企业局域网的设计方案毕业设计

PAGEPAGE33（（企业局域网的设计方案）计算机网络技术计算机工程系本人郑重声明：所呈交的毕业设计文本和成果，是本人在指导老师的指导下，独立进行研究所取得的成果。成果不存在知识产权争议，本毕业设计不含任何其他个人或集体已经发表过的作品和成果。本人完全意识到本声明的法律结果由本人承担。毕业设计者签名：摘要本设计方案是关于小型企业局域网的设计，设计方案分为三个模块：交换模块、Internet接入模块、远程访问模块。根据各部门职能不同把交换模块划分为不同的VLAN，从而减少了广播冲突提高了传输效率，通过部署ACL限制用户的访问，有效地保护敏感数据，提高了网络安全性。借助三层交换机的路由功能，可以实现各VLAN间数据包高速转发，解决VLAN之间的传输瓶颈。Internet接入模块功能主要通过路由器来实现，它的作用主要是建立外网和企业网的正常通信。使企业网的用户访问Internet同时Internet用户能在一定程度上访问企业网。通过配置NAT(NetAddressTranslation)，不仅是企业网用户可以访问Internet，而且对外隐藏企业网内部地址，从而实现地址保护。远程访问模块是针对移动用户设计的。通过VPN（VirtualPrivateNetwork）技术可以在公共网络的两个端点间建立一条逻辑连接，使在外办公人员可以通过Internet访问公司内部网，极大地提高了办公效率，同时免去了高昂的专线租用费用。关键字：企业局域网、虚拟局域网、网络地址转换AbstractAbstractThisdesignproposalisaboutthedesignofsmallbusinesslocalareanetwork,whichisdividedintothreemodules:switchingmodule,Internetaccessmodule,remoteaccessmodule.AccordingtothefunctionsofdifferentdepartmentsdivideswitchingmoduleintodifferentVLAN,thusreducingthebroadcastconflictandimprovingtransmissionefficiency,throughthedeploymentofACLlimituser'saccesstoasub-network,Protectthesensitivedataeffectiveandimprovenetworksecurity.WiththeroutingfunctionofLayer3Switchrouting,eachVLANcanbeachievedthehigh-speedpacketforwarding,solvingthetransmissionbottleneck.Internetaccessmodulefunctionsprimarilyachievedthroughtherouter,whichfunctionismainlytheroleofnetworksandenterprisenetworksoutsidethenormalcommunicationwithinthegateway.ThenenterprisenetworkuserscanaccessInternetwhileInternetuserscanaccessthecorporatenetworktosomeextent.ByconfiguringNAT(NetAddressTranslation),notonlytheenterprisenetworkuserscanaccesstheInternet,butalsoachievedtheprotectionofaddressbyhidingtheinternalcorporatenetworkaddress.RemoteAccessModuleisdesignedformobileusers.ItcouldestablishalogicalconnectioninthetwoendpointsofpublicnetworksthroughtheVPN(VirtualPrivateNetwork)technology,sothatstaffcanaccessthecorporatenetworkovertheInternet,greatlyimprovedtheofficeefficiencywhileeliminatingthehighcostofleasedline.Keywords:EnterpriseLAN,VLAN,NAT目录目录TOC\o"1-3"摘要 IAbstract II目录 III第一章引言 11.1课题的背景 11.2国内外企业局域网建设现状 11.3企业局域网建设的目标与意义 2第二章可行性研究和需求分析 42.1技术可行性 42.1.1NAT技术 42.1.2VLAN技术 52.1.3三层交换技术 52.1.4ACL技术 52.2需求分析 62.2.1带宽性能需求 62.2.2网络安全需求 62.2.3应用服务需求 6第三章系统设计方案 83.1系统设计原则 83.1.1实用性 83.1.2安全性 83.1.3可扩充性 83.1.4可管理性 83.1.5高性能价格比 93.2网络设备选型 93.3系统总体设计和拓扑结构 93.3.1系统总体设计方案 103.3.2VLAN划分和IP地址规划 12第四章交换模块 144.1核心层交换机配置 144.1.1设置核心交换机名称 144.1.2启动三层交换机的路由功能 144.1.3核心交换机接口设置 144.1.4创建服务器群VLAN7 154.1.5配置静态路由 154.1.6默认路由配置 164.2汇聚层交换机配置 164.2.1设置交换机名称 164.2.2配置G0/1接口 174.2.3创建VLAN10-40 174.2.4为各VLAN分配IP地址 174.2.5将端口划入各个VLAN中 184.2.6启动3560交换机路由功能 184.2.7默认路由设置 194.3DHCP设置 194.3.1配置3560为DHCP服务器 204.3.2配置客户端自动获取IP 21第五章Internet接入模块 225.1路由器基本参数配置 235.2设置路由器R-2811-A各接口参数 245.2.1路由器F0/0接口配置 255.2.2路由器F0/1接口配置 255.2.3验证路由器接口IP配置 255.3NAT设置 265.3.1设置路由器NAT 275.3.2定义内部外接口 275.3.3配置路由器的路由功能 285.3.4验证地址转换 295.4路由器的安全问题 295.4.1对外禁用telnet协议 305.4.2对外禁用snmp、snmptrap 305.4.3对外屏蔽其他不安全的协议或服务 305.4.4针对DoS攻击的设计 31总结 39参考文献 40致谢 41第一章引言引言课题的背景随着近年来企业信息化建设的不断深入，企业的运作越来越融入计算机网络，企业的沟通、应用、财务、决策、会议等数据流都在企业网络上传输，全球的企业都在快速的进入一个崭新的网络信息时代，企业信息化建设已经成为衡量一个企业实力的重要标志。通过信息化提高企业的竞争力已成为大多数企业的共识。在现在企业中，普遍存在资金不足、信息基础薄弱、技术人员匮乏等特点，使得他们不能有效地将自身传统业务与信息系统很好的结合起来，以至于常常会出现投入不见效的情况。究其原因，在于企业信息化观念不够，信息系统没有总体设计原则，信息化建设缺乏规划，致使企业协同运作存在障碍，运营成本居高不下。作为企业的局域网，它不仅可以为企业提供高效的办公环境，还可以实现硬件资源和软件资源的共享从而节省了企业大量开支，又便于集中管理和提高工作效率。其次企业局域网要实现内部网络与外部网络的连接，从而极大的方便了企业和外界的沟通，这样不仅可以降低企业的生产成本，也可以实现异地办公。企业用户可以方便地传输各类数据，开展各类网络应用。随着我国计算机网络技术尤其是Internet技术的高速发展，加快对企业局域网建设迫在眉睫。因此构建一个“安全可靠、性能卓越、管理方便”的企业局域网，已经成为企业信息化建设成功的关键基石。本课题的设计需要综合运用各种知识来完成本课题，不仅可以使我进一步掌握计算机网络原理、熟悉企业局域网的设计搭建，而且可以增强了我的自学能力和动手能力。国内外企业局域网建设现状目前，计算机网络被广泛应用于个人、工商业、教育业、各级政府、各种军事单位等多种场合，社会各部门都可以通过网络实现信息快捷可靠的无缝连接和共享，计算机网络已遍及社会的每个领域，成为当今社会的一个基本元素。国外欧美的发达国家的企业在局域网建设走的比较早，随着网络技术的不断进步以及通信产品技术的不断完善，现在欧美发达国家企业局域网建设完全达到了办公自动化，而且宽带大，速度快，超过一半以上的企业拥有自己的网站，成为对外联络的主要窗口，企业内部网络安全等级较高。国内企业局域网建设近年来有了长足的发展，但和欧美发达国家的企业局域网相比还有着明显的不足主要体现在：1、低水平重复建设且成本高昂：各部门拥有相对独立的信息系统，资源分散于各部门之中，容易形成信息孤岛。2、管理信息和反馈信息不能迅速传递：随着企业的发展，数据信息流不断增加，对于各部门管理提出了快速响应的要求。随着计算机网络技术的飞速发展，与社会生活关系最紧密的局域网也得到越来越广泛的应用——事实上，局域网已是目前应用最广泛的一类网络。局域网拥有组建灵活、功能强大、维护便捷等优点，也正因为这样，局域网才成为计算机网络领域的明星，受到越来越多用户的欢迎；也正是因为局域网的出现，使计算机网络的威力获得了更充分的发挥，使得计算机网络在很短的时间内就深入到社会的各个领域。同时，局域网技术也因而成为目前最为活跃的技术领域之一，各类局域网层出不穷并得到了广泛的应用，极大地推进了整个社会的信息化发展。企业局域网建设的目标与意义企业信息化建设是国际信息化的基础和重要组成部分，是提高企业办事效率，提高企业综合素质，是企业不断迈上新的台阶，成为一流企业的有效措施。企业局域网的建设的目标是为全企业人员提供一个信息交流和合作平台，在需要连接Internet时，以充分利用因特网上的资源，实现对外（企业与企业，企业与社会）的信息发布、交流与合作，对于企业的发展具有积极的社会意义与经济效益：1、扩大企业在社会上的影响力，提高其知名度，为外界了解企业文化提供一个简单、便捷的窗口。2、在整个企业内部提供一个良好的信息传递通道，企业内部的政策、资源、通知可以在全企业进行迅速传递。3、实现企业的办公自动化，有效地降低了办公地成本。4、企业的各级领导得以最快、最有效的方式对企业内部运作过程中的各种信息进行有效了解并采取有效措施，同时得到全面的决策支持。5、企业内部人员可以方便安全的访问外部因特网。6、流行、先进、合适的应用软件开发技术和办公自动化系统，构造具体的应用环境。第二章可行性研究和需求分析可行性研究和需求分析技术可行性NAT技术NAT技术主要实现内部网络地址转换，静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址，这样方便外网用户访问企业Web网；动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换（PAT）是把内部地址映射到外部网络的一个IP地址的不同端口上，把企业内部网IP转换为公网IP地址，使内部用户可以方便的访问Internet。目前，NAT技术主要用于连接和安全方面。目前企业内部网络用户数量大，而能申请的合法的全球唯一IP地址有限。NAT能够有效的解决企业IP地址短缺问题，利用NAT技术能够实现多个用户共同使用一个合法的IP地址连接互联网。而另一种需要出于安全方面来考虑，在一定程度上防范网络攻击的发生。企业期望隐藏LAN内部网络结构，NAT可以将内部LAN与外部Internet隔离，使外部网络用户无法了解通过NAT设置的内部IP地址。NAT技术在企业中都采取两种技术类型结合应用，比较好的还是和端口复用地址转换。结合起来的技术如：端口复用地址转换、TCP/UDP端口NAT映射、静态地址转换+端口复用地址转换、动态地址转换+端口复用地址转换。我们知道，不同应用程序使用TCP/UDP端口是不同的，例如，WEB服务器使用80、FTP服务使用21、SMTP服务使用25、POP3服务使用110等。由于每种应用服务器都有自己默认的端口，所以这种NAT方式下，网络内部每种应用服务器成为Internet中的主机，例如，只能有一台WEB服务器、一台E-mail服务、一台FTP服务器。尽管可以采用改变默认端口的方式创建多台应用服务器，但这种服务器在访问时比较困难，要求用户必须先了解某种服务采用的新TCP端口。因此，可以将不同的TCP端口绑定至不同的内部IP地址，从而只使用一个IP地址，即可在允许内部所有服务器被Internet访问的同时，实现内部所有主机对Internet的访问。VLAN技术根据各部门职能不同把各部门划入不同的VLAN减少了广播，提高了通信效率。VLAN(VirtualLocalAreaNetwork)就是虚拟局域网的意思。VLAN可以不考虑用户的物理位置，而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组，每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同一个VLAN中的成员都共享广播，形成一个广播域，而不同VLAN之间广播信息是相互隔离的。这样，将整个网络分割成多个不同的广播域(VLAN)。一般来说，如果一个VLAN里面的工作站发送一个广播，那么这个VLAN里面所有的工作站都接收到这个广播，但是交换机不会将广播发送至其他VLAN上的任何一个端口。如果要将广播发送到其它的VLAN端口，就要用到三层交换机。三层交换技术三层交换（也称多层交换技术，或IP交换技术）是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSI网络标准模型中的第二层——数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说，三层交换技术就是：二层交换技术＋三层转发技术。

三层交换技术的出现，解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络传输瓶颈问题。ACL技术控制访问列表（AccessControlList，ACL）:ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。例如：某部门要求只能使用WWW这个功能，就可以通过ACL实现；又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。需求分析带宽性能需求现代企业网络应具有更高的带宽，更强大的性能，以满足用户日益增长的通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台，不仅要继续承载企业的办公自动化，Web浏览等简单的数据业务，还要承载设计企业生产运营的各种业务应用系统数据，以及带宽和要求很高的IP电话、视频会议等多媒体业务。因此，数据流量将大大增加，尤其对核心网络的数据交换能力提出了更高的要求。另外，随着千兆位端口成本的持续下降，千兆位到桌面的应用会在不久的将来成为企业网主流。构建一个畅通无阻的“高品质”企业局域网，才能适应网络规模的扩大，业务量的日益增长的需求。网络安全需求现代企业网需要提供更加完善的网络安全解决方案，以阻止病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，这样才能保证企业网络的稳定运行。应用服务需求现代企业网络应具备更加智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需求。当前的网络已经发展成为“以应用为中心”的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统网络设备的智能已经不能有效支持网络管理需求的发展。所以现代企业网络迫切需要网络设备支撑“以应用为中心”的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。第三章系统设计方案系统设计方案系统设计原则实用性应当从实际情况出发，使之达到使用方便且能发挥效益的目的。采用成熟的技术和产品来建设该系统。要能将新系统与已有的系统兼容，保持资源的连续性和可用性。系统是安全的，可靠的。使用相当方便，不需要太多的培训即可容易的使用和维护。安全性采用各种有效的安全措施，保证网络系统和应用系统安全运行。安全包括4个层面：网络安全，操作系统安全，数据库安全，应用系统安全。由于Internet的开放性，世界各地的Internet用户也可访问企业网络，企业网络将采用防火墙、数据加密等技术防止非法侵入、防止窃听和篡改数据、路由信息的安全保护来保证安全。同时要建立系统和数据库的磁带备份系统。可扩充性采用符合国际和国内工业标准的协议和接口，从而使企业网络具有良好的开放性，实现与其他网络和信息资源的容易互联互通。并可以在网络的不同层次上增加节点和子网。一般包括开放标准、技术、结构、系统组件和用户接口等原则。在实用的基础上必须采用先进的成熟的技术，选购具有先进水平的计算机网络系统和设备。由于计算机技术的飞速发展和计算机网络技术的日新月异，网络系统扩充能力的大小已变得非常重要，因此考虑网络系统的可扩充性是相当重要的。可管理性设计网络时充分考虑网络日后的管理和维护工作，并选用易于操作和维护的网络操作系统，大大减轻网络运营时的管理和维护负担。采用智能化网络管理，最大程度地降低网络的运行成本和维护。高性能价格比结合日益进步的科技新技术和校园的具体情况，制定合乎经济效益的解决方案，在满足需求的基础上，充分保障学校的经济效益。坚持经济性原则，力争用最少的钱办更多的事，以获得最大的经济效益系统总体设计和拓扑结构对于一个企业局域网，通常在设计上将它组织为核心层、汇聚层、接入层分别考虑。接入层节点直接连接用户计算机，它通常是一个部门或者一个楼层的交换机；汇聚层交换机的每个节点可以连接多个接入层节点，它通常是一个建筑物内部连接多个楼层交换机或者部门交换机的总交换机；核心层交换机节点连接多个汇聚层交换机，通常是企业中连接多个建筑物的总交换机的核心网络设备。1、核心层核心层的功能主要是实现骨干网络之间的优化传输，复杂整个网络的网内数据交换。网络的功能控制最好尽量在骨干层上实施，核心层设计任务的重点是冗余能力、可靠性和高速传输。核心层一直被认为流量的最终承受着和汇聚者，所以要求核心交换机拥有较高的可靠性和性能。2、汇聚层汇聚层主要负责连接接入层节点和核心层，汇聚分散的接入点，扩大核心设备的端口密度和种类，汇聚各区域数据流量，实现骨干网络之间的优化传输。汇聚层交换机还负责本区域的数据交换，汇聚层交换机一般与中心交换机同类型，仍需较高的性能和较丰富功能。3、接入层接入层交换机作为二层交换网络设备，提供功能工作站等设备的网络接入。接入层在整个网络中接入交换机的数据最多，具有即插即用的特性。对于此类交换机要求，一是价格合理；二是可管理性号，易于使用维护；三是稳定性要好。系统总体设计方案本企业局域网设计方案进行了适当和必要的简化，重点放在网络主干的设计与路由器交换机的配置上，同时还有VLAN的设计划分，而对于各类服务器的搭建只进行简单描述。图3-1为企业局域网总体拓扑结构图图3-1企业局域网总体拓扑结构本方案采用典型的三层网络拓扑结构：接入层、汇聚层、核心层。在上面的拓扑结构图中，企业主要有1号办公楼、2号办公楼、生产车间、职工公寓四个接入点通过千兆光纤链路接入到网络信息中心的核心交换机上。核心交换接通过连接Cisco路由器接入到外部因特网。VLAN划分和IP地址规划在一个企业中VLAN的划分必不可少，VLAN将广播域限制在单个VLAN内部，减少了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。在本设计方案中，根据各部门职能的不同把公司各部门划分到不同的VLAN，然后再为服务器群单独划分一个VLAN。表3-1VLAN划分和IP地址规划设备名称VLANID网络地址默认网关描述S-3560-A7/24/24服务器群S-3560-B10/24/24财务部20/24/24人力部30/24/24信息部40/24/24总经办 S-3560-C50/24/24采购部60/24/24业务部70/24/24研发部80/24/24管理部S-3560-D90/24/24制造部100/24/24品管部S-3560-E110/24/241号公寓120/24/242号公寓表3-2设备端口IP地址分配设备名称接口IP地址R-2811-AF0/0F0/1S-3560-AG0/1G0/25G0/26G0/27G0/28S-3560-BG0/1S-3560-CG0/1S-3560-DG0/1S-3560-EG0/1第四章交换模块交换模块核心层交换机配置设置核心交换机名称设置交换机的名称，也就是出现在路由器CLI提示符中的名字,本设计中命名规则如下：类型-型号-编号。以下命令设置核心交换机的名字为S-3560-A。Switch>enSwitch#configtSwitch(config)#hostnameS-3560-A启动三层交换机的路由功能三层交换机具有路由功能但默认是未启动的，我们需要先启动路由功能，这样才能为不同VLAN路由数据包，从而实现各VLAN间的相互通信，以下命令是启动路由功能。S-3560-A(config)#iprouting//启动路由功能核心交换机接口设置S-3560-A(config)#intg0/1S-3560-A(config-if)#noswitchport//二层端口转换成路由端口S-3560-A(config-if)#ipadd//为G0/1接口分配IP地址S-3560-A(config-if)#intg0/25//进入g0/25端口S-3560-A(config-if)#noswitchportS-3560-A(config-if)#ipaddS-3560-A(config-if)#intg0/26S-3560-A(config-if)#noswitchportS-3560-A(config-if)#ipaddS-3560-A(config-if)#intg0/27S-3560-A(config-if)#noswitchportS-3560-A(config-if)#ipaddS-3560-A(config-if)#intg0/28S-3560-A(config-if)#noswitchportS-3560-A(config-if)#ipaddS-3560-A(config-if)#exit创建服务器群VLAN7S-3560-A(config)#VLAN7//创建服务器群VLAN7S-3560-A(config-VLAN)#namefwq//为VLAN命名为fwqS-3560-A(config-VLAN)#intVLAN7S-3560-A(config-if)#ipaddress//为VLAN分配IP地址S-3560-A(config-if)#intrangeg0/2-10//将G0/2-G0/10端口加入到VLAN7中S-3560-A(config-if-range)#switchportaccessVLAN7配置静态路由S-3560-A(config)#iproute//VLAN10的数据流向G0/25端口S-3560-A(config)#iprouteS-3560-A(config)#iprouteS-3560-A(config)#iprouteS-3560-A(config)#iproute//VLAN50的数据流向G0/26端口S-3560-A(config)#iprouteS-3560-A(config)#iprouteS-3560-A(config)#iprouteS-3560-A(config)#iproute//VLAN90的数据流向G0/27端口S-3560-A(config)#iprouteS-3560-A(config)#iproute//VLAN110的数据流向G0/28端口S-3560-A(config)#iproute默认路由配置S-3560-A(config)#iproute//未知数据流向路由器F0/1端口汇聚层交换机配置依据楼宇位置不同我们所需四台CiscoCatalyst3560-24TS交换机作为汇聚层交换机，在此我们仅以1号办公楼的汇聚层交换机加以说明，其它楼宇汇聚层交换机设置与此设置类似。设置交换机名称Switch>enSwitch#configt//进入全局配置模式Switch(config)#hostnameS-3560-B//交换机命名为S-3560-B配置G0/1接口S-3560-B(config)#intg0/1//为G0/1分配IP地址S-3560-B(config-if)#noswitchportS-3560-B(config-if)#ipaddS-3560-B(config-if)#exit创建VLAN10-40S-3560-B(config)#VLAN10//创建财务部VLAN10S-3560-B(config-VLAN)#namecwb//VLAN10命名为cwbS-3560-B(config)#VLAN20S-3560-B(config-VLAN)#namerlbS-3560-B(config)#VLAN30S-3560-B(config-VLAN)#namexxbS-3560-B(config)#VLAN40S-3560-B(config-VLAN)#namezjb为各VLAN分配IP地址S-3560-B(config)#intVLAN10//进入VLAN10S-3560-B(config-if)#ipaddress//为各VLAN分配ip地址S-3560-B(config-if)#intVLAN20S-3560-B(config-if)#ipaddressS-3560-B(config-if)#intVLAN30S-3560-B(config-if)#ipaddressS-3560-B(config-if)#intVLAN40S-3560-B(config-if)#ipaddress将端口划入各个VLAN中S-3560-B(config)#intrangef0/1-5//将F0/1-F0/5端口划分到VLAN10S-3560-B(config-if-range)#switchportaccessVLAN10S-3560-B(config-if)#intrangef0/6-10S-3560-B(config-if-range)#switchportaccessVLAN20S-3560-B(config-if)#intrangef0/11-15S-3560-B(config-if-range)#switchportaccessVLAN30S-3560-B(config-if)#intrangef0/16-20S-3560-B(config-if-range)#switchportaccessVLAN40启动3560交换机路由功能S-3560-B(config)#iprouting//启动路由功能实现各VLAN间通信在CiscoPacketTracer上模拟不同VLAN间通信测试结果如图5-1所示。图5-1VLAN间通信测试默认路由设置未知流量通过G0/1接口流向核心交换机S-3560-B(config)#iproute//未知流量流向核心交换机DHCP设置所谓的DHCP，即动态主机配置协议，它是TCP/IP协议簇中的一种，主要作用给网络中其他电脑动态分配IP地址之用。常规的方法来讲，需要专门配置一台服务器来做DHCP服务器，这样无疑又增加了网络耗费。有时在一些网络低层设备中（如路由器、交换机等）里面整合了DHCP服务，我们完全可以利用网络中的这些网络设备是上的DHCP服务来配置我们自己的DHCP服务器，而不需要另外专门配置一台服务器来做DHCP服务，下面以3560交换机为例加以说明：各VLAN保留2-10的IP地址不分配置，例如：的网段，保留至0的IP地址段不分配。配置3560为DHCP服务器S-3560-B(config)#ipdhcppoolvlan10//设置vlan10地址池S-3560-B(dhcp-config)#network//设置可分配的子网S-3560-B(dhcp-config)#default-router//设置默认网关S-3560-B(dhcp-config)#exitS-3560-B(config)#ipdhcppoolvlan20//设置vlan20地址池S-3560-B(dhcp-config)#networkS-3560-B(dhcp-config)#default-routerS-3560-B(dhcp-config)#exitS-3560-B(config)#ipdhcppoolvlan30S-3560-B(dhcp-config)#networkS-3560-B(dhcp-config)#default-routerS-3560-B(dhcp-config)#exitS-3560-B(config)#ipdhcppoolvlan40S-3560-B(dhcp-config)#networkS-3560-B(dhcp-config)#default-routerS-3560-B(dhcp-config)#exit设置保留不分配的地址S-3560-B(config)#ipdhcpexcluded-address0S-3560-B(config)#ipdhcpexcluded-address0S-3560-B(config)#ipdhcpexcluded-address0S-3560-B(config)#ipdhcpexcluded-address0S-3560-B(config)#exitS-3560-B#copyrunstart//保存设置配置客户端自动获取IP打开客户端本地连接，修改Internet协议（TCP/IP）属性，常规选项卡设置自动获取IP地址、自动获取DNS服务器地址。在CiscoPacketTracer模拟客户端获取IP地址情况如图5-2所示。图5-2DHCP客户端自动获取IP地址第五章Internet接入模块Internet接入模块Internet接入模块的功能是通过Internet接入路由器R-2811-A来实现的。采用Cisco2811路由器的F0/0端口接入因特网，起作用就是在Internet与企业网内部实现数据包的路由。除了完成基本的路由任务外，路由器还可以通过控制访问列表实现以自身为中心的流量控制和数据包过滤功能，从而起到安全保护作用。Internet接入模块如图4-1所示。图4-1Internet接入路由器示意图路由器基本参数配置图4-2路由器基本配置1、设置路由器名称设置路由器的名称，也就是出现在路由器CLI提示符中的名字,本设计中命名规则如下：类型-型号-编号。当需要telnet登录到若干台路由器上以维护一个大型网络时，通过交换机名称提示符提示自己当前路由器的位置是很重要的。以下命令将配置路由器名称为R-2811-A。Router>enableRouter#configureterminalRouter(config)#hostnameR-2811-A//设置路由器名称为R-2811-A2、设置路由器加密口令密码当用户在普通模式下进入特权模式时，需要提供此口令。此口令会已MD5的形式加密，因此当用户查看配置文件时，无法看到明文形式的口令配置特权EXEC口令。R-2811-A(config)#enablesecretexec123//设置特权EXEC密码为exec1233、设置telnet虚拟终端口令：R-2811-A(config)#linevty05R-2811-A(config-line)#passwordvty123//设置telnet虚拟终端密码为vty123R-2811-A(config-line)#login4、设置控制台端口密码R-2811-A(config)#lineconsole0R-2811-A(config-line)#passwordconsole123//设置控制台端口密码console1235、设置辅助端口密码R-2811-A(config)#lineaux0R-2811-A(config-line)#passwordaux123//设置辅助端口密码为aux123设置路由器R-2811-A各接口参数对接入路由器R-2811-A的各接口参数的配置主要是对接口F0/0以及接口F0/1的IP地址、子网掩码的配置。如下所示：其中，F0/0的IP地址是ISP提供的。图4-3路由器接口配置路由器F0/0接口配置R-2811-A(config)#intf0/0R-2811-A(config-if)#ipadd//为F0/0端口设置IP地址和子网掩码R-2811-A(config-if)#noshutdown//启动路由接口路由器F0/1接口配置R-2811-A(config)#intf0/1R-2811-A(config-if)#ipadd//为F0/1端口设置IP地址和子网掩码R-2811-A(config-if)#noshutdown//启动接口验证路由器接口IP配置采用showipinterfacebrief命令可以为每个接口显示一条单行的描述，验证路由器接口IP地址配置情况如图4-4所示。图4-4验证路由器接口IP配置NAT设置由于目前IP地址资源非常稀缺，不可能为企业局域网的每一个工作站都分配一个公网IP地址，为了实现企业内部所有计算机可以访问外部Internet的需求，我们可以通过网络地址转换（NAT）技术实现，实现内网对Internet的访问以及外网对企业内部web服务器访问。关于路由器NAT配置如图4-5所示。图4-5路由器NAT设置设置路由器NATR-2811-A(config)#ipnatinsidesourcestatic//静态NAT用于外网对web的访问R-2811-A(config)#ipnatinsidesourcelist1interfacef0/0overload//定义复用Internet接口IP地址（过载overload）R-2811-A(config)#access-list1permit55//定义内部访问列表定义内部外接口R-2811-A(config)#intf0/1R-2811-A(config-if)#ipnatinside//定义F0/1为内部接口R-2811-A(config-if)#exitR-2811-A(config)#intf0/0R-2811-A(config-if)#ipnatoutside//定义F0/0为外部接口配置路由器的路由功能下面命令是到Internet外网上的一条缺省路由。R-2811-A(config)#iproute//企业网内部往外发的该接口是Internet上ISP的路由器接口，它与R-2811-A的F0/0接口在同一子网内。下面命令创建13条静态路由，将对内网的访问路由至端口。R-2811-A(config)#iprouteR-2811-A(config)#iprouteR-2811-A(config)#iprouteR-2811-A(config)#iprouteR-2811-A(config)#iprouteR-2811-A(config)#iprouteR-2811-A(config)#iprouteR-2811-A(config)#iprouteR-2811-A(config)#iprouteR-2811-A(config)#iprouteR-2811-A(config)#iprouteR-2811-A(config)#iprouteR-2811-A(config)#iproute验证地址转换使用showipnattranslations查看路由器上的地址转换情况，在CiscoPacketTracer中我们用财务部和人力部的两台电脑PC1和PC2访问，然后在路由器上输入showipnattranslations查看地址转换情况。地址转换情况如图4-6所示。图4-6地址转换验证路由器的安全问题路由器是外网进入企业网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表（AccessControlList，ACL）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护。对外禁用telnet协议首先，telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。其次，telnet可以登录到大多数网络设备和UNIX服务器，并可以使用相关命令完全操纵它们。这是极其危险的，因此必须加以屏蔽。R-2811-A(config)#access-list100denytcpanyanyeqtelnet//对外屏蔽telnetR-2811