【導(dǎo)讀】斷增大，公司要對(duì)原有的網(wǎng)絡(luò)進(jìn)行擴(kuò)建和和改造。本方案主要包括需求分析，絡(luò)安全分析，交換機(jī)和路由器的配置。決IP沖突問(wèn)題，資源的共享，打印機(jī)的聯(lián)網(wǎng)，用戶權(quán)限的劃分。樸圖的設(shè)計(jì)，更新一些落后的產(chǎn)品，比如網(wǎng)卡等。然后是各服務(wù)器的配置，使。打印機(jī)能更實(shí)現(xiàn)聯(lián)網(wǎng)打印，F(xiàn)TP實(shí)現(xiàn)資源的共享，IP地址的自動(dòng)分配等。源進(jìn)行查看和下載，并對(duì)不同的部門通過(guò)VLAN進(jìn)行劃分。最后是對(duì)交換機(jī)和路。通過(guò)此次的升級(jí)和改造，網(wǎng)絡(luò)的性能將進(jìn)一步的提升，將大大。提升員工的工作效率和辦公環(huán)境，將滿足企業(yè)不斷增大的業(yè)務(wù)需求。

　　

【正文】 們可以在共享的打印機(jī)列表中找到對(duì)應(yīng)的共享打印機(jī)名稱，然后安裝即可 。 分布 層 交換機(jī)配置 分布層 交換機(jī) 提供基于統(tǒng)一策略 ， 分布層主要提供如下功能：地址的聚集、安全控制、部門和工作組的接入等 ，因此要在分布層配置 VLAN 的設(shè)置。 在默認(rèn)情況下，所有接口處于可用狀態(tài)且都屬于 VLAN1，這種情況下交換機(jī)就可以正常工作了。但為了方便管理和使用，首收應(yīng)對(duì)交換機(jī)做基本的配置。交換機(jī)的基本配置主要包括：配置交換機(jī)的 IP 地址、默認(rèn)網(wǎng)關(guān)、域名和域名服務(wù)器 。 浙江機(jī)電職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)說(shuō)明書 24 交換機(jī)的基本配置 Switch Switchenable Switch Switch config terminal Switch(config) Switch(config)interface fastether0/1 Switch(configif)speed auto Switch(configif)duplex auto Switch(configif)exit Switch(config) 配置 VLAN Trunk 端口 Switchconfig Switch(config)interface f0/24 Switch(configif)switchport mode trunk Switch(configif)switchport trunk allowed vlan all Switch(configif)exit Switch(config)exit Switch 創(chuàng)建 VLAN Switchvlan database Switch(vlan)vlan 10 name vlan10 Switch(vlan)vlan 20 name vlan20 Switch(vlan)vlan 30 name vlan30 ... Switch(vlan)exit 將端口加入到 VLAN 中 Switchconfig termilal Switch(config)interface f0/1 Switch(configif)switchport mode access 浙江機(jī)電職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)說(shuō)明書 25 Switch(configif)switchport access vlan 10 Switch(configif)exit Switch(config)interface f0/2 Switch(configif)switchport mode access Switch(configif)switchport access vlan 20 Switch(configif)exit Switch(config)interface f0/3 Switch(configif)switchport mode access Switch(configif)switchport access vlan 30 Switch(configif)exit ... Switch(config)exit 生成樹協(xié)議配置 生成樹協(xié)議的目的是在實(shí)現(xiàn)交換機(jī)之間冗余連接的同時(shí)，避免網(wǎng)絡(luò)環(huán)路的出現(xiàn)，實(shí)現(xiàn)網(wǎng)絡(luò)的高可靠性。當(dāng)交換機(jī)之間有多個(gè) VLAN 時(shí) TRUNK 線路會(huì)負(fù)載過(guò)重，這時(shí)需要設(shè)置多個(gè) TRUNK 端口，但這樣會(huì)形成網(wǎng)絡(luò)環(huán)路，而 STP 協(xié)議便可以解決這一問(wèn)題。 當(dāng)同一臺(tái)交換機(jī)的兩個(gè)口開口形成環(huán)路時(shí)， STP 端口權(quán)值用來(lái)決定哪個(gè)口是交換機(jī)狀態(tài)的，哪個(gè)口是阻斷的?？梢酝ㄟ^(guò)配置端口權(quán)值來(lái)決定兩對(duì) TRUNK 各走哪些 VLAN，有較高權(quán)值的端口 VLAN 將處于轉(zhuǎn)發(fā)狀態(tài)，同一個(gè) VLAN在另一個(gè) TRUNK 有較低的權(quán)值則將處在阻斷狀態(tài)，同一 VLAN只在一個(gè) TRUNK 上發(fā)送接收。 Switchconfig terminal Switch(config)interface f0/23 Switch(configif)spanningtree vlan 10 portpriority 10 Switch(configif)spanningtree vlan 20 portpriority 10 Switch(configif)exit Switch(config)interface f0/24 Switch(configif)spanningtree vlan 30 portpriority 10 Switch(configif)spanningtree vlan 40 portpriority 10 Switch(configif)spanningtree vlan 50 portpriority 10 Switch(configif)end Switchcopy runningconfig startupconfig 浙江機(jī)電職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)說(shuō)明書 26 路由器 配置 路由器的基本配置 Routerenable Router config t Router(config)interface fastether0/1 Router(configif)ip address Router(configif)no shutdown Router(configif)end Router 浙江機(jī)電職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)說(shuō)明書 27 第 7 章 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全威協(xié)的類型 網(wǎng)絡(luò)威脅是對(duì)網(wǎng)絡(luò)安全缺陷的潛在得用，這些缺陷可能導(dǎo)致非授權(quán)訪問(wèn) 、信息泄露、資源耗盡、資源被盜或者被破壞等。網(wǎng)絡(luò)安全所面臨的威脅可以來(lái)自很多方面，并且隨著時(shí)間的變化面變化。網(wǎng)絡(luò)安全威脅的種類有如下幾類。 （ 1）竊聽。在廣播式網(wǎng)絡(luò)系統(tǒng)中，每個(gè)節(jié)點(diǎn)都可以讀取網(wǎng)上傳輸?shù)臄?shù)據(jù)，如搭線竊聽、安 裝通信監(jiān)視器和讀取網(wǎng)上的信息等。網(wǎng)絡(luò)體系結(jié)構(gòu)允許監(jiān)視器接收網(wǎng)上傳輸?shù)乃袛?shù)據(jù)偵而不考慮偵的傳輸目標(biāo)地址、這種特性使得偷聽網(wǎng)上的數(shù)據(jù)或非授權(quán)訪問(wèn)很容易而且不易發(fā)現(xiàn)。 （ 2）假冒。當(dāng)一個(gè)實(shí)體假扮成另一個(gè)實(shí)體進(jìn)行網(wǎng)絡(luò)活動(dòng)時(shí)就發(fā)生了假冒。 （ 3）重放。重復(fù)一份報(bào)文或報(bào)文的一部分，以便產(chǎn)生一個(gè)被授權(quán)效果。 （ 4）流量分析。通過(guò)對(duì)網(wǎng)上信息流的觀察和分析推斷出網(wǎng)上傳輸?shù)挠杏眯畔?，例如有無(wú)傳輸、傳輸?shù)臄?shù)量、方向和頻率。由于報(bào)頭信息不能加密，所以即使對(duì)數(shù)據(jù)進(jìn)行了加密處理，也可以進(jìn)行有效的流量分析。 （ 5）數(shù)據(jù)完整性破壞。有意或無(wú)意地修改或破壞信息系統(tǒng)，或者在非授權(quán)和不能監(jiān)測(cè)的方式下對(duì)數(shù)據(jù)進(jìn)行修改。 （ 6）拒絕服務(wù)。當(dāng)一個(gè)授權(quán)實(shí)體不能獲得應(yīng)有的對(duì)網(wǎng)絡(luò)資源的訪問(wèn)或緊急操作被延遲時(shí)，就發(fā)生了拒絕服務(wù)。 （ 7）資源的非授權(quán)使用。即與所定義的安全策略不一致的使用。 （ 8）陷門和特洛伊木馬。通過(guò)替換系統(tǒng)合法程序，或者在合法 程序里插入惡意代碼，以實(shí)現(xiàn)非授權(quán)進(jìn)程，從而達(dá)到某種特定的目的。 （ 9）病毒。隨著人們對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)依賴程度的增加，計(jì)算機(jī)病毒已經(jīng)構(gòu)成了對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的嚴(yán)重威脅。 （ 10）誹謗。利用計(jì)算機(jī)信息系統(tǒng)的廣泛互連性和匿名性，散布錯(cuò)誤的消息以達(dá)到詆毀某個(gè)對(duì)象和知名度的目的。 浙江機(jī)電職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)說(shuō)明書 28 網(wǎng)絡(luò)安全漏洞 通常入侵者尋找網(wǎng)絡(luò)存在的漏洞，從缺口處無(wú)聲無(wú)息地進(jìn)入網(wǎng)絡(luò)。因而開發(fā)黑客反擊武器的思想是：找出現(xiàn)行網(wǎng)絡(luò)中的安全弱點(diǎn)，演示、測(cè)試這些安全漏洞，然后指出應(yīng)如何封住安全漏洞。當(dāng)前，信息系統(tǒng)的安全性非常脆弱，主要體現(xiàn)在操作系統(tǒng)、 計(jì)算機(jī)網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)管理系統(tǒng)都存在安全隱患，這些安全隱患表現(xiàn)在如下方面。 （ 1）物理安全性。凡是能夠讓非授權(quán)機(jī)器物理接入的地方，都會(huì)存在潛在的安全問(wèn)題，也就是能讓接入用戶做本不允許做的事情。 （ 2）軟件安全漏洞。“特權(quán)”軟件中帶惡意的程序代碼，從面可以導(dǎo)致其獲得額外的權(quán)限。 （ 3）不兼容安全漏洞。當(dāng)系統(tǒng)管理員把軟件和硬件捆綁在一起時(shí)，從安全的角度來(lái)看，可認(rèn)為系統(tǒng)將有可能產(chǎn)生嚴(yán)重安全隱患。所謂的不兼容性問(wèn)題，即把兩個(gè)毫無(wú)關(guān)系但有用的事物連接在一起，從而導(dǎo)致了安全漏洞。一旦系統(tǒng)建立和運(yùn)行，這種問(wèn)題很難被發(fā)現(xiàn)。 （ 4）選擇合適的安全哲理。這是一種對(duì)安全概念的理解和直覺。完美的軟件，受保護(hù)的硬件和兼容部件并不能保證正常而有效地工作，除非用戶選擇了適當(dāng)?shù)陌踩呗院痛蜷_了能增加其系統(tǒng)安全的部件。 網(wǎng)絡(luò)防火墻實(shí)現(xiàn)網(wǎng)絡(luò)安全 Inter 防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心“ 扼制點(diǎn)” 來(lái)防止非法用戶，比如防止黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抗擊來(lái)自各種路線的攻擊。 Inter 防火墻能夠簡(jiǎn)化安全管理，網(wǎng)絡(luò)的安全性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機(jī)上。在防火墻上可 以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報(bào)警。（注意：對(duì)一個(gè)與 Inter 相聯(lián)的內(nèi)部網(wǎng)絡(luò)來(lái)說(shuō)，重要的問(wèn)題并不是網(wǎng)絡(luò)是否會(huì)受到攻擊，而是何時(shí)受到攻擊？誰(shuí)在攻擊？）網(wǎng)絡(luò)管理員必須審計(jì)并記錄所有通過(guò)防火墻的重要信息。如果網(wǎng)絡(luò)管理員不能及時(shí)響應(yīng)報(bào)警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管理員永遠(yuǎn)不會(huì)知道防火墻是否受到攻擊。 Inter防火墻可以作為部署 NAT(Network Address Translator，網(wǎng)絡(luò)地址變換）的邏輯地址。因此防火墻可以用來(lái)緩解地址空間短缺的問(wèn)題，并消除機(jī)構(gòu)在變換 ISP時(shí)帶來(lái)的重新編址的麻煩。 Inter 防火墻是審計(jì)和記錄 Inter 使用量的浙江機(jī)電職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)說(shuō)明書 29 一個(gè)最佳地方。網(wǎng)絡(luò)管理員可以在此向管理部門提供 Inter 連接的費(fèi)用情況，查出潛在的帶寬瓶頸的位置，并根據(jù)機(jī)構(gòu)的核算模式提供部門級(jí)計(jì)費(fèi)。 VLAN 實(shí)現(xiàn)網(wǎng)絡(luò)安全 VLAN除了能將網(wǎng)絡(luò)劃分為多個(gè)廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點(diǎn)外，還可以用于控制網(wǎng)絡(luò)中不同部門、不同站點(diǎn)之間的互相訪問(wèn)。 VLAN 技術(shù)的出現(xiàn)，主要為了解決交換機(jī)在進(jìn)行局域網(wǎng)互連時(shí)無(wú)法限制廣播的問(wèn)題。這種技術(shù)可以把 一個(gè) LAN 劃分成多個(gè)邏輯的 LAN—— VLAN，每個(gè) VLAN 是一個(gè)廣播域， VLAN 內(nèi)的主機(jī)間通信就和在一個(gè) LAN 內(nèi)一樣，而 VLAN 間則不能直接互通，這樣，廣播報(bào)文被限制在一個(gè) VLAN 內(nèi)。 通過(guò)端口來(lái)實(shí)現(xiàn) VLAN 的劃分，現(xiàn)在很多都是通過(guò)端口來(lái)劃分 VLAN。被設(shè)定的端口都在同一個(gè)廣播域中。例如，一個(gè)交換機(jī)的 1， 2， 3， 4， 5端口被定義為虛擬網(wǎng) AAA，同一交換機(jī)的 6， 7， 8端口組成虛擬網(wǎng) BBB。這樣做允許各端口之間的通訊，并允許共享型網(wǎng)絡(luò)的升級(jí)。但是，這種劃分模式將虛擬網(wǎng)限制在了一臺(tái)交換機(jī)上 。 以交換機(jī)端口來(lái)劃分網(wǎng) 絡(luò)成員，其配置過(guò)程簡(jiǎn)單明了。因此，從目前來(lái)看，這種根據(jù)端口來(lái)劃分 VLAN 的方式仍然是最常用的一種方式。 浙江機(jī)電職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)說(shuō)明書 30 第 8 章 網(wǎng)絡(luò)診斷 網(wǎng)絡(luò)診斷 Windows 提供了一組程序來(lái)實(shí)現(xiàn)簡(jiǎn)單的網(wǎng)絡(luò)診斷，這些程序通常以 DOS 命令的形式出現(xiàn)。通過(guò)鍵盤的輸入來(lái)輸入命令，操作非常的簡(jiǎn)單和方便，而且結(jié)果也通熟易懂顯示在屏幕上，而且提高了網(wǎng)絡(luò)管理的效率。在“開始”菜單中運(yùn)行命令程序中輸入“ ”命令就可以進(jìn)入 DOS 命令窗口，可以執(zhí)行任何實(shí)用的程序，下面就通過(guò) ipconfig、 ping 等進(jìn)行網(wǎng)絡(luò)的診斷。 通過(guò) ipconfig 網(wǎng)絡(luò)診斷 Ipconfig 命令是最常用的 Windows 實(shí)用程序，可以顯示所有網(wǎng)卡的 TCP/IP配置參數(shù)，可以刷新動(dòng)態(tài)主機(jī)配置協(xié)議（ DHCP）和域名系統(tǒng)設(shè)置。 如果要診斷 DHCP 服務(wù)器，能不能自動(dòng)分配 IP就可以通過(guò) IPCONFIG 命令來(lái)進(jìn)行診斷，在進(jìn)行診斷之前先用 IPCONFIG /RELEASE 來(lái)釋放網(wǎng)卡的 DHCP 配置參數(shù)和當(dāng)前使用的 IP地址。接著就可以使用 IPCONFIG / RENEW 來(lái)獲取 IP 地址和網(wǎng)關(guān)地址， 如果網(wǎng)卡得到了 DHCP 分配的 IP地址，說(shuō)明了 DHCP 是正常工作的。 使用 IPCONFIG /ALL 命令顯示的網(wǎng)絡(luò)配置參數(shù)，其中列出了主機(jī)名、網(wǎng)卡物理地址和 DHCP 租約期，由 DHCP 分配的 IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)和 DNS 服務(wù)器的 IP 地址等配置參數(shù)。 圖 81 ipconfig /all 浙江機(jī)電職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)說(shuō)明書 31 通過(guò) ping 網(wǎng)絡(luò)診斷 PING 命令通過(guò)發(fā)送 ICMP 回聲請(qǐng)求報(bào)文來(lái)檢驗(yàn)與另外一個(gè)計(jì)算機(jī)的連接。這是一個(gè)用于排除連接故障的測(cè)試命令，如果不帶參數(shù)則顯示幫助信息。 通過(guò) PING 命令可以知道，局域網(wǎng)內(nèi)的計(jì)算機(jī)是否相互聯(lián)通，使用不帶參數(shù)的 PING 命令默認(rèn)發(fā)送 4次請(qǐng)求，如果有 4次都出現(xiàn) time out 說(shuō)明兩臺(tái)計(jì)算機(jī)是不能相互聯(lián)通的。使用 PING 命令可以一段段的進(jìn)行網(wǎng)絡(luò)診斷，直到出現(xiàn) PING不通，這樣就可以從大范圍縮小到一個(gè)很小的范圍。可以讓管理人員很方便的找到故障點(diǎn)。 使用 PING 命令必須安裝并運(yùn)行 TCP/IP 協(xié)議?？梢允褂?IP地址或主機(jī)名來(lái)表示目標(biāo)設(shè)備。如果 PING 一個(gè) IP地址 成功，而 PING 對(duì)應(yīng)的主機(jī)名失敗，則可以斷定名字解析有問(wèn)題。無(wú)論名字解析是通過(guò) DNS、 NETBIOS，還是通過(guò)本地主機(jī)文件，都可以用這個(gè)方法進(jìn)行故障診斷。