中小型企業(yè)網(wǎng)絡設計與實現(xiàn)

第1章緒論1.1項目的背景21世紀來臨，人們正邁著快速的步伐進入信息時代。信息時代正逐漸改變著我們生活中的一點一滴，它不僅僅正在改變著人們的生活方式、思維方式、學習方式，娛樂方式等。同時在很大程度上改變著人們的工作方式。在后工業(yè)社會中，企業(yè)之間的競爭不再是產(chǎn)品和質量的競爭，而是信息和服務的競爭。企業(yè)要想要在這種競爭中取勝，必須對企業(yè)進行信息化建設并且投入現(xiàn)代化應用，組建自己的企業(yè)網(wǎng)絡是企業(yè)信息化的基礎。企業(yè)網(wǎng)為企業(yè)搭建了一個平臺，為工作整體運營的數(shù)字化和信息化奠定了基礎，而企業(yè)想要在激烈的商戰(zhàn)中取勝，就必須充分利用這個平臺，并在此基礎上開發(fā)和實現(xiàn)更多的網(wǎng)絡服務和應用從而增強自己的競爭力。為了滿足湖南某機械制造公司在通訊需求和網(wǎng)絡運行方面需求的增長，如今的企業(yè)網(wǎng)絡建設相比較傳統(tǒng)企業(yè)網(wǎng)絡建設提出了更高的要求。首先，現(xiàn)代企業(yè)網(wǎng)絡需要高帶寬和高性能，以滿足企業(yè)員工之前的通信需求和企業(yè)訪問量。其次，現(xiàn)代企業(yè)網(wǎng)絡需要擁有更高的可靠性和穩(wěn)定性，用以保障企業(yè)網(wǎng)絡不會經(jīng)常癱瘓和商業(yè)機密泄露而導致的經(jīng)濟損失。再次、現(xiàn)代企業(yè)網(wǎng)絡需要提供完善的端到端Qos保障，以滿足企業(yè)員工同時訪問網(wǎng)絡的需求。對于湖南某機械制造公司的發(fā)展而言，該企業(yè)的網(wǎng)絡基礎設施隨著企業(yè)規(guī)模的發(fā)展而變化。由于隨著企業(yè)規(guī)模的不斷擴大，業(yè)務需求量上的增加以及信息化的發(fā)展，企業(yè)需要一個可靠的、可管理的、安全的、穩(wěn)定的網(wǎng)絡運行環(huán)境以滿足企業(yè)的發(fā)展需求。如果該企業(yè)網(wǎng)一旦出現(xiàn)問題和故障，會帶來意想不到的經(jīng)濟損失，為了避免這種情況的發(fā)生，湖南機械制造集團的規(guī)劃和優(yōu)化顯得特別地重要，另外一方面，一個好的網(wǎng)絡規(guī)劃方案能夠保證網(wǎng)絡正常、可靠、高效、安全、穩(wěn)定地運行。這樣在企業(yè)發(fā)展的后期中不僅減少了的資金投入。1.2本文組織結構第一章，緒論部分，介紹了本文主要的研究內容，闡述了設計一個企業(yè)網(wǎng)所需達到的要求。第二章，企業(yè)網(wǎng)絡需求分析，介紹了該公司各部門結構以及做出相應的需求分析。第三章，企業(yè)網(wǎng)絡方案設計，具體地介紹了各網(wǎng)絡層次的設計，以及設備選型并完成了網(wǎng)絡拓撲設計。第四章，企業(yè)網(wǎng)絡方案實現(xiàn)，詳細描述了各種網(wǎng)絡配置。第五章，企業(yè)網(wǎng)絡方案測試，對設計的網(wǎng)絡拓撲進行仿真并測試。論文的最后部分是“致謝”和“參考文獻”。第二章企業(yè)網(wǎng)絡需求分析需求分析是設計和建設任何一個工程的第一個環(huán)節(jié)，是設計一個網(wǎng)絡的重要著力點，同時也是關系到一個網(wǎng)絡工程成功與否的最重要的因素。如果網(wǎng)絡系統(tǒng)工程應用體系結構一開始就架的好，那么在網(wǎng)絡工程實施方便就會相對容易并且易于企業(yè)的發(fā)展而增加的網(wǎng)絡需求。反之，如果網(wǎng)絡設計方并一開始并沒有對用戶方的部門結構和需求進行充分的調研，那么隨意需求將會破壞工程項目的計劃和質量，同時也會影響到項目的資金投入。2.1收集用戶需求收集用戶需求階段主要完成湖南某機械制造公司結構的調查，了解用戶現(xiàn)在的網(wǎng)絡需求以及日后企業(yè)發(fā)展所需的網(wǎng)絡規(guī)模。該企業(yè)網(wǎng)的組建需求包含商業(yè)需求、應用需求和網(wǎng)絡需求。商業(yè)需求是指湖南某機械制造公司為了提高工作效率和競爭力的體現(xiàn)。商業(yè)需求及其影響會影響整個需求分析和網(wǎng)絡設計的全過程。經(jīng)過調研，該企業(yè)的商業(yè)需求的內容通常包括以下內容：企業(yè)的組織和結構企業(yè)的規(guī)模網(wǎng)絡應提供的應用服務網(wǎng)絡所需求的安全程度2.2企業(yè)部門結構根據(jù)調研，湖南某機械制造公司覆蓋網(wǎng)絡的區(qū)域有行政樓1棟、物流中心1棟、生產(chǎn)車間2棟、廠房倉庫2棟、員工宿舍2棟，設計信息點數(shù)為1900個。因為行政樓、生產(chǎn)車間、員工宿舍等區(qū)域信息點較大，為了方便以后擴展，以行政樓300個信息點、生產(chǎn)車間500個信息點、員工宿舍600個信息點，另外物流中心、研究所各200個信息點，倉庫廠房100個信息點。如表2.1所示表2-1湖南某機械制造公司部門結構表行政樓業(yè)務處銷售部門300市場開發(fā)部門售后服務部門管理處人事部門行政部門采購部門財務部門物流中心運輸管理部門200信息管理部門裝卸管理部門研究樓工程處新產(chǎn)品開發(fā)部門200產(chǎn)品設計部門產(chǎn)品工藝部門資料管理部門生產(chǎn)車間生產(chǎn)處生產(chǎn)計劃部門500設備制造部門設備管理部門工程安裝部門質檢處質量管理部門過程控制部門宿舍樓男生宿舍600女生宿舍廠房倉庫1002.3網(wǎng)絡服務需求（1）WEB服務：企業(yè)利用它來宣傳各種機械產(chǎn)品，并成為客戶和企業(yè)的溝通渠道。它也是目前宣傳和推銷企業(yè)的最廉價方式，比電視、廣播、報刊、戶外廣告的成本廉價得多。（2）FTP服務：FTP服務是利用FTP為內核來為用戶服務的功能集合。FTP服務可以為企業(yè)網(wǎng)絡使用者提供高效的文件傳輸與共享。（3）E-mail服務：是用戶或用戶組之間利用計算機網(wǎng)絡交換電子媒體信件的服務，用戶可用網(wǎng)絡進行通訊，可以傳輸少量信息和文件，是企業(yè)內最常用的方法.（4）DHCP服務：由于該企業(yè)有2000左右的用戶，而當今中國的IP地址奇缺，企業(yè)從ISP那里不可能得到足夠的IP地址。因此要解決企業(yè)內部聯(lián)網(wǎng)計算機和網(wǎng)絡設備的上網(wǎng)需求，就必須架設一個DHCP服務器來為企業(yè)網(wǎng)絡中的聯(lián)網(wǎng)設備分配需要的IP地址。（5）DNS服務：它可以用一串有意義的字符標識計算機，當我們在源計算機中輸入目標計算機的域名后，域名系統(tǒng)就自動地把它轉換為IP地址，然后就通知源計算機和目標計算機相連，這樣就為訪問Internet或Intranet提供了方便。（6）文件和打印服務：文件服務是中小企業(yè)網(wǎng)絡中最基本也是最重要的服務之一。把常用和主要文件存放于文件服務器可以提高文件的使用效率，節(jié)省單獨分開存儲而浪費的存儲空間。在企業(yè)網(wǎng)中實現(xiàn)打印共享，為指定用戶或者客戶提供打印服務，節(jié)省辦公資源。2.4業(yè)務需求分析：按職能劃分，可將該公司分為四個功能，分別為：企業(yè)管理功能、技術研發(fā)功能、市場調研功能、生產(chǎn)保障功能。市場調研功能主要負責公司業(yè)務的推廣，產(chǎn)品的銷售和提供相應的售后服務。該機械制造公司為了提高在銷售方面的競爭力和良好的售后服務，特將該處分為銷售部門、市場開發(fā)部門、售后服務部門。因為該處需要定期與新老客戶進行電話回訪，因此需要大量的信息點來掌握市場方面實時動向。企業(yè)管理功能企業(yè)管理功能主要負責公司的一些日常事務的管理。人事部門、行政部門、采購部門、財務部門等部門需要各部門提交信息，以方便公司的工資發(fā)放，人事調動等，因此需要網(wǎng)管分配一定的權限來進行公司內部的信息交流。技術研發(fā)功能工程處所處研究樓，分為新產(chǎn)品開發(fā)部門、產(chǎn)品設計部門、產(chǎn)品工藝部門、資料管理部門。由于該處是機械制造公司的核心競爭里所在，應該要求管理員拒絕該部門訪問外部網(wǎng)絡，以免人員疏忽造成公司的經(jīng)濟損失。生產(chǎn)保障功能生產(chǎn)處分為生產(chǎn)計劃部門、設備制造部門、設備管理部門、工程安裝部門。該處掌握了工程處所研發(fā)產(chǎn)品的核心技術，為了防止技術信息的外泄，應該與工程處一樣要求管理員拒絕訪問外部網(wǎng)絡。由于有大量機械制造同時進行生產(chǎn)，需要密切關注機械設備的運行狀況，避免重大事故的發(fā)生，在網(wǎng)絡需求方面應該大量滿足。第三章企業(yè)網(wǎng)絡方案設計3.1企業(yè)網(wǎng)絡拓撲設計方法網(wǎng)絡的基本拓撲結構有星狀、環(huán)狀、總線型和網(wǎng)狀，但任何一種拓撲結構都存在不同程度上的優(yōu)點和缺點。目前在實際應用中使用最多的是由多個星狀結構組合成的樹狀或層次型拓撲結構。復雜的網(wǎng)絡拓撲結構通常采用分層的設計方法，通過分層設計可以將復雜的網(wǎng)絡結構拆分為相對容易管理的三層網(wǎng)絡。如圖3-1所示，三層網(wǎng)絡架構采用層次化設計模型，即將復雜的網(wǎng)絡設計分成幾個層次，每個層次著重于某些特定的功能。三層網(wǎng)絡架構設計的網(wǎng)絡有三個層次：核心層、匯聚層、接入層[1]。圖3-1三層網(wǎng)絡架構3.2分層次設計3.2.1核心層的設計核心層是整個機械制造公司的骨干，承擔網(wǎng)絡中大部分路由計算以及服務器的連接。由于它必須一直提供100%的正常運行，所以在設計時必須考慮到鏈路冗余來保證核心層的穩(wěn)定性和高速性。在本設計中兩臺三層交換機與匯聚層的五個交換機形成網(wǎng)絡環(huán)路，由此提高網(wǎng)絡容錯能力、確保網(wǎng)絡時刻的暢通性。其中，兩臺核心交換機用兩條2萬兆光纖連接，并采用EtherChannel技術捆綁和虛擬路由冗余協(xié)議實現(xiàn)核心層的冗余備份。3.2.2匯聚層的設計匯聚層是三層設計的中間部分，其目的是減輕核心層設備的計算壓力，優(yōu)化了核心層與邊界網(wǎng)絡設備的信息交流。匯聚層的任務主要是提供與流量控制、安全及路由相關的策略[2]。在匯聚層上通過劃分VLAN以達到網(wǎng)絡隔離的目的和減少網(wǎng)絡風暴產(chǎn)生的可能性。在本設計中，匯聚層由五臺具有三層交換功能的交換機組成，分別代表五棟不同的建筑，匯聚層交換機3.2.3接入層的設計接入層直接為用戶提供端口接入網(wǎng)絡，為了防止該層經(jīng)常發(fā)生故障，需要著重對接入層進行設計和維護。因此，為了公司內部網(wǎng)絡的穩(wěn)定，應該考慮到接入層的安全防護技術。其中，最重要的就是防止網(wǎng)絡環(huán)路的影響，所以應該設置生成樹協(xié)議來防止網(wǎng)絡廣播風暴的產(chǎn)生。除此之外，還應該部署ARP欺詐、DHCPSnooping。從成本問題出發(fā)，接入層一般采用低成本和大量端口的二層交換機來連接到匯聚層。3.3網(wǎng)絡設備選型3.3.1交換機的選型允許\t"/item/%E6%8E%A5%E5%85%A5%E5%B1%82%E4%BA%A4%E6%8D%A2%E6%9C%BA/_blank"終端用戶通過接入層連接到網(wǎng)絡，由于該公司用戶較多，因此選用的接入層交換機具有低成本和高端口密度特性。接入交換機是最常見的交換機，它直接與外網(wǎng)聯(lián)系，使用最廣泛，尤其是在一般辦公室、小型機房和業(yè)務受理較為集中的業(yè)務部門、多媒體制作中心、網(wǎng)站管理中心等部門[3]。在此次設計中選擇的是WS-C2960S-48TS-L企業(yè)級交換機，具有48個以太網(wǎng)10M/100M/1000M自適應能力的端口[4]。這種類型的交換機都能實現(xiàn)訪問控制列表和組播功能，并且還帶有優(yōu)化帶寬和網(wǎng)絡控制控能。圖3-5WS-C2960-48TC-L系列交換機匯聚層交換機是多臺接入層交換機的\t"/item/%E6%8E%A5%E5%85%A5%E5%B1%82%E4%BA%A4%E6%8D%A2%E6%9C%BA/_blank"匯聚點，它必須能夠處理來自接入層設備的所有通信量，并提供到核心層的上行鏈路，因此匯聚層交換機與接入層交換機比較，需要更高的性能，更少的接口和更高的交換速率[5]。因為湖南某機械制造公司的網(wǎng)絡規(guī)模在2000臺PC左右，所以選擇的是CiscoCatalyst3560系列交換機，它能工作在快速以太網(wǎng)和千兆位以太網(wǎng)配置下，能夠保證該企業(yè)高效的工作效率。并且它支持的應用有\(zhòng)t"/item/Cisco%20Catalyst%203560/_blank"IP電話、無線接入、視頻監(jiān)視、建筑物管理系統(tǒng)和遠程視頻售貨亭等，使用者可在整個網(wǎng)絡范圍中部署智能服務－如高級服務質量(QOS)、限速、訪問控制列表(ACL)、組播管理和高性能IP路由，且同時保持LAN交換的簡潔性[6]。圖3-6Cisco3560系列交換機而將網(wǎng)絡主干部分稱為核心層，核心層的主要目的在于通過高速轉發(fā)通信，提供優(yōu)化，可靠的骨干傳輸結構，因此核心層交換機應擁有更高的可靠性，性能和吞吐量[7]。思科6509是企業(yè)級核心交換機，機箱帶有9個插槽，它可以加兩個電源，可按需求配置不同功能類型的模塊（如防火墻模塊、入侵檢測模塊、VPN模塊、SSL加速模塊、網(wǎng)絡流量分析模塊、光口模塊、電口模塊、路由板卡等），可以靈活應用在不同需求的網(wǎng)絡設計中。圖3-7Cisco6509系列交換機3.3.2路由器的選型在中小型企業(yè)中，路由器是內部網(wǎng)絡和Internet之間連接的橋梁，是實現(xiàn)企業(yè)網(wǎng)絡互連的關鍵設備，因此路由器的性能會直接影響到內部網(wǎng)絡訪問Internet的速率和性能。在該企業(yè)的設計中使用的是Cisco3800系列的集成化服務路由器，其中內嵌并集成了安全和話音處理以及先進服務，以能夠迅速地部署新應用，包括應用層功能、智能網(wǎng)絡服務和融合通信[8]。圖3-8Cisco3800系列路由器3.4內網(wǎng)的設計3.4.1行政區(qū)域子網(wǎng)設計行政區(qū)域子網(wǎng)通過百兆帶寬到桌面，千兆帶寬匯聚實現(xiàn)網(wǎng)絡數(shù)據(jù)傳輸。行政區(qū)域的相關部門有兩大處，分別是業(yè)務處和管理處，其中有人事部門、行政部門、采購部門、售后服務部門等，通過行政子網(wǎng)，業(yè)務部以適合本廠的發(fā)展規(guī)劃開展特定的工作計劃，售后服務部可以通過建立各種客戶檔案以及定期電話回訪，這樣有助于集團以后的業(yè)務改進。財務部門除了集團日常的費用報銷，賬目處理，稅收處理等財務事項以外，還要對公司的財務運營狀況，資金流進行分析，對下一階段的工作計劃進行合理地安排。雖然各科室的工作職責不同，但其網(wǎng)絡需求基本相同。那就是行政子網(wǎng)更多地是要實現(xiàn)辦公自動化，最終達到統(tǒng)一的網(wǎng)絡化管理，以此提升辦公效率。需求分析行政區(qū)域有300個信息點，所以要在該區(qū)域部署7臺有48個以太網(wǎng)接口的C2960系列交換機。3.4.2宿舍區(qū)域子網(wǎng)設計宿舍區(qū)域子網(wǎng)主要滿足員工休閑娛樂，該公司有兩棟宿舍樓，信息點比較密集并且娛樂方式一般為上網(wǎng)瀏覽網(wǎng)頁和視頻點播，就會產(chǎn)生較大的流量。因此就要在匯集交換機上布置Qos技術，保證在流量高峰期間網(wǎng)絡通暢。其次為了平衡員工的娛樂時間，保證工作效率，應該在匯聚層上設置基于時間的ACL。再者，考慮到該企業(yè)規(guī)模擴大，員工數(shù)量增加，宿舍網(wǎng)應該具備良好的擴展性，在設計時應預留一定的模塊擴張空間。3.4.3研發(fā)部門子網(wǎng)設計由于技術是機械制造公司的核心競爭力，也是個該企業(yè)盈虧的主要影響因素，所以要組織黑客入侵行商業(yè)機密，并且為了防止內部員工外協(xié)機密文件，在該區(qū)域的匯集交換機上部署相應的安全策略和拒絕內部人員訪問外網(wǎng)。3.4.4車間區(qū)域子網(wǎng)設計車間里有大量的機械設備，涉及毛胚的鍛造、沖壓以及零件的熱處理等，在整個制造過程中，需要對溫度和精確度的嚴格把控。這時如果網(wǎng)絡出現(xiàn)故障，就需要手工控制，在這一操作過程中，很容易出現(xiàn)事故，不僅僅會造成企業(yè)的經(jīng)濟損失并且也會造成員工身體上的傷害，所以車間區(qū)域必須保證高能性。在部署交換機時，還需另外再布置兩臺交換機作為備用。3.4.5企業(yè)網(wǎng)IP規(guī)劃目前全球的IP地址非常緊張，企業(yè)已經(jīng)不可能從ISP運營商那里獲得足夠的IP地址，最多也就是獲得幾個IP作為企業(yè)網(wǎng)出口服務地址。由于該企業(yè)規(guī)模較小，可以選擇C類地址，然后將ISP提供的公網(wǎng)地址用于需要外部訪問的服務器和內部地址訪問外部地址的轉換地址，如WWW服務器、E-mail服務器等。該企業(yè)的IP地址規(guī)劃方案如表3-1：表3-1ip地址信息表部門名IP網(wǎng)段默認網(wǎng)關市場開發(fā)部門/2454售后服務部門/2454新產(chǎn)品開發(fā)部門/2454產(chǎn)品設計部門/2454產(chǎn)品工藝部門/2454資料管理部門/2454生產(chǎn)計劃部門/2454設備制造部門/2454設備管理部門/2454工程安裝部門/2454質量管理部門/2454過程控制部門/2454人事部門/2454行政部門/2454采購部門/2454財務部門/2454市場開發(fā)部門/2454男生宿舍樓/2454女生宿舍樓/2454物流中心/24543.4.6VLAN的劃分VLAN（VirtualLocalAreaNetwork)是虛擬局域網(wǎng)的簡稱，是指位于不同物理位置的用戶，經(jīng)過配置從而能夠連接到同一個信道進行通信。VLAN內的各個用戶就像連接在同一個真實的局域網(wǎng)內（可能VLAN的用戶位于很多的交換機上，而非一個交換機）一樣可以互相訪問。VLAN有助于限制廣播風暴，即如果一個數(shù)據(jù)幀沒有找到出口那么它就會向所有的端口發(fā)送廣播，這時劃分了VLAN，就會在該端口所在的端口發(fā)送廣播而不是整個局域網(wǎng)，從一定程度上節(jié)省了帶寬。將該企業(yè)中的不同部門劃分成不同的VLAN有助于整個區(qū)域的流量控制、減少公司的投資設備、簡化公司網(wǎng)絡管理、提高公司網(wǎng)絡的安全性。該企業(yè)的VLAN劃分如表3-2所示:表3-2VLAN地址管理表部門名VLAN號VLAN名VLAN管理地址市場開發(fā)部門VLAN11SCKFB53售后服務部門VLAN12SHFWB53新產(chǎn)品開發(fā)部門VLAN13XPKFB53產(chǎn)品設計部門VLAN14CPSJB53產(chǎn)品工藝部門VLAN15CPGYB53資料管理部門VLAN16ZLGLB53生產(chǎn)計劃部門VLAN17SCJHB53設備制造部門VLAN18SBZZB53設備管理部門VLAN19SBGLB53工程安裝部門VLAN20GCAZB53質量管理部門VLAN21ZLGLB53過程控制部門VLAN22GCZZB53人事部門VLAN23RSB53行政部門VLAN24XZB53采購部門VLAN25CGB53財務部門VLAN16CWB53市場開發(fā)部門VLAN27SCKFB53男生宿舍樓VLAN28BOY53女生宿舍樓VLAN29GIRL53物流中心VLAN30WLZX533.5網(wǎng)絡拓撲設計在主干網(wǎng)設計中，將高性能三層交換機通過單模光纖連接各局域網(wǎng)，構成網(wǎng)絡的核心，各區(qū)域以匯聚交換機作為節(jié)點，樓宇間采用超五類雙絞線連接。超五類雙絞線衰減小，串擾少，性能得到很大提高。湖南某機械制造廠內網(wǎng)分三層設計，核心層使用兩臺6509系列交換機，匯聚層為5臺3560系列交換機，分別匯聚行政樓、物流中心、研究樓、生產(chǎn)車間，宿舍樓。只要能夠在模擬軟件上實現(xiàn)網(wǎng)絡功能，在實際設備上也是可以實現(xiàn)的。使用思科PT軟件對政務網(wǎng)絡方案模擬實現(xiàn)時，實際設備型號有與模擬所用設備有不同，模擬時，核心層路由器用思科自配置路由器代替實際的思科7200路由器;三層交換機使用思科3560-24PS型號交換機;二層交換機在實際使用中有48口和24口之分，在模擬中都使用思科2950-24型號交換機代替，網(wǎng)絡服務器集群在模擬實現(xiàn)時用一臺網(wǎng)絡服務器代替，網(wǎng)絡服務器在網(wǎng)絡層次中的位置不變?？偩W(wǎng)絡拓撲如圖3-9所示:圖3-9湖南某機械制造公司總拓撲圖第四章企業(yè)網(wǎng)絡方案實現(xiàn)4.1仿真實驗拓撲根據(jù)湖南后機械制造公司網(wǎng)絡拓撲圖的設計，可在思科模擬軟件上進行軟件實現(xiàn)。實現(xiàn)時，由于有大量的配置和測試是重復的，可以省去，因此可以簡化匯聚層和接入層的配置，簡化匯聚層、接入層拓撲結構之后，得到的模擬圖如圖4-1所示。圖4-1仿真模擬圖4.2網(wǎng)絡設備的基本配置4.2.1VLAN配置在湖南某機械制造公司網(wǎng)絡模擬實現(xiàn)中，為了簡化網(wǎng)絡拓撲結構圖，設置5個VLAN，每個交換機上都要進行VLAN的配置，VLAN的網(wǎng)關設置為x.x.x.254，每臺交換機上都需要設置VLAN的管理地址，核心層兩臺交換機加匯聚層兩臺交換機共四個管理IP，網(wǎng)關的配置在雙核心技術中體現(xiàn)，需要提前規(guī)劃，所以在此列出，這里沒有體現(xiàn)出配置過程，VLAN劃分詳細分布見表4-1所示。表4-1VLAN劃分信息表部門名VLAN號網(wǎng)關VLAN管理地址行政部VLAN115450-53信息管理部VLAN195450-53新產(chǎn)品研發(fā)部VLAN215450-53生產(chǎn)計劃部VLAN235450-53男生宿舍VLAN285450-53//接入層交換機上配置的VLAN信息Switch>enSwitch#conftSwitch(config)#hostnameAccessSwitch1AccessSwitch1(config)#interfaceVLAN11AccessSwitch1(config-if)#exitAccessSwitch1(config)#interfacerangefa0/1-2//對fa0/1-2進行配置AccessSwitch1(config-if-range)#switchportmodeaccessAccessSwitch1(config-if-range)#switchportaccessVLAN11AccessSwitch1(config-if-range)#spanning-treeportfast//將fa0/1-2設置為快速端口AccessSwitch1(config)#interfacerangefa0/3-4AccessSwitch1(config-if-range)#switchportmodetrunkAccessSwitch1(config-if-range)#spanning-treeuplinkfast//設置當與匯聚層交換機主鏈路中斷時迅速切換至備用鏈路//其他接入層交換機上聲明配置VLAN代碼一樣，只是VLAN名稱不一樣//匯聚層交換機上配置的VLAN信息HJSwitch1(config)#interfacevlan11HJSwitch1(config)#ipaddress53HJSwitch1(config)#noshutdownHJSwitch1(config)#interfaceVLAN19HJSwitch1(config)#ipadd53HJSwitch1(config)#noshutdownHJSwitch1(config)#interfaceVLAN21HJSwitch1(config)#ipadd53HJSwitch1(config)#noshutdownHJSwitch1(config)#interfaceVLAN23HJSwitch1(config)#ipadd53HJSwitch1(config)#noshutdownHJSwitch1(config)#interfaceVLAN28HJSwitch1(config)#ipadd53HJSwitch1(config)#noshutdown4.2.2NAT配置網(wǎng)絡地址轉換（NetworkAddressTranslation,NAT）是一種將數(shù)據(jù)包中的IP地址替換為其他IP地址的功能[9]。NAT技術就是少量的公有IP來表示大量的私有IP，從而可以在外部公網(wǎng)使用，以解決IP資源緊張的情況。該企業(yè)網(wǎng)中需要用到靜態(tài)地址轉換和動態(tài)地址轉換。在該企業(yè)網(wǎng)絡的設計中，使用靜態(tài)NAT技術和動態(tài)NAT技術，靜態(tài)NAT技術為網(wǎng)絡服務器提供地址轉換，動態(tài)NAT技術為政務網(wǎng)絡內主機服務，通過少量公有IP地址使多臺設備接入網(wǎng)絡。在模擬實現(xiàn)中，分配的電信公網(wǎng)IP網(wǎng)段為2/29、聯(lián)通的公網(wǎng)IP網(wǎng)段為2/29，服務器為靜態(tài)IP3?；谝陨螴P地址分配的NAT技術實現(xiàn)的代碼如下:Router0(config)#ipnatinsidesourcestatic3Router0(config)#ipnatpoolz_dx49netmask2548Router0(config)#ipnatpoolz_It39netmask2548Router0(config)#access-list1permit55Router0(config)#ipnatinsidesourcelist1poolz_dxRouter0(config)#ipnatinsidesourcelist1poolz_ItRouter0(config)#intf0/0Router0(config-if)#ipnatinsideRouter0(config-if)#exitRouter0(config)#interfacefastEthernet1/0Router0(config-if)#ipnatinsideRouter0(config-if)#exitRouter0(config)#interfaceserial2/0Router0(config-if)#ipnatoutsideRouter0(config-if)#exitRouter0(config)#interfaceserial3/0Router0(config-if)#ipnatoutside4.2.3雙核心配置由于在公司的規(guī)模在逐漸擴大，業(yè)務規(guī)模也相繼增多，如果采用單核心的網(wǎng)絡設計，核心層一旦出現(xiàn)故障，將會導致整個公司網(wǎng)絡癱瘓，造成該公司極大的經(jīng)濟損失。因此，為了提高網(wǎng)絡的可靠性，采用雙核心設計。首先，選用兩臺Cisco6509系列交換機作為核心層，采用VRRP技術使兩臺交換機互為備份，來保證核心層100%的正常工作時間。當SW1、SW2、SW3相互連接后，為了避免鏈路冗余采用生成樹+VRRP技術來實現(xiàn)公司的鏈路備份和網(wǎng)關冗余。圖4-2核心路由連接圖CoreSwitch1(config)#interfaceVlan11CoreSwitch1(config)#ipaddress54CoreSwitch1(config-if)#standbyversion2CoreSwitch1(config-if)#standby1ip52CoreSwitch1(config-if)#standby1priority255CoreSwitch1(config-if)#standby1preemptCoreSwitch1(config)#interfaceVlan19CoreSwitch1(config)#ipaddress54CoreSwitch1(config)#standbyversion2CoreSwitch1(config)#standby0ipCoreSwitch1(config)#standby1ip52CoreSwitch1(config)#standby1priority255CoreSwitch1(config)#standby1preemptCoreSwitch1(config)#interfaceVlan21CoreSwitch1(config)#ipaddress54CoreSwitch1(config)#standbyversion2CoreSwitch1(config)#standby0ipCoreSwitch1(config)#standby1ip52CoreSwitch1(config)#standby1priority255CoreSwitch1(config)#standby1preemptCoreSwitch1(config)#interfaceVlan23CoreSwitch1(config)#ipaddress54CoreSwitch1(config)#standbyversion2CoreSwitch1(config)#standby0ipCoreSwitch1(config)#standby1ip52CoreSwitch1(config)#standby1priority255CoreSwitch1(config)#standby1preemptCoreSwitch1(config)#interfaceVlan29CoreSwitch1(config)#ipaddress54CoreSwitch1(config)#standbyversion2CoreSwitch1(config)#standby0ipCoreSwitch1(config)#standby1ip52CoreSwitch1(config)#standby1priority255CoreSwitch1(config)#standby1preemptCoreSwitch1(config)#spanning-treeVlan11,Vlan12,Vlan13rootpriorityCoreSwitch1(config)#track100intf0/4line-protocolCoreSwitch1(config)#intf0/4 CoreSwitch1(config)#track100intf0/4line-protocolCoreSwitch1(config)#intf0/4CoreSwitch1(config-if)#vrrp1ip9CoreSwitch1(config-if)#vrrp1priority120CoreSwitch1(config-if)#vrrp1preemptCoreSwitch1(config-if)#vrrp1track100decrement30CoreSwitch1(config-if)#vrrp2ip7CoreSwitch1(config-if)#vrrp2preempt//配置核心交換機2CoreSwitch2(config)#interfaceVlan11CoreSwitch2(config)#ipaddress54CoreSwitch2(config-if)#standbyversion2CoreSwitch2(config-if)#standby1ip52CoreSwitch2(config-if)#standby1priority255CoreSwitch2(config-if)#standby1preemptCoreSwitch2(config)#interfaceVlan12CoreSwitch2(config)#ipaddress54CoreSwitch2(config)#standbyversion2CoreSwitch2(config)#standby0ipCoreSwitch2(config)#standby1ip52CoreSwitch2(config)#standby1priority255CoreSwitch2(config)#standby1preemptCoreSwitch2(config)#interfaceVlan13CoreSwitch2(config)#ipaddress54CoreSwitch2(config)#standbyversion2CoreSwitch2(config)#standby0ipCoreSwitch2(config)#standby1ip52CoreSwitch2(config)#standby1priority255CoreSwitch2(config)#standby1preemptCoreSwitch2(config)#spanning-treeVlan11,Vlan12,Vlan13rootsecCoreSwitch2(config)#track100intf0/4line-protocolCoreSwitch2(config)#intf0/4CoreSwitch2(config)#vrrp1ip0.CoreSwitch2(config)#vrrp1preemptCoreSwitch2(config)#vrrp2ip8CoreSwitch2(config)#vrrp2priority120CoreSwitch2(config)#vrrp2preemptCoreSwitch2(config)#vrrp2track100decrement304.2.5雙出口配置為了提高該公司的網(wǎng)絡出口速度和出口冗余，在本設計中使用了雙出口技術，分別為聯(lián)通網(wǎng)和電信網(wǎng)。雙出口技術可以分擔出口流量，減少負載，優(yōu)化企業(yè)網(wǎng)訪問因特網(wǎng)的速度。雙出口之間還可以互為備份，做到出口冗余，一保證企業(yè)網(wǎng)的出口不中斷，這也就是多ISP出口的優(yōu)越性和關鍵技術所在[10]。圖4-2雙出口路由圖//在路由器上進行雙出口的配置Router0(config)#interfaceserial2/0Router0(config-if)#ipaddress48Router0(config-if)#clockrate19200Router0(config-if)#noshuRouter0(config)#interfaceserial3/0Router0(config-if)#ipaddress048Router0(config-if)#clockrate19200Router0(config-if)#exitRouter0(config)#routerospf1Router0(config-muter)#networkarea0Router0(config-muter)#networkarea0Router0(config-muter)#exitRouter0(config)#iprouteRouter0(config)#routerripRouter0(config-muter)#version2Router0(config-muter)#networkRouter0(config-muter)#noauto-summaryRouter0(config-muter)#exitRouter0(config)#iproute48null0Router0(config)#iproute48s3/0Router0(config)#routerospf1//在OSPFRouter0(config-muter)#redistributerip//在路由器1上配置電信Router1(config)#interfaceserial2/0Router1(config-if)#ipaddress48Router1(config-if)#noshuRouter1(config-if)#exitRouter1(config)#interfacef0/00Router1(config-if)#ipaddress852Router1(config-if)#noshutdownRouter1(config-if)#exitRouter1(config)#routerospf1Router1(config-muter)#router-idRouter1(config-muter)#network6area0Router1(config-muter)#networkarea0Router1(config-muter)#exitRouter1(config)#routerip//在路由器2上配置聯(lián)通Router2(config)#interfaceserial3/0Router2(config-if)#ipaddress52Router2(config-if)#noshuRouter2(config-if)#exitRouter2(config)#interfacef0/0Router2(config-if)#ipaddress85