中小型園區(qū)網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)71971

1、綜合課程設(shè)計(jì)報(bào)告 題目：中小型園區(qū)網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)現(xiàn) 班級(jí)：姓名：學(xué)號(hào)：指導(dǎo)教師：完成日期：項(xiàng)目分工： Xxx：、網(wǎng)絡(luò)總體方案設(shè)計(jì) 、網(wǎng)絡(luò)設(shè)備的配置與管理 Yyy：、公司網(wǎng)絡(luò)規(guī)劃需求分析 、網(wǎng)絡(luò)拓?fù)渑c布線方案設(shè)計(jì)目 錄第1章 設(shè)計(jì)內(nèi)容4第2章 設(shè)計(jì)目標(biāo)42.1項(xiàng)目建設(shè)目標(biāo)42.2項(xiàng)目建設(shè)原則42.3基本建設(shè)描述4第3章 需求分析53.1企業(yè)背景53.2網(wǎng)絡(luò)需求分析53.3綜合布線需求分析63.4網(wǎng)絡(luò)中心組建需求分析7第4章 設(shè)計(jì)思想84.1劃分子網(wǎng)84.2劃分vlan84.3連接廣域網(wǎng)94.4網(wǎng)絡(luò)安全控制及管理10第5章 具體實(shí)現(xiàn)105.1子網(wǎng)及IP地址分配，vlan劃分105.2設(shè)備配置及綜合

2、布線11第6章 附錄24參考文獻(xiàn)24 第1章 設(shè)計(jì)內(nèi)容利用所學(xué)的計(jì)算機(jī)網(wǎng)絡(luò)、綜合布線、系統(tǒng)集成、網(wǎng)絡(luò)互聯(lián)等知識(shí)，為一個(gè)小型園區(qū)規(guī)劃并設(shè)計(jì)一個(gè)企業(yè)網(wǎng)絡(luò)。該企業(yè)在青島總部擁有辦公大廈一座，請(qǐng)為該大廈設(shè)計(jì)一套簡(jiǎn)潔、易維護(hù)、易升級(jí)的布線方案。并將青島總部、上海子公司和深圳生產(chǎn)基地三處網(wǎng)絡(luò)連成一個(gè)整體，以達(dá)到共享信息資源，節(jié)約成本，提高生產(chǎn)效率。 主要包括兩個(gè)部分： 1、該企業(yè)公司網(wǎng)絡(luò)規(guī)劃； 2、大廈布線方案設(shè)計(jì)。 學(xué)生應(yīng)當(dāng)具備自學(xué)能力，具備運(yùn)用所學(xué)知識(shí)解決實(shí)際問題的能力，具備規(guī)劃、設(shè)計(jì)園區(qū)網(wǎng)絡(luò)以及troubleshooting的能力。第2章 設(shè)計(jì)目標(biāo) 2.1項(xiàng)目建設(shè)目標(biāo) 建設(shè)分層的交換式以太網(wǎng)絡(luò)，對(duì)建

3、成企業(yè)網(wǎng)絡(luò)進(jìn)行優(yōu)化，使其得到充分的利用。2.2項(xiàng)目建設(shè)原則 （1）、先進(jìn)性：先進(jìn)的設(shè)計(jì)思想、網(wǎng)絡(luò)結(jié)構(gòu)，標(biāo)準(zhǔn)化和技術(shù)成熟的軟硬件產(chǎn)品。 （2）、實(shí)用性：應(yīng)充分考慮利用資源，能使用戶最方便地實(shí)現(xiàn)各種功能。 （3）、開放性：系統(tǒng)設(shè)計(jì)應(yīng)采用開放技術(shù)、開放結(jié)構(gòu)、開放系統(tǒng)組件和開放用戶接口，以利于網(wǎng)絡(luò)的維護(hù)、擴(kuò)展升級(jí)及外界信息的溝通。 （4）、靈活性：采用積木式模塊組合和結(jié)構(gòu)化設(shè)計(jì)，使系統(tǒng)配置靈活，滿足企業(yè)逐步到位的建網(wǎng)原則，使網(wǎng)絡(luò)具有強(qiáng)大的可增長(zhǎng)性和強(qiáng)壯性。 （5）、發(fā)展性：網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)既要滿足用戶發(fā)展在配置上的預(yù)留，又能滿足因技術(shù)發(fā)展需要而實(shí)現(xiàn)低成本擴(kuò)展和升級(jí)的需求。 （6）、可靠性：具有容錯(cuò)功能，管

4、理、維護(hù)方便。方案的設(shè)計(jì)、選型、安裝、調(diào)試等各環(huán)節(jié)進(jìn)行統(tǒng)一規(guī)劃和分析，確保系統(tǒng)運(yùn)行可靠。2.3基本建設(shè)描述首先了解企業(yè)的具體需求，根據(jù)企業(yè)辦公室PC機(jī)的多少來決定網(wǎng)絡(luò)信息點(diǎn)數(shù)目，主干光纖的鋪設(shè)也要考慮企業(yè)辦公大樓和工廠車間的具體位置，要求在合理的位置放置硬件設(shè)備，并通過網(wǎng)絡(luò)鋪設(shè)將企業(yè)中的每一個(gè)信息點(diǎn)連接到局域網(wǎng)，然后通過路由器，防火墻，連接到外網(wǎng)，外網(wǎng)地址采用電信提供的網(wǎng)絡(luò)地址，企業(yè)內(nèi)部采用私有IP。第3章 需求分析 3.1企業(yè)背景該企業(yè)擁有青島總部、上海子公司和深圳生產(chǎn)基地三處，需將三處網(wǎng)絡(luò)連成一個(gè)整體，以達(dá)到共享信息資源，節(jié)約成本，提高生產(chǎn)效率。其中青島總部辦公大樓10層，每層結(jié)構(gòu)都一樣，

5、如下圖所示（以2樓為例），即建筑平面示意圖。樓梯201203205207209211213215217 5m7m 走廊 3m弱井電房202204206208210212214216 218 8m 59m 3.2網(wǎng)絡(luò)需求分析3.2.1該企業(yè)要求除財(cái)務(wù)部以外的所有電腦都要能夠連接到INTERNET網(wǎng)絡(luò)，建立一條高速的、多能的、可靠的、易擴(kuò)展的主干網(wǎng)絡(luò)，是企業(yè)網(wǎng)絡(luò)設(shè)計(jì)的主要問題。3.2.2要求財(cái)務(wù)部的電腦不允許上INTERNET，生產(chǎn)部和三個(gè)生產(chǎn)車間相互之間能夠訪問，行政部和總經(jīng)理室可以跟除財(cái)務(wù)部外其他任何部門的電腦互訪，除此之外其他部門只有部門內(nèi)的電腦相互間可以訪問，部門之間不可以訪問；3.2.3

6、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，要求“千兆到骨干、百兆到桌面”，建成一個(gè)高可靠、高性能、可擴(kuò)展的信息網(wǎng)；3.2.4系統(tǒng)采用3層網(wǎng)絡(luò)架構(gòu)，PC機(jī)連接接入層交換機(jī)，根據(jù)企業(yè)各個(gè)部門及位置分布設(shè)置相應(yīng)的匯聚層；核心層交換機(jī)采用千兆三層路由交換機(jī)。根據(jù)網(wǎng)絡(luò)需求分析得到網(wǎng)絡(luò)拓?fù)淙缦拢?.3綜合布線需求分析 3.3.1總體需求滿足主干1000Mbps,水平100Mbps交換到桌面的網(wǎng)絡(luò)傳輸要求；主干光纖的配置冗余備份，滿足將來擴(kuò)展的需要；滿足與電信及自身專網(wǎng)的連接；信息點(diǎn)功能可隨需要靈活調(diào)整；兼容不同廠家、不同品牌的網(wǎng)絡(luò)設(shè)備； 3.3.2 功能需求： 本設(shè)計(jì)中的綜合布線系統(tǒng)應(yīng)當(dāng)能滿足下述通信需要： 電話；計(jì)算機(jī)網(wǎng)絡(luò)；具備

7、實(shí)現(xiàn)視頻傳輸?shù)臈l件；其他符合布線標(biāo)準(zhǔn)的信號(hào)、數(shù)據(jù)傳輸； 3.3.3 性能需求：有服務(wù)效率、服務(wù)質(zhì)量、網(wǎng)絡(luò)吞吐率、網(wǎng)絡(luò)響應(yīng)時(shí)間、數(shù)據(jù)傳輸速度、資源利用率、可靠性、性能/價(jià)格比等； 根據(jù)本工程的特殊性，語(yǔ)音點(diǎn)和數(shù)據(jù)點(diǎn)使用相同的傳輸介質(zhì)，即統(tǒng)一使用超5類4對(duì)雙絞電纜，以實(shí)現(xiàn)語(yǔ)音、數(shù)據(jù)相互備份的需要； 對(duì)于網(wǎng)絡(luò)主干，數(shù)據(jù)通信介質(zhì)全部使用光纖，語(yǔ)音通信主干使用大對(duì)數(shù)電纜；光纜和大對(duì)數(shù)電纜均留有余量； 對(duì)于其他系統(tǒng)數(shù)據(jù)傳輸，可采用超5類雙絞線或?qū)Ｓ镁€纜； 支持目前水平100M、主干1000M的網(wǎng)絡(luò)應(yīng)用，及未來擴(kuò)展的需要 3.3.4 環(huán)境需求：主要指地理分布，用戶數(shù)量及其位置，用戶之間的距離，用戶群的組織特

8、點(diǎn)，還有特殊的限制（如電纜等介質(zhì)的布線是否有禁區(qū)）等； 本工程中，布線主要在室內(nèi)，在工地現(xiàn)場(chǎng)勘測(cè)時(shí)沒有發(fā)現(xiàn)有特殊限制等。 3.3.5其他需求： 按有效面積，每十平方米設(shè)一個(gè)語(yǔ)音點(diǎn)和一個(gè)數(shù)據(jù)點(diǎn)； 要求工程能夠滿足未來20年的需求；每個(gè)信息點(diǎn)能夠靈活的應(yīng)用，可隨時(shí)轉(zhuǎn)換接插電話、微機(jī)或數(shù)據(jù)終端、門禁、消 防等； 設(shè)備間放在2樓的弱電井房，其他樓層的弱電井房為樓層配線間， 配線間都使用立式機(jī)柜，機(jī)柜放在弱電井下側(cè)； 信息點(diǎn)分布在各個(gè)房間中。 3.4網(wǎng)絡(luò)中心組建需求分析根據(jù)企業(yè)信息點(diǎn)的分布，考慮在整個(gè)網(wǎng)絡(luò)架構(gòu)上采用先進(jìn)的交換式以太網(wǎng)，系統(tǒng)架構(gòu)分二層，分別為核心層和接入層，核心層實(shí)現(xiàn)提供整個(gè)網(wǎng)絡(luò)的中心多層

9、路由、數(shù)據(jù)快速交換功能；接入層交換機(jī)的作用是提供足夠多的端口，將終端聯(lián)入INTERNET。根據(jù)綜合布線的科學(xué)性、可擴(kuò)展性和經(jīng)濟(jì)性，將中心交換機(jī)放置在企業(yè)辦公大樓1層的配線間，路由器選用CISCO3825，帶內(nèi)置防火墻，用于對(duì)外來的數(shù)據(jù)進(jìn)行過濾，限制本地用戶登陸非法網(wǎng)站等等。核心層交換機(jī)采用CISCO WS-3560G-24TS-S，這是一款適用于小型企業(yè)LAN接入或分支機(jī)構(gòu)環(huán)境的理想交換機(jī)，將10/100/1000和PoE配置相結(jié)合，提供了最高生產(chǎn)率和投資保護(hù)，并支持新應(yīng)用，如IP電話、無線接入、視頻監(jiān)視、建筑物管理系統(tǒng)和遠(yuǎn)程視頻售貨亭等的部署。 客戶可在整個(gè)網(wǎng)絡(luò)范圍中部署智能服務(wù)如高級(jí)服務(wù)質(zhì)

10、量(QoS)、限速、訪問控制列表(ACL)、組播管理和高性能IP路由，且同時(shí)保持LAN交換的簡(jiǎn)潔性。辦公大樓每層配線間放置3臺(tái)接入層交換機(jī)，選用CISCO WS-C2560-24。路由器和交換機(jī)、交換機(jī)和交換機(jī)之間的都使用多模光纖連接，接入層交換機(jī)到PC之間使用5類雙絞線連接，這樣就可以保證千兆主干網(wǎng)，百兆到桌面的設(shè)計(jì)要求。 第4章 設(shè)計(jì)思想在整個(gè)企業(yè)網(wǎng)絡(luò)的物理連接完成之后，接下來進(jìn)一步的工作是整個(gè)網(wǎng)絡(luò)在物理連接之上的實(shí)現(xiàn)。這個(gè)過程主要是從網(wǎng)絡(luò)管理的有效性、安全性方面進(jìn)行邏輯的劃分。實(shí)際上其主要內(nèi)容是在可管理的交換機(jī)上，很好的實(shí)現(xiàn)IP地址分配、子網(wǎng)劃分和VLAN的管理配置。4.1劃分子網(wǎng)一個(gè)單

11、位在一個(gè)網(wǎng)絡(luò)號(hào)下有大量的計(jì)算機(jī)時(shí)，并不便于管理，可以根據(jù)單位所屬的部門或其地理分布位置等來劃分子網(wǎng)，在本設(shè)計(jì)方案中是根據(jù)部門來劃分子網(wǎng)的，劃分子網(wǎng)也就分割了廣播域。劃分子網(wǎng)的目的:1.減少網(wǎng)絡(luò)流量 、2.提高網(wǎng)絡(luò)性能 、3.簡(jiǎn)化管理、4.易于擴(kuò)大地理范圍4.2劃分VLAN 4.2.1什么是VLAN？VLAN（Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。 V

12、LAN的組建需要一定的條件做基礎(chǔ)，VLAN是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立VLAN需要相應(yīng)的支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)中的不同VLAN間進(jìn)行相互通信時(shí)，需要路由的支持，這時(shí)就需要增加路由設(shè)備要實(shí)現(xiàn)路由功能，既可采用路由器，也可采用三層交換機(jī)來完成。 從技術(shù)及成本兩個(gè)層面考慮，選用支持VLAN的三層交換機(jī)比較適宜。VLAN在邏輯上等價(jià)于廣播域。更具體的說，將VLAN類比成一組最終用戶的集合。這些用戶可以處在不同的物理LAN上，但他們之間可以象在同一個(gè)LAN上那樣自收通信而不受物理位置的限制。網(wǎng)絡(luò)的定義和劃分與物理位置和物理連接是沒有任何必然聯(lián)系的。 4.2.2 VLAN劃分

13、的幾點(diǎn)好處 a、有效的帶寬利用通過將網(wǎng)絡(luò)分成小的廣播域或子網(wǎng)，VLAN解決了在大型“平”網(wǎng)絡(luò)中發(fā)現(xiàn)的擴(kuò)展性問題，將所有的數(shù)據(jù)流，包括廣播或多點(diǎn)廣播，都別限制在子網(wǎng)中。b、安全性通過在VLAN間強(qiáng)迫進(jìn)行第三層路由選擇，VLAN提供了安全性。如果配置了VLAN間通訊，可以使用路由器傳統(tǒng)的安全和 功能。c、負(fù)載均衡多條通信VLAN允許第三層路由選擇協(xié)議智能決定到達(dá)目的地的最佳路徑，當(dāng)有多條到達(dá)目的地的路徑時(shí)，還能夠進(jìn)行負(fù)載均衡。d、對(duì)故障組建的隔離減少網(wǎng)絡(luò)故障的影響。4.2.3 設(shè)置VLAN的常用方法 VLAN的劃分可依據(jù)不同原則，一般有以下三種劃分方法： 1、基于端口的VLAN劃分 這種劃分是把一

14、個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組，這是最簡(jiǎn)單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。 2、基于MAC地址的VLAN劃分 MAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的MAC地址都是惟一且固化在網(wǎng)卡上的。MAC地址由12位16進(jìn)制數(shù)表示，前8位為廠商標(biāo)識(shí)，后4位為網(wǎng)卡標(biāo)識(shí)。網(wǎng)絡(luò)管理員可按MAC地址把一些站點(diǎn)劃分為一個(gè)邏輯子網(wǎng)。3、基于路由的VLAN劃分 路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)）。該方式允許一個(gè)VLAN跨越多個(gè)交換機(jī)，或一個(gè)端口位于多個(gè)VLAN中。 本設(shè)計(jì)方案主要采用1、3種方

15、式進(jìn)行劃分，將每個(gè)部門劃分為一個(gè)VLAN，總經(jīng)理室和行政部劃分到一個(gè)VLAN，生產(chǎn)車間和生產(chǎn)部劃分到一個(gè)VLAN，在匯聚層交換機(jī)CISCO3560上進(jìn)行端口配置，進(jìn)行VLAN劃分。 4.3連接廣域網(wǎng)應(yīng)用路由設(shè)備對(duì)廣域網(wǎng)進(jìn)行連接，路由器選用Cisco公司的CISCO3825，帶內(nèi)置防火墻，用于對(duì)外來的數(shù)據(jù)進(jìn)行過濾，限制本地用戶登陸非法網(wǎng)站等等。支持VPN支持，可以通過幀中繼、電話撥號(hào)、ISDN等方式進(jìn)行聯(lián)網(wǎng)。路由協(xié)議考慮使用OSPF、RIP等路由協(xié)議。路由設(shè)備可通過廣域網(wǎng)遠(yuǎn)程配置及管理。VLAN劃分解決了企業(yè)各個(gè)部門的網(wǎng)絡(luò)劃分，限制了廣播域，充分的利用了網(wǎng)絡(luò)資源，對(duì)企業(yè)網(wǎng)絡(luò)做進(jìn)一步配制，如對(duì)于路

16、由器的訪問控制列表的簡(jiǎn)單配置，可以控制流經(jīng)路由器的數(shù)據(jù)包，通過訪問控制列表的簡(jiǎn)單配置可以簡(jiǎn)單的實(shí)現(xiàn)防火墻的功能，對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行阻擋，對(duì)于從端口進(jìn)入的數(shù)據(jù)包，路由器先對(duì)其進(jìn)行訪問控制列表檢查，如符合拒絕條件的，則將數(shù)據(jù)包丟棄；如符合允許條件，在進(jìn)行路由進(jìn)程，在網(wǎng)絡(luò)中查找目的網(wǎng)絡(luò)地址，以決定如何處理該數(shù)據(jù)包。4.4 網(wǎng)絡(luò)安全控制及管理4.4.1在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，根據(jù)系統(tǒng)的具體情況，部署防病毒、防火墻、訪問控制、黑客入侵檢測(cè)和VPN等系統(tǒng)，在最關(guān)鍵的部位保護(hù)最關(guān)鍵的資源。4.4.2在所有的含有關(guān)鍵業(yè)務(wù)數(shù)據(jù)或提供重要服務(wù)的服務(wù)器上安裝主機(jī)核心防護(hù)產(chǎn)品，提供對(duì)服務(wù)器的強(qiáng)力安全防護(hù)。4.4.3在系

17、統(tǒng)中安裝和部署客戶端、服務(wù)器、郵件系統(tǒng)的防毒產(chǎn)品，從而構(gòu)筑起病毒防御體系，有效的抵御和防范病毒的侵襲。4.4.4配備網(wǎng)關(guān)級(jí)過濾：網(wǎng)關(guān)級(jí)過濾的作用是保護(hù)內(nèi)部的信息系統(tǒng)免受來自外部的惡意代碼的攻擊。它應(yīng)該處于防火墻的后面，用來進(jìn)一步控制外部對(duì)內(nèi)部的惡意訪問。網(wǎng)關(guān)級(jí)過濾機(jī)制包括網(wǎng)關(guān)級(jí)防病毒過濾、垃圾郵件和非法信息過濾、惡意代碼過濾。 第5章 具體實(shí)現(xiàn)5.1子網(wǎng)及IP地址分配，VLAN劃分 該企業(yè)每個(gè)部門分配一個(gè)C類網(wǎng)段，三個(gè)車間分配一個(gè)C類網(wǎng)段 IP地址規(guī)劃表詳單：VLAN部門名稱IP網(wǎng)段 默認(rèn)網(wǎng)關(guān)說明Vlan10銷售部 青島Vlan11財(cái)務(wù)部192.168.11.0/24192.168.11.25

18、4Vlan20行政部192.168.20.0/24192.168.20.254Vlan30客服部192.168.30.0/24192.168.30.254Vlan31 技術(shù)部192.168.31.0/24192.168.31.254Vlan100服務(wù)器192.168.100.0/24192.168.100.254Vlan40財(cái)政部192.168.40.0/24192.168.40.254 上海Vlan50銷售部192.168.50.0/24192.168.50.254Vlan60行政部192.168.60.0/24192.168.60.254Vlan70客服部192.168.70.0/2419

19、2.168.70.254Vlan71技術(shù)部192.168.71.0/24192.168.71.254Vlan200服務(wù)器192.168.200.0/24192.168.200.254Vlan80車間1192.168.80.0/24192.168.80.254 深圳Vlan90車間2192.168.90.0/24192.168.90.254Vlan100研發(fā)部192.168.100.0/24192.168.100.254Vlan111采購(gòu)部192.168.111.0/24192.168.111.254Vlan112行政部192.168.112.0/24192.168.112.254Vlan113

20、財(cái)務(wù)部192.168.113.0/24192.168.113.2545.2設(shè)備配置及綜合布線 5.2.1交換機(jī)模塊的設(shè)計(jì)和配置 一個(gè)性能優(yōu)良的網(wǎng)絡(luò)都應(yīng)該是一個(gè)分層的設(shè)計(jì)。這樣不但簡(jiǎn)化了交換網(wǎng)絡(luò)的設(shè)計(jì)，同時(shí)也提高了交換網(wǎng)絡(luò)的可靠性和可擴(kuò)展性，我們一般將其分為三層設(shè)計(jì)模型。分別是接入層，核心層。因該公司分為青島、上海、深圳三個(gè)基地配置基本相同，下面我們將以青島總公司的網(wǎng)絡(luò)設(shè)備配置和管理為例進(jìn)行論述。5.2.2接入層交換機(jī)配置 接入層交換機(jī)是為所有的終端用戶提供一個(gè)接入點(diǎn)。我們采用的是Cisco WS-C2950-24交換機(jī)擁有24個(gè)10/100M的自適應(yīng)快速以太網(wǎng)端口，這里我們有4臺(tái)接入層交換機(jī)。

21、接下來我們將以其中一臺(tái)接入層交換機(jī)（QSW1）進(jìn)行配置作為示例。進(jìn)入交換機(jī)的配置界面（CLI）我們一般常采用的有兩種方法：1 利用反轉(zhuǎn)線直接和交換機(jī)的控制端口相連2 遠(yuǎn)程登錄 我們主要進(jìn)行如下一些配置：1. 設(shè)置交換機(jī)的名稱 Switch(config)#hostname QSW1 QSW1(config)#2. 設(shè)置交換機(jī)密碼QSW1config)#enable secret cisco3. 設(shè)置登陸虛擬終端QSW1(config)#line vty 0 15QSW1(config-line)#loginQSW1(config-line)#password cisco4. 設(shè)置虛擬終端超時(shí)時(shí)

22、間QSW1(config)#line vty 0 15QSW1config-line)#exec-timeout 5 305. 設(shè)置控制臺(tái)終端超時(shí)時(shí)間QSW1(config)#line con 0QSW1(config-line)#password ciscoQSW1(config-line)#loginQSW1(config-line)#exec-timeout 5 306. 禁用IP地址解析特性當(dāng)我們向交換機(jī)輸入一條錯(cuò)誤的指令的時(shí)候，交換機(jī)就會(huì)將該信息廣播給網(wǎng)絡(luò)上的DNS服務(wù)器，并試圖把它解析成IP地址。QSW1config)#no ip domain-lookup7. 啟用消息同步特性為

23、了防止我們向交換機(jī)輸入的指令被交換機(jī)產(chǎn)生的信息打亂。我們啟用消息同步特性。QSW1(config)#logging synchronous8.為了能夠?qū)粨Q機(jī)進(jìn)行遠(yuǎn)程管理，必須給交換機(jī)設(shè)置一個(gè)管理用的IP地址。這種情況下，實(shí)際上是將交換機(jī)看成和PC機(jī)一樣的主機(jī)。而每臺(tái)交換機(jī)都有一個(gè)用來進(jìn)行管理的默認(rèn)VLAN即VLAN1，VLAN1也稱為管理VLAN。這里為QSW1的管理IP設(shè)置為10.2.11.1/24,具體配置如下命令：QSW1(config)#interface vlan 1QSW1config-if)#ip address 10.2.11QSW1(config-if)#no shutdo

24、wn為了能讓管理人員在不同的子網(wǎng)中管理此交換機(jī)，還應(yīng)該設(shè)置默認(rèn)網(wǎng)關(guān)，在這里為其設(shè)置成為10.2.11.254,命令如下：QSW1(config)#ip default-gateway 10.2.11.2549.將QSW1設(shè)置成為VTP（vlan trunking protocol）的客戶機(jī)，（VTP即vlan生成樹協(xié)議，使得vlan客戶機(jī)可以從vlan服務(wù)機(jī)上獲得vlan信息，這樣就不必為每臺(tái)交換機(jī)配置vlan，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)，同時(shí)也減少了在不同交換機(jī)上輸入命令時(shí)出錯(cuò)的幾率，保證了網(wǎng)絡(luò)的正常運(yùn)行）命令如下：QSW1(config)#vtp mode clientQSW1(co

25、nfig)#vtp domain qingdao10. 建立一個(gè)vlan11并將與客戶機(jī)相連的端口f0/1設(shè)置為Access模式放在vlan11中。在此將端口安全應(yīng)用到interface FastEthernet0/1中。將上連端口interface FastEthernet0/11和interface FastEthernet0/12配置為Trunk模式。 QSW1(config)#vlan 11 QSW1(config)#interface FastEthernet0/1 QSW1(config-if)#switchport mode access QSW1(config-if)#swit

26、chport access vlan 11 QSW1(config-if)# switchport port-security QSW1(config-if)#switchport port-security mac-address sticky QSW1(config-if)#switchport port-security violation restrict QSW1(config)#interface FastEthernet0/11 QSW1(config-if#switchport mode trunk QSW1(config)#interface FastEthernet0/21

27、 QSW1(config-if)#switchport mode trunk11. 配置生成樹RSTP。并將interface FastEthernet0/1設(shè)置 Portfast特性， portfast的目的是盡量縮短Access端口等待STP收斂的時(shí)間。啟用Porfast的優(yōu)勢(shì)在于能夠防止DHCP超時(shí)的問題。以及啟用BPDU防護(hù)：能夠防止交換設(shè)備意外地連接到啟用了Portfast特性的端口，如果將交換機(jī)連接到啟用了Portfast特性的端口，那么就可能導(dǎo)致第2層環(huán)路或拓?fù)渥兏?QSW1(config)#sspanning-tree mode rapid-pvst QSW1(config)

28、#interface FastEthernet0/1 QSW1(config-if)#s spanning-tree portfast QSW1(config-if)#sspanning-tree bpduguard enable到此，對(duì)QSW1的配置基本上完成，以上僅完成部分部門的接入層配置，其他部門配置可參考以上的配置來進(jìn)行，這里就不做重復(fù)的論述。5.2.3核心層交換機(jī)配置核心層交換機(jī)將各接入層交換機(jī)互連起來進(jìn)行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換，在本企業(yè)網(wǎng)的設(shè)計(jì)中我們核心層交換機(jī)所采用的是Cisco WS-C3560-24PS交換機(jī)。此處以QcoreSW1為例，對(duì)核心層交換機(jī)的配置命令如下：1

29、. 配置核心層交換機(jī)QcoreSW1的基本參數(shù)對(duì)核心層交換機(jī)QcoreSW1的基本參數(shù)的配置與接入層交換機(jī)QSW1的基本參數(shù)配置類似。2. 配置核心層交換的管理vlan和默認(rèn)網(wǎng)關(guān)QcoreSW1(config)#interface vlan 1QcoreSW1(config-if)#no shutdownQcoreSW1(config-if)#exit3. 配置核心層交換機(jī)為VTP服務(wù)器QcoreSW1(config)#vtp mode severQcoreSW1(config)#vtp domain qingdao4.配置核心層交換機(jī)為DHCP服務(wù)器（以vlan11為例）QcoreSW1(c

30、onfig)#ip dhcp pool caiwu5.為QcoreSW1啟用路由功能QcoreSW1(config)#ip routingQcoreSW1(config)# router ospf 1QcoreSW1(config-router)#network 0.0.0.0 255.255.255.255 area 06.配置RSTP生成樹coreSW1為vlan10-11,20的根網(wǎng)橋，coreSW2為備份根網(wǎng)橋。coreSW2為vlan30-31的根網(wǎng)橋，coreSW1為備份根網(wǎng)橋。QcoreSW1(config)#spanning-tree mode rapid-pvstQcoreS

31、W1(config)#spanning-tree vlan 10-11,20 root primaryQcoreSW1(config)#spanning-tree vlan 30-31 root secondary到此，QcoreSW1的配置已經(jīng)完成。5.2.4路由器模塊的設(shè)計(jì)和配置 在本企業(yè)網(wǎng)中采用的是cisco3825的路由器，其主要作用是在企業(yè)網(wǎng)和ISP之間路由數(shù)據(jù)包。還有充當(dāng)防火墻的功能，配置如下：1. 配置路由器QDrouter的各接口參數(shù)主要是對(duì)接口fastethernet0/0、fastethernet1/0以及接口serial2/0的IP地址、子網(wǎng)掩碼的配置。配置命令如下：QD

32、router(config)#interface fastethernet0/0QDrouter(config-if)#no shutdownQDrouter(config)#interface fastethernet1/0QDrouter(config-if)#no shutdownQDrouter(config-if)#interface serial2/0QDrouter(config-if)#no shutdownQDrouter(config)#router ospf 1QDrouter(config-router)#network 172.16.0.0 0.0.255.255 a

33、rea 0QDrouter(config)#router bgp 65001QDrouter(config-router)#neighbor 211.0.1.1 remote-as 650022.將內(nèi)部地址轉(zhuǎn)發(fā)配置：QDrouter(config)#ip nat inside source list 11 interface Serial2/0 overloadQDrouter(config)#ip nat inside source list 1 pool test overloadQDrouter(config)#ip nat inside source static 192.168.10

34、0.1 211.0.100.1 QDrouter(config)#interface fastethernet0/0QDrouter(config-if)#ip nat insideQDrouter(config)#interface fastethernet1/0QDrouter(config)#ip nat insideQDrouter(config)#interface Serial2/0QDrouter(config)#ip nat outside3. ISP路由器的配置：SP主要起到了三個(gè)基地的互聯(lián)。主要配置如下：ISP(config)#router bgp 65002ISP(con

35、fig-router)#bgp log-neighbor-changesISP(config-router)#neighbor 211.0.1.2 remote-as 65001ISP(config-router)# neighbor 211.0.3.2 remote-as 65003ISP(config-router)#neighbor 211.0.2.2 remote-as 650044. 對(duì)路由器進(jìn)行訪問控制列表的配置： QDrouter(config)#access-list access-list-numberpermint|denytest conditions應(yīng)用于某個(gè)端口：QD

36、router(config-if)#protoclaccess-group access-list-numberin|out在路由器上進(jìn)行如下配置,對(duì)網(wǎng)絡(luò)端口進(jìn)行限制：關(guān)閉一些流行病毒后門常用的端口并應(yīng)用于接口：QDrouter(config)#access-list 101 deny tcp any any eq 9996QDrouter(config)#access-list 101 deny tcp any any eq 9995QDrouter(config)#access-list 101 deny tcp any any eq 5554QDrouter(config)#access

37、-list 101 deny tcp any any eq 4444QDrouter(config)#access-list 101 deny tcp any any eq 135QDrouter(config)#access-list 101 deny udp any any eq 135QDrouter(config)#access-list 101 deny tcp any any eq 136QDrouter(config)#access-list 101 deny udp any any eq 136QDrouter(config)#access-list 101 deny tcp

38、any any eq 137QDrouter(config)#access-list 101 deny udp any any eq 137QDrouter(config)#access-list 101 deny tcp any any eq 138QDrouter(config)#access-list 101 deny udp any any eq 138QDrouter(config)#access-list 101 deny tcp any any eq 139QDrouter(config)#access-list 101 deny udp any any eq 139QDrout

39、er(config)#access-list 101 deny tcp any any eq 445QDrouter(config)#access-list 101 deny udp any any eq 445QDrouter(config)#access-list 101 deny tcp any any eq 1434QDrouter(config)#access-list 101 deny udp any any eq 1434QDrouter(config)#access-list 101 permit ip any anyQDrouter(config)#interface Fas

40、tEthernet0/0QDrouter(config-if)#ip access-group 101 inQDrouter(config)#interface FastEthernet1/0QDrouter(config-if)#ip access-group 101 inQDrouter(config)#interface Serial2/0QDrouter(config-if)#ip access-group 101 out到此，路由器的配置已經(jīng)完成。 5.2.5 綜合布線設(shè)計(jì) 1. 工程背景青島總部辦公大樓10層，每層結(jié)構(gòu)都一樣，如下圖所示（以2樓為例），即建筑平面示意圖。兩邊是房間，

41、中間是走廊。樓的總長(zhǎng)度59m，其中每層弱點(diǎn)豎井間長(zhǎng)為3m，01至16號(hào)房每個(gè)房間長(zhǎng)各6m，17和18號(hào)房長(zhǎng)8m；樓寬為17m，房間寬5m，走廊寬7m。該樓房房間和走廊都有吊頂，樓高3.5m，吊頂后樓的凈高2.8m。現(xiàn)在準(zhǔn)備為該建筑物組建計(jì)算機(jī)網(wǎng)絡(luò)，設(shè)備間放在一樓的弱點(diǎn)井房，其他樓層的弱點(diǎn)井房為樓層配線間，配線間都使用立式機(jī)柜，機(jī)柜放在弱電井下側(cè)。信息點(diǎn)分布在各個(gè)房間中。樓梯201203205207209211213215217 5m7m 走廊 3m弱井電房202204206208210212214216 218 8m 59m由于大樓每層結(jié)構(gòu)都一樣，01至16號(hào)房每個(gè)房間長(zhǎng)各6m，房間寬5m，即

42、每個(gè)房間面積是30平米，取每10平米兩個(gè)信息點(diǎn)，則每個(gè)房間6個(gè)信息點(diǎn)，17和18號(hào)房長(zhǎng)8m，房間寬5m，即每個(gè)房間面積是40平米，取每10平米兩個(gè)信息點(diǎn)，則每個(gè)房間8個(gè)信息點(diǎn)，由此計(jì)算出信息點(diǎn)分布圖如下：樓層信息點(diǎn)分布圖: 樓層 教室 1F2F 3F 4F 5F 6F 7F 8F 9F 10F 合 計(jì) 02 6 6 6 6 6 6 6 6 6 6 03 6 6 6 6 6 6 6 6 6 6 046666666666 05 6 6 6 6 6 6 6 6 6 6 06 6 6 6 6 6 6 6 6 6 6 076666666666 08 6 6 6 6 6 6 6 6 6 6 0966666

43、66666 106666666666 116666666666 126666666666 136666666666 146 6 6 6 6 6 6 6 6 6 156666666666 16 6666666666 176666666666 188888888888 198888888888小 計(jì)11211211211211211211211211211211202. 設(shè)計(jì)依據(jù)本設(shè)計(jì)方案所采用的標(biāo)準(zhǔn)、構(gòu)局思路、計(jì)算依據(jù)、施工規(guī)范及驗(yàn)收遵循以下標(biāo)準(zhǔn)或規(guī)范：綜合布線國(guó)際標(biāo)準(zhǔn) ISOIEC11801 商業(yè)建筑物電信布線標(biāo)準(zhǔn)美國(guó)國(guó)家標(biāo)準(zhǔn) TIAEIA568A 建筑與建筑群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范 YD/

44、T926.1-1997大樓通信綜合布線系統(tǒng)標(biāo)準(zhǔn)（郵電部部頒行業(yè)標(biāo)準(zhǔn)） 用戶提供的技術(shù)需求報(bào)告3. 系統(tǒng)結(jié)構(gòu)設(shè)計(jì)1.工作區(qū)子系統(tǒng)： 工作區(qū)子系統(tǒng)又稱為服務(wù)區(qū)子系統(tǒng)，它是由RJ-45插座和其所連接的設(shè)備（終端或工作站）組成。 工作區(qū)信息插座的安裝應(yīng)符合下列要求： 息點(diǎn)設(shè)計(jì)等級(jí)采用增強(qiáng)型，每10平米有兩個(gè)信息插座，為了以后方便信息插座采用超5類信息模塊，支持1000Mbits信息傳輸，信息模塊的需求量：m=n+n*3=1120+1120*3%=1154個(gè) 跳接軟線要求： 工作區(qū)連接信息插座和計(jì)算機(jī)間的跳接軟線應(yīng)小于5m。一條鏈路需要二條跳線，一條從配線架跳接到交換設(shè)備，一條從信息插座連到計(jì)算機(jī)。現(xiàn)場(chǎng)

45、壓接跳線RJ45所需的數(shù)量：R J 4 5頭的需求量一般用下述方式計(jì)算： m=n×4 +n×4×1 5 =1120*4+1120*4*15%=5152個(gè) 用電配置要求： 綜合布線工程中對(duì)工作區(qū)子系統(tǒng)設(shè)計(jì)時(shí)，同時(shí)要考慮終端設(shè)備的用電需求。每組信息插座附近宜配備220V電源三孔插座，為設(shè)備供電，其間距不小于10cm。暗裝信息插座（RJ45）與其旁邊電源插座應(yīng)保持20cm的距離。且保護(hù)地線與零線嚴(yán)格分開。2.水平子系統(tǒng)：水平子系統(tǒng)也稱為水平布線子系統(tǒng)。水平布線子系統(tǒng)是從RJ-45插座開始到管理子系統(tǒng)的配線柜，結(jié)構(gòu)一般是星型。它以樓層配線架FD為主結(jié)點(diǎn)，各工作區(qū)信息插座為

46、分結(jié)點(diǎn)，二者之間采用獨(dú)立的線路相互連接，形成以FD為中心向工作區(qū)信息插座輻射的星型網(wǎng)絡(luò)。通常用雙絞線敷設(shè)水平布線系統(tǒng)，該建筑物樓層總長(zhǎng)度為59m小于90m，符合雙絞線的布線要求。技術(shù)規(guī)范： 為了保障通信質(zhì)量，對(duì)布線系統(tǒng)與其它系統(tǒng)的間距求作出了具體的規(guī)定。綜合布線系統(tǒng)與電力電纜的間距應(yīng)符合相關(guān)要求；綜合布線電纜、光纜及管線與其他管線的間距應(yīng)符合相關(guān)規(guī)定 管槽布線路由設(shè)計(jì)：天花板吊頂內(nèi)敷設(shè)線纜方式:采用分區(qū)布線法 管槽大小可采用以下簡(jiǎn)易方式來計(jì)算其大?。?槽（管）截面積 =（n×線纜截面積）/（7 0 %×（4 05 0 ）n：表示用戶所要安裝的多少條線（已知數(shù)） 槽（管）截面積：表示要選擇的槽管截面積線纜截面積：表示選用的線纜面積；7 0：表示布線標(biāo)準(zhǔn)規(guī)定允許的 空間；40%-50%：表示線纜之間浪費(fèi)的空間以上計(jì)算方法的管槽按要求留有較多的余量空間，