三級交換網絡的構建與實現畢業(yè)論文

1、<p><b>　　*****學院</b></p><p>　　畢 業(yè) 論 文（設 計）</p><p>　　論文（設計）題目：三級交換網絡的構建與實現</p><p>　　所屬系別 信息工程系 </p><p>　　專業(yè)班級 計算機網絡技術 </p>

2、<p>　　姓　　名 *** </p><p>　　學　　號 ********* </p><p>　　指導教師 *** </p><p>　　撰寫日期 2012 年 5 月</p><p><b>

3、　　摘 要</b></p><p>　　網絡技術的高速發(fā)展的今天，企業(yè)網絡的優(yōu)劣已經成為衡量企業(yè)競爭力的標準之一。針對我校整體的特點，本文介紹了一個行業(yè)專業(yè)網絡的整體設計方案。充分考慮到網絡的負載均衡和穩(wěn)定性能，所以本方案采用典型三層網絡結構。其中，匯聚層采用三臺設備，對接入層進行訪問控制。路由協議則是選擇安全性高、收斂速度快的OSPF協議。我們采用銳捷交換機帶寬聚合技術將多條物理線路捆綁為一條邏輯

4、鏈路，使其有更高帶寬。服務器群組則重點介紹了FTP、郵件服務器及WEB服務器等企業(yè)中較常用到的服務器的軟件選擇及搭建方法。對于網絡中可能存在的安全威脅，針對不同的需求，方案中提出了VLAN技術、訪問控制列表、防火墻技術以及VPN等安全解決方案，以求構建一個安全、高效、可靠的企業(yè)網絡。</p><p>　　關鍵詞：網絡層次化，虛擬局域網，安全，控制列表，防火墻</p><p><b&g

5、t;　　Abstract</b></p><p>　　As the high-speed development of the network technique, the quality of enterprise network has already become one of the standards that measure the competition ability of the e

6、nterprise. According to the characteristics of the whole school, this paper will introduce an overall design of professional network applying for enterprise. Seriously Considering the load balance and stability of the ne

7、twork, we adopt three layers structure in the design. Convergence Layer adopts three equipments to the ac</p><p>　　Key words: Hierarchical Network, Vlan, security,ACL, Firewall</p><p><b>　

8、　目 錄</b></p><p><b>　　1引言1</b></p><p><b>　　2 需求分析2</b></p><p>　　2.1 項目背景2</p><p>　　2.2 設計目標2</p><p>　　2.3 用戶現實要求3</p&

9、gt;<p><b>　　3網絡整體設計3</b></p><p>　　3.1 網絡拓撲3</p><p>　　3.2 網絡層次化設計3</p><p>　　3.2.1 核心層設計4</p><p>　　3.2.2 匯聚層設計4</p><p>　　3.2.3 接入層設計

10、5</p><p>　　3.2.4 路由協議選擇6</p><p>　　3.3 VLAN的劃分及IP地址規(guī)劃7</p><p>　　4各層相關配置信息7</p><p>　　4.1 IP地址規(guī)劃7</p><p><b>　　4.2相關配置8</b></p><p&g

11、t;　　4.2.1接入層基本配置信息8</p><p>　　4.2.2匯聚層基本配置信息8</p><p>　　4.2.3核心層基本配置信息9</p><p>　　4.2.4路由器RG-R1762基本配置信息10</p><p>　　4.2.5防火墻基本配置11</p><p>　　4.3路由配置信息13&

12、lt;/p><p>　　4.3.1 RG-S3550-24-1路由配置13</p><p>　　4.3.2 RG-S6806E路由配置13</p><p>　　4.3.3 路由器RG-R1762配置14</p><p>　　4.4安全配置信息14</p><p>　　4.4.1 接入層防病毒配置14</p&

13、gt;<p>　　4.4.2 匯聚層安全配置15</p><p>　　4.5防火墻安全策略15</p><p>　　4.6路由器的NAT配置19</p><p><b>　　5 總結20</b></p><p><b>　　參考文獻21</b></p><

14、p><b>　　致 謝22</b></p><p><b>　　1引言</b></p><p>　　現代網絡及其復雜，對企業(yè)的成功尤為關鍵。隨著組織程序持續(xù)增加帶寬、可靠性和功能要求，網絡設計人員面臨著快速構建和改進網絡，使用新協議和技術的挑戰(zhàn)。網絡設計人員還面臨著適應互聯網行業(yè)的持續(xù)和快速變化的挑戰(zhàn)。現代組織環(huán)境中的網絡操作人員和設計人

15、員需要設計健壯、可靠、可擴展的網絡。</p><p>　　網絡是IT基礎設施，隨著IT技術的發(fā)展和應用的普及，在廣度和深度上不斷擴展和加強，已滲透到各行各業(yè)和不同領域，從大型企業(yè)網到中小型企業(yè)網、從電信網絡到行業(yè)網絡、從研究型網絡到應用型網絡，基于IP的網絡部署和網絡應用快速發(fā)展。網絡建設開始于網絡規(guī)劃和設計，同時，網絡規(guī)劃與設計也是網絡建設過程中最重要的環(huán)節(jié)。良好的網絡規(guī)劃與設計是保證網絡快速、穩(wěn)定、安全運行的

16、基礎和關鍵。網絡規(guī)劃與設計的不完善和不合理會導致許多問題，例如：網絡基礎設施不能滿足網絡應用的需求，網絡建設和運行成本過高，網絡投資大于網絡的收益，由于網絡結構的不靈活性、可擴展性差而阻礙整個網絡和網絡業(yè)務的發(fā)展等。</p><p>　　開放式網絡體系結構和網絡協議的標準化使得在技術上實現網絡互聯并不難，但是規(guī)劃和設計一個適應復雜環(huán)境、綜合各種因素、滿足用戶需求的網絡卻不是一件容易的事情。有些情況是從無到有規(guī)劃設

17、計一個全新的網絡，而有些時候則需要在現有的網絡基礎設施里融進新的技術、擴展網絡規(guī)模以適應網絡上的新應用或業(yè)務發(fā)展。網絡規(guī)劃與設計必須滿足用戶的網絡建設需求，沒有一種網絡規(guī)劃與設計方案可以適合所有的網絡。網絡技術和網絡應用發(fā)展日新月異，網絡規(guī)劃與設計方法和技術也越來越復雜，更新越來越快；網絡設計工具往往功能單一而且很容易過時；網絡協議的多樣化和復雜化也增加了網絡設計的技術難度和復雜性；在Internet時代，各種組織或企業(yè)不得不基于IP技

18、術組建網絡。盡管IP技術發(fā)展迅速，但IP網絡固有的缺陷仍然使得構建高校、高性能、高安全、高可靠性的網絡不能成為一件輕松、容易的事情。因此，網絡規(guī)劃與設計是一項高技術含量、高層次而且具有很強的工程性的工作。除了要求網絡設計人員或網絡工程師系統掌握網絡互連的基礎理論和相關技術外，還需要了解網絡規(guī)劃與設計流程，清楚流程中每一個階段的任務，掌握設計內容以及設計原則、設計方法等[1]。</p><p><b>　

19、　2 需求分析</b></p><p><b>　　2.1 項目背景</b></p><p>　　XX校園是一所有悠久歷史的高等院校，學校有中心機房，科技樓、行政樓、教學樓、教工樓、職工宿舍6棟樓需要聯網，上網人數大約規(guī)劃為300人左右，所有PC機都采用TCP/IP協議，經一級交換機互連到一起，各樓的交換機出口通過光纖上行連到網絡中心的三層交換機，進入鄭州

20、市城域網。</p><p><b>　　2.2 設計目標</b></p><p>　　除保證可靠性、安全性、先進性和開放性原則外，要遵循：</p><p>　　實用性原則：建設設計網絡系統的出發(fā)點是基于學校目前和將來發(fā)展的需要，具有很強的實用性。應實現各部門、各層次信息查詢與管理工作的科學化、規(guī)范化，并在用戶發(fā)展的基礎上，不斷地擴充和完善。&l

21、t;/p><p>　　經濟性原則：投資合理,有良好的性能價格比。還要注意到由于邏輯上業(yè)務網和管理網必須分開，所以建成后企業(yè)網應能提供多個網段的劃分和隔離，并能做到靈活改變配置，以適應企業(yè)辦公環(huán)境的調整和改變，即VLAN的整體劃分。</p><p>　　考慮到校內數據的重要性、保密性，為了保證校內網絡順利運行，保證網絡的不間斷運行，網絡平臺應具有以下一些特點：</p><p&

22、gt;　　高可靠性——網絡系統的穩(wěn)定可靠是應用系統正常運行的關鍵保證，在設計中選用高可靠性網絡產品，合理設計網絡架構，制定可靠的網絡備份策略，保證網絡具有故障自愈的能力，最大限度地支持各個系統的正常運行。</p><p>　　高性能——承載網絡性能是網絡通訊系統良好運行的基礎，設計中必須保障網絡及設備的高吞吐能力，保障各種信息（數據、語音、圖像）的高質量傳輸。</p><p>　　標準開放

23、性——支持國際上通用標準的網絡協議、國際標準的大型的動態(tài)路由協議等開放協議，有利于保證與其他網絡（如公共數據網、行內其他網絡）之間的平滑連接互通，以及將來網絡的擴展。</p><p>　　靈活性及可擴展性——根據未來業(yè)務的增長和變化，網絡可以平滑地擴充和升級，最大程度的減少對網絡架構和設備的調整。</p><p>　　可管理性——對網絡實行集中監(jiān)測、分權管理、并統一分配帶寬資源。選用先進的

24、網絡管理平臺，具有對設備、端口等的管理、流量統計分析，及可提供故障自動報警。</p><p>　　安全性——制訂統一的骨干網安全策略，整體考慮網絡平臺的安全性[2]。</p><p>　　2.3 用戶現實要求</p><p>　?。?） 實現學校內部資源共享，即文件服務器，但是對不同的資源要有相應的權限。</p><p>　?。?）滿足校內日

25、常的教學，及資料數據的傳輸和存儲。</p><p>　?。?）院校各部門可以通過即時通信軟件聯系，建立公司郵件服務器。</p><p><b>　　（4）打印機共享。</b></p><p>　?。?）公司內部要網絡接入Internet。</p><p>　?。?）架設院校web服務器，發(fā)布院校網站。</p>

26、<p>　?。?）為保證安全，Internet 與公司內部網絡間應采用防護措施，防止外界對內部網絡未經授權的訪問[3]。</p><p><b>　　3網絡整體設計</b></p><p><b>　　3.1 網絡拓撲</b></p><p>　　計算機網絡的組成元素可以分為兩大類，即網絡節(jié)點（又可分為端節(jié)點

27、和轉發(fā)節(jié)點）和通信鏈路，網絡中節(jié)點的互聯模式叫網絡的拓撲結構。網絡拓撲定義了網絡中資源的鏈接方式，局域網中常用的拓撲結構有：總線型結構、環(huán)形結構、星型結構。</p><p>　　考慮到學校的分布情況我們這里采用形形拓撲結構，星型拓撲結構是由通過點到點鏈路接到中央節(jié)點的各站點組成的。星型網絡中有一個唯一的轉發(fā)節(jié)點（中央節(jié)點），每一臺計算機都通過單獨的通信線路連接到中央節(jié)點。</p><p>

28、　　在星型拓撲中利用中央節(jié)點可方便地提供服務和重新配置網絡；單個連接點故障只會影響故障點連接的一個設備，不會影響全網，容易監(jiān)測隔離故障、便于維護；任何一個連接只涉及到中央節(jié)點和一個站點，控制介質訪問的方法很簡單、從而訪問協議也十分簡單[4]。</p><p>　　3.2 網絡層次化設計</p><p>　　網絡的設計模型主要包括層次化設計模型和非層次化設計模型兩種。隨著網絡技術的迅速發(fā)展和

29、網上應用量的增長，非層次化的網絡設計已經不適合當今企業(yè)的網絡應用，由于非層次化網絡沒有適當的規(guī)劃，網絡最終會發(fā)展成為非結構的形式，這樣當網絡設備之間相互通信時，設備上的CPU必然會承擔相當大的負載，不利于網絡的運行和發(fā)展，當大量的數據在網絡中傳輸時，容易引起線路擁堵甚至網絡的癱瘓。所以我們選擇層次化的網絡設計。</p><p>　　多層設計模塊化的網絡容量可隨著日后網絡節(jié)點的增加而不斷增大。多層次網絡有很大的確定

30、性，因此在運行和擴展過程中進行故障查找和排除非常簡單。多層模式使網絡的移植更為簡單易行，因為它保留著基于路由器和交換機的網絡原有的尋址方案，對以往的網絡有很好的兼容性。另外分層結構也能夠對網絡的故障進行很好的隔離。</p><p>　　針對實際情況我們采用典型的三層結構模型，即核心層、分布層（匯聚層）、接入層。每個層次有不同的功能。核心層作為整個網絡系統的核心，起主要的功能是高速、可靠的進行數據交換。分布層主要進

31、行接入層的數據流量匯聚，并對數據流量進行訪問控制。接入層主要提供最終用戶接入網絡的途徑。主要進行VLAN的劃分、與分布層的連接等。</p><p>　　3.2.1 核心層設計</p><p>　　網絡核心層（設在中心機房）是網絡的中心，其功能是實現高性能的交換和傳輸。因此核心層設備應該是高性能的交換機，可實現高速度的交換傳輸，以連接服務器等核心設備；并且非?？煽?，實現不間斷工作。所以我們選

32、擇使用一臺RG-S6806E多業(yè)務萬兆路由交換機高性能、高可靠性、高可用性是我們主要考慮的因素。本區(qū)的安全性可以由邊界防火墻提供，如果有需要，還可以在6806上面部署安全策略，使得核心交換區(qū)的安全性進一步的增強。</p><p>　　RG-S6806E系列憑借眾多智能服務將控制擴展到網絡邊緣，其中包括現金的服務質量（QoS）、支持流量控制（Flow Control），支持端口鏡像（Port Mirror），支持I

33、GMP偵聽（Snooping），生成樹協議支持，ACL訪問控制支持、802.1x認證支持、MAC綁定與過濾支持、背板帶寬可擴展1.6T、6個模塊化插槽（2個用于管理引擎模塊）、交換容量達400G、路由表項256K。銳捷網絡的模塊化架構、介質靈活性和可擴展性減少了重復運營開支，提高了投資回報（ROI），從而在延長部署壽命的同時降低了擁有成本。可為中型企業(yè)提供價格合理、易于使用的可擴展性、創(chuàng)新安全性、集成可靠性和靈活性。</p>

34、<p>　　3.2.2 匯聚層設計</p><p>　　匯聚層主要進行接入層的數據流量匯聚，并對數據流量進行訪問控制。包括訪問控制列表、VLAN路由等等。這里采用三臺銳捷RG-S3550-24作為匯聚交換機。保證網絡的高可用性和穩(wěn)定性，避免單臺核心設備的負載太重導致網絡性能問題。</p><p>　　RG-S3550系列交換機是一個創(chuàng)新的產品系列，它結合世界領先的易用性和高冗

35、余性，有效的提升了堆疊式交換機在局域網中的工作效率。該系列交換機硬件支持2至4層的多層線速交換，提供二到七層的智能的流分類和完善的服務質量（QoS）以及組播管理特性，支持完善的高性能路由協議，并可以實施靈活多樣的ACL訪問控制策略。可通過SNMP、Telnet、Web和Console口等多種方式提供豐富的管理。RG-S3550系列交換機為各類型網絡提供線速多層交換、完善的端到端的服務質量，豐富的安全設置和基于策略的網絡管理，最大化滿足高

36、速、安全、智能的企業(yè)網新需求。此系列交換機具有以下特性：</p><p>　　1.高性能多層交換；</p><p>　　2.完備的安全控制；</p><p>　　3.豐富的組播特性；</p><p>　　4.完善的QoS策略。</p><p>　　3.2.3 接入層設計</p><p>　　接入

37、層主要提供最終用戶接入網絡的途徑。主要是進行VLAN的劃分、與分布層的連接等。這里接入層交換機采用銳捷RG-S2126/S2150 系列智能以太網交換機以千兆以太鏈路和匯聚交換機相連接，并為用戶終端提供10/100M 自適應的接入，從而形成千兆為骨干，百兆到桌面的以太網三層結構。辦公系統所需的各種服務器如FTP服務器、郵件服務器、DHCP 服務器等組成服務器群，連接到匯聚交換機的千兆模塊上面,因此，內部的局域網采用三層結構組建[5]。&

38、lt;/p><p>　　網絡總體拓撲如圖如（3-1）</p><p>　　圖3-1 網絡綜合拓撲</p><p>　　3.2.4 路由協議選擇</p><p>　　為達到路由快速收斂、尋址以及方便網絡管理員管理的目的，我們采用動態(tài)路由協議，目前較好的動態(tài)路由協議是OSPF 協議，OSPF 以協議標準化強，支持廠家多，受到廣泛應用?？紤]網絡的擴展

39、性、數據資源的保護等原因，我們選擇OSPF 路由協議。</p><p>　　OSPF 協議采用鏈路狀態(tài)協議算法，每個路由器維護一個相同的鏈路狀態(tài)數據庫，保存整個AS 的拓撲結構（AS 不劃分情況下）。一旦每個路由器有了完整的鏈路狀態(tài)數據庫，該路由器就可以自己為根，構造最短路徑樹，然后再根據最短路徑構造路由表。對于大型的網絡，為了進一步減少路由協議通信流量，利于管理和計算。OSPF將整個AS 劃分為若干個區(qū)域，區(qū)域

40、內的路由器維護一個相同的鏈路狀態(tài)數據庫，保存該區(qū)域的拓撲結構。OSPF 路由器相互間交換信息，但交換的信息不是路由，而是鏈路狀態(tài)。OSPF 定義了5 種分組：Hello分組用于建立和維護連接；數據庫描述分組初始化路由器的網絡拓撲數據庫；當發(fā)現數據庫中的某部分信息已經過時后，路由器發(fā)送鏈路狀態(tài)請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來主動擴散自己的鏈路狀態(tài)數據庫或對鏈路狀態(tài)請求分組進行響應；由于OSPF 直接運行在IP

41、層，協議本身要提供確認機制，鏈路狀態(tài)應答分組是對鏈路狀態(tài)更新分組進行確認。</p><p>　　相對于其它協議，OSPF 有許多優(yōu)點。OSPF 支持各種不同鑒別機制，并且允許各個系統或區(qū)域采用互不相同的鑒別機制；提供負載均衡功能，如果計算出到某個目的站有若干條費用相同的路由，OSPF 路由器會把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送出去；在一個自治系統內可劃分出若干個區(qū)域，每個區(qū)域根據自己的拓撲

42、結構計算最短路徑，這減少了OSPF 路由實現的工作量；OSPF 屬動態(tài)的自適應協議，對于網絡的拓撲結構變化可以迅速地做出反應，進行相應調整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協議相比，OSPF在對網絡拓撲變化的處理過程中僅需要最少的通信流量；OSPF 提供點到多點接口。</p><p>　　公司現有網絡規(guī)劃為area0，內部網絡設備都規(guī)劃為area0。后期若有分支機構各區(qū)域接入路由器根據區(qū)域不同使

43、用動態(tài)協議，或者使用靜態(tài)路由與動態(tài)路由結合的方式[6]。</p><p>　　3.3 VLAN的劃分及IP地址規(guī)劃</p><p>　　VLAN的劃分一般有三種方法，一是基于端口、二是基于MAC地址、最后是基于路由的劃分。在這里我們采用基于端口的劃分，把一個或者多個交換機上的端口放到一個VLAN內，這個方法是最簡單最有效的，網絡管理人員只需要對網絡設備的交換端口進行分配即可，不用考慮端口所

44、連接的設備。</p><p>　　IP地址是TCP/IP協議族中的網絡層邏輯地址，它被用來唯一地標示網絡中的一個節(jié)點。IP地址空間的分配，要與網絡層次結構相適應，既要有效的利用地址空間，又要體現網絡的可擴展性和靈活性，同時能滿足路由協議的要求，提高路由算法的效率，加快路由變化的收斂速度。</p><p>　　根據校園聯網的情況，每個部門劃分為一個VLAN，各部門分別屬于不同的網段，各部門之

45、間在邏輯上被隔離，但是各部門間的通訊，可根據需要對匯聚層交換機進行配置來實現[7]。</p><p><b>　　4各層相關配置信息</b></p><p>　　4.1 IP地址規(guī)劃及整體拓撲圖</p><p><b>　　IP地址規(guī)劃如下：</b></p><p><b>　　4.2相關

46、配置</b></p><p>　　4.2.1接入層基本配置信息</p><p>　　主要是創(chuàng)建VLAN，將端口加入VLAN，A區(qū)vlan創(chuàng)建命令如下：</p><p>　　Switch(config)#vlan 1</p><p>　　Switch(config-vlan)#exit</p><p>　　S

47、witch(config)#interface range fa 0/1-24</p><p>　　Switch(config-if-range)#switchport access vlan 1</p><p>　　說明：B區(qū)、C區(qū)配置同上。</p><p>　　4.2.2匯聚層基本配置信息</p><p>　　創(chuàng)建VLAN，分配IP，命令

48、如下：</p><p>　　Switch(config)#vlan 1</p><p>　　Switch(config-vlan)#exit</p><p>　　Switch(config)#vlan 2</p><p>　　Switch(config-vlan)#exit</p><p>　　Switch(confi

49、g)#vlan 10</p><p>　　Switch(config-vlan)#exit \\創(chuàng)建vlan信息</p><p>　　Switch(config)#interface fa 0/1</p><p>　　Switch(config-if)#switch access vlan 1</p><p>　　Switch(c

50、onfig-if)#exit</p><p>　　Switch(config)#interface fa 0/2</p><p>　　Switch(config-if)#switch access vlan 2</p><p>　　Switch(config-if)#exit</p><p>　　Switch(config)#interfac

51、e fa 0/10</p><p>　　Switch(config-if)#switch access vlan 10</p><p>　　Switch(config-if)#exit \\將端口加入vlan</p><p>　　Switch(config)#interface vlan 1</p><p>　　Switch(c

52、onfig-if)#ip address 192.168.11.1 255.255.255.0</p><p>　　Switch(config-if)#no shutdown</p><p>　　Switch(config-if)#exit</p><p>　　Switch(config)#interface vlan 2</p><p>　

53、　Switch(config-if)#ip address 192.168.12.1 255.255.255.0</p><p>　　Switch(config-if)#no shutdown</p><p>　　Switch(config-if)#exit</p><p>　　Switch(config)#interface vlan 10</p>

54、<p>　　Switch(config-if)#ip address 192.168.6.1 255.255.255.0</p><p>　　Switch(config-if)#no shutdown</p><p>　　Switch(config-if)#exit \\配置VLAN IP</p><p>　　4.2.3核心層基本配置信息<

55、/p><p>　　進行接入層的數據流量匯聚，并對數據流量進行訪問控制。配置命令如下：</p><p>　　switch(config)#vlan 10</p><p>　　switch(config-vlan)#exit</p><p>　　switch(config)#vlan 11</p><p>　　switch(c

56、onfig-vlan)#exit</p><p>　　switch(config)#vlan 24</p><p>　　switch(config-vlan)#exit \\ 創(chuàng)建vlan</p><p>　　switch(config)#interface range fa 0/10-12</p><p>　　switc

57、h(config-if-range)#switch access vlan 10</p><p>　　switch(config-if)#exit</p><p>　　switch(config)#interface fa 0/13</p><p>　　switch(config-if)#switch access vlan 11</p><p

58、>　　switch(config-if)#exit</p><p>　　switch(config)#interface fa 0/24</p><p>　　switch(config-if)#switch access vlan 24</p><p>　　switch(config-if)#exit \\分配端口</p>

59、<p>　　switch(config)#interface vlan 10</p><p>　　switch(config-if)#ip address 192.168.6.2 255.255.255.0</p><p>　　switch(config-if)#no shutdown</p><p>　　switch(config-if)#exit<

60、;/p><p>　　switch(config)#interface vlan 11</p><p>　　switch(config-if)#ip address 192.168.1.11 255.255.255.0</p><p>　　switch(config-if)#no shutdown</p><p>　　switch(config-i

61、f)#exit</p><p>　　switch(config)#interface vlan 24</p><p>　　switch(config-if)#ip address 192.168.24.1 255.255.255.0</p><p>　　switch(config-if)#no shutdown</p><p>　　switc

62、h(config-if)#exit \\分配vlan IP</p><p>　　4.2.4路由器RG-R1762基本配置信息</p><p><b>　　基本配置命令如下：</b></p><p>　　Red-Giant>enable </p><p>　　Red-Giant#config termin

63、al</p><p>　　Red-Giant#interface fa 1/0</p><p>　　Red-Giant(config-if)#ip address 192.168.1.12 255.255.255.0</p><p>　　Red-Giant(config-if)#no shutdown</p><p>　　Red-Giant(

64、config-if)#exit</p><p>　　Red-Giant(config)#interface serial 1/2</p><p>　　Red-Giant(config-if)#ip address WAN IP </p><p>　　Red-Giant(config-if)#no shutdown[8]</p><p>　　

65、4.2.5防火墻基本配置</p><p>　　1．登錄防火墻，打開管理IP地址功能如圖 4-1。</p><p>　　圖4-1 管理IP功能圖</p><p>　　2．設置防火墻的管理地址為192.168.1.2/24和192.168.1.3/24，如圖4-2。</p><p>　　圖4-2 管理地址圖</p><p&

66、gt;　　3．設置防火墻的工作模式為：網橋模式，如圖4-3、4-3、4-5、4-6。</p><p>　　圖4-3 網橋模式圖</p><p>　　圖4-4 轉換界面圖</p><p>　　圖4-5 確定轉換圖</p><p><b>　　圖4-6 完成</b></p><p><b

67、>　　4.3路由配置信息</b></p><p>　　4.3.1 RG-S3550-24-1路由配置</p><p><b>　　命令如下：</b></p><p>　　Switch(config)#ip routing</p><p>　　Switch(config)#ip route 0.0.0.0

68、 0.0.0.0 192.168.6.2</p><p>　　Switch(config)#show ip route </p><p>　　4.3.2 RG-S6806E路由配置</p><p><b>　　命令如下：</b></p><p>　　Switch(config)#ip routing</p>

69、<p>　　Switch(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.12</p><p>　　Switch(config)#ip route 192.168.11.0 255.255.255.0 192.168.6.1</p><p>　　Switch(config)#ip route 192.168.12.0 255.255.255

70、.0 192.168.6.1</p><p>　　Switch(config)#ip route 192.168.13.0 255.255.255.0 192.168.6.1</p><p>　　Switch(config)#ip route 192.168.14.0 255.255.255.0 192.168.6.1</p><p>　　Switch(config

71、)#ip route 192.168.15.0 255.255.255.0 192.168.6.1</p><p>　　Switch(config)#ip route 192.168.16.0 255.255.255.0 192.168.6.1</p><p>　　4.3.3 路由器RG-R1762配置</p><p>　　Red-Giant（config）# ip

72、 route 192.168.11.0 255.255.255.0 192.168.1.11</p><p>　　Red-Giant（config）# ip route 192.168.12.0 255.255.255.0 192.168.1.11</p><p>　　Red-Giant（config）# ip route 192.168.13.0 255.255.255.0 192.16

73、8.1.11</p><p>　　Red-Giant（config）# ip route 192.168.14.0 255.255.255.0 192.168.1.11</p><p>　　Red-Giant（config）# ip route 192.168.15.0 255.255.255.0 192.168.1.11</p><p>　　Red-Giant（c

74、onfig）# ip route 192.168.16.0 255.255.255.0 192.168.1.11[9]</p><p><b>　　4.4安全配置信息</b></p><p>　　4.4.1 接入層防病毒配置</p><p>　　RG-2126G(config)# ip access-list extended deny_wor

75、ms</p><p>　　RG-2126G(config-ext-nacl)# deny tcp any any eq 135</p><p>　　RG-2126G(config-ext-nacl)# deny tcp any any eq 136</p><p>　　RG-2126G(config-ext-nacl)# deny tcp any any

76、 eq 137</p><p>　　RG-2126G(config-ext-nacl)# deny tcp any any eq 138</p><p>　　RG-2126G(config-ext-nacl)# deny tcp any any eq 139</p><p>　　RG-2126G(config-ext-nacl)# deny tcp any

77、 any eq 445</p><p>　　RG-2126G(config-ext-nacl)# deny udp any any eq 135</p><p>　　RG-2126G(config-ext-nacl)# deny udp any any eq 136</p><p>　　RG-2126G(config-ext-nacl)# deny ud

78、p any any eq netbios-ns</p><p>　　RG-2126G(config-ext-nacl)# deny udp any any eq netbios-dgm</p><p>　　RG-2126G(config-ext-nacl)# deny udp any any eq netbios-ss</p><p>　　RG-2126G

79、(config-ext-nacl)# deny udp any any eq 445</p><p>　　RG-2126G(config-ext-nacl)# permit ip any any</p><p>　　RG-2126G(config-ext-nacl)#exi</p><p>　　RG-2126G(config)#inter range fa

80、0/1-24</p><p>　　RG-2126G(config-if-range)#ip access-group deny_worms in</p><p>　　說明：B,C區(qū)RG-2126G，RG-S2150配置同上。</p><p>　　4.4.2 匯聚層安全配置</p><p>　　Switch(config)# ip access

81、-list extended deny_ftp</p><p>　　Switch(config-ext-nacl)# deny tcp 192.168.11.0 0.0.0.255 192.168.24.0 0.0.0.255 eq ftp</p><p>　　Switch(config-ext-nacl)# deny tcp 192.168.11.0 0.0.0.255 192.168.

82、24.0 0.0.0.255 eq ftp-data</p><p>　　Switch(config-ext-nacl)# permit ip any any</p><p>　　Switch(config-ext-nacl)#end[10]</p><p>　　4.5防火墻安全策略</p><p><b>　　1．登錄防火墻。&l

83、t;/b></p><p>　　2．選擇“策略”→“服務”選項。</p><p>　　圖 4-7 防火墻管理策略圖</p><p>　　圖 4-8 服務選項</p><p>　　3．在服務中添加服務名稱，并在服務名稱中指定相關協議與接口。</p><p>　　圖4-9 添加指定協議、接口</p>

84、<p>　　4．添加多個規(guī)則，并且加入到服務組中(服務組名稱可在“服務組”選項中設定)。</p><p>　　圖4-10 添加多個規(guī)則</p><p><b>　　5．規(guī)則添加完畢。</b></p><p>　　圖4-11 添加完畢</p><p>　　6．在“策略”→“規(guī)則”選項中將服務與源地址及目標

85、地址關聯。</p><p>　　圖4-12 關聯服務與地址</p><p>　　圖 4-13關聯服務與地址</p><p>　　7．將訪問規(guī)則中定義的接口的所有源到所有目的的動作指定為拒絕，可在允許、拒絕、拒絕（ICMP）拒絕（重設）這4個選項中，點選第二項(拒絕)。</p><p>　　圖4-14 指定動作</p><

86、;p>　　4.6路由器的NAT配置</p><p>　　Red-Giant(config)#access-list 1 permit 192.168.11.0 0.0.0.255</p><p>　　Red-Giant (config)#access-list 1 permit 192.168.12.0 0.0.0.255</p><p>　　Red-Gian

87、t (config)#int fa 1/0</p><p>　　Red-Giant (config-if)#ip nat inside</p><p>　　Red-Giant (config-if)#exit</p><p>　　Red-Giant (config)#int s1/2</p><p>　　Red-Giant (config-i

88、f)#ip nat outside</p><p>　　Red-Giant (config-if)#exit</p><p>　　Red-Giant (config)#ip nat inside source list 1 interface serial 1/2 overload[11]</p><p><b>　　5 總結</b></

89、p><p>　　本文根據一個校園網絡的特定要求做的一個合理的網絡解決方案。其中應用了現今企業(yè)網絡中較為常用的主流技術。網絡整體采用的是銳捷三層架構，這個結構的優(yōu)點是穩(wěn)定性好、設備負載均衡、易擴展，并且網絡故障排查也比較容易。核心層和匯聚層都用兩臺設備，既平衡設備負載又防止機器故障致使網絡癱瘓。校內的網絡最重要的是在網絡安全方面，所以在本方案中我們用vlan技術和ACL技術作為內部網絡的安全策略，主要是防止學校內部的非

90、授權訪問。而在內部網絡與Internet之間我們則采用硬件防火墻將兩部分網絡隔離開，設置策略只允許合法的數據進出，各種網絡安全技術相結合，使得網絡更安全可靠。</p><p><b>　　參考文獻</b></p><p>　　[1]郭銳, 企業(yè)內部網規(guī)劃分析, 信息技術與信息化, 2005</p><p>　　[2]方國洪，金紅. 淺談如何構建

91、安全的企業(yè)網絡. 2010.2</p><p>　　[3]Addison Wesley.Firwalls and Internet Security:Repelling the Wily Hacker.Professional Computing.2000</p><p>　　[4]熊琦. 深入淺出談防火墻技術. 科協論壇(下半月),2007.3:31-32</p><

92、p>　　[5]Emilie Lundin Edand Jonsson. Anomaly-based intrustion detection:privacy concerns and other problems[J]. Computer Networks.2000,34(2):623-640.</p><p>　　[6]萬錦華.電力企業(yè)網絡信息安全的防范措施討論.科技與生活,2010年第一期</p&

93、gt;<p>　　[7][美] Richard tibbs，Edward oakes. 防火墻與VPN—原理與實踐.北京:清華大學出版社,2008</p><p>　　[8][美] vijay. Ipsec vpn 設計. 北京:人民郵電出版社,2006</p><p>　　[9]李強.三網融合,前景幾何[J].中國報道,2010(03)</p><p&g

94、t;　　[10]張宗府.有線網絡跨區(qū)域整合有望加快[J].中國記者.2009(10)</p><p>　　[11]杜詩露.網絡電視：念占三網合一的制高點[J].當代電視,2009(11)</p><p><b>　　致 謝</b></p><p>　　在我的指導老師***老師精心的指導下，我順利完成了論文的設計，隨著論文的完成，代表著三年的大學