网络工程设计论文参考

广东海洋大学寸金学院网络工程论文（设计）论文题目：彬彬有礼企业网络工程设计与仿真DesignandSimulationofnetworkengineeringonbinbinyouliEnterprises系别：信息技术系专业：计算机科学与技术年级：姓名：学号：指导老师：日期：广东海洋大学寸金学院教务处制目录摘要IAbstractII第1章项目概述11.1项目背景11.2项目分析1第2章需求分析22.1背景分析22.2业务需求分析22.3流量分析32.4主要功能需求分析42.5广域网接入需求52.6安全性需求52.7环境需求分析5第3章网络规划与设计63.1逻辑结构设计与地址分配63.1.1网络技术选型63.1.2网络拓扑结构63.1.3服务子网设计93.1.4IP网设计103.1.5广域网设计113.2网络安全设计123.3物理设计与设备选型12第4章网络设计仿真与测试164.1仿真条件164.2仿真、测试及故障排除174.2.1子网划分和VLAN相结合的仿真实现与测试174.2.2VPN的仿真实现与测试184.2.3IP网的仿真实现（VoIPnetwork）214.2.4E-mail服务的仿真实现214.2.5其他的仿真实现244.3仿真结论24第五章总结25参考文献26致谢27摘要企业内部网（Intranet）是国际互连网（Internet）的延伸和发展，由于利用了Internet的先进技术，使Intranet得以迅速发展。Intranet在网络组织和管理上更胜一筹，它有效地避免了Internet所固有的可靠性差、无整体设计、网络结构不清晰以及缺乏统一管理和维护等缺点，使企业内部的秘密或敏感信息受到网络防火墙的安全保护。本文以中小型企业的网络工程需求作为切入点，研究企业网络管理状况以及需求特点，结合现今先进的网络技术进行详细的网络规划与升级，最后通过CiscoPacketTracer模拟仿真验证方案的可行性。关键词：企业网络；网络工程；网络技术；模拟第1章项目概述1.1项目背景今天，迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。市场的全球化竞争已成为趋势。21世纪的中国也正在向市场多元化、全球化的方向发展，对于国内的中小型企业，在调整发展战略时，必须考虑到市场的开拓：不仅仅要面向国内，还要面向世界。而这一切都将以信息化平台为基础。借助计算机网络原理及网络规划技术，在网络上为企业赢得更多的优势。企业内部网（Intranet）是国际互连网（Internet）的延伸和发展，正是由于利用了Internet的先进技术，特别是TCP/IP协议，保留了Internet允许不同计算平台互通及易于上网的特性，使Intranet得以迅速发展。但Intranet在网络组织和管理上更胜一筹，它有效地避免了Internet所固有的可靠性差、无整体设计、网络结构不清晰以及缺乏统一管理和维护等缺点，使企业内部的秘密或敏感信息受到网络防火墙的安全保护。1.2项目分析Intranet虽然发展迅速，但由于企业情况各有差异，不同的企业需要的网络方案各有不同，因此各企业必须从企业局域网的概念及相关计算机网络技术入手，详细地设计，得出适合本企业企业网建设的实施方案及建设规划。为此还要对企业的组网需求进行分析，比较各种组网技术，从实用角度论述局域网主干网选择，综合布线，各种设备的选型，网络安全，网络管理等方面。另外网络要具有一定的扩展性，当企业发展到一定规模，企业网络也要适应之变化。这时，为了加快企业内部的信息流通，企业需要将总部和各分部的网络连接起来。因此，得出本项目的中小企业对网络的需求是：接入Internet；在整个企业范围内、各部门间，实现信息快速交流、办公自动化；通过认证技术，增强企业网络的安全性；网络的设计与规划、资源共享、WWW服务等技术实施。第2章需求分析2.1背景分析东莞彬彬有礼服装是一家中小型专门从事服装加工、销售的企业。业务范围主要代理国内外几家著名的服装品牌，根据用户的样板进行服装的制作、改装与设计，分别在全国几个大城市派驻有办事机构。随着业务规模的发展，传统的办公模式存在办公效果低下，资源浪费，经费居高不下的问题。公司领导决定在企业内部推行网络办公自动化系统，提高公司整体办公效率，压缩办公经费，并最终提高公司的效益。网络自动化办公系统初期投资费用较高，包括网络系统建设，软件开发、维护和运行，但是正常运行后，维护和升级费用可以控制在较低水平，保障20年内的投资效益稳步增长。同时，为了追求更多的利润，企业在公司成立设计部；打算在保留加工服装的基础上自主设计服装品牌。2.2业务需求分析东莞彬彬有礼服装有销售部、办公室、人事部、车间、财务部等部门，每个部门约20人；另外因为合作需要，经常有合作伙伴关系的外派机构驻外地；企业东区共计6个部门，接入节点80个。现企业西区开发需要，新增设计部，预计未来5年内，设计部人员将达到40人，总体员工人数将在200人左右，企业网络总节点达到100个。为了适应企业规模的发展，企业决定升级公司网络，以获得更高的工作效率。企业原有一套C/S财务管理系统，在部分部门连接有简单的10base-T对等网，并且已基本实现办公自动化，为了保护已有的投资，公司希望能尽可能保留可用的设备和软件，并在将来有选择的实施EC(B2B)、CRM等。公司目前的园区网应用包括文件共享、打印共享服务和财务管理等，未来将实施Intranet应用，主要面向OA，需要新增WEB服务、E-mail服务等，还需要采购专门的OA办公软件，添置防火墙等安全设施。公司广域网包括将本地园区网接入Internet，以及对外地办事处提供远程接入，可以考虑的方案有多种，如DDN专线、ISDN、XDSL等公司未来20年内业务增长规模主要在设计部门，需要引进更多的人才，但是估计不会超过两倍的增长。OA系统应该提供的功能包括信息公告、BBS讨论组、电子邮件群发、日程管理、文件交换、短信服务、资源管理、会议管理、考勤管理、办公物品管理、人事管理和通讯簿等服务，未来还要视频向视频会议和多媒体业务发展。2.3流量分析综合考虑公司的各项业务需求，给出如表2-1所表示的流量分析表（流量估计标准为基本要求）表2-1基本流量分析表部门（区域）流量（M/S)节点数利用率（%）总流量(M/s)总经理办公室15603秘书处110606人事部151005财务部15603销售部120408外派机构151005车间1603018设计部1408032电教25606根据流量分析：（1）企业财务部原网络带宽已基本够用，但是考虑到企业发展比较迅速，决定适当的扩展网络规模，增添无线网络区域。（2）企业新成立设计部，未来的节点将成倍增长。考虑到设计部对于资料的查找，信息、数据的交流方面比较频繁；办公空间布局要求可变性，因此采取无线网络全面覆盖兼有部分有线接口的组网形式。利用无线组网布线简单、移动性强、组网灵活、易扩展性、成本低等优势，组建西区高速、便捷的无线网络。（3）公司需要4台内网服务器和一台网管工作站，访问web服务器和财务数据库服务器是公司网络的主要流量。网络流量符合80/20规律，绝大部分流量需要在核心层交换，因此将服务器直接接入核心交换机。为了便于集中管理，管理工作站也放置在核心层，直接接入核心交换机的100Mb/s端口。2.4主要功能需求分析功能需求1：企业内部网络管理、保持相对独立，企业各部门能相互通信。简要分析：通过VLAN管理各子网，设置访问权限；并实现不同VLAN之间的通信，三层交换机与路由器间的通信。功能需求2：公司规模要求增长和发展，要求向外界宣传企业文化和介绍产品信息，与客户交流，拓展合作等简要分析：公司建设外部综合服务器，可以向外提供WEB、E-mail等服务，并逐渐开发客户关系管理系统，更好的管理公司与外界的关系。功能需求3：规范网络管理，增强企业网络的安全性，要求能实现有效的集中控制接入上网。简要分析：通过构建PPPoE环境，对用户集中认证（这里没有实现计费）。功能需求4：外派机构不能随便访问内部服务器，但是必须经常反馈当地用户的信息，包括对产品的改进建议，当地人的消费习惯等。内部服务器对于外网用户，只有通过认证才能访问。简要分析：外派人员可以通过VPN等技术反馈当地的信息到服务器，并获得服务器的数据、技术支持和指导。功能需求5：公司原来已有网络，为了更及时可靠的实时性、确定性通信；同时，又能大大地减少通信成本，公司打算启用IP、等业务。简要分析：可以在规划和设计网络时，设计语音虚拟通道，或用综合数据网等用分离器分离计算机通信和通信。功能需求6：公司打算成立电教室，提供员工远程继续教育和有线电视广播信息收听或点播视频。简要分析：随着三网合一越来越紧密，可以用cablemodem连接电视网和计算机网络。功能需求7：为了更方便、更安全实现与外界的联系和内部的沟通，公司计划组建企业电子油箱服务。简要分析：可以在综合服务器上实现E-mail服务。功能需求8：为了财务服务器数据的安全，财务服务器只允许公司领导访问，其他的外网和内部用户均不能访问。简要分析：通过隔离与逻辑分段，加上访问控制等技术，实现公司内网其他用户不能访问财务数据服务器。2.5广域网接入需求总部使用带宽接入Internet，带宽10Mb/s，可以考虑使用xDSL、以态网接入等方案。各个远程连接节点都申请2Mb/s以内的带宽方案接入Internet,可以申请ISDN,xDSL等建议使用ADSL.为了保证远程连接的安全性，广域网技术还要在介入设备上能支持VPN技术，构建虚拟专用网。移动办公用户也通过VPN接入总部Intranet。2.6安全性需求内部网络使用VLAN分段，隔离广播域，防止网络窃听和非授权的跨网段访问。使用放火墙分割内部网和外部网，不准外部用户访问内部web服务器、财务数据库服务器和OA服务器等，内部网都必须经过代理服务器转发数据包。远程接入用户使用VPN方式访问总部网络，并且限制远程用户可以访问主机范围。2.7环境需求分析公司分总部和办事处两大块，几个办事处分布在全国若干个大城市。总部只有一栋办公楼，共４层，楼层净高３.５m，其他环境状况依据大楼建筑结构图确定。第3章网络规划与设计3.1逻辑结构设计与地址分配网络技术选型吉比特以太网是最新的高速局域网技术，他的特点表现如下：（1）经济、实用且具有较高的性能比（2）吉毕业以太网获得广泛的支持（3）兼容性好（4）QOS服务（802.1q,802.1p)（5）升级性能灵活方便网络拓扑结构.1指导思想采用树型结构和分层设计思想。核心设备及主干网络技术采用1000base-T技术，汇聚层设备及网络技术采用100base-T技术，接入层采用10base-T技术；当然一些地方只采用两层结构，及接入层和汇聚层合二为一。1、核心层处理高速数据流，其主要任务是数据包的交换网络核心层的主要工作是交换数据包，核心层的设计注意两点：（1）不要在核心层执行网络策略：所谓策略就是一些设备支持的标准或系统管理员定制的规划。（2）核心层的所有设备应具有充分的可到达性。核心交换机上采用设备冗余和线路冗余，把两个核心交换机连接起来，通过端口聚合技术、均衡负载和生成树协议解决网络冗余出现的一些问题。这里为了提高对服务器群的访问量，两交换机通过两对吉比特以太网端口连接，如图3-1所示，做端口聚合技术实现如下：图3-1主干线端口聚合Switch>enableSwitch#configtSwitch(config)#intport-channel1Switch(config-if)#switchportmodetrunk`Switch(config-if)#exitSwitch(config)#intrangeg0/1-2Switch(config-if-range)#channel-group1modeonSwitch(config-if-range)#2、汇聚层负责网段的逻辑分割，聚合路由路径，收敛数据流量；汇聚层将大量低速的链接（与接入层设备的链接）通过少量宽带的连接接入核心层，以实现通信量的收敛，提高网络中聚合点的效率。同时减少核心层设备路由路径的数量。总之，汇聚层的主要设计目标包括：eq\o\ac(○,1)隔离拓扑结构的变化；eq\o\ac(○,2)通过路由聚合控制路由表的大小；eq\o\ac(○,3)收敛网络流量。3、接入层将流量馈入网络，执行网络访问控制，并且提供相关边缘服务。接入层的设计目标包括：（1）将流量馈入网络：为确保将接入层流量馈入网络，要做到：①接入层路由器所接收的链接数不要超出其与汇聚层之间允许的链接数；②如果不是转发到局域网外主机的流量，就不要通过接入层的设备进行转发；③不要将接入层设备作为两个汇聚层路由器之间的连接点，即不要将一个接入层路由器同时连接两个汇聚层路由器。（2）控制访问：由于接入层是用户进入网络的入口，所以也是黑客入侵的门户。接入层通常用包过滤策略提供基本的安全性，保护局域网段免受网络内外的攻击。.2虚拟局域网划分VLAN（VirtualLocalAreaNetwork）的中文名为“虚拟局域网”。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。VLAN的优点：（1）限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。（2）增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信。如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。（3）节约成本。（4）可以减少网络上不必要的流量并提高性能。（5）为网络管理带来了方便。（6）能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，降低网络管理的费用。子网划分和VLAN相结合的方式，进行IP地址规划，如表3-1所示：表3-1VLAN划分表部门工作组VLAN号网络或子网络网关综合服务器总经理办公室zjlVlan1秘书处mscVlan2销售部xsbVlan3人事部rsbVlan493财务部cwbVlan5网管室wgsVlan6车间cjVlan7设计部sjbVlan8192.168．8.0电教室djsVlan9机房jfVlan1054.3地址分配方案IP地址总体规划见表3-1所示。某些部门进行了子网划分和vlan相结合的办法，用私有IP统一规划和管理，便于管理和减少故障修复时间；企业外部服务器要求外网用户经常访问，所以要租用一个公用IP，并用静态NAT映射方法，实现内部私有IP与公有Ip的转换。网关(Gateway)又称网间连接器、协议转换器。网关在网络层以上实现网络互连，是最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连，也可以用于局域网互连。网关是一种充当转换重任的计算机系统或设备。在使用不同的通信协议、数据格式或语言，甚至体系结构完全不同的两种系统之间，网关是一个翻译器。与网桥只是简单地传达信息不同，网关对收到的信息要重新打包，以适应目的系统的需求。本设计的网关默认已连接给网络的路由器对应连接接口上的IP为网关，比如企业外部综合服务器/24的网关是与其连接的路由器上Fa0/0接口的IP54/24。当然也有一些特殊的网关，在交换器上，特别是在二层交换机上，因为接口不能设计IP地址，所以一般在对应虚拟局域网上设置管理IP，同时充当该VLAN的网关，即SVI接口。本设计SVI接口不少，特别是总经理办公室、秘书处、销售部和人事部，它们结合了子网划分和vlan的方式，下面是销售部SVI接口的设置。Switch(config)#intvlan3Switch(config-if)#noshutdownSwitch(config-if)#exit网关信息的设置可以是手工，也可以是DHCP，DCHP方式有可以用路由器上直接设置地址池和用服务器来设置。下面是在路由器上设置销售部的DHCP，其他部门的DCHP设置类似，就不再累赘讲述。Switch(config)#ipdhcppoolvlan3服务子网设计服务子网设计选择集中式设计和分布式设计相结合的方法。财务数据库服务器相对于公司业务非常重要，存放在财务部由管理员专人看管，大大降低了被盗的可能性和数据的安全。外部综合服务器经常要被局域网内的所有用户和外部网络所有用户访问，服务业务包括WWW服务，电子邮件服务和DCHP服务器等，因属于任何一个部门或网段，所以应该作为公共服务设备放置在机房。其他的服务器，比如OA服务器、FTP服务器等集中存在公共机房，集中管理，减少管理成本。IP网设计随着互联网日渐普及，以及跨境通讯数量大幅飙升，IP亦被应用在长途业务上。由于世界各主要大城市的通信公司竞争加剧，以及各国电信相关法令松绑，IP也开始应用于固网通信，其低通话成本、低建设成本、易扩充性及日渐优良化的通话质量等主要特点，被目前国际电信企业看成是传统电信业务的有力竞争者。为了进一步加强与外界的联系和内部的方便及通信通话成本的减低，公司决定组建和使用IP网，IP是一种通过互联网或其他使用IP技术的网络，来实现新型的通讯。IP网构建在计算机网络上，要在核心交换机上设置语音业务，并在对于接口上设置语音通道。如下是在路由器上实现IP服务：设置IPIP地址池ipdhcppoolits//设置IPIP地址池设置服务器telephony-servicemax-ephones4max-dn3ipsource-addressport2000autoassign1to10在核心交换机上对应的接口上应该设置语音专用通道，比如在交换机上fa0/0接口上设置语音通道如下：Switch(config)#interfacefa0/0Switch(config-if)#switchportvoicevlan13.1.5广域网设计1、ADSL10Mb/s接入Internet随着Internet的爆炸式发展，在Internet上的商业应用和多媒体等服务也得以迅猛推广。各种各样的宽带技术进行企业网络接入领域，相对于传统的E1和T1线路，这些带宽接入都具有无法比拟的优势，如带宽高、费用低。其中ADSL很具有前景及竞争力的一种，可以作为中小型公司接入的首选。本公司结合自身的业务特点制定了使用ADSL接入Internet的方案。首先向当地电信局申请20M/sADSL业务，并购买了1个公开网络地址.用于外部企业综合服务器用静态绑定，用到NAT静态映射技术。其他的内部服务器没有公有IP，除财务处为了安全起见和车间不需要连接Internet外，其他的部门都需要连接Internet，这里为了节省费用，就用共享IP和带宽上网，利用访问控制列表和端口复用动态地址转换实现，即ACL+NAT方式。介绍如下：设置NAT外接口Router(config)#ints0/0/0Router(config-if)#ipnatoutside//设置NAT外接口Router(config-if)#exit设置NAT内接口Router(config)#intfa0/1Router(config-if)#ipnatinsideRouter(config-if)#exit做访问控制列表，即ACL，这里对财务处（网段/24）和车间（网段/24）没有假如ACL，结合后续的操作设置，这两个网段不能访问Internet。Router(config)#access-list1permit.255Router(config)#access-list1permit.255Router(config)#access-list1permit.255Router(config)#access-list1permit.255Router(config)#access-list1permit.255Router(config)#access-list1permit.255Router(config)#access-list1permit.255Router(config)#access-list1permit.255做端口复用地址转换Router(config)#ipnatinsidesourcelist1interfaces0/0/0overload2、远程接入ADSL2Mb/s+VPN远程接入依然申请ADSL连接，但带宽选择4M/s就够用了，为了保证安全性，应该使用支持VPN连接的终端设备。这里在后面实现部分重点介绍，故这里不再累赘。3.2网络安全设计网络安全设计包括以下几个方面：Vlan设计为局域网内部提供了最大的安全性。各个vlan网段或子网的主机被限定在本网络内部可以自由访问，跨虚拟网段或子网段的访问必须通过核心交换机路由，符合访问控制规则集的数据包才会被转发。而访问规则集由管理员根据安全需求信息制定，任何他人无权获悉，管理员拥有保守公司秘密的权利和义务。使用公共子网隔离内部网络和外部网络，将公共综合服务器放在公共子网，在内部与外部网络之间提供防火墙，只允许远程办事处的外部通过VPN拨号认证，通过防火墙进入访问。公共综合服务器通过静态映射，把静态IP和公共IP映射绑定，减低服务器的被黑客攻击的风险。另外，购买专用的防火墙，部署在网络入网和出口关键位置，保护全企业网络，对网络使用进行跟踪和管理。3.3物理设计与设备选型1、交换机选型（1）汇聚或接入层交换机（CISCOWS-C2960S-48LPS-L）WS-C2960S-48LPS-L作为二层交换机，支持VLAN；支持多种协议；还可以进行堆叠，具体如表3-2所示。因为两个交换机足以满足东区网络80个节点的接入，不需要进行设备的更换。表3-2WS-C2960S-48LPS-L参数产品名称：CISCOWS-C2960S-48LPS-L产品类型：千兆以太网交换机应用层级：二层传输速率：10/100/1000Mbps端口数量：50个背板带宽：88GbpsVLA：最大VLAN数：255包转发率：65.5Mpps网络标准：IEEE802.1D，端口结构：非模块化交换方式：存储-转发产品内存：内存DRAM：128MBQOS：跨堆叠QoS802.1p（2）核心层交换机（WS-C3560X-48T-S）WS-C3560X-48T-S作为三层交换机，160Gbps的背板带宽，包转发率达101.2Mpps，高吞吐量和丰富的端口，基本可以满足企业发展需求，暂不需要进行设备的更换。具体参数如表3-3所示：表3-3WS-C3560X-48T-S参数产品名称：CISCOWS-C3560X-48T-S产品类型：千兆以太网交换机应用层级：三层传输速率：10/100/1000Mbps端口数量：48个背板带宽：160GbpsVLAN：VLAN总数1005VLAN包转发率：101.2MppsMAC地址表：4K网络标准：IEEE802.1s，IEEE端口结构：非模块化2、路由器选型（1）路由器（CISCO2811）CISCO2921/K9作为路由器，最高传输速率达到1000Mbps；支持IPv4、IPv6、静态路由、OSPF、EIGRP、BGP等多种协议；模块化的端口也为以后的扩展打好了基础。既可以充当边缘路由器，也可以充当PPPoE_Server路由器，满足网络升级需求，因此不需要进行更换设备。具体参数如表3-4所示：表3-4CISCO2921/K9参数产品名称：CISCO2811端口结构：模块化广域网接口：3个传输速率：10/100/1000Mbps防火墙：内置防火墙网络协议：IPv4，IPv6，静态路···Qos支持：支持VPN支持：支持产品内存：DRAM内存：512MB，其它端口：2个外部USB2.0闪存扩展模块：1个服务模块插槽数+（2）无线路由器（LINKSYSWRT300N）LINKSYSWRT300N作为无线路由器，最高传输速率达到270Mbps，满足网络设计流量预计的160Mbps，价格适中，有1个10/100BaseTWAN接口、4个10/100BaseTLAN接口，适合西区网络发展的要求。具体参数如表3-5所示：表3-5LINKSYSWRT300N参数产品名称：LINKSYSWRT300N最高传输速率：270Mbps无线安全：256位加密技术的先进的无线安全性,64/128/256位WEP及WPA网络标准：IEEE802.11n、IEEE802.11g、IEEE802.11b网络管理：SNMP、WEB网络协议：TCP/IP、IPX/SPX、NetBEUI产品认证：FCC、CE、IC-03网络接口：1个10/100BaseTWAN接口、4个10/100BaseTLAN接口产品尺寸：188×40×176mm产品重量：0.527kg3、防火墙选型防火墙就用包过滤防火墙加ACL，结合个人防火墙软件实现安全策略，故这里没有专门的防火墙。4、设备清单本企业按需求分析和相应的网络设计，所需要的主要设备汇总，清单如表3-6所示：表3-6设备清单表产品名称型号单价数量CiscoSwitch2960-24TTWS-C2960S-48LPS-L167008CiscoSwitch3560-24PSWS-C3560X-48T-S214002CiscoRouter29212921/K9113002IBMServerIBMSystemx3650M4(7915I51）260005LINKSYSWRT300NLINKSYSWRT300N15501第4章网络设计仿真与测试4.1仿真条件1.硬件环境：计算机1台。2.软件环境：windows2000/xp/win7操作系统，已安装ciscopackettracer6.0（模拟路由器2811系列3台，三层交换机2台，二层交换机若干，服务器8台，笔记本和PDA无线接收终端若干，直通线和配置线若干根。）3.网络拓扑：如图4-1所示。图4-1网络拓扑总图4.IP地址配置如下：IP地址主要以.2IP地址规划为基础，具体如下：总经理办公司：PC自动获取IP，网段为/26，网关：，域名服务器：。（与下实现一致，故图4-1没有模拟出）秘书处：PC自动获取IP，网段为4/26，网关：5，域名服务器：。销售部：PC自动获取IP，网段为28/26，网关：29，域名服务器：。人事部：PC自动获取IP，网段为92/26，网关：93，域名服务器：。财务处：财务管理系统服务器IP：/24,其他PC机自动获取IP：网段为/24，网关：54，域名服务器：。网管室：/24,网关：54，DNS：。设计部：PC或移动3G自动获取IP，网段为/24，网关：54，域名服务器：。电教室：PC或移动3G自动获取IP，网段为/24，网关：54，域名服务器：。机房：tftp服务器ip为54/24，OA服务器ip为53/24，DHCP服务器ip为52/24，网关均为，DNS服务器均为。因为实现技术和空间限制，其他的部门没有模拟。4.2仿真、测试及故障排除子网划分和VLAN相结合的仿真实现与测试1、Vlan2相结合子网实现（1）在核心层交换机上添加VLAN2。（2）在对应的秘书处汇集层与核心交换机的连接接口上，接口设置为accessvlan2模式。（3）设置VLAN2管理IPRouter(config)#interfacevlan2Router(config-vlan)#Router(config-vlan)#noshutdown（4）设置VLAN2的DHCP地址池Router(config)#ipdhcppoolvlan2Router(dhcp-config)#Router(dhcp-config)#Router(dhcp-config)#（5）把两个核心交换机连接接口G0/1、G0/2和核心交换机与公司总网关（北京总部）相连接的接口FA0/24，均设置为TRUNK模式，即主干线，以保证不同的虚拟局域网的数据包可疑通过。2、测试打开秘书处网段的任意一台PC机，桌面-IP地址配置，IP地址自动获取，查看是否能成功自动获取IP，若能测试是否ping通网关，等其他网络配置好了，测试是否ping通全网。其他的VLAN或VLAN与子网结合的实现与上面基本相似，不再累赘。4.2.2VPN的仿真实现与测试1.路由器的配置（1）总部路由器：Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress54Router(config-if)#noshutdownRouter(config-if)#exitRouter(config)#interfaceFastEthernet0/1Router(config-if)ipaddressRouter(config-if)noshutdownRouter(config-if)exitRouter(config)#iproute.0（2）ISP路由器：Router(config)interfaceFastEthernet0/1Router(config-if)ipaddressRouter(config-if)noshutdownRouter(config)#interfaceFastEthernet0/0Router(config-if)ipaddressRouter(config-if)noshutdownRouter(config)#interfaceEthernet1/0Router(config-if)ipaddressRouter(config-if)noshutdown（3）广州路由器的配置：Router(config)interfaceFastEthernet0/1Router(config-if)ipaddressRouter(config-if)ipnatoutsideRouter(config-if)noshutdownRouter(config)interfaceFastEthernet0/0Router(config-ifRouter(config-if)ipnatinsideRouter(config-if)shutdownRouter(config)access-list1permit.255Router(config)ipnatinsidesourcelist1interfaceFastEthernet0/1overloadRouter(config)iproute.02.测试：此时，远端的笔记本能上网，比如用IP或域名访问WWW服务器，但不能访问总部内的Web服务器。3.总部做EasyVPN的配置，其配置如下:Router(config)aaanew-model/*开启AAA认证*/Router(config)aaaauthenticationloginezalocal/*设置登陆验证命名为eza，对eza认证*/Router(config)aaaauthorizationnetworkezolocal/*命名ezo，对ezo的事件授权*/Router(config)usernamecrzpasswordcisco/*创建用户名密码）Router(config)cryptoisakmppolicy10/*Ipsec阶段一的安全参数配置*/Router(config-isakmp)#hashmd5Router(config-isakmp)#authenticationpre-shareRouter(config-isakmp)group2/*VPN接入后所分配的地址*/Router(config)cryptoisakmpclientconfigurationgroupmycr/*VPN的组和密码配置*/Router(config-isakmp-group)#keyciscoRouter(config-isakmp-group)#poolezRouter(config-isakmp-group)#cryptoipsectransform-settimesp-3desesp-md5-hmac（IPSec阶段二的配置）Router(config)cryptodynamic-mapezmap10/*动态加密图*/Router(config-crypto-map)#settransform-settimRouter(config-crypto-map)#reverse-route/*反向路由注入*/（以下是对EasyVPN的认证，授权配置，list是调用上面的AAA的配置名*/Router(config)#cryptomapmymapclientauthenticationlistezaRouter(config)#cryptomapmymapisakmpauthorizationlistezoRouter(config)#cryptomapmymapclientconfigurationaddressrespondRouter(config)#cryptomapmymap10ipsec-isakmpdynamicezmap/*最后，动态加密图必须有静态绑定*/Router(config)interfaceFastEthernet0/1Router(config-if)cryptomapmymap/*绑定到接口*/4.VPN的测试首先，双击笔记本，打开图，选择Desktop，再下面选择commandPormpt，ping一下总部的公网地址，可以ping通，通了后再ping内部服务器，此时是ping不通的，因为没有EasyVPN接入。其次，依然选择Desktop下的VPN，依次输入信息如下图4-2所示。组名