)對(duì)接入路由器internetrouter的各接口參數(shù)的配置主要是對(duì)接口fastethernet 0/0以及接口serial 0/0/0的ip地址、子網(wǎng)掩碼的配置。如圖2-3所示，顯示了為接入路由器internetrouter的各接口設(shè)置ip地址、子網(wǎng)掩碼。3.2.3 配置接入路由器internetrouter的路由功能在接入路由器internetrouter上需要定義兩個(gè)方向上的路由：到企業(yè)網(wǎng)內(nèi)部的靜態(tài)路由以及到internet上的缺省路由。到in

40、ternet上的路由需要定義一條缺省路由，如圖所示。其中，下一跳指定從本路由器的接口serial 0/0/0送出。到企業(yè)網(wǎng)內(nèi)部的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。如圖所示。3.2.4 配置接入路由器internetrouter上的nat由于目前ip地址資源非常稀缺，對(duì)不可能給企業(yè)網(wǎng)內(nèi)部的所有工作站都分配一個(gè)公有ip（internet可路由的）地址。為了解決所有工作站訪問internet的需要，必須使用nat（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)。為了接入internet，本企業(yè)網(wǎng)向當(dāng)?shù)豬sp申請(qǐng)了9個(gè)ip地址。其中一個(gè)ip地址：193.1.1.1被分配給了internet接入路由器的串行接口，另外8個(gè)

41、ip地址：202.206.222.1202.206.222.8用作nat。nat的配置可以分為以下幾個(gè)步驟。（1）定義nat內(nèi)部、外部接口ip nat inside 定義端口為內(nèi)部端口；ip nat outside定義端口為外部端口。（2）定義允許進(jìn)行nat的內(nèi)部局部ip地址范圍內(nèi)部地址范圍為：192.168.0.1-192.168.0.254，192.168.7.1-192.168.7.254，192.168.100.1-192.168.100.254八個(gè)子網(wǎng)。（3）為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換將服務(wù)器的內(nèi)部ip地址改為公有地址。（4） 為其他工作站定義動(dòng)態(tài)地址轉(zhuǎn)換將一個(gè)網(wǎng)絡(luò)中的所有需要轉(zhuǎn)換的私

42、有地址用一個(gè)acl來(lái)表示，再?gòu)膇sp注冊(cè)到的共有地址一個(gè)地址池來(lái)表示，最后再將acl與地址池做動(dòng)態(tài)的轉(zhuǎn)換。將除服務(wù)器外的內(nèi)部ip隨機(jī)轉(zhuǎn)換為地址池內(nèi)的202.206.222.4 - 202.206.222.8的公有地址。cisco為地址池名。3.2.5 設(shè)置接入路由器internetrouter上的acl路由器是外網(wǎng)進(jìn)入企業(yè)網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問控制列表（access control list，acl）是保護(hù)內(nèi)網(wǎng)安全的有效手段。一個(gè)設(shè)計(jì)良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功

43、能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時(shí)的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對(duì)路由器的訪問控制列表進(jìn)行縝密的設(shè)計(jì)，來(lái)對(duì)企業(yè)內(nèi)網(wǎng)包括防火墻本身實(shí)施保護(hù)。在網(wǎng)絡(luò)環(huán)境中還普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。在絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實(shí)現(xiàn)中它們都是應(yīng)該對(duì)外加以屏蔽的。主要應(yīng)該做以下的acl設(shè)計(jì)：（1）對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議，即snmp。利用這個(gè)協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型：snmp和snmptrap。對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議snmp：（2）對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議telnet首先，telnet是一種不安全的協(xié)議類型。用戶

44、在使用telnet登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時(shí)所使用的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)模苋菀妆痪W(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。其次，telnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和unix服務(wù)器，并可以使用相關(guān)命令完全操縱它們。這是極其危險(xiǎn)的，因此必須加以屏蔽。對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議telnet：（3）對(duì)外屏蔽其它不安全的協(xié)議或服務(wù)這樣的協(xié)議主要有sun os的文件共享協(xié)議端口2049，遠(yuǎn)程執(zhí)行（rsh）、遠(yuǎn)程登錄（rlogin）和遠(yuǎn)程命令（rcmd）端口512、513、514，遠(yuǎn)程過程調(diào)用（sunrpc）端口111?？梢詫⑨槍?duì)以上協(xié)議綜合進(jìn)行設(shè)計(jì)，如圖所示。（4）針對(duì)dos攻擊的設(shè)計(jì)dos攻擊（denial

45、 of service attack，拒絕服務(wù)攻擊）是一種非常常見而且極具破壞力的攻擊手段，它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止，嚴(yán)重時(shí)會(huì)導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。（5）保護(hù)路由器自身安全作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護(hù)自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器，必須對(duì)路由器的訪問位置加以限制。應(yīng)只允許來(lái)自服務(wù)器群的ip地址訪問并配置路由器。這時(shí)，可以使用access-class命令進(jìn)行vty訪問控制。如圖所示3.3 遠(yuǎn)程訪問設(shè)計(jì)和程訪問模塊設(shè)遠(yuǎn)程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一。它可以為家庭辦公用戶和出差在外的員工提供移動(dòng)接入服務(wù)。遠(yuǎn)程訪問有三種可選的服務(wù)類型：專線連接

46、、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花費(fèi)也不相同。在本設(shè)計(jì)中，由于面對(duì)的用戶群規(guī)模、業(yè)務(wù)量較小，所以采用了異步撥號(hào)連接作為遠(yuǎn)程訪問的技術(shù)手段。異步撥號(hào)連接屬于電路交換類型的廣域網(wǎng)連接，它是在傳統(tǒng)公共交換電話網(wǎng)（public switched telephone network，pstn）上提供服務(wù)的。傳統(tǒng)pstn提供的服務(wù)也被稱為簡(jiǎn)易老式電話業(yè)務(wù)（plan old telephone system，pots）。因?yàn)槟壳按嬖谥罅堪惭b好的電話線，所以這樣的環(huán)境是最容易滿足的。因此，異步撥號(hào)連接也就成為最為方便和普遍的遠(yuǎn)程訪問類型。廣域網(wǎng)連接可以采用不同類型的封裝協(xié)議，如h

47、dlc、ppp等。其中，ppp除了提供身份認(rèn)證功能外，還可以提供其他很多可選項(xiàng)配置，包括鏈路壓縮、多鏈路捆綁、回叫等，因此更具優(yōu)勢(shì)。也是本設(shè)計(jì)所采用的異步連接封裝協(xié)議。ppp提供了兩種可選的身份認(rèn)證方法：口令驗(yàn)證協(xié)議pap（password authentication protocol，pap）和質(zhì)詢握手協(xié)議（challenge handshake authentication protocol，chap）。pap是一個(gè)簡(jiǎn)單的、實(shí)用的身份驗(yàn)證協(xié)議。pap認(rèn)證進(jìn)程只在雙方的通信鏈路建立初期進(jìn)行。如果認(rèn)證成功，在通信過程中不再進(jìn)行認(rèn)證。如果認(rèn)證失敗，則直接釋放鏈路。chap認(rèn)證比pap認(rèn)證更安全，因?yàn)閏hap不在線路上發(fā)送明文密碼，而是發(fā)送經(jīng)過摘要算法加工過的隨機(jī)序列，也被稱為挑戰(zhàn)字符串。同時(shí)，身份認(rèn)證可以隨時(shí)進(jìn)行，包括在雙方正常通信過程中。因此，非法用戶就算截獲并成功破解了一次密碼，此密碼也將在一段時(shí)間內(nèi)失效。chap對(duì)端系統(tǒng)要求很高，因?yàn)樾枰啻芜M(jìn)行身份