【正文】 在總部 Border 路由器上做 GRE 和 OSPF 的配置 Borderr(config)int tunnel 0 Borderr(configif)ip add Borderr(configif)tunnel source s0/0/1 Borderr(configif)tunnel destina Borderr(configif)exit Borderr(config)router ospf 1 Borderr(configrouter)logadjacencychanges Borderr(configrouter)work area 0 Borderr(configrouter)work area 0 同樣在分支機構邊緣路由器上做相同的配置 在總公司邊緣路由器上配置 IP SEC VPN 保護站點間 GRE 流量： Router(config)cry isa poli 10 Router(configisakmp)auth preshare Router(config)cry isa key cisco add Router(config)ip accesslist ex vpn Router(configextnacl)permit gre host host Router(config)cry ipsec transformset cisco espdes espmd5hmac Router(config)cry map cisco 10 ipsecisakmp Router(configcryptomap)match add vpn Router(configcryptomap)set transformset cisco Router(configcryptomap)set peer Router(configcryptomap)int s0/0/1 Router(configif)cry map cisco 同樣在分公司邊緣路由器上配置 IP SEC VPN 保護站點間 GRE 流量 下面測試分支機構到總部的連通性，檢查數(shù)據(jù)包，可以看到數(shù)據(jù)包先用GRE 協(xié)議進行了封裝然 后用經過 ESP 加密封裝，從而實現(xiàn)了從分支機構到總部安全的訪問。 把與核心層交換機相連的接口啟動三層接口功能，并為其分配一個地址 Switch(config)int f0/1 Switch(configif)no switchport 第五章 IP 地址規(guī)劃及網絡設備配置 23 Switch(configif)ip address Switch(configif)no shut Switch(config)int f0/2 Switch(configif)no switchport Switch(configif)ip address Switch(configif)no shut 在分布層交換機上啟動動態(tài)路由協(xié)議 rip，并與相連交換機共享路由信息 Switch(config)router rip Switch(configrouter)work Switch(configrouter)work Switch(configrouter)work Switch(configrouter)work Switch(configrouter)work Switch(configrouter)work Switch(configrouter)work Switch(configrouter)work 同時配置通向外網的默認路由： Switch(config)ip route 相連核心交換機上接口 相似的配置在分布層冗余交換機 s2 上進行配置，這里不再詳細說 明 在 總部接入層交換機 s1 上啟用 vtp 協(xié)議，域名同分布層交換機為 1，模式為 client，從 server 上獲取動態(tài)的 vlan 信息 Switch(config)vtp domain 1 Switch(config)vtp mode client Switch(config)int range f0/12 Switch(configifrange)switchport mode trunk 將接入層交換機與終端用戶相連的接入接口都劃分都對應的 vlan 中 Switch(configifrange)int range f0/324 Switch(configifrange)switchport mode access 第五章 IP 地址規(guī)劃及網絡設備配置 24 Switch(configifrange)switchport access vlan id(id 為 vlan 號， s1 接入vlan20,s2 接入 vlan30,s3 接入 vlan40,.........,s7 接入 vlan80,) 在 dhcp 服務器上配置每個 vlan 對應的地址池，使得終端用戶能從這里動態(tài)的獲取到地址 到現(xiàn)在實現(xiàn)了企業(yè)網內部的連通，測試 一下終端用戶獲取動態(tài)地址的情況： 圖 52 用戶獲取動態(tài)地址 下面測試一下用戶到 dmz 區(qū)服務器的情況，如圖可以訪問內部網站： 圖 53 用戶訪問內部網站 第五章 IP 地址規(guī)劃及網絡設備配置 25 無線用戶連接網絡的情況： 圖 54 移動用戶連接無線網絡 企業(yè)邊緣接入交換機 Switch(configif)int range f0/12 Switch(configifrange)switchport mode trunk 在企業(yè)邊緣路由器上配置到內網與外網的路由，實現(xiàn)內外的通信，同時配置 nat 地址轉換，實現(xiàn)私有地址到公 有網絡的通信： Router(config)ip route s0/0/0 Router(config)ip route 防火墻路由器地址 Router(config)ip nat inside source list 1 pool nat1 overload Router(config)accesslist 1 permit . Router(config)ip nat pool nat1 mask Router(config)int s0/0/0 Router(configif)ip nat inside Router(config)int s0/0/1 第五章 IP 地址規(guī)劃及網絡設備配置 26 Router(configif)ip nat outside 測試內部用戶上外網的情況： 圖 55 用戶與外網通信 通過查看 NAT 地址轉換表，可以看到剛才用戶在 訪問外網時其私有地址 已經轉換成公網地址 ，所以對于外網來說它只能看到流量時來自于地址 ，而不會知道企業(yè)內部的私有地址，從而保護了企業(yè)內部的數(shù)據(jù)。將與接入層交換機相連的接口配成 trunk 模式，傳送不同 vlan 間的信息。 單臂路由如下： Router(config)interface f0/ Router(configsubif)encap dot1q 11 Router(configsubif)ip add Router(configsubif)no shut 在 總部核心層交換機 s1 上，與冗余交換機 s2 相連的接口配成干道接口，模式為 trunk，可以傳遞多種流量信息。%1） Hz 電流峰值比 3： 1 額定功率因數(shù) 超載能力 Load 105%, 長期運行： 105%load125%1min,125%load150%30sec 效率 Up to 90% 電池電壓 16pcs12VDC 外形尺寸（ mm） W*D*H 248*500*616 240*500*460 248*500*616 240*500*460 重量（ KG） 57 18 20 之所以選擇 10KVA 的 UPS,是考慮到日后網絡的擴展升級和設備的增加，選擇 6KVA 對于目前規(guī)劃與設計的企業(yè)網絡來說是足夠用的，但是基于對未來的展望與規(guī)劃，選擇 10KVA 才是更好地保證了企業(yè)的投資。 APC、山特等是 UPS 著名品牌，選擇 UPS 時最好是選用這些有知名度的品牌，這樣能獲得更好的保障。刀片式服務器是比機架式 更緊湊整合的服務器結構，每個刀片就是一臺獨立的服務器。服務器按用途可分為通用型服務器和專用型服務器兩種，通用型服務器可以提供各種服務功能，專有型服務器是專門為某一種或幾種功能專門設計的服務器。服務器必須具備高可靠性，高可用第五章 IP 地址規(guī)劃及網絡設備配置 13 性，高可擴充性等特點。在性能指標上，主要看重并發(fā) 連接數(shù)和吞吐量。因此， 本網絡路由器選擇 Cisco 2811，其基本參數(shù)如下所示 ： 表 42 路由器參數(shù) 名稱 端口 局域網接口 傳輸 速率 VPN QoS 防火墻 網絡 管理 參考 價格 第五章 IP 地址規(guī)劃及網絡設備配置 12 Cisco 2811 模塊化 2 個 10/100Mbps 支持 支持 內置 SNMP ￥ 5800 在總部和分支機構的會議室都設有無線路由，對于無線路由選用企業(yè)級無線路由器 H3C ER2210C,其基本配置如下 ： 表 43 無線路由器參數(shù) 名稱 最高 速率 WAN 口 LAN 口 VPN QoS 防火墻 天線 參考價格 H3C ER2210C 1 個10/100Mbps 4 個10/100Mbps 支持 支持 內置 外置全向天線，1 根 ￥ 2450 防火墻選型 在選購防火墻時，用戶首先要明確自己的業(yè)務需求和未來的發(fā)展規(guī)劃。 接入層交換機 對于接入層交換機的各方面性能要求不是那么高，只需要簡單匯聚來自接入層的流量到分布層，需要有較多的端口數(shù)量，以及提供桌面快速以太網和千兆以太網的連接即可。然后根據(jù)本企業(yè)對網絡設備的性能需求主要是交換容量較大、端口密度比較高，因此需要選擇模塊化的交換機作為核心層交換機。分布層交換機背板帶寬基本上在幾十 Gbit/s 以上，包轉發(fā)速率在幾十 Mpacket/s 以上，分布層交換機要有三層以上交換功能和較多的 VLAN 數(shù)，但是總體性能指標要比核心層交換機低。 企業(yè)網大體分為服務器群，樓宇接入群，企業(yè)邊緣接入群，分支機構四個模塊。 分布層是連接核心層和接入層關鍵位置，通常在上面做一些策略的設置，比如創(chuàng)建和管理 vlan、流量訪問控制等。因此在本網絡設計過程，為企業(yè)選擇層次化網絡模型為中心設計網絡的拓撲圖。 網絡拓撲圖設計 為了達到企業(yè)對網絡應用的需求，應該按照上述原則規(guī)劃和設計企業(yè)網，在網絡拓撲上采用星型結構。 安全性：確保系統(tǒng)內部的數(shù)據(jù)、數(shù)據(jù)訪問傳輸信息的安全的，避免非法用戶訪問和攻擊。 先進性：網絡 建設要具有超前意識，具有先進的設計思想、網絡結構、軟硬件設備以及使用先進開發(fā)工具。目前，吉比特以太網已經發(fā)展成為主流網絡技術。 實現(xiàn)目標 首先是資源共享，企業(yè)內部的資源可以被授權的員工共享訪問，包括文件，打印 機等；其次是企業(yè)內部的通信，企業(yè)內部各部門可以在限制范圍內實現(xiàn)通信，外出員工也可以安全地遠程到企業(yè)內部網，部分員工也可以由內部網絡安全地訪問互聯(lián)網；最后是通過網絡實現(xiàn)對企業(yè)的統(tǒng)一管理。 安全需求 企業(yè)的網絡安全 主要是對各服務器進行授權訪問，并進行病毒防護，數(shù)據(jù)備份，對企業(yè)內部計算機進行統(tǒng)一集中式的管理以及遠程用戶對公司網絡的安全訪問。 操作系統(tǒng)的 選擇 Windows Server 2021 以其安全性、可靠性、可用性和可伸縮性而受到諸多系統(tǒng)管理員的青睞，成為中小企業(yè)網絡中最流行的網絡操作系統(tǒng)。 VPN 服務器， VPN 又叫做虛擬專用網絡， VPN 技術是指在公共網絡中建立專用網絡，數(shù)據(jù)通過安全的加密通道在公共網絡中傳播。 Web 服務器，就是 用于實現(xiàn)員工訪問公司內部網頁的服務， 辦公局域網中用戶 通過此服務器可以實現(xiàn)共享內容的網頁訪問，從而達到更好的共享效果，同時訪問也更方便。網絡中必須有 DNS服務器才能實現(xiàn) Active Directory。同時通過配置虛擬專用網絡，實現(xiàn) 遠程登錄和遠程會議。通過對組網技術和線路的選擇，實現(xiàn) 同時支持約 100 臺 pc 訪問 Inter。企業(yè)網中大部分的用戶數(shù)據(jù)來自對業(yè)務應用系統(tǒng)的訪問，同時業(yè)務應 用系統(tǒng)的可靠性的要求也最高。 企業(yè)內部需要聯(lián)網的節(jié)點數(shù)為 200 點，信息點分布在 18 樓，網絡中心位于 1 樓，整個大樓采用光纖布線，樓層需要百兆交換到桌面。 青島分公司主要職能是為總公司研發(fā)產品與開拓市場，在一樓設有業(yè)務部，二樓設有研發(fā)部和公關部，三樓設有人力資源部和財務部，四樓是總經理辦公室和會議室。 使用管理工具對網絡設備進行遠程管理 本次設計，從各方面考慮實現(xiàn)企業(yè)的各方面需求，得