天汇企业的网络设计与实现

天汇企业网络的设计与实现摘要：互联网技术与通信技术的相互带动作用，使得两者皆呈现多样化的快速发展趋势，5G的时代序幕在已经逐渐开启，由此引发的互联网技术和设备变革必然是各界人士关注的重点，几乎所有与计算机相关行业，都会迎来新的机遇。基于这个时代新的挑战，旧有的企业网络设计框架面对5G时代人们对于网络的需求提高，新挑战必然会出现问题，无法适应在移动通讯网络超过数千倍的增长使用需求，ipv6与ipv4更新，适应5G的新系统的适用，等等问题接踵而至，如何预先设计并搭建一个能够面对新需求的企业网络构架或改造旧有的网络环境，就是一个即将面对的问题。本文以设计能应对新环境新潮流为前提，满足现有网络设计需求为基础这两个中心点展开，包含对未来新时代的需求挑战和机遇的分析，如5G和ipv6对于未来5年的影响展望，和现有网络合理优化。研究方法采用理论和实际相结合，理论上可用到真实的企业网络设计方案，文献对现有网络的分析，实际模拟则采用设备模拟器进行网络构建，结合企业网络现实出现的实施中和维护问题，以达到靠近真实环境。关键词：网络优化ipv65G企业网

DesignandimplementationofTianhuiEnterpriseNetworkSummary:TheinteractionofInternettechnologyandcommunicationtechnologyhasledtoadiversifiedandrapiddevelopmenttrendforboth,andtheprologueofthe5Gerahasbeengraduallyopened,theresultingrevolutionininternettechnologyandequipmentisboundtobethefocusofattention,almostallcomputer-relatedindustries,willusherinnewopportunities.Basedonthenewchallengesofthisera,theoldenterprisenetworkdesignframeworkfacestheincreasingdemandforthenetworkinthe5Gera,andthenewchallengeswillinevitablyappear,unabletoadapttothegrowthoftheuseofthemobilecommunicationnetworkmorethanthousandsoftimes,iPV6andIPV4UPDATE,adapttothenew5Gsystem,andsoon,howtopre-designandbuildanewenterprisenetworkarchitecturetomeetthenewdemandortransformtheoldnetworkenvironment,isaproblemthatwillbefaced.Basedonthepremiseofrespondingtothenewenvironmentandthenewtrendandmeetingtheexistingnetworkdesignrequirements,thetwocentralpointsaredeveloped,includingananalysisofthedemandchallengesandopportunitiesofthenewerainthefuture,suchastheimpactof5GandIPV6ontheoutlookforthenextfiveyears,andtheexistingnetwork.Theresearchmethodisbasedonthecombinationoftheoryandpractice.Intheory,therealenterprisenetworkdesignschemecanbeused.Theexistingnetworkisanalyzedintheliterature,combinedwiththeimplementationandmaintenanceproblemsoftheenterprisenetworkreality,toachieveclosetotherealenvironment.Keywords:etworkoptimizationipv65GEnterpriseNetwork

目录第一章绪论 71.1研究背景 71.2项目研究的意义和目的 81.3课题研究内容 8第二章未来网络的分析 92.1网络的未来前景 92.1.1现代的网络环境分析 92.1.25G的影响分析 92.2相关策略选择 112.2.1堆叠技术替代vrrp作为选择 112.2.2企业内网络路由协议ospf与的is-is选择 112.2.3ipv6与ipv4连接问题 12第三章公司需求分析 133.1天汇公司业务现状和网络需求分析 133.1.1业务内容 133.1.2公司对网络的设计需求大致目标 143.1.3部门主机的硬件和功能需求 142.1.3ip地址的分析应用 15第四章具体设计 164.1网络拓扑设计 164.2子网划分 164.2vlan设计 184.3OSPF设计 184.4nat地址转换设计 184.5dhcp设计 194.6ipv4和ipv6的过渡设计 194.5网络安全实现 204.5.1防火墙设计 204.5.2安全策略设计 204.9设备选型，和线路选择 214.9.1设备分析选型 214.9.2网络物理链路选择 21第五章具体实施 225.1关于Vlan实施 225.2关于ospf实施 255.3关于nat配置 275.4关于dhcp实施 285.5关于防火墙实施 295.6关于策略实施 30第六章网络测试 327.1DHCP测试 327.2NAT地址转换测试 337.3OSPF搭建连通性测试 33参考文献 35致谢 36

第一章绪论1.1研究背景始于1969年美国将加利福尼亚大学、斯坦福大学、加利福尼亚大学、犹他州大学的核心计算机连接这一事件，标志着互联网的诞生。相对于其他历史悠久的行业，这个只有50年历史的新兴行业却使社会面貌运作方式，发生翻天覆地的改变，并使得世界逐步迈向以信息技术为发展核心的社会。计算机和通讯技术的发展带动了互联网，也带动了社会的步伐。虽然中国互联网行业起步相对于西方国家较晚，但是在意识到推动工业互联网发展对我国经济发展意义重大而深远后，党中央在政策上，为互联网发展上采取很多积极的措施和规划来推进信息化的发展。例如17年发行的《推进互联网协议第六版（IPv6）规模部署行动计划》

，19年末，国家工程中心加入中国联通5G区块链合作伙伴计划，与中国联通网络技术研究院等企业签署5G链网项目合作协议，建成用于数字通信的分组交换网和数字交换网，一系列“金”字工程等。这些都在说明互联网在政策的协助下的快速发展，也说明网络在整个社会的重要地位我国的互联网企业也在这个环境影响利用政策优势下飞快发展。但面对日益增长的企业需求和复杂多变的网络环境，对于互联网企业的初始的网络设计和后续管理也带来新的挑战。网络工程设计与管理，从开始的简单粗放，环境低适应性，低稳定性，到后来积累经验，形成流程规范，力求做到把握工程实施进度，质量上保证网络设计成果能达到预期水准，在经济上做到高性价比，可发展上做到可优化空间大，割接增设设备等操作也能保证原有的运行稳定，做到工程建设管理流程工程建设管理流程工程建设管理流程引用自罗建,刘承志等．PMP项目管理．陕西师范大学出版社,2001年5月）虽然当前已经设计理念和制度趋近完善，但网络环境的变化，企业网络随着使用消费需求的提升也要满足新的服务质量，删去旧有过时的理念，结合时代新需求，探讨设计一个网络设计模型与理念是非常具有社会意义。1.2项目研究的意义和目的互联网企业网络设计理念和管理措施趋渐完善，但这大部分是为旧有的的网络设施服务，随着新的市场需求和新概念的出现，必须对网络设计，进行跟随时代的更新，滞后于当前社会的网络设计和扩展，不但会增加企业成本和压力，还可能无法满足企业业务需求。对于企业而言，合理网络工程的设计与应用，将极大的促进工作效率，进而优化的企业结构，节约企业开发运营的成本。而且具有前瞻性的网络构筑将更好的帮助企业转向智能化流程电子化、管理数字化、生产自动化、运行网络化流程电子化、管理数字化、生产自动化、运行网络化1.3课题研究内容课题研究内容分为两部分一部分是基于分析5G和ipv6在未来的发展状况，来思考如何对现有的网络设计进行改造，包括增加网络设计，摒弃过时的网络策略等。另一部分则是对现有的网络设计进行规划，包含网络ip的划分（ipv4），网络二层交换机的配置，路由策略的搭配，安全防护策略配置。另外补充关于网络搭建实际问题需要注意的要点，以及设备选型。

第二章未来网络的分析2.1网络的未来前景2.1.1现代的网络环境分析网络发展带动人与物互联‘互联网+’逐步实现，在网络基础设备足够完善的情况下，就可以给产品带来巨大附加效益，带来多个产业的崛起发展。对外，网络拉近了现代企业与社会群众之间的距离。对内，网络的合理设计构架维护，也是为开展以上业务进行基础建立。对内部企业网络的保护，也是对于企业，公司正常运转的保障，如阿里云的数据中心，就包含环境和设备监控系统，安全防范系统，消防安全系统等，此外还有多个冷备机房，线下冷备份，异地拷贝等这些多重可靠的网络设计和配套系统，共同维护着这个网络安全。对内的网络设计，也当学习其严谨性，在设计网络时候，实现网络稳定和安全，这两个最基本的诉求。2.1.25G的影响分析5G是未来网络行业一个重要的标志是，5G既第五代移动通信技术。相对于4G来说就是更高数据速率、非常低的网络延迟、大型设备与连接端的紧密结合。在此的基础上AR,VR和未来游戏行业拥有新的展望，应用于医疗，军事上的实时模拟，交通的全面自动驾驶等设想开始诞生。还有关于万物互联的设想。（接下表）

表2-1-23G-4G的发展历史预测进行分析4G未普及后的设想4G普及后的社会改变网络速达到实时放播效果，应用于新闻行业全面直播行业的诞生，虎牙斗鱼等新兴产业手机在线看电影的实现短视频app，短视频行业如bilibili，快手，抖音的崛起移动支付普及，手机与nfc信用卡结合二维码支付现金，步入交易无现金时代网络资费高昂只有少部分人使用4G网络网络资费下降，适用4Gwifi的普及由表可得分析出5G的普及毫无疑问是人们踏向下一个新网络时代的目标，是可以带动产业升级变化的新技术，是应该重视的问题。那么5G广泛应用实现的具体实现究竟有多远，而根据资料和行业现状的分析，至少在5年内，想要依靠5G改变未来网络的格局是不现实的现产业，5G的网络是超额满足当前社会个人对于网速的需求出现大量带宽剩余。基于5G的VR，AR设备缺失市场，自动驾驶的研发系统性价比偏低，至于万物互联，则需要依靠5G成熟才能实现。5G未来发展必然会引发巨大改革，但这个改变所遇到的阻力也同样大，5G对于行业投入之高，行业没有5G产物能有利益点。对于网络设计上的理念是更新换代级别的，基于5G来对现有网络设计的改变的是不必要的，只需要有所相关部分考即可如4G接入5G网络从新的巨额流量接入，旧有设备高效利用多台设备的堆叠这两点

2.2相关策略选择2.2.1堆叠技术替代vrrp作为选择首先，了解下两种策略VRRP：虚拟路由冗余协议把两台以上的路由设备，虚拟成一台合体的路由设备，新的虚拟路由设备的IP地址将承担被组合路由的网关作用。而且这个虚拟合体路由的网关设备出现问题的时候，可以在其体制内产生新的网关来承接原来网关的工作，满足网络的稳定性。合成的虚拟设备对外体现为一台虚拟路由器，实现链路冗余备份。堆叠：集群交换机系统，是将2台交换机通过专用的集群电缆链接起来，对外呈现为一台逻辑交换机。通过交换机集群，可以实现网络高可靠性和网络大数据量转发，同时简化网络管理。具体特性如下：高可靠性：两台成员交换机能够互相连接备份，跨设备的链路冗余备份也是链路聚合的功能之一。网络的未来扩展能力优秀：堆叠的设置使得多个端口管理，命令配置和管理都比各自单个管理更加靠谱：这也使得只需要对单个交换机进行操作，就能对整个连接的系统交换机进行整合管理堆叠非常适合二层组网环境：堆叠的网络特性是没有产生环路的，多台交换机在同一网络的问题也不会出现。同时也满足对于网络高性能的要求,提升网络效果，适用于为未来接入5G做网络基础。2.2.2企业内网络路由协议ospf与的is-is选择OSPF是由IETF标准组织制定的一种基于链路状态内部网关协议，当初研发出来是为代替RIP，具有不受跳速影响，合理规划可以容纳一千多台路由器的运转，具有可变长划分子网，收敛速度更快，以划分边界来缩短路由表项目提高路由运行速度,支持在不同区域的网络验证，可支持组播Is-is的协议也大多和ospf拥有类似的优势，但它不用使用IP地址，远程无法攻击，单个路由只属于一个区域，（ospf一个接口可以属于不同区域），没有区域概念但ospf有骨干区分，在IS-IS，不同等级级别的路由都采用一个算法，最短路径树SPT的生成由各自的路由产生，ospf则是一个区域一个spf算法，借用骨干路由转发信息。这两个都是分层的链路状态协议，ospf优势在于对于流量区域的细分和调节，is-is则是其简化性质使得，网络可用性高和抗打击能力强。结合优势上，对于企业来说，一般都用OSPF，来进行对企业内部的管理2.2.3ipv6与ipv4连接问题Ipv4与ipv6的共存未来的趋势，nat技术使得延长ipv4的使用寿命，暂时解决了地址短缺的问题，但是ipv6的优越性时代性是比ipv4更适合应用在现代互联网的发展ipv4业务是目前广泛使用的网络协议，鉴与原有ipv4的规模，ipv4和ipv6两种协议会一同在网络中长期存在，ipv6的改造有多种模式，如双栈模式，NAT64这两种（隧道技术属于ipv6和ip6在ipv4网络下的链接）网络协议主体是采用ipv4，如何把散落在各区域网络的ipv6相互联系起来，隧道技术就应运而生。要使用隧道技术下，路由器双方都得是双栈路由器，且都需要支持两端识别双协议。使用两个或多个双栈，是实现在ipv4网络为主体，ipv6相互连通的实用方案双栈方式是在网络设备上同时运行ipv4和ipv6两种路由协议，同时对外部用户提供ipv4和ipv6网络访问服务。NAT64转换是把来自ipv6源地址的访问进行双向地址转换，即把源、目ip地址同时转换为ipv4地址，来实现ipv4的服务地址对ipv6用户提供服务。

第三章公司需求分析3.1天汇公司业务现状和网络需求分析3.1.1业务内容天汇安保公司是一家小型的安保企业，主要业务是为公民，法人，提供安保服务，按照签署的方案采取随身护卫等行为满足客户的安全需求，或为客户单位提供出入口值守，验证，检查登记的服务业务天汇安保公司除了最高管理董事处下设有，六个部门财务部：负责核算财务收支支出，员工工资发放，确保资金周转平衡，行政部：管理其他部门相互协调，保证企业的技术，设计，生产，资金，经营，开发几大模块相互配合推进任务进程综合部：对食堂管理，企业办公用具，清洁问题市场部：对市场进行调查，搜寻市场中合适的客户，负责公司的安保业务推销，负责宣传公司的企业文化和实力人防部：公司内部的安保人员，维持公司的日常秩序，保护企业门口的安全，还有职编下负责外配到客户下的安保人员客服部：对客户反应的接受部门，通过客户用于了解旗下工作人员（楼层a，第一层为财务部，第二层为董事处，第三四层为行政部）（楼层b，第一层为综合部，客服部，人防部，二层为市场部，第三层为市场部）（公司宿舍楼区为c共三层，可容纳120个员工，）

3.1.2公司对网络的设计需求大致目标安保企业基本上很少使用书面形式开展工作,所有企业内部数据如数据库、操作记录等都需要使用网络来维护和保管,鉴于安保企业的特殊性，布局网络时需要考虑，用户资料安全保密，企业内外网络安全、企业网络的日常维护等各个方面。企业需要的网络规划应该涉及到网络的先进性、可扩展性、高可靠性、稳定性、高宽带、经济性等，其中安全稳定是安保企业重要的需求天汇安保公司的网络需要根据部门需求，来分配不同的网络配置表3-1-2天汇公司部门主机数量需求表部门主机数量董事处10行政部30综合部5客服部5人防部5市场部40财务部5员工宿舍120Vlan1-82203.1.3部门主机的硬件和功能需求董事部：需要整个网络的最高权限，有稳定高速的带宽支持远程网络会议和大文件传输财务部：需要主机能够满足进行关于资产的购置，能计算且保存对于资本管理的账面，行政部：主要负责对公司内部进行行政管理，记录，处理公司内部事务，保存客户的资料信息综合部：需要对公司内部的物件进行统计计算，客服部：要求网络稳定，保证在外网与客户交流不会被网络事故中断，影响到对客户的服务人防部：负责登记人员出入情况，门卫调查，管理公司内部监控视频市场部：需要能够进行绘图，美工，能够流畅运行高级修图工具的主机，对主机的显卡等硬件有较高要求，网络上要把设计成品，安全发送到董事处审批员工宿舍：常规的用户需求，每一个宿舍都要配置一个网络地址，需要提供可用的网线、以供使用，但不需要提供电脑，且要求与公司网络分隔。2.1.3ip地址的分析应用IPv4地址资源耗尽，在2019年这些总共约43亿的IPv4地址已彻底分配给全球，这代表着没有更多IPv4地址可以分配给ISP或者其他大型网络基础设施提供商。公司鉴于当前的环境，对于网络有两种可用协议，一种是ipv4一种是ipv6即使存在一些局限，Ipv4是依然是当前成熟且广泛应用的网络协议，同时引用可ipv6进行补充，是适应现在企业网的选择。

第四章具体设计4.1网络拓扑设计图4-1-1网络架构设计图说明：左侧是包含董事处等7个部门的100台主机，往上是配置S3700二层交换机，下方接入服务器，之后是汇聚层交换机，通往外网的数据经过R1转发通过FW1到达外部路由器，R3是负责转发员工宿舍的路由器。Serve1-3作为服务器加入网络。4.2子网划分根据各个部门的网络需求，来划分各个区域的网络需要220个子网ip，故使用网段为的网段来作为公司内网网段来满足公司的网络需求A栋，共有45个ipB栋，共有55个ipC栋，共有120个ip

表4-2-1IP地址规划部门/子网Pc数vlanIp地址网关DNS董事处10vlan101/5行政部30vlan3015客服部5vlan205市场部40vlan4015人防部5vlan505财务部5vlan605综合部5vlan70192.1687.55员工宿舍160vlan8015员工宿舍260vlan9015

4.2vlan设计一般情况下,公司的网络结构都是由核心层、汇聚层的多层组合模式。千兆以太网作为网络主干网。由二层接入交换机和汇聚层交换机来组成相对简易的网络架构组成靠谱高速的网络，网络系统的核心需要使用足够大型的网络设备来保证流量不拥塞。交换机系统即使使用堆叠无环结构，但本质上交换机在网络上需要注意的问题依然需要进行处理，使用vlan划分，能够更有效地减少网络的无效广播，更快的对网络传播速度进行优化在网络需求上，员工宿舍和企业网络需要进行网络的连通，在配置上，也要把其所属的vlan分割开来，避免员工宿舍的网络对企业内网进行渗透攻击。VLAN子网划分,把所属一个部门的用户划分到一个VLAN子网当中,限制其他流量,这是提高网络效率和避免网络冲突的优化方案。4.3OSPF设计在交换机设置完成下，相隔一个路由器下的主机是无法相互ping通的，这就导致行政处的a栋，无法对b栋的pc进行数据之间的互通，为了保证通信，可以选择ospf进行联络通信，由于静态，动态路由协议的局限以及相对于企业更适合，无环路、收敛速度快，能计算最优路由的ospf是较优的选择4.4nat地址转换设计当前企业的下位地址依然保持ip4协议，在ip地址紧张，申请多个公网地址来使用显然不够现实，而为了与外网的路由器互联，实现公司对外网的访问需求，就需要配置NAT地址转换，4.5dhcp设计公司网络的扩充，主机的添加，删减，都会使得原有的ip被浪费或需要管理员手动配置新的ip，有外来电脑需要接入时，将会显得非常不方便，这时就需要配置dhcp来使得外接pc可以介入网络，而不用更改配置DHCP使服务器能够动态地为网络中的其他服务器提供IP地址，通过使用DHCP，就可以不给英特网中设置和维护静态IP地址。使用DHCP可以简化配置客户机的IP的工作，特别是当IP参数改变时，如网络的大规模变化而引起的IP地址和子网掩码的更改。4.6ipv4和ipv6的过渡设计该设计上采用双债模式，在企业需要进行ipv4和ipv6链接上的情况下，在接入ipv4network和ipv6network的路由器上配置（支持ipv6路由器），配置命令为ipv6interfaceGigabitEthernet0/0/0ipaddrrss24ipv6enableipv6address2001：:0001：：FFFF64

4.5网络安全实现4.5.1防火墙设计安全防火墙在设计时,应遵循一些被人普遍认同的原则,贯彻下面三个理念有助于合理规划命令配置统一性原则:网络是一个整体的部分，不能各自各的进行管理防护。从网络需要对比较重要的部门如董事部，行政部进行更优先的保护，保证核心的网络安全能有有效实施简易:网络安全的内部设计太过于复杂或者过于难以进行维护改进，会不利于日常和日后管理，降低网络安全运行的效率，过多占用资源高效:网络安全高效的非常重要的,防火墙的设计能够高效持续运行，才是正常企业所需要的4.5.2安全策略设计路由器访问控制列表设定-Telnet，ABC栋的路由器在ospf环境下能相互ping通，但C栋所属的配置的是员工宿舍，与AB栋公司的网络连接需要进行限制，由此需要在ospf的基础上，设置访问控制列表，阻止来自c栋的数据包可以未经允许，直接访问AB栋的路由器，进而获取到公司的核心信息，防备员工盗取公司客户信息，但依然要允许a栋的pc能够管理到c栋员工宿舍的，保持a栋对c栋pc的日常维护访问控制列表能对网络流量监控，网络性能优化。安全策略也能对经过这一端口的目标进行控制，无论是流入还是流入，数据包都会被检测直到安全才能通过。例如在访问控制列表中，设置数据来源或数据目的地址，对其进行拒绝通过，转发或者接入目的等操作，来实现对数据流的管控4.9设备选型，和线路选择4.9.1设备分析选型交换机选择华为s3700交换机，由于该企业网络规模属于中小型，不适合采用过高性能要求的交换机，容易造成资源浪费。S3700系列企业交换机是华为公司的的三层以太交换机。选择该交换机是因为它适应于针对企业用户园区汇聚还有ipv4向IPv6过渡的能力，并且可支持堆叠、虚拟路由器冗余、快速环网保护等技术。这两个关键特性能有效增强网络健壮性，利于搭建面向未来的企业网络。路由器选择华为AR120，系列企业路由器是华为公司推出的面向中小型办公室或中小型企业分支的多合一路由器，提供包括有线和无线的Internet接入、专线接入、融合通信及安全等功能，广泛部署于中小型园区网出口、中小型企业总部或分支等场景。其可配置acl安全策略等其他安全措施，保证企业内部网络的安全性，需控制用户对网络的访问，只有通过认证的用户，才允许访问管理员授权的网络资源。防火墙使用US5500，该系列产品采用全新的万兆多核硬件平台，面对企业海量业务处理零延迟，打造更高速的网络；融合先进的入侵防御和反病毒技术，支持丰富的路由协议，可节省用户投资，降低组网成本。支持IPv4和IPv6双协议栈工作方式，提供完整的IPv6特性和IPv4网络向IPv6网络平滑迁移的解决方案。能有效阻止Internet上的黑客入侵、DDoS攻击，阻止内网用户访问非法网站，限制带宽，为内部网络提供一个安全可靠的网络环境。4.9.2网络物理链路选择光缆鉴于其对数据的高效传输，光缆线路是现在网络线路比较普遍的选择,但由于光缆网络线路可能会被环境等因素影响，需要选建设管道，把公司的光缆集中，避免出现光缆的传输被环境影响,使得通信网络的运转出问题。需要设置管道对网络链路核心层使用光纤网络汇聚层使用光纤和双绞线相结合的接入方式。董事处，行政处使用光纤和双绞线相结合的接入方式。普通部门选择双绞线的接入方式。第五章具体实施5.1关于Vlan实施该公司同一栋下同一交换机里，包含了不同部门的多个主机，处在同一个冲突域里面，使得某用户pc容易收到大量不需要的报文，所有的主机共享传输渠道，主机之间可以互相ping通，无法控制信息的安全，降低了网络的传输安全和效率由此需要在交换机下，根据各部门来划分vlan，同一vlan可以进行数据交互，vlan内部的间主机无法相互ping通举例拓扑图为楼层A,，拓扑中每部门只取1台pc，实际需要把每一台pc的端口都添加到所属的vlan下，既在access口配置划分图4-2-1vlan划分局部拓扑配置命令如下Interfacee0/0/1Portlink-typeaccessPortdefaultvlan10Interfacee0/0/2Portlink-typeaccessPortdefaultvlan20Interfacee0/0/3Portlink-typeaccessPortdefaultvlan30Interfacee0/0/4Portlink-typeaccessPortdefaultvlan4lTrunk口配置公司要求行政处的pc能够对市场部，客服部等其他部门的主机进行访问，但其他部门之间不可以相互ping通，行政部与其他部门的通信，是公司日常的行政管理的需求，方便企业的技术，设计，生产，资金，经营，几大模块的相互配合，当前配置上，不同交换机上并没有相对应的vlan信息，各个部门无法识别其他pc的数据包，也无法跨交换机发送vlan报文，这些vlan只在本地有意义，无法实现vlan跨区域通信。现要实现行政部的主机与其它部门主机通信，可以在核心层交换机上配置vlanif接口IP地址和子网掩码,同时交换机和核心层交换机设置trunk链路，并设置trunk允许通过对应vlan。首先，在access配置的基础上开始搭建（既划分vlan，添加端口），然后在三层交换机上开始设置vlanif，实现跨区域通信功能模拟拓扑图如下图4-2-2trunk配置拓扑图交换机命令如下添加vlan，并且设置access口和trunk口Vlanbatch203040Inte0/0/1Portlink-typeaccessPortdefaultvlan30Interg0/0/1Portlink-typetrunkPorttrunkallow-passvlan203040Intg0/0/2Portlink-typetrunk其他交换机类似核心层交换机Lsw3和lsw4要允许vlan20vlan30能够通过，必须配置对应的vlan口让交换机能够识别不同vlan的数据包，并且设置vlan1添加ip作为连接，使得核心交换机能互相交换信息5.2关于ospf实施拓扑图如下（交换机在设置完成后已达成任务，故交换机在拓扑图中已省略）图4-3-1ospf简化拓扑图在pc，和路由上先配置上基础的端口配置之后在路由内开启ospf1-area0，添加连接端口所属的网段，R1图4-3-2R1配置截图图4-3-3R1配置截图在R2配置通告ospf的相邻网段R2图4-3-4R2配置截图图4-3-5R2配置截图在R2配置通告ospf的相邻网段R3图4-3-5R3配置截图图4-3-5R3配置截图在R3配置通告ospf的相邻网段5.3关于nat配置NAT的功能既在内网的主机访问外网时，把多个内网ip转换为一个可用的公网ip，实现地址转换，满足公司部门对外访问需求，另外，可配置natserver技术实现，服务器可以供外网使用图4-4-1nat地址转换简化拓扑图由此模拟董事处pc，到外网的静态nat转换，r1上设置如下添加到下一跳的默认路由，使用作为被转化的公网ipIntg0/0/1Ipadd图4-4-2Iproute-staticr2也只需要添加端口即可5.4关于dhcp实施公司设置使用DHCP服务器上的IP地址数据库包含如下项目：

在缓冲池中指定给客户机的有效IP地址，以及手工指定的保留地址。外接ip所获得的租约时间即指定IP地址可以使用的时间。拓扑图（三层交换机配置access和trunk即可，略去三层交换机）使用基于全局地址池配置的dhcp图4-5-1dhcp拓扑图R1关于左交换机下的地址池分配图4-5-2lsw1配置图关于右边交换机下的地址池分配图4-5-3lsw2配置图该设置，保留了-1和-1得已经配置的静态ip不会被分配，获取的有效期为1天5.5关于防火墙实施防火墙拓扑图如下（只取核心部分）图4-5-1-1防火墙配置图基本区域设置，[SRG]acl3000[SRG-acl-adv-3000]ruledenyipsource0允许.的ip报文通过[SRG]firewallinterzonetrustuntrust[SRG-interzone-trust-untrust]packet-filter3000outbound进行应用设置ftp服务通过防火墙[SRG]policyinterzonetrustuntrustoutbound[SRG-policy-interzone-trust-untrust-outbound-1]policysource.0[SRG-policy-interzone-trust-untrust-outbound-1]policysource0[SRG-policy-interzone-trust-untrust-outbound-1]policydestination05.6关于策略实施扩展访问控制列表具有灵活性和可扩充性，即可以对同一地址允许使用某些协议通信流量通过，而拒绝使用其他协议的流量通过。图4-5-2-1拓扑图进行aaa认证，R2，3设置为用户级别图4-5-2-2策略配置图R1在aaa视图设置为管理员权限图4-5-2-3策略配置图设置完成，r1的路由器即使拥有密码，也无法进入r3，保证了a栋路由器的安全图4-5-3-4策略配置图只用aaa认证并不安全且传输手段是明文不安全，为此可以加装alc配置图4-5-3-5策略配置图允许a栋r1来源的数据包的通过b2，隔断其他路由的数据包图4-5-3-6策略配置图进行调用，完成配置第六章网络测试7.1DHCP测试连通性测试如下图7-1-1dhcp测试图图7-1-2dhcp测试图两台新加入的pc，已经能够从服务器获取地址图7-1-3dhcp测试图而且相互通信没有问题，由此新加入的pc可以达成使用需求。7.2NAT地址转换测试连通性测试如下图7-2-1nat转换测试图图7-2-2转换测试图7.3OSPF搭建连通性测试连通性测试图7-3-1ospf网络连接测试图由此，依照拓扑图，把其他部门进行nat地址转换，实现与外网的通信

参考文献[1]屈正耿吕鹏.中小型企业安全方案的设计[J].太赫兹科学与电子信息学报，2019（3）.6-7.[2]谢金利.网络工程设计的需求分析[J].信息与电脑2017，(8)16-18.[3]支成保.某市财务大厅网络工程[D].南京邮电大学.2014.1-5.[4]刘建南.浅谈影院网络综合布线工程[J].现代电影技术影院建设，2019(1).2-3.[5]刘申菊田丹.企业网网络设计方案的研究[R].沈阳工学院，2018（6）.166-167.[6]王瑾.计算机网络可靠性优化设计问题的分析[J].互联网+应用，2019(05)99-100.[7]刘小飞.基于知识管理的企业网络管理系统模型[D].湖南大学.2007.5-8.[8]冯政军朱琴.基于OSPF（开放式最短路径优先）路由协议的企业网络设计[J].江海职业技术学院，2018（6）11-13.[9]GregorioMartinezPerez.NetworkingCommunicationandDataKnowledgeEngineering[M].UniversityofMurcia.44-45.[10]JohnWiley&SonTHECOMPETITIVEINTERNETSERVICEPROVIDER[M].TechnicalUniversityDarmstadt,Germany.114-116.

致谢大学最后的时光依然如此充实，能够在接触社会的同时继续对自己学业知识进行实践是非常有意义的。在此感谢YESLAB林老师等提供关于华为设备相关的技术文档支持。特别感谢论文指导马老师对于论文问题处的指出，也使我认识到自己个人技术水平的局限，以及感谢各位同班同学对我的学习上生活上帮助。在之后的人生道路上，不管是工作还是学习，都会跟随时代的步伐，不断进步，再次感谢遇到所有遇到过的帮助我的人们，未来虽然各位各自发展，但我依然会记住这美好的大学生活，人生有梦各自精彩。

电脑不启动故障诊治了解电脑启动的过程在诸多电脑故障中，无法正常启动是最令用户头痛的事了。笔者长期从事维护电脑的工作，在这个方面积累了一些经验，现在就将这些经验整理归纳出来与朋友们分享。本文将以家用电脑和windows98操作系统为基础，介绍电脑无法正常启动故障的诊治。要想准确地诊断电脑不启动故障，首先要了解的起动过程，当我们按下电源开关时，电源就开始向主板和其它设备供电，此时电压还没有完全稳定，主板控制芯片组会根据CMOS中的CPU主频设置向CPU发出一个Reset(重置)信号，让CPU初始化，电压完全稳定后，芯片组会撤去Reset信号，CPU马上从地址FFFF0H处执行一条跳转指令，跳到系统BIOS中真正的启动代码处。系统BIOS首先要做的事情就是进行POST(PowerOnSelfTest，加电自检)。POST的主要任务是检测系统中的一些关键设备(电源、CPU芯片、BIOS芯片、定时器芯片、数据收发逻辑电路、DMA控制器、中断控制器以及基本的64K内存和内存刷新电路等)是否存在和能否正常工作，如内存和显卡等。自检通过后，系统BIOS将查找显示卡的BIOS，由显卡BIOS来完成显示卡的初始化，显示器开始有显示，自此，系统就具备了最基本的运行条件，可以对主板上的其它部分进行诊断和测试，再发现故障时，屏幕上会有提示，但一般不死机，接着系统BIOS将检测CPU的类型和工作频率，然后开始测试主机所有的内存容量，内存测试通过之后，系统BIOS将开始检测系统中安装的一些标准硬件设备，这些设备包括：硬盘、CD－ROM、软驱、串行接口和并行接口等连接的设备，大多数新版本的系统BIOS在这一过程中还要自动检测和设置内存的相关参数、硬盘参数和访问模式等。标准设备检测完毕后，系统BIOS内部的支持即插即用的代码将开始检测和配置系统中已安装的即插即用设备。每找到一个设备之后，系统BIOS都会在屏幕上显示出设备的名称和型号等信息，同时为该设备分配中断、DMA通道和I/O端口等资源。最后系统BIOS将更新ESCD(ExtendedSystemConfigurationData，扩展系统配置数据)。ESCD数据更新完毕后，系统BIOS的启动代码将进行它的最后一项工作，即根据用户指定的启动顺序从软盘、硬盘或光驱启动。以从C盘启动为例，系统BIOS将读取并执行硬盘上的主引导记录，主引导记录接着从分区表中找到第一个活动分区，然后读取并执行这个活动分区的分区引导记录，而分区引导记录将负责读取并执行IO.SYS，这是Windows最基本的系统文件。IO.SYS首先要初始化一些重要的系统数据，然后就显示出我们熟悉的蓝天白云，在这幅画面之下，Windows将继续进行DOS部分和GUI(图形用户界面)部分的引导和初始化工作，一切顺利结束，电脑正常启动。根据故障现象诊治了解电脑启动的过程，故障就好判断了，下面我们就根据故障现象开始诊治了：现象一：系统完全不能启动，见不到电源指示灯亮，也听不到冷却风扇的声音。这时，基本可以认定是电源部分故障，检查：电源线和插座是否有电、主板电源插头是否连好，UPS是否正常供电，再确认电源是否有故障，最简单的就是替换法，但一般用户家中不可能备有电源等备件，这时可以尝试使用下面的方法（注意：要慎重）：先把硬盘，CPU风扇，或者CDROM连好，然后把ATX主板电源插头用一根导线连接两个插脚（把插头的一侧突起对着自己，上层插脚从左数第4个和下层插脚从右数第3个，方向一定要正确），然后把ATX电源的开关打开，如果电源风扇转动，说明电源正常，否则电源损坏。如果电源没问题直接短接主板上电源开关的跳线，如果正常，说明机箱面板的电源开关损坏。现象二：电源批示灯亮，风扇转，但没有明显的系统动作。这种情况如果出现在新组装电脑上应该首先检查CPU是否插牢或更换CPU，而正在使用的电脑的CPU损坏的情况比较少见（人为损坏除外），损坏时一般多带有焦糊味，如果刚刚升级了BIOS或者遭遇了CIH病毒攻击，这要考虑BIOS损坏问题（BIOS莫名其妙的损坏也是有的），修复BIOS的方法很多杂志都介绍过就不重复了；确认CPU和BIOS没问题后，就要考虑CMOS设置问题，如果CPU主频设置不正确也会出现这种故障，解决方法就是将CMOS信息清除，既要将CMOS放电，一般主板上都有一个CMOS放电的跳线，如果找不到这个跳线可以将CMOS电池取下来，放电时间不要低于5分钟，然后将跳线恢复原状或重新安装好电池即可；如果CPU、BIOS和CMOS都没问题还要考虑电源问题：PC机电源有一个特殊的输出信号，称为POWERGOOD（PG）信号，如果PG信号的低电平持续时间不够或没有低电平时间，PC机将无法启动。如果PG信号一直为低电平，则PC机系统始终处于复位状态。这时PC机也出现黑屏、无声响等死机现象。但这需要专业的维修工具外加一些维修经验，因此，建议采用替换法；电源没有问题就要检查是否有短路，确保主板表面不和金属（特别是机箱的安装固定点）接触。把主板和电源拿出机箱，放在绝缘体表面，如果能启动，说明主板有短路现象；如果还是不能启动则要考虑主板问题，主板故障较为复杂，可以使用替换法确认，然后更换主板。现象三：电源指示灯亮，系统能启动，但系统在初始化时停住了，而且可以听到嗽叭的鸣叫声（没有视频）：根据峰鸣代码可以判断出故障的部位。ccid_page/AwardBIOS1短声：说明系统正常启动。表明机器没有问题。2短声：说明CMOS设置错误，重新设置不正确选项。1长1短：说明内存或主板出错，换一个内存条试试。1长2短：说明显示器或显示卡存在错误。检查显卡和显示器插头等部位是否接触良好或用替换法确定显卡和显示器是否损坏。1长3短：说明键盘控制器错误，应检查主板。1长9短：说明主板FlashRAM、EPROM错误或BIOS损坏，更换FlashRAM。重复短响：说明主板电源有问题。不间断的长声：说明系统检测到内存条有问题，重新安装内存条或更换新内存条重试。AMIBIOS1短：说明内存刷新失败。更换内存条。2短：说明内存ECC较验错误。在CMOS中将内存ECC校验的选项设为Disabled或更换内存。3短：说明系统基本内存检查失败。换内存。4短：说明系统时钟出错。更换芯片或CMOS电池。5短：说明CPU出现错误。检查CPU是否插好。6短：说明键盘控制器错误。应检查主板。7短：说明系统实模式错误，不能切换到保护模式。8短：说明显示内存错误。显示内存有问题，更换显卡试试。9短：说明BIOS芯片检验和错误。1长3短：说明内存错误。内存损坏，更换。1长8短：说明显示测试错误。显示器数据线没插好或显示卡没插牢。现象四：系统能启动，有视频，出现故障提示，这时可以根据提示来判断故障部位。下面就是一些常见的故障提示的判断：一、提示“CMOSBatteryStateLow”原因：CMOS参数丢失，有时可以启动，使用一段时间后死机，这种现象大多是CMOS供电不足引起的。对于不同的CMOS供电方式，采取不同的措施：1.焊接式电池：用电烙铁重新焊上一颗新电池即可；2.钮扣式电池：直接更换；3.芯片式：更换此芯片，最好采用相同型号芯片替换。如果更换电池后时间不长又出现同样现象的话，很可能是主板漏电，可检查主板上的二极管或电容是否损坏，也可以跳线使用外接电池，不过这些都需要有一定的硬件维修基础才能完成。二、提示“CMOSChecksumFailure”CMOS中的BIOS检验和读出错；提示“CMOSSystemOptionNotSet”，CMOS系统未设置；提示“CMOSDisplayTypeMismatch”，CMOS中显示类型的设置与实测不一致；提示“CMOSMemorySizeMismatch”，主板上的主存储器与CMOS中设置的不一样；提示“CMOSTime&DateNotSet”，CMOS中的时间和日期没有设置。这些都需要对CMOS重新设置。三、提示“KeyboardInterfaceError”后死机原因：主板上键盘接口不能使用，拔下键盘，重新插入后又能正常启动系统，使用一段时间后键盘无反应，这种现象主要是多次拔插键盘引起主板键盘接口松动，拆下主板用电烙铁重新焊接好即可；也可能是带电拔插键盘，引起主板上一个保险电阻断了（在主板上标记为Fn的东西），换上一个1欧姆／0.5瓦的电阻即可。四、自检过程中断在xxxKCache处这表示主板上Cache损坏，可以在CMOS设置中将“ExternalCache”项设为“Disable”故障即可排除。同理，在自检主板部件时出现中断，则可以认为该部件损坏，解决方法一般可以在CMOS中将其屏蔽，如果不能屏蔽该部件最好更换主板。五、提示“FDDControllerFailure”BIOS不能与软盘驱动器交换信息；提示“HDDControllerFailure”，BIOS不能与硬盘驱动器交换信息。应检查FDD（HDD）控制卡及电缆。六、提示“8042GateA20Error”8042芯片坏；提示“DMAError”，DMA控制器坏。这种故障需要更换。七、提示“DisplaySwitchNotProper”主板上的显示模式跳线设置错误，重新跳线。八、提示“KeyboardisLock...Unlockit”键盘被锁住，打开锁后重新引导系统。九、IDE接口设备检测信息为：“DetectingPrimary（或Secondary）Master（或Slave）...None”表示该IDE接口都没有找到硬盘，如果该IDE口确实接有硬盘的话，则说明硬盘没接上或硬盘有故障，可以从以下几方面检查：1、硬盘电源线和数据线是否接触不良，或换一根线试试；2、CMOS设置有无错误，进入CMOS将“PrimaryMaster”、“PrimarySlave”、“SecondaryMaster”三项的的“TYPE”都设置成“Auto”；3、替换法确认硬盘本身有故障。十、IDE接口设备检测信息下面显示“Floppydisk(s)fail(40)”出错信息表示CMOS所指定的软盘驱动器有问题。判断和解决的方法与硬盘相似。现象五：系统不能引导。这种故障一般都不是严重问题，只是系统在找到的用于引导的驱动器中找不到引导文件，比如：BIOS的引导驱动器设置中将软驱排在了硬盘驱动的前面，而软驱中又放有没有引导系统的软盘或者BIOS的引导驱动器设置中将光驱排在了硬盘驱动的前面，而光驱中又放有没有引导系统的光盘，这个都很简单，将光盘或软盘取出就可以了，实际应用中遇到“DiskBootFailure，InsertSystemDiskAndPressEnter”的提示，多数都是这个原因。如果是硬盘不能引导的话一般有两种情况：一种是硬盘数据线没有插好，另一种就是硬盘数据损坏。前者一般多会出现硬盘容量检测不正确和引导时出现死机的现象；后者则是干脆找不到引导文件或提示文件损坏。前者只需重新连接好数据线即可；后者则需要用win98的启动软盘或启动光盘启动，根据实际情况来定：一、提示“Invalidpartitiontable”或“NotFoundany[activepartition]inHDDDiskBootFailure，InsertSystemDiskAndPressEnter”，这说明找不到硬盘活动分区，需要对硬盘重新分区。二、提示“Missoperationsyste”，说明硬盘活动分区需要重新格式化（formatc:/s）。三、提示“InvalidsystemdiskReplacethedisk，andthenpressanykey”或显示“StartingWindows98…”时出现死机，说明硬盘上的系统文件丢失了或损坏，使用“sysc:”，命令传递系统文件给c盘，再将C拷贝给c盘。现象六：硬盘可以引导，但Windows不能正常启动，也不能进入安全模式。这种情况表明Windows98出现了严重的错误，首先，用杀毒软件查杀病毒，看是不是病毒造成的，如果没有发现病毒可以用以下方法试一试。一、直接将接口卡与各个外设都拨去，再插回去，并调整接口卡上的设置（如果可以的话）来检查是否是硬件冲突造成，开机看看是否可正常进入Windows。二、检查CMOS中的设置是否有不正确的地方，若不清楚，可选择LoadBiosDefault项目，然后重开机，开机看是否可正常进入Windows。三、在启动时按下F8键，一般会出现6个选项（如果安装了DOS6.22则出现7个选项）选择第4项“step－by－s