【正文】 (configrouter) area 0 R3(configrouter) area 0 R4 的配置 R4(config)router ospf 1 R4(configrouter) area 0 27 R4(configrouter) area 0 R4(configrouter) area 0 PPP 協(xié)議 R1 配置 R1(config)user R2 pass cisco R1(config)int s0/0/0 R1(configif)encapsulation ppp %LINEPROTO5UPDOWN: Line protocol on Interface Serial0/0/0, changed state to down R1(configif)ppp authentication chap R2 的配置 R2(config)user R1 pass cisco R2(config)int s0/0/0 R2(configif)encapsulation ppp %LINEPROTO5UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up R2(configif)ppp authentication chap %LINEPROTO5UPDOWN: Line protocol on Interface Serial0/0/0, 28 changed state to down %LINEPROTO5UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up PPP 協(xié)議驗證 關(guān)閉路由器 R1 的 S0/0/0 接口，稍后再次打開該接口，觸發(fā) PPP 的 CHAP 驗證。 路由 和交換之間的主要區(qū)別就是交換發(fā)生在 OSI參考模型第二層（ 數(shù)據(jù)鏈路層 ），而路由發(fā)生在第三層，即 網(wǎng)絡(luò)層 。 路由器是 互聯(lián)網(wǎng) 絡(luò)的樞紐、 交通警察 。 PC2 和 PC4 屬于 VLAN3， VLAN3 所在的 IP 子網(wǎng)是 。 圖 21 為企業(yè)局域網(wǎng)總體拓?fù)浣Y(jié)構(gòu)圖 圖 21 企業(yè)局域網(wǎng)總體拓?fù)?圖 16 注：圖中 PC 機(jī)代表企業(yè)各部門 各設(shè)備的 IP 地址配置 R1: S0/0/0: Fa0/1: Fa0/2: Fa0/3: R2: S0/0/0: Fa0/0: Fa0/1: R3: S0/0/0: Fa0/1: R4: S0/0/0: Fa0/0: 17 Fa0/1: SW1: VLAN 1: SW2: VLAN 2: PC1,PC2,PC3 和 PC4 的 IP 地址均自動獲取。 對于此類交換機(jī)要求，一是價格合理；二是可管理性號，易于使用維護(hù)；三是穩(wěn)定性要好。 接入層 15 接入層交換機(jī)作為二層交換網(wǎng)絡(luò)設(shè)備，提供功能工作站等設(shè)備的網(wǎng)絡(luò)接入。 匯聚層 匯聚層主要負(fù)責(zé)連接接入層節(jié)點和核心層，匯聚分散的接入點，擴(kuò)大核心設(shè)備的端口密度和種類，匯聚各區(qū)域數(shù)據(jù)流量，實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸。網(wǎng)絡(luò)的功能控制最好盡量在骨干層上實施，核心層設(shè)計 任務(wù)的重點是冗余能力、可靠性和高速傳輸。接入層節(jié)點直接連接用戶計算機(jī)，它通常是一個部門或者一個樓層的交換機(jī)；匯聚層交換機(jī)的每個節(jié)點可以連接多個接入層節(jié)點，它通常是一個建筑物內(nèi)部連接多個樓層交換機(jī)或者部門交換機(jī)的總交換機(jī)；核心層交換機(jī)節(jié)點連接多個匯聚層交換機(jī)，通常是企業(yè)中連接多個建筑物的總交換機(jī)的核心網(wǎng)絡(luò)設(shè)備。 網(wǎng)絡(luò)設(shè)備選型 本次設(shè)計均根據(jù) packet tracer 模擬器完成，所有設(shè)備均采用模擬器內(nèi)含設(shè)備。 高性能價格比 日益進(jìn)步的新技術(shù)和特定情況下 ,開發(fā)具有成本效益的解決方案來滿足需求的基礎(chǔ)上 ,充分保障了 企業(yè) 的經(jīng)濟(jì)效益。 13 可管理性 充分考慮網(wǎng)絡(luò)的設(shè)計未來網(wǎng)絡(luò)管理和維護(hù) ,操作方便 ,維護(hù)容易的選擇網(wǎng)絡(luò)操作系統(tǒng) ,大大減少了負(fù)擔(dān)的管理和維護(hù)的網(wǎng)絡(luò)運營商。必須根據(jù)實際的使用先進(jìn)的成熟技 術(shù) ,購買先進(jìn)水平的計算機(jī)網(wǎng)絡(luò)系統(tǒng)和設(shè)備。的增加及不同層次的網(wǎng)絡(luò)節(jié)點和子網(wǎng)。磁帶備份系統(tǒng) ,建立系統(tǒng)和數(shù)據(jù)庫 。安全包括四個層次 :網(wǎng)絡(luò)安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全、應(yīng)用系統(tǒng)安全。非常容易使用 ,并不需要太多的培訓(xùn)可以容易使用和維護(hù) 。能夠兼容現(xiàn)有系統(tǒng)的新系統(tǒng) ,以保持連續(xù)性和可用的資源。 設(shè)計所需環(huán)境 硬件要求 操作系統(tǒng) Windows Server 2021/XP/7/Vista CPU 1500MHz 最好是 3000MHz 以上雙核更好 內(nèi)存 512MB 最好是 1G 2G 更好 空閑硬盤空間 2GB 以上 軟件要求 Packet Tracer 12 第二章 系統(tǒng)設(shè)計方案 系統(tǒng)設(shè)計原則 實用性 應(yīng)該從實際情況 ,以達(dá)到和容易使用可以起到有效的目的。目前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為 “ 以應(yīng)用程序為中心的 ”信息基礎(chǔ)設(shè)施平臺、網(wǎng) 絡(luò)管理能力的需求已經(jīng)上升到業(yè)務(wù)層面 ,傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的情報沒有有效地支持發(fā)展網(wǎng)絡(luò)管理的需要?，F(xiàn)代企業(yè)網(wǎng)絡(luò)在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司業(yè)務(wù)的重要組成部分，必須有一組病毒從用戶接入控制，報文識別到主動抑制的一系列安全控制措施，從而確保穩(wěn)定運行企業(yè)網(wǎng)絡(luò) 。 網(wǎng)絡(luò)安全需求 現(xiàn)代企業(yè)網(wǎng)絡(luò)將需要提供更好的網(wǎng)絡(luò)安全解決方案，以防止病毒和黑客的攻擊，減少經(jīng)濟(jì)損失。此外 ,隨著成本的持續(xù)下降 ,千兆的千兆端口桌面應(yīng)用程序?qū)⒃诓痪玫膶沓蔀橹髁鞯钠髽I(yè)網(wǎng)絡(luò)。與計算機(jī)技術(shù)的快速發(fā)展 ,越來越多的基于網(wǎng)絡(luò)的各種應(yīng)用中 ,今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個多功能無記名平臺 ,不僅要繼續(xù)把辦公自動化、網(wǎng)絡(luò)瀏覽以及其他數(shù)據(jù)服務(wù) ,但也攜帶的各種業(yè)務(wù)應(yīng)用系統(tǒng)設(shè)計生產(chǎn)數(shù)據(jù) ,以及帶寬和要求 IP 電話、視頻會議和其他多媒體服務(wù)。一方面，網(wǎng)絡(luò)管理員難以全面地了解整個網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)；另一方面，當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和鏈路狀態(tài)發(fā)生變化時，路由器中的靜態(tài)路由信息需要大范圍地調(diào)整，這一工作的難度和 復(fù)雜程度非常高。動態(tài)路由因為需 要路由器之間頻繁地交換各自的路由表，而對路由表的分析可以揭示網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)地址等信息。靜態(tài)路由一般適用于比較簡單的網(wǎng)絡(luò)環(huán)境，在這樣的環(huán)境中，網(wǎng)絡(luò)管理員易于清楚地了解網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，便于設(shè)置正確的路由信息。 動態(tài) /靜態(tài)路由協(xié)議 靜態(tài)路由是指需要由網(wǎng)絡(luò)管理員手工配置路由信息。當(dāng)非根橋在離上一次接收到最佳 BPDU 最長壽命（ Max Age，默認(rèn) 20s）后還沒有接收到最佳 BPDU 的時候，該端口將進(jìn)入監(jiān)聽狀態(tài)，該設(shè)備將產(chǎn)生 TCN BPDU，并從根端口轉(zhuǎn)發(fā)出去，從指定端口接收到 TCN BPDU 的上級設(shè)備將發(fā)送確認(rèn)，然后再向上級設(shè)備發(fā)送 TCN BPDU，此過程持續(xù) 到根橋為止，然后根橋在其后發(fā)送的配置 BPDU中將攜帶標(biāo)記表明拓?fù)湟寻l(fā)生變化，網(wǎng)絡(luò)中的所有設(shè)備接收到后將 CAM表項的刷新時間從 300s 縮短為 15s。這里的最佳 BPDU 指的是當(dāng)前根橋所發(fā)送的 BPDU。 BID 又是由網(wǎng)橋優(yōu)先級和 MAC 地址構(gòu)成，不同廠商的設(shè)備的網(wǎng)橋優(yōu)先級的字節(jié)個數(shù)可能不同。該協(xié)議的原理是按照樹的結(jié)構(gòu)來構(gòu)造網(wǎng)絡(luò)拓?fù)?，消除網(wǎng)絡(luò)中的環(huán)路，避免 由于環(huán)路的存在而造成廣播風(fēng)暴問題。前者是用于計算無環(huán)的生成樹的，后者則是用于在二層網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時產(chǎn)生用來縮短 CAM表項的刷新時間的（由默認(rèn)的 300s 縮短為 15s）。 STP 的基本原理是，通過在交換機(jī) 之間傳遞一種特殊的協(xié)議報文，網(wǎng)橋協(xié)議數(shù)據(jù)單元（ Bridge Protocol Data Unit，簡稱 BPDU），來確定網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。該協(xié)議可應(yīng)用于在網(wǎng)絡(luò)中建立樹形拓?fù)洌W(wǎng)絡(luò)中的環(huán)路，并且可以通過一定的方法實現(xiàn)路徑冗余，但不是一定可以實現(xiàn)路徑冗余。VTP Transparent 可以建立、刪除和修改本機(jī)上的 VLAN 信息，同時會轉(zhuǎn)發(fā)通告并把配置保存到 NVRAM 中。 VTP Client 雖然也維護(hù)所有 VLAN 8 信息列表，但其 VLAN 的配置信息是從 VTP Server 學(xué)到的， VTP Client 不能建立、刪除或修改 VLAN，但可以轉(zhuǎn)發(fā)通告，同步 vlan 配置，不保存配置到 NVRAM中。 一般，一個 VTP域 內(nèi)的整個網(wǎng)絡(luò)只設(shè)一個 VTP Server。 VTP 有三種工作模式： VTP Server、 VTP Client 和 VTP Transparent。便于管理 ,只要在 vtp server 做相應(yīng)設(shè)置 ,vtp client 會自動學(xué)習(xí) vtp server 上的 vlan 信息 * 當(dāng)使用多重名字 VLAN 能變成交叉 連接。 VTP 在系統(tǒng)級管理增加，刪除，調(diào)整的 VLAN，自動地將信息向網(wǎng)絡(luò)中其它的 交換機(jī) 廣播。這些 交換機(jī) 會自動地接收這些配置信息，使其 VLAN 的配置與 VTP Server 保持一致，從而減少在多臺設(shè)備上配置同一個 VLAN 信息的工作量，而且保持了 VLAN 配置的統(tǒng)一性。 VTP 技術(shù) 它是一個 OSI 參考模型 第二層的 通信協(xié)議 ，主要用于管理在同一個域的網(wǎng)絡(luò)范圍內(nèi) VLANs 的建立 、刪除和 重命名 。在 TCPIP 協(xié)議集中它是一種用來同步調(diào)制連接的數(shù)據(jù)鏈路層協(xié)議（ OSI 模式中的第二層），替代了原來非標(biāo)準(zhǔn)的第二層協(xié)議，即 SLIP。 ACL 具有下列作用： 1）限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能 2） 提供數(shù)據(jù)流控制 3）為網(wǎng)絡(luò)訪問提供基本的安全層 4）決定轉(zhuǎn)發(fā)或者阻止哪些類型的數(shù)據(jù)流 7 PPP 協(xié)議 點對點協(xié)議（ PPP）為在點對點連接上傳輸多協(xié)議數(shù)據(jù)包提供了一個標(biāo)準(zhǔn)方法。 ACL 可以用作控制和過濾流經(jīng)路由器端口的數(shù)據(jù)包的工具。 ACL 適用于所有的 被路由協(xié)議 ，如 IP、IPX、 AppleTalk 等。 DHCP 的分配形式 首先，必須至少有一臺 DHCP 服務(wù)器 工作在網(wǎng)絡(luò)上面，它會監(jiān)聽網(wǎng)絡(luò)的 DHCP 請求，并與客戶端磋商 TCP/IP 的設(shè)定環(huán)境。使用 DHCP，整個計算機(jī)的配置文件都可以在一條信息中獲得（除了 IP 地址，服務(wù)器可以同時發(fā)送 子網(wǎng)掩碼 、 缺省網(wǎng)關(guān) 、 DNS服務(wù)器 和其他的 TCP/IP配置）。 DHCP 可以說是 BOOTP 的增強(qiáng)版本，它分為兩個部份：一個是 服務(wù)器 端，而另一個是客戶端 。但 BOOTP 有一個缺點：您在設(shè)定前須事先獲得 客戶端 的硬件地址，而且與 IP 的對應(yīng)是靜態(tài)的。 DHCP 技術(shù) DHCP 是 Dynamic Host Configuration Protocol(動態(tài) 主機(jī) 配置協(xié)議）縮寫，它的前身是 BOOTP。 網(wǎng)絡(luò)管理員 通過控制 交換機(jī) 的每一個端口來控制網(wǎng)絡(luò)用戶對 網(wǎng)絡(luò)資源 的訪問，同時 VLAN 和第三層第四層的交換結(jié)合使用能夠為網(wǎng)絡(luò)提供較好的安全措施。 VLAN 相當(dāng)于 OSI 參考模型 的第二層的 廣播域 ，能夠?qū)?廣播風(fēng)暴控制 在一個VLAN 內(nèi)部，劃分 VLAN 后，由于廣播域的縮小，網(wǎng)絡(luò)中 廣播包 消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高?；诮粨Q機(jī)的 虛擬局域網(wǎng) 能夠為局域網(wǎng)解決 沖突域 、 廣播域 、 帶寬 問題。一個 VLAN 可以在一個交換機(jī)或者跨交換機(jī)實現(xiàn)。 NAT 使一些隧道協(xié)議變得復(fù)雜：因為 NAT 修改了包頭中的值，給 IPSec 或其他隧道協(xié)議的完整性帶來困難。 NAT 不利于追蹤：經(jīng)過多次 NAT，端到端的追蹤變得非常困難。 NAT 缺乏對一些應(yīng)用的支持：很多 Imter 協(xié)議和應(yīng)用依賴于端到端的應(yīng)用，包從源到目的地不能被修改。 （ 2） NAT 的缺點 NAT 影 響性能：轉(zhuǎn)換每一個包頭中的 IP 地址需要時間， NAT 增加了交換延時。 NAT 提高了內(nèi)部網(wǎng)絡(luò)的安全：一個企業(yè)不想讓外部網(wǎng)絡(luò)用戶知道自己內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，可以通過 NAT 將內(nèi)部網(wǎng)絡(luò)與外部 Inter 隔離開，則外部用戶根本不知道通過 NAT 的內(nèi)部 IP 地址。這意味著，一個單位可以更換 ISP 而不需要改變 內(nèi)部主機(jī)的 IP 地址。 NAT 允許內(nèi)部網(wǎng)絡(luò)編址的一致性 ：如果一個單位沒有使用私有地址和 NAT， 4 當(dāng)公有地址發(fā)生變化時，要改變公司內(nèi)的所有主機(jī) IP 地址，工作量巨大。由于這樣對外隱藏了內(nèi)部網(wǎng)絡(luò)的 IP 地址，因此，外部用戶無法直接發(fā)起到內(nèi)部網(wǎng)絡(luò)的連接，從而保護(hù)了內(nèi)部網(wǎng)絡(luò)用戶。 1）什么是 NAT NAT 提供了連接互聯(lián)網(wǎng)的一種簡單方式，并且通過隱藏內(nèi)部網(wǎng)絡(luò)地址的手段為用戶提供了安全保護(hù)。 3 第一章 技術(shù)可行性 和需求分析 技術(shù)可行性 NAT 技術(shù)