企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計及實現(xiàn)

...wd......wd......wd...企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計與實現(xiàn)21世紀(jì)是一個信息時代，互聯(lián)網(wǎng)把企業(yè)馳入了全球信息高速公路，讓企業(yè)信息通過互聯(lián)網(wǎng)通達(dá)世界各個角落。企業(yè)通過互聯(lián)網(wǎng)發(fā)布企業(yè)最新的商業(yè)信息，供全球檢索，以此來宣傳自己的企業(yè)，宣傳企業(yè)的產(chǎn)品，宣傳企業(yè)的服務(wù)，全面展示企業(yè)形象，并通過網(wǎng)絡(luò)與各行各業(yè)進(jìn)展交流、推銷和合作，同時通過互聯(lián)網(wǎng)尋找貨源和新客戶。許多企業(yè)都在互聯(lián)網(wǎng)上找到了時機(jī)，創(chuàng)造了輝煌?！芭c其臨淵羨魚，不如退而結(jié)網(wǎng)〞，科技隨著人類不斷的開展而日新月異，信息化、網(wǎng)絡(luò)化、高效化的腳步已經(jīng)越來越近。對于一個公司來說，網(wǎng)絡(luò)的信息化已經(jīng)成為公司開展、參與市場競爭的首要條件。企業(yè)網(wǎng)絡(luò)方案設(shè)計從長沙某公司的網(wǎng)絡(luò)構(gòu)造特點與企業(yè)網(wǎng)的原則性出發(fā)，根據(jù)公司的建設(shè)必要性與需求、公司網(wǎng)絡(luò)的綜合布線以及公司信息點的采集等方面進(jìn)展需求分析，通過網(wǎng)絡(luò)仿真軟件ENSP2.0建設(shè)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)鏈路布線的設(shè)計模型，并模擬網(wǎng)絡(luò)的流量、劃分VLAN、創(chuàng)立訪問控制列表、構(gòu)建冗余鏈路等。綜合性地運(yùn)用當(dāng)今企業(yè)網(wǎng)的優(yōu)點與現(xiàn)代化的管理手段，對網(wǎng)絡(luò)構(gòu)造架構(gòu)：如網(wǎng)絡(luò)拓?fù)錁?gòu)造詳細(xì)規(guī)劃、分層設(shè)計、IP地址的規(guī)劃設(shè)計等方面做了詳細(xì)剖析。從而實現(xiàn)一個辦公自動化、全方位、多功能、升級能力強(qiáng)的企業(yè)網(wǎng)的構(gòu)建?！娟P(guān)鍵詞】企業(yè)網(wǎng)；網(wǎng)絡(luò)規(guī)劃；網(wǎng)絡(luò)設(shè)計；網(wǎng)絡(luò)拓?fù)淠夸浶蜓?1-從企業(yè)對信息的需求來看-1-從企業(yè)管理和業(yè)務(wù)開展的角度出發(fā)-1-1.中小企業(yè)網(wǎng)絡(luò)的建設(shè)目標(biāo)-3-1.1建設(shè)目標(biāo)-3-1.2設(shè)計原則-3-2.企業(yè)網(wǎng)絡(luò)的總體設(shè)計-5-2.1網(wǎng)絡(luò)拓樸設(shè)計-5-2.2IP編址方案及VLAN劃分-6-2.3核心層設(shè)計及設(shè)備選型-7-2.3.1園區(qū)主干交換機(jī)-7-2.3.2出口路由器-7-2.3.3服務(wù)器群組-8-2.4接入層設(shè)計及設(shè)備選型-8-2.5安全體系設(shè)計及設(shè)備選型-8-2.6設(shè)計方案優(yōu)勢-10-2.6.1高帶寬、高性能-10-2.6.2網(wǎng)絡(luò)管理-10-2.6.3完善的安全機(jī)制-11-2.6.4易維護(hù)-11-2.6.5高可靠性-12-2.6.6低成本、可擴(kuò)展性強(qiáng)-12-3.企業(yè)網(wǎng)絡(luò)的整體方案部署-13-3.1交換模塊設(shè)計-13-3.1.1接入層交換機(jī)服務(wù)的實現(xiàn)—配置接入層交換機(jī)-13-3.1.2核心層交換機(jī)服務(wù)的實現(xiàn)—配置核心層交換機(jī)-15-3.2廣域網(wǎng)接入模塊設(shè)計-18-3.2.1配置路由器AR1的基本參數(shù)-19-3.2.2配置路由器AR1的各接口參數(shù)-19-3.2.3配置路由器AR1的路由功能-19-3.2.4配置接入路由器AR1上的NAT-20-3.2.5配置接入路由器AR1上的ACL-20-完畢語-22-序言隨著Internet在全球的開展與普及，企業(yè)網(wǎng)絡(luò)技術(shù)的開展以及企業(yè)存在和開展需要促成了企業(yè)網(wǎng)的形成。自20世紀(jì)90年代以來，企業(yè)網(wǎng)絡(luò)已經(jīng)成為連接企業(yè)、事業(yè)單位各部門與外界交流信息的重要根基設(shè)施。基于局域網(wǎng)和廣域網(wǎng)技術(shù)開展起來的企業(yè)網(wǎng)絡(luò)技術(shù)得到迅速的開展。為了適應(yīng)網(wǎng)絡(luò)經(jīng)濟(jì)的飛速開展，擴(kuò)大企業(yè)經(jīng)營的規(guī)模和范圍，方便企業(yè)內(nèi)部和企業(yè)之間的交流，節(jié)省辦公開銷，提高企業(yè)的管理水平，企業(yè)開展Intranet〔企業(yè)內(nèi)部網(wǎng)〕已經(jīng)是刻不容緩。另外，截至2011年，中國中小企業(yè)的數(shù)量將到達(dá)4660萬，其中擁有企業(yè)網(wǎng)站的企業(yè)數(shù)量將到達(dá)363萬。在國民經(jīng)濟(jì)中，60%的總產(chǎn)來自于中小企業(yè)，并為社會提供了60%以上的就業(yè)時機(jī)。然而，在中國國民經(jīng)濟(jì)和社會開展中一直占據(jù)著至關(guān)重要的戰(zhàn)略地位的小中企業(yè)，其信息化程度卻對比落后。今后若何應(yīng)對瞬息萬變、競爭劇烈的國內(nèi)外市場環(huán)境以及若何利用網(wǎng)絡(luò)技術(shù)迅速提升企業(yè)核心競爭力就是成為企業(yè)成敗的關(guān)鍵所在。從企業(yè)對信息的需求來看面對著劇烈的市場競爭，公司對信息的收集、傳輸、加工、存儲、查詢、預(yù)測、決策及即時的交流、溝通等工作量越來越大，原來的電腦出于網(wǎng)絡(luò)技術(shù)或是安全性等因素考慮，一直只是停留在單機(jī)工作的模式，各部門及科室間的數(shù)據(jù)不能實現(xiàn)共享，致使工作效率大大下降，純粹手工管理方式和手段已經(jīng)不能適應(yīng)企業(yè)的需要，這將嚴(yán)重阻礙公司的存在和開展。社會進(jìn)展要求企業(yè)必須改變現(xiàn)有的落后管理體制、管理方法和手段，建設(shè)現(xiàn)代企業(yè)的新形象，建設(shè)本企業(yè)的辦公自動化管理信息系統(tǒng)〔即公司局域網(wǎng)〕，以提高管理水平，增加經(jīng)濟(jì)和社會效益。從企業(yè)管理和業(yè)務(wù)開展的角度出發(fā)通過網(wǎng)絡(luò)對網(wǎng)絡(luò)資源的共用來改善企業(yè)內(nèi)部和企業(yè)與客戶之間的信息交流方式，滿足業(yè)務(wù)部門對信息存儲、檢索、處理和共享需求，使企業(yè)能迅速掌握瞬息萬變的市場行情，使企業(yè)信息更有效地發(fā)揮效力；提高辦公自動化水平，提高工作效率，降低管理成本，提高企業(yè)在市場上的競爭力；通過對每項業(yè)務(wù)的跟蹤，企業(yè)管理者可以了解業(yè)務(wù)進(jìn)展情況，掌握第一手資料，及時掌握市場動態(tài)，為企業(yè)提供投資導(dǎo)向，為領(lǐng)導(dǎo)決策提供數(shù)據(jù)支持；通過企業(yè)內(nèi)部網(wǎng)建設(shè)，企業(yè)各業(yè)務(wù)部門可以有更方便的交流溝通，管理者可隨時了解每一位員工的情況，并加強(qiáng)以企業(yè)人力資源合理調(diào)度，切實做到系統(tǒng)的集成化設(shè)計，使原有的設(shè)備、投資得到有效利用。因此，有必要建設(shè)好中小型企業(yè)建設(shè)信息網(wǎng)絡(luò)，以到達(dá)最大限度地實現(xiàn)信息資源共享，并使用電子信息的傳遞取代紙面文件、材料的傳送，逐步實現(xiàn)無紙辦公，改變傳統(tǒng)的工作方式，進(jìn)一步提高工作效率。同時，利用各種業(yè)務(wù)信息的綜合分析，為各級領(lǐng)導(dǎo)提供決策支持，更好地組織生產(chǎn)和經(jīng)營。1.中小企業(yè)網(wǎng)絡(luò)的建設(shè)目標(biāo)建設(shè)目標(biāo)企業(yè)建設(shè)一個以辦公自動化、計算機(jī)輔助生產(chǎn)、控制及管理為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、能覆蓋企業(yè)各樓宇的企業(yè)主干網(wǎng)絡(luò)，將企業(yè)的各種PC機(jī)、工作站、終端設(shè)備和局域網(wǎng)連接起來，并與有關(guān)廣域網(wǎng)相連，在網(wǎng)上宣傳自己和獲取Internet網(wǎng)上的信息資源。形成構(gòu)造合理、內(nèi)外溝通的企業(yè)計算機(jī)網(wǎng)絡(luò)系統(tǒng)，在此根基上建設(shè)能滿足生產(chǎn)、研發(fā)和管理工作需要的軟硬件環(huán)境，開發(fā)各類信息庫和應(yīng)用系統(tǒng)，為企業(yè)各類需求提供充分的網(wǎng)絡(luò)信息服務(wù)。即總體目標(biāo)是利用先進(jìn)的計算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)，建設(shè)高質(zhì)量、高效率的統(tǒng)一的通信網(wǎng)絡(luò)。其具體目標(biāo)如下：通過建設(shè)一個高速、安全、可靠、可擴(kuò)大的網(wǎng)絡(luò)系統(tǒng)，使各系統(tǒng)互聯(lián)互通，實現(xiàn)企業(yè)信息的高度共享、傳遞及管理信息化，各領(lǐng)導(dǎo)能及時、全面、準(zhǔn)確地掌握企業(yè)的研發(fā)、生產(chǎn)、管理、財務(wù)、人事等各方面情況；建設(shè)出口信道，實現(xiàn)企業(yè)與Internet互聯(lián)，同時部署企業(yè)各種應(yīng)用服務(wù)器〔郵件、文件、網(wǎng)站及各系統(tǒng)服務(wù)器等〕，實現(xiàn)企業(yè)信息的發(fā)布，提供各領(lǐng)導(dǎo)和企業(yè)員工的移動撥號接入，進(jìn)展移動辦公和資料查詢；企業(yè)的各通交流，用電子信息的傳遞取代紙面文件、資料的傳送，實現(xiàn)無紙辦公，改變傳統(tǒng)的工作方式，進(jìn)一步提高工作效率；利用各種業(yè)務(wù)信息的綜合分析，為各級領(lǐng)導(dǎo)提供決策支持，更好地組織生產(chǎn)和經(jīng)營。1.2設(shè)計原則企業(yè)園區(qū)網(wǎng)可能包含大量的信息點，并會涉及大量的業(yè)務(wù)應(yīng)用，這就要求企業(yè)網(wǎng)必須是一個實用的、高可靠、高效率、高擴(kuò)展性及高安全性系統(tǒng)。為使企業(yè)園網(wǎng)絡(luò)系統(tǒng)具有良好的擴(kuò)展性和靈活的接入能力，并易于管理，易于維護(hù)，在網(wǎng)絡(luò)設(shè)計及構(gòu)建中始終應(yīng)遵循統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一平臺及網(wǎng)絡(luò)分層的原則，主要包括如下原則：在網(wǎng)絡(luò)規(guī)劃方面，統(tǒng)一采用IP技術(shù)，統(tǒng)一規(guī)劃IP地址及各種應(yīng)用，采用開放的技術(shù)及國際標(biāo)準(zhǔn)，如路由協(xié)議、安全標(biāo)準(zhǔn)、接入標(biāo)準(zhǔn)和網(wǎng)絡(luò)管理平臺等，才能保證實現(xiàn)網(wǎng)絡(luò)的統(tǒng)一，并確保網(wǎng)絡(luò)的可擴(kuò)展性，同時為了減少網(wǎng)絡(luò)中各局部的相關(guān)性，便于網(wǎng)絡(luò)的實施及管理，在網(wǎng)絡(luò)的構(gòu)建中，從整體上可以將網(wǎng)絡(luò)劃分為核心層、會聚層和接入層等3個層次；在軟硬件選擇方面，所有選擇的軟、硬件產(chǎn)品都必須遵循標(biāo)準(zhǔn)化原則，采用統(tǒng)一的軟、硬件平臺和基本應(yīng)用軟件，以便進(jìn)展統(tǒng)一的軟件版本的升級及管理；在安全方面，所建設(shè)企業(yè)網(wǎng)應(yīng)具有良好的安全性與保密性，根據(jù)企業(yè)的業(yè)務(wù)應(yīng)用需求，部署合理的網(wǎng)絡(luò)訪問策略，同時實現(xiàn)企業(yè)內(nèi)部敏感信息的保護(hù)，在受到攻擊時具有可追溯性；在投資保護(hù)方面，要做到資源共享與保護(hù)，充分合理地利用現(xiàn)有的資源，最大限度地與原有系統(tǒng)或在建系統(tǒng)互聯(lián)互通，在盡可能利用已有投資的根基上，解決好經(jīng)費(fèi)的補(bǔ)充和配套資金到位問題。2.企業(yè)網(wǎng)絡(luò)的總體設(shè)計2.1網(wǎng)絡(luò)拓樸設(shè)計本次該企業(yè)網(wǎng)絡(luò)設(shè)計方案主要由以下局部構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、服務(wù)器群。整個網(wǎng)絡(luò)系統(tǒng)的拓樸構(gòu)造圖如圖2-1網(wǎng)絡(luò)拓樸設(shè)計所示，如下：圖2-1網(wǎng)絡(luò)拓樸設(shè)計該設(shè)計符合中小型局域網(wǎng)模型架構(gòu)。它的園區(qū)主干和建筑物分布子模塊沒有十清楚確的三層設(shè)計區(qū)分，在功能配置基本上是緊縮到一層中去，因為缺乏明顯分開的園區(qū)主干和建筑物分布子模塊，并且園區(qū)主干子模塊中的密度是有限的，所以在每個建筑物分布子模塊中采用多臺二層交換機(jī)進(jìn)展堆疊即可，在此方案中，出于可擴(kuò)展性、一次性投資成本、網(wǎng)絡(luò)的傳輸性能及長遠(yuǎn)規(guī)劃等方面因素考慮，前期先采用堆疊模式即可滿足所有用戶的接入問題，當(dāng)用戶增加到一定的數(shù)量之后，出于交換機(jī)堆疊數(shù)量的限制，可以選擇增加多一臺建筑物分布子模塊來做會聚的交換設(shè)備，這樣一樣可以做到后續(xù)有很強(qiáng)的擴(kuò)展性，通過這種設(shè)計，可以使用該企業(yè)到達(dá)滿足現(xiàn)有需求的同時很好的降低了成本且不失后期的擴(kuò)展性〔如上拓樸圖示〕。以這個設(shè)計方案而言，因為能提供交換機(jī)和鏈路冗余，所在園區(qū)主干子模塊不包含任何的單點故障。它采用了星形拓樸構(gòu)造，它相對其他拓樸構(gòu)造來說，星形拓樸將用戶接入網(wǎng)絡(luò)時具有更大的靈活性。當(dāng)系統(tǒng)不斷開展或系統(tǒng)發(fā)生重大變化時，這種優(yōu)點將變得更加突出。在接入層，華為S2700系列交換機(jī)通過生成樹提供第二層冗余。華為S2700系列交換機(jī)僅有缺點就是最高只能32Gbit/s交換陣列，并且最多只能支持48個快速以太網(wǎng)端口，但是這對于資金有限的中小型企業(yè)網(wǎng)來說已經(jīng)滿足需求了。在核心層采用三層交換機(jī)華為5700系列部署，可以增加網(wǎng)絡(luò)擴(kuò)展性，提高性能及可用性，增強(qiáng)網(wǎng)絡(luò)安全性。在該設(shè)計中，利用快速以太網(wǎng)通道化/千兆以太網(wǎng)通道化技術(shù)擴(kuò)展網(wǎng)絡(luò)帶寬，可以滿足內(nèi)部網(wǎng)絡(luò)的大負(fù)荷網(wǎng)絡(luò)運(yùn)行需求。2.2IP編址方案及VLAN劃分IP地址規(guī)劃根據(jù)所分配的公網(wǎng)IP地址和內(nèi)部私有網(wǎng)IP地址分配，地址可分為二大塊，一塊是分配多個C類公網(wǎng)IP地址，作為和國際互聯(lián)網(wǎng)互連的地址，一局部企業(yè)相關(guān)的域名就解析在這片地址上，同時提供應(yīng)企業(yè)用戶上網(wǎng)時的NAT轉(zhuǎn)換用，如果條件允許，可以申請多個運(yùn)營商的線路，關(guān)鍵服務(wù)器及應(yīng)用可以擁有兩條線路的公網(wǎng)IP，分別跨接在不同的運(yùn)營商上進(jìn)展相互備份。當(dāng)前交換技術(shù)的迅速開展，也加快了虛擬子網(wǎng)技術(shù)(VLAN—VirtualLocalAreaNetwork)的應(yīng)用速度，特別是在當(dāng)前企業(yè)網(wǎng)上的應(yīng)用更廣泛。通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬子網(wǎng)〔VLAN〕，可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)播送。數(shù)據(jù)播送在網(wǎng)絡(luò)中起著非常重要的作用，隨著企業(yè)網(wǎng)內(nèi)的計算機(jī)數(shù)量的增加，播送包的數(shù)量也會急劇增加，當(dāng)播送包的數(shù)量占到總量的30%時，網(wǎng)絡(luò)的傳輸效率將會明顯下降。特別是當(dāng)某網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后，會不停地向網(wǎng)絡(luò)發(fā)送播送，從而導(dǎo)致網(wǎng)絡(luò)風(fēng)暴，使網(wǎng)絡(luò)通信陷于癱瘓。當(dāng)企業(yè)網(wǎng)絡(luò)內(nèi)計算機(jī)數(shù)超過200臺后，就必須采取措施將網(wǎng)絡(luò)分隔開來，將一個大的播送域劃分成假設(shè)干個小的播送域。該方案IP編址及VLAN劃分如下：表5-1VLAN劃分表VLAN號VLAN名稱IP網(wǎng)段默認(rèn)網(wǎng)關(guān)說明VLAN1-192．168．0．0/24192．168．0．254管理VLANVLAN10CWB192．168．1．0/24192．168．1．254財務(wù)部VLANVLAN20SCB192．168．2．0/24192．168．2．254市場部VLANVLAN30CHB192．168．3．0/24192．168．3．254籌劃部VLANVLAN50KFZX192．168．5．0/24192．168．5．254客服中心VLANVLAN60CGB192．168．6．0/24192．168．6．254采購部VLANVLAN70RFB192．168．7．0/24192．168．7．254研發(fā)部VLANVLAN100SERVER192．168．100．0/24192．168．100．254服務(wù)器組VLAN2.3核心層設(shè)計及設(shè)備選型企業(yè)網(wǎng)是各種應(yīng)用的統(tǒng)一通信平臺，平均無故障時間以及故障恢復(fù)時間要保持在一個可容忍的許可范圍之內(nèi)。在這種前提下，園區(qū)主干設(shè)備應(yīng)有一定的冗余度，這種冗余包括有設(shè)備及物理線路等方面，數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層以及應(yīng)用層的容錯能力。園區(qū)主干網(wǎng)以企業(yè)網(wǎng)絡(luò)中心的主機(jī)房為中心節(jié)點向外輻射，通過各部門所在的建筑樓節(jié)點構(gòu)成園區(qū)主干網(wǎng)。企業(yè)園物理構(gòu)造分為三層：核心層、會聚層、接入層。園區(qū)主干網(wǎng)中心節(jié)點配置核心路由交換機(jī)，該交換機(jī)上配置第三層交換模塊和網(wǎng)絡(luò)監(jiān)控模塊，以實現(xiàn)網(wǎng)絡(luò)動態(tài)管理和虛擬局域網(wǎng)。企業(yè)網(wǎng)的各建筑物分布子模塊，可采用三層交換機(jī)與企業(yè)網(wǎng)園區(qū)中心的核心路由交換機(jī)連接，以實現(xiàn)主干通道信息傳輸?shù)呢?fù)載均衡。辦公司樓、研發(fā)樓、生產(chǎn)間、職工公寓等樓宇采用高性能會聚層交換機(jī)，以保證建筑樓信息點對交換機(jī)端口密度的要求和網(wǎng)絡(luò)性能與可靠性的要求。園區(qū)主干網(wǎng)核心層交換機(jī)和會聚層交換機(jī)采用1000Mbps連接，服務(wù)器采用100Mbps連接。2.3.1園區(qū)主干交換機(jī)園區(qū)主干交換機(jī)是指連接服務(wù)器及樓與樓之間、層與層之間的數(shù)據(jù)交換設(shè)備。根據(jù)企業(yè)網(wǎng)工程的不同階段中網(wǎng)絡(luò)信息點增加及其間伴隨著的使用需求增長，對主干交換機(jī)基本設(shè)備的選型及其階段性的擴(kuò)展需求進(jìn)展總體的合理規(guī)劃。因此本次方案設(shè)計采用華為S5700交換機(jī)，它的最高性能可以到達(dá)102Mpps和136Gbit/s，在遠(yuǎn)程辦公室環(huán)境中，這類交換機(jī)即可以作為單臺交換機(jī)發(fā)揮作用，也可以作為包含少量交換機(jī)的中小型網(wǎng)絡(luò)的園區(qū)主干交換機(jī)。在性能方面，具有很強(qiáng)的擴(kuò)展性及多業(yè)務(wù)特性，可以滿足未來企業(yè)豐富的業(yè)務(wù)需求及提供投資保護(hù)。2.3.2出口路由器在此方案中，考慮該企業(yè)Internet出口路由器的配置，采用一臺華為AR3260路由器，因為華為AR3260系列是模塊化設(shè)備，提供了更多的槽和更高的處理能力，它的用途是支持大型分支機(jī)構(gòu)中的復(fù)雜應(yīng)用，或作為中心路由器為多個遠(yuǎn)程站點提供連接，它的網(wǎng)絡(luò)模塊最高可支持OC-3的速度，且對大多數(shù)企業(yè)具有豐富的可提高擴(kuò)展能力。2.3.3服務(wù)器群組服務(wù)器是網(wǎng)絡(luò)服務(wù)器用量最大的地方。服務(wù)器的選擇標(biāo)準(zhǔn)很大程度上取決于中心客戶的類型和應(yīng)用種類。就大局部中小型企業(yè)應(yīng)用而言，Web、ERP應(yīng)用和數(shù)據(jù)庫應(yīng)用仍然占整個數(shù)據(jù)中心的各類應(yīng)用的主要局部。因此對服務(wù)器的網(wǎng)絡(luò)響應(yīng)能力在很大程度上表達(dá)了服務(wù)器的硬件體系構(gòu)造設(shè)計的合理性、CPU或CPU組〔SMP〕對操作系統(tǒng)的進(jìn)程或線程的分配能力以及磁盤I/O的性能。以及可行性與穩(wěn)定性，同時散熱、功耗和易安裝性也是重點考察和評價的對象。基于以上考慮，所選的服務(wù)器必須具有高可靠性，I/O吞吐能力強(qiáng)，數(shù)據(jù)處理快，可擴(kuò)展性和可管理性良好的特點。2.4接入層設(shè)計及設(shè)備選型接入層選用華為S2700可堆疊交換機(jī)作為用戶的接入，這些交換機(jī)通常作為建筑物接入交換機(jī)而部署，能夠提供固定的端口密度，并且具有與高端交換機(jī)相類似的特性，但其成本更低，但它們卻支持非常多的高級交換特性，其中包括集成安全、NAC、高級Qos和彈性等；同時這些交換機(jī)具有固定的端口配置，具有24個或48個10/100BASE-T或10/100/1000BASE-T端口，以及雙目標(biāo)特以太網(wǎng)上行鏈路。使用華為S2700作為本方案設(shè)計的接入交換機(jī)，它支持全線速的二層交換，同時具備如下特性：完備的安全智能控制策略：支持802.1x認(rèn)證，還可以通過靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問網(wǎng)絡(luò)。支持多種ACL訪問控制策略：能夠?qū)τ脩粼L問網(wǎng)絡(luò)資源的權(quán)限進(jìn)展設(shè)置，保證網(wǎng)絡(luò)的受控訪問。高可靠性：支持STP/RSTP生成樹協(xié)議。豐富的QOS策略：支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口，支持帶寬控制功能。2.5安全體系設(shè)計及設(shè)備選型企業(yè)網(wǎng)信息系統(tǒng)是企業(yè)網(wǎng)的數(shù)字神經(jīng)中樞，合理的使用不僅能提高企業(yè)現(xiàn)代化信息化改革、提高工作效率、改善工作模式及流程，同時通過各企業(yè)之間的信息共享及溝通的方便及順暢，將會極大的提高整體行業(yè)的工作效率及工作業(yè)績。企業(yè)網(wǎng)總體上分為企業(yè)內(nèi)網(wǎng)和企業(yè)外網(wǎng)。企業(yè)內(nèi)網(wǎng)主要包括研發(fā)樓局域網(wǎng)、生產(chǎn)車間局域網(wǎng)、辦公自動化局域網(wǎng)等。企業(yè)外網(wǎng)主要指企業(yè)提供對外服務(wù)的服務(wù)器群、與電信的接入以及遠(yuǎn)程移動辦公用戶的接入等，認(rèn)真分析可以總結(jié)出企業(yè)網(wǎng)面臨著如下的安全威脅：各種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞帶來的安全威脅；Internet網(wǎng)絡(luò)用戶對企業(yè)網(wǎng)存在非法訪問或惡意入侵的威脅；來自企業(yè)網(wǎng)內(nèi)外的各種病毒的威脅，外部用戶可能通過郵件以及文件傳輸?shù)葘⒉《編肫髽I(yè)內(nèi)網(wǎng)，內(nèi)部職工可能由于使用盜版介質(zhì)將病毒帶入企業(yè)內(nèi)；內(nèi)部用戶對Internet的非法訪問威脅，如瀏覽黃色、暴力、反動等網(wǎng)站，以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入企業(yè)內(nèi)網(wǎng)；內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS攻擊，導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用；企業(yè)網(wǎng)內(nèi)的職工即時通信工具〔比方：QQ〕，目前針對該類工具的黑客程序隨處可見；可能會因為企業(yè)網(wǎng)內(nèi)管理人員以及全體職工的安全意識不強(qiáng)、管理制度不健全，帶來企業(yè)網(wǎng)的威脅。基于上面的問題，我們將從物理、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用及管理五個層次分析和設(shè)計適合于企業(yè)網(wǎng)的安全建議方案。2.6設(shè)計方案優(yōu)勢2.6.1高帶寬、高性能相比于傳統(tǒng)組網(wǎng)設(shè)計方案，該企業(yè)網(wǎng)絡(luò)設(shè)計方案是基于標(biāo)準(zhǔn)的二、三層以太網(wǎng)交換技術(shù)，技術(shù)成熟度非常高。企業(yè)網(wǎng)絡(luò)中心放置路由交換機(jī)上行通過GE接至互聯(lián)網(wǎng)，GE可以是單模或者多模，到時可以按使用的情況進(jìn)展擴(kuò)展，使出口不會成為企業(yè)網(wǎng)瓶頸。在企業(yè)網(wǎng)絡(luò)中心通過下行使千兆鏈路連接接入層交換機(jī)，百兆交換到桌面，100M的帶寬可充分滿足用戶高速上網(wǎng)、內(nèi)容下載及多媒體等多種寬帶業(yè)務(wù)。核心交換機(jī)擁有1000M出口聯(lián)接企業(yè)網(wǎng)，各層設(shè)備全部支持線速交換，給用戶提供了真正的高帶寬網(wǎng)絡(luò)，對未來高帶寬的寬帶業(yè)務(wù)提供了強(qiáng)大的支撐能力。2.6.2網(wǎng)絡(luò)管理企業(yè)網(wǎng)在為員工提供便捷、高效的學(xué)習(xí)、工作環(huán)境的同時，也在寬帶管理、權(quán)限控制等方面存在許多問題：對帶寬資源的大量占用導(dǎo)致重要應(yīng)用無法進(jìn)展對于企業(yè)來說，它的帶寬資源都是有限的。由于沒有帶寬限制和優(yōu)先級設(shè)置，一些重要用戶和重要應(yīng)用得不到必要的帶寬保證而影響了工作。訪問權(quán)限難以控制隨著使用互聯(lián)網(wǎng)資源、各部門之間不同員工間的保密資源可以隨意獲取，將導(dǎo)致企業(yè)秘密資料或是自主知識產(chǎn)權(quán)被競爭對手抄襲，引起經(jīng)濟(jì)損失。異常網(wǎng)絡(luò)事件的審計和追查當(dāng)異常網(wǎng)絡(luò)事件發(fā)生后，若何盡快的追根溯源，找出幕后“黑手〞，防止事件的再次發(fā)生，成了網(wǎng)絡(luò)維護(hù)人員不得不面對的棘手問題。帶寬的限定和業(yè)務(wù)優(yōu)先級的設(shè)定系統(tǒng)能對每個客戶上下行的帶寬上限加以限定，防止個別客戶占用過多網(wǎng)絡(luò)資源。還能對不同的用戶數(shù)據(jù)設(shè)定業(yè)務(wù)優(yōu)先級以保證重要數(shù)據(jù)能得到更好的服務(wù)?？旖輰崿F(xiàn)全網(wǎng)管理全網(wǎng)拓?fù)浒l(fā)現(xiàn)功能可以對全網(wǎng)設(shè)備、網(wǎng)絡(luò)節(jié)點以及事件、性能、日志進(jìn)展實時監(jiān)控，統(tǒng)一管理。強(qiáng)大的事件追查功能系統(tǒng)中豐富的日志信息和便捷的追查工具能使網(wǎng)絡(luò)管理員在面對異常事件時，能及時作出反響，迅速找出幕后“黑手〞。2.6.3完善的安全機(jī)制該企業(yè)各樓宇交換機(jī)通過內(nèi)在的多種安全機(jī)制可有效防止和控制病毒傳播和網(wǎng)絡(luò)流量攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口安全、端口隔離、專家級ACL、時間ACL、端口ARP報文合法性檢查、基于數(shù)據(jù)流的帶寬限速等等，滿足企業(yè)網(wǎng)加強(qiáng)對訪問者進(jìn)展控制、限制非授權(quán)用戶通信的需求；在會聚、核心交換設(shè)備設(shè)置由硬件實現(xiàn)ACL，對病毒進(jìn)展過濾。硬件實現(xiàn)端口與MAC地址和用戶IP地址的綁定，嚴(yán)格限定端口上用戶接入；通過將端口設(shè)為保護(hù)端口即可簡單方便地隔離用戶之間信息互通，不必占用VLAN資源；通過PrivateVLAN可以在交換機(jī)的同一VLAN中提供端口之間的通訊或安全隔離，確保數(shù)據(jù)流進(jìn)入有效端口，而不會被發(fā)送到其它端口，即解決了因傳統(tǒng)802.1QVLAN造成全網(wǎng)VID資源不夠的問題，同時又無需利用安全規(guī)則資源即能到達(dá)隔離不同用戶以及不同組用戶之間通訊的功能，充分保護(hù)用戶隱私；提供極為有效的PortBlocking功能，防止端口受到其它端口發(fā)送的播送包、多播包等報文的干擾，有效減輕端口負(fù)載負(fù)擔(dān)，提高端口帶寬，保護(hù)用戶PC更高效安全地運(yùn)行；基于源IP地址控制的Telnet和Web設(shè)備訪問控制，增強(qiáng)了設(shè)備網(wǎng)管的安全性，防止黑客惡意攻擊和控制設(shè)備；提供加密傳輸?shù)腟ecureShell〔SSH〕，保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備；病毒、蠕蟲等多元化開展控制網(wǎng)絡(luò)病毒。統(tǒng)一對接入層交換機(jī)做動態(tài)下發(fā)安全策略，輕松有效的控制網(wǎng)絡(luò)病毒，使網(wǎng)絡(luò)保持暢通。2.6.4易維護(hù)華為網(wǎng)絡(luò)交換機(jī)都經(jīng)過獨(dú)特設(shè)計具備防塵、防潮、防靜電等多種適于在樓道安裝和使用的特點。而且具有強(qiáng)大的運(yùn)行維護(hù)能力，能有效降低運(yùn)營商的運(yùn)維成本。支持RS-232本地管理口及Telnet、WEB、SNMP代理，遠(yuǎn)程監(jiān)控〔RMON1~3，9組〕可根據(jù)運(yùn)營商的不同要求，使用不同的管理方案，支持SNMP協(xié)議的全網(wǎng)集中網(wǎng)管。提供了故障告警和日志功能，可通過機(jī)箱面板上指示燈直觀地了解設(shè)備的運(yùn)行狀態(tài)。2.6.5高可靠性華為網(wǎng)絡(luò)產(chǎn)品均使用國際上主流的先進(jìn)ASIC芯片進(jìn)展設(shè)計，并率先采用ISO9002生產(chǎn)標(biāo)準(zhǔn)進(jìn)展生產(chǎn)，確保了設(shè)備的穩(wěn)定性。2.6.6低成本、可擴(kuò)展性強(qiáng)以太網(wǎng)交換技術(shù)歷經(jīng)長期開展，得到眾多廠商的支持，以技術(shù)實現(xiàn)簡單而獲得極大的性能價格比。華為網(wǎng)絡(luò)公司的以太網(wǎng)交換機(jī)全部基于標(biāo)準(zhǔn)的以太網(wǎng)交換技術(shù)，使用專用芯片技術(shù)，具有極高的性價比，保證了整個網(wǎng)絡(luò)核心局部的穩(wěn)定、可靠和高性能。華為中心交換機(jī)采用模塊式設(shè)計，用戶只需簡單地添加端口模塊即可實現(xiàn)網(wǎng)絡(luò)的擴(kuò)容，完整保護(hù)用戶投資。華為交換機(jī)支持彈性堆疊功能，可根據(jù)需要擴(kuò)展堆疊從機(jī)；這樣，當(dāng)網(wǎng)絡(luò)需擴(kuò)容時，只需簡單添加堆疊從機(jī)，不必再添加設(shè)備管理IP；同時，網(wǎng)絡(luò)速度不會受到影響。3企業(yè)網(wǎng)絡(luò)的整體方案部署以下是該企業(yè)應(yīng)用以上方案設(shè)計之后，方案中所有的網(wǎng)絡(luò)、服務(wù)器等設(shè)備的具體參數(shù)配置。3.1交換模塊設(shè)計為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴(kuò)展，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)展的。園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次：接入層、分布層、核心層。在本設(shè)計方案中，需要進(jìn)展三層配置。以下所有配置均屬于真實在運(yùn)營參數(shù)，并且使用SecureCRT6.1作為終端進(jìn)展網(wǎng)絡(luò)設(shè)備的配置驗證。3.1.1接入層交換機(jī)服務(wù)的實現(xiàn)—配置接入層交換機(jī)接入層為所有的終端用戶提供一個接入點。這里的接入層交換機(jī)采用的是S2700-52P-EI交換機(jī)。交換機(jī)擁有48個10/100Mbps自適應(yīng)快速以太網(wǎng)端口。我們以方案拓樸圖示中的接入層交換機(jī)LSW5為例進(jìn)展介紹。如以以下列圖3-1接入層所示：圖3-1接入層3.1.1.1配置接入層交換機(jī)LSW5的基本參數(shù)設(shè)置交換機(jī)名稱設(shè)置交換機(jī)名稱，也就是出現(xiàn)在交換機(jī)CLI提示符中的名字。一般我們會以地理位置或行政劃分來為交換機(jī)命名。當(dāng)我們需要Telnet登錄到假設(shè)干臺交換機(jī)以維護(hù)一個大型網(wǎng)絡(luò)時，通過交換機(jī)名稱提示自己當(dāng)前配置交換機(jī)的位置是很有必要的。使用SecureCRT登錄LSW5進(jìn)入界面后，輸入以下命令為接入層交換機(jī)命名<Huawei>system-view//進(jìn)入用戶模式[Huawei]sysnameLSW5S//修改交換機(jī)名稱[LSW5]//修改成功后的顯示效果設(shè)置登錄虛擬終端線時的口令對于一個已經(jīng)運(yùn)行著的交換網(wǎng)絡(luò)來說，交換機(jī)的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理人員提供了很多的方便，但是，處于安全考慮，在能夠遠(yuǎn)程管理交換機(jī)之前網(wǎng)絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機(jī)的口令。[LSW5]user-interfacevty04//進(jìn)入虛擬終端線路[LSW5-ui-vty0-4]setauthenticationpasswordciphermzxy//設(shè)置登錄密碼為mzxy[LSW5-ui-vty0-4]authentication-modepassword//設(shè)置認(rèn)證模式為密碼認(rèn)證設(shè)置終端線超時時間為了安全考慮，可以設(shè)置終端線超時時間。在設(shè)置障礙的時間內(nèi)，如果沒有檢測到鍵盤輸入，交換機(jī)將斷開用戶和交換機(jī)之間的連接。[LSW5-ui-vty0-4]idle-timeout5//設(shè)置登陸交換機(jī)的控制終端線路的超時時間為5分0秒鐘。3.1.1.2配置接入層交換機(jī)LSW5的管理IP、默認(rèn)網(wǎng)關(guān)接入層交換機(jī)是OSI參考模型的第二層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備，因此，給接入層交換機(jī)的每個端口設(shè)置IP地址是沒有意義的，但是，為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到接入層交換機(jī)上進(jìn)展管理，必要給接入層交換機(jī)設(shè)置一個管理用的IP地址，這種情況下，實際上是將交換機(jī)看成和PC機(jī)一樣的主機(jī)，給交換機(jī)設(shè)置管理用的IP地址只能在VLAN1，即本征VLAN中進(jìn)展。按照表2，管理VLAN所在的子網(wǎng)是：192.168.0.0/24，這里將接入層交換機(jī)LSW5的管理IP地址設(shè)為：192.168.0.10/24，如下：[LSW5]interfacevlan1[LSW5-Vlanif1]ipadd192.168.0.1024//設(shè)置管理IP為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī)，還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān)地址192.168.0.254。[LSW5]iproute-static0.0.0.00.0.0.0192.168.0.2543.1.1.3配置接入層交換機(jī)LSW5的VLAN[LSW5]vlanbatch1020//在交換機(jī)上創(chuàng)立VLAN10、VLAN20配置接入層交換機(jī)LSW5的訪問端口接入層交換機(jī)LSW5為終端用戶提供接入服務(wù)，根據(jù)各部門的不同分布，接入層交換機(jī)LSW5為VLAN10及VLAN20提供接入服務(wù)。設(shè)置接入層交換機(jī)SWITCH1的端口1~20為VLAN10，端口21~46為VLAN20，如下：[LSW5]vlan10[LSW5-vlan10]portEthernet0/0/1to0/0/20//設(shè)置端口1~20為VLAN10的成員[LSW5]vlan20[LSW5-vlan20]portEthernet0/0/21to0/0/46//設(shè)置端口21~46為VLAN20的成員3.1.1.4配置其他接入層交換機(jī)對接其他入層交換機(jī)的配置步驟、命令和對接入層交換機(jī)LSW5的配置類似按照LSW5的配置，在其他接入層交換機(jī)做相類似的配置，并將各自的端口劃入相應(yīng)的VLAN即可。3.1.2核心層交換機(jī)服務(wù)的實現(xiàn)—配置核心層交換機(jī)在本設(shè)計方案中，核心層各設(shè)備主要是做數(shù)據(jù)的高速轉(zhuǎn)發(fā)工作，但同時也可以兼顧一些分布層的工作，以方便配置的實施。下面討論核心層交換機(jī)的配置，如以以下列圖3-2核心層所示：圖3-2核心層3.1.2.1對核心層交換機(jī)LSW1的基本參數(shù)的配置配置步驟與接入層交換機(jī)LSW5的基本參數(shù)的配置類似，其配置如下：<Huawei>system-view[Huawei]sysnameLSW1[LSW1]user-interfacevty04[LSW1-ui-vty0-4]authentication-modepassword[LSW1-ui-vty0-4]setauthenticationpasswordciphermzxy[LSW1-ui-vty0-4]idle-timeout53.1.2.2配置核心層交換機(jī)LSW1的管理IP、默認(rèn)網(wǎng)關(guān)下面的命令為核心層交換機(jī)CoreSwitch1設(shè)置管理IP并激活管理VLAN，還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址，配置如下：[LSW1]interfacevlan1[LSW1-Vlanif1]ipadd192.168.0.10024[LSW1]iproute-static0.0.0.00.0.0.0192.168.0.2543.1.2.3在核心層交換機(jī)LSW1上定義VLAN在本設(shè)計方案中，除了默認(rèn)的管理VLAN外，又定義了6個VLAN：[LSW1]vlan10[LSW1-vlan10]descriptionCWB[LSW1]vlan20[LSW1-vlan20]descriptionSCB[LSW1]vlan30[LSW1-vlan30]descriptionCHB[LSW1]vlan40[LSW1-vlan40]descriptionKFZX[LSW1]vlan50[LSW1-vlan50]descriptionCGB[LSW1]vlan60[LSW1-vlan60]descriptionSERVER[LSW1]vlan100[LSW1-vlan100]descriptionTo-LSW23.1.2.4配置核心層交換機(jī)LSW1的端口基本參數(shù)如樸拓樸圖所示，核心層交換機(jī)LSW1的端口G0/0/4為服務(wù)器群提供接入服務(wù)，而端口G0/0/1分別上連到路由器，其他接口則分配給接入層交換機(jī)使用。此外，為了實現(xiàn)冗余設(shè)計以及提供主干道的吞吐量，核心層交換機(jī)LSW1將千兆端口G0/0/2、G0/0/3捆綁在一起實現(xiàn)2000Mbps的千兆以太網(wǎng)信道，然后再連接到另一臺核心層交換機(jī)LSW2，下面是調(diào)協(xié)核心層交換機(jī)LSW2的千兆以太網(wǎng)信道的步驟：[LSW1]interfaceEth-Trunk1//創(chuàng)立組[LSW1-Eth-Trunk1]portlink-typeaccess//設(shè)置模式為TRUNK[LSW1-Eth-Trunk1]trunkportGigabitEthernet0/0/2to0/0/3//參加組13.1.2.5配置核心層交換機(jī)LSW1的三層交換功能核心層交換機(jī)CoreSwitch需要為網(wǎng)絡(luò)中的各個VLAN提供路由功能，需要為每個VLAN定義自已的默認(rèn)網(wǎng)關(guān)地址：[LSW1]interfaceVlanif10[LSW1-Vlanif10]ipadd192.168.1.1255.255.255.0[LSW1]interfaceVlanif20[LSW1-Vlanif20]ipadd192.168.2.1255.255.255.0[LSW1]interfaceVlanif30[LSW1-Vlanif30]ipadd192.168.3.1255.255.255.0[LSW1]interfaceVlanif40[LSW1-Vlanif40]ipadd192.168.4.1255.255.255.0[LSW1]interfaceVlanif50[LSW1-Vlanif50]ipadd192.168.5.1255.255.255.0[LSW1]interfaceVlanif100[LSW1-Vlanif100]ipadd192.168.100.1255.255.255.252此外，還需要定義通往Internet的路由，這里使用了一條缺省路由命令，使用的下一跳地址是Internet接入路由器與核心交換機(jī)相連接的快速以太網(wǎng)接口G0/0/1的IP地址。[LSW1]vlan200[LSW1-vlan200]descriptionTo-AR1[LSW1-vlan200]portGigabitEthernet0/0/1[LSW1]intvlan200[LSW1-Vlanif200]ipadd192.168.200.124CoreSwitch1(config-if)#ipaddress192.168.200.1255.255.255.0//在交換機(jī)LSW1啟用OSPF路由功能[LSW1]ospf1[LSW1-ospf-1]area0[LSW1-ospf-1-area-0.0.0.0]network192.168.0.00.0.0.255[LSW1-ospf-1-area-0.0.0.0]network192.168.1.00.0.0.255[LSW1-ospf-1-area-0.0.0.0]network192.168.2.00.0.0.255[LSW1-ospf-1-area-0.0.0.0]network192.168.3.00.0.0.255[LSW1-ospf-1-area-0.0.0.0]network192.168.4.00.0.0.255[LSW1-ospf-1-area-0.0.0.0]network192.168.5.00.0.0.255[LSW1-ospf-1-area-0.0.0.0]network192.168.100.00.0.0.255[LSW1-ospf-1-area-0.0.0.0]network192.168.200.00.0.0.255[LSW1-ospf-1-area-0.0.0.0]network192.168.300.00.0.0.2553.1.2.6配置核心層交換機(jī)LSW2對核心層交換機(jī)LSW2的配置步驟、命令和對核心層交換機(jī)LSW1的配置類似。3.2廣域網(wǎng)接入模塊設(shè)計在本設(shè)計方案中，廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器AR1來完成的，采用的是華為的3260路由器，它通過自己的串行接口Serial4/0/0接入Internet，它的作用主要是在Internet和企業(yè)網(wǎng)間路由數(shù)據(jù)包，除了完成主要的路由任務(wù)外，利用訪問控制列表〔AccessControlList，ACL〕，廣域網(wǎng)接入路由器AR1還可以用來完成以自身為中心的流量控制和過濾功能并實現(xiàn)一定的安全功能,所以以下列圖3-3廣域網(wǎng)接入所示。圖3-3廣域網(wǎng)接入3.2.1配置路由器AR1的基本參數(shù)路由器的基本參數(shù)配置和前面交換機(jī)的配置類似，配置如下：<Huawei>system-view[Huawei]sysnameAR1[AR1]user-interfacevty04[AR1-ui-vty0-4]setauthenticationpasswordciphermzxy[AR1-ui-vty0-4]authentication-modepassword[AR1-ui-vty0-4]idle-timeout53.2.2配置路由器AR1的各接口參數(shù)對于路由器IRouter的各接口參數(shù)的配置主要是對接口G0/0/0、G0/0/1以及接口S4/0/0的IP地址、子網(wǎng)掩碼的配置，如下：[AR1]interfaceg0/0/0[AR1-GigabitEthernet0/0/0]ipadd192.168.200.1255.255.255.0[AR1]interfaceg0/0/1[AR1-GigabitEthernet0/0/1]ipadd192.168.300.1255.255.255.0[AR1]interfaceSerial4/0/0[AR1-Serial4/0/0]ipadd196.2.125.1255.255.255.252//配置路由器IRouter的各接口的IP地址、子網(wǎng)掩碼3.2.3配置路由器AR1的路由功能在接入路由器AR1上需要定義兩個方向上的路由：到企業(yè)網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由，到Internet上的路由需要定義一條缺省路由，下一跳指定從本路由器的接口S4/0/0送出，如下：[AR1]iproute-static0.0.0.00.0.0.0Serial4/0/0//定義到Internet的缺省路由由于企業(yè)內(nèi)部配置了負(fù)載均衡，所以到企業(yè)網(wǎng)內(nèi)部的路由有兩條路徑，一條經(jīng)由LSW1進(jìn)入企業(yè)網(wǎng)內(nèi)部，另一條是經(jīng)由LSW2進(jìn)入企業(yè)網(wǎng)內(nèi)部，第一條路徑的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。如下：[AR1]ospf1[AR1-ospf-1]area0[AR1-ospf-1-area-0.0.0.0]network192.168.200.00.0.0.255[AR1-ospf-1-area-0.0.0.0]network192.168.300.00.0.0.255//定義經(jīng)過LSW1及LSW2到企業(yè)網(wǎng)內(nèi)部及外部的路由3.2.4配置接入路由器AR1上的NAT由于目前IP地址資源非常稀缺，不可能給企業(yè)網(wǎng)內(nèi)部的所有工作站都分配一個公有IP〔Internet可路由的〕地址，為了解決所有工作站訪問Internet的需要，必須使用NAT〔網(wǎng)絡(luò)地址轉(zhuǎn)換〕技術(shù)。根據(jù)前文對企業(yè)網(wǎng)的需求分析，企業(yè)當(dāng)?shù)豂SP申請了9個IP地址，其中一個IP地址：196.2.125.1被分配給了Internet接入路由器串行接口，另外8個IP地址：202.126.222.2/29~202.126.222.7/29用作NAT。這里使用的是接口NAT地址轉(zhuǎn)換，下面配置NAT地址轉(zhuǎn)換：[AR1]acl2000//配置基本ACL，匹配NAT流量[AR1-acl-basic-2000]rule10permitsource192.168.0.00.0.0.255[AR1]nataddress-group1202.126.222.2202.126.222.7//創(chuàng)立地址池1[AR1]intSerial4/0/0//在接口下啟用NAT[AR1-Serial4/0/0]natoutbound2000address-group13.2.5配置接入路由器AR1上的ACL雖然此方案設(shè)計中，防火墻是網(wǎng)絡(luò)安全保障的第一道關(guān)卡，是