小型企業(yè)局域網(wǎng)的設計畢業(yè)設計

1、<p><b>　　摘要</b></p><p>　　本設計方案是關于小型企業(yè)局域網(wǎng)的設計，設計方案分為兩個模塊：交換模塊和路由器模塊。</p><p>　　根據(jù)各部門職能不同把交換模塊劃分為不同的兩個VLAN，從而減少了廣播沖突提高了傳輸效率，通過部署ACL限制用戶的訪問，有效地保護敏感數(shù)據(jù)，提高了網(wǎng)絡安全性。借助交換機的路由功能，可以實現(xiàn)各VLAN間數(shù)據(jù)

2、包高速轉發(fā)，解決VLAN之間的傳輸瓶頸。</p><p>　　Internet接入功能主要通過路由器來實現(xiàn)，它的作用主要是建立外網(wǎng)和企業(yè)網(wǎng)的正常通信。使企業(yè)網(wǎng)的用戶訪問Internet同時Internet用戶能在一定程度上訪問企業(yè)網(wǎng)。通過配置NAT(Net Address Translation)，不僅是企業(yè)網(wǎng)用戶可以訪問Internet，而且對外隱藏企業(yè)網(wǎng)內部地址，從而實現(xiàn)地址保護。</p>&l

3、t;p>　　交換機的主要功能包括物理編址、網(wǎng)絡拓撲結構、錯誤校驗、幀序列以及流控。目前交換機還具備了一些新的功能，如對VLAN（虛擬局域網(wǎng)）的支持、對鏈路匯聚的支持，甚至有的還具有防火墻的功能，極大地提高了辦公效率，同時免去了高昂的專線租用費用。</p><p>　　關鍵字：企業(yè)局域網(wǎng)、VLAN劃分、網(wǎng)絡地址轉換、訪問控制</p><p><b>　　Abstract<

4、;/b></p><p>　　This design is the design of the small enterprise local area network (LAN), the design scheme is divided into two modules: exchange and router module. </p><p>　　According to dif

5、ferent functions of departments to exchange module is divided into two different VLAN, to improve the transmission efficiency, thereby reducing the broadcast conflict by deploying ACL restrict user access, effectively pr

6、otecting sensitive data, improve the network security. Using switch routing function, can realize high speed packet forwarding among different VLAN, solve the transmission bottleneck between vlans. </p><p>　

7、　Mainly through the router to Internet access function, its role is mainly to establish the network and enterprise network normal communication. Make the enterprise network users access to the Internet at the same time,

8、Internet users can access to enterprise network to some extent. Configured NAT (.net Address Translation), not only is the enterprise network users can access the Internet, internal and external hidden Intranet Address,

9、thus Address protection is achieved. </p><p>　　The main function of switches, including physical addressing, network topology, error checking, frames, and flow control. Current switch also has some new featu

10、res, such as support for VLAN (virtual local area network (LAN), support for link together, or even some still have the function of the firewall, greatly improve the office efficiency, was relieved from the high line ren

11、tal fee at the same time. </p><p>　　Keywords : Enterprise LAN, VLAN, NAT,ACL</p><p><b>　　目錄</b></p><p><b>　　摘要I</b></p><p>　　AbstractII</p&

12、gt;<p><b>　　目錄IV</b></p><p><b>　　前言1</b></p><p>　　第一章 技術可行性和需求分析3</p><p>　　1.1 技術可行性3</p><p>　　1.1.1 NAT技術3</p><p>　　1.

13、1.2 VLAN技術5</p><p>　　1.1.3 DHCP技術5</p><p>　　1.1.4 ACL技術6</p><p>　　1.1.5 PPP協(xié)議7</p><p>　　1.1.6 VTP技術7</p><p>　　1.1.7 STP技術8</p><p>　　1.1.

14、8 動態(tài)/靜態(tài)路由協(xié)議9</p><p>　　1.2 需求分析10</p><p>　　1.2.1 帶寬性能需求10</p><p>　　1.2.2 網(wǎng)絡安全需求10</p><p>　　1.2.3 應用服務需求10</p><p>　　1.3 設計所需環(huán)境11</p><p>　　

15、1.3.1 硬件要求11</p><p>　　第二章 系統(tǒng)設計方案12</p><p>　　2.1 系統(tǒng)設計原則12</p><p>　　2.1.1 實用性12</p><p>　　2.1.2 安全性12</p><p>　　2.1.3 可擴充性12</p><p>　　2.1.4

16、可管理性13</p><p>　　2.1.5 高性能價格比13</p><p>　　2.2 網(wǎng)絡設備選型13</p><p>　　2.3 系統(tǒng)總體設計和拓撲結構14</p><p>　　2.3.1 系統(tǒng)總體設計方案15</p><p>　　2.3.2 各設備的IP地址配置16</p><

17、p>　　第三章 路由器模塊18</p><p>　　3.1 路由器配置18</p><p>　　3.1.1 IP地址配置18</p><p>　　3.1.2 Web服務器的配置22</p><p>　　3.2 配置設備的遠程登錄和密碼保護及DHCP24</p><p>　　3.2.1 配置設備的遠程登錄

18、和密碼保護24</p><p>　　3.2.2 DHCP的配置24</p><p>　　3.3 路由協(xié)議26</p><p>　　3.3.1 OSPF協(xié)議26</p><p>　　3.3.2 PPP協(xié)議27</p><p>　　3.3.3 PPP協(xié)議驗證28</p><p>　　3.

19、4 配置NAT29</p><p>　　第四章 交換機模塊31</p><p>　　4.1 交換機基本參數(shù)配置31</p><p>　　4.1.1 SW1的配置31</p><p>　　4.1.2 SW2的配置32</p><p>　　4.2 配置VTP協(xié)議33</p><p>　　

20、4.2.1 SW1的配置33</p><p>　　4.2.2 SW2的配置34</p><p>　　4.2.3 驗證VTP配置35</p><p>　　4.3 VLAN劃分35</p><p>　　4.3.1 交換機VLAN配置35</p><p>　　4.3.2 配置VLAN間路由37</p>

21、<p>　　4.3.3 配置STP協(xié)議39</p><p>　　4.4 配置ACL42</p><p>　　第五章 配置驗證44</p><p>　　5.1 DHCP自動分配驗證44</p><p>　　5.2 路由協(xié)議配置檢驗44</p><p>　　5.3 NAT的驗證45</p&g

22、t;<p><b>　　總結48</b></p><p><b>　　參考文獻49</b></p><p><b>　　致謝50</b></p><p><b>　　前言</b></p><p>　　信息化浪潮風起云涌的今天，企業(yè)的業(yè)務

23、已經(jīng)全面電子化，與Internet的聯(lián)系相當緊密，所以他們需要良好的信息平臺去支撐業(yè)務的高速發(fā)展。沒有信息技術背景的企業(yè)也將會對網(wǎng)絡建設有主動訴求。任何決策的科學性和可靠性都是以信息為基礎的，信息和決策是同一管理過程中的兩個方面，因此行業(yè)信息化也就成了人們所討論并實踐著的重要課題。公司內部網(wǎng)絡的建設已經(jīng)成為提升企業(yè)核心競爭力的關鍵因素。公司網(wǎng)已經(jīng)越來越多地被人們提到，利用網(wǎng)絡技術，現(xiàn)代企業(yè)可以在客戶、合作伙伴、員工之間實現(xiàn)優(yōu)化的信息溝通

24、，公司網(wǎng)絡的優(yōu)劣直接關系到公司能否獲得關鍵的競爭優(yōu)勢。眾多行業(yè)巨擘紛紛上馬各種應用方案且取得了巨大的成功，這使信息化建設更具吸引力。</p><p>　　在現(xiàn)在企業(yè)中，普遍存在資金不足、信息基礎薄弱、技術人員匱乏等特點，使得他們不能有效地將自身傳統(tǒng)業(yè)務與信息系統(tǒng)很好的結合起來，以至于常常會出現(xiàn)投入不見效的情況。究其原因，在于企業(yè)信息化觀念不夠，信息系統(tǒng)沒有總體設計原則，信息化建設缺乏規(guī)劃，致使企業(yè)協(xié)同運作存在障礙

25、，運營成本居高不下。作為企業(yè)的局域網(wǎng)，它不僅可以為企業(yè)提供高效的辦公環(huán)境，還可以實現(xiàn)硬件資源和軟件資源的共享從而節(jié)省了企業(yè)大量開支，又便于集中管理和提高工作效率。其次企業(yè)局域網(wǎng)要實現(xiàn)內部網(wǎng)絡與外部網(wǎng)絡的連接，從而極大的方便了企業(yè)和外界的溝通，這樣不僅可以降低企業(yè)的生產(chǎn)成本，也可以實現(xiàn)異地辦公。企業(yè)用戶可以方便地傳輸各類數(shù)據(jù)，開展各類網(wǎng)絡應用。</p><p>　　隨著我國計算機網(wǎng)絡技術尤其是Internet技術的

26、高速發(fā)展，加快對企業(yè)局域網(wǎng)建設迫在眉睫。因此構建一個“安全可靠、性能卓越、管理方便”的企業(yè)局域網(wǎng)，已經(jīng)成為企業(yè)信息化建設成功的關鍵基石。</p><p>　　本課題的設計需要綜合運用各種知識來完成本課題，不僅可以使我進一步掌握計算機網(wǎng)絡原理、熟悉企業(yè)局域網(wǎng)的設計搭建，而且可以增強了我的自學能力和動手能力。</p><p>　　技術可行性和需求分析</p><p>&

27、lt;b>　　技術可行性</b></p><p><b>　　NAT技術</b></p><p>　　隨著Internet的迅速發(fā)展，IP地址短缺已經(jīng)成為一個十分突出的問題。為了解決這個問題，出現(xiàn)了多種解決方案，而NAT（Network Address Translation 網(wǎng)絡地址轉換）是目前網(wǎng)絡環(huán)境中比較有效的方法。</p>&l

28、t;p><b>　　1）什么是NAT</b></p><p>　　NAT提供了連接互聯(lián)網(wǎng)的一種簡單方式，并且通過隱藏內部網(wǎng)絡地址的手段為用戶提供了安全保護。內部用戶連接互聯(lián)網(wǎng)時，NAT將用戶的內部網(wǎng)絡IP地址轉換成一個外部公共IP地址，并在NAT地址轉換表中記錄下這個轉換項；當外部網(wǎng)絡數(shù)據(jù)返回時，NAT技術查詢NAT地址轉換項，將目標IP地址替換成初始的內部用戶的IP地址，報數(shù)據(jù)包轉發(fā)

29、給內部網(wǎng)絡用戶。由于這樣對外隱藏了內部網(wǎng)絡的IP地址，因此，外部用戶無法直接發(fā)起到內部網(wǎng)絡的連接，從而保護了內部網(wǎng)絡用戶。</p><p>　　2）NAT的優(yōu)點和缺點</p><p><b>　?。?）NAT的優(yōu)點</b></p><p>　　NAT節(jié)省了公共地址：一個企業(yè)申請的合法IP地址很少，而內部網(wǎng)絡用戶很多，可以通過NAT功能實現(xiàn)多個用

30、戶同時公用一個合法IP地址與外部網(wǎng)絡進行通信。</p><p>　　NAT允許內部網(wǎng)絡編址的一致性：如果一個單位沒有使用私有地址和NAT，當公有地址發(fā)生變化時，要改變公司內的所有主機IP地址，工作量巨大。如果采用了NAT只更改NAT設備的IP地址池配置，內部網(wǎng)絡的編址不受影響。這意味著，一個單位可以更換ISP而不需要改變內部主機的IP地址。</p><p>　　NAT增加了連接到公網(wǎng)的彈性

31、：可以使用多地址池、備份池、負載均衡池，確?？煽康墓W(wǎng)連接。</p><p>　　NAT提高了內部網(wǎng)絡的安全：一個企業(yè)不想讓外部網(wǎng)絡用戶知道自己內部網(wǎng)絡的結構，可以通過NAT將內部網(wǎng)絡與外部Internet隔離開，則外部用戶根本不知道通過NAT的內部IP地址。NAT雖然能提高內部網(wǎng)絡的安全，但無法取代防火墻。</p><p>　　（2） NAT的缺點</p><p&g

32、t;　　NAT影響性能：轉換每一個包頭中的IP地址需要時間，NAT增加了交換延時。路由器必須檢查每一個包來決定是否需要轉換，路由器需要轉換IP頭，有時還需要轉換TCP或UDP頭部。</p><p>　　NAT缺乏對一些應用的支持：很多Imternet協(xié)議和應用依賴于端到端的應用，包從源到目的地不能被修改。通過修改端到端的地址，NAT阻止了一些應用，比如一些安全應用，如數(shù)字簽名就會失敗，因為數(shù)據(jù)包中源IP地址發(fā)生了

33、變化。</p><p>　　NAT不利于追蹤：經(jīng)過多次NAT，端到端的追蹤變得非常困難。另外，因為NAT的存在，也很難追蹤或獲得黑客使用的真是IP地址。</p><p>　　NAT使一些隧道協(xié)議變得復雜：因為NAT修改了包頭中的值，給IPSec或其他隧道協(xié)議的完整性帶來困難。</p><p><b>　　VLAN技術</b></p>

34、<p>　　VLAN（虛擬局域網(wǎng)）是對連接到的第二層交換機端口的網(wǎng)絡用戶的邏輯分段，不受網(wǎng)絡用戶的物理位置限制而根據(jù)用戶需求進行網(wǎng)絡分段。一個VLAN可以在一個交換機或者跨交換機實現(xiàn)。VLAN可以根據(jù)網(wǎng)絡用戶的位置、作用、部門或者根據(jù)網(wǎng)絡用戶所使用的應用程序和協(xié)議來進行分組?；诮粨Q機的虛擬局域網(wǎng)能夠為局域網(wǎng)解決沖突域、廣播域、帶寬問題。</p><p>　　傳統(tǒng)的共享介質的以太網(wǎng)和交換式的以太網(wǎng)中

35、，所有的用戶在同一個廣播域中，會引起網(wǎng)絡性能的下降，浪費可貴的帶寬；而且對廣播風暴的控制和網(wǎng)絡安全只能在第三層的路由器上實現(xiàn)。</p><p>　　VLAN相當于OSI參考模型的第二層的廣播域，能夠將廣播風暴控制在一個VLAN內部，劃分VLAN后，由于廣播域的縮小，網(wǎng)絡中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡的性能得到顯著的提高。不同的VLAN之間的數(shù)據(jù)傳輸是通過第三層（網(wǎng)絡層）的路由來實現(xiàn)的，因此使用VLAN技

36、術，結合數(shù)據(jù)鏈路層和網(wǎng)絡層的交換設備可搭建安全可靠的網(wǎng)絡。網(wǎng)絡管理員通過控制交換機的每一個端口來控制網(wǎng)絡用戶對網(wǎng)絡資源的訪問，同時VLAN和第三層第四層的交換結合使用能夠為網(wǎng)絡提供較好的安全措施。</p><p>　　另外，VLAN具有靈活性和可擴張性等特點，方便于網(wǎng)絡維護和管理，這兩個特點正是現(xiàn)代局域網(wǎng)設計必須實現(xiàn)的兩個基本目標，在局域網(wǎng)中有效利用虛擬局域網(wǎng)技術能夠提高網(wǎng)絡運行效率。</p>&l

37、t;p><b>　　DHCP技術</b></p><p>　　DHCP 是 Dynamic Host Configuration Protocol(動態(tài)主機配置協(xié)議）縮寫，它的前身是BOOTP。BOOTP 原本是用于無磁盤主機連接的網(wǎng)絡上面的：網(wǎng)絡主機使用 BOOT ROM 而不是磁盤啟動并連接上網(wǎng)絡，BOOTP則可以自動地為那些主機設定 TCP/IP 環(huán)境。但 BOOTP 有一個缺點

38、：您在設定前須事先獲得客戶端的硬件地址，而且與 IP 的對應是靜態(tài)的。換而言之，BOOTP 非常缺乏 "動態(tài)性" ，若在有限的IP資源環(huán)境中，BOOTP 的一一對應會造成非常嚴重的資源浪費。DHCP 可以說是 BOOTP 的增強版本，它分為兩個部份：一個是服務器端，而另一個是客戶端。所有的 IP 網(wǎng)絡設定數(shù)據(jù)都由 DHCP服務器集中管理，并負責處理客戶端的 DHCP 要求；而客戶端則會使用從服務器分配下來的IP環(huán)境數(shù)

39、據(jù)。使用DHCP，整個計算機的配置文件都可以在一條信息中獲得（除了IP地址，服務器可以同時發(fā)送子網(wǎng)掩碼、缺省網(wǎng)關、DNS服務器和其他的TCP/IP配置）。比較起 BOOTP ，DHCP 透過 "租約" 的概念，有效且動態(tài)的分配客戶端的 TCP/IP 設定</p><p><b>　　ACL技術</b></p><p>　　訪問控制列表（Access

40、 Control List，ACL） 是路由器和交換機接口的指令列表，用來控制端口進出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關系、條件和查詢語句，表只是一個框架結構，其目的是為了對某種訪問進行控制。</p><p>　　ACL可以用作控制和過濾流經(jīng)路由器端口的數(shù)據(jù)包的工具。通過使用ACL，路由器提供了基本的數(shù)據(jù)流過濾能力。ACL具有下列作用：</p&

41、gt;<p>　　1）限制網(wǎng)絡流量，提高網(wǎng)絡性能</p><p><b>　　2）提供數(shù)據(jù)流控制</b></p><p>　　3）為網(wǎng)絡訪問提供基本的安全層</p><p>　　4）決定轉發(fā)或者阻止哪些類型的數(shù)據(jù)流</p><p><b>　　PPP協(xié)議</b></p>

42、<p>　　點對點協(xié)議（PPP）為在點對點連接上傳輸多協(xié)議數(shù)據(jù)包提供了一個標準方法。PPP 最初設計是為兩個對等節(jié)點之間的 IP 流量傳輸提供一種封裝協(xié)議。在 TCP-IP 協(xié)議集中它是一種用來同步調制連接的數(shù)據(jù)鏈路層協(xié)議（OSI 模式中的第二層），替代了原來非標準的第二層協(xié)議，即 SLIP。除了 IP 以外 PPP 還可以攜帶其它協(xié)議，包括 DECnet 和 Novell 的 Internet 網(wǎng)包交換（IPX）。</

43、p><p><b>　　VTP技術</b></p><p>　　它是一個OSI參考模型第二層的通信協(xié)議，主要用于管理在同一個域的網(wǎng)絡范圍內VLANs的建立、刪除和重命名。在一臺VTP Server 上配置一個新的VLAN時，該VLAN的配置信息將自動傳播到本域內的其他所有交換機。這些交換機會自動地接收這些配置信息，使其VLAN的配置與VTP Server保持一致，從而減少

44、在多臺設備上配置同一個VLAN信息的工作量，而且保持了VLAN配置的統(tǒng)一性。</p><p>　　VTP通過網(wǎng)絡(ISL幀或cisco私有DTP幀)保持VLAN配置統(tǒng)一性。VTP在系統(tǒng)級管理增加，刪除，調整的VLAN，自動地將信息向網(wǎng)絡中其它的交換機廣播。此外，VTP減小了那些可能導致安全問題的配置。便于管理,只要在vtp server做相應設置,vtp client會自動學習vtp server上的vlan信息

45、</p><p>　　* 當使用多重名字VLAN能變成交叉--連接。</p><p>　　* 當它們是錯誤地映射在一個和其它局域網(wǎng)，VLAN能變成內部斷開。</p><p>　　VTP有三種工作模式：VTP Server、VTP Client 和 VTP Transparent。新交換機出廠時的默認配置是預配置為VLAN1，VTP 模式為服務器。 一般，一個VTP域

46、內的整個網(wǎng)絡只設一個VTP Server。VTP Server維護該VTP域中所有VLAN 信息列表，VTP Server可以建立、刪除或修改VLAN，發(fā)送并轉發(fā)相關的通告信息，同步vlan配置，會把配置保存在NVRAM中。VTP Client雖然也維護所有VLAN信息列表，但其VLAN的配置信息是從VTP Server學到的，VTP Client不能建立、刪除或修改VLAN，但可以轉發(fā)通告，同步vlan配置，不保存配置到NVRAM中。

47、VTP Transparent相當于是一項獨立的交換機，它不參與VTP工作，不從VTP Server學習VLAN的配置信息，而只擁有本設備上自己維護的VLAN信息。VTP Transparent可以建立、刪除和修改本機上的 VLAN信息，同時會轉發(fā)通告并把配置保存到NVRAM中。</p><p><b>　　STP技術</b></p><p>　　STP（Spanni

48、ng Tree Protocol）是生成樹協(xié)議的英文縮寫。該協(xié)議可應用于在網(wǎng)絡中建立樹形拓撲，消除網(wǎng)絡中的環(huán)路，并且可以通過一定的方法實現(xiàn)路徑冗余，但不是一定可以實現(xiàn)路徑冗余。生成樹協(xié)議適合所有廠商的網(wǎng)絡設備，在配置上和體現(xiàn)功能強度上有所差別，但是在原理和應用效果是一致的。</p><p>　　STP的基本原理是，通過在交換機之間傳遞一種特殊的協(xié)議報文，網(wǎng)橋協(xié)議數(shù)據(jù)單元（Bridge Protocol Data

49、Unit，簡稱BPDU），來確定網(wǎng)絡的拓撲結構。BPDU有兩種，配置BPDU（Configuration BPDU）和TCN BPDU。前者是用于計算無環(huán)的生成樹的，后者則是用于在二層網(wǎng)絡拓撲發(fā)生變化時產(chǎn)生用來縮短CAM表項的刷新時間的（由默認的300s縮短為15s）。</p><p>　　Spanning Tree Protocol(STP)在IEEE802.1D文檔中定義。該協(xié)議的原理是按照樹的結構來構造網(wǎng)絡

50、拓撲，消除網(wǎng)絡中的環(huán)路，避免由于環(huán)路的存在而造成廣播風暴問題。</p><p>　　Spanning Tree Protocol(STP)的基本思想就是按照"樹"的結構構造網(wǎng)絡的拓撲結構，樹的根是一個稱為根橋的橋設備，根橋的確立是由交換機或網(wǎng)橋的BID（Bridge ID）確定的，BID最小的設備成為二層網(wǎng)絡中的根橋。BID又是由網(wǎng)橋優(yōu)先級和MAC地址構成，不同廠商的設備的網(wǎng)橋優(yōu)先級的字節(jié)個數(shù)

51、可能不同。由根橋開始，逐級形成一棵樹，根橋定時發(fā)送配置BPDU，非根橋接收配置BPDU，刷新最佳BPDU并轉發(fā)。這里的最佳BPDU指的是當前根橋所發(fā)送的BPDU。如果接收到了下級BPDU（新接入的設備會發(fā)送BPDU，但該設備的BID比當前根橋大），接收到該下級BPDU的設備將會向新接入的設備發(fā)送自己存儲的最佳BPDU，以告知其當前網(wǎng)絡中根橋；如果接收到的BPDU更優(yōu)，將會重新計算生成樹拓撲。當非根橋在離上一次接收到最佳BPDU最長壽命（

52、Max Age，默認20s）后還沒有接收到最佳BPDU的時候，該端口將進入監(jiān)聽狀態(tài)，該設備將產(chǎn)生TCN BPDU，并從根端口轉發(fā)出去，從指定端口接收到TCN BPDU的上級設備將發(fā)送確認，然后再向上級設備發(fā)送TCN BPDU，此過程持續(xù)到根橋為止，</p><p><b>　　動態(tài)/靜態(tài)路由協(xié)議</b></p><p>　　靜態(tài)路由是指需要由網(wǎng)絡管理員手工配置路由信息

53、。當網(wǎng)絡的拓撲結構或鏈路的狀態(tài)發(fā)生變化時，網(wǎng)絡管理員需要手工去修改路由表中相關的靜態(tài)路由信息。靜態(tài)路由一般適用于比較簡單的網(wǎng)絡環(huán)境，在這樣的環(huán)境中，網(wǎng)絡管理員易于清楚地了解網(wǎng)絡的拓撲結構，便于設置正確的路由信息。使用靜態(tài)路由的另一個好處是網(wǎng)絡安全保密性高。動態(tài)路由因為需要路由器之間頻繁地交換各自的路由表，而對路由表的分析可以揭示網(wǎng)絡的拓撲結構和網(wǎng)絡地址等信息。大型和復雜的網(wǎng)絡環(huán)境通常不宜采用靜態(tài)路由。一方面，網(wǎng)絡管理員難以全面地了解整

54、個網(wǎng)絡的拓撲結構；另一方面，當網(wǎng)絡的拓撲結構和鏈路狀態(tài)發(fā)生變化時，路由器中的靜態(tài)路由信息需要大范圍地調整，這一工作的難度和復雜程度非常高。</p><p><b>　　需求分析</b></p><p><b>　　帶寬性能需求</b></p><p>　　現(xiàn)代企業(yè)網(wǎng)絡應該有更高的帶寬,更強大的性能,以滿足日益增長的通信需

55、求的用戶。與計算機技術的快速發(fā)展,越來越多的基于網(wǎng)絡的各種應用中,今天的企業(yè)網(wǎng)絡已經(jīng)發(fā)展成為一個多功能無記名平臺,不僅要繼續(xù)把辦公自動化、網(wǎng)絡瀏覽以及其他數(shù)據(jù)服務,但也攜帶的各種業(yè)務應用系統(tǒng)設計生產(chǎn)數(shù)據(jù),以及帶寬和要求IP電話、視頻會議和其他多媒體服務。因此,數(shù)據(jù)流將大大增加,特別是提出了更高的要求,數(shù)據(jù)交換能力的核心網(wǎng)絡。此外,隨著成本的持續(xù)下降,千兆的千兆端口桌面應用程序將在不久的將來成為主流的企業(yè)網(wǎng)絡。建立一個無障礙的“高品質”的

56、企業(yè)局域網(wǎng),擴大網(wǎng)絡適應需求不斷增長的營業(yè)額。</p><p><b>　　網(wǎng)絡安全需求</b></p><p>　　現(xiàn)代企業(yè)網(wǎng)絡將需要提供更好的網(wǎng)絡安全解決方案，以防止病毒和黑客的攻擊，減少經(jīng)濟損失。傳統(tǒng)企業(yè)的網(wǎng)絡安全主要是通過部署防火墻，IDS，防病毒軟件，交換機或路由器的ACL和協(xié)調防御病毒和黑客攻擊?，F(xiàn)代企業(yè)網(wǎng)絡在企業(yè)網(wǎng)絡已經(jīng)成為公司業(yè)務的重要組成部分，必須有

57、一組病毒從用戶接入控制，報文識別到主動抑制的一系列安全控制措施，從而確保穩(wěn)定運行企業(yè)網(wǎng)絡。</p><p><b>　　應用服務需求</b></p><p>　　現(xiàn)代企業(yè)網(wǎng)絡應該有一個更智能的網(wǎng)絡管理解決方案,以滿足網(wǎng)絡大小增加的維護工作更復雜的需求。目前的網(wǎng)絡已經(jīng)發(fā)展成為“以應用程序為中心的”信息基礎設施平臺、網(wǎng)絡管理能力的需求已經(jīng)上升到業(yè)務層面,傳統(tǒng)的網(wǎng)絡設備的情

58、報沒有有效地支持發(fā)展網(wǎng)絡管理的需要?，F(xiàn)代企業(yè)網(wǎng)絡迫切需要一個網(wǎng)絡設備支持“以應用程序為中心的“智能網(wǎng)絡操作和維護,和一組智能管理軟件,網(wǎng)絡管理人員從繁重的工作釋放。</p><p><b>　　設計所需環(huán)境</b></p><p><b>　　硬件要求</b></p><p>　　操作系統(tǒng)Windows Server 20

59、03/XP/7/Vista</p><p>　　CPU 1500MHz 最好是3000MHz以上雙核更好</p><p>　　內存 512MB 最好是1G 2G更好</p><p>　　空閑硬盤空間 2GB以上</p><p>　　軟件要求Packet Tracer 4.1</p

60、><p><b>　　系統(tǒng)設計方案</b></p><p><b>　　系統(tǒng)設計原則</b></p><p><b>　　實用性</b></p><p>　　應該從實際情況,以達到和容易使用可以起到有效的目的。成熟的技術和產(chǎn)品系統(tǒng)的建設。能夠兼容現(xiàn)有系統(tǒng)的新系統(tǒng),以保持連續(xù)性和可用

61、的資源。該系統(tǒng)是安全可靠的。非常容易使用,并不需要太多的培訓可以容易使用和維護。</p><p><b>　　安全性</b></p><p>　　使用各種有效的安全措施,確保安全運行的網(wǎng)絡系統(tǒng)和應用程序。安全包括四個層次:網(wǎng)絡安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全、應用系統(tǒng)安全。由于互聯(lián)網(wǎng)的開放性,世界各地的網(wǎng)絡用戶可以訪問公司網(wǎng)絡、企業(yè)網(wǎng)絡防火墻、數(shù)據(jù)加密技術,以防止非法入

62、侵,防止竊聽和篡改數(shù)據(jù)和路由信息安全保護,確保安全。磁帶備份系統(tǒng),建立系統(tǒng)和數(shù)據(jù)庫。</p><p><b>　　可擴充性</b></p><p>　　符合國際和國內行業(yè)標準協(xié)議和接口,因此,企業(yè)網(wǎng)絡具有良好的開放,容易與其他網(wǎng)絡互連和信息資源。的增加及不同層次的網(wǎng)絡節(jié)點和子網(wǎng)。一般包括開放標準的原則、技術、結構、系統(tǒng)組件和用戶界面。必須根據(jù)實際的使用先進的成熟技術,

63、購買先進水平的計算機網(wǎng)絡系統(tǒng)和設備。隨著不斷變化的計算機技術和計算機網(wǎng)絡技術的快速發(fā)展,網(wǎng)絡系統(tǒng)的規(guī)?？缮炜s性已經(jīng)十分重要,所以考慮可伸縮性的網(wǎng)絡系統(tǒng)是非常重要的。</p><p><b>　　可管理性</b></p><p>　　充分考慮網(wǎng)絡的設計未來網(wǎng)絡管理和維護,操作方便,維護容易的選擇網(wǎng)絡操作系統(tǒng),大大減少了負擔的管理和維護的網(wǎng)絡運營商。使用智能網(wǎng)絡管理,減少

64、運營成本和維護的網(wǎng)絡。</p><p><b>　　高性能價格比</b></p><p>　　日益進步的新技術和特定情況下,開發(fā)具有成本效益的解決方案來滿足需求的基礎上,充分保障了企業(yè)的經(jīng)濟效益。堅持經(jīng)濟原則,努力做更多的事情,錢最少的,為了獲得最大的利益。</p><p><b>　　網(wǎng)絡設備選型</b></p&g

65、t;<p>　　本次設計均根據(jù)packet tracer 4.1模擬器完成，所有設備均采用模擬器內含設備。</p><p>　　表3-1 網(wǎng)絡設備選型</p><p>　　系統(tǒng)總體設計和拓撲結構</p><p>　　對于一個大中型企業(yè)局域網(wǎng)，通常在設計上將網(wǎng)絡分為核心層、匯聚層和接入層分別考慮。接入層節(jié)點直接連接用戶計算機，它通常是一個部門或者一個樓層

66、的交換機；匯聚層交換機的每個節(jié)點可以連接多個接入層節(jié)點，它通常是一個建筑物內部連接多個樓層交換機或者部門交換機的總交換機；核心層交換機節(jié)點連接多個匯聚層交換機，通常是企業(yè)中連接多個建筑物的總交換機的核心網(wǎng)絡設備。</p><p><b>　　1、核心層</b></p><p>　　核心層的功能主要是實現(xiàn)骨干網(wǎng)絡之間的優(yōu)化傳輸，復雜整個網(wǎng)絡的網(wǎng)內數(shù)據(jù)交換。網(wǎng)絡的功能控制

67、最好盡量在骨干層上實施，核心層設計任務的重點是冗余能力、可靠性和高速傳輸。核心層一直被認為流量的最終承受著和匯聚者，所以要求核心交換機擁有較高的可靠性和性能。</p><p><b>　　2、匯聚層</b></p><p>　　匯聚層主要負責連接接入層節(jié)點和核心層，匯聚分散的接入點，擴大核心設備的端口密度和種類，匯聚各區(qū)域數(shù)據(jù)流量，實現(xiàn)骨干網(wǎng)絡之間的優(yōu)化傳輸。匯聚層交

68、換機還負責本區(qū)域的數(shù)據(jù)交換，匯聚層交換機一般與中心交換機同類型，仍需較高的性能和較豐富功能。</p><p><b>　　3、接入層</b></p><p>　　接入層交換機作為二層交換網(wǎng)絡設備，提供功能工作站等設備的網(wǎng)絡接入。接入層在整個網(wǎng)絡中接入交換機的數(shù)據(jù)最多，具有即插即用的特性。對于此類交換機要求，一是價格合理；二是可管理性號，易于使用維護；三是穩(wěn)定性要好。&

69、lt;/p><p><b>　　系統(tǒng)總體設計方案</b></p><p>　　本次設計為小型企業(yè)局域網(wǎng)，對網(wǎng)絡進行簡化，并未采用三層結構，重點放在網(wǎng)絡主干的設計與路由器交換機的配置上，同時還有VLAN的劃分，VTP協(xié)議的使用、STP協(xié)議的配置、動態(tài)/靜態(tài)路由協(xié)議的配置、DHCP的配置、NAT的配置、PPP的配置及ACL的應用。</p><p>　　

70、圖2-1為企業(yè)局域網(wǎng)總體拓撲結構圖</p><p>　　圖2-1企業(yè)局域網(wǎng)總體拓撲圖</p><p>　　注：圖中PC機代表企業(yè)各部門</p><p>　　各設備的IP地址配置</p><p><b>　　R1:</b></p><p>　　S0/0/0: 12.1.1.1 255.2

71、55.255.0</p><p>　　Fa0/1: 192.168.1.1 255.255.255.0</p><p>　　Fa0/2: 192.168.2.1 255.255.255.0</p><p>　　Fa0/3: 192.168.3.1 255.255.255.0</p><p><b>　　R2:

72、</b></p><p>　　S0/0/0: 12.1.1.2 255.255.255.0</p><p>　　Fa0/0: 24.1.1.2 255.255.255.0</p><p>　　Fa0/1: 23.1.1.2 255.255.255.0</p><p><b>　　R

73、3:</b></p><p>　　S0/0/0: 34.1.1.3 255.255.255.0</p><p>　　Fa0/1: 23.1.1.3 255.255.255.0</p><p><b>　　R4:</b></p><p>　　S0/0/0: 34.1.1.4

74、 255.255.255.0</p><p>　　Fa0/0: 24.1.1.4 255.255.255.0</p><p>　　Fa0/1: 218.1.1.1 255.255.255.0</p><p><b>　　SW1:</b></p><p>　　VLAN 1: 192.168.1.

75、2 255.255.255.0</p><p><b>　　SW2:</b></p><p>　　VLAN 2: 192.168.1.3 255.255.255.0</p><p>　　PC1,PC2,PC3和PC4的IP地址均自動獲取。PC1和PC2屬于VLAN2，VLAN2所在的IP子網(wǎng)是192.168.2.0 255.255.2

76、55.0。PC2和PC4屬于VLAN3，VLAN3所在的IP子網(wǎng)是192.168.3.0 255.255.255.0。</p><p>　　Web服務器：218.1.1.2 255.255.255.0 </p><p><b>　　路由器模塊</b></p><p>　　路由器（Router）是連接因特網(wǎng)中各局域網(wǎng)、廣域網(wǎng)的設備，它會根據(jù)信

77、道的情況自動選擇和設定路由，以最佳路徑，按前后順序發(fā)送信號的設備。路由器是互聯(lián)網(wǎng)絡的樞紐、"交通警察"。目前路由器已經(jīng)廣泛應用于各行各業(yè)，各種不同檔次的產(chǎn)品已成為實現(xiàn)各種骨干網(wǎng)內部連接、骨干網(wǎng)間互聯(lián)和骨干網(wǎng)與互聯(lián)網(wǎng)互聯(lián)互通業(yè)務的主力軍。路由和交換之間的主要區(qū)別就是交換發(fā)生在OSI參考模型第二層（數(shù)據(jù)鏈路層），而路由發(fā)生在第三層，即網(wǎng)絡層。這一區(qū)別決定了路由和交換在移動信息的過程中需使用不同的控制信息，所以兩者實現(xiàn)各自

78、功能的方式是不同的。</p><p><b>　　路由器配置</b></p><p><b>　　IP地址配置</b></p><p><b>　　1）R1的配置</b></p><p><b>　　Router>en</b></p>

79、<p>　　Router#conf t</p><p>　　Enter configuration commands, one per line. End with CNTL/Z.</p><p>　　Router(config)#host R1</p><p>　　R1(config)#int S0/0/0</p><p>　　

80、R1(config-if)#ip add 12.1.1.1 255.255.255.0</p><p>　　R1(config-if)#clock rate 64000</p><p>　　R1(config-if)#no shut</p><p>　　%LINK-5-CHANGED: Interface Serial0/0/0, changed state to

81、down</p><p>　　R1(config-if)#int fa0/0（該端口在VLAN劃分時在給予配置，此僅打開端口）</p><p>　　R1(config-if)#no shut</p><p>　　%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up</p><

82、;p>　　%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up</p><p><b>　　2）R2的配置</b></p><p><b>　　Router>en</b></p><p>　　Ro

83、uter#conf t</p><p>　　Enter configuration commands, one per line. End with CNTL/Z.</p><p>　　Router(config)#host R2</p><p>　　R2(config)#int s0/0/0</p><p>　　R2(config-if)

84、#ip add 12.1.1.2 255.255.255.0</p><p>　　R2(config-if)#no shut</p><p>　　%LINK-5-CHANGED: Interface Serial0/0/0, changed state to up</p><p>　　R2(config-if)#int fa0/0</p><p&

85、gt;　　R2(config-if)#ip add 24.1.1.2 255.255.255.0</p><p>　　R2(config-if)#no shut</p><p>　　%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up</p><p>　　R2(config-if)#int f

86、a0/1</p><p>　　R2(config-if)#ip add 23.1.1.2 255.255.255.0</p><p>　　R2(config-if)#no shut</p><p>　　%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up</p><p>

87、;<b>　　3)R3的配置</b></p><p><b>　　Router>en</b></p><p>　　Router#conf t</p><p>　　Enter configuration commands, one per line. End with CNTL/Z.</p><p

88、>　　Router(config)#host R3</p><p>　　R3(config)#int s0/0/0</p><p>　　R3(config-if)#ip add 34.1.1.3 255.255.255.0</p><p>　　R3(config-if)#clock rate 64000</p><p>　　R3(con

89、fig-if)#no shut</p><p>　　%LINK-5-CHANGED: Interface Serial0/0/0, changed state to down</p><p>　　R3(config-if)#int fa0/1</p><p>　　R3(config-if)#ip add 23.1.1.3 255.255.255.0</p>

90、;<p>　　R3(config-if)#no shut</p><p>　　%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up</p><p>　　%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed sta

91、te to up</p><p><b>　　4）R4的配置</b></p><p><b>　　Router>en</b></p><p>　　Router#conf t</p><p>　　Enter configuration commands, one per line. End w

92、ith CNTL/Z.</p><p>　　Router(config)#host R4</p><p>　　R4(config)#int s0/0/0</p><p>　　R4(config-if)#ip add 34.1.1.4 255.255.255.0</p><p>　　R4(config-if)#no shut</p>

93、<p>　　%LINK-5-CHANGED: Interface Serial0/0/0, changed state to up</p><p>　　R4(config-if)#int fa0/0</p><p>　　R4(config-if)#ip add 24.1.1.4 255.255.255.0</p><p>　　R4(config-if)

94、#no shut</p><p>　　%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up</p><p>　　%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up</p><p&g

95、t;　　R4(config-if)#int fa0/1</p><p>　　R4(config-if)#ip add 218.1.1.1 255.255.255.0</p><p>　　R4(config-if)#no shut</p><p>　　%LINK-5-CHANGED: Interface FastEthernet0/1, changed state t

96、o up</p><p>　　%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up</p><p><b>　　Web服務器的配置</b></p><p>　　Web服務器配置如下：</p><p>　　I

97、P地址：218.1.1.2</p><p>　　子網(wǎng)掩碼：255.255.255.0</p><p>　　網(wǎng)關：218.1.1.1</p><p><b>　　如圖3-1，3-2</b></p><p><b>　　圖3-1網(wǎng)關配置</b></p><p>　　圖3-2 IP

98、和掩碼配置</p><p>　　配置設備的遠程登錄和密碼保護及DHCP</p><p>　　配置設備的遠程登錄和密碼保護</p><p><b>　　R1的配置如下</b></p><p>　　R1(config)#line vty 0 4</p><p>　　R1(config-line)#pa

99、ssword cisco</p><p>　　R1(config-line)#login</p><p>　　R1(config-line)#ex</p><p>　　R1(config)#enable secret cisco</p><p>　　R1(config)#service password-encryption</p>

100、;<p>　　R2 R3 R4 SW1 SW2的配置與R1的配置類似 不再敘述</p><p><b>　　DHCP的配置</b></p><p><b>　　R1>en</b></p><p>　　Password: </p><p><b>　　R1#conf t&

101、lt;/b></p><p>　　Enter configuration commands, one per line. End with CNTL/Z.</p><p>　　R1(config)#ipdhcp excluded-address 192.168.2.1</p><p>　　R1(config)#ipdhcp pool vlan2</p&

102、gt;<p>　　R1(dhcp-config)#network 192.168.2.0 255.255.255.0</p><p>　　R1(dhcp-config)#default-router 192.168.2.1</p><p>　　R1(dhcp-config)#dns-server 218.1.1.2</p><p>　　R1(dhcp-

103、config)#ex</p><p>　　R1(config)#ipdhcp excluded-address 192.168.3.1</p><p>　　R1(config)#ipdhcp pool vlan3</p><p>　　R1(dhcp-config)#network 192.168.3.0 255.255.255.0</p><p&

104、gt;　　R1(dhcp-config)#default-router 192.168.3.1</p><p>　　R1(dhcp-config)#dns-server 218.1.1.2</p><p>　　檢驗：依次配置PC機，使用DHCP分配結果如圖3-3</p><p>　　圖3-3 PC1的DHCP分配結果</p><p><

105、b>　　路由協(xié)議</b></p><p><b>　　OSPF協(xié)議</b></p><p><b>　　R1配置</b></p><p>　　R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2</p><p><b>　　R2的配置&

106、lt;/b></p><p>　　R2(config)#router ospf 1</p><p>　　R2(config-router)#net 24.1.1.0 0.0.0.255 area 0</p><p>　　R2(config-router)#net 23.1.1.0 0.0.0.255 area 0</p><p>　　R

107、2(config-router)#net 12.1.1.0 0.0.0.255 area 0</p><p><b>　　R3的配置</b></p><p>　　R3(config)#router ospf 1</p><p>　　R3(config-router)#net 23.1.1.0 0.0.0.255 area 0</p>

108、<p>　　R3(config-router)#net 34.1.1.0 0.0.0.255 area 0</p><p><b>　　R4的配置</b></p><p>　　R4(config)#router ospf 1</p><p>　　R4(config-router)#net 24.1.1.0 0.0.0.255 ar

109、ea 0</p><p>　　R4(config-router)#net 34.1.1.0 0.0.0.255 area 0</p><p>　　R4(config-router)#net 218.1.1.0 0.0.0.255 area 0</p><p><b>　　PPP協(xié)議</b></p><p><b&g

110、t;　　R1配置</b></p><p>　　R1(config)#user R2 pass cisco</p><p>　　R1(config)#int s0/0/0</p><p>　　R1(config-if)#encapsulation ppp</p><p>　　%LINEPROTO-5-UPDOWN: Line pro

111、tocol on Interface Serial0/0/0, changed state to down</p><p>　　R1(config-if)#ppp authentication chap</p><p><b>　　R2的配置</b></p><p>　　R2(config)#user R1 pass cisco</p&g

112、t;<p>　　R2(config)#int s0/0/0</p><p>　　R2(config-if)#encapsulation ppp</p><p>　　%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up</p><p>　　R2(c

113、onfig-if)#ppp authentication chap</p><p>　　%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to down</p><p>　　%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0

114、, changed state to up</p><p><b>　　PPP協(xié)議驗證</b></p><p>　　關閉路由器R1的S0/0/0接口，稍后再次打開該接口，觸發(fā)PPP的CHAP驗證。輸出如圖3-4：</p><p>　　圖3-4 PPP的CHAP驗證</p><p><b>　　配置NAT<

115、/b></p><p>　　在路由器R1上配置動態(tài)PAT，使四臺PC都可以通過R1訪問Internet。</p><p><b>　　R1配置如下：</b></p><p>　　R1(config)#int fa0/0.2</p><p>　　R1(config-subif)#ipnat inside</p&

116、gt;<p>　　R1(config-subif)#int fa0/0.3</p><p>　　R1(config-subif)#ipnat inside</p><p>　　R1(config-subif)#int s0/0/0</p><p>　　R1(config-if)#ipnat outside</p><p>　　R