2023年全國(guó)碩士研究生考試考研英語(yǔ)一試題真題(含答案詳解+作文范文)_第1頁(yè)
已閱讀1頁(yè),還剩30頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、<p><b>  1 需求分析1</b></p><p>  1.1 網(wǎng)絡(luò)平臺(tái)實(shí)現(xiàn)的功能1</p><p>  1.2 網(wǎng)絡(luò)平臺(tái)的特點(diǎn)1</p><p>  2 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)2</p><p>  2.1 網(wǎng)絡(luò)設(shè)計(jì)原則2</p><p>  2.2 網(wǎng)絡(luò)設(shè)計(jì)模型3</

2、p><p>  2.2.1 核心層3</p><p>  2.2.2 分布層4</p><p>  2.2.3 接入層4</p><p>  2.3 系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu)5</p><p>  3 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)及配置6</p><p>  3.1 交換模塊設(shè)計(jì)6</p>&l

3、t;p>  3.1.1 接入層交換服務(wù)的實(shí)現(xiàn)-配置接入層交換機(jī)6</p><p>  3.1.2 分布層交換服務(wù)的實(shí)現(xiàn)-配置分布層交換機(jī)10</p><p>  3.1.3 核心層交換服務(wù)的實(shí)現(xiàn)-配置核心層交換機(jī)15</p><p>  3.2 廣域網(wǎng)接入模塊設(shè)計(jì)17</p><p>  3.2.1 配置接入路由器Interne

4、tRouter的基本參數(shù)17</p><p>  3.2.2 配置接入路由器InternetRouter的各接口參數(shù)17</p><p>  3.2.3 配置接入路由器InternetRouter的路由功能18</p><p>  3.2.4 配置接入路由器InternetRouter上的NAT18</p><p>  3.2.5 設(shè)

5、置接入路由器InternetRouter上的ACL19</p><p>  3.3 遠(yuǎn)程訪問(wèn)設(shè)計(jì)和程訪問(wèn)模塊設(shè)21</p><p>  3.4 服務(wù)器模塊設(shè)計(jì)22</p><p><b>  4 系統(tǒng)總結(jié)23</b></p><p>  中小型企業(yè)網(wǎng)絡(luò)的構(gòu)建</p><p>  Netwo

6、rk Construction of small and Medium-sized Enterprises</p><p><b>  摘 要</b></p><p>  隨著現(xiàn)代科技的發(fā)展及計(jì)算機(jī)技術(shù)與通訊技術(shù)的結(jié)合,計(jì)算機(jī)幾乎成了每個(gè)企業(yè)的必備設(shè)備,超過(guò)一半的企業(yè)擁有自己的網(wǎng)絡(luò)。企業(yè)網(wǎng)絡(luò)不僅可以提供給我們一個(gè)現(xiàn)代化的高效、快捷、安全的辦公環(huán)境,還可以進(jìn)行高速的數(shù)據(jù)

7、傳輸和實(shí)現(xiàn)生產(chǎn)自動(dòng)化。</p><p>  本文根據(jù)網(wǎng)絡(luò)構(gòu)建的原則,從技術(shù)基礎(chǔ)、方案選擇、構(gòu)建方法等方面對(duì)組建一個(gè)中小型企業(yè)網(wǎng)絡(luò)進(jìn)行了分析,在此基礎(chǔ)上構(gòu)建了網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),并進(jìn)行了詳細(xì)的設(shè)計(jì)及配置,為一些類(lèi)似的企業(yè)公司的網(wǎng)絡(luò)建設(shè)提供了一個(gè)可供參考的模板。最后文章對(duì)網(wǎng)絡(luò)建設(shè)過(guò)程中的一些實(shí)踐經(jīng)驗(yàn)進(jìn)行了總結(jié)和討論。</p><p>  關(guān)鍵詞:網(wǎng)絡(luò);交換機(jī);路由器;服務(wù)器。</p>

8、<p><b>  Abstract</b></p><p>  With the development of modern technology and computer technology and communication technology combined with, the computer seems to have become essential equi

9、pment for each enterprise. More than half of enterprises have their own network. Enterprise network can not only provide us with a modern, efficient, fast and safe office environment, but also high-speed data transfer an

10、d production automation.字典</p><p>  According to the construction principles, the hardware and software of composing small and medium-sized enterprises networks are analyzed from the aspects such as technolo

11、gical base, Scheme selection and construction method. On the basis of above, the network topology is constructed. And carried out detailed design and configuration. It can be the reference pattern for similar instances.

12、Finally, the practical experience in the process of network construction is summarized and discussed.</p><p>  Key words: network; switch hub; router; server.</p><p><b>  1 需求分析1</b>

13、;</p><p>  1.1 網(wǎng)絡(luò)平臺(tái)實(shí)現(xiàn)的功能1</p><p>  1.2 網(wǎng)絡(luò)平臺(tái)的特點(diǎn)1</p><p>  2 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)2</p><p>  2.1 網(wǎng)絡(luò)設(shè)計(jì)原則2</p><p>  2.2 網(wǎng)絡(luò)設(shè)計(jì)模型3</p><p>  2.2.1 核心層3</p&g

14、t;<p>  2.2.2 分布層4</p><p>  2.2.3 接入層4</p><p>  2.3 系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu)5</p><p>  3 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)及配置6</p><p>  3.1 交換模塊設(shè)計(jì)6</p><p>  3.1.1 接入層交換服務(wù)的實(shí)現(xiàn)-配置接入層交換機(jī)6&

15、lt;/p><p>  3.1.2 分布層交換服務(wù)的實(shí)現(xiàn)-配置分布層交換機(jī)10</p><p>  3.1.3 核心層交換服務(wù)的實(shí)現(xiàn)-配置核心層交換機(jī)15</p><p>  3.2 廣域網(wǎng)接入模塊設(shè)計(jì)17</p><p>  3.2.1 配置接入路由器InternetRouter的基本參數(shù)17</p><p> 

16、 3.2.2 配置接入路由器InternetRouter的各接口參數(shù)17</p><p>  3.2.3 配置接入路由器InternetRouter的路由功能18</p><p>  3.2.4 配置接入路由器InternetRouter上的NAT18</p><p>  3.2.5 設(shè)置接入路由器InternetRouter上的ACL19</p>

17、;<p>  3.3 遠(yuǎn)程訪問(wèn)設(shè)計(jì)和程訪問(wèn)模塊設(shè)21</p><p>  3.4 服務(wù)器模塊設(shè)計(jì)22</p><p><b>  4 系統(tǒng)總結(jié)23</b></p><p><b>  需求分析</b></p><p><b>  網(wǎng)絡(luò)平臺(tái)實(shí)現(xiàn)的功能</b>&

18、lt;/p><p>  作為高速傳輸數(shù)據(jù)、高質(zhì)量通訊和自動(dòng)化管理的網(wǎng)絡(luò)平臺(tái),應(yīng)具有一下功能:</p><p>  1.實(shí)現(xiàn)企業(yè)內(nèi)資源共享,提供管理應(yīng)用系統(tǒng),實(shí)現(xiàn)企業(yè)辦公自動(dòng)化。</p><p>  2.接入Internet,共享網(wǎng)絡(luò)資源。</p><p>  3.企業(yè)擁有自己的IP地址和域名。</p><p>  4.建立

19、企業(yè)Email系統(tǒng)和內(nèi)部通訊系統(tǒng)。</p><p>  5.在公司主機(jī)上建立網(wǎng)站,提供對(duì)外宣傳的信息平臺(tái)。</p><p><b>  網(wǎng)絡(luò)平臺(tái)的特點(diǎn)</b></p><p>  網(wǎng)絡(luò)平臺(tái)是企業(yè)信息化的核心,要求具有高可靠性、高性能、良好可擴(kuò)展性以及端到端的QoS服務(wù)質(zhì)量保證。</p><p>  高可用性必須是一個(gè)端到

20、端的網(wǎng)絡(luò)目標(biāo)。網(wǎng)絡(luò)設(shè)備、服務(wù)器集群、操作系統(tǒng)及網(wǎng)絡(luò)接口卡必須作為一個(gè)統(tǒng)一的生態(tài)系統(tǒng)協(xié)同工作,以恢復(fù)任何服務(wù)器、鏈路或網(wǎng)絡(luò)設(shè)備的故障。</p><p>  在考慮設(shè)備硬件可靠性和連接鏈路冗余的同時(shí),應(yīng)關(guān)注網(wǎng)絡(luò)系統(tǒng)在不同層次上對(duì)系統(tǒng)可用性的軟件功能支持能力,另外容易被忽略的高可用性因素——統(tǒng)一的設(shè)備軟件操作平臺(tái)。如果不同設(shè)備采用不同的軟件系統(tǒng),兼容性、開(kāi)放性和可擴(kuò)展性都會(huì)受到影響。</p><p&

21、gt;  QoS(服務(wù)質(zhì)量保證)是保證向網(wǎng)絡(luò)業(yè)務(wù)提供有品質(zhì)的服務(wù)。它為網(wǎng)絡(luò)中的數(shù)據(jù)劃分優(yōu)先級(jí),對(duì)于某些數(shù)據(jù),如語(yǔ)音、視頻等,給予高的優(yōu)先級(jí),使他們?cè)诰W(wǎng)絡(luò)中優(yōu)先傳輸,來(lái)保證通話及視頻的質(zhì)量。在應(yīng)用系統(tǒng)較為簡(jiǎn)單的網(wǎng)絡(luò)發(fā)展的初期,常常被對(duì)應(yīng)于簡(jiǎn)單的概念,例如設(shè)備可以支持的隊(duì)列數(shù)量等。在網(wǎng)絡(luò)應(yīng)用日趨復(fù)雜的環(huán)境下,如何在有限的網(wǎng)絡(luò)資源里充分保障各類(lèi)應(yīng)用的實(shí)施,是一個(gè)非常復(fù)雜的問(wèn)題,實(shí)施QoS,是端到端的概念,不是單個(gè)設(shè)備的問(wèn)題,而是涉及整個(gè)園區(qū)網(wǎng)

22、、甚至跨廣域網(wǎng)的問(wèn)題。QoS的管理和部署可能需要涉及到不同城市、不同廠區(qū)、不同大樓的每一臺(tái)網(wǎng)絡(luò)設(shè)備,甚至每一個(gè)端口。因此,在選擇網(wǎng)絡(luò)設(shè)備和供應(yīng)商的時(shí)候,要擦亮眼睛看看供應(yīng)商的QoS能做到什么程度。</p><p><b>  網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)</b></p><p><b>  網(wǎng)絡(luò)設(shè)計(jì)原則</b></p><p>  開(kāi)放性

23、:系統(tǒng)設(shè)計(jì)應(yīng)采用開(kāi)放技術(shù)、開(kāi)放結(jié)構(gòu)、開(kāi)放系統(tǒng)組件和開(kāi)放用戶接口,以利于網(wǎng)絡(luò)的維護(hù)、擴(kuò)展升級(jí)及與外界信息的溝通。</p><p>  安全性:應(yīng)能在可靠性的前提下,抵擋來(lái)自?xún)?nèi)部和外部的攻擊;采用的安全措施有效、可信,能夠在多層次上、以多種方式實(shí)現(xiàn)安全的控制。</p><p>  可靠性:系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜,同時(shí)在部分子系統(tǒng)中存在較高的技術(shù)性,因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運(yùn)行,具有很

24、高的MTBF(平均無(wú)故障工作時(shí)間)和極低的MTBR(平均無(wú)故障率),提高容錯(cuò)設(shè)計(jì),支持故障檢測(cè)和恢復(fù),可管理性強(qiáng)。網(wǎng)絡(luò)必須是可靠的,包括網(wǎng)元級(jí)的可靠性,如引擎、風(fēng)扇、單板、總計(jì)等;以及網(wǎng)絡(luò)級(jí)的可靠性,如路由、交換的匯聚,鏈路冗余,負(fù)載均衡等。網(wǎng)絡(luò)必須具有足夠高的性能,滿足業(yè)務(wù)的需要。具有容錯(cuò)功能,能滿足企業(yè)所在地環(huán)境、氣候條件,抗干擾能力強(qiáng),對(duì)網(wǎng)絡(luò)的設(shè)計(jì)、選型、安裝、調(diào)試等各環(huán)節(jié)進(jìn)行統(tǒng)一規(guī)劃和分析,確保系統(tǒng)運(yùn)行可靠。</p>

25、<p>  統(tǒng)一性:在系統(tǒng)的設(shè)計(jì)過(guò)程中,堅(jiān)持“三統(tǒng)一”,即統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一出口。</p><p>  先進(jìn)性:在系統(tǒng)的選擇與開(kāi)發(fā)過(guò)程中,既能滿足當(dāng)前網(wǎng)絡(luò)的應(yīng)用需求,又可以在將來(lái)需要擴(kuò)展的時(shí)候,能方便地?cái)U(kuò)展,保護(hù)目前的所有投資;設(shè)計(jì)的配置可以靈活變通,以便適應(yīng)客戶的其他要求。</p><p>  經(jīng)濟(jì)性:在充分滿足以上要求的前提下,應(yīng)充分考慮到企業(yè)的經(jīng)濟(jì)承受能力,盡可能

26、地節(jié)約投資,花好每一分錢(qián)。著眼于近期目標(biāo)和長(zhǎng)期的發(fā)展,選用先進(jìn)的設(shè)備進(jìn)行最佳性能組合,利用有限的投資構(gòu)造一個(gè)性能最佳的網(wǎng)絡(luò)系統(tǒng)。</p><p>  實(shí)用性:實(shí)用性設(shè)計(jì)應(yīng)能滿足目前對(duì)網(wǎng)絡(luò)應(yīng)用的要求,充分實(shí)現(xiàn)內(nèi)部管理、信息化等要求,使網(wǎng)絡(luò)的整體性能盡快得到充分的發(fā)揮,并且便于掌握。</p><p>  標(biāo)準(zhǔn)化:網(wǎng)絡(luò)系統(tǒng)應(yīng)符合IEEE 802.3、IEEE 802.3u、IEEE 802.3z

27、等以太網(wǎng)標(biāo)準(zhǔn)和IEEE 802.1p、IEEE 802.1q、WBM等網(wǎng)絡(luò)管理標(biāo)準(zhǔn)。</p><p><b>  網(wǎng)絡(luò)設(shè)計(jì)模型</b></p><p>  在中型企業(yè)網(wǎng)的設(shè)計(jì)中,一般采用層次化模型來(lái)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。所謂“層次化”模型,就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成幾個(gè)層次,每個(gè)層次著重于某些特定的功能,這樣就能夠使一個(gè)復(fù)雜的大問(wèn)題變成許多簡(jiǎn)單的小問(wèn)題。</p>

28、<p>  “核心層-分布層-接入層”層次化網(wǎng)絡(luò)設(shè)計(jì)模型有如下優(yōu)點(diǎn): </p><p>  節(jié)省成本:在采用層次模型之后,各層次各司其職,不再在同一個(gè)平臺(tái)上考慮所有的事情。層次模型模塊化的特性使網(wǎng)絡(luò)中的每一層都能夠很好地利用帶寬,減少了對(duì)系統(tǒng)資源的浪費(fèi)。</p><p>  易于理解 :層次化設(shè)計(jì)使得網(wǎng)絡(luò)結(jié)構(gòu)清晰明了,可以在不同的層次實(shí)施不同難度的管理,降低了管理成本。 &l

29、t;/p><p>  易于擴(kuò)展 :在網(wǎng)絡(luò)設(shè)計(jì)中,模塊化具有的特性使得網(wǎng)絡(luò)增長(zhǎng)時(shí)網(wǎng)絡(luò)的復(fù)雜性能夠限制在子網(wǎng)中,而不會(huì)蔓延到網(wǎng)絡(luò)的其他地方。而如果采用扁平化和網(wǎng)狀設(shè)計(jì),任何一個(gè)節(jié)點(diǎn)的變動(dòng)都將對(duì)整個(gè)網(wǎng)絡(luò)產(chǎn)生很大影響。</p><p>  易于排錯(cuò):層次化設(shè)計(jì)能夠使網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分解為易于理解的子網(wǎng),網(wǎng)絡(luò)管理者能夠輕易地確定網(wǎng)絡(luò)故障的范圍,從而簡(jiǎn)化了排錯(cuò)過(guò)程。</p><p>&

30、lt;b>  核心層</b></p><p>  核心層將各分布層交換機(jī)互連起來(lái)進(jìn)行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。</p><p>  園區(qū)網(wǎng)的核心層連接所有的分布層設(shè)備,必須能夠盡可能高效地交換數(shù)據(jù)流。應(yīng)具有如下特征:</p><p>  第2層和第3層的吞吐量非常高;</p><p>  不執(zhí)行高成本或不必要的分組處理(

31、訪問(wèn)列表、分組過(guò)濾);</p><p>  支持高可用性的冗余和彈性;</p><p><b>  高級(jí)QoS功能。</b></p><p>  應(yīng)對(duì)園區(qū)網(wǎng)核心層中的設(shè)備進(jìn)行優(yōu)化,以提供高性能的第2層或第3層交換。由于核心層必須處理大量的園區(qū)網(wǎng)級(jí)數(shù)據(jù),因此核心層設(shè)計(jì)必須簡(jiǎn)單、高效。</p><p>  在本設(shè)計(jì)的核心層中

32、,采用兩臺(tái)Cisco Catalyst 4006交換機(jī)組成雙機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案。為提高核心-網(wǎng)絡(luò)的健壯性,實(shí)現(xiàn)鏈路的安全保障,本方案骨干核心層中可以采用VRRP(熱備用路由器協(xié)議)。對(duì)于各個(gè)業(yè)務(wù)VLAN可以指向這個(gè)虛擬的IP地址作為網(wǎng)關(guān),因此應(yīng)用VRRP技術(shù)為核心交換機(jī)提供一個(gè)可靠的網(wǎng)關(guān)地址,以實(shí)現(xiàn)在核心層核心交換機(jī)之間進(jìn)行設(shè)備的硬件冗余,一主兩備,共用一個(gè)虛擬的IP地址和MAC地址,通過(guò)內(nèi)部的協(xié)議傳輸機(jī)制可以自動(dòng)進(jìn)行工作

33、角色的切換。進(jìn)而雙引擎、雙電源的設(shè)計(jì)為網(wǎng)絡(luò)高效處理大集中數(shù)據(jù)提供了可靠的保障。</p><p><b>  分布層</b></p><p>  分布層將園區(qū)網(wǎng)的接入層和核心層連接起來(lái)。必須具備下述的功能:</p><p>  聚集多臺(tái)接入層設(shè)備;</p><p>  較高的第3層分組處理吞吐量;</p>&

34、lt;p>  使用訪問(wèn)列表和分組過(guò)濾器提供安全和基于策略的連接;</p><p><b>  QoS功能;</b></p><p>  連接到核心層和接入層的高速鏈接具有可擴(kuò)展性和彈性。</p><p>  在分布層中,來(lái)自接入層設(shè)備的上行鏈路被聚合在一起。分布層交換機(jī)必須能夠處理來(lái)自所有連接的設(shè)備的總流量。這些交換機(jī)必須擁有能提供高速鏈

35、路的端口密度,以支持所有接入層交換機(jī)。</p><p>  VLAN和廣播域在分布層聚合在一起,需要支持路由選擇、過(guò)濾和安全。該層的交換機(jī)還必須能夠執(zhí)行高吞吐量的多層交換。</p><p><b>  接入層</b></p><p>  接入層位于連接到網(wǎng)絡(luò)的最終用戶處。接入層交換機(jī)通常在用戶之間提供第2層(VLAN)連接性。該層設(shè)備有時(shí)被稱(chēng)為

36、大樓介入交換機(jī),必須具備下述功能:</p><p><b>  低交換機(jī)端口成本;</b></p><p><b>  高端口密度;</b></p><p>  連接到高層的可擴(kuò)展上行鏈路;</p><p>  用戶接入功能,如VLAN成員資格、數(shù)據(jù)流和協(xié)議過(guò)濾以及服務(wù)質(zhì)量(QoS);</p&

37、gt;<p>  使用多條上行鏈路提供彈性。</p><p><b>  系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu)</b></p><p>  為了實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一,本設(shè)計(jì)方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品,即Cisco公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的好處是可以實(shí)現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。</p><p>  該企業(yè)網(wǎng)設(shè)計(jì)方案主

38、要由以下四大部分構(gòu)成:交換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問(wèn)模塊、服務(wù)器群。</p><p>  網(wǎng)絡(luò)拓?fù)淙缦聢D所示:</p><p>  網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)及配置 </p><p>  這里我將使用思科的一款虛擬軟件(cisco packet tracer)完成配置,該軟件功能有限,一些配置并不能在該軟件上實(shí)現(xiàn)。以下配置截圖,皆來(lái)自該軟件。</p>&l

39、t;p><b>  交換模塊設(shè)計(jì)</b></p><p>  接入層交換服務(wù)的實(shí)現(xiàn)-配置接入層交換機(jī)</p><p>  接入層為所有的終端用戶提供一個(gè)接入點(diǎn)。這里的接入層交換機(jī)采用的是Cisco Catalyst 2950 24口交換機(jī)(WS-C2950-24)。交換機(jī)擁有24個(gè)10/100Mbps自適應(yīng)快速以太網(wǎng)端口,運(yùn)行的是Cisco的IOS操作系統(tǒng)?!?

40、lt;/p><p>  配置接入層交換機(jī)AccessSwitch1的基本參數(shù)</p><p>  (1)設(shè)置交換機(jī)名稱(chēng)</p><p>  設(shè)置交換機(jī)名稱(chēng),也就是出現(xiàn)在交換機(jī)CLI提示符中的名字。一般我們會(huì)以地理位置或行政劃分來(lái)為交換機(jī)命名。當(dāng)我們需要Telnet登錄到若干臺(tái)交換機(jī)以維護(hù)一個(gè)大型網(wǎng)絡(luò)時(shí),通過(guò)交換機(jī)名稱(chēng)提示符提示自己當(dāng)前配置交換機(jī)的位置是很有必要的。<

41、;/p><p>  其中h是hostname 的簡(jiǎn)寫(xiě),(在真實(shí)環(huán)境中也支持簡(jiǎn)寫(xiě))可以用該命令實(shí)現(xiàn)設(shè)備的重命名。</p><p> ?。?)設(shè)置交換機(jī)的加密使能口令</p><p>  加密口令為:enable secret +密碼。</p><p>  當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時(shí),需要提供此口令。此口令會(huì)以MD5的形式加密,因此

42、,當(dāng)用戶查看配置文件時(shí),無(wú)法看到明文形式的口令。</p><p>  (3)設(shè)置登錄虛擬終端線時(shí)的口令</p><p>  Line vty 0 15</p><p>  Password cisco</p><p><b>  Login</b></p><p>  Login 對(duì)這個(gè)配置很重要

43、,沒(méi)有他你就算配了密碼也無(wú)法登陸。</p><p>  對(duì)于一個(gè)已經(jīng)運(yùn)行著的交換網(wǎng)絡(luò)來(lái)說(shuō),交換機(jī)的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理人員提供了很多的方便。但是,處于安全考慮,在能夠遠(yuǎn)程管理交換機(jī)之前網(wǎng)絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機(jī)的口令。</p><p> ?。?)設(shè)置終端線超時(shí)時(shí)間</p><p>  為了安全考慮,可以設(shè)置終端線超時(shí)時(shí)間。在設(shè)置的時(shí)間內(nèi),如果沒(méi)有檢測(cè)到鍵盤(pán)

44、輸入,IOS將斷開(kāi)用戶和交換機(jī)之間的連接。這里設(shè)置的是5分30秒。</p><p>  (5)設(shè)置禁用IP地址解析特性</p><p>  在交換機(jī)默認(rèn)配置的情況下,當(dāng)我們輸入一條錯(cuò)誤的交換機(jī)命令時(shí),交換機(jī)會(huì)嘗試將其廣播給網(wǎng)絡(luò)上的DNS服務(wù)器并將其解析成對(duì)應(yīng)的IP地址。利用命令no ip domain-lookup。可以禁用這個(gè)特性</p><p> ?。?)設(shè)置啟

45、用消息同步特性</p><p>  有時(shí),用戶輸入的交換機(jī)配置命令會(huì)被交換機(jī)產(chǎn)生的消息打亂??梢允褂妹頻ogging synchronous設(shè)置交換機(jī)在下一行CLI提示符后復(fù)制用戶的輸入。</p><p>  配置接入層交換機(jī)AccessSwitch1的管理IP、默認(rèn)網(wǎng)關(guān)</p><p>  接入層交換機(jī)是OSI參考模型的第2層設(shè)備,即數(shù)據(jù)鏈路層的設(shè)備。因此,給接

46、入層交換機(jī)的每個(gè)端口設(shè)置IP地址是沒(méi)意義的。但是,為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到接入層交換機(jī)上進(jìn)行管理,必要給接入層交換機(jī)設(shè)置一個(gè)管理用IP地址。這種情況下,實(shí)際上是將交換機(jī)看成和PC機(jī)一樣的主機(jī)。</p><p>  給交換機(jī)設(shè)置管理用IP地址只能在VLAN1,即本征VLAN中進(jìn)行。</p><p>  為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī),還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān)地址.</

47、p><p>  配置接入層交換機(jī)AccessSwitch1的VTP</p><p>  從提高效率的角度出發(fā),在本企業(yè)網(wǎng)實(shí)現(xiàn)實(shí)例中使用了VTP技術(shù)。同時(shí),將分布層交換機(jī)DistributeSwitch1設(shè)置成為VTP服務(wù)器,其他交換機(jī)設(shè)置成為VTP客戶機(jī)。</p><p>  這里接入層交換機(jī)AccessSwitch1將通過(guò)VTP獲得在分布層交換機(jī)DistributeS

48、witch1中定義的所有VLAN的信息。</p><p>  設(shè)置接入層交換機(jī)AccessSwitch1成為VTP客戶機(jī)。</p><p>  圖中, ver是version的縮寫(xiě)。以后都將使用這些縮寫(xiě)。Vtp mode client命令設(shè)置該交換機(jī)為vtp的客戶機(jī)模式,vtp ver 2命令設(shè)置使用vtp的版本號(hào)為2。</p><p>  配置接入層交換機(jī)Acce

49、ssSwitch1端口基本參數(shù):端口速度</p><p>  可以設(shè)定某端口根據(jù)對(duì)端設(shè)備速度自動(dòng)調(diào)整本端口速度,也可以強(qiáng)制將端口速度設(shè)為10Mpbs或100Mbps。在了解對(duì)端設(shè)備速度的情況下,建議手動(dòng)設(shè)置端口速度。</p><p>  設(shè)置接入層交換機(jī)AccessSwitch1的所有端口(1-24)的速度均為100Mbps。</p><p>  int 是inte

50、rface的縮寫(xiě),是進(jìn)入某個(gè)接口的命令;r 為range 的縮寫(xiě),f為fastethernet(快速以太網(wǎng)接口)的縮寫(xiě),f0/1 -24 表示快速以太網(wǎng)的0/1-0/24共24個(gè)接口。</p><p>  配置接入層交換機(jī)AccessSwitch1的接入端口</p><p>  接入層交換機(jī)AccessSwitch1為終端用戶提供接入服務(wù)。接入層交換機(jī)AccessSwitch1為VLAN1

51、0提供接入服務(wù)。</p><p>  Swi為switchport的縮寫(xiě),mo為mode的縮寫(xiě),acc為access的縮寫(xiě)。用spanning-tree portfast來(lái)配置生成樹(shù)快速端口。</p><p>  (1)設(shè)置接入層交換機(jī)AccessSwitch1的端口1~22</p><p>  如圖所示,設(shè)置接入層交換機(jī)AccessSwitch1的端口1~端口24

52、工作在接入模式。同時(shí),設(shè)置端口1~端口22為VLAN 10的成員。</p><p><b>  (2)設(shè)置快速端口</b></p><p>  默認(rèn)情況下,交換機(jī)在剛加電啟動(dòng)時(shí),每個(gè)端口都要經(jīng)歷生成樹(shù)的四個(gè)階段:阻塞、偵聽(tīng)、學(xué)習(xí)、轉(zhuǎn)發(fā)。在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前,某個(gè)端口可能最多要等50秒鐘的時(shí)間(20秒的阻塞時(shí)間+15秒的偵聽(tīng)延遲時(shí)間+15秒的學(xué)習(xí)延遲時(shí)間)。<

53、;/p><p>  對(duì)于直接接入終端工作站的端口來(lái)說(shuō),用于阻塞和偵聽(tīng)的時(shí)間是不必要的。為了加速交換機(jī)端口狀態(tài)轉(zhuǎn)化時(shí)間,可以設(shè)置將某端口設(shè)置成為快速端口(Portfast)。設(shè)置為快速端口的端口當(dāng)交換機(jī)啟動(dòng)或端口有工作站接入時(shí),將會(huì)直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài),而不會(huì)經(jīng)歷阻塞、偵聽(tīng)、學(xué)習(xí)狀態(tài)(假設(shè)橋接表已經(jīng)建立)。</p><p>  配置接入層交換機(jī)AccessSwitch1的主干道端口</p>

54、;<p>  接入層交換機(jī)AccessSwitch1通過(guò)端口FastEthernet 0/23上連到分布層交換機(jī)DistributeSwitch1的端口FastEthernet 0/1。同時(shí),接入層交換機(jī)AccessSwitch1還通過(guò)端口FastEthernet 0/24上連到分布層交換機(jī)DistributeSwitch2的端口FastEthernet 0/1。</p><p>  這兩條上連鏈路

55、將成為主干道鏈路,在這兩條上連鏈路上將運(yùn)輸多個(gè)VLAN的數(shù)據(jù)。</p><p>  設(shè)置接入層交換機(jī)AccessSwitch1的端口FastEthernet 0/23、FastEthernet 0/24為主干道端口,即為配置這兩個(gè)端口的中繼。命令為switchport mode trunk</p><p>  配置接入層交換機(jī)AccessSwitch2、3、4、5</p>&

56、lt;p>  接入層交換機(jī)AccessSwitch2、3、4、5分別為VLAN 20、VLAN30、VLAN40、VLAN50的用戶提供接入服務(wù)。同時(shí),分別通過(guò)自己的FastEthernet 0/23 、FastEthernet 0/24上連到分布層交換機(jī)DistributeSwitch1、DistributeSwitch2的端口FastEthernet 0/2。</p><p>  對(duì)接入層交換機(jī)Acce

57、ssSwitch2、3、4、5的配置步驟、命令和對(duì)接入層交換機(jī)AccessSwitch1的配置類(lèi)似。</p><p>  分布層交換服務(wù)的實(shí)現(xiàn)-配置分布層交換機(jī)</p><p>  分布層除了負(fù)責(zé)將接入層交換機(jī)進(jìn)行匯集外,還為整個(gè)交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能。</p><p>  對(duì)分布層交換機(jī)DistributeSwitch1的基本參數(shù)的配置步驟與對(duì)接入層

58、交換機(jī)AccessSwitch1的基本參數(shù)的配置類(lèi)似。這里,只給出實(shí)際的配置。</p><p>  1.配置分布層交換機(jī)DistributeSwitch1的管理IP、默認(rèn)網(wǎng)關(guān)</p><p>  顯示了為分布層交換機(jī)DistributeSwitch1設(shè)置管理IP并激活本征VLAN。同時(shí),還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。</p><p>  add為address的縮寫(xiě); n

59、o sh 即為no shutdown,開(kāi)啟端口。</p><p>  2.配置分布層交換機(jī)DistributeSwitch1的VTP</p><p>  當(dāng)網(wǎng)絡(luò)中交換機(jī)數(shù)量很多時(shí),需要分別在每臺(tái)交換機(jī)上創(chuàng)建很多重復(fù)的VLAN。工作量很大、過(guò)程很繁瑣,并且容易出錯(cuò)。我們常采用VLAN中繼協(xié)議(Vlan Trunking Protocol,VTP)來(lái)解決這個(gè)問(wèn)題。</p><

60、;p>  VTP允許我們?cè)谝慌_(tái)交換機(jī)上創(chuàng)建所有的VLAN。然后,利用交換機(jī)之間的互相學(xué)習(xí)功能,將創(chuàng)建好的VLAN定義傳播到整個(gè)網(wǎng)絡(luò)中需要此VLAN定義的所有交換機(jī)上。同時(shí),有關(guān)VLAN的刪除、參數(shù)更改操作均可傳播到其他交換機(jī)。從而大大減輕了網(wǎng)絡(luò)管理人員配置交換機(jī)負(fù)擔(dān)。</p><p>  在本企業(yè)網(wǎng)實(shí)現(xiàn)實(shí)例中使用了VTP技術(shù)。同時(shí),將分布層交換機(jī)DistributeSwitch1設(shè)置成為VTP服務(wù)器,其他交

61、換機(jī)設(shè)置成為VTP客戶機(jī)。</p><p><b>  配置VTP管理域</b></p><p>  vtp domain cisco</p><p>  共享相同VLAN定義數(shù)據(jù)庫(kù)的交換機(jī)構(gòu)成一個(gè)VTP管理域。每一個(gè)VTP管理域都有一個(gè)共同的VTP管理域域名。不同VTP管理域的交換機(jī)之間不交換VTP通告信息。將VTP管理域的域名定義為“cis

62、co”。</p><p><b>  設(shè)置VTP服務(wù)器</b></p><p>  vtp mode server</p><p>  工作在VTP服務(wù)器模式下的交換機(jī)可以創(chuàng)建、刪除VLAN、修改VLAN參數(shù)。同時(shí),還有責(zé)任發(fā)送和轉(zhuǎn)發(fā)VLAN更新消息。</p><p><b>  激活VTP剪裁功能</b

63、></p><p>  vtp pruning</p><p>  默認(rèn)情況下主干道傳輸所有VLAN的用戶數(shù)據(jù)。有時(shí),交換網(wǎng)絡(luò)中某臺(tái)交換機(jī)的所有端口都屬于同一VLAN的成員,沒(méi)有必要接收其他VLAN的用戶數(shù)據(jù)。這時(shí),可以激活主干道上的VTP剪裁功能。當(dāng)激活了VTP剪裁功能以后,交換機(jī)將自動(dòng)剪裁本交換機(jī)沒(méi)有定義的VLAN數(shù)據(jù)。</p><p>  在一個(gè)VTP域

64、下,只需要在VTP服務(wù)器上激活VTP剪裁功能。同一VTP域下的所有其他交換機(jī)也將自動(dòng)激活VTP剪裁功能。</p><p>  下圖為該交換機(jī)的配置參數(shù):</p><p>  3.在分布層交換機(jī)DistributeSwitch1上定義VLAN</p><p>  在本企業(yè)網(wǎng)實(shí)現(xiàn)實(shí)例中,除了默認(rèn)的本征VLAN外,又定義了6個(gè)VLAN。</p><p&

65、gt;  由于使用了VTP技術(shù),所以所有VLAN的定義只需要在VTP服務(wù)器,即分布層交換機(jī)DistributeSwitch1上進(jìn)行。</p><p>  如圖所示,定義了6個(gè)VLAN,同時(shí)為每個(gè)VLAN命名。</p><p>  4.配置分布層交換機(jī)DistributeSwitch1的端口基本參數(shù)</p><p>  分布層交換機(jī)DistributeSwitch1的

66、端口FastEthernet 0/1~FastEthernet 0/5連到接入層交換機(jī)AccessSwitch1-5的端口FastEthernet 0/23,端口FastEthernet 0/10~FastEthernet 0/12為服務(wù)器群提供接入服務(wù)。此外,分布層交換機(jī)DistributeSwitch1還通過(guò)自己的千兆端口GigabitEthernet 1/1上連到核心交換機(jī)CoreSwitch1的GigabitEthernet 0

67、/1?!?lt;/p><p>  為了實(shí)現(xiàn)冗余設(shè)計(jì),分布層交換機(jī)DistributeSwitch1還通過(guò)自己的千兆端口GigabitEthernet 1/2連接另一臺(tái)到分布層交換機(jī)DistributeSwitch2的GigabitEthernet 1/2。</p><p>  給出了對(duì)所有訪問(wèn)端口、主干道端口的配置步驟和命令。</p><p>  設(shè)置分布層交換機(jī)Dis

68、tributeSwitch1的各端口參數(shù)</p><p>  其中,f0/1-f0/5,gi1/1,gi1/2都被配為中繼端口,端口f0/10-f0/12被劃分給VLAN 100。swi 為switchport的縮寫(xiě), acc為 access的縮寫(xiě), gi為 gigabitEthernet的縮寫(xiě),</p><p>  5.配置分布層交換機(jī)DistributeSwitch1的3層交換功能&l

69、t;/p><p>  分布層交換機(jī)DistributeSwitch1需要為網(wǎng)絡(luò)中的各個(gè)VLAN提供路由功能。這需要首先啟用分布層交換機(jī)的路由功能。</p><p>  接下來(lái),需要為每個(gè)VLAN定義自己的默認(rèn)網(wǎng)關(guān)地址,</p><p>  此外,還需要定義通往Internet的路由。這里使用了一條缺省路由命令,</p><p>  其中,下一跳地

70、址是Internet接入路由器的快速以太網(wǎng)接口FastEthernet 0/0的IP地址。6.配置分布層交換機(jī)DistributeSwitch2</p><p>  分布層交換機(jī)DistributeSwitch2的端口FastEthernet 0/1-5分別下連到接入層交換機(jī)AccessSwitch1-5的端口FastEthernet 0/24。</p><p>  此外,分布層交換機(jī)Di

71、stributeSwitch2還通過(guò)自己的千兆端口GigabitEthernet1/1上連到核心交換機(jī)CoreSwitch2的GigabitEthernet 0/1。</p><p>  對(duì)分布層交換機(jī)DistributeSwitch2的配置步驟、命令和對(duì)分布層交換機(jī)DistributeSwitch1的配置類(lèi)似。</p><p>  核心層交換服務(wù)的實(shí)現(xiàn)-配置核心層交換機(jī)</p>

72、;<p>  1.配置核心層交換機(jī)CoreSwitch1的基本參數(shù)</p><p>  對(duì)核心層交換機(jī)CoreSwitch1的基本參數(shù)的配置步驟與對(duì)接入層交換機(jī)AccessSwitch1的基本參數(shù)的配置類(lèi)似。這里,只給出實(shí)際的配置步驟,不再給出解釋。</p><p>  2.配置核心層交換機(jī)CoreSwitch1的管理IP、默認(rèn)網(wǎng)關(guān)</p><p> 

73、 如圖所示,顯示了為核心層交換機(jī)CoreSwitch1設(shè)置管理IP并激活本征VLAN。同時(shí),還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。</p><p>  3.配置核心層交換機(jī)CoreSwitch1的的VLAN及VTP</p><p>  在本實(shí)例中,核心層交換機(jī)CoreSwitch1也將作為VTP客戶機(jī)。</p><p>  這里核心層交換機(jī)CoreSwitch1將通過(guò)VTP獲得在

74、分布層交換機(jī)DistributeSwitch1中定義的所有VLAN的信息。</p><p>  完整命令為:vtp mode client</p><p>  4.配置核心層交換機(jī)CoreSwitch1的端口參數(shù)</p><p>  核心層交換機(jī)CoreSwitch1通過(guò)自己的端口FastEthernet 0/22同廣域網(wǎng)接入模塊(Internet路由器)相連。同時(shí)

75、,核心層交換機(jī)CoreSwitch1的端口GigabitEthernet 0/1~GigabitEthernet 0/2分別下連到接入層交換機(jī)DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 1/1。</p><p>  如圖所示,給出了對(duì)上述端口的配置命令。</p><p>  此外,為了提供主干道的吞吐量以及實(shí)現(xiàn)冗余設(shè)計(jì),在本設(shè)

76、計(jì)中,將核心層交換機(jī)CoreSwitch1的千兆端口GigabitEthernet 2/1、GigabitEthernet 2/2捆綁在一起實(shí)現(xiàn)2000Mbps的千兆以太網(wǎng)信道,然后再連接到另一臺(tái)核心層交換機(jī)CoreSwitch2。</p><p>  下面是設(shè)置核心層交換機(jī)CoreSwitch1的千兆以太網(wǎng)信道的步驟。</p><p>  5.配置核心層交換機(jī)CoreSwitch1的路由

77、功能</p><p>  核心層交換機(jī)CoreSwitch1通過(guò)端口FastEthernet 0/22同廣域網(wǎng)接入模塊(Internet路由器)相連。因此,需要啟用核心層交換機(jī)的路由功能。同時(shí),還需要定義通往Internet的路由。這里使用了一條缺省路由命令,如圖所示。其中,下一跳地址是Internet接入路由器的快速以太網(wǎng)接口FastEthernet 0/0的IP地址。</p><p>

78、  6.核心層交換機(jī)CoreSwitch2的配置</p><p>  核心層交換機(jī)CoreSwitch2的配置步驟、命令和對(duì)核心層交換機(jī)CoreSwitch1的配置類(lèi)似。這里,不再詳細(xì)分析。同時(shí),對(duì)于配置核心層交換機(jī)CoreSwitch2下連的一系列交換機(jī),其連接方法以及配置步驟和命令同核心層交換機(jī)CoreSwitch1下連的一系列交換機(jī)的連接方法以及配置步驟和命令類(lèi)似。這里,也不再贅述。</p>

79、<p><b>  廣域網(wǎng)接入模塊設(shè)計(jì)</b></p><p>  在本設(shè)計(jì)中,廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器InternetRouter來(lái)完成的。采用的是Cisco的2811路由器。它通過(guò)添加WIC-2T模塊上帶的串行接口serial 0/0使用DDN(128K)技術(shù)接入Internet。它的作用主要是在Internet和企業(yè)網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務(wù)外

80、,利用訪問(wèn)控制列表(Access Control List,ACL),廣域網(wǎng)接入路由器InternetRouter還可以用來(lái)完成以自身為中心的流量控制和過(guò)濾功能并實(shí)現(xiàn)一定的安全功能。</p><p>  配置接入路由器InternetRouter的基本參數(shù)</p><p>  對(duì)接入路由器InternetRouter的基本參數(shù)的配置步驟與對(duì)接入層交換機(jī)AccessSwitch1的基本參數(shù)的

81、配置類(lèi)似。</p><p>  配置接入路由器InternetRouter的各接口參數(shù)</p><p>  對(duì)接入路由器InternetRouter的各接口參數(shù)的配置主要是對(duì)接口FastEthernet 0/0以及接口Serial 0/0/0的IP地址、子網(wǎng)掩碼的配置。</p><p>  如圖2-3所示,顯示了為接入路由器InternetRouter的各接口設(shè)置I

82、P地址、子網(wǎng)掩碼。</p><p>  配置接入路由器InternetRouter的路由功能</p><p>  在接入路由器InternetRouter上需要定義兩個(gè)方向上的路由:到企業(yè)網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由。</p><p>  到Internet上的路由需要定義一條缺省路由,如圖所示。其中,下一跳指定從本路由器的接口serial 0

83、/0/0送出。</p><p>  到企業(yè)網(wǎng)內(nèi)部的路由條目可以經(jīng)過(guò)路由匯總后形成兩條路由條目。如圖所示。</p><p>  配置接入路由器InternetRouter上的NAT</p><p>  由于目前IP地址資源非常稀缺,對(duì)不可能給企業(yè)網(wǎng)內(nèi)部的所有工作站都分配一個(gè)公有IP(Internet可路由的)地址。為了解決所有工作站訪問(wèn)Internet的需要,必須使用

84、NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)。</p><p>  為了接入Internet,本企業(yè)網(wǎng)向當(dāng)?shù)豂SP申請(qǐng)了9個(gè)IP地址。其中一個(gè)IP地址:193.1.1.1被分配給了Internet接入路由器的串行接口,另外8個(gè)IP地址:202.206.222.1~202.206.222.8用作NAT。</p><p>  NAT的配置可以分為以下幾個(gè)步驟。</p><p>  (1)

85、定義NAT內(nèi)部、外部接口</p><p>  Ip nat inside 定義端口為內(nèi)部端口;</p><p>  Ip nat outside定義端口為外部端口。</p><p> ?。?)定義允許進(jìn)行NAT的內(nèi)部局部IP地址范圍</p><p><b>  內(nèi)部地址范圍為:</b></p><p&

86、gt;  192.168.0.1-192.168.0.254,……,192.168.7.1-192.168.7.254,192.168.100.1-192.168.100.254八個(gè)子網(wǎng)。</p><p> ?。?)為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換</p><p>  將服務(wù)器的內(nèi)部IP地址改為公有地址。</p><p>  為其他工作站定義動(dòng)態(tài)地址轉(zhuǎn)換</p>

87、<p>  將一個(gè)網(wǎng)絡(luò)中的所有需要轉(zhuǎn)換的私有地址用一個(gè)ACL來(lái)表示,再?gòu)腎SP注冊(cè)到的共有地址一個(gè)地址池來(lái)表示,最后再將ACL與地址池做動(dòng)態(tài)的轉(zhuǎn)換。</p><p>  將除服務(wù)器外的內(nèi)部IP隨機(jī)轉(zhuǎn)換為地址池內(nèi)的202.206.222.4 - 202.206.222.8的公有地址。Cisco為地址池名。</p><p>  設(shè)置接入路由器InternetRouter上的ACL

88、</p><p>  路由器是外網(wǎng)進(jìn)入企業(yè)網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡,是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問(wèn)控制列表(Access Control List,ACL)是保護(hù)內(nèi)網(wǎng)安全的有效手段。一個(gè)設(shè)計(jì)良好的訪問(wèn)控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用,還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間,是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時(shí)的第一道屏障,所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了

89、防火墻產(chǎn)品后,仍然有必要對(duì)路由器的訪問(wèn)控制列表進(jìn)行縝密的設(shè)計(jì),來(lái)對(duì)企業(yè)內(nèi)網(wǎng)包括防火墻本身實(shí)施保護(hù)。</p><p>  在網(wǎng)絡(luò)環(huán)境中還普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。在絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實(shí)現(xiàn)中它們都是應(yīng)該對(duì)外加以屏蔽的。主要應(yīng)該做以下的ACL設(shè)計(jì):</p><p>  (1)對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議,即SNMP。</p><p>  利用這個(gè)協(xié)議,遠(yuǎn)程

90、主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類(lèi)型:SNMP和SNMPTRAP。</p><p>  對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議SNMP:</p><p>  (2)對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議telnet</p><p>  首先,telnet是一種不安全的協(xié)議類(lèi)型。用戶在使用telnet登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時(shí)所使用的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?,很容易被網(wǎng)絡(luò)上的非

91、法協(xié)議分析設(shè)備截獲。其次,telnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和UNIX服務(wù)器,并可以使用相關(guān)命令完全操縱它們。這是極其危險(xiǎn)的,因此必須加以屏蔽。 </p><p>  對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議telnet:</p><p> ?。?)對(duì)外屏蔽其它不安全的協(xié)議或服務(wù)</p><p>  這樣的協(xié)議主要有SUN OS的文件共享協(xié)議端口2049,遠(yuǎn)程執(zhí)行(rsh)、遠(yuǎn)程登錄

92、(rlogin)和遠(yuǎn)程命令(rcmd)端口512、513、514,遠(yuǎn)程過(guò)程調(diào)用(SUNRPC)端口111??梢詫⑨槍?duì)以上協(xié)議綜合進(jìn)行設(shè)計(jì),如圖所示。</p><p>  (4)針對(duì)DoS攻擊的設(shè)計(jì)</p><p>  DoS攻擊(Denial of Service Attack,拒絕服務(wù)攻擊)是一種非常常見(jiàn)而且極具破壞力的攻擊手段,它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止,嚴(yán)重時(shí)會(huì)導(dǎo)致

93、服務(wù)器操作系統(tǒng)崩潰。</p><p> ?。?)保護(hù)路由器自身安全</p><p>  作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器,保護(hù)自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器,必須對(duì)路由器的訪問(wèn)位置加以限制。</p><p>  應(yīng)只允許來(lái)自服務(wù)器群的IP地址訪問(wèn)并配置路由器。這時(shí),可以使用ACCESS-CLASS命令進(jìn)行VTY訪問(wèn)控制。如圖所示</p>

94、;<p>  遠(yuǎn)程訪問(wèn)設(shè)計(jì)和程訪問(wèn)模塊設(shè)</p><p>  遠(yuǎn)程訪問(wèn)也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一。它可以為家庭辦公用戶和出差在外的員工提供移動(dòng)接入服務(wù)。</p><p>  遠(yuǎn)程訪問(wèn)有三種可選的服務(wù)類(lèi)型:專(zhuān)線連接、電路交換和包交換。不同的廣域網(wǎng)連接類(lèi)型提供的服務(wù)質(zhì)量不同,花費(fèi)也不相同。在本設(shè)計(jì)中,由于面對(duì)的用戶群規(guī)模、業(yè)務(wù)量較小,所以采用了異步撥號(hào)連接作為遠(yuǎn)程訪問(wèn)的技術(shù)手

95、段。</p><p>  異步撥號(hào)連接屬于電路交換類(lèi)型的廣域網(wǎng)連接,它是在傳統(tǒng)公共交換電話網(wǎng)(Public Switched Telephone Network,PSTN)上提供服務(wù)的。傳統(tǒng)PSTN提供的服務(wù)也被稱(chēng)為簡(jiǎn)易老式電話業(yè)務(wù)(Plan Old Telephone System,POTS)。因?yàn)槟壳按嬖谥罅堪惭b好的電話線,所以這樣的環(huán)境是最容易滿足的。因此,異步撥號(hào)連接也就成為最為方便和普遍的遠(yuǎn)程訪問(wèn)類(lèi)型

96、。</p><p>  廣域網(wǎng)連接可以采用不同類(lèi)型的封裝協(xié)議,如HDLC、PPP等。其中,PPP除了提供身份認(rèn)證功能外,還可以提供其他很多可選項(xiàng)配置,包括鏈路壓縮、多鏈路捆綁、回叫等,因此更具優(yōu)勢(shì)。也是本設(shè)計(jì)所采用的異步連接封裝協(xié)議。</p><p>  PPP提供了兩種可選的身份認(rèn)證方法:口令驗(yàn)證協(xié)議PAP(Password Authentication Protocol,PAP)和質(zhì)詢(xún)

97、握手協(xié)議(Challenge Handshake Authentication Protocol,CHAP)。</p><p>  PAP是一個(gè)簡(jiǎn)單的、實(shí)用的身份驗(yàn)證協(xié)議。PAP認(rèn)證進(jìn)程只在雙方的通信鏈路建立初期進(jìn)行。如果認(rèn)證成功,在通信過(guò)程中不再進(jìn)行認(rèn)證。如果認(rèn)證失敗,則直接釋放鏈路。</p><p>  CHAP認(rèn)證比PAP認(rèn)證更安全,因?yàn)镃HAP不在線路上發(fā)送明文密碼,而是發(fā)送經(jīng)過(guò)摘

98、要算法加工過(guò)的隨機(jī)序列,也被稱(chēng)為"挑戰(zhàn)字符串"。同時(shí),身份認(rèn)證可以隨時(shí)進(jìn)行,包括在雙方正常通信過(guò)程中。因此,非法用戶就算截獲并成功破解了一次密碼,此密碼也將在一段時(shí)間內(nèi)失效。</p><p>  CHAP對(duì)端系統(tǒng)要求很高,因?yàn)樾枰啻芜M(jìn)行身份質(zhì)詢(xún)、響應(yīng)。這需要耗費(fèi)較多的CPU資源,因此只用在對(duì)安全要求很高的場(chǎng)合。</p><p>  PAP雖然有著用戶名和密碼是明文發(fā)送

99、的弱點(diǎn),但是認(rèn)證只在鏈路建立初期進(jìn)行,因此節(jié)省了寶貴的鏈路帶寬。</p><p>  由于技術(shù)限制,這里就不進(jìn)行詳細(xì)的配置。同時(shí),模擬器上也將省略這個(gè)模塊。</p><p><b>  服務(wù)器模塊設(shè)計(jì)</b></p><p>  服務(wù)器模塊用來(lái)對(duì)企業(yè)網(wǎng)的接入用戶提供各種服務(wù)。在本設(shè)計(jì)方案中,所有的服務(wù)器被集中到VLAN 100構(gòu)成服務(wù)器群并通過(guò)

100、分布層交換機(jī)DistributeSwitch1的端口fastethernet 10~12接入企業(yè)網(wǎng)。</p><p>  企業(yè)網(wǎng)提供的常見(jiàn)的服務(wù)(服務(wù)器)包括:</p><p>  WEB服務(wù)器:提供WEB網(wǎng)站服務(wù)。</p><p>  內(nèi)部IP:192.168.100.1 外部IP:202.206.222.1</p><p>  郵件服務(wù)器

101、:提供郵件收發(fā)服務(wù)。</p><p>  內(nèi)部IP:192.168.100.2 外部IP:202.206.222.2</p><p>  數(shù)據(jù)庫(kù)服務(wù)器:提供各種數(shù)據(jù)庫(kù)服務(wù)。</p><p>  內(nèi)部IP:192.168.100.3 外部IP:202.206.222.3</p><p><b>  系統(tǒng)總結(jié)</b><

102、/p><p>  本文所構(gòu)建的網(wǎng)絡(luò)適合中小規(guī)模企業(yè),在此基礎(chǔ)上,適當(dāng)降低設(shè)備和系統(tǒng)配置,可以用在工作組級(jí)別的機(jī)構(gòu)上;而提高硬件和軟件系統(tǒng)的級(jí)別,也可以擴(kuò)充到大型企業(yè)級(jí)規(guī)模。然而,技術(shù)是網(wǎng)絡(luò)組建的主要考慮因素,但是網(wǎng)絡(luò)的構(gòu)建往往受到經(jīng)費(fèi)的制約,因此,高的性?xún)r(jià)比是決定的因素。此外,設(shè)備采購(gòu)方式、地方政策等多種非技術(shù)因素的影響,有時(shí)候也起著重要的作用,因此,網(wǎng)絡(luò)的構(gòu)建應(yīng)該綜合考慮各種約束條件。另外,在網(wǎng)絡(luò)設(shè)備的選擇中,重要

103、的經(jīng)驗(yàn)還有:</p><p><b>  ⑴ 廠家的品牌因素</b></p><p>  網(wǎng)絡(luò)的核心設(shè)備決定了整個(gè)系統(tǒng)的穩(wěn)定性,因此,廠商的口碑非常重要,如IBM、Cisco、Microsoft等,這些公司具備優(yōu)秀的產(chǎn)品性能、良好的售后服務(wù)、雄厚的研發(fā)實(shí)力等。</p><p><b>  ⑵ 整合成本</b></p&

104、gt;<p>  在網(wǎng)絡(luò)建設(shè)中,涉及到多種設(shè)備及系統(tǒng)軟件,正是因?yàn)榻M成部分的多元化,會(huì)帶來(lái)一系列的整合問(wèn)題,如高昂的維護(hù)成本、設(shè)備之間的兼容性問(wèn)題、設(shè)備之間速率的瓶頸等。因此,采用同一品牌的設(shè)備,有著明顯的優(yōu)勢(shì),如網(wǎng)絡(luò)核心構(gòu)架主要采用了Cisco的設(shè)備等。</p><p><b> ?、?普及度的影響</b></p><p>  移植成本、培訓(xùn)成本、管理

105、成本低,這是大眾化產(chǎn)品的優(yōu)勢(shì)。例如,我們?cè)谲浖到y(tǒng)上,主要采用了微軟的系統(tǒng)平臺(tái),在打印輸出設(shè)備上,主要采用HP的產(chǎn)品等。網(wǎng)絡(luò)的建設(shè)需要采取分步驟、分階段、分主次的設(shè)計(jì)實(shí)施思路;同時(shí),還需要重視管理的作用,尤其是管理制度在網(wǎng)絡(luò)運(yùn)營(yíng)中的作用。</p><p><b>  參考文獻(xiàn)</b></p><p>  [1] Steve McQuerry. CCNA 自學(xué)指南:Ci

106、sco 網(wǎng)絡(luò)設(shè)備互連.人民郵電出版社,2005</p><p>  [2] Diane Teare、 Catherine Paquet. 園區(qū)網(wǎng)絡(luò)設(shè)計(jì).人民郵電出版社,2007</p><p>  [3] Richard Deal. CCNA學(xué)習(xí)指南. 人民郵電出版社,2009</p><p>  [4] 崔北亮. CCNA學(xué)習(xí)與實(shí)驗(yàn)指南. 電子工業(yè)出版社,2010

107、</p><p>  [5] Kevin Wallace. CCNP TSHOOT 認(rèn)證考試指南. 人民郵電出版社,2010</p><p>  [6] Wendell Odom. CCNP ROUTE 認(rèn)證考試指南. 人民郵電出版社,2010</p><p>  [7] David Hucaby. CCNP SWITCH 認(rèn)證考試指南. 人民郵電出版社,2010&

108、lt;/p><p>  [8] 王相林. 組網(wǎng)技術(shù)與配置. 清華大學(xué)出版社,2009</p><p><b>  致謝</b></p><p>  這次畢業(yè)論文能夠得以順利完成,并非我一人之功勞,是所有指導(dǎo)過(guò)我的老師,幫助過(guò)我的同學(xué),一直關(guān)心支持著我的朋友和家人對(duì)我的教誨、幫助和鼓勵(lì)的結(jié)果。我要在這里對(duì)他們表示深深的謝意!</p>&

109、lt;p>  非常感謝xx老師在我大學(xué)的最后學(xué)習(xí)階段——畢業(yè)設(shè)計(jì)階段給我的指導(dǎo)。</p><p>  感謝班主任xx老師,在工作之余指導(dǎo)我的學(xué)習(xí)與生活。</p><p>  感謝我的家人,沒(méi)有你們,就沒(méi)有我的今天,你們的支持與鼓勵(lì),永遠(yuǎn)是支撐我前進(jìn)的最大動(dòng)力。</p><p>  感謝身邊所有的朋友與同學(xué),謝謝你們四年來(lái)的關(guān)照與寬容,與你們一起走過(guò)的繽紛時(shí)代,

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論