尊寶公司網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

目錄

1項(xiàng)目概述....................................................................................................................1

1.1項(xiàng)目背景..........................................................................................................1

1.2項(xiàng)目意義..........................................................................................................1

2項(xiàng)目需求分析............................................................................................................1

3項(xiàng)目設(shè)計(jì)....................................................................................................................2

3.1網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)..................................................................................................2

3.2網(wǎng)絡(luò)拓?fù)鋱D......................................................................................................2

3.3公司網(wǎng)絡(luò)規(guī)劃..................................................................................................3

4項(xiàng)目技術(shù)選型............................................................................................................5

4.1PPP協(xié)議..........................................................................................................5

4.2單臂路由..........................................................................................................5

4.3Telnet協(xié)議......................................................................................................5

4.4OSPF協(xié)議.......................................................................................................6

5網(wǎng)絡(luò)設(shè)備選型............................................................................................................6

5.1網(wǎng)絡(luò)設(shè)備簡(jiǎn)介..................................................................................................6

6項(xiàng)目實(shí)施....................................................................................................................7

6.1登錄權(quán)限設(shè)置..................................................................................................7

6.2劃分vlan..........................................................................................................8

6.3交換機(jī)與路由器相連接口配置......................................................................8

6.4接口安全配置..................................................................................................8

6.5vlan間路由......................................................................................................9

6.6OSPF動(dòng)態(tài)路由...............................................................................................9

6.7路由器接口配置..............................................................................................9

6.8單臂路由配置................................................................................................10

6.9PPP協(xié)議........................................................................................................10

6.10OSPF認(rèn)證.....................................................................................................11

I

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

6.11telnet管理......................................................................................................11

7網(wǎng)絡(luò)系統(tǒng)測(cè)試評(píng)估..................................................................................................11

7.1安全風(fēng)險(xiǎn)分析................................................................................................11

7.2安全防護(hù)措施................................................................................................12

8設(shè)計(jì)小結(jié)..................................................................................................................13

參考資料.........................................................................................................................14

II

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

尊寶公司網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)

1項(xiàng)目概述

1.1項(xiàng)目背景

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)通信技術(shù)的飛速發(fā)展和普及，網(wǎng)絡(luò)在各個(gè)行業(yè)

中的應(yīng)用越來越廣泛，最為突出的是企業(yè)的生產(chǎn)、管理對(duì)網(wǎng)絡(luò)依賴性的快速增

加，這使網(wǎng)絡(luò)在帶給公司巨大利益的同時(shí)也帶來了更多的風(fēng)險(xiǎn)。一旦網(wǎng)絡(luò)出現(xiàn)

問題，企業(yè)的正常生產(chǎn)辦公將會(huì)受到很大影響，更嚴(yán)重的將會(huì)使企業(yè)遭受重大

的經(jīng)濟(jì)損失，所以，如何提高網(wǎng)絡(luò)的安全性，讓網(wǎng)絡(luò)更好地為企業(yè)的發(fā)展保駕

護(hù)航也越來越受到大家的重視。中小型企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)組建技術(shù)已成為計(jì)算機(jī)

網(wǎng)絡(luò)專業(yè)的一門必須掌握的技術(shù)。如何科學(xué)地組建一個(gè)中小型企業(yè)網(wǎng)絡(luò)，使其

具有便利、快捷的可維護(hù)性是組建網(wǎng)絡(luò)的重點(diǎn)。

尊寶公司總部設(shè)在北京市，在長(zhǎng)沙市有一個(gè)分支機(jī)構(gòu)，現(xiàn)因業(yè)務(wù)擴(kuò)大，公

司決定在邵陽(yáng)市新增一個(gè)分支機(jī)構(gòu)。為提高工作效率為員工和客戶提供統(tǒng)一的

網(wǎng)絡(luò)信息平臺(tái)，實(shí)現(xiàn)信息資源共享，現(xiàn)對(duì)公司網(wǎng)絡(luò)進(jìn)行改造。根據(jù)公司要求，

為各個(gè)部門分配合適的IP地址段，做到無沖突，盡可能的節(jié)省IP地址。用思

科的網(wǎng)絡(luò)設(shè)備設(shè)計(jì)一套合理的方案，總結(jié)出整體網(wǎng)絡(luò)拓?fù)湟?guī)劃、項(xiàng)目實(shí)施方案、

相關(guān)技術(shù)應(yīng)用。

1.2項(xiàng)目意義

隨著現(xiàn)代社會(huì)技術(shù)進(jìn)步，互聯(lián)網(wǎng)發(fā)展迅速，大多數(shù)人都會(huì)從網(wǎng)絡(luò)上了解未

知事物。人們可以通過互聯(lián)網(wǎng)來表達(dá)出自身信息，從而到達(dá)提升企業(yè)形象的目

的?；ヂ?lián)網(wǎng)不受地域影響，企業(yè)可以通過搭建的網(wǎng)絡(luò)項(xiàng)目更快更好地找到供應(yīng)

商和潛在客戶，大大提高了企業(yè)利潤(rùn)。該項(xiàng)目研究通過企業(yè)需求分析能有效利

用人力、物力、財(cái)力資源，提高企業(yè)管理效率。

2項(xiàng)目需求分析

該公司要求使用網(wǎng)絡(luò)將公司的各種計(jì)算機(jī)、終端設(shè)備和局域網(wǎng)連接起來，

形成公司內(nèi)部的Internet網(wǎng)絡(luò)，并通過路由器接入Internet，以滿足各部門需

要等。下面介紹該公司網(wǎng)絡(luò)建設(shè)的總體需求和具體需求。

（1）保密性：信息不泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性

1

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

（2）完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲(chǔ)或傳輸過

程中保持不被修改、不被破壞和丟失的特性。

（3）可靠性：公司網(wǎng)絡(luò)應(yīng)具有很高的可靠性，達(dá)到24小時(shí)不間斷、無故

障、穩(wěn)定運(yùn)行。盡量減少局部網(wǎng)絡(luò)對(duì)整個(gè)公司網(wǎng)絡(luò)的影響。

（4）可用性：可被授權(quán)實(shí)體訪問并按需求使用的特性。即當(dāng)需要時(shí)能否存

取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等

都屬于對(duì)可用性的攻擊。

（5）先進(jìn)性：由于網(wǎng)絡(luò)技術(shù)的日新月異，更高的帶寬和更先進(jìn)的應(yīng)用層出

不窮，該公司網(wǎng)絡(luò)應(yīng)在未來幾年的運(yùn)行中能滿足公司的應(yīng)用需求，能在較長(zhǎng)時(shí)

期內(nèi)保持一定的先進(jìn)性。網(wǎng)絡(luò)建成后能實(shí)現(xiàn)數(shù)據(jù)、語音、多媒體通信、OA辦

公、E-mail、Web及FTP等服務(wù)。

（6）可控性：對(duì)信息的傳播及內(nèi)容具有控制能力。

（7）可審查性：出現(xiàn)安全問題時(shí)提供依據(jù)與手段。

（8）可擴(kuò)展性：主干節(jié)點(diǎn)設(shè)備的性能具有向上擴(kuò)展的能力，以備將來更高

帶寬應(yīng)用的需要。

（9）可管理性：整個(gè)公司網(wǎng)絡(luò)將采用集中式管理，能夠監(jiān)控網(wǎng)絡(luò)的運(yùn)行，

并能找出網(wǎng)絡(luò)的故障并快速恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行。

3項(xiàng)目設(shè)計(jì)

3.1網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)

（1）VLAN劃分：各個(gè)部門分屬不同的vlan，為各個(gè)vlan分配合適的ip

地址段，做到無沖突，盡可能節(jié)省IP地址。

（2）訪問控制：通過配置OSPF路由實(shí)現(xiàn)公司全網(wǎng)互通，使用PPP協(xié)議實(shí)

現(xiàn)總公司和新分公司的訪問權(quán)限。

（3）網(wǎng)可管理：只允許新分支機(jī)構(gòu)財(cái)務(wù)與管理部對(duì)RB路由器進(jìn)行遠(yuǎn)程登

錄。登錄方式為用戶名+密碼登錄（用戶名為test，密碼為123456）。

3.2網(wǎng)絡(luò)拓?fù)鋱D

根據(jù)公司建筑的發(fā)布及需求，作出如下規(guī)劃：總公司和兩個(gè)分公司之間使

用千兆多模光纖連接，形成千兆骨干網(wǎng)絡(luò)；桌面交換機(jī)與計(jì)算機(jī)間使用百兆雙

絞線連接；FTP服務(wù)器直接和總公司交換機(jī)相連。由于財(cái)務(wù)與管理部、客戶中心、

市場(chǎng)部、生產(chǎn)部、財(cái)務(wù)部和高層管理等部門的網(wǎng)絡(luò)連接基本相同，所以縮減為

2

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

一個(gè)拓?fù)鋱D，如下圖所示。

路由器B（新分支機(jī)構(gòu)）路由器A（總公司）路由器C（分支機(jī)構(gòu)一）

交換機(jī)B

交換機(jī)C

FTP服務(wù)器（市場(chǎng)部）

交換機(jī)A

財(cái)務(wù)與管理部客戶中心與市場(chǎng)部

客戶中心財(cái)務(wù)與高層管理部客戶中心1財(cái)務(wù)與管理部1

生產(chǎn)部市場(chǎng)部

圖1網(wǎng)絡(luò)拓?fù)鋱D

3.3公司網(wǎng)絡(luò)規(guī)劃

新分支機(jī)構(gòu)使用/24網(wǎng)段，將有50臺(tái)左右終端，分屬財(cái)務(wù)與管

理部，客戶中心與市場(chǎng)部，根據(jù)需要?jiǎng)澐譃?個(gè)子網(wǎng)，目前使用前2個(gè)子網(wǎng)，

預(yù)留后2個(gè)子網(wǎng)今后使用，每個(gè)子網(wǎng)最后一個(gè)可用IP作為網(wǎng)關(guān)地址。總公司網(wǎng)

絡(luò)使用/24網(wǎng)段，總公司共大約有180臺(tái)主機(jī)，規(guī)劃4個(gè)VLAN，分

屬客戶中心、市場(chǎng)部、生產(chǎn)部、財(cái)務(wù)部和高層管理等部門，在總公司市場(chǎng)部門

中架設(shè)FTP服務(wù)器，用于公司內(nèi)部文件傳輸，各網(wǎng)段最后一個(gè)可用IP用作網(wǎng)關(guān)

地址，F(xiàn)TP服務(wù)器使用網(wǎng)段中第一個(gè)可用IP。分支機(jī)構(gòu)一使用/24

網(wǎng)段，大約有80人，分屬客戶中心、市場(chǎng)部、財(cái)務(wù)和管理部等部門，根據(jù)需要

劃分為4個(gè)子網(wǎng)，目前使用前3個(gè)子網(wǎng)，預(yù)留后1個(gè)子網(wǎng)今后使用，每個(gè)子網(wǎng)

最后一個(gè)可用IP作為網(wǎng)關(guān)地址。尊寶企業(yè)的vlan及IP規(guī)劃如表3所示。

表3VLAN及IP地址規(guī)劃

（1）總公司VLAN規(guī)劃

VLAN號(hào)部門員工數(shù)子網(wǎng)號(hào)子網(wǎng)掩碼

VLAN10市場(chǎng)部5992

VLAN20客戶中心41492

VLAN30財(cái)務(wù)與高層管理部192892

VLAN40生產(chǎn)部619292

3

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

（2）分支機(jī)構(gòu)一VLAN規(guī)劃

VLAN號(hào)部門員工數(shù)子網(wǎng)號(hào)子網(wǎng)掩碼

VLAN11市場(chǎng)部5892

VLAN22客戶中心17492

VLAN33財(cái)務(wù)與管理部52892

（3）新分支機(jī)構(gòu)VLAN規(guī)劃

VLAN號(hào)部門員工數(shù)子網(wǎng)號(hào)子網(wǎng)掩碼

VLAN1客戶中心與市場(chǎng)部3892

VLAN2財(cái)務(wù)與管理部12492

（4）路由器間地址

端口描述端口IP地址子網(wǎng)掩碼

路由器A連接路由器B52

路由器B連接路由器A52

路由器A連接路由器C52

路由器C連接路由器A52

路由器A連接交換機(jī)A52

交換機(jī)A連接路由器A052

（5）總公司網(wǎng)關(guān)地址

所屬網(wǎng)絡(luò)網(wǎng)關(guān)IP網(wǎng)關(guān)子網(wǎng)掩碼

VLAN10292

VLAN202692

VLAN309092

VLAN405492

（6）分支機(jī)構(gòu)一網(wǎng)關(guān)地址

所屬網(wǎng)絡(luò)網(wǎng)關(guān)IP網(wǎng)關(guān)子網(wǎng)掩碼

VLAN11292

VLAN222692

VLAN339092

（7）新分支機(jī)構(gòu)網(wǎng)關(guān)地址

所屬網(wǎng)絡(luò)網(wǎng)關(guān)IP網(wǎng)關(guān)子網(wǎng)掩碼

VLAN1292

VLAN22692

（8）服務(wù)器IP地址

服務(wù)器IP地址子網(wǎng)掩碼

FTP服務(wù)器92

4

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

4項(xiàng)目技術(shù)選型

4.1PPP協(xié)議

點(diǎn)對(duì)點(diǎn)協(xié)議（Point-to-PointProtocol，PPP）提供了?種通過點(diǎn)到點(diǎn)鏈

路傳輸多協(xié)議數(shù)據(jù)報(bào)的標(biāo)準(zhǔn)?法。PPP由三個(gè)主要部分組成：

（1）封裝多協(xié)議數(shù)據(jù)報(bào)的?法。

（2）?種鏈路控制協(xié)議（LinkControlProtocol，LCP），?于建?、

配置和測(cè)試數(shù)據(jù)鏈路連接

（3）?于建?和配置不同?絡(luò)層協(xié)議的?系列?絡(luò)控制協(xié)議

（NetworkControlProtocols，NCPs）。

4.2單臂路由

單臂路由（router-on-a-stick）是指在路由器的一個(gè)接口上通過配置子接

口（或“邏輯接口”，并不存在真正物理接口）的方式，實(shí)現(xiàn)原來相互隔離的不

同VLAN（虛擬局域網(wǎng)）之間的互聯(lián)互通。在Cisco網(wǎng)絡(luò)認(rèn)證體系中，單臂路由

是一個(gè)重要的學(xué)習(xí)知識(shí)點(diǎn)。通過單臂路由的學(xué)習(xí)，能夠深入的了解VLAN（虛擬

局域網(wǎng)）的劃分、封裝和通信原理，理解路由器子接口、ISL協(xié)議和802.1Q協(xié)

議。單臂路由的子接口、路由器的物理接口可以被劃分成多個(gè)邏輯接口，這些

被劃分后的邏輯接口被形象的稱為子接口。值得注意的是這些邏輯子接口不能

被單獨(dú)的開啟或關(guān)閉，也就是說，當(dāng)物理接口被開啟或關(guān)閉時(shí)，所有的該接口

的子接口也隨之被開啟或關(guān)閉。VLAN能有效分割局域網(wǎng)，實(shí)現(xiàn)各網(wǎng)絡(luò)區(qū)域之間

的訪問控制。但現(xiàn)實(shí)中，往往需要配置某些VLAN之間的互聯(lián)互通。比如，你的

公司劃分為領(lǐng)導(dǎo)層、銷售部、財(cái)務(wù)部、人力部、科技部、審計(jì)部，并為不同部

門配置了不同的VLAN，部門之間不能相互訪問，有效保證了各部門的信息安全。

但經(jīng)常出現(xiàn)領(lǐng)導(dǎo)層需要跨越VLAN訪問其他各個(gè)部門，這個(gè)功能就由單臂路由來

實(shí)現(xiàn)。

4.3Telnet協(xié)議

Telnet協(xié)議是TCP/IP協(xié)議族中的一員，是Internet遠(yuǎn)程登錄服務(wù)的標(biāo)準(zhǔn)

協(xié)議和主要方式。它為用戶提供了在本地計(jì)算機(jī)上完成遠(yuǎn)程主機(jī)工作的能力。

在終端使用者的電腦上使用telnet程序，用它連接到服務(wù)器。終端使用者可以

在telnet程序中輸入命令，這些命令會(huì)在服務(wù)器上運(yùn)行，就像直接在服務(wù)器的

5

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

控制臺(tái)上輸入一樣?？梢栽诒镜鼐湍芸刂品?wù)器。要開始一個(gè)telnet會(huì)話，必

須輸入用戶名和密碼來登錄服務(wù)器。Telnet是常用的遠(yuǎn)程控制Web服務(wù)器的方

法。

4.4OSPF協(xié)議

OSPF(OpenShortestPathFirst開放式最短路徑優(yōu)先）是一個(gè)內(nèi)部網(wǎng)

關(guān)協(xié)議(InteriorGatewayProtocol，簡(jiǎn)稱IGP），用于在單一自治系統(tǒng)

（autonomoussystem,AS）內(nèi)決策路由。是對(duì)鏈路狀態(tài)路由協(xié)議的一種實(shí)現(xiàn)，

隸屬內(nèi)部網(wǎng)關(guān)協(xié)議（IGP），故運(yùn)作于自治系統(tǒng)內(nèi)部。著名的迪克斯徹

（Dijkstra）算法被用來計(jì)算最短路徑樹。OSPF支持負(fù)載均衡和基于服務(wù)類型

的選路，也支持多種路由形式，如特定主機(jī)路由和子網(wǎng)路由等。

5網(wǎng)絡(luò)設(shè)備選型

5.1網(wǎng)絡(luò)設(shè)備簡(jiǎn)介

CiscoRouter1841三臺(tái)、CiscoSwitch2960-24TT兩臺(tái)、CiscoMultilayer

Switch3560-24PS一臺(tái)、思科模式服務(wù)器一臺(tái)、若干PC機(jī)、以太網(wǎng)直通線等。

路由器和交換機(jī)如表1、表2所示：

表1路由器

路由器選型

產(chǎn)品型號(hào)CiscoRouter1841

產(chǎn)品類型模塊化接入路由器

傳輸速率10/100Mbps

端口結(jié)構(gòu)模塊化

局域網(wǎng)接口2個(gè)

最大DRAM內(nèi)存：384MB，

產(chǎn)品內(nèi)存

最大FLASH內(nèi)存：128MB

所需數(shù)量1臺(tái)

表2交換機(jī)

交換機(jī)選型

二層交換機(jī)

產(chǎn)品型號(hào)CISCOWS-C2960-24TT-L

產(chǎn)品類型智能交換機(jī)

傳輸速率10/100Mbps

產(chǎn)品內(nèi)存67MB

6

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

交換方式存儲(chǔ)-轉(zhuǎn)發(fā)

包轉(zhuǎn)發(fā)率6.5Mpps

端口結(jié)構(gòu)非模塊化

24個(gè)以太網(wǎng)10/100Mbps端

端口描述口，2個(gè)固定以太網(wǎng)

10/100/1000Mbps上行端口

傳輸模式全雙工/半雙工自適應(yīng)

所需數(shù)量2臺(tái)

核心交換機(jī)

產(chǎn)品型號(hào)WS-C3560-24PS-S

企業(yè)級(jí)，三層，可網(wǎng)管型交

產(chǎn)品類型

換機(jī)，快速以太網(wǎng)交換機(jī)

傳輸速率10/100/1000Mbps

產(chǎn)品內(nèi)存DRAM內(nèi)存128MB

交換方式存儲(chǔ)-轉(zhuǎn)發(fā)

包轉(zhuǎn)發(fā)率6.5Mpps

端口數(shù)目24口

10/100BASE-TX端口，

端口描述

10/100BASE-TDK

傳輸模式支持全雙工

所需數(shù)量1臺(tái)

6項(xiàng)目實(shí)施

6.1登錄權(quán)限設(shè)置

為了提高設(shè)備管理的安全性，需要配置登錄權(quán)限。配置交換機(jī)A、B、C的

CONSOLE登錄口令為CONA，進(jìn)入特權(quán)模式口令為ENABLEA。以SwitchA配置為例，

其余設(shè)備配置與此類似，不再贅述。

表4SwitchA配置

SwitchA(config)#lineconsole0進(jìn)入控制臺(tái)

SwitchA(config-line)#passwordCONA配置控制臺(tái)密碼

SwitchA(config-line)#login啟用登錄密碼

SwitchA(config-line)#enablesecretENABLEA配置enable密碼

7

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

6.2劃分vlan

在交換機(jī)A上創(chuàng)建4個(gè)VLAN，將F0/2-5號(hào)口加入VLAN10，將F0/6-10號(hào)

口加入VLAN20，將F0/11-15號(hào)口加入VLAN30，將F0/16-20號(hào)口加入VLAN40。

在交換機(jī)B上創(chuàng)建2個(gè)VLAN，將F0/2-10號(hào)口加入VLAN1，將F0/11-20號(hào)

口加入VLAN2。

在交換機(jī)C上創(chuàng)建3個(gè)VLAN，將F0/2-10號(hào)口加入VLAN11，將F0/11-15

號(hào)口加入VLAN22，將F0/16-20號(hào)口加入VLAN33。

以SwitchA劃分vlan10配置表5為例，其余配置與此類似，不再贅述。

表5SwitchA配置

SwitchA(config)#vlan10創(chuàng)建vlan

SwitchA(config)#intrangef0/2-5進(jìn)入接口

SwitchA(config-if-range)#switchportmodeaccess配置接口模式

SwitchA(config-if-range)#switchportaccessvlan10將接口劃分到vlan10

6.3交換機(jī)與路由器相連接口配置

以交換機(jī)A與總公司路由器A相連接口表6為例，其余設(shè)備配置與此類似，

不再贅述。

表6SwitchA配置

SwitchA(config)#intf0/1進(jìn)入接口

SwitchA(config-if)#switchporttrunk

端口模式封裝為dot1q

encapsulationdot1q

SwitchA(config-if)#switchportmodetrunk配置接口模式為trunk

6.4接口安全配置

為交換機(jī)A與FTP服務(wù)器相連接口配置交換機(jī)端口安全，僅允許FTP服務(wù)

器的MAC地址訪問該接口，否則關(guān)閉接口。配置看表7。

表7SwitchA配置

SwitchA(config)#intf0/2進(jìn)入接口

8

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

SwitchA(config-if)#switchportport-security打開端口安全開關(guān)

SwitchA(config-if)#switchportport-security

輸入合法的MAC地址

mac-address00D0.BA02.512D

SwitchA(config-if)#switchportport-security配置安全違規(guī)的處理方式為

violationshutdownshutdown

6.5vlan間路由

開啟交換機(jī)A三層路由功能，并且按照IP表為VLAN接口配置IP參數(shù)，在

公司總部實(shí)現(xiàn)VLAN間路由。

以vlan10為例，配置看表8。其余vlan配置類似，不再贅述。

表8SwitchA配置

SwitchA(config)#iprouting啟用ip路由功能

SwitchA(config)#intvlan10進(jìn)入vlan10

SwitchA(config-if)#ipaddress2

配置地址

92

6.6OSPF動(dòng)態(tài)路由

在交換機(jī)A上配置單區(qū)域OSPF動(dòng)態(tài)路由協(xié)議，進(jìn)程號(hào)為1，通告直連網(wǎng)段，

公司內(nèi)部網(wǎng)絡(luò)互通。配置看表9。

表9SwitchA配置

啟用ospf協(xié)議，進(jìn)程號(hào)為

SwitchA(config)#routerospf1

1

SwitchA(config-router)#network3

area0

SwitchA(config-router)#network43

area0

通告網(wǎng)段

SwitchA(config-router)#network283

area0

SwitchA(config-router)#network923

area0

6.7路由器接口配置

根據(jù)IP地址分配表為路由器每個(gè)接口配置IP地址。以路由器A接口

s/0/0/0配置表10為例，其余接口配置操作類似，不再贅余。

9

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

表10路由器A配置

RA(config)#ints0/0/0進(jìn)入接口

RA(config-if)#ipaddress

配置接口地址

52

RA(config-if)#noshutdown打開接口

6.8單臂路由配置

在路由器B與交換機(jī)B相連的F0/1接口上配置單臂路由，實(shí)現(xiàn)新分支機(jī)構(gòu)

內(nèi)部子網(wǎng)互通。在路由器C與交換機(jī)C相連的F0/1接口上配置單臂路由，實(shí)現(xiàn)

分支機(jī)構(gòu)一內(nèi)部子網(wǎng)互通。以路由器B接口f0/1.1配置表11為例，其余接口

配置與此類似，不再贅余。

表11路由器B配置

RB(config)#intf0/1進(jìn)入主接口

RB(config-if)#noshutdown打開接口

RB(config)#intf0/1.1創(chuàng)建子接口

RB(config-subif)#ipadd292配置子接口地址

6.9PPP協(xié)議

RA和RB之間通過廣域網(wǎng)互聯(lián)，使用PPP協(xié)議，同時(shí)進(jìn)行PAP雙向驗(yàn)證；RA

和RC之間也通過廣域網(wǎng)互聯(lián)，使用PPP協(xié)議，同時(shí)進(jìn)行PAP雙向驗(yàn)證。（認(rèn)證

用戶名為路由器主機(jī)名，密碼為123456）。以RAs0/0/1接口表12為例，其余

設(shè)備配置相似，不再贅余。

表12路由器A配置

RA(config)#ints0/0/1進(jìn)入接口

RA(config-if)#encapsulationppp鏈路封裝模式為ppp

RA(config-if)#pppauthenticationpapPPP認(rèn)證方式為pap

RA(config-if)#ppppapsent-usernameRA

PAP認(rèn)證用戶名和密碼配置

password123456

RA(config)#usernameRBpassword123456服務(wù)端用戶名與密碼

10

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

6.10OSPF認(rèn)證

在RA和RB之間配置OSPF認(rèn)證（認(rèn)證方式為MD5認(rèn)證，密碼為123456）；RA

和RC之間配置OSPF認(rèn)證（認(rèn)證方式為明文認(rèn)證，密碼為123456）。

以RAS0/0/1接口配置表13為例，其余接口配置類似，不再贅余。

表13路由器A配置

RA(config)#ints0/0/1進(jìn)入接口

RA(config)#ipospfmessage-digest-key

設(shè)置密碼驗(yàn)證

1md5123456

RA(config)#ipospfauthentication

啟用OSPF的接口MD5身份驗(yàn)證

message-digest

6.11telnet管理

只允許新分支機(jī)構(gòu)財(cái)務(wù)與管理部對(duì)RB路由器進(jìn)行遠(yuǎn)程登錄。登錄方式為用

戶名+密碼登錄（用戶名為test，密碼為123456）。配置看表14。

表14路由器B配置

RB(config)#access-list1permit

允許該網(wǎng)段訪問

43

RB(config)#linevty04配置vty線路

RB(config-line)#access-class1in令配置生效

RB(config-line)#transportinputtelnet允許遠(yuǎn)程連接的協(xié)議

RB(config-line)#loginlocal開啟遠(yuǎn)程登錄密碼驗(yàn)證

7網(wǎng)絡(luò)系統(tǒng)測(cè)試評(píng)估

7.1安全風(fēng)險(xiǎn)分析

從不同角度對(duì)技術(shù)安全方向進(jìn)行風(fēng)險(xiǎn)分析，結(jié)論如下：

（1）缺乏對(duì)已知病毒查殺能力；

（2）缺乏對(duì)未知病毒或者病毒變種的防御能力；

（3）抵御不了外部網(wǎng)絡(luò)攻擊；

（4）抵御不了內(nèi)部網(wǎng)絡(luò)攻擊。

11

湖南商務(wù)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)

7.2安全防護(hù)措施

（1）隨著公司網(wǎng)絡(luò)的增加，原有出口的藍(lán)盾千兆防火墻從性能上已經(jīng)不能

滿足目前的應(yīng)用，建議原有的藍(lán)盾千兆防火墻部署于內(nèi)網(wǎng)服務(wù)器區(qū)出口處,重點(diǎn)

保護(hù)對(duì)內(nèi)服務(wù)器區(qū)域。部署1臺(tái)萬兆高性能防火墻BDFWH-G5000-KP型替代原有

的防火墻，將對(duì)外服務(wù)器區(qū)連接與該高性能防火墻的DMZ區(qū)域，同時(shí)分擔(dān)整個(gè)

區(qū)教育城域網(wǎng)的進(jìn)出流量。萬兆高性能防火墻基于電信級(jí)架構(gòu)，專用智能安全

芯片及多核（128）并行處理能力，既成功解決了帶寬問題,全雙工吞吐量FDT

最大支持高達(dá)12Gbps,又實(shí)現(xiàn)了高層應(yīng)用業(yè)務(wù)的全面支持能力。

（2）為了減輕信息安全管理員的操作負(fù)擔(dān)，提高管理效率。在信息中心部

署一套藍(lán)盾基于等級(jí)保護(hù)的綜合安全管理及預(yù)警平臺(tái)，該平