网络工程-隆智俊皮革有限公司网络规划与设计方案

PAGE 隆智俊皮革有限公司网络规划与设计方案摘要：本公司是以皮革为主营业务，业务分布全球，在全球高速发展的同时，互联网也再飞速发展，信息时代大浪潮下，一个公司架设内部局域网实现信息化显得尤为重要在中国皮革行业，经历了调整优化结构，全世界已初步形成了一批专业化分工、特色突出和对拉动当地经济起着举足轻重作用的皮革生产特色和市场。这些历史奠定了中国皮革行业发展的基础。从公司整体出发，根据内部结构设计总体的网络框架，包括建筑结构和管理结构。再从功能性选择上结合公司需求，搭建出具体的网络拓扑，选择适合的技术和设备进行组网，最后进行连通性测试以保证网络的可用性。隆智俊皮革有限公司网络规划与设计方案，是对我们公司的网络应用需求进行分析，然后构思和设计出满足公司办公生产需求的计算机网络的过程。我们采集公司每一个部门对于网络的需求，再进行网络规划。隆智俊皮革有限公司网络规划与设计方案设计过程需要需求分析，通信规范分析，逻辑网络设计，物理网络设计，最后是安装维护。隆智俊皮革有限公司网络规划与设计方案，主要讲述网络的构建，按照公司的网络构建要求实施，其中设计核心交换机的基本配置、VLAN的划分、防火墙的安全策略和大量的路由协议、无线技术等网路技术。从功能性选择上结合公司需求，搭建出具体的网络拓扑，选择适合的技术和设备进行组网，最后进行连通性测试以保证网络的可用性。关键词：网络规划，需求分析，网络技术LongzhijunLeatherCo.,Ltd.networkPlanningandDesignplanAbstract：Thecompanyismainlyengagedinleatherbusiness,anditsbusinessisdistributedglobally.Atthesametimeofrapidglobaldevelopment,theInternetisalsodevelopingrapidly.Underthetideoftheinformationage,itisparticularlyimportantforacompanytosetupaninternalLANtoachieveinformatization.Inordertoadjustandoptimizethestructure,anumberofleatherproductioncharacteristicsandmarketsthathavespecializeddivisionoflabor,outstandingcharacteristics,andapivotalroleindrivingthelocaleconomyhavebeeninitiallyformedaroundtheworld.ThesehistorylaidthefoundationforthedevelopmentofChina'sleatherindustry.Startingfromthecompanyasawhole,theoverallnetworkframeworkisdesignedaccordingtotheinternalstructure,includingbuildingstructureandmanagementstructure.Thencombinethecompany'sneedsintermsoffunctionalselection,buildaspecificnetworktopology,selectsuitabletechnologiesandequipmentfornetworking,andfinallyconductconnectivityteststoensurenetworkavailability.LongzhijunLeatherCo.,Ltd.'snetworkplanninganddesignplanistoanalyzeourcompany'snetworkapplicationneeds,andthenconceiveanddesignacomputernetworkthatmeetsthecompany'sofficeproductionneeds.Wecollectthenetworkrequirementsofeachdepartmentofthecompanyandthenconductnetworkplanning.LongZhijunLeatherCo.,Ltd.networkplanninganddesignplandesignprocessrequiresdemandanalysis,communicationspecificationanalysis,logicalnetworkdesign,physicalnetworkdesign,andfinallyinstallationandmaintenance.LongZhijunLeatherCo.,Ltd.networkplanninganddesignprogram,mainlyabouttheconstructionofthenetwork,implementedinaccordancewiththecompany'snetworkconstructionrequirements,whichdesignthebasicconfigurationofthecoreswitch,VLANdivision,firewallsecuritystrategyandalotofroutingprotocols,wirelesstechnologyAndothernetworktechnologies.Combinethecompany'sneedsintermsoffunctionalchoices,buildaspecificnetworktopology,selectsuitabletechnologiesandequipmentfornetworking,andfinallyconductconnectivityteststoensurenetworkavailability.Keywords：Networkplanning,demandanalysis,networktechnology目录14689第1章绪论 1148781.1研究背景和意义 1244741.1.1网络规划与设计方案的研究背景 170391.1.2本课题的研究意义 1144501.2课题研究方法和内容 2119371.2.1研究方法 2266701.2.2研究内容 27590第2章网络规划需求分析 4295852.1网络需求分析 4309232.2应用需求分析 4221092.3网络性能分析 4121192.4安全需求分析 425350第3章网络规划总体设计 643703.1设计目标 6237593.2设计原则 693203.3拓扑图设计规划 720173.4IP地址与VLAN的划分 716029第4章关键网络技术原理 918294.1虚拟局域网（VLAN） 9304064.2OSPF协议 11240404.3动态主机配置协议（DHCP） 1244494.4无线技术 1423436第5章安全技术 18127305.1安全区域划分 18107075.2ASPF 20183145.3NAT 2114993第6章功能性测试 2288116.1DHCP功能测试 22306526.2HTTP功能测试 2387326.3FTP功能测试 24289836.4无线网络的测试 26290936.5NAT功能测试 2924017第7章总结 3227866参考文献： 3312614致谢 34PAGE35第1章绪论1.1研究背景和意义1.1.1网络规划与设计方案的研究背景在全球发展的市场趋势下，中国皮革业可以取得如此成绩已经很不容易，也可以看出中国皮革业生命力的强大。计算机和信息技术已经和人们的生活变得密不可分，出于公司发展的政策需要和网络安全方面的考虑，国家在信息化建设方面日益重视，加大了财政资金支持，这又使得近年来，信息技术领域飞速发展，计算机网络技术也日渐成熟，各种新技术层出不穷并广泛普及到各行各业，大量基于网络应用的业务成爆发性增加，从以前最基本的网络通信，发展到各个方面。行业内对于网络的依赖性和需求性远非从前可比，尤其在商业和服务业领域。在全球市场经济发展下，公司的主要产业进一步扩大，本公司业务量亦随之迅速上涨，兼备多功能，多元化的特点已成为新时代企业的象征，对于网络的可靠性、稳定性、可拓展性、安全性等需求有了更为严格的要求。为适应这一发展需要，公司的内部网络的规划和建设也必须与时俱进，这也是公司建设非常重要的一环。当今社会已经基本普及现代化网络建设，这一结合极大地推动了国家现代化，信息化的方向发展。作为皮革公司，服务人群多为商业人士，受众面广，对于网络的需求更是不言而喻，本公司应该顺应时代变革，认清发展形势，把握新时代的数字化、信息化，网络化的技术，综合考虑公司内部实际情况，搭建合适的内部网络，设计合理的一体化系统，从而推进落实自动化，网络化，一体化的建设。既满足客人的需求，另一方面就公司自身而言，能减少资源消耗，便于酒店管理，提高整体工作效率，实现利益最大化。1.1.2本课题的研究意义在全球信息化的前提下，信息时代的来临跟互联网的发展一起扩大，计算机科学与技术发展越来越快，公司对于网络的需求同时也越来越大，计算机网络与每个人变得密不可分，学习计算机科学知识，掌握计算机技术技能成为新时代对于我们每个人的要求。网络作为通信纽带在各个领域扮演着举足轻重的角色，所以了解网络是如何组成的，又是如何通信的，它的功能原理是什么样的，工作流程是什么样的，涉及到的技术有哪些，对于一个计算机系的学生来说是最基本的必备的能力。通过这次方案设计可以学习到如何去设计一个网络规划，怎样满足我们的网络需求，学习到很多网络的技术，根据情况来使用适合的技术，学会如何解决网络故障，给公司一个安全可靠的网络环境，提高工作效率。1.2课题研究方法和内容1.2.1研究方法本课题研究采用的方法有：1.实验法：实验法是通过主支变革、控制研究对象来发现与确认事物间的因果联系的一种科研方法。可在网络仿真工具平台对网络路由器、交换机等设备进行软件仿真，搭建模拟局域网，对设计进行直观的实验，测试可能存在的问题，通过实际动手设计，发现相应的不足并进行完善补充，从而保证网络的可靠性，安全性和可扩展性。2.调查法：上网调查的建筑结构，管理结构，提供的功能服务详细调查，并获取商务酒店对于网络的需求，加以详细的调查分析，从而对网络规划进行更完善的补充。3.文献研究法：文献研究法是根据一定的研究目的或课题，通过调查文献来获得资料，从而全面地、正确地了解掌握所要研究问题的一种方法。通过搜集参考相关的文献资料，对商务酒店的拓扑进行规范化设计，考虑应采用怎样的局域网架构最能切合实际，涉及到的技术路线是怎么样的，以往的案例中对于网络安全性的保证又是怎样实施的，这都是需要研究的问题。1.2.2研究内容本设计方案一共分为七个部分，如下：第第1章：绪论。浅谈当今时代背景下，互联网，计算机行业的现状以及发展趋势，结合实际分析本公司在大环境影响下实施本项目的必要性和可行性。第2章：网络规划需求分析。根据本公司现有的组成结构和管理结构，并从工作效率，管理便利，信息共享等方面考虑，充分掌握公司对于网络建设的需求。第3章：网络规划总体设计。利用已知需求，规划相应的逻辑拓扑，划分对应VLAN、选择合适的IP进行分配并根据网络规划和资金预算，进行设备选择等。第4章：关键网络技术原理。选择合适的相关技术以及组网结构对设计方案进行配置。第5章：安全技术。公司网路必须要有安全技术去防止公司商业资料丢失。第6章：功能性测试。我们对上述网络规划进行测试与验收。第7章：总结。对本次网络规划与设计做一个详细的总结。第2章网络规划需求分析2.1网络需求分析本公司主要分为5大部门分别为生产部、财务部、人力资源部、工程研发部和总经办，每个部门需要100台设备，每个部门之间不能访问，通过FTP服务器对部门与部门间资料的传输，外网不能访问我们的内网，内网访问需要做NAT技术，防止外网知道内网信息，外网只能访问我们的HTTP服务，总经办内面有一个会议室，需要无线技术去覆盖总经办和会议室，这些是我们公司需要建网的目标。2.2应用需求分析首先我们设定应用目标之前，是我们要乐姐分析应用背景需求，总结当前网络应用的技术背景，确定行业应用的技术趋势，对于应用需求必然性。在满足应用背景需求分析前，我们还要思考实施网络集成的问题，其中的国外跟国内同行业的信息化程度，全球的公司开始信息化趋势，本企业信息化的目的，本企业采用的信息化步骤等。2.3网络性能分析网络的规划和设计有严谨科学的技术指标，可以实现对设计网络性能的定量分析，所以在进行网络需求分析的阶段上，需要确定网络性能的技术指标。在国际的定义下，明确规定了网络性能技术指标，这些指标可以提供给我们设计网络提供了性能基线(Baseline),主要分为两大类。网元级:网络设备的性能指标。网络级:将网络看作一个整体，2.4安全需求分析隆智俊皮革有限公司网络规划与设计的过程中，满足基本的安全要求，这是对于网络成功运行是十分重要的，在这些安全基础上提供了强大的安全保障，这是企业网络系统安全的必要条件。对于局域网的部署了很多网络设备和服务器，保护这些重要的设备的正常运行，维护重要的业务安全，是网络最基本的安全需求。在不同的网络攻击，防御和发现网络攻击，还可以提供跟踪攻击的手段，这些都是网络最基本的安全需求，所以说安全需求是我们公司规划网络的重要的一部分。

第3章网络规划总体设计3.1设计目标搭建隆智俊皮革有限公司内部局域网，通过有线技术和无线技术相结合，实现每个部门之间实时数据访问，资源共享，满足商务顾客以及内部工作人员的上网需求，同时运用计算机网络技术提供快捷和可靠的高质量网络接入服务，在公司内可以享受高速网上视屏会议，多媒体应用，部门活动等综合应用，以此作为优势，提升自身的服务质量和竞争力，增加营业额赚取更高的利润，有效得提高工作人员的工作效率。3.2设计原则我们在进行网路设计的时候，根据智俊皮革有限公司应用现状和实际需求，建设计算机网络或现将原有的计算机网络进行改造升级。1.网络的安全性根据智俊皮革有限公司应用的特殊性，网络的安全性在本次网络建设中是比较重要的，智俊皮革有限公司整个网络必须保证万无一失的安全性，并对5个不同部门的信息要有严格分离保护的办法，防止外部网络的非法入侵。2.网络的可扩展性智俊皮革有限公司的网络必须要满足用户当前需求以及将来需求的增长很新技术发展等变化。因此智俊皮革有限公司在保护原有的投资同时，必须要保证客户的增加，以及用户随时随地增加设备、增加网络功能等。4.网络的可靠性智俊皮革有限公司的网络的可靠性使网络设计中需要考虑的一个主要原则。作为信息系统应用的依赖和基础，要求智俊皮革有限公司的系统连续安全可靠地运行，所以在智俊皮革有限公司的系统结构设计中选用所以在系统结构设计中选用高可靠性的网络产品。3.3拓扑图设计规划图3-1规划的拓扑图本设计方案采用三层交换式旁挂组网结构。有线部分：根据公司的实际情况，有线部分在网络拓扑的设计上将采用PC+接入层交换机+核心交换机的结构，因为机房管理间设置在生产部，公司各部门的PC可通过网口接入到接入层交换机上，再由接入层交换机进行汇总接入到生产部机房内的核心交换机上，所以并不需要部署汇聚层交换机。接入层交换机通过自身具备的路由功能对数据流量进行寻址转发，从而实现网络的通信。公司的内部服务器，用于提供网页服务以供外网用户进行访问，而服务器内部则存储了与之相关的商业文件，财务报表等机密文件，以供管理人员对酒店进行管理。同时为保障公司内网安全，会在出口网关部署防火墙，进行内外网隔离。无线部分：无线部分的设计主要是采用部署AP（无线访问接入点）+AC（无线控制器）的方式，总经办的会议室需要有无线覆盖。3.4IP地址与VLAN的划分通过拓扑图，在本设计方案中，我们有5个部们分别是生产部、财务部、人力资源部、工程研发部和总经办，分别对应的VLAN号为10、20、30、40和50，再对应对三层配置IP地址，IP地址如下。其中VLAN60是对应无线网络的用户。VLAN70是对无线网络的管理。VLAN80是用于核心交换机和防火墙的连接，/24地址网段用于公司服务器与防火墙的连接，对应的80/30的地址网段是对应外部网络。表3-4VLAN划分VLAN号IP网段默认网关说明VLAN10/24生产部VLAN20/24财务部VLAN30/24人力资源部VLAN40/24工程研发部VLAN50/24总经办VLAN60/24用户无线网络VLAN70/24管理无线网络VLAN80/24核心交换机与防火墙/24服务器与防火墙80/3082外部网络第4章关键网络技术原理4.1虚拟局域网（VLAN）虚拟局域网（VLAN）在全球广泛使用，在逻辑上说，这相当于设备跟用户，这些设备和用户是不会受实际物理线路影响的，虚拟的。可以根据功能和应用等因素将它们一起组织起来，不同的设备与用户之间的通信，就好像在同一个网段中一样，因此我们都叫这是虚拟局域网。虚拟局域网是一种很新的网络技术，这是工作在OSI参考模型的第2层和第3层，一个VLAN对应一个广播域，不同VLAN之间的通信，必须由第3层的路由器来通过完成的。虚拟局域网跟传统的局域网技术相比较，此技术显得更加灵活，并且可提高企业网络的安全性。VLAN主要有两种访问方式:第一种是Access类型的端口有且只能有一个VLAN，只会用于连接计算机。 第二种是Trunk类型的端口可以允许很多个VLAN的通过，此类端口不但可以接收，并且可以发送多个VLAN的报文，用于交换机之间的连接；核心交换机的配置如下:#interfaceVlanif1ipaddressdhcpselectglobal#interfaceVlanif2ipaddressdhcpselectglobal#interfaceVlanif3ipaddressdhcpselectglobal#interfaceVlanif4ipaddressdhcpselectglobal#interfaceVlanif5ipaddressdhcpselectglobal#interfaceVlanif10ipaddress##interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan10#interfaceGigabitEthernet0/0/2portlink-typetrunkporttrunkallow-passvlan20#interfaceGigabitEthernet0/0/3portlink-typetrunkporttrunkallow-passvlan30#interfaceGigabitEthernet0/0/4portlink-typetrunkporttrunkallow-passvlan40#interfaceGigabitEthernet0/0/5portlink-typetrunkporttrunkpvidvlan70porttrunkallow-passvlan56070#interfaceGigabitEthernet0/0/6portlink-typetrunkporttrunkpvidvlan70porttrunkallow-passvlan6070#interfaceGigabitEthernet0/0/7portlink-typeaccessportdefaultvlan80#总经办的接入交换机的配置:#interfaceEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan56070#interfaceEthernet0/0/2portlink-typetrunkporttrunkpvidvlan70porttrunkallow-passvlan6070#interfaceEthernet0/0/3portlink-typeaccessportdefaultvlan5#4.2OSPF协议OSPF协议，这是一种链路状态协议，其原理是通过网络连接或者链路状态为基础。OSPF基本绘制出互联网的全网结构图，然后根据这个结构图选择开销最小的路径。在OSPF协议中，隆智俊皮革有限公司网络规划与设计拓扑时最基础的元家是每台路由器中，包含有每条链路状态。通过学习每条链路连接到何处，OSPF协议相当于建立一个数据库，记录着公司网络中的所有链路状态，然后会计算出最短路径，优先选择最短路径。因为路由器都拥有相同的网络拓扑图结果，所以OSPF协议只有在网络拓扑发生变化时，数据库里的信息才会发送路由更新信息。FW的配置：#ospf1areanetwork55network55network80#外网路由器的配置:#ospf1areanetwork80network80#核心交换机的配置：#ospf1areanetwork55network55#4.3动态主机配置协议（DHCP）DHCP协议，英文拼写为DynamicHostConfigurationProtocol，动态主机配置协议，一般被使用在比较大型的局域网络中，这协议主要作用是集中的管理和分配IP地址，在这个网络环境中，主机可以动态获取IP地址，Gateway地址和DNS服务器地址等信息，并能够提高IP地址的使用率。显而易见，DHCP协议就是一个设备，它不需要账号密码登录，并且自动给内网设备分配IP地址的协议。在公司的局域网中，大多数会采用DHCP协议来分配IP地址，节约人力成本，减少人为出错的可能性。在本拓扑设计中，虽然需要配置的设备数量不多，但是手动配置涉及到人为因素，容易出错，并且酒店里部署了大量的无线网络，AP作为接入点，需要为接入无线网络的每台设备分配一个IP地址，如果这想要靠传统的人工方式来实现，无疑是不现实的。所以DHCP对于局域网内部的IP分配来说极为重要。针对本设计，首先要在核心交换机上启用DHCP协议，建立DHCP地址池，把交换机变成一台内部DHCP服务器，这样局域网内的其他设备就可以通过发送请求报文向交换机申请使用IP地址，因为本公司有5个部门，因此我们需要创建五个地址池，每个地址池中配置可分配的IP地址的范围，网关，子网掩码和租期，当收到来自DHCP服务器的请求报文时，DHCP服务器就会在地址池内，随机选择一个可用的IP地址分配给设备。核心交换机的配置如下：#ippoolpool1gateway-listnetworkmaskleaseday10hour0minute0#ippoolpool2gateway-listnetworkmaskleaseday10hour0minute0#ippoolpool3gateway-listnetworkmaskleaseday10hour0minute0#ippoolpool4gateway-listnetworkmaskleaseday10hour0minute0#ippoolpool5gateway-listnetworkmaskleaseday10hour0minute0#4.4无线技术我们公司需要用到无线技术用在总经办和会议室，总经办会进行接待客户跟视频会议、产品解释等行为，会议室会进行用于召开学术报告、会议、培训、组织活动和接待客人等需求，无线技术可以帮助我们更好的去简化工作，更有利于我们工作的开展跟实施。图4-1无线网络的配置思路图4-2无线网络的AC拓扑图图4-3无线网络的AP拓扑图1.配置无线用户和无线设备管理的VLAN和IP地址VLAN60：用户VLAN网段-54；VLAN70：网关VLAN网段-54用于AC与AP之间2.配置VLAN接口的DHCP协议功能；首先在系统视图下，创建和命名一个地址池，把地址池的网段和掩码加入到里面，然后输入域名和的网关，激活DHCP协议功能，进入到VLANIF60和70配置IP地址，AC与AP之间通信地址段为/24。之后VLANIF60使用的是全局地址池，给VLANIF70使用的是接口地址池。[AC6005]ippoolFJP-ip/创建地址池，地址池名为FJP/[AC6005-ip-pool-fjp-ip]networkmask24/*地址池内网段为，掩码为24位*/[AC6005-ip-pool-fjp-ip]gateway-list/此地址池网关地址为/[AC6005-ip-pool-fjp-ip]dns-list/给用户的主要参数地址池，域名解析地址为/[AC6005-ip-pool-fjp-ip]q[AC6005]interfaceVlanif60/进入三层接口vlanif60/[AC6005-Vlanif60]ipaddress24/配置管理IP地址为24/[AC6005-Vlanif60]dhcpselectglobal/在VLAN60中使用地址池，global指用全局地址池24/[AC6005-Vlanif60]q[AC6005]interfaceVlanif70 /进入三层接口vlanif70/[AC6005-Vlanif70]ipaddress5424/配置IP地址为5424/[AC6005-Vlanif70]dhcpselectinterface/在VLAN70中配地址池，指使用接口地址池/24的地址段/3.配置AP上线：创建AP组，将AP绑定到AP组中；[AC6005]wlan /进入到wlan视图/[AC6005-wlan-view]ap-groupnameapg-fjp/创建ap管理组，命名apg-FJP/Info:Thisoperationmaytakeafewseconds.Pleasewaitforamoment.done.[AC6005-wlan-ap-group-apg-fjp]q[AC6005-wlan-view]regulatory-domain-profilenamedomain-fjp /创建域管理的模板，名称为domain-fjp/[AC6005-wlan-regulate-domain-domain-fjp]country-codeCN/设置国家代码，CN指中国/Info:Thecurrentcountrycodeissamewiththeinputcountrycode.[AC6005-wlan-regulate-domain-domain-fjp]q[AC6005-wlan-view]ap-groupnameapg-fjp/创建ap管理组，命名apg-fjp[AC6005-wlan-ap-group-apg-fjp]regulatory-domain-profiledomain-fjp/在apg-FJP组内使用域模板/Warning:Modifyingthecountrycodewillclearchannel,powerandantennagainconfigurationsoftheradioandresettheAP.Continue?[Y/N]:y[AC6005-wlan-ap-group-apg-fjp]q[AC6005-wlan-view]capwapsourceinterfacevlanif70/配置AC源接口，协议在VLAN70中通信/[AC6005]wlan/进入到wlan视图/[AC6005-wlan-view]apauth-modemac-auth/ap的认证方式为mac认证/[AC6005-wlan-view]ap-id1ap-mac00e0-fc71-7b60/ap序号为1,Mac地址为AP的真实Mac地址/[AC6005-wlan-ap-1]ap-nameap-jf/配名称ap命名为ap-jf/[AC6005-wlan-ap-1]ap-groupapg-fjp/将此AP加入apg-FJP组中，设置AP的组属性/Warning:ThisoperationmaycauseAPreset.Ifthecountrycodechanges,itwillclearchannel,powerandantennagainconfigurationsoftheradio,Whethertocontinue?[Y/N]:yInfo:Thisoperationmaytakeafewseconds.Pleasewaitforamoment..done.4.配置WLAN的业务参数；[AC6005-wlan-ap-1]wlan/进入到wlan视图/[AC6005-wlan-view]security-profilenamesec-fjp/创建安全模板命名为sec-FJP/[AC6005-wlan-sec-prof-sec-fjp]securitywpa2pskpass-phrasefjp123456aes/认证模式为wpa2，共享秘钥fjp123456为秘钥，aes为高级加密/[AC6005-wlan-sec-prof-sec-fjp]q[AC6005-wlan-view]security-profil [AC6005-wlan-view]ssid-profilenamessid-fjp/创建ssid模板，命名为ssid-FJP/[AC6005-wlan-ssid-prof-ssid-fjp]ssidfjpInfo:Thisoperationmaytakeafewseconds,pleasewait.done.[AC6005-wlan-ssid-prof-ssid-fjp]q[AC6005-wlan-view]vap-profilenamevap-fjp/创建vap模板命名为vap-FJP/[AC6005-wlan-vap-prof-vap-fjp]forward-modetunnel/采用隧道的方式转发数据/Info:Thisoperationmaytakeafewseconds,pleasewait.done. [AC6005-wlan-vap-prof-vap-fjp]service-vlanvlan-id60/指定业务VLAN即用户VLAN为60/Info:Thisoperationmaytakeafewseconds,pleasewait.done.[AC6005-wlan-vap-prof-vap-fjp]security-profilesec-fjp/使用sec-FJP安全模板/Info:Thisoperationmaytakeafewseconds,pleasewait.done.[AC6005-wlan-vap-prof-vap-fjp]ssid-profilessid-fjp/引用名为ssid-fjp的SSID模板/Info:Thisoperationmaytakeafewseconds,pleasewait.done.[AC6005-wlan-vap-prof-vap-fjp]q [AC6005-wlan-view]ap-groupnameapg-fjp/进入名为apg-FJP的ap组/[AC6005-wlan-ap-group-apg-fjp]vap-profilevap-fjpwlan1radio0/将vap模板引用到ap组里，然后ap上频0使用vap模板vap-FJP配置/Info:Thisoperationmaytakeafewseconds,pleasewait...done.

第5章安全技术5.1安全区域划分防火墙已经默认为大家提供三个安全区域，分别是TRUST、DMZ和UNTRUST。从名字上看就了解到这三个安全区域内，TRUST区域这个区域内网络的受信任程度高，通常用来定义内部用户所在的网络。DMZ区域这个区域内网络的受信任程度中等，通常用来定义内部服务器所在的网络。UNTRUST区域这个区域代表的是不受信任的网络，通常用来定义Internet等不安全的网络，在不同的安全区域可以加强企业网络使用的安全性。通过我上述的介绍，回归到方案设计，本公司有内部的公司服务器，所以使用防火墙对整个网络拓扑进行区域划分，划分出trust、untrust和dmz三个区域，并把防火墙的各个物理接口也划分到相应的区域内。G0/0/0接口是防火墙连接外网的端口，在逻辑意义上是属于安全等级较低，易受攻击的区域，所以划分进untrust区域；G0/0/2接口连接的是核心交换机，即公司内部局域网的区域，这一区域相对来说具有较高的可信度和安全性，安全等级高，不易受到攻击，所以把该区域划分为trust区域，G0/0/2接口属于该区域；G0/0/1接口连接的区域是公司内网架设的服务器部分，所以把该接口划分到dmz区域。防火墙配置：首先把接口加入到对应的安全区域内firewallzonetrustsetpriority85addinterfaceGigabitEthernet0/0/2#firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet0/0/0#firewallzonedmzsetpriority50addinterfaceGigabitEthernet0/0/1#报文从高级别的安全区域向低级别的区域流动时方向为outbound，报文从trust流动到untrust设置成outbound#firewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutbound#5.2ASPF应用层报文过滤，英文拼写为applicationspecificpacketfilter，主要是对应用层的包过滤，相当于状态检测的报文过滤技术。这种技术对每一个连接的状态，进行检查应用层协议上的数据，由此决定数据包能否通过。它跟一般的静态防火墙协同工作，对于实施局域网络的安全策略起到便利性。ASPF可以监测通过防火墙的应用层协议上会话的信息，拒绝不符合设置规则的数据报文通过。为了保证网络的安全性，这是ACL控制访问列表基础下，对包过滤可以在网络层上传输层监测数据包，防止外来入侵。ASPF能够监测应用层协议上的有效信息，并且对应用层协议上的数据包进行监控。我们本次设计使用了FTP，每个部门通告FTP来获取不同部门的文件跟信息，我们把FTP服务器接口，放到DMZ安全区域内，在TRUST安全区域跟DMZ安全区域之间，允许特定源/目的地址的FTP报文通过，在安全区域的域内开启FTP协议的ASPF功能就可以实现我们的的需求。我们公司总共分为五个部门，每个部门的内部资料是不允许其他部门获取的，但我们也需要部门与部门之间需要资料的传输，我们利用FTP服务器当作媒介，来进行不同部门的信息交流，便于我们工作的合作。方案设计拓扑图如下:图5-1公司服务器拓扑图我们配置的思路是在dmz安全区域到Untrust安全区域之间，允许特定源或者目的地址的FTP报文通过就可以了。配置如下：#policyinterzonetrustdmzoutboundpolicy1actionpermitpolicyserviceservice-setftppolicysource55policydestination55#在安全区域的域内开启FTP协议的ASPF功能#firewallinterzonetrustdmzdetectftp#我们公司还有个需求，就是客户可以在外网来观看我们公司的简介和商品，发掘潜在客户，增加公司的营业额。因此我们利用ASPF，在DMZ安全区域跟Untrust安全区域之间，可以让特定源跟目的地址的HTTP报文的通过。#policyinterzonedmzuntrustinboundpolicy1actionpermitpolicyserviceservice-sethttppolicysource80policydestination0#5.3NATNAT技术，英文拼写NetworkAddressTranslation,咱们可以分为基于源地址NAT跟基于目的地址NAT,可以有效的提高网络访问的安全作用，当在隆智俊皮革有限公司网络规划与设计方案内部网络的一些主机本来已经分配到了本地IP地址（。NAT不仅可以解决IP地址不够的问题，并且还能有效地避免，来自各种各样的网络外部攻击，隐藏起来并保护我们网络内部的计算机。源NAT转换方式主要分为三大类，第一种方式是NATNo-PAT，这种只是转换报文的IP地址，不转换接入的端口，需要上网的内部网络用户人数少，公网IP地址数量必须跟上网的最大内网用户数量一定要相同。第二种是NAPT，同时转换报文的IP地址和端口，经常用于应用于公网IP地址数量少，需要上网的内部设备数量大。第三种是出接口地址方式（Easy-IP），这种方式同时转换报文的IP地址和端口，但转换后的IP地址只能为出接口的IP地址，适用于只有一个公网IP地址，并且该公网地址在接口上是动态获取的。我们本次方案设计用到的源NAT转换方式是出接口地址方式（Easy-IP）配置如下：#nat-policyinterzonetrustuntrustoutboundpolicy1actionsource-nat//行动为进行源NAT转换policysource55//设置源IP地址easy-ipGigabitEthernet0/0/0//指定出接口#我们再来介绍基于目的地址的NAT(NATServer)，其原理跟基于源地址的NAT技术，把内部的IP地址映射到公网IP地址，防止外网入侵内网，调高网络安全性。配置如下:[FW1]natserver0global82inside

第6章功能性测试6.1DHCP功能测试在PC1来测试DHCP功能，选取DHCP的配置点击应用。图6-1设置PC1成功自动获取I