广州星光科技有限公司网络规划与设计

广州星光科技有限公司网络规划与设计摘要：随着互联网的井喷式快速发展，网络的更新换代节奏越来越来，特别地华为开启5G时代到来，实现真正意义上的万物互联。无论是各行各业还是百姓的生活均离不开网络，因此企业在如今信息大爆发的互联网时代下，构建属于自己的网络加入到世界网络上就显得尤为重要。构建方便、安全、快捷的网络实现员工的自动化办公，信息资源共享是迫在眉睫的。本毕业设计以科技公司的网络作为网络规划为背景，对一些中小型企业对于网络的需求进行综合概括，再进行规划与设计出合适可行的方案。利用自己所学的知识以及外面资源的帮助，利用网络技术IPsecVPN技术、NAT地址转换技术、VRRP路由的冗余备份等各种相关的技术来实现内部与外部的网络之间的相互通信。最后通过华为的模拟器eNSP进行网络拓扑图设计以及进行实验测试，验证本次毕业设计是可行的。关键字词：互联网，网络技术，网络规划GuangzhouXingguangTechnologyCo.,Ltd.networkplanninganddesignAbstract:WiththerapiddevelopmentoftheInternet,therhythmofnetworkupgradesisbecomingmoreandmorefrequent.Inparticular,Huaweihasstartedthe5Geraandrealizedtherealinterconnectionofallthings.ItisinseparablefromtheInternetinallwalksoflifeandinthelivesofordinarypeople.Therefore,intheeraoftheinformationexplosionintoday'sInternet,itisevenmoreimportantforcompaniestobuildtheirownnetworksandjointheworldnetwork.Tobuildaconvenient,secure,andfastnetworktoautomateofficeworkforemployees,informationresourcesharingisimminent.Thisgraduationdesigntakesthenetworkoftechnologycompaniesasthenetworkplanningbackground,summarizesthenetworkrequirementsofsomesmallandmedium-sizedenterprises,andthenplansanddesignssuitableandfeasiblesolutions.Utilizetheknowledgeyouhavelearnedandthehelpofexternalresources,usenetworktechnologyIPsecVPNtechnology,NATaddresstranslationtechnology,VRRProutingredundantbackupandotherrelatedtechnologiestoachieveinternalandexternalnetworkcommunication.Finally,Huawei'ssimulatoreNSPwasusedtodesignthenetworktopologydiagramandconductexperimentalteststoverifythatthegraduationdesignisfeasible.Keywords:Internet,networktechnology,networkplanning目录TOC\o"1-3"\h\u1绪论 11.1课题背景 11.2课题意义 11.3论文设计结构 22需求分析 32.1网络建设需求分析 32.2办公网络主干分析 33公司网络逻辑设计 53.1网络设计原则 53.2公司网络整体拓扑设计 53.2.1公司网主干结构设计 53.3.2公司内部通信网络结构设计 63.3IP地址设计 73.2.1IP地址规划 73.2.2网络地址分配 73.2.3vlan的划分 73.4设备选型 83.4.1核心层设备 83.4.2汇聚层设备 103.4.3接入层设备 103.4.4服务器设备 114技术实施方案 134.1vlan技术 134.2ACL访问控制列表技术 134.3IPSG技术 154.4防火墙技术 164.5NAT网络地址转换协议 174.6OSPF动态路由协议 184.7无线网络的搭建 194.8DHCP服务器搭建 205网络连通性测试 235.1不同vlan之间的通信 235.2验证DHCP服务 235.3验证Ftp、Http服务器 255.4验证NAT地址 276结论 28参考文献 29致谢 30 绪论课题背景在当今时代，随着5G时代的到来，企业对于网络的需求依赖度不断地提高，甚至到了离不开网络地步，网民们无论在生活上还是工作上都离不开网络，网购、支付包（微信）支付、外卖等等都与网络息息相关，而在工作上，今年突遇新冠病毒的影响，网课、网上办公更是需要网络的支持；因此，网络成为人们生活、学习和工作上必须的部分。而对于一个企业来说，部署自己的网络环境更是必不可少的。一个企业拥有自己的网络是必须的，而以IT技术、互联网发展的公司更是如此了。因此很多企业现急需开始建设自己的网站以及在各种各样的自媒体上来宣传自己的品牌，来提高公司的知名度。办公话自动化极大的提高了企业的办事效率，企业的局域网也给员工带来了很大的方便性。广州星光科技有限公司现在要由番禺区搬迁到天河区，是一家以数据存储、应用安全、技术为核心业务的高新技术企业。现星光科技有限公司有意向成为具备为国内外企业提供云数据存储、信息安全、软件开发、安全技术服务等方案解决能力的快速发展型公司，因此需快速建设一套稳定、快捷、安全的网络环境，网络需要实现网络互通、信息共享、实时在线更新最新的资源、无纸化办公、高宽带覆盖全公司网络WiFi。因此公司现急需建设一套稳定高速的网络系统，适应新的办公地址，用以保证搬迁之后公司即可正常上班，使用公司网络环境，不影响到公司业务的正常运行课题意义本次课题的意义是研究适应当前中小型企业对于网络系统环境的需求，为中小型企业对于网络的建设提供一个可靠低成本的网络规划与设计方案。对于本次课题的公司网络建设，主要通过了解公司对于网络的需求进行分析，选择当前市场上功能强大成本的网络设备，利用自己所有的网络知识和在实践过程中学到的知识，对ACL技术、防火墙技术、无线技术等搭建好公司的网络，目的是保证公司内部网络可以高效的进行数据传输与交换，与外网进行实时有效的信息交流，达到满足一般中小型企业的对于网络的需求，在保证公司络的通信的质量后，也需要为公司未来的可持续升级改造做一个方案设想。1.3论文设计结构本次论文的设计第一章主要介绍课题的背景及课题意义；第二章对星光科技有限公司对于网络需求进行分析；第三章在遵循网络规划的原则上对网络进行规划和设计，且公司对于使用的IP地址进行划分以及选择合适的网络设备；第四章对于网络建设所采用的技术进行介绍，采用安全先进的技术保证公司网路的建设；第五章通过搭建模拟实验环境测试本次论文设计方案的网络连通性；第六章对本次论文设计进行总结。需求分析2.1网络建设需求分析公司主要建设一个功能强大的网络系统，还需建立一台DNS服务器，便于用域名访问服务器，一台FTP服务器，用于公司平常的资料简单共享，上传、下载需求。当前建设的企业级网络系统大部分以光纤做为传输媒介进行支撑、以相应的网络技术为关键、以华为的核心级交换机为数据的流通中心、各部门信息中心的网络部署为多节点的的分层结构、满足公司各部门进行工作职能相关的网络功能需求、信息资源共享统一的网上应用系统，再进一步发展成为独立的多功能网络应用平台。本次设计的目标是建设公司的办公信息网络交换平台，各部门信息集中化的网络系统。设计一个网络系统的需求有以下这几个条件：安全、高效、方便的计算机网络系统。内部的网络，以B/S或C/S的方式实现最新信息的收送。内部的建立电子邮件系统（企业邮箱）、实现公司重要文件的传递。各种文件资源及实时信息的共享，实现人性化管理。2.2办公网络主干分析公司还需要建立一个高速、安全、稳定的数据网络控制中心。公司总有6个部门，分别管理层、销售部、信息部、后勤运营部、财务部、人力资源部；另外还有2个办公区，1个智能会议室，1个综合会议室。公司自行建设服务器给外网提供访问。另外各个部门计算机数量由所需决定，如人力资源部和财务部均有20台，行政主管会相对较少。现在公司属于网络建设初期，公司网络主要为以太网连接和无线WiFi覆盖；公司网络需求主要有以下几点：表2-1办公楼布局一层运营后勤部二层销售部人力资源部三层综合会议室智能会议室四层行政主管财务部五层专用机房（各种服务器）公司的主干网通过防火墙过滤规则后再与外界的互联网进行对接，实现与外网的信息共享与交换，其余的各子网接入公司内部的主干通信局域网。主干网接入互联网是有线的综合宽带网，速率在100Mbps上下；主干为1000M的光纤线路，其它部署为超五类双绞线。公司网络逻辑设计网络设计原则一个企业级网络系统环境的设计需要符合原则，其中包括网络设计要求、网络拓扑的设计、IP地址的规划、需要的设备类型以及设计到的技术方案等。系统设计原则是建设企业智能化网络系统的基础和充分必要条件，在企业网络系统设计中应充分考虑：稳定性与高效性，先进和安全性等原则。稳定性与高效性：支持行业的主流标准，且符合未来的发展潮流。保证网络系统的稳定性，便于使用，方便管理和维护。先进性与安全性：采用目前网络技术的最新各种容错灾备技术和系统备份与恢复技术，用以保证公司网络系统有较高的安全可靠性。采用vlan技术划分IP、ACL访问控制列表，防火墙技术等安全控制措施，以保证系统的安全，不被外界入侵导致网络系统瘫痪。公司网络整体拓扑设计3.2.1公司网主干结构设计广州星光科技有限公司的主干网络主要以核心层、汇聚层、接入层的三层结构进行规划设计，其中在汇聚层旁挂无线设备，是WIFI网络服务可以覆盖全公司，保持员工在公司进行工作的网络全面畅通、无碍。公司的整体拓扑结构如图3-1所示：图3-1主干网网络拓扑图3.3.2公司内部通信网络结构设计公司内部通信网络主要为华为的二层交换机接入主机，以三层交换机代替路由器作为公司的核心层和汇聚层，使网络数据的交换更高速，进行自动获取路由表寻址到达目标。公司内部通信网络拓扑如图3-2所示：图3-2内部通信网络拓扑图3.3IP地址设计3.2.1IP地址规划（1）根据目前网络系统的结构和后续拓展，规划IP地址应遵循以下三个原则。唯一性：所有可用的网络设备IP地址是只有一个的，一个IP地址只能对应一台网络设备。连续性;在同一个通信网络区域的的设备，需划分为同一网段的连续网络地址，用于方便规划以及提高交换机时路由寻找路径的效率。高效性：应采用可变长子网掩码技术进行划分IP地址网段，要求采用支持可变长子网掩码技术的TCP/IP协议族。（2）业务地址的划分可按照两个原则来分配。通过公司的部门进行IP地址规划，每个部门独立分配一个的网段，配置不同的vlan；此方案目前适合公司业务种类较少的情况，主要管理方便。通过公司的业务流向进行IP地址划分，一种业务分配一个网段，所有的目标客户同一业务的使用同一网段进行配置，此方案比较适合各业务之间的访问控制。3.2.2网络地址分配IP地址的划分主要包含以下三个方面;网络设备和互连链路的地址划分部门IP地址划分服务器IP地址划分根据以上IP地址的划分原则，公司的IP地址的设计如下：公司办公楼：~553.2.3vlan的划分表3-1办公楼的vlan的划分部门/子网vlanIp地址网关DNS财务部vlan10/24管理层vlan20/24销售部vlan30/24人力资源部Vlan40/24前台Vlan40/24会议室vlan50/24后勤运营部vlan60/243.4设备选型核心层网络设备：三台华为s5700-24TP核心交换机,一台华为QuidwayAR28-11核心路由器。汇聚层网络设备：分为3部分，分别为：后勤运营部门子网、管理层行政子网、信息技术子网，共需3台华为QuidwayS3928F-EI三层交换机.接入层网络设备：每个部门分化一个vlan，每个vlan由4台华为QuidwayS2300二层交换机。3.4.1核心层设备图3.-3核心层交换机表3-2核心层交换机参数设备名称设备功能特性5570-24TP核心层交换机QOS：支持对端口接收和发送报文的速率进行限制支持报文重定向支持基于端口的流量监管，支持双速三色CAR功能每端口支持8个队列支持WRR、DRR、SP、WRR+SP、DRR+SP、队列调度算法支持报文的802.1p和DSCP优先级重新标配选择华为S5700-24TP-SI(AC)，如上图3-3、表3-2所示，该设备为千兆以太网交换机，应用于三层功能全面，性能强大，适合做企业的核心交换机。图3-4华为QuidwayAR28-11核心路由器表3-3核心路由器参数功能参数防火墙内置防火墙纠错Qos支持支持VPN支持支持网络管理console、RMON、SNMP、TELNET、管理软件其它参数处理器MPC8241200MHz产品内存DRAM内存；128MBFLASH内存32MB纠错电源电压AC100-240V，50/60Hz,DC-48--60V产品尺寸442X315X44mm如上图3-4和表3-3可知，华为QuidwayAR28-11核心路由器WAN/LAN是多业务路由器。是面向运营商网络和企业用户的网络产品。3.4.2汇聚层设备图3-7华为QuidwayS3928F-EI交换机表3-4QuidwayS3928F-EI交换机参数网络参数网络标准IEEE802.3,IEEE802.3u,IEEE802.3d,IEEE802.3ab,IEEE802.3x传输模式全/半双工自适应CLI支持命令接口（CLI）配置，支持telnet远程配置，支持通过console配置，支持SNMP，支持rmon1,2,3,9组MIB，支持华为Imanger®N2000DMS网管系统堆叠功能能堆叠端口参数接口数量26个接口类型24个百兆STP口，2个千兆STP口和2个10/100/1000M电口模块化插槽数2个其它安全性用户分级管理和口令保护支持IEEE802.1X认证支持AAA、Radius、HWTACACS认证支持MAC地址学习数目限制支持MAC地址与端口绑定如上图3-7和表3-4可知，华为QuidwayS3928F-EI交换机系统采用IRE（智能弹性架构）技术，将多台分散的设备组成同一的交换矩阵，非常适合作为可拓展性、可靠性、安全性和易管理性的办公网、业务网和驻地网的汇聚层交换机；提供基于WLAN的批量ACL下发，支持对报文的过滤、优先级设置，保障高优先级业务和用户的安全需求。3.4.3接入层设备图3-9华为QuidwayS2300接入交换机表3-5华为QuidwayS2300接入交换机参数网络参数网络标准IEEE802.3,IEEE802.3u,IEEE802.3d,IEEE802.3ab,IEEE802.3x网管功能支持命令接口（CLI）配置，支持telnet远程配置，支持自动配置功能，支持SNMP，支持V1/V2/V3，支持RMON，支持集群管理HGMPV2堆叠功能不能堆叠端口参数接口数量26个接口类型10/100

BASE-T,10/100/1000Base-T,100/1000

Base-X/STPCOMBO模块化插槽数2个其它是否支持全双工全、半双工网管支持可网管型电气规格电源电压额定电压范围：-48--60Vdc

最大电压范围：-36--72Vdc额定功率<15.5W外观参数重量<2.4KG长度442mm宽度220mm高度43.6mm如上图3-9和表3-5可知华为QuidwayS2300接入交换机是新一代智能的接入交换机，面向IP城域网和企业网，可以实现以太网多业务承载以及各种以太接入场景；可以为用户有效地提高产品可运营、可管理、业务拓展能力，具备优异的防雷能力和安全特性，支持acl、QINQ等功能，满足WLAN灵活部署的需求。3.4.4服务器设备服务器是公司的重要网络设备之一，提供公司内部许多服务的支撑，比如ftp服务等，因此需要根据公司的需求选择合适的服务器设备，如下图3-11所示：图3-11IBMSystemx3650M2表3-6IBMSystemx3650M2参数内存内存类型ECCDDR3内存容量2GB*3最大内存128GB存储硬盘类型SAS/SATA光驱可选网络网络控制器集成的双千兆以太网其它参数PCI拓展槽4环境参数工作温度10-35℃工作湿度8%-85%工作高度2133m存储温度10-43℃存储湿度5%-9%存储高度2133m如表3-6可知，IBMSystemx3650M2拥有多功能和可靠的技术，是属于节能智能型的服务器设备。X3650M2拥有先进的虚拟化功能，还提供每个内核内存容量，支持功效、经济的实施虚拟化。技术实施方案4.1vlan技术Vlan称为虚拟局域网，虚拟局域网VLAN是一组在逻辑上的设备和用户，这些设备和用户并不会受到物理网段的限制。可以依据公司的每个部门业务工作性质和网络需求，公司的办公通信网络按照部门业务进行vlan的划分，每个部门划分为不同的vlan网段，同在一个VLAN网段的网络，部署端口隔离技术。端口隔离技术，具备以下优点：（1）规避广播风暴的发生。Vlan技术能够提供建立防火墙的机制，禁止公司的网络发生过量广播数据。采用VLAN技术可以缩减广播流量，释放冗余的带宽给用户使用，降低广播流量的产生。（2）保障公司网络安全。在公司的汇聚层接入层交换网络，划分为不同的VLAN网段之间是不可以直接进行数据通信的，要通过在三层交换网络进行验证之后才能相互访问进行通信，用来提高公司网络安全，降低发生意外事件导致泄露隐秘信息和数据的可能，保障公司的隐私，为公司通信网络建设安全的上网环境。（3）采用VLAN技术还可以减少公司建设网络系统的成本，增加员工工作的效率，让网络系统方便进行管理，增强网络的灵活性等优势。在同一个部门不相同的物理网段结点能够被划分为同一逻辑子网。对于网络数据和信息资源中心，例如技术部门、财务部门等重要部门应要使用基于传统的MAC地址来进行WLAN划分技术，降低发生IP地址冲突或被盗用等其它的安全问题。4.2ACL访问控制列表技术ACL访问控制列表技术是保证公司通信网络信息安全的主要策略，它的主要目的是保障网络资源不被外界和内部员工的非法使用和访问，它是保证公司网络安全最重要的核心策略之一。让公司员工在工作的不同进行工作上的的事情；提高公司整体的工作效率。公司网络访问控制列表定义为：公司各部门之间的网络不能够相互访问，在路由器的出口处进行检验，禁止公司的财务和后勤部门访问外网互联网。[Switch]acl3001[Switch-acl-adv-3001]ruledenyipsource55destination55//禁止后勤部访问财务[Switch]time-rangerest-time0:00to23:59every-day[Switch-acl-basic-2001]ruledenysource55time-rangerest-time//禁止财务和后勤部门访问外网使用ACL限制除了后勤和保安部门不能访问服务器之外的所有部门只能在在工作日8：00~21：00时间段可以访问ftp服务器，不能使用QQ、优酷视频网站。//配置时间段：time-rangeftp-access08:00to21:00working-daytime-rangeftp-accessfrom00:002019/5/1to23:592025/5/1time-rangeYouKu08:00to18:00working-daytime-rangeQQ08:00to18:00working-dayaclnumber2001//ftp服务器的限制rule10permitsource55time-rangeftp-accessrule20denysource55rule25denysource55aclnumber2002//限制员工在工作时间不能访问QQ、优酷rule5denysource55time-rangeQQrule10denysource55time-rangeYouKuSNMP中应用ACL过滤非法网管[Switch]snmp-agentmib-viewincludedisoview01system//配置MIB视图isoview01能够访问system子树。[Switch]snmp-agentmib-viewincludedisoview02interfaces//配置MIB视图isoview02能够访问interfaces子树。配置团体名，系统管理员在添加新的交换机时，使用团体名进行验证，同时应用设置访问控制，使访问控制策略生效。[Switch]snmp-agentcommunityreadadminnms01mib-viewisoview01acl2001//配置adminnms01对system子树具有只读权限。[Switch]snmp-agentcommunitywriteadminnms02mib-viewisoview02acl2001//配置adminnms02对interface子树具有读写权限。配置告警主机，并使能交换机主动发送Trap消息的功能。[Switch]snmp-agenttrapenableWarning:AllswitchesofSNMPtrap/notificationwillbeopen.Continue?[Y/N]:y//打开交换机上所有的Trap开关。缺省情况下仅打开了部分告警开关，可通过displaysnmp-agenttrapall命令查看。[Switch]snmp-agenttarget-hosttrapaddressudp-domainparamssecuritynameadminnms01v14.3IPSG技术IP源防护是一种基于IP/MAC的端口流量过滤技术，它能够防止在同一局域网内的IP地址被欺骗攻击。IPSG能够确保第2层网络中终端设备的IP地址不会被劫持，而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。可以限制公司的电脑或员工的电脑禁止私自改动ip地址，防止发生IP地址冲突，造成一系列的网络瘫痪，同时限制非法主机访问内网，造成公司文件数据库的外泄、技术的核心内容被盗，造成不可估计的损失。配置IPSG防止静态主机私自更改IP地址aclnumber3001//配置ACLrulepermitipsource0//允许上网的主机ruledenyipsource55trafficclassifierc1/if-matchacl3001//配置基于ACL的流分类trafficbehaviorb1/permit//配置流行为trafficpolicyp1/classifierc1behaviorb1//配置流策略user-bindstaticip-addressmac-address0002-0002-0002interfacegigabitethernet0/0/1//创建Host_1的静态绑定表项配置IPSG限制非法主机访问内网[Switch]user-bindstaticip-addressmac-address0001-0001-0001interfacegigabitethernet0/0/1//创建Host_1的静态绑定表项[Switch]dhcpenable//使能DHCP功能[Switch]dhcpsnoopingenable//使能全局DHCPSnooping功能[Switch]interfacegigabitethernet0/0/4[Switch-GigabitEthernet0/0/4]dhcpsnoopingtrusted//配置信任接口4.4防火墙技术防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙是一种保护计算机网络安全的技术性措施，它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络，以阻挡来自外部的网络入侵。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术公司在进行网络规划时需要添加防火墙设备来保证内部网络的安全。这里，将外网划分为untrust安全区域，安全等级为5；服务器群划分到dmz区域，安全等级为50；办公局域网划分到trust区域，安全等级为150。不同区域间数据流通需要配置相关的安全策略。为了防止黑客利用公司的IP进行地址恶意攻击服务器，因此需配置安全策略，仅允许服务器向办公楼发送服务数据，禁止外网的主机设备向服务器集群发送协议服务。配置安全策略的命令如下：policyinterzonetrustdmzoutboundpolicy1policysource55policydestination55policyserviceservice-setdnspolicyserviceservice-sethttppolicyserviceservice-setftpactionpermit//允许内网的所有主机能够享受到dmz区域内网段提供的http服、dns服务和ftp服务通过上述命令，仅允许服务器集群向小区局域网发送dns服务、http服务和访问ftp服务器。能够保证公司局域网络的性能优化，同时避免服务器集群被攻击。4.5NAT网络地址转换协议由于公司网络系统终端较多，不可能为每个都分配ip地址，所以，在公司网络设计的时候网络系统可以使用NAT网络地址转换技术把公司的私有IP地址转化为合法的公有IP地址，再接入到外界网络，以保证公司网络能够正常的访问互联网。由于公司网络系统比较复杂，我们采用动态网络地址转换技术。内部地址为公司各部门的网络地址，具体如下：表4-1公司网络地址转换地址：Ip内部地址：-/24/24公用地址池：-外部地址配置nat地址池:Nataddress-group1Modefull-conelocalSection1配置nat策略:Nat-policyinterzonetrustuntrustoutboundPolicy1Policysource55Actionsource-natAddress-group14.6OSPF动态路由协议公司网络使用OSPF动态路由协议，可以保障公司的路由表信息进行实时更新。由于公司网络的接入点较多，网络结构比较复杂，如果采用静态路由技术进行配置，系统管理员配置的工作量会大大增加同时也会不方便进行管理，并且OSPF收敛的速度快，可以控制自身的开销值少。所以公司网络采用ospf动态路由协议，具体的的配置实现过程如下所示：在公司所有的的汇聚层交换机和防火墙上分别配置ospf协议，保证公司局域网内网络的连通信。在交换机配置：ospf1area0//区域默认为0network55//添加交换机直连网段network55通过上述命令，交换机会自动进行路由，并把直连路由自动分布出去，大大减少了人工成本时间。4.7无线网络的搭建无线局域网WLAN已经成为当前企业IP网络建设不可或缺的一部分。关于公司员工正常的工作，无线局域网当前来说主要设计到的领域一般归结为以下三个方面：数据处理，语音通讯，实时定位。给公司搭建一套无线局域网系统，实现公司区域全面网络覆盖，实现公司的每楼层，每区域都能连接到网络。主体的骨干网络拓扑如下：图4-1无线网拓扑图配置命令如下：配置Trunk命令：vlanbatch100101102103]interfaceGigabitEthernet0/0/1port link-type trunkport trunk pvidvlan 100 port trunk allow-pass vlan 100101102配置虚拟端口IP：DhcpenableInterfacevlanif100Ipaddress24Dhcpselectinterface配置ACwlan基础配置wlan ac-global ac id 1 carrier id other wlan ac-global country-code CN [AC]wlanWlanacsourceinterfacevlanif100Ap-auth-modeno-auth配置ACWLAN业务参数#创建wlan-ess接口interfacewlan-ess0/porthybridpvidvlan101#创建wmm模板security-wmm-profilenamewmm#创建安全模板security-profilenamesecrity#创建流量模板traffic-profilenametraffilc4.8DHCP服务器搭建DHCP是一个局域网的网络协议，只要功能时可以给在局域网内部的主机进行自动分配动态ip地址，方便管理员对局域网内部的主机进行划分与管理，公司网络系统的接入点多，如果每台主机都进行手动分配静态ip地址，那么公司的管理员工作量会增加很多，同时在管理和维护公司的网络系统时也会增很多难度系数，为了节约网络建设成本，因此搭建DHCP服务器给主机进行自动分配IP是必要的，利用华为三层交换机在核心层搭建DHCP服务器。同时可以有效防止用户将不符合规范的的DHCP服务器接入到网络中，例如用户自带的无线路由器等，致使正常的用户获取到不正确的IP地址，从而上不了网或者导致正常用户获取到IP地址出现有冲突的情况，部需开始DHCPSnooping功能。给公司的主要部门搭建DHCP服务器，基于全局地址池如下：表4-2IP地址池vlanIp地址池网关DNSvlan20-540vlan30-540vlan40-540vlan50-540vlan60-540其中行政主管部门vlan20的配置如下图4-2所示：图4-2行政主管的DHCP服务拓扑图主要命令如下：配置vlanif:interfaceVlanif20ipaddressdhcpselectglobal配置全局地址池：ippoolvlan20gateway-listnetworkmaskexcluded-ip-address27//地址~127不参与自动分配leaseday999hour0minute0//租期999天dns-list配置DHCPsnooping仿冒者攻击dhcpsnoopingenableipv4开启DHCPsnooping服务interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan10dhcpsnoopingtrusted在公司的汇聚层交换机上搭建DHCP服务，配置上述命令，以后添加的计算机可以自动分配动态IP地址。

网络连通性测试5.1不同vlan之间的通信选择技术部（vlan20）的一台主机PC3，查看主机的IP地址，另一台为营销部（vlan30）的一台主机PC1。进行不同部门之间的网络联通测试是否可以通信，如下图所示：图5-1PC3pingPC1如上图5-1所示，公司的内部通信网络不同的部门之间是可以互通的5.2验证DHCP服务选择公司内部的一台主机设置为自动获取IP地址，用ipconfig查看是否会自动获取IP地址，再用另一台主机测试ping。图5-2PC2设置图5-3PC2IP地址图5-4如图5-2，图5-3的结果可知公司内部主机是可以自动获取到IP地址，并可以与其它主机通信。5.3验证Ftp、Http服务器在服务器设置ftp、http服务，并用营销部的一台主机进行获取ftp、http文件：图5-5ftp网址图5-6ftp开启图5-7http开启如上图5-5，图5-6，图5-7所示，发现ftp服务，http服务是已经开始。图5-8获取ftp文件图5-9获取http文件如上图5-8，图5-9可知，主机是可以发现能够ftp、http服务并获取成功，部门的主机可以在线访问ftp、http服务器。5.4验证NAT地址用行政主管的一台主机PC1连接外网,测试结果如下图5-10所示：图5-10PC1ping外网在防火墙上displayfirewallsessiontable查看会话列表，结果如图5-11所示：图5-11查看会话列表在防火墙上displayfirewallserver-map查看server-map表，结果如图5-12所示：图5-12查看server-map表上面输出的结果，表明防火墙进行了ip地址转换。内网对外网的访问包变成了的数据包。结论在将近四个月的艰辛与忙碌后，我的毕业设计终究可以画上一个较为圆满的句号。本次毕业设计以广州星光科技有限公司进行网络规划与设计为例，讲述了当今互联网企业网络的基本架构，通过各企业公司的网络需求，进行规范的网络规划与设计，设计与课题相符合的网络拓扑图，规划与设计有效的网络设备IP地址,使用VLAN技术划分IP，在本毕业次设计过程中，通过企业的实际成本以及性能需求，选择合适的网络设备，例如防火墙、交换机、ap设备等。本次毕业设计是结合运用了自己在大学三年里所学网络专业知识去规划当前企业的实际情况，设计了一个网络拓扑结构，是对所学知识的一个综合考察，和对实际项目的知识的学习。由于本次设计的实验结果多是在模拟器中实现，所以不能完全展现出当今企业网络所运用的技术，例如堆叠，网络监控等，仅仅只能最大接近。在未来的技术发展中，网络技术将会大幅度更新，所以本次设计也是一个基础的学习，为以后我的学习做铺垫。参考文献唐晓梦,刘昶.《IPSecVPN原理与配置》中国有线电视期刊，2016.8谢希仁．<<计算机网络>>（第5版）．电子工业出版社，2008年l月雷震甲 主编 .网络工程师(第三版). 北京：清华大学出版社. 2009.8 华为交换机学习指南[M].人民邮电出版社,王达,2013贺文华 邓系 罗一鹏 等著. 网络综合布线设计与实例（第二版）. 北京：电子工业出版社. 2008.7 MarkLucas，AbhishekSingh,ChrisCantrell.<<防火墙策略与VPN配置>>．中国水利水电出版社.2008年1月．SylwesterKaczmarek.<PerformanceEvaluationofPreemptionAlgorithmsinOSPFNetworks>.InternationalJournalofElectronicsandTelecommunications.2011祝晓明﹒《中大型企业的网络规划与设计》.大众科技，2009张凌云计算机网络［M］．北京：中国建筑工业出版社，2011NickFeamster.<Amodelof IRF routingfornetworkengineering>.ACMSIGMETRICSPerformanceEvaluationReview.2004致谢经过几个月的勤劳与努力，本次的毕业设计差不多接近尾声，当然由于自己经验上的匮乏，在本次的设计过程中难免的会遇到许多问题，自己对于很多出现的问题考虑不周，因此很感谢黄长江老师的细心指导与督促，以及同学们对我的帮助与支持。没有你们，也许本次的毕业设计不会如此顺利的完成。时光荏苒，岁月如梭，转眼毕业在即。回想在大学学习的四年时间里，顿时心中充满无限感激和留恋之情。感谢母校为我们提供的良好学习环境，使我们能够在此专心学习，陶冶情操。谨向我的论文指导老师黄长江老师致以最诚挚的谢意！另外，我非常感激我的父母。作为他们的孩子，我秉承了他们朴实、坚韧的性格，也因此我有足够的信心和能力战胜前进路上的艰难险阻；也因为他们的日夜辛劳，我才有机会如愿完成自己的大学学业，进而取得进一步发展的机会。最后，我必须感谢我的朋友，正是因为他们在网络技术上的无私指引，我才能得以顺利完成该论文。

电脑不启动故障诊治了解电脑启动的过程在诸多电脑故障中，无法正常启动是最令用户头痛的事了。笔者长期从事维护电脑的工作，在这个方面积累了一些经验，现在就将这些经验整理归纳出来与朋友们分享。本文将以家用电脑和windows98操作系统为基础，介绍电脑无法正常启动故障的诊治。要想准确地诊断电脑不启动故障，首先要了解的起动过程，当我们按下电源开关时，电源就开始向主板和其它设备供电，此时电压还没有完全稳定，主板控制芯片组会根据CMOS中的CPU主频设置向CPU发出一个Reset(重置)信号，让CPU初始化，电压完全稳定后，芯片组会撤去Reset信号，CPU马上从地址FFFF0H处执行一条跳转指令，跳到系统BIOS中真正的启动代码处。系统BIOS首先要做的事情就是进行POST(PowerOnSelfTest，加电自检)。POST的主要任务是检测系统中的一些关键设备(电源、CPU芯片、BIOS芯片、定时器芯片、数据收发逻辑电路、DMA控制器、中断控制器以及基本的64K内存和内存刷新电路等)是否存在和能否正常工作，如内存和显卡等。自检通过后，系统BIOS将查找显示卡的BIOS，由显卡BIOS来完成显示卡的初始化，显示器开始有显示，自此，系统就具备了最基本的运行条件，可以对主板上的其它部分进行诊断和测试，再发现故障时，屏幕上会有提示，但一般不死机，接着系统BIOS将检测CPU的类型和工作频率，然后开始测试主机所有的内存容量，内存测试通过之后，系统BIOS将开始检测系统中安装的一些标准硬件设备，这些设备包括：硬盘、CD－ROM、软驱、串行接口和并行接口等连接的设备，大多数新版本的系统BIOS在这一过程中还要自动检测和设置内存的相关参数、硬盘参数和访问模式等。标准设备检测完毕后，系统BIOS内部的支持即插即用的代码将开始检测和配置系统中已安装的即插即用设备。每找到一个设备之后，系统BIOS都会在屏幕上显示出设备的名称和型号等信息，同时为该设备分配中断、DMA通道和I/O端口等资源。最后系统BIOS将更新ESCD(ExtendedSystemConfigurationData，扩展系统配置数据)。ESCD数据更新完毕后，系统BIOS的启动代码将进行它的最后一项工作，即根据用户指定的启动顺序从软盘、硬盘或光驱启动。以从C盘启动为例，系统BIOS将读取并执行硬盘上的主引导记录，主引导记录接着从分区表中找到第一个活动分区，然后读取并执行这个活动分区的分区引导记录，而分区引导记录将负责读取并执行IO.SYS，这是Windows最基本的系统文件。IO.SYS首先要初始化一些重要的系统数据，然后就显示出我们熟悉的蓝天白云，在这幅画面之下，Windows将继续进行DOS部分和GUI(图形用户界面)部分的引导和初始化工作，一切顺利结束，电脑正常启动。根据故障现象诊治了解电脑启动的过程，故障就好判断了，下面我们就根据故障现象开始诊治了：现象一：系统完全不能启动，见不到电源指示灯亮，也听不到冷却风扇的声音。这时，基本可以认定是电源部分故障，检查：电源线和插座是否有电、主板电源插头是否连好，UPS是否正常供电，再确认电源是否有故障，最简单的就是替换法，但一般用户家中不可能备有电源等备件，这时可以尝试使用下面的方法（注意：要慎重）：先把硬盘，CPU风扇，或者CDROM连好，然后把ATX主板电源插头用一根导线连接两个插脚（把插头的一侧突起对着自己，上层插脚从左数第4个和下层插脚从右数第3个，方向一定要正确），然后把ATX电源的开关打开，如果电源风扇转动，说明电源正常，否则电源损坏。如果电源没问题直接短接主板上电源开关的跳线，如果正常，说明机箱面板的电源开关损坏。现象二：电源批示灯亮，风扇转，但没有明显的系统动作。这种情况如果出现在新组装电脑上应该首先检查CPU是否插牢或更换CPU，而正在使用的电脑的CPU损坏的情况比较少见（人为损坏除外），损坏时一般多带有焦糊味，如果刚刚升级了BIOS或者遭遇了CIH病毒攻击，这要考虑BIOS损坏问题（BIOS莫名其妙的损坏也是有的），修复BIOS的方法很多杂志都介绍过就不重复了；确认CPU和BIOS没问题后，就要考虑CMOS设置问题，如果CPU主频设置不正确也会出现这种故障，解决方法就是将CMOS信息清除，既要将CMOS放电，一般主板上都有一个CMOS放电的跳线，如果找不到这个跳线可以将CMOS电池取下来，放电时间不要低于5分钟，然后将跳线恢复原状或重新安装好电池即可；如果CPU、BIOS和CMOS都没问题还要考虑电源问题：PC机电源有一个特殊的输出信号，称为POWERGOOD（PG）信号，如果PG信号的低电平持续时间不够或没有低电平时间，PC机将无法启动。如果PG信号一直为低电平，则PC机系统始终处于复位状态。这时PC机也出现黑屏、无声响等死机现象。但这需要专业的维修工具外加一些维修经验，因此，建议采用替换法；电源没有问题就要检查是否有短路，确保主板表面不和金属（特别是机箱的安装固定点）接触。把主板和电源拿出机箱，放在绝缘体表面，如果能启动，说明主板有短路现象；如果还是不能启动则要考虑主板问题，主板故障较为复杂，可以使用替换法确认，然后更换主板。现象三：电源指示灯亮，系统能启动，但系统在初始化时停住了，而且可以听到嗽叭的鸣叫声（没有视频）：根据峰鸣代码可以判断出故障的部位。ccid_page/AwardBIOS1短声：说明系统正常启动。表明机器没有问题。2短声：说明CMOS设置错误，重新设置不正确选项。1长1短：说明内存或主板出错，换一个内存条试试。1长2短：说明显示器或显示卡存在错误。检查显卡和显示器插头等部位是否接触良好或用替换法确定显卡和显示器是否损坏。1长3短：说明键盘控制器错误，应检查主板。1长9短：说明主板FlashRAM、EPROM错误或BIOS损坏，更换FlashRAM。重复短响：说明主板电源有问题。不间断的长声：说明系统检测到内存条有问题，重新安装内存条或更换新内存条重试。AMIBIOS1短：说明内存刷新失败。更换内存条。2短：说明内存ECC较验错误。在CMOS中将内存ECC校验的选项设为Disabled或更换内存。3短：说明系统基本内存检查失败。换内存。4短：说明系统时钟出错。更换芯片或CMOS电池。5短：说明CPU出现错误。检查CPU是否插好。6短：说明键盘控制器错误。应检查主板。7短：说明系统实模式错误，不能切换到保护模式。8短：说明显示内存错误。显示内存有问题，更换显卡试试。9短：说明BIOS芯片检验和错误。1长3短：说明内存错误。内存损坏，更换。1长8短：说明显示测试错误。显示器数据线没插好或显示卡没插牢。现象四：系统能启动，有视频，出现故障提示，这时可以根据提示来判断故障部位。下面就是一些常见的故障提示的判断：一、提示“CMOSBatteryStateLow”原因：CMOS参数丢失，有时可以启动，使用一段时间后死机，这种现象大多是CMOS供电不足引起的。对于不同的CMOS供电方式，采取不同的措施：1.焊接式电池：用电烙铁重新焊上一颗新电池即可；2.钮扣式电池：直接更换；3.芯片式：更换此芯片，最好采用相同型号芯片替换。如果更换电池后时间不长又出现同样现象的话，很可能是主板漏电，可检查主板上的二极管或电容是否损坏，也可以跳线使用外接电池，不过这些都需要有一定的硬件维修基础才能完成。二、提示“CMOSChecksumFailure”CMOS中的BIOS检验和读出错；提示“CMOSSystemOptionNotSet”，CMOS系统未设置；提示“CMOSDisplayTypeMismatch”，CMOS中显示类型的设置与实测不一致；提示“CMOSMemorySizeMismatch”，主板上的主存储器与CMOS中设置的不一样；提示“CMOSTime&DateNotSet”，CMOS中的时间和日期没有设置。这些都需要对CMOS重新设置。三、提示“KeyboardInterfaceError”后死机原因：主板上键盘接口不能使用，拔下键盘，重新插入后又能正常启动系统，使用一段时间后键盘无反应，这种现象主要是多次拔插键盘引起主板键盘接口松动，拆下主板用电烙铁重新焊接好即可；也可能是带电拔插键盘，引起主板上一个保险电阻断了（在主板上标记为Fn的东西），换上一个1欧姆／0.5瓦的电阻即可。四、自检过程中断在xxxKCache处这表示主板上Cache损坏，可以在CMOS设置中将“ExternalCache”项设为“Disable”故障即可排除。同理，在自检主板部件时出现中断，则可以认为该部件损坏，解决方法一般可以在CMOS中将其屏蔽，如果不能屏蔽该部件最好更换主板。五、提示“FDDControllerFailure”BIOS不能与软盘驱动器交换信息；提示“HDDControllerFailure”，BIOS不能与硬盘驱动器交换信息。应检查FDD（HDD）控制卡及电缆。六、提示“8042GateA20Error”8042芯片坏；提示“DMAError”，DMA控制器坏。这种故障需要更换。七、提示“DisplaySwitchNotProper”主板上的显示模式跳线设置错误，重新跳线。八、提示“KeyboardisLock...Unlockit”键盘被锁住，打开锁后重新引导系统。九、IDE接口设备检测信息为：“DetectingPrimary（或Secondary）Master（或Slave）...None”表示该IDE接口都没有找到硬盘，如果该IDE口确实接有硬盘的话，则说明硬盘没接上或硬盘有故障，可以从以下几方面检查：1、硬盘电源线和数据线是否接触不良，或换一根线试试；2、CMOS设置有无错误，进入CMOS将“PrimaryMaster”、“PrimarySlave”、“SecondaryMaster”三项的的“TYPE”都设置成“Auto”；3、替换法确认硬盘本身有故障。十、IDE接口设备检测信息下面显示“Floppydisk(s)fail(40)”出错信息表示CMOS所指定的软盘驱动器有问题。判断和解决的方法与硬盘相似。现象五：系统不能引导。这种故障一般都不是严重问题，只是系统在找到的用于引导的驱动器中找不到引导文件，比如：BIOS的引导驱动器设置中将软驱排在了硬盘驱动的前面，而软驱中又放有没有引导系统的软盘或者BIOS的引导驱动器设置中将光驱排在了硬盘驱动的前面，而光驱中又放有没有引导系统的光盘，这个都很简单，将光盘或软盘取出就可以了，实际应用中遇到“DiskBootFailure，InsertSystemDiskAndPressEnter”的提示，多数都是这个原因。如果是硬盘不能引导的话一般有两种情况：一种是硬盘数据线没有插好，另一种就是硬盘数据损坏。前者一般多会出现硬盘容量检测不正确和引导时出现死机的现象；后者则是干脆找不到引导文件或提示文件损坏。前者只需重新连接好数据线即可；后者则需要用win98的启动软盘或启动光盘启动，根据实际情况来定：一、提示“Invalidpartitiontable”或“NotFoundany[activepartition]inHDDDiskBootFailure，InsertSystemDiskAndPressEnter”，这说明找不到硬盘活动分区，需要对硬盘重新分区。二、提示“Missoperationsyste”，说明硬盘活动分区需要重新格式化（formatc:/s）。三、提示“InvalidsystemdiskReplacethedisk，andthenpressanykey”或显示“StartingWindows98…”时出现死机，说明硬盘上的系统文件丢失了或损坏，使用“sysc:”，命令传递系统文件给c盘，再将C拷贝给c盘。现象六：硬盘可以引导，但Windows不能正常启动，也不能进入安全模式。这种情况表明Windows98出现了严重的错误，首先，用杀毒软件查杀病毒，看是不是病毒造成的，如果没有发现病毒可以用以下方法试一试。一、直接将接口卡与各个外设都拨去，再插回去，并调整接口卡上的设置（如果可以的话）来检查是否是硬件冲突造