国内外企业局域网建设现状及分析毕业论文.doc 44页

'第一章引言国内外企业局域网建设现状及分析毕业论文目录摘要IABSTRACTII目录III第一章引言11.1课题的背景11.2国内外企业局域网建设现状11.3企业局域网建设的目标与意义2第二章可行性研究和需求分析42.1技术可行性42.1.1NAT技术42.1.2VLAN技术52.1.3三层交换技术52.1.4ACL技术52.2需求分析62.2.1带宽性能需求62.2.2网络安全需求62.2.3应用服务需求62.3设计所需环境72.3.1硬件要求743 第一章引言2.3.2软件要求7第三章系统设计方案83.1系统设计原则83.1.1实用性83.1.2安全性83.1.3可扩充性83.1.4可管理性83.1.5高性能价格比93.2网络设备选型93.3系统总体设计和拓扑结构93.3.1系统总体设计方案103.3.2VLAN划分和IP地址规划12第四章交换模块144.1核心层交换机配置144.1.1设置核心交换机名称144.1.2启动三层交换机的路由功能144.1.3核心交换机接口设置144.1.4创建服务器群VLAN7154.1.5配置静态路由154.1.6默认路由配置164.2汇聚层交换机配置164.2.1设置交换机名称164.2.2配置G0/1接口174.2.3创建VLAN10-40174.2.4为各VLAN分配IP地址174.2.5将端口划入各个VLAN中184.2.6启动3560交换机路由功能184.2.7默认路由设置194.3DHCP设置1943 第一章引言4.3.1配置3560为DHCP服务器204.3.2配置客户端自动获取IP21第五章INTERNET接入模块225.1路由器基本参数配置235.2设置路由器R-2811-A各接口参数245.2.1路由器F0/0接口配置255.2.2路由器F0/1接口配置255.2.3验证路由器接口IP配置255.3NAT设置265.3.1设置路由器NAT275.3.2定义内部外接口275.3.3配置路由器的路由功能285.3.4验证地址转换295.4路由器的安全问题295.4.1对外禁用telnet协议305.4.2对外禁用snmp、snmptrap305.4.3对外屏蔽其他不安全的协议或服务305.4.4针对DoS攻击的设计31第六章远程访问模块326.1IPSec远程接入EVS设置326.1.1配置过程326.1.2认证策略336.1.3设置组策略336.1.4IKE阶段1策略346.1.5动态加密映射346.1.6静态加密映射356.2IPSec远程接入EVC设置356.3VPN访问连接测试3743 第一章引言总结39参考文献40致谢41引言1.1课题的背景随着近年来企业信息化建设的不断深入，企业的运作越来越融入计算机网络，企业的沟通、应用、财务、决策、会议等数据流都在企业网络上传输，全球的企业都在快速的进入一个崭新的网络信息时代，企业信息化建设已经成为衡量一个企业实力的重要标志。通过信息化提高企业的竞争力已成为大多数企业的共识。在现在企业中，普遍存在资金不足、信息基础薄弱、技术人员匮乏等特点，使得他们不能有效地将自身传统业务与信息系统很好的结合起来，以至于常常会出现投入不见效的情况。究其原因，在于企业信息化观念不够，信息系统没有总体设计原则，信息化建设缺乏规划，致使企业协同运作存在障碍，运营成本居高不下。作为企业的局域网，它不仅可以为企业提供高效的办公环境，还可以实现硬件资源和软件资源的共享从而节省了企业大量开支，又便于集中管理和提高工作效率。其次企业局域网要实现内部网络与外部网络的连接，从而极大的方便了企业和外界的沟通，这样不仅可以降低企业的生产成本，也可以实现异地办公。企业用户可以方便地传输各类数据，开展各类网络应用。随着我国计算机网络技术尤其是Internet技术的高速发展，加快对企业局域网建设迫在眉睫。因此构建一个“安全可靠、性能卓越、管理方便”的企业局域网，已经成为企业信息化建设成功的关键基石。43 第一章引言本课题的设计需要综合运用各种知识来完成本课题，不仅可以使我进一步掌握计算机网络原理、熟悉企业局域网的设计搭建，而且可以增强了我的自学能力和动手能力。1.1国内外企业局域网建设现状目前，计算机网络被广泛应用于个人、工商业、教育业、各级政府、各种军事单位等多种场合，社会各部门都可以通过网络实现信息快捷可靠的无缝连接和共享，计算机网络已遍及社会的每个领域，成为当今社会的一个基本元素。国外欧美的发达国家的企业在局域网建设走的比较早，随着网络技术的不断进步以及通信产品技术的不断完善，现在欧美发达国家企业局域网建设完全达到了办公自动化，而且宽带大，速度快，超过一半以上的企业拥有自己的网站，成为对外联络的主要窗口，企业内部网络安全等级较高。国内企业局域网建设近年来有了长足的发展，但和欧美发达国家的企业局域网相比还有着明显的不足主要体现在：1、低水平重复建设且成本高昂：各部门拥有相对独立的信息系统，资源分散于各部门之中，容易形成信息孤岛。2、管理信息和反馈信息不能迅速传递：随着企业的发展，数据信息流不断增加，对于各部门管理提出了快速响应的要求。随着计算机网络技术的飞速发展，与社会生活关系最紧密的局域网也得到越来越广泛的应用——事实上，局域网已是目前应用最广泛的一类网络。局域网拥有组建灵活、功能强大、维护便捷等优点，也正因为这样，局域网才成为计算机网络领域的明星，受到越来越多用户的欢迎；也正是因为局域网的出现，使计算机网络的威力获得了更充分的发挥，使得计算机网络在很短的时间内就深入到社会的各个领域。同时，局域网技术也因而成为目前最为活跃的技术领域之一，各类局域网层出不穷并得到了广泛的应用，极大地推进了整个社会的信息化发展。1.2企业局域网建设的目标与意义企业信息化建设是国际信息化的基础和重要组成部分，是提高企业办事效率，提高企业综合素质，是企业不断迈上新的台阶，成为一流企业的有效措施。43 第一章引言企业局域网的建设的目标是为全企业人员提供一个信息交流和合作平台，在需要连接Internet时，以充分利用因特网上的资源，实现对外（企业与企业，企业与社会）的信息发布、交流与合作，对于企业的发展具有积极的社会意义与经济效益：1、扩大企业在社会上的影响力，提高其知名度，为外界了解企业文化提供一个简单、便捷的窗口。2、在整个企业内部提供一个良好的信息传递通道，企业内部的政策、资源、通知可以在全企业进行迅速传递。3、实现企业的办公自动化，有效地降低了办公地成本。4、企业的各级领导得以最快、最有效的方式对企业内部运作过程中的各种信息进行有效了解并采取有效措施，同时得到全面的决策支持。5、企业内部人员可以方便安全的访问外部因特网。6、流行、先进、合适的应用软件开发技术和办公自动化系统，构造具体的应用环境。43 第二章可行性研究和需求分析第一章可行性研究和需求分析1.1技术可行性1.1.1NAT技术NAT技术主要实现内部网络地址转换，静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址，这样方便外网用户访问企业Web网；动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换（PAT）是把内部地址映射到外部网络的一个IP地址的不同端口上，把企业内部网IP转换为公网IP地址，使内部用户可以方便的访问Internet。目前，NAT技术主要用于连接和安全方面。目前企业内部网络用户数量大，而能申请的合法的全球唯一IP地址有限。NAT能够有效的解决企业IP地址短缺问题，利用NAT技术能够实现多个用户共同使用一个合法的IP地址连接互联网。而另一种需要出于安全方面来考虑，在一定程度上防范网络攻击的发生。企业期望隐藏LAN内部网络结构，NAT可以将内部LAN与外部Internet隔离，使外部网络用户无法了解通过NAT设置的内部IP地址。NAT技术在企业中都采取两种技术类型结合应用，比较好的还是和端口复用地址转换。结合起来的技术如：端口复用地址转换、TCP/UDP端口NAT映射、静态地址转换+端口复用地址转换、动态地址转换+端口复用地址转换。43 第二章可行性研究和需求分析我们知道，不同应用程序使用TCP/UDP端口是不同的，例如，WEB服务器使用80、FTP服务使用21、SMTP服务使用25、POP3服务使用110等。由于每种应用服务器都有自己默认的端口，所以这种NAT方式下，网络内部每种应用服务器成为Internet中的主机，例如，只能有一台WEB服务器、一台E-mail服务、一台FTP服务器。尽管可以采用改变默认端口的方式创建多台应用服务器，但这种服务器在访问时比较困难，要求用户必须先了解某种服务采用的新TCP端口。因此，可以将不同的TCP端口绑定至不同的内部IP地址，从而只使用一个IP地址，即可在允许内部所有服务器被Internet访问的同时，实现内部所有主机对Internet的访问。1.1.1VLAN技术根据各部门职能不同把各部门划入不同的VLAN减少了广播，提高了通信效率。VLAN(VirtualLocalAreaNetwork)就是虚拟局域网的意思。VLAN可以不考虑用户的物理位置，而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组，每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同一个VLAN中的成员都共享广播，形成一个广播域，而不同VLAN之间广播信息是相互隔离的。这样，将整个网络分割成多个不同的广播域(VLAN)。一般来说，如果一个VLAN里面的工作站发送一个广播，那么这个VLAN里面所有的工作站都接收到这个广播，但是交换机不会将广播发送至其他VLAN上的任何一个端口。如果要将广播发送到其它的VLAN端口，就要用到三层交换机。1.1.2三层交换技术三层交换（也称多层交换技术，或IP交换技术）是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSI网络标准模型中的第二层——数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说，三层交换技术就是：二层交换技术＋三层转发技术。三层交换技术的出现，解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络传输瓶颈问题。1.1.3ACL技术控制访问列表（AccessControlList，ACL）:ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。43 第二章可行性研究和需求分析ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。例如：某部门要求只能使用WWW这个功能，就可以通过ACL实现；又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。1.1需求分析1.1.1带宽性能需求现代企业网络应具有更高的带宽，更强大的性能，以满足用户日益增长的通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台，不仅要继续承载企业的办公自动化，Web浏览等简单的数据业务，还要承载设计企业生产运营的各种业务应用系统数据，以及带宽和要求很高的IP电话、视频会议等多媒体业务。因此，数据流量将大大增加，尤其对核心网络的数据交换能力提出了更高的要求。另外，随着千兆位端口成本的持续下降，千兆位到桌面的应用会在不久的将来成为企业网主流。构建一个畅通无阻的“高品质”企业局域网，才能适应网络规模的扩大，业务量的日益增长的需求。1.1.2网络安全需求现代企业网需要提供更加完善的网络安全解决方案，以阻止病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，这样才能保证企业网络的稳定运行。1.1.3应用服务需求43 第二章可行性研究和需求分析现代企业网络应具备更加智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需求。当前的网络已经发展成为“以应用为中心”的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统网络设备的智能已经不能有效支持网络管理需求的发展。所以现代企业网络迫切需要网络设备支撑“以应用为中心”的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。1.1设计所需环境1.1.1硬件要求安装有Windows2003/XP/Vista操作系统的计算机，内存512M及以上，硬盘80G及以上。1.1.2软件要求PacketTracer5.3第二章43 第三章系统设计方案第一章系统设计方案1.1系统设计原则1.1.1实用性应当从实际情况出发，使之达到使用方便且能发挥效益的目的。采用成熟的技术和产品来建设该系统。要能将新系统与已有的系统兼容，保持资源的连续性和可用性。系统是安全的，可靠的。使用相当方便，不需要太多的培训即可容易的使用和维护。1.1.2安全性采用各种有效的安全措施，保证网络系统和应用系统安全运行。安全包括4个层面：网络安全，操作系统安全，数据库安全，应用系统安全。由于Internet的开放性，世界各地的Internet用户也可访问企业网络，企业网络将采用防火墙、数据加密等技术防止非法侵入、防止窃听和篡改数据、路由信息的安全保护来保证安全。同时要建立系统和数据库的磁带备份系统。1.1.3可扩充性采用符合国际和国内工业标准的协议和接口，从而使企业网络具有良好的开放性，实现与其他网络和信息资源的容易互联互通。并可以在网络的不同层次上增加节点和子网。一般包括开放标准、技术、结构、系统组件和用户接口等原则。在实用的基础上必须采用先进的成熟的技术，选购具有先进水平的计算机网络系统和设备。由于计算机技术的飞速发展和计算机网络技术的日新月异，网络系统扩充能力的大小已变得非常重要，因此考虑网络系统的可扩充性是相当重要的。1.1.4可管理性设计网络时充分考虑网络日后的管理和维护工作，并选用易于操作和维护的网络操作系统，大大减轻网络运营时的管理和维护负担。采用智能化网络管理，最大程度地降低网络的运行成本和维护。43 第三章系统设计方案1.1.1高性能价格比结合日益进步的科技新技术和校园的具体情况，制定合乎经济效益的解决方案，在满足需求的基础上，充分保障学校的经济效益。坚持经济性原则，力争用最少的钱办更多的事，以获得最大的经济效益1.2网络设备选型表3-1网络设备选型型号价格（单位：元）说明CiscoCatalyst3560G-24TS18000/台用于核心层交换机，具有24个以太网10/100/1000端口4个SFP千兆位以太网端口CiscoCatalyst3560-24TS8000/台用于汇聚层交换机，具有24个以太网10/100端口2个小型SFP千兆位以太网端口CISCOWS-C2960-24TT4000/台用于接入层交换机，具有24个以太网10/100端口2个以太网10/100/1000端口Cisco28117500/台用于Internet接入路由器，具有两个快速以太网接口Cisco®100BASE-FX接口转换器165/个Cisco®100BASE-FX接口转换器可插入到CiscoCatalyst3750系列、3560系列和2970系列交换机的千兆位以太网SFP端口中1.3系统总体设计和拓扑结构43 第三章系统设计方案对于一个企业局域网，通常在设计上将它组织为核心层、汇聚层、接入层分别考虑。接入层节点直接连接用户计算机，它通常是一个部门或者一个楼层的交换机；汇聚层交换机的每个节点可以连接多个接入层节点，它通常是一个建筑物内部连接多个楼层交换机或者部门交换机的总交换机；核心层交换机节点连接多个汇聚层交换机，通常是企业中连接多个建筑物的总交换机的核心网络设备。1、核心层核心层的功能主要是实现骨干网络之间的优化传输，复杂整个网络的网内数据交换。网络的功能控制最好尽量在骨干层上实施，核心层设计任务的重点是冗余能力、可靠性和高速传输。核心层一直被认为流量的最终承受着和汇聚者，所以要求核心交换机拥有较高的可靠性和性能。2、汇聚层汇聚层主要负责连接接入层节点和核心层，汇聚分散的接入点，扩大核心设备的端口密度和种类，汇聚各区域数据流量，实现骨干网络之间的优化传输。汇聚层交换机还负责本区域的数据交换，汇聚层交换机一般与中心交换机同类型，仍需较高的性能和较丰富功能。3、接入层接入层交换机作为二层交换网络设备，提供功能工作站等设备的网络接入。接入层在整个网络中接入交换机的数据最多，具有即插即用的特性。对于此类交换机要求，一是价格合理；二是可管理性号，易于使用维护；三是稳定性要好。1.1.1系统总体设计方案本企业局域网设计方案进行了适当和必要的简化，重点放在网络主干的设计与路由器交换机的配置上，同时还有VLAN的设计划分，而对于各类服务器的搭建只进行简单描述。图3-1为企业局域网总体拓扑结构图43 第三章系统设计方案图3-1企业局域网总体拓扑结构本方案采用典型的三层网络拓扑结构：接入层、汇聚层、核心层。在上面的拓扑结构图中，企业主要有1号办公楼、2号办公楼、生产车间、职工公寓四个接入点通过千兆光纤链路接入到网络信息中心的核心交换机上。核心交换接通过连接Cisco2811路由器接入到外部因特网。43 第三章系统设计方案1.1.1VLAN划分和IP地址规划在一个企业中VLAN的划分必不可少，VLAN将广播域限制在单个VLAN内部，减少了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。在本设计方案中，根据各部门职能的不同把公司各部门划分到不同的VLAN，然后再为服务器群单独划分一个VLAN。表3-1VLAN划分和IP地址规划设备名称VLANID网络地址默认网关描述S-3560-A7192.168.1.0/24192.168.1.1/24服务器群S-3560-B10192.168.10.0/24192.168.10.1/24财务部20192.168.20.0/24192.168.20.1/24人力部30192.168.30.0/24192.168.30.1/24信息部40192.168.40.0/24192.168.40.1/24总经办S-3560-C50192.168.50.0/24192.168.50.1/24采购部60192.168.60.0/24192.168.60.1/24业务部70192.168.70.0/24192.168.70.1/24研发部80192.168.50.0/24192.168.50.1/24管理部S-3560-D90192.168.90.0/24192.168.90.1/24制造部100192.168.100.0/24192.168.100.1/24品管部S-3560-E110192.168.110.0/24192.168.110.1/241号公寓120192.168.120.0/24192.168.120.1/242号公寓43 第三章系统设计方案表3-2设备端口IP地址分配设备名称接口IP地址R-2811-AF0/0201.2.2.1F0/1192.168.2.1S-3560-AG0/1192.168.2.2G0/25192.168.3.1G0/26192.168.4.1G0/27192.168.5.1G0/28192.168.6.1S-3560-BG0/1192.168.3.2S-3560-CG0/1192.168.4.2S-3560-DG0/1192.168.5.2S-3560-EG0/1192.168.6.2第一章43 第四章交换模块第一章交换模块1.1核心层交换机配置1.1.1设置核心交换机名称设置交换机的名称，也就是出现在路由器CLI提示符中的名字,本设计中命名规则如下：类型-型号-编号。以下命令设置核心交换机的名字为S-3560-A。Switch>enSwitch#configtSwitch(config)#hostnameS-3560-A1.1.2启动三层交换机的路由功能三层交换机具有路由功能但默认是未启动的，我们需要先启动路由功能，这样才能为不同VLAN路由数据包，从而实现各VLAN间的相互通信，以下命令是启动路由功能。S-3560-A(config)#iprouting//启动路由功能1.1.3核心交换机接口设置S-3560-A(config)#intg0/1S-3560-A(config-if)#noswitchport//二层端口转换成路由端口S-3560-A(config-if)#ipadd192.168.2.2255.255.255.0//为G0/1接口分配IP地址S-3560-A(config-if)#intg0/25//进入g0/25端口S-3560-A(config-if)#noswitchportS-3560-A(config-if)#ipadd192.168.3.1255.255.255.0S-3560-A(config-if)#intg0/2643 第四章交换模块S-3560-A(config-if)#noswitchportS-3560-A(config-if)#ipadd192.168.4.1255.255.255.0S-3560-A(config-if)#intg0/27S-3560-A(config-if)#noswitchportS-3560-A(config-if)#ipadd192.168.5.1255.255.255.0S-3560-A(config-if)#intg0/28S-3560-A(config-if)#noswitchportS-3560-A(config-if)#ipadd192.168.6.1255.255.255.0S-3560-A(config-if)#exit1.1.1创建服务器群VLAN7S-3560-A(config)#VLAN7//创建服务器群VLAN7S-3560-A(config-VLAN)#namefwq//为VLAN命名为fwqS-3560-A(config-VLAN)#intVLAN7S-3560-A(config-if)#ipaddress192.168.1.1255.255.255.0//为VLAN分配IP地址S-3560-A(config-if)#intrangeg0/2-10//将G0/2-G0/10端口加入到VLAN7中S-3560-A(config-if-range)#switchportaccessVLAN71.1.2配置静态路由S-3560-A(config)#iproute192.168.10.0255.255.255.0192.168.3.2//VLAN10的数据流向G0/25端口S-3560-A(config)#iproute192.168.20.0255.255.255.0192.168.3.2S-3560-A(config)#iproute192.168.30.0255.255.255.0192.168.3.243 第四章交换模块S-3560-A(config)#iproute192.168.40.0255.255.255.0192.168.3.2S-3560-A(config)#iproute192.168.50.0255.255.255.0192.168.4.2//VLAN50的数据流向G0/26端口S-3560-A(config)#iproute192.168.60.0255.255.255.0192.168.4.2S-3560-A(config)#iproute192.168.70.0255.255.255.0192.168.4.2S-3560-A(config)#iproute192.168.80.0255.255.255.0192.168.4.2S-3560-A(config)#iproute192.168.90.0255.255.255.0192.168.5.2//VLAN90的数据流向G0/27端口S-3560-A(config)#iproute192.168.100.0255.255.255.0192.168.5.2S-3560-A(config)#iproute192.168.110.0255.255.255.0192.168.6.2//VLAN110的数据流向G0/28端口S-3560-A(config)#iproute192.168.120.0255.255.255.0192.168.6.21.1.1默认路由配置S-3560-A(config)#iproute0.0.0.00.0.0.0192.168.2.1//未知数据流向路由器F0/1端口1.2汇聚层交换机配置依据楼宇位置不同我们所需四台CiscoCatalyst3560-24TS交换机作为汇聚层交换机，在此我们仅以1号办公楼的汇聚层交换机加以说明，其它楼宇汇聚层交换机设置与此设置类似。1.2.1设置交换机名称Switch>enSwitch#configt//进入全局配置模式43 第四章交换模块Switch(config)#hostnameS-3560-B//交换机命名为S-3560-B1.1.1配置G0/1接口S-3560-B(config)#intg0/1//为G0/1分配IP地址S-3560-B(config-if)#noswitchportS-3560-B(config-if)#ipadd192.168.3.2255.255.255.0S-3560-B(config-if)#exit1.1.2创建VLAN10-40S-3560-B(config)#VLAN10//创建财务部VLAN10S-3560-B(config-VLAN)#namecwb//VLAN10命名为cwbS-3560-B(config)#VLAN20S-3560-B(config-VLAN)#namerlbS-3560-B(config)#VLAN30S-3560-B(config-VLAN)#namexxbS-3560-B(config)#VLAN40S-3560-B(config-VLAN)#namezjb1.1.3为各VLAN分配IP地址S-3560-B(config)#intVLAN10//进入VLAN10S-3560-B(config-if)#ipaddress192.168.10.1255.255.255.0//为各VLAN分配ip地址S-3560-B(config-if)#intVLAN20S-3560-B(config-if)#ipaddress192.168.20.1255.255.255.0S-3560-B(config-if)#intVLAN3043 第四章交换模块S-3560-B(config-if)#ipaddress192.168.30.1255.255.255.0S-3560-B(config-if)#intVLAN40S-3560-B(config-if)#ipaddress192.168.40.1255.255.255.01.1.1将端口划入各个VLAN中S-3560-B(config)#intrangef0/1-5//将F0/1-F0/5端口划分到VLAN10S-3560-B(config-if-range)#switchportaccessVLAN10S-3560-B(config-if)#intrangef0/6-10S-3560-B(config-if-range)#switchportaccessVLAN20S-3560-B(config-if)#intrangef0/11-15S-3560-B(config-if-range)#switchportaccessVLAN30S-3560-B(config-if)#intrangef0/16-20S-3560-B(config-if-range)#switchportaccessVLAN401.1.2启动3560交换机路由功能S-3560-B(config)#iprouting//启动路由功能实现各VLAN间通信在CiscoPacketTracer上模拟不同VLAN间通信测试结果如图5-1所示。43 第四章交换模块图5-1VLAN间通信测试1.1.1默认路由设置未知流量通过G0/1接口流向核心交换机S-3560-B(config)#iproute0.0.0.00.0.0.0192.168.3.1//未知流量流向核心交换机1.2DHCP设置所谓的DHCP就是DynamicHostConfigurationProtocol的缩写，即动态主机配置协议，它是TCP/IP协议簇中的一种，主要作用给网络中其他电脑动态分配IP地址之用。常规的方法来讲，需要专门配置一台服务器来做DHCP服务器，这样无疑又增加了网络耗费。有时在一些网络低层设备中（如路由器、交换机等）里面整合了DHCP服务，我们完全可以利用网络中的这些网络设备是上的DHCP服务来配置我们自己的DHCP服务器，而不需要另外专门配置一台服务器来做DHCP服务，下面以3560交换机为例加以说明：各VLAN保留2-10的IP地址不分配置，例如：192.168.10.0的网段，保留192.168.2.2至192.168.2.10的IP地址段不分配。43 第四章交换模块1.1.1配置3560为DHCP服务器S-3560-B(config)#ipdhcppoolvlan10//设置vlan10地址池S-3560-B(dhcp-config)#network192.168.10.0255.255.255.0//设置可分配的子网S-3560-B(dhcp-config)#default-router192.168.10.1//设置默认网关S-3560-B(dhcp-config)#exitS-3560-B(config)#ipdhcppoolvlan20//设置vlan20地址池S-3560-B(dhcp-config)#network192.168.20.0255.255.255.0S-3560-B(dhcp-config)#default-router192.168.20.1S-3560-B(dhcp-config)#exitS-3560-B(config)#ipdhcppoolvlan30S-3560-B(dhcp-config)#network192.168.30.0255.255.255.0S-3560-B(dhcp-config)#default-router192.168.30.1S-3560-B(dhcp-config)#exitS-3560-B(config)#ipdhcppoolvlan40S-3560-B(dhcp-config)#network192.168.40.0255.255.255.0S-3560-B(dhcp-config)#default-router192.168.40.1S-3560-B(dhcp-config)#exit设置保留不分配的地址S-3560-B(config)#ipdhcpexcluded-address192.168.10.2192.168.10.10S-3560-B(config)#ipdhcpexcluded-address192.168.20.2192.168.20.1043 第四章交换模块S-3560-B(config)#ipdhcpexcluded-address192.168.30.2192.168.30.10S-3560-B(config)#ipdhcpexcluded-address192.168.40.2192.168.40.10S-3560-B(config)#exitS-3560-B#copyrunstart//保存设置1.1.1配置客户端自动获取IP打开客户端本地连接，修改Internet协议（TCP/IP）属性，常规选项卡设置自动获取IP地址、自动获取DNS服务器地址。在CiscoPacketTracer模拟客户端获取IP地址情况如图5-2所示。图5-2DHCP客户端自动获取IP地址第二章43 第五章Internet接入模块第一章Internet接入模块Internet接入模块的功能是通过Internet接入路由器R-2811-A来实现的。采用Cisco2811路由器的F0/0端口接入因特网，起作用就是在Internet与企业网内部实现数据包的路由。除了完成基本的路由任务外，路由器还可以通过控制访问列表实现以自身为中心的流量控制和数据包过滤功能，从而起到安全保护作用。Internet接入模块如图4-1所示。图4-1Internet接入路由器示意图43 第五章Internet接入模块1.1路由器基本参数配置图4-2路由器基本配置1、设置路由器名称设置路由器的名称，也就是出现在路由器CLI提示符中的名字,本设计中命名规则如下：类型-型号-编号。当需要telnet登录到若干台路由器上以维护一个大型网络时，通过交换机名称提示符提示自己当前路由器的位置是很重要的。以下命令将配置路由器名称为R-2811-A。Router>enableRouter#configureterminalRouter(config)#hostnameR-2811-A//设置路由器名称为R-2811-A2、设置路由器加密口令密码当用户在普通模式下进入特权模式时，需要提供此口令。此口令会已MD5的形式加密，因此当用户查看配置文件时，无法看到明文形式的口令配置特权EXEC口令。R-2811-A(config)#enablesecretexec123//设置特权EXEC密码为exec12343 第五章Internet接入模块3、设置telnet虚拟终端口令：R-2811-A(config)#linevty05R-2811-A(config-line)#passwordvty123//设置telnet虚拟终端密码为vty123R-2811-A(config-line)#login4、设置控制台端口密码R-2811-A(config)#lineconsole0R-2811-A(config-line)#passwordconsole123//设置控制台端口密码console1235、设置辅助端口密码R-2811-A(config)#lineaux0R-2811-A(config-line)#passwordaux123//设置辅助端口密码为aux1231.1设置路由器R-2811-A各接口参数对接入路由器R-2811-A的各接口参数的配置主要是对接口F0/0以及接口F0/1的IP地址、子网掩码的配置。如下所示：其中，F0/0的IP地址200.2.2.1是ISP提供的。43 第五章Internet接入模块图4-3路由器接口配置1.1.1路由器F0/0接口配置R-2811-A(config)#intf0/0R-2811-A(config-if)#ipadd201.2.2.1255.255.255.0//为F0/0端口设置IP地址和子网掩码R-2811-A(config-if)#noshutdown//启动路由接口1.1.2路由器F0/1接口配置R-2811-A(config)#intf0/1R-2811-A(config-if)#ipadd192.168.2.1255.255.255.0//为F0/1端口设置IP地址和子网掩码R-2811-A(config-if)#noshutdown//启动接口1.1.3验证路由器接口IP配置采用showipinterfacebrief命令可以为每个接口显示一条单行的描述，验证路由器接口IP地址配置情况如图4-4所示。43 第五章Internet接入模块图4-4验证路由器接口IP配置1.1NAT设置由于目前IP地址资源非常稀缺，不可能为企业局域网的每一个工作站都分配一个公网IP地址，为了实现企业内部所有计算机可以访问外部Internet的需求，我们可以通过网络地址转换（NAT）技术实现，实现内网对Internet的访问以及外网对企业内部web服务器访问。关于路由器NAT配置如图4-5所示。43 第五章Internet接入模块图4-5路由器NAT设置1.1.1设置路由器NATR-2811-A(config)#ipnatinsidesourcestatic192.168.1.3201.2.2.1//静态NAT用于外网对web的访问R-2811-A(config)#ipnatinsidesourcelist1interfacef0/0overload//定义复用Internet接口IP地址（过载overload）R-2811-A(config)#access-list1permit192.168.0.00.0.255.255//定义内部访问列表1.1.2定义内部外接口R-2811-A(config)#intf0/1R-2811-A(config-if)#ipnatinside//定义F0/1为内部接口43 第五章Internet接入模块R-2811-A(config-if)#exitR-2811-A(config)#intf0/0R-2811-A(config-if)#ipnatoutside//定义F0/0为外部接口1.1.1配置路由器的路由功能下面命令是到Internet外网上的一条缺省路由。R-2811-A(config)#iproute0.0.0.00.0.0.0201.2.2.2//企业网内部往外发的该接口是Internet上ISP的路由器接口，它与R-2811-A的F0/0接口在同一子网内。下面命令创建13条静态路由，将对内网的访问路由至192.168.2.2端口。R-2811-A(config)#iproute192.168.1.0255.255.255.0192.168.2.2R-2811-A(config)#iproute192.168.10.0255.255.255.0192.168.2.2R-2811-A(config)#iproute192.168.20.0255.255.255.0192.168.2.2R-2811-A(config)#iproute192.168.30.0255.255.255.0192.168.2.2R-2811-A(config)#iproute192.168.40.0255.255.255.0192.168.2.2R-2811-A(config)#iproute192.168.50.0255.255.255.0192.168.2.2R-2811-A(config)#iproute192.168.60.0255.255.255.0192.168.2.2R-2811-A(config)#iproute192.168.70.0255.255.255.0192.168.2.2R-2811-A(config)#iproute192.168.80.0255.255.255.0192.168.2.2R-2811-A(config)#iproute192.168.90.0255.255.255.0192.168.2.2R-2811-A(config)#iproute192.168.100.0255.255.255.0192.168.2.2R-2811-A(config)#iproute192.168.110.0255.255.255.0192.168.2.2R-2811-A(config)#iproute192.168.120.0255.255.255.0192.168.2.243 第五章Internet接入模块1.1.1验证地址转换使用showipnattranslations查看路由器上的地址转换情况，在CiscoPacketTracer中我们用财务部和人力部的两台电脑PC1和PC2访问201.2.2.2，然后在路由器上输入showipnattranslations查看地址转换情况。地址转换情况如图4-6所示。图4-6地址转换验证1.2路由器的安全问题路由器是外网进入企业网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表（AccessControlList，ACL）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业43 第五章Internet接入模块内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护。1.1.1对外禁用telnet协议首先，telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。其次，telnet可以登录到大多数网络设备和UNIX服务器，并可以使用相关命令完全操纵它们。这是极其危险的，因此必须加以屏蔽。R-2811-A(config)#access-list100denytcpanyanyeqtelnet//对外屏蔽telnetR-2811-A(config)#access-list100permitipanyany1.1.2对外禁用snmp、snmptrap利用这个协议，远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型：SNMP和SNMPTRAP。以下的命令则显示了如何禁用这两个协议。R-2811-A(config)#access-list101denyudpanyanyeqsnmp//对外禁用snmpR-2811-A(config)#access-list101denyudpanyanyeqsnmptrap//对外禁用snmptrap1.1.3对外屏蔽其他不安全的协议或服务这样的协议主要有SUNOS的文件共享协议端口2049，远程执行（rsh）、远程登录（rlogin）和远程命令（rcmd）端口512、513、514，远程过程调用（SUNRPC）端口111。可以将针对以上协议综合进行设计，如下所示。R-2811-A(config)#access-list101denytcpanyanyrange512514//屏蔽远程执行、远程登录和远程命令43 第五章Internet接入模块R-2811-A(config)#access-list101denyudpanyanyeq1111.1.1针对DoS攻击的设计DoS攻击（DenialofServiceAttack，拒绝服务攻击）是一种非常常见而且极具破坏力的攻击手段，它可以导致服务器、网络设备的正常服务进程停止，严重时会导致服务器操作系统崩溃。R-2811-A(config)#access-list101denyicmpanyanyeqecho-requestR-2811-A(config)#access-list101denyudpanyanyeqechoR-2811-A(config)#access-list101permitipanyany//将ACL应用于f0/0接口R-2811-A(config)#intf0/0R-2811-A(config-if)#ipaccess-group101in保护企业网免受攻击，路由器的安全就显得十分重要，有条件的话可以在买一个专业防火墙，然后配置它。或者直接在路由器上配置访问控制列表（ACL），在一定程度上限制外网访问。第二章43 第六章远程访问模块第一章远程访问模块远程访问是只对企业内部网络进行连接的人员，不是通过企业办公地点的网络线路进行，远程访问一般是为出差人员、外地小型办公机构设立。虽然这些人不在企业所在地，但通过远程访问，仍能够与企业联系，访问企业的数据，取得企业的文件，接收自己的电子邮件，因此与企业的联系依然存在。远程访问使得企业人员无论身处何地，只需一条电话线，就如同企业就在身边。当一个人出差在外遇到问题时，他可以通过远程访问连接到企业网上，得到企业的最新信息。即使出差工作中遇到了较大的难题，他也能够将问题和有关参数、数据通过远程访问传递到企业，企业组织力量快速解决问题后，把结果传送回出差人员，使得出差人员不必再次往返，既节约了时间，也省去了奔波劳累和旅行费用，提高工作的效率。远程访问模块模拟图如图6-1所示。图6-1远程访问模拟图1.1IPSec远程接入EVS设置1.1.1配置过程在EVS路由器上设置IPSec远程接入时，需要执行以下基本任务：43 第六章远程访问模块任务1—为设备的认证和用户认证（XAUTH）定义AAA策略（预共享密钥和RSA签名）；任务2—为远程客户端定义组信息，包括组策略；任务3—建立IKE阶段1策略；任务4—建立动态加密映射，用于远程接入连接；任务5—建立静态加密映射，包括动态加密映射作为一个条目（静态加密映射引用动态加密映射）；任务6—验证配置，确保客户端连接时正确的；1.1.1认证策略要为远程接入执行客户端认证，可以让路由器在本地执行XAUTH认证，首先要激活AAA，而后设置AAA认证和授权，同时还需要为每一个用户配置用户名和密码。R-2811-A>enR-2811-A#configtR-2811-A(config)#aaanew-model//激活路由器AAAR-2811-A(config)#usernamewangsecretwang//为每位用户设置用户名密码R-2811-A(config)#usernamezhangsecretzhangR-2811-A(config)#aaaauthenticationloginvpnauthenticatelocal//设置AAA认证R-2811-A(config)#aaaauthorizationnetworkvpngroup1local//设置AAA授权43 第六章远程访问模块1.1.1设置组策略在设置了认证策略后，我们可以定义用户的组策略。R-2811-A(config)#iplocalpoolremote-pool192.168.7.100192.168.7.200//定义分配给远程接入客户端的地址池192.168.7.100到192.168.7.200R-2811-A(config)#cryptoisakmpclientconfigurationgroupvpngroup1//建立远程接入组vpngroup1R-2811-A(config-isakmp-group)#poolremote-poolR-2811-A(config-isakmp-group)#keymyvpnkey//设置预共享密钥myvpnkeyR-2811-A(config-isakmp-group)#exit1.1.2IKE阶段1策略在定义了远程接入组后，可以进行IKE阶段1策略配置了。该策略要与远程接入组中的客户端的VPN能力相匹配R-2811-A(config)#cryptoisakmppolicy10R-2811-A(config-isakmp)#anthenticationpre-shareR-2811-A(config-isakmp)#encryption3desR-2811-A(config-isakmp)#hashmd5R-2811-A(config-isakmp)#group2//DH组2密钥R-2811-A(config-isakmp)#exitR-2811-A(config)#cryptoisakmpkeepalive2010R-2811-A(config)#cryptoisakmpxauthtimeout45//XAUTH认证时间周期改为45秒43 第六章远程访问模块1.1.1动态加密映射R-2811-A(config)#crytoipsectransform-seteasyclientsesp-3desesp-sha-hmac//建立变换集R-2811-A(config)#crytodynamic-mapdynamic_map10//建立动态加密映射，并为远程接入客户端指定变换集R-2811-A(config-cryto-map)#settransform-seteasyclientsR-2811-A(config-cryto-map)#exit1.1.2静态加密映射R-2811-A(config)#crytomapstatic_mapclientauthenticationlistVpnauthenticate//将VPN认证列表（vpnauthenticate）绑定到静态加密映射R-2811-A(config)#crytomapstatic_mapclientauthorizationlistvpngroup1//将远程接入组vpngroup1关联到静态加密映射R-2811-A(config)#crytomapstatic_mapclientclientconfigurationaddressrespond//响应IKE模式的请求，并将他们初始化到客户端R-2811-A(config)#crytomapstatic_map100ipsec-isakmpdynamicdynamic_map//远程接入动态加密映射在静态加密映射中被引用R-2811-A(config)#intf0/0R-2811-A(config-if)#cryptomapstatic_map//在路由器f0/0端口激活静态映射1.2IPSec远程接入EVC设置下载CiscoEasyVPNClient软件安装，打开主界面如图6-2所示。43 第六章远程访问模块图6-2CiscoEasyVPNClient主界面点击“new”创建一个新条目，打开界面如图6-3所示。图6-3新建VPN连接设置EasyVPNServer的IP地址以及组名和对应的pre-sharekey因为本VPN设计设置了Xauth扩展认证，在连接的过程中会提示输入用户名和口令。43 第六章远程访问模块1.1VPN访问连接测试在PacketTracer模拟VPN连接设置如图6-4所示。图6-4VPN连接设置43 第六章远程访问模块在PacketTracer模拟VPN连接测试结果如图6-5所示。图6-5VPN连接结果43 总结总结本企业网设计中，我们从交换模块、Internet接入模块、远程访问模块三个部分进行设计。交换模块我们根据各部门职能不同划分了12个VLAN，各部门VLAN被划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，通过启动三层交换机路由功能同时设置ACL，还可以用于控制网络中不同部门间的互相访问。同时为服务器群单独创建了一个VLAN7，方便员工访问内部资源。Internet接入模块通过设置路由器的NAT，使企业内部员工可以访问Internet,对于Internet隐藏了内部网的IP地址,提高了安全性。通过设置路由器的ACL，限制Internet对企业内部网的访问，增强了网络安全性。远程访问模块是为在外办公的移动用户设计的，采用CiscoEasyVPN技术,让路由器充当EasyVPNServer并对路由器进行相关设置。而客户端只需下载CiscoEasyVPNClient软件根据提示操作即可完成对企业网的远程访问。43 参考文献参考文献1.JamesF.Kurose&KeithW.Ross，陈鸣译，计算机网络—自顶向下方法（第4版），北京：机械工业出版社，2009。2.RichardDeal，邢京武译，CCNA学习指南，人民邮电出版社，2008。3.刘晓辉李立军，交换机.路由器.防火墙，电子工业出版社，2007。4.刘晓辉、李文俊，网络硬件搭建与配置实践，电子工业出版社，2007。5.谢希仁，计算机网络（第5版），北京：电子工业出版社，2009。6.王凤英，计算机网络，北京：清华大学出版社，2010。7.锐捷公司路由器、交换机随机手册。43 致谢致谢在此要感谢我的指导老师程震对我悉心的指导，感谢老师给我的帮助。在设计过程中，我通过查阅大量有关资料，与同学交流经验和自学，并向老师请教等方式，使自己学到了不少知识，也经历了不少艰辛，但收获同样巨大。在整个设计中我懂得了许多东西，也培养了我独立工作的能力，树立了对自己工作能力的信心，相信会对今后的学习工作生活有非常重要的影响。而且大大提高了动手的能力，使我充分体会到了在创造过程中探索的艰难和成功时的喜悦。本人2010年的毕业设计，索取在CiscoPacketTracer上的网络模拟拓扑图请联系QQ.论文中的拓扑图图片均有VISIO版供编辑。虽然这个设计做的也不太好，但是在设计过程中所学到的东西是这次毕业设计的最大收获和财富，使我终身受益。43'