【導讀】斷增大，公司要對原有的網(wǎng)絡(luò)進行擴建和和改造。本方案主要包括需求分析，絡(luò)安全分析，交換機和路由器的配置。決IP沖突問題，資源的共享，打印機的聯(lián)網(wǎng)，用戶權(quán)限的劃分。樸圖的設(shè)計，更新一些落后的產(chǎn)品，比如網(wǎng)卡等。然后是各服務器的配置，使。打印機能更實現(xiàn)聯(lián)網(wǎng)打印，F(xiàn)TP實現(xiàn)資源的共享，IP地址的自動分配等。源進行查看和下載，并對不同的部門通過VLAN進行劃分。最后是對交換機和路。通過此次的升級和改造，網(wǎng)絡(luò)的性能將進一步的提升，將大大。提升員工的工作效率和辦公環(huán)境，將滿足企業(yè)不斷增大的業(yè)務需求。

　　

【正文】 們可以在共享的打印機列表中找到對應的共享打印機名稱，然后安裝即可 。 分布 層 交換機配置 分布層 交換機 提供基于統(tǒng)一策略 ， 分布層主要提供如下功能：地址的聚集、安全控制、部門和工作組的接入等 ，因此要在分布層配置 VLAN 的設(shè)置。 在默認情況下，所有接口處于可用狀態(tài)且都屬于 VLAN1，這種情況下交換機就可以正常工作了。但為了方便管理和使用，首收應對交換機做基本的配置。交換機的基本配置主要包括：配置交換機的 IP 地址、默認網(wǎng)關(guān)、域名和域名服務器 。 浙江機電職業(yè)技術(shù)學院畢業(yè)設(shè)計說明書 24 交換機的基本配置 Switch Switchenable Switch Switch config terminal Switch(config) Switch(config)interface fastether0/1 Switch(configif)speed auto Switch(configif)duplex auto Switch(configif)exit Switch(config) 配置 VLAN Trunk 端口 Switchconfig Switch(config)interface f0/24 Switch(configif)switchport mode trunk Switch(configif)switchport trunk allowed vlan all Switch(configif)exit Switch(config)exit Switch 創(chuàng)建 VLAN Switchvlan database Switch(vlan)vlan 10 name vlan10 Switch(vlan)vlan 20 name vlan20 Switch(vlan)vlan 30 name vlan30 ... Switch(vlan)exit 將端口加入到 VLAN 中 Switchconfig termilal Switch(config)interface f0/1 Switch(configif)switchport mode access 浙江機電職業(yè)技術(shù)學院畢業(yè)設(shè)計說明書 25 Switch(configif)switchport access vlan 10 Switch(configif)exit Switch(config)interface f0/2 Switch(configif)switchport mode access Switch(configif)switchport access vlan 20 Switch(configif)exit Switch(config)interface f0/3 Switch(configif)switchport mode access Switch(configif)switchport access vlan 30 Switch(configif)exit ... Switch(config)exit 生成樹協(xié)議配置 生成樹協(xié)議的目的是在實現(xiàn)交換機之間冗余連接的同時，避免網(wǎng)絡(luò)環(huán)路的出現(xiàn)，實現(xiàn)網(wǎng)絡(luò)的高可靠性。當交換機之間有多個 VLAN 時 TRUNK 線路會負載過重，這時需要設(shè)置多個 TRUNK 端口，但這樣會形成網(wǎng)絡(luò)環(huán)路，而 STP 協(xié)議便可以解決這一問題。 當同一臺交換機的兩個口開口形成環(huán)路時， STP 端口權(quán)值用來決定哪個口是交換機狀態(tài)的，哪個口是阻斷的?？梢酝ㄟ^配置端口權(quán)值來決定兩對 TRUNK 各走哪些 VLAN，有較高權(quán)值的端口 VLAN 將處于轉(zhuǎn)發(fā)狀態(tài)，同一個 VLAN在另一個 TRUNK 有較低的權(quán)值則將處在阻斷狀態(tài)，同一 VLAN只在一個 TRUNK 上發(fā)送接收。 Switchconfig terminal Switch(config)interface f0/23 Switch(configif)spanningtree vlan 10 portpriority 10 Switch(configif)spanningtree vlan 20 portpriority 10 Switch(configif)exit Switch(config)interface f0/24 Switch(configif)spanningtree vlan 30 portpriority 10 Switch(configif)spanningtree vlan 40 portpriority 10 Switch(configif)spanningtree vlan 50 portpriority 10 Switch(configif)end Switchcopy runningconfig startupconfig 浙江機電職業(yè)技術(shù)學院畢業(yè)設(shè)計說明書 26 路由器 配置 路由器的基本配置 Routerenable Router config t Router(config)interface fastether0/1 Router(configif)ip address Router(configif)no shutdown Router(configif)end Router 浙江機電職業(yè)技術(shù)學院畢業(yè)設(shè)計說明書 27 第 7 章 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全威協(xié)的類型 網(wǎng)絡(luò)威脅是對網(wǎng)絡(luò)安全缺陷的潛在得用，這些缺陷可能導致非授權(quán)訪問 、信息泄露、資源耗盡、資源被盜或者被破壞等。網(wǎng)絡(luò)安全所面臨的威脅可以來自很多方面，并且隨著時間的變化面變化。網(wǎng)絡(luò)安全威脅的種類有如下幾類。 （ 1）竊聽。在廣播式網(wǎng)絡(luò)系統(tǒng)中，每個節(jié)點都可以讀取網(wǎng)上傳輸?shù)臄?shù)據(jù)，如搭線竊聽、安 裝通信監(jiān)視器和讀取網(wǎng)上的信息等。網(wǎng)絡(luò)體系結(jié)構(gòu)允許監(jiān)視器接收網(wǎng)上傳輸?shù)乃袛?shù)據(jù)偵而不考慮偵的傳輸目標地址、這種特性使得偷聽網(wǎng)上的數(shù)據(jù)或非授權(quán)訪問很容易而且不易發(fā)現(xiàn)。 （ 2）假冒。當一個實體假扮成另一個實體進行網(wǎng)絡(luò)活動時就發(fā)生了假冒。 （ 3）重放。重復一份報文或報文的一部分，以便產(chǎn)生一個被授權(quán)效果。 （ 4）流量分析。通過對網(wǎng)上信息流的觀察和分析推斷出網(wǎng)上傳輸?shù)挠杏眯畔?，例如有無傳輸、傳輸?shù)臄?shù)量、方向和頻率。由于報頭信息不能加密，所以即使對數(shù)據(jù)進行了加密處理，也可以進行有效的流量分析。 （ 5）數(shù)據(jù)完整性破壞。有意或無意地修改或破壞信息系統(tǒng)，或者在非授權(quán)和不能監(jiān)測的方式下對數(shù)據(jù)進行修改。 （ 6）拒絕服務。當一個授權(quán)實體不能獲得應有的對網(wǎng)絡(luò)資源的訪問或緊急操作被延遲時，就發(fā)生了拒絕服務。 （ 7）資源的非授權(quán)使用。即與所定義的安全策略不一致的使用。 （ 8）陷門和特洛伊木馬。通過替換系統(tǒng)合法程序，或者在合法 程序里插入惡意代碼，以實現(xiàn)非授權(quán)進程，從而達到某種特定的目的。 （ 9）病毒。隨著人們對計算機系統(tǒng)和網(wǎng)絡(luò)依賴程度的增加，計算機病毒已經(jīng)構(gòu)成了對計算機系統(tǒng)和網(wǎng)絡(luò)的嚴重威脅。 （ 10）誹謗。利用計算機信息系統(tǒng)的廣泛互連性和匿名性，散布錯誤的消息以達到詆毀某個對象和知名度的目的。 浙江機電職業(yè)技術(shù)學院畢業(yè)設(shè)計說明書 28 網(wǎng)絡(luò)安全漏洞 通常入侵者尋找網(wǎng)絡(luò)存在的漏洞，從缺口處無聲無息地進入網(wǎng)絡(luò)。因而開發(fā)黑客反擊武器的思想是：找出現(xiàn)行網(wǎng)絡(luò)中的安全弱點，演示、測試這些安全漏洞，然后指出應如何封住安全漏洞。當前，信息系統(tǒng)的安全性非常脆弱，主要體現(xiàn)在操作系統(tǒng)、 計算機網(wǎng)絡(luò)和數(shù)據(jù)庫管理系統(tǒng)都存在安全隱患，這些安全隱患表現(xiàn)在如下方面。 （ 1）物理安全性。凡是能夠讓非授權(quán)機器物理接入的地方，都會存在潛在的安全問題，也就是能讓接入用戶做本不允許做的事情。 （ 2）軟件安全漏洞?！疤貦?quán)”軟件中帶惡意的程序代碼，從面可以導致其獲得額外的權(quán)限。 （ 3）不兼容安全漏洞。當系統(tǒng)管理員把軟件和硬件捆綁在一起時，從安全的角度來看，可認為系統(tǒng)將有可能產(chǎn)生嚴重安全隱患。所謂的不兼容性問題，即把兩個毫無關(guān)系但有用的事物連接在一起，從而導致了安全漏洞。一旦系統(tǒng)建立和運行，這種問題很難被發(fā)現(xiàn)。 （ 4）選擇合適的安全哲理。這是一種對安全概念的理解和直覺。完美的軟件，受保護的硬件和兼容部件并不能保證正常而有效地工作，除非用戶選擇了適當?shù)陌踩呗院痛蜷_了能增加其系統(tǒng)安全的部件。 網(wǎng)絡(luò)防火墻實現(xiàn)網(wǎng)絡(luò)安全 Inter 防火墻允許網(wǎng)絡(luò)管理員定義一個中心“ 扼制點” 來防止非法用戶，比如防止黑客、網(wǎng)絡(luò)破壞者等進入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務進出網(wǎng)絡(luò)，并抗擊來自各種路線的攻擊。 Inter 防火墻能夠簡化安全管理，網(wǎng)絡(luò)的安全性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機上。在防火墻上可 以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報警。（注意：對一個與 Inter 相聯(lián)的內(nèi)部網(wǎng)絡(luò)來說，重要的問題并不是網(wǎng)絡(luò)是否會受到攻擊，而是何時受到攻擊？誰在攻擊？）網(wǎng)絡(luò)管理員必須審計并記錄所有通過防火墻的重要信息。如果網(wǎng)絡(luò)管理員不能及時響應報警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管理員永遠不會知道防火墻是否受到攻擊。 Inter防火墻可以作為部署 NAT(Network Address Translator，網(wǎng)絡(luò)地址變換）的邏輯地址。因此防火墻可以用來緩解地址空間短缺的問題，并消除機構(gòu)在變換 ISP時帶來的重新編址的麻煩。 Inter 防火墻是審計和記錄 Inter 使用量的浙江機電職業(yè)技術(shù)學院畢業(yè)設(shè)計說明書 29 一個最佳地方。網(wǎng)絡(luò)管理員可以在此向管理部門提供 Inter 連接的費用情況，查出潛在的帶寬瓶頸的位置，并根據(jù)機構(gòu)的核算模式提供部門級計費。 VLAN 實現(xiàn)網(wǎng)絡(luò)安全 VLAN除了能將網(wǎng)絡(luò)劃分為多個廣播域，從而有效地控制廣播風暴的發(fā)生，以及使網(wǎng)絡(luò)的拓撲結(jié)構(gòu)變得非常靈活的優(yōu)點外，還可以用于控制網(wǎng)絡(luò)中不同部門、不同站點之間的互相訪問。 VLAN 技術(shù)的出現(xiàn)，主要為了解決交換機在進行局域網(wǎng)互連時無法限制廣播的問題。這種技術(shù)可以把 一個 LAN 劃分成多個邏輯的 LAN—— VLAN，每個 VLAN 是一個廣播域， VLAN 內(nèi)的主機間通信就和在一個 LAN 內(nèi)一樣，而 VLAN 間則不能直接互通，這樣，廣播報文被限制在一個 VLAN 內(nèi)。 通過端口來實現(xiàn) VLAN 的劃分，現(xiàn)在很多都是通過端口來劃分 VLAN。被設(shè)定的端口都在同一個廣播域中。例如，一個交換機的 1， 2， 3， 4， 5端口被定義為虛擬網(wǎng) AAA，同一交換機的 6， 7， 8端口組成虛擬網(wǎng) BBB。這樣做允許各端口之間的通訊，并允許共享型網(wǎng)絡(luò)的升級。但是，這種劃分模式將虛擬網(wǎng)限制在了一臺交換機上 。 以交換機端口來劃分網(wǎng) 絡(luò)成員，其配置過程簡單明了。因此，從目前來看，這種根據(jù)端口來劃分 VLAN 的方式仍然是最常用的一種方式。 浙江機電職業(yè)技術(shù)學院畢業(yè)設(shè)計說明書 30 第 8 章 網(wǎng)絡(luò)診斷 網(wǎng)絡(luò)診斷 Windows 提供了一組程序來實現(xiàn)簡單的網(wǎng)絡(luò)診斷，這些程序通常以 DOS 命令的形式出現(xiàn)。通過鍵盤的輸入來輸入命令，操作非常的簡單和方便，而且結(jié)果也通熟易懂顯示在屏幕上，而且提高了網(wǎng)絡(luò)管理的效率。在“開始”菜單中運行命令程序中輸入“ ”命令就可以進入 DOS 命令窗口，可以執(zhí)行任何實用的程序，下面就通過 ipconfig、 ping 等進行網(wǎng)絡(luò)的診斷。 通過 ipconfig 網(wǎng)絡(luò)診斷 Ipconfig 命令是最常用的 Windows 實用程序，可以顯示所有網(wǎng)卡的 TCP/IP配置參數(shù)，可以刷新動態(tài)主機配置協(xié)議（ DHCP）和域名系統(tǒng)設(shè)置。 如果要診斷 DHCP 服務器，能不能自動分配 IP就可以通過 IPCONFIG 命令來進行診斷，在進行診斷之前先用 IPCONFIG /RELEASE 來釋放網(wǎng)卡的 DHCP 配置參數(shù)和當前使用的 IP地址。接著就可以使用 IPCONFIG / RENEW 來獲取 IP 地址和網(wǎng)關(guān)地址， 如果網(wǎng)卡得到了 DHCP 分配的 IP地址，說明了 DHCP 是正常工作的。 使用 IPCONFIG /ALL 命令顯示的網(wǎng)絡(luò)配置參數(shù)，其中列出了主機名、網(wǎng)卡物理地址和 DHCP 租約期，由 DHCP 分配的 IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)和 DNS 服務器的 IP 地址等配置參數(shù)。 圖 81 ipconfig /all 浙江機電職業(yè)技術(shù)學院畢業(yè)設(shè)計說明書 31 通過 ping 網(wǎng)絡(luò)診斷 PING 命令通過發(fā)送 ICMP 回聲請求報文來檢驗與另外一個計算機的連接。這是一個用于排除連接故障的測試命令，如果不帶參數(shù)則顯示幫助信息。 通過 PING 命令可以知道，局域網(wǎng)內(nèi)的計算機是否相互聯(lián)通，使用不帶參數(shù)的 PING 命令默認發(fā)送 4次請求，如果有 4次都出現(xiàn) time out 說明兩臺計算機是不能相互聯(lián)通的。使用 PING 命令可以一段段的進行網(wǎng)絡(luò)診斷，直到出現(xiàn) PING不通，這樣就可以從大范圍縮小到一個很小的范圍。可以讓管理人員很方便的找到故障點。 使用 PING 命令必須安裝并運行 TCP/IP 協(xié)議?？梢允褂?IP地址或主機名來表示目標設(shè)備。如果 PING 一個 IP地址 成功，而 PING 對應的主機名失敗，則可以斷定名字解析有問題。無論名字解析是通過 DNS、 NETBIOS，還是通過本地主機文件，都可以用這個方法進行故障診斷。