基于PacketTracer的智能公司局域網(wǎng)的組建摘要如今，一個(gè)安全高效智能的網(wǎng)絡(luò)化辦公環(huán)境是現(xiàn)代化公司必不可少的條件，一個(gè)公司肯定會(huì)需要擁有自己的一個(gè)安全可靠運(yùn)行的局域網(wǎng)，供內(nèi)部員工互相溝通合作、高效辦公，解決大量的對(duì)內(nèi)對(duì)外的辦公要求。但是由于目前的網(wǎng)絡(luò)環(huán)境不樂(lè)觀，網(wǎng)絡(luò)中充斥著各種安全隱患及危險(xiǎn)，對(duì)企業(yè)網(wǎng)絡(luò)做好安全防護(hù)，保護(hù)企業(yè)網(wǎng)絡(luò)可靠運(yùn)行是當(dāng)今網(wǎng)絡(luò)安全的一大重點(diǎn)。針對(duì)企業(yè)網(wǎng)絡(luò)規(guī)劃中出現(xiàn)的相關(guān)設(shè)計(jì)問(wèn)題、實(shí)施方案及可能運(yùn)用到的技術(shù)手段，本次畢業(yè)設(shè)計(jì)的課題就此作為方向，為企業(yè)網(wǎng)絡(luò)規(guī)劃提供有利的理論依據(jù)及實(shí)踐參考。此次網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)運(yùn)用到Ciscopackettracer仿真軟件作為企業(yè)網(wǎng)絡(luò)搭建平臺(tái)，通過(guò)對(duì)公司企業(yè)相關(guān)網(wǎng)絡(luò)拓?fù)鋱D的模擬，找到公司企業(yè)網(wǎng)絡(luò)中的薄弱之處及容易受到安全威脅的地方，通過(guò)各種技術(shù)手段及安全設(shè)備進(jìn)行防護(hù)。以及公司企業(yè)內(nèi)部網(wǎng)絡(luò)的各種服務(wù)器的部署，讓企業(yè)網(wǎng)絡(luò)達(dá)到進(jìn)一步的智能方便，同時(shí)根據(jù)對(duì)企業(yè)網(wǎng)絡(luò)組建方案的設(shè)計(jì)，再按照安全部署的相關(guān)配置及服務(wù)器架設(shè)的設(shè)計(jì)方案，解決企業(yè)網(wǎng)絡(luò)安全、企業(yè)局域網(wǎng)組建、企業(yè)服務(wù)器部署、網(wǎng)絡(luò)規(guī)劃等問(wèn)題。關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；中小型企業(yè)局域網(wǎng)；網(wǎng)絡(luò)搭建；CiscoPacketTracerTheestablishmentofintelligentcompanyLANbasedonPacketTracerAbstractNowadays,asafe,efficientandintelligentnetworkingofficeenvironmentisanindispensableconditionforamoderncompany.Acompanydefinitelyneedstohaveitsownsecureandreliablelocalareanetworkwhichprovideaninternalchanneltoemployeesforefficientcommunicatingandcooperating.However,thecurrentnetworkenvironmentisnotoptimistic.Thenetworkisfullofvarioussecurityrisksanddangers.Protectingenterprisenetworkandmakingsuretheenterprisenetworkrunreliablyarekeypointsofpresentnetworksecurity.Therefore,takingthetechnicalmethods,designissuesandimplementationplansthatmaybeencounteredintheprocessoftheconstructionofenterprisenetworkplanasthedirection,thisgraduationprojectisdevotedtoprovidetheoreticalbasisandpracticalreferencefortheconstructionofenterprisenetworkplan.ThisplananddesignofnetworkwillusetheCiscopackettracersimulationsoftwareasanenterprisenetworkbuildingplatform.Bysimulatingthecompany'snetworktopologymap,itwouldfindtheweakpointsinthecompany'scorporatenetworkandtheplacesthatarevulnerabletofacewithsecuritythreats.Thenprovideprotectionthroughdifferentmethodsandequipment.Moreover,thedeploymentofvariousserversinthecompany'sinternalnetworkmakestheenterprisenetworkmoreintelligentandconvenient.Wewillsolvetheproblemssuchas,theservererectionschemedesign,theenterprisenetworksecuritydesignthroughthedesignofenterprisenetworkestablishmentschemeandconfigurationschemebasedonsecuritydeployment.Itiscommittedtosolvingissuesoncorporatenetworksecurity,corporateLANsetup,corporateserverdeployment,networkplanningandsoon.Keywords:computernetwork;smallandmediumenterpriselocalareanetwork;networkconstruction;CiscoPacketTracer

目錄一、前言 頁(yè)一、前言如今，一個(gè)安全高效智能的網(wǎng)絡(luò)化辦公是現(xiàn)代化公司的標(biāo)配，一個(gè)公司肯定會(huì)需要自己的一個(gè)安全可靠運(yùn)行的局域網(wǎng)，供內(nèi)部員工高效的辦公，解決大量的對(duì)內(nèi)對(duì)外的辦公要求。但是目前的網(wǎng)絡(luò)環(huán)境并不樂(lè)觀，網(wǎng)絡(luò)中充斥著各種安全隱患及危險(xiǎn)，作為網(wǎng)絡(luò)工程的學(xué)生，為現(xiàn)在互聯(lián)網(wǎng)的安全及運(yùn)營(yíng)貢獻(xiàn)自己一份力是不可開脫的。（一）本設(shè)計(jì)的目的、意義及解決的主要問(wèn)題本次研究目標(biāo)是通過(guò)packettracer組建智能公司局域網(wǎng)，通過(guò)對(duì)公司企業(yè)網(wǎng)絡(luò)拓?fù)鋱D的模擬，找到公司企業(yè)網(wǎng)絡(luò)中的薄弱之處及容易受到安全威脅的地方，通過(guò)各種技術(shù)手段及安全設(shè)備進(jìn)行防護(hù)。以及公司企業(yè)內(nèi)部網(wǎng)絡(luò)的各種服務(wù)器的部署，讓企業(yè)網(wǎng)絡(luò)達(dá)到進(jìn)一步的智能方便，通過(guò)設(shè)計(jì)企業(yè)網(wǎng)絡(luò)組建方案，基于安全部署的配置方案，設(shè)計(jì)服務(wù)器架設(shè)的方案，企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)等內(nèi)容進(jìn)行解決。解決企業(yè)網(wǎng)絡(luò)安全、企業(yè)局域網(wǎng)組建、企業(yè)服務(wù)器部署、網(wǎng)絡(luò)規(guī)劃等問(wèn)題。（二）可行性分析現(xiàn)在是一個(gè)科技高速發(fā)展的時(shí)代，現(xiàn)代市場(chǎng)競(jìng)爭(zhēng)激烈，而競(jìng)爭(zhēng)手段已經(jīng)從以前的手工方式轉(zhuǎn)變?yōu)樽詣?dòng)化方式，先前簡(jiǎn)單的手工管理方法現(xiàn)在是不能適應(yīng)現(xiàn)代化公司發(fā)展的需求。社會(huì)、科學(xué)的發(fā)展，標(biāo)示著落后的網(wǎng)絡(luò)管理方法終將被企業(yè)淘汰。建立自動(dòng)化網(wǎng)絡(luò)管理信息系統(tǒng)對(duì)現(xiàn)代化企業(yè)自身來(lái)說(shuō)已刻不容緩，是現(xiàn)在企業(yè)應(yīng)有的形象，能夠有效提高公司的管理水平，增加公司的經(jīng)濟(jì)效益。實(shí)現(xiàn)企業(yè)自動(dòng)化管理，能夠提高整個(gè)公司的工作效率及優(yōu)質(zhì)的服務(wù)環(huán)境，提高企業(yè)辦公水平，也能提升員工的幸福感，大大提升員工的工作效率，為公司創(chuàng)造更大的社會(huì)權(quán)益。企業(yè)智能內(nèi)部網(wǎng)絡(luò)的建設(shè)，可以很大程度的改變一個(gè)公司，使其工作從量到完成質(zhì)的飛躍。因此，建立一個(gè)自動(dòng)化、可靠、安全、統(tǒng)一的企業(yè)網(wǎng)絡(luò)是至關(guān)重要的。（三）本設(shè)計(jì)技術(shù)要求前期準(zhǔn)備時(shí)收集大量的中小型企業(yè)局域網(wǎng)規(guī)劃與設(shè)計(jì)的案例，通過(guò)對(duì)收集的案例進(jìn)行分析，并結(jié)合現(xiàn)在的組網(wǎng)技術(shù)與現(xiàn)代企業(yè)對(duì)局域網(wǎng)的要求進(jìn)行新舊組合優(yōu)化，通過(guò)在思科packettracer上模擬企業(yè)局域網(wǎng)的網(wǎng)絡(luò)拓?fù)洌罱ǔ霈F(xiàn)在中小型企業(yè)局域網(wǎng)的雛形，然后在根據(jù)企業(yè)的防護(hù)要求配置上硬件防火墻，對(duì)防火墻的防護(hù)策略進(jìn)行配置，以保證局域網(wǎng)的安全可靠性，對(duì)局域網(wǎng)內(nèi)部進(jìn)行服務(wù)器搭建，配置服務(wù)器，滿足局域網(wǎng)內(nèi)工作終端的工作需求，在核心主干網(wǎng)絡(luò)上采用三層交換機(jī)，多臺(tái)核心交換機(jī)組成冗余與熱備份功能，為局域網(wǎng)提供更高的可靠性。（四）基本思路根據(jù)企業(yè)規(guī)模來(lái)規(guī)劃公司企業(yè)網(wǎng)絡(luò)框架拓?fù)洌驗(yàn)槭侵行⌒推髽I(yè)，所以采用的是樹形拓?fù)浣Y(jié)構(gòu)，他的優(yōu)點(diǎn)就是易于排查故障和易于升級(jí)，帶寬選擇更有前瞻性的千兆以太網(wǎng)，選擇一臺(tái)企業(yè)級(jí)路由器，路由器提供了鏈接內(nèi)網(wǎng)跟外網(wǎng)的功能，一個(gè)企業(yè)級(jí)路由器，它會(huì)帶有防火墻和路由功能配置。對(duì)防火墻進(jìn)行配置實(shí)現(xiàn)內(nèi)外網(wǎng)隔離，網(wǎng)絡(luò)主干設(shè)備以及核心層設(shè)備選取千兆的三層交換機(jī)，三層交換機(jī)提供網(wǎng)絡(luò)的配置和子網(wǎng)劃分、各VLAN的數(shù)據(jù)交換，之所以選擇千兆以太網(wǎng)，是考慮到局域網(wǎng)內(nèi)部的人員叫多，內(nèi)網(wǎng)速率重視程度應(yīng)大于外網(wǎng)。匯聚層或接入層選擇普通的二層交換機(jī)，實(shí)現(xiàn)劃分VLAN，多臺(tái)終端互連功能。配置企業(yè)內(nèi)部的服務(wù)器，包括HTTP、DHCP、MAIL等內(nèi)部服務(wù)器，然后把局域網(wǎng)內(nèi)的終端連接到交換機(jī)上構(gòu)成企業(yè)局域網(wǎng)。（五）實(shí)驗(yàn)平臺(tái)及環(huán)境本論文中所涉及的實(shí)驗(yàn)環(huán)境及實(shí)驗(yàn)仿真平臺(tái)如下:網(wǎng)絡(luò)仿真軟件實(shí)驗(yàn)平臺(tái)：CiscoPacketTracer操作系統(tǒng)：MicrosoftWindows10二、企業(yè)網(wǎng)絡(luò)搭建涉及的路由與交換技術(shù)介紹（一）NAT（NetworkAddressTranslation）網(wǎng)絡(luò)地址轉(zhuǎn)換IP地址剛出現(xiàn)時(shí)，全部人認(rèn)為IP地址的數(shù)量一定能覆蓋到每一個(gè)人。理論上，不一樣的IP地址有4,294,967,296個(gè)。然而事實(shí)上可以利用的地址數(shù)并沒(méi)有這么多(在32億至33億之間)，因?yàn)椴糠諭P地址是要用來(lái)進(jìn)行廣播的，隨著家庭與公司網(wǎng)絡(luò)需求的不斷增加，現(xiàn)在的IP地址是不夠的。在將地址空間從IPv4轉(zhuǎn)到IPv6之前，在申請(qǐng)不到足夠的公網(wǎng)IP地址的這種情況下，必須使用NAT技術(shù)。如圖1.1所示。NAT通過(guò)把內(nèi)部私用地址轉(zhuǎn)換成公網(wǎng)可路由地址，使用部分公有IP地址來(lái)代表大部分的私有IP地址的方式。NAT解決了IPv4地址空間不足、私有與公有網(wǎng)絡(luò)互連的問(wèn)題，NAT的使用有助于局域網(wǎng)內(nèi)保持私有IP，無(wú)需改變，只需在出口路由上配置NAT即可，NAT還可以隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，為內(nèi)部網(wǎng)絡(luò)安全提供一件“迷彩服”。NAT有靜態(tài)NAT（StaticNAT）、動(dòng)態(tài)地址池NAT（PooledNAT）和網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（PAT）。路由器、三層交換機(jī)還有防火墻等具有NAT功能，一般我們會(huì)選擇在出口路由上配置NAT功能，以減少防火墻的負(fù)擔(dān)。圖1.1NAT轉(zhuǎn)化原理ACL（AccessControlLists）訪問(wèn)控制列表ACL使用包過(guò)濾技術(shù)，基于原定義好的規(guī)則過(guò)濾流量包，讀取第三、四層包頭中的信息，如源地址、目的地址、目的端口、源端口等，從而達(dá)到訪問(wèn)控制的目的。如圖2.1所示圖2.1ACL對(duì)數(shù)據(jù)包進(jìn)行訪問(wèn)控制ACL的功能就是保護(hù)資源的節(jié)點(diǎn)，阻止非法用戶對(duì)資源節(jié)點(diǎn)進(jìn)行訪問(wèn)，也對(duì)某些用戶節(jié)點(diǎn)的訪問(wèn)權(quán)限進(jìn)行限制。訪問(wèn)規(guī)則必須先小范圍精確匹配，再到大范圍，因?yàn)锳CL的訪問(wèn)順序是按照每條規(guī)則語(yǔ)句順序執(zhí)行下去的，當(dāng)數(shù)據(jù)包匹配并符合了前面的規(guī)則語(yǔ)句，就結(jié)束比較過(guò)程并放行通過(guò)了。當(dāng)創(chuàng)建了ACL之后，會(huì)把新添加的語(yǔ)句行加到ACL的最后，無(wú)法刪除某條語(yǔ)句，所以更改ACL規(guī)則，只能刪掉整個(gè)ACL之后再重新創(chuàng)建。表2.1顯示了常用的端口及應(yīng)用程序。命名ACL是用名字代替數(shù)字來(lái)表示編號(hào)的，它不受99條標(biāo)準(zhǔn)ACL和100條擴(kuò)展ACL的限制，網(wǎng)絡(luò)管理員能夠方便修改ACL，可以使用命令可以刪除某條ACL規(guī)則，但是增加的仍然會(huì)被加在最后一行?；跁r(shí)間的ACL則是對(duì)時(shí)間范圍進(jìn)行限制，通過(guò)定義時(shí)間范圍、引用時(shí)間范圍、把ACL應(yīng)用到具體接口上進(jìn)行訪問(wèn)限制。表2.1常用的端口及應(yīng)用程序VTP（VLANTrunkingProtocol）局域網(wǎng)干道協(xié)議當(dāng)一個(gè)局域網(wǎng)中的交換機(jī)有足夠多，當(dāng)配置的VLAN工作量比較大的時(shí)候，可以使用思科私有協(xié)議，也就是VTP協(xié)議，用途就是通過(guò)設(shè)置局域網(wǎng)上的交換機(jī)，配置成VTPServer，通過(guò)一臺(tái)交換機(jī)管理局域網(wǎng)內(nèi)其他全部的交換機(jī)，使得局域網(wǎng)內(nèi)的所以VLAN信息列表統(tǒng)一，能夠減少手工配置VLAN的工作量并且達(dá)到簡(jiǎn)化管理。VTP現(xiàn)在有3種工作模式，第一種是VTPServer，第二種是VTPClient，還有一種是獨(dú)立于前兩者之外的VTPTransparent。打個(gè)比方，VTPServer和VTPClient的關(guān)系就像樹根和樹葉一樣，VTP域就是這一棵樹。VTPServer負(fù)責(zé)對(duì)該VTP域內(nèi)的所有VLAN信息列表進(jìn)行創(chuàng)建、修改以及刪除。VTPClient其實(shí)只負(fù)責(zé)同步從VTPServer傳來(lái)的VLAN信息列表，它本身不能創(chuàng)建、刪除或者修改VLAN的信息列表。VTPTransparent是另一種工作模式，不參與VTP工作，只對(duì)本現(xiàn)有的一些VLAN信息進(jìn)行維護(hù)。如圖4.1所示。圖4.1VTP工作模式（五）HSRP（HotStandbyRouterProtocol）熱備份路由器協(xié)議互聯(lián)網(wǎng)快速發(fā)展，大到國(guó)家交通、醫(yī)療、金融穩(wěn)定運(yùn)行，小到個(gè)人社交生活，都在說(shuō)明我們?nèi)藗儗?duì)網(wǎng)絡(luò)的依賴性越來(lái)越強(qiáng)，所以我們注重網(wǎng)絡(luò)的穩(wěn)定性，一個(gè)穩(wěn)定可靠的網(wǎng)絡(luò)架構(gòu)體系是現(xiàn)代社會(huì)發(fā)展的硬件要求。優(yōu)秀的網(wǎng)絡(luò)架構(gòu)師不僅要有優(yōu)秀的網(wǎng)絡(luò)規(guī)劃能力，還需要擁有對(duì)未來(lái)發(fā)展的遠(yuǎn)見和對(duì)意料之外的網(wǎng)絡(luò)事故有可控能力，基于設(shè)備的備份結(jié)構(gòu)一開始就被人們想到了，在服務(wù)器上為了數(shù)據(jù)的安全性而采用雙硬盤結(jié)構(gòu)，采用不同模式的存儲(chǔ)陣列來(lái)對(duì)我們數(shù)據(jù)的安全還有穩(wěn)定提供保障，路由器是整個(gè)網(wǎng)絡(luò)的一個(gè)心臟，如果出現(xiàn)故障，會(huì)造成整個(gè)網(wǎng)絡(luò)癱瘓，假如是骨干路由器，那后果將是打擊性毀滅性的，我們難以估計(jì)最終會(huì)造成怎樣的損失，因此，人類想到備份路由器，對(duì)多個(gè)路由器進(jìn)行同時(shí)管理，當(dāng)其中的一個(gè)路由器完全工作不了的情況下，他的全部功能將被系統(tǒng)中的另一個(gè)備份路由器進(jìn)行完全接管，直至系統(tǒng)恢復(fù)正常，這一套完整的應(yīng)急方案我們稱之為熱備份路由協(xié)議。如下圖5.1所示。圖5.1HSRP熱備份熱備份路由器協(xié)議（HSRP）也是思科的私有協(xié)議，就是組合多臺(tái)路由器，形成熱備份組，也就是我們說(shuō)的虛擬路由器，這些路由器里面有一個(gè)的狀態(tài)是活躍的。如果活躍狀態(tài)下的路由器出現(xiàn)故障了，將會(huì)由備份路由器來(lái)接管它的工作。單純站在網(wǎng)絡(luò)上的主機(jī)的角度來(lái)看，網(wǎng)關(guān)其實(shí)沒(méi)有改變，熱備份組就是為了在特定情況下不會(huì)由于某個(gè)路由器發(fā)生故障而導(dǎo)致網(wǎng)絡(luò)癱瘓。（六）VPN（VirtualPrivateNetwork）虛擬專用網(wǎng)絡(luò)2020年初爆發(fā)了新冠狀肺炎，疫情的影響非常大，全國(guó)上下幾乎所有地方停工停業(yè)停課，人們都居家隔離戶不出門，遠(yuǎn)程辦公、居家辦公、線上教學(xué)成了今年的關(guān)鍵詞，此時(shí)此刻人們也感受到了互聯(lián)網(wǎng)的重要性，互聯(lián)網(wǎng)使我們?cè)谝咔橹型Ｕn不停學(xué)，居家可辦公，不僅讓我們能夠保障自己的身體健康，而且還能讓我們?cè)诩揖湍芨咝мk公。虛擬專用網(wǎng)絡(luò)VPN保證了消息的安全性。VPN的設(shè)立就是服務(wù)于在內(nèi)網(wǎng)之外的用戶需要訪問(wèn)內(nèi)網(wǎng)資源的情況。VPN相對(duì)于傳統(tǒng)的遠(yuǎn)程訪問(wèn)，能夠節(jié)約網(wǎng)絡(luò)成本和保障傳輸安全，在公用網(wǎng)絡(luò)中建立一條專用的網(wǎng)絡(luò)，我們可以把它比喻成一條數(shù)據(jù)通訊隧道，隧道這頭是需要訪問(wèn)公司內(nèi)網(wǎng)的用戶，隧道的另一端是公司內(nèi)網(wǎng)，隧道被加密算法所加密，隧道外的用戶是無(wú)法獲取到隧道內(nèi)的傳輸數(shù)據(jù)。VPN是一種基于C/S結(jié)構(gòu)的應(yīng)用，要求在員工的電腦上安裝VPN的程序端，才能和企業(yè)網(wǎng)建立一個(gè)經(jīng)過(guò)加密的安全隧道連接。只要通過(guò)VPN接入到企業(yè)網(wǎng)絡(luò)后，這臺(tái)主機(jī)就成為了企業(yè)網(wǎng)絡(luò)的內(nèi)網(wǎng)部分，就跟實(shí)際連接企業(yè)網(wǎng)的主機(jī)一樣，能訪問(wèn)企業(yè)網(wǎng)的數(shù)據(jù)信息資源。實(shí)現(xiàn)VNP的關(guān)鍵技術(shù)有以下幾個(gè)方面：（1）隧道技術(shù)，隧道協(xié)議將數(shù)據(jù)包重新封裝再發(fā)送。（2）加密解密技術(shù)，通過(guò)非對(duì)稱加密和對(duì)稱加密等各種加密算法，進(jìn)而保證通信安全。（3）密匙管理技術(shù)，無(wú)論是建立隧道，還是保密通信，都需要密匙管理技術(shù)進(jìn)行支持，用來(lái)負(fù)責(zé)密匙的生成、分發(fā)、控制和跟蹤以及驗(yàn)證密匙的真實(shí)性，確保加密技術(shù)的實(shí)施。（4）身份認(rèn)證技術(shù)，不是任何用戶都能夠通過(guò)VPN訪問(wèn)內(nèi)網(wǎng)，只有通過(guò)了身份認(rèn)證的用戶才能連接和訪問(wèn)內(nèi)網(wǎng)，通常使用用戶名和密碼，或者智能卡認(rèn)證身份。VPN一般的解決方案有以下三種：（1）內(nèi)聯(lián)網(wǎng)VPN（IntranetVPN），一般用于大型企業(yè)，擁有很多在不同地域的分公司，內(nèi)聯(lián)網(wǎng)VPN用于實(shí)現(xiàn)企業(yè)內(nèi)部各LAN的安全互連，如圖6.1所示。圖6.1內(nèi)聯(lián)網(wǎng)VPN（IntranetVPN）（2）外聯(lián)網(wǎng)VPN（ExtranetVPN），一般用于企業(yè)連接外部顧客團(tuán)體。用外聯(lián)網(wǎng)VPN進(jìn)行認(rèn)證身份，快速提供訪問(wèn)公司業(yè)務(wù)的權(quán)限，如圖6.2所示。圖6.2外聯(lián)網(wǎng)VPN（ExtranetVPN）（3）遠(yuǎn)程接入VPN（AccessVPN），適用于類似保險(xiǎn)和流動(dòng)服務(wù)性強(qiáng)的企業(yè)、有大量外出流動(dòng)性辦公人員需要訪問(wèn)企業(yè)內(nèi)網(wǎng)的情況，遠(yuǎn)程接入VPN可以以企業(yè)或企業(yè)人員所需方式來(lái)對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)資源進(jìn)行訪問(wèn)，大大方便了出差的員工對(duì)公司網(wǎng)關(guān)的訪問(wèn)，如圖6.3所示。圖6.3遠(yuǎn)程接入VPN（AccessVPN）VLAN（VirtualLocalAreaNetwork）虛擬局域網(wǎng)VLAN主要用于路由器和交換機(jī)上，但目前主流是用在交換機(jī)（三層交換機(jī)才有此功能）之中。使用VLAN有什么好處呢，我們要從廣播域來(lái)看，當(dāng)一個(gè)局域網(wǎng)足夠龐大的時(shí)候，局域網(wǎng)內(nèi)會(huì)有大量的通信設(shè)備，同一個(gè)廣播域中有所有的設(shè)備都，當(dāng)兩臺(tái)主機(jī)要進(jìn)行通信時(shí)，根據(jù)以太網(wǎng)的通信，需要指定目標(biāo)MAC地址之后才可以進(jìn)行正常的通信，所以主機(jī)A必須進(jìn)行ARP請(qǐng)求信息的廣播，我們稱之為Flooding，最終廣播域中的所有主機(jī)收到主機(jī)A發(fā)出的ARP請(qǐng)求信息，本來(lái)只是想讓主機(jī)B收到主機(jī)A的請(qǐng)求的，但是事實(shí)上，數(shù)據(jù)幀已經(jīng)傳遍了全網(wǎng)絡(luò)。這樣一來(lái)，廣播信息不僅消耗了網(wǎng)絡(luò)的整體帶寬，而且網(wǎng)絡(luò)中的主機(jī)還要消耗CPU資源，形成了無(wú)謂的消耗。VLAN的使用就是為了限制局域網(wǎng)通信的廣播域問(wèn)題，把廣播域分成很多個(gè)小的邏輯網(wǎng)絡(luò)，有效的隔離了廣播風(fēng)暴，避免了不必要的資源消耗。不同的VLAN之間的主機(jī)是無(wú)法直接進(jìn)行互通的，VLAN間也無(wú)法互通。圖3.1是VLAN的一個(gè)實(shí)例，其中定義了3個(gè)不同的VLAN，每個(gè)VLAN分布在不同位置的3臺(tái)交換機(jī)上。圖3.1把交換局域網(wǎng)劃分成多個(gè)VLANVLAN的主流劃分方法主要有靜態(tài)分配和動(dòng)態(tài)分配兩種方法：靜態(tài)分配VLAN是根據(jù)端口劃分的一種方法，管理員不需要考慮端口所連接的設(shè)備進(jìn)行，只要對(duì)網(wǎng)絡(luò)設(shè)備端口進(jìn)行分配就可以了，這是相對(duì)來(lái)說(shuō)最簡(jiǎn)單、也是最有用的劃分方法。動(dòng)態(tài)分配VLAN的好處就是當(dāng)用戶從一個(gè)物理位置移動(dòng)到其他地方時(shí)，其VLAN成員身份是不會(huì)發(fā)生改變的。通過(guò)把物理網(wǎng)絡(luò)劃分成多個(gè)VLAN，不僅可以起到控制網(wǎng)絡(luò)流量，而且對(duì)廣播風(fēng)暴進(jìn)行控制，有效減小沖突域，并能提高網(wǎng)絡(luò)安全性。企業(yè)網(wǎng)絡(luò)搭建涉及的服務(wù)器技術(shù)介紹（一）DHCP（DynamicHostConfigurationProtocol）動(dòng)態(tài)主機(jī)配置協(xié)議IP地址作為主機(jī)訪問(wèn)互聯(lián)網(wǎng)的一個(gè)ID，只有當(dāng)主機(jī)擁有了IP地址才能夠訪問(wèn)互聯(lián)網(wǎng)。對(duì)于我們家庭自用或者小型辦公室自用的網(wǎng)絡(luò)，大都是通過(guò)網(wǎng)管親自為我們每一部電腦配置IP地址的。但是如果是應(yīng)用于大型企業(yè)、學(xué)校、小區(qū)或者園區(qū)這類相對(duì)來(lái)說(shuō)比較大的網(wǎng)絡(luò)，通過(guò)網(wǎng)管來(lái)為主機(jī)配置IP是不現(xiàn)實(shí)d，主機(jī)數(shù)量多，工作量相當(dāng)大，不僅需要較長(zhǎng)的時(shí)間進(jìn)行配置，而且對(duì)每臺(tái)主機(jī)的管理也是很麻煩的。所以，在中大型網(wǎng)絡(luò)中使用DHCP服務(wù)會(huì)非常高效的分配管理網(wǎng)絡(luò)內(nèi)的IP地址分配問(wèn)題。使用DHCP分配IP地址的好處有以下幾點(diǎn)。（1）管理員能夠快速對(duì)IP地址進(jìn)行驗(yàn)證，不用對(duì)每一臺(tái)主機(jī)單獨(dú)進(jìn)行檢查。（2）DHCP可以在可配置的范圍內(nèi)分配IP地址給主機(jī)，所以不存在多臺(tái)主機(jī)同時(shí)使用一個(gè)相同的IP地址，避免手工操作的失誤。（3）當(dāng)主機(jī)需要從一個(gè)物理位置移動(dòng)到其他位置的時(shí)候，DHCP會(huì)重新對(duì)主機(jī)進(jìn)行分配IP地址。DCHP服務(wù)具體的工作流程如下：（1）有DHCP服務(wù)器時(shí)，當(dāng)主機(jī)首次啟動(dòng)時(shí)，主機(jī)就是一個(gè)DHCP客戶端，使用廣播的方式，采用UDP傳輸協(xié)議，發(fā)送出DHCPDiscover報(bào)文。服務(wù)器的67號(hào)端口用來(lái)對(duì)客戶端發(fā)來(lái)的請(qǐng)求消息進(jìn)行接收，并發(fā)送回應(yīng)消息到客戶端的68號(hào)端口。（2）網(wǎng)絡(luò)內(nèi)的DHCP服務(wù)器都會(huì)接收到客戶端發(fā)來(lái)的DHCP發(fā)現(xiàn)報(bào)文，然后所以的DHCP服務(wù)器都會(huì)給出響應(yīng)，向客戶端發(fā)送一個(gè)DHCPOffer報(bào)文作為響應(yīng)報(bào)文。（3）客戶端收到響應(yīng)報(bào)文之后就會(huì)對(duì)其進(jìn)行處理，越早到達(dá)的Offer報(bào)文就越先進(jìn)行處理。客戶端處理后就廣播一個(gè)叫DHCPRequest的報(bào)文，報(bào)文中包含客戶端選擇收到的IP地址和自己所需的IP地址。（4）DHCP服務(wù)器接收?qǐng)?bào)文后，會(huì)對(duì)報(bào)文內(nèi)的服務(wù)器IP地址和客戶端提出的所需IP地址進(jìn)行判斷，假如地址符合條件，服務(wù)器就會(huì)發(fā)送DHCPACK確認(rèn)報(bào)文給客戶端。其中每個(gè)IP地址的使用都會(huì)有一個(gè)期限，叫做使用租期，可以理解為當(dāng)客戶端需要上網(wǎng)的時(shí)候，會(huì)使用IP地址，這個(gè)地址是在服務(wù)器上租用的，如果使用期限到期了，就無(wú)法上網(wǎng)了。假如客戶端想繼續(xù)用，那就需要續(xù)租，如果不續(xù)租，IP地址就會(huì)被服務(wù)器收回。一般我們使用IP地址的期限超過(guò)約定時(shí)間的一半時(shí)，我們會(huì)向服務(wù)器發(fā)送報(bào)文說(shuō)明要續(xù)租IP地址，如果后面收到了DHCPACK報(bào)文，則說(shuō)明續(xù)期成功，如果沒(méi)收到，客戶端還是可以繼續(xù)使用IP地址，無(wú)任何影響，直到使用租期超過(guò)87.5%時(shí)，服務(wù)器會(huì)廣播DHCPRequest報(bào)文來(lái)續(xù)租IP地址，如果客戶端收到了來(lái)自DHCP服務(wù)器發(fā)來(lái)的DHCPACK報(bào)文，則說(shuō)明續(xù)期成功，如果沒(méi)收到，客戶端還是可以繼續(xù)使用IP地址直至到期，然后重新申請(qǐng)IP地址。（5）客戶端收到確認(rèn)報(bào)文之后，首先檢查IP地址正不正常，如果能地址正?？梢杂茫菍?huì)獲取到IP地址。如果被其他客戶端使用了IP地址，則發(fā)送一個(gè)DHCPDecline報(bào)文，告知服務(wù)器哪個(gè)IP地址無(wú)法再進(jìn)行使用了，則把這個(gè)IP地址禁用了。這個(gè)過(guò)程能有效地解決一個(gè)IP地址是否會(huì)被重復(fù)使用的問(wèn)題。然后客戶端會(huì)重新進(jìn)行申請(qǐng)IP地址的流程。這種工作流程如圖1.1所示。圖1.1DHCP服務(wù)器工作原理（二）DNS（DomainNameSystem）域名服務(wù)協(xié)議我們?cè)L問(wèn)網(wǎng)關(guān)時(shí)，需要訪問(wèn)某個(gè)網(wǎng)站的時(shí)候，通常都會(huì)直接輸入我們平時(shí)說(shuō)的網(wǎng)址，這個(gè)網(wǎng)址域名，這個(gè)網(wǎng)址其實(shí)是提供服務(wù)主機(jī)的名字，但是網(wǎng)絡(luò)上的計(jì)算機(jī)之間只能經(jīng)過(guò)IP地址進(jìn)行通信，網(wǎng)址的作用只是為了人們快速記憶才被使用，通迅時(shí)，網(wǎng)絡(luò)IP地址是由二進(jìn)制數(shù)組成的（32位），但是為了是人們能夠直觀的看懂，人們會(huì)采用點(diǎn)分十進(jìn)制來(lái)表示IP地址，比如說(shuō)32位二進(jìn)制數(shù)01100100.00000100.00000101.00000110看似很難，不夠直觀，但是如果轉(zhuǎn)化成十進(jìn)制數(shù)就是，這樣就顯得直觀明了，但是人們生活中需要訪問(wèn)的網(wǎng)站有許多，人們很難記住這些以數(shù)字，所以才發(fā)明域名，通過(guò)一個(gè)自定義的名字來(lái)代替IP地址。當(dāng)我們需要訪問(wèn)谷歌的時(shí)候，只需要輸入即可訪問(wèn)百度，而不用記住IP地址，但是在我們輸入谷歌的網(wǎng)站后，起作用的卻是DNS了，DNS將域名解析成IP地址，對(duì)谷歌服務(wù)器進(jìn)行訪問(wèn)，如圖2.1所示。圖2.1訪問(wèn)谷歌時(shí)DNS查詢過(guò)程DNS服務(wù)器，是提供域名解析服務(wù)的，域名系統(tǒng)其實(shí)也叫做名字系統(tǒng)，但是在互聯(lián)網(wǎng)的命名系統(tǒng)中使用了很多的域，所以叫域名系統(tǒng)。以前計(jì)算機(jī)的數(shù)量很少，只有幾百臺(tái)，當(dāng)時(shí)是使用了host文件，然后再文件列表里列出了這個(gè)網(wǎng)絡(luò)上面全部主機(jī)的名字和對(duì)應(yīng)的IP地址，當(dāng)我想訪問(wèn)張三的主機(jī)的時(shí)候，只需要輸入張三，即可在host文件列表中找到張三主機(jī)對(duì)應(yīng)的IP地址進(jìn)行訪問(wèn)，但隨著互聯(lián)網(wǎng)的越來(lái)越大，網(wǎng)絡(luò)中的主機(jī)越來(lái)越多，理論上是能夠只用一個(gè)DNS服務(wù)器，在服務(wù)器上裝入互聯(lián)網(wǎng)上所以的主機(jī)名和對(duì)應(yīng)的IP地址，但是互聯(lián)網(wǎng)規(guī)模太大，DNS服務(wù)器出現(xiàn)負(fù)荷會(huì)導(dǎo)致不能正常進(jìn)行工作，一旦DNS無(wú)法正常進(jìn)行工作，整個(gè)網(wǎng)絡(luò)就會(huì)癱瘓了，所以互聯(lián)網(wǎng)標(biāo)準(zhǔn)RFC.1034,1035規(guī)定了DNS要采用聯(lián)機(jī)分布式結(jié)構(gòu)。域名系統(tǒng)DNS設(shè)計(jì)成一個(gè)聯(lián)機(jī)分布式數(shù)據(jù)庫(kù)系統(tǒng)，采用C/S方式。大多數(shù)地址解析都在本地進(jìn)行，只有極少部分需要在互聯(lián)網(wǎng)上進(jìn)行通信。互聯(lián)網(wǎng)的域名命名都需要根據(jù)域名系統(tǒng)中的域逐層定義，構(gòu)成一個(gè)唯一的域名，每個(gè)域名間通過(guò)小數(shù)點(diǎn).進(jìn)行分隔，用域名樹來(lái)表示互聯(lián)網(wǎng)的域名系統(tǒng)如圖2.2。圖2.2互聯(lián)網(wǎng)域名空間結(jié)構(gòu)域名解析的流程就是：當(dāng)某個(gè)進(jìn)程需要解析主機(jī)名得到IP地址的時(shí)候，這是就需要調(diào)用解析程序，然后成為DNS的客戶端，將待解析的域名發(fā)送給本地域名解析服務(wù)器，如果解析成功得到了對(duì)應(yīng)的IP地址，服務(wù)器就會(huì)將域名所對(duì)應(yīng)的IP地址返回給客戶端，如果解析失敗，那么這個(gè)域名服務(wù)器就暫時(shí)的成為DNS客戶端，繼續(xù)向上一層的域名解析服務(wù)器繼續(xù)傳遞解析服務(wù)，通過(guò)遞歸查詢和迭代查詢直至得到解析，如圖2.3所示2.3DNS遞歸查詢和迭代查詢（三）FTP（FileTransferProtocol）文件傳輸協(xié)議企業(yè)對(duì)于一些需要在局域網(wǎng)內(nèi)進(jìn)行共享的資料，但是如果需要共享給很多個(gè)用戶的時(shí)候，就需要把文件一個(gè)一個(gè)的分享給需要者，這是個(gè)效率十分低下的方法，假如有一臺(tái)電腦，可以集中寄存需要共享的文件，需要使用這些文件的時(shí)候可以自行下載，也可以隨便上傳想要分享的文件，那就很大的提高了工作效率。在公司局域網(wǎng)中建立一臺(tái)專門用于寄放文件的FTP服務(wù)器就可以解決以上苦難。我們平時(shí)上網(wǎng)的過(guò)程中，本質(zhì)就是作為FTP客戶端向各種服務(wù)提供商的服務(wù)器進(jìn)行訪問(wèn)。FTP協(xié)議是工作在TCP/IP協(xié)議族的應(yīng)用層，基于C/S工作模式，采用雙向傳輸，通過(guò)采用三次握手方式，建立可靠的TCP連接，保證文件傳輸?shù)母咝Х€(wěn)定可靠。FTP使用兩個(gè)分別負(fù)責(zé)傳輸控制命令的控制端口21和負(fù)責(zé)傳輸數(shù)據(jù)的數(shù)據(jù)端口20。FTP文件傳輸協(xié)議分別有Standard（Active方式、也稱主動(dòng)方式）和Passive（PASV、也稱被動(dòng)方式）。Passive模式FTP的客戶端發(fā)送PASV命令到FTP服務(wù)器。兩者的區(qū)別就在于Standard模式是發(fā)送PORT命令，告訴服務(wù)器客戶端接收數(shù)據(jù)的具體端口，服務(wù)器發(fā)送數(shù)據(jù)時(shí)建新的一個(gè)連接來(lái)發(fā)送數(shù)據(jù)，而Passive模式則是在客戶端在發(fā)送PASV命令時(shí)，服務(wù)器會(huì)在1024—5000之間隨機(jī)打開一個(gè)端口，并且通知客戶端要在這個(gè)指定端口建立數(shù)據(jù)傳輸，不需要再重新建立連接負(fù)責(zé)傳輸數(shù)據(jù)。具體流程如圖3.1所示。Standard模式Passive模式圖3.1Standard模式和Passive模式WEB服務(wù)器是用來(lái)存放各種網(wǎng)頁(yè)文件的服務(wù)器，供訪問(wèn)者進(jìn)行瀏覽訪問(wèn)的服務(wù)器，（四）WWW（WorldWideWeb）服務(wù)器WWW采用C/S工作模式，由WWW服務(wù)器和客戶機(jī)（瀏覽器）構(gòu)成，當(dāng)我們需要訪問(wèn)某個(gè)網(wǎng)頁(yè)時(shí)，我們會(huì)在瀏覽器中輸入網(wǎng)址，然后瀏覽器就會(huì)顯示出我們想訪問(wèn)的內(nèi)容，其中具體的工作原理如下：當(dāng)我們輸入完網(wǎng)址后再點(diǎn)擊回車的一瞬間，主機(jī)就會(huì)開始查找本機(jī)DNS緩存，找到對(duì)應(yīng)的IP地址，一般該IP地址對(duì)應(yīng)的服務(wù)器就是WWW服務(wù)器，它與客戶端建立TCP連接，HTTP協(xié)議是屬于應(yīng)用層協(xié)議，而TCP協(xié)議是屬于傳輸層協(xié)議，只有當(dāng)?shù)蛯訁f(xié)定建立后才能建立高層協(xié)議，當(dāng)TCP連接建立成功后WEB瀏覽器會(huì)向WWW服務(wù)器發(fā)送請(qǐng)求命令，然后通過(guò)HTTP傳輸HTML（超文本標(biāo)記語(yǔ)言），HTML再經(jīng)過(guò)瀏覽器的處理與渲染，最終以網(wǎng)頁(yè)的形式出現(xiàn)在屏幕上。我們?cè)L問(wèn)web服務(wù)器的過(guò)程如圖4.1所示。圖4.1訪問(wèn)www服務(wù)器過(guò)程四、總體方案（一）項(xiàng)目背景及現(xiàn)狀本公司是一家中小型IT軟件公司，負(fù)責(zé)自主開發(fā)軟件并對(duì)其軟件產(chǎn)品進(jìn)行銷售，對(duì)銷售出去的產(chǎn)品進(jìn)行售后服務(wù)，現(xiàn)公司員工規(guī)模有300-400人，公司在軟件產(chǎn)業(yè)園擁有兩棟獨(dú)立的辦公樓，公司部門有財(cái)務(wù)部、研發(fā)部、銷售部、運(yùn)維部、網(wǎng)絡(luò)部、行政部。運(yùn)維需要出外辦公維護(hù)客戶軟件，公司內(nèi)部使用自動(dòng)化辦公系統(tǒng)、OA系統(tǒng)、ERP系統(tǒng)。（二）流量分析及組網(wǎng)解決方案公司內(nèi)部流量有大量的內(nèi)網(wǎng)互連，各辦公人員需要對(duì)FTP服務(wù)器進(jìn)行訪問(wèn)，局域網(wǎng)內(nèi)文件共享，研發(fā)部在研發(fā)軟件的時(shí)候需要占用大量帶寬進(jìn)行代碼調(diào)試及網(wǎng)絡(luò)訪問(wèn)，運(yùn)維部在對(duì)客進(jìn)行施遠(yuǎn)程軟件維護(hù)、實(shí)施時(shí)也需要占用大量帶寬，網(wǎng)絡(luò)部需要針對(duì)企業(yè)局域網(wǎng)進(jìn)行安全防護(hù)，網(wǎng)絡(luò)流量監(jiān)控，對(duì)不正常的大量占用帶寬的主機(jī)進(jìn)行限速，保證企業(yè)局域網(wǎng)能夠最大限度的發(fā)揮工作作用，行政部需要處理日常的行政業(yè)務(wù)，發(fā)布工作通知，對(duì)外發(fā)布WEB信息，財(cái)務(wù)部為了保證其網(wǎng)絡(luò)環(huán)境安全，不允許訪問(wèn)外網(wǎng)，也不允許外網(wǎng)對(duì)其發(fā)起訪問(wèn)，最大限度的隔離其受到網(wǎng)絡(luò)攻擊。組建企業(yè)局域網(wǎng)的要求就是企業(yè)網(wǎng)絡(luò)的需求統(tǒng)一、可靠安全、傳輸效率高效、可拓展、可統(tǒng)一管理。在現(xiàn)代網(wǎng)絡(luò)資源緊張的時(shí)代，合理分配網(wǎng)絡(luò)資源，提供最高性能的網(wǎng)絡(luò)處理能力。針對(duì)企業(yè)的獨(dú)特性出發(fā)設(shè)計(jì)組網(wǎng)方案與網(wǎng)絡(luò)拓?fù)洌瑢?duì)該企業(yè)進(jìn)行一下網(wǎng)絡(luò)部署方案：將每個(gè)部門劃分在不同VLAN，對(duì)企業(yè)內(nèi)部服務(wù)器和網(wǎng)絡(luò)管理部門創(chuàng)立獨(dú)立的VLAN。針對(duì)外出辦公的運(yùn)維人員，在路由器上配置VPN，實(shí)現(xiàn)遠(yuǎn)程辦公及對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。通過(guò)組建兩臺(tái)核心交換機(jī)的冗余設(shè)計(jì)，實(shí)現(xiàn)HRSP功能。（三）拓?fù)湓O(shè)計(jì)本次設(shè)計(jì)用到了cisco公司的路由器、交換機(jī)等設(shè)備，部署同一公司的設(shè)備，可以有效地避免設(shè)備不兼容的問(wèn)題，cisco作為全球領(lǐng)先的網(wǎng)絡(luò)設(shè)備商，其設(shè)備性能和私有協(xié)議是十分可靠的?？煽康挠布O(shè)備是組建企業(yè)網(wǎng)絡(luò)的基礎(chǔ)。拓?fù)鋱D如圖3.1所示。圖3.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)圖在圖3.1的網(wǎng)絡(luò)拓?fù)鋱D中，采用了兩臺(tái)三層交換機(jī)互連實(shí)現(xiàn)HRSP，組成核心交換機(jī)，在網(wǎng)絡(luò)入口采用企業(yè)級(jí)路由器，路由器支持防火墻功能，ACL功能，實(shí)現(xiàn)訪問(wèn)控制，控制內(nèi)網(wǎng)用戶對(duì)不安全的外網(wǎng)的訪問(wèn)，有效的避免外網(wǎng)非法訪問(wèn)內(nèi)部，內(nèi)網(wǎng)采用星型拓?fù)浣Y(jié)構(gòu)，這種結(jié)構(gòu)能夠?qū)⑺栽O(shè)備都接入網(wǎng)絡(luò)，能夠避免單點(diǎn)故障，便于故障排查，當(dāng)網(wǎng)絡(luò)需要進(jìn)行大型升級(jí)改造的時(shí)候，星型結(jié)構(gòu)的靈活性就能發(fā)揮作用了。在接入層處使用二層交換機(jī)采用堆疊模式，因?yàn)橐粋€(gè)交換機(jī)最多只支持48個(gè)快速以太網(wǎng)端口，采用堆疊模式能夠加強(qiáng)網(wǎng)絡(luò)拓展性，最大限度地提高性能以及可用性，保障可靠安全性。（四）IP地址規(guī)劃及VLAN劃分目前網(wǎng)絡(luò)現(xiàn)狀I(lǐng)P地址緊缺，可用的公網(wǎng)IP地址不多，一般企業(yè)只需要向ISP申請(qǐng)少量的公網(wǎng)IP地址，供企業(yè)網(wǎng)絡(luò)對(duì)外互連，在企業(yè)內(nèi)網(wǎng)入口路由上配置NAT，實(shí)現(xiàn)地址轉(zhuǎn)換，映射多個(gè)內(nèi)網(wǎng)IP地址，供內(nèi)部網(wǎng)絡(luò)互連，也能保障內(nèi)網(wǎng)的網(wǎng)絡(luò)安全與資源合理分配。，如果企業(yè)條件允許，可向不同的ISP申請(qǐng)多個(gè)外網(wǎng)IP地址，不同的ISP線路可以保證服務(wù)器對(duì)外可靠運(yùn)行，實(shí)現(xiàn)實(shí)時(shí)聯(lián)網(wǎng)容災(zāi)備份。目前申請(qǐng)的IP地址都是C類的地址，相對(duì)應(yīng)的內(nèi)網(wǎng)IP我們可以使用網(wǎng)段的內(nèi)網(wǎng)地址，網(wǎng)劃分子網(wǎng)掩碼采用。然后使用VLAN對(duì)各部門劃分虛擬子網(wǎng)，將大的廣播域進(jìn)行劃分，分成許多個(gè)小的廣播域，當(dāng)局域網(wǎng)內(nèi)主機(jī)過(guò)多并不進(jìn)行VLAN劃分時(shí)，會(huì)因?yàn)閺V播風(fēng)暴導(dǎo)致網(wǎng)絡(luò)癱瘓。具體IP地址及VLAN劃分如下表4.1所示。表4.1VLAN及IP地址編址方案（五）設(shè)備選型作為企業(yè)網(wǎng)絡(luò)，應(yīng)該是一個(gè)內(nèi)部統(tǒng)一的通信平臺(tái)，園區(qū)內(nèi)的設(shè)備應(yīng)該具備有一定的冗余度冗余包括了設(shè)備冗余和鏈路冗余，在數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、應(yīng)用層也應(yīng)擁有一定的容錯(cuò)能力，企業(yè)園區(qū)的物理構(gòu)造中有核心層、匯聚層、接入層，在本設(shè)計(jì)中，我把匯聚層跟接入層沒(méi)有做出很明顯的區(qū)分，把它們劃分到了一起。在本網(wǎng)絡(luò)中的核心層，網(wǎng)絡(luò)主干區(qū)域配置兩臺(tái)核心路由交換機(jī)，本是設(shè)計(jì)使用的是CiscoCatalyst3560-24PS交換機(jī)，3560交換機(jī)有24個(gè)以太網(wǎng)10/100端口，背板帶寬32Gbit/s，完全能夠滿足企業(yè)網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)交換要求。匯聚層接入應(yīng)用4臺(tái)CiscoCatalyst2960-24TT交換機(jī)，24個(gè)以太網(wǎng)10/100Mbps端口,可計(jì)算得出核心交換機(jī)背板帶寬至少需要9.4Gbps。雖然網(wǎng)管部門也使用了2960交換機(jī)，但是網(wǎng)管部門接入的主機(jī)數(shù)不會(huì)太多，占用帶寬微乎其微，可以忽略不計(jì)。企業(yè)入口路由，考慮到是企業(yè)級(jí)網(wǎng)絡(luò)，需要擁有安全策略及協(xié)議，本設(shè)計(jì)采用CiscoISR4321路由器，因?yàn)?000系列路由器是集成多業(yè)務(wù)路由器，適用于分支結(jié)構(gòu)，能夠?qū)⑵髽I(yè)內(nèi)網(wǎng)、計(jì)算機(jī)、廣域網(wǎng)服務(wù)集于一身，CiscoISR4321與UCSE系列服務(wù)器模塊相結(jié)合，形成一個(gè)靈活的平臺(tái)，能夠輕松應(yīng)對(duì)變化莫測(cè)的企業(yè)應(yīng)用需求，滿足企業(yè)多元化發(fā)展與豐富的拓展性，其運(yùn)轉(zhuǎn)的CiscoIOS-XE多核CPU，高效得處理能力，即使在負(fù)載高峰期也能游刃有余。CiscoIRS4321支持千兆以太網(wǎng)、T1/E1、T3/E3、PRI和xDSL等各種鏈路，最大程度的保障企業(yè)網(wǎng)絡(luò)的吞吐量?；趨^(qū)域的VRF感知防火墻和網(wǎng)絡(luò)地址裝換NAT服務(wù)。服務(wù)器集群是網(wǎng)絡(luò)用量最大的地方，服務(wù)器的選擇很大程度依據(jù)企業(yè)網(wǎng)絡(luò)中的業(yè)務(wù)需求，對(duì)服務(wù)器的業(yè)務(wù)能力、響應(yīng)能力的高效與否由服務(wù)器的硬件體系結(jié)構(gòu)設(shè)計(jì)有關(guān)，服務(wù)器的CPU、硬盤讀寫能力、操作系統(tǒng)的進(jìn)程能力、可拓展性、散熱、功耗、安裝程度都要進(jìn)行綜合考慮。所選的服務(wù)器必須具備數(shù)據(jù)處理能力強(qiáng)、高可靠性、高吞吐率、可拓展性強(qiáng)的特點(diǎn)。接入層交換機(jī)設(shè)備采用CiscoCatalyst2960-24TT交換機(jī)，2960可堆疊交換機(jī)滿足未來(lái)的可拓展性，作為建筑接入交換機(jī)，提供固定的24口端口密度，容許許多高級(jí)交換特性，支持802.1x認(rèn)證，可綁定MAC、IP、VLAN各種組合，有效的進(jìn)行訪問(wèn)控制，阻止非法用戶訪問(wèn)網(wǎng)絡(luò)，從而保障網(wǎng)絡(luò)訪問(wèn)的受控性。五安全體系（一）網(wǎng)絡(luò)安全分析企業(yè)網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng)，內(nèi)網(wǎng)為內(nèi)部局域網(wǎng)，員工內(nèi)部資源交流與業(yè)務(wù)處理，外網(wǎng)為對(duì)外服務(wù)器，對(duì)外網(wǎng)提供資源，整理出可能受到的網(wǎng)絡(luò)安全威脅如下：（1）Internet網(wǎng)絡(luò)用戶對(duì)企業(yè)網(wǎng)存在惡意攻擊及非法訪問(wèn)。內(nèi)部設(shè)備操作系統(tǒng)的漏洞。來(lái)自外網(wǎng)的各種病毒、木馬、蠕蟲，可能由內(nèi)部員工通過(guò)郵件、u盤將病毒帶入企業(yè)內(nèi)網(wǎng)。內(nèi)部人員通過(guò)訪問(wèn)非法網(wǎng)站，如黃色、暴力、反動(dòng)網(wǎng)站，將病毒下載到內(nèi)部網(wǎng)絡(luò)。外網(wǎng)用戶可能通過(guò)惡意工具對(duì)內(nèi)網(wǎng)發(fā)動(dòng)DDOS、DOS攻擊、ARP攻擊、ICMP攻擊、中間人攻擊，導(dǎo)致內(nèi)網(wǎng)癱瘓或網(wǎng)絡(luò)信息泄露。企業(yè)內(nèi)部人員對(duì)安全意識(shí)不夠強(qiáng)，管理體制不夠健全，導(dǎo)致設(shè)備的物理?yè)p壞。網(wǎng)絡(luò)安全需求分析具體要求包括：安全性要求、可控性要求、可管理性要求、用性要求、可恢復(fù)性要求、可拓展性、合法性。針對(duì)以上威脅，從物理、網(wǎng)絡(luò)、系統(tǒng)、管理層、應(yīng)用等角度進(jìn)行分析和設(shè)計(jì)安全方案。（二）物理層安全物理層安全針對(duì)實(shí)體安全這個(gè)概念來(lái)描述，實(shí)體安全是保護(hù)網(wǎng)絡(luò)設(shè)施、媒體等實(shí)體設(shè)備免遭自然災(zāi)害地震等其他環(huán)境事故破壞的措施及過(guò)程，針對(duì)網(wǎng)絡(luò)系統(tǒng)的環(huán)境、場(chǎng)地、設(shè)施及操作人員等方面，采用安全技術(shù)和措施。主要包括防盜、防火、防靜電、防雷擊、防電磁泄漏。由于網(wǎng)絡(luò)核心設(shè)備是盜竊者重點(diǎn)的盜竊對(duì)象，而核心設(shè)備往往存儲(chǔ)了大量重要資料，被盜取的損失往往大于設(shè)備本身的價(jià)值，因此采取重點(diǎn)保護(hù)措施，對(duì)機(jī)房設(shè)備采取嚴(yán)格的物理防護(hù)，如對(duì)核心設(shè)備進(jìn)行集中存放，嚴(yán)格控制接觸核心設(shè)備人員。網(wǎng)絡(luò)中心機(jī)房發(fā)生火災(zāi)一般都是因?yàn)殡姎庠?、人為事故、外部火?zāi)蔓延等，電氣設(shè)備因?yàn)槎搪?、過(guò)載接觸不良、絕緣層破壞等引起電打火，日常檢查核心設(shè)備的物理健康狀況，能有效避免設(shè)備起火。防靜電則因?yàn)殡姎庠O(shè)備的靜電沒(méi)有得到釋放，高電位保留在設(shè)備上，引起靜電放電火花，引起火災(zāi)。傳統(tǒng)避雷針不僅增大受擊可能性，而且還會(huì)產(chǎn)生感應(yīng)雷，突然的高電壓會(huì)對(duì)設(shè)備造成破壞性損壞，還會(huì)引起火災(zāi)。防電磁輻射則是由電氣設(shè)備工作過(guò)程中產(chǎn)生的電輻射，電輻射可被靈敏設(shè)備接收，并且進(jìn)行監(jiān)聽、分析、還原，造成信息泄漏。（三）網(wǎng)絡(luò)層安全企業(yè)內(nèi)部網(wǎng)絡(luò)作為一個(gè)大的局域網(wǎng)，可控性難以得到控制，通過(guò)劃分子網(wǎng)將局域網(wǎng)劃分成多個(gè)子網(wǎng)，以子網(wǎng)為安全單位進(jìn)行管控，以及劃分VLAN加以管控，對(duì)網(wǎng)絡(luò)邊界進(jìn)行訪問(wèn)控制設(shè)置，如企業(yè)內(nèi)網(wǎng)、企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，利用防火墻策略進(jìn)行訪問(wèn)控制和流量過(guò)濾，在網(wǎng)絡(luò)入口區(qū)域設(shè)立入侵檢測(cè)系統(tǒng)IDS。按需要對(duì)服務(wù)器與通信主機(jī)間使用電子簽章和電子信封等各種安全管控技術(shù)，建立安全可靠通信信道。在內(nèi)網(wǎng)與網(wǎng)外邊界建立防火墻，管控企業(yè)內(nèi)網(wǎng)與外網(wǎng)之間的數(shù)據(jù)傳輸與與數(shù)據(jù)存取。網(wǎng)絡(luò)管理員應(yīng)根據(jù)企業(yè)網(wǎng)絡(luò)安全需求制定相關(guān)網(wǎng)絡(luò)安全使用規(guī)定、安全等級(jí)分級(jí)策略，建立身份認(rèn)證機(jī)制，入網(wǎng)服務(wù)、出網(wǎng)服務(wù)和稽查準(zhǔn)則，防止數(shù)據(jù)在傳輸過(guò)程中被竊聽、修改、刪除、下載等非法操作。（四）系統(tǒng)層安全針對(duì)操作系統(tǒng)，及時(shí)的掃描漏洞及對(duì)漏洞進(jìn)行修復(fù)，對(duì)存放大量機(jī)密資料數(shù)據(jù)的服務(wù)器及大型主機(jī)，應(yīng)設(shè)置高級(jí)密碼，規(guī)劃高級(jí)安全等級(jí)，強(qiáng)化登錄身份認(rèn)證機(jī)制，防止非法使用者冒用合法用戶身份登錄系統(tǒng)，限制遠(yuǎn)程登錄及遠(yuǎn)程撥接，不允許機(jī)密數(shù)據(jù)經(jīng)電話線路或網(wǎng)際網(wǎng)絡(luò)傳輸，防止網(wǎng)絡(luò)服務(wù)如FTP、HTTP、Telnet等密碼被竊聽及截取。針對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)大型主機(jī)及服務(wù)器，禁止遠(yuǎn)程登錄等方式，對(duì)IDS和防火墻系統(tǒng)軟件要及時(shí)更新版本。針對(duì)對(duì)外服務(wù)器可能受到的攻擊如DDOS、ARP攻擊等，惡意破壞者可能發(fā)送操作指令或大量資料等手段，導(dǎo)致服務(wù)器癱瘓，提前對(duì)服務(wù)器進(jìn)行配置與數(shù)據(jù)分流設(shè)置。（五）應(yīng)用層安全禁止網(wǎng)絡(luò)用戶使用非法軟件，經(jīng)網(wǎng)絡(luò)下載的未知軟件應(yīng)用應(yīng)由網(wǎng)絡(luò)管理員事先測(cè)試及掃描過(guò)后，安全性得到確認(rèn)方可在內(nèi)網(wǎng)進(jìn)行安裝執(zhí)行。內(nèi)網(wǎng)的大型主機(jī)及服務(wù)器上，因安裝防病毒軟件，網(wǎng)絡(luò)管理員應(yīng)定期使用殺毒軟件及掃描工具，對(duì)內(nèi)網(wǎng)進(jìn)行日常殺毒及漏洞掃描，分析病毒與惡意軟件可能入侵的管道，提前對(duì)有風(fēng)險(xiǎn)的端口與軟件進(jìn)行卸載或修復(fù)。當(dāng)發(fā)現(xiàn)以有病毒或惡意軟件入侵網(wǎng)絡(luò)時(shí)，應(yīng)及時(shí)對(duì)受感染主機(jī)用戶進(jìn)行通知，及時(shí)對(duì)其進(jìn)行離線操作，使其與企業(yè)網(wǎng)絡(luò)未感染區(qū)域隔離，直到對(duì)受感染主機(jī)清除病毒，清除后門后，方可在網(wǎng)絡(luò)上線，網(wǎng)絡(luò)管理員要對(duì)感染情況進(jìn)行日志保存，路徑追蹤，對(duì)威脅應(yīng)用及漏洞進(jìn)行查封。（六）管理層安全根據(jù)企業(yè)安全管理需求，針對(duì)性制網(wǎng)絡(luò)安全管理?xiàng)l例，嚴(yán)格篩選網(wǎng)絡(luò)管理人員，網(wǎng)絡(luò)管理人員嚴(yán)格按照網(wǎng)絡(luò)安全管理?xiàng)l例對(duì)企業(yè)網(wǎng)絡(luò)安全進(jìn)行監(jiān)控、維護(hù)、管理，在授權(quán)范圍內(nèi)進(jìn)行企業(yè)網(wǎng)絡(luò)資源的存取與修改。網(wǎng)絡(luò)管理者要對(duì)網(wǎng)絡(luò)管理密匙嚴(yán)密管控，不得非法授權(quán)其他人員對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行訪問(wèn)與修改，對(duì)惡意訪問(wèn)破壞企業(yè)網(wǎng)絡(luò)的用戶進(jìn)行拒絕訪問(wèn)，對(duì)內(nèi)部破壞網(wǎng)絡(luò)的使用者進(jìn)行監(jiān)控、警告、降權(quán)。網(wǎng)絡(luò)管理員是企業(yè)網(wǎng)絡(luò)的守護(hù)神，應(yīng)該為企業(yè)網(wǎng)絡(luò)安全的可靠運(yùn)行提供保駕護(hù)航。針對(duì)網(wǎng)絡(luò)信息安全事件危機(jī)，應(yīng)當(dāng)有響應(yīng)的處理方案，在網(wǎng)絡(luò)初期應(yīng)制定準(zhǔn)備方案，管理人員要與網(wǎng)絡(luò)發(fā)展實(shí)時(shí)共進(jìn)，了解最新的網(wǎng)絡(luò)攻擊手段與解決方案，提前落實(shí)安全防護(hù)工作，如熟知操作系統(tǒng)與常用軟件版本更新機(jī)制、帳號(hào)與密碼的更新管理、規(guī)劃災(zāi)后恢復(fù)計(jì)劃等，提前的準(zhǔn)備能夠?yàn)楹竺娴男畔踩录幚硖峁┛煽康膸椭c參考，也能大大的減少遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)幾率。程序性的處理信息安全事件，針對(duì)網(wǎng)絡(luò)安全事件癥狀對(duì)癥下藥，對(duì)遭受風(fēng)險(xiǎn)的設(shè)備進(jìn)行封鎖、移除、恢復(fù)，對(duì)攻擊者的取證、追蹤、封鎖，避免網(wǎng)絡(luò)攻擊事件再次發(fā)生。六仿真實(shí)現(xiàn)以下仿真拓?fù)鋱D是根據(jù)以上設(shè)計(jì)方案綜合考慮設(shè)計(jì)、設(shè)備選取、網(wǎng)絡(luò)搭建的具體配置參數(shù)。為了網(wǎng)絡(luò)設(shè)計(jì)的簡(jiǎn)化，提高網(wǎng)絡(luò)可拓展性，提高實(shí)用性與管理性，我把企業(yè)網(wǎng)絡(luò)分層管理，劃分成核心層、匯聚層、接入層，分別對(duì)三層進(jìn)行配置與講解。 （一）仿真實(shí)驗(yàn)拓?fù)鋱D本實(shí)驗(yàn)通過(guò)在packettracer上搭建網(wǎng)絡(luò)仿真拓?fù)鋱D，對(duì)網(wǎng)絡(luò)進(jìn)行配置與搭建，總體拓?fù)鋱D如圖1.1所示圖1.1仿真實(shí)驗(yàn)拓?fù)鋱D拓?fù)鋱D中，每種顏色是一個(gè)VLAN區(qū)域，方便進(jìn)行管理，該企業(yè)網(wǎng)絡(luò)拓?fù)淙鐖D所示，由一個(gè)企業(yè)級(jí)路由器連接Internet，然后由路由器接入核心層的兩臺(tái)構(gòu)成冗余組的核心三層交換機(jī)，核心交換機(jī)上連接了內(nèi)部核心服務(wù)器集群，和企業(yè)網(wǎng)絡(luò)接入層的交換機(jī)。（二）配置接入層交換機(jī)的基本參數(shù)接入層交換機(jī)作用基本相同，所以選取財(cái)務(wù)部的交換機(jī)進(jìn)行說(shuō)明：所有接入交換機(jī)僅對(duì)上下行接口配置工作模式及透?jìng)鱒LAN，對(duì)外網(wǎng)服務(wù)器接入交換機(jī)使用默認(rèn)配置接入層交換機(jī)通過(guò)FastEthernet0/1和FastEthernet0/2端口連接核心交換機(jī)，這兩條鏈路是主干鏈路，需要在此兩個(gè)端口設(shè)置成trunk模式interfaceFastEthernet0/1//進(jìn)入接口0/1端口（0/1是連接核心交換機(jī)1的端口）switchportmodetrunk//端口模式設(shè)置為trunkinterfaceFastEthernet0/2//進(jìn)入接口0/2端口（0/2是連接核心交換機(jī)2的端口）switchportmodetrunk//端口模式設(shè)置為trunk在接入層交換機(jī)上，可對(duì)交換機(jī)端口進(jìn)行配置，對(duì)其端口終端進(jìn)行VLAN劃分。interfaceFastEthernet0/3//進(jìn)入接口0/3端口（0/3是連接接入終端的端口）switchportaccessvlan10//把該端口的接入終端劃分到VLAN10switchportmodeaccess//端口模式設(shè)置為access因?yàn)榫W(wǎng)絡(luò)使用將vtp技術(shù)，將核心交換機(jī)設(shè)置成VTP服務(wù)器，將接入層的交換機(jī)設(shè)置成VTP的客戶機(jī)，這樣客戶機(jī)就會(huì)通過(guò)VTP服務(wù)器獲取所以VLAN的信息，Switch(config)#vtpmodeclient（三）配置核心層交換機(jī)的基本參數(shù)核心層的設(shè)備是本企業(yè)網(wǎng)絡(luò)中的核心設(shè)備，負(fù)責(zé)網(wǎng)絡(luò)的數(shù)據(jù)高速轉(zhuǎn)發(fā)工作，本設(shè)計(jì)中，沒(méi)有嚴(yán)格區(qū)分核心層和匯聚層，我兩層融合在了一起，方便管理，核心層設(shè)備如圖3.1所示：圖3.1核心層交換機(jī)本設(shè)計(jì)中，核心層交換機(jī)用到了兩臺(tái)，設(shè)備冗余和鏈路冗余提供容災(zāi)處理，兩臺(tái)核心交換機(jī)配置大致一樣，在HSRP上由主從關(guān)系，具體配置參數(shù)如下：核心交換機(jī)1作為VTPserver，負(fù)責(zé)創(chuàng)建vlan，管理vlan，配置VTP自動(dòng)關(guān)聯(lián)vlan，分別根據(jù)規(guī)劃需求創(chuàng)建VLAN，vtpmodeserver//設(shè)置核心交換機(jī)1為VTPservervtpdomainaavlan10//創(chuàng)建vlan10vlan20//創(chuàng)建vlan20，以下同理vlan30vlan40vlan50vlan100vlan110三層交換機(jī)擁有路由功能，開啟交換機(jī)路由功能iprouting配置STP生成樹及負(fù)載均衡spanning-treemoderapid-pvstspanning-treevlan1,10,20,30,40priority0spanning-treevlan50,100,110priority4096配置鏈路聚合接口工作模式interfacePort-channel1switchporttrunkencapsulationdot1qswitchportmodetrunk配置端口工作模式，分別對(duì)各個(gè)端口進(jìn)行工作模式端口配置，配置如下。interfaceFastEthernet0/1switchporttrunkencapsulationdot1qswitchportmodetrunk加入聚合組1interfaceFastEthernet0/23switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeoninterfaceFastEthernet0/24switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeon進(jìn)入G0/1接口，配置到路由器的接口IP地址interfaceGigabitEthernet0/1noswitchportipaddress52配置SVI接口及HSRPinterfaceVlan10ipaddress53iphelper-addressipaccess-groupcwout//應(yīng)用名為cw的ACL訪問(wèn)控制列表，方向?yàn)閛utstandby10ip54standby10priority125standby10preemptinterfaceVlan20ipaddress53iphelper-addressstandby20ip54standby20priority125standby20preemptinterfaceVlan30ipaddress53iphelper-addressstandby30ip54standby30priority125standby30preemptinterfaceVlan40ipaddress53iphelper-addressstandby40ip54standby40priority125standby40preemptinterfaceVlan50ipaddress53iphelper-addressstandby50ip54standby50preemptinterfaceVlan100ipaddress53standby100ip54standby100preemptinterfaceVlan110ipaddress53standby110ip54standby110preempt配置動(dòng)態(tài)路由routerospf1networkarea0network55area0network55area0network55area0network55area0network55area0network55area0network55area0配置ACL允許源55到目的55，以及源55到目的55，禁止其他任何通信ipaccess-listextendedcwpermitip5555permitip5555denyipanyany核心交換機(jī)2配置參數(shù)與核心交換機(jī)1大同小異，相同的我就不一一列出來(lái)了，這里只列舉下核心交換機(jī)2不同與核心交換機(jī)1的配置：核心交換機(jī)2相對(duì)于核心交換機(jī)1，vtp為客戶端，STP組優(yōu)先級(jí)別互換vtpmodeclient配置STP生成樹及負(fù)載均衡spanning-treemoderapid-pvstspanning-treevlan50,100,110priority0spanning-treevlan1,10,20,30,40priority4096（四）廣域網(wǎng)接入模塊本設(shè)計(jì)中，廣域網(wǎng)接入模塊采用CiscoISR4321路由器如圖4.1，支持內(nèi)部防火墻與VPN、NAT等，對(duì)入口路由器具體配置參數(shù)如下：圖4.1廣域網(wǎng)接入模塊針對(duì)外出工作人員，配置easyvpn，對(duì)其提供VPN服務(wù)，啟動(dòng)aaa認(rèn)證aaanew-modelaaaauthenticationloginvpn-alocalaaaauthorizationnetworkvpn-olocal//建立用戶名密碼usernamevpnpassword0vpn123//配置第一階段ipsec安全參數(shù)，序號(hào)為10cryptoisakmppolicy10hashmd5authenticationpre-share//建立easyvpn組名為vpngroupcryptoisakmpclientconfigurationgroupvpngroupkeyvpn123poolVPN-POOL//配置ipsect第二階段策略，命名為vpn，加密方式為3des，完整性校驗(yàn)算法為MD5cryptoipsectransform-seteasy-setesp-3desesp-md5-hmac配置動(dòng)態(tài)加密圖cryptodynamic-mapd-map10settransform-seteasy-setreverse-route配置easyvpn用戶的認(rèn)證授權(quán)cryptomapeasy-mapclientauthenticationlistvpn-acryptomapeasy-mapisakmpauthorizationlistvpn-ocryptomapeasy-mapclientconfigurationaddressrespondcryptomapeasy-map10ipsec-isakmpdynamicd-map配置接口Ip及應(yīng)用NAT入口interfaceGigabitEthernet0/0/0ipaddress52ipnatinsideinterfaceGigabitEthernet0/0/1ipaddress52ipnatinsideinterfaceVlan120ipaddress54ipnatinside配置接口IP及應(yīng)用nat出口,應(yīng)用名為easy-vpn的easyvpnmapinterfaceSerial0/1/0ipaddress52ipnatoutsidecryptomapeasy-map更改工作模式，透?jìng)鱲lan120interfaceGigabitEthernet0/2/0switchportaccessvlan120switchportmodeaccessswitchportnonegotiate配置OSPF動(dòng)態(tài)路由routerospf1networkarea0networkarea0network55area0default-informationoriginate配置本地地址池供esayvpn使用iplocalpoolVPN-POOL54配置natipnatinsidesourcelistnatinterfaceSerial0/1/0overloadipnatinsidesourcestatictcp8080ipnatinsidesourcestaticudp500500ipnatinsidesourcestatic配置nat的aclipaccess-listextendednatdenyip55anydenyip55anypermitipanyany//配置默認(rèn)路由iproute廣域網(wǎng)模塊還有通過(guò)路由器模擬廣域網(wǎng)，對(duì)ISP路由器配置參數(shù)：配置接口IP，作為互聯(lián)網(wǎng)用戶使用interfaceGigabitEthernet0/0/0ipaddress54配置接口IP，連接出口路由器，作為運(yùn)營(yíng)商分配的IP網(wǎng)關(guān)給公司使用。interfaceSerial0/1/0ipaddress52clockrate64000參考文獻(xiàn)[1]謝希仁．計(jì)算機(jī)網(wǎng)絡(luò)［J］．電子工業(yè)出版社，2017.1：286-288.

[2]斯桃枝.路由協(xié)議與交換技術(shù)［J］.清華大學(xué)出版社，2012.11：11-14.[3]葉阿勇.計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)與學(xué)習(xí)指導(dǎo)——基于Ciscopackettracer模擬器［J］.電子工業(yè)出版社，2014.11：11-14.

[4]崔北亮、陳家遷.非常網(wǎng)管，網(wǎng)絡(luò)管理從入門到精通（修訂版）［J］.人民郵電出版社，2010.12：110-342.

[5]雷震甲.網(wǎng)絡(luò)工程師教程（第五版）［J］.清華大學(xué)出版社，2018.

[6]崔洪洋．基于packettracer的企業(yè)網(wǎng)絡(luò)設(shè)計(jì)及安全實(shí)現(xiàn)［Ｄ］．湖南：湖南工程學(xué)院，2014．[7]基于packettracer的企業(yè)網(wǎng)絡(luò)設(shè)計(jì)［D］.商丘師范，2014[8]\o"dengzhongmingabc"dengzhongmingabc．公司局域網(wǎng)如何組建公司局域網(wǎng)搭建方法［EB/OL］．/dengzhongmingabc/article/details/81078341,2018.7.17[9]練振興.淺談校園網(wǎng)VRRP部署[J].電腦知識(shí)與技術(shù),2018(25):29-30.

[10]李聰慧.淺析校園網(wǎng)絡(luò)防病毒體系[J].信息安全與技術(shù),2011(05):38-40.

[11]朱振宇.現(xiàn)代電信技術(shù)實(shí)驗(yàn)室數(shù)據(jù)通信綜合實(shí)驗(yàn)設(shè)計(jì)方法[J].長(zhǎng)沙通信職業(yè)技術(shù)學(xué)院學(xué)報(bào),2012(01):26-32.

[12]崔思東.基于客戶需求的交換機(jī)、路由器選擇方案[J].電子世界,2012(17):18-18.

[13]劉沖.淺談VLAN在AIMS系統(tǒng)維護(hù)中的應(yīng)用[J].數(shù)字技術(shù)與應(yīng)用,2010(02):14-15.

[14]王宏群尹向兵.仿真軟件在網(wǎng)絡(luò)工程實(shí)驗(yàn)教學(xué)中的應(yīng)用[J].安徽警官職業(yè)學(xué)院學(xué)報(bào),2013(02):116-116.

[15]董德順.FTP主動(dòng)和被動(dòng)傳輸區(qū)別[J].才智,2010(07):47-47.

[16]孫光懿.基于HSRP和RIP協(xié)議實(shí)現(xiàn)校園網(wǎng)出口多組負(fù)載均衡[J].實(shí)驗(yàn)室研究與探索,2017(12):5-5.

[17]李貴華.配管VLAN“兩不誤”[J].網(wǎng)絡(luò)運(yùn)維與管理,2014(9):2-2.

[18]ThomasWeiseRaymondChiong.EvolutionaryOptimizationPitfallsandBoobyTraps[J].JournalofComputerScience&,2012(05):7-36.

[19]司桂榮張藝弛宗國(guó)升陶佰睿.基于三層交換技術(shù)的虛擬局域網(wǎng)規(guī)劃設(shè)計(jì)[J].內(nèi)蒙古師范大學(xué)學(xué)報(bào)(自然科學(xué)漢文版),2014(01):106-110.

[20]李安邦.華為和思科VLAN實(shí)現(xiàn)的分析與比較[J].電腦知識(shí)與技術(shù),2018(27):33-35.[21]馮乃光程曦.基于端口引用訪問(wèn)的ACL包過(guò)濾技術(shù)實(shí)現(xiàn)[J].現(xiàn)代電子技術(shù),2009(20):90-92.

[22]劉利李津生洪佩琳朱文濤.基于策略的組播接入控制研究[J].應(yīng)用科學(xué)學(xué)報(bào),2005(02):108-111.

[23]奚婧胡文驊.基于Net平臺(tái)的DNS域名解析仿真實(shí)驗(yàn)教學(xué)設(shè)計(jì)[J].中國(guó)信息技術(shù)教育,2019(08):108-111.

[24]岳建平嚴(yán)劍煒陳潔.淺議我校精品課程網(wǎng)絡(luò)資源的共享控制[J].現(xiàn)代經(jīng)濟(jì)信息,2009(07):207-207.

[25]游勝玉何璘琳趙美麗.基于GNS3的計(jì)算機(jī)網(wǎng)絡(luò)仿真實(shí)驗(yàn)教學(xué)研究[J].東華理工大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版),2015(01):88-91.

[26]賀文華陳志剛.虛擬局域網(wǎng)技術(shù)研究[J].計(jì)算機(jī)時(shí)代,2007(11):31-35.

[27]張振江蔣巍張哲.靜態(tài)綁定技術(shù)在局域網(wǎng)管理中應(yīng)用[J].電腦知識(shí)與技術(shù),2012(10):33-34.

[28]孫立新張栩之.關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)物理安全研究與分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2009(10):68-69.

謝辭為時(shí)一個(gè)學(xué)期的畢業(yè)設(shè)計(jì)即將結(jié)束了，這也意味者我在北京理工大學(xué)珠海學(xué)院的大學(xué)生涯也即將結(jié)束。在畢業(yè)設(shè)計(jì)這段時(shí)間里，我得到了很大的自身提高，其中包含了對(duì)汽車系統(tǒng)知識(shí)的理解、還有對(duì)有關(guān)這方面書籍的認(rèn)識(shí)等等，這些都得益于老師和同學(xué)的大力幫助，…….附錄附錄1程序源代碼ISP_running-config： interfaceGigabitEthernet0/0/0ipaddress54interfaceSerial0/1/0ipaddress52clockrate64000出口路由器_running-config：aaanew-modelaaaauthenticationloginvpn-alocalaaaauthorizationnetworkvpn-olocalusernamevpnpassword0vpn123cryptoisakmppolicy10hashmd5authenticationpre-sharecryptoisakmpclientconfigurationgroupvpngroupkeyvpn123poolVPN-POOLcryptoipsectransform-seteasy-setesp-3desesp-md5-hmaccryptodynamic-mapd-map10settransform-seteasy-setreverse-routecryptomapeasy-mapclientauthenticationlistvpn-acryptomapeasy-mapisakmpauthorizationlistvpn-ocryptomapeasy-mapclientconfigurationaddressrespondcryptomapeasy-map10ipsec-isakmpdynamicd-mapinterfaceGigabitEthernet0/0/0ipaddress52ipnatinsideinterfaceGigabitEthernet0/0/1ipaddress52ipnatinsideinterfaceSerial0/1/0ipaddress52ipnatoutsidecryptomapeasy-mapinterfaceGigabitEthernet0/2/0switchportaccessvlan120switchportmodeaccessswitchportnonegotiateinterfaceVlan120ipaddress54ipnatinsiderouterospf1networkarea0networkarea0network55area0default-informationoriginateiplocalpoolVPN-POOL54ipnatinsidesourcelistnatinterfaceSerial0/1/0overloadipnatinsidesourcestaticipnatinsidesourcestatictcp8080iprouteipaccess-listextendednatdenyip55anydenyip55anypermitipanyany核心交換機(jī)1_running-config：vtpmodeservervtpdomainaavlan10vlan20vlan30vlan40vlan50vlan100vlan110iproutingspanning-treemoderapid-pvstspanning-treevlan1,10,20,30,40priority0spanning-treevlan50,100,110priority4096interfacePort-channel1switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/1switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/2switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/3switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/4switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/5switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/6switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/7switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/8switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/9switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/10switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/23switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeoninterfaceFastEthernet0/24switchporttrunkencapsulationdot1qswitchportmodetrunkchannel-group1modeoninterfaceGigabitEthernet0/1noswitchportipaddress52interfaceVlan10ipaddress53iphelper-addressipaccess-groupcwoutstandby10ip54standby10priority125standby10preemptinterfaceVlan20ipaddress53iphelper-addressstandby20ip54standby20priority125standby20preemptinterfaceVlan30ipaddress53iphelper-addressstandby30ip54standby30priority125standby30preemptinterfaceVlan40ipaddress53iphelper-addressstandby40ip54standby40priority125standby40preemptinterfaceVlan50ipaddress53iphelper-addressstandby50ip54standby50preemptinterfaceVlan100ipaddress53standby100ip54standby100preemptinterfaceVlan110ipaddress53standby110ip54standby110preemptrouterospf1networkarea0network55area0network55area0network55area0network55area0network55area0network55area0network55area0ipaccess-listextendedcwpermitip5555permitip5555denyipanyany核心交換機(jī)2_running-config：vtpmodeclientiproutingspanning-treemoderapid-pvstspanning-treevlan50,100,110priority0spanning