【正文】 將交換機(jī)的加密使能口令配置為 cisco2960 的命令如下： AS1（ config） enable seceret cisco2960 （ 3）設(shè)置控制臺線路口令 東華理工大學(xué)畢業(yè)設(shè)計（ 論文） 網(wǎng)絡(luò)規(guī)劃 25 Cisco IOS 設(shè)備的控制臺端口具有特別 的權(quán)限，做為最低限度的安全措施，必須為所有的網(wǎng)絡(luò)設(shè)備的控制臺端口配置強(qiáng)口令，這可以降低未經(jīng)授權(quán)的人員將電纜插入設(shè)備來訪問設(shè)備的風(fēng)險，設(shè)置登陸登錄控制臺線路時的口令為 cisco 命令如下 : AS1（ config） line console 0 AS1（ configline） password cisco AS1（ configline） login （ 4）設(shè)置登錄標(biāo)語 盡管要求用戶輸入口令是防止未經(jīng)授權(quán)的人員進(jìn)入網(wǎng)絡(luò)的有效方法，但有時必須要向試圖訪問設(shè)備的人員聲明僅授權(quán)人員才可以訪問設(shè)備，出于此目的 ，可以設(shè)置登錄標(biāo)語，它是用戶登錄到交換機(jī)時可以看到的消息，警示未經(jīng)授權(quán)的人員不要登錄交換機(jī)，配置登錄標(biāo)語的命令如下： AS1（ config） banner motd Activity may be monitored （ 5）設(shè)置虛擬終端線路（ VTY）口令 VTY 線路使用戶能通過 tel 或 SSH 訪問遠(yuǎn)程網(wǎng)絡(luò)設(shè)備，對于一個交換網(wǎng)絡(luò)來說，它為管理人員管理遠(yuǎn)程網(wǎng)絡(luò)提供了很多方便，但出于安全考慮，用戶在通過 Tel 或 SSH 訪問設(shè)備時必須進(jìn)行身份驗證，設(shè)置登陸虛擬終端線路時的口令為 class 命令如下： AS1（ config） line vty 0 15 AS1（ configline） password class AS1（ configline） login （ 6）激活 IOS 消息命令的同步機(jī)制 Cisco IOS 常常會發(fā)送一些未經(jīng)請求的消息，有時候，當(dāng)管理員正在鍵入命令時，這些消息會突然出現(xiàn)，盡管此類 IOS 消息不會對命令造成影響，但會使管理員找不到之前的鍵入位置，為了不讓這些未經(jīng)請求的輸出對管理員造成影響，可以使用 logging synchronous 設(shè)置交換機(jī)（路由器）在下一行 CLI 提示符后復(fù)制用戶的輸 入，激活 IOS 消息命令的同步機(jī)制的命令如下： AS1（ config） line console 0 AS1（ configline） logging synchronous （ 7）配置加密口令 在 Cisco IOS CLI 中配置的口令時，默認(rèn)情況下，除了使能口令外，其它所有的口令都以明文方式存在的配置文件中，為安全起見，應(yīng)該將口令加密，不應(yīng)該以明文格式存儲。為公司接入層交換機(jī) AS1 命名命令如下： Switch（ config） hostname AS1 （ 2）設(shè)置交換機(jī)的加密使能口令 當(dāng)用戶想從用戶模式進(jìn)入特權(quán)模式時，需要輸入此口令。圖 41 是在 Cisco Packet Tracer 模擬軟件上的配置拓樸圖。 VLAN 及 IP 地址分配情況如下表 41 所 示： 表 41 ip地址分配表 部門 VLAN 網(wǎng)段 網(wǎng)關(guān) 子網(wǎng)掩碼 行政管理部 2 財務(wù)部 3 人力資源部 4 技術(shù)部 5 生產(chǎn)部 6 銷售部 7 男公寓樓 8 女公寓樓 9 主要網(wǎng)絡(luò)設(shè)備的本端接口 IP 地址與對端接口 IP 地址規(guī)劃如表 42 所示：其中 MS1， MS2 為兩臺核心路由交換， R1， R2， R3， R4 為四臺路由 器， Server 為一臺服務(wù)器。 根據(jù)公司情況，每個部門劃分為一個 VLAN，各部門分別屬于不同的網(wǎng)段，各部門之間在邏輯上被隔離，但是各部門間的通訊。 第 4 章 網(wǎng)絡(luò)規(guī)劃 東華理工大學(xué)畢業(yè)設(shè)計（ 論文） 網(wǎng)絡(luò)規(guī)劃 23 VLAN 的劃分及 IP地址規(guī)劃 VLAN 的劃分一般有三種方法，一是基于端口、二是基于 MAC 地址、最后是基于路由的劃分。與五類線纜相比，超五類在近端串?dāng)_、串?dāng)_總和、衰減和信噪比 4 個主要指標(biāo)上都有較大的改進(jìn)。根據(jù)技術(shù)規(guī)范，選用超五類非屏蔽系統(tǒng)，其傳輸速度可達(dá)到100Mbit/s，傳 輸頻率為 100MHz。 深圳總部和北京分公司它們之間的距離已超過雙絞線布線的技術(shù)要求，因此采用光纖進(jìn)行布線。整個園區(qū)一共有 720 左右個信息點，即深圳總部有 600 左右，北京分公司有 120 左右個。建筑群子系統(tǒng)是綜合布線系統(tǒng)的骨干部分，它支持樓宇之間通信所需要的硬件，其他包括導(dǎo)線電纜、光纜及防止電纜上的脈沖電壓進(jìn)入建筑物的電氣保護(hù)裝置。 建筑群子系統(tǒng) 建筑群子系統(tǒng)提供外部建筑 物與大樓內(nèi)布線的連接點。 管理子系統(tǒng) 管理子系統(tǒng)安裝通信布線系統(tǒng)設(shè)備，包括水平、主干布線系統(tǒng)的機(jī)械和電氣終端。 東華理工大學(xué)畢業(yè)設(shè)計（ 論文） 網(wǎng)絡(luò)設(shè)計 21 設(shè)備間子系統(tǒng) 設(shè)備間子系統(tǒng)是布線系統(tǒng)最主要的管理區(qū)域，所有樓層的通信都由電纜或光纜傳送至此。與主干子系統(tǒng) 的區(qū)別是：水平布線子系 統(tǒng)總是在一個樓層上，并與插座連接。 水平配線子系統(tǒng) 水平子系統(tǒng)也成為水平布線子系統(tǒng)。根據(jù) ISO/IEC 標(biāo)準(zhǔn)，結(jié)構(gòu)化綜合布線系統(tǒng)可分為 6 個獨立的布線子系統(tǒng)。 在局域網(wǎng)布線時，應(yīng)該充分考慮到將來網(wǎng)絡(luò)擴(kuò)展 可能需要的最大接入節(jié)點數(shù)量、接入位置的分布和用戶使用的方便性。目前被廣泛遵循的綜合布線標(biāo)準(zhǔn)有： TIA/EIA 標(biāo)準(zhǔn)； ISO/IEC 標(biāo)準(zhǔn)。考慮到公司網(wǎng)絡(luò)的擴(kuò)展性、穩(wěn)定性、可靠性等原因，我們選擇 OSPF 作為主要的路由協(xié)議，與 ISP 的邊緣 部分則選用靜態(tài)路由的方式連接，另外我們還采用了 VRRP 虛擬路由冗余協(xié)議，它保證當(dāng)主機(jī)的下一跳路由器失效時，可以及時地由另一臺路由器來代替，從而保持通訊的連續(xù)性和可靠性。 OSPF 路由協(xié)議特點有： 鏈路狀態(tài)協(xié)議沒有環(huán)路；根據(jù)帶寬選擇路徑；路由會聚能力更強(qiáng)；快速收斂；支持 VLSM 和CIDR。動態(tài)路由由運(yùn)行在路由器上的動態(tài)路由協(xié)議自動生成的，適用與經(jīng)常發(fā)生變化的網(wǎng)絡(luò)，減小了網(wǎng)管人員的維護(hù)難度。根據(jù)路由的生成方式，路由被分為靜態(tài)路由和動態(tài)路由。 系統(tǒng)支持 （ Windows Server， Red Hat Enterprise Linux， SUSE Linux Enterprise Server,VMware vSphere） ，電源功率為 750W。 東華理工大學(xué)畢業(yè)設(shè)計（ 論文） 網(wǎng)絡(luò)設(shè)計 19 圖 35 CISCO 2911/K9 服務(wù)器選型 網(wǎng)絡(luò)服務(wù)器的選型是網(wǎng)絡(luò)系統(tǒng)建設(shè)的重要內(nèi)容之一，從應(yīng)用的角度來看，網(wǎng)絡(luò)服務(wù)器的類型可以分為：文件服務(wù)器、數(shù)據(jù)庫服務(wù)器、 Inter 通用服務(wù)器與應(yīng)用服務(wù)器等。我們選用 3 臺 CISCO 2911/K9（ 8400元）作為公司的邊緣路由器。 圖 34 CISCO WSC296024TCL 路由器選型 路由器是連接因特網(wǎng)中各局域網(wǎng)、廣域網(wǎng)的設(shè)備，它會根據(jù)信道的情況自動選擇和設(shè)定路由，以最佳路徑，按前后順序發(fā)送信號的設(shè)備 。 CISCO WSC296024TCL 的外觀結(jié)構(gòu)如圖 34，它擁有 26 個端口數(shù)量， 24個以太網(wǎng) 10/100Mbps 端口， 2 個兩用上行端口 。 CISCO Catalyst 2960 系列交換機(jī)是一系列采用以太網(wǎng)供電或非 PoE 配置，可提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，并可為入門 級企業(yè)、中間市場和分支機(jī)構(gòu)網(wǎng)絡(luò)實現(xiàn)高級局域網(wǎng)服務(wù)的固定配置獨立式智能以太網(wǎng)設(shè)備 。 圖 33 CISCO WSC3750G24TSS1U 東華理工大學(xué)畢業(yè)設(shè)計（ 論文） 網(wǎng)絡(luò)設(shè)計 18 接入交換機(jī)的選型 接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。 CISCO WSC3750G24TSS1U 的外觀結(jié)構(gòu)如圖 33，它擁有 28 個端口數(shù)量， 24 個以太網(wǎng)10/100/1000 端口， 4 個基于 SFP 的千兆位以太網(wǎng)端口 。包括訪問控制列表、 VLAN 路由等等。 CISCO WSC6509E 的外觀結(jié)構(gòu)如圖 32，它擁有 9 個模塊化插槽，背板帶寬為 720Gbps，包轉(zhuǎn)發(fā)率為 387Mpps，支持網(wǎng)絡(luò)標(biāo)準(zhǔn)（ IEEE ， IEEE ， IEEE ，IEEE ， IEEE ）、網(wǎng)絡(luò)管理（ CiscoWorks2020， RMON， ESPAN，SNMP， Tel， BOOTP， TFTP）、 VLAN、 QoS，電源功率為 4000W。因此核心層設(shè)備應(yīng)該是高性能的交換機(jī)，可實現(xiàn)高速度的交換傳輸，以連接服務(wù)器等核心設(shè)備 ，并且非?？煽?，實現(xiàn)不間斷工作。全系統(tǒng)的 可靠性主要體現(xiàn)在網(wǎng)絡(luò)設(shè)備的可靠性，尤其是 GBE 主干交換機(jī)的可靠性以及線路的可靠性。如果是舊網(wǎng)改造項目，應(yīng)盡可能保留并延長用戶對原有網(wǎng)絡(luò)設(shè)備的投資，減少在資金投入方面的浪費。因為低端設(shè)備更新較快，且易于擴(kuò)展。在制定網(wǎng)絡(luò)方案之前，應(yīng)就建網(wǎng)單位承受能力確定好網(wǎng)絡(luò)設(shè)備品牌，國內(nèi)廠商的網(wǎng)絡(luò)產(chǎn)品價格不錯，但產(chǎn)品線短。其產(chǎn)品經(jīng)過更多用戶的檢驗，產(chǎn)品成熟度高，而且這些廠商出貨頻繁，生產(chǎn)量大，質(zhì)保體系更完備。 設(shè)備選型原則 廠商的選擇 所有網(wǎng)絡(luò)設(shè)備盡可能選取同一廠家的產(chǎn)品，這樣在設(shè)備可互連性、協(xié)議互操作性、技術(shù)支持、價格等各方面都更有優(yōu)勢。思科公司向客戶提供端到端的網(wǎng)絡(luò)解決方案，使客戶能夠建立起自己的統(tǒng)一信息基礎(chǔ)設(shè)施或者與其他網(wǎng)絡(luò)相連。 Cisco Systems（思科系統(tǒng)）公司是全球領(lǐng)先的互聯(lián)網(wǎng)設(shè)備供應(yīng)商。匯聚層交換機(jī)采用千兆雙絞線與接入層設(shè)備 CISCO 2960 互聯(lián)，接入層設(shè)備連接著終端用戶，實現(xiàn)百兆到桌面。其中一臺路由器用于連接 ISP 實現(xiàn)公司內(nèi)部與外網(wǎng)互聯(lián)，另一臺路由器與廣域網(wǎng)的幀中繼相連，用于實現(xiàn)總公司與分公司之間的通信。 運(yùn)用層次模型的設(shè)計方法，具有以下優(yōu)點： 結(jié)構(gòu)清晰，網(wǎng)絡(luò)易于理解和維護(hù)； 具有良好的擴(kuò)展性； 功能分解在不通的層次，利于網(wǎng)絡(luò)的穩(wěn)定； 利于定位網(wǎng)絡(luò)故障點。接入層在整個網(wǎng)絡(luò)中接入交換機(jī)的數(shù)據(jù)最多，具有即插即用的特性。匯聚層交換機(jī)還負(fù)責(zé)本區(qū)域的數(shù)據(jù)交換，匯聚層交換機(jī)一般與中心交換機(jī)同類型，仍需較高的性能和 較豐富功能。核心層一直被認(rèn)為流量的最終承受著和匯聚者，所以要求核心交換機(jī)擁有較高的可靠性和性能。 核心層 核心層的功能主要是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，復(fù)雜整個網(wǎng)絡(luò)的網(wǎng)內(nèi)數(shù)據(jù)交換?？紤]到公司具有 720 個節(jié)點，所以網(wǎng)絡(luò)采用 3 層結(jié)構(gòu)設(shè)計。 東華理工大學(xué)畢業(yè)設(shè)計（ 論文） 網(wǎng)絡(luò)設(shè)計 14 第 3 章 網(wǎng)絡(luò)設(shè)計 網(wǎng)絡(luò)層次化設(shè)計 大型和中型網(wǎng)絡(luò)系統(tǒng)必須采用分層設(shè)計思想，這是解決網(wǎng)絡(luò)系統(tǒng)規(guī)模、結(jié)構(gòu)和技術(shù)的復(fù)雜性的最有效方法。缺點容易受 頻段上運(yùn)行的 設(shè)備干擾。缺點速度慢，容易受干擾。缺點成本高，范圍小。 無線 LAN 是一套 IEEE 標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了如何使用免授權(quán)的工業(yè)、科學(xué)和醫(yī)療（ ISM）頻段的射頻（ RF）作為無線鏈路的物理層和 MAC 子層。所謂漫游是指一個用戶從一個地點移動到另外一個地點，應(yīng)該被認(rèn)定為離開一個接入點，進(jìn)入另一個接入點。相同ESSID 的無線網(wǎng)絡(luò)間可以進(jìn)行漫游，不同 ESSID 的無線網(wǎng)絡(luò)形成邏輯子網(wǎng)。擴(kuò)展服務(wù)區(qū)內(nèi)的每個 AP 都是一個獨立的無線網(wǎng)絡(luò)基本服務(wù)區(qū) BSS，所有 AP 共享同一個擴(kuò)展服務(wù)區(qū)標(biāo)示符 ESSID。 AP 可連接有線網(wǎng)絡(luò)，實現(xiàn)無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的互聯(lián)。無線接入點 AP 用于在無線 STA 和有線網(wǎng)絡(luò)之間接收緩存和轉(zhuǎn)發(fā)數(shù)有無線通訊都經(jīng)過 AP 完成，是有中心拓?fù)浣Y(jié)構(gòu)。點對點模式中的一個節(jié)點必需能同時“看”到網(wǎng)絡(luò)中的其他節(jié)點，否則就認(rèn)為網(wǎng)絡(luò)中斷，因此對等網(wǎng)絡(luò)只能用于少數(shù)用戶的組網(wǎng)環(huán)境。 常見的無線局域網(wǎng)絡(luò)拓樸類型有： （ 1）點對點模式 (PeertoPeer) /對等模式：無中心拓?fù)浣Y(jié)構(gòu)，由無線工作站組成，用于一臺無線工作站和另一臺或多臺其他無線工作站的直接通訊，該網(wǎng)絡(luò)無法接入到有線網(wǎng)絡(luò)中，只能獨立使用。無線局域網(wǎng)絡(luò)技術(shù)或許是應(yīng)用最廣泛、最具有商業(yè)價值并且發(fā)展的最好的無線網(wǎng)絡(luò)技術(shù)。 WLAN 技術(shù) 無線局域網(wǎng)絡(luò)是指以無線電波、激光、紅外線等無線媒介來代替有線局域網(wǎng)中的部分或全部傳輸媒介而 構(gòu)成的網(wǎng)絡(luò)。 NAT 在帶來優(yōu)點的同時，也帶來了不少缺點：使用 NAT 必然要引入額外 的延遲；喪失端到端的 IP 跟蹤能力； 地址轉(zhuǎn)換由于隱藏了內(nèi)部主機(jī)地址，有時候會使網(wǎng)絡(luò)調(diào)試變得復(fù)雜。 NAT 技術(shù) 網(wǎng)絡(luò)地址