中小型企業(yè)網(wǎng)絡(luò)的構(gòu)建-畢業(yè)論文.doc
-
資源ID:6619883
資源大?。?span id="mjcjomb" class="font-tahoma">548KB
全文頁數(shù):27頁
- 資源格式: DOC
下載積分:9.9積分
快捷下載
會員登錄下載
微信登錄下載
微信掃一掃登錄
友情提示
2、PDF文件下載后,可能會被瀏覽器默認(rèn)打開,此種情況可以點擊瀏覽器菜單,保存網(wǎng)頁到桌面,就可以正常下載了。
3、本站不支持迅雷下載,請使用電腦自帶的IE瀏覽器,或者360瀏覽器、谷歌瀏覽器下載即可。
4、本站資源下載后的文檔和圖紙-無水印,預(yù)覽文檔經(jīng)過壓縮,下載后原文更清晰。
5、試題試卷類文檔,如果標(biāo)題沒有明確說明有答案則都視為沒有答案,請知曉。
|
中小型企業(yè)網(wǎng)絡(luò)的構(gòu)建-畢業(yè)論文.doc
中小型企業(yè)網(wǎng)絡(luò)的構(gòu)建摘 要隨著現(xiàn)代科技的發(fā)展及計算機技術(shù)與通訊技術(shù)的結(jié)合,計算機幾乎成了每個企業(yè)的必備設(shè)備,超過一半的企業(yè)擁有自己的網(wǎng)絡(luò)。企業(yè)網(wǎng)絡(luò)不僅可以提供給我們一個現(xiàn)代化的高效、快捷、安全的辦公環(huán)境,還可以進(jìn)行高速的數(shù)據(jù)傳輸和實現(xiàn)生產(chǎn)自動化。本文根據(jù)網(wǎng)絡(luò)構(gòu)建的原則,從技術(shù)基礎(chǔ)、方案選擇、構(gòu)建方法等方面對組建一個中小型企業(yè)網(wǎng)絡(luò)進(jìn)行了分析,在此基礎(chǔ)上構(gòu)建了網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),并進(jìn)行了詳細(xì)的設(shè)計及配置,為一些類似的企業(yè)公司的網(wǎng)絡(luò)建設(shè)提供了一個可供參考的模板。最后文章對網(wǎng)絡(luò)建設(shè)過程中的一些實踐經(jīng)驗進(jìn)行了總結(jié)和討論。關(guān)鍵詞:網(wǎng)絡(luò);交換機;路由器;服務(wù)器。1需求分析11.1網(wǎng)絡(luò)平臺實現(xiàn)的功能11.2網(wǎng)絡(luò)平臺的特點12網(wǎng)絡(luò)系統(tǒng)設(shè)計22.1網(wǎng)絡(luò)設(shè)計原則22.2網(wǎng)絡(luò)設(shè)計模型32.2.1核心層32.2.2分布層42.2.3接入層42.3系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu)53網(wǎng)絡(luò)詳細(xì)設(shè)計及配置63.1交換模塊設(shè)計63.1.1接入層交換服務(wù)的實現(xiàn)配置接入層交換機63.1.2分布層交換服務(wù)的實現(xiàn)配置分布層交換機103.1.3核心層交換服務(wù)的實現(xiàn)配置核心層交換機153.2廣域網(wǎng)接入模塊設(shè)計173.2.1配置接入路由器InternetRouter的基本參數(shù)173.2.2配置接入路由器InternetRouter的各接口參數(shù)173.2.3配置接入路由器InternetRouter的路由功能183.2.4配置接入路由器InternetRouter上的NAT183.2.5設(shè)置接入路由器InternetRouter上的ACL193.3遠(yuǎn)程訪問設(shè)計和程訪問模塊設(shè)213.4服務(wù)器模塊設(shè)計224系統(tǒng)總結(jié)231 需求分析1.1 網(wǎng)絡(luò)平臺實現(xiàn)的功能1.實現(xiàn)企業(yè)內(nèi)資源共享,提供管理應(yīng)用系統(tǒng),實現(xiàn)企業(yè)辦公自動化。2.接入Internet,共享網(wǎng)絡(luò)資源。3.企業(yè)擁有自己的IP地址和域名。4.建立企業(yè)Email系統(tǒng)和內(nèi)部通訊系統(tǒng)。5.在公司主機上建立網(wǎng)站,提供對外宣傳的信息平臺。1.2 網(wǎng)絡(luò)平臺的特點網(wǎng)絡(luò)平臺是企業(yè)信息化的核心,要求具有高可靠性、高性能、良好可擴展性以及端到端的QoS服務(wù)質(zhì)量保證。高可用性必須是一個端到端的網(wǎng)絡(luò)目標(biāo)。網(wǎng)絡(luò)設(shè)備、服務(wù)器集群、操作系統(tǒng)及網(wǎng)絡(luò)接口卡必須作為一個統(tǒng)一的生態(tài)系統(tǒng)協(xié)同工作,以恢復(fù)任何服務(wù)器、鏈路或網(wǎng)絡(luò)設(shè)備的故障。在考慮設(shè)備硬件可靠性和連接鏈路冗余的同時,應(yīng)關(guān)注網(wǎng)絡(luò)系統(tǒng)在不同層次上對系統(tǒng)可用性的軟件功能支持能力,另外容易被忽略的高可用性因素統(tǒng)一的設(shè)備軟件操作平臺。如果不同設(shè)備采用不同的軟件系統(tǒng),兼容性、開放性和可擴展性都會受到影響。QoS(服務(wù)質(zhì)量保證)是保證向網(wǎng)絡(luò)業(yè)務(wù)提供有品質(zhì)的服務(wù)。它為網(wǎng)絡(luò)中的數(shù)據(jù)劃分優(yōu)先級,對于某些數(shù)據(jù),如語音、視頻等,給予高的優(yōu)先級,使他們在網(wǎng)絡(luò)中優(yōu)先傳輸,來保證通話及視頻的質(zhì)量。在應(yīng)用系統(tǒng)較為簡單的網(wǎng)絡(luò)發(fā)展的初期,常常被對應(yīng)于簡單的概念,例如設(shè)備可以支持的隊列數(shù)量等。在網(wǎng)絡(luò)應(yīng)用日趨復(fù)雜的環(huán)境下,如何在有限的網(wǎng)絡(luò)資源里充分保障各類應(yīng)用的實施,是一個非常復(fù)雜的問題,實施QoS,是端到端的概念,不是單個設(shè)備的問題,而是涉及整個園區(qū)網(wǎng)、甚至跨廣域網(wǎng)的問題。QoS的管理和部署可能需要涉及到不同城市、不同廠區(qū)、不同大樓的每一臺網(wǎng)絡(luò)設(shè)備,甚至每一個端口。因此,在選擇網(wǎng)絡(luò)設(shè)備和供應(yīng)商的時候,要擦亮眼睛看看供應(yīng)商的QoS能做到什么程度。2 網(wǎng)絡(luò)系統(tǒng)設(shè)計2.1 網(wǎng)絡(luò)設(shè)計原則1) 開放性:系統(tǒng)設(shè)計應(yīng)采用開放技術(shù)、開放結(jié)構(gòu)、開放系統(tǒng)組件和開放用戶接口,以利于網(wǎng)絡(luò)的維護、擴展升級及與外界信息的溝通。2) 安全性:應(yīng)能在可靠性的前提下,抵擋來自內(nèi)部和外部的攻擊;采用的安全措施有效、可信,能夠在多層次上、以多種方式實現(xiàn)安全的控制。3) 可靠性:系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜,同時在部分子系統(tǒng)中存在較高的技術(shù)性,因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運行,具有很高的MTBF(平均無故障工作時間)和極低的MTBR(平均無故障率),提高容錯設(shè)計,支持故障檢測和恢復(fù),可管理性強。網(wǎng)絡(luò)必須是可靠的,包括網(wǎng)元級的可靠性,如引擎、風(fēng)扇、單板、總計等;以及網(wǎng)絡(luò)級的可靠性,如路由、交換的匯聚,鏈路冗余,負(fù)載均衡等。網(wǎng)絡(luò)必須具有足夠高的性能,滿足業(yè)務(wù)的需要。具有容錯功能,能滿足企業(yè)所在地環(huán)境、氣候條件,抗干擾能力強,對網(wǎng)絡(luò)的設(shè)計、選型、安裝、調(diào)試等各環(huán)節(jié)進(jìn)行統(tǒng)一規(guī)劃和分析,確保系統(tǒng)運行可靠。4) 統(tǒng)一性:在系統(tǒng)的設(shè)計過程中,堅持“三統(tǒng)一”,即統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一出口。5) 經(jīng)濟性:在充分滿足以上要求的前提下,應(yīng)充分考慮到企業(yè)的經(jīng)濟承受能力,盡可能地節(jié)約投資,花好每一分錢。著眼于近期目標(biāo)和長期的發(fā)展,選用先進(jìn)的設(shè)備進(jìn)行最佳性能組合,利用有限的投資構(gòu)造一個性能最佳的網(wǎng)絡(luò)系統(tǒng)。6) 實用性:實用性設(shè)計應(yīng)能滿足目前對網(wǎng)絡(luò)應(yīng)用的要求,充分實現(xiàn)內(nèi)部管理、信息化等要求,使網(wǎng)絡(luò)的整體性能盡快得到充分的發(fā)揮,并且便于掌握。2.2 網(wǎng)絡(luò)設(shè)計模型在中型企業(yè)網(wǎng)的設(shè)計中,一般采用層次化模型來設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。所謂“層次化”模型,就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計分成幾個層次,每個層次著重于某些特定的功能,這樣就能夠使一個復(fù)雜的大問題變成許多簡單的小問題。“核心層-分布層-接入層”層次化網(wǎng)絡(luò)設(shè)計模型有如下優(yōu)點: l 節(jié)省成本:在采用層次模型之后,各層次各司其職,不再在同一個平臺上考慮所有的事情。層次模型模塊化的特性使網(wǎng)絡(luò)中的每一層都能夠很好地利用帶寬,減少了對系統(tǒng)資源的浪費。l 易于理解 :層次化設(shè)計使得網(wǎng)絡(luò)結(jié)構(gòu)清晰明了,可以在不同的層次實施不同難度的管理,降低了管理成本。 l 易于擴展 :在網(wǎng)絡(luò)設(shè)計中,模塊化具有的特性使得網(wǎng)絡(luò)增長時網(wǎng)絡(luò)的復(fù)雜性能夠限制在子網(wǎng)中,而不會蔓延到網(wǎng)絡(luò)的其他地方。l 易于排錯:層次化設(shè)計能夠使網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分解為易于理解的子網(wǎng),網(wǎng)絡(luò)管理者能夠輕易地確定網(wǎng)絡(luò)故障的范圍,從而簡化了排錯過程。2.2.1 核心層核心層將各分布層交換機互連起來進(jìn)行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。園區(qū)網(wǎng)的核心層連接所有的分布層設(shè)備,必須能夠盡可能高效地交換數(shù)據(jù)流。應(yīng)具有如下特征:l 第2層和第3層的吞吐量非常高;l 不執(zhí)行高成本或不必要的分組處理(訪問列表、分組過濾);l 支持高可用性的冗余和彈性;l 高級QoS功能。應(yīng)對園區(qū)網(wǎng)核心層中的設(shè)備進(jìn)行優(yōu)化,以提供高性能的第2層或第3層交換。由于核心層必須處理大量的園區(qū)網(wǎng)級數(shù)據(jù),因此核心層設(shè)計必須簡單、高效。在本設(shè)計的核心層中,采用兩臺Cisco Catalyst 4006交換機組成雙機熱備份的核心交換機系統(tǒng)解決方案。為提高核心-網(wǎng)絡(luò)的健壯性,實現(xiàn)鏈路的安全保障,本方案骨干核心層中可以采用VRRP(熱備用路由器協(xié)議)。對于各個業(yè)務(wù)VLAN可以指向這個虛擬的IP地址作為網(wǎng)關(guān),因此應(yīng)用VRRP技術(shù)為核心交換機提供一個可靠的網(wǎng)關(guān)地址,以實現(xiàn)在核心層核心交換機之間進(jìn)行設(shè)備的硬件冗余,一主兩備,共用一個虛擬的IP地址和MAC地址,通過內(nèi)部的協(xié)議傳輸機制可以自動進(jìn)行工作角色的切換。進(jìn)而雙引擎、雙電源的設(shè)計為網(wǎng)絡(luò)高效處理大集中數(shù)據(jù)提供了可靠的保障。2.2.2 分布層分布層將園區(qū)網(wǎng)的接入層和核心層連接起來。必須具備下述的功能:l 聚集多臺接入層設(shè)備;l 較高的第3層分組處理吞吐量;l 使用訪問列表和分組過濾器提供安全和基于策略的連接;l QoS功能;l 連接到核心層和接入層的高速鏈接具有可擴展性和彈性。在分布層中,來自接入層設(shè)備的上行鏈路被聚合在一起。分布層交換機必須能夠處理來自所有連接的設(shè)備的總流量。這些交換機必須擁有能提供高速鏈路的端口密度,以支持所有接入層交換機。VLAN和廣播域在分布層聚合在一起,需要支持路由選擇、過濾和安全。該層的交換機還必須能夠執(zhí)行高吞吐量的多層交換。2.2.3 接入層接入層位于連接到網(wǎng)絡(luò)的最終用戶處。接入層交換機通常在用戶之間提供第2層(VLAN)連接性。該層設(shè)備有時被稱為大樓介入交換機,必須具備下述功能:l 低交換機端口成本;l 高端口密度;l 連接到高層的可擴展上行鏈路;l 用戶接入功能,如VLAN成員資格、數(shù)據(jù)流和協(xié)議過濾以及服務(wù)質(zhì)量(QoS);l 使用多條上行鏈路提供彈性。2.3 系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu)為了實現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一,本設(shè)計方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品,即Cisco公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的好處是可以實現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補充。 該企業(yè)網(wǎng)設(shè)計方案主要由以下四大部分構(gòu)成:交換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問模塊、服務(wù)器群。網(wǎng)絡(luò)拓?fù)淙缦聢D所示:3 網(wǎng)絡(luò)詳細(xì)設(shè)計及配置 這里我將使用思科的一款虛擬軟件(cisco packet tracer)完成配置,該軟件功能有限,一些配置并不能在該軟件上實現(xiàn)。以下配置截圖,皆來自該軟件。3.1 交換模塊設(shè)計3.1.1 接入層交換服務(wù)的實現(xiàn)配置接入層交換機接入層為所有的終端用戶提供一個接入點。這里的接入層交換機采用的是Cisco Catalyst 2950 24口交換機(WS-C2950-24)。交換機擁有24個10/100Mbps自適應(yīng)快速以太網(wǎng)端口,運行的是Cisco的IOS操作系統(tǒng)。1. 配置接入層交換機AccessSwitch1的基本參數(shù)(1)設(shè)置交換機名稱設(shè)置交換機名稱,也就是出現(xiàn)在交換機CLI提示符中的名字。一般我們會以地理位置或行政劃分來為交換機命名。當(dāng)我們需要Telnet登錄到若干臺交換機以維護一個大型網(wǎng)絡(luò)時,通過交換機名稱提示符提示自己當(dāng)前配置交換機的位置是很有必要的。其中h是hostname 的簡寫,(在真實環(huán)境中也支持簡寫)可以用該命令實現(xiàn)設(shè)備的重命名。(2)設(shè)置交換機的加密使能口令加密口令為:enable secret +密碼。當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時,需要提供此口令。此口令會以MD5的形式加密,因此,當(dāng)用戶查看配置文件時,無法看到明文形式的口令。(3)設(shè)置登錄虛擬終端線時的口令Line vty 0 15Password ciscoLoginLogin 對這個配置很重要,沒有他你就算配了密碼也無法登陸。對于一個已經(jīng)運行著的交換網(wǎng)絡(luò)來說,交換機的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理人員提供了很多的方便。但是,處于安全考慮,在能夠遠(yuǎn)程管理交換機之前網(wǎng)絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機的口令。(4)設(shè)置終端線超時時間為了安全考慮,可以設(shè)置終端線超時時間。在設(shè)置的時間內(nèi),如果沒有檢測到鍵盤輸入,IOS將斷開用戶和交換機之間的連接。這里設(shè)置的是5分30秒。(5)設(shè)置禁用IP地址解析特性在交換機默認(rèn)配置的情況下,當(dāng)我們輸入一條錯誤的交換機命令時,交換機會嘗試將其廣播給網(wǎng)絡(luò)上的DNS服務(wù)器并將其解析成對應(yīng)的IP地址。利用命令no ip domain-lookup??梢越眠@個特性(6)設(shè)置啟用消息同步特性有時,用戶輸入的交換機配置命令會被交換機產(chǎn)生的消息打亂。可以使用命令logging synchronous設(shè)置交換機在下一行CLI提示符后復(fù)制用戶的輸入。2. 配置接入層交換機AccessSwitch1的管理IP、默認(rèn)網(wǎng)關(guān)接入層交換機是OSI參考模型的第2層設(shè)備,即數(shù)據(jù)鏈路層的設(shè)備。因此,給接入層交換機的每個端口設(shè)置IP地址是沒意義的。但是,為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到接入層交換機上進(jìn)行管理,必要給接入層交換機設(shè)置一個管理用IP地址。這種情況下,實際上是將交換機看成和PC機一樣的主機。給交換機設(shè)置管理用IP地址只能在VLAN1,即本征VLAN中進(jìn)行。為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機,還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān)地址.3. 配置接入層交換機AccessSwitch1的VTP從提高效率的角度出發(fā),在本企業(yè)網(wǎng)實現(xiàn)實例中使用了VTP技術(shù)。同時,將分布層交換機DistributeSwitch1設(shè)置成為VTP服務(wù)器,其他交換機設(shè)置成為VTP客戶機。這里接入層交換機AccessSwitch1將通過VTP獲得在分布層交換機DistributeSwitch1中定義的所有VLAN的信息。設(shè)置接入層交換機AccessSwitch1成為VTP客戶機。圖中, ver是version的縮寫。以后都將使用這些縮寫。Vtp mode client命令設(shè)置該交換機為vtp的客戶機模式,vtp ver 2命令設(shè)置使用vtp的版本號為2。4. 配置接入層交換機AccessSwitch1端口基本參數(shù):端口速度可以設(shè)定某端口根據(jù)對端設(shè)備速度自動調(diào)整本端口速度,也可以強制將端口速度設(shè)為10Mpbs或100Mbps。在了解對端設(shè)備速度的情況下,建議手動設(shè)置端口速度。設(shè)置接入層交換機AccessSwitch1的所有端口(1-24)的速度均為100Mbps。int 是interface的縮寫,是進(jìn)入某個接口的命令;r 為range 的縮寫,f為fastethernet(快速以太網(wǎng)接口)的縮寫,f0/1 -24 表示快速以太網(wǎng)的0/1-0/24共24個接口。5. 配置接入層交換機AccessSwitch1的接入端口接入層交換機AccessSwitch1為終端用戶提供接入服務(wù)。接入層交換機AccessSwitch1為VLAN10提供接入服務(wù)。Swi為switchport的縮寫,mo為mode的縮寫,acc為access的縮寫。用spanning-tree portfast來配置生成樹快速端口。(1)設(shè)置接入層交換機AccessSwitch1的端口122如圖所示,設(shè)置接入層交換機AccessSwitch1的端口1端口24工作在接入模式。同時,設(shè)置端口1端口22為VLAN 10的成員。(2)設(shè)置快速端口默認(rèn)情況下,交換機在剛加電啟動時,每個端口都要經(jīng)歷生成樹的四個階段:阻塞、偵聽、學(xué)習(xí)、轉(zhuǎn)發(fā)。在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前,某個端口可能最多要等50秒鐘的時間(20秒的阻塞時間15秒的偵聽延遲時間15秒的學(xué)習(xí)延遲時間)。對于直接接入終端工作站的端口來說,用于阻塞和偵聽的時間是不必要的。為了加速交換機端口狀態(tài)轉(zhuǎn)化時間,可以設(shè)置將某端口設(shè)置成為快速端口(Portfast)。設(shè)置為快速端口的端口當(dāng)交換機啟動或端口有工作站接入時,將會直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài),而不會經(jīng)歷阻塞、偵聽、學(xué)習(xí)狀態(tài)(假設(shè)橋接表已經(jīng)建立)。6. 配置接入層交換機AccessSwitch1的主干道端口接入層交換機AccessSwitch1通過端口FastEthernet 0/23上連到分布層交換機DistributeSwitch1的端口FastEthernet 0/1。同時,接入層交換機AccessSwitch1還通過端口FastEthernet 0/24上連到分布層交換機DistributeSwitch2的端口FastEthernet 0/1。這兩條上連鏈路將成為主干道鏈路,在這兩條上連鏈路上將運輸多個VLAN的數(shù)據(jù)。設(shè)置接入層交換機AccessSwitch1的端口FastEthernet 0/23、FastEthernet 0/24為主干道端口,即為配置這兩個端口的中繼。命令為switchport mode trunk7. 配置接入層交換機AccessSwitch2、3、4、5接入層交換機AccessSwitch2、3、4、5分別為VLAN 20、VLAN30、VLAN40、VLAN50的用戶提供接入服務(wù)。同時,分別通過自己的FastEthernet 0/23 、FastEthernet 0/24上連到分布層交換機DistributeSwitch1、DistributeSwitch2的端口FastEthernet 0/2。對接入層交換機AccessSwitch2、3、4、5的配置步驟、命令和對接入層交換機AccessSwitch1的配置類似。3.1.2 分布層交換服務(wù)的實現(xiàn)配置分布層交換機分布層除了負(fù)責(zé)將接入層交換機進(jìn)行匯集外,還為整個交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能。對分布層交換機DistributeSwitch1的基本參數(shù)的配置步驟與對接入層交換機AccessSwitch1的基本參數(shù)的配置類似。這里,只給出實際的配置。1配置分布層交換機DistributeSwitch1的管理IP、默認(rèn)網(wǎng)關(guān)顯示了為分布層交換機DistributeSwitch1設(shè)置管理IP并激活本征VLAN。同時,還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。add為address的縮寫; no sh 即為no shutdown,開啟端口。2配置分布層交換機DistributeSwitch1的VTP當(dāng)網(wǎng)絡(luò)中交換機數(shù)量很多時,需要分別在每臺交換機上創(chuàng)建很多重復(fù)的VLAN。工作量很大、過程很繁瑣,并且容易出錯。我們常采用VLAN中繼協(xié)議(Vlan Trunking Protocol,VTP)來解決這個問題。VTP允許我們在一臺交換機上創(chuàng)建所有的VLAN。然后,利用交換機之間的互相學(xué)習(xí)功能,將創(chuàng)建好的VLAN定義傳播到整個網(wǎng)絡(luò)中需要此VLAN定義的所有交換機上。同時,有關(guān)VLAN的刪除、參數(shù)更改操作均可傳播到其他交換機。從而大大減輕了網(wǎng)絡(luò)管理人員配置交換機負(fù)擔(dān)。在本企業(yè)網(wǎng)實現(xiàn)實例中使用了VTP技術(shù)。同時,將分布層交換機DistributeSwitch1設(shè)置成為VTP服務(wù)器,其他交換機設(shè)置成為VTP客戶機。(1) 配置VTP管理域vtp domain cisco共享相同VLAN定義數(shù)據(jù)庫的交換機構(gòu)成一個VTP管理域。每一個VTP管理域都有一個共同的VTP管理域域名。不同VTP管理域的交換機之間不交換VTP通告信息。將VTP管理域的域名定義為“cisco”。(2) 設(shè)置VTP服務(wù)器vtp mode server工作在VTP服務(wù)器模式下的交換機可以創(chuàng)建、刪除VLAN、修改VLAN參數(shù)。同時,還有責(zé)任發(fā)送和轉(zhuǎn)發(fā)VLAN更新消息。(3) 激活VTP剪裁功能vtp pruning默認(rèn)情況下主干道傳輸所有VLAN的用戶數(shù)據(jù)。有時,交換網(wǎng)絡(luò)中某臺交換機的所有端口都屬于同一VLAN的成員,沒有必要接收其他VLAN的用戶數(shù)據(jù)。這時,可以激活主干道上的VTP剪裁功能。當(dāng)激活了VTP剪裁功能以后,交換機將自動剪裁本交換機沒有定義的VLAN數(shù)據(jù)。在一個VTP域下,只需要在VTP服務(wù)器上激活VTP剪裁功能。同一VTP域下的所有其他交換機也將自動激活VTP剪裁功能。下圖為該交換機的配置參數(shù):3在分布層交換機DistributeSwitch1上定義VLAN在本企業(yè)網(wǎng)實現(xiàn)實例中,除了默認(rèn)的本征VLAN外,又定義了6個VLAN。由于使用了VTP技術(shù),所以所有VLAN的定義只需要在VTP服務(wù)器,即分布層交換機DistributeSwitch1上進(jìn)行。如圖所示,定義了6個VLAN,同時為每個VLAN命名。4配置分布層交換機DistributeSwitch1的端口基本參數(shù)分布層交換機DistributeSwitch1的端口FastEthernet 0/1FastEthernet 0/5連到接入層交換機AccessSwitch1-5的端口FastEthernet 0/23,端口FastEthernet 0/10FastEthernet 0/12為服務(wù)器群提供接入服務(wù)。此外,分布層交換機DistributeSwitch1還通過自己的千兆端口GigabitEthernet 1/1上連到核心交換機CoreSwitch1的GigabitEthernet 0/1。為了實現(xiàn)冗余設(shè)計,分布層交換機DistributeSwitch1還通過自己的千兆端口GigabitEthernet 1/2連接另一臺到分布層交換機DistributeSwitch2的GigabitEthernet 1/2。給出了對所有訪問端口、主干道端口的配置步驟和命令。設(shè)置分布層交換機DistributeSwitch1的各端口參數(shù)其中,f0/1-f0/5,gi1/1,gi1/2都被配為中繼端口,端口f0/10-f0/12被劃分給VLAN 100。swi 為switchport的縮寫, acc為 access的縮寫, gi為 gigabitEthernet的縮寫,5配置分布層交換機DistributeSwitch1的3層交換功能分布層交換機DistributeSwitch1需要為網(wǎng)絡(luò)中的各個VLAN提供路由功能。這需要首先啟用分布層交換機的路由功能。接下來,需要為每個VLAN定義自己的默認(rèn)網(wǎng)關(guān)地址,此外,還需要定義通往Internet的路由。這里使用了一條缺省路由命令,其中,下一跳地址是Internet接入路由器的快速以太網(wǎng)接口FastEthernet 0/0的IP地址。6配置分布層交換機DistributeSwitch2分布層交換機DistributeSwitch2的端口FastEthernet 0/1-5分別下連到接入層交換機AccessSwitch1-5的端口FastEthernet 0/24。此外,分布層交換機DistributeSwitch2還通過自己的千兆端口GigabitEthernet1/1上連到核心交換機CoreSwitch2的GigabitEthernet 0/1。對分布層交換機DistributeSwitch2的配置步驟、命令和對分布層交換機DistributeSwitch1的配置類似。3.1.3 核心層交換服務(wù)的實現(xiàn)配置核心層交換機1配置核心層交換機CoreSwitch1的基本參數(shù)對核心層交換機CoreSwitch1的基本參數(shù)的配置步驟與對接入層交換機AccessSwitch1的基本參數(shù)的配置類似。這里,只給出實際的配置步驟,不再給出解釋。 2配置核心層交換機CoreSwitch1的管理IP、默認(rèn)網(wǎng)關(guān)如圖所示,顯示了為核心層交換機CoreSwitch1設(shè)置管理IP并激活本征VLAN。同時,還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。3配置核心層交換機CoreSwitch1的的VLAN及VTP在本實例中,核心層交換機CoreSwitch1也將作為VTP客戶機。這里核心層交換機CoreSwitch1將通過VTP獲得在分布層交換機DistributeSwitch1中定義的所有VLAN的信息。完整命令為:vtp mode client4配置核心層交換機CoreSwitch1的端口參數(shù)核心層交換機CoreSwitch1通過自己的端口FastEthernet 0/22同廣域網(wǎng)接入模塊(Internet路由器)相連。同時,核心層交換機CoreSwitch1的端口GigabitEthernet 0/1GigabitEthernet 0/2分別下連到接入層交換機DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 1/1。如圖所示,給出了對上述端口的配置命令。此外,為了提供主干道的吞吐量以及實現(xiàn)冗余設(shè)計,在本設(shè)計中,將核心層交換機CoreSwitch1的千兆端口GigabitEthernet 2/1、GigabitEthernet 2/2捆綁在一起實現(xiàn)2000Mbps的千兆以太網(wǎng)信道,然后再連接到另一臺核心層交換機CoreSwitch2。下面是設(shè)置核心層交換機CoreSwitch1的千兆以太網(wǎng)信道的步驟。5配置核心層交換機CoreSwitch1的路由功能核心層交換機CoreSwitch1通過端口FastEthernet 0/22同廣域網(wǎng)接入模塊(Internet路由器)相連。因此,需要啟用核心層交換機的路由功能。同時,還需要定義通往Internet的路由。這里使用了一條缺省路由命令,如圖所示。其中,下一跳地址是Internet接入路由器的快速以太網(wǎng)接口FastEthernet 0/0的IP地址。6核心層交換機CoreSwitch2的配置核心層交換機CoreSwitch2的配置步驟、命令和對核心層交換機CoreSwitch1的配置類似。這里,不再詳細(xì)分析。同時,對于配置核心層交換機CoreSwitch2下連的一系列交換機,其連接方法以及配置步驟和命令同核心層交換機CoreSwitch1下連的一系列交換機的連接方法以及配置步驟和命令類似。這里,也不再贅述。3.2 廣域網(wǎng)接入模塊設(shè)計在本設(shè)計中,廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器InternetRouter來完成的。采用的是Cisco的2811路由器。它通過添加WIC-2T模塊上帶的串行接口serial 0/0使用DDN(128K)技術(shù)接入Internet。它的作用主要是在Internet和企業(yè)網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務(wù)外,利用訪問控制列表(Access Control List,ACL),廣域網(wǎng)接入路由器InternetRouter還可以用來完成以自身為中心的流量控制和過濾功能并實現(xiàn)一定的安全功能。3.2.1 配置接入路由器InternetRouter的基本參數(shù)對接入路由器InternetRouter的基本參數(shù)的配置步驟與對接入層交換機AccessSwitch1的基本參數(shù)的配置類似。3.2.2 配置接入路由器InternetRouter的各接口參數(shù)對接入路由器InternetRouter的各接口參數(shù)的配置主要是對接口FastEthernet 0/0以及接口Serial 0/0/0的IP地址、子網(wǎng)掩碼的配置。如圖2-3所示,顯示了為接入路由器InternetRouter的各接口設(shè)置IP地址、子網(wǎng)掩碼。3.2.3 配置接入路由器InternetRouter的路由功能在接入路由器InternetRouter上需要定義兩個方向上的路由:到企業(yè)網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由。到Internet上的路由需要定義一條缺省路由,如圖所示。其中,下一跳指定從本路由器的接口serial 0/0/0送出。到企業(yè)網(wǎng)內(nèi)部的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。如圖所示。3.2.4 配置接入路由器InternetRouter上的NAT為了接入Internet,本企業(yè)網(wǎng)向當(dāng)?shù)豂SP申請了9個IP地址。其中一個IP地址:193.1.1.1被分配給了Internet接入路由器的串行接口,另外8個IP地址:202.206.222.1202.206.222.8用作NAT。NAT的配置可以分為以下幾個步驟。(1)定義NAT內(nèi)部、外部接口Ip nat inside 定義端口為內(nèi)部端口;Ip nat outside定義端口為外部端口。(2)定義允許進(jìn)行NAT的內(nèi)部局部IP地址范圍內(nèi)部地址范圍為:192.168.0.1-192.168.0.254,192.168.7.1-192.168.7.254,192.168.100.1-192.168.100.254八個子網(wǎng)。(3)為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換將服務(wù)器的內(nèi)部IP地址改為公有地址。(4) 為其他工作站定義動態(tài)地址轉(zhuǎn)換將一個網(wǎng)絡(luò)中的所有需要轉(zhuǎn)換的私有地址用一個ACL來表示,再從ISP注冊到的共有地址一個地址池來表示,最后再將ACL與地址池做動態(tài)的轉(zhuǎn)換。將除服務(wù)器外的內(nèi)部IP隨機轉(zhuǎn)換為地址池內(nèi)的202.206.222.4 - 202.206.222.8的公有地址。Cisco為地址池名。3.2.5 設(shè)置接入路由器InternetRouter上的ACL在網(wǎng)絡(luò)環(huán)境中還普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。在絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實現(xiàn)中它們都是應(yīng)該對外加以屏蔽的。主要應(yīng)該做以下的ACL設(shè)計:(1)對外屏蔽簡單網(wǎng)管協(xié)議,即SNMP。利用這個協(xié)議,遠(yuǎn)程主機可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型:SNMP和SNMPTRAP。對外屏蔽簡單網(wǎng)管協(xié)議SNMP:(2)對外屏蔽遠(yuǎn)程登錄協(xié)議telnet首先,telnet是一種不安全的協(xié)議類型。用戶在使用telnet登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時所使用的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?,很容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。其次,telnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和UNIX服務(wù)器,并可以使用相關(guān)命令完全操縱它們。這是極其危險的,因此必須加以屏蔽。對外屏蔽遠(yuǎn)程登錄協(xié)議telnet:(3)對外屏蔽其它不安全的協(xié)議或服務(wù)這樣的協(xié)議主要有SUN OS的文件共享協(xié)議端口2049,遠(yuǎn)程執(zhí)行(rsh)、遠(yuǎn)程登錄(rlogin)和遠(yuǎn)程命令(rcmd)端口512、513、514,遠(yuǎn)程過程調(diào)用(SUNRPC)端口111??梢詫⑨槍σ陨蠀f(xié)議綜合進(jìn)行設(shè)計,如圖所示。(4)針對DoS攻擊的設(shè)計DoS攻擊(Denial of Service Attack,拒絕服務(wù)攻擊)是一種非常常見而且極具破壞力的攻擊手段,它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止,嚴(yán)重時會導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。(5)保護路由器自身安全作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器,保護自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器,必須對路由器的訪問位置加以限制。應(yīng)只允許來自服務(wù)器群的IP地址訪問并配置路由器。這時,可以使用ACCESS-CLASS命令進(jìn)行VTY訪問控制。如圖所示3.3 遠(yuǎn)程訪問設(shè)計和程訪問模塊設(shè)遠(yuǎn)程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務(wù)。遠(yuǎn)程訪問有三種可選的服務(wù)類型:專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同,花費也不相同。在本設(shè)計中,由于面對的用戶群規(guī)模、業(yè)務(wù)量較小,所以采用了異步撥號連接作為遠(yuǎn)程訪問的技術(shù)手段。異步撥號連接屬于電路交換類型的廣域網(wǎng)連接,它是在傳統(tǒng)公共交換電話網(wǎng)(Public Switched Telephone Network,PSTN)上提供服務(wù)的。傳統(tǒng)PSTN提供的服務(wù)也被稱為簡易老式電話業(yè)務(wù)(Plan Old Telephone System,POTS)。因為目前存在著大量安裝好的電話線,所以這樣的環(huán)境是最容易滿足的。因此,異步撥號連接也就成為最為方便和普遍的遠(yuǎn)程訪問類型。廣域網(wǎng)連接可以采用不同類型的封裝協(xié)議,如HDLC、PPP等。其中,PPP除了提供身份認(rèn)證功能外,還可以提供其他很多可選項配置,包括鏈路壓縮、多鏈路捆綁、回叫等,因此更具優(yōu)勢。也是本設(shè)計所采用的異步連接封裝協(xié)議。PPP提供了兩種可選的身份認(rèn)證方法:口令驗證協(xié)議PAP(Password Authentication Protocol,PAP)和質(zhì)詢握手協(xié)議(Challenge Handshake Authentication Protocol,CHAP)。PAP是一個簡單的、實用的身份驗證協(xié)議。PAP認(rèn)證進(jìn)程只在雙方的通信鏈路建立初期進(jìn)行。如果認(rèn)證成功,在通信過程中不再進(jìn)行認(rèn)證。如果認(rèn)證失敗,則直接釋放鏈路。CHAP認(rèn)證比PAP認(rèn)證更安全,因為CHAP不在線路上發(fā)送明文密碼,而是發(fā)送經(jīng)過摘要算法加工過的隨機序列,也被稱為"挑戰(zhàn)字符串"。同時,身份認(rèn)證可以隨時進(jìn)行,包括在雙方正常通信過程中。因此,非法用戶就算截獲并成功破解了一次密碼,此密碼也將在一段時間內(nèi)失效。3.4 服務(wù)器模塊設(shè)計服務(wù)器模塊用來對企業(yè)網(wǎng)的接入用戶提供各種服務(wù)。在本設(shè)計方案中,所有的服務(wù)器被集中到VLAN 100構(gòu)成服務(wù)器群并通過分布層交換機DistributeSwitch1的端口fastethernet 1012接入企業(yè)網(wǎng)。企業(yè)網(wǎng)提供的常見的服務(wù)(服務(wù)器)包括: WEB服務(wù)器:提供WEB網(wǎng)站服務(wù)。內(nèi)部IP:192.168.100.1 外部IP:202.206.222.1郵件服務(wù)器:提供郵件收發(fā)服務(wù)。內(nèi)部IP:192.168.100.2 外部IP:202.206.222.2數(shù)據(jù)庫服務(wù)器:提供各種數(shù)據(jù)庫服務(wù)。內(nèi)部IP:192.168.100.3 外部IP:202.206.222.34 系統(tǒng)總結(jié)本文所構(gòu)建的網(wǎng)絡(luò)適合中小規(guī)模企業(yè),在此基礎(chǔ)上,適當(dāng)降低設(shè)備和系統(tǒng)配置,可以用在工作組級別的機構(gòu)上;而提高硬件和軟件系統(tǒng)的級別,也可以擴充到大型企業(yè)級規(guī)模。然而,技術(shù)是網(wǎng)絡(luò)組建的主要考慮因素,但是網(wǎng)絡(luò)的構(gòu)建往往受到經(jīng)費的制約,因此,高的性價比是決定的因素。致謝在完成本畢業(yè)設(shè)計的過程中,作者得到了劉曉霞老師的大力支持,同學(xué)們的熱情協(xié)助,在有限的時間內(nèi),最快的完成了本設(shè)計。在此,我謹(jǐn)向提供幫助的各位老師及同學(xué)致以深深的感謝!參考文獻(xiàn)1 Steve McQuerry. CCNA 自學(xué)指南:Cisco 網(wǎng)絡(luò)設(shè)備互連.人民郵電出版社,20052 Diane Teare、 Catherine Paquet. 園區(qū)網(wǎng)絡(luò)設(shè)計.人民郵電出版社,20073 Richard Deal. CCNA學(xué)習(xí)指南. 人民郵電出版社,20094 崔北亮. CCNA學(xué)習(xí)與實驗指南. 電子工業(yè)出版社,20105 Kevin Wallace. CCNP TSHOOT 認(rèn)證考試指南. 人民郵電出版社,20106 Wendell Odom. CCNP ROUTE 認(rèn)證考試指南. 人民郵電出版社,20107 David Hucaby. CCNP SWITCH 認(rèn)證考試指南. 人民郵電出版社,20108 王相林. 組網(wǎng)技術(shù)與配置. 清華大學(xué)出版社,2009