企業(yè)網(wǎng)設(shè)計(jì)改造方案(畢業(yè)設(shè)計(jì))

四川師范大學(xué)本科畢業(yè)論文企業(yè)網(wǎng)設(shè)計(jì)與改造方案學(xué)生姓名XX院系名稱計(jì)算機(jī)科學(xué)學(xué)院專業(yè)名稱網(wǎng)絡(luò)工程班級2005級2班學(xué)號XXXX指導(dǎo)教師XXX完成時(shí)間2009年企業(yè)網(wǎng)設(shè)計(jì)與改造方案學(xué)生：XX指導(dǎo)教師：XX摘要：Internet技術(shù)的不斷進(jìn)步和成熟，這就促使計(jì)算機(jī)企業(yè)網(wǎng)Intranet/Extranet在企業(yè)中的飛速發(fā)展。以Internet技術(shù)為基礎(chǔ)的企業(yè)網(wǎng)Intranet/Extranet在計(jì)算機(jī)網(wǎng)絡(luò)中更是占有非常重要的地位。企業(yè)網(wǎng)Intranet/Extranet作為企業(yè)內(nèi)部的計(jì)算機(jī)網(wǎng)絡(luò)，簡單易用、見效快、回報(bào)率高。隨著互聯(lián)網(wǎng)應(yīng)用的普及，電子商務(wù)有了實(shí)質(zhì)性的進(jìn)展。對于XX公司來說，產(chǎn)品的介紹、銷售、技術(shù)服務(wù)和售后服務(wù)等越來越多地采用網(wǎng)絡(luò)的形式來完成，最主要的優(yōu)點(diǎn)是：方便、快捷和成本低廉。但是對于日益壯大的XX公司來說，企業(yè)擁有許多機(jī)密數(shù)據(jù)，公司的網(wǎng)絡(luò)環(huán)境的安全性需要提高已經(jīng)迫在眉睫，他們需要需要在單位內(nèi)部建立自己的中心機(jī)房，組建自己的局域網(wǎng)，同時(shí)申請電信的寬帶和固定IP，這樣，形成內(nèi)外兩種網(wǎng)絡(luò)。企業(yè)在異地有分支機(jī)構(gòu)與總部通信必須通過VPN方式進(jìn)行安全通信。通過諸多方式來提高公司網(wǎng)絡(luò)的安全性。關(guān)鍵詞：企業(yè)網(wǎng)計(jì)算機(jī)網(wǎng)絡(luò)電子商務(wù)。ProposalsofEnterpriseNetwork’sdesignandreformAbstract:WiththecontinualdevelopmentofInternettechnology,computerenterprisenetwork,IntranetandExtranetareinarapiddevelopment.Andmore,Intranet/ExtranetbasedontheInternettechnologymakeanimportantpartofcomputernetworks.Asaninnercomputernetwork,IntranetandExtranetareeasytouse,andhaveahighreturn,andcanhavebeenachievedinashorttime.AsthepopularizationofInternet,e-commercehassubstantiveprogress.FortheXXcompany，productpresentations,sales,technicalservicesandafter-salesservicearecompletedbyInternetmoreandmore,whichhavemanyadvantages,convenient,fast,low-cost,andsoon.However,becauseXXisgrowingdayafterday,itwillhavemuchsecretdata,soitmustimprovethesecurityofthenetworkenvironment.Peopleneedtoestablishtheirowncentralcomputerroomin-house,setuptheirownLAN,andtheymustapplyforbroadbandandfixedIPatthesametimetoforminternalandexternalnetwork.DifferentplacesofbranchesofcompanycommunicatewiththeheadquartersmustthroughtheVPN,securecommunication.Therearemanywaystoimprovethesecurityofcompanynetworks.Keywords:Intranet/ExtranetcomputernetworkE-commerce;目錄前言 11.1、現(xiàn)狀分析 21.2、需求分析 31.3解決方案 32網(wǎng)絡(luò)整體設(shè)計(jì) 42.1、網(wǎng)絡(luò)改造拓?fù)鋱D 42.2、網(wǎng)絡(luò)結(jié)構(gòu) 43網(wǎng)絡(luò)規(guī)劃和項(xiàng)目實(shí)施 53．1局域網(wǎng)設(shè)計(jì) 53.1.1接入層： 53.1.2匯聚層： 63.1.3路由器： 63.2遠(yuǎn)程接入 73.2.1使用VPN技術(shù)和遠(yuǎn)程用戶連接 73.2.2使用PSTN總部與移動(dòng)辦公、家庭辦公互連 74服務(wù)器群的搭建 74.1web服務(wù)器的搭建 84.1.1創(chuàng)建新的應(yīng)用程序池 84.1.2創(chuàng)建新的站點(diǎn) 84.1.3配置站點(diǎn)使用Windows集成身份驗(yàn)證 84.1.4.實(shí)現(xiàn)共享配置 94.1.5移動(dòng)Web站點(diǎn)內(nèi)容到共享文件服務(wù)器 94.2郵件服務(wù)器的搭建 104.2.1.安裝POP3服務(wù)組件 104.2.3配置POP3服務(wù)器 114.2.4配置SMTP服務(wù)器 114.2.5客戶端測試 114.2.6SMTP服務(wù)器的安全設(shè)置以及客戶端的配置 134.2.7正確的客戶端smtpID設(shè)置 135設(shè)備選型 145.1設(shè)備選型需求 145.2設(shè)別選型分析 155.2.1核心層/分布層設(shè)備 155.2.2接入層設(shè)備 155.3結(jié)論 156模擬實(shí)施 166.1利用三層交換機(jī)實(shí)現(xiàn)VLAN間通信和路由。 186.2訪問控制（財(cái)務(wù)部交換機(jī)上實(shí)現(xiàn)）核心代碼。 226.3NAT地址轉(zhuǎn)換步驟和代碼。 226.4跨VLAN啟用DHCP（DHCP中繼） 237總結(jié) 258結(jié)束語 26致謝 26參考文獻(xiàn) 26前言隨著現(xiàn)代社會(huì)的進(jìn)步，網(wǎng)絡(luò)已經(jīng)深入到了世界的各個(gè)角落，包括人們的生活、學(xué)習(xí)、工作等方面，網(wǎng)絡(luò)能為人們提供諸多的方便，提高學(xué)習(xí)、工作的效率，增加生活的樂趣。Internet技術(shù)的不斷進(jìn)步和成熟，這就促使計(jì)算機(jī)企業(yè)網(wǎng)Intranet/Extranet在企業(yè)中的飛速發(fā)展。以Internet技術(shù)為基礎(chǔ)的企業(yè)網(wǎng)Intranet/Extranet在計(jì)算機(jī)網(wǎng)絡(luò)中更是占有非常重要的地位。企業(yè)網(wǎng)Intranet/Extranet作為企業(yè)內(nèi)部的計(jì)算機(jī)網(wǎng)絡(luò)，簡單易用、見效快、回報(bào)率高。隨著互聯(lián)網(wǎng)應(yīng)用的普及，電子商務(wù)有了實(shí)質(zhì)性的進(jìn)展。一個(gè)出色的企業(yè)網(wǎng)可以為企業(yè)的運(yùn)行和發(fā)展提供強(qiáng)大的助力，于是企業(yè)網(wǎng)也成為了當(dāng)今社會(huì)各個(gè)企業(yè)的一項(xiàng)基礎(chǔ)設(shè)施。而對于一個(gè)已經(jīng)擁有企業(yè)網(wǎng)的企業(yè)來說，網(wǎng)絡(luò)的好壞直接影響到企業(yè)的發(fā)展和規(guī)模的擴(kuò)大。顯然，落后的企業(yè)網(wǎng)絡(luò)會(huì)限制企業(yè)規(guī)模的擴(kuò)大。于是對于那些擁有落后企業(yè)網(wǎng)的企業(yè)來說，改造企業(yè)網(wǎng)絡(luò)變成迫不及待的重大項(xiàng)目。在下面，就以我調(diào)查的一個(gè)企業(yè)舉例。2005年10月，XX公司在四川省巴中市成立！是省市工商行政管理局評定的2006年度A級企業(yè)。以“網(wǎng)絡(luò)帶動(dòng)生產(chǎn)和銷售”為背景，以誠信、優(yōu)質(zhì)的產(chǎn)品質(zhì)量、良好的售后服務(wù)以及扎實(shí)的基礎(chǔ)為客戶提供全面且專業(yè)化的服務(wù)。XX公司以加工原材料為基礎(chǔ)，制造并銷售出大量優(yōu)質(zhì)的醫(yī)藥器材，同時(shí)還代理巴中市第一人民醫(yī)院，南江縣一醫(yī)院等大型市縣級醫(yī)院的器材維護(hù)等工作。XX公司用A級標(biāo)準(zhǔn)要求自己，并與各地多家醫(yī)院保持友好的合作關(guān)系。除此之外，XX公司還從事專業(yè)的先進(jìn)的醫(yī)療器材的研發(fā)，它具有先進(jìn)的技術(shù)力量，展示出良好的企業(yè)形象，并擁有很高的知名度、美譽(yù)度。對于XX公司來說，產(chǎn)品的介紹、銷售、技術(shù)服務(wù)和售后服務(wù)等越來越多地采用網(wǎng)絡(luò)的形式來完成，最主要的優(yōu)點(diǎn)是：方便、快捷和成本低廉。但是對于日益壯大的XX公司來說，企業(yè)擁有許多機(jī)密數(shù)據(jù)，公司的網(wǎng)絡(luò)環(huán)境的安全性需要提高已經(jīng)迫在眉睫，他們需要需要在單位內(nèi)部建立自己的中心機(jī)房，組建自己的局域網(wǎng)，同時(shí)申請電信的寬帶和固定IP，這樣，形成內(nèi)外兩種網(wǎng)絡(luò)。企業(yè)在異地有分支機(jī)構(gòu)與總部通信必須通過VPN方式進(jìn)行安全通信。通過諸多方式來提高公司網(wǎng)絡(luò)的安全性。但是，現(xiàn)在的XX公司所擁有的企業(yè)網(wǎng)絡(luò)存在諸多的問題，企業(yè)網(wǎng)絡(luò)的規(guī)模已經(jīng)不能支撐該公司的正常運(yùn)作，所以我們來對這個(gè)企業(yè)網(wǎng)來進(jìn)行改造和重新規(guī)劃，希望新的網(wǎng)絡(luò)可以為公司提供一個(gè)優(yōu)良的運(yùn)作環(huán)境。1需求分析舊網(wǎng)網(wǎng)絡(luò)架構(gòu)如圖1所示：圖1舊的網(wǎng)絡(luò)拓?fù)鋱D公司當(dāng)前擁有：財(cái)務(wù)部、銷售部、管理部、人事部、生產(chǎn)部這5個(gè)基本的部門，該公司具備承擔(dān)醫(yī)療器材的生產(chǎn)和銷售的能力，同時(shí)方便的管理，網(wǎng)絡(luò)提高公司運(yùn)作的效率，可以讓公司得到良好的發(fā)展。如今，對于公司擴(kuò)大后的發(fā)展，網(wǎng)絡(luò)環(huán)境已經(jīng)限制了公司的發(fā)展規(guī)模。1.1、現(xiàn)狀分析根據(jù)舊網(wǎng)絡(luò)圖所示，公司目前骨干網(wǎng)絡(luò)采用一臺(tái)Cisco公司的Catalyst1912C作為核心設(shè)備，通過10M端口連接下級交換機(jī)及HUB，公司對外網(wǎng)的實(shí)現(xiàn)是通過使用Cisco2505與移動(dòng)用戶、在家辦公用戶及Internet實(shí)現(xiàn)連接。其他部門通過10M雙絞線與中心機(jī)房的一臺(tái)Catalyst1912C交換機(jī)連接，整個(gè)網(wǎng)絡(luò)已經(jīng)不能滿足現(xiàn)在公司的需求了，舊網(wǎng)絡(luò)的缺陷如下：1、財(cái)務(wù)部、業(yè)務(wù)部計(jì)算機(jī)數(shù)量少，對網(wǎng)絡(luò)要求高，目前采用的設(shè)備HUB，滿足了設(shè)備數(shù)量的要求達(dá)不到部門對網(wǎng)絡(luò)的要求，網(wǎng)絡(luò)處在同一個(gè)沖突域，經(jīng)常出現(xiàn)延時(shí)過大、丟包率高的現(xiàn)象，且不可管理，不能禁止其他部門的訪問。2、生產(chǎn)部搬離出總部，生產(chǎn)部距離總部40km，成立多個(gè)銷售部，銷售部分散在多個(gè)城市，其它部門在總部。3、由于公司規(guī)模的擴(kuò)大，規(guī)模已經(jīng)超出了目前網(wǎng)絡(luò)所能承受的限度，不但容納不下計(jì)算機(jī)，對網(wǎng)絡(luò)的通信也夠成的威脅。4、舊網(wǎng)絡(luò)規(guī)模較小，設(shè)計(jì)時(shí)網(wǎng)絡(luò)管理意識較弱，IP分配采用人工手動(dòng)配置，計(jì)算機(jī)管理較為困難。5、設(shè)立一個(gè)能供互聯(lián)網(wǎng)用戶訪問的服務(wù)器；異地銷售部門與總部的數(shù)據(jù)傳輸必須通過加密傳輸；6、設(shè)備擴(kuò)展性差：網(wǎng)絡(luò)骨干采用早期的Catalyst1912C產(chǎn)品（12個(gè)10BaseT、1個(gè)100BaseTX、1個(gè)100BaseFX1個(gè)AUI），分支視計(jì)算機(jī)數(shù)量的多少采用了Catalyst1924、Catalyst1912交換機(jī)，在一些網(wǎng)絡(luò)性能要求較低的部門使用了HUB。由于以上設(shè)備的設(shè)計(jì)與性能限制了網(wǎng)絡(luò)的擴(kuò)展性。7、網(wǎng)絡(luò)結(jié)構(gòu)不合理：骨干網(wǎng)的Catalyst1912C交換機(jī)出現(xiàn)問題可能直接導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。安全性能低：各種服務(wù)器放置在內(nèi)網(wǎng)上，網(wǎng)絡(luò)外連Internet無防火墻安全措施，外部攻擊及內(nèi)部人員對數(shù)據(jù)的非法訪問，網(wǎng)絡(luò)無法實(shí)現(xiàn)屏蔽，病毒也對目前的網(wǎng)絡(luò)造成嚴(yán)重的威脅。1.2、需求分析經(jīng)營范圍：生產(chǎn)制造和研發(fā)各種醫(yī)療器材，承接各個(gè)醫(yī)院的器材維護(hù)服務(wù)，提供網(wǎng)上銷售服務(wù)等。1、公司對網(wǎng)絡(luò)的安全性和穩(wěn)定性要求高，所以要求整個(gè)網(wǎng)絡(luò)能為公司提供一個(gè)安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境。2、公司含有兩個(gè)辦公地點(diǎn)，兩個(gè)辦公地點(diǎn)能通過企業(yè)網(wǎng)通信。3、財(cái)務(wù)部很特殊，允許財(cái)務(wù)部內(nèi)部相互訪問，高管部可以訪問財(cái)務(wù)部，其他部門都不可以訪問財(cái)務(wù)部。4、企業(yè)現(xiàn)在規(guī)模擴(kuò)大了，要求在企業(yè)網(wǎng)中建立自己的WEB服務(wù)器、DNS服務(wù)器、VPN服務(wù)器、E-mail服務(wù)器等。5、要求新的企業(yè)網(wǎng)能采用一種新的IP地址分配管理方案，解決IP地址管理混亂的問題。6、鑒于公司內(nèi)部有許多機(jī)密不希望在網(wǎng)上明文傳輸，預(yù)防機(jī)密資料的外泄，要求新網(wǎng)絡(luò)采用一種技術(shù)來安全保密的傳輸內(nèi)部信息。7、公司企業(yè)的很多網(wǎng)絡(luò)設(shè)備已經(jīng)老化或落后，要求更換一批新的、功能齊全的網(wǎng)絡(luò)設(shè)備。8、要求整個(gè)企業(yè)網(wǎng)都是安全的，杜絕企業(yè)網(wǎng)病毒橫行，杜絕企業(yè)網(wǎng)頻繁遭受網(wǎng)絡(luò)攻擊。以上所述，結(jié)合各個(gè)部門的需求分析，我們來對舊網(wǎng)絡(luò)進(jìn)行改造。1.3解決方案1、外網(wǎng)通過防火墻連接到兩臺(tái)路由器3600進(jìn)入內(nèi)網(wǎng)，采用3臺(tái)三層交換機(jī)6500作為主干網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備。三層交換機(jī)上連接2臺(tái)二層交換機(jī)，交換機(jī)上劃分VLAN，以隔離廣播域。2、兩個(gè)辦公地點(diǎn)相距很遠(yuǎn)，如果自己牽線成本過高，這里要用兩臺(tái)路由器R1、R2通過廣域網(wǎng)鏈路連接，并且提供一定得安全性。3、采用二層交換機(jī)連接三層交換機(jī)，三層交換機(jī)連接路由器這樣的方式連接。對交換機(jī)劃分VLAN，隔離各個(gè)部門，并且在財(cái)務(wù)部這個(gè)交換機(jī)上做訪問控制，允許管理部通過，拒絕其他部門的訪問請求。4、由于服務(wù)器一般放在中心機(jī)房，所以我們這里建立的WEB服務(wù)器、DNS服務(wù)器、VPN服務(wù)器等直接和核心交換機(jī)6500(1)相連接。5、我們在交換機(jī)上啟用動(dòng)態(tài)IP地址分配服務(wù)DHCP,由于需要跨VLAN自動(dòng)分配IP地址，所以必須采用中繼的方式讓三層交換機(jī)針對下面連接的二層交換機(jī)VLAN之間啟用自動(dòng)分配IP地址的DHCP服務(wù)，減少手動(dòng)管理IP地址的麻煩。6、要保證數(shù)據(jù)加密傳輸，我們這里采用VPN技術(shù)使公司外出人員連接進(jìn)公司網(wǎng)絡(luò)，合作伙伴的接入也可以通過VNP技術(shù)。使進(jìn)出數(shù)據(jù)更加安全。7、全面更換企業(yè)內(nèi)的各種網(wǎng)絡(luò)設(shè)備，交換機(jī)、路由器等；同時(shí)添加一些新的器材，比如防火墻、VPN服務(wù)器等設(shè)備；同時(shí)重新合理的規(guī)劃網(wǎng)絡(luò)，從不同需求上來設(shè)計(jì)網(wǎng)絡(luò)。充分利用網(wǎng)絡(luò)設(shè)備的各種功能。8、網(wǎng)絡(luò)整體的安全性和抗攻擊能力，我們可以通過防火墻的方式來做，做一些防御的策略拒絕危險(xiǎn)的訪問；通過入侵檢測等技術(shù)預(yù)防被攻擊。2網(wǎng)絡(luò)整體設(shè)計(jì)2.1、網(wǎng)絡(luò)改造拓?fù)鋱D通過細(xì)致的規(guī)劃和多次論證，XX有限公司企業(yè)網(wǎng)的建設(shè)方案最終確定了采用Cisco公司提供的網(wǎng)絡(luò)設(shè)備。新的網(wǎng)絡(luò)拓?fù)鋱D如圖2所示：圖2新的網(wǎng)絡(luò)拓?fù)鋱D2.2、網(wǎng)絡(luò)結(jié)構(gòu)本方案在高性能價(jià)格比的前提下，本著模塊化、層次化的設(shè)計(jì)原則，為用戶提供高效率、高可靠性的網(wǎng)絡(luò)設(shè)計(jì)方案。方案根據(jù)信息點(diǎn)特點(diǎn)，按每部門劃分獨(dú)立子網(wǎng)的方式以減少網(wǎng)絡(luò)廣播，提供網(wǎng)絡(luò)數(shù)據(jù)傳輸性能并同時(shí)提高網(wǎng)絡(luò)安全性、可調(diào)度性、可維護(hù)性；整個(gè)網(wǎng)絡(luò)由匯聚層和分布層兩部分組成。接入層主要是連接各個(gè)部門與部門，整個(gè)企業(yè)擁有網(wǎng)絡(luò)中心、財(cái)政管理子網(wǎng)（高管部、財(cái)務(wù)部）、各部門子網(wǎng)（人事部、銷售部、采購部等），其中網(wǎng)絡(luò)中心是整個(gè)網(wǎng)絡(luò)的核心系統(tǒng)，是網(wǎng)絡(luò)的總節(jié)點(diǎn)，其余各子網(wǎng)是功能子網(wǎng)。在接入層中，各部門使用Catalyst3548XL交換機(jī)，Catalyst3548XL交換機(jī)是CiscoSystems公司Catalyst3500XL系列產(chǎn)品的成員，在節(jié)點(diǎn)較多的部門內(nèi)，使用兩臺(tái)或多臺(tái)Catalyst3548XL交換機(jī)通過千兆比特以太網(wǎng)上行鏈路或GigaStackGBIC堆疊，提供96個(gè)100M連接。人事部、銷售部、采購部因?yàn)楣径嗄甑陌l(fā)展，計(jì)算機(jī)數(shù)量不斷增加，為了能符合公司的要求，以上部門使用的Catalyst3548XL交換機(jī)，通過千兆單模光纖與中心網(wǎng)絡(luò)連接，每個(gè)子網(wǎng)提供48個(gè)100M端口，滿足了部門計(jì)算機(jī)的需求，并實(shí)現(xiàn)100M到桌面，實(shí)現(xiàn)了用戶對網(wǎng)絡(luò)的要求。財(cái)務(wù)部和高管部因計(jì)算機(jī)數(shù)量較少，考慮到對網(wǎng)絡(luò)的需求較高，也采用一臺(tái)Catalyst3524XL交換機(jī)連接，兩個(gè)部門連接在同一個(gè)交換機(jī)上，與中心網(wǎng)絡(luò)采用1000M單模光纖連接，100M到用戶桌面，滿足對網(wǎng)絡(luò)性能、網(wǎng)絡(luò)安全的要求。由于只允許高管部訪問財(cái)務(wù)部，其他部門不被允許，所以這里我們依靠訪問控制實(shí)現(xiàn)。匯聚層以兩個(gè)思科公司的兩個(gè)三層交換機(jī)Catalyst6500交換機(jī)為核心，核心交換機(jī)采用高性能的三層交換機(jī)，且采用雙核心互為備份的形勢，2臺(tái)核心交換機(jī)之間也采用雙鏈路連接，并提高核心交換機(jī)之間的鏈路帶寬。接入層交換機(jī)分別通過2條上行鏈路連接到2臺(tái)核心交換機(jī)，由三層交換機(jī)實(shí)現(xiàn)VLAN之間的路由。核心交換機(jī)通過兩條上行的1000M單模光纖連接到路由器R2，核心交換機(jī)上啟動(dòng)路由功能，并且啟用OSPF協(xié)議來完成提高網(wǎng)絡(luò)傳輸速度。網(wǎng)絡(luò)安全及管理在安全方面：配置了一臺(tái)CiscoSecurePIX525防火墻，CiscoSecurePIX525防火墻是世界領(lǐng)先的CiscoSecurePIX防火墻系列的組成部分，能夠?yàn)楫?dāng)今的網(wǎng)絡(luò)客戶提供無與倫比的安全性、可靠性和性能。它所提供的完全防火墻保護(hù)以及IP安全（IPsec）虛擬專網(wǎng)（VPN）能力使特別適合于保護(hù)企業(yè)總部的邊界。本防火墻帶有DMZ區(qū)，有了DMZ區(qū)，對外服務(wù)器放在DMZ區(qū)提高內(nèi)網(wǎng)的安全性，可以防止黑客對內(nèi)部關(guān)鍵數(shù)據(jù)的非法訪問和病毒的入侵。外部互聯(lián)：為實(shí)現(xiàn)公司對外訪問，方案中選用了思科公司的3600系列路由器，Cisco3600系列是一個(gè)適合大中型企業(yè)Internet服務(wù)供應(yīng)商的模塊化、多功能訪問平臺(tái)家族。Cisco3600系列擁有70多個(gè)模塊化接口選項(xiàng)，提供語音/數(shù)據(jù)集成、虛擬專網(wǎng)（VPN）、撥號訪問和多協(xié)議數(shù)據(jù)路由解決方案。通過利用CIsco的語音/傳真網(wǎng)絡(luò)模塊，Cisco3600系列允許客戶在單個(gè)網(wǎng)絡(luò)上合并語音、傳真和數(shù)據(jù)流量。高性能的模塊化體系結(jié)構(gòu)保護(hù)了客戶的網(wǎng)絡(luò)技術(shù)投資，并將多個(gè)設(shè)備的功能集成到一個(gè)可管理的解決方案之中。3600捆綁還可用于抓住特定的RAS機(jī)遇。移動(dòng)辦公用戶：移動(dòng)辦公用戶訪問公司總部只是訪問量小，從經(jīng)濟(jì)上考慮，公司總部前端建立MODEM池，用戶通過PSTN拔號接入公司內(nèi)網(wǎng)比較合適。3網(wǎng)絡(luò)規(guī)劃和項(xiàng)目實(shí)施3．1局域網(wǎng)設(shè)計(jì)3.1.1接入層：（1）在二層交換機(jī)上分別建立各個(gè)部門的虛擬子網(wǎng)。(創(chuàng)建VLAN)高管部 VLAN10 財(cái)務(wù)部 VLAN20 銷售部 VLAN30 人事部 VLAN40 采購部 VLAN50 生產(chǎn)部 VLAN60 倉庫 VLAN70 （2）在財(cái)務(wù)部交換機(jī)上做訪問控制，允許高管部訪問財(cái)務(wù)部，不允許其他部門訪問財(cái)務(wù)。方案1：基于IP地址綁定。interfaceVlan20ipaddress54ipaccess-group100in!access-list100permitiphosthost注：但是后來考慮可以用更改IP地址訪問財(cái)務(wù)部，所以方案被否略。方案2：基于靜態(tài)ARP綁定。我們在方案一的基礎(chǔ)上加上了arp0000.0c31.ba9bARPA。設(shè)置完成之后，如果非法用戶把地址改為，它發(fā)送的包正常，但是從財(cái)務(wù)部主機(jī)返回的數(shù)據(jù)包在轉(zhuǎn)發(fā)的時(shí)候，目標(biāo)MAC地址將總是設(shè)為0000.0c31.ba9b，非法用戶不能接收。注：但是還是可以通過更改MAC地址突破，所以還是被否略。方案3：交換機(jī)端口上設(shè)置mac/ip訪問控制列表。注：這樣非法用戶就只能跑到授權(quán)用戶的機(jī)器上才能訪問財(cái)務(wù)部的機(jī)器了。3.1.2匯聚層：（1）在三層交換機(jī)上實(shí)現(xiàn)二層交換機(jī)上的VLAN間的通信。方案一、利用路由器實(shí)現(xiàn)不同VLAN互通注：后來考慮到需要的是通過三層交換機(jī)實(shí)現(xiàn)VLAN通信，而沒有直接連接路由器，而且這樣的方案的擴(kuò)展性是不好，如果VLAN繼續(xù)增加，會(huì)給網(wǎng)絡(luò)帶來很大的壓力，所以我就考慮了另外一種方案。方案二、利用三層交換實(shí)現(xiàn)不同VLAN互通三層交換技術(shù)在第三層實(shí)現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)，從而解決了傳統(tǒng)路由器低速、負(fù)責(zé)所造成的網(wǎng)絡(luò)瓶頸問題。（2）動(dòng)態(tài)跨VLAN分配IP地址步驟1、劃分設(shè)置好VLAN步驟2、在為VLAN啟用好DHCP中繼代理功能，為VLAN的連接端口啟用DHCP中繼代理功能。步驟3、為Vlan連接端口所使用的IP地址、DHCP服務(wù)器地址以及允許工作模式進(jìn)行適當(dāng)設(shè)置。3.1.3路由器：（1）路由策略：內(nèi)部網(wǎng)關(guān)協(xié)議采用開放的標(biāo)準(zhǔn)IETF動(dòng)態(tài)路由協(xié)議――OSPF（全稱為開放最短路徑優(yōu)先）?！伴_放”表明它是一個(gè)公開的協(xié)議，由標(biāo)準(zhǔn)協(xié)議組織制定，各廠商都可以得到協(xié)議的細(xì)節(jié)?！白疃搪窂絻?yōu)先”是該協(xié)議在進(jìn)行路由計(jì)算時(shí)執(zhí)行的算法。OSPF是目前內(nèi)部網(wǎng)關(guān)協(xié)議中使用最為廣泛、性能最優(yōu)的一個(gè)協(xié)議，特別適用于大型網(wǎng)絡(luò)。在出口處我們采用靜態(tài)路由策略。因?yàn)檫@樣可以很簡單的做到NAT地址轉(zhuǎn)換。（2）NAT地址轉(zhuǎn)換我們想通過處于外部的網(wǎng)絡(luò)（也就是Internet）與內(nèi)部的網(wǎng)絡(luò)（也就是私有網(wǎng)絡(luò)）之間的路由器配置一個(gè)靜態(tài)的IP轉(zhuǎn)換。所以我們在路由器3600（1）上配置一個(gè)靜態(tài)的NAT地址轉(zhuǎn)換。步驟1、在開始之前，收集需要的數(shù)據(jù)：路由器內(nèi)部接口S1/0：IP路由器外部接口S2/0：IP7郵件服務(wù)器內(nèi)部IP地址：假設(shè)郵件服務(wù)器外部IP地址：8要獲取網(wǎng)絡(luò)內(nèi)部和到達(dá)Web/郵件服務(wù)器的數(shù)據(jù)通信，可以采用兩個(gè)重要的措施：1.NAT配置2.防火墻配置步驟2、開始靜態(tài)NAT配置步驟3、我們需要NAT轉(zhuǎn)換將Web/電子郵件服務(wù)器的外部IP地址從8轉(zhuǎn)換為8（從8轉(zhuǎn)換為8）。我們還需要在公網(wǎng)InternetDNS服務(wù)器中注冊這個(gè)郵件和Web服務(wù)器的IP地址。因此，當(dāng)用戶在其Web瀏覽器中鍵入時(shí)，瀏覽器就會(huì)將其轉(zhuǎn)化為8，路由器將會(huì)把它轉(zhuǎn)換為.Web服務(wù)器會(huì)接收這個(gè)請求，并通過路由器給予回應(yīng)，路由器會(huì)再將其轉(zhuǎn)換回公網(wǎng)IP地址。除了配置靜態(tài)的NAT，還有動(dòng)態(tài)的NAT.有鑒于此，內(nèi)部的PC可以使用動(dòng)態(tài)的NAT為訪問互聯(lián)網(wǎng)（即NAT過載或PAT）。不過，這樣就有點(diǎn)兒復(fù)雜了。我這里就不做過多的介紹。3.2遠(yuǎn)程接入3.2.1使用VPN技術(shù)和遠(yuǎn)程用戶連接VPN特點(diǎn)不限流量，不限網(wǎng)址，包月使用，費(fèi)用低廉；不需額外的設(shè)備或軟件，無須繳納初裝費(fèi)；配置簡單，使用方便，可自由訪問互聯(lián)網(wǎng)；網(wǎng)管或使用者可方便控制訪問情況；安全性高，接入靈活；技術(shù)力量雄厚，可提供專業(yè)技術(shù)支持?，F(xiàn)在公司總部提供了通過因特網(wǎng)建立廉價(jià)的VPN讓合作伙伴互連。內(nèi)部網(wǎng)絡(luò)用戶提供專業(yè)的防火墻保護(hù)。PIX525集成了VPN的主要功能-隧道、數(shù)據(jù)加密、安全性和防火墻，能夠提供一種安全、可擴(kuò)展的平臺(tái)來更好、更經(jīng)濟(jì)高效地使用公共數(shù)據(jù)服務(wù)來實(shí)現(xiàn)遠(yuǎn)程訪問。3.2.2使用PSTN總部與移動(dòng)辦公、家庭辦公互連由于業(yè)務(wù)需要，移動(dòng)辦公用戶有時(shí)會(huì)超出10個(gè)以上，因此就必須安裝一個(gè)Modem池來解決服務(wù)端的數(shù)據(jù)接收問題。移動(dòng)辦公、家庭辦公用戶通過modem拔入到公司總部進(jìn)行訪問總部資源。4服務(wù)器群的搭建4.1web服務(wù)器的搭建4.1.1創(chuàng)建新的應(yīng)用程序池以管理員(administrator)身份登錄Web服務(wù)器，然后依次點(diǎn)擊在“開始”→“管理工具”→“Internet信息服務(wù)(IIS)管理器”打開IIS7管理器窗口。在“Internet信息服務(wù)(IIS)管理器”的左側(cè)展開“Web”(服務(wù)器名)，然后點(diǎn)擊“應(yīng)用程序池”，在“操作”面板，點(diǎn)擊“添加應(yīng)用程序池”，在“添加應(yīng)用程序池”對話框中“名稱”中輸入“InternalWebSite“，然后點(diǎn)擊“確定”退出。如圖3所示：圖3添加本地應(yīng)用池4.1.2創(chuàng)建新的站點(diǎn)在“Internet信息服務(wù)(IIS)管理器”中展開“站點(diǎn)”，然后點(diǎn)擊“DefaultWebSite”，右擊“DefaultWebSite”，然后點(diǎn)擊“刪除”。在“確認(rèn)刪除”對話框，點(diǎn)擊“是”。接下來，繼續(xù)在“Internet信息服務(wù)(IIS)管理器”中點(diǎn)擊“網(wǎng)站”，然后在操作菜單中點(diǎn)擊“添加網(wǎng)站”，使用下列設(shè)置完成“添加網(wǎng)站”對話框，當(dāng)輸入完成后點(diǎn)擊“確定”。其中“站點(diǎn)名稱”為“InternalWebSite”，“物理路徑”為“D:\InternalSite”，“綁定”為“默認(rèn)值”。在動(dòng)作面板中，點(diǎn)擊“瀏覽*:80(http)”可打開InternetExplorer進(jìn)行站點(diǎn)的解析，如果解析正確，說明配置成功，最后關(guān)閉IE瀏覽器即可。如圖4所示：圖4配置站點(diǎn)4.1.3配置站點(diǎn)使用Windows集成身份驗(yàn)證配置方法是：在“Internet信息服務(wù)(IIS)管理器”窗口中，展開“網(wǎng)站”，點(diǎn)擊“InternalWebSite”在內(nèi)容面板的“IIS”下點(diǎn)擊“身份驗(yàn)證”，然后在操作面板，點(diǎn)擊“打開功能”，在“身份驗(yàn)證”，點(diǎn)擊“匿名身份驗(yàn)證”，然后在“操作“面板，點(diǎn)擊“禁用”。在“身份驗(yàn)證”中點(diǎn)擊“Windows身份驗(yàn)證”，然后在動(dòng)作面板中點(diǎn)擊“啟用”即可。如圖5所示：圖5身份驗(yàn)證至此我們創(chuàng)建了一個(gè)用來文件共享的Web站點(diǎn)，并完成必要的配置。4.1.4.實(shí)現(xiàn)共享配置為共享配置文件夾授權(quán)以域管理員登錄域控制器，我們在D盤根目錄中創(chuàng)建一個(gè)名為“Websites”的文件夾，然后在”文件”菜單點(diǎn)擊“共享”彈出共享對話框。在“文件共享”對話框，點(diǎn)擊“更改共享權(quán)限”，在“文件共享”對話框，輸入“Web管理員組”，然后點(diǎn)擊“添加”。接下來，將在“權(quán)限級別”為“Web管理員組”的權(quán)限為“參與者”。在“文件共享”對話框，輸入“Web服務(wù)器組”，然后點(diǎn)擊“添加”。在“權(quán)限級別”，更改”Web服務(wù)器組”的權(quán)限為“參與者”，然后點(diǎn)擊“共享”。最后，點(diǎn)擊“完成”關(guān)閉“文件共享”對話框。需要說明的時(shí)，這里的“Web管理員組”是筆者在域控制器中創(chuàng)建的一個(gè)用來進(jìn)行Web服務(wù)器管理的組。如圖6所示：圖6共享權(quán)限4.1.5移動(dòng)Web站點(diǎn)內(nèi)容到共享文件服務(wù)器下面我們需要將上面創(chuàng)建的Web站點(diǎn)的內(nèi)容移動(dòng)到共享文件服務(wù)器，以實(shí)現(xiàn)Web服務(wù)器和共享服務(wù)器的數(shù)據(jù)隔離。以管理員身份登錄Web服務(wù)器，打開“Internet信息服務(wù)(IIS)管理器”控制臺(tái)窗口。在“Web”先展開“網(wǎng)站”，然后點(diǎn)擊“InternalWebSite”，在“操作”面板中點(diǎn)擊“停止”即停止該網(wǎng)站以便下面的操作。然后打開該站點(diǎn)目錄即“D:\InternalSite”復(fù)制其內(nèi)容，接下來執(zhí)行“開始”→“運(yùn)行”輸入\\share\WebSites\Content\InternalSite打開共享服務(wù)器的共享目錄，將剛才復(fù)制的內(nèi)容粘貼進(jìn)來(share為共享服務(wù)器)。在“Internet信息服務(wù)(IIS)管理器”窗口中點(diǎn)擊“InternalWebSite”，在“操作”面板中點(diǎn)擊“基本設(shè)置”彈出“編輯網(wǎng)站”對話框，在該對話中設(shè)置網(wǎng)站的“物理路徑”為“\\share\WebSites\Content\InternalSite”，然后點(diǎn)擊“連接為”按鈕，在“連接為”對話框中選擇“特定用戶”，點(diǎn)擊“設(shè)置”在用戶名中輸入共享服務(wù)器管理員賬戶，然后在“密碼”和“確認(rèn)密碼”中輸入該賬戶的密碼，然后點(diǎn)擊“確定”關(guān)閉“連接為”對話框。接下來我們在“編輯網(wǎng)站”對話框中點(diǎn)擊“測試連接”彈出對話框，點(diǎn)擊“授權(quán)”查看“詳細(xì)信息”下面的內(nèi)容以確定設(shè)置無誤。設(shè)置無誤后，我們關(guān)閉“編輯網(wǎng)站”對話框，然后在“Internet信息服務(wù)(IIS)管理器”窗口中選中“InternalWebSite”，在“操作”面板中點(diǎn)擊“啟動(dòng)”即啟動(dòng)網(wǎng)站。如圖7所示：圖7移動(dòng)文件共享4.2郵件服務(wù)器的搭建4.2.1.安裝POP3服務(wù)組件以系統(tǒng)管理員身份登錄WindowsServer2003系統(tǒng)。依次進(jìn)入“控制面板→添加或刪除程序→添加/刪除Windows組件”，在彈出的“Windows組件向?qū)А睂υ捒蛑羞x中“電子郵件服務(wù)”選項(xiàng)，點(diǎn)擊“詳細(xì)信息”按鈕，可以看到該選項(xiàng)包括兩部分內(nèi)容：POP3服務(wù)和POP3服務(wù)Web管理。為方便用戶遠(yuǎn)程Web方式管理郵件服務(wù)器，建議選中“POP3服務(wù)Web管理”。4.2.選中“應(yīng)用程序服務(wù)器”選項(xiàng)，點(diǎn)擊“詳細(xì)信息”按鈕，接著在“Internet信息服務(wù)（IIS）”選項(xiàng)中查看詳細(xì)信息，選中“SMTPService”選項(xiàng)，最后點(diǎn)擊“確定”按鈕。此外，如果用戶需要對郵件服務(wù)器進(jìn)行遠(yuǎn)程Web管理，一定要選中“萬維網(wǎng)服務(wù)”中的“遠(yuǎn)程管理（HTML）”組件。完成以上設(shè)置后，點(diǎn)擊“下一步”按鈕，系統(tǒng)就開始安裝配置POP3和SMTP服務(wù)了。4.2.3配置POP3服務(wù)器1.創(chuàng)建郵件域點(diǎn)擊“開始→管理工具→POP3服務(wù)”，彈出POP3服務(wù)控制臺(tái)窗口。選中左欄中的POP3服務(wù)后，點(diǎn)擊右欄中的“新域”，彈出“添加域”對話框，接著在“域名”欄中輸入郵件服務(wù)器的域名，也就是郵件地址“@”后面的部分，如“MAIL.COM”，最后點(diǎn)擊“確定”按鈕。2.創(chuàng)建用戶郵箱選中剛才新建的“MAIL.COM”域，在右欄中點(diǎn)擊“添加郵箱”，彈出添加郵箱對話框，在“郵箱名”欄中輸入郵件用戶名，然后設(shè)置用戶密碼，最后點(diǎn)擊“確定”按鈕，完成郵箱的創(chuàng)建,本例中創(chuàng)建的mailbox是jerry@4.2.4配置SMTP服務(wù)器完成POP3服務(wù)器的配置后，就可開始配置SMTP服務(wù)器了。點(diǎn)擊“開始→程序→管理工具→Internet信息服務(wù)（IIS）管理器”，在“IIS管理器”窗口中右鍵點(diǎn)擊“默認(rèn)SMTP虛擬服務(wù)器”選項(xiàng)，在彈出的菜單中選中“屬性”，進(jìn)入“默認(rèn)SMTP虛擬服務(wù)器”窗口，切換到“常規(guī)”標(biāo)簽頁，在“IP地址”下拉列表框中選中郵件服務(wù)器的IP地址即可。點(diǎn)擊“確定”按鈕，這樣一個(gè)簡單的郵件服務(wù)器就架設(shè)完成了。完成以上設(shè)置后，用戶就可以使用郵件客戶端軟件連接郵件服務(wù)器進(jìn)行郵件收發(fā)工作,只要在pop3和smtp處輸入郵件服務(wù)器的ip地址即可。注意到這步為止，基本的mail功能已經(jīng)實(shí)現(xiàn)了，可以正常的收發(fā)mail。這個(gè)時(shí)候SMTPAccess里面設(shè)置的是匿名訪問，此時(shí)任何一個(gè)人都可以利用此mail服務(wù)器發(fā)郵件。如圖8所示：圖8配置SMTP服務(wù)器4.2.5客戶端測試我用的是Becky、SMTP和POP3設(shè)置如下，ID我填的是jerry@,是因?yàn)槲以赑OP3服務(wù)建立account的時(shí)候，有一個(gè)提示框提示，如以下圖組所示：圖9提示框圖10配置圖測試mail正常收發(fā)，我是給自己也就是jerry@發(fā)郵件，然后看效果如何，這時(shí)候我無論在SMTP驗(yàn)證那里瞎填什么都能收發(fā)郵件正常，因?yàn)樵诜?wù)器端Access里面設(shè)置的是匿名訪問。圖11mail設(shè)置圖圖12設(shè)置圖4.2.6SMTP服務(wù)器的安全設(shè)置以及客戶端的配置去掉匿名訪問，選擇BasicAuthentication。客戶端軟件smtp驗(yàn)證的時(shí)候隨便填上一個(gè)用戶名和密碼，會(huì)發(fā)現(xiàn)有錯(cuò)誤提示如圖13所示：圖13錯(cuò)誤提示圖4.2.7正確的客戶端smtpID設(shè)置圖14mail設(shè)置圖4.2.8分別運(yùn)用搭建的服務(wù)器收發(fā)郵件，都能正常收發(fā)。5設(shè)備選型5.1設(shè)備選型需求對此次的改造，我們提出整體設(shè)備選型。主要圍繞以下幾點(diǎn)：XX網(wǎng)絡(luò)改造后的網(wǎng)絡(luò)需要具有以下特點(diǎn)：1.高性能，全交換－骨干連接采用1000Mbps－100Mbps連接高流量服務(wù)器－100Mbps連接桌面用戶－線速核心第三層交換，使路由器專注于處理網(wǎng)絡(luò)流量,靈活，高效，可靠的網(wǎng)絡(luò)連接－支持多種廣域網(wǎng)鏈路：DDN，F(xiàn)R，ISDN等2．可擴(kuò)展性強(qiáng)－空余的GBIC插槽提供低成本的千兆連接－核心采用模塊化交換機(jī)，具有更強(qiáng)的擴(kuò)充能力－分布層及接入層交換機(jī)可通過千兆堆疊擴(kuò)充用戶數(shù)－模塊化路由器有更多插槽，可更多地?cái)U(kuò)充新功能，端口種類和數(shù)目3．系統(tǒng)安全，保密性高－專門的軟硬件集成防火墻解決方案－－CiscoSecurePIX525防火墻－虛擬專網(wǎng)VPN及支持各種加密算法－按需劃分虛擬網(wǎng)絡(luò)，管理得心應(yīng)手4．綜合的網(wǎng)絡(luò)管理－使用專門的大型網(wǎng)管軟件系統(tǒng)CiscoWorks2000－基于CiscoIOS的統(tǒng)一的人機(jī)命令界面5.2設(shè)別選型分析5.2.1核心層/分布層設(shè)備對于網(wǎng)絡(luò)的核心層的設(shè)備建議采用大容量且具備智能的多層交換功能特性，根據(jù)網(wǎng)絡(luò)技術(shù)的發(fā)展與產(chǎn)品應(yīng)用的定位，建議核心設(shè)備擁有超過62G的高容量，充分滿足目前和未來發(fā)展用戶的網(wǎng)絡(luò)需求，同時(shí)提供快速的智能處理過程。在設(shè)備的處理結(jié)構(gòu)上，要采用結(jié)構(gòu)化的設(shè)計(jì)，在高速大容量的總線帶寬下，還要提供分布式的處理與結(jié)構(gòu)化的設(shè)計(jì)，核心不允許有集中式處理機(jī)制的存在，這樣才避免因個(gè)別端口的擁塞而導(dǎo)致整個(gè)設(shè)備失去控制，對于核心的每個(gè)模塊要支持熱插拔，并且根據(jù)將來的擴(kuò)展要預(yù)留擴(kuò)展槽位。為了保證核心網(wǎng)絡(luò)的高可用性不允許滿配置的核心設(shè)備對網(wǎng)絡(luò)的負(fù)載進(jìn)行單一的規(guī)?；?，在網(wǎng)絡(luò)的擴(kuò)展時(shí)，核心設(shè)備應(yīng)支持分擔(dān)負(fù)載的能力。這樣才能使整個(gè)核心網(wǎng)絡(luò)大大提升工作效率。從網(wǎng)絡(luò)的發(fā)展角度上考慮，核心設(shè)備要支持對用戶的安全認(rèn)證與鑒別的能力與手段，對網(wǎng)絡(luò)用戶的安全鑒別主要包括：基于VLANID、IP地址、MAC地址來識別寬帶用戶的網(wǎng)絡(luò)信息。所有的其它智能用戶管理與流控的功能，在智能的多層交換機(jī)中已經(jīng)可以做到。對于核心智能的交換設(shè)備支持802.1x、PORTAL、DHCPRelayNAT與分中心的邊緣設(shè)備配合進(jìn)行用戶的識別可對整個(gè)網(wǎng)絡(luò)用戶的認(rèn)證，體現(xiàn)智能網(wǎng)絡(luò)帶來的整體應(yīng)用價(jià)值。這樣既保證網(wǎng)絡(luò)的兼容性與開放性也能保證網(wǎng)絡(luò)的安全性與高可用性。5.2.2接入層設(shè)備接入層設(shè)備是接入用戶終端的產(chǎn)品，結(jié)點(diǎn)相對來說較多。因此要選擇一些端口密度大，從設(shè)備的硬件配置上講，支持總線的堆疊功能，這樣相當(dāng)于可以增加背板的帶寬,大樓的各個(gè)匯聚的擴(kuò)展提供方便。支持1000M的上聯(lián)與端口捆綁，以便將更多的接入交換機(jī)匯聚到高速的核心網(wǎng)絡(luò)上。5.3結(jié)論CISCO公司網(wǎng)絡(luò)產(chǎn)品的卓越的性能價(jià)格比、高可用性、兼容性以及CISCO公司為各行各業(yè)提供的成功網(wǎng)絡(luò)解決方案早已為全球IT用戶所知，網(wǎng)絡(luò)建設(shè)首選CISCO產(chǎn)品已經(jīng)成為業(yè)界主流。通過以上分析，結(jié)合局方設(shè)備現(xiàn)狀和需求，同時(shí)考慮設(shè)備統(tǒng)一管理的原則，我們建議此次改造建設(shè)新增設(shè)備選擇CISCO公司產(chǎn)品。骨干層設(shè)備選擇CISCOcatalyst6500多層千兆交換機(jī)，分布層大流量的采用CISCO3550交換機(jī),其它采用CISCO3500XL接入層設(shè)備，以滿足改造后網(wǎng)絡(luò)性能需要。所有選型如表1所列：表1 設(shè)備選型表 計(jì)量單位：臺(tái)設(shè)備名稱數(shù)量單臺(tái)配置情況Catalyst6506核心層交換機(jī)2臺(tái)引擎：CiscoSupervisorEngine720交換模塊性能指標(biāo)WS-X6348-RJ-4548口10/100模塊(RJ-45),可升級為支持IP電話,增強(qiáng)QoSWS-X6416-GBIC16口1000M模塊(GBIC)(最大距離/電纜類型；550m：1000BASE-SX10km：LX/LH100km：ZX)千兆位接口轉(zhuǎn)換器(GBIC)性能指標(biāo)WS-G5484SX1波長（nm）：850。光纖類型：多模光纖WS-G5486LX/LH波長（nm）：1300。光纖類型：多模光纖2單模光纖（LX/LH）。需要模式調(diào)整修補(bǔ)線（CAB-GELX-625）CICSO3548XL1臺(tái)48個(gè)10BaseT/100BaseTX自適應(yīng)端口，兩個(gè)內(nèi)置的、基于GBIC的千兆比特以太網(wǎng)端口，10.8-Gbps交換網(wǎng)和高達(dá)8.0-Mpps的轉(zhuǎn)發(fā)速度。CICSO3524XL1臺(tái)24個(gè)10BaseT/100BaseTX自適應(yīng)端口，兩個(gè)內(nèi)置的、基于GBIC的千兆比特以太網(wǎng)端口，10.8-Gbps交換網(wǎng)和高達(dá)8.0-Mpps的轉(zhuǎn)發(fā)速度。CiscoSecurePIX525防火墻1臺(tái)廣域網(wǎng)接口卡：WIC-2T，2口高速同步串口CISCO36401臺(tái)主要速率接口插槽（PRI）高密度的異步接口插槽兩個(gè)異步/同步串行接口兩個(gè)以太網(wǎng)口6模擬實(shí)施最后我們采用PacketTracer5這個(gè)CISCO的設(shè)備模擬軟件來模擬實(shí)施這個(gè)網(wǎng)絡(luò)設(shè)計(jì)。界面如圖15所示：圖15模擬器界面首先選擇兩個(gè)路由器3600，三個(gè)核心交換機(jī)6500，普通交換機(jī)3500。（由于設(shè)備限制，用3500替代）。然后排布好布局，用相應(yīng)的介質(zhì)連接到各個(gè)設(shè)備之間，進(jìn)去設(shè)備，通電并配置。模擬后的圖如圖16所示：圖16模擬實(shí)現(xiàn)圖6.1利用三層交換機(jī)實(shí)現(xiàn)VLAN間通信和路由。1、配置VTP1.1、首先在三層交換機(jī)SW15上配置VTP域名為：（我們班級的名稱，借用一下），模式為server,VTP口令為123456，使用version2版本，啟用vtp修剪功能。如圖17所示：圖17啟用VTP修剪功能1.2、在SW15的vlan數(shù)據(jù)庫上（全局模式下也可以）創(chuàng)建vlan100、vlan200、vlan300、vlan400、vlan500、vlan600。名稱以此為caiwu、jingli、gongcheng、xiaoshou、renshi、fazhan。（只需要在VTP服務(wù)器上創(chuàng)建vlan，其它加入vtp域的交換機(jī)就能學(xué)習(xí)到相同的vlan，但是不學(xué)習(xí)端口劃分。）1.3、在其它交換機(jī)上設(shè)置vtp域名為，模式為server，并配置VTP密碼為123456。（如圖18所示：以交換機(jī)SW5為例，其它交換機(jī)配置相同）圖18設(shè)置VTP2、配置STP2.1、在SW15上設(shè)置vlan100、vlan200和vlan300的根網(wǎng)橋（第一種設(shè)計(jì)方法，設(shè)置好的優(yōu)先級為24576）如圖19所示：注意：設(shè)置根網(wǎng)橋的目的是為了優(yōu)化網(wǎng)絡(luò)，保持網(wǎng)絡(luò)的穩(wěn)定性。圖19設(shè)置根網(wǎng)橋2.2、在SW15上配置vlan1的ip地址，一是為了管理，二是為了標(biāo)示vtp服務(wù)器。如圖20所示：圖20配置VLAN1的IP地址2.3、在SW16上設(shè)置vlan400、vlan500和vlan600的根網(wǎng)橋（第二種設(shè)計(jì)方法，直接指定優(yōu)先級）圖21設(shè)置根網(wǎng)橋3、配置交換機(jī)互連的所以端口為trunk模式3.1、配置交換機(jī)SW15的fa1/0/19–24端口為trunk模式，并激活端口。（只有trunk端口才運(yùn)行VTP，STP和vlan之間相互通信，至于fa1/0/23–24端口配置成trunk模式的另外一個(gè)原因是為了保證以太網(wǎng)通道雙方配置的一致性。）SW16的配置與SW15的配置相同。如圖22所示：圖22配置Trunk口3.2、配置SW2的fa0/23–24端口為trunk模式，并激活端口。（SW3、SW4、SW5的配置與SW2的配置相同）如圖23所示：圖23配置Trunk口4、配置速端口和上行速鏈路以SW2為例進(jìn)行配置，SW3、SW4、SW5的配置與SW2的配置相同。（注意，速端口只配置在連接終端的交換機(jī)上，而上行速鏈路一般配置在匯聚層和接入層的交換機(jī)上）如圖24、25所示：圖24配置SW2的速端口圖25配置SW2的上行速鏈路5、配置SW15和SW16之間的以太網(wǎng)通道（雙方配置相同），以SW15為例配置Fa1/0/23–24端口為以太網(wǎng)通道。如圖26所示：圖26配置以太網(wǎng)通道6、在三層交換機(jī)SW16上啟用路由功能，并配置各個(gè)VLAN的IP地址（各個(gè)VLAN的網(wǎng)關(guān)）6.1、在三層交換機(jī)SW16上啟用路由功能。如圖27所示：圖27啟用路由功能6.2、設(shè)置各個(gè)VLAN的IP地址。（各個(gè)VLAN的網(wǎng)關(guān),相當(dāng)于單臂路由子接口的IP地址的作用）7、配置三層交換機(jī)SW16的路由接口。7.1、在三層交換機(jī)SW16的f1/0/1上配置路由接口，如圖28所示：圖28配置路由接口7.2、為這個(gè)接口配置IP地址，然后激活接口，實(shí)現(xiàn)三層交換機(jī)與路由器點(diǎn)到點(diǎn)的連接。如圖29所示：圖29配置接口7.3、在SW16上配置默認(rèn)路由，下一跳為路由器R5的f0/0接口的地址。如圖30所示：圖30配置路由8、配置路由器R58.1、配置路由器f0/0和f0/1接口的IP地址（f0/1的地址為子網(wǎng)掩碼為）。如圖31所示：圖31配置接口8.2、配置靜態(tài)路由，下一條地址全為SW16的f1/0/1的IP地址，目標(biāo)網(wǎng)段為各個(gè)VLAN的網(wǎng)段。如圖32所示：圖32配置靜態(tài)路由9、配置基本完成，現(xiàn)在進(jìn)行測試，將PC23與交換機(jī)SW3的f0/1端口相連，PC24與交換機(jī)SW4的f0/6端口相連，PC25與SW6的f0/1端口相連。SW3上的基本設(shè)置，將f0/1–5端口劃分到vlan100里。如圖33所示：圖33劃分端口SW4上的基本設(shè)置，將f0/6–10端口劃分到vlan200里。如圖34所示：圖34劃分端口然后配置各個(gè)pc機(jī)的IP地址和網(wǎng)關(guān)PC23IP:網(wǎng)關(guān)：54PC24IP:網(wǎng)關(guān)：54PC25IP:網(wǎng)關(guān)：注意：SW6沒有做任何配置，只做測試用，下面是測試的結(jié)果：用PC23pingPC24和PC25，全部ping通，測試成功。如圖35所示：圖35測試圖6.2訪問控制（財(cái)務(wù)部交換機(jī)上實(shí)現(xiàn)）核心代碼。macaccess-listextendedmacaclpermithost0000.0c31.ba9banypermitanyhost0000.0c31.ba9binterfaceFastEthernet0/1noipaddressipaccess-groupipaclinmacaccess-groupmacaclinipaccess-listextendedipaclpermitipanyhostpermitiphostany6.3NAT地址轉(zhuǎn)換步驟和代碼。靜態(tài)地址轉(zhuǎn)換基本配置步驟：（1）、在內(nèi)部本地地址與內(nèi)部合法地址之間建立靜態(tài)地址轉(zhuǎn)換。在全局設(shè)置狀態(tài)下輸入：Ipnatinsidesourcestatic內(nèi)部本地地址內(nèi)部合法地址（2）、指定連接網(wǎng)絡(luò)的內(nèi)部端口在端口設(shè)置狀態(tài)下輸入：ipnatinside（3）、指定連接外部網(wǎng)絡(luò)的外部端口在端口設(shè)置狀態(tài)下輸入：ipnatoutside注：可以根據(jù)實(shí)際需要定義多個(gè)內(nèi)部端口及多個(gè)外部端口。靜態(tài)NAT地址轉(zhuǎn)換功能。將2501的以太口作為內(nèi)部端口，同步端口０作為外部端口。其中，，的內(nèi)部本地地址采用靜態(tài)地址轉(zhuǎn)換。其內(nèi)部合法地址分別對應(yīng)為，，。路由器2501的配置：Currentconfiguration：version11.3noservicepassword-encryptionhostname2501ipnatinsidesourcestaticipnatinsidesourcestaticipnatinsidesourcestaticinterfaceEthernet0ipaddressipnatinsideinterfaceSerial0ipaddressipnatoutsidenoipmroute-cachebandwidth2000nofair-queueclockrate2000000interfaceSerial1noipaddressshutdownnoipclasslessiprouteSerial0linecon0lineaux0linevty04passwordciscoend配置完成后可以用以下語句進(jìn)行查看：showipnatstatistcsshowipnattranslations6.4跨VLAN啟用DHCP（DHCP中繼）圖36DHCP模塊圖3550交換機(jī)上的配置