【導(dǎo)讀】工作及取得的研究成果；得其他教育機(jī)構(gòu)的學(xué)位而使用過(guò)的材料；ID號(hào)，其號(hào)碼為。請(qǐng)你設(shè)計(jì)一個(gè)方案，將某單位的所有主機(jī)連接起來(lái),建立自己的DNS,DHCP,WEB,FTP等應(yīng)用，實(shí)現(xiàn)與Inter連接和安全管理控制?？紤]到未來(lái)的擴(kuò)展性，考慮無(wú)線局。域網(wǎng)的接入，以及對(duì)IPV6網(wǎng)絡(luò)的兼容性。在論文中敘述網(wǎng)絡(luò)的發(fā)展、網(wǎng)絡(luò)技術(shù)及現(xiàn)階段網(wǎng)絡(luò)技術(shù)在經(jīng)濟(jì)發(fā)展中的應(yīng)用、作用；闡述你所設(shè)計(jì)方案的原則，組網(wǎng)實(shí)施的方案及方案的成本核算、優(yōu)缺點(diǎn)；敘述本方案易出現(xiàn)的問(wèn)題及處理方法；要求有組網(wǎng)實(shí)施實(shí)物方案圖；第14~15周撰寫(xiě)畢業(yè)論文（說(shuō)明書(shū)），完成畢業(yè)答辯資格審查。第16~17周畢業(yè)答辯準(zhǔn)備、畢業(yè)答辯。第2～3周閱讀資料、書(shū)籍，學(xué)習(xí)所需知識(shí)，撰寫(xiě)文獻(xiàn)綜述。第4～5周畢業(yè)實(shí)習(xí)、完成畢業(yè)實(shí)習(xí)報(bào)告撰寫(xiě)。第6周建立畢業(yè)設(shè)計(jì)實(shí)驗(yàn)環(huán)境；初步擬訂設(shè)計(jì)方案；完成開(kāi)題報(bào)告。第8～13周具體設(shè)計(jì)、調(diào)試、修改、實(shí)現(xiàn)。

　　

【正文】 對(duì)交換機(jī)的基本配置 (1)交換機(jī)的名稱(chēng)，便于區(qū)分不同的設(shè)備，便于區(qū)分和操作。 Switch（ config） hostname SW1 (2)使能口令：經(jīng)過(guò) MD5 加密后的口令，在用戶從普通模式而要進(jìn)入特權(quán)擁護(hù)模式時(shí)提供的口令。當(dāng)用戶查看配置文件時(shí)，看到的是加密的密碼。 SW1（ config） able secret cisco (3)設(shè)置登入虛 擬終端時(shí)的口令，方便了管理員的管理，但也要加強(qiáng)安全管理。 SW1（ config） line vty 0 15 SW1（ configline） password password SW1 SW1（ configline） login SW1（ configline） exit (4)配置終端線超時(shí)時(shí)間：當(dāng)管理員離開(kāi)機(jī)器組長(zhǎng)時(shí)間時(shí)，非法用戶可能對(duì)次交換機(jī)進(jìn)行操作，造成安全問(wèn)題，所以，可設(shè)置在一定的時(shí)間內(nèi)，如果沒(méi)有檢查到鍵盤(pán)輸入，IOS 將斷開(kāi)用戶和交換機(jī)之間的連接 SW1（ config） line vty 0 15 （也可設(shè)置 line vty0 0 永不超時(shí)，在模擬軟件中使用方案） SW1（ configline） exectimeout 6 30 SW1（ configline） line con 0 SW1（ configline） logging synchronous （用戶輸入的交換機(jī)配置命令將不會(huì)被交換機(jī)產(chǎn)生的消息打亂） (5)當(dāng)我們輸入一條錯(cuò)誤的交換機(jī)命令時(shí)，交換機(jī)則不會(huì)將其廣播給網(wǎng)絡(luò)上的 DNS，某單位組網(wǎng)方案設(shè)計(jì)與實(shí)施 24 并解析為 IP 地址 SW1（ config） no ip domainlo SW1（ config） service passwordcryption （對(duì)沒(méi)有加密的密碼加密） (6)把交換機(jī)設(shè)為 server 模式，用于創(chuàng)建，刪除，修改 VLAN，生成和傳播 VTP 消息。部分交換機(jī)設(shè)為 client 模式，可傳播和接受 VTP 的修改信息，因此可減少管理員的配置。 (7)VLAN 可以使用相同的部門(mén)處在同一個(gè)網(wǎng)絡(luò)，且將廣播域限制在單個(gè) VLAN 內(nèi)部，減小了各 VLAN 間主機(jī)的廣播通信對(duì)其他 VLAN 的影響，方便簡(jiǎn)潔的管理，如對(duì)dis3 的配置，如圖 。 圖 三層交換機(jī) 創(chuàng)建 VLAN： dis3vlan database Dis3(vlan)vlan 10 name VTP 設(shè)置： Dis3(config)vtp domain CW Dis3(config)vtp mode server 接口加入 VLAN Dis3(config)int fa0/1 Dis3(configif)switchport mode access Dis3(configif)switchport access vlan 10 登陸提示： Dis1(config)banner mote s This is a private system and only authorized individuals are allowed!$ h、為每個(gè) VLAN 第一自己的默認(rèn)網(wǎng)關(guān)地址 Dis1(config)int vlan 10 Dis1(configif)ip address 交換機(jī)的高級(jí)配置 (1)核心層采用了 EtherChannel 技術(shù)，將多個(gè)端口進(jìn)行綁定，增加可用帶寬，以下是corel 的配置，如圖 。 圖 core1 湖南工程學(xué)院畢業(yè)設(shè)計(jì)（論文） 25 Corel(config)int range f1/13 Corel(config)channelgroup 1 mode active Corel(config)Exit Corel(config)int port 1 Corel(config)no switchport Corel(config)ip sdd Corel(config)no shut (2)熱備份路由選擇協(xié)議 HSRP 是一種非常流行的默認(rèn)網(wǎng)關(guān)冗余協(xié)議，是 cisco 室友協(xié)議，他通過(guò)在冗余網(wǎng)關(guān)之間共享協(xié)議和 MAC 地址，提供了不間斷的 IP 路徑冗余。該協(xié)議在兩臺(tái)路由器之間共享的虛擬 MAC 地址和虛擬 IP 地址，支持多臺(tái)路由器用作備用默認(rèn)網(wǎng)關(guān)。 Disl(config)standby 1 ip (3)設(shè)備快速端口 默認(rèn)情況下，交換機(jī)在剛加電時(shí)，每個(gè)端口都要經(jīng)歷生成樹(shù)的四個(gè)階段：阻塞、偵聽(tīng)、學(xué)習(xí)、轉(zhuǎn)發(fā)。 在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前，某個(gè)端口最多要等 50 秒的時(shí)間（ 20+15+15），對(duì)于直接接入端口的工作站來(lái)說(shuō)，只要轉(zhuǎn)發(fā)即可。 Disl(config)int fa0/0 Disl(configif)spanningtree portfast (4)STP：由于使用的交換機(jī)數(shù)量比較多，交換網(wǎng)絡(luò)的復(fù)雜性可能會(huì)造成交換環(huán)路問(wèn)題，這些環(huán)路可能帶來(lái)的問(wèn)題是：多個(gè)幀副本：廣播風(fēng)暴（廣 播不停的在多個(gè)網(wǎng)段間不停的泛濫）；誤解 MAC 地址（端口不穩(wěn)定）。所以可以采用 STP 將第二層環(huán)路從拓?fù)渲幸瞥话悴捎? 協(xié)議。交換機(jī)共享 BPDU，使用 BPDU 學(xué)習(xí)網(wǎng)絡(luò)拓?fù)洌?BPDU 每2 秒發(fā)送一次，可加速收斂。通過(guò) BPDU，交換機(jī)之間會(huì)選舉一個(gè)根交換機(jī)，在選舉根端口（除根交換機(jī)外，其他交換機(jī)都要選舉一個(gè)端口作為根端口）和指定端口（每一個(gè)網(wǎng)段一個(gè)）。這樣可以使一些端口處于阻塞狀態(tài)，最終得出的邏輯拓?fù)涫且豢蒙蓸?shù)，從而避免環(huán)路。 (5)將 +某臺(tái)交換機(jī)配置為特定 VLAN 的根網(wǎng)橋，提高安全性，因?yàn)榫哂凶畹途W(wǎng)橋 ID的交換機(jī)將成為這個(gè) VLAN 的根網(wǎng)橋，假如此時(shí)接交換機(jī)進(jìn)去，別的交換機(jī)中的 VLAN級(jí)別的設(shè)置很可能會(huì)被此交換機(jī)修改，安全隱患非常高。 Disl(config)spanningtree vlan 10 root primary Disl(config)spanningtree vlan 20 root primary 某單位組網(wǎng)方案設(shè)計(jì)與實(shí)施 26 Disl(config)spanningtree vlan 30 root primary Disl(config)spanningtree vlan 40 root primary Disl(config)spanningtree vlan 50 root primary Disl(config)spanningtree vlan 60 root primary Disl(config)spanningtree vlan 70 root primary Disl(config)spanningtree vlan 80 root primary (6)激活 VTP 剪裁功能 默認(rèn)情況下主干道傳輸所有的 VLAN 的用戶數(shù) 據(jù)。但是當(dāng)交換網(wǎng)絡(luò)中某臺(tái)交換機(jī)的所有端口屬于同一個(gè) VLAN 的成員時(shí)，沒(méi)有必要接受其他 VLAN 的用戶數(shù)據(jù)。 在一個(gè) VTP 域下，只需要在 VTP 服務(wù)器上激活 VTP 剪裁功能。同一 VTP 域下的所有其他交換機(jī)也將自動(dòng)激活 VTP 剪裁功能。 Acl（ config） vtp pruning 交換機(jī)的安全設(shè)置 經(jīng)統(tǒng)計(jì)大部分的安全問(wèn)題都出現(xiàn)在內(nèi)網(wǎng)，因此我們要加大內(nèi)部的安全管理。限制終端設(shè)備的任意接入交換機(jī)是一個(gè)好的方式。 Dis3(configif)switchPort portsecurity Dis3(configif)switchPort portsecurity maximum 1 （最多允許一個(gè)大設(shè)備接入） Dis3(configif)switchPort portsecurity macaddrestrict （任何第一個(gè) PC 都可） Dis3(configif)switchPort portsecurity violation shutdown （違反規(guī)則時(shí)端口自動(dòng)關(guān)閉） Dis3(configif)errdisable recovery intervas 120 （端口違反規(guī)則后 120 可恢復(fù)） Dis3(configif)errdisable recovery cause psecureviolation 路由器模塊設(shè)計(jì) (1)該公司是大公司，所需要的設(shè)備所，要讓機(jī)器快速安全運(yùn)行，我們采用 OSPF 協(xié)議。共分為三個(gè)區(qū)域， area0,area1,area2,為每個(gè)區(qū)域使用一條匯總路由，減少路由器的路由條數(shù)且加快他的運(yùn)行速率，以下是對(duì) Corel 的配置如圖 。 湖南工程學(xué)院畢業(yè)設(shè)計(jì)（論文） 27 圖 交換機(jī) core1 Corel(config)router ospf 100 Corel(configrouter)routerid Corel(configrouter)work a 0 Corel(configrouter)work a 0 Corel(configrouter)work a 0 Corel(configrouter)work a 0 Corel(configrouter)work a 0 (2)為了實(shí)現(xiàn)對(duì)無(wú)類(lèi)別網(wǎng)絡(luò)以及全子網(wǎng)的支持： accessSwitch（ config） ip classless accessSwitch（ config） ip subzero 路由器的 DHCP 配置 (1)湘潭與株洲地區(qū)采用 DHCP 技術(shù)，如圖 ，員工們通過(guò)設(shè)置本地連接為自動(dòng)獲取 IP,即可進(jìn)去相應(yīng)的 VLAN，即相應(yīng)的部門(mén)，此部分設(shè)計(jì)如下 。 圖 DHCP 拓?fù)鋱D 路由器為 DHCP 服務(wù)器，給員工提供 IP 地址 Ryt(config)service dhcp Ryt(config)ip dhcp pool ytpool1 某單位組網(wǎng)方案設(shè)計(jì)與實(shí)施 28 Ryt(config)work (地址池中可用的 IP 是網(wǎng)絡(luò)為 的 ) Ryt(config)defaultrouter Ryt(config)ip dhcp pool ytpool2 Ryt(config)work Ryt(config) defaultrouter (2)由于 pc 不能直接向路由器獲得 IP，所以三層交換機(jī)需要當(dāng) DHCP 中繼 Syt(config) int vlan 40 Syt(config)ip helperadd (3)驗(yàn)證成功性， 把 PC 設(shè)置 DHCP 自動(dòng)獲取，通過(guò)、 ping 外網(wǎng)是通的， ping 長(zhǎng)沙公司的地址是通的，可知配置成功，如圖 圖 ping的截取 邊界路由器配置 廣域網(wǎng)的介入有 GWay 路由器來(lái)實(shí)現(xiàn)的，它的作用是在 inter 和企業(yè)網(wǎng)間路由數(shù)據(jù)包。同時(shí)實(shí)現(xiàn)了 ACL，流量控制和過(guò)濾功能，從而提供了一定的安全功能 (1)PAT 配置 當(dāng)局域網(wǎng)內(nèi)的用戶要訪問(wèn)外部 Inter 時(shí)，需要用到 NAT 轉(zhuǎn)換，因?yàn)樗接械刂凡荒茉诠W(wǎng)上傳輸。且起到了安全的作用，外部網(wǎng)絡(luò)用戶無(wú)法知道內(nèi)部網(wǎng)絡(luò)的地址，就無(wú)法攻擊內(nèi)部網(wǎng)。此處采用 PAT，因?yàn)殪o態(tài)的只能做到一對(duì)一的映射， PAT 可以通過(guò)端口超載做到地址池中得一個(gè)地址同一時(shí)間被多次租用，如圖 . 圖 GWay 路由器 湖南工程學(xué)院畢業(yè)設(shè)計(jì)（論文） 29 GWay(config)ip route s0/0 GWay(config)accesslist 10 permit 配置訪問(wèn)控制列表。做測(cè)試的時(shí)候注意，只有源地址是 網(wǎng)絡(luò)才可以出外網(wǎng) GWay(config)ip nat pool mypool1 mark GWay(config)ip nat inside source list 10 pool mypool1 overload 提供端口負(fù)載功能 GWay(config)int0/0 GWay(config)ip nat inside 指定內(nèi)部端口 GWay(config)ints0/0 GWay(config)ip nat outside 指定外部端口 對(duì)于路由器不知道的包可通過(guò)默認(rèn)路由出去 GWay(config)ip router s0/0 GWay(config)router ospf 700 GWay(config)routerid GWay(config)work a3 GWay(config)defaultinformation originate 把默認(rèn)路由傳給企業(yè)內(nèi)部的有三層交換功能的設(shè)備 (2)ACL 的配置 對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議，即 tel,對(duì)內(nèi)屏蔽財(cái)務(wù)處服務(wù)器，計(jì)費(fèi)管理服務(wù)器 GWay(config)accesslist 101 deny tcp any eq tel GWay(config)accesslist 101 permit tcp any