【正文】 絡(luò)用戶訪問文件、目錄的并發(fā)控制和安全保密措施。 代理服務(wù)器， 是一種重要的安全功能，它主要起防火墻的作用。在 AAA 服務(wù)器上設(shè)置radius 客戶端地址和加密密碼，在 radius 客戶端也要設(shè)置認(rèn)證服務(wù)器的 IP 地址和加密密碼。利用 Windows Server 2021，可以根據(jù)網(wǎng)絡(luò)辦公的需要，以集中或分布的方式充當(dāng)各種網(wǎng)絡(luò)服務(wù)器，為辦公網(wǎng)絡(luò)提供幾乎所有的最基本的網(wǎng)絡(luò)服務(wù)。 網(wǎng)絡(luò)擴(kuò)展性需求 首先要使得當(dāng)前架設(shè)的網(wǎng)絡(luò)盡可能的高性價(jià)比，即以最少的價(jià)錢實(shí)現(xiàn)最滿第二章 需求分析 6 意的性能需求。中小企業(yè)組網(wǎng)同樣要遵循下述原則，有先進(jìn)性，可靠性，可擴(kuò)展性，開放性，可管理和安全性，同時(shí)還應(yīng)具有實(shí)用，經(jīng)濟(jì)，可升級(jí)等特點(diǎn)。 因此，最終選用吉比特以太網(wǎng)作為該企業(yè)的組網(wǎng)技術(shù)方案。企業(yè)網(wǎng)絡(luò)要具備開放性，能與外部 Inter 互聯(lián)，也能使受信任的其它企業(yè)網(wǎng)訪問互通。 第三章 邏輯網(wǎng)絡(luò)設(shè)計(jì) 8 可管理性：提供靈活的管理平臺(tái)能夠?qū)Ω髟O(shè)備進(jìn)行統(tǒng)一管理，可管理性既依賴于管理平臺(tái)管理軟件的應(yīng)用，也要求企業(yè)網(wǎng)絡(luò)構(gòu)建過程中，留有一份完整的網(wǎng)絡(luò)文檔以便于日后察看。 設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是網(wǎng)絡(luò)設(shè)計(jì)的第一步，首先根據(jù)網(wǎng)絡(luò)需求選擇合適的網(wǎng)絡(luò)模型。 核心層是整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)的核心部分，對(duì)整個(gè)網(wǎng)絡(luò)的互連起到?jīng)Q定性的作用。 接入層用于連接終端用戶，將他們連接到分布層。 針對(duì) 企業(yè)網(wǎng)中不同層次的交換機(jī)會(huì)有不同的選擇，在現(xiàn)代企業(yè)網(wǎng)中一般會(huì)為分為核心層交換機(jī)，分布層交換機(jī)，接入層交換機(jī)。 在本次設(shè)計(jì)方案中多數(shù)網(wǎng)絡(luò)設(shè)備均采用的是 Cisco 的網(wǎng)絡(luò)設(shè)備。 分布層交換機(jī) 首先作為分布層交換機(jī)最好選擇 Cisco 4500 系列的交換機(jī)，它們是一 系列中端、中等密度的模塊化交換機(jī)，提供了強(qiáng)大的智能服務(wù)。 最終為企業(yè)網(wǎng) 所 選擇的交換機(jī)類型分別為 Catalyst 650 Catalyst 450Catalyst 296024 三款交換機(jī)，其基本參數(shù)如下表所示 ： 表 41 交換機(jī)參數(shù) 應(yīng)用層級(jí) 名稱 傳輸速率 背板帶寬 包轉(zhuǎn)發(fā)率 端口 結(jié)構(gòu) 參考價(jià)格 核心層 C6506E 10/100/1000Mbps 480Gbps 243Mpps 模塊化 ￥ 萬 分布層 C4506WSC4503 10/100/1000Mbps 64Gbps 75Mpps 模塊化 ￥ 4800 接入層 C296024TCL 10/100Mbps 非模 塊化 ￥ 4700 路由器選型 在對(duì)路由器進(jìn)行選購時(shí)，和交換機(jī)一樣，要參考一些基本的指標(biāo)，有網(wǎng)絡(luò)接口類型，用戶可用槽數(shù)和端口密度等，也要參考一些功能指標(biāo)，如對(duì)路由協(xié)議的支持， PPPOE 的支持，組播的支持， VPN 的支持以及硬件加密方式等。同時(shí)要考慮到防火墻支持的 LAN 接口，這關(guān)系到防火墻所能保護(hù)的網(wǎng)絡(luò)類型和所能保護(hù)的不同內(nèi)網(wǎng)數(shù)目。 其基本參數(shù)如下表所示。入門級(jí)服務(wù)器通常只使用一塊 CPU，可以滿足中小型網(wǎng)絡(luò)用戶和需求，工作組級(jí)服務(wù)器有 1～ 2 個(gè) CPU，適用于為中小型企業(yè)提供Web、 Email 等服務(wù)，部門級(jí)服務(wù)器通常支持 2～ 4 個(gè) CPU，部門級(jí)服務(wù)器是企業(yè)網(wǎng)絡(luò)中分散的各基層數(shù)據(jù)采集單位與最高層數(shù)據(jù)中心保持順利連通的必要環(huán)節(jié)，適合中型企業(yè)作為數(shù)據(jù)中心、 Web 站點(diǎn)。塔式服務(wù)器是目前應(yīng)用最為廣泛最為常見的服務(wù)器，由于具備很好的擴(kuò)展功能，在配置上也可以根據(jù)用戶需求進(jìn)行升級(jí)，能滿足企業(yè)大部分的應(yīng)用需求。 綜合考慮為本企業(yè)選擇了幾款主要的服務(wù)器，其他服務(wù)器的選型不再詳細(xì)說明， 其參數(shù)如下表： 表 45 主服務(wù)器參數(shù) 名稱 CPU型號(hào) 標(biāo)配CPU 數(shù)量 內(nèi)存容量 標(biāo)配硬盤容量 內(nèi)部硬盤架數(shù) 網(wǎng)絡(luò)控制器 價(jià)格 IBM System x3650 M47915I31 Xeon E52620 2GHz 1 顆 4GB DDR3 300GB 最大支持 8 塊或 3 塊 寸 四端口千兆網(wǎng)卡 ￥ 萬 第五章 IP 地址規(guī)劃及網(wǎng)絡(luò)設(shè)備配置 14 表 46 文件服務(wù)器參數(shù) 表 47 Web 服務(wù)器參數(shù) UPS 選型 UPS（ Uninterrupted Power System），即不間斷電源，主要用于給單臺(tái)計(jì)算機(jī)，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或其他電力電子設(shè)備提供不間斷的電力供應(yīng)。%1） VAC 頻率范圍 市電模式：（ 46~54） Hz/(56~64)Hz(與輸入市電頻率同步 ) 電池模式： 50（ 177。 VLAN 劃分及地址分配如下 ： 表 51 VALN 劃分 部門 VLAN 地址范圍 網(wǎng)關(guān)地址 服務(wù)器群 vlan10 DMZ 區(qū)服務(wù)器群 vlan11 業(yè)務(wù)部 vlan20 財(cái)務(wù)部 vlan30 技術(shù)部 vlan40 行政部 vlan50 研發(fā)部 vlan60 人力資源部 vlan70 公關(guān)部 vlan80 會(huì)議室 vlan90 業(yè)務(wù)部（二） vlan100 研發(fā)部（二） vlan110 公關(guān)部（二） vlan120 人力資源部（二） vlan130 財(cái)務(wù)部（二） vlan140 會(huì)議室（二） vlan150 第五章 IP 地址規(guī)劃及網(wǎng)絡(luò)設(shè)備配置 17 網(wǎng)絡(luò)設(shè)備 IP 地址 ： 表 52 服務(wù)器組 IP 地址 服務(wù)器名稱 IP 地址 VLAN 網(wǎng)關(guān) DNS 服務(wù)器 vlan 11 WWW 服務(wù)器 vlan 11 Email服務(wù)器 vlan 11 FTP 服務(wù)器 vlan 11 DHCP 服務(wù)器 vlan 10 AAA 服務(wù)器 vlan 10 管理 PC vlan 99 交換機(jī) IP 地址 ： 表 53 交換機(jī)管理 IP 地址 交換機(jī) 管理地址（ vlan 99） 設(shè)備名稱 服務(wù)器群接入交換機(jī) Switch0 1 號(hào)核心交換機(jī) Cores1 2 號(hào)核心交換機(jī) Cores2 1 號(hào)分布交換機(jī) Distris1 2 號(hào)分布交換機(jī) Distris2 1 號(hào)接入交換機(jī) Switch1 2 號(hào)接入交換機(jī) Switch2 3 號(hào)接入交換機(jī) Switch3 4 號(hào)接入交換機(jī) Switch4 5 號(hào)接入交換機(jī) Switch5 6 號(hào)接入交換機(jī) Switch6 7 號(hào)接入交換機(jī) Switch7 企業(yè)邊緣接入交換機(jī) Switch8 DMZ 區(qū)交換機(jī) Switch9 3 號(hào)分布交換機(jī) Distris3 4 號(hào)分布交換機(jī) Distris4 第五章 IP 地址規(guī)劃及網(wǎng)絡(luò)設(shè)備配置 18 8 號(hào)接入交換機(jī) Switch10 9 號(hào)接入交換機(jī) Switch11 10 號(hào)接入交換機(jī) Switch12 設(shè)備端口 IP 地址分配如下： 表 54 設(shè)備端口地址分配表 接口名稱 IP 地址 總部核心層交換機(jī) s1 f0/1 總部核心層交換機(jī) s1 f0/2 總部核心層交換機(jī) s1 f0/4 總部核心層交換機(jī) s2 f0/1 總部核心層交換機(jī) s2 f0/2 總部核心層交換機(jī) s2 f0/4 總部分布 層交換機(jī) s1 f0/1 總部分布層交換機(jī) s1 f0/2 總部分布層交換機(jī) s2 f0/1 總部分布層交換機(jī) s2 f0/2 總部分布層交換機(jī) s3 f0/1 總部分布層交換機(jī) s3 f0/2 部分配置命令以及網(wǎng)絡(luò)測(cè)試 在內(nèi)部的應(yīng)用服務(wù)器群接入交換機(jī)上創(chuàng)建 vlan 10，并把接入服務(wù)器的各 個(gè)接口劃入到 vlan 10 當(dāng)中，同時(shí)為 vlan 10 創(chuàng)建虛擬的接口，將與核心層相連的接口的模式改為 trunk，實(shí)現(xiàn) vlan 與外部的通信。 第五章 IP 地址規(guī)劃及網(wǎng)絡(luò)設(shè)備配置 20 Switch(config)int f0/1 Switch(configif)no switchport Switch(configif)ip address Switch(configif)no shut 其他兩個(gè)接口的配置 同上 Switch(config)int vlan 10 Switch(configif)ip address Switch(configif)no shut 在核心交換機(jī)與防火墻路由器以及廣域網(wǎng)路由器上配置同一網(wǎng)段的 ip 地址： Switch(config)int f0/5 Switch(configif)no switch Switch(configif)ip add Switch(configif)no shut 同樣其他三個(gè)接口地址為 在核心層交換機(jī)上啟動(dòng)動(dòng)態(tài)路由協(xié)議 rip，同時(shí)把直連接口加入到路由表中，與其他啟用 rip 路由協(xié)議的網(wǎng)絡(luò)設(shè)備共享路由信息。 設(shè)置 s1 為 vlan20,vlan30,vlan40,vlan50 根 ，用于實(shí)現(xiàn)主交換機(jī)和冗余設(shè)備的負(fù)載均衡： Switch(config)spanningtree vlan 20 root primary Switch(config)spanningtree vlan 30 root primary Switch(config)spanningtree vlan 40 root primary Switch(config)spanningtree vlan 50 root primary Switch(config)spanningtree vlan 60 root secondary Switch(config)spanningtree vlan 70 root secondary Switch(config)spanningtree vlan 80 root secondary 同樣 設(shè)置 交換機(jī) s2 為 vlan60,vlan70,vlan80 根 下面在分布層交換機(jī) s1 上為 vlan 建立 SVI 接口， ，實(shí)現(xiàn) vlan間的通信。 Switch7(config)interface vlan 99 Switch7(configif)ip address Switch7(configif)no shut Switch7(config)ip defaultgateway 設(shè)定默認(rèn)網(wǎng)關(guān)為分布層交換機(jī)vlan99 虛擬交換接口地址 配置 switch7 遠(yuǎn)程登錄密碼和特權(quán)密碼 Switch7(config)enable password cisco Switch7(config)line vty 0 15 Switch7(configline)password cisco Switch7(configline)exit 從管理計(jì)算機(jī) tel 登錄接入交換機(jī)進(jìn)行管理 圖 57 遠(yuǎn)程管理交換機(jī) 在分支機(jī)構(gòu)與總部相連的地方使用的是帶有 IPSec 保護(hù)機(jī)制的 VPN，使用ESP 加密方式對(duì)數(shù)據(jù)進(jìn)行封裝。 輸入 Active Directory 域名 “”。 在 windows server 2021 中，所有的安全信息都存儲(chǔ)在活動(dòng)目錄中，因此，如果網(wǎng)絡(luò)中只有一臺(tái)域控制器，網(wǎng)絡(luò)無法保證其自身的安全性和穩(wěn)定性。 選擇 “創(chuàng)建正向查找區(qū)域 ”，點(diǎn)擊 “下一步 ”。 選擇 “不允許動(dòng)態(tài)更新 ”，不接受資源記錄的動(dòng)態(tài)更新，以安全的手動(dòng)方式更新 DNS 記錄。因此，局域網(wǎng)中一般都安裝有兩臺(tái) DNS 服務(wù)器，一臺(tái)作為主服務(wù)器，一臺(tái)作為輔助服務(wù)器。選擇 “輔助區(qū)域 ”，點(diǎn)擊 “下一步 ”。因此，必須為每種服務(wù)，如 WWW、 Email、 FTP 等創(chuàng)建一個(gè) A 記錄。單擊 “添加主機(jī) ”，主機(jī) 記錄即創(chuàng)建成功。單擊 “添加主機(jī) ”，主機(jī)記錄即創(chuàng)建成功。然后單擊 “下一步 ”。 選中 “為此服務(wù)器的新用戶設(shè)置默認(rèn)磁盤空間配 額 ”，將磁盤空間限制為500MB，將警告級(jí)別設(shè)置為 455MB，并選中 “拒絕將磁盤空間給超過配額限制的用戶 ”。然后單擊 “下一步 ”。 圖 74 DNS 記錄創(chuàng)建 DHCP 服務(wù)器 在配置您的服務(wù)器向?qū)е?，選中 “DHCP 服器 ”，單擊 “下一步 ”。單擊 “添加主機(jī) ”，主機(jī)記錄即創(chuàng)建成功。單擊 “添加主機(jī) ”，主機(jī)記錄即創(chuàng)建成功。 在 “IP 地址 ”中輸入主 DNS 服務(wù)器的 IP 地址 ，點(diǎn)擊 “添加 ”后，點(diǎn)擊 “下一步 ”。輔助 DNS服務(wù)器會(huì)自動(dòng)從主 DNS 服務(wù)器上獲取相應(yīng)的數(shù)據(jù)，因此，無須在輔助 DNS 服務(wù)器中添加各種主機(jī)記錄。 選中 “是，應(yīng)當(dāng)將查詢轉(zhuǎn)發(fā)到下列 IP 地址的 DNS 服務(wù)器上 ”，輸入 ISP 提供的 DNS 服務(wù)器的 IP 地址 “”，點(diǎn)擊 “下一步 ”。 輸入?yún)^(qū)域名稱 “”，點(diǎn)擊 “下一步 ”。除了提供容錯(cuò)功能外，多臺(tái)域控制器還可以分擔(dān)審核用戶登錄身份的工作。 服務(wù)器重啟之后，域控制器即安裝完成。 第五章 IP 地址規(guī)劃及網(wǎng)絡(luò)設(shè)備配置 28 在總部邊緣路由器上所做配置如下：