计算机网络专业实训报告.doc

信息工程系综合实训报告姓 名： 学 号： 专 业： 计算机网络技术 实训地点： 指导教师： 网络专业教师 2013年 07月 10日目 录一、项目背景情况介绍1二、项目的设计目标及设计思想2（一）设计目标2（二）设计思想2三、网络系统设计规划3（一）网络设计指导原则3（二）网络设计总体目标3（三）网络通信联网协议3（四）网络IP地址规划3（五）网络技术方案设计4（六）网络应用系统选择6（七）网络安全系统设计7（八）网络管理维护设计7四、网络拓扑结构规划图/表8（一）规划图8（二）规划表9五、设备选型10（一）接入层交换机101产品参数102选择的原因11（二）核心交换机121产品参数122选择的原因13（三）路由器141产品主要参数142选择的原因15（四）防火墙161产品参数162选择的原因17六、设备命令配置18（一）核心交换机主要命令配置181交换机的端口聚合182Vrrp多配置组配置183交换机的快速生成树194交换机的端口安全195工作组间安全策略（扩展ACL）196工作组间安全策略（基于时间ACL）207RSTP解决网络环路问题21（二）防火墙配置221配置LAN口222配置WAN口22七、设备配置与调试23（一）DNS配置与调试231安装DNS服务器232配置DNS服务器23（二）FTP服务器安装及配置251安装FTP服务器组件：252配置FTP服务器：26（三）WEB配置与调试30（四）电子邮件服务器的安装与配置331SMTP的配置332POP3的配置40八、总结43信息工程系网络技术综合实训一、项目背景情况介绍根据招标要求我公司将为北京阳光电子科技有限责任公司进行信息化建设。北京阳光电子公司已经应用计算机作为生产管理的工具，随着计算机技术和网络技术的不断发展和迅速普及，北京阳光电子公司的计算机应用和局域网络规模也在不断壮大。目前公司已经建立了三个分公司各分支机构内部也全部采用计算机作为业务工具，并建立了自己的局域网络，部分公司已经接入Interent随着公司业务发展的需求，各分公司有着越来越多的业务信息需要同总公司交互。但现阶段公司的计算机网络系统仍然局限于各分公司自己建设一个局域网，这些小的局域网只能满足分公司内部的网上办公系统，不能实现整个公司的网上办公需求。公司的信息网络建设已经滞后于业务发展的步伐。新的ERP系统的使用也迫切地需要将各分公司与总公司的局域网连接在一起形成一个大的内部intranet广域网络。公司的信息部门时刻跟踪最新技术的发展，发现VPN技术的应用已经完善，公司的计算机网络已经可以采用最新的VPN技术实现各分公司与总部网络之间的安全广域网连接。目前，各种病毒、网络攻击等安全事件频繁发生，已经成为企业安全的一个重要威胁；技术的突破，已经使各种病毒具有了黑客工具的性质，一旦企业被病毒感染，会自动打开相应的端口或服务，使企业门户大开，而病毒通过互联网可以轻易的突破没有经过严密防护的企业内部网络，给企业带来各种威胁：开放服务、发出大量垃圾邮件或带病毒邮件等等。黑客和带黑客性质的病毒，不仅会破坏公司的运行环境，破坏机器上的数据，更有可能盗取机密的数据和信息！潜在的风险很难估计。而在公司各地网络建设之初，因为没有专门针对安全方面进行专门设计，所以其现状是不能够满足本企业目前的安全需求的。比如没有采用必要的网络边界防御手段来抵抗来自外部的各种威胁，同时也没有采用必要的防病毒手段来抵抗当今变化各异的病毒。防火墙系统，负责整个企业的边界防护，进行企业内部、外部沟通的安全桥梁，增加了防火墙系统，会将企业的安全防护级别提高一个层次，同时，还可以建立公司总部与分公司网路之间的VPN通道，更加合理、有效的利用公司现有资源，而不会造成信息泄露，因此，引进新的防火墙系统也是公司建立企业广域网安全系统的当务之急。经过和公司的相关技术人员的接触和交流，在此基础上我公司给出本VPN广域网络及安全系统建设的实现方案，侧重于企业的VPN系统，并考虑到信息的足够安全性。二、项目的设计目标及设计思想（一）设计目标根据公司提出的要求各个部门之间实现安全的相互通信，不同部门的电脑连接起来，形成一个公司区域局域网络，实现公司办公室内部可以互相访问，办公室资源共享，并且特定的部门不可以与特定的部门通信而且不能访问服务器专区，在连接外网的同时实现安全通信。（二）设计思想考虑到所做的方案是一家电子科技公司，对网络的安全性与稳定性要求很高，同时需要服务器能够提供可靠的服务。为了满足这些需求，我们将公司办公楼内信息管理中心的服务器区接入到交换机再由连接的路由器接入，接入层接入到中心交换机到达各部门的终端设备。服务器与连接可以更好的提高资料的安全性能，从而使网络平稳运行。核心部分使用一台核心层交换机。通过在接入层交换机上划分VLAN，将各个区域分隔开来，使各个部门之间的工作不会互相影响，而且通过进行配置，即使当一个部门分布在不同的楼层，仍然能够使他们加入到正确的VLAN之中。每个部门采用一台接入层交换机，不仅能满足当前的需要，同时也可以为今后公司规模的扩大提供相应的支持。服务器区包含一台WEB服务器，一台FTP服务器还有两个数据库用来存储公司机密数据，为提高安全性，在配置当中体现了访问权限，每个端口最大连接主机数量不得超过两台，外网IP不能访问本公司的销售部和服务器群使安全性得到最大的保障。三、网络系统设计规划（一）网络设计指导原则网络设计应该遵循开放性和标准化原则、实用性与先进性兼顾原则、可用性原则、高性能原则、经济性原则、可靠性原则、安全第一原则、适度的可扩展性原则、充分利用现有资源原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS保证。（二）网络设计总体目标先进性：系统具有高速传输的能力。工作站子系统传输速率达到100Mb/S，水平系统传输速率达到1000Mb/s,满足现在和未来数据的信息传输的需求；主干系统传输速率达到1000Mb/s,同时具有较高的带宽，满足现在和未来的图像、影像传输的需求。灵活性：系统具有较高的适应变化的能力。当用户的物理位置发生变化时可以在非常简便的调整下重新连接；布线系统适应各种计算机网络结构，如以太网、高速以太网、令牌环网、ATM网等。布线系统且具有一定的扩展能力。实用性：系统具有低成本、使用方便、简单、易扩展的特点。布线系统应在满足各种需求的情况下尽可能降低材料成本；布线系统具有操作简单、使用方便、易于扩展的特点。（三）网络通信联网协议TCP/IP：每种网络协议都有自己的优点，但是只有TCP/IP允许与Internet完全的连接。Telnet：远程登录访问协议，使其他跨省区域的子公司通过远程访问总部的内外，在远程访问时，会设置相应的ACL认证和相对的权限设置。SNMP：网络管理协议：SNMP用于在IP网络管理网络节点（服务器、工作站、路由器、交换机及HUBS等）的一种标准协议，它是一种应用层协议。SNMP使网络管理员能够管理网络效能，发现并解决网络问题以及规划网络增长。通过SNMP接收随机消息（及事件报告）网络管理系统获知网络出现问题。（四）网络IP地址规划该公司园区网计划使用私有的C类IP地址。该公司园区网的IP地址分配原则如下：该公司使用IPv4地址方案。该公司使用私有IP地址空间：/24。该公司IP地址分配满足集团的利用。该公司IP地址分配满足便于路由汇聚。该公司IP地址分配满足未来公司网络扩容的需要。外部地址使用地址段是/24。（五）网络技术方案设计总体网络采用基于树型的双星型结构，使之具有链路冗余特性；整体网络规划为核心及服务器群区域，内部骨干区域（汇聚链路），接入层上联区域，客户端接入区域；核心交换机位于集团总部机房，并为双核心，使用双主干网络设计，保证主交换机网络的容错。在一台交换机出现故障的时候保障网络的正常运行，也不用手工切换和维护，保证网络的可靠性。采用全交换硬件体系结构，可实现全线速的IP交换；网络主干采用先进的千兆位以太交换技术，可最大限度地提高主干的数据传输速率。使用千兆网络保证网络交易速度与实时性，使用了FEC/GEC技术实现网络带宽的扩展，适应网络不断扩展的要求。根据需求概括，我们选择的是思科WS-C3750G-48TS-S核心交换机为本次网路建设总部机房的核心交换；思科WS-C3750G-48TS-S核心路由交换机作为新一代大容量、高密度、高性能、模块化核心路由交换机产品，其背板带宽高达3.2Tbps，包转发速率最大为952Mpps，具备二到四层线速交换能力。DES-8503万兆路由交换机基于先进的模块化理念进行设计，并采用了基于多处理器分布式处理机制和Crossbar空分交换结构的体系结构，关键模块均采用1：1冗余备份。可提供10GE、GE、FE等各种丰富的接口模块，并全面支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能。整个系统所具备的高可靠性、高扩展性、强大的业务能力等特点可以满足各种网络核心层的建设需求。DES-8503（3个插槽）作为D-Link行业产品线核心交换机之一，可广泛的应用在各行业的IP网核心、企业数据中心、IP城域网核心和汇聚、校园网核心等场所，为用户提供多种业务接入、路由交换一体化的安全融合网络解决方案。思科WS-C3750G-48TS-S核心路由交换机具有一下的优点：先进的系统架构：采用了分布式、模块化设计理念，并采用了基于多处理器分布式处理机制和Crossbar空分交换结构的体系结构。这保证了系统优异的转发性能、强大的业务能力和高度的可扩展性。高端口密度和线速路由及交换：具有丰富的接口类型，提供10GE、GE、FE等接口。可以真正实现高端口密度和线速路由及交换。大容量、高性能：支持高达952Mpps的路由包转发能力，并支持512K条第三层路由信息、512K第二层的MAC地址以及4096组VLAN、8K条安全和访问控制策略，保证了数据线速转发的要求。增强的业务功能：具有L2/L3/L4线速交换能力、具备QoS、MPLS、NAT、带宽控制、组播等高级性能，是定位于网络核心层、实现整体网络增值的优选设备。同时，提供基于硬件的流量分类和组播以及速率限制和先进的服务质量保证（QoS）机制，可为用户开展增值业务提供强大的支持。强大的安全功能：支持ACL安全过滤机制，可提供基于用户、地址、应用以及端口级的安全控制功能，并支持IPSec、MPLS VPN特性。同时，支持基于端口不同优先级对列的和基于流的入口和出口带宽限制、uRPF、防DDOS攻击、SSH2.0安全管理、802.1x接入认证及透传，VLAN ID与MAC地址、端口号、IP地址捆绑等安全功能。此外，系统还具备完善的抗病毒机制，可以为网络运营提供全面的安全保证。支持IPv6：全面实现了各种IPv6协议技术，包括IPv4和IPv6双协议栈和基于手工配置隧道、自动配置隧道、6to4隧道等IPv4向IPv6的基本过渡技术。同时，实现了IPv6静态路由，支持BGP4/BGP4+、RIPng、OSPFv3等动态路由协议。全面支持二、三层MPLS VPN：二层MPLS VPN支持Martini协议（VPWS）和VPLS、三层MPLS VPN采用RFC2547bis，具有良好的兼容性，可以与其他主流厂家的设备实现MPLS VPN业务的全面互通。电信级可靠性：系统的主控单元、电源等等关键模块均可以进行1：1方式的备份，无中断保护系统（Hitless Protection System - HPS）为DES-8500的高可靠性提供了最重要的保证，在配置冗余控制模块的情况下，它能满足最苛刻的可靠性要求。同时，DES-8500的VRRP、STP、LACP等功能为用户提供了进一步的可靠性保证。统一的网管功能：支持RFC 1213 SNMP（简单网络管理协议），带内网管的形式可采用基于Telnet的配置管理（CLI命令行的形式）或基于SNMP的配置管理（图形界面的形式），实现基于Broad Director网管平台的统一网管。接入层为楼层的工作组及交换机。核心层与接入层以千兆以太网技术相连，传输速率达1Gbps，采用全双工通信可达2Gbps。其物理连接采用多模光缆相互连接，以提供物理层、链路层及IP层的冗余连接能力。核心交换：三层千兆交换机为整个网络的核心，它对整个网络的性能，可靠性起决定性作用，它连接各个物理子网，治理网络内信息交换(包括多媒体信息)，控制VLAN间访问，保证信息安全。因此，我们选用的中心交换机除了提供高速的网络连接之外，还具有多种信息的治理和控制能力。全部的网络设备均支持高效的Intranet多媒体和多点广播技术、治理协议(CGMP)等，为多媒体和多点广播应用如IPTV等提供端到端的带宽保证。网络采用分层结构，不仅逻辑结构清楚，治理方便；更重要的是大多数的数据流量(主要是同一部门或工作组内)的交换在次级节点分布交换机上直接处理，不经中心设备，节省主干带宽，提高利用率。有一定的前瞻性，不仅满足当前网上应用，也为将来更高性能的升级作好了预备：网络具有良好的伸缩性，升级和扩展主要只集中在网络中心，添加新的接口模块，即可实现用户和信息点的扩充；增加光纤连接即可大量提高主干带宽；中心增配另一台多层交换机，网络结构就能连接成可靠性的、真正的中心交换机互备份和上联线路冗余。配合热备份路由协议和热备份双服务器主机系统，在整个系统内消除单点故障，提供高可用性的应用服务系统。汇聚交换及接入交换：二级交换机可以每个独立构成一个VLAN，也可以多个二层交换机构成一个VLAN。VLAN之间的路由由中心交换机负责。不同的部门/单位可以通过配置不同的VLAN等方式来隔离广播和信息流，不但可以提高网络效率，而且可以增强网络安全。而每台交换机上的10/100自适应端口又可以与下层100M到10M交换式集线器相连接。心交换机与二层交换机以1000M全双工的方式相连接。这样的连接结构可保证网络带宽的最大限度的合理应用。该公司由总部机房采取一处连接Internet中，设置防火墙等安全软件，并对外网的远程登录设置权限及相应的安全认证！（六）网络应用系统选择根据该公司用户对操作系统的要求：操作系统要求选择最新版本，所选操作系统需要提供方便的更新与升级方法，服务器操作系统需要能够提供目录服务功能，服务器及客户机操作系统都需要支持TCP/IP协议，所选操作系统应能够方便的实现用户和权限的管理，秘选操作系统应能够运行大多数应用软件，例如办公软件、图像处理软件、CAD财等，我们选择Linux，它具有极高的稳定性、先天的安全性、软件安装的便利性、多任务、多使用者、免费或少许费用、有强大的网络功能、在相关软件的支持下，可实现WWW、FTP、DNS、DHCP、E-mail等服务。建立WWW服务器，实现Internet上浏览和查询；建立FTP服务器，结合学校实际和需要逐步建立远程FTP服务；建立web服务器把图文信息组织成分布式的超文本，并用信息指针指向存有相关信息的服务器，使用户可以方便地访问这些信息。当网上用户增多时，网络访问很频繁，通信量很大，随机性强。作为全校的通讯枢纽，需要配备高性能的服务器设备，主要的需求是高性能的CPU、SMP体系结构、高速I/O通道和网络通道。建立域名服务器DNS，各地名字服务器管理下属主机和子域，并由高一级名字服务器监管，但每个域至少需要配备一台以上的名字服务器。DNS数据量不大，但访问频繁。建立数据库服务器能有高效的处理速度、较大的内存和磁盘空间、快速的I/O系统和网络界面，较高的可靠性，完善的系统备份功能和较好的可扩充性能。（七）网络安全系统设计内网安全设计：访问控制，通过密码、口令（不定期修改、定期保存密码与口令）等禁止非授权用户对服务器的访问，以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。外网安全设计：安装软件、硬件、防火墙，网络防病毒软件，客户端防病毒软件；利用代理服务器提供Internet与Intranet之间的防火墙功能；通过网管实时记录网络的运行状态。设置远程访问身份认证，防止垃圾邮件等。（八）网络管理维护设计根据该公司和服务器应用模式及全网范围资源集中管理的原则，在该公司总部机房建立中心管理机房，统一网络中的交换设备的管理配置，虚网设计和配置，各种服务建立等。网管工作站对全网所有交换设备和路由设备进行统一管理、配置和维护；进行故障隔离、分析、统计、报警、设置；网管软件采用图形化界面，支持广泛的网管平台。四、网络拓扑结构规划图/表（一）规划图（二）规划表IP地址规划表设备名称设备接口IP地址R-AS 0/0/0R-AS 0/0/1R-AFa 0/1S-AFa 0/1S-AFa 0/2S-AFa 0/3S-AFa 0/4S-AFa 0/5S-AFa 0/6S-AFa 0/23S-AFa 0/24S-BFa 0/1S-BFa 0/2S-BFa 0/3S-BFa 0/4S-BFa 0/5S-BFa 0/6S-BFa 0/23S-BFa 0/240F-ALan1S-1Fa 0/1-2413S-2Fa 0/1-2413S-3Fa 0/1-2413FTP服务器51/24Mail服务器54/24WEB服务器0/24DNS服务器1/24五、设备选型（一）接入层交换机1产品参数工作组交换机：思科WS-C2960-48PST-S参数图片产品类型光纤交换机,接入交换机,部门级交换机,工作组交换,快速以太网交换机,千兆以太网交换机,网管交换机,智能交换机应用层次二层交换方式存储转发管理方式支持Telnet,远程配置,支持SNMP/V1/V2/V3,支持RMON,支持集群管理HGMP/V2,支持SSH/V2,支持WEB管理特性 端口结构非模块化IPv6支持传输模式全双工/半双工自适应包转发率2.7传输速率10/100Mbps模块化支持群集Yes,16 Switches/ClusterMAC地址表8000内存32闪存32千兆光口2百兆以太网口48冗余电源支持机架安装光纤交换机,接入交换机,部门级交换机,工作组交换,快速以太网交换机,千兆以太网交换机,网管交换机,智能交换机2选择的原因选择工作组交换机思科WS-C2960-48PST-S的原因：（1）安全特性内网的网络攻击、网络威胁形式多种多样，常见的有蠕虫病毒、ARP病毒、DoS/DDoS攻击等等；仔细分析这些病毒、黑客软件的攻击欺骗原理无外乎IP欺骗、MAC欺骗、DHCP欺骗、ARP欺骗、端口欺骗等原理；通过各种伪装骗取或拦截网络数据，或是通过各种欺骗方式控制网络终端，对特定目标进行攻击；因此只要能锁定网络终端的身份，防止网络终端的非法接入就能解决内网中的大部分网络攻击与网络威胁。思科WS-C2960-48PST-S不仅具有ARP欺骗防御、MAC欺骗防御、端口欺骗防御、IP欺骗防御、DHCP欺骗防御功能，同时还支持MAC Table、风暴抑制、端口镜像、端口速率限制、端口VLAN甚至802.1Q VLAN，此外还有安全日志能准确记录各种网络安全事件。（2）互联网时代新型网管随着互联网的发展，网络规模急剧扩大，网络设备使用越来越多，网络管理工作的内容随之变得异常复杂。如何简化网管工作、减少网管工作中的不必要环节、互联网时代对网络设备包括交换机的易用性提出了新的要求，联动管理功能正式为满足这种需求应运而生。思科WS-C2960-48PST-S的联动管理功能，能帮助网管将网络管理工作的复杂性极大简化。管理人员只需登陆一台思科WS-C2960-48PST-S即可管理网络中所有艾泰的联动交换机。通过路由器的设置，管理人员可以在任何有互联网的地方远程管理思科WS-C2960-48PST-S，进而管理整个网络的联动设备，管理人员再也不用7*24小时值守。思科WS-C2960-48PST-S二层线速以太网交换机，提供WEB管理界面，支持MAC Table操作、ARP欺骗防御、MAC欺骗防御、端口欺骗防御、IP欺骗防御、DHCP欺骗防御、端口速率限制、安全日志等功能，并且支持802.1Q VLAN、支持端口汇聚、端口镜像、广播风暴抑制等等，尤其是独特的交换机发现、联动管理功能，强大的网管功能，不仅为网络安全提供保障，同时也提升了网络的整体性能；是一款应用于企业千兆汇聚、组建千兆骨干网的首选设备。思科WS-C2960-48PST-S性能全面并且在同类商品中价格相对低廉，性价比高，仅需7200元。（二）核心交换机1产品参数核心交换机：思科WS-C3750G-48TS-S参数图片产品类型光纤交换机,万兆以太网交换机,接入交换机,部门级交换机,工作组交换,快速以太网交换机,千兆以太网交换机应用层次三层交换方式存储转发管理方式可网管,WEB管理,支持自动配置功能,支持CLI配置,支持Telnet,远程配置,支持WEB管理特性,支持GVRP协议端口结构非模块化IPv6支持端口镜像支持传输模式全双工状态指示灯每端口,系统包转发率2.7传输速率10/100Mbps模块化支持群集Yes,16 Switches/ClusterMAC地址表12000路由条数11000内存32闪存32插槽总数48插槽千兆光口4千兆电口48百兆以太网口48冗余电源支持机架安装光纤交换机,万兆以太网交换机接入交换机,部门级交换机,工作组交换,快速以太网交换机,千兆以太网交换机2选择的原因选择主干核心交换机：思科WS-C3750G-48TS-S的原因：（1）产品特性和优势强大的多业务支持能力支持IGMP v1/v2/v3 Snooping、IGMP Filter、IGMP、Fast Leave和IGMP Proxy等协议。支持线速的跨VLAN组播复制功能、支持捆绑端口的组播负载分担支持可控组播充分满足IPTV和其他组播业务的需求。（2）完备的高可靠保护机制不仅支持传统的STP/RSTP/MSTP生成树协议，还支持SmartLink和RRPP（Rapid Ring Protection Protocol快速环网保护协议）等增强型以太技术可以实现毫秒级链路保护倒换保证高可靠性的网络质量。S5700-SI支持Enhanced Trunk（E-Trunk）功能。在使用E-Trunk之后CE设备可以通过E-Trunk双归接入到两台PE设备上实现了跨设备的链路聚合极大的提升了接入侧设备的可靠性。支持双电源冗余供电支持交、直流同时输入。用户可灵活选择单电源工作模式或者双电源工作模式提高了设备可靠性。（3）丰富的QoS策略和安全机制，提供多种安全保护功能支持DoS（Denial of Service）类防攻击、用户的防攻击等功能。支持通过建立和维护DHCP Snooping绑定表侦听接入用户的MAC/IP地址、VLAN-ID、接口等信息解决DHCP用户的IP和端口跟踪定位问题。支持ARP表项严格学习功能可以防止因ARP欺骗攻击将交换机ARP表项占满导致正常用户无法上网。（4）免维护易管理支持自动配置即插即用、USB开局、自动批量远程升级等功能便于部署升级和业务发放，简化后续的管理和维护性能从而大大降低了维护成本。S支持GVRP（GARP VLAN Registration Protocol）GARP VLAN注册协议实现VLAN动态分发VLAN属性减少手工配置量、保证VLAN配置正确性减少因为配置不一致而导致的网络互通问题。思科思科WS-C3750G-48TS-S性能全面并且在同类商品中价格相对低廉，性价比高，仅需84200元。（三）路由器1产品主要参数路由器：思科S系列RV082参数图片标准IEEE802.3、802.3u端口8个10/100RJ-45端口、1个10/100RJ-45互联网端口、1个10/100RJ-45DMZ/互联网端口电缆类型5类以太网安全功能SPI防火墙、DES、3DES以及针对IPSec VPN隧道的高级加密标准(AES)加密算法操作系统LinuxNAT吞吐量200MbpsIPsec吞吐量97Mbps基于端口的QoS每个LAN端口均可配置基于服务的QoS支持速率控制或优先级速率控制可以根据服务配置上行数据流/下行数据流带宽IPSec100个IPsec隧道，便于进行分支机构连接QuickVPN50个QuickVPN用户，便于远程客户端访问PPTP内置PPTP服务器，支持5个PPTP客户端加密DES、3DES、AES-128、AES-192、AES-256身份验证MD5、SHA1互联网密钥交换支持IKEIPSec NAT穿越支持网关对网关和客户端对网关隧道高级选项断线侦测(DPD)、分割DNS、VPN备份VPN传递PPTP、L2TP、IPsec基于WebHTTPS、SSLSNMP支持SNMP第1版和第2c版日志/监控系统日志、电子邮件提示、VPN隧道状态监视电源AC100240V，5060Hz认证FCC B类，CE B类2选择的原因（1）产品概述Cisco RV082双WAN口VPN路由器（图1）是一项先进的连接共享网络解决方案，适合用于满足中小型企业需要。与所有路由器一样，它能够让办公室中的多台计算机共享一个公共网络或专用网络连接。但是，Cisco RV082通过双WAN端口使您能够使用第二个连接来作为备份，帮助您保持连接，或者可用于访问第二个提供商，以便提高可用带宽和平衡流量。VPN功能创建通过互联网的加密“隧道”，最多可允许100个远程办公室或出差用户从站点外安全连接至办公室网络。通过VPN隧道连接的用户可连接至公司网络，就像在办公大楼里一样，可安全访问文件、电子邮件和企业内联网。您还可以使用VPN功能使小型办公室网络上的用户向外安全连接至公司网络。作为中小型办公室网络的心脏，连接冗余的Cisco RV082双WAN口VPN路由器为您提供了企业所需的连接可靠性。思科思科S系列RV082性能全面并且在同类商品中价格相对低廉，性价比高，仅需55200元。（2）重要特性双WAN口连接，实现了负载均衡和连接冗余。内置8端口10/100以太网交换机。全面的IPsec VPN功能，远程连接数目高达100。先进的状态数据包检测SPI防火墙可帮助保证网络安全。（3）功能SPI防火墙，实现了最大的安全性。2个专用的WAN端口，实现了互联网的负载均衡连接。IP过滤使得能够限制访问互联网和其它网络资源。采用数据加密标准(DES)和三重DES(3DES)加密算法的全面IPsec VPN功能。允许多达100个并发IPsec VPN隧道。通过Web进行管理、简单网络管理协议(SNMP)和便于管理员进行设置的安装向导。带宽管理功能提高了服务质量(QoS)。（四）防火墙1产品参数产品型号：思科 ASA5520-K8参数图片设备类型企业级防火墙并发连接数650000网络吞吐量(Mbps)1200VPN支持支持主要功能的高性能防火墙、IPS、以及IPSec和SSL VPN和IPSec VPN (750个设备对)软件,支持防垃圾邮件、URL阻拦和过滤，以及防网络钓鱼安全过滤带宽(Mbps)425用户数限制无用户数限制安全标准UL 1950, CSA C22.2 No. 950, EN 60950 IEC 60950, AS/NZS3260, TS001电源电压(V)100 - 240VAC,47/63 Hz电源功率(W)额定：150W,最大：190重量(Kg)10长度(mm)362宽度(mm)200.4高度(mm)44.5工作温度0-40工作湿度5%-95%(非冷凝)存储温度-25-70存储湿度5%-95%(非冷凝)2选择的原因思科 ASA5520-K8自适应安全设备思科 ASA5520-K8自适应安全设备在一个可靠的单机架单元设备中为大型企业和电信运营商网络提供了具备主用/主用高可用性和光纤及千兆以太网连接的大量千兆级安全服务。利用其8个千兆以太网接口、4个SFP光纤接口*和多达200个的VLAN，企业可以将网络分成多个高性能分区，从而提高安全性。思科 ASA5520-K8自适应安全设备可随着企业网络安全要求的提高而扩展，从而提供了强大的投资保护功能和服务可扩展性。企业能扩大其IPSec和SSL VPN容量，以支持更多的移动员工、远程地点和业务合作伙伴。通过安装一个SSL VPN升级许可证，企业能在每个思科 ASA5520-K8上支持5000个SSL VPN对；基本平台上支持5000个IPSec VPN对。思科 ASA5520-K8的集成VPN集群和负载均衡功能可提高VPN容量和永续性。思科 ASA5520-K8在一个集群中能支持10个设备，从而使每个集群最多可支持50,000个SSL VPN对或50,000个IPSec VPN对。利用思科 ASA5520-K8自适应安全设备的可选安全环境功能,企业可在一个设备中部署多达50个虚拟防火墙，实现部门级或每用户安全策略分区控制，同时降低管理和支持总成本。思科 ASA5520-K8性能全面并且在同类商品中价格相对低廉，性价比高，仅需280000元。六、设备命令配置（一）核心交换机主要命令配置1交换机的端口聚合S-A(config)#interface range fastethernet Fa0/23-24S-A(config-if-range)#port-group 1S-A(config)#interface aggregateport 1S-A(config-if)#switchport mode trunkS-B(config)#interface range fastethernet Fa0/23-24S-B(config-if-range)#port-group 1S-B(config)#interface aggregateport 1S-B(config-if)#switchport mode trunk2Vrrp多配置组配置S-A(config)#interface vlan 10S-A(config-if)#vrrp 10 priority 120S-A(config-if)#vrrp 10 ip 54S-A(config-if)#vrrp 11 ip 53S-A(config)#interface vlan 20S-A(config-if)#vrrp 20 priority 120S-A(config-if)#vrrp 20 ip 54S-A(config-if)#vrrp 21 ip 53S-A(config)#interface vlan 30S-A(config-if)#vrrp 30 priority 120S-A(config-if)#vrrp 30 ip 54S-A(config-if)#vrrp 31ip 53S-A(config)#interface vlan 40S-A(config-if)#vrrp 40 priority 120S-A(config-if)#vrrp 40 ip 54S-A(config-if)#vrrp 41 ip 53S-B(config)#interface vlan 10S-B(config-if)#vrrp 11 priority 120S-B(config-if)#vrrp 10 ip 54S-B(config-if)#vrrp 11 ip 53S-B(config)#interface vlan 20S-B(config-if)#vrrp 21 priority 120S-B(config-if)#vrrp 20 ip 54S-B(config-if)#vrrp 21 ip 53S-B(config)#interface vlan 30S-B(config-if)#vrrp 31 priority 120S-B(config-if)#vrrp 30 ip 54S-B(config-if)#vrrp 31ip 53S-B(config)#interface vlan 40S-B(config-if)#vrrp 41 priority 120S-B(config-if)#vrrp 40 ip 54S-B(config-if)#vrrp 41 ip 53说明：配置S-A与S-B中的主备组优先级别。3交换机的快速生成树S-A(config)#Spanning-treeS-A(config)#Spanning-tree Mode RstpS-B(config)#Spanning-treeS-B(config)#Spanning-tree Mode Rstp4交换机的端口安全S-B(config)#interface range fastethernet 0/23-24S-B(config-if-range)#switchport port-securityS-B(config-if-range)#switchport port-security maximum 1S-B(config-if-range)#switchport port-security violation shutdown5工作组间安全策略（扩展ACL）广告部：S-A(config)#ip access-list extended aaa S-A(config-ext-nacl)#deny tcp 55 51 55 eq ftpS-A(config-ext-nacl)#deny tcp 55 51 55 eq ftp-dataS-A(config-ext-nacl)#permit tcp 55 0 55 eq wwwS-A(config)#interface vlan 10S-A(config-if)#ip access-group aaa out财务部：S-A(config)#ip access-list extended bbbS-A(config-ext-nacl)# permit tcp 55 51 55 eq ftpS-A(config-ext-nacl)# permit tcp 55 51 55 eq ftp-dataS-A(config-ext-nacl)#deny tcp 192.168.20 55 0 55 eq wwwS-A(config)#interface vlan 20S-A(config-if)#ip access-group bbb out销售部：S-A(config)#ip access-list extended ccc S-A(config-ext-nacl)#deny tcp .0 55 51 55 eq ftpS-A(config-ext-nacl)#deny tcp 0.0 55 51 55 eq ftp-dataS-A(config-ext-nacl)#permit tcp 0.0 55 0 55 eq wwwS-A(config)#interface vlan 30S-A(config-if)#ip access-group ccc out6工作组间安全策略（基于时间ACL）广告部：S-A(config)# time-range work-timeS-A(config-time-range)#periodic Weekdays 9:00 to 18:00S-A(config)#ip access-list extended aaS-A(config-ext-nacl)#permit ip host 55 0 55S-A(config)# interface vlan 10S-A(config-if)#ip access-group aa in财务部：S-A(config)# time-range work-timeS-A(config-time-range)#periodic Weekdays 9:00 to 18:00S-A(config)#ip access-list extended bbS-A(config-ext-nacl)#permit tcp 55 host 51 eq ftp time-range work-timeS-A(config-ext-nacl)#permit tcp 55 host 51 eq ftp-data time-range work-timeS-A(config-ext-nacl)#deny tcp 55 host 0 eq www time-range work-timeS-A(config-ext-nacl)# permit tcp 55 host eq wwwS-A(config)# interface vlan 20S-A(config-if)#ip access-group accessctrl in销售部：S-A(config)# time-range work-timeS-A(config-time-range)#periodic Weekdays 9:00 to 18:00S-A(config)#ip access-list extended aaS-A(config-ext-nacl)#permit ip host 55 0 55S-A(config)# interface vlan 10S-A(config-if)#ip access-group aa i