網(wǎng)絡(luò)工程設(shè)計(jì)報(bào)告

1、精選優(yōu)質(zhì)文檔-傾情為你奉上計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備與管理實(shí)訓(xùn)報(bào)告系部: 計(jì) 算 機(jī) 系 班級(jí): 13網(wǎng)絡(luò)技術(shù) 教師: 熊 詠 梅 姓名: 鄧 天 順 目錄引言11.1 需求1.2 定義1.3 功能41.4 特點(diǎn)22.1 總體規(guī)劃2.2 拓?fù)浣Y(jié)構(gòu)2.3 網(wǎng)絡(luò)設(shè)備2.4 劃分VLAN2.5 分配IP地址33.1 交換機(jī)配置 3.1.1 端口聚合LACP配置 3.1.2 動(dòng)態(tài)主機(jī)協(xié)議DHCP配置 3.1.3 生成樹STP配置3.2 路由器配置 3.2.1 靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換Static NAT配置 3.2.2 訪問控制列表ACL配置 3.2.3 服務(wù)端點(diǎn)對(duì)點(diǎn)協(xié)議PPPoE配置03.3 服務(wù)器配置0 3.3.1

2、電子郵件Email配置1 3.3.2 域名系統(tǒng)DNS配置2 3.3.3 超文本標(biāo)記語言HTTP配置3 3.3.4 文件傳輸FTP配置43.4 客戶端與外網(wǎng)配置5總結(jié)6隨著計(jì)算機(jī)技術(shù)的迅猛發(fā)展，特別是隨著網(wǎng)絡(luò)技術(shù)的出現(xiàn)標(biāo)志著信息時(shí)代已經(jīng)來臨。信息化浪潮、網(wǎng)絡(luò)革命不斷沖擊著社會(huì)的發(fā)展，人們逐漸意識(shí)到信息的重要作用，許多企業(yè)和個(gè)人紛紛建立了自己的網(wǎng)站。在這種背景下，傳統(tǒng)的生活和工作模式正在受到重大的挑戰(zhàn)，人們已開始利用網(wǎng)絡(luò)和計(jì)算機(jī)學(xué)習(xí)和工作。在知識(shí)經(jīng)濟(jì)時(shí)代，人的智能和知識(shí)將作為社會(huì)的主要資本不斷代替機(jī)器和廠房。這個(gè)新時(shí)代將充滿殘酷的競爭和替代，孩子們的未來將依賴于他們一生中掌握的新概念、做出新選擇、

3、不斷學(xué)習(xí)、不斷適應(yīng)的能力。建設(shè)校園網(wǎng)絡(luò)，創(chuàng)建豐富多彩的校園網(wǎng)絡(luò)文化對(duì)于轉(zhuǎn)變陳舊的教育思想和觀念，促進(jìn)教學(xué)內(nèi)容，教學(xué)方法、教學(xué)結(jié)構(gòu)和教學(xué)模式的改革加快建設(shè)教育手段和管理手段的現(xiàn)代化有決定性作用，尤其是對(duì)于深化基礎(chǔ)教育改革，提高教育質(zhì)量和效益，培養(yǎng)“面向現(xiàn)代化，面向世界、面向未來”的創(chuàng)新型人才有更具深遠(yuǎn)的意義，因?yàn)?1世紀(jì)既有來自高科技的挑戰(zhàn)，又有來自生態(tài)系統(tǒng)、道德危機(jī)、情感危機(jī)等系列全球重大問題的挑戰(zhàn)。我們通過校園網(wǎng)絡(luò)文化建設(shè)來培養(yǎng)學(xué)生具有未來社會(huì)所必需的品格、能力、思維與行為方式，不僅是改革教育模式的制高點(diǎn)，更是提高國民素質(zhì)水平的基礎(chǔ)步驟。11.1需求校園網(wǎng)建設(shè)勢在必行。信息時(shí)代的熱潮撲面而來

4、，計(jì)算機(jī)變的越來越強(qiáng)大，而應(yīng)用軟件使計(jì)算機(jī)變的越來越容易使用，它們正在迅速改變著人們的生活、學(xué)習(xí)、工作方式，人們能夠明顯感覺到這種變化，總之整個(gè)世界正進(jìn)行著一次深刻的變革。在這個(gè)變革的時(shí)代里，什么都在變，作為其它行業(yè)基礎(chǔ)的教育當(dāng)然也要變，而且應(yīng)該變的更早變的更快。在一個(gè)好的校園網(wǎng)里人們用計(jì)算機(jī)和網(wǎng)絡(luò)進(jìn)行工作、交流和學(xué)習(xí)，計(jì)算機(jī)改變了人的教學(xué)方式，同時(shí)也改變了人的學(xué)習(xí)方式。這些只有校園網(wǎng)才能辦到。社會(huì)變的很快，我們必須跟上時(shí)代的步伐，因此在經(jīng)濟(jì)條件允許的情況下，盡快盡早的建設(shè)校園網(wǎng)好處將是顯著的和長遠(yuǎn)的。它們正在迅速改變著人們的生活、學(xué)習(xí)、工作方式，人們能夠明顯感覺到這種變化，總之整個(gè)世界正進(jìn)行

5、著一次深刻的變革。在這個(gè)變革的時(shí)代里，什么都在變，作為其它行業(yè)基礎(chǔ)的教育當(dāng)然也要變，而且應(yīng)該變的更早變的更快。在一個(gè)好的校園網(wǎng)里人們用計(jì)算機(jī)和網(wǎng)絡(luò)進(jìn)行工作、交流和學(xué)習(xí)，計(jì)算機(jī)改變了人的教學(xué)方式，同時(shí)也改變了人的學(xué)習(xí)方式。這些只有校園網(wǎng)才能辦到。社會(huì)變的很快，我們必須跟上時(shí)代的步伐，因此在經(jīng)濟(jì)條件允許的情況下，盡快盡早的建設(shè)校園網(wǎng)好處將是顯著的和長遠(yuǎn)的。園網(wǎng)里人們用計(jì)算機(jī)和網(wǎng)絡(luò)進(jìn)行工作、交流和學(xué)習(xí)，計(jì)算機(jī)改變了人的教學(xué)方式，同時(shí)也改變了人的學(xué)習(xí)方式。1.2定義校園網(wǎng)的定義：校園網(wǎng)是一種為學(xué)校學(xué)習(xí)活動(dòng)、教學(xué)活動(dòng)、科研活動(dòng)和管理活動(dòng)服務(wù)的校園內(nèi)部局域網(wǎng)絡(luò)環(huán)境，而且它是建構(gòu)在多媒體技術(shù)和現(xiàn)代網(wǎng)絡(luò)技術(shù)之

6、上并與因特網(wǎng)連接的。校園網(wǎng)必須具備教學(xué)、管理和通訊三大功能。教師可以方面地瀏覽和查詢網(wǎng)上資源，進(jìn)行教學(xué)和科研工作；學(xué)生可以方便地瀏覽和查詢網(wǎng)上資源實(shí)現(xiàn)遠(yuǎn)程學(xué)習(xí)；學(xué)校的管理人員可方便地對(duì)教務(wù)、行政事務(wù)、學(xué)生信息、財(cái)務(wù)等進(jìn)行綜合的管理，同時(shí)可以實(shí)現(xiàn)各管理層之間的信息數(shù)據(jù)交換，實(shí)現(xiàn)網(wǎng)上信息采集和處理的自動(dòng)化，實(shí)現(xiàn)信息和設(shè)備的資源共享。因此，校園網(wǎng)的建設(shè)必須有明確的建設(shè)目標(biāo)。 1.3功能1) 連接校內(nèi)所有教學(xué)樓、實(shí)驗(yàn)樓、行政樓、圖書館和學(xué)生宿舍的信息點(diǎn)。 2) 提供豐富的網(wǎng)絡(luò)服務(wù)，實(shí)現(xiàn)廣泛的軟件、硬件資源共享，包括：3) 提供基本的Internet網(wǎng)絡(luò)服務(wù)功能；如電子郵件、文件傳輸

7、、遠(yuǎn)程登錄、新聞組討論、電子公告牌、域名服務(wù)等。 4) 提供校內(nèi)各個(gè)管理機(jī)構(gòu)的辦公自動(dòng)化：提供財(cái)務(wù)查詢，報(bào)賬服務(wù)；提供受存取權(quán)控制的文件、檔案查詢服務(wù)；提供貴重設(shè)備儀器及其他設(shè)備信息的管理服務(wù)；5) 提供各學(xué)科專業(yè)資料數(shù)據(jù)庫服務(wù)；提供學(xué)校自己的管理系統(tǒng)（MIS）。 6) 提供圖書，文獻(xiàn)查詢與檢索服務(wù)，增強(qiáng)校圖書館信息自動(dòng)化的能力。 7) 全校共享軟件庫服務(wù)，避免重復(fù)投資，發(fā)揮最大效益。 8) 提供CAI教學(xué)和科研的便利條件。 9) 支持校園一卡通的建設(shè)。 10) 經(jīng)廣域網(wǎng)接口，提供國內(nèi)外計(jì)算機(jī)系統(tǒng)的互聯(lián)，為國際間的信息交流和科研合作，

8、為學(xué)?？焖佾@得最新教學(xué)成果及技術(shù)合作等創(chuàng)造良好的信息通路。1.4特點(diǎn)1) 開放性：采用開放性的網(wǎng)絡(luò)體系，以方便網(wǎng)絡(luò)的升級(jí)、擴(kuò)張和互聯(lián)，同時(shí)在選擇服務(wù)器、網(wǎng)絡(luò)設(shè)備時(shí)，強(qiáng)調(diào)產(chǎn)品支持網(wǎng)絡(luò)協(xié)議的國際化標(biāo)準(zhǔn)；2) 可擴(kuò)充性：從主干網(wǎng)絡(luò)設(shè)備的選型及其模塊、插槽數(shù)、管理軟件和網(wǎng)絡(luò)整體結(jié)構(gòu)，以及技術(shù)的開放性和對(duì)相關(guān)協(xié)議的支持等方面，來保證網(wǎng)絡(luò)系統(tǒng)的可擴(kuò)充性；3) 可管理性：利用圖形化的管理界面和簡潔的操作方式，合理的網(wǎng)絡(luò)規(guī)劃策略，提供強(qiáng)大的網(wǎng)絡(luò)管理功能，使日常的維護(hù)和操作變得直觀，便捷和高效；4) 安全性：內(nèi)部網(wǎng)絡(luò)之間、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的互聯(lián)，利用VLAN/ELAN、防火墻等對(duì)訪問進(jìn)行控制，從而確保網(wǎng)絡(luò)

9、的安全；5) 投資保護(hù)：選用性價(jià)比高的網(wǎng)絡(luò)設(shè)備和服務(wù)器，采用的網(wǎng)絡(luò)架構(gòu)的設(shè)備充分考慮到易升級(jí)換代，并且在升級(jí)時(shí)可以最大限度地保護(hù)原有的硬件設(shè)備和軟件投資。6) 易用性：應(yīng)用軟件系統(tǒng)必須強(qiáng)調(diào)易用性，用戶界面友好，易于掌握，帶有幫助和查詢等功能，用戶可以方便的通過Web查詢信息。 22.1 總體規(guī)劃一個(gè)校園網(wǎng)系統(tǒng)應(yīng)該是“總體規(guī)劃，分步實(shí)施”的。分步實(shí)施包括功能的分步實(shí)施和規(guī)模的分步實(shí)施，這主要有兩個(gè)原因決定： 1) 受資金的限制，往往資金不會(huì)一步到位，這就要求根據(jù)資金分批投入情況，按實(shí)現(xiàn)校園網(wǎng)功能的輕重緩急來分步實(shí)施； 2) 受技術(shù)發(fā)展的影響，計(jì)算機(jī)技術(shù)及通信技術(shù)、網(wǎng)絡(luò)技術(shù)都是飛速發(fā)展的

10、，已建成的校園網(wǎng)要不斷滿足新的需求就必須進(jìn)行后期工程的建設(shè)。但分步實(shí)施一定要在總體規(guī)劃的前提下進(jìn)行，如果缺乏了總體規(guī)劃，系統(tǒng)將會(huì)陷入相互不兼容和前期投資的極大浪費(fèi)。此外，應(yīng)特別注意系統(tǒng)實(shí)施的順序：先調(diào)查用戶需求，確定應(yīng)用系統(tǒng)，再確定系統(tǒng)軟件，最后根據(jù)上面兩者的需要選擇適合硬件。 2.2 拓?fù)浣Y(jié)構(gòu)本次校園網(wǎng)搭建包括校園內(nèi)網(wǎng)與校園內(nèi)網(wǎng)，主要是校園內(nèi)網(wǎng)的建設(shè)。其中有一個(gè)教學(xué)樓層、一個(gè)圖書樓層、一個(gè)宿舍樓層、一個(gè)辦公樓和校園服務(wù)器樓層。每個(gè)教學(xué)樓和圖書樓劃分一個(gè)IP段，另外一個(gè)宿舍樓層，使用撥號(hào)上網(wǎng)或者無線網(wǎng)。并使校園內(nèi)網(wǎng)與外網(wǎng)相連接。校園網(wǎng)拓鋪結(jié)構(gòu)如下圖所示：2.3 網(wǎng)絡(luò)設(shè)備設(shè)備數(shù)量(臺(tái))型號(hào)二層交

11、換機(jī)6CISCO 2960-24TT三層交換機(jī)2CISCO 3560-24PS路由器2CISCO 2811無線路由器1WRT300N服務(wù)器4通用Server計(jì)算機(jī)19通用PC(僅統(tǒng)計(jì)校園內(nèi)網(wǎng)設(shè)備數(shù)量)2.4 劃分VLAN校園內(nèi)網(wǎng)劃2個(gè)VLAN，而這個(gè)VLAN分別對(duì)應(yīng)教學(xué)樓機(jī)房（vlan10）、教學(xué)樓圖書室（vlan20）.2.5 分配IP地址網(wǎng)段所有對(duì)象 - 邊界路由與三層核心交換機(jī)接口使用 - 網(wǎng)站服務(wù)器和郵箱服務(wù)器使用 / 24三層核心交換機(jī)與三層交換機(jī)接口使用172.168.

12、4.0 / 24網(wǎng)站服務(wù)器和郵箱服務(wù)器使用 / 24域名解析服務(wù)器和文件傳輸服務(wù)器使用 / 24三層交換機(jī)與路由器接口使用 / 24路由器與無線路由器接口使用 / 24機(jī)房Vlan10使用 / 24圖書室Vlan20使用 / 24學(xué)生宿舍撥號(hào)使用 / 24學(xué)生無線上網(wǎng)使用 / 24辦公室使用33.1 交換機(jī)配置 3.1.1 端口聚合LACP配置端口聚合也叫做以太通道（ethernet channel），主要用于交換機(jī)之間

13、連接。由于兩個(gè)交換機(jī)之間有多條冗余鏈路的時(shí)候，STP會(huì)將其中的幾條鏈路關(guān)閉，只保留一條，這樣可以避免二層的環(huán)路產(chǎn)生。但是，失去了路徑冗余的優(yōu)點(diǎn)，因?yàn)镾TP的鏈路切換會(huì)很慢，在50s左右。使用以太通道的話，交換機(jī)會(huì)把一組物理端口聯(lián)合起來，做為一個(gè)邏輯的通道，也就是channelgroup，這樣交換機(jī)會(huì)認(rèn)為這個(gè)邏輯通道為一個(gè)端口。相關(guān)命令如下：二層EtherChannel配置：Switch(config)#int range f0/1 2 /配置物理端口組Switch(config-if-range)#channel-group 1 mode active /加入邏輯通道1Switch(confi

14、g)#int port-channel 1Switch(config-if)#switchport mode trunk /物理口會(huì)自動(dòng)繼承邏輯口上的配置Switch(config-if)#interface FastEthernet0/1Switch(config-if)#channel-group 1 mode activeSwitch(config-if)#switchport mode trunk三層EtherChannel配置：Switch(config)#interface range FastEthernet0/1 3Switch(config-if)#no switchport

15、Switch(config-if)#no shutdownSwitch(config-if)#channel-group 1 mode activeSwitch(config-if)#interface Port-channel 1Switch(config-if)#no switchportSwitch(config-if)#ip address 52 配置Etherchannel負(fù)載均衡。Switch(config)# port-channel load-balance src-mac指源MAC地址；dst-mac指目的MAC地址 3.1.

16、2 動(dòng)態(tài)主機(jī)協(xié)議DHCP配置DHCP（Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議）是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作， 主要有兩個(gè)用途：給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動(dòng)分配IP地址，給用戶或者內(nèi)部網(wǎng)絡(luò)管理員作為對(duì)所有計(jì)算機(jī)作中央管理的手段，在RFC 2131中有詳細(xì)的描述。DHCP有3個(gè)端口，其中UDP67和UDP68為正常的DHCP服務(wù)端口，分別作為DHCP Server和DHCP Client的服務(wù)端口；546號(hào)端口用于DHCPv6 Client，而不用于DHCPv4，是為DHCP failover服務(wù)，這是需要特別開啟的服務(wù)，DHCP

17、failover是用來做“雙機(jī)熱備”的。相關(guān)命令如下：三層交換機(jī)DHCPSwitch(config)#ip dhcp pool vlan10 /新建dhcp地址池Switch(dhcp-config)#network /配置網(wǎng)段Switch(dhcp-config)#default-router /配置網(wǎng)關(guān)地址Switch(dhcp-config)#dns-server /配置dns服務(wù)器地址 3.1.3 生成樹STP配置生成樹協(xié)議拓?fù)浣Y(jié)構(gòu)的思路是: 不論網(wǎng)橋(交換機(jī))之間采用怎樣物理聯(lián)接,網(wǎng)橋

18、(交換機(jī))能夠自動(dòng)發(fā)現(xiàn)一個(gè)沒有環(huán)路的拓?fù)浣Y(jié)構(gòu)的網(wǎng)路，這個(gè)邏輯拓?fù)浣Y(jié)構(gòu)的網(wǎng)路必須是樹型的。生成樹協(xié)議還能夠確定有足夠的連接通向整個(gè)網(wǎng)絡(luò)的每一個(gè)部分。所有網(wǎng)絡(luò)節(jié)點(diǎn)要么進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，要么進(jìn)入阻塞狀態(tài),這樣就建立了整個(gè)局域網(wǎng)的生成樹。當(dāng)首次連接網(wǎng)橋或者網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化時(shí)，網(wǎng)橋都將進(jìn)行生成樹拓?fù)涞闹匦掠?jì)算。為穩(wěn)定的生成樹拓?fù)浣Y(jié)構(gòu)選擇一個(gè)根橋, 從一點(diǎn)傳輸數(shù)據(jù)到另一點(diǎn), 出現(xiàn)兩條以上條路徑時(shí)只能選擇一條距離根橋最短的活動(dòng)路徑。生成樹協(xié)議這樣的控制機(jī)制可以協(xié)調(diào)多個(gè)網(wǎng)橋(交換機(jī))共同工作, 使計(jì)算機(jī)網(wǎng)絡(luò)可以避免因?yàn)橐粋€(gè)接點(diǎn)的失敗導(dǎo)致整個(gè)網(wǎng)絡(luò)聯(lián)接功能的丟失, 而且冗余設(shè)計(jì)的網(wǎng)絡(luò)環(huán)路不會(huì)出現(xiàn)廣播風(fēng)暴。鏈路冗余-生

19、成樹STP根網(wǎng)橋panning-tree vlan vlan-id root primary優(yōu)先級(jí)spanning-tree vlan 1 priority 0協(xié)議spanning-tree mode rapid-pvst查信息show spanning-tree (vlan-id)一.配置原則1.首先確定根網(wǎng)橋,依據(jù)網(wǎng)橋ID(由優(yōu)先級(jí)和MAC地址兩部分組成)2.確定根端口.指定端口和被動(dòng)端口(由路徑成本,網(wǎng)橋ID,端口優(yōu)先級(jí),端口ID來確定)3.可以啟用上行端口和速端口二.配置1.在VLAN上啟用生成樹:spanning-tree vlan 22.建立根網(wǎng)橋:(1)直接建立:spanning

20、-tree vlan 2 root primary(2)通過修改優(yōu)先級(jí)建立:spanning-tree vlan 2 priority 24768(4096的倍數(shù),值越小,優(yōu)先級(jí)越高.默認(rèn)為32768)3.確定路徑.選定根端口:(1)可通過修改端口成本:(在配置模式下)spanning-tree vlan 2 cost *(100m為19,10m為100,值越小,路徑越優(yōu)先)(2)可修改端口優(yōu)先級(jí):(在接口模式下)spanning-tree vlan 2 port-priority *(0-255,默認(rèn)為128)4.可修改計(jì)時(shí)器(可選)(1)修改HELLO時(shí)間:spanning-tree vl

21、an 2 hello-time *(1-10s,默認(rèn)為兩秒)(2)修改轉(zhuǎn)發(fā)延遲時(shí)間:spanning-tree vlan 2 forward-time *(4-30s,默認(rèn)為15s)(3)修改最大老化時(shí)間:spanning-tree vlan 2 max-age *(6-40,默認(rèn)是20秒)5.配置快速端口:spanning-tree portfast6.配置上行端口:spanning-tree uplinkfast三.檢查命令1.檢查生成樹:show spanning-tree summary2.檢查根網(wǎng)橋:show spannint-tree vlan 2 detail3.檢查網(wǎng)橋優(yōu)先級(jí):

22、show spanning-teee vlan 2 detail4.檢查端口成本:show spanninn-tree interface f0/2 detail5.檢查端口優(yōu)先級(jí):show spanning-tree interface f0/2 detail6.檢查HELLO時(shí)間.轉(zhuǎn)發(fā)延遲.最大老化時(shí)間:show spanning-tree vlan 27.檢查速端口:show spanning-tree interface f0/2 detail8.檢查上行鏈路:show spanning-tree summary四.生成樹端口有四種狀態(tài):1.阻塞:能收BPDU報(bào)文,其他的什么不干2.偵

23、聽:能收BPDU報(bào)文,能發(fā)送BPDU報(bào)文,也不能學(xué)習(xí)MAC地址.3.學(xué)習(xí):能接收發(fā)送BPD報(bào)文,也能學(xué)習(xí)MAC地址,并添加到MAC表中,但不有發(fā)送數(shù)據(jù)幀.4.轉(zhuǎn)發(fā):什么都能干了,開始正常接收和發(fā)送數(shù)據(jù)幀5.從阻塞到偵聽20秒,從偵聽到學(xué)習(xí)15秒,從學(xué)習(xí)到轉(zhuǎn)發(fā)15秒(默認(rèn))五.有四種協(xié)議：通用CST、.思科PVST、增強(qiáng)型PVST+、MST3.2 路由器配置 3.2.1 靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換Static NAT配置NAT的實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換Static Nat、動(dòng)態(tài)轉(zhuǎn)換Dynamic Nat和端口多路復(fù)用OverLoad。靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對(duì)是一

24、對(duì)一的，是一成不變的，某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備（如服務(wù)器）的訪問。動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址是不確定的，是隨機(jī)的，所有被授權(quán)訪問上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)。可以采用動(dòng)態(tài)轉(zhuǎn)換的方式。端口多路復(fù)用（Port address Translation,PAT)是指

25、改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換（PAT，Port Address Translation).采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時(shí)，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。Static NAT靜態(tài)轉(zhuǎn)換配置Switch(config)#ip nat inside source static 本地地址 外部地址定義內(nèi)部外部接口Switch(config)#int fa 內(nèi)部接口Switch(config-i

26、f)#ip nat insideSwitch(config)#int fa 外部接口Switch(config-if)#ip nat outside /24 () ； /24 () 3.2.2 訪問控制列表ACL配置訪問控制列表（Access Control List，ACL） 是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。信息點(diǎn)間通信和內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障

27、非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達(dá)到對(duì)訪問進(jìn)行控制的目的。簡而言之，ACL可以過濾網(wǎng)絡(luò)中的流量，是控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。配置ACL后，可以限制網(wǎng)絡(luò)流量，允許特定設(shè)備訪問，指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包等。如可以配置ACL，禁止局域網(wǎng)內(nèi)的設(shè)備訪問外部公共網(wǎng)絡(luò)，或者只能使用FTP服務(wù)。ACL既可以在路由器上配置，也可以在具有ACL功能的業(yè)務(wù)軟件上進(jìn)行配置。ACL是物聯(lián)網(wǎng)中保障系統(tǒng)安全性的重要技術(shù)，在設(shè)備硬件層安全基礎(chǔ)上，通過對(duì)在軟件層面對(duì)設(shè)備間通信進(jìn)行訪問控制，使用可編程方法指定訪問規(guī)則，防止非法設(shè)備破壞系統(tǒng)安全，非法獲取系統(tǒng)數(shù)據(jù)。ACL配置注意deny某網(wǎng)段或permit某網(wǎng)段后默認(rèn)其余全部

28、拒絕In流量傳入控制out流量傳出控制ip access-list standard XXX /標(biāo)準(zhǔn)acl訪問控制列表1.命名標(biāo)準(zhǔn)permit/deny a.b.c.d 反掩碼|anyinterface 接口ip access-group XXX out/in2.編號(hào)標(biāo)準(zhǔn)access-list 序號(hào) deny/permit a.b.c.d 反掩碼|any訪問控制列表1.辦公室(out)office 3.2.3 服務(wù)端點(diǎn)對(duì)點(diǎn)協(xié)議PPPoE配置與傳統(tǒng)的接入方式相比，PPPoE具有較高的性能價(jià)格比，它在包括小區(qū)組網(wǎng)建設(shè)等一系列應(yīng)用中被廣泛采用，目前流行的

29、寬帶接入方式ADSL 就使用了PPPoE協(xié)議。隨著低成本的寬帶技術(shù)變得日益流行，DSL（Digital Subscriber Line）數(shù)字用戶線技術(shù)更是使得許多計(jì)算機(jī)在互聯(lián)網(wǎng)上能夠酣暢淋漓的沖浪了。但是這也增加了DSL服務(wù)提供商們對(duì)于網(wǎng)絡(luò)安全的擔(dān)心。通過ADSL方式上網(wǎng)的計(jì)算機(jī)大都是通過以太網(wǎng)卡（Ethernet）與互聯(lián)網(wǎng)相連的。同樣使用的還是普通的TCP/IP方式，并沒有附加新的協(xié)議。另外一方面，調(diào)制解調(diào)器的撥號(hào)上網(wǎng)，使用的是PPP協(xié)議，即Point to Point Protocol，點(diǎn)到點(diǎn)協(xié)議，該協(xié)議具有用戶認(rèn)證及通知IP地址的功能。PPP over Ethernet（PPPoE）協(xié)議

30、，是在以太網(wǎng)絡(luò)中轉(zhuǎn)播PPP幀信息的技術(shù)，尤其適用于ADSL等方式。PPPoE服務(wù)端服務(wù)器端的配置：vpdn enable (開啟vpdn）vpdn-group qiye_PPPOE_server /配置vpdn-group名字為qiye_PPPOE_serveraccept-dialin /接受撥入protocol pppoe /撥入的協(xié)議為PPPOEvirtual-template 1 /與虛擬接口綁定exituser xiaot_1 password xiaot01 /本地用戶數(shù)據(jù)庫user xiaot_2 password xiaot02ip local pool qiye_PPPOE

31、 54 /本地地址池，給PPPOE客戶端下發(fā)的地址池ip name-server 12 /DNS服務(wù)器ip dns server /開啟路由器DNS功能，PT5.3不支持該命令interface virtual-Template 1ip unnumbered fastEthernet 0/0 /使用無編號(hào)，調(diào)用fa 0/0的IP作為自己的IPppp authentication chap /使用chap認(rèn)證peer default ip address pool qiye_PPPOE /下發(fā)的IP從本地地址池找exitinterface

32、fastEthernet 0/0pppoe enable /開啟PPPOE3.3 服務(wù)器配置 3.3.1 電子郵件Email配置對(duì)于郵件服務(wù)器以模擬器粗略地步驟首先打開SMTP和POP3服務(wù)，然后設(shè)置根域名和賬號(hào)。在客戶端郵件配置中接入地址和發(fā)送地址以及用戶名和密碼。3.3.2 域名系統(tǒng)DNS配置DNS（Domain Name System，域名系統(tǒng)），因特網(wǎng)上作為域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫，能夠使用戶更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取的IP數(shù)串。通過主機(jī)名，最終得到該主機(jī)名對(duì)應(yīng)的IP地址的過程叫做域名解析（或主機(jī)名解析）。DNS協(xié)議運(yùn)行在UDP協(xié)議之上，使用端口號(hào)53。在RFC文檔中RFC 2181對(duì)DNS有規(guī)范說明，RFC 2136對(duì)DNS的動(dòng)態(tài)更新進(jìn)行說明，RFC 2308對(duì)DNS查詢的反向緩存進(jìn)行說明。每個(gè)IP地址都可以有一個(gè)主機(jī)名，主機(jī)名由一個(gè)或多個(gè)字符串組成，字符串之間用小數(shù)點(diǎn)隔開。有