【正文】 它可以為家庭辦公用戶和出差在外的員工提供移動(dòng)接入服務(wù)。 IRouter(config)accesslist 100 deny icmp any any eq echorequestIRouter(config)accesslist 100 deny udp any any eq echo保護(hù)路由器自身安全 作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護(hù)自身安全的重要性也是不言而喻的。IRouter(config)ip route IRouter(config)ip route //定義經(jīng)過(guò)CoreSwitch 1到校園網(wǎng)內(nèi)部的路由 IRouter(config)ip route IRouter(config)ip route //定義經(jīng)過(guò)CoreSwitch 2到校園網(wǎng)內(nèi)部的路由 l NAT地址轉(zhuǎn)換根據(jù)前文對(duì)企業(yè)網(wǎng)的需求分析，企業(yè)向當(dāng)?shù)豂SP申請(qǐng)了9個(gè)IP地址。它的作用主要是在Internet和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。在CoreSwitch 1配置為每個(gè)VLAN配置一個(gè)HSRP備用組，并配置各自虛擬地址。CoreSwitch 1(config)ip routing //啟用路由功能 接下來(lái)，需要為每個(gè)VLAN定義自己的默認(rèn)網(wǎng)關(guān)地址：CoreSwitch 1(config)interface vlan 10CoreSwitch 1(config)ip add CoreSwitch 1(config)no shutdownCoreSwitch 1(config)interface vlan 20CoreSwitch 1(config)ip add CoreSwitch 1(config)no shutdownCoreSwitch 1(config)interface vlan 30CoreSwitch 1(config)ip add CoreSwitch 1(config)no shutdownCoreSwitch 1(config)interface vlan 40CoreSwitch 1(config)ip add CoreSwitch 1(config)no shutdownCoreSwitch 1(config)interface vlan 50CoreSwitch 1(config)ip add CoreSwitch 1(config)no shutdownCoreSwitch 1(config)interface vlan 100CoreSwitch 1(config)ip add CoreSwitch 1(config)no shutdown此外，還需要定義通往Internet的路由。激活VTP剪裁功能CoreSwitch 1(config)vtp pruning //設(shè)置激活VTP剪裁功能在本設(shè)計(jì)方案中，除了默認(rèn)的本征VLAN外，又定義了6個(gè)VLAN，如表61所示。下面討論核心層交換機(jī)的配置，如圖2所示。當(dāng)處于轉(zhuǎn)發(fā)狀態(tài)的鏈路因故障斷開(kāi)后，經(jīng)過(guò)大約50秒鐘的時(shí)間，處于阻塞狀態(tài)的鏈路才能替代故障鏈路工作。 對(duì)接入層交換機(jī)AccessSwitch2的配置步驟、命令和對(duì)接入層交換機(jī)AccessSwitch1的配置類(lèi)似。設(shè)置為快速端口的端口當(dāng)交換機(jī)啟動(dòng)或端口有工作站接入時(shí)，將會(huì)直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，而不會(huì)經(jīng)歷阻塞、偵聽(tīng)、學(xué)習(xí)狀態(tài)（假設(shè)橋接表已經(jīng)建立）。 AccessSwitch 1(config)interface range f 0/148AccessSwitch 1(configifrange)speed 100 //設(shè)置所有端口的速度均為100Mbps l 配置接入層交換機(jī)AccessSwitch1的訪問(wèn)端口 接入層交換機(jī)AccessSwitch1為終端用戶提供接入服務(wù)。AccessSwitch 1(config)interface vlan 1AccessSwitch 1(config)ip address //設(shè)置管理IPAccessSwitch 1(config)no shutdown為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī)?？梢允褂妹頻ogging synchronous設(shè)置交換機(jī)在下一行CLI提示符后復(fù)制用戶的輸入。但是，處于安全考慮，在能夠遠(yuǎn)程管理交換機(jī)之前網(wǎng)絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機(jī)的口令。交換機(jī)擁有48個(gè)10/100Mbps自適應(yīng)快速以太網(wǎng)端口，運(yùn)行的是Cisco的IOS操作系統(tǒng)。無(wú)論從成本還是安全性上來(lái)說(shuō)，Easy VPN無(wú)疑是目前最適合中小型企業(yè)使用的遠(yuǎn)程接入方式結(jié)論本文根據(jù)一個(gè)中小企業(yè)為研究背景，組建一個(gè)高速、寬帶、穩(wěn)定、可靠，且能融合安全與保密等全新需求的企業(yè)網(wǎng)絡(luò)解決方案。配置匯聚層交換機(jī)的缺省路由:使用一條缺省路由命令，使用的下一跳地址是Internet接入路由器與核心交換機(jī)國(guó)連接的快速以太網(wǎng)接口FastEthernet 0/0的IP地址。支持54/48/36/24/18/12/9/6M或11/；支持64/128/152位WEP加密以及WPAPSK/WPA2PSK、WPA/WPA2安全機(jī)制；傳輸距離：室內(nèi)最遠(yuǎn)200米，室外最遠(yuǎn)830米（因環(huán)境而異）； 接入層交換機(jī)配置設(shè)置交換機(jī)的加密口令 ：當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時(shí)，需要提供此口令。盡管這些交換機(jī)具有更低的成本，但它們卻支持非常多的高級(jí)交換特性，其中包括集成安全、NAC、高級(jí)Qos和彈性等。它支持連接語(yǔ)音線路、電話和專(zhuān)用分組交換機(jī)（PBX）?？梢詽M足300臺(tái)辦公計(jì)算機(jī)和未來(lái)可能的增長(zhǎng)需求。 vlan劃分及ＩＰ編址根據(jù)拓?fù)鋱D和接入層交換機(jī)的位置分布，編排IP地址給各個(gè)部份的計(jì)算機(jī)如表41所。整個(gè)網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖，如圖41所示。 網(wǎng)絡(luò)設(shè)計(jì)原則：? 應(yīng)用為本的原則：局域網(wǎng)的設(shè)計(jì)應(yīng)遵循“應(yīng)用為本”的原則，在應(yīng)用的基礎(chǔ)上設(shè)計(jì)局域網(wǎng)。訪問(wèn)控制列表不但可以起到控制網(wǎng)絡(luò)流量、流向的作用，而且在很大程度上起到保護(hù)網(wǎng)絡(luò)設(shè)備、服務(wù)器的關(guān)鍵作用。當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)或鏈路的狀態(tài)發(fā)生變化時(shí)，網(wǎng)絡(luò)管理員需要手工去修改路由表中相關(guān)的靜態(tài)路由信息。在任一時(shí)刻，一個(gè)組內(nèi)只有一個(gè)路由器是活動(dòng)的，并由它來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動(dòng)路由器發(fā)生了故障，將選擇一個(gè)備份路由器來(lái)替代活動(dòng)路由器，但是在本網(wǎng)絡(luò)內(nèi)的主機(jī)看來(lái)，虛擬路由器沒(méi)有改變。通過(guò) VLAN 技術(shù)，我們將公司不同部門(mén)分配到了不同的子網(wǎng)中，一方面保證了一個(gè)部門(mén)中的信息對(duì)另一個(gè)網(wǎng)絡(luò)的隔離，另一方面也隔離了網(wǎng)絡(luò)廣播的擴(kuò)散，保障了企業(yè)網(wǎng)的總體性能。中學(xué)和大學(xué)在內(nèi)的許多學(xué)校也開(kāi)始實(shí)施無(wú)線網(wǎng)絡(luò)，隨著家庭電腦的普及和住房裝修的高檔化，家庭無(wú)線網(wǎng)絡(luò)也成為一個(gè)潛在的市場(chǎng)。企業(yè)局域網(wǎng)建設(shè)近些年來(lái)由了長(zhǎng)足的發(fā)展，但和歐美發(fā)達(dá)國(guó)家的企業(yè)局域網(wǎng)相比還有著明顯的不足，主要體現(xiàn)在：(1)低水平重復(fù)建設(shè)且成本高昂：各部門(mén)擁有相對(duì)獨(dú)立的信息系統(tǒng)，資源分散于各部門(mén)之中，容易形成信息孤島。畢業(yè)設(shè)計(jì)（論文）專(zhuān)用紙企業(yè)局域網(wǎng)組建研究畢業(yè)論文目錄摘要 IAbstract II前言 1第１章 概論 2 局域網(wǎng)的發(fā)展現(xiàn)狀 2 局域網(wǎng)的發(fā)展趨勢(shì) 3第2章 局域網(wǎng)關(guān)鍵技術(shù)介紹 4 4 VLAN 4 NAT 4 STP 4 HSRP 5 5 靜態(tài)路由 5 訪問(wèn)控制列表 5 6 單臂路由實(shí)現(xiàn) VLAN 間通信 6 三層交換機(jī)實(shí)現(xiàn) VLAN 間路由 6第3章 企業(yè)網(wǎng)絡(luò)設(shè)計(jì) 9 9 網(wǎng)絡(luò)設(shè)計(jì)原則： 9： 10第4章　企業(yè)網(wǎng)系統(tǒng)整體方案實(shí)現(xiàn) 11 11 vlan劃分及ＩＰ編址 12 12：Cisco 3600系列 13　Cisco Catalyst 4500系列 13 Cisco Catalyst 2960系列 14：TLWA501G+ 15 接入層交換機(jī)配置 16 核心層交換機(jī)配置 16 16結(jié)論 18參考文獻(xiàn) 19附錄 20附錄１ 接入層交換機(jī)的詳細(xì)配置 20接入層交換機(jī)AccessSwitch1端口基本參數(shù) 22配置接入層交換機(jī)AccessSwitch1的訪問(wèn)端口 23配置接入層交換機(jī)AccessSwitch1的主干道端口 24配置其它接入層交換機(jī) 24接入層交換機(jī)的其它可選配置 25附錄2　核心層交換機(jī)詳細(xì)配置 26對(duì)核心層交換機(jī)CoreSwitch1的基本參數(shù)的配置 27配置核心層交換機(jī)CoreSwitch2 30其它配置 33配置HSRP 33附錄3廣域網(wǎng)模塊配置 35配置路由器IRouter的基本參數(shù) 36NAT地址轉(zhuǎn)換 37ACL訪問(wèn)控制 38應(yīng)用配置好的ACL 39遠(yuǎn)程訪問(wèn)模塊設(shè)計(jì) 40致謝 41總結(jié)體會(huì) 4243第一章 概論 局域網(wǎng)的發(fā)展現(xiàn)狀隨著算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，中小企業(yè)組建辦公網(wǎng)絡(luò)成為現(xiàn)代企業(yè)提高辦公效率的主要手段之一，但是沒(méi)有科學(xué)合理規(guī)劃的局域網(wǎng)也存在著不少的問(wèn)題，比如說(shuō)：利用空密碼和簡(jiǎn)單密碼的問(wèn)題；隨便開(kāi)共享文件夾引起病毒傳播和文件不安全問(wèn)題；局域網(wǎng)內(nèi)木馬病毒利用系統(tǒng)漏洞傳播的問(wèn)題：arp攻擊類(lèi)病毒木馬程序的問(wèn)題； p2p軟件大量使用造成網(wǎng)絡(luò)擁堵的問(wèn)題。(2)安全漏洞和系統(tǒng)風(fēng)險(xiǎn)大：各部門(mén)擁有相對(duì)獨(dú)立的信息系統(tǒng)，不但系統(tǒng)復(fù)雜度高，而且核心數(shù)據(jù)全部分布于本地，對(duì)系統(tǒng)的安全性提出了較高的要求。因此無(wú)線網(wǎng)絡(luò)將會(huì)成為許多公共場(chǎng)所的必備基礎(chǔ)設(shè)施。 NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,Network Address Translation)屬接入廣域網(wǎng)(WAN)技術(shù)，是一種將私有（保留）地址轉(zhuǎn)化為合法 IP 地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類(lèi)型 Internet 接入方式和各種類(lèi)型的網(wǎng)絡(luò)中。所以主機(jī)仍然保持連接，沒(méi)有受到故障的影響，這樣就較好地解決了路由器切換的問(wèn)題。使用靜態(tài)路由的另一個(gè)好處是網(wǎng)絡(luò)安全保密性高。作為外網(wǎng)進(jìn)入企業(yè)內(nèi)網(wǎng)的第一道關(guān)卡，路由器上的訪問(wèn)控制列表成為保護(hù)內(nèi)網(wǎng)安全的有效手段。? 適度先進(jìn)原則：網(wǎng)絡(luò)設(shè)計(jì)時(shí)，應(yīng)考慮到能夠滿足未來(lái)幾年內(nèi)用戶對(duì)網(wǎng)絡(luò)帶寬的需要。圖41中小型企業(yè)網(wǎng)絡(luò)拓?fù)錇榱撕?jiǎn)化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，在企業(yè)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)行的。表41　VLAN劃分及IP方案VLAN號(hào)VLAN名稱(chēng)IP網(wǎng)段默認(rèn)網(wǎng)關(guān)說(shuō)明VLAN 1－管理VLANVLAN 10CWB財(cái)務(wù)部VLANVLAN 20SCB市場(chǎng)部VLANVLAN 30CHB策劃部VLANVLAN 40KFZX客服中心VLANVLAN 50CGB采購(gòu)部VLANVLAN 100SERVER服務(wù)組群VLAN在表41中，所有VLAN名稱(chēng)都是根據(jù)所代表的部門(mén)的拼音縮寫(xiě)定義的。接入層當(dāng)中，交換機(jī)與計(jì)算機(jī)選用超五類(lèi)雙絞線連接，理論上可達(dá)到100m/s的訪問(wèn)速度?！isco 3600系列　Cisco Catalyst 4500系列Catalyst 4500系列交換機(jī)，領(lǐng)先的引擎是Supervisor Engine V10GE，它的最高性能可以達(dá)到102Mpps和136Gbit/s，如圖43所示。這些交換機(jī)具有固定的端口配置，具有24個(gè)或48個(gè)10/100BASET或10/100/1000BASET端口，如圖44所示，以及雙目標(biāo)特以太網(wǎng)上行鏈路，既可以使用銅或光纖上行鏈路，也可以使用一個(gè)10/100/1000以太網(wǎng)端口和一個(gè)SFP吉比特以太網(wǎng)端口的組合，但是同時(shí)只能有一個(gè)處于活躍狀態(tài)。設(shè)置登錄虛擬終端線時(shí)的口令：遠(yuǎn)程管理為網(wǎng)絡(luò)管理人員提供了很多的方便。配置匯聚層交換機(jī)的熱備份路由協(xié)議: 在兩臺(tái)三層交換器之間采用HSRP（熱備份冗余協(xié)議）協(xié)議，來(lái)保證兩臺(tái)三層交換機(jī)中的任意一臺(tái)down掉，或交換機(jī)的廣域網(wǎng)口down，都會(huì)迅速切換到另外一臺(tái)。在網(wǎng)絡(luò)設(shè)計(jì)方案中，綜合需求分析后考慮包括了幾大模塊：交換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問(wèn)模塊、服務(wù)器群。如圖1所示。AccessSwitch 1(config)line vty 0 15 //設(shè)置登錄交換機(jī)時(shí)需要驗(yàn)證用戶身份AccessSwitch 1(configline)login AccessSwitch 1(configline)password yuancheng //設(shè)置登錄密碼為yuancheng (4)設(shè)置終端線超時(shí)時(shí)間 為了安全考慮，可以設(shè)置終端線超時(shí)時(shí)間。 AccessSwitch 1(config)logging synchronous //設(shè)置啟用消息同步特性。AccessSwitch 1(config)ip defaultgateway //設(shè)置默認(rèn)網(wǎng)關(guān)地址從提高效率的角度出發(fā)，在企業(yè)網(wǎng)中使用了VTP技術(shù)。接入層交換機(jī)AccessSwitch1為VLAN10提供接入服務(wù)。 AccessSwitch 1(config)interface range f0/140AccessSwitch 1(configif range)spanningtree portfast //設(shè)置端口1～40為快速端口。其配置內(nèi)容為：SwitchenSwitchconfig t Switch(config)hostname AccessSwitch 2 AccessSwitch 2(config)enable secret pany AccessSwitch 2(config)line vty 0 15 AccessSwitch 2(configline