【正文】 在總部 Border 路由器上做 GRE 和 OSPF 的配置 Borderr(config)int tunnel 0 Borderr(configif)ip add Borderr(configif)tunnel source s0/0/1 Borderr(configif)tunnel destina Borderr(configif)exit Borderr(config)router ospf 1 Borderr(configrouter)logadjacencychanges Borderr(configrouter)work area 0 Borderr(configrouter)work area 0 同樣在分支機(jī)構(gòu)邊緣路由器上做相同的配置 在總公司邊緣路由器上配置 IP SEC VPN 保護(hù)站點(diǎn)間 GRE 流量： Router(config)cry isa poli 10 Router(configisakmp)auth preshare Router(config)cry isa key cisco add Router(config)ip accesslist ex vpn Router(configextnacl)permit gre host host Router(config)cry ipsec transformset cisco espdes espmd5hmac Router(config)cry map cisco 10 ipsecisakmp Router(configcryptomap)match add vpn Router(configcryptomap)set transformset cisco Router(configcryptomap)set peer Router(configcryptomap)int s0/0/1 Router(configif)cry map cisco 同樣在分公司邊緣路由器上配置 IP SEC VPN 保護(hù)站點(diǎn)間 GRE 流量 下面測(cè)試分支機(jī)構(gòu)到總部的連通性，檢查數(shù)據(jù)包，可以看到數(shù)據(jù)包先用GRE 協(xié)議進(jìn)行了封裝然 后用經(jīng)過(guò) ESP 加密封裝，從而實(shí)現(xiàn)了從分支機(jī)構(gòu)到總部安全的訪問。 把與核心層交換機(jī)相連的接口啟動(dòng)三層接口功能，并為其分配一個(gè)地址 Switch(config)int f0/1 Switch(configif)no switchport 第五章 IP 地址規(guī)劃及網(wǎng)絡(luò)設(shè)備配置 23 Switch(configif)ip address Switch(configif)no shut Switch(config)int f0/2 Switch(configif)no switchport Switch(configif)ip address Switch(configif)no shut 在分布層交換機(jī)上啟動(dòng)動(dòng)態(tài)路由協(xié)議 rip，并與相連交換機(jī)共享路由信息 Switch(config)router rip Switch(configrouter)work Switch(configrouter)work Switch(configrouter)work Switch(configrouter)work Switch(configrouter)work Switch(configrouter)work Switch(configrouter)work Switch(configrouter)work 同時(shí)配置通向外網(wǎng)的默認(rèn)路由： Switch(config)ip route 相連核心交換機(jī)上接口 相似的配置在分布層冗余交換機(jī) s2 上進(jìn)行配置，這里不再詳細(xì)說(shuō) 明 在 總部接入層交換機(jī) s1 上啟用 vtp 協(xié)議，域名同分布層交換機(jī)為 1，模式為 client，從 server 上獲取動(dòng)態(tài)的 vlan 信息 Switch(config)vtp domain 1 Switch(config)vtp mode client Switch(config)int range f0/12 Switch(configifrange)switchport mode trunk 將接入層交換機(jī)與終端用戶相連的接入接口都劃分都對(duì)應(yīng)的 vlan 中 Switch(configifrange)int range f0/324 Switch(configifrange)switchport mode access 第五章 IP 地址規(guī)劃及網(wǎng)絡(luò)設(shè)備配置 24 Switch(configifrange)switchport access vlan id(id 為 vlan 號(hào)， s1 接入vlan20,s2 接入 vlan30,s3 接入 vlan40,.........,s7 接入 vlan80,) 在 dhcp 服務(wù)器上配置每個(gè) vlan 對(duì)應(yīng)的地址池，使得終端用戶能從這里動(dòng)態(tài)的獲取到地址 到現(xiàn)在實(shí)現(xiàn)了企業(yè)網(wǎng)內(nèi)部的連通，測(cè)試 一下終端用戶獲取動(dòng)態(tài)地址的情況： 圖 52 用戶獲取動(dòng)態(tài)地址 下面測(cè)試一下用戶到 dmz 區(qū)服務(wù)器的情況，如圖可以訪問內(nèi)部網(wǎng)站： 圖 53 用戶訪問內(nèi)部網(wǎng)站 第五章 IP 地址規(guī)劃及網(wǎng)絡(luò)設(shè)備配置 25 無(wú)線用戶連接網(wǎng)絡(luò)的情況： 圖 54 移動(dòng)用戶連接無(wú)線網(wǎng)絡(luò) 企業(yè)邊緣接入交換機(jī) Switch(configif)int range f0/12 Switch(configifrange)switchport mode trunk 在企業(yè)邊緣路由器上配置到內(nèi)網(wǎng)與外網(wǎng)的路由，實(shí)現(xiàn)內(nèi)外的通信，同時(shí)配置 nat 地址轉(zhuǎn)換，實(shí)現(xiàn)私有地址到公 有網(wǎng)絡(luò)的通信： Router(config)ip route s0/0/0 Router(config)ip route 防火墻路由器地址 Router(config)ip nat inside source list 1 pool nat1 overload Router(config)accesslist 1 permit . Router(config)ip nat pool nat1 mask Router(config)int s0/0/0 Router(configif)ip nat inside Router(config)int s0/0/1 第五章 IP 地址規(guī)劃及網(wǎng)絡(luò)設(shè)備配置 26 Router(configif)ip nat outside 測(cè)試內(nèi)部用戶上外網(wǎng)的情況： 圖 55 用戶與外網(wǎng)通信 通過(guò)查看 NAT 地址轉(zhuǎn)換表，可以看到剛才用戶在 訪問外網(wǎng)時(shí)其私有地址 已經(jīng)轉(zhuǎn)換成公網(wǎng)地址 ，所以對(duì)于外網(wǎng)來(lái)說(shuō)它只能看到流量時(shí)來(lái)自于地址 ，而不會(huì)知道企業(yè)內(nèi)部的私有地址，從而保護(hù)了企業(yè)內(nèi)部的數(shù)據(jù)。將與接入層交換機(jī)相連的接口配成 trunk 模式，傳送不同 vlan 間的信息。 單臂路由如下： Router(config)interface f0/ Router(configsubif)encap dot1q 11 Router(configsubif)ip add Router(configsubif)no shut 在 總部核心層交換機(jī) s1 上，與冗余交換機(jī) s2 相連的接口配成干道接口，模式為 trunk，可以傳遞多種流量信息。%1） Hz 電流峰值比 3： 1 額定功率因數(shù) 超載能力 Load 105%, 長(zhǎng)期運(yùn)行： 105%load125%1min,125%load150%30sec 效率 Up to 90% 電池電壓 16pcs12VDC 外形尺寸（ mm） W*D*H 248*500*616 240*500*460 248*500*616 240*500*460 重量（ KG） 57 18 20 之所以選擇 10KVA 的 UPS,是考慮到日后網(wǎng)絡(luò)的擴(kuò)展升級(jí)和設(shè)備的增加，選擇 6KVA 對(duì)于目前規(guī)劃與設(shè)計(jì)的企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)是足夠用的，但是基于對(duì)未來(lái)的展望與規(guī)劃，選擇 10KVA 才是更好地保證了企業(yè)的投資。 APC、山特等是 UPS 著名品牌，選擇 UPS 時(shí)最好是選用這些有知名度的品牌，這樣能獲得更好的保障。刀片式服務(wù)器是比機(jī)架式 更緊湊整合的服務(wù)器結(jié)構(gòu)，每個(gè)刀片就是一臺(tái)獨(dú)立的服務(wù)器。服務(wù)器按用途可分為通用型服務(wù)器和專用型服務(wù)器兩種，通用型服務(wù)器可以提供各種服務(wù)功能，專有型服務(wù)器是專門為某一種或幾種功能專門設(shè)計(jì)的服務(wù)器。服務(wù)器必須具備高可靠性，高可用第五章 IP 地址規(guī)劃及網(wǎng)絡(luò)設(shè)備配置 13 性，高可擴(kuò)充性等特點(diǎn)。在性能指標(biāo)上，主要看重并發(fā) 連接數(shù)和吞吐量。因此， 本網(wǎng)絡(luò)路由器選擇 Cisco 2811，其基本參數(shù)如下所示 ： 表 42 路由器參數(shù) 名稱 端口 局域網(wǎng)接口 傳輸 速率 VPN QoS 防火墻 網(wǎng)絡(luò) 管理 參考 價(jià)格 第五章 IP 地址規(guī)劃及網(wǎng)絡(luò)設(shè)備配置 12 Cisco 2811 模塊化 2 個(gè) 10/100Mbps 支持 支持 內(nèi)置 SNMP ￥ 5800 在總部和分支機(jī)構(gòu)的會(huì)議室都設(shè)有無(wú)線路由，對(duì)于無(wú)線路由選用企業(yè)級(jí)無(wú)線路由器 H3C ER2210C,其基本配置如下 ： 表 43 無(wú)線路由器參數(shù) 名稱 最高 速率 WAN 口 LAN 口 VPN QoS 防火墻 天線 參考價(jià)格 H3C ER2210C 1 個(gè)10/100Mbps 4 個(gè)10/100Mbps 支持 支持 內(nèi)置 外置全向天線，1 根 ￥ 2450 防火墻選型 在選購(gòu)防火墻時(shí)，用戶首先要明確自己的業(yè)務(wù)需求和未來(lái)的發(fā)展規(guī)劃。 接入層交換機(jī) 對(duì)于接入層交換機(jī)的各方面性能要求不是那么高，只需要簡(jiǎn)單匯聚來(lái)自接入層的流量到分布層，需要有較多的端口數(shù)量，以及提供桌面快速以太網(wǎng)和千兆以太網(wǎng)的連接即可。然后根據(jù)本企業(yè)對(duì)網(wǎng)絡(luò)設(shè)備的性能需求主要是交換容量較大、端口密度比較高，因此需要選擇模塊化的交換機(jī)作為核心層交換機(jī)。分布層交換機(jī)背板帶寬基本上在幾十 Gbit/s 以上，包轉(zhuǎn)發(fā)速率在幾十 Mpacket/s 以上，分布層交換機(jī)要有三層以上交換功能和較多的 VLAN 數(shù)，但是總體性能指標(biāo)要比核心層交換機(jī)低。 企業(yè)網(wǎng)大體分為服務(wù)器群，樓宇接入群，企業(yè)邊緣接入群，分支機(jī)構(gòu)四個(gè)模塊。 分布層是連接核心層和接入層關(guān)鍵位置，通常在上面做一些策略的設(shè)置，比如創(chuàng)建和管理 vlan、流量訪問控制等。因此在本網(wǎng)絡(luò)設(shè)計(jì)過(guò)程，為企業(yè)選擇層次化網(wǎng)絡(luò)模型為中心設(shè)計(jì)網(wǎng)絡(luò)的拓?fù)鋱D。 網(wǎng)絡(luò)拓?fù)鋱D設(shè)計(jì) 為了達(dá)到企業(yè)對(duì)網(wǎng)絡(luò)應(yīng)用的需求，應(yīng)該按照上述原則規(guī)劃和設(shè)計(jì)企業(yè)網(wǎng)，在網(wǎng)絡(luò)拓?fù)渖喜捎眯切徒Y(jié)構(gòu)。 安全性：確保系統(tǒng)內(nèi)部的數(shù)據(jù)、數(shù)據(jù)訪問傳輸信息的安全的，避免非法用戶訪問和攻擊。 先進(jìn)性：網(wǎng)絡(luò) 建設(shè)要具有超前意識(shí)，具有先進(jìn)的設(shè)計(jì)思想、網(wǎng)絡(luò)結(jié)構(gòu)、軟硬件設(shè)備以及使用先進(jìn)開發(fā)工具。目前，吉比特以太網(wǎng)已經(jīng)發(fā)展成為主流網(wǎng)絡(luò)技術(shù)。 實(shí)現(xiàn)目標(biāo) 首先是資源共享，企業(yè)內(nèi)部的資源可以被授權(quán)的員工共享訪問，包括文件，打印 機(jī)等；其次是企業(yè)內(nèi)部的通信，企業(yè)內(nèi)部各部門可以在限制范圍內(nèi)實(shí)現(xiàn)通信，外出員工也可以安全地遠(yuǎn)程到企業(yè)內(nèi)部網(wǎng)，部分員工也可以由內(nèi)部網(wǎng)絡(luò)安全地訪問互聯(lián)網(wǎng)；最后是通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)對(duì)企業(yè)的統(tǒng)一管理。 安全需求 企業(yè)的網(wǎng)絡(luò)安全 主要是對(duì)各服務(wù)器進(jìn)行授權(quán)訪問，并進(jìn)行病毒防護(hù)，數(shù)據(jù)備份，對(duì)企業(yè)內(nèi)部計(jì)算機(jī)進(jìn)行統(tǒng)一集中式的管理以及遠(yuǎn)程用戶對(duì)公司網(wǎng)絡(luò)的安全訪問。 操作系統(tǒng)的 選擇 Windows Server 2021 以其安全性、可靠性、可用性和可伸縮性而受到諸多系統(tǒng)管理員的青睞，成為中小企業(yè)網(wǎng)絡(luò)中最流行的網(wǎng)絡(luò)操作系統(tǒng)。 VPN 服務(wù)器， VPN 又叫做虛擬專用網(wǎng)絡(luò)， VPN 技術(shù)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)安全的加密通道在公共網(wǎng)絡(luò)中傳播。 Web 服務(wù)器，就是 用于實(shí)現(xiàn)員工訪問公司內(nèi)部網(wǎng)頁(yè)的服務(wù)， 辦公局域網(wǎng)中用戶 通過(guò)此服務(wù)器可以實(shí)現(xiàn)共享內(nèi)容的網(wǎng)頁(yè)訪問，從而達(dá)到更好的共享效果，同時(shí)訪問也更方便。網(wǎng)絡(luò)中必須有 DNS服務(wù)器才能實(shí)現(xiàn) Active Directory。同時(shí)通過(guò)配置虛擬專用網(wǎng)絡(luò)，實(shí)現(xiàn) 遠(yuǎn)程登錄和遠(yuǎn)程會(huì)議。通過(guò)對(duì)組網(wǎng)技術(shù)和線路的選擇，實(shí)現(xiàn) 同時(shí)支持約 100 臺(tái) pc 訪問 Inter。企業(yè)網(wǎng)中大部分的用戶數(shù)據(jù)來(lái)自對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)的訪問，同時(shí)業(yè)務(wù)應(yīng) 用系統(tǒng)的可靠性的要求也最高。 企業(yè)內(nèi)部需要聯(lián)網(wǎng)的節(jié)點(diǎn)數(shù)為 200 點(diǎn)，信息點(diǎn)分布在 18 樓，網(wǎng)絡(luò)中心位于 1 樓，整個(gè)大樓采用光纖布線，樓層需要百兆交換到桌面。 青島分公司主要職能是為總公司研發(fā)產(chǎn)品與開拓市場(chǎng)，在一樓設(shè)有業(yè)務(wù)部，二樓設(shè)有研發(fā)部和公關(guān)部，三樓設(shè)有人力資源部和財(cái)務(wù)部，四樓是總經(jīng)理辦公室和會(huì)議室。 使用管理工具對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理 本次設(shè)計(jì)，從各方面考慮實(shí)現(xiàn)企業(yè)的各方面需求，得