中小型企业网络规划与设计

**大学工学学士学位论文题目：中小型企业网络规划与设计学号：姓名：院(系：专业：完成日期：指导老师：288888888888820888888888888888信息8工程学院8888888888888888888888888888摘要迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。市场的全球化竞争已成为趋势。对于中小型企业来说，在调整发展战略时，必须考虑到市场的全球竞争战略，而这一切也将以信息化平台为基础，借助计算机网络原理及网络规划技术，以网络通畅为保证。企业内部网（Intranet）是国际互连网（Internet）技术在企业内部或封闭的用户群内的应用。Intranet是使用Internet技术,特别是TCP/IP协议而建成的企业内部网络。这种技术允许不同计算机平台进行互通,且不用考虑其位置。也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问。本文从企业网络需求开始分析，根据现阶段cisco公司主流网络设备进行选材,规划最适用于目标网络的拓扑结构,建设合理的网络设计方案。并测试其结果最终验证网络的规划与设计符合中小型企业的需求。本设计使用ciscoPacketTracer软件进行模拟真实的设备和运行环境，来测试方案是否正确和可行性。关键词：企业网络路由交换网络设计模拟AbstractTherapiddevelopmentoftheInternetisallovertheworldinformationindustryofenormouschangeandfar-reachingconsequences.Marketcompetitionhasbecomethetrendofglobalization.Forlargeenterprises,inadjustingthedevelopmentstrategy,musttakeintoaccountthemarket'sglobalcompetitivenessstrategy,andallthisinformationplatformwillalsobebasedontheprincipleoftheuseofcomputernetworksandnetworkplanningtechnologytothenetworkinordertoensurepatency.IntranetisaninternationalInternettechnologyintheenterpriseorwithinaclosedusergroupapplications.IntranetistheuseofInternettechnologies,especiallyTCP/IPprotocolandthecompletionoftheenterpriseinternalnetwork.Thistechnologyallowsinteroperabilityofdifferentcomputerplatforms,anddonothavetoconsideritsposition.Thatiswhattheusercanvisitanyorfromanycomputeraccess.Fromthestartthewholeenterpriseclassnetworkneedsanalysis,basedonthemainstreamstagecisconetworkequipmentcompanyselection,withthegoaltobuildthemostsuitablenetworktopology,designedwithnetworktechnology.viewtheexperimentalresultstoverifythatthenetworkmeetsbusinessneeds.ThisdesignusingciscoPacketTracersoftwaretosimulaterealequipmentandoperationenvironment,totestwhethertheplanrightandfeasibility.Keywords:EnterpriseNetworkRoutingSwitchingNetworkDesignSimulation目录摘要.....................................................................................................................................................IAbstract..................................................................................................................................................II第一章绪论....................................................................................................................................11.1研究背景..................................................................................................................................11.2目的与意义..............................................................................................................................1第二章关键网络技术原理..................................................................................................................22.1路由技术..................................................................................................................................22.2交换技术..................................................................................................................................22.3远程访问技术..........................................................................................................................32.4VLAN.......................................................................................................................................32.5ACL..........................................................................................................................................42.6NAT..........................................................................................................................................52.7DHCP.......................................................................................................................................52.8VPN..........................................................................................................................................52.9PVST........................................................................................................................................62.10DNS........................................................................................................................................62.11HSRP......................................................................................................................................7第三章用户需求分析..........................................................................................................................83.1中小型企业需求分析..............................................................................................................83.2本网络系统需求分析...........................................................................................................10第四章网络设计................................................................................................................................114.1设计网络拓扑结构...............................................................................................................114.2VLAN及IP地址规划...........................................................................................................114.3设备命名................................................................................................................................124.4模拟工具和环境介绍——PacketTracer..............................................................................144.5设备配置...............................................................................................................................16第五章安全策略................................................................................................................................335.1安全分析...............................................................................................................................335.2安全技术...............................................................................................................................345.3安全策略设计.......................................................................................................................35第六章网络效果验证........................................................................................................................386.1关键三层设备路由表...........................................................................................................386.2联通性测试...........................................................................................................................426.3ACL验证...............................................................................................................................446.4DHCP/DNS服务...................................................................................................................46致谢..................................................................................................................................................47参考文献..............................................................................................................................................48附录..................................................................................................................................................49第一章绪论1.1研究背景今天，迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。市场的全球化竞争已成为趋势。21世纪的中国正在向市场多元化、全球化的方向发展。对于大型企业来说，在调整发展战略时，必须考虑到市场的全球竞争战略，而这一切也将以信息化平台为基础，借助计算机网络原理及网络规划技术，以网络通畅为保证。国内越来越多的企业也已经或正在考虑使用Internet/Intranet技术,以建设企业规划化的信息处理系统。因为现代企业的信息大多都来自于互连网，通过网络，企业可以更快速的接收到来自全球的市场信息；通过Internet与外部世界交换信息，企业规划者可以更快地对企业作出正确的宏观调控与决策，以适应市场趋势。企业与全世界联系起来,极大地提高了信息收集的能力和效率。1.2目的与意义企业内部网（Intranet）是国际互连网（Internet）技术在企业内部或封闭的用户群内的应用。简单地说,Intranet是使用Internet技术,特别是TCP/IP协议而建成的企业内部网络。这种技术允许不同计算机平台进行互通,且不用考虑其位置。也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问[1]。基于这种种的现实问题，企业必须从企业局域网的概念及相关计算机网络技术入手，详细地设计企业网建设的实施方案及建设规划,以达到先进、安全、实用、可靠的目标.对该企业的组网需求进行分析，比较各种组网技术，从实用角度论述局域网主干网选择，综合布线，各种设备选择，网络安全，网络管理等方面。我们的网络要具有一定的灵活性。当企业发展到一定规模,企业在外地设有许多分支机构。这时,为加快企业内部的信息流通,企业需要将总部和各分支机构连接起来。远程企业对网络的需求是：通过internet接入,在整个公司实现数据快速传输、办公自动化,最终实现企业无纸化办公；企业拥有自己的ip地址和域名,在公司主机上建立网站,向外界宣传企业形象、公司各项业务、活动及最新成果等；以ip电话方式节省企业大部分的长途话费,亦可通过ip网络来实现视频会议；实现telnet等网络服务；实现结构化布线、网络的设计与规划、资源共享、专线接入Internet、WWW服务器、软硬件配置、划分企业子网等技术实施。第二章关键网络技术原理2.1路由技术工作在OSI参考模型第三层——网络层的数据包转发设备。路由器通过转发数据包来实现网络互连。虽然路由器可以支持多种协议（如TCP/IP、IPX/SPX、AppleTalk等协议），但是在我国绝大多数路由器运行TCP/IP协议。路由器通常连接两个或多个由IP子网或点到点协议标识的逻辑端口，至少拥有1个物理端口。路由器根据收到数据包中的网络层地址以及路由器内部维护的路由表决定输出端口以及下一跳地址，并且重写链路层数据包头实现转发数据包。路由器通过动态维护路由表来反映当前的网络拓扑，并通过网络上其他路由器交换路由和链路信息来维护路由表。路由器以其高度的灵活性和安全性在局域网和广域网互联中得到了广泛应用。然而路由器是无连接的设备，它对每个数据报独立地进行路由选择，哪怕是同一对主机之间的通信，都要对各个数据包单独处理，这样的开销使得路由器的吞吐率相对与交换机大为降低。路由技术主要是指路由选择算法。因特网的路由选择协议的特点及分类。其中，路由选择算法可以分为静态路由选择算法和动态路由选择算法。因特网的路由选择协议的特点是：属于自适应的选择协议（即动态的）；是分布式路由选择协议；采用分层次的路由选择协议，即分自治系统内部和自治系统外部路由选择协议。因特网的路由选择协议划分为两大类：内部网关协议（IGP,具体的协议有RIP和OSPF等）和外部网关协议（EGP,目前使用最多的是BGP）。2.2交换技术谈到交换，从广义上讲，任何数据的转发都可以叫做交换。但是，传统的、狭义的第2层交换技术，仅包括数据链路层的转发。2层交换机主要用在小型局域网中，机器数量在二、三十台以下，这样的网络环境下，广播包影响不大，2层交换机的快速交换功能、多个接入端口和低廉价格，为小型网络用户提供了完善的解决方案。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了企业网数据交换服务质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网（VirtualLAN，VLAN）的概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（VlanTrunkingProtocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性，在企业网内部数据交换的部署是分层进行的。总之，交换式局域网技术使专用的带宽为用户所独享，极大地提高了局域网传输的效率。可以说，在网络系统集成的技术中，直接面向用户的第2层交换技术，已得到了令人满意的答案。2.3远程访问技术在远程访问的架构中，远程访问技术可以分为以下3点进行探讨：连接方式，身份识别，数据传输。在连接方式中，远程访问连接的方法可以分为两种，一种是通过拨号装置，另一种则是通过VPN。拨号装置的部分主要为调制解调器拨号，不过，也可以通过如ISDN或其他类似的方法进行；而VPN连接的方式则可以通过PPTP（PointtoPointTunnelingProtocol）或L2TP（Layer2TunnelingProtocol）等VPN协议进行连接，不过，在WindowsServer2008/WindowsVistaSP1中还新增了一个新的VPN协议：SSTP（SecureSocketTunnelingProtocol）。远程访问也是企业网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。不同的广域网连接类型提供的服务质量不同，花费也不相同。企业用户可以根据所需带宽、本地服务可用性、花费等因素综合考虑，选择一种适合企业自身需要的广域网接入方案。2.4VLANVLAN（VirtualLocalAreaNetwork）的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。既然VLAN隔离了广播风暴，同时也隔离了各个不同的VLAN之间的通讯，所以不同的VLAN之间的通讯是需要有路由来完成的。2.5ACL访问控制列表（AccessControlList，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。ACL通过对网络数据源地址、源端口、目的地址、目的端口全部或部分组合的控制，能够限制数据在网络中的传输。在网络中应用ACL，能够达到这样一些目的：阻断网络中的异常流量,应用系统间访问控制,SNMP网管工作站控制,设备本身防备。目前有两种主要的ACL:标准ACL和扩展ACL。其他的还有标准MACACL、以太协议ACL、IPv6ACL等。标准的ACL使用1~99以及1300~1999之间的数字作为表号，扩展的ACL使用100~199以及2000~2699之间的数字作为表号。标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。随着网络的发展和用户要求的变化，从IOS12.0开始，思科（CISCO）路由器新增加了一种基于时间的访问列表。通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。基于时间访问列表的设计中，用time-range命令来指定时间范围的名称，然后用absolute命令，或者一个或多个periodic命令来具体定义时间范围。2.6NAT网络地址转换(NAT,NetworkAddressTranslation被广泛应用于各种类型Internet接入方式和备种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。NAT的实现方式有三种，即静态转换StaticNat、动态转换DynamicNat和端口多路复用OverLoad。端口多路复用是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，PortAddressTranslation.采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。2.7DHCPDHCP是DynamicHostConfigurationProtocol(动态主机分配协议缩写。它分为两个部份：一个是服务器端，而另一个是客户端。所有的IP网络设定数据都由DHCP服务器集中管理，并负责处理客户端的DHCP要求；而客户端则会使用从服务器分配下来的IP环境数据。比较起BOOTP，DHCP透过"租约"的概念，有效且动态的分配客户端的TCP/IP设定，而且，作为兼容考虑，DHCP的分配形式首先，必须至少有一台DHCP工作在网络上面，它会监听网络的DHCP请求，并与客户端磋商TCP/IP的设定环境。DHCP是BOOTP的扩展，是基于C/S模式的，它提供了一种动态指定IP地址和配置参数的机制。这主要用于大型网络环境和配置比较困难的地方。DHCP服务器自动为客户机指定IP地址，指定的配置参数有些和IP协议并不相关，但这必没有关系，它的配置参数使得网络上的计算机通信变得方便而容易实现了。DHCP使IP地址的可以租用，对于许多拥有许多台计算机的大型网络来说，每台计算机拥有一个IP地址有时候可能是不必要的。租期从1分钟到100年不定，当租期到了的时候，服务器可以把这个IP地址分配给别的机器使用。客户也可以请求使用自己喜欢的网络地址及相应的配置参数。2.8VPNVPN的英文全称是“VirtualPrivateNetwork”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或WINDOWS2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。2.9PVSTPVST:Per-VLANSpanningTree（每VLAN生成树）PVST是解决在虚拟局域网上处理生成树的CISCO特有解决方案．PVST为每个虚拟局域网运行单独的生成树实例．一般情况下PVST要求在交换机之间的中继链路上运行CISCO的ISL。每VLAN生成树(PVST为每个在网络中配置的VLAN维护一个生成树实例。它使用ISL中继和允许一个VLAN中继当被其它VLANs的阻塞时将一些VLANs转发。尽管PVST对待每个VLAN作为一个单独的网络，它有能力(在第2层通过一些在主干和其它在另一个主干中的不引起生成树循环的Vlans中的一些VLANs来负载平衡通信。2.10DNS域名系统DNS(DomainNameSystem是因特网使用的命名系统，用来把便于人们使用的机器名字转换为ip地址。域名系统其实就是名字系统。因为在这种因特网的命名系统中使用了许多的“域”（domain），因此就出现了“域名”这个名词。它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址，而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方，它主要有两种形式：主服务器和转发服务器。将域名映射为IP地址的过程就称为“域名解析”。在Internet上域名与IP地址之间是一对一（或者多对一）的，域名虽然便于人们记忆，但机器之间只认IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。DNS命名用于Internet等TCP/IP网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入DNS名称时，DNS服务可以将此名称解析为与之相关的其他信息，如IP地址。因为，你在上网时输入的网址，是通过域名解析系统解析找到了相对应的IP地址，这样才能上网。其实，域名的最终指向是IP。2.11HSRPHSRP：热备份路由器协议（HSRP：HotStandbyRouterProtocol）热备份路由器协议（HSRP）的设计目标是支持特定情况下IP流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说，当源主机不能动态知道第一跳路由器的IP地址时，HSRP协议能够保护第一跳路由器不出故障。该协议中含有多种路由器，对应一个虚拟路由器。HSRP协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。负责转发数据包的路由器称之为主动路由器（ActiveRouter）。一旦主动路由器出现故障，HSRP将激活备份路由器（StandbyRouters）取代主动路由器。HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的IP地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器（StandbyRouters）承接主动路由器的所有任务，并且不会导致主机连通中断现象。第三章用户需求分析3.1中小型企业需求分析为适应企业信息化的发展，满足日益增长的通信需求和网络的稳定运行，今天的企业网络建设比传统企业网络建设有更高的要求，本文将通过对如下几个方面的需求分析来规划出一套最适用于目标网络的拓扑结构。3.2.1宽带性能需求现代大型企业网络应具有更高的带宽，更强大的性能，以满足用户日益增长的通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化，Web浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务。因此，数据流量将大大增加，尤其是对核心网络的数据交换能力提出了前所未有的要求。另外，随着千兆位端口成本的持续下降，千兆位到桌面的应用会在不久的将来成为企业网的主流。从2004年全球交换机市场分析可以看到，增长最迅速的就是10Gbps级别机箱式交换机，可见，万兆位的大规模应用已经真正开始。所以，今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标准，核心层及骨干层必须具有万兆位级带宽和处理性能，才能构筑一个畅通无阻的"高品质"大型企业网，从而适应网络规模扩大，业务量日益增长的需要。3.2.2稳定可靠需求现代大型企业的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通，保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来，网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企业网络在可靠性设计方面主要应从以下3个方面考虑。设备的可靠性设计：不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察。业务的可靠性设计：网络设备在故障倒换过程中，是否对业务的正常运行有影响。链路的可靠性设计：以太网的链路安全来自于多路径选择，所以在企业网络建设时，要考虑网络设备是否能够提供有效的链路自愈手段，以及快速重路由协议的支持。3.2.3服务质量需求现代大型企业网络需要提供完善的端到端QoS保障，以满足企业网多业务承载的需求。大型企业网络承载的业务不断增多，单纯的提高带宽并不能够有效地保障数据交换的畅通无阻，所以今天的大型企业网络建设必须要考虑到网络应能够智能识别应用事件的紧急和重要程度，如视频、音频、数据流（MIS、ERP、OA、备份数据）。同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现对业务的合理调度才是一个大型企业网络提供"高品质"服务的保障。3.2.4网络安全需求现代大型企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件，以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，这样才能有效地保证企业网络的稳定运行。3.2.5应用服务需求现代大型企业网络应具备更智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需要。当前的网络已经发展成为"以应用为中心"的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物力的线缆故障定位工作，网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作，由于受网络设备功能本身的限制，都还属于费时、费力的任务。所以现代的大型企业网络迫切需要网络设备具备支撑"以应用为中心"的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。3.2本网络系统需求分析网络联接的建筑物有五个：三个办公楼、一个行政楼和一个在外省的销售部。管理部、财务部和网络部在行政楼中；市场部在办公楼A；销售部和人力资源部在办公楼B；研发部在办公楼C。我们把网络中心设在行政楼，用光纤连接办公楼A、B、C，构成公司网络光纤主干网络。企业服务器在行政楼。办公楼4个，行政楼1个，1．划分VLAN2．VTP动态学习VLAN3．PVST(选根，二层冗余4．SVI（VLAN间路由）5．HSRP（三层冗余）6．DHCP7．根防护8．静态路由9．SITE-TO-SITEVPN（连接分公司，固定IP）10.DNS11.ACL12．网管控制第四章网络设计4.1设计网络拓扑结构主干网络设计如下图：采用上设计图优点如下：1，结构整齐，层次清晰，便于管理；2，采用动态路由协议，维护简单，扩展性好。4.2VLAN及IP地址规划4.3设备命名4.3.1设备命名规则为便于进行网络故障诊断和远程监测，各个办公楼将统一全辖网络设备的命名。网络系统中设备的命名使用五个字段组成，分别表示该设备所在区域，功能，层次，类型等，便于设备维护管理。设备名称的字母全部采用大写表示。主要网络设备的ID命名规则如下：A_B_C_D_E：A：办公楼名称（如A、B等）B：区域名称（如核心区、服务器区、办公区、管理区、等，也可表示名称）C：区域层次（如汇聚层或接入层）D：设备类型（如核心交换机、路由器、防火墙、入侵检测、等）E：设备序列号（如第一台、第二台、等）根据上述描述，每个字段做如下进一步的明确：A：楼名称B：区域名称C：区域层次D：设备类型E：设备序列号例如：XZ_CORE_SW_1：表示行政楼核心区(CORE核心交换机（SW）第一台（1）；XZ_ADMIN_DL_SW_1：表示行政楼管理区（ADMIN）汇聚层（DL）交换机（SW）第一台；4.3.1全网设备命名下面是全网设备命名：4.4模拟工具和环境介绍——PacketTracer4.4.1PacketTracer工具介绍PacketTracer是由Cisco公司发布的一个辅助学习工具，为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑，并可提供数据包在网络中行进的详细处理过程，观察网络实时运行情况。可以学习IOS的配置、锻炼故障排查能力。在界面的左下角一块区域，这里有许多种类的硬件设备，从左至右，从上到下依次为路由器、交换机、集线器、无线设备、设备之间的连线（Connections）、终端设备、仿真广域网、CustomMadeDevices（自定义设备）。在左下边你会看到各种类型的线，依次为AutomaticallyChooseConnectionType（自动选线，万能的，一般不建议使用，除非你真的不知道设备之间该用什么线）、控制线、直通线、交叉线、光纤、电话线、同轴电缆、DCE、DTE。其中DCE和DTE是用于路由器之间的连线，实际当中，你需要把DCE和一台路由器相连，DTE和另一台设备相连。而在这里，你只需选一根就是了，若你选了DCE这一根线，则和这根线先连的路由器为DCE，配置该路由器时需配置时钟。交叉线只在路由器和电脑直接相连，或交换机和交换机之间相连时才会用到。对设备进行编辑在右边有一个区域，从上到下依次为选定/取消、移动（总体移动，移动某一设备，直接拖动它就可以了）、PlaceNote（先选中）、删除、Inspect（选中后，在路由器、PC机上可看到各种表，如路由表等）、simplePPD、complex。软件界面的最右下角有两个切换模式，分别是Realtimemode(实时模式和Simulationmode（模拟模式），实时模式顾名思意即时模式，也就是说是真实模式。举个例子，两台主机通过直通双绞线连接并将他们设为同一个网段，那么A主机PingB主机时，瞬间可以完成，这就是实时模式。而模拟模式，切换到模拟模式后主机A的CMD里将不会立即显示ICMP信息，而是软件正在模拟这个瞬间的过程，以人类能够理解的方式展现出来。图4.4.1CiscoPacketTracer模拟软件4.4.2本设计的模拟图图4.4.2本设计的模拟图4.5设备配置4.5.1基础配置以接入层交换机为例：图4.5.1接入层交换机图4.5.2配置截图Switch>en进入特权模式Switch#conft进入全局模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config#hostnameCW_AL_SW_1修改路由器或者交换机的名字，方便管理CW_AL_SW_1(config#noipdomainlookup关闭域名查询启用与禁止DNS服务器，在交换机默认配置的情况下，当我们输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用命令noipdomainlookup，可以禁用DNS服务器，可以减少输入错误命令的等待时间CW_AL_SW_1(config#lineconsole0进入CONCOLE0口线程下，通过CONSOLE线串口直接控制交换机或路由器接口设置登录口令，如下图：图4.5.3交换机密码设置4.5.2使用VTP从提高效率的角度出发，在企业网实现实例中使用了VTP技术。将汇聚层XZ_DL_SW_1设置成为VTP服务器，其他交换机设置成为VTP客户机。这里接入层交换机SW1将通过VTP获得在分布层交换机FB1中定义的所有VLAN的信息。下面是配置截图：图4.5.4行政楼汇聚层交换机VTP配置截图XZ_DL_SW_1#vlandatabase特权模式下进入VLAN设置模式XZ_DL_SW_1(vlan#vtpdomaincisco定义VTP域名ChangingVTPdomainnamefromNULLtociscoXZ_DL_SW_1(vlan#vtpserver将该交换机设置为VTP的服务端DevicemodealreadyVTPSERVER.XZ_DL_SW_1(vlan#vtpv2-mode启用的VTP版本号为2V2modeenabsled.XZ_DL_SW_1(vlan#vtppassword123456设置VTP的密码为123456，交换机的VTP必须密码一致才能同步SettingdeviceVLANdatabasepasswordto123456.XZ_DL_SW_1(vlan#vtppruning启用VTP修剪，激活VTP剪裁功能，默认情况下主干道传输所有VLAN的用户数据。有时，交换网络中某台交换机的所有端口都属于同一VLAN的成员，没有必要接收其他VLAN的用户数据。这时，可以激活主干道上的VTP剪裁功能。当激活了VTP剪裁功能以后，交换机将自动剪裁本交换机没有定义的VLAN数据。在一个VTP域下，只需要在VTP服务器上激活VTP剪裁功能。同一VTP域下的所有其他交换机也将自动激活VTP剪裁功能。退出VLAN配置模式进入特权模式APPLYcompleted.Exiting....其他设备配置（配置成用户端）下面以CW_AL_SW_1为例：图4.5.5交换机VTP客户模式配置CW_AL_SW_1#vlandaCW_AL_SW_1(vlan#vtpdomainciscoChangingVTPdomainnamefromNULLtociscoCW_AL_SW_1(vlan#vtpclient将FB2设置为客户端，客户端可以学习到服务端的所有VLAN信息。客户模式是没有创建、修改、删除VLAN得权利的，它只能接收和转发信息。而服务器模式拥有以上的所用功能。SettingdevicetoVTPCLIENTmode.CW_AL_SW_1(vlan#vtpv2V2modeenabled.CW_AL_SW_1(vlan#vtppassword123456SettingdeviceVLANdatabasepasswordto123456.CW_AL_SW_1(vlan#exitAPPLYcompleted.Exiting....4.5.3创建VLAN在XZ_DL_SW_1配置VLAN数据库。配置截图如下：图4.5.6VLAN配置4.5.4交换链路封装图4.5.7交换链路封装XZ_DL_SW_2(config#intfa0/4进入要封装的接口XZ_DL_SW_2(config-if#switchporttrunkencapsulationdot1q进行封装XZ_DL_SW_2(config-if#switchportmodetrunk指定封装模式XZ_DL_SW_2(config-if#noshutdown开启接口XZ_DL_SW_2(config#interfacefastEthernet0/0XZ_DL_SW_2(config-if#switchporttrunkencapsulationdot1qXZ_DL_SW_2(config-if#switchportmodetrunkXZ_DL_SW_2(config-if#noshutdown4.5.5NAT图4.5.8静态nat配置图4.5.9动态nat配置XZ_WL_RT>enPassword:XZ_WL_RT#configConfiguringfromterminal,memory,ornetwork[terminal]?tEnterconfigurationcommands,oneperline.EndwithCNTL/Z.XZ_WL_RT(config#ipnatpoolnat53netmask配置动态NAT转换的地址池XZ_WL_RT(config#ipnatpoolnat54netmaskXZ_WL_RT(config#ipnatinsidesourcelist1poolnat配置动态NAT转换的内部地址范围XZ_WL_RT(config#access-list1permit55XZ_WL_RT(config#intse2/0XZ_WL_RT(config-if#ipnatoutsideXZ_WL_RT(config-if#exXZ_WL_RT(config#intfa0/0XZ_WL_RT(config-if#ipnatinsideXZ_WL_RT(config-if#exXZ_WL_RT(config#图4.5.10查看NAT转换的统计信息4.5.6DHCP/DNS图4.5.11配置DHCPXZ_DL_SW(config#ipdhcpexcluded-addressXZ_DL_SW(config#ipdhcpexcluded-addressXZ_DL_SW(config#ipdhcpexcluded-addressXZ_DL_SW(config#ipdhcpexcluded-addressXZ_DL_SW(config#ipdhcpexcluded-addressXZ_DL_SW(config#ipdhcpexcluded-address先配置除去PC机不能使用的IP地址图4.5.12配置DHCP,DNS,默认网关现在需要为路由器接口和所有的PC机接口配置IP地址。由于几千个结点的网络比较大，为每一台PC手工配置地址的工作量相当大，所以我们要使用DHCP技术。XZ_DL_SW(config#ipdhcppoolVLAN10创建地址池，VLAN10地址池network宣告网段default-router默认网关DNS-SERVERDNS地址ipdhcppoolVLAN20networkdefault-routerDNS-SERVERipdhcppoolVLAN30networkdefault-routerDNS-SERVERipdhcppoolVLAN40networkdefault-routerDNS-SERVERipdhcppoolVLAN50networkdefault-routerDNS-SERVERipdhcppoolVLAN60networkdefault-routerDNS-SERVERipdhcppoolVLAN70networkdefault-routerDNS-SERVER图4.5.13DHCP服务请求成功4.5.7ACL图4.5.14配置ACLWS_WL_RT(config#access-list1permit55WS_WL_RT(config#linevty04WS_WL_RT(config-line#access-class1in在vty下应用aclWS_WL_RT(config-line#passwordciscoWS_WL_RT(config-line#loginWS_WL_RT(config-line#图4.5.15配置ACLXZ_DL_SW_1(config#access-list6deny55XZ_DL_SW_1(config#access-list6deny55XZ_DL_SW_1(config#access-list6deny55XZ_DL_SW_1(config#access-list6deny55XZ_DL_SW_1(config#access-list6deny55XZ_DL_SW_1(config#access-list6deny55XZ_DL_SW_1(config#access-list6permitanyXZ_DL_SW_1(config#intvlan20XZ_DL_SW_1(config-if#ipacc6outXZ_DL_SW_1(config-if#XZ_DL_SW_1(config-if#XZ_DL_SW_1(config#图4.5.16配置扩展ACL4.5.8PVST图4.5.17配置PVST由于网络拓扑比较大，两两相连加冗余会出现环路，所以需要配置二层防环的PVST首先要选举根桥，我们这里手工指定XZ_AL_SW为VLAN10的主根，VLAN203060的备份根。Switch>enSwitch#configConfiguringfromterminal,memory,ornetwork[terminal]?tEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config#spanning-treemodepvst开启PVST生成树模式Switch(config#spanning-treevlan20rootprimary设置为VLAN20的主根Switch(config#spanning-treevlan10,30rootsecondary设置为VLAN1030的备份根Switch(config#4.5.9路由协议外联路由器配置EIGRP，总部外联路由配置如下图：图4.5.18总部外联路由协议配置XZ_WL_RT(config#routereigrp100启用EIGRP协议XZ_WL_RT(config-router#network5把/28网段宣告进协议中XZ_WL_RT(config-router#network55XZ_WL_RT(config-router#network55XZ_WL_RT(config-router#network55图4.5.19外省外联路由协议配置WS_WL_RT(config#routereigrp100启用EIGRP协议WS_WL_RT(config-router#network把/30网段宣告进协议中WS_WL_RT(config-router#networkEIGRP还有自动汇总的功能，当不需要时：WS_WL_RT(config-router#noauto-summary关闭自动汇总功能4.5.10网管控制图4.5.20配置网络管理为了方便管理员对企业网安全方便的管理控制，我们需要对坐配置使得管理员能都使用PC直接连接或远程登陆到到交换机进行控制。XZ_DL_SW(config#linevty04进入VTY线程下XZ_DL_SW(config-line#passwordcisco配置远程访问交换机的密码XZ_DL_SW(config-line#login登陆验证XZ_DL_SW(Config-line#exec-timeout11配置登录交换机虚拟终端线的超时时间为1分11秒钟HX2(config-line#linecon0HX2(config-line#passwordcisco2HX2(config-line#loginHX2(config-line#exec-timeout114.5.11其他配置图4.5.21配置帧中继图4.5.22配置接口速率和工作模式第五章安全策略网络安全策略的总体目标是保护网络不受攻击，控制异常行为影响网络高效数据转发，以及保护服务器区的资源。5.1安全分析5.1.1应用服务器内部安全分析应用系统服务器按应用类型被分为业务展现层（Web层），应用/业务逻辑层（AP）和数据库层（DB层）。安全风险存在于：低安全级别服务器对高安全级别服务器上不适应的访问；授权用户端对服务器的不适当访问；非授权用户端对服务器的不适当访问；不同应用系统服务器之间非授权的不适当访问；恶意代码对服务器的不良影响。5.1.2应用系统之间安全分析应用系统之间的互访，安全风险主要存在于：不同应用系统服务器之间非授权的不适当访问；应用系统不同安全等级服务器之间不适当的互访。5.1.3客户端与服务器之间安全分析客户端访问服务器，主要的安全风险存在于：非授权客户端不适当的访问服务器；授权客户端不适当的访问高安全级别的服务器。5.1.4客户端之间安全分析在办公楼和行政楼用户端之间，安全风险存在于：用户端访问另一端用户端上的非授权数据；用户端利用另一类用户端达到对非授权服务器的非法访问。5.1.5网络设备自身安全分析网络设备自身的安全风险主要有：网络设备的物理安全；网路设备操作系统Bug和对外提供的网络服务风险；网络管理协议SNMP非授权访问的风险；设备访问