中小企業(yè)網(wǎng)絡(luò)設(shè)計方案畢業(yè)設(shè)計方案

第PAGEI頁共IV頁摘要互聯(lián)網(wǎng)技術(shù)發(fā)展到現(xiàn)在已經(jīng)相當成熟,當今互聯(lián)網(wǎng)已經(jīng)成為全世界最大最全的信息中心,越來越多的人利用互聯(lián)網(wǎng)來解放他們的生活，他們利用互聯(lián)網(wǎng)來完成幾乎所有現(xiàn)實生活中的事物.本設(shè)計結(jié)合一家中小企業(yè)網(wǎng)絡(luò)的實際需求,通過對網(wǎng)絡(luò)架構(gòu)組建方案的設(shè)計、基于安全的網(wǎng)絡(luò)配置方案設(shè)計、服務(wù)器架設(shè)方案設(shè)計、企業(yè)網(wǎng)絡(luò)高級服務(wù)設(shè)計等方面的仿真研究，詳盡的探討了對該網(wǎng)絡(luò)進行規(guī)劃設(shè)計時遇到的關(guān)鍵性問題,以及網(wǎng)絡(luò)相關(guān)的服務(wù).該設(shè)計主要包括需求分析、拓撲結(jié)構(gòu)設(shè)計、ＩＰ地址規(guī)劃方案設(shè)計、服務(wù)器架設(shè)和網(wǎng)絡(luò)安全設(shè)計等內(nèi)容。論文針對中小企業(yè)網(wǎng)絡(luò)拓撲進行設(shè)計和分析,通過CｉｓcoPａcｋetＴracer軟件進行網(wǎng)絡(luò)仿真配置和安全設(shè)計,給出了網(wǎng)絡(luò)規(guī)劃設(shè)計解決方案。關(guān)鍵之：CiscoPacketTrａceｒ；企業(yè)網(wǎng)絡(luò);互聯(lián)網(wǎng)第PAGEII頁共IV頁AbstｒａctＴheｄeveｌopmentｏｆIｎternettecｈnｏｌｏgｙisquitematurenow，tｏdａy,theＩnteｒｎethaｓｂecoｍｅtｈｅｗorｌd＇slargｅsｔｉｎfｏrｍatｉoncｅｎtｅｒfoｒtｈewoｒｌｄ,ｍoreａｎｄｍｏｒepｅoplｅuｓetheInｔeｒnettoｔhｅlibeｒａｔｉonoftｈeiｒliｖeｓ,ａndtｈeyuseｔｈｅＩnterｎettｏcompleteaｌmｏstalｌｏｆthｅthingsｉnｒeaｌｌiｆe．Tｈｉｓｄeｓｉgnisbasｅontheａｃｔuaｌdemａnｄoｆasｍａlｌ—miｄdleenterprise,tｈroｕghthｅdesｉgnofwoｒｋinｆｒastｒuctuｒe,thedesignofｓｅｃuｒity—baｓeｄｎeｔworkconｆiguratioｎsoｌｕtion，theｄｅsｉgｎoftｈeｉnfraｓtrｕctｕｒeofseverfarm,theｄesignofadvancｅserｖices,tｏdeeplyｉｎvestｉｇａｔeiｎｔothｅprｏblemｗemeｔ，ａnｄtheｓeｒvｉcerelatｅdｔotｈeｎetworkｄｅｓiｇｎ．Thisdeｓｉｇｎiｓmａｉnｌｙfｏcusｏｎtherequiremｅntanaｌｙsｉｓ,ｔｏpolｏｇyｅｘcogｉｔatiｏｎ,IPaｄdｒeｓsdesign，serverfaｒmanｄｎｅtwｏrkｓecｕriｔydｅsiｇｎ．ThｉsａrticlｅｉｓfｏｃusontｈeａnaｌysisoｆnｅtｗorkｔopoｌogｙdeｓｉgnaｎduｓeｔｈeCisｃｏPaｃkｅtｔrａceｒtobｕildａｓｉmulaｔedinfｒasｔrucｔｕｒeｔｏillustraｔｅwhaｔIhavｅdone.Keyｗoｒds：CiscoPacｋetＴraｃer；Interｎet;EnｔerpriseNetwork目錄ＴO(shè)Ｃ\ｏ”1－3”＼h＼z\uＨＹPERＬINK＼l"＿Tｏc295245200”第一章緒論?PＡGＥＲEF_Toc295245２00\h1ＨYPERＬINK2．１企業(yè)背景?ＰＡGEREＦ＿Toｃ２９5２４5２０2\h2ＨYPERLINＫ\l"＿Toc29５２4５２０3＂2.2應(yīng)用需求 PＡGEREＦ_Toc2９５2452０３＼h２HYPERLIＮK＼l＂_Tｏc２952４5204＂２。2。１帶寬性能需求?PAGERＥF_Ｔoc2９5２45204\h2HＹPＥRLＩＮK\ｌ"_Toc29５245205＂2。２．2穩(wěn)定可靠需求 PAGEREＦ＿Toc2９52４5２０５\ｈ2ＨYPERLＩNK\l”＿Tｏc295245２06”2．2．３服務(wù)質(zhì)量需求?PAＧEREF_Toc２95２452０6\h３ＨYPERLＩNＫ＼ｌ”_Tｏｃ2９５２４５207"2.2．４網(wǎng)絡(luò)安全需求?PＡGＥREF_Tｏc2９5245207\h３ＨＹＰＥRLＩNK＼l"_Toc２９５2４5208"2。2．5應(yīng)用服務(wù)需求?PAGＥREF_Ｔoc29５２45208＼h３HYPERＬＩNK\ｌ”_Toc2９５245２０9"2.３網(wǎng)絡(luò)安全系統(tǒng)設(shè)計原則?ＰＡGERＥF_Tｏc295２４５２０9＼h3HＹPERLIＮK＼l"_Ｔoｃ２９524５2１0＂第三章網(wǎng)絡(luò)技術(shù)與拓撲結(jié)構(gòu)?PAＧＥREＦ_Toｃ2９５2４52１０\h５ＨＹＰERLINＫ＼l＂_Tｏc２9５2４52１1＂3.1網(wǎng)絡(luò)設(shè)計原則?PAＧＥREF_Ｔoc2９５2４５２11\h５HYPERLINＫ\l＂_Ｔoc2９５2４52１２"3．２網(wǎng)絡(luò)技術(shù)選擇 PAGＥREF_Toc295245212＼h5ＨＹPＥRＬＩNK＼l”_Tｏc２９5２45213＂3.2。１快速以太網(wǎng)?PＡＧＥREF＿Toc2952４52１３\h５HYPERLINK\ｌ"_Toc2９5２45214”３.２．２VLＡN?PAGEＲＥF_Toc295２4５２14\h6HＹPEＲＬINK\ｌ"_Ｔoc２95２４521５＂3。２。3ＤHCP?PＡGEREF_Ｔoc2952４5215\ｈ7HYPERＬIＮK\l＂_Ｔoc2９5２45２16"3.2.4NAT PAＧERＥＦ_Tｏc２９5２4５21６\ｈ8HYＰEＲＬIＮK3.2.5ＡCＬ?PAＧEＲEF＿Toc2９５2４5２1７\ｈ９ＨYPERLIＮK\l”_Ｔoc２9524５2１8"3。3拓撲結(jié)構(gòu)圖設(shè)計?PAGERＥF_Toｃ2９52４５218\h1０HYPＥRLINK＼l"_Toc２95２４5219＂3.3.1網(wǎng)絡(luò)拓撲結(jié)構(gòu)的規(guī)劃設(shè)計原則?ＰAGERＥF＿Tｏc2９５2４5２１9\h10HYPERLＩNK\ｌ”＿Toｃ29５2452２0”3.3。2主干網(wǎng)絡(luò)(核心層）設(shè)計?ＰＡＧEＲEF_Tｏc295２452２０＼h1０ＨYPERLＩＮK＼l"_Ｔoc29524５221”3。３．３分布層/接入層設(shè)計?PＡGEREF＿Ｔｏc２９5２４5221\h11HYＰEＲＬＩNＫ\l"_Tｏｃ2９５２4５222"3。３．４遠程接入訪問的規(guī)劃設(shè)計?PAGEＲＥＦ＿Ｔｏｃ29５2４5222＼h11HYＰERLＩNK＼ｌ＂＿Ｔｏc２95２4522３”3.4拓撲結(jié)構(gòu)設(shè)計圖 PAGEREＦ＿Toｃ295２45223＼h１2HYPEＲLINK＼l”_Ｔoc295２4522４”第四章ＩP地址規(guī)劃網(wǎng)絡(luò)設(shè)備配置?ＰAＧＥＲＥF_Tｏｃ29５2４５２24\h１4HYＰERＬＩＮK\l”_Ｔoc29５２4５2２5”４。1網(wǎng)絡(luò)地址配置?ＰAＧEＲＥF_Toc2９5２45225\h14ＨYPEＲＬINK\l”_Toc2９52452２6＂４.2設(shè)備接口配置?PAGEREF_Toｃ２９５2４5２26\h16HYＰＥRLINＫ\l”_Ｔｏc29５２4５227＂4。3網(wǎng)絡(luò)設(shè)備的配置命令 PAGEＲEF_Tｏc29５2452２7\ｈ18HYPＥＲＬINK＼l＂＿Toｃ２95２4５22８"4。３．１核心交換機COＲＥ１主要配置命令?PＡＧERＥＦ_Toｃ２9５245２２8\ｈ18ＨYＰＥRLINＫ４。３。２路由器的配置?PＡGEREF_Tｏｃ295２４５2２9\h20HYPERLINK\l＂_Toｃ２９52４5230"4.３。3匯聚層交換機ＤSW１配置 ＰAＧERＥF_Tｏc２952４５２３0\h２１HYＰＥＲLINK＼l＂_Toc２9５2４5231"4.3.4接入層交換機MGR配置?ＰAGＥRＥF＿Tｏｃ２952４５２３1＼h22HYPERLＩNＫ＼l"_Ｔoc２952４５232"第五章測試各設(shè)備的連通性 PAＧＥREF_Ｔoc２952452３2＼h23ＨYPEＲＬINK\ｌ"＿Ｔoc2952４5233＂5.１VLAN間的連通性測試 ＰAGＥREF_Tｏc２95２452３3\ｈ23HYＰEＲLINＫ＼ｌ”_Toc2９52452３4”5．2設(shè)備的管理?ＰAＧEＲEＦ_Ｔｏc295２4５２34＼ｈ25ＨＹPERLＩNＫ＼l＂＿Toc2952４５２３5＂5．２。1對核心交換機,匯聚層交換機的tｅlｎet測試?ＰＡGEREＦ＿Tｏc29５245235＼h2５ＨYPEＲＬIＮＫ\l”_Ｔｏｃ２95２４5２36＂5。2.2路由器進行Ｔeｌnｅt測試?ＰAGEREF_Ｔoc2９5245２36＼h26ＨYＰＥRLINK\ｌ”＿Tｏｃ29524523７”５．2。3測試外網(wǎng)的連通性?PAＧEＲEF_Ｔoc2９５24５2３７\h28HＹPＥRLＩＮＫ＼l＂＿Toc29５245238"5.3驗證ＮＡT?２952４５23８\h29HYＰＥＲＬINK\l”_Toc２９５245239＂5．４驗證ＤＨCP服務(wù)?PAＧERＥＦ_Toc29５2４523９\ｈ3０HＹＰＥRLINK第六章服務(wù)器搭建?PAGEREF_Ｔｏc295２4５240\h３１ＨＹPＥＲLＩNK\l”_Toc295２４５２4１＂6.1DNＳ服務(wù)器配置?ＰＡGＥＲEF_Toc29５245241\h31HYPEＲＬINK\l”_Ｔoc295２4５242"６。2Email服務(wù)器配置 PＡGＥREＦ_Ｔoc2952４5２４２\ｈ３２HYＰERLIＮK＼l"＿Toｃ2952452４3＂6．３ＦTＰ服務(wù)器配置 ＰAGEＲＥF_Toc295２４５２43\h33HＹPＥＲLＩNK\l＂＿Tｏc29５2４524４"6.4ＴＦTP服務(wù)器配置?PAGＥREF_Tｏc29524５2４4＼h35ＨYＰERLIＮＫ\l”_Toc295245２4５＂6。５HTＴP服務(wù)器?PＡＧＥREF＿Toc２9５２452４5＼h３5ＨYPEＲＬＩNK＼ｌ"_Ｔoｃ29５245246”6.6Syｓloｇ服務(wù)器?PAGERＥＦ＿Toc2９５２４5２46\h36ＨYPEＲLＩNK\ｌ"_Toｃ2９524５２4７"第七章企業(yè)網(wǎng)絡(luò)安全設(shè)計?ＰAＧEＲEF_Tｏc29５245２47＼ｈ3７HＹPERLＩNK\ｌ＂＿Ｔoc２９524５２48＂7。1建立企業(yè)網(wǎng)絡(luò)安全?PAGERＥF_Toｃ295245２48＼h37HYPEＲLINＫ＼l＂_Ｔｏｃ29５24524９"7.１。1網(wǎng)絡(luò)設(shè)備 ＰＡＧEREF＿Toc295245２49\h37HYPEＲLINK7。1.２數(shù)據(jù)庫及應(yīng)用軟件?ＰAGＥRＥＦ＿Ｔｏc2952４5250\h3７ＨＹPＥＲＬINK\l”_Ｔoｃ29５２4５２51＂7。1。3E—mａil系統(tǒng)?PAGERＥF＿Ｔｏｃ295245251＼h３７HＹPＥＲLINK＼l＂_Ｔoc29５２45252”7。１.4Ｗeｂ站點 PAＧＥREF＿Toｃ295245252\h38HＹPERLＩNK\l”_Toc２9524５25３＂７。２建立安全體系結(jié)構(gòu) PAGERＥF_Toc295２45253\ｈ38ＨYPERLINK＼l”_Toc2952４５２5４＂7.２.1物理安全?PAGＥREF_Toｃ295245２5４\h38ＨYＰEＲＬIＮＫ\l"_Toc２９5２45２５5”７。2。２操作系統(tǒng)安全?PＡGEREＦ_Toc２952４５255\ｈ38HＹPERLINＫ＼l"_Toｃ295245２56＂7．３使用ＡＣL封堵常見病毒端口?PAGＥREF_Ｔoc2９524５２56\ｈ38HYＰＥＲＬINK\l＂＿Ｔoc29５245２57"7．4封堵p2p端口?PAＧＥREＦ＿Ｔoｃ29５２452５７＼ｈ３9HYＰEＲLINＫ\l"＿Toc２952４525８”總結(jié)?PAGEＲＥF_Ｔｏｃ29５24525８\ｈ41ＨＹPERLINＫ\l”＿Toc29５24525９＂致謝?ＰＡGEＲEF_Toｃ2952４５259＼h4２HYＰERＬＩNK\ｌ"_Ｔoｃ29５２4５2６0”參考文獻?PＡGEＲEF_Tｏc29５2４5２60＼ｈ43HYPEＲLINＫ\l＂＿Toｃ295２45261"附錄部分配置命令?ＰＡGＥREF＿Tｏc295245２6１＼h44第32頁共49頁第一章緒論網(wǎng)絡(luò)改變了人們的生活,地球變成了地球村，全世界的人可以隨時進行網(wǎng)絡(luò)交流。信息資源的共享，帶來社會生產(chǎn)力空前提高，互聯(lián)網(wǎng)與人們生活越來越密切，如網(wǎng)上證券期貨交易、遠程電子視頻會議、網(wǎng)上購物等應(yīng)用使得人們的生活已經(jīng)越來越離不開網(wǎng)絡(luò)，由此，信息高速公路的建設(shè)變得十分重要。企業(yè)規(guī)模的不斷壯大和業(yè)務(wù)量的不斷增加,原有的工作方式已不能滿足現(xiàn)代企業(yè)的需要，特別是對突發(fā)事件的處理能力與速度的需求?，F(xiàn)代企業(yè)如果沒有信息技術(shù)的支持，就不能稱之為現(xiàn)代企業(yè)。隨著網(wǎng)絡(luò)技術(shù)的不斷成熟、網(wǎng)絡(luò)產(chǎn)品價格的不斷下降,以及對數(shù)據(jù)傳輸和信息交換需求的不斷增加,現(xiàn)在各企業(yè)均正在或已搭建了企業(yè)內(nèi)部局域網(wǎng),因為，企業(yè)網(wǎng)絡(luò)的建設(shè)是企業(yè)向信息化發(fā)展的必然選擇。企業(yè)網(wǎng)絡(luò)為企業(yè)的現(xiàn)代化發(fā)展、綜合信息管理和辦公自動化等一系列應(yīng)用提供了基礎(chǔ)平臺。本設(shè)計結(jié)合中小企業(yè)實際需求，舉例分析、設(shè)計、配置、模擬組建了一個典型的中小企業(yè)網(wǎng)絡(luò)。CｉsｃoＰａcｋetＴracｅｒ是由Ｃisco公司發(fā)布的一個網(wǎng)絡(luò)仿真工具,使用該工具可以搭建網(wǎng)絡(luò)的模擬環(huán)境，對網(wǎng)絡(luò)進行設(shè)計、配置、故障排除等。用戶可以在工具的圖形用戶界面上直接使用拖曳方法建立網(wǎng)絡(luò)拓撲，并可提供數(shù)據(jù)包在網(wǎng)絡(luò)中行進的詳細處理過程,觀察網(wǎng)絡(luò)實時運行情況.可以學習IOＳ的配置、鍛煉故障排查能力等。目前最新的版本是PacketＴrａcｅr5．3。第二章需求分析本章結(jié)合企業(yè)背景，應(yīng)用需求，安全設(shè)計原則對網(wǎng)絡(luò)進行詳細的需求分析２．１企業(yè)背景該企業(yè)是一家生產(chǎn)研發(fā)型企業(yè),主樓是一座四層辦公大樓,辦公大樓后方是一棟較大的生產(chǎn)車間。整個辦公樓有信息點大概１０0個,企業(yè)中心機房設(shè)在辦公大樓三樓中間.2．2應(yīng)用需求２．2.1帶寬性能需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強大的性能,以滿足用戶日益增長的通信需求。隨著計算機技術(shù)的高速發(fā)展,基于網(wǎng)絡(luò)的各種應(yīng)用日益增多,今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個多業(yè)務(wù)承載平臺。不僅要繼續(xù)承載企業(yè)的辦公自動化,Ｗeｂ瀏覽等簡單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及企業(yè)生產(chǎn)運營的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù),以及帶寬和時延都要求很高的ＩP電話、視頻會議等多媒體業(yè)務(wù)。因此，數(shù)據(jù)流量將大大增加,尤其是對核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的要求。另外，隨著千兆位端口成本的持續(xù)下降，千兆位到桌面的應(yīng)用會在不久的將來成為企業(yè)網(wǎng)的主流。從2００4年全球交換機市場分析可以看到,增長最迅速的就是10Gｂps級別機箱式交換機,可見，萬兆位的大規(guī)模應(yīng)用已經(jīng)真正開始。所以，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)不能再用百兆位到桌面千兆位骨干來作為建網(wǎng)的標準,核心層及骨干層必須具有萬兆位級帶寬和處理性能，才能構(gòu)筑一個暢通無阻的＂高品質(zhì)"大型企業(yè)網(wǎng)，從而適應(yīng)網(wǎng)絡(luò)規(guī)模擴大，業(yè)務(wù)量日益增長的需要。2.2。2穩(wěn)定可靠需求現(xiàn)代大型企業(yè)的網(wǎng)絡(luò)應(yīng)具有更全面的可靠性設(shè)計，以實現(xiàn)網(wǎng)絡(luò)通信的實時暢通,保障企業(yè)生產(chǎn)運營的正常進行.隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計算機網(wǎng)絡(luò)上來，網(wǎng)絡(luò)通信的無中斷運行已經(jīng)成為保證企業(yè)正常生產(chǎn)運營的關(guān)鍵。現(xiàn)代大型企業(yè)網(wǎng)絡(luò)在可靠性設(shè)計方面主要應(yīng)從以下３個方面考慮。設(shè)備的可靠性設(shè)計：不僅要考察網(wǎng)絡(luò)設(shè)備是否實現(xiàn)了關(guān)鍵部件的冗余備份，還要從網(wǎng)絡(luò)設(shè)備整體設(shè)計架構(gòu)、處理引擎種類等多方面去考察。業(yè)務(wù)的可靠性設(shè)計:網(wǎng)絡(luò)設(shè)備在故障倒換過程中,是否對業(yè)務(wù)的正常運行有影響。鏈路的可靠性設(shè)計:以太網(wǎng)的鏈路安全來自于多路徑選擇,所以在企業(yè)網(wǎng)絡(luò)建設(shè)時，要考慮網(wǎng)絡(luò)設(shè)備是否能夠提供有效的鏈路自愈手段，以及快速重路由協(xié)議的支持。2．２.3服務(wù)質(zhì)量需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)需要提供完善的端到端QｏS保障，以滿足企業(yè)網(wǎng)多業(yè)務(wù)承載的需求。大型企業(yè)網(wǎng)絡(luò)承載的業(yè)務(wù)不斷增多,單純的提高帶寬并不能夠有效地保障數(shù)據(jù)交換的暢通無阻,所以今天的大型企業(yè)網(wǎng)絡(luò)建設(shè)必須要考慮到網(wǎng)絡(luò)應(yīng)能夠智能識別應(yīng)用事件的緊急和重要程度,如視頻、音頻、數(shù)據(jù)流（MIＳ、ＥRP、ＯA、備份數(shù)據(jù)）。同時能夠調(diào)度網(wǎng)絡(luò)中的資源，保證重要和緊急業(yè)務(wù)的帶寬、時延、優(yōu)先級和無阻塞的傳送，實現(xiàn)對業(yè)務(wù)的合理調(diào)度才是一個大型企業(yè)網(wǎng)絡(luò)提供"高品質(zhì)"服務(wù)的保障。2.２．4網(wǎng)絡(luò)安全需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案,以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施主要是通過部署防火墻、IDS、殺毒軟件，以及配合交換機或路由器的ACL來實現(xiàn)對病毒和黑客攻擊的防御,但實踐證明這些被動的防御措施并不能有效地解決企業(yè)網(wǎng)絡(luò)的安全問題。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運營的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入控制,病毒報文識別到主動抑制的一系列安全控制手段,這樣才能有效地保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運行。2．２.５應(yīng)用服務(wù)需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具備更智能的網(wǎng)絡(luò)管理解決方案,以適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴大，維護工作更加復雜的需要。當前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為”以應(yīng)用為中心”的信息基礎(chǔ)平臺,網(wǎng)絡(luò)管理能力的要求已經(jīng)上升到了業(yè)務(wù)層次,傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管理需求的發(fā)展。比如，網(wǎng)絡(luò)調(diào)試期間最消耗人力與物力的線纜故障定位工作,網(wǎng)絡(luò)運行期間對不同用戶靈活的服務(wù)策略部署、訪問權(quán)限控制、以及網(wǎng)絡(luò)日志審計和病毒控制能力等方面的管理工作，由于受網(wǎng)絡(luò)設(shè)備功能本身的限制,都還屬于費時、費力的任務(wù)。所以現(xiàn)代的大型企業(yè)網(wǎng)絡(luò)迫切需要網(wǎng)絡(luò)設(shè)備具備支撐”以應(yīng)用為中心"的智能網(wǎng)絡(luò)運營維護的能力，并能夠有一套智能化的管理軟件，將網(wǎng)絡(luò)管理人員從繁重的工作中解脫出來。２.3網(wǎng)絡(luò)安全系統(tǒng)設(shè)計原則雖然任何人都不可能設(shè)計出絕對安全和保密的網(wǎng)絡(luò)信息系統(tǒng)，但是,如果在設(shè)計之初就遵從一些合理的原則,那么相應(yīng)的網(wǎng)絡(luò)系統(tǒng)的安全和保密就會更加有保障。如果設(shè)計時考慮不全面，消極地將安全和保密措施寄托在事后“打補丁”的思路是非常危險的。從工程技術(shù)角度，應(yīng)遵循的原則如圖２。1所示。圖2．１網(wǎng)絡(luò)安全設(shè)計原則木桶原則:對信息均衡、全面地進行保護。整體性原則:進行安全防護、監(jiān)測和應(yīng)急恢復。實用性原則：不影響系統(tǒng)的正常運行和合法用戶的操作.等級性原則：區(qū)分安全層次和安全級別。動態(tài)化原則：安全需要不斷更新.設(shè)計為本原則：安全設(shè)計與網(wǎng)絡(luò)設(shè)計同步進行。第三章網(wǎng)絡(luò)技術(shù)與拓撲結(jié)構(gòu)本章結(jié)合企業(yè)的需求分析,對企業(yè)的網(wǎng)絡(luò)架構(gòu)進行搭建,并對該企業(yè)架構(gòu)所用到的技術(shù)進行分析,以及對拓撲結(jié)構(gòu)的設(shè)計進行分析.3。1網(wǎng)絡(luò)設(shè)計原則實用性和經(jīng)濟性:系統(tǒng)建設(shè)應(yīng)始終貫徹面向應(yīng)用,注重實效的方針,堅持實用、經(jīng)濟的原則，建設(shè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)。先進性和成熟性：系統(tǒng)設(shè)計既要采用先進的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對成熟。不但能反映當今的先進水平，而且具有發(fā)展?jié)摿?，能保證在未來若干年內(nèi)企業(yè)網(wǎng)絡(luò)仍占領(lǐng)先地位?？煽啃院头€(wěn)定性：在考慮技術(shù)先進性和開放性的同時,還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及維修能力等方面著手,確保系統(tǒng)運行的可靠性和穩(wěn)定性,達到最大的平均無故障時間。安全性和保密性:在系統(tǒng)設(shè)計中，既考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機制、數(shù)據(jù)存取的權(quán)限控制.可擴展性和易維護性:為了適應(yīng)系統(tǒng)變化的要求，必須充分考慮以最簡便的方法、最低的投資,實現(xiàn)系統(tǒng)的擴展和維護，采用可網(wǎng)管產(chǎn)品,降低了人力資源的費用，提高網(wǎng)絡(luò)的易用性。3．2網(wǎng)絡(luò)技術(shù)選擇網(wǎng)路技術(shù)的選擇對影響網(wǎng)絡(luò)性能，網(wǎng)絡(luò)的維護，網(wǎng)絡(luò)的安全指數(shù)有著重大的聯(lián)系,因此對網(wǎng)絡(luò)技術(shù)的選擇必須高度重視.3．2．1快速以太網(wǎng)以太網(wǎng)(Ｅthernｅt)是一種計算機局域網(wǎng)組網(wǎng)技術(shù)。IEEE制定的IＥEＥ８0２。3標準給出了以太網(wǎng)的技術(shù)標準.它規(guī)定了包括物理層的連線、電信號和介質(zhì)訪問層協(xié)議的內(nèi)容.以太網(wǎng)是當前應(yīng)用最普遍的局域網(wǎng)技術(shù).它很大程度上取代了其他局域網(wǎng)標準,如令牌環(huán)網(wǎng)(tokｅnｒing）、ＦDDI和ARCNＥT。以太網(wǎng)的標準拓撲結(jié)構(gòu)為總線型拓撲，但目前的快速以太網(wǎng)（1０0BＡSE—T、100０BASE－T標準）為了最大程度的減少沖突，最大程度的提高網(wǎng)絡(luò)速度和使用效率，使用交換機(Sｗiｔchhｕb）來進行網(wǎng)絡(luò)連接和組織，這樣，以太網(wǎng)的拓撲結(jié)構(gòu)就成了星型,但在邏輯上，以太網(wǎng)仍然使用總線型拓撲和CSMA/ＣＤ（CarrｉｅｒＳeｎｓｅＭultipｌeＡｃcesｓ/CｏllisｉonＤeｔect即帶沖突檢測的載波監(jiān)聽多路訪問）的總線爭用技術(shù)?？焖僖蕴W(wǎng)是世界上應(yīng)用最廣泛的組網(wǎng)技術(shù),其強大的靈活性，簡便性，傳輸介質(zhì)的多樣性，拓撲結(jié)構(gòu)的靈活性，符合中小企業(yè)的設(shè)計要求以太網(wǎng)基于網(wǎng)絡(luò)上無線電系統(tǒng)多個節(jié)點發(fā)送信息的想法實現(xiàn)，每個節(jié)點必須取得電纜或者信道的才能傳送信息，有時也叫做以太(Eｔhｅr）.（這個名字來源于19世紀的物理學家假設(shè)的電磁輻射媒體—光以太。后來的研究證明光以太不存在.)每一個節(jié)點有全球唯一的４８位地址也就是制造商分配給網(wǎng)卡的MＡＣ地址,以保證以太網(wǎng)上所有系統(tǒng)能互相鑒別。由于以太網(wǎng)十分普遍,許多制造商把以太網(wǎng)卡直接集成進計算機主板。3。2.2VLＡN為實現(xiàn)交換機以太網(wǎng)路的廣播隔離,一種理想的解決方案就是采用虛擬局域網(wǎng)技術(shù)。這種對連接到第2層交換機端口的網(wǎng)絡(luò)使用者的邏輯分段技術(shù)實現(xiàn)非常靈活，它可以不受使用者物理位置限制，根據(jù)使用者需求進行ＶＬＡN劃分；可在一個交換機上實現(xiàn)，也可跨交換機實現(xiàn)；可以根據(jù)網(wǎng)絡(luò)使用者的位置、作用、部門或根據(jù)使用的應(yīng)用程序、上層協(xié)議或者以太網(wǎng)路連接硬件地址來進行劃分.一個VLAN相當于OＳＩ模型第2層的廣播域,它能將廣播控制在一個VLＡN內(nèi)部。而不同VＬＡＮ之間或VLAN與ＬAＮ/WＡN的數(shù)據(jù)通訊必須通過第３層（網(wǎng)絡(luò)層）完成。否則,即便是同一交換機上的連接，假如它們不處于同一個VLＡN，正常情況下也無法進行數(shù)據(jù)通訊為了解決資訊安全議題，1９95年IEEＥ802委員會發(fā)表了802．1ＱVLＡN技術(shù)的實作標準與訊框結(jié)構(gòu)，希望能透過設(shè)定邏輯位址（TPID、TCＩ),對實體局域網(wǎng)區(qū)隔成獨立虛擬網(wǎng)段,以規(guī)范封包廣播時的最大范圍。如下圖，VLAＮ解決了物理位置的限制圖3．１ＶＬＡＮ示意圖VLＡN的標準有兩種，Ciscｏ公司的ＩＳL，以及IEEE8０2.1Q由于后者是國際化標準，而且其傳輸效率更高，所以更適合網(wǎng)絡(luò)需求。使用VLAN的好處有以下幾點：廣播風暴防范：限制網(wǎng)絡(luò)上的廣播，在一個VＬＡN中的廣播不會送到VLAN之外。同樣,相鄰的端口不會收到其他VLＡＮ產(chǎn)生的廣播。這樣可以減少廣播流量,釋放帶寬給用戶應(yīng)用，減少廣播的產(chǎn)生。安全：不同VＬAＮ內(nèi)的報文在傳輸時是相互隔離的，即一個VLAＮ內(nèi)的用戶不能和其它VＬAN內(nèi)的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設(shè)備.成本降低:成本高昂的網(wǎng)絡(luò)升級需求減少，現(xiàn)有帶寬和上行鏈路的利用率更高,因此可節(jié)約成本。性能提高：將第二層平面網(wǎng)絡(luò)劃分為多個邏輯工作組（廣播域)可以減少網(wǎng)絡(luò)上不必要的流量并提高性能.另外使用ＶLＡＮ還可以提高ＩT員工效率，簡化項目管理或應(yīng)用管理,增加了網(wǎng)絡(luò)連接的靈活性等優(yōu)點。3.２。３DHＣP某些的主機不需要靜態(tài)的IＰ，因為其并非永久的使用該地址，當主機離開網(wǎng)絡(luò)，就得釋放這個IP地址，以給其它工作站使用,動態(tài)分配顯然更加靈活。DHＣP是目前應(yīng)用最為廣泛的為網(wǎng)絡(luò)主機分配ＩP地址的方式之一.DHCＰ允許ＤHCP客戶端從DHCP服務(wù)器獲?。桑械刂罚泳W(wǎng)掩碼,默認網(wǎng)關(guān)ＩP地址，ＤＮS服務(wù)器IP地址以及其他IP地址類型信息.DHCP工作原理如圖圖３．2ＤHＣP的工作原理第一步：由于DHCP客戶端初始啟動時沒有IＰ地址,默認網(wǎng)關(guān)或這類配置信息，因而DＨCＰ客戶端初始啟動后通過發(fā)送目的地為２５5．255。2５5.２５5的廣播消息(DＨCPdiscoｖｅry）來試圖發(fā)現(xiàn)DＨＣＰ服務(wù)器。第二步：DHＣP服務(wù)器接收到ＤHCＰdisｃoｖｅｒy消息后，響應(yīng)以DHCPoffer消息。由于DHＣPdｉｓｃovｅrｙ消息是以廣播方式向外發(fā)送的，因而可能會有多個DHCP服務(wù)器響應(yīng)發(fā)現(xiàn)請求,不過客戶端通常會選擇其接收到的第一個DＨＣＰoffｅｒ消息的服務(wù)器作為ＤＨCP服務(wù)器。第三步：DHCP客戶端通過發(fā)送DHＣPrｅｑｕest消息與選定的服務(wù)器進行通信,讓DＨCP服務(wù)器提供IP配置參數(shù)。第四步：最后,DHCP服務(wù)器以DHCPACＫ消息響應(yīng)客戶端，DHCPＡＣＫ消息包含了響應(yīng)的IP配置參數(shù)。3。2。４ＮAT在計算機網(wǎng)絡(luò)中,網(wǎng)絡(luò)地址轉(zhuǎn)換（NetwoｒkAddressTｒanｓlaｔｉon或簡稱NAT，也叫做網(wǎng)絡(luò)掩蔽或者IＰ掩蔽)是一種在ＩP數(shù)據(jù)包通過路由器或防火墻時重寫源IＰ地址或/和目的IＰ地址的技術(shù).這種技術(shù)被普遍使用在有多臺主機但只通過一個公有IP地址訪問因特網(wǎng)的私有網(wǎng)絡(luò)中。目前人們普遍認為NAT完美的解決了IP地址不足的問題，的確,他真的是一樣很有用的工具，可以說沒有NＡT，我們的網(wǎng)絡(luò)不會得到如此迅速的發(fā)展.但NAT也讓主機之間的通信變得復雜，導致通信效率的降低。NAT優(yōu)點:節(jié)約合法注冊地址，減少地址重疊出現(xiàn)，增加鏈接Ｉｎｔｅrｎｅt的靈活性，網(wǎng)絡(luò)變更時避免地址的重新分配。NAＴ缺點:地址轉(zhuǎn)換產(chǎn)生交換延遲,無法進行端到端的IP跟蹤，某些應(yīng)用程序無法實現(xiàn)在ＮAT的網(wǎng)絡(luò)中運行。NＡT運行示例：在下圖中主機１0．１。1。1發(fā)送一個外出數(shù)據(jù)包到配置了ＮAＴ的邊界路由器,邊界路由器識別出此IP地址為內(nèi)部IP地址，目標是外部網(wǎng)絡(luò)，他要轉(zhuǎn)換內(nèi)部本地IP地址，并把轉(zhuǎn)換結(jié)果記錄到NAT表中，這個數(shù)據(jù)包使用轉(zhuǎn)換后的新的源地址被發(fā)送到外部接口，外部主機返回此包到目標主機,NAT路由使用ＮAT表轉(zhuǎn)換內(nèi)部全局IP地址為內(nèi)部IＰ地址,整個過程基本就是這樣。下圖是基本的ＮＡＴ工作原理示意圖圖３。3NAＴ工作原理示意圖3．2.５A(chǔ)ＣL內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求,但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源,從而達到對訪問進行控制的目的。簡而言之,ACL可以過濾網(wǎng)絡(luò)中的流量，控制訪問的一種網(wǎng)絡(luò)技術(shù)手段.ＡCＬ可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如,ＡＣL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級.ＡCL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網(wǎng)段的通信流量。ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。ACL允許主機A訪問人力資源網(wǎng)絡(luò)，而拒絕主機B訪問.AＣL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞.例如，用戶可以允許Ｅ-mａil通信流量被路由，拒絕所有的Tｅｌnet通信流量。例如：某部門要求只能使用WWW這個功能，就可以通過ＡCＬ實現(xiàn);又例如,為了某部門的保密性，不允許其訪問外網(wǎng),也不允許外網(wǎng)訪問它,就可以通過ACL實現(xiàn)。訪問控制列表的工作示意圖數(shù)據(jù)包進入接口數(shù)據(jù)包進入接口允許通過是否設(shè)置了ACL與ACL對比是否匹配有沒有更多的ACL?與下一條ACL對比丟棄圖３.4ACＬ工作示意圖3。3拓撲結(jié)構(gòu)圖設(shè)計網(wǎng)絡(luò)的拓撲結(jié)構(gòu)對整個網(wǎng)絡(luò)系統(tǒng)的運行效率，技術(shù)性能發(fā)揮,可靠性與費用等方面都有著中重要的影響。確立為網(wǎng)絡(luò)的拓撲結(jié)構(gòu)是整個網(wǎng)絡(luò)系統(tǒng)方案的規(guī)劃設(shè)計的基礎(chǔ).拓撲結(jié)構(gòu)的選擇和地理環(huán)境的分布，傳輸介質(zhì)，介質(zhì)訪問控制方法,甚至網(wǎng)絡(luò)設(shè)備選型等因素緊密相關(guān).3.3.1網(wǎng)絡(luò)拓撲結(jié)構(gòu)的規(guī)劃設(shè)計原則構(gòu)成局域網(wǎng)的拓撲結(jié)構(gòu)有很多種，最常見到的有總線拓撲、星型拓撲、環(huán)型拓撲及各種混合性拓撲等。采用不同的網(wǎng)絡(luò)控制策略（即網(wǎng)絡(luò)數(shù)據(jù)的傳輸與通信的有關(guān)協(xié)議和控制方法)，所有使用的網(wǎng)絡(luò)連接設(shè)備也不一樣。因此，無論在網(wǎng)絡(luò)的規(guī)劃或設(shè)計時都必須首先決定將采用那一種網(wǎng)絡(luò)拓撲結(jié)構(gòu)，選擇合適的網(wǎng)絡(luò)拓撲結(jié)構(gòu)非常重要的。也就是說，選擇網(wǎng)絡(luò)拓撲結(jié)構(gòu)是網(wǎng)絡(luò)規(guī)劃設(shè)計的第一步.中小企業(yè)在選擇網(wǎng)絡(luò)拓撲結(jié)構(gòu)的時候，應(yīng)從經(jīng)濟性、靈活性和擴展性好、可靠性、易于管理和維護幾個方面著重入手.在現(xiàn)在企業(yè)中經(jīng)濟效益都是首要考慮的，在建設(shè)網(wǎng)絡(luò)投資的同時就考慮到經(jīng)濟效益的回報。拓撲結(jié)構(gòu)的選擇直接決定了網(wǎng)絡(luò)安裝和維護的費用。因為,拓撲結(jié)構(gòu)的選擇與傳輸介質(zhì)的選擇、傳輸距離的長短及所需網(wǎng)絡(luò)的連接設(shè)備密切相關(guān)。靈活性和擴展性也是選擇網(wǎng)絡(luò)拓撲結(jié)構(gòu)時應(yīng)充分重視的問題。任何一個網(wǎng)絡(luò)都不能一勞永逸的，隨著用戶的增加,應(yīng)用的深入和擴大，網(wǎng)絡(luò)新技術(shù)的不斷涌現(xiàn),特別是應(yīng)用方式和要求的改變，網(wǎng)絡(luò)經(jīng)常需要加以調(diào)整。然而，網(wǎng)絡(luò)的可調(diào)性與靈活性，以及可擴展性與建立網(wǎng)絡(luò)時拓撲結(jié)構(gòu)直接相關(guān)。網(wǎng)絡(luò)的可靠性是任何一個網(wǎng)絡(luò)的生命。當網(wǎng)絡(luò)總的某個節(jié)點或站點發(fā)生問題的時候時,網(wǎng)絡(luò)不能正常工作。網(wǎng)絡(luò)拓撲結(jié)構(gòu)的選擇還直接決定網(wǎng)絡(luò)故障檢測和故障隔離的方便性。總之,中小企業(yè)網(wǎng)拓撲結(jié)構(gòu)的選擇，需要考慮的因素很多,這些因素同時影響網(wǎng)絡(luò)的運行速度和網(wǎng)絡(luò)軟硬件接口的復雜程度等等。3。3．2主干網(wǎng)絡(luò)（核心層)設(shè)計主干網(wǎng)絡(luò)技術(shù)的選擇,需根據(jù)需求分析中地理距離、信息流量個數(shù)據(jù)負載的輕重而定.一般而言,主干網(wǎng)一般用來連接建筑群和服務(wù)器群,可能會容納網(wǎng)絡(luò)上的4０%-６0％的信息流，是網(wǎng)絡(luò)的大動脈。連接建筑群的主干網(wǎng)一般以光纖作為傳輸介質(zhì),典型的主干網(wǎng)技術(shù)主要有千兆以太網(wǎng)、ATM和FＤDＩ等。根據(jù)中小企業(yè)的需求和中小企業(yè)網(wǎng)絡(luò)拓撲結(jié)構(gòu)的規(guī)劃設(shè)計原則等角度來考慮，采用千兆以太網(wǎng)是中小企業(yè)比較理想的做法。ＦDDI基本已屬于昨天的技術(shù)，支持它的廠商越來越少。AＴＭ是面向連接的網(wǎng)絡(luò)，能保證一些突出負載在網(wǎng)上傳輸，但由于ATM在企業(yè)局域網(wǎng)的所有應(yīng)用需要ＥLAN仿真來實現(xiàn),不僅技術(shù)難度大,且?guī)捫实?已證明不適合做企業(yè)網(wǎng)絡(luò),但如果單建網(wǎng)單位對實時傳輸要求極高,也可以考慮選用。根據(jù)中小企業(yè)的建網(wǎng)規(guī)模，對經(jīng)費比較緊張的企業(yè),可以采用100BASE—FX,即用光傳輸介質(zhì)上快速以太網(wǎng)。端口價格低,對光纜要求不高。是一種非常經(jīng)濟的選擇。主干網(wǎng)的焦點是核心交換機（或路由器).如果考慮提供較高的可用性，而且經(jīng)費允許，主干網(wǎng)可采用雙星（樹）結(jié)構(gòu)，即采用兩臺同樣的交換機，與接入層／分布層交換機分別連接。雙星結(jié)構(gòu)解決了單點故障失效問題，不僅抗毀性強,而且通過采用較新的鏈路聚合技術(shù)，例如快速以太網(wǎng)的FＥC、千兆以太網(wǎng)的ＧＥＣ等技術(shù)，則可以通過允許每條冗余連接鏈路實現(xiàn)負載分擔。千兆以太網(wǎng)一般采用光纜作為傳世介質(zhì)。多種波長的單模和多模光纖分別用于不同的場合和距離。由于企業(yè)建筑群布線路徑復雜的特殊性，一般直線距離超過300M的建筑群之間的千兆以太網(wǎng)線路就必須要用單模光纖。單模光纖本身不貴,昂貴的是光端口及組件。在企業(yè)中,經(jīng)常會根據(jù)需要對骨干網(wǎng)及核心交換機改善設(shè)計或?qū)εf網(wǎng)經(jīng)行升級改造的技術(shù)，如:ＦEC/GEＣ（快速以太網(wǎng)/千兆以太網(wǎng)鏈路聚合技術(shù)）、ＣGMＰ（分組管理協(xié)議）、ＧＢIＣ(千兆位集成電路)、HSRP（熱等待路由協(xié)議）。3.3。３分布層／接入層設(shè)計中小企業(yè)網(wǎng)絡(luò)中分布層的存在與否，取決于外圍網(wǎng)采用的擴充互聯(lián)方法。當建筑物內(nèi)信息點較多（如，22０個）超出一臺交換機所容納的端口密度，而不得不增加交換機擴充端口密度時，如果采用級聯(lián)方式,即將一組固定端口交換機上聯(lián)到一臺背板寬帶和性能較好的二級交換機上，再由二級交換機上聯(lián)到主干；如果采用多個并行交換機堆疊方式擴充端口密度，其中一臺交換機上聯(lián)，則網(wǎng)絡(luò)中就有接入層,沒有分布層。要不要分布層，采用級連還是堆疊，要看網(wǎng)絡(luò)信息流的特點，堆疊體內(nèi)能夠有充足的寬帶保證,適合本地（樓宇內(nèi)）信息流密集、全局信息負載相對較輕的情況；級連適宜于全網(wǎng)信息流較平均的場合，且分布層交換機大都具有組播和初級QｏＳ(服務(wù)質(zhì)量）管理能力,適合處理一些突發(fā)的重負載（如VOD視頻點播),但增加分布層的同時也會使成本提高.分布層/接入層一般采用100BASＥ-Ｔ(X)快速(交換式）以太網(wǎng),采用10／10０Mbｉｔ/ｓ自動適宜傳輸速率到桌面計算機。傳輸介質(zhì)則基本上是雙絞線。接入層交換機可選擇的產(chǎn)品很多，但是一定要注意接入層交換機必須支持１~2個光端口模塊，必須支持堆疊,如果主干網(wǎng)為千兆以太網(wǎng),接入層交換機還必須支持ＧBＥ模塊。３．３。４遠程接入訪問的規(guī)劃設(shè)計在企業(yè)中,由于布線系統(tǒng)費用與實現(xiàn)上的限制，對于零散的遠程用戶接入，利用PSTM市話網(wǎng)絡(luò)進行遠程撥號訪問幾乎是唯一的經(jīng)濟、簡便的選擇。遠程撥號訪問需要規(guī)劃遠程訪問服務(wù)器和Modｅｍ設(shè)備，并申請一組中繼線（企業(yè)內(nèi)部有PABＸ電話交換機則最好）。由于整個網(wǎng)絡(luò)中惟一的窄寬設(shè)備,這一部分在未來的網(wǎng)絡(luò)中可能會逐步減少使用。遠程訪問服務(wù)器（ＲAＳ)和Moｄem組的端口數(shù)目一一對應(yīng),一般按一個端口支持20個用戶計算來配置。3。4拓撲結(jié)構(gòu)設(shè)計圖在網(wǎng)絡(luò)拓撲結(jié)構(gòu)的方案設(shè)定后,進一步具體化的時候就需要考慮網(wǎng)絡(luò)結(jié)點的規(guī)模設(shè)計,理論上采用排對論等數(shù)學工具進行設(shè)計，但是實際中往往采用類比法。中小企業(yè)網(wǎng)絡(luò)拓撲規(guī)劃設(shè)計中根據(jù)主干網(wǎng)拓撲結(jié)構(gòu),確定分組交換結(jié)點位置、設(shè)備、結(jié)點間傳輸介質(zhì)，包括網(wǎng)絡(luò)協(xié)議，確定結(jié)點間實現(xiàn)的協(xié)議、結(jié)點數(shù)目、數(shù)據(jù)流量和傳輸速率.在設(shè)計中要充分考慮到網(wǎng)絡(luò)管理的需要，在結(jié)點中加載符合國際標準的網(wǎng)管模塊，以實現(xiàn)對全網(wǎng)的監(jiān)視和動態(tài)檢測.本設(shè)計由模擬器所實現(xiàn)，由于模擬器能實現(xiàn)的設(shè)備只有少數(shù),但其都具有較好的代表性,這里交換機統(tǒng)一選擇2960－24ＴT,三層交換機先用３650—24PS，出口路由選擇2811，IＳP路由選擇1841．這里,設(shè)備型號并不是本設(shè)計所關(guān)心的.本設(shè)計使用３層拓撲結(jié)構(gòu)設(shè)計,其中包括接入層，匯聚層，核心層。核心層與匯聚層拓撲結(jié)構(gòu)如下圖3。5核心層與匯聚層拓撲結(jié)構(gòu)示意圖如上圖所示，核心交換機之間使用了兩條鏈路的連接，比采用ｔunnｅl技術(shù)，其目的是為了應(yīng)付核心與核心之間的高速通信,匯聚層的交換機與核心層的兩個交換機都有鏈路連接,目的是為了保障企業(yè)網(wǎng)絡(luò)具有更高的可靠性。每個核心交換機與出口路由器連接,并可以對IＳP進行訪問。雙核心交換機的設(shè)計使得企業(yè)網(wǎng)絡(luò)的可靠性更高,容錯性更強。匯聚層與接入層之間的連接如下圖所示圖３.6匯聚層與接入層的拓撲結(jié)構(gòu)示意圖為了實現(xiàn)高可靠性，高容錯性，每臺二層交換機都以兩條鏈路與匯聚層的三層交換機連接，這樣做的目的是即使其中一條鏈路,或其中一個交換機出現(xiàn)故障了，也不會影響用戶的正常通信。第四章ＩP地址規(guī)劃網(wǎng)絡(luò)設(shè)備配置IＰv４正在面臨地址枯竭的危機,這個問題是無法避免的,我們需要交流，而現(xiàn)有的系統(tǒng)已經(jīng)難以為繼，就像馬車快遞比不上航空快件一樣，人們已經(jīng)在保留IP地址方面付出了很多時間和努力,但一個明顯的事實是連接到網(wǎng)絡(luò)中的人員和設(shè)備數(shù)量每天都在增加，IＰv4地址大約有4３億個，理論上說，我們并沒有用完這些地址,實際上只有2億5千萬個地址可以分配給設(shè)備使用，當然NAT，CIDR的使用很大程度上緩解了地址枯竭的問題,但我們終有一天會把這些地址耗盡,這種情況可能就在幾年之后,中國人才剛剛開始上網(wǎng),據(jù)計算，我國只有10%的人連接到Interｎet。而按照這個數(shù)據(jù)統(tǒng)計，我們不可能每個人都擁有一臺計算機.但事實上,我們不僅只有一臺筆記本電腦，而且還有手機，臺式機,打印機等?，F(xiàn)今的企業(yè)一般只能分配到一個公用的IP地址,通過使用NＡＴ地址轉(zhuǎn)換,將內(nèi)部地址轉(zhuǎn)換為公有地址，比對外網(wǎng)進行訪問。4．１網(wǎng)絡(luò)地址配置企業(yè)公網(wǎng)地址為６6。６６．66.66/２９內(nèi)部局域網(wǎng)地址為192．１68.0。０/20VLＡN規(guī)劃如下表表4。１VLAN詳細劃分及地址分配部門VLＡN地址范圍(/２4)默認網(wǎng)關(guān)ＩT技術(shù)與管理1１９2。１6８.１。0１９2．168．1.1工作組1２１92．168．２．019２．１6８.2.1工作組23１９2．１68．3。01９２．１6８。3．1工作組3419２．1６8.4.０192．168．4．1工作組4５１92。168.5．0１92。168.５。1工作組561９2．1６８.6。０1９２．1６８.6。１工作組671９２.１6８.7.0192.168.７.1工作組７８19２.１6８.８。0192.１68。8.1工作組8９1９２。1６8.９．0192.１6８．9。1客戶10192。168.１0。0192。１６8.10。１服務(wù)器是網(wǎng)絡(luò)中不可少的一個部分。服務(wù)器的合理的搭建是影響網(wǎng)絡(luò)性能的關(guān)鍵,下面給出網(wǎng)絡(luò)內(nèi)服務(wù)器的地址信息。表4。2服務(wù)器IP地址規(guī)劃服務(wù)器名稱IP地址VLAN網(wǎng)關(guān)備注DＮS１92。１６8．8。108192.1６8．8。1域名解析ＥＭＡＩL192.16８．8.２０８1９２.１68．8。１郵件TＦTＰ1９2．１68.8．3081９2．16８。8．１簡單文件HＴTＰ192.16８。８.４0８1９２。１６８。８．１WWWFＴP19２。１68。8。5０819２.16８。８．1文件傳輸AAA1９2。168.8．6０８1９2.16８。8。1AAＡ認證通過使用對每個設(shè)備分配一個ＳVＩ的VＬAＮ1地址，目的是用于設(shè)備的遠程管理。SVI配置如下表表４．3各網(wǎng)絡(luò)設(shè)備的管理地址設(shè)備名稱管理地址(ＶLAＮ1地址）所含VLANＭＧR1９２．168。1.1１1，２AＳＷ1192。168。1．121,3ASＷ２192.１６8.1．１3１。4ＡSW3１９2．168.1.141．5ASW4192.１６8．1。1５１,6ＡSＷ5192.1６8．１．161,7ＤＳＷ１19２．16８.1。101-7DSW2192．168。1.２0１－7ＤSW3192．１６8．1。301,９－１0DSW４192。1６8.１.40１，9-10DＳW５1９2．１68.１。50１，8ＤSW６192。1６8。1.601，8ＣORE119２.168.１。１ALLCORE２１92。1６８.１.2ALLG２ASW11９2.168.1。3１１，9G2ASＷ２192．１６8.1．32１，９G２AＳW３192．168．１。3３1,10G2AＳW41９2.168.1。３４1，1０為方便統(tǒng)一管理網(wǎng)絡(luò)設(shè)備的ｅnaｂle密碼都設(shè)置為ｅｎablｅｓecrｅtjｅasｋｙ,相比eｎaｂleｐassword命令，secret以加密方式保存,而passｗord則以明文保存,前者安全性較高。由于網(wǎng)絡(luò)設(shè)備地理位置差異，對設(shè)備進行遠程管理是網(wǎng)絡(luò)設(shè)計不可少的一個部分,為了方便管理，所有網(wǎng)絡(luò)設(shè)備teｌnet密碼都設(shè)為jeasｋy.４。2設(shè)備接口配置核心交換機與路由器的接口配置為路由接口,并配置了ＩＰ地址，與路由器相連，具體配置信息如下表.表４．4核心交換機和路由器端口ＩＰ配置接口名稱IＰ／mａｓk備注CORＥ1ｆ0/２４１7２。１６．1.2/２4連接路由器ｆ0／0CＯＲE２Ｆ0／２４1７2．16。1。3/２４連接路由器f0/1路由器f0/０172．16．1.１／２４連接CORE１f0／2４路由器f０／1172．16.１.4/24連接COＲE2ｆ0／24路由器s０/0/0６6．66．66．66／２9連接ＩＳP核心交換機的各個端口的端口號,用途,以及接口類型如下表表４。5核心交換機端口用途與類型端口號用途接口類型FａstEthｅrｎet０／1連接DＳW1ＴｒuｎkFａstEtherｎet０/２連接DＳＷ2TrunkFastEtｈｅrnet0/3連接DSW3TｒuｎｋＦastＥtherｎet0／4連接ＤSW4TrｕｎkFastＥｔherｎet0/5連接DSW５ＴｒunｋＦａstEtｈerｎet0/6連接ＤSW6TrｕnkFaｓtEｔheｒnet0／24連接路由器ＲｏｕｔeｄPortＧiｇaｂitEthｅrneｔ0／１與COＲＥ２組成etherｃhａnｎelEtherChａnneｌＧigaｂitEtｈernｅt0／２與CＯＲE２組成eｔherｃhannelEｔherCｈanｎｅｌ匯聚層交換機的各個設(shè)備名稱，以及該設(shè)備的端口號,端口用途，端口類型的相機信息如下表4．6匯聚層交換機端口用途與類型設(shè)備名稱端口號用途類型DSW1FasｔEｔheｒneｔ０/1連接CＯＥR１TｒｕnkＤSＷ1FａsｔＥtheｒneｔ0/2連接ＣOＥR２TｒｕｎkDSW１FastＥtｈｅrnｅｔ0/3連接ASＷ1TrｕnｋＤＳW１FaｓtEｔｈｅｒneｔ0/4連接ＡＳW2TｒunｋＤＳＷ１ＦastEｔheｒｎeｔ０/5連接ASＷ３TrunｋDSW１FastEｔhernｅｔ０／6連接ASW4TrunｋDSW1ＦaｓｔEthｅｒｎet0/7連接ASW5TrｕnkＤSW1FasｔEｔｈerneｔ0／8連接AＳW6TｒunkDSW2FasｔEｔｈerｎｅt0／1連接COＥR1TruｎkＤSＷ2FaｓtEtｈｅrnet０/2連接CＯEＲ２TruｎkＤＳW２FaｓtＥtｈernｅt0/3連接ASW1TｒunｋＤＳW2ＦaｓtＥｔherneｔ0/４連接ＡＳＷ2TｒｕnｋDSW2FａｓtEtherneｔ０/5連接AＳW3TｒuｎｋDＳW2FａstEｔhernｅt０／６連接AＳW4TruｎkＤＳW2FａsｔEｔheｒneｔ0／7連接ASW5TｒｕnｋDＳＷ2ＦasｔEｔｈeｒnet０/８連接ＡSＷ６TrｕｎkDSW3FastEtｈernet0/1連接ＣＯEＲ１TruｎkDSW3ＦastEｔｈerｎｅt０/2連接CＯER2TruｎkDSW3FasｔＥtheｒｎｅｔ０/3連接G２ASＷ1TrunkDSＷ3FａstＥtherneｔ０/4連接Ｇ2AＳW2ＴrｕnｋＤSW3FastＥtｈernet０/5連接G2ASW３ＴｒuｎkDＳＷ3FaｓtＥtｈernet0／６連接G2ＡSW4TrｕnkDＳW4ＦastEｔherｎet0/1連接COＥR1TrｕnkＤSW４FａｓtEｔｈernet0/２連接ＣＯＥR2ＴrunｋDSW４FａｓｔEthｅrnet0/3連接G2AＳW1TｒuｎkＤSW４FastＥｔhernet0/4連接G2ＡＳW２ＴｒunｋDＳW４ＦastＥｔｈernet0/5連接G2AＳW３TｒunkDSW4FastEtｈｅrｎｅｔ０／６連接G２ＡＳW４TrｕｎｋＤSW5ＦａｓtEthernｅt0/1連接COEＲ1TruｎｋDSＷ５ＦａstＥtｈerneｔ０／2連接COEＲ２TｒｕnkDSＷ5FasｔEtherｎet0/3連接DＮＳAcceｓｓDSW５ＦastEtｈerneｔ０／4連接ＥMＡIＬAccｅssDSW５FaｓtＥtｈｅrｎet0/5連接ＴFTPＡｃcｅｓsDSW６FａstEtheｒｎｅｔ0／1連接COEＲ１ＴrｕnkＤSW６FasｔEtherｎeｔ０／２連接COEＲ2ＴrunkDＳW6FaｓｔＥtherneｔ０/３連接ＨTTPＡｃcｅssDＳW6FastEｔherneｔ０／４連接FＴPＡcｃｅssＤSW６FastEthｅｒnet０/５連接ＡAＡＡccess接入層交換機的設(shè)備名稱，以及該設(shè)備的端口號，端口的所屬ＶLＡN，其用途與類型如下表.表4。7接入層交換機端口號用途與類型設(shè)備名稱端口號ＶLAＮ用途類型ＭGRＦ0／１—F０/10１主機接入AcceｓｓＭＧＲＦ0／１1－２０2主機接入AccessMGRF0/21—連接DSＷ1TruｎkＭGRF0/２２—連接DＳW2ＴrｕnkASW1F0/１－F0/20３主機接入AcｃeｓｓASW1F０/21—連接DSW１TrｕnkASＷ1F0／22—連接DＳW２TrunkAＳW2F0/１-Ｆ0／２0４主機接入AｃｃeｓｓASＷ2F0／２1—連接DSＷ１TruｎkＡSW２Ｆ0／２２—連接DＳＷ2TrunkＡSＷ３Ｆ0／1—F0／2０5主機接入AｃcessASW3F０／2１—連接ＤＳW1TrunkASＷ3F０/２2—連接DＳＷ２ＴrｕnkAＳW４F０/1-F0／206主機接入AccｅssAＳW4F0/２1—連接DSＷ1TrunkＡSＷ４F0／22-連接DSW2TrｕnkＡSＷ5F０/1—F０／２０７主機接入ＡｃcesｓＡSW５Ｆ0/21—連接DＳW1TｒuｎｋAＳW5Ｆ０/22-連接DSＷ2TｒuｎkＧ2ASW１Ｆ０/1—Ｆ０／2０９主機接入AcｃｅssG2ＡSＷ１F０/21—連接ＤＳW3TrｕnｋＧ２ASW１Ｆ0/2２—連接ＤSW3TｒuｎkG２ＡSW2F０/１-F0/２0９主機接入ＡccessG２ASＷ２F0/２1—連接ＤSＷ３TrunkG２ＡＳW2Ｆ０/２2—連接ＤSＷ3TruｎｋＧ2ＡＳＷ3F0/1—F０/２0１0主機或AP接入AcｃｅsｓＧ２ASW3F0/21—連接ＤSＷ3TｒuｎｋＧ2AＳW3F0/２２—連接DSW3TrｕｎｋG2ASW4Ｆ0/1—F０／2010主機或AP接入AccessG2ＡＳW４Ｆ０/２1-連接ＤＳW3TrｕnkＧ2ＡSＷ4F0/2２-連接DＳW３Ｔrｕnk4.3網(wǎng)絡(luò)設(shè)備的配置命令各網(wǎng)絡(luò)詳細配置見附錄,核心交換機CORE1，路由器Ｒoｕter,匯聚交換機DＳＷ1與接入層交換機MGR的配置如下4．３．1核心交換機CORE1主要配置命令核心交換機的主機名為ＣOＲE1，并設(shè)置了設(shè)置enablesｅｃret密碼為jeasｋy,密碼經(jīng)過加密處理。該設(shè)備為ＶＬＡN10客戶提供DHＣＰ服務(wù),并保留地址192．1６８．1。１作為VLAＮ１０的默認網(wǎng)關(guān)，所以該地址不在DHCＰ分配范圍內(nèi)。該設(shè)備創(chuàng)建一個了ＤＨＣP池，名稱為ｔeｓt,并應(yīng)用到網(wǎng)段為１9２．1６８.1０。0／2４網(wǎng)絡(luò)，即VLAN10,指定默認網(wǎng)關(guān)為１9２.168。10．１（ＣORＥ1的VｌAＮ1０地址),DNＳ服務(wù)器為192。１６8.8．1０(VＬAN8地址）。為保證所有通信都由此核心交換機完成,該配置這個交換機為所有有VＬＡN的Root,命令spanninｇ—trｅｅvｌａn1—10rooｔpｒｉｍａry確保ＣＯＥＲ1是所有VLAN的Roｏｔ。將端口Fa0/１到Fa0/6設(shè)置ｔｒunk端口并使用８０２。1Ｑ封裝其他接口保留默認模式即dｙｎaｍｉｃauｔo當接口另一端為dynａmｉcdeｓｉｒabｌe,或為Ｔｒunk時該接口為自動談判為trunk模式,當接口另一端為accesｓ或ｄyｎamｉｃauto時該接口自動談判為acｃesｓ。將FａsｔEtherｎet0／２4接口定義為三層路由接口，用于連接路由器。將GｉgabｉｔＥthernｅｔ0/１–GiｇａbｉtＥthｅｒnｅt0/2端口添加到Etherchaｎnｅｌ1組，并使用ＬACP（LiｎｋＡggregatｉonCoｎtｒolProtoｃｏl，鏈路匯聚控制協(xié)議）acｔiｖe主動模式，該模式下端口會主動向?qū)Ψ蕉丝诎l(fā)送LＡＣPDU報文設(shè)置靜態(tài)路由,將所有主機對外訪問轉(zhuǎn)發(fā)至路由器定義訪問列表，只允許IP地址屬于VLAN1主機的通過該訪問列表把系統(tǒng)日志發(fā)送到Syslｏg服務(wù)器(19２.１68．8。50)。定義該設(shè)備只允許符合aｃcess—list1０對其進行ｔｅlnet遠程管理，并設(shè)置telｎｅt密碼為ｊeａsky其部分配置命令如下。hostnamｅCＯRE1ipdhcpexclｕｄｅｄ—ａddress１92。１68．10．１iｐｄhcppoｏｌｔｅstnｅｔｗoｒｋ192．168。10。025５。255。２５5。0ｄｅｆauｌt-rｏuｔeｒ１92．16８。1０.1dｎｓ-sｅrvｅr19２.１６8．８。１0spａnniｎｇ—treevｌan１－10prioｒitｙ２45７６iｎteｒfaceｒangeFasｔEｔherｎｅt0／１–ＦastＥtheｒnet0/6swｉtｃhporttｒunｋencapｓｕｌatｉondot1qswitｃｈpｏrｔmoｄetrｕｎｋiｎterfaceFａstEtherｎeｔ０／２4nｏswiｔchportiｐaddｒesｓ1７2。16.１．2２55．2５5.255。0ｉｎterfacｅｒanｇeGｉｇabitＥthernet０/1–ＧiｇａbitEtheｒnｅｔ０／２ｃhａnｎel—protocollａｃpchannｅｌ－grｏｕp１moｄeactｉveｓｗitchｐorｔｔｒｕnkencａｐsuｌationdot１qｓwｉtcｈportｍodetrunkｓｗitcｈpｏrttｒｕnｋeｎcapsulaｔｉondoｔ1qswitcｈｐｏｒtmoｄetｒuｎｋinterfａcePorｔ—cｈaｎneｌ1swｉｔchporｔｔｒunｋｅncａpsｕlatｉondot1qsｗｉｔｃhportmodeｔｒunkiproｕte0.０。0。00。０．0。017２。16.１。1access—ｌisｔ10pｅrmit1９2.１68.1.０0。０.0．25５ｌogｇiｎｇ192．１６8．８．50liｎｅvty015aｃcesｓ-clａss10iｎｐａｓｓｗｏｒdjｅａskyｌｏgin4.３。２路由器的配置路由器全局開啟AAＡ服務(wù)，設(shè)置默認登錄組,并使用ＲADＩUＳ：(RemoteAuｔhentｉcaｔｉonＤｉａｌＩnＵserService),遠程用戶撥號認證系統(tǒng)端口FａsｔEthｅrneｔ0/０配置了ＩＰ地址,并設(shè)置為ＮＡT轉(zhuǎn)換地址的內(nèi)部端口，內(nèi)部端口連接的網(wǎng)絡(luò)用戶使用的是內(nèi)部IP地址端口Seｒial０/０/0配置的IＰ地址是企業(yè)向ISP申請的Pｕblｉc地址，并將該接口配置為ＮAT外部端口，外部端口連接的是外部的網(wǎng)絡(luò)，如Intｅrnet。路由器配置了一個NAT池，名稱是tｅst低地址６6．66。66.６6高地址也為66。６６．6６。6６子網(wǎng)掩碼為/２9，NAT內(nèi)部訪問列表為列表１0并映射到地址池test，并使用地址復用。路由器配置了兩條靜態(tài)路由,一條是通往內(nèi)部網(wǎng)絡(luò)的,所有到1９２。１６8．0.０的數(shù)據(jù)包都轉(zhuǎn)發(fā)到172。1６.1.2,另一條是所有未知的數(shù)據(jù)包都由路由s0/0/0端口發(fā)出定義AＣL只允許192.168。１.0/24網(wǎng)段的用戶RADＩUS服務(wù)器的IP為1９２．16８．8.60并使用默認的認證端口164５密碼是rad1２3把系統(tǒng)日志發(fā)送到該ＩP的主機,該地址是Ｓyslog服務(wù)器地址設(shè)置ｔeｌｎｅｔ的訪問控制，控制只有192.１68。1．０網(wǎng)段的用戶能對其進行遠程登錄路由器的部分配置命令如下：hｏｓtｎaｍeRｏuteraaanew-modelaａaauthｅntｉcatiｏnlogiｎdeｆaｕltgrouprａdｉuｓloｃaｌiｎterｆaceＦaｓtＥthｅrneｔ０／０ｉｐaddreｓｓ1７２。16．1。1２５5．２５５.2５5.0ｉpnaｔinsｉdedupleｘautosｐｅedauｔointeｒfaceFａstＥthernet0/1nｏipａddrｅｓｓｄuｐｌexａｕtｏｓpeeｄａｕtoshｕtdｏwｎintｅrfaceＳｅｒiａl0/０/０ｉpaddress6６.6６．66.６6255.2５５.255.２48ipnａｔoｕtｓideipnａt(yī)poolteｓt66．66。６6.6666.6６。66。66ｎetmaｓk２55。255.255.２48ipnatｉnｓideｓｏurcelist1０ｐooltｅsｔｏverlｏadiｐclassleｓsiｐrｏuｔe19２。16８。0。025５.255．０．０172．１6．1．2iprｏutｅ０.０。0.０0。0。0.0Ｓeｒial０/0/０aｃcess-ｌisｔ１０pｅrｍit192。168。1。００。0．0。2５５rａdiｕs—ｓervｅrhost19２．１６８．８。6０aｕｔｈ－pｏrｔ１645kｅｙraｄ123ｌｏggiｎg192．168．8.50linecon0loginliｎeｖty04aｃｃｅss—cｌasｓ10inlｏｇiｎlogiｎauｔhｅntｉｃationdefaultｌinevｔy５15ａcｃｅｓｓ－clａsｓ10ｉｎｌoｇｉnloｇinａuｔhenｔicaｔiｏndefault!4.3。3匯聚層交換機DSＷ１配置hｏstnaｍｅDSW1interｆaceＦasｔEｔherｎeｔ0/1intｅｒｆaｃerangeFastEtｈerｎｅｔ0/2–FaｓtEtｈｅｒnet０／8swｉｔchｐorｔtrunkeｎｃａpsｕｌａt(yī)iｏnｄot1qsｗｉｔcｈpoｒtｍｏdeｔrｕnkiｎｔｅrfａceＶｌａｎ1ｉpaddreｓs１９2．1６8.1.10255.２55．２55。０intｅrfａceVlan2noiｐaｄdressinteｒfaｃｅVlan3noipａddressｉnｔerｆａceVlａn4noｉｐadｄrｅｓsinｔeｒｆaｃeVｌａｎ5noipａddreｓｓinｔeｒfaceVlａｎ６ｎoipaddrｅssｉｎｔeｒｆaceVｌaｎ7ｎoipaddressｉｐclａｓｓleｓｓiｐroute１72．１6.1。0255．２５5.255.0192．168.１．1acceｓｓ-list1０ｐｅrmit19２。16８。１。00。０。0。２5５loggiｎg19２.1６８。８.50ｌiｎecｏｎ0linevtｙ0４acceｓs-cｌaｓs10inpaｓsｗｏrdjeaｓkylｏｇinliｎｅｖty5１5access-ｃｌａss10inpaｓｓwｏｒdjｅaskylogｉn４。3。4接入層交換機ＭＧＲ配置端口FastEｔhｅrnet0／1–ＦastEthernet0／２0配置為ａccｅss模式,用于主機接入，并配置了Pｏrtfast，這個命令要求該端口接的是hosｔ的才能起使用,如果端口接的是接交換機的就一定不能啟用，否則會造成環(huán)路（lｏｏp）。Pｏrtfast能使２層端口接入主機時立即進入forwarding狀態(tài)，而不需要進入正常的ｂlｏｃkｉｎg，listeninｇ，ｌｅarning,forwardｉnｇ，過程,而直接可以從bｌockｉnｇ到達forwａｒdｉng狀態(tài)下面是接入層交換機的部分配置ｈostnamｅMＧRｉｎｔｅｒfaceranｇeFastＥthernet0/1–ＦasｔEｔｈerｎｅt0/２０ｓwitｃhpｏｒtmｏdeacｃeｓsｓpannｉng－ｔreｅporｔfaｓtｉnｔerfacｅVｌａn1ipaddress1９2．1６8.１．1１255．25５。２55.0intｅｒfaｃｅＶlan２ｎoｉpａdｄｒｅssiｐdｅfaｕlt－gaｔｅwaｙ１９２．１68．１.1accｅss-ｌｉｓt１０ｐermｉｔ１0。0.0．255logｇing1９2。168。8.5０ｌineｃoｎ0liｎevty04access—cｌaｓs１0ｉnｐassｗordｊｅａｓｋylｏｇiｎｌinｅｖty５15aｃｃesｓ—clａsｓ10iｎpaｓsｗｏｒdjeaｓkyｌogiｎEnd第五章測試各設(shè)備的連通性對網(wǎng)絡(luò)架構(gòu)搭建完成后，并不能馬上投入使用，此時應(yīng)該做的是測試各個點的連同性,所提供的服務(wù)是否和計劃的一樣，和驗證配置信息是否有誤。下面對網(wǎng)絡(luò)的連通性進行測試。5。1ＶLAＮ間的連通性測試選擇網(wǎng)絡(luò)中的兩臺ＰC，并將ＰC的IP地址，掩碼,網(wǎng)關(guān)，DＮＳ服務(wù)器信息配置好，用其中一臺PＣ對另一臺ＰC進行Ｐｉnｇ命令.下面先在PC1輸入ipcｏnfiｇ命令查看PＣ1的IP配置信息,然后用ＰC1piｎgPC2與PC9。其結(jié)果如下。圖5.１測試PＣ間的連通性用PCｐingDＮS,HＴＴP服務(wù)器，測試其連通性。如下圖所示，IP地址為１９2．168．1。100的PＣ可ｐiｎｇ通兩個服務(wù)器，主機和服務(wù)器可以進行通信.圖5。2測試ＰＣ與服務(wù)器連通性核心交換機的主要目的在于通過高速轉(zhuǎn)發(fā)通信，提供優(yōu)化,可靠的骨干傳輸結(jié)構(gòu),因此核心層交換機應(yīng)擁有更高的可靠性,性能和吞吐量。路由器提供局域網(wǎng)的出口服務(wù)，路由器連接到Iｎternｅt，局域網(wǎng)用戶訪問Inｔｅｒｎｅt都通過路由器出去，接入層交換機接面向用戶連接或訪問網(wǎng)絡(luò),接入層的目的是允許終端用戶連接到網(wǎng)絡(luò)，因此接入層交換機具有低成本和高端口密度特性.下面通過對核心層交換機，路由器,以及接入層交換機進行PINＧ測試，其測試方式是用ｐiｎｇ命令對各設(shè)備的ＶLAN1地址進行pｉng測試，以檢測各設(shè)備的連通性。其測試結(jié)果如下圖圖５.3測試設(shè)備的連通性上述給出部分的測試結(jié)果，另外檢測了各個設(shè)備具都具有端對端的的連通性。５.２設(shè)備的管理下面對每個設(shè)備進行Ｔelｎeｔ測試，驗證是否與計劃中的匹配。５.２。1對核心交換機,匯聚層交換機的telnｅt測試由于該網(wǎng)絡(luò)只允VLAN１的ＰC對各個設(shè)備進行管理，而拒絕其他VLＡＮ的PC對設(shè)備進行Ｔｅlnｅt，下面測試用ＰＣ１對對核心交換機(１９2.1６8.1。１)，匯聚層交換機（192.1６8。１.10)進行Tｅlnet,由結(jié)果看出，Tｅlnｅt都成功（ＯPEＮ）。圖5．4Telnet輸出結(jié)果另外還要使用非VLAN1的主機對各設(shè)備進行Tｅlnet,下圖為VLAN２中的PＣ對路由器進行Telneｔ，其輸出結(jié)果如下，可以看到Ｔｅlnｅt均被拒絕了。這是由于其Ｔelnｅt接口(lｉnｅvty015）都配置了訪問控制，只允許ＶLＡＮ1的主機對其進行Telnet.圖5。5Telnet被拒絕由于受到accesｓ-ｌiｓt的限制,只有VLAN1的主機可以多所有網(wǎng)絡(luò)設(shè)備進行telnｅt管理。5．2．2路由器進行Telnet測試由于路由器指定了AAA服務(wù)器,Telnｅt必須先通過AAA服務(wù)器的認證,所以其安全性更強，管理也更加方便。在ＡＡA服務(wù)器配置了如下一條項目。ＣliｅntNamｅ：rｏｕtｅrClienIP:172．16.1．1SeｒverTｙｐe：RAＤＩＵSＫey：rad1２3Ｕserｎａｍe:ｊeａskyＰasｓwoｒd：jeasｋy圖5。６AAＡ服務(wù)器配置下面驗證路由器的AAA認證，使用ＰC（１92.１68。１.１00）對路由器進行Teｌneｔ,輸出結(jié)果如下.圖5.7Telnet輸出結(jié)果由上圖得知ＰC成功對路由器Telneｔ,并使用了登錄用戶名和密碼,該用戶名和密碼記錄在ＡAA服務(wù)器上，必須與AAＡ服務(wù)器進行認證才成功能授權(quán)PC對路由器的管理。下面測試PC2（1９２．1６８.2．10)對路由器進行Telnｅt，按照配置命令,Telneｔ應(yīng)該會被路由器上配置的AＣL拒絕.原因是PC的IP地址不屬于ＶＬＡＮ１，而只有處于VＬＡN１地址內(nèi)的PＣ對設(shè)備有管理權(quán)限。其測試結(jié)果如下:圖5.８Teｌｎet被拒絕可以看到測試結(jié)果，Telneｔ不成功，由于使用了ＡAA認證，即使有人成功得到用戶名或密碼,但由于其IP不屬于ＶLAN1即使有用戶名密碼，也不能入侵路由器,進一步加強了其網(wǎng)絡(luò)的安全性。５．２。３測試外網(wǎng)的連通性用任意一臺主機ｐｉｎｇ外網(wǎng)，如下圖圖5。９Ｐｉng輸出結(jié)果如上圖piｎｇ不成功，但返回結(jié)果卻不同，簡單來說Deｓtinatｉoｎhoｓｔｕnrｅaｃｈaｂｌe即是去不到，而Ｒeｑuｅsttimｅｄｏｕｔ則是回不來,兩種結(jié)果對網(wǎng)絡(luò)的Trｏublｅｓｈｏoｔinｇ起很大作用，在第一次pinｇ不通后，我在路由器加入了一條命令ｉｐｒｏｕｔe０。0．０.0０.０.０。0sｅ０/0／０指定了路由器所有位置數(shù)據(jù)包的出口即出口路由，然后進行第二次ｐinｇ測試,但仍然不能pinｇ通,原因是網(wǎng)絡(luò)上根本不存在２11.２11.２11.２12這個節(jié)點,但卻可以根據(jù)返回結(jié)果不同,可以決定包是在去的途徑丟失，還是回來的途徑丟失，很大程度上降低了網(wǎng)絡(luò)排錯的困難。一般企業(yè)網(wǎng)絡(luò)都有上千個節(jié)點,有時候根本不可能發(fā)現(xiàn)錯誤出現(xiàn)在那個節(jié)點，因此piｎg,tｒａｃer等命令可以則可以在排錯上減少很多不必要的困難.5．3驗證NAT要驗證NAT工作情況,首先要在路由器上輸入dｅbｕgipｎat命令，該命令可以檢測實時NAＴ地址轉(zhuǎn)換的情況，并輸出其結(jié)果。下面首先用使用任意一臺主機，在主機上輸入ping６6.６6.66.6５命令,該地址為ISP的IＰ地址，以檢測其連通性,其輸出結(jié)果如下。圖５.10ＰiｎgISP輸出結(jié)果由上圖可以看出Ｐinｇ成功，接下來檢測檢查路由器是否進行了NAT地址轉(zhuǎn)換。圖５．11路由器的deｂｕg輸出由上面輸出結(jié)果可以得出,ＮAＴ正在進行地址轉(zhuǎn)換，由于啟用了地址復用,所以所有源地址為1９2.１68。０．0/16網(wǎng)段的包,向外訪問時都轉(zhuǎn)換成源地址為66。６6.６６.66的包。這也是使用NＡT地址轉(zhuǎn)換的好處.５．4驗證ＤHＣP服務(wù)將主機連接接入層交換機G2AＳＷ3，并且不需要給主機配置ＩP地址，讓主機發(fā)送ＤＨＣP請求，并獲取ＩP地址。其輸出獲取信息如下圖圖５．１２獲取DＨCＰ服務(wù)如上圖，主機成功獲取ＩＰ地址及相關(guān)信息，然后檢測器連通性,對任意幾臺ＰC進行piｎg測試,其輸出結(jié)果如下。圖5。13測試設(shè)備連通性經(jīng)過多個階段的測試，各設(shè)備的連通性基本沒有發(fā)現(xiàn)問題,整個檢測過程完成。第六章服務(wù)器搭建本次模擬實驗共搭建了６臺服務(wù)器，分別是DＮS，EMＡＩL，F(xiàn)ＴＰ，TFTP，ＨTTP,ＡAＡ。首先配置好個服務(wù)器的IＰ信息.并測試其連通性，當沒有發(fā)現(xiàn)連通性問題后則可以對服務(wù)器進行配置。6．１DNS服務(wù)器配置ＤNS服務(wù)器對企業(yè)環(huán)境有著重要的影響,其負責域名與ＩP地址之間的轉(zhuǎn)換.DNS的配置信息如下圖6。1DNS的配置信息配置一個ARecord命名為jeasｋy.cｏｍ，其指向的是Eｍaiｌ服務(wù)器的IＰ地址(19２．１68.8．2０）。然后配置POＰ與SMＴＰ（SｉmpleMailTｒansｆeｒPrｏtｏcol）服務(wù)器的別名CNAME，指向ｊeaｓｋｙ.com。接下來配置一個類型為ARｅｃｏｒd的記錄,并命名為ｗww．ｊeａｓky.cｏｍ指向HTTP服務(wù)器，IP地址為１9２.１６8。８。40。6．2Ｅmaｉｌ服務(wù)器配置郵件的收發(fā)對每個企業(yè)都是不可少的一部分，搭建郵件服務(wù)器對企業(yè)的正常運轉(zhuǎn)也有著重大的聯(lián)系，下面進行郵件服務(wù)器的搭建。首先在郵件服務(wù)器上記錄用戶信息，其用戶信息如下表6．１Ｅmaｉl上的用戶記錄UｓerｎameＰasswordPc1pｃ1Pｃ2pc2Pc３pｃ３Ｅmaｉl服務(wù)器的域名配置為ｊeasｋ.com其中創(chuàng)建了幾個用戶，用于測試服務(wù)器是否正常工作。下面對ＰC1與PＣ２進行配置，ＰＣ２的配置信息與PC1基本相同，其配置信息如下圖６．2ＰＣ郵件服務(wù)配置信息下面測試從PC1發(fā)郵件到ＰC２,然后從ＰＣ2上檢測郵件的收發(fā)圖6。3發(fā)送郵件點擊sｅnd按鈕后在PC2上檢測是否能收到由PC1發(fā)出的郵件.下面是PＣ2上的收件箱視圖圖6.4PC2收件箱如上輸出所示ＰC2成功接收。這也意味著DＮS上郵件服務(wù)器的配置沒有出錯。６。3FTP服務(wù)器配置首先在ＦTＰ服務(wù)器上配置如下用戶,配置圖如下圖6.５ＦＴP服務(wù)器配置在FTP上有一個默認用戶，其用戶名和密碼都為cisｃo,然后自行配置了一個用戶名為usｅｒ