企業(yè)局域網(wǎng)組建畢業(yè)論文

運城職業(yè)技術(shù)學(xué)院2016屆畢業(yè)設(shè)計說明書頁摘要信息話浪潮風(fēng)起云涌的今天，企業(yè)內(nèi)部網(wǎng)絡(luò)的的建設(shè)已經(jīng)成為提升企業(yè)核心競爭力的關(guān)鍵因素。企業(yè)網(wǎng)已經(jīng)越來越多的被人們提到，利用網(wǎng)絡(luò)技術(shù)，現(xiàn)代企業(yè)可以在供應(yīng)商、合作伙伴、員工之間實現(xiàn)優(yōu)化的信息溝通。這直接關(guān)系到企業(yè)能否獲得關(guān)鍵競爭優(yōu)勢。近年來越來越多的企業(yè)都在加快建設(shè)自身信息網(wǎng)絡(luò)，而其中絕大多數(shù)都是中小型企業(yè)。目前我國企業(yè)尤其是中小型網(wǎng)絡(luò)建設(shè)正如火如荼的進(jìn)行著，本方案以中小型企業(yè)內(nèi)部局域網(wǎng)的組件需求、實際管理為出發(fā)點，從中小型企業(yè)局域網(wǎng)的管理需求和傳統(tǒng)局域網(wǎng)技術(shù)入手，研究了局域網(wǎng)技術(shù)在企業(yè)管理中的應(yīng)用。關(guān)鍵詞：網(wǎng)絡(luò)技術(shù)企業(yè)局域網(wǎng)企業(yè)內(nèi)部網(wǎng)絡(luò)目錄TOC\o"1-3"\h\u21840摘要 1280321.緒論 3205862.組網(wǎng)方案 5180963.可行性研究和需求分析 7252203.1技術(shù)可行性 7163883.1.1NAT技術(shù) 7199023.1.2VLAN技術(shù) 8180013.2需求分析 8312363.2.1帶寬性能需求 8160213.2.2網(wǎng)絡(luò)安全需求 9271603.2.3應(yīng)用服務(wù)需求 9295293.3設(shè)計所需環(huán)境 935583.3.1硬件要求 9200313.3.2軟件要求 911244.交換模塊與接入模塊 10181344.1核心層交換機(jī)配置 10126884.1.1設(shè)置核心交換機(jī)名稱 10310124.1.2啟動三層交換機(jī)的路由功能 10290054.1.3核心交換機(jī)接口設(shè)置 10106444.2匯聚層交換機(jī)配置 11138654.2.1設(shè)置交換機(jī)名稱 11269104.2.2配置G0/1接口 1169954.2.3默認(rèn)路由設(shè)置 11255744.3路由器基本參數(shù)配置 11274694.4設(shè)置路由器R-2811-A各接口參數(shù) 13301184.5NAT設(shè)置 13269094.5.1設(shè)置路由器NAT 14150104.5.2定義內(nèi)部外接口 14225334.6路由器的安全問題 15186774.61對外禁用telnet協(xié)議 15240804.6.2針對DoS攻擊的設(shè)計 15239185.配置過程與VPN測試 16327585.1配置過程 16246805.2VPN訪問連接測試 16105286.總結(jié) 182618參考文獻(xiàn) 192264致謝 201.緒論1.1課題的背景隨著近年來企業(yè)信息化建設(shè)的不斷深入，企業(yè)的運作越來越融入計算機(jī)網(wǎng)絡(luò)，企業(yè)的溝通、應(yīng)用、財務(wù)、決策、會議等數(shù)據(jù)流都在企業(yè)網(wǎng)絡(luò)上傳輸，全球的企業(yè)都在快速的進(jìn)入一個嶄新的網(wǎng)絡(luò)信息時代，企業(yè)信息化建設(shè)已經(jīng)成為衡量一個企業(yè)實力的重要標(biāo)志。通過信息化提高企業(yè)的競爭力已成為大多數(shù)企業(yè)的共識。在現(xiàn)在企業(yè)中，普遍存在資金不足、信息基礎(chǔ)薄弱、技術(shù)人員匱乏等特點，使得他們不能有效地將自身傳統(tǒng)業(yè)務(wù)與信息系統(tǒng)很好的結(jié)合起來，以至于常常會出現(xiàn)投入不見效的情況。究其原因，在于企業(yè)信息化觀念不夠，信息系統(tǒng)沒有總體設(shè)計原則，信息化建設(shè)缺乏規(guī)劃，致使企業(yè)協(xié)同運作存在障礙，運營成本居高不下。作為企業(yè)的局域網(wǎng)，它不僅可以為企業(yè)提供高效的辦公環(huán)境，還可以實現(xiàn)硬件資源和軟件資源的共享從而節(jié)省了企業(yè)大量開支，又便于集中管理和提高工作效率。其次企業(yè)局域網(wǎng)要實現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接，從而極大的方便了企業(yè)和外界的溝通，這樣不僅可以降低企業(yè)的生產(chǎn)成本，也可以實現(xiàn)異地辦公。企業(yè)用戶可以方便地傳輸各類數(shù)據(jù)，開展各類網(wǎng)絡(luò)應(yīng)用。隨著我國計算機(jī)網(wǎng)絡(luò)技術(shù)尤其是Internet技術(shù)的高速發(fā)展，加快對企業(yè)局域網(wǎng)建設(shè)迫在眉睫。因此構(gòu)建一個“安全可靠、性能卓越、管理方便”的企業(yè)局域網(wǎng)，已經(jīng)成為企業(yè)信息化建設(shè)成功的關(guān)鍵基石。本課題的設(shè)計需要綜合運用各種知識來完成本課題，不僅可以使我進(jìn)一步掌握計算機(jī)網(wǎng)絡(luò)原理、熟企業(yè)局域網(wǎng)的設(shè)計搭建，而且可以增強(qiáng)了我的自學(xué)能力和動手能力。1.2國內(nèi)外企業(yè)局域網(wǎng)建設(shè)現(xiàn)狀目前，計算機(jī)網(wǎng)絡(luò)被廣泛應(yīng)用于個人、工商業(yè)、教育業(yè)、各級政府、各種軍事單位等多種場合，社會各部門都可以通過網(wǎng)絡(luò)實現(xiàn)信息快捷可靠的無縫連接和共享，計算機(jī)網(wǎng)絡(luò)已遍及社會的每個領(lǐng)域，成為當(dāng)今社會的一個基本元素。國外歐美的發(fā)達(dá)國家的企業(yè)在局域網(wǎng)建設(shè)走的比較早，隨著網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步以及通信產(chǎn)品技術(shù)的不斷完善，現(xiàn)在歐美發(fā)達(dá)國家企業(yè)局域網(wǎng)建設(shè)完全達(dá)到了辦公自動化，而且寬帶大，速度快，超過一半以上的企業(yè)擁有自己的網(wǎng)站，成為對外聯(lián)絡(luò)的主要窗口，企業(yè)內(nèi)部網(wǎng)絡(luò)安全等級較高。國內(nèi)企業(yè)局域網(wǎng)建設(shè)近年來有了長足的發(fā)展，但和歐美發(fā)達(dá)國家的企業(yè)局域網(wǎng)相比還有著明顯的不足主要體現(xiàn)在：1、低水平重復(fù)建設(shè)且成本高昂：各部門擁有相對獨立的信息系統(tǒng)，資源分散于各部門之中，容易形成信息孤島。2、管理信息和反饋信息不能迅速傳遞：隨著企業(yè)的發(fā)展，數(shù)據(jù)信息流不斷增加，對于各部門管理提出了快速響應(yīng)的要求。隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，與社會生活關(guān)系最緊密的局域網(wǎng)也得到越來越廣泛的應(yīng)用——事實上，局域網(wǎng)已是目前應(yīng)用最廣泛的一類網(wǎng)絡(luò)。局域網(wǎng)擁有組建靈活、功能強(qiáng)大、維護(hù)便捷等優(yōu)點，也正因為這樣，局域網(wǎng)才成為計算機(jī)網(wǎng)絡(luò)領(lǐng)域的明星，受到越來越多用戶的歡迎；也正是因為局域網(wǎng)的出現(xiàn)，使計算機(jī)網(wǎng)絡(luò)的威力獲得了更充分的發(fā)揮，使得計算機(jī)網(wǎng)絡(luò)在很短的時間內(nèi)就深入到社會的各個領(lǐng)域。同時，局域網(wǎng)技術(shù)也因而成為目前最為活躍的技術(shù)領(lǐng)域之一，各類局域網(wǎng)層出不窮并得到了廣泛的應(yīng)用，極大地推進(jìn)了整個社會的信息化發(fā)展。1.3業(yè)局域企網(wǎng)建設(shè)的目標(biāo)與意義企業(yè)信息化建設(shè)是國際信息化的基礎(chǔ)和重要組成部分，是提高企業(yè)辦事效率，提高企業(yè)綜合素質(zhì)，是企業(yè)不斷邁上新的臺階，成為一流企業(yè)的有效措施。企業(yè)局域網(wǎng)的建設(shè)的目標(biāo)是為全企業(yè)人員提供一個信息交流和合作平臺，在需要連接Internet時，以充分利用因特網(wǎng)上的資源，實現(xiàn)對外（企業(yè)與企業(yè)，企業(yè)與社會）的信息發(fā)布、交流與合作，對于企業(yè)的發(fā)展具有積極的社會意義與經(jīng)濟(jì)效益：1、擴(kuò)大企業(yè)在社會上的影響力，提高其知名度，為外界了解企業(yè)文化提供一個簡單、便捷的窗口。2、在整個企業(yè)內(nèi)部提供一個良好的信息傳遞通道，企業(yè)內(nèi)部的政策、資源、通知可以在全企業(yè)進(jìn)行迅速傳遞。3、實現(xiàn)企業(yè)的辦公自動化，有效地降低了辦公地成本。4、企業(yè)的各級領(lǐng)導(dǎo)得以最快、最有效的方式對企業(yè)內(nèi)部運作過程中的各種信息進(jìn)行有效了解并采取有效措施，同時得到全面的決策支持。5、企業(yè)內(nèi)部人員可以方便安全的訪問外部因特網(wǎng)。2.組網(wǎng)方案2.1網(wǎng)絡(luò)結(jié)構(gòu)分析對于計算機(jī)和網(wǎng)絡(luò)終端不多于100臺的網(wǎng)絡(luò)，可采用兩層結(jié)構(gòu)，以三層交換機(jī)（QuidwayS5600系列）作為核心交換設(shè)備，實現(xiàn)接入交換機(jī)、網(wǎng)絡(luò)服務(wù)器、路由器之間的高速鏈接，并采用中端路由器（Cisco3800）實現(xiàn)與核心路由器的鏈接。在設(shè)計網(wǎng)絡(luò)結(jié)構(gòu)時，要考慮其成本、擴(kuò)充性、安裝維護(hù)是否方便等。綜合這些因素，在以太網(wǎng)與令牌網(wǎng)兩種結(jié)構(gòu)類型中，建議選擇以太網(wǎng)，這是因為以太網(wǎng)的組成較為簡單，便于非專業(yè)人員的日常維護(hù)。鑒于各工作站獨立工作及協(xié)同工作的雙重要求，工作站微機(jī)間的連接采用星形拓?fù)浣Y(jié)構(gòu)，在主計算HOST)與工作站間采用總線結(jié)，以增強(qiáng)多用戶訪問時的可靠性，保證一定的傳輸速率。目前在局域網(wǎng)上應(yīng)用較為廣泛的網(wǎng)絡(luò)類型是客戶機(jī)／服務(wù)器(c1ient／Sener)網(wǎng)。此種網(wǎng)絡(luò)至少需要一臺服務(wù)器來提供網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)的運行管理。網(wǎng)絡(luò)中所有的電腦終端均能共享服務(wù)器的軟、硬件資源。網(wǎng)絡(luò)運行穩(wěn)定，有利于信息的統(tǒng)一管理和安全保密，并且易于系統(tǒng)的升級。但由于要配置服務(wù)器，所以網(wǎng)絡(luò)投資較大。2.1.1經(jīng)濟(jì)型網(wǎng)絡(luò)實際組網(wǎng)過程中，中小企業(yè)考慮的一個重要因素就是成本。因此，對于資金較緊張的中小企業(yè)而言，其站點少，通常在100個工作站以內(nèi)，而且工作站相對集中，結(jié)構(gòu)化布線可以只采用雙絞線。每個工作站與集線器或交換機(jī)之間的距離不能超過100m，多個工作站共享一個網(wǎng)絡(luò)出口。2.1.2高性能網(wǎng)絡(luò)對于網(wǎng)絡(luò)速度要求較高、資金充足的企業(yè)來說，可以采用路由器和交換機(jī)這種比較高級、性能更好的組網(wǎng)方式。①系統(tǒng)需求分析，對系統(tǒng)各種功能需要進(jìn)行總結(jié)該企業(yè)有100臺電腦入網(wǎng)，屬于中小型局域網(wǎng)，且具有撥號上網(wǎng)功能。企業(yè)辦公局域網(wǎng)的組建②進(jìn)行設(shè)備的選型：網(wǎng)絡(luò)操作系統(tǒng)選擇：Windows2000Server簡體中文版操作系統(tǒng)。2.2局域網(wǎng)拓?fù)浣Y(jié)構(gòu)設(shè)計對于已經(jīng)上了一定規(guī)模，在內(nèi)部已經(jīng)有了幾個部門的企業(yè)，如果所有部門的用戶無差別地處于對等網(wǎng)中，不僅使許多敏感數(shù)據(jù)容易被無關(guān)人員獲取，而且部門內(nèi)的大量通信也會占用大量的網(wǎng)絡(luò)資源，使整個網(wǎng)絡(luò)的效率變低，甚至引起崩潰。為了克服這個缺點，需要將經(jīng)常進(jìn)行通信的計算機(jī)組成一個子網(wǎng)，使大量的內(nèi)部數(shù)據(jù)局限在子網(wǎng)內(nèi)傳播，然后各個子網(wǎng)連接在一起形成局域網(wǎng)。具體的結(jié)構(gòu)圖見圖企業(yè)局域網(wǎng)結(jié)構(gòu)圖在這個方案中，使用了ISDN／Modem，通過撥號連接到互聯(lián)網(wǎng)中。路由器和集線器之間，可以設(shè)置一臺安裝了兩個網(wǎng)卡的服務(wù)器。分別連接在路由器和集線器上，作為網(wǎng)關(guān)，運行防火墻軟件等，進(jìn)行網(wǎng)絡(luò)管理和安全防范。在方案中用ISDN／Modem作為統(tǒng)一的出口。避免每臺Pc配一個Modem減少了購買費用，并且容易管理；而使用一臺服務(wù)器加上網(wǎng)3.可行性研究和需求分析3.1技術(shù)可行性3.1.1NAT技術(shù)NAT技術(shù)主要實現(xiàn)內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換，靜態(tài)NAT是把內(nèi)部網(wǎng)絡(luò)中的每個主機(jī)地址永久映射成外部網(wǎng)絡(luò)中的某個合法地址，這樣方便外網(wǎng)用戶訪問企業(yè)Web網(wǎng)；動態(tài)地址NAT是采用把外部網(wǎng)絡(luò)中的一系列合法地址使用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)；端口多路復(fù)用地址轉(zhuǎn)換（PAT）是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上，把企業(yè)內(nèi)部網(wǎng)IP轉(zhuǎn)換為公網(wǎng)IP地址，使內(nèi)部用戶可以方便的訪問Internet。目前，NAT技術(shù)主要用于連接和安全方面。目前企業(yè)內(nèi)部網(wǎng)絡(luò)用戶數(shù)量大，而能申請的合法的全球唯一IP地址有限。NAT能夠有效的解決企業(yè)IP地址短缺問題，利用NAT技術(shù)能夠?qū)崿F(xiàn)多個用戶共同使用一個合法的IP地址連接互聯(lián)網(wǎng)。而另一種需要出于安全方面來考慮，在一定程度上防范網(wǎng)絡(luò)攻擊的發(fā)生。企業(yè)期望隱藏LAN內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，NAT可以將內(nèi)部LAN與外部Internet隔離，使外部網(wǎng)絡(luò)用戶無法了解通過NAT設(shè)置的內(nèi)部IP地址。NAT技術(shù)在企業(yè)中都采取兩種技術(shù)類型結(jié)合應(yīng)用，比較好的還是和端口復(fù)用地址轉(zhuǎn)換。結(jié)合起來的技術(shù)如：端口復(fù)用地址轉(zhuǎn)換、TCP/UDP端口NAT映射、靜態(tài)地址轉(zhuǎn)換+端口復(fù)用地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換+端口復(fù)用地址轉(zhuǎn)換。我們知道，不同應(yīng)用程序使用TCP/UDP端口是不同的，例如，WEB服務(wù)器使用80、FTP服務(wù)使用21、SMTP服務(wù)使用25、POP3服務(wù)使用110等。由于每種應(yīng)用服務(wù)器都有自己默認(rèn)的端口，所以這種NAT方式下，網(wǎng)絡(luò)內(nèi)部每種應(yīng)用服務(wù)器成為Internet中的主機(jī)，例如，只能有一臺WEB服務(wù)器、一臺E-mail服務(wù)、一臺FTP服務(wù)器。盡管可以采用改變默認(rèn)端口的方式創(chuàng)建多臺應(yīng)用服務(wù)器，但這種服務(wù)器在訪問時比較困難，要求用戶必須先了解某種服務(wù)采用的新TCP端口。因此，可以將不同的TCP端口綁定至不同的內(nèi)部IP地址，從而只使用一個IP地址，即可在允許內(nèi)部所有服務(wù)器被Internet訪問的同時，實現(xiàn)內(nèi)部所有主機(jī)對Internet的訪問。3.1.2VLAN技術(shù)根據(jù)各部門職能不同把各部門劃入不同的VLAN減少了廣播，提高了通信效率。VLAN(VirtualLocalAreaNetwork)就是虛擬局域網(wǎng)的意思。VLAN可以不考慮用戶的物理位置，而根據(jù)功能、應(yīng)用等因素將用戶從邏輯上劃分為一個個功能相對獨立的工作組，每個用戶主機(jī)都連接在一個支持VLAN的交換機(jī)端口上并屬于一個VLAN。同一個VLAN中的成員都共享廣播，形成一個廣播域，而不同VLAN之間廣播信息是相互隔離的。這樣，將整個網(wǎng)絡(luò)分割成多個不同的廣播域(VLAN)。一般來說，如果一個VLAN里面的工作站發(fā)送一個廣播，那么這個VLAN里面所有的工作站都接收到這個廣播，但是交換機(jī)不會將廣播發(fā)送至其他VLAN上的任何一個端口。如果要將廣播發(fā)送到其它的VLAN端口，就要用到三層交換機(jī)。 3.2需求分析3.2.1帶寬性能需求現(xiàn)代企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強(qiáng)大的性能，以滿足用戶日益增長的通信需求。隨著計算機(jī)技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個多業(yè)務(wù)承載平臺，不僅要繼續(xù)承載企業(yè)的辦公自動化，Web瀏覽等簡單的數(shù)據(jù)業(yè)務(wù)，還要承載設(shè)計企業(yè)生產(chǎn)運營的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和要求很高的IP電話、視頻會議等多媒體業(yè)務(wù)。因此，數(shù)據(jù)流量將大大增加，尤其對核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了更高的要求。另外，隨著千兆位端口成本的持續(xù)下降，千兆位到桌面的應(yīng)用會在不久的將來成為企業(yè)網(wǎng)主流。構(gòu)建一個暢通無阻的“高品質(zhì)”企業(yè)局域網(wǎng)，才能適應(yīng)網(wǎng)絡(luò)規(guī)模的擴(kuò)大，業(yè)務(wù)量的日益增長的需求。3.2.2網(wǎng)絡(luò)安全需求現(xiàn)代企業(yè)網(wǎng)需要提供更加完善的網(wǎng)絡(luò)安全解決方案，以阻止病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟(jì)損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施主要通過部署防火墻、IDS、殺毒軟件以及配合交換機(jī)或路由器的ACL來實現(xiàn)對病毒和黑客攻擊的防御。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運營的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須有一整套從用戶接入控制，病毒報文識別到主動抑制的一系列安全控制手段，這樣才能保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運行。3.2.3應(yīng)用服務(wù)需求現(xiàn)代企業(yè)網(wǎng)絡(luò)應(yīng)具備更加智能的網(wǎng)絡(luò)管理解決方案，以適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴(kuò)大，維護(hù)工作更加復(fù)雜的需求。當(dāng)前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為“以應(yīng)用為中心”的信息基礎(chǔ)平臺，網(wǎng)絡(luò)管理能力的要求已經(jīng)上升到了業(yè)務(wù)層次，傳統(tǒng)網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管理需求的發(fā)展。所以現(xiàn)代企業(yè)網(wǎng)絡(luò)迫切需要網(wǎng)絡(luò)設(shè)備支撐“以應(yīng)用為中心”的智能網(wǎng)絡(luò)運營維護(hù)的能力，并能夠有一套智能化的管理軟件，將網(wǎng)絡(luò)管理人員從繁重的工作中解脫出來。3.3設(shè)計所需環(huán)境3.3.1硬件要求安裝有Windows2003/XP/Vista操作系統(tǒng)的計算機(jī)，內(nèi)存512M及以上，硬盤80G及以上。3.3.2軟件要求PacketTracer5.34.交換模塊與接入模塊4.1核心層交換機(jī)配置4.1.1設(shè)置核心交換機(jī)名稱設(shè)置交換機(jī)的名稱，也就是出現(xiàn)在路由器CLI提示符中的名字,本設(shè)計中命名規(guī)則如下：類型-型號-編號。以下命令設(shè)置核心交換機(jī)的名字為S-3560-A。Switch>enSwitch#configtSwitch(config)#homeostasisS-3560-A4.1.2啟動三層交換機(jī)的路由功能三層交換機(jī)具有路由功能但默認(rèn)是未啟動的，我們需要先啟動路由功能，這樣才能為不同VLAN路由數(shù)據(jù)包，從而實現(xiàn)各VLAN間的相互通信，以下命令是啟動路由功能。S-3560-A(config)#IProuting//啟動路由功能4.1.3核心交換機(jī)接口設(shè)置S-3560-A(config)#intg0/1S-3560-A(config-if)#noswitchport//二層端口轉(zhuǎn)換成路由端口S-3560-A(config-if)#IPadd//為G0/1接口分配IP地址S-3560-A(config-if)#intg0/25//進(jìn)入g0/25端口S-3560-A(config-if)#noswitchportS-3560-A(config-if)#IPaddS-3560-A(config-if)#intg0/26S-3560-A(config-if)#noswitchportS-3560-A(config-if)#IPaddS-3560-A(config-if)#intg0/27S-3560-A(config-if)#noswitchportS-3560-A(config-if)#IPaddS-3560-A(config-if)#intg0/28S-3560-A(config-if)#noswitchportS-3560-A(config-if)#ipaddS-3560-A(config-if)#exit4.2匯聚層交換機(jī)配置依據(jù)樓宇位置不同我們所需四臺CiscoCatalyst3560-24TS交換機(jī)作為匯聚層交換機(jī)，在此我們僅以1號辦公樓的匯聚層交換機(jī)加以說明，其它樓宇匯聚層交換機(jī)設(shè)置與此設(shè)置類似。4.2.1設(shè)置交換機(jī)名稱Switch>enSwitch#configt//進(jìn)入全局配置模式Switch(config)#hostnameS-3560-B//交換機(jī)命名為S-3560-B4.2.2配置G0/1接口S-3560-B(config)#intg0/1//為G0/1分配IP地址S-3560-B(config-if)#noswitchportS-3560-B(config-if)#ipaddS-3560-B(config-if)#exit4.2.3默認(rèn)路由設(shè)置未知流量通過G0/1接口流向核心交換機(jī)S-3560-B(config)#iproute//未知流量流向核心交換機(jī)4.3路由器基本參數(shù)配置圖4.3路由器基本配置1、設(shè)置路由器名稱設(shè)置路由器的名稱，也就是出現(xiàn)在路由器CLI提示符中的名字,本設(shè)計中命名規(guī)則如下：類型-型號-編號。當(dāng)需要telnet登錄到若干臺路由器上以維護(hù)一個大型網(wǎng)絡(luò)時，通過交換機(jī)名稱提示符提示自己當(dāng)前路由器的位置是很重要的。以下命令將配置路由器名稱為R-2811-A。Router>enableRouter#configureterminalRouter(config)#hostnameR-2811-A//設(shè)置路由器名稱為R-2811-A2、設(shè)置路由器加密口令密碼當(dāng)用戶在普通模式下進(jìn)入特權(quán)模式時，需要提供此口令。此口令會已MD5的形式加密，因此當(dāng)用戶查看配置文件時，無法看到明文形式的口令配置特權(quán)EXEC口令。R-2811-A(config)#enablesecretexec123//設(shè)置特權(quán)EXEC密碼為exec1233、設(shè)置telnet虛擬終端口令：R-2811-A(config)#linevty05R-2811-A(config-line)#passwordvty123//設(shè)置telnet虛擬終端密碼為vty123R-2811-A(config-line)#login4、設(shè)置控制臺端口密碼R-2811-A(config)#lineconsole0R-2811-A(config-line)#passwordconsole123//設(shè)置控制臺端口密碼console1235、設(shè)置輔助端口密碼R-2811-A(config)#lineaux0R-2811-A(config-line)#passwordaux123//設(shè)置輔助端口密碼為aux1234.4設(shè)置路由器R-2811-A各接口參數(shù)對接入路由器R-2811-A的各接口參數(shù)的配置主要是對接口F0/0以及接口F0/1的IP地址、子網(wǎng)掩碼的配置。如下所示：其中，F(xiàn)0/0的IP地址是ISP提供的。圖4.4路由器接口配置4.5NAT設(shè)置由于目前IP地址資源非常稀缺，不可能為企業(yè)局域網(wǎng)的每一個工作站都分配一個公網(wǎng)IP地址，為了實現(xiàn)企業(yè)內(nèi)部所有計算機(jī)可以訪問外部Internet的需求，我們可以通過網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)實現(xiàn)，實現(xiàn)內(nèi)網(wǎng)對Internet的訪問以及外網(wǎng)對企業(yè)內(nèi)部web服務(wù)器訪問。圖4-5路由器NAT設(shè)置4.5.1設(shè)置路由器NATR-2811-A(config)#ipnatinsidesourcestatic//靜態(tài)NAT用于外網(wǎng)對web的訪問R-2811-A(config)#ipnatinsidesourcelist1interfacef0/0overload//定義復(fù)用Internet接口IP地址（過載overload）R-2811-A(config)#access-list1permit55//定義內(nèi)部訪問列表4.5.2定義內(nèi)部外接口R-2811-A(config)#intf0/1R-2811-A(config-if)#ipnatinside//定義F0/1為內(nèi)部接口R-2811-A(config-if)#exitR-2811-A(config)#intf0/0R-2811-A(config-if)#ipnatoutside//定義F0/0為外部接口4.6路由器的安全問題路由器是外網(wǎng)進(jìn)入企業(yè)網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問控制列表（AccessControlList，ACL）是保護(hù)內(nèi)網(wǎng)安全的有效手段。一個設(shè)計良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進(jìn)行縝密的設(shè)計，來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實施保護(hù)。4.61對外禁用telnet協(xié)議首先，telnet是一種不安全的協(xié)議類型。用戶在使用telnet登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時所使用的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?，很容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。其次，telnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和UNIX服務(wù)器，并可以使用相關(guān)命令完全操縱它們。這是極其危險的，因此必須加以屏蔽。R-2811-A(config)#access-list100denytcpanyanyeqtelnet//對外屏蔽telnetR-2811-A(config)#access-list100permitipanyany4.6.2針對DoS攻擊的設(shè)計DoS攻擊（DenialofServiceAttack，拒絕服務(wù)攻擊）是一種非常常見而且極具破壞力的攻擊手段，它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止，嚴(yán)重時會導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。R-2811-A(config)#access-list101denyicmpanyanyeqecho-requestR-2811-A(config)#access-list101denyudpanyanyeqechoR-2811-A(config)#access-list101permitipanyany//將ACL應(yīng)用于f0/0接口R-2811-A(config)#intf0/0R-2811-A(config-if)#ipaccess-group101in保護(hù)企業(yè)網(wǎng)免受攻擊，路由器的安全就顯得十分重要，有條件的話可以在買一個專業(yè)防火墻，然后配置它?；蛘咧苯釉诼酚善魃显谝欢ǔ潭壬舷拗仆饩W(wǎng)訪問。5.配置過程與VPN測試5.1配置過程在EVS路由器上設(shè)置IPSec遠(yuǎn)程接入時，需要執(zhí)行以下基本任務(wù)：任務(wù)1—為設(shè)備的認(rèn)證和用戶認(rèn)證（XAUTH）定義AAA策略（預(yù)共享密鑰和RSA簽名）；任務(wù)2—為遠(yuǎn)程客戶端定義組