【正文】 NVLAN 100SERVER服務組群VLAN在表41中，所有VLAN名稱都是根據所代表的部門的拼音縮寫定義的。除了表中的內容。為了實現網絡設備的統一，本設計方案中完全采用同一廠家的網絡產品，即Cisco公司的網絡設備構建。全網使用同一廠商設備的好處是可以實現各種不同網絡設備功能的互相配合和補充。在些設計方案中，路由器選定為Cisco 3640一臺。在接入層，CISCO WSC296048TCS系列交換機通過生成樹提供第二層冗余。Catalyst 2960系列交換機僅有的缺點就是最高只能32Gbit/s交換陣列，并且最多只能支持48個快速以太網端口。可以滿足300臺辦公計算機和未來可能的增長需求。接入層當中，交換機與計算機選用超五類雙絞線連接，理論上可達到100m/s的訪問速度。在核心層采用三層交換機Catalyst 4506系列，可以增加網絡擴展性，提高性能及可用性，增強網絡安全性。核心層交換機與路由器和核心層交換機之間選用光纖連接達到1000m/s的訪問速度。：Cisco 3600系列3600系列提供了更多的槽和更高的處理能力。本系列包括三種型號： 3660、3640和3620。它們分別有六個、四個和兩個可插網絡模塊的槽。最高可支持OC3速，且對大多數企業(yè)具有豐富的可擴展能力。它支持連接語音線路、電話和專用分組交換機（PBX）?！isco 3600系列　Cisco Catalyst 4500系列Catalyst 4500系列交換機，領先的引擎是Supervisor Engine V10GE，它的最高性能可以達到102Mpps和136Gbit/s，如圖43所示。在性能方面，通過使用Supervisor III Engine或Supervisor II+ 只支持第二層，但是能夠支持64Gbit/s交換。 圖43　Cisco Catalyst 4500系列交換機（Catalyst 450Catalyst 4507R、Catalyst 4510R 、Catalyst 4506）對于Catalyst 4500系列交換機，下列簡要說明該平臺的可擴展性。支持3（Catalyst 4503）、6（Catalyst 4506）、7（Catalyst 4507R）和10（Catalyst 4510R）個插槽的模塊化機箱；在10個插槽的機箱中，支持336個10/100/1000BASET 1000BaseFX吉比特以太網端口；集成IP電話線上供電；多個吉比特以太網干道；通過專用模塊支持WAN邊緣；。在高可用性方面:Catalyst 4500支持下列特性；NSF/SSO；；；特定型號的機箱（具有7和10個插槽）支持冗余Supervisor Engine ii+、IV和V；冗余供電。在安全性方面，Catalyst 4500支持以下特性；NAC；風暴控制；基于端口的Qos；全部端口支持標準ACL和擴展ACL；；；受信邊界；全部端口支持RACL，并且不會影響性能；VALC；PACL；接入端口和干道端口的PVLAN；DHCP監(jiān)聽和選項82插入；端口安全；固定端口安全；VMPS客戶端；單播MAC過濾；單播端口擴散阻塞；動態(tài)ARP檢測；IP源防護；團體私用VLAN；語音VLAN粘連端口安全。 Cisco Catalyst 2960系列Cisco Catalyst 2960系列交換機通常作為建筑物接入交換機而部署，能夠提供固定的端口密度，并且具有與高端交換機相類似的特性，但其成本更低。盡管這些交換機具有更低的成本，但它們卻支持非常多的高級交換特性，其中包括集成安全、NAC、高級Qos和彈性等。這些交換機具有固定的端口配置，具有24個或48個10/100BASET或10/100/1000BASET端口，如圖44所示，以及雙目標特以太網上行鏈路，既可以使用銅或光纖上行鏈路，也可以使用一個10/100/1000以太網端口和一個SFP吉比特以太網端口的組合，但是同時只能有一個處于活躍狀態(tài)。圖44　Cisco Catalyst2960在性能方面，Catalyst 2960系列交換機下列特性；快速以太網和吉比特以太網線速的第2層交換；32Gbit/s交換陣列；能夠以快速以太網和吉比特以太網的線速進行ACL和Qos；最大支持9000字節(jié)的巨型以太網幀。至于該平臺的可擴展性，Catlyst 2960系列交換機包括下列特性；最多 48個10/100快速以太網端口和2個吉比特以太網端口；支持10/100/1000BASEt吉比特以太風、10BASEFX快速以太網和吉比特以太網最多可8000個MAC地址；集成支持帶寬優(yōu)化的Cisco IOS軟件特性；分級限速；：TLWA501G+TLWA501G+是TPLINK公司旗下的一款高性價比的無線AP，如圖45所示，提供全中文Web配置界面，可以通過Web瀏覽器方便的對TLWA501G+進行訪問和控制，配置直觀、簡單、快捷。您還可以通過Web界面對TLWA501G+進行在線軟件升級，以適應適合將來更高層次和更新要求。圖45　TLWA501G+它具有以下特性：兼容IEEE ； 符合IEEE IEEE ；1個10/100M自適應RJ45端口（支持自動翻轉）； 采用TPLINK 域展?無線傳輸技術，傳輸距離是普通11b、11g產品的2~3倍，傳輸范圍擴展到4~9倍。支持54/48/36/24/18/12/9/6M或11/；支持64/128/152位WEP加密以及WPAPSK/WPA2PSK、WPA/WPA2安全機制；傳輸距離：室內最遠200米，室外最遠830米（因環(huán)境而異）； 接入層交換機配置設置交換機的加密口令 ：當用戶在普通用戶模式而想要進入特權用戶模式時，需要提供此口令。設置登錄虛擬終端線時的口令：遠程管理為網絡管理人員提供了很多的方便。但是，處于安全考慮，在能夠遠程管理交換機之前網絡管理人員必須設置遠程登錄交換機的口令。配置接入層交換機的VLAN及VTP：從提高效率的角度出發(fā)，在企業(yè)網中使用了VTP技術。同時，將核心層交換機CoreSwitch1設置成為VTP服務器，其他交換機設置成為VTP客戶機。這里接入層交換機AccessSwitch1將通過VTP獲得在分布層交換機CoreSwitch1中定義的所有VLAN的信息。配置接入層交換機的端口：設置所有端口均工作在全雙工模式，強制將端口速度設為10Mpbs或100Mbps。 核心層交換機配置配置匯聚層交換機的VLAN:當網絡中交換機數量很多時，采用VLAN中繼協議（Vlan Trunking Protocol，VTP），并劃分VLAN；啟用分布層交換機的路由功能為網絡中的各個VLAN提供路由功能。配置匯聚層交換機的缺省路由:使用一條缺省路由命令，使用的下一跳地址是Internet接入路由器與核心交換機國連接的快速以太網接口FastEthernet 0/0的IP地址。配置匯聚層交換機的熱備份路由協議: 在兩臺三層交換器之間采用HSRP（熱備份冗余協議）協議，來保證兩臺三層交換機中的任意一臺down掉，或交換機的廣域網口down，都會迅速切換到另外一臺。路由器上配置缺省路由：到企業(yè)網內部的靜態(tài)路由以及到Internet上的缺省路由。 到Internet上的路由需要定義一條缺省路由，下一跳指定從本路由器的接口s 0/0送出。路由器上安全配置：在路由器上配置ACL可以對外屏蔽其它不安全的協議或服務如：簡單網管協議SNMP，遠程登錄協議telnet，SUN OS的文件共享協議端口2049，DoS攻擊等。路由器上配置NAT地址轉換：根據前文對企業(yè)網的需求分析，企業(yè)向當地ISP申請了9個IP地址。其中一個IP地址：，另外8個IP地址：～。 路由器上配置行程訪問:采用的遠程接入方式是Easy VPN。無論從成本還是安全性上來說，Easy VPN無疑是目前最適合中小型企業(yè)使用的遠程接入方式結論本文根據一個中小企業(yè)為研究背景，組建一個高速、寬帶、穩(wěn)定、可靠，且能融合安全與保密等全新需求的企業(yè)網絡解決方案。在網絡設計方案中，綜合需求分析后考慮包括了幾大模塊：交換模塊、廣域網接入模塊、遠程訪問模塊、服務器群。網絡整體采用的是Cisco網絡三層架構，這個結構的優(yōu)點是穩(wěn)定性好、設備負載均衡、易擴展，并且網絡故障排查也比較容易。在方案中采用VLAN技術和ACL技術作為內部網絡的安全策略，主要是防止公司內部的非授權訪問；而在內部網絡與Internet之間則采用NAT技術實現Internet的接入。本方案基本滿足中小企業(yè)的對網絡組建的要求，也能兼顧未來擴充的需要。但由于本人對于企業(yè)實際需求調研不足，同時很多新的技術和方法還不是很了解，方案中也還存在著很多不足。參考文獻（1）中文專著[1] 羅軍勇，[Ｍ].北京： .[2] Todd [Ｍ]. :人民郵電出版社, .[3] Rick [Ｍ]. :人民郵電出版社, 2009. 191293.[4] 李云峰,[Ｍ].第一版 北京:水利水電出版社, .（2）中文學術論文[1] 李佼輝. 企業(yè)局域網組建策略的研究[D]. 東北石油大學碩士論文 , 2007,(04) .[2] 張慧香. 校園網規(guī)劃與建設 D]. 山東大學碩士論文 , 2013,(03) [3] 譚榮藝. 高校校園無線網絡的構建和應用[D]. 華南理工大學工程碩士論文 , 2012,(05)[4] 宋俊學. WLAN技術在企業(yè)組建局域網中的應用[D]. 重慶大學工程碩士論文 , 2007,(11) [5] 思科系統. 思?科?產?品?介?紹[C]. 北京:Cisco官網, 2014（3）互聯網文獻[1] 百度百科 局域網的基本概念.[Z] [2] 百度百科 交換機的基本概念.[Z] [3] 百度百科 路由器的基本概念.[Z] [4] 百度百科 VTP協議.[M] [5] 百度百科 STP協議基本概念.[Z] [6] 百度百科 HRSP協議.[Z] [7] 百度百科 VLAN虛擬局域網概念.[Z]（4）外文文獻[１] Todd Lammle CCNA學習指南[Ｍ]. 第七版　北京:人民郵電出版社, 2009,7(04) 附錄附錄１ 接入層交換機的詳細配置接入層為所有的終端用戶提供一個接入點。這里的接入層交換機采用的是Cisco Catalyst 2950 48口交換機（WSC295048）。交換機擁有48個10/100Mbps自適應快速以太網端口，運行的是Cisco的IOS操作系統。如圖1所示。圖1　接入層交換機(1)設置交換機名稱 設置交換機名稱，也就是出現在交換機CLI提示符中的名字。一般我們會以地理位置或行政劃分來為交換機命名。當我們需要Telnet登錄到若干臺交換機以維護一個大型網絡時，通過交換機名稱提示符提示自己當前配置交換機的位置是很有必要的。使用Secure CRT登錄AccessSwitch1進入界面后，輸入以下命令為接入層交換機命名SwitchenSwitchconfig t //進入特權模式Switch(config)hostname AccessSwitch 1 //修改Switch名稱AccessSwitch 1(config) //修改成功后的顯示效果(2)設置交換機的加密口令 當用戶在普通用戶模式而想要進入特權用戶模式時，需要提供此口令。此口令會以MD5的形式加密，因此，當用戶查看配置文件時，無法看到明文形式的口令。AccessSwitch 1(config)enable secret pany //設置進入特權用戶密碼為pany(3)設置登錄虛擬終端線時的口令 對于一個已經運行著的交換網絡來說，交換機的帶內遠程管理為網絡管理人員提供了很多的方便。但是，處于安全考慮，在能夠遠程管理交換機之前網絡管理人員必須設置遠程登錄交換機的口令。AccessSwitch 1(config)line vty 0 15 //設置登錄交換機時需要驗證用戶身份AccessSwitch 1(configline)login AccessSwitch 1(configline)password yuancheng //設置登錄密碼為yuancheng (4)設置終端線超時時間 為了安全考慮，可以設置終端線超時時間。在設置的時間內，如果沒有檢測到鍵盤輸入，IOS將斷開用戶和交換機之間的連接。 AccessSwitch 1(config)ling vty 0 15AccessSwitch 1(configline)exectimeout 6 0 //設置登錄交換機的虛擬終端線路的超時時間為6分0秒鐘AccessSwitch 1(configline)line con 0AccessSwitch 1(configline)exectimeout 6 0 //設置登錄交換機的控制臺終端線路的超時時間為6分0秒鐘。(5)設置禁用IP地址解析特性 在交換機默認配置的情況下，當我們輸入一條錯誤的交換機命令時，交換機會嘗試將其廣播給網絡上的DNS服務器并將其解析成對應的IP地址。利用命令no ip domainlookup?？梢越眠@個特性 如圖22所示，設置禁用IP地址解析特性。AccessSwitch 1(config)no ip domainlookup //設置禁用IP地址解析特性 （6）設置啟用消息同步特性 有時，用戶輸入