《中小企業(yè)辦公室網(wǎng)絡(luò)的規(guī)劃與實(shí)現(xiàn)》16000字（論文）

PAGE中小企業(yè)辦公室網(wǎng)絡(luò)的規(guī)劃與實(shí)現(xiàn)摘要隨著互聯(lián)網(wǎng)的快速發(fā)展，人們已經(jīng)越來越依賴網(wǎng)絡(luò)，甚至達(dá)到了足不出戶就可以辦完所有想做的事情，在這信息化的時(shí)代，全球各行各業(yè)都是通過網(wǎng)絡(luò)來處理業(yè)務(wù)，在網(wǎng)絡(luò)上進(jìn)行交易。因此企業(yè)更是要適應(yīng)時(shí)代的發(fā)展，滿足大眾的需求，與時(shí)代接軌才可以進(jìn)去市場并且長期的生存下去。企業(yè)要提高自身競爭力和辦公效率，就要緊跟網(wǎng)絡(luò)的發(fā)展，實(shí)現(xiàn)全網(wǎng)辦公信息化，構(gòu)建一套適合自身企業(yè)發(fā)展的網(wǎng)絡(luò)架構(gòu)。本文就中小企業(yè)辦公室網(wǎng)絡(luò)的建設(shè)進(jìn)行了充分的研究，根據(jù)中小型企業(yè)對網(wǎng)絡(luò)的需求和特點(diǎn),搭建了一個(gè)辦公室網(wǎng)絡(luò)的拓?fù)?，進(jìn)行了一系列的設(shè)備配置來實(shí)現(xiàn)全網(wǎng)資源共享的目的，滿足企業(yè)處理業(yè)務(wù)的基本需求。在此局域網(wǎng)中所有的用戶都可以訪問企業(yè)公共的資源，不僅方便了員工，還提高了他們的辦事效率，可以為企業(yè)創(chuàng)造更多的效益。在本次企業(yè)的網(wǎng)絡(luò)規(guī)劃中，考慮到企業(yè)未來的發(fā)展和規(guī)模擴(kuò)張，可以通過層次化模型的三層網(wǎng)絡(luò)結(jié)構(gòu)來很好的擴(kuò)展規(guī)模。路由協(xié)議則選擇相比較來說收斂速度快的、安全系數(shù)高的OSPF（OpenShortestPathFirst）動(dòng)態(tài)路由協(xié)議。作為企業(yè)內(nèi)部的網(wǎng)絡(luò)，安全是必不可少的，尤其是在這網(wǎng)絡(luò)飛速發(fā)展的時(shí)代，因此網(wǎng)絡(luò)的安全也是很重要的一方面，為了保護(hù)企業(yè)數(shù)據(jù)的安全性，針對不同的需求，方案中提出了VLAN（VirtualLocalAreaNetwork）技術(shù)、訪問控制列表以及VPN（VirtualPrivateNetwork）等安全解決方案。本文的目的是根據(jù)中小企業(yè)的網(wǎng)絡(luò)現(xiàn)狀和企業(yè)的需求，在擴(kuò)展和穩(wěn)定網(wǎng)絡(luò)的同時(shí)，建立一個(gè)相對安全和滿足必要的網(wǎng)絡(luò)應(yīng)用的企業(yè)辦公室網(wǎng)絡(luò)。關(guān)鍵詞：企業(yè)辦公室網(wǎng)絡(luò)，OSPF路由協(xié)議，VPN，VLAN劃分，網(wǎng)絡(luò)安全 目錄 TOC\o"1-2"\h\u1緒論 11.1中小企業(yè)辦公室網(wǎng)絡(luò)的課題背景 11.2中小企業(yè)辦公室網(wǎng)絡(luò)概述 11.3中小企業(yè)辦公室網(wǎng)絡(luò)的發(fā)展特點(diǎn) 22需求分析 32.1中小企業(yè)辦公室網(wǎng)絡(luò)建設(shè)需求 32.2中小企業(yè)辦公室網(wǎng)絡(luò)設(shè)計(jì)原則 32.3中小企業(yè)辦公室網(wǎng)絡(luò)的可行性分析 42.4中小企業(yè)辦公室網(wǎng)絡(luò)的功能性分析 43網(wǎng)絡(luò)設(shè)備選型 63.1交換機(jī)選型 63.2路由器選型 73.3防火墻選型 73.4網(wǎng)絡(luò)設(shè)備命名 84網(wǎng)絡(luò)總體設(shè)計(jì) 94.1網(wǎng)絡(luò)拓?fù)鋱D設(shè)計(jì) 94.2網(wǎng)絡(luò)層次化介紹 94.3核心層設(shè)計(jì) 104.4匯聚層設(shè)計(jì) 114.5接入層設(shè)計(jì) 114.6VPN設(shè)計(jì) 124.7服務(wù)器區(qū)設(shè)計(jì) 135路由設(shè)計(jì) 145.1路由協(xié)議選擇 145.2路由協(xié)議配置與查看 145.3IP地址與VLAN劃分 176網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)與配置 206.1DHCP協(xié)議與配置 206.2TRUNK技術(shù)與配置 206.3STP技術(shù)與配置 216.4VLAN技術(shù)與配置 226.5HSRP技術(shù)與配置 226.6VPN技術(shù)與配置 236.7NAT技術(shù)與配置 246.8ACL技術(shù)與配置 247網(wǎng)絡(luò)拓?fù)涔δ軠y試 267.1DHCP分配地址測試 267.2VLAN間互通測試 277.3STP生成樹測試 287.4財(cái)務(wù)部與總經(jīng)辦單向訪問測試 297.5NAT實(shí)現(xiàn)測試 307.6VPN連通性測試 307.7冗余備份測試 327.8服務(wù)器連通性測試 348總結(jié) 36參考文獻(xiàn) 371緒論隨著中小企業(yè)的迅速發(fā)展，對中小企業(yè)的要求也越來越高。更是因?yàn)榫W(wǎng)絡(luò)的進(jìn)步要與時(shí)代接軌，一個(gè)企業(yè)擁有好的網(wǎng)絡(luò)架構(gòu)就相當(dāng)于多了一份市場競爭力，相比較于一些大型的企業(yè)網(wǎng)絡(luò)來說，中小企業(yè)辦公室的網(wǎng)絡(luò)規(guī)模比較小，注重于實(shí)用性，方便企業(yè)人員管理；注重安全性，加強(qiáng)網(wǎng)絡(luò)措施，不易被外部攻擊導(dǎo)致網(wǎng)絡(luò)斷掉影響到企業(yè)的業(yè)務(wù)，也要保證數(shù)據(jù)方面的安全，不被輕易泄露，失去于同行的競爭力；注重拓展性，考慮企業(yè)將來的發(fā)展，就要做好充分的準(zhǔn)備，為設(shè)備擴(kuò)充等留有一定的空間，在物理和邏輯上都要做好措施。本次設(shè)計(jì)的課題就是在模擬平臺上搭建一個(gè)中小型辦公室網(wǎng)絡(luò)，從需求分析開始，結(jié)合網(wǎng)絡(luò)實(shí)際應(yīng)用，規(guī)劃網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，進(jìn)行IP地址的分配，VLAN的劃分，給設(shè)備進(jìn)行配置，最終通過調(diào)試和排錯(cuò)來是實(shí)現(xiàn)企業(yè)辦公室網(wǎng)絡(luò)的基本功能。1.1中小企業(yè)辦公室網(wǎng)絡(luò)的課題背景隨著網(wǎng)絡(luò)建設(shè)越來越重要，在企業(yè)內(nèi)部現(xiàn)信息化管理是必須的，通過利用網(wǎng)絡(luò)平臺可以節(jié)省很多人力資源，比如以前查資料需要到資料室手動(dòng)翻閱，現(xiàn)在都有電子備份可以隨時(shí)上傳下載，不僅節(jié)省了時(shí)間，也提高了效率，更是增加了大家的閱讀量，提高個(gè)人水平，自然在企業(yè)的發(fā)展方便也是多了一份力。還可以實(shí)施網(wǎng)絡(luò)績效考察，通過了解別人的水平來加大自己的壓力，更加的努力提高自身水平來跟隨大家的腳步，這樣企業(yè)的發(fā)展自然而然會(huì)有所提高。企業(yè)的內(nèi)部網(wǎng)絡(luò)會(huì)與公網(wǎng)連通，可以訪問公網(wǎng)資源，以便于企業(yè)更好的得到市場消息及時(shí)作出調(diào)整和規(guī)劃，也可以通過網(wǎng)絡(luò)發(fā)布的消息篩選最優(yōu)客戶，網(wǎng)絡(luò)消息四通八達(dá)，及時(shí)掌握并主動(dòng)出擊便可給公司帶來很大的利益。當(dāng)然也可以推銷自己，制作自己公司的網(wǎng)絡(luò)，介紹公司概況，表明公司運(yùn)營的項(xiàng)目與優(yōu)勢，自然也會(huì)有客戶主動(dòng)尋求合作的，雙方都是主動(dòng)的，這樣項(xiàng)目進(jìn)行的也會(huì)非常順利愉快，達(dá)到雙贏的目的。1.2中小企業(yè)辦公室網(wǎng)絡(luò)的課題意義隨著國際互聯(lián)網(wǎng)的發(fā)展，企業(yè)網(wǎng)絡(luò)的建設(shè)也越來越成熟。企業(yè)內(nèi)部網(wǎng)絡(luò)的應(yīng)用主要就是實(shí)現(xiàn)各部門的業(yè)務(wù)處理，內(nèi)部數(shù)據(jù)共享，企業(yè)人員管理等一系列的基本需求。滿足員工硬件軟件的共享需求，比如打印機(jī)共享，員工通過連接企業(yè)內(nèi)部網(wǎng)絡(luò)可以直接訪問打印機(jī)，在自己電腦上打印，然后再到打印室拿取資料即可，但多數(shù)人同時(shí)訪問時(shí)，打印機(jī)自會(huì)根據(jù)時(shí)間順序排序依次打印，不必大家都擠到打印室人工排隊(duì)等待浪費(fèi)時(shí)間和精力。數(shù)據(jù)庫資料共享，大家也可隨時(shí)訪問服務(wù)器進(jìn)行上傳和下載，通過關(guān)鍵字等直接搜索來獲取，方便快捷。1.3中小企業(yè)辦公室網(wǎng)絡(luò)的發(fā)展特點(diǎn)中小企業(yè)不能與大型企業(yè)相比，有扎實(shí)的根基與經(jīng)濟(jì)實(shí)力，在市場形勢的不斷變化下，首當(dāng)其沖受到影響的就是中小企業(yè)，因此中小企業(yè)想要在市場上站穩(wěn)腳跟就要有足夠的優(yōu)勢，不易被社會(huì)所淘汰。除了企業(yè)的經(jīng)營項(xiàng)目，經(jīng)營手段等，在網(wǎng)絡(luò)方面的建設(shè)也是有一定的作用的。對于中小企業(yè)網(wǎng)絡(luò)方面的發(fā)展特點(diǎn)來說，涉及的范圍廣，麻雀雖小五臟俱全，企業(yè)該有的網(wǎng)絡(luò)需求不能少，因此技術(shù)方面就要采用已經(jīng)成熟的，可以直接利用的；發(fā)展速度快，小企業(yè)只要在經(jīng)營良好的情況下，發(fā)展非常迅速，因此就要做好相應(yīng)的擴(kuò)展措施與割接方案，在企業(yè)后期的網(wǎng)絡(luò)實(shí)施中要與前期相融合。企業(yè)要實(shí)現(xiàn)信息化網(wǎng)絡(luò)辦公，通過提高企業(yè)生產(chǎn)質(zhì)量和員工的工作效率來快速發(fā)展。企業(yè)實(shí)現(xiàn)信息化是滿足企業(yè)高速運(yùn)轉(zhuǎn)的需求，這種使用信息技術(shù)的分布式網(wǎng)絡(luò)化企業(yè)，不僅是跨國大公司的未來，而且也是大量中小企業(yè)的發(fā)展方向[1]。

2需求分析2.1中小企業(yè)辦公室網(wǎng)絡(luò)建設(shè)需求假設(shè)某個(gè)中小型企業(yè)要構(gòu)建一個(gè)辦公室網(wǎng)絡(luò)，企業(yè)一共有五個(gè)部門，分別是財(cái)務(wù)部、總經(jīng)理辦公室、行政部、人事部、市場部和技術(shù)部，公司一共有三棟樓：A樓：一層為財(cái)務(wù)部，二層為總經(jīng)理辦公室。B樓：一層為行政部，二層為人事部。C樓：一層為市場部，二層和三層都是技術(shù)部。（1）為了方便企業(yè)管理，采用DHCP協(xié)議自動(dòng)分配IP地址。（2）為了網(wǎng)絡(luò)安全，根據(jù)部門進(jìn)行VLAN劃分。（3）通過NAT技術(shù)使內(nèi)網(wǎng)主機(jī)可以訪問外網(wǎng)。（4）建立VPN，使出差人員也可以訪問內(nèi)網(wǎng)資源。（5）通過ACL使得財(cái)務(wù)部和總經(jīng)理辦公室與其他部門網(wǎng)絡(luò)隔離。（6）網(wǎng)絡(luò)要有冗余設(shè)計(jì)，當(dāng)某個(gè)節(jié)點(diǎn)故障時(shí)可以切換到備線路。（7）企業(yè)內(nèi)部資源共享，包括文件和硬件的共享。2.2中小企業(yè)辦公室網(wǎng)絡(luò)設(shè)計(jì)原則企業(yè)辦公室局域網(wǎng)的最終目標(biāo)是建設(shè)一個(gè)網(wǎng)絡(luò)性能實(shí)用優(yōu)良、數(shù)據(jù)傳輸高速、安全可靠，有擴(kuò)展性的局域網(wǎng)網(wǎng)絡(luò)，前期可滿足中小企業(yè)用戶需求，提供用戶全網(wǎng)的資源共享，包括軟件、硬件和信息的共享，并可以訪問公網(wǎng)查閱資料，發(fā)送郵件等等基本需求?？紤]到企業(yè)剛發(fā)展有預(yù)算的限制，選用性價(jià)比高的設(shè)備來節(jié)約成本，采用三層網(wǎng)絡(luò)結(jié)構(gòu)，便于企業(yè)的擴(kuò)展和管理。（1）實(shí)用性：網(wǎng)絡(luò)建設(shè)從企業(yè)應(yīng)用實(shí)際需求出發(fā)，給予領(lǐng)導(dǎo)實(shí)用性的建議，滿足客戶需求，便于企業(yè)經(jīng)營管理。另外，結(jié)合目前企業(yè)發(fā)展，充分考慮如何利用現(xiàn)有資源盡量發(fā)揮設(shè)備的最大效益。（2）先進(jìn)性：在對企業(yè)局域網(wǎng)進(jìn)行規(guī)劃時(shí)就應(yīng)該考慮企業(yè)在未來的發(fā)展，不僅要滿足當(dāng)前的需求，還有為將來做打算，對企業(yè)未來的帶寬要求和網(wǎng)絡(luò)功能留有一定的空間，采用目前已經(jīng)成熟的技術(shù)并加入適當(dāng)?shù)某凹夹g(shù)。（3）可靠性要保證網(wǎng)絡(luò)可以正常運(yùn)行，配置冗余措施，并且在有線路或端口故障發(fā)生時(shí)，可以及時(shí)切換線路以保證企業(yè)業(yè)務(wù)不中斷。一個(gè)穩(wěn)定可靠的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)該及時(shí)發(fā)現(xiàn)故障發(fā)生點(diǎn)并立即隔離不被擴(kuò)散，使得這個(gè)故障對整個(gè)網(wǎng)絡(luò)的影響減到最小。（4）擴(kuò)展性對于企業(yè)未來的發(fā)展擴(kuò)充要留有余地，后期實(shí)施時(shí)應(yīng)與前期有良好的融合性，方便實(shí)施。（5）保密性對于企業(yè)內(nèi)部的資源信息不被他人竊取，應(yīng)實(shí)施加密措施，配置用戶認(rèn)證等防止他人登錄，并在網(wǎng)絡(luò)邊界加入防火墻再與公網(wǎng)連接，過濾外部不正當(dāng)?shù)墓?，提高企業(yè)數(shù)據(jù)的保密性。（6）成本性選用高性能、低成本的設(shè)備，若有前期剩余設(shè)備應(yīng)最大化利用，發(fā)揮他們最大的功能。（7）靈活性當(dāng)用戶位置變化時(shí)，應(yīng)方便調(diào)整，應(yīng)具有較高的適應(yīng)變化的能力。在布線方面也應(yīng)該有一定的擴(kuò)展性。2.3中小企業(yè)辦公室網(wǎng)絡(luò)的可行性分析通過對中小企業(yè)辦公室網(wǎng)絡(luò)的調(diào)查和分析，對其進(jìn)行可行性分析。技術(shù)上可行：目前可有大量的項(xiàng)目可供參考，選用大眾的、成熟的技術(shù)方案，在大多數(shù)企業(yè)上都得到了驗(yàn)證，VLAN技術(shù)，HSRP（HotStandbyRouterProtocol）熱備份技術(shù)，NAT（NetworkAddressTranslation）技術(shù)等都是被企業(yè)大量應(yīng)用的，技術(shù)上都是比較成熟的，因此在技術(shù)上是可行的。經(jīng)濟(jì)上可行：雖然是剛發(fā)展的企業(yè)，比較看重經(jīng)濟(jì)成本，但是這項(xiàng)投入是必不可少的，沒有網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)，企業(yè)是無法長遠(yuǎn)發(fā)展的。我們會(huì)根據(jù)客戶需求，選用設(shè)備時(shí)多家比對，盡量選用低成本高性能的設(shè)備，操作簡單便于以后維護(hù)。因此經(jīng)濟(jì)上也是可行的。管理上可行：在設(shè)計(jì)時(shí)會(huì)把設(shè)備集中到固定的幾個(gè)機(jī)房，由專業(yè)的網(wǎng)咯管理人員管理，通過遠(yuǎn)程可以隨時(shí)查看設(shè)備配置，檢查其是否正常工作，并通過網(wǎng)絡(luò)報(bào)警等隨時(shí)了解網(wǎng)絡(luò)信息，這些都有專業(yè)的網(wǎng)管人員護(hù)理，因此管理上是可行的。綜上所述，本次中小企業(yè)辦公室網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)在技術(shù)上、經(jīng)濟(jì)上、管理上都是可行。2.4中小企業(yè)辦公室網(wǎng)絡(luò)的功能性分析通過中小企業(yè)辦公室網(wǎng)絡(luò)的建設(shè)需求，對其進(jìn)行功能性分析。連通性：企業(yè)要實(shí)現(xiàn)信息化管理，就要保證所訪問的資源都可以到達(dá)，要保證網(wǎng)絡(luò)的功能協(xié)議是正常工作的。安全性：對于中小企業(yè)辦公室網(wǎng)絡(luò)來說，安全是必不可少的，包括軟件和硬件方便的安全。采用VLAN劃分網(wǎng)絡(luò)來隔離廣播域，減少網(wǎng)絡(luò)風(fēng)暴，當(dāng)有病毒攻擊時(shí)也可隔離，使其不會(huì)傳播到其他區(qū)域造成巨大的損失。采用訪問控制列表來阻止其他部門對財(cái)務(wù)部和總經(jīng)辦的訪問來保證數(shù)據(jù)的安全性。采用ipsec協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)，通過加密通道保證連接的安全。速度性：為保證數(shù)據(jù)快速轉(zhuǎn)發(fā)的效率，采用OSPF最短路徑優(yōu)先的路由協(xié)議，它的收斂速度相比較來說是快的，也是大多是企業(yè)采用的，這也是一種天然無環(huán)的路由協(xié)議，也可避免成環(huán)問題，造成網(wǎng)絡(luò)崩潰。

3網(wǎng)絡(luò)設(shè)備選型3.1交換機(jī)選型交換機(jī)是用于設(shè)備之間轉(zhuǎn)發(fā)數(shù)據(jù)的網(wǎng)絡(luò)設(shè)備，通過交換數(shù)據(jù)包來達(dá)到轉(zhuǎn)發(fā)的目的。目前有三層交換機(jī)和二層交換機(jī)，三層交換機(jī)有路由功能，我們在核心層和匯聚層采用三層交換機(jī)，在接入層使用二層交換機(jī)。3.1.1三層交換機(jī)選型首先先選擇核心交換機(jī)，由于網(wǎng)絡(luò)核心是網(wǎng)絡(luò)負(fù)載最高的地方，因此設(shè)備性能一定要高，而且傳輸速率也要達(dá)到相應(yīng)要求。CISCOWS-C3850-24T-S型號的參數(shù)，如表3-1所示：表3-1CISCOWS-C3850-24T-S參數(shù)主要參數(shù)端口參數(shù)功能特性產(chǎn)品類型千兆以太網(wǎng)端口結(jié)構(gòu)非模塊化堆疊功能支持應(yīng)用層級三層端口數(shù)量24個(gè)VLAN支持傳輸速率10/100/1000Mbps傳輸模式全雙工/半雙工自適應(yīng)電源電壓AC220V交換方式存儲(chǔ)-轉(zhuǎn)發(fā)CiscoCatalyst3850系列交換機(jī)是新一代的企業(yè)級的千兆位聚集層交換機(jī)。這個(gè)是三層交換機(jī)，核心層和匯聚層交換機(jī)都可以使用這一型號的交換機(jī)，支持堆疊和VLAN劃分，采用雙路冗余模塊化電源，以及三個(gè)模塊化風(fēng)扇用于提供冗余，傳輸速率支持1000Mbpps。3.1.2二層交換機(jī)選型對于二層交換機(jī)來說，只要端口數(shù)量足夠，可以保證接入的用戶數(shù)量，有足夠高的傳輸速率，可以快速轉(zhuǎn)發(fā)流量就可以了。WS-C3560X-24T-L的參數(shù)如表3-2所示：表3-2CISCOWS-C3560-24T-L參數(shù)主要參數(shù)硬件參數(shù)其他參數(shù)產(chǎn)品類型千兆以太網(wǎng)端口結(jié)構(gòu)非模塊化堆疊功能支持應(yīng)用層級二層端口數(shù)量24個(gè)最大功率350W傳輸速率10/100/1000MbpsFlash內(nèi)存128MB電源電壓AC220V包轉(zhuǎn)發(fā)率65.5mppsDRAM內(nèi)存256MB重量7KG思科WS-C3560X-24T-L能夠有效提升網(wǎng)絡(luò)克隆類型數(shù)據(jù)包的傳輸速度，可以連接多個(gè)有線設(shè)備，可以關(guān)閉流控，其他端口可以通過協(xié)商開啟流控，優(yōu)化了無盤系統(tǒng)等，保障網(wǎng)絡(luò)視頻的流暢。同時(shí)再次提升安全把控，讓數(shù)據(jù)傳輸更安全；增強(qiáng)了信號能力，讓網(wǎng)速更暢快。3.2路由器選型路由器是用來將企業(yè)局域網(wǎng)與廣域網(wǎng)相連，實(shí)現(xiàn)不同網(wǎng)絡(luò)之間通信的，有數(shù)據(jù)處理能力，還有容錯(cuò)管理和流量控制等功能。CISCO2911/K9這一型號的路由器參數(shù)如表3-3所示：表3-3CISCO2911/K9基本參數(shù)基本參數(shù)參數(shù)內(nèi)容路由器類型多業(yè)務(wù)路由器網(wǎng)絡(luò)協(xié)議IPv4，IPv6，靜態(tài)路由，IGMPv3，PIMSM，DVMRP，IPSec傳輸速率10/100/1000Mbps端口結(jié)構(gòu)模塊化廣域網(wǎng)接口1個(gè)局域網(wǎng)接口3個(gè)防火墻內(nèi)置防火墻QOS支持支持VPN支持支持Cisco2911/k9是Cisco2800系列集成多業(yè)務(wù)路由器的產(chǎn)品，內(nèi)置了防火墻，為企業(yè)安全又提供了一道安全屏障，支持QOS和VPN。3.3防火墻選型防火墻是用來隔離內(nèi)網(wǎng)和外網(wǎng)的，因此是放在企業(yè)網(wǎng)絡(luò)的邊界的，保護(hù)企業(yè)網(wǎng)絡(luò)，防止病毒的入侵。全面檢測網(wǎng)絡(luò)外界的威脅、病毒等內(nèi)容，且需要分析相應(yīng)的數(shù)據(jù)，通過網(wǎng)絡(luò)外界的屏蔽系統(tǒng)來保護(hù)企業(yè)網(wǎng)絡(luò)信息和相關(guān)的數(shù)據(jù)[2]。如圖3-6所示，是防火墻CISCOASA5505-K8的參數(shù)。表3-4CISCOASA5505-K8參數(shù)主要參數(shù)基本參數(shù)并發(fā)連接數(shù)25000控制端口Console，RJ-45安全過濾帶寬51-100MB管理思科安全管理器，webVPN支持支持電源100-240VAC，50/60Hz網(wǎng)絡(luò)吞吐量150Mpps安全標(biāo)準(zhǔn)UL60950，CSAC22.2No.60950，EN60950，IEC6095AS/NZS60950用戶數(shù)限制10這一型號的防火墻能夠主動(dòng)防止網(wǎng)絡(luò)被攻擊，還可以控制網(wǎng)絡(luò)行為和應(yīng)用流量，并提供靈活的VPN連接。有25000個(gè)并發(fā)連接數(shù)，安全過濾帶寬可達(dá)百兆，網(wǎng)絡(luò)吞吐量最大可達(dá)150Mpps，電源使用雙路以達(dá)到冗余。3.4網(wǎng)絡(luò)設(shè)備命名在網(wǎng)絡(luò)管理中，對網(wǎng)絡(luò)設(shè)備的命名是非常有必要的，對設(shè)備進(jìn)行正確的命名可以快速識別此設(shè)備的用途與作用，對于機(jī)房工作人員來說可以減少一定的工作量，加快工作效率，當(dāng)設(shè)備產(chǎn)生故障時(shí)，也可通過標(biāo)簽結(jié)合設(shè)備配置來快速排查，隨著企業(yè)的發(fā)展，設(shè)備肯定越來越多，這時(shí)候就會(huì)顯示標(biāo)簽的重要性了。為方便日后的網(wǎng)絡(luò)管理，采用統(tǒng)一的命名方式：【設(shè)備層次-設(shè)備類型-設(shè)備型號-設(shè)備位置-編號】表3-5設(shè)備命名表項(xiàng)目實(shí)例設(shè)備層次HX-核心層HJ-匯聚層JR-接入層設(shè)備類型SW-交換機(jī)RT-路由器FW-防火墻SRV-虛擬服務(wù)器設(shè)備型號C3580-思科三層交換機(jī)C3560-思科二層交換機(jī)2911-思科路由器C22-思科服務(wù)器ASA5505-思科防火墻設(shè)備位置樓號+層數(shù)如：A樓一層表示為A1如表3-7所示是設(shè)備類別的命名規(guī)范，字段之間用連接符（-）來連接，比如一臺位于核心層的C3850型號的交換機(jī)在C樓三層，用設(shè)備命名規(guī)則來命名就是：HX-SW-C3850-C3-1

4網(wǎng)絡(luò)總體設(shè)計(jì)4.1網(wǎng)絡(luò)拓?fù)鋱D設(shè)計(jì)如下圖4-1所示，是中小企業(yè)辦公室網(wǎng)絡(luò)的網(wǎng)絡(luò)總拓?fù)鋱D，將整個(gè)網(wǎng)絡(luò)分為五個(gè)部分，分別是核心層、匯聚層、分布層、服務(wù)器區(qū)和vpn區(qū)。圖4-1網(wǎng)絡(luò)總拓?fù)鋱D采用三層網(wǎng)絡(luò)架構(gòu)來搭建企業(yè)架構(gòu)，在核心層使用兩臺具有三層交換功能的高性能交換機(jī)作為核心交換機(jī)，實(shí)現(xiàn)冗余設(shè)計(jì)，同時(shí)還能實(shí)現(xiàn)負(fù)載均衡，這樣可以保證現(xiàn)有的設(shè)備資源得到充分的利用，也不用擔(dān)心由于單獨(dú)的一臺設(shè)備負(fù)載太大而導(dǎo)致網(wǎng)絡(luò)出現(xiàn)性能方面的問題。在核心交換機(jī)上使用了DHCP（DynamicHostConfigurationProtocol）協(xié)議，為每個(gè)VLAN建立了DHCP地址池，給終端分配IP地址，方便管理。為了避免產(chǎn)生環(huán)路和網(wǎng)絡(luò)風(fēng)暴，配置了STP（SpanningTreeProtocol）生成樹協(xié)議，提高網(wǎng)絡(luò)的可靠性。為方便外出員工訪問公司內(nèi)部資源，采用IPSEC（InternetProtocolSecurity）協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)，在公網(wǎng)上為兩個(gè)私有網(wǎng)絡(luò)提供安全通信通道，通過加密通道保證連接的安全。為有效緩解現(xiàn)在IP地址資源枯竭的現(xiàn)象，使用NAT技術(shù)，借助動(dòng)態(tài)轉(zhuǎn)換，來實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)對外部資源的訪問。配置了FTP、EMAIL、WEB服務(wù)器，可以滿足企業(yè)內(nèi)部的基本業(yè)務(wù)要求。4.2網(wǎng)絡(luò)層次化介紹由接入層、匯聚層和核心層組成的傳統(tǒng)三層網(wǎng)絡(luò)架構(gòu)，將網(wǎng)絡(luò)進(jìn)行了層次劃分，結(jié)構(gòu)清晰，一定程度上降低了網(wǎng)絡(luò)設(shè)計(jì)的難度，經(jīng)過多年的實(shí)踐和應(yīng)用，架構(gòu)非常成熟且實(shí)現(xiàn)較為簡單[3]。核心層是網(wǎng)絡(luò)的高速交換主干，對整個(gè)網(wǎng)絡(luò)的連通性起到至關(guān)重要的作用[4]。我們采用雙核心交換機(jī)來做熱備份達(dá)到冗余的效果，還可以做負(fù)載均衡來進(jìn)行流量分流，改善網(wǎng)絡(luò)的性能。對于核心層的設(shè)備性能也要求特別高，選用可以承載整個(gè)網(wǎng)絡(luò)流量的高性能設(shè)備。匯聚層是用來連接接入層和核心層的，它會(huì)將接入層的流量進(jìn)行匯聚再轉(zhuǎn)發(fā)給核心層，減少核心層的流量負(fù)載。在核心層通常進(jìn)行vlan劃分，隔離網(wǎng)段，若某一處網(wǎng)絡(luò)故障可以阻斷流量不進(jìn)入核心層進(jìn)行破壞。對于啟用資金有限的企業(yè)來說，匯聚層可以暫時(shí)省略，核心層直接與接入層相連，可以節(jié)約一大筆資金。但是考慮到企業(yè)未來的擴(kuò)展以及網(wǎng)絡(luò)安全性能方面的穩(wěn)定，最好還是加入?yún)R聚層。匯聚層的設(shè)備也是使用支持三層交換的交換機(jī)比較好，可以再匯聚層做一些安全方面的策略。接入層是連接網(wǎng)絡(luò)的，直接將終端計(jì)算機(jī)接入網(wǎng)絡(luò)，并且提供足夠的帶寬進(jìn)行訪問。4.3核心層設(shè)計(jì)如下圖4-2所示，是核心層設(shè)計(jì)圖，核心層作為整個(gè)網(wǎng)絡(luò)的中心，對網(wǎng)絡(luò)中的連通性有非常大的作用，要實(shí)現(xiàn)對數(shù)據(jù)的高速轉(zhuǎn)發(fā)，因此需要核心設(shè)備的性能及功能非常強(qiáng)大。圖4-2核心層設(shè)計(jì)圖采用具有三層路由功能的高性能交換機(jī)作為核心交換機(jī)，使用兩臺三層交換機(jī)互聯(lián)，實(shí)現(xiàn)冗余連接，此外還實(shí)現(xiàn)了負(fù)載均衡，vlan10、vlan20、vlan30、vlan40走交換機(jī)HX-SW-1，vlan50、vlan60、vlan100走交換機(jī)HX-SW-2，來達(dá)到流量分流。其次為了企業(yè)網(wǎng)絡(luò)的安全，設(shè)立了防火墻來隔離內(nèi)網(wǎng)，阻止外網(wǎng)惡意訪問公司內(nèi)部資源，從而保證數(shù)據(jù)的安全性。在防火墻上配置了nat，可以把私有地址轉(zhuǎn)化為公網(wǎng)地址，達(dá)到節(jié)約ip地址的效果。在圖4-2中，可以看到，R1作為核心路由器，端口E0/0與交換機(jī)HX-SW-1的端口G1/1想連，端口E0/1與交換機(jī)HX-SW-2的G1/1相連，端口E0/2與防火墻的端口E0/0相連。防火墻的端口E0/1與internet的端口E0/0相連。交換機(jī)HX-SW-1和HX-SW-2作為兩臺核心交換機(jī)通過端口G1/0和G1/3實(shí)現(xiàn)互聯(lián)，左邊的交換機(jī)HX-SW-1的端口G0/0與匯聚層交換機(jī)HJ-SW-1的端口E0/3相連，端口G0/1與匯聚層交換機(jī)HJ-SW-2的端口E0/2相連，端口G0/2與匯聚層交換機(jī)HJ-SW-3的端口E1/0相連。右邊的交換機(jī)HX-SW-2的端口G0/0與匯聚層交換機(jī)HJ-SW-1的端口E0/2相連，端口G0/1與匯聚層交換機(jī)HJ-SW-2的端口E0/3相連，端口G0/2與匯聚層交換機(jī)HJ-SW-3的端口E0/3相連。4.4匯聚層設(shè)計(jì)如下圖4-3所示，是匯聚層設(shè)計(jì)圖。匯聚層是企業(yè)數(shù)據(jù)信息的匯聚點(diǎn)，是連接了核心層和接入層的網(wǎng)絡(luò)設(shè)備，為接入層提供數(shù)據(jù)的匯聚和管理，在匯聚層劃分vlan，與網(wǎng)絡(luò)隔離，可以防止某些vlan內(nèi)的問題蔓延到核心層。在匯聚層的設(shè)備也要達(dá)到帶寬和傳輸性能的要求，因此也采用三層交換機(jī)。圖4-3匯聚層設(shè)計(jì)圖在本網(wǎng)絡(luò)中，在匯聚層有三臺三層交換機(jī)，交換機(jī)HJ-SW-1的端口E0/1與接入層交換機(jī)JR-SW-A-1的端口E0/0相連，端口E0/0與接入層交換機(jī)JR-SW-A-2的端口E0/0相連。交換機(jī)HJ-SW-2的端口E0/0與接入層交換機(jī)JR-SW-B-1的端口E0/0相連，端口E0/1與接入層交換機(jī)JR-SW-B-2的端口E0/0相連。交換機(jī)HJ-SW-3的端口E0/0與接入層交換機(jī)JR-SW-C-1的端口E0/0相連，端口E0/1與接入層交換機(jī)JR-SW-C-2的端口有E0/0相連，端口E0/2與接入層交換機(jī)JR-SW-C-3的端口與E0/0相連，端口E1/1與服務(wù)器群的交換機(jī)SRV-SW-1的端口E0/0相連。4.5接入層設(shè)計(jì)如下圖4-4所示，是接入層設(shè)計(jì)圖。接入層，通常是網(wǎng)絡(luò)中直接面向用戶連接或訪問網(wǎng)絡(luò)的部分。圖4-4接入層設(shè)計(jì)圖接入層目的是允許終端用戶連接到網(wǎng)絡(luò)，因此接入層交換機(jī)可以選擇有低成本高密度特性的二層交換機(jī)，有足夠的轉(zhuǎn)發(fā)速率滿足企業(yè)需求就可以了根據(jù)企業(yè)要求、部門分布情況，一共使用8臺二層交換機(jī)，布置在各個(gè)樓層。終端可以直接連接到接入層交換機(jī)，由DHCP服務(wù)器分配地址，便可直接訪問網(wǎng)絡(luò)。4.6VPN設(shè)計(jì)如下圖4-5所示，是VPN設(shè)計(jì)圖。VPN技術(shù)就是一種遠(yuǎn)程技術(shù)，讓外地出差的辦公人員可以通過連接VPN服務(wù)器進(jìn)入公司內(nèi)網(wǎng)來獲取自己想要的信息，vpn是通過公網(wǎng)來建立的，要保證訪問的安全性，要進(jìn)行數(shù)據(jù)加密等措施。圖4-5vpn設(shè)計(jì)圖采用IPSEC協(xié)議來實(shí)現(xiàn)VPN技術(shù)，在公網(wǎng)上為兩個(gè)私有網(wǎng)絡(luò)提供安全通信通道，通過加密通道保證連接的安全。在兩個(gè)對等體路由器R2和防火墻firewall上配置了通道。路由器R2的E0/0端口與internet的E0/1端口相連，internet的端口E0/0與防火墻的E0/1接口相連，通過公網(wǎng)，在路由器和防火墻之間建立VPN。4.7服務(wù)器區(qū)設(shè)計(jì)如下圖4-6所示，是服務(wù)器區(qū)設(shè)計(jì)圖。服務(wù)器是企業(yè)共享資源，員工可以訪問這些服務(wù)器快速獲得有效資料，提高辦公效率。圖4-6服務(wù)器區(qū)設(shè)計(jì)圖在服務(wù)器區(qū)設(shè)立了FTP服務(wù)器、WEB服務(wù)器、Email服務(wù)器，通過接入層交換機(jī)SRV-SW-1連接到匯聚層交換機(jī)上，用戶可以直接訪問這些服務(wù)器，通過vpn連接的用戶也可以訪問內(nèi)部服務(wù)器。服務(wù)器區(qū)的交換機(jī)SRV-SW-1的端口E0/1、E0/2、E0/3分別于這三個(gè)服務(wù)器的端口E0/0相連。

5路由設(shè)計(jì)5.1路由協(xié)議選擇OSPF協(xié)議是開放式最短路徑優(yōu)先協(xié)議。作為基于鏈路狀態(tài)的路由協(xié)議，OSPF協(xié)議框架中的路由器能夠向管理域中其他路由器發(fā)送鏈路狀態(tài)廣播信息，其中包含接口、量度等各種信息[5]。網(wǎng)絡(luò)中的路由器通過發(fā)送HEELO報(bào)文來發(fā)現(xiàn)鄰居，并且定期維護(hù)，然后將已知的鄰居列表和開銷值通過鏈路更新報(bào)文與其他路由器交互，學(xué)習(xí)到整個(gè)系統(tǒng)內(nèi)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，還可以通過邊界路由器引入其他系統(tǒng)的路由器信息，從而得到整個(gè)internet的路由信息。每隔30s或者鏈路狀態(tài)發(fā)生變化時(shí)，會(huì)重新生成LSA，路由器通過泛洪機(jī)制將新的LSA通告出去，以便實(shí)現(xiàn)路由的實(shí)時(shí)更新[6]。Ospf的特征：（1）收斂速度快。相對于RIP（RoutingInformationProtocol）協(xié)議來說，ospf是鏈路狀態(tài)協(xié)議，通過鏈路通告可以獲知整個(gè)區(qū)域拓?fù)洌瑥亩涌焓諗克俣?。?）能夠適應(yīng)大型網(wǎng)絡(luò)。對于企業(yè)網(wǎng)絡(luò)、園區(qū)網(wǎng)絡(luò)都可以采用這種路由協(xié)議。（3）支持區(qū)域劃分，通過區(qū)域劃分，可以進(jìn)行分級管理。（4）采用觸發(fā)更新，只有在拓?fù)浒l(fā)生變化時(shí)，會(huì)使用組播地址發(fā)送LSU（LinkStateUpdate）報(bào)文，此報(bào)文包含了LSA（Link-StateAdvertisement）更新信息。（5）無路由環(huán)路?；趕pf的算法，在ospf區(qū)域中，通過互相發(fā)送LSA報(bào)文，每個(gè)路由器都可以知道整個(gè)區(qū)域內(nèi)的拓?fù)浜玩溌窢顟B(tài)。（6）支持等價(jià)路由。可以通過改變路由開銷值從而實(shí)現(xiàn)負(fù)載均衡。（7）支持認(rèn)證。有明文和密文兩種認(rèn)證方法，有鏈路認(rèn)證、區(qū)域認(rèn)證、虛鏈路認(rèn)證三種認(rèn)證范圍。5.2路由協(xié)議配置與查看在核心交換機(jī)HX-SW-1上查看的ospf配置：//配置動(dòng)態(tài)路由//配置動(dòng)態(tài)路由ospf進(jìn)程號是110//配置HX-SW-1的路由ID為//配置SVI虛接口為被動(dòng)接口network55area0//通告網(wǎng)段/24，區(qū)域?yàn)?network55area0//通告網(wǎng)段192.168.0/24，區(qū)域?yàn)?公司整個(gè)網(wǎng)絡(luò)運(yùn)行的是OSPF動(dòng)態(tài)路由協(xié)議，并且都處于區(qū)域0當(dāng)中。企業(yè)員工終端電腦上經(jīng)常收到路由器發(fā)送的OSPF數(shù)據(jù)報(bào)文，但是該報(bào)文不僅對終端毫無用處，還占用了一定的鏈路帶寬資源，并有可能引起安全風(fēng)險(xiǎn)，比如非法接入路由器做路由欺騙。因此通告配置被動(dòng)接口來實(shí)現(xiàn)阻隔OSPF報(bào)文，優(yōu)化公司網(wǎng)絡(luò)。在路由器R1上查看的ospf配置：routerospf110//配置動(dòng)態(tài)路由ospf進(jìn)程號為110router-id4//配置R1的路由ID為4network55area0//配置通告網(wǎng)絡(luò)network4area0//配置通告單個(gè)主機(jī)4network55area0//配置桶蓋網(wǎng)絡(luò)network55area0//配置通告網(wǎng)路環(huán)回口是邏輯接口。永遠(yuǎn)不會(huì)down，使用環(huán)回口作為router-id可以使ospf進(jìn)程更加穩(wěn)定，減少網(wǎng)絡(luò)震蕩的可能。如圖所示為R1路由器上的ospf路由：圖5-1ospf路由查看可以看到網(wǎng)段的路由都有兩條路徑，下一跳地址為是交換機(jī)HX-SW-1的地址，下一跳地址為是交換機(jī)HX-SW-2的地址，接口分別為R1的E0/0,E0/0。如圖5-2所示，是路由器R1上的OSPF鄰居：圖5-2ospf鄰居查看通過命令showipospfneighbor可以查看鄰居，路由器R1有三個(gè)ospf路由鄰居，它們的router-id分別是,3,，address表示下一跳地址，interface表示連接下一跳自身的接口，此外顯示這三個(gè)鄰居的狀態(tài)都為BDR。如圖5-3所示，為路由器R1上的OSPF鏈路數(shù)據(jù)庫：圖5-3ospf鏈路數(shù)據(jù)庫查看通過命令showipospfdatabase可以顯示ospf的鏈路數(shù)據(jù)庫。如圖5-3所示，可以看到此設(shè)備的路由ID為4，進(jìn)程ID為110，區(qū)域是0，每個(gè)路由器都會(huì)產(chǎn)生LSA類型1，RouterLSA，這種LSA只在本區(qū)域內(nèi)傳播，描述了路由器所有的鏈路和接口，狀態(tài)和開銷，NetworkLSA是LSA類型2，在多路訪問網(wǎng)絡(luò)中，DR都會(huì)產(chǎn)生這種LSA，它只在產(chǎn)生這條LSA的區(qū)域泛洪描述了所有和它相連的路由器，包括DR本身。如圖5-4所示，可以查看接口下的據(jù)圖OSPF信息：圖5-4R1接口下ospf具體信息如圖5-4，顯示R1路由器E0/0接口下的ospf路由信息，輸出的第一行為此端口的狀態(tài)和二層鏈路協(xié)議為up，表示為正常工作。第二行顯示此接口上配置的IP地址為，掩碼是24位的，接口所在的區(qū)域?yàn)閛spf區(qū)域0。路由器的進(jìn)程ID為110，路由ID為4，ospf網(wǎng)絡(luò)類型是BROADCST，使用OSPF組播功能，在此網(wǎng)絡(luò)類型下，將選擇指定路由器和備用指定路由器，要讓某個(gè)接口上的路由器成為鄰居，所有路由器的網(wǎng)絡(luò)類型都應(yīng)該匹配。Cost開銷是一個(gè)OSPF的度量，在上圖中，開銷為10。傳輸延遲是指通過鏈路進(jìn)行鏈路狀態(tài)通告泛洪之前OSPF所等待的時(shí)間，傳輸延遲為1秒是個(gè)默認(rèn)值。此接口的狀態(tài)是DR，優(yōu)先級為1。顯示出了此接口連接的網(wǎng)絡(luò)的DR的ID是4，接口地址為4，BDR的ID是，接口地址為。另外還有還可以知道發(fā)送hello數(shù)據(jù)包的時(shí)間間隔為10秒，死亡時(shí)間為40秒，等待時(shí)間為40秒等等。5.3IP地址與VLAN劃分企業(yè)局域網(wǎng)普遍采用TCP/IP協(xié)議，因此在中小企業(yè)網(wǎng)絡(luò)的規(guī)劃中是非常重要的。一個(gè)好的IP地址規(guī)劃方案不但可以減少網(wǎng)絡(luò)的負(fù)載，還可以為以后網(wǎng)絡(luò)的擴(kuò)充打下良好的基礎(chǔ)。IP地址規(guī)劃應(yīng)該考慮以下幾點(diǎn)：唯一性——在一個(gè)網(wǎng)絡(luò)中是不能夠有兩臺主機(jī)用同一個(gè)IP地址的。連續(xù)性——可以在同一網(wǎng)絡(luò)中使用連續(xù)的IP地址，這樣可以匯總路由，減少路由表的數(shù)據(jù)，路由表可以加快處理。可擴(kuò)充性——在同一網(wǎng)絡(luò)中劃分地址時(shí)應(yīng)該有冗余，這樣在企業(yè)擴(kuò)展時(shí)，可以增加主機(jī)數(shù)量。安全性——企業(yè)按照部門劃分網(wǎng)段，不用的部門使用不同的網(wǎng)段。如表5-1所示，為網(wǎng)絡(luò)中的VLAN劃分情況：表5-1vlan劃分VLANIP地址子網(wǎng)掩碼備注Vlan10PC1Vlan20PC2Vlan30PC3Vlan40PC4/PC5Vlan50PC6VLAN60PC7/PC8Vlan100服務(wù)器群企業(yè)網(wǎng)絡(luò)中一共劃分了七個(gè)vlan，分別是財(cái)務(wù)部vlan10，總經(jīng)辦vlan20，人事部vlan30，行政部vlan40，市場部vlan50，技術(shù)部vlan60,還有服務(wù)器區(qū)是vlan100。他們的IP地址段分別是、、、、、、，子網(wǎng)掩碼都是。這些都是網(wǎng)段，具體的終端地址由DHCP自動(dòng)分配。如表5-2所示，是路由器、交換機(jī)等各個(gè)設(shè)備端口的IP地址劃分情況：表5-2IP地址劃分路由器端口IP地址子網(wǎng)掩碼R1Lo0455E0/04E0/4E0/4R2E0/0E0/154InternetLo00055E0/0E0/1FirewallLo055E0/0E0/1HX-SW-1Lo055E1/HX-SW-2Lo0355E1/R1的環(huán)回IP地址為4，E0/0端口的IP地址為4，E0/1端口的IP地址為4，E0/2端口的IP地址為4,。路由器R2的E0/0端口的IP地址為，E0/1端口的IP地址為54,。ISP的環(huán)回地址為00，E0/0端口的IP地址，E0/1端口的IP地址為.firewall的環(huán)回地址為，E0/0端口的地址為，E0/1端口的地址，交換機(jī)HX-SW-1的環(huán)回地址為，E1/1端口的地址，交換機(jī)HX-SW-2的環(huán)回地址3，E1/1端口的地址。如表5-3所示，是服務(wù)器IP地址的劃分情況：表5-3服務(wù)器IP地址劃分服務(wù)器端口IP地址子網(wǎng)掩碼FTPE0/0WEBE0/0EmailE0/0由于服務(wù)器是不需要移動(dòng)的，所以為了方便訪問，配置成了靜態(tài)的IP地址，服務(wù)器群的網(wǎng)段是，F(xiàn)TP服務(wù)器E0/0端口的IP地址為，WEB服務(wù)器E0/0端口的IP地址為，Email服務(wù)器的E0/0端口的IP地址為。

6網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)與配置6.1DHCP協(xié)議與配置DHCP通常被應(yīng)用在大型局域網(wǎng)環(huán)境中，主要作用是集中的管理、分配IP地址，使網(wǎng)絡(luò)環(huán)境中的主機(jī)動(dòng)態(tài)的獲取IP地址、Gateway地址、DNS服務(wù)器地址等信息，并能夠提升地址的還用率。DHCP可有效減少網(wǎng)絡(luò)管理員手動(dòng)設(shè)置IP地址的負(fù)擔(dān)，避免手動(dòng)設(shè)置重復(fù)IP地址引發(fā)的沖突，滿足了主機(jī)位置變化的需求，可很好地解決主機(jī)數(shù)量超出可分配IP地址數(shù)量的問題[7]。ipdhcppool10//配置DHCP地址池名稱為10network//配置地址池的子網(wǎng)號子網(wǎng)掩碼為default-router54//配置IP地址網(wǎng)關(guān)為54dns-server//配置DNS地址為!ipdhcppool20//配置DHCP地址池名稱為20network//配置地址池的子網(wǎng)號子網(wǎng)掩碼為default-router54//配置IP地址網(wǎng)關(guān)為192.168。20.254dns-server//配置DNS地址為!ipdhcppool30//配置DHCP地址池名稱為30network//配置地址池的子網(wǎng)號子網(wǎng)掩碼為default-router54//配置IP地址網(wǎng)關(guān)為54dns-server//配置DNS地址為6.2TRUNK技術(shù)與配置TRUNK是一種從一點(diǎn)到另一點(diǎn)鏈路的封裝技術(shù)。鏈路的兩端可以是交換機(jī)，也可以是路由器。TRUNK是增加交換機(jī)和網(wǎng)絡(luò)設(shè)備之間帶寬的一種經(jīng)濟(jì)方法。其基本功能就是將多個(gè)物理端口成一個(gè)邏輯通道，使其工作時(shí)像個(gè)完整的通道。將多個(gè)物理鏈路綁在一起，不僅可以提升其帶寬，其數(shù)據(jù)可以通過多個(gè)被綁定的物理鏈路傳輸，具有鏈路冗余作用[8]。TRUNK可以實(shí)時(shí)平衡各個(gè)交換機(jī)端口和服務(wù)器接口的數(shù)據(jù)流量。如果某個(gè)端口出現(xiàn)故障，它將自動(dòng)從TRUNK組中取消該故障端口，然后從每個(gè)TRUNK端口中刪除該端口，重新部署每個(gè)TRUNK端口的流量。在核心交換HX-SW-1上配置端口：//配置鏈路聚合port-channel//配置鏈路聚合port-channel1//配置TRUNK封裝為dot1q//配置接口模式為TRUNK//在接口G0/0下//配置端口中級鏈路封裝協(xié)議為802.11q//配置端口為TRUNK模式在匯聚層HJ-SW-1上配置端口：//在接口E//在接口E0/0下//配置端口中級鏈路封裝協(xié)議為802.11q//配置端口為TRUNK模式在接入層交換機(jī)JR-SW-A-1上配置端口：interfaceEthernet0/0//在接口E0/0下switchporttrunkencapsulationdot1q//配置端口中級鏈路封裝協(xié)議為802.11qswitchportmodetrunk//配置端口為TRUNK模式duplexauto6.3STP技術(shù)與配置在交換網(wǎng)絡(luò)中，當(dāng)交換機(jī)接收到目的地址未知的數(shù)據(jù)幀時(shí)，交換機(jī)的操作就是廣播該數(shù)據(jù)幀。這樣，如果有物理交換網(wǎng)絡(luò)，就會(huì)出現(xiàn)雙向廣播鏈路，甚至廣播風(fēng)暴，導(dǎo)致交換機(jī)癱瘓。STP協(xié)議就是判斷網(wǎng)絡(luò)中是否存在環(huán)路的地方，并通過阻斷冗余鏈路來實(shí)現(xiàn)無環(huán)網(wǎng)絡(luò)。STP協(xié)議通過STA算法，在邏輯上阻塞一些端口，來生成一個(gè)邏輯上的樹形結(jié)構(gòu)，STA會(huì)在冗余鏈路中選擇一個(gè)參考點(diǎn)，將選擇要到達(dá)的單條路徑，同時(shí)阻斷其他冗余路徑，一旦已選路徑失效，將啟用其他路徑[9]。spanning-treemodepvst//配置生成樹模式spanning-treeextendsystem-idspanning-treevlan10,20,30,40priority0//配置STP生成樹優(yōu)先級的數(shù)字越小等級越高6.4VLAN技術(shù)與配置虛擬局域網(wǎng)VLAN，是一種實(shí)現(xiàn)虛擬網(wǎng)絡(luò)工作組的網(wǎng)絡(luò)交換技術(shù)，該技術(shù)是通過網(wǎng)絡(luò)設(shè)備上將網(wǎng)絡(luò)劃分成不同的網(wǎng)段。劃分成不同的VLAN后，相互之間的通信需要配置相應(yīng)的路由轉(zhuǎn)發(fā)才可以；同一VLAN中的用戶通信不需要路由的支持，可直接通過交換機(jī)完成通信，在此情形下，VLAN內(nèi)部的廣播和單播流量不會(huì)被轉(zhuǎn)發(fā)到其他的不同VLAN網(wǎng)絡(luò)組中，可避免網(wǎng)絡(luò)風(fēng)暴的擴(kuò)散。這可在一定程度上節(jié)省網(wǎng)絡(luò)帶寬，提高網(wǎng)絡(luò)性能，同時(shí)又能夠達(dá)到降低購買設(shè)備的成本，簡化網(wǎng)絡(luò)，提高網(wǎng)絡(luò)的安全性[10]。在HX-SW-1交換機(jī)上的配置：6.5HSRP技術(shù)與配置路由熱備份技術(shù)的基本原理是由多臺路由器組成一個(gè)備份路由器組,將備份組內(nèi)的所有路由器抽象成一臺虛擬路由器,其地址為配置的虛擬地址,地址為指定的虛擬地址[11]。在這個(gè)組內(nèi)，實(shí)際上只有一臺路由器的狀態(tài)是active的在工作，其他路由器處于standby狀態(tài)，只有這臺活躍狀態(tài)的路由器down掉后，其他處于備份狀態(tài)的路由器會(huì)重新選取一臺路由器成為活躍狀態(tài)來接替上一臺路由器的工作，這個(gè)時(shí)間段很短，用戶幾乎不會(huì)感受到它們狀態(tài)的切換，這樣就可以保證網(wǎng)絡(luò)的不中斷，不會(huì)給公司帶來很大的影響。在本次項(xiàng)目中，我們把核心的兩臺交換機(jī)配置HSRP，但是如果只有一臺設(shè)備工作的話，流量太大，會(huì)導(dǎo)致網(wǎng)絡(luò)性能的下降，因此我們可以做負(fù)載，路由可以分成兩部分，分別在兩臺路由器上處于活躍狀態(tài)，另外的處于備份狀態(tài)，也就是vlan10、vlan20、vlan30、vlan40在第一臺交換機(jī)上處于活躍狀態(tài)，vlan50、vlan60、vlan100處于備份狀態(tài)，第二臺交換機(jī)配置則相反，在這樣設(shè)計(jì)不僅提高網(wǎng)絡(luò)的運(yùn)作能力，而且將設(shè)備利用最大化。interfaceVlan10//在虛接口VLAN10下ipaddress52//配置IP地址ipaccess-group111outstandby10ip54//分配端口所屬HSRP組號為10配置虛擬網(wǎng)關(guān)standby10priority101//設(shè)置端口組內(nèi)優(yōu)先級為101standby10preempt//配置HSRP的搶占權(quán)，優(yōu)先級高的為活躍路由6.6VPN技術(shù)與配置VPN技術(shù)就是一種遠(yuǎn)程技術(shù)，讓外地出差的辦公人員可以通過連接VPN服務(wù)器進(jìn)入公司內(nèi)網(wǎng)來獲取自己想要的信息，vpn是通過公網(wǎng)來建立的，要保證訪問的安全性，要進(jìn)行數(shù)據(jù)加密等措施。Vpn技術(shù)有不同的類型，隧道技術(shù)、密鑰管理技術(shù)、加密技術(shù)、身份認(rèn)證識別技術(shù)等多種多樣的，在如今網(wǎng)絡(luò)的時(shí)代，每種技術(shù)都有不同的應(yīng)用場景，都起到了重大的作用。IPSECvpn是指采用ipsec協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)，是由IETF定義的安全標(biāo)準(zhǔn)框架，在公網(wǎng)上為兩個(gè)私有網(wǎng)絡(luò)提供安全通信通道,通過加密通道保證連接的安全——在兩個(gè)公共網(wǎng)關(guān)間提供私密數(shù)據(jù)封包服務(wù)。在IPSECVPN技術(shù)背景下，建立了多種類型的子系統(tǒng)：第一是ESP協(xié)議系統(tǒng)，該系統(tǒng)在各行業(yè)領(lǐng)域中得到了非常廣泛的應(yīng)用，具有極大的優(yōu)勢和保密功能；第二是終端到終端系統(tǒng)，該系統(tǒng)輔助處理了數(shù)據(jù)信息在傳輸過程中容易發(fā)生關(guān)鍵性錯(cuò)誤這一情況，顯著增強(qiáng)了系統(tǒng)在日常運(yùn)轉(zhuǎn)中的穩(wěn)定程度與安全程度[12]。R2路由器上的配置：cryptoisakmpkeyccieaddress//配置密鑰cryptoipsectransform-setipsec123esp-3desesp-md5-hmacmodetunnel//使用安全協(xié)議ESP，用3DES來加密，用MD5-hmac來確保數(shù)據(jù)的完整性，使用隧道模式來封裝cryptomapipsec45610ipsec-isakmp//建立加密映射setpeer//IPSECSA對端是settransform-setipsec123//參數(shù)轉(zhuǎn)換名稱是IPSEC123matchaddress101//定義要穿越的流量R2路由器的接口的配置：interfaceEthernet0/0//在接口E0/0下ipaddressipnatoutsideipvirtual-reassemblyincryptomapipsec456//加密映射到該接口上interfaceEthernet0/1//在接口E0/1下ipaddress54ipnatinsideipvirtual-reassemblyincryptomapipsec456//加密映射到該接口上6.7NAT技術(shù)與配置NAT即網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議。它的實(shí)質(zhì)是網(wǎng)絡(luò)層將一個(gè)數(shù)據(jù)包的IP地址映射成為其他IP地址的過程。在現(xiàn)有的IPv4網(wǎng)絡(luò)結(jié)構(gòu)中，網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)實(shí)現(xiàn)了雙向訪問，就是在公網(wǎng)上可以訪問到私網(wǎng)地址，在私網(wǎng)上也可在地址映射后訪問公網(wǎng)。利用NAT技術(shù)，可以實(shí)現(xiàn)私有IP地址到公有IP地址的一對一或多對一的映射，有效解決全球IPV4地址即將枯竭的問題[13]。Firewall上的NAT配置：ipnatinsidesourcelist100interfaceEthernet0/1overload//配置NAT內(nèi)部地址的映射iproute//配置一條靜態(tài)路由access-list100denyip5555access-list100permitipanyanyaccess-list101permitip5555//為內(nèi)部網(wǎng)絡(luò)定義一個(gè)IP訪問控制列表interfaceEthernet0/1//在E0/0接口下descriptionnameifoutsideipaddressipnatoutside//定義該接口連接外部網(wǎng)絡(luò)ipvirtual-reassemblyincryptomapipsec4566.8ACL技術(shù)與配置ACL（AccessControlLists）訪問控制列表技術(shù)，又稱為軟件防火墻技術(shù)，是一種路由器的配置腳本，也是包過濾技術(shù)典型代表[14]。訪問控制列表的工作體系是通過查看經(jīng)過自己的數(shù)據(jù)包的報(bào)文頭部的信息來決定是否允許數(shù)據(jù)包的通過。通過在諸如路由器和三層網(wǎng)絡(luò)物理設(shè)備上實(shí)施訪問控制列表的網(wǎng)絡(luò)安全軟件加固策略，可以實(shí)現(xiàn)流經(jīng)路由器和三層交換機(jī)的數(shù)據(jù)包進(jìn)行過濾，從而達(dá)到網(wǎng)絡(luò)安全控制的目的，單訪問控制列表對路由器本身產(chǎn)生的數(shù)據(jù)包不起作用[15]。Extendedaccess-list11110denyicmp5555echo20denyicmp5555echo30denyicmp5555echo40denyicmp5555echo50denyicmp5555echo60permitipanyany通過配置ACL命令來阻止訪問vlan10和vlan20的PC，通過反掩碼絕對匹配一個(gè)源地址和目的地址來拒絕ping命令。但是ACL會(huì)拒絕掉通過的所有數(shù)據(jù)流量，為了防止有需要的流量被拒絕掉，加一條允許所有流量通過的命令。

7網(wǎng)絡(luò)拓?fù)涔δ軠y試測試目的：本設(shè)計(jì)是針對中小企業(yè)辦公室網(wǎng)絡(luò)的規(guī)劃與實(shí)現(xiàn)，對實(shí)現(xiàn)的功能進(jìn)行了配置，通過測試來查看功能是否可以實(shí)現(xiàn)，是否有存在的問題。對DHCP分配地址、VLAN間互通、STP生成樹、財(cái)務(wù)部與總經(jīng)辦單向訪問、NAT實(shí)現(xiàn)、VPN連通性、冗余備份、服務(wù)器連通性這些方面做了測試。7.1DHCP分配地址測試如圖7-1所示，為PC地址自動(dòng)獲取圖：圖7-1PC0地址自動(dòng)獲取首先隨意打開一個(gè)終端PC0上輸入ipdhcp命令打開它的dhcp功能，然后輸入showip命令可以看到自動(dòng)獲取到的ip地址是，網(wǎng)關(guān)為54。如圖7-2所示，為交換機(jī)HX-SW-1的地址分配情況：圖7-2地址分配的情況然后在核心交換機(jī)HX-SW-1上輸入命令showipdhcpbinding可以看到目前設(shè)備情況下地址的分配情況，如圖7-2可以看到剛剛我們獲取到的地址地址已被分配。7.2VLAN間互通測試舉例測試vlan30與vlan40之間互通：圖7-3PC4對PC3ping測試首先先獲取PC3和PC4的地址，可以看到它們獲取的地址分別是和，然后PC4對PC3進(jìn)行ping操作，如圖7-3所示可以看到順利ping通了，說明vlan40中的PC對vlan30中的PC是通的。圖7-4PC3對PC4ping測試PC3對PC4進(jìn)行ping操作，如圖7-4所示，可以看到也是通的，說明vlan30與vlan40之間是互通的。7.3STP生成樹測試如圖7-5所示，可以查看生成樹狀態(tài)：圖7-5查看生成樹的信息在交換機(jī)上HJ-SW-1輸入命令showspanning-tree，可以看到端口E0/3為根端口，狀態(tài)為轉(zhuǎn)發(fā)狀態(tài)，E0/2位替換端口，狀態(tài)為阻塞狀態(tài)。說明VLAN10選擇了E0/3端口。E0/3連接的是核心交換機(jī)HX-SW-1，當(dāng)我們把這個(gè)交換機(jī)斷電后再查看VLAN10的生成樹狀態(tài)。圖7-6查看端口狀態(tài)可以看到端口E0/2從阻塞狀態(tài)變?yōu)檗D(zhuǎn)發(fā)狀態(tài)，替換端口也變?yōu)楦丝凇Ｕf明在交換機(jī)HX-SW-1斷電的情況下，會(huì)自動(dòng)選擇替換端口來轉(zhuǎn)發(fā)數(shù)據(jù)。7.4財(cái)務(wù)部與總經(jīng)辦單向訪問測試舉例測試PC0和PC2能ping通PC3，但是PC3ping不通PC0和PC2：首先PC0和PC2對PC3進(jìn)行ping通測試，如圖7-7、7-8所示：圖7-7PC0對PC3的ping通測試圖7-8PC2對PC3的ping通測試可以看到是ping通的，說明財(cái)務(wù)部和總經(jīng)辦是可以訪問PC3的。然后PC3對PC0和PC2進(jìn)行ping通測試，如圖7-9所示：圖7-9PC3對PC0和PC2的ping通我們可以看到圖中信息是不通的（type=3，表示目標(biāo)不可到達(dá)），說明財(cái)務(wù)部與總經(jīng)辦單向訪問時(shí)成功的。7.5NAT實(shí)現(xiàn)測試首先在PC3上對公網(wǎng)00進(jìn)行ping通測試。如圖7-10：圖7-10PC3對公網(wǎng)的ping通顯示成功ping通，說明NAT配置成功。如圖7-11所示，可以查看地址轉(zhuǎn)換情況：圖7-11地址轉(zhuǎn)換查看PC3成功ping通后，有了流量經(jīng)過，在firewall設(shè)備上可以查看地址轉(zhuǎn)換信息，輸入命令showipnattranslations，可以看到PC3的ip地址成功轉(zhuǎn)換為公網(wǎng)地址00。7.6VPN連通性測試如圖7-12，查看對等體之間構(gòu)建的IPSECSA：圖7-12對等體之間構(gòu)建的IPSECSA在R2路由器上輸入命令showcryptoipsecsa如圖7-12可以查看加密隧道在和之間建立，用于網(wǎng)絡(luò)和之間的流量。如圖7-13所示，為對等體之間internet連接：圖7-13對等體之間internet連接在路由器R2上輸入命令showcryptoisakmpsa可以看到對等體之間構(gòu)建的internet安全連接和密鑰管理協(xié)議，狀態(tài)應(yīng)始終為QM_IDLE。如果狀態(tài)是MM_KEY_EXCH，則表示配置的預(yù)共享密鑰不正確，或?qū)Φ润w的IP地址不相同。如圖7-14，為PC9對PC3的ping通情況：圖7-14PC9對PC3的ping通在VPN內(nèi)的測試機(jī)PC9上進(jìn)行對內(nèi)網(wǎng)PC3的ping通，可以看到ping通了，說明VPN配置成功。7.7冗余備份測試如圖7-15、7-16所示，在交換機(jī)HX-SW-1和HX-SW-2的狀態(tài)查看：圖7-15查看HX-SW-1狀態(tài)圖7-16查看HX-SW-2狀態(tài)在兩臺核心交換