【正文】 ge)no shutdownBgC29601f1(configifrange)exitBgC29601f1(config)BgC29601f1(config)int f0/24 !下連同樓層24口接入交換的g0/1BgC29601f1(configif)switchport trunk encapsulation dot1q BgC29601f1(configif)switchport mode trunkBgC29601f1(configif)Switdhport trunk allowed vlan allBgC29601f1(configif)ExitBgC29601f1(config)ExitBgC29601f1write memory24口類是48口在VLAN分配上的沿續(xù)，原理同48口交換機(jī)（此處略）。、設(shè)備選型與配置路由協(xié)議包括：靜態(tài)路由、默認(rèn)路由、距離矢量協(xié)議RIP/EIGRP及鏈路狀態(tài)協(xié)議OSPF。所有路由協(xié)議因使用環(huán)境的不同各有優(yōu)缺點(diǎn)：靜態(tài)路由和默認(rèn)路由是由網(wǎng)絡(luò)管理員采用手工方法在路由器中配置而成，適用于規(guī)模較小，路由表相對(duì)簡單的網(wǎng)絡(luò)。優(yōu)點(diǎn)是手工配置可以精確控制路由選擇，改進(jìn)網(wǎng)絡(luò)性能；不需要?jiǎng)討B(tài)路由協(xié)議參與，減少路由開銷，為重要的應(yīng)用保證帶寬。缺點(diǎn)是不適用于大規(guī)模網(wǎng)絡(luò)，不能自動(dòng)適應(yīng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)變化，手工配置管理員壓力較大。RIP采用距離向量算法。是早期的路由協(xié)議，優(yōu)點(diǎn)是配置簡單在小型網(wǎng)絡(luò)中較常見，缺點(diǎn)是路由范圍有限，只能支持在直徑為15個(gè)路由的網(wǎng)絡(luò)內(nèi)進(jìn)行路由，不能適應(yīng)復(fù)雜拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)，采用DV算法會(huì)有路由環(huán)路問題存在。OSPF開放最短路徑優(yōu)先，是為大型網(wǎng)絡(luò)設(shè)計(jì)的一種路由協(xié)議。優(yōu)點(diǎn)是根據(jù)收集到網(wǎng)絡(luò)上的鏈路狀態(tài)，采用SPF算法，計(jì)算以它為中心的一棵最短路徑樹。OSPF使用十分有效，采用鏈路狀態(tài)算法，網(wǎng)絡(luò)流量小，收斂速度快，沒有路由環(huán)路存在。缺點(diǎn)是比較復(fù)雜，實(shí)施前需要規(guī)劃，且配置和維護(hù)都比較復(fù)雜。根據(jù)中小企業(yè)網(wǎng)絡(luò)投資及規(guī)模較小，為達(dá)到精確控制網(wǎng)絡(luò)路由采用靜態(tài)路由及默認(rèn)路由。路由器選擇思科CISCO2911/K9（表45路由器的主要參數(shù)），將兩臺(tái)臺(tái)熱備份核心交換機(jī)上的數(shù)據(jù)高速路由至防火墻網(wǎng)關(guān)，同時(shí)亦可對(duì)出入互聯(lián)網(wǎng)的2至4層數(shù)據(jù)包做管控。表45路由器的主要參數(shù)項(xiàng)目描述基于硬件的嵌入式密碼加速 (IPSec + SSL)有板載廣域網(wǎng) 10/100/1000 端口總數(shù)3基于 RJ45 的端口數(shù)3基于 SFP 的端口數(shù)（使用 SFP 端口將禁用對(duì)應(yīng)的 RJ45 端口）0服務(wù)模塊插槽數(shù)1雙寬度服務(wù)模塊插槽數(shù)（使用雙寬度插槽將占用 2900 中的所有單寬度服務(wù)模塊插槽）0EHWIC 插槽數(shù)4雙寬度 EHWIC 插槽（使用雙寬度 EHWIC 插槽將占用兩個(gè) EHWIC 插槽）2ISM 插槽數(shù)1板載 DSP (PVDM) 插槽2內(nèi)存 DDR2 ECC DRAM – 默認(rèn)512MB內(nèi)存 (DDR2 ECC DRAM) – 最大2GB閃存（外部）– 默認(rèn)插槽0：256M插槽1：無閃存（外部）– 最大插槽0：4GB插槽1：4GB外部 USB 閃存插槽（類型 A）2USB 控制臺(tái)端口（類型 B）（高達(dá) kbps）1串行控制臺(tái)端口1串行輔助端口1電源選項(xiàng)AC、PoE 和 DC*RPS 支持（外部）Cisco RPS 2300CISCO2911/K9路由配置（包括了防火墻部分的網(wǎng)絡(luò)互聯(lián)配置）：Routerenable 進(jìn)入路由器特權(quán)模式Routerconfigure terminal 進(jìn)入路由器全局配置模式Router(config)hostname c2900k9c2900k9(config)enable password c2900k9(config)line console 0c2900k9(configline)pass c2900k9(configline)loginc2900k9(configline)line vty 0 4c2900k9(configline)pass c2900k9(configline)loginc2900k9(config) interface Vlan1c2900k9(configif)ip address c2900k9(configif)no shutdownc2900k9(config) interface Serial0/0/0 ！模擬防火墻外端口c2900k9(configif)ip address c2900k9(configif)no shutdownc2900k9(configif)ip route ！c2900k9(configif) ip route ！設(shè)置到ISP的默認(rèn)路由c2900k9(configif) exitc2900k9(config)int f0/1c2900k9(configif)ip add c2900k9(configif)exitc2900k9write第5章、安全策略中小企業(yè)網(wǎng)絡(luò)病毒泛濫、安全事件頻發(fā)，是網(wǎng)絡(luò)管理面臨的重大挑戰(zhàn)。從網(wǎng)絡(luò)安全調(diào)查數(shù)據(jù)來看，網(wǎng)絡(luò)的安全威脅主要來自三個(gè)方面：一方面是網(wǎng)絡(luò)的惡意破壞者即黑客，造成正常網(wǎng)絡(luò)服務(wù)的不可用、系統(tǒng)數(shù)據(jù)的破壞；第二個(gè)方面是無辜的內(nèi)部人員造成的網(wǎng)絡(luò)數(shù)據(jù)的破壞、網(wǎng)絡(luò)病毒的蔓延擴(kuò)散、木馬的傳播；第三個(gè)方面是有些用戶竊取他人身份進(jìn)行越權(quán)數(shù)據(jù)訪問，其中以內(nèi)部人員而造成的網(wǎng)絡(luò)安全問題占到了70%。安全問題已經(jīng)成為企業(yè)信息化過程普遍問題，表現(xiàn)在部門間互訪的安全無法控制，重要數(shù)據(jù)被入侵者竄改，不能很好應(yīng)對(duì)外部攻擊以及移動(dòng)辦公用戶上網(wǎng)控制，都急待解決。防火墻設(shè)備的使用是解決網(wǎng)絡(luò)安全的最基本的保證。防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。網(wǎng)絡(luò)邊界即采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和控制。防火墻設(shè)備由一個(gè)由軟件和硬件設(shè)備組合而成，包括服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)主要部分。ACLs 的全稱為接入控制列表（Access Control Lists），也稱訪問控制列表（Access Lists），在有的文檔中還稱包過濾。ACLs通過定義一些規(guī)則對(duì)網(wǎng)絡(luò)設(shè)備接口上的數(shù)據(jù)包文進(jìn)行控制；允許通過或丟棄，從而提高網(wǎng)絡(luò)可管理型和安全性；IP ACL分為兩種：標(biāo)準(zhǔn)IP訪問列表和擴(kuò)展IP訪問列表，編號(hào)范圍為1～91300～199100～192000～2699；標(biāo)準(zhǔn)IP訪問控制列表可以根據(jù)數(shù)據(jù)包的源IP地址定義規(guī)則，進(jìn)行數(shù)據(jù)包的過濾；擴(kuò)展IP訪問列表可以根據(jù)數(shù)據(jù)包的原IP、目的IP、源端口、目的端口、協(xié)議來定義規(guī)則，進(jìn)行數(shù)據(jù)包的過濾；IP ACL基于接口進(jìn)行規(guī)則的應(yīng)用，分為：入棧應(yīng)用和出棧應(yīng)用。訪問列表中定義的典型規(guī)則主要有以下：源地址、目標(biāo)地址、上層協(xié)議、時(shí)間區(qū)域；擴(kuò)展IP訪問列表（編號(hào)100192000、2699）使用以上四種組合來進(jìn)行轉(zhuǎn)發(fā)或阻斷分組；可以根據(jù)數(shù)據(jù)包的源IP、目的IP、源端口、目的端口、協(xié)議來定義規(guī)則，進(jìn)行數(shù)據(jù)包的過濾。擴(kuò)展IP訪問列表的配置包括以下兩部：定義擴(kuò)展IP訪問列表將擴(kuò)展IP訪問列表應(yīng)用于特定接口上。中小企業(yè)網(wǎng)絡(luò)除利用防火墻DDOS攻擊等方面的優(yōu)勢(shì)外，通過在防火墻上使用擴(kuò)展IP訪問控制列表，來控制網(wǎng)絡(luò)流量，達(dá)到保證網(wǎng)絡(luò)效能與安全的目標(biāo)。策略包括通過在防火墻限制可以訪問ISP網(wǎng)絡(luò)的服務(wù)類型（如僅允許訪問外網(wǎng)任何主機(jī)TCP協(xié)議的WWW服務(wù)），提高網(wǎng)絡(luò)邊界互聯(lián)網(wǎng)出口的安全性。在核心交換上限制對(duì)某些vlan（例如vlan17財(cái)務(wù)部）網(wǎng)絡(luò)資源的防問流量，提高對(duì)這些業(yè)務(wù)部門信息的安全保護(hù)。防火墻策略配置舉例：firewall(config) accesslist 100 permit tcp any any eq ！ 100 permit tcp any host eq firewall(config)int s0/0/0firewall(configif)ip accessgroup 100 outfirewall(configif)exitfirewall(config)ip route f3/0firewall(config)exitfirewallwrite核心交換策略配置舉例：C3750x24ss1(config)accesslist 101 permit tcp any eq 80C3750x24ss1(config)int vlan 17C3750x24ss1(configif)ip accessgroup 101 inC3750x24ss1(configif)exit第6章、綜合布線綜合布線是將獨(dú)立的語音、數(shù)據(jù)、圖像等線路統(tǒng)一進(jìn)行設(shè)計(jì)、安裝，以達(dá)到實(shí)用靈活、經(jīng)濟(jì)、可模塊化和可擴(kuò)充的效果，實(shí)現(xiàn)數(shù)據(jù)通信設(shè)備和其它信息管理系統(tǒng)的相互連接。結(jié)構(gòu)化綜合布線系統(tǒng)具有高度的靈活性，各種設(shè)備位置的改變，局域網(wǎng)的變化，不需重新布線，只要在配線間作適當(dāng)布線調(diào)整即可滿足需求。結(jié)構(gòu)化布線和先決條件：要進(jìn)行詳細(xì)的用戶通信需求分析；通過現(xiàn)場(chǎng)考察和查閱圖紙熟悉建筑特的結(jié)構(gòu)；掌握設(shè)計(jì)的標(biāo)準(zhǔn)、要點(diǎn)、原則和步驟；根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)確定綜合布線的系統(tǒng)結(jié)構(gòu)；熟悉布線產(chǎn)品市場(chǎng)，為工程挑選適當(dāng)（性價(jià)比高）的布線產(chǎn)品；掌據(jù)AUTOCAD和Microsoft Office Visio等軟件，并繪制綜合布線系統(tǒng)圖、施工圖等。綜合布線的第一套標(biāo)準(zhǔn)是ANSI/EIA/TIA 568(即《商業(yè)大樓電信布線標(biāo)準(zhǔn)》是美國國家標(biāo)準(zhǔn)化協(xié)會(huì)、電子工業(yè)協(xié)會(huì)、電信工業(yè)協(xié)會(huì)共同采納的標(biāo)準(zhǔn))，現(xiàn)在使用的是它的新版本：TIA 568A。此外，還有ISO出臺(tái)的ISO/IEC/ISO11801標(biāo)準(zhǔn)，這套協(xié)議中規(guī)定了電信布線的最低要求，建議的拓?fù)浣Y(jié)構(gòu)和距離、決定性能的介質(zhì)參數(shù)、連接器和引腳功能分配等。本論設(shè)計(jì)參考了國際建筑通用布線標(biāo)準(zhǔn)，即ISO11801,整個(gè)布線系統(tǒng)由工作區(qū)子系統(tǒng)、水平子系統(tǒng)、干線子系統(tǒng)、設(shè)備間子系統(tǒng)、管理子系統(tǒng)和建筑群主干子系統(tǒng)6個(gè)部分組成，如圖61。圖61綜合布線系統(tǒng)組成工作區(qū)子系統(tǒng)：是連接用戶終端設(shè)備的子系統(tǒng)。主要包括信息插座、信息插座和設(shè)備之間的適配器。通俗講是指電腦和網(wǎng)線接口之間的部分。水平子系統(tǒng)：是連接工作區(qū)與主干的了系統(tǒng)。主要包括配線架、配線電線和信息插座。通俗講是指從樓層弱電井里的配線架到每個(gè)房間的網(wǎng)卡接口之間的部分，通常布線是在天花板上，與樓層平行。管理子系統(tǒng)：是對(duì)布線線纜進(jìn)行端接及配置管理的子系統(tǒng)。通俗講是指配線間的設(shè)備部分，位于弱電井。干線子系統(tǒng)：是用來連接管理間，設(shè)備間的子系統(tǒng)。通俗講是指將接入層交換機(jī)連接到分布層（或核心層）交換機(jī)的網(wǎng)絡(luò)線路。干線推薦使用光纖、超5類或6類非屏蔽雙絞線。設(shè)備間子系統(tǒng)：是安裝在設(shè)備間的子系統(tǒng)，指集中安裝大型設(shè)備的場(chǎng)所。一般來說，大型建筑物會(huì)有一個(gè)或多個(gè)設(shè)備間，通常核心交換機(jī)的位置就是設(shè)備間，設(shè)備間子系統(tǒng)對(duì)物理環(huán)境的要求較高。建筑物主干子系統(tǒng)：它用來實(shí)現(xiàn)樓群之間的連接，包括各種通信傳輸介質(zhì)和支持設(shè)備，又稱戶外子系統(tǒng)。通常包括地下管道、直埋溝內(nèi)和架空三種方式。各子系統(tǒng)的邏輯結(jié)構(gòu)見圖62.圖62各子系統(tǒng)邏輯結(jié)構(gòu)本設(shè)計(jì)方案參照 ISO/IEC ISO 11801，以確保整個(gè)系統(tǒng)的規(guī)范和質(zhì)量。本系統(tǒng)支持語言和數(shù)據(jù)(圖象、多媒體)傳輸，可滿足快速以太網(wǎng)應(yīng)用的場(chǎng)合。方案為一個(gè)較典型的星型拓?fù)浣Y(jié)構(gòu)系統(tǒng)，現(xiàn)將設(shè)計(jì)方案概述如下：根據(jù)用戶要求，企業(yè)的主設(shè)備間設(shè)于辦公樓一層綜合布線機(jī)房，從主設(shè)備間引線纜經(jīng)橋架和豎井直接引至工作區(qū)。水平布線電纜均采用超5類4對(duì)UTP電纜，信息插座選用5類系列插座。本方案分為五大子系統(tǒng)，分別為工作區(qū)子系統(tǒng)、水平子系統(tǒng)、干線子系統(tǒng)、設(shè)備間子系統(tǒng)、管理子系統(tǒng)和建筑群主干子，為二級(jí)星型拓?fù)浣Y(jié)構(gòu)，施工中主要采用普天系列產(chǎn)品，具體分述如下：圖63布線效果示意圖 工作區(qū)子系統(tǒng)工作區(qū)子系統(tǒng)是指信息端口以外的空間，但通常習(xí)慣將信息插座列入工作區(qū)子系統(tǒng)。本系統(tǒng)設(shè)置700個(gè)信息點(diǎn)，分布于10個(gè)樓層，其中辦公樓樓層層6個(gè)（每層信息點(diǎn)60），生活樓樓層兩個(gè)（每層信息點(diǎn)60），生產(chǎn)車間1層（信息點(diǎn)160個(gè)）、及食堂1層（信息點(diǎn)60個(gè)）。理想狀況下材料配置如表64：表64工作區(qū)材料配置表序號(hào)型號(hào)名稱數(shù)量1PT/FA308ⅧBRI45單插座面板7002PT/RJ45插座模塊700 水平布線子系統(tǒng)水平布線子系統(tǒng)為配線間水平配線架至各個(gè)辦公室內(nèi)插座面板的連接線纜，本項(xiàng)目數(shù)據(jù)點(diǎn)采用超五類四對(duì)UTP。水平線纜的長度計(jì)算：a、根據(jù)每層樓核算。B、每根線纜平均長度按（最長+最短）/2+2樓層高計(jì)算，即（80+10）/2+24M,.c、每標(biāo)準(zhǔn)箱為1000英尺（305）米。d、每箱線可布入的信息點(diǎn)：305m/=5個(gè)。e、辦公樓、生活樓、食堂每層需要60/5=12箱，生產(chǎn)車間每層需要160/5=32箱。f、總線纜=129+32=140箱序號(hào) 型號(hào) 名稱 數(shù)量1超5類4對(duì)UTP電纜140箱（此