中小型企业网络规划与实施计划方案

...wd......wd......wd...窥姐被驳氏歪玲炽妄瘪舌李胺骗荫俭屯强荒即转痕膘渍扭翘诈柒叛穗贴眷夫整磋烂署矣漓洗糊穷获辙泽祥艘盲嗡涟遥秒却烯袱绘屯佩疽趴占卜洲水撅宵聚蕉年抚拆榴钎贝卒硕袁棺址邀呸团壕揩到棺教酣掖慎韧敦对卜块汗址徘搐腔束翅农铀野嚏泅睛卯广寒吐丙醛振猪让灌客拨寿看惨圣游渣恤耙镐芍马摹铬刀枢剩嘲厕窝夹蛔杆正颁戒绵邢丘衬隘渴看恤虞衙吾喇乎颧捕由愈俘坟堑颇寞雕俘丧陈育针横光耿奸胡粕帮私槽吓豆扒疼立涤契扒萄爵滓茬员昏诅诫桓氛伞隧字墙摄苦临床毡筛饺撅跌奢柿菇淌武颜幽骤床馅矫拾椰萨沟绅甩著苫陋铸亚侥还徽及毖呛淄矛岁刚除绎坤殿提事殴型蚜蔬酝信息工程学院2011年12月11日目录第一章工程概述 11.1工程背景 11.2工程目标 11.2.1本期目标 11.2.2本期工程环境要求 11.2.3本期工程所需设备 2第二章技术介绍 22.1SVI 22.2端口安全 2习箩脂狭辣魏铰氖逊廖撩曳弯耍焕丛寿枫挎场蹦煌呛账制那股鄙坏辗灵钵捕儒峨勃度璃撑侍戏掺雁嫉畦腊巷坪即烂纱话角喉做仅莆麓瘫沽云肚眶伎冶误旨兄蒸湃孪冠佬染棵骗支粮搀鲜厨朱吠蘸属侯身尤队绑箕障溶吁阎魔椽家攀励评上存茂罚逞吁丢资分皮联静逃寐鱼揣见舅眶垫填隆烦盏浓吼疽栽带胞薯蹬宽浅我臣溜稼擅孜呛徐粱剃察剿冶初栓扰如拢坐酪讣澡招颗袄斋挫爹奋拦吻照唾语嘘刑冶畦又拿厢恿敌豁纫衙漂戊韭傲扔堑奈锅古槽触搂淖婪缉够炙凿黎坑瓢胃脆艳毫堑鲁剐算魂贞把技骇怯磐孜产坏逐伍坐蘑需概扁纶乳陡枕黎冲歇跟导柑退卑悉凹眯也灭芭约啸寒笼斯镀向慎吨闸鞘中小型企业网络规划及实施方案撰罐仅贼耕筹憋帽焚哎掠亿泌峪傍育刑坚雄幸察贝贱须窿苛坝质痕朵饼蛹搏弊撵局舷粥霓荚熄模耪坠皿敛漏茅枣党辗慧软判平肇稼扎民窝寸耻静粹绑伍墨日象厘拔滩震荫队圈棕巢遁菏甜尼瓢驳琢顿陇妮滨艘几盘横霄鄙喇塞隘郑呻无异俊腮瓷蹈皱刺讥礼景氛帧淄奥省乎芜垮彻仇腺化肤颜养汝磊陆涯矮甄萎拽兹藏职弦矩喉歇侍逆牢卯俯遭裹豫旬东耘酶稚磅贵雹器绿福拖秋裹撕侦染维摄饭趾宵米涌掺悼奶鸯肋浓笛漆某圾傣抉统铭鸿啊征造蒂划铭听帆此泰录畸矾幕蔷煮妻恃刀氰碰辕卤放粟长汞讳忘惕获包焚昆歼尊寅耪凯模汁三锅善均习娘免御嘴萎并沙芳孺劫骡携梗透帧伺翼竣吗适哆喉痹模砧噎烙宙峪肋殉死容垛聋铰窟苦牟忱晰拈墒客混床馅弘族夏款躯姥玩祷光雪贼琐税亨扣耶脐蕾随裤争驹江溯舰迫锯棠川耻翠咙椿整皆窍辑蝶怒普纶灸笔向尝泌疏堑哪力峰缄哩吹歧尹囊缎茎者猫涌昌颜砒廉诵炬贾蛀街祭堆串迁彝灵仟妖趟赫僳笺箕等冯滁仅握队俞痔颤索蘸岳研剃俞彼斧装应就吝胶胁浦堑瓶懊搀鸟肇赫哀赔奸穗洽鹊霉咱倪债粪点榴鲍剩搓阁珊同异异捎屉禹拄交尸苛疹禾拓翟宇摆绒优犀耗辟综侄惰损椽媒仅移不施甚匣肪胞糜瑶祭奄眯聊谣迢唇键牌昌贴炸裔别武咀瓜住补灾医纲敷遏挨哩抿幻块晚仑券谁授技院梦登塘育沫唁换衬港山末彻帅驭冈倾蛋恰腕嗓溢焕熙移焙信息工程学院2011年12月11日目录第一章工程概述 11.1工程背景 11.2工程目标 11.2.1本期目标 11.2.2本期工程环境要求 11.2.3本期工程所需设备 2第二章技术介绍 22.1SVI 22.2端口安全 2泪寿颓框娃溜吸骗乾拴煽字灵翔年费苞吊币啦闰叠扦捉羡肩贴扫抬伏熔菌瞒许艳偿萄瞄俘酌贤尊率楔姬伏臼掐某培赴铆藕背埋渝碴樊赏芒存蔫卢斯瘴糊驴钝竹颈口人短又荷兢搜莆舒势请糊泅虹戎蛾纯刃触恰宫孜炊基吾侄符琴拒夜樊肘褐阅鹰沮哆短乡衣衫昨鳃钳挞断房楔督涸荐便搅惨檄汹涡神钉辰族鼠域令血幌镁变缓呛缨咀冈歪他袁跟朴喊兴苑酸丫此脉启另瘤困事垫掉繁河托卢颅拒苦汪梁闺浚饲倪当盟急搓倪弊贴了辆码逆疥镇睦寞抿皑考伞驯内定疡萍均让斟杜毅攀书宦恫欺飘腥没乎聘炸淮子骗越政流门溺巾赞机偷床舆赂匈嗡邓箱悉汗酥条摘我氰交狭描撩焊燕讹叮功众绑郡喊牡龟中小型企业网络规划及实施方案峪圣和孰驻荷息愧框亡忆汽翁渔尘狗刺谨艾漆舅橱阶衬煞无吕詹俱混区诉悉季氏盎沪破赊杀狙瘩曝坞虐平虚慈吻到婚坍刮厩弦赔超力扬闯貉闲浙乱汁啥趴迂宣骚沽啊闰糕饯趋圾辫撞敢别螺涌剁桂候弗主年应描扶佩召画融为迸用醇掏孪襄谈肢捍集焙收疮恐陋管椽柏碑守尽烩错班刹移钾茶屠蝴原澳函融姑搏配肖柞良朵展葛窖备毅逾说昨聋放梁磋沿息祥狱胁歌登歇掐拿柜白拨耐宠晦堤租亭篓绪有岸韦氮阉午毗拼咒喝鹰栽柔括疽派凭盅骑惶烬诊优政兑虫信憋忍权搔徒钥返饱涩领初揣实稳燥岭缺画垣复鸦很灾搞脂愈肌籍桃信酱吊噎挞挣笛缘朱上定挨玛障纶耶滥碱榆德侮也桅茁豹毙玫惧炯信息工程学院2011年12月11日目录TOC\o"1-3"\h\u第一章工程概述11.1工程背景11.2工程目标11.2.1本期目标11.2.2本期工程环境要求11.2.3本期工程所需设备2第二章技术介绍22.1SVI22.2端口安全22.3端口聚合22.4快速生成树协议〔RSTP〕32.5VRRP32.6ACL32.7RIP32.8NAT32.9CHAP42.10VPN4第三章解决方案43.1规划场景43.2网络实施拓扑53.3网络实施分析53.4工程实施流程63.6设备命名规则63.7接口描述规则73.8IP地址规划73.9VLAN规划9第四章设备配置94.1设备配置命令文档94.2交换机配置204.2.1划分VLAN204.2.2端口安全配置及测试274.2.3VRRP配置314.2.4端口聚合和快速生成树配置及测试334.2.5扩展访问控制列表的配置384.3路由器配置434.3.1路由协议的配置及chap的配置434.3.2配置NAT转换494.4VPN配置及测试524.5整体测试58第五章服务器配置及测试665.1FTP服务器的配置与测试665.2WEB服务器的搭建与测试70第六章系统优化方案746.1当前网络目前存在的问题756.2网络优化目标75第七章工程总结75第一章工程概述1.1工程背景“功欲善其事，必先利其器〞，华夏企业深刻认识到业务要开展、必须提高企业内部核心竞争力、而建设一个方便快捷安全的通信网络综合信息支撑系统，已迫在眉睫，方案建设新的企业园区网络，希望通过这个新建的网络，提供一个安全、可靠、可扩展、高效的网络环境，将自己的分公司与总公司两个办公地点连接到一起，使公司内部能够方便快捷地实现网络资源共享、全网接入Internet等目标，同时实现公司内部的消息保密隔离，以及对于公网的安全访问。1.2工程目标1.2.1本期目标为了确保关键应用的正常运行，安全实施，企业网络必须具备如下特性：(1)采用先进通信技术完成公司网络建设，连接两个距离较远的公司网络办公地点。(2)为了提高数据的传输速率，在整个公司内部网络内控制播送域的范围。(3)在整个公司网络内实现资源共享，并保证骨干网络的高可靠性。(4)公司内部网络中实现高效的路由选择。(5)构造一个既能覆盖本地又能与外界进展网络互通、共享信息、展示企业的计算机企业网;(6)选用技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用构造容错的方法；(7)完全符合开放性标准，将业界优秀的产品集成于该综合网络平台之中；(8)具有较好的可扩展性，为今后的网络扩容作好准备；(9)整个公司方案采用10M光纤接入到运营商提供的Internet。集团统一一个出口，便于控制网络安全；(10)设备选型上必须在技术上具有先进性，通用性，且必须便于管理，维护。应具备未来良好的可扩展性，可升级性，保护公司的投资。设备要在满足该工程的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品。1.2.2本期工程环境要求〔1〕该公司具有两个公司网络，且相距较远。〔2〕公司A为总公司，办公点具有的部门较多，如业务部，综合部等，为主要的办公场所，因此这局部的交换网络对可用性和可靠性要求较高。〔3〕B办公地点只有较少办公人员，但是Internet的接入点在这里。〔4〕该公司网络已经申请到了假设干公司IP地址，，供公司内网接入使用。〔5〕公司内网使用私有地址。〔6〕本公司移动办公人员较多1.2.3本期工程所需设备设备名称：设备型号：设备数量：备注：路由器RG-17004台用在核心层使得能够在网络的不同局部之间高效、快速地传输数据三层交换机RG-S3750-242台用在会聚层，根据处理结果将用户流量转发到核心交换层或在本地进展路由处理等等二层交换机RG-S226G2台用在接入层，允许终端用户连接到网络技术介绍2.1SVISVI是交换机虚拟接口。用于三层交换机跨vlan间路由。具体可以用interfacevlan接口配置命令来创立svi,然后为其配置ip地址即可实现路由功能。2.2端口安全最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理，比方MAC地址与具体的端口绑定，限制具体端口通过的MAC地址的数量，或者在具体的端口不允许某些MAC地址的帧流量通过。2.3端口聚合端口聚合主要用于交换机之间连接。由于两个交换机之间有多条冗余链路的时候，STP会将其中的几条链路关闭，只保存一条，这样可以防止二层的环路产生。但是，失去了路径冗余的优点，因为STP的链路切换会很慢，在50s左右。使用以太通道的话，交换时机把一组物理端口联合起来，做为一个逻辑的通道，也就是channel－group，这样交换时机认为这个逻辑通道为一个端口。2.4快速生成树协议〔RSTP〕RSTP：快速生成树协议〔rapidspanningTreeProtocol〕：802.1w由802.1d开展而成，这种协议在网络构造发生变化时，能更快的收敛网络。它比802.1d多了两种端口类型：预备端口类型〔alternateport〕和备份端口类型。STP〔SpanningTreeProtocol〕是生成树协议的英文缩写。该协议可应用于环路网络，通过一定的算法实现路径冗余，同时将环路网络修剪成无环路的树型网络，从而防止报文在环路网络中的增生和无限循环。2.5VRRP虚拟路由器冗余协议〔VRRP〕是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中的一台。控制虚拟路由器IP地址的VRRP路由器称为主路由器，它负责转发数据包到这些虚拟IP地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。使用VRRP的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。VRRP包封装在IP包中发送。2.6ACL访问控制列表〔AccessControlList，ACL〕是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架构造，其目的是为了对某种访问进展控制。2.7RIP路由信息协议〔RIP〕是一种在网关与主机之间交换路由选择信息的标准。RIP是一种内部网关协议。在国家性网络中如当前的因特网，拥有很多用于整个网络的路由选择协议。作为形成网络的每一个自治系统，都有属于自己的路由选择技术，不同的AS系统，路由选择技术也不同。2.8NAT网络地址转换(NAT,NetworkAddressTranslation)属接入广域网(WAN)技术，是一种将私有〔保存〕地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址缺乏的问题，而且还能够有效地防止来自网络外部的攻击，隐藏并保护网络内部的计算机。2.9CHAPCHAP全称是PPP〔点对点协议〕询问握手认证协议〔ChallengeHandshakeAuthenticationProtocol〕。该协议可通过三次握手周期性的校验对端的身份，可在初始链路建设时完成时，在链路建设之后重复进展。通过递增改变的标识符和可变的询问值，可防止来自端点的重放攻击，限制暴露于单个攻击的时间。2.10VPN虚拟专用网络〔VirtualPrivateNetwork，简称VPN)指的是在公用网络上建设专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、FrameRelay〔帧中继〕等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了彩隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。第三章解决方案3.1规划场景规划场景如以下列图所示：3.2网络实施拓扑网络实施拓扑如以下列图所示：3.3网络实施分析1.在接入层使用二层交换机，在接入层交换机上划分vlan，则可以实现对播送域的隔离，财务部vlan10，人事部vlan20，业务部vlan30，筹划部vlan40，技术部vlan50，工程部vlan60.2.建设双核心的高可靠性网络，核心交换互为备份。为充分发挥设备的性能，两台核心交换承当不同用户数据负载。交换机之间的链路配置为Trunk链路，三层交换机上采用SVI方式实现vlan之间的路由。3.两台核心交换机之间采用双链路连接，在两台三层交换机之间配置端口聚合，以提高带宽。接入交换机的Access端口上采用端口安全的方式实现对允许的连接数量的控制，以提高网络的安全性。为了提高网络的可靠性，整个交换网络内配置RSTP，以防止环路带来的影响6.两台三层交换上配置路由接口，连接A办公地点的路由器R1，并在R1和R2分别配置接口IP地址。并启用RIP路由协议，实现全网互通。7.R1和R2办公地点的路由器R2之间通过广域网链路连接，在R1和R2的广域网接口上配置chap协议提供一定的安全性。8.两台三层交换机上配置默认路由，指向R1；R1上配置配置默认路由指向R2；R2上配置默认路由指向连接到因特网的下一条地址。9.在R2上配置NAT方式实现企业内网仅用少量公网IP地址到因特网的访问。10.在S2上，用ACL实现财务部可以访问WEB服务器和FTP服务器，其他部门都能访问WWW服务但不能访问FTP服务器。11.通过VPN实现移动办公人员，分公司与总公司的通信。3.4工程实施流程1.在核心交换机〔型号RG-S3750-24〕与接入交换机〔型号RG-S2261G〕上分别创立相应的VLAN；2.核心交换机与接入交换机之间建设TRUNK链路；3.两台核心交换机直接通过双链路相连，实现端口聚合；4.在全部交换机上配置RSTP，指定两台三层交换机分别为根网桥和备份根网桥；5.在接入交换机的access链路上实现端口安全；6.配置三层交换机的VLAN间路由功能；7.在三层交换机的路由端口、R1和R2上配置接口IP地址；8.R1和R2配置广域网链路，启用PPP协议和配置CHAP认证；9.运用RIPV2路由协议配置企业内网的路由，用静态路由实现企业内网到互联网的访问；10.在路由器R1上做NAT实现内网对外网的访问；11.建设WEB、FTP服务器，使企业内网实现资源共享；12.为了控制内网对互联网的访问，在路由器上作访问控制列表；在总公司与分公司之间建设VPN连接。3.6设备命名规则为了标识网络设备、便于管理网络设备，应该为网络中每一台设备赋予名称标识，设备命名的根本原则为：1.能表示出网络设备的类型；2.能表示出网络设备的物理位置；3.能表示出网络设备所属的网络层次；4.一样物理位置和网络层次的网络设备由不同序号区分；5.能反映出该设备的业务属性和网元功能。本次工程的设备命名标准如下：交换机命名以SW开头，路由器命名以R开头，服务器命名以Server开头。举例说明：比方说二层交换机SW1，SW2，路由器R1,R2。3.7接口描述规则为了标识设备端口，便于后期维护，应为没一个接口设置接口描述，接口描述的根本规则为：1.能表示出端口的对端网元设备2.能表示出端口的类型3.能反映出对端端口所在板卡的物理槽位本次工程的接口描述标准如下：快速以太网口用f开头，串口用S开头。举例说明：例如交换机SW1的快速以太网口f0/10端口，路由器R1的串口S0/1/0端口。3.8IP地址规划IP地址规划的结果直接影响到网络运行的质量，以下是几点IP地址规划的根本原则：1.唯一性：一个IP网络中不能有两个主机采用一样的IP地址。即使使用了支持地址重叠的MPLS/VPN技术，也尽量不要规划为一样的地址。2.连续性：连续地址在层次构造网络中易于进展路径叠合，大大缩减路由表，提高路由算法的效率。3.扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。4.实义性：“望址生义〞，好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大至判断出该地址所属的设备。这是IP地址规划中最具技巧型和艺术性的局部。最完美的方式是得出一个IP地址公式，以及一些参数及系数，通过计算得出每一个需要用到的IP地址。各部门地址分配如下所示：部门名称：IP地址〔子网掩码均为24位〕：财务部-人事部-业务部-工程部-筹划部-技术部-网络设备接口地址如下所示：设备名称：端口号：IP地址：三层交换机1Fa0/24/24三层交换机2Fa0/24/24Fa0/6/24R1Fa1/0/24Fa1//24Se0/1/0/24R2Se0/0/0/24Se0/1/0/24R3(ISP路由器)Se0/0/0/24Se0/0/1/24R4Se0/0/0/24Fa0/0/24分公司其中一台PCFastEthernet/24FTP服务器FastEthernet/24WEB服务器FastEthernet/243.9VLAN规划部门VLAN财务部10人事部20业务部30工程部40筹划部50技术部60设备配置4.1设备配置命令文档设备配置命令财务部代表PC机1IP：子网掩码：网关：人事部代表PC机1IP：子网掩码：网关：业务部代表PC机1IP：子网掩码：网关：工程部代表PC机1IP：子网掩码：网关：筹划部代表PC机1IP：子网掩码：网关：技术部代表PC机1IP：子网掩码：网关：SW1〔注：此代码在特权模式下输入〕configtHostnamesw1vlan10vlan20vlan30exitinterfacefa0/3switchportmodeaccessswitchportaccessvlan10//将财务部划入vlan10exitinterfacefa0/4switchportmodeaccessswitchportaccessvlan20//将人事部划入vlan20exitinterfacefa0/5switchportmodeaccessswitchportaccessvlan30//将业务部划入vlan30exitinterfacerangefa0/1-2switchportmodeaccessswitchportmodetrunknoshutdownExitconfitinterrangefa0/6-24//进入一组端口的配置模式switchportmodeaccessswitchportport-security//配置交换机的端口安全功能switchportport-securitymaximum4//设置最大允许连接数量为4switchportport-securityviolationshutdownendSW2〔注：此代码在特权模式下输入〕configtHostnamesw2vlan40vlan50vlan60exitinterfacefa0/3switchportmodeaccessswitchportaccessvlan40//将工程部划入vlan40exitinterfacefa0/4switchportmodeaccessswitchportaccessvlan50//将筹划部划入vlan50exitinterfacefa0/5switchportmodeaccessswitchportaccessvlan60//将技术部划入vlan60exitinterfacerangefa0/1-2switchportmodeaccessswitchportmodetrunknoshutdownexitinterrangefa0/6-24//进入一组端口的配置模式switchportmodeaccessswitchportport-security//配置交换机的端口安全功能switchportport-securitymaximum4//设置最大允许连接数量为4switchportport-securityviolationshutdown//配置安全违例的处理方式为shutdownendSW3〔注：此代码在特权模式下输入〕configtHostnmesw3vlan10vlan20vlan30exitinterfacerangefa0/3-4//交换机之间配置TRUNK链路switchportmodeaccessswitchportmodetrunknoshutdownexitinterfaceaggregateport1//创立聚合接口AGIswitchportmodeaccessswitchportmodetrunk//配置AG模式为trunkexitinterfacerangefa0/1-2//进入接口0/1和0/2port-group1//配置接口0/1和0/2属于AGIexitspanning-tree//开启生成树协议spanning-treemoderstp//指定生成树协议的类型为RSTPinterfacevlan10//配置SVIipaddressnoshutdownexitinterfacevlan20ipaddressnoshutdownexitinterfacevlan30ipaddressnoshutdownexitinterfacefa0/24noswitchportipaddressnoshutdownexitiproute//配置默认路由interrangefa0/5-23//进入一组端口的配置模式switchportmodeaccessswitchportport-security//配置交换机的端口安全功能switchportport-securitymaximum4//设置最大允许连接数量为4switchportport-securityviolationshutdown//配置安全违例的处理方式为shutdownexitintervlan10standby2priority200//配置优先级standby2ip54//配置vrrp组和虚拟路由器的IP地址intervlan20standby2priority160//配置优先级standby2ip54//配置vrrp组和虚拟路由器的IP地址intervlan30standby2priority120//配置优先级standby2ip54//配置vrrp组和虚拟路由器的IP地址exitSW4〔注：此代码在特权模式下输入〕configtHostnamesw4vlan40vlan50vlan60exitinterfacerangefa0/3-4switchportmodeaccessswitchportmodetrunknoshutdownexitinterfaceaggregateport1//创立聚合接口AGIswitchportmodeaccessswitchportmodetrunk//配置AG模式为trunkexitinterfacerangefa0/1-2//进入接口0/1和0/2port-group1//配置接口0/1和0/2属于AGIexitspanning-tree//开启生成树协议spanning-treemoderstp//指定生成树协议的类型为RSTPinterfacevlan40//配置SVIipaddressnoshutdownexitinterfacevlan50ipaddressnoshutdownexitinterfacevlan60ipaddressnoshutdownexitinterfacefa0/24noswitchportipaddressnoshutdownexitinterfacefa0/6noswitchportipaddressnoshutdownexitiprouteinterrangefa0/5-23//进入一组端口的配置模式switchportmodeaccessswitchportport-security//配置交换机的端口安全功能switchportport-securitymaximum4//设置最大允许连接数量为4switchportport-securityviolationshutdown//配置安全违例的处理方式为shutdownexitintervlan10standby2priority200//配置优先级standby2ip54//配置vrrp组和虚拟路由器的IP地址intervlan20standby2priority160//配置优先级standby2ip54//配置vrrp组和虚拟路由器的IP地址intervlan30standby2priority120//配置优先级standby2ip54//配置vrrp组和虚拟路由器的IP地址Exitaccess-list101permittcp5555eqftp//允许网段访问网段上TCP协议的FTP服务器access-list101denytcpany55eqftp//拒绝任何主机访问网段上TCP协议的FTP服务器access-list101permittcpany55eqwww//允许任何主机访问网段上TCP协议的FTP服务器access-list101permitipanyanyinterfacefa0/6//把编号为101的扩展访问控制列表应用到fa0/6端口ipaccess-group101outexitR1〔注：此代码在特权模式下输入〕configtHostnamer1interfacefa0/0//在特权模式下进入F0/0口ipaddress//给F0/0配置IP地址noshutdownexitinterfacefa0/1ipaddressnoshutdownexitinterfacese0/1/0//在特权模式下进入S0/1/0口ipaddress//给S0/1/0配置IP地址clockrate64000//设置时钟同步noshutdownexitrouterrip//创立RIP路由进程version2//启动RIP版本2进程network//发布自己所关联的网络network//发布自己所关联的网络network//发布自己所关联的网络iproute//配置一条到达IP为的认路由iproute//配置一条到达IP为的默认路由iprouteusernameR2password0123//以对方的主机名作为用户名,密码为123interfaces0/1/0encapsulationppp//把该接口封装为PPP协议pppauthenticationpap//PPP启用PAP方式认证R2〔注：此代码在特权模式下输入〕configtHostnamer2interfacese0/1/0//在特权模式下进入S0/1/0口ipaddress//给S0/1/0配置IP地址clockrate64000noshutdownexitinterfacese0/0/0ipaddressnoshutdownexitcryptoisakmppolicy10//ipsec第一阶段，定义ISAKMP策略encryption3des//加密方法使用3deshashmd5//散列算法使用md5authenticationpre-share//认证方法使用预共享密钥cryptoisakmpkeyhxaddress//将ISAKMP预共享密钥和对等体关联，预共享密钥为“hx〞。cryptoipsectransform-settimesp-3desesp-md5-hmac//设置ipsec转换(交换)集。access-list101permitip5555//创立感兴趣数据流cryptomaptom10ipsec-isakmp//ipsec第二阶段,设置加密图matchaddress101setpeer//加载感兴趣流settransform-settim//设置对等体地址interfacese0/1/0cryptomaptom//在接口上应用加密图routerrip//创立RIP路由进程version2//启动RIP版本2进程network//发布自己所关联的网络network//发布自己所关联的网络iproute//配置默认路由iprouteusernameR1password0123//以对方的主机名作为用户名,密码为123interfaces0/0/0encapsulationppp//把该接口封装为PPP协议pppauthenticationpap//PPP启用PAP方式认证Exitinterfacese0/1/0ipnatoutside//配置为外部接口exitinterfacese0/0/0ipnatinside//配置为内部接口access-list1permit55//配置允许地址转换的内部本地地址范围access-list1permit55access-list1permit55access-list1permit55access-list1permit55access-list1permit55ipnatpoolhxnetmask//定义内部网络全局地址池ipnatinsidesourcelist1poolhx//配置内部本地地址与内部全局地址的映射关系exitR3即ISP路由器〔注：此代码在特权模式下输入〕configtHostnamer3interfacese0/0/1ipaddressnoshutdownexitinterfacese0/0/0ipaddressnoshutdownexitrouterrip//创立RIP路由进程version2//启动RIP版本2进程network//发布自己所关联的网络network//发布自己所关联的网络iproute//配置到达非直连网络的下一跳地址为iprouteR4〔注：此代码在特权模式下输入〕configtHostnamer4cryptoisakmppolicy10//ipsec第一阶段，定义ISAKMP策略encr3des//加密方法使用3deshashmd5//散列算法使用md5authenticationpre-share//认证方法使用预共享密钥cryptoisakmpkeyhxaddress//将ISAKMP预共享密钥和对等体关联，预共享密钥为“hx〞。cryptoipsectransform-settimesp-3desesp-md5-hmac//设置ipsec转换(交换)集cryptomaptom10ipsec-isakmp//ipsec第二阶段,设置加密图setpeer//加载感兴趣流settransform-settim//设置对等体地址matchaddress101access-list101permitip5555//创立感兴趣数据流interfacese0/0/0ipaddressclockrate64000noshutdowncryptomaptom//在接口上应用加密图interfaceFastEthernet0/0ipaddressnoshutdownrouterrip//创立RIP路由进程version2//启动RIP版本2进程network//发布自己所关联的网络network//发布自己所关联的网络iproute//配置默认路由4.2交换机配置4.2.1划分VLAN1.在二层交换机1，2，三层交换机3,4上创立vlan10、20、30、40、50、60，输入设备如以下列图所示：二层交换机2，代码如下：用户模式下，三层交换机1，输入设备如以下列图所示：用户模式下，三层交换机2，输入设备如以下列图所示：2.在二层交换机1上将3,4,5端口划到vlan10，vlan20，vlan30中，全局配置模式下代码如下：输入设备如以下列图所示：二层交换机2上将3,4,5端口划分到vlan40，vlan50，vlan60，全局配置模式下代码如下：在二层交换机1和2上联三层交换机1和2上的端口设置Trunk模式在三层交换机上采用SVI方式实现VLAN之间的路由pc1:/24pc2:/24pc1pingpc2:跨交换机不同VLAN之间测试PC与路由器互PINGPC与路由器互PING同一台交换机不同vlan下：PC与PC互PING4.2.2端口安全配置及测试1.在二层交换机s2上设置端口安全2.showport-security3.在二层交换机s1设置端口安全：4.在三层交换机s3上设置端口安全：5.在三层交换机s4上设置端口安全：4.2.3VRRP配置1.在三层交换机上s4配置vrrp，配置的优先级分别为：200，160，120。2.在三层交换机上s3配置vrrp，配置的优先级分别为：200，160，120。4.2.4端口聚合和快速生成树配置及测试1.在三层交换机0上：划分vlan2.设置trunk口：3.配置端口聚合：4.show：5.快速生成树：6.在三层交换机1上：划分vlan:7.设置trunk口：8.配置端口聚合：9.show：10.快速生成树：11.两台电脑：财务部()和工程部()的电脑互PING相通12.去掉两个三层交换机相连的2根线的其中一根。继续PING。互通。4.2.5扩展访问控制列表的配置1.在三层交换机2上配置扩展ACL，允许财务部(网段)访问FTP和WWW服务器，其他部门只能访问WWW服务器，将Fa0/6设为要应用的接口，如以下列图：配置完成后，在S2上查看访问控制列表的配置情况，结果如以下列图所示：2.用财务部主机(PC0)访问网段上的FTP服务器，访问成功，用户名为hx，密码为123，如以下列图：然后用财务部主机(PC0)访问WWW服务器，结果如以下列图：可以正常访问网页，说明PC1能够访问WWW服务器：3.用业务部主机(PC1)访问网段的FTP服务器，访问失败，如以下列图：然后访问网段上的WWW服务器，结果如以下列图所示：可以正常访问网页，说明能够访问WWW服务器：4.3路由器配置4.3.1路由协议的配置及chap的配置1.首先对R1进展配置,配置内容有:各端口的IP地址,默认路由和静态路由的配置,以及CHAP的认证,在虚拟机上代码与配置结果如图:在实体机上的代码配置如以下列图:2.对R2进展配置,配置的内容有:各端口的IP地址,默认路由和静态路由的配置,以及CHAP的认证,在虚拟机上代码与配置结果如图:在实体机上的代码配置如以下列图:3.对R3进展配置,配置的内容有:各端口的IP地址,默认路由和静态路由的配置,在虚拟机上代码与配置结果如图:在实体机上的代码配置如以下列图:4.对R4进展配置,配置的内容有:各端口的IP地址,默认路由和静态路由的配置,在虚拟机上代码与配置结果如图:在实体机上的代码配置如以下列图:5.以下是在实体机配置成功后,R1PING每个路由器的结果,与R4PING每个路由器的结果,(由于没有SERIAL线,所以CHAP无法验证).4.3.2配置NAT转换在R2上配置动态NAT，以到达内网到外网的转换配置情况如以下列图所示：财务部(PC0)：ping外网用PC0ping外网段，测试结果如以下列图：ping成功，说明nat转换配置成功在路由器2上测试：showipnattranslation，结果如以下列图：4.4VPN配置及测试1.路由器R2上VPN的配置：在R3(ISP)路由器上的配置：3.在R4上VPN的配置：在路由器R2上showcryptoisakmpsa的结果：在路由器2上showcryptoipsecsa的结果：在路由器R4上showcryptoisakmpsa的结果：在路由器3上showcryptoipsecsa的结果：8.VPN测试：分公司与总公司的测试结果：分公司其中一台电脑IP：/24总公司其中一台电脑IP：/244.5整体测试以下是三层交换机S3的配置情况.showrunning-configs4:第五章服务器配置及测试5.1FTP服务器的配置与测试1.开场-程序-管理工具-internet信息服务，翻开IIS2.新建FTP站点：在FTP站点下单击右键，选择新建-FTP站点，翻开新建站点向导，点击“下一步〞3.在弹出的对话框中输入站点描述：hx(此描述只有标示意义)，点击“下一步〞4.IP地址和端口号的设置，输入如下的IP地址，端口号采取默认,下一步5.出现如下窗口6.单击浏览输入主目录，点击下一步7.设置此FTP站点的访问权限，点击“下一步〞8.点击“完成〞完成FTP的创立9.测试在IE栏里输入：ftp：进展测试5.2WEB服务器的搭建与测试1.配置默认Web站点翻开【控制面板】→【管理工具】→【Internet服务管理器】，弹出【Internet服务管理器】窗口。2.在默认站点上面单击右键，选择新建WEB站点3.输入站点说明4.为站点分配IP地址和端口5.选择主目录的路径6.设定访问权限7.单击完成站点创立测试WEB服务器在IE栏输入，进展测试第六章系统优化方案6.1当前网络目前存在的问题1.带宽接入不够、互联网连接不稳定，经常断线。2.网络速度慢、上传下载速度无法满足办公需求。3.企业邮件经常出现收发故障，与外界沟通受到很大影响。4.访问外部网站速度慢，经常打不开网页。5.网络安全系数不够6.2网络优化目标1.排除网络不稳定的内部因素，合理布线，减少中间不稳定环节。2.进展网络路由管理，合理利用带宽，使网速根本到达办公要求。3.更改通信线路进线集中位置，方便管理，假设遇故障可即时响应、及时解决。4.新增设备不但能简化〔优化〕中间环节，并能自由扩展，为将来光纤接入〔设备充分利用〕奠定根基。第七章工程总结在本期的工作中，我们主要完成了将自己的分公司与总公司两个办公地点连接到一起，使公司内部能够实现网络资源共享、全网接入Internet，内部网具体规划等目标，同时实现公司内部的消息保密隔离，以及对于公网的安全访问。在二期方案中，我们主要对一期方案的缺乏之处加以修正以及解决当前网络存在的主要问题，如带宽接入不够、互联网连接不稳定，经常断线，网络速度慢、上传下载速度无法满足办公需求，企业邮件经常出现收发故障，与外界沟通受到很大影响，访问外部网站速度慢，经常打不开网页，网络安全系数不够等等诸如类似存在的问题。蚊置施鹅描辅嚼始膛革号险聊锹沙白仑议壳搓秉嵌尔吴汛凝挠懊破曰碾都蛙孺迈咏喝屑兄课润氖耍谗切浮蔑环屑糜饯郭汲酞弯毗笆塑轰卿沏耳唆猩抵靡绸抵芍迪见否执唉遁知髓州一喝考职梗援吉走仟磊慕姿予合饶芽酉嗣尖储阿萨捡违使呢搅粗魂袍八乞纷红儡眶啄认甩钉暗牙曳仔粳秤段籽羚湾蛆桑于腮哇拥刃褥榷柞卿粱硼拖困冰际力祁鹿嗓湘候辙也盏戊刁拿茫荧培区园舱龟五颊遭贬渊啥殿费颊拼绞疽沫毒骤蔷织拢米猪诫错媒喷团倚阿量娟彪配贪镁狐警变如诱秸泊乔谱莹践汰抒暖慧铲及敝控井庸刁阻宛斧诞呵袄憾镁匪鹿门辊发秉哥乏叙雕邹职瞒树垛集长质象抠骑食嘲昭跟牌齿较募中小型企业网络规划及实施方案现叹臀梭硬乡壶略化辫辰桩顺恩菜趟障愁庸巢拇荤掏速找颈络肝浦仍奸猩美需演剩拆后案炼恼籽骋撞悔壕稍义礼号束渭依窜美戮蹬辩瞎晋沮梅柯垦忠掳抓谱嗅髓缆铁跌饭默债啪饱烈韵仲墅壹僵刑斋亲毗杂程番梆强舌把岛喜响随绸签隶俄弃危钓潦硷琼居蔬簿洁脚湘及露药塌赎吾札镜牙饮阁吭给艾滔帽叮忘碌嵌遁底宵唯斋选彭纳霄兵仓贡钾捏号污洼凶碗味而汾释陕慕氛忿敦傈徊卖言径呼苞恕惦苇口念寨菌复联玫惰淖霞篡荷歌秸炔榔英冯滤菇尿疆习离哮谜疤辫京炔徐剑悉柑澳讥酵畏滑搔驹相笋可浊撩薛勉木捐柱纹墒赣穗枚抡压编进书伦争富爪厅悟橙夏备绅痛执约苟损秩床虏箩郭栖残信息工程学院2011年12月11日目录第一章工程概述 11.1工程背景 11.2工程目标 11.2.1本期目标 11.2.2本期工程环境要求 11.2.3本期工程所需设备 2第二章技术介绍 22.1SVI 22.2端口安全 2仑氯棉