天心輕工制品有限公司網(wǎng)絡(luò)工程方案設(shè)計(jì)

天心輕工制品有限公司網(wǎng)絡(luò)工程方案設(shè)計(jì)緒論1.1課題研究的背景及意義當(dāng)今，迅速發(fā)展的Internet正在對全世界的信息產(chǎn)業(yè)帶來巨大的變革和極為深遠(yuǎn)的影響?，F(xiàn)代化企業(yè)網(wǎng)絡(luò)需滿足以下基本原則：可靠性、先進(jìn)性、可擴(kuò)展性、安全性、穩(wěn)定性；[1]在實(shí)際的設(shè)計(jì)過程中，需要設(shè)計(jì)適合該企業(yè)網(wǎng)絡(luò)，方便企業(yè)網(wǎng)絡(luò)的管理，能更好地為企業(yè)服務(wù)的網(wǎng)絡(luò)構(gòu)架。本課題以天心輕工制品有限公司為背景，在該企業(yè)的網(wǎng)絡(luò)建設(shè)中，要求能在客戶、公司、員工、合作伙伴之間實(shí)現(xiàn)優(yōu)質(zhì)的信息溝通。并且整個(gè)網(wǎng)絡(luò)設(shè)計(jì)需要具有一定先進(jìn)性，在未來六七年，一整個(gè)企業(yè)網(wǎng)絡(luò)都能夠滿足企業(yè)的信息化需求，為該企業(yè)的生產(chǎn)，銷售，管理提供有力的保障和維護(hù);[2]基于各種的現(xiàn)實(shí)問題，企業(yè)必須從該企業(yè)局域網(wǎng)的概念及相關(guān)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)入手，詳細(xì)地設(shè)計(jì)該企業(yè)網(wǎng)建設(shè)的實(shí)施方案及建設(shè)規(guī)劃,以此達(dá)到先進(jìn)、安全、實(shí)用、可靠的目標(biāo).對企業(yè)的網(wǎng)絡(luò)搭建需求進(jìn)行分析，比較其它組網(wǎng)技術(shù)，從實(shí)用的角度論述局域網(wǎng)主干網(wǎng)選擇，綜合布線設(shè)計(jì)，各種設(shè)備的選擇，網(wǎng)絡(luò)安全認(rèn)證，網(wǎng)絡(luò)管理等方面。1.2國內(nèi)外研究現(xiàn)狀由于現(xiàn)代企業(yè)的信息大多來自互聯(lián)網(wǎng)，通過網(wǎng)絡(luò)，企業(yè)可以更快速地從世界市場獲得的信息，通過互聯(lián)網(wǎng)與外界進(jìn)行信息交換，企業(yè)計(jì)劃人員可以迅速做出正確的企業(yè)宏觀調(diào)控的決策，以適應(yīng)市場趨勢；[3]公司與世界聯(lián)系在一起，提高收集信息的能力和效率。而一些大公司不能根據(jù)自身網(wǎng)絡(luò)的本質(zhì)有更多的需求，如市場營銷部門在網(wǎng)上獲取信息和技術(shù)部門;或者從周一上午九點(diǎn)到周五下午五點(diǎn)可以上網(wǎng)，而在其他時(shí)間段內(nèi)網(wǎng)絡(luò)無流量；再或者高層領(lǐng)導(dǎo)組可以監(jiān)控財(cái)務(wù)部門的檔案文件而其他部門則沒有這樣的權(quán)限。這些都是網(wǎng)絡(luò)設(shè)計(jì)者需要考慮的問題。

天心輕工制品有限公司成立于2013年，是一家專業(yè)從事輕工制品生產(chǎn)的大型公司?，F(xiàn)今，天心輕工制品有限公司準(zhǔn)備在福建建設(shè)新的辦公生產(chǎn)基地?；卣嫉孛娣e10000m2，為實(shí)現(xiàn)企業(yè)現(xiàn)代化管理，現(xiàn)需建立企業(yè)信息網(wǎng)絡(luò)，以滿足企業(yè)業(yè)務(wù)和辦公需要。1.3主要研究內(nèi)容

本文的研究內(nèi)容主要以某企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)為研究對象，圍繞企業(yè)網(wǎng)絡(luò)規(guī)的結(jié)構(gòu)、應(yīng)用、管理、系統(tǒng)性能上等幾大方面。從本質(zhì)需求為依據(jù)，對網(wǎng)絡(luò)規(guī)劃的實(shí)施和拓展進(jìn)行充分的分析和研究。與此同時(shí)，利用當(dāng)前的網(wǎng)絡(luò)相關(guān)技術(shù)來實(shí)現(xiàn)一個(gè)符合企業(yè)現(xiàn)代化管理，滿足實(shí)際需求，性能優(yōu)秀并且具有優(yōu)良的可升級(jí)擴(kuò)展性能的網(wǎng)絡(luò)結(jié)構(gòu)。主要工作內(nèi)容如下：(1)分析研究系統(tǒng)實(shí)現(xiàn)的關(guān)鍵技術(shù)，對其中的核心的技術(shù)詳細(xì)介紹。比較各種組網(wǎng)技術(shù)，從實(shí)用角度論述局域網(wǎng)主干網(wǎng)選擇，從而構(gòu)架網(wǎng)絡(luò)結(jié)構(gòu)。(2)對網(wǎng)絡(luò)的需求進(jìn)行可行性的分析，從各種設(shè)備選擇，網(wǎng)絡(luò)功能，網(wǎng)絡(luò)安全等方面給出分析的具體模塊，使整個(gè)企業(yè)網(wǎng)絡(luò)都能夠滿足企業(yè)的信息化需求。(3)在對網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的基礎(chǔ)上，主要圍繞網(wǎng)絡(luò)設(shè)計(jì)的原則、依據(jù)、綜合布線、功能和安全設(shè)計(jì)制定出符合企業(yè)需求的網(wǎng)絡(luò)(4)對天心輕工制品有限公司的網(wǎng)絡(luò)設(shè)備分別做了部署與配置，通過終端個(gè)數(shù)實(shí)現(xiàn)三層網(wǎng)絡(luò)架構(gòu)，進(jìn)行安全認(rèn)證測試、網(wǎng)絡(luò)連通性測試、最佳路由測試等方面最終實(shí)現(xiàn)網(wǎng)絡(luò)方案的實(shí)施。2相關(guān)技術(shù)分析2.1虛擬局域網(wǎng)虛擬局域網(wǎng)（VLAN）是一種基于局域網(wǎng)的交換機(jī)網(wǎng)絡(luò)管理技術(shù)的一個(gè)VLAN，網(wǎng)絡(luò)管理員可采取有效的分配，通過控制接入局域網(wǎng)正確出入端口，為不同實(shí)體網(wǎng)絡(luò)邏輯分組管理的設(shè)備來進(jìn)行分組，并減少大量局域網(wǎng)內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)流，因?yàn)檫^量的鉛堵塞無用的分組問題，增強(qiáng)了網(wǎng)絡(luò)信息安全；[4]VLAN是在物理網(wǎng)絡(luò)上根據(jù)用途，工作組、應(yīng)用等來邏輯劃分的局域網(wǎng)絡(luò)，是個(gè)廣播域，與用戶物理位置沒有關(guān)系；能控制通訊的活動(dòng)，隔離廣播數(shù)據(jù)網(wǎng)絡(luò)管理，優(yōu)化組合，以此方便工作組，VLAN成員還有較長的的VLANID不能受限于物理位置，自由的移動(dòng)工作站位置;VLAN交換機(jī)就是一道道屏幕，只有VLAN成員分組的數(shù)據(jù)傳遞，比用戶的防火墻是更安全的計(jì)算機(jī)服務(wù)器，網(wǎng)絡(luò)帶寬會(huì)被充分利用，網(wǎng)絡(luò)性能有大幅度的提高。2.2生成樹協(xié)議生成樹協(xié)議（STP）是一個(gè)二層管理協(xié)議，它可以在環(huán)路網(wǎng)絡(luò)，路徑冗余通過一定的算法中使用，而調(diào)整回路網(wǎng)絡(luò)成無環(huán)路的樹型網(wǎng)絡(luò)，從而避免的目的報(bào)文在環(huán)路網(wǎng)絡(luò)的增殖和無限循環(huán)，以及備份鏈路；[5]STP協(xié)議中包含的根橋，根端口，指定端口，路徑成本等概念的是，要實(shí)現(xiàn)削減冗余環(huán)路通過構(gòu)建一個(gè)自然的樹的方法，同時(shí)實(shí)現(xiàn)鏈路備份，路由優(yōu)化的目的；當(dāng)生成樹協(xié)議正常條件下工作時(shí)，交換機(jī)端口要經(jīng)過數(shù)次變更工作狀態(tài)。2.3訪問控制列表訪問列表提供了一種機(jī)制，它可以控制和過濾通過路由器的不同接口去往不同方向的信息流；[6]這種機(jī)制允許用戶使用訪問表來管理信息流，以制定公司內(nèi)部網(wǎng)絡(luò)的相關(guān)策略；這些策略可以描述安全功能，并且反映流量的優(yōu)先級(jí)別；簡而言之，ACL本身不能直接達(dá)到訪問控制的目的，它間接輔助特定的用戶策略，達(dá)到人們所需效果的一種技術(shù)手段。2.4網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)主要是解決地址資源短缺，它允許一個(gè)單獨(dú)的設(shè)備，比如像路由器，作為公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)之間的代理，設(shè)備是工作在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的。復(fù)用NAT使用一個(gè)IP或外網(wǎng)接口給內(nèi)網(wǎng)做地址轉(zhuǎn)換，在配置命令后加上overload，同時(shí)也被稱為端口地址映射。NAT在源計(jì)算機(jī)和目標(biāo)計(jì)算機(jī)都是透明的；沒有人會(huì)意識(shí)到它正在與第三方設(shè)備來處理。但該機(jī)構(gòu)的服務(wù)是不是透明的；[7]NAT是一個(gè)真正的優(yōu)勢在于：它是透明的網(wǎng)絡(luò)；例如，你可以把你的Web服務(wù)器或FTP服務(wù)器到另一臺(tái)主機(jī)，而不必?fù)?dān)心會(huì)破壞連接；只需修改入站映射，映射到你就行內(nèi)部本地地址的新路由器；NAT技術(shù)是一種實(shí)用，強(qiáng)大的后一個(gè)比較成熟的技術(shù)成熟，一些單位能較好地解決IP地址短缺的問題。特別是因?yàn)樗梢栽诰W(wǎng)絡(luò)內(nèi)被完全隱藏，并保持高吞吐量和低延遲，因此，它經(jīng)常與包過濾技術(shù)，成為基礎(chǔ)的新一代防火墻的構(gòu)造。其缺點(diǎn)是，仍然有一些應(yīng)用程序需要進(jìn)行特殊處理才能通過NAT。2.5虛擬專用網(wǎng)虛擬專用網(wǎng)（VPN）是指任意兩個(gè)節(jié)點(diǎn)之間的連接，結(jié)束傳統(tǒng)專網(wǎng)物理鏈路不是必需的，但使用的動(dòng)態(tài)組成的社會(huì)網(wǎng)絡(luò)資源為基礎(chǔ)的專用數(shù)據(jù)通信網(wǎng)絡(luò)技術(shù)在公共網(wǎng)絡(luò)上（一般是指互聯(lián)網(wǎng)架構(gòu)能夠自我管理的專用網(wǎng)絡(luò)）。虛擬專用網(wǎng)的特點(diǎn)在于本身具有安全保障、服務(wù)質(zhì)量保證、可擴(kuò)充性和靈活性以及可管理性。[8]其功能具備可加密數(shù)據(jù)，提供信息認(rèn)證和身份認(rèn)證，保證信息的完整性，提供不同的訪問權(quán)限給不同的用戶，加以訪問控制。與此同時(shí)，虛擬專用網(wǎng)能夠保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資，經(jīng)濟(jì)有效的實(shí)現(xiàn)安全連接。總的來說虛擬專用網(wǎng)的實(shí)質(zhì)是指擴(kuò)展企業(yè)內(nèi)部網(wǎng)。虛擬專用網(wǎng)的優(yōu)勢在于廉價(jià)的網(wǎng)絡(luò)接入，嚴(yán)格的用戶認(rèn)證、高強(qiáng)度的信息保密，比以往的傳統(tǒng)專線網(wǎng)絡(luò)更具體化、實(shí)際化、理想化。2.6路由路由（routing）就是通過互聯(lián)的網(wǎng)絡(luò)把信息從源穿過網(wǎng)絡(luò)傳遞到目的地的的活動(dòng)。路由通常根據(jù)路由表到最佳路徑表經(jīng)過一些中間的節(jié)點(diǎn)后從而來引導(dǎo)封包轉(zhuǎn)送；[8]路由發(fā)生在網(wǎng)絡(luò)層即OSI網(wǎng)絡(luò)參考模型中的第三層。路由在大型網(wǎng)絡(luò)中已經(jīng)成為尋找路徑的最佳選擇；最大的不足在于它不支持非路由協(xié)議，價(jià)格高。所以我們應(yīng)該綜合實(shí)際，選擇最合理的路由來引導(dǎo)通信。2.7本章小結(jié)本章主要根據(jù)該方案設(shè)計(jì)針對主要網(wǎng)絡(luò)技術(shù)進(jìn)行闡述，通過分析各個(gè)技術(shù)的概念功能做出一番解釋。把設(shè)計(jì)過程中所用到的最主要技術(shù)一一羅列出來，針對虛擬局域網(wǎng)、生成樹協(xié)議、訪問控制列表、網(wǎng)絡(luò)地址轉(zhuǎn)換、虛擬專用網(wǎng)以及路由等進(jìn)行詳細(xì)的描述，通過這些網(wǎng)絡(luò)技術(shù)的基本概念，更加清楚對各個(gè)技術(shù)的認(rèn)識(shí)和熟悉，用來幫助運(yùn)行網(wǎng)絡(luò)中的應(yīng)用程序，確定每一項(xiàng)技術(shù)的特定功能，對基礎(chǔ)內(nèi)容進(jìn)行消化和理解，確信自己對以上內(nèi)容的掌握，學(xué)習(xí)各項(xiàng)技術(shù)的要點(diǎn)并加以運(yùn)用，以保證實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的有效通信。這樣，我們的目的就會(huì)達(dá)到。3網(wǎng)絡(luò)需求分析3.1網(wǎng)絡(luò)設(shè)備需求3.1.1網(wǎng)絡(luò)硬件設(shè)備本設(shè)計(jì)設(shè)備清單如下表3-1表3-1網(wǎng)絡(luò)設(shè)備清單設(shè)備名稱品牌型號(hào)數(shù)量核心交換機(jī)CISCO三層機(jī)箱式交換機(jī)：6x業(yè)務(wù)插槽，含346G引擎，20x千兆PoE電口，4xminiGBIC端口模塊，875w冗余電源，十年免費(fèi)保換服務(wù)，具體參數(shù)及要求詳見附件2臺(tái)光纖模塊千兆多模SX光纖模塊，LC接頭（與交換機(jī)同一品牌，原廠原裝產(chǎn)品）8個(gè)接入交換機(jī)CISCO二層網(wǎng)管交換機(jī)：24口百兆電口，2個(gè)雙功能定制端口，十年免費(fèi)保換服務(wù)，具體參數(shù)及要求詳見附件13臺(tái)路由器CISCOASA5510-BUN-K8或H3CSOHOER5100-CN或HPPROCURESECUREROUTER7102DI4臺(tái)機(jī)柜LINKBASICMCCB42U-610豪華型1只理線架GCI（美國）19MMC-1U8付機(jī)架式光纖配線架GCI（美國）JFBX-2410244個(gè)ST適配器GCI（美國）FTC-2420-ST32只光纖尾纖GCI（美國）5MLC-ST多模跳線10對數(shù)據(jù)點(diǎn)GCI或AVAYA或LINKBASIC（￠0.51MM）超五類網(wǎng)線、多模光纖、模塊、各種規(guī)格波達(dá)線槽、地下管路需暗埋施工等，視工程需要285個(gè)附件PVC管、86明盒、扎帶、護(hù)套、機(jī)柜附件等1批其它安裝、調(diào)試等3.1.2網(wǎng)絡(luò)傳輸介質(zhì)該企業(yè)網(wǎng)絡(luò)部署主要涉及到三幢建筑物：企業(yè)辦公大樓、生產(chǎn)廠房、貨物倉庫。網(wǎng)絡(luò)數(shù)據(jù)中心部署辦公樓四樓的信息管理機(jī)房內(nèi)，[7]整個(gè)網(wǎng)絡(luò)以中心機(jī)房向外輻射成星型結(jié)構(gòu)。整個(gè)網(wǎng)絡(luò)的部署采用二層結(jié)構(gòu)，核心層使用千兆網(wǎng)絡(luò)。辦公大樓一樓，辦公大樓二樓，辦公大樓三樓，辦公大樓四樓分別設(shè)置節(jié)點(diǎn)，節(jié)點(diǎn)與各個(gè)房間信息面板之間進(jìn)行連接。要求傳輸介質(zhì)必須滿足以下幾點(diǎn)：1）中心機(jī)房到辦公樓其它樓層接入層交換機(jī)采用多模光纖進(jìn)行連接，如圖3-1；圖3-1主干網(wǎng)連接方式2）局端設(shè)備倉庫和生產(chǎn)領(lǐng)域的建設(shè)接入層交換機(jī)通過多模光纖連接弱電井；3）各個(gè)接入層交換機(jī)到網(wǎng)絡(luò)終端設(shè)備之間用超五類雙絞線連接。要求該企業(yè)網(wǎng)絡(luò)中信息點(diǎn)數(shù)必須滿足：1）辦公樓：4002）廠房：1503）倉庫：503.2網(wǎng)絡(luò)功能需求在整個(gè)企業(yè)的網(wǎng)絡(luò)規(guī)劃及實(shí)施中必須滿足以下幾點(diǎn)：1）企業(yè)中的每個(gè)部門都必須是一個(gè)單獨(dú)的虛擬局域網(wǎng)；2）公司內(nèi)各個(gè)部門之間可以實(shí)現(xiàn)信息共享；3）除總經(jīng)理辦公室、銷售部總監(jiān)辦公室、技術(shù)部總監(jiān)辦公室可以訪問財(cái)務(wù)部，其他部門均設(shè)置訪問控制，不能訪問財(cái)務(wù)部；4）接待室和會(huì)客室的網(wǎng)絡(luò)不能夠訪問內(nèi)網(wǎng)，只可訪問外網(wǎng)；5）為方便員工及顧客，會(huì)議室、會(huì)客室、討論室都采用無線覆蓋；6）會(huì)議室需自動(dòng)分配IP地址，為了整個(gè)網(wǎng)絡(luò)安全管理其他主機(jī)、打印機(jī)、復(fù)印機(jī)都固定IP；7）核心層交換機(jī)需盡量增加鏈路帶寬，且需實(shí)現(xiàn)鏈路傳輸彈性和冗余；8）企業(yè)內(nèi)網(wǎng)需設(shè)置信息安全策略，保障整個(gè)企業(yè)數(shù)據(jù)資料的安全；9）分公司通過VPN的方式訪問企業(yè)內(nèi)部網(wǎng)絡(luò)；10）公司內(nèi)部各個(gè)部門都需要能夠訪問外部網(wǎng)路。3.3網(wǎng)絡(luò)安全需求該規(guī)劃的網(wǎng)絡(luò)要求必須能夠保障企業(yè)內(nèi)部信息的安全，能夠做到以下幾點(diǎn)：1）網(wǎng)絡(luò)隔離：充分利用交換機(jī)的交換路由功能，根據(jù)公司內(nèi)部業(yè)務(wù)管理需要?jiǎng)澐窒鄳?yīng)的VLAN，并對各個(gè)VLAN之間做訪問控制；2）防火墻技術(shù)：預(yù)防外網(wǎng)黑客侵入企業(yè)內(nèi)網(wǎng)后破壞服務(wù)器中的信息，盜取企業(yè)重要數(shù)據(jù)資料。3）虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)：采用VPN加密技術(shù)保障分公司和總公司數(shù)據(jù)傳輸?shù)陌踩?）病毒防治技術(shù)：為便于管理員對整個(gè)網(wǎng)絡(luò)內(nèi)設(shè)備的病毒管理，部署殺毒軟件服務(wù)器，對整個(gè)網(wǎng)絡(luò)中的PC進(jìn)行更好的安全保障。3.4本章小結(jié)本章主要對客戶的一些網(wǎng)絡(luò)功能及硬件需求進(jìn)行了整理和分析，通過詳細(xì)的分析，為下一步的方案設(shè)計(jì)做準(zhǔn)備。4網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)4.1網(wǎng)絡(luò)設(shè)計(jì)原則1.高性能整個(gè)網(wǎng)絡(luò)是一個(gè)企業(yè)的血管，它負(fù)擔(dān)著整個(gè)企業(yè)網(wǎng)絡(luò)內(nèi)部信息的傳輸，并且，企業(yè)在運(yùn)營的過程中也會(huì)不斷的發(fā)展壯大。因此，考慮未來業(yè)務(wù)增長的企業(yè)設(shè)計(jì)及今后四五年內(nèi)網(wǎng)絡(luò)，確保高效和流暢。2.可擴(kuò)展性在未來企業(yè)發(fā)展過程中，肯定需要增加通信設(shè)備，所以要求現(xiàn)在的網(wǎng)絡(luò)必須有很高的兼容性，可以兼容多家廠家的設(shè)備，使整個(gè)網(wǎng)絡(luò)具有較高的可擴(kuò)展性。3.可靠性和安全性網(wǎng)絡(luò)的可靠性是最需要的網(wǎng)絡(luò)設(shè)計(jì)需要考慮的因素。由于整個(gè)信息系統(tǒng)的應(yīng)用和基礎(chǔ)設(shè)施相關(guān)的操作時(shí)，需要對系統(tǒng)的安全和可靠的連續(xù)不間斷運(yùn)行很長一段時(shí)間。網(wǎng)絡(luò)架構(gòu)的合理設(shè)計(jì)，采用成熟穩(wěn)定的技術(shù)，要使用可靠的網(wǎng)絡(luò)容錯(cuò)策略的關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)的重要組成部分，應(yīng)采用先進(jìn)，可靠的容錯(cuò)技術(shù)，保證了可靠性和安全性整個(gè)網(wǎng)絡(luò)。4.標(biāo)準(zhǔn)開放性該設(shè)備支持國際標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議，一個(gè)大型的國際標(biāo)準(zhǔn)的開放協(xié)議，如動(dòng)態(tài)路由協(xié)議，從而有助于確保與其他網(wǎng)絡(luò)的互通連接順暢，[9]因?yàn)楹笳咦龅奖ＷC網(wǎng)絡(luò)的平滑升級(jí)。4.2網(wǎng)絡(luò)設(shè)計(jì)依據(jù)網(wǎng)絡(luò)的設(shè)計(jì)必須依照以下幾點(diǎn)：1）采用分層設(shè)計(jì)，網(wǎng)絡(luò)結(jié)構(gòu)的不同部分有不同的功能，網(wǎng)絡(luò)上有一個(gè)很好的結(jié)構(gòu)。2）優(yōu)化了網(wǎng)絡(luò)和系統(tǒng)架構(gòu)，并考慮網(wǎng)絡(luò)冗余各個(gè)方面，該系統(tǒng)已容錯(cuò)性和應(yīng)變能力，以保證系統(tǒng)的可靠和高效運(yùn)行[10];3）在建網(wǎng)技術(shù)的過程中，必須選擇，以確保開放性，可移植性，兼容性和整個(gè)網(wǎng)絡(luò)的可擴(kuò)展性。4）采用通用的標(biāo)準(zhǔn)的國際標(biāo)準(zhǔn)和協(xié)議。5) 提供有效的安全措施，確保整個(gè)網(wǎng)絡(luò)的安全6) 初步設(shè)計(jì)要求精確，從而降低了該項(xiàng)目時(shí)，系統(tǒng)的結(jié)構(gòu)的復(fù)雜性和修改的工作量降到最低。4.3網(wǎng)絡(luò)構(gòu)架設(shè)計(jì)該公司網(wǎng)絡(luò)的防火墻、邊界路由器路由器處于整個(gè)網(wǎng)絡(luò)的出口，服務(wù)器群放置于接入層，企業(yè)內(nèi)網(wǎng)子網(wǎng)劃分在核心層完成的，嚴(yán)格遵守三層網(wǎng)絡(luò)架構(gòu)，具體如圖4-1所示。圖4-1網(wǎng)絡(luò)拓?fù)鋱D4.4綜合布線設(shè)計(jì)局域網(wǎng)布線工程設(shè)計(jì)應(yīng)根據(jù)實(shí)際需要設(shè)計(jì)綜合布線系統(tǒng)。布線系統(tǒng)的傳輸能力（帶寬和速率）應(yīng)滿足近期和未來10年內(nèi)數(shù)據(jù)傳輸?shù)男枰?。布線系統(tǒng)應(yīng)具有高度可靠、靈活、管理方便，設(shè)備變動(dòng)時(shí)應(yīng)具有高度的靈活性、管理的方便性、方便升級(jí)等特點(diǎn)。布線工程設(shè)計(jì)時(shí)，應(yīng)在嚴(yán)格遵循各相關(guān)標(biāo)準(zhǔn)、相應(yīng)規(guī)范的基礎(chǔ)上，通過實(shí)地考察，與用戶協(xié)商后，給出最優(yōu)方案。4.4.1綜合布線系統(tǒng)的標(biāo)準(zhǔn)綜合布線系統(tǒng)是一個(gè)非常復(fù)雜的系統(tǒng)，它包括各種電纜，連接器，轉(zhuǎn)接器，轉(zhuǎn)接器，測試設(shè)備和其他設(shè)備，以及各種技術(shù)工具，并考慮到實(shí)施所需的時(shí)間。許多生產(chǎn)相關(guān)的設(shè)備制造商，他們的產(chǎn)品是獨(dú)一無二的。為了使產(chǎn)品互相兼容，使系統(tǒng)更加開放，易于使用和管理，集成度更高，他們必須制定標(biāo)準(zhǔn)；[12]該網(wǎng)絡(luò)規(guī)劃中的綜合布線系統(tǒng)的標(biāo)準(zhǔn)采用的是EIA/TIA-568（商用建筑電信布線標(biāo)準(zhǔn)）。1.EIA/TIA-568標(biāo)準(zhǔn)的目的是：設(shè)立一種可以支持多供應(yīng)商環(huán)境通用的電信布線系統(tǒng)；商業(yè)建筑可以綜合布線系統(tǒng)設(shè)計(jì)與安裝；建立以及完善布線系統(tǒng)配置的技術(shù)標(biāo)準(zhǔn)。2.EIA/TIA-568標(biāo)準(zhǔn)的基本內(nèi)容如下：辦公環(huán)境中電信布線的最低要求；建議的拓?fù)浣Y(jié)構(gòu)和距離；決定性能的介質(zhì)參數(shù)；連接器以及引腳功能分配，保證互通性；電信布線系統(tǒng)使用壽命必須有十年以上才行。4.4.2綜合布線系統(tǒng)的設(shè)計(jì)原則綜合布線系統(tǒng)的設(shè)計(jì)應(yīng)該滿足以下原則：1.布線系統(tǒng)應(yīng)采用星型拓?fù)浣Y(jié)構(gòu)，在支持網(wǎng)絡(luò)數(shù)據(jù)的同時(shí)，還應(yīng)兼顧視頻會(huì)議、網(wǎng)絡(luò)監(jiān)控等系統(tǒng)的需求。2.在具體設(shè)計(jì)布線系統(tǒng)的六個(gè)子系統(tǒng)時(shí)，應(yīng)注意其設(shè)計(jì)要點(diǎn)。3.根據(jù)實(shí)際需要，選擇合適的布線系統(tǒng)。當(dāng)網(wǎng)絡(luò)的要求不明確時(shí)，按照綜合布線系統(tǒng)水平上的考慮設(shè)計(jì)。4.根據(jù)實(shí)際傳輸數(shù)據(jù)的要求選擇相應(yīng)等級(jí)的線材和硬件連接設(shè)備。4.4.3綜合布線系統(tǒng)的設(shè)計(jì)辦公樓的水平布線設(shè)計(jì)按照綜合布線的原則和標(biāo)準(zhǔn)，根據(jù)企業(yè)辦公樓建筑的實(shí)際情況，設(shè)計(jì)了每層樓的綜合布線。每層樓的綜合布線均采用以下圖示。圖4-2辦公樓1層光纖由辦公樓四樓機(jī)房引至一樓弱電井，弱電井內(nèi)至每個(gè)辦公室的網(wǎng)線走在吊頂?shù)臉蚣軆?nèi)。橋架到辦公室吊頂上后由PVC管材走到每個(gè)信息點(diǎn)，接待室內(nèi)有無線wifi覆蓋。每個(gè)部門都有自己的打印機(jī)，前臺(tái)處有一臺(tái)打印機(jī)和一臺(tái)PC電腦。圖4-3辦公樓1層的綜合布線設(shè)計(jì)辦公樓2層綜合布線設(shè)計(jì)光纖由四樓機(jī)房引至二樓弱電井，弱電井內(nèi)至每個(gè)辦公室的網(wǎng)線走在吊頂?shù)臉蚣軆?nèi)。橋架到辦公室吊頂上后由PVC管材走到每個(gè)信息點(diǎn)，項(xiàng)目討論室和會(huì)客室均有無線覆蓋，每個(gè)部門都有設(shè)置打印機(jī)。圖4-4辦公樓2層的綜合布線設(shè)計(jì)辦公樓3層綜合布線設(shè)計(jì)光纖由四樓機(jī)房引至三樓弱電井，弱電井內(nèi)至每個(gè)辦公室的網(wǎng)線走在吊頂?shù)臉蚣軆?nèi)。橋架到辦公室吊頂上后由PVC管材走到每個(gè)信息點(diǎn)，會(huì)議室有無線wifi覆蓋，每個(gè)部門都有自己的打印機(jī)。圖4-5辦公樓3層的綜合布線設(shè)計(jì)辦公樓4層綜合布線設(shè)計(jì)機(jī)房中心放置于四樓信息管理部，弱電井內(nèi)至每個(gè)辦公室的網(wǎng)線走在吊頂?shù)臉蚣軆?nèi)。橋架到辦公室吊頂上后由PVC管材走到每個(gè)信息點(diǎn)，每個(gè)部門都有自己的打印機(jī)。圖4-6辦公樓4層綜合布線設(shè)計(jì)辦公樓的垂直布線設(shè)計(jì)主干線路的光纖是六芯多模光纖，由中信外網(wǎng)進(jìn)入網(wǎng)絡(luò)機(jī)房，通過各樓的光纖連接生產(chǎn)區(qū)和倉庫。圖4-7主干線路的設(shè)計(jì)圖廠房的綜合布線設(shè)計(jì)生產(chǎn)車間的綜合布線中，為了更好地連接與接收信號(hào)，采取部屬的光纖為超五類雙絞線。圖4-8生產(chǎn)車間的綜合布線設(shè)計(jì)倉庫的綜合布線設(shè)計(jì)倉庫的綜合布線考慮的主導(dǎo)因素也是在于光纖的選擇，采用多模光纖進(jìn)行綜合考慮和設(shè)計(jì)。圖4-9倉庫的綜合布線設(shè)計(jì)4.5網(wǎng)絡(luò)IP規(guī)劃整個(gè)網(wǎng)絡(luò)采用兩層結(jié)構(gòu)，核心層采用雙核心，兩臺(tái)核心交換機(jī)做負(fù)載均衡，其中總公司和分公司之間通過VPN線路進(jìn)行連接，本次規(guī)劃將該企業(yè)各個(gè)部門劃分為一個(gè)獨(dú)立的VLAN，且每個(gè)部門都有自己的網(wǎng)段和默認(rèn)網(wǎng)關(guān)，因部門設(shè)備可能變化，固不劃分子網(wǎng)，采用標(biāo)準(zhǔn)子網(wǎng)掩碼，每個(gè)部門的IP地址足夠以后企業(yè)在發(fā)展壯大的過程中新增信息點(diǎn)。詳細(xì)情況可見表4-1。表4-1VLAN及IP的規(guī)劃VLAN號(hào)VLAN名稱IP網(wǎng)段默認(rèn)網(wǎng)關(guān)說明Vlan10zonghebu/2454綜合部Vlan20lingdao/2454領(lǐng)導(dǎo)辦公室（包括總經(jīng)理、銷售總監(jiān)和技術(shù)總監(jiān)）Vlan30caiwu/2454財(cái)務(wù)部Vlan40renli/2454人力資源部Vlan50jishubu/2454技術(shù)部Vlan60xiaoshoubu/2454銷售部Vlan70houqingbu/2454后勤部Vlan80xingzhengbu/2454行政部Vlan90xinxibu/2454信息管理部Vlan100huiyishi/2454會(huì)議室Vlan110jiedaichu/2454接待處、會(huì)客室,該網(wǎng)關(guān)便于設(shè)置其不能使用VPNVlan120fuwuqi/2454服務(wù)器Vlan130cangkuqu/2454倉庫區(qū)Vlan140Wangluobangong/2454辦公設(shè)備Vlan220vpn/2454外網(wǎng)的vlan，方便添加訪問控制列表4.6網(wǎng)絡(luò)安全設(shè)計(jì)根據(jù)客戶網(wǎng)絡(luò)安全需求，網(wǎng)絡(luò)安全規(guī)劃如下：根據(jù)該企業(yè)網(wǎng)絡(luò)的實(shí)際情況，制定了如下網(wǎng)絡(luò)安全保障措施：1.將網(wǎng)站各服務(wù)器安放在中心機(jī)房，配備8小時(shí)以上的UPS及足夠功率的空調(diào)。2.在機(jī)房做好安全防范措施，盡量防止外人的進(jìn)入[13]。3.管理服務(wù)器的人員要對日常系統(tǒng)進(jìn)行檢查和防范，一有問題要馬上處理。4.當(dāng)系統(tǒng)處于閑置狀態(tài)或長時(shí)間關(guān)閉時(shí)要做好查殺病毒準(zhǔn)備工作，防止出現(xiàn)漏洞[14]。5.服務(wù)器需要密碼登陸才能進(jìn)入。6.為了防止他人進(jìn)入，要設(shè)置用戶名及密碼并綁定相應(yīng)的IP進(jìn)入后臺(tái)。7.部門內(nèi)的網(wǎng)絡(luò)專員都是以符合高專業(yè)知識(shí)的態(tài)度去做好定時(shí)更新網(wǎng)絡(luò)信息的工作。8.領(lǐng)導(dǎo)對新信息的發(fā)布有重大的責(zé)任意識(shí)。9.關(guān)鍵網(wǎng)絡(luò)之間做好訪問控制，總公司和分公司之間通過VPN虛擬專線連接。4.7網(wǎng)絡(luò)綜合拓?fù)湓O(shè)計(jì)根據(jù)天心輕工制品有限公司本部和分部的網(wǎng)絡(luò)應(yīng)用需求，網(wǎng)絡(luò)采用分層模式進(jìn)行設(shè)計(jì)，其中，本部和分部采用VPN建立連接，具體網(wǎng)絡(luò)拓?fù)淙鐖D4-10所示。圖4-10網(wǎng)絡(luò)綜合的拓?fù)湓O(shè)計(jì)圖4.8本章小結(jié)本章對通過對整個(gè)網(wǎng)絡(luò)的需求進(jìn)行詳細(xì)分析后，對整個(gè)網(wǎng)絡(luò)的結(jié)構(gòu)，IP地址，vlan等進(jìn)行了詳細(xì)的規(guī)劃，還包括整個(gè)網(wǎng)絡(luò)的綜合布線，通過以上幾個(gè)方面的規(guī)劃，制定出來符合該公司需求的網(wǎng)絡(luò)。5網(wǎng)絡(luò)設(shè)計(jì)方案的實(shí)施與測試5.1施工前準(zhǔn)備首先進(jìn)行項(xiàng)目培訓(xùn)，通知采購部門進(jìn)行設(shè)備采購進(jìn)場實(shí)施人員安排及關(guān)系如下：圖圖5-1人員的安排及關(guān)系5.2網(wǎng)絡(luò)設(shè)備部署本網(wǎng)絡(luò)通過對交換機(jī)、無線AP、防火墻、路由器等進(jìn)行綜合性的分析，分別作出下面相應(yīng)的部署計(jì)劃來實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的構(gòu)架和連通。5.2.1核心交換機(jī)部署1）核心交換機(jī)板卡安裝上架，并接通核心交換機(jī)電源至機(jī)柜PUD，開機(jī)。2）核心交換機(jī)光模塊安裝，并進(jìn)行光纖跳線連接。3）console口與核心交換機(jī)的連接在配置整個(gè)核心交換機(jī)中是至關(guān)重要的[15]。5.2.2樓層交換機(jī)部署1）樓層交換機(jī)上架，連接電源開機(jī)并進(jìn)行光模塊的安裝。2）接通由核心交換機(jī)部署過來的光纖。3)連接樓層交換機(jī)console口進(jìn)行端口劃分vlan配置。4）初步測試與核心交換機(jī)的連通性。5.2.3無線AP部署1）連接無線APconsole口，對無線AP進(jìn)行配置。2)將無線AP安裝在指定位置（注意周圍不能有太多的金屬，以免影響無線信號(hào)），連接接入層交換機(jī)部署過來的網(wǎng)線。3）用無線設(shè)備測試無線AP信號(hào)，如果信號(hào)受到干擾須更換AP部署位置，并測試和核心交換機(jī)的連通性。5.2.4防火墻部署1）防火墻上架，接通電源開機(jī)2）將防火墻連接在外網(wǎng)接入的入口。3）防火墻配置，設(shè)置各種安全協(xié)議（訪問控制，網(wǎng)絡(luò)流量監(jiān)控等等）。5.2.5路由器部署1）路由器上架，接通電源開機(jī)2）連接路由器的cnosole口，對路由器進(jìn)行配置（主要包含NAT和VPN以及路由協(xié)議）。5.3服務(wù)器部署在整個(gè)網(wǎng)絡(luò)中，服務(wù)器的部署是至關(guān)重要的。本網(wǎng)絡(luò)通過在web服務(wù)器、郵件服務(wù)器、殺毒服務(wù)器上安裝各自所需的軟件從此進(jìn)行上架和導(dǎo)軌，并完成相應(yīng)的組建，最后查看服務(wù)器是否可以正常運(yùn)行和管理。（1）在服務(wù)器機(jī)柜上安裝郵件、殺毒以及Web服務(wù)器導(dǎo)軌，然后將服務(wù)器上架。（2）接通三臺(tái)服務(wù)器電源（服務(wù)器都為雙電源，兩個(gè)電源全部接通）并為每臺(tái)安裝winsowsserver2008操作系統(tǒng)。（3）為每臺(tái)服務(wù)器安裝IIS服務(wù)，并安裝相應(yīng)需要的組建。（4）在Web服務(wù)器上安裝mysql數(shù)據(jù)庫，部署服務(wù)器，發(fā)布公司主頁，通過外網(wǎng)瀏覽公司主頁，測試瀏覽是否正常。（5）在郵件服務(wù)器上安裝郵件服務(wù)器軟件，部署郵件服務(wù)器后測試郵件服務(wù)器，查看郵件服務(wù)器運(yùn)行情況。（6）在殺毒服務(wù)器上安裝360殺毒軟件企業(yè)版，部署殺毒服務(wù)器后，在內(nèi)網(wǎng)發(fā)布?xì)⒍拒浖蛻舳税惭b包，在每臺(tái)公司PC上部署殺毒軟件客戶端，查看服務(wù)器端是否可以正常管理客戶端。5.4網(wǎng)絡(luò)配置與實(shí)現(xiàn)最終用PT模擬軟件模擬出了該企業(yè)網(wǎng)絡(luò)的設(shè)計(jì)，如圖5-2所示：圖5-2網(wǎng)絡(luò)設(shè)計(jì)的模擬圖5.5網(wǎng)絡(luò)配置整個(gè)網(wǎng)絡(luò)的配置，首先配置核心層，TRUNK中繼，VTP透明傳輸，生成樹根選舉和鏈路聚合，以及跟蹤tracert命令的路徑，這樣做一系列訪問配置，實(shí)現(xiàn)了整個(gè)網(wǎng)絡(luò)的需求。(1)網(wǎng)關(guān)的冗余：核心交換機(jī)hexin1(config)#interfacevlan10hexin1(config-if)#ipaddress52hexin1(config-if)#ipaccess-groupcaiwuchuinhexin1(config-if)#standbyversion2hexin1(config-if)#standby10ip54//設(shè)置vlan10的虛擬網(wǎng)關(guān)為54hexin1(config-if)#standby10priority120//設(shè)置HSRP的優(yōu)先級(jí)為120，保證成為主的網(wǎng)關(guān)（active）hexin1(config-if)#standby10preempt//設(shè)置VLAN10搶占!hexin1(config-if)#interfaceVlan70hexin1(config-if)#ipaddress52hexin1(config-if)#ipaccess-groupcaiwuchuinhexin1(config-if)#standbyversion2hexin1(config-if)#standby70ip54//默認(rèn)優(yōu)先級(jí)為100，確保做為虛擬網(wǎng)關(guān)的備份hexin1(config-if)#standby70preempt（2)遠(yuǎn)程撥號(hào)VPN：Router(config)#aaanew-model//啟用AAA,對撥號(hào)上來的用戶名和密碼認(rèn)證Router(config)#aaaauthenticationloginnocaslinenoneRouter(config)#aaaauthenticationloginremotelocal//用本地?cái)?shù)據(jù)庫認(rèn)證Router(config)#aaaauthorizationnetworkremotelocal//用戶的授權(quán)Router(config)#usernameremotepassword0cisco//撥號(hào)上來的用戶名和密碼Router(config)#cryptoisakmppolicy10Router(config-isakmp)#hashmd5//對于撥號(hào)上來的驗(yàn)證方式用HASHRouter(config-isakmp)#authenticationpre-share//預(yù)共享密鑰Router(config-isakmp)#group2//放在組2中Router(config-isakmp)#iplocalpoolippool0//用戶撥上來的分配的地址，并且地址池的名字為ippool!Router(config)#cryptoisakmpclientconfigurationgroupipsecgroupRouter(config-isakmp-group)#keyciscoRouter(config-isakmp-group)#poolippool//地址池Router(config-isakmp-group)#aclsplit-tunnel//默認(rèn)情況下，撥號(hào)上來的用戶直連都是不通的，所以啟用水平隧道Router(config)#cryptoisakmpprofilecisco//用戶的文件屬性Router(config)#matchidentitygroupipsecgroupRouter(config)#clientauthenticationlistremoteRouter(config)#isakmpauthorizationlistremoteRouter(config)#clientconfigurationaddressrespondRouter(config)#cryptoipsectransform-setciscoesp-desesp-md5-hmacRouter(config)#cryptodynamic-mapcisco10Router(config-crypto-map)#settransform-setcisco//調(diào)用上述的轉(zhuǎn)換集Router(config-crypto-map)#setisakmp-profilecisco//調(diào)用上述的profileRouter(config-crypto-map)#reverse-route//讓客戶端撥進(jìn)來的時(shí)候產(chǎn)生默認(rèn)一條路由!Router(config-crypto-map)#cryptomapcisco10ipsec-isakmpdynamiccisco（3）接入層交換機(jī)VLAN的劃分access-zhb-switch#showvlanbriefVLANNameStatusPorts1defaultactiveGig1/1,Gig1/210zonghebuactiveFa0/3,Fa0/4,Fa0/5,Fa0/6Fa0/7,Fa0/8,Fa0/9,Fa0/10Fa0/11,Fa0/12,Fa0/13,Fa0/14Fa0/15,Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21,Fa0/22Fa0/2320lingdaoactiveFa0/2430caiwuactiveFa0/1140renliactiveFa0/20,Fa0/2150houqinactiveFa0/7,Fa0/860xingzhenactiveFa0/19,Fa0/2070xinxiactiveFa0/5,Fa0/680huiyiactiveFa0/19,Fa0/2090jiedaiactiveFa0/22100jishuactiveFa0/20,Fa0/21110xiaoshouactiveFa0/22120fuwuqiactiveFa0/7,Fa0/8130cangkuactiveFa0/22--More--（4）接入層和核心層交換機(jī)VLAN的Trunk(中繼)Access-XXB-switch#showinterfacestrunkPortModeEncapsulationStatusNativevlanFa0/1on802.1qtrunking1Fa0/2on802.1qtrunking1PortVlansallowedontrunkFa0/11-1005Fa0/21-1005PortVlansallowedandactiveinmanagementdomainFa0/11,10,20,30,40,50,60,70,80,90,100,110,120,130,140,220Fa0/21,10,20,30,40,50,60,70,80,90,100,110,120,130,140,220PortVlansinspanningtreeforwardingstateandnotprunedFa0/110,20,30,40,70,80,90,100Fa0/21,50,60,110,120,130,140,220（5）接入層交換機(jī)和核心層交換機(jī)的VLAN中VTP同步：核心交換機(jī)和樓層交換機(jī)VLAN配置：Hexin1(config)#VTPmodeserver//配置VTP模式server,用來傳遞VLAN的傳遞Hexin1(config)#VTPDomain//配置vtp的域名為Hexin1(config)#interfacerangef0/1-24Hexin1(config-if-range)#switchporttrunkencapsulationdot1q//配置協(xié)議為dot1qHexin1(config-if-range)#switchportmodetrunk//啟用TrunkHexin1(config-if-range)#vlan10//配置VLAN10Hexin1(config-vlan)#namezonghebu//名稱為zonghebuHexin1(config-vlan)#interfaceFastEthernet0/3Hexin1(config-if)#switchportaccessvlan10Hexin1(config-if)#switchportmodeaccess//把F0/3的端口劃入到VLAN10中Access-XXB-switch#showvtpstatusVTPVersion:2ConfigurationRevision:1104MaximumVLANssupportedlocally:255NumberofexistingVLANs:20VTPOperatingMode:ServerVTPDomainName:VTPVTPPruningMode:DisabledVTPV2Mode:DisabledVTPTrapsGeneration:DisabledMD5digest:0xBA0x190xD00x030x110x180x940x61Configurationlastmodifiedbyat3-1-9300:00:00LocalupdaterIDis(novalidinterfacefound)（6）生成樹根在交換機(jī)間的選舉hexin1#showspanninghexin1#showspanning-treevlan10VLAN0010SpanningtreeenabledprotocolieeeRootIDPriority24586Address000C.8574.C23CThisbridgeistherootHelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority24586(priority24576sys-id-ext10)Address000C.8574.C23CHelloTime2secMaxAge20secForwardDelay15secAgingTime20InterfaceRoleStsCostPrio.NbrTypeFa0/1DesgFWD19128.1P2pFa0/2DesgFWD19128.2P2pFa0/3DesgFWD19128.3P2pFa0/9DesgFWD19128.9P2pFa0/10DesgFWD19128.10P2pPo1DesgFWD3128.27Shr（7）核心交換機(jī)的Portchannel鏈路的聚合：Hexin1(config)#interfaceGigabitEthernet0/1Hexin1(config-if)#descriptionlinktoheixin1g0/1Hexin1(config-if)#channel-group1modedesirable//把G0/1和G0/2捆綁在組1中Hexin1(config-if)#switchporttrunkencapsulationdot1qHexin1(config-if)#switchportmodetrunkHexin1(config-if)#interfaceGigabitEthernet0/2Hexin1(config-if)#descriptionlinktoheixn1g0/2Hexin1(config-if)#channel-group1modedesirableHexin1(config-if)#switchporttrunkencapsulationdot1qHexin1(config-if)switchportmodetrunkhexin1#showetherchannelsummaryFlags:D-downP-inport-channelI-stand-alones-suspendedH-Hot-standby(LACPonly)R-Layer3S-Layer2U-inusef-failedtoallocateaggregatoru-unsuitableforbundlingw-waitingtobeaggregatedd-defaultportNumberofchannel-groupsinuse:1Numberofaggregators:1GroupPort-channelProtocolPorts1Po1(SU)PAgPGig0/1(P)Gig0/2(P)（8）用tracert的命令用來做跟蹤路徑核心層交換機(jī)網(wǎng)關(guān)冗余,確保VLAN10-60的VLAN通過核心交換機(jī)1，VLAN70-220的通過核心交換2，以此實(shí)現(xiàn)流量分擔(dān)—負(fù)載均衡，用tracert的命令做路徑的跟蹤hexin1(config)#doshowstandbybriefPindicatesconfiguredtopreempt.InterfaceGrpPriPStateActiveStandbyVirtualIPVl110120PActivelocal5353Vl220120PActivelocal5354Vl330120PActivelocal5354Vl440120PActivelocal5354Vl550120PActivelocal5354Vl660120PActivelocal5354Vl770100PStandby53local54Vl880100PStandby53local54Vl990100PStandby53local54Vl1100100PStandby53local54Vl1110100PStandby53local54Vl1120100PStandby53local54Vl1130100PStandby53local54Vl1140100PStandby53local54Vl2220100PStandby53local54圖5-3tracert命令做路徑的跟蹤hexin2(config-if)#doshowstandbybriefPindicatesconfiguredtopreempt.InterfaceGrpPriPStateActiveStandbyVirtualIPVl110100PStandby52local54Vl220100PStandby52local54Vl330100PStandby52local54Vl440100PStandby52local54Vl550100PStandby52local54Vl660100PStandby52local54Vl770120PActivelocal5254Vl880120PActivelocal5254Vl990120PActivelocal5254Vl1100120PActivelocal5254Vl1110120PActivelocal5254Vl1120120PActivelocal5254Vl1130120PActivelocal5254Vl1140120PActivelocal5254Vl2220120PActivelocal5254圖5-4tracert命令做路徑的跟蹤（9）公司的總部和公司的分部做ISPECVPN：fengongsi(config)#cryptoisakmppolicy10fengongsi(config-isakmp)#hashmd5//做hashfengongsi(config-isakmp)#authenticationpre-share//預(yù)共享密鑰fengongsi(config-isakmp)#group5//并且劃入到組5中fengongsi(config-isakmp)#cryptoisakmpkeyliaoliliaddress//建立VPN的認(rèn)證密碼為liaolilifengongsi(config)#cryptoipsectransform-setTRANesp-desesp-md5-hmacfengongsi(config)#cryptomapMAP10ipsec-isakmpfengongsi(config-crypto-map)#setpeer//只與建立IPSECVPNfengongsi(config-crypto-map)#settransform-setTRANfengongsi(config-crypto-map)#matchaddress110//列表110地址的建立VPNfengongsi(config-crypto-map)#ipnatpoolNATPOOL-1netmask//內(nèi)網(wǎng)轉(zhuǎn)換到公網(wǎng)的地址為fengongsi(config)#ipnatinsidesourcelist10poolNATPOOL-1overload//使用PAT，保證一個(gè)公網(wǎng)對多個(gè)內(nèi)網(wǎng)ipclasslessfengongsi(config)#iproute//到Internet的路由fengongsi(config)#access-list10permit55//僅僅只允許的網(wǎng)段被轉(zhuǎn)換，其它的地址被作為IPSECVPNfengongsi(config)#intS0/3/1fengongsi(config-if)#ipaddressfengongsi(config-if)#ipnatoutside//指定NAT的外部fengongsi(config)#cryptomapMAP//調(diào)用cryptomapfengongsi(config)#intF0/1fengongsi(config-if)#ipaddressfengongsi(config-if)#ipnatinside//指定NAT的內(nèi)部fengongsi(config-if)#duplexautofengongsi(config-if)#speedautofengongsi(config-if)#intF0/0fengongsi(config-if)#ipaddressfengongsi(config-if)#ipnatinside//指定NAT的內(nèi)部fengongsi(config-if)#duplexautofengongsi(config-if)#speedauto用總公司的網(wǎng)段主機(jī)訪問分公司的網(wǎng)段圖5-5效果圖用Tracert命令做路徑跟蹤（模擬器延遲，所以導(dǎo)致有些包會(huì)超時(shí)）圖5-6用Tracert命令做路徑跟蹤5.6網(wǎng)絡(luò)測試測試整個(gè)網(wǎng)絡(luò)連通性，首先查看內(nèi)網(wǎng)連通性以及內(nèi)網(wǎng)訪問控制是否生效，然后測試VPN專線是否連通以及英特網(wǎng)訪問，VPN撥號(hào)連接測試，進(jìn)行連通性測試，最后讓網(wǎng)絡(luò)試運(yùn)行一段時(shí)間，記錄運(yùn)行狀況，對網(wǎng)絡(luò)進(jìn)行進(jìn)一步優(yōu)化。（1）VPN撥號(hào)連接測試公司內(nèi)部的主機(jī)用VPN客戶端進(jìn)行撥號(hào)：VPN的客戶端驗(yàn)證是否成功圖5-7vpn驗(yàn)證認(rèn)證已經(jīng)成功（圖左下角已顯示connect）圖5-8認(rèn)證結(jié)果VPN客戶端認(rèn)證成功