局域網(wǎng)組建與管理畢業(yè)設(shè)計(jì)論文

1、成都學(xué)院（成都大學(xué)）信息科學(xué)與技術(shù)學(xué)院本科畢業(yè)設(shè)計(jì)論文第 第 頁(yè) 第1章 概述1.1 論文研究的目的和意義隨著信息化的迅速發(fā)展，企業(yè)的信息化建設(shè)是國(guó)際信息化的基礎(chǔ)和重要組成部分。是提高企業(yè)辦事效率，提高企業(yè)綜合素質(zhì)，是企業(yè)不斷邁上新的臺(tái)階，成為一流企業(yè)的有效措施。企業(yè)局域網(wǎng)的建設(shè)的目標(biāo)是為全企業(yè)人員提供一個(gè)信息交流和合作的平臺(tái)，在需要時(shí)連上Internet，以充分利用因特網(wǎng)上的資源，實(shí)現(xiàn)對(duì)外(企業(yè)與企業(yè)，企業(yè)與社會(huì))的信息發(fā)布、交流與合作，對(duì)企業(yè)的發(fā)展具有積極的社會(huì)意義與經(jīng)濟(jì)效益。此次設(shè)計(jì)將利用計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)HYPERLINK /search?word=通信技術(shù)&fr=qb_search_e

2、xp&ie=utf8通信技術(shù)，建設(shè)高質(zhì)量高效率的統(tǒng)一的通信網(wǎng)絡(luò)，實(shí)現(xiàn)系統(tǒng)的互通互聯(lián)，最大限度地實(shí)現(xiàn)信息HYPERLINK /search?word=資源共享&fr=qb_search_exp&ie=utf8資源共享。由于現(xiàn)在國(guó)內(nèi)外的信息化發(fā)展，企業(yè)及單位的局域網(wǎng)建設(shè)與管理要求也越來(lái)越高，因此通過(guò)此次設(shè)計(jì)完善自己的大學(xué)所學(xué)知識(shí)，希望能在這方面達(dá)到市場(chǎng)上對(duì)人才的需求。企業(yè)局域網(wǎng)建設(shè)可以為外界了解企業(yè)文化提供了一個(gè)簡(jiǎn)便、迅速的快捷的窗口。在全公司全企業(yè)內(nèi)提供一個(gè)良好的信息傳遞通道，企業(yè)內(nèi)部的政策、資源和通知可以在全單位內(nèi)迅速的傳遞。實(shí)現(xiàn)企業(yè)辦公自動(dòng)化，有效地降低了辦公的成本。企業(yè)的各級(jí)領(lǐng)導(dǎo)得以最快、

3、最有效的方式對(duì)企業(yè)內(nèi)部的運(yùn)行過(guò)程中的各種信息進(jìn)行有效的了解并采取行動(dòng)，同時(shí)得到全面的決策支持。企業(yè)內(nèi)部人員可以方便安全地訪問(wèn)因特網(wǎng)。1.2 國(guó)內(nèi)外的研究狀況 以太網(wǎng)(Ethernet)起源于1975年美國(guó)Xerox公司建造的一個(gè)219Mbps的CSMACD(載波監(jiān)聽(tīng)多路訪問(wèn)沖突檢測(cè))系統(tǒng)，它以無(wú)源電纜作為總線來(lái)傳送數(shù)據(jù)，在1000m的電纜上連接了100多臺(tái)計(jì)算機(jī)，并以曾經(jīng)在歷史上表示傳播電磁波的以太(Ether)來(lái)命名，這就是如今以太網(wǎng)的鼻祖。 以太網(wǎng)是IEEE8023所支持的局域網(wǎng)標(biāo)準(zhǔn)，按照國(guó)際標(biāo)準(zhǔn)化組織開(kāi)放系統(tǒng)互連參考模型(ISO/OSI)的7層結(jié)構(gòu)，以太網(wǎng)標(biāo)準(zhǔn)只定義了數(shù)據(jù)鏈路層和物理層，

4、作為一個(gè)完整的通信系統(tǒng)。它需要高層協(xié)議的支持。A2PARNET在制定了TCP/IP高層通信協(xié)議，并把以人網(wǎng)作為其數(shù)據(jù)鏈路和物理層的協(xié)議之后，以太網(wǎng)便和TCP/IP緊密地捆綁在一起了。以后，由于圍際互連網(wǎng)采用了以太網(wǎng)和TCP/IP協(xié)議，人們甚至把如超文本連接HTTP等TCP/IP協(xié)議組放在一起，俗稱為以太網(wǎng)技術(shù)。 目前國(guó)內(nèi)外，由于信息化的高速發(fā)展，局域網(wǎng)的建設(shè)也是飛速的發(fā)展，企業(yè)局域網(wǎng)的建設(shè)已經(jīng)成為提升企業(yè)核心競(jìng)爭(zhēng)力的關(guān)鍵因素。企業(yè)網(wǎng)使其可直接通過(guò)Intemet/Intranet(企業(yè)內(nèi)部網(wǎng))進(jìn)行網(wǎng)絡(luò)通信、數(shù)據(jù)交換，實(shí)現(xiàn)遠(yuǎn)程組態(tài)、參數(shù)修改等，可直接傳送圖像信息、多媒體信息?，F(xiàn)代企業(yè)可以在供應(yīng)商、

5、客戶、合作伙伴、員工之間實(shí)現(xiàn)優(yōu)化的信息溝通。這又將直接關(guān)系到企業(yè)能否獲得關(guān)鍵的競(jìng)爭(zhēng)優(yōu)勢(shì)。所以近年來(lái)越來(lái)越多的企業(yè)都在加快構(gòu)建自身的信息網(wǎng)絡(luò)，而其中絕大多數(shù)都是中小企業(yè)。目前我國(guó)企業(yè)尤其是中小企業(yè)網(wǎng)絡(luò)建設(shè)正在如火如荼地開(kāi)展著，用電子信息的傳遞取代紙面文件、 材料的傳送逐步實(shí)現(xiàn)“無(wú)紙辦公”，改變傳統(tǒng)的工作方式，進(jìn)一步提高工作效率；利用各種業(yè)務(wù)信息的綜合分析，為各級(jí)領(lǐng)導(dǎo)提供決策支持，更好地組織生產(chǎn)和經(jīng)營(yíng)，這將是以后所有企業(yè)的發(fā)展目標(biāo)。局域網(wǎng)在以后的發(fā)展趨勢(shì)大致也都將遵循以下原則。其一，在企業(yè)領(lǐng)導(dǎo)小組的統(tǒng)一領(lǐng)導(dǎo)下，建立統(tǒng)一的規(guī)章制度，進(jìn)行統(tǒng)一的管理，采用統(tǒng)一的標(biāo)準(zhǔn)； 其二，在網(wǎng)絡(luò)建設(shè)中，所有軟硬件產(chǎn)品

6、的選擇都必須堅(jiān)持標(biāo)準(zhǔn)化的原則，采用全路統(tǒng)一的硬、軟件平臺(tái)和基本應(yīng)用軟件，進(jìn)行統(tǒng)一的軟件版本升級(jí)理；其三，網(wǎng)絡(luò)應(yīng)具有良好的安全性與保密性。其四，做到HYPERLINK /search?word=資源共享&fr=qb_search_exp&ie=utf8資源共享與保護(hù)。充分合理地利用現(xiàn)有的資源，最大限度地與原有系統(tǒng)或在建系統(tǒng)通互聯(lián)，在盡可能利用已有投資的基礎(chǔ)上，解決好經(jīng)費(fèi)的補(bǔ)充和配套金到位問(wèn)題。企業(yè)局域網(wǎng)建設(shè)可以為外界了解企業(yè)文化提供了一個(gè)簡(jiǎn)便、迅速的快捷的窗口，能夠提供豐富資源，具備良好帶寬、安全、快速的工作交流平臺(tái)。在全公司全企業(yè)內(nèi)提供一個(gè)良好的信息傳遞通道，企業(yè)內(nèi)部的政策、資源和通知可以在全

7、單位內(nèi)迅速的傳遞。實(shí)現(xiàn)企業(yè)辦公自動(dòng)化，有效地降低了辦公的成本。企業(yè)的各級(jí)領(lǐng)導(dǎo)得以最快、最有效的方式對(duì)企業(yè)內(nèi)部的運(yùn)行過(guò)程中的各種信息進(jìn)行有效的了解并采取行動(dòng)，同時(shí)得到全面的決策支持。企業(yè)內(nèi)部人員可以方便安全地訪問(wèn)因特網(wǎng)。實(shí)現(xiàn)對(duì)外(企業(yè)與企業(yè)，企業(yè)與社會(huì))的信息發(fā)布、交流與合作。企業(yè)網(wǎng)絡(luò)的建設(shè)是企業(yè)向信息化發(fā)展的必然選擇，企業(yè)網(wǎng)系統(tǒng)是一個(gè)非常龐大而復(fù)雜的系統(tǒng)，它不僅為現(xiàn)代化企業(yè)管理、企業(yè)綜合信息處理和企業(yè)辦公自動(dòng)化等一系列應(yīng)用提供基本操作平臺(tái)，而且能提供多種應(yīng)用服務(wù)，使信息能及時(shí)、準(zhǔn)確地傳送給備個(gè)系統(tǒng)。1.3 研究?jī)?nèi)容以及章節(jié)安排本次畢業(yè)設(shè)計(jì)主要目標(biāo)在于設(shè)計(jì)、實(shí)現(xiàn)一個(gè)企業(yè)的局域網(wǎng)絡(luò)?？梢愿鶕?jù)相應(yīng)的

8、權(quán)限共享數(shù)據(jù)、資料、信息、圖片、軟件，以及外圍設(shè)備資源，提高企業(yè)辦事效率以及企業(yè)綜合素質(zhì)，在需要時(shí)連上Internet，以充分利用因特網(wǎng)上的資源，實(shí)現(xiàn)對(duì)外(企業(yè)與企業(yè)，企業(yè)與社會(huì))的信息發(fā)布、交流與合作，實(shí)現(xiàn)對(duì)企業(yè)的發(fā)展有著社會(huì)意義與經(jīng)濟(jì)效益。本文一共分為六個(gè)章節(jié)：為緒論部分。主要介紹了本文的研究目的及意義，同時(shí)描述了目前國(guó)內(nèi)外的研究狀況以及發(fā)展趨勢(shì)，并提出通過(guò)某企業(yè)的網(wǎng)絡(luò)構(gòu)建實(shí)例，來(lái)搭建實(shí)際的局域網(wǎng)的目的。 第二章為企業(yè)網(wǎng)絡(luò)的需求分析。主要是明確該企業(yè)組建局域網(wǎng)的目的、達(dá)到的目標(biāo)、對(duì)網(wǎng)絡(luò)的要求、遭受網(wǎng)絡(luò)狀態(tài)以及組建局域網(wǎng)的總的要求等內(nèi)容，并對(duì)其要求進(jìn)行仔細(xì)分析。 第三章是企業(yè)局域網(wǎng)的設(shè)計(jì)理念

9、。對(duì)本企業(yè)信息化仔細(xì)分析，了解企業(yè)局域網(wǎng)的設(shè)計(jì)理念，并明確自己本次設(shè)計(jì)自己的設(shè)計(jì)理念。 第四章是企業(yè)網(wǎng)的建設(shè)方案以及具體的規(guī)劃。分析研究企業(yè)需求以及信息化過(guò)程中的需求分析、企業(yè)局域網(wǎng)的分層機(jī)構(gòu)模型，提出了企業(yè)局域網(wǎng)設(shè)計(jì)的一般步驟，建立企業(yè)局域網(wǎng)設(shè)計(jì)的結(jié)構(gòu)圖。 第五章是企業(yè)網(wǎng)絡(luò)環(huán)境搭建?；谝陨险鹿?jié)的設(shè)計(jì)和規(guī)劃，在模擬環(huán)境上對(duì)方案進(jìn)行模擬搭建，對(duì)網(wǎng)絡(luò)各個(gè)部分進(jìn)行配置。首先對(duì)骨干的核心層的路由器進(jìn)行配置并且應(yīng)用訪問(wèn)摔制列表加強(qiáng)網(wǎng)絡(luò)安全件的管理起到防火墻的功能和作用。然后在對(duì)核心和接入層的交換機(jī)進(jìn)行配置并且應(yīng)用上生成樹(shù)協(xié)議防止出現(xiàn)網(wǎng)路回路問(wèn)題提高網(wǎng)絡(luò)的使用效率，加強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性以及應(yīng)用虛擬局域網(wǎng)技術(shù)

10、加強(qiáng)網(wǎng)絡(luò)的安全性和提高網(wǎng)絡(luò)的使用流量，減少網(wǎng)絡(luò)沖突。 是網(wǎng)絡(luò)測(cè)試，對(duì)搭建完成的網(wǎng)絡(luò)進(jìn)行測(cè)試，是否達(dá)到預(yù)定需求。是總結(jié)以及展望。對(duì)論文的總結(jié)以及對(duì)未來(lái)的展望。最后則是致謝和參考文獻(xiàn)以及附錄。企業(yè)局域網(wǎng)的需求分析2.1 公司總體概況經(jīng)過(guò)初步了解，該公司是一家從事IT產(chǎn)品開(kāi)發(fā)以及銷售一體的科技公司。該公司是一中型企業(yè)，目前有兩百名員工，主要經(jīng)營(yíng)基于各行業(yè)應(yīng)用的IT產(chǎn)品開(kāi)發(fā)銷售以及維護(hù)。且公司除了成都的總公司外，為了拓展業(yè)務(wù)目前在外地收購(gòu)了一家小公司，主要是做銷售以及客戶業(yè)務(wù)服務(wù)。根據(jù)公司業(yè)務(wù)要求，需要員工能夠通過(guò)互聯(lián)網(wǎng)為客戶提供業(yè)務(wù)服務(wù)以及公司內(nèi)部信息傳遞。公司總部處于獨(dú)立樓層，因此布線比較方便，而

11、總部與外地分公司的通信要保證安全，在外地的分公司只有主管經(jīng)理以及銷售和技術(shù)服務(wù)員工少量。公司各部門(mén)員工人數(shù)分布概況如下：總公司有總經(jīng)理1人，由各部門(mén)經(jīng)理對(duì)其負(fù)責(zé)，公司有四名部門(mén)經(jīng)理四名副經(jīng)理以及一個(gè)技術(shù)研發(fā)中心主管和分公司主管經(jīng)理；其中財(cái)務(wù)部員工10人，人事部員工10人，總公司技術(shù)研發(fā)部55人，研發(fā)中心作為公司技術(shù)中心有技術(shù)骨干8人，而市場(chǎng)銷售部包括了售前服務(wù)、銷售以及售后技術(shù)服務(wù)有員工85，而分公司有30名員工。2.2 公司網(wǎng)絡(luò)需求根據(jù)公司業(yè)務(wù)性質(zhì)，公司具體要求如下;為保障網(wǎng)絡(luò)的高可用性，要求按照網(wǎng)絡(luò)層次型網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)和網(wǎng)絡(luò)實(shí)施，同時(shí)由于目前公司處于發(fā)展階段，因此網(wǎng)絡(luò)要有拓展性。公司

12、內(nèi)部有經(jīng)理室、財(cái)務(wù)室、人事部、市場(chǎng)銷售部、技術(shù)研發(fā)部以及研發(fā)中心等行政部門(mén)，根據(jù)部門(mén)的不同業(yè)務(wù)進(jìn)行劃分?？傂锌偣竞头止局g要實(shí)現(xiàn)安全通信。總公司與分公司的用戶訪問(wèn)互聯(lián)網(wǎng)為了公司安全，財(cái)務(wù)部以及研發(fā)中心不能夠訪問(wèn)Internet，經(jīng)理室和研發(fā)中心的每個(gè)交換機(jī)接口只能連接一臺(tái)主機(jī)。內(nèi)部用戶登錄時(shí)，需要進(jìn)行統(tǒng)一的身份驗(yàn)證。建立公司內(nèi)部的無(wú)線AP覆蓋。公司需要將業(yè)務(wù)服務(wù)內(nèi)容以門(mén)戶網(wǎng)站的方式發(fā)布到互聯(lián)網(wǎng)上，實(shí)現(xiàn)公司的業(yè)務(wù)宣傳，建立自己FTP服務(wù)器。構(gòu)建一個(gè)安全、暢通的企業(yè)網(wǎng)絡(luò)。2.3 網(wǎng)絡(luò)安全管理分析 隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)給人們帶來(lái)巨大便利的同時(shí)，也帶來(lái)了一些不容忽視的問(wèn)題，網(wǎng)絡(luò)信息安全問(wèn)題就

13、是其中重要之一。隨著現(xiàn)代化企業(yè)經(jīng)營(yíng)活動(dòng)由傳統(tǒng)的大量手工操作進(jìn)化到高度的自動(dòng)化階段，為了保障企業(yè)正常的運(yùn)營(yíng)，需要有一個(gè)安全、可靠的網(wǎng)絡(luò)技術(shù)平臺(tái)。這個(gè)平臺(tái)自身要有很高的安全性，能夠防止黑客對(duì)系統(tǒng)本身進(jìn)行破壞；其次系統(tǒng)必須可靠地保證客戶數(shù)據(jù)安全,將運(yùn)營(yíng)風(fēng)險(xiǎn)降到最低；系統(tǒng)的穩(wěn)定性必須出色,能夠提供全天候不間斷服務(wù)；另外還要具備良好的可擴(kuò)展性,保證系統(tǒng)滿足添加其它增值服務(wù)的條件；同時(shí)還必須擁有合理有效的管理機(jī)制對(duì)系統(tǒng)進(jìn)行管理。 計(jì)算機(jī)網(wǎng)絡(luò)存在兩種狀態(tài),一種是安全狀態(tài),另一種是不安全狀態(tài),兩種狀態(tài)可以實(shí)現(xiàn)轉(zhuǎn)化,即網(wǎng)絡(luò)可以實(shí)現(xiàn)安全狀態(tài)到不安全狀態(tài)的轉(zhuǎn)變,也可以實(shí)現(xiàn)不安全狀態(tài)到安全狀態(tài)的轉(zhuǎn)變。這一方面告訴我們

14、保障計(jì)算機(jī)網(wǎng)絡(luò)安全必須高度警惕和謹(jǐn)慎,時(shí)刻關(guān)注安全狀態(tài)可能向不安全轉(zhuǎn)變,另一方面也告訴我們網(wǎng)絡(luò)不安全也是計(jì)算機(jī)網(wǎng)絡(luò)存在的一個(gè)狀態(tài),并不可怕,通過(guò)一定的技術(shù)手段和安全管理是可以實(shí)現(xiàn)安全轉(zhuǎn)變的。 網(wǎng)絡(luò)由安全到不安全的轉(zhuǎn)變主要是因?yàn)榇嬖诒姸嗟陌踩{和隱患,當(dāng)前來(lái)說(shuō)計(jì)算機(jī)網(wǎng)絡(luò)安全威脅主要包括以下方面: 2.3.1 硬件方面的安全威脅 硬件是計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)聯(lián)網(wǎng)并正常運(yùn)轉(zhuǎn)的重要設(shè)備支撐,沒(méi)有硬件的支撐就無(wú)法實(shí)現(xiàn)聯(lián)網(wǎng),更無(wú)法構(gòu)成現(xiàn)實(shí)意義的計(jì)算機(jī)網(wǎng)絡(luò)。硬件方面的安全威脅主要包括計(jì)算機(jī)硬件損壞,無(wú)法實(shí)現(xiàn)正常的聯(lián)網(wǎng)、電磁泄漏、搭線竊聽(tīng)、非法終端介入、非法入侵、線路干擾、病毒入侵等等各種手段,從而威脅到計(jì)算機(jī)硬件

15、設(shè)備的正常運(yùn)轉(zhuǎn),達(dá)到不當(dāng)?shù)哪康摹?2.3.2 軟件方面的安全威脅 軟件是計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)成的重要因素,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全有著突出的影響。軟件方面的安全威脅主要包括:計(jì)算機(jī)網(wǎng)絡(luò)軟件不兼容或相互沖突,影響網(wǎng)絡(luò)的正常安全運(yùn)行,導(dǎo)致網(wǎng)絡(luò)運(yùn)行不正常,從而威脅到網(wǎng)絡(luò)的安全性；網(wǎng)絡(luò)軟件功能不完善或被侵入了木馬病毒；對(duì)不同類型的軟件沒(méi)有進(jìn)行安全標(biāo)示和區(qū)分；對(duì)網(wǎng)絡(luò)上儲(chǔ)存的大量數(shù)據(jù)沒(méi)有進(jìn)行有效的標(biāo)示和區(qū)分,同時(shí)對(duì)用戶也沒(méi)有進(jìn)行有效的標(biāo)注。 2.3.3 安全管理方面的安全威脅 網(wǎng)絡(luò)應(yīng)用和安全管理是網(wǎng)絡(luò)安全的重要手段和途徑,安全管理不當(dāng)是導(dǎo)致網(wǎng)絡(luò)不安全的主要因素之一。具體來(lái)說(shuō)管理不當(dāng)主要包括:1) 管理人員的因素。網(wǎng)絡(luò)安全

16、管理人員的保密觀念不強(qiáng),業(yè)務(wù)不熟練；管理人員的責(zé)任心缺乏,專業(yè)素質(zhì)較差,工作態(tài)度不積極；管理人員沒(méi)有嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全規(guī)章管理制度,肆意行動(dòng)；操作人員以不當(dāng)?shù)男袨楂@得不應(yīng)獲取的信息等等。2) 規(guī)章制度的因素。主要包括沒(méi)有制定健全合理完善的網(wǎng)絡(luò)安全規(guī)章制度;沒(méi)有形成科學(xué)合理的規(guī)章制定與修訂機(jī)構(gòu);有了健全的規(guī)章制度卻沒(méi)有得到嚴(yán)格的執(zhí)行和遵守等等。 網(wǎng)絡(luò)安全威脅是導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)不安全的主要因素,是保障計(jì)算機(jī)網(wǎng)絡(luò)安全所應(yīng)該首先克服和戰(zhàn)勝的因素。 2.4 其他重要功能需求分析VLAN需求 公司內(nèi)部有多個(gè)部門(mén)，可以采用VLAN技術(shù)，將各個(gè)部門(mén)的用戶劃分到不同的VLAN中，既可以實(shí)現(xiàn)統(tǒng)一管理，又可以保障網(wǎng)絡(luò)的

17、安全性。網(wǎng)絡(luò)協(xié)議的需求 公司需要與外部網(wǎng)絡(luò)實(shí)現(xiàn)連接，那么需要通過(guò)網(wǎng)絡(luò)協(xié)議，實(shí)現(xiàn)路由之間的通路；本次大概擬采用的靜態(tài)協(xié)議使用默認(rèn)路由，動(dòng)態(tài)協(xié)議采用OSPF(Open Shortest Path FirstHYPERLINK /view/1238699.htm開(kāi)放式最短路徑優(yōu)先）、RIP（Routing Information Protocol，路由信息協(xié)議），在邊緣路由上使用路由重分發(fā)。鏈路均衡負(fù)載以及冗余 在企業(yè)網(wǎng)中，為了網(wǎng)絡(luò)安全而采用雙核心的網(wǎng)絡(luò)架構(gòu)，并通過(guò)調(diào)整核心交換機(jī)上的生成樹(shù)協(xié)議的配置，實(shí)現(xiàn)鏈路冗余以及鏈路負(fù)載均衡需求。第3章 設(shè)計(jì)理念3.1 網(wǎng)絡(luò)的標(biāo)準(zhǔn)化和開(kāi)放性設(shè)備采用通用的國(guó)家、國(guó)

18、際標(biāo)準(zhǔn)或采用廣為流行的、實(shí)用的工業(yè)標(biāo)準(zhǔn)，只有這樣，內(nèi)網(wǎng)可以快速、方便地訪問(wèn)外部網(wǎng)絡(luò)的信息網(wǎng)絡(luò)。同時(shí)還要內(nèi)網(wǎng)的部分信息在授權(quán)后可以對(duì)外開(kāi)放，以確保適度的網(wǎng)絡(luò)系統(tǒng)開(kāi)放。在有標(biāo)準(zhǔn)可循的情況下，一定要嚴(yán)格按照相應(yīng)的標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)、建設(shè)，尤其是在結(jié)構(gòu)化布線和網(wǎng)絡(luò)設(shè)備協(xié)議支持等方面。必須與國(guó)際行業(yè)標(biāo)準(zhǔn)符合，采用更成熟，多用途、可擴(kuò)展性強(qiáng)的網(wǎng)絡(luò)產(chǎn)品，以確保所投入的資金達(dá)到保值的效果，即在一定時(shí)間內(nèi)或較長(zhǎng)時(shí)期處于主流地位、不落后并有足夠的空間可持續(xù)發(fā)展。采用開(kāi)放式標(biāo)準(zhǔn)，能夠盡可能地保障網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的連續(xù)性。這樣將來(lái)即便原先的設(shè)計(jì)者、施工者不在現(xiàn)場(chǎng)，其他人也可以通過(guò)標(biāo)準(zhǔn)輕松方便地了解整個(gè)網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)，確?？梢詫?duì)

19、網(wǎng)絡(luò)進(jìn)行維修、更新等。這是非常重要和必要的。3.2 最優(yōu)兼顧理念 目前隨著網(wǎng)絡(luò)快速發(fā)展，在網(wǎng)絡(luò)的架構(gòu)設(shè)計(jì)中應(yīng)該考慮到各方面的兼顧，達(dá)到一個(gè)范圍內(nèi)的最優(yōu)架構(gòu)。局域網(wǎng)絡(luò)設(shè)計(jì)將在追求性能優(yōu)越、經(jīng)濟(jì)實(shí)用的前提下，本著嚴(yán)謹(jǐn)、慎重的態(tài)度，從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備選擇、系統(tǒng)應(yīng)用、技術(shù)服務(wù)和實(shí)施過(guò)程等方面綜合進(jìn)行系統(tǒng)的總體設(shè)計(jì)，力圖使該系統(tǒng)真正成為符合企業(yè)的網(wǎng)絡(luò)系統(tǒng)。 從技術(shù)措施角度來(lái)講，在網(wǎng)絡(luò)的設(shè)計(jì)和實(shí)現(xiàn)中，本方案嚴(yán)格遵守了以下原則：實(shí)用性 網(wǎng)絡(luò)建設(shè)從應(yīng)用實(shí)際需求出發(fā)，堅(jiān)持為領(lǐng)導(dǎo)決策服務(wù)，為經(jīng)營(yíng)管理服務(wù)，為生產(chǎn)建設(shè)服務(wù)。另外，如果是對(duì)現(xiàn)有網(wǎng)絡(luò)升級(jí)改造，還應(yīng)該充分考慮如何利用現(xiàn)有資源，盡量發(fā)揮設(shè)備效益。適度

20、先進(jìn)性 規(guī)劃局域網(wǎng)，不但要滿足用戶當(dāng)前的需要，還應(yīng)該有一定技術(shù)前瞻性和用 戶需求預(yù)見(jiàn)性，考慮到能夠滿足未來(lái)幾年內(nèi)用戶對(duì)網(wǎng)絡(luò)功能和帶寬的需要。采用成熟的先進(jìn)技術(shù)，兼顧未來(lái)的發(fā)展趨勢(shì)，即量力而行，又適當(dāng)超前，留有發(fā)展余地。3、經(jīng)濟(jì)性 要求價(jià)格適中，設(shè)備及耗材要求采用質(zhì)量過(guò)硬，物美價(jià)廉，投資預(yù)算合理。4、安全可靠性確保網(wǎng)絡(luò)可靠運(yùn)行，在網(wǎng) 絡(luò)的關(guān)鍵部分應(yīng)具有容錯(cuò)能力，提供公共網(wǎng)絡(luò)連 接、通信鏈路和服務(wù)器等全方位的安全管理系統(tǒng)。5、可擴(kuò)展性系統(tǒng)便于擴(kuò)展，保證前期的 投資的有效性與后期投資的連續(xù)性。6、安全保密性 為了保證網(wǎng)上信息的安全 和各種應(yīng)用系統(tǒng)的安全，在規(guī)劃時(shí)就要為局域網(wǎng) 考慮一個(gè)周全的安全保密方

21、案。 3.3安全第一理念 網(wǎng)絡(luò)安全包括許多方面，最明顯和最重要的就是外部入侵、攻擊的檢測(cè)與防護(hù)?，F(xiàn)在的網(wǎng)絡(luò)幾乎無(wú)時(shí)無(wú)刻不受到外界的安全威脅，稍有不慎就會(huì)被病毒感染、黑客入侵，導(dǎo)致整個(gè)網(wǎng)絡(luò)無(wú)法正常運(yùn)行。在一個(gè)安全措施完備的網(wǎng)絡(luò)中，不但部署了病毒防護(hù)系統(tǒng)、防火墻隔離系統(tǒng)，還可以根據(jù)具體情況選擇是否部署入侵檢測(cè)、木馬查殺系統(tǒng)、物理隔離系統(tǒng)等。通過(guò)對(duì)網(wǎng)絡(luò)安全的分析，可以了解到網(wǎng)絡(luò)的安全是事關(guān)重要的，安全的網(wǎng)絡(luò)對(duì)于現(xiàn)代企業(yè)來(lái)說(shuō)是日常辦公和業(yè)務(wù)應(yīng)用的支撐體系。在某些情況下，寧可犧牲系統(tǒng)的部分功能也必須保證系統(tǒng)的安全，所以網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)設(shè)計(jì)的第一理念不可置疑。企業(yè)網(wǎng)的建設(shè)方案以及具體規(guī)劃4.1 設(shè)備選型

22、本次設(shè)計(jì)所選設(shè)備都為網(wǎng)絡(luò)設(shè)備廠家cisco設(shè)備，型號(hào)先進(jìn)。核心層選用了思科網(wǎng)絡(luò)高性能的萬(wàn)兆CiscoWS-C3560-24TS-S以太網(wǎng)交換機(jī)，可以實(shí)現(xiàn)對(duì)全網(wǎng)的數(shù)據(jù)進(jìn)行高速無(wú)阻塞的交換，負(fù)責(zé)路由管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)服務(wù)、核心數(shù)據(jù)處理等。接入層選用提供上聯(lián)千兆，10/100M桌面接入，并在全部采用認(rèn)證和流控等手段進(jìn)行接入控制，充分滿足用戶的高速接入等，并可靈活擴(kuò)展，增加端口密度。選用CiscoWS-C2960-24TT，該設(shè)備是一個(gè)全新的、固定配置的獨(dú)立設(shè)備系列，提供桌面快速以太網(wǎng)和10/100/1000千兆以太網(wǎng)連接，可為入門(mén)級(jí)企業(yè)、中型市場(chǎng)和分支機(jī)構(gòu)網(wǎng)絡(luò)提供增強(qiáng)LAN服務(wù)。Catalyst2

23、960系列具有集成安全特性，包括網(wǎng)絡(luò)準(zhǔn)入控制(NAC)、高級(jí)服務(wù)質(zhì)(QoS)和永續(xù)性，可為網(wǎng)絡(luò)邊緣提供智能服務(wù)。 而網(wǎng)絡(luò)中出口路由器選用了Cisco 2911/k9，Cisco 2911/k9現(xiàn)有 Cisco 2800 系列集成多業(yè)務(wù)路由器的一流產(chǎn)品為基礎(chǔ)，提供嵌入式硬件加密加速、支持語(yǔ)音和視頻的數(shù)字信號(hào)處理器 (DSP) 插槽、可選防火墻、入侵預(yù)防、呼叫處理、語(yǔ)音信箱以及應(yīng)用程序服務(wù)。此外，這些平臺(tái)還支持業(yè)界最廣泛的有線和無(wú)線連接選項(xiàng)，如 T1/E1、T3/E3、xDSL、銅纜和光纖 GE。第 2 代集成多業(yè)務(wù)路由器（ISR G2）提供優(yōu)異的服務(wù)集成和靈活性。這些平臺(tái)的模塊化架構(gòu)具有可擴(kuò)展性

24、，可滿足您的業(yè)務(wù)需求并隨業(yè)務(wù)需求而增長(zhǎng)。4.2 局域網(wǎng)絡(luò)總體建設(shè)方案4.2.1 局域網(wǎng)絡(luò)拓?fù)鋱D本次局域網(wǎng)骨干部分的拓?fù)鋱D如下：4.2.2 網(wǎng)絡(luò)總體規(guī)劃根據(jù)公司需求以及理念分析，本次網(wǎng)絡(luò)架構(gòu)總公司采用的是雙核心二層網(wǎng)絡(luò)架構(gòu)。雙核心二層網(wǎng)絡(luò)結(jié)構(gòu)包含核心層以及接入層，接入層設(shè)備通過(guò)雙鏈路上連到兩臺(tái)核心層交換機(jī)，接入層設(shè)備與核心層設(shè)備之間運(yùn)行生成樹(shù)協(xié)議，并且通過(guò)調(diào)整生成樹(shù)協(xié)議的配置，實(shí)現(xiàn)鏈路的冗余和負(fù)載均衡等。在接入層采用VLAN技術(shù)，將不同的部門(mén)根據(jù)實(shí)際情況劃分到相應(yīng)的VLAN里，這樣可以實(shí)現(xiàn)統(tǒng)一管理，又可以保障網(wǎng)絡(luò)的安全性。并在接入層上掛上AP以及無(wú)線路由器，實(shí)現(xiàn)公司內(nèi)部的無(wú)線覆蓋。兩臺(tái)核心設(shè)備分

25、別與出口路由相連，而出口路由與分公司的路由采用鏈路連接，并為了保證安全，在兩臺(tái)路由之間做ppp認(rèn)證；分公司路由下接二層交換機(jī)，之間做單臂路由，保證通信。而在出口路由器與運(yùn)營(yíng)商的提供的路由之間根據(jù)實(shí)際情況上連防火墻，加強(qiáng)網(wǎng)絡(luò)安全策略，這塊在目前環(huán)境下無(wú)法實(shí)現(xiàn)，是一個(gè)缺陷。4.2.3 VLAN規(guī)劃1、VLAN技術(shù)的概述及其優(yōu)點(diǎn) VLAN（虛擬局域網(wǎng)）是對(duì)連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè)VLAN可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門(mén)或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來(lái)進(jìn)行分組?；诮粨Q機(jī)

26、的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬問(wèn)題。傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中，所有的用戶在同一個(gè)廣播域中，會(huì)引起網(wǎng)絡(luò)性能的下降，浪費(fèi)可貴的帶寬；而且對(duì)廣播風(fēng)暴的控制和網(wǎng)絡(luò)安全只能在第三層的路由器上實(shí)現(xiàn)。2、Vlan的實(shí)現(xiàn)方式 VLAN的實(shí)現(xiàn)方式有兩種：靜態(tài)和動(dòng)態(tài)。 靜態(tài)實(shí)現(xiàn)是網(wǎng)絡(luò)管理員將交換機(jī)端口分配給某一個(gè)VLAN，這是一種最經(jīng)常使用的配置方式，容易實(shí)現(xiàn)和監(jiān)視，而且比較安全。動(dòng)態(tài)實(shí)現(xiàn)方式中，管理員必須先建立一個(gè)較復(fù)雜的數(shù)據(jù)庫(kù)，例如輸入要連接的網(wǎng)絡(luò)設(shè)備的MAC地址及相應(yīng)的VLAN號(hào)，這樣當(dāng)網(wǎng)絡(luò)設(shè)備接到交換機(jī)端口時(shí)交換機(jī)自動(dòng)把這個(gè)網(wǎng)絡(luò)設(shè)備所連接的端口分配給相應(yīng)的VLAN。動(dòng)態(tài)V

27、LAN的配置可以基于網(wǎng)絡(luò)設(shè)備的MAC地址、IP地址、應(yīng)用或者所使用的協(xié)議。實(shí)現(xiàn)動(dòng)態(tài)VLAN時(shí)候一般情況下使用管理軟件來(lái)進(jìn)行管理。在CISCO交換機(jī)上可以使用VLAN管理策略服務(wù)器（VMPS）實(shí)現(xiàn)基于MAC地址的動(dòng)態(tài)VLAN配置。VMPS是MAC地址與VLAN的映射表。這種配置的優(yōu)點(diǎn)是網(wǎng)絡(luò)管理員維護(hù)管理相應(yīng)的數(shù)據(jù)庫(kù)，而不用關(guān)心用戶使用哪一個(gè)端口，但是每次新用戶加入時(shí)需要做較復(fù)雜的手工配置。3、vlan設(shè)計(jì) 在企業(yè)局域網(wǎng)的vlan規(guī)劃中，我們更傾向于靜態(tài)vlan的方式，本次也是選用了靜態(tài)VLAN的方式。其具體vlan規(guī)劃。VLAN名稱VLAN內(nèi)容對(duì)應(yīng)子網(wǎng)VLAN 1default管理VLANVLA

28、N 11jls經(jīng)理室（總公司）/24VLAN 12cwb 財(cái)務(wù)部（總公司）/24VLAN 13scbu 市場(chǎng)銷售部（總公司）/24VLAN 14rsbu人事部（總公司）/24VLAN 15jsb技術(shù)研發(fā)部（總公司）/24VLAN 16ydzx 研發(fā)中心（總公司）/24VLAN 50wfq服務(wù)群（總公司）/24VLAN 101VLAN0101主管經(jīng)理室（分公司）/24VLAN 102VLAN0102財(cái)務(wù)/銷售（分公司）/24VLAN 103VLAN0103 無(wú)線（分公司）/244.2.4 IP地址設(shè)計(jì)IP地址構(gòu)成了整個(gè)Internet的基礎(chǔ)，IP地址資源是整個(gè)Internet的基本核心資源，IP

29、地址資源的合理分配和有效利用是整個(gè)Internet發(fā)展過(guò)程中持續(xù)有效的一個(gè)極具分量的研究課題。由于IP地址緊缺，在企業(yè)網(wǎng)中的IP地址采用BFC1918定義的私有地址，而公司屬于中小型企業(yè)，所以采取了/16這個(gè)地址范圍。并根據(jù)網(wǎng)絡(luò)IP地址的設(shè)計(jì)應(yīng)遵循可擴(kuò)展性、易管理性和易維護(hù)性等特性，對(duì)各個(gè)設(shè)備的IP地址進(jìn)行了劃分，其具體劃分情況如下： IP地址規(guī)劃IP地址段部門(mén)或用途/30公網(wǎng)地址，用于出口路由與運(yùn)營(yíng)商連接/16企業(yè)局域網(wǎng)/30邊緣路由與核心交換機(jī)連接/30邊緣路由與另一核心交換機(jī)連接/30邊緣路由與分公司路由的接入/24總公司經(jīng)理室/24總部財(cái)務(wù)室/24總部市場(chǎng)銷售部/24總部人事部/24總

30、部技術(shù)研發(fā)部/24研發(fā)中心/24服務(wù)器群/24分部主管經(jīng)理室/24分部銷售/財(cái)務(wù)/24無(wú)線路由4.2.5 核心鏈路冗余及負(fù)載均衡策略在核心鏈路中，根據(jù)本次環(huán)境的實(shí)際情況選擇了在兩臺(tái)核心交換機(jī)之間實(shí)現(xiàn)鏈路聚合技術(shù)，以太網(wǎng)信道鏈路聚合可以讓交換機(jī)之間和交換機(jī)的鏈路帶寬有非常好的 伸縮性，比如可以把多個(gè)千兆的鏈路綁定在一起，使鏈路的帶寬成倍增長(zhǎng)。鏈路聚合技術(shù)可以實(shí)現(xiàn)不同端口的負(fù)載均衡，同時(shí)也能夠互為備份，保證鏈路的冗余性。生成樹(shù)協(xié)議和鏈路聚合都可以保證一個(gè)網(wǎng)絡(luò)的冗余性。在一個(gè)網(wǎng)絡(luò)中設(shè)置冗余鏈路，并用生成樹(shù)協(xié)議讓備份鏈路阻塞，在邏輯上不形成環(huán)路。而一旦出現(xiàn)故障，啟用備份鏈路。在核心與接入層之間使用pv

31、st（Per-VLAN Spanning Tree，每個(gè)VLAN生成樹(shù)）。pvst是解決在虛擬HYPERLINK /view/21837.htm局域網(wǎng)上處理HYPERLINK /view/1340945.htm生成樹(shù)的CISCO特有解決方案，PVST為每個(gè)HYPERLINK /view/21837.htm虛擬局域網(wǎng)運(yùn)行單獨(dú)的HYPERLINK /view/1340945.htm生成樹(shù)實(shí)例。同時(shí)pvst解決的二層HYPERLINK /view/51184.htm負(fù)載均衡，達(dá)到鏈路的流量均衡。4.3 局域網(wǎng)安全設(shè)計(jì) 本文局域網(wǎng)的安全設(shè)計(jì)主要由VLAN的設(shè)置方案、交換機(jī)端口保護(hù)、ACL（訪問(wèn)控制列表

32、 Access Control List）、以及ppp認(rèn)證和防火墻等安全策略。通過(guò)對(duì)接入層的VLAN配置，實(shí)現(xiàn)部門(mén)之間的安全策略；同樣對(duì)接入層設(shè)備定義端口保護(hù)功能，定義每個(gè)端口允許的最大MAC地址訪問(wèn)數(shù)，或者靜態(tài)的定義特定的MAC地址。遇到不合法的MAC地址交換機(jī)采取的策略；通過(guò)訪問(wèn)控制列表的設(shè)置，控制公司內(nèi)部的通信，實(shí)現(xiàn)合理的訪問(wèn)控制；而在總公司與分公司之間的鏈路采用ppp協(xié)議，并使用pap認(rèn)證，總公司路由為驗(yàn)證方；防火墻則主要是出口路由與運(yùn)營(yíng)商之間的連接，其將HYPERLINK /view/21848.htm內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)（如Internet）分開(kāi)，并對(duì)內(nèi)部局域網(wǎng)絡(luò)進(jìn)行保護(hù)，實(shí)現(xiàn)局域網(wǎng)

33、內(nèi)部的安全。企業(yè)網(wǎng)絡(luò)環(huán)境搭建5.1 模擬環(huán)境介紹本論文中局域網(wǎng)網(wǎng)絡(luò)的搭建使用的是Packet Tracer。Packet Tracer 是由Cisco公司發(fā)布的一個(gè)輔助HYPERLINK /view/3146674.htm學(xué)習(xí)工具，為學(xué)習(xí)思科網(wǎng)絡(luò)課程的初學(xué)者去設(shè)計(jì)、配置、排除HYPERLINK /view/76955.htm網(wǎng)絡(luò)故障提供了網(wǎng)絡(luò)模擬環(huán)境。用戶可以在HYPERLINK /view/37.htm軟件的HYPERLINK /view/185360.htm圖形用戶界面上直接使用拖曳方法建立HYPERLINK /view/265341.htm網(wǎng)絡(luò)拓?fù)?，并可提供?shù)據(jù)包在網(wǎng)絡(luò)中行進(jìn)的詳細(xì)處理過(guò)

34、程，觀察網(wǎng)絡(luò)實(shí)時(shí)運(yùn)行情況?？梢詫W(xué)習(xí)IOS的配置、鍛煉故障排查能力。由于現(xiàn)實(shí)的限制，此次網(wǎng)絡(luò)設(shè)計(jì)在該模擬器上網(wǎng)絡(luò)搭建完成以及相關(guān)功能是否實(shí)現(xiàn)的測(cè)試。目前最新的版本是 Packet Tracer 6.1，本次使用的是6.0版本。 當(dāng)然模擬環(huán)境下與現(xiàn)實(shí)情況會(huì)有一定的差異和不同，在模擬器上搭建是不能完全模擬出實(shí)際企業(yè)局域網(wǎng)的每一個(gè)設(shè)備和功能，但是該模擬器搭建的網(wǎng)絡(luò)能夠?qū)崿F(xiàn)大部分的功能以及基本的配置，不能實(shí)現(xiàn)的主要有一些復(fù)制功能以及一些具體的網(wǎng)絡(luò)管理和防護(hù)設(shè)備。所以本次網(wǎng)絡(luò)搭建，主要配置是在路由器、核心層和接入層交換機(jī)、終端設(shè)備上，而防火墻的一些功能和流量控制以及認(rèn)證服務(wù)等高級(jí)網(wǎng)絡(luò)應(yīng)用在該環(huán)境中無(wú)法實(shí)現(xiàn)

35、，因此在網(wǎng)絡(luò)搭建中省略這些部分。5.2 搭建網(wǎng)絡(luò)網(wǎng)絡(luò)邏輯拓?fù)鋱D 搭建出此次設(shè)計(jì)的整體網(wǎng)絡(luò)架構(gòu)，并根據(jù)線框把不同的模塊分開(kāi)，使網(wǎng)絡(luò)結(jié)構(gòu)層次清晰，其網(wǎng)絡(luò)架構(gòu)圖如下： 模擬軟件局域網(wǎng)邏輯拓?fù)鋱D網(wǎng)絡(luò)結(jié)構(gòu)介紹該網(wǎng)絡(luò)結(jié)構(gòu)中主要分為核心層、接入層、終端接入、分公司模塊以及邊緣路由出口模塊等幾大塊。核心層核心層是整個(gè)網(wǎng)絡(luò)的中心節(jié)點(diǎn)，它們負(fù)責(zé)了局域網(wǎng)的不同區(qū)域接受/轉(zhuǎn)發(fā)數(shù)據(jù)，本次核心層使用雙核心交換可以確保當(dāng)其中一個(gè)出現(xiàn)故障時(shí)，仍然可以保證校園網(wǎng)的正常運(yùn)行，為用戶提供不間斷的網(wǎng)絡(luò)服務(wù)；并且還在兩核心之間做負(fù)載均衡，就是在網(wǎng)絡(luò)正常運(yùn)行的情況下，其中有一半的終端數(shù)據(jù)是通過(guò)其中一臺(tái)核心交換機(jī)進(jìn)行接受/轉(zhuǎn)發(fā)數(shù)據(jù)，另一半

36、的終端數(shù)據(jù)通過(guò)另一臺(tái)核心交換進(jìn)行轉(zhuǎn)發(fā)數(shù)據(jù)。同時(shí)核心交換機(jī)分別上連出口路由器，它們與出口路由之間啟用OSPF協(xié)議，實(shí)現(xiàn)通路。接入層交換機(jī)設(shè)備是局域網(wǎng)用戶接入到局域網(wǎng)中，連接到的網(wǎng)絡(luò)設(shè)備，接入層交換機(jī)主要是根據(jù)VLAN的劃分，并把端口劃分到vlan，實(shí)現(xiàn)終端的連接。一般接入交換機(jī)根據(jù)用戶不同位置和部門(mén)紡織。終端接入設(shè)備主要根據(jù)核心設(shè)備分配的IP地址或者手動(dòng)設(shè)置的地址進(jìn)行接入，并根據(jù)上層相關(guān)配置實(shí)現(xiàn)通信。邊緣出口路由是局域網(wǎng)的重要組成，它將局域網(wǎng)接入到Internet，是連接公有IP地址網(wǎng)絡(luò)和私有IP地址網(wǎng)絡(luò)的的出口設(shè)備設(shè)備，提供公網(wǎng)地址與私網(wǎng)地址轉(zhuǎn)換的功能。分公司模塊是通過(guò)邊緣路由的連接，并做認(rèn)證

37、服務(wù)實(shí)現(xiàn)鏈路保密性，同時(shí)做到分公司與總公司的業(yè)務(wù)通信。5.3 網(wǎng)絡(luò)核心層設(shè)計(jì) 本次局域網(wǎng)設(shè)計(jì)使用雙核心，其核心層結(jié)構(gòu)如下圖：局域網(wǎng)核心層拓?fù)浣Y(jié)構(gòu)圖5.3.1 交換技術(shù)的應(yīng)用 做為核心交換機(jī)，這一模塊在整個(gè)局域網(wǎng)中至關(guān)重要，顧名思義也知道其是網(wǎng)絡(luò)的核心，那么首先介紹下兩臺(tái)三層交換機(jī)在交換技術(shù)上使用設(shè)計(jì)以及配置。vtp技術(shù)VTP（VLAN Trunking Protocol）是VLAN中繼協(xié)議，也被稱為虛擬局域網(wǎng)干道協(xié)議。它是思科私有協(xié)議。它是一個(gè)OSI參考模型第二層的通信協(xié)議，主要用于管理在同一個(gè)域的網(wǎng)絡(luò)范圍內(nèi)VLAN的建立、刪除和重命名。在一臺(tái)VTPServer上配置一個(gè)新的VLAN時(shí)，該VL

38、AN的配置信息將自動(dòng)傳播到本域內(nèi)的其他所有交換機(jī)。這些交換機(jī)會(huì)自動(dòng)地接收這些配置信息，使其VLAN的配置與VTPServer保持一致，從而減少在多臺(tái)設(shè)備上配置同一個(gè)VLAN信息的工作量，而且保持了VLAN配置的統(tǒng)一性。其實(shí)最之前并不了解這一技術(shù)，因?yàn)橹皼](méi)有注意過(guò)，并且之前做的網(wǎng)絡(luò)一般比較簡(jiǎn)單，所以沒(méi)有發(fā)覺(jué)VLAN的設(shè)置有多么的麻煩。即使這次在做設(shè)計(jì)的最初也沒(méi)有想到使用這一技術(shù)，開(kāi)始的時(shí)候我還是通過(guò)給每一臺(tái)交換機(jī)配置VLAN，但是在配置快要完成的時(shí)候，網(wǎng)絡(luò)出了點(diǎn)問(wèn)題，需要重新做，這是才發(fā)覺(jué)一下子要配置那么VLAN是一件很麻煩的事情，所以在了解到VTP技術(shù)后，使用了這一技術(shù)。各接入層交換機(jī)配置命

39、令基本相同，為實(shí)現(xiàn)單個(gè)控制點(diǎn)配置和管理整個(gè)網(wǎng)絡(luò)中VLAN，決定采用VTP技術(shù)。把核心交換機(jī)設(shè)置為Server模式，通過(guò)他們對(duì)接入層交換機(jī)傳遞最新的VLAN信息。其配置如下：SW1#vlan database /全局模式下直接配置SW1(vlan)#vtp domain liy /建立VTP域SW1(vlan)#vtp server /設(shè)置該交換機(jī)為server模式SW1(vlan)#vtp password 123456 /設(shè)置密碼SW1#show vtp status /查看VTP運(yùn)行狀態(tài)通過(guò)以上配置，然后在此交換機(jī)上設(shè)置VLAN信息，接入層交換機(jī)通過(guò)相關(guān)配置就可以學(xué)習(xí)到VLAN實(shí)時(shí)信息，而

40、SW2的配置和SW1的類似。VLAN配置在核心交換機(jī)上配置VLAN并命名，使在接入層配置成次client模式時(shí)能夠?qū)W習(xí)到VLAN信息。配置如下：SW1(config)#vlan 11 SW1(config-vlan)#name jls其他VLAN的配置類似。STP技術(shù) STP（SpanningTreeProtocol）是生成樹(shù)協(xié)議的英文縮寫(xiě)。該協(xié)議可應(yīng)用于環(huán)路網(wǎng)絡(luò)，通過(guò)一定的算法實(shí)現(xiàn)路徑冗余，同時(shí)將環(huán)路網(wǎng)絡(luò)修剪成無(wú)環(huán)路的樹(shù)型網(wǎng)絡(luò)，從而消除網(wǎng)絡(luò)中的環(huán)路，避免由于環(huán)路的存在而造成廣播風(fēng)暴問(wèn)題。生成樹(shù)協(xié)議適合所有廠商的網(wǎng)絡(luò)設(shè)備，在配置上和體現(xiàn)功能強(qiáng)度上有所差別，但是在原理和應(yīng)用效果是一致的。該協(xié)議的

41、原理是按照樹(shù)的結(jié)構(gòu)來(lái)構(gòu)造網(wǎng)絡(luò)拓?fù)?，該協(xié)議使用BPDU報(bào)文傳遞生成樹(shù)信息。在這個(gè)技術(shù)的使用上也是經(jīng)過(guò)多番考慮以及環(huán)境限制而應(yīng)用的，因?yàn)樽畛醯木W(wǎng)絡(luò)構(gòu)思使用MSTP（Multiple Spanning Tree Protocol，HYPERLINK /view/1755040.htm多生成樹(shù)協(xié)議）來(lái)防止廣播風(fēng)暴，同時(shí)應(yīng)用vrrp（Virtual Router Redundancy Protocol 虛擬路由器冗余協(xié)議）措施來(lái)在實(shí)習(xí)冗余備份的。但是在后來(lái)的實(shí)際網(wǎng)絡(luò)搭建中，發(fā)現(xiàn)模擬環(huán)境不能使用MSTP，因?yàn)槟M器在對(duì)生成樹(shù)的啟用中有一定不足，所以后來(lái)決定使用pvst （Per-VLAN Spanning

42、 Tree 每個(gè)VLAN生成樹(shù)），雖然這種技術(shù)又一定的缺陷，但是在中小網(wǎng)絡(luò)中還是很實(shí)用的，并且它不但能夠解決廣播風(fēng)暴，還可以在核心交換機(jī)之間做到冗余備份以及負(fù)載均衡。STP具體設(shè)計(jì)如下：Cisco交換機(jī)支持每個(gè)vlan的生成樹(shù)（pvst）,在本方案中我門(mén)將采取這種方式，為每個(gè)vlan啟用一個(gè)stp。2）交換機(jī)SW1為vlan11-13的根網(wǎng)橋。3)交換機(jī)SW2為vlan14-16以及VLAN50的根網(wǎng)橋。主要配置如下：SW1(config)#spanning-tree vlan 11 rootprimarySW1(config)#spanning-tree vlan 12 root prima

43、rySW1(config)#spanning-tree vlan 13 rootprimarySW1(config)#spanning-tree vlan 14 root secondarySW1(config)#spanning-tree vlan 15 root secondarySW1(config)#spanning-tree vlan 16 root secondarySW1(config)#spanning-tree vlan 50 root secondarySW2(config)#spanning-tree vlan 11 rootsecondarySW2(config)#sp

44、anning-tree vlan 12 root secondarySW2(config)#spanning-tree vlan 13 rootsecondarySW2(config)#spanning-tree vlan 14 root primarySW2(config)#spanning-tree vlan 15 root primarySW2(config)#spanning-tree vlan 16 root primarySW2(config)#spanning-tree vlan 50 root primaryshow spanning-tree vlan /查看不同VLAN的不

45、同狀態(tài)3、以太通道技術(shù)應(yīng)用以太通道也稱為以太端口捆綁、端口聚集或以太鏈路聚集。以太通道為交換機(jī)提供了端口捆綁的技術(shù)，允許兩個(gè)交換機(jī)之間通過(guò)兩個(gè)或多個(gè)端口并行連接，同時(shí)傳輸數(shù)據(jù)，以提供更高的帶寬。由于STP的應(yīng)用，當(dāng)存在2條物理鏈路時(shí)，雖然實(shí)現(xiàn)相互備份，卻不能同時(shí)使用鏈路帶寬，所以為提高鏈路帶寬。決定在核心的三層交換機(jī)之間采用鏈路聚合（EthernetChannel）。Ethernetchanel配置命令如下:SW1(config)#interfacerangef0/1-2SW1(config-if-range)#switchport trunk encapsulation dot1qSW1(c

46、onfig-if-range)#swichport mode trunkSW1(config-if-range)#channel-group1modeonSW1(config-if-range)#no shutdownSW2和SW1的配置類似。交換機(jī)端口模式以太網(wǎng)端口有三種鏈路類型，分別是access、trunk、hybird。Access類型的端口只能屬于1個(gè)VLAN，一般用于連接計(jì)算機(jī)的端口；Trunk類型的端口可以允許多個(gè)VLAN通過(guò)，可以接收和發(fā)送多個(gè)VLAN的報(bào)文，一般用于交換機(jī)之間連接的端口； Hybrid類型的端口可以允許多個(gè)VLAN通過(guò)，可以接收和發(fā)送多個(gè)VLAN的報(bào)文，可以用

47、于交換機(jī)之間連接，也可以用于連接用戶的計(jì)算機(jī)。Hybrid端口和Trunk端口在接收數(shù)據(jù)時(shí)，處理方法是一樣的，唯一不同之處在于發(fā)送數(shù)據(jù)時(shí)：Hybrid端口可以允許多個(gè)VLAN的報(bào)文發(fā)送時(shí)不打標(biāo)簽，而Trunk端口只允許缺省VLAN的報(bào)文發(fā)送時(shí)不打標(biāo)簽。Access端口只屬于1個(gè)VLAN，所以它的缺省VLAN就是它所在的VLAN，不用設(shè)置；Hybrid端口和Trunk端口屬于多個(gè)VLAN，所以需要設(shè)置缺省VLAN ID.缺省情況下，Hybrid端口和Trunk端口的缺省VLAN為VLAN 1；如果設(shè)置了端口的缺省VLAN ID，當(dāng)端口接收到不帶VLAN Tag的報(bào)文后，則將報(bào)文轉(zhuǎn)發(fā)到屬于缺省VL

48、AN的端口；當(dāng)端口發(fā)送帶有VLAN Tag的報(bào)文時(shí)，如果該報(bào)文的VLAN ID與端口缺省的VLAN ID相同，則系統(tǒng)將去掉報(bào)文的VLAN Tag，然后再發(fā)送該報(bào)文。 本次設(shè)計(jì)的核心交換機(jī)在下接接入層的設(shè)備時(shí)，采用了Trunk模式，其配置命令如下：SW1(config)#interface range fa0/3-6SW1(config-if-range)#switchport trunk encapsulation dot1q SW1(config-if-range)#switchport mode trunk SW1(config-if-range)#no shutSW2與SW1的配置類似。

49、Show interfaces trunk 查看狀態(tài)：5.3.2 路由技術(shù)的應(yīng)用1、VLAN間的路由以前原本是通過(guò)單臂路由來(lái)實(shí)現(xiàn)vlan間的路由，但隨著網(wǎng)絡(luò)的龐大，在交換機(jī)上劃分VLAN的數(shù)量不斷增多，會(huì)使路由器和交換機(jī)之間的鏈路形成瓶頸，在單臂路由的一條物理鏈路已無(wú)法承載多條VLAN流量，同時(shí)占用鏈路帶寬，決定采用三層交換技術(shù)實(shí)現(xiàn)數(shù)據(jù)包的高速轉(zhuǎn)發(fā)和VLAN間路由。兩臺(tái)核心交換機(jī)各自為vlan設(shè)計(jì)管理ip,啟用路由轉(zhuǎn)發(fā)功能，此ip也是vlan內(nèi)部pc的網(wǎng)關(guān)，使VLAN之間便于互相通信。三層交換機(jī)為VLAN設(shè)計(jì)以及上接路由器的地址配置命令如下：SW1(config)#ip routing /啟動(dòng)

50、路由功能，這個(gè)很重要，因?yàn)樽鐾耆龑咏粨Q機(jī)如果不啟用路由功能那么久不能做路由設(shè)計(jì)SW1(config)#interface GigabitEthernet0/1SW1(config-if)#no switchport /關(guān)閉交換接口，才能夠才接口上啟用IP地址SW1(config-if)#ip address 52SW1(config-if)#no shutSW1(config)#interface Vlan11SW1(config-if)#ip address SW1(config-if)#no shutSW1(config)#interface Vlan12SW1(config-if)#ip

51、 address SW1(config-if)#no shutSW1(config)#interface Vlan13SW1(config-if)#ip address SW1(config-if)#no shutSW1(config)#interface Vlan14SW1(config-if)#ip address SW1(config-if)#no shutSW1(config)#interface Vlan15SW1(config-if)#ip address SW1(config-if)#no shutSW1(config)#interface Vlan16SW1(config-if

52、)#ip address SW1(config-if)#no shutSW1(config)#interface Vlan50SW1(config-if)#ip address SW1(config-if)#no shut同樣SW2的配置和SW1類似。OSPF技術(shù)OSPF(OpenShortestPathFirst開(kāi)放式最短路徑優(yōu)先）是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議(InteriorGatewayProtocol，簡(jiǎn)稱IGP），HYPERLINK /search?word=OSPF路由協(xié)議&fr=qb_search_exp&ie=utf8OSPF路由協(xié)議是一種典型的鏈路狀態(tài)（Link-state）的HYPE

53、RLINK /search?word=路由協(xié)議&fr=qb_search_exp&ie=utf8路由協(xié)議，用于在單一自治系統(tǒng)（autonomoussystem,AS）內(nèi)決策路由，在這個(gè)AS中，所有的OSPF路由器都維護(hù)一個(gè)相同的描述這個(gè)AS結(jié)構(gòu)的數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)中存放的是HYPERLINK /search?word=路由域&fr=qb_search_exp&ie=utf8路由域中相應(yīng)鏈路的HYPERLINK /search?word=狀態(tài)信息&fr=qb_search_exp&ie=utf8狀態(tài)信息，OSPF路由器正是通過(guò)這個(gè)數(shù)據(jù)庫(kù)計(jì)算出其OSPFHYPERLINK /search?word=

54、路由表&fr=qb_search_exp&ie=utf8路由表的。 作為一種鏈路狀態(tài)的HYPERLINK /search?word=路由協(xié)議&fr=qb_search_exp&ie=utf8路由協(xié)議，OSPF將鏈路狀態(tài)HYPERLINK /search?word=廣播數(shù)據(jù)包&fr=qb_search_exp&ie=utf8廣播數(shù)據(jù)包LSA（Link State Advertisement）傳送給在某一區(qū)域內(nèi)的所有路由器，這一點(diǎn)與HYPERLINK /search?word=距離矢量&fr=qb_search_exp&ie=utf8距離矢量路由協(xié)議不同。運(yùn)行HYPERLINK /search?w

55、ord=距離矢量&fr=qb_search_exp&ie=utf8距離矢量路由協(xié)議的路由器是將部分或全部的HYPERLINK /search?word=路由表&fr=qb_search_exp&ie=utf8路由表傳遞給與其相鄰的路由器。本次設(shè)計(jì)中核心交換機(jī)與邊緣路由之間使用OSPF協(xié)議，OSPF的協(xié)議管理距離（AD）是110。為了解決OSPF算法的頻繁，路由表過(guò)大，路由鏈路狀態(tài)數(shù)據(jù)庫(kù)過(guò)大的問(wèn)題劃分了OSPF區(qū)域。交換機(jī)上的配置命令如下：SW1(config)#router ospf 1SW1(config-router)#network area 0SW1(config-router)# n

56、etwork 55 area 0Sw2的配置sw1類似，查看鏈路狀況：3、DHCP技術(shù)DHCP(Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議)是一個(gè)HYPERLINK /view/788.htm局域網(wǎng)的HYPERLINK /view/16603.htm網(wǎng)絡(luò)協(xié)議，使用HYPERLINK /view/30509.htmUDP協(xié)議工作，主要有兩個(gè)用途：給內(nèi)部網(wǎng)絡(luò)或HYPERLINK /view/1279152.htm網(wǎng)絡(luò)服務(wù)供應(yīng)商自動(dòng)分配HYPERLINK /view/3930.htmIP地址，給用戶或者內(nèi)部HYPERLINK /view/31921.ht

57、m網(wǎng)絡(luò)管理員作為對(duì)所有HYPERLINK /view/3314.htm計(jì)算機(jī)作中央管理的手段。按照IP地址連續(xù)性的劃分以及將來(lái)的擴(kuò)展性，同時(shí)，為了企業(yè)網(wǎng)絡(luò)管理的方便性，此次采用動(dòng)態(tài)和靜態(tài)IP地址分配結(jié)合的方式，在服務(wù)器群的部分服務(wù)器配固定IP地址，在其他辦公區(qū)為了方便用戶移動(dòng)辦公以及方便的需求，采用DHCP形式分配IP地址，這樣既保證了固定計(jì)算機(jī)的IP地址使用，又保證了移動(dòng)辦公的靈活性，有效利用了有效的IP地址資源。由于模擬環(huán)境的限制，DHCP服務(wù)器不能夠達(dá)到真機(jī)的作用，所以此次在兩臺(tái)核心交換機(jī)上做DHCP配置，達(dá)到給終端自動(dòng)分配地址。而為了ip地址的合理分配及使用，本次地址分配中總公司保留1

58、92.168.xx.1-192.168.xx.10這段地址，DHCP地址池只會(huì)分配其他地址。其配置命令如下：SW1(config)#ip dhcp excluded-address 0SW1(config)#ip dhcp excluded-address 0SW1(config)#ip dhcp excluded-address 0SW1(config)#ip dhcp excluded-address 0SW1(config)#ip dhcp excluded-address 0SW1(config)#ip dhcp excluded-address 0SW1(config)#ip dhc

59、p excluded-address 0/保留192.168.xx.1-192.168.xx.10段的地址，使其不被分配出去SW1(config)ip dhcp pool vlan11SW1(dhcp-config)#network SW1(dhcp-config)#default-router SW1(dhcp-config)#dns-server 1其他幾個(gè)地址池的建立與之類似，不過(guò)VLAN11-13的默認(rèn)網(wǎng)關(guān)是192.168.xx.1，而VLAN14-16以及VLAN50的默認(rèn)網(wǎng)關(guān)是192.168.xx.2.而SW2與SW1的配置類似，但是網(wǎng)關(guān)是相反的。4、ACL技術(shù)訪問(wèn)控制列表（Acc

60、essControlList，ACL)是路由器和交換機(jī)接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。訪問(wèn)列表為我們提供了一種對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行有效管理的方法，通過(guò)訪問(wèn)列表，我們可以設(shè)置允許或拒絕數(shù)據(jù)包通過(guò)路由器，或者允許或者拒絕具體的某些端口進(jìn)行訪問(wèn)和使用，如果滿足條件則執(zhí)行相應(yīng)的操作，放行這個(gè)包或者放棄這個(gè)包。我們通過(guò)這些設(shè)置來(lái)滿足實(shí)際網(wǎng)絡(luò)的靈活需求，從而達(dá)到設(shè)置網(wǎng)絡(luò)安全策略，防止網(wǎng)絡(luò)中的敏感設(shè)備受到非授權(quán)訪問(wèn)的情況。 在具體實(shí)現(xiàn)過(guò)程中從技術(shù)上來(lái)說(shuō)我們需要了解到 ACL 分為兩種類型,他們分別是標(biāo)準(zhǔn)訪問(wèn)列表(Standard access lists)和擴(kuò)展訪問(wèn)列表（Extends access l