畢業(yè)設計(論文)-園區(qū)網絡設計與實現(xiàn)模板

摘要隨著計算機網絡的迅猛發(fā)展，曾經在園區(qū)網中被廣泛使用的10M/100M以太網技術、ATM等技術已經漸漸不能適應業(yè)務需求?，F(xiàn)在，千兆以至10G級別以太網技術正逐漸成為園區(qū)網主干的主流技術。因此，許多大型園區(qū)網絡面臨著技術改造或者重新設計。本文針對當前園區(qū)網絡中存在的設計混亂、層次復雜、穩(wěn)定性低，安全性不足等一系列問題，采用工程化設計方法，依照行業(yè)規(guī)范，設計并模擬實現(xiàn)一個園區(qū)網絡，該網絡依照行業(yè)規(guī)范設計，采用新近成熟的產品與技術，滿足用戶安全性、通用性、可操作性和拓展性的要求，由于網絡設計過程中嚴格依照行業(yè)規(guī)范，采用模塊化設計思想，因此網絡系統(tǒng)各層可移植性強，極大的方便了以后的網絡設計工作。關鍵詞：交換機；路由器；設計；實施

AbstractWiththerapiddevelopmentofcomputernetwork,thekindsofbusinessinenterpriseororganizationhaveincreased,andthedataflowofbusinesshasrisenalot,thetendenceofwhichisveryevident.Theoncewidelyusesdtechnologies10/100MEthernet,ATMetc.graduallyfailtomeetthedemandsofbusiness;atthemoment,theEthernetof1000Moreven10Gisbecomingthemaintechnologyinthemajorcampusnetwork.Inconsequence,manylargecampusnetworkarefacingtheproblemsoftechnologychangingornewdesigning.Aimingattheproblemsincampusnetandenterprisenetsuchasdisorderlydesign,complicatedlevels,lowstability,lackofsecurityandsoon,thisthesiswilladopttheengineeringdesignmethod,Accordingtotheprofessionalstandards,theauthorofthisthesisintendstodesignandimitatealargescaleofcampusnet.Byfollowingtheprofessionalstandardsandadoptingtheupdatedproductsaswellastechnology,thisnetcansatisfytheusersforitssecurity,versatility,manipulationandextension.Becauseofthestrictconformitytoprofessionalstandardsinthedesigningofthenetandtheemploymentofmoduledesigntechnology,everylevelinthisnetsystemcanbeimplanted,whichwillgreatlybenefitthenetdesigningworkinthefuture.keywords:switch;router;design;implement

目錄摘要 I英文摘要 II第一章緒論 11.1選題來源 11.2主要內容 11.3論文結構 1第二章園區(qū)網概述 32.1園區(qū)網含義 32.2園區(qū)網特點 32.3園區(qū)網發(fā)展趨勢 3第三章園區(qū)網設計 43.1需求分析 43.2網絡設計原則 43.3網絡模型設計 53.3.1核心層（CoreLayer） 63.3.2匯聚層（DistributionLayer） 63.3.3接入層（AccessLayer） 63.4網絡模型選擇 63.5園區(qū)網絡拓撲圖 73.6IP地址規(guī)劃 73.7VLAN規(guī)劃 83.8路由協(xié)議選擇 83.9網絡設備選擇 103.10配置規(guī)范 10第四章網絡安全設計 124.1VLAN技術 124.2AAA技術 134.3VPN技術 134.4防火墻技術 134.5安裝殺毒軟件 144.6其它安全措施 14第五章網絡模擬實現(xiàn) 155.1模擬器介紹 155.2模擬環(huán)境拓撲圖 165.3需求實現(xiàn) 175.4配置方法 18第六章網絡測試 226.1單體測試 226.2網絡連通性測試 256.3網絡冗余性測試 26第七章總結 29謝辭 30參考文獻 31第一章緒論1.1選題來源隨著計算機網絡的迅速發(fā)展，曾經在園區(qū)網中被大量使用的10M/100M以太網技術、ATM技術已經漸漸不能適應現(xiàn)在的業(yè)務需求，作為園區(qū)主干網，10M/100M以太網作為主干網絡核心技術帶寬不足的弊病漸漸凸顯，已經嚴重影響著園區(qū)網絡的運行效率，目前仍有許多大型園區(qū)網絡在使用ATM技術，這樣的網絡面臨兩個問題：VLAN間路由的性能不能滿足網絡需求，并且ATM技術正在逐步被淘汰?，F(xiàn)在，千兆以至10G級別以太網技術正逐漸成為園區(qū)網絡主干的主流技術。因此，許多大型園區(qū)網絡面臨技術改造或者重新設計。針對當今的企業(yè)園區(qū)網絡中存在的設計混亂、層次復雜、穩(wěn)定性低，安全性不足等一系列問題，本文采用工程化設計方法，依照行業(yè)規(guī)范，設計并使用路由交換模擬軟件模擬實現(xiàn)一個園區(qū)網絡，通過對本項目的實際操作，增加對網絡整體構架的認識，提高自己的網絡設計能力，全方位提升自身素質，使大學生擺脫網絡學習理論與實踐的脫節(jié)現(xiàn)象。1.2主要內容本文主要做了以下兩個方面的工作：第一，介紹了園區(qū)網絡的含義、特點以及未來發(fā)展趨勢，并且針對現(xiàn)實中存在的實際情況，按照規(guī)范化的系統(tǒng)方法規(guī)劃設計一個完整的園區(qū)網絡，并針對各種路由協(xié)議、設計模型進行了綜合對比分析，以選取最符合實際的方案。第二，使用DynamipsGUI軟件配合SecureCRT對部分網絡進行了模擬，以實現(xiàn)網絡的互通互聯(lián)，對各層設備進行了配置，并以配置文檔的形式給出。1.3論文結構本文共分為八章，第1章是緒論部分，第2章至第6章為論文的主體部分，第7章為總結。第1章：緒論。講述本論文的選題來源以及選題意義等，并對論文主要研究內容作概述。第2章：園區(qū)網概述。主要是對園區(qū)網做概括性闡述，包括其含義、特點、發(fā)展趨勢，以及園區(qū)網建設的必要性。第3章：園區(qū)網設計。詳細闡述園區(qū)網設計方法，包括需求分析、設計原則、網絡模型選擇、VLAN及IP地址規(guī)劃、路由協(xié)議選擇和網絡設備選擇等。第4章：網絡安全設計。概括闡述當今流行的VLAN技術、AAA技術、VPN技術和防火墻技術等。第5章：網絡模擬實現(xiàn)。介紹DynamipsGUI和SecureCRT使用方法，給出實驗拓撲，并針對實驗拓撲給出詳細配置方法。第6章：網絡測試。詳細介紹網絡測試方法以及測試過程中現(xiàn)象以及需要注意的問題。第7章：總結。介紹自己畢業(yè)設計過程總遇到的問題，對畢業(yè)設計的過程進行總結。第二章園區(qū)網概述2.1園區(qū)網含義園區(qū)網是指為企事業(yè)單位組建的辦公局域網。典型的園區(qū)網包括校園網、社區(qū)網、住宅小區(qū)網、企事業(yè)單位網等。2.2園區(qū)網特點①園區(qū)網是網絡的基本單元。②園區(qū)網較適合于采用三層結構設計。③園區(qū)網對線路成本考慮的較少，對設備性能考慮的較多，追求較高的帶寬和良好的擴展性。④園區(qū)網的結構比較規(guī)整。2.3園區(qū)網發(fā)展趨勢從計算機網絡應用角度來看，網絡應用系統(tǒng)將向更深和更寬的方向發(fā)展，這也相應的影響著未來園區(qū)網的發(fā)展方向。首先，Internet信息服務將會得到更大發(fā)展。網上信息瀏覽、信息交換、資源共享等技術將進一步提高速度、容量及信息的安全性。其次，遠程會議、遠程教學、遠程醫(yī)療、遠程購物等應用將逐步從實驗室走出，不再只是幻想。網絡多媒體技術的應用也將成為網絡發(fā)展的熱點話題。第三章園區(qū)網設計3.1需求分析某企業(yè)園區(qū)剛剛建成，是一大型企業(yè)的分支機構，為了實現(xiàn)企業(yè)的辦公信息自動化，擴大企業(yè)的影響，方便和總部的信息交流，需要建立自己企業(yè)的Intranet。企業(yè)現(xiàn)在有2幢9層的辦公大樓，分別是生產部和銷售部，另外還有一個家屬區(qū)，家屬區(qū)有3幢6層的大樓，兩個相距300米。企業(yè)局域網需要考慮覆蓋辦公區(qū)和家屬區(qū)。局域網需要實現(xiàn)的目標如下：①實現(xiàn)有效的信息交換和共享。企業(yè)通過兩條專線接入電信和網通。②企業(yè)需要實現(xiàn)辦公自動化。局域網提供企業(yè)內部電子郵件收發(fā)、信息瀏覽、文件管理、會議管理、電子公告等多方面應用。③為了擴大企業(yè)的影響，企業(yè)對外提供自己的宣傳網站，并且能夠保證網站安全，不受外部或者內部攻擊。④充分考慮今后各部門的接入擴展性。⑤充分考慮企業(yè)內部網絡的安全性。3.2網絡設計原則我們遵循以下的原則進行網絡設計：實用性實用性是網絡系統(tǒng)建設的首要原則，該網絡必須最大限度的滿足需求，保證網絡服務的質量，否則就會影響日常工作效率。標準化整個網絡從設計、技術和設備的選擇，要確保將來可能的不同廠家設備、不同應用、不同協(xié)議連接的需求，必須支持國際標準的網絡接口和協(xié)議，以提供高度的開放性。先進性先進性主要是針對網絡系統(tǒng)的設計思想、網絡結構、軟硬件設施以及所選用技術等方面。只有先進的技術才可能為網絡帶來更高的性能，并且能保證在技術上不容易被淘汰?？蓴U展性可擴展性是指該網絡系統(tǒng)能夠適應需求的變化。隨著技術發(fā)展，信息量增多和業(yè)務的擴大，網絡將在規(guī)模和性能兩方面進行一定程度的擴展?？煽啃跃W絡要求具有高可靠性，高穩(wěn)定性和足夠的冗余，提供拓撲結構及設備的冗余和備份，為了防止局部故障引起整個網絡系統(tǒng)的癱瘓，要避免網絡出現(xiàn)單點失效，核心設備需要支持冗余備份。安全性網絡安全性在整個網絡中是個很重要的問題，網絡系統(tǒng)建設應采取一定手段控制網絡的安全性，以保證網絡正常運行。管理性隨著網絡規(guī)模和復雜程度的增加，管理和故障排除就會越來越困難。為保障網絡中心的正常運行，網絡必須易于管理，支持網絡網段與端口的監(jiān)控、網絡流量與出錯的統(tǒng)計、網絡故障的定位、診斷、修復。3.3網絡模型設計圖3.1典型的三層網絡模型三層網絡架構采用層次化模型設計，即將復雜的網絡設計分成三個層次，每個層次著重于某些特定的功能，這樣就能夠使一個復雜的大問題變成許多簡單的小問題。三層網絡架構設計的網絡有以下三個層次：3.3.1核心層（CoreLayer）核心層是網絡的高速交換主干,對整個網絡的連通起到至關重要的作用。核心層應該具有如下幾個特性:可靠性、高效性、冗余性、容錯性、可管理性、適應性、低延時性等。該層必須是基于千兆高速交換和路由的設計，設備的性能容量也是最高的（高達百Gbps容量和每秒千萬級數(shù)據(jù)包轉發(fā)能力）。主要是由全模塊化的高性能多層路由交換機和高性能服務器組成，系統(tǒng)帶寬必須是千兆甚至10Gbps。3.3.2匯聚層（DistributionLayer）匯聚層是網絡接入層和核心層的“中介”，就是在工作站接入核心層前先做匯聚，以減輕核心層設備的負荷。匯聚層具有實施路由策略、安全、工作組接入、虛擬局域網(VLAN)之間的路由、源地址或目的地址過濾等多種功能。該層一般采用100M或1000M的快速交換路由設計，設備的性能容量性也很高，主要由固定配置+可選模塊的三層路由交換設備組成。3.3.3接入層（AccessLayer）接入層向本地網段提供工作站接入。在接入層中，減少同一網段的工作站數(shù)量,能夠向工作組提供高速帶寬。訪問層是由100M快速以太網交換機和客戶機組成，該層次一般采用100M快速以太網，采用可管理的固定配置的工作組級別的交換機，能提供多層堆疊功能實現(xiàn)大量用戶的接入。三層網絡架構的特點是網絡性能高，層次清晰，網絡管理直觀、方便，并合理地分散了網絡設備帶來的安全風險，網絡結構安全可靠。3.4網絡模型選擇單核心網絡模型適用于規(guī)模小，信息節(jié)點少，對網絡冗余性要求不高的網絡，一般中小學網絡最為常見，而雙核心網絡模型適用于規(guī)模大，信息節(jié)點多，網絡冗余性要求高的網絡，一般的園區(qū)網都使用雙核心網絡。3.5園區(qū)網絡拓撲圖圖3.2三層網絡架構的園區(qū)網拓撲圖3.6IP地址規(guī)劃在構建基于TCP/IP的企業(yè)網絡時，IP地址的選擇是根據(jù)企業(yè)網絡規(guī)模大小從以下三類國際Internet組織公布的私有網段中產生，這些范圍內的IP地址不在Internet上傳輸，是專門提供給企業(yè)用來建設內部網絡(Intranet)：A類私有IP:——55。B類私有IP:——55。C類私有IP:——55。對于小型園區(qū)網絡，由于上網用戶少、設備數(shù)量少，建議使用地址空間小的/16的網絡。而對于中大型園區(qū)網絡，如三層結構的校園網，由于上網人數(shù)多，設備數(shù)量多，建議采用地址空間大的/8的網絡。3.7VLAN規(guī)劃虛擬局域網(VLAN)是將局域網內廣播域邏輯地劃分為若干子網。在一個交換局域網中，所有局域網段通過交換機連接到一起，路由器連在交換機上(如果是三層交換機，則不需路由器)，可以按網段和站點的邏輯分組形成廣播域，通過在局域網交換機內過濾廣播包，使得源于特定虛擬局域網的信息包僅傳送到那些也屬于這個虛擬局域網的網段上。虛擬局域網之間的尋徑由路由器完成。虛擬局域網建立以后，能有效地控制網絡的廣播風暴，減少不必要的資源帶寬浪費，并能隨著企業(yè)規(guī)模的發(fā)展和調整改變通信流的模式。VLAN規(guī)劃需要考慮如下因素：①用戶VLAN與設備管理VLAN分開(IP地址)。②為網絡擴容進行可匯總的預留設計。③IP地址與VLAN編號(其它相關因素)有一定的對照性。如圖3.3所示：圖3.3IP和VLAN對應規(guī)則根據(jù)具體需求與安全性要求等情況綜合分析，園區(qū)網IP地址詳細規(guī)劃如表3.4所示：表3.4IP地址規(guī)劃表物理位置VLAN范圍IP網段默認網關獲取方式住宿區(qū)VLAN10——VLAN30——/24172.16.x.254/24DHCP辦公區(qū)VLAN40——VLAN50——/24172.16.x.254/24DHCP服務器組VLAN100--5354靜態(tài)指定3.8路由協(xié)議選擇路由協(xié)議可分為距離矢量、鏈路狀態(tài)和混合型路由協(xié)議。使用距離矢量路由協(xié)議時，所有路由器只能向它的鄰居路由器發(fā)送自己的整張路由表。然后路由器使用接收到的路由條目確定是否需要更新自己的路由表。這個過程會周期性的重復進行。與此相反，當網絡使用鏈路狀態(tài)路由協(xié)議時，每個路由器可以向其它所有的路由器發(fā)送自己的接口（鏈路）狀態(tài)信息，但是這僅僅發(fā)生在網絡拓撲發(fā)生變化的時候，每個路由器使用收到的鏈路狀態(tài)信息重新計算自己到每個目標網絡的最佳途徑，然后把這些路由信息保存到自己的路由表中?；旌闲吐酚蓞f(xié)議，顧名思義，該協(xié)議借用了距離矢量和鏈路狀態(tài)協(xié)議的思想?；旌闲蛥f(xié)議能向鄰居路由器（類似距離矢量）發(fā)送變動的信息（類似鏈路狀態(tài)）。路由協(xié)議的比較①路由信息協(xié)議（RoutingInformationProtocol,RIP）RIP是一種簡單的動態(tài)路由協(xié)議，RIP至今有兩個版本，RIPv1和RIPv2，后者是前者的改進版本，RIP是一種有類的距離矢量路由協(xié)議，它最顯著的特點是在路由更新報文中不攜帶子網信息，RIP默認的管理距離是120，它使用跳數(shù)做為度量值，最大跳數(shù)是15，如果超過15就認為目標網絡不可達，所以RIP只能適用于小型的網絡中。②內部網關路由協(xié)議（InteriorGatewayRoutingProtocol,IGRP）IGRP是Cisco私有的協(xié)議，其目的是為了取代RIP，它也是一種距離矢量路由協(xié)議，IGRP克服了RIP的一些嚴重缺陷，如IGRP在計算路由度量值時沒有使用跳數(shù)，而是采用鏈路特征，因此要優(yōu)于RIP協(xié)議。但由于IGRP是Cisco私有的協(xié)議，非Cisco廠商的設備不能支持IGRP協(xié)議，它的改進版是EIGRP。③增強型內部網關路由協(xié)議（EnhancedInteriorGatewayRoutingProtocol,EIGRP）EIGRP是增強型的IGRP協(xié)議，它是一種典型的平衡混合路由選擇協(xié)議，它融合了距離矢量和鏈路狀態(tài)兩種路由協(xié)議的優(yōu)點，使用一種散射更新算法，實現(xiàn)了很高的路由性能，但由于EIGRP也是Cisco私有協(xié)議，不能在其它非Cisco設備上使用，它的應用也受到了限制。④開放最短路徑優(yōu)先（OpenShortestPathFirst,OSPF）OSPF是一種典型的鏈路狀態(tài)、無類別IP路由協(xié)議，OSPF能夠適應大型IP網絡的擴展，而基于距離矢量的IP路由協(xié)議如RIP和IGRP則不能適應這種網絡。OSPF基于鏈路狀態(tài)，其路由是基于網絡地址及鏈路狀態(tài)度量的。作為一種自適應協(xié)議，OSPF可以根據(jù)網絡狀態(tài)故障情況自動調整，具有收斂時間短的優(yōu)點，有利于路由表的快速穩(wěn)定，這樣使OSPF可以支持大型的網絡。OSPF的設計可以防止通信數(shù)據(jù)形成環(huán)路，這對于網狀網絡或由多個路由器實現(xiàn)的不同局域網互聯(lián)非常重要。OSPF還有其它一些特性：①使用了區(qū)域的概念，有效的減少了路由選擇協(xié)議對路由器的CPU和內存的占用率，劃分區(qū)域還可以降低路由協(xié)議的通信量，從而使構建層次化互聯(lián)網成為可能。②完全無類別地處理地址問題，排除了有類路由協(xié)議存在的問題。③支持使用多條路由路徑的、效率更高的負載均衡。④使用保留的組播地址來減少對不運行OSPF協(xié)議的設備的影響。⑤支持更安全的路由選擇認證。⑥使用可以跟蹤外部路由的路由標記。經過各種路由協(xié)議的對比和選擇，園區(qū)網適合采用OSPF路由協(xié)議。3.9網絡設備選擇通過對目前市場上設備的性能分析，結合企業(yè)實際和對網絡擴展性的考慮，以及基于高性能、全交換，可擴展性強，系統(tǒng)安全，保密性高，管理簡單，保護投資的選擇原則，選擇了以下4款設備：出口設備：RG-WALL16001臺；RSR20-181臺；RG-NPE60E1臺。核心設備：S86102臺，配置千兆光纜接口4塊。匯聚設備：S3560-244臺，每臺配置2塊千兆光纜接口。接入設備：S2126G二層交換機4臺。鏈路設備：萬兆光纖、千兆光纖、雙絞線。3.10配置規(guī)范①主機命名規(guī)范如果客戶有規(guī)范或明確合理要求，則按照客戶的規(guī)范或要求進行配置。如金融行業(yè)規(guī)范。如果客戶沒有規(guī)范或明確合理要求，可參考設備位置、網絡位置、設備型號、設備編號等因素，在項目中制定統(tǒng)一的命名規(guī)范。主機命名規(guī)范如下圖3.5所示：圖3.5主機命名規(guī)范②設備互聯(lián)接口描述項目中所有涉及到可網管設備互聯(lián)的端口必須配置端口描述。如圖3.6所示：圖3.6互聯(lián)接口描述③登陸密碼配置項目中所有可網管設備必須配置特權密碼及遠程登陸密碼。④系統(tǒng)時間配置項目中所有可網管設備必須重新設置正確的系統(tǒng)時間。⑤二層交換機管理IP配置項目中可網管二交換機必須配置管理IP地址，供管理員遠程管理設備所用。第四章網絡安全設計園區(qū)網的安全是一個綜合問題，它包含網絡設備和人為因素兩個方面以及與外網（Internet）接口上的安全問題。網絡的有效性和可靠性即它的可連續(xù)運行的安全性是網絡建設必須考慮的首要原則，從用戶的角度考慮，當網絡所需的服務不可用時，不管是何種原因，網絡就失去了實際價值。從另一角度看，當某種網絡服務的響應時間變得變幻莫測時，網絡系統(tǒng)也不可靠了。為此我們在網絡設計上就考慮了以下的技術來提高安全性。4.1VLAN技術VLAN技術是通過路由和交換設備，在網絡的物理拓撲基礎上建立的一個邏輯的網絡。VLAN可以看作是一個廣播域，它們不受地理位置的限制而像處于同一LAN上那樣相互交換信息。VLAN是在交換網絡中實現(xiàn)的。每個交換設備均可根據(jù)網絡管理人員所定義的VLAN劃分方法對報文進行過濾和轉發(fā)，并能將這種劃分信息傳遞到網絡中其它交換設備和路由器中去?？梢韵拗芕LAN中的用戶數(shù)量，禁止那些沒有得到許可的用戶加入到某個VLAN中。這樣，可以控制用戶對網絡資源的訪問，控制廣播組的大小和組成，并借助網管軟件在發(fā)生非法入侵時通知管理員。交換機上劃分VLAN方法如圖4.1所示：圖4.1交換機劃分VLAN方法4.2AAA技術AAA認證體系結構包括鑒別（Authentication）、授權（Authorization）和記賬（Accounting）。鑒別過程主要完成用戶身份識別，并為該用戶指定特權級別，控制該用戶對網絡資源和服務的訪問和使用，在允許訪問前，用戶必須首先通過鑒別。授權過程決定用戶或用戶組可以訪問的指定服務和網絡資源，該過程也定義在用戶在資源上的可執(zhí)行的操作。記賬的過程主要是收集信息，以確定誰在使用哪些資源。4.3VPN技術虛擬專用網（VirtualPrivateNetwork，VPN）技術的基本思路是充分利用現(xiàn)有的公用網絡來建立一個私有的、安全的連接，即建立一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道，同時避免昂貴的專線租用費用，它使用的是建立在物理連接基礎上的邏輯連接，客戶并不能意識到實際的物理連接，而且在穿越Internet進行路由時，其安全性與在專用網絡中進行安全路由的安全性基本相同。4.4防火墻技術目前，在保護計算機網絡安全的設備中，使用最多的就是防火墻。防火墻是在兩個網絡之間執(zhí)行控制策略的系統(tǒng)，這兩個網絡中，通常一個是要保護的內部網，一個是外部網，防火墻在內部網和外部網之間構成一道屏障，通過檢測、限制或者更改通過它的數(shù)據(jù)流，對外屏蔽內部網的信息、結構和運行狀況，以防止發(fā)生網絡入侵或攻擊，達到對內部網的安全保護。防火墻原理如圖4.2所示：圖4.2防火墻原理圖4.5安裝殺毒軟件網絡的普及帶來了計算機的飛速發(fā)展，計算機進入了尋常百姓家，個人電腦的安全問題顯得尤為重要，尤其是政府重點部門，在防毒殺毒、系統(tǒng)保護方面等方面提出更高的要求，銷售防毒殺毒產品的公司很多，如國外的諾頓、卡巴斯基，國內的360、金山等。4.6其它安全措施服務器本身的安全考慮：不同的功能應盡量分布在不同的主機上，出于節(jié)省投資，有時需要將多種應用系統(tǒng)合并到一臺物理主機上承載，例如，一臺服務器同時提供HTTP服務和數(shù)據(jù)庫服務?？紤]服務器合并時，不僅考慮它的承載能力和處理能力，還要考慮合并的各種服務的安全級別。不要把對外服務的應用與對內管理的應用合并。操作系統(tǒng)：授予不同用戶不同的權限。應用軟件：在應用軟件開發(fā)中，也需要考慮分級權限控制，以防止錯誤操作引起系統(tǒng)數(shù)據(jù)丟失。最后系統(tǒng)管理員要養(yǎng)成良好的安全管理習慣，例如：定期修改管理員口令，避免使用規(guī)律的、易猜測的密碼，定期檢查安全漏洞等。第五章網絡模擬實現(xiàn)5.1模擬器介紹DynamipsGUI是由國人CCIE小凡開發(fā)的一個思科模擬器圖形前端。它不僅整合了思科所有的IOS模擬器，而且還整合了BES以及VPCS。小凡模擬器（DynamipsGUI）是一個學習配置思科設備的很好的工具，它能在PC機的環(huán)境下真實運行思科設備IOS，絕大部分命令都支持，就和在真實思科設備上運行相差無幾。DynamipsGUI主界面如圖5.1所示：圖5.1DynamipsGUI主界面SecureCRT將SSH的安全登錄、數(shù)據(jù)傳送性能和Windows終端仿真提供的可靠性、可用性和可配置性結合在一起。通過它可以登錄到路由器和交換機上對設備進行配置和備份等操作。SecureCRT主界面如圖6.2所示：圖5.2SecureCRT主界面5.2模擬環(huán)境拓撲圖由于園區(qū)網絡規(guī)模過大，本次只能針對對部分重要節(jié)點和典型區(qū)域進行模擬配置工作，在此次實驗中，使用Cisco3640路由交換機模擬整個實驗，IOS使用c3640-jk9o3s-mz.124-16a.bin，模擬器網絡拓撲如圖5.3所示：圖5.3模擬器網絡拓撲5.3需求實現(xiàn)某園區(qū)網拓撲及規(guī)劃上圖所示，其中RSR-1是園區(qū)網出口路由器，RSR-1和ISP之間互聯(lián)接口是S0/0，互聯(lián)地址分別是/24和/24。兩臺S57是園區(qū)網核心設備，和RSR-1互聯(lián)地址段是/24和/24。S26-1和S26-2是兩臺接入設備，下聯(lián)用戶VLAN10和VLAN20，對應用戶子網分別是/24和/24，網關分別是54和54。RSR-1、S57-1和S57-2運行OSPF，都屬于AREA0。實現(xiàn)以下需求：①所有通過S26接入的用戶IP地址必須動態(tài)獲得，不允許私設IP地址，DHCP服務器是兩臺S57交換機。②S26上連接用戶的端口必須能夠快速收斂，防止可能存在的環(huán)路，其它不用的端口必須手動關閉。③S57-1為VLAN10的根網橋，S57-2為VLAN20的根網橋。S57-1和S57-2交換機上的端口f0/14-15加入port-channel1，并把port-channel1設為trunk模式。④兩臺三層交換機上配置HSRP或者VRRP協(xié)議，為了實現(xiàn)冗余備份和負載均衡，在S57-1上，VLAN10為Active，VLAN20為Standby；在S57-2上，VLAN10為Standby，VLAN20為Active。⑤用戶需要訪問ISP的網絡時，其中VLAN10的數(shù)據(jù)路徑是S26-1——S57-1——RSR-1——ISP，VLAN20的數(shù)據(jù)路徑是S26-2——S57-2——RSR-1——ISP，兩條路徑互為主備。⑥在RSR-1上配置動態(tài)NAT，實現(xiàn)內部網絡私有地址到外部網絡公有地址的轉換。5.4配置方法①預配置每臺設備的預配置如下（以S26為例）：Router#configt//進入全局配置模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#noipdolo//關閉設備的域名解析Router(config)#hostS26//給設備命名S26(config)#enablesecretruijie//設置進入特權模式的密碼S26(config)#linecon0S26(config-line)#noexec-t//關閉console口的超時退出S26(config-line)#logginsyn//啟用console口的日志同步功能S26(config-line)#exit②配置VTP為了便于管理VLAN，需要在每臺交換機上配置VTP協(xié)議，匯聚層設備為VTPServer，接入層設備為VTPClient。在配置VTP協(xié)議前，需要將相連的交換機之間直連的端口設置為trunk模式，且VTPdomain必須相同，才可以交換VTP信息。這里以S57-1為例：S57-1#vlandata//進入VLAN數(shù)據(jù)庫模式S57-1(vlan)#vtpserver//設置VTPServerS57-1(vlan)#vtpdomaintest//設置VTP域名S57-1(vlan)#vtppass123//設置VTP密碼S57-1(vlan)#vtppruning//啟用VTP裁剪S57-1(vlan)#exit//保存并退出③配置STP配置STP協(xié)議是為了防止發(fā)生二層網絡的環(huán)路，并且還可以進行二層的冗余備份，這里修改網橋的優(yōu)先級，實現(xiàn)VLAN10的流量走S57-1，VLAN20的流量走S57-2。以S57-1為例：S57-1(config)#spanning-treevlan1priority4096S57-1(config)#spanning-treevlan10priority4096//設置vlan10對應的網橋優(yōu)先級S57-1(config)#spanning-treevlan20priority8192④Port-channel接口配置配置Port-channel既可以增加鏈路帶寬，同時也可以實現(xiàn)鏈路的冗余備份。這里以S57-1為例：S57-1(config)#intrangef0/14-15S57-1(config-if-range)#channel-group1modeonS57-1(config)#interfaceport-channel1S57-1(config-if)#switchporttrunkencapsulationdot1q//封裝dot1qS57-1(config-if)#switchportmodetrunk//配置trunk⑤配置HSRP協(xié)議在S57-1和S57-2上配置HSRP協(xié)議，可以實現(xiàn)網關設備的冗余。在S57-1上，設置VLAN10為Active，VLAN20為Standby，在S57-2上設置VLAN10為Standby，VLAN20為Active。S57-1(config)#intvlan10S57-1(config-if)#standby10ip54//設置虛擬網關的IP地址S57-1(config-if)#standby10priority120//設置HSRP的優(yōu)先級，默認為100S57-1(config-if)#standbypreempt//開啟搶占模式，配置此命令后，當路由器發(fā)現(xiàn)本機優(yōu)先級比現(xiàn)在任何同一Standby組中的Active路由器高時，則本機將成為Active，當前Active路由器則降為Standby。S57-1(config-if)#standby10trackf0/050//開啟接口追蹤，當發(fā)現(xiàn)跟蹤端口Down時，本路由器standbypriority自動降低50S57-1(config-if)#exitS57-1(config)#intvlan20S57-1(config-if)#standby20ip54S57-1(config-if)#standbypreempt//在Standby網段也需要配置搶占模式，目的是為了當Active路由器Down時，本路由能夠迅速有Standby成為Active。⑥配置DHCP由于在大型的園區(qū)網中，為每一個接入設備手工配置IP地址是一件非常耗費時間的事情，所以在一般的園區(qū)網中采用DHCP動態(tài)分配IP地址，這樣可以減少客戶機的配置復雜度，減少手工配置IP地址導致的錯誤。S57-1(config)#servicedhcp//開啟DHCP服務S57-1(config)#ipdhcppoolv10//給地址池命名S57-1(dhcp-config)#network//定義需要分配的網段S57-1(dhcp-config)#default-router54//指定默認網關S57-1(dhcp-config)#dns-server3//指定DNS服務器地址S57-1(dhcp-config)#exitS57-1(config)#ipdhcpexcluded-address52//定義需要排除的地址S57-1(config)#ipdhcpexcluded-address53S57-1(config)#ipdhcpexcluded-address54S57-1(config)#ipdhcppoolv20S57-1(dhcp-config)#networkS57-1(dhcp-config)#default-router54S57-1(dhcp-config)#dns-server3S57-1(dhcp-config)#exitS57-1(config)#ipdhcpexcluded-address52S57-1(config)#ipdhcpexcluded-address53S57-1(config)#ipdhcpexcluded-address54S57-1(config)#exit⑦配置NATNAT用于解決IP地址短缺問題，由于內部網絡的私有IP地址不能在公網上通過路由器轉發(fā)，所以出口路由器需要配置動態(tài)NAT進行地址轉換，這樣不僅可以解決不能訪問外網的問題，還可以保護內部網絡，免受來自外部網絡的攻擊。RSR-1(config)#access-list10permit55//使用ACL抓取感興趣的流量RSR-1(config)#access-list10permit55RSR-1(config)#ipnatpoolcisco0netmask//配置地址池RSR-1(config)#ipnatinsidesourcelist10poolciscooverload//把地址池和ACL應用到NAT中RSR-1(config)#ints0/0RSR-1(config)#ipnatoutside//指定需要進行地址轉換的接口RSR-1(config)#intf1/0RSR-1(config)#ipnatinsideRSR-1(config)#intf2/0RSR-1(config)#ipnatinsid第六章網絡測試一個剛剛建成的新網絡，必須進行一些列嚴格的測試，才能保證網絡的正常運行，網絡測試一般包括單體測試、連通性測試、冗余性測試。6.1單體測試單體測試的目的是測試各設備是否能正常工作，有沒有硬件或者軟件問題。①筆記本連接到待測設備的console口，給設備加電。②進入到命令行界面，用showversion，showdiag等命令查看設備序列號，檢查各模塊是否正常工作。如下所示：RSR-1#showversionCiscoIOSSoftware,3600Software(C3640-JK9O3S-M),Version12.4(16a),RELEASESOFTWARE(fc2)TechnicalSupport:/techsupportCopyright(c)1986-2007byCiscoSystems,Inc.CompiledMon10-Sep-0712:25byprod_rel_teamROM:ROMMONEmulationMicrocodeROM:3600Software(C3640-JK9O3S-M),Version12.4(16a),RELEASESOFTWARE(fc2)RSR-1uptimeis24minutesSystemreturnedtoROMbyunknownreloadcause-suspectboot_data[BOOT_COUNT]0x0,BOOT_COUNT0,BOOTDATA19Systemimagefileis"t55/unknown"ThisproductcontainscryptographicfeaturesandissubjecttoUnitedStatesandlocalcountrylawsgoverningimport,export,transferanduse.DeliveryofCiscocryptographicproductsdoesnotimplythird-partyauthoritytoimport,export,distributeoruseencryption.Importers,exporters,distributorsandusersareresponsibleforcompliancewithU.S.andlocalcountrylaws.Byusingthisproductyouagreetocomplywithapplicablelawsandregulations.IfyouareunabletocomplywithU.S.andlocallaws,returnthisproductimmediately.AsummaryofU.S.lawsgoverningCiscocryptographicproductsmaybefoundat:/wwl/export/crypto/tool/stqrg.htmlIfyourequirefurtherassistancepleasecontactusbysendingemailtoexport@.Cisco3640(R4700)processor(revision0xFF)with94208K/4096Kbytesofmemory.ProcessorboardID00000000R4700CPUat100MHz,Implementation33,Rev1.22FastEthernetinterfaces4SerialinterfacesDRAMconfigurationis64bitswidewithparityenabled.125KbytesofNVRAM.8192KbytesofprocessorboardSystemflash(Read/Write)Configurationregisteris0x2142RSR-1#showiprouteCodes:C-connected,S-static,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2i-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticrouteo-ODR,P-periodicdownloadedstaticrouteGatewayoflastresortistonetwork/32issubnetted,1subnetsCisdirectlyconnected,Loopback0O/24[110/2]via,00:20:38,FastEthernet1/0/24isvariablysubnetted,2subnets,2masksC/24isdirectlyconnected,Serial0/0C/32isdirectlyconnected,Serial0/0O/24[110/2]via,00:20:38,FastEthernet1/0C/24isdirectlyconnected,FastEthernet1/0C/24isdirectlyconnected,FastEthernet2/0S*/0isdirectlyconnected,Serial0/0RSR-1#showdiagSlot0:Mueslix-4TPortadapter,4portsPortadapterisanalyzedPortadapterinsertiontimeunknownEEPROMcontentsathardwarediscovery:Hardwarerevision1.1BoardrevisionB0Serialnumber10300772Partnumber800-02314-02FRUPartNumberNM-4T=Testhistory0x0RMAnumber00-00-00EEPROMformatversion1EEPROMcontents(hex):0x00:01540101009D2D6450090A02000000000x10:58000000981103000005FFFFFFFFFFFF0x20:FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF0x30:FFFFFFFFFFFFFFFFFFFFFFFFSlot1:Fast-ethernetPortadapter,1portPortadapterisanalyzedPortadapterinsertiontimeunknownEEPROMcontentsathardwarediscovery:Hardwarerevision1.0BoardrevisionB0Serialnumber7720321Partnumber800-03490-01FRUPartNumberNM-1FE-TX=Testhistory0x0RMAnumber00-00-00EEPROMformatversion1EEPROMcontents(hex):0x00:014401000075CD81500DA201000000000x10:5800000098032000FFFFFFFFFFFFFFFF0x20:FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF0x30:FFFFFFFFFFFFFFFFFFFFFFFFSlot2:Fast-ethernetPortadapter,1portPortadapterisanalyzedPortadapterinsertiontimeunknownEEPROMcontentsathardwarediscovery:Hardwarerevision1.0BoardrevisionB0Serialnumber7720321Partnumber800-03490-01FRUPartNumberNM-1FE-TX=Testhistory0x0RMAnumber00-00-00EEPROMformatversion1EEPROMcontents(hex):0x00:014401000075CD81500DA201000000000x10:5800000098032000FFFFFFFFFFFFFFFF0x20:FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF0x30:FFFFFFFFFFFFFFFFFFFFFFFF6.2網絡連通性測試用筆記本分別連接到不同交換機的不同VLAN下，用ping命令測試這些地址是否可達。①測試到網關連通性PC1#ping54Typeescapesequencetoabort.Sending5,100-byteICMPEchosto54,timeoutis2seconds:!!!!!//網絡通暢Successrateis100percent(5/5),round-tripmin/avg/max=60/128/228msPC2#ping54Typeescapesequencetoabort.Sending5,100-byteICMPEchosto54,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=28/250/1116ms②測試到ISP連通性PC1#ping00Typeescapesequencetoabort.Sending5,100-byteICMPEchosto00,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=144/366/604msPC2#ping00Typeescapesequencetoabort.Sending5,100-byteICMPEchosto00,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=232/332/508ms③測試不同VLAN連通性PC1#pingTypeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=76/148/216msPC2#pingTypeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=108/183/340ms6.3網絡冗余性測試①二層鏈路冗余測試S26-1#showspanning-treevlan10briefVLAN10SpanningtreeenabledprotocolieeeuplinkfastenabledRootIDPriority4096Addresscc00.1338.0001Cost3019Port2(FastEthernet0/1)HelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority49152Addresscc00.16a4.0001HelloTime2secMaxAge20secForwardDelay15secAgingTime300InterfaceDesignatedNamePortIDPrioCostStsCostBridgeIDPortIDFastEthernet0/1128.21283019FWD04096cc00.1338.0001128.2FastEthernet0/2128.31283019BLK128192cc00.03c4.0001128.3FastEthernet0/3128.41283019FWD301949152cc00.16a4.0001128.4S26-1(config)#intf0/1S26-1(config-if)#shutdown//關閉f0/1，模擬故障S26-1(config-if)#S26-1#showspanning-treevlan10briefVLAN10SpanningtreeenabledprotocolieeeuplinkfastenabledRootIDPriority4096Addresscc00.1338.0001Cost3031Port3(FastEthernet0/2)HelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority49152Addresscc00.16a4.0001HelloTime2secMaxAge20secForwardDelay15secAgingTime300InterfaceDesignatedNamePortIDPrioCostStsCostBridgeIDPortIDFastEthernet0/2128.31283019FWD128192cc00.03c4.0001128.3FastEthernet0/3128.41283019FWD303149152cc00.16a4.0001128.4PC1#ping00Typeescapesequencetoabort.Sending5,100-byteICMPEchosto00,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=384/452/540ms②三層網關冗余測試S57-2#showstandbybrPindicatesconfiguredtopreempt.|InterfaceGrpPrioPStateActiveStandbyVirtualIPVl1010100Standby53local54Vl2020110Ac