中小型企業(yè)網絡的構建畢業(yè)設計

1、<p><b>　　1 需求分析1</b></p><p>　　1.1 網絡平臺實現的功能1</p><p>　　1.2 網絡平臺的特點1</p><p>　　2 網絡系統(tǒng)設計2</p><p>　　2.1 網絡設計原則2</p><p>　　2.2 網絡設計模型3</

2、p><p>　　2.2.1 核心層3</p><p>　　2.2.2 分布層4</p><p>　　2.2.3 接入層4</p><p>　　2.3 系統(tǒng)組成與拓撲結構5</p><p>　　3 網絡詳細設計及配置6</p><p>　　3.1 交換模塊設計6</p>&l

3、t;p>　　3.1.1 接入層交換服務的實現－配置接入層交換機6</p><p>　　3.1.2 分布層交換服務的實現－配置分布層交換機10</p><p>　　3.1.3 核心層交換服務的實現－配置核心層交換機15</p><p>　　3.2 廣域網接入模塊設計17</p><p>　　3.2.1 配置接入路由器Interne

4、tRouter的基本參數17</p><p>　　3.2.2 配置接入路由器InternetRouter的各接口參數17</p><p>　　3.2.3 配置接入路由器InternetRouter的路由功能18</p><p>　　3.2.4 配置接入路由器InternetRouter上的NAT18</p><p>　　3.2.5 設

5、置接入路由器InternetRouter上的ACL19</p><p>　　3.3 遠程訪問設計和程訪問模塊設21</p><p>　　3.4 服務器模塊設計22</p><p><b>　　4 系統(tǒng)總結23</b></p><p>　　中小型企業(yè)網絡的構建</p><p>　　Netwo

6、rk Construction of small and Medium-sized Enterprises</p><p><b>　　摘 要</b></p><p>　　隨著現代科技的發(fā)展及計算機技術與通訊技術的結合，計算機幾乎成了每個企業(yè)的必備設備，超過一半的企業(yè)擁有自己的網絡。企業(yè)網絡不僅可以提供給我們一個現代化的高效、快捷、安全的辦公環(huán)境，還可以進行高速的數據

7、傳輸和實現生產自動化。</p><p>　　本文根據網絡構建的原則，從技術基礎、方案選擇、構建方法等方面對組建一個中小型企業(yè)網絡進行了分析，在此基礎上構建了網絡的拓撲結構，并進行了詳細的設計及配置，為一些類似的企業(yè)公司的網絡建設提供了一個可供參考的模板。最后文章對網絡建設過程中的一些實踐經驗進行了總結和討論。</p><p>　　關鍵詞：網絡；交換機；路由器；服務器。</p>

8、<p><b>　　Abstract</b></p><p>　　With the development of modern technology and computer technology and communication technology combined with, the computer seems to have become essential equi

9、pment for each enterprise. More than half of enterprises have their own network. Enterprise network can not only provide us with a modern, efficient, fast and safe office environment, but also high-speed data transfer an

10、d production automation.字典</p><p>　　According to the construction principles, the hardware and software of composing small and medium-sized enterprises networks are analyzed from the aspects such as technolo

11、gical base, Scheme selection and construction method. On the basis of above, the network topology is constructed. And carried out detailed design and configuration. It can be the reference pattern for similar instances.

12、Finally, the practical experience in the process of network construction is summarized and discussed.</p><p>　　Key words: network; switch hub; router; server.</p><p><b>　　1 需求分析1</b>

13、;</p><p>　　1.1 網絡平臺實現的功能1</p><p>　　1.2 網絡平臺的特點1</p><p>　　2 網絡系統(tǒng)設計2</p><p>　　2.1 網絡設計原則2</p><p>　　2.2 網絡設計模型3</p><p>　　2.2.1 核心層3</p&g

14、t;<p>　　2.2.2 分布層4</p><p>　　2.2.3 接入層4</p><p>　　2.3 系統(tǒng)組成與拓撲結構5</p><p>　　3 網絡詳細設計及配置6</p><p>　　3.1 交換模塊設計6</p><p>　　3.1.1 接入層交換服務的實現－配置接入層交換機6&

15、lt;/p><p>　　3.1.2 分布層交換服務的實現－配置分布層交換機10</p><p>　　3.1.3 核心層交換服務的實現－配置核心層交換機15</p><p>　　3.2 廣域網接入模塊設計17</p><p>　　3.2.1 配置接入路由器InternetRouter的基本參數17</p><p>　

16、　3.2.2 配置接入路由器InternetRouter的各接口參數17</p><p>　　3.2.3 配置接入路由器InternetRouter的路由功能18</p><p>　　3.2.4 配置接入路由器InternetRouter上的NAT18</p><p>　　3.2.5 設置接入路由器InternetRouter上的ACL19</p>

17、;<p>　　3.3 遠程訪問設計和程訪問模塊設21</p><p>　　3.4 服務器模塊設計22</p><p><b>　　4 系統(tǒng)總結23</b></p><p><b>　　需求分析</b></p><p><b>　　網絡平臺實現的功能</b>&

18、lt;/p><p>　　作為高速傳輸數據、高質量通訊和自動化管理的網絡平臺，應具有一下功能：</p><p>　　1.實現企業(yè)內資源共享，提供管理應用系統(tǒng)，實現企業(yè)辦公自動化。</p><p>　　2.接入Internet，共享網絡資源。</p><p>　　3.企業(yè)擁有自己的IP地址和域名。</p><p>　　4.建立

19、企業(yè)Email系統(tǒng)和內部通訊系統(tǒng)。</p><p>　　5.在公司主機上建立網站，提供對外宣傳的信息平臺。</p><p><b>　　網絡平臺的特點</b></p><p>　　網絡平臺是企業(yè)信息化的核心，要求具有高可靠性、高性能、良好可擴展性以及端到端的QoS服務質量保證。</p><p>　　高可用性必須是一個端到

20、端的網絡目標。網絡設備、服務器集群、操作系統(tǒng)及網絡接口卡必須作為一個統(tǒng)一的生態(tài)系統(tǒng)協同工作，以恢復任何服務器、鏈路或網絡設備的故障。</p><p>　　在考慮設備硬件可靠性和連接鏈路冗余的同時，應關注網絡系統(tǒng)在不同層次上對系統(tǒng)可用性的軟件功能支持能力，另外容易被忽略的高可用性因素——統(tǒng)一的設備軟件操作平臺。如果不同設備采用不同的軟件系統(tǒng)，兼容性、開放性和可擴展性都會受到影響。</p><p&

21、gt;　　QoS(服務質量保證)是保證向網絡業(yè)務提供有品質的服務。它為網絡中的數據劃分優(yōu)先級，對于某些數據，如語音、視頻等，給予高的優(yōu)先級，使他們在網絡中優(yōu)先傳輸，來保證通話及視頻的質量。在應用系統(tǒng)較為簡單的網絡發(fā)展的初期，常常被對應于簡單的概念，例如設備可以支持的隊列數量等。在網絡應用日趨復雜的環(huán)境下，如何在有限的網絡資源里充分保障各類應用的實施，是一個非常復雜的問題，實施QoS，是端到端的概念，不是單個設備的問題，而是涉及整個園區(qū)網

22、、甚至跨廣域網的問題。QoS的管理和部署可能需要涉及到不同城市、不同廠區(qū)、不同大樓的每一臺網絡設備，甚至每一個端口。因此，在選擇網絡設備和供應商的時候，要擦亮眼睛看看供應商的QoS能做到什么程度。</p><p><b>　　網絡系統(tǒng)設計</b></p><p><b>　　網絡設計原則</b></p><p>　　開放性

23、：系統(tǒng)設計應采用開放技術、開放結構、開放系統(tǒng)組件和開放用戶接口，以利于網絡的維護、擴展升級及與外界信息的溝通。</p><p>　　安全性：應能在可靠性的前提下，抵擋來自內部和外部的攻擊；采用的安全措施有效、可信，能夠在多層次上、以多種方式實現安全的控制。</p><p>　　可靠性：系統(tǒng)及網絡結構較為復雜，同時在部分子系統(tǒng)中存在較高的技術性，因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運行，具有很

24、高的MTBF(平均無故障工作時間)和極低的MTBR(平均無故障率)，提高容錯設計，支持故障檢測和恢復，可管理性強。網絡必須是可靠的，包括網元級的可靠性，如引擎、風扇、單板、總計等；以及網絡級的可靠性，如路由、交換的匯聚，鏈路冗余，負載均衡等。網絡必須具有足夠高的性能，滿足業(yè)務的需要。具有容錯功能，能滿足企業(yè)所在地環(huán)境、氣候條件，抗干擾能力強，對網絡的設計、選型、安裝、調試等各環(huán)節(jié)進行統(tǒng)一規(guī)劃和分析，確保系統(tǒng)運行可靠。</p>

25、<p>　　統(tǒng)一性：在系統(tǒng)的設計過程中，堅持“三統(tǒng)一”，即統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一出口。</p><p>　　先進性：在系統(tǒng)的選擇與開發(fā)過程中，既能滿足當前網絡的應用需求，又可以在將來需要擴展的時候，能方便地擴展，保護目前的所有投資；設計的配置可以靈活變通，以便適應客戶的其他要求。</p><p>　　經濟性：在充分滿足以上要求的前提下，應充分考慮到企業(yè)的經濟承受能力，盡可能

26、地節(jié)約投資，花好每一分錢。著眼于近期目標和長期的發(fā)展，選用先進的設備進行最佳性能組合，利用有限的投資構造一個性能最佳的網絡系統(tǒng)。</p><p>　　實用性：實用性設計應能滿足目前對網絡應用的要求，充分實現內部管理、信息化等要求，使網絡的整體性能盡快得到充分的發(fā)揮，并且便于掌握。</p><p>　　標準化：網絡系統(tǒng)應符合IEEE 802.3、IEEE 802.3u、IEEE 802.3z

27、等以太網標準和IEEE 802.1p、IEEE 802.1q、WBM等網絡管理標準。</p><p><b>　　網絡設計模型</b></p><p>　　在中型企業(yè)網的設計中，一般采用層次化模型來設計網絡拓撲結構。所謂“層次化”模型，就是將復雜的網絡設計分成幾個層次，每個層次著重于某些特定的功能，這樣就能夠使一個復雜的大問題變成許多簡單的小問題。</p>

28、<p>　　“核心層-分布層-接入層”層次化網絡設計模型有如下優(yōu)點： </p><p>　　節(jié)省成本：在采用層次模型之后，各層次各司其職，不再在同一個平臺上考慮所有的事情。層次模型模塊化的特性使網絡中的每一層都能夠很好地利用帶寬，減少了對系統(tǒng)資源的浪費。</p><p>　　易于理解 ：層次化設計使得網絡結構清晰明了，可以在不同的層次實施不同難度的管理，降低了管理成本。 &l

29、t;/p><p>　　易于擴展 ：在網絡設計中，模塊化具有的特性使得網絡增長時網絡的復雜性能夠限制在子網中，而不會蔓延到網絡的其他地方。而如果采用扁平化和網狀設計，任何一個節(jié)點的變動都將對整個網絡產生很大影響。</p><p>　　易于排錯：層次化設計能夠使網絡拓撲結構分解為易于理解的子網，網絡管理者能夠輕易地確定網絡故障的范圍，從而簡化了排錯過程。</p><p>&

30、lt;b>　　核心層</b></p><p>　　核心層將各分布層交換機互連起來進行穿越園區(qū)網骨干的高速數據交換。</p><p>　　園區(qū)網的核心層連接所有的分布層設備，必須能夠盡可能高效地交換數據流。應具有如下特征：</p><p>　　第2層和第3層的吞吐量非常高；</p><p>　　不執(zhí)行高成本或不必要的分組處理（

31、訪問列表、分組過濾）；</p><p>　　支持高可用性的冗余和彈性；</p><p><b>　　高級QoS功能。</b></p><p>　　應對園區(qū)網核心層中的設備進行優(yōu)化，以提供高性能的第2層或第3層交換。由于核心層必須處理大量的園區(qū)網級數據，因此核心層設計必須簡單、高效。</p><p>　　在本設計的核心層中

32、，采用兩臺Cisco Catalyst 4006交換機組成雙機熱備份的核心交換機系統(tǒng)解決方案。為提高核心-網絡的健壯性，實現鏈路的安全保障，本方案骨干核心層中可以采用VRRP（熱備用路由器協議）。對于各個業(yè)務VLAN可以指向這個虛擬的IP地址作為網關，因此應用VRRP技術為核心交換機提供一個可靠的網關地址，以實現在核心層核心交換機之間進行設備的硬件冗余，一主兩備，共用一個虛擬的IP地址和MAC地址，通過內部的協議傳輸機制可以自動進行工作

33、角色的切換。進而雙引擎、雙電源的設計為網絡高效處理大集中數據提供了可靠的保障。</p><p><b>　　分布層</b></p><p>　　分布層將園區(qū)網的接入層和核心層連接起來。必須具備下述的功能：</p><p>　　聚集多臺接入層設備；</p><p>　　較高的第3層分組處理吞吐量；</p>&

34、lt;p>　　使用訪問列表和分組過濾器提供安全和基于策略的連接；</p><p><b>　　QoS功能；</b></p><p>　　連接到核心層和接入層的高速鏈接具有可擴展性和彈性。</p><p>　　在分布層中，來自接入層設備的上行鏈路被聚合在一起。分布層交換機必須能夠處理來自所有連接的設備的總流量。這些交換機必須擁有能提供高速鏈

35、路的端口密度，以支持所有接入層交換機。</p><p>　　VLAN和廣播域在分布層聚合在一起，需要支持路由選擇、過濾和安全。該層的交換機還必須能夠執(zhí)行高吞吐量的多層交換。</p><p><b>　　接入層</b></p><p>　　接入層位于連接到網絡的最終用戶處。接入層交換機通常在用戶之間提供第2層（VLAN）連接性。該層設備有時被稱為

36、大樓介入交換機，必須具備下述功能：</p><p><b>　　低交換機端口成本；</b></p><p><b>　　高端口密度；</b></p><p>　　連接到高層的可擴展上行鏈路；</p><p>　　用戶接入功能，如VLAN成員資格、數據流和協議過濾以及服務質量（QoS）；</p&

37、gt;<p>　　使用多條上行鏈路提供彈性。</p><p><b>　　系統(tǒng)組成與拓撲結構</b></p><p>　　為了實現網絡設備的統(tǒng)一，本設計方案中完全采用同一廠家的網絡產品，即Cisco公司的網絡設備構建。全網使用同一廠商設備的好處是可以實現各種不同網絡設備功能的互相配合和補充。</p><p>　　該企業(yè)網設計方案主

38、要由以下四大部分構成：交換模塊、廣域網接入模塊、遠程訪問模塊、服務器群。</p><p>　　網絡拓撲如下圖所示：</p><p>　　網絡詳細設計及配置 </p><p>　　這里我將使用思科的一款虛擬軟件（cisco packet tracer）完成配置，該軟件功能有限，一些配置并不能在該軟件上實現。以下配置截圖，皆來自該軟件。</p>&l

39、t;p><b>　　交換模塊設計</b></p><p>　　接入層交換服務的實現－配置接入層交換機</p><p>　　接入層為所有的終端用戶提供一個接入點。這里的接入層交換機采用的是Cisco Catalyst 2950 24口交換機（WS-C2950-24）。交換機擁有24個10/100Mbps自適應快速以太網端口，運行的是Cisco的IOS操作系統(tǒng)。　&

40、lt;/p><p>　　配置接入層交換機AccessSwitch1的基本參數</p><p>　　（1）設置交換機名稱</p><p>　　設置交換機名稱，也就是出現在交換機CLI提示符中的名字。一般我們會以地理位置或行政劃分來為交換機命名。當我們需要Telnet登錄到若干臺交換機以維護一個大型網絡時，通過交換機名稱提示符提示自己當前配置交換機的位置是很有必要的。<

41、;/p><p>　　其中h是hostname 的簡寫，（在真實環(huán)境中也支持簡寫）可以用該命令實現設備的重命名。</p><p>　　（2）設置交換機的加密使能口令</p><p>　　加密口令為：enable secret +密碼。</p><p>　　當用戶在普通用戶模式而想要進入特權用戶模式時，需要提供此口令。此口令會以MD5的形式加密，因此

42、，當用戶查看配置文件時，無法看到明文形式的口令。</p><p>　?。?）設置登錄虛擬終端線時的口令</p><p>　　Line vty 0 15</p><p>　　Password cisco</p><p><b>　　Login</b></p><p>　　Login 對這個配置很重要

43、，沒有他你就算配了密碼也無法登陸。</p><p>　　對于一個已經運行著的交換網絡來說，交換機的帶內遠程管理為網絡管理人員提供了很多的方便。但是，處于安全考慮，在能夠遠程管理交換機之前網絡管理人員必須設置遠程登錄交換機的口令。</p><p>　?。?）設置終端線超時時間</p><p>　　為了安全考慮，可以設置終端線超時時間。在設置的時間內，如果沒有檢測到鍵盤

44、輸入，IOS將斷開用戶和交換機之間的連接。這里設置的是5分30秒。</p><p>　?。?）設置禁用IP地址解析特性</p><p>　　在交換機默認配置的情況下，當我們輸入一條錯誤的交換機命令時，交換機會嘗試將其廣播給網絡上的DNS服務器并將其解析成對應的IP地址。利用命令no ip domain-lookup?？梢越眠@個特性</p><p>　?。?）設置啟

45、用消息同步特性</p><p>　　有時，用戶輸入的交換機配置命令會被交換機產生的消息打亂?？梢允褂妹頻ogging synchronous設置交換機在下一行CLI提示符后復制用戶的輸入。</p><p>　　配置接入層交換機AccessSwitch1的管理IP、默認網關</p><p>　　接入層交換機是OSI參考模型的第2層設備，即數據鏈路層的設備。因此，給接

46、入層交換機的每個端口設置IP地址是沒意義的。但是，為了使網絡管理人員可以從遠程登錄到接入層交換機上進行管理，必要給接入層交換機設置一個管理用IP地址。這種情況下，實際上是將交換機看成和PC機一樣的主機。</p><p>　　給交換機設置管理用IP地址只能在VLAN1，即本征VLAN中進行。</p><p>　　為了使網絡管理人員可以在不同的子網管理此交換機，還應設置默認網關地址.</

47、p><p>　　配置接入層交換機AccessSwitch1的VTP</p><p>　　從提高效率的角度出發(fā)，在本企業(yè)網實現實例中使用了VTP技術。同時，將分布層交換機DistributeSwitch1設置成為VTP服務器，其他交換機設置成為VTP客戶機。</p><p>　　這里接入層交換機AccessSwitch1將通過VTP獲得在分布層交換機DistributeS

48、witch1中定義的所有VLAN的信息。</p><p>　　設置接入層交換機AccessSwitch1成為VTP客戶機。</p><p>　　圖中， ver是version的縮寫。以后都將使用這些縮寫。Vtp mode client命令設置該交換機為vtp的客戶機模式，vtp ver 2命令設置使用vtp的版本號為2。</p><p>　　配置接入層交換機Acce

49、ssSwitch1端口基本參數：端口速度</p><p>　　可以設定某端口根據對端設備速度自動調整本端口速度，也可以強制將端口速度設為10Mpbs或100Mbps。在了解對端設備速度的情況下，建議手動設置端口速度。</p><p>　　設置接入層交換機AccessSwitch1的所有端口（1-24）的速度均為100Mbps。</p><p>　　int 是inte

50、rface的縮寫，是進入某個接口的命令；r 為range 的縮寫，f為fastethernet（快速以太網接口）的縮寫，f0/1 -24 表示快速以太網的0/1-0/24共24個接口。</p><p>　　配置接入層交換機AccessSwitch1的接入端口</p><p>　　接入層交換機AccessSwitch1為終端用戶提供接入服務。接入層交換機AccessSwitch1為VLAN1

51、0提供接入服務。</p><p>　　Swi為switchport的縮寫，mo為mode的縮寫，acc為access的縮寫。用spanning-tree portfast來配置生成樹快速端口。</p><p>　　（1）設置接入層交換機AccessSwitch1的端口1～22</p><p>　　如圖所示，設置接入層交換機AccessSwitch1的端口1～端口24

52、工作在接入模式。同時，設置端口1～端口22為VLAN 10的成員。</p><p><b>　?。?）設置快速端口</b></p><p>　　默認情況下，交換機在剛加電啟動時，每個端口都要經歷生成樹的四個階段：阻塞、偵聽、學習、轉發(fā)。在能夠轉發(fā)用戶的數據包之前，某個端口可能最多要等50秒鐘的時間（20秒的阻塞時間＋15秒的偵聽延遲時間＋15秒的學習延遲時間）。<

53、;/p><p>　　對于直接接入終端工作站的端口來說，用于阻塞和偵聽的時間是不必要的。為了加速交換機端口狀態(tài)轉化時間，可以設置將某端口設置成為快速端口（Portfast）。設置為快速端口的端口當交換機啟動或端口有工作站接入時，將會直接進入轉發(fā)狀態(tài)，而不會經歷阻塞、偵聽、學習狀態(tài)（假設橋接表已經建立）。</p><p>　　配置接入層交換機AccessSwitch1的主干道端口</p>

54、;<p>　　接入層交換機AccessSwitch1通過端口FastEthernet 0/23上連到分布層交換機DistributeSwitch1的端口FastEthernet 0/1。同時，接入層交換機AccessSwitch1還通過端口FastEthernet 0/24上連到分布層交換機DistributeSwitch2的端口FastEthernet 0/1。</p><p>　　這兩條上連鏈路

55、將成為主干道鏈路，在這兩條上連鏈路上將運輸多個VLAN的數據。</p><p>　　設置接入層交換機AccessSwitch1的端口FastEthernet 0/23、FastEthernet 0/24為主干道端口，即為配置這兩個端口的中繼。命令為switchport mode trunk</p><p>　　配置接入層交換機AccessSwitch2、3、4、5</p>&

56、lt;p>　　接入層交換機AccessSwitch2、3、4、5分別為VLAN 20、VLAN30、VLAN40、VLAN50的用戶提供接入服務。同時，分別通過自己的FastEthernet 0/23 、FastEthernet 0/24上連到分布層交換機DistributeSwitch1、DistributeSwitch2的端口FastEthernet 0/2。</p><p>　　對接入層交換機Acce

57、ssSwitch2、3、4、5的配置步驟、命令和對接入層交換機AccessSwitch1的配置類似。</p><p>　　分布層交換服務的實現－配置分布層交換機</p><p>　　分布層除了負責將接入層交換機進行匯集外，還為整個交換網絡提供VLAN間的路由選擇功能。</p><p>　　對分布層交換機DistributeSwitch1的基本參數的配置步驟與對接入層

58、交換機AccessSwitch1的基本參數的配置類似。這里，只給出實際的配置。</p><p>　　1．配置分布層交換機DistributeSwitch1的管理IP、默認網關</p><p>　　顯示了為分布層交換機DistributeSwitch1設置管理IP并激活本征VLAN。同時，還設置了默認網關的地址。</p><p>　　add為address的縮寫； n

59、o sh 即為no shutdown，開啟端口。</p><p>　　2．配置分布層交換機DistributeSwitch1的VTP</p><p>　　當網絡中交換機數量很多時，需要分別在每臺交換機上創(chuàng)建很多重復的VLAN。工作量很大、過程很繁瑣，并且容易出錯。我們常采用VLAN中繼協議（Vlan Trunking Protocol，VTP）來解決這個問題。</p><

60、;p>　　VTP允許我們在一臺交換機上創(chuàng)建所有的VLAN。然后，利用交換機之間的互相學習功能，將創(chuàng)建好的VLAN定義傳播到整個網絡中需要此VLAN定義的所有交換機上。同時，有關VLAN的刪除、參數更改操作均可傳播到其他交換機。從而大大減輕了網絡管理人員配置交換機負擔。</p><p>　　在本企業(yè)網實現實例中使用了VTP技術。同時，將分布層交換機DistributeSwitch1設置成為VTP服務器，其他交

61、換機設置成為VTP客戶機。</p><p><b>　　配置VTP管理域</b></p><p>　　vtp domain cisco</p><p>　　共享相同VLAN定義數據庫的交換機構成一個VTP管理域。每一個VTP管理域都有一個共同的VTP管理域域名。不同VTP管理域的交換機之間不交換VTP通告信息。將VTP管理域的域名定義為“cis

62、co”。</p><p><b>　　設置VTP服務器</b></p><p>　　vtp mode server</p><p>　　工作在VTP服務器模式下的交換機可以創(chuàng)建、刪除VLAN、修改VLAN參數。同時，還有責任發(fā)送和轉發(fā)VLAN更新消息。</p><p><b>　　激活VTP剪裁功能</b

63、></p><p>　　vtp pruning</p><p>　　默認情況下主干道傳輸所有VLAN的用戶數據。有時，交換網絡中某臺交換機的所有端口都屬于同一VLAN的成員，沒有必要接收其他VLAN的用戶數據。這時，可以激活主干道上的VTP剪裁功能。當激活了VTP剪裁功能以后，交換機將自動剪裁本交換機沒有定義的VLAN數據。</p><p>　　在一個VTP域

64、下，只需要在VTP服務器上激活VTP剪裁功能。同一VTP域下的所有其他交換機也將自動激活VTP剪裁功能。</p><p>　　下圖為該交換機的配置參數：</p><p>　　3．在分布層交換機DistributeSwitch1上定義VLAN</p><p>　　在本企業(yè)網實現實例中，除了默認的本征VLAN外，又定義了6個VLAN。</p><p&

65、gt;　　由于使用了VTP技術，所以所有VLAN的定義只需要在VTP服務器，即分布層交換機DistributeSwitch1上進行。</p><p>　　如圖所示，定義了6個VLAN，同時為每個VLAN命名。</p><p>　　4．配置分布層交換機DistributeSwitch1的端口基本參數</p><p>　　分布層交換機DistributeSwitch1的

66、端口FastEthernet 0/1～FastEthernet 0/5連到接入層交換機AccessSwitch1-5的端口FastEthernet 0/23，端口FastEthernet 0/10～FastEthernet 0/12為服務器群提供接入服務。此外，分布層交換機DistributeSwitch1還通過自己的千兆端口GigabitEthernet 1/1上連到核心交換機CoreSwitch1的GigabitEthernet 0

67、/1。　</p><p>　　為了實現冗余設計，分布層交換機DistributeSwitch1還通過自己的千兆端口GigabitEthernet 1/2連接另一臺到分布層交換機DistributeSwitch2的GigabitEthernet 1/2。</p><p>　　給出了對所有訪問端口、主干道端口的配置步驟和命令。</p><p>　　設置分布層交換機Dis

68、tributeSwitch1的各端口參數</p><p>　　其中，f0/1-f0/5，gi1/1,gi1/2都被配為中繼端口，端口f0/10-f0/12被劃分給VLAN 100。swi 為switchport的縮寫， acc為 access的縮寫， gi為 gigabitEthernet的縮寫，</p><p>　　5．配置分布層交換機DistributeSwitch1的3層交換功能&l

69、t;/p><p>　　分布層交換機DistributeSwitch1需要為網絡中的各個VLAN提供路由功能。這需要首先啟用分布層交換機的路由功能。</p><p>　　接下來，需要為每個VLAN定義自己的默認網關地址，</p><p>　　此外，還需要定義通往Internet的路由。這里使用了一條缺省路由命令，</p><p>　　其中，下一跳地

70、址是Internet接入路由器的快速以太網接口FastEthernet 0/0的IP地址。6．配置分布層交換機DistributeSwitch2</p><p>　　分布層交換機DistributeSwitch2的端口FastEthernet 0/1-5分別下連到接入層交換機AccessSwitch1-5的端口FastEthernet 0/24。</p><p>　　此外，分布層交換機Di

71、stributeSwitch2還通過自己的千兆端口GigabitEthernet1/1上連到核心交換機CoreSwitch2的GigabitEthernet 0/1。</p><p>　　對分布層交換機DistributeSwitch2的配置步驟、命令和對分布層交換機DistributeSwitch1的配置類似。</p><p>　　核心層交換服務的實現－配置核心層交換機</p>

72、;<p>　　1．配置核心層交換機CoreSwitch1的基本參數</p><p>　　對核心層交換機CoreSwitch1的基本參數的配置步驟與對接入層交換機AccessSwitch1的基本參數的配置類似。這里，只給出實際的配置步驟，不再給出解釋。</p><p>　　2．配置核心層交換機CoreSwitch1的管理IP、默認網關</p><p>　

73、　如圖所示，顯示了為核心層交換機CoreSwitch1設置管理IP并激活本征VLAN。同時，還設置了默認網關的地址。</p><p>　　3．配置核心層交換機CoreSwitch1的的VLAN及VTP</p><p>　　在本實例中，核心層交換機CoreSwitch1也將作為VTP客戶機。</p><p>　　這里核心層交換機CoreSwitch1將通過VTP獲得在

74、分布層交換機DistributeSwitch1中定義的所有VLAN的信息。</p><p>　　完整命令為：vtp mode client</p><p>　　4．配置核心層交換機CoreSwitch1的端口參數</p><p>　　核心層交換機CoreSwitch1通過自己的端口FastEthernet 0/22同廣域網接入模塊（Internet路由器）相連。同時

75、，核心層交換機CoreSwitch1的端口GigabitEthernet 0/1～GigabitEthernet 0/2分別下連到接入層交換機DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 1/1。</p><p>　　如圖所示，給出了對上述端口的配置命令。</p><p>　　此外，為了提供主干道的吞吐量以及實現冗余設計，在本設

76、計中，將核心層交換機CoreSwitch1的千兆端口GigabitEthernet 2/1、GigabitEthernet 2/2捆綁在一起實現2000Mbps的千兆以太網信道，然后再連接到另一臺核心層交換機CoreSwitch2。</p><p>　　下面是設置核心層交換機CoreSwitch1的千兆以太網信道的步驟。</p><p>　　5．配置核心層交換機CoreSwitch1的路由

77、功能</p><p>　　核心層交換機CoreSwitch1通過端口FastEthernet 0/22同廣域網接入模塊（Internet路由器）相連。因此，需要啟用核心層交換機的路由功能。同時，還需要定義通往Internet的路由。這里使用了一條缺省路由命令，如圖所示。其中，下一跳地址是Internet接入路由器的快速以太網接口FastEthernet 0/0的IP地址。</p><p>

78、　　6．核心層交換機CoreSwitch2的配置</p><p>　　核心層交換機CoreSwitch2的配置步驟、命令和對核心層交換機CoreSwitch1的配置類似。這里，不再詳細分析。同時，對于配置核心層交換機CoreSwitch2下連的一系列交換機，其連接方法以及配置步驟和命令同核心層交換機CoreSwitch1下連的一系列交換機的連接方法以及配置步驟和命令類似。這里，也不再贅述。</p>

79、<p><b>　　廣域網接入模塊設計</b></p><p>　　在本設計中，廣域網接入模塊的功能是由廣域網接入路由器InternetRouter來完成的。采用的是Cisco的2811路由器。它通過添加WIC-2T模塊上帶的串行接口serial 0/0使用DDN（128K）技術接入Internet。它的作用主要是在Internet和企業(yè)網內網間路由數據包。除了完成主要的路由任務外

80、，利用訪問控制列表（Access Control List，ACL），廣域網接入路由器InternetRouter還可以用來完成以自身為中心的流量控制和過濾功能并實現一定的安全功能。</p><p>　　配置接入路由器InternetRouter的基本參數</p><p>　　對接入路由器InternetRouter的基本參數的配置步驟與對接入層交換機AccessSwitch1的基本參數的

81、配置類似。</p><p>　　配置接入路由器InternetRouter的各接口參數</p><p>　　對接入路由器InternetRouter的各接口參數的配置主要是對接口FastEthernet 0/0以及接口Serial 0/0/0的IP地址、子網掩碼的配置。</p><p>　　如圖2-3所示，顯示了為接入路由器InternetRouter的各接口設置I

82、P地址、子網掩碼。</p><p>　　配置接入路由器InternetRouter的路由功能</p><p>　　在接入路由器InternetRouter上需要定義兩個方向上的路由：到企業(yè)網內部的靜態(tài)路由以及到Internet上的缺省路由。</p><p>　　到Internet上的路由需要定義一條缺省路由，如圖所示。其中，下一跳指定從本路由器的接口serial 0

83、/0/0送出。</p><p>　　到企業(yè)網內部的路由條目可以經過路由匯總后形成兩條路由條目。如圖所示。</p><p>　　配置接入路由器InternetRouter上的NAT</p><p>　　由于目前IP地址資源非常稀缺，對不可能給企業(yè)網內部的所有工作站都分配一個公有IP（Internet可路由的）地址。為了解決所有工作站訪問Internet的需要，必須使用

84、NAT（網絡地址轉換）技術。</p><p>　　為了接入Internet，本企業(yè)網向當地ISP申請了9個IP地址。其中一個IP地址：193.1.1.1被分配給了Internet接入路由器的串行接口，另外8個IP地址：202.206.222.1～202.206.222.8用作NAT。</p><p>　　NAT的配置可以分為以下幾個步驟。</p><p>　?。?）

85、定義NAT內部、外部接口</p><p>　　Ip nat inside 定義端口為內部端口；</p><p>　　Ip nat outside定義端口為外部端口。</p><p>　　（2）定義允許進行NAT的內部局部IP地址范圍</p><p><b>　　內部地址范圍為：</b></p><p&

86、gt;　　192.168.0.1-192.168.0.254，……，192.168.7.1-192.168.7.254，192.168.100.1-192.168.100.254八個子網。</p><p>　?。?）為服務器定義靜態(tài)地址轉換</p><p>　　將服務器的內部IP地址改為公有地址。</p><p>　　為其他工作站定義動態(tài)地址轉換</p>

87、<p>　　將一個網絡中的所有需要轉換的私有地址用一個ACL來表示，再從ISP注冊到的共有地址一個地址池來表示，最后再將ACL與地址池做動態(tài)的轉換。</p><p>　　將除服務器外的內部IP隨機轉換為地址池內的202.206.222.4 - 202.206.222.8的公有地址。Cisco為地址池名。</p><p>　　設置接入路由器InternetRouter上的ACL

88、</p><p>　　路由器是外網進入企業(yè)網內網的第一道關卡，是網絡防御的前沿陣地。路由器上的訪問控制列表（Access Control List，ACL）是保護內網安全的有效手段。一個設計良好的訪問控制列表不僅可以起到控制網絡流量、流向的作用，還可以在不增加網絡系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產品的功能。由于路由器介于企業(yè)內網和外網之間，是外網與內網進行通信時的第一道屏障，所以即使在網絡系統(tǒng)安裝了

89、防火墻產品后，仍然有必要對路由器的訪問控制列表進行縝密的設計，來對企業(yè)內網包括防火墻本身實施保護。</p><p>　　在網絡環(huán)境中還普遍存在著一些非常重要的、影響服務器群安全的隱患。在絕大多數網絡環(huán)境的實現中它們都是應該對外加以屏蔽的。主要應該做以下的ACL設計：</p><p>　?。?）對外屏蔽簡單網管協議，即SNMP。</p><p>　　利用這個協議，遠程

90、主機可以監(jiān)視、控制網絡上的其它網絡設備。它有兩種服務類型：SNMP和SNMPTRAP。</p><p>　　對外屏蔽簡單網管協議SNMP：</p><p>　?。?）對外屏蔽遠程登錄協議telnet</p><p>　　首先，telnet是一種不安全的協議類型。用戶在使用telnet登錄網絡設備或服務器時所使用的用戶名和口令在網絡中是以明文傳輸的，很容易被網絡上的非

91、法協議分析設備截獲。其次，telnet可以登錄到大多數網絡設備和UNIX服務器，并可以使用相關命令完全操縱它們。這是極其危險的，因此必須加以屏蔽?！?lt;/p><p>　　對外屏蔽遠程登錄協議telnet：</p><p>　?。?）對外屏蔽其它不安全的協議或服務</p><p>　　這樣的協議主要有SUN OS的文件共享協議端口2049，遠程執(zhí)行（rsh）、遠程登錄

92、（rlogin）和遠程命令（rcmd）端口512、513、514，遠程過程調用（SUNRPC）端口111?？梢詫⑨槍σ陨蠀f議綜合進行設計，如圖所示。</p><p>　　（4）針對DoS攻擊的設計</p><p>　　DoS攻擊（Denial of Service Attack，拒絕服務攻擊）是一種非常常見而且極具破壞力的攻擊手段，它可以導致服務器、網絡設備的正常服務進程停止，嚴重時會導致

93、服務器操作系統(tǒng)崩潰。</p><p>　?。?）保護路由器自身安全</p><p>　　作為內網、外網間屏障的路由器，保護自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器，必須對路由器的訪問位置加以限制。</p><p>　　應只允許來自服務器群的IP地址訪問并配置路由器。這時，可以使用ACCESS-CLASS命令進行VTY訪問控制。如圖所示</p>

94、;<p>　　遠程訪問設計和程訪問模塊設</p><p>　　遠程訪問也是園區(qū)網絡必須提供的服務之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務。</p><p>　　遠程訪問有三種可選的服務類型：專線連接、電路交換和包交換。不同的廣域網連接類型提供的服務質量不同，花費也不相同。在本設計中，由于面對的用戶群規(guī)模、業(yè)務量較小，所以采用了異步撥號連接作為遠程訪問的技術手

95、段。</p><p>　　異步撥號連接屬于電路交換類型的廣域網連接，它是在傳統(tǒng)公共交換電話網（Public Switched Telephone Network，PSTN）上提供服務的。傳統(tǒng)PSTN提供的服務也被稱為簡易老式電話業(yè)務（Plan Old Telephone System，POTS）。因為目前存在著大量安裝好的電話線，所以這樣的環(huán)境是最容易滿足的。因此，異步撥號連接也就成為最為方便和普遍的遠程訪問類型

96、。</p><p>　　廣域網連接可以采用不同類型的封裝協議，如HDLC、PPP等。其中，PPP除了提供身份認證功能外，還可以提供其他很多可選項配置，包括鏈路壓縮、多鏈路捆綁、回叫等，因此更具優(yōu)勢。也是本設計所采用的異步連接封裝協議。</p><p>　　PPP提供了兩種可選的身份認證方法：口令驗證協議PAP（Password Authentication Protocol，PAP）和質詢

97、握手協議（Challenge Handshake Authentication Protocol，CHAP）。</p><p>　　PAP是一個簡單的、實用的身份驗證協議。PAP認證進程只在雙方的通信鏈路建立初期進行。如果認證成功，在通信過程中不再進行認證。如果認證失敗，則直接釋放鏈路。</p><p>　　CHAP認證比PAP認證更安全，因為CHAP不在線路上發(fā)送明文密碼，而是發(fā)送經過摘

98、要算法加工過的隨機序列，也被稱為"挑戰(zhàn)字符串"。同時，身份認證可以隨時進行，包括在雙方正常通信過程中。因此，非法用戶就算截獲并成功破解了一次密碼，此密碼也將在一段時間內失效。</p><p>　　CHAP對端系統(tǒng)要求很高，因為需要多次進行身份質詢、響應。這需要耗費較多的CPU資源，因此只用在對安全要求很高的場合。</p><p>　　PAP雖然有著用戶名和密碼是明文發(fā)送

99、的弱點，但是認證只在鏈路建立初期進行，因此節(jié)省了寶貴的鏈路帶寬。</p><p>　　由于技術限制，這里就不進行詳細的配置。同時，模擬器上也將省略這個模塊。</p><p><b>　　服務器模塊設計</b></p><p>　　服務器模塊用來對企業(yè)網的接入用戶提供各種服務。在本設計方案中，所有的服務器被集中到VLAN 100構成服務器群并通過

100、分布層交換機DistributeSwitch1的端口fastethernet 10～12接入企業(yè)網。</p><p>　　企業(yè)網提供的常見的服務（服務器）包括：</p><p>　　WEB服務器：提供WEB網站服務。</p><p>　　內部IP：192.168.100.1 外部IP：202.206.222.1</p><p>　　郵件服務器

101、：提供郵件收發(fā)服務。</p><p>　　內部IP：192.168.100.2 外部IP：202.206.222.2</p><p>　　數據庫服務器：提供各種數據庫服務。</p><p>　　內部IP：192.168.100.3 外部IP：202.206.222.3</p><p><b>　　系統(tǒng)總結</b><

102、/p><p>　　本文所構建的網絡適合中小規(guī)模企業(yè)，在此基礎上，適當降低設備和系統(tǒng)配置，可以用在工作組級別的機構上；而提高硬件和軟件系統(tǒng)的級別，也可以擴充到大型企業(yè)級規(guī)模。然而，技術是網絡組建的主要考慮因素，但是網絡的構建往往受到經費的制約，因此，高的性價比是決定的因素。此外，設備采購方式、地方政策等多種非技術因素的影響，有時候也起著重要的作用，因此，網絡的構建應該綜合考慮各種約束條件。另外，在網絡設備的選擇中，重要

103、的經驗還有：</p><p><b>　?、?廠家的品牌因素</b></p><p>　　網絡的核心設備決定了整個系統(tǒng)的穩(wěn)定性，因此，廠商的口碑非常重要，如IBM、Cisco、Microsoft等，這些公司具備優(yōu)秀的產品性能、良好的售后服務、雄厚的研發(fā)實力等。</p><p><b>　?、?整合成本</b></p&

104、gt;<p>　　在網絡建設中，涉及到多種設備及系統(tǒng)軟件，正是因為組成部分的多元化，會帶來一系列的整合問題，如高昂的維護成本、設備之間的兼容性問題、設備之間速率的瓶頸等。因此，采用同一品牌的設備，有著明顯的優(yōu)勢，如網絡核心構架主要采用了Cisco的設備等。</p><p><b>　?、?普及度的影響</b></p><p>　　移植成本、培訓成本、管理

105、成本低，這是大眾化產品的優(yōu)勢。例如，我們在軟件系統(tǒng)上，主要采用了微軟的系統(tǒng)平臺，在打印輸出設備上，主要采用HP的產品等。網絡的建設需要采取分步驟、分階段、分主次的設計實施思路；同時，還需要重視管理的作用，尤其是管理制度在網絡運營中的作用。</p><p><b>　　參考文獻</b></p><p>　　[1] Steve McQuerry. CCNA 自學指南：Ci

106、sco 網絡設備互連.人民郵電出版社，2005</p><p>　　[2] Diane Teare、 Catherine Paquet. 園區(qū)網絡設計.人民郵電出版社，2007</p><p>　　[3] Richard Deal. CCNA學習指南. 人民郵電出版社，2009</p><p>　　[4] 崔北亮. CCNA學習與實驗指南. 電子工業(yè)出版社，2010

107、</p><p>　　[5] Kevin Wallace. CCNP TSHOOT 認證考試指南. 人民郵電出版社，2010</p><p>　　[6] Wendell Odom. CCNP ROUTE 認證考試指南. 人民郵電出版社，2010</p><p>　　[7] David Hucaby. CCNP SWITCH 認證考試指南. 人民郵電出版社，2010&

108、lt;/p><p>　　[8] 王相林. 組網技術與配置. 清華大學出版社，2009</p><p><b>　　致謝</b></p><p>　　這次畢業(yè)論文能夠得以順利完成，并非我一人之功勞，是所有指導過我的老師，幫助過我的同學，一直關心支持著我的朋友和家人對我的教誨、幫助和鼓勵的結果。我要在這里對他們表示深深的謝意！</p>&

109、lt;p>　　非常感謝xx老師在我大學的最后學習階段——畢業(yè)設計階段給我的指導。</p><p>　　感謝班主任xx老師，在工作之余指導我的學習與生活。</p><p>　　感謝我的家人，沒有你們，就沒有我的今天，你們的支持與鼓勵，永遠是支撐我前進的最大動力。</p><p>　　感謝身邊所有的朋友與同學，謝謝你們四年來的關照與寬容，與你們一起走過的繽紛時代，