【正文】 IP 地址為 ，測試結果如圖 52 所示： 圖 52 網(wǎng)絡管理中心不能訪問外網(wǎng) ③外網(wǎng)不能訪問內(nèi)網(wǎng)。路由器學習到全部的網(wǎng)絡拓撲，建立拓撲表之后，它們會使用最短路徑優(yōu)先的算法，從拓撲表中計算出路由來。 NAT 技術的產(chǎn)生，主要是因為因特網(wǎng)地址資源緊缺， NAT 技術保證了企業(yè)或機構內(nèi)部網(wǎng)絡使用私有地址的同時還能夠和因特網(wǎng)上的主機通信。計算機網(wǎng)絡又是按照網(wǎng)絡協(xié)議，將分散、獨立的計算 機設備相互連接的集合。必須具備下述功能： 低交換機端口成本； 高端口密度； 連接到高層的可擴展上行鏈路； 用戶接入功能，如 VLAN 成員資格、數(shù)據(jù)流和端 口安全以及上網(wǎng)認證。核心層可以使用雙核心和單核心結構，考慮到集團為中小型集團絡，建網(wǎng)成本有限，這里采用單核心網(wǎng)絡拓撲結構，但是單核心網(wǎng)絡拓撲結構有很大的風險，一旦此設備出現(xiàn)故障，將會導致全網(wǎng)不能訪問互聯(lián)網(wǎng)，影響較大，所以這里要在單核心上班上提供自身模塊的冗余，采用雙引擎雙電源的備份冗余模式，即使主引擎出現(xiàn)故障備引擎此時會瞬間成為主引擎，正常轉發(fā)數(shù)據(jù)， 采用雙電源的備份，即使一個電源模塊出現(xiàn)故障，不會影響到整體網(wǎng)絡，這樣既可節(jié)約建網(wǎng)成本，還能起到冗余備份，保證核心網(wǎng)絡的安全。這樣通過直通型防火墻設計，不管是集團內(nèi)部還是外部數(shù)據(jù) ，只要對服務器發(fā)起訪問，就必須經(jīng)過防火墻，防火墻允許通過的才能訪問，非法的報文將會被丟棄。基于以上的整體需求， RT 集團整體拓撲設計如圖 31 所示： 圖 31 RT集團整體網(wǎng)絡拓撲結構 集團區(qū)域設計 RT 集團的整體設計如圖 所示，整體網(wǎng)絡拓撲結構采用分層模塊化設計，分層模塊化設計的主要好處就是 對于網(wǎng)絡架構的更改和擴展不會影響到其他區(qū)域，部門的增加和整合只會影響到本部門，不影響企業(yè)內(nèi)部整體的辦公，保證網(wǎng)絡 7*24 小時不中斷。 1）設備的可靠性設計：不僅要考慮網(wǎng)絡設備是否實現(xiàn)了關鍵部件的冗余備份，還要從網(wǎng)絡設備整體設計架構、處理引擎種類等多方面去考察。 帶寬性能需求 RT集團 集團絡應具有更高的帶寬，更強大的性能，以滿足用戶日益增長的通信需求。既能適應計算機硬、軟件技術的迅速發(fā)展 ，硬件上簡便的重新組合又能夠支撐新環(huán)境要求和適應新技術。 移動辦公對地理位置和工作場景沒有任何限制，隨時隨地都可以正常和企業(yè)溝通，提高工作效率，但是遠程訪問對于數(shù)據(jù)的傳輸是否安全也是企業(yè)所關心的，所以選擇一個正確的的網(wǎng)絡技術實現(xiàn)遠程辦公也是 RT 集團 網(wǎng)絡設計的一個重點。在企業(yè)局域網(wǎng)可以共享昂貴的硬件資源，如大型外部存儲器、繪圖儀等。 RT 集團 企業(yè)建設局域網(wǎng)可以實現(xiàn)企業(yè)內(nèi)部資源共享，降低企業(yè)的經(jīng)營成本，提高企業(yè)的運作效率。 、圖表要求： 1）文字通順，語言流暢，書寫字跡工整，打印字體及大小符合要求，無錯別字，不準請他人代寫 2）工程設計類題目的圖紙，要求部分用尺規(guī)繪制，部分用計算機繪制，所有圖紙應符合國家技術標準規(guī)范。除了文中特別加以標注引用的內(nèi)容外，本論文不包含任何其他個人或集體已 經(jīng)發(fā)表或撰寫的成果作品。對本研究提供過幫助和做出過貢獻的個人或集體，均已在文中作了明確的說明并表示了謝意。 涉密論文按學校 規(guī)定處理。 RT 集團 網(wǎng)絡的組建在保證集團絡需求基礎上，為企業(yè)提供高性價比的網(wǎng)絡，是此次研究的主要目的，同時也希望通過這次的研究，能為今后集團絡的組建提供一個可參考的模型?，F(xiàn)代的 集團 網(wǎng) 絡迫切需要網(wǎng)絡設備具備支撐 “以應用為中心 ”的智能網(wǎng)絡運營維護的能力，并能夠有一套智能化管理的軟件。 訪問互聯(lián)網(wǎng)。人機界面友好，應用環(huán)境良好。系統(tǒng)總體設計將本著總體規(guī)劃、分布實施的原則，充分體現(xiàn)系統(tǒng)的技術先進性、高度的安全可靠性，同時具有良好的開放性、可擴展性。 穩(wěn)定可靠需求 RT 集團 企業(yè)的網(wǎng)絡應具有更全面的可靠性設計，以實現(xiàn)網(wǎng)絡通信的實時暢通，保障企業(yè)生產(chǎn)運營的正常進行。虛擬局域網(wǎng) (VLAN， Virtual Local Area Network)技術、網(wǎng)絡地址 轉換 (NAT， Network Address Translation)技術、訪問控制列表 (ACL， Access Control List)技術、網(wǎng)絡防病毒軟件是常用的集團絡安全措施。盡管路由器本身也可以隔離內(nèi)外網(wǎng)和定義訪問控制關系，但是對于高級的訪問關系，路由器的安全 機制還是有一定的差距。接入層只做為接入終端即 PC，上聯(lián)到匯聚層，將網(wǎng)關和策略配置在匯聚層上，核心層多數(shù)由高性能的網(wǎng)絡設備組成，能夠實現(xiàn)快速的數(shù)據(jù)包轉發(fā)，因此核心層主要用來轉發(fā)數(shù)據(jù)。當網(wǎng)絡高峰期上網(wǎng)流量特別大的時候，匯聚層網(wǎng)絡設備通過雙線連接到接入層，可以很好的實現(xiàn)流量負載分擔，即一部分數(shù)據(jù)流量由設備 1 轉發(fā)，另一部分數(shù)據(jù)流量由設備 2 轉發(fā)，避免了網(wǎng)絡擁塞的同時增強了網(wǎng)絡的安全性，解決了單一節(jié)點故障，即使其中一臺設備出現(xiàn)故障，另外一臺也能正常轉發(fā)數(shù)據(jù)。 表 31 VLAN 和 IP 地址規(guī)劃 10 區(qū)域名稱 VLAN 劃分 子網(wǎng)網(wǎng)段 默認網(wǎng)關 高管部 10 行政部 20 人事部 30 財務部 40 銷售部 50 售后部 60 網(wǎng)絡管理中心 70 服務器集群 2 集團內(nèi)網(wǎng)區(qū)域使用 vlan 的劃分雖然可以縮小廣播風暴的影響范圍和隔離不同的部門，但是對于本區(qū)域的網(wǎng)絡威脅也要充分考慮，近年來內(nèi)網(wǎng)主機對網(wǎng)絡服務器攻擊的案列也在逐漸增多，要想避免這種情況，就必須加大內(nèi)網(wǎng)接入端的網(wǎng)絡安全，局 域網(wǎng)攻擊常見的有 mac 地址欺騙、 ARP 攻擊等欺騙性攻擊手段，這種攻擊往往無法查到攻擊主機，只能在設計網(wǎng)絡的時候加大網(wǎng)絡安全設計，盡量避免這種攻擊得逞，具體的方法有在接入 pc 的交換機接口使用端口安全技術和廣播風暴控制技術，來綁定主機的 mac 地址和 ip地址，限制廣播包的百分比來避免遭到攻擊。 Ipsec VPN 具體實現(xiàn)代碼如下所示： Router(config)aaa newmodel Router(config)aaa authentication login eza local Router(config)aaa authorization work ezo local Router(config)username cisco password 0 cisco Router(config)crypto isakmp policy 10 Router(configcrypto)encr 3des Router(configcrypto)hash md5 Router(configcrypto)authentication preshare Router(configcrypto)group 2 Router(config)crypto isakmp client configuration group myez Router(configcrypto)key 123 Router(configcrypto)pool ez Router(config)crypto ipsec transformset myset esp3des espshahmac Router(config)crypto ipsec transformset tim esp3des espmd5hmac Router(config)crypto map tom client authentication list eza Router(config)crypto map tom isakmp authorization list ezo 12 Router(config)crypto map tom client configuration address respond Router(config)crypto map tom 10 ipsecisakmp dynamic ezmap Router(config)ip local pool ez Router(config)interface Serial0/3/0 Router(configif)ip address Router(configif)ip nat outside Router(configif)crypto map tom NAT 技術 全球網(wǎng)絡上使用的 IP 地址，被分為公有地址和私有地址兩部分、其中公有地址是在因特網(wǎng)上可用的 IP 地址，而私有地址只能在某個企業(yè)或機構內(nèi)部網(wǎng)絡中使用，私有地址是不能夠在因特網(wǎng)上使用地址。 相對距離矢量路由協(xié)議， OSPF 路由協(xié)議有收斂時間很短、使用范圍大的優(yōu)點。 網(wǎng)絡管理中心和財務部不能訪問內(nèi)網(wǎng)，主要實現(xiàn)代碼如下： Router(config)accesslist 10 deny Router(config)accesslist 10 deny Router(config)accesslist 10 permit any 根據(jù)最精準的安全訪問控制關系，這里允許網(wǎng)絡管理中心訪問其他部門，這樣方便網(wǎng)管中心統(tǒng)一控制和管理網(wǎng)絡設備，方便后期的維護，但是不允許其他 部門的主機訪問網(wǎng)絡管理中心的主機，主要實現(xiàn)代碼如下： Switch(config)accesslist 170 deny icmp any echoreply Switch(config)accesslist 170 deny icmp any echoreply Switch(config)accesslist 170 deny icmp any echoreply Switch(config)accesslist 170 deny icmp any echoreply Switch(config)accesslist 170 deny icmp any echoreply Switch(config)accesslist 170 deny icmp any echoreply Switch(config)accesslist 170 permit ip any any STP 技術 生成樹技術設計的思想就是解決網(wǎng)絡中存在環(huán)路的現(xiàn)象，通過阻塞其中一些端口來打破環(huán)路存在的可能。 使用高管部的主機去訪問行政部的主機，訪問目的 IP 地址為 ，測試結果如圖 510 所示： 圖 510 高管部不能和其他部門互訪 20 6 結論 對于集團，其核心內(nèi)容是多層交換網(wǎng)絡的實現(xiàn)。 最后，向百忙之中抽出時間審閱和批改論文的老師們表示由衷的感謝，謝謝您們的指導和提出寶貴的意見。 本文主要是從 集團 的網(wǎng)絡需求出發(fā)，通過對整個網(wǎng)絡進行綜合的分析，對 集團 絡的組建在保證 集團 絡需求基礎上，為 集團 提供高性價比的網(wǎng)絡，是致力于此次研究的主要目的，同時希望通過這次的研究，能為今后 集團 絡的 組建提供一個可參考的模型。 使用高管部的主機去訪問互聯(lián)網(wǎng)主機，測試目的 ip 地址為 ，測試結果如圖 51 所示： 圖