【正文】 IP 地址為 ，測(cè)試結(jié)果如圖 52 所示： 圖 52 網(wǎng)絡(luò)管理中心不能訪問(wèn)外網(wǎng) ③外網(wǎng)不能訪問(wèn)內(nèi)網(wǎng)。路由器學(xué)習(xí)到全部的網(wǎng)絡(luò)拓?fù)?，建立拓?fù)浔碇螅鼈儠?huì)使用最短路徑優(yōu)先的算法，從拓?fù)浔碇杏?jì)算出路由來(lái)。 NAT 技術(shù)的產(chǎn)生，主要是因?yàn)橐蛱鼐W(wǎng)地址資源緊缺， NAT 技術(shù)保證了企業(yè)或機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)使用私有地址的同時(shí)還能夠和因特網(wǎng)上的主機(jī)通信。計(jì)算機(jī)網(wǎng)絡(luò)又是按照網(wǎng)絡(luò)協(xié)議，將分散、獨(dú)立的計(jì)算 機(jī)設(shè)備相互連接的集合。必須具備下述功能： 低交換機(jī)端口成本； 高端口密度； 連接到高層的可擴(kuò)展上行鏈路； 用戶接入功能，如 VLAN 成員資格、數(shù)據(jù)流和端 口安全以及上網(wǎng)認(rèn)證。核心層可以使用雙核心和單核心結(jié)構(gòu)，考慮到集團(tuán)為中小型集團(tuán)絡(luò)，建網(wǎng)成本有限，這里采用單核心網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，但是單核心網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有很大的風(fēng)險(xiǎn)，一旦此設(shè)備出現(xiàn)故障，將會(huì)導(dǎo)致全網(wǎng)不能訪問(wèn)互聯(lián)網(wǎng)，影響較大，所以這里要在單核心上班上提供自身模塊的冗余，采用雙引擎雙電源的備份冗余模式，即使主引擎出現(xiàn)故障備引擎此時(shí)會(huì)瞬間成為主引擎，正常轉(zhuǎn)發(fā)數(shù)據(jù)， 采用雙電源的備份，即使一個(gè)電源模塊出現(xiàn)故障，不會(huì)影響到整體網(wǎng)絡(luò)，這樣既可節(jié)約建網(wǎng)成本，還能起到冗余備份，保證核心網(wǎng)絡(luò)的安全。這樣通過(guò)直通型防火墻設(shè)計(jì)，不管是集團(tuán)內(nèi)部還是外部數(shù)據(jù) ，只要對(duì)服務(wù)器發(fā)起訪問(wèn)，就必須經(jīng)過(guò)防火墻，防火墻允許通過(guò)的才能訪問(wèn)，非法的報(bào)文將會(huì)被丟棄。基于以上的整體需求， RT 集團(tuán)整體拓?fù)湓O(shè)計(jì)如圖 31 所示： 圖 31 RT集團(tuán)整體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 集團(tuán)區(qū)域設(shè)計(jì) RT 集團(tuán)的整體設(shè)計(jì)如圖 所示，整體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)采用分層模塊化設(shè)計(jì)，分層模塊化設(shè)計(jì)的主要好處就是 對(duì)于網(wǎng)絡(luò)架構(gòu)的更改和擴(kuò)展不會(huì)影響到其他區(qū)域，部門的增加和整合只會(huì)影響到本部門，不影響企業(yè)內(nèi)部整體的辦公，保證網(wǎng)絡(luò) 7*24 小時(shí)不中斷。 1）設(shè)備的可靠性設(shè)計(jì)：不僅要考慮網(wǎng)絡(luò)設(shè)備是否實(shí)現(xiàn)了關(guān)鍵部件的冗余備份，還要從網(wǎng)絡(luò)設(shè)備整體設(shè)計(jì)架構(gòu)、處理引擎種類等多方面去考察。 帶寬性能需求 RT集團(tuán) 集團(tuán)絡(luò)應(yīng)具有更高的帶寬，更強(qiáng)大的性能，以滿足用戶日益增長(zhǎng)的通信需求。既能適應(yīng)計(jì)算機(jī)硬、軟件技術(shù)的迅速發(fā)展 ，硬件上簡(jiǎn)便的重新組合又能夠支撐新環(huán)境要求和適應(yīng)新技術(shù)。 移動(dòng)辦公對(duì)地理位置和工作場(chǎng)景沒(méi)有任何限制，隨時(shí)隨地都可以正常和企業(yè)溝通，提高工作效率，但是遠(yuǎn)程訪問(wèn)對(duì)于數(shù)據(jù)的傳輸是否安全也是企業(yè)所關(guān)心的，所以選擇一個(gè)正確的的網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)遠(yuǎn)程辦公也是 RT 集團(tuán) 網(wǎng)絡(luò)設(shè)計(jì)的一個(gè)重點(diǎn)。在企業(yè)局域網(wǎng)可以共享昂貴的硬件資源，如大型外部存儲(chǔ)器、繪圖儀等。 RT 集團(tuán) 企業(yè)建設(shè)局域網(wǎng)可以實(shí)現(xiàn)企業(yè)內(nèi)部資源共享，降低企業(yè)的經(jīng)營(yíng)成本，提高企業(yè)的運(yùn)作效率。 、圖表要求： 1）文字通順，語(yǔ)言流暢，書寫字跡工整，打印字體及大小符合要求，無(wú)錯(cuò)別字，不準(zhǔn)請(qǐng)他人代寫 2）工程設(shè)計(jì)類題目的圖紙，要求部分用尺規(guī)繪制，部分用計(jì)算機(jī)繪制，所有圖紙應(yīng)符合國(guó)家技術(shù)標(biāo)準(zhǔn)規(guī)范。除了文中特別加以標(biāo)注引用的內(nèi)容外，本論文不包含任何其他個(gè)人或集體已 經(jīng)發(fā)表或撰寫的成果作品。對(duì)本研究提供過(guò)幫助和做出過(guò)貢獻(xiàn)的個(gè)人或集體，均已在文中作了明確的說(shuō)明并表示了謝意。 涉密論文按學(xué)校 規(guī)定處理。 RT 集團(tuán) 網(wǎng)絡(luò)的組建在保證集團(tuán)絡(luò)需求基礎(chǔ)上，為企業(yè)提供高性價(jià)比的網(wǎng)絡(luò)，是此次研究的主要目的，同時(shí)也希望通過(guò)這次的研究，能為今后集團(tuán)絡(luò)的組建提供一個(gè)可參考的模型。現(xiàn)代的 集團(tuán) 網(wǎng) 絡(luò)迫切需要網(wǎng)絡(luò)設(shè)備具備支撐 “以應(yīng)用為中心 ”的智能網(wǎng)絡(luò)運(yùn)營(yíng)維護(hù)的能力，并能夠有一套智能化管理的軟件。 訪問(wèn)互聯(lián)網(wǎng)。人機(jī)界面友好，應(yīng)用環(huán)境良好。系統(tǒng)總體設(shè)計(jì)將本著總體規(guī)劃、分布實(shí)施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進(jìn)性、高度的安全可靠性，同時(shí)具有良好的開放性、可擴(kuò)展性。 穩(wěn)定可靠需求 RT 集團(tuán) 企業(yè)的網(wǎng)絡(luò)應(yīng)具有更全面的可靠性設(shè)計(jì)，以實(shí)現(xiàn)網(wǎng)絡(luò)通信的實(shí)時(shí)暢通，保障企業(yè)生產(chǎn)運(yùn)營(yíng)的正常進(jìn)行。虛擬局域網(wǎng) (VLAN， Virtual Local Area Network)技術(shù)、網(wǎng)絡(luò)地址 轉(zhuǎn)換 (NAT， Network Address Translation)技術(shù)、訪問(wèn)控制列表 (ACL， Access Control List)技術(shù)、網(wǎng)絡(luò)防病毒軟件是常用的集團(tuán)絡(luò)安全措施。盡管路由器本身也可以隔離內(nèi)外網(wǎng)和定義訪問(wèn)控制關(guān)系，但是對(duì)于高級(jí)的訪問(wèn)關(guān)系，路由器的安全 機(jī)制還是有一定的差距。接入層只做為接入終端即 PC，上聯(lián)到匯聚層，將網(wǎng)關(guān)和策略配置在匯聚層上，核心層多數(shù)由高性能的網(wǎng)絡(luò)設(shè)備組成，能夠?qū)崿F(xiàn)快速的數(shù)據(jù)包轉(zhuǎn)發(fā)，因此核心層主要用來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)。當(dāng)網(wǎng)絡(luò)高峰期上網(wǎng)流量特別大的時(shí)候，匯聚層網(wǎng)絡(luò)設(shè)備通過(guò)雙線連接到接入層，可以很好的實(shí)現(xiàn)流量負(fù)載分擔(dān)，即一部分?jǐn)?shù)據(jù)流量由設(shè)備 1 轉(zhuǎn)發(fā)，另一部分?jǐn)?shù)據(jù)流量由設(shè)備 2 轉(zhuǎn)發(fā)，避免了網(wǎng)絡(luò)擁塞的同時(shí)增強(qiáng)了網(wǎng)絡(luò)的安全性，解決了單一節(jié)點(diǎn)故障，即使其中一臺(tái)設(shè)備出現(xiàn)故障，另外一臺(tái)也能正常轉(zhuǎn)發(fā)數(shù)據(jù)。 表 31 VLAN 和 IP 地址規(guī)劃 10 區(qū)域名稱 VLAN 劃分 子網(wǎng)網(wǎng)段 默認(rèn)網(wǎng)關(guān) 高管部 10 行政部 20 人事部 30 財(cái)務(wù)部 40 銷售部 50 售后部 60 網(wǎng)絡(luò)管理中心 70 服務(wù)器集群 2 集團(tuán)內(nèi)網(wǎng)區(qū)域使用 vlan 的劃分雖然可以縮小廣播風(fēng)暴的影響范圍和隔離不同的部門，但是對(duì)于本區(qū)域的網(wǎng)絡(luò)威脅也要充分考慮，近年來(lái)內(nèi)網(wǎng)主機(jī)對(duì)網(wǎng)絡(luò)服務(wù)器攻擊的案列也在逐漸增多，要想避免這種情況，就必須加大內(nèi)網(wǎng)接入端的網(wǎng)絡(luò)安全，局 域網(wǎng)攻擊常見(jiàn)的有 mac 地址欺騙、 ARP 攻擊等欺騙性攻擊手段，這種攻擊往往無(wú)法查到攻擊主機(jī)，只能在設(shè)計(jì)網(wǎng)絡(luò)的時(shí)候加大網(wǎng)絡(luò)安全設(shè)計(jì)，盡量避免這種攻擊得逞，具體的方法有在接入 pc 的交換機(jī)接口使用端口安全技術(shù)和廣播風(fēng)暴控制技術(shù)，來(lái)綁定主機(jī)的 mac 地址和 ip地址，限制廣播包的百分比來(lái)避免遭到攻擊。 Ipsec VPN 具體實(shí)現(xiàn)代碼如下所示： Router(config)aaa newmodel Router(config)aaa authentication login eza local Router(config)aaa authorization work ezo local Router(config)username cisco password 0 cisco Router(config)crypto isakmp policy 10 Router(configcrypto)encr 3des Router(configcrypto)hash md5 Router(configcrypto)authentication preshare Router(configcrypto)group 2 Router(config)crypto isakmp client configuration group myez Router(configcrypto)key 123 Router(configcrypto)pool ez Router(config)crypto ipsec transformset myset esp3des espshahmac Router(config)crypto ipsec transformset tim esp3des espmd5hmac Router(config)crypto map tom client authentication list eza Router(config)crypto map tom isakmp authorization list ezo 12 Router(config)crypto map tom client configuration address respond Router(config)crypto map tom 10 ipsecisakmp dynamic ezmap Router(config)ip local pool ez Router(config)interface Serial0/3/0 Router(configif)ip address Router(configif)ip nat outside Router(configif)crypto map tom NAT 技術(shù) 全球網(wǎng)絡(luò)上使用的 IP 地址，被分為公有地址和私有地址兩部分、其中公有地址是在因特網(wǎng)上可用的 IP 地址，而私有地址只能在某個(gè)企業(yè)或機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)中使用，私有地址是不能夠在因特網(wǎng)上使用地址。 相對(duì)距離矢量路由協(xié)議， OSPF 路由協(xié)議有收斂時(shí)間很短、使用范圍大的優(yōu)點(diǎn)。 網(wǎng)絡(luò)管理中心和財(cái)務(wù)部不能訪問(wèn)內(nèi)網(wǎng)，主要實(shí)現(xiàn)代碼如下： Router(config)accesslist 10 deny Router(config)accesslist 10 deny Router(config)accesslist 10 permit any 根據(jù)最精準(zhǔn)的安全訪問(wèn)控制關(guān)系，這里允許網(wǎng)絡(luò)管理中心訪問(wèn)其他部門，這樣方便網(wǎng)管中心統(tǒng)一控制和管理網(wǎng)絡(luò)設(shè)備，方便后期的維護(hù)，但是不允許其他 部門的主機(jī)訪問(wèn)網(wǎng)絡(luò)管理中心的主機(jī)，主要實(shí)現(xiàn)代碼如下： Switch(config)accesslist 170 deny icmp any echoreply Switch(config)accesslist 170 deny icmp any echoreply Switch(config)accesslist 170 deny icmp any echoreply Switch(config)accesslist 170 deny icmp any echoreply Switch(config)accesslist 170 deny icmp any echoreply Switch(config)accesslist 170 deny icmp any echoreply Switch(config)accesslist 170 permit ip any any STP 技術(shù) 生成樹技術(shù)設(shè)計(jì)的思想就是解決網(wǎng)絡(luò)中存在環(huán)路的現(xiàn)象，通過(guò)阻塞其中一些端口來(lái)打破環(huán)路存在的可能。 使用高管部的主機(jī)去訪問(wèn)行政部的主機(jī)，訪問(wèn)目的 IP 地址為 ，測(cè)試結(jié)果如圖 510 所示： 圖 510 高管部不能和其他部門互訪 20 6 結(jié)論 對(duì)于集團(tuán)，其核心內(nèi)容是多層交換網(wǎng)絡(luò)的實(shí)現(xiàn)。 最后，向百忙之中抽出時(shí)間審閱和批改論文的老師們表示由衷的感謝，謝謝您們的指導(dǎo)和提出寶貴的意見(jiàn)。 本文主要是從 集團(tuán) 的網(wǎng)絡(luò)需求出發(fā)，通過(guò)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行綜合的分析，對(duì) 集團(tuán) 絡(luò)的組建在保證 集團(tuán) 絡(luò)需求基礎(chǔ)上，為 集團(tuán) 提供高性價(jià)比的網(wǎng)絡(luò)，是致力于此次研究的主要目的，同時(shí)希望通過(guò)這次的研究，能為今后 集團(tuán) 絡(luò)的 組建提供一個(gè)可參考的模型。 使用高管部的主機(jī)去訪問(wèn)互聯(lián)網(wǎng)主機(jī)，測(cè)試目的 ip 地址為 ，測(cè)試結(jié)果如圖 51 所示： 圖