中小企业网络设计方案毕业设计方案

第PAGEI页共IV页摘要互联网技术发展到现在已经相当成熟,当今互联网已经成为全世界最大最全的信息中心,越来越多的人利用互联网来解放他们的生活，他们利用互联网来完成几乎所有现实生活中的事物.本设计结合一家中小企业网络的实际需求,通过对网络架构组建方案的设计、基于安全的网络配置方案设计、服务器架设方案设计、企业网络高级服务设计等方面的仿真研究，详尽的探讨了对该网络进行规划设计时遇到的关键性问题,以及网络相关的服务.该设计主要包括需求分析、拓扑结构设计、ＩＰ地址规划方案设计、服务器架设和网络安全设计等内容。论文针对中小企业网络拓扑进行设计和分析,通过CｉｓcoPａcｋetＴracer软件进行网络仿真配置和安全设计,给出了网络规划设计解决方案。关键之：CiscoPacketTrａceｒ；企业网络;互联网第PAGEII页共IV页AbstｒａctＴheｄeveｌopmentｏｆIｎternettecｈnｏｌｏgｙisquitematurenow，tｏdａy,theＩnteｒｎethaｓｂecoｍｅtｈｅｗorｌd＇slargｅsｔｉｎfｏrｍatｉoncｅｎtｅｒfoｒtｈewoｒｌｄ,ｍoreａｎｄｍｏｒepｅoplｅuｓetheInｔeｒnettoｔhｅlibeｒａｔｉonoftｈeiｒliｖeｓ,ａndtｈeyuseｔｈｅＩnterｎettｏcompleteaｌmｏstalｌｏｆthｅthingsｉnｒeaｌｌiｆe．Tｈｉｓｄeｓｉgnisbasｅontheａｃｔuaｌdemａnｄoｆasｍａlｌ—miｄdleenterprise,tｈroｕghthｅdesｉgnofwoｒｋinｆｒastｒuctuｒe,thedesignofｓｅｃuｒity—baｓeｄｎeｔworkconｆiguratioｎsoｌｕtion，theｄｅsｉgｎoftｈeｉnfraｓtrｕctｕｒeofseverfarm,theｄesignofadvancｅserｖices,tｏdeeplyｉｎvestｉｇａｔeiｎｔothｅprｏblemｗemeｔ，ａnｄtheｓeｒvｉcerelatｅdｔotｈeｎetworkｄｅｓiｇｎ．Thisdeｓｉｇｎiｓmａｉnｌｙfｏcusｏｎtherequiremｅntanaｌｙsｉｓ,ｔｏpolｏｇyｅｘcogｉｔatiｏｎ,IPaｄdｒeｓsdesign，serverfaｒmanｄｎｅtwｏrkｓecｕriｔydｅsiｇｎ．ThｉsａrticlｅｉｓfｏｃusontｈeａnaｌysisoｆnｅtｗorkｔopoｌogｙdeｓｉgnaｎduｓeｔｈeCisｃｏPaｃkｅtｔrａceｒtobｕildａｓｉmulaｔedinfｒasｔrucｔｕｒeｔｏillustraｔｅwhaｔIhavｅdone.Keyｗoｒds：CiscoPacｋetＴraｃer；Interｎet;EnｔerpriseNetwork目录ＴOＣ\ｏ”1－3”＼h＼z\uＨＹPERＬINK＼l"＿Tｏc295245200”第一章绪论ﻩPＡGＥＲEF_Toc295245２00\h1ＨYPERＬINK2．１企业背景ﻩＰＡGEREＦ＿Toｃ２９5２４5２０2\h2ＨYPERLINＫ\l"＿Toc29５２4５２０3＂2.2应用需求 PＡGEREＦ_Toc2９５2452０３＼h２HYPERLIＮK＼l＂_Tｏc２952４5204＂２。2。１带宽性能需求ﻩPAGERＥF_Ｔoc2９5２45204\h2HＹPＥRLＩＮK\ｌ"_Toc29５245205＂2。２．2稳定可靠需求 PAGEREＦ＿Toc2９52４5２０５\ｈ2ＨYPERLＩNK\l”＿Tｏc295245２06”2．2．３服务质量需求ﻩPAＧEREF_Toc２95２452０6\h３ＨYPERLＩNＫ＼ｌ”_Tｏｃ2９５２４５207"2.2．４网络安全需求ﻩPＡGＥREF_Tｏc2９5245207\h３ＨＹＰＥRLＩNK＼l"_Toc２９５2４5208"2。2．5应用服务需求ﻩPAGＥREF_Ｔoc29５２45208＼h３HYPERＬＩNK\ｌ”_Toc2９５245２０9"2.３网络安全系统设计原则ﻩＰＡGERＥF_Tｏc295２４５２０9＼h3HＹPERLIＮK＼l"_Ｔoｃ２９524５2１0＂第三章网络技术与拓扑结构ﻩPAＧＥREＦ_Toｃ2９５2４52１０\h５ＨＹＰERLINＫ＼l＂_Tｏc２9５2４52１1＂3.1网络设计原则ﻩPAＧＥREF_Ｔoc2９５2４５２11\h５HYPERLINＫ\l＂_Ｔoc2９５2４52１２"3．２网络技术选择 PAGＥREF_Toc295245212＼h5ＨＹPＥRＬＩNK＼l”_Tｏc２９5２45213＂3.2。１快速以太网ﻩPＡＧＥREF＿Toc2952４52１３\h５HYPERLINK\ｌ"_Toc2９5２45214”３.２．２VLＡNﻩPAGEＲＥF_Toc295２4５２14\h6HＹPEＲＬINK\ｌ"_Ｔoc２95２４521５＂3。２。3ＤHCPﻩPＡGEREF_Ｔoc2952４5215\ｈ7HYPERＬIＮK\l＂_Ｔoc2９5２45２16"3.2.4NAT PAＧERＥＦ_Tｏc２９5２4５21６\ｈ8HYＰEＲＬIＮK3.2.5ＡCＬﻩPAＧEＲEF＿Toc2９５2４5２1７\ｈ９ＨYPERLIＮK\l”_Ｔoc２9524５2１8"3。3拓扑结构图设计ﻩPAGERＥF_Toｃ2９52４５218\h1０HYPＥRLINK＼l"_Toc２95２４5219＂3.3.1网络拓扑结构的规划设计原则ﻩＰAGERＥF＿Tｏc2９５2４5２１9\h10HYPERLＩNK\ｌ”＿Toｃ29５2452２0”3.3。2主干网络(核心层）设计ﻩＰＡＧEＲEF_Tｏc295２452２０＼h1０ＨYPERLＩＮK＼l"_Ｔoc29524５221”3。３．３分布层/接入层设计ﻩPＡGEREF＿Ｔｏc２９5２４5221\h11HYＰEＲＬＩNＫ\l"_Tｏｃ2９５２4５222"3。３．４远程接入访问的规划设计ﻩPAGEＲＥＦ＿Ｔｏｃ29５2４5222＼h11HYＰERLＩNK＼ｌ＂＿Ｔｏc２95２4522３”3.4拓扑结构设计图 PAGEREＦ＿Toｃ295２45223＼h１2HYPEＲLINK＼l”_Ｔoc295２4522４”第四章ＩP地址规划网络设备配置ﻩＰAＧＥＲＥF_Tｏｃ29５2４５２24\h１4HYＰERＬＩＮK\l”_Ｔoc29５２4５2２5”４。1网络地址配置ﻩＰAＧEＲＥF_Toc2９5２45225\h14ＨYPEＲＬINK\l”_Toc2９52452２6＂４.2设备接口配置ﻩPAGEREF_Toｃ２９５2４5２26\h16HYＰＥRLINＫ\l”_Ｔｏc29５２4５227＂4。3网络设备的配置命令 PAGEＲEF_Tｏc29５2452２7\ｈ18HYPＥＲＬINK＼l＂＿Toｃ２95２4５22８"4。３．１核心交换机COＲＥ１主要配置命令ﻩPＡＧERＥＦ_Toｃ２9５245２２8\ｈ18ＨYＰＥRLINＫ４。３。２路由器的配置ﻩPＡGEREF_Tｏｃ295２４５2２9\h20HYPERLINK\l＂_Toｃ２９52４5230"4.３。3汇聚层交换机ＤSW１配置 ＰAＧERＥF_Tｏc２952４５２３0\h２１HYＰＥＲLINK＼l＂_Toc２9５2４5231"4.3.4接入层交换机MGR配置ﻩＰAGＥRＥF＿Tｏｃ２952４５２３1＼h22HYPERLＩNＫ＼l"_Ｔoc２952４５232"第五章测试各设备的连通性 PAＧＥREF_Ｔoc２952452３2＼h23ＨYPEＲＬINK\ｌ"＿Ｔoc2952４5233＂5.１VLAN间的连通性测试 ＰAGＥREF_Tｏc２95２452３3\ｈ23HYＰEＲLINＫ＼ｌ”_Toc2９52452３4”5．2设备的管理ﻩＰAＧEＲEＦ_Ｔｏc295２4５２34＼ｈ25ＨＹPERLＩNＫ＼l＂＿Toc2952４５２３5＂5．２。1对核心交换机,汇聚层交换机的tｅlｎet测试ﻩＰＡGEREＦ＿Tｏc29５245235＼h2５ＨYPEＲＬIＮＫ\l”_Ｔｏｃ２95２４5２36＂5。2.2路由器进行Ｔeｌnｅt测试ﻩＰAGEREF_Ｔoc2９5245２36＼h26ＨYＰＥRLINK\ｌ”＿Tｏｃ29524523７”５．2。3测试外网的连通性ﻩPAＧEＲEF_Ｔoc2９５24５2３７\h28HＹPＥRLＩＮＫ＼l＂＿Toc29５245238"5.3验证ＮＡTﻩ２952４５23８\h29HYＰＥＲＬINK\l”_Toc２９５245239＂5．４验证ＤＨCP服务ﻩPAＧERＥＦ_Toc29５2４523９\ｈ3０HＹＰＥRLINK第六章服务器搭建ﻩPAGEREF_Ｔｏc295２4５240\h３１ＨＹPＥＲLＩNK\l”_Toc295２４５２4１＂6.1DNＳ服务器配置ﻩＰＡGＥＲEF_Toc29５245241\h31HYPEＲＬINK\l”_Ｔoc295２4５242"６。2Email服务器配置 PＡGＥREＦ_Ｔoc2952４5２４２\ｈ３２HYＰERLIＮK＼l"＿Toｃ2952452４3＂6．３ＦTＰ服务器配置 ＰAGEＲＥF_Toc295２４５２43\h33HＹPＥＲLＩNK\l＂＿Tｏc29５2４524４"6.4ＴＦTP服务器配置ﻩPAGＥREF_Tｏc29524５2４4＼h35ＨYＰERLIＮＫ\l”_Toc295245２4５＂6。５HTＴP服务器ﻩPＡＧＥREF＿Toc２9５２452４5＼h３5ＨYPEＲＬＩNK＼ｌ"_Ｔoｃ29５245246”6.6Syｓloｇ服务器ﻩPAGERＥＦ＿Toc2９５２４5２46\h36ＨYPEＲLＩNK\ｌ"_Toｃ2９524５２4７"第七章企业网络安全设计ﻩＰAＧEＲEF_Tｏc29５245２47＼ｈ3７HＹPERLＩNK\ｌ＂＿Ｔoc２９524５２48＂7。1建立企业网络安全ﻩPAGERＥF_Toｃ295245２48＼h37HYPEＲLINＫ＼l＂_Ｔｏｃ29５24524９"7.１。1网络设备 ＰＡＧEREF＿Toc295245２49\h37HYPEＲLINK7。1.２数据库及应用软件ﻩＰAGＥRＥＦ＿Ｔｏc2952４5250\h3７ＨＹPＥＲＬINK\l”_Ｔoｃ29５２4５２51＂7。1。3E—mａil系统ﻩPAGERＥF＿Ｔｏｃ295245251＼h３７HＹPＥＲLINK＼l＂_Ｔoc29５２45252”7。１.4Ｗeｂ站点 PAＧＥREF＿Toｃ295245252\h38HＹPERLＩNK\l”_Toc２9524５25３＂７。２建立安全体系结构 PAGERＥF_Toc295２45253\ｈ38ＨYPERLINK＼l”_Toc2952４５２5４＂7.２.1物理安全ﻩPAGＥREF_Toｃ295245２5４\h38ＨYＰEＲＬIＮＫ\l"_Toc２９5２45２５5”７。2。２操作系统安全ﻩPＡGEREＦ_Toc２952４５255\ｈ38HＹPERLINＫ＼l"_Toｃ295245２56＂7．３使用ＡＣL封堵常见病毒端口ﻩPAGＥREF_Ｔoc2９524５２56\ｈ38HYＰＥＲＬINK\l＂＿Ｔoc29５245２57"7．4封堵p2p端口ﻩPAＧＥREＦ＿Ｔoｃ29５２452５７＼ｈ３9HYＰEＲLINＫ\l"＿Toc２952４525８”总结ﻩPAGEＲＥF_Ｔｏｃ29５24525８\ｈ41ＨＹPERLINＫ\l”＿Toc29５24525９＂致谢ﻩＰＡGEＲEF_Toｃ2952４５259＼h4２HYＰERＬＩNK\ｌ"_Ｔoｃ29５２4５2６0”参考文献ﻩPＡGEＲEF_Tｏc29５2４5２60＼ｈ43HYPEＲLINＫ\l＂＿Toｃ295２45261"附录部分配置命令ﻩＰＡGＥREF＿Tｏc295245２6１＼h44第32页共49页第一章绪论网络改变了人们的生活,地球变成了地球村，全世界的人可以随时进行网络交流。信息资源的共享，带来社会生产力空前提高，互联网与人们生活越来越密切，如网上证券期货交易、远程电子视频会议、网上购物等应用使得人们的生活已经越来越离不开网络，由此，信息高速公路的建设变得十分重要。企业规模的不断壮大和业务量的不断增加,原有的工作方式已不能满足现代企业的需要，特别是对突发事件的处理能力与速度的需求。现代企业如果没有信息技术的支持，就不能称之为现代企业。随着网络技术的不断成熟、网络产品价格的不断下降,以及对数据传输和信息交换需求的不断增加,现在各企业均正在或已搭建了企业内部局域网,因为，企业网络的建设是企业向信息化发展的必然选择。企业网络为企业的现代化发展、综合信息管理和办公自动化等一系列应用提供了基础平台。本设计结合中小企业实际需求，举例分析、设计、配置、模拟组建了一个典型的中小企业网络。CｉsｃoＰａcｋetＴracｅｒ是由Ｃisco公司发布的一个网络仿真工具,使用该工具可以搭建网络的模拟环境，对网络进行设计、配置、故障排除等。用户可以在工具的图形用户界面上直接使用拖曳方法建立网络拓扑，并可提供数据包在网络中行进的详细处理过程,观察网络实时运行情况.可以学习IOＳ的配置、锻炼故障排查能力等。目前最新的版本是PacketＴrａcｅr5．3。第二章需求分析本章结合企业背景，应用需求，安全设计原则对网络进行详细的需求分析２．１企业背景该企业是一家生产研发型企业,主楼是一座四层办公大楼,办公大楼后方是一栋较大的生产车间。整个办公楼有信息点大概１０0个,企业中心机房设在办公大楼三楼中间.2．2应用需求２．2.1带宽性能需求现代大型企业网络应具有更高的带宽，更强大的性能,以满足用户日益增长的通信需求。随着计算机技术的高速发展,基于网络的各种应用日益增多,今天的企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化,Ｗeｂ浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据,以及带宽和时延都要求很高的ＩP电话、视频会议等多媒体业务。因此，数据流量将大大增加,尤其是对核心网络的数据交换能力提出了前所未有的要求。另外，随着千兆位端口成本的持续下降，千兆位到桌面的应用会在不久的将来成为企业网的主流。从2００4年全球交换机市场分析可以看到,增长最迅速的就是10Gｂps级别机箱式交换机,可见，万兆位的大规模应用已经真正开始。所以，今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标准,核心层及骨干层必须具有万兆位级带宽和处理性能，才能构筑一个畅通无阻的＂高品质"大型企业网，从而适应网络规模扩大，业务量日益增长的需要。2.2。2稳定可靠需求现代大型企业的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通,保障企业生产运营的正常进行.随着企业各种业务应用逐渐转移到计算机网络上来，网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企业网络在可靠性设计方面主要应从以下３个方面考虑。设备的可靠性设计：不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察。业务的可靠性设计:网络设备在故障倒换过程中,是否对业务的正常运行有影响。链路的可靠性设计:以太网的链路安全来自于多路径选择,所以在企业网络建设时，要考虑网络设备是否能够提供有效的链路自愈手段，以及快速重路由协议的支持。2．２.3服务质量需求现代大型企业网络需要提供完善的端到端QｏS保障，以满足企业网多业务承载的需求。大型企业网络承载的业务不断增多,单纯的提高带宽并不能够有效地保障数据交换的畅通无阻,所以今天的大型企业网络建设必须要考虑到网络应能够智能识别应用事件的紧急和重要程度,如视频、音频、数据流（MIＳ、ＥRP、ＯA、备份数据）。同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现对业务的合理调度才是一个大型企业网络提供"高品质"服务的保障。2.２．4网络安全需求现代大型企业网络应提供更完善的网络安全解决方案,以阻击病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件，以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御,但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,这样才能有效地保证企业网络的稳定运行。2．２.５应用服务需求现代大型企业网络应具备更智能的网络管理解决方案,以适应网络规模日益扩大，维护工作更加复杂的需要。当前的网络已经发展成为”以应用为中心”的信息基础平台,网络管理能力的要求已经上升到了业务层次,传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物力的线缆故障定位工作,网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作，由于受网络设备功能本身的限制,都还属于费时、费力的任务。所以现代的大型企业网络迫切需要网络设备具备支撑”以应用为中心"的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。２.3网络安全系统设计原则虽然任何人都不可能设计出绝对安全和保密的网络信息系统，但是,如果在设计之初就遵从一些合理的原则,那么相应的网络系统的安全和保密就会更加有保障。如果设计时考虑不全面，消极地将安全和保密措施寄托在事后“打补丁”的思路是非常危险的。从工程技术角度，应遵循的原则如图２。1所示。图2．１网络安全设计原则木桶原则:对信息均衡、全面地进行保护。整体性原则:进行安全防护、监测和应急恢复。实用性原则：不影响系统的正常运行和合法用户的操作.等级性原则：区分安全层次和安全级别。动态化原则：安全需要不断更新.设计为本原则：安全设计与网络设计同步进行。第三章网络技术与拓扑结构本章结合企业的需求分析,对企业的网络架构进行搭建,并对该企业架构所用到的技术进行分析,以及对拓扑结构的设计进行分析.3。1网络设计原则实用性和经济性:系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则，建设企业的网络系统。先进性和成熟性：系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内企业网络仍占领先地位。可靠性和稳定性：在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。安全性和保密性:在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制.可扩展性和易维护性:为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护，采用可网管产品,降低了人力资源的费用，提高网络的易用性。3．2网络技术选择网路技术的选择对影响网络性能，网络的维护，网络的安全指数有着重大的联系,因此对网络技术的选择必须高度重视.3．2．1快速以太网以太网(Ｅthernｅt)是一种计算机局域网组网技术。IEEE制定的IＥEＥ８0２。3标准给出了以太网的技术标准.它规定了包括物理层的连线、电信号和介质访问层协议的内容.以太网是当前应用最普遍的局域网技术.它很大程度上取代了其他局域网标准,如令牌环网(tokｅnｒing）、ＦDDI和ARCNＥT。以太网的标准拓扑结构为总线型拓扑，但目前的快速以太网（1０0BＡSE—T、100０BASE－T标准）为了最大程度的减少冲突，最大程度的提高网络速度和使用效率，使用交换机(Sｗiｔchhｕb）来进行网络连接和组织，这样，以太网的拓扑结构就成了星型,但在逻辑上，以太网仍然使用总线型拓扑和CSMA/ＣＤ（CarrｉｅｒＳeｎｓｅＭultipｌeＡｃcesｓ/CｏllisｉonＤeｔect即带冲突检测的载波监听多路访问）的总线争用技术。快速以太网是世界上应用最广泛的组网技术,其强大的灵活性，简便性，传输介质的多样性，拓扑结构的灵活性，符合中小企业的设计要求以太网基于网络上无线电系统多个节点发送信息的想法实现，每个节点必须取得电缆或者信道的才能传送信息，有时也叫做以太(Eｔhｅr）.（这个名字来源于19世纪的物理学家假设的电磁辐射媒体—光以太。后来的研究证明光以太不存在.)每一个节点有全球唯一的４８位地址也就是制造商分配给网卡的MＡＣ地址,以保证以太网上所有系统能互相鉴别。由于以太网十分普遍,许多制造商把以太网卡直接集成进计算机主板。3。2.2VLＡN为实现交换机以太网路的广播隔离,一种理想的解决方案就是采用虚拟局域网技术。这种对连接到第2层交换机端口的网络使用者的逻辑分段技术实现非常灵活，它可以不受使用者物理位置限制，根据使用者需求进行ＶＬＡN划分；可在一个交换机上实现，也可跨交换机实现；可以根据网络使用者的位置、作用、部门或根据使用的应用程序、上层协议或者以太网路连接硬件地址来进行划分.一个VLAN相当于OＳＩ模型第2层的广播域,它能将广播控制在一个VLＡN内部。而不同VＬＡＮ之间或VLAN与ＬAＮ/WＡN的数据通讯必须通过第３层（网络层）完成。否则,即便是同一交换机上的连接，假如它们不处于同一个VLＡN，正常情况下也无法进行数据通讯为了解决资讯安全议题，1９95年IEEＥ802委员会发表了802．1ＱVLＡN技术的实作标准与讯框结构，希望能透过设定逻辑位址（TPID、TCＩ),对实体局域网区隔成独立虚拟网段,以规范封包广播时的最大范围。如下图，VLAＮ解决了物理位置的限制图3．１ＶＬＡＮ示意图VLＡN的标准有两种，Ciscｏ公司的ＩＳL，以及IEEE8０2.1Q由于后者是国际化标准，而且其传输效率更高，所以更适合网络需求。使用VLAN的好处有以下几点：广播风暴防范：限制网络上的广播，在一个VＬＡN中的广播不会送到VLAN之外。同样,相邻的端口不会收到其他VLＡＮ产生的广播。这样可以减少广播流量,释放带宽给用户应用，减少广播的产生。安全：不同VＬAＮ内的报文在传输时是相互隔离的，即一个VLAＮ内的用户不能和其它VＬAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备.成本降低:成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高,因此可节约成本。性能提高：将第二层平面网络划分为多个逻辑工作组（广播域)可以减少网络上不必要的流量并提高性能.另外使用ＶLＡＮ还可以提高ＩT员工效率，简化项目管理或应用管理,增加了网络连接的灵活性等优点。3.２。３DHＣP某些的主机不需要静态的IＰ，因为其并非永久的使用该地址，当主机离开网络，就得释放这个IP地址，以给其它工作站使用,动态分配显然更加灵活。DHＣP是目前应用最为广泛的为网络主机分配ＩP地址的方式之一.DHCＰ允许ＤHCP客户端从DHCP服务器获取ＩＰ地址，子网掩码,默认网关ＩP地址，ＤＮS服务器IP地址以及其他IP地址类型信息.DHCP工作原理如图图３．2ＤHＣP的工作原理第一步：由于DHCP客户端初始启动时没有IＰ地址,默认网关或这类配置信息，因而DＨCＰ客户端初始启动后通过发送目的地为２５5．255。2５5.２５5的广播消息(DＨCPdiscoｖｅry）来试图发现DＨＣＰ服务器。第二步：DHＣP服务器接收到ＤHCＰdisｃoｖｅｒy消息后，响应以DHCPoffer消息。由于DHＣPdｉｓｃovｅrｙ消息是以广播方式向外发送的，因而可能会有多个DHCP服务器响应发现请求,不过客户端通常会选择其接收到的第一个DＨＣＰoffｅｒ消息的服务器作为ＤＨCP服务器。第三步：DHCP客户端通过发送DHＣPrｅｑｕest消息与选定的服务器进行通信,让DＨCP服务器提供IP配置参数。第四步：最后,DHCP服务器以DHCPACＫ消息响应客户端，DHCPＡＣＫ消息包含了响应的IP配置参数。3。2。４ＮAT在计算机网络中,网络地址转换（NetwoｒkAddressTｒanｓlaｔｉon或简称NAT，也叫做网络掩蔽或者IＰ掩蔽)是一种在ＩP数据包通过路由器或防火墙时重写源IＰ地址或/和目的IＰ地址的技术.这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中。目前人们普遍认为NAT完美的解决了IP地址不足的问题，的确,他真的是一样很有用的工具，可以说没有NＡT，我们的网络不会得到如此迅速的发展.但NAT也让主机之间的通信变得复杂，导致通信效率的降低。NAT优点:节约合法注册地址，减少地址重叠出现，增加链接Ｉｎｔｅrｎｅt的灵活性，网络变更时避免地址的重新分配。NAＴ缺点:地址转换产生交换延迟,无法进行端到端的IP跟踪，某些应用程序无法实现在ＮAT的网络中运行。NＡT运行示例：在下图中主机１0．１。1。1发送一个外出数据包到配置了ＮAＴ的边界路由器,边界路由器识别出此IP地址为内部IP地址，目标是外部网络，他要转换内部本地IP地址，并把转换结果记录到NAT表中，这个数据包使用转换后的新的源地址被发送到外部接口，外部主机返回此包到目标主机,NAT路由使用ＮAT表转换内部全局IP地址为内部IＰ地址,整个过程基本就是这样。下图是基本的ＮＡＴ工作原理示意图图３。3NAＴ工作原理示意图3．2.５AＣL内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量，控制访问的一种网络技术手段.ＡCＬ可以限制网络流量、提高网络性能。例如,ＡＣL可以根据数据包的协议，指定数据包的优先级.ＡCL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问.AＣL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞.例如，用户可以允许Ｅ-mａil通信流量被路由，拒绝所有的Tｅｌnet通信流量。例如：某部门要求只能使用WWW这个功能，就可以通过ＡCＬ实现;又例如,为了某部门的保密性，不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。访问控制列表的工作示意图数据包进入接口数据包进入接口允许通过是否设置了ACL与ACL对比是否匹配有没有更多的ACL?与下一条ACL对比丢弃图３.4ACＬ工作示意图3。3拓扑结构图设计网络的拓扑结构对整个网络系统的运行效率，技术性能发挥,可靠性与费用等方面都有着中重要的影响。确立为网络的拓扑结构是整个网络系统方案的规划设计的基础.拓扑结构的选择和地理环境的分布，传输介质，介质访问控制方法,甚至网络设备选型等因素紧密相关.3.3.1网络拓扑结构的规划设计原则构成局域网的拓扑结构有很多种，最常见到的有总线拓扑、星型拓扑、环型拓扑及各种混合性拓扑等。采用不同的网络控制策略（即网络数据的传输与通信的有关协议和控制方法)，所有使用的网络连接设备也不一样。因此，无论在网络的规划或设计时都必须首先决定将采用那一种网络拓扑结构，选择合适的网络拓扑结构非常重要的。也就是说，选择网络拓扑结构是网络规划设计的第一步.中小企业在选择网络拓扑结构的时候，应从经济性、灵活性和扩展性好、可靠性、易于管理和维护几个方面着重入手.在现在企业中经济效益都是首要考虑的，在建设网络投资的同时就考虑到经济效益的回报。拓扑结构的选择直接决定了网络安装和维护的费用。因为,拓扑结构的选择与传输介质的选择、传输距离的长短及所需网络的连接设备密切相关。灵活性和扩展性也是选择网络拓扑结构时应充分重视的问题。任何一个网络都不能一劳永逸的，随着用户的增加,应用的深入和扩大，网络新技术的不断涌现,特别是应用方式和要求的改变，网络经常需要加以调整。然而，网络的可调性与灵活性，以及可扩展性与建立网络时拓扑结构直接相关。网络的可靠性是任何一个网络的生命。当网络总的某个节点或站点发生问题的时候时,网络不能正常工作。网络拓扑结构的选择还直接决定网络故障检测和故障隔离的方便性。总之,中小企业网拓扑结构的选择，需要考虑的因素很多,这些因素同时影响网络的运行速度和网络软硬件接口的复杂程度等等。3。3．2主干网络（核心层)设计主干网络技术的选择,需根据需求分析中地理距离、信息流量个数据负载的轻重而定.一般而言,主干网一般用来连接建筑群和服务器群,可能会容纳网络上的4０%-６0％的信息流，是网络的大动脉。连接建筑群的主干网一般以光纤作为传输介质,典型的主干网技术主要有千兆以太网、ATM和FＤDＩ等。根据中小企业的需求和中小企业网络拓扑结构的规划设计原则等角度来考虑，采用千兆以太网是中小企业比较理想的做法。ＦDDI基本已属于昨天的技术，支持它的厂商越来越少。AＴＭ是面向连接的网络，能保证一些突出负载在网上传输，但由于ATM在企业局域网的所有应用需要ＥLAN仿真来实现,不仅技术难度大,且带宽效率低,已证明不适合做企业网络,但如果单建网单位对实时传输要求极高,也可以考虑选用。根据中小企业的建网规模，对经费比较紧张的企业,可以采用100BASE—FX,即用光传输介质上快速以太网。端口价格低,对光缆要求不高。是一种非常经济的选择。主干网的焦点是核心交换机（或路由器).如果考虑提供较高的可用性，而且经费允许，主干网可采用双星（树）结构，即采用两台同样的交换机，与接入层／分布层交换机分别连接。双星结构解决了单点故障失效问题，不仅抗毁性强,而且通过采用较新的链路聚合技术，例如快速以太网的FＥC、千兆以太网的ＧＥＣ等技术，则可以通过允许每条冗余连接链路实现负载分担。千兆以太网一般采用光缆作为传世介质。多种波长的单模和多模光纤分别用于不同的场合和距离。由于企业建筑群布线路径复杂的特殊性，一般直线距离超过300M的建筑群之间的千兆以太网线路就必须要用单模光纤。单模光纤本身不贵,昂贵的是光端口及组件。在企业中,经常会根据需要对骨干网及核心交换机改善设计或对旧网经行升级改造的技术，如:ＦEC/GEＣ（快速以太网/千兆以太网链路聚合技术）、ＣGMＰ（分组管理协议）、ＧＢIＣ(千兆位集成电路)、HSRP（热等待路由协议）。3.3。３分布层／接入层设计中小企业网络中分布层的存在与否，取决于外围网采用的扩充互联方法。当建筑物内信息点较多（如，22０个）超出一台交换机所容纳的端口密度，而不得不增加交换机扩充端口密度时，如果采用级联方式,即将一组固定端口交换机上联到一台背板宽带和性能较好的二级交换机上，再由二级交换机上联到主干；如果采用多个并行交换机堆叠方式扩充端口密度，其中一台交换机上联，则网络中就有接入层,没有分布层。要不要分布层，采用级连还是堆叠，要看网络信息流的特点，堆叠体内能够有充足的宽带保证,适合本地（楼宇内）信息流密集、全局信息负载相对较轻的情况；级连适宜于全网信息流较平均的场合，且分布层交换机大都具有组播和初级QｏＳ(服务质量）管理能力,适合处理一些突发的重负载（如VOD视频点播),但增加分布层的同时也会使成本提高.分布层/接入层一般采用100BASＥ-Ｔ(X)快速(交换式）以太网,采用10／10０Mbｉｔ/ｓ自动适宜传输速率到桌面计算机。传输介质则基本上是双绞线。接入层交换机可选择的产品很多，但是一定要注意接入层交换机必须支持１~2个光端口模块，必须支持堆叠,如果主干网为千兆以太网,接入层交换机还必须支持ＧBＥ模块。３．３。４远程接入访问的规划设计在企业中,由于布线系统费用与实现上的限制，对于零散的远程用户接入，利用PSTM市话网络进行远程拨号访问几乎是唯一的经济、简便的选择。远程拨号访问需要规划远程访问服务器和Modｅｍ设备，并申请一组中继线（企业内部有PABＸ电话交换机则最好）。由于整个网络中惟一的窄宽设备,这一部分在未来的网络中可能会逐步减少使用。远程访问服务器（ＲAＳ)和Moｄem组的端口数目一一对应,一般按一个端口支持20个用户计算来配置。3。4拓扑结构设计图在网络拓扑结构的方案设定后,进一步具体化的时候就需要考虑网络结点的规模设计,理论上采用排对论等数学工具进行设计，但是实际中往往采用类比法。中小企业网络拓扑规划设计中根据主干网拓扑结构,确定分组交换结点位置、设备、结点间传输介质，包括网络协议，确定结点间实现的协议、结点数目、数据流量和传输速率.在设计中要充分考虑到网络管理的需要，在结点中加载符合国际标准的网管模块，以实现对全网的监视和动态检测.本设计由模拟器所实现，由于模拟器能实现的设备只有少数,但其都具有较好的代表性,这里交换机统一选择2960－24ＴT,三层交换机先用３650—24PS，出口路由选择2811，IＳP路由选择1841．这里,设备型号并不是本设计所关心的.本设计使用３层拓扑结构设计,其中包括接入层，汇聚层，核心层。核心层与汇聚层拓扑结构如下图3。5核心层与汇聚层拓扑结构示意图如上图所示，核心交换机之间使用了两条链路的连接，比采用ｔunnｅl技术，其目的是为了应付核心与核心之间的高速通信,汇聚层的交换机与核心层的两个交换机都有链路连接,目的是为了保障企业网络具有更高的可靠性。每个核心交换机与出口路由器连接,并可以对IＳP进行访问。双核心交换机的设计使得企业网络的可靠性更高,容错性更强。汇聚层与接入层之间的连接如下图所示图３.6汇聚层与接入层的拓扑结构示意图为了实现高可靠性，高容错性，每台二层交换机都以两条链路与汇聚层的三层交换机连接，这样做的目的是即使其中一条链路,或其中一个交换机出现故障了，也不会影响用户的正常通信。第四章ＩP地址规划网络设备配置IＰv４正在面临地址枯竭的危机,这个问题是无法避免的,我们需要交流，而现有的系统已经难以为继，就像马车快递比不上航空快件一样，人们已经在保留IP地址方面付出了很多时间和努力,但一个明显的事实是连接到网络中的人员和设备数量每天都在增加，IＰv4地址大约有4３亿个，理论上说，我们并没有用完这些地址,实际上只有2亿5千万个地址可以分配给设备使用，当然NAT，CIDR的使用很大程度上缓解了地址枯竭的问题,但我们终有一天会把这些地址耗尽,这种情况可能就在几年之后,中国人才刚刚开始上网,据计算，我国只有10%的人连接到Interｎet。而按照这个数据统计，我们不可能每个人都拥有一台计算机.但事实上,我们不仅只有一台笔记本电脑，而且还有手机，台式机,打印机等。现今的企业一般只能分配到一个公用的IP地址,通过使用NＡＴ地址转换,将内部地址转换为公有地址，比对外网进行访问。4．１网络地址配置企业公网地址为６6。６６．66.66/２９内部局域网地址为192．１68.0。０/20VLＡN规划如下表表4。１VLAN详细划分及地址分配部门VLＡN地址范围(/２4)默认网关ＩT技术与管理1１９2。１6８.１。0１９2．168．1.1工作组1２１92．168．２．019２．１6８.2.1工作组23１９2．１68．3。01９２．１6８。3．1工作组3419２．1６8.4.０192．168．4．1工作组4５１92。168.5．0１92。168.５。1工作组561９2．1６８.6。０1９２．1６８.6。１工作组671９２.１6８.7.0192.168.７.1工作组７８19２.１6８.８。0192.１68。8.1工作组8９1９２。1６8.９．0192.１6８．9。1客户10192。168.１0。0192。１６8.10。１服务器是网络中不可少的一个部分。服务器的合理的搭建是影响网络性能的关键,下面给出网络内服务器的地址信息。表4。2服务器IP地址规划服务器名称IP地址VLAN网关备注DＮS１92。１６8．8。108192.1６8．8。1域名解析ＥＭＡＩL192.16８．8.２０８1９２.１68．8。１邮件TＦTＰ1９2．１68.8．3081９2．16８。8．１简单文件HＴTＰ192.16８。８.４0８1９２。１６８。８．１WWWFＴP19２。１68。8。5０819２.16８。８．1文件传输AAA1９2。168.8．6０８1９2.16８。8。1AAＡ认证通过使用对每个设备分配一个ＳVＩ的VＬAＮ1地址，目的是用于设备的远程管理。SVI配置如下表表４．3各网络设备的管理地址设备名称管理地址(ＶLAＮ1地址）所含VLANＭＧR1９２．168。1.1１1，２AＳＷ1192。168。1．121,3ASＷ２192.１６8.1．１3１。4ＡSW3１９2．168.1.141．5ASW4192.１６8．1。1５１,6ＡSＷ5192.1６8．１．161,7ＤＳＷ１19２．16８.1。101-7DSW2192．168。1.２0１－7ＤSW3192．１６8．1。301,９－１0DSW４192。1６8.１.40１，9-10DＳW５1９2．１68.１。50１，8ＤSW６192。1６8。1.601，8ＣORE119２.168.１。１ALLCORE２１92。1６８.１.2ALLG２ASW11９2.168.1。3１１，9G2ASＷ２192．１６8.1．32１，９G２AＳW３192．168．１。3３1,10G2AＳW41９2.168.1。３４1，1０为方便统一管理网络设备的ｅnaｂle密码都设置为ｅｎablｅｓecrｅtjｅasｋｙ,相比eｎaｂleｐassword命令，secret以加密方式保存,而passｗord则以明文保存,前者安全性较高。由于网络设备地理位置差异，对设备进行远程管理是网络设计不可少的一个部分,为了方便管理，所有网络设备teｌnet密码都设为jeasｋy.４。2设备接口配置核心交换机与路由器的接口配置为路由接口,并配置了ＩＰ地址，与路由器相连，具体配置信息如下表.表４．4核心交换机和路由器端口ＩＰ配置接口名称IＰ／mａｓk备注CORＥ1ｆ0/２４１7２。１６．1.2/２4连接路由器ｆ0／0CＯＲE２Ｆ0／２４1７2．16。1。3/２４连接路由器f0/1路由器f0/０172．16．1.１／２４连接CORE１f0／2４路由器f０／1172．16.１.4/24连接COＲE2ｆ0／24路由器s０/0/0６6．66．66．66／２9连接ＩＳP核心交换机的各个端口的端口号,用途,以及接口类型如下表表４。5核心交换机端口用途与类型端口号用途接口类型FａstEthｅrｎet０／1连接DＳW1ＴｒuｎkFａstEtherｎet０/２连接DＳＷ2TrunkFastEtｈｅrnet0/3连接DSW3TｒuｎｋＦastＥtherｎet0／4连接ＤSW4TrｕｎkFastＥｔherｎet0/5连接DSW５ＴｒunｋＦａstEtｈerｎet0/6连接ＤSW6TrｕnkFaｓtEｔheｒnet0／24连接路由器ＲｏｕｔeｄPortＧiｇaｂitEthｅrneｔ0／１与COＲＥ２组成etherｃhａnｎelEtherChａnneｌＧigaｂitEtｈernｅt0／２与CＯＲE２组成eｔherｃhannelEｔherCｈanｎｅｌ汇聚层交换机的各个设备名称，以及该设备的端口号,端口用途，端口类型的相机信息如下表4．6汇聚层交换机端口用途与类型设备名称端口号用途类型DSW1FasｔEｔheｒneｔ０/1连接CＯＥR１TｒｕnkＤSＷ1FａsｔＥtheｒneｔ0/2连接ＣOＥR２TｒｕｎkDSW１FastＥtｈｅrnｅｔ0/3连接ASＷ1TrｕnｋＤＳW１FaｓtEｔｈｅｒneｔ0/4连接ＡＳW2TｒunｋＤＳＷ１ＦastEｔheｒｎeｔ０/5连接ASＷ３TrunｋDSW１FastEｔhernｅｔ０／6连接ASW4TrunｋDSW1ＦaｓｔEthｅｒｎet0/7连接ASW5TrｕnkＤSW1FasｔEｔｈerneｔ0／8连接AＳW6TｒunkDSW2FasｔEｔｈerｎｅt0／1连接COＥR1TruｎkＤSＷ2FaｓtEtｈｅrnet０/2连接CＯEＲ２TruｎkＤＳW２FaｓtＥtｈernｅt0/3连接ASW1TｒunｋＤＳW2ＦaｓtＥｔherneｔ0/４连接ＡＳＷ2TｒｕnｋDSW2FａｓtEtherneｔ０/5连接AＳW3TｒuｎｋDＳW2FａstEｔhernｅt０／６连接AＳW4TruｎkＤＳW2FａsｔEｔheｒneｔ0／7连接ASW5TｒｕnｋDＳＷ2ＦasｔEｔｈeｒnet０/８连接ＡSＷ６TrｕｎkDSW3FastEtｈernet0/1连接ＣＯEＲ１TruｎkDSW3ＦastEｔｈerｎｅt０/2连接CＯER2TruｎkDSW3FasｔＥtheｒｎｅｔ０/3连接G２ASＷ1TrunkDSＷ3FａstＥtherneｔ０/4连接Ｇ2AＳW2ＴrｕnｋＤSW3FastＥtｈernet０/5连接G2ASW３ＴｒuｎkDＳＷ3FaｓtＥtｈernet0／６连接G2ＡSW4TrｕnkDＳW4ＦastEｔherｎet0/1连接COＥR1TrｕnkＤSW４FａｓtEｔｈernet0/２连接ＣＯＥR2ＴrunｋDSW４FａｓｔEthｅrnet0/3连接G2AＳW1TｒuｎkＤSW４FastＥｔhernet0/4连接G2ＡＳW２ＴｒunｋDＳW４ＦastＥｔｈernet0/5连接G2AＳW３TｒunkDSW4FastEtｈｅrｎｅｔ０／６连接G２ＡＳW４TrｕｎｋＤSW5ＦａｓtEthernｅt0/1连接COEＲ1TruｎｋDSＷ５ＦａstＥtｈerneｔ０／2连接COEＲ２TｒｕnkDSＷ5FasｔEtherｎet0/3连接DＮＳAcceｓｓDSW５ＦastEtｈerneｔ０／4连接ＥMＡIＬAccｅssDSW５FaｓtＥtｈｅrｎet0/5连接ＴFTPＡｃcｅｓsDSW６FａstEtheｒｎｅｔ0／1连接COEＲ１ＴrｕnkＤSW６FasｔEtherｎeｔ０／２连接COEＲ2ＴrunkDＳW6FaｓｔＥtherneｔ０/３连接ＨTTPＡｃcｅssDＳW6FastEｔherneｔ０／４连接FＴPＡcｃｅssＤSW６FastEthｅｒnet０/５连接ＡAＡＡccess接入层交换机的设备名称，以及该设备的端口号，端口的所属ＶLＡN，其用途与类型如下表.表4。7接入层交换机端口号用途与类型设备名称端口号ＶLAＮ用途类型ＭGRＦ0／１—F０/10１主机接入AcceｓｓＭＧＲＦ0／１1－２０2主机接入AccessMGRF0/21—连接DSＷ1TruｎkＭGRF0/２２—连接DＳW2ＴrｕnkASW1F0/１－F0/20３主机接入AcｃeｓｓASW1F０/21—连接DSW１TrｕnkASＷ1F0／22—连接DＳW２TrunkAＳW2F0/１-Ｆ0／２0４主机接入AｃｃeｓｓASＷ2F0／２1—连接DSＷ１TruｎkＡSW２Ｆ0／２２—连接DＳＷ2TrunkＡSＷ３Ｆ0／1—F0／2０5主机接入AｃcessASW3F０／2１—连接ＤＳW1TrunkASＷ3F０/２2—连接DＳＷ２ＴrｕnkAＳW４F０/1-F0／206主机接入AccｅssAＳW4F0/２1—连接DSＷ1TrunkＡSＷ４F0／22-连接DSW2TrｕnkＡSＷ5F０/1—F０／２０７主机接入ＡｃcesｓＡSW５Ｆ0/21—连接DＳW1TｒuｎｋAＳW5Ｆ０/22-连接DSＷ2TｒuｎkＧ2ASW１Ｆ０/1—Ｆ０／2０９主机接入AcｃｅssG2ＡSＷ１F０/21—连接ＤＳW3TrｕnｋＧ２ASW１Ｆ0/2２—连接ＤSW3TｒuｎkG２ＡSW2F０/１-F0/２0９主机接入ＡccessG２ASＷ２F0/２1—连接ＤSＷ３TrunkG２ＡＳW2Ｆ０/２2—连接ＤSＷ3TruｎｋＧ2ＡＳＷ3F0/1—F０/２0１0主机或AP接入AcｃｅsｓＧ２ASW3F0/21—连接ＤSＷ3TｒuｎｋＧ2AＳW3F0/２２—连接DSW3TrｕｎｋG2ASW4Ｆ0/1—F０／2010主机或AP接入AccessG2ＡＳW４Ｆ０/２1-连接ＤＳW3TrｕnkＧ2ＡSＷ4F0/2２-连接DＳW３Ｔrｕnk4.3网络设备的配置命令各网络详细配置见附录,核心交换机CORE1，路由器Ｒoｕter,汇聚交换机DＳＷ1与接入层交换机MGR的配置如下4．３．1核心交换机CORE1主要配置命令核心交换机的主机名为ＣOＲE1，并设置了设置enablesｅｃret密码为jeasｋy,密码经过加密处理。该设备为ＶＬＡN10客户提供DHＣＰ服务,并保留地址192．1６８．1。１作为VLAＮ１０的默认网关，所以该地址不在DHCＰ分配范围内。该设备创建一个了ＤＨＣP池，名称为ｔeｓt,并应用到网段为１9２．1６８.1０。0／2４网络，即VLAN10,指定默认网关为１9２.168。10．１（ＣORＥ1的VｌAＮ1０地址),DNＳ服务器为192。１６8.8．1０(VＬAN8地址）。为保证所有通信都由此核心交换机完成,该配置这个交换机为所有有VＬＡN的Root,命令spanninｇ—trｅｅvｌａn1—10rooｔpｒｉｍａry确保ＣＯＥＲ1是所有VLAN的Roｏｔ。将端口Fa0/１到Fa0/6设置ｔｒunk端口并使用８０２。1Ｑ封装其他接口保留默认模式即dｙｎaｍｉｃauｔo当接口另一端为dynａmｉcdeｓｉｒabｌe,或为Ｔｒunk时该接口为自动谈判为trunk模式,当接口另一端为accesｓ或ｄyｎamｉｃauto时该接口自动谈判为acｃesｓ。将FａsｔEtherｎet0／２4接口定义为三层路由接口，用于连接路由器。将GｉgabｉｔＥthernｅｔ0/１–GiｇａbｉtＥthｅｒnｅt0/2端口添加到Etherchaｎnｅｌ1组，并使用ＬACP（LiｎｋＡggregatｉonCoｎtｒolProtoｃｏl，链路汇聚控制协议）acｔiｖe主动模式，该模式下端口会主动向对方端口发送LＡＣPDU报文设置静态路由,将所有主机对外访问转发至路由器定义访问列表，只允许IP地址属于VLAN1主机的通过该访问列表把系统日志发送到Syslｏg服务器(19２.１68．8。50)。定义该设备只允许符合aｃcess—list1０对其进行ｔｅlnet远程管理，并设置telｎｅt密码为ｊeａsky其部分配置命令如下。hostnamｅCＯRE1ipdhcpexclｕｄｅｄ—ａddress１92。１68．10．１iｐｄhcppoｏｌｔｅstnｅｔｗoｒｋ192．168。10。025５。255。２５5。0ｄｅｆauｌt-rｏuｔeｒ１92．16８。1０.1dｎｓ-sｅrvｅr19２.１６8．８。１0spａnniｎｇ—treevｌan１－10prioｒitｙ２45７６iｎteｒfaceｒangeFasｔEｔherｎｅt0／１–ＦastＥtheｒnet0/6swｉtｃhporttｒunｋencapｓｕｌatｉondot1qswitｃｈpｏrｔmoｄetrｕｎｋiｎterfaceFａstEtherｎeｔ０／２4nｏswiｔchportiｐaddｒesｓ1７2。16.１．2２55．2５5.255。0ｉｎterfacｅｒanｇeGｉｇabitＥthernet０/1–ＧiｇａbitEtheｒnｅｔ０／２ｃhａnｎel—protocollａｃpchannｅｌ－grｏｕp１moｄeactｉveｓｗitchｐorｔｔｒｕnkencａｐsuｌationdot１qｓwｉtcｈportｍodetrunkｓｗitcｈpｏrttｒｕnｋeｎcapsulaｔｉondoｔ1qswitcｈｐｏｒtmoｄetｒuｎｋinterfａcePorｔ—cｈaｎneｌ1swｉｔchporｔｔｒunｋｅncａpsｕlatｉondot1qsｗｉｔｃhportmodeｔｒunkiproｕte0.０。0。00。０．0。017２。16.１。1access—ｌisｔ10pｅrmit1９2.１68.1.０0。０.0．25５ｌogｇiｎｇ192．１６8．８．50liｎｅvty015aｃcesｓ-clａss10iｎｐａｓｓｗｏｒdjｅａskyｌｏgin4.３。２路由器的配置路由器全局开启AAＡ服务，设置默认登录组,并使用ＲADＩUＳ：(RemoteAuｔhentｉcaｔｉonＤｉａｌＩnＵserService),远程用户拨号认证系统端口FａsｔEthｅrneｔ0/０配置了ＩＰ地址,并设置为ＮＡT转换地址的内部端口，内部端口连接的网络用户使用的是内部IP地址端口Seｒial０/０/0配置的IＰ地址是企业向ISP申请的Pｕblｉc地址，并将该接口配置为ＮAT外部端口，外部端口连接的是外部的网络，如Intｅrnet。路由器配置了一个NAT池，名称是tｅst低地址６6．66。66.６6高地址也为66。６６．6６。6６子网掩码为/２9，NAT内部访问列表为列表１0并映射到地址池test，并使用地址复用。路由器配置了两条静态路由,一条是通往内部网络的,所有到1９２。１６8．0.０的数据包都转发到172。1６.1.2,另一条是所有未知的数据包都由路由s0/0/0端口发出定义AＣL只允许192.168。１.0/24网段的用户RADＩUS服务器的IP为1９２．16８．8.60并使用默认的认证端口164５密码是rad1２3把系统日志发送到该ＩP的主机,该地址是Ｓyslog服务器地址设置ｔeｌｎｅｔ的访问控制，控制只有192.１68。1．０网段的用户能对其进行远程登录路由器的部分配置命令如下：hｏｓtｎaｍeRｏuteraaanew-modelaａaauthｅntｉcatiｏnlogiｎdeｆaｕltgrouprａdｉuｓloｃaｌiｎterｆaceＦaｓtＥthｅrneｔ０／０ｉｐaddreｓｓ1７２。16．1。1２５5．２５５.2５5.0ｉpnaｔinsｉdedupleｘautosｐｅedauｔointeｒfaceFａstＥthernet0/1nｏipａddrｅｓｓｄuｐｌexａｕtｏｓpeeｄａｕtoshｕtdｏwｎintｅrfaceＳｅｒiａl0/０/０ｉpaddress6６.6６．66.６6255.2５５.255.２48ipnａｔoｕtｓideipnａtpoolteｓt66．66。６6.6666.6６。66。66ｎetmaｓk２55。255.255.２48ipnatｉnｓideｓｏurcelist1０ｐooltｅsｔｏverlｏadiｐclassleｓsiｐrｏuｔe19２。16８。0。025５.255．０．０172．１6．1．2iprｏutｅ０.０。0.０0。0。0.0Ｓeｒial０/0/０aｃcess-ｌisｔ１０pｅrｍit192。168。1。００。0．0。2５５rａdiｕs—ｓervｅrhost19２．１６８．８。6０aｕｔｈ－pｏrｔ１645kｅｙraｄ123ｌｏggiｎg192．168．8.50linecon0loginliｎeｖty04aｃｃｅss—cｌasｓ10inlｏｇiｎlogiｎauｔhｅntｉｃationdefaultｌinevｔy５15ａcｃｅｓｓ－clａsｓ10ｉｎｌoｇｉnloｇinａuｔhenｔicaｔiｏndefault!4.3。3汇聚层交换机DSＷ１配置hｏstnaｍｅDSW1interｆaceＦasｔEｔherｎeｔ0/1intｅｒｆaｃerangeFastEtｈerｎｅｔ0/2–FaｓtEtｈｅｒnet０／8swｉｔchｐorｔtrunkeｎｃａpsｕｌａtiｏnｄot1qsｗｉｔcｈpoｒtｍｏdeｔrｕnkiｎｔｅrfａceＶｌａｎ1ｉpaddreｓs１９2．1６8.1.10255.２55．２55。０intｅrfａceVlan2noiｐaｄdressinteｒfaｃｅVlan3noipａddressｉnｔerｆａceVlａn4noｉｐadｄrｅｓsinｔeｒｆaｃeVｌａｎ5noipａddreｓｓinｔeｒfaceVlａｎ６ｎoipaddrｅssｉｎｔeｒｆaceVｌaｎ7ｎoipaddressｉｐclａｓｓleｓｓiｐroute１72．１6.1。0255．２５5.255.0192．168.１．1acceｓｓ-list1０ｐｅrmit19２。16８。１。00。０。0。２5５loggiｎg19２.1６８。８.50ｌiｎecｏｎ0linevtｙ0４acceｓs-cｌaｓs10inpaｓsｗｏrdjeaｓkylｏｇinliｎｅｖty5１5access-ｃｌａss10inpaｓｓwｏｒdjｅaskylogｉn４。3。4接入层交换机ＭＧＲ配置端口FastEｔhｅrnet0／1–ＦastEthernet0／２0配置为ａccｅss模式,用于主机接入，并配置了Pｏrtfast，这个命令要求该端口接的是hosｔ的才能起使用,如果端口接的是接交换机的就一定不能启用，否则会造成环路（lｏｏp）。Pｏrtfast能使２层端口接入主机时立即进入forwarding状态，而不需要进入正常的ｂlｏｃkｉｎg，listeninｇ，ｌｅarning,forwardｉnｇ，过程,而直接可以从bｌockｉnｇ到达forwａｒdｉng状态下面是接入层交换机的部分配置ｈostnamｅMＧRｉｎｔｅｒfaceranｇeFastＥthernet0/1–ＦasｔEｔｈerｎｅt0/２０ｓwitｃhpｏｒtmｏdeacｃeｓsｓpannｉng－ｔreｅporｔfaｓtｉnｔerfacｅVｌａn1ipaddress1９2．1６8.１．1１255．25５。２55.0intｅｒfaｃｅＶlan２ｎoｉpａdｄｒｅssiｐdｅfaｕlt－gaｔｅwaｙ１９２．１68．１.1accｅss-ｌｉｓt１０ｐermｉｔ１0。0.0．255logｇing1９2。168。8.5０ｌineｃoｎ0liｎevty04access—cｌaｓs１0ｉnｐassｗordｊｅａｓｋylｏｇiｎｌinｅｖty５15aｃｃesｓ—clａsｓ10iｎpaｓsｗｏｒdjeaｓkyｌogiｎEnd第五章测试各设备的连通性对网络架构搭建完成后，并不能马上投入使用，此时应该做的是测试各个点的连同性,所提供的服务是否和计划的一样，和验证配置信息是否有误。下面对网络的连通性进行测试。5。1ＶLAＮ间的连通性测试选择网络中的两台ＰC，并将ＰC的IP地址，掩码,网关，DＮＳ服务器信息配置好，用其中一台PＣ对另一台ＰC进行Ｐｉnｇ命令.下面先在PC1输入ipcｏnfiｇ命令查看PＣ1的IP配置信息,然后用ＰC1piｎgPC2与PC9。其结果如下。图5.１测试PＣ间的连通性用PCｐingDＮS,HＴＴP服务器，测试其连通性。如下图所示，IP地址为１９2．168．1。100的PＣ可ｐiｎｇ通两个服务器，主机和服务器可以进行通信.图5。2测试ＰＣ与服务器连通性核心交换机的主要目的在于通过高速转发通信，提供优化,可靠的骨干传输结构,因此核心层交换机应拥有更高的可靠性,性能和吞吐量。路由器提供局域网的出口服务，路由器连接到Iｎternｅt，局域网用户访问Inｔｅｒｎｅt都通过路由器出去，接入层交换机接面向用户连接或访问网络,接入层的目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性.下面通过对核心层交换机，路由器,以及接入层交换机进行PINＧ测试，其测试方式是用ｐiｎｇ命令对各设备的ＶLAN1地址进行pｉng测试，以检测各设备的连通性。其测试结果如下图图５.3测试设备的连通性上述给出部分的测试结果，另外检测了各个设备具都具有端对端的的连通性。５.２设备的管理下面对每个设备进行Ｔelｎeｔ测试，验证是否与计划中的匹配。５.２。1对核心交换机,汇聚层交换机的telnｅt测试由于该网络只允VLAN１的ＰC对各个设备进行管理，而拒绝其他VLＡＮ的PC对设备进行Ｔｅlnｅt，下面测试用ＰＣ１对对核心交换机(１９2.1６8.1。１)，汇聚层交换机（192.1６8。１.10)进行Tｅlnet,由结果看出，Tｅlnｅt都成功（ＯPEＮ）。图5．4Telnet输出结果另外还要使用非VLAN1的主机对各设备进行Tｅlnet,下图为VLAN２中的PＣ对路由器进行Telneｔ，其输出结果如下，可以看到Ｔｅlnｅt均被拒绝了。这是由于其Ｔelnｅt接口(lｉnｅvty015）都配置了访问控制，只允许ＶLＡＮ1的主机对其进行Telnet.图5。5Telnet被拒绝由于受到accesｓ-ｌiｓt的限制,只有VLAN1的主机可以多所有网络设备进行telnｅt管理。5．2．2路由器进行Telnet测试由于路由器指定了AAA服务器,Telnｅt必须先通过AAA服务器的认证,所以其安全性更强，管理也更加方便。在ＡＡA服务器配置了如下一条项目。ＣliｅntNamｅ：rｏｕtｅrClienIP:172．16.1．1SeｒverTｙｐe：RAＤＩＵSＫey：rad1２3Ｕserｎａｍe:ｊeａskyＰasｓwoｒd：jeasｋy图5。６AAＡ服务器配置下面验证路由器的AAA认证，使用ＰC（１92.１68。１.１00）对路由器进行Teｌneｔ,输出结果如下.图5.7Telnet输出结果由上图得知ＰC成功对路由器Telneｔ,并使用了登录用户名和密码,该用户名和密码记录在ＡAA服务器上，必须与AAＡ服务器进行认证才成功能授权PC对路由器的管理。下面测试PC2（1９２．1６８.2．10)对路由器进行Telnｅt，按照配置命令,Telneｔ应该会被路由器上配置的AＣL拒绝.原因是PC的IP地址不属于ＶＬＡＮ１，而只有处于VＬＡN１地址内的PＣ对设备有管理权限。其测试结果如下:图5.８Teｌｎet被拒绝可以看到测试结果，Telneｔ不成功，由于使用了ＡAA认证，即使有人成功得到用户名或密码,但由于其IP不属于ＶLAN1即使有用户名密码，也不能入侵路由器,进一步加强了其网络的安全性。５．２。３测试外网的连通性用任意一台主机ｐｉｎｇ外网，如下图图5。９Ｐｉng输出结果如上图piｎｇ不成功，但返回结果却不同，简单来说Deｓtinatｉoｎhoｓｔｕnrｅaｃｈaｂｌe即是去不到，而Ｒeｑuｅsttimｅｄｏｕｔ则是回不来,两种结果对网络的Trｏublｅｓｈｏoｔinｇ起很大作用，在第一次pinｇ不通后，我在路由器加入了一条命令ｉｐｒｏｕｔe０。0．０.0０.０.０。0sｅ０/0／０指定了路由器所有位置数据包的出口即出口路由，然后进行第二次ｐinｇ测试,但仍然不能pinｇ通,原因是网络上根本不存在２11.２11.２11.２12这个节点,但却可以根据返回结果不同,可以决定包是在去的途径丢失，还是回来的途径丢失，很大程度上降低了网络排错的困难。一般企业网络都有上千个节点,有时候根本不可能发现错误出现在那个节点，因此piｎg,tｒａｃer等命令可以则可以在排错上减少很多不必要的困难.5．3验证NAT要验证NAT工作情况,首先要在路由器上输入dｅbｕgipｎat命令，该命令可以检测实时NAＴ地址转换的情况，并输出其结果。下面首先用使用任意一台主机，在主机上输入ping６6.６6.66.6５命令,该地址为ISP的IＰ地址，以检测其连通性,其输出结果如下。图５.10ＰiｎgISP输出结果由上图可以看出Ｐinｇ成功，接下来检测检查路由器是否进行了NAT地址转换。图５．11路由器的deｂｕg输出由上面输出结果可以得出,ＮAＴ正在进行地址转换，由于启用了地址复用,所以所有源地址为1９2.１68。０．0/16网段的包,向外访问时都转换成源地址为66。６6.６６.66的包。这也是使用NＡT地址转换的好处.５．4验证ＤHＣP服务将主机连接接入层交换机G2AＳＷ3，并且不需要给主机配置ＩP地址，让主机发送ＤＨＣP请求，并获取ＩP地址。其输出获取信息如下图图５．１２获取DＨCＰ服务如上图，主机成功获取ＩＰ地址及相关信息，然后检测器连通性,对任意几台ＰC进行piｎg测试,其输出结果如下。图5。13测试设备连通性经过多个阶段的测试，各设备的连通性基本没有发现问题,整个检测过程完成。第六章服务器搭建本次模拟实验共搭建了６台服务器，分别是DＮS，EMＡＩL，FＴＰ，TFTP，ＨTTP,ＡAＡ。首先配置好个服务器的IＰ信息.并测试其连通性，当没有发现连通性问题后则可以对服务器进行配置。6．１DNS服务器配置ＤNS服务器对企业环境有着重要的影响,其负责域名与ＩP地址之间的转换.DNS的配置信息如下图6。1DNS的配置信息配置一个ARecord命名为jeasｋy.cｏｍ，其指向的是Eｍaiｌ服务器的IＰ地址(19２．１68.8．2０）。然后配置POＰ与SMＴＰ（SｉmpleMailTｒansｆeｒPrｏtｏcol）服务器的别名CNAME，指向ｊeaｓｋｙ.com。接下来配置一个类型为ARｅｃｏｒd的记录,并命名为ｗww．ｊeａｓky.cｏｍ指向HTTP服务器，IP地址为１9２.１６8。８。40。6．2Ｅmaｉｌ服务器配置邮件的收发对每个企业都是不可少的一部分，搭建邮件服务器对企业的正常运转也有着重大的联系，下面进行邮件服务器的搭建。首先在邮件服务器上记录用户信息，其用户信息如下表6．１Ｅmaｉl上的用户记录UｓerｎameＰasswordPc1pｃ1Pｃ2pc2Pc３pｃ３Ｅmaｉl服务器的域名配置为ｊeasｋ.com其中创建了几个用户，用于测试服务器是否正常工作。下面对ＰC1与PＣ２进行配置，ＰＣ２的配置信息与PC1基本相同，其配置信息如下图６．2ＰＣ邮件服务配置信息下面测试从PC1发邮件到ＰC２,然后从ＰＣ2上检测邮件的收发图6。3发送邮件点击sｅnd按钮后在PC2上检测是否能收到由PC1发出的邮件.下面是PＣ2上的收件箱视图图6.4PC2收件箱如上输出所示ＰC2成功接收。这也意味着DＮS上邮件服务器的配置没有出错。６。3FTP服务器配置首先在ＦTＰ服务器上配置如下用户,配置图如下图6.５ＦＴP服务器配置在FTP上有一个默认用户，其用户名和密码都为cisｃo,然后自行配置了一个用户名为usｅｒ