運(yùn)城職業(yè)技術(shù)學(xué)院2016屆畢業(yè)設(shè)計(jì)說(shuō)明書(shū)頁(yè)摘要信息話浪潮風(fēng)起云涌的今天，企業(yè)內(nèi)部網(wǎng)絡(luò)的的建設(shè)已經(jīng)成為提升企業(yè)核心競(jìng)爭(zhēng)力的關(guān)鍵因素。企業(yè)網(wǎng)已經(jīng)越來(lái)越多的被人們提到，利用網(wǎng)絡(luò)技術(shù)，現(xiàn)代企業(yè)可以在供應(yīng)商、合作伙伴、員工之間實(shí)現(xiàn)優(yōu)化的信息溝通。這直接關(guān)系到企業(yè)能否獲得關(guān)鍵競(jìng)爭(zhēng)優(yōu)勢(shì)。近年來(lái)越來(lái)越多的企業(yè)都在加快建設(shè)自身信息網(wǎng)絡(luò)，而其中絕大多數(shù)都是中小型企業(yè)。目前我國(guó)企業(yè)尤其是中小型網(wǎng)絡(luò)建設(shè)正如火如荼的進(jìn)行著，本方案以中小型企業(yè)內(nèi)部局域網(wǎng)的組件需求、實(shí)際管理為出發(fā)點(diǎn)，從中小型企業(yè)局域網(wǎng)的管理需求和傳統(tǒng)局域網(wǎng)技術(shù)入手，研究了局域網(wǎng)技術(shù)在企業(yè)管理中的應(yīng)用。關(guān)鍵詞：網(wǎng)絡(luò)技術(shù)企業(yè)局域網(wǎng)企業(yè)內(nèi)部網(wǎng)絡(luò)目錄TOC\o"1-3"\h\u21840摘要 1280321.緒論 3205862.組網(wǎng)方案 5180963.可行性研究和需求分析 7252203.1技術(shù)可行性 7163883.1.1NAT技術(shù) 7199023.1.2VLAN技術(shù) 8180013.2需求分析 8312363.2.1帶寬性能需求 8160213.2.2網(wǎng)絡(luò)安全需求 9271603.2.3應(yīng)用服務(wù)需求 9295293.3設(shè)計(jì)所需環(huán)境 935583.3.1硬件要求 9200313.3.2軟件要求 911244.交換模塊與接入模塊 10181344.1核心層交換機(jī)配置 10126884.1.1設(shè)置核心交換機(jī)名稱(chēng) 10310124.1.2啟動(dòng)三層交換機(jī)的路由功能 10290054.1.3核心交換機(jī)接口設(shè)置 10106444.2匯聚層交換機(jī)配置 11138654.2.1設(shè)置交換機(jī)名稱(chēng) 11269104.2.2配置G0/1接口 1169954.2.3默認(rèn)路由設(shè)置 11255744.3路由器基本參數(shù)配置 11274694.4設(shè)置路由器R-2811-A各接口參數(shù) 13301184.5NAT設(shè)置 13269094.5.1設(shè)置路由器NAT 14150104.5.2定義內(nèi)部外接口 14225334.6路由器的安全問(wèn)題 15186774.61對(duì)外禁用telnet協(xié)議 15240804.6.2針對(duì)DoS攻擊的設(shè)計(jì) 15239185.配置過(guò)程與VPN測(cè)試 16327585.1配置過(guò)程 16246805.2VPN訪問(wèn)連接測(cè)試 16105286.總結(jié) 182618參考文獻(xiàn) 192264致謝 201.緒論1.1課題的背景隨著近年來(lái)企業(yè)信息化建設(shè)的不斷深入，企業(yè)的運(yùn)作越來(lái)越融入計(jì)算機(jī)網(wǎng)絡(luò)，企業(yè)的溝通、應(yīng)用、財(cái)務(wù)、決策、會(huì)議等數(shù)據(jù)流都在企業(yè)網(wǎng)絡(luò)上傳輸，全球的企業(yè)都在快速的進(jìn)入一個(gè)嶄新的網(wǎng)絡(luò)信息時(shí)代，企業(yè)信息化建設(shè)已經(jīng)成為衡量一個(gè)企業(yè)實(shí)力的重要標(biāo)志。通過(guò)信息化提高企業(yè)的競(jìng)爭(zhēng)力已成為大多數(shù)企業(yè)的共識(shí)。在現(xiàn)在企業(yè)中，普遍存在資金不足、信息基礎(chǔ)薄弱、技術(shù)人員匱乏等特點(diǎn)，使得他們不能有效地將自身傳統(tǒng)業(yè)務(wù)與信息系統(tǒng)很好的結(jié)合起來(lái)，以至于常常會(huì)出現(xiàn)投入不見(jiàn)效的情況。究其原因，在于企業(yè)信息化觀念不夠，信息系統(tǒng)沒(méi)有總體設(shè)計(jì)原則，信息化建設(shè)缺乏規(guī)劃，致使企業(yè)協(xié)同運(yùn)作存在障礙，運(yùn)營(yíng)成本居高不下。作為企業(yè)的局域網(wǎng)，它不僅可以為企業(yè)提供高效的辦公環(huán)境，還可以實(shí)現(xiàn)硬件資源和軟件資源的共享從而節(jié)省了企業(yè)大量開(kāi)支，又便于集中管理和提高工作效率。其次企業(yè)局域網(wǎng)要實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接，從而極大的方便了企業(yè)和外界的溝通，這樣不僅可以降低企業(yè)的生產(chǎn)成本，也可以實(shí)現(xiàn)異地辦公。企業(yè)用戶(hù)可以方便地傳輸各類(lèi)數(shù)據(jù)，開(kāi)展各類(lèi)網(wǎng)絡(luò)應(yīng)用。隨著我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)尤其是Internet技術(shù)的高速發(fā)展，加快對(duì)企業(yè)局域網(wǎng)建設(shè)迫在眉睫。因此構(gòu)建一個(gè)“安全可靠、性能卓越、管理方便”的企業(yè)局域網(wǎng)，已經(jīng)成為企業(yè)信息化建設(shè)成功的關(guān)鍵基石。本課題的設(shè)計(jì)需要綜合運(yùn)用各種知識(shí)來(lái)完成本課題，不僅可以使我進(jìn)一步掌握計(jì)算機(jī)網(wǎng)絡(luò)原理、熟企業(yè)局域網(wǎng)的設(shè)計(jì)搭建，而且可以增強(qiáng)了我的自學(xué)能力和動(dòng)手能力。1.2國(guó)內(nèi)外企業(yè)局域網(wǎng)建設(shè)現(xiàn)狀目前，計(jì)算機(jī)網(wǎng)絡(luò)被廣泛應(yīng)用于個(gè)人、工商業(yè)、教育業(yè)、各級(jí)政府、各種軍事單位等多種場(chǎng)合，社會(huì)各部門(mén)都可以通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)信息快捷可靠的無(wú)縫連接和共享，計(jì)算機(jī)網(wǎng)絡(luò)已遍及社會(huì)的每個(gè)領(lǐng)域，成為當(dāng)今社會(huì)的一個(gè)基本元素。國(guó)外歐美的發(fā)達(dá)國(guó)家的企業(yè)在局域網(wǎng)建設(shè)走的比較早，隨著網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步以及通信產(chǎn)品技術(shù)的不斷完善，現(xiàn)在歐美發(fā)達(dá)國(guó)家企業(yè)局域網(wǎng)建設(shè)完全達(dá)到了辦公自動(dòng)化，而且寬帶大，速度快，超過(guò)一半以上的企業(yè)擁有自己的網(wǎng)站，成為對(duì)外聯(lián)絡(luò)的主要窗口，企業(yè)內(nèi)部網(wǎng)絡(luò)安全等級(jí)較高。國(guó)內(nèi)企業(yè)局域網(wǎng)建設(shè)近年來(lái)有了長(zhǎng)足的發(fā)展，但和歐美發(fā)達(dá)國(guó)家的企業(yè)局域網(wǎng)相比還有著明顯的不足主要體現(xiàn)在：1、低水平重復(fù)建設(shè)且成本高昂：各部門(mén)擁有相對(duì)獨(dú)立的信息系統(tǒng)，資源分散于各部門(mén)之中，容易形成信息孤島。2、管理信息和反饋信息不能迅速傳遞：隨著企業(yè)的發(fā)展，數(shù)據(jù)信息流不斷增加，對(duì)于各部門(mén)管理提出了快速響應(yīng)的要求。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，與社會(huì)生活關(guān)系最緊密的局域網(wǎng)也得到越來(lái)越廣泛的應(yīng)用——事實(shí)上，局域網(wǎng)已是目前應(yīng)用最廣泛的一類(lèi)網(wǎng)絡(luò)。局域網(wǎng)擁有組建靈活、功能強(qiáng)大、維護(hù)便捷等優(yōu)點(diǎn)，也正因?yàn)檫@樣，局域網(wǎng)才成為計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域的明星，受到越來(lái)越多用戶(hù)的歡迎；也正是因?yàn)榫钟蚓W(wǎng)的出現(xiàn)，使計(jì)算機(jī)網(wǎng)絡(luò)的威力獲得了更充分的發(fā)揮，使得計(jì)算機(jī)網(wǎng)絡(luò)在很短的時(shí)間內(nèi)就深入到社會(huì)的各個(gè)領(lǐng)域。同時(shí)，局域網(wǎng)技術(shù)也因而成為目前最為活躍的技術(shù)領(lǐng)域之一，各類(lèi)局域網(wǎng)層出不窮并得到了廣泛的應(yīng)用，極大地推進(jìn)了整個(gè)社會(huì)的信息化發(fā)展。1.3業(yè)局域企網(wǎng)建設(shè)的目標(biāo)與意義企業(yè)信息化建設(shè)是國(guó)際信息化的基礎(chǔ)和重要組成部分，是提高企業(yè)辦事效率，提高企業(yè)綜合素質(zhì)，是企業(yè)不斷邁上新的臺(tái)階，成為一流企業(yè)的有效措施。企業(yè)局域網(wǎng)的建設(shè)的目標(biāo)是為全企業(yè)人員提供一個(gè)信息交流和合作平臺(tái)，在需要連接Internet時(shí)，以充分利用因特網(wǎng)上的資源，實(shí)現(xiàn)對(duì)外（企業(yè)與企業(yè)，企業(yè)與社會(huì)）的信息發(fā)布、交流與合作，對(duì)于企業(yè)的發(fā)展具有積極的社會(huì)意義與經(jīng)濟(jì)效益：1、擴(kuò)大企業(yè)在社會(huì)上的影響力，提高其知名度，為外界了解企業(yè)文化提供一個(gè)簡(jiǎn)單、便捷的窗口。2、在整個(gè)企業(yè)內(nèi)部提供一個(gè)良好的信息傳遞通道，企業(yè)內(nèi)部的政策、資源、通知可以在全企業(yè)進(jìn)行迅速傳遞。3、實(shí)現(xiàn)企業(yè)的辦公自動(dòng)化，有效地降低了辦公地成本。4、企業(yè)的各級(jí)領(lǐng)導(dǎo)得以最快、最有效的方式對(duì)企業(yè)內(nèi)部運(yùn)作過(guò)程中的各種信息進(jìn)行有效了解并采取有效措施，同時(shí)得到全面的決策支持。5、企業(yè)內(nèi)部人員可以方便安全的訪問(wèn)外部因特網(wǎng)。2.組網(wǎng)方案2.1網(wǎng)絡(luò)結(jié)構(gòu)分析對(duì)于計(jì)算機(jī)和網(wǎng)絡(luò)終端不多于100臺(tái)的網(wǎng)絡(luò)，可采用兩層結(jié)構(gòu)，以三層交換機(jī)（QuidwayS5600系列）作為核心交換設(shè)備，實(shí)現(xiàn)接入交換機(jī)、網(wǎng)絡(luò)服務(wù)器、路由器之間的高速鏈接，并采用中端路由器（Cisco3800）實(shí)現(xiàn)與核心路由器的鏈接。在設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)時(shí)，要考慮其成本、擴(kuò)充性、安裝維護(hù)是否方便等。綜合這些因素，在以太網(wǎng)與令牌網(wǎng)兩種結(jié)構(gòu)類(lèi)型中，建議選擇以太網(wǎng)，這是因?yàn)橐蕴W(wǎng)的組成較為簡(jiǎn)單，便于非專(zhuān)業(yè)人員的日常維護(hù)。鑒于各工作站獨(dú)立工作及協(xié)同工作的雙重要求，工作站微機(jī)間的連接采用星形拓?fù)浣Y(jié)構(gòu)，在主計(jì)算HOST)與工作站間采用總線結(jié)，以增強(qiáng)多用戶(hù)訪問(wèn)時(shí)的可靠性，保證一定的傳輸速率。目前在局域網(wǎng)上應(yīng)用較為廣泛的網(wǎng)絡(luò)類(lèi)型是客戶(hù)機(jī)／服務(wù)器(c1ient／Sener)網(wǎng)。此種網(wǎng)絡(luò)至少需要一臺(tái)服務(wù)器來(lái)提供網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)的運(yùn)行管理。網(wǎng)絡(luò)中所有的電腦終端均能共享服務(wù)器的軟、硬件資源。網(wǎng)絡(luò)運(yùn)行穩(wěn)定，有利于信息的統(tǒng)一管理和安全保密，并且易于系統(tǒng)的升級(jí)。但由于要配置服務(wù)器，所以網(wǎng)絡(luò)投資較大。2.1.1經(jīng)濟(jì)型網(wǎng)絡(luò)實(shí)際組網(wǎng)過(guò)程中，中小企業(yè)考慮的一個(gè)重要因素就是成本。因此，對(duì)于資金較緊張的中小企業(yè)而言，其站點(diǎn)少，通常在100個(gè)工作站以?xún)?nèi)，而且工作站相對(duì)集中，結(jié)構(gòu)化布線可以只采用雙絞線。每個(gè)工作站與集線器或交換機(jī)之間的距離不能超過(guò)100m，多個(gè)工作站共享一個(gè)網(wǎng)絡(luò)出口。2.1.2高性能網(wǎng)絡(luò)對(duì)于網(wǎng)絡(luò)速度要求較高、資金充足的企業(yè)來(lái)說(shuō)，可以采用路由器和交換機(jī)這種比較高級(jí)、性能更好的組網(wǎng)方式。①系統(tǒng)需求分析，對(duì)系統(tǒng)各種功能需要進(jìn)行總結(jié)該企業(yè)有100臺(tái)電腦入網(wǎng)，屬于中小型局域網(wǎng)，且具有撥號(hào)上網(wǎng)功能。企業(yè)辦公局域網(wǎng)的組建②進(jìn)行設(shè)備的選型：網(wǎng)絡(luò)操作系統(tǒng)選擇：Windows2000Server簡(jiǎn)體中文版操作系統(tǒng)。2.2局域網(wǎng)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)對(duì)于已經(jīng)上了一定規(guī)模，在內(nèi)部已經(jīng)有了幾個(gè)部門(mén)的企業(yè)，如果所有部門(mén)的用戶(hù)無(wú)差別地處于對(duì)等網(wǎng)中，不僅使許多敏感數(shù)據(jù)容易被無(wú)關(guān)人員獲取，而且部門(mén)內(nèi)的大量通信也會(huì)占用大量的網(wǎng)絡(luò)資源，使整個(gè)網(wǎng)絡(luò)的效率變低，甚至引起崩潰。為了克服這個(gè)缺點(diǎn)，需要將經(jīng)常進(jìn)行通信的計(jì)算機(jī)組成一個(gè)子網(wǎng)，使大量的內(nèi)部數(shù)據(jù)局限在子網(wǎng)內(nèi)傳播，然后各個(gè)子網(wǎng)連接在一起形成局域網(wǎng)。具體的結(jié)構(gòu)圖見(jiàn)圖企業(yè)局域網(wǎng)結(jié)構(gòu)圖在這個(gè)方案中，使用了ISDN／Modem，通過(guò)撥號(hào)連接到互聯(lián)網(wǎng)中。路由器和集線器之間，可以設(shè)置一臺(tái)安裝了兩個(gè)網(wǎng)卡的服務(wù)器。分別連接在路由器和集線器上，作為網(wǎng)關(guān)，運(yùn)行防火墻軟件等，進(jìn)行網(wǎng)絡(luò)管理和安全防范。在方案中用ISDN／Modem作為統(tǒng)一的出口。避免每臺(tái)Pc配一個(gè)Modem減少了購(gòu)買(mǎi)費(fèi)用，并且容易管理；而使用一臺(tái)服務(wù)器加上網(wǎng)3.可行性研究和需求分析3.1技術(shù)可行性3.1.1NAT技術(shù)NAT技術(shù)主要實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換，靜態(tài)NAT是把內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)地址永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法地址，這樣方便外網(wǎng)用戶(hù)訪問(wèn)企業(yè)Web網(wǎng)；動(dòng)態(tài)地址NAT是采用把外部網(wǎng)絡(luò)中的一系列合法地址使用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)；端口多路復(fù)用地址轉(zhuǎn)換（PAT）是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上，把企業(yè)內(nèi)部網(wǎng)IP轉(zhuǎn)換為公網(wǎng)IP地址，使內(nèi)部用戶(hù)可以方便的訪問(wèn)Internet。目前，NAT技術(shù)主要用于連接和安全方面。目前企業(yè)內(nèi)部網(wǎng)絡(luò)用戶(hù)數(shù)量大，而能申請(qǐng)的合法的全球唯一IP地址有限。NAT能夠有效的解決企業(yè)IP地址短缺問(wèn)題，利用NAT技術(shù)能夠?qū)崿F(xiàn)多個(gè)用戶(hù)共同使用一個(gè)合法的IP地址連接互聯(lián)網(wǎng)。而另一種需要出于安全方面來(lái)考慮，在一定程度上防范網(wǎng)絡(luò)攻擊的發(fā)生。企業(yè)期望隱藏LAN內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，NAT可以將內(nèi)部LAN與外部Internet隔離，使外部網(wǎng)絡(luò)用戶(hù)無(wú)法了解通過(guò)NAT設(shè)置的內(nèi)部IP地址。NAT技術(shù)在企業(yè)中都采取兩種技術(shù)類(lèi)型結(jié)合應(yīng)用，比較好的還是和端口復(fù)用地址轉(zhuǎn)換。結(jié)合起來(lái)的技術(shù)如：端口復(fù)用地址轉(zhuǎn)換、TCP/UDP端口NAT映射、靜態(tài)地址轉(zhuǎn)換+端口復(fù)用地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換+端口復(fù)用地址轉(zhuǎn)換。我們知道，不同應(yīng)用程序使用TCP/UDP端口是不同的，例如，WEB服務(wù)器使用80、FTP服務(wù)使用21、SMTP服務(wù)使用25、POP3服務(wù)使用110等。由于每種應(yīng)用服務(wù)器都有自己默認(rèn)的端口，所以這種NAT方式下，網(wǎng)絡(luò)內(nèi)部每種應(yīng)用服務(wù)器成為Internet中的主機(jī)，例如，只能有一臺(tái)WEB服務(wù)器、一臺(tái)E-mail服務(wù)、一臺(tái)FTP服務(wù)器。盡管可以采用改變默認(rèn)端口的方式創(chuàng)建多臺(tái)應(yīng)用服務(wù)器，但這種服務(wù)器在訪問(wèn)時(shí)比較困難，要求用戶(hù)必須先了解某種服務(wù)采用的新TCP端口。因此，可以將不同的TCP端口綁定至不同的內(nèi)部IP地址，從而只使用一個(gè)IP地址，即可在允許內(nèi)部所有服務(wù)器被Internet訪問(wèn)的同時(shí)，實(shí)現(xiàn)內(nèi)部所有主機(jī)對(duì)Internet的訪問(wèn)。3.1.2VLAN技術(shù)根據(jù)各部門(mén)職能不同把各部門(mén)劃入不同的VLAN減少了廣播，提高了通信效率。VLAN(VirtualLocalAreaNetwork)就是虛擬局域網(wǎng)的意思。VLAN可以不考慮用戶(hù)的物理位置，而根據(jù)功能、應(yīng)用等因素將用戶(hù)從邏輯上劃分為一個(gè)個(gè)功能相對(duì)獨(dú)立的工作組，每個(gè)用戶(hù)主機(jī)都連接在一個(gè)支持VLAN的交換機(jī)端口上并屬于一個(gè)VLAN。同一個(gè)VLAN中的成員都共享廣播，形成一個(gè)廣播域，而不同VLAN之間廣播信息是相互隔離的。這樣，將整個(gè)網(wǎng)絡(luò)分割成多個(gè)不同的廣播域(VLAN)。一般來(lái)說(shuō)，如果一個(gè)VLAN里面的工作站發(fā)送一個(gè)廣播，那么這個(gè)VLAN里面所有的工作站都接收到這個(gè)廣播，但是交換機(jī)不會(huì)將廣播發(fā)送至其他VLAN上的任何一個(gè)端口。如果要將廣播發(fā)送到其它的VLAN端口，就要用到三層交換機(jī)。 3.2需求分析3.2.1帶寬性能需求現(xiàn)代企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強(qiáng)大的性能，以滿(mǎn)足用戶(hù)日益增長(zhǎng)的通信需求。隨著計(jì)算機(jī)技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個(gè)多業(yè)務(wù)承載平臺(tái)，不僅要繼續(xù)承載企業(yè)的辦公自動(dòng)化，Web瀏覽等簡(jiǎn)單的數(shù)據(jù)業(yè)務(wù)，還要承載設(shè)計(jì)企業(yè)生產(chǎn)運(yùn)營(yíng)的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和要求很高的IP電話、視頻會(huì)議等多媒體業(yè)務(wù)。因此，數(shù)據(jù)流量將大大增加，尤其對(duì)核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了更高的要求。另外，隨著千兆位端口成本的持續(xù)下降，千兆位到桌面的應(yīng)用會(huì)在不久的將來(lái)成為企業(yè)網(wǎng)主流。構(gòu)建一個(gè)暢通無(wú)阻的“高品質(zhì)”企業(yè)局域網(wǎng)，才能適應(yīng)網(wǎng)絡(luò)規(guī)模的擴(kuò)大，業(yè)務(wù)量的日益增長(zhǎng)的需求。3.2.2網(wǎng)絡(luò)安全需求現(xiàn)代企業(yè)網(wǎng)需要提供更加完善的網(wǎng)絡(luò)安全解決方案，以阻止病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟(jì)損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施主要通過(guò)部署防火墻、IDS、殺毒軟件以及配合交換機(jī)或路由器的ACL來(lái)實(shí)現(xiàn)對(duì)病毒和黑客攻擊的防御。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運(yùn)營(yíng)的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須有一整套從用戶(hù)接入控制，病毒報(bào)文識(shí)別到主動(dòng)抑制的一系列安全控制手段，這樣才能保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。3.2.3應(yīng)用服務(wù)需求現(xiàn)代企業(yè)網(wǎng)絡(luò)應(yīng)具備更加智能的網(wǎng)絡(luò)管理解決方案，以適應(yīng)網(wǎng)絡(luò)規(guī)模日益擴(kuò)大，維護(hù)工作更加復(fù)雜的需求。當(dāng)前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為“以應(yīng)用為中心”的信息基礎(chǔ)平臺(tái)，網(wǎng)絡(luò)管理能力的要求已經(jīng)上升到了業(yè)務(wù)層次，傳統(tǒng)網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管理需求的發(fā)展。所以現(xiàn)代企業(yè)網(wǎng)絡(luò)迫切需要網(wǎng)絡(luò)設(shè)備支撐“以應(yīng)用為中心”的智能網(wǎng)絡(luò)運(yùn)營(yíng)維護(hù)的能力，并能夠有一套智能化的管理軟件，將網(wǎng)絡(luò)管理人員從繁重的工作中解脫出來(lái)。3.3設(shè)計(jì)所需環(huán)境3.3.1硬件要求安裝有Windows2003/XP/Vista操作系統(tǒng)的計(jì)算機(jī)，內(nèi)存512M及以上，硬盤(pán)80G及以上。3.3.2軟件要求PacketTracer5.34.交換模塊與接入模塊4.1核心層交換機(jī)配置4.1.1設(shè)置核心交換機(jī)名稱(chēng)設(shè)置交換機(jī)的名稱(chēng)，也就是出現(xiàn)在路由器CLI提示符中的名字,本設(shè)計(jì)中命名規(guī)則如下：類(lèi)型-型號(hào)-編號(hào)。以下命令設(shè)置核心交換機(jī)的名字為S-3560-A。Switch>enSwitch#configtSwitch(config)#homeostasisS-3560-A4.1.2啟動(dòng)三層交換機(jī)的路由功能三層交換機(jī)具有路由功能但默認(rèn)是未啟動(dòng)的，我們需要先啟動(dòng)路由功能，這樣才能為不同VLAN路由數(shù)據(jù)包，從而實(shí)現(xiàn)各VLAN間的相互通信，以下命令是啟動(dòng)路由功能。S-3560-A(config)#IProuting//啟動(dòng)路由功能4.1.3核心交換機(jī)接口設(shè)置S-3560-A(config)#intg0/1S-3560-A(config-if)#noswitchport//二層端口轉(zhuǎn)換成路由端口S-3560-A(config-if)#IPadd//為G0/1接口分配IP地址S-3560-A(config-if)#intg0/25//進(jìn)入g0/25端口S-3560-A(config-if)#noswitchportS-3560-A(config-if)#IPaddS-3560-A(config-if)#intg0/26S-3560-A(config-if)#noswitchportS-3560-A(config-if)#IPaddS-3560-A(config-if)#intg0/27S-3560-A(config-if)#noswitchportS-3560-A(config-if)#IPaddS-3560-A(config-if)#intg0/28S-3560-A(config-if)#noswitchportS-3560-A(config-if)#ipaddS-3560-A(config-if)#exit4.2匯聚層交換機(jī)配置依據(jù)樓宇位置不同我們所需四臺(tái)CiscoCatalyst3560-24TS交換機(jī)作為匯聚層交換機(jī)，在此我們僅以1號(hào)辦公樓的匯聚層交換機(jī)加以說(shuō)明，其它樓宇匯聚層交換機(jī)設(shè)置與此設(shè)置類(lèi)似。4.2.1設(shè)置交換機(jī)名稱(chēng)Switch>enSwitch#configt//進(jìn)入全局配置模式Switch(config)#hostnameS-3560-B//交換機(jī)命名為S-3560-B4.2.2配置G0/1接口S-3560-B(config)#intg0/1//為G0/1分配IP地址S-3560-B(config-if)#noswitchportS-3560-B(config-if)#ipaddS-3560-B(config-if)#exit4.2.3默認(rèn)路由設(shè)置未知流量通過(guò)G0/1接口流向核心交換機(jī)S-3560-B(config)#iproute//未知流量流向核心交換機(jī)4.3路由器基本參數(shù)配置圖4.3路由器基本配置1、設(shè)置路由器名稱(chēng)設(shè)置路由器的名稱(chēng)，也就是出現(xiàn)在路由器CLI提示符中的名字,本設(shè)計(jì)中命名規(guī)則如下：類(lèi)型-型號(hào)-編號(hào)。當(dāng)需要telnet登錄到若干臺(tái)路由器上以維護(hù)一個(gè)大型網(wǎng)絡(luò)時(shí)，通過(guò)交換機(jī)名稱(chēng)提示符提示自己當(dāng)前路由器的位置是很重要的。以下命令將配置路由器名稱(chēng)為R-2811-A。Router>enableRouter#configureterminalRouter(config)#hostnameR-2811-A//設(shè)置路由器名稱(chēng)為R-2811-A2、設(shè)置路由器加密口令密碼當(dāng)用戶(hù)在普通模式下進(jìn)入特權(quán)模式時(shí)，需要提供此口令。此口令會(huì)已MD5的形式加密，因此當(dāng)用戶(hù)查看配置文件時(shí)，無(wú)法看到明文形式的口令配置特權(quán)EXEC口令。R-2811-A(config)#enablesecretexec123//設(shè)置特權(quán)EXEC密碼為exec1233、設(shè)置telnet虛擬終端口令：R-2811-A(config)#linevty05R-2811-A(config-line)#passwordvty123//設(shè)置telnet虛擬終端密碼為vty123R-2811-A(config-line)#login4、設(shè)置控制臺(tái)端口密碼R-2811-A(config)#lineconsole0R-2811-A(config-line)#passwordconsole123//設(shè)置控制臺(tái)端口密碼console1235、設(shè)置輔助端口密碼R-2811-A(config)#lineaux0R-2811-A(config-line)#passwordaux123//設(shè)置輔助端口密碼為aux1234.4設(shè)置路由器R-2811-A各接口參數(shù)對(duì)接入路由器R-2811-A的各接口參數(shù)的配置主要是對(duì)接口F0/0以及接口F0/1的IP地址、子網(wǎng)掩碼的配置。如下所示：其中，F(xiàn)0/0的IP地址是ISP提供的。圖4.4路由器接口配置4.5NAT設(shè)置由于目前IP地址資源非常稀缺，不可能為企業(yè)局域網(wǎng)的每一個(gè)工作站都分配一個(gè)公網(wǎng)IP地址，為了實(shí)現(xiàn)企業(yè)內(nèi)部所有計(jì)算機(jī)可以訪問(wèn)外部Internet的需求，我們可以通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)實(shí)現(xiàn)，實(shí)現(xiàn)內(nèi)網(wǎng)對(duì)Internet的訪問(wèn)以及外網(wǎng)對(duì)企業(yè)內(nèi)部web服務(wù)器訪問(wèn)。圖4-5路由器NAT設(shè)置4.5.1設(shè)置路由器NATR-2811-A(config)#ipnatinsidesourcestatic//靜態(tài)NAT用于外網(wǎng)對(duì)web的訪問(wèn)R-2811-A(config)#ipnatinsidesourcelist1interfacef0/0overload//定義復(fù)用Internet接口IP地址（過(guò)載overload）R-2811-A(config)#access-list1permit55//定義內(nèi)部訪問(wèn)列表4.5.2定義內(nèi)部外接口R-2811-A(config)#intf0/1R-2811-A(config-if)#ipnatinside//定義F0/1為內(nèi)部接口R-2811-A(config-if)#exitR-2811-A(config)#intf0/0R-2811-A(config-if)#ipnatoutside//定義F0/0為外部接口4.6路由器的安全問(wèn)題路由器是外網(wǎng)進(jìn)入企業(yè)網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問(wèn)控制列表（AccessControlList，ACL）是保護(hù)內(nèi)網(wǎng)安全的有效手段。一個(gè)設(shè)計(jì)良好的訪問(wèn)控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時(shí)的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對(duì)路由器的訪問(wèn)控制列表進(jìn)行縝密的設(shè)計(jì)，來(lái)對(duì)企業(yè)內(nèi)網(wǎng)包括防火墻本身實(shí)施保護(hù)。4.61對(duì)外禁用telnet協(xié)議首先，telnet是一種不安全的協(xié)議類(lèi)型。用戶(hù)在使用telnet登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時(shí)所使用的用戶(hù)名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?，很容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。其次，telnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和UNIX服務(wù)器，并可以使用相關(guān)命令完全操縱它們。這是極其危險(xiǎn)的，因此必須加以屏蔽。R-2811-A(config)#access-list100denytcpanyanyeqtelnet//對(duì)外屏蔽telnetR-2811-A(config)#access-list100permitipanyany4.6.2針對(duì)DoS攻擊的設(shè)計(jì)DoS攻擊（DenialofServiceAttack，拒絕服務(wù)攻擊）是一種非常常見(jiàn)而且極具破壞力的攻擊手段，它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止，嚴(yán)重時(shí)會(huì)導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。R-2811-A(config)#access-list101denyicmpanyanyeqecho-requestR-2811-A(config)#access-list101denyudpanyanyeqechoR-2811-A(config)#access-list101permitipanyany//將ACL應(yīng)用于f0/0接口R-2811-A(config)#intf0/0R-2811-A(config-if)#ipaccess-group101in保護(hù)企業(yè)網(wǎng)免受攻擊，路由器的安全就顯得十分重要，有條件的話可以在買(mǎi)一個(gè)專(zhuān)業(yè)防火墻，然后配置它?；蛘咧苯釉诼酚善魃显谝欢ǔ潭壬舷拗仆饩W(wǎng)訪問(wèn)。5.配置過(guò)程與VPN測(cè)試5.1配置過(guò)程在EVS路由器上設(shè)置IPSec遠(yuǎn)程接入時(shí)，需要執(zhí)行以下基本任務(wù)：任務(wù)1—為設(shè)備的認(rèn)證和用戶(hù)認(rèn)證（XAUTH）定義AAA策略（預(yù)共享密鑰和RSA簽名）；任務(wù)2—為遠(yuǎn)程客戶(hù)端定義組