【正文】 針對課程：《路由交換技術(shù)》課程設(shè)計指導(dǎo)教師：耿 強(qiáng)小組組長：曹 婷（201115210237）小組成員：符 瑤（201115210233） 張新彬（201115210216）評 分：2014年6月17日目錄人員分工 1第一章 綜合概述 2第二章 需求分析 4 4 5 VLAN（虛擬局域網(wǎng)） 5 PVST（第二代生成樹協(xié)議） 5 SVI（交換機(jī)虛擬接口） 5 聚合鏈路 6 RIPv2（第二版本的路由協(xié)議） 6 NAPT（網(wǎng)絡(luò)端口地址轉(zhuǎn)換） 6 ACL（訪問控制列表） 6 CHAP（點(diǎn)對點(diǎn)協(xié)議） 6 VPN 6 硬件分析 6 接入層交換機(jī)的選擇 6 核心交換機(jī)的選擇 7 路由器的選擇 8 連接線的選擇 9第三章 拓?fù)浣Y(jié)構(gòu) 10 拓?fù)浣Y(jié)構(gòu)圖 10 IP地址及VLAN的規(guī)劃 12第四章 配置實(shí)施 1交換機(jī)的初始化 1VLAN的劃分及端口的分配 1trunk鏈路的配置 SVI的配置 2聚合鏈路的配置 2PVST的配置 2單臂路由的配置 2默認(rèn)路由、靜態(tài)路由和動態(tài)路由的配置 2CHAP認(rèn)證的配置 3NAPT的配置 3ACL的配置 3無線的配置 3VPN的配置 37第五章 測試 39 39 vlan的劃分 39 trunk端口 42 鏈路聚合的設(shè)置 46 全網(wǎng)互通 47 50 PVST 50 RIP 50 NAPT轉(zhuǎn)換 53 CHAP認(rèn)證 54 訪問控制列表 56 DHCP 56 VPN 57第六章 優(yōu)化 60 優(yōu)化一 60 優(yōu)化二 60第七章 總結(jié) 62參考文獻(xiàn) 63人員分工曹婷：網(wǎng)絡(luò)拓?fù)涞脑O(shè)計；IP地址的規(guī)劃；設(shè)備的初始化配置；PVST的配置；CHAP認(rèn)證的配置；NAPT的配置；擴(kuò)展訪問控制列表的配置；VPN的配置；文檔編寫。符瑤：靜態(tài)路由和動態(tài)路由的配置；VLAN的劃分和端口分配；Trunk鏈路的配置；文檔編寫。張新彬：SVI的配置；鏈路聚合配置；單臂路由的配置；文檔編寫。第一章 綜合概述 隨著我國互聯(lián)網(wǎng)絡(luò)的高速發(fā)展，互聯(lián)網(wǎng)絡(luò)對人們的影響不僅體現(xiàn)在人們的工作與學(xué)習(xí)方面，而且越來越多地體現(xiàn)于人們生活的各個方面?；ヂ?lián)網(wǎng)絡(luò)將改變?nèi)祟愓麄€生活的理念已經(jīng)深入人心。 項目背景 當(dāng)今市場經(jīng)濟(jì)的蓬勃發(fā)展為賓館酒店業(yè)的發(fā)展提供了良好的機(jī)遇，豐厚的利潤和巨大的市場也吸引了眾多的競爭者，酒店行業(yè)靠什么贏得競爭優(yōu)勢？酒店在做好現(xiàn)有業(yè)務(wù)種類，不斷提高服務(wù)水平的同時，如何把握客戶的需求，用最經(jīng)濟(jì)的辦法獲得最大的客戶滿意度，提高企業(yè)自身的檔次和知名度，同時拓展新的業(yè)務(wù)增長點(diǎn)，成為最根本的競爭所在，這使得酒店行業(yè)對信息化的需求非常迫切。有調(diào)查表明，酒店的信息服務(wù)水平在很大程度上影響著客人的入住愿望。對于無法提供高速互聯(lián)網(wǎng)接入服務(wù)的酒店，對于客戶來說，無疑是一場商業(yè)災(zāi)難。logo酒店計劃建設(shè)自己的網(wǎng)絡(luò)，該酒店在組建網(wǎng)絡(luò)時共分為兩個區(qū)，即為酒店辦公區(qū)（經(jīng)理室、普通員工）和酒店營業(yè)區(qū)（餐飲區(qū)、客房區(qū)、商務(wù)會議室），希望通過這個新建的網(wǎng)絡(luò)，提供一個安全、可靠、可擴(kuò)張、高效的網(wǎng)絡(luò)環(huán)境，該網(wǎng)絡(luò)將營業(yè)區(qū)和辦公區(qū)有效的融合在一起，使酒店內(nèi)能夠夠方便快捷地實(shí)現(xiàn)網(wǎng)絡(luò)資源共享、全網(wǎng)可以接入Internet，同時實(shí)現(xiàn)酒店內(nèi)部的信息保密隔離，以及訪問公網(wǎng)時的安全。 為了確保關(guān)鍵應(yīng)用的正常運(yùn)行，安全實(shí)施，該網(wǎng)絡(luò)必須具備如下特性： （1）、采用相應(yīng)的通信技術(shù)完成該網(wǎng)絡(luò)的建設(shè)，有效連接營業(yè)區(qū)和辦公區(qū)。 （2）、在公司內(nèi)部實(shí)現(xiàn)資源共享的同時，應(yīng)該保證骨干網(wǎng)絡(luò)的可靠性。 （3）、為了提高數(shù)據(jù)的傳輸效率，在該網(wǎng)絡(luò)中應(yīng)該控制廣播域的范圍。 （4）、在網(wǎng)絡(luò)中使用相應(yīng)的技術(shù)來避免因為環(huán)路而產(chǎn)生的廣播風(fēng)暴。 （5）、采用相應(yīng)的技術(shù)，使得核心交換機(jī)可以具備冗余備份和負(fù)載均衡的特性。 （6）、酒店可以使用較少的公網(wǎng)IP使較多的用戶接入internet。 （7）、在該網(wǎng)絡(luò)中應(yīng)該實(shí)現(xiàn)高效的路由選擇。 （8）、對酒店主干網(wǎng)的出口的數(shù)據(jù)流量進(jìn)行一定的控制。 （9）、酒店內(nèi)可以無線上網(wǎng)。 該酒店的具體環(huán)境如下： （1）、酒店營業(yè)區(qū)包括餐飲區(qū)和客戶區(qū)，辦公區(qū)包括經(jīng)理室和普通員工，兩個部分的交換網(wǎng)絡(luò)對可用性和可靠性要求都較高?！。?）、酒店辦公區(qū)為internet的接入點(diǎn)?！。?）、該酒店已經(jīng)申請到若干公網(wǎng)IP地址，供內(nèi)網(wǎng)接入使用?！。?）、酒店內(nèi)部使用私有地址?！。?）、該酒店有一臺web服務(wù)器對外開放，應(yīng)該分配一個固定的公網(wǎng)地址?！。?）、該酒店設(shè)立了一臺計費(fèi)和前臺服務(wù)器?！。?）、酒店內(nèi)部設(shè)有無線。 Logo酒店以因特網(wǎng)接入的總體目標(biāo)：實(shí)現(xiàn)酒店內(nèi)部每個房間上網(wǎng)的需求，提供高質(zhì)量的互聯(lián)網(wǎng)接入服務(wù)吸引更多商務(wù)客人入住。提高星級酒店的信息化服務(wù)水平，酒店入住客人輕松自如地實(shí)現(xiàn)諸如無線上網(wǎng)綜合運(yùn)用計算機(jī)網(wǎng)絡(luò)技術(shù)向客戶提供高速上網(wǎng)，提高酒店的服務(wù)檔次，酒店經(jīng)濟(jì)的增長，和酒店的競爭力。 設(shè)計主要要考慮到先進(jìn)性、可靠性、開放性、經(jīng)濟(jì)性、安全性和可管理性。設(shè)計要立足先進(jìn)技術(shù)，采用最新科技的電網(wǎng)通技術(shù)，以改變酒店布線難的問題。使整個網(wǎng)絡(luò)在國內(nèi)保持領(lǐng)先的水平，并具有長足的發(fā)展能力，以適應(yīng)未來網(wǎng)絡(luò)技術(shù)的發(fā)展。所以，網(wǎng)絡(luò)系統(tǒng)的可靠性就顯得尤為重要。在網(wǎng)絡(luò)設(shè)計中遵循以下技術(shù)原則： （1）標(biāo)準(zhǔn)化：系統(tǒng)采用的信息分類編碼、網(wǎng)絡(luò)通信協(xié)議和數(shù)據(jù)接口等技術(shù)標(biāo)準(zhǔn)，將嚴(yán)格按照國家有關(guān)標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)規(guī)范。 （2）實(shí)用性：滿足業(yè)務(wù)為需要，充分利用現(xiàn)有資源，避免不計成本盲目追求最新技術(shù)。利用最適合酒店使用的電網(wǎng)通設(shè)備，采用必要的、先進(jìn)的網(wǎng)絡(luò)安全手段與管理技術(shù)，以節(jié)省投資。 （3）安全性和保密性：系統(tǒng)網(wǎng)絡(luò)充分考慮網(wǎng)絡(luò)的故障容錯糾錯功能，建立安全保障體系，采用先進(jìn)的軟硬件等技術(shù)手段，實(shí)現(xiàn)網(wǎng)絡(luò)的傳輸安全、數(shù)據(jù)安全接口，確保網(wǎng)絡(luò)的安全性、保密性。 （4）開放性和可擴(kuò)充性：技術(shù)上要立足長遠(yuǎn)發(fā)展，堅持選用開放性系統(tǒng)。 （5）可維護(hù)性：網(wǎng)絡(luò)接入部分具有較高的模塊化程度，可滿足不同業(yè)務(wù)流程的需要，易于維護(hù)和升級。第二章 需求分析根據(jù)對酒店的考察，對酒店的設(shè)計要求，實(shí)施時需要用到的技術(shù)要求以及硬件方面的要求做了全面的分析。該網(wǎng)絡(luò)主要以兩臺三層交換機(jī)作為整個網(wǎng)絡(luò)的交換核心，利用SVI，PVST等技術(shù)來使網(wǎng)絡(luò)的通信趨于穩(wěn)定,利用鏈路聚合解決冗余備份的問題。 (1)酒店營業(yè)區(qū)接入層采用二層交換機(jī)，并且要采取一定方式分隔廣播域。 ［解決方案］：在接入層交換機(jī)上劃分VLAN可以實(shí)現(xiàn)對廣播域的隔離，劃分餐飲部VLAN 10，客房部VLAN 20，商務(wù)會議室VLAN30，Web服務(wù)VLAN 40，計費(fèi)和前臺服務(wù)VLAN 50，總經(jīng)理室 VLAN 60，普通員工 VLAN ,70，無線上網(wǎng)區(qū)域 VLAN 80，并分配接口。（2）核心交換機(jī)采用高性能的三層交換機(jī)，且采用雙核心互為備份的形勢，接入層交換機(jī)分別通過兩條上行鏈路連接到兩臺核心交換機(jī)，由三層交換機(jī)實(shí)現(xiàn)VLAN之間的路由?！　。劢鉀Q方案］：交換機(jī)之間的鏈路配置為Trunk鏈路，三層交換機(jī)上采用SVI方式實(shí)現(xiàn)VLAN之間的路由。（3）兩臺核心交換機(jī)之間采用雙鏈路連接，以提高核心交換機(jī)之間的鏈路帶寬。　?。劢鉀Q方案］：在兩臺三層交換機(jī)之間配置端口聚合，以提高帶寬。（4）網(wǎng)絡(luò)中存在大量的環(huán)路，要避免環(huán)路可能造成的廣播風(fēng)暴?！　。劢鉀Q方案］：整個交換網(wǎng)絡(luò)內(nèi)實(shí)現(xiàn)PVST，以避免環(huán)路帶來的影響。（5）在酒店辦公區(qū)實(shí)現(xiàn)經(jīng)理室和普通員工之間的互通?！　。劢鉀Q方案］：在S3交換機(jī)和R3路由器的鏈路配置為Trunk鏈路，R3上采用單臂路由的方式實(shí)現(xiàn)互通。（6）實(shí)現(xiàn)全網(wǎng)的互通?！　。劢鉀Q方案］：在兩臺核心交換機(jī)SA、SB和路由器 RR2上啟用RIPv2路由協(xié)議，實(shí)現(xiàn)全網(wǎng)互通。（7）接入交換機(jī)(SSSSS5)的ACCESS端口上實(shí)現(xiàn)對允許的連接數(shù)量的限制，以提高網(wǎng)絡(luò)的安全性?！　。劢鉀Q方案］：采用端口安全的方式實(shí)現(xiàn)。（8）路由器R2配置靜態(tài)路由連接到Internet?！　。劢鉀Q方案］：兩臺三層交換機(jī)上配置默認(rèn)路由，指向R1，在R1上配置默認(rèn)路由指向R2，R2上配置默認(rèn)路由指向連接到因特網(wǎng)的下一跳地址。（9）R2和R3通過廣域網(wǎng)鏈路連接，并提供一定的安全性。［解決方案］：R2和R3的廣域網(wǎng)接口上配置PPP（點(diǎn)到點(diǎn)）協(xié)議，并用CHAP認(rèn)證提高安全性。（10）在R2上使用少量的公網(wǎng)地址讓公司內(nèi)網(wǎng)訪問因特網(wǎng)。［解決方案］：用NAT方式實(shí)現(xiàn)公司內(nèi)網(wǎng)僅用少量的公網(wǎng)地址到因特網(wǎng)的訪問。（11）對內(nèi)網(wǎng)部分主機(jī)進(jìn)行如下控制：［解決方案］：除了辦公區(qū)，其他主機(jī)均不能訪問前臺和計費(fèi)服務(wù)器的FTP服務(wù)。（12）對設(shè)備進(jìn)行安全性設(shè)置。［解決方案］：對各設(shè)備進(jìn)行初始化設(shè)置，包括登陸密碼，管理IP。（13）外網(wǎng)可以訪問內(nèi)網(wǎng)中的web服務(wù)器。［解決方案］：給web服務(wù)器分配一個公網(wǎng)IP地址。（14）在外地出差的工作人員可以訪問公司內(nèi)部的辦公區(qū)。［解決方案］：用VPN的技術(shù)實(shí)現(xiàn)。（15） 實(shí)現(xiàn)無線上網(wǎng)技術(shù)，以滿足客人的要求。［解決方案］：通過無線設(shè)備進(jìn)行設(shè)置。 VLAN（虛擬局域網(wǎng)）VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，是與地理位置無關(guān)的邏輯組網(wǎng)。使用該技術(shù)在本網(wǎng)絡(luò)中可以實(shí)現(xiàn)劃分廣播域，使數(shù)據(jù)交換更加高速。 PVST（第二代生成樹協(xié)議）PVST是解決在虛擬局域網(wǎng)上處理生成樹的CISCO特有解決方案。PVST為每個虛擬局域網(wǎng)運(yùn)行單獨(dú)的生成樹實(shí)例。使用該技術(shù)在本網(wǎng)絡(luò)中可以基于VLAN阻斷環(huán)路，避免廣播風(fēng)暴的發(fā)生。 SVI（交換機(jī)虛擬接口）用于三層交換機(jī)跨vlan間路由。具體可以用interface vlan接口配置命令來創(chuàng)建SVI,然后為其配置IP地址即可實(shí)現(xiàn)路由功能。使用該技術(shù)在本網(wǎng)絡(luò)中可以實(shí)現(xiàn)不同VLAN之間的互相通信。 聚合鏈路鏈路聚合是將兩個或更多數(shù)據(jù)信道結(jié)合成一個單個的信道，該信道以一個單個的更高帶寬的邏輯鏈路出現(xiàn)。鏈路聚合一般用來連接一個或多個帶寬需求大的設(shè)備。使用該技術(shù)在本網(wǎng)絡(luò)中可以實(shí)現(xiàn)兩臺三層交換機(jī)之間的冗余備份和負(fù)載均衡。 RIPv2（第二版本的路由協(xié)議）RIPv2是一種無類別路由協(xié)議，采用距離向量算法，是一種距離向量協(xié)議。使用該協(xié)議可以實(shí)現(xiàn)本網(wǎng)絡(luò)中內(nèi)部網(wǎng)絡(luò)的全網(wǎng)互通。 NAPT（網(wǎng)絡(luò)端口地址轉(zhuǎn)換）該技術(shù)是將多個內(nèi)部地址映射為一個合法公網(wǎng)地址，但以不同的協(xié)議端口號與不同的內(nèi)部地址相對應(yīng)，也就是內(nèi)部地址+內(nèi)部端口與外部地址+外部端口之間的轉(zhuǎn)換。使用該技術(shù)在本網(wǎng)絡(luò)中可以實(shí)現(xiàn)使用較少的公網(wǎng)地址來使內(nèi)部較多的主機(jī)訪問外網(wǎng)。 ACL（訪問控制列表）訪問控制列表（Access Control List，ACL） 是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個框架結(jié)構(gòu)，其目的是為了對某種訪問進(jìn)行控制。使用該技術(shù)于本網(wǎng)絡(luò)主要實(shí)現(xiàn)了對公司內(nèi)部三臺服務(wù)器的訪問控制。 CHAP（點(diǎn)對點(diǎn)協(xié)議）詢問握手認(rèn)證協(xié)議（CHAP）通過三次握手周期性的校驗對端的身份，在初始鏈路建立時完成，可以在鏈路建立之后的任何時候重復(fù)進(jìn)行。使用本認(rèn)證協(xié)議在網(wǎng)絡(luò)中，主要來解決兩個不同辦公地區(qū)連接的安全問題，提高了安全性。 VPN虛擬專用網(wǎng)絡(luò)功能是：在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進(jìn)行加密通訊。在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。VPN網(wǎng)關(guān)通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問。使用本技術(shù)在本網(wǎng)絡(luò)主要實(shí)現(xiàn)出差員工也可以訪問公司內(nèi)部服務(wù)器。 硬件分析 接入層交換機(jī)的選擇 接入層主要采用二層交換機(jī)，本網(wǎng)絡(luò)采用CISCO WSC295024，詳細(xì)參數(shù)如下： 圖21 CISCO WSC295024 表21 CISCO WSC295024重要參數(shù)產(chǎn)品類型快速以太網(wǎng)交換機(jī)VLAN支持接口介質(zhì)10/100BaseTMAC地址表8000傳輸速率10Mbps/100Mbps網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE 、IEEE 、…端口數(shù)量24交換方式存儲轉(zhuǎn)發(fā)背板帶寬產(chǎn)品內(nèi)存16MB DRAM和8MB閃存 核心交換機(jī)的選擇 核心層主要采用三層交換機(jī)，本網(wǎng)絡(luò)采用CISCO WSC356024PSS，詳細(xì)參數(shù)如下： 圖22 CISCO WSC356024PSS表22 CISCO WSC356024PSS重要參數(shù)產(chǎn)品類型企業(yè)級交換機(jī)傳輸速率10/100Mbps應(yīng)用層級三層端口數(shù)量24個背板帶寬32Gbps網(wǎng)絡(luò)管理網(wǎng)管功能SNMP，CLI，WebVLAN支持包轉(zhuǎn)發(fā)率 路由器的選擇 路由器主要負(fù)責(zé)連接辦公區(qū)和營業(yè)區(qū)，負(fù)責(zé)連接外網(wǎng)，實(shí)現(xiàn)VPN，以及實(shí)現(xiàn)無線上網(wǎng)服務(wù)，本網(wǎng)絡(luò)采用CISCO 1841和CISCO 2612*M和CISCO Linklys，其中CISCO 1841安裝了WIC1T模塊，CISCO 2612*M安裝了NM1FEFX，詳細(xì)參數(shù)如下： 圖23 CISCO