中小型園區(qū)網(wǎng)的設計與實現(xiàn)

1、 .畢業(yè)論文 .頁腳. 目 錄第一章 企業(yè)網(wǎng)建設綜述41.1項目建設目標41.2項目建設原則41.3基本建設描述5第二章 需求分析52.1 企業(yè)背景52.2 網(wǎng)絡規(guī)劃62.3計算機網(wǎng)絡綜合布線72.4網(wǎng)絡拓撲結(jié)構(gòu)72.4.1網(wǎng)絡拓撲結(jié)構(gòu)示意圖72.4.2網(wǎng)絡中心組建82.4.3生產(chǎn)車間網(wǎng)絡組建92.4.4企業(yè)各部門IP分配表9第三章 網(wǎng)絡設備的配置和管理113.1 劃分子網(wǎng)123.2 劃分VLAN的方法133.2.1什么是VLAN133.2.2 VLAN劃分的幾點好處143.2.3設置VLAN的常用方法143.3 端口配置及劃分VLAN153.3.1匯聚層交換機FLOOR1_HJ連接及配置說明

2、153.3.2匯聚層交換機FLOOR2_HJ連接及配置說明173.3.3匯聚層交換機FLOOR3_HJ連接及配置說明193.3.4匯聚層交換機FLOOR4_HJ連接及配置說明213.3.5匯聚層交換機FLOOR5_HJ連接及配置說明223.3.6核心層交換機CORE連接及配置說明243.5 配置靜態(tài)路由253.6 連接廣域網(wǎng)273.7 網(wǎng)絡安全控制及管理30第四章 企業(yè)網(wǎng)組建方案總結(jié)30參考文獻32中小型園區(qū)網(wǎng)的設計與實現(xiàn)前 言計算機網(wǎng)絡特別是INTERNET的產(chǎn)生和發(fā)展在現(xiàn)代科技技術(shù)史上具有劃時代的意義和影響，計算機網(wǎng)絡的飛速發(fā)展日新月異，計算機網(wǎng)絡徹底改變了人們的工作方式和生活方式，改變了

3、企事業(yè)單位的運營和管理模式。在現(xiàn)今的網(wǎng)絡建設中，中小型園區(qū)網(wǎng)的建設是非常重要和普遍的，如：校園網(wǎng)和企業(yè)網(wǎng)。園區(qū)網(wǎng)經(jīng)歷了從早期簡單的數(shù)據(jù)共享到現(xiàn)在園區(qū)網(wǎng)內(nèi)部全方位、高速度、多種類應用的共享及服務的轉(zhuǎn)變。下面就以某企業(yè)的實際情況，設計一個可以正常運行的園區(qū)網(wǎng)，并對建成的網(wǎng)絡進行優(yōu)化，采用多種手段對網(wǎng)絡進行優(yōu)化是網(wǎng)絡組建成果的重要組成部分，缺少優(yōu)化的網(wǎng)絡就算硬件配置在高，還是不能把網(wǎng)絡資源充分利用。安全和穩(wěn)定的運行是企業(yè)網(wǎng)追求的終極目標。第一章 企業(yè)網(wǎng)建設綜述1.1項目建設目標 建設分層的交換式以太網(wǎng)絡，對建成企業(yè)網(wǎng)絡進行優(yōu)化，使其得到充分的利用。1.2項目建設原則1、先進性：先進的設計思想、網(wǎng)絡結(jié)

4、構(gòu)，標準化和技術(shù)成熟的軟硬件產(chǎn)品。2、實用性：應充分考慮利用資源，能使用戶最方便地實現(xiàn)各種功能。3、開放性：系統(tǒng)設計應采用開放技術(shù)、開放結(jié)構(gòu)、開放系統(tǒng)組件和開放用戶接口，以利于網(wǎng)絡的維護、擴展升級及外界信息的溝通。4、靈活性：采用積木式模塊組合和結(jié)構(gòu)化設計，使系統(tǒng)配置靈活，滿足企業(yè)逐步到位的建網(wǎng)原則，使網(wǎng)絡具有強大的可增長性和強壯性。5、發(fā)展性：網(wǎng)絡規(guī)劃設計既要滿足用戶發(fā)展在配置上的預留，又能滿足因技術(shù)發(fā)展需要而實現(xiàn)低成本擴展和升級的需求。6、可靠性：具有容錯功能，管理、維護方便。方案的設計、選型、安裝、調(diào)試等各環(huán)節(jié)進行統(tǒng)一規(guī)劃和分析，確保系統(tǒng)運行可靠。1.3基本建設描述首先了解企業(yè)的具體需求

5、，根據(jù)企業(yè)辦公室PC機的多少來決定網(wǎng)絡信息點數(shù)目，主干光纖的鋪設也要考慮企業(yè)辦公大樓和工廠車間的具體位置，要求在合理的位置放置硬件設備，并通過網(wǎng)絡鋪設將企業(yè)中的每一個信息點連接到局域網(wǎng)，然后通過路由器，防火墻，連接到外網(wǎng)，外網(wǎng)地址采用電信提供的網(wǎng)絡地址，企業(yè)內(nèi)部采用私有IP。第二章 需求分析2.1企業(yè)背景某企業(yè)占地500畝，擁有一棟辦公大樓和三個生產(chǎn)車間，其中辦公大樓高五層，每層有30個辦公室，每個房間有4臺電腦，每層都配有一個配線間，位于大樓的中部；辦公大樓的長度是120米，寬15米，每個車間距離辦公大樓都是300多米，每個車間有40臺電腦，所以該企業(yè)總共擁有30*4*5+3*40=720臺

6、電腦。該企業(yè)的組織架構(gòu)有7個職能部門，分別是研發(fā)部、生產(chǎn)部、銷售部、技術(shù)支持部、售后服務部，財務部和行政部，另外有一個總經(jīng)理辦公室和三個生產(chǎn)車間，生產(chǎn)車間隸屬于生產(chǎn)部，企業(yè)的建筑平面圖，如圖1， 圖12.2網(wǎng)絡規(guī)劃2.2.1該企業(yè)要求除財務部以外的所有電腦都要能夠連接到INTERNET網(wǎng)絡，建立一條高速的、多能的、可靠的、易擴展的主干網(wǎng)絡，是企業(yè)網(wǎng)絡設計的主要問題。2.2.2要求財務部的電腦不允許上INTERNET，生產(chǎn)部和三個生產(chǎn)車間相互之間能夠訪問，行政部和總經(jīng)理室可以跟除財務部外其他任何部門的電腦互訪，除此之外其他部門只有部門內(nèi)的電腦相互間可以訪問，部門之間不可以訪問；2.2.3計算機網(wǎng)

7、絡系統(tǒng)，要求“千兆到骨干、百兆到桌面”，建成一個高可靠、高性能、可擴展的信息網(wǎng)；2.2.4系統(tǒng)采用3層網(wǎng)絡架構(gòu)，PC機連接接入層交換機，根據(jù)企業(yè)各個部門及位置分布設置相應的匯聚層；核心層交換機采用千兆三層路由交換機。2.3計算機網(wǎng)絡綜合布線計算機網(wǎng)絡采用星型結(jié)構(gòu)布線，要求所有網(wǎng)絡的數(shù)據(jù)主干系統(tǒng)采用千兆光纖，接入層交換機到室內(nèi)桌面采用五類非屏蔽雙絞線。2.4 網(wǎng)絡拓撲結(jié)構(gòu)2.4.1 網(wǎng)絡拓撲結(jié)構(gòu)圖 按照網(wǎng)絡規(guī)劃的要求，需要通信的兩臺終端之間，發(fā)送的每一個數(shù)據(jù)包都有其明確的路由或交換鏈路。并且對所有網(wǎng)絡物理鏈路、交換設備和路由設備進行合理的部署和配置。2.4.2網(wǎng)絡中心組建根據(jù)企業(yè)信息點的分布，考

8、慮在整個網(wǎng)絡架構(gòu)上采用先進的交換式以太網(wǎng)，系統(tǒng)架構(gòu)分三層，分別為核心層、匯聚層和接入層，核心層實現(xiàn)提供整個網(wǎng)絡的中心多層路由、數(shù)據(jù)快速交換功能；匯聚層交換機必須能夠處理來自接入層設備的所有通信量，并提供到核心層的上行鏈路，因此與接入層交換機相比，匯聚層交換機需要更高的性能，更少的接口和更高的交換速率；接入層交換機的作用是提供足夠多的端口，將終端聯(lián)入INTERNET。根據(jù)綜合布線的科學性、可擴展性和經(jīng)濟性，將中心交換機放置在企業(yè)辦公大樓1層的配線間，路由器選用CISCO3825，帶內(nèi)置防火墻，用于對外來的數(shù)據(jù)進行過濾，限制本地用戶登陸非法網(wǎng)站等等。核心層交換機采用CISCO WS-3560G-2

9、4TS-S，這是一款適用于小型企業(yè)LAN接入或分支機構(gòu)環(huán)境的理想交換機，將10/100/1000和PoE配置相結(jié)合，提供了最高生產(chǎn)率和投資保護，并支持新應用，如IP電話、無線接入、視頻監(jiān)視、建筑物管理系統(tǒng)和遠程視頻售貨亭等的部署。 客戶可在整個網(wǎng)絡范圍中部署智能服務如高級服務質(zhì)量(QoS)、限速、訪問控制列表(ACL)、組播管理和高性能IP路由，且同時保持LAN交換的簡潔性。辦公大樓的每層配線間放置一臺匯聚層層交換機，也選用CISCO WS-3560G-24TS-S，辦公大樓每層配線間放置3臺接入層交換機，選用CISCO WS-C2960-48TT-L。路由器和交換機、交換機和交換機之間的都使

10、用多模光纖連接，接入層交換機到PC之間使用5類雙絞線連接，這樣就可以保證千兆主干網(wǎng)，百兆到桌面的設計要求。2.4.3生產(chǎn)車間網(wǎng)絡組建在每個車間外部都有一間配線間，分別放置1臺接入層交換機，選用CISCO WS-C2960-48TT-L，這3臺交換機分別通過gigabitEthernet 0/1光口,用光纖連接到辦公大樓一層網(wǎng)絡中心的匯聚層交換機上。2.4.4企業(yè)各部門交換機分配表部門信息點數(shù)地理位置交換機編號交換機型號 數(shù)量 銷售部120點辦公樓1層FLOOR1_1FLOOR1_2FLOOR1_3CISCO WS-C2960-48TT-L接入層交換機3一層匯聚辦公樓1層FLOOR1_HJCIS

11、CO WS-3560G-24TS-S匯聚交換機1生產(chǎn)部40點辦公樓2層FLOOR2_1FLOOR2_2FLOOR2_3CISCO WS-C2960-48TT-L接入層交換機3技術(shù)部40點辦公樓2層售后服務部40點辦公樓2層二層匯聚辦公樓2層FLOOR2_HJCISCO WS-3560G-24TS-S匯聚交換機1研發(fā)1部120點辦公樓3層FLOOR3_1FLOOR3_2FLOOR3_3CISCO WS-C2960-48TT-L接入層交換機3三層匯聚辦公樓3層FLOOR3_HJCISCO WS-3560G-24TS-S匯聚交換機1研發(fā)2部120點辦公樓4層FLOOR4_1FLOOR4_2FLOOR

12、4_3CISCO WS-C2960-48TT-L接入層交換機3四層匯聚辦公樓4層FLOOR4_HJCISCO WS-3560G-24TS-S匯聚交換機1財務部40點辦公樓5層FLOOR5_1FLOOR5_2FLOOR5_3CISCO WS-C2960-48TT-L接入層交換機3行政部70點辦公樓5層總經(jīng)理室10點辦公樓5層五層匯聚辦公樓5層FLOOR5_HJCISCO WS-3560G-24TS-S匯聚交換機1一車間40點一車間WORKSHOP_1CISCO WS-C2960-48TT-L接入層交換機1二車間40點二車間WORKSHOP_2CISCO WS-C2960-48TT-L接入層交換機

13、1三車間40點三車間WORKSHOP_3CISCO WS-C2960-48TT-L接入層交換機1企業(yè)核心CORECISCO WS-3560G-24TS-S核心交換機1第三章 網(wǎng)絡設備配置和管理在整個企業(yè)網(wǎng)絡的物理連接完成之后，接下來進一步的工作是整個網(wǎng)絡在物理連接之上的實現(xiàn)。這個過程主要是從網(wǎng)絡管理的有效性、安全性方面進行邏輯的劃分。實際上其主要內(nèi)容是在可管理的交換機上，很好的實現(xiàn)IP地址分配、子網(wǎng)劃分和VLAN的管理配置。3.1劃分子網(wǎng)一個單位在一個網(wǎng)絡號下有大量的計算機時，并不便于管理，可以根據(jù)單位所屬的部門或其地理分布位置等來劃分子網(wǎng)，在本設計方案中是根據(jù)部門來劃分子網(wǎng)的，劃分子網(wǎng)也就分

14、割了廣播域。劃分子網(wǎng)的目的:1.減少網(wǎng)絡流量 2.提高網(wǎng)絡性能 3.簡化管理4.易于擴大地理范圍該企業(yè)每個部門分配一個C類網(wǎng)段，三個車間分配一個C類網(wǎng)段，行政部和總經(jīng)理室分配一個C類網(wǎng)段，詳見下表系統(tǒng)名稱主機數(shù)網(wǎng)段地址網(wǎng)關(guān)IP容量銷售部120/24-5454254生產(chǎn)部40/24-5454254技術(shù)部40/24-5454254售后服務

15、部40/24-5454254研發(fā)1部120/24-5454254研發(fā)2部120/24-5454254財務部40/24-5454254行政部和總經(jīng)理室40/24-54192.168.8

16、.254254一車間40/24-55485二車間40/246-705485三車間40/2471-5454843.2劃分VLAN的方法3.2.1什么是VLAN？VLAN（Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎上，采用網(wǎng)絡管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡的端到端的邏輯網(wǎng)絡。一個V

17、LAN組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡設備，允許處于不同地理位置的網(wǎng)絡用戶加入到一個邏輯子網(wǎng)中。 VLAN的組建需要一定的條件做基礎，VLAN是建立在物理網(wǎng)絡基礎上的一種邏輯子網(wǎng)，因此建立VLAN需要相應的支持VLAN技術(shù)的網(wǎng)絡設備。當網(wǎng)絡中的不同VLAN間進行相互通信時，需要路由的支持，這時就需要增加路由設備要實現(xiàn)路由功能，既可采用路由器，也可采用三層交換機來完成。 從技術(shù)及成本兩個層面考慮，選用支持VLAN的三層交換機比較適宜。 VLAN在邏輯上等價于廣播域。更具體的說，將VLAN類比成一組最終用戶的集合。這些用戶可以處在不同的物理LAN上，但他們之間可以象在同一個L

18、AN上那樣自收通信而不受物理位置的限制。網(wǎng)絡的定義和劃分與物理位置和物理連接是沒有任何必然聯(lián)系的。 3.2.2 VLAN劃分的幾點好處 a、有效的帶寬利用通過將網(wǎng)絡分成小的廣播域或子網(wǎng)，VLAN解決了在大型“平”網(wǎng)絡中發(fā)現(xiàn)的擴展性問題，將所有的數(shù)據(jù)流，包括廣播或多點廣播，都別限制在子網(wǎng)中。b、安全性通過在VLAN間強迫進行第三層路由選擇，VLAN提供了安全性。如果配置了VLAN間通訊，可以使用路由器傳統(tǒng)的安全和 功能。c、負載均衡多條通信VLAN允許第三層路由選擇協(xié)議智能決定到達目的地的最佳路徑，當有多條到達目的地的路徑時，還能夠進行負載均衡。d、對故障組建的隔離減少網(wǎng)絡故障的影響。3.2.3

19、 設置VLAN的常用方法 VLAN的劃分可依據(jù)不同原則，一般有以下三種劃分方法： 1、基于端口的VLAN劃分 這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡管理員對網(wǎng)絡設備的交換端口進行重新分配即可，不用考慮該端口所連接的設備。 2、基于MAC地址的VLAN劃分 MAC地址其實就是指網(wǎng)卡的標識符，每一塊網(wǎng)卡的MAC地址都是惟一且固化在網(wǎng)卡上的。MAC地址由12位16進制數(shù)表示，前8位為廠商標識，后4位為網(wǎng)卡標識。網(wǎng)絡管理員可按MAC地址把一些站點劃分為一個邏輯子網(wǎng)。3、基于路由的VLAN劃分 路由協(xié)議工作在網(wǎng)絡層，相應的工作設備有路由器和路

20、由交換機（即三層交換機）。該方式允許一個VLAN跨越多個交換機，或一個端口位于多個VLAN中。 本設計方案主要采用1、3種方式進行劃分，將每個部門劃分為一個VLAN，總經(jīng)理室和行政部劃分到一個VLAN，生產(chǎn)車間和生產(chǎn)部劃分到一個VLAN，在匯聚層交換機CISCO3560上進行端口配置，進行VLAN劃分。 3.3端口配置及劃分VLAN 3.3.1 匯聚層交換機FLOOR1_HJ連接及配置說明辦公大樓1層的三臺接入層交換機FLOOR1_1、FLOOR1_2和FLOOR1_3的GigabitEthernet1/1口分別用多模光纖連接到FLOOR1_HJ交換機的GigabitEthernet0/1、G

21、igabitEthernet0/2和GigabitEthernet0/3口上；三個生產(chǎn)車間的三臺接入層交換機WORKSHOP_1、WORKSHOP_2和WORKSHOP_3的GigabitEthernet1/1口分別用多模光纖連接到FLOOR1_HJ交換機的GigabitEthernet0/4、GigabitEthernet0/5和GigabitEthernet0/6上；同時，F(xiàn)LOOR1_HJ交換機的GigabitEthernet0/24口連接到CORE核心交換機的GigabitEthernet0/1口上。在FLOOR1_HJ交換機上建立VLAN10、VLAN80和VLAN101，將Giga

22、bitEthernet0/1、GigabitEthernet0/2和GigabitEthernet0/3口劃入VLAN10；將GigabitEthernet0/4、GigabitEthernet0/5和GigabitEthernet0/6口劃入VLAN90；將GigabitEthernet0/24口劃入VLAN101。設置VLAN10的網(wǎng)關(guān)為54/24設置VLAN90的網(wǎng)關(guān)為54/24設置VLAN101的IP地址為/30在接入層交換機FLOOR1_1、FLOOR1_2和FLOOR1_3上分別建立VLAN10，并把各自的Fas

23、tEthernet0/1到FastEthernet0/48口及GigabitEthernet1/1口劃入VLAN10。在接入層交換機WORKSHOP_1、WORKSHOP_2和WORKSHOP_3上分別建立VLAN80，并把各自的FastEthernet0/1到FastEthernet0/48口及GigabitEthernet1/1口劃入VLAN90。在接入層交換機FLOOR1_1、FLOOR1_2和FLOOR1_3下連接的PC上，IP地址設置為192.168.1.X （X為1253，每臺PC不重復），子網(wǎng)掩碼，網(wǎng)關(guān)設置為54。在接入層交換機WO

24、RKSHOP_1、WORKSHOP_2和WORKSHOP_3下連接的PC上，IP地址設置為192.168.6.X （X為1253，每臺PC不重復），子網(wǎng)掩碼，網(wǎng)關(guān)設置為54。3.3.2 匯聚層交換機FLOOR2_HJ連接及配置說明辦公大樓2層的三臺接入層交換機FLOOR2_1、FLOOR2_2和FLOOR2_3的GigabitEthernet1/1口分別用多模光纖連接到FLOOR2_HJ交換機的GigabitEthernet0/1、GigabitEthernet0/2和GigabitEthernet0/3口上；同時，F(xiàn)LOOR2_HJ交換機的Gi

25、gabitEthernet0/24口連接到CORE核心交換機的GigabitEthernet0/2口上。在FLOOR2_HJ交換機上建立VLAN20、VLAN30、VLAN40和VLAN102，將GigabitEthernet0/1口劃入VLAN20；將GigabitEthernet0/2口劃入VLAN30；將GigabitEthernet0/3口劃入VLAN30；將GigabitEthernet0/24口劃入VLAN102。設置VLAN20的網(wǎng)關(guān)為54/24設置VLAN30的網(wǎng)關(guān)為54/24設置VLAN40的網(wǎng)關(guān)為54/24設

26、置VLAN102的IP地址為/30在接入層交換機FLOOR2_1建立VLAN20，并把FastEthernet0/1到FastEthernet0/48口及GigabitEthernet1/1口劃入VLAN20；在接入層交換機FLOOR2_2建立VLAN30，并把FastEthernet0/1到FastEthernet0/48口及GigabitEthernet1/1口劃入VLAN30；在接入層交換機FLOOR2_3建立VLAN40，并把FastEthernet0/1到FastEthernet0/48口及GigabitEthernet1/1口劃入VLAN40。在接入層交換

27、機FLOOR2_1下連接的PC上，IP地址設置為192.168.2.X （X為185，每臺PC不重復），子網(wǎng)掩碼，網(wǎng)關(guān)設置為54；在接入層交換機FLOOR2_2下連接的PC上，IP地址設置為192.168.2.X （X為86170，每臺PC不重復），子網(wǎng)掩碼，網(wǎng)關(guān)設置為54；在接入層交換機FLOOR2_3下連接的PC上，IP地址設置為192.168.2.X （X為171253，每臺PC不重復），子網(wǎng)掩碼，網(wǎng)關(guān)設置為54；3.3.3 匯聚層交換機FLOO

28、R3_HJ連接及配置說明辦公大樓3層的三臺接入層交換機FLOOR3_1、FLOOR3_2和FLOOR3_3的GigabitEthernet1/1口分別用多模光纖連接到FLOOR3_HJ交換機的GigabitEthernet0/1、GigabitEthernet0/2和GigabitEthernet0/3口上；同時，F(xiàn)LOOR3_HJ交換機的GigabitEthernet0/24口連接到CORE核心交換機的GigabitEthernet0/3口上。在FLOOR3_HJ交換機上建立VLAN50和VLAN103，分別將GigabitEthernet0/1、GigabitEthernet0/2和Gig

29、abitEthernet0/3口劃入VLAN50；將GigabitEthernet0/24口劃入VLAN103。設置VLAN50的網(wǎng)關(guān)為54/24設置VLAN103的IP地址為/30在接入層交換機FLOOR3_1、FLOOR3_2和FLOOR3_3上分別建立VLAN50，并分別把各自的FastEthernet0/1到FastEthernet0/48口及GigabitEthernet1/1口劃入VLAN50； 在接入層交換機FLOOR3_1下連接的PC上，IP地址設置為192.168.3.X （X為185，每臺PC不重復），子網(wǎng)掩碼255.255.

30、255.0，網(wǎng)關(guān)設置為54；在接入層交換機FLOOR3_2下連接的PC上，IP地址設置為192.168.3.X （X為86170，每臺PC不重復），子網(wǎng)掩碼，網(wǎng)關(guān)設置為54；在接入層交換機FLOOR3_3下連接的PC上，IP地址設置為192.168.3.X （X為171253，每臺PC不重復），子網(wǎng)掩碼，網(wǎng)關(guān)設置為54；3.3.4 匯聚層交換機FLOOR4_HJ連接及配置說明辦公大樓4層的三臺接入層交換機FLOOR4_1、FLOOR4_2和FLOOR4_3的GigabitEth

31、ernet1/1口分別用多模光纖連接到FLOOR4_HJ交換機的GigabitEthernet0/1、GigabitEthernet0/2和GigabitEthernet0/3口上；同時，F(xiàn)LOOR4_HJ交換機的GigabitEthernet0/24口連接到CORE核心交換機的GigabitEthernet0/4口上。在FLOOR4_HJ交換機上建立VLAN60和VLAN104，分別將GigabitEthernet0/1、GigabitEthernet0/2和GigabitEthernet0/3口劃入VLAN60；將GigabitEthernet0/24口劃入VLAN104。設置VLAN60

32、的網(wǎng)關(guān)為54/24設置VLAN104的IP地址為/30在接入層交換機FLOOR4_1、FLOOR4_2和FLOOR4_3上分別建立VLAN60，并分別把各自的FastEthernet0/1到FastEthernet0/48口及GigabitEthernet1/1口劃入VLAN60； 在接入層交換機FLOOR4_1下連接的PC上，IP地址設置為192.168.4.X （X為185，每臺PC不重復），子網(wǎng)掩碼，網(wǎng)關(guān)設置為54；在接入層交換機FLOOR4_2下連接的PC上，IP地址設置為192.168.4

33、.X （X為86170，每臺PC不重復），子網(wǎng)掩碼，網(wǎng)關(guān)設置為54；在接入層交換機FLOOR4_3下連接的PC上，IP地址設置為192.168.4.X （X為171253，每臺PC不重復），子網(wǎng)掩碼，網(wǎng)關(guān)設置為54；3.3.5 匯聚層交換機FLOOR5_HJ連接及配置說明辦公大樓5層的三臺接入層交換機FLOOR5_1、FLOOR5_2和FLOOR5_3的GigabitEthernet1/1口分別用多模光纖連接到FLOOR5_HJ交換機的GigabitEthernet0/1、GigabitEthern

34、et0/2和GigabitEthernet0/3口上；同時，F(xiàn)LOOR5_HJ交換機的GigabitEthernet0/24口連接到CORE核心交換機的GigabitEthernet0/5口上。在FLOOR5_HJ交換機上建立VLAN70、VLAN80和VLAN105，將GigabitEthernet0/1口劃入VLAN70；將GigabitEthernet0/2和GigabitEthernet0/3口劃入VLAN80；將GigabitEthernet0/24口劃入VLAN105。設置VLAN70的網(wǎng)關(guān)為54/24設置VLAN80的網(wǎng)關(guān)為54/24設

35、置VLAN105的IP地址為/30在接入層交換機FLOOR5_1上建立VLAN70，并把FastEthernet0/1到FastEthernet0/48口及GigabitEthernet1/1口劃入VLAN70。在接入層交換機、FLOOR5_2和FLOOR5_3上分別建立VLAN80，并把各自的FastEthernet0/1到FastEthernet0/48口及GigabitEthernet1/1口劃入VLAN80。在接入層交換機FLOOR5_1、FLOOR5_2和FLOOR5_3下連接的PC上，IP地址設置為192.168.5.X （X為1253，每臺PC不重復），

36、子網(wǎng)掩碼，網(wǎng)關(guān)設置為54。3.3.6 核心層交換機CORE連接及配置說明核心交換機CORE的GigabitEthernet0/6口用多模光纖連接到路由器CISCO3825的GigabitEthernet0/1口上。在核心交換機CORE上建立管理VLAN801、VLAN802、VLAN803、VLAN804和VLAN805，將GigabitEthernet0/1口劃入VLAN801；將GigabitEthernet0/2口劃入VLAN802；將GigabitEthernet0/3口劃入VLAN803；將GigabitEthernet0/4口劃入VL

37、AN804；將GigabitEthernet0/5口劃入VLAN805；設置VLAN801的IP地址為/30設置VLAN802的IP地址為/30設置VLAN803的IP地址為/30設置VLAN804的IP地址為/30設置VLAN805的IP地址為/303.5配置靜態(tài)路由根據(jù)2.2.2網(wǎng)絡規(guī)劃的要求，在交換機上進行靜態(tài)路由的必要配置，詳細如下：3.5.1要求財務部的電腦不允許上INTERNET在接入層交換機FLOOR5_1上將上行的端口GigabitEthernet1

38、/1口關(guān)閉 Switch#configure terminal Switch(config)#interface GigabitEthernet1/1Switch(config-if)#shutdown 在匯聚層交換機FLOOR5_HJ上將GigabitEthernet0/1口關(guān)閉 Switch#configure terminal Switch(config)#interface GigabitEthernet0/1Switch(config-if)#shutdown 3.5.2要求生產(chǎn)部和三個生產(chǎn)車間相互之間能夠訪問在生產(chǎn)車間連接的匯聚層交換機FLOOR1_HJ上 ip route 192

39、.168.2.0 在生產(chǎn)部連接的匯聚層交換機FLOOR2_HJ上 ip route 在核心層交換機CORE上 ip route ip route 3.5.3辦公大樓3、4層研發(fā)部之間跨子網(wǎng)的互相訪問在匯聚層交換機FLOOR3_HJ上 ip route 192

40、.168.103.1在匯聚層交換機FLOOR4_HJ上 ip route 在核心層交換機CORE上 ip route ip route 3.5.4行政部和總經(jīng)理室可以跟除財務部外其他任何部門的電腦互訪，除此之外其他部門只有部門內(nèi)的電腦相互間可以訪問，部門之間不可以訪問；在匯聚層交換機FLOOR1_HJ上 ip route 255.255.

41、255.0 在匯聚層交換機FLOOR2_HJ上 ip route 在匯聚層交換機FLOOR3_HJ上 ip route 在匯聚層交換機FLOOR4_HJ上 ip route 在匯聚層交換機FLOOR5_HJ上 ip route ip route 192.168

42、.2.0 ip route ip route ip route 在核心層交換機CORE上 ip route ip route ip route 1

43、 ip route ip route ip route 到這里靜態(tài)路由就配置完了，并且使用CISCO軟件Packet Tracer 5.0搭建模擬網(wǎng)絡測試通過。3.6連接廣域網(wǎng)應用路由設備對廣域網(wǎng)進行連接，路由器選用Cisco公司的CISCO3825，帶內(nèi)置防火墻，用于對外來的數(shù)據(jù)進行

44、過濾，限制本地用戶登陸非法網(wǎng)站等等。支持VPN支持，可以通過幀中繼、電話撥號、ISDN等方式進行聯(lián)網(wǎng)。路由協(xié)議考慮使用OSPF、RIP等路由協(xié)議。路由設備可通過廣域網(wǎng)遠程配置及管理。VLAN劃分解決了企業(yè)各個部門的網(wǎng)絡劃分，限制了廣播域，充分的利用了網(wǎng)絡資源，對企業(yè)網(wǎng)絡做進一步配制，如對于路由器的訪問控制列表的簡單配置，可以控制流經(jīng)路由器的數(shù)據(jù)包，通過訪問控制列表的簡單配置可以簡單的實現(xiàn)防火墻的功能，對網(wǎng)絡中的數(shù)據(jù)包進行阻擋，對于從端口進入的數(shù)據(jù)包，路由器先對其進行訪問控制列表檢查，如符合拒絕條件的，則將數(shù)據(jù)包丟棄；如符合允許條件，在進行路由進程，在網(wǎng)絡中查找目的網(wǎng)絡地址，以決定如何處理該數(shù)據(jù)

45、包。對路由器進行訪問控制列表的配置：Router(config)#access-list access-list-numberpermint|denytest conditions應用于某個端口：Router(config-if)#protoclaccess-group access-list-numberin|out在路由器上進行如下配置,對網(wǎng)絡端口進行限制：關(guān)閉一些流行病毒后門常用的端口access-list 101 permit tcp any any eq telnetaccess-list 101 deny tcp any any eq 135access-list 101 deny

46、 udp any any eq 135access-list 101 deny tcp any any eq 136access-list 101 deny udp any any eq 136access-list 101 deny tcp any any eq 137access-list 101 deny udp any any eq 137access-list 101 deny tcp any any eq 138access-list 101 deny udp any any eq 138access-list 101 deny tcp any any eq 139access-l

47、ist 101 deny udp any any eq 139access-list 101 deny tcp any any eq 445access-list 101 deny udp any any eq 445access-list 101 deny tcp any any eq 1434access-list 101 deny udp any any eq 1434access-list 101 deny tcp any any eq 4444access-list 101 deny tcp any any eq 5554access-list 101 deny tcp any an

48、y eq 9995access-list 101 deny tcp any any eq 9996允許辦公常用的端口打開access-list 101 permit tcp any any eq wwwaccess-list 101 permit tcp any any eq loginaccess-list 101 permit tcp any any eq pop3access-list 101 permit tcp any any eq smtpaccess-list 101 permit tcp any any eq ftp-dataaccess-list 101 permit tcp any any eq ftpaccess-list 101 permit tcp any any eq domainaccess-list 101 permit udp any any eq domainaccess-list 101 permit udp any any eq 21access-list 101 permit udp any any eq20access-list 101 permit udp any any eq 25access-list 101 permit