中小型企业网络设计方案

年4月19日中小型企业网络设计方案文档仅供参考，不当之处，请联系改正。广州涉外经济职业技术学院GuangzhouInternationalEconomicsCollege毕业论文（设计）GraduationPaper题目：中小型企业网络设计方案二级学院：信息学院______________专业班级：10计网1班学生姓名：陈春霞_________________学生学号：_____________指导老师：李旭峰_________________完成日期：-5-5_______________来源：.comTOC\o"1-2"\h\u目录12264一.绪论 480781.1.项目背景 4142871.2.企业网络发展现状 437461.3.论文主要工作 627609二.需求分析 7117322.1.网络设计原则 779222.2.网络设计模型 868092.3.网络组成及拓扑结构 97693三.网络详细设计及配置 12179573.1.网络规划 12136843.2.设备选购 26296823.3.交换模块设计 2924723.4.广域网接入模块设计 30127123.5.远程访问模块设计 31102913.6.服务器模块设计 3115136四.系统总结 386172致谢 395011参考文献 40

摘要迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。市场的全球化竞争已成为趋势。对于企业来说，在调整发展战略时，必须考虑到市场的全球竞争战略，而这一切也将以信息化平台为基础，借助计算机网络原理及网络规划技术，以网络通畅为保证。企业内部网（Internet）是国际互联网（Internet）技术在企业内部或封闭的用户群内的应用。Internet是使用Internet技术，特别是TCP/IP协议而建成的企业内部网络。这种技术允许不用计算机平台进行互通，暂不用考虑其位置。也就是所说的用户能够对任何一台进行访问或从任何一台计算机进行访问。本文从企业网络需求开始分析，根据现阶段cisco公司主流网络设备进行选材，规划最适用于目标网络的拓扑结构，建设合理的网络设计方案。本课题实施部分由GNS3模拟器来搭建网络拓扑结构，利用cisco设备操作系用unzip-c2691-advsecurityk9-mz.124-11.T2作为拓扑内所有设备核心IOS，然后用SecureCRT进行路由器交换机的相关配置，并测试其结果最终验证网络的规划与设计符合企业的需求。关键词：企业网络；拓扑结构；服务器；路由器；交换机

中小型企业网络设计方案绪论项目背景中国注册的中小企业数量为将近1000万家，占中国企业总数的99％，其工业产值占全国工业产值的60％左右。因此，中小企业的网络规划和建设不但关系到中小企业自身的生存，还将对中国经济的未来发展产生重大而又深远的影响。企业网指的是具有一定规模的网络系统，它能够是单座建筑的局域网，也能够是覆盖一个园区的园区网，还能够是跨地区的广域网，其覆盖的范围能够是数公里/数百公里甚至更广。企业网是针对企业的特殊需求而构造的高效而又经济的信息传输和失误处理系统，能满足企业高效运作的需求。企业网的建设目标是以信息技术为收短，把分布在不同地点的现有资源迅速结合成一种没有（或几乎没有）时间和空间约束，靠电子手段联系的统一指挥的经营实体，从而达到企业生存和发展的高效性、稳定性和长期性。这样能够支撑企业信息系统的运作，共享各种资源，提高企业办公和集团生产效率，降低企业的总体运行费用。为了适应业务的发展和国际化的需求，积极参与国家信息化进程，提高管理水平，发展全新的形象，公司准备建立一个现代化的机构内部网络，实现信息的共享、协作和通讯，并和属下各个部门互联，并在此基础上开发建设现代化的企业应用系统，实现智能型、信息化、快节奏、高效率的管理模式。企业网络发展现状中国注册的中小企业数量为将近1000万家，占中国企业总数的99％，其工业产值占全国工业产值的60％左右。因此，中小企业的网络规划和建设不但关系到中小企业自身的生存，还将对中国经济的未来发展产生重大而又深远的影响。数据和互联网业务的高速增长推动着企业网络的建设。赛迪顾问调查表明，当前中国企业网络的建设有了新发展。据调查显示，没有建立内部网络的企业中，小企业数量最多。在建立了内部网络的中小企业中，内部网络连网终端数在5-20个的企业占31.8%，连网终端在20-100个的占17.0%，多于100个的仅占5.4%。这说明中国当前的中小企业计算机应用还处于单机应用为主的状况，信息资源的共享程度还不够高。调查还显示，计划建立自己网站的中小企业比例最多，达到42.7%，相比之下，只有37.9%的企业已经建立自己的网站。可见，已建立网站的企业相对比较少，这将限制它们电子商务活动的开展。从以上数据比较可看出，中国中小企业网络建设仍存在巨大的发展潜力，特别是外网和互联网相关应用建设仍滞后。道路相当坎坷从中小企业网络建设的调查来看，不少企业的联网应用仍局限在文件共享等初级阶段，与信息化建设的目标相差甚远。资金投入较大网络建设成本相对企业资金实力较高。除企业规划和建设内部网实现内部资源共享的成本较低外，建设Extranet和开发网站以及电子商务平台费用较高，同时，对网络技术了解不够、网络建设、运营维护和管理将需较大投入。各地区发展不平衡企业上网带有明显的地域性，其活跃程度受地域经济发展水平的影响较大。数据显示，企业上网较活跃的地区主要分布在北京、广东、山东、上海等当前经济比较发达的地区。企业网络之间的角色定位不清许多企业注册域名、建立网站不是为了经过建立信息化平台推进企业电子商务应用，而是出于追赶企业上网潮流，企业网络后期投入不足，导致企业网如同虚设，毫无任何经济效益和战略意义。一个表现就是不重视或不知道如何开发和利用网络资源来为企业提供高水准的服务。另一个表现就是网站信息不丰富，不能深层次地利用网络资源对企业内外部的各种资源进行全方位整合。企业网络建设缺乏长远战略规划企业网络建设从内部资源共享到资源整合再到电子商务，需有一个长远的发展目标和规划。一个表现就是应用水平不高，经营观念没有适应互联网发展，没有真正的面向网络经济的流程管理。需要整套方案为中小企业提供企业网络规划和建设方案时，系统集成商常常不能提供整套的应用解决方案。企业不但需要网络平台，更需要平台上能够为企业带来实际效益的业务流程和模式。由于缺乏对企业应用和流程的了解，系统集成商很难为企业提供主动式解决方案。论文主要工作企业内部联网实现互联互通、办公自动化、信息化，有利于数据交换、资源共享、打印共享；同时联接Internet，能够一线上网，极大的降低互联网的接入费用，内部监控信息在网络、互联网上任一节点的实时浏览。联网之后，使用系统内置的专业软件，能够实现内部电话、传达内部文本、图形通知、传递文件。在内部电话之外，开辟了一条多媒体、大容量的传输途径。使用QQ、E话通等软件与外部沟通，能够实时传递影像、图文、大文件等，具有极强效能优势。需求分析网络设计原则将计算机网络系统集成为一体化的综合信息网络；系统符合用户当前和长远的通信要求；系统遵循国际国内标准；系统采用国际标准（EIA/TIA568A标准）建议的分层星形拓朴结构；系统要立足开放原则，既支持集中式网络又支持分布式网络系统,如CLIENT/SERVER；系统的信息出口采用标准的RJ45插座，以支持大型文档、话音、数据、图像等的传输；系统支持各种不同类型、不同厂商的计算机和网络产品；系统应符合综合业务数字网络ISDN的要求，以便于与国际、国内其它网络互联；系统支持楼宇控制、保安监控系统等。实用性和经济性：系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设企业的网络系统。先进性和成熟性：系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内企业网络仍占领先地位。可靠性和稳定性:在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。安全性和保密性:在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制。可扩展性和易维护性：为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低了人力资源的费用，提高网络的易用性。网络设计模型上面是一个分级网络设计模型图，一个分级的网络设计包括以下3层：a

核心层——提供最优的区间传输b汇聚层——提供基于策略的连接c

接入层——为多业务应用和其它的网络应用提供用户到网络的接入下面介绍各层的功能核心层的功能核心层是一个高速的交换式骨干。她的设计目标是使得交换分组所耗费的时间演示最小。同开放最短路径优先协议（OSPF）中的区域0一样，核心（Core）和骨干（backbone）是同义词。园区网的这一层不应该对数据包/帧进行任何的处理，比如处理访问列表和进行过滤，因为这会降低包交换的速度。当前常见的做法是在核心层完全采用第3层交换环境，这就意味着VLAN和VLANtrunks不会出现在核心层中。这也意味着在核心层中生成树环路一般也能够避免。核心层的主要功能是在园区网的各个汇聚层设备之间提供高速的连接。汇聚层的功能

在园区网中，汇聚层是核心层和接入层之间的分界点。它能帮助定义和区分核心层。汇聚层的功能是对网络的边界进行定义。对数据包/帧的处理应该在这一层完成。在园区网络环境中，汇聚层能够包含下列一些功能：a地址或区域的汇聚；b将部门或工作组的访问连接到骨干；c

广播/组播域的定义；d

VLAN间（Inter-VLAN）路由选择；e介质转换；f

安全策略。在非园区网环境中，汇聚层负责处理路由选择域之间的信息重分配，而且一般是静态和动态路由选择协议之间的分界点。汇聚层也能够是远程站点访问企业网络的接入点。能够将汇聚层汇总为提供基于策略连接的层。数据包的处理、过滤、路由总结、路由过滤、路由重新分配、VLAN间路由选择、策略路由和安全策略是汇聚层的一些主要功能。接入层等功能接入层是本地终端用户被许可接入网络的点。该层同样可能使用访问列表或者过滤器来满足一组特定用户的需要，比如满足那些经常参加视频会议的用户的需求。一般，2层交换机在接入层中起非常重要的作用。在接入层中，交换机被称为边缘设备（edgedevices），因为它们位于网络的边界上。在园区网络环境中，接入层包括下列功能：a

共享带宽；b

交换带宽；c

MAC层过滤；d

微分段。在非园区网环境中，接入层能够经过广域技术，比如普通老式电话系统（POTS）、帧中继、ISDN、xDSL和租用线路，将远程站点接入到企业网中。网络组成及拓扑结构网络组成（1）通信主体服务器和工作站（2）通信设备传输介质、网络设备（3）通信协议一般是TCP/IP2.3.2拓扑结构网络的拓扑结构对整个网络系统的运行效率，技术性能发挥，可靠性与费用等方面都有着中重要的影响。确立为网络的拓扑结构是整个网络系统方案的规划设计的基础。拓扑结构的选择和地理环境的分布，传输介质，介质访问控制方法，甚至网络设备选型等因素紧密相关。a网络拓扑结构的规划设计原则构成局域网的拓扑结构有很多种，最常见到的有总线拓扑、星型拓扑、环型拓扑及各种混合性拓扑等。采用不同的网络控制策略（即网络数据的传输与通信的有关协议和控制方法），所有使用的网络连接设备也不一样。因此，无论在网络的规划或设计时都必须首先决定将采用那一种网络拓扑结构，选择合适的网络拓扑结构非常重要的。也就是说，选择网络拓扑结构是网络规划设计的第一步。中小企业在选择网络拓扑结构的时候，应从经济性、灵活性和扩展性好、可靠性、易于管理和维护几个方面着重入手。在现在企业中经济效益都是首要考虑的，在建设网络投资的同时就考虑到经济效益的回报。拓扑结构的选择直接决定了网络安装和维护的费用。因为，拓扑结构的选择与传输介质的选择、传输距离的长短及所需网络的连接设备密切相关。灵活性和扩展性也是选择网络拓扑结构时应充分重视的问题。任何一个网络都不能一劳永逸的，随着用户的增加，应用的深入和扩大，网络新技术的不断涌现，特别是应用方式和要求的改变，网络经常需要加以调整。然而，网络的可调性与灵活性，以及可扩展性与建立网络时拓扑结构直接相关。网络的可靠性是任何一个网络的生命。当网络总的某个节点或站点发生问题的时候时，网络不能正常工作。网络拓扑结构的选择还直接决定网络故障检测和故障隔离的方便性。总之，中小企业网拓扑结构的选择，需要考虑的因素很多，这些因素同时影响网络的运行速度和网络软硬件接口的复杂程度等等。b拓扑结构设计图在网络拓扑结构的方案设定后，进一步具体化的时候就需要考虑网络结点的规模设计，理论上采用排对论等数学工具进行设计，可是实际中往往采用类比法。中小企业网络拓扑规划设计中根据主干网拓扑结构，确定分组交换结点位置、设备、结点间传输介质，包括网络协议，确定结点间实现的协议、结点数目、数据流量和传输速率。在设计中要充分考虑到网络管理的需要，在结点中加载符合国际标准的网管模块，以实现对全网的监视和动态检测。本设计由模拟器所实现，由于模拟器能实现的设备只有少数，但其都具有较好的代表性，这里交换机统一选择2960-24TT，三层交换机先用3650-24PS，出口路由选择2811，ISP路由选择1841.这里，设备型号并不是本设计所关心的。本设计使用3层拓扑结构设计，其中包括接入层，汇聚层，核心层。核心层与汇聚层拓扑结构如下图2.3.1核心层与汇聚层拓扑结构示意图如上图所示，核心交换机之间使用了两条链路的连接，比采用tunnel技术，其目的是为了应付核心与核心之间的高速通信，汇聚层的交换机与核心层的两个交换机都有链路连接，目的是为了保障企业网络具有更高的可靠性。每个核心交换机与出口路由器连接，并能够对ISP进行访问。双核心交换机的设计使得企业网络的可靠性更高，容错性更强。汇聚层与接入层之间的连接如下图所示图2.3.2汇聚层与接入层的拓扑结构示意图为了实现高可靠性，高容错性，每台二层交换机都以两条链路与汇聚层的三层交换机连接，这样做的目的是即使其中一条链路，或其中一个交换机出现故障了，也不会影响用户的正常通信。

网络详细设计及配置网络规划IPv4正在面临地址枯竭的危机，这个问题是无法避免的，我们需要交流，而现有的系统已经难以为继，就像马车快递比不上航空快件一样，人们已经在保留IP地址方面付出了很多时间和努力，但一个明显的事实是连接到网络中的人员和设备数量每天都在增加，IPv4地址大约有43亿个，理论上说，我们并没有用完这些地址，实际上只有2亿5千万个地址能够分配给设备使用，当然NAT，CIDR的使用很大程度上缓解了地址枯竭的问题，但我们终有一天会把这些地址耗尽，这种情况可能就在几年之后，中国人才刚刚开始上网，据计算，中国只有10%的人连接到Internet。而按照这个数据统计，我们不可能每个人都拥有一台计算机。但事实上，我们不但只有一台笔记本电脑，而且还有手机，台式机，打印机等。现今的企业一般只能分配到一个公用的IP地址，经过使用NAT地址转换，将内部地址转换为公有地址，比对外网进行访问。网络地址配置企业公网地址为6/29内部局域网地址为/20VLAN规划如下表表3.1.1VLAN详细划分及地址分配部门VLAN地址范围（/24）默认网关IT技术与管理1工作组12工作组23工作组34工作组45工作组56工作组67工作组78工作组89客户10服务器是网络中不可少的一个部分。服务器的合理的搭建是影响网络性能的关键，下面给出网络内服务器的地址信息。表3.1.2服务器IP地址规划服务器名称IP地址VLAN网关备注DNS08域名解析EMAIL08邮件TFTP08简单文件HTTP08WWWFTP08文件传输AAA08AAA认证经过使用对每个设备分配一个SVI的VLAN1地址，目的是用于设备的远程管理。SVI配置如下表表3.1.3各网络设备的管理地址设备名称管理地址（VLAN1地址）所含VLANMGR11,2ASW121,3ASW231.4ASW341.5ASW451,6ASW561,7DSW101-7DSW201-7DSW301,9-10DSW401,9-10DSW501,8DSW601,8CORE1ALLCORE2ALLG2ASW111,9G2ASW221,9G2ASW331,10G2ASW441,10为方便统一管理网络设备的enable密码都设置为enablesecretjeasky，相比enablepassword命令，secret以加密方式保存，而password则以明文保存，前者安全性较高。由于网络设备地理位置差异，对设备进行远程管理是网络设计不可少的一个部分，为了方便管理，所有网络设备telnet密码都设为jeasky。设备接口配置核心交换机与路由器的接口配置为路由接口，并配置了IP地址，与路由器相连，具体配置信息如下表。表3.1.4核心交换机和路由器端口IP配置接口名称IP/mask备注CORE1f0/24/24连接路由器f0/0CORE2F0/24/24连接路由器f0/1路由器f0/0/24连接CORE1f0/24路由器f0/1/24连接CORE2f0/24路由器s0/0/06/29连接ISP核心交换机的各个端口的端口号，用途，以及接口类型如下表表3.1.5核心交换机端口用途与类型端口号用途接口类型FastEthernet0/1连接DSW1TrunkFastEthernet0/2连接DSW2TrunkFastEthernet0/3连接DSW3TrunkFastEthernet0/4连接DSW4TrunkFastEthernet0/5连接DSW5TrunkFastEthernet0/6连接DSW6TrunkFastEthernet0/24连接路由器RoutedPortGigabitEthernet0/1与CORE2组成etherchannelEtherChannelGigabitEthernet0/2与CORE2组成etherchannelEtherChannel汇聚层交换机的各个设备名称，以及该设备的端口号，端口用途，端口类型的相机信息如下表3.1.6汇聚层交换机端口用途与类型设备名称端口号用途类型DSW1FastEthernet0/1连接COER1TrunkDSW1FastEthernet0/2连接COER2TrunkDSW1FastEthernet0/3连接ASW1TrunkDSW1FastEthernet0/4连接ASW2TrunkDSW1FastEthernet0/5连接ASW3TrunkDSW1FastEthernet0/6连接ASW4TrunkDSW1FastEthernet0/7连接ASW5TrunkDSW1FastEthernet0/8连接ASW6TrunkDSW2FastEthernet0/1连接COER1TrunkDSW2FastEthernet0/2连接COER2TrunkDSW2FastEthernet0/3连接ASW1TrunkDSW2FastEthernet0/4连接ASW2TrunkDSW2FastEthernet0/5连接ASW3TrunkDSW2FastEthernet0/6连接ASW4TrunkDSW2FastEthernet0/7连接ASW5TrunkDSW2FastEthernet0/8连接ASW6TrunkDSW3FastEthernet0/1连接COER1TrunkDSW3FastEthernet0/2连接COER2TrunkDSW3FastEthernet0/3连接G2ASW1TrunkDSW3FastEthernet0/4连接G2ASW2TrunkDSW3FastEthernet0/5连接G2ASW3TrunkDSW3FastEthernet0/6连接G2ASW4TrunkDSW4FastEthernet0/1连接COER1TrunkDSW4FastEthernet0/2连接COER2TrunkDSW4FastEthernet0/3连接G2ASW1TrunkDSW4FastEthernet0/4连接G2ASW2TrunkDSW4FastEthernet0/5连接G2ASW3TrunkDSW4FastEthernet0/6连接G2ASW4TrunkDSW5FastEthernet0/1连接COER1TrunkDSW5FastEthernet0/2连接COER2TrunkDSW5FastEthernet0/3连接DNSAccessDSW5FastEthernet0/4连接EMAILAccessDSW5FastEthernet0/5连接TFTPAccessDSW6FastEthernet0/1连接COER1TrunkDSW6FastEthernet0/2连接COER2TrunkDSW6FastEthernet0/3连接HTTPAccessDSW6FastEthernet0/4连接FTPAccessDSW6FastEthernet0/5连接AAAAccess接入层交换机的设备名称，以及该设备的端口号，端口的所属VLAN，其用途与类型如下表。表3.1.7接入层交换机端口号用途与类型设备名称端口号VLAN用途类型MGRF0/1-F0/101主机接入AccessMGRF0/11-202主机接入AccessMGRF0/21—连接DSW1TrunkMGRF0/22—连接DSW2TrunkASW1F0/1-F0/203主机接入AccessASW1F0/21—连接DSW1TrunkASW1F0/22—连接DSW2TrunkASW2F0/1-F0/204主机接入AccessASW2F0/21—连接DSW1TrunkASW2F0/22—连接DSW2TrunkASW3F0/1-F0/205主机接入AccessASW3F0/21—连接DSW1TrunkASW3F0/22—连接DSW2TrunkASW4F0/1-F0/206主机接入AccessASW4F0/21—连接DSW1TrunkASW4F0/22—连接DSW2TrunkASW5F0/1-F0/207主机接入AccessASW5F0/21—连接DSW1TrunkASW5F0/22—连接DSW2TrunkG2ASW1F0/1-F0/209主机接入AccessG2ASW1F0/21—连接DSW3TrunkG2ASW1F0/22—连接DSW3TrunkG2ASW2F0/1-F0/209主机接入AccessG2ASW2F0/21—连接DSW3TrunkG2ASW2F0/22—连接DSW3TrunkG2ASW3F0/1-F0/2010主机或AP接入AccessG2ASW3F0/21—连接DSW3TrunkG2ASW3F0/22—连接DSW3TrunkG2ASW4F0/1-F0/2010主机或AP接入AccessG2ASW4F0/21—连接DSW3TrunkG2ASW4F0/22—连接DSW3Trunk网络设备的配置命令各网络详细配置见附录，核心交换机CORE1,路由器Router,汇聚交换机DSW1与接入层交换机MGR的配置如下核心交换机CORE1主要配置命令核心交换机的主机名为CORE1，并设置了设置enablesecret密码为jeasky，密码经过加密处理。该设备为VLAN10客户提供DHCP服务，并保留地址作为VLAN10的默认网关，因此该地址不在DHCP分配范围内。该设备创立一个了DHCP池，名称为test，并应用到网段为/24网络，即VLAN10，指定默认网关为（CORE1的VlAN10地址），DNS服务器为0(VLAN8地址)。为保证所有通信都由此核心交换机完成，该配置这个交换机为所有有VLAN的Root，命令spanning-treevlan1-10rootprimary确保COER1是所有VLAN的Root。将端口Fa0/1到Fa0/6设置trunk端口并使用802.1Q封装其它接口保留默认模式即dynamicauto当接口另一端为dynamicdesirable，或为Trunk时该接口为自动谈判为trunk模式，当接口另一端为access或dynamicauto时该接口自动谈判为access。将FastEthernet0/24接口定义为三层路由接口，用于连接路由器。将GigabitEthernet0/1–GigabitEthernet0/2端口添加到Etherchannel1组，并使用LACP（LinkAggregationControlProtocol，链路汇聚控制协议）active主动模式，该模式下端口会主动向对方端口发送LACPDU报文设置静态路由，将所有主机对外访问转发至路由器定义访问列表，只允许IP地址属于VLAN1主机的经过该访问列表把系统日志发送到Syslog服务器（0）。定义该设备只允许符合access-list10对其进行telnet远程管理，并设置telnet密码为jeasky其部分配置命令如下。hostnameCORE1ipdhcpexcluded-addressipdhcppooltestnetworkdefault-routerdns-server0spanning-treevlan1-10priority24576interfacerangeFastEthernet0/1–FastEthernet0/6switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/24noswitchportipaddressinterfacerangeGigabitEthernet0/1–GigabitEthernet0/2channel-protocollacpchannel-group1modeactiveswitchporttrunkencapsulationdot1qswitchportmodetrunkswitchporttrunkencapsulationdot1qswitchportmodetrunkinterfacePort-channel1switchporttrunkencapsulationdot1qswitchportmodetrunkiprouteaccess-list10permit55logging0linevty015access-class10inpasswordjeaskylogin路由器的配置路由器全局开启AAA服务，设置默认登录组，并使用RADIUS：（RemoteAuthenticationDialInUserService），远程用户拨号认证系统端口FastEthernet0/0配置了IP地址，并设置为NAT转换地址的内部端口，内部端口连接的网络用户使用的是内部IP地址端口Serial0/0/0配置的IP地址是企业向ISP申请的Public地址，并将该接口配置为NAT外部端口，外部端口连接的是外部的网络，如Internet。路由器配置了一个NAT池，名称是test低地址6高地址也为6子网掩码为/29，NAT内部访问列表为列表10并映射到地址池test，并使用地址复用。路由器配置了两条静态路由，一条是通往内部网络的，所有到的数据包都转发到，另一条是所有未知的数据包都由路由s0/0/0端口发出定义ACL只允许/24网段的用户RADIUS服务器的IP为0并使用默认的认证端口1645密码是rad123把系统日志发送到该IP的主机，该地址是Syslog服务器地址设置telnet的访问控制，控制只有网段的用户能对其进行远程登录路由器的部分配置命令如下：hostnameRouteraaanew-modelaaaauthenticationlogindefaultgroupradiuslocalinterfaceFastEthernet0/0ipaddressipnatinsideduplexautospeedautointerfaceFastEthernet0/1noipaddressduplexautospeedautoshutdowninterfaceSerial0/0/0ipaddress648ipnatoutsideipnatpooltest66netmask48ipnatinsidesourcelist10pooltestoverloadipclasslessiprouteiprouteSerial0/0/0access-list10permit55radius-serverhost0auth-port1645keyrad123logging0linecon0loginlinevty04access-class10inloginloginauthenticationdefaultlinevty515access-class10inloginloginauthenticationdefault!汇聚层交换机DSW1配置hostnameDSW1interfaceFastEthernet0/1interfacerangeFastEthernet0/2–FastEthernet0/8switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceVlan1ipaddress0interfaceVlan2noipaddressinterfaceVlan3noipaddressinterfaceVlan4noipaddressinterfaceVlan5noipaddressinterfaceVlan6noipaddressinterfaceVlan7noipaddressipclasslessiprouteaccess-list10permit55logging0linecon0linevty04access-class10inpasswordjeaskyloginlinevty515access-class10inpasswordjeaskylogin接入层交换机MGR配置端口FastEthernet0/1–FastEthernet0/20配置为access模式，用于主机接入，并配置了Portfast，这个命令要求该端口接的是host的才能起使用，如果端口接的是接交换机的就一定不能启用，否则会造成环路（loop）。Portfast能使2层端口接入主机时立即进入forwarding状态，而不需要进入正常的blocking,listening,learning,forwarding，过程，而直接能够从blocking到达forwarding状态下面是接入层交换机的部分配置hostnameMGRinterfacerangeFastEthernet0/1–FastEthernet0/20switchportmodeaccessspanning-treeportfastinterfaceVlan1ipaddress1interfaceVlan2noipaddressipdefault-gatewayaccess-list10permit55logging0linecon0linevty04access-class10inpasswordjeaskyloginlinevty515access-class10inpasswordjeaskyloginEnd设备选购路由器的比较产品Vigor2100EVigor2104Vigor2200EVigor2200EPlus格价680.001700.002100.002800.00产品描述CPU:50MHZ,Flash:1M,RAM:4M支持ADSL/Cable/FTTx线路，共享上网,4个10/100Base–Tx的LAN口,1个10BaseT的WAN口，支持静态或动态路由,内置防火墙和IP过滤功能PAP/CHAP认证功能,可设置使用权限及使用时间CPU:150MHZ,lash:2MRAM:8M,支持ADSL/Cable/FTTx线路共享上网,4个10/100Base–Tx的LAN口,1个10/100Base–Tx的WAN口，1个并行打印口，支持静态或动态路由,内置防火墙和IP过滤功能PAP/CHAP认证功能,可设置使用权限及使用时间CPU:50MHZ,Flash:1M,RAM:4M,支持ADSL/Cable/FTTx线路共享上网,4个10/100Base–Tx的LAN口,1个10BaseT的WAN口，支持8个VPN通道功能，支持静态或动态路由,内置防火墙和IP过滤功能PAP/CHAP认证功能,可设置使上网权限及上网使用时间CPU:150MHZ,Flash:2M,RAM:8M,支持ADSL/Cable/FTTx线路共享上网,4个10/100Base–Tx的LAN口,1个10/100Base–Tx的WAN口，支持VLAN（虚拟网络）,具有带宽管理,基于端口的速率节流能力,支持16个VN通道功能，支持静态或动态路由,内置防火墙和IP过滤功能PAP/CHAP认证功能

3.2.2交换机比较产品名称SuperStack3Baseline(3C16471)SuperStack3Switch4228G(3C17304A)SuperStack3Baseline(3C16477A)报价范围1200元4800元3800元设备类型快速以太网交换机二层网管交换机快速以太网交换机背板带宽（Mbps）212.848包转发率全线速过滤转发9.5Mbps全线速过滤转发VLAN支持不支持支持不支持MAC地址表400080008000网络标准IEEE802.310Base-T、IEEE802.3u100Base-TXIEEE802.310Base-T，IEEE802.3u100Base-TX/100Base-FX，IEEE802.3z1000Base-SX/1000Base-LXIEEE802.3,802.3u,802.3x,802.3ab传输速率(Mbps)10/10010/100/100010/100/1000端口类型10/100Base-TX10BASE-T/100BASE-TX/1000BASE-T,1000BASE-SX/LX/LH10BASE-T/100BASE-TX/1000BASE-T端口数24288堆叠不支持可堆叠不支持3.2.3服务器比较厂家报价产品名称产品类型处理器类型处理器主频内存类型4500惠普ProLiantDL580G4(430811-AA1)机架式服务器Dual-Core(双核)XeonMP260064GB6500IBMSeries2558685-IA1服务器XeonMP24G主要网络设备的选定综上比较，我们选择Vigor2104的路由器，从价格上看它比较适中，企业能够承受的起；从性能上看：它支持ADSL/Cable/FTTx线路共享上网,4个10/100Base–Tx的LAN口,1个10/100Base–Tx的WAN口，1个并行打印口，支持静态或动态路由,内置防火墙和IP过滤功能PAP/CHAP认证功能,可设置使用权限及使用时间。不但能够满足现在的要求而且能够满足将来的扩展。对于交换机，我们选择SuperStack3Switch4228G(3C17304A)和SuperStack3Baseline(3C16471)，从价格和性能两方面考虑，这两种交换机都能满足我们的需求，而且企业也能承担的起。交换模块设计主干网络技术的选择，需根据需求分析中地理距离、信息流量个数据负载的轻重而定。一般而言，主干网一般用来连接建筑群和服务器群，可能会容纳网络上的40%-60%的信息流，是网络的大动脉。连接建筑群的主干网一般以光纤作为传输介质，典型的主干网技术主要有千兆以太网、ATM和FDDI等。根据中小企业的需求和中小企业网络拓扑结构的规划设计原则等角度来考虑，采用千兆以太网是中小企业比较理想的做法。FDDI基本已属于昨天的技术，支持它的厂商越来越少。ATM是面向连接的网络，能保证一些突出负载在网上传输，但由于ATM在企业局域网的所有应用需要ELAN仿真来实现，不但技术难度大，且带宽效率低，已证明不适合做企业网络，但如果单建网单位对实时传输要求极高，也能够考虑选用。根据中小企业的建网规模，对经费比较紧张的企业，能够采用100BASE-FX，即用光传输介质上快速以太网。端口价格低，对光缆要求不高。是一种非常经济的选择。主干网的焦点是核心交换机（或路由器）。如果考虑提供较高的可用性，而且经费允许，主干网可采用双星（树）结构，即采用两台同样的交换机，与接入层/分布层交换机分别连接。双星结构解决了单点故障失效问题，不但抗毁性强，而且经过采用较新的链路聚合技术，例如快速以太网的FEC、千兆以太网的GEC等技术，则能够经过允许每条冗余连接链路实现负载分担。千兆以太网一般采用光缆作为传世介质。多种波长的单模和多模光纤分别用于不同的场合和距离。由于企业建筑群布线路径复杂的特殊性，一般直线距离超过300M的建筑群之间的千兆以太网线路就必须要用单模光纤。单模光纤本身不贵，昂贵的是光端口及组件。在企业中，经常会根据需要对骨干网及核心交换机改进设计或对旧网经行升级改造的技术，如：FEC/GEC（快速以太网/千兆以太网链路聚合技术）、CGMP（分组管理协议）、GBIC(千兆位集成电路)、HSRP（热等待路由协议）。广域网接入模块设计中小企业网络中分布层的存在与否，取决于外围网采用的扩充互联方法。当建筑物内信息点较多（如，220个）超出一台交换机所容纳的端口密度，而不得不增加交换机扩充端口密度时，如果采用级联方式，即将一组固定端口交换机上联到一台背板宽带和性能较好的二级交换机上，再由二级交换机上联到主干；如果采用多个并行交换机堆叠方式扩充端口密度，其中一台交换机上联，则网络中就有接入层，没有分布层。要不要分布层，采用级连还是堆叠，要看网络信息流的特点，堆叠体内能够有充分的宽带保证，适合本地（楼宇内）信息流密集、全局信息负载相对较轻的情况；级连适宜于全网信息流较平均的场合，且分布层交换机大都具有组播和初级QoS（服务质量）管理能力，适合处理一些突发的重负载（如VOD视频点播），但增加分布层的同时也会使成本提高。分布层/接入层一般采用100BASE-T（X）快速（交换式）以太网，采用10/100Mbit/s自动适宜传输速率到桌面计算机。传输介质则基本上是双绞线。接入层交换机可选择的产品很多，可是一定要注意接入层交换机必须支持1~2个光端口模块，必须支持堆叠，如果主干网为千兆以太网，接入层交换机还必须支持GBE模块。远程访问模块设计在企业中，由于布线系统费用与实现上的限制，对于零散的远程用户接入，利用PSTM市话网络进行远程拨号访问几乎是唯一的经济、简便的选择。远程拨号访问需要规划远程访问服务器和Modem设备，并申请一组中继线（企业内部有PABX电话交换机则最好）。由于整个网络中惟一的窄宽设备，这一部分在未来的网络中可能会逐步减少使用。远程访问服务器（RAS）和Modem组的端口数目一一对应，一般按一个端口支持20个用户计算来配置。服务器模块设计本次模拟实验共搭建了6台服务器，分别是DNS,EMAIL,FTP,TFTP,HTTP,AAA.首先配置好个服务器的IP信息。并测试其连通性，当没有发现连通性问题后则能够对服务器进行配置。DNS服务器配置DNS服务器对企业环境有着重要的影响，其负责域名与IP地址之间的转换。DNS的配置信息如下图3.6.1DNS的配置信息配置一个ARecord命名为，其指向的是Email服务器的IP地址（0）。然后配置POP与SMTP（SimpleMailTransferProtocol）服务器的别名CNAME，指向。接下来配置一个类型为ARecord的记录，并命名为.com指向HTTP服务器，IP地址为0。Email服务器配置邮件的收发对每个企业都是不可少的一部分，搭建邮件服务器对企业的正常运转也有着重大的联系，下面进行邮件服务器的搭建。首先在邮件服务器上记录用户信息，其用户信息如下表3.6.2Email上的用户记录UsernamePasswordPc1pc1Pc2pc2Pc3pc3Email服务器的域名配置为其中创立了几个用户，用于测试服务器是否正常工作。下面对PC1与PC2进行配置，PC2的配置信息与PC1基本相同，其配置信息如下图3.6.3PC邮件服务配置信息下面测试从PC1发邮件到PC2，然后从PC2上检测邮件的收发图3.6.4发送邮件点击send按钮后在PC2上检测是否能收到由PC1发出的邮件。下面是PC2上的收件箱视图图3.6.5PC2收件箱如上输出所示PC2成功接收。这也意味着DNS上邮件服务器的配置没有出错。FTP服务器配置首先在FTP服务器上配置如下用户，配置图如下图3.6.6FTP服务器配置在FTP上有一个默认用户，其用户名和密码都为cisco，然后自行配置了一个用户名为user1，密码为user1，的用户，另外RWDNL表明该用户具有Read，Write，Delete，Rename，list权限在PC上输入命令ftp0连接到服务器，并使用文件传输服务。在服务器上取出一个名称为tt.bin的文件，然后查看拓扑结构上的节点发生的变化。图3.6.7FTP文件传输图3.6.8拓扑结果的变化PC1与FTP服务器正在进行文件传输，被标记的深绿色的点代表该节点者处于繁忙状态，表明文件正在传输。TFTP服务器配置路由器上的配置文件一般需要备份，此时就需要用到TFTP服务器，下面将路由器的运行配置文件保存到服务器图上。在路由器上输入命令copyrunning-configtftp0，并将文件名保存为routerrun然后在TFTP服务器上查看文件是否被保存了。图3.6.9TFTP服务器上文件存储如上图所示路由器的runningconfig成功上传到TFTP服务器上，其名称为routerrun。HTTP服务器为了验证在HTTP服务器是否正常工作，在HTTP上编写一小段代码如下<html><center><fontsize='+2'color='blue'></font></center><hr>Welcometo.ThissmallnetworkinfrastructureiseditbyCAISHAOYUANJeasky<p>QuickLinks:<br><ahref='helloworld.html'>Asmallpage</a><br><ahref='copyrights.html'>Copyrights</a><br><ahref='image.html'>Imagepage</a><br><ahref='image.jpg'>Image</a></html>接下来在任意一台计算机上输入.com输出结果如下图3.6.10测试HTTP服务器如上图HTTP服务器正常工作。Syslog服务器SYSLOG服务器用于存放系统的日志文件，由于路由器交换机的存储空间有限，不能存放大量日志文件，而系统日志文件对企业将来的检查与排错有着重要的作用。用IP地址为的交换机上，生成了一个SeverityLevels为5的即Notification等级的系统日志。图3.6.11Syslog服务器结果显示如上图设备成功将系统日志存储到Syslog服务器上，能够确定服务器正常工作。最后，考虑到将来企业的扩展，需要用到VPN服务，搭建AAA对未来企业发展起重要作用，AAA服务器当前用于路由器的telnet访问控制。这里只对服务器进行了简单的配置，和确保服务器的正常工作，具体配置还不太熟悉。系统总结经过数个月的努力终于完成了毕业设计与毕业论文。在设计过程中，出现了很多难题，有些在自己在书籍上和网络上找到解决方法，有些却到当前还没有解决，本人意向以后在网络方面发展深造，希望日后能学习到相关的知识，积累到足够的经验能解决现在没有解决的问题。遇到的问题有如下几点1拓扑结构的设计：拓扑结构对整个网络架构设计影响相当大，本人在