【導(dǎo)讀】工作及取得的研究成果；得其他教育機構(gòu)的學(xué)位而使用過的材料；ID號，其號碼為。請你設(shè)計一個方案，將某單位的所有主機連接起來,建立自己的DNS,DHCP,WEB,FTP等應(yīng)用，實現(xiàn)與Inter連接和安全管理控制?？紤]到未來的擴(kuò)展性，考慮無線局。域網(wǎng)的接入，以及對IPV6網(wǎng)絡(luò)的兼容性。在論文中敘述網(wǎng)絡(luò)的發(fā)展、網(wǎng)絡(luò)技術(shù)及現(xiàn)階段網(wǎng)絡(luò)技術(shù)在經(jīng)濟(jì)發(fā)展中的應(yīng)用、作用；闡述你所設(shè)計方案的原則，組網(wǎng)實施的方案及方案的成本核算、優(yōu)缺點；敘述本方案易出現(xiàn)的問題及處理方法；要求有組網(wǎng)實施實物方案圖；第14~15周撰寫畢業(yè)論文（說明書），完成畢業(yè)答辯資格審查。第16~17周畢業(yè)答辯準(zhǔn)備、畢業(yè)答辯。第2～3周閱讀資料、書籍，學(xué)習(xí)所需知識，撰寫文獻(xiàn)綜述。第4～5周畢業(yè)實習(xí)、完成畢業(yè)實習(xí)報告撰寫。第6周建立畢業(yè)設(shè)計實驗環(huán)境；初步擬訂設(shè)計方案；完成開題報告。第8～13周具體設(shè)計、調(diào)試、修改、實現(xiàn)。

　　

【正文】 對交換機的基本配置 (1)交換機的名稱，便于區(qū)分不同的設(shè)備，便于區(qū)分和操作。 Switch（ config） hostname SW1 (2)使能口令：經(jīng)過 MD5 加密后的口令，在用戶從普通模式而要進(jìn)入特權(quán)擁護(hù)模式時提供的口令。當(dāng)用戶查看配置文件時，看到的是加密的密碼。 SW1（ config） able secret cisco (3)設(shè)置登入虛 擬終端時的口令，方便了管理員的管理，但也要加強安全管理。 SW1（ config） line vty 0 15 SW1（ configline） password password SW1 SW1（ configline） login SW1（ configline） exit (4)配置終端線超時時間：當(dāng)管理員離開機器組長時間時，非法用戶可能對次交換機進(jìn)行操作，造成安全問題，所以，可設(shè)置在一定的時間內(nèi)，如果沒有檢查到鍵盤輸入，IOS 將斷開用戶和交換機之間的連接 SW1（ config） line vty 0 15 （也可設(shè)置 line vty0 0 永不超時，在模擬軟件中使用方案） SW1（ configline） exectimeout 6 30 SW1（ configline） line con 0 SW1（ configline） logging synchronous （用戶輸入的交換機配置命令將不會被交換機產(chǎn)生的消息打亂） (5)當(dāng)我們輸入一條錯誤的交換機命令時，交換機則不會將其廣播給網(wǎng)絡(luò)上的 DNS，某單位組網(wǎng)方案設(shè)計與實施 24 并解析為 IP 地址 SW1（ config） no ip domainlo SW1（ config） service passwordcryption （對沒有加密的密碼加密） (6)把交換機設(shè)為 server 模式，用于創(chuàng)建，刪除，修改 VLAN，生成和傳播 VTP 消息。部分交換機設(shè)為 client 模式，可傳播和接受 VTP 的修改信息，因此可減少管理員的配置。 (7)VLAN 可以使用相同的部門處在同一個網(wǎng)絡(luò)，且將廣播域限制在單個 VLAN 內(nèi)部，減小了各 VLAN 間主機的廣播通信對其他 VLAN 的影響，方便簡潔的管理，如對dis3 的配置，如圖 。 圖 三層交換機 創(chuàng)建 VLAN： dis3vlan database Dis3(vlan)vlan 10 name VTP 設(shè)置： Dis3(config)vtp domain CW Dis3(config)vtp mode server 接口加入 VLAN Dis3(config)int fa0/1 Dis3(configif)switchport mode access Dis3(configif)switchport access vlan 10 登陸提示： Dis1(config)banner mote s This is a private system and only authorized individuals are allowed!$ h、為每個 VLAN 第一自己的默認(rèn)網(wǎng)關(guān)地址 Dis1(config)int vlan 10 Dis1(configif)ip address 交換機的高級配置 (1)核心層采用了 EtherChannel 技術(shù)，將多個端口進(jìn)行綁定，增加可用帶寬，以下是corel 的配置，如圖 。 圖 core1 湖南工程學(xué)院畢業(yè)設(shè)計（論文） 25 Corel(config)int range f1/13 Corel(config)channelgroup 1 mode active Corel(config)Exit Corel(config)int port 1 Corel(config)no switchport Corel(config)ip sdd Corel(config)no shut (2)熱備份路由選擇協(xié)議 HSRP 是一種非常流行的默認(rèn)網(wǎng)關(guān)冗余協(xié)議，是 cisco 室友協(xié)議，他通過在冗余網(wǎng)關(guān)之間共享協(xié)議和 MAC 地址，提供了不間斷的 IP 路徑冗余。該協(xié)議在兩臺路由器之間共享的虛擬 MAC 地址和虛擬 IP 地址，支持多臺路由器用作備用默認(rèn)網(wǎng)關(guān)。 Disl(config)standby 1 ip (3)設(shè)備快速端口 默認(rèn)情況下，交換機在剛加電時，每個端口都要經(jīng)歷生成樹的四個階段：阻塞、偵聽、學(xué)習(xí)、轉(zhuǎn)發(fā)。 在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前，某個端口最多要等 50 秒的時間（ 20+15+15），對于直接接入端口的工作站來說，只要轉(zhuǎn)發(fā)即可。 Disl(config)int fa0/0 Disl(configif)spanningtree portfast (4)STP：由于使用的交換機數(shù)量比較多，交換網(wǎng)絡(luò)的復(fù)雜性可能會造成交換環(huán)路問題，這些環(huán)路可能帶來的問題是：多個幀副本：廣播風(fēng)暴（廣 播不停的在多個網(wǎng)段間不停的泛濫）；誤解 MAC 地址（端口不穩(wěn)定）。所以可以采用 STP 將第二層環(huán)路從拓?fù)渲幸瞥?，一般采? 協(xié)議。交換機共享 BPDU，使用 BPDU 學(xué)習(xí)網(wǎng)絡(luò)拓?fù)洌?BPDU 每2 秒發(fā)送一次，可加速收斂。通過 BPDU，交換機之間會選舉一個根交換機，在選舉根端口（除根交換機外，其他交換機都要選舉一個端口作為根端口）和指定端口（每一個網(wǎng)段一個）。這樣可以使一些端口處于阻塞狀態(tài)，最終得出的邏輯拓?fù)涫且豢蒙蓸?，從而避免環(huán)路。 (5)將 +某臺交換機配置為特定 VLAN 的根網(wǎng)橋，提高安全性，因為具有最低網(wǎng)橋 ID的交換機將成為這個 VLAN 的根網(wǎng)橋，假如此時接交換機進(jìn)去，別的交換機中的 VLAN級別的設(shè)置很可能會被此交換機修改，安全隱患非常高。 Disl(config)spanningtree vlan 10 root primary Disl(config)spanningtree vlan 20 root primary 某單位組網(wǎng)方案設(shè)計與實施 26 Disl(config)spanningtree vlan 30 root primary Disl(config)spanningtree vlan 40 root primary Disl(config)spanningtree vlan 50 root primary Disl(config)spanningtree vlan 60 root primary Disl(config)spanningtree vlan 70 root primary Disl(config)spanningtree vlan 80 root primary (6)激活 VTP 剪裁功能 默認(rèn)情況下主干道傳輸所有的 VLAN 的用戶數(shù) 據(jù)。但是當(dāng)交換網(wǎng)絡(luò)中某臺交換機的所有端口屬于同一個 VLAN 的成員時，沒有必要接受其他 VLAN 的用戶數(shù)據(jù)。 在一個 VTP 域下，只需要在 VTP 服務(wù)器上激活 VTP 剪裁功能。同一 VTP 域下的所有其他交換機也將自動激活 VTP 剪裁功能。 Acl（ config） vtp pruning 交換機的安全設(shè)置 經(jīng)統(tǒng)計大部分的安全問題都出現(xiàn)在內(nèi)網(wǎng)，因此我們要加大內(nèi)部的安全管理。限制終端設(shè)備的任意接入交換機是一個好的方式。 Dis3(configif)switchPort portsecurity Dis3(configif)switchPort portsecurity maximum 1 （最多允許一個大設(shè)備接入） Dis3(configif)switchPort portsecurity macaddrestrict （任何第一個 PC 都可） Dis3(configif)switchPort portsecurity violation shutdown （違反規(guī)則時端口自動關(guān)閉） Dis3(configif)errdisable recovery intervas 120 （端口違反規(guī)則后 120 可恢復(fù)） Dis3(configif)errdisable recovery cause psecureviolation 路由器模塊設(shè)計 (1)該公司是大公司，所需要的設(shè)備所，要讓機器快速安全運行，我們采用 OSPF 協(xié)議。共分為三個區(qū)域， area0,area1,area2,為每個區(qū)域使用一條匯總路由，減少路由器的路由條數(shù)且加快他的運行速率，以下是對 Corel 的配置如圖 。 湖南工程學(xué)院畢業(yè)設(shè)計（論文） 27 圖 交換機 core1 Corel(config)router ospf 100 Corel(configrouter)routerid Corel(configrouter)work a 0 Corel(configrouter)work a 0 Corel(configrouter)work a 0 Corel(configrouter)work a 0 Corel(configrouter)work a 0 (2)為了實現(xiàn)對無類別網(wǎng)絡(luò)以及全子網(wǎng)的支持： accessSwitch（ config） ip classless accessSwitch（ config） ip subzero 路由器的 DHCP 配置 (1)湘潭與株洲地區(qū)采用 DHCP 技術(shù)，如圖 ，員工們通過設(shè)置本地連接為自動獲取 IP,即可進(jìn)去相應(yīng)的 VLAN，即相應(yīng)的部門，此部分設(shè)計如下 。 圖 DHCP 拓?fù)鋱D 路由器為 DHCP 服務(wù)器，給員工提供 IP 地址 Ryt(config)service dhcp Ryt(config)ip dhcp pool ytpool1 某單位組網(wǎng)方案設(shè)計與實施 28 Ryt(config)work (地址池中可用的 IP 是網(wǎng)絡(luò)為 的 ) Ryt(config)defaultrouter Ryt(config)ip dhcp pool ytpool2 Ryt(config)work Ryt(config) defaultrouter (2)由于 pc 不能直接向路由器獲得 IP，所以三層交換機需要當(dāng) DHCP 中繼 Syt(config) int vlan 40 Syt(config)ip helperadd (3)驗證成功性， 把 PC 設(shè)置 DHCP 自動獲取，通過、 ping 外網(wǎng)是通的， ping 長沙公司的地址是通的，可知配置成功，如圖 圖 ping的截取 邊界路由器配置 廣域網(wǎng)的介入有 GWay 路由器來實現(xiàn)的，它的作用是在 inter 和企業(yè)網(wǎng)間路由數(shù)據(jù)包。同時實現(xiàn)了 ACL，流量控制和過濾功能，從而提供了一定的安全功能 (1)PAT 配置 當(dāng)局域網(wǎng)內(nèi)的用戶要訪問外部 Inter 時，需要用到 NAT 轉(zhuǎn)換，因為私有地址不能在公網(wǎng)上傳輸。且起到了安全的作用，外部網(wǎng)絡(luò)用戶無法知道內(nèi)部網(wǎng)絡(luò)的地址，就無法攻擊內(nèi)部網(wǎng)。此處采用 PAT，因為靜態(tài)的只能做到一對一的映射， PAT 可以通過端口超載做到地址池中得一個地址同一時間被多次租用，如圖 . 圖 GWay 路由器 湖南工程學(xué)院畢業(yè)設(shè)計（論文） 29 GWay(config)ip route s0/0 GWay(config)accesslist 10 permit 配置訪問控制列表。做測試的時候注意，只有源地址是 網(wǎng)絡(luò)才可以出外網(wǎng) GWay(config)ip nat pool mypool1 mark GWay(config)ip nat inside source list 10 pool mypool1 overload 提供端口負(fù)載功能 GWay(config)int0/0 GWay(config)ip nat inside 指定內(nèi)部端口 GWay(config)ints0/0 GWay(config)ip nat outside 指定外部端口 對于路由器不知道的包可通過默認(rèn)路由出去 GWay(config)ip router s0/0 GWay(config)router ospf 700 GWay(config)routerid GWay(config)work a3 GWay(config)defaultinformation originate 把默認(rèn)路由傳給企業(yè)內(nèi)部的有三層交換功能的設(shè)備 (2)ACL 的配置 對外屏蔽簡單網(wǎng)管協(xié)議，即 tel,對內(nèi)屏蔽財務(wù)處服務(wù)器，計費管理服務(wù)器 GWay(config)accesslist 101 deny tcp any eq tel GWay(config)accesslist 101 permit tcp any