企业网络规划设计与实现毕业论文

23-/NUMPAGES26长沙民政职业技术学院毕业实践报告题目：企业网络规划设计与实现毕业论文毕业设计毕业专题√类型：指导老师：系别：班级：学号：姓名：2022年4月25日【摘要】21世纪是一个信息时代，互联网把企业驰入了全球信息高速大路，让企业信息通过互联网通达世界各个角落。企业通过互联网发布企业最新的商业信息，供全球检索，以此来宣扬自己的企业，宣扬企业的产品，宣扬企业的效劳，全面呈现企业形象，并通过网络与各行各业进行沟通、推销和合作，同时通过互联网查找货源和新客户。很多企业都在互联网上找到了时机，制造了辉煌。“与其临渊羡鱼，不如退而结网〞，科技随着人类不断的进展而日新月异，信息化、网络化、高效化的脚步已经越来越近。对于一个公司来说，网络的信息化已经成为公司进展、参与市场竞争的首要条件。企业网络方案设计从长沙某公司的网络结构特点与企业网的原那么性动身，依据公司的建设必要性与需求、公司网络的综合布线以及公司信息点的采集等方面进行需求分析，通过网络仿真软件ENSP2.0建立网络设备和网络链路布线的设计模型，并模拟网络的流量、划分VLAN、创立访问把握列表、构建冗余链路等。综合性地运用当今企业网的优点与现代化的管理手段，对网络结构架构：如网络拓扑结构具体规划、分层设计、IP地址的规划设计等方面做了具体剖析。从而实现一个办公自动化、全方位、多功能、升级力量强的企业网的构建。【关键词】企业网；网络规划；网络设计；网络拓扑名目序言 -1-从企业对信息的需求来看 -1-从企业管理和业务进展的角度动身 -1-1.中小企业网络的建设目标 -3-1.1建设目标 -3-1.2设计原那么 -3-2.企业网络的总体设计 -5-2.1网络拓朴设计 -5-2.2IP编址方案及VLAN划分 -6-2.3核心层设计及设备选型 -7-2.3.1园区主干交换机 -7-2.3.2出口路由器 -7-2.3.3效劳器群组 -8-2.4接入层设计及设备选型 -8-2.5平安体系设计及设备选型 -8-2.6设计方案优势 -10-2.6.1高带宽、高性能 -10-2.6.2网络管理 -10-2.6.3完善的平安机制 -11-2.6.4易维护 -11-2.6.5高牢靠性 -12-2.6.6低本钱、可扩展性强 -12-3.企业网络的整体方案部署 -13-3.1交换模块设计 -13-3.1.1接入层交换机效劳的实现—配置接入层交换机 -13-3.1.2核心层交换机效劳的实现—配置核心层交换机 -15-3.2广域网接入模块设计 -18-3.2.1配置路由器AR1的根本参数 -19-3.2.2配置路由器AR1的各接口参数 -19-3.2.3配置路由器AR1的路由功能 -19-3.2.4配置接入路由器AR1上的NAT -20-3.2.5配置接入路由器AR1上的ACL -20-结束语 -22-参考文献 -23-序言随着Internet在全球的进展与普及，企业网络技术的进展以及企业生存和进展需要促成了企业网的形成。自20世纪90年月以来，企业网络已经成为连接企业、事业单位各部门与外界沟通信息的重要根底设施。基于局域网和广域网技术进展起来的企业网络技术得到快速的进展。为了适应网络经济的飞速进展，扩大企业经营的规模和范围，便利企业内部和企业之间的沟通，节省办公开销，提高企业的管理水平，企业进展Intranet〔企业内部网〕已经是刻不容缓。另外，截至2022年，中国中小企业的数量将到达4660万，其中拥有企业网站的企业数量将到达363万。在国民经济中，60%的总产来自于中小企业，并为社会供应了60%以上的就业时机。然而，在中国国民经济和社会进展中始终占据着至关重要的战略地位的小中企业，其信息化程度却比拟落后。今后如何应对瞬息万变、竞争剧烈的国内外市场环境以及如何利用网络技术快速提升企业核心竞争力就是成为企业成败的关键所在。从企业对信息的需求来看面对着剧烈的市场竞争，公司对信息的收集、传输、加工、存储、查询、猜想、决策及即时的沟通、沟通等工作量越来越大，原来的电脑出于网络技术或是平安性等因素考虑，始终只是停留在单机工作的模式，各部门及科室间的数据不能实现共享，致使工作效率大大下降，纯粹手工管理方式和手段已经不能适应企业的需要，这将严峻阻碍公司的生存和进展。社会进行要求企业必需转变现有的落后管理体制、管理方法和手段，建立现代企业的新形象，建立本企业的办公自动化管理信息系统〔即公司局域网〕，以提高管理水平，增加经济和社会效益。从企业管理和业务进展的角度动身通过网络对网络资源的共用来改善企业内部和企业与客户之间的信息沟通方式，满足业务部门对信息存储、检索、处理和共享需求，使企业能快速把握瞬息万变的市场行情，使企业信息更有效地发挥效力；提高办公自动化水平，提高工作效率，降低管理本钱，提高企业在市场上的竞争力；通过对每项业务的跟踪，企业管理者可以了解业务进展状况，把握第一手资料，准时把握市场动态，为企业供应投资导向，为领导决策供应数据支持；通过企业内部网建立，企业各业务部门可以有更便利的沟通沟通，管理者可随时了解每一位员工的状况，并加强以企业人力资源合理调度，切实做到系统的集成化设计，使原有的设备、投资得到有效利用。因此，有必要建设好中小型企业建设信息网络，以到达最大限度地实现信息资源共享，并使用电子信息的传递取代纸面文件、材料的传送，逐步实现无纸办公，转变传统的工作方式，进一步提高工作效率。同时，利用各种业务信息的综合分析，为各级领导供应决策支持，更好地组织生产和经营。1.中小企业网络的建设目标建设目标企业建设一个以办公自动化、计算机帮助生产、把握及管理为核心，以现代网络技术为依托，技术先进、扩展性强、能掩盖企业各楼宇的企业主干网络，将企业的各种PC机、工作站、终端设备和局域网连接起来，并与有关广域网相连，在网上宣扬自己和猎取Internet网上的信息资源。形成结构合理、内外沟通的企业计算机网络系统，在此根底上建立能满足生产、研发和管理工作需要的软硬件环境，开发各类信息库和应用系统，为企业各类需求供应充分的网络信息效劳。即总体目标是利用先进的计算机技术和网络通信技术，建设高质量、高效率的统一的通信网络。其具体目标如下：通过建设一个高速、平安、牢靠、可扩充的网络系统，使各系统互联互通，实现企业信息的高度共享、传递及管理信息化，各领导能准时、全面、精确地把握企业的研发、生产、管理、财务、人事等各方面状况；建立出口信道，实现企业与Internet互联，同时部署企业各种应用效劳器〔邮件、文件、网站及各系统效劳器等〕，实现企业信息的发布，供应各领导和企业员工的移动拨号接入，进行移动办公和资料查询；企业的各通沟通，用电子信息的传递取代纸面文件、资料的传送，实现无纸办公，转变传统的工作方式，进一步提高工作效率；利用各种业务信息的综合分析，为各级领导供应决策支持，更好地组织生产和经营。1.2设计原那么企业园区网可能包含大量的信息点，并会涉及大量的业务应用，这就要求企业网必需是一个有用的、高牢靠、高效率、高扩展性及高平安性系统。为使企业园网络系统具有良好的扩展性和机敏的接入力量，并易于管理，易于维护，在网络设计及构建中始终应遵循统一标准、统一平台及网络分层的原那么，主要包括如下原那么：在网络规划方面，统一接受IP技术，统一规划IP地址及各种应用，接受开放的技术及国际标准，如路由协议、平安标准、接入标准和网络管理平台等，才能保证明现网络的统一，并确保网络的可扩展性，同时为了削减网络中各局部的相关性，便于网络的实施及管理，在网络的构建中，从整体上可以将网络划分为核心层、会聚层和接入层等3个层次；在软硬件选择方面，全部选择的软、硬件产品都必需遵循标准化原那么，接受统一的软、硬件平台和根本应用软件，以便进行统一的软件版本的升级及管理；在平安方面，所建设企业网应具有良好的平安性与保密性，依据企业的业务应用需求，部署合理的网络访问策略，同时实现企业内部敏感信息的保护，在受到攻击时具有可追溯性；在投资保护方面，要做到资源共享与保护，充分合理地利用现有的资源，最大限度地与原有系统或在建系统互联互通，在尽可能利用已有投资的根底上，解决好经费的补充和配套资金到位问题。

2.企业网络的总体设计2.1网络拓朴设计本次该企业网络设计方案主要由以下局部构成：交换模块、广域网接入模块、效劳器群。整个网络系统的拓朴结构图如图2-1网络拓朴设计所示，如下：图2-1网络拓朴设计该设计符合中小型局域网模型架构。它的园区主干和建筑物分布子模块没有格外明确的三层设计区分，在功能配置根本上是紧缩到一层中去，因为缺乏明显分开的园区主干和建筑物分布子模块，并且园区主干子模块中的密度是有限的，所以在每个建筑物分布子模块中接受多台二层交换机进行堆叠即可，在此方案中，出于可扩展性、一次性投资本钱、网络的传输性能及长远规划等方面因素考虑，前期先接受堆叠模式即可满足全部用户的接入问题，当用户增加到肯定的数量之后，出于交换机堆叠数量的限制，可以选择增加多一台建筑物分布子模块来做会聚的交换设备，这样一样可以做到后续有很强的扩展性，通过这种设计，可以使用该企业到达满足现有需求的同时很好的降低了本钱且不失后期的扩展性〔如上拓朴图示〕。以这个设计方案而言，因为能供应交换机和链路冗余，所在园区主干子模块不包含任何的单点故障。它接受了星形拓朴结构，它相对其他拓朴结构来说，星形拓朴将用户接入网络时具有更大的机敏性。当系统不断进展或系统发生重大变化时，这种优点将变得更加突出。在接入层，华为S2700系列交换机通过生成树供应第二层冗余。华为S2700系列交换机仅有缺点就是最高只能32Gbit/s交换阵列，并且最多只能支持48个快速以太网端口，但是这对于资金有限的中小型企业网来说已经满足需求了。在核心层接受三层交换机华为5700系列部署，可以增加网络扩展性，提高性能及可用性，增加网络平安性。在该设计中，利用快速以太网通道化/千兆以太网通道化技术扩展网络带宽，可以满足内部网络的大负荷网络运行需求。2.2IP编址方案及VLAN划分IP地址规划依据所安排的公网IP地址和内部私有网IP地址安排，地址可分为二大块，一块是安排多个C类公网IP地址，作为和国际互联网互连的地址，一局部企业相关的域名就解析在这片地址上，同时供应应企业用户上网时的NAT转换用，假设条件允许，可以申请多个运营商的线路，关键效劳器及应用可以拥有两条线路的公网IP，分别跨接在不同的运营商上进行相互备份。当前交换技术的快速进展，也加快了虚拟子网技术(VLAN—VirtualLocalAreaNetwork)的应用速度，特殊是在当前企业网上的应用更广泛。通过将企业网络划分为虚拟子网〔VLAN〕，可以强化网络管理和网络平安，把握不必要的数据播送。数据播送在网络中起着格外重要的作用，随着企业网内的计算机数量的增加，播送包的数量也会急剧增加，当播送包的数量占到总量的30%时，网络的传输效率将会明显下降。特殊是当某网络设备消灭故障后，会不停地向网络发送播送，从而导致网络风暴，使网络通信陷于瘫痪。当企业网络内计算机数超过200台后，就必需实行措施将网络分隔开来，将一个大的播送域划分成假设干个小的播送域。该方案IP编址及VLAN划分如下：表5-1VLAN划分表VLAN号VLAN名称IP网段默认网关说明VLAN1-192．168．0．0/24192．168．0．254管理VLANVLAN10CWB192．168．1．0/24192．168．1．254财务部VLANVLAN20SCB192．168．2．0/24192．168．2．254市场部VLANVLAN30CHB192．168．3．0/24192．168．3．254筹划部VLANVLAN50KFZX192．168．5．0/24192．168．5．254客服中心VLANVLAN60CGB192．168．6．0/24192．168．6．254选购部VLANVLAN70RFB192．168．7．0/24192．168．7．254研发部VLANVLAN100SERVER192．168．100．0/24192．168．100．254效劳器组VLAN2.3核心层设计及设备选型企业网是各种应用的统一通信平台，平均无故障时间以及故障恢复时间要保持在一个可容忍的许可范围之内。在这种前提下，园区主干设备应有肯定的冗余度，这种冗余包括有设备及物理线路等方面，数据链路层、网络层以及应用层的容错力量。园区主干网以企业网络中心的主机房为中心节点向外辐射，通过各部门所在的建筑楼节点构成园区主干网。企业园物理结构分为三层：核心层、会聚层、接入层。园区主干网中心节点配置核心路由交换机，该交换机上配置第三层交换模块和网络监控模块，以实现网络动态管理和虚拟局域网。企业网的各建筑物分布子模块，可接受三层交换机与企业网园区中心的核心路由交换机连接，以实现主干通道信息传输的负载均衡。办公司楼、研发楼、生产间、职工公寓等楼宇接受高性能会聚层交换机，以保证建筑楼信息点对交换机端口密度的要求和网络性能与牢靠性的要求。园区主干网核心层交换机和会聚层交换机接受1000Mbps连接，效劳器接受100Mbps连接。2.3.1园区主干交换机园区主干交换机是指连接效劳器及楼与楼之间、层与层之间的数据交换设备。依据企业网工程的不同阶段中网络信息点增加及其间伴随着的使用需求增长，对主干交换机根本设备的选型及其阶段性的扩展需求进行总体的合理规划。因此本次方案设计接受华为S5700交换机，它的最高性能可以到达102Mpps和136Gbit/s，在远程办公室环境中，这类交换机即可以作为单台交换机发挥作用，也可以作为包含少量交换机的中小型网络的园区主干交换机。在性能方面，具有很强的扩展性及多业务特性，可以满足将来企业丰富的业务需求及供应投资保护。2.3.2出口路由器在此方案中，考虑该企业Internet出口路由器的配置，接受一台华为AR3260路由器，因为华为AR3260系列是模块化设备，供应了更多的槽和更高的处理力量，它的用途是支持大型分支机构中的简单应用，或作为中心路由器为多个远程站点供应连接，它的网络模块最高可支持OC-3的速度，且对大多数企业具有丰富的可提高扩展力量。2.3.3效劳器群组效劳器是网络效劳器用量最大的地方。效劳器的选择标准很大程度上取决于中心客户的类型和应用种类。就大局部中小型企业应用而言，Web、ERP应用和数据库应用仍旧占整个数据中心的各类应用的主要局部。因此对效劳器的网络响应力量在很大程度上表达了效劳器的硬件体系结构设计的合理性、CPU或CPU组〔SMP〕对操作系统的进程或线程的安排力量以及磁盘I/O的性能。以及可行性与稳定性，同时散热、功耗和易安装性也是重点考察和评价的对象。基于以上考虑，所选的效劳器必需具有高牢靠性，I/O吞吐力量强，数据处理快，可扩展性和可管理性良好的特点。2.4接入层设计及设备选型接入层选用华为S2700可堆叠交换机作为用户的接入，这些交换机通常作为建筑物接入交换机而部署，能够供应固定的端口密度，并且具有与高端交换机相类似的特性，但其本钱更低，但它们却支持格外多的高级交换特性，其中包括集成平安、NAC、高级Qos和弹性等；同时这些交换机具有固定的端口配置，具有24个或48个10/100BASE-T或10/100/1000BASE-T端口，以及双目标特以太网上行链路。使用华为S2700作为本方案设计的接入交换机，它支持全线速的二层交换，同时具备如下特性：完备的平安智能把握策略：支持802.1x认证，还可以通过机敏的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持多种ACL访问把握策略：能够对用户访问网络资源的权限进行设置，保证网络的受控访问。高牢靠性：支持STP/RSTP生成树协议。丰富的QOS策略：支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口，支持带宽把握功能。2.5平安体系设计及设备选型企业网信息系统是企业网的数字神经中枢，合理的使用不仅能提高企业现代化信息化改革、提高工作效率、改善工作模式及流程，同时通过各企业之间的信息共享及沟通的便利及顺畅，将会极大的提高整体行业的工作效率及工作业绩。企业网总体上分为企业内网和企业外网。企业内网主要包括研发楼局域网、生产车间局域网、办公自动化局域网等。企业外网主要指企业供应对外效劳的效劳器群、与电信的接入以及远程移动办公用户的接入等，认真分析可以总结出企业网面临着如下的平安威逼：各种操作系统以及应用系统自身的漏洞带来的平安威逼；Internet网络用户对企业网存在非法访问或恶意入侵的威逼；来自企业网内外的各种病毒的威逼，外部用户可能通过邮件以及文件传输等将病毒带入企业内网，内部职工可能由于使用盗版介质将病毒带入企业内；内部用户对Internet的非法访问威逼，如扫瞄黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入企业内网；内外网恶意用户可能利用利用一些工具对网络及效劳器发起DOS/DDOS攻击，导致网络及效劳不行用；企业网内的职工即时通信工具〔比方：QQ〕，目前针对该类工具的黑客程序随处可见；可能会因为企业网内管理人员以及全体职工的平安意识不强、管理制度不健全，带来企业网的威逼。基于上面的问题，我们将从物理、系统、网络、应用及管理五个层次分析和设计适合于企业网的平安建议方案。

2.6设计方案优势2.6.1高带宽、高性能相比于传统组网设计方案，该企业网络设计方案是基于标准的二、三层以太网交换技术，技术成熟度格外高。企业网络中心放置路由交换机上行通过GE接至互联网，GE可以是单模或者多模，到时可以按使用的状况进行扩展，使出口不会成为企业网瓶颈。在企业网络中心通过下行使千兆链路连接接入层交换机，百兆交换到桌面，100M的带宽可充分满足用户高速上网、内容下载及多媒体等多种宽带业务。核心交换机拥有1000M出口联接企业网，各层设备全部支持线速交换，给用户供应了真正的高带宽网络，对将来高带宽的宽带业务供应了强大的支撑力量。2.6.2网络管理企业网在为员工供应便捷、高效的学习、工作环境的同时，也在宽带管理、权限把握等方面存在很多问题：对带宽资源的大量占用导致重要应用无法进行对于企业来说，它的带宽资源都是有限的。由于没有带宽限制和优先级设置，一些重要用户和重要应用得不到必要的带宽保证而影响了工作。访问权限难以把握随着使用互联网资源、各部门之间不同员工间的保密资源可以任凭猎取，将导致企业隐秘资料或是自主学问产权被竞争对手抄袭，引起经济损失。特别网络大事的审计和追查当特别网络大事发生后，如何尽快的追根溯源，找出幕后“黑手〞，避开大事的再次发生，成了网络维护人员不得不面对的麻烦问题。带宽的限定和业务优先级的设定系统能对每个客户上下行的带宽上限加以限定，防止个别客户占用过多网络资源。还能对不同的用户数据设定业务优先级以保证重要数据能得到更好的效劳。快捷实现全网管理全网拓扑觉察功能可以对全网设备、网络节点以及大事、性能、日志进行实时监控，统一管理。强大的大事追查功能系统中丰富的日志信息和便捷的追查工具能使网络管理员在面对特别大事时，能准时作出反响，快速找出幕后“黑手〞。2.6.3完善的平安机制该企业各楼宇交换机通过内在的多种平安机制可有效防止和把握病毒传播和网络流量攻击，把握非法用户使用网络，保证合法用户合理化使用网络，如端口平安、端口隔离、专家级ACL、时间ACL、端口ARP报文合法性检查、基于数据流的带宽限速等等，满足企业网加强对访问者进行把握、限制非授权用户通信的需求；在会聚、核心交换设备设置由硬件实现ACL，对病毒进行过滤。硬件实现端口与MAC地址和用户IP地址的绑定，严格限定端口上用户接入；通过将端口设为保护端口即可简洁便利地隔离用户之间信息互通，不必占用VLAN资源；通过PrivateVLAN可以在交换机的同一VLAN中供应端口之间的通讯或平安隔离，确保数据流进入有效端口，而不会被发送到其它端口，即解决了因传统802.1QVLAN造成全网VID资源不够的问题，同时又无需利用平安规章资源即能到达隔离不同用户以及不同组用户之间通讯的功能，充分保护用户隐私；供应极为有效的PortBlocking功能，避开端口受到其它端口发送的播送包、多播包等报文的干扰，有效减轻端口负载负担，提高端口带宽，保护用户PC更高效平安地运行；基于源IP地址把握的Telnet和Web设备访问把握，增加了设备网管的平安性，避开黑客恶意攻击和把握设备；供应加密传输的SecureShell〔SSH〕，保证管理设备信息的平安性，防止黑客攻击和把握设备；病毒、蠕虫等多元化进展把握网络病毒。统一对接入层交换机做动态下发平安策略，轻松有效的把握网络病毒，使网络保持畅通。2.6.4易维护华为网络交换机都经过独特设计具备防尘、防潮、防静电等多种适于在楼道安装和使用的特点。而且具有强大的运行维护力量，能有效降低运营商的运维本钱。支持RS-232本地管理口及Telnet、WEB、SNMP代理，远程监控〔RMON1~3，9组〕可依据运营商的不同要求，使用不同的管理方案，支持SNMP协议的全网集中网管。供应了故障告警和日志功能，可通过机箱面板上指示灯直观地了解设备的运行状态。2.6.5高牢靠性华为网络产品均使用国际上主流的先进ASIC芯片进行设计，并领先接受ISO9002生产标准进行生产，确保了设备的稳定性。2.6.6低本钱、可扩展性强以太网交换技术历经长期进展，得到众多厂商的支持，以技术实现简洁而获得极大的性能价格比。华为网络公司的以太网交换机全部基于标准的以太网交换技术，使用专用芯片技术，具有极高的性价比，保证了整个网络核心局部的稳定、牢靠和高性能。华为中心交换机接受模块式设计，用户只需简洁地添加端口模块即可实现网络的扩容，完整保护用户投资。华为交换机支持弹性堆叠功能，可依据需要扩展堆叠从机；这样，当网络需扩容时，只需简洁添加堆叠从机，不必再添加设备管理IP；同时，网络速度不会受到影响。

3企业网络的整体方案部署以下是该企业应用以上方案设计之后，方案中全部的网络、效劳器等设备的具体参数配置。3.1交换模块设计为了简化交换网络设计、提高交换网络的可扩展，在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可以划分为三个层次：接入层、分布层、核心层。在本设计方案中，需要进行三层配置。以下全部配置均属于真实在运营参数，并且使用SecureCRT6.1作为终端进行网络设备的配置验证。3.1.1接入层交换机效劳的实现—配置接入层交换机接入层为全部的终端用户供应一个接入点。这里的接入层交换机接受的是S2700-52P-EI交换机。交换机拥有48个10/100Mbps自适应快速以太网端口。我们以方案拓朴图示中的接入层交换机LSW5为例进行介绍。如以下列图3-1接入层所示：图3-1接入层配置接入层交换机LSW5的根本参数设置交换机名称设置交换机名称，也就是消灭在交换机CLI提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要Telnet登录到假设干台交换机以维护一个大型网络时，通过交换机名称提示自己当前配置交换机的位置是很有必要的。使用SecureCRT登录LSW5进入界面后，输入以下命令为接入层交换机命名<Huawei>system-view//进入用户模式[Huawei]sysnameLSW5S//修改交换机名称[LSW5]//修改成功后的显示效果设置登录虚拟终端线时的口令对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理人员供应了很多的便利，但是，处于平安考虑，在能够远程管理交换机之前网络管理人员必需设置远程登录交换机的口令。[LSW5]user-interfacevty04//进入虚拟终端线路[LSW5-ui-vty0-4]setauthenticationpasswordciphermzxy//设置登录密码为mzxy[LSW5-ui-vty0-4]authentication-modepassword//设置认证模式为密码认证设置终端线超时时间为了平安考虑，可以设置终端线超时时间。在设置障碍的时间内，假设没有检测到键盘输入，交换机将断开用户和交换机之间的连接。[LSW5-ui-vty0-4]idle-timeout5//设置登陆交换机的把握终端线路的超时时间为5分0秒钟。配置接入层交换机LSW5的管理IP、默认网关接入层交换机是OSI参考模型的第二层设备，即数据链路层的设备，因此，给接入层交换机的每个端口设置IP地址是没有意义的，但是，为了使网络管理人员可以从远程登录到接入层交换机上进行管理，必要给接入层交换机设置一个管理用的IP地址，这种状况下，实际上是将交换机看成和PC机一样的主机，给交换机设置管理用的IP地址只能在VLAN1，即本征VLAN中进行。依据表2，管理VLAN所在的子网是：，这里将接入层交换机LSW5的管理IP地址设为：192.168.0.10/24，如下：[LSW5]interfacevlan1[LSW5-Vlanif1]ipadd192.168.0.1024//设置管理IP为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关地址192.168.0.254。3.1.1.3配置接入层交换机LSW5的VLAN[LSW5]vlanbatch1020//在交换机上创立VLAN10、VLAN20配置接入层交换机LSW5的访问端口接入层交换机LSW5为终端用户供应接入效劳，依据各部门的不同分布，接入层交换机LSW5为VLAN10及VLAN20供应接入效劳。设置接入层交换机SWITCH1的端口1~20为VLAN10，端口21~46为VLAN20，如下：[LSW5]vlan10[LSW5-vlan10]portEthernet0/0/1to0/0/20//设置端口1~20为VLAN10的成员[LSW5]vlan20[LSW5-vlan20]portEthernet0/0/21to0/0/46//设置端口21~46为VLAN20的成员3.1.1.4配置其他接入层交换机对接其他入层交换机的配置步骤、命令和对接入层交换机LSW5的配置类似依据LSW5的配置，在其他接入层交换机做相类似的配置，并将各自的端口划入相应的VLAN即可。3.1.2核心层交换机效劳的实现—配置核心层交换机在本设计方案中，核心层各设备主要是做数据的高速转发工作，但同时也可以兼顾一些分布层的工作，以便利配置的实施。下面争辩核心层交换机的配置，如以下列图3-2核心层所示：图3-2核心层3.1.2.1对核心层交换机LSW1的根本参数的配置配置步骤与接入层交换机LSW5的根本参数的配置类似，其配置如下：<Huawei>system-view[Huawei]sysnameLSW1[LSW1]user-interfacevty04[LSW1-ui-vty0-4]authentication-modepassword[LSW1-ui-vty0-4]setauthenticationpasswordciphermzxy[LSW1-ui-vty0-4]idle-timeout53.1.2.2配置核心层交换机LSW1的管理IP、默认网关下面的命令为核心层交换机CoreSwitch1设置管理IP并激活管理VLAN，还设置了默认网关的地址，配置如下：[LSW1]interfacevlan1[LSW1-Vlanif1]ipadd192.168.0.100243.1.2.3在核心层交换机LSW1上定义VLAN在本设计方案中，除了默认的管理VLAN外，又定义了6个VLAN：[LSW1]vlan10[LSW1-vlan10]descriptionCWB[LSW1]vlan20[LSW1-vlan20]descriptionSCB[LSW1]vlan30[LSW1-vlan30]descriptionCHB[LSW1]vlan40[LSW1-vlan40]descriptionKFZX[LSW1]vlan50[LSW1-vlan50]descriptionCGB[LSW1]vlan60[LSW1-vlan60]descriptionSERVER[LSW1]vlan100[LSW1-vlan100]descriptionTo-LSW23.1.2.4配置核心层交换机LSW1的端口根本参数如朴拓朴图所示，核心层交换机LSW1的端口G0/0/4为效劳器群供应接入效劳，而端口G0/0/1分别上连到路由器，其他接口那么安排给接入层交换机使用。此外，为了实现冗余设计以及供应主干道的吞吐量，核心层交换机LSW1将千兆端口G0/0/2、G0/0/3捆绑在一起实现2000Mbps的千兆以太网信道，然后再连接到另一台核心层交换机LSW2，下面是调协核心层交换机LSW2的千兆以太网信道的步骤：[LSW1]interfaceEth-Trunk1//创立组[LSW1-Eth-Trunk1]portlink-typeaccess//设置模式为TRUNK[LSW1-Eth-Trunk1]trunkportGigabitEthernet0/0/2to0/0/3//参加组13.1.2.5配置核心层交换机LSW1的三层交换功能核心层交换机CoreSwitch需要为网络中的各个VLAN供应路由功能，需要为每个VLAN定义自已的默认网关地址：[LSW1]interfaceVlanif10[LSW1-Vlanif10].0[LSW1]interfaceVlanif20[LSW1-Vlanif20][LSW1]interfaceVlanif30[LSW1-Vlanif30][LSW1]interfaceVlanif40[LSW1-Vlanif40][LSW1]interfaceVlanif50[LSW1-Vlanif50][LSW1]interfaceVlanif100[LSW1-Vlanif100]ipadd192.168.100.1255.255.255.252此外，还需要定义通往Internet的路由，这里使用了一条缺省路由命令，使用的下一跳地址是Internet接入路由器与核心交换机相连接的快速以太网接口G0/0/1的IP地址。[LSW1]vlan200[LSW1-vlan200]descriptionTo-AR1[LSW1-vlan200]portGigabitEthernet0/0/1[LSW1]intvlan200[LSW1-Vlanif200]ipadd192.168.200.124//在交换机LSW1启用OSPF路由功能[LSW1]ospf1[LSW1-ospf-1]area0[LSW1-ospf-1-area-0.0.0.0]network192.168.0.00.0.0.255[LSW1-ospf-1-area-0.0.0.0]network192.168.1.00.0.0.255[LSW1-ospf-1-area-0.0.0.0]network192.168.2.00.0.0.255[LSW1-ospf-1-area-0.0.0.0]network192.168.3.00.0.0.255[LSW1-ospf-1-area-0.0.0.0]network192.168.4.00.0.0.255[LSW1-ospf-1-area-0.0.0.0]network192.168.5.00.0.0.255[LSW1-ospf-1-area-0.0.0.0]network192.168.100.00.0.0.255[LSW1-ospf-1-area-0.0.0.0]network192.168.200.00.0.0.255[LSW1-ospf-1-area-0.0.0.0]network192.168.300.00.0.0.2553.1.2.6配置核心层交换机LSW2对核心层交换机LSW2的配置步骤、命令和对核心层交换机LSW1的配置类似。3.2广域网接入模块设计在本设计方案中，广域网接入模块的功能是由广域网接入路由器AR1来完成的，接受的是华为的3260路由器，它通过自己的串行接口Serial4/0/0接入Internet，它的作用主要是在Internet和企业网间路由数据包，除了完成主要的路由任务外，利用访问把握列表〔AccessControlList，ACL〕，广域网接入路由器AR1还可以用来完成以自身为中心的流量把握和过滤功能并实现肯定的平安功能,所以下列图3-3广域网接入所示。图3-3广域网接入3.2.1配置路由器AR1的根本参数路由器的根本参数配置和前面交换机的配置类似，配置如下：<Huawei>system-view[Huawei]sysnameAR1[AR1]user-interfacevty04[AR1-ui-vty0-4]setauthenticationpasswordciphermzxy[AR1-ui-vty0-4]authentication-modepassword[AR1-ui-vty0-4]idle-timeout53.2.2配置路由器AR1的各接口参数对于路由器IRouter的各接口参数的配置主要是对接口G0/0/0、G0/0/1以及接口S4/0/0的IP地址、子网掩码的配置，如下：[AR1]interfaceg0/0/0[AR1-GigabitEthernet0/0/0][AR1]interfaceg0/0/1[AR1-GigabitEthernet0/0/1][AR1]interfaceSerial4/0/0[AR1-Serial4/0/0]//配置路由器IRouter的各接口的IP地址、子网掩码3.2.3配置路由器AR1的路由功能在接入路由器AR1上需要定义两个方向上的路由：到企业网内部的静态路由以及到Internet上的缺省路由，到Internet上的路由需要定义一条缺省路由，下一跳指定从本路由器的接口S4/0/0送出，如下：[AR1]iproute-static0.0.0.00.0.0.0Serial4/0/0//定义到Internet的缺省路由由于企业内部配置了负载均衡，所以到企业网内部的路由有两条路径，一条经由LSW1进入企业网内部，另一条是经由LSW2进入企业网内部，第一条路径的路由条目可以经过路由汇总后形成两条路由条目。如下：[AR1]ospf1[AR1-ospf-1]area0[AR1-ospf-1-area-0[AR1-ospf-1-area-0.0.0.0]network192.168.3//定义经过LSW1及LSW2到企业网内部及外部的路由配置接入路由器AR1上的NAT由于目前IP地址资源格外稀缺，不行能给企业网内部的全部工作站都安排一个公有IP〔Internet可路由的〕地址，为了解决全部工作站访问Internet的需要，必需使用NAT〔网络地址转换〕技术。依据前文对企业网的需求分析，企业当地ISP申请了9个IP地址，其中一个IP地址：被安排给了Internet接入路由器串行接口，另外8个IP地址：用作NAT。这里使用的是接口NAT地址转换，下面配置NAT地址转换：[AR1]acl2000//配置根本ACL，匹配NAT流量[AR1]nataddress-group1202.126.222.2202.126.222.7//创立地址池1[AR1]intSerial4/0/0//在接口下启用NAT[AR1-Serial4/0/0]natoutbound2000address-group1配置接入路由器AR1上的ACL虽然此方案设计中，防火墙是网络平安保障的第一道关卡，是网络防范的前沿阵地，但路由器的访问把握列表也是网络平安的重要保障之一，访问把握列表供应了一种机制，它可以把握和过滤通过路由器的不同接口去往不同方向的信息流，这种机制允许用户全长访问表来管理信息流，以制定公司内部网络的相关策略，这些策略可以描述平安功能，并且反映流量的优先级