【正文】 它可以為家庭辦公用戶和出差在外的員工提供移動接入服務(wù)。 IRouter(config)accesslist 100 deny icmp any any eq echorequestIRouter(config)accesslist 100 deny udp any any eq echo保護路由器自身安全 作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護自身安全的重要性也是不言而喻的。IRouter(config)ip route IRouter(config)ip route //定義經(jīng)過CoreSwitch 1到校園網(wǎng)內(nèi)部的路由 IRouter(config)ip route IRouter(config)ip route //定義經(jīng)過CoreSwitch 2到校園網(wǎng)內(nèi)部的路由 l NAT地址轉(zhuǎn)換根據(jù)前文對企業(yè)網(wǎng)的需求分析，企業(yè)向當?shù)豂SP申請了9個IP地址。它的作用主要是在Internet和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。在CoreSwitch 1配置為每個VLAN配置一個HSRP備用組，并配置各自虛擬地址。CoreSwitch 1(config)ip routing //啟用路由功能 接下來，需要為每個VLAN定義自己的默認網(wǎng)關(guān)地址：CoreSwitch 1(config)interface vlan 10CoreSwitch 1(config)ip add CoreSwitch 1(config)no shutdownCoreSwitch 1(config)interface vlan 20CoreSwitch 1(config)ip add CoreSwitch 1(config)no shutdownCoreSwitch 1(config)interface vlan 30CoreSwitch 1(config)ip add CoreSwitch 1(config)no shutdownCoreSwitch 1(config)interface vlan 40CoreSwitch 1(config)ip add CoreSwitch 1(config)no shutdownCoreSwitch 1(config)interface vlan 50CoreSwitch 1(config)ip add CoreSwitch 1(config)no shutdownCoreSwitch 1(config)interface vlan 100CoreSwitch 1(config)ip add CoreSwitch 1(config)no shutdown此外，還需要定義通往Internet的路由。激活VTP剪裁功能CoreSwitch 1(config)vtp pruning //設(shè)置激活VTP剪裁功能在本設(shè)計方案中，除了默認的本征VLAN外，又定義了6個VLAN，如表61所示。下面討論核心層交換機的配置，如圖2所示。當處于轉(zhuǎn)發(fā)狀態(tài)的鏈路因故障斷開后，經(jīng)過大約50秒鐘的時間，處于阻塞狀態(tài)的鏈路才能替代故障鏈路工作。 對接入層交換機AccessSwitch2的配置步驟、命令和對接入層交換機AccessSwitch1的配置類似。設(shè)置為快速端口的端口當交換機啟動或端口有工作站接入時，將會直接進入轉(zhuǎn)發(fā)狀態(tài)，而不會經(jīng)歷阻塞、偵聽、學(xué)習(xí)狀態(tài)（假設(shè)橋接表已經(jīng)建立）。 AccessSwitch 1(config)interface range f 0/148AccessSwitch 1(configifrange)speed 100 //設(shè)置所有端口的速度均為100Mbps l 配置接入層交換機AccessSwitch1的訪問端口 接入層交換機AccessSwitch1為終端用戶提供接入服務(wù)。AccessSwitch 1(config)interface vlan 1AccessSwitch 1(config)ip address //設(shè)置管理IPAccessSwitch 1(config)no shutdown為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機。可以使用命令logging synchronous設(shè)置交換機在下一行CLI提示符后復(fù)制用戶的輸入。但是，處于安全考慮，在能夠遠程管理交換機之前網(wǎng)絡(luò)管理人員必須設(shè)置遠程登錄交換機的口令。交換機擁有48個10/100Mbps自適應(yīng)快速以太網(wǎng)端口，運行的是Cisco的IOS操作系統(tǒng)。無論從成本還是安全性上來說，Easy VPN無疑是目前最適合中小型企業(yè)使用的遠程接入方式結(jié)論本文根據(jù)一個中小企業(yè)為研究背景，組建一個高速、寬帶、穩(wěn)定、可靠，且能融合安全與保密等全新需求的企業(yè)網(wǎng)絡(luò)解決方案。配置匯聚層交換機的缺省路由:使用一條缺省路由命令，使用的下一跳地址是Internet接入路由器與核心交換機國連接的快速以太網(wǎng)接口FastEthernet 0/0的IP地址。支持54/48/36/24/18/12/9/6M或11/；支持64/128/152位WEP加密以及WPAPSK/WPA2PSK、WPA/WPA2安全機制；傳輸距離：室內(nèi)最遠200米，室外最遠830米（因環(huán)境而異）； 接入層交換機配置設(shè)置交換機的加密口令 ：當用戶在普通用戶模式而想要進入特權(quán)用戶模式時，需要提供此口令。盡管這些交換機具有更低的成本，但它們卻支持非常多的高級交換特性，其中包括集成安全、NAC、高級Qos和彈性等。它支持連接語音線路、電話和專用分組交換機（PBX）。可以滿足300臺辦公計算機和未來可能的增長需求。 vlan劃分及ＩＰ編址根據(jù)拓撲圖和接入層交換機的位置分布，編排IP地址給各個部份的計算機如表41所。整個網(wǎng)絡(luò)系統(tǒng)的拓撲結(jié)構(gòu)圖，如圖41所示。 網(wǎng)絡(luò)設(shè)計原則：? 應(yīng)用為本的原則：局域網(wǎng)的設(shè)計應(yīng)遵循“應(yīng)用為本”的原則，在應(yīng)用的基礎(chǔ)上設(shè)計局域網(wǎng)。訪問控制列表不但可以起到控制網(wǎng)絡(luò)流量、流向的作用，而且在很大程度上起到保護網(wǎng)絡(luò)設(shè)備、服務(wù)器的關(guān)鍵作用。當網(wǎng)絡(luò)的拓撲結(jié)構(gòu)或鏈路的狀態(tài)發(fā)生變化時，網(wǎng)絡(luò)管理員需要手工去修改路由表中相關(guān)的靜態(tài)路由信息。在任一時刻，一個組內(nèi)只有一個路由器是活動的，并由它來轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動路由器發(fā)生了故障，將選擇一個備份路由器來替代活動路由器，但是在本網(wǎng)絡(luò)內(nèi)的主機看來，虛擬路由器沒有改變。通過 VLAN 技術(shù)，我們將公司不同部門分配到了不同的子網(wǎng)中，一方面保證了一個部門中的信息對另一個網(wǎng)絡(luò)的隔離，另一方面也隔離了網(wǎng)絡(luò)廣播的擴散，保障了企業(yè)網(wǎng)的總體性能。中學(xué)和大學(xué)在內(nèi)的許多學(xué)校也開始實施無線網(wǎng)絡(luò)，隨著家庭電腦的普及和住房裝修的高檔化，家庭無線網(wǎng)絡(luò)也成為一個潛在的市場。企業(yè)局域網(wǎng)建設(shè)近些年來由了長足的發(fā)展，但和歐美發(fā)達國家的企業(yè)局域網(wǎng)相比還有著明顯的不足，主要體現(xiàn)在：(1)低水平重復(fù)建設(shè)且成本高昂：各部門擁有相對獨立的信息系統(tǒng)，資源分散于各部門之中，容易形成信息孤島。畢業(yè)設(shè)計（論文）專用紙企業(yè)局域網(wǎng)組建研究畢業(yè)論文目錄摘要 IAbstract II前言 1第１章 概論 2 局域網(wǎng)的發(fā)展現(xiàn)狀 2 局域網(wǎng)的發(fā)展趨勢 3第2章 局域網(wǎng)關(guān)鍵技術(shù)介紹 4 4 VLAN 4 NAT 4 STP 4 HSRP 5 5 靜態(tài)路由 5 訪問控制列表 5 6 單臂路由實現(xiàn) VLAN 間通信 6 三層交換機實現(xiàn) VLAN 間路由 6第3章 企業(yè)網(wǎng)絡(luò)設(shè)計 9 9 網(wǎng)絡(luò)設(shè)計原則： 9： 10第4章　企業(yè)網(wǎng)系統(tǒng)整體方案實現(xiàn) 11 11 vlan劃分及ＩＰ編址 12 12：Cisco 3600系列 13　Cisco Catalyst 4500系列 13 Cisco Catalyst 2960系列 14：TLWA501G+ 15 接入層交換機配置 16 核心層交換機配置 16 16結(jié)論 18參考文獻 19附錄 20附錄１ 接入層交換機的詳細配置 20接入層交換機AccessSwitch1端口基本參數(shù) 22配置接入層交換機AccessSwitch1的訪問端口 23配置接入層交換機AccessSwitch1的主干道端口 24配置其它接入層交換機 24接入層交換機的其它可選配置 25附錄2　核心層交換機詳細配置 26對核心層交換機CoreSwitch1的基本參數(shù)的配置 27配置核心層交換機CoreSwitch2 30其它配置 33配置HSRP 33附錄3廣域網(wǎng)模塊配置 35配置路由器IRouter的基本參數(shù) 36NAT地址轉(zhuǎn)換 37ACL訪問控制 38應(yīng)用配置好的ACL 39遠程訪問模塊設(shè)計 40致謝 41總結(jié)體會 4243第一章 概論 局域網(wǎng)的發(fā)展現(xiàn)狀隨著算機技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，中小企業(yè)組建辦公網(wǎng)絡(luò)成為現(xiàn)代企業(yè)提高辦公效率的主要手段之一，但是沒有科學(xué)合理規(guī)劃的局域網(wǎng)也存在著不少的問題，比如說：利用空密碼和簡單密碼的問題；隨便開共享文件夾引起病毒傳播和文件不安全問題；局域網(wǎng)內(nèi)木馬病毒利用系統(tǒng)漏洞傳播的問題：arp攻擊類病毒木馬程序的問題； p2p軟件大量使用造成網(wǎng)絡(luò)擁堵的問題。(2)安全漏洞和系統(tǒng)風險大：各部門擁有相對獨立的信息系統(tǒng)，不但系統(tǒng)復(fù)雜度高，而且核心數(shù)據(jù)全部分布于本地，對系統(tǒng)的安全性提出了較高的要求。因此無線網(wǎng)絡(luò)將會成為許多公共場所的必備基礎(chǔ)設(shè)施。 NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,Network Address Translation)屬接入廣域網(wǎng)(WAN)技術(shù)，是一種將私有（保留）地址轉(zhuǎn)化為合法 IP 地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型 Internet 接入方式和各種類型的網(wǎng)絡(luò)中。所以主機仍然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器切換的問題。使用靜態(tài)路由的另一個好處是網(wǎng)絡(luò)安全保密性高。作為外網(wǎng)進入企業(yè)內(nèi)網(wǎng)的第一道關(guān)卡，路由器上的訪問控制列表成為保護內(nèi)網(wǎng)安全的有效手段。? 適度先進原則：網(wǎng)絡(luò)設(shè)計時，應(yīng)考慮到能夠滿足未來幾年內(nèi)用戶對網(wǎng)絡(luò)帶寬的需要。圖41中小型企業(yè)網(wǎng)絡(luò)拓撲為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴展性，在企業(yè)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進行的。表41　VLAN劃分及IP方案VLAN號VLAN名稱IP網(wǎng)段默認網(wǎng)關(guān)說明VLAN 1－管理VLANVLAN 10CWB財務(wù)部VLANVLAN 20SCB市場部VLANVLAN 30CHB策劃部VLANVLAN 40KFZX客服中心VLANVLAN 50CGB采購部VLANVLAN 100SERVER服務(wù)組群VLAN在表41中，所有VLAN名稱都是根據(jù)所代表的部門的拼音縮寫定義的。接入層當中，交換機與計算機選用超五類雙絞線連接，理論上可達到100m/s的訪問速度?！isco 3600系列　Cisco Catalyst 4500系列Catalyst 4500系列交換機，領(lǐng)先的引擎是Supervisor Engine V10GE，它的最高性能可以達到102Mpps和136Gbit/s，如圖43所示。這些交換機具有固定的端口配置，具有24個或48個10/100BASET或10/100/1000BASET端口，如圖44所示，以及雙目標特以太網(wǎng)上行鏈路，既可以使用銅或光纖上行鏈路，也可以使用一個10/100/1000以太網(wǎng)端口和一個SFP吉比特以太網(wǎng)端口的組合，但是同時只能有一個處于活躍狀態(tài)。設(shè)置登錄虛擬終端線時的口令：遠程管理為網(wǎng)絡(luò)管理人員提供了很多的方便。配置匯聚層交換機的熱備份路由協(xié)議: 在兩臺三層交換器之間采用HSRP（熱備份冗余協(xié)議）協(xié)議，來保證兩臺三層交換機中的任意一臺down掉，或交換機的廣域網(wǎng)口down，都會迅速切換到另外一臺。在網(wǎng)絡(luò)設(shè)計方案中，綜合需求分析后考慮包括了幾大模塊：交換模塊、廣域網(wǎng)接入模塊、遠程訪問模塊、服務(wù)器群。如圖1所示。AccessSwitch 1(config)line vty 0 15 //設(shè)置登錄交換機時需要驗證用戶身份AccessSwitch 1(configline)login AccessSwitch 1(configline)password yuancheng //設(shè)置登錄密碼為yuancheng (4)設(shè)置終端線超時時間 為了安全考慮，可以設(shè)置終端線超時時間。 AccessSwitch 1(config)logging synchronous //設(shè)置啟用消息同步特性。AccessSwitch 1(config)ip defaultgateway //設(shè)置默認網(wǎng)關(guān)地址從提高效率的角度出發(fā)，在企業(yè)網(wǎng)中使用了VTP技術(shù)。接入層交換機AccessSwitch1為VLAN10提供接入服務(wù)。 AccessSwitch 1(config)interface range f0/140AccessSwitch 1(configif range)spanningtree portfast //設(shè)置端口1～40為快速端口。其配置內(nèi)容為：SwitchenSwitchconfig t Switch(config)hostname AccessSwitch 2 AccessSwitch 2(config)enable secret pany AccessSwitch 2(config)line vty 0 15 AccessSwitch 2(configline