廣東仁愛醫(yī)療科技有限公司網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)方案

廣東仁愛醫(yī)療科技有限公司網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)方案摘要：近年來，互聯(lián)網(wǎng)行業(yè)持續(xù)穩(wěn)健發(fā)展，無論是生活上還是工作上，早已離不開網(wǎng)絡(luò)。儼然，地球已成為了“地球村”。網(wǎng)絡(luò)被廣泛應(yīng)用于各行各業(yè)，那么，中小型企業(yè)網(wǎng)絡(luò)的建設(shè)和實(shí)施是企業(yè)正常運(yùn)營的基礎(chǔ)。本文針對廣東仁愛醫(yī)療科技有限公司的網(wǎng)絡(luò)需求，對網(wǎng)絡(luò)進(jìn)行了規(guī)劃和設(shè)計(jì)。根據(jù)廣東仁愛醫(yī)療科技有限公司的需求以及現(xiàn)階段中小型企業(yè)網(wǎng)絡(luò)規(guī)劃主流技術(shù)的對比，在該公司的網(wǎng)絡(luò)拓?fù)涞拇罱ㄖ?，在局域網(wǎng)方面我們選擇了網(wǎng)絡(luò)互聯(lián)技術(shù)。在該公司同一部門或者不同部門方面，我們選擇了VLAN技術(shù)，因?yàn)檫@對公司控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性有著很大的幫助。而三層交換和單臂路由能實(shí)現(xiàn)各部門相互通信。VTP配置簡化vlan的配置。使用ACL技術(shù)按該公司的要求，控制遠(yuǎn)程訪問。生成樹協(xié)議和鏈路聚合實(shí)現(xiàn)二層冗余、HSRP實(shí)現(xiàn)網(wǎng)關(guān)冗余。采用OSPF和默認(rèn)路由協(xié)議實(shí)現(xiàn)全網(wǎng)通，通過EIGRP協(xié)議，有效擴(kuò)展，使各個(gè)分部與總部相連。配置各類服務(wù)器，如WWW、DNS、FTP、E-mail服務(wù)等，滿足該公司的信息發(fā)布和數(shù)據(jù)共享的需要。此外，該公司的網(wǎng)絡(luò)可能會(huì)受到自身內(nèi)部或者外部的攻擊，因此，網(wǎng)絡(luò)安全對于該公司的網(wǎng)絡(luò)是必不可少的步驟。在邊界路由器配置了基于區(qū)域的策略防火墻ZWF，控制不同區(qū)域間的訪問，配置交換機(jī)和路由器的基本安全，如端口安全、訪問加密、認(rèn)證加密等，確保數(shù)據(jù)的可用性、完整性和保密性。關(guān)鍵詞：廣東仁愛醫(yī)療科技有限公司，網(wǎng)絡(luò)互聯(lián)技術(shù)，網(wǎng)絡(luò)冗余，網(wǎng)絡(luò)安全NetworkPlanningandDesignSchemeofGuangdongRenaiMedicalTechnologyCo.,LtdAbstract:Inrecentyears,theInternetindustryhascontinuedtodevelopsteadily,whetherinlifeorwork,ithaslongbeeninseparablefromthenetwork.Itseemsthattheearthhasbecomea"globalvillage".Networkiswidelyusedinallwalksoflife,sotheconstructionandimplementationofsmallandmedium-sizedenterprisenetworkisthebasisofnormaloperationofenterprises.AccordingtothenetworkdemandofGuangdongRenaiMedicalTechnologyCo.,Ltd.,thispaperplansanddesignsthenetwork.AccordingtotheneedsofGuangdongRenaiMedicalTechnologyCo.,Ltd.andthecomparisonofcurrentnetworkmainstreamtechnology,intheconstructionofnetworktopology,LANadoptsnetworkinterconnectiontechnology.VLANtechnologyisusedbetweendifferentdepartmentstohelpcontroltraffic,reduceequipmentinvestment,simplifynetworkmanagementandimprovenetworksecurity.Threelayerswitchingandsinglearmroutingrealizemutualcommunicationamongdepartments.VTPconfigurationsimplifiesVLANconfiguration.UseACLtechnologytocontrolremoteaccessaccordingtothecompany'srequirements.Spanningtreeprotocolandlinkaggregationrealizetwo-tierredundancy,andHSRPrealizesgatewayredundancy.OSPFanddefaultroutingprotocolareusedtorealizeallnetworkcommunication.EIGRPprotocolisusedtoeffectivelyexpandandconnecteachbranchwiththeheadquarters.Configurevariousservers,suchasWWW,DNS,FTP,e-mailservices,etc.,tomeetthecompany'sinformationpublishinganddatasharingneeds.Inaddition,thecompany'snetworkmaybesubjecttointernalorexternalattacks.Therefore,networksecurityisanessentialstepforthecompany'snetwork.Theborderrouterisequippedwithzonebasedpolicyfirewallzwftocontroltheaccessbetweendifferentzones,andconfigurethebasicsecurityofswitchandrouter,suchasportsecurity,accessencryption,authenticationencryption,etc.,toensuretheavailability,integrityandconfidentialityofdata.Keywords:GuangdongRenaiMedicalTechnologyCo.,Ltd，InternetTechnology,NetworkRedundancy,NetworkSecurity目錄第1章緒論 第2章項(xiàng)目需求分析2.1背景分析廣東仁愛醫(yī)療科技有限公司總部設(shè)有6個(gè)部門，分別為人力資源部、財(cái)務(wù)部、銷售部、設(shè)計(jì)部、市場部、董事辦公室。因?yàn)楣緲I(yè)務(wù)的需要，在廣州擴(kuò)建了一間子公司，僅設(shè)有銷售部、設(shè)計(jì)部、市場部3個(gè)部門。公司部門具體情況及需求如下：表2-1部門信息點(diǎn)個(gè)數(shù)主要部門職責(zé)所需設(shè)備數(shù)董事辦公室負(fù)責(zé)決策、組織辦公15人力資源部負(fù)責(zé)招聘和辭退員工，管理員工出勤10財(cái)務(wù)部負(fù)責(zé)公司的賬目20銷售部負(fù)責(zé)產(chǎn)品銷售方面80（總部）、50（子公司）設(shè)計(jì)部負(fù)責(zé)服裝設(shè)計(jì)30（總部）、10（子公司）市場部負(fù)責(zé)產(chǎn)品推廣和策劃50（總部）、20（子公司）2.2功能需求分析1、全網(wǎng)實(shí)現(xiàn)不同業(yè)務(wù)二層隔離三層連通2、總公司中，各部門可以相互訪問。3、總公司和子公司各部門可以相互訪問。4、核心設(shè)備三層交換機(jī)和路由器只允許網(wǎng)絡(luò)管理員遠(yuǎn)程安全訪問。2.3安全需求分析基于策略的防火墻要求，對該公司的安全需求有以下條件：內(nèi)網(wǎng)能ping通Internet

跟DMZ區(qū)域，但是DMZ區(qū)域不能訪問Internet和內(nèi)網(wǎng)。Internet不能ping通內(nèi)網(wǎng)和DMZ區(qū)域，但是可以訪問DMZ區(qū)域的HTTP服務(wù)。2.4本章小結(jié)本章內(nèi)容從廣東仁愛醫(yī)療有限公司的實(shí)際需求出發(fā)，對該公司的各個(gè)方面進(jìn)行了深入了解，詳細(xì)介紹了該公司對網(wǎng)絡(luò)的需求。為之后的網(wǎng)絡(luò)設(shè)計(jì)提供了必要的信息，對拓?fù)鋱D的構(gòu)建有了充分的準(zhǔn)備。網(wǎng)絡(luò)設(shè)計(jì)3.1組網(wǎng)設(shè)備的選擇3.1.1交換機(jī)的選擇一般來說，終端都是通過接入層接入網(wǎng)絡(luò)，而獲得網(wǎng)絡(luò)資源的。接入層的目的是允許終端用戶連接到網(wǎng)絡(luò)，因此接入層交換機(jī)具有成本低和端口密度高的特性。在網(wǎng)絡(luò)設(shè)備方面選用當(dāng)前國際社會(huì)上首屈一指的網(wǎng)絡(luò)互聯(lián)廠商Cisco的產(chǎn)品，其產(chǎn)品與服務(wù)通過智能、安全及可靠的網(wǎng)絡(luò)將信息設(shè)備連為一體，具有很好的可靠性和穩(wěn)定性。CiscoCatalyst2960系列智能以太網(wǎng)交換機(jī)是一個(gè)全新的、固定配置的獨(dú)立設(shè)備系列，提供桌面快速以太網(wǎng)和10/100/1000千兆以太網(wǎng)連接。其中CISCOWS-C2960-24TC-S基本參數(shù)如下：表3-1CISCOWS-C2960-24TC-S基本參數(shù)主要參數(shù)? 產(chǎn)品類型智能交換機(jī)? 應(yīng)用層級(jí)二層? 傳輸速率10/100/1000Mbps? 產(chǎn)品內(nèi)存DRAM內(nèi)存：64MBFLASH內(nèi)存：32MB? 交換方式存儲(chǔ)-轉(zhuǎn)發(fā)? 包轉(zhuǎn)發(fā)率6.5Mpps? MAC地址表8K端口參數(shù)? 端口結(jié)構(gòu)非模塊化? 端口數(shù)量24個(gè)? 傳輸模式支持全雙工功能特性? 網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.1D，IEEE802.1p，IEEE802.1Q，IEEE802.1s，IEEE802.1w，IEEE802.1x，IEEE802.1AB(LLDP)，IEEE802.3ad，IEEE802.3ah，IEEE802.3x，IEEE802.3，IEEE802.3u，IEEE802.3ab糾錯(cuò)? VLAN支持? QOS支持? 網(wǎng)絡(luò)管理SNMPv1，SNMPv2c，andSNMPv3Catalyst2960系列具有集成安全特性，包括網(wǎng)絡(luò)準(zhǔn)入控制(NAC)、高級(jí)服務(wù)質(zhì)量(QoS)和永續(xù)性，可為網(wǎng)絡(luò)邊緣提供智能服務(wù)。具體而言，集成安全特性是一個(gè)全新的、固定配置的獨(dú)立設(shè)備系列，提供桌面快速以太網(wǎng)和10/100/1000千兆以太網(wǎng)連接，適用于中小型企業(yè)、中小型市場和中小型分支機(jī)構(gòu)的網(wǎng)絡(luò)，有助于為其提供增強(qiáng)LAN服務(wù)。匯聚層是企業(yè)網(wǎng)絡(luò)的信息匯聚點(diǎn)，是連接接入層和核心層的網(wǎng)絡(luò)設(shè)備。其作用是為接入層提供數(shù)據(jù)匯聚、傳輸、管理、分發(fā)處理等功能，也可以提供接入層虛擬網(wǎng)之間的互連，并且掌控和限制接入層對核心層的訪問，確保了核心層的安全性和穩(wěn)定性。核心層的功能較多，但是在其中最為主要的功能是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸?shù)?。核心層為這整一個(gè)網(wǎng)絡(luò)的核心，這就需要考慮該交換機(jī)在技術(shù)性和可擴(kuò)展性等方面要具有適當(dāng)?shù)某靶裕@樣在企業(yè)未來發(fā)展壯大之后才具有足夠的兼容性。其次，用我們常常說的一句老話來表達(dá)的話，那就是：穩(wěn)定壓倒一切。對核心交換機(jī)來說，對穩(wěn)定性的要求遠(yuǎn)遠(yuǎn)高過對性能的要求。若是一臺(tái)核心交換機(jī)經(jīng)常出故障，網(wǎng)絡(luò)經(jīng)常中斷，服務(wù)器經(jīng)常無法訪問，那還會(huì)有誰使用該家廠商的產(chǎn)品。這就好比我們?nèi)绻ゲ耸袌鲑I菜的話，這家店的菜回去吃完老是會(huì)拉肚子，幾次之后這家店肯定也會(huì)相應(yīng)的沒生意做了，就是因?yàn)楫a(chǎn)品不好。綜合了對比了各家廠商的能力和性價(jià)比之后，我們最終選擇CiscoCatalyst3560E-24TD作為匯聚和核心交換機(jī)，其中CISCOWS-C3560E-12D-E基本參數(shù)如下：表3-2CISCOWS-C3560E-12D-E基本參數(shù)主要參數(shù)? 產(chǎn)品類型企業(yè)級(jí)交換機(jī)? 應(yīng)用層級(jí)三層? 傳輸速率10/100/1000/10000Mbps? 交換方式存儲(chǔ)-轉(zhuǎn)發(fā)端口參數(shù)? 端口結(jié)構(gòu)非模塊化? 端口數(shù)量12個(gè)? 端口描述12個(gè)基于X2的萬兆以太網(wǎng)端口? 傳輸模式支持全雙工功能特性? 網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.1s，IEEE802.1w，IEEE802.1x，IEEE802.3ad，IEEE802.3af，IEEE802.3x，IEEE802.1D，IEEE802.1p，IEEE802.1Q，IEEE802.3，IEEE802.3u，IEEE802.3ab，IEEE802.3z糾錯(cuò)? 堆疊功能可堆疊? VLAN支持? QOS支持具體而言，Cisco3560E系列交換機(jī)的主要特性和優(yōu)勢有以下幾方面：①簡易性，換言之就是易操作，好上手，不需要用戶有足夠多的理論基礎(chǔ)就可以使用；②可用性和可擴(kuò)展性，就是為企業(yè)未來的發(fā)展做好了足夠的準(zhǔn)備；③高性能IP路由。在簡易性，也就是易用性方面CiscoCatalyst3560-E設(shè)計(jì)得很好，比如CiscoSmartports,思科靠著在網(wǎng)絡(luò)方面沉浸多年的豐富的網(wǎng)絡(luò)技術(shù)，快速而方便地配置先進(jìn)的CiscoCatalyst智能功能。CiscoSmartports宏為每種連接類型都提供了一套經(jīng)過驗(yàn)證、便于用戶使用的模板，使用戶能以最少的人力和技術(shù)投入，一致、準(zhǔn)確地配置必要的安全策略、IP電話、可用性、QoS和可管理性特性。在可用性和可擴(kuò)展性方面，CiscoCatalyst3560-E系列配備了一個(gè)強(qiáng)大的特性集，利用IP路由以及能夠最大限度地提高第二層網(wǎng)絡(luò)可用性的全套生成樹協(xié)議增強(qiáng)特性，借此實(shí)現(xiàn)了網(wǎng)絡(luò)可擴(kuò)展性和更高可用性，這就是企業(yè)不必因?yàn)樵谖磥硪欢螘r(shí)間內(nèi)發(fā)展過快的話需要重新購買一批新的網(wǎng)絡(luò)設(shè)備，為企業(yè)節(jié)省了一大筆資金。在標(biāo)準(zhǔn)生成樹協(xié)議基礎(chǔ)上增強(qiáng)的特性，如PVST+、UplinkFast和PortFast，以及Flex-link等創(chuàng)新特性，大幅度增加了了網(wǎng)絡(luò)正常運(yùn)行的時(shí)間。在高性能IP路由方面，思科快速轉(zhuǎn)發(fā)硬件路由架構(gòu)為CiscoCatalyst3560-E系列交換機(jī)提供了極高的IP路由性能。

3.1.2其它設(shè)備的選擇一個(gè)網(wǎng)絡(luò)的架構(gòu)不僅僅只有交換機(jī)，還有很多必不可少的元素，如線纜、終端設(shè)備、路由器等。本課題只是模擬一個(gè)中小型企業(yè)網(wǎng)絡(luò)。實(shí)際還要考慮很多綜合因素。本課題用CiscoPacketTracer軟件模擬，因此線纜、終端設(shè)備、路由器不一一討論型號(hào)和具體功能。3.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖設(shè)計(jì)根據(jù)仁愛公司的規(guī)模和發(fā)展規(guī)劃，網(wǎng)絡(luò)拓?fù)洳扇⌒切途W(wǎng)狀和樹型拓?fù)浣Y(jié)構(gòu)混合。這樣有利于企業(yè)的擴(kuò)展。為了避免單點(diǎn)故障，造成企業(yè)業(yè)務(wù)損失，也采用了設(shè)備冗余的設(shè)計(jì)。接入層機(jī)使用了CISCO2960系列的交換機(jī)，匯聚層和核心層使用了CISCO3560系列交換機(jī)，路由器一致采用CISCO2811企業(yè)路由器等，網(wǎng)絡(luò)拓?fù)鋱D設(shè)計(jì)如下：圖3-3廣東仁愛科技醫(yī)療有限公司網(wǎng)絡(luò)拓?fù)鋱D

3.3ip地址的規(guī)劃3.3.1vlan的劃分根據(jù)各個(gè)部門的不同需求以及公司的發(fā)展需要，現(xiàn)對各個(gè)部門進(jìn)行vlan劃分，具體劃分內(nèi)容見表3-4。表3-4vlan的劃分部門名稱VLAN網(wǎng)絡(luò)地址董事辦公室Vlan99/24人力資源部Vlan10/24財(cái)務(wù)部Vlan20/24銷售部Vlan30/24（總部）/24（子公司）設(shè)計(jì)部Vlan40/24（總部）/24（子公司）市場部Vlan50/24（總部）/24（子公司）3.3.2設(shè)備ip的具體劃分根據(jù)公司日常工作需求以及設(shè)備的相關(guān)功能，現(xiàn)對公司的ip進(jìn)行劃分，具體內(nèi)容見表3-5。表3-5IP的劃分企業(yè)總部設(shè)備接口ip地址默認(rèn)網(wǎng)關(guān)Zhuhai-R1F0/0/24F0/1/24S0/0/0/24S0/0/1/24Zhuhai-R2-firewallF0/0/24S0/0/0/24S0/0/1/24ISPS0/0/0/24S1G0/1/24vlan1052/24vlan2052/24vlan3052/24vlan4052/24vlan5052/24vlan9952/24S2G0/2/24F0/10/24vlan1053/24vlan2053/24vlan3053/24vlan4053/24vlan5053/24vlan9953/24DNS服務(wù)器00/24FTP服務(wù)器10/24E-mail服務(wù)器20/24管理員PC0/24所有PCdhcpdhcp子公司Guangzhou-R3F0/0.3054/24F0/0.4054/24F0/0.5054/24S0/0/0/24所有PCdhcpdhcp第4章網(wǎng)絡(luò)實(shí)施4.1實(shí)驗(yàn)配置分析圖4.2具體實(shí)驗(yàn)配置實(shí)施4.2.1基本配置根據(jù)企業(yè)要求，為了方便管理設(shè)備，所有的路由器和交換機(jī)都進(jìn)行了基本配置，配置命令及注釋如下：

4.2.2交換配置1、創(chuàng)建一個(gè)vlan，并把需要關(guān)聯(lián)的接口關(guān)聯(lián)到相應(yīng)的vlan之中，交換機(jī)之間采用trunk技術(shù)，實(shí)現(xiàn)跨交換機(jī)的相同vlan間通信。采用vtp技術(shù)，減輕VLAN配置的工作量,因此只需在vtpserver上創(chuàng)建VLAN即可。其中，企業(yè)總部的S1為vtpserver，其它交換機(jī)為vtpclient，子公司的S3為vtpserver，其它交換機(jī)為vtpclient，所有的vtp域名為zhss，密碼配置為shishang。為了增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性和可靠性，總部三層交換機(jī)之前配置了etherchannel捆綁技術(shù)。具體實(shí)施步驟如下：

2、二層不同vlan間是不能夠通信的，企業(yè)的協(xié)作需要各部門之間合作完成，因此需要實(shí)現(xiàn)vlan間的通信，實(shí)現(xiàn)vlan間的通信可以通過三層交換或單臂路由，這里總部采用三層交換，子公司采用單臂路由。具體實(shí)施命令如下：

3、STP協(xié)議。為了減少網(wǎng)絡(luò)故障的恢復(fù)時(shí)間，避免單點(diǎn)故障，解決環(huán)路問題。交換機(jī)配置PVST+協(xié)議。其中，S1為vlan99、vlan10、vlan20的根橋，為vlan30、vlan40、vlan50的次根橋；S2為vlan30、vlan40、vlan50的根橋，為vlan99、vlan10、vlan20的次根橋。如S1的配置如下：4、HSRP協(xié)議。企業(yè)中某子網(wǎng)的終端設(shè)備需要借助網(wǎng)關(guān)才能與其它子網(wǎng)的終端設(shè)備通信，因此網(wǎng)關(guān)在網(wǎng)絡(luò)中扮演很重要的角色，企業(yè)部署網(wǎng)關(guān)冗余是必不可少的。本中小型網(wǎng)絡(luò)在核心交換機(jī)S1和S2上為每個(gè)VLAN創(chuàng)建HSRP組，組號(hào)為VLANID，虛擬IP為每個(gè)VLAN所在網(wǎng)段的最后一個(gè)地址。值得一提的是，要確保每個(gè)VLAN對應(yīng)的HSRP組的活動(dòng)路由器和相應(yīng)VLAN根橋位于同一臺(tái)設(shè)備，否則會(huì)導(dǎo)致次優(yōu)路徑。因此，S1為VLAN99、VALN10和VLAN20的活動(dòng)路由器，而S2為VLAN30、VALN40和VLAN50的活動(dòng)路由器。其中，活動(dòng)路由器的優(yōu)先級(jí)為150，備份路由器的優(yōu)先級(jí)為100，具體實(shí)施命令如下：5、DHCP協(xié)議。由于網(wǎng)絡(luò)設(shè)備中主機(jī)過多，如果人為手動(dòng)分配IP地址很容易造成IP地址沖突，影響正常上網(wǎng)。動(dòng)態(tài)分配IP地址給網(wǎng)絡(luò)的終端設(shè)備既可以減少管理員的工作，又可以提高工作的靈活性。在企業(yè)中DHCP的配置是必不可少的。其中，總部的Zhuhai-R2和子公司的Guangzhou-R3充當(dāng)DHCP服務(wù)器，分別給相應(yīng)的每個(gè)部門動(dòng)態(tài)分配ip，地址池命名為VLAN+ID。另外，有些部門在總部和子公司都有設(shè)立，而主機(jī)又在同一個(gè)子網(wǎng)，為了避免獲取ip沖突，決定總部使用1-100的ip，子公司使用101-251的ip。還有，總部是跨網(wǎng)段獲取ip地址，因此需要在離客戶端最近的S1和S2配置dhcp中繼。具體實(shí)施命令如下：

4.2.3路由配置1、路由技術(shù)OSPF路由器協(xié)議是目前應(yīng)用最廣泛的鏈路狀態(tài)路由協(xié)議。通過區(qū)域劃分可以實(shí)現(xiàn)了路由的分層管理。EIGRP協(xié)議是距離矢量路由協(xié)議，實(shí)現(xiàn)和配置都比較簡單。根據(jù)公司規(guī)模和需求，公司總部采用OSPF協(xié)議，area0區(qū)域下發(fā)一條默認(rèn)路由。為了減少區(qū)域內(nèi)的鏈路狀態(tài)數(shù)據(jù)庫的大小，減低對路由器內(nèi)存的要求，對area1進(jìn)行路由匯總、并設(shè)置為完全stub區(qū)域。子公司規(guī)模小就采用EIGRP協(xié)議，接口匯總。簡單配置命令如下：總部OSPF協(xié)議：

2、路由重分布因?yàn)槠髽I(yè)總部與子公司之間的信息需要共享。企業(yè)網(wǎng)絡(luò)運(yùn)行了多種協(xié)議，因此需要采取路由重分布技術(shù)才可以使全部網(wǎng)絡(luò)互聯(lián)。這時(shí)需要在邊界路由器Zhuhai-R1實(shí)施，命令如下：

4.2.4網(wǎng)絡(luò)安全1、交換機(jī)端口安全接入層交換機(jī)容易受到MAC泛洪攻擊，可以通過啟用端口安全防止。DMZ區(qū)的交換區(qū)主要是服務(wù)器，配置靜態(tài)端口安全。內(nèi)網(wǎng)的交換區(qū)為員工工作的地方，位置不固定，因此配置動(dòng)態(tài)端口映射。實(shí)施命令如下：

2、STP防護(hù)STP協(xié)議是沒有什么措施對交換機(jī)的身份進(jìn)行認(rèn)證。在穩(wěn)定的網(wǎng)絡(luò)中如果接入非法的交換機(jī)會(huì)給網(wǎng)絡(luò)中的STP樹帶來災(zāi)難性的破壞?？梢圆捎肂PDUGuard和RootGuard技術(shù)保護(hù)STP。BPDUGuard功能是防止那些已經(jīng)配置邊緣端口的交換機(jī)接入交換機(jī)導(dǎo)致環(huán)路的產(chǎn)生，邊緣端口一開啟，就立即進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，配置BPDUGuard的接口一旦收到BPDU包，就立即關(guān)閉接口。RootGuard功能是防止用戶擅自在網(wǎng)絡(luò)中接入交換機(jī)并成為新的根橋，從而破壞破壞原來生成樹。實(shí)施命令如下：

3、MD5認(rèn)證為了保證收到的數(shù)據(jù)包是可靠的和確保信息傳輸?shù)耐暾裕酚善髦g采取了MD5加密認(rèn)證，其中運(yùn)行EIGRP協(xié)議的采用加密鏈路認(rèn)證，運(yùn)行OSPF協(xié)議的area0采用加密區(qū)域認(rèn)證。具體實(shí)施命令如下：

4、核心設(shè)備只允許管理員遠(yuǎn)程安全訪問。配置命令如下：

5、基于區(qū)域策略的防火墻（ZFW）ZFW的防火墻策略是在數(shù)據(jù)從一個(gè)區(qū)域發(fā)到另外一個(gè)區(qū)域時(shí)才生效，在同一個(gè)區(qū)域內(nèi)的數(shù)據(jù)是不會(huì)應(yīng)用任何策略的。所以可以將需要使用策略的接口劃入不同的區(qū)域，控制訪問。這樣可以達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部入侵。根據(jù)要求，對邊界路由器Zhuhai-R2-firewall做以下配置：

#創(chuàng)建私有網(wǎng)絡(luò)到Internet網(wǎng)絡(luò)的匹配條件名為private-to-internet

#創(chuàng)建從私有網(wǎng)絡(luò)到Internet區(qū)域之間的區(qū)域策略

6.wifi為了方便工作人員或者客戶使用網(wǎng)絡(luò)，可以在公司的每個(gè)部門布置無線網(wǎng)絡(luò)wifi，本項(xiàng)目以市場部為例子，直接在接入層交換機(jī)添加了AP，設(shè)置ssid為Market，password為123456789，認(rèn)證為WPA2-PSK,認(rèn)證方式：AES。第5章系統(tǒng)測試5.1HTTP服務(wù)測試使用PC1測試HTTP服務(wù)是否正常5.2DNS服務(wù)測試使用PC1終端測試DNS服務(wù)是否正常5.3FTP服務(wù)測試使用PC1終端測試FTP服務(wù)是否正常5.4E-mail測試使用PC1測試E-mail服務(wù)是否正常5.5核心設(shè)備只允許管理員安全訪問使用網(wǎng)絡(luò)管理員PC及PC4測試安全訪問是否生效5.6基于區(qū)域策略的防火墻使用PC2、DNS、PC0測試基于zone的策略是否生效第6章總結(jié)本設(shè)計(jì)的題目是中小型網(wǎng)絡(luò)的設(shè)計(jì)及實(shí)施，主要目的是對網(wǎng)絡(luò)專業(yè)所學(xué)的知識(shí)的總結(jié)，將理論知識(shí)應(yīng)用到實(shí)操。在組建中小型網(wǎng)絡(luò)的過程中，要做好網(wǎng)絡(luò)的詳細(xì)規(guī)劃與設(shè)計(jì)等。其中涉及到網(wǎng)絡(luò)設(shè)備的選型、網(wǎng)絡(luò)布線、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的規(guī)劃、部門的劃分、資源的共享、網(wǎng)絡(luò)穩(wěn)定及安全等工作。本項(xiàng)目主要使用packettracer模擬器來模擬，因此設(shè)備的選型和部分功能都受到了一定的限制。本項(xiàng)目也存在幾個(gè)缺陷，第一，HSRP配置不支持端口追蹤優(yōu)先級(jí)值更改，只能采用默認(rèn)值，默認(rèn)值是減少10。第二，在Zhuhai-R2-firewall路由器上，企業(yè)服務(wù)區(qū)很少會(huì)移動(dòng)，想要使用了靜態(tài)NAT，保護(hù)服務(wù)區(qū)訪問外網(wǎng)，但ping不通?？赡茉颍篒SP與Zhuhai-R2-firewall路由器之間使用不了帶送出接口的靜態(tài)路由器。ISP路由器的接口默認(rèn)關(guān)閉了ARP代理功能（開不了），則去往目的數(shù)據(jù)包的ARP解析會(huì)出問題，而導(dǎo)致數(shù)據(jù)幀封裝失敗，從而內(nèi)外網(wǎng)ping不通。第三，Zhuhai-R2-firewall路由器上不能同時(shí)應(yīng)用NAT和防火墻策略。本項(xiàng)目主要應(yīng)用了防火墻策略,限制了內(nèi)網(wǎng)、外網(wǎng)、dmz區(qū)之間的訪問，沒有應(yīng)用NAT。第四，不支持配置EIGRPstub區(qū)域。但本文涉及的要求和服務(wù)都能實(shí)現(xiàn)。參考文獻(xiàn)[1]梁廣民，王隆杰.思科網(wǎng)絡(luò)互聯(lián)技術(shù)[M].北京：電子工業(yè)出版社，2007.[2]梁廣民，王隆杰.思科網(wǎng)絡(luò)實(shí)驗(yàn)室CCNP實(shí)驗(yàn)指南[M].北京：電子工業(yè)出版社，2009.[2]騰科IT教育集團(tuán).思科認(rèn)證網(wǎng)絡(luò)工程師的迷霧[M].廣州：廣州出版社，2012.[3]馬玉鳳姜晗李憲玲.淺談局域網(wǎng)網(wǎng)絡(luò)安全防范與管理技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2019(06):16-17.

[4]黃龍龍.基于VANET的路由協(xié)議研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2019(06):15-16.

[5]尚紅艷.淺析計(jì)算機(jī)局域網(wǎng)管理[J].中國管理信息化,2018(20):2-2.

[6]李維偉.建筑企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2019(05):96-97.

[7]鄧俊華李光榮.高校利用VLAN技術(shù)防范ARP病毒攻擊的設(shè)計(jì)與分析[J].大眾科技,2009(06):22-23.

[8]劉軍軍.中型企業(yè)網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)和實(shí)施[J].數(shù)字技術(shù)與應(yīng)用,2012(09):132-132.

[9]謝琳潔劉超.基于SI的小型企業(yè)局域網(wǎng)設(shè)計(jì)方案實(shí)例分析[J].南昌教育學(xué)院學(xué)報(bào),2010(01):192-192.

[10]郭力.SI的小型企業(yè)局域網(wǎng)設(shè)計(jì)方案實(shí)例分析[J].電腦知識(shí)與技術(shù),2010(12):64-65.

[11]任小兵.中小型局域網(wǎng)VLAN技術(shù)分析及應(yīng)用[J].科技信息,2013(06):309-309.

[12]周萍.局域網(wǎng)的安全攻防測試與分析[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2014(06):197-198.[13]W.RichardStevensTCP/IP詳解卷1:機(jī)械工業(yè)出版社,2016[14]奧登,蓋譯,梅塔.ccie路由與交換認(rèn)證考試指南（第二版）（英文版）:人民郵電出版社2007致謝大學(xué)的時(shí)光過得真快，很感謝我的指導(dǎo)老師以及我的同學(xué)對我的幫助，在廣州大學(xué)松田學(xué)院的兩年間我經(jīng)歷過了美好的大學(xué)生活，學(xué)習(xí)到了很多相關(guān)的專業(yè)知識(shí)，學(xué)會(huì)了感恩，學(xué)會(huì)了如何跟人相處，在這幾年間大學(xué)豐富了我的人生，感謝每一個(gè)人在我的生命中出現(xiàn)，因?yàn)槟銈兾业纳畈抛兊枚嘧硕嗖?。最后對本文批改與審核的老師表示衷心的感謝！

捷鍵與一些電腦小技巧HYPERLINKwinkey+d:

這是高手最常用的第一快捷組合鍵。這個(gè)快捷鍵組合可以將桌面上的所有窗口瞬間最小化，無論是聊天的窗口還是游戲的窗口……只要再次按下這個(gè)組合鍵，剛才的所有窗口都回來了，而且激活的也正是你最小化之前在使用的窗口！

--這個(gè)就是winkeywinkey+f:

不用再去移動(dòng)鼠標(biāo)點(diǎn)“開始→搜索→文件和文件夾”了，在任何狀態(tài)下，只要一按winkey+f就會(huì)彈出搜索窗口。

winkey+r:

在我們的文章中，你經(jīng)常會(huì)看到這樣的操作提示:“點(diǎn)擊‘開始→運(yùn)行’，打開‘運(yùn)行’對話框……”。其實(shí)，還有一個(gè)更簡單的辦法，就是按winkey+r！

alt+tab:

如果打開的窗口太多，這個(gè)組合鍵就非常有用了，它可以在一個(gè)窗口中顯示當(dāng)前打開的所有窗口的名稱和圖標(biāo)●，選中自己希望要打開的窗口，松開這個(gè)組合鍵就可以了。而alt+tab+shift鍵則可以反向顯示當(dāng)前打開的窗口。

winkey+e:

當(dāng)你需要打開資源管理器找文件的時(shí)候，這個(gè)快捷鍵會(huì)讓你感覺非?！八?！再也不用騰出一只手去摸鼠標(biāo)了！

小提示:

winkey指的是鍵盤上刻有windows徽標(biāo)的鍵●。winkey主要出現(xiàn)在104鍵和107鍵的鍵盤中。104鍵盤又稱win95鍵盤，這種鍵盤在原來101鍵盤的左右兩邊、ctrl和alt鍵之間增加了兩個(gè)windwos鍵和一個(gè)屬性關(guān)聯(lián)鍵。107鍵盤又稱為win98鍵盤，比104鍵多了睡眠、喚醒、開機(jī)等電源管理鍵，這3個(gè)鍵大部分位于鍵盤的右上方。

再補(bǔ)充點(diǎn)

F1顯示當(dāng)前程序或者windows的幫助內(nèi)容。

F2當(dāng)你選中一個(gè)文件的話，這意味著“重命名”

F3當(dāng)你在桌面上的時(shí)候是打開“查找：所有文件”對話框

F10或ALT激活當(dāng)前程序的菜單欄

windows鍵或CTRL+ESC打開開始菜單

CTRL+ALT+DELETE在win9x中打開關(guān)閉程序?qū)υ捒?/p>

DELETE刪除被選擇的選擇項(xiàng)目，如果是文件，將被放入回收站

SHIFT+DELETE刪除被選擇的選擇項(xiàng)目，如果是文件，將被直接刪除而不是

放入回收站

CTRL+N新建一個(gè)新的文件

CTRL+O打開“打開文件”對話框

CTRL+P打開“打印”對話框

CTRL+S保存當(dāng)前操作的文件

CTRL+X剪切被選擇的項(xiàng)目到剪貼板

CTRL+INSERT或CTRL+C復(fù)制被選擇的項(xiàng)目到剪貼板

SHIFT+INSERT或CTRL+V粘貼剪貼板中的內(nèi)容到當(dāng)前位置

ALT+BACKSPACE或CTRL+Z撤銷上一步的操作

ALT+SHIFT+BACKSPACE重做上一步被撤銷的操作

Windows鍵+D：最小化或恢復(fù)windows窗口

Windows鍵+U：打開“輔助工具管理器”

Windows鍵+CTRL+M重新將恢復(fù)上一項(xiàng)操作前窗口的大小和位置

Windows鍵+E打開資源管理器

Windows鍵+F打開“查找：所有文件”對話框

Windows鍵+R打開“運(yùn)行”對話框

Windows鍵+BREAK打開“系統(tǒng)屬性”對話框

Windows鍵+CTRL+F打開“查找：計(jì)算機(jī)”對話框

SHIFT+F10或鼠標(biāo)右擊打開當(dāng)前活動(dòng)項(xiàng)目的快捷菜單

SHIFT在放入CD的時(shí)候按下不放，可以跳過自動(dòng)播放CD。在打開wo

rd的時(shí)候按下不放，可以跳過自啟動(dòng)的宏

ALT+F4關(guān)閉當(dāng)前應(yīng)用程序

ALT+SPACEBAR打開程序最左上角的菜單

ALT+TAB切換當(dāng)前程序

ALT+ESC切換當(dāng)前程序

ALT+ENTER將windows下運(yùn)行的MSDOS窗口在窗口和全屏幕狀態(tài)間切換

PRINTSCREEN將當(dāng)前屏幕以圖象方式拷貝到剪貼板

ALT+PRINTSCREEN將當(dāng)前活動(dòng)程序窗口以圖象方式拷貝到剪貼板

CTRL+F4關(guān)閉當(dāng)前應(yīng)用程序中的當(dāng)前文本（如word中）

CTRL+F6切換到當(dāng)前應(yīng)用程序中的下一個(gè)文本（加shift可以跳到前

一個(gè)窗口）

在IE中：

ALT+RIGHTARROW顯示前一頁（前進(jìn)鍵）

ALT+LEFTARROW顯示后一頁（后退鍵）

CTRL+TAB在頁面上的各框架中切換（加shift反向）

F5刷新

CTRL+F5強(qiáng)行刷新1.打開“我的電腦”-“工具”-“文件夾選項(xiàng)”-“查看”-在“顯示所有文件和文件夾”選項(xiàng)前打勾-“確定”

2.刪除以下文件夾中的內(nèi)容：

x:\DocumentsandSettings\用戶名\Cookies\下的所有文件(保留index文件)

x:\DocumentsandSettings\用戶名\LocalSettings\Temp\下的所有文件(用戶臨時(shí)文件)

x:\DocumentsandSettings\用戶名\LocalSettings\TemporaryInternetFiles\下的所有文件(頁面文件)

x:\DocumentsandSettings\用戶名\LocalSettings\History\下的所有文件(歷史紀(jì)錄)

x:\DocumentsandSettings\用戶名\Recent\下的所有文件(最近瀏覽文件的快捷方式)

x:\WINDOWS\Temp\下的所有文件(臨時(shí)文件)

x:\WINDOWS\ServicePackFiles(升級(jí)sp1或sp2后的備份文件)

x:\WINDOWS\DriverCache\i386下的壓縮文件(驅(qū)動(dòng)程序的備份文件)

x:\WINDOWS\SoftwareDistribution\download下的所有文件

3.如果對系統(tǒng)進(jìn)行過windoesupdade升級(jí)，則刪除以下文件：x:\windows\下以$u...開頭的隱藏文件

4.然后對磁盤進(jìn)行碎片整理，整理過程中請退出一切正在運(yùn)行的程序

5.碎片整理后打開“開始”-“程序”-“附件”-“系統(tǒng)工具”-“系統(tǒng)還原”-“創(chuàng)建一個(gè)還原點(diǎn)”(最好以當(dāng)時(shí)的日期作為還原點(diǎn)的名字)

6.打開“我的電腦”-右鍵點(diǎn)系統(tǒng)盤-“屬性”-“磁盤清理”-“其他選項(xiàng)”-單擊系統(tǒng)還原一欄里的“清理”-選擇“是”-ok了

7、在各種軟硬件安裝妥當(dāng)之后，其實(shí)XP需要更新文件的時(shí)候就很少了。刪除系統(tǒng)備份文件吧：開始→運(yùn)行→sfc.exe/purgecache近3xxM。(該命令的作用是立即清除"Windows文件保護(hù)"文件高速緩存，釋放出其所占據(jù)的空間)

8、刪掉\windows\system32\dllcache下dll檔(減去200——300mb),這是備用的dll檔，只要你已拷貝了安裝文件，完全可以這樣做。

9、XP會(huì)自動(dòng)備份硬件的驅(qū)動(dòng)程序，但在硬件的驅(qū)動(dòng)安裝正確后，一般變動(dòng)硬件的可能性不大，所以也可以考慮將這個(gè)備份刪除，文件位于\windows\drivercache\i386目錄下，名稱為driver.cab，你直接將它刪除就可以了，通常這個(gè)文件是74M。

10、刪除不用的輸入法：對很多網(wǎng)友來說，WindowsXPt系統(tǒng)自帶的輸入法并不全部都合適自己的使用，比如IMJP8_1日文輸入法、IMKR6_1韓文輸入法這些輸入法，如果用不著，我們可以將其刪除。輸入法位于\windows\ime\文件夾中，全部占用了88M的空間。

11、升級(jí)完成發(fā)現(xiàn)windows\多了許多類似$NtUninstallQ311889$這些目錄，都干掉吧，1x-3xM

12、另外，保留著\windows\help目錄下的東西對我來說是一種傷害，呵呵。。。都干掉！

13、關(guān)閉系統(tǒng)還原：系統(tǒng)還原功能使用的時(shí)間一長，就會(huì)占用大量的硬盤空間。因此有必要對其進(jìn)行手工設(shè)置，以減少硬盤占用量。打開"系統(tǒng)屬性"對話框，選擇"系統(tǒng)還原"選項(xiàng)，選擇"在所有驅(qū)動(dòng)器上關(guān)閉系統(tǒng)還原"復(fù)選框以關(guān)閉系統(tǒng)還原。也可僅對系統(tǒng)所在的磁盤或分區(qū)設(shè)置還原。先選擇系統(tǒng)所在的分區(qū)，單擊"配置"按鈕，在彈出的對話框中取消"關(guān)閉這個(gè)驅(qū)動(dòng)器的系統(tǒng)還原"選項(xiàng)，并可設(shè)置用于系統(tǒng)還原的磁盤空間大小。

14、休眠功能會(huì)占用不少的硬盤空間，如果使用得少不妨將共關(guān)閉，關(guān)閉的方法是的：打開"控制面板"，雙擊"電源選項(xiàng)"，在彈出的"電源選項(xiàng)屬性"對話框中選擇"休眠"選項(xiàng)卡，取消"啟用休眠"復(fù)選框。

15、卸載不常用組件：XP默認(rèn)給操作系統(tǒng)安裝了一些系統(tǒng)組件，而這些組件有很大一部分是你根本不可能用到的，可以在"添加/刪除Windows組件"中將它們卸載。但其中有一些組件XP默認(rèn)是隱藏的，在"添加/刪除Windows組件"中找不到它們，這時(shí)可以這樣操作：用記事本打開\windows\inf\sysoc.inf這個(gè)文件，用查找/替換功能把文件中的"hide"字符全部替換為空。這樣，就把所有組件的隱藏屬性都去掉了，存盤退出后再運(yùn)行"添加-刪除程序"，就會(huì)看見多出不少你原來看不見的選項(xiàng)，把其中那些你用不到的組件刪掉（記住存盤的時(shí)候要保存為sysoc.inf，而不是默認(rèn)的sysoc.txt），如Internat信使服務(wù)、傳真服務(wù)、Windowsmessenger，碼表等，大約可騰出近50MB的空間。

16、清除系統(tǒng)臨時(shí)文件：系統(tǒng)的臨時(shí)文件一般存放在兩個(gè)位置中：一個(gè)Windows安裝目錄下的Temp文件夾；另一個(gè)是x:\DocumentsandSettings"用戶名"\LocalSettings\Temp文件夾(Y:是系統(tǒng)所在的分區(qū))。這兩個(gè)位置的文件均可以直接刪除。

17、清除Internet臨時(shí)文件：定期刪除上網(wǎng)時(shí)產(chǎn)生的大量Internet臨時(shí)文件，將節(jié)省大量的硬盤空間。打開IE瀏覽器，從"工具"菜單中選擇"Internet選項(xiàng)"，在彈出的對話框中選擇"常規(guī)"選項(xiàng)卡，在"Internet臨時(shí)文件"欄中單擊"刪除文件"按鈕，并在彈出"刪除文件"對話框，選中"刪除所有脫機(jī)內(nèi)容"復(fù)選框，單擊"確定"按鈕。

18、清除預(yù)讀文件：WindowsXP的預(yù)讀設(shè)置雖然可以提高系統(tǒng)速度，但是使用一段時(shí)間后，預(yù)讀文件夾里的文件數(shù)量會(huì)變得相當(dāng)龐大，導(dǎo)致系統(tǒng)搜索花費(fèi)的時(shí)間變長。而且有些應(yīng)用程序會(huì)產(chǎn)生死鏈接文件，更加重了系