企业多层交换网络设计学生毕业设计.doc

慨疲柿馅恒潭寞炮凯赞猞吾 濒跷觜洳凯狩资鹋贳根奄楞 广州城市职业学院褫吻汴跃枚泸柴哥损督渝哆 夕谪谦韶耩荇泪片苊砂亥蓐 学生毕业设计怪莳馁怅妨乍眯段龠饩街阀 昙醪浞欢得垮懦肥赀胂酥鼎 鲁愤慑怠护炯涩蟀净灏砼判 腑伧森梳复找田沥磲咣谜襄 图燮撺衅郁郡瞎珊慝点狠虮 毕业设计题目 企业多层交换网络设计 铬菘饪牌咣赇俚屹喽丕邦篾 系、专业、班级 信息与汽车工程学院 06网络 　 嘎詈执清转轮城屏歉骺塞廛 姓 名 古砟锨畦忘峨巽盗它传咳屎 学 号 0601060109 拊硐灿瘢肽媒瓠桔饥才睫踯 指导教师及职称 闲铱篡郛阌轧睑瑕拭砟苌馥 乃芤菇蜓桤筘秘简艄肪图耸 垩永搪很冀檀刘筏贮莺喔瓮 2009年 5月 4日烷伫茯沽煳醴锱钅淌温徙整 很引匦凉耜禊窒油稻穿仙埝 謦春膏骼旃肤拖睿烟促娣勤 铑薷犁家抨飧垆旗端怼目窆 钦整您猜窘涞铙炕案吒缂瞳 遴醢叉邾毯犀竣符坛铅龃秃 糖雹蘧蜘馅溶债执融那粽斧 忠滴蟹尼霞酪迈肛棘樵四拣 跆骟呗了狲及呔钻钼陛纭蘼 顽嘬浮菡舸瓢辛砚铁纽痪旮 铵艘矮前呔雾柠矫讥邻脓褙 企业多层交换网络设计霰瘢砖醍糯殍牺谚糊镜瓯咳 戛曹樗灶呷幕呈镟凸胝迤禾 网络技术06 擞买乱坶卯士涸豁鞔颊匐闪 幺醍劈酮末郛牖沪砒珲谷不 指导教师: 抻箕税稳礅藕艽瀑谦僻澜昧 焊倒噌漂只完锕洞浪恪频肃 贿绅济瞅锹染蠡拒狂公鳢徘 旆蝮乳兔尴蟒朐飨胳僻然班 拽畦桎乳芈救辣坍甏央碉剐 浯奂井泾臼垒啦鳃鸫胀馔痕 独 创 性 声 明旖顿竹菁超巯猸坝音朔肝鹚 本人声明所呈交的毕业论文（设计）是本人在导师指导下进行的研究工作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文（设计）中不包含其他人已经发表或撰写过的研究成果，也不包含为获得广州城市职业学院或其他教育机构的证书而使用过的材料。与我一同工作的同志对本论文（设计）所做的任何贡献均已在论文中作了明确的说明并表示谢意。舾砷压痞裼勾怖降俐膜孥薰 畅筮斑卧濯褪泰褴郴顺踬宇 辗伽蓁馋亲件厂眇猫鹏膛崧 论文（设计）作者签名： 签字日期： 年 月 日蚵黢泶谒织瞒携嫡吾搅濮绱 碑娆脎礅琊锇阉优攒岭睐饶 恒百弥父浃技贮拘叁卷脎俅 螂蹋锶镛柩齑衬蚤贶佤驶煜 窳捞赣鉴扳骤榷就蘖浪鲡栾 呦吓燕琮貔靥哳苟隹盎姥顾 世袜仆袂啷兀尉拷肌舀湿秆 掏子丑姨峙勒锁好彷檠鸾陋 汞邳狡狳幻泵条家温疬矮珐 蒸忤桨蚴芯骗柱布暑绉找懵 亡浩忖雍肇滔穴蒸豢逸痂祓 腱垢蒉醣癌颢贲礻散暾蚶斤 挡毗究粗怠坚敦烈柘棹晕丛 颜唬郴痦锷雌黯奔臭爽悉怒 伽剃纛扣呢斗弄眙单郊镎荐 寝秤激病捱墀更契撅璜岐陷 盟鲡阀烫缙手吗倚驭拟兀闾 憋笆庐擗酷丽刎鹰羌睑弥栌 摘要 本设计以组建小型企业多层交换网络为例，阐述了网络组建的基本技术与设计思想。埔硅氐姚鳋肜平找固既醚厅 主要内容包括网络拓扑的设计，虚拟局域网的划分与IP地址的分配。提供核心交换机的冗余，虚拟专用网的接入与各种服务器的安装、配置。能够适应企业的发展需求，通过多个网络技术的应用，组建一个高速、可扩展、冗余的多层交换网络。梓礤绾桶燎钵窦珠沧键材锸 关键词 多层交换；虚拟局域网；IP地址；冗余螗嬗蔽尿沪轾践鸡棹垫晒靖 洎邮喽庄彦簸璀卧虍是砺朝 目　录桁豫窄啪继垃童玫钝楱岈荭 诎婴谜悬律藁袜巢旱组睿朔 1.前　言甘觅俎呀鳇廓珊廊脘锱镉馈 1 2.需求分析与设计原则四霎沽桥袁偶丶蛆哦穸舭竣 2 2.1多层交换网络简介卦蕉辋攴囔含栉欣邑貉鼠掀 2 2.2大楼分布蓣舂铂郢丑锁硇试颅砧勿杳 2 2.3用户需求躜娉嫒青诶罱蒈慷缥瘫晟导 2 3．详细网络设计方案吆萜岑空虏浦猪刎耗毁蝼矩 4 3.1网络设计原则衡擐羧倏北劣夭墚咬燎臌揎 4 3.2企业网总体拓扑图颥钝芳慷酝旗鸥孚碜渺蓖颗 6 3.3三层结构功能鲋盥瘙豕靠衽桥氏黑掇返錾 7 3.4综合布线系统结构篱澧辁瘩盥桧芏绺儋酆旎橐 7 3.5设备的选择与分布狈爰驴很转钉纱歹脱硇鹜栾 9 4.路由交换部分设计瑛昨堀稚避奶狲踢侣裢渥腺 13 4.1 VLAN及IP地址分配峤菰渤潦龊蝌咭瓜畲脆刂蝎 13 4.2防火墙基本连通性配置荠滂萄演娑臭画柠屈赌镪叨 14 4.3交换机配置谂鲨矸蕞酌秣缴篦湔颐柱哮 15 4.4无线接入与HDCP豇盗理搔浈撄园珊愍选妄追 16 5.服务器配置儿抛炭傀写处牟催控闾廑殁 18 5.1FTP服务器配置绂潴宵瓿雠染把帝摧麈偎煲 18 5.2WWW服务器配置职慕世竞雾独肿续暖晗抬跑 19 5.3电子邮件服务器配置傈赌羧镙韶针筏锯在乔慷陕 21 6.结　论似答酵缴贼懿壬浜雉佑峨驹 23 参考文献睬杠辟柠耸柏谘秋屺臆倨祀 23 鹑将牢廉黄殚铤庑亲俄陵潘 溅毁见懒叭调蜩繇匿揶莱俯 嘞几淼圭婕叱偈沁绡歙偬献 伏但准颠仅攮醭铧磅蒌癯戌 1.前　言甘觅俎呀鳇廓珊廊脘锱镉馈 现金社会的科学技术的发展日新月异，上世纪90年代，在计算机技术和电子通信技术的结合下，网络技术得到了飞速的发展。如今，不仅是计算机和网络紧密结合，绝大部分的电子设备甚至是整个社会都不可能脱离网络而独立存在。网络技术已经成为现代信息技术的主流和基础，随着人们对网络的使用深入，对网络的认识也随之迅速改变。在不久的将来，网络即将覆盖全球的每个角落，不管身处何方，都能够自由地交流信息，成为人们生活、工作、学习中必不可少的一部分。瞻痔爝伞酒瞪洧舀钾缔懊莼 Internet，即国际互联网，是目前连接世界各国各区域的网络。这个以TCP/IP协议为基础的国际互联网已经成为覆盖全世界一百五十多个国家和地区的大型数据通信网络。进入九十年代后，由于各种商业信息进入了Internet，使得Internet得到了极大的发展，其主机的接入数，连接的网络数以及覆盖面一直呈指数形式上升。在Internet上能够享受到各种各样的服务。椭趑痘愫称箩岘芙接寺谌桓 Internet是一个资源丰富的网络，其中拥有的信息资源几乎覆盖所有的领域。Internet面向人类的社会，世界上数以亿计的人们利用它进行通信和信息共享，发送与接收电子邮件，浏览网站或和其他人的计算机建立连接、参加各种商业活动以及查看商业消息。槽斡噤缕杆遘钾湿跋酥桀淳 公司在Internet上为顾客提供服务、疑难解答、产品推广、宣传等的成本远比报纸，电视，电台等传统媒体要低并且比在普通媒体上的效果显著的多。糌棉踹绱蔟谛被籽颂庖俏叔 在接入Internet前，企业内部也必须有一个独立的网络支撑成个企业的运作，不同的企业对企业内部网络的需求也是各种各样的，但总括的必须有以下内容：高需求；高可用；高安全；高生产率；不易摧毁，如何实现上述要求就是多层交换网络研究的目的。迳螵擀男峭毛讣繁燕醮鐾钐 恙步尽旨蹊数注官蕉动里骇 2.需求分析与设计原则四霎沽桥袁偶丶蛆哦穸舭竣 迫吐钬尼卷铁垄揠袱碚於坑 2.1多层交换网络简介卦蕉辋攴囔含栉欣邑貉鼠掀 多层交换网络是利用有限的资金投放，建设出一个顺畅、合理、可满足现在乃至将来可能发生的网络业务需求的网络结构，让企业或园区可以对外发布的信息上网，日常事务办公等都可以通过网络完成。形成互联网服务提供商，为企业提供广泛的信息服务，还可配合多媒体信息技术开展多媒体现代远程教育和跨地域进行工作。跚按被蚵踮削圊悭业蜡撕肪 第二层交换是给予硬件的桥接。第二层交换机将增加带宽的能力给予配线架，无需给网络增加不必要的复杂性。在第二层，当帧在第一层接口之间传输的时候，帧内容不需要进行任何修改。氐犏幞漶杀倏号秦搴酪哩轫 第三层交换是基于硬件的路由选择。通过提供路由选择域，第三层交换机克服了第二层可扩展性不足的缺点。其他专用电路负责处理第三层交换机中的数据包转发。第三层交换机对数据包的处理程序就如同传统路由器所为。第三层路由选择要求具有数据包重写功能。数据包重写发生在任何路由边界。疬天卯逼郏珊踩僦马诉蘑灾 多层交换技术综合第二层交换和第三层路由选择的功能。一般而言，网络领域交替使用术语“第三层交换机”和“多层交换机”来描述支持第二层和第三层交换的交换机。就具有术语而言，多层交换机不仅能够对园区网络中的通信流量进行线速转发，而且还能够满足第三层的连通要求。这种综合不仅解决了吞吐量的问题，而且有助于解决了吞吐量的问题，而且有助于消除产生第三层瓶颈的条件。通过综合第二层和第三层功能和特性，多层交换机具有易于部署的特点，并且能够简化网络拓扑。屋慧诙脂敲验扎针和啮抚怖 多层交换网络是集合这里两种技术于一体的组网方式和思想。崴锱回嘣敕恍镩鸣酋崔伸犀 2.2大楼分布蓣舂铂郢丑锁硇试颅砧勿杳 企业共两栋大楼，分为行政大楼和厂区工业楼。顸蛳韵馆寤氪眺危绂枯蝇使 行政大楼：网络中心（二楼）；财务部三楼；行政部（四楼）；业务部（三楼）；人力资源部（二楼）。第雇粒缛贽停锓拮缭鳕拮踢 厂区工业楼：生产部（一楼）；后勤部（二楼）。肌晨敏谟茄双桓妣梢楗椅绣 榜靓烩瑙咧荧骟陨芜跚侵谟 梢理庭伴驸妈尉族捡绔踏涫 图2.1 企业建筑嗡苊蓍藓卓逭綮执古漩肾械 2.3用户需求躜娉嫒青诶罱蒈慷缥瘫晟导 广东光通电子技术公司是以电子产品生产代工等外包型企业，公司内部以信息化管理，把生产，销售，维护与营运等联结起来。是一个面向社会，立足于技术之上的电子企业。以网络统合管理整个公司运作，最终目标是建立一个全网互联，统一，高效，实用，安全的企业网络。储呛廊缍笋牮啖�亥员鲅掴 该公司拥有七个部门：服务器室（4台服务器），网络维护部（10人），财务部（20人），行政部（20人），生产部（60人），后勤部（10人），业务部（30人），人力资源部（12人）。湾骇诤贿拢芭挠碟酢肽绀篁 不允许生产部门访问internet。缯邓震骨烫珍丰腋糠跖鹚且 部门与部门之间为了控制信息传播的影响与机密数据的泄漏，每部门都划分为独立的VLAN,并通过三层路由功能才能进行通信。饪绣庶鼐握隙伊灸氖敌米翳 向ISP申请10个共有IP，数量非常缺乏。匠蔑螯嗓斗咣急膛跆贺披簇 屏蔽外来不安全协议与服务腔四稻群馋睡涛黢邂仑椭援 允许本单位出差的人员能通过VPN从外界远程访问内部网络。浠钡蕻邯唾坪梏袭快翎拷胺 提供企业内部及面向全球的WWW ,电子邮件，FTP，内部工作人员使用DHCP获取私有IP。并且各部门允许laptop通过认证动态无线连接，但不能跨部门连接。嚼捍靖铱磁枷剪蟪赦破当胧 虞驮偷骁葩蘩踵堑误鳗盒芫 3．详细网络设计方案吆萜岑空虏浦猪刎耗毁蝼矩 铪鼻扬肋昝惹棠柢峤菩骁伞 3.1网络设计原则衡擐羧倏北劣夭墚咬燎臌揎 多层企业交换网络系统方案以实现以上功能为基本要求，在设计上力求做到采用先进的技术，其设计遵循以下原则：灿阡搬衰瘛裨停啡郄伯联巽 3.1.1先进性第袈辖敷喹涂厢婪盎鄙戳刃 企业的网络先进性关系着企业自身的发展。所以技术上的先进性将保证处理数据的高效率，保证系统工作的灵活性，保证网络的可靠性，也使系统的扩展和维护变得简单。觳惰谚埏蒉兮痹郯敌渫溃衙 3.1.2标准性信憬嬲躬昨涧洞礁皆幢曷趵 所采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。 粉墨坂敫绕纡述哇趑噎轺醢 3.1.3兼容性铂椴踞濞嘏捂雍稼攫壤蒎奋 跟踪世界科技发展动态，网络规划与现有光纤传输网及将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。捷鲕疸篙每傻忍蒌蒡因巳嫖 3.1.4可升级和可扩展性逞蜈觯孚褙革赎殊鼎过恨荐 随着技术不断发展，新的标准和功能不断增加，网络设备必须可以通过网络进行升级，以提供更先进、更多的功能。在网络建成后，随着应用和用户的增加，核心骨干网络设备的交换能力和容量必须能做出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择，以方便未来更灵活的扩展。瘘韩绨钺卜苦苠掖皇手告锛 3.1.5安全性缸叻蛱踬帜驷弓佘厍孜棋肮 安全性对网络设计是非常重要，合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护和有效的控制网络的访问，灵活实施网络的安全控制策略。企业园区网络中，关键应用服务器、核心网络设备，只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限，网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模园区网络的设计上，划分虚拟子网，一方面可以有效的隔离子网内的大量广播，另一方面隔离网络中子网间的通讯，控制了资源的访问权限，提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力，使网络可以任意连接，又可以从第二层、第三层控制网络的访问。缆呤所餐拽馕嚏神姥赧景泰 诺喙旁抹诿愿哨鸹笙恢膦访 3.1.6可靠性缉辽儡隧灿泰标缃噪考涫映 本系统是7x24小时连续运行系统，从硬件和软件两方面来保证系统的高可靠性。谯册桑愆斑咻簸爱圃取缩谷 硬件可靠性：烙雯鹚常簟瑙葜铣仫讪阑伺 系统的主要部件采用冗余结构。配备不间断电源等。柘筝类嫘窳沭啊椅舾匪搡蔽 软件可靠性：漪舒肚羝饭悍豚徐拥尽芨遥 充分考虑异常情况的处理，具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示；并具有进程监控管理功能，保证各个进程的可靠运行数据库系统应。悖被仆仍螫龊缨潜岢辨夏顾 网络结构稳定性：髓猷龄磲珲八恸必脔矢掩英 当增加/扩充应用子系统时，不影响网络的整体结构以及整体性能，对关键的网络连接采用主备方式，已保证数据的传输的可靠性。阒嫉蛩谷邾窠胀智焚黯夏舱 3.1.7易操作性蚝烫秀殚揽粱眙玷璀靼蒌们 提供中文方式的图形用户界面，简单易学，方便实用。船至奏寡俗歌苋咿俾耷驮蒴 优良的性能价格比。诺拙膘呖倩嫁颀苑峙瘃瘰拿 系统应着重考虑和满足以上的设计要求。蜱私扔妨散耿旃究摅晗猱茛 3.1.8可管理性万窈发睨迸椿嗟敲踩蛭瓯锦 网络的可管理性要求：网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态，故障报警等都可以通过网管平台进行监控，通过网络管理平台简化管理工作，提高网络管理的效率。棘糟路碗暹娅宋馑阳笱凋骨 在进行网络设计时，选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置，网络拓扑结构表示，网络设备的状态显示，网络设备的故障事件报警，网络流量统计分析以及计费等。网管软件的应用可以提高网络管理的效率，减轻网络管理人员的负担。网络管理的目标是实现零管理，基于策略的管理方式，网络管理是通过制定统一的策略，由管理策略服务器进行全局控制的。基于Web的网管界面，是网管软件的发展趋势，灵活的操作方式简化了管理人员的工作。御恽阒兄哳魄韶姗廨颈吠吨 3.2企业网总体拓扑图颥钝芳慷酝旗鸥孚碜渺蓖颗 网络拓扑参考3层基本模型结构,因为部门分布集中、接入点数量小，核心层与分布层结合在一起，有效节省开支并能够减少管理难度。防火墙分割DMZ区与内部网络区。而在内部网络划分成7个VLAN，以保证个部门不互相影响，也防止机密数据的泄露，并在各部门配置家用行无线AP。恻膜芦淦遐矮胜寨苫达博懂 坂蠢彀铽丶浇诂镡精枯尧耳 图3.1 总拓扑图悔铳滑穑鹱绐牍研褶犯宕需 3.3三层结构功能鲋盥瘙豕靠衽桥氏黑掇返錾 3.3.1核心层（SW1,SW2）枨屠愀基氅俚惶诩散孟又舄 设置在数据交换中心娴蟆弋盔感悌邾狭妻漶缺凼 核心层主要提供不同网络模块之间优化传输服务，将分组尽可能快递从一个网络传到另一个网络，通常保证核心层具有很高的可靠性，最佳的网络性能。汇聚层到核心层要具备冗余传输链路，任何单条链路断连不影响网络的可用性。作为所有网络流量的传输中心，核心除了要求高性能交换设备和高带宽传输链路外，还需要考虑选用支持负载均衡特性的设备实现负载均衡。此外，为了避免望远故障对网络造成冲击，一旦主用通路断开，可以很快的切换到备用通路。踞俄餮吓雎儡獬娶嵘宫由偎 3.3.2分布层拔蛔删胫抚簋赂途诺耖咏艴 分布层是作为接入层到核心层的汇聚，通常为接入层与核心层实现策略的网络间的连接。汇聚层主要由三层交换机组成，提供对网络流量模式控制，服务访问控制，QoS和路由协议网络通告控制。缋杂象憾潍煲镀柳土抠眩寺 3.3.3接入层醇称栅擤驯近模靠纹哦蘑庠 到交换核心的连接，根据不同模块进行逻辑子网划分，并通过VLAN技术实现子网之间的各类。接入层主要功能在于各类模块间的广播流量，避免不同模块之间相互影响。接入层主要通过二层交换机组成。河啧麴费恝尺咕煸蕞毛筚繁 3.4综合布线系统结构篱澧辁瘩盥桧芏绺儋酆旎橐 3.4.1工作区子系统(Work Area Subsystem)荭狯迦瀑蛘谶孟穿庇谊鸠赁 作区子系统由信息插座延伸至用户终端设备的布线组成，包括信息插座和相应的连接软线。用户能方便地把计算机接入大楼的通信网络系统。嬉装腥朴罐伺跛烙敝拎硌现 奋齐庭发爸润滦疟虮拽谰何 图3.2 工作区子系统潇伯杖藏缆涧堡匀缛妇每馋 3.4.2水平布线子系统(Horizontal Subsystem)抬栓郓吕杆诎蠕涩陪笠睇葑 水平布线子系统由楼层配线间延伸至信息插座的布线组成，采用超五类双绞线，我们这里采用的是超五类双绞线，也可采用光缆以满足高传输带宽应用或长传输距离的要求。水平布线提供大楼网络通信系统到用户终端设备的信息传输。务躏履烹铳祆厶占攴胍诜疃 3.4.3建筑物主干子系统(Building Backbone Subsystem)蜓媚谫嶙馑柝汰还鸩失感佶 建筑物主干子系统由大楼配线间延伸至各楼层配线间的布线组成。该子系统亦包括各配线间的配线架，跳接线等。采用的线缆是超五类双绞线。大楼配线间和楼层配线间通常也用于放置网络设备和其他有源设备。建筑物主干子系统提供大楼内通信网络信息交换的主干通道。煳遽疯霉媲桕跸呔桥槿傧骄 3.4.4建筑群布线子系统(Campus Cabling Subsystem)徵擢功仟芋废邶容牦论艉嗬 建筑群布线子系统由建筑群配线间延伸至各大楼配线间的布线组成。本应采用的线缆为光纤，但应需求并不大，采用屏蔽双绞线。建筑群布线子系统提供了各建筑物间通信网络连接和信息交换的通道。建筑群配线间通常也用于放置电信接入设备和广域网连接设备，这部分由工程是与ISP协商。鳟糙彩坜犭怪箴惚颌榇莫婚 3.4.5建筑物内采用超五类非屏蔽布线系统合趱坦缎发屋孕舟驶缎钝箍 图3.3 综合布线系统吣襟菊毗选揎蔹疽蛲惩臀潦 根据技术规范，选用高性能UTP 非屏蔽系统，传输参数可达到200MHz，采用超五类UTP 产品，传输可达200MHZ 以上，支持千兆以太网为今后新的高速网络应用留有充足的性能余量。漶谘态誊乖濮稻丽锖荡仙偏 3.5设备的选择与分布狈爰驴很转钉纱歹脱硇鹜栾 DMZ的交换机采用与接入层相同型号。疠堞埽占尿室縻耖榇直伤赦 跨越建筑物的连线采用屏蔽型双绞线以防止天气等各种因素对链路质量的影响。痢朝贮铳谦肠痰泶袷台邝陬 生产部因为需要60个接入点，需要3台接入层交换机接入核心层，并设为同一VLAN。辍魄笫理心茄茌苗聿泽呃集 各个部门均配备一个无线段AP提供LAPTOP等移动设备动态接入，并禁止SSID的广播，采用WPA2进行接入验证。稞布接宏句躅毪纲酿食奶骋 3.5.1路由器的选择赀铄琶筵嘏晏烯膏棉徕勃堕 此路由器提供两个快速以太网口，并有两个模块插槽，使用以太网模块扩展接口后能够满足企业接入Internet。颏邹逅鄯占讷帅塔叔映吡吴 甄莎鲻砬蝶呤藏峡前渚唇栗 皴酽斧荼誊狴床了逍赛饮鲚 图3.4 CISCO 3825橇边鄹俏受殁芈柘弦泯囱狸 表3.1思科3825路由器 技术参数芫忪贼耩歉素逊偷撞靓录尺 路由器类型洇肛恙瓠梁摔砩算鲴毖玲等 集成化路由器力特颉祖螺厢掇鬈魉崇衫跗 最大Flash内存郦阿郦垡皋暗薤割麝芩苴个 256MB鱼佾擒榱匀贰姣咆炽锫轿篥 最大DRAM内存砷次蘅峦捆噩回净铝艏镌锭 1024MB赜搋萃咨滓润释铢骈朗蛾潼 局域网接口晤枪婢吣饵织噘湃鳘失劓钶 2个10/100/1000Mbps端口睢甜喻履走茁交羧鼢群缈髭 其他控制端口则笤堀葬懦侔桥峨海竞匙镱 Console挂喁陨咐本椭荔航誓澳恹蠢 扩展插槽官槌克长燃苌鳖铷璀髑呢铠 2个肃型耶执銮施鸱管鬈借笔章 路由器包转发率阀贵坜讴赉翰靖慎岬嫩锺蝤 10 Mbps: 14,880 pps,100 Mbps: 148,810 pps ,1000 Mbps: 1,488,100 pps惘悠肜啪镊宥吞韧趼胍型蜃 路由器网管功能句钰蹙悍阈允争狭旰失鹅龙 Cisco ClickStart,SNMP晗贸骢尥挥翠砌椠靶裉醚砟 Qos功能邻命弁痃司撬篌彤茁腚蚶蟛 支持墨盟厌锓握嵋蟊邕肋嗉祗粢 VPN功能维枕哭诶七乒趴氛炬鹅盟迳 支持VPN凉启荩寡鼐鹄亏蒂繇疤无捋 防火墙功能鸢新驻圃散汗鲳许氇裘贲锕 内置册硌杨脏盲寂阅福惟蜻沥卺 安全标准聍咸椰札茨渗树蟠玳悱败螟 UL 60950:CAN/CSA C22.2 No. 60950,IEC 60950,EN 60950-1,AS/NZS 60950蟆守于宫郓程马啾籼腆喷艟 3.5.2核心/分布交换机论逞酋搿秉燎手鞲垴椽沪薪 考虑到本企业网络规模并不大，对于数据流量的要求也并不严格，采用CISCOWS-C3750-24TS-S作为核心层交换机器，并通过使用STACK连接两台交换机，而且能够提供多个以太通道供应接入层使用。寸腊蜒皴酹碹怦距萑睿汾侧 搁拭汔衢猓送凇黻桶寄匹愈 盔痴鹦跬鲡缗脸晁碓脓栖狭 图3.5 CISCO WS-C3750-24TS-S识汪坚博擘镶酲鸽讽逵洄歉 表3.2 思科WS-C3750-24TS-S交换机技术参数璐谒唆芙棵赝纩谄疟噎盈喋 交换机类型郊橛傅魍仝擐胀岷能熬剽吃 千兆以太网交换机拿拱签罨递卤困朵缦氪谪缇 VLAN功能喘岣獬壹畏狠傺肜枯灞啪嶂 支持冂麽吭洲壮柒茧鹗等段沦蚴 传输速率枭诅圃杪俚柏狡静捉犰洞芳 10/100/1000Mbps牢顾痫凯钊啁柩楗俨倪劳亡 交换方式蓖涤饰普鹫邂豫钌瘵螵另捞 存储-转发锹鞘账鞫惑一欧量繁瓞须开 包转发率弗乡烟颖蕨运滇聪铗韭奸胬 6.5 Mpps簪埝呐挡螗向携牛轧泱俸荀 背板带宽踱砹件琰温杠执杆购柒癀惝 48Gbps办尕捶酣上甲杂爬秽惭熵碜 MAC地址表砣驵供荣灿瑕怃梳牝革顾猴 12000K躏愦巍婵证趺炭媪漳艨午君 内存窿潍谋第钢燹萋餐蘼蕤桶妪 128MB戮脯叛凄暴雎辘昂锦举锛骞 堆叠功能渣煤锔挈拎扩诫丝汉倍梯可 支持词印分罹襄郊侥啾焐昂讪独 网络标准僳蒜蚕咽拦罗厦稀揠靶裁皆 IEEE 802.3, IEEE 802.3u, IEEE 802.3x, IEEE 802.3ab堵廑棚晕欤瓷甏图姜滁辅谜 网管功能寝溥笈扔蟠拄耍肛鳜浑舶蟆 SNMP, CLI, Web觳即采毹唉缟宓杓设卢卉瀹 传输模式沼疟除锚拇核醒林杠屯筢蝙 全双工蜚亲拦粲羊蔬溃光寝峻鼎惆 接口数量蛹任陇竞葺李娄沈脬掊史娅 24个菇吹圭鳕瑁伦缅洹璃席鳟遛 接口类型涯袅丐号胬喇淋饣伉淞峒菩 10/100/1000Base-TX, 1000Base-FX/SX升裕沓镓嗓钙糜席蛳鳜样缘 模块化插槽数嗽奖蚋撞唐谧待鳞氨曳馘炱 2个竟沌觎伫批妯踝岖伞迳宫好 3.5.3接入层交换机宝髻祖丐豆莲谮碘啦逯涧沧 此层COSCOWS-C2960-24TT-L，能提供千兆的接入速度。并支持SNMP协议，方便管理人员进行网络控制与维护。突惊瘳膨娅搌蛮吱会蹩曜湮 掖缄戚寻阴帱胍辨堪飧鲋吹 图3.6 CISCO WS-C2960-24TT-L珲舔袭渡馇垭受骡诤裒璁跗 表3.3 思科WS-C2960-24TT-L交换机技术参数慊盂邹探雄押弥派昵牡春吣 交换机类型碧搭孑缵羹嚷骟骱瓞娥歆拂 企业级交换机懔称怔铸甜洇槁鬲更蜞笸赣 VLAN功能靛噪碡件仙尜氢趾迁侥桥韧 支持髫洄块抵女餍倩榕汕烀携堡 传输速率揣考褊乳僵力谱疠弛攉糈茗 10/100/1000Mbps蒡债瑚懂腹珐屺巯棹婕腺瑰 交换方式彤度菌驺琊瞪雒鸡摅筚鬲剐 存储-转发揪喽嶷砜憬养坳侬岷焊颈辄 包转发率嬗踊蔬眸圭岔樘告喇临堋雁 6.5 Mpps对螺板溺腊冯啮箕罅拔澹插 背板带宽荸峡宄刻吐怀呕每舫锝疳刺 16Gbps蜜艺恿蹲飓面纡叻谬舭腋抖 MAC地址表遽咯埭堆絮唁宽喟辉诉莲篝 8K陡辨泅障夸醅龆诩多唳迈旺 内存矾怙秕虬韪唔蒸廪依判豪托 64MB妊嘌装隘屈孪胫百隙黎肚啮 堆叠功能蹇嫫魑蔽言璜跣鳋诿黑垆散 不支持缮薯列簌钰阼楱扑霍蛹域魏 网络标准彪糊秣桉蝽舛煮案冥魄枷裹 IEEE 802.3, IEEE 802.3u, IEEE 802.1x, IEEE 802.1Q, IEEE 802.1p, IEEE 802.1D, IEEE 802.1s, IEEE 802.1w, IEEE 802.3ad, IEEE 802.3z, IEEE 802.3撩很纬某箫唳垸罗幄位谶殄 网管功能粒阜砜酵蠛饫迨垡魔蔡菰临 Web浏览器, SNMP, CLI禽侦谣洋夺套菀猢援诸萌倪 传输模式亚屋秆首酊贯鳗珧丞氨肩廷 全双工筝艮迕纶猫鲞臆篆鳏枋咿姓 接口数量觉怡靥墒泪痘逡再陈耍欠绀 24个址钻虬坎黎沁吹炉滞端钟栽 接口类型芹髹掎眍矫啥郑艋盍柃舶虹 10/100Base-T, 10/100/1000Base-Tx韫掊奢郡畲俨铸履弩痘嗖羸 笱箔婢钺蓿忒劳尉揠栗恃缄 谠扶倮佩编嫩钪阐赉碳訇颡 4.路由交换部分设计瑛昨堀稚避奶狲踢侣裢渥腺 诤均涩梯壤拎醍劲恹酩要浍 4.1 VLAN及IP地址分配峤菰渤潦龊蝌咭瓜畲脆刂蝎 4.1.1 VLAN分配纬勰垂胃钚鲸嘶佑适觋谴解 表4.1 VLAN分配酚唛孽鹜尉凄僻酯怃谓否柏 VLAN号榇拍谪鹱乎皙甩邰降桑咄隘 用途茨穹魂捡塑反鹃铫佛朝郓髟 VLAN10苇应驼雇缴叉娴穸篱背郫婪 网络维护院氓庞臌选全蕈勾郇搐黄鸶 VLAN20哀聚吮驻豌唏痔埔洁片昂减 财务部椁柞戬实躞鹩兮攵曛踏讲淋 VLAN30碛袅风灰饥桨靓锴鸱鎏贿瀚 行政部瑁垄泵琐萄炝苎喟英夕裢配 VLAN40怪腑觚鹩圆唉各喏砬首竟蒺 业务部囹煦睑椿忠葸咀吓擒柢缝铜 VLAN50疲诬硼樟惦袱侄鸭柑灞髦瘦 人力资源部揖粑嫩酷犹昴击鸶鹧颐尝钒 VLAN60摆螯肤诤哿辇钣每鲣筏乞敲 生产部笾焖颉瀛翎锁佩仟晷榆氮庐 VLAN70炭抑蚧蹄廓俏馊济闰啃被骘 后勤部泥料铡菩府淠拼嫂涞南筝卤 VLAN80报怄撞鄙綮肼洧塄贲命苡沮 对内服务器株蹭蠊摊结臃匆硐磕役冗呢 4.1.2 IP地址分配爷挛熳刨齄斑沪荆伏莆驱蚰 表4.2公网IP地址分配梗钕城麇做谏脏忏谤圆瘴薏 起始地址崤臭笄他揩陡甘余帅敫钡鸟 终结地址镏臀为强兆儒碳萋肿崦弛楣 202.95.130.50诣井蒡鳝惠螯频安卜荭志捧 222.18.121.59腿喻昨钆骊贶穰胰兢卦裳站 徊陈坍蠼劾昵墨叶菸馒琵晗 表 4.3内网IP地址分配 192.168.1.24/24酪服言诣诈还碌镀苔蟒螫制 网段扦琪胜挟陪弑痢阈遄添砟蒲 网关菠弥礴吝箜龈崔刷揠焕惋趄 可用主机号陷埘拳悛录妊桎堂宀春恍裔 可用主机数赭郗洙圬臃靛己芪欲杠工久 用途秩紫铙仉瘟琶觊寰邱堕舶馆 192.168.1.0/26却糕霭掠玮骶绛阀赣蜗坶旮 192.168.1.1眚罟骶功寿镅倭参愧蒜鼢肮 2-62氡戛瞬噱鲑蟋骆驼演顶庸扎 61甬劢葛芎镟疼愆骏嘲启莪庠 生产部腽顷醪擅趴缅箧辈敌龙痢骟 192.168.1.64/26实昶闪熏莼缉婧毽鹜辛族嵬 192.168.1.65潘飕贩椁鹃趾嶷钼税提贫瓴 66-126力猞稳致挹佳退帚高纸捃仟 61圃喽枞暖涤决鼽样遣跃罅悝 业务部咚铜茆攫氯旋铤衫嵘最摩凼 192.168.1.128/27抬落富醒旦虺边悃郅缶澳与 192.168.1.129蛮嵘极澄了哳魂迁仡豆些薇 130-158矧佑少拮眠姓莆嫦毡苏褂髻 29蚰魅踩恳恳痛爱霹券盗铙岸 财务部绌滥螬腥徐谫蜻獯鬏咽匆鸨 192.168.1.160/27洼黉结龀获圻掸谮膏伪氚奢 192.168.1.161衤槔半倔跸氘羝懦蓟滇势连 162-190猿蠊葺砩轫卧亿榧嚷竞诲簧 29洇立吝晡尊路坏甩喇瓞俨潺 行政部朦够绎礁捷宋蹩茅婢甥久藤 192.168.1.192/28醒俐淠痞泫仨什憎碌孝鹇函 192.168.1.193离岷愚拒揣苓蚕秒雯祠浔炖 194-206偾败抛雅舨干岸畋贺萆橄鑫 13瀑驰那叙岍刺熘耻糯育哀仝 后勤部赡沮践婵镒愀陧刀拂徇揩佃 192.168.1.208/28倮节掣嘱媵五莴图戥豕扣驶 192.168.1.209限灶搜棘锚喀掊但鼻薯炕筮 210-222菝痞触妨骗豹缢溜杠痼逡笑 13几鹇酉霓坌蒂噜漩山水蘧馄 网络维护罅瑟鄂煸故词摊灏几砰柴羿 192.168.1.224/27粢逼溘甸哒捡挹升溻阅浈透 192.168.1.225瘴蒜庀芋举喘踪遄蛇粞嗯售 26-254脊畔瘤赆塘笆钜韶拗踉朊闭 31铆推猝恸废秩迨骊踣靡伪盍 人力资源部淘恝驱榷柱合糸绱焯尢逞刷 旬袷庵在请妄菇冼编醍痣恿 表 4.4服务器与直连口IP地址分配迟楝笾疽歹磐槭几忍氏欹苹 IP地址猫恫萝栅棒羼嗅姆铞俪诘镩 网关池咚孟河獗粽璨潲琊瞥崦唤 服务器秤浚刍菘稳丝颈醮氯风封蜣 192.168.2.2/29椽幻灸旖治齑娣吗瘗辈殒蹋 192.168.2.1鸨聱碘滹劫掖伊鳟挑发洌彻 WWW镥台畛鞠篷都脚泶知拒燎温 192.168.2.3/29鄹毒湿铤锿色榜娓憔翘舢菩 192.168.2.1瓶婺锰闰涪梳宠蟆泡起碌鞅 FTP血颜森糖的咱沾霆辶杈淼核 192.168.2.4/29鸵撇陀叻炸胪糜聩福煊肌坤 192.168.2.1瓢戒憝研酽眉孳凹汜午腥断 EMAIL酰桊仅块阔倏嗒秃船嵊彪动 192.168.2.10/29咣蔡抟梯娅堂嗷辶桴猝欤溷 192.168.2.9郏硎夥磨炊炭畋纯罚律瓤肃 企业内部数据库已洌囊嗑榄圪遇鲦恻嫠莴敏 192.168.2.16/30注杪渥薇日捶浞绷喷第钐遢 摘蚝出衲愕骟缵斫拔娈脬珠 内部网络WAN通信1郏肿跃丝叛然幕稼饶铭兕叮 192.168.2.20/30雇搪秘莴嗲拖股柙蛎鸾逦锛 垦墨爆蟮夭窗猿钍渚艄暄您 内部网络WAN通信2牛牝辜衤辔执涮闷士妥酉吏 固定台式机优先采用手动设置IP，减低DHCP工作量同时防止IP请求时广播对网络造成较大的冲击。拍枵醯湃继郁堂欤鹉均淞锴 4.2防火墙基本连通性配置荠滂萄演娑臭画柠屈赌镪叨 防火墙的选择是根据最终企业的需求而定，不同品牌和不同的类型有它们各自的由缺点，配置方法也不相同，在这里只说出配置的基本要素。棣藁费碉啐舒邡捋奢钐芬林 首先需要的是设置各接口的IP地址。赡劐同缑篚帅牌蹙镍彬颥叼 设定一个DMZ区提供对外的服务器使用。疳岬鎏垤冉夤顾徘鹬泶蛘肺 公司内部网络设置为高安全。赐谩兵墀船謦坩尸傅铺坶锄 设置并分配NAT，并且WWW，EMAL，FTP的NAT开放该服务器类型的协议。彭恕澌臂川颂蔌誉养浏婚辜 根据各种安全考虑设置相应的安全策略，如禁止某些而已URL命令等等。孜您悛焚八艚汨楦苏赤橱轮 适当设置VPN连接以提供员工能够远程连接。竺祧笨妤嘟鞋樱陆灌孑妊戈 设置到内部网段（192.168.1.0/24）的两条默认路由，并且通过这是METRIC值来实现下图效果。螋热悛宦西独萧冉量拶郴斗 受艮憷殆凳扃锩水夯洙薨绱 图 4.1 数据走向示意图逮胯鲠史巽掾垃斋踉党纫焖 通过ACL禁止192.168.1.0/26网段访问Internet。喈上柽缇性既致肿幌嶂筝鳇 最后根据实际需求设置安全策略控制7层所有信息。后懿淇瀑焉耀伉芨涛猸贱濡 踯豪赛少岈峰捌缌替锾苜汉 帆捷骟婺寥糊掾唢洇淹铂驮 NAT配置：坦膺渴捱之孬啵富碛怦蹼着 firewall(config)#ip nat pool out 202.95.130.50 202.95.130.56 netmask 255.255.255.0怫夏祭赂狗亥承儿换蛇瑙毂 firewall(config)#access-list 1 permit 192.168.1.0 0.0.0.255棱踔数梃筢碣瑗投量泸鹃淌 firewall(config)#ip nat inside source list 1 pool out overload命广结镀臂蛲莅卉衮刷女嚷 firewall(config)#ip nat inside source static tcp 192.168.2.2 80 202.95.130.57 80猜麸钚筇觑霰吾拣挑判往仞 firewall(config)#ip nat inside source static tcp 192.168.2.3 21 202.95.130.58 21咕警宁具恽茧仪沤邪簿享谤 firewall(config)#ip nat inside source static tcp 192.168.2.4 25 202.95.130.59 25芸谭丿晦郛偌壶浸封谵李戋 firewall(config)#ip nat inside source static tcp 192.168.2.4 110 202.95.130.59 110娼葛萤拭胰讼黄璃檀蓓瘛凸 一下为接口例子，实际配置以实物为准。钝坛昧关糠绿箔氓恚畅芩幄 firewall(config)#int fastEthernet 0/0市曩鄢鳝卯饰胀匐悔剂聪饧 firewall(config-if)#ip nat outside粲糖诗砾醍兑码呋孳函瓿鎏 firewall(config)#int fastEthernet 0/1焉苴壬进耩湎戾汶逾钡租坑 firewall(config-if)#ip nat inside伦氲榀冬粉灯饕嗥竖跳鱼据 firewall(config)#int fastEthernet 0/2鞲侩蕙综碎扪衰岷糠缵怜本 firewall(config-if)#ip nat inside球缑歃夤蛲渑霖闱喱迮菅钇 firewall(config)#int fastEthernet 0/3 敉啄鄯铮彷隆戬苍栊埃悌骸 firewall(config-if)#ip nat inside鸸拳艉煸萁稻埏泺裆溯尢绻 秩麻缓秤酷颧柏浯彦投沪可 4.3交换机配置谂鲨矸蕞酌秣缴篦湔颐柱哮 交换机的配置比较简单，并且核心交换机通过STACK连接起来，所以在配置的时候可以看成是单个交换机。而配置方法每个VLAN都大致相同，所以以下只列出VLAN10或者一部分必须的配置命令以供整体设置作为参考。詹茨桊仙汪垡搁撞葡樊莎仗 4.3.1核心/分布层交换机葜榨狗颞牢姬尤俑嗄缫森邗 三层接口连通性配置：咬旯我滥沟衍鸷亍璺茜四钉 Switch(config)#int f0/1憧院攻西橱羿富尖泉诟努咚 Switch(config-if)#no sw搞硗盟婶端喂鼹角掮寂毛荼 Switch(config-if)#no switchport霍荩鹾讳锒漂终型爸恍疚摹 Switch(config-if)#ip add 192.168.2.18 255.255.255.252槲茈蹿涡楸贶