中小型網(wǎng)絡(luò)設(shè)計與實現(xiàn)

1、貴州財經(jīng)大學2015屆本科畢業(yè)論文（設(shè)計）本 科 畢 業(yè) 論 文 （設(shè) 計）中小型企業(yè)網(wǎng)絡(luò)設(shè)計與仿真The Design and Simulation of A Network of Small and Medium-sized Enterprises作 者曹 恩專 業(yè)計算機科學與技術(shù)指導(dǎo)教師馬思根 副教授學 院信息學院二一五 年 五 月I誠信聲明本人鄭重聲明：本人所呈交的畢業(yè)論文，是在導(dǎo)師 指導(dǎo)下獨立研究取得的成果。畢業(yè)論文中凡引用他人已經(jīng)發(fā)表的成果、數(shù)據(jù)、觀點等，均已明確注明出處。除文中已注明引用的內(nèi)容外，不包含任何其他個人或集體已發(fā)表的論文。若有抄襲，愿承擔一切后果。特此聲明作者簽名：

2、簽字日期：貴州財經(jīng)大學本科畢業(yè)論文授權(quán)使用聲明作為本科生畢業(yè)的條件之一,畢業(yè)論文著作權(quán)擁有者授權(quán)貴州財經(jīng)大學擁有畢業(yè)論文的部分使用權(quán),即:學校有權(quán)按有關(guān)規(guī)定向國家有關(guān)部門或機構(gòu)送交論文的復(fù)印件和電子版,允許論文被查閱和借閱,可以將畢業(yè)論文編入有關(guān)數(shù)據(jù)庫進行檢索,可以釆用影印、縮印或掃描等復(fù)制手段保存、匯編畢業(yè)論文。本人提交的電子文檔的內(nèi)容和紙質(zhì)論文的內(nèi)容相一致。保密的畢業(yè)論文在解密后也遵守此規(guī)定。公開 保密( 年)作 者 簽 名： 簽字日期：指導(dǎo)教師簽名： 簽字日期：I摘要本文主要是結(jié)合中小型企業(yè)網(wǎng)絡(luò)需求，結(jié)合當前企業(yè)中最常用的網(wǎng)絡(luò)結(jié)構(gòu)體系，采用層次結(jié)構(gòu)的三層結(jié)構(gòu)，并從理論上與實企業(yè)實際需求進

3、行系統(tǒng)性的分析與研究，了解當前搭建企業(yè)網(wǎng)絡(luò)所常用的關(guān)鍵技術(shù)、并對企業(yè)的信息安全技術(shù)方面的分析和研究。并通過企業(yè)網(wǎng)絡(luò)需求、網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)拓撲、技術(shù)實現(xiàn)和模擬仿真來完成該論文的設(shè)計。主要表現(xiàn)以下的兩個方面：1、 搭建一個企業(yè)網(wǎng)絡(luò)高可用性、穩(wěn)定性的企業(yè)網(wǎng)絡(luò)體系，利用HSRP協(xié)議來對核心路由和核心交換機實現(xiàn)冗余備份，STP/PVST+實現(xiàn)對核心的交換機VLAN的負載均衡，以提供對核心交換機的流量分擔，IP地址和VLAN的規(guī)劃與設(shè)計在，理論上對互聯(lián)網(wǎng)的體系結(jié)構(gòu)和工作原理的認識。2、 是在對于企業(yè)來說，信息安全是網(wǎng)絡(luò)的重要部分，VPN遠程訪問控制以及訪問控制列表、防火墻等應(yīng)用在安全技術(shù)的應(yīng)用也在本文中得到

4、具體的體現(xiàn)。關(guān)鍵字：HSRP冗余備份，PVST負載均衡，信息安全，IP地址規(guī)劃。AbstractThis paper is combined with small and medium-sized enterprise network requirements, combined with the most commonly used in current enterprise network system structure, adopt three layers structure of hierarchy, and theoretically and practical enterpri

5、se actual demand systematic analysis and research, the key to understand the current commonly used by building enterprise network technology, and the analysis of the enterprise information security technology and research. And demand in enterprise network, network architecture, network topology, the

6、 technical implementation and simulation to complete the design of the paper 。Mainly the following two aspects: Firstly，Building a network high availability and stability of the enterprise network system, Use HSRP protocol to implement redundancy backup routing and core switches, STP/PVST + implemen

7、tation of the core switches VLAN load balancing, to provide traffic share of core switches, IP address and VLAN in planning and design, theoretical understanding of the system structure and working principle of the Internet. Secondly, TO the enterprise, information security is an important part of t

8、he network, VPN remote access control, and access control lists, firewall and other applications in the application of safety technology in this article also get specific embodiment. Key Words：HSRP redundancy backup, PVST load balancing, information security, IP address planning. I 目錄摘要I目錄III1 引言11.

9、1 選題背景11.2 目的和意義11.3 可行性分析21.4 基本思路21.5 仿真實驗平臺32 網(wǎng)絡(luò)設(shè)計需求分析32.1 總體需求分析32.2 具體需求分析42.2.1基礎(chǔ)架構(gòu)的需求42.2.2 網(wǎng)絡(luò)出口和接入42.2.3 硬件安全的需求42.2.5 服務(wù)器選擇的需求53 網(wǎng)絡(luò)總體設(shè)計方案53.1 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計53.1.1 主干結(jié)構(gòu)設(shè)計63.1.2 接入層局域網(wǎng)設(shè)計63.1.3 互聯(lián)網(wǎng)接入設(shè)計63.1.5 VPN設(shè)計63.2 網(wǎng)絡(luò)拓撲設(shè)計73.3 IP地址與VLAN規(guī)劃73.4 模塊設(shè)計與仿真94 網(wǎng)絡(luò)的詳細設(shè)計方案104.1企業(yè)內(nèi)部網(wǎng)絡(luò)交換模塊設(shè)計104.1.1 基礎(chǔ)配置104.1.2 內(nèi)

10、網(wǎng)連通124.1.3核心冗余234.1.4 內(nèi)部路由之間的配置284.1.5 無線訪問324.2 廣域網(wǎng)接入模塊設(shè)計354.3 遠程訪問模塊設(shè)計364.4 安全模塊設(shè)計404.4.1 訪問控制404.4.2 防止欺騙攻擊414.4.3 其他的安全設(shè)施的部署435 仿真實驗的測試435.1 測試模塊435.2 模塊測試驗證435.2.1 企業(yè)連通性與訪問限制435.2.2 核心層的冗余465.2.3 Easy VPN測試496 總結(jié)50參考文獻52致謝辭53III1 引言1.1 選題背景 計算機網(wǎng)絡(luò)得到了越來越廣泛而深入的應(yīng)用，人們對網(wǎng)絡(luò)的依賴性越來越大，信息社會已經(jīng)離不開網(wǎng)絡(luò)，計算機網(wǎng)絡(luò)在人們

11、工作和生活中的地位越來越最重要，計算機網(wǎng)絡(luò)作為信息社會的基礎(chǔ)設(shè)施以滲透到社會的方方面面。對于中小型企業(yè)的發(fā)展而言，企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施也在不斷的發(fā)展變化，從小型企業(yè)發(fā)展到中性企業(yè)，企業(yè)的不斷擴大，業(yè)務(wù)需求量上的增加，計算機網(wǎng)絡(luò)的復(fù)雜程度也越來越高，規(guī)模也越來越大，企業(yè)需要一個可靠的、可管理的、安全的、穩(wěn)定的網(wǎng)絡(luò)運行環(huán)境。如果企業(yè)網(wǎng)絡(luò)出現(xiàn)問題和故障，都會給企業(yè)帶來一定的經(jīng)濟損失，為了避免這種情況，企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計和優(yōu)化尤為顯得重要，另外一方面，一個好的網(wǎng)絡(luò)規(guī)劃方案，在網(wǎng)絡(luò)管理方面，往往會提高網(wǎng)絡(luò)的正常運行，從而保證網(wǎng)絡(luò)能夠正常、可靠、高效、安全、穩(wěn)定地運行。這樣在企業(yè)發(fā)展后期中不僅減少了不必要的資金

12、投入和設(shè)備投入。以提供給中小型業(yè)企業(yè)現(xiàn)代化、綜合信息管理和辦公自動化等一系列應(yīng)用提供基本操作平臺，而且能夠提供多種應(yīng)用服務(wù)。本文正是以構(gòu)建一個高可靠、高速、高可用性的網(wǎng)絡(luò)和業(yè)務(wù)管理為出發(fā)點，研究和探討模擬出可行的解決方案。1.2 目的和意義 隨著科技的進步與經(jīng)濟的繁榮，近年來企業(yè)信息化建設(shè)不斷的深入，企業(yè)的運行與計算機的聯(lián)系越來越密不可分。企業(yè)網(wǎng)為企業(yè)的通信、辦公自動、信息發(fā)布、經(jīng)營管理等提供服務(wù)的重要基礎(chǔ)設(shè)施，不但方便員工的辦公，提高了企業(yè)的工作效率，也方便與客戶的聯(lián)系，加大了市場宣傳面，增加了業(yè)務(wù)的需求量塑造自己的企業(yè)形象，提高了社會的影響力和企業(yè)的中和競爭能力。 現(xiàn)在的中小型經(jīng)濟發(fā)展是國

13、民生產(chǎn)總值的重要組成部分，中小型企業(yè)由內(nèi)部網(wǎng)和外聯(lián)網(wǎng)共同組成，不但能夠支持企業(yè)辦公，而且為本地用戶和遠程用戶提供應(yīng)用程序和資源等多元化業(yè)務(wù)，而且能夠集中控制設(shè)備和各種類型的網(wǎng)絡(luò)流量，保證了網(wǎng)絡(luò)的性能和安全性。由于中小型企業(yè)網(wǎng)絡(luò)規(guī)劃構(gòu)建或者成本低廉、規(guī)模小、結(jié)構(gòu)簡單等特點，網(wǎng)絡(luò)的實用性、安全性、拓展性和易維護性等特點，所以對于中小型企業(yè)而言，組建一個符合企業(yè)需求的網(wǎng)絡(luò)對現(xiàn)代化企業(yè)的生存發(fā)展具有極其重要的意義。1.3 可行性分析我國早已進入了社會主義社會市場經(jīng)濟社會，面對現(xiàn)代的市場競爭，在過去傳統(tǒng)的手工管理方式和手段已經(jīng)不能適應(yīng)現(xiàn)代化的發(fā)展的需求。社會的進步、及科技的不斷發(fā)展和更新要求企業(yè)更新落后

14、的管理體制、管理方法和管理手段，而在發(fā)展過程中的中小企業(yè)規(guī)模也不斷地逐漸擴大、為了建立現(xiàn)代化企業(yè)的形象。實現(xiàn)企業(yè)的管理信息化。無論大中小型企業(yè)都不斷地建立適合自身企業(yè)的自動化管理信息系統(tǒng)，促使管理水平的提高、經(jīng)濟和社會效益的增加。實現(xiàn)一個統(tǒng)一、高可靠性、安全性的自動化辦公硬件平臺系統(tǒng)，是企業(yè)現(xiàn)代化管理的的一個重要的標志。它不僅能夠給整個企業(yè)帶來高效暢通的信息高速通道和企業(yè)公共服務(wù)環(huán)境，而且能夠提供給各個部門之間先進的信息服務(wù)和生產(chǎn)環(huán)境，還能夠提高各個部門之間的辦公效率和綜合管理水平、改變過去的管理思路和方式，提升管理人員和工作人員的素質(zhì)，大大提高企業(yè)人員的工作效率。從企業(yè)的經(jīng)濟發(fā)展趨勢來看，通

15、過網(wǎng)絡(luò)資源的共用來對企業(yè)與企業(yè)，企業(yè)與客戶的信息交流方式，加強對市場信息的掌握。再者，辦公自動化水平的不斷提高，不僅提高了工作和降低企業(yè)管理成本的支出，提高企業(yè)的競爭力。集中化的網(wǎng)絡(luò)管理，使得企業(yè)資源分配得以最優(yōu)化。1.4 基本思路根據(jù)企業(yè)的背景、目的、意義和可行性分析，應(yīng)選擇當前最適合中小型企業(yè)的網(wǎng)絡(luò)層次模型來規(guī)劃企業(yè)網(wǎng)絡(luò)架構(gòu)；為了保證網(wǎng)絡(luò)的高可用性，需要使用很多的冗余技術(shù)。例如：為了保證局域網(wǎng)絡(luò)不會因為鏈路故障而導(dǎo)致的網(wǎng)絡(luò)中斷而使用了冗余鏈路備份；為了保證客戶端機器不會因為使用單一網(wǎng)關(guān)而出現(xiàn)的單點失敗使用了熱備份路由協(xié)議；為了保證到互聯(lián)網(wǎng)的高可用接入使用了冗余互聯(lián)網(wǎng)連接。確保了企業(yè)網(wǎng)絡(luò)不間

16、斷運作，并采用合理的策略，確保個業(yè)務(wù)的性能發(fā)揮，增強企業(yè)數(shù)據(jù)的保密性；選擇當前穩(wěn)定可靠地網(wǎng)絡(luò)設(shè)備，從分發(fā)揮企業(yè)網(wǎng)絡(luò)的優(yōu)勢。網(wǎng)絡(luò)管理系統(tǒng)的高效能使得計算機網(wǎng)絡(luò)的運行狀態(tài)提供一個穩(wěn)定的網(wǎng)絡(luò)服務(wù)。因此。構(gòu)建一個高效的、安全、可靠、穩(wěn)定的網(wǎng)絡(luò)系統(tǒng)是尤其重要的。在構(gòu)建網(wǎng)絡(luò)的同時需要根據(jù)網(wǎng)絡(luò)設(shè)計的一些基本原則。這些原則包括如下：1. 開放性和標準化原則：采用國際化標準和標準，采用廣為流行的、實用的工業(yè)標準。2. 實用性和先進性兼顧的原則：就是注重實用性，結(jié)合企業(yè)的實際應(yīng)用需求。以適合企業(yè)當前的的發(fā)展情況。3. 無瓶頸原則：在設(shè)備選型上選擇適合企業(yè)發(fā)展的設(shè)備，以及滿足企業(yè)未來的需要。4. 可用性原則：主要是

17、指網(wǎng)絡(luò)設(shè)備上的可用性，主要體現(xiàn)在路由器、交換機、及其他的一些網(wǎng)絡(luò)硬件上海包括電源等備用5. 網(wǎng)絡(luò)安全性能：部署防火墻、防御系統(tǒng)、入侵檢測系統(tǒng)，ACL規(guī)則集、病毒防護系統(tǒng)等。1.5 仿真實驗平臺在本論文中我們將利用Cisco公司為思科網(wǎng)絡(luò)技術(shù)學院開發(fā)的一款模擬軟件，Packet Tracer 6本質(zhì)上是一個嵌入式的計算機，它需要有強有力的操作系統(tǒng)支持。IOS基礎(chǔ)概述cisco網(wǎng)絡(luò)設(shè)備，需要依靠ISO這個操作系統(tǒng)進行工作，ISO協(xié)調(diào)著Cisco設(shè)備的硬件進行網(wǎng)絡(luò)服務(wù)和應(yīng)用的傳遞。通過IOS命令接口，可對Cisco網(wǎng)絡(luò)設(shè)備進行各種各樣的配置，從而實現(xiàn)某種的網(wǎng)絡(luò)功能。CIsco Packet Trac

18、er 6能夠?qū)崿F(xiàn)大部分的網(wǎng)絡(luò)設(shè)備功能，VPN遠程訪問的實現(xiàn)。為了實現(xiàn)一些某些在本文中能夠更加直觀、真實地表現(xiàn)論文的實際價值，將使用仿真軟件來實現(xiàn)網(wǎng)絡(luò)的搭建。網(wǎng)絡(luò)構(gòu)架、模擬、測試的軟件如下：操作系統(tǒng)平臺：Microsoft Windows 7網(wǎng)絡(luò)仿真實驗軟件：Packet Tracer 6 2 網(wǎng)絡(luò)設(shè)計需求分析2.1 總體需求分析某中等企業(yè)規(guī)模公司在近幾年來發(fā)展迅猛，隨著業(yè)務(wù)需求量的不斷增大，現(xiàn)有的網(wǎng)絡(luò)流量負荷已不能承受現(xiàn)有業(yè)務(wù)需求，因此，公司決定在以往的基礎(chǔ)之上重構(gòu)網(wǎng)絡(luò)系統(tǒng)架構(gòu)，以滿足現(xiàn)有的網(wǎng)絡(luò)應(yīng)用需求和為未來發(fā)展的需求，對現(xiàn)有公司的網(wǎng)絡(luò)需求可知道該公司現(xiàn)有的三棟建筑，一棟行政樓、一棟辦公樓、

19、一棟宿舍樓。分別擁有財務(wù)部、人事部、生產(chǎn)部、市場營銷部、技術(shù)部。在該企業(yè)網(wǎng)絡(luò)系統(tǒng)規(guī)劃時需滿足如下幾點：1. 滿足現(xiàn)代企業(yè)管理的統(tǒng)一、對設(shè)計網(wǎng)絡(luò)系統(tǒng)時加強網(wǎng)絡(luò)管理，以提供安全、穩(wěn)定的使用環(huán)境。2. 滿足現(xiàn)代企業(yè)中對部門之間的管理，對部門的資源進行優(yōu)化分配，合理規(guī)劃網(wǎng)絡(luò)層次，實現(xiàn)最優(yōu)的資源共享。3. 為滿足現(xiàn)代企業(yè)的發(fā)展及科技進步的需要，提供拓展能力強、升級靈活地網(wǎng)絡(luò)環(huán)境。4. 滿足企業(yè)對互聯(lián)網(wǎng)信息資源的共享安全，提供完善的網(wǎng)絡(luò)解決方案；提高網(wǎng)絡(luò)設(shè)備的冗余性，5. 滿足對辦公效率及成本的控制的需求，增加高效的網(wǎng)絡(luò)應(yīng)用解決方案。2.2 具體需求分析2.2.1基礎(chǔ)架構(gòu)的需求 現(xiàn)在的大中型企業(yè)都基本上采

20、用了寬帶城域網(wǎng)的網(wǎng)絡(luò)平臺的層次結(jié)構(gòu)，它主要分為：核心交換層、邊緣匯聚層、用戶接入層。采用這樣的結(jié)構(gòu)擁有結(jié)構(gòu)清晰，各層功能實體之間的定清楚，接口開放，標準規(guī)范、便于組建和管理。核心層設(shè)備和匯聚層設(shè)備采用冗余備份，實現(xiàn)企業(yè)內(nèi)部的無間斷運作；并組建無限局域網(wǎng)，采用簡單、經(jīng)濟有效的無線AP+交換機的組建管理方案。遠程訪問采用站點到站點VPN實現(xiàn)遠程辦公網(wǎng)的需求。2.2.2 網(wǎng)絡(luò)出口和接入我國現(xiàn)有的中小型企業(yè)大多租用電信網(wǎng)絡(luò)服務(wù)商提供的IP地址，但隨著移動和聯(lián)通網(wǎng)絡(luò)服務(wù)提供商的進入，當前也有一些園區(qū)網(wǎng)租用聯(lián)通和移動的網(wǎng)絡(luò)服務(wù)，增強了網(wǎng)絡(luò)服務(wù)的競爭，這幾個網(wǎng)絡(luò)服務(wù)提供商都基本上能夠提供高速的網(wǎng)絡(luò)帶寬，并能

21、通過Internet向外公布和發(fā)布企業(yè)信息，并能夠更好地實施VPN技術(shù)方案，使用NAPT（端口地址轉(zhuǎn)換）來滿足內(nèi)網(wǎng)連接Internet的需求，以對節(jié)約IP地址的租用。實現(xiàn)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的訪問。另一方面，也避免了來之互聯(lián)網(wǎng)的的網(wǎng)絡(luò)攻擊企業(yè)內(nèi)部網(wǎng)絡(luò)，增強企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。2.2.3 硬件安全的需求網(wǎng)絡(luò)管理能夠基本上能夠保證企業(yè)網(wǎng)絡(luò)正常、可靠、安全、穩(wěn)定地運行。它不僅包括對機房安全上的要求，企業(yè)也應(yīng)考慮到應(yīng)急方案，例如：配置高質(zhì)量的電源，設(shè)置良好的接地系統(tǒng)，配置安裝帶有UPS裝置；做好網(wǎng)絡(luò)監(jiān)控與安全的措施，加強非授權(quán)人員與網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全教育。在路由與交換機的選型上選擇適合當前企業(yè)發(fā)展的

22、主流設(shè)備，并加強該設(shè)備的遠程安全管理。安裝ssh服務(wù)或者利用VPN遠程訪問控制，配置ACL訪問控制等。更加網(wǎng)絡(luò)的實際需安全需求，建立適合企業(yè)的安全體系，大多數(shù)的中型企業(yè)應(yīng)采用如下的網(wǎng)絡(luò)安全防護措施：1. 訪問控制：它對設(shè)備進行設(shè)置，對網(wǎng)絡(luò)用戶進行身份驗證，保證網(wǎng)絡(luò)呼呼地而合法系2. VPN防火墻系統(tǒng)：可以同時實現(xiàn)“虛擬”和“專用”安全特性，充分利用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施的高效性。3. 入侵檢測系統(tǒng)：它能夠?qū)崟r的對網(wǎng)絡(luò)違規(guī)堿性自動識別和響應(yīng)系統(tǒng)。實時監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流，識別、記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)魏國和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。4. 防病毒系統(tǒng)：主要是對服務(wù)器和客戶端的進行病毒的檢測，一旦檢測到病毒

23、，立刻刪除感染文件或者隔離。2.2.5 服務(wù)器選擇的需求 對于服務(wù)器產(chǎn)品的選型，應(yīng)考慮到企業(yè)的經(jīng)濟發(fā)展情況和當前業(yè)務(wù)需求而選型，在一些關(guān)鍵性的服務(wù)器的選型上，Web/mail，和數(shù)據(jù)庫等負荷較重的業(yè)務(wù)上選擇較強的產(chǎn)品。如IBM、DELL、紅帽linux的服務(wù)器等，一些工作負載較少的可由普通的PC機來承擔。同時，需要考慮到企業(yè)的經(jīng)濟發(fā)展情況而定，現(xiàn)有的一些中小企業(yè)一般都是把服務(wù)器托管道IDC機房來管理。3 網(wǎng)絡(luò)總體設(shè)計方案3.1 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計局域網(wǎng)是屬于小型的園區(qū)網(wǎng)，隨著我國經(jīng)濟快速發(fā)展，以往的園區(qū)網(wǎng)不能滿足企業(yè)的需求，在網(wǎng)絡(luò)性能、安全管理、技術(shù)前瞻性方面的要求都不斷地提高，企業(yè)與企業(yè)之間的合并

24、，校園網(wǎng)的擴容、升級等對網(wǎng)絡(luò)設(shè)備和系統(tǒng)管理提出了更高的要求。并逐步呈現(xiàn)出網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜化，業(yè)務(wù)趨于綜合化。信息化應(yīng)用迅速開到園區(qū)的各個角落，應(yīng)用平臺化資源整合優(yōu)化。又要考慮到園區(qū)的可擴展性需求，讓網(wǎng)絡(luò)以管理、可運營、和安全的認證機制等，現(xiàn)在園區(qū)網(wǎng)基本上由三個部分組成，分別是交換網(wǎng)絡(luò)，路由網(wǎng)絡(luò)和遠程登錄網(wǎng)絡(luò)，主要中心是企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)。3.1.1 主干結(jié)構(gòu)設(shè)計采用層次結(jié)構(gòu)的三層網(wǎng)絡(luò)架構(gòu)：接入層、匯聚層和核心層。在大中性城市來說，更適合中小企業(yè)的實際規(guī)模；另一方面，還能提高對突發(fā)事件的自動容錯能力，避免給企業(yè)帶來不必要的經(jīng)濟損失。對未來企業(yè)能夠更靈活地升級擴容。除了遠程訪問的鏈路之外，主干設(shè)備

25、之間采用10Gbps或者1000Mbps的鏈路來連接。路由器與路由器之間、三層交換機與三層交換機提供核心冗余方案和鏈路冗余方案。以保證網(wǎng)絡(luò)的穩(wěn)定、高速和安全的運行。3.1.2 接入層局域網(wǎng)設(shè)計接入層采用支持802.1.q的10/100Mbps工作組的以太網(wǎng)交換機，根據(jù)用戶需求分析，確定信息點分布，樓層數(shù)量、建筑群數(shù)量及可靠性來配置接入交換機，采用超五類非屏蔽雙絞線，通常只能支持10/100Mbps的傳輸速率，以供給用戶的業(yè)務(wù)需求正常使用。3.1.3 互聯(lián)網(wǎng)接入設(shè)計向ISP提供商租用一個固定的IP，由核心路由器以接入到Internet中，提供ACL訪問控制，以提高網(wǎng)絡(luò)的數(shù)據(jù)包的過濾，增強對內(nèi)網(wǎng)服

26、務(wù)器的安全訪問。利用PNAT地址轉(zhuǎn)換技術(shù)?？蓪崿F(xiàn)內(nèi)部私有網(wǎng)絡(luò)在訪問換聯(lián)網(wǎng)上的資源時轉(zhuǎn)換成ISP提供商提供的IP地址，在本文中利用一個一組路由器來模擬互聯(lián)網(wǎng)云。3.1.5 VPN設(shè)計通過VPN遠程訪問能夠?qū)崿F(xiàn)遠程訪問控制和遠程辦公，通常企業(yè)用來連接分支機構(gòu)、總部或者合作單位的網(wǎng)絡(luò)，它不同于一般的遠程連接，它更考慮到安全和可靠。企業(yè)常用的三種連接技術(shù)有：1.傳統(tǒng)廣域網(wǎng)中專用的第二層技術(shù)：包括幀中繼、ATM、和租用的線路。同很多的遠程連接方案。這些連接的安全性依賴服務(wù)提供商。2.遠程VPN：一般的分支機構(gòu)用戶或者移動用戶通過寬帶或無線網(wǎng)絡(luò)接入互聯(lián)網(wǎng)，通過在個人電腦上安裝VPN客戶端軟件，來連接遠程辦

27、公室，提供靈活和可擴展的連接。3.站點到站點的VPN，一般用于不同的站點之間，一般需要VPN路由器、VPN集中器或多功能的安全設(shè)備等硬件來實現(xiàn)連接，可以為遠程辦公提供一個安全、快速和可靠地遠程連接，在本文中將采用該方式來實現(xiàn)VPN仿真實驗。3.2 網(wǎng)絡(luò)拓撲設(shè)計本設(shè)計中用到的設(shè)備采用Cisco公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。利用packet 模擬其上的設(shè)別來完成，在該模擬器中提供了一系列額設(shè)備并且能夠?qū)崿F(xiàn)不同網(wǎng)絡(luò)設(shè)備功能的兼容。設(shè)計的企業(yè)網(wǎng)絡(luò)拓撲設(shè)計圖如圖3.1所示：圖3.1企業(yè)內(nèi)部網(wǎng)絡(luò)拓撲圖在該圖中，接入層和匯聚層可選用較低廉的二層交換機，如2960型號的交換機設(shè)備，匯聚層和核心層的交換機選用3560型號

28、的中性能的三層交換機，在核心層選用的路由器選用2621型號的路由設(shè)備（由于仿真軟件的設(shè)計問題，實驗中未必用到一模一樣的網(wǎng)絡(luò)設(shè)備，實驗中并沒有太大的區(qū)別，只有在正式的環(huán)境下，對性能的考驗才有較明顯的差別）。3.3 IP地址與VLAN規(guī)劃VLAN（Virtual Local Area Network）虛擬局域網(wǎng)，根據(jù)企業(yè)的網(wǎng)絡(luò)需求可知該園區(qū)網(wǎng)的網(wǎng)絡(luò)規(guī)劃方案，其中根據(jù)不同部門來劃分不同的VLAN區(qū)域，在本設(shè)計中該園區(qū)網(wǎng)絡(luò)的VLAN和IP地址編址方案如表1所示：企業(yè)網(wǎng)路內(nèi)部網(wǎng)絡(luò)設(shè)備IP地址規(guī)劃 表1設(shè)備接口IP地址默認網(wǎng)關(guān)對端設(shè)備部門所在位置RAFa0/0/24MS1行政樓Fa0

29、/1/24MS2Se0/0/24Sw6RBSe0/0MS1Se0/0行政樓Fa0/0/24MS2Fa0/0Fa0/1/24Sw6Fa0/1MS1Fa0/1Sw1行政樓Fa0/2Sw2Fa0/3Sw3fa0/4Sw4Fa0/10/24RAFa0/11/24RBFa0/15MS2Fa0/16MS2Fa0/20Vlan1152/24經(jīng)理辦公室Vlan1252/24財務(wù)部Vlan1352/24技術(shù)管理部

30、Vlan1452/24人事部Vlan1552/24市場銷售部Vlan1652/24生產(chǎn)部Vlan1752/24宿舍樓Vlan1852/24服務(wù)器群MS2Fa0/1行政樓Fa0/2Fa0/3fa0/4Fa0/10/24RAFa0/11/24RBFa0/15Fa0/16Fa0/20Vlan1153/24經(jīng)理辦公室Vlan1253/24財務(wù)部Vlan1353/24技術(shù)管理部Vla

31、n1453/24人事部Vlan1553/24市場銷售部附表1設(shè)備接口IP地址默認網(wǎng)關(guān)對端設(shè)備部門所在位置MS2Vlan1653/24生產(chǎn)部Vlan16Vlan1753/24宿舍樓Vlan17Vlan1853/24服務(wù)器群Vlan18Sw1Fa0/1DHCPPc1行政樓Fa0/2DHCPMS1Fa0/3DHCPMS2Fa0/4DHCPAPFa0/5DHCPAPSw2Fa0/1DHCPPc2Fa0/1Fa0/2DHCPMS1Fa0/2Fa0/3DHCPMS2Fa0/3Sw3Fa0/1DHC

32、PPc3宿舍樓Fa0/2DHCPMS1Fa0/3DHCPMS2Sw4Fa0/1DHCPPc4辦公樓1Fa0/2DHCPMS1Fa0/3DHCPMS2Sw5Fa0/1/2454/24ftpserver 辦公樓1Fa0/2/2454/24snmpserverFa0/3/2454/24webserverFa0/1192.1688.1/2454/24ftpserverFa0/2/2454/24snmpser

33、verFa0/3/2454/24webserver3.4 模塊設(shè)計與仿真根據(jù)網(wǎng)絡(luò)拓撲圖，本企業(yè)設(shè)計方案可以分為以下四大部分：1. 交換模塊2. 接入互聯(lián)網(wǎng)模塊3. 遠程接入模塊4. 安全加固模塊每個模塊才分解的方式進行模擬仿真，（因為模擬實驗與真實平臺有一些差異，一些配置并不能王權(quán)在模擬環(huán)境下實現(xiàn)）。根據(jù)拓撲設(shè)計的要求，本次仿真所使用的設(shè)備有Catalyst 2960 二層交換機、Catalyst 3560 三層交換機、通用路由器（可作為防火墻的模擬）、Cisco811、通用服務(wù)器設(shè)備、瘦AP（無線接入點設(shè)備）、臺式PC、便攜PC。4 網(wǎng)絡(luò)的詳細設(shè)計

34、方案4.1企業(yè)內(nèi)部網(wǎng)絡(luò)交換模塊設(shè)計4.1.1 基礎(chǔ)配置1. 設(shè)備命名在交換機和路由器中的名稱，我們在模擬器中網(wǎng)路設(shè)備，方便識別，CLI提示符中利用命令來修改名字，在全局模式下利用hostname 命令來修改設(shè)備名，即可修改設(shè)備的名稱，當遠程訪問時，網(wǎng)絡(luò)管理員可以清楚地知道該設(shè)備的位置。另一方面，模擬實驗中的設(shè)備比較多，就不一一地進行改名，而是根據(jù)需求，設(shè)置模擬器中的設(shè)備名。列如三成交換機MS1為列：Switch>enableSwitch#configure terminal Switch(config)#hostname MS12. 配置路由器的口令用enable password 命令

35、設(shè)定的口令可以限制對特權(quán)模式的訪問，這個口令是可以在配置文件中看到的。要在特權(quán)模式下輸入加密的口令，需要使用enable secret命令。如果配置了enable secret口令，它就會代替enable口令）。 Ra#configure terminalRa (config)# enable password cisco /（仿真環(huán)境中不能使用）Ra#configure terminalRa (config)# enable secret cisco /（仿真環(huán)境中可以使用）設(shè)置口令后，對特權(quán)模式訪問時需要輸入密碼。如下所示：Ra >enable Password:這里需要輸入密碼才可

36、以進行路由器的配置，交換機也是如此。3. 遠程登錄訪問在線路上配置密碼方法如下：Router(config)# line console 0 / 配置console線的密碼Router(config-line)# loginRouter(config-line)# password cisco或Router(config)# line console 0 4 / 配置vty線的密碼Router(config-line)# loginRouter(config-line)# password sanjose4. 線路超時管理在配置好遠程登錄或者登錄到該遠程設(shè)備上時，為了防止在管理員不在時沒有權(quán)限

37、的人進入IOS配置。可在該命令模式下Router(config-line)# exec-timeout 0 0“0 0”表示沒有設(shè)定空閑時間。在設(shè)定了空閑時間之后，一旦達到該空閑時間，IOS就自動跳到路由器啟動的界面，再想進入IOS配置，需要密碼驗證，以另一種命令是：Router(config-line)# logging synchronous該命令是防止路由器輸出到console的信息打斷所輸入的命令。 5. 設(shè)置禁用IP地址解析特性為了避免在交換機或路由器的配置命令行下，有時管理員輸入一條錯誤的命令式，交換機就會發(fā)送廣播幀去尋找IP地址，造成大部分時間的浪費。因此可以利用你no ip m

38、ain-lookup命令或者ctl+shift+6來阻止IP地址的解析。設(shè)置禁用IP地址解析特性：Switch(config)#no ip domain-lookup4.1.2 內(nèi)網(wǎng)連通1. 干道（Trunk）鏈路VLAN Trunk 主要是要將不同的交換機之間進行連接，實現(xiàn)交換機的匯聚鏈路上傳輸多個VLAN信息，它的原理是在數(shù)據(jù)中附加相應(yīng)的VLAN信息，用于標志這個數(shù)據(jù)幀是屬于哪個VLAN的信息，也就是指定一個唯一的VLAN ID給每一個幀，VLAN幀標簽成為標準的Trunk機制。IEEE 802.1q 是經(jīng)過IEEE認證的VLAN協(xié)議，它是一個國際的標準，思科公司擁有自己的VLAN 協(xié)議（

39、Cisco ISL）1。在本文中交換機與交換機之間都要封裝成Trunk鏈路，但三層交換機和二層交換機之間有所區(qū)別，三層交換機得先封裝才能配置Trunk鏈路。二層交換機之間的VLAN Trunk配置如下：Sw1(config)#interface range fastEthernet 0/2-3Sw1(config-if-range)#switchport mode trunk 同樣Sw2、Sw3、Sw4、Sw5、也是這樣的配置MS1(config)#interface range fastEthernet 0/1-4MS1(config-if-range)#switchport trunk e

40、ncapsulation dot1q MS1(config-if-range)#switchport mode trunk 同理MS2也是這樣的配置2.VTP搭建和VLAN劃分和建立VTP（VLAN Trunking Protocol）是VLAN中繼協(xié)議，也稱為VLAN干道協(xié)議。VTP擁有三種工作模式：VTP Server、VTP Client和VTP Transparent。一般，一個VTP域內(nèi)的整個網(wǎng)絡(luò)只設(shè)一個VTP Server。VTP Server維護該VTP域中的所有VLAN信息列表，通過VTP Server可以建立、刪除或修改VLAN。VTP Client 可以學習到VLAN Se

41、rver的表信息并創(chuàng)建VLAN 它不能修改、創(chuàng)建、刪除VLAN。而VTP Transparent相當于一個獨立的交換機，它不參與VTP工作。下面在本文中根據(jù)企業(yè)需求來創(chuàng)建VTP，以用來管理一個龐大的企業(yè)網(wǎng)內(nèi)的VlAN配置。在本文中將行政樓的交換機設(shè)置為VLAN Server ，其他的二層交換機和三層交換機來學習設(shè)置為VTP Client到VTP Server 的VLAN信息。 在二層交換機上Sw1上配置成VTP Server，并按照企業(yè)需求分析創(chuàng)建各個部門所在的網(wǎng)段并根據(jù)部門來配置VLAN，配置的命令如下：Switch(config)#hostname Sw1Sw1(config)#vlan

42、11Sw1(config-vlan)# name jiofficerSw1(config-vlan)#vlan 12Sw1(config-vlan)#name caiwubuSw1(config-vlan)#name cwbSw1(config-vlan)#vlan 13Sw1(config-vlan)#name jsbSw1(config-vlan)#vlan 14Sw1(config-vlan)#name rsbSw1(config-vlan)#vlan 15Sw1(config-vlan)#name scxsbSw1(config-vlan)#vlan 16Sw1(config-vlan

43、)#name scbSw1(config-vlan)#vlan 17Sw1(config-vlan)#name suslSw1(config-vlan)#vlan 18Sw1(config-vlan)#name servergroup為交換機Sw1配置一個域，使其他的交換機也加入到這個域中，這樣在所配置的交換機中都是在這個域的范圍內(nèi)，這樣在這個域中的客戶機才能學習到VLAN服務(wù)器的信息，配置Sw1交換機為VTP server其配置文件如下：Sw1(config)#vtp domain ciscoChanging VTP domain name from NULL to ciscoSw1(con

44、fig)#vtp mode server Device mode already VTP SERVER.在匯聚層交換機和接入層交換機上配置VTP Client 其配置命令為如下：Sw2(config)#vtp domain ciscoSw2(config)#vtp mode client Setting device to VTP CLIENT mode.配置成客戶端后利用下面該命令來查看VTP Client 是否學習到VLAN的信息，Sw2#show vlanVLAN Name Status Ports- - - -1 default active Fa0/1, Fa0/4, Fa0/5,

45、Fa0/6 Fa0/7, Fa0/8, Fa0/9, Fa0/10 Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gig1/1, Gig1/211 jiofficer active 12 cwb active 13 jsb active 14 rsb active 15 scxsb active 16 scb active 17 susl active 18 servergroup active 1002 fddi-defa

46、ult act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup 3. 管理IP和VLAN的設(shè)置。為了方便網(wǎng)絡(luò)管理人員能夠遠程登錄管理到交換機上進行管理，有時需要給給接入層和匯聚層交換機設(shè)置一個管理用的IP地址。它就像一個pc機一樣來對VLAN進行遠程管理。例如在給交換機Sw1的VLAN1設(shè)置管理IP地址。根據(jù)表1可知，管理VLAN所在的子網(wǎng)是19/24，將設(shè)為接入層的交換機sw5的管理IP地址，在全局模

47、式模式下接入層交換機sw5設(shè)置管理IP并并激活主VLAN。Sw4(config)#interface vlan 1 Sw4(config-if)#ip address Sw4(config-if)#no shutdownSw1#show ip interface Vlan1 is up, line protocol is up Internet address is /24 Broadcast address is 55 4. 交換機的工作模式和接口速率：每個接口的雙工類型有兩種，一種是自動適應(yīng)，

48、另一種是手動配置；每個接口雙工模式 有2種，一種是半雙工一種是全雙工，使用100M雙絞線連接各層桌面終端，提供專用的帶寬，可基于端口或者MAC地址的VLAN來分配IP地址，這樣可以更好地對數(shù)據(jù)包進行過濾，在本文中設(shè)置SW的所有交換機的接口均為工作下的全雙工模式下：Sw6(config)#interface range fastEthernet 0/1-24Sw6(config-if-range)#duplex full接入層的接口速度只有三種情況，第一種是10Mbps，第二種是100Mbps，第三種是AUTO，即自適應(yīng)速度，在知道對端設(shè)備的速度的情況下，建議手動設(shè)置接口，一般設(shè)置為100Mbp

49、s。設(shè)置在接口模式。設(shè)置訪問層的交換機Sw1的所有接口的速度均為100Mbps：Sw6(config)#interface range fastEthernet 0/1-24Sw6(config-if-range)#speed 1005. VLAN接口劃分接入層交換機SW1為終端用戶提供服務(wù)。以sw1為例；配置交換機到終端的vlan接口劃分。Sw1(config)#interface fastEthernet 0/1Sw1(config-if)#switchport access vlan 11圖4.1無限局域網(wǎng)接入仿真圖如圖4.1所示,接入層交換機sw1上為分別為把fa0/4和fa0/5劃分

50、給vlan1和vlan7（會議廳和客廳）提供接入網(wǎng)絡(luò)服務(wù)。在會議廳可以接入無線網(wǎng)也可以設(shè)置為辦公室所用的終端設(shè)備等；把端口fa0/6劃分給財務(wù)部的網(wǎng)段，虛注意的一點，在本文中的接入層的上面一層可以是匯聚層的交換機，交換機上可利用堆疊式來實現(xiàn)更多用戶終端接入。6. VLAN網(wǎng)關(guān)在給VLAN設(shè)置ip地址后，都需要在三層交換機上為每一個VLAN配置一個默認的網(wǎng)關(guān)，以實現(xiàn)VLAN之間的通信。MS1(config)#interface vlan 11MS1(config-if)#ip address 52 MS1(config-if)#no shutdow

51、nMS1(config-if)#exitMS1(config)#interface vlan 12MS1(config-if)#ip address 52 MS1(config-if)#no shutdownMS1(config-if)#exitMS1(config)#interface vlan 13MS1(config-if)#ip address 52 MS1(config-if)#no shutdownMS1(config-if)#exitMS1(config)#interface vlan

52、 14MS1(config-if)#ip address 52 MS1(config-if)#no shutdownMS1(config-if)# exitMS1(config)#interface vlan 15MS1(config-if)#ip address 52 MS1(config-if)#no shutdownMS1(config-if)#exitMS1(config)#interface vlan 16 MS1(config-if)#ip address 52 MS1(config-if)#no shutdownMS1(config-if)#exitMS1(config)#interface vlan 17MS1(config-if)#ip address 52 255.255.255