中型網(wǎng)絡(luò)綜合配置與安全配置

1、江 西 理 工 大 學(xué) 南 昌 校 區(qū) 畢 業(yè) 設(shè) 計（論文） 題 目：中型網(wǎng)絡(luò)綜合配置與安全配置 系 ： 專 業(yè)： 班 級： 學(xué) 生： 學(xué) 號： 指導(dǎo)教師： 職稱： 引引 言言 .5 1. 1.網(wǎng)絡(luò)技術(shù)介紹網(wǎng)絡(luò)技術(shù)介紹.5 1.1 因特網(wǎng)協(xié)議因特網(wǎng)協(xié)議.5 1.1.1、tcp/ip 協(xié)議 .5 1.1.2、主機(jī)到主機(jī)層協(xié)議.6 1.1.3、因特網(wǎng)層協(xié)議.7 1.2 路由與路由與交換技術(shù)交換技術(shù).8 1.2.1 什么是路由.8 1.2.2 什么是交換.8 1.2.3 局域網(wǎng)交換機(jī)的種類和選擇.9 1.3 vlan 虛擬虛擬局域網(wǎng)局域網(wǎng).9 1.3.1 vlan 簡介.9 1.3.2 vlan

2、的優(yōu)點.10 1.3.3 vtp：思科 vlan 中繼協(xié)議（vtp：cisco vlan trunking protocol）.10 1.4 nat 地址轉(zhuǎn)換技術(shù)地址轉(zhuǎn)換技術(shù).11 1.4.1 nat 原理簡介.11 1.4.2 nat 技術(shù)類型.11 1.5 訪問控制列表訪問控制列表 acl（access control list，acl).12 1.5.1 概述.12 1.5.2 acl 的作用.12 2.項目分析項目分析 .13 2.1 案例概況案例概況.13 2.2 案例技術(shù)要求案例技術(shù)要求.14 2.3 案例深入分析案例深入分析.14 2.3.1 拓?fù)浣Y(jié)構(gòu)分析.14 2.3.2 vl

3、an 劃分原則.14 2.3.3 其他網(wǎng)絡(luò)技術(shù)的使用.15 2.4 網(wǎng)絡(luò)布線工程網(wǎng)絡(luò)布線工程.15 2.5 項目設(shè)計總結(jié)項目設(shè)計總結(jié).15 2.5.1 總拓?fù)鋱D：.15 2.5.2 ip 地址及 vlan 劃分對照表 .16 3.網(wǎng)絡(luò)設(shè)置與調(diào)試網(wǎng)絡(luò)設(shè)置與調(diào)試 .18 3.1 試驗環(huán)境說明試驗環(huán)境說明.18 3.2 交換機(jī)配置部分交換機(jī)配置部分.18 3.2.1 配置前說明.18 3.2.2 一樓交換機(jī)配置命令.18 3.2.3 二樓交換機(jī)配置.20 3.2.4 三樓交換機(jī)配置.20 3.2.5 主交換機(jī)配置.20 3.2.6 vtp 配置 .21 3.2.7 默認(rèn)網(wǎng)關(guān).22 3.3 路由器配置

4、部分路由器配置部分.23 3.3.1 基本配置.23 3.3.2 路由協(xié)議配置.24 3.3.3 nat 地址轉(zhuǎn)換配置.24 3.3.4 訪問控制列表配置.25 4.項目驗收測試項目驗收測試 .28 4.1 網(wǎng)絡(luò)性能測試網(wǎng)絡(luò)性能測試.28 4.2 網(wǎng)絡(luò)安全測試網(wǎng)絡(luò)安全測試.29 結(jié)結(jié) 論論 .30 謝謝 辭辭 .31 參考文獻(xiàn)參考文獻(xiàn) .32 摘要摘要 在當(dāng)今社會，全球經(jīng)濟(jì)發(fā)展和信息技術(shù)不斷發(fā)展，不斷結(jié)合；網(wǎng)絡(luò)已經(jīng)成為企業(yè)領(lǐng)導(dǎo) 者和員工傳遞信息和管理的主要途徑。在淘汰了復(fù)雜的手工管理后，自動化和智能化的計 算機(jī)管理逐漸被企業(yè)所認(rèn)可，特別是現(xiàn)在特別流行的公司局域網(wǎng)。企業(yè)內(nèi)部網(wǎng)絡(luò)的架設(shè)， 不僅讓企

5、業(yè)的運作更有效率，而且?guī)砹斯芾砩系谋憬?。起初，企業(yè)內(nèi)部架設(shè)網(wǎng)絡(luò)僅僅是 為了實現(xiàn)企業(yè)內(nèi)部信息的共享，幫助員工快速的查找到他們需要的資料。但是后來全問題 逐步凸顯了出來，機(jī)密文件外泄、得到權(quán)限的用戶不能行使自己的權(quán)利，對企業(yè)的利益造 成了損害。 隨需求確定安全管理策略隨著網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)應(yīng)用以及網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展， 安全策略的制訂和實施是一個動態(tài)的延續(xù)過程。當(dāng)然可以請有經(jīng)驗的安全專家或購買服務(wù) 商的專業(yè)服務(wù)。但是一個單位的網(wǎng)絡(luò)安全服務(wù)建設(shè)不可能僅依靠公司提供的安全服務(wù)，因 為商業(yè)行為與企業(yè)安全有本質(zhì)差別，不是所有的網(wǎng)絡(luò)都需要所有的安全技術(shù)，何況有些安 全技術(shù)本身并不成熟，只有采取適當(dāng)防護(hù)，

6、重點突出的策略，才能有的放矢，不會盲目跟 風(fēng)。 本文通過進(jìn)行對一個公司的內(nèi)部網(wǎng)絡(luò)的設(shè)計、調(diào)試及安全方面的配置。解決了上面所 考慮到的一些問題，具有一定的參考價值。 關(guān)鍵詞：關(guān)鍵詞：企業(yè)內(nèi)部網(wǎng)絡(luò)管理，網(wǎng)絡(luò)安全管理 medium network configuration and security configuration abstract in now society，global economic development and information technology continuous development and integration; networks have becom

7、e leaders and impart information and the staff are the main channels. out in a complex manual management, automation and management of intelligent computers have been gradually recognized by the enterprise, especially now extremely popular network management. enterprises to set up internal network,

8、not only to allow enterprises to work more efficiently, but also create a convenient management. initially, the internal network is only set up in order to achieve the enterprises internal information sharing, helping staff to quickly find the information they need. but he highlighted security probl

9、ems out, confidential documents leaked, the competence of the users to be unable to exercise their rights, to the interests of the damage caused. with the demand for security management strategy identified with the network topology, network applications and network security technology continues to d

10、evelop, security strategy formulation and implementation is a dynamic process of renewal. requests can certainly experienced security experts to purchase services or professional services. however, a unit of internet security service building company can not rely solely on the provision of security

11、services, because commercial and enterprise security is a fundamental difference, and not all of the needs of all network security technology, moreover, some security technology itself is not mature enough, only to take appropriate protection, focused strategy to targeted, not blindly follow the tre

12、nd. by conducting a companys internal network design, debug and security configuration. solve the above into account some issues with reference value. keywords：enterprise network management，network security management 引引 言言 從 1973 年第一個局域網(wǎng)alto aloha （事實上它的創(chuàng)造者叫它 ethernet，也就是我 們現(xiàn)在所說的以太網(wǎng)）的出現(xiàn)已經(jīng)有 30 余年的歷史

13、了。從一開始 2.94mbps 的傳輸速率到 現(xiàn)在已經(jīng)開始普及的千兆以太網(wǎng)其中過程可謂曲折。中間變革不僅僅從網(wǎng)絡(luò)拓?fù)渖?，傳?介質(zhì)，網(wǎng)絡(luò)標(biāo)準(zhǔn)也不斷更新?lián)Q代。 現(xiàn)在網(wǎng)絡(luò)化辦公，自動化辦公已經(jīng)從當(dāng)年的設(shè)想演變成現(xiàn)在普及使用，其功能上甚至 有勝于當(dāng)年的設(shè)想藍(lán)圖。soho 是以前上班族的夢想，現(xiàn)在已經(jīng)是現(xiàn)代白領(lǐng)生活中的一部 分了。在家辦公，自由職業(yè)者由于網(wǎng)絡(luò)這個媒介的日漸成熟而成為現(xiàn)實。 政府以及企業(yè)都在實行網(wǎng)絡(luò)化辦公。不僅方便快捷提高了效率而且便于管理。異地辦 公，分公司訪問總公司的服務(wù)器以查找需要的資料，這一方式正在大中型企業(yè)里開始應(yīng)用。 其好處可想而知。而且網(wǎng)絡(luò)權(quán)限的設(shè)置規(guī)定了，哪些人可以訪問機(jī)

14、密文件，哪些人則被拒 絕。安全系數(shù)也比較高，不用擔(dān)心泄密問題。當(dāng)然沒有完全安全的網(wǎng)絡(luò)環(huán)境，所以網(wǎng)絡(luò)專 家們?nèi)栽诶^續(xù)研究安全技術(shù)以使網(wǎng)絡(luò)環(huán)境更加的安全，這不僅僅是技術(shù)層面上的問題，這 還涉及到管理體制的方法。 本次論文將要構(gòu)建的一個小型公司網(wǎng)絡(luò)就是一個典型的公司辦公網(wǎng)絡(luò)。不僅要保證一 個穩(wěn)定的網(wǎng)絡(luò)運行，而且要保證網(wǎng)絡(luò)環(huán)境的安全確保公司的機(jī)密資料不會被未授權(quán)的人盜 取。 當(dāng)然我只能做到網(wǎng)絡(luò)技術(shù)層面上的萬無一失，如果人員職能問題上出現(xiàn)漏洞不是網(wǎng)絡(luò) 安全所能解決的。 1網(wǎng)絡(luò)技術(shù)介紹網(wǎng)絡(luò)技術(shù)介紹 1.1 因特網(wǎng)協(xié)議因特網(wǎng)協(xié)議 1.1.1、tcp/ip 協(xié)議 tcp/ip（傳輸入控制地議/網(wǎng)際協(xié)議）是一種

15、網(wǎng)絡(luò)通信協(xié)議，它規(guī)范了網(wǎng)絡(luò)上的所有通 信設(shè)備，尤其是一個主機(jī)與另一個主機(jī)之間的數(shù)據(jù)傳輸格式以及傳送方式。tcp/ip 是因特 網(wǎng)的基礎(chǔ)協(xié)議。如果能夠正確地設(shè)計和應(yīng)用，一個 tcp/ip 網(wǎng)絡(luò)將是一個可靠的并富有彈性 的網(wǎng)絡(luò)。 世界上有各種不同類型的計算機(jī)，也有不同的操作系統(tǒng)，要想讓這些裝有不同操作系 統(tǒng)的不同類型計算機(jī)互相通訊，就必須有統(tǒng)一的標(biāo)準(zhǔn)。tcpip 協(xié)議就是目前被各方面遵 從的網(wǎng)際互聯(lián)工業(yè)標(biāo)準(zhǔn)。 tcp/ip 協(xié)議覆蓋了 osi 網(wǎng)絡(luò)結(jié)構(gòu)七層模型中的六層，并支持從交換（第二層）諸如 多協(xié)議標(biāo)記交換，到應(yīng)用程序諸如郵件服務(wù)方面的功能。tcp/ip 的核心功能是尋址和路由 選擇（網(wǎng)絡(luò)層的

16、 ip/ipv6 ）以及傳輸控制（傳輸層的 tcp、udp） 。 1.1.2、主機(jī)到主機(jī)層協(xié)議 主機(jī)到主機(jī)層的主要目的，是將上層的應(yīng)用程序從網(wǎng)絡(luò)傳輸?shù)膹?fù)雜性中層屏蔽出來。 在這一層可以對它的上層說：“你只需給我你的數(shù)據(jù)流，它的結(jié)構(gòu)可以是任意的，讓我來 負(fù)責(zé)這些數(shù)據(jù)的發(fā)送準(zhǔn)備。 ” 本層的兩個協(xié)議： 傳輸控制協(xié)議（tcp） 用戶數(shù)據(jù)報協(xié)議（udp） 、傳輸控制協(xié)議 傳輸控制協(xié)議（transmission control protocol，tcp）是一種面向連接的、可靠的、基 于字節(jié)流的運輸層通信協(xié)議，通常由 ietf 的 rfc 793 說明。在簡化的計算機(jī)網(wǎng)絡(luò) osi 模 型中，

17、它完成運輸層所指定的功能。 在因特網(wǎng)協(xié)議族中，tcp 層是位于 ip 層之上，應(yīng)用層之下的中間層。不同主機(jī)的應(yīng)用 層之間經(jīng)常需要可靠的、像管道一樣的連接，但是 ip 層不提供這樣的流機(jī)制，而是提供不 可靠的包交換。 應(yīng)用層向 tcp 層發(fā)送用于網(wǎng)間傳輸?shù)摹⒂?8 位字節(jié)表示的數(shù)據(jù)流，然后 tcp 把數(shù)據(jù) 流分割成適當(dāng)長度的報文段（通常受該計算機(jī)連接的網(wǎng)絡(luò)的數(shù)據(jù)鏈路層的最大傳送單元 (mtu)的限制） 。之后 tcp 把結(jié)果包傳給 ip 層，由它來通過網(wǎng)絡(luò)將包傳送給接收端實體的 tcp 層。tcp 為了保證不發(fā)生丟包，就給每個字節(jié)一個序號，同時序號也保證了傳送到接 收端實體的包的按序接收。然后接

18、收端實體對已成功收到的字節(jié)發(fā)回一個相應(yīng)的確認(rèn)(ack)； 如果發(fā)送端實體在合理的往返時延(rtt)內(nèi)未收到確認(rèn)，那么對應(yīng)的數(shù)據(jù)（假設(shè)丟失了） 將會被重傳。tcp 用一個校驗和函數(shù)來檢驗數(shù)據(jù)是否有錯誤；在發(fā)送和接收時都要計算校 驗和。 tcp 連接包括三個狀態(tài)：連接建立、數(shù)據(jù)傳送和連接終止。tcp 用三路握手過程建 立一個連接，用四路握手過程建立來拆除一個連接。在連接建立過程中，很多參數(shù)要被初 始化，例如序號被初始化以保證按序傳輸和連接的強(qiáng)壯性。 tcp 并不是對所有的應(yīng)用都適合，一些新的帶有一些內(nèi)在的脆弱性的運輸層協(xié)議也被 設(shè)計出來。比如，實時應(yīng)用并不需要甚至無法忍受 tcp 的可靠傳輸機(jī)制。

19、在這種類型的應(yīng) 用中，通常允許一些丟包、出錯或擁塞，而不是去校正它們。例如通常不使用 tcp 的應(yīng)用 有：實時流多媒體（如因特網(wǎng)廣播） 、實時多媒體播放器和游戲、ip 電話（voip）等等。 任何不是很需要可靠性或者是想將功能減到最少的應(yīng)用可以避免使用 tcp。在很多情況下， 當(dāng)只需要多路復(fù)用應(yīng)用服務(wù)時，用戶數(shù)據(jù)報協(xié)議（udp）可以代替 tcp 為應(yīng)用提供服務(wù)。 、用戶數(shù)據(jù)報協(xié)議 用戶數(shù)據(jù)報協(xié)議 (user datagram protoco, udp)是一個簡單的面向數(shù)據(jù)報的傳輸層 (transport layer)協(xié)議，ietf rfc 768 是 udp 的正式規(guī)范。 在 t

20、cp/ip 模型中，udp 為網(wǎng)絡(luò)層(network layer)以下和應(yīng)用層(application layer)以上提 供了一個簡單的接口。udp 只提供數(shù)據(jù)的不可靠交付，它一旦把應(yīng)用程序發(fā)給網(wǎng)絡(luò)層的數(shù) 據(jù)發(fā)送出去，就不保留數(shù)據(jù)備份（所以 udp 有時候也被認(rèn)為是不可靠的數(shù)據(jù)報協(xié)議） 。 udp 在 ip 數(shù)據(jù)報的頭部僅僅加入了復(fù)用和數(shù)據(jù)校驗（字段） 。 udp 首部字段由 4 個部分組成，其中兩個是可選的。各 16-bit 的源端口和目的端口用 來標(biāo)記發(fā)送和接受的應(yīng)用進(jìn)程。因為 udp 不需要應(yīng)答，所以源端口是可選的，如果源端口 不用，那么置為零。在目的端口后面是長度固定的以字節(jié)為單位的

21、長度域，用來指定 udp 數(shù)據(jù)報包括數(shù)據(jù)部分的長度,長度最小值為 8 (octets)。首部剩下地 16-bit 是用來對首部和數(shù) 據(jù)部分一起做校驗和的，這部分是可選的，但在實際應(yīng)用中一般都使用這一功能。 由于缺乏可靠性，udp 應(yīng)用一般必須允許一定量的丟包、出錯和復(fù)制。有些應(yīng)用，比 如 tftp，如果需要則必須在應(yīng)用層增加根本的可靠機(jī)制。但是絕大多數(shù) udp 應(yīng)用都不需 要可靠機(jī)制，甚至可能因為引入可靠機(jī)制而降低性能。流媒體 streaming media、實時多媒 體游戲和 voice over ip (voip)就是典型的 udp 應(yīng)用。如果某個應(yīng)用需要很高的可靠性，那 么可以用傳輸控制

22、協(xié)議 transmission control protocol 來代替 udp。 由于缺乏擁塞避免和控制機(jī)制，需要基于網(wǎng)絡(luò)的機(jī)制來減小因失控和高速 udp 流量負(fù) 荷而導(dǎo)致的擁塞崩潰效應(yīng)。換句話說，因為 udp 發(fā)送者不能夠檢測擁塞，所以像使用包隊 列和丟棄技術(shù)的路由器這樣的網(wǎng)絡(luò)基本設(shè)備往往就成為降低 udp 過大通信量的有效工具。 數(shù)據(jù)報擁塞控制協(xié)議 datagram congestion control protocol (dccp)設(shè)計成通過在諸如流媒體 類型的高速率 udp 流中增加主機(jī)擁塞控制來減小這個潛在的問題。 1.1.3、因特網(wǎng)層協(xié)議 在 dod 的模型中，設(shè)置因特網(wǎng)層有兩個

23、主要的理由：路由及為上層提供一個簡單的網(wǎng) 絡(luò)接口。 沒有任何一個其他的高層或低層協(xié)議會涉及到任何有關(guān)路由的功能，這個復(fù)雜和重要 的任務(wù)是完全屬于因特網(wǎng)層。 因特網(wǎng)層協(xié)議： 1 因特網(wǎng)協(xié)議（ip） 2 因特網(wǎng)控制報文協(xié)議（icmp） 3 地址解析協(xié)議（arp） 4 逆向地址解析協(xié)議（rarp） 、因特網(wǎng)協(xié)議（ip） 因特網(wǎng)協(xié)議其實質(zhì)就是因特網(wǎng)層。其他的協(xié)議僅僅是建在離其基礎(chǔ)上用于支持 ip 協(xié)議 的。 ip 是從主機(jī)到主機(jī)層處接受數(shù)據(jù)段的，在需要時再將他們組合成數(shù)據(jù)報（數(shù)據(jù)包） ， 然后接收方的 ip 再重新組合數(shù)據(jù)報為數(shù)據(jù)段。每個數(shù)據(jù)報都被指定了發(fā)送者和接收者的 ip 地址。每個

24、接收了數(shù)據(jù)報的路由器都是基于數(shù)據(jù)包的目的 ip 地址來決定路由的。 構(gòu)成 ip 報頭的字段如下： 1 版本 4 2 報頭長度（hlen） 4 3 ip 優(yōu)先位或 tos 8 4 總長度 16 5 標(biāo)識 16 6 標(biāo)志 3 7 分段偏移 13 8 ttl(存活期) 8 9 協(xié)議 8 10 報頭和效驗和 16 11 源 ip 地址 32 12 ip 選項 0 或 32 13 數(shù)據(jù) 可變 注：后面的數(shù)字表示長度 在 ip 報頭的協(xié)議字段中可能發(fā)現(xiàn)的協(xié)議 協(xié)議 協(xié)議號 icmp 1 igrp 9 eigrsp 88 ospf 89 ipv6 41 gre 47 ipx in ip 111 layer-

25、2 tunnel(l2tp) 115 、因特網(wǎng)控制報文協(xié)議 因特網(wǎng)控制報文協(xié)議（icmp）工作在網(wǎng)絡(luò)層，它被 ip 用于提供許多不同的服務(wù)。 icmp 是一個管理性協(xié)議，并且也是一個 ip 信息服務(wù)的提供者。他的信息是被作為 ip 數(shù)據(jù) 報來傳送的。 下面是與 icmp 相關(guān)的一些常見的事件和信息： 1 目的不可達(dá) 如果路由器不能再向前發(fā)送某個 ip 數(shù)據(jù)報，這是路由器會使用 icmp 來傳送一個信息返回給發(fā)送端，來通告這一情況。 2 緩沖區(qū)滿 如果路由器用于接收輸入數(shù)據(jù)的內(nèi)存緩沖區(qū)已經(jīng)滿了，他將會使用 icmp 向外發(fā)送這個信息直道擁塞解除。 3 跳 每個 ip 數(shù)據(jù)報都被分配

26、了一個所允許經(jīng)過路由器個數(shù)的數(shù)值，被稱為跳 （hop） 。 4 ping ping（即數(shù)據(jù)包的因特網(wǎng)探測）使用 icmp 回應(yīng)信息在互聯(lián)網(wǎng)絡(luò)上檢查計算 機(jī)間物理連接的連通性。 5 traceroute traceroute 是通過使用 icmp 的超時機(jī)制，來發(fā)現(xiàn)一個數(shù)據(jù)報在穿越互 聯(lián)網(wǎng)絡(luò)時它所經(jīng)歷的路徑。 、地址解析協(xié)議（arp） 地址解析協(xié)議（arp）可以由已知主機(jī)的 ip 地址，在網(wǎng)絡(luò)上查找到他的硬件地址。 、逆向地址解析協(xié)議（rarp） 當(dāng)一臺誤判計算機(jī)被用做 ip 主機(jī)時，它沒有辦法在其初始化時了解自己的 ip 地址。 但是他可以知道自己的 mac 地址。

27、逆向地址解析協(xié)議（rarp）可以通過發(fā)送一個包含有 無盤主機(jī) mac 地址的數(shù)據(jù)包，來詢問與此 mac 地址相對應(yīng)的 ip 地址。 1.2路由與路由與交換技術(shù)交換技術(shù) 1.2.1 什么是路由 路由是把信息從源穿過網(wǎng)絡(luò)傳遞到目的的行為，在路上，至少遇到一個中間節(jié)點。路 由通常與橋接來對比，在粗心的人看來，它們似乎完成的是同樣的事。它們的主要區(qū)別在 于橋接發(fā)生在osi參考協(xié)議的第二層（鏈接層） ，而路由發(fā)生在第三層（網(wǎng)絡(luò)層） 。這一區(qū) 別使二者在傳遞信息的過程中使用不同的信息，從而以不同的方式來完成其任務(wù)。 路由的話題早已在計算機(jī)界出現(xiàn)，但直到八十年代中期才獲得商業(yè)成功，這一時間延 遲的主要原因是

28、七十年代的網(wǎng)絡(luò)很簡單，后來大型的網(wǎng)絡(luò)才較為普遍。 1.2.2 什么是交換 1993 年，局域網(wǎng)交換設(shè)備出現(xiàn)，1994 年，國內(nèi)掀起了交換網(wǎng)絡(luò)技術(shù)的熱潮。其實，交 換技術(shù)是一個具有簡化、低價、高性能和高端口密集特點的交換產(chǎn)品，體現(xiàn)了橋接技術(shù)的 復(fù)雜交換技術(shù)在 osi 參考模型的第二層操作。與橋接器一樣，交換機(jī)按每一個包中的 mac 地址相對簡單地決策信息轉(zhuǎn)發(fā)。而這種轉(zhuǎn)發(fā)決策一般不考慮包中隱藏的更深的其他信 息。與橋接器不同的是交換機(jī)轉(zhuǎn)發(fā)延遲很小，操作接近單個局域網(wǎng)性能，遠(yuǎn)遠(yuǎn)超過了普通 橋接互聯(lián)網(wǎng)絡(luò)之間的轉(zhuǎn)發(fā)性能。 交換技術(shù)允許共享型和專用型的局域網(wǎng)段進(jìn)行帶寬調(diào)整，以減輕局域網(wǎng)之間信息流通 出現(xiàn)的

29、瓶頸問題。現(xiàn)在已有以太網(wǎng)、快速以太網(wǎng)、fddi 和 atm 技術(shù)的交換產(chǎn)品。類似傳 統(tǒng)的橋接器，交換機(jī)提供了許多網(wǎng)絡(luò)互聯(lián)功能。交換機(jī)能經(jīng)濟(jì)地將網(wǎng)絡(luò)分成小的沖突網(wǎng)域， 為每個工作站提供更高的帶寬。協(xié)議的透明性使得交換機(jī)在軟件配置簡單的情況下直接安 裝在多協(xié)議網(wǎng)絡(luò)中；交換機(jī)使用現(xiàn)有的電纜、中繼器、集線器和工作站的網(wǎng)卡，不必作高 層的硬件升級；交換機(jī)對工作站是透明的，這樣管理開銷低廉，簡化了網(wǎng)絡(luò)節(jié)點的增加、 移動和網(wǎng)絡(luò)變化的操作。 利用專門設(shè)計的集成電路可使交換機(jī)以線路速率在所有的端口并行轉(zhuǎn)發(fā)信息，提供了 比傳統(tǒng)橋接器高得多的操作性能。如理論上單個以太網(wǎng)端口對含有 64 個八進(jìn)制數(shù)的數(shù)據(jù)包， 可提供

30、 14880bps 的傳輸速率。這意味著一臺具有 12 個端口、支持 6 道并行數(shù)據(jù)流的“線路 速率”以太網(wǎng)交換器必須提供 89280bps 的總體吞吐率（6 道信息流14880bps道信息流） 。 專用集成電路技術(shù)使得交換器在更多端口的情況下以上述性能運行，其端口造價低于傳統(tǒng) 型橋接器。 1.2.3 局域網(wǎng)交換機(jī)的種類和選擇 局域網(wǎng)交換機(jī)根據(jù)使用的網(wǎng)絡(luò)技術(shù)可以分為： 以大網(wǎng)交換機(jī)；令牌環(huán)交換機(jī)； fddi 交換機(jī)；atm 交換機(jī)； 快速以太網(wǎng)交換機(jī)等。 如果按交換機(jī)應(yīng)用領(lǐng)域來劃分，可分為： 臺式交換機(jī)；工作組交換機(jī)； 主干交換機(jī)；企業(yè)交換機(jī)； 分段交換機(jī)；端口交換機(jī)； 網(wǎng)絡(luò)交換機(jī)等。 局域網(wǎng)

31、交換機(jī)是組成網(wǎng)絡(luò)系統(tǒng)的核心設(shè)備。對用戶而言，局域網(wǎng)交換機(jī)最主要的指標(biāo) 是端口的配置、數(shù)據(jù)交換能力、包交換速度等因素。因此，在選擇交換機(jī)時要注意以下事 項： （1）交換端口的數(shù)量； （2）交換端口的類型； （3）系統(tǒng)的擴(kuò)充能力； （4）主干線連接手段； （5）交換機(jī)總交換能力； （6）是否需要路由選擇能力； （7）是否需要熱切換能力； （8）是否需要容錯能力； （9）能否與現(xiàn)有設(shè)備兼容，順利銜接；（10）網(wǎng)絡(luò)管理能力。 1.31.3 vlanvlan 虛擬局域網(wǎng)虛擬局域網(wǎng) 1.3.1 vlan 簡介 vlan（虛擬局域網(wǎng)）是對連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng) 絡(luò)用戶的物理位置

32、限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個 vlan 可以在一個交換機(jī)或者跨 交換機(jī)實現(xiàn)。vlan 可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用 程序和協(xié)議來進(jìn)行分組?；诮粨Q機(jī)的虛擬局域網(wǎng)能夠為局域網(wǎng)解決沖突域、廣播域、帶 寬問題。 傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中，所有的用戶在同一個廣播域中，會引 起網(wǎng)絡(luò)性能的下降，浪費可貴的帶寬；而且對廣播風(fēng)暴的控制和網(wǎng)絡(luò)安全只能在第三層的 路由器上實現(xiàn)。 vlan 相當(dāng)于 osi 參考模型的第二層的廣播域，能夠?qū)V播風(fēng)暴控制在一個 vlan 內(nèi)部， 劃分 vlan 后，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的

33、性 能得到顯著的提高。不同的 vlan 之間的數(shù)據(jù)傳輸是通過第三層（網(wǎng)絡(luò)層）的路由來實現(xiàn)的， 因此使用 vlan 技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備可搭建安全可靠的網(wǎng)絡(luò)。網(wǎng)絡(luò)管 理員通過控制交換機(jī)的每一個端口來控制網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)資源的訪問，同時 vlan 和第三層 第四層的交換結(jié)合使用能夠為網(wǎng)絡(luò)提供較好的安全措施。 隨著 vlan 技術(shù)的日益完善， vlan 技術(shù)越來越多的應(yīng)用在交換以太網(wǎng)中，成為網(wǎng)絡(luò)靈活分段和提高網(wǎng)絡(luò)安全的方法。 1.3.2 vlan 的優(yōu)點 vlan 的優(yōu)點主要體現(xiàn)在以下 3 個方面： 1、控制廣播風(fēng)暴 網(wǎng)絡(luò)管理必須解決因大量廣播信息帶來帶寬消耗的問題。vlan 作為一

34、種網(wǎng)絡(luò)分段技術(shù)， 可將廣播風(fēng)暴限制在一個 vlan 內(nèi)部，避免影響其他網(wǎng)段。與傳統(tǒng)局域網(wǎng)相比，vlan 能夠 更加有效地利用帶寬。在 vlan 中，網(wǎng)絡(luò)被邏輯地分割成廣播域，由 vlan 成員所發(fā)送的信 息幀或數(shù)據(jù)包僅在 vlan 內(nèi)的成員之間傳送，而不是向網(wǎng)上的所有工作站發(fā)送。這樣可減少 主干網(wǎng)的流量，提高網(wǎng)絡(luò)速度。 2、增強(qiáng)網(wǎng)絡(luò)的安全性 共享式 lan 上的廣播必然會產(chǎn)生安全性問題，因為網(wǎng)絡(luò)上的所有用戶都能監(jiān)測到流經(jīng) 的業(yè)務(wù)，用戶只要插入任一活動端口就可訪問網(wǎng)段上的廣播包。采用 vlan 提供的安全機(jī)制， 可以限制特定用戶的訪問，控制廣播組的大小和位置，甚至鎖定網(wǎng)絡(luò)成員的 mac 地址，這

35、 樣，就限制了未經(jīng)安全許可的用戶和網(wǎng)絡(luò)成員對網(wǎng)絡(luò)的使用。 3、增強(qiáng)網(wǎng)絡(luò)管理 采用 vlan 技術(shù)，使用 vlan 管理程序可對整個網(wǎng)絡(luò)進(jìn)行集中管理，能夠更容易地實現(xiàn) 網(wǎng)絡(luò)的管理性。用戶可以根據(jù)業(yè)務(wù)需要快速組建和調(diào)整 vlan。當(dāng)鏈路擁擠時，利用管理程 序能夠重新分配業(yè)務(wù)。管理程序還能夠提供有關(guān)工作組的業(yè)務(wù)量、廣播行為以及統(tǒng)計特性 等的詳盡報告。對于網(wǎng)絡(luò)管理員來說，所有這些網(wǎng)絡(luò)配置和管理工作都是透明的。vlan 變 動時，用戶無需了解網(wǎng)絡(luò)的接線情況和協(xié)議是如何重新設(shè)置的。 vlan 還能減少因網(wǎng)絡(luò)成員變化所帶來的開銷。在添加、刪除和移動網(wǎng)絡(luò)成員時，不用 重新布線，也不用直接對成員進(jìn)行配置。若采用

36、傳統(tǒng)局域網(wǎng)技術(shù)，那么當(dāng)網(wǎng)絡(luò)達(dá)到一定規(guī) 模時，此類開銷往往會成為管理員的沉重負(fù)擔(dān)。 1.3.3 vtp：思科 vlan 中繼協(xié)議（vtp：cisco vlan trunking protocol） vlan 中繼協(xié)議（vtp）是思科第 2 層信息傳送協(xié)議，主要控制網(wǎng)絡(luò)范圍內(nèi) vlans 的添 加、刪除和重命名。vtp 減少了交換網(wǎng)絡(luò)中的管理事務(wù)。當(dāng)用戶要為 vtp 服務(wù)器配置新 vlan 時，可以通過域內(nèi)所有交換機(jī)分配 vlan，這樣可以避免到處配置相同的 vlan。vtp 是思科私有協(xié)議，它支持大多數(shù)的 cisco catalyst 系列產(chǎn)品。 通過 vtp，其域內(nèi)的所有交換機(jī)都清楚所有的 v

37、lans 情況，但當(dāng) vtp 可以建立多余 流量時情況例外。這時，所有未知的單播（unicasts）和廣播在整個 vlan 內(nèi)進(jìn)行擴(kuò)散， 使得網(wǎng)絡(luò)中的所有交換機(jī)接收到所有廣播，即使 vlan 中沒有連接用戶，情況也不例外。 而 vtp pruning 技術(shù)正可以消除該多余流量。 缺省方式下，所有 cisco catalyst 交換機(jī)都被配置為 vtp 服務(wù)器。這種情形適用于 vlan 信息量小且易存儲于任意交換機(jī)（nvram）上的小型網(wǎng)絡(luò)。對于大型網(wǎng)絡(luò)，由于每臺 交換機(jī)都會進(jìn)行 nvram 存儲操作，但該操作對于某些點是多余的，所以在這些點必須設(shè)置 一個“判決呼叫”（judgment call

38、）。基于此，網(wǎng)絡(luò)管理員所使用的 vtp 服務(wù)器應(yīng)該采 用配置較好的交換機(jī)，其它交換機(jī)則作為客戶機(jī)使用。此外需要有某些 vtp 服務(wù)器能提供 網(wǎng)絡(luò)所需的一定量的冗余。 1.41.4 natnat 地址轉(zhuǎn)換技術(shù)地址轉(zhuǎn)換技術(shù) 1.4.1 nat 原理簡介 nat 英文全稱是“network address translation”，中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”， 它是一個 ietf(internet engineering task force, internet 工程任務(wù)組)標(biāo)準(zhǔn)，允許一 個整體機(jī)構(gòu)以一個公用 ip（internet protocol）地址出現(xiàn)在 internet 上。顧名思義，它

39、是一種把內(nèi)部私有網(wǎng)絡(luò)地址（ip 地址）翻譯成合法網(wǎng)絡(luò) ip 地址的技術(shù)。 簡單地說，nat 就是在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，而當(dāng)內(nèi)部節(jié)點要與外部網(wǎng)絡(luò)進(jìn) 行通訊時，就在網(wǎng)關(guān)（可以理解為出口，打個比方就像院子的門一樣）處，將 內(nèi)部地址替 換成公用地址，從而在外部公網(wǎng)（internet）上正常使用，nat 可以使多臺計算機(jī)共享 internet 連接，這一功能很好地解決了公共 ip 地址緊缺的問題。通過這種方法，您可以 只申請一個合法 ip 地址，就把整個局域網(wǎng)中的計算機(jī)接入 internet 中。這時，nat 屏蔽 了內(nèi)部網(wǎng)絡(luò)，所有 內(nèi)部網(wǎng)計算機(jī)對于公共網(wǎng)絡(luò)來說是不可見的，而內(nèi)部網(wǎng)計算機(jī)用戶通

40、常 不會意識到 nat 的存在。如圖 2 所示。這里提到的內(nèi)部地址，是指在內(nèi)部網(wǎng)絡(luò)中分配給節(jié) 點 的私有 ip 地址，這個地址只能在內(nèi)部網(wǎng)絡(luò)中使用，不能被路由（一種網(wǎng)絡(luò)技術(shù)，可以 實現(xiàn)不同路徑轉(zhuǎn)發(fā)）。雖然內(nèi)部地址可以隨機(jī)挑選，但是通常使用的是下面的 地址： 55，55， 55。nat 將這些無法在互聯(lián)網(wǎng)上使用的保留 ip 地址翻譯成可 以在互聯(lián)網(wǎng)上使用的合法 ip 地址。而全 局地址，是指合法的 ip 地址，它是由 nic（網(wǎng)絡(luò) 信息中心）或者 isp(網(wǎng)絡(luò)服務(wù)提

41、供商)分配的地址，對外代表一個或多個內(nèi)部局部地址， 是全球統(tǒng)一的可尋 址的地址。 nat 功能通常被集成到路由器、防火墻、isdn 路由器或者單獨的 nat 設(shè)備中。比如 cisco 路由器中已經(jīng)加入這一功能，網(wǎng)絡(luò)管理員只需在路由器的 ios 中設(shè) 置 nat 功能，就 可以實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的屏蔽。再比如防火墻將 web server 的內(nèi)部地址 映射為 外部地址 1，外部訪問 1 地址實際上就是訪問訪問 。另外資金有限的小型企業(yè)來說，現(xiàn)在通過軟件也可以實現(xiàn)這一功能。 windows 98 se、windo

42、ws 2000 都包含了這一功能。 1.4.2 nat 技術(shù)類型 nat 有三種類型：靜態(tài) nat(static nat)、動態(tài)地址 nat(pooled nat)、網(wǎng)絡(luò)地址端口 轉(zhuǎn)換 napt（portlevel nat）。 1.靜態(tài) nat 轉(zhuǎn)換 靜態(tài) nat 設(shè)置起來最為簡單和最容易實現(xiàn)的一種，內(nèi)部網(wǎng)絡(luò)中的每個主機(jī)都被永久映 射成外部網(wǎng)絡(luò)中的某個合法的地址。而動態(tài)地址 nat 則是在外部網(wǎng)絡(luò)中定 義了一系列的合 法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。napt 則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一 個 ip 地址的不同端口上。根據(jù)不同的需要，三種 nat 方案各有利弊。 2.動態(tài) nat

43、轉(zhuǎn)換 動態(tài)地址 nat 只是轉(zhuǎn)換 ip 地址，它為每一個內(nèi)部的 ip 地址分配一個臨時的外部 ip 地 址，主要應(yīng)用于撥號，對于頻繁的遠(yuǎn)程聯(lián)接也可以采用動態(tài) nat。當(dāng)遠(yuǎn)程用戶聯(lián)接上之后， 動態(tài)地址 nat 就會分配給他一個 ip 地址，用戶斷開時，這個 ip 地址就會被釋放而留待以 后使用。 3.nat 過載技術(shù) 網(wǎng)絡(luò)地址端口轉(zhuǎn)換 napt（network address port translation）是人們比較熟悉的一 種轉(zhuǎn)換方式。napt 普遍應(yīng)用于接入設(shè)備中，它可以將中小型的網(wǎng)絡(luò)隱藏在一個合法的 ip 地址后面。napt 與動態(tài)地址 nat 不同，它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個

44、單獨的 ip 地址上，同時在該地址上加上一個由 nat 設(shè)備選定的 tcp 端口號。 在 internet 中使用 napt 時，所有不同的信息流看起來好像來源于同一個 ip 地址。這 個優(yōu)點在小型辦公室內(nèi)非常實用，通過從 isp 處申請的一個 ip 地址，將多個連接通 過 napt 接入 internet。實際上，許多 soho 遠(yuǎn)程訪問設(shè)備支持基于 ppp 的動態(tài) ip 地址。這樣， isp 甚至不需要支持 napt，就可以做到多個內(nèi)部 ip 地址共用一個外部 ip 地址上 internet，雖然這樣會導(dǎo)致信道的一定擁塞，但考慮到節(jié)省的 isp 上網(wǎng)費用和易管理的特 點，用 napt 還是

45、很值得的。 1.51.5 訪問控制列表訪問控制列表 aclacl（accessaccess controlcontrol listlist，acl)acl) 1.5.1 概述 訪問控制列表（access control list，acl) 是路由器接口的指令列表，用來控制端 口進(jìn)出的數(shù)據(jù)包。acl 適用于所有的被路由協(xié)議，如 ip、ipx、appletalk 等。 acl 的定義也是基于每一種協(xié)議的。如果路由器接口配置成為支持三種協(xié)議 （ip、appletalk 以及 ipx）的情況，那么，用戶必須定義三種 acl 來分別控制這三種協(xié)議 的數(shù)據(jù)包。 1.5.2 acl 的作用 acl 可以限制

46、網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如，acl 可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù) 包的優(yōu)先級。 acl 提供對通信流量的控制手段。例如，acl 可以限定或簡化路由更新信息的長度，從 而限制通過路由器某一網(wǎng)段的通信流量。 acl 是提供網(wǎng)絡(luò)安全訪問的基本手段。如圖 1 所示，acl 允許主機(jī) a 訪問人力資源網(wǎng)絡(luò)， 而拒絕主機(jī) b 訪問。 acl 可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，用戶可以允 許 e-mail 通信流量被路由，拒絕所有的 telnet 通信流量。 2.2.項目分析項目分析 2.12.1 案例概況案例概況 某公司擁有一棟三層辦公樓。公司部門分為銷售部，財務(wù)部和倉儲部

47、三個部門。且每個 部門下分三個管理層。公司人事組織結(jié)構(gòu)圖如下： 該公司對網(wǎng)絡(luò)的要求是每個部門的部級對處級（處級對組）的電腦有完全的訪問權(quán)，并 且每個部門的上級對其他兩個部門的下級部門的電腦有訪問權(quán)。三個部門同等級間的訪問 權(quán)限要求從上至下是：財務(wù)銷售倉儲。 辦公樓內(nèi)的辦公室及各辦公室內(nèi)的電腦數(shù)量分配如下表： 公司向 isp 申請了一個公網(wǎng)地址3 以訪問國際互連網(wǎng)，這條線路是 公司唯一通向外網(wǎng)線路。并且為了管理方便，公司內(nèi)網(wǎng)只使用 /24 這一個網(wǎng)段。 總經(jīng)理辦公室 2 臺 pc 銷售部辦公室 5 臺 pc 財務(wù)部辦公室 3 臺 pc 倉儲部辦公室

48、4 臺 pc 會議室 預(yù)留 4 個網(wǎng)絡(luò)接口 銷售處辦公室 20 臺 pc 財務(wù)處辦公室 7 臺 pc 倉儲處辦公室 10 臺 pc 財務(wù)組辦公室 10 臺 pc 銷售組辦公室 47 臺 pc 倉儲組辦公室 16 臺 pc 樓內(nèi)弱電設(shè)備管理間 2.22.2 案例技術(shù)要求案例技術(shù)要求 1.這個項目由于涉及到部門劃分所以必須要用到 vlan。 2.內(nèi)網(wǎng)只使用一個網(wǎng)段于是必須使用 vlsm 可變長子網(wǎng)掩碼。 3.而且部門間有上下級造成訪問權(quán)限的需要，于是訪問控制列表必不不可少。 4.為了節(jié)省成本公司最好只使用一臺路由器，這將要使用到單臂路由技術(shù)。 5.公司只有一個公網(wǎng)地址，但是卻有 124 臺電腦需要

49、上網(wǎng)。于是必須使用 nat 過載。 2.32.3 案例深入分析案例深入分析 2.3.1 拓?fù)浣Y(jié)構(gòu)分析 初步設(shè)計邏輯拓?fù)鋱D如下： 如上圖所示，由一臺路由負(fù)責(zé)這棟樓對外網(wǎng)的通信，同時要擔(dān)負(fù)這棟樓內(nèi)的各個部門 的 vlan 之間的通信。路由器用的是 cisco 2620 選了兩個串口和一個快速以太網(wǎng)口。主交 換機(jī)連接到主分別連接到各層樓的交換機(jī)和主路由，是內(nèi)部網(wǎng)絡(luò)的主通道。網(wǎng)內(nèi)的交換機(jī) 全部選用 cisco catalyst 2950 交換機(jī)。 2.3.2 vlan 劃分原則 根據(jù)案例概況里面描述的情況，按 vlan 訪問權(quán)限劃分等級如下表： 辦公室vlan 號 訪問優(yōu)先級（數(shù)字越小等級 越高） 總

50、經(jīng)理辦公室 21 財務(wù)部辦公室 32 銷售部辦公室 43 倉儲部辦公室 54 財務(wù)處辦公室 65 銷售處辦公室 76 倉儲處辦公室 87 財務(wù)組辦公室 98 銷售組辦公室 109 倉儲組辦公室 1110 會議室 111 由于會議室是預(yù)留網(wǎng)絡(luò)接口以備會議時需要使用互聯(lián)網(wǎng)而單獨劃分 vlan，在 cisco vlan 協(xié)議中 vlan 1 是保留 vlan 用于管理的，所以將會議室的插口劃分到 vlan 1 當(dāng)中， 但是出于安全考慮，在配置訪問控制列表時會禁止 vlan 1 訪問內(nèi)部網(wǎng)絡(luò)中的任何其他辦公 室的主機(jī)。 2.3.3 其他網(wǎng)絡(luò)技術(shù)的使用 napt 將被配置在主路由上負(fù)責(zé)公司的 inter

51、net 上網(wǎng)服務(wù)，acl 訪問控制列表和 vlan 劃分負(fù)責(zé)樓內(nèi)網(wǎng)絡(luò)的安全控制。 2.42.4 網(wǎng)絡(luò)布線工程網(wǎng)絡(luò)布線工程 布線工程這方面仔細(xì)的來說就可以單寫一篇論文。所以我只粗略的描述一下這個項目的 布線方式。 1設(shè)備間子系統(tǒng) 設(shè)備間子系統(tǒng)設(shè)在辦公樓的一層，方便 internet 專線由地下接入辦公樓。主路由、主 交換和一層的管理間子系統(tǒng)的堆疊交換機(jī)組都放在一樓的弱電設(shè)備管理間。 2.管理間子系統(tǒng)與工作區(qū)子系統(tǒng) 為了節(jié)省成本只在每層樓安放一個 2950 交換機(jī)作為水平子系統(tǒng)與垂直子系統(tǒng)的連接點。 因為每個辦公室都是一個獨立的 vlan，所以每個辦公室都安裝一個兩口的 rj-45 墻座插口 分別

52、對應(yīng) 2950 交換機(jī)上的兩個端口。然后再在每個辦公室內(nèi)放置一個相應(yīng)接口的 d-link 交換機(jī)作為接入層設(shè)備。 3.布線標(biāo)準(zhǔn) 所有的線纜都采用超五類非屏蔽雙絞線。施工標(biāo)準(zhǔn)參考中華人民共和國信息產(chǎn)業(yè)部發(fā)布的 建筑與建筑群綜合布線工程系統(tǒng)設(shè)計規(guī)范。 2.52.5 項目設(shè)計總結(jié)項目設(shè)計總結(jié) 2.5.1 總拓?fù)鋱D： 2.5.2 ip 地址及 vlan 劃分對照表 由于只有一個 c 類的私有地址網(wǎng)段可供使用，而且同時要劃分這么多個 vlan。所以必 須事先利用 vlsm 可變長子網(wǎng)掩碼將各個辦公室的 ip 網(wǎng)段劃分出來。另外每個 vlan 下獨 立的網(wǎng)段在配置時還需要設(shè)置一個可用的主機(jī)位為默認(rèn)網(wǎng)關(guān)，所

53、以在進(jìn)行 vlsm 計算子網(wǎng) 大小時需要在原本需要使用的 ip 地址數(shù)量上加 1。詳細(xì)劃分方案見下表： 辦公室主機(jī)（接 口）數(shù) 實際 ip 地址需求 數(shù) ip 網(wǎng)段可用主機(jī)位地址范圍 總經(jīng)理 23/29 財務(wù)部 34/29 4 銷售部 566/297 2 倉儲部 454/295 0 會議室 452/29192.

54、168.0.33 8 財務(wù)處 788/289 2 銷售處 20216/277 26 倉儲處 10114/285 8 財務(wù)組 10110/281 4 銷售組 474892/2693 54 倉儲組 161728/27192.168

55、.0.129 59 基本上理論分析的部分就這么多了。接下來進(jìn)入實際配制的環(huán)節(jié)。 3.3.網(wǎng)絡(luò)設(shè)置與調(diào)試網(wǎng)絡(luò)設(shè)置與調(diào)試 3.13.1 試驗環(huán)境說明試驗環(huán)境說明 由于沒有真實的試驗環(huán)境，所以我使用的是 boson software 公司的 boson_netsim 5.31 網(wǎng)絡(luò)試驗?zāi)M軟件。該軟件能夠十分真實的模擬運行你所設(shè)計的拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)。試 驗中所使用的拓?fù)鋱D見下圖，接口信息參見 2.5.1 總拓?fù)鋱D中的說明。圖中的 internet 路由器和 server 分別代表公司的 internet 外部網(wǎng)絡(luò)和因特網(wǎng)上的服務(wù)器 3.23.2 交換機(jī)配置部分交換機(jī)配置部分 3.

56、2.1 配置前說明 為了配置時不混淆也為了方便以后的管理，在配置時將一二三樓的 2950 交換機(jī)分別命 名為floor1floor2floor3，主交換機(jī)命名為center。 3.2.2 一樓交換機(jī)配置命令 switch switchenable switch#configure terminal switch(config)#hostname floor1 floor1(config)#enable secret rocker /設(shè)定登陸交換機(jī)密碼為 rocker floor1#vlan database /進(jìn)入 vlan 配置模式 floor1(vlan)#vlan 9 name fing

57、roup vlan 9 added: name:fingroup /財務(wù)組的 vlan9 取名 fingroup floor1(vlan)#vlan 10 name salgroup vlan 10 added: name:salgroup /銷售組的 vlan10 取名 salgroup floor1(vlan)#vlan 11 name stogroup vlan 11 added: name:stogroup /倉儲組的 vlan11 取名 stogroup floor1(config)#interface vlan 9 floor1(config-if)#ip address 192.

58、168.0.82 40 floor1(config-if)#no shutdown floor1(config-if)#interface vlan 10 floor1(config-if)#ip address 94 92 floor1(config-if)#no shutdown floor1(config-if)#interface vlan 11 floor1(config-if)#ip address 30 24 floor1(config-if)#no shut

59、down /分別配置三個 vlan 的 ip 地址 floor1(config)#interface f0/1 floor1(config-if)#switchport access vlan 9 floor1(config-if)#interface f0/2 floor1(config-if)#switchport access vlan 9 floor1(config-if)#interface f0/3 floor1(config-if)#switchport access vlan 10 floor1(config-if)#interface f0/4 floor1(config-i

60、f)#switchport access vlan 10 floor1(config-if)#interface f0/5 floor1(config-if)#switchport access vlan 11 floor1(config-if)#interface f0/6 floor1(config-if)#switchport access vlan 11 floor1(config-if)#interface f0/12 floor1(config-if)#switchport mode trunk /按事先設(shè)計好的將端口劃分到 vlan 里并將 f0/12 口配置為串口模式 floo