網(wǎng)絡(luò)工程-隆智俊皮革有限公司網(wǎng)絡(luò)規(guī)劃與設(shè)計方案

PAGE 隆智俊皮革有限公司網(wǎng)絡(luò)規(guī)劃與設(shè)計方案摘要：本公司是以皮革為主營業(yè)務(wù)，業(yè)務(wù)分布全球，在全球高速發(fā)展的同時，互聯(lián)網(wǎng)也再飛速發(fā)展，信息時代大浪潮下，一個公司架設(shè)內(nèi)部局域網(wǎng)實現(xiàn)信息化顯得尤為重要在中國皮革行業(yè)，經(jīng)歷了調(diào)整優(yōu)化結(jié)構(gòu)，全世界已初步形成了一批專業(yè)化分工、特色突出和對拉動當?shù)亟?jīng)濟起著舉足輕重作用的皮革生產(chǎn)特色和市場。這些歷史奠定了中國皮革行業(yè)發(fā)展的基礎(chǔ)。從公司整體出發(fā)，根據(jù)內(nèi)部結(jié)構(gòu)設(shè)計總體的網(wǎng)絡(luò)框架，包括建筑結(jié)構(gòu)和管理結(jié)構(gòu)。再從功能性選擇上結(jié)合公司需求，搭建出具體的網(wǎng)絡(luò)拓撲，選擇適合的技術(shù)和設(shè)備進行組網(wǎng)，最后進行連通性測試以保證網(wǎng)絡(luò)的可用性。隆智俊皮革有限公司網(wǎng)絡(luò)規(guī)劃與設(shè)計方案，是對我們公司的網(wǎng)絡(luò)應(yīng)用需求進行分析，然后構(gòu)思和設(shè)計出滿足公司辦公生產(chǎn)需求的計算機網(wǎng)絡(luò)的過程。我們采集公司每一個部門對于網(wǎng)絡(luò)的需求，再進行網(wǎng)絡(luò)規(guī)劃。隆智俊皮革有限公司網(wǎng)絡(luò)規(guī)劃與設(shè)計方案設(shè)計過程需要需求分析，通信規(guī)范分析，邏輯網(wǎng)絡(luò)設(shè)計，物理網(wǎng)絡(luò)設(shè)計，最后是安裝維護。隆智俊皮革有限公司網(wǎng)絡(luò)規(guī)劃與設(shè)計方案，主要講述網(wǎng)絡(luò)的構(gòu)建，按照公司的網(wǎng)絡(luò)構(gòu)建要求實施，其中設(shè)計核心交換機的基本配置、VLAN的劃分、防火墻的安全策略和大量的路由協(xié)議、無線技術(shù)等網(wǎng)路技術(shù)。從功能性選擇上結(jié)合公司需求，搭建出具體的網(wǎng)絡(luò)拓撲，選擇適合的技術(shù)和設(shè)備進行組網(wǎng)，最后進行連通性測試以保證網(wǎng)絡(luò)的可用性。關(guān)鍵詞：網(wǎng)絡(luò)規(guī)劃，需求分析，網(wǎng)絡(luò)技術(shù)LongzhijunLeatherCo.,Ltd.networkPlanningandDesignplanAbstract：Thecompanyismainlyengagedinleatherbusiness,anditsbusinessisdistributedglobally.Atthesametimeofrapidglobaldevelopment,theInternetisalsodevelopingrapidly.Underthetideoftheinformationage,itisparticularlyimportantforacompanytosetupaninternalLANtoachieveinformatization.Inordertoadjustandoptimizethestructure,anumberofleatherproductioncharacteristicsandmarketsthathavespecializeddivisionoflabor,outstandingcharacteristics,andapivotalroleindrivingthelocaleconomyhavebeeninitiallyformedaroundtheworld.ThesehistorylaidthefoundationforthedevelopmentofChina'sleatherindustry.Startingfromthecompanyasawhole,theoverallnetworkframeworkisdesignedaccordingtotheinternalstructure,includingbuildingstructureandmanagementstructure.Thencombinethecompany'sneedsintermsoffunctionalselection,buildaspecificnetworktopology,selectsuitabletechnologiesandequipmentfornetworking,andfinallyconductconnectivityteststoensurenetworkavailability.LongzhijunLeatherCo.,Ltd.'snetworkplanninganddesignplanistoanalyzeourcompany'snetworkapplicationneeds,andthenconceiveanddesignacomputernetworkthatmeetsthecompany'sofficeproductionneeds.Wecollectthenetworkrequirementsofeachdepartmentofthecompanyandthenconductnetworkplanning.LongZhijunLeatherCo.,Ltd.networkplanninganddesignplandesignprocessrequiresdemandanalysis,communicationspecificationanalysis,logicalnetworkdesign,physicalnetworkdesign,andfinallyinstallationandmaintenance.LongZhijunLeatherCo.,Ltd.networkplanninganddesignprogram,mainlyabouttheconstructionofthenetwork,implementedinaccordancewiththecompany'snetworkconstructionrequirements,whichdesignthebasicconfigurationofthecoreswitch,VLANdivision,firewallsecuritystrategyandalotofroutingprotocols,wirelesstechnologyAndothernetworktechnologies.Combinethecompany'sneedsintermsoffunctionalchoices,buildaspecificnetworktopology,selectsuitabletechnologiesandequipmentfornetworking,andfinallyconductconnectivityteststoensurenetworkavailability.Keywords：Networkplanning,demandanalysis,networktechnology目錄14689第1章緒論 1148781.1研究背景和意義 1244741.1.1網(wǎng)絡(luò)規(guī)劃與設(shè)計方案的研究背景 170391.1.2本課題的研究意義 1144501.2課題研究方法和內(nèi)容 2119371.2.1研究方法 2266701.2.2研究內(nèi)容 27590第2章網(wǎng)絡(luò)規(guī)劃需求分析 4295852.1網(wǎng)絡(luò)需求分析 4309232.2應(yīng)用需求分析 4221092.3網(wǎng)絡(luò)性能分析 4121192.4安全需求分析 425350第3章網(wǎng)絡(luò)規(guī)劃總體設(shè)計 643703.1設(shè)計目標 6237593.2設(shè)計原則 693203.3拓撲圖設(shè)計規(guī)劃 720173.4IP地址與VLAN的劃分 716029第4章關(guān)鍵網(wǎng)絡(luò)技術(shù)原理 918294.1虛擬局域網(wǎng)（VLAN） 9304064.2OSPF協(xié)議 11240404.3動態(tài)主機配置協(xié)議（DHCP） 1244494.4無線技術(shù) 1423436第5章安全技術(shù) 18127305.1安全區(qū)域劃分 18107075.2ASPF 20183145.3NAT 2114993第6章功能性測試 2288116.1DHCP功能測試 22306526.2HTTP功能測試 2387326.3FTP功能測試 24289836.4無線網(wǎng)絡(luò)的測試 26290936.5NAT功能測試 2924017第7章總結(jié) 3227866參考文獻： 3312614致謝 34PAGE35第1章緒論1.1研究背景和意義1.1.1網(wǎng)絡(luò)規(guī)劃與設(shè)計方案的研究背景在全球發(fā)展的市場趨勢下，中國皮革業(yè)可以取得如此成績已經(jīng)很不容易，也可以看出中國皮革業(yè)生命力的強大。計算機和信息技術(shù)已經(jīng)和人們的生活變得密不可分，出于公司發(fā)展的政策需要和網(wǎng)絡(luò)安全方面的考慮，國家在信息化建設(shè)方面日益重視，加大了財政資金支持，這又使得近年來，信息技術(shù)領(lǐng)域飛速發(fā)展，計算機網(wǎng)絡(luò)技術(shù)也日漸成熟，各種新技術(shù)層出不窮并廣泛普及到各行各業(yè)，大量基于網(wǎng)絡(luò)應(yīng)用的業(yè)務(wù)成爆發(fā)性增加，從以前最基本的網(wǎng)絡(luò)通信，發(fā)展到各個方面。行業(yè)內(nèi)對于網(wǎng)絡(luò)的依賴性和需求性遠非從前可比，尤其在商業(yè)和服務(wù)業(yè)領(lǐng)域。在全球市場經(jīng)濟發(fā)展下，公司的主要產(chǎn)業(yè)進一步擴大，本公司業(yè)務(wù)量亦隨之迅速上漲，兼?zhèn)涠喙δ?，多元化的特點已成為新時代企業(yè)的象征，對于網(wǎng)絡(luò)的可靠性、穩(wěn)定性、可拓展性、安全性等需求有了更為嚴格的要求。為適應(yīng)這一發(fā)展需要，公司的內(nèi)部網(wǎng)絡(luò)的規(guī)劃和建設(shè)也必須與時俱進，這也是公司建設(shè)非常重要的一環(huán)。當今社會已經(jīng)基本普及現(xiàn)代化網(wǎng)絡(luò)建設(shè)，這一結(jié)合極大地推動了國家現(xiàn)代化，信息化的方向發(fā)展。作為皮革公司，服務(wù)人群多為商業(yè)人士，受眾面廣，對于網(wǎng)絡(luò)的需求更是不言而喻，本公司應(yīng)該順應(yīng)時代變革，認清發(fā)展形勢，把握新時代的數(shù)字化、信息化，網(wǎng)絡(luò)化的技術(shù)，綜合考慮公司內(nèi)部實際情況，搭建合適的內(nèi)部網(wǎng)絡(luò)，設(shè)計合理的一體化系統(tǒng)，從而推進落實自動化，網(wǎng)絡(luò)化，一體化的建設(shè)。既滿足客人的需求，另一方面就公司自身而言，能減少資源消耗，便于酒店管理，提高整體工作效率，實現(xiàn)利益最大化。1.1.2本課題的研究意義在全球信息化的前提下，信息時代的來臨跟互聯(lián)網(wǎng)的發(fā)展一起擴大，計算機科學(xué)與技術(shù)發(fā)展越來越快，公司對于網(wǎng)絡(luò)的需求同時也越來越大，計算機網(wǎng)絡(luò)與每個人變得密不可分，學(xué)習(xí)計算機科學(xué)知識，掌握計算機技術(shù)技能成為新時代對于我們每個人的要求。網(wǎng)絡(luò)作為通信紐帶在各個領(lǐng)域扮演著舉足輕重的角色，所以了解網(wǎng)絡(luò)是如何組成的，又是如何通信的，它的功能原理是什么樣的，工作流程是什么樣的，涉及到的技術(shù)有哪些，對于一個計算機系的學(xué)生來說是最基本的必備的能力。通過這次方案設(shè)計可以學(xué)習(xí)到如何去設(shè)計一個網(wǎng)絡(luò)規(guī)劃，怎樣滿足我們的網(wǎng)絡(luò)需求，學(xué)習(xí)到很多網(wǎng)絡(luò)的技術(shù)，根據(jù)情況來使用適合的技術(shù)，學(xué)會如何解決網(wǎng)絡(luò)故障，給公司一個安全可靠的網(wǎng)絡(luò)環(huán)境，提高工作效率。1.2課題研究方法和內(nèi)容1.2.1研究方法本課題研究采用的方法有：1.實驗法：實驗法是通過主支變革、控制研究對象來發(fā)現(xiàn)與確認事物間的因果聯(lián)系的一種科研方法?？稍诰W(wǎng)絡(luò)仿真工具平臺對網(wǎng)絡(luò)路由器、交換機等設(shè)備進行軟件仿真，搭建模擬局域網(wǎng)，對設(shè)計進行直觀的實驗，測試可能存在的問題，通過實際動手設(shè)計，發(fā)現(xiàn)相應(yīng)的不足并進行完善補充，從而保證網(wǎng)絡(luò)的可靠性，安全性和可擴展性。2.調(diào)查法：上網(wǎng)調(diào)查的建筑結(jié)構(gòu)，管理結(jié)構(gòu)，提供的功能服務(wù)詳細調(diào)查，并獲取商務(wù)酒店對于網(wǎng)絡(luò)的需求，加以詳細的調(diào)查分析，從而對網(wǎng)絡(luò)規(guī)劃進行更完善的補充。3.文獻研究法：文獻研究法是根據(jù)一定的研究目的或課題，通過調(diào)查文獻來獲得資料，從而全面地、正確地了解掌握所要研究問題的一種方法。通過搜集參考相關(guān)的文獻資料，對商務(wù)酒店的拓撲進行規(guī)范化設(shè)計，考慮應(yīng)采用怎樣的局域網(wǎng)架構(gòu)最能切合實際，涉及到的技術(shù)路線是怎么樣的，以往的案例中對于網(wǎng)絡(luò)安全性的保證又是怎樣實施的，這都是需要研究的問題。1.2.2研究內(nèi)容本設(shè)計方案一共分為七個部分，如下：第第1章：緒論。淺談當今時代背景下，互聯(lián)網(wǎng)，計算機行業(yè)的現(xiàn)狀以及發(fā)展趨勢，結(jié)合實際分析本公司在大環(huán)境影響下實施本項目的必要性和可行性。第2章：網(wǎng)絡(luò)規(guī)劃需求分析。根據(jù)本公司現(xiàn)有的組成結(jié)構(gòu)和管理結(jié)構(gòu)，并從工作效率，管理便利，信息共享等方面考慮，充分掌握公司對于網(wǎng)絡(luò)建設(shè)的需求。第3章：網(wǎng)絡(luò)規(guī)劃總體設(shè)計。利用已知需求，規(guī)劃相應(yīng)的邏輯拓撲，劃分對應(yīng)VLAN、選擇合適的IP進行分配并根據(jù)網(wǎng)絡(luò)規(guī)劃和資金預(yù)算，進行設(shè)備選擇等。第4章：關(guān)鍵網(wǎng)絡(luò)技術(shù)原理。選擇合適的相關(guān)技術(shù)以及組網(wǎng)結(jié)構(gòu)對設(shè)計方案進行配置。第5章：安全技術(shù)。公司網(wǎng)路必須要有安全技術(shù)去防止公司商業(yè)資料丟失。第6章：功能性測試。我們對上述網(wǎng)絡(luò)規(guī)劃進行測試與驗收。第7章：總結(jié)。對本次網(wǎng)絡(luò)規(guī)劃與設(shè)計做一個詳細的總結(jié)。第2章網(wǎng)絡(luò)規(guī)劃需求分析2.1網(wǎng)絡(luò)需求分析本公司主要分為5大部門分別為生產(chǎn)部、財務(wù)部、人力資源部、工程研發(fā)部和總經(jīng)辦，每個部門需要100臺設(shè)備，每個部門之間不能訪問，通過FTP服務(wù)器對部門與部門間資料的傳輸，外網(wǎng)不能訪問我們的內(nèi)網(wǎng)，內(nèi)網(wǎng)訪問需要做NAT技術(shù)，防止外網(wǎng)知道內(nèi)網(wǎng)信息，外網(wǎng)只能訪問我們的HTTP服務(wù)，總經(jīng)辦內(nèi)面有一個會議室，需要無線技術(shù)去覆蓋總經(jīng)辦和會議室，這些是我們公司需要建網(wǎng)的目標。2.2應(yīng)用需求分析首先我們設(shè)定應(yīng)用目標之前，是我們要樂姐分析應(yīng)用背景需求，總結(jié)當前網(wǎng)絡(luò)應(yīng)用的技術(shù)背景，確定行業(yè)應(yīng)用的技術(shù)趨勢，對于應(yīng)用需求必然性。在滿足應(yīng)用背景需求分析前，我們還要思考實施網(wǎng)絡(luò)集成的問題，其中的國外跟國內(nèi)同行業(yè)的信息化程度，全球的公司開始信息化趨勢，本企業(yè)信息化的目的，本企業(yè)采用的信息化步驟等。2.3網(wǎng)絡(luò)性能分析網(wǎng)絡(luò)的規(guī)劃和設(shè)計有嚴謹科學(xué)的技術(shù)指標，可以實現(xiàn)對設(shè)計網(wǎng)絡(luò)性能的定量分析，所以在進行網(wǎng)絡(luò)需求分析的階段上，需要確定網(wǎng)絡(luò)性能的技術(shù)指標。在國際的定義下，明確規(guī)定了網(wǎng)絡(luò)性能技術(shù)指標，這些指標可以提供給我們設(shè)計網(wǎng)絡(luò)提供了性能基線(Baseline),主要分為兩大類。網(wǎng)元級:網(wǎng)絡(luò)設(shè)備的性能指標。網(wǎng)絡(luò)級:將網(wǎng)絡(luò)看作一個整體，2.4安全需求分析隆智俊皮革有限公司網(wǎng)絡(luò)規(guī)劃與設(shè)計的過程中，滿足基本的安全要求，這是對于網(wǎng)絡(luò)成功運行是十分重要的，在這些安全基礎(chǔ)上提供了強大的安全保障，這是企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的必要條件。對于局域網(wǎng)的部署了很多網(wǎng)絡(luò)設(shè)備和服務(wù)器，保護這些重要的設(shè)備的正常運行，維護重要的業(yè)務(wù)安全，是網(wǎng)絡(luò)最基本的安全需求。在不同的網(wǎng)絡(luò)攻擊，防御和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，還可以提供跟蹤攻擊的手段，這些都是網(wǎng)絡(luò)最基本的安全需求，所以說安全需求是我們公司規(guī)劃網(wǎng)絡(luò)的重要的一部分。

第3章網(wǎng)絡(luò)規(guī)劃總體設(shè)計3.1設(shè)計目標搭建隆智俊皮革有限公司內(nèi)部局域網(wǎng)，通過有線技術(shù)和無線技術(shù)相結(jié)合，實現(xiàn)每個部門之間實時數(shù)據(jù)訪問，資源共享，滿足商務(wù)顧客以及內(nèi)部工作人員的上網(wǎng)需求，同時運用計算機網(wǎng)絡(luò)技術(shù)提供快捷和可靠的高質(zhì)量網(wǎng)絡(luò)接入服務(wù)，在公司內(nèi)可以享受高速網(wǎng)上視屏?xí)h，多媒體應(yīng)用，部門活動等綜合應(yīng)用，以此作為優(yōu)勢，提升自身的服務(wù)質(zhì)量和競爭力，增加營業(yè)額賺取更高的利潤，有效得提高工作人員的工作效率。3.2設(shè)計原則我們在進行網(wǎng)路設(shè)計的時候，根據(jù)智俊皮革有限公司應(yīng)用現(xiàn)狀和實際需求，建設(shè)計算機網(wǎng)絡(luò)或現(xiàn)將原有的計算機網(wǎng)絡(luò)進行改造升級。1.網(wǎng)絡(luò)的安全性根據(jù)智俊皮革有限公司應(yīng)用的特殊性，網(wǎng)絡(luò)的安全性在本次網(wǎng)絡(luò)建設(shè)中是比較重要的，智俊皮革有限公司整個網(wǎng)絡(luò)必須保證萬無一失的安全性，并對5個不同部門的信息要有嚴格分離保護的辦法，防止外部網(wǎng)絡(luò)的非法入侵。2.網(wǎng)絡(luò)的可擴展性智俊皮革有限公司的網(wǎng)絡(luò)必須要滿足用戶當前需求以及將來需求的增長很新技術(shù)發(fā)展等變化。因此智俊皮革有限公司在保護原有的投資同時，必須要保證客戶的增加，以及用戶隨時隨地增加設(shè)備、增加網(wǎng)絡(luò)功能等。4.網(wǎng)絡(luò)的可靠性智俊皮革有限公司的網(wǎng)絡(luò)的可靠性使網(wǎng)絡(luò)設(shè)計中需要考慮的一個主要原則。作為信息系統(tǒng)應(yīng)用的依賴和基礎(chǔ)，要求智俊皮革有限公司的系統(tǒng)連續(xù)安全可靠地運行，所以在智俊皮革有限公司的系統(tǒng)結(jié)構(gòu)設(shè)計中選用所以在系統(tǒng)結(jié)構(gòu)設(shè)計中選用高可靠性的網(wǎng)絡(luò)產(chǎn)品。3.3拓撲圖設(shè)計規(guī)劃圖3-1規(guī)劃的拓撲圖本設(shè)計方案采用三層交換式旁掛組網(wǎng)結(jié)構(gòu)。有線部分：根據(jù)公司的實際情況，有線部分在網(wǎng)絡(luò)拓撲的設(shè)計上將采用PC+接入層交換機+核心交換機的結(jié)構(gòu)，因為機房管理間設(shè)置在生產(chǎn)部，公司各部門的PC可通過網(wǎng)口接入到接入層交換機上，再由接入層交換機進行匯總接入到生產(chǎn)部機房內(nèi)的核心交換機上，所以并不需要部署匯聚層交換機。接入層交換機通過自身具備的路由功能對數(shù)據(jù)流量進行尋址轉(zhuǎn)發(fā)，從而實現(xiàn)網(wǎng)絡(luò)的通信。公司的內(nèi)部服務(wù)器，用于提供網(wǎng)頁服務(wù)以供外網(wǎng)用戶進行訪問，而服務(wù)器內(nèi)部則存儲了與之相關(guān)的商業(yè)文件，財務(wù)報表等機密文件，以供管理人員對酒店進行管理。同時為保障公司內(nèi)網(wǎng)安全，會在出口網(wǎng)關(guān)部署防火墻，進行內(nèi)外網(wǎng)隔離。無線部分：無線部分的設(shè)計主要是采用部署AP（無線訪問接入點）+AC（無線控制器）的方式，總經(jīng)辦的會議室需要有無線覆蓋。3.4IP地址與VLAN的劃分通過拓撲圖，在本設(shè)計方案中，我們有5個部們分別是生產(chǎn)部、財務(wù)部、人力資源部、工程研發(fā)部和總經(jīng)辦，分別對應(yīng)的VLAN號為10、20、30、40和50，再對應(yīng)對三層配置IP地址，IP地址如下。其中VLAN60是對應(yīng)無線網(wǎng)絡(luò)的用戶。VLAN70是對無線網(wǎng)絡(luò)的管理。VLAN80是用于核心交換機和防火墻的連接，/24地址網(wǎng)段用于公司服務(wù)器與防火墻的連接，對應(yīng)的80/30的地址網(wǎng)段是對應(yīng)外部網(wǎng)絡(luò)。表3-4VLAN劃分VLAN號IP網(wǎng)段默認網(wǎng)關(guān)說明VLAN10/24生產(chǎn)部VLAN20/24財務(wù)部VLAN30/24人力資源部VLAN40/24工程研發(fā)部VLAN50/24總經(jīng)辦VLAN60/24用戶無線網(wǎng)絡(luò)VLAN70/24管理無線網(wǎng)絡(luò)VLAN80/24核心交換機與防火墻/24服務(wù)器與防火墻80/3082外部網(wǎng)絡(luò)第4章關(guān)鍵網(wǎng)絡(luò)技術(shù)原理4.1虛擬局域網(wǎng)（VLAN）虛擬局域網(wǎng)（VLAN）在全球廣泛使用，在邏輯上說，這相當于設(shè)備跟用戶，這些設(shè)備和用戶是不會受實際物理線路影響的，虛擬的?？梢愿鶕?jù)功能和應(yīng)用等因素將它們一起組織起來，不同的設(shè)備與用戶之間的通信，就好像在同一個網(wǎng)段中一樣，因此我們都叫這是虛擬局域網(wǎng)。虛擬局域網(wǎng)是一種很新的網(wǎng)絡(luò)技術(shù)，這是工作在OSI參考模型的第2層和第3層，一個VLAN對應(yīng)一個廣播域，不同VLAN之間的通信，必須由第3層的路由器來通過完成的。虛擬局域網(wǎng)跟傳統(tǒng)的局域網(wǎng)技術(shù)相比較，此技術(shù)顯得更加靈活，并且可提高企業(yè)網(wǎng)絡(luò)的安全性。VLAN主要有兩種訪問方式:第一種是Access類型的端口有且只能有一個VLAN，只會用于連接計算機。 第二種是Trunk類型的端口可以允許很多個VLAN的通過，此類端口不但可以接收，并且可以發(fā)送多個VLAN的報文，用于交換機之間的連接；核心交換機的配置如下:#interfaceVlanif1ipaddressdhcpselectglobal#interfaceVlanif2ipaddressdhcpselectglobal#interfaceVlanif3ipaddressdhcpselectglobal#interfaceVlanif4ipaddressdhcpselectglobal#interfaceVlanif5ipaddressdhcpselectglobal#interfaceVlanif10ipaddress##interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan10#interfaceGigabitEthernet0/0/2portlink-typetrunkporttrunkallow-passvlan20#interfaceGigabitEthernet0/0/3portlink-typetrunkporttrunkallow-passvlan30#interfaceGigabitEthernet0/0/4portlink-typetrunkporttrunkallow-passvlan40#interfaceGigabitEthernet0/0/5portlink-typetrunkporttrunkpvidvlan70porttrunkallow-passvlan56070#interfaceGigabitEthernet0/0/6portlink-typetrunkporttrunkpvidvlan70porttrunkallow-passvlan6070#interfaceGigabitEthernet0/0/7portlink-typeaccessportdefaultvlan80#總經(jīng)辦的接入交換機的配置:#interfaceEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan56070#interfaceEthernet0/0/2portlink-typetrunkporttrunkpvidvlan70porttrunkallow-passvlan6070#interfaceEthernet0/0/3portlink-typeaccessportdefaultvlan5#4.2OSPF協(xié)議OSPF協(xié)議，這是一種鏈路狀態(tài)協(xié)議，其原理是通過網(wǎng)絡(luò)連接或者鏈路狀態(tài)為基礎(chǔ)。OSPF基本繪制出互聯(lián)網(wǎng)的全網(wǎng)結(jié)構(gòu)圖，然后根據(jù)這個結(jié)構(gòu)圖選擇開銷最小的路徑。在OSPF協(xié)議中，隆智俊皮革有限公司網(wǎng)絡(luò)規(guī)劃與設(shè)計拓撲時最基礎(chǔ)的元家是每臺路由器中，包含有每條鏈路狀態(tài)。通過學(xué)習(xí)每條鏈路連接到何處，OSPF協(xié)議相當于建立一個數(shù)據(jù)庫，記錄著公司網(wǎng)絡(luò)中的所有鏈路狀態(tài)，然后會計算出最短路徑，優(yōu)先選擇最短路徑。因為路由器都擁有相同的網(wǎng)絡(luò)拓撲圖結(jié)果，所以O(shè)SPF協(xié)議只有在網(wǎng)絡(luò)拓撲發(fā)生變化時，數(shù)據(jù)庫里的信息才會發(fā)送路由更新信息。FW的配置：#ospf1areanetwork55network55network80#外網(wǎng)路由器的配置:#ospf1areanetwork80network80#核心交換機的配置：#ospf1areanetwork55network55#4.3動態(tài)主機配置協(xié)議（DHCP）DHCP協(xié)議，英文拼寫為DynamicHostConfigurationProtocol，動態(tài)主機配置協(xié)議，一般被使用在比較大型的局域網(wǎng)絡(luò)中，這協(xié)議主要作用是集中的管理和分配IP地址，在這個網(wǎng)絡(luò)環(huán)境中，主機可以動態(tài)獲取IP地址，Gateway地址和DNS服務(wù)器地址等信息，并能夠提高IP地址的使用率。顯而易見，DHCP協(xié)議就是一個設(shè)備，它不需要賬號密碼登錄，并且自動給內(nèi)網(wǎng)設(shè)備分配IP地址的協(xié)議。在公司的局域網(wǎng)中，大多數(shù)會采用DHCP協(xié)議來分配IP地址，節(jié)約人力成本，減少人為出錯的可能性。在本拓撲設(shè)計中，雖然需要配置的設(shè)備數(shù)量不多，但是手動配置涉及到人為因素，容易出錯，并且酒店里部署了大量的無線網(wǎng)絡(luò)，AP作為接入點，需要為接入無線網(wǎng)絡(luò)的每臺設(shè)備分配一個IP地址，如果這想要靠傳統(tǒng)的人工方式來實現(xiàn)，無疑是不現(xiàn)實的。所以DHCP對于局域網(wǎng)內(nèi)部的IP分配來說極為重要。針對本設(shè)計，首先要在核心交換機上啟用DHCP協(xié)議，建立DHCP地址池，把交換機變成一臺內(nèi)部DHCP服務(wù)器，這樣局域網(wǎng)內(nèi)的其他設(shè)備就可以通過發(fā)送請求報文向交換機申請使用IP地址，因為本公司有5個部門，因此我們需要創(chuàng)建五個地址池，每個地址池中配置可分配的IP地址的范圍，網(wǎng)關(guān)，子網(wǎng)掩碼和租期，當收到來自DHCP服務(wù)器的請求報文時，DHCP服務(wù)器就會在地址池內(nèi)，隨機選擇一個可用的IP地址分配給設(shè)備。核心交換機的配置如下：#ippoolpool1gateway-listnetworkmaskleaseday10hour0minute0#ippoolpool2gateway-listnetworkmaskleaseday10hour0minute0#ippoolpool3gateway-listnetworkmaskleaseday10hour0minute0#ippoolpool4gateway-listnetworkmaskleaseday10hour0minute0#ippoolpool5gateway-listnetworkmaskleaseday10hour0minute0#4.4無線技術(shù)我們公司需要用到無線技術(shù)用在總經(jīng)辦和會議室，總經(jīng)辦會進行接待客戶跟視頻會議、產(chǎn)品解釋等行為，會議室會進行用于召開學(xué)術(shù)報告、會議、培訓(xùn)、組織活動和接待客人等需求，無線技術(shù)可以幫助我們更好的去簡化工作，更有利于我們工作的開展跟實施。圖4-1無線網(wǎng)絡(luò)的配置思路圖4-2無線網(wǎng)絡(luò)的AC拓撲圖圖4-3無線網(wǎng)絡(luò)的AP拓撲圖1.配置無線用戶和無線設(shè)備管理的VLAN和IP地址VLAN60：用戶VLAN網(wǎng)段-54；VLAN70：網(wǎng)關(guān)VLAN網(wǎng)段-54用于AC與AP之間2.配置VLAN接口的DHCP協(xié)議功能；首先在系統(tǒng)視圖下，創(chuàng)建和命名一個地址池，把地址池的網(wǎng)段和掩碼加入到里面，然后輸入域名和的網(wǎng)關(guān)，激活DHCP協(xié)議功能，進入到VLANIF60和70配置IP地址，AC與AP之間通信地址段為/24。之后VLANIF60使用的是全局地址池，給VLANIF70使用的是接口地址池。[AC6005]ippoolFJP-ip/創(chuàng)建地址池，地址池名為FJP/[AC6005-ip-pool-fjp-ip]networkmask24/*地址池內(nèi)網(wǎng)段為，掩碼為24位*/[AC6005-ip-pool-fjp-ip]gateway-list/此地址池網(wǎng)關(guān)地址為/[AC6005-ip-pool-fjp-ip]dns-list/給用戶的主要參數(shù)地址池，域名解析地址為/[AC6005-ip-pool-fjp-ip]q[AC6005]interfaceVlanif60/進入三層接口vlanif60/[AC6005-Vlanif60]ipaddress24/配置管理IP地址為24/[AC6005-Vlanif60]dhcpselectglobal/在VLAN60中使用地址池，global指用全局地址池24/[AC6005-Vlanif60]q[AC6005]interfaceVlanif70 /進入三層接口vlanif70/[AC6005-Vlanif70]ipaddress5424/配置IP地址為5424/[AC6005-Vlanif70]dhcpselectinterface/在VLAN70中配地址池，指使用接口地址池/24的地址段/3.配置AP上線：創(chuàng)建AP組，將AP綁定到AP組中；[AC6005]wlan /進入到wlan視圖/[AC6005-wlan-view]ap-groupnameapg-fjp/創(chuàng)建ap管理組，命名apg-FJP/Info:Thisoperationmaytakeafewseconds.Pleasewaitforamoment.done.[AC6005-wlan-ap-group-apg-fjp]q[AC6005-wlan-view]regulatory-domain-profilenamedomain-fjp /創(chuàng)建域管理的模板，名稱為domain-fjp/[AC6005-wlan-regulate-domain-domain-fjp]country-codeCN/設(shè)置國家代碼，CN指中國/Info:Thecurrentcountrycodeissamewiththeinputcountrycode.[AC6005-wlan-regulate-domain-domain-fjp]q[AC6005-wlan-view]ap-groupnameapg-fjp/創(chuàng)建ap管理組，命名apg-fjp[AC6005-wlan-ap-group-apg-fjp]regulatory-domain-profiledomain-fjp/在apg-FJP組內(nèi)使用域模板/Warning:Modifyingthecountrycodewillclearchannel,powerandantennagainconfigurationsoftheradioandresettheAP.Continue?[Y/N]:y[AC6005-wlan-ap-group-apg-fjp]q[AC6005-wlan-view]capwapsourceinterfacevlanif70/配置AC源接口，協(xié)議在VLAN70中通信/[AC6005]wlan/進入到wlan視圖/[AC6005-wlan-view]apauth-modemac-auth/ap的認證方式為mac認證/[AC6005-wlan-view]ap-id1ap-mac00e0-fc71-7b60/ap序號為1,Mac地址為AP的真實Mac地址/[AC6005-wlan-ap-1]ap-nameap-jf/配名稱ap命名為ap-jf/[AC6005-wlan-ap-1]ap-groupapg-fjp/將此AP加入apg-FJP組中，設(shè)置AP的組屬性/Warning:ThisoperationmaycauseAPreset.Ifthecountrycodechanges,itwillclearchannel,powerandantennagainconfigurationsoftheradio,Whethertocontinue?[Y/N]:yInfo:Thisoperationmaytakeafewseconds.Pleasewaitforamoment..done.4.配置WLAN的業(yè)務(wù)參數(shù)；[AC6005-wlan-ap-1]wlan/進入到wlan視圖/[AC6005-wlan-view]security-profilenamesec-fjp/創(chuàng)建安全模板命名為sec-FJP/[AC6005-wlan-sec-prof-sec-fjp]securitywpa2pskpass-phrasefjp123456aes/認證模式為wpa2，共享秘鑰fjp123456為秘鑰，aes為高級加密/[AC6005-wlan-sec-prof-sec-fjp]q[AC6005-wlan-view]security-profil [AC6005-wlan-view]ssid-profilenamessid-fjp/創(chuàng)建ssid模板，命名為ssid-FJP/[AC6005-wlan-ssid-prof-ssid-fjp]ssidfjpInfo:Thisoperationmaytakeafewseconds,pleasewait.done.[AC6005-wlan-ssid-prof-ssid-fjp]q[AC6005-wlan-view]vap-profilenamevap-fjp/創(chuàng)建vap模板命名為vap-FJP/[AC6005-wlan-vap-prof-vap-fjp]forward-modetunnel/采用隧道的方式轉(zhuǎn)發(fā)數(shù)據(jù)/Info:Thisoperationmaytakeafewseconds,pleasewait.done. [AC6005-wlan-vap-prof-vap-fjp]service-vlanvlan-id60/指定業(yè)務(wù)VLAN即用戶VLAN為60/Info:Thisoperationmaytakeafewseconds,pleasewait.done.[AC6005-wlan-vap-prof-vap-fjp]security-profilesec-fjp/使用sec-FJP安全模板/Info:Thisoperationmaytakeafewseconds,pleasewait.done.[AC6005-wlan-vap-prof-vap-fjp]ssid-profilessid-fjp/引用名為ssid-fjp的SSID模板/Info:Thisoperationmaytakeafewseconds,pleasewait.done.[AC6005-wlan-vap-prof-vap-fjp]q [AC6005-wlan-view]ap-groupnameapg-fjp/進入名為apg-FJP的ap組/[AC6005-wlan-ap-group-apg-fjp]vap-profilevap-fjpwlan1radio0/將vap模板引用到ap組里，然后ap上頻0使用vap模板vap-FJP配置/Info:Thisoperationmaytakeafewseconds,pleasewait...done.

第5章安全技術(shù)5.1安全區(qū)域劃分防火墻已經(jīng)默認為大家提供三個安全區(qū)域，分別是TRUST、DMZ和UNTRUST。從名字上看就了解到這三個安全區(qū)域內(nèi)，TRUST區(qū)域這個區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度高，通常用來定義內(nèi)部用戶所在的網(wǎng)絡(luò)。DMZ區(qū)域這個區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度中等，通常用來定義內(nèi)部服務(wù)器所在的網(wǎng)絡(luò)。UNTRUST區(qū)域這個區(qū)域代表的是不受信任的網(wǎng)絡(luò)，通常用來定義Internet等不安全的網(wǎng)絡(luò)，在不同的安全區(qū)域可以加強企業(yè)網(wǎng)絡(luò)使用的安全性。通過我上述的介紹，回歸到方案設(shè)計，本公司有內(nèi)部的公司服務(wù)器，所以使用防火墻對整個網(wǎng)絡(luò)拓撲進行區(qū)域劃分，劃分出trust、untrust和dmz三個區(qū)域，并把防火墻的各個物理接口也劃分到相應(yīng)的區(qū)域內(nèi)。G0/0/0接口是防火墻連接外網(wǎng)的端口，在邏輯意義上是屬于安全等級較低，易受攻擊的區(qū)域，所以劃分進untrust區(qū)域；G0/0/2接口連接的是核心交換機，即公司內(nèi)部局域網(wǎng)的區(qū)域，這一區(qū)域相對來說具有較高的可信度和安全性，安全等級高，不易受到攻擊，所以把該區(qū)域劃分為trust區(qū)域，G0/0/2接口屬于該區(qū)域；G0/0/1接口連接的區(qū)域是公司內(nèi)網(wǎng)架設(shè)的服務(wù)器部分，所以把該接口劃分到dmz區(qū)域。防火墻配置：首先把接口加入到對應(yīng)的安全區(qū)域內(nèi)firewallzonetrustsetpriority85addinterfaceGigabitEthernet0/0/2#firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet0/0/0#firewallzonedmzsetpriority50addinterfaceGigabitEthernet0/0/1#報文從高級別的安全區(qū)域向低級別的區(qū)域流動時方向為outbound，報文從trust流動到untrust設(shè)置成outbound#firewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutbound#5.2ASPF應(yīng)用層報文過濾，英文拼寫為applicationspecificpacketfilter，主要是對應(yīng)用層的包過濾，相當于狀態(tài)檢測的報文過濾技術(shù)。這種技術(shù)對每一個連接的狀態(tài)，進行檢查應(yīng)用層協(xié)議上的數(shù)據(jù)，由此決定數(shù)據(jù)包能否通過。它跟一般的靜態(tài)防火墻協(xié)同工作，對于實施局域網(wǎng)絡(luò)的安全策略起到便利性。ASPF可以監(jiān)測通過防火墻的應(yīng)用層協(xié)議上會話的信息，拒絕不符合設(shè)置規(guī)則的數(shù)據(jù)報文通過。為了保證網(wǎng)絡(luò)的安全性，這是ACL控制訪問列表基礎(chǔ)下，對包過濾可以在網(wǎng)絡(luò)層上傳輸層監(jiān)測數(shù)據(jù)包，防止外來入侵。ASPF能夠監(jiān)測應(yīng)用層協(xié)議上的有效信息，并且對應(yīng)用層協(xié)議上的數(shù)據(jù)包進行監(jiān)控。我們本次設(shè)計使用了FTP，每個部門通告FTP來獲取不同部門的文件跟信息，我們把FTP服務(wù)器接口，放到DMZ安全區(qū)域內(nèi)，在TRUST安全區(qū)域跟DMZ安全區(qū)域之間，允許特定源/目的地址的FTP報文通過，在安全區(qū)域的域內(nèi)開啟FTP協(xié)議的ASPF功能就可以實現(xiàn)我們的的需求。我們公司總共分為五個部門，每個部門的內(nèi)部資料是不允許其他部門獲取的，但我們也需要部門與部門之間需要資料的傳輸，我們利用FTP服務(wù)器當作媒介，來進行不同部門的信息交流，便于我們工作的合作。方案設(shè)計拓撲圖如下:圖5-1公司服務(wù)器拓撲圖我們配置的思路是在dmz安全區(qū)域到Untrust安全區(qū)域之間，允許特定源或者目的地址的FTP報文通過就可以了。配置如下：#policyinterzonetrustdmzoutboundpolicy1actionpermitpolicyserviceservice-setftppolicysource55policydestination55#在安全區(qū)域的域內(nèi)開啟FTP協(xié)議的ASPF功能#firewallinterzonetrustdmzdetectftp#我們公司還有個需求，就是客戶可以在外網(wǎng)來觀看我們公司的簡介和商品，發(fā)掘潛在客戶，增加公司的營業(yè)額。因此我們利用ASPF，在DMZ安全區(qū)域跟Untrust安全區(qū)域之間，可以讓特定源跟目的地址的HTTP報文的通過。#policyinterzonedmzuntrustinboundpolicy1actionpermitpolicyserviceservice-sethttppolicysource80policydestination0#5.3NATNAT技術(shù)，英文拼寫NetworkAddressTranslation,咱們可以分為基于源地址NAT跟基于目的地址NAT,可以有效的提高網(wǎng)絡(luò)訪問的安全作用，當在隆智俊皮革有限公司網(wǎng)絡(luò)規(guī)劃與設(shè)計方案內(nèi)部網(wǎng)絡(luò)的一些主機本來已經(jīng)分配到了本地IP地址（。NAT不僅可以解決IP地址不夠的問題，并且還能有效地避免，來自各種各樣的網(wǎng)絡(luò)外部攻擊，隱藏起來并保護我們網(wǎng)絡(luò)內(nèi)部的計算機。源NAT轉(zhuǎn)換方式主要分為三大類，第一種方式是NATNo-PAT，這種只是轉(zhuǎn)換報文的IP地址，不轉(zhuǎn)換接入的端口，需要上網(wǎng)的內(nèi)部網(wǎng)絡(luò)用戶人數(shù)少，公網(wǎng)IP地址數(shù)量必須跟上網(wǎng)的最大內(nèi)網(wǎng)用戶數(shù)量一定要相同。第二種是NAPT，同時轉(zhuǎn)換報文的IP地址和端口，經(jīng)常用于應(yīng)用于公網(wǎng)IP地址數(shù)量少，需要上網(wǎng)的內(nèi)部設(shè)備數(shù)量大。第三種是出接口地址方式（Easy-IP），這種方式同時轉(zhuǎn)換報文的IP地址和端口，但轉(zhuǎn)換后的IP地址只能為出接口的IP地址，適用于只有一個公網(wǎng)IP地址，并且該公網(wǎng)地址在接口上是動態(tài)獲取的。我們本次方案設(shè)計用到的源NAT轉(zhuǎn)換方式是出接口地址方式（Easy-IP）配置如下：#nat-policyinterzonetrustuntrustoutboundpolicy1actionsource-nat//行動為進行源NAT轉(zhuǎn)換policysource55//設(shè)置源IP地址easy-ipGigabitEthernet0/0/0//指定出接口#我們再來介紹基于目的地址的NAT(NATServer)，其原理跟基于源地址的NAT技術(shù)，把內(nèi)部的IP地址映射到公網(wǎng)IP地址，防止外網(wǎng)入侵內(nèi)網(wǎng)，調(diào)高網(wǎng)絡(luò)安全性。配置如下:[FW1]natserver0global82inside

第6章功能性測試6.1DHCP功能測試在PC1來測試DHCP功能，選取DHCP的配置點擊應(yīng)用。圖6-1設(shè)置PC1成功自動獲取I