【正文】 ............................... 21 第 4 章 網(wǎng)絡(luò)規(guī)劃 .................................................... 23 VLAN 的劃分及 IP 地址規(guī)劃 .................................... 23 基本配置命令 ................................................ 24 交換機(jī)的配置 ................................................ 26 路由器的配置 ................................................ 32 Web 服務(wù)器的配置 .............................................34 第 5 章 總結(jié) ........................................................ 39 東華理工大學(xué)畢業(yè)設(shè)計（ 論文） 目錄 致 謝 ..............................................................40 參考文獻(xiàn) ...........................................................41 東華理工大學(xué)畢業(yè)設(shè)計（ 論文） 網(wǎng)絡(luò)概述 1 緒 論 我們知道， 21世紀(jì)的一些重要特征就是數(shù)字化、網(wǎng)絡(luò)化和信息化，它是一個以網(wǎng)絡(luò)為核心的信息時代。 2020年，我國的寬帶建設(shè)已經(jīng)進(jìn)人全面提升階段，其中包括加快發(fā)展光纖寬帶網(wǎng)絡(luò)、無線移動寬帶網(wǎng)絡(luò)等多方面內(nèi)容。日常生活中到處可以見到網(wǎng)絡(luò)的存在，例如公路交通網(wǎng)、無線電話網(wǎng)、物聯(lián)網(wǎng)等。通信雙方約定并且共同遵守的格式和規(guī)范就是協(xié)議。 城域網(wǎng)（ MAN） 城域網(wǎng)是介于廣域網(wǎng)與局域網(wǎng)之間的一種高速網(wǎng)絡(luò)。星型結(jié)構(gòu)簡單，配置靈活，容易增加新節(jié)點，但中央節(jié)點有故障會導(dǎo)致整個網(wǎng)絡(luò)的癱瘓。分布式網(wǎng)絡(luò)又稱網(wǎng)型網(wǎng)，較有代表性的網(wǎng)型網(wǎng)就是全連通網(wǎng)絡(luò)。 復(fù)合型網(wǎng)絡(luò) 該網(wǎng)絡(luò)結(jié)構(gòu)是現(xiàn)實中常見的組網(wǎng)方式，其典型特點是將分布式網(wǎng)絡(luò)與樹型網(wǎng)結(jié)合起來。 會話層：負(fù)責(zé)建立、管理和拆除進(jìn)程之間的通信連接， “ 進(jìn)程 ” 是指電子郵件、文件傳輸?shù)纫淮为毩⑦\(yùn)行的程序。現(xiàn)在的計算機(jī)網(wǎng)絡(luò)大多 是 TCP/IP 參考 模型結(jié)構(gòu)。 OSI 參考模型是一種過于理想化的體系結(jié)構(gòu)，在實際的實施過程中有比較大的難度。在整體方案設(shè)計中，必須遵循 實用性 、 先進(jìn)性 、可靠性和安全性原則。 （ 2）架設(shè)公司 web 服務(wù)器，方便發(fā)布公司自主網(wǎng)站。邏輯上劃分的子網(wǎng)在功能上與傳統(tǒng)物理上劃分的子網(wǎng)相同，劃分可以根據(jù)交換機(jī)的端口、 MAC 地址、 IP 地址來進(jìn)行。 增強(qiáng)網(wǎng)絡(luò)的健壯性 當(dāng)網(wǎng)絡(luò)規(guī)模增大時，部分網(wǎng)絡(luò)出現(xiàn)問題往往會影響整個網(wǎng)絡(luò)，引入 VLAN之后，可以將一些網(wǎng)絡(luò)故障限制在一個 VLAN 之內(nèi)。 擴(kuò)展 ACL 可以針對數(shù)據(jù)包的源地址、目的地址、協(xié)議類型及應(yīng)用類型（端口號）等信息作為過濾的標(biāo)準(zhǔn)。 如果一個數(shù)據(jù)包沒有 匹配上 ACL 中的任何一條語句則會被丟棄掉，因為缺省情況下每一個 ACL 在最后都有一條隱含的匹配所有數(shù)據(jù)包的條目，其關(guān)鍵字是 deny。 PC 將使用租借的 IP 地址連接到網(wǎng)絡(luò)，直到租期結(jié)束。 第 2 步 DHCP 提議。 DHCPEQUEST 還用于向選定服務(wù)器發(fā)送綁定接受通知，并隱式拒絕其他服務(wù)器提供的綁定提議。 NAT 在帶來優(yōu)點的同時，也帶來了不少缺點：使用 NAT 必然要引入額外 的延遲；喪失端到端的 IP 跟蹤能力； 地址轉(zhuǎn)換由于隱藏了內(nèi)部主機(jī)地址，有時候會使網(wǎng)絡(luò)調(diào)試變得復(fù)雜。點對點模式中的一個節(jié)點必需能同時“看”到網(wǎng)絡(luò)中的其他節(jié)點，否則就認(rèn)為網(wǎng)絡(luò)中斷，因此對等網(wǎng)絡(luò)只能用于少數(shù)用戶的組網(wǎng)環(huán)境。相同ESSID 的無線網(wǎng)絡(luò)間可以進(jìn)行漫游，不同 ESSID 的無線網(wǎng)絡(luò)形成邏輯子網(wǎng)。缺點速度慢，容易受干擾。 核心層 核心層的功能主要是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，復(fù)雜整個網(wǎng)絡(luò)的網(wǎng)內(nèi)數(shù)據(jù)交換。 運(yùn)用層次模型的設(shè)計方法，具有以下優(yōu)點： 結(jié)構(gòu)清晰，網(wǎng)絡(luò)易于理解和維護(hù)； 具有良好的擴(kuò)展性； 功能分解在不通的層次，利于網(wǎng)絡(luò)的穩(wěn)定； 利于定位網(wǎng)絡(luò)故障點。思科公司向客戶提供端到端的網(wǎng)絡(luò)解決方案，使客戶能夠建立起自己的統(tǒng)一信息基礎(chǔ)設(shè)施或者與其他網(wǎng)絡(luò)相連。因為低端設(shè)備更新較快，且易于擴(kuò)展。 CISCO WSC6509E 的外觀結(jié)構(gòu)如圖 32，它擁有 9 個模塊化插槽，背板帶寬為 720Gbps，包轉(zhuǎn)發(fā)率為 387Mpps，支持網(wǎng)絡(luò)標(biāo)準(zhǔn)（ IEEE ， IEEE ， IEEE ，IEEE ， IEEE ）、網(wǎng)絡(luò)管理（ CiscoWorks2020， RMON， ESPAN，SNMP， Tel， BOOTP， TFTP）、 VLAN、 QoS，電源功率為 4000W。 CISCO Catalyst 2960 系列交換機(jī)是一系列采用以太網(wǎng)供電或非 PoE 配置，可提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，并可為入門 級企業(yè)、中間市場和分支機(jī)構(gòu)網(wǎng)絡(luò)實現(xiàn)高級局域網(wǎng)服務(wù)的固定配置獨立式智能以太網(wǎng)設(shè)備 。 東華理工大學(xué)畢業(yè)設(shè)計（ 論文） 網(wǎng)絡(luò)設(shè)計 19 圖 35 CISCO 2911/K9 服務(wù)器選型 網(wǎng)絡(luò)服務(wù)器的選型是網(wǎng)絡(luò)系統(tǒng)建設(shè)的重要內(nèi)容之一，從應(yīng)用的角度來看，網(wǎng)絡(luò)服務(wù)器的類型可以分為：文件服務(wù)器、數(shù)據(jù)庫服務(wù)器、 Inter 通用服務(wù)器與應(yīng)用服務(wù)器等。 OSPF 路由協(xié)議特點有： 鏈路狀態(tài)協(xié)議沒有環(huán)路；根據(jù)帶寬選擇路徑；路由會聚能力更強(qiáng)；快速收斂；支持 VLSM 和CIDR。根據(jù) ISO/IEC 標(biāo)準(zhǔn)，結(jié)構(gòu)化綜合布線系統(tǒng)可分為 6 個獨立的布線子系統(tǒng)。 管理子系統(tǒng) 管理子系統(tǒng)安裝通信布線系統(tǒng)設(shè)備，包括水平、主干布線系統(tǒng)的機(jī)械和電氣終端。 深圳總部和北京分公司它們之間的距離已超過雙絞線布線的技術(shù)要求，因此采用光纖進(jìn)行布線。 根據(jù)公司情況，每個部門劃分為一個 VLAN，各部門分別屬于不同的網(wǎng)段，各部門之間在邏輯上被隔離，但是各部門間的通訊。將交換機(jī)的加密使能口令配置為 cisco2960 的命令如下： AS1（ config） enable seceret cisco2960 （ 3）設(shè)置控制臺線路口令 東華理工大學(xué)畢業(yè)設(shè)計（ 論文） 網(wǎng)絡(luò)規(guī)劃 25 Cisco IOS 設(shè)備的控制臺端口具有特別 的權(quán)限，做為最低限度的安全措施，必須為所有的網(wǎng)絡(luò)設(shè)備的控制臺端口配置強(qiáng)口令，這可以降低未經(jīng)授權(quán)的人員將電纜插入設(shè)備來訪問設(shè)備的風(fēng)險，設(shè)置登陸登錄控制臺線路時的口令為 cisco 命令如下 : AS1（ config） line console 0 AS1（ configline） password cisco AS1（ configline） login （ 4）設(shè)置登錄標(biāo)語 盡管要求用戶輸入口令是防止未經(jīng)授權(quán)的人員進(jìn)入網(wǎng)絡(luò)的有效方法，但有時必須要向試圖訪問設(shè)備的人員聲明僅授權(quán)人員才可以訪問設(shè)備，出于此目的 ，可以設(shè)置登錄標(biāo)語，它是用戶登錄到交換機(jī)時可以看到的消息，警示未經(jīng)授權(quán)的人員不要登錄交換機(jī)，配置登錄標(biāo)語的命令如下： AS1（ config） banner motd Activity may be monitored （ 5）設(shè)置虛擬終端線路（ VTY）口令 VTY 線路使用戶能通過 tel 或 SSH 訪問遠(yuǎn)程網(wǎng)絡(luò)設(shè)備，對于一個交換網(wǎng)絡(luò)來說，它為管理人員管理遠(yuǎn)程網(wǎng)絡(luò)提供了很多方便，但出于安全考慮，用戶在通過 Tel 或 SSH 訪問設(shè)備時必須進(jìn)行身份驗證，設(shè)置登陸虛擬終端線路時的口令為 class 命令如下： AS1（ config） line vty 0 15 AS1（ configline） password class AS1（ configline） login （ 6）激活 IOS 消息命令的同步機(jī)制 Cisco IOS 常常會發(fā)送一些未經(jīng)請求的消息，有時候，當(dāng)管理員正在鍵入命令時，這些消息會突然出現(xiàn)，盡管此類 IOS 消息不會對命令造成影響，但會使管理員找不到之前的鍵入位置，為了不讓這些未經(jīng)請求的輸出對管理員造成影響，可以使用 logging synchronous 設(shè)置交換機(jī)（路由器）在下一行 CLI 提示符后復(fù)制用戶的輸 入，激活 IOS 消息命令的同步機(jī)制的命令如下： AS1（ config） line console 0 AS1（ configline） logging synchronous （ 7）配置加密口令 在 Cisco IOS CLI 中配置的口令時，默認(rèn)情況下，除了使能口令外，其它所有的口令都以明文方式存在的配置文件中，為安全起見，應(yīng)該將口令加密，不應(yīng)該以明文格式存儲。 VLAN 及 IP 地址分配情況如下表 41 所 示： 表 41 ip地址分配表 部門 VLAN 網(wǎng)段 網(wǎng)關(guān) 子網(wǎng)掩碼 行政管理部 2 財務(wù)部 3 人力資源部 4 技術(shù)部 5 生產(chǎn)部 6 銷售部 7 男公寓樓 8 女公寓樓 9 主要網(wǎng)絡(luò)設(shè)備的本端接口 IP 地址與對端接口 IP 地址規(guī)劃如表 42 所示：其中 MS1， MS2 為兩臺核心路由交換， R1， R2， R3， R4 為四臺路由 器， Server 為一臺服務(wù)器。根據(jù)技術(shù)規(guī)范，選用超五類非屏蔽系統(tǒng)，其傳輸速度可達(dá)到100Mbit/s，傳 輸頻率為 100MHz。 建筑群子系統(tǒng) 建筑群子系統(tǒng)提供外部建筑 物與大樓內(nèi)布線的連接點。 水平配線子系統(tǒng) 水平子系統(tǒng)也成為水平布線子系統(tǒng)。考慮到公司網(wǎng)絡(luò)的擴(kuò)展性、穩(wěn)定性、可靠性等原因，我們選擇 OSPF 作為主要的路由協(xié)議，與 ISP 的邊緣 部分則選用靜態(tài)路由的方式連接，另外我們還采用了 VRRP 虛擬路由冗余協(xié)議，它保證當(dāng)主機(jī)的下一跳路由器失效時，可以及時地由另一臺路由器來代替，從而保持通訊的連續(xù)性和可靠性。 系統(tǒng)支持 （ Windows Server， Red Hat Enterprise Linux， SUSE Linux Enterprise Server,VMware vSphere） ，電源功率為 750W。 CISCO WSC296024TCL 的外觀結(jié)構(gòu)如圖 34，它擁有 26 個端口數(shù)量， 24個以太網(wǎng) 10/100Mbps 端口， 2 個兩用上行端口 。包括訪問控制列表、 VLAN 路由等等。如果是舊網(wǎng)改造項目，應(yīng)盡可能保留并延長用戶對原有網(wǎng)絡(luò)設(shè)備的投資，減少在資金投入方面的浪費(fèi)。 設(shè)備選型原則 廠商的選擇 所有網(wǎng)絡(luò)設(shè)備盡可能選取同一廠家的產(chǎn)品，這樣在設(shè)備可互連性、協(xié)議互操作性、技術(shù)支持、價格等各方面都更有優(yōu)勢。其中一臺路由器用于連接 ISP 實現(xiàn)公司內(nèi)部與外網(wǎng)互聯(lián)，另一臺路由器與廣域網(wǎng)的幀中繼相連，用于實現(xiàn)總公司與分公司之間的通信。核心層一直被認(rèn)為流量的最終承受著和匯聚者，所以要求核心交換機(jī)擁有較高的可靠性和性能。缺點容易受 頻段上運(yùn)行的 設(shè)備干擾。所謂漫游是指一個用戶從一個地點移動到另外一個地點，應(yīng)該被認(rèn)定為離開一個接入點，進(jìn)入另一個接入點。無線接入點 AP 用于在無線 STA 和有線網(wǎng)絡(luò)之間接收緩存和轉(zhuǎn)發(fā)數(shù)有無線通訊都經(jīng)過 AP 完成，是有中心拓?fù)浣Y(jié)構(gòu)。 WLAN 技術(shù) 無線局域網(wǎng)絡(luò)是指以無線電波、激光、紅外線等無線媒介來代替有線局域網(wǎng)中的部分或全部傳輸媒介而 構(gòu)成的網(wǎng)絡(luò)。收到 DHCPEQUEST 消息后，服務(wù)器驗證租用信息，為客戶端租用創(chuàng)建一個新的 ARP 條目，并使用單播 DHCPACK 消息進(jìn)行應(yīng)答。 DHCPOFFER 消息是以單播發(fā)送的，它將服務(wù)器的第二層 MAC 地址作為源地址，將客戶端的第 2 層地址作為目標(biāo)地址。 DHCP 服務(wù)器將這些地址歸還給地址池，并在必要時從新分配它們。 DHCP 技術(shù) 動態(tài) 主機(jī) 設(shè)置協(xié)議（ Dynamic Host Configuration Protocol, DHCP）是一個 局域網(wǎng) 的 網(wǎng)絡(luò)協(xié)議 ，使用 UDP 協(xié)議工作，主要有兩個用途：給內(nèi)部網(wǎng)絡(luò)或 網(wǎng)絡(luò)服務(wù) 供應(yīng)商自動分配 IP 地址 ，給用戶或者內(nèi)部 網(wǎng)絡(luò)管理員 作為對所有 計算機(jī) 作中央管理的手段 。 接下來討論 ACL 內(nèi)部的具體處理過程：如圖 21 東華理工大 學(xué)畢業(yè)設(shè)計（ 論文） 需求分析 9 圖 21 ACL工作原理 每個 ACL 可以有多條語句（規(guī)則）組成，當(dāng)一個 數(shù)據(jù)包要通過 ACL 的檢查時