中小型企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計

**大學(xué)工學(xué)學(xué)士學(xué)位論文題目：中小型企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計學(xué)號：姓名：院(系：專業(yè)：完成日期：指導(dǎo)老師：288888888888820888888888888888信息8工程學(xué)院8888888888888888888888888888摘要迅速發(fā)展的Internet正在對全世界的信息產(chǎn)業(yè)帶來巨大的變革和深遠(yuǎn)的影響。市場的全球化競爭已成為趨勢。對于中小型企業(yè)來說，在調(diào)整發(fā)展戰(zhàn)略時，必須考慮到市場的全球競爭戰(zhàn)略，而這一切也將以信息化平臺為基礎(chǔ)，借助計算機(jī)網(wǎng)絡(luò)原理及網(wǎng)絡(luò)規(guī)劃技術(shù)，以網(wǎng)絡(luò)通暢為保證。企業(yè)內(nèi)部網(wǎng)（Intranet）是國際互連網(wǎng)（Internet）技術(shù)在企業(yè)內(nèi)部或封閉的用戶群內(nèi)的應(yīng)用。Intranet是使用Internet技術(shù),特別是TCP/IP協(xié)議而建成的企業(yè)內(nèi)部網(wǎng)絡(luò)。這種技術(shù)允許不同計算機(jī)平臺進(jìn)行互通,且不用考慮其位置。也就是所說的用戶可以對任何一臺進(jìn)行訪問或從任何一臺計算機(jī)進(jìn)行訪問。本文從企業(yè)網(wǎng)絡(luò)需求開始分析，根據(jù)現(xiàn)階段cisco公司主流網(wǎng)絡(luò)設(shè)備進(jìn)行選材,規(guī)劃最適用于目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),建設(shè)合理的網(wǎng)絡(luò)設(shè)計方案。并測試其結(jié)果最終驗證網(wǎng)絡(luò)的規(guī)劃與設(shè)計符合中小型企業(yè)的需求。本設(shè)計使用ciscoPacketTracer軟件進(jìn)行模擬真實的設(shè)備和運行環(huán)境，來測試方案是否正確和可行性。關(guān)鍵詞：企業(yè)網(wǎng)絡(luò)路由交換網(wǎng)絡(luò)設(shè)計模擬AbstractTherapiddevelopmentoftheInternetisallovertheworldinformationindustryofenormouschangeandfar-reachingconsequences.Marketcompetitionhasbecomethetrendofglobalization.Forlargeenterprises,inadjustingthedevelopmentstrategy,musttakeintoaccountthemarket'sglobalcompetitivenessstrategy,andallthisinformationplatformwillalsobebasedontheprincipleoftheuseofcomputernetworksandnetworkplanningtechnologytothenetworkinordertoensurepatency.IntranetisaninternationalInternettechnologyintheenterpriseorwithinaclosedusergroupapplications.IntranetistheuseofInternettechnologies,especiallyTCP/IPprotocolandthecompletionoftheenterpriseinternalnetwork.Thistechnologyallowsinteroperabilityofdifferentcomputerplatforms,anddonothavetoconsideritsposition.Thatiswhattheusercanvisitanyorfromanycomputeraccess.Fromthestartthewholeenterpriseclassnetworkneedsanalysis,basedonthemainstreamstagecisconetworkequipmentcompanyselection,withthegoaltobuildthemostsuitablenetworktopology,designedwithnetworktechnology.viewtheexperimentalresultstoverifythatthenetworkmeetsbusinessneeds.ThisdesignusingciscoPacketTracersoftwaretosimulaterealequipmentandoperationenvironment,totestwhethertheplanrightandfeasibility.Keywords:EnterpriseNetworkRoutingSwitchingNetworkDesignSimulation目錄摘要.....................................................................................................................................................IAbstract..................................................................................................................................................II第一章緒論....................................................................................................................................11.1研究背景..................................................................................................................................11.2目的與意義..............................................................................................................................1第二章關(guān)鍵網(wǎng)絡(luò)技術(shù)原理..................................................................................................................22.1路由技術(shù)..................................................................................................................................22.2交換技術(shù)..................................................................................................................................22.3遠(yuǎn)程訪問技術(shù)..........................................................................................................................32.4VLAN.......................................................................................................................................32.5ACL..........................................................................................................................................42.6NAT..........................................................................................................................................52.7DHCP.......................................................................................................................................52.8VPN..........................................................................................................................................52.9PVST........................................................................................................................................62.10DNS........................................................................................................................................62.11HSRP......................................................................................................................................7第三章用戶需求分析..........................................................................................................................83.1中小型企業(yè)需求分析..............................................................................................................83.2本網(wǎng)絡(luò)系統(tǒng)需求分析...........................................................................................................10第四章網(wǎng)絡(luò)設(shè)計................................................................................................................................114.1設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)...............................................................................................................114.2VLAN及IP地址規(guī)劃...........................................................................................................114.3設(shè)備命名................................................................................................................................124.4模擬工具和環(huán)境介紹——PacketTracer..............................................................................144.5設(shè)備配置...............................................................................................................................16第五章安全策略................................................................................................................................335.1安全分析...............................................................................................................................335.2安全技術(shù)...............................................................................................................................345.3安全策略設(shè)計.......................................................................................................................35第六章網(wǎng)絡(luò)效果驗證........................................................................................................................386.1關(guān)鍵三層設(shè)備路由表...........................................................................................................386.2聯(lián)通性測試...........................................................................................................................426.3ACL驗證...............................................................................................................................446.4DHCP/DNS服務(wù)...................................................................................................................46致謝..................................................................................................................................................47參考文獻(xiàn)..............................................................................................................................................48附錄..................................................................................................................................................49第一章緒論今天，迅速發(fā)展的Internet正在對全世界的信息產(chǎn)業(yè)帶來巨大的變革和深遠(yuǎn)的影響。市場的全球化競爭已成為趨勢。21世紀(jì)的中國正在向市場多元化、全球化的方向發(fā)展。對于大型企業(yè)來說，在調(diào)整發(fā)展戰(zhàn)略時，必須考慮到市場的全球競爭戰(zhàn)略，而這一切也將以信息化平臺為基礎(chǔ)，借助計算機(jī)網(wǎng)絡(luò)原理及網(wǎng)絡(luò)規(guī)劃技術(shù)，以網(wǎng)絡(luò)通暢為保證。國內(nèi)越來越多的企業(yè)也已經(jīng)或正在考慮使用Internet/Intranet技術(shù),以建設(shè)企業(yè)規(guī)劃化的信息處理系統(tǒng)。因為現(xiàn)代企業(yè)的信息大多都來自于互連網(wǎng)，通過網(wǎng)絡(luò)，企業(yè)可以更快速的接收到來自全球的市場信息；通過Internet與外部世界交換信息，企業(yè)規(guī)劃者可以更快地對企業(yè)作出正確的宏觀調(diào)控與決策，以適應(yīng)市場趨勢。企業(yè)與全世界聯(lián)系起來,極大地提高了信息收集的能力和效率。企業(yè)內(nèi)部網(wǎng)（Intranet）是國際互連網(wǎng)（Internet）技術(shù)在企業(yè)內(nèi)部或封閉的用戶群內(nèi)的應(yīng)用。簡單地說,Intranet是使用Internet技術(shù),特別是TCP/IP協(xié)議而建成的企業(yè)內(nèi)部網(wǎng)絡(luò)。這種技術(shù)允許不同計算機(jī)平臺進(jìn)行互通,且不用考慮其位置。也就是所說的用戶可以對任何一臺進(jìn)行訪問或從任何一臺計算機(jī)進(jìn)行訪問[1]?；谶@種種的現(xiàn)實問題，企業(yè)必須從企業(yè)局域網(wǎng)的概念及相關(guān)計算機(jī)網(wǎng)絡(luò)技術(shù)入手，詳細(xì)地設(shè)計企業(yè)網(wǎng)建設(shè)的實施方案及建設(shè)規(guī)劃,以達(dá)到先進(jìn)、安全、實用、可靠的目標(biāo).對該企業(yè)的組網(wǎng)需求進(jìn)行分析，比較各種組網(wǎng)技術(shù)，從實用角度論述局域網(wǎng)主干網(wǎng)選擇，綜合布線，各種設(shè)備選擇，網(wǎng)絡(luò)安全，網(wǎng)絡(luò)管理等方面。我們的網(wǎng)絡(luò)要具有一定的靈活性。當(dāng)企業(yè)發(fā)展到一定規(guī)模,企業(yè)在外地設(shè)有許多分支機(jī)構(gòu)。這時,為加快企業(yè)內(nèi)部的信息流通,企業(yè)需要將總部和各分支機(jī)構(gòu)連接起來。遠(yuǎn)程企業(yè)對網(wǎng)絡(luò)的需求是：通過internet接入,在整個公司實現(xiàn)數(shù)據(jù)快速傳輸、辦公自動化,最終實現(xiàn)企業(yè)無紙化辦公；企業(yè)擁有自己的ip地址和域名,在公司主機(jī)上建立網(wǎng)站,向外界宣傳企業(yè)形象、公司各項業(yè)務(wù)、活動及最新成果等；以ip電話方式節(jié)省企業(yè)大部分的長途話費,亦可通過ip網(wǎng)絡(luò)來實現(xiàn)視頻會議；實現(xiàn)telnet等網(wǎng)絡(luò)服務(wù)；實現(xiàn)結(jié)構(gòu)化布線、網(wǎng)絡(luò)的設(shè)計與規(guī)劃、資源共享、專線接入Internet、WWW服務(wù)器、軟硬件配置、劃分企業(yè)子網(wǎng)等技術(shù)實施。第二章關(guān)鍵網(wǎng)絡(luò)技術(shù)原理工作在OSI參考模型第三層——網(wǎng)絡(luò)層的數(shù)據(jù)包轉(zhuǎn)發(fā)設(shè)備。路由器通過轉(zhuǎn)發(fā)數(shù)據(jù)包來實現(xiàn)網(wǎng)絡(luò)互連。雖然路由器可以支持多種協(xié)議（如TCP/IP、IPX/SPX、AppleTalk等協(xié)議），但是在我國絕大多數(shù)路由器運行TCP/IP協(xié)議。路由器通常連接兩個或多個由IP子網(wǎng)或點到點協(xié)議標(biāo)識的邏輯端口，至少擁有1個物理端口。路由器根據(jù)收到數(shù)據(jù)包中的網(wǎng)絡(luò)層地址以及路由器內(nèi)部維護(hù)的路由表決定輸出端口以及下一跳地址，并且重寫鏈路層數(shù)據(jù)包頭實現(xiàn)轉(zhuǎn)發(fā)數(shù)據(jù)包。路由器通過動態(tài)維護(hù)路由表來反映當(dāng)前的網(wǎng)絡(luò)拓?fù)?，并通過網(wǎng)絡(luò)上其他路由器交換路由和鏈路信息來維護(hù)路由表。路由器以其高度的靈活性和安全性在局域網(wǎng)和廣域網(wǎng)互聯(lián)中得到了廣泛應(yīng)用。然而路由器是無連接的設(shè)備，它對每個數(shù)據(jù)報獨立地進(jìn)行路由選擇，哪怕是同一對主機(jī)之間的通信，都要對各個數(shù)據(jù)包單獨處理，這樣的開銷使得路由器的吞吐率相對與交換機(jī)大為降低。路由技術(shù)主要是指路由選擇算法。因特網(wǎng)的路由選擇協(xié)議的特點及分類。其中，路由選擇算法可以分為靜態(tài)路由選擇算法和動態(tài)路由選擇算法。因特網(wǎng)的路由選擇協(xié)議的特點是：屬于自適應(yīng)的選擇協(xié)議（即動態(tài)的）；是分布式路由選擇協(xié)議；采用分層次的路由選擇協(xié)議，即分自治系統(tǒng)內(nèi)部和自治系統(tǒng)外部路由選擇協(xié)議。因特網(wǎng)的路由選擇協(xié)議劃分為兩大類：內(nèi)部網(wǎng)關(guān)協(xié)議（IGP,具體的協(xié)議有RIP和OSPF等）和外部網(wǎng)關(guān)協(xié)議（EGP,目前使用最多的是BGP）。2.2交換技術(shù)談到交換，從廣義上講，任何數(shù)據(jù)的轉(zhuǎn)發(fā)都可以叫做交換。但是，傳統(tǒng)的、狹義的第2層交換技術(shù)，僅包括數(shù)據(jù)鏈路層的轉(zhuǎn)發(fā)。2層交換機(jī)主要用在小型局域網(wǎng)中，機(jī)器數(shù)量在二、三十臺以下，這樣的網(wǎng)絡(luò)環(huán)境下，廣播包影響不大，2層交換機(jī)的快速交換功能、多個接入端口和低廉價格，為小型網(wǎng)絡(luò)用戶提供了完善的解決方案。現(xiàn)代交換技術(shù)還實現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了企業(yè)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要?，F(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（VirtualLAN，VLAN）的概念。VLAN將廣播域限制在單個VLAN內(nèi)部，減小了各VLAN間主機(jī)的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術(shù)來實現(xiàn)。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時，可以使用VLAN中繼協(xié)議（VlanTrunkingProtocol，VTP）簡化管理，它只需在單獨一臺交換機(jī)上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，在企業(yè)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)行的?？傊?，交換式局域網(wǎng)技術(shù)使專用的帶寬為用戶所獨享，極大地提高了局域網(wǎng)傳輸?shù)男??？梢哉f，在網(wǎng)絡(luò)系統(tǒng)集成的技術(shù)中，直接面向用戶的第2層交換技術(shù)，已得到了令人滿意的答案。在遠(yuǎn)程訪問的架構(gòu)中，遠(yuǎn)程訪問技術(shù)可以分為以下3點進(jìn)行探討：連接方式，身份識別，數(shù)據(jù)傳輸。在連接方式中，遠(yuǎn)程訪問連接的方法可以分為兩種，一種是通過撥號裝置，另一種則是通過VPN。撥號裝置的部分主要為調(diào)制解調(diào)器撥號，不過，也可以通過如ISDN或其他類似的方法進(jìn)行；而VPN連接的方式則可以通過PPTP（PointtoPointTunnelingProtocol）或L2TP（Layer2TunnelingProtocol）等VPN協(xié)議進(jìn)行連接，不過，在WindowsServer2008/WindowsVistaSP1中還新增了一個新的VPN協(xié)議：SSTP（SecureSocketTunnelingProtocol）。遠(yuǎn)程訪問也是企業(yè)網(wǎng)絡(luò)必須提供的服務(wù)之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務(wù)。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花費也不相同。企業(yè)用戶可以根據(jù)所需帶寬、本地服務(wù)可用性、花費等因素綜合考慮，選擇一種適合企業(yè)自身需要的廣域網(wǎng)接入方案。2.4VLANVLAN（VirtualLocalAreaNetwork）的中文名為"虛擬局域網(wǎng)"。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機(jī)和路由器中，但主流應(yīng)用還是在交換機(jī)之中。但又不是所有交換機(jī)都具有此功能，只有VLAN協(xié)議的第三層以上交換機(jī)才具有此功能，這一點可以查看相應(yīng)交換機(jī)的說明書即可得知VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，即使是兩臺計算機(jī)有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。既然VLAN隔離了廣播風(fēng)暴，同時也隔離了各個不同的VLAN之間的通訊，所以不同的VLAN之間的通訊是需要有路由來完成的。2.5ACL訪問控制列表（AccessControlList，ACL）是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個框架結(jié)構(gòu)，其目的是為了對某種訪問進(jìn)行控制。ACL通過對網(wǎng)絡(luò)數(shù)據(jù)源地址、源端口、目的地址、目的端口全部或部分組合的控制，能夠限制數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸。在網(wǎng)絡(luò)中應(yīng)用ACL，能夠達(dá)到這樣一些目的：阻斷網(wǎng)絡(luò)中的異常流量,應(yīng)用系統(tǒng)間訪問控制,SNMP網(wǎng)管工作站控制,設(shè)備本身防備。目前有兩種主要的ACL:標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。其他的還有標(biāo)準(zhǔn)MACACL、以太協(xié)議ACL、IPv6ACL等。標(biāo)準(zhǔn)的ACL使用1~99以及1300~1999之間的數(shù)字作為表號，擴(kuò)展的ACL使用100~199以及2000~2699之間的數(shù)字作為表號。標(biāo)準(zhǔn)ACL可以阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者允許來自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（比如IP）的所有通信流量。擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍。例如，網(wǎng)絡(luò)管理員如果希望做到“允許外來的Web通信流量通過，拒絕外來的FTP和Telnet等通信流量”，那么，他可以使用擴(kuò)展ACL來達(dá)到目的，標(biāo)準(zhǔn)ACL不能控制這么精確。隨著網(wǎng)絡(luò)的發(fā)展和用戶要求的變化，從IOS12.0開始，思科（CISCO）路由器新增加了一種基于時間的訪問列表。通過它，可以根據(jù)一天中的不同時間，或者根據(jù)一星期中的不同日期，或二者相結(jié)合來控制網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)。這種基于時間的訪問列表，就是在原來的標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表中，加入有效的時間范圍來更合理有效地控制網(wǎng)絡(luò)。首先定義一個時間范圍，然后在原來的各種訪問列表的基礎(chǔ)上應(yīng)用它?；跁r間訪問列表的設(shè)計中，用time-range命令來指定時間范圍的名稱，然后用absolute命令，或者一個或多個periodic命令來具體定義時間范圍。2.6NAT網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,NetworkAddressTranslation被廣泛應(yīng)用于各種類型Internet接入方式和備種類型的網(wǎng)絡(luò)中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計算機(jī)。NAT的實現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換StaticNat、動態(tài)轉(zhuǎn)換DynamicNat和端口多路復(fù)用OverLoad。端口多路復(fù)用是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，PortAddressTranslation.采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。2.7DHCPDHCP是DynamicHostConfigurationProtocol(動態(tài)主機(jī)分配協(xié)議縮寫。它分為兩個部份：一個是服務(wù)器端，而另一個是客戶端。所有的IP網(wǎng)絡(luò)設(shè)定數(shù)據(jù)都由DHCP服務(wù)器集中管理，并負(fù)責(zé)處理客戶端的DHCP要求；而客戶端則會使用從服務(wù)器分配下來的IP環(huán)境數(shù)據(jù)。比較起B(yǎng)OOTP，DHCP透過"租約"的概念，有效且動態(tài)的分配客戶端的TCP/IP設(shè)定，而且，作為兼容考慮，DHCP的分配形式首先，必須至少有一臺DHCP工作在網(wǎng)絡(luò)上面，它會監(jiān)聽網(wǎng)絡(luò)的DHCP請求，并與客戶端磋商TCP/IP的設(shè)定環(huán)境。DHCP是BOOTP的擴(kuò)展，是基于C/S模式的，它提供了一種動態(tài)指定IP地址和配置參數(shù)的機(jī)制。這主要用于大型網(wǎng)絡(luò)環(huán)境和配置比較困難的地方。DHCP服務(wù)器自動為客戶機(jī)指定IP地址，指定的配置參數(shù)有些和IP協(xié)議并不相關(guān)，但這必沒有關(guān)系，它的配置參數(shù)使得網(wǎng)絡(luò)上的計算機(jī)通信變得方便而容易實現(xiàn)了。DHCP使IP地址的可以租用，對于許多擁有許多臺計算機(jī)的大型網(wǎng)絡(luò)來說，每臺計算機(jī)擁有一個IP地址有時候可能是不必要的。租期從1分鐘到100年不定，當(dāng)租期到了的時候，服務(wù)器可以把這個IP地址分配給別的機(jī)器使用?？蛻粢部梢哉埱笫褂米约合矚g的網(wǎng)絡(luò)地址及相應(yīng)的配置參數(shù)。2.8VPNVPN的英文全稱是“VirtualPrivateNetwork”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費用，也不用購買路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機(jī)，防火墻設(shè)備或WINDOWS2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。2.9PVSTPVST:Per-VLANSpanningTree（每VLAN生成樹）PVST是解決在虛擬局域網(wǎng)上處理生成樹的CISCO特有解決方案．PVST為每個虛擬局域網(wǎng)運行單獨的生成樹實例．一般情況下PVST要求在交換機(jī)之間的中繼鏈路上運行CISCO的ISL。每VLAN生成樹(PVST為每個在網(wǎng)絡(luò)中配置的VLAN維護(hù)一個生成樹實例。它使用ISL中繼和允許一個VLAN中繼當(dāng)被其它VLANs的阻塞時將一些VLANs轉(zhuǎn)發(fā)。盡管PVST對待每個VLAN作為一個單獨的網(wǎng)絡(luò)，它有能力(在第2層通過一些在主干和其它在另一個主干中的不引起生成樹循環(huán)的Vlans中的一些VLANs來負(fù)載平衡通信。2.10DNS域名系統(tǒng)DNS(DomainNameSystem是因特網(wǎng)使用的命名系統(tǒng)，用來把便于人們使用的機(jī)器名字轉(zhuǎn)換為ip地址。域名系統(tǒng)其實就是名字系統(tǒng)。因為在這種因特網(wǎng)的命名系統(tǒng)中使用了許多的“域”（domain），因此就出現(xiàn)了“域名”這個名詞。它是由解析器和域名服務(wù)器組成的。域名服務(wù)器是指保存有該網(wǎng)絡(luò)中所有主機(jī)的域名和對應(yīng)IP地址，并具有將域名轉(zhuǎn)換為IP地址功能的服務(wù)器。其中域名必須對應(yīng)一個IP地址，而IP地址不一定有域名。域名系統(tǒng)采用類似目錄樹的等級結(jié)構(gòu)。域名服務(wù)器為客戶機(jī)/服務(wù)器模式中的服務(wù)器方，它主要有兩種形式：主服務(wù)器和轉(zhuǎn)發(fā)服務(wù)器。將域名映射為IP地址的過程就稱為“域名解析”。在Internet上域名與IP地址之間是一對一（或者多對一）的，域名雖然便于人們記憶，但機(jī)器之間只認(rèn)IP地址，它們之間的轉(zhuǎn)換工作稱為域名解析，域名解析需要由專門的域名解析服務(wù)器來完成，DNS就是進(jìn)行域名解析的服務(wù)器。DNS命名用于Internet等TCP/IP網(wǎng)絡(luò)中，通過用戶友好的名稱查找計算機(jī)和服務(wù)。當(dāng)用戶在應(yīng)用程序中輸入DNS名稱時，DNS服務(wù)可以將此名稱解析為與之相關(guān)的其他信息，如IP地址。因為，你在上網(wǎng)時輸入的網(wǎng)址，是通過域名解析系統(tǒng)解析找到了相對應(yīng)的IP地址，這樣才能上網(wǎng)。其實，域名的最終指向是IP。2.11HSRPHSRP：熱備份路由器協(xié)議（HSRP：HotStandbyRouterProtocol）熱備份路由器協(xié)議（HSRP）的設(shè)計目標(biāo)是支持特定情況下IP流量失敗轉(zhuǎn)移不會引起混亂、并允許主機(jī)使用單路由器，以及即使在實際第一跳路由器使用失敗的情形下仍能維護(hù)路由器間的連通性。換句話說，當(dāng)源主機(jī)不能動態(tài)知道第一跳路由器的IP地址時，HSRP協(xié)議能夠保護(hù)第一跳路由器不出故障。該協(xié)議中含有多種路由器，對應(yīng)一個虛擬路由器。HSRP協(xié)議只支持一個路由器代表虛擬路由器實現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過程。終端主機(jī)將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動路由器（ActiveRouter）。一旦主動路由器出現(xiàn)故障，HSRP將激活備份路由器（StandbyRouters）取代主動路由器。HSRP協(xié)議提供了一種決定使用主動路由器還是備份路由器的機(jī)制，并指定一個虛擬的IP地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。如果主動路由器出現(xiàn)故障，備份路由器（StandbyRouters）承接主動路由器的所有任務(wù)，并且不會導(dǎo)致主機(jī)連通中斷現(xiàn)象。第三章用戶需求分析為適應(yīng)企業(yè)信息化的發(fā)展，滿足日益增長的通信需求和網(wǎng)絡(luò)的穩(wěn)定運行，今天的企業(yè)網(wǎng)絡(luò)建設(shè)比傳統(tǒng)企業(yè)網(wǎng)絡(luò)建設(shè)有更高的要求，本文將通過對如下幾個方面的需求分析來規(guī)劃出一套最適用于目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。3.2.1寬帶性能需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強(qiáng)大的性能，以滿足用戶日益增長的通信需求。隨著計算機(jī)技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個多業(yè)務(wù)承載平臺。不僅要繼續(xù)承載企業(yè)的辦公自動化，Web瀏覽等簡單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及企業(yè)生產(chǎn)運營的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和時延都要求很高的IP電話、視頻會議等多媒體業(yè)務(wù)。因此，數(shù)據(jù)流量將大大增加，尤其是對核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的要求。另外，隨著千兆位端口成本的持續(xù)下降，千兆位到桌面的應(yīng)用會在不久的將來成為企業(yè)網(wǎng)的主流。從2004年全球交換機(jī)市場分析可以看到，增長最迅速的就是10Gbps級別機(jī)箱式交換機(jī)，可見，萬兆位的大規(guī)模應(yīng)用已經(jīng)真正開始。所以，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)不能再用百兆位到桌面千兆位骨干來作為建網(wǎng)的標(biāo)準(zhǔn)，核心層及骨干層必須具有萬兆位級帶寬和處理性能，才能構(gòu)筑一個暢通無阻的"高品質(zhì)"大型企業(yè)網(wǎng)，從而適應(yīng)網(wǎng)絡(luò)規(guī)模擴(kuò)大，業(yè)務(wù)量日益增長的需要。3.2.2穩(wěn)定可靠需求現(xiàn)代大型企業(yè)的網(wǎng)絡(luò)應(yīng)具有更全面的可靠性設(shè)計，以實現(xiàn)網(wǎng)絡(luò)通信的實時暢通，保障企業(yè)生產(chǎn)運營的正常進(jìn)行。隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計算機(jī)網(wǎng)絡(luò)上來，網(wǎng)絡(luò)通信的無中斷運行已經(jīng)成為保證企業(yè)正常生產(chǎn)運營的關(guān)鍵。現(xiàn)代大型企業(yè)網(wǎng)絡(luò)在可靠性設(shè)計方面主要應(yīng)從以下3個方面考慮。設(shè)備的可靠性設(shè)計：不僅要考察網(wǎng)絡(luò)設(shè)備是否實現(xiàn)了關(guān)鍵部件的冗余備份，還要從網(wǎng)絡(luò)設(shè)備整體設(shè)計架構(gòu)、處理引擎種類等多方面去考察。業(yè)務(wù)的可靠性設(shè)計：網(wǎng)絡(luò)設(shè)備在故障倒換過程中，是否對業(yè)務(wù)的正常運行有影響。鏈路的可靠性設(shè)計：以太網(wǎng)的鏈路安全來自于多路徑選擇，所以在企業(yè)網(wǎng)絡(luò)建設(shè)時，要考慮網(wǎng)絡(luò)設(shè)備是否能夠提供有效的鏈路自愈手段，以及快速重路由協(xié)議的支持。3.2.3服務(wù)質(zhì)量需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)需要提供完善的端到端QoS保障，以滿足企業(yè)網(wǎng)多業(yè)務(wù)承載的需求。大型企業(yè)網(wǎng)絡(luò)承載的業(yè)務(wù)不斷增多，單純的提高帶寬并不能夠有效地保障數(shù)據(jù)交換的暢通無阻，所以今天的大型企業(yè)網(wǎng)絡(luò)建設(shè)必須要考慮到網(wǎng)絡(luò)應(yīng)能夠智能識別應(yīng)用事件的緊急和重要程度，如視頻、音頻、數(shù)據(jù)流（MIS、ERP、OA、備份數(shù)據(jù)）。同時能夠調(diào)度網(wǎng)絡(luò)中的資源，保證重要和緊急業(yè)務(wù)的帶寬、時延、優(yōu)先級和無阻塞的傳送，實現(xiàn)對業(yè)務(wù)的合理調(diào)度才是一個大型企業(yè)網(wǎng)絡(luò)提供"高品質(zhì)"服務(wù)的保障。3.2.4網(wǎng)絡(luò)安全需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟(jì)損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施主要是通過部署防火墻、IDS、殺毒軟件，以及配合交換機(jī)或路由器的ACL來實現(xiàn)對病毒和黑客攻擊的防御，但實踐證明這些被動的防御措施并不能有效地解決企業(yè)網(wǎng)絡(luò)的安全問題。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運營的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入控制，病毒報文識別到主動抑制的一系列安全控制手段，這樣才能有效地保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運行。3.2.5應(yīng)用服務(wù)需求現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具備更智能的網(wǎng)絡(luò)管理解決方案，以適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴(kuò)大，維護(hù)工作更加復(fù)雜的需要。當(dāng)前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為"以應(yīng)用為中心"的信息基礎(chǔ)平臺，網(wǎng)絡(luò)管理能力的要求已經(jīng)上升到了業(yè)務(wù)層次，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管理需求的發(fā)展。比如，網(wǎng)絡(luò)調(diào)試期間最消耗人力與物力的線纜故障定位工作，網(wǎng)絡(luò)運行期間對不同用戶靈活的服務(wù)策略部署、訪問權(quán)限控制、以及網(wǎng)絡(luò)日志審計和病毒控制能力等方面的管理工作，由于受網(wǎng)絡(luò)設(shè)備功能本身的限制，都還屬于費時、費力的任務(wù)。所以現(xiàn)代的大型企業(yè)網(wǎng)絡(luò)迫切需要網(wǎng)絡(luò)設(shè)備具備支撐"以應(yīng)用為中心"的智能網(wǎng)絡(luò)運營維護(hù)的能力，并能夠有一套智能化的管理軟件，將網(wǎng)絡(luò)管理人員從繁重的工作中解脫出來。3.2本網(wǎng)絡(luò)系統(tǒng)需求分析網(wǎng)絡(luò)聯(lián)接的建筑物有五個：三個辦公樓、一個行政樓和一個在外省的銷售部。管理部、財務(wù)部和網(wǎng)絡(luò)部在行政樓中；市場部在辦公樓A；銷售部和人力資源部在辦公樓B；研發(fā)部在辦公樓C。我們把網(wǎng)絡(luò)中心設(shè)在行政樓，用光纖連接辦公樓A、B、C，構(gòu)成公司網(wǎng)絡(luò)光纖主干網(wǎng)絡(luò)。企業(yè)服務(wù)器在行政樓。辦公樓4個，行政樓1個，1．劃分VLAN2．VTP動態(tài)學(xué)習(xí)VLAN3．PVST(選根，二層冗余4．SVI（VLAN間路由）5．HSRP（三層冗余）6．DHCP7．根防護(hù)8．靜態(tài)路由9．SITE-TO-SITEVPN（連接分公司，固定IP）12．網(wǎng)管控制第四章網(wǎng)絡(luò)設(shè)計4.1設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)主干網(wǎng)絡(luò)設(shè)計如下圖：采用上設(shè)計圖優(yōu)點如下：1，結(jié)構(gòu)整齊，層次清晰，便于管理；2，采用動態(tài)路由協(xié)議，維護(hù)簡單，擴(kuò)展性好。4.2VLAN及IP地址規(guī)劃4.3.1設(shè)備命名規(guī)則為便于進(jìn)行網(wǎng)絡(luò)故障診斷和遠(yuǎn)程監(jiān)測，各個辦公樓將統(tǒng)一全轄網(wǎng)絡(luò)設(shè)備的命名。網(wǎng)絡(luò)系統(tǒng)中設(shè)備的命名使用五個字段組成，分別表示該設(shè)備所在區(qū)域，功能，層次，類型等，便于設(shè)備維護(hù)管理。設(shè)備名稱的字母全部采用大寫表示。主要網(wǎng)絡(luò)設(shè)備的ID命名規(guī)則如下：A_B_C_D_E：A：辦公樓名稱（如A、B等）B：區(qū)域名稱（如核心區(qū)、服務(wù)器區(qū)、辦公區(qū)、管理區(qū)、等，也可表示名稱）C：區(qū)域?qū)哟危ㄈ鐓R聚層或接入層）D：設(shè)備類型（如核心交換機(jī)、路由器、防火墻、入侵檢測、等）E：設(shè)備序列號（如第一臺、第二臺、等）根據(jù)上述描述，每個字段做如下進(jìn)一步的明確：A：樓名稱B：區(qū)域名稱C：區(qū)域?qū)哟蜠：設(shè)備類型E：設(shè)備序列號例如：XZ_CORE_SW_1：表示行政樓核心區(qū)(CORE核心交換機(jī)（SW）第一臺（1）；XZ_ADMIN_DL_SW_1：表示行政樓管理區(qū)（ADMIN）匯聚層（DL）交換機(jī)（SW）第一臺；4.3.1全網(wǎng)設(shè)備命名下面是全網(wǎng)設(shè)備命名：4.4模擬工具和環(huán)境介紹——PacketTracer4.4.1PacketTracer工具介紹PacketTracer是由Cisco公司發(fā)布的一個輔助學(xué)習(xí)工具，為學(xué)習(xí)思科網(wǎng)絡(luò)課程的初學(xué)者去設(shè)計、配置、排除網(wǎng)絡(luò)故障提供了網(wǎng)絡(luò)模擬環(huán)境。用戶可以在軟件的圖形用戶界面上直接使用拖曳方法建立網(wǎng)絡(luò)拓?fù)洌⒖商峁?shù)據(jù)包在網(wǎng)絡(luò)中行進(jìn)的詳細(xì)處理過程，觀察網(wǎng)絡(luò)實時運行情況。可以學(xué)習(xí)IOS的配置、鍛煉故障排查能力。在界面的左下角一塊區(qū)域，這里有許多種類的硬件設(shè)備，從左至右，從上到下依次為路由器、交換機(jī)、集線器、無線設(shè)備、設(shè)備之間的連線（Connections）、終端設(shè)備、仿真廣域網(wǎng)、CustomMadeDevices（自定義設(shè)備）。在左下邊你會看到各種類型的線，依次為AutomaticallyChooseConnectionType（自動選線，萬能的，一般不建議使用，除非你真的不知道設(shè)備之間該用什么線）、控制線、直通線、交叉線、光纖、電話線、同軸電纜、DCE、DTE。其中DCE和DTE是用于路由器之間的連線，實際當(dāng)中，你需要把DCE和一臺路由器相連，DTE和另一臺設(shè)備相連。而在這里，你只需選一根就是了，若你選了DCE這一根線，則和這根線先連的路由器為DCE，配置該路由器時需配置時鐘。交叉線只在路由器和電腦直接相連，或交換機(jī)和交換機(jī)之間相連時才會用到。對設(shè)備進(jìn)行編輯在右邊有一個區(qū)域，從上到下依次為選定/取消、移動（總體移動，移動某一設(shè)備，直接拖動它就可以了）、PlaceNote（先選中）、刪除、Inspect（選中后，在路由器、PC機(jī)上可看到各種表，如路由表等）、simplePPD、complex。軟件界面的最右下角有兩個切換模式，分別是Realtimemode(實時模式和Simulationmode（模擬模式），實時模式顧名思意即時模式，也就是說是真實模式。舉個例子，兩臺主機(jī)通過直通雙絞線連接并將他們設(shè)為同一個網(wǎng)段，那么A主機(jī)PingB主機(jī)時，瞬間可以完成，這就是實時模式。而模擬模式，切換到模擬模式后主機(jī)A的CMD里將不會立即顯示ICMP信息，而是軟件正在模擬這個瞬間的過程，以人類能夠理解的方式展現(xiàn)出來。圖4.4.1CiscoPacketTracer模擬軟件4.4.2本設(shè)計的模擬圖圖4.4.2本設(shè)計的模擬圖4.5設(shè)備配置4.5.1基礎(chǔ)配置以接入層交換機(jī)為例：圖4.5.1接入層交換機(jī)圖4.5.2配置截圖Switch>en進(jìn)入特權(quán)模式Switch#conft進(jìn)入全局模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config#hostnameCW_AL_SW_1修改路由器或者交換機(jī)的名字，方便管理CW_AL_SW_1(config#noipdomainlookup關(guān)閉域名查詢啟用與禁止DNS服務(wù)器，在交換機(jī)默認(rèn)配置的情況下，當(dāng)我們輸入一條錯誤的交換機(jī)命令時，交換機(jī)會嘗試將其廣播給網(wǎng)絡(luò)上的DNS服務(wù)器并將其解析成對應(yīng)的IP地址。利用命令noipdomainlookup，可以禁用DNS服務(wù)器，可以減少輸入錯誤命令的等待時間CW_AL_SW_1(config#lineconsole0進(jìn)入CONCOLE0口線程下，通過CONSOLE線串口直接控制交換機(jī)或路由器接口設(shè)置登錄口令，如下圖：4.5.2使用VTP從提高效率的角度出發(fā)，在企業(yè)網(wǎng)實現(xiàn)實例中使用了VTP技術(shù)。將匯聚層XZ_DL_SW_1設(shè)置成為VTP服務(wù)器，其他交換機(jī)設(shè)置成為VTP客戶機(jī)。這里接入層交換機(jī)SW1將通過VTP獲得在分布層交換機(jī)FB1中定義的所有VLAN的信息。下面是配置截圖：圖4.5.4行政樓匯聚層交換機(jī)VTP配置截圖XZ_DL_SW_1#vlandatabase特權(quán)模式下進(jìn)入VLAN設(shè)置模式XZ_DL_SW_1(vlan#vtpdomaincisco定義VTP域名ChangingVTPdomainnamefromNULLtociscoXZ_DL_SW_1(vlan#vtpserver將該交換機(jī)設(shè)置為VTP的服務(wù)端DevicemodealreadyVTPSERVER.XZ_DL_SW_1(vlan#vtpv2-mode啟用的VTP版本號為2V2modeenabsled.XZ_DL_SW_1(vlan#vtppassword123456設(shè)置VTP的密碼為123456，交換機(jī)的VTP必須密碼一致才能同步SettingdeviceVLANdatabasepasswordto123456.XZ_DL_SW_1(vlan#vtppruning啟用VTP修剪，激活VTP剪裁功能，默認(rèn)情況下主干道傳輸所有VLAN的用戶數(shù)據(jù)。有時，交換網(wǎng)絡(luò)中某臺交換機(jī)的所有端口都屬于同一VLAN的成員，沒有必要接收其他VLAN的用戶數(shù)據(jù)。這時，可以激活主干道上的VTP剪裁功能。當(dāng)激活了VTP剪裁功能以后，交換機(jī)將自動剪裁本交換機(jī)沒有定義的VLAN數(shù)據(jù)。在一個VTP域下，只需要在VTP服務(wù)器上激活VTP剪裁功能。同一VTP域下的所有其他交換機(jī)也將自動激活VTP剪裁功能。退出VLAN配置模式進(jìn)入特權(quán)模式APPLYcompleted.Exiting....其他設(shè)備配置（配置成用戶端）下面以CW_AL_SW_1為例：圖4.5.5交換機(jī)VTP客戶模式配置CW_AL_SW_1#vlandaCW_AL_SW_1(vlan#vtpdomainciscoChangingVTPdomainnamefromNULLtociscoCW_AL_SW_1(vlan#vtpclient將FB2設(shè)置為客戶端，客戶端可以學(xué)習(xí)到服務(wù)端的所有VLAN信息?？蛻裟Ｊ绞菦]有創(chuàng)建、修改、刪除VLAN得權(quán)利的，它只能接收和轉(zhuǎn)發(fā)信息。而服務(wù)器模式擁有以上的所用功能。SettingdevicetoVTPCLIENTmode.CW_AL_SW_1(vlan#vtpv2V2modeenabled.CW_AL_SW_1(vlan#vtppassword123456SettingdeviceVLANdatabasepasswordto123456.CW_AL_SW_1(vlan#exitAPPLYcompleted.Exiting....4.5.3創(chuàng)建VLAN在XZ_DL_SW_1配置VLAN數(shù)據(jù)庫。配置截圖如下：圖4.5.6VLAN配置4.5.4交換鏈路封裝圖4.5.7交換鏈路封裝XZ_DL_SW_2(config#intfa0/4進(jìn)入要封裝的接口XZ_DL_SW_2(config-if#switchporttrunkencapsulationdot1q進(jìn)行封裝XZ_DL_SW_2(config-if#switchportmodetrunk指定封裝模式XZ_DL_SW_2(config-if#noshutdown開啟接口XZ_DL_SW_2(config#interfacefastEthernet0/0XZ_DL_SW_2(config-if#switchporttrunkencapsulationdot1qXZ_DL_SW_2(config-if#switchportmodetrunkXZ_DL_SW_2(config-if#noshutdown4.5.5NAT圖4.5.8靜態(tài)nat配置圖4.5.9動態(tài)nat配置XZ_WL_RT>enPassword:XZ_WL_RT#configConfiguringfromterminal,memory,ornetwork[terminal]?tEnterconfigurationcommands,oneperline.EndwithCNTL/Z.配置動態(tài)NAT轉(zhuǎn)換的地址池XZ_WL_RT(config#ipnatinsidesourcelist1poolnat配置動態(tài)NAT轉(zhuǎn)換的內(nèi)部地址范圍XZ_WL_RT(config#intse2/0XZ_WL_RT(config-if#ipnatoutsideXZ_WL_RT(config-if#exXZ_WL_RT(config#intfa0/0XZ_WL_RT(config-if#ipnatinsideXZ_WL_RT(config-if#exXZ_WL_RT(config#圖4.5.10查看NAT轉(zhuǎn)換的統(tǒng)計信息4.5.6DHCP/DNS圖4.5.11配置DHCP先配置除去PC機(jī)不能使用的IP地址圖4.5.12配置DHCP,DNS,默認(rèn)網(wǎng)關(guān)現(xiàn)在需要為路由器接口和所有的PC機(jī)接口配置IP地址。由于幾千個結(jié)點的網(wǎng)絡(luò)比較大，為每一臺PC手工配置地址的工作量相當(dāng)大，所以我們要使用DHCP技術(shù)。XZ_DL_SW(config#ipdhcppoolVLAN10創(chuàng)建地址池，VLAN10地址池宣告網(wǎng)段默認(rèn)網(wǎng)關(guān)ipdhcppoolVLAN20ipdhcppoolVLAN30ipdhcppoolVLAN40ipdhcppoolVLAN50ipdhcppoolVLAN60ipdhcppoolVLAN70圖4.5.13DHCP服務(wù)請求成功4.5.7ACLWS_WL_RT(config#linevty04WS_WL_RT(config-line#access-class1in在vty下應(yīng)用aclWS_WL_RT(config-line#passwordciscoWS_WL_RT(config-line#loginWS_WL_RT(config-line#圖4.5.15配置ACLXZ_DL_SW_1(config#access-list6permitanyXZ_DL_SW_1(config#intvlan20XZ_DL_SW_1(config-if#ipacc6outXZ_DL_SW_1(config-if#XZ_DL_SW_1(config-if#XZ_DL_SW_1(config#4.5.8PVST圖4.5.17配置PVST由于網(wǎng)絡(luò)拓?fù)浔容^大，兩兩相連加冗余會出現(xiàn)環(huán)路，所以需要配置二層防環(huán)的PVST首先要選舉根橋，我們這里手工指定XZ_AL_SW為VLAN10的主根，VLAN203060的備份根。Switch>enSwitch#configConfiguringfromterminal,memory,ornetwork[terminal]?tEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config#spanning-treemodepvst開啟PVST生成樹模式Switch(config#spanning-treevlan20rootprimary設(shè)置為VLAN20的主根Switch(config#spanning-treevlan10,30rootsecondary設(shè)置為VLAN1030的備份根Switch(config#4.5.9路由協(xié)議外聯(lián)路由器配置EIGRP，總部外聯(lián)路由配置如下圖：圖4.5.18總部外聯(lián)路由協(xié)議配置XZ_WL_RT(config#routereigrp100啟用EIGRP協(xié)議圖4.5.19外省外聯(lián)路由協(xié)議配置WS_WL_RT(config#routereigrp100啟用EIGRP協(xié)議EIGRP還有自動匯總的功能，當(dāng)不需要時：WS_WL_RT(config-router#noauto-summary關(guān)閉自動匯總功能4.5.10網(wǎng)管控制圖4.5.20配置網(wǎng)絡(luò)管理為了方便管理員對企業(yè)網(wǎng)安全方便的管理控制，我們需要對坐配置使得管理員能都使用PC直接連接或遠(yuǎn)程登陸到到交換機(jī)進(jìn)行控制。XZ_DL_SW(config#linevty04進(jìn)入VTY線程下XZ_DL_SW(config-line#passwordcisco配置遠(yuǎn)程訪問交換機(jī)的密碼XZ_DL_SW(config-line#login登陸驗證XZ_DL_SW(Config-line#exec-timeout11配置登錄交換機(jī)虛擬終端線的超時時間為1分11秒鐘HX2(config-line#linecon0HX2(config-line#passwordcisco2HX2(config-line#loginHX2(config-line#exec-timeout114.5.11其他配置圖4.5.21配置幀中繼圖4.5.22配置接口速率和工作模式第五章安全策略網(wǎng)絡(luò)安全策略的總體目標(biāo)是保護(hù)網(wǎng)絡(luò)不受攻擊，控制異常行為影響網(wǎng)絡(luò)高效數(shù)據(jù)轉(zhuǎn)發(fā)，以及保護(hù)服務(wù)器區(qū)的資源。5.1安全分析5.1.1應(yīng)用服務(wù)器內(nèi)部安全分析應(yīng)用系統(tǒng)服務(wù)器按應(yīng)用類型被分為業(yè)務(wù)展現(xiàn)層（Web層），應(yīng)用/業(yè)務(wù)邏輯層（AP）和數(shù)據(jù)庫層（DB層）。安全風(fēng)險存在于：低安全級別服務(wù)器對高安全級別服務(wù)器上不適應(yīng)的訪問；授權(quán)用戶端對服務(wù)器的不適當(dāng)訪問；非授權(quán)用戶端對服務(wù)器的不適當(dāng)訪問；不同應(yīng)用系統(tǒng)服務(wù)器之間非授權(quán)的不適當(dāng)訪問；惡意代碼對服務(wù)器的不良影響。5.1.2應(yīng)用系統(tǒng)之間安全分析應(yīng)用系統(tǒng)之間的互訪，安全風(fēng)險主要存在于：不同應(yīng)用系統(tǒng)服務(wù)器之間非授權(quán)的不適當(dāng)訪問；應(yīng)用系統(tǒng)不同安全等級服務(wù)器之間不適當(dāng)?shù)幕ピL。5.1.3客戶端與服務(wù)器之間安全分析客戶端訪問服務(wù)器，主要的安全風(fēng)險存在于：非授權(quán)客戶端不適當(dāng)?shù)脑L問服務(wù)器；授權(quán)客戶端不適當(dāng)?shù)脑L問高安全級別的服務(wù)器。5.1.4客戶端之間安全分析在辦公樓和行政樓用戶端之間，安全風(fēng)險存在于：用戶端訪問另一端用戶端上的非授權(quán)數(shù)據(jù)；用戶端利用另一類用戶端達(dá)到對非授權(quán)服務(wù)器的非法訪問。5.1.5網(wǎng)絡(luò)設(shè)備自身安全分析網(wǎng)絡(luò)設(shè)備自身的安全風(fēng)險主要有：網(wǎng)絡(luò)設(shè)備的物理安全；網(wǎng)路設(shè)備操作系統(tǒng)Bug和對外提供的網(wǎng)絡(luò)服務(wù)風(fēng)險；網(wǎng)絡(luò)管理協(xié)議SNMP非授權(quán)訪問的風(fēng)險；設(shè)備訪問密碼安全；設(shè)備用戶安全風(fēng)險。5.2安全技術(shù)5.2.1網(wǎng)絡(luò)分區(qū)網(wǎng)絡(luò)安全設(shè)計基于分行基礎(chǔ)設(shè)施總體架構(gòu)設(shè)計中使用的模塊化設(shè)計方案，是基于業(yè)界企業(yè)級網(wǎng)絡(luò)參考架構(gòu)和安全架構(gòu)進(jìn)行的，在設(shè)計中考慮了網(wǎng)絡(luò)的擴(kuò)展性、