大型企業(yè)網(wǎng)規(guī)劃與設(shè)計(jì)

德州職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)(論文)網(wǎng)上書(shū)店德州職業(yè)技術(shù)學(xué)院（論文）網(wǎng)上書(shū)店第一章前言1.1研究的背景隨著科技的發(fā)展，計(jì)算機(jī)技術(shù)和互聯(lián)網(wǎng)技術(shù)逐漸出現(xiàn)在我們的生活中，使得我們的生活豐富多彩。企業(yè)通關(guān)網(wǎng)絡(luò)進(jìn)行產(chǎn)品的設(shè)計(jì)、制作、交流，使得工作的效益越來(lái)越大，推動(dòng)了社會(huì)的進(jìn)步。計(jì)算機(jī)技術(shù)在很多領(lǐng)域都發(fā)揮了巨大的作用，人們的生活越來(lái)越離不開(kāi)計(jì)算機(jī)技術(shù)。計(jì)算機(jī)技術(shù)的快速發(fā)展，逐漸被應(yīng)用到企業(yè)的各個(gè)部分，網(wǎng)絡(luò)通信技術(shù)隨之而來(lái)，極大地提高了企業(yè)的工作效率。企業(yè)通過(guò)計(jì)算機(jī)技術(shù)，能夠及時(shí)的得到很多有益于企業(yè)的信息，通過(guò)Internet技術(shù)與外部世界進(jìn)行信息交換，從而對(duì)企業(yè)做出一些調(diào)整和決策，迎合市場(chǎng)的需求。企業(yè)能夠快速的與世界聯(lián)系，提高了信息的收集能力。1.2研究的目的及意義企業(yè)通過(guò)企業(yè)網(wǎng)能及時(shí)了解到很多外界信息，使得不同的計(jì)算機(jī)之間能夠相互通信，沒(méi)有了地理位置的限制，企業(yè)人員可以通過(guò)任何計(jì)算機(jī)去訪問(wèn)另一臺(tái)，從而節(jié)約了大量的時(shí)間。要想實(shí)現(xiàn)上述的功能，企業(yè)必須要實(shí)施相應(yīng)的企業(yè)網(wǎng)設(shè)計(jì)的方案，保障網(wǎng)絡(luò)的費(fèi)用、安全、速度、可靠性、可伸縮性、可用性、拓?fù)湟恍┮蛩?。通過(guò)Internet技術(shù)，企業(yè)內(nèi)部能夠使信息流通能加便捷、迅速。企業(yè)都會(huì)有自己獨(dú)立的IP地址和域名，企業(yè)可以在Internet上宣傳自己的產(chǎn)品以及企業(yè)的形象，提高企業(yè)的知名度。當(dāng)企業(yè)做大時(shí)，避免少不了要開(kāi)分公司，主公司與分公司之間的相互交流也是必不可少的，如果是通過(guò)電話來(lái)交流，費(fèi)用太過(guò)高了，此時(shí)可以通過(guò)IP網(wǎng)絡(luò)可以進(jìn)行網(wǎng)絡(luò)視頻會(huì)議。

第二章網(wǎng)絡(luò)技術(shù)的原理2.1大型企業(yè)網(wǎng)設(shè)計(jì)的概述一個(gè)完整的企業(yè)網(wǎng)，可以分為核心骨干網(wǎng)、園區(qū)網(wǎng)、數(shù)據(jù)中心、分支機(jī)構(gòu)、Internet邊緣。核心網(wǎng)通常會(huì)將園區(qū)網(wǎng)、數(shù)據(jù)中心以及網(wǎng)絡(luò)中的分支機(jī)構(gòu)部分連接在一起。在大型企業(yè)網(wǎng)中，整個(gè)網(wǎng)絡(luò)通常有著許多的園區(qū)網(wǎng)，分別分布在網(wǎng)絡(luò)中的不同位置，負(fù)責(zé)者終端用戶與網(wǎng)絡(luò)骨干之間的連接。園區(qū)網(wǎng)使得分布某一個(gè)地理位置內(nèi)的終端用戶能夠訪問(wèn)到網(wǎng)絡(luò)通信服務(wù)以及網(wǎng)絡(luò)資源的共享。數(shù)據(jù)中心則是用來(lái)存放計(jì)算機(jī)系統(tǒng)以及相關(guān)設(shè)備組成部分的設(shè)施，亦被稱(chēng)為服務(wù)器集群。企業(yè)網(wǎng)的分支機(jī)構(gòu)包含路由器、交換機(jī)等設(shè)備，它的作用是連接總部辦公室和各地的分支辦公室，并且各個(gè)主站點(diǎn)之間能夠建立連接。Internet邊界是由路由器、交換機(jī)、防火墻以及其他網(wǎng)絡(luò)設(shè)備所構(gòu)成的，目的是將企業(yè)網(wǎng)連接到Internet上。2.2核心的技術(shù)本設(shè)計(jì)方案全部采用的是Cisco的網(wǎng)絡(luò)設(shè)備。2.2.1路由技術(shù)路由協(xié)議工作在OSI參考模型的第3層（網(wǎng)絡(luò)層），它的作用主要是通信子網(wǎng)間路由數(shù)據(jù)包。路由器能夠?qū)ふ业竭_(dá)目的網(wǎng)絡(luò)的第3層路徑，將分組從一個(gè)接口傳遞到達(dá)領(lǐng)一個(gè)接口，能夠?qū)W習(xí)相鄰路由器，查找和選擇到達(dá)目的網(wǎng)絡(luò)的最佳路徑，同時(shí)也能維護(hù)最新的可達(dá)性信息。路由協(xié)議定義了2種選擇協(xié)議：靜態(tài)路由協(xié)議和動(dòng)態(tài)路由協(xié)議。路由器是外網(wǎng)進(jìn)入企業(yè)網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，路由器保護(hù)內(nèi)網(wǎng)安全通常使用訪問(wèn)控制列表（ACL）。一個(gè)設(shè)計(jì)良好的訪問(wèn)控制列表可以起到控制網(wǎng)絡(luò)流量、流向的作用。路由器處在企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，能夠保護(hù)外網(wǎng)與內(nèi)網(wǎng)之間的通信，即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，也仍需要對(duì)路由器的訪問(wèn)控制列表進(jìn)行設(shè)計(jì)，從而更好的保護(hù)到企業(yè)內(nèi)網(wǎng)。2.2.2交換技術(shù)交換技術(shù)處于OSI模型的第2層（數(shù)據(jù)鏈路層）。交換機(jī)主要的功能包括物理編址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、流量控制以及錯(cuò)誤驗(yàn)證，同時(shí)能夠支持VLAN（虛擬局域網(wǎng)）和鏈路的匯聚。交換機(jī)可以將一個(gè)大的沖突域分成很多小的沖突域，交換機(jī)利用ASIC（專(zhuān)用集成電路）以硬件的方式交換幀，并且支持全雙工連接和半雙工連接。全雙工連接允許用戶同時(shí)收發(fā)數(shù)據(jù)。不同的交換機(jī)端口支持不同的以太網(wǎng)速度（如10BaseT、100BaseTX）。交換機(jī)的主要功能是學(xué)習(xí)、轉(zhuǎn)發(fā)和清除環(huán)路。學(xué)習(xí)：交換機(jī)學(xué)習(xí)什么設(shè)備連接到哪個(gè)端口號(hào)上。轉(zhuǎn)發(fā)：交換機(jī)可以智能地將數(shù)據(jù)幀轉(zhuǎn)發(fā)到接收站所在的端口。清除環(huán)路：交換機(jī)利用生成樹(shù)協(xié)議（STP）清除環(huán)路，數(shù)據(jù)幀不會(huì)在網(wǎng)絡(luò)中不斷地循環(huán)。以下是用到的一些技術(shù)及其介紹VLAN技術(shù)VLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是在可包括多個(gè)物理網(wǎng)段的相同廣播域中的一組連網(wǎng)設(shè)備，它很適合在不同用戶組之間邏輯的分隔流量。從邏輯的角度上說(shuō)，VLAN是子網(wǎng)。默認(rèn)情況下，一個(gè)VLAN中產(chǎn)生的廣播不會(huì)轉(zhuǎn)發(fā)到另一個(gè)子網(wǎng)中。路由器或第三層設(shè)備提供此邊界功能。每個(gè)子網(wǎng)都需要網(wǎng)絡(luò)號(hào)作為唯一的標(biāo)識(shí)。如果要將不同VLAN間的流量相互傳遞，需要使用路由器。VTP是Cisco專(zhuān)有的協(xié)議，用于傳輸VLAN信息。它有3種模式：Server（服務(wù)器）、Client（客戶）以及Transparent（透明）。服務(wù)器和透明交換機(jī)可以添加、修改、刪除VLAN，由于服務(wù)器通告這些修改，客戶只能被動(dòng)接受更新，保持和服務(wù)器一致。VLAN的出現(xiàn)，解決了以太網(wǎng)的廣播風(fēng)暴，同時(shí)也提高了完全性，通過(guò)在以太網(wǎng)幀的基礎(chǔ)上添加了VLAN頭部，用ID號(hào)把用戶劃分更小的組，而每個(gè)組就相當(dāng)于一個(gè)虛擬的局域網(wǎng)。DHCPDHCP（即動(dòng)態(tài)主機(jī)分配協(xié)議）允許設(shè)備動(dòng)態(tài)獲取相應(yīng)的尋址信息。DHCP最初是在RFC2131中定義的，在2939中獲得更新，是以BOOTP（引導(dǎo)協(xié)議）為基礎(chǔ)的。它定義了2個(gè)組件：服務(wù)器和客戶端。服務(wù)器負(fù)責(zé)為客戶端分配尋址信息，客戶端可以從服務(wù)器請(qǐng)求尋址信息。DHCP能夠減少設(shè)備的配置量；降低獲得地址信息的設(shè)備上的配置錯(cuò)誤出現(xiàn)的可能性；通過(guò)集中化IP尋址信息和管理來(lái)提供更多的管理控制?？蛻舳藶榱双@得尋址信息，首先，客戶端生成一個(gè)DHCPDISCOVER本地廣播,發(fā)現(xiàn)哪些DHCP服務(wù)器在LAN網(wǎng)段上。在該網(wǎng)段上的所有DHCP服務(wù)器都能夠用DHCPDISCOVER單播消息來(lái)響應(yīng)服務(wù)器，該消息為客戶端提供IP尋址信息。如果客戶端收到多個(gè)服務(wù)器的消息，會(huì)選取最先收到消息的服務(wù)器?？蛻舳擞肈HCPREQUEST消息回應(yīng)服務(wù)器，告訴該服務(wù)器它想得到的服務(wù)器所發(fā)的尋址信息。DHCP服務(wù)器服務(wù)器用DHCPACK消息進(jìn)行回應(yīng)，指明服務(wù)器已經(jīng)收到DHCPREQUEST消息，并且客戶端接受尋址信息。HSRPHSRP：熱備份路由器協(xié)議（HSRP：HotStandbyRouterProtocol）在整個(gè)企業(yè)網(wǎng)中，虛擬網(wǎng)絡(luò)之間的交換是通過(guò)2臺(tái)交換機(jī)實(shí)現(xiàn)的。2臺(tái)交換機(jī)通過(guò)Cisco的HSRP，從而實(shí)現(xiàn)路由設(shè)備之間的冗余。HSRP協(xié)議針對(duì)于IP協(xié)議。HSRP協(xié)議利用優(yōu)先級(jí)，決定出配置了HSRP協(xié)議的路由器作為默認(rèn)的主動(dòng)路由器。（優(yōu)先級(jí)最高的即為主動(dòng)路由器）當(dāng)主動(dòng)路由器出現(xiàn)問(wèn)題不能工作時(shí)，HSRP將激活備份路由器，取代主動(dòng)路由器，從而保障網(wǎng)絡(luò)的聯(lián)通。HSRP提供了一種機(jī)制，用來(lái)判斷哪臺(tái)路由器應(yīng)該充當(dāng)活躍角色轉(zhuǎn)發(fā)流量。HSRP還提供了一種機(jī)制，來(lái)選出活躍角色什么時(shí)候由備用路由器接管。從一臺(tái)轉(zhuǎn)發(fā)路由器到另一臺(tái)轉(zhuǎn)發(fā)路由器的轉(zhuǎn)換過(guò)程對(duì)于終端來(lái)說(shuō)是透明的。PVSTPVST:Per-VLANSpanningTree（每VLAN生成樹(shù)）PVST是為了解決在虛擬局域網(wǎng)上處理生成樹(shù)的方案。PVST+中的每個(gè)VLAN都將會(huì)開(kāi)發(fā)屬于自己的無(wú)環(huán)拓?fù)洌遣粫?huì)創(chuàng)建經(jīng)過(guò)優(yōu)化的無(wú)環(huán)路網(wǎng)絡(luò)。如果STP更改發(fā)生在一個(gè)VLAN中，這些更改不會(huì)影響其它VLAN的其它STP實(shí)例，從而使得網(wǎng)絡(luò)拓?fù)涓拥姆€(wěn)定。PVST+為每個(gè)VLAN都提供了一個(gè)STP實(shí)例——這是Cisco所特有的。AAA驗(yàn)證AAA身份驗(yàn)證(Authentication)、授權(quán)(Authorization)和統(tǒng)計(jì)(Accounting)Cisco開(kāi)發(fā)的一個(gè)提供網(wǎng)絡(luò)安全的系統(tǒng)【1】。認(rèn)證(Authentication)：指用戶在使用網(wǎng)絡(luò)系統(tǒng)中的資源時(shí)對(duì)用戶的身份進(jìn)行的確認(rèn);授權(quán)(Authorization)：指網(wǎng)絡(luò)系統(tǒng)授權(quán)用戶以固定的形式使用資源;統(tǒng)計(jì)(Accounting)：指網(wǎng)絡(luò)系統(tǒng)收集、記錄用戶對(duì)網(wǎng)絡(luò)資源使用的情況，以便于了解用戶對(duì)資源的使用情況。認(rèn)證部分向用戶提供認(rèn)證。整個(gè)認(rèn)證一般是采用輸入用戶名與密碼的形式來(lái)進(jìn)行權(quán)限管理。認(rèn)證的原理是每個(gè)用戶都有一個(gè)唯一的權(quán)限獲得標(biāo)準(zhǔn)。由AAA服務(wù)器將用戶的標(biāo)準(zhǔn)同數(shù)據(jù)庫(kù)中每個(gè)用戶的標(biāo)準(zhǔn)一一核對(duì)。如果符合條件，那用戶可以使用資源；如果不符合條件，用戶則無(wú)法連接。用戶通過(guò)授權(quán)來(lái)獲得操作相應(yīng)任務(wù)的權(quán)限。當(dāng)用戶登陸系統(tǒng)后，用戶可能會(huì)執(zhí)行一些命令來(lái)進(jìn)行操作，這時(shí)，授權(quán)過(guò)程會(huì)檢測(cè)用戶是否擁有執(zhí)行這些命令的權(quán)限。一旦用戶通過(guò)了認(rèn)證，他們也就被授予了相應(yīng)的權(quán)限。最后一步是統(tǒng)計(jì)，這一過(guò)程將會(huì)計(jì)算用戶在連接過(guò)程中消耗的資源數(shù)目。這些資源包括連接時(shí)間或者用戶在連接過(guò)程中的收發(fā)流量等等?？梢愿鶕?jù)連接過(guò)程的統(tǒng)計(jì)日志以及用戶信息，還有授權(quán)控制、賬單、趨勢(shì)分析、資源利用以及容量計(jì)劃活動(dòng)來(lái)執(zhí)行帳戶過(guò)程。驗(yàn)證授權(quán)和帳戶由AAA服務(wù)器來(lái)提供。AAA服務(wù)器是一個(gè)能夠提供這三項(xiàng)服務(wù)的程序。當(dāng)前同AAA服務(wù)器協(xié)作的網(wǎng)絡(luò)連接服務(wù)器接口是“遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)(RADIUS)”【2】。2.3線纜2.3.1線纜的介紹常用的網(wǎng)線是串口線和雙絞線，雙絞線是通過(guò)2種相互絕緣的金屬絞合而成的導(dǎo)線，正由于絕緣，雙絞線可以抵擋一些來(lái)自網(wǎng)外的電磁波干擾，雙絞線之間的相互干擾也相對(duì)較低。將2個(gè)絕緣的導(dǎo)線相互絞在一起，它們所干擾的信號(hào)是一致的，接收信號(hào)時(shí)的差分電路能夠?qū)⑦@些干擾信號(hào)抵消掉，從而能夠獲得有用的信號(hào)。雙絞線可以分成屏蔽雙絞線（STP）和非屏蔽雙絞線（UTP）。在屏蔽雙絞線的外緣有個(gè)金屬屏蔽層。屏蔽雙絞線有2種：STP和FTP。STP中的每一條線都有著屏蔽層，而FTP只是在整個(gè)的線纜才有著屏蔽裝置，而且是兩端連接正確才有用。非屏蔽雙絞線沒(méi)有屏蔽外套，直徑比較小，可以節(jié)省空間的占用，而且應(yīng)用的成本比較低廉；重量輕，可以隨意彎曲；能夠讓串?dāng)_減至最低，能夠阻燃；具有靈活性以及獨(dú)立性，可以適用在結(jié)構(gòu)化的綜合布線；可以傳輸數(shù)字?jǐn)?shù)據(jù)和模擬數(shù)據(jù)。雙絞線按照線的直徑可以分為：一類(lèi)線（CAT1）：它的線纜最高的頻率帶寬是750KHz,只適用于語(yǔ)音的傳輸，與數(shù)據(jù)傳輸不同；二類(lèi)線（CAT2）：它的線纜最高的頻率帶寬是1MHz，在語(yǔ)音傳輸與最高的傳輸速率可達(dá)到4Mbps的數(shù)據(jù)傳輸；三類(lèi)線（CAT3）：它是目前ANSI與EIA/TIA568標(biāo)準(zhǔn)使用的電纜，它的傳輸頻率可達(dá)16MHz,最高的傳輸速率是10Mbps，主要用于語(yǔ)音、10BASE-T（10Mbit/s以太網(wǎng)）以及4Mbit/s的令牌環(huán)；四類(lèi)線（CAT4）：它的線纜傳輸頻率可達(dá)20MHz，用在語(yǔ)音傳輸和最高的傳輸速率為16Mbps的數(shù)據(jù)傳輸，主要用于局域網(wǎng)以及（10/100）BASE-T;五類(lèi)線（CAT5）：它增加了線纜的繞線密度，外套有著一種高質(zhì)量的絕緣材料，它的最高頻率帶寬可達(dá)到100MHz，最高傳輸率為100Mbps；超五類(lèi)線（CAT5e）：它衰減小，串聯(lián)的干擾也小，主要應(yīng)用在1000Mbps的以太網(wǎng)中【3】；計(jì)算機(jī)網(wǎng)絡(luò)一般使用的是三類(lèi)線和五類(lèi)線，10BASE-T使用三類(lèi)線，100BASE-T使用五類(lèi)線。2.3.2雙絞線的制作國(guó)際上制作的雙絞線有2中標(biāo)準(zhǔn)：EIA/TIA568A和EIA/TIA568B。EIA/TIA568A排線的順序?yàn)?綠白、2綠、3橙白、4藍(lán)、5藍(lán)白、6橙、7棕白、8棕[4]。EIA/TIA568B排線的順序?yàn)?橙白、2橙、3綠白、4藍(lán)、5藍(lán)白、6綠、7棕白、8棕[4]。圖2-1兩種雙絞線雙絞線的順序和RJ45頭的引腳序列號(hào)是相互對(duì)應(yīng)的。為了使雙絞線使用的范圍更廣，為此，采用8芯線的雙絞線。100BASE-T4RJ-45對(duì)雙絞線的規(guī)定：1、2必須要用雙絞線：為了發(fā)送數(shù)據(jù)流量；3、4為雙絞線：為了接收數(shù)據(jù)流量；5、6為雙絞線：用于語(yǔ)音；7、8為雙絞線：是雙向線。雙絞線又可以分為平行線（直通線）和交叉線。2.3.3選擇線纜的優(yōu)點(diǎn)線纜傳輸數(shù)據(jù)流量時(shí)，它的傳輸距離較遠(yuǎn)，而且傳輸時(shí)流量不易丟失。雙絞線收發(fā)器中采用了新的處理方法，保持了原始數(shù)據(jù)信息，確保了它的實(shí)時(shí)性，而且傳輸過(guò)程不會(huì)輕易的失真。根據(jù)線纜的可以隨意彎曲的特征，它布線比較方便，利用率很高。它可以在強(qiáng)干擾的環(huán)境下傳輸信號(hào)，有著極強(qiáng)的抗干擾能力，可以有效地抑制工模干擾。通過(guò)一根線纜中，幾對(duì)雙絞線之間分別傳遞不同的信號(hào)，它們之間不會(huì)相互干擾。線纜的可靠性比較高，而且方便使用?，F(xiàn)如今線纜使用的十分廣泛，價(jià)格比較便宜，取材方便。

第三章需求分析3.1設(shè)計(jì)原則網(wǎng)絡(luò)設(shè)計(jì)是保障網(wǎng)絡(luò)工程質(zhì)量的重要環(huán)節(jié)，一個(gè)好的網(wǎng)絡(luò)設(shè)計(jì)方案，能夠大大提高工作效率，節(jié)省大量的時(shí)間。此方案是從企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備的選擇、網(wǎng)絡(luò)的維護(hù)和管理等反面進(jìn)行設(shè)計(jì)。為了使企業(yè)的拓?fù)涓鼮楹侠恚W(wǎng)絡(luò)設(shè)計(jì)過(guò)程應(yīng)該遵守以下的原則：費(fèi)用：包括網(wǎng)絡(luò)組件、安裝以及維護(hù)的費(fèi)用；安全：保護(hù)網(wǎng)絡(luò)組件和組件內(nèi)的資源，以及組件之間的信息數(shù)據(jù)傳輸；可用性：構(gòu)建網(wǎng)絡(luò)時(shí)必須根據(jù)現(xiàn)實(shí)，網(wǎng)絡(luò)完成后，也要為設(shè)備的不能用而可以采用的緊急措施；可伸縮性：網(wǎng)絡(luò)架構(gòu)要具有一定的變化性，能夠適應(yīng)企業(yè)的調(diào)整。3.2大型企業(yè)網(wǎng)的功能需求此次企業(yè)網(wǎng)的設(shè)計(jì)中，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)采用的是星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，因?yàn)樾切途W(wǎng)絡(luò)拓?fù)渚哂邪踩?、可靠、可伸縮性等特點(diǎn)。通過(guò)層次化模型設(shè)計(jì)出的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，降低了設(shè)計(jì)時(shí)所用的成本。此設(shè)計(jì)將整個(gè)企業(yè)網(wǎng)化成3部分：核心層、匯聚層以及接入層。本企業(yè)在設(shè)計(jì)時(shí)做出以下的需求：本企業(yè)中所有電腦都能保證能夠連接到Internet,核心交換采用三層交換機(jī)進(jìn)行信息傳遞；企業(yè)內(nèi)網(wǎng)與外網(wǎng)連接的路由器上，使用NAT技術(shù)，進(jìn)行IP地址的轉(zhuǎn)換，使得企業(yè)內(nèi)能正常連網(wǎng)；在核心的3層交換機(jī)上啟用DHCP,將IP地址制動(dòng)分配到各個(gè)部門(mén)，每個(gè)部門(mén)處在不同的VLAN中，為了防止信息傳遞時(shí)做造成的網(wǎng)絡(luò)風(fēng)暴；建立了服務(wù)器集群：DNS服務(wù)器、FTP服務(wù)器、E-mail服務(wù)器以及WWW服務(wù)器；每個(gè)部門(mén)都采用端口安全，保證了內(nèi)網(wǎng)接入的一定是該企業(yè)的成員；核心路由器上為了網(wǎng)絡(luò)的完全著想，采用了ACL技術(shù)，對(duì)數(shù)據(jù)流量進(jìn)行控制訪問(wèn)；分支企業(yè)與主企業(yè)通過(guò)GRE-VPN技術(shù)，進(jìn)行信息傳遞。3.3網(wǎng)絡(luò)地址的接入需求每個(gè)企業(yè)，都會(huì)從運(yùn)營(yíng)商那邊獲取得到一個(gè)IP地址，作為企業(yè)的標(biāo)示，對(duì)Internet資源的訪問(wèn)，都是經(jīng)過(guò)這個(gè)IP地址的，從IP地址可以確定出企業(yè)。企業(yè)的內(nèi)部網(wǎng)絡(luò)，有著很多獨(dú)立的局域網(wǎng)，這些局域網(wǎng)的IP地址網(wǎng)段和從運(yùn)營(yíng)商那里得到的IP地址不在同一網(wǎng)段的，從而這些局域網(wǎng)不能夠連接到Internet上。要想實(shí)現(xiàn)局域網(wǎng)與Internet的互連，一定要在這些局域網(wǎng)與Internet之間添加一個(gè)設(shè)備，這個(gè)設(shè)備上要有NAT技術(shù)，將這些局域網(wǎng)的IP地址轉(zhuǎn)變成和Internet的IP地址在同一網(wǎng)段上。因?yàn)镹AT技術(shù)能夠?qū)?shù)據(jù)包中的局域網(wǎng)的IP地址和端口號(hào)的一些資料信息轉(zhuǎn)變成能夠與Internet互相連接的IP地址和端口號(hào)。3.4網(wǎng)絡(luò)層次的需求分析本次設(shè)計(jì)將企業(yè)網(wǎng)分成3個(gè)層次：核心層、匯聚層以及核心層。3.4.1核心層的需求分析核心層也被稱(chēng)為骨干，高速的骨干是為了用最快的速度進(jìn)行數(shù)據(jù)包的交換。企業(yè)網(wǎng)的設(shè)計(jì)中，核心的骨干使用萬(wàn)兆的以太網(wǎng)鏈路和其他交換機(jī)進(jìn)行連接。從網(wǎng)絡(luò)連通的角度來(lái)說(shuō)，核心層是關(guān)鍵性因素，因此核心層一定要保障它的可用性達(dá)到最高，與此同時(shí)，也要適應(yīng)網(wǎng)絡(luò)的變化。核心層能夠與各個(gè)匯聚層的設(shè)備連接，將不同的局域網(wǎng)絡(luò)連接在了一起，從而形成了一個(gè)整體。3.4.2匯聚層的需求分析匯聚層也被叫做分布層，在這里，它匯集了配線柜，通過(guò)交換機(jī)，企業(yè)將工作組分在了不同的網(wǎng)段，并且通過(guò)交換機(jī)將企業(yè)網(wǎng)中出現(xiàn)的問(wèn)題隔離在了一個(gè)比較小的范圍中。匯聚層位于核心層與接入層之間，擔(dān)任著服務(wù)于控制的邊界，如同一個(gè)關(guān)卡，保障了網(wǎng)絡(luò)的運(yùn)行，提供了很好的網(wǎng)絡(luò)品質(zhì)。匯聚層的主要工作是將數(shù)據(jù)包盡心區(qū)域交換；有著可靠性以及冗余性；可以將有問(wèn)題的區(qū)域進(jìn)行隔離；有著良好的路由交換能力和區(qū)域匯聚能力；便于管理。3.4.3接入層的需求分析接入層是用來(lái)讓用戶、服務(wù)器或者是邊緣的設(shè)備能有訪問(wèn)網(wǎng)絡(luò)。在企業(yè)網(wǎng)中，接入層通常包括了工作站、服務(wù)器、打印機(jī)、無(wú)線接入點(diǎn)等設(shè)備提供鏈接端口的交換機(jī)。在WAN環(huán)境中，對(duì)于遠(yuǎn)程辦公人員或遠(yuǎn)程站點(diǎn)的用戶來(lái)說(shuō)，接入層可以通過(guò)WAN技術(shù)來(lái)幫助他們?cè)L問(wèn)公司的網(wǎng)絡(luò)。接入層是企業(yè)網(wǎng)中特性最為豐富的部分，因?yàn)樵O(shè)計(jì)網(wǎng)絡(luò)的最佳做法就是盡量接近網(wǎng)絡(luò)邊緣的位置應(yīng)用特性，這些特性包括安全、訪問(wèn)控制、過(guò)濾、管理等【3】。

第四章大型企業(yè)網(wǎng)絡(luò)設(shè)計(jì)4.1網(wǎng)絡(luò)邏輯拓?fù)鋱D下面是企業(yè)總公司和分總司以及他們之間互通的邏輯拓?fù)鋱D，VLAN100-105的流量從左面的三層交換機(jī)走，VLAN106-109的流量從右邊的三層交換機(jī)走，其中兩臺(tái)交換機(jī)以及交換機(jī)和路由器之間用光纖相連，其余的用雙絞線中的交叉點(diǎn)和直通線相連。其中，公司和Internet連接通過(guò)NAT的地址轉(zhuǎn)換，兩個(gè)公司之間使用VPN技術(shù)實(shí)現(xiàn)互通的。直通線用于連接兩種不同的設(shè)備，如Router和交換機(jī)PC和Router交叉線一般用于連接兩種相同的設(shè)備，如Router和RouterSwitch和SwitchRouter和PC（特例）圖4-1企業(yè)總公司網(wǎng)絡(luò)拓?fù)鋱D4-2子公司的邏輯拓?fù)鋱D4-3兩個(gè)公司互連拓?fù)鋱D4.2網(wǎng)絡(luò)設(shè)備的選用4.2.1路由器選用3臺(tái)Cisco2811路由器（1）介紹Cisco2811隸屬于Cisco2800系列產(chǎn)品，與相似價(jià)位的前幾代思科路由器相比,Cisco2800系列的性能提高了五倍、安全性和話音性能提高了十倍、具有全新內(nèi)嵌服務(wù)選項(xiàng)，且大大提高了插槽性能和密度，同時(shí)保持了對(duì)目前Cisco1700系列和Cisco2600系列中現(xiàn)有90多種模塊中大多數(shù)模塊的支持，從而提供了極大的性能優(yōu)勢(shì)。思科2811具有先進(jìn)、集成的端到端安全性，以用于提供融合服務(wù)和應(yīng)用。憑借思科IOS軟件高級(jí)安全特性集，它在一個(gè)解決方案集中提供了一系列強(qiáng)大的通用安全特性，如思科IOSSoftwareFirewall、入侵保護(hù)、IPSecVPN、SecureShell（SSH）協(xié)議2.0和簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMPv3）。思科2811提供了2個(gè)10Mbps/100Mbps端口，它能以線速為多條T1/E1/XDSL連接提供多種高質(zhì)量并發(fā)服務(wù)。這些路由器提供了內(nèi)嵌加密加速和主板話音數(shù)字信號(hào)處理器（DSP）插槽；入侵保護(hù)和防火墻功能；集成化呼叫處理和語(yǔ)音留言；用于多種連接需求的高密度接口；以及充足的性能和插槽密度，以用于未來(lái)網(wǎng)絡(luò)擴(kuò)展和高級(jí)應(yīng)用。思科2811特別設(shè)計(jì)可滿足中小型分支機(jī)構(gòu)和中小型企業(yè)對(duì)于目前和未來(lái)應(yīng)用日益提高的需求。將業(yè)界范圍最廣的連接選項(xiàng)與領(lǐng)先的可用性和可靠性特性相結(jié)合。此外，CiscoIOS軟件支持全套傳輸協(xié)議、服務(wù)質(zhì)量（QOS）工具，以及先進(jìn)的安全和話音應(yīng)用。（2）基本參數(shù)表4-1路由器參數(shù)路由器類(lèi)型多業(yè)務(wù)路由器網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.3x傳輸速率10/100Mbps端口結(jié)構(gòu)模塊化局域網(wǎng)接口2個(gè)其它端口2個(gè)板載AIM(內(nèi)部)插槽+4個(gè)接口卡插槽+1個(gè)插槽(支持NM和NME模塊)產(chǎn)品內(nèi)存DRAM：最大760MB閃存最大128MB電源電壓AC100-240V，47-63Hz電源功率160W產(chǎn)品認(rèn)證UL60950，CAN/CSAC22.2No.60950，IEC60950，EN60950-1，AS/NZS60950產(chǎn)品尺寸44.5×438.2×416.2mm產(chǎn)品重量6.4kg環(huán)境標(biāo)準(zhǔn)工作溫度：0-40℃工作濕度5%-95%(無(wú)凝結(jié))存儲(chǔ)溫度-20-65℃存儲(chǔ)濕度5%-95%(無(wú)凝結(jié)4.2.2交換機(jī)選用2臺(tái)Cisco3560-24PS的三層交換機(jī)選用16臺(tái)Cisco2960-24TT的二層交換機(jī)（1）介紹CiscoCatalyst3560系列是一個(gè)固定配置的企業(yè)級(jí)交換機(jī)系列，在快速以太網(wǎng)和千兆以太網(wǎng)配置中包括了POE功能。它是適用于小型企業(yè)局域網(wǎng)接入或分支機(jī)構(gòu)環(huán)境的接入層交換機(jī)，為IP電話、無(wú)線接入、視頻監(jiān)視、建筑物管理系統(tǒng)和遠(yuǎn)程視頻服務(wù)亭等新應(yīng)用的部署提供了支持。CISCOCatalyst2960系列交換機(jī)是一系列采用以太網(wǎng)供電或非POE配置，可提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，并可為入門(mén)級(jí)企業(yè)、中間市場(chǎng)和分支機(jī)構(gòu)網(wǎng)絡(luò)實(shí)現(xiàn)高級(jí)局域網(wǎng)服務(wù)的固定配置獨(dú)立式智能以太網(wǎng)設(shè)備。（2）基本參數(shù)表4-22960-24TT交換機(jī)參數(shù)品牌CISCO/思科設(shè)備類(lèi)型以太網(wǎng)交換機(jī)傳輸模式全/半雙工自適應(yīng)傳輸速率100Mbps端口數(shù)16口-48口應(yīng)用層級(jí)二層背板帶寬4.4GbpsVLAN支持表4-33560-24PS交換機(jī)參數(shù)品牌CISCO/思科設(shè)備類(lèi)型快速以太網(wǎng)交換機(jī)傳輸模式全/半雙工自適應(yīng)傳輸速率100Mbps端口數(shù)52口應(yīng)用層級(jí)三層背板帶寬32GbpsVLAN支持電源電壓AC100-240V，5-2A，50-60Hz產(chǎn)品重量5KG平均無(wú)故障時(shí)間206041小時(shí)環(huán)境標(biāo)準(zhǔn)工作溫度：0-45℃工作濕度：10%-85%（非冷凝）存儲(chǔ)溫度：-25-70℃存儲(chǔ)濕度：10%-85%（非冷凝）4.3企業(yè)的布線設(shè)計(jì)本設(shè)計(jì)骨干采用光纖，骨干傳輸數(shù)據(jù)速率為1000Mbps，傳輸數(shù)據(jù)速率100Mbps。此次設(shè)計(jì)采用分層星型的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。工作區(qū)子系統(tǒng):采用RJ45雙口信息插座，旁邊在配置一個(gè)備用的電源插座，兩個(gè)插座距離地面50cm。水平區(qū)子系統(tǒng)：使用5類(lèi)UTP雙絞線。垂直子系統(tǒng)：采用綜合建筑分布網(wǎng)絡(luò)。管理子系統(tǒng)：五類(lèi)UTP連接至樓層機(jī)柜配線架，使用RJ45跳線與處在樓層的交換機(jī)相連。設(shè)備間子系統(tǒng)：在大樓的第一層配線處。圖4-4企業(yè)布線設(shè)計(jì)圖4.4CISCO模擬器的應(yīng)用本次設(shè)計(jì)是通過(guò)CiscoPacketTracer6.1模擬器制作的，PacketTracer是由思科網(wǎng)絡(luò)公司開(kāi)發(fā)出來(lái)的，是一個(gè)很好地網(wǎng)絡(luò)模擬工具，通過(guò)這個(gè)模擬器，我們可以去設(shè)計(jì)、配置、排除一些網(wǎng)絡(luò)中出現(xiàn)的問(wèn)題。我們可以自己構(gòu)架網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，來(lái)實(shí)現(xiàn)想要的功能。此次通過(guò)CiscoPacketTracer6.1模擬器構(gòu)建的網(wǎng)絡(luò)拓?fù)鋱D如下：圖4-5模擬機(jī)網(wǎng)絡(luò)拓?fù)鋱D

第五章網(wǎng)絡(luò)系統(tǒng)的實(shí)現(xiàn)5.1VLAN以及IP地址的劃分此次設(shè)計(jì)中，該企業(yè)總部一共有9個(gè)部門(mén)，分別是辦公室、銷(xiāo)售部、財(cái)務(wù)部、后勤部、物流部、綜合部、采購(gòu)部、人事部以及售后服務(wù)部。圖5-1企業(yè)網(wǎng)VLAN的劃分表5-1VLAN及IP地址部門(mén)VLAN號(hào)IP地址網(wǎng)段辦公室10/24銷(xiāo)售部10/24財(cái)務(wù)部103/24后勤部104/24物流部105/24綜合部106/24采購(gòu)部107/24人事部108/24售后部109/245.2網(wǎng)絡(luò)設(shè)備配置5.2.1網(wǎng)絡(luò)設(shè)備基礎(chǔ)配置這里使用接入層的銷(xiāo)售部以及二層交換機(jī)為例，如圖5-2：圖5-2在交換機(jī)上Switch>enable進(jìn)入特權(quán)模式Switch#configureterminal進(jìn)入全局配置模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.在這個(gè)模式下（即全局配置模式），按住CTRL和Z鍵，即可退至特權(quán)模式Switch(config)#hostnameXSB將交換機(jī)的名字改成XSB（銷(xiāo)售部的首字母），為了便于管理5.2.2VTP這里使用2個(gè)核心三層交換機(jī)為例，如圖5-3：圖5-3先在SW1上面配置，進(jìn)入全局配置模式（方法如上）Switch（config）#vtpdomainQIYE定義VTP的域名（QIYE）ChangingVTPdomainnamefromNULLtoQIYE提示VTP沒(méi)有域名，改成QIYESwitch（config）#vtpmode?查看VTP的模式clientSetthedevicetoclientmode.serverSetthedevicetoservermode.transparentSetthedevicetotransparentmode.（VTP的模式一共有3種：client、server、transparent）Switch（config）#vtppasswordwang定義VTP的密碼Switch（config）#vtpversion2定義VTP的版本號(hào)為2注：2臺(tái)三層交換機(jī)配置時(shí)，一臺(tái)交換機(jī)（SW1）模式為server,一臺(tái)交換機(jī)（SW2）模式為client,要想SW1和SW2同步，SW1和SW2的域名，密碼以及版本要保持一致，兩臺(tái)交換機(jī)相連的接口，都要起trunk（進(jìn)入接口，switchportmodetrunk）,當(dāng)2個(gè)交換機(jī)同步后，將兩臺(tái)交換機(jī)的VTP模式改為transparent。5.2.3劃分VLAN這里使用一個(gè)核心三層交換機(jī)和一個(gè)2層交換機(jī)，如圖5-4：圖5-4在SW1上，進(jìn)入全局配置模式，Switch（config）#vlan101創(chuàng)建一個(gè)VLANSwitch（config-vlan）#nameBGS將創(chuàng)建的VLAN命名為BGSSwitch（config-vlan）#exit退出VLAN，進(jìn)入全局配置模式Switch（config）#interfacefastEthernet0/1進(jìn)入f0/1這個(gè)接口Switch（config-if）#switchportmodeaccess強(qiáng)制接口為access接口，并且可以與對(duì)方主動(dòng)協(xié)商，使對(duì)方成為access模式。（access：主要是用來(lái)連接終端設(shè)備）Switch（config-if）#switchportaccessvlan101將f0/1劃入VLAN101中在特權(quán)模式上showvlan可以看到出了一個(gè)叫BGS的VLAN101，并且f0/1這個(gè)接口在VLAN101中，如圖5-5：圖5-55.2.4DHCP這里使用一臺(tái)三層交換機(jī)和與辦公室相連接的2層交換機(jī)和一臺(tái)PC，如圖5-6：圖5-6在這里，可以把2個(gè)二層交換機(jī)當(dāng)成不存在，在三層交換機(jī)上進(jìn)行配置：進(jìn)入全局配置模式，Switch（config）#ipdhcppoolvlan101定義一個(gè)DHCP的網(wǎng)絡(luò)地址池Switch（dhcp-config）#network這個(gè)地址池的IP地址都在/24這個(gè)網(wǎng)段中Switch（dhcp-config）#default-router1這些IP地址的網(wǎng)關(guān)都是1Switch（dhcp-config）#dns-server設(shè)置一個(gè)域名服務(wù)器組在三層交換機(jī)上將VLAN101的IP地址配制成1/24。沒(méi)有獲得IP地址時(shí)，如圖5-7：圖5-7獲取到IP地址時(shí)，如圖5-8：5-85.2.5端口安全這里把路由器與交換機(jī)相連，交換機(jī)的f0/1口分別與兩個(gè)相同IP地址的PC連接，在f0/1上進(jìn)行端口安全操作，如圖5-9：圖5-9路由器f0/0接口IP地址為1/24；兩個(gè)PC的IP地址都是/24;在沒(méi)有做任何操作時(shí)，2個(gè)PC都能與路由器相連，如圖5-10：圖5-10在交換機(jī)的f0/1上進(jìn)行配置Switch（config-if）#switchportport-security開(kāi)啟端口防護(hù)Switch（config-if）#switchportport-securitymac-addresssticky將交換機(jī)f0/1接口與辦公室的PC的MAC地址進(jìn)行綁定Switch（config-if）#switchportport-securityviolationshutdown當(dāng)不是辦公室的MAC時(shí)，f0/1這個(gè)接口會(huì)自動(dòng)關(guān)閉（即非企業(yè)PC與交換機(jī)f0/1相連接時(shí)，f0/1接口會(huì)關(guān)閉），如圖5-11：圖5-115.3內(nèi)網(wǎng)設(shè)備的配置5.3.1服務(wù)器的配置雙擊WEB服務(wù)器，進(jìn)入Web服務(wù)器的配置界面，點(diǎn)擊Desktop標(biāo)簽，點(diǎn)擊IPConfiguration，進(jìn)行IP的配置，如圖5-12：圖5-125.3.2交換機(jī)的配置根據(jù)上面VLAN的劃分，將不同的部門(mén)隔離道不同的虛擬網(wǎng)中。二層交換機(jī)（以SW03為例）enableconftvl103vl104vl105創(chuàng)建3個(gè)VLANinterfaceFastEthernet0/1switchportmodetrunkinterfaceFastEthernet0/2switchportmodeaccessswitchportaccessvlan103interfaceFastEthernet0/3switchportmodeaccessswitchportaccessvlan104interfaceFastEthernet0/4switchportmodetrunk與三層交換機(jī)相連的口起trunkinterfaceFastEthernet0/5switchportmodeaccessswitchportaccessvlan105將3個(gè)接口分別劃入3個(gè)對(duì)應(yīng)的VLAN中三層交換機(jī)（以SW01為例）ipdhcppoolv101定義一個(gè)IP地址池networkIP地址網(wǎng)段default-router網(wǎng)關(guān)dns-serverDNSipdhcppoolv102networkdefault-routerdns-serveripdhcppoolv103networkdefault-routerdns-serveripdhcppoolv104networkdefault-routerdns-server定義4個(gè)DHCP地址池，自動(dòng)分配接入層的IP地址iprouting開(kāi)啟三層交換機(jī)的路由功能spanning-treemoderapid-pvstspanning-treevlan105-109priority24576spanning-treevlan100-104priority28672VLAN105-109的流量從SW01走，VLAN100-104的流量從SW02走interfaceFastEthernet0/1noswitchport開(kāi)啟端口的三層口，交換機(jī)默認(rèn)是二層口ipaddressinterfaceFastEthernet0/2switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/3switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/4switchporttrunkencapsulationdot1q對(duì)交換機(jī)的端口進(jìn)行中繼封裝switchportmodetrunkinterfaceFastEthernet0/5channel-group1modeonswitchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/6channel-group1modeon將兩個(gè)接口綁定在一起，并且指定ON模式switchporttrunkencapsulationdot1qswitchportmodetrunkinterfacePort-channel1switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceVlan1noipaddressshutdowninterfaceVlan99ipaddressinterfaceVlan100ipaddressinterfaceVlan101ipaddressinterfaceVlan102ipaddressinterfaceVlan103ipaddressinterfaceVlan104ipaddressinterfaceVlan105ipaddressinterfaceVlan106ipaddressinterfaceVlan107ipaddressinterfaceVlan108ipaddressinterfaceVlan109ipaddress設(shè)置VLAN99-109的IP地址iproute設(shè)置一條靜態(tài)默認(rèn)路由，下一跳指向5.4外網(wǎng)部分的設(shè)計(jì)5.4.1NATNAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)屬于廣域網(wǎng)技術(shù)，它能夠?qū)⒈镜氐乃接械刂忿D(zhuǎn)換成合法的IP地址。它的出現(xiàn)，解決了IP地址應(yīng)用的不足，與此同時(shí)，它能夠隱藏住私有的IP地址，從而避免了網(wǎng)絡(luò)外部的攻擊，保護(hù)了網(wǎng)絡(luò)安全。總公司R1路由器上的配置：interfaceFastEthernet0/0ipaddress8配置外網(wǎng)網(wǎng)接口地址ipnatoutside定義外部接口interfaceFastEthernet0/1ipaddress配置內(nèi)網(wǎng)接口地址ipnatinside定義內(nèi)部接口interfaceEthernet0/0/0ipaddressipnatinsideiproute9配置一條默認(rèn)靜態(tài)路由，將所有的流量傳給下一跳，即外網(wǎng)的IP地址access-list10permit55允許總公司成員訪問(wèn)外網(wǎng)access-list1permitany允許所有的成員訪問(wèn)ipnatinsidesourcelist1interfaceFastEthernet0/0overloadipnatinsidesourcelist10interfaceFastEthernet0/0overload將2個(gè)訪問(wèn)控制列表分別進(jìn)行關(guān)聯(lián)5.4.2GRE-VPNGRE（通用路由封裝協(xié)議）是對(duì)一些網(wǎng)絡(luò)層的協(xié)議（如IP和IPX）的數(shù)據(jù)報(bào)進(jìn)行封裝處理，讓這些被封裝的數(shù)據(jù)報(bào)能夠傳輸?shù)搅硪粋€(gè)網(wǎng)絡(luò)層協(xié)議。GRE是VPN的第三層隧道協(xié)議，即在協(xié)議層之間采用了一種被稱(chēng)之為T(mén)unnel（隧道）的技術(shù)。GRE是一個(gè)標(biāo)準(zhǔn)協(xié)議,它支持多種協(xié)議和多播，能夠用來(lái)創(chuàng)建彈性的VPN，支持多點(diǎn)隧道，可以實(shí)施QOS（服務(wù)質(zhì)量）?？偣竞头止就ㄟ^(guò)服務(wù)提供商進(jìn)行通信，如圖5-13：圖5-13總公司：interfaceTunnel0進(jìn)入Tunnel0口ipaddress52配置通道源地址tunnelsourceFastEthernet0/0配置通道源接口tunneldestination配置通道目的地址tunnelmodegreip指定通道模式routerripRIPnetworkiproute9iproute9iprouteiprouteiprouteiproute指定靜態(tài)路由服務(wù)提供商：interfaceFastEthernet0/0ipaddress9interfaceFastEthernet0/1ipaddress9interfaceEthernet0/0/0ipaddressrouterripnetworknetworkiproute8iproute8分公司：interfaceTunnel0ipaddress52tunnelsourceFastEthernet0/0tunneldestination8tunnelmodegreiprouterripnetwork5.5設(shè)計(jì)結(jié)果5.5.1DHCPVLAN101-104是使用DHCP技術(shù)，使得這些相應(yīng)的部門(mén)中的PC能夠自動(dòng)獲取到IP地址以辦公室的PC為例：圖5-14獲取IP前圖5-15獲取得到IP地址5.5.2內(nèi)網(wǎng)連接到外網(wǎng)各個(gè)部門(mén)中的PC通過(guò)路由器的NAT技術(shù)，將IP地址進(jìn)行轉(zhuǎn)換，使得不同IP網(wǎng)段之間相互通信。以辦公室的PC為例，設(shè)計(jì)結(jié)果如圖5-16：圖5-165.5.3分公司連接總公司分公司通過(guò)VPN技術(shù)，與總公司通信。以總公司中辦公室的PC和分公司中VLAN6中的PC為例，分公司Ping辦公室,設(shè)計(jì)結(jié)果如圖5-17：圖5-17

第六章結(jié)束語(yǔ)這次的畢業(yè)設(shè)計(jì)，我做的是大型企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)，長(zhǎng)時(shí)間的創(chuàng)新和完善，基本上實(shí)現(xiàn)了企業(yè)網(wǎng)的一些功能。一開(kāi)始，我先將各個(gè)部門(mén)劃入了不同的VLAN，然后對(duì)2臺(tái)三層交換機(jī)進(jìn)行設(shè)置，哪些VLAN走SW01，哪些VLAN走SW02，并且讓三層交換機(jī)和二層交換機(jī)之間起trunk，在三層交換機(jī)上啟用DHCP協(xié)議，讓一些部門(mén)可以分配到IP地址，然后在加入服務(wù)器集群，保證服務(wù)器的正常使用，再通過(guò)訪問(wèn)控制列表，限制企業(yè)部門(mén)的數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限，通過(guò)RIP協(xié)議，保證內(nèi)網(wǎng)的互通。將內(nèi)網(wǎng)全部搞定后，將三層交換機(jī)與路由器想連接，并在此路由器上設(shè)置NAT，使得內(nèi)網(wǎng)可以反問(wèn)Internet。為了使設(shè)計(jì)能好看些，我又加入了一個(gè)分公司，分公司與總公司通過(guò)GRE-VPN相互通信，并且ACL技術(shù)，將分公司的部門(mén)與部分總公司的部門(mén)相互通信。我是通過(guò)CiscopacketTracer模擬器來(lái)設(shè)計(jì)的，有些功能是實(shí)現(xiàn)不了的。在網(wǎng)絡(luò)的安全方面，我用了ACL、通過(guò)交換機(jī)的端口安全以及NAT技術(shù)，保護(hù)了網(wǎng)絡(luò)的安全。再設(shè)計(jì)過(guò)程中，我也遇到了一些問(wèn)題，一開(kāi)始我設(shè)計(jì)VPN時(shí)，總公司和分公司之間不能通信，通過(guò)不斷的查詢(xún)資料，終于明白了，在路由器上要加入一些靜態(tài)路由，使得數(shù)據(jù)傳輸時(shí)，知道要將數(shù)據(jù)傳給下一跳。這次的畢業(yè)設(shè)計(jì)，我感覺(jué)到十分有意義，既培養(yǎng)了我們的操作能力，又讓我們將學(xué)到的知識(shí)到實(shí)踐中去，與此同時(shí)，也培養(yǎng)了我的耐心和細(xì)心。在此過(guò)程中，我發(fā)現(xiàn)了自己有很多不足的地方：缺乏項(xiàng)目上的工作經(jīng)驗(yàn)，不能夠靈活的運(yùn)用自己所學(xué)到的知識(shí)?？偟膩?lái)說(shuō)，通過(guò)這次畢業(yè)設(shè)計(jì)，我收獲了很多，希望以后在工作中能夠完善自己，改進(jìn)自己。

參考文獻(xiàn)[1]王勇，劉曉輝．網(wǎng)絡(luò)系統(tǒng)集成與工程設(shè)計(jì)（第3版）．科學(xué)出版社，2011[2](美)SrinivasVegesna著，信達(dá)工作室譯.IP服務(wù)質(zhì)量.北京，人民郵電出版社，2009[3]陳向陽(yáng)．網(wǎng)絡(luò)工程規(guī)劃與設(shè)計(jì)．北京：清華大學(xué)出版社，2007[4]梁廣民,王隆杰．思科網(wǎng)絡(luò)實(shí)驗(yàn)室路由、交換實(shí)驗(yàn)指南．北京：電子工業(yè)出版社，2007[5]房智勇CiscoCCIERoutingandSwitching&CiscoCCIEServiceProviderExamCertificationGuide,2006[6]多伊爾.TCP/IP路由技術(shù)第一卷[M].葛建立.北京:人民郵電出版社2007.23～441.[7]多伊爾.TCP/IP路由技術(shù)第二卷[M].葛建立.北京:人民郵電出版社2007.13～151.[8]梁廣民.網(wǎng)絡(luò)設(shè)備互聯(lián)技術(shù).[M].北京：清華大學(xué)出版社，2010.150～283.[9]杰克.思科CCNP公版教材BCMSN[M].魏巍等譯.北京：電子工業(yè)出版社，2004.53~752.[10]TCP/IP協(xié)議族（第4版）.BehrouzA.Forouzan著.北京：清華大學(xué)出版社

致謝經(jīng)過(guò)幾個(gè)月的努力，我終于完成了這次的畢業(yè)設(shè)計(jì)。過(guò)程中，我遇到了很多的問(wèn)題，經(jīng)過(guò)老師的講解和同學(xué)的幫助以及查閱了一些資料，終于被我解決了。這幾個(gè)月來(lái)，老師每周和我保持著聯(lián)系，老師給我一些寶貴的經(jīng)驗(yàn)和建議，每周一都會(huì)去匯報(bào)一下畢業(yè)設(shè)計(jì)得進(jìn)展，從起初的開(kāi)題報(bào)告、英文翻譯的修改和提交，中期的檢查，老師都很有耐心的指導(dǎo)的我，借此向老師表示由衷的感謝。同學(xué)們和老師的一些寶貴經(jīng)驗(yàn)，是我的畢業(yè)設(shè)計(jì)完美成功，十分的感謝你們，當(dāng)然，也要感謝文獻(xiàn)里的作者，應(yīng)為他們的研究，讓我懂得更多。最后，在此感謝給予我?guī)椭娜耍?/p>

附錄：英文技術(shù)資料翻譯(TCP/IP卷一)英文原文：LayeringNetworkingprotocolsarenormallydevelopedinlayers,witheachlayerresponsibleforadifferentfacetofthecommunications.Aprotocolsuite,suchasTCP/IP,isthecombinationofdifferentprotocolsatvariouslayers.TCP/IPisnormallyconsideredtobea4-layersystem,asshowninFigure1.1.ApplicationTelnet,FTP,e-mail,etc.TransportTCP,UDPNetworkIP,ICMP,IGMPLinkdevicedriverandinterfacecardFigure1.1ThefourlayersoftheTCP/IPprotocolsuite.Eachlayerhasadifferentresponsibility.Thelinklayer,sometimescalledthedata-linklayerornetworkinterfacelayer,normallyincludesthedevicedriverintheoperatingsystemandthecorrespondingnetworkinterfacecardinthecomputer.Togethertheyhandleallthehardwaredetailsofphysicallyinterfacingwiththecable(orwhatevertypeofmediaisbeingused).Thenetworklayer(sometimescalledtheinternetlayer)handlesthemovementofpacketsaroundthenetwork.Routingofpackets,forexample,takesplacehere.IP(InternetProtocol),ICMP(InternetControlMessageProtocol),andIGMP(InternetGroupManagementProtocol)providethenetworklayerintheTCP/IPprotocolsuite.3.Thetransportlayerprovidesaflowofdatabetweentwohosts,fortheapplicationlayerabove.IntheTCP/IPprotocolsuitetherearetwovastlydifferenttransportprotocols:TCP(TransmissionControlProtocol)andUDP(UserDatagramProtocol).TCPprovidesareliableflowofdatabetweentwohosts.Itisconcernedwiththingssuchasdividingthedatapassedtoitfromtheapplicationintoappropriatelysizedchunksforthenetworklayerbelow,acknowledgingreceivedpackets,settingtimeoutstomakecertaintheotherendacknowledgespacketsthataresent,andsoon.Becausethisreliableflowofdataisprovidedbythetransportlayer,theapplicationlayercanignoreallthesedetails.UDP,ontheotherhand,providesamuchsimplerservicetotheapplicationlayer.Itjustsendspacketsofdatacalleddatagramsfromonehosttotheother,butthereisnoguaranteethatthedatagramsreachtheotherend.Anydesiredreliabilitymustbeaddedbytheapplicationlayer.Thereisauseforeachtypeoftransportprotocol,whichwe'llseewhenwelookatthedifferentapplicationsthatuseTCPandUDP.4.Theapplicationlayerhandlesthedetailsoftheparticularapplication.TherearemanycommonTCP/IPapplicationsthatalmosteveryimplementationprovides:rTelnetforremotelogin,rFTP,theFileTransferProtocol,rSMTP,theSimpleMailTransferprotocol,forelectronicmail,rSNMP,theSimpleNetworkManagementProtocol,andmanymore,someofwhichwecoverinlaterchapters.Ifwehavetwohostsonalocalareanetwork(LAN)suchasanEthernet,bothrunningFTP.Figure1-1showstheprotocolsinvolved.Figure1-1Figure1.1TwohostsonaLANrunningFTP.WehavelabeledoneapplicationboxtheFTPclientandtheothertheFTPserver.Mostnetworkapplicationsaredesignedsothatoneendistheclientandtheothersidetheserver.Theserverprovidessometypeofservicetoclients,inthiscaseaccesstofilesontheserverhost.Intheremoteloginapplication,Telnet,theserviceprovidedtotheclientistheabilitytologintotheserver'shost.Eachlayerhasoneormoreprotocolsforcommunicatingwithitspeeratthesametocol,forexample,allowsthetwoTCPlayerstocommunicate,andanotherprotocolletsthetwoIPlayerscommunicate.OntherightsideofFigure1-1wehavenotedthatnormallytheapplicationlayerisauserprocesswhilethelowerthreelayersareusuallyimplementedinthekernel(theoperatingsystem).Althoughthisisn'tarequirement,it'stypicalandthisisthewayit'sdoneunderUnix.ThereisanothercriticaldifferencebetweenthetoplayerinFigure1-1andthelowerthreelayers.Theapplicationlayerisconcernedwiththedetailsoftheapplicationandnotwiththemovementofdataacrossthenetwork.Thelowerthreelayersknownothingabouttheapplicationbuthandleallthecommunicationdetails.WeshowfourprotocolsinFigure1-1,eachatadifferentlayer.FTPisanapplicationlayerprotocol,TCPisatransportlayerprotocol,IPisanetworklayerprotocol,andtheEthernetprotocolsoperateatthelinklayer.TheTCP/IPprotocolsuiteisacombinationofManyprotocols.AlthoughthecommonlyusednamefortheentireprotocolsuiteisTCP/IP,TCPandIPareonlytwooftheprotocols.(AnalternativenameistheInternetProtocolSuite.)Thepurposeofthenetworkinterfacelayerandtheapplicationlayerareobvious-theFormerhandlesthedetailsofthecommunicationmedia(Ethernet,tokenring,etc.)whilethelatterhandlesonespecificuserapplication(FTP,Telnet,etc.).Butonfirstglancethedifferencebetweenthenetworklayerandthetransportlayerissomewhathazy.Whyisthereadistinctionbetweenthetwo?Tounderstandthereason,wehavetoexpandourperspectivefromasinglenetworktoacollectionofnetworks.Oneofthereasonsforthephenomenalgrowthinnetworkingduringthe1980swastherealizationthatanislandconsistingofastand-alonecomputermadelittlesense.Afewstand-alonesystemswerecollectedtogetherintoanetwork.Whilethiswasprogress,duringthe1990swehavecometorealizethatthisnew,biggerislandconsistingofasinglenetworkdoesn'tmakesenseeither.Peoplearecombiningmultiplenetworkstogetherintoaninternetwork,oraninternet.Aninternetisacollectionofnetworksthatallusethesameprotocolsuite.Theeasiestwaytobuildaninternetistoconnecttwoormorenetworkswitharouter.Thisisoftenaspecial-purposehardwareboxforconnectingnetworks.Thenicethingaboutroutersisthattheyprovideconnectionstomanydifferenttypesofphysicalnetworks:Ethernet,tokenring,point-to-pointlinks,FDDI(FiberDistributedDataInterface),andsoon.TheseboxesarealsocalledIProuters,butwe'llusethetermrouter.Historicallytheseboxeswerecalledgateways,andthistermisusedthroughoutmuchoftheTCP/IPliterature.Todaythetermgatewayisusedforanapplicationgateway:aprocessthatconnectstwodifferentprotocolsuites(say,TCP/IPandIBM'sSNA)foroneparticularapplication(oftenelectronicmailorfiletransfer).Figure1-2showsaninternetconsistingoftwonetworks:anEthernetandatokenring,connectedwitharouter.Althoughweshowonlytwohostscommunicating,withtherouterconnectingthetwonetworks,anyhostontheEthernetcancommunicatewithanyhostonthetokenring.InFigure1-2wecandifferentiatebetweenanendsystem(thetwohostsoneitherside)andanintermediatesystem(therouterinthemiddle).Theapplicationlayerandthetransportlayeruseend-to-endprotocols.Inourpi