【正文】 ......30 路由協(xié)議 ........................................................................................................30 CHAP 身份認(rèn)證 ................................................................................................34 第六章 VRRP 的配置 .............................................................................................................36 第七章 幀中繼 ........................................................................................................................37 配置環(huán)境和拓?fù)鋱D .....................................................................................................37 實(shí)施步驟 ....................................................................................................................37 第八章 無線路由器的配置 ......................................................................................................40 設(shè)置無線路由器 IP ...................................................................................................40 配置無線路由器的 DHCP ............................................................................................41 第九章 服務(wù)器配置 ................................................................................................................42 9． 1 web 服務(wù)器的安裝與配置 .........................................................................................42 、 IIS 互聯(lián)網(wǎng)信息服務(wù)的安裝 ...........................................................................42 、 web 服務(wù)器的配置 .........................................................................................43 第十章 系統(tǒng)優(yōu)化方案 .............................................................................................................52 第十一章 小結(jié) ........................................................................................................................52 第一章 項(xiàng)目概述 項(xiàng)目背景 在現(xiàn)今的網(wǎng)絡(luò)建設(shè)中，企業(yè)網(wǎng)的建設(shè)是非常重要的。企業(yè)網(wǎng)內(nèi)部各種不同業(yè)務(wù)的開展是企業(yè)網(wǎng)迅速發(fā)展的原因，從早期的企業(yè)網(wǎng)主要是簡單數(shù)據(jù)的共享到現(xiàn)在的內(nèi)部全方位的數(shù)據(jù)共享，從以前單一的企業(yè)到現(xiàn)在多個(gè)分公司的相互連接，因而對網(wǎng)絡(luò)覆蓋面的要求越來越廣，對一個(gè)企業(yè)來說，務(wù)必要構(gòu)造一個(gè)中小型網(wǎng)絡(luò)結(jié)構(gòu)，既要保證內(nèi)網(wǎng)的建設(shè)是一 個(gè)具有高可靠性、安全性、高效性的網(wǎng)絡(luò)環(huán)境，能實(shí)現(xiàn)企業(yè)內(nèi)部資源共享，又保證可以與外網(wǎng)（互聯(lián)網(wǎng)）的連接能夠靈活的控制和安全訪問。 項(xiàng)目需求分析 項(xiàng)目分析 我們現(xiàn)在要設(shè)計(jì)一個(gè)小型 IT 企業(yè)網(wǎng)絡(luò)，該企業(yè)共有 180 人左右，分 5 個(gè)部門，包括財(cái)務(wù)部、人事部、經(jīng)理部、業(yè)務(wù)部、活動(dòng)中心，設(shè)計(jì)工程要滿足該企業(yè)的信息化要求，能夠支持大容量的信息傳遞，還要有較低的故障率和安全性。 公司內(nèi)部骨干網(wǎng)絡(luò)采用 UTP 雙絞線，內(nèi)部網(wǎng)絡(luò)與 Inter 相連，考慮通信安全。公司內(nèi)有打印機(jī)、 FTP 服務(wù)器、 WWW 服務(wù)器等。 項(xiàng)目需求 ? 接入層采用二層交換機(jī)，實(shí)現(xiàn)廣播域的隔離。 ? 核心層交換機(jī)要實(shí)現(xiàn)冗余備份，并實(shí)現(xiàn)接入層的路由功能。 ? 接入交換機(jī)的 access 端口上實(shí)現(xiàn)對允許連接數(shù)量的控制，以提高網(wǎng)絡(luò)的安全性。 ? 在交換機(jī)上配置生成樹協(xié)議，避免形成環(huán)路。 ? 在核心層交換機(jī)上配置路由接口實(shí)現(xiàn)全網(wǎng)互通。 ? 在路由器上用少量的公網(wǎng) IP 實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)對外網(wǎng)的訪問。 ? 其中還要配置一些服務(wù)器間的控制，要求財(cái)務(wù)部不能訪問互聯(lián)網(wǎng)，業(yè)務(wù)部只能訪問 WWW和 FTP 服務(wù)，其余訪問不受控制。 ? 在企業(yè)網(wǎng)內(nèi)部要實(shí)現(xiàn)無線路由功能。 ? 在外網(wǎng)的連接中要考慮連接幀中 繼網(wǎng)。 ? 配置一些主要的服務(wù)器，如 FTP、 WWW 等。 需求分析 ? 在接入層交換機(jī)上劃分 4 個(gè) VLAN，分別為 vlan12（財(cái)務(wù)部）， vlan13（經(jīng)理部）， vlan14（業(yè)務(wù)部）， vlan15（人事部）。交換機(jī)之間的鏈路配置為 Trunk 鏈路。 ? 在三層交換機(jī)上采用 SVI 方式實(shí)現(xiàn) VLAN 之間的路由，并且在兩臺三層交換機(jī)之間配置端口聚合，實(shí)現(xiàn)負(fù)載均衡，提高帶寬。 ? 二層交換機(jī)上采用端口安全的方式以提高安全性，并在整個(gè)網(wǎng)絡(luò)中配置快速生成樹協(xié)議，避免形成環(huán)路。 ? 三層交換機(jī)上配置路由接口，然后給接口配置 IP 地址， 并且對兩個(gè)路由器的接口也配置 IP地址。根據(jù)實(shí)際情況配置路由協(xié)議到這些接口上，實(shí)現(xiàn)全網(wǎng)互通。 ? 在路由器的外網(wǎng)接口上配置 PPP（點(diǎn)到點(diǎn)）協(xié)議，配置 CHAP 認(rèn)證。 ? 分別在三層交換機(jī)和路由器上配置靜態(tài)路由。 ? 用 NAT 轉(zhuǎn)換的方式實(shí)現(xiàn)少量公網(wǎng) IP 到 Inter 訪問。 ? 使用訪問控制列表使財(cái)務(wù)部不能訪問 WWW 服務(wù)器，業(yè)務(wù)部只能訪問 WWW 和 FTP 服務(wù)器，其余訪問皆不受控制。 ? 配置 VRRP，以實(shí)現(xiàn)冗余備份，負(fù)載均衡。 ? 配置無線路由，使活動(dòng)中心可以實(shí)現(xiàn)無線上網(wǎng)。 ? 配置幀中繼協(xié)議，以實(shí)現(xiàn)內(nèi)網(wǎng)通過幀中繼網(wǎng)與 Inter 的互通 。 ? 設(shè)置 WWW 服務(wù)器， FTP 服務(wù)器和 DHCP 服務(wù)器。 主要描述整個(gè)項(xiàng)目的背景，通過項(xiàng)目的建設(shè)所要達(dá)到的目標(biāo)?？梢詮氖袌龅奈臋n中摘取。 要求，寫明項(xiàng)目的背景，工程結(jié)束后，整個(gè)網(wǎng)絡(luò)所要達(dá)到的要求，對于工程的要求，項(xiàng)目中所使用的設(shè)備。 第二章 技術(shù)介紹 主要是整個(gè)項(xiàng)目中應(yīng)用的一些技術(shù)原理的介紹，主要介紹項(xiàng)目中使用的新技術(shù)或關(guān)鍵技術(shù)。介紹清楚技術(shù)的原理即可，不用介紹項(xiàng)目中使用的所有技術(shù)，只用選關(guān)鍵的重要的技術(shù)進(jìn)行介紹即可。如果項(xiàng)目中沒有值得介紹的技術(shù)，該章可以省去。 在組建一個(gè)中小型企業(yè)的網(wǎng)絡(luò)時(shí)，有些技術(shù) 是不必不可少的。下面針對幾個(gè)重要技術(shù)進(jìn)行簡短的介紹。 VLAN vlan 是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯的劃分成多個(gè)互不相干的子網(wǎng)絡(luò)， VLAN 內(nèi)成員發(fā)出的數(shù)據(jù)幀，交換機(jī)只把其轉(zhuǎn)發(fā)給同一 VLAN 內(nèi)的成員，而不會(huì)發(fā)給 VLAN 成員以外的計(jì)算機(jī)，由于同一個(gè) VLAN 內(nèi)的廣播包不會(huì)跑到別的 VLAN 中， VLAN 內(nèi)的廣播域受到限制，消耗寬帶所占的比例大大降低網(wǎng)絡(luò)性能得到顯著提高。 VLAN 技術(shù)可以控制網(wǎng)絡(luò)的廣播風(fēng)暴。提高網(wǎng)絡(luò)的安全性，簡化網(wǎng)絡(luò)管理，同時(shí)對不太能夠 VLAN 的主機(jī)進(jìn)行隔離，通過在三層交換機(jī)上為各 VLAN 配 置 SVI 接口利用三層交換機(jī)的路由功能可以實(shí)現(xiàn) VLAN 間的路由。 端口安全 技術(shù) 交換機(jī)端口安全功能，可以限制一個(gè)端口上能連接安全地址的最大個(gè)數(shù)，如果一個(gè)端口被配置為完全端口，配置有最大的安全地址的連接數(shù)量，當(dāng)其上連接的安全地址的數(shù)目達(dá)到允許的最大個(gè)數(shù)，或者該端口收到一個(gè)源地址不屬于該端口上的安全地址時(shí)，交換機(jī)將產(chǎn)生安全為例通知，安全為例的處理方式有 3 種： （ 1） Protect ，當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄未知名地址的包。 （ 2） Restrict Trap ，當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè) Trap 通 知。 （ 3） Shutdown ，當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè) Trap 通知。 STP 快速生成樹協(xié)議 ， STP 協(xié)議是用來避免鏈路環(huán)路產(chǎn)生的廣播風(fēng)暴、并提供鏈路冗余備份的協(xié)議。對二層以太網(wǎng)來說，兩個(gè) LAN 間只能有一條活動(dòng)著的通路，否則就會(huì)產(chǎn)生廣播風(fēng)暴。但是為了加強(qiáng)一個(gè)局域網(wǎng)的可靠性，建立冗余鏈路又是必要的，其中的一些通路必須處于備份狀態(tài)，如果當(dāng)網(wǎng)絡(luò)發(fā)生故障，另一條鏈路失效時(shí)，冗余鏈路就必須被提升為活動(dòng)狀態(tài)。手工控制這樣的過程顯然是一項(xiàng)非常艱苦的工作， STP 協(xié)議就自動(dòng)的完成這項(xiàng)工作。它能使一 個(gè)局域網(wǎng)中的交換機(jī)起下面作用： （ 1）發(fā)現(xiàn)并啟動(dòng)局域網(wǎng)的一個(gè)最佳樹型拓樸結(jié)構(gòu)。 （ 2）發(fā)現(xiàn)故障并隨之進(jìn)行恢復(fù)，自動(dòng)更新網(wǎng)絡(luò)拓樸結(jié)構(gòu)，使在任何時(shí)候都選擇了可能的最佳樹型結(jié)構(gòu)。 Trunk 通過某種方法實(shí)現(xiàn) VLAN 之間的通道只用各自交換機(jī)的一個(gè)端口，兩個(gè)交換機(jī)之間只搭一條干道，所有的 VLAN 之間的通信在這個(gè)干道上互不干擾各行其道。 實(shí)際上，無論劃分了多少個(gè) VLAN，都可以通過這樣一條只占用兩個(gè)交換機(jī)接口的干道實(shí)現(xiàn)各自 VLAN 之間的通信，而不會(huì)占用過多的交換端口，這種技術(shù)稱為干道技術(shù)。 SVI 一個(gè)交換機(jī)虛擬接口（ Switch Virtual Interface， SVI）代表一個(gè)由交換端口構(gòu)成的 VLAN（其實(shí)就是通常所說的 VLAN 接口），以便于實(shí)現(xiàn)系統(tǒng)中路由功能。 因?yàn)樵诙咏粨Q機(jī)組成的網(wǎng)絡(luò)中，用 VLAN 技術(shù)能隔離網(wǎng)絡(luò)流量，但不同的 VLAN 之間是不能相互通信的。想要實(shí)現(xiàn) VLAN間的通信，則必須要借助三層交換機(jī)的路由功能（或使用路由器）來實(shí)現(xiàn)該功能。 SVI 虛擬接口就是三層交換機(jī)用來實(shí)現(xiàn) VLAN 間路由的方法。 SVI 就是指通常所說的 VLAN 接口，只不過它是虛擬的，用于連接整個(gè) VLAN。 端口聚合 端口聚合主要用于交換機(jī)之間連接 。 是將交換機(jī)上的多個(gè)物理上連接的端口在邏輯上捆綁在一起，形成一個(gè)擁有較大寬帶的端口，形成一條干路，可以實(shí)現(xiàn)均衡負(fù)載，并且能提供冗余鏈路。在將響應(yīng)的兩個(gè)端口聚合為一個(gè)邏輯端口，要配置生成樹協(xié)議，以解決網(wǎng)絡(luò)存在的環(huán)路問題。注意：要先配置再連線，否則會(huì)造成光播風(fēng)暴，影響交換機(jī)的正常工作。 路由協(xié)議 路由器提供了異構(gòu)網(wǎng)互聯(lián)的機(jī)制，實(shí)現(xiàn)將一個(gè)網(wǎng)絡(luò)的數(shù)據(jù)包發(fā)送到另一個(gè)網(wǎng)絡(luò)。 所謂路由，就是指通過相互連接的網(wǎng)絡(luò)把數(shù)據(jù)從源地點(diǎn)轉(zhuǎn)發(fā)到目標(biāo)地點(diǎn)的過程。路由包含兩個(gè)基本動(dòng)作：確定 最佳路徑和數(shù)據(jù)轉(zhuǎn)發(fā)。路由器中的路由有兩種，直連路由和非直連路由。直連路由是在配置完路由器網(wǎng)絡(luò)接口的 IP 地址后自動(dòng)生成的，如果沒有對這些接口進(jìn)行特殊的限制，這些接口所直連的網(wǎng)絡(luò)之間就可以直接通信。非直連路由是由兩個(gè)或者多個(gè)路由器互連的網(wǎng)絡(luò)之間的通信。 路由協(xié)議是在路由指導(dǎo) IP 數(shù)據(jù)包發(fā)送過程中事先約定好的規(guī)定和標(biāo)準(zhǔn)，用來確定到達(dá)路徑的。 訪問控制列表 訪問控制 列表 是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，是保證網(wǎng)絡(luò)安全最重要的核心策略之一。 訪問控制列表技術(shù)簡單地說就 是數(shù)據(jù)過濾包，它是是一種重要的軟件防火墻技術(shù)，配置再網(wǎng)絡(luò)互聯(lián)設(shè)備上，為網(wǎng)絡(luò)提供安全保護(hù)功能。在交換機(jī)或路由器設(shè)備中配置好 ACL 后，它們會(huì)按照 ACL 中的指令順序執(zhí)行這些規(guī)則，處理每一個(gè)進(jìn)入端口的數(shù)據(jù)包，實(shí)現(xiàn)對進(jìn)入或者流出網(wǎng)絡(luò)互聯(lián)設(shè)備中的數(shù)據(jù)流過濾。 ACL 的執(zhí)行原則：從上到下逐條執(zhí)行，遇到匹配立即停止，先寫精確度小的。注意：任何一個(gè)訪問控制列表至少要有一條允許語句，否則造成全部拒絕。一個(gè)端口在某個(gè)方向上只能是 in/out 口。 VRRP 虛擬路由器冗余協(xié)議是一種選擇協(xié)議， 將可以承擔(dān)網(wǎng)關(guān)功能的一組路由 器加入到備份