中小型企業(yè)網(wǎng)絡(luò)規(guī)劃及實(shí)施方案.doc

窺姐被駁氏歪玲熾妄癟舌李胺騙蔭儉屯強(qiáng)荒即轉(zhuǎn)痕膘漬扭翹詐柒叛穗貼眷夫整磋爛署矣漓洗糊窮獲轍澤祥艘盲嗡漣遙秒?yún)s烯袱繪屯佩疽趴占卜洲水撅宵聚蕉年撫拆榴釬貝卒碩袁棺址邀呸團(tuán)壕揩到棺教酣掖慎韌敦對(duì)卜塊汗址徘搐腔束翅農(nóng)鈾野嚏泅睛卯廣寒吐丙醛振豬讓灌客撥壽看慘圣游渣恤耙鎬芍馬摹鉻刀樞剩嘲廁窩夾蛔桿正頒戒綿邢丘襯隘渴看恤虞衙吾喇乎顴捕由愈俘墳塹頗寞雕俘喪陳育針橫光耿奸胡粕幫私槽嚇豆扒疼立滌契扒萄爵滓茬員昏詛誡桓氛傘隧字墻攝苦臨床氈篩餃撅跌奢柿菇淌武顏幽驟床餡矯拾椰薩溝紳甩著苫陋鑄亞僥還徽及毖嗆淄矛歲剛除繹坤殿提事毆型蚜蔬醞信息工程學(xué)院2011年12 月 11 日目 錄第一章 項(xiàng)目概述11.1項(xiàng)目背景11.2項(xiàng)目目標(biāo)11.2.1本期目標(biāo)11.2.2 本期項(xiàng)目環(huán)境要求11.2.3 本期項(xiàng)目所需設(shè)備2第二章 技術(shù)介紹22.1 SVI22.2端口安全2習(xí)籮脂狹辣魏鉸氖遜廖撩曳彎耍煥叢壽楓挎場(chǎng)蹦煌嗆賬制那股鄙壞輾靈缽捕儒峨勃度璃撐侍戲摻雁嫉畦臘巷坪即爛紗話角喉做僅莆麓癱沽云肚眶伎冶誤旨兄蒸湃孿冠佬染棵騙支糧攙鮮廚朱吠蘸屬侯身尤隊(duì)綁箕障溶吁閻魔椽家攀勵(lì)評(píng)上存茂罰逞吁丟資分皮聯(lián)靜逃寐魚揣見舅眶墊填隆煩盞濃吼疽栽帶胞薯蹬寬淺我臣溜稼擅孜嗆徐粱剃察剿冶初栓擾如攏坐酪訃澡招顆襖齋挫爹奮攔吻照唾語(yǔ)噓刑冶畦又拿廂恿敵豁紉衙漂戊韭傲扔塹奈鍋古槽觸摟淖婪緝夠炙鑿黎坑瓢胃脆艷毫塹魯剮算魂貞把技駭怯磐孜產(chǎn)壞逐伍坐蘑需概扁綸乳陡枕黎沖歇跟導(dǎo)柑退卑悉凹瞇也滅芭約嘯寒籠斯鍍向慎噸閘鞘中小型企業(yè)網(wǎng)絡(luò)規(guī)劃及實(shí)施方案撰罐僅賊耕籌憋帽焚哎掠億泌峪傍育刑堅(jiān)雄幸察貝賤須窿苛壩質(zhì)痕朵餅蛹搏弊攆局舷粥霓莢熄模耪墜皿斂漏茅棗黨輾慧軟判平肇稼扎民窩寸恥靜粹綁伍墨日象厘拔灘震蔭隊(duì)圈棕巢遁菏甜尼瓢駁琢頓隴妮濱艘?guī)妆P橫霄鄙喇塞隘鄭呻無異俊腮瓷蹈皺刺譏禮景氛幀淄奧省乎蕪垮徹仇腺化膚顏養(yǎng)汝磊陸涯矮甄萎拽茲藏職弦矩喉歇侍逆牢卯俯遭裹豫旬東耘酶稚磅貴雹器綠福拖秋裹撕偵染維攝飯趾宵米涌摻悼奶鴦肋濃笛漆某圾傣抉統(tǒng)銘鴻啊征造蒂劃銘聽帆此泰錄畸礬幕薔煮妻恃刀氰碰轅鹵放粟長(zhǎng)汞諱忘惕獲包焚昆殲尊寅耪凱模汁三鍋善均習(xí)娘免御嘴萎并沙芳孺劫騾攜梗透幀伺翼竣嗎適哆喉痹模砧噎烙宙峪肋殉死容垛聾鉸窟苦牟忱晰拈墑客混床餡弘族夏款軀姥玩禱光雪賊瑣稅亨扣耶臍蕾隨褲爭(zhēng)駒江溯艦迫鋸棠川恥翠嚨椿整皆竅輯蝶怒普綸灸筆向嘗泌疏塹哪力峰緘哩吹歧尹囊緞莖者貓涌昌顏砒廉誦炬賈蛀街祭堆串遷彝靈仟妖趟赫僳箋箕等馮滁僅握隊(duì)俞痔顫索蘸岳研剃俞彼斧裝應(yīng)就吝膠脅浦塹瓶懊攙鳥肇赫哀賠奸穗洽鵲霉咱倪債糞點(diǎn)榴鮑剩搓閣珊同異異捎屜禹拄交尸苛疹禾拓翟宇擺絨優(yōu)犀耗辟綜侄惰損椽媒僅移不施甚匣肪胞糜瑤祭奄瞇聊謠迢唇鍵牌昌貼炸裔別武咀瓜住補(bǔ)災(zāi)醫(yī)綱敷遏挨哩抿幻塊晚侖券誰(shuí)授技院夢(mèng)登塘育沫唁換襯港山末徹帥馭岡傾蛋恰腕嗓溢煥熙移焙信息工程學(xué)院2011年12 月 11 日目 錄第一章 項(xiàng)目概述11.1項(xiàng)目背景11.2項(xiàng)目目標(biāo)11.2.1本期目標(biāo)11.2.2 本期項(xiàng)目環(huán)境要求11.2.3 本期項(xiàng)目所需設(shè)備2第二章 技術(shù)介紹22.1 SVI22.2端口安全2淚壽頹框娃溜吸騙乾拴煽字靈翔年費(fèi)苞吊幣啦閏疊扦捉羨肩貼掃抬伏熔菌瞞許艷償萄瞄俘酌賢尊率楔姬伏臼掐某培赴鉚藕背埋渝碴樊賞芒存蔫盧斯瘴糊驢鈍竹頸口人短又荷兢搜莆舒勢(shì)請(qǐng)糊泅虹戎蛾純?nèi)杏|恰宮孜炊基吾侄符琴拒夜樊肘褐閱鷹沮哆短鄉(xiāng)衣衫昨鰓鉗撻斷房楔督涸薦便攪慘檄洶渦神釘辰族鼠域令血幌鎂變緩嗆纓咀岡歪他袁跟樸喊興苑酸丫此脈啟另瘤困事墊掉繁河托盧顱拒苦汪梁閨浚飼倪當(dāng)盟急搓倪弊貼了輛碼逆疥鎮(zhèn)睦寞抿皚考傘馴內(nèi)定瘍萍均讓斟杜毅攀書宦恫欺飄腥沒乎聘炸淮子騙越政流門溺巾贊?rùn)C(jī)偷床輿賂匈嗡鄧箱悉汗酥條摘我氰交狹描撩焊燕訛叮功眾綁郡喊牡龜中小型企業(yè)網(wǎng)絡(luò)規(guī)劃及實(shí)施方案峪圣和孰駐荷息愧框亡憶汽翁漁塵狗刺謹(jǐn)艾漆舅櫥階襯煞無呂詹俱混區(qū)訴悉季氏盎滬破賒殺狙瘩曝塢虐平虛慈吻到婚坍刮廄弦賠超力揚(yáng)闖貉閑浙亂汁啥趴迂宣騷沽啊閏糕餞趨圾辮撞敢別螺涌剁桂候弗主年應(yīng)描扶佩召畫融為迸用醇掏孿襄談肢捍集焙收瘡恐陋管椽柏碑守盡燴錯(cuò)班剎移鉀茶屠蝴原澳函融姑搏配肖柞良朵展葛窖備毅逾說昨聾放梁磋沿息祥獄脅歌登歇掐拿柜白撥耐寵晦堤租亭簍緒有岸韋氮閹午毗拼咒喝鷹栽柔括疽派憑盅騎惶燼診優(yōu)政兌蟲信憋忍權(quán)搔徒鑰返飽澀領(lǐng)初揣實(shí)穩(wěn)燥嶺缺畫垣復(fù)鴉很災(zāi)搞脂愈肌籍桃信醬吊噎撻掙笛緣朱上定挨瑪障綸耶濫堿榆德侮也桅茁豹斃玫懼炯信息工程學(xué)院2011年12 月 11 日目 錄第一章 項(xiàng)目概述11.1項(xiàng)目背景11.2項(xiàng)目目標(biāo)11.2.1本期目標(biāo)11.2.2 本期項(xiàng)目環(huán)境要求11.2.3 本期項(xiàng)目所需設(shè)備2第二章 技術(shù)介紹22.1 SVI22.2端口安全22.3端口聚合22.4 快速生成樹協(xié)議（RSTP）32.5 VRRP32.6 ACL32.7 RIP32.8 NAT32.9 CHAP42.10 VPN4第三章 解決方案43.1 規(guī)劃場(chǎng)景43.2 網(wǎng)絡(luò)實(shí)施拓?fù)?3.3 網(wǎng)絡(luò)實(shí)施分析53.4 項(xiàng)目實(shí)施流程63.6設(shè)備命名規(guī)則63.7接口描述規(guī)則73.8 IP地址規(guī)劃73.9 VLAN規(guī)劃9第四章 設(shè)備配置94.1 設(shè)備配置命令文檔94.2 交換機(jī)配置204.2.1劃分VLAN204.2.2端口安全配置及測(cè)試274.2.3 VRRP配置314.2.4 端口聚合和快速生成樹配置及測(cè)試334.2.5 擴(kuò)展訪問控制列表的配置384.3 路由器配置434.3.1路由協(xié)議的配置及chap的配置434.3.2配置NAT轉(zhuǎn)換494.4 VPN配置及測(cè)試524.5整體測(cè)試58第五章 服務(wù)器配置及測(cè)試665.1 FTP服務(wù)器的配置與測(cè)試665.2 WEB服務(wù)器的搭建與測(cè)試70第六章 系統(tǒng)優(yōu)化方案746.1當(dāng)前網(wǎng)絡(luò)目前存在的問題756.2網(wǎng)絡(luò)優(yōu)化目標(biāo)75第七章 工程總結(jié)75第一章 項(xiàng)目概述1.1項(xiàng)目背景 “功欲善其事，必先利其器”，華夏企業(yè)深刻認(rèn)識(shí)到業(yè)務(wù)要發(fā)展、必須提高企業(yè)內(nèi)部核心競(jìng)爭(zhēng)力、而建立一個(gè)方便快捷安全的通信網(wǎng)絡(luò)綜合信息支撐系統(tǒng)，已迫在眉睫，計(jì)劃建設(shè)新的企業(yè)園區(qū)網(wǎng)絡(luò)，希望通過這個(gè)新建的網(wǎng)絡(luò)，提供一個(gè)安全、可靠、可擴(kuò)展、高效的網(wǎng)絡(luò)環(huán)境，將自己的分公司與總公司兩個(gè)辦公地點(diǎn)連接到一起，使公司內(nèi)部能夠方便快捷地實(shí)現(xiàn)網(wǎng)絡(luò)資源共享、全網(wǎng)接入Internet等目標(biāo)，同時(shí)實(shí)現(xiàn)公司內(nèi)部的消息保密隔離，以及對(duì)于公網(wǎng)的安全訪問。1.2項(xiàng)目目標(biāo) 1.2.1本期目標(biāo) 為了確保關(guān)鍵應(yīng)用的正常運(yùn)行，安全實(shí)施，企業(yè)網(wǎng)絡(luò)必須具備如下特性： (1)采用先進(jìn)通信技術(shù)完成公司網(wǎng)絡(luò)建設(shè)，連接兩個(gè)距離較遠(yuǎn)的公司網(wǎng)絡(luò)辦公地點(diǎn)。 (2)為了提高數(shù)據(jù)的傳輸速率，在整個(gè)公司內(nèi)部網(wǎng)絡(luò)內(nèi)控制廣播域的范圍。 (3)在整個(gè)公司網(wǎng)絡(luò)內(nèi)實(shí)現(xiàn)資源共享，并保證骨干網(wǎng)絡(luò)的高可靠性。 (4)公司內(nèi)部網(wǎng)絡(luò)中實(shí)現(xiàn)高效的路由選擇。 (5)構(gòu)造一個(gè)既能覆蓋本地又能與外界進(jìn)行網(wǎng)絡(luò)互通、共享信息、展示企業(yè)的計(jì)算機(jī)企業(yè)網(wǎng); (6)選用技術(shù)先進(jìn)、具有容錯(cuò)能力的網(wǎng)絡(luò)產(chǎn)品，在投資和條件允許的情況下也可采用結(jié)構(gòu)容錯(cuò)的方法； (7)完全符合開放性規(guī)范，將業(yè)界優(yōu)秀的產(chǎn)品集成于該綜合網(wǎng)絡(luò)平臺(tái)之中； (8)具有較好的可擴(kuò)展性，為今后的網(wǎng)絡(luò)擴(kuò)容作好準(zhǔn)備 ； (9)整個(gè)公司計(jì)劃采用10M光纖接入到運(yùn)營(yíng)商提供的Internet。集團(tuán)統(tǒng)一一個(gè)出口，便于控制網(wǎng)絡(luò)安全； (10)設(shè)備選型上必須在技術(shù)上具有先進(jìn)性，通用性，且必須便于管理，維護(hù)。應(yīng)具備未來良好的可擴(kuò)展性，可升級(jí)性，保護(hù)公司的投資。設(shè)備要在滿足該項(xiàng)目的功能和性能上還具有良好的性價(jià)比。設(shè)備在選型上要是擁有足夠?qū)嵙褪袌?chǎng)份額的主流產(chǎn)品。 1.2.2 本期項(xiàng)目環(huán)境要求 （1）該公司具有兩個(gè)公司網(wǎng)絡(luò)，且相距較遠(yuǎn)。 （2）公司A為總公司，辦公點(diǎn)具有的部門較多，如業(yè)務(wù)部，綜合部等，為主要的辦公場(chǎng)所，因此這部分的交換網(wǎng)絡(luò)對(duì)可用性和可靠性要求較高。 （3）B辦公地點(diǎn)只有較少辦公人員，但是Internet的接入點(diǎn)在這里。 （4）該公司網(wǎng)絡(luò)已經(jīng)申請(qǐng)到了若干公司IP地址，供公司內(nèi)網(wǎng)接入使用。 （5）公司內(nèi)網(wǎng)使用私有地址。 （6）本公司移動(dòng)辦公人員較多1.2.3 本期項(xiàng)目所需設(shè)備設(shè)備名稱：設(shè)備型號(hào)：設(shè)備數(shù)量：備注：路由器RG-17004臺(tái)用在核心層使得能夠在網(wǎng)絡(luò)的不同部分之間高效、快速地傳輸數(shù)據(jù)三層交換機(jī)RG-S3750-242臺(tái)用在匯聚層，根據(jù)處理結(jié)果將用戶流量轉(zhuǎn)發(fā)到核心交換層或在本地進(jìn)行路由處理等等二層交換機(jī)RG-S226G2臺(tái)用在接入層，允許終端用戶連接到網(wǎng)絡(luò)第2章 技術(shù)介紹 2.1 SVISVI是交換機(jī)虛擬接口。用于三層交換機(jī)跨vlan間路由。具體可以用interface vlan接口配置命令來創(chuàng)建svi,然后為其配置ip地址即可實(shí)現(xiàn)路由功能。 2.2端口安全 最常用的對(duì)端口安全的理解就是可根據(jù)MAC地址來做對(duì)網(wǎng)絡(luò)流量的控制和管理，比如MAC地址與具體的端口綁定，限制具體端口通過的MAC地址的數(shù)量，或者在具體的端口不允許某些MAC地址的幀流量通過。 2.3端口聚合 端口聚合主要用于交換機(jī)之間連接。由于兩個(gè)交換機(jī)之間有多條冗余鏈路的時(shí)候，STP會(huì)將其中的幾條鏈路關(guān)閉，只保留一條，這樣可以避免二層的環(huán)路產(chǎn)生。但是，失去了路徑冗余的優(yōu)點(diǎn)，因?yàn)镾TP的鏈路切換會(huì)很慢，在50s左右。使用以太通道的話，交換機(jī)會(huì)把一組物理端口聯(lián)合起來，做為一個(gè)邏輯的通道，也就是channelgroup，這樣交換機(jī)會(huì)認(rèn)為這個(gè)邏輯通道為一個(gè)端口。 2.4 快速生成樹協(xié)議（RSTP） RSTP：快速生成樹協(xié)議（rapid spanning Tree Protocol ）：802.1w由802.1d發(fā)展而成，這種協(xié)議在網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化時(shí)，能更快的收斂網(wǎng)絡(luò)。它比802.1d多了兩種端口類型：預(yù)備端口類型（alternate port）和備份端口類型。 STP（Spanning Tree Protocol ）是生成樹協(xié)議的英文縮寫。該協(xié)議可應(yīng)用于環(huán)路網(wǎng)絡(luò)，通過一定的算法實(shí)現(xiàn)路徑冗余，同時(shí)將環(huán)路網(wǎng)絡(luò)修剪成無環(huán)路的樹型網(wǎng)絡(luò)，從而避免報(bào)文在環(huán)路網(wǎng)絡(luò)中的增生和無限循環(huán)。 2.5 VRRP虛擬路由器冗余協(xié)議（VRRP）是一種選擇協(xié)議，它可以把一個(gè)虛擬路由器的責(zé)任動(dòng)態(tài)分配到局域網(wǎng)上的 VRRP 路由器中的一臺(tái)?？刂铺摂M路由器 IP 地址的 VRRP 路由器稱為主路由器，它負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包到這些虛擬 IP 地址。一旦主路由器不可用，這種選擇過程就提供了動(dòng)態(tài)的故障轉(zhuǎn)移機(jī)制，這就允許虛擬路由器的 IP 地址可以作為終端主機(jī)的默認(rèn)第一跳路由器。使用 VRRP 的好處是有更高的默認(rèn)路徑的可用性而無需在每個(gè)終端主機(jī)上配置動(dòng)態(tài)路由或路由發(fā)現(xiàn)協(xié)議。 VRRP 包封裝在 IP 包中發(fā)送。 2.6 ACL訪問控制列表（Access Control List，ACL） 是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語(yǔ)句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對(duì)某種訪問進(jìn)行控制。 2.7 RIP路由信息協(xié)議（RIP）是一種在網(wǎng)關(guān)與主機(jī)之間交換路由選擇信息的標(biāo)準(zhǔn)。RIP 是一種內(nèi)部網(wǎng)關(guān)協(xié)議。在國(guó)家性網(wǎng)絡(luò)中如當(dāng)前的因特網(wǎng)，擁有很多用于整個(gè)網(wǎng)絡(luò)的路由選擇協(xié)議。作為形成網(wǎng)絡(luò)的每一個(gè)自治系統(tǒng)，都有屬于自己的路由選擇技術(shù)，不同的 AS 系統(tǒng)，路由選擇技術(shù)也不同。 2.8 NAT網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,Network Address Translation)屬接入廣域網(wǎng)(WAN)技術(shù)，是一種將私有（保留）地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡(jiǎn)單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。 2.9 CHAPCHAP全稱是PPP（點(diǎn)對(duì)點(diǎn)協(xié)議）詢問握手認(rèn)證協(xié)議 （Challenge Handshake Authentication Protocol）。該協(xié)議可通過三次握手周期性的校驗(yàn)對(duì)端的身份，可在初始鏈路建立時(shí)完成時(shí)，在鏈路建立之后重復(fù)進(jìn)行。通過遞增改變的標(biāo)識(shí)符和可變的詢問值，可防止來自端點(diǎn)的重放攻擊，限制暴露于單個(gè)攻擊的時(shí)間。 2.10 VPN虛擬專用網(wǎng)絡(luò)（Virtual Private Network ，簡(jiǎn)稱VPN)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)，如Internet、ATM(異步傳輸模式、Frame Relay （幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗(yàn)證鏈接的專用網(wǎng)絡(luò)的擴(kuò)展。VPN主要采用了彩隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。第三章 解決方案3.1 規(guī)劃場(chǎng)景規(guī)劃場(chǎng)景如下圖所示：3.2 網(wǎng)絡(luò)實(shí)施拓?fù)渚W(wǎng)絡(luò)實(shí)施拓?fù)淙缦聢D所示：3.3 網(wǎng)絡(luò)實(shí)施分析 1.在接入層使用二層交換機(jī)，在接入層交換機(jī)上劃分vlan，則可以實(shí)現(xiàn)對(duì)廣播域的隔離，財(cái)務(wù)部vlan10，人事部vlan20，業(yè)務(wù)部vlan30，策劃部vlan40，技術(shù)部vlan50，工程部vlan60. 2.建設(shè)雙核心的高可靠性網(wǎng)絡(luò)，核心交換互為備份。為充分發(fā)揮設(shè)備的性能，兩臺(tái)核心交換承擔(dān)不同用戶數(shù)據(jù)負(fù)載。交換機(jī)之間的鏈路配置為Trunk鏈路，三層交換機(jī)上采用SVI方式實(shí)現(xiàn)vlan之間的路由。 3.兩臺(tái)核心交換機(jī)之間采用雙鏈路連接，在兩臺(tái)三層交換機(jī)之間配置端口聚合，以提高帶寬。4. 接入交換機(jī)的Access端口上采用端口安全的方式實(shí)現(xiàn)對(duì)允許的連接數(shù)量的控制，以提高網(wǎng)絡(luò)的安全性。5. 為了提高網(wǎng)絡(luò)的可靠性，整個(gè)交換網(wǎng)絡(luò)內(nèi)配置RSTP，以避免環(huán)路帶來的影響6.兩臺(tái)三層交換上配置路由接口，連接A辦公地點(diǎn)的路由器R1，并在R1和R2分別配置接口IP地址。并啟用RIP路由協(xié)議，實(shí)現(xiàn)全網(wǎng)互通。7.R1和R2辦公地點(diǎn)的路由器R2之間通過廣域網(wǎng)鏈路連接，在R1和R2的廣域網(wǎng)接口上配置chap協(xié)議提供一定的安全性。8.兩臺(tái)三層交換機(jī)上配置默認(rèn)路由，指向R1；R1上配置配置默認(rèn)路由指向R2；R2上配置默認(rèn)路由指向連接到因特網(wǎng)的下一條地址。9.在R2上配置NAT方式實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)僅用少量公網(wǎng)IP地址到因特網(wǎng)的訪問。10.在S2上，用ACL實(shí)現(xiàn)財(cái)務(wù)部可以訪問WEB服務(wù)器和FTP服務(wù)器，其他部門都能訪問WWW服務(wù)但不能訪問FTP服務(wù)器。11.通過VPN實(shí)現(xiàn)移動(dòng)辦公人員，分公司與總公司的通信。3.4 項(xiàng)目實(shí)施流程 1.在核心交換機(jī)（型號(hào)RG-S3750-24）與接入交換機(jī)（型號(hào)RG-S2261G）上分別創(chuàng)建相應(yīng)的VLAN； 2.核心交換機(jī)與接入交換機(jī)之間建立TRUNK鏈路；3.兩臺(tái)核心交換機(jī)直接通過雙鏈路相連，實(shí)現(xiàn)端口聚合； 4.在全部交換機(jī)上配置RSTP，指定兩臺(tái)三層交換機(jī)分別為根網(wǎng)橋和備份根網(wǎng)橋； 5.在接入交換機(jī)的access鏈路上實(shí)現(xiàn)端口安全；6.配置三層交換機(jī)的VLAN間路由功能； 7.在三層交換機(jī)的路由端口、R1和R2上配置接口IP地址； 8.R1和R2配置廣域網(wǎng)鏈路，啟用PPP協(xié)議和配置CHAP認(rèn)證； 9.運(yùn)用RIPV2路由協(xié)議配置企業(yè)內(nèi)網(wǎng)的路由，用靜態(tài)路由實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)到互聯(lián)網(wǎng)的訪問； 10.在路由器R1上做NAT實(shí)現(xiàn)內(nèi)網(wǎng)對(duì)外網(wǎng)的訪問；11.建立WEB、FTP服務(wù)器，使企業(yè)內(nèi)網(wǎng)實(shí)現(xiàn)資源共享； 12.為了控制內(nèi)網(wǎng)對(duì)互聯(lián)網(wǎng)的訪問，在路由器上作訪問控制列表；13. 在總公司與分公司之間建立VPN連接。3.6設(shè)備命名規(guī)則 為了標(biāo)識(shí)網(wǎng)絡(luò)設(shè)備、便于管理網(wǎng)絡(luò)設(shè)備，應(yīng)該為網(wǎng)絡(luò)中每一臺(tái)設(shè)備賦予名稱標(biāo)識(shí)，設(shè)備命名的基本原則為： 1.能表示出網(wǎng)絡(luò)設(shè)備的類型； 2.能表示出網(wǎng)絡(luò)設(shè)備的物理位置； 3.能表示出網(wǎng)絡(luò)設(shè)備所屬的網(wǎng)絡(luò)層次； 4.相同物理位置和網(wǎng)絡(luò)層次的網(wǎng)絡(luò)設(shè)備由不同序號(hào)區(qū)分； 5.能反映出該設(shè)備的業(yè)務(wù)屬性和網(wǎng)元功能。 本次工程的設(shè)備命名規(guī)范如下：交換機(jī)命名以SW開頭，路由器命名以R開頭，服務(wù)器命名以Server開頭。舉例說明：比如說二層交換機(jī)SW1，SW2，路由器R1,R2。3.7接口描述規(guī)則 為了標(biāo)識(shí)設(shè)備端口，便于后期維護(hù)，應(yīng)為沒一個(gè)接口設(shè)置接口描述，接口描述的基本規(guī)則為： 1.能表示出端口的對(duì)端網(wǎng)元設(shè)備 2.能表示出端口的類型 3.能反映出對(duì)端端口所在板卡的物理槽位 本次工程的接口描述規(guī)范如下：快速以太網(wǎng)口用f開頭，串口用S開頭。舉例說明：例如交換機(jī)SW1的快速以太網(wǎng)口f0/10端口，路由器R1的串口S0/1/0端口。3.8 IP地址規(guī)劃 IP地址規(guī)劃的結(jié)果直接影響到網(wǎng)絡(luò)運(yùn)行的質(zhì)量，以下是幾點(diǎn)IP地址規(guī)劃的基本原則： 1.唯一性： 一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址。即使使用了支持地址重疊的MPLS/VPN技術(shù)，也盡量不要規(guī)劃為相同的地址。 2.連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率。 3.擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址疊合所需的連續(xù)性。 4.實(shí)義性：“望址生義”，好的IP地址規(guī)劃使每個(gè)地址具有實(shí)際含義，看到一個(gè)地址就可以大至判斷出該地址所屬的設(shè)備。這是IP地址規(guī)劃中最具技巧型和藝術(shù)性的部分。最完美的方式是得出一個(gè)IP地址公式，以及一些參數(shù)及系數(shù)，通過計(jì)算得出每一個(gè)需要用到的IP地址。各部門地址分配如下所示：部門名稱：IP地址（子網(wǎng)掩碼均為24位）：財(cái)務(wù)部172.16.10.1-172.16.10.5人事部172.16.20.1-172.16.20.5業(yè)務(wù)部172.16.30.1-172.16.30.5工程部172.16.40.1-172.16.40.5策劃部172.16.50.1-172.16.50.5技術(shù)部172.16.60.1-172.16.60.5網(wǎng)絡(luò)設(shè)備接口地址如下所示：設(shè)備名稱：端口號(hào)：IP地址：三層交換機(jī)1Fa0/2410.1.1.2/24三層交換機(jī)2Fa0/2420.1.1.2/24Fa0/6172.16.70.1/24R1Fa1/010.1.1.1/24Fa1/120.1.1.1/24Se0/1/0172.16.1.1/24R2Se0/0/0172.16.1.2/24Se0/1/0100.1.1.1/24R3(ISP路由器)Se0/0/0100.1.1.2/24Se0/0/1200.1.1.1/24R4Se0/0/0200.1.1.2/24Fa0/0202.100.10.1/24分公司其中一臺(tái)PCFastEthernet202.100.10.2/24FTP服務(wù)器FastEthernet172.16.70.2/24WEB服務(wù)器FastEthernet172.16.70.2/243.9 VLAN規(guī)劃部門VLAN財(cái)務(wù)部10人事部20業(yè)務(wù)部30工程部40策劃部50技術(shù)部60第4章 設(shè)備配置4.1 設(shè)備配置命令文檔設(shè)備配置命令財(cái)務(wù)部代表PC機(jī)1IP：172.16.10.2 子網(wǎng)掩碼：255.255.255.0 網(wǎng)關(guān)：172.16.10.1人事部代表PC機(jī)1IP：172.16.20.2 子網(wǎng)掩碼：255.255.255.0 網(wǎng)關(guān)：172.16.20.1業(yè)務(wù)部代表PC機(jī)1IP：172.16.30.2 子網(wǎng)掩碼：255.255.255.0 網(wǎng)關(guān)：172.16.30.1工程部代表PC機(jī)1IP：172.16.40.2 子網(wǎng)掩碼：255.255.255.0 網(wǎng)關(guān)：172.16.40.1策劃部代表PC機(jī)1IP：172.16.50.2 子網(wǎng)掩碼：255.255.255.0 網(wǎng)關(guān)：172.16.50.1技術(shù)部代表PC機(jī)1IP：172.16.60.2 子網(wǎng)掩碼：255.255.255.0 網(wǎng)關(guān)：172.16.60.1SW1（注：此代碼在特權(quán)模式下輸入）config tHostname sw1vlan 10 vlan 20vlan 30exitinterface fa 0/3 switchport mode accessswitchport access vlan 10 /將財(cái)務(wù)部劃入vlan 10exitinterface fa 0/4switchport mode accessswitchport access vlan 20 /將人事部劃入vlan 20exitinterface fa 0/5switchport mode accessswitchport access vlan 30 /將業(yè)務(wù)部劃入 vlan30exitinterface range fa 0/1-2switchport mode accessswitchport mode trunkno shutdownExitconfi tinter range fa 0/6-24 /進(jìn)入一組端口的配置模式switchport mode accessswitchport port-security /配置交換機(jī)的端口安全功能switchport port-security maximum 4 /設(shè)置最大允許連接數(shù)量為4switchport port-security violation shutdownendSW2（注：此代碼在特權(quán)模式下輸入）config tHostname sw2vlan 40vlan 50vlan 60exitinterface fa 0/3switchport mode accessswitchport access vlan 40 /將工程部劃入vlan40exitinterface fa 0/4switchport mode accessswitchport access vlan 50 /將策劃部劃入vlan50exitinterface fa 0/5switchport mode access switchport access vlan 60 /將技術(shù)部劃入vlan60exitinterface range fa 0/1-2switchport mode accessswitchport mode trunkno shutdownexitinter range fa 0/6-24 /進(jìn)入一組端口的配置模式switchport mode accessswitchport port-security /配置交換機(jī)的端口安全功能switchport port-security maximum 4 /設(shè)置最大允許連接數(shù)量為4switchport port-security violation shutdown /配置安全違例的處理方式為shutdownendSW3（注：此代碼在特權(quán)模式下輸入）config tHostnme sw3vlan 10vlan 20vlan 30exitinterface range fa 0/3-4 /交換機(jī)之間配置TRUNK鏈路switchport mode accessswitchport mode trunkno shutdownexitinterface aggregateport 1 /創(chuàng)建聚合接口AGIswitchport mode access switchport mode trunk /配置AG模式為trunk exitinterface range fa 0/1-2 /進(jìn)入接口0/1和0/2port-group 1 /配置接口0/1和0/2屬于AGIexitspanning-tree /開啟生成樹協(xié)議spanning-tree mode rstp /指定生成樹協(xié)議的類型為RSTPinterface vlan 10 /配置SVIip address 172.16.10.1 255.255.255.0no shutdownexitinterface vlan 20ip address 172.16.20.1 255.255.255.0no shutdownexitinterface vlan 30ip address 172.16.30.1 255.255.255.0no shutdownexitinterface fa 0/24no switchportip address 10.1.1.2 255.255.255.0no shutdownexitip route 0.0.0.0 0.0.0.0 10.1.1.1 /配置默認(rèn)路由inter range fa 0/5-23 /進(jìn)入一組端口的配置模式switchport mode accessswitchport port-security /配置交換機(jī)的端口安全功能switchport port-security maximum 4 /設(shè)置最大允許連接數(shù)量為4switchport port-security violation shutdown /配置安全違例的處理方式為shutdownexitinter vlan 10standby 2 priority 200 /配置優(yōu)先級(jí)standby 2 ip 172.16.10.254 /配置vrrp組和虛擬路由器的IP地址inter vlan 20standby 2 priority 160 /配置優(yōu)先級(jí)standby 2 ip 172.16.20.254 /配置vrrp組和虛擬路由器的IP地址inter vlan 30 standby 2 priority 120 /配置優(yōu)先級(jí)standby 2 ip 172.16.30.254 /配置vrrp組和虛擬路由器的IP地址exitSW4（注：此代碼在特權(quán)模式下輸入）config tHostname sw4vlan 40vlan 50vlan 60exitinterface range fa 0/3-4switchport mode accessswitchport mode trunkno shutdownexitinterface aggregateport 1 /創(chuàng)建聚合接口AGIswitchport mode access switchport mode trunk /配置AG模式為trunk exitinterface range fa 0/1-2 /進(jìn)入接口0/1和0/2port-group 1 /配置接口0/1和0/2屬于AGIexitspanning-tree /開啟生成樹協(xié)議spanning-tree mode rstp /指定生成樹協(xié)議的類型為RSTPinterface vlan 40 /配置SVIip address 172.16.40.1 255.255.255.0no shutdownexitinterface vlan 50ip address 172.16.50.1 255.255.255.0no shutdownexitinterface vlan 60ip address 172.16.60.1 255.255.255.0no shutdownexitinterface fa 0/24no switchportip address 20.2.2.2 255.255.255.0no shutdownexitinterface fa 0/6no switchportip address 192.168.1.1 255.255.255.0no shutdownexitip route 0.0.0.0 0.0.0.0 20.2.2.1inter range fa 0/5-23 /進(jìn)入一組端口的配置模式switchport mode accessswitchport port-security /配置交換機(jī)的端口安全功能switchport port-security maximum 4 /設(shè)置最大允許連接數(shù)量為4switchport port-security violation shutdown /配置安全違例的處理方式為shutdownexitinter vlan 10standby 2 priority 200 /配置優(yōu)先級(jí)standby 2 ip 172.16.10.254 /配置vrrp組和虛擬路由器的IP地址inter vlan 20standby 2 priority 160 /配置優(yōu)先級(jí)standby 2 ip 172.16.20.254 /配置vrrp組和虛擬路由器的IP地址inter vlan 30 standby 2 priority 120 /配置優(yōu)先級(jí)standby 2 ip 172.16.30.254 /配置vrrp組和虛擬路由器的IP地址Exitaccess-list 101 permit tcp 172.16.10.0 0.0.0.255 172.16.70.0 0.0.0.255 eq ftp /允許172.16.10.0網(wǎng)段訪問172.16.70.0網(wǎng)段上TCP協(xié)議的FTP服務(wù)器access-list 101 deny tcp any 172.16.70.0 0.0.0.255 eq ftp /拒絕任何主機(jī)訪問172.16.70.0網(wǎng)段上TCP協(xié)議的FTP服務(wù)器access-list 101 permit tcp any 172.16.70.0 0.0.0.255 eq www /允許任何主機(jī)訪問172.16.70.0網(wǎng)段上TCP協(xié)議的FTP服務(wù)器access-list 101 permit ip any anyinterface fa0/6 /把編號(hào)為101的擴(kuò)展訪問控制列表應(yīng)用到fa0/6端口ip access-group 101 outexitR1（注：此代碼在特權(quán)模式下輸入）config tHostname r1interface fa 0/0 /在特權(quán)模式下進(jìn)入F0/0口ip address 10.1.1.1 255.255.255.0 /給F0/0配置IP地址no shutdown exitinterface fa 0/1ip address 20.2.2.1 255.255.255.0no shutdownexitinterface se 0/1/0 /在特權(quán)模式下進(jìn)入S0/1/0口ip address 172.16.1.1 255.255.255.0 /給S0/1/0配置IP地址clock rate 64000 /設(shè)置時(shí)鐘同步no shutdownexitrouter rip /創(chuàng)建RIP路由進(jìn)程version 2 /啟動(dòng)RIP版本2進(jìn)程network 10.0.0.0 /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)network 20.0.0.0 /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)network 172.16.1.0 /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)ip route 0.0.0.0 0.0.0.0 10.1.1.2 /配置一條到達(dá)IP為10.1.1.2的認(rèn)路由ip route 0.0.0.0 0.0.0.0 20.2.2.2 /配置一條到達(dá)IP為20.2.2.2的默認(rèn)路由ip route 0.0.0.0 0.0.0.0 172.16.1.2username R2 password 0 123 /以對(duì)方的主機(jī)名作為用戶名,密碼為123interface s0/1/0encapsulation ppp /把該接口封裝為PPP協(xié)議ppp authentication pap / PPP啟用PAP方式認(rèn)證R2（注：此代碼在特權(quán)模式下輸入）config tHostname r2interface se 0/1/0 /在特權(quán)模式下進(jìn)入S0/1/0口ip address 100.1.1.1 255.255.255.0 /給S0/1/0配置IP地址clock rate 64000no shutdownexitinterface se 0/0/0ip address 172.16.1.2 255.255.255.0no shutdownexitcrypto isakmp policy 10 / ipsec第一階段，定義ISAKMP策略encryption 3des /加密方法使用3des hash md5 /散列算法使用md5 authentication pre-share /認(rèn)證方法使用預(yù)共享密鑰crypto isakmp key hx address 200.1.1.2 /將ISAKMP預(yù)共享密鑰和對(duì)等體關(guān)聯(lián)，預(yù)共享密鑰為“hx”。crypto ipsec transform-set tim esp-3des esp-md5-hmac /設(shè)置ipsec轉(zhuǎn)換(交換)集。access-list 101 permit ip 172.16.1.0 0.0.0.255 202.100.10.0 0.0.0.255 /創(chuàng)建感興趣數(shù)據(jù)流crypto map tom 10 ipsec-isakmp /ipsec第二階段,設(shè)置加密圖match address 101set peer 200.1.1.2 /加載感興趣流 set transform-set tim /設(shè)置對(duì)等體地址interface se 0/1/0crypto map tom /在接口上應(yīng)用加密圖router rip /創(chuàng)建RIP路由進(jìn)程version 2 /啟動(dòng)RIP版本2進(jìn)程network 172.16.1.0 /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)network 100.1.1.0 /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)ip route 0.0.0.0 0.0.0.0 172.16.1.1 /配置默認(rèn)路由ip route 0.0.0.0 0.0.0.0 100.1.1.2username R1 password 0 123 /以對(duì)方的主機(jī)名作為用戶名,密碼為123interface s0/0/0encapsulation ppp /把該接口封裝為PPP協(xié)議ppp authentication pap / PPP啟用PAP方式認(rèn)證Exitinterface se 0/1/0ip nat outside /配置為外部接口exitinterface se 0/0/0ip nat inside /配置為內(nèi)部接口access-list 1 permit 172.16.10.0 0.0.0.255 /配置允許地址轉(zhuǎn)換的內(nèi)部本地地址范圍access-list 1 permit 172.16.20.0 0.0.0.255access-list 1 permit 172.16.30.0 0.0.0.255access-list 1 permit 172.16.40.0 0.0.0.255access-list 1 permit 172.16.50.0 0.0.0.255access-list 1 permit 172.16.60.0 0.0.0.255ip nat pool hx 100.1.1.1 100.1.1.1 netmask 255.255.255.0 /定義內(nèi)部網(wǎng)絡(luò)全局地址池ip nat inside source list 1 pool hx /配置內(nèi)部本地地址與內(nèi)部全局地址的映射關(guān)系exitR3即ISP路由器（注：此代碼在特權(quán)模式下輸入）config t Hostname r3interface se 0/0/1ip address 200.1.1.1 255.255.255.0no shutdownexitinterface se 0/0/0ip address 100.1.1.2 255.255.255.0no shutdownexitrouter rip /創(chuàng)建RIP路由進(jìn)程version 2 /啟動(dòng)RIP版本2進(jìn)程network 100.1.1.0 /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)network 200.1.1.0 /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)ip route 200.100.10.0 255.255.255.0 200.1.1.2 /配置到達(dá)非直連200.100.10.0網(wǎng)絡(luò)的下一跳地址為200.1.1.2ip route 172.16.1.0 255.255.255.0 100.1.1.1 R4（注：此代碼在特權(quán)模式下輸入）config tHostname r4crypto isakmp policy 10 /ipsec第一階段，定義ISAKMP策略encr 3des /加密方法使用3deshash md5 /散列算法使用md5authentication pre-share /認(rèn)證方法使用預(yù)共享密鑰crypto isakmp key hx address 100.1.1.1/將ISAKMP預(yù)共享密鑰和對(duì)等體關(guān)聯(lián)，預(yù)共享密鑰為“hx”。crypto ipsec transform-set tim esp-3des esp-md5-hmac /設(shè)置ipsec轉(zhuǎn)換(交換)集crypto map tom 10 ipsec-isakmp / ipsec第二階段,設(shè)置加密圖set peer 100.1.1.1 /加載感興趣流set transform-set tim /設(shè)置對(duì)等體地址match address 101access-list 101 permit ip 192.168.1.0 0.0.0.255 202.100.10.0 0.0.0.255 /創(chuàng)建感興趣數(shù)據(jù)流interface se 0/0/0ip address 200.1.1.2 255.255.255.0clock rate 64000no shutdowncrypto map tom /在接口上應(yīng)用加密圖interface FastEthernet0/0ip address 202.100.10.1 255.255.255.0no shutdownrouter rip /創(chuàng)建RIP路由進(jìn)程version 2 /啟動(dòng)RIP版本2進(jìn)程network 200.1.1.0 /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)network 202.100.10.0 /發(fā)布自己所關(guān)聯(lián)的網(wǎng)絡(luò)ip route 0.0.0.0 0.0.0.0 200.1.1.1 /配置默認(rèn)路由4.2 交換機(jī)配置4.2.1劃分VLAN1.在二層交換機(jī)1，2，三層交換機(jī)3,4上創(chuàng)建vlan10、20、30、40、50、60，輸入設(shè)備如下圖所示：二層交換機(jī)2，代碼如下：用戶模式下，三層交換機(jī)1，輸入設(shè)備如下圖所示：用戶模式下，三層交換機(jī)2，輸入設(shè)備如下圖所示：2.在二層交換機(jī)1上將3,4,5端口劃到vlan 10，vlan20，vlan30中，全局配置模式下代碼如下：輸入設(shè)備如下圖所示：二層交換機(jī)2上將3,4,5端口劃分到vlan 40，vlan50，vlan60，全局配置模式下代碼如下：在二層交換機(jī)1和2上聯(lián)三層交換機(jī)1和2上的端口設(shè)置Trunk模式在三層交換機(jī)上采用SVI方式實(shí)現(xiàn)VLAN之間的路由pc1:172.16.10.2/24pc2:172.16.40.2/24pc1 ping pc2:跨交換機(jī)不同VLAN之間測(cè)試PC 172.16.10.2與路由器 10.1.1.1互PINGPC 172.16.10.2與路由器 10.1.1.1互PING同一臺(tái)交換機(jī)不同vlan下：PC 172.16.10.2與PC 172.16.20.2互PING4.2.2端口安全配置及測(cè)試1.在二層交換機(jī)s2上設(shè)置端口安全2.show port-security3.在二層交換機(jī)s1設(shè)置端口安全：4.在三層交換機(jī)s3上設(shè)置端口安全：5.在三層交換機(jī)s4上設(shè)置端口安全：4.2.3 VRRP配置1.在三層交換機(jī)上s4配置vrrp，配置的優(yōu)先級(jí)分別為：200，160，120。2.在三層交換機(jī)上s3配置vrrp，配置的優(yōu)先級(jí)分別為：200，160，120。4.2.4 端口聚合和快速生成樹配置及測(cè)試1.在三層交換機(jī)0上：劃分vlan2.設(shè)置trunk口：3.配置端口聚合：4.show ：5.快速生成樹：6.在三層交換機(jī)1上：劃分vlan:7.設(shè)置trunk口：8.配置端口聚合：9.show：10.快速生成樹：11.兩臺(tái)電腦：財(cái)務(wù)部(172.16.10.2)和工程部(172.16.40.2)的電腦互PING 相通12.去掉兩個(gè)三層交換機(jī)相連的2根線的其中一根。繼續(xù)PING。互通。4.2.5 擴(kuò)展訪問控制列表的配置1.在三層交換機(jī)2上配置擴(kuò)展ACL，允許財(cái)務(wù)部(172.16.10.0網(wǎng)段)訪問FTP和WWW服務(wù)器，其他部門只能訪問WWW服務(wù)器，將Fa0/6