中小型企業(yè)網絡規(guī)劃和設計

...wd......wd......wd...**大學工學學士學位論文題目：中小型企業(yè)網絡規(guī)劃與設計學號：288888888888820姓名：888888888888888院(系)：信息8工程學院專業(yè)：888888888888888888888完成日期：8888888指導教師：摘要迅速開展的Internet正在對全世界的信息產業(yè)帶來巨大的變革和深遠的影響。市場的全球化競爭已成為趨勢。對于中小型企業(yè)來說，在調整開展戰(zhàn)略時，必須考慮到市場的全球競爭戰(zhàn)略，而這一切也將以信息化平臺為根基，借助計算機網絡原理及網絡規(guī)劃技術，以網絡通暢為保證。企業(yè)內部網〔Intranet〕是國際互連網〔Internet〕技術在企業(yè)內部或封閉的用戶群內的應用。Intranet是使用Internet技術,特別是TCP/IP協議而建成的企業(yè)內部網絡。這種技術允許不同計算機平臺進展互通,且不用考慮其位置。也就是所說的用戶可以對任何一臺進展訪問或從任何一臺計算機進展訪問。本文從企業(yè)網絡需求開場分析，根據現階段cisco公司主流網絡設備進展選材,規(guī)劃最適用于目標網絡的拓撲構造,建設合理的網絡設計方案。并測試其結果最終驗證網絡的規(guī)劃與設計符合中小型企業(yè)的需求。本設計使用ciscoPacketTracer軟件進展模擬真實的設備和運行環(huán)境，來測試方案是否正確和可行性。關鍵詞：企業(yè)網絡路由交換網絡設計模擬AbstractTherapiddevelopmentoftheInternetisallovertheworldinformationindustryofenormouschangeandfar-reachingconsequences.Marketcompetitionhasbecomethetrendofglobalization.Forlargeenterprises,inadjustingthedevelopmentstrategy,musttakeintoaccountthemarket'sglobalcompetitivenessstrategy,andallthisinformationplatformwillalsobebasedontheprincipleoftheuseofcomputernetworksandnetworkplanningtechnologytothenetworkinordertoensurepatency.IntranetisaninternationalInternettechnologyintheenterpriseorwithinaclosedusergroupapplications.IntranetistheuseofInternettechnologies,especiallyTCP/IPprotocolandthecompletionoftheenterpriseinternalnetwork.Thistechnologyallowsinteroperabilityofdifferentcomputerplatforms,anddonothavetoconsideritsposition.Thatiswhattheusercanvisitanyorfromanycomputeraccess.Fromthestartthewholeenterpriseclassnetworkneedsanalysis,basedonthemainstreamstagecisconetworkequipmentcompanyselection,withthegoaltobuildthemostsuitablenetworktopology,designedwithnetworktechnology.viewtheexperimentalresultstoverifythatthenetworkmeetsbusinessneeds.ThisdesignusingciscoPacketTracersoftwaretosimulaterealequipmentandoperationenvironment,totestwhethertheplanrightandfeasibility.Keywords:EnterpriseNetworkRoutingSwitchingNetworkDesignSimulation目錄TOC\o"1-2"\h\z摘要IAbstractII第一章緒論11.1研究背景11.2目的與意義1第二章關鍵網絡技術原理22.1路由技術22.2交換技術22.3遠程訪問技術32.4VLAN32.5ACL42.6NAT52.7DHCP52.8VPN52.9PVST62.10DNS62.11HSRP7第三章用戶需求分析83.1中小型企業(yè)需求分析83.2本網絡系統(tǒng)需求分析10第四章網絡設計114.1設計網絡拓撲構造114.2VLAN及IP地址規(guī)劃114.3設備命名124.4模擬工具和環(huán)境介紹——PacketTracer144.5設備配置16第五章安全策略335.1安全分析335.2安全技術345.3安全策略設計35第六章網絡效果驗證386.1關鍵三層設備路由表386.2聯通性測試426.3ACL驗證446.4DHCP/DNS服務46致謝47參考文獻48附錄49第一章緒論1.1研究背景今天，迅速開展的Internet正在對全世界的信息產業(yè)帶來巨大的變革和深遠的影響。市場的全球化競爭已成為趨勢。21世紀的中國正在向市場多元化、全球化的方向開展。對于大型企業(yè)來說，在調整開展戰(zhàn)略時，必須考慮到市場的全球競爭戰(zhàn)略，而這一切也將以信息化平臺為根基，借助計算機網絡原理及網絡規(guī)劃技術，以網絡通暢為保證。國內越來越多的企業(yè)也已經或正在考慮使用Internet/Intranet技術,以建設企業(yè)規(guī)劃化的信息處理系統(tǒng)。因為現代企業(yè)的信息大多都來自于互連網，通過網絡，企業(yè)可以更快速的接收到來自全球的市場信息；通過Internet與外部世界交換信息，企業(yè)規(guī)劃者可以更快地對企業(yè)作出正確的宏觀調控與決策，以適應市場趨勢。企業(yè)與全世界聯系起來,極大地提高了信息收集的能力和效率。1.2目的與意義企業(yè)內部網〔Intranet〕是國際互連網〔Internet〕技術在企業(yè)內部或封閉的用戶群內的應用。簡單地說,Intranet是使用Internet技術,特別是TCP/IP協議而建成的企業(yè)內部網絡。這種技術允許不同計算機平臺進展互通,且不用考慮其位置。也就是所說的用戶可以對任何一臺進展訪問或從任何一臺計算機進展訪問[1]?；谶@種種的現實問題，企業(yè)必須從企業(yè)局域網的概念及相關計算機網絡技術入手，詳細地設計企業(yè)網建設的實施方案及建設規(guī)劃,以到達先進、安全、實用、可靠的目標.對該企業(yè)的組網需求進展分析，比較各種組網技術，從實用角度論述局域網主干網選擇，綜合布線，各種設備選擇，網絡安全，網絡管理等方面。我們的網絡要具有一定的靈活性。當企業(yè)開展到一定規(guī)模,企業(yè)在外地設有許多分支機構。這時,為加快企業(yè)內部的信息流通,企業(yè)需要將總部和各分支機構連接起來。遠程企業(yè)對網絡的需求是：通過internet接入,在整個公司實現數據快速傳輸、辦公自動化,最終實現企業(yè)無紙化辦公；企業(yè)擁有自己的ip地址和域名,在公司主機上建設網站,向外界宣傳企業(yè)形象、公司各項業(yè)務、活動及最新成果等；以ip方式節(jié)省企業(yè)大局部的長途話費,亦可通過ip網絡來實現視頻會議；實現telnet等網絡服務；實現構造化布線、網絡的設計與規(guī)劃、資源共享、專線接入Internet、WWW服務器、軟硬件配置、劃分企業(yè)子網等技術實施。第二章關鍵網絡技術原理2.1路由技術工作在OSI參考模型第三層——網絡層的數據包轉發(fā)設備。路由器通過轉發(fā)數據包來實現網絡互連。雖然路由器可以支持多種協議〔如TCP/IP、IPX/SPX、AppleTalk等協議〕，但是在我國絕大多數路由器運行TCP/IP協議。路由器通常連接兩個或多個由IP子網或點到點協議標識的邏輯端口，至少擁有1個物理端口。路由器根據收到數據包中的網絡層地址以及路由器內部維護的路由表決定輸出端口以及下一跳地址，并且重寫鏈路層數據包頭實現轉發(fā)數據包。路由器通過動態(tài)維護路由表來反映當前的網絡拓撲，并通過網絡上其他路由器交換路由和鏈路信息來維護路由表。路由器以其高度的靈活性和安全性在局域網和廣域網互聯中得到了廣泛應用。然而路由器是無連接的設備，它對每個數據報獨立地進展路由選擇，哪怕是同一對主機之間的通信，都要對各個數據包單獨處理，這樣的開銷使得路由器的吞吐率相對與交換機大為降低。路由技術主要是指路由選擇算法。因特網的路由選擇協議的特點及分類。其中，路由選擇算法可以分為靜態(tài)路由選擇算法和動態(tài)路由選擇算法。因特網的路由選擇協議的特點是：屬于自適應的選擇協議〔即動態(tài)的〕；是分布式路由選擇協議；采用分層次的路由選擇協議，即分自治系統(tǒng)內部和自治系統(tǒng)外部路由選擇協議。因特網的路由選擇協議劃分為兩大類：內部網關協議〔IGP,具體的協議有RIP和OSPF等〕和外部網關協議〔EGP,目前使用最多的是BGP〕。2.2交換技術談到交換，從廣義上講，任何數據的轉發(fā)都可以叫做交換。但是，傳統(tǒng)的、狹義的第2層交換技術，僅包括數據鏈路層的轉發(fā)。2層交換機主要用在小型局域網中，機器數量在二、三十臺以下，這樣的網絡環(huán)境下，播送包影響不大，2層交換機的快速交換功能、多個接入端口和低廉價格，為小型網絡用戶提供了完善的解決方案。現代交換技術還實現了第3層交換和多層交換。高層交換技術的引入不但提高了園區(qū)網數據交換的效率，更大大增強了企業(yè)網數據交換服務質量，滿足了不同類型網絡應用程序的需要。現代交換網絡還引入了虛擬局域網〔VirtualLAN，VLAN〕的概念。VLAN將播送域限制在單個VLAN內部，減小了各VLAN間主機的播送通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術來實現。當網絡管理人員需要管理的交換機數量眾多時，可以使用VLAN中繼協議〔VlanTrunkingProtocol，VTP〕簡化管理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網絡管理人員的工作負擔和工作強度。為了簡化交換網絡設計、提高交換網絡的可擴展性，在企業(yè)網內部數據交換的部署是分層進展的。總之，交換式局域網技術使專用的帶寬為用戶所獨享，極大地提高了局域網傳輸的效率。可以說，在網絡系統(tǒng)集成的技術中，直接面向用戶的第2層交換技術，已得到了令人滿意的答案。2.3遠程訪問技術在遠程訪問的架構中，遠程訪問技術可以分為以下3點進展探討：連接方式，身份識別，數據傳輸。在連接方式中，遠程訪問連接的方法可以分為兩種，一種是通過撥號裝置，另一種那么是通過VPN。撥號裝置的局部主要為調制解調器撥號，不過，也可以通過如ISDN或其他類似的方法進展；而VPN連接的方式那么可以通過PPTP〔PointtoPointTunnelingProtocol〕或L2TP〔Layer2TunnelingProtocol〕等VPN協議進展連接，不過，在WindowsServer2008/WindowsVistaSP1中還新增了一個新的VPN協議：SSTP〔SecureSocketTunnelingProtocol〕。遠程訪問也是企業(yè)網絡必須提供的服務之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務。不同的廣域網連接類型提供的服務質量不同，花費也不一樣。企業(yè)用戶可以根據所需帶寬、本地服務可用性、花費等因素綜合考慮，選擇一種適合企業(yè)自身需要的廣域網接入方案。2.4VLANVLAN〔VirtualLocalAreaNetwork〕的中文名為"虛擬局域網"。VLAN是一種將局域網設備從邏輯上劃分成一個個網段，從而實現虛擬工作組的新興數據交換技術。這一新興技術主要應用于交換機和路由器中，但主流應用還是在交換機之中。但又不是所有交換機都具有此功能，只有VLAN協議的第三層以上交換機才具有此功能，這一點可以查看相應交換機的說明書即可得知VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的播送域〔或稱虛擬LAN，即VLAN〕，每一個VLAN都包含一組有著一樣需求的計算機工作站，與物理上形成的LAN有著一樣的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的播送和單播流量都不會轉發(fā)到其他VLAN中，即使是兩臺計算機有著同樣的網段，但是它們卻沒有一樣的VLAN號，它們各自的播送流也不會相互轉發(fā),從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。VLAN是為解決以太網的播送問題和安全性而提出的，它在以太網幀的根基上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網。虛擬局域網的好處是可以限制播送范圍，并能夠形成虛擬工作組，動態(tài)管理網絡。既然VLAN隔離了播送風暴，同時也隔離了各個不同的VLAN之間的通訊，所以不同的VLAN之間的通訊是需要有路由來完成的。2.5ACL訪問控制列表〔AccessControlList，ACL〕是路由器和交換機接口的指令列表，用來控制端口進出的數據包。ACL適用于所有的被路由協議，如IP、IPX、AppleTalk等。這張表中包含了匹配關系、條件和查詢語句，表只是一個框架構造，其目的是為了對某種訪問進展控制。ACL通過對網絡數據源地址、源端口、目的地址、目的端口全部或局部組合的控制，能夠限制數據在網絡中的傳輸。在網絡中應用ACL，能夠到達這樣一些目的：阻斷網絡中的異常流量,應用系統(tǒng)間訪問控制,SNMP網管工作站控制,設備本身防范。目前有兩種主要的ACL:標準ACL和擴展ACL。其他的還有標準MACACL、以太協議ACL、IPv6ACL等。標準的ACL使用1~99以及1300~1999之間的數字作為表號，擴展的ACL使用100~199以及2000~2699之間的數字作為表號。標準ACL可以阻止來自某一網絡的所有通信流量，或者允許來自某一特定網絡的所有通信流量，或者拒絕某一協議簇〔比方IP〕的所有通信流量。擴展ACL比標準ACL提供了更廣泛的控制范圍。例如，網絡管理員如果希望做到“允許外來的Web通信流量通過，拒絕外來的FTP和Telnet等通信流量〞，那么，他可以使用擴展ACL來到達目的，標準ACL不能控制這么準確。隨著網絡的開展和用戶要求的變化，從IOS12.0開場，思科〔CISCO〕路由器新增加了一種基于時間的訪問列表。通過它，可以根據一天中的不同時間，或者根據一星期中的不同日期，或二者相結合來控制網絡數據包的轉發(fā)。這種基于時間的訪問列表，就是在原來的標準訪問列表和擴展訪問列表中，參加有效的時間范圍來更合理有效地控制網絡。首先定義一個時間范圍，然后在原來的各種訪問列表的根基上應用它。基于時間訪問列表的設計中，用time-range命令來指定時間范圍的名稱，然后用absolute命令，或者一個或多個periodic命令來具體定義時間范圍。2.6NAT網絡地址轉換(NAT,NetworkAddressTranslation)被廣泛應用于各種類型Internet接入方式和備種類型的網絡中。原因很簡單，NAT不僅完美地解決了lP地址缺乏的問題，而且還能夠有效地防止來自網絡外部的攻擊，隱藏并保護網絡內部的計算機。NAT的實現方式有三種，即靜態(tài)轉換StaticNat、動態(tài)轉換DynamicNat和端口多路復用OverLoad。端口多路復用是指改變外出數據包的源端口并進展端口轉換，即端口地址轉換(PAT，PortAddressTranslation).采用端口多路復用方式。內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網絡內部的所有主機，有效防止來自internet的攻擊。因此，目前網絡中應用最多的就是端口多路復用方式。2.7DHCPDHCP是DynamicHostConfigurationProtocol(動態(tài)主機分配協議)縮寫。它分為兩個部份：一個是服務器端，而另一個是客戶端。所有的IP網絡設定數據都由DHCP服務器集中管理，并負責處理客戶端的DHCP要求；而客戶端那么會使用從服務器分配下來的IP環(huán)境數據。比較起B(yǎng)OOTP，DHCP透過"租約"的概念，有效且動態(tài)的分配客戶端的TCP/IP設定，而且，作為兼容考慮，DHCP的分配形式首先，必須至少有一臺DHCP工作在網絡上面，它會監(jiān)聽網絡的DHCP請求，并與客戶端磋商TCP/IP的設定環(huán)境。DHCP是BOOTP的擴展，是基于C/S模式的，它提供了一種動態(tài)指定IP地址和配置參數的機制。這主要用于大型網絡環(huán)境和配置比較困難的地方。DHCP服務器自動為客戶機指定IP地址，指定的配置參數有些和IP協議并不相關，但這必沒有關系，它的配置參數使得網絡上的計算機通信變得方便而容易實現了。DHCP使IP地址的可以租用，對于許多擁有許多臺計算機的大型網絡來說，每臺計算機擁有一個IP地址有時候可能是不必要的。租期從1分鐘到100年不定，當租期到了的時候，服務器可以把這個IP地址分配給別的機器使用?？蛻粢部梢哉埱笫褂米约合矚g的網絡地址及相應的配置參數。2.8VPNVPN的英文全稱是“VirtualPrivateNetwork〞，翻譯過來就是“虛擬專用網絡〞。顧名思義，虛擬專用網絡我們可以把它理解成是虛擬出來的企業(yè)內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內部網之間建設一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購置路由器等硬件設備。VPN技術原是路由器具有的重要技術之一，目前在交換機，防火墻設備或WINDOWS2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網絡建設虛擬私有網。虛擬專用網〔VPN〕被定義為通過一個公用網絡〔通常是因特網〕建設一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。虛擬專用網是對企業(yè)內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網建設可信的安全連接，并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接；可用于實現企業(yè)網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業(yè)伙伴和用戶的安全外聯網虛擬專用網。2.9PVSTPVST:Per-VLANSpanningTree〔每VLAN生成樹〕PVST是解決在虛擬局域網上處理生成樹的CISCO特有解決方案．PVST為每個虛擬局域網運行單獨的生成樹實例．一般情況下PVST要求在交換機之間的中繼鏈路上運行CISCO的ISL。每VLAN生成樹(PVST)為每個在網絡中配置的VLAN維護一個生成樹實例。它使用ISL中繼和允許一個VLAN中繼當被其它VLANs的阻塞時將一些VLANs轉發(fā)。盡管PVST對待每個VLAN作為一個單獨的網絡，它有能力(在第2層)通過一些在主干和其它在另一個主干中的不引起生成樹循環(huán)的Vlans中的一些VLANs來負載平衡通信。2.10DNS域名系統(tǒng)DNS(DomainNameSystem)是因特網使用的命名系統(tǒng)，用來把便于人們使用的機器名字轉換為ip地址。域名系統(tǒng)其實就是名字系統(tǒng)。因為在這種因特網的命名系統(tǒng)中使用了許多的“域〞〔domain〕，因此就出現了“域名〞這個名詞。它是由解析器和域名服務器組成的。域名服務器是指保存有該網絡中所有主機的域名和對應IP地址，并具有將域名轉換為IP地址功能的服務器。其中域名必須對應一個IP地址，而IP地址不一定有域名。域名系統(tǒng)采用類似目錄樹的等級構造。域名服務器為客戶機/服務器模式中的服務器方，它主要有兩種形式：主服務器和轉發(fā)服務器。將域名映射為IP地址的過程就稱為“域名解析〞。在Internet上域名與IP地址之間是一對一〔或者多對一〕的，域名雖然便于人們記憶，但機器之間只認IP地址，它們之間的轉換工作稱為域名解析，域名解析需要由專門的域名解析服務器來完成，DNS就是進展域名解析的服務器。DNS命名用于Internet等TCP/IP網絡中，通過用戶友好的名稱查找計算機和服務。當用戶在應用程序中輸入DNS名稱時，DNS服務可以將此名稱解析為與之相關的其他信息，如IP地址。因為，你在上網時輸入的網址，是通過域名解析系統(tǒng)解析找到了相對應的IP地址，這樣才能上網。其實，域名的最終指向是IP。2.11HSRPHSRP：熱備份路由器協議〔HSRP：HotStandbyRouterProtocol〕熱備份路由器協議〔HSRP〕的設計目標是支持特定情況下IP流量失敗轉移不會引起混亂、并允許主機使用單路由器，以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。換句話說，當源主機不能動態(tài)知道第一跳路由器的IP地址時，HSRP協議能夠保護第一跳路由器不出故障。該協議中含有多種路由器，對應一個虛擬路由器。HSRP協議只支持一個路由器代表虛擬路由器實現數據包轉發(fā)過程。終端主機將它們各自的數據包轉發(fā)到該虛擬路由器上。負責轉發(fā)數據包的路由器稱之為主動路由器〔ActiveRouter〕。一旦主動路由器出現故障，HSRP將激活備份路由器〔StandbyRouters〕取代主動路由器。HSRP協議提供了一種決定使用主動路由器還是備份路由器的機制，并指定一個虛擬的IP地址作為網絡系統(tǒng)的缺省網關地址。如果主動路由器出現故障，備份路由器〔StandbyRouters〕承接主動路由器的所有任務，并且不會導致主機連通中斷現象。第三章用戶需求分析3.1中小型企業(yè)需求分析為適應企業(yè)信息化的開展，滿足日益增長的通信需求和網絡的穩(wěn)定運行，今天的企業(yè)網絡建設比傳統(tǒng)企業(yè)網絡建設有更高的要求，本文將通過對如下幾個方面的需求分析來規(guī)劃出一套最適用于目標網絡的拓撲構造。3.2.1寬帶性能需求現代大型企業(yè)網絡應具有更高的帶寬，更強大的性能，以滿足用戶日益增長的通信需求。隨著計算機技術的高速開展，基于網絡的各種應用日益增多，今天的企業(yè)網絡已經開展成為一個多業(yè)務承載平臺。不僅要繼續(xù)承載企業(yè)的辦公自動化，Web瀏覽等簡單的數據業(yè)務，還要承載涉及企業(yè)生產運營的各種業(yè)務應用系統(tǒng)數據，以及帶寬和時延都要求很高的IP、視頻會議等多媒體業(yè)務。因此，數據流量將大大增加，尤其是對核心網絡的數據交換能力提出了前所未有的要求。另外，隨著千兆位端口成本的持續(xù)下降，千兆位到桌面的應用會在不久的將來成為企業(yè)網的主流。從2004年全球交換機市場分析可以看到，增長最迅速的就是10Gbps級別機箱式交換機，可見，萬兆位的大規(guī)模應用已經真正開場。所以，今天的企業(yè)網絡已經不能再用百兆位到桌面千兆位骨干來作為建網的標準，核心層及骨干層必須具有萬兆位級帶寬和處理性能，才能構筑一個暢通無阻的"高品質"大型企業(yè)網，從而適應網絡規(guī)模擴大，業(yè)務量日益增長的需要。3.2.2穩(wěn)定可靠需求現代大型企業(yè)的網絡應具有更全面的可靠性設計，以實現網絡通信的實時暢通，保障企業(yè)生產運營的正常進展。隨著企業(yè)各種業(yè)務應用逐漸轉移到計算機網絡上來，網絡通信的無中斷運行已經成為保證企業(yè)正常生產運營的關鍵?，F代大型企業(yè)網絡在可靠性設計方面主要應從以下3個方面考慮。設備的可靠性設計：不僅要考察網絡設備是否實現了關鍵部件的冗余備份，還要從網絡設備整體設計架構、處理引擎種類等多方面去考察。業(yè)務的可靠性設計：網絡設備在故障倒換過程中，是否對業(yè)務的正常運行有影響。鏈路的可靠性設計：以太網的鏈路安全來自于多路徑選擇，所以在企業(yè)網絡建設時，要考慮網絡設備是否能夠提供有效的鏈路自愈手段，以及快速重路由協議的支持。3.2.3服務質量需求現代大型企業(yè)網絡需要提供完善的端到端QoS保障，以滿足企業(yè)網多業(yè)務承載的需求。大型企業(yè)網絡承載的業(yè)務不斷增多，單純的提高帶寬并不能夠有效地保障數據交換的暢通無阻，所以今天的大型企業(yè)網絡建設必須要考慮到網絡應能夠智能識別應用事件的緊急和重要程度，如視頻、音頻、數據流〔MIS、ERP、OA、備份數據〕。同時能夠調度網絡中的資源，保證重要和緊急業(yè)務的帶寬、時延、優(yōu)先級和無阻塞的傳送，實現對業(yè)務的合理調度才是一個大型企業(yè)網絡提供"高品質"服務的保障。3.2.4網絡安全需求現代大型企業(yè)網絡應提供更完善的網絡安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經濟損失。傳統(tǒng)企業(yè)網絡的安全措施主要是通過部署防火墻、IDS、殺毒軟件，以及配合交換機或路由器的ACL來實現對病毒和黑客攻擊的防御，但實踐證明這些被動的防御措施并不能有效地解決企業(yè)網絡的安全問題。在企業(yè)網絡已經成為公司生產運營的重要組成局部的今天，現代企業(yè)網絡必須要有一整套從用戶接入控制，病毒報文識別到主動抑制的一系列安全控制手段，這樣才能有效地保證企業(yè)網絡的穩(wěn)定運行。3.2.5應用服務需求現代大型企業(yè)網絡應具備更智能的網絡管理解決方案，以適應網絡規(guī)模日益擴大，維護工作更加復雜的需要。當前的網絡已經開展成為"以應用為中心"的信息根基平臺，網絡管理能力的要求已經上升到了業(yè)務層次，傳統(tǒng)的網絡設備的智能已經不能有效支持網絡管理需求的開展。比方，網絡調試期間最消耗人力與物力的線纜故障定位工作，網絡運行期間對不同用戶靈活的服務策略部署、訪問權限控制、以及網絡日志審計和病毒控制能力等方面的管理工作，由于受網絡設備功能本身的限制，都還屬于費時、費力的任務。所以現代的大型企業(yè)網絡迫切需要網絡設備具備支撐"以應用為中心"的智能網絡運營維護的能力，并能夠有一套智能化的管理軟件，將網絡管理人員從繁重的工作中解脫出來。3.2本網絡系統(tǒng)需求分析網絡聯接的建筑物有五個：三個辦公樓、一個行政樓和一個在外省的銷售部。管理部、財務部和網絡部在行政樓中；市場部在辦公樓A；銷售部和人力資源部在辦公樓B；研發(fā)部在辦公樓C。我們把網絡中心設在行政樓，用光纖連接辦公樓A、B、C，構成公司網絡光纖主干網絡。企業(yè)服務器在行政樓。辦公樓4個，行政樓1個，1．劃分VLAN2．VTP動態(tài)學習VLAN3．PVST(選根，二層冗余)4．SVI〔VLAN間路由〕5．HSRP〔三層冗余〕6．DHCP7．根防護8．靜態(tài)路由9．SITE-TO-SITEVPN〔連接分公司，固定IP〕10.DNS11.ACL12．網管控制第四章網絡設計4.1設計網絡拓撲構造主干網絡設計如以以下圖：采用上設計圖優(yōu)點如下：構造整齊，層次清晰，便于管理；采用動態(tài)路由協議，維護簡單，擴展性好。4.2VLAN及IP地址規(guī)劃VLAN號VLAN名稱IP網段默認網關說明VLAN11/28管理VLANVLAN10GLB/24管理部VLANVLAN20CWB/24財務部VLANVLAN30WLB/24網絡部VLANVLAN40SCB/24市場部VLANVLAN50XSB/24銷售部VLANVLAN60RLZY/24人力資源部VLANVLAN70YFB/24研發(fā)部VLAN4.3設備命名4.3.1設備命名規(guī)那么為便于進展網絡故障診斷和遠程監(jiān)測，各個辦公樓將統(tǒng)一全轄網絡設備的命名。網絡系統(tǒng)中設備的命名使用五個字段組成，分別表示該設備所在區(qū)域，功能，層次，類型等，便于設備維護管理。設備名稱的字母全部采用大寫表示。主要網絡設備的ID命名規(guī)那么如下：A_B_C_D_E：A：辦公樓名稱〔如A、B等〕B：區(qū)域名稱〔如核心區(qū)、服務器區(qū)、辦公區(qū)、管理區(qū)、等，也可表示名稱〕C：區(qū)域層次〔如會聚層或接入層〕D：設備類型〔如核心交換機、路由器、防火墻、入侵檢測、等〕E：設備序列號〔如第一臺、第二臺、等〕根據上述描述，每個字段做如下進一步的明確：A：樓名稱分行名稱標識行政樓XZ辦公樓AA……B：區(qū)域名稱序號名稱描述1CORE核心區(qū)〔CoreZone〕2ADMIN管理區(qū)〔AdminZone〕3APPSVR業(yè)務服務器區(qū)〔App_ServerZone〕4APPUSR業(yè)務用戶接入區(qū)〔APP_UserZone5OAUSR辦公用戶接入區(qū)〔OA_UserZone〕6OASVR辦公服務器區(qū)(OA_ServerZone)7DMZDMZ區(qū)8TA終端接入區(qū)(TerminalAccessZone) C：區(qū)域層次序號名稱區(qū)域1DL會聚層〔DistributionLayer〕2AL接入區(qū)〔AccessLayer〕D：設備類型序號名稱描述1SW交換機2RT路由器3FW防火墻4IDS入侵檢測系統(tǒng)E：設備序列號序號名稱描述11同區(qū)同層第１臺設備22同區(qū)同層第2臺設備3……例如：XZ_CORE_SW_1：表示行政樓核心區(qū)(CORE)核心交換機〔SW〕第一臺〔1〕；XZ_ADMIN_DL_SW_1：表示行政樓管理區(qū)〔ADMIN〕會聚層〔DL〕交換機〔SW〕第一臺；4.3.1全網設備命名下面是全網設備命名：序號名稱描述1XZ_CORE_SW_1行政樓核心交換機—12XZ_CORE_SW_2行政樓核心交換機—23XZ_CORE_FW_1行政樓外聯防火墻—14XZ_CORE_FW_2行政樓外聯防火墻—25XZ_DMZ_DL_SW行政樓DMZ區(qū)會聚交換機6XZ_EXTCONN_RT行政樓外聯路由器7A_DL_SW_1A樓會聚交換機—18A_DL_SW_2A樓會聚交換機—29*_AL_SW_1*部接入交換機—110B_DL_SW_1B樓會聚交換機—111B_DL_SW_2B樓會聚交換機—212*_AL_SW_1*部接入交換機—113C_DL_SWC樓會聚交換機14C_DL-SW_2C樓會聚交換機—215C_AL_SW_1C樓接入交換機—116WS_RT外省路由器4.4模擬工具和環(huán)境介紹——PacketTracer4.4.1PacketTracer工具介紹PacketTracer是由Cisco公司發(fā)布的一個輔助學習工具，為學習思科網絡課程的初學者去設計、配置、排除網絡故障提供了網絡模擬環(huán)境。用戶可以在軟件的圖形用戶界面上直接使用拖曳方法建設網絡拓撲，并可提供數據包在網絡中行進的詳細處理過程，觀察網絡實時運行情況。可以學習IOS的配置、鍛煉故障排查能力。在界面的左下角一塊區(qū)域，這里有許多種類的硬件設備，從左至右，從上到下依次為路由器、交換機、集線器、無線設備、設備之間的連線〔Connections〕、終端設備、仿真廣域網、CustomMadeDevices〔自定義設備〕。在左下邊你會看到各種類型的線，依次為AutomaticallyChooseConnectionType〔自動選線，萬能的，一般不建議使用，除非你真的不知道設備之間該用什么線〕、控制線、直通線、穿插線、光纖、線、同軸電纜、DCE、DTE。其中DCE和DTE是用于路由器之間的連線，實際當中，你需要把DCE和一臺路由器相連，DTE和另一臺設備相連。而在這里，你只需選一根就是了，假設你選了DCE這一根線，那么和這根線先連的路由器為DCE，配置該路由器時需配置時鐘。穿插線只在路由器和電腦直接相連，或交換機和交換機之間相連時才會用到。對設備進展編輯在右邊有一個區(qū)域，從上到下依次為選定/取消、移動〔總體移動，移動某一設備，直接拖動它就可以了〕、PlaceNote〔先選中〕、刪除、Inspect〔選中后，在路由器、PC機上可看到各種表，如路由表等〕、simplePPD、complex。軟件界面的最右下角有兩個切換模式，分別是Realtimemode(實時模式)和Simulationmode〔模擬模式〕，實時模式顧名思意即時模式，也就是說是真實模式。舉個例子，兩臺主機通過直通雙絞線連接并將他們設為同一個網段，那么A主機PingB主機時，瞬間可以完成，這就是實時模式。而模擬模式，切換到模擬模式后主機A的CMD里將不會立即顯示ICMP信息，而是軟件正在模擬這個瞬間的過程，以人類能夠理解的方式展現出來。圖4.4.1CiscoPacketTracer模擬軟件4.4.2本設計的模擬圖圖4.4.2本設計的模擬圖4.5設備配置4.5.1根基配置以接入層交換機為例：圖4.5.1接入層交換機圖4.5.2配置截圖Switch>en進入特權模式Switch#conft進入全局模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#hostnameCW_AL_SW_1修改路由器或者交換機的名字，方便管理CW_AL_SW_1(config)#noipdomainlookup關閉域名查詢啟用與制止DNS服務器，在交換機默認配置的情況下，當我們輸入一條錯誤的交換機命令時，交換時機嘗試將其播送給網絡上的DNS服務器并將其解析成對應的IP地址。利用命令noipdomainlookup，可以禁用DNS服務器，可以減少輸入錯誤命令的等待時間CW_AL_SW_1(config)#lineconsole0進入CONCOLE0口線程下，通過CONSOLE線串口直接控制交換機或路由器接口設置登錄口令，如以以下圖：圖4.5.3交換機密碼設置4.5.2使用VTP從提高效率的角度出發(fā)，在企業(yè)網實現實例中使用了VTP技術。將會聚層XZ_DL_SW_1設置成為VTP服務器，其他交換機設置成為VTP客戶機。這里接入層交換機SW1將通過VTP獲得在分布層交換機FB1中定義的所有VLAN的信息。下面是配置截圖：圖4.5.4行政樓會聚層交換機VTP配置截圖XZ_DL_SW_1#vlandatabase特權模式下進入VLAN設置模式XZ_DL_SW_1(vlan)#vtpdomaincisco定義VTP域名ChangingVTPdomainnamefromNULLtociscoXZ_DL_SW_1(vlan)#vtpserver將該交換機設置為VTP的服務端DevicemodealreadyVTPSERVER.XZ_DL_SW_1(vlan)#vtpv2-mode啟用的VTP版本號為2V2modeenabsled.XZ_DL_SW_1(vlan)#vtppassword123456設置VTP的密碼為123456，交換機的VTP必須密碼一致才能同步SettingdeviceVLANdatabasepasswordto123456.XZ_DL_SW_1(vlan)#vtppruning啟用VTP修剪，激活VTP剪裁功能，默認情況下主干道傳輸所有VLAN的用戶數據。有時，交換網絡中某臺交換機的所有端口都屬于同一VLAN的成員，沒有必要接收其他VLAN的用戶數據。這時，可以激活主干道上的VTP剪裁功能。當激活了VTP剪裁功能以后，交換機將自動剪裁本交換機沒有定義的VLAN數據。

在一個VTP域下，只需要在VTP服務器上激活VTP剪裁功能。同一VTP域下的所有其他交換機也將自動激活VTP剪裁功能。退出VLAN配置模式進入特權模式APPLYcompleted.Exiting其他設備配置〔配置成用戶端〕下面以CW_AL_SW_1為例：圖4.5.5交換機VTP客戶模式配置CW_AL_SW_1#vlandaCW_AL_SW_1(vlan)#vtpdomainciscoChangingVTPdomainnamefromNULLtociscoCW_AL_SW_1(vlan)#vtpclient將FB2設置為客戶端，客戶端可以學習到服務端的所有VLAN信息。客戶模式是沒有創(chuàng)立、修改、刪除VLAN得權利的，它只能接收和轉發(fā)信息。而服務器模式擁有以上的所用功能。SettingdevicetoVTPCLIENTmode.CW_AL_SW_1(vlan)#vtpv2V2modeenabled.CW_AL_SW_1(vlan)#vtppassword123456SettingdeviceVLANdatabasepasswordto123456.CW_AL_SW_1(vlan)#exitAPPLYcompleted.Exiting4.5.3創(chuàng)立VLAN在XZ_DL_SW_1配置VLAN數據庫。配置截圖如下：圖4.5.6VLAN配置4.5.4交換鏈路封裝圖4.5.7交換鏈路封裝XZ_DL_SW_2(config)#intfa0/4進入要封裝的接口XZ_DL_SW_2(config-if)#switchporttrunkencapsulationdot1q進展封裝XZ_DL_SW_2(config-if)#switchportmodetrunk指定封裝模式XZ_DL_SW_2(config-if)#noshutdown開啟接口XZ_DL_SW_2(config)#interfacefastEthernet0/0XZ_DL_SW_2(config-if)#switchporttrunkencapsulationdot1qXZ_DL_SW_2(config-if)#switchportmodetrunkXZ_DL_SW_2(config-if)#noshutdown4.5.5NAT圖4.5.8靜態(tài)nat配置圖4.5.9動態(tài)nat配置XZ_WL_RT>enPassword:XZ_WL_RT#configConfiguringfromterminal,memory,ornetwork[terminal]?tEnterconfigurationcommands,oneperline.EndwithCNTL/Z. XZ_WL_RT(config)#ipnatpoolnat53netmask配置動態(tài)NAT轉換的地址池XZ_WL_RT(config)#ipnatpoolnat54netmaskXZ_WL_RT(config)#ipnatinsidesourcelist1poolnat配置動態(tài)NAT轉換的內部地址范圍XZ_WL_RT(config)#access-list1permit55XZ_WL_RT(config)#intse2/0XZ_WL_RT(config-if)#ipnatoutsideXZ_WL_RT(config-if)#exXZ_WL_RT(config)#intfa0/0XZ_WL_RT(config-if)#ipnatinsideXZ_WL_RT(config-if)#exXZ_WL_RT(config)#圖4.5.10查看NAT轉換的統(tǒng)計信息4.5.6DHCP/DNS圖4.5.11配置DHCPXZ_DL_SW(config)#ipdhcpexcluded-addressXZ_DL_SW(config)#ipdhcpexcluded-addressXZ_DL_SW(config)#ipdhcpexcluded-addressXZ_DL_SW(config)#ipdhcpexcluded-addressXZ_DL_SW(config)#ipdhcpexcluded-addressXZ_DL_SW(config)#ipdhcpexcluded-address先配置除去PC機不能使用的IP地址圖4.5.12配置DHCP,DNS,默認網關現在需要為路由器接口和所有的PC機接口配置IP地址。由于幾千個結點的網絡比較大，為每一臺PC手工配置地址的工作量相當大，所以我們要使用DHCP技術。XZ_DL_SW(config)#ipdhcppoolVLAN10創(chuàng)立地址池，VLAN10地址池network宣告網段default-router默認網關DNS-SERVERDNS地址ipdhcppoolVLAN20networkdefault-routerDNS-SERVERipdhcppoolVLAN30networkdefault-routerDNS-SERVERipdhcppoolVLAN40networkdefault-routerDNS-SERVERipdhcppoolVLAN50networkdefault-routerDNS-SERVERipdhcppoolVLAN60networkdefault-routerDNS-SERVERipdhcppoolVLAN70networkdefault-routerDNS-SERVER圖4.5.13DHCP服務請求成功4.5.7ACL圖4.5.14配置ACLWS_WL_RT(config)#access-list1permit55WS_WL_RT(config)#linevty04WS_WL_RT(config-line)#access-class1in在vty下應用aclWS_WL_RT(config-line)#passwordciscoWS_WL_RT(config-line)#loginWS_WL_RT(config-line)#圖4.5.15配置ACLXZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6deny55XZ_DL_SW_1(config)#access-list6permitanyXZ_DL_SW_1(config)#intvlan20XZ_DL_SW_1(config-if)#ipacc6outXZ_DL_SW_1(config-if)#XZ_DL_SW_1(config-if)#XZ_DL_SW_1(config)#圖4.5.16配置擴展ACL4.5.8PVST圖4.5.17配置PVST由于網絡拓撲比較大，兩兩相連加冗余會出現環(huán)路，所以需要配置二層防環(huán)的PVST首先要選舉根橋，我們這里手工指定XZ_AL_SW為VLAN10的主根，VLAN203060的備份根。Switch>enSwitch#configConfiguringfromterminal,memory,ornetwork[terminal]?tEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#spanning-treemodepvst開啟PVST生成樹模式Switch(config)#spanning-treevlan20rootprimary設置為VLAN20的主根Switch(config)#spanning-treevlan10,30rootsecondary設置為VLAN1030的備份根Switch(config)#4.5.9路由協議外聯路由器配置EIGRP，總部外聯路由配置如以以下圖：圖4.5.18總部外聯路由協議配置XZ_WL_RT(config)#routereigrp100啟用EIGRP協議XZ_WL_RT(config-router)#network5把/28網段宣告進協議中XZ_WL_RT(config-router)#network55XZ_WL_RT(config-router)#network55XZ_WL_RT(config-router)#network55圖4.5.19外省外聯路由協議配置WS_WL_RT(config)#routereigrp100啟用EIGRP協議WS_WL_RT(config-router)#network把/30網段宣告進協議中WS_WL_RT(config-router)#networkEIGRP還有自動匯總的功能，當不需要時：WS_WL_RT(config-router)#noauto-summary關閉自動匯總功能4.5.10網管控制圖4.5.20配置網絡管理為了方便管理員對企業(yè)網安全方便的管理控制，我們需要對坐配置使得管理員能都使用PC直接連接或遠程登陸到到交換機進展控制。XZ_DL_SW(config)#linevty04進入VTY線程下XZ_DL_SW(config-line)#passwordcisco配置遠程訪問交換機的密碼XZ_DL_SW(config-line)#login登陸驗證XZ_DL_SW(Config-line)#exec-timeout11配置登錄交換機虛擬終端線的超時時間為1分11秒鐘HX2(config-line)#linecon0HX2(config-line)#passwordcisco2HX2(config-line)#loginHX2(config-line)#exec-timeout114.5.11其他配置圖4.5.21配置幀中繼圖4.5.22配置接口速率和工作模式第五章安全策略網絡安全策略的總體目標是保護網絡不受攻擊，控制異常行為影響網絡高效數據轉發(fā)，以及保護服務器區(qū)的資源。5.1安全分析5.1.1應用服務器內部安全分析應用系統(tǒng)服務器按應用類型被分為業(yè)務展現層〔Web層〕，應用/業(yè)務邏輯層〔AP〕和數據庫層〔DB層〕。安全風險存在于：低安全級別服務器對高安全級別服務器上不適應的訪問；授權用戶端對服務器的不適當訪問；非授權用戶端對服務器的不適當訪問；不同應用系統(tǒng)服務器之間非授權的不適當訪問；惡意代碼對服務器的不良影響。5.1.2應用系統(tǒng)之間安全分析應用系統(tǒng)之間的互訪，安全風險主要存在于：不同應用系統(tǒng)服務器之間非授權的不適當訪問；應用系統(tǒng)不同安全等級服務器之間不適當的互訪。5.1.3客戶端與服務器之間安全分析客戶端訪問服務器，主要的安全風險存在于：非授權客戶端不適當的訪問服務器；授權客戶端不適當的訪問高安全級別的服務器。5.1.4客戶端之間安全分析在辦公樓和行政樓用戶端之間，安全風險存在于：用戶端訪問另一端用戶端上的非授權數據；用戶端利用另一類用戶端到達對非授權服務器的非法訪問。5.1.5網絡設備自身安全分析網絡設備自身的安全風險主要有：網絡設備的物理安全；網路設備操作系統(tǒng)Bug和對外提供的網絡服務風險；網絡管理協議SNMP非授權訪問的風險；設備訪問密碼安全；設備用戶安全風險。5.2安全技術5.2.1網絡分區(qū)網絡安全設計基于分行根基設施總體架構設計中使用的模塊化設計方案，是基于業(yè)界企業(yè)級網絡參考架構和安全架構進展的，在設計中考慮了網絡的擴展性、可用性、管理性、高性能等因素，也重點覆蓋了安全性設計。通過網絡分區(qū)，明確不同網絡區(qū)域之間的安全關系，也可以對每一個區(qū)域進展安全的評估和實施，不必考慮對其他區(qū)域的影響，保障了網絡的高擴展性、可管理性和彈性。到達了一定程度的物理安全性。5.2.2VLAN在局域網內采用VLAN技術，出了在網絡性能、管理方面的有點外，在網絡安全上，也具有明顯的優(yōu)點：限制局域網中的播送包；隔離不同的網段，使不同VLAN之間的設備互通必須經過路由，為安全控制提供了根基；提供了根基的安全性，VLAN之間的數據包在鏈路層上隔離，防止數據不適當的轉發(fā)或竊聽。5.2.3ACLACL通過對網絡數據源地址、源端口、目的地址、目的端口全部或局部組合的控制，能夠限制數據在網絡中的傳輸。在網絡中應用ACL，能夠到達這樣一些目的：阻斷網絡中的異常流量應用系統(tǒng)間訪問控制SNMP網管工作站控制設備本身防范5.2.4防火墻專用的硬件防火墻，是網絡中重要的安全設備，為網絡提供快速、安全的保護。專用的軟硬件，設備本身安全性很高；提