中小企业办公室网络的规划与实现16000字论文

中小企业办公室网络的规划与实现随着互联网的快速发展，人们已经越来越依赖网络，甚至达到了足不出户就可以办完所有想做的事情，在这信息化的时代，全球各行各业都是通过网络来处理业务，在网络上进行交易。因此企业更是要适应时代的发展，满足大众的需求，与时代接轨才可以进去市场并且长期的生存下去。企业要提高自身竞争力和办公效率，就要紧跟网络的发展，实现全网办公信息化，构建一套适合自身企业发展的网络架构。本文就中小企业办公室网络的建设进行了充分的研究，根据中小型企业对网络的需求和特点，搭建了一个办公室网络的拓扑，进行了一系列的设备配置来实现全网资源共享的目的，满足企业处理业务的基本需求。在此局域网中所有的用户都可以访问企业公共的资源，不仅方便了员工，还提高了他们的办事效率，可以为企业创造更多的效益。在本次企业的网络规划中，考虑到企业未来的发展和规模扩张，可以通过层次化模型的三层网络结构来很好的扩展规模。路由协议则选择相比较来说收敛速度快的、安全系数高的OSPF(OpenShortestPathFirst)动态路由协议。作为企业内部的网络，安全是必不可少的，尤其是在这网络飞速发展的时代，因此网络的安全也是很重要的一方面，为了保护企业数据的安全性，针对不同的需求，方案中提出了VLAN(VirtualLocalAreaNetwork)技术、访问控制列表以及VPN(VirtualPrivateNetwork)等安全解决方案。本文的目的是根据中小企业的网络现状和企业的需求，在扩展和稳定网络的同时，建立一个相对安全和满足必要的网络应用的企业办公室网络。关键词：企业办公室网络，OSPF路由协议，VPN,VLAN划分，网络安全 11.1中小企业办公室网络的课题背景 11.2中小企业办公室网络概述 11.3中小企业办公室网络的发展特点 2 32.1中小企业办公室网络建设需求 32.2中小企业办公室网络设计原则 32.3中小企业办公室网络的可行性分析 42.4中小企业办公室网络的功能性分析 4 63.1交换机选型 6 7 73.4网络设备命名 84网络总体设计 9 94.2网络层次化介绍 94.3核心层设计 4.5接入层设计 5.1路由协议选择 5.3IP地址与VLAN划分 6网络技术实现与配置 216.4VLAN技术与配置 22 6.7NAT技术与配置 7网络拓扑功能测试 7.4财务部与总经办单向访问测试 7.5NAT实现测试 7.7冗余备份测试 7.8服务器连通性测试 36 随着中小企业的迅速发展，对中小企业的要求也越来越高。更是因为网络的进步要与时代接轨，一个企业拥有好的网络架构就相当于多了一份市场竞争力，相比较于一些大型的企业网络来说，中小企业办公室的网络规模比较小，注重于实用性，方便企业人员管理；注重安全性，加强网络措施，不易被外部攻击导致网络断掉影响到企业的业务，也要保证数据方面的安全，不被轻易泄露，失去于同行的竞争力；注重拓展性，考虑企业将来的发展，就要做好充分的准备，为设备扩充等留有一定的空间，在物理和逻辑上都要做好措施。本次设计的课题就是在模拟平台上搭建一个中小型办公室网络，从需求分析开始，结合网络实际应用，规划网络拓扑结构，进行IP地址的分配，VLAN的划分，给设备进行配置，最终通过调试和排错来是实现企业办公室网络的基本功能。随着网络建设越来越重要，在企业内部现信息化管理是必须的，通过利用网络平台可以节省很多人力资源，比如以前查资料需要到资料室手动翻阅，现在都有电子备份可以随时上传下载，不仅节省了时间，也提高了效率，更是增加了大家的阅读量，提高个人水平，自然在企业的发展方便也是多了一份力。还可以实施网络绩效考察，通过了解别人的水平来加大自己的压力，更加的努力提高自身水平来跟随大家的脚步，这样企业的发展自然而然会有所提高。企业的内部网络会与公网连通，可以访问公网资源，以便于企业更好的得到市场消息及时作出调整和规划，也可以通过网络发布的消息筛选最优客户，网络消息四通八达，及时掌握并主动出击便可给公司带来很大的利益。当然也可以推销自己，制作自己公司的网络，介绍公司概况，表明公司运营的项目与优势，自然也会有客户主动寻求合作的，双方都是主动的，这样项目进行的也会非常顺利愉快，达到双赢的目的。随着国际互联网的发展，企业网络的建设也越来越成熟。企业内部网络的应用主要就是实现各部门的业务处理，内部数据共享，企业人员管理等一系列的基本需求。满足员工硬件软件的共享需求，比如打印机共享，员工通过连接企业内部网络可以直接访问打印机，在自己电脑上打印，然后再到打印室拿取资料即可，但多数人同时访问时，打印机自会根据时间顺序排序依次打印，不必大家都挤到打印室人工排队等待浪费时间和精力。数据库资料共享，大家也可随时访问服务器进行上传和下载，通过关键字等直接搜索来获取，方便快捷。中小企业不能与大型企业相比，有扎实的根基与经济实力，在市场形势的不断变化下，首当其冲受到影响的就是中小企业，因此中小企业想要在市场上站稳脚跟就要有足够的优势，不易被社会所淘汰。除了企业的经营项目，经营手段等，在网络方面的建设也是有一定的作用的。对于中小企业网络方面的发展特点来说，涉及的范围广，麻雀虽小五脏俱全，企业该有的网络需求不能少，因此技术方面就要采用已经成熟的，可以直接利用的；发展速度快，小企业只要在经营良好的情况下，发展非常迅速，因此就要做好相应的扩展措施与割接方案，在企业后期的网络实施中要与前期相融合。企业要实现信息化网络办公，通过提高企业生产质量和员工的工作效率来快速发展。企业实现信息化是满足企业高速运转的需求，这种使用信息技术的分布式网络化企业，不仅是跨国大公司的未来，而且也是大量中小企业的发展方向1]。2需求分析假设某个中小型企业要构建一个办公室网络，企业一共有五个部门，分别是财务部、总经理办公室、行政部、人事部、市场部和技术部，公司一共有三栋楼：A楼：一层为财务部，二层为总经理办公室。B楼：一层为行政部，二层为人事部。C楼：一层为市场部，二层和三层都是技术部。(1)为了方便企业管理，采用DHCP协议自动分配IP地址。(2)为了网络安全，根据部门进行VLAN划分。(3)通过NAT技术使内网主机可以访问外网。(4)建立VPN,使出差人员也可以访问内网资源。(5)通过ACL使得财务部和总经理办公室与其他部门网络隔离。(6)网络要有冗余设计，当某个节点故障时可以切换到备线路。(7)企业内部资源共享，包括文件和硬件的共享。企业办公室局域网的最终目标是建设一个网络性能实用优良、数据传输高速、安全可靠，有扩展性的局域网网络，前期可满足中小企业用户需求，提供用户全网的资源共享，包括软件、硬件和信息的共享，并可以访问公网查阅资料，发送邮件等等基本需求。考虑到企业刚发展有预算的限制，选用性价比高的设备来节约成本，采用三层网络结构，便于企业的扩展和管理。(1)实用性：网络建设从企业应用实际需求出发，给予领导实用性的建议，满足客户需求，便于企业经营管理。另外，结合目前企业发展，充分考虑如何利用现有资源尽量发挥设备的最大效益。(2)先进性：在对企业局域网进行规划时就应该考虑企业在未来的发展，不仅要满足当前的需求，还有为将来做打算，对企业未来的带宽要求和网络功能留有一定的空间，采用目前已经成熟的技术并加入适当的超前技术。(3)可靠性要保证网络可以正常运行，配置冗余措施，并且在有线路或端口故障发生时，可以及时切换线路以保证企业业务不中断。一个稳定可靠的网络结构应该及时发现故障发生点并立即隔离不被扩散，使得这个故障对整个网络的影响减到最小。(4)扩展性对于企业未来的发展扩充要留有余地，后期实施时应与前期有良好的融合性，方便(5)保密性对于企业内部的资源信息不被他人窃取，应实施加密措施，配置用户认证等防止他人登录，并在网络边界加入防火墙再与公网连接，过滤外部不正当的攻击，提高企业数据的保密性。(6)成本性选用高性能、低成本的设备，若有前期剩余设备应最大化利用，发挥他们最大的功(7)灵活性当用户位置变化时，应方便调整，应具有较高的适应变化的能力。在布线方面也应该有一定的扩展性。通过对中小企业办公室网络的调查和分析，对其进行可行性分析。技术上可行：目前可有大量的项目可供参考，选用大众的、成熟的技术方案，在大多数企业上都得到了验证，VLAN技术，术，NAT(NetworkAddressTranslation)技术等都是被企业大量应用的，技术上都是比较成熟的，因此在技术上是可行的。经济上可行：虽然是刚发展的企业，比较看重经济成本，但是这项投入是必不可少的，没有网络的规划与设计，企业是无法长远发展的。我们会根据客户需求，选用设备时多家比对，尽量选用低成本高性能的设备，操作简单便于以后维护。因此经济上也是管理上可行：在设计时会把设备集中到固定的几个机房，由专业的网咯管理人员管理，通过远程可以随时查看设备配置，检查其是否正常工作，并通过网络报警等随时了解网络信息，这些都有专业的网管人员护理，因此管理上是可行的。综上所述，本次中小企业办公室网络的规划设计在技术上、经济上、管理上都是可通过中小企业办公室网络的建设需求，对其进行功能性分析。连通性：企业要实现信息化管理，就要保证所访问的资源都可以到达，要保证网络的功能协议是正常工作的。安全性：对于中小企业办公室网络来说，安全是必不可少的，包括软件和硬件方便的安全。采用VLAN划分网络来隔离广播域，减少网络风暴，当有病毒攻击时也可隔离，使其不会传播到其他区域造成巨大的损失。采用访问控制列表来阻止其他部门对财务部和总经办的访问来保证数据的安全性。采用ipsec协议来实现远程接入的一种VPN技术，通过加密通道保证连接的安全。速度性：为保证数据快速转发的效率，采用OSPF最短路径优先的路由协议，它的收敛速度相比较来说是快的，也是大多是企业采用的，这也是一种天然无环的路由协议，也可避免成环问题，造成网络崩溃。3网络设备选型3.1交换机选型交换机是用于设备之间转发数据的网络设备，通过交换主要参数端口参数功能特性产品类型千兆以太网端口结构非模块化堆叠功能支持应用层级三层传输模式全双工/半双交换方式工自适应分，采用双路冗余模块化电源，以及三个模块化风扇用于提供冗余，传输速率支持主要参数其他参数产品类型千兆以太网端口结构非模块化堆叠功能应用层级二层24个最大功率包转发率存网速更畅快。路由器是用来将企业局域网与广域网相连，实现不同网络之间通信的，有数据处理能力，还有容错管理和流量控制等功能。CISCO2911/K9这一型号的路由器参数如表3-3基本参数参数内容路由器类型多业务路由器网络协议IPv4,IPv6,静态路由，IGMPv3,PIMSM,DVMRP,IPSec端口结构广域网接□1个局域网接□3个防火墙内置防火墙QOS支持支持支持Cisco2911/k9是Cisco2800系列集成多业务路由器的产品，内置了防火墙，为企业安全又提供了一道安全屏障，支持QOS和VPN。防火墙是用来隔离内网和外网的，因此是放在企业网络的边界的，保护企业网络，防止病毒的入侵。全面检测网络外界的威胁、病毒等内容，且需要分析相应的数据，通过网络外界的屏蔽系统来保护企业网络信息和相关的数据I²。如图3-6所示，是防火墙主要参数并发连接数控制端□安全过滤带宽管理思科安全管理器，web电源网络吞吐量安全标准用户数限制这一型号的防火墙能够主动防止网络被攻击，还可以控制网络行为和应用流量，并提供灵活的VPN连接。有25000个并发连接数，安全过滤带宽可达百兆，网络吞吐量最大可达150Mpps,电源使用双路以达到冗余。在网络管理中，对网络设备的命名是非常有必要的，对设备进行正确的命名可以快速识别此设备的用途与作用，对于机房工作人员来说可以减少一定的工作量，加快工作效率，当设备产生故障时，也可通过标签结合设备配置来快速排查，随着企业的发展，设备肯定越来越多，这时候就会显示标签的重要性了。为方便日后的网络管理，采用统一的命名方式：【设备层次-设备类型-设备型号-设备位置-编号】设备层次设备类型设备型号设备位置JR-接入层SRV-虚拟服务器2911-思科路由器如：A楼一层表示为A1如表3-7所示是设备类别的命名规范，字段之间用连接符(-)来连接，比如一台位于核心层的C3850型号的交换机在C楼三层，用设备命名规则来命名就是：如下图4-1所示，是中小企业办公室网络的网络总拓扑图，将整个网络分为五个部ne图4-1网络总拓扑图4.2网络层次化介绍实现较为简单13]。如下图4-2所示，是核心层设计图，核心层作为整个网络的中心，对网络中的连通核心层核心层图4-2核心层设计图与汇聚层交换机HJ-SW-3的端□E1/0相连。右边的交换机HX-SW-2的端□G0/0与汇聚层层和接入层的网络设备，为接入层提供数据的汇聚和管理，在汇聚层划分vlen汇聚层cC四图4-3汇聚层设计图层交换机JR-SW-B-2的端□E0/0相连。交换机HJ-SW-3的端□E0/0与接入层交换机JR-E0/2与接入层交换机JR-SW-C-3如下图4-4所示，是接入层设计图。接入层，通常是网络中直接面向用户连接或访C分布层en02血4.7服务器区设计如下图4-6所示，是服务器区设计图。服务器是企业共享资源，员工可以访问这些服务器快速获得有效资料，提高办公效率。在服务器区设立了FTP服务器、WEB服务器、Email服务器，通过接入层交换机SRV-SW-1连接到汇聚层交换机上，用户可以直接访问这些服务器，通过vpn连接的用户也可以访问内部服务器。服务器区的交换机SRV-SW-1的端□E0/1、E0/2、E0/3分别于这三个服务器的端口5路由设计OSPF协议是开放式最短路径优先协议。作为基于链路状态的路由协议，OSPF协议框架中的路由器能够向管理域中其他路由器发送链路状态广播信息，其中包含接口、量度等各种信息5]。网络中的路由器通过发送HEELO报文来发现邻居，并且定期维护，然后将已知的邻居列表和开销值通过链路更新报文与其他路由器交互，学习到整个系统内的网络拓扑结构，还可以通过边界路由器引入其他系统的路由器信息，从而得到整个internet的路由信息。每隔30s或者链路状态发生变化时，会重新生成LSA,路由器通过泛Ospf的特征：(1)收敛速度快。相对于RIP(RoutingInformationProtocol)协议来说，ospf是链路状态协议，通过链路通告可以获知整个区域拓扑，从而加快收敛速度。(2)能够适应大型网络。对于企业网络、园区网络都可以采用这种路由协议。(3)支持区域划分，通过区域划分，可以进行分级管理。(4)采用触发更新，只有在拓扑发生变化时，会使用组播地址发送LSU(LinkStateUpdate)报文，此报文包含了LSA(Link-StateAdvertisement)更新信息。(5)无路由环路。基于spf的算法，在ospf区域中，通过互相发送LSA报文，每个路由器都可以知道整个区域内的拓扑和链路状态。(6)支持等价路由。可以通过改变路由开销值从而实现负载均衡。(7)支持认证。有明文和密文两种认证方法，有链路认证、区域认证、虚链路认证三种认证范围。5.2路由协议配置与查看在核心交换机HX-SW-1上查看的ospf配置：routerospf110passive-interfaceVlapassive-interfaceVlapassive-interfaceVlapassive-interfaceVlapassive-interfaceVlapassive-interfaceVlapassive-interfaceVlan//配置动态路由ospf进程号是110//配置HX-SW-1的路由ID为//配置SVI虚接口为被动接口network55area0//通告网段/24,区域为0network55area0//通告网段192.168.0/24,区域为0公司整个网络运行的是OSPF动态路由协议，并且都处于区域0当中。企业员工终端电脑上经常收到路由器发送的OSPF数据报文，但是该报文不仅对终端毫无用处，还占用了一定的链路带宽资源，并有可能引起安全风险，比如非法接入路由器做路由欺骗。因此通告配置被动接口来实现阻隔OSPF报文，优化公司网络。在路由器R1上查看的ospf配置：network0.network55area0//配置动态路由ospf进程号为110//配置R1的路由ID为4//配置通告网络//配置通告单个主机4//配置桶盖网络//配置通告网路环回口是逻辑接口。永远不会down,使用环回口作为router-id可以使ospf进程更加稳定，减少网络震荡的可能。如图所示为R1路由器上的ospf路由：iprouteosR1>showiprouteospfCodes:L-local,C-connected,S-static,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,o-OSPF,IA-OSPFintei-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISia-IS-ISinterarea,*-candidateo-ODR,P-periodicdownloadedstaticGatewayoflastresort/24[110/11]v[110/11]via,00:00:44,Etherne/24[110/11]vivia34.1 ,00:00:54,Etheo可以看到网段的路由都有两条路径，下一跳地址为是交换机HX-SW-1的地址，下一跳地址为是交换机HX-SW-2的地址，接口分别为R1的E0/0,E0/0。如图5-2所示，是路由器R1上的OSPF邻居：R1#showipospfneiR1#showipospfneighborV通过命令showipospfneighbor可以查看邻居，路由器R1有三个ospf路由邻居，它们下一跳自身的接口，此外显示这三个邻居的状态都为BDR。如图5-3所示，为路由器R1上的OSPF链路数据库：ospfospfdospfdatabase通过命令showipospfdatabase可以显示ospf的链路数据库。如图5-3所示，可以看到此设备的路由ID为4,进程ID为110,区域是0,每个路由器都会产生LSA类型1,RouterLSA,这种LSA只在本区域内传播，描述了路由器所有的链路和接口，状态和开销，NetworkLSA是LSA类型2,在多路访问网络中，DR都会产生这种LSA,它只在产生这条LSA的区域泛洪描述了所有和它相连的路由器，包括DR本身。如图5-4所示，可以查看接口下的据图OSPF信息：Ethernet0/0isup,lineprotocolisupInternetAddress4ProcessID110,RouterIDTopology-MTIDCostDisabledShutdownTopologyTransmitDelayis1secDesignatedRouter(ID)4,InterfaceBackupDesignatedrouter(ID)9999Timerintervalsconfigured,Hello10,Dead40,WaCiscoNSFhelpersupportIETFNSFhelpersupportenabledIndex4/4,floodqueueNLLastfloodscantimeis0mAdjacentwithneighbor(Ba如图5-4,显示R1路由器E0/0接口下的ospf路由信息，输出的第一行为此端口的状态和二层链路协议为up,表示为正常工作。第二行显示此接口上配置的IP地址为,掩码是24位的，接口所在的区域为ospf区域0。路由器的进程ID为110,路由ID为4,ospf网络类型是BROADCST,使用OSPF组播功能，在此网络类型下，将选择指定路由器和备用指定路由器，要让某个接口上的路由器成为邻居，所有路由器的网络类型都应该匹配。Cost开销是一个OSPF的度量，在上图中，开销为10。传输延迟是指通过链路进行链路状态通告泛洪之前OSPF所等待的时间，传输延迟为1秒是个默认值。此接口的状态是DR,优先级为1。显示出了此接口连接的网络的DR的ID是4,接口地址为4,BDR的ID是,接口地址为。另外还有还可以知道发送hello数据包的时间间隔为10秒，死亡时间为40秒，等待时间为40秒等等。企业局域网普遍采用TCP/IP协议，因此在中小企业网络的规划中是非常重要的。一个好的IP地址规划方案不但可以减少网络的负载，还可以为以后网络的扩充打下良好的基础。IP地址规划应该考虑以下几点：唯一性一—在一个网络中是不能够有两台主机用同一个IP地址的。连续性一—可以在同一网络中使用连续的IP地址，这样可以汇总路由，减少路由表的数据，路由表可以加快处理。可扩充性一—在同一网络中划分地址时应该有冗余，这样在企业扩展时，可以增加主机数量。安全性一一企业按照部门划分网段，不用的部门使用不同的网段。如表5-1所示，为网络中的VLAN划分情况：IP地址子网掩码备注企业网络中一共划分了七个vlan,分别是财务部vlan10,总经办vlan20,人事部vlan30,行政部vlan40,市场部vlan50,技术部vlan60,还有服务器区是vlan100。他们的IP地址段分别是、、、、、、,子网掩码都是。这些都是网段，具体的终端地址由DHCP自动分配。如表5-2所示，是路由器、交换机等各个设备端口的IP地址划分情况：端口IP地址子网掩码R1的环回IP地址为4,E0/0端口的IP地址为4,E0/1端口的IP地址为端口的IP地址为54,。ISP的环回地址为00,E0/0端口的IP地址,E0/1端口的地址,交换机HX-SW-1的环回地址为,E1/1端口的地如表5-3所示，是服务器IP地址的划分情况：表5-3服务器IP地址划分端口IP地址子网掩码由于服务器是不需要移动的，所以为了方便访问，配置成了静态的IP地址，服务器群的网段是,FTP服务器E0/0端口的IP地址为,WEB服务器E0/0端口的IP地址为,Email服务器的E0/0端口的IP地址为。6网络技术实现与配置DHCP通常被应用在大型局域网环境中，主要作用是集中的管理、分配IP地址，使升地址的还用率。DHCP可有效减少网络管理员手动设置IP地址的负担，避免手动设置重复IP地址引发的冲突，满足了主机位置变化的需求，可很好地解决主机数量超出可分配IP地址数量的问题7。networknetworknetwork//配置DHCP地址池名称为10//配置DHCP地址池名称为20//配置DHCP地址池名称为30在核心交换HX-SW-1上配置端口：!switchporttrunkenc//配置链路聚合port-channel1//配置TRUNK封装为dotlq//配置接口模式为TRUNK//在接口G0/0下//配置端口中级链路封装协议为802.11q//配置端口为TRUNK模式!在接入层交换机JR-SW-A-1上配置端口：//在接口E0/0下//配置端口中级链路封装协议为802.11q//配置端口为TRUNK模式在交换网络中，当交换机接收到目的地址未知的数据帧时，交换机的操作就是广播该数据帧。这样，如果有物理交换网络，就会出现双向广播链路，甚至广播风暴，导致交换机瘫痪。STP协议就是判断网络中是否存在环路的地方，并通过阻断冗余链路来实现无环网络。STP协议通过STA算法，在逻辑上阻塞一些端口，来生成一个逻辑上的树形结构，STA会在冗余链路中选择一个参考点，将选择要到达的单条路径，同时阻断其他冗余路径，一旦已选路径失效，将启用其他路径9。虚拟局域网VLAN,是一种实现虚拟网络工作组的网络交换技术，该技术是通过网络设备上将网络划分成不同的网段。划分成不同的VLA相应的路由转发才可以；同一VLAN中的用户通信不需要路由的支持，可直接通过交换网络组中，可避免网络风暴的扩散。这可在一定程度上节省网ipaddress192.168.3//创建vlan30并在vlan30下//配置虚地址及掩码ipaddress192.168.4在本次项目中，我们把核心的两台交换机配置HSRP,但是如果只有一台设备工作交换机配置则相反，在这样设计不仅提高网络的运作能力，而且将设备利用最大化。/分配端口所属HSRP组号为10配置虚拟网关//设置端口组内优先级为101//配置HSRP的抢占权，优先级高的为活跃路由VPN技术就是一种远程技术，让外地出差的办公人员可以通过连接VPN服务器进入公司内网来获取自己想要的信息，vpn是通过公网来建立的，要保证访问的安全性，要进行数据加密等措施。Vpn技术有不同的类型，隧道技术、密钥管理技术、加密技术、身份认证识别技术等多种多样的，在如今网络的时代，每种技术都有不同的应用场景，都起到了重大的作用。IPSECvpn是指采用ipsec协议来实现远程接入的一种VPN技术，是由IETF定义的安全标准框架，在公网上为两个私有网络提供安全通信通道，通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。在IPSECVPN技术背景下，建立了多种类型的子系统：第一是ESP协议系统，该系统在各行业领域中得到了非常广泛的应用，具有极大的优势和保密功能；第二是终端到终端系统，该系统辅助处理了数据信息在传输过程中容易发生关键性错误这一情况，显著增强了系统在日常运转中的稳定程度与安全程度[12]。R2路由器上的配置：//使用安全协议ESP,用3DES来加密，用MD5-hmac来确保数据的完整性，使用隧道模式来封装R2路由器的接口的配置：NAT即网络地址转换协议。它的实质是网络层将一个数据包的IP地址映射成为其他IP地址的过程。在现有的IPv4网络结构中，网络地址转换技术实现了双向访问，就是在公网上可以访问到私网地址，在私网上也可在地址映射后访问公网。利用NAT技术，可以实现私有IP地址到公有IP地址的一对一或多对一的映射，有效解决全球IPV4地址即将枯竭的问题[131。iproute//配置一条静态路由access-list100denaccess-list101permiti//为内部网络定义一个IP访问控制列表ipnatoutsideACL(AccessControlLists)访问控制列表技术，又称为软件防火墙技术，是一种路由器的配置脚本，也是包过滤技术典型代表[14]。访问控制列表的工作体系是通过查看经过自己的数据包的报文头部的信息来决定是否允许数据包的通过。通过在诸如路由器和三层网络物理设备上实施访问控制列表的网络安全软件加固策略，可以实现流经路由器和三层交换机的数据包进行过滤，从而达到网络安全控制的目的，单访问控制列表对路20denyicmp5530denyicmp540denyicmp5550denyicmp通过配置ACL命令来阻止访问vlan10和vlan20的PC,通过反掩码绝对匹配一个源地7网络拓扑功能测试测试目的：本设计是针对中小企业办公室网络的规划与实现，对实现的功能进行了配置，通过测试来查看功能是否可以实现，是否有存在的问题。对DHCP分配地址、VLAN间互通、STP生成树、财务部与总经办单向访问、NAT实现、VPN连通性、冗余备份、服务器连通性这些方面做了测试。7.1DHCP分配地址测试如图7-1所示，为PC地址自动获取图：图7-1PC0地址自动获取首先随意打开一个终端PCO上输入ipdhcp命令打开它的dhcp功能，然后输入showip命令可以看到自动获取到的ip地址是,网关为54。如图7-2所示，为交换机HX-SW-1的地址分配情况：0100.5079.6668.19Mar29202108:32AMAutomaticSelectingHX-SW-1#showipdhcpbindingBindingsfromallpoolsnotassociatedwithIPaddressClient-ID/Mar30202108:25AMAutomaticMar30202108:25AMAutomMar29202108:32AMAutomatic图7-2地址分配的情况DDORAIP192.168vPCS>showipNAME84bytesfrom84bytesfrom84bytesfrom84bytesfrom84bytesfrom首先先获取PC3和PC4的地址，可以看到它们获取的地址分别是和,然后PC4对PC3进行ping操作，如图7-3所示可以看到顺利ping通了，说明vlan40中的PC对vlan30中的PC是通的。DDORAIP/2484bytesfromi84bytesfrom19284bytesfrom84bytesfrom84bytesfromicmp_seqNAMEPC3对PC4进行ping操作，如图7-4所示，可以看到也是通的，说明vlan30与vlan40之间是互通的。如图7-5所示，可以查看生成树状态：HJ-SW-1#showspanning-tAddress5000.000d.0BridgeIDPriority32778(priorX在交换机上HJ-SW-1输入命令showspanning-tree,可以看到端□E0/3为根端口，状态为转发状态，E0/2位替换端口，状态为阻塞状态。说明VLAN10选择了E0/3端口。E0/3连接的是核心交换机HX-SW-1,当我们把这个交换机断电后再查看VLAN10的生成树状HJ-SW-1#showspanning-treeSpanningtreeenabledpRootIDPriorityAddress5000.0009.00BridgeIDPriority32778(priori图7-6查看端口状态可以看到端□EO/2从阻塞状态变为转发状态，替换端口也变为根端口。说明在交换机HX-SW-1断电的情况下，会自动选择替换端口来转发数据。举例测试PCO和PC2能ping通PC3,但是PC3ping不通PCO和PC2:首先PCO和PC2对PC3进行ping通测试，如图7-7、7-8所示：84bytesfromicmp_s84bytesfromiDHCPSERVER:192.1DHCPLEASE:86381,86400/43200/75600可以看到是ping通的，说明财务部和总经办是可以访问PC3的。然后PC3对PCO和PC2进行ping通测试，如图7-9所示：*52icmpseq-1tt1=25ationadministratively*52icmpseq=2tt1-255time-3.545ms(Iationadministratively*52icmpseq-3tt1-255time-9.535mationadministratively*52icmpseq=4tt1-25ationadministratively*52icmpseq-5tt1-255time-3.150mationadministrativelyvPCS>ping19*52icmpseq-1tationadministratively*52icmpseq=2tt1=255time=3.045mationadministratively*52icmpseq=3tt1ationadministratively*52icmpseq=4tt1=255time=3.262mationadministratively*52icmpseq-5tt1=25ationadministratively图7-9PC3对PC0和PC2的ping通我们可以看到图中信息是不通的(type=3,表示目标不可到达),说明财务部与总经办单向访问时成功的。首先在PC3上对公网100.100.100.100进行ping通测试。如图7-10:84bytesfrom100.84bytesfrom00icmp_seq=5显示成功ping通，说明NAT配置成功。如图7-11所示，可以查看地址转换情况：FirewallfshowipProInsideglobalInsidelocalOut00:931100:6544200:65442:6544200Firewall#showipnattranslations□PC3成功ping通后，有了流量经过，在firewall设备上可以查看地址转换信息，输入命令showipnattranslations,可以看到PC3的ip地址成功转换为公网地址如图7-12,查看对等体之间构建的IPSECSA:Cryptomaptag:ipsec456protectedvrf:(none)localident(addr/mask/prot/port):(192.1remoteident(addr/mask/prot/port):(/255.255.0PERMIT,flags={originis#pktsencaps:4,#pktsepktsdecaps:4,#pktsdec#pktscompressed:0,#pktsdecompress#pktsnotcompressed:0,#pktsc#pktsnotdecompressed:0,#pktsdecompressfailed:0currentoutboundspi:0xFFlA7231(42799232transform:esp-3desesp-md5inusesettings={Tuconnid:1,flow_id:SW:1,sibling_flags80000040,cryptosatiming:remainingkeylif图7-12对等体之间构建的IPSECSA在R2路由器上输入命令showcryptoipsecsa如图7-12可以查看加密隧道在和之间建立，用于网络和之间的流量。如图7-13所示，为对等体之间internet连接：图7-13对等体之间internet连接在路由器R2上输入命令showcryptoisakmpsa可以看到对等体之间构建的internet安全连接和密钥管理协议，状态应始终为QM_IDLE。如果状态是MM_KEY_EXCH,则表示配置的预共享密钥不正确，或对等体的IP地址不相同。如图7-14,为PC9对PC3的ping通情况：Copyright(c)2007-2015,PaulMeng(mirnshi@gmaAllrightsreserved.VPCSisfreesoftware,distrCheckingforduplicateaddress...PC1:gatewayFormoreinformation,pleasevisitModifiedversionsupportingunetlabbyunetlabteamXV7.7冗余备份测试*oftheIOSvSoftwareorDocumentationtpurposesisexpresslyprohibitedexceptasotherwise**********************HX-SW-1#showstanbriefPindicatesconfiguredtopreempt.InterfaceGrpPriPStateActiveStandbyVirtualV13030101Translating"ee"...domainserver(55)Unknowncommandorcomputername,orunabletofindcomputerHX-SW-2#showstanbriefPindicatesconfiguredtopreempt.1V是active状态，vlan50、vlan60、vlan100是standby状态，而在交换机HX-SW-2上可以看到检测冗余备份是否成功：Successrateis*Mar2509:48:01.467:+HSRP-5-STATECHANGE:Vlan20Grp20*Mar2509:48:02.133:+HSRP-5-STAT