网络工程-广州星光科技有限公司网络规划与设计

广州星光科技有限公司网络规划与设计摘要：随着互联网的井喷式快速发展，网络的更新换代节奏越来越来，特别地华为开启5G时代到来，实现真正意义上的万物互联。无论是各行各业还是百姓的生活均离不开网络，因此企业在如今信息大爆发的互联网时代下，构建属于自己的网络加入到世界网络上就显得尤为重要。构建方便、安全、快捷的网络实现员工的自动化办公，信息资源共享是迫在眉睫的。本毕业设计以科技公司的网络作为网络规划为背景，对一些中小型企业对于网络的需求进行综合概括，再进行规划与设计出合适可行的方案。利用自己所学的知识以及外面资源的帮助，利用网络技术IPsecVPN技术、NAT地址转换技术、VRRP路由的冗余备份等各种相关的技术来实现内部与外部的网络之间的相互通信。最后通过华为的模拟器eNSP进行网络拓扑图设计以及进行实验测试，验证本次毕业设计是可行的。关键字词：互联网，网络技术，网络规划GuangzhouXingguangTechnologyCo.,Ltd.networkplanninganddesignAbstract:WiththerapiddevelopmentoftheInternet,therhythmofnetworkupgradesisbecomingmoreandmorefrequent.Inparticular,Huaweihasstartedthe5Geraandrealizedtherealinterconnectionofallthings.ItisinseparablefromtheInternetinallwalksoflifeandinthelivesofordinarypeople.Therefore,intheeraoftheinformationexplosionintoday'sInternet,itisevenmoreimportantforcompaniestobuildtheirownnetworksandjointheworldnetwork.Tobuildaconvenient,secure,andfastnetworktoautomateofficeworkforemployees,informationresourcesharingisimminent.Thisgraduationdesigntakesthenetworkoftechnologycompaniesasthenetworkplanningbackground,summarizesthenetworkrequirementsofsomesmallandmedium-sizedenterprises,andthenplansanddesignssuitableandfeasiblesolutions.Utilizetheknowledgeyouhavelearnedandthehelpofexternalresources,usenetworktechnologyIPsecVPNtechnology,NATaddresstranslationtechnology,VRRProutingredundantbackupandotherrelatedtechnologiestoachieveinternalandexternalnetworkcommunication.Finally,Huawei'ssimulatoreNSPwasusedtodesignthenetworktopologydiagramandconductexperimentalteststoverifythatthegraduationdesignisfeasible.Keywords:Internet,networktechnology,networkplanning目录TOC\o"1-3"\h\u1绪论 11.1课题背景 11.2课题意义 11.3论文设计结构 22需求分析 32.1网络建设需求分析 32.2办公网络主干分析 33公司网络逻辑设计 53.1网络设计原则 53.2公司网络整体拓扑设计 53.2.1公司网主干结构设计 53.3.2公司内部通信网络结构设计 63.3IP地址设计 73.2.1IP地址规划 73.2.2网络地址分配 73.2.3vlan的划分 73.4设备选型 83.4.1核心层设备 83.4.2汇聚层设备 103.4.3接入层设备 103.4.4服务器设备 114技术实施方案 134.1vlan技术 134.2ACL访问控制列表技术 134.3IPSG技术 154.4防火墙技术 164.5NAT网络地址转换协议 174.6OSPF动态路由协议 184.7无线网络的搭建 194.8DHCP服务器搭建 205网络连通性测试 235.1不同vlan之间的通信 235.2验证DHCP服务 235.3验证Ftp、Http服务器 255.4验证NAT地址 276结论 28参考文献 29致谢 30 绪论课题背景在当今时代，随着5G时代的到来，企业对于网络的需求依赖度不断地提高，甚至到了离不开网络地步，网民们无论在生活上还是工作上都离不开网络，网购、支付包（微信）支付、外卖等等都与网络息息相关，而在工作上，今年突遇新冠病毒的影响，网课、网上办公更是需要网络的支持；因此，网络成为人们生活、学习和工作上必须的部分。而对于一个企业来说，部署自己的网络环境更是必不可少的。一个企业拥有自己的网络是必须的，而以IT技术、互联网发展的公司更是如此了。因此很多企业现急需开始建设自己的网站以及在各种各样的自媒体上来宣传自己的品牌，来提高公司的知名度。办公话自动化极大的提高了企业的办事效率，企业的局域网也给员工带来了很大的方便性。广州星光科技有限公司现在要由番禺区搬迁到天河区，是一家以数据存储、应用安全、技术为核心业务的高新技术企业。现星光科技有限公司有意向成为具备为国内外企业提供云数据存储、信息安全、软件开发、安全技术服务等方案解决能力的快速发展型公司，因此需快速建设一套稳定、快捷、安全的网络环境，网络需要实现网络互通、信息共享、实时在线更新最新的资源、无纸化办公、高宽带覆盖全公司网络WiFi。因此公司现急需建设一套稳定高速的网络系统，适应新的办公地址，用以保证搬迁之后公司即可正常上班，使用公司网络环境，不影响到公司业务的正常运行课题意义本次课题的意义是研究适应当前中小型企业对于网络系统环境的需求，为中小型企业对于网络的建设提供一个可靠低成本的网络规划与设计方案。对于本次课题的公司网络建设，主要通过了解公司对于网络的需求进行分析，选择当前市场上功能强大成本的网络设备，利用自己所有的网络知识和在实践过程中学到的知识，对ACL技术、防火墙技术、无线技术等搭建好公司的网络，目的是保证公司内部网络可以高效的进行数据传输与交换，与外网进行实时有效的信息交流，达到满足一般中小型企业的对于网络的需求，在保证公司络的通信的质量后，也需要为公司未来的可持续升级改造做一个方案设想。1.3论文设计结构本次论文的设计第一章主要介绍课题的背景及课题意义；第二章对星光科技有限公司对于网络需求进行分析；第三章在遵循网络规划的原则上对网络进行规划和设计，且公司对于使用的IP地址进行划分以及选择合适的网络设备；第四章对于网络建设所采用的技术进行介绍，采用安全先进的技术保证公司网路的建设；第五章通过搭建模拟实验环境测试本次论文设计方案的网络连通性；第六章对本次论文设计进行总结。需求分析2.1网络建设需求分析公司主要建设一个功能强大的网络系统，还需建立一台DNS服务器，便于用域名访问服务器，一台FTP服务器，用于公司平常的资料简单共享，上传、下载需求。当前建设的企业级网络系统大部分以光纤做为传输媒介进行支撑、以相应的网络技术为关键、以华为的核心级交换机为数据的流通中心、各部门信息中心的网络部署为多节点的的分层结构、满足公司各部门进行工作职能相关的网络功能需求、信息资源共享统一的网上应用系统，再进一步发展成为独立的多功能网络应用平台。本次设计的目标是建设公司的办公信息网络交换平台，各部门信息集中化的网络系统。设计一个网络系统的需求有以下这几个条件：安全、高效、方便的计算机网络系统。内部的网络，以B/S或C/S的方式实现最新信息的收送。内部的建立电子邮件系统（企业邮箱）、实现公司重要文件的传递。各种文件资源及实时信息的共享，实现人性化管理。2.2办公网络主干分析公司还需要建立一个高速、安全、稳定的数据网络控制中心。公司总有6个部门，分别管理层、销售部、信息部、后勤运营部、财务部、人力资源部；另外还有2个办公区，1个智能会议室，1个综合会议室。公司自行建设服务器给外网提供访问。另外各个部门计算机数量由所需决定，如人力资源部和财务部均有20台，行政主管会相对较少。现在公司属于网络建设初期，公司网络主要为以太网连接和无线WiFi覆盖；公司网络需求主要有以下几点：表2-1办公楼布局一层运营后勤部二层销售部人力资源部三层综合会议室智能会议室四层行政主管财务部五层专用机房（各种服务器）公司的主干网通过防火墙过滤规则后再与外界的互联网进行对接，实现与外网的信息共享与交换，其余的各子网接入公司内部的主干通信局域网。主干网接入互联网是有线的综合宽带网，速率在100Mbps上下；主干为1000M的光纤线路，其它部署为超五类双绞线。公司网络逻辑设计网络设计原则一个企业级网络系统环境的设计需要符合原则，其中包括网络设计要求、网络拓扑的设计、IP地址的规划、需要的设备类型以及设计到的技术方案等。系统设计原则是建设企业智能化网络系统的基础和充分必要条件，在企业网络系统设计中应充分考虑：稳定性与高效性，先进和安全性等原则。稳定性与高效性：支持行业的主流标准，且符合未来的发展潮流。保证网络系统的稳定性，便于使用，方便管理和维护。先进性与安全性：采用目前网络技术的最新各种容错灾备技术和系统备份与恢复技术，用以保证公司网络系统有较高的安全可靠性。采用vlan技术划分IP、ACL访问控制列表，防火墙技术等安全控制措施，以保证系统的安全，不被外界入侵导致网络系统瘫痪。公司网络整体拓扑设计3.2.1公司网主干结构设计广州星光科技有限公司的主干网络主要以核心层、汇聚层、接入层的三层结构进行规划设计，其中在汇聚层旁挂无线设备，是WIFI网络服务可以覆盖全公司，保持员工在公司进行工作的网络全面畅通、无碍。公司的整体拓扑结构如图3-1所示：图3-1主干网网络拓扑图3.3.2公司内部通信网络结构设计公司内部通信网络主要为华为的二层交换机接入主机，以三层交换机代替路由器作为公司的核心层和汇聚层，使网络数据的交换更高速，进行自动获取路由表寻址到达目标。公司内部通信网络拓扑如图3-2所示：图3-2内部通信网络拓扑图3.3IP地址设计3.2.1IP地址规划（1）根据目前网络系统的结构和后续拓展，规划IP地址应遵循以下三个原则。唯一性：所有可用的网络设备IP地址是只有一个的，一个IP地址只能对应一台网络设备。连续性;在同一个通信网络区域的的设备，需划分为同一网段的连续网络地址，用于方便规划以及提高交换机时路由寻找路径的效率。高效性：应采用可变长子网掩码技术进行划分IP地址网段，要求采用支持可变长子网掩码技术的TCP/IP协议族。（2）业务地址的划分可按照两个原则来分配。通过公司的部门进行IP地址规划，每个部门独立分配一个的网段，配置不同的vlan；此方案目前适合公司业务种类较少的情况，主要管理方便。通过公司的业务流向进行IP地址划分，一种业务分配一个网段，所有的目标客户同一业务的使用同一网段进行配置，此方案比较适合各业务之间的访问控制。3.2.2网络地址分配IP地址的划分主要包含以下三个方面;网络设备和互连链路的地址划分部门IP地址划分服务器IP地址划分根据以上IP地址的划分原则，公司的IP地址的设计如下：公司办公楼：~553.2.3vlan的划分表3-1办公楼的vlan的划分部门/子网vlanIp地址网关DNS财务部vlan10/24管理层vlan20/24销售部vlan30/24人力资源部Vlan40/24前台Vlan40/24会议室vlan50/24后勤运营部vlan60/243.4设备选型核心层网络设备：三台华为s5700-24TP核心交换机,一台华为QuidwayAR28-11核心路由器。汇聚层网络设备：分为3部分，分别为：后勤运营部门子网、管理层行政子网、信息技术子网，共需3台华为QuidwayS3928F-EI三层交换机.接入层网络设备：每个部门分化一个vlan，每个vlan由4台华为QuidwayS2300二层交换机。3.4.1核心层设备图3.-3核心层交换机表3-2核心层交换机参数设备名称设备功能特性5570-24TP核心层交换机QOS：支持对端口接收和发送报文的速率进行限制支持报文重定向支持基于端口的流量监管，支持双速三色CAR功能每端口支持8个队列支持WRR、DRR、SP、WRR+SP、DRR+SP、队列调度算法支持报文的802.1p和DSCP优先级重新标配选择华为S5700-24TP-SI(AC)，如上图3-3、表3-2所示，该设备为千兆以太网交换机，应用于三层功能全面，性能强大，适合做企业的核心交换机。图3-4华为QuidwayAR28-11核心路由器表3-3核心路由器参数功能参数防火墙内置防火墙纠错Qos支持支持VPN支持支持网络管理console、RMON、SNMP、TELNET、管理软件其它参数处理器MPC8241200MHz产品内存DRAM内存；128MBFLASH内存32MB纠错电源电压AC100-240V，50/60Hz,DC-48--60V产品尺寸442X315X44mm如上图3-4和表3-3可知，华为QuidwayAR28-11核心路由器WAN/LAN是多业务路由器。是面向运营商网络和企业用户的网络产品。3.4.2汇聚层设备图3-7华为QuidwayS3928F-EI交换机表3-4QuidwayS3928F-EI交换机参数网络参数网络标准IEEE802.3,IEEE802.3u,IEEE802.3d,IEEE802.3ab,IEEE802.3x传输模式全/半双工自适应CLI支持命令接口（CLI）配置，支持telnet远程配置，支持通过console配置，支持SNMP，支持rmon1,2,3,9组MIB，支持华为Imanger®N2000DMS网管系统堆叠功能能堆叠端口参数接口数量26个接口类型24个百兆STP口，2个千兆STP口和2个10/100/1000M电口模块化插槽数2个其它安全性用户分级管理和口令保护支持IEEE802.1X认证支持AAA、Radius、HWTACACS认证支持MAC地址学习数目限制支持MAC地址与端口绑定如上图3-7和表3-4可知，华为QuidwayS3928F-EI交换机系统采用IRE（智能弹性架构）技术，将多台分散的设备组成同一的交换矩阵，非常适合作为可拓展性、可靠性、安全性和易管理性的办公网、业务网和驻地网的汇聚层交换机；提供基于WLAN的批量ACL下发，支持对报文的过滤、优先级设置，保障高优先级业务和用户的安全需求。3.4.3接入层设备图3-9华为QuidwayS2300接入交换机表3-5华为QuidwayS2300接入交换机参数网络参数网络标准IEEE802.3,IEEE802.3u,IEEE802.3d,IEEE802.3ab,IEEE802.3x网管功能支持命令接口（CLI）配置，支持telnet远程配置，支持自动配置功能，支持SNMP，支持V1/V2/V3，支持RMON，支持集群管理HGMPV2堆叠功能不能堆叠端口参数接口数量26个接口类型10/100

BASE-T,10/100/1000Base-T,100/1000

Base-X/STPCOMBO模块化插槽数2个其它是否支持全双工全、半双工网管支持可网管型电气规格电源电压额定电压范围：-48--60Vdc

最大电压范围：-36--72Vdc额定功率<15.5W外观参数重量<2.4KG长度442mm宽度220mm高度43.6mm如上图3-9和表3-5可知华为QuidwayS2300接入交换机是新一代智能的接入交换机，面向IP城域网和企业网，可以实现以太网多业务承载以及各种以太接入场景；可以为用户有效地提高产品可运营、可管理、业务拓展能力，具备优异的防雷能力和安全特性，支持acl、QINQ等功能，满足WLAN灵活部署的需求。3.4.4服务器设备服务器是公司的重要网络设备之一，提供公司内部许多服务的支撑，比如ftp服务等，因此需要根据公司的需求选择合适的服务器设备，如下图3-11所示：图3-11IBMSystemx3650M2表3-6IBMSystemx3650M2参数内存内存类型ECCDDR3内存容量2GB*3最大内存128GB存储硬盘类型SAS/SATA光驱可选网络网络控制器集成的双千兆以太网其它参数PCI拓展槽4环境参数工作温度10-35℃工作湿度8%-85%工作高度2133m存储温度10-43℃存储湿度5%-9%存储高度2133m如表3-6可知，IBMSystemx3650M2拥有多功能和可靠的技术，是属于节能智能型的服务器设备。X3650M2拥有先进的虚拟化功能，还提供每个内核内存容量，支持功效、经济的实施虚拟化。技术实施方案4.1vlan技术Vlan称为虚拟局域网，虚拟局域网VLAN是一组在逻辑上的设备和用户，这些设备和用户并不会受到物理网段的限制。可以依据公司的每个部门业务工作性质和网络需求，公司的办公通信网络按照部门业务进行vlan的划分，每个部门划分为不同的vlan网段，同在一个VLAN网段的网络，部署端口隔离技术。端口隔离技术，具备以下优点：（1）规避广播风暴的发生。Vlan技术能够提供建立防火墙的机制，禁止公司的网络发生过量广播数据。采用VLAN技术可以缩减广播流量，释放冗余的带宽给用户使用，降低广播流量的产生。（2）保障公司网络安全。在公司的汇聚层接入层交换网络，划分为不同的VLAN网段之间是不可以直接进行数据通信的，要通过在三层交换网络进行验证之后才能相互访问进行通信，用来提高公司网络安全，降低发生意外事件导致泄露隐秘信息和数据的可能，保障公司的隐私，为公司通信网络建设安全的上网环境。（3）采用VLAN技术还可以减少公司建设网络系统的成本，增加员工工作的效率，让网络系统方便进行管理，增强网络的灵活性等优势。在同一个部门不相同的物理网段结点能够被划分为同一逻辑子网。对于网络数据和信息资源中心，例如技术部门、财务部门等重要部门应要使用基于传统的MAC地址来进行WLAN划分技术，降低发生IP地址冲突或被盗用等其它的安全问题。4.2ACL访问控制列表技术ACL访问控制列表技术是保证公司通信网络信息安全的主要策略，它的主要目的是保障网络资源不被外界和内部员工的非法使用和访问，它是保证公司网络安全最重要的核心策略之一。让公司员工在工作的不同进行工作上的的事情；提高公司整体的工作效率。公司网络访问控制列表定义为：公司各部门之间的网络不能够相互访问，在路由器的出口处进行检验，禁止公司的财务和后勤部门访问外网互联网。[Switch]acl3001[Switch-acl-adv-3001]ruledenyipsource55destination55//禁止后勤部访问财务[Switch]time-rangerest-time0:00to23:59every-day[Switch-acl-basic-2001]ruledenysource55time-rangerest-time//禁止财务和后勤部门访问外网使用ACL限制除了后勤和保安部门不能访问服务器之外的所有部门只能在在工作日8：00~21：00时间段可以访问ftp服务器，不能使用QQ、优酷视频网站。//配置时间段：time-rangeftp-access08:00to21:00working-daytime-rangeftp-accessfrom00:002019/5/1to23:592025/5/1time-rangeYouKu08:00to18:00working-daytime-rangeQQ08:00to18:00working-dayaclnumber2001//ftp服务器的限制rule10permitsource55time-rangeftp-accessrule20denysource55rule25denysource55aclnumber2002//限制员工在工作时间不能访问QQ、优酷rule5denysource55time-rangeQQrule10denysource55time-rangeYouKuSNMP中应用ACL过滤非法网管[Switch]snmp-agentmib-viewincludedisoview01system//配置MIB视图isoview01能够访问system子树。[Switch]snmp-agentmib-viewincludedisoview02interfaces//配置MIB视图isoview02能够访问interfaces子树。配置团体名，系统管理员在添加新的交换机时，使用团体名进行验证，同时应用设置访问控制，使访问控制策略生效。[Switch]snmp-agentcommunityreadadminnms01mib-viewisoview01acl2001//配置adminnms01对system子树具有只读权限。[Switch]snmp-agentcommunitywriteadminnms02mib-viewisoview02acl2001//配置adminnms02对interface子树具有读写权限。配置告警主机，并使能交换机主动发送Trap消息的功能。[Switch]snmp-agenttrapenableWarning:AllswitchesofSNMPtrap/notificationwillbeopen.Continue?[Y/N]:y//打开交换机上所有的Trap开关。缺省情况下仅打开了部分告警开关，可通过displaysnmp-agenttrapall命令查看。[Switch]snmp-agenttarget-hosttrapaddressudp-domainparamssecuritynameadminnms01v14.3IPSG技术IP源防护是一种基于IP/MAC的端口流量过滤技术，它能够防止在同一局域网内的IP地址被欺骗攻击。IPSG能够确保第2层网络中终端设备的IP地址不会被劫持，而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。可以限制公司的电脑或员工的电脑禁止私自改动ip地址，防止发生IP地址冲突，造成一系列的网络瘫痪，同时限制非法主机访问内网，造成公司文件数据库的外泄、技术的核心内容被盗，造成不可估计的损失。配置IPSG防止静态主机私自更改IP地址aclnumber3001//配置ACLrulepermitipsource0//允许上网的主机ruledenyipsource55trafficclassifierc1/if-matchacl3001//配置基于ACL的流分类trafficbehaviorb1/permit//配置流行为trafficpolicyp1/classifierc1behaviorb1//配置流策略user-bindstaticip-addressmac-address0002-0002-0002interfacegigabitethernet0/0/1//创建Host_1的静态绑定表项配置IPSG限制非法主机访问内网[Switch]user-bindstaticip-addressmac-address0001-0001-0001interfacegigabitethernet0/0/1//创建Host_1的静态绑定表项[Switch]dhcpenable//使能DHCP功能[Switch]dhcpsnoopingenable//使能全局DHCPSnooping功能[Switch]interfacegigabitethernet0/0/4[Switch-GigabitEthernet0/0/4]dhcpsnoopingtrusted//配置信任接口4.4防火墙技术防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙是一种保护计算机网络安全的技术性措施，它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络，以阻挡来自外部的网络入侵。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术公司在进行网络规划时需要添加防火墙设备来保证内部网络的安全。这里，将外网划分为untrust安全区域，安全等级为5；服务器群划分到dmz区域，安全等级为50；办公局域网划分到trust区域，安全等级为150。不同区域间数据流通需要配置相关的安全策略。为了防止黑客利用公司的IP进行地址恶意攻击服务器，因此需配置安全策略，仅允许服务器向办公楼发送服务数据，禁止外网的主机设备向服务器集群发送协议服务。配置安全策略的命令如下：policyinterzonetrustdmzoutboundpolicy1policysource55policydestination55policyserviceservice-setdnspolicyserviceservice-sethttppolicyserviceservice-setftpactionpermit//允许内网的所有主机能够享受到dmz区域内网段提供的http服、dns服务和ftp服务通过上述命令，仅允许服务器集群向小区局域网发送dns服务、http服务和访问ftp服务器。能够保证公司局域网络的性能优化，同时避免服务器集群被攻击。4.5NAT网络地址转换协议由于公司网络系统终端较多，不可能为每个都分配ip地址，所以，在公司网络设计的时候网络系统可以使用NAT网络地址转换技术把公司的私有IP地址转化为合法的公有IP地址，再接入到外界网络，以保证公司网络能够正常的访问互联网。由于公司网络系统比较复杂，我们采用动态网络地址转换技术。内部地址为公司各部门的网络地址，具体如下：表4-1公司网络地址转换地址：Ip内部地址：-/24/24公用地址池：-外部地址配置nat地址池:Nataddress-group1Modefull-conelocalSection1配置nat策略:Nat-policyinterzonetrustuntrustoutboundPolicy1Policysource55Actionsource-natAddress-group14.6OSPF动态路由协议公司网络使用OSPF动态路由协议，可以保障公司的路由表信息进行实时更新。由于公司网络的接入点较多，网络结构比较复杂，如果采用静态路由技术进行配置，系统管理员配置的工作量会大大增加同时也会不方便进行管理，并且OSPF收敛的速度快，可以控制自身的开销值少。所以公司网络采用ospf动态路由协议，具体的的配置实现过程如下所示：在公司所有的的汇聚层交换机和防火墙上分别配置ospf协议，保证公司局域网内网络的连通信。在交换机配置：ospf1area0//区域默认为0network55//添加交换机直连网段network55通过上述命令，交换机会自动进行路由，并把直连路由自动分布出去，大大减少了人工成本时间。4.7无线网络的搭建无线局域网WLAN已经成为当前企业IP网络建设不可或缺的一部分。关于公司员工正常的工作，无线局域网当前来说主要设计到的领域一般归结为以下三个方面：数据处理，语音通讯，实时定位。给公司搭建一套无线局域网系统，实现公司区域全面网络覆盖，实现公司的每楼层，每区域都能连接到网络。主体的骨干网络拓扑如下：图4-1无线网拓扑图配置命令如下：配置Trunk命令：vlanbatch100101102103]interfaceGigabitEthernet0/0/1port link-type trunkport trunk pvidvlan 100 port trunk allow-pass vlan 100101102配置虚拟端口IP：DhcpenableInterfacevlanif100Ipaddress24Dhcpselectinterface配置ACwlan基础配置wlan ac-global ac id 1 carrier id other wlan ac-global country-code CN [AC]wlanWlanacsourceinterfacevlanif100Ap-auth-modeno-auth配置ACWLAN业务参数#创建wlan-ess接口interfacewlan-ess0/porthybridpvidvlan101#创建wmm模板security-wmm-profilenamewmm#创建安全模板security-profilenamesecrity#创建流量模板traffic-profilenametraffilc4.8DHCP服务器搭建DHCP是一个局域网的网络协议，只要功能时可以给在局域网内部的主机进行自动分配动态ip地址，方便管理员对局域网内部的主机进行划分与管理，公司网络系统的接入点多，如果每台主机都进行手动分配静态ip地址，那么公司的管理员工作量会增加很多，同时在管理和维护公司的网络系统时也会增很多难度系数，为了节约网络建设成本，因此搭建DHCP服务器给主机进行自动分配IP是必要的，利用华为三层交换机在核心层搭建DHCP服务器。同时可以有效防止用户将不符合规范的的DHCP服务器接入到网络中，例如用户自带的无线路由器等，致使正常的用户获取到不正确的IP地址，从而上不了网或者导致正常用户获取到IP地址出现有冲突的情况，部需开始DHCPSnooping功能。给公司的主要部门搭建DHCP服务器，基于全局地址池如下：表4-2IP地址池vlanIp地址池网关DNSvlan20-540vlan30-540vlan40-540vlan50-540vlan60-540其中行政主管部门vlan20的配置如下图4-2所示：图4-2行政主管的DHCP服务拓扑图主要命令如下：配置vlanif:interfaceVlanif20ipaddressdhcpselectglobal配置全局地址池：ippoolvlan20gateway-listnetworkmaskexcluded-ip-address27//地址~127不参与自动分配leaseday999hour0minute0//租期999天dns-list配置DHCPsnooping仿冒者攻击dhcpsnoopingenableipv4开启DHCPsnooping服务interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan10dhcpsnoopingtrusted在公司的汇聚层交换机上搭建DHCP服务，配置上述命令，以后添加的计算机可以自动分配动态IP地址。

网络连通性测试5.1不同vlan之间的通信选择技术部（vlan20）的一台主机PC3，查看主机的IP地址，另一台为营销部（vlan30）的一台主机PC1。进行不同部门之间的网络联通测试是否可以通信，如下图所示：图5-1PC3pingPC1如上图5-1所示，公司的内部通信网络不同的部门之间是可以互通的5.2验证DHCP服务选择公司内部的一台主机设置为自动获取IP地址，用ipconfig查看是否会自动获取IP地址，再用另一台主机测试ping。图5-2PC2设置图5-3PC2IP地址图5-4如图5-2，图5-3的结果可知公司内部主机是可以自动获取到IP地址，并可以与其它主机通信。5.3验证Ftp、Http服务器在服务器设置ftp、http服务，并用营销部的一台主机进行获取ftp、http文件：图5-5ftp网址图5-6ftp开启图5-7http开启如上图5-5，图5-6，图5-7所示，发现ftp服务，http服务是已经开始。图5-8获取ftp文件图5-9获取http文件如上图5-8，图5-9可知，主机是可以发现能够ftp、http服务并获取成功，部门的主机可以在线访问ftp、http服务器。5.4验证NAT地址用行政主管的一台主机PC1连接外网,测试结果