企業(yè)局域網(wǎng)的設(shè)計方案畢業(yè)設(shè)計

PAGEPAGE33（（企業(yè)局域網(wǎng)的設(shè)計方案）計算機網(wǎng)絡(luò)技術(shù)計算機工程系本人鄭重聲明：所呈交的畢業(yè)設(shè)計文本和成果，是本人在指導(dǎo)老師的指導(dǎo)下，獨立進行研究所取得的成果。成果不存在知識產(chǎn)權(quán)爭議，本畢業(yè)設(shè)計不含任何其他個人或集體已經(jīng)發(fā)表過的作品和成果。本人完全意識到本聲明的法律結(jié)果由本人承擔。畢業(yè)設(shè)計者簽名：摘要本設(shè)計方案是關(guān)于小型企業(yè)局域網(wǎng)的設(shè)計，設(shè)計方案分為三個模塊：交換模塊、Internet接入模塊、遠程訪問模塊。根據(jù)各部門職能不同把交換模塊劃分為不同的VLAN，從而減少了廣播沖突提高了傳輸效率，通過部署ACL限制用戶的訪問，有效地保護敏感數(shù)據(jù)，提高了網(wǎng)絡(luò)安全性。借助三層交換機的路由功能，可以實現(xiàn)各VLAN間數(shù)據(jù)包高速轉(zhuǎn)發(fā)，解決VLAN之間的傳輸瓶頸。Internet接入模塊功能主要通過路由器來實現(xiàn)，它的作用主要是建立外網(wǎng)和企業(yè)網(wǎng)的正常通信。使企業(yè)網(wǎng)的用戶訪問Internet同時Internet用戶能在一定程度上訪問企業(yè)網(wǎng)。通過配置NAT(NetAddressTranslation)，不僅是企業(yè)網(wǎng)用戶可以訪問Internet，而且對外隱藏企業(yè)網(wǎng)內(nèi)部地址，從而實現(xiàn)地址保護。遠程訪問模塊是針對移動用戶設(shè)計的。通過VPN（VirtualPrivateNetwork）技術(shù)可以在公共網(wǎng)絡(luò)的兩個端點間建立一條邏輯連接，使在外辦公人員可以通過Internet訪問公司內(nèi)部網(wǎng)，極大地提高了辦公效率，同時免去了高昂的專線租用費用。關(guān)鍵字：企業(yè)局域網(wǎng)、虛擬局域網(wǎng)、網(wǎng)絡(luò)地址轉(zhuǎn)換AbstractAbstractThisdesignproposalisaboutthedesignofsmallbusinesslocalareanetwork,whichisdividedintothreemodules:switchingmodule,Internetaccessmodule,remoteaccessmodule.AccordingtothefunctionsofdifferentdepartmentsdivideswitchingmoduleintodifferentVLAN,thusreducingthebroadcastconflictandimprovingtransmissionefficiency,throughthedeploymentofACLlimituser'saccesstoasub-network,Protectthesensitivedataeffectiveandimprovenetworksecurity.WiththeroutingfunctionofLayer3Switchrouting,eachVLANcanbeachievedthehigh-speedpacketforwarding,solvingthetransmissionbottleneck.Internetaccessmodulefunctionsprimarilyachievedthroughtherouter,whichfunctionismainlytheroleofnetworksandenterprisenetworksoutsidethenormalcommunicationwithinthegateway.ThenenterprisenetworkuserscanaccessInternetwhileInternetuserscanaccessthecorporatenetworktosomeextent.ByconfiguringNAT(NetAddressTranslation),notonlytheenterprisenetworkuserscanaccesstheInternet,butalsoachievedtheprotectionofaddressbyhidingtheinternalcorporatenetworkaddress.RemoteAccessModuleisdesignedformobileusers.ItcouldestablishalogicalconnectioninthetwoendpointsofpublicnetworksthroughtheVPN(VirtualPrivateNetwork)technology,sothatstaffcanaccessthecorporatenetworkovertheInternet,greatlyimprovedtheofficeefficiencywhileeliminatingthehighcostofleasedline.Keywords:EnterpriseLAN,VLAN,NAT目錄目錄TOC\o"1-3"摘要 IAbstract II目錄 III第一章引言 11.1課題的背景 11.2國內(nèi)外企業(yè)局域網(wǎng)建設(shè)現(xiàn)狀 11.3企業(yè)局域網(wǎng)建設(shè)的目標與意義 2第二章可行性研究和需求分析 42.1技術(shù)可行性 42.1.1NAT技術(shù) 42.1.2VLAN技術(shù) 52.1.3三層交換技術(shù) 52.1.4ACL技術(shù) 52.2需求分析 62.2.1帶寬性能需求 62.2.2網(wǎng)絡(luò)安全需求 62.2.3應(yīng)用服務(wù)需求 6第三章系統(tǒng)設(shè)計方案 83.1系統(tǒng)設(shè)計原則 83.1.1實用性 83.1.2安全性 83.1.3可擴充性 83.1.4可管理性 83.1.5高性能價格比 93.2網(wǎng)絡(luò)設(shè)備選型 93.3系統(tǒng)總體設(shè)計和拓撲結(jié)構(gòu) 93.3.1系統(tǒng)總體設(shè)計方案 103.3.2VLAN劃分和IP地址規(guī)劃 12第四章交換模塊 144.1核心層交換機配置 144.1.1設(shè)置核心交換機名稱 144.1.2啟動三層交換機的路由功能 144.1.3核心交換機接口設(shè)置 144.1.4創(chuàng)建服務(wù)器群VLAN7 154.1.5配置靜態(tài)路由 154.1.6默認路由配置 164.2匯聚層交換機配置 164.2.1設(shè)置交換機名稱 164.2.2配置G0/1接口 174.2.3創(chuàng)建VLAN10-40 174.2.4為各VLAN分配IP地址 174.2.5將端口劃入各個VLAN中 184.2.6啟動3560交換機路由功能 184.2.7默認路由設(shè)置 194.3DHCP設(shè)置 194.3.1配置3560為DHCP服務(wù)器 204.3.2配置客戶端自動獲取IP 21第五章Internet接入模塊 225.1路由器基本參數(shù)配置 235.2設(shè)置路由器R-2811-A各接口參數(shù) 245.2.1路由器F0/0接口配置 255.2.2路由器F0/1接口配置 255.2.3驗證路由器接口IP配置 255.3NAT設(shè)置 265.3.1設(shè)置路由器NAT 275.3.2定義內(nèi)部外接口 275.3.3配置路由器的路由功能 285.3.4驗證地址轉(zhuǎn)換 295.4路由器的安全問題 295.4.1對外禁用telnet協(xié)議 305.4.2對外禁用snmp、snmptrap 305.4.3對外屏蔽其他不安全的協(xié)議或服務(wù) 305.4.4針對DoS攻擊的設(shè)計 31總結(jié) 39參考文獻 40致謝 41第一章引言引言課題的背景隨著近年來企業(yè)信息化建設(shè)的不斷深入，企業(yè)的運作越來越融入計算機網(wǎng)絡(luò)，企業(yè)的溝通、應(yīng)用、財務(wù)、決策、會議等數(shù)據(jù)流都在企業(yè)網(wǎng)絡(luò)上傳輸，全球的企業(yè)都在快速的進入一個嶄新的網(wǎng)絡(luò)信息時代，企業(yè)信息化建設(shè)已經(jīng)成為衡量一個企業(yè)實力的重要標志。通過信息化提高企業(yè)的競爭力已成為大多數(shù)企業(yè)的共識。在現(xiàn)在企業(yè)中，普遍存在資金不足、信息基礎(chǔ)薄弱、技術(shù)人員匱乏等特點，使得他們不能有效地將自身傳統(tǒng)業(yè)務(wù)與信息系統(tǒng)很好的結(jié)合起來，以至于常常會出現(xiàn)投入不見效的情況。究其原因，在于企業(yè)信息化觀念不夠，信息系統(tǒng)沒有總體設(shè)計原則，信息化建設(shè)缺乏規(guī)劃，致使企業(yè)協(xié)同運作存在障礙，運營成本居高不下。作為企業(yè)的局域網(wǎng)，它不僅可以為企業(yè)提供高效的辦公環(huán)境，還可以實現(xiàn)硬件資源和軟件資源的共享從而節(jié)省了企業(yè)大量開支，又便于集中管理和提高工作效率。其次企業(yè)局域網(wǎng)要實現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接，從而極大的方便了企業(yè)和外界的溝通，這樣不僅可以降低企業(yè)的生產(chǎn)成本，也可以實現(xiàn)異地辦公。企業(yè)用戶可以方便地傳輸各類數(shù)據(jù)，開展各類網(wǎng)絡(luò)應(yīng)用。隨著我國計算機網(wǎng)絡(luò)技術(shù)尤其是Internet技術(shù)的高速發(fā)展，加快對企業(yè)局域網(wǎng)建設(shè)迫在眉睫。因此構(gòu)建一個“安全可靠、性能卓越、管理方便”的企業(yè)局域網(wǎng)，已經(jīng)成為企業(yè)信息化建設(shè)成功的關(guān)鍵基石。本課題的設(shè)計需要綜合運用各種知識來完成本課題，不僅可以使我進一步掌握計算機網(wǎng)絡(luò)原理、熟悉企業(yè)局域網(wǎng)的設(shè)計搭建，而且可以增強了我的自學(xué)能力和動手能力。國內(nèi)外企業(yè)局域網(wǎng)建設(shè)現(xiàn)狀目前，計算機網(wǎng)絡(luò)被廣泛應(yīng)用于個人、工商業(yè)、教育業(yè)、各級政府、各種軍事單位等多種場合，社會各部門都可以通過網(wǎng)絡(luò)實現(xiàn)信息快捷可靠的無縫連接和共享，計算機網(wǎng)絡(luò)已遍及社會的每個領(lǐng)域，成為當今社會的一個基本元素。國外歐美的發(fā)達國家的企業(yè)在局域網(wǎng)建設(shè)走的比較早，隨著網(wǎng)絡(luò)技術(shù)的不斷進步以及通信產(chǎn)品技術(shù)的不斷完善，現(xiàn)在歐美發(fā)達國家企業(yè)局域網(wǎng)建設(shè)完全達到了辦公自動化，而且寬帶大，速度快，超過一半以上的企業(yè)擁有自己的網(wǎng)站，成為對外聯(lián)絡(luò)的主要窗口，企業(yè)內(nèi)部網(wǎng)絡(luò)安全等級較高。國內(nèi)企業(yè)局域網(wǎng)建設(shè)近年來有了長足的發(fā)展，但和歐美發(fā)達國家的企業(yè)局域網(wǎng)相比還有著明顯的不足主要體現(xiàn)在：1、低水平重復(fù)建設(shè)且成本高昂：各部門擁有相對獨立的信息系統(tǒng)，資源分散于各部門之中，容易形成信息孤島。2、管理信息和反饋信息不能迅速傳遞：隨著企業(yè)的發(fā)展，數(shù)據(jù)信息流不斷增加，對于各部門管理提出了快速響應(yīng)的要求。隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，與社會生活關(guān)系最緊密的局域網(wǎng)也得到越來越廣泛的應(yīng)用——事實上，局域網(wǎng)已是目前應(yīng)用最廣泛的一類網(wǎng)絡(luò)。局域網(wǎng)擁有組建靈活、功能強大、維護便捷等優(yōu)點，也正因為這樣，局域網(wǎng)才成為計算機網(wǎng)絡(luò)領(lǐng)域的明星，受到越來越多用戶的歡迎；也正是因為局域網(wǎng)的出現(xiàn)，使計算機網(wǎng)絡(luò)的威力獲得了更充分的發(fā)揮，使得計算機網(wǎng)絡(luò)在很短的時間內(nèi)就深入到社會的各個領(lǐng)域。同時，局域網(wǎng)技術(shù)也因而成為目前最為活躍的技術(shù)領(lǐng)域之一，各類局域網(wǎng)層出不窮并得到了廣泛的應(yīng)用，極大地推進了整個社會的信息化發(fā)展。企業(yè)局域網(wǎng)建設(shè)的目標與意義企業(yè)信息化建設(shè)是國際信息化的基礎(chǔ)和重要組成部分，是提高企業(yè)辦事效率，提高企業(yè)綜合素質(zhì)，是企業(yè)不斷邁上新的臺階，成為一流企業(yè)的有效措施。企業(yè)局域網(wǎng)的建設(shè)的目標是為全企業(yè)人員提供一個信息交流和合作平臺，在需要連接Internet時，以充分利用因特網(wǎng)上的資源，實現(xiàn)對外（企業(yè)與企業(yè)，企業(yè)與社會）的信息發(fā)布、交流與合作，對于企業(yè)的發(fā)展具有積極的社會意義與經(jīng)濟效益：1、擴大企業(yè)在社會上的影響力，提高其知名度，為外界了解企業(yè)文化提供一個簡單、便捷的窗口。2、在整個企業(yè)內(nèi)部提供一個良好的信息傳遞通道，企業(yè)內(nèi)部的政策、資源、通知可以在全企業(yè)進行迅速傳遞。3、實現(xiàn)企業(yè)的辦公自動化，有效地降低了辦公地成本。4、企業(yè)的各級領(lǐng)導(dǎo)得以最快、最有效的方式對企業(yè)內(nèi)部運作過程中的各種信息進行有效了解并采取有效措施，同時得到全面的決策支持。5、企業(yè)內(nèi)部人員可以方便安全的訪問外部因特網(wǎng)。6、流行、先進、合適的應(yīng)用軟件開發(fā)技術(shù)和辦公自動化系統(tǒng)，構(gòu)造具體的應(yīng)用環(huán)境。第二章可行性研究和需求分析可行性研究和需求分析技術(shù)可行性NAT技術(shù)NAT技術(shù)主要實現(xiàn)內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換，靜態(tài)NAT是把內(nèi)部網(wǎng)絡(luò)中的每個主機地址永久映射成外部網(wǎng)絡(luò)中的某個合法地址，這樣方便外網(wǎng)用戶訪問企業(yè)Web網(wǎng)；動態(tài)地址NAT是采用把外部網(wǎng)絡(luò)中的一系列合法地址使用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)；端口多路復(fù)用地址轉(zhuǎn)換（PAT）是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上，把企業(yè)內(nèi)部網(wǎng)IP轉(zhuǎn)換為公網(wǎng)IP地址，使內(nèi)部用戶可以方便的訪問Internet。目前，NAT技術(shù)主要用于連接和安全方面。目前企業(yè)內(nèi)部網(wǎng)絡(luò)用戶數(shù)量大，而能申請的合法的全球唯一IP地址有限。NAT能夠有效的解決企業(yè)IP地址短缺問題，利用NAT技術(shù)能夠?qū)崿F(xiàn)多個用戶共同使用一個合法的IP地址連接互聯(lián)網(wǎng)。而另一種需要出于安全方面來考慮，在一定程度上防范網(wǎng)絡(luò)攻擊的發(fā)生。企業(yè)期望隱藏LAN內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，NAT可以將內(nèi)部LAN與外部Internet隔離，使外部網(wǎng)絡(luò)用戶無法了解通過NAT設(shè)置的內(nèi)部IP地址。NAT技術(shù)在企業(yè)中都采取兩種技術(shù)類型結(jié)合應(yīng)用，比較好的還是和端口復(fù)用地址轉(zhuǎn)換。結(jié)合起來的技術(shù)如：端口復(fù)用地址轉(zhuǎn)換、TCP/UDP端口NAT映射、靜態(tài)地址轉(zhuǎn)換+端口復(fù)用地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換+端口復(fù)用地址轉(zhuǎn)換。我們知道，不同應(yīng)用程序使用TCP/UDP端口是不同的，例如，WEB服務(wù)器使用80、FTP服務(wù)使用21、SMTP服務(wù)使用25、POP3服務(wù)使用110等。由于每種應(yīng)用服務(wù)器都有自己默認的端口，所以這種NAT方式下，網(wǎng)絡(luò)內(nèi)部每種應(yīng)用服務(wù)器成為Internet中的主機，例如，只能有一臺WEB服務(wù)器、一臺E-mail服務(wù)、一臺FTP服務(wù)器。盡管可以采用改變默認端口的方式創(chuàng)建多臺應(yīng)用服務(wù)器，但這種服務(wù)器在訪問時比較困難，要求用戶必須先了解某種服務(wù)采用的新TCP端口。因此，可以將不同的TCP端口綁定至不同的內(nèi)部IP地址，從而只使用一個IP地址，即可在允許內(nèi)部所有服務(wù)器被Internet訪問的同時，實現(xiàn)內(nèi)部所有主機對Internet的訪問。VLAN技術(shù)根據(jù)各部門職能不同把各部門劃入不同的VLAN減少了廣播，提高了通信效率。VLAN(VirtualLocalAreaNetwork)就是虛擬局域網(wǎng)的意思。VLAN可以不考慮用戶的物理位置，而根據(jù)功能、應(yīng)用等因素將用戶從邏輯上劃分為一個個功能相對獨立的工作組，每個用戶主機都連接在一個支持VLAN的交換機端口上并屬于一個VLAN。同一個VLAN中的成員都共享廣播，形成一個廣播域，而不同VLAN之間廣播信息是相互隔離的。這樣，將整個網(wǎng)絡(luò)分割成多個不同的廣播域(VLAN)。一般來說，如果一個VLAN里面的工作站發(fā)送一個廣播，那么這個VLAN里面所有的工作站都接收到這個廣播，但是交換機不會將廣播發(fā)送至其他VLAN上的任何一個端口。如果要將廣播發(fā)送到其它的VLAN端口，就要用到三層交換機。三層交換技術(shù)三層交換（也稱多層交換技術(shù)，或IP交換技術(shù)）是相對于傳統(tǒng)交換概念而提出的。眾所周知，傳統(tǒng)的交換技術(shù)是在OSI網(wǎng)絡(luò)標準模型中的第二層——數(shù)據(jù)鏈路層進行操作的，而三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)。簡單地說，三層交換技術(shù)就是：二層交換技術(shù)＋三層轉(zhuǎn)發(fā)技術(shù)。

三層交換技術(shù)的出現(xiàn)，解決了局域網(wǎng)中網(wǎng)段劃分之后，網(wǎng)段中子網(wǎng)必須依賴路由器進行管理的局面，解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)傳輸瓶頸問題。ACL技術(shù)控制訪問列表（AccessControlList，ACL）:ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如，ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級。ACL提供對通信流量的控制手段。例如，ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網(wǎng)段的通信流量。ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。ACL允許主機A訪問人力資源網(wǎng)絡(luò)，而拒絕主機B訪問。ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，用戶可以允許E-mail通信流量被路由，拒絕所有的Telnet通信流量。例如：某部門要求只能使用WWW這個功能，就可以通過ACL實現(xiàn)；又例如，為了某部門的保密性，不允許其訪問外網(wǎng)，也不允許外網(wǎng)訪問它，就可以通過ACL實現(xiàn)。需求分析帶寬性能需求現(xiàn)代企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強大的性能，以滿足用戶日益增長的通信需求。隨著計算機技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個多業(yè)務(wù)承載平臺，不僅要繼續(xù)承載企業(yè)的辦公自動化，Web瀏覽等簡單的數(shù)據(jù)業(yè)務(wù)，還要承載設(shè)計企業(yè)生產(chǎn)運營的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和要求很高的IP電話、視頻會議等多媒體業(yè)務(wù)。因此，數(shù)據(jù)流量將大大增加，尤其對核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了更高的要求。另外，隨著千兆位端口成本的持續(xù)下降，千兆位到桌面的應(yīng)用會在不久的將來成為企業(yè)網(wǎng)主流。構(gòu)建一個暢通無阻的“高品質(zhì)”企業(yè)局域網(wǎng)，才能適應(yīng)網(wǎng)絡(luò)規(guī)模的擴大，業(yè)務(wù)量的日益增長的需求。網(wǎng)絡(luò)安全需求現(xiàn)代企業(yè)網(wǎng)需要提供更加完善的網(wǎng)絡(luò)安全解決方案，以阻止病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施主要通過部署防火墻、IDS、殺毒軟件以及配合交換機或路由器的ACL來實現(xiàn)對病毒和黑客攻擊的防御。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運營的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須有一整套從用戶接入控制，病毒報文識別到主動抑制的一系列安全控制手段，這樣才能保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運行。應(yīng)用服務(wù)需求現(xiàn)代企業(yè)網(wǎng)絡(luò)應(yīng)具備更加智能的網(wǎng)絡(luò)管理解決方案，以適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴大，維護工作更加復(fù)雜的需求。當前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為“以應(yīng)用為中心”的信息基礎(chǔ)平臺，網(wǎng)絡(luò)管理能力的要求已經(jīng)上升到了業(yè)務(wù)層次，傳統(tǒng)網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管理需求的發(fā)展。所以現(xiàn)代企業(yè)網(wǎng)絡(luò)迫切需要網(wǎng)絡(luò)設(shè)備支撐“以應(yīng)用為中心”的智能網(wǎng)絡(luò)運營維護的能力，并能夠有一套智能化的管理軟件，將網(wǎng)絡(luò)管理人員從繁重的工作中解脫出來。第三章系統(tǒng)設(shè)計方案系統(tǒng)設(shè)計方案系統(tǒng)設(shè)計原則實用性應(yīng)當從實際情況出發(fā)，使之達到使用方便且能發(fā)揮效益的目的。采用成熟的技術(shù)和產(chǎn)品來建設(shè)該系統(tǒng)。要能將新系統(tǒng)與已有的系統(tǒng)兼容，保持資源的連續(xù)性和可用性。系統(tǒng)是安全的，可靠的。使用相當方便，不需要太多的培訓(xùn)即可容易的使用和維護。安全性采用各種有效的安全措施，保證網(wǎng)絡(luò)系統(tǒng)和應(yīng)用系統(tǒng)安全運行。安全包括4個層面：網(wǎng)絡(luò)安全，操作系統(tǒng)安全，數(shù)據(jù)庫安全，應(yīng)用系統(tǒng)安全。由于Internet的開放性，世界各地的Internet用戶也可訪問企業(yè)網(wǎng)絡(luò)，企業(yè)網(wǎng)絡(luò)將采用防火墻、數(shù)據(jù)加密等技術(shù)防止非法侵入、防止竊聽和篡改數(shù)據(jù)、路由信息的安全保護來保證安全。同時要建立系統(tǒng)和數(shù)據(jù)庫的磁帶備份系統(tǒng)?？蓴U充性采用符合國際和國內(nèi)工業(yè)標準的協(xié)議和接口，從而使企業(yè)網(wǎng)絡(luò)具有良好的開放性，實現(xiàn)與其他網(wǎng)絡(luò)和信息資源的容易互聯(lián)互通。并可以在網(wǎng)絡(luò)的不同層次上增加節(jié)點和子網(wǎng)。一般包括開放標準、技術(shù)、結(jié)構(gòu)、系統(tǒng)組件和用戶接口等原則。在實用的基礎(chǔ)上必須采用先進的成熟的技術(shù)，選購具有先進水平的計算機網(wǎng)絡(luò)系統(tǒng)和設(shè)備。由于計算機技術(shù)的飛速發(fā)展和計算機網(wǎng)絡(luò)技術(shù)的日新月異，網(wǎng)絡(luò)系統(tǒng)擴充能力的大小已變得非常重要，因此考慮網(wǎng)絡(luò)系統(tǒng)的可擴充性是相當重要的?？晒芾硇栽O(shè)計網(wǎng)絡(luò)時充分考慮網(wǎng)絡(luò)日后的管理和維護工作，并選用易于操作和維護的網(wǎng)絡(luò)操作系統(tǒng)，大大減輕網(wǎng)絡(luò)運營時的管理和維護負擔。采用智能化網(wǎng)絡(luò)管理，最大程度地降低網(wǎng)絡(luò)的運行成本和維護。高性能價格比結(jié)合日益進步的科技新技術(shù)和校園的具體情況，制定合乎經(jīng)濟效益的解決方案，在滿足需求的基礎(chǔ)上，充分保障學(xué)校的經(jīng)濟效益。堅持經(jīng)濟性原則，力爭用最少的錢辦更多的事，以獲得最大的經(jīng)濟效益系統(tǒng)總體設(shè)計和拓撲結(jié)構(gòu)對于一個企業(yè)局域網(wǎng)，通常在設(shè)計上將它組織為核心層、匯聚層、接入層分別考慮。接入層節(jié)點直接連接用戶計算機，它通常是一個部門或者一個樓層的交換機；匯聚層交換機的每個節(jié)點可以連接多個接入層節(jié)點，它通常是一個建筑物內(nèi)部連接多個樓層交換機或者部門交換機的總交換機；核心層交換機節(jié)點連接多個匯聚層交換機，通常是企業(yè)中連接多個建筑物的總交換機的核心網(wǎng)絡(luò)設(shè)備。1、核心層核心層的功能主要是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，復(fù)雜整個網(wǎng)絡(luò)的網(wǎng)內(nèi)數(shù)據(jù)交換。網(wǎng)絡(luò)的功能控制最好盡量在骨干層上實施，核心層設(shè)計任務(wù)的重點是冗余能力、可靠性和高速傳輸。核心層一直被認為流量的最終承受著和匯聚者，所以要求核心交換機擁有較高的可靠性和性能。2、匯聚層匯聚層主要負責連接接入層節(jié)點和核心層，匯聚分散的接入點，擴大核心設(shè)備的端口密度和種類，匯聚各區(qū)域數(shù)據(jù)流量，實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸。匯聚層交換機還負責本區(qū)域的數(shù)據(jù)交換，匯聚層交換機一般與中心交換機同類型，仍需較高的性能和較豐富功能。3、接入層接入層交換機作為二層交換網(wǎng)絡(luò)設(shè)備，提供功能工作站等設(shè)備的網(wǎng)絡(luò)接入。接入層在整個網(wǎng)絡(luò)中接入交換機的數(shù)據(jù)最多，具有即插即用的特性。對于此類交換機要求，一是價格合理；二是可管理性號，易于使用維護；三是穩(wěn)定性要好。系統(tǒng)總體設(shè)計方案本企業(yè)局域網(wǎng)設(shè)計方案進行了適當和必要的簡化，重點放在網(wǎng)絡(luò)主干的設(shè)計與路由器交換機的配置上，同時還有VLAN的設(shè)計劃分，而對于各類服務(wù)器的搭建只進行簡單描述。圖3-1為企業(yè)局域網(wǎng)總體拓撲結(jié)構(gòu)圖圖3-1企業(yè)局域網(wǎng)總體拓撲結(jié)構(gòu)本方案采用典型的三層網(wǎng)絡(luò)拓撲結(jié)構(gòu)：接入層、匯聚層、核心層。在上面的拓撲結(jié)構(gòu)圖中，企業(yè)主要有1號辦公樓、2號辦公樓、生產(chǎn)車間、職工公寓四個接入點通過千兆光纖鏈路接入到網(wǎng)絡(luò)信息中心的核心交換機上。核心交換接通過連接Cisco路由器接入到外部因特網(wǎng)。VLAN劃分和IP地址規(guī)劃在一個企業(yè)中VLAN的劃分必不可少，VLAN將廣播域限制在單個VLAN內(nèi)部，減少了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術(shù)來實現(xiàn)。在本設(shè)計方案中，根據(jù)各部門職能的不同把公司各部門劃分到不同的VLAN，然后再為服務(wù)器群單獨劃分一個VLAN。表3-1VLAN劃分和IP地址規(guī)劃設(shè)備名稱VLANID網(wǎng)絡(luò)地址默認網(wǎng)關(guān)描述S-3560-A7/24/24服務(wù)器群S-3560-B10/24/24財務(wù)部20/24/24人力部30/24/24信息部40/24/24總經(jīng)辦 S-3560-C50/24/24采購部60/24/24業(yè)務(wù)部70/24/24研發(fā)部80/24/24管理部S-3560-D90/24/24制造部100/24/24品管部S-3560-E110/24/241號公寓120/24/242號公寓表3-2設(shè)備端口IP地址分配設(shè)備名稱接口IP地址R-2811-AF0/0F0/1S-3560-AG0/1G0/25G0/26G0/27G0/28S-3560-BG0/1S-3560-CG0/1S-3560-DG0/1S-3560-EG0/1第四章交換模塊交換模塊核心層交換機配置設(shè)置核心交換機名稱設(shè)置交換機的名稱，也就是出現(xiàn)在路由器CLI提示符中的名字,本設(shè)計中命名規(guī)則如下：類型-型號-編號。以下命令設(shè)置核心交換機的名字為S-3560-A。Switch>enSwitch#configtSwitch(config)#hostnameS-3560-A啟動三層交換機的路由功能三層交換機具有路由功能但默認是未啟動的，我們需要先啟動路由功能，這樣才能為不同VLAN路由數(shù)據(jù)包，從而實現(xiàn)各VLAN間的相互通信，以下命令是啟動路由功能。S-3560-A(config)#iprouting//啟動路由功能核心交換機接口設(shè)置S-3560-A(config)#intg0/1S-3560-A(config-if)#noswitchport//二層端口轉(zhuǎn)換成路由端口S-3560-A(config-if)#ipadd//為G0/1接口分配IP地址S-3560-A(config-if)#intg0/25//進入g0/25端口S-3560-A(config-if)#noswitchportS-3560-A(config-if)#ipaddS-3560-A(config-if)#intg0/26S-3560-A(config-if)#noswitchportS-3560-A(config-if)#ipaddS-3560-A(config-if)#intg0/27S-3560-A(config-if)#noswitchportS-3560-A(config-if)#ipaddS-3560-A(config-if)#intg0/28S-3560-A(config-if)#noswitchportS-3560-A(config-if)#ipaddS-3560-A(config-if)#exit創(chuàng)建服務(wù)器群VLAN7S-3560-A(config)#VLAN7//創(chuàng)建服務(wù)器群VLAN7S-3560-A(config-VLAN)#namefwq//為VLAN命名為fwqS-3560-A(config-VLAN)#intVLAN7S-3560-A(config-if)#ipaddress//為VLAN分配IP地址S-3560-A(config-if)#intrangeg0/2-10//將G0/2-G0/10端口加入到VLAN7中S-3560-A(config-if-range)#switchportaccessVLAN7配置靜態(tài)路由S-3560-A(config)#iproute//VLAN10的數(shù)據(jù)流向G0/25端口S-3560-A(config)#iprouteS-3560-A(config)#iprouteS-3560-A(config)#iprouteS-3560-A(config)#iproute//VLAN50的數(shù)據(jù)流向G0/26端口S-3560-A(config)#iprouteS-3560-A(config)#iprouteS-3560-A(config)#iprouteS-3560-A(config)#iproute//VLAN90的數(shù)據(jù)流向G0/27端口S-3560-A(config)#iprouteS-3560-A(config)#iproute//VLAN110的數(shù)據(jù)流向G0/28端口S-3560-A(config)#iproute默認路由配置S-3560-A(config)#iproute//未知數(shù)據(jù)流向路由器F0/1端口匯聚層交換機配置依據(jù)樓宇位置不同我們所需四臺CiscoCatalyst3560-24TS交換機作為匯聚層交換機，在此我們僅以1號辦公樓的匯聚層交換機加以說明，其它樓宇匯聚層交換機設(shè)置與此設(shè)置類似。設(shè)置交換機名稱Switch>enSwitch#configt//進入全局配置模式Switch(config)#hostnameS-3560-B//交換機命名為S-3560-B配置G0/1接口S-3560-B(config)#intg0/1//為G0/1分配IP地址S-3560-B(config-if)#noswitchportS-3560-B(config-if)#ipaddS-3560-B(config-if)#exit創(chuàng)建VLAN10-40S-3560-B(config)#VLAN10//創(chuàng)建財務(wù)部VLAN10S-3560-B(config-VLAN)#namecwb//VLAN10命名為cwbS-3560-B(config)#VLAN20S-3560-B(config-VLAN)#namerlbS-3560-B(config)#VLAN30S-3560-B(config-VLAN)#namexxbS-3560-B(config)#VLAN40S-3560-B(config-VLAN)#namezjb為各VLAN分配IP地址S-3560-B(config)#intVLAN10//進入VLAN10S-3560-B(config-if)#ipaddress//為各VLAN分配ip地址S-3560-B(config-if)#intVLAN20S-3560-B(config-if)#ipaddressS-3560-B(config-if)#intVLAN30S-3560-B(config-if)#ipaddressS-3560-B(config-if)#intVLAN40S-3560-B(config-if)#ipaddress將端口劃入各個VLAN中S-3560-B(config)#intrangef0/1-5//將F0/1-F0/5端口劃分到VLAN10S-3560-B(config-if-range)#switchportaccessVLAN10S-3560-B(config-if)#intrangef0/6-10S-3560-B(config-if-range)#switchportaccessVLAN20S-3560-B(config-if)#intrangef0/11-15S-3560-B(config-if-range)#switchportaccessVLAN30S-3560-B(config-if)#intrangef0/16-20S-3560-B(config-if-range)#switchportaccessVLAN40啟動3560交換機路由功能S-3560-B(config)#iprouting//啟動路由功能實現(xiàn)各VLAN間通信在CiscoPacketTracer上模擬不同VLAN間通信測試結(jié)果如圖5-1所示。圖5-1VLAN間通信測試默認路由設(shè)置未知流量通過G0/1接口流向核心交換機S-3560-B(config)#iproute//未知流量流向核心交換機DHCP設(shè)置所謂的DHCP，即動態(tài)主機配置協(xié)議，它是TCP/IP協(xié)議簇中的一種，主要作用給網(wǎng)絡(luò)中其他電腦動態(tài)分配IP地址之用。常規(guī)的方法來講，需要專門配置一臺服務(wù)器來做DHCP服務(wù)器，這樣無疑又增加了網(wǎng)絡(luò)耗費。有時在一些網(wǎng)絡(luò)低層設(shè)備中（如路由器、交換機等）里面整合了DHCP服務(wù)，我們完全可以利用網(wǎng)絡(luò)中的這些網(wǎng)絡(luò)設(shè)備是上的DHCP服務(wù)來配置我們自己的DHCP服務(wù)器，而不需要另外專門配置一臺服務(wù)器來做DHCP服務(wù)，下面以3560交換機為例加以說明：各VLAN保留2-10的IP地址不分配置，例如：的網(wǎng)段，保留至0的IP地址段不分配。配置3560為DHCP服務(wù)器S-3560-B(config)#ipdhcppoolvlan10//設(shè)置vlan10地址池S-3560-B(dhcp-config)#network//設(shè)置可分配的子網(wǎng)S-3560-B(dhcp-config)#default-router//設(shè)置默認網(wǎng)關(guān)S-3560-B(dhcp-config)#exitS-3560-B(config)#ipdhcppoolvlan20//設(shè)置vlan20地址池S-3560-B(dhcp-config)#networkS-3560-B(dhcp-config)#default-routerS-3560-B(dhcp-config)#exitS-3560-B(config)#ipdhcppoolvlan30S-3560-B(dhcp-config)#networkS-3560-B(dhcp-config)#default-routerS-3560-B(dhcp-config)#exitS-3560-B(config)#ipdhcppoolvlan40S-3560-B(dhcp-config)#networkS-3560-B(dhcp-config)#default-routerS-3560-B(dhcp-config)#exit設(shè)置保留不分配的地址S-3560-B(config)#ipdhcpexcluded-address0S-3560-B(config)#ipdhcpexcluded-address0S-3560-B(config)#ipdhcpexcluded-address0S-3560-B(config)#ipdhcpexcluded-address0S-3560-B(config)#exitS-3560-B#copyrunstart//保存設(shè)置配置客戶端自動獲取IP打開客戶端本地連接，修改Internet協(xié)議（TCP/IP）屬性，常規(guī)選項卡設(shè)置自動獲取IP地址、自動獲取DNS服務(wù)器地址。在CiscoPacketTracer模擬客戶端獲取IP地址情況如圖5-2所示。圖5-2DHCP客戶端自動獲取IP地址第五章Internet接入模塊Internet接入模塊Internet接入模塊的功能是通過Internet接入路由器R-2811-A來實現(xiàn)的。采用Cisco2811路由器的F0/0端口接入因特網(wǎng)，起作用就是在Internet與企業(yè)網(wǎng)內(nèi)部實現(xiàn)數(shù)據(jù)包的路由。除了完成基本的路由任務(wù)外，路由器還可以通過控制訪問列表實現(xiàn)以自身為中心的流量控制和數(shù)據(jù)包過濾功能，從而起到安全保護作用。Internet接入模塊如圖4-1所示。圖4-1Internet接入路由器示意圖路由器基本參數(shù)配置圖4-2路由器基本配置1、設(shè)置路由器名稱設(shè)置路由器的名稱，也就是出現(xiàn)在路由器CLI提示符中的名字,本設(shè)計中命名規(guī)則如下：類型-型號-編號。當需要telnet登錄到若干臺路由器上以維護一個大型網(wǎng)絡(luò)時，通過交換機名稱提示符提示自己當前路由器的位置是很重要的。以下命令將配置路由器名稱為R-2811-A。Router>enableRouter#configureterminalRouter(config)#hostnameR-2811-A//設(shè)置路由器名稱為R-2811-A2、設(shè)置路由器加密口令密碼當用戶在普通模式下進入特權(quán)模式時，需要提供此口令。此口令會已MD5的形式加密，因此當用戶查看配置文件時，無法看到明文形式的口令配置特權(quán)EXEC口令。R-2811-A(config)#enablesecretexec123//設(shè)置特權(quán)EXEC密碼為exec1233、設(shè)置telnet虛擬終端口令：R-2811-A(config)#linevty05R-2811-A(config-line)#passwordvty123//設(shè)置telnet虛擬終端密碼為vty123R-2811-A(config-line)#login4、設(shè)置控制臺端口密碼R-2811-A(config)#lineconsole0R-2811-A(config-line)#passwordconsole123//設(shè)置控制臺端口密碼console1235、設(shè)置輔助端口密碼R-2811-A(config)#lineaux0R-2811-A(config-line)#passwordaux123//設(shè)置輔助端口密碼為aux123設(shè)置路由器R-2811-A各接口參數(shù)對接入路由器R-2811-A的各接口參數(shù)的配置主要是對接口F0/0以及接口F0/1的IP地址、子網(wǎng)掩碼的配置。如下所示：其中，F(xiàn)0/0的IP地址是ISP提供的。圖4-3路由器接口配置路由器F0/0接口配置R-2811-A(config)#intf0/0R-2811-A(config-if)#ipadd//為F0/0端口設(shè)置IP地址和子網(wǎng)掩碼R-2811-A(config-if)#noshutdown//啟動路由接口路由器F0/1接口配置R-2811-A(config)#intf0/1R-2811-A(config-if)#ipadd//為F0/1端口設(shè)置IP地址和子網(wǎng)掩碼R-2811-A(config-if)#noshutdown//啟動接口驗證路由器接口IP配置采用showipinterfacebrief命令可以為每個接口顯示一條單行的描述，驗證路由器接口IP地址配置情況如圖4-4所示。圖4-4驗證路由器接口IP配置NAT設(shè)置由于目前IP地址資源非常稀缺，不可能為企業(yè)局域網(wǎng)的每一個工作站都分配一個公網(wǎng)IP地址，為了實現(xiàn)企業(yè)內(nèi)部所有計算機可以訪問外部Internet的需求，我們可以通過網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)實現(xiàn)，實現(xiàn)內(nèi)網(wǎng)對Internet的訪問以及外網(wǎng)對企業(yè)內(nèi)部web服務(wù)器訪問。關(guān)于路由器NAT配置如圖4-5所示。