【正文】 ......30 路由協(xié)議 ........................................................................................................30 CHAP 身份認證 ................................................................................................34 第六章 VRRP 的配置 .............................................................................................................36 第七章 幀中繼 ........................................................................................................................37 配置環(huán)境和拓撲圖 .....................................................................................................37 實施步驟 ....................................................................................................................37 第八章 無線路由器的配置 ......................................................................................................40 設(shè)置無線路由器 IP ...................................................................................................40 配置無線路由器的 DHCP ............................................................................................41 第九章 服務(wù)器配置 ................................................................................................................42 9． 1 web 服務(wù)器的安裝與配置 .........................................................................................42 、 IIS 互聯(lián)網(wǎng)信息服務(wù)的安裝 ...........................................................................42 、 web 服務(wù)器的配置 .........................................................................................43 第十章 系統(tǒng)優(yōu)化方案 .............................................................................................................52 第十一章 小結(jié) ........................................................................................................................52 第一章 項目概述 項目背景 在現(xiàn)今的網(wǎng)絡(luò)建設(shè)中，企業(yè)網(wǎng)的建設(shè)是非常重要的。企業(yè)網(wǎng)內(nèi)部各種不同業(yè)務(wù)的開展是企業(yè)網(wǎng)迅速發(fā)展的原因，從早期的企業(yè)網(wǎng)主要是簡單數(shù)據(jù)的共享到現(xiàn)在的內(nèi)部全方位的數(shù)據(jù)共享，從以前單一的企業(yè)到現(xiàn)在多個分公司的相互連接，因而對網(wǎng)絡(luò)覆蓋面的要求越來越廣，對一個企業(yè)來說，務(wù)必要構(gòu)造一個中小型網(wǎng)絡(luò)結(jié)構(gòu)，既要保證內(nèi)網(wǎng)的建設(shè)是一 個具有高可靠性、安全性、高效性的網(wǎng)絡(luò)環(huán)境，能實現(xiàn)企業(yè)內(nèi)部資源共享，又保證可以與外網(wǎng)（互聯(lián)網(wǎng)）的連接能夠靈活的控制和安全訪問。 項目需求分析 項目分析 我們現(xiàn)在要設(shè)計一個小型 IT 企業(yè)網(wǎng)絡(luò)，該企業(yè)共有 180 人左右，分 5 個部門，包括財務(wù)部、人事部、經(jīng)理部、業(yè)務(wù)部、活動中心，設(shè)計工程要滿足該企業(yè)的信息化要求，能夠支持大容量的信息傳遞，還要有較低的故障率和安全性。 公司內(nèi)部骨干網(wǎng)絡(luò)采用 UTP 雙絞線，內(nèi)部網(wǎng)絡(luò)與 Inter 相連，考慮通信安全。公司內(nèi)有打印機、 FTP 服務(wù)器、 WWW 服務(wù)器等。 項目需求 ? 接入層采用二層交換機，實現(xiàn)廣播域的隔離。 ? 核心層交換機要實現(xiàn)冗余備份，并實現(xiàn)接入層的路由功能。 ? 接入交換機的 access 端口上實現(xiàn)對允許連接數(shù)量的控制，以提高網(wǎng)絡(luò)的安全性。 ? 在交換機上配置生成樹協(xié)議，避免形成環(huán)路。 ? 在核心層交換機上配置路由接口實現(xiàn)全網(wǎng)互通。 ? 在路由器上用少量的公網(wǎng) IP 實現(xiàn)內(nèi)部網(wǎng)絡(luò)對外網(wǎng)的訪問。 ? 其中還要配置一些服務(wù)器間的控制，要求財務(wù)部不能訪問互聯(lián)網(wǎng)，業(yè)務(wù)部只能訪問 WWW和 FTP 服務(wù)，其余訪問不受控制。 ? 在企業(yè)網(wǎng)內(nèi)部要實現(xiàn)無線路由功能。 ? 在外網(wǎng)的連接中要考慮連接幀中 繼網(wǎng)。 ? 配置一些主要的服務(wù)器，如 FTP、 WWW 等。 需求分析 ? 在接入層交換機上劃分 4 個 VLAN，分別為 vlan12（財務(wù)部）， vlan13（經(jīng)理部）， vlan14（業(yè)務(wù)部）， vlan15（人事部）。交換機之間的鏈路配置為 Trunk 鏈路。 ? 在三層交換機上采用 SVI 方式實現(xiàn) VLAN 之間的路由，并且在兩臺三層交換機之間配置端口聚合，實現(xiàn)負載均衡，提高帶寬。 ? 二層交換機上采用端口安全的方式以提高安全性，并在整個網(wǎng)絡(luò)中配置快速生成樹協(xié)議，避免形成環(huán)路。 ? 三層交換機上配置路由接口，然后給接口配置 IP 地址， 并且對兩個路由器的接口也配置 IP地址。根據(jù)實際情況配置路由協(xié)議到這些接口上，實現(xiàn)全網(wǎng)互通。 ? 在路由器的外網(wǎng)接口上配置 PPP（點到點）協(xié)議，配置 CHAP 認證。 ? 分別在三層交換機和路由器上配置靜態(tài)路由。 ? 用 NAT 轉(zhuǎn)換的方式實現(xiàn)少量公網(wǎng) IP 到 Inter 訪問。 ? 使用訪問控制列表使財務(wù)部不能訪問 WWW 服務(wù)器，業(yè)務(wù)部只能訪問 WWW 和 FTP 服務(wù)器，其余訪問皆不受控制。 ? 配置 VRRP，以實現(xiàn)冗余備份，負載均衡。 ? 配置無線路由，使活動中心可以實現(xiàn)無線上網(wǎng)。 ? 配置幀中繼協(xié)議，以實現(xiàn)內(nèi)網(wǎng)通過幀中繼網(wǎng)與 Inter 的互通 。 ? 設(shè)置 WWW 服務(wù)器， FTP 服務(wù)器和 DHCP 服務(wù)器。 主要描述整個項目的背景，通過項目的建設(shè)所要達到的目標。可以從市場的文檔中摘取。 要求，寫明項目的背景，工程結(jié)束后，整個網(wǎng)絡(luò)所要達到的要求，對于工程的要求，項目中所使用的設(shè)備。 第二章 技術(shù)介紹 主要是整個項目中應(yīng)用的一些技術(shù)原理的介紹，主要介紹項目中使用的新技術(shù)或關(guān)鍵技術(shù)。介紹清楚技術(shù)的原理即可，不用介紹項目中使用的所有技術(shù)，只用選關(guān)鍵的重要的技術(shù)進行介紹即可。如果項目中沒有值得介紹的技術(shù)，該章可以省去。 在組建一個中小型企業(yè)的網(wǎng)絡(luò)時，有些技術(shù) 是不必不可少的。下面針對幾個重要技術(shù)進行簡短的介紹。 VLAN vlan 是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯的劃分成多個互不相干的子網(wǎng)絡(luò)， VLAN 內(nèi)成員發(fā)出的數(shù)據(jù)幀，交換機只把其轉(zhuǎn)發(fā)給同一 VLAN 內(nèi)的成員，而不會發(fā)給 VLAN 成員以外的計算機，由于同一個 VLAN 內(nèi)的廣播包不會跑到別的 VLAN 中， VLAN 內(nèi)的廣播域受到限制，消耗寬帶所占的比例大大降低網(wǎng)絡(luò)性能得到顯著提高。 VLAN 技術(shù)可以控制網(wǎng)絡(luò)的廣播風暴。提高網(wǎng)絡(luò)的安全性，簡化網(wǎng)絡(luò)管理，同時對不太能夠 VLAN 的主機進行隔離，通過在三層交換機上為各 VLAN 配 置 SVI 接口利用三層交換機的路由功能可以實現(xiàn) VLAN 間的路由。 端口安全 技術(shù) 交換機端口安全功能，可以限制一個端口上能連接安全地址的最大個數(shù)，如果一個端口被配置為完全端口，配置有最大的安全地址的連接數(shù)量，當其上連接的安全地址的數(shù)目達到允許的最大個數(shù)，或者該端口收到一個源地址不屬于該端口上的安全地址時，交換機將產(chǎn)生安全為例通知，安全為例的處理方式有 3 種： （ 1） Protect ，當安全地址個數(shù)滿后，安全端口將丟棄未知名地址的包。 （ 2） Restrict Trap ，當違例產(chǎn)生時，將發(fā)送一個 Trap 通 知。 （ 3） Shutdown ，當違例產(chǎn)生時，將關(guān)閉端口并發(fā)送一個 Trap 通知。 STP 快速生成樹協(xié)議 ， STP 協(xié)議是用來避免鏈路環(huán)路產(chǎn)生的廣播風暴、并提供鏈路冗余備份的協(xié)議。對二層以太網(wǎng)來說，兩個 LAN 間只能有一條活動著的通路，否則就會產(chǎn)生廣播風暴。但是為了加強一個局域網(wǎng)的可靠性，建立冗余鏈路又是必要的，其中的一些通路必須處于備份狀態(tài)，如果當網(wǎng)絡(luò)發(fā)生故障，另一條鏈路失效時，冗余鏈路就必須被提升為活動狀態(tài)。手工控制這樣的過程顯然是一項非常艱苦的工作， STP 協(xié)議就自動的完成這項工作。它能使一 個局域網(wǎng)中的交換機起下面作用： （ 1）發(fā)現(xiàn)并啟動局域網(wǎng)的一個最佳樹型拓樸結(jié)構(gòu)。 （ 2）發(fā)現(xiàn)故障并隨之進行恢復(fù)，自動更新網(wǎng)絡(luò)拓樸結(jié)構(gòu)，使在任何時候都選擇了可能的最佳樹型結(jié)構(gòu)。 Trunk 通過某種方法實現(xiàn) VLAN 之間的通道只用各自交換機的一個端口，兩個交換機之間只搭一條干道，所有的 VLAN 之間的通信在這個干道上互不干擾各行其道。 實際上，無論劃分了多少個 VLAN，都可以通過這樣一條只占用兩個交換機接口的干道實現(xiàn)各自 VLAN 之間的通信，而不會占用過多的交換端口，這種技術(shù)稱為干道技術(shù)。 SVI 一個交換機虛擬接口（ Switch Virtual Interface， SVI）代表一個由交換端口構(gòu)成的 VLAN（其實就是通常所說的 VLAN 接口），以便于實現(xiàn)系統(tǒng)中路由功能。 因為在二層交換機組成的網(wǎng)絡(luò)中，用 VLAN 技術(shù)能隔離網(wǎng)絡(luò)流量，但不同的 VLAN 之間是不能相互通信的。想要實現(xiàn) VLAN間的通信，則必須要借助三層交換機的路由功能（或使用路由器）來實現(xiàn)該功能。 SVI 虛擬接口就是三層交換機用來實現(xiàn) VLAN 間路由的方法。 SVI 就是指通常所說的 VLAN 接口，只不過它是虛擬的，用于連接整個 VLAN。 端口聚合 端口聚合主要用于交換機之間連接 。 是將交換機上的多個物理上連接的端口在邏輯上捆綁在一起，形成一個擁有較大寬帶的端口，形成一條干路，可以實現(xiàn)均衡負載，并且能提供冗余鏈路。在將響應(yīng)的兩個端口聚合為一個邏輯端口，要配置生成樹協(xié)議，以解決網(wǎng)絡(luò)存在的環(huán)路問題。注意：要先配置再連線，否則會造成光播風暴，影響交換機的正常工作。 路由協(xié)議 路由器提供了異構(gòu)網(wǎng)互聯(lián)的機制，實現(xiàn)將一個網(wǎng)絡(luò)的數(shù)據(jù)包發(fā)送到另一個網(wǎng)絡(luò)。 所謂路由，就是指通過相互連接的網(wǎng)絡(luò)把數(shù)據(jù)從源地點轉(zhuǎn)發(fā)到目標地點的過程。路由包含兩個基本動作：確定 最佳路徑和數(shù)據(jù)轉(zhuǎn)發(fā)。路由器中的路由有兩種，直連路由和非直連路由。直連路由是在配置完路由器網(wǎng)絡(luò)接口的 IP 地址后自動生成的，如果沒有對這些接口進行特殊的限制，這些接口所直連的網(wǎng)絡(luò)之間就可以直接通信。非直連路由是由兩個或者多個路由器互連的網(wǎng)絡(luò)之間的通信。 路由協(xié)議是在路由指導(dǎo) IP 數(shù)據(jù)包發(fā)送過程中事先約定好的規(guī)定和標準，用來確定到達路徑的。 訪問控制列表 訪問控制 列表 是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，是保證網(wǎng)絡(luò)安全最重要的核心策略之一。 訪問控制列表技術(shù)簡單地說就 是數(shù)據(jù)過濾包，它是是一種重要的軟件防火墻技術(shù)，配置再網(wǎng)絡(luò)互聯(lián)設(shè)備上，為網(wǎng)絡(luò)提供安全保護功能。在交換機或路由器設(shè)備中配置好 ACL 后，它們會按照 ACL 中的指令順序執(zhí)行這些規(guī)則，處理每一個進入端口的數(shù)據(jù)包，實現(xiàn)對進入或者流出網(wǎng)絡(luò)互聯(lián)設(shè)備中的數(shù)據(jù)流過濾。 ACL 的執(zhí)行原則：從上到下逐條執(zhí)行，遇到匹配立即停止，先寫精確度小的。注意：任何一個訪問控制列表至少要有一條允許語句，否則造成全部拒絕。一個端口在某個方向上只能是 in/out 口。 VRRP 虛擬路由器冗余協(xié)議是一種選擇協(xié)議， 將可以承擔網(wǎng)關(guān)功能的一組路由 器加入到備份