中型网络综合配置与安全配置 毕业论文.doc

1 中型网络综合配置与安全配置 引 言 5 1.网络技术介绍 .5 1.1 因特网协议 .5 1.1.1、tcp/ip 协议 .5 1.1.2、主机到主机层协议 .6 1.1.3、因特网层协议 .7 1.2 路由与交换技术 .8 1.2.1 什么是路由 .8 1.2.2 什么是交换 .8 1.2.3 局域网交换机的种类和选择 .9 1.3 vlan 虚拟局域网 .9 1.3.1 vlan 简介 9 1.3.2 vlan 的优点 10 1.3.3 vtp：思科 vlan 中继协议（ vtp：cisco vlan trunking protocol） 10 1.4 nat 地址转换技术 11 1.4.1 nat 原理简介 .11 1.4.2 nat 技术类型 .11 1.5 访问控制列表 acl（access control list，acl) 12 1.5.1 概述 .12 1.5.2 acl 的作用 .12 2.项目分析 13 2.1 案例概况 .13 2.2 案例技术要求 .14 2.3 案例深入分析 .14 2.3.1 拓扑结构分析 .14 2.3.2 vlan 划分原则 14 2.3.3 其他网络技术的使用 .15 2.4 网络布线工程 .15 2.5 项目设计总结 .15 2.5.1 总拓扑图： .15 2.5.2 ip 地址及 vlan 划分对照表 16 3.网络设置与调试 18 3.1 试验环境说明 .18 3.2 交换机配置部分 .18 3.2.1 配置前说明 .18 3.2.2 一楼交换机配置命令 .18 3.2.3 二楼交换机配置 .20 3.2.4 三楼交换机配置 .20 2 3.2.5 主交换机配置 .20 3.2.6 vtp 配置 .21 3.2.7 默认网关 .22 3.3 路由器配置部分 .23 3.3.1 基本配置 .23 3.3.2 路由协议配置 .24 3.3.3 nat 地址转换配置 .24 3.3.4 访问控制列表配置 .25 4.项目验收测试 28 4.1 网络性能测试 .28 4.2 网络安全测试 .29 结 论 .30 谢 辞 .31 参考文献 .32 3 中型网络综合配置与安全配置 摘要 在当今社会，全球经济发展和信息技术不断发展，不断结合；网络已经成为企业领导 者和员工传递信息和管理的主要途径。在淘汰了复杂的手工管理后，自动化和智能化的计 算机管理逐渐被企业所认可，特别是现在特别流行的公司局域网。企业内部网络的架设， 不仅让企业的运作更有效率，而且带来了管理上的便捷。起初，企业内部架设网络仅仅是 为了实现企业内部信息的共享，帮助员工快速的查找到他们需要的资料。但是后来全问题 逐步凸显了出来，机密文件外泄、得到权限的用户不能行使自己的权利，对企业的利益造 成了损害。 随需求确定安全管理策略随着网络拓扑结构、网络应用以及网络安全技术的不断发展， 安全策略的制订和实施是一个动态的延续过程。当然可以请有经验的安全专家或购买服务 商的专业服务。但是一个单位的网络安全服务建设不可能仅依靠公司提供的安全服务，因 为商业行为与企业安全有本质差别，不是所有的网络都需要所有的安全技术，何况有些安 全技术本身并不成熟，只有采取适当防护，重点突出的策略，才能有的放矢，不会盲目跟 风。 本文通过进行对一个公司的内部网络的设计、调试及安全方面的配置。解决了上面所 考虑到的一些问题，具有一定的参考价值。 关键词：企业内部网络管理，网络安全管理 4 medium network configuration and security configuration abstract in now society，global economic development and information technology continuous development and integration; networks have become leaders and impart information and the staff are the main channels. out in a complex manual management, automation and management of intelligent computers have been gradually recognized by the enterprise, especially now extremely popular network management. enterprises to set up internal network, not only to allow enterprises to work more efficiently, but also create a convenient management. initially, the internal network is only set up in order to achieve the enterprises internal information sharing, helping staff to quickly find the information they need. but he highlighted security problems out, confidential documents leaked, the competence of the users to be unable to exercise their rights, to the interests of the damage caused. with the demand for security management strategy identified with the network topology, network applications and network security technology continues to develop, security strategy formulation and implementation is a dynamic process of renewal. requests can certainly experienced security experts to purchase services or professional services. however, a unit of internet security service building company can not rely solely on the provision of security services, because commercial and enterprise security is a fundamental difference, and not all of the needs of all network security technology, moreover, some security technology itself is not mature enough, only to take appropriate protection, focused strategy to targeted, not blindly follow the trend. by conducting a companys internal network design, debug and security configuration. solve the above into account some issues with reference value. keywords：enterprise network management，network security management 5 引 言 从 1973 年第一个局域网alto aloha（事实上它的创造者叫它 ethernet，也就是我 们现在所说的以太网）的出现已经有 30 余年的历史了。从一开始 2.94mbps 的传输速率到 现在已经开始普及的千兆以太网其中过程可谓曲折。中间变革不仅仅从网络拓扑上，传输 介质，网络标准也不断更新换代。 现在网络化办公，自动化办公已经从当年的设想演变成现在普及使用，其功能上甚至 有胜于当年的设想蓝图。soho 是以前上班族的梦想，现在已经是现代白领生活中的一部 分了。在家办公，自由职业者由于网络这个媒介的日渐成熟而成为现实。 政府以及企业都在实行网络化办公。不仅方便快捷提高了效率而且便于管理。异地办 公，分公司访问总公司的服务器以查找需要的资料，这一方式正在大中型企业里开始应用。 其好处可想而知。而且网络权限的设置规定了，哪些人可以访问机密文件，哪些人则被拒 绝。安全系数也比较高，不用担心泄密问题。当然没有完全安全的网络环境，所以网络专 家们仍在继续研究安全技术以使网络环境更加的安全，这不仅仅是技术层面上的问题，这 还涉及到管理体制的方法。 本次论文将要构建的一个小型公司网络就是一个典型的公司办公网络。不仅要保证一 个稳定的网络运行，而且要保证网络环境的安全确保公司的机密资料不会被未授权的人盗 取。 当然我只能做到网络技术层面上的万无一失，如果人员职能问题上出现漏洞不是网络 安全所能解决的。 1 网络技术介绍 1.1 因特网协议 1.1.1、tcp/ip 协议 tcp/ip（传输入控制地议/网际协议）是一种网络通信协议，它规范了网络上的所有通 信设备，尤其是一个主机与另一个主机之间的数据传输格式以及传送方式。tcp/ip 是因特 网的基础协议。如果能够正确地设计和应用，一个 tcp/ip 网络将是一个可靠的并富有弹性 的网络。 世界上有各种不同类型的计算机，也有不同的操作系统，要想让这些装有不同操作系 统的不同类型计算机互相通讯，就必须有统一的标准。tcp ip 协议就是目前被各方面遵 从的网际互联工业标准。 tcp/ip 协议覆盖了 osi 网络结构七层模型中的六层，并支持从交换（第二层）诸如 6 多协议标记交换，到应用程序诸如邮件服务方面的功能。tcp/ip 的核心功能是寻址和路由 选择（网络层的 ip/ipv6 ）以及传输控制（传输层的 tcp、udp） 。 1.1.2、主机到主机层协议 主机到主机层的主要目的，是将上层的应用程序从网络传输的复杂性中层屏蔽出来。 在这一层可以对它的上层说：“你只需给我你的数据流，它的结构可以是任意的，让我来 负责这些数据的发送准备。 ” 本层的两个协议： 传输控制协议（tcp） 用户数据报协议（udp） 、传输控制协议 传输控制协议（transmission control protocol，tcp）是一种面向连接的、可靠的、基 于字节流的运输层通信协议，通常由 ietf 的 rfc 793 说明。在简化的计算机网络 osi 模 型中，它完成运输层所指定的功能。 在因特网协议族中，tcp 层是位于 ip 层之上，应用层之下的中间层。不同主机的应用 层之间经常需要可靠的、像管道一样的连接，但是 ip 层不提供这样的流机制，而是提供不 可靠的包交换。 应用层向 tcp 层发送用于网间传输的、用 8 位字节表示的数据流，然后 tcp 把数据 流分割成适当长度的报文段（通常受该计算机连接的网络的数据链路层的最大传送单元 (mtu)的限制） 。之后 tcp 把结果包传给 ip 层，由它来通过网络将包传送给接收端实体的 tcp 层。tcp 为了保证不发生丢包，就给每个字节一个序号，同时序号也保证了传送到接 收端实体的包的按序接收。然后接收端实体对已成功收到的字节发回一个相应的确认(ack)； 如果发送端实体在合理的往返时延(rtt)内未收到确认，那么对应的数据（假设丢失了） 将会被重传。tcp 用一个校验和函数来检验数据是否有错误；在发送和接收时都要计算校 验和。 tcp 连接包括三个状态：连接建立、数据传送和连接终止。tcp 用三路握手过程建 立一个连接，用四路握手过程建立来拆除一个连接。在连接建立过程中，很多参数要被初 始化，例如序号被初始化以保证按序传输和连接的强壮性。 tcp 并不是对所有的应用都适合，一些新的带有一些内在的脆弱性的运输层协议也被 设计出来。比如，实时应用并不需要甚至无法忍受 tcp 的可靠传输机制。在这种类型的应 用中，通常允许一些丢包、出错或拥塞，而不是去校正它们。例如通常不使用 tcp 的应用 有：实时流多媒体（如因特网广播） 、实时多媒体播放器和游戏、 ip 电话（voip）等等。 任何不是很需要可靠性或者是想将功能减到最少的应用可以避免使用 tcp。在很多情况下， 当只需要多路复用应用服务时，用户数据报协议（udp）可以代替 tcp 为应用提供服务。 、用户数据报协议 用户数据报协议 (user datagram protoco, udp)是一个简单的面向数据报的传输层 (transport layer)协议，ietf rfc 768 是 udp 的正式规范。 在 tcp/ip 模型中， udp 为网络层(network layer)以下和应用层(application layer)以上提 供了一个简单的接口。udp 只提供数据的不可靠交付，它一旦把应用程序发给网络层的数 据发送出去，就不保留数据备份（所以 udp 有时候也被认为是不可靠的数据报协议） 。 udp 在 ip 数据报的头部仅仅加入了复用和数据校验（字段） 。 udp 首部字段由 4 个部分组成，其中两个是可选的。各 16-bit 的源端口和目的端口用 7 来标记发送和接受的应用进程。因为 udp 不需要应答，所以源端口是可选的，如果源端口 不用，那么置为零。在目的端口后面是长度固定的以字节为单位的长度域，用来指定 udp 数据报包括数据部分的长度,长度最小值为 8 (octets)。首部剩下地 16-bit 是用来对首部和数 据部分一起做校验和的，这部分是可选的，但在实际应用中一般都使用这一功能。 由于缺乏可靠性，udp 应用一般必须允许一定量的丢包、出错和复制。有些应用，比 如 tftp，如果需要则必须在应用层增加根本的可靠机制。但是绝大多数 udp 应用都不需 要可靠机制，甚至可能因为引入可靠机制而降低性能。流媒体 streaming media、实时多媒 体游戏和 voice over ip (voip)就是典型的 udp 应用。如果某个应用需要很高的可靠性，那 么可以用传输控制协议 transmission control protocol 来代替 udp。 由于缺乏拥塞避免和控制机制，需要基于网络的机制来减小因失控和高速 udp 流量负 荷而导致的拥塞崩溃效应。换句话说，因为 udp 发送者不能够检测拥塞，所以像使用包队 列和丢弃技术的路由器这样的网络基本设备往往就成为降低 udp 过大通信量的有效工具。 数据报拥塞控制协议 datagram congestion control protocol (dccp)设计成通过在诸如流媒体 类型的高速率 udp 流中增加主机拥塞控制来减小这个潜在的问题。 1.1.3、因特网层协议 在 dod 的模型中，设置因特网层有两个主要的理由：路由及为上层提供一个简单的网 络接口。 没有任何一个其他的高层或低层协议会涉及到任何有关路由的功能，这个复杂和重要 的任务是完全属于因特网层。 因特网层协议： 1 因特网协议（ip） 2 因特网控制报文协议（icmp） 3 地址解析协议（arp） 4 逆向地址解析协议（rarp） 、因特网协议（ip） 因特网协议其实质就是因特网层。其他的协议仅仅是建在离其基础上用于支持 ip 协议 的。 ip 是从主机到主机层处接受数据段的，在需要时再将他们组合成数据报（数据包） ， 然后接收方的 ip 再重新组合数据报为数据段。每个数据报都被指定了发送者和接收者的 ip 地址。每个接收了数据报的路由器都是基于数据包的目的 ip 地址来决定路由的。 构成 ip 报头的字段如下： 1 版本 4 2 报头长度（hlen） 4 3 ip 优先位或 tos 8 4 总长度 16 5 标识 16 6 标志 3 7 分段偏移 13 8 ttl(存活期) 8 9 协议 8 10 报头和效验和 16 11 源 ip 地址 32 12 ip 选项 0 或 32 13 数据 可变 注：后面的数字表示长度 在 ip 报头的协议字段中可能发现的协议 协议 协议号 icmp 1 igrp 9 eigrsp 88 ospf 89 ipv6 41 gre 47 ipx in ip 111 layer-2 tunnel(l2tp) 115 8 、因特网控制报文协议 因特网控制报文协议（icmp）工作在网络层，它被 ip 用于提供许多不同的服务。 icmp 是一个管理性协议，并且也是一个 ip 信息服务的提供者。他的信息是被作为 ip 数据 报来传送的。 下面是与 icmp 相关的一些常见的事件和信息： 1 目的不可达 如果路由器不能再向前发送某个 ip 数据报，这是路由器会使用 icmp 来传送一个信息返回给发送端，来通告这一情况。 2 缓冲区满 如果路由器用于接收输入数据的内存缓冲区已经满了，他将会使用 icmp 向外发送这个信息直道拥塞解除。 3 跳 每个 ip 数据报都被分配了一个所允许经过路由器个数的数值，被称为跳 （hop） 。 4 ping ping（即数据包的因特网探测）使用 icmp 回应信息在互联网络上检查计算 机间物理连接的连通性。 5 traceroute traceroute 是通过使用 icmp 的超时机制，来发现一个数据报在穿越互 联网络时它所经历的路径。 、地址解析协议（arp） 地址解析协议（arp）可以由已知主机的 ip 地址，在网络上查找到他的硬件地址。 、逆向地址解析协议（rarp ） 当一台误判计算机被用做 ip 主机时，它没有办法在其初始化时了解自己的 ip 地址。 但是他可以知道自己的 mac 地址。逆向地址解析协议（rarp ）可以通过发送一个包含有 无盘主机 mac 地址的数据包，来询问与此 mac 地址相对应的 ip 地址。 1.2 路由与交换技术 1.2.1 什么是路由 路由是把信息从源穿过网络传递到目的的行为，在路上，至少遇到一个中间节点。路 由通常与桥接来对比，在粗心的人看来，它们似乎完成的是同样的事。它们的主要区别在 于桥接发生在osi参考协议的第二层（链接层） ，而路由发生在第三层（网络层） 。这一区 别使二者在传递信息的过程中使用不同的信息，从而以不同的方式来完成其任务。 路由的话题早已在计算机界出现，但直到八十年代中期才获得商业成功，这一时间延 迟的主要原因是七十年代的网络很简单，后来大型的网络才较为普遍。 1.2.2 什么是交换 1993 年，局域网交换设备出现，1994 年，国内掀起了交换网络技术的热潮。其实，交 换技术是一个具有简化、低价、高性能和高端口密集特点的交换产品，体现了桥接技术的 复杂交换技术在 osi 参考模型的第二层操作。与桥接器一样，交换机按每一个包中的 mac 地址相对简单地决策信息转发。而这种转发决策一般不考虑包中隐藏的更深的其他信 息。与桥接器不同的是交换机转发延迟很小，操作接近单个局域网性能，远远超过了普通 桥接互联网络之间的转发性能。 9 交换技术允许共享型和专用型的局域网段进行带宽调整，以减轻局域网之间信息流通 出现的瓶颈问题。现在已有以太网、快速以太网、fddi 和 atm 技术的交换产品。类似传 统的桥接器，交换机提供了许多网络互联功能。交换机能经济地将网络分成小的冲突网域， 为每个工作站提供更高的带宽。协议的透明性使得交换机在软件配置简单的情况下直接安 装在多协议网络中；交换机使用现有的电缆、中继器、集线器和工作站的网卡，不必作高 层的硬件升级；交换机对工作站是透明的，这样管理开销低廉，简化了网络节点的增加、 移动和网络变化的操作。 利用专门设计的集成电路可使交换机以线路速率在所有的端口并行转发信息，提供了 比传统桥接器高得多的操作性能。如理论上单个以太网端口对含有 64 个八进制数的数据包， 可提供 14880bps 的传输速率。这意味着一台具有 12 个端口、支持 6 道并行数据流的“线路 速率”以太网交换器必须提供 89280bps 的总体吞吐率（6 道信息流14880bps道信息流） 。 专用集成电路技术使得交换器在更多端口的情况下以上述性能运行，其端口造价低于传统 型桥接器。 1.2.3 局域网交换机的种类和选择 局域网交换机根据使用的网络技术可以分为： 以大网交换机； 令牌环交换机； fddi 交换机； atm 交换机； 快速以太网交换机等。 如果按交换机应用领域来划分，可分为： 台式交换机； 工作组交换机； 主干交换机； 企业交换机； 分段交换机； 端口交换机； 网络交换机等。 局域网交换机是组成网络系统的核心设备。对用户而言，局域网交换机最主要的指标 是端口的配置、数据交换能力、包交换速度等因素。因此，在选择交换机时要注意以下事 项： （1）交换端口的数量； （2）交换端口的类型； （3）系统的扩充能力； （4）主干线连接手段； （5）交换机总交换能力； （6）是否需要路由选择能力； （7）是否需要热切换能力； （8）是否需要容错能力； （9）能否与现有设备兼容，顺利衔接； （10）网络管理能力。 1.3 vlan虚拟局域网 1.3.1 vlan简介 vlan（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网 络用户的物理位置限制而根据用户需求进行网络分段。一个 vlan可以在一个交换机或者跨 交换机实现。vlan 可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用 程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带 宽问题。 10 传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引 起网络性能的下降，浪费可贵的带宽；而且对广播风暴的控制和网络安全只能在第三层的 路由器上实现。 vlan相当于 osi参考模型的第二层的广播域，能够将广播风暴控制在一个 vlan内部， 划分 vlan后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性 能得到显著的提高。不同的 vlan之间的数据传输是通过第三层（网络层）的路由来实现的， 因此使用 vlan技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管 理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时 vlan和第三层 第四层的交换结合使用能够为网络提供较好的安全措施。 随着 vlan技术的日益完善， vlan技术越来越多的应用在交换以太网中，成为网络灵活分段和提高网络安全的方法。 1.3.2 vlan的优点 vlan的优点主要体现在以下 3个方面： 1、控制广播风暴 网络管理必须解决因大量广播信息带来带宽消耗的问题。vlan 作为一种网络分段技术， 可将广播风暴限制在一个 vlan内部，避免影响其他网段。与传统局域网相比， vlan能够 更加有效地利用带宽。在 vlan中，网络被逻辑地分割成广播域，由 vlan成员所发送的信 息帧或数据包仅在 vlan内的成员之间传送，而不是向网上的所有工作站发送。这样可减少 主干网的流量，提高网络速度。 2、增强网络的安全性 共享式 lan上的广播必然会产生安全性问题，因为网络上的所有用户都能监测到流经 的业务，用户只要插入任一活动端口就可访问网段上的广播包。采用 vlan提供的安全机制， 可以限制特定用户的访问，控制广播组的大小和位置，甚至锁定网络成员的 mac地址，这 样，就限制了未经安全许可的用户和网络成员对网络的使用。 3、增强网络管理 采用 vlan技术，使用 vlan管理程序可对整个网络进行集中管理，能够更容易地实现 网络的管理性。用户可以根据业务需要快速组建和调整 vlan。当链路拥挤时，利用管理程 序能够重新分配业务。管理程序还能够提供有关工作组的业务量、广播行为以及统计特性 等的详尽报告。对于网络管理员来说，所有这些网络配置和管理工作都是透明的。vlan 变 动时，用户无需了解网络的接线情况和协议是如何重新设置的。 vlan还能减少因网络成员变化所带来的开销。在添加、删除和移动网络成员时，不用 重新布线，也不用直接对成员进行配置。若采用传统局域网技术，那么当网络达到一定规 模时，此类开销往往会成为管理员的沉重负担。 1.3.3 vtp：思科 vlan中继协议（vtp：cisco vlan trunking protocol） vlan 中继协议（vtp）是思科第 2层信息传送协议，主要控制网络范围内 vlans 的添 加、删除和重命名。vtp 减少了交换网络中的管理事务。当用户要为 vtp 服务器配置新 vlan 时，可以通过域内所有交换机分配 vlan，这样可以避免到处配置相同的 vlan。vtp 是思科私有协议，它支持大多数的 cisco catalyst 系列产品。 通过 vtp，其域内的所有交换机都清楚所有的 vlans 情况，但当 vtp 可以建立多余 流量时情况例外。这时，所有未知的单播（unicasts）和广播在整个 vlan 内进行扩散， 使得网络中的所有交换机接收到所有广播，即使 vlan 中没有连接用户，情况也不例外。 而 vtp pruning 技术正可以消除该多余流量。 11 缺省方式下，所有 cisco catalyst交换机都被配置为 vtp 服务器。这种情形适用于 vlan 信息量小且易存储于任意交换机（nvram）上的小型网络。对于大型网络，由于每台 交换机都会进行 nvram 存储操作，但该操作对于某些点是多余的，所以在这些点必须设置 一个“判决呼叫”（judgment call）。基于此，网络管理员所使用的 vtp 服务器应该采 用配置较好的交换机，其它交换机则作为客户机使用。此外需要有某些 vtp 服务器能提供 网络所需的一定量的冗余。 1.4 nat地址转换技术 1.4.1 nat原理简介 nat英文全称是“network address translation”，中文意思是“网络地址转换”， 它是一个 ietf(internet engineering task force, internet工程任务组)标准，允许一 个整体机构以一个公用 ip（internet protocol）地址出现在 internet上。顾名思义，它 是一种把内部私有网络地址（ip 地址）翻译成合法网络 ip地址的技术。 简单地说，nat 就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进 行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将 内部地址替 换成公用地址，从而在外部公网（internet）上正常使用，nat 可以使多台计算机共享 internet连接，这一功能很好地解决了公共 ip 地址紧缺的问题。通过这种方法，您可以 只申请一个合法 ip地址，就把整个局域网中的计算机接入 internet中。这时，nat 屏蔽 了内部网络，所有 内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常 不会意识到 nat的存在。如图 2所示。这里提到的内部地址，是指在内部网络中分配给节 点 的私有 ip地址，这个地址只能在内部网络中使用，不能被路由（一种网络技术，可以 实现不同路径转发）。虽然内部地址可以随机挑选，但是通常使用的是下面的 地址： 55，55， 55。nat 将这些无法在互联网上使用的保留 ip地址翻译成可 以在互联网上使用的合法 ip地址。而全 局地址，是指合法的 ip地址，它是由 nic（网络 信息中心）或者 isp(网络服务提供商)分配的地址，对外代表一个或多个内部局部地址， 是全球统一的可寻 址的地址。 nat 功能通常被集成到路由器、防火墙、isdn 路由器或者单独的 nat设备中。比如 cisco路由器中已经加入这一功能，网络管理员只需在路由器的 ios中设 置 nat功能，就 可以实现对内部网络的屏蔽。再比如防火墙将 web server的内部地址 映射为 外部地址 1，外部访问 1地址实际上就是访问访问 。另外资金有限的小型企业来说，现在通过软件也可以实现这一功能。 windows 98 se、windows 2000 都包含了这一功能。 1.4.2 nat技术类型 nat有三种类型：静态 nat(static nat)、动态地址 nat(pooled nat)、网络地址端口 转换 napt（portlevel nat）。 1.静态 nat转换 静态 nat设置起来最为简单和最容易实现的一种，内部网络中的每个主机都被永久映 射成外部网络中的某个合法的地址。而动态地址 nat则是在外部网络中定 义了一系列的合 法地址，采用动态分配的方法映射到内部网络。napt 则是把内部地址映射到外部网络的一 个 ip地址的不同端口上。根据不同的需要，三种 nat 方案各有利弊。 2.动态 nat转换 动态地址 nat只是转换 ip地址，它为每一个内部的 ip地址分配一个临时的外部 ip地 址，主要应用于拨号，对于频繁的远程联接也可以采用动态 nat。当远程用户联接上之后， 12 动态地址 nat就会分配给他一个 ip地址，用户断开时，这个 ip地址就会被释放而留待以 后使用。 3.nat过载技术 网络地址端口转换 napt（network address port translation）是人们比较熟悉的一 种转换方式。napt 普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的 ip 地址后面。napt 与动态地址 nat不同，它将内部连接映射到外部网络中的一个单独的 ip 地址上，同时在该地址上加上一个由 nat设备选定的 tcp端口号。 在 internet 中使用 napt时，所有不同的信息流看起来好像来源于同一个 ip地址。这 个优点在小型办公室内非常实用，通过从 isp处申请的一个 ip地址，将多个连接通 过 napt接入 internet。实际上，许多 soho远程访问设备支持基于 ppp的动态 ip地址。这样， isp甚至不需要支持 napt，就可以做到多个内部 ip地址共用一个外部 ip地址上 internet，虽然这样会导致信道的一定拥塞，但考虑到节省的 isp上网费用和易管理的特 点，用 napt还是很值得的。 1.5 访问控制列表 acl（access control list，acl) 1.5.1 概述 访问控制列表（access control list，acl) 是路由器接口的指令列表，用来控制端 口进出的数据包。acl 适用于所有的被路由协议，如 ip、ipx 、appletalk 等。 acl的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议 （ip、appletalk 以及 ipx）的情况，那么，用户必须定义三种 acl来分别控制这三种协议 的数据包。 1.5.2 acl的作用 acl可以限制网络流量、提高网络性能。例如，acl 可以根据数据包的协议，指定数据 包的优先级。 acl提供对通信流量的控制手段。例如，acl 可以限定或简化路由更新信息的长度，从 而限制通过路由器某一网段的通信流量。 acl是提供网络安全访问的基本手段。如图 1所示，acl 允许主机 a访问人力资源网络， 而拒绝主机 b访问。 acl可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允 许 e-mail通信流量被路由，拒绝所有的 telnet通信流量。 13 2.项目分析 2.1 案例概况 某公司拥有一栋三层办公楼。公司部门分为销售部，财务部和仓储部三个部门。且每个 部门下分三个管理层。公司人事组织结构图如下： 该公司对网络的要求是每个部门的部级对处级（处级对组）的电脑有完全的访问权，并 且每个部门的上级对其他两个部门的下级部门的电脑有访问权。三个部门同等级间的访问 权限要求从上至下是：财务销售仓储。 办公楼内的办公室及各办公室内的电脑数量分配如下表： 公司向 isp申请了一个公网地址 3以访问国际互连网，这条线路是 公司唯一通向外网线路。并且为了管理方便，公司内网只使用 /24 这一个网段。 总经理办公室 2台 pc 销售部办公室 5台 pc 财务部办公室 3台 pc 仓储部办公室 4台 pc 会议室 预留 4个网络接口 销售处办公室 20台 pc 财务处办公室 7台 pc 仓储处办公室 10台 pc 财务组办公室 10台 pc 销售组办公室 47台 pc 仓储组办公室 16台 pc 楼内弱电设备管理间 14 2.2 案例技术要求 1. 这个项目由于涉及到部门划分所以必须要用到 vlan。 2. 内网只使用一个网段于是必须使用 vlsm可变长子网掩码。 3. 而且部门间有上下级造成访问权限的需要，于是访问控制列表必不不可少。 4. 为了节省成本公司最好只使用一台路由器，这将要使用到单臂路由技术。 5. 公司只有一个公网地址，但是却有 124台电脑需要上网。于是必须使用 nat过载。 2.3 案例深入分析 2.3.1 拓扑结构分析 初步设计逻辑拓扑图如下： 如上图所示，由一台路由负责这栋楼对外网的通信，同时要担负这栋楼内的各个部门 的 vlan之间的通信。路由器用的是 cisco 2620选了两个串口和一个快速以太网口。主交 换机连接到主分别连接到各层楼的交换机和主路由，是内部网络的主通道。网内的交换机 全部选用 cisco catalyst 2950交换机。 2.3.2 vlan划分原则 根据案例概况里面描述的情况，按 vlan访问权限划分等级如下表： 办公室 vlan号 访问优先级（数字越小等级 越高） 总经理办公室 2 1 财务部办公室 3 2 销售部办公室 4 3 15 仓储部办公室 5 4 财务处办公室 6 5 销售处办公室 7 6 仓储处办公室 8 7 财务组办公室 9 8 销售组办公室 10 9 仓储组办公室 11 10 会议室 1 11 由于会议室是预留网络接口以备会议时需要使用互联网而单独划分 vlan，在 cisco vlan协议中 vlan 1是保留 vlan用于管理的，所以将会议室的插口划分到 vlan 1当中， 但是出于安全考虑，在配置访问控制列表时会禁止 vlan 1访问内部网络中的任何其他办公 室的主机。 2.3.3 其他网络技术的使用 napt将被配置在主路由上负责公司的 internet上网服务，acl 访问控制列表和 vlan 划分负责楼内网络的安全控制。 2.4 网络布线工程 布线工程这方面仔细的来说就可以单写一篇论文。所以我只粗略的描述一下这个项目的 布线方式。 1设备间子系统 设备间子系统设在办公楼的一层，方便 internet专线由地下接入办公楼。主路由、主 交换和一层的管理间子系统的堆叠交换机组都放在一楼的弱电设备管理间。 2.管理间子系统与工作区子系统 为了节省成本只在每层楼安放一个 2950交换机作为水平子系统与垂直子系统的连接点。 因为每个办公室都是一个独立的 vlan，所以每个办公室都安装一个两口的 rj-45墙座插口 分别对应 2950交换机上的两个端口。然后再在每个办公室内放置一个相应接口的 d-link 交换机作为接入层设备。 3.布线标准 所有的线缆都采用超五类非屏蔽双绞线。施工标准参考中华人民共和国信息产业部发布的 建筑与建筑群综合布线工程系统设计规范。 2.5 项目设计总结 2.5.1 总拓扑图： 16 2.5.2 ip地址及 vlan划分对照表 由于只有一个 c类的私有地址网段可供使用，而且同时要划分这么多个 vlan。所以必 须事先利用 vlsm可变长子网掩码将各个办公室的 ip网段划分出来。另外每个 vlan下独 立的网段在配置时还需要设置一个可用的主机位为默认网关，所以在进行 vlsm计算子网 大小时需要在原本需要使用的 ip地址数量上加 1。详细划分方案见下表： 办公室 主机（接 口）数 实际 ip 地址需求 数 ip网段 可用主机位地址范围 总经理 2 3 /29 财务部 3 4 /29 17 4 销售部 5 6 6/29 7 2 仓储部 4 5 4/29 5 0 会议室 4 5 2/29 3 8 财务处 7 8 8/28 9 2 销售处 20 21 6/27 7 26 仓储处 10 11 4/28 5 8 财务组 10 11 0/28 1 4 销售组 47 48 92/26 93 54 仓储组 16 17 28/27 29 59 基本上理论分析的部分就这么多了。接下来进入实际配制的环节。 18 3.网络设置与调试 3.1试验环境说明 由于没有真实的试验环境，所以我使用的是 boson software 公司的 boson_netsim 5.31网络试验模拟软件。该软件能够十分真实的模拟运行你所设计的拓扑结构的网络。试 验中所使用的拓扑图见下图，接口信息参见 2.5.1总拓扑图中的说明。图中的 internet 路由器和 server分别代表公司的 internet外部网络和因特网上的服务器 3.2 交换机配置部分 3.2.1 配置前说明 为了配置时不混淆也为了方便以后的管理，在配置时将一二三楼的 2950交换机分别命 名为floor1floor2floor3，主交换机命名为center 。 3.2.2 一楼交换机配置命令 switch switchenable switch#configure terminal switch(config)#hostname floor1 floor1(config)#enable secret rocker /设定登陆交换机密码为 rocker floor1#vlan database /进入 vlan配置模式 floor1(vlan)#vlan 9 name fingroup vlan 9 added: name:fingroup /财务组的 vlan9取名 fingroup floor1(vlan)#vlan 10 name salgroup vlan 10 added: name:salgroup /销售组的 vlan10取名 salgroup floor1(vlan)#vlan 11 name stogroup vlan 11 added: name:stogroup /仓储组的 vlan11取名 stogroup floor1(config)#interface vlan 9 floor1(config-if)#ip address 2 40 floor1(config-if)#no shutdown floor1(config-if)#interface vlan 10 floor1(config-if)#ip address 94 92 floor1(config-if)#no shutdown 19 floor1(config-if)#interface vlan 11 floor1(config-if)#ip address 30 24 floor1(config-if)#no shutdown /分别配置三个 vlan的 ip地址 floor1(config)#interface f0/1 floor1(config-if)#switchport access vlan 9 floor1(config-if)#interface f0/2 floor1(config-if)#switchport access vlan 9 floor1(config-if)#interface f0/3 floor1(config-if)#switchport access vlan 10 floor1(config-if)#interface f0/4 floor1(config-if)#switchport access vlan 10 floor1(config-if)#interface f0/5 floor1(config-if)#switchport access vlan 11 floor1(config-if)#interface f0/6 floor1(config-if)#switchport access vlan 11 floor1(config-if)#interface f0/12 floor1(config-if)#switchport mode trunk /按事先设计好的将端口划分到 vlan 里并将 f0/12口配置为串口模式 floor1#copy running-config startup-config /将刚才的配置保存到 nvram中去 现在让我们来验证一下 使用 show running-config查看串口信息 3.2.3 二楼交换机配置 20 由于大体上配置命令都是一样的后面的我就配置好后放上验证的截图好了 show run