大型企業(yè)網(wǎng)絡設計本科畢業(yè)設計

大型企業(yè)網(wǎng)絡設計一、課題內(nèi)容和要求XX集團是一個以煤炭產(chǎn)品為主， 兼營大型礦井建設、工業(yè)與民用建筑設計與施工、地基與基礎處理、地質(zhì)勘探、商業(yè)等行業(yè)的綜合性集團公司。 XX集團作為一個全國200強的集團公司，下轄生產(chǎn)礦、建井處、機械廠等二級單位 40余家，各個相對獨立的生產(chǎn)服務單位，如財務、運銷、醫(yī)療衛(wèi)生、遠程教學、綜合統(tǒng)計等，都必須實現(xiàn)網(wǎng)上信息傳輸。XX集團的網(wǎng)絡建設于2005年1月左右，當時建設的網(wǎng)絡為XX集團各項業(yè)務信息化立下了汗馬功勞。隨著近幾年計算機網(wǎng)絡技術的不斷發(fā)展，計算機及網(wǎng)絡的使用者水平不斷提高，集團網(wǎng)絡上需要承載的應用不斷增多，網(wǎng)絡中病毒流行、廣播信息較多，各項關鍵業(yè)務網(wǎng)絡安全得不到保障。XX集團充分認識到計算機網(wǎng)絡作為信息化基石的巨大作用，決定改造XX集團網(wǎng)絡系統(tǒng)?，F(xiàn)在要求做出該集團的網(wǎng)絡設計方案，在該方案中，用戶有如下的需求：由于該網(wǎng)絡為承載整個集團的基礎骨干，面對日益突出的信息安全問題，要求網(wǎng)絡系統(tǒng)集成的相應的安全特性。由于前期網(wǎng)絡中使用的普通交換機、HUB無法進行安全規(guī)則設置，網(wǎng)絡攻擊常常影響網(wǎng)絡正常業(yè)務以及用戶正常上網(wǎng)，關鍵業(yè)務無法保障，因此新建的網(wǎng)絡平臺需要提供防止DOS攻擊的能力。在多業(yè)務共同存在的網(wǎng)絡設備之上，各業(yè)務屬于不同的區(qū)域，要求實現(xiàn)內(nèi)部網(wǎng)絡按用戶、功能進行VLAN、網(wǎng)段劃分。針對不同的用戶類型，制定相應的訪問、控制權限。由于接入ISP提供的互聯(lián)網(wǎng)出口提供1個公有IP，要求解決集團內(nèi)部對外部網(wǎng)絡的訪問需求，且要實現(xiàn)發(fā)布對外的WEB、FTP服務。支持10GE或將來平滑過渡到10GE；集團內(nèi)部各個建筑物都有1對8芯的單模光纖連接到主建筑物（即網(wǎng)絡中心所在地），所有建筑物到主建筑物之間的距離在600M～～10000M之間；每個建筑物內(nèi)部都有適當?shù)膬?nèi)部布線，以實現(xiàn)所需連接。二、需求分析2.1案例分析Cisco公司已經(jīng)成功地在中國實踐了前述的教育網(wǎng)絡設計思想，特別是河南省教育科研寬帶IP骨干網(wǎng)絡全部采用了先進的高速寬帶 光傳輸網(wǎng)絡技術，已經(jīng)成為這類新型教育網(wǎng)絡的典范。河南省教育科研寬帶IP網(wǎng)絡全面采用Cisco公司的AVVID網(wǎng)絡體系結構，一期工程總共采用了10臺CiscoGSR12016和GSR12012，近20臺CiscoOSR6509，其他各類交換機和路由器數(shù)百臺。該網(wǎng)絡集成了遠程教學等多種多媒體應用，特別是采用了550部Cisco的新型7940IP電話和4套CallManager組建了我國第一個省級IPTelephony網(wǎng)絡，并結合Cisco視頻產(chǎn)品IPTV系列建立了許多新的教育模式。這一網(wǎng)絡基于分層設計分為三層：骨干傳輸網(wǎng)、城域網(wǎng)、接入網(wǎng)，采用三級管理模式：省網(wǎng)絡中心、地市網(wǎng)絡中心、校園網(wǎng)，連接省內(nèi)各大中專院校、各中小學校、各級教育主管部門和其他教育科研單位，未來更將延伸到每一個需要教育培訓的公眾面前。骨干網(wǎng)絡由分布在17個地市的核心節(jié)點組成，與河南省廣電合作利用其光纖資源，全省形成環(huán)網(wǎng)狀冗余拓撲結構。在各個核心節(jié)點分別配置Cisco公司在國際上多次獲獎的千兆位路由交換機GSR12000系列中的12016和12012作為核心傳輸設備，節(jié)點間使用裸光纖配合POS技術實現(xiàn)OC-482.48G鏈路互連并采用HSRP技術，以提供物理層、鏈路層及IP層的冗余連接能力。根據(jù)各地市的具體情況，可以建設城域教育網(wǎng)絡也可以在核心節(jié)點配置匯接設備直接解決接入網(wǎng)絡的接入問題，匯接設備可選用Cisco12012或6509，采用POS、DPT或千兆以太技術，傳輸速率可達1～2.48Gbps，具體設計可以非常靈活?；贑iscoIOS的多功能網(wǎng)絡平臺：網(wǎng)絡中采用的網(wǎng)絡設備均采用 CiscoIOS(InternetworkingOperationSystem互聯(lián)網(wǎng)絡操作系統(tǒng))為核心功能軟件。CiscoIOS集成了路由技術，局域網(wǎng)交換技術，ATM交換技術，各種移動遠程訪問接入技術，廣域網(wǎng)互連技術等超過

15,000

個網(wǎng)絡互連功能，已經(jīng)成為網(wǎng)絡互連的標準。CiscoIOS

系統(tǒng)支持今天的絕大多數(shù)網(wǎng)絡應用系統(tǒng)，同時

CiscoIOS系統(tǒng)可提供從數(shù)據(jù)鏈路層到應用層的多種網(wǎng)絡服務，如：L2/L3VPN(虛擬專網(wǎng))，VPDN(虛擬撥號專網(wǎng))，以及對MPLS技術的支持允許提供各種網(wǎng)絡增值服務。豐富的網(wǎng)絡安全機制：網(wǎng)絡設計是按照標準 ISP(國際互聯(lián)網(wǎng)絡服務商)方式設計的IP交換網(wǎng)絡平臺。整個網(wǎng)絡與國際互聯(lián)網(wǎng)絡平滑連接， 因此網(wǎng)絡的安全性尤其重要。方案中采用 CiscoIOS多種安全策略：網(wǎng)絡路由信息交換安全策略：包含路由器的認證，路由信息過濾，多種動態(tài)路由協(xié)議信息交換控制等。網(wǎng)絡服務安全控制：包含標準訪問控制列表(ACL)，擴展的訪問控制列表(ExtendACL)

，動態(tài)訪問控制列表

(RefliexACL)

，按數(shù)據(jù)流的訪問統(tǒng)計和監(jiān)控(Netflow)

，網(wǎng)絡資源訪問用戶認證

/授權和記帳

(lock&key)

?；诰W(wǎng)絡層的加密：網(wǎng)絡設備可提供基于標準的網(wǎng)絡層加密技術：IPSec，可以提供高可靠的網(wǎng)絡訪問安全機制。網(wǎng)絡攻擊防范：CiscoIOS可通過對網(wǎng)絡訪問連接的監(jiān)控和分析，發(fā)現(xiàn)可能出現(xiàn)的網(wǎng)絡攻擊，如SyncAttack等，并采取相應的的控制手段保護網(wǎng)絡資源。網(wǎng)絡系統(tǒng)告警(Syslog)：網(wǎng)絡中采用的設備可對監(jiān)控到的網(wǎng)絡攻擊和各種非正常訪問發(fā)出告警，提醒網(wǎng)絡管理人員及時發(fā)現(xiàn)問題并采取相應安全策略。設備安全：網(wǎng)絡的各種安全策略的實現(xiàn)均基于網(wǎng)絡設備的安全設置，這使得網(wǎng)絡設備本身的安全控制顯得尤其重要。網(wǎng)絡設備本身具有多種訪問控制安全策略：1)多級訪問控制密碼：網(wǎng)絡中各設備訪問控制可通過 15級不同的訪問權限，網(wǎng)管人員可設置不同的訪問權限。如：普通操作員只能監(jiān)視設備運行，不可進行其他操作；高級的管理員可做故障診斷，不可修改設備配置文件；系統(tǒng)管理員可具有所有功能權限等。2)網(wǎng)絡管理系統(tǒng)的安全控制：由于本網(wǎng)絡中網(wǎng)絡管理系統(tǒng)采用標準的 SNMP網(wǎng)絡管理技術，因此網(wǎng)絡設備的網(wǎng)管可能出現(xiàn)漏洞。本網(wǎng)絡中的網(wǎng)絡設備可提供多種保護手段，如：特別的網(wǎng)管訪問密碼；由設備指定特別的網(wǎng)絡管理工作站系統(tǒng)等。易管理維護的網(wǎng)絡：由于采用了 IP骨干技術、DHCP技術和MPLS技術，使得網(wǎng)絡的管理簡單化。這可以使網(wǎng)絡管理人員大為精簡，節(jié)約運行開銷。網(wǎng)絡管理人員只需在規(guī)劃好的網(wǎng)絡結構內(nèi)提供各個接入網(wǎng)絡的接入控制即能實行各種網(wǎng)絡服務。網(wǎng)絡系統(tǒng)的管理工作重點變?yōu)閷τ诠歉删W(wǎng)絡的運行實施系統(tǒng)監(jiān)控。由于采用的網(wǎng)絡設備自身已具備較為完善的網(wǎng)絡管理、監(jiān)控和維護功能，因此采用建立一個管理工具齊全的集中的網(wǎng)絡管理中心即可實現(xiàn)全網(wǎng)絡的系統(tǒng)管理和監(jiān)控 [11]。2.2 大型企業(yè)網(wǎng)絡分析為適應企業(yè)信息化的發(fā)展，滿足日益增長的通信需求和網(wǎng)絡的穩(wěn)定運行，今天的企業(yè)網(wǎng)絡建設比傳統(tǒng)企業(yè)網(wǎng)絡建設有更高的要求，本文將通過對如下幾個方面的需求分析來規(guī)劃出一套最適用于目標網(wǎng)絡的拓撲結構。2.2.1 寬帶性能需求現(xiàn)代大型企業(yè)網(wǎng)絡應具有更高的帶寬，更強大的性能，以滿足用戶日益增長的通信需求。隨著計算機技術的高速發(fā)展，基于網(wǎng)絡的各種應用日益增多，今天的企業(yè)網(wǎng)絡已經(jīng)發(fā)展成為一個多業(yè)務承載平臺。不僅要繼續(xù)承載企業(yè)的辦公自動化，Web瀏覽等簡單的數(shù)據(jù)業(yè)務，還要承載涉及企業(yè)生產(chǎn)運營的各種業(yè)務應用系統(tǒng)數(shù)據(jù)，以及帶寬和時延都要求很高的IP電話、視頻會議等多媒體業(yè)務。因此，數(shù)據(jù)流量將大大增加，尤其是對核心網(wǎng)絡的數(shù)據(jù)交換能力提出了前所未有的要求。另外，隨著千兆位端口成本的持續(xù)下降，千兆位到桌面的應用會在不久的將來成為企業(yè)網(wǎng)的主流。從2004年全球交換機市場分析可以看到，增長最迅速的就是10Gbps級別機箱式交換機，可見，萬兆位的大規(guī)模應用已經(jīng)真正開始。所以，今天的企業(yè)網(wǎng)絡已經(jīng)不能再用百兆位到桌面千兆位骨干來作為建網(wǎng)的標準，核心層及骨干層必須具有萬兆位級帶寬和處理性能，才能構筑一個暢通無阻的"高品質(zhì)"大型企業(yè)網(wǎng)，從而適應網(wǎng)絡規(guī)模擴大，業(yè)務量日益增長的需要 [7]。2.2.2 穩(wěn)定可靠需求現(xiàn)代大型企業(yè)的網(wǎng)絡應具有更全面的可靠性設計， 以實現(xiàn)網(wǎng)絡通信的實時暢通，保障企業(yè)生產(chǎn)運營的正常進行。隨著企業(yè)各種業(yè)務應用逐漸轉移到計算機網(wǎng)絡上來，網(wǎng)絡通信的無中斷運行已經(jīng)成為保證企業(yè)正常生產(chǎn)運營的關鍵?，F(xiàn)代大型企業(yè)網(wǎng)絡在可靠性設計方面主要應從以下 3個方面考慮。設備的可靠性設計：不僅要考察網(wǎng)絡設備是否實現(xiàn)了關鍵部件的冗余備份，還要從網(wǎng)絡設備整體設計架構、處理引擎種類等多方面去考察。業(yè)務的可靠性設計：網(wǎng)絡設備在故障倒換過程中，是否對業(yè)務的正常運行有影響。鏈路的可靠性設計：以太網(wǎng)的鏈路安全來自于多路徑選擇，所以在企業(yè)網(wǎng)絡建設時，要考慮網(wǎng)絡設備是否能夠提供有效的鏈路自愈手段，以及快速重路由協(xié)議的支持[7]。2.2.3 服務質(zhì)量需求現(xiàn)代大型企業(yè)網(wǎng)絡需要提供完善的端到端 QoS保障，以滿足企業(yè)網(wǎng)多業(yè)務承載的需求。大型企業(yè)網(wǎng)絡承載的業(yè)務不斷增多，單純的提高帶寬并不能夠有效地保障數(shù)據(jù)交換的暢通無阻，所以今天的大型企業(yè)網(wǎng)絡建設必須要考慮到網(wǎng)絡應能夠智能識別應用事件的緊急和重要程度，如視頻、音頻、數(shù)據(jù)流（ MIS、ERP、OA、備份數(shù)據(jù)）。同時能夠調(diào)度網(wǎng)絡中的資源， 保證重要和緊急業(yè)務的帶寬、 時延、優(yōu)先級和無阻塞的傳送，實現(xiàn)對業(yè)務的合理調(diào)度才是一個大型企業(yè)網(wǎng)絡提供 "高品質(zhì)"服務的保障[7]。2.2.4 網(wǎng)絡安全需求現(xiàn)代大型企業(yè)網(wǎng)絡應提供更完善的網(wǎng)絡安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟損失。傳統(tǒng)企業(yè)網(wǎng)絡的安全措施主要是通過部署防火墻、 IDS、殺毒軟件，以及配合交換機或路由器的 ACL來實現(xiàn)對病毒和黑客攻擊的防御，但實踐證明這些被動的防御措施并不能有效地解決企業(yè)網(wǎng)絡的安全問題。在企業(yè)網(wǎng)絡已經(jīng)成為公司生產(chǎn)運營的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡必須要有一整套從用戶接入控制，病毒報文識別到主動抑制的一系列安全控制手段，這樣才能有效地保證企業(yè)網(wǎng)絡的穩(wěn)定運行[7]。2.2.5 應用服務需求現(xiàn)代大型企業(yè)網(wǎng)絡應具備更智能的網(wǎng)絡管理解決方案，以適應網(wǎng)絡規(guī)模日益擴大，維護工作更加復雜的需要。當前的網(wǎng)絡已經(jīng)發(fā)展成為 "以應用為中心"的信息基礎平臺，網(wǎng)絡管理能力的要求已經(jīng)上升到了業(yè)務層次，傳統(tǒng)的網(wǎng)絡設備的智能已經(jīng)不能有效支持網(wǎng)絡管理需求的發(fā)展。比如，網(wǎng)絡調(diào)試期間最消耗人力與物力的線纜[7]。故障定位工作，網(wǎng)絡運行期間對不同用戶靈活的服務策略部署、訪問權限控制、以及網(wǎng)絡日志審計和病毒控制能力等方面的管理工作，由于受網(wǎng)絡設備功能本身的限制，都還屬于費時、費力的任務。所以現(xiàn)代的大型企業(yè)網(wǎng)絡迫切需要網(wǎng)絡設備具備支撐"以應用為中心"的智能網(wǎng)絡運營維護的能力，并能夠有一套智能化的管理軟件，將網(wǎng)絡管理人員從繁重的工作中解脫出來2.3本課題系統(tǒng)需求分析該企業(yè)位于北京市海淀區(qū)中關村，網(wǎng)絡聯(lián)接的建筑物有三個：兩個辦公樓和一個行政樓。管理部、財務部和網(wǎng)絡部在行政樓中；市場部在辦公樓A；銷售部和人力資源部在辦公樓 B。所以我們已建筑物的中心也就是行政樓的三層為網(wǎng)絡的中心，用光纖連接辦公樓A、B，構成電子商務公司網(wǎng)絡光纖主干。辦公樓2個，行政樓1個1．劃分VLAN（見表1）2．VTP動態(tài)學習VLAN3．PVST(選根，二層冗余)4．SVI（VLAN間路由）5．HSRP（三層冗余）6．DHCP7．根防護8．3個FAST9．靜態(tài)路由10．SITE-TO-SITEVPN（連接分公司，固定 IP）11．AAA12．PBR（20M專線）13．網(wǎng)管控制三、概要設計3.1大型企業(yè)網(wǎng)絡的定位企業(yè)網(wǎng)是指覆蓋企業(yè)和企業(yè)與分公司之間的網(wǎng)絡，為企業(yè)的多種通信協(xié)議提供綜合傳送平臺的網(wǎng)絡。企業(yè)網(wǎng)應以多業(yè)務光傳輸網(wǎng)絡為基礎，實現(xiàn)語音、數(shù)據(jù)、圖像、多媒體等的接入。企業(yè)網(wǎng)是企業(yè)內(nèi)各部門的橋接區(qū)，主要完成接入網(wǎng)中的子公司和工作人員與企業(yè)骨干業(yè)務網(wǎng)絡之間全方位的互通。因此電子商務公司企業(yè)網(wǎng)的定位應是為企業(yè)網(wǎng)應用提供多業(yè)務傳送的綜合解決方案。3.2關鍵技術研究本設計方案采用的是全部 Cisco的網(wǎng)絡設備，全網(wǎng)使用統(tǒng)一廠家得設備以實現(xiàn)各種不同網(wǎng)絡設備功能的互相配合和補充。還有就是一些網(wǎng)絡協(xié)議都是一些廠家私有的，如EIGRP、HDLC等。因為每個廠家都有屬于自己的 EIGRP、HDLC所以不同廠家的設備就不能使用這些網(wǎng)絡協(xié)議。3.2.1路由技術路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡中傳遞數(shù)據(jù)時選擇最佳路徑的能力。除了可以完成主要的路由任務，利用訪問控制列表，路由器還可以用來完成以路由器為中心的流量控制和過濾功能。在本工程案例設計中，內(nèi)網(wǎng)用戶不僅通過路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過 3層交換機上的路由功能進行數(shù)據(jù)包交換。路由器是外網(wǎng)進入企業(yè)網(wǎng)內(nèi)網(wǎng)的第一道關卡，是網(wǎng)絡防御的前沿陣地。路由器上的訪問控制列表（AccessControlList ，ACL）是保護內(nèi)網(wǎng)安全的有效手段。一個設計良好的訪問控制列表不僅可以起到控制網(wǎng)絡流量、流向的作用，還可以在不增加網(wǎng)絡系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的第一道屏障，所以即使在網(wǎng)絡系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進行縝密的設計，來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實施保護 [2]。3.2.2交換技術傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層?，F(xiàn)代交換技術還實現(xiàn)了第3層交換和多層交換。高層交換技術的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強了企業(yè)網(wǎng)數(shù)據(jù)交換服務質(zhì)量，滿足了不同類型網(wǎng)絡應用程序的需要?，F(xiàn)代交換網(wǎng)絡還引入了虛擬局域網(wǎng)（VirtualLAN，VLAN）的概念。VLAN將廣播域限制在單個VLAN內(nèi)部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術來實現(xiàn)。當網(wǎng)絡管理人員需要管理的交換機數(shù)量眾多時，可以使用VLAN中繼協(xié)議（VlanTrunkingProtocol，VTP）簡化管理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網(wǎng)絡管理人員的工作負擔和工作強度。為了簡化交換網(wǎng)絡設計、提高交換網(wǎng)絡的可擴展性，在企業(yè)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進行的。企業(yè)網(wǎng)數(shù)據(jù)交換設備可以劃分為三個層次：接入層、分布層、核心層。接入層為所有的終端用戶提供一個接入點；分布層除了負責將訪問層交換機進行匯集外，還為整個交換網(wǎng)絡提供VLAN間的路由選擇功能；核心層將各分布層交換機互連起來進行穿越企業(yè)網(wǎng)骨干的高速數(shù)據(jù)交換。在本工程案例設計中，也將采用這三層進行分開設計、配置 [3]。3.2.3 遠程訪問技術遠程訪問也是企業(yè)網(wǎng)絡必須提供的服務之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務。遠程訪問有三種可選的服務類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務質(zhì)量不同，花費也不相同。企業(yè)用戶可以根據(jù)所需帶寬、本地服務可用性、花費等因素綜合考慮，選擇一種適合企業(yè)自身需要的廣域網(wǎng)接入方案。在本工程案例設計中，分別采用專線連接的VPN和PBR兩種方式實現(xiàn)遠程訪問需求[4]。3.2.4VLANVLAN（VirtualLocalAreaNetwork ）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術。IEEE于1999年頒布了用以標準化 VLAN實現(xiàn)方案的802.1Q協(xié)議標準草案。VLAN技術允許網(wǎng)絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉發(fā)到其他VLAN中，即使是兩臺計算機有著同樣的網(wǎng)段， 但是它們卻沒有相同的 VLAN號，它們各自的廣播流也不會相互轉發(fā),從而有助于控制流量、減少設備投資、簡化網(wǎng)絡管理、提高網(wǎng)絡的安全性。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡。既然VLAN隔離了廣播風暴，同時也隔離了各個不同的VLAN之間的通訊，所以不同的VLAN之間的通訊是需要有路由來完成的[5]。3.2.5VPNVPN的英文全稱是“VirtualPrivateNetwork ”，翻譯過來就是“虛擬專用網(wǎng)絡”。顧名思義，虛擬專用網(wǎng)絡我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。 它可以通過特殊的加密的通訊協(xié)議在連接在 Internet 上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬件設備。 VPN技術原是路由器具有的重要技術之一，目前在交換機，防火墻設備或WINDOWS2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡建立虛擬私有網(wǎng)。虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)[4]。3.2.6RIPRIP

（RoutingInformationProtocols

，路由信息協(xié)議）是應用較早、使用較普遍的

IGP（Interior

GatewayProtocol

，內(nèi)部網(wǎng)關協(xié)議），適用于小型同類網(wǎng)絡，是典型的距離矢量（distance-vector ）協(xié)議。RIP 協(xié)議跳數(shù)做為衡量路徑開銷的， RIP協(xié)議里規(guī)定最大跳數(shù)為

15。RIP

協(xié)議有兩個版本

RIPv1和

RIPv2。RIPv1 屬于有類路由協(xié)議，不支持 VLSM（變長子網(wǎng)掩碼），RIPv1是以廣播的形式進行路由信息 的更新的；更新周期為 30秒。RIPv2

屬于無類路由協(xié)議，支持

VLSM（變長子網(wǎng)掩碼），RIPv2是以組播的形式進行路由信息的更新的，組播地址是。RIPv2還支持基于端口的認證，提高網(wǎng)絡的安全性。3.2.7AAA認證AAA----- 身份驗證 (Authentication) 、授權 (Authorization) 和統(tǒng)計(Accounting)Cisco 開發(fā)的一個提供網(wǎng)絡安全的系統(tǒng)。AAA，認證

(Authentication)

：驗證用戶的身份與可使用的網(wǎng)絡服務

;授權(Authorization)

：依據(jù)認證結果開放網(wǎng)絡服務給用戶

;計帳(Accounting)

：記錄用戶對各種網(wǎng)絡服務的用量，并提供給計費系統(tǒng)。整個系統(tǒng)在網(wǎng)絡管理與安全問題中十分有效。首先，認證部分提供了對用戶的認證。整個認證通常是采用用戶輸入用戶名與密碼來進行權限審核。認證的原理是每個用戶都有一個唯一的權限獲得標準。由服務器將用戶的標準同數(shù)據(jù)庫中每個用戶的標準一一核對。如果符合，那么對用戶認證通過。如果不符合，則拒絕提供網(wǎng)絡連接。接下來，用戶還要通過授權來獲得操作相應任務的權限。比如，登陸系統(tǒng)后，用戶可能會執(zhí)行一些命令來進行操作，這時，授權過程會檢測用戶是否擁有執(zhí)行這些命令的權限。簡單而言，授權過程是一系列強迫策略的組合，包括：確定活動的種類或質(zhì)量、資源或者用戶被允許的服務有哪些。授權過程發(fā)生在認證上下文中。一旦用戶通過了認證，他們也就被授予了相應的權限。 最后一步是帳戶，這一過程將會計算用戶在連接過程中消耗的資源數(shù)目。這些資源包括連接時間或者用戶在連接過程中的收發(fā)流量等等?？梢愿鶕?jù)連接過程的統(tǒng)計日志以及用戶信息，還有授權控制、賬單、趨勢分析、資源利用以及容量計劃活動來執(zhí)行帳戶過程。驗證授權和帳戶由 AAA服務器來提供。AAA服務器是一個能夠提供這三項服務的程序。當前同 AAA服務器協(xié)作的網(wǎng)絡連接服務器接口是“遠程身份驗證撥入用戶服務(RADIUS)”[10]。四、詳細設計4.1大型企業(yè)網(wǎng)絡拓撲圖圖4-1 網(wǎng)絡拓撲圖4.2VLAN及IP地址的規(guī)劃表1VLAN劃分VLAN號VLAN名稱IP網(wǎng)段默認網(wǎng)關說明VLAN1GLVLAN/2454管理VLANVLAN10GLB/254管理部VLANVLAN20SCB/254市場部VLANVLAN30CWB/254財務部VLANVLAN40XSB/254銷售部VLANVLAN50RLZY/254人力資源部VLANVLAN60WLB/254網(wǎng)絡部VLAN路由器R1與電信連接的接口 F0/0IP為0/24 ，與HX1連接的接口F1/1IP為/24 ，與HX2連接的接口F1/2IP為/24, 與R2連接的接口F1/3IP為/24 。路由器R2與網(wǎng)通連接的接口 F0/0IP為0/24 ，與HX1連接的接口F1/2IP為/24 ，與HX2連接的接口F1/1IP為/24, 與R2連接的接口

F1/3IP

為

/24

。路由器R3與HX1連接的接口F1/1IP為/24，與HX2連接的接口F1/2IP為/24，與server連接的接口F1/0IP為/24。路由器R4上與電信連接的接口 F1/0IP為0/24 ，與網(wǎng)通連接的接口F1/1IP為0/24，與SW11連接的接口F1/2IP為/22。交換機HX1與R1相連的接口F1/0IP為/24,與R2相連的接口F1/1IP為/24,與R3相連的接口F1/2IP為/24。交換機HX2與R1相連的接口F1/0IP為/24,與R2相連的接口F1/1IP為/24,與R3相連的接口F1/2IP為/24。4.3關鍵網(wǎng)絡設備及數(shù)量核心層交換機：CiscoCatalyst6509交換機2臺匯聚層交換機：CiscoCatalyst4509交換機4臺接入層交換機：CiscoCatalyst295024口交換機100臺接入路由器： Cisco3500 路由器 4 臺4.4關鍵網(wǎng)絡設備介紹圖8Cisco6509 交換機Catalyst6509 是帶有9個插槽的交換機機箱，它可以加兩個電源，可按需求配置不同功能類型的模塊（如防火墻模塊、入侵檢模塊、VPN模塊、SSL加速模塊、網(wǎng)絡流量分析模塊等），更靈活應用在不同需求的網(wǎng)絡設計平臺上，提高穩(wěn)定性及安全性。首先，為

Catalyst6509

核心交換機配備

CiscoCatalyst6500SupervisorEngine720模塊。SupervisorEngine720支持Catalyst6500系列的第三代模塊，能夠為企業(yè)和電信運營商網(wǎng)絡提供先進的IP服務，并提高端口密度，因而非常適合部署在高性能的核心層、數(shù)據(jù)中心和城域網(wǎng)中。由于使用同一套接口、操作系統(tǒng)和管理工具，Catalyst6500 系列監(jiān)控引擎(SupervisorEngines) 能提供操作一致性——可使用相同的備件，所有模塊都具有可以預測的性能和多種功能。增強型QOS機制、基于硬件的GRE隧道和NAT，以及由硬件加速的基于MPLS的高性能服務；支持基于用戶的Microflow監(jiān)管，對每個用戶實施服務等級協(xié)議；采用分布式轉發(fā)模式，提供高達200Mpps的硬件IPv6能力，可以順利過渡到Internet2和其他支持3G和PDA的通信網(wǎng)絡；配備光纖通道接口模塊滿足光纖接入需求。加6500系列的防火墻服務模塊（FWSM）可以為大型企業(yè)和服務供應商提供無以倫比的安全性、可靠性和性能。Catalyst6500 系列和為企業(yè)網(wǎng)絡和服務供應商網(wǎng)絡提供了一系列高性能多層交換解決方案。6500系列提供了廣泛的智能交換解決方案，使公司內(nèi)部網(wǎng)和Internet能夠支持多媒體、關鍵任務數(shù)據(jù)和語音應用。6500系列交換機為園區(qū)網(wǎng)提供了高性能、多層交換的解決方案，專門為需要千兆擴展、可用性高、多層交換的應用環(huán)境設計，主要面向園區(qū)骨干連接等場合。圖

9CiscoCatalyst4500

系列交換機CiscoCatalyst4500 系列能夠為無阻礙的第 2/3/4 層交換提供集成式彈性，因而能進一步加強對融合網(wǎng)絡的控制 （見圖9）?？捎眯愿叩娜诤险Z音/視頻/數(shù)據(jù)網(wǎng)絡能夠為正在部署基于互聯(lián)網(wǎng)企業(yè)應用的企業(yè)和城域以太網(wǎng)客戶提供業(yè)務彈性。作為新一代

CiscoCatalyst4000

系列平臺，

CiscoCatalyst4500

系列包括三種新型CiscoCatalyst 機箱：CiscoCatalyst 4507R（七個插槽）、CiscoCatalyst4506（六個插槽）和CiscoCatalyst4503 （三個插槽）。CiscoCatalyst4500 系列中提供的集成式彈性增強包括 1＋1超級引擎冗余（只對CiscoCatalyst 4507R）、集成式IP電話電源、基于軟件的容錯以及 1+1電源冗余。硬件和軟件中的集成式冗余性能夠縮短停機時間，從而提高生產(chǎn)率、利潤率和客戶成功率。作為CiscoAVVID（集成語音、視頻和融合數(shù)據(jù)體系結構）的關鍵組件，

CiscoCatalyst4500 能夠通過智能網(wǎng)絡服務將控制擴展到網(wǎng)絡邊緣，包括高級服務質(zhì)量（QoS）、可預測性能、高級安全性、全面管理和集成式彈性。由于 CiscoCatalyst4500系列提供與CiscoCatalyst4000系列線卡和超級引擎的兼容性，因而能夠在融合網(wǎng)絡中延長CiscoCatalyst4000系列的部署窗口。由于這種方式能減少重復運作開支，降低擁有成本，因而能提高投資回報（ ROI）。圖10CiscoCatalyst3550 系列智能以太網(wǎng)交換機CiscoCatalyst3550系列智能以太網(wǎng)交換機是一個可堆疊多層交換機系列，可通過高可用性、服務質(zhì)量（QoS）和安全性來改進網(wǎng)絡運行（見圖10）。憑借一系列快速以太網(wǎng)和千兆位以太網(wǎng)配置，CiscoCatalyst3550系列堪稱一款適用于企業(yè)和城域接入應用的強大選擇。圖11CiscoCatalyst2950 系列智能以太網(wǎng)交換機CiscoCatalyst2950 系列智能以太網(wǎng)交換機是一個固定配置、可堆疊的獨立設備系列，提供了線速快速以太網(wǎng)和千兆位以太網(wǎng)連接（見圖 11）。這是一款最廉價的Cisco交換產(chǎn)品系列，為中型網(wǎng)絡和城域接入應用提供了智能服務。作為思科最為廉價的交換產(chǎn)品系列，

CiscoCatalyst2950

系列在網(wǎng)絡或城域接入邊緣實現(xiàn)了智能服務。4.5網(wǎng)絡設備配置4.5.1 基礎配置這里以接入層交換機 SW1為例（見圖1）圖1接入層設備Switch>en進入特權模式Switch#conft進入全局模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.此注釋說明在全局模式下直接按 CNTL+Z可以進入特權模式Switch(config)#hostnameSW1修改路由器或者交換機的名字，方便管理SW1(config)#noipdomainlookup關閉域名查詢 啟用與禁止DNS服務器，在交換機默認配置的情況下，當我們輸入一條錯誤的交換機命令時，交換機會嘗試將其廣播給網(wǎng)絡上的 DNS服務器并將其解析成對應的 IP地址。利用命令

noipdomainlookup

，可以禁用

DNS服務器，可以減少輸入錯誤命令的等待時間SW1(config)#lineconsole0進入CONCOLE口0線程下，通過 CONSOLE線串口直接控制交換機或路由器接口SW1(config-line)#noexec-timeout關閉超時時間（真實工程中不能用此命令）SW1(config-line)#loggingsynchronous在線路上同步輸出用戶在為交換機配置命令時，配置命令會被交換機產(chǎn)生的內(nèi)部信息隔開或打亂以使用命令loggingsynchronous設置交換機在下一行提示符后復制用戶的輸入。

CLI以上配置為路由器和交換機的基本配置，有方便管理防止出錯的作用，所以每臺設備上都要配置。4.5.2 使用VTP從提高效率的角度出發(fā)，在企業(yè)網(wǎng)實現(xiàn)實例中使用了VTP技術。將分布層FB1設置成為VTP服務器，其他交換機設置成為VTP客戶機。這里接入層交換機SW1將通過VTP獲得在分布層交換機FB1中定義的所有VLAN的信息。（見圖2）圖2分布層設備 FB1FB1#vlandatabase特權模式下進入VLAN設置模式(小凡模擬器特有)FB1(vlan)#vtpdomaincisco定義VTP域名ChangingVTPdomainnamefromNULLtociscoFB1(vlan)#vtpserver將該交換機設置為 VTP的服務端DevicemodealreadyVTPSERVER.FB1(vlan)#vtpv2-mode啟用的VTP版本號為2V2modeenabled.FB1(vlan)#vtppassword123456設置VTP的密碼為123456，交換機的VTP必須密碼一致才能同步SettingdeviceVLANdatabasepasswordto123456.FB1(vlan)#vtppruning啟用VTP修剪，激活VTP剪裁功能，默認情況下主干道傳輸所有 VLAN的用戶數(shù)據(jù)。有時，交換網(wǎng)絡中某臺交換機的所有端口都屬于同一VLAN的成員，沒有必要接收其他VLAN的用戶數(shù)據(jù)。這時，可以激活主干道上的VTP剪裁功能。當激活了VTP剪裁功能以后，交換機將自動剪裁本交換機沒有定義的 VLAN數(shù)據(jù)。在一個VTP域下，只需要在VTP服務器上激活VTP剪裁功能。同一VTP域下的所有其他交換機也將自動激活 VTP剪裁功能。PruningswitchedONFB1(vlan)#apply應用以上配置APPLYcompleted.FB1(vlan)#exit退出VLAN配置模式進入特權模式APPLYcompleted.Exiting....在其他所有的交換機上都要做 VTP配置，我們以FB2為例（見圖3）圖3分布層設備 FB2FB2#vlandaFB2(vlan)#vtpdomainciscoChangingVTPdomainnamefromNULLtociscoFB2(vlan)#vtpclient將FB2設置為客戶端，客戶端可以學習到服務端的所有VLAN信息?？蛻裟Ｊ绞菦]有創(chuàng)建、修改、刪除VLAN得權利的，它只能接收和轉發(fā)信息。而服務器模式擁有以上的所用功能。SettingdevicetoVTPCLIENTmode.FB2(vlan)#vtpv2V2modeenabled.FB2(vlan)#vtppassword123456SettingdeviceVLANdatabasepasswordto123456.FB2(vlan)#exitInCLIENTstate,noapplyattempted.Exiting....4.5.3 劃分VLAN現(xiàn)在我們根據(jù)需求在服務端 FB1上配置VLAN信息，創(chuàng)建并命名（見表 1）FB11#vlandaFB1(vlan)#vlan10nameGLB創(chuàng)建一個VLAN10命名為GLBVLAN10modified:Name:GLBFB1(vlan)#vlan20nameSCBVLAN20added:Name:SCBFB1(vlan)#vlan30nameCWBVLAN30added:Name:CWBFB1(vlan)#vlan40nameXSBVLAN40added:Name:XSBFB1(vlan)#vlan50nameRLZYVLAN50added:Name:RLZYFB1(vlan)#vlan60nameWLBVLAN60added:Name:WLBFB1(vlan)#exitAPPLYcompleted.Exiting....4.5.4 交換鏈路封裝所有交換機之間相連的線都要起封裝協(xié)議， 我們以FB1和SW1之間的線為例（見圖4）圖4鏈路封裝FB1(config)#interfacefastEthernet0/4進入要封裝的接口FB1(config-if)#switchporttrunkencapsulationdot1q進行封裝FB1(config-if)#switchportmodetrunk指定封裝模式FB1(config-if)#noshutdown開啟接口SW1(config)#interfacefastEthernet0/0SW1(config-if)#switchporttrunkencapsulationdot1qSW1(config-if)#switchportmodetrunkSW1(config-if)#noshutdown封裝交換機連接終端的接口，并把該接口劃入 VLAN，以SW1為例SW1(config)#intf0/2SW1(config-if)#switchportmodeaccess手工指定封裝模式為 ACCESS模式SW1(config-if)#switchportaccessvlan10將F0/2口劃入VLAN10中SW1(config-if)#noshutdown4.5.5PVST技術由于網(wǎng)絡拓撲比較大，兩兩相連加冗余會出現(xiàn)環(huán)路，所以需要配置二層防環(huán)的PVST首先要選舉根橋，我們這里手工指定HX1為VLAN102030的主根，VLAN405060的備份根；HX2為VLAN405060的主根，VLAN102030的備份根。HX1(config)#spanning-treemodepvst開啟PVST生成樹模式HX1(config)#spanning-treevlan10 ，20，30rootprimary將HX1設置為VLAN102030的主根將HX1設置為VLAN405060的備份根HX2(config)#spanning-treemodepvstHX2(config)#spanning-treevlan40HX2(config)#spanning-treevlan104.5.6PVST的三個FAST

，50，60rootprimary，20，30rootsecondary由于只啟用PVST后根切換時生成樹接口從阻塞狀態(tài)到轉發(fā)狀態(tài)速度會很慢，采用PORTFAST,UPLINKFAST,BACKBONEFAST三個FAST會大大縮短狀態(tài)轉換的時間，提高效率。Portfast 在接入層面向終端的接口上做，可減少 30S的時間SW1(config)#intf0/2SW1(config-if)#spanning-treeportfastbpduguard啟用portfastUplinkfast在接入層交換機上做，可減少30S時間SW1(config)#spanning-treeuplinkfast啟用uplinkfastBackbonefast 在所有交換機上做，可減少 20S時間SW1(config)#spanning-treebackbonefast啟用backbonefast4.5.7DHCP現(xiàn)在需要為路由器接口和所有的PC機接口配置IP地址。由于4000個結點的網(wǎng)絡比較大，為每一臺PC手工配置地址的工作量相當大，所以我們要使用DHCP技術。HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address00HX1(config)#ipdhcpexcluded-address54先配置除去PC機不能使用的IP地址HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address00HX1(config)#ipdhcpexcluded-address54HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address00HX1(config)#ipdhcpexcluded-address54HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address00HX1(config)#ipdhcpexcluded-address54HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address00HX1(config)#ipdhcpexcluded-address54HX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-addressHX1(config)#ipdhcpexcluded-address00HX1(config)#ipdhcpexcluded-address54HX1(config)#ipdhcppoolccie1創(chuàng)建地址池CCIE1，一個VLAN一個地址池network宣告網(wǎng)段default-router00默認網(wǎng)關leaseinfinite地址租約時間設置為無限HX1(config)#ipdhcppoolccie2networkdefault-router00leaseinfiniteHX1(config)#ipdhcppoolccie3networkdefault-router00leaseinfiniteHX1(config)#ipdhcppoolccie4networkdefault-router00leaseinfiniteHX1(config)#ipdhcppoolccie5networkdefault-router00leaseinfiniteHX1(config)#ipdhcppoolccie6networkdefault-router00leaseinfinitePC1(config)#ipdefault-gateway00在PC機上指定默認網(wǎng)關，所有的 PC都要指和自己對應的網(wǎng)關4.5.8HSRP核心層交換機的作用是快速轉發(fā)，如果它發(fā)生故障，則會導致下層所有網(wǎng)絡癱瘓。所以要給核心層交換機做備份做冗余。我們一般使用兩臺核心交換機。這就用到了三層冗余技術：熱備份 HSRP。HX1(config)#interfaceVlan10進入VLAN10的接口下HX1(config-if)#ipaddress給VLAN10配置虛擬IP地址HX1(config-if)#standby1ip00同步網(wǎng)關HX1(config-if)#standby1priority105設置優(yōu)先級，設置為主核心 ACTIVEROUTERHX1(config-if)#standby1preempt配置搶占HX1(config-if)#standby1trackFastEthernet0/0配置端口跟蹤，面向上行鏈路以上配置VALN102030都要做HX1(config)#interfaceVlan40HX1(config-if)#ipaddressHX1(config-if)#standbypreemptHX1(config-if)#standby2ip00不設置優(yōu)先級，表示為 STANDBYROUTER以上配置VALN405060都要做同理在HX2上做相應配置，要把 ACTIVE和STANDBY對調(diào)。4.5.9 根防護為了防止交換機上有接入一臺優(yōu)先級或MAC地址較小的交換機使得根被搶，要配置根防護SW1(config-if)#spanning-treeportfastbpduguarddefault所有接入層交換機面向 PC的端口和連接設備的端口上都要做4.5.10 路由協(xié)議路由器和核心交換機之間工作在三層，所以要起路由協(xié)議，這里啟用EIGRP路由協(xié)議，由于與分公司之間設備比較少，我們只需要使用靜態(tài)路由即可。（見圖5）圖5 三層設備HX1(config)#iprouting啟用路由功能，核心層交換機HX1和HX2需要為網(wǎng)絡中的各個VLAN提供路由功能。這需要首先啟用核心層交換機的路由功能。R1(config)#routereigrp100啟用EIGRP協(xié)議R1(config-router)#noauto-summary關閉自動匯總功能R1(config-router)#network把網(wǎng)段宣告進協(xié)議中R1(config-router)#networkR1(config-router)#networkHX1(config)#routereigrp100HX1(config-router)#noauto-summaryHX1(config-router)#networkHX1(config-router)#networkHX1(config-router)#networkHX1(config-router)#networkHX1(config-router)#networkHX1(config-router)#networkHX1(config-router)#networkHX1(config-router)#networkHX2(config)#routereigrp100HX2(config-router)#noauto-summaryHX2(config-router)#networkHX2(config-router)#networkHX2(config-router)#networkHX2(config-router)#networkHX2(config-router)#networkHX2(config-router)#networkHX2(config-router)#networkHX2(config-router)#network4.5.11GRE-VPN由于連接分公司的線路需要經(jīng)過公網(wǎng)，為了保證其流量的安全性，需要打一條虛擬的通道GRE-VPN（見圖6）圖6GRE-VPN首先要定義加密策略R1(config)#cryptoisakmppolicy1加密第一階段IKE1R1(config-isakmp)#authenticationpre-share設備認證，域共享R1(config-isakmp)#encryption3des數(shù)據(jù)加密方式R1(config-isakmp)#group2Diffiehellma 分發(fā)密鑰，產(chǎn)生公鑰和私鑰R1(config-isakmp)#hashmd5檢驗數(shù)據(jù)包完整性R1(config-isakmp)#exitR1(config)#cryptoisakmpkey0ciscoaddress01域共享的密鑰為ciscoR1(config)#cryptoipsectransform-setciscoesp-3desesp-md5-hmac加密第二階段，給數(shù)據(jù)包加密，指定加密方式R1(config)#access-list101permitip5555定義一個感興趣流R1(config)#cryptomapcisco1ipsec-isakmpR1(config-crypto-map)#matchaddress101R1(config-crypto-map)#setpeer01R1(config-crypto-map)#settransform-setciscoR1(config-crypto-map)#exitR1(config)#inttunnel0進入TUNNEL0口R1(config-if)#tunnelsource00配置通道源地址R1(config-if)#tunneldestination01配置通道目的地址R1(config-if)#tunnelmodegreip指定通道模式R1(config-if)#ipaddress給通道接口配置虛擬 IP地址R1(config-if)#cryptomapcisco將VPN掛在通道接口下R1(config)#iproute指一條靜態(tài)路由R2(config)#cryptoisakmppolicy1R2(config-isakmp)#authenticationpre-shareR2(config-isakmp)#encryption3desR2(config-isakmp)#group2R2(config-isakmp)#hashmd5R2(config-isakmp)#exitR2(config)#cryptoisakmpkey0ciscoaddress00R2(config)#cryptoipsectransform-setciscoesp-3desesp-md5-hmacR2(config)#access-list101permitip5555R2(config)#cryptomapcisco1ipsec-isakmpR2(config-crypto-map)#matchaddress101R2(config-crypto-map)#setpeer00R2(config-crypto-map)#settransform-setciscoR2(config-crypto-map)#exitR2(config)#inttunnel0R2(config-if)#tunnelsource01R2(config-if)#tunneldestination00R2(config-if)#tunnelmodegreipR2(config-if)#ipaddressR2(config-if)#cryptomapciscoR2(config-if)#exitR2(config)#iproute4.5.12AAA服務器為了加強企業(yè)網(wǎng)的安全性，我們啟用AAA服務器。該配置在連接AAA服務器的HX2上做。HX2(config)#aaanew-mode1HX2(config)#aaaauthenticationdot1xdefaultgroupradiusHX2(config)#dot1xsystem-auth-controlHX2(config)#interfacef0/1HX2(config-if)#swichportmodeaccessHX2(config-if)#dot1xport-controlautoHX2(config-if)#dot1xguest-vlan1HX2(config-if)#dot1xauth-failvlan1HX2(config)#aaaauthenticationlogintelnetgrouptacacs+HX2(config)#aaaauthorizationexectelnetgrouptacacs+HX2(config)#aaaaccountingexectelnetstart-stopgrouptacacs+HX2(config)#tacacs-severhost00HX2(config)#tacacs-severkeycisco4.5.13PBR20M專線網(wǎng)管和管理部需要有特權去高速穩(wěn)定地訪問外網(wǎng)，我們需要在 R1上配置 20M專線去達到這一需求。R1(config)#access-list112permitipany55創(chuàng)建訪問控制列表來抓住管理部VLAN的流量R1(config)#access-list112permitipany55R1(config)#access-list112deny ipanyany其他流量不允許通過R1(config)#route-mapzhuanxianpermit10創(chuàng)建路由映射表R1(config-route-map)#matchipaddress112匹配所抓住的流量R1(config-route-map)#setipnext-hop00指定下一跳地址或端口R1(config)#interfaceE0/1R1(config-if)#ipnatinside掛NAT入方向R1(config)#interfaceE0/21(config-if)#ipnatinsideR1(config)#interfaceE0/3R1(config-if)#ipnatoutside掛NAT出方向R1(config)#ipnatpoolwangtong0354netmask設置對外訪問地址,創(chuàng)建地址池R1(config)#access–list100permitip55any指定NAT范圍，匹配IPR1(config)#ipnatinsidesourcelist100poolwangtongoverload設置過載，抓流量4.5.14 網(wǎng)管控制為了方便管理員對企業(yè)網(wǎng)安全方便的管理控制，我們需要對坐配置使得管理員能都使用PC直接連接或遠程登陸到到交換機進行控制。HX2(config)#linevty04進入VTY線程下HX2(config-line)#passwordccna1配置遠程訪問交換機的密碼HX2(config-line)#login登陸驗證HX2(Config-line)#exec-timeout111配置登錄交換機虛擬終端線的超時時間為1分11秒鐘HX2(config-line)#linecon0HX2(config-line)#passwordccna2HX2(config-line)#loginHX2(config-line)#exec-timeout1114.5.15其他配置R1(config)#interfacerangeE0/0-3R1(config-if-range)#duplexfull可以設定某端口根據(jù)對端設備雙工類型自動調(diào)整本端口雙工模式，也可以強制將端口雙工模式設為半雙工或全雙工模式。在了解對端設備類型的情況下，建議手動設置端口雙工模式。因為路由器和交換機接口的雙工模式必須匹配才可通信。這里全部工作在全雙工模式。SW1(config)#interfacerangefastethernet0/1-24SW1(config-if-range)#speed100可以設定某端口根據(jù)對端設備速度自動調(diào)整本端口速度，也可以強制將端口速度設為10Mpbs或100Mbps。在了解對端設備速度的情況下，建議手動設置端口速度。這里全部工作在 100Mbps.圖7分布層交換機FB1(config)#ipclasslessFB1(config)#ipsubnet-zero以實現(xiàn)對無類網(wǎng)絡和全零子網(wǎng)的支持（見圖 7）4.6施工管理4.6.1 施工前準備合同簽訂后，客戶和公司雙方派出項目負責人，共同協(xié)商制訂施工要求的原則性文件，通過后，一切照文件實行。施工前我公司將對所有參加本次工程的技術工作人員進行工人員守則、和與施工相關的文件的學習，以提高對工程的認知度和對崗位的責任感。我們將用明文確定貴校工程的項目負責團隊，明確權利和責任，在組織上一定保證工程的進度和質(zhì)量。4.6.2 設備及材料為確保工程的質(zhì)量，對工程中所用到的所有設備及材料本公司將嚴格把關。選擇質(zhì)量可靠、性能良好的設備及材料、嚴格按合同進貨、貨到后有雙方工程負責人一同驗收。4.6.3 施工過程管理根據(jù)貴校的情況，安排好施工進度，分配施工任務，加強隨工檢查，在施工過程中采取如下措施：加強對施工人員的管理保證施工現(xiàn)場的衛(wèi)生保證不影響到企業(yè)工作人員的正常工作保證確保工程的質(zhì)量和進度在施工過程中接受企業(yè)相關人員的檢查指導，及時征求意見，改進工作，提高工作質(zhì)量，直到達到優(yōu)質(zhì)工程的要求。絕對保證施工的安全4.6.4 施工完成后質(zhì)量的檢查和驗收施工完成后，雙方派出有關人員進行全面的質(zhì)量檢查，進行系統(tǒng)的總驗收。完全達到雙方簽訂的合同要求后，進行工程的總移交。如在合同范圍內(nèi)，不達到要求的地方一定返工，直到達到要求為止。4.6.5 施工步驟系統(tǒng)施工按順序主要分為以下幾個階段：管道、線槽鋪設穿線設備安裝檢查：安裝前，要檢查各設備外觀及可動部分是否正常。固定：按照說明書中提供的方式、尺寸，正確安裝固定和末端裝置及設備，安裝后，檢查是否正確，是否牢固。接線接線前，應對各線路進行校驗，做好標記、線號，正確無誤后，在按照接線圖進行端子接線，接線后，一定要核查、檢查，確保正確。系統(tǒng)試運行竣工交驗四、五、測試數(shù)據(jù)及其結果分析5.1同一部門之間主機連通檢測在VLAN10中，兩臺主機分別在不同的子公司PC1:PC2:檢測結果：5.2 不同一部門之間主機連通檢測在VLAN10，VLAN20中，兩臺主機分別在同一的子公司PC1:PC2:檢測結果：六、課程設計總結通過此次畢業(yè)設計，我對自己在路由交換網(wǎng)絡方面的學習有了更深刻的理解，更系統(tǒng)地分析并掌握了所學的知識，尤其是對各類路由協(xié)議的特性與用法和配置有了更深的體會，專業(yè)技能有了很大的提高。雖然此次的設計來源于實際工程，類似于實際工程，但是它和真正的項目還是有一些差別的，所以在今后的學習中，我會更加注重理論與實踐的結合，在理論學習的過程中，融會更多的真實案例，為將來真正的項目奠基?；贑8051F單片機直流電動機反饋控制系統(tǒng)的設計與研究基于單片機的嵌入式Web服務器的研究MOTOROLA單片機MC68HC（8）05PV8/A內(nèi)嵌EEPROM的工藝和制程方法及對良率的影響研究基于模糊控制的電阻釬焊單片機溫度控制系統(tǒng)的研制基于MCS-51系列單片機的通用控制模塊的研究基于單片機實現(xiàn)的供暖系統(tǒng)最佳啟停自校正（STR）調(diào)節(jié)器單片機控制的二級倒立擺系統(tǒng)的研究基于增強型51系列單片機的TCP/IP協(xié)議棧的實現(xiàn)基于單片