【文章內(nèi)容簡(jiǎn)介】 (configvlan)exit添加端口:將SW1端口根據(jù)情況分配給行政部和人事部配置如下：Sw1(config)int rang f0/112Sw1(configifrange)switchport access vlan 2Sw1(configifrange)exitSw1(config)int rang f0/1324Sw1(configifrang)switwchprot access vlan 3Sw1(configifrang)exit最終配置如下：VLAN Name Status ports1 default active Gig1/1,Gig1/22 vlan2 active Fa0/1,Fa0/2,Fa0/3,Fa0/4 Fa0/5,Fa0/6,Fa0/7,Fa0/8 Fa0/9,Fa0/10,Fa0/11,Fa0/123 vlan3 active Fa0/13,Fa0/14,Fa0/15,Fa0/16 Fa0/17,Fa0/18,Fa0/19,Fa0/20 Fa0/21,Fa0/22,Fa0/23,Fa0/24依次配置方式將交換機(jī)SWSW3按照需要分別配置,這里不再贅述。 路由器規(guī)劃配置. IP路由協(xié)議配置 IP路由協(xié)議配置如如下：R1(config)int f1/0R1(configif)ip add R1(configif)no shutR1(config)route ospf 110R1(configroute)network area 0 將路由器 f1/0 作為網(wǎng)絡(luò)出口，配置公網(wǎng)IP. NAT配置先建立一張控制表允許內(nèi)網(wǎng)IP進(jìn)入配置如下：R1conf tEnter configuration mands,one per line. End with CNTL/Z.R1(config)accesslist 15 permit 再將路由器倆個(gè)入口和出口進(jìn)行定義配置如下：R1(config)ip nat inside source list 15 int f1/0 overloadR1(config)int f0/0R1(configif)ip add R1(configif)ip nat insideR1(configif)exitR1(config)int f0/1R1(configif)ip add R1(configif)ip nat insideR1(configif)exitR1(config)int f1/0R1(configif)ip add R1(configif)ip nat outsideR1(configif)exit。打開(kāi)路由器連接匯聚層的接口R1(config)int f0/0R1(configif)no shutR1(configif)exit進(jìn)入子接口R1(config)int f0/對(duì)子接口進(jìn)行封裝和IP地址的配置R1(configsubif)encapsulation dot1Q 2R1(configsubif)ip add 注釋?zhuān)篸ot1Q 2 ，其中“dot1Q”，“2”為Vlan號(hào)，將所有Vlan配置，并且在其子端口配置相應(yīng)Vlan的網(wǎng)關(guān)。 STP配置SW5(config)spanningtree vlan 1 root primary這里指定SW5為 Vlan 1的樹(shù)根SW6(config)spanningtree vlan 1 root secondary這里指定SW6為Vlan 1的從根SW5(config)int f0/4SW5(configif)spanningtree portfast這里指定f0/4為快速端口進(jìn)行傳輸SW1(config)int f0/2SW1(configif)spanningtree uplinkfast在接入層同時(shí)指定相連的f0/2為上行端口以此配置將所需Vlan 在全部交換機(jī)上指定樹(shù)根與從根，同時(shí)接入層配置快速端口與上行端口，方法同上不再贅述。最后達(dá)到每個(gè)Vlan都有自己的生成樹(shù)，并且有快速端口與上行端口，達(dá)到?jīng)]有環(huán)路的效果。 路由器安全設(shè)置R1(config)username cisco password 123 設(shè)置用戶(hù)名cisco 密碼123R1(config)line console 0R1(configline)login local在本地使用設(shè)置的用戶(hù)名和密碼R1(config)line vty 0 4 R1(configline)password 456 R1(configline)login設(shè)置telnet權(quán)限,設(shè)定telnet下的密碼為456,最后確認(rèn)R1(config)enable password 789 設(shè)定 enable 密碼為789 企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì) 本文研究認(rèn)為公司網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)有以下3點(diǎn)：公司網(wǎng)絡(luò)與公網(wǎng)連接，可能遭到來(lái)自各地的越權(quán)訪(fǎng)問(wèn)，還可能遭到網(wǎng)絡(luò)黑客的惡意攻擊和計(jì)算機(jī)病毒的入侵。內(nèi)部的各個(gè)子網(wǎng)通過(guò)骨干交換相互連接，這樣的話(huà)，某些重要的部門(mén)可能會(huì)遭到來(lái)自其它部門(mén)的越權(quán)訪(fǎng)問(wèn)。這些越權(quán)訪(fǎng)問(wèn)可能包括惡意攻擊、誤操作等，相比外部攻擊來(lái)說(shuō)，內(nèi)部用戶(hù)具有先天的優(yōu)勢(shì)，但是無(wú)論怎樣，結(jié)果都將導(dǎo)致重要信息的泄露或者網(wǎng)絡(luò)的癱瘓。設(shè)備的自身安全性也會(huì)直接關(guān)系到網(wǎng)絡(luò)系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。例如，路由設(shè)備存在路由信息泄漏、交換機(jī)和路由器設(shè)備配置風(fēng)險(xiǎn)等。重要服務(wù)器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒(méi)有及時(shí)的發(fā)現(xiàn)并且進(jìn)行修復(fù)，將會(huì)為網(wǎng)絡(luò)的安全帶來(lái)很多不安定的因素。重要服務(wù)器的當(dāng)機(jī)或者重要數(shù)據(jù)的意外丟失，都將會(huì)造成公司日常辦公無(wú)法進(jìn)行。問(wèn)題一解決方法：在公司出口路由器Cisco 2811是多功能帶有監(jiān)控平臺(tái)軟件、防火墻ISO,使外部網(wǎng)絡(luò)更難影響到公司網(wǎng)絡(luò)，及病毒入侵；問(wèn)題二解決通過(guò)防火墻上的監(jiān)控平臺(tái)來(lái)限制員工上網(wǎng)行為、有效的控制，并記錄其上網(wǎng)的不規(guī)范行為，為內(nèi)網(wǎng)高效率和安全性提高保障；問(wèn)題三解決加強(qiáng)企業(yè)內(nèi)部管理，對(duì)于機(jī)房重地未經(jīng)允許不可以私自進(jìn)入，以保障網(wǎng)絡(luò)設(shè)備不會(huì)認(rèn)為的收到入侵。總 結(jié)首先，本文是以中小企業(yè)為背景，根據(jù)其中一個(gè)中小型公司為藍(lán)本所做的一個(gè)企業(yè)網(wǎng)絡(luò)解決方案。網(wǎng)絡(luò)整體采用的是Cisco三層架構(gòu)，這個(gè)結(jié)構(gòu)的優(yōu)點(diǎn)是穩(wěn)定性好、設(shè)備負(fù)載均衡、易擴(kuò)展，并且網(wǎng)絡(luò)故障排查也比較容易。無(wú)論各行各業(yè)在網(wǎng)絡(luò)中的要求最重要的只有兩個(gè)方面，分別是網(wǎng)絡(luò)運(yùn)行速度流暢和網(wǎng)絡(luò)安全可靠性高。其中，網(wǎng)絡(luò)最重要的是在網(wǎng)絡(luò)安全方面，所以在本方案中我們采用VLAN技術(shù)和NAT技術(shù)作為內(nèi)部網(wǎng)絡(luò)的安全策略，主要是防止公司內(nèi)部的非授權(quán)訪(fǎng)問(wèn)。而在內(nèi)部網(wǎng)絡(luò)與Internet之間我們則采用NAT技術(shù)，公司內(nèi)部網(wǎng)絡(luò)中的IP地址均沒(méi)有權(quán)限登錄Internet，只能通過(guò)地址池轉(zhuǎn)換地址方可登錄，該策略可以有效地控制數(shù)據(jù)進(jìn)出。與此同時(shí)，每臺(tái)設(shè)備上將會(huì)進(jìn)行多種密文認(rèn)證方式，如Telnet認(rèn)證、密碼認(rèn)證等等。由于對(duì)于很多新的技術(shù)和方法還不是很了解，本方案中還存在很多不足。首先，因?yàn)闄C(jī)器的價(jià)格問(wèn)題，負(fù)擔(dān)不起高額的機(jī)器費(fèi)用，因此在本方案中是使用模擬器來(lái)實(shí)現(xiàn)其局域網(wǎng)的，這就缺少了一定的真實(shí)性，存在著一定的不確定性，畢竟根本不是真機(jī)，有的時(shí)候在模擬器上可行的方案在真機(jī)中卻顯示配置錯(cuò)誤，這種情況并不少見(jiàn)。其次，該方案在實(shí)踐起來(lái)有一定的不可行性。在本方案的網(wǎng)絡(luò)拓?fù)鋱D中可以發(fā)現(xiàn)，本公司的局域網(wǎng)用了六臺(tái)2950交換機(jī)和一臺(tái)2811路由器，這在真實(shí)的中小去也是很少見(jiàn)的，多數(shù)的情況下在核心上都會(huì)用三層的交換機(jī)起到代替路由器的功能，而在接入層中會(huì)采用較為中端的二層交換機(jī)設(shè)備。在本方案中，因?yàn)槭艿侥M器的限制，只能運(yùn)用一種ISO版本，因此無(wú)論在接入層和匯聚層中均采用了同樣的網(wǎng)絡(luò)設(shè)備，如果這在現(xiàn)實(shí)中是不太可能實(shí)現(xiàn)的，這會(huì)導(dǎo)致經(jīng)費(fèi)的大量增加，是不可取的。同時(shí)本方案為了著重體現(xiàn)該局域網(wǎng)三層和二層的應(yīng)用與區(qū)別，因此導(dǎo)致了與現(xiàn)實(shí)不符的設(shè)計(jì)出現(xiàn)。參考文獻(xiàn)：[1]鹿文超 電腦知識(shí)與技術(shù) 2008年第五期[2]龔尚今 信息安全與技術(shù) 2011年第七期[3]王蕾 信息與電腦（理論版）[4]劉宏宇 應(yīng)用能源技術(shù) 2012年第七期[5]肖曉紅；王剛； 計(jì)算機(jī)與信息技術(shù) 2007年第十一期 [6]張韶 電腦知識(shí)與技術(shù) 2008年第二十八期 [7]謝希仁. 計(jì)算機(jī)網(wǎng)絡(luò)（第五版）..[8] Andrew S. Tanenbaum. 計(jì)算機(jī)網(wǎng)絡(luò)（第4版）.英文影印版著清華大學(xué)出版社[9]拉莫爾著，程代偉譯. CCNA學(xué)習(xí)指南640802（中文第六版）.電子工業(yè)出版社,2008.[10]Richard Froom著,田果，劉丹寧譯. CCNP SWITCH 642813 （中文版） .[11]Diane Teare著，袁國(guó)忠譯. CCNP ROUTE 642902 (中文版). .[12]劉衍衍等編著 計(jì)算機(jī)安全技術(shù) [1