【正文】 ge)no shutdownBgC29601f1(configifrange)exitBgC29601f1(config)BgC29601f1(config)int f0/24 !下連同樓層24口接入交換的g0/1BgC29601f1(configif)switchport trunk encapsulation dot1q BgC29601f1(configif)switchport mode trunkBgC29601f1(configif)Switdhport trunk allowed vlan allBgC29601f1(configif)ExitBgC29601f1(config)ExitBgC29601f1write memory24口類是48口在VLAN分配上的沿續(xù)，原理同48口交換機（此處略）。、設(shè)備選型與配置路由協(xié)議包括：靜態(tài)路由、默認路由、距離矢量協(xié)議RIP/EIGRP及鏈路狀態(tài)協(xié)議OSPF。所有路由協(xié)議因使用環(huán)境的不同各有優(yōu)缺點：靜態(tài)路由和默認路由是由網(wǎng)絡(luò)管理員采用手工方法在路由器中配置而成，適用于規(guī)模較小，路由表相對簡單的網(wǎng)絡(luò)。優(yōu)點是手工配置可以精確控制路由選擇，改進網(wǎng)絡(luò)性能；不需要動態(tài)路由協(xié)議參與，減少路由開銷，為重要的應(yīng)用保證帶寬。缺點是不適用于大規(guī)模網(wǎng)絡(luò)，不能自動適應(yīng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)變化，手工配置管理員壓力較大。RIP采用距離向量算法。是早期的路由協(xié)議，優(yōu)點是配置簡單在小型網(wǎng)絡(luò)中較常見，缺點是路由范圍有限，只能支持在直徑為15個路由的網(wǎng)絡(luò)內(nèi)進行路由，不能適應(yīng)復(fù)雜拓撲結(jié)構(gòu)網(wǎng)絡(luò)，采用DV算法會有路由環(huán)路問題存在。OSPF開放最短路徑優(yōu)先，是為大型網(wǎng)絡(luò)設(shè)計的一種路由協(xié)議。優(yōu)點是根據(jù)收集到網(wǎng)絡(luò)上的鏈路狀態(tài)，采用SPF算法，計算以它為中心的一棵最短路徑樹。OSPF使用十分有效，采用鏈路狀態(tài)算法，網(wǎng)絡(luò)流量小，收斂速度快，沒有路由環(huán)路存在。缺點是比較復(fù)雜，實施前需要規(guī)劃，且配置和維護都比較復(fù)雜。根據(jù)中小企業(yè)網(wǎng)絡(luò)投資及規(guī)模較小，為達到精確控制網(wǎng)絡(luò)路由采用靜態(tài)路由及默認路由。路由器選擇思科CISCO2911/K9（表45路由器的主要參數(shù)），將兩臺臺熱備份核心交換機上的數(shù)據(jù)高速路由至防火墻網(wǎng)關(guān)，同時亦可對出入互聯(lián)網(wǎng)的2至4層數(shù)據(jù)包做管控。表45路由器的主要參數(shù)項目描述基于硬件的嵌入式密碼加速 (IPSec + SSL)有板載廣域網(wǎng) 10/100/1000 端口總數(shù)3基于 RJ45 的端口數(shù)3基于 SFP 的端口數(shù)（使用 SFP 端口將禁用對應(yīng)的 RJ45 端口）0服務(wù)模塊插槽數(shù)1雙寬度服務(wù)模塊插槽數(shù)（使用雙寬度插槽將占用 2900 中的所有單寬度服務(wù)模塊插槽）0EHWIC 插槽數(shù)4雙寬度 EHWIC 插槽（使用雙寬度 EHWIC 插槽將占用兩個 EHWIC 插槽）2ISM 插槽數(shù)1板載 DSP (PVDM) 插槽2內(nèi)存 DDR2 ECC DRAM – 默認512MB內(nèi)存 (DDR2 ECC DRAM) – 最大2GB閃存（外部）– 默認插槽0：256M插槽1：無閃存（外部）– 最大插槽0：4GB插槽1：4GB外部 USB 閃存插槽（類型 A）2USB 控制臺端口（類型 B）（高達 kbps）1串行控制臺端口1串行輔助端口1電源選項AC、PoE 和 DC*RPS 支持（外部）Cisco RPS 2300CISCO2911/K9路由配置（包括了防火墻部分的網(wǎng)絡(luò)互聯(lián)配置）：Routerenable 進入路由器特權(quán)模式Routerconfigure terminal 進入路由器全局配置模式Router(config)hostname c2900k9c2900k9(config)enable password c2900k9(config)line console 0c2900k9(configline)pass c2900k9(configline)loginc2900k9(configline)line vty 0 4c2900k9(configline)pass c2900k9(configline)loginc2900k9(config) interface Vlan1c2900k9(configif)ip address c2900k9(configif)no shutdownc2900k9(config) interface Serial0/0/0 ！模擬防火墻外端口c2900k9(configif)ip address c2900k9(configif)no shutdownc2900k9(configif)ip route ！c2900k9(configif) ip route ！設(shè)置到ISP的默認路由c2900k9(configif) exitc2900k9(config)int f0/1c2900k9(configif)ip add c2900k9(configif)exitc2900k9write第5章、安全策略中小企業(yè)網(wǎng)絡(luò)病毒泛濫、安全事件頻發(fā)，是網(wǎng)絡(luò)管理面臨的重大挑戰(zhàn)。從網(wǎng)絡(luò)安全調(diào)查數(shù)據(jù)來看，網(wǎng)絡(luò)的安全威脅主要來自三個方面：一方面是網(wǎng)絡(luò)的惡意破壞者即黑客，造成正常網(wǎng)絡(luò)服務(wù)的不可用、系統(tǒng)數(shù)據(jù)的破壞；第二個方面是無辜的內(nèi)部人員造成的網(wǎng)絡(luò)數(shù)據(jù)的破壞、網(wǎng)絡(luò)病毒的蔓延擴散、木馬的傳播；第三個方面是有些用戶竊取他人身份進行越權(quán)數(shù)據(jù)訪問，其中以內(nèi)部人員而造成的網(wǎng)絡(luò)安全問題占到了70%。安全問題已經(jīng)成為企業(yè)信息化過程普遍問題，表現(xiàn)在部門間互訪的安全無法控制，重要數(shù)據(jù)被入侵者竄改，不能很好應(yīng)對外部攻擊以及移動辦公用戶上網(wǎng)控制，都急待解決。防火墻設(shè)備的使用是解決網(wǎng)絡(luò)安全的最基本的保證。防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護設(shè)備。網(wǎng)絡(luò)邊界即采用不同安全策略的兩個網(wǎng)絡(luò)連接處，比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制。防火墻設(shè)備由一個由軟件和硬件設(shè)備組合而成，包括服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個主要部分。ACLs 的全稱為接入控制列表（Access Control Lists），也稱訪問控制列表（Access Lists），在有的文檔中還稱包過濾。ACLs通過定義一些規(guī)則對網(wǎng)絡(luò)設(shè)備接口上的數(shù)據(jù)包文進行控制；允許通過或丟棄，從而提高網(wǎng)絡(luò)可管理型和安全性；IP ACL分為兩種：標準IP訪問列表和擴展IP訪問列表，編號范圍為1～91300～199100～192000～2699；標準IP訪問控制列表可以根據(jù)數(shù)據(jù)包的源IP地址定義規(guī)則，進行數(shù)據(jù)包的過濾；擴展IP訪問列表可以根據(jù)數(shù)據(jù)包的原IP、目的IP、源端口、目的端口、協(xié)議來定義規(guī)則，進行數(shù)據(jù)包的過濾；IP ACL基于接口進行規(guī)則的應(yīng)用，分為：入棧應(yīng)用和出棧應(yīng)用。訪問列表中定義的典型規(guī)則主要有以下：源地址、目標地址、上層協(xié)議、時間區(qū)域；擴展IP訪問列表（編號100192000、2699）使用以上四種組合來進行轉(zhuǎn)發(fā)或阻斷分組；可以根據(jù)數(shù)據(jù)包的源IP、目的IP、源端口、目的端口、協(xié)議來定義規(guī)則，進行數(shù)據(jù)包的過濾。擴展IP訪問列表的配置包括以下兩部：定義擴展IP訪問列表將擴展IP訪問列表應(yīng)用于特定接口上。中小企業(yè)網(wǎng)絡(luò)除利用防火墻DDOS攻擊等方面的優(yōu)勢外，通過在防火墻上使用擴展IP訪問控制列表，來控制網(wǎng)絡(luò)流量，達到保證網(wǎng)絡(luò)效能與安全的目標。策略包括通過在防火墻限制可以訪問ISP網(wǎng)絡(luò)的服務(wù)類型（如僅允許訪問外網(wǎng)任何主機TCP協(xié)議的WWW服務(wù)），提高網(wǎng)絡(luò)邊界互聯(lián)網(wǎng)出口的安全性。在核心交換上限制對某些vlan（例如vlan17財務(wù)部）網(wǎng)絡(luò)資源的防問流量，提高對這些業(yè)務(wù)部門信息的安全保護。防火墻策略配置舉例：firewall(config) accesslist 100 permit tcp any any eq ！ 100 permit tcp any host eq firewall(config)int s0/0/0firewall(configif)ip accessgroup 100 outfirewall(configif)exitfirewall(config)ip route f3/0firewall(config)exitfirewallwrite核心交換策略配置舉例：C3750x24ss1(config)accesslist 101 permit tcp any eq 80C3750x24ss1(config)int vlan 17C3750x24ss1(configif)ip accessgroup 101 inC3750x24ss1(configif)exit第6章、綜合布線綜合布線是將獨立的語音、數(shù)據(jù)、圖像等線路統(tǒng)一進行設(shè)計、安裝，以達到實用靈活、經(jīng)濟、可模塊化和可擴充的效果，實現(xiàn)數(shù)據(jù)通信設(shè)備和其它信息管理系統(tǒng)的相互連接。結(jié)構(gòu)化綜合布線系統(tǒng)具有高度的靈活性，各種設(shè)備位置的改變，局域網(wǎng)的變化，不需重新布線，只要在配線間作適當布線調(diào)整即可滿足需求。結(jié)構(gòu)化布線和先決條件：要進行詳細的用戶通信需求分析；通過現(xiàn)場考察和查閱圖紙熟悉建筑特的結(jié)構(gòu)；掌握設(shè)計的標準、要點、原則和步驟；根據(jù)網(wǎng)絡(luò)拓撲結(jié)構(gòu)確定綜合布線的系統(tǒng)結(jié)構(gòu)；熟悉布線產(chǎn)品市場，為工程挑選適當（性價比高）的布線產(chǎn)品；掌據(jù)AUTOCAD和Microsoft Office Visio等軟件，并繪制綜合布線系統(tǒng)圖、施工圖等。綜合布線的第一套標準是ANSI/EIA/TIA 568(即《商業(yè)大樓電信布線標準》是美國國家標準化協(xié)會、電子工業(yè)協(xié)會、電信工業(yè)協(xié)會共同采納的標準)，現(xiàn)在使用的是它的新版本：TIA 568A。此外，還有ISO出臺的ISO/IEC/ISO11801標準，這套協(xié)議中規(guī)定了電信布線的最低要求，建議的拓撲結(jié)構(gòu)和距離、決定性能的介質(zhì)參數(shù)、連接器和引腳功能分配等。本論設(shè)計參考了國際建筑通用布線標準，即ISO11801,整個布線系統(tǒng)由工作區(qū)子系統(tǒng)、水平子系統(tǒng)、干線子系統(tǒng)、設(shè)備間子系統(tǒng)、管理子系統(tǒng)和建筑群主干子系統(tǒng)6個部分組成，如圖61。圖61綜合布線系統(tǒng)組成工作區(qū)子系統(tǒng)：是連接用戶終端設(shè)備的子系統(tǒng)。主要包括信息插座、信息插座和設(shè)備之間的適配器。通俗講是指電腦和網(wǎng)線接口之間的部分。水平子系統(tǒng)：是連接工作區(qū)與主干的了系統(tǒng)。主要包括配線架、配線電線和信息插座。通俗講是指從樓層弱電井里的配線架到每個房間的網(wǎng)卡接口之間的部分，通常布線是在天花板上，與樓層平行。管理子系統(tǒng)：是對布線線纜進行端接及配置管理的子系統(tǒng)。通俗講是指配線間的設(shè)備部分，位于弱電井。干線子系統(tǒng)：是用來連接管理間，設(shè)備間的子系統(tǒng)。通俗講是指將接入層交換機連接到分布層（或核心層）交換機的網(wǎng)絡(luò)線路。干線推薦使用光纖、超5類或6類非屏蔽雙絞線。設(shè)備間子系統(tǒng)：是安裝在設(shè)備間的子系統(tǒng)，指集中安裝大型設(shè)備的場所。一般來說，大型建筑物會有一個或多個設(shè)備間，通常核心交換機的位置就是設(shè)備間，設(shè)備間子系統(tǒng)對物理環(huán)境的要求較高。建筑物主干子系統(tǒng)：它用來實現(xiàn)樓群之間的連接，包括各種通信傳輸介質(zhì)和支持設(shè)備，又稱戶外子系統(tǒng)。通常包括地下管道、直埋溝內(nèi)和架空三種方式。各子系統(tǒng)的邏輯結(jié)構(gòu)見圖62.圖62各子系統(tǒng)邏輯結(jié)構(gòu)本設(shè)計方案參照 ISO/IEC ISO 11801，以確保整個系統(tǒng)的規(guī)范和質(zhì)量。本系統(tǒng)支持語言和數(shù)據(jù)(圖象、多媒體)傳輸，可滿足快速以太網(wǎng)應(yīng)用的場合。方案為一個較典型的星型拓撲結(jié)構(gòu)系統(tǒng)，現(xiàn)將設(shè)計方案概述如下：根據(jù)用戶要求，企業(yè)的主設(shè)備間設(shè)于辦公樓一層綜合布線機房，從主設(shè)備間引線纜經(jīng)橋架和豎井直接引至工作區(qū)。水平布線電纜均采用超5類4對UTP電纜，信息插座選用5類系列插座。本方案分為五大子系統(tǒng)，分別為工作區(qū)子系統(tǒng)、水平子系統(tǒng)、干線子系統(tǒng)、設(shè)備間子系統(tǒng)、管理子系統(tǒng)和建筑群主干子，為二級星型拓撲結(jié)構(gòu)，施工中主要采用普天系列產(chǎn)品，具體分述如下：圖63布線效果示意圖 工作區(qū)子系統(tǒng)工作區(qū)子系統(tǒng)是指信息端口以外的空間，但通常習慣將信息插座列入工作區(qū)子系統(tǒng)。本系統(tǒng)設(shè)置700個信息點，分布于10個樓層，其中辦公樓樓層層6個（每層信息點60），生活樓樓層兩個（每層信息點60），生產(chǎn)車間1層（信息點160個）、及食堂1層（信息點60個）。理想狀況下材料配置如表64：表64工作區(qū)材料配置表序號型號名稱數(shù)量1PT/FA308ⅧBRI45單插座面板7002PT/RJ45插座模塊700 水平布線子系統(tǒng)水平布線子系統(tǒng)為配線間水平配線架至各個辦公室內(nèi)插座面板的連接線纜，本項目數(shù)據(jù)點采用超五類四對UTP。水平線纜的長度計算：a、根據(jù)每層樓核算。B、每根線纜平均長度按（最長+最短）/2+2樓層高計算，即（80+10）/2+24M,.c、每標準箱為1000英尺（305）米。d、每箱線可布入的信息點：305m/=5個。e、辦公樓、生活樓、食堂每層需要60/5=12箱，生產(chǎn)車間每層需要160/5=32箱。f、總線纜=129+32=140箱序號 型號 名稱 數(shù)量1超5類4對UTP電纜140箱（此