企业网设计改造方案(毕业设计)

四川师范大学本科毕业论文企业网设计与改造方案学生姓名XX院系名称计算机科学学院专业名称网络工程班级2005级2班学号XXXX指导教师XXX完成时间2009年企业网设计与改造方案学生：XX指导教师：XX摘要：Internet技术的不断进步和成熟，这就促使计算机企业网Intranet/Extranet在企业中的飞速发展。以Internet技术为基础的企业网Intranet/Extranet在计算机网络中更是占有非常重要的地位。企业网Intranet/Extranet作为企业内部的计算机网络，简单易用、见效快、回报率高。随着互联网应用的普及，电子商务有了实质性的进展。对于XX公司来说，产品的介绍、销售、技术服务和售后服务等越来越多地采用网络的形式来完成，最主要的优点是：方便、快捷和成本低廉。但是对于日益壮大的XX公司来说，企业拥有许多机密数据，公司的网络环境的安全性需要提高已经迫在眉睫，他们需要需要在单位内部建立自己的中心机房，组建自己的局域网，同时申请电信的宽带和固定IP，这样，形成内外两种网络。企业在异地有分支机构与总部通信必须通过VPN方式进行安全通信。通过诸多方式来提高公司网络的安全性。关键词：企业网计算机网络电子商务。ProposalsofEnterpriseNetwork’sdesignandreformAbstract:WiththecontinualdevelopmentofInternettechnology,computerenterprisenetwork,IntranetandExtranetareinarapiddevelopment.Andmore,Intranet/ExtranetbasedontheInternettechnologymakeanimportantpartofcomputernetworks.Asaninnercomputernetwork,IntranetandExtranetareeasytouse,andhaveahighreturn,andcanhavebeenachievedinashorttime.AsthepopularizationofInternet,e-commercehassubstantiveprogress.FortheXXcompany，productpresentations,sales,technicalservicesandafter-salesservicearecompletedbyInternetmoreandmore,whichhavemanyadvantages,convenient,fast,low-cost,andsoon.However,becauseXXisgrowingdayafterday,itwillhavemuchsecretdata,soitmustimprovethesecurityofthenetworkenvironment.Peopleneedtoestablishtheirowncentralcomputerroomin-house,setuptheirownLAN,andtheymustapplyforbroadbandandfixedIPatthesametimetoforminternalandexternalnetwork.DifferentplacesofbranchesofcompanycommunicatewiththeheadquartersmustthroughtheVPN,securecommunication.Therearemanywaystoimprovethesecurityofcompanynetworks.Keywords:Intranet/ExtranetcomputernetworkE-commerce;目录前言 11.1、现状分析 21.2、需求分析 31.3解决方案 32网络整体设计 42.1、网络改造拓扑图 42.2、网络结构 43网络规划和项目实施 53．1局域网设计 53.1.1接入层： 53.1.2汇聚层： 63.1.3路由器： 63.2远程接入 73.2.1使用VPN技术和远程用户连接 73.2.2使用PSTN总部与移动办公、家庭办公互连 74服务器群的搭建 74.1web服务器的搭建 84.1.1创建新的应用程序池 84.1.2创建新的站点 84.1.3配置站点使用Windows集成身份验证 84.1.4.实现共享配置 94.1.5移动Web站点内容到共享文件服务器 94.2邮件服务器的搭建 104.2.1.安装POP3服务组件 104.2.3配置POP3服务器 114.2.4配置SMTP服务器 114.2.5客户端测试 114.2.6SMTP服务器的安全设置以及客户端的配置 134.2.7正确的客户端smtpID设置 135设备选型 145.1设备选型需求 145.2设别选型分析 155.2.1核心层/分布层设备 155.2.2接入层设备 155.3结论 156模拟实施 166.1利用三层交换机实现VLAN间通信和路由。 186.2访问控制（财务部交换机上实现）核心代码。 226.3NAT地址转换步骤和代码。 226.4跨VLAN启用DHCP（DHCP中继） 237总结 258结束语 26致谢 26参考文献 26前言随着现代社会的进步，网络已经深入到了世界的各个角落，包括人们的生活、学习、工作等方面，网络能为人们提供诸多的方便，提高学习、工作的效率，增加生活的乐趣。Internet技术的不断进步和成熟，这就促使计算机企业网Intranet/Extranet在企业中的飞速发展。以Internet技术为基础的企业网Intranet/Extranet在计算机网络中更是占有非常重要的地位。企业网Intranet/Extranet作为企业内部的计算机网络，简单易用、见效快、回报率高。随着互联网应用的普及，电子商务有了实质性的进展。一个出色的企业网可以为企业的运行和发展提供强大的助力，于是企业网也成为了当今社会各个企业的一项基础设施。而对于一个已经拥有企业网的企业来说，网络的好坏直接影响到企业的发展和规模的扩大。显然，落后的企业网络会限制企业规模的扩大。于是对于那些拥有落后企业网的企业来说，改造企业网络变成迫不及待的重大项目。在下面，就以我调查的一个企业举例。2005年10月，XX公司在四川省巴中市成立！是省市工商行政管理局评定的2006年度A级企业。以“网络带动生产和销售”为背景，以诚信、优质的产品质量、良好的售后服务以及扎实的基础为客户提供全面且专业化的服务。XX公司以加工原材料为基础，制造并销售出大量优质的医药器材，同时还代理巴中市第一人民医院，南江县一医院等大型市县级医院的器材维护等工作。XX公司用A级标准要求自己，并与各地多家医院保持友好的合作关系。除此之外，XX公司还从事专业的先进的医疗器材的研发，它具有先进的技术力量，展示出良好的企业形象，并拥有很高的知名度、美誉度。对于XX公司来说，产品的介绍、销售、技术服务和售后服务等越来越多地采用网络的形式来完成，最主要的优点是：方便、快捷和成本低廉。但是对于日益壮大的XX公司来说，企业拥有许多机密数据，公司的网络环境的安全性需要提高已经迫在眉睫，他们需要需要在单位内部建立自己的中心机房，组建自己的局域网，同时申请电信的宽带和固定IP，这样，形成内外两种网络。企业在异地有分支机构与总部通信必须通过VPN方式进行安全通信。通过诸多方式来提高公司网络的安全性。但是，现在的XX公司所拥有的企业网络存在诸多的问题，企业网络的规模已经不能支撑该公司的正常运作，所以我们来对这个企业网来进行改造和重新规划，希望新的网络可以为公司提供一个优良的运作环境。1需求分析旧网网络架构如图1所示：图1旧的网络拓扑图公司当前拥有：财务部、销售部、管理部、人事部、生产部这5个基本的部门，该公司具备承担医疗器材的生产和销售的能力，同时方便的管理，网络提高公司运作的效率，可以让公司得到良好的发展。如今，对于公司扩大后的发展，网络环境已经限制了公司的发展规模。1.1、现状分析根据旧网络图所示，公司目前骨干网络采用一台Cisco公司的Catalyst1912C作为核心设备，通过10M端口连接下级交换机及HUB，公司对外网的实现是通过使用Cisco2505与移动用户、在家办公用户及Internet实现连接。其他部门通过10M双绞线与中心机房的一台Catalyst1912C交换机连接，整个网络已经不能满足现在公司的需求了，旧网络的缺陷如下：1、财务部、业务部计算机数量少，对网络要求高，目前采用的设备HUB，满足了设备数量的要求达不到部门对网络的要求，网络处在同一个冲突域，经常出现延时过大、丢包率高的现象，且不可管理，不能禁止其他部门的访问。2、生产部搬离出总部，生产部距离总部40km，成立多个销售部，销售部分散在多个城市，其它部门在总部。3、由于公司规模的扩大，规模已经超出了目前网络所能承受的限度，不但容纳不下计算机，对网络的通信也够成的威胁。4、旧网络规模较小，设计时网络管理意识较弱，IP分配采用人工手动配置，计算机管理较为困难。5、设立一个能供互联网用户访问的服务器；异地销售部门与总部的数据传输必须通过加密传输；6、设备扩展性差：网络骨干采用早期的Catalyst1912C产品（12个10BaseT、1个100BaseTX、1个100BaseFX1个AUI），分支视计算机数量的多少采用了Catalyst1924、Catalyst1912交换机，在一些网络性能要求较低的部门使用了HUB。由于以上设备的设计与性能限制了网络的扩展性。7、网络结构不合理：骨干网的Catalyst1912C交换机出现问题可能直接导致整个网络瘫痪。安全性能低：各种服务器放置在内网上，网络外连Internet无防火墙安全措施，外部攻击及内部人员对数据的非法访问，网络无法实现屏蔽，病毒也对目前的网络造成严重的威胁。1.2、需求分析经营范围：生产制造和研发各种医疗器材，承接各个医院的器材维护服务，提供网上销售服务等。1、公司对网络的安全性和稳定性要求高，所以要求整个网络能为公司提供一个安全稳定的网络环境。2、公司含有两个办公地点，两个办公地点能通过企业网通信。3、财务部很特殊，允许财务部内部相互访问，高管部可以访问财务部，其他部门都不可以访问财务部。4、企业现在规模扩大了，要求在企业网中建立自己的WEB服务器、DNS服务器、VPN服务器、E-mail服务器等。5、要求新的企业网能采用一种新的IP地址分配管理方案，解决IP地址管理混乱的问题。6、鉴于公司内部有许多机密不希望在网上明文传输，预防机密资料的外泄，要求新网络采用一种技术来安全保密的传输内部信息。7、公司企业的很多网络设备已经老化或落后，要求更换一批新的、功能齐全的网络设备。8、要求整个企业网都是安全的，杜绝企业网病毒横行，杜绝企业网频繁遭受网络攻击。以上所述，结合各个部门的需求分析，我们来对旧网络进行改造。1.3解决方案1、外网通过防火墙连接到两台路由器3600进入内网，采用3台三层交换机6500作为主干网络的网络设备。三层交换机上连接2台二层交换机，交换机上划分VLAN，以隔离广播域。2、两个办公地点相距很远，如果自己牵线成本过高，这里要用两台路由器R1、R2通过广域网链路连接，并且提供一定得安全性。3、采用二层交换机连接三层交换机，三层交换机连接路由器这样的方式连接。对交换机划分VLAN，隔离各个部门，并且在财务部这个交换机上做访问控制，允许管理部通过，拒绝其他部门的访问请求。4、由于服务器一般放在中心机房，所以我们这里建立的WEB服务器、DNS服务器、VPN服务器等直接和核心交换机6500(1)相连接。5、我们在交换机上启用动态IP地址分配服务DHCP,由于需要跨VLAN自动分配IP地址，所以必须采用中继的方式让三层交换机针对下面连接的二层交换机VLAN之间启用自动分配IP地址的DHCP服务，减少手动管理IP地址的麻烦。6、要保证数据加密传输，我们这里采用VPN技术使公司外出人员连接进公司网络，合作伙伴的接入也可以通过VNP技术。使进出数据更加安全。7、全面更换企业内的各种网络设备，交换机、路由器等；同时添加一些新的器材，比如防火墙、VPN服务器等设备；同时重新合理的规划网络，从不同需求上来设计网络。充分利用网络设备的各种功能。8、网络整体的安全性和抗攻击能力，我们可以通过防火墙的方式来做，做一些防御的策略拒绝危险的访问；通过入侵检测等技术预防被攻击。2网络整体设计2.1、网络改造拓扑图通过细致的规划和多次论证，XX有限公司企业网的建设方案最终确定了采用Cisco公司提供的网络设备。新的网络拓扑图如图2所示：图2新的网络拓扑图2.2、网络结构本方案在高性能价格比的前提下，本着模块化、层次化的设计原则，为用户提供高效率、高可靠性的网络设计方案。方案根据信息点特点，按每部门划分独立子网的方式以减少网络广播，提供网络数据传输性能并同时提高网络安全性、可调度性、可维护性；整个网络由汇聚层和分布层两部分组成。接入层主要是连接各个部门与部门，整个企业拥有网络中心、财政管理子网（高管部、财务部）、各部门子网（人事部、销售部、采购部等），其中网络中心是整个网络的核心系统，是网络的总节点，其余各子网是功能子网。在接入层中，各部门使用Catalyst3548XL交换机，Catalyst3548XL交换机是CiscoSystems公司Catalyst3500XL系列产品的成员，在节点较多的部门内，使用两台或多台Catalyst3548XL交换机通过千兆比特以太网上行链路或GigaStackGBIC堆叠，提供96个100M连接。人事部、销售部、采购部因为公司多年的发展，计算机数量不断增加，为了能符合公司的要求，以上部门使用的Catalyst3548XL交换机，通过千兆单模光纤与中心网络连接，每个子网提供48个100M端口，满足了部门计算机的需求，并实现100M到桌面，实现了用户对网络的要求。财务部和高管部因计算机数量较少，考虑到对网络的需求较高，也采用一台Catalyst3524XL交换机连接，两个部门连接在同一个交换机上，与中心网络采用1000M单模光纤连接，100M到用户桌面，满足对网络性能、网络安全的要求。由于只允许高管部访问财务部，其他部门不被允许，所以这里我们依靠访问控制实现。汇聚层以两个思科公司的两个三层交换机Catalyst6500交换机为核心，核心交换机采用高性能的三层交换机，且采用双核心互为备份的形势，2台核心交换机之间也采用双链路连接，并提高核心交换机之间的链路带宽。接入层交换机分别通过2条上行链路连接到2台核心交换机，由三层交换机实现VLAN之间的路由。核心交换机通过两条上行的1000M单模光纤连接到路由器R2，核心交换机上启动路由功能，并且启用OSPF协议来完成提高网络传输速度。网络安全及管理在安全方面：配置了一台CiscoSecurePIX525防火墙，CiscoSecurePIX525防火墙是世界领先的CiscoSecurePIX防火墙系列的组成部分，能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。它所提供的完全防火墙保护以及IP安全（IPsec）虚拟专网（VPN）能力使特别适合于保护企业总部的边界。本防火墙带有DMZ区，有了DMZ区，对外服务器放在DMZ区提高内网的安全性，可以防止黑客对内部关键数据的非法访问和病毒的入侵。外部互联：为实现公司对外访问，方案中选用了思科公司的3600系列路由器，Cisco3600系列是一个适合大中型企业Internet服务供应商的模块化、多功能访问平台家族。Cisco3600系列拥有70多个模块化接口选项，提供语音/数据集成、虚拟专网（VPN）、拨号访问和多协议数据路由解决方案。通过利用CIsco的语音/传真网络模块，Cisco3600系列允许客户在单个网络上合并语音、传真和数据流量。高性能的模块化体系结构保护了客户的网络技术投资，并将多个设备的功能集成到一个可管理的解决方案之中。3600捆绑还可用于抓住特定的RAS机遇。移动办公用户：移动办公用户访问公司总部只是访问量小，从经济上考虑，公司总部前端建立MODEM池，用户通过PSTN拔号接入公司内网比较合适。3网络规划和项目实施3．1局域网设计3.1.1接入层：（1）在二层交换机上分别建立各个部门的虚拟子网。(创建VLAN)高管部 VLAN10 财务部 VLAN20 销售部 VLAN30 人事部 VLAN40 采购部 VLAN50 生产部 VLAN60 仓库 VLAN70 （2）在财务部交换机上做访问控制，允许高管部访问财务部，不允许其他部门访问财务。方案1：基于IP地址绑定。interfaceVlan20ipaddress54ipaccess-group100in!access-list100permitiphosthost注：但是后来考虑可以用更改IP地址访问财务部，所以方案被否略。方案2：基于静态ARP绑定。我们在方案一的基础上加上了arp0000.0c31.ba9bARPA。设置完成之后，如果非法用户把地址改为，它发送的包正常，但是从财务部主机返回的数据包在转发的时候，目标MAC地址将总是设为0000.0c31.ba9b，非法用户不能接收。注：但是还是可以通过更改MAC地址突破，所以还是被否略。方案3：交换机端口上设置mac/ip访问控制列表。注：这样非法用户就只能跑到授权用户的机器上才能访问财务部的机器了。3.1.2汇聚层：（1）在三层交换机上实现二层交换机上的VLAN间的通信。方案一、利用路由器实现不同VLAN互通注：后来考虑到需要的是通过三层交换机实现VLAN通信，而没有直接连接路由器，而且这样的方案的扩展性是不好，如果VLAN继续增加，会给网络带来很大的压力，所以我就考虑了另外一种方案。方案二、利用三层交换实现不同VLAN互通三层交换技术在第三层实现了数据包的高速转发，从而解决了传统路由器低速、负责所造成的网络瓶颈问题。（2）动态跨VLAN分配IP地址步骤1、划分设置好VLAN步骤2、在为VLAN启用好DHCP中继代理功能，为VLAN的连接端口启用DHCP中继代理功能。步骤3、为Vlan连接端口所使用的IP地址、DHCP服务器地址以及允许工作模式进行适当设置。3.1.3路由器：（1）路由策略：内部网关协议采用开放的标准IETF动态路由协议――OSPF（全称为开放最短路径优先）。“开放”表明它是一个公开的协议，由标准协议组织制定，各厂商都可以得到协议的细节。“最短路径优先”是该协议在进行路由计算时执行的算法。OSPF是目前内部网关协议中使用最为广泛、性能最优的一个协议，特别适用于大型网络。在出口处我们采用静态路由策略。因为这样可以很简单的做到NAT地址转换。（2）NAT地址转换我们想通过处于外部的网络（也就是Internet）与内部的网络（也就是私有网络）之间的路由器配置一个静态的IP转换。所以我们在路由器3600（1）上配置一个静态的NAT地址转换。步骤1、在开始之前，收集需要的数据：路由器内部接口S1/0：IP路由器外部接口S2/0：IP7邮件服务器内部IP地址：假设邮件服务器外部IP地址：8要获取网络内部和到达Web/邮件服务器的数据通信，可以采用两个重要的措施：1.NAT配置2.防火墙配置步骤2、开始静态NAT配置步骤3、我们需要NAT转换将Web/电子邮件服务器的外部IP地址从8转换为8（从8转换为8）。我们还需要在公网InternetDNS服务器中注册这个邮件和Web服务器的IP地址。因此，当用户在其Web浏览器中键入时，浏览器就会将其转化为8，路由器将会把它转换为.Web服务器会接收这个请求，并通过路由器给予回应，路由器会再将其转换回公网IP地址。除了配置静态的NAT，还有动态的NAT.有鉴于此，内部的PC可以使用动态的NAT为访问互联网（即NAT过载或PAT）。不过，这样就有点儿复杂了。我这里就不做过多的介绍。3.2远程接入3.2.1使用VPN技术和远程用户连接VPN特点不限流量，不限网址，包月使用，费用低廉；不需额外的设备或软件，无须缴纳初装费；配置简单，使用方便，可自由访问互联网；网管或使用者可方便控制访问情况；安全性高，接入灵活；技术力量雄厚，可提供专业技术支持。现在公司总部提供了通过因特网建立廉价的VPN让合作伙伴互连。内部网络用户提供专业的防火墙保护。PIX525集成了VPN的主要功能-隧道、数据加密、安全性和防火墙，能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问。3.2.2使用PSTN总部与移动办公、家庭办公互连由于业务需要，移动办公用户有时会超出10个以上，因此就必须安装一个Modem池来解决服务端的数据接收问题。移动办公、家庭办公用户通过modem拔入到公司总部进行访问总部资源。4服务器群的搭建4.1web服务器的搭建4.1.1创建新的应用程序池以管理员(administrator)身份登录Web服务器，然后依次点击在“开始”→“管理工具”→“Internet信息服务(IIS)管理器”打开IIS7管理器窗口。在“Internet信息服务(IIS)管理器”的左侧展开“Web”(服务器名)，然后点击“应用程序池”，在“操作”面板，点击“添加应用程序池”，在“添加应用程序池”对话框中“名称”中输入“InternalWebSite“，然后点击“确定”退出。如图3所示：图3添加本地应用池4.1.2创建新的站点在“Internet信息服务(IIS)管理器”中展开“站点”，然后点击“DefaultWebSite”，右击“DefaultWebSite”，然后点击“删除”。在“确认删除”对话框，点击“是”。接下来，继续在“Internet信息服务(IIS)管理器”中点击“网站”，然后在操作菜单中点击“添加网站”，使用下列设置完成“添加网站”对话框，当输入完成后点击“确定”。其中“站点名称”为“InternalWebSite”，“物理路径”为“D:\InternalSite”，“绑定”为“默认值”。在动作面板中，点击“浏览*:80(http)”可打开InternetExplorer进行站点的解析，如果解析正确，说明配置成功，最后关闭IE浏览器即可。如图4所示：图4配置站点4.1.3配置站点使用Windows集成身份验证配置方法是：在“Internet信息服务(IIS)管理器”窗口中，展开“网站”，点击“InternalWebSite”在内容面板的“IIS”下点击“身份验证”，然后在操作面板，点击“打开功能”，在“身份验证”，点击“匿名身份验证”，然后在“操作“面板，点击“禁用”。在“身份验证”中点击“Windows身份验证”，然后在动作面板中点击“启用”即可。如图5所示：图5身份验证至此我们创建了一个用来文件共享的Web站点，并完成必要的配置。4.1.4.实现共享配置为共享配置文件夹授权以域管理员登录域控制器，我们在D盘根目录中创建一个名为“Websites”的文件夹，然后在”文件”菜单点击“共享”弹出共享对话框。在“文件共享”对话框，点击“更改共享权限”，在“文件共享”对话框，输入“Web管理员组”，然后点击“添加”。接下来，将在“权限级别”为“Web管理员组”的权限为“参与者”。在“文件共享”对话框，输入“Web服务器组”，然后点击“添加”。在“权限级别”，更改”Web服务器组”的权限为“参与者”，然后点击“共享”。最后，点击“完成”关闭“文件共享”对话框。需要说明的时，这里的“Web管理员组”是笔者在域控制器中创建的一个用来进行Web服务器管理的组。如图6所示：图6共享权限4.1.5移动Web站点内容到共享文件服务器下面我们需要将上面创建的Web站点的内容移动到共享文件服务器，以实现Web服务器和共享服务器的数据隔离。以管理员身份登录Web服务器，打开“Internet信息服务(IIS)管理器”控制台窗口。在“Web”先展开“网站”，然后点击“InternalWebSite”，在“操作”面板中点击“停止”即停止该网站以便下面的操作。然后打开该站点目录即“D:\InternalSite”复制其内容，接下来执行“开始”→“运行”输入\\share\WebSites\Content\InternalSite打开共享服务器的共享目录，将刚才复制的内容粘贴进来(share为共享服务器)。在“Internet信息服务(IIS)管理器”窗口中点击“InternalWebSite”，在“操作”面板中点击“基本设置”弹出“编辑网站”对话框，在该对话中设置网站的“物理路径”为“\\share\WebSites\Content\InternalSite”，然后点击“连接为”按钮，在“连接为”对话框中选择“特定用户”，点击“设置”在用户名中输入共享服务器管理员账户，然后在“密码”和“确认密码”中输入该账户的密码，然后点击“确定”关闭“连接为”对话框。接下来我们在“编辑网站”对话框中点击“测试连接”弹出对话框，点击“授权”查看“详细信息”下面的内容以确定设置无误。设置无误后，我们关闭“编辑网站”对话框，然后在“Internet信息服务(IIS)管理器”窗口中选中“InternalWebSite”，在“操作”面板中点击“启动”即启动网站。如图7所示：图7移动文件共享4.2邮件服务器的搭建4.2.1.安装POP3服务组件以系统管理员身份登录WindowsServer2003系统。依次进入“控制面板→添加或删除程序→添加/删除Windows组件”，在弹出的“Windows组件向导”对话框中选中“电子邮件服务”选项，点击“详细信息”按钮，可以看到该选项包括两部分内容：POP3服务和POP3服务Web管理。为方便用户远程Web方式管理邮件服务器，建议选中“POP3服务Web管理”。4.2.选中“应用程序服务器”选项，点击“详细信息”按钮，接着在“Internet信息服务（IIS）”选项中查看详细信息，选中“SMTPService”选项，最后点击“确定”按钮。此外，如果用户需要对邮件服务器进行远程Web管理，一定要选中“万维网服务”中的“远程管理（HTML）”组件。完成以上设置后，点击“下一步”按钮，系统就开始安装配置POP3和SMTP服务了。4.2.3配置POP3服务器1.创建邮件域点击“开始→管理工具→POP3服务”，弹出POP3服务控制台窗口。选中左栏中的POP3服务后，点击右栏中的“新域”，弹出“添加域”对话框，接着在“域名”栏中输入邮件服务器的域名，也就是邮件地址“@”后面的部分，如“MAIL.COM”，最后点击“确定”按钮。2.创建用户邮箱选中刚才新建的“MAIL.COM”域，在右栏中点击“添加邮箱”，弹出添加邮箱对话框，在“邮箱名”栏中输入邮件用户名，然后设置用户密码，最后点击“确定”按钮，完成邮箱的创建,本例中创建的mailbox是jerry@4.2.4配置SMTP服务器完成POP3服务器的配置后，就可开始配置SMTP服务器了。点击“开始→程序→管理工具→Internet信息服务（IIS）管理器”，在“IIS管理器”窗口中右键点击“默认SMTP虚拟服务器”选项，在弹出的菜单中选中“属性”，进入“默认SMTP虚拟服务器”窗口，切换到“常规”标签页，在“IP地址”下拉列表框中选中邮件服务器的IP地址即可。点击“确定”按钮，这样一个简单的邮件服务器就架设完成了。完成以上设置后，用户就可以使用邮件客户端软件连接邮件服务器进行邮件收发工作,只要在pop3和smtp处输入邮件服务器的ip地址即可。注意到这步为止，基本的mail功能已经实现了，可以正常的收发mail。这个时候SMTPAccess里面设置的是匿名访问，此时任何一个人都可以利用此mail服务器发邮件。如图8所示：图8配置SMTP服务器4.2.5客户端测试我用的是Becky、SMTP和POP3设置如下，ID我填的是jerry@,是因为我在POP3服务建立account的时候，有一个提示框提示，如以下图组所示：图9提示框图10配置图测试mail正常收发，我是给自己也就是jerry@发邮件，然后看效果如何，这时候我无论在SMTP验证那里瞎填什么都能收发邮件正常，因为在服务器端Access里面设置的是匿名访问。图11mail设置图图12设置图4.2.6SMTP服务器的安全设置以及客户端的配置去掉匿名访问，选择BasicAuthentication。客户端软件smtp验证的时候随便填上一个用户名和密码，会发现有错误提示如图13所示：图13错误提示图4.2.7正确的客户端smtpID设置图14mail设置图4.2.8分别运用搭建的服务器收发邮件，都能正常收发。5设备选型5.1设备选型需求对此次的改造，我们提出整体设备选型。主要围绕以下几点：XX网络改造后的网络需要具有以下特点：1.高性能，全交换－骨干连接采用1000Mbps－100Mbps连接高流量服务器－100Mbps连接桌面用户－线速核心第三层交换，使路由器专注于处理网络流量,灵活，高效，可靠的网络连接－支持多种广域网链路：DDN，FR，ISDN等2．可扩展性强－空余的GBIC插槽提供低成本的千兆连接－核心采用模块化交换机，具有更强的扩充能力－分布层及接入层交换机可通过千兆堆叠扩充用户数－模块化路由器有更多插槽，可更多地扩充新功能，端口种类和数目3．系统安全，保密性高－专门的软硬件集成防火墙解决方案－－CiscoSecurePIX525防火墙－虚拟专网VPN及支持各种加密算法－按需划分虚拟网络，管理得心应手4．综合的网络管理－使用专门的大型网管软件系统CiscoWorks2000－基于CiscoIOS的统一的人机命令界面5.2设别选型分析5.2.1核心层/分布层设备对于网络的核心层的设备建议采用大容量且具备智能的多层交换功能特性，根据网络技术的发展与产品应用的定位，建议核心设备拥有超过62G的高容量，充分满足目前和未来发展用户的网络需求，同时提供快速的智能处理过程。在设备的处理结构上，要采用结构化的设计，在高速大容量的总线带宽下，还要提供分布式的处理与结构化的设计，核心不允许有集中式处理机制的存在，这样才避免因个别端口的拥塞而导致整个设备失去控制，对于核心的每个模块要支持热插拔，并且根据将来的扩展要预留扩展槽位。为了保证核心网络的高可用性不允许满配置的核心设备对网络的负载进行单一的规模化，在网络的扩展时，核心设备应支持分担负载的能力。这样才能使整个核心网络大大提升工作效率。从网络的发展角度上考虑，核心设备要支持对用户的安全认证与鉴别的能力与手段，对网络用户的安全鉴别主要包括：基于VLANID、IP地址、MAC地址来识别宽带用户的网络信息。所有的其它智能用户管理与流控的功能，在智能的多层交换机中已经可以做到。对于核心智能的交换设备支持802.1x、PORTAL、DHCPRelayNAT与分中心的边缘设备配合进行用户的识别可对整个网络用户的认证，体现智能网络带来的整体应用价值。这样既保证网络的兼容性与开放性也能保证网络的安全性与高可用性。5.2.2接入层设备接入层设备是接入用户终端的产品，结点相对来说较多。因此要选择一些端口密度大，从设备的硬件配置上讲，支持总线的堆叠功能，这样相当于可以增加背板的带宽,大楼的各个汇聚的扩展提供方便。支持1000M的上联与端口捆绑，以便将更多的接入交换机汇聚到高速的核心网络上。5.3结论CISCO公司网络产品的卓越的性能价格比、高可用性、兼容性以及CISCO公司为各行各业提供的成功网络解决方案早已为全球IT用户所知，网络建设首选CISCO产品已经成为业界主流。通过以上分析，结合局方设备现状和需求，同时考虑设备统一管理的原则，我们建议此次改造建设新增设备选择CISCO公司产品。骨干层设备选择CISCOcatalyst6500多层千兆交换机，分布层大流量的采用CISCO3550交换机,其它采用CISCO3500XL接入层设备，以满足改造后网络性能需要。所有选型如表1所列：表1 设备选型表 计量单位：台设备名称数量单台配置情况Catalyst6506核心层交换机2台引擎：CiscoSupervisorEngine720交换模块性能指标WS-X6348-RJ-4548口10/100模块(RJ-45),可升级为支持IP电话,增强QoSWS-X6416-GBIC16口1000M模块(GBIC)(最大距离/电缆类型；550m：1000BASE-SX10km：LX/LH100km：ZX)千兆位接口转换器(GBIC)性能指标WS-G5484SX1波长（nm）：850。光纤类型：多模光纤WS-G5486LX/LH波长（nm）：1300。光纤类型：多模光纤2单模光纤（LX/LH）。需要模式调整修补线（CAB-GELX-625）CICSO3548XL1台48个10BaseT/100BaseTX自适应端口，两个内置的、基于GBIC的千兆比特以太网端口，10.8-Gbps交换网和高达8.0-Mpps的转发速度。CICSO3524XL1台24个10BaseT/100BaseTX自适应端口，两个内置的、基于GBIC的千兆比特以太网端口，10.8-Gbps交换网和高达8.0-Mpps的转发速度。CiscoSecurePIX525防火墙1台广域网接口卡：WIC-2T，2口高速同步串口CISCO36401台主要速率接口插槽（PRI）高密度的异步接口插槽两个异步/同步串行接口两个以太网口6模拟实施最后我们采用PacketTracer5这个CISCO的设备模拟软件来模拟实施这个网络设计。界面如图15所示：图15模拟器界面首先选择两个路由器3600，三个核心交换机6500，普通交换机3500。（由于设备限制，用3500替代）。然后排布好布局，用相应的介质连接到各个设备之间，进去设备，通电并配置。模拟后的图如图16所示：图16模拟实现图6.1利用三层交换机实现VLAN间通信和路由。1、配置VTP1.1、首先在三层交换机SW15上配置VTP域名为：（我们班级的名称，借用一下），模式为server,VTP口令为123456，使用version2版本，启用vtp修剪功能。如图17所示：图17启用VTP修剪功能1.2、在SW15的vlan数据库上（全局模式下也可以）创建vlan100、vlan200、vlan300、vlan400、vlan500、vlan600。名称以此为caiwu、jingli、gongcheng、xiaoshou、renshi、fazhan。（只需要在VTP服务器上创建vlan，其它加入vtp域的交换机就能学习到相同的vlan，但是不学习端口划分。）1.3、在其它交换机上设置vtp域名为，模式为server，并配置VTP密码为123456。（如图18所示：以交换机SW5为例，其它交换机配置相同）图18设置VTP2、配置STP2.1、在SW15上设置vlan100、vlan200和vlan300的根网桥（第一种设计方法，设置好的优先级为24576）如图19所示：注意：设置根网桥的目的是为了优化网络，保持网络的稳定性。图19设置根网桥2.2、在SW15上配置vlan1的ip地址，一是为了管理，二是为了标示vtp服务器。如图20所示：图20配置VLAN1的IP地址2.3、在SW16上设置vlan400、vlan500和vlan600的根网桥（第二种设计方法，直接指定优先级）图21设置根网桥3、配置交换机互连的所以端口为trunk模式3.1、配置交换机SW15的fa1/0/19–24端口为trunk模式，并激活端口。（只有trunk端口才运行VTP，STP和vlan之间相互通信，至于fa1/0/23–24端口配置成trunk模式的另外一个原因是为了保证以太网通道双方配置的一致性。）SW16的配置与SW15的配置相同。如图22所示：图22配置Trunk口3.2、配置SW2的fa0/23–24端口为trunk模式，并激活端口。（SW3、SW4、SW5的配置与SW2的配置相同）如图23所示：图23配置Trunk口4、配置速端口和上行速链路以SW2为例进行配置，SW3、SW4、SW5的配置与SW2的配置相同。（注意，速端口只配置在连接终端的交换机上，而上行速链路一般配置在汇聚层和接入层的交换机上）如图24、25所示：图24配置SW2的速端口图25配置SW2的上行速链路5、配置SW15和SW16之间的以太网通道（双方配置相同），以SW15为例配置Fa1/0/23–24端口为以太网通道。如图26所示：图26配置以太网通道6、在三层交换机SW16上启用路由功能，并配置各个VLAN的IP地址（各个VLAN的网关）6.1、在三层交换机SW16上启用路由功能。如图27所示：图27启用路由功能6.2、设置各个VLAN的IP地址。（各个VLAN的网关,相当于单臂路由子接口的IP地址的作用）7、配置三层交换机SW16的路由接口。7.1、在三层交换机SW16的f1/0/1上配置路由接口，如图28所示：图28配置路由接口7.2、为这个接口配置IP地址，然后激活接口，实现三层交换机与路由器点到点的连接。如图29所示：图29配置接口7.3、在SW16上配置默认路由，下一跳为路由器R5的f0/0接口的地址。如图30所示：图30配置路由8、配置路由器R58.1、配置路由器f0/0和f0/1接口的IP地址（f0/1的地址为子网掩码为）。如图31所示：图31配置接口8.2、配置静态路由，下一条地址全为SW16的f1/0/1的IP地址，目标网段为各个VLAN的网段。如图32所示：图32配置静态路由9、配置基本完成，现在进行测试，将PC23与交换机SW3的f0/1端口相连，PC24与交换机SW4的f0/6端口相连，PC25与SW6的f0/1端口相连。SW3上的基本设置，将f0/1–5端口划分到vlan100里。如图33所示：图33划分端口SW4上的基本设置，将f0/6–10端口划分到vlan200里。如图34所示：图34划分端口然后配置各个pc机的IP地址和网关PC23IP:网关：54PC24IP:网关：54PC25IP:网关：注意：SW6没有做任何配置，只做测试用，下面是测试的结果：用PC23pingPC24和PC25，全部ping通，测试成功。如图35所示：图35测试图6.2访问控制（财务部交换机上实现）核心代码。macaccess-listextendedmacaclpermithost0000.0c31.ba9banypermitanyhost0000.0c31.ba9binterfaceFastEthernet0/1noipaddressipaccess-groupipaclinmacaccess-groupmacaclinipaccess-listextendedipaclpermitipanyhostpermitiphostany6.3NAT地址转换步骤和代码。静态地址转换基本配置步骤：（1）、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入：Ipnatinsidesourcestatic内部本地地址内部合法地址（2）、指定连接网络的内部端口在端口设置状态下输入：ipnatinside（3）、指定连接外部网络的外部端口在端口设置状态下输入：ipnatoutside注：可以根据实际需要定义多个内部端口及多个外部端口。静态NAT地址转换功能。将2501的以太口作为内部端口，同步端口０作为外部端口。其中，，的内部本地地址采用静态地址转换。其内部合法地址分别对应为，，。路由器2501的配置：Currentconfiguration：version11.3noservicepassword-encryptionhostname2501ipnatinsidesourcestaticipnatinsidesourcestaticipnatinsidesourcestaticinterfaceEthernet0ipaddressipnatinsideinterfaceSerial0ipaddressipnatoutsidenoipmroute-cachebandwidth2000nofair-queueclockrate2000000interfaceSerial1noipaddressshutdownnoipclasslessiprouteSerial0linecon0lineaux0linevty04passwordciscoend配置完成后可以用以下语句进行查看：showipnatstatistcsshowipnattranslations6.4跨VLAN启用DHCP（DHCP中继）图36DHCP模块图3550交换机上的配置