網(wǎng)絡(luò)模擬實(shí)驗(yàn)系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn)畢業(yè)設(shè)計(jì)論文

1、畢 業(yè) 論 文（設(shè)計(jì)）題 目 網(wǎng)絡(luò)模擬實(shí)驗(yàn)系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn) 網(wǎng)絡(luò)模擬實(shí)驗(yàn)系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)摘 要 本文介紹了使用cisco公司的packet tracer軟件模擬網(wǎng)絡(luò)實(shí)驗(yàn)系統(tǒng)平臺(tái)，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)中小型公司內(nèi)部各部門(mén)之間、總公司與分公司之間、公司與互聯(lián)網(wǎng)以及出差在外的個(gè)人與公司之間信息交流的互聯(lián)網(wǎng)絡(luò)，其間網(wǎng)絡(luò)的配置涉及到網(wǎng)絡(luò)的安全、數(shù)據(jù)的加密等相關(guān)網(wǎng)絡(luò)技術(shù)問(wèn)題。應(yīng)用了虛擬局域網(wǎng)、動(dòng)態(tài)主機(jī)設(shè)置協(xié)議、網(wǎng)絡(luò)地址轉(zhuǎn)換、點(diǎn)對(duì)點(diǎn)協(xié)議、幀中繼、虛擬專(zhuān)用網(wǎng)絡(luò)、開(kāi)放式最短路徑優(yōu)先協(xié)議等相關(guān)網(wǎng)絡(luò)技術(shù)與協(xié)議。 論文在撰寫(xiě)過(guò)程中，力求將理論與實(shí)踐應(yīng)用相結(jié)合，對(duì)各種理論進(jìn)行闡述的同時(shí)，配合系統(tǒng)從實(shí)際應(yīng)用和操作技巧上加以說(shuō)明，

2、能夠比較充分地體現(xiàn)到這些知識(shí)與技術(shù)在本系統(tǒng)中的應(yīng)用與實(shí)現(xiàn)。關(guān)鍵詞網(wǎng)絡(luò)模擬平臺(tái)；網(wǎng)絡(luò)；實(shí)驗(yàn)；信息創(chuàng)新點(diǎn)本文的創(chuàng)新點(diǎn)在于運(yùn)用網(wǎng)絡(luò)模擬軟件十分真實(shí)地模擬出了網(wǎng)絡(luò)工程項(xiàng)目設(shè)計(jì)的全部流程，并以網(wǎng)絡(luò)實(shí)驗(yàn)項(xiàng)目的實(shí)現(xiàn)為平臺(tái)來(lái)展示網(wǎng)絡(luò)模擬系統(tǒng)的功能。network simulation system design and realizationauthor：liu tongquan tutor：chen jianhuiabstract this paper describes using the cisco packet tracer software platform designing and implem

3、enting a network of a small or medium company .it can realize the communication between departments, head office and branch office, the companies and the internet ,and achieve the exchange between individuals and companies. it relates to network security, data encryption, and other related network i

4、ssues in the process of designing the network. it applicate of virtual local area network protocols, network address translation, dynamic host settings, point to point protocol, frame relay, virtual private networks, open shortest path first protocol and other related networking technologies and pro

5、tocols. in the process of writing this paper, it aims to combining theory and practical application. it expounds the theory with some instructions of practical applications and operating skills. and i hope it can fully reflect the knowledge and technology in the application and implementation of thi

6、s system.key wordsnetwork simulation platform; network;information; experimentationinnovation the innovation of this paper is that use virtual network platform quite vividly simulating all of the engineering project designing process of a network. it shows the strong function of network simulation s

7、ystem by realizing the network experimental projects as a platform . 目 錄第1章 網(wǎng)絡(luò)模擬實(shí)驗(yàn)系統(tǒng)研究背景- 1 -第2章 網(wǎng)絡(luò)模擬實(shí)驗(yàn)工程需求分析- 2 -2.1 引言- 2 -2.2 項(xiàng)目功能需求- 2 -2.2.1 總公司內(nèi)部局域網(wǎng)間通信功能需求- 2 -2.2.2 總公司與分公司間網(wǎng)絡(luò)通信功能需求- 3 -2.2.3 總公司與廣域網(wǎng)間通信功能需求- 3 -2.2.4 總公司與合作伙伴間通信功能需求- 3 -2.2.5 總公司與出差人員間通信功能需求- 3 -2.3項(xiàng)目技術(shù)需求- 4 -2.3.1 總公司內(nèi)部局域網(wǎng)間通

8、信技術(shù)需求- 4 -2.3.2 總公司與分公司間網(wǎng)絡(luò)通信技術(shù)需求- 4 -2.3.3 總公司與廣域網(wǎng)間通信技術(shù)需求- 5 -2.3.4 總公司與合作伙伴間通信技術(shù)需求- 6 -2.3.5 總公司與出差人員間通信技術(shù)需求- 6 -第3章 網(wǎng)絡(luò)模擬實(shí)驗(yàn)工程技術(shù)及原理概述- 7 -3.1網(wǎng)絡(luò)安全技術(shù)- 7 -3.2虛擬網(wǎng)支持- 9 -3.3第三層交換技術(shù)- 9 -3.4網(wǎng)絡(luò)管理和流量監(jiān)控- 11 -第4章 網(wǎng)絡(luò)模擬實(shí)驗(yàn)工程總體規(guī)劃- 12 -4.1網(wǎng)絡(luò)總體拓?fù)? 12 -4.2項(xiàng)目工程網(wǎng)絡(luò)規(guī)劃- 13 -4.2.1總公司內(nèi)部局域網(wǎng)規(guī)劃- 13 -4.2.2總公司與分公司網(wǎng)絡(luò)規(guī)劃- 13 -4.2.3

9、 總公司與廣域網(wǎng)間網(wǎng)絡(luò)規(guī)劃- 14 -4.2.4 總公司與合作伙伴間網(wǎng)絡(luò)規(guī)劃- 15 -4.2.5 總公司與出差人員間網(wǎng)絡(luò)規(guī)劃- 15 -第5章 網(wǎng)絡(luò)模擬實(shí)驗(yàn)項(xiàng)目配置概述- 17 -5.1總公司內(nèi)部局域配置- 17 -5.1.1 核心層交換機(jī)配置- 17 -5.1.2 dhcp協(xié)議配置- 17 -5.2總公司與分公司間網(wǎng)絡(luò)配置- 18 -5.3總公司接入互聯(lián)網(wǎng)配置- 20 -5.4總公司與合作伙伴間網(wǎng)絡(luò)配置- 22 -5.4.1幀中繼配置- 22 -5.4.2 幀中繼云配置- 23 -5.5出差人員與總公司間vpn配置- 23 -5.5.1 ike第一階段- 24 -5.5.2 ike第二階段

10、- 24 -5.5.3 感興趣流與變換集映射- 24 -5.5.4 綁定map接口- 25 -第6章 網(wǎng)絡(luò)模擬平臺(tái)項(xiàng)目實(shí)驗(yàn)- 26 -6.1網(wǎng)絡(luò)模擬系統(tǒng)平臺(tái)項(xiàng)目實(shí)驗(yàn)- 26 -6.1.1 模擬vlan相互通信實(shí)驗(yàn)- 26 -6.1.2 網(wǎng)絡(luò)模擬dhcp實(shí)驗(yàn)- 27 -6.1.3 網(wǎng)絡(luò)模擬nat實(shí)驗(yàn)- 29 -6.1.4 網(wǎng)絡(luò)模擬幀中繼實(shí)驗(yàn)- 30 -6.1.5 網(wǎng)絡(luò)模擬vpn實(shí)驗(yàn)- 32 -感 言- 35 -致 謝- 36 -參考文獻(xiàn)- 37 -網(wǎng)絡(luò)模擬實(shí)驗(yàn)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)091007118 劉同全 指導(dǎo)教師 陳建輝 副教授第1章 網(wǎng)絡(luò)模擬實(shí)驗(yàn)系統(tǒng)研究背景隨著計(jì)算機(jī)網(wǎng)絡(luò)通信技術(shù)和多媒體技術(shù)的快

11、速發(fā)展，信息時(shí)代的學(xué)習(xí)、生活方式都發(fā)生了重大變革。作為培養(yǎng)和提高學(xué)生動(dòng)手實(shí)踐能力、觀察能力、分析問(wèn)題和解決問(wèn)題能力等方面有著先天優(yōu)勢(shì)的實(shí)驗(yàn)教學(xué)是高校教育改革的關(guān)鍵問(wèn)題之一。目前，我國(guó)傳統(tǒng)實(shí)驗(yàn)教學(xué)環(huán)節(jié)不足、實(shí)驗(yàn)資源不均衡，學(xué)生創(chuàng)新能力不足，模擬實(shí)驗(yàn)教學(xué)環(huán)境研究與建設(shè)有利于解決當(dāng)前實(shí)驗(yàn)教學(xué)中存在的問(wèn)題。因此，對(duì)于模擬實(shí)驗(yàn)教學(xué)環(huán)境的研究已經(jīng)成為當(dāng)前教育研究一個(gè)新熱點(diǎn)，分析其原因是主要信息技術(shù)的蓬勃發(fā)展已經(jīng)使部分模擬實(shí)驗(yàn)環(huán)境的設(shè)計(jì)與開(kāi)發(fā)成為現(xiàn)實(shí)，并在一定的理論指導(dǎo)下應(yīng)用于實(shí)踐，使各類(lèi)模擬實(shí)驗(yàn)室建設(shè)成為可能。模擬實(shí)驗(yàn)降低了實(shí)驗(yàn)室建設(shè)成本，緩解了由于財(cái)政壓力給實(shí)驗(yàn)實(shí)訓(xùn)教學(xué)環(huán)節(jié)帶來(lái)的不利影響，有利于學(xué)生實(shí)踐

12、操作能力的培養(yǎng)。我國(guó)的網(wǎng)絡(luò)模擬實(shí)驗(yàn)系統(tǒng)的研究起步較晚，但是發(fā)展速度較快。根據(jù)目前從網(wǎng)上可查到的信息和各院校開(kāi)放的對(duì)外服務(wù)看，國(guó)內(nèi)部分高校已陸續(xù)建立了網(wǎng)絡(luò)模擬實(shí)驗(yàn)系統(tǒng)。本文介紹了通過(guò)應(yīng)用packet tracer軟件搭建網(wǎng)絡(luò)模擬工程項(xiàng)目規(guī)劃、設(shè)計(jì)的平臺(tái)，竟而比較具體的展示了網(wǎng)絡(luò)模擬系統(tǒng)的功能。第2章 網(wǎng)絡(luò)模擬實(shí)驗(yàn)工程需求分析2.1 引言 近年來(lái)我國(guó)網(wǎng)絡(luò)通信服務(wù)行業(yè)總體發(fā)展呈快速上升趨勢(shì)，其總體規(guī)模不斷增大，業(yè)務(wù)收入也不斷在穩(wěn)步提升。根據(jù)工信部相關(guān)數(shù)據(jù)表明，2011年網(wǎng)絡(luò)通信行業(yè)共完成網(wǎng)絡(luò)通信總量達(dá)12,964.6億元，同比增長(zhǎng)10.1%；實(shí)現(xiàn)網(wǎng)絡(luò)通信業(yè)務(wù)收入10,762億元，同比增長(zhǎng)8.0%，呈

13、現(xiàn)相對(duì)較快的發(fā)展態(tài)勢(shì)。網(wǎng)絡(luò)通信業(yè)務(wù)量的增長(zhǎng)帶來(lái)了網(wǎng)絡(luò)工程服務(wù)市場(chǎng)規(guī)模的高速發(fā)展。 網(wǎng)絡(luò)工程服務(wù)行業(yè)前景如此廣闊，發(fā)展速度十分迅猛，日后必將稱(chēng)為我國(guó)重要的支柱產(chǎn)業(yè)之一。本論文詳細(xì)地描述了網(wǎng)絡(luò)服務(wù)行業(yè)關(guān)于網(wǎng)絡(luò)工程的規(guī)劃與設(shè)計(jì)，并根據(jù)網(wǎng)絡(luò)市場(chǎng)的需求，比較系統(tǒng)地設(shè)計(jì)了關(guān)于國(guó)內(nèi)一些中小型企業(yè)內(nèi)部局域網(wǎng)以及其接入廣域網(wǎng)的總體規(guī)劃方案。以下是應(yīng)用網(wǎng)絡(luò)模擬系統(tǒng)平臺(tái)來(lái)設(shè)計(jì)、實(shí)現(xiàn)該網(wǎng)絡(luò)工程項(xiàng)目的方案。在網(wǎng)絡(luò)工程設(shè)計(jì)中體現(xiàn)網(wǎng)絡(luò)模擬平臺(tái)的功能。2.2 項(xiàng)目功能需求 2.2.1 總公司內(nèi)部局域網(wǎng)間通信功能需求 1.為了方便管理，總公司內(nèi)部要進(jìn)行模塊化劃分主要分為：銷(xiāo)售部、研發(fā)部、后勤部以及保安部，為了方便工作，各部門(mén)之

14、間要實(shí)現(xiàn)相互通信。 2.為了方便公司增添新設(shè)備的配置，各部門(mén)可以自動(dòng)獲得ip地址，為了減輕總公司路由器的負(fù)荷，保安部的ip地址，由分公司路由器提供進(jìn)行自動(dòng)分配。 3.網(wǎng)管中心可以遠(yuǎn)程對(duì)公司核心層交換機(jī)進(jìn)行控制和管理。 2.2.2 總公司與分公司間網(wǎng)絡(luò)通信功能需求 1.由于總公司與分公司相距比較遠(yuǎn)，為了公司內(nèi)部的資源安全，它們相互通信的鏈路需要認(rèn)證、加密。 2.為了內(nèi)部資源的安全，總公司后勤部只能訪問(wèn)分公司服務(wù)器的http服務(wù)。 2.2.3 總公司與廣域網(wǎng)間通信功能需求 1.總公司內(nèi)部需要與互聯(lián)網(wǎng)連通，由于保安部與后勤部只處理總公司內(nèi)部一些生活上的事務(wù)，禁止保安部與后勤部訪問(wèn)互聯(lián)網(wǎng)上資源。 2.

15、為了方便公司接入互聯(lián)網(wǎng)，公司邊緣路由器接入互聯(lián)網(wǎng)的端口可以由網(wǎng)通供應(yīng)商自動(dòng)為其分配ip地址。 2.2.4 總公司與合作伙伴間通信功能需求 總公司與其合作伙伴之間在廣域網(wǎng)上進(jìn)行互相通信，在通信時(shí)希望獲得低網(wǎng)絡(luò)時(shí)延、低設(shè)備費(fèi)用、高帶寬利用率以及點(diǎn)對(duì)點(diǎn)通信等優(yōu)勢(shì)。 2.2.5 總公司與出差人員間通信功能需求 公司內(nèi)部人員在出差時(shí)，也能訪問(wèn)到總公司內(nèi)部的服務(wù)器，以獲得公司的相關(guān)信息，方便自己在外辦公。2.3項(xiàng)目技術(shù)需求 2.3.1 總公司內(nèi)部局域網(wǎng)間通信技術(shù)需求 1.為了實(shí)現(xiàn)總公司模塊化管理，將總公司分為四個(gè)部門(mén)，即銷(xiāo)售部、研發(fā)部、后勤部、保安部，每一個(gè)部門(mén)劃分為一個(gè)vlan；各vlan間實(shí)現(xiàn)相互通信

16、的功能。本設(shè)計(jì)使用三層路由交換技術(shù)方便、簡(jiǎn)單的實(shí)現(xiàn)了該功能，因?yàn)槿龑咏粨Q機(jī)，既擁有二層交換機(jī)劃分不同vlan的功能，而且擁有路由的功能，能夠使得不通vlan間相互通信。 2.為了方便各部門(mén)設(shè)備的網(wǎng)絡(luò)配置，這里應(yīng)用了dhcp（動(dòng)態(tài)主機(jī)設(shè)置協(xié)議）協(xié)議，當(dāng)某個(gè)部門(mén)增添新設(shè)備后，不需要網(wǎng)絡(luò)管理員手動(dòng)設(shè)置，該設(shè)備就能自動(dòng)獲得ip地址，實(shí)現(xiàn)網(wǎng)絡(luò)通信，而且dhcp避免了手動(dòng)配置ip出現(xiàn)的不同設(shè)備ip地址重復(fù)的問(wèn)題。 3.運(yùn)用遠(yuǎn)程登錄（telnet）控制技術(shù)來(lái)實(shí)現(xiàn)網(wǎng)管中心對(duì)總公司核心層交換機(jī)的控制，網(wǎng)管中心遠(yuǎn)程控制核心層交換機(jī)而實(shí)現(xiàn)對(duì)總公司內(nèi)部局域網(wǎng)的控制。 2.3.2 總公司與分公司間網(wǎng)絡(luò)通信技術(shù)需求 1.

17、本設(shè)計(jì)應(yīng)用了ospf（開(kāi)放式最短路徑優(yōu)先）協(xié)議，實(shí)現(xiàn)了公司與分公司之間網(wǎng)絡(luò)通信，為了總公司與分公司的通信安全，它們之間網(wǎng)絡(luò)通信的鏈路封裝了ppp協(xié)議，且ppp協(xié)議采用chap認(rèn)證機(jī)制。 2.為實(shí)現(xiàn)減輕總公司網(wǎng)絡(luò)負(fù)擔(dān)的功能，分公司核心路由器為為總公司的保安部動(dòng)態(tài)提供ip地址， 由于總公司保安部設(shè)備和其dhcp服務(wù)器不在同一廣播域內(nèi)，因此需要中間路由器，作為中繼來(lái)實(shí)現(xiàn)這一功能，這里應(yīng)用了dhcp+ip helper-address技術(shù)來(lái)實(shí)現(xiàn)。 3.分公司為了自己內(nèi)部信息的安全，僅允許總公司后勤部的設(shè)備以http的方式訪問(wèn)其服務(wù)器，這里應(yīng)用了acl技術(shù)，僅允許后勤部網(wǎng)段通過(guò)80端口訪問(wèn)服務(wù)器，來(lái)實(shí)現(xiàn)

18、這一功能。 2.3.3 總公司與廣域網(wǎng)間通信技術(shù)需求 1.由于公司內(nèi)部網(wǎng)絡(luò)需要接入廣域網(wǎng)，而公司內(nèi)部網(wǎng)絡(luò)使用的是內(nèi)部私有的ip地址，而私有的網(wǎng)絡(luò)是不可以與廣域網(wǎng)上的設(shè)備直接相通信的，因此公司內(nèi)部網(wǎng)絡(luò)與廣域網(wǎng)通信時(shí)，需要將私有的ip地址轉(zhuǎn)換為公有的ip地址，才能實(shí)現(xiàn)公司專(zhuān)用網(wǎng)與廣域網(wǎng)的連通，這里應(yīng)用了nat（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)實(shí)現(xiàn)了這一功能。 2.網(wǎng)絡(luò)通信中，為實(shí)現(xiàn)禁止保安部與后勤部訪問(wèn)互聯(lián)網(wǎng)上資源的功能，需要應(yīng)用acl（訪問(wèn)控制列表）技術(shù)，它可以過(guò)濾網(wǎng)絡(luò)中的流量，允許控制列表中的網(wǎng)絡(luò)設(shè)備（根據(jù)其ip地址）與外網(wǎng)之間實(shí)現(xiàn)通信，而阻止其他設(shè)備與外網(wǎng)相互通信。 3.網(wǎng)絡(luò)提供商（網(wǎng)通）為總公司邊緣路由

19、器（用于連接廣域網(wǎng)）與外網(wǎng)連接的端口提供ip地址，為了方便總公司與網(wǎng)絡(luò)提供商的網(wǎng)絡(luò)配置，這里網(wǎng)通路由器開(kāi)啟dhcp協(xié)議，使得緣路由器與外網(wǎng)連接的端口可以自動(dòng)獲得ip地址。 2.3.4 總公司與合作伙伴間通信技術(shù)需求 為實(shí)現(xiàn)總公司與其合作伙伴的高質(zhì)量的點(diǎn)對(duì)點(diǎn)通信，在他們之間建立了高性能的虛擬廣域網(wǎng)連接，這里應(yīng)用了幀中繼技術(shù)，并在其上封裝了點(diǎn)對(duì)點(diǎn)協(xié)議。 2.3.5 總公司與出差人員間通信技術(shù)需求 為了方便公司員工在外地辦公時(shí)，依然能夠訪問(wèn)總公司的服務(wù)器，本設(shè)計(jì)應(yīng)用了vpn（虛擬專(zhuān)用網(wǎng)絡(luò)）來(lái)實(shí)現(xiàn)這一功能。第3章 網(wǎng)絡(luò)模擬實(shí)驗(yàn)工程技術(shù)及原理概述3.1網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)系統(tǒng)對(duì)網(wǎng)絡(luò)通信的安全性有著十分高的

20、要求。雖然計(jì)算機(jī)系統(tǒng)本身具有一定的安防措施，但是網(wǎng)絡(luò)系統(tǒng)的安全防范仍然是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全性中一道重要的關(guān)卡。 局域網(wǎng)內(nèi)的交換機(jī)應(yīng)當(dāng)能夠?qū)緝?nèi)部網(wǎng)絡(luò)進(jìn)行虛擬網(wǎng)劃分和鏈路層網(wǎng)絡(luò)管理，把實(shí)際地理位置上分散而邏輯上緊密相關(guān)的站點(diǎn)劃入同一虛擬網(wǎng)，從而實(shí)現(xiàn)不相關(guān)網(wǎng)絡(luò)的邏輯隔離是網(wǎng)絡(luò)安全性的重要保證。因此，我們?cè)诰W(wǎng)絡(luò)方案施工過(guò)程中選用的網(wǎng)絡(luò)設(shè)備應(yīng)該具有包括物理層、網(wǎng)絡(luò)層、應(yīng)用層等多個(gè)層次實(shí)現(xiàn)安全管理的能力，從而避免發(fā)生在同一虛擬網(wǎng)內(nèi)以及虛擬網(wǎng)之間互聯(lián)點(diǎn)上的非法侵犯。本網(wǎng)絡(luò)工程方案涉及到的網(wǎng)絡(luò)通信安全協(xié)議與數(shù)據(jù)加密技術(shù)有：1. 總公司內(nèi)部局域網(wǎng)與分公司網(wǎng)絡(luò)連接鏈路采用ppp封裝chap認(rèn)證機(jī)制協(xié)議。chap

21、協(xié)議是ppp（點(diǎn)對(duì)點(diǎn)協(xié)議）詢問(wèn)握手認(rèn)證協(xié)議。它對(duì)對(duì)端身份的校驗(yàn)是通過(guò)三次握手機(jī)制周期性的檢驗(yàn)，其完成是在鏈路建立初期。通過(guò)不斷增長(zhǎng)變化的標(biāo)識(shí)符和可變的詢問(wèn)數(shù)值結(jié)果，可避免來(lái)自惡意端點(diǎn)的欺騙性攻擊。從而保證了總公司與分公司之間網(wǎng)絡(luò)通信的安全性。2. 在總公司接入互聯(lián)網(wǎng)，總公司與分公司以及總公司與出差人員之間的通信中都應(yīng)用到了訪問(wèn)控制列表（access control list，acl）網(wǎng)絡(luò)安全技術(shù)。acl是交換機(jī)與路由器接口的指令表，用來(lái)對(duì)相關(guān)端口數(shù)據(jù)包的進(jìn)出進(jìn)行控制。acl可以用于所有的路由協(xié)議，例如appletalk、ip等。相關(guān)的匹配關(guān)系、條件和查詢語(yǔ)句都包含在這張表中，表是一種基本框架結(jié)

22、構(gòu)，它的作用是控制某種網(wǎng)絡(luò)資源訪問(wèn)。為了確保公司內(nèi)部網(wǎng)絡(luò)的安全性，需要通過(guò)相關(guān)安全機(jī)制來(lái)保證沒(méi)有授權(quán)的用戶只能訪問(wèn)特定的網(wǎng)絡(luò)資源，從而實(shí)現(xiàn)對(duì)訪問(wèn)進(jìn)行控制的功能。acl還可以過(guò)濾網(wǎng)絡(luò)通信過(guò)程中的流量，這是一種控制訪問(wèn)的網(wǎng)絡(luò)技術(shù)手段。應(yīng)用acl技術(shù)給公司不同部門(mén)設(shè)置不同的網(wǎng)絡(luò)訪問(wèn)權(quán)限更加有效的保證了公司內(nèi)部資料的安全性。 3.在總公司與出差人員之間vpn通信中應(yīng)用到網(wǎng)絡(luò)安全協(xié)議以及網(wǎng)絡(luò)安全機(jī)制相關(guān)算法有：ike協(xié)議、ipsec協(xié)議、3des加密算法、md5算法。 ike協(xié)議是因特網(wǎng)密鑰交換協(xié)議，它能夠解決在復(fù)雜的網(wǎng)絡(luò)環(huán)境中十分安全地建立或更新共享密鑰的問(wèn)題。這是一種混合型協(xié)議，主要是由密鑰管理協(xié)議

23、（isakmp）和internet安全關(guān)聯(lián)以及skeme與oakley兩種密鑰交換協(xié)議構(gòu)成。ike創(chuàng)建在由isakmp定義的框架上，使用了密鑰更新和skeme的共享技術(shù)以及oakley的密鑰交換模式。 ipsec全稱(chēng)是internet協(xié)議安全性（internet protocol security），它通過(guò)使用加密的安全服務(wù)以確保在 internet 協(xié)議 (ip) 網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊，而且是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)。它為了防止internet與專(zhuān)用網(wǎng)絡(luò)的攻擊，采用端對(duì)端的安全性來(lái)提供對(duì)主動(dòng)的保護(hù)。在通信過(guò)程中，只有收發(fā)兩方才能而且必須了解 ipsec 保護(hù)的計(jì)算機(jī)。 3des是三重?cái)?shù)據(jù)

24、加密算法（tdea，triple data encryption algorithm）塊密碼的統(tǒng)稱(chēng)。它的本質(zhì)就是將des加密算法分別三次應(yīng)用于每個(gè)要發(fā)送的數(shù)據(jù)塊，使用的是對(duì)稱(chēng)密鑰加密法算法。它是des向aes過(guò)渡的加密算法，相對(duì)于des，3des的加密安全性更加可靠，以des為基本模塊，通過(guò)組合分組方法設(shè)計(jì)出分組加密算法。 md5是一種散列函數(shù)，它廣泛應(yīng)用于計(jì)算機(jī)安全領(lǐng)域，它的功能是提供消息的完整性保護(hù)，它的作用是讓大容量信息在用數(shù)字簽名軟件簽署私人密鑰前被壓縮成一種保密的格式。3.2虛擬網(wǎng)支持 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)采用現(xiàn)代交換原理，它促使虛擬網(wǎng)技術(shù)的應(yīng)用在全球范圍內(nèi)快速猛增。按照網(wǎng)絡(luò)區(qū)域的不同分布

25、對(duì)全網(wǎng)實(shí)施虛擬網(wǎng)劃分，這是提高網(wǎng)絡(luò)安全性、增強(qiáng)網(wǎng)絡(luò)性能、加強(qiáng)網(wǎng)絡(luò)管理、隔離網(wǎng)絡(luò)故障的有效措施。 但是如果虛擬網(wǎng)的應(yīng)用僅僅局限于局部網(wǎng)絡(luò)或單個(gè)交換機(jī)內(nèi)部，經(jīng)過(guò)網(wǎng)絡(luò)劃分后，整個(gè)網(wǎng)絡(luò)工程系統(tǒng)將成為一塊塊支離破碎的盲區(qū)。所以總公司選用的網(wǎng)絡(luò)核心層交換機(jī)應(yīng)具備跨越分支和主干自由地在全網(wǎng)范圍內(nèi)進(jìn)行劃分虛擬網(wǎng)的功能，而且所有網(wǎng)絡(luò)設(shè)備的虛擬網(wǎng)劃分功能應(yīng)當(dāng)基于ieee 802.1q這個(gè)統(tǒng)一的標(biāo)準(zhǔn)。3.3第三層交換技術(shù) 網(wǎng)絡(luò)通信中的大部分?jǐn)?shù)據(jù)流量不再局限于各子網(wǎng)內(nèi)部，這是internet/intranet的相關(guān)計(jì)算方式對(duì)各公司廣域網(wǎng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的另一個(gè)重大考驗(yàn)。網(wǎng)絡(luò)通信大多是跨越子網(wǎng)邊界訪問(wèn)，它對(duì)網(wǎng)絡(luò)中相關(guān)設(shè)備

26、處理子網(wǎng)間路由的能力要求非常高。傳統(tǒng)路由器以軟件方式進(jìn)行路由操作，這種操作方式產(chǎn)生的傳輸延遲是交換機(jī)產(chǎn)生的幾十倍，而且當(dāng)網(wǎng)絡(luò)負(fù)載變化時(shí)，延遲時(shí)間會(huì)隨之有很大變化，這很不利于多媒體的傳輸；由于采用價(jià)格昂貴的高性能處理器和大量高速內(nèi)存而導(dǎo)致性能價(jià)格比非常低，無(wú)法進(jìn)一步對(duì)吞吐量進(jìn)行提高。 如今局域網(wǎng)主干上增加了許多的路由任務(wù)，以往路由器的吞吐量已經(jīng)不能滿足當(dāng)前的網(wǎng)絡(luò)需求，而過(guò)大的延遲又不能適應(yīng)語(yǔ)音通信、多媒體視頻的服務(wù)質(zhì)量需求，使用具有網(wǎng)絡(luò)層功能的交換機(jī)替代路由器實(shí)現(xiàn)低延遲、大容量的路由即第三層交換已勢(shì)在必行。各公司廣域網(wǎng)應(yīng)選用具有硬件實(shí)現(xiàn)的第三層交換能力的網(wǎng)絡(luò)交換機(jī)（本設(shè)計(jì)選用的是3560-24p

27、s型三層交換機(jī)）用來(lái)滿足不斷增長(zhǎng)的子網(wǎng)間通信需求，同時(shí)實(shí)現(xiàn)多媒體通信所要求的低延遲和延遲量的穩(wěn)定性。為了使網(wǎng)絡(luò)服務(wù)更好地支持不同應(yīng)用的服務(wù)質(zhì)量需求，應(yīng)當(dāng)考慮采用能夠根據(jù)不同應(yīng)用區(qū)別處理的具有應(yīng)用認(rèn)知功能的緩存設(shè)備和具有第四層智能的第二代多層交換機(jī)作為網(wǎng)絡(luò)主干設(shè)備，從而更有效地利用寶貴的網(wǎng)絡(luò)資源。 internet/intranet計(jì)算是網(wǎng)絡(luò)計(jì)算進(jìn)一步發(fā)展的總體趨勢(shì)，它需要適應(yīng)應(yīng)用技術(shù)發(fā)展的需求，這不僅要求主干交換機(jī)，而且配線間工作組交換機(jī)也應(yīng)選擇具備第三層交換能力的設(shè)備，這樣可以在需要時(shí)分擔(dān)主干交換機(jī)的負(fù)載，更加有效地利用有限的主干帶寬。 我們?cè)趶?qiáng)調(diào)網(wǎng)絡(luò)第三層交換功能的同時(shí)，以前的第二層交換技

28、術(shù)也不能被忽視，主干和分支交換機(jī)都應(yīng)當(dāng)能夠在支持多層交換的同時(shí)支持我們可能需要的各種第二層交換技術(shù)，如快速以太網(wǎng)、atm、fddi、千兆以太網(wǎng)等。3.4網(wǎng)絡(luò)管理和流量監(jiān)控 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是全球各公司廣域網(wǎng)智能系統(tǒng)的神經(jīng)中樞，它的運(yùn)行狀態(tài)應(yīng)該得到全面的管理和監(jiān)控。osi對(duì)網(wǎng)絡(luò)管理功能提出了性能管理、配置管理、安全管理、錯(cuò)誤管理、記帳管理等五大要求，以此為基礎(chǔ)，該網(wǎng)絡(luò)管理系統(tǒng)應(yīng)當(dāng)選用基于工業(yè)標(biāo)準(zhǔn)的簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（snmp）的開(kāi)放式管理平臺(tái)，而且需要配合專(zhuān)用的網(wǎng)絡(luò)管理應(yīng)用作為網(wǎng)管系統(tǒng)的設(shè)計(jì)框架。網(wǎng)管系統(tǒng)應(yīng)支持設(shè)備的配置和監(jiān)視、網(wǎng)絡(luò)故障的監(jiān)測(cè)、網(wǎng)絡(luò)拓?fù)渥詣?dòng)發(fā)現(xiàn)和報(bào)告等功能，而且能夠提供簡(jiǎn)單方便的圖形

29、用戶接口。 第三章介紹了網(wǎng)絡(luò)模擬工程施工過(guò)程中需要應(yīng)用到的網(wǎng)絡(luò)技術(shù)及其相關(guān)原理，其中重點(diǎn)介紹了網(wǎng)絡(luò)安全應(yīng)用技術(shù)。下面的第四章就是要對(duì)整個(gè)網(wǎng)絡(luò)模擬工程的施工進(jìn)行詳細(xì)的說(shuō)明。第4章 網(wǎng)絡(luò)模擬實(shí)驗(yàn)工程總體規(guī)劃4.1網(wǎng)絡(luò)總體拓?fù)浔揪W(wǎng)絡(luò)工程方案的設(shè)計(jì)劃分為五個(gè)模塊，分別為：1. 總公司內(nèi)部局域網(wǎng)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)；2. 總公司與分公司之間ppp+chap網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)；3. 總公司內(nèi)部局域網(wǎng)接入廣域網(wǎng)拓?fù)湓O(shè)計(jì)；4. 總公司與合作伙伴間廣域網(wǎng)上幀中繼通信網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)；5. 總公司與公司出差人員間vpn網(wǎng)絡(luò)通信拓?fù)湓O(shè)計(jì)。網(wǎng)絡(luò)總體布局拓?fù)?如圖4-1：圖4-1 網(wǎng)絡(luò)工程總體拓?fù)鋱D4.2項(xiàng)目工程網(wǎng)絡(luò)規(guī)劃 4.2.1總公

30、司內(nèi)部局域網(wǎng)規(guī)劃1.在總公司核心交換機(jī)上創(chuàng)建四個(gè)vlan:vlan 2,vlan 3,vlan 4,vlan 8,分別分配給公司內(nèi)部，銷(xiāo)售部、研發(fā)部、后勤部、保安部，將公司劃分為四個(gè)網(wǎng)段，便于管理； 2.各vlan之間互相通信，由于公司各部門(mén)一些特殊的設(shè)備需要設(shè)置靜態(tài)ip，所以設(shè)需要留地址范圍是： - 20 ， - 30 ， - 40；3.在核心層交換機(jī)上配置telnet，網(wǎng)管中心對(duì)公司內(nèi)部局域網(wǎng)進(jìn)行遠(yuǎn)程控制管理。 4.2.2總公司與分公司網(wǎng)絡(luò)規(guī)劃1. 總公司與分公司之間ppp連接需封裝chap認(rèn)證，認(rèn)證密碼設(shè)為：123；2

31、. 總公司與分公司之間應(yīng)用ospf技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)連接。ospf路由協(xié)議的相關(guān)配置過(guò)程有如下幾個(gè)步驟：（1） 在相關(guān)路由器或三層交換上指定使用ospf協(xié)議，協(xié)議id為10;（2） 在不同型號(hào)的路由設(shè)備上設(shè)置其路由id；（3） 指定與路由器相連的網(wǎng)絡(luò)，區(qū)域號(hào)設(shè)置為0。3. 分公司核心路由器為總公司保安部提供動(dòng)態(tài)ip,其ip地址范圍是： - 54； 4.在總公司核心層交換機(jī)上應(yīng)用acl技術(shù)，僅允許后勤部網(wǎng)段的80端口可以訪問(wèn)分公司服務(wù)器。 4.2.3 總公司與廣域網(wǎng)間網(wǎng)絡(luò)規(guī)劃1. 應(yīng)用了nat技術(shù)，將公司內(nèi)部私有的ip地址轉(zhuǎn)換為公有的ip地址，使得公司內(nèi)部網(wǎng)

32、絡(luò)接入廣域網(wǎng)。該nat的配置大致可分為以下步驟：（1） 在邊緣路由器和isp路由器上配置訪問(wèn)控制鏈表，用以規(guī)定允許訪問(wèn)廣域網(wǎng)ip范圍；（2） 將訪問(wèn)控制鏈表與相應(yīng)的路由端口映射在一起；（3） 指定nat網(wǎng)絡(luò)內(nèi)部和外部接口，用以確定nat網(wǎng)絡(luò)數(shù)據(jù)的流向。2.網(wǎng)絡(luò)通信設(shè)置中，應(yīng)用acl技術(shù)，過(guò)濾網(wǎng)絡(luò)中的流量，實(shí)現(xiàn)禁止保安部與后勤部訪問(wèn)互聯(lián)網(wǎng)上資源的功能。3.網(wǎng)絡(luò)提供商設(shè)置dhcp協(xié)議，使得緣路由器與外網(wǎng)連接的端口可以自動(dòng)獲得ip地址。dhcp協(xié)議的配置主要有以下步驟: （1）設(shè)定dhcp協(xié)議ip地址池； （2）定義dhcp網(wǎng)絡(luò)地址，即一個(gè)網(wǎng)段，所有該網(wǎng)段內(nèi)的網(wǎng)絡(luò)設(shè)備只能獲得規(guī)定的該網(wǎng)段內(nèi)的ip地址

33、； （3）配置該網(wǎng)段的網(wǎng)關(guān)； （4）給該網(wǎng)段配置dns； （5）除去某些預(yù)留的ip地址段，網(wǎng)段內(nèi)設(shè)備啟動(dòng)dhcp協(xié)議獲取ip地址時(shí)，不能獲取該段內(nèi)的ip地址。 4.2.4 總公司與合作伙伴間網(wǎng)絡(luò)規(guī)劃 總公司與其合作伙伴間采用點(diǎn)對(duì)點(diǎn)通信并結(jié)合幀中繼技術(shù)，其網(wǎng)絡(luò)設(shè)計(jì)主要分為以下步驟:（1） 在相關(guān)路由器廣域網(wǎng)端口上封裝幀中繼協(xié)議；（2） 在上述物理端口上建立虛擬子接口，設(shè)置其為point-to-point類(lèi)型，并為其配置相應(yīng)ip地址；（3） 給子接口配置dlci值并建立對(duì)端協(xié)議地址與本地dlci的映射關(guān)系；（4） 配置幀中繼中云相關(guān)端口,指定數(shù)據(jù)流流向的端口，從而實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)通信的鏈路連接。 4.2

34、.5 總公司與出差人員間網(wǎng)絡(luò)規(guī)劃總公司與在外出員工間采用vpn技術(shù)，實(shí)現(xiàn)出差人員能夠訪問(wèn)總公司的服務(wù)器功能。在vpn設(shè)計(jì)中，主要做以下工作:1. ike（internet密鑰交換）協(xié)議設(shè)置： （1）分別對(duì)通信兩端建立isakmp策略并且采用3des加密協(xié)議；（2）哈希采用md5算法驗(yàn)證，雙方采用欲共享密鑰認(rèn)證方式； （3）對(duì)通道進(jìn)行加密，并設(shè)置對(duì)端ip地址； （4）為了增強(qiáng)數(shù)據(jù)傳輸中的安全性，創(chuàng)建變換集，采用esp-3des和 esp-md5-hmac算法。.應(yīng)用acl技術(shù)定義感興趣流，確定通信雙方數(shù)據(jù)的流向。.通過(guò)創(chuàng)建加密圖將感興趣流與變換集映射在一起，從而確定了受保護(hù)的數(shù)據(jù)流。.將加密圖綁

35、定在對(duì)應(yīng)的端口上。 以上比較詳細(xì)的介紹了整個(gè)模擬網(wǎng)絡(luò)項(xiàng)目工程總體規(guī)劃以及其中比較重要的網(wǎng)絡(luò)技術(shù)或協(xié)議的設(shè)計(jì)流程，接下來(lái)是整個(gè)模擬網(wǎng)絡(luò)工程拓?fù)涞呐渲?。?章 網(wǎng)絡(luò)模擬實(shí)驗(yàn)項(xiàng)目配置概述5.1總公司內(nèi)部局域配置 5.1.1 核心層交換機(jī)配置在核心層交換機(jī)上配置:vlan2、vlan3、vlan4、vlan8四個(gè)虛擬局網(wǎng)段分別分配給：銷(xiāo)售部、研發(fā)部、后勤部及保安部。配置命令如下：1.創(chuàng)建虛擬局域網(wǎng)：sw-35(config)#vlan 2sw-35(config-vlan)#vlan 3sw-35(config-vlan)#vlan 4sw-35(config-vlan)#vlan 8sw-35(co

36、nfig-vlan)#exit 2.將核心層交換機(jī)f0/2、f0/3、f0/4、f0/8端口分別接入到四個(gè)局域網(wǎng)中，而且這四個(gè)端口分別連接到四個(gè)部門(mén)的接入層交換機(jī)上，這里僅列出一個(gè)端口的配置，其他端口配置與此相似：sw-35(config)#int f0/2sw-35(config-if)#switchport access vlan 2sw-35(config-if)#switchport mode access 5.1.2 dhcp協(xié)議配置1.創(chuàng)建三個(gè)ip dhcp地址池分別命名為：xsb,yfb,hqb分別分配給銷(xiāo)售部、研發(fā)部、后勤部，其中之一配置為：sw-35(config)#ip d

37、hcp pool xsbsw-35(dhcp-config)#net sw-35(dhcp-config)#default-router sw-35(dhcp-config)#dns 2.保留一定范圍的ip地址，其相關(guān)配置是：sw-35(config)#ip dhcp excluded-address 0sw-35(config)#ip dhcp excluded-address 0sw-35(config)#ip

38、 dhcp excluded-address 0 3.定義vlan子接口，各部門(mén)的計(jì)算機(jī)可以自動(dòng)獲得ip：sw-35(config-if)#int vlan 2sw-35(config-if)#ip add sw-35(config-if)#int vlan 3sw-35(config-if)#ip add sw-35(config-if)#int vlan 4sw-35(config-if)#ip add 255.255.2

39、55.0 4.三層交換機(jī)上要實(shí)現(xiàn)各vlan間的通信，需要開(kāi)啟路由功能，其命令是：sw-35(config)#ip routing 5.網(wǎng)管中心對(duì)總公司核心層交換機(jī)進(jìn)行控制和管理命令：sw-35(config)#line vty 0 15sw-35(config-line)#pass 123sw-35(config)#enable pass 456sw-35(config)#ip default-gateway sw-35(config)#int f0/1 sw-35(config-if)#ip add 5.2總公司與分公司

40、間網(wǎng)絡(luò)配置 1.配置總公司與分公司實(shí)現(xiàn)網(wǎng)絡(luò)連通相關(guān)端口：r1(config)#int f0/0r1(config-if)#no shutr1(config-if)#ip add r1(config)#int s1/0r1(config-if)#no shutr1(config-if)#ip add 2.配置ospf路由協(xié)議實(shí)現(xiàn)總公司與分公司間相互通信，其中配置核心層交換機(jī)、路由器r1、r2的路由id分別為：、、，其中僅列出了核心層交換機(jī)上ospf的配置

41、：sw-35(config-if)#int f0/6sw-35(config-if)#no switchport sw-35(config-if)#ip add sw-35(config)#router ospf 10sw-35(config-router)#router-id sw-35(config-router)#net 55 a 0 3.為減輕總公司的負(fù)擔(dān)分公司提供dhcp中繼服務(wù)地址池 - 254，為保安部提供動(dòng)態(tài)ip:r2(config)#ip dhcp

42、pool babr2(dhcp-config)#net r2(dhcp-config)#default-router r2(dhcp-config)#dns 4.需要在核心層交換機(jī)上給vlan 8 配置ip，由于dhcp服務(wù)器與保安部設(shè)備不在同一廣播域內(nèi)，需要應(yīng)用ip helper-address技術(shù)來(lái)實(shí)現(xiàn)為保安部提供動(dòng)態(tài)ip的功能：sw-35(config)#int vlan 8sw-35(config-if)#ip add sw-35(config-if

43、)#ip helper-address 5.在r1與r2之間封裝ppp協(xié)議，并且建立chap認(rèn)證安全機(jī)制，認(rèn)證密碼為123，這里僅說(shuō)明了r1的配置，r2配置與此相似：r1(config)#int s1/0r1(config-if)#encapsulation pppr1(config-if)#ppp authentication chap r1(config-if)#exitr1(config)#username r2 pass 123 6.后勤部只能訪問(wèn)分公司服務(wù)器的http服務(wù)，其他部門(mén)不受此限制，實(shí)現(xiàn)此功能需要應(yīng)用acl技術(shù)，斷開(kāi)網(wǎng)段與分公司

44、服務(wù)器tcp連接（除80端口外）:sw-35(config)#access-list 100 deny tcp 55 host 0 neq 80 sw-35(config)#access-list 100 permit ip any anysw-35(config)#int f0/6sw-35(config-if)#ip access-group 100 out5.3總公司接入互聯(lián)網(wǎng)配置 1.為實(shí)現(xiàn)總公司與互聯(lián)網(wǎng)的，核心層交換機(jī)f0/5端口作為與外部網(wǎng)絡(luò)連接的接口，其配置：sw-35(config-if)#int f0/5sw-35

45、(config-if)#no swsw-35(config-if)#ip add 2.邊緣路由器是連接總公司與廣域網(wǎng)的路由器，其f0/0端口配置ip： bound(config)#int f0/0bound(config-if)#ip add 3.網(wǎng)絡(luò)供應(yīng)商（網(wǎng)通）路由器isp與總公司邊緣路由相連接，將公司局域網(wǎng)連接到廣域網(wǎng)上:isp(config)#int f0/0isp(config-if)#ip add isp(config-if)#no

46、 shutisp(config)#int s1/0isp(config-if)#ip add isp(config-if)#no shut 4.在isp上配置dhcp為邊緣路由器的f0/1端口提供動(dòng)態(tài)ip:isp(config)#ip dhcp pool boundisp(dhcp-config)#net isp(dhcp-config)#de isp(dhcp-config)#dns 5.打開(kāi)邊緣路由器的f0/1端口，并設(shè)置其從dhcp獲得ip:bound(c

47、onfig)#int f0/1bound(config-if)#no shutbound(config-if)#ip add dhcp 6.配置internet，在其上設(shè)置環(huán)回口lo1,模擬公司內(nèi)部局域網(wǎng)可以與互聯(lián)網(wǎng)相連通：internet(config)#int s1/0internet(config-if)#no shutinternet(config-if)#ip add 0 internet(config-if)#clock rat 64000internet(config-if)#int lo1internet(config-if)#ip

48、add 7.在邊緣路由器上配置ospf協(xié)議,實(shí)現(xiàn)公司局域網(wǎng)與便于路由器的連接，為公司局域網(wǎng)接入廣域網(wǎng)作中繼：bound(config)#router ospf 10bound(config-router)#router-id bound(config-router)#net 55 a 0 8.為了公司內(nèi)部局域網(wǎng)的安全，配置單向路由阻止外部網(wǎng)絡(luò)訪問(wèn)公司內(nèi)部資源：sw-35(config)#ip route 9.在isp上執(zhí)行nat轉(zhuǎn)換，允許銷(xiāo)

49、售部、研發(fā)部接入internet(后勤部、保安部除外):在邊緣路由器上配置訪問(wèn)控制列表10，允許銷(xiāo)售部、研發(fā)部接入：bound(config)#access-list 10 permit 55bound(config)#access-list 10 permit 55bound(config)#ip nat inside source list 10 int f0/1 overload bound(config)#int f0/1bound(config-if)#ip nat outside bound(config-

50、if)#int f0/0bound(config-if)#ip nat inside 在isp路由器上配置訪問(wèn)控制列表20，允許銷(xiāo)售部、研發(fā)部接入互聯(lián)網(wǎng)：isp(config)#access-list 20 permit 55isp(config)#ip nat inside source list 20 int s1/0 overload isp(config)#int s1/0isp(config-if)#ip nat outside isp(config-if)#int f0/0isp(config-if)#ip nat inside isp(conf

51、ig)#ip route 05.4總公司與合作伙伴間網(wǎng)絡(luò)配置 5.4.1幀中繼配置 1.總公司核心路由器r1與合作伙伴相連接的端口配置：r1(config)#int s1/1r1(config-if)#ip add r1(config-if)#no shut 2. 總公司與合作伙伴1、2封裝幀中繼并配置點(diǎn)對(duì)點(diǎn)協(xié)議，這里僅列出了其與合作伙伴1連接的命令,其他合作伙伴配置命令與此相似： 連接端口的配置：r6(config)#int f0/0r6(config-if)#no shutr6(config

52、-if)#ip add 在物理端口（廣域網(wǎng)端口s0/1/0）封裝幀中繼協(xié)議:r6(config-if)#int s0/1/0 r6(config-if)#no shutr6config-if)#clock rate 64000r6(config-if)#encapsulation frame-relay 在物理端口上建立子接口，并指定接口類(lèi)型:point-to-point，并配置ip地址：r6(config-if)#int s0/1/0.1 point-to-pointr6(config-subif)#ip add 255.25

53、5.255.0 給子接口配置dlci值:r6(config-subif)#frame-relay interface-dlci 30 建立對(duì)端協(xié)議地址與本地dlci的映射關(guān)系:r6(config-subif)#description link to r5 dlic 20 應(yīng)用ospf協(xié)議實(shí)現(xiàn)總公司與合作伙伴幀中繼分裝ppp的連接:r6(config)#router ospf 10r6(config-router)#router-id r6(config-router)#net 55 a 0r6(config-router)#net 171.17

54、.0.0 55 a 0 5.4.2 幀中繼云配置配置幀中繼中云相關(guān)端口,指定數(shù)據(jù)流流向的端口，從而實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)通信的鏈路連接，該鏈接端口配置如圖5-1： 圖5-1 幀中繼云端口配置圖5.5出差人員與總公司間vpn配置 總公司核心路由器r1建立vpn相關(guān)端口配置：r1(config)#int f0/1r1(config-if)#no shutr1(config-if)#int s1/2r1(config-if)#no shutr1(config-if)#ip add r1(config-if)#clock rate 64000r1(config-if)#int f0/1r1(config-if)#ip add r1(config-if)#exit 5.5.1 ike第一階段 ike配置： 1.建立isakmp策略10: r1(config)#crypto isakmp policy 10 2.采用3des加密: r1(config-isakmp)#encryption 3des 3.哈希采用md5驗(yàn)證: r1(config-isakmp)#hash md5 4.采用欲共享密鑰認(rèn)證方式: r1(config-isakmp)#authentication p