大型企业网规划与设计

德州职业技术学院毕业设计(论文)网上书店德州职业技术学院（论文）网上书店第一章前言1.1研究的背景随着科技的发展，计算机技术和互联网技术逐渐出现在我们的生活中，使得我们的生活丰富多彩。企业通关网络进行产品的设计、制作、交流，使得工作的效益越来越大，推动了社会的进步。计算机技术在很多领域都发挥了巨大的作用，人们的生活越来越离不开计算机技术。计算机技术的快速发展，逐渐被应用到企业的各个部分，网络通信技术随之而来，极大地提高了企业的工作效率。企业通过计算机技术，能够及时的得到很多有益于企业的信息，通过Internet技术与外部世界进行信息交换，从而对企业做出一些调整和决策，迎合市场的需求。企业能够快速的与世界联系，提高了信息的收集能力。1.2研究的目的及意义企业通过企业网能及时了解到很多外界信息，使得不同的计算机之间能够相互通信，没有了地理位置的限制，企业人员可以通过任何计算机去访问另一台，从而节约了大量的时间。要想实现上述的功能，企业必须要实施相应的企业网设计的方案，保障网络的费用、安全、速度、可靠性、可伸缩性、可用性、拓扑一些因素。通过Internet技术，企业内部能够使信息流通能加便捷、迅速。企业都会有自己独立的IP地址和域名，企业可以在Internet上宣传自己的产品以及企业的形象，提高企业的知名度。当企业做大时，避免少不了要开分公司，主公司与分公司之间的相互交流也是必不可少的，如果是通过电话来交流，费用太过高了，此时可以通过IP网络可以进行网络视频会议。

第二章网络技术的原理2.1大型企业网设计的概述一个完整的企业网，可以分为核心骨干网、园区网、数据中心、分支机构、Internet边缘。核心网通常会将园区网、数据中心以及网络中的分支机构部分连接在一起。在大型企业网中，整个网络通常有着许多的园区网，分别分布在网络中的不同位置，负责者终端用户与网络骨干之间的连接。园区网使得分布某一个地理位置内的终端用户能够访问到网络通信服务以及网络资源的共享。数据中心则是用来存放计算机系统以及相关设备组成部分的设施，亦被称为服务器集群。企业网的分支机构包含路由器、交换机等设备，它的作用是连接总部办公室和各地的分支办公室，并且各个主站点之间能够建立连接。Internet边界是由路由器、交换机、防火墙以及其他网络设备所构成的，目的是将企业网连接到Internet上。2.2核心的技术本设计方案全部采用的是Cisco的网络设备。2.2.1路由技术路由协议工作在OSI参考模型的第3层（网络层），它的作用主要是通信子网间路由数据包。路由器能够寻找到达目的网络的第3层路径，将分组从一个接口传递到达领一个接口，能够学习相邻路由器，查找和选择到达目的网络的最佳路径，同时也能维护最新的可达性信息。路由协议定义了2种选择协议：静态路由协议和动态路由协议。路由器是外网进入企业网内网的第一道关卡，路由器保护内网安全通常使用访问控制列表（ACL）。一个设计良好的访问控制列表可以起到控制网络流量、流向的作用。路由器处在企业内网和外网之间，能够保护外网与内网之间的通信，即使在网络系统安装了防火墙产品后，也仍需要对路由器的访问控制列表进行设计，从而更好的保护到企业内网。2.2.2交换技术交换技术处于OSI模型的第2层（数据链路层）。交换机主要的功能包括物理编址、网络拓扑结构、流量控制以及错误验证，同时能够支持VLAN（虚拟局域网）和链路的汇聚。交换机可以将一个大的冲突域分成很多小的冲突域，交换机利用ASIC（专用集成电路）以硬件的方式交换帧，并且支持全双工连接和半双工连接。全双工连接允许用户同时收发数据。不同的交换机端口支持不同的以太网速度（如10BaseT、100BaseTX）。交换机的主要功能是学习、转发和清除环路。学习：交换机学习什么设备连接到哪个端口号上。转发：交换机可以智能地将数据帧转发到接收站所在的端口。清除环路：交换机利用生成树协议（STP）清除环路，数据帧不会在网络中不断地循环。以下是用到的一些技术及其介绍VLAN技术VLAN（VirtualLocalAreaNetwork）即虚拟局域网，是在可包括多个物理网段的相同广播域中的一组连网设备，它很适合在不同用户组之间逻辑的分隔流量。从逻辑的角度上说，VLAN是子网。默认情况下，一个VLAN中产生的广播不会转发到另一个子网中。路由器或第三层设备提供此边界功能。每个子网都需要网络号作为唯一的标识。如果要将不同VLAN间的流量相互传递，需要使用路由器。VTP是Cisco专有的协议，用于传输VLAN信息。它有3种模式：Server（服务器）、Client（客户）以及Transparent（透明）。服务器和透明交换机可以添加、修改、删除VLAN，由于服务器通告这些修改，客户只能被动接受更新，保持和服务器一致。VLAN的出现，解决了以太网的广播风暴，同时也提高了完全性，通过在以太网帧的基础上添加了VLAN头部，用ID号把用户划分更小的组，而每个组就相当于一个虚拟的局域网。DHCPDHCP（即动态主机分配协议）允许设备动态获取相应的寻址信息。DHCP最初是在RFC2131中定义的，在2939中获得更新，是以BOOTP（引导协议）为基础的。它定义了2个组件：服务器和客户端。服务器负责为客户端分配寻址信息，客户端可以从服务器请求寻址信息。DHCP能够减少设备的配置量；降低获得地址信息的设备上的配置错误出现的可能性；通过集中化IP寻址信息和管理来提供更多的管理控制。客户端为了获得寻址信息，首先，客户端生成一个DHCPDISCOVER本地广播,发现哪些DHCP服务器在LAN网段上。在该网段上的所有DHCP服务器都能够用DHCPDISCOVER单播消息来响应服务器，该消息为客户端提供IP寻址信息。如果客户端收到多个服务器的消息，会选取最先收到消息的服务器。客户端用DHCPREQUEST消息回应服务器，告诉该服务器它想得到的服务器所发的寻址信息。DHCP服务器服务器用DHCPACK消息进行回应，指明服务器已经收到DHCPREQUEST消息，并且客户端接受寻址信息。HSRPHSRP：热备份路由器协议（HSRP：HotStandbyRouterProtocol）在整个企业网中，虚拟网络之间的交换是通过2台交换机实现的。2台交换机通过Cisco的HSRP，从而实现路由设备之间的冗余。HSRP协议针对于IP协议。HSRP协议利用优先级，决定出配置了HSRP协议的路由器作为默认的主动路由器。（优先级最高的即为主动路由器）当主动路由器出现问题不能工作时，HSRP将激活备份路由器，取代主动路由器，从而保障网络的联通。HSRP提供了一种机制，用来判断哪台路由器应该充当活跃角色转发流量。HSRP还提供了一种机制，来选出活跃角色什么时候由备用路由器接管。从一台转发路由器到另一台转发路由器的转换过程对于终端来说是透明的。PVSTPVST:Per-VLANSpanningTree（每VLAN生成树）PVST是为了解决在虚拟局域网上处理生成树的方案。PVST+中的每个VLAN都将会开发属于自己的无环拓扑，但是不会创建经过优化的无环路网络。如果STP更改发生在一个VLAN中，这些更改不会影响其它VLAN的其它STP实例，从而使得网络拓扑更加的稳定。PVST+为每个VLAN都提供了一个STP实例——这是Cisco所特有的。AAA验证AAA身份验证(Authentication)、授权(Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统【1】。认证(Authentication)：指用户在使用网络系统中的资源时对用户的身份进行的确认;授权(Authorization)：指网络系统授权用户以固定的形式使用资源;统计(Accounting)：指网络系统收集、记录用户对网络资源使用的情况，以便于了解用户对资源的使用情况。认证部分向用户提供认证。整个认证一般是采用输入用户名与密码的形式来进行权限管理。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合条件，那用户可以使用资源；如果不符合条件，用户则无法连接。用户通过授权来获得操作相应任务的权限。当用户登陆系统后，用户可能会执行一些命令来进行操作，这时，授权过程会检测用户是否拥有执行这些命令的权限。一旦用户通过了认证，他们也就被授予了相应的权限。最后一步是统计，这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息，还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务(RADIUS)”【2】。2.3线缆2.3.1线缆的介绍常用的网线是串口线和双绞线，双绞线是通过2种相互绝缘的金属绞合而成的导线，正由于绝缘，双绞线可以抵挡一些来自网外的电磁波干扰，双绞线之间的相互干扰也相对较低。将2个绝缘的导线相互绞在一起，它们所干扰的信号是一致的，接收信号时的差分电路能够将这些干扰信号抵消掉，从而能够获得有用的信号。双绞线可以分成屏蔽双绞线（STP）和非屏蔽双绞线（UTP）。在屏蔽双绞线的外缘有个金属屏蔽层。屏蔽双绞线有2种：STP和FTP。STP中的每一条线都有着屏蔽层，而FTP只是在整个的线缆才有着屏蔽装置，而且是两端连接正确才有用。非屏蔽双绞线没有屏蔽外套，直径比较小，可以节省空间的占用，而且应用的成本比较低廉；重量轻，可以随意弯曲；能够让串扰减至最低，能够阻燃；具有灵活性以及独立性，可以适用在结构化的综合布线；可以传输数字数据和模拟数据。双绞线按照线的直径可以分为：一类线（CAT1）：它的线缆最高的频率带宽是750KHz,只适用于语音的传输，与数据传输不同；二类线（CAT2）：它的线缆最高的频率带宽是1MHz，在语音传输与最高的传输速率可达到4Mbps的数据传输；三类线（CAT3）：它是目前ANSI与EIA/TIA568标准使用的电缆，它的传输频率可达16MHz,最高的传输速率是10Mbps，主要用于语音、10BASE-T（10Mbit/s以太网）以及4Mbit/s的令牌环；四类线（CAT4）：它的线缆传输频率可达20MHz，用在语音传输和最高的传输速率为16Mbps的数据传输，主要用于局域网以及（10/100）BASE-T;五类线（CAT5）：它增加了线缆的绕线密度，外套有着一种高质量的绝缘材料，它的最高频率带宽可达到100MHz，最高传输率为100Mbps；超五类线（CAT5e）：它衰减小，串联的干扰也小，主要应用在1000Mbps的以太网中【3】；计算机网络一般使用的是三类线和五类线，10BASE-T使用三类线，100BASE-T使用五类线。2.3.2双绞线的制作国际上制作的双绞线有2中标准：EIA/TIA568A和EIA/TIA568B。EIA/TIA568A排线的顺序为1绿白、2绿、3橙白、4蓝、5蓝白、6橙、7棕白、8棕[4]。EIA/TIA568B排线的顺序为1橙白、2橙、3绿白、4蓝、5蓝白、6绿、7棕白、8棕[4]。图2-1两种双绞线双绞线的顺序和RJ45头的引脚序列号是相互对应的。为了使双绞线使用的范围更广，为此，采用8芯线的双绞线。100BASE-T4RJ-45对双绞线的规定：1、2必须要用双绞线：为了发送数据流量；3、4为双绞线：为了接收数据流量；5、6为双绞线：用于语音；7、8为双绞线：是双向线。双绞线又可以分为平行线（直通线）和交叉线。2.3.3选择线缆的优点线缆传输数据流量时，它的传输距离较远，而且传输时流量不易丢失。双绞线收发器中采用了新的处理方法，保持了原始数据信息，确保了它的实时性，而且传输过程不会轻易的失真。根据线缆的可以随意弯曲的特征，它布线比较方便，利用率很高。它可以在强干扰的环境下传输信号，有着极强的抗干扰能力，可以有效地抑制工模干扰。通过一根线缆中，几对双绞线之间分别传递不同的信号，它们之间不会相互干扰。线缆的可靠性比较高，而且方便使用。现如今线缆使用的十分广泛，价格比较便宜，取材方便。

第三章需求分析3.1设计原则网络设计是保障网络工程质量的重要环节，一个好的网络设计方案，能够大大提高工作效率，节省大量的时间。此方案是从企业的网络结构、设备的选择、网络的维护和管理等反面进行设计。为了使企业的拓扑更为合理，网络设计过程应该遵守以下的原则：费用：包括网络组件、安装以及维护的费用；安全：保护网络组件和组件内的资源，以及组件之间的信息数据传输；可用性：构建网络时必须根据现实，网络完成后，也要为设备的不能用而可以采用的紧急措施；可伸缩性：网络架构要具有一定的变化性，能够适应企业的调整。3.2大型企业网的功能需求此次企业网的设计中，网络拓扑结构采用的是星型网络拓扑结构，因为星型网络拓扑具有安全、可靠、可伸缩性等特点。通过层次化模型设计出的网络拓扑结构，降低了设计时所用的成本。此设计将整个企业网化成3部分：核心层、汇聚层以及接入层。本企业在设计时做出以下的需求：本企业中所有电脑都能保证能够连接到Internet,核心交换采用三层交换机进行信息传递；企业内网与外网连接的路由器上，使用NAT技术，进行IP地址的转换，使得企业内能正常连网；在核心的3层交换机上启用DHCP,将IP地址制动分配到各个部门，每个部门处在不同的VLAN中，为了防止信息传递时做造成的网络风暴；建立了服务器集群：DNS服务器、FTP服务器、E-mail服务器以及WWW服务器；每个部门都采用端口安全，保证了内网接入的一定是该企业的成员；核心路由器上为了网络的完全着想，采用了ACL技术，对数据流量进行控制访问；分支企业与主企业通过GRE-VPN技术，进行信息传递。3.3网络地址的接入需求每个企业，都会从运营商那边获取得到一个IP地址，作为企业的标示，对Internet资源的访问，都是经过这个IP地址的，从IP地址可以确定出企业。企业的内部网络，有着很多独立的局域网，这些局域网的IP地址网段和从运营商那里得到的IP地址不在同一网段的，从而这些局域网不能够连接到Internet上。要想实现局域网与Internet的互连，一定要在这些局域网与Internet之间添加一个设备，这个设备上要有NAT技术，将这些局域网的IP地址转变成和Internet的IP地址在同一网段上。因为NAT技术能够将数据包中的局域网的IP地址和端口号的一些资料信息转变成能够与Internet互相连接的IP地址和端口号。3.4网络层次的需求分析本次设计将企业网分成3个层次：核心层、汇聚层以及核心层。3.4.1核心层的需求分析核心层也被称为骨干，高速的骨干是为了用最快的速度进行数据包的交换。企业网的设计中，核心的骨干使用万兆的以太网链路和其他交换机进行连接。从网络连通的角度来说，核心层是关键性因素，因此核心层一定要保障它的可用性达到最高，与此同时，也要适应网络的变化。核心层能够与各个汇聚层的设备连接，将不同的局域网络连接在了一起，从而形成了一个整体。3.4.2汇聚层的需求分析汇聚层也被叫做分布层，在这里，它汇集了配线柜，通过交换机，企业将工作组分在了不同的网段，并且通过交换机将企业网中出现的问题隔离在了一个比较小的范围中。汇聚层位于核心层与接入层之间，担任着服务于控制的边界，如同一个关卡，保障了网络的运行，提供了很好的网络品质。汇聚层的主要工作是将数据包尽心区域交换；有着可靠性以及冗余性；可以将有问题的区域进行隔离；有着良好的路由交换能力和区域汇聚能力；便于管理。3.4.3接入层的需求分析接入层是用来让用户、服务器或者是边缘的设备能有访问网络。在企业网中，接入层通常包括了工作站、服务器、打印机、无线接入点等设备提供链接端口的交换机。在WAN环境中，对于远程办公人员或远程站点的用户来说，接入层可以通过WAN技术来帮助他们访问公司的网络。接入层是企业网中特性最为丰富的部分，因为设计网络的最佳做法就是尽量接近网络边缘的位置应用特性，这些特性包括安全、访问控制、过滤、管理等【3】。

第四章大型企业网络设计4.1网络逻辑拓扑图下面是企业总公司和分总司以及他们之间互通的逻辑拓扑图，VLAN100-105的流量从左面的三层交换机走，VLAN106-109的流量从右边的三层交换机走，其中两台交换机以及交换机和路由器之间用光纤相连，其余的用双绞线中的交叉点和直通线相连。其中，公司和Internet连接通过NAT的地址转换，两个公司之间使用VPN技术实现互通的。直通线用于连接两种不同的设备，如Router和交换机PC和Router交叉线一般用于连接两种相同的设备，如Router和RouterSwitch和SwitchRouter和PC（特例）图4-1企业总公司网络拓扑图4-2子公司的逻辑拓扑图4-3两个公司互连拓扑图4.2网络设备的选用4.2.1路由器选用3台Cisco2811路由器（1）介绍Cisco2811隶属于Cisco2800系列产品，与相似价位的前几代思科路由器相比,Cisco2800系列的性能提高了五倍、安全性和话音性能提高了十倍、具有全新内嵌服务选项，且大大提高了插槽性能和密度，同时保持了对目前Cisco1700系列和Cisco2600系列中现有90多种模块中大多数模块的支持，从而提供了极大的性能优势。思科2811具有先进、集成的端到端安全性，以用于提供融合服务和应用。凭借思科IOS软件高级安全特性集，它在一个解决方案集中提供了一系列强大的通用安全特性，如思科IOSSoftwareFirewall、入侵保护、IPSecVPN、SecureShell（SSH）协议2.0和简单网络管理协议（SNMPv3）。思科2811提供了2个10Mbps/100Mbps端口，它能以线速为多条T1/E1/XDSL连接提供多种高质量并发服务。这些路由器提供了内嵌加密加速和主板话音数字信号处理器（DSP）插槽；入侵保护和防火墙功能；集成化呼叫处理和语音留言；用于多种连接需求的高密度接口；以及充足的性能和插槽密度，以用于未来网络扩展和高级应用。思科2811特别设计可满足中小型分支机构和中小型企业对于目前和未来应用日益提高的需求。将业界范围最广的连接选项与领先的可用性和可靠性特性相结合。此外，CiscoIOS软件支持全套传输协议、服务质量（QOS）工具，以及先进的安全和话音应用。（2）基本参数表4-1路由器参数路由器类型多业务路由器网络标准IEEE802.3x传输速率10/100Mbps端口结构模块化局域网接口2个其它端口2个板载AIM(内部)插槽+4个接口卡插槽+1个插槽(支持NM和NME模块)产品内存DRAM：最大760MB闪存最大128MB电源电压AC100-240V，47-63Hz电源功率160W产品认证UL60950，CAN/CSAC22.2No.60950，IEC60950，EN60950-1，AS/NZS60950产品尺寸44.5×438.2×416.2mm产品重量6.4kg环境标准工作温度：0-40℃工作湿度5%-95%(无凝结)存储温度-20-65℃存储湿度5%-95%(无凝结4.2.2交换机选用2台Cisco3560-24PS的三层交换机选用16台Cisco2960-24TT的二层交换机（1）介绍CiscoCatalyst3560系列是一个固定配置的企业级交换机系列，在快速以太网和千兆以太网配置中包括了POE功能。它是适用于小型企业局域网接入或分支机构环境的接入层交换机，为IP电话、无线接入、视频监视、建筑物管理系统和远程视频服务亭等新应用的部署提供了支持。CISCOCatalyst2960系列交换机是一系列采用以太网供电或非POE配置，可提供桌面快速以太网和千兆以太网连接，并可为入门级企业、中间市场和分支机构网络实现高级局域网服务的固定配置独立式智能以太网设备。（2）基本参数表4-22960-24TT交换机参数品牌CISCO/思科设备类型以太网交换机传输模式全/半双工自适应传输速率100Mbps端口数16口-48口应用层级二层背板带宽4.4GbpsVLAN支持表4-33560-24PS交换机参数品牌CISCO/思科设备类型快速以太网交换机传输模式全/半双工自适应传输速率100Mbps端口数52口应用层级三层背板带宽32GbpsVLAN支持电源电压AC100-240V，5-2A，50-60Hz产品重量5KG平均无故障时间206041小时环境标准工作温度：0-45℃工作湿度：10%-85%（非冷凝）存储温度：-25-70℃存储湿度：10%-85%（非冷凝）4.3企业的布线设计本设计骨干采用光纤，骨干传输数据速率为1000Mbps，传输数据速率100Mbps。此次设计采用分层星型的网络拓扑结构。工作区子系统:采用RJ45双口信息插座，旁边在配置一个备用的电源插座，两个插座距离地面50cm。水平区子系统：使用5类UTP双绞线。垂直子系统：采用综合建筑分布网络。管理子系统：五类UTP连接至楼层机柜配线架，使用RJ45跳线与处在楼层的交换机相连。设备间子系统：在大楼的第一层配线处。图4-4企业布线设计图4.4CISCO模拟器的应用本次设计是通过CiscoPacketTracer6.1模拟器制作的，PacketTracer是由思科网络公司开发出来的，是一个很好地网络模拟工具，通过这个模拟器，我们可以去设计、配置、排除一些网络中出现的问题。我们可以自己构架网络拓扑结构，来实现想要的功能。此次通过CiscoPacketTracer6.1模拟器构建的网络拓扑图如下：图4-5模拟机网络拓扑图

第五章网络系统的实现5.1VLAN以及IP地址的划分此次设计中，该企业总部一共有9个部门，分别是办公室、销售部、财务部、后勤部、物流部、综合部、采购部、人事部以及售后服务部。图5-1企业网VLAN的划分表5-1VLAN及IP地址部门VLAN号IP地址网段办公室10/24销售部10/24财务部103/24后勤部104/24物流部105/24综合部106/24采购部107/24人事部108/24售后部109/245.2网络设备配置5.2.1网络设备基础配置这里使用接入层的销售部以及二层交换机为例，如图5-2：图5-2在交换机上Switch>enable进入特权模式Switch#configureterminal进入全局配置模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.在这个模式下（即全局配置模式），按住CTRL和Z键，即可退至特权模式Switch(config)#hostnameXSB将交换机的名字改成XSB（销售部的首字母），为了便于管理5.2.2VTP这里使用2个核心三层交换机为例，如图5-3：图5-3先在SW1上面配置，进入全局配置模式（方法如上）Switch（config）#vtpdomainQIYE定义VTP的域名（QIYE）ChangingVTPdomainnamefromNULLtoQIYE提示VTP没有域名，改成QIYESwitch（config）#vtpmode?查看VTP的模式clientSetthedevicetoclientmode.serverSetthedevicetoservermode.transparentSetthedevicetotransparentmode.（VTP的模式一共有3种：client、server、transparent）Switch（config）#vtppasswordwang定义VTP的密码Switch（config）#vtpversion2定义VTP的版本号为2注：2台三层交换机配置时，一台交换机（SW1）模式为server,一台交换机（SW2）模式为client,要想SW1和SW2同步，SW1和SW2的域名，密码以及版本要保持一致，两台交换机相连的接口，都要起trunk（进入接口，switchportmodetrunk）,当2个交换机同步后，将两台交换机的VTP模式改为transparent。5.2.3划分VLAN这里使用一个核心三层交换机和一个2层交换机，如图5-4：图5-4在SW1上，进入全局配置模式，Switch（config）#vlan101创建一个VLANSwitch（config-vlan）#nameBGS将创建的VLAN命名为BGSSwitch（config-vlan）#exit退出VLAN，进入全局配置模式Switch（config）#interfacefastEthernet0/1进入f0/1这个接口Switch（config-if）#switchportmodeaccess强制接口为access接口，并且可以与对方主动协商，使对方成为access模式。（access：主要是用来连接终端设备）Switch（config-if）#switchportaccessvlan101将f0/1划入VLAN101中在特权模式上showvlan可以看到出了一个叫BGS的VLAN101，并且f0/1这个接口在VLAN101中，如图5-5：图5-55.2.4DHCP这里使用一台三层交换机和与办公室相连接的2层交换机和一台PC，如图5-6：图5-6在这里，可以把2个二层交换机当成不存在，在三层交换机上进行配置：进入全局配置模式，Switch（config）#ipdhcppoolvlan101定义一个DHCP的网络地址池Switch（dhcp-config）#network这个地址池的IP地址都在/24这个网段中Switch（dhcp-config）#default-router1这些IP地址的网关都是1Switch（dhcp-config）#dns-server设置一个域名服务器组在三层交换机上将VLAN101的IP地址配制成1/24。没有获得IP地址时，如图5-7：图5-7获取到IP地址时，如图5-8：5-85.2.5端口安全这里把路由器与交换机相连，交换机的f0/1口分别与两个相同IP地址的PC连接，在f0/1上进行端口安全操作，如图5-9：图5-9路由器f0/0接口IP地址为1/24；两个PC的IP地址都是/24;在没有做任何操作时，2个PC都能与路由器相连，如图5-10：图5-10在交换机的f0/1上进行配置Switch（config-if）#switchportport-security开启端口防护Switch（config-if）#switchportport-securitymac-addresssticky将交换机f0/1接口与办公室的PC的MAC地址进行绑定Switch（config-if）#switchportport-securityviolationshutdown当不是办公室的MAC时，f0/1这个接口会自动关闭（即非企业PC与交换机f0/1相连接时，f0/1接口会关闭），如图5-11：图5-115.3内网设备的配置5.3.1服务器的配置双击WEB服务器，进入Web服务器的配置界面，点击Desktop标签，点击IPConfiguration，进行IP的配置，如图5-12：图5-125.3.2交换机的配置根据上面VLAN的划分，将不同的部门隔离道不同的虚拟网中。二层交换机（以SW03为例）enableconftvl103vl104vl105创建3个VLANinterfaceFastEthernet0/1switchportmodetrunkinterfaceFastEthernet0/2switchportmodeaccessswitchportaccessvlan103interfaceFastEthernet0/3switchportmodeaccessswitchportaccessvlan104interfaceFastEthernet0/4switchportmodetrunk与三层交换机相连的口起trunkinterfaceFastEthernet0/5switchportmodeaccessswitchportaccessvlan105将3个接口分别划入3个对应的VLAN中三层交换机（以SW01为例）ipdhcppoolv101定义一个IP地址池networkIP地址网段default-router网关dns-serverDNSipdhcppoolv102networkdefault-routerdns-serveripdhcppoolv103networkdefault-routerdns-serveripdhcppoolv104networkdefault-routerdns-server定义4个DHCP地址池，自动分配接入层的IP地址iprouting开启三层交换机的路由功能spanning-treemoderapid-pvstspanning-treevlan105-109priority24576spanning-treevlan100-104priority28672VLAN105-109的流量从SW01走，VLAN100-104的流量从SW02走interfaceFastEthernet0/1noswitchport开启端口的三层口，交换机默认是二层口ipaddressinterfaceFastEthernet0/2switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/3switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/4switchporttrunkencapsulationdot1q对交换机的端口进行中继封装switchportmodetrunkinterfaceFastEthernet0/5channel-group1modeonswitchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/6channel-group1modeon将两个接口绑定在一起，并且指定ON模式switchporttrunkencapsulationdot1qswitchportmodetrunkinterfacePort-channel1switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceVlan1noipaddressshutdowninterfaceVlan99ipaddressinterfaceVlan100ipaddressinterfaceVlan101ipaddressinterfaceVlan102ipaddressinterfaceVlan103ipaddressinterfaceVlan104ipaddressinterfaceVlan105ipaddressinterfaceVlan106ipaddressinterfaceVlan107ipaddressinterfaceVlan108ipaddressinterfaceVlan109ipaddress设置VLAN99-109的IP地址iproute设置一条静态默认路由，下一跳指向5.4外网部分的设计5.4.1NATNAT(网络地址转换)属于广域网技术，它能够将本地的私有地址转换成合法的IP地址。它的出现，解决了IP地址应用的不足，与此同时，它能够隐藏住私有的IP地址，从而避免了网络外部的攻击，保护了网络安全。总公司R1路由器上的配置：interfaceFastEthernet0/0ipaddress8配置外网网接口地址ipnatoutside定义外部接口interfaceFastEthernet0/1ipaddress配置内网接口地址ipnatinside定义内部接口interfaceEthernet0/0/0ipaddressipnatinsideiproute9配置一条默认静态路由，将所有的流量传给下一跳，即外网的IP地址access-list10permit55允许总公司成员访问外网access-list1permitany允许所有的成员访问ipnatinsidesourcelist1interfaceFastEthernet0/0overloadipnatinsidesourcelist10interfaceFastEthernet0/0overload将2个访问控制列表分别进行关联5.4.2GRE-VPNGRE（通用路由封装协议）是对一些网络层的协议（如IP和IPX）的数据报进行封装处理，让这些被封装的数据报能够传输到另一个网络层协议。GRE是VPN的第三层隧道协议，即在协议层之间采用了一种被称之为Tunnel（隧道）的技术。GRE是一个标准协议,它支持多种协议和多播，能够用来创建弹性的VPN，支持多点隧道，可以实施QOS（服务质量）。总公司和分公司通过服务提供商进行通信，如图5-13：图5-13总公司：interfaceTunnel0进入Tunnel0口ipaddress52配置通道源地址tunnelsourceFastEthernet0/0配置通道源接口tunneldestination配置通道目的地址tunnelmodegreip指定通道模式routerripRIPnetworkiproute9iproute9iprouteiprouteiprouteiproute指定静态路由服务提供商：interfaceFastEthernet0/0ipaddress9interfaceFastEthernet0/1ipaddress9interfaceEthernet0/0/0ipaddressrouterripnetworknetworkiproute8iproute8分公司：interfaceTunnel0ipaddress52tunnelsourceFastEthernet0/0tunneldestination8tunnelmodegreiprouterripnetwork5.5设计结果5.5.1DHCPVLAN101-104是使用DHCP技术，使得这些相应的部门中的PC能够自动获取到IP地址以办公室的PC为例：图5-14获取IP前图5-15获取得到IP地址5.5.2内网连接到外网各个部门中的PC通过路由器的NAT技术，将IP地址进行转换，使得不同IP网段之间相互通信。以办公室的PC为例，设计结果如图5-16：图5-165.5.3分公司连接总公司分公司通过VPN技术，与总公司通信。以总公司中办公室的PC和分公司中VLAN6中的PC为例，分公司Ping办公室,设计结果如图5-17：图5-17

第六章结束语这次的毕业设计，我做的是大型企业网络规划与设计，长时间的创新和完善，基本上实现了企业网的一些功能。一开始，我先将各个部门划入了不同的VLAN，然后对2台三层交换机进行设置，哪些VLAN走SW01，哪些VLAN走SW02，并且让三层交换机和二层交换机之间起trunk，在三层交换机上启用DHCP协议，让一些部门可以分配到IP地址，然后在加入服务器集群，保证服务器的正常使用，再通过访问控制列表，限制企业部门的数据库的访问权限，通过RIP协议，保证内网的互通。将内网全部搞定后，将三层交换机与路由器想连接，并在此路由器上设置NAT，使得内网可以反问Internet。为了使设计能好看些，我又加入了一个分公司，分公司与总公司通过GRE-VPN相互通信，并且ACL技术，将分公司的部门与部分总公司的部门相互通信。我是通过CiscopacketTracer模拟器来设计的，有些功能是实现不了的。在网络的安全方面，我用了ACL、通过交换机的端口安全以及NAT技术，保护了网络的安全。再设计过程中，我也遇到了一些问题，一开始我设计VPN时，总公司和分公司之间不能通信，通过不断的查询资料，终于明白了，在路由器上要加入一些静态路由，使得数据传输时，知道要将数据传给下一跳。这次的毕业设计，我感觉到十分有意义，既培养了我们的操作能力，又让我们将学到的知识到实践中去，与此同时，也培养了我的耐心和细心。在此过程中，我发现了自己有很多不足的地方：缺乏项目上的工作经验，不能够灵活的运用自己所学到的知识。总的来说，通过这次毕业设计，我收获了很多，希望以后在工作中能够完善自己，改进自己。

参考文献[1]王勇，刘晓辉．网络系统集成与工程设计（第3版）．科学出版社，2011[2](美)SrinivasVegesna著，信达工作室译.IP服务质量.北京，人民邮电出版社，2009[3]陈向阳．网络工程规划与设计．北京：清华大学出版社，2007[4]梁广民,王隆杰．思科网络实验室路由、交换实验指南．北京：电子工业出版社，2007[5]房智勇CiscoCCIERoutingandSwitching&CiscoCCIEServiceProviderExamCertificationGuide,2006[6]多伊尔.TCP/IP路由技术第一卷[M].葛建立.北京:人民邮电出版社2007.23～441.[7]多伊尔.TCP/IP路由技术第二卷[M].葛建立.北京:人民邮电出版社2007.13～151.[8]梁广民.网络设备互联技术.[M].北京：清华大学出版社，2010.150～283.[9]杰克.思科CCNP公版教材BCMSN[M].魏巍等译.北京：电子工业出版社，2004.53~752.[10]TCP/IP协议族（第4版）.BehrouzA.Forouzan著.北京：清华大学出版社

致谢经过几个月的努力，我终于完成了这次的毕业设计。过程中，我遇到了很多的问题，经过老师的讲解和同学的帮助以及查阅了一些资料，终于被我解决了。这几个月来，老师每周和我保持着联系，老师给我一些宝贵的经验和建议，每周一都会去汇报一下毕业设计得进展，从起初的开题报告、英文翻译的修改和提交，中期的检查，老师都很有耐心的指导的我，借此向老师表示由衷的感谢。同学们和老师的一些宝贵经验，是我的毕业设计完美成功，十分的感谢你们，当然，也要感谢文献里的作者，应为他们的研究，让我懂得更多。最后，在此感谢给予我帮助的人！

附录：英文技术资料翻译(TCP/IP卷一)英文原文：LayeringNetworkingprotocolsarenormallydevelopedinlayers,witheachlayerresponsibleforadifferentfacetofthecommunications.Aprotocolsuite,suchasTCP/IP,isthecombinationofdifferentprotocolsatvariouslayers.TCP/IPisnormallyconsideredtobea4-layersystem,asshowninFigure1.1.ApplicationTelnet,FTP,e-mail,etc.TransportTCP,UDPNetworkIP,ICMP,IGMPLinkdevicedriverandinterfacecardFigure1.1ThefourlayersoftheTCP/IPprotocolsuite.Eachlayerhasadifferentresponsibility.Thelinklayer,sometimescalledthedata-linklayerornetworkinterfacelayer,normallyincludesthedevicedriverintheoperatingsystemandthecorrespondingnetworkinterfacecardinthecomputer.Togethertheyhandleallthehardwaredetailsofphysicallyinterfacingwiththecable(orwhatevertypeofmediaisbeingused).Thenetworklayer(sometimescalledtheinternetlayer)handlesthemovementofpacketsaroundthenetwork.Routingofpackets,forexample,takesplacehere.IP(InternetProtocol),ICMP(InternetControlMessageProtocol),andIGMP(InternetGroupManagementProtocol)providethenetworklayerintheTCP/IPprotocolsuite.3.Thetransportlayerprovidesaflowofdatabetweentwohosts,fortheapplicationlayerabove.IntheTCP/IPprotocolsuitetherearetwovastlydifferenttransportprotocols:TCP(TransmissionControlProtocol)andUDP(UserDatagramProtocol).TCPprovidesareliableflowofdatabetweentwohosts.Itisconcernedwiththingssuchasdividingthedatapassedtoitfromtheapplicationintoappropriatelysizedchunksforthenetworklayerbelow,acknowledgingreceivedpackets,settingtimeoutstomakecertaintheotherendacknowledgespacketsthataresent,andsoon.Becausethisreliableflowofdataisprovidedbythetransportlayer,theapplicationlayercanignoreallthesedetails.UDP,ontheotherhand,providesamuchsimplerservicetotheapplicationlayer.Itjustsendspacketsofdatacalleddatagramsfromonehosttotheother,butthereisnoguaranteethatthedatagramsreachtheotherend.Anydesiredreliabilitymustbeaddedbytheapplicationlayer.Thereisauseforeachtypeoftransportprotocol,whichwe'llseewhenwelookatthedifferentapplicationsthatuseTCPandUDP.4.Theapplicationlayerhandlesthedetailsoftheparticularapplication.TherearemanycommonTCP/IPapplicationsthatalmosteveryimplementationprovides:rTelnetforremotelogin,rFTP,theFileTransferProtocol,rSMTP,theSimpleMailTransferprotocol,forelectronicmail,rSNMP,theSimpleNetworkManagementProtocol,andmanymore,someofwhichwecoverinlaterchapters.Ifwehavetwohostsonalocalareanetwork(LAN)suchasanEthernet,bothrunningFTP.Figure1-1showstheprotocolsinvolved.Figure1-1Figure1.1TwohostsonaLANrunningFTP.WehavelabeledoneapplicationboxtheFTPclientandtheothertheFTPserver.Mostnetworkapplicationsaredesignedsothatoneendistheclientandtheothersidetheserver.Theserverprovidessometypeofservicetoclients,inthiscaseaccesstofilesontheserverhost.Intheremoteloginapplication,Telnet,theserviceprovidedtotheclientistheabilitytologintotheserver'shost.Eachlayerhasoneormoreprotocolsforcommunicatingwithitspeeratthesametocol,forexample,allowsthetwoTCPlayerstocommunicate,andanotherprotocolletsthetwoIPlayerscommunicate.OntherightsideofFigure1-1wehavenotedthatnormallytheapplicationlayerisauserprocesswhilethelowerthreelayersareusuallyimplementedinthekernel(theoperatingsystem).Althoughthisisn'tarequirement,it'stypicalandthisisthewayit'sdoneunderUnix.ThereisanothercriticaldifferencebetweenthetoplayerinFigure1-1andthelowerthreelayers.Theapplicationlayerisconcernedwiththedetailsoftheapplicationandnotwiththemovementofdataacrossthenetwork.Thelowerthreelayersknownothingabouttheapplicationbuthandleallthecommunicationdetails.WeshowfourprotocolsinFigure1-1,eachatadifferentlayer.FTPisanapplicationlayerprotocol,TCPisatransportlayerprotocol,IPisanetworklayerprotocol,andtheEthernetprotocolsoperateatthelinklayer.TheTCP/IPprotocolsuiteisacombinationofManyprotocols.AlthoughthecommonlyusednamefortheentireprotocolsuiteisTCP/IP,TCPandIPareonlytwooftheprotocols.(AnalternativenameistheInternetProtocolSuite.)Thepurposeofthenetworkinterfacelayerandtheapplicationlayerareobvious-theFormerhandlesthedetailsofthecommunicationmedia(Ethernet,tokenring,etc.)whilethelatterhandlesonespecificuserapplication(FTP,Telnet,etc.).Butonfirstglancethedifferencebetweenthenetworklayerandthetransportlayerissomewhathazy.Whyisthereadistinctionbetweenthetwo?Tounderstandthereason,wehavetoexpandourperspectivefromasinglenetworktoacollectionofnetworks.Oneofthereasonsforthephenomenalgrowthinnetworkingduringthe1980swastherealizationthatanislandconsistingofastand-alonecomputermadelittlesense.Afewstand-alonesystemswerecollectedtogetherintoanetwork.Whilethiswasprogress,duringthe1990swehavecometorealizethatthisnew,biggerislandconsistingofasinglenetworkdoesn'tmakesenseeither.Peoplearecombiningmultiplenetworkstogetherintoaninternetwork,oraninternet.Aninternetisacollectionofnetworksthatallusethesameprotocolsuite.Theeasiestwaytobuildaninternetistoconnecttwoormorenetworkswitharouter.Thisisoftenaspecial-purposehardwareboxforconnectingnetworks.Thenicethingaboutroutersisthattheyprovideconnectionstomanydifferenttypesofphysicalnetworks:Ethernet,tokenring,point-to-pointlinks,FDDI(FiberDistributedDataInterface),andsoon.TheseboxesarealsocalledIProuters,butwe'llusethetermrouter.Historicallytheseboxeswerecalledgateways,andthistermisusedthroughoutmuchoftheTCP/IPliterature.Todaythetermgatewayisusedforanapplicationgateway:aprocessthatconnectstwodifferentprotocolsuites(say,TCP/IPandIBM'sSNA)foroneparticularapplication(oftenelectronicmailorfiletransfer).Figure1-2showsaninternetconsistingoftwonetworks:anEthernetandatokenring,connectedwitharouter.Althoughweshowonlytwohostscommunicating,withtherouterconnectingthetwonetworks,anyhostontheEthernetcancommunicatewithanyhostonthetokenring.InFigure1-2wecandifferentiatebetweenanendsystem(thetwohostsoneitherside)andanintermediatesystem(therouterinthemiddle).Theapplicationlayerandthetransportlayeruseend-to-endprotocols.Inourpi