湖南工程學(xué)院-網(wǎng)絡(luò)實訓(xùn)-中小型企業(yè)網(wǎng)的組建

精選優(yōu)質(zhì)文檔傾情為你奉上精選優(yōu)質(zhì)文檔傾情為你奉上專心專注專業(yè)專心專注專業(yè)精選優(yōu)質(zhì)文檔傾情為你奉上專心專注專業(yè)網(wǎng)絡(luò)實訓(xùn)報告課程名稱計算機(jī)網(wǎng)絡(luò)課題名稱中小型企業(yè)網(wǎng)的組建專業(yè)班級學(xué)號姓名指導(dǎo)教師2013年1月10日湖南工程學(xué)院網(wǎng)絡(luò)實訓(xùn)任務(wù)書課程名稱計算機(jī)網(wǎng)絡(luò)原理課題中小型企業(yè)網(wǎng)組建專業(yè)班級學(xué)生姓名學(xué)號指導(dǎo)老師審批任務(wù)書下達(dá)日期2012年12月20日任務(wù)完成日期2013年1月10日網(wǎng)絡(luò)實訓(xùn)任務(wù)書設(shè)計內(nèi)容與設(shè)計要求1.1設(shè)計內(nèi)容1.1.1中小型企業(yè)網(wǎng)的組建本設(shè)計模擬一家中小企業(yè)網(wǎng)絡(luò)的需求，通過對網(wǎng)絡(luò)架構(gòu)組建方案的設(shè)計、基于安全的網(wǎng)絡(luò)配置方案設(shè)計、服務(wù)器架設(shè)方案設(shè)計、企業(yè)網(wǎng)絡(luò)高級服務(wù)設(shè)計等方面的仿真研究，詳盡的探討了對該網(wǎng)絡(luò)進(jìn)行規(guī)劃設(shè)計時遇到的關(guān)鍵性問題，以及網(wǎng)絡(luò)相關(guān)的服務(wù)。該設(shè)計主要包括技術(shù)選擇及原理拓?fù)浣Y(jié)構(gòu)設(shè)計IP地址規(guī)劃方案設(shè)計及設(shè)備配置服務(wù)器架設(shè)網(wǎng)絡(luò)安全設(shè)計設(shè)計實施與測試方案設(shè)計實施與測試方案針對中小企業(yè)網(wǎng)絡(luò)拓?fù)溥M(jìn)行設(shè)計和分析，通過CiscoPacketTracer軟件進(jìn)行網(wǎng)絡(luò)仿真配置和安全設(shè)計，給出網(wǎng)絡(luò)規(guī)劃設(shè)計解決方案。1.2設(shè)計要求1.2.1網(wǎng)絡(luò)實訓(xùn)報告規(guī)范實訓(xùn)報告內(nèi)容=1\*GB3①需求分析：從功能需求，性能需求，運(yùn)行環(huán)境需求，可靠性需求，安全需求等方面進(jìn)行分析。=2\*GB3②網(wǎng)絡(luò)規(guī)劃包括網(wǎng)絡(luò)結(jié)構(gòu)分析，網(wǎng)絡(luò)架構(gòu)設(shè)計，網(wǎng)絡(luò)設(shè)備選用，IP地址規(guī)劃，安全規(guī)劃，網(wǎng)絡(luò)拓?fù)鋱D等。=3\*GB3③網(wǎng)絡(luò)實施包括配置的思路，設(shè)計的原理及應(yīng)用，具體的網(wǎng)絡(luò)配置命令等。=4\*GB3④調(diào)試分析包括測試目標(biāo)，測試數(shù)據(jù)，測試過程，測試結(jié)果等。=5\*GB3⑤心得體會=6\*GB3⑥參考文獻(xiàn)=7\*GB3⑦評分表=8\*GB3⑧附件包括所有的配置命令（2）書寫格式=1\*GB3①課程設(shè)計報告裝訂順序：封面、任務(wù)書、目錄、正文、評分、附件（A4大小的圖紙及程序清單）。=2\*GB3②正文的格式:一級標(biāo)題用3號黑體,二級標(biāo)題用四號宋體加粗,三級標(biāo)題用小四號宋體加粗，正文用小四號宋體;行距為22。=3\*GB3③正文總字?jǐn)?shù)要求在5000字以上（不含配置命令）。1.2.2考核方式指導(dǎo)老師負(fù)責(zé)驗收程序的運(yùn)行結(jié)果，并結(jié)合學(xué)生的工作態(tài)度、實際動手能力、創(chuàng)新精神和設(shè)計報告等進(jìn)行綜合考評，并按優(yōu)秀、良好、中等、及格和不及格五個等級給出每位同學(xué)的課程設(shè)計成績。具體考核標(biāo)準(zhǔn)包含以下幾個部分：（1）平時出勤（占10%）（2）原理闡述，拓?fù)浣Y(jié)構(gòu)，交換設(shè)備配置合理與否（占10%）（3）實驗結(jié)果是否正確（占40%）（4）設(shè)計報告（占30%）注意：不得抄襲他人的報告（或給他人抄襲），一旦發(fā)現(xiàn)，成績?yōu)榱惴?。?）獨立完成情況（占10%）。1.2.3課程驗收要求（1）運(yùn)行所設(shè)計的系統(tǒng)。（2）回答有關(guān)問題。（3）提交課程設(shè)計報告。進(jìn)度安排第18周：星期一8：00——12：00上機(jī)第18周：星期四14：00——18：00上機(jī)第19周：星期一8：00——12：00上機(jī)目錄TOC\o"1-3"\h\u網(wǎng)絡(luò)實訓(xùn)報告1.需求分析1.1項目背景該企業(yè)是一家生產(chǎn)研發(fā)型企業(yè)，主樓是一座三層辦公大樓。整個辦公樓有信息點大概100個，企業(yè)中心機(jī)房設(shè)在辦公大樓三樓中間。1.2需求分析1.2.1帶寬性能需求現(xiàn)代企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強(qiáng)大的性能，以滿足用戶日益增長的通信需求。隨著計算機(jī)技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個多業(yè)務(wù)承載平臺。不僅要繼續(xù)承載企業(yè)的辦公自動化，Web瀏覽等簡單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及企業(yè)生產(chǎn)運(yùn)營的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)。因此，數(shù)據(jù)流量將大大增加。所以，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)不能再用百兆位到桌面千兆位骨干來作為建網(wǎng)的標(biāo)準(zhǔn)，核心層及骨干層必須具有萬兆位級帶寬和處理性能，適應(yīng)網(wǎng)絡(luò)規(guī)模擴(kuò)大，業(yè)務(wù)量日益增長的需要。1.2.2穩(wěn)定可靠需求現(xiàn)代企業(yè)的網(wǎng)絡(luò)應(yīng)具有更全面的可靠性設(shè)計，以實現(xiàn)網(wǎng)絡(luò)通信的實時暢通，保障企業(yè)生產(chǎn)運(yùn)營的正常進(jìn)行。隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計算機(jī)網(wǎng)絡(luò)上來，網(wǎng)絡(luò)通信的無中斷運(yùn)行已經(jīng)成為保證企業(yè)正常生產(chǎn)運(yùn)營的關(guān)鍵。1.2.3服務(wù)質(zhì)量需求現(xiàn)代企業(yè)網(wǎng)絡(luò)需要提供完善的端到端QoS保障，以滿足企業(yè)網(wǎng)多業(yè)務(wù)承載的需求。大型企業(yè)網(wǎng)絡(luò)承載的業(yè)務(wù)不斷增多，單純的提高帶寬并不能夠有效地保障數(shù)據(jù)交換的暢通無阻，所以今天的大型企業(yè)網(wǎng)絡(luò)建設(shè)必須要考慮到網(wǎng)絡(luò)應(yīng)能夠智能識別應(yīng)用事件的緊急和重要程度。同時能夠調(diào)度網(wǎng)絡(luò)中的資源，保證重要和緊急業(yè)務(wù)的帶寬、時延、優(yōu)先級和無阻塞的傳送，實現(xiàn)對業(yè)務(wù)的合理調(diào)度才是一個大型企業(yè)網(wǎng)絡(luò)提供"高品質(zhì)"服務(wù)的保障。1.2.4網(wǎng)絡(luò)安全需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟(jì)損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施主要是通過部署防火墻、IDS、殺毒軟件，以及配合交換機(jī)或路由器的ACL來實現(xiàn)對病毒和黑客攻擊的防御，但實踐證明這些被動的防御措施并不能有效地解決企業(yè)網(wǎng)絡(luò)的安全問題。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運(yùn)營的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入控制，病毒報文識別到主動抑制的一系列安全控制手段，這樣才能有效地保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。2.網(wǎng)絡(luò)規(guī)劃2.1所需設(shè)備及線纜本課設(shè)用packettracer模擬器進(jìn)行試驗，所用設(shè)備及線纜如下：路由器（2臺）三層交換機(jī)（8臺）二層交換機(jī)（10臺）服務(wù)器（7臺）主機(jī)（11臺）串口線（1根）直連雙絞線（12根）交叉雙絞線（41根）2.2網(wǎng)絡(luò)拓?fù)鋱D本企業(yè)網(wǎng)共分三層：核心層兩臺三層交換機(jī)匯聚層6臺三層交換機(jī)接入層十臺交換機(jī)另外，內(nèi)網(wǎng)通過一臺路由器連接到外網(wǎng)ISP路由器。且ISP連接到外網(wǎng)WEB服務(wù)器。企業(yè)網(wǎng)內(nèi)部有六臺服務(wù)器。圖2.1企業(yè)網(wǎng)拓?fù)鋱D核心層與匯聚層拓?fù)鋱D如圖2.2所示：圖2.2核心層-匯聚層拓?fù)鋱D匯聚層與接入層拓?fù)鋱D如圖2.3所示：圖2.3匯聚層-接入層拓?fù)鋱D2.3IP地址規(guī)劃方案企業(yè)公網(wǎng)地址為/30內(nèi)部局域網(wǎng)地址為/202.3.1VLAN規(guī)劃為使部門間更方便管理，以及為企業(yè)網(wǎng)的安全性考慮，將本網(wǎng)絡(luò)劃分為10個VLAN，具體劃分情況如表2.1所示：表2.1VLAN劃分部門VLAN地址范圍（/24）默認(rèn)網(wǎng)關(guān)管理1技術(shù)部2研發(fā)部3財務(wù)部4行政部5總經(jīng)辦6副總經(jīng)辦7服務(wù)器群8業(yè)務(wù)部9客戶102.3.2服務(wù)器地址為方便對服務(wù)器進(jìn)行訪問、管理，將整個服務(wù)器群劃分到VLAN8，并配置地址如表2.2所示：表2.2服務(wù)器地址服務(wù)器名稱IP地址VLAN網(wǎng)關(guān)備注DNS08域名解析EMAIL08郵件TFTP08簡單文件HTTP08WWWFTP08文件傳輸AAA08AAA認(rèn)證2.3.3設(shè)備接口配置各設(shè)備及終端相連接口總表如表2.3、表2.4、表2.5所示：表2.3核心層設(shè)備接口配置核心層接口名稱IP/mask備注CORE1f0/24/24連接路由器f0/0CORE2F0/24/24連接路由器f0/1路由器f0/0/24連接CORE1f0/24路由器f0/1/24連接CORE2f0/24路由器s1/0/30連接ISP表2.4匯聚層設(shè)備接口配置匯聚層設(shè)備名稱端口號用途類型DSW1FastEthernet0/1連接COER1TrunkDSW1FastEthernet0/2連接COER2TrunkDSW1FastEthernet0/3連接ASW1TrunkDSW1FastEthernet0/4連接ASW2TrunkDSW1FastEthernet0/5連接ASW3TrunkDSW1FastEthernet0/6連接ASW4TrunkDSW1FastEthernet0/7連接ASW5TrunkDSW1FastEthernet0/8連接ASW6TrunkDSW2FastEthernet0/1連接COER1TrunkDSW2FastEthernet0/2連接COER2TrunkDSW2FastEthernet0/3連接ASW1TrunkDSW2FastEthernet0/4連接ASW2TrunkDSW2FastEthernet0/5連接ASW3TrunkDSW2FastEthernet0/6連接ASW4TrunkDSW2FastEthernet0/7連接ASW5TrunkDSW2FastEthernet0/8連接ASW6TrunkDSW3FastEthernet0/1連接COER1TrunkDSW3FastEthernet0/2連接COER2TrunkDSW3FastEthernet0/3連接G2ASW1TrunkDSW3FastEthernet0/4連接G2ASW2TrunkDSW3FastEthernet0/5連接G2ASW3TrunkDSW3FastEthernet0/6連接G2ASW4TrunkDSW4FastEthernet0/1連接COER1TrunkDSW4FastEthernet0/2連接COER2TrunkDSW4FastEthernet0/3連接G2ASW1TrunkDSW4FastEthernet0/4連接G2ASW2TrunkDSW4FastEthernet0/5連接G2ASW3TrunkDSW4FastEthernet0/6連接G2ASW4TrunkDSW5FastEthernet0/1連接COER1TrunkDSW5FastEthernet0/2連接COER2TrunkDSW5FastEthernet0/3連接DNSAccessDSW5FastEthernet0/4連接EMAILAccessDSW5FastEthernet0/5連接TFTPAccessDSW6FastEthernet0/1連接COER1TrunkDSW6FastEthernet0/2連接COER2TrunkDSW6FastEthernet0/3連接HTTPAccessDSW6FastEthernet0/4連接FTPAccessDSW6FastEthernet0/5連接AAAAccess表2.5接入層設(shè)備接口配置接入層設(shè)備名稱端口號VLAN用途類型MGRF0/1-F0/101主機(jī)接入AccessMGRF0/11-202主機(jī)接入AccessMGRF0/21—連接DSW1TrunkMGRF0/22—連接DSW2TrunkASW1F0/1-F0/203主機(jī)接入AccessASW1F0/21—連接DSW1TrunkASW1F0/22—連接DSW2TrunkASW2F0/1-F0/204主機(jī)接入AccessASW2F0/21—連接DSW1TrunkASW2F0/22—連接DSW2TrunkASW3F0/1-F0/205主機(jī)接入AccessASW3F0/21—連接DSW1TrunkASW3F0/22—連接DSW2TrunkASW4F0/1-F0/206主機(jī)接入AccessASW4F0/21—連接DSW1TrunkASW4F0/22—連接DSW2TrunkASW5F0/1-F0/207主機(jī)接入AccessASW5F0/21—連接DSW1TrunkASW5F0/22—連接DSW2TrunkG2ASW1F0/1-F0/209主機(jī)接入AccessG2ASW1F0/21—連接DSW3TrunkG2ASW1F0/22—連接DSW3TrunkG2ASW2F0/1-F0/209主機(jī)接入AccessG2ASW2F0/21—連接DSW3TrunkG2ASW2F0/22—連接DSW3TrunkG2ASW3F0/1-F0/2010主機(jī)或AP接入AccessG2ASW3F0/21—連接DSW3TrunkG2ASW3F0/22—連接DSW3TrunkG2ASW4F0/1-F0/2010主機(jī)或AP接入AccessG2ASW4F0/21—連接DSW3TrunkG2ASW4F0/22—連接DSW3Trunk2.4主要技術(shù)及其工作原理以太網(wǎng)（Ethernet）是一種計算機(jī)局域網(wǎng)組網(wǎng)技術(shù)。IEEE制定的IEEE802.3標(biāo)準(zhǔn)給出了以太網(wǎng)的技術(shù)標(biāo)準(zhǔn)。它規(guī)定了包括物理層的連線、電信號和介質(zhì)訪問層協(xié)議的內(nèi)容。以太網(wǎng)是當(dāng)前應(yīng)用最普遍的局域網(wǎng)技術(shù)。它很大程度上取代了其他局域網(wǎng)標(biāo)準(zhǔn)，如令牌環(huán)網(wǎng)（tokenring）、FDDI和ARCNET。以太網(wǎng)的標(biāo)準(zhǔn)拓?fù)浣Y(jié)構(gòu)為總線型拓?fù)?，但目前的快速以太網(wǎng)（100BASE-T、1000BASE-T標(biāo)準(zhǔn)）為了最大程度的減少沖突，最大程度的提高網(wǎng)絡(luò)速度和使用效率，使用交換機(jī)（Switchhub）來進(jìn)行網(wǎng)絡(luò)連接和組織，這樣，以太網(wǎng)的拓?fù)浣Y(jié)構(gòu)就成了星型，但在邏輯上，以太網(wǎng)仍然使用總線型拓?fù)浜虲SMA/CD（CarrierSenseMultipleAccess/CollisionDetect即帶沖突檢測的載波監(jiān)聽多路訪問）的總線爭用技術(shù)。為實現(xiàn)交換機(jī)以太網(wǎng)路的廣播隔離，一種理想的解決方案就是采用虛擬局域網(wǎng)技術(shù)。這種對連接到第2層交換機(jī)端口的網(wǎng)絡(luò)使用者的邏輯分段技術(shù)實現(xiàn)非常靈活，它可以不受使用者物理位置限制，根據(jù)使用者需求進(jìn)行VLAN劃分；可在一個交換機(jī)上實現(xiàn)，也可跨交換機(jī)實現(xiàn)；可以根據(jù)網(wǎng)絡(luò)使用者的位置、作用、部門或根據(jù)使用的應(yīng)用程序、上層協(xié)議或者以太網(wǎng)路連接硬件地址來進(jìn)行劃分。某些的主機(jī)不需要靜態(tài)的IP，因為其并非永久的使用該地址，當(dāng)主機(jī)離開網(wǎng)絡(luò)，就得釋放這個IP地址，以給其它工作站使用，動態(tài)分配顯然更加靈活。DHCP服務(wù)器工作原理如圖2.4所示：圖2.4DHCP原理在計算機(jī)網(wǎng)絡(luò)中，網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation或簡稱NAT，也叫做網(wǎng)絡(luò)掩蔽或者IP掩蔽）是一種在IP數(shù)據(jù)包通過路由器或防火墻時重寫源IP地址或/和目的IP地址的技術(shù)。這種技術(shù)被普遍使用在有多臺主機(jī)但只通過一個公有IP地址訪問因特網(wǎng)的私有網(wǎng)絡(luò)中。NAT技術(shù)工作原理如圖2.5所示：圖2.5NAT原理內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達(dá)到對訪問進(jìn)行控制的目的。簡而言之，ACL可以過濾網(wǎng)絡(luò)中的流量，控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。ACL技術(shù)工作原理如圖2.6所示：圖2.6ACL原理鏈路聚合如果聚合的每個鏈路都遵循不同的物理,則聚合鏈路也提供和容錯。通過聚合鏈路或者數(shù)字線路,可用于改善對公共網(wǎng)絡(luò)的訪問。也可用于企業(yè)網(wǎng)絡(luò),以便在吉比特之間構(gòu)建比特的主干鏈路。鏈路聚合工作原理如圖2.7所示：圖2.7鏈路聚合原理TELNET是指用戶使用Telnet命令，使自己的計算機(jī)暫時成為遠(yuǎn)程的一個仿真的過程。仿真等效于一個非智能的機(jī)器，它只負(fù)責(zé)把用戶輸入的每個字符傳遞給，再將主機(jī)輸出的每個信息在上。Telnet工作原理如圖2.8所示：圖2.8telnet原理2.5網(wǎng)絡(luò)安全規(guī)劃設(shè)計安全不僅是單一PC的問題，也不僅是服務(wù)器或路由器的問題，而是整體網(wǎng)絡(luò)系統(tǒng)的問題。所以網(wǎng)絡(luò)安全要考慮整個網(wǎng)絡(luò)系統(tǒng)，因此必須結(jié)合網(wǎng)絡(luò)系統(tǒng)來制定合適的網(wǎng)絡(luò)安全策略。網(wǎng)絡(luò)安全涉及到的問題非常多，如防病毒、防入侵破壞、防信息盜竊、用戶身份驗證等，這些都不是由單一產(chǎn)品來完成，也不可能由單一產(chǎn)品來完成，因此網(wǎng)絡(luò)安全也必須從整體策略來考慮。網(wǎng)絡(luò)安全防護(hù)體系必須是一個動態(tài)的防護(hù)體系，需要不斷監(jiān)測與更新，只有這樣才能保障網(wǎng)絡(luò)安全。調(diào)查顯示，有超過70%的安全問題來自企業(yè)的內(nèi)部，如何對員工進(jìn)行網(wǎng)絡(luò)安全教育，如何讓員工參與網(wǎng)絡(luò)安全建設(shè)，是網(wǎng)絡(luò)安全要解決的核心問題之一。企業(yè)對信息系統(tǒng)的依賴性越來越強(qiáng)，電子商務(wù)公司沒有網(wǎng)絡(luò)是無法生存的，金融與電信等行業(yè)由于網(wǎng)絡(luò)出問題所造成的損失是無法估量的。因此，安全是企業(yè)核心業(yè)務(wù)的保護(hù)神。2.5.1建立企業(yè)網(wǎng)絡(luò)安全從安全角度看，企業(yè)接入Internet網(wǎng)絡(luò)前的檢測與評估是保障網(wǎng)絡(luò)安全的重要措施。但大多數(shù)企業(yè)沒有這樣做，就把企業(yè)接入了Internet?；诖饲闆r，企業(yè)應(yīng)從以下幾個方面對網(wǎng)絡(luò)安全進(jìn)行檢測與評估。網(wǎng)絡(luò)設(shè)備重點檢測與評估連接不同網(wǎng)段的設(shè)備和連接廣域網(wǎng)(WAN)的設(shè)備，如Switch、網(wǎng)橋和路由器等。這些網(wǎng)絡(luò)設(shè)備都有一些基本的安全功能，如密碼設(shè)置、存取控制列表、VLAN等，首先應(yīng)充分利用這些設(shè)備的功能。數(shù)據(jù)庫及應(yīng)用軟件數(shù)據(jù)庫在信息系統(tǒng)中的應(yīng)用越來越廣泛，其重要性也越來越強(qiáng)，銀行用戶賬號信息、網(wǎng)站的登記用戶信息、企業(yè)財務(wù)信息、企業(yè)庫存及銷售信息等都存在各種數(shù)據(jù)庫中。數(shù)據(jù)庫也具有許多安全特性，如用戶的權(quán)限設(shè)置、數(shù)據(jù)表的安全性、備份特性等，利用好這些特性也是同網(wǎng)絡(luò)安全系統(tǒng)很好配合的關(guān)鍵。E-mail系統(tǒng)E-mail系統(tǒng)比數(shù)據(jù)庫應(yīng)用還要廣泛，而網(wǎng)絡(luò)中的絕大部分病毒是由E-mail帶來的，因此，其檢測與評估也變得十分重要。Web站點許多WebServer軟件(如IIS等)有許多安全漏洞，相應(yīng)的產(chǎn)品供應(yīng)商也在不斷解決這些問題。通過檢測與評估，進(jìn)行合理的設(shè)置與安全補(bǔ)丁程序，可以把不安全危險盡量降低。2.5.2建立安全體系結(jié)構(gòu)物理安全物理安全是指在物理介質(zhì)層次上對存儲和傳輸?shù)木W(wǎng)絡(luò)信息進(jìn)行安全保護(hù)，是網(wǎng)絡(luò)信息安全的基本保障。建立物理安全體系結(jié)構(gòu)應(yīng)從3個方面考慮:一是自然災(zāi)害（地震、火災(zāi)、洪水）、物理損壞（硬盤損壞、設(shè)備使用到期、外力損壞）和設(shè)備故障（停電斷電、電磁干擾）；二是電磁輻射、乘機(jī)而入、痕跡泄漏等；三是操作失誤（格式硬盤、線路拆除）、意外疏漏等。操作系統(tǒng)安全網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)信息系統(tǒng)的核心，其安全性占據(jù)十分重要的地位。根據(jù)美國的“可信計算機(jī)系統(tǒng)評估準(zhǔn)則”，把計算機(jī)系統(tǒng)的安全性從高到低分為4個等級：A、B、C、D。DOS、Windows3.x/95、MacOS7.1等屬于D級，即最不安全的。WindowsNT/2000/XP、Unix、Netware等則屬于C2級，一些專用的操作系統(tǒng)可能會達(dá)到B級。C2級操作系統(tǒng)已經(jīng)有了許多安全特性，但必須對其進(jìn)行合理的設(shè)置和管理，才能使其發(fā)揮作用。如在WindowsNT下設(shè)置共享權(quán)限時，缺省設(shè)置是所有用戶都是“FullControl”權(quán)限，必須對其進(jìn)行更改。2.5.3使用ACL封堵常見病毒端口大多數(shù)病毒都是通過TCP的135(MicrosoftRPC)，136-139(NetBIOS),445（MicrosoftDS），1068,555，9996,2046，4444,1434，UDP的135，136,137,138,139,445,5554,9996,2046,4444,1434利用Extendedaccess-list禁用某些病毒的傳播端口，并將IP訪問列表應(yīng)用到相應(yīng)的VLAN和端口。ExtendedACL配置(以135端口為例)access-list102denytcpanyanyeq135將ACL應(yīng)用到各VLAN，配置命令如下interfacerangevlan1-10ipaccess-group102inipaccess-group102outexit配置命令后在路由器上使用showaccess-list查看ACL的配置。3.網(wǎng)絡(luò)實施3.1主要設(shè)備配置3.1.1Router主要配置F0/0和F0/1配置為ipnatinsideintf0/0-1IpnatinsideS1/0配置為ipnatoutsideints1/0Ipnatoutside創(chuàng)建一個地址池，/248,使內(nèi)網(wǎng)通過地址轉(zhuǎn)換上公網(wǎng)Ipnatpooltestnetmask48Ipnatinsidesourcelist1pooltestoverload內(nèi)網(wǎng)web服務(wù)器私網(wǎng)地址0映射為公網(wǎng)地址Ipnatinsidesourcestatic0配置默認(rèn)路由，下一跳為ISP的s1/0接口Iprouteserial1/0配置到內(nèi)網(wǎng)的靜態(tài)路由，下一跳為Iproute配置到外網(wǎng)web服務(wù)器的靜態(tài)路由，下一跳為Iproute允許總經(jīng)辦和副總經(jīng)辦訪問外網(wǎng)，禁止其他內(nèi)網(wǎng)主機(jī)訪問外網(wǎng)Access-list1permithostAccess-list1permithostAccess-list1denyany配置遠(yuǎn)程登錄此設(shè)備密碼為ciscoLinevty04PasswordciscoLogin3.1.2CORE主要配置開啟三層路由功能iproutingIproutingF0/22和F0/23做鏈路聚合Intf0/22-23Switchporttrunkencapsulationdot1qSwitchportmodetrunkChannel-group1modeonF0/1-F0/6配置接口類型為trunk，用dot1q封裝，并允許所有VLAN通過Intf0/1-6Swtchporttrunkencapsulationdot1qSwitchportmodetrunk配置DHCP服務(wù)器，給VLAN10的客戶提供動態(tài)IP地址，地址池為，并排除。設(shè)網(wǎng)關(guān)為，DNS為0ipdhcppoolclientnetworkdefault-routerdns-server0創(chuàng)建VLAN1-VLAN10，分別給它們分配地址為-。這十個地址作為每個VLAN的網(wǎng)關(guān)。IntVLAN1IpaddIntVLAN2IpaddIntVLAN3Ipadd...IntVLAN10Ipadd3.1.3DSW主要配置所有連接核心交換機(jī)與接入層交換機(jī)或服務(wù)器的接口均配置為trunk，用dot1q封裝，并允許VLAN1、VLAN8和各自對應(yīng)的VLAN通過Switchporttrunkencapsulationdot1qSwitchportmodetrunkSwitchporttrunkallowedvlan1,2,3,4,5,6,7,83.1.4ASW主要配置F0/1-F0/20配置為access端口，與交換機(jī)連接的端口配置為trunk端口，用dot1q封裝，并允許VLAN1、VLAN8和各自所在VLAN通過IntF0/1-20SwitchportmodeaccessIntf0/21-22Switchporttrunkencapsulationdot1qSwitchportmodetrunkSwitvhporttrunkallowedvlan1,2,3,4,5,6,7,8VLAN1作為管理VLAN，每臺設(shè)備都給VLAN1配置一個ip地址3.2服務(wù)器配置配置一個ARecord命名為，其指向的是Email服務(wù)器的IP地址（0）。然后配置POP與SMTP（SimpleMailTransferProtocol）服務(wù)器的別名CNAME，指向。接下來配置一個類型為ARecord的記錄，并命名為指向HTTP服務(wù)器，IP地址為0。3.2.1Email服務(wù)器配置郵件的收發(fā)對每個企業(yè)都是不可少的一部分，搭建郵件服務(wù)器對企業(yè)的正常運(yùn)轉(zhuǎn)也有著重大的聯(lián)系，下面進(jìn)行郵件服務(wù)器的搭建。首先在郵件服務(wù)器上記錄用戶信息，其用戶信息如下表3.1Email上的用戶記錄UsernamePasswordyongyaqianyongyaqianzhushuaizhushuaiwuliwenwuliwenEmail服務(wù)器的域名配置為其中創(chuàng)建了幾個用戶，用于測試服務(wù)器是否正常工作。下面對PC1與PC2進(jìn)行配置，PC2的配置信息與PC1基本相同，其配置信息如下圖3.1PC郵件服務(wù)配置信息下面測試從PC1發(fā)郵件到PC2，然后從PC2上檢測郵件的收發(fā)圖3.2發(fā)送郵件點擊send按鈕后在PC2上檢測是否能收到由PC1發(fā)出的郵件。下面是PC2上的收件箱視圖圖3.3PC2收件箱如上輸出所示PC2成功接收。這也意味著DNS上郵件服務(wù)器的配置沒有出錯。3.2.2FTP服務(wù)器配置首先在FTP服務(wù)器上配置如下用戶，配置圖如下3.4FTP服務(wù)器配置在FTP上有一個默認(rèn)用戶，其用戶名和密碼都為cisco，然后自行配置了一個用戶名為user1，密碼為user1，的用戶，另外RWDNL表明該用戶具有Read，Write，Delete，Rename，list權(quán)限在PC上輸入命令ftp0連接到服務(wù)器，并使用文件傳輸服務(wù)。在服務(wù)器上取出一個名稱為tt.bin的文件，然后查看拓?fù)浣Y(jié)構(gòu)上的節(jié)點發(fā)生的變化。圖3.5FTP服務(wù)器測試PC1與FTP服務(wù)器正在進(jìn)行文件傳輸，被標(biāo)記的深綠色的點代表該節(jié)點者處于繁忙狀態(tài)，表明文件正在傳輸。3.2.3TFTP服務(wù)器配置路由器上的配置文件通常需要備份，此時就需要用到TFTP服務(wù)器，下面將路由器的運(yùn)行配置文件保存到服務(wù)器圖上。在路由器上輸入命令copyrunning-configtftp0，并將文件名保存為routerrun然后在TFTP服務(wù)器上查看文件是否被保存了。3.6TFTP服務(wù)器測試如上圖所示路由器的runningconfig成功上傳到TFTP服務(wù)器上，其名稱為routerrun。3.2.4HTTP服務(wù)器為了驗證在HTTP服務(wù)器是否正常工作，在HTTP上編寫一小段代碼如下<html><center><fontsize='+2'color='blue'></font></center><hr>Welcometo.ThissmallnetworkinfrastructureiseditbyYONGYAQIANcisco<p>QuickLinks:<br><ahref='helloworld.html'>Asmallpage</a><br><ahref='copyrights.html'>Copyrights</a><br><ahref='image.html'>Imagepage</a><br><ahref='image.jpg'>Image</a></html>接下來在任意一臺計算機(jī)上輸入輸出結(jié)果如下3.7HTTP服務(wù)器測試如上圖HTTP服務(wù)器正常工作。最后，考慮到將來企業(yè)的擴(kuò)展，需要用到VPN服務(wù)，搭建AAA對未來企業(yè)發(fā)展起重要作用，AAA服務(wù)器目前用于路由器的telnet訪問控制。這里只對服務(wù)器進(jìn)行了簡單的配置，和確保服務(wù)器的正常工作，具體配置還不太熟悉。網(wǎng)絡(luò)測試4.1實驗預(yù)測實現(xiàn)整個網(wǎng)絡(luò)互通。配置ACL策略后，內(nèi)網(wǎng)VLAN間不能互訪：除總經(jīng)辦外都不能訪問外網(wǎng)：除客戶外都能訪問內(nèi)部服務(wù)器。配置NAT，使得內(nèi)網(wǎng)訪問外網(wǎng)用公網(wǎng)地址，外網(wǎng)訪問公司主頁只能看到公網(wǎng)地址。配置DHCP服務(wù)器，客戶通過DHCP服務(wù)器動態(tài)獲取IP地址，其他部門均用靜態(tài)IP地址。核心層交換機(jī)之間配置鏈路聚合，實現(xiàn)鏈路的冗余。用戶可telnet遠(yuǎn)程登錄到設(shè)備上進(jìn)行配置。訪問企業(yè)網(wǎng)站均可通過DNS服務(wù)器進(jìn)行域名解析，直接用訪問。啟用RSTP協(xié)議，減輕鏈路了負(fù)擔(dān)。4.2調(diào)試分析網(wǎng)絡(luò)初步建成時，整個網(wǎng)絡(luò)都能正常通信。內(nèi)網(wǎng)主機(jī)可通過域名解析訪問內(nèi)網(wǎng)服務(wù)器圖4.1內(nèi)網(wǎng)主機(jī)訪問內(nèi)網(wǎng)WEB服務(wù)器內(nèi)網(wǎng)VLAN間可互通圖4.2內(nèi)網(wǎng)VLAN間互訪內(nèi)網(wǎng)可正常訪問外網(wǎng)WEB服務(wù)器圖4.3內(nèi)網(wǎng)主機(jī)訪問外網(wǎng)WEB服務(wù)器經(jīng)過靜態(tài)地址配置，NAT配置和ACL策略等的配置后內(nèi)網(wǎng)主機(jī)不能訪問外網(wǎng)WEB地址，VLAN1-VLAN8的主機(jī)配置靜態(tài)地址，VLAN10自動獲取ip地址，外網(wǎng)只能通過公網(wǎng)地址訪問企業(yè)內(nèi)部服務(wù)器。做策略后，內(nèi)網(wǎng)主機(jī)不能訪問外網(wǎng)圖4.4內(nèi)網(wǎng)主機(jī)不能訪問外網(wǎng)WEB服務(wù)器VLAN10客戶動態(tài)獲取ip地址圖4.5VLAN10客戶動態(tài)獲取ip地址外網(wǎng)只能通過公網(wǎng)地址或域名訪問企業(yè)內(nèi)部WEB服務(wù)器圖4.6外網(wǎng)主機(jī)通過域名訪問內(nèi)網(wǎng)WEB服務(wù)器用戶可通過telnet登錄到設(shè)備商對設(shè)備進(jìn)行配置圖4.7用戶通過telnet遠(yuǎn)程登錄到設(shè)備上對設(shè)備進(jìn)行配置4.3結(jié)果分析剛開始不知道如何組建企業(yè)網(wǎng)，在參考了很多個模型后有了自己的構(gòu)想。搭建好局域網(wǎng)后網(wǎng)絡(luò)一直不通，后來發(fā)現(xiàn)是自己對VLAN的理解不夠透徹，對三層交換機(jī)的用法也不熟悉。由于網(wǎng)絡(luò)結(jié)構(gòu)有點繁雜，而很多地方都要重復(fù)同樣的工作，經(jīng)常會丟三落四。后來覺得應(yīng)該把自己的實驗過程寫下來，以免做的過程中又忘記了。5.心得體會本次設(shè)計雖然只能用模擬器實現(xiàn)，但我發(fā)現(xiàn)即使將書本上的學(xué)習(xí)得很透徹，在實際應(yīng)用中也會遇到不少的問題，例如經(jīng)常忘記將交換機(jī)與交換機(jī)的鏈路配置成trunk，因為CISCO的交換機(jī)默認(rèn)處于dynamicauto如果兩個都處于dynamicauto是不會談判（negotiate）成trunk的，因此VLAN的通信就會中斷。又例如經(jīng)常忘記創(chuàng)建交換機(jī)的非VLAN1的VLAN，如VLAN2沒有被創(chuàng)建，那么該交換機(jī)就不會進(jìn)行VLAN2的通信，或者VLAN2創(chuàng)建了，忘記把他的狀態(tài)配置成up/up模式，（沒有輸入noshutdown命令）。導(dǎo)致不能通信。最后我認(rèn)為作為一個網(wǎng)絡(luò)設(shè)計者，必須很細(xì)心，而且必須將所做的每一個步驟都記錄下來，以便以后檢測和排錯（troubleshooting）。我認(rèn)為只有邊進(jìn)行理論學(xué)習(xí)邊實踐才能真正學(xué)到知識的，光上課聽課，沒有親身體會到，是很難使知識常駐于腦海的，久了不用就會忘了。6.參考文獻(xiàn)[1]謝希仁．計算機(jī)網(wǎng)絡(luò)[M]．北京：電子工業(yè)出版社．2008.1[2]ToddLammle．CCNA學(xué)習(xí)指南[M]．北京：電子工業(yè)出版社．2008．2計算機(jī)與通信學(xué)院網(wǎng)絡(luò)實訓(xùn)評分表課題名稱：中小型企業(yè)網(wǎng)組建項目評價設(shè)計方案的合理性與創(chuàng)造性設(shè)計與調(diào)試結(jié)果設(shè)計說明書的質(zhì)量答辯陳述與回答問題情況課程設(shè)計周表現(xiàn)情況綜合成績教師簽名：日期：（注：1．此頁附在課程設(shè)計報告之后；2．綜合成績按優(yōu)、良、中、及格和不及格五級評定。）7.附錄CORE三層交換機(jī)配置：Currentconfiguration:2959byteshostnameCORE1enablesecret5$1$mERr$hx5rVt7rPNoS4wqbXKX7m0ipdhcpexcluded-addressipdhcppoolclientnetworkdefault-routerdns-server0iproutingnoipdomain-lookupspanning-treemoderapid-pvstspanning-treevlan1-10priority24576interfaceFastEthernet0/1-6switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/22switchporttrunkencapsulationdot1qinterfaceFastEthernet0/23channel-group1modeonswitchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/24noswitchportipaddressduplexautospeedautointerfacePort-channel1switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceVlan1ipaddressinterfaceVlan2ipaddressinterfaceVlan3ipaddressinterfaceVlan4ipaddressinterfaceVlan5ipaddressinterfaceVlan6ipaddressinterfaceVlan7ipaddressinterfaceVlan8ipaddressinterfaceVlan9ipaddressinterfaceVlan10ipaddressinterfaceVlan20noipaddressshutdownipclasslessiprouteaccess-list1permit55logging0linecon0linevty04passwordciscologinendDSW三層交換機(jī)配置：Currentconfiguration:2023bytesversion12.2noservicetimestampslogdatetimemsecnoservicetimestampsdebugdatetimemsecnoservicepassword-encryptionhostnameDSW3enablesecret5$1$mERr$hx5rVt7rPNoS4wqbXKX7m0noipdomain-lookupspanning-treemoderapid-pvstspanning-treeportfastdefaultinterfaceFastEthernet0/1-6switchporttrunkallowedvlan1,8,10switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceVlan1ipaddress0interfaceVlan9noipaddressinterfaceVlan10ipaddress0ipclasslessiprouteaccess-list10permit55logging0linecon0linevty04passwordciscologinendASW二層交換機(jī)配置：Currentconfiguration:2407byteshostnameG2-ASW4enablesecret5$1$mERr$hx5rVt7rPNoS4wqbXKX7m0usernameG2-ASW4privilege1password0ciscospanning-treemoderapid-pvstspanning-treeportfastdefaultinterfaceFastEthernet0/1-20switchportaccessvlan10switchportmodeaccessinterfaceFastEthernet0/21switchporttrunkallowedvlan1,8,10switchportmodetrunkinterfaceFastEthernet0/22switchporttrunkallowedvlan1,8,10switchportmodetrunkinterfaceVlan1ipaddress4interfaceVlan10noipaddressipdefault-gatewaylinecon0linevty04passwordciscologinendRouter配置：Currentconfiguration:1587byteshostnameRouterenablesecret5$1$mERr$hx5rVt7rPNoS4wqbXKX7m0usernameRouterpassword0ciscospanning-treemodepvstinterfaceFastEthernet0/0ipaddressipnatinsideduplexautospeedautointerfaceFastEthernet0/1ipaddressduplexautospeedautointerfaceEthernet0/2/0noipaddressduplexautospeedautoshutdowninterfaceFastEthernet0/3/0switchp