PAGE依據(jù)公司園區(qū)網(wǎng)絡(luò)的企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)摘要隨著Internet的進(jìn)步和不斷發(fā)展，互聯(lián)網(wǎng)逐漸走進(jìn)大眾的視野和人們的生活，成為不可缺失的紐帶。突如其來(lái)的疫情，更是加速了全世界互聯(lián)網(wǎng)領(lǐng)域的發(fā)展。在疫情肆虐的大環(huán)境下，人們呼吁和提倡在家辦公，這就更加要求了企業(yè)的網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)能夠滿(mǎn)足于當(dāng)下的需求，需要企業(yè)提供一個(gè)高效辦公、業(yè)務(wù)穩(wěn)定、信息實(shí)時(shí)傳遞的網(wǎng)絡(luò)環(huán)境。企業(yè)要擺脫網(wǎng)絡(luò)技術(shù)以及設(shè)備落后的局面，對(duì)于企業(yè)的發(fā)展有著至關(guān)重要的意義。網(wǎng)絡(luò)的安全性、可靠性、穩(wěn)定性，將直接影響到企業(yè)的長(zhǎng)期發(fā)展和競(jìng)爭(zhēng)力。本文以Drew網(wǎng)絡(luò)公司為原型，依據(jù)公司園區(qū)的網(wǎng)絡(luò)設(shè)計(jì)與實(shí)施方案，給出了企業(yè)網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)思路。公司采用了典型的局域網(wǎng)技術(shù)——以太網(wǎng)技術(shù)進(jìn)行組網(wǎng)。在接入層劃分VLAN,隔離各個(gè)部門(mén)設(shè)備之間的廣播域和沖突域。在匯聚層配置PVST快速生成樹(shù)協(xié)議，防止鏈路出現(xiàn)環(huán)路，并改善了普通的生成樹(shù)協(xié)議鏈路利用率過(guò)低的特點(diǎn)。配置HSRP和鏈路聚合技術(shù)，來(lái)提供網(wǎng)絡(luò)的冗余性和可靠性，增加網(wǎng)絡(luò)帶寬，提高設(shè)備運(yùn)行時(shí)的容錯(cuò)率。在核心層配置EIGRP路由協(xié)議，使全網(wǎng)設(shè)備可以互通。并通過(guò)配置地址轉(zhuǎn)換技術(shù)，在內(nèi)網(wǎng)設(shè)備訪(fǎng)問(wèn)外網(wǎng)時(shí)，隱藏內(nèi)網(wǎng)設(shè)備的源IP地址，防止網(wǎng)絡(luò)攻擊。通過(guò)訪(fǎng)問(wèn)控制列表，限制其他用戶(hù)對(duì)公司內(nèi)部信息網(wǎng)站的訪(fǎng)問(wèn)，保障公司信息的安全。本文首先對(duì)當(dāng)今網(wǎng)絡(luò)現(xiàn)狀進(jìn)行分析，介紹本文所使用的網(wǎng)絡(luò)技術(shù)。然后根據(jù)公司業(yè)務(wù)需求，設(shè)計(jì)邏輯的拓?fù)浣Y(jié)構(gòu)并配置拓?fù)洌詈髮?duì)設(shè)計(jì)的功能進(jìn)行測(cè)試，意在組建一個(gè)兼具高可用性與高安全性的企業(yè)網(wǎng)絡(luò)。關(guān)鍵詞：網(wǎng)絡(luò)規(guī)劃增強(qiáng)內(nèi)部網(wǎng)關(guān)路由協(xié)議熱備份路由協(xié)議企業(yè)網(wǎng)絡(luò)目錄TOC\o"1-2"\h\u第一章緒論 11.1項(xiàng)目背景 11.2項(xiàng)目意義 11.3國(guó)內(nèi)外研究現(xiàn)狀 11.4關(guān)鍵技術(shù)介紹 21.4.1VLAN技術(shù) 21.4.2EIGRP內(nèi)部增強(qiáng)網(wǎng)關(guān)路由協(xié)議 21.4.3HSRP熱備份路由協(xié)議 21.4.4鏈路聚合技術(shù) 31.4.5STP生成樹(shù)協(xié)議 31.4.6ACL訪(fǎng)問(wèn)控制列表 31.4.7NAT地址轉(zhuǎn)換技術(shù) 3第二章需求分析 42.1系統(tǒng)概述 42.2系統(tǒng)功能需求 42.3系統(tǒng)性能需求 52.4可行性分析 62.4.1技術(shù)可行性 62.4.2運(yùn)行可行性 72.5開(kāi)發(fā)環(huán)境 7第三章總體設(shè)計(jì) 83.1系統(tǒng)總體設(shè)計(jì) 83.2功能模塊設(shè)計(jì) 83.2.1網(wǎng)絡(luò)拓?fù)溥壿嬙O(shè)計(jì) 83.2.2接入層詳細(xì)設(shè)計(jì) 93.3網(wǎng)絡(luò)地址設(shè)計(jì) 9第四章詳細(xì)設(shè)計(jì)及實(shí)現(xiàn) 124.1網(wǎng)絡(luò)配置的設(shè)計(jì)與實(shí)現(xiàn) 124.1.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì) 124.1.2接入層交換機(jī)的配置 134.1.3匯聚層交換機(jī)的配置 134.1.4核心層交換機(jī)的配置 154.2服務(wù)器的設(shè)計(jì)與實(shí)現(xiàn) 164.2.1DHCP服務(wù)器的配置 164.2.2WEB服務(wù)器的配置 174.2.3DNS服務(wù)器的配置 17第五章系統(tǒng)測(cè)試 185.1測(cè)試任務(wù)及目的 185.2測(cè)試計(jì)劃 185.3網(wǎng)絡(luò)功能測(cè)試用例 185.3.1VTP測(cè)試用例 185.3.2VLAN測(cè)試用例 185.3.3生成樹(shù)測(cè)試用例 185.3.4HSRP測(cè)試用例 195.3.5鏈路聚合測(cè)試用例 195.3.6EIGRP測(cè)試用例 195.3.7ACL測(cè)試用例 205.3.8NAT測(cè)試用例 205.4服務(wù)功能測(cè)試用例 205.4.1DHCP測(cè)試用例 205.4.2WEB測(cè)試用例 205.4.3DNS測(cè)試用例 215.5測(cè)試結(jié)論 21結(jié)論 22參考文獻(xiàn) 24附錄 25PAGE17第一章緒論1.1項(xiàng)目背景在當(dāng)前社會(huì)，隨著Internet的不斷發(fā)展，互聯(lián)網(wǎng)所涉及到的領(lǐng)域也更加廣泛，網(wǎng)絡(luò)正在為各行各業(yè)帶來(lái)巨大的變革和深遠(yuǎn)的影響。依靠網(wǎng)絡(luò)形式組織起來(lái)的經(jīng)濟(jì)形態(tài)，是現(xiàn)代社會(huì)的主要生產(chǎn)方式和交換方式。從本質(zhì)上來(lái)講，這一切都是以網(wǎng)絡(luò)技術(shù)為基礎(chǔ)，借助計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和路由與交換原理等，將網(wǎng)絡(luò)進(jìn)行科學(xué)縝密的規(guī)劃設(shè)計(jì)，使網(wǎng)絡(luò)世界暢通無(wú)阻，并且安全可靠。通過(guò)互聯(lián)網(wǎng)，企業(yè)可以實(shí)現(xiàn)內(nèi)部的管理和外部的宣傳，互聯(lián)網(wǎng)使用的范圍越來(lái)越廣泛，企業(yè)的網(wǎng)絡(luò)化管理已然成為時(shí)代發(fā)展的必然趨勢(shì)。設(shè)計(jì)和搭建企業(yè)網(wǎng)絡(luò)，需要以實(shí)際情況來(lái)出發(fā)，以企業(yè)的內(nèi)部結(jié)構(gòu)和需求所對(duì)應(yīng)的網(wǎng)絡(luò)技術(shù)為基礎(chǔ)，以企業(yè)的業(yè)務(wù)流量特點(diǎn)為重點(diǎn)，精密地規(guī)劃企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)，準(zhǔn)確地部署符合條件的設(shè)備和技術(shù)，構(gòu)造一個(gè)既安全可靠，又先進(jìn)快速，滿(mǎn)足企業(yè)長(zhǎng)期發(fā)展的網(wǎng)絡(luò)環(huán)境。區(qū)別于傳統(tǒng)的組網(wǎng)技術(shù)，不僅僅只考慮到網(wǎng)絡(luò)的可用性，還要從多方面專(zhuān)業(yè)的角度出發(fā)，充分考慮網(wǎng)絡(luò)的安全性、穩(wěn)定性、冗余性，以及可擴(kuò)展性等等。對(duì)比各種網(wǎng)絡(luò)協(xié)議的優(yōu)劣勢(shì)，各種設(shè)備的功能特點(diǎn)，避免簡(jiǎn)陋且不科學(xué)的網(wǎng)絡(luò)構(gòu)造而產(chǎn)生的數(shù)據(jù)風(fēng)暴，將網(wǎng)絡(luò)波動(dòng)給企業(yè)造成的損失降到最低。讓企業(yè)在最短時(shí)間內(nèi)實(shí)現(xiàn)資源共享和信息交互，讓員工們?cè)诟咝Х€(wěn)定的網(wǎng)絡(luò)環(huán)境中辦公，提高整個(gè)企業(yè)的工作效率與生產(chǎn)動(dòng)力。1.2項(xiàng)目意義互聯(lián)網(wǎng)成長(zhǎng)短短幾十年，正在逐漸壯大和成熟，為我們的生活、工作方式帶來(lái)了巨大的變革。互聯(lián)網(wǎng)正在與傳統(tǒng)行業(yè)相互融合，從而創(chuàng)造新的產(chǎn)業(yè)鏈。各個(gè)企業(yè)都在開(kāi)展公司未來(lái)的網(wǎng)絡(luò)建設(shè)，旨在促成公司的數(shù)字化信息建設(shè)。在技術(shù)高速發(fā)展的今天，人們不單單追求網(wǎng)絡(luò)的“快”“可用”，更加在乎網(wǎng)絡(luò)的“穩(wěn)定”“安全”。將企業(yè)建設(shè)成一個(gè)數(shù)字化、智能化的“互聯(lián)網(wǎng)+”模式，集高速高效、安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境，和管理便捷、易于維護(hù)的網(wǎng)絡(luò)系統(tǒng)為一體，設(shè)計(jì)出一個(gè)卓越的網(wǎng)絡(luò)實(shí)施方案，滿(mǎn)足企業(yè)信息化的需求，保障企業(yè)內(nèi)部信息的保密性與完整性。為了能夠支持企業(yè)的各大業(yè)務(wù)流量，采用性能較高的設(shè)備和鏈路，將故障率維持在一個(gè)可以控制的最低水平，從基礎(chǔ)設(shè)施上來(lái)提高企業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。保證給出一個(gè)兼顧高性能和高性?xún)r(jià)比的實(shí)施方案，建設(shè)一個(gè)操作管理便捷，業(yè)務(wù)流量安全平穩(wěn)的辦公環(huán)境。1.3國(guó)內(nèi)外研究現(xiàn)狀互聯(lián)網(wǎng)發(fā)明于上個(gè)世紀(jì)的美國(guó)，初期更多地被使用在美國(guó)軍方和科研機(jī)構(gòu)，自從將其用于開(kāi)展商業(yè)用途以來(lái)，發(fā)展迅速遍歷世界各個(gè)地區(qū)。隨著時(shí)間的推移，互聯(lián)網(wǎng)已經(jīng)逐漸融入到社會(huì)生活中的各個(gè)領(lǐng)域內(nèi)，無(wú)論是在生活方式方面，還是在工作生產(chǎn)方面，無(wú)疑都為我們帶來(lái)了前所未有的便捷。我國(guó)政府部門(mén)自八十年代將互聯(lián)網(wǎng)引入國(guó)內(nèi)后，便開(kāi)始發(fā)展網(wǎng)絡(luò)建設(shè)，經(jīng)歷了初期的探索和基礎(chǔ)網(wǎng)絡(luò)設(shè)施的建設(shè)階段，到網(wǎng)絡(luò)逐漸面向大眾普及，再到如今網(wǎng)絡(luò)世界繁榮發(fā)展的局面，我國(guó)的網(wǎng)絡(luò)技術(shù)水平蓬勃發(fā)展，但無(wú)論從基礎(chǔ)設(shè)施的建設(shè)，還是網(wǎng)絡(luò)協(xié)議的掌握，距離美國(guó)等發(fā)達(dá)國(guó)家還有不小的差距。歐美國(guó)家在發(fā)展初期便重視起企業(yè)局域網(wǎng)的建設(shè)，隨著網(wǎng)絡(luò)水平發(fā)展的愈發(fā)成熟，技術(shù)細(xì)節(jié)不斷優(yōu)化，企業(yè)內(nèi)部的局域網(wǎng)架構(gòu)，已經(jīng)具備大帶寬、低延時(shí)等特性。多數(shù)企業(yè)擁有內(nèi)部獨(dú)立的網(wǎng)站，并且具有非常好的安全防護(hù)體系，極具網(wǎng)絡(luò)安全的意識(shí)。相比而言，國(guó)內(nèi)的大多企業(yè)，均與其存在明顯的差距，網(wǎng)絡(luò)建設(shè)亟待加強(qiáng)。差距主要體現(xiàn)在多個(gè)方面：網(wǎng)絡(luò)設(shè)備不夠先進(jìn)，或者擁有先進(jìn)的設(shè)備卻無(wú)法使其發(fā)揮其應(yīng)有的性能；網(wǎng)絡(luò)地址規(guī)劃的不夠科學(xué)，雜亂且不連續(xù)，容易影響設(shè)備的維護(hù)難易程度和排障速度的時(shí)效性；網(wǎng)絡(luò)容錯(cuò)率較低，沒(méi)有充分考慮到核心設(shè)備故障后帶來(lái)的后果，沒(méi)有其他的備份設(shè)備進(jìn)行額外支持；安全性能有待提高，企業(yè)內(nèi)部的核心數(shù)據(jù)需要較高的保密性，這需要多種安全技術(shù)的加持才能得以實(shí)現(xiàn)。解決好這些問(wèn)題，才能給中國(guó)企業(yè)的網(wǎng)絡(luò)帶來(lái)最大限度的優(yōu)化。1.4關(guān)鍵技術(shù)介紹1.4.1VLAN技術(shù)VLAN是指在普通局域網(wǎng)的架構(gòu)上，形成跨越地理位置和不同網(wǎng)段的邏輯子網(wǎng)。交換機(jī)設(shè)備有且僅有一個(gè)廣播域，分割其廣播域從而形成多個(gè)邏輯上的廣播域，每個(gè)VLAN對(duì)應(yīng)一個(gè)邏輯廣播域。它可以無(wú)視地理環(huán)境的限制，所處不同位置的計(jì)算機(jī)均可以被歸類(lèi)到同一VLAN內(nèi)，進(jìn)而形成網(wǎng)絡(luò)上的組織結(jié)構(gòu)。VLAN服務(wù)于OSI模型的二、三層，劃分VLAN后，能夠?qū)⒚總€(gè)VLAN的廣播風(fēng)暴控制在其內(nèi)部，廣播風(fēng)暴不會(huì)轉(zhuǎn)發(fā)到其它的VLAN中去，既縮小的網(wǎng)絡(luò)風(fēng)暴影響的范圍，又方便了網(wǎng)絡(luò)設(shè)備之間的管理。與此同時(shí)，也阻止了所處在不同VLAN的設(shè)備之間的互通，需要通過(guò)開(kāi)啟設(shè)備的三層功能來(lái)實(shí)現(xiàn)。1.4.2EIGRP內(nèi)部增強(qiáng)網(wǎng)關(guān)路由協(xié)議EIGRP是一種同時(shí)兼具鏈路狀態(tài)和距離矢量行為特點(diǎn)的專(zhuān)有路由協(xié)議，采用的計(jì)算方式為彌散修正算法，來(lái)進(jìn)行決策過(guò)程中的所有路由計(jì)算，從而實(shí)現(xiàn)網(wǎng)絡(luò)的建立，并確保沒(méi)有路由環(huán)路。EIGRP選取帶寬、延時(shí)、負(fù)載、最大的傳輸單元和可靠性五項(xiàng)數(shù)據(jù)點(diǎn)來(lái)進(jìn)行運(yùn)算，綜合考量每條鏈路上的代價(jià)，選擇最優(yōu)的路徑加載到路由表中。EIGRP與其他路由協(xié)議最大的區(qū)別，即支持不等價(jià)的負(fù)載均衡。當(dāng)?shù)竭_(dá)相同的網(wǎng)絡(luò)地址有多條路徑時(shí)，可以通過(guò)配置不等價(jià)的負(fù)載均衡，使數(shù)據(jù)包通過(guò)多條代價(jià)不同的鏈路進(jìn)行轉(zhuǎn)發(fā)。1.4.3HSRP熱備份路由協(xié)議HSRP協(xié)議是思科研發(fā)的專(zhuān)有技術(shù)，即只能在思科設(shè)備上使用。通過(guò)將多臺(tái)三層設(shè)備組建成一個(gè)“活躍備份組”，虛擬出一個(gè)虛擬的IP地址和虛擬的MAC地址，形成一個(gè)虛擬的網(wǎng)關(guān)設(shè)備。這個(gè)組內(nèi)有且只有一個(gè)設(shè)備是活躍狀態(tài)的，其它均為備份狀態(tài)，并由該設(shè)備進(jìn)行流量的轉(zhuǎn)發(fā)。HSRP使組內(nèi)的設(shè)備互相監(jiān)聽(tīng)對(duì)方的運(yùn)行狀態(tài)，當(dāng)活躍的設(shè)備流量中斷或發(fā)生故障時(shí)，主動(dòng)將流量切換到備用的設(shè)備上，并改變狀態(tài)成為活躍設(shè)備。HSRP減少了設(shè)備故障造成的中斷時(shí)間，因?yàn)橹鳈C(jī)的網(wǎng)關(guān)始終沒(méi)有發(fā)生改變，完美解決了設(shè)備切換的問(wèn)題。1.4.4鏈路聚合技術(shù)端口聚合技術(shù)是將兩臺(tái)物理設(shè)備之間，通過(guò)光纖或其他傳輸介質(zhì)進(jìn)行互聯(lián)的多條連線(xiàn)，在邏輯上綁定為一條鏈路，帶寬為綁定鏈路的帶寬之和。邏輯鏈路通過(guò)網(wǎng)絡(luò)五元組：源網(wǎng)絡(luò)地址、目的網(wǎng)絡(luò)地址、源局域網(wǎng)地址、目的局域網(wǎng)地址、端口號(hào)，來(lái)實(shí)現(xiàn)流量負(fù)載均衡的轉(zhuǎn)發(fā)方式。同時(shí)端口組內(nèi)，被綁定的各個(gè)端口之間互為備份，即只要在某一時(shí)間段內(nèi)有一條鏈路正常運(yùn)行，其余任意的鏈路中斷，都不會(huì)對(duì)流量的轉(zhuǎn)發(fā)造成影響。1.4.5STP生成樹(shù)協(xié)議生成樹(shù)協(xié)議通過(guò)阻塞設(shè)備上指定的端口，來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)流量的冗余，同時(shí)還消除了二層數(shù)據(jù)幀的環(huán)路，阻止了報(bào)文不斷地轉(zhuǎn)發(fā)，從根本上抑制了網(wǎng)絡(luò)風(fēng)暴的產(chǎn)生。同時(shí)還兼具鏈路的備份功能，當(dāng)線(xiàn)路發(fā)生故障時(shí)，通過(guò)將阻塞端口激活，恢復(fù)網(wǎng)絡(luò)的連通性。目前，已經(jīng)將普通的生成樹(shù)改良為PVST，即每個(gè)VLAN形成一個(gè)獨(dú)立的樹(shù)，并被廣泛使用。徹底解決了鏈路有效利用率低的問(wèn)題，將不同VLAN的根橋放置于不同的匯聚層設(shè)備上，實(shí)現(xiàn)流量的分擔(dān)，提高了鏈路的利用率。1.4.6ACL訪(fǎng)問(wèn)控制列表訪(fǎng)問(wèn)控制列表，通過(guò)將配置管控?cái)?shù)據(jù)包行為的指定，并使其作用在設(shè)備的端口上。通過(guò)指令合集構(gòu)成的列表，來(lái)限制經(jīng)過(guò)這臺(tái)設(shè)備的流量行為。訪(fǎng)問(wèn)控制列表是一種數(shù)據(jù)報(bào)文過(guò)濾技術(shù)，通過(guò)匹配數(shù)據(jù)報(bào)文中的第三、四層信息，即源網(wǎng)絡(luò)地址、目的網(wǎng)絡(luò)地址、具體協(xié)議名稱(chēng)等信息，規(guī)定好需要執(zhí)行的動(dòng)作，以此進(jìn)行數(shù)據(jù)流量的控制和過(guò)濾，對(duì)資源的訪(fǎng)問(wèn)進(jìn)行限制。1.4.7NAT地址轉(zhuǎn)換技術(shù)地址轉(zhuǎn)換技術(shù)，誕生在IPv4公有地址池枯竭的背景下，因無(wú)法再為Internet用戶(hù)提供新的網(wǎng)絡(luò)地址，而研發(fā)出的技術(shù)。NAT技術(shù)被廣泛的應(yīng)用于各種接入Internet的網(wǎng)絡(luò)設(shè)備中，它可以將內(nèi)網(wǎng)的私有地址轉(zhuǎn)換為外網(wǎng)的公有地址，基于端口的復(fù)用還可實(shí)現(xiàn)一對(duì)多的地址轉(zhuǎn)換。不僅為網(wǎng)絡(luò)地址日益貧瘠的狀況，提供了有效的解決辦法。還將公司內(nèi)網(wǎng)的網(wǎng)絡(luò)地址進(jìn)行了隱藏，避免受到外網(wǎng)攻擊，保護(hù)了內(nèi)網(wǎng)主機(jī)的安全。

第二章需求分析2.1系統(tǒng)概述Drew網(wǎng)絡(luò)公司設(shè)有一名總裁，負(fù)責(zé)監(jiān)督公司。一名副總裁，負(fù)責(zé)協(xié)調(diào)下屬部門(mén)之間的關(guān)系。四個(gè)下屬部門(mén)，每個(gè)部門(mén)都設(shè)有一名主管。根據(jù)公司的各個(gè)部門(mén)職能的實(shí)際情況，主要?jiǎng)澐譃樗膫€(gè)模塊：管理部門(mén)、技術(shù)服務(wù)部門(mén)、財(cái)務(wù)部門(mén)、人事部門(mén)。管理部門(mén)：管理員工工作的部門(mén)，負(fù)責(zé)管理公司日常的各個(gè)方面，以及法律事務(wù)等。技術(shù)服務(wù)部門(mén)：負(fù)責(zé)企業(yè)及客戶(hù)的網(wǎng)絡(luò)連通和信息安全，以及對(duì)辦公系統(tǒng)的硬件和軟件維護(hù)，是企業(yè)的核心力量。財(cái)政部門(mén)：負(fù)責(zé)公司的固有資產(chǎn)管理，并確保賬目流水清晰無(wú)誤，并對(duì)公司所有運(yùn)營(yíng)的項(xiàng)目起到實(shí)時(shí)監(jiān)控作用。人事部門(mén)：負(fù)責(zé)公司的人力資源調(diào)動(dòng)，它管控與工作人員有關(guān)的程序和紀(jì)律，例如征聘、組織培訓(xùn)、統(tǒng)計(jì)出勤率、維持工作紀(jì)律等。公司內(nèi)部組織架構(gòu)圖，如圖2-1所示。公司職員組織架構(gòu)公司職員組織架構(gòu)總裁總裁副總裁副總裁技術(shù)服務(wù)部財(cái)務(wù)部人事部管理部技術(shù)服務(wù)部財(cái)務(wù)部人事部管理部圖2.1公司組織內(nèi)部結(jié)構(gòu)圖2.2系統(tǒng)功能需求人事部同事和技術(shù)部工程師的計(jì)算機(jī)需要傳輸和處理大量語(yǔ)音、郵件、圖片、視頻等信息。隨著員工和客戶(hù)更多地投入使用手機(jī)和無(wú)線(xiàn)設(shè)備，企業(yè)需要提供一個(gè)穩(wěn)定的無(wú)線(xiàn)辦公環(huán)境，以滿(mǎn)足有線(xiàn)和無(wú)線(xiàn)互聯(lián)網(wǎng)互相融合的需求。對(duì)于企業(yè)的重要領(lǐng)域，需要一個(gè)網(wǎng)絡(luò)架構(gòu)，使其既包括網(wǎng)絡(luò)連接的冗余機(jī)制，又包括網(wǎng)絡(luò)系統(tǒng)的更大可靠性。網(wǎng)絡(luò)需要設(shè)計(jì)出一個(gè)良好的安全防護(hù)策略，以防止來(lái)自外部的惡意攻擊和內(nèi)部網(wǎng)絡(luò)問(wèn)題對(duì)企業(yè)業(yè)務(wù)造成損害。針對(duì)企業(yè)提出的帶寬需求，通過(guò)分析網(wǎng)絡(luò)的架構(gòu)，基于公司采用的熱備份雙核心的網(wǎng)絡(luò)結(jié)構(gòu)，為了保證帶寬能夠匹配設(shè)備的速率，將千兆以太網(wǎng)技術(shù)作為第一選擇，才可滿(mǎn)足公司帶寬的需求。運(yùn)營(yíng)商網(wǎng)絡(luò)通過(guò)千兆以太網(wǎng)交換機(jī)連接到公司骨干網(wǎng)，交換機(jī)下聯(lián)端口通過(guò)百兆光纖連接到桌面的計(jì)算機(jī)，保證企業(yè)員工桌面的帶寬足夠員工的日常辦公。同時(shí)為有線(xiàn)和無(wú)線(xiàn)網(wǎng)絡(luò)提供全方位的支持。確保企業(yè)擁有高效、迅速、優(yōu)越性能的網(wǎng)絡(luò)環(huán)境，改善員工的生產(chǎn)力。公司擁有自己的萬(wàn)維網(wǎng)服務(wù)器和域名解析服務(wù)器，內(nèi)部網(wǎng)絡(luò)用戶(hù)可以通過(guò)登錄相應(yīng)的域名，來(lái)訪(fǎng)問(wèn)公司內(nèi)部的資源網(wǎng)站；為了使配置IP地址更加容易，減少手動(dòng)配置容易出錯(cuò)的風(fēng)險(xiǎn)，公司所有部門(mén)的計(jì)算機(jī)均使用DHCP服務(wù)器自動(dòng)獲取IP地址，并且服務(wù)器地址池中的IP地址數(shù)量要滿(mǎn)足今后的可持續(xù)發(fā)展，必須能夠支撐公司的長(zhǎng)期發(fā)展。網(wǎng)絡(luò)設(shè)備需要使用冗余備份的HSRP等技術(shù)，即為網(wǎng)絡(luò)系統(tǒng)構(gòu)建備份系統(tǒng)，以降低鏈路的故障率。必須在核心交換機(jī)上制定訪(fǎng)問(wèn)控制列表和地址轉(zhuǎn)換等策略，以確保內(nèi)部信息的安全，并限制移動(dòng)端用戶(hù)訪(fǎng)問(wèn)內(nèi)部信息網(wǎng)站。在網(wǎng)絡(luò)的設(shè)計(jì)和實(shí)施階段，選定的設(shè)備和采取技術(shù)的工序，必須符合國(guó)家的相關(guān)標(biāo)準(zhǔn)，提供一個(gè)穩(wěn)定運(yùn)行的網(wǎng)絡(luò)辦公環(huán)境。2.3系統(tǒng)性能需求公司設(shè)備在運(yùn)行時(shí)，系統(tǒng)的性能要保持在較高的水平，要以確保業(yè)務(wù)平穩(wěn)運(yùn)行的方式，設(shè)計(jì)生產(chǎn)網(wǎng)絡(luò)。考慮到設(shè)備之間連接的可靠性，為確保設(shè)備的質(zhì)量和長(zhǎng)時(shí)間穩(wěn)定運(yùn)行，建議購(gòu)買(mǎi)更穩(wěn)定的設(shè)備以提高其使用可靠性。網(wǎng)絡(luò)協(xié)議以TCP/IP協(xié)議為基礎(chǔ)，交換機(jī)和路由器等設(shè)備，則使用已經(jīng)建立且享有很高聲譽(yù)的CISCO廠(chǎng)商設(shè)備，并購(gòu)買(mǎi)CISCO的售后技術(shù)服務(wù)進(jìn)行維保。網(wǎng)絡(luò)寬帶使用運(yùn)營(yíng)商的專(zhuān)用固定IP業(yè)務(wù)（千兆光纖）來(lái)滿(mǎn)足當(dāng)前和將來(lái)數(shù)據(jù)傳輸?shù)乃俾市枨螅侠矸峙鋷挷⒋_保有效地進(jìn)行信息交換。另一方面，通過(guò)HSRP技術(shù)設(shè)定計(jì)算機(jī)的三層網(wǎng)關(guān)，將雙核心的路由器投入運(yùn)行，在活躍設(shè)備出現(xiàn)故障的情況下，立即將其替換為備份設(shè)備，以此保障設(shè)備的運(yùn)行。這對(duì)系統(tǒng)性能的提升是必不可少的，可以大大地提高整體可靠性。借助端口匯聚的技術(shù)，既可以確保匯聚層設(shè)備的鏈路冗余，又可以將多個(gè)鏈路的帶寬合而為一，增加邏輯帶寬，從而提供了一種有效的鏈路備份機(jī)制。網(wǎng)絡(luò)的安全性能也相當(dāng)重要。業(yè)務(wù)網(wǎng)絡(luò)需要完善網(wǎng)絡(luò)安全的解決方案，以便網(wǎng)絡(luò)問(wèn)題不會(huì)損害公司的利益，或?qū)I(yè)務(wù)造成不可逆的影響。歐盟委員會(huì)就此發(fā)布了有關(guān)電信網(wǎng)絡(luò)和服務(wù)安全的綠皮書(shū)。因此，在設(shè)計(jì)網(wǎng)絡(luò)接受度時(shí)，必須將DHCP，DNS和WEB等服務(wù)器與互聯(lián)網(wǎng)分開(kāi)來(lái)，以避免造成信息的泄漏。當(dāng)外部網(wǎng)絡(luò)設(shè)備與內(nèi)部網(wǎng)絡(luò)設(shè)備進(jìn)行通信時(shí)，內(nèi)部網(wǎng)絡(luò)設(shè)備的安全性可能會(huì)受到影響，同時(shí)透過(guò)網(wǎng)絡(luò)間的傳播，同一網(wǎng)絡(luò)內(nèi)的許多其他系統(tǒng)也會(huì)遭受影響。主要是通過(guò)配置NAT策略（將本地局域網(wǎng)的地址轉(zhuǎn)換為互聯(lián)網(wǎng)的公用地址）防止非法用戶(hù)讀取網(wǎng)絡(luò)地址信息，來(lái)確保防范網(wǎng)絡(luò)攻擊；并實(shí)施訪(fǎng)問(wèn)控制策略，過(guò)濾移動(dòng)端用戶(hù)通過(guò)無(wú)線(xiàn)設(shè)備，訪(fǎng)問(wèn)內(nèi)部管理站點(diǎn)的請(qǐng)求，從而確保內(nèi)部信息的機(jī)密性，并進(jìn)一步提高企業(yè)網(wǎng)絡(luò)以及數(shù)據(jù)的安全。2.4可行性分析2.4.1技術(shù)可行性部署公司網(wǎng)絡(luò)使用的技術(shù)要滿(mǎn)足公司需求的可行性，根據(jù)Drew網(wǎng)絡(luò)公司的業(yè)務(wù)需求分析，擬選用技術(shù)包括：VLAN、EIGRP、HSRP和端口聚合等，具體原因如下：（1）鑒于公司提出的網(wǎng)絡(luò)連通性要求，公司采用內(nèi)部獨(dú)立的DHCP服務(wù)器，通過(guò)DHCP服務(wù)將網(wǎng)絡(luò)地址分配給每個(gè)員工，以便機(jī)房管理員集中管理和規(guī)劃地址。然后使用VLAN技術(shù)將各個(gè)部門(mén)的設(shè)備隔離開(kāi)來(lái)，每個(gè)部門(mén)的設(shè)備都位于其自己專(zhuān)屬的網(wǎng)段上。（2）選用EIGRP協(xié)議進(jìn)行開(kāi)發(fā)的可行性：EIGRP協(xié)議在選擇路徑的計(jì)算中要對(duì)網(wǎng)絡(luò)的帶寬速率?網(wǎng)絡(luò)傳播時(shí)延?信道的占用率、信道的可靠度和傳輸單元大小等因素作全面的評(píng)估考慮,所以EIGRP路徑條目的計(jì)算更為準(zhǔn)確,更能反映網(wǎng)絡(luò)的實(shí)際情況。同時(shí)與傳統(tǒng)的路由協(xié)議相較而言，EIGRP協(xié)議還支持?jǐn)?shù)據(jù)包在多條不同代價(jià)的路徑中傳輸,對(duì)數(shù)據(jù)包進(jìn)行負(fù)載平衡。占用較少的帶寬資源。配置EIGRP協(xié)議的設(shè)備之間，會(huì)周期性地互相發(fā)送偵測(cè)報(bào)文,以此來(lái)確認(rèn)其它設(shè)備是否存活，保證網(wǎng)絡(luò)的有效性。設(shè)備之間的路由鄰居成功建立后，路由條目只有在更新時(shí)才會(huì)被發(fā)送。更新報(bào)文總是采取可靠的方式發(fā)送,將信息傳遞給需要的設(shè)備，如果設(shè)備沒(méi)有收到更新報(bào)文，則會(huì)重新傳輸,直至確認(rèn)。EIGRP協(xié)議還可以對(duì)發(fā)送的報(bào)文進(jìn)行數(shù)量控制，減少對(duì)網(wǎng)絡(luò)帶寬的過(guò)度使用，從而防止流量激增對(duì)設(shè)備處理器和內(nèi)存使用率造成的影響。快速收斂。EIGRP協(xié)議的路由計(jì)算方法為DUAI算法，通過(guò)代入多種度量值進(jìn)行計(jì)算，形成一個(gè)無(wú)路由環(huán)路的邏輯拓?fù)洹Ｊ咕W(wǎng)絡(luò)在保障不會(huì)產(chǎn)生路由黑洞的前提下，進(jìn)行最可靠的快速收斂。并且在路由鄰接關(guān)系成功建立之后，只有當(dāng)路由條目發(fā)生變更時(shí)，擁有此條路由信息的設(shè)備，才會(huì)使用DUAL算法對(duì)路由條目進(jìn)行重新計(jì)算。（3）選用HSRP協(xié)議的可行性：兩臺(tái)設(shè)備之間通過(guò)HSRP協(xié)議構(gòu)建一個(gè)虛擬網(wǎng)關(guān)組，來(lái)實(shí)現(xiàn)網(wǎng)關(guān)的冗余備份。HSRP協(xié)議的功能強(qiáng)大在于，當(dāng)其中任意一臺(tái)設(shè)備宕機(jī)后，或當(dāng)設(shè)備的上聯(lián)接口斷開(kāi)后，流量會(huì)在轉(zhuǎn)瞬之間切換到其余設(shè)備上，用戶(hù)在感知上察覺(jué)不到流量路徑的變更，對(duì)公司業(yè)務(wù)毫無(wú)影響。HSRP協(xié)議可以虛擬多個(gè)網(wǎng)段的網(wǎng)關(guān)組，配合VLAN技術(shù)的使用，可以幫助公司眾多部門(mén)的計(jì)算機(jī)實(shí)現(xiàn)網(wǎng)關(guān)冗余，從根本上解決了網(wǎng)絡(luò)可靠性的問(wèn)題。（4）選用端口聚合協(xié)議的可行性：將網(wǎng)絡(luò)設(shè)備上的任意個(gè)物理端口，模擬捆綁在一個(gè)管道下。該管道是邏輯上的端口組，可以將被綁定的各個(gè)物理端口的帶寬結(jié)合，帶寬的累加值作為管道的帶寬。綁定多個(gè)端口后，通過(guò)配置特定的負(fù)載均衡方式，來(lái)指定轉(zhuǎn)發(fā)數(shù)據(jù)流的設(shè)備端口，合理分配業(yè)務(wù)流量。網(wǎng)絡(luò)設(shè)備的選擇也要具備可行性：網(wǎng)絡(luò)的穩(wěn)當(dāng)性至關(guān)重要，網(wǎng)絡(luò)設(shè)備的品牌要首選Cisco廠(chǎng)商，其產(chǎn)品穩(wěn)定，產(chǎn)品線(xiàn)眾多，功能特性豐富，芯片處理能力強(qiáng)勁。并且Cisco的技術(shù)服務(wù)支持能力，全球范圍內(nèi)數(shù)一數(shù)二；維保換件的時(shí)效，最快可在當(dāng)日送達(dá)，為公司網(wǎng)絡(luò)設(shè)備的正常運(yùn)行提供了可靠的保障。意在資金一定的情況下，選擇性能最高的設(shè)備為公司組建網(wǎng)絡(luò)。技術(shù)人員相應(yīng)水平的可行性包括：需要員工深刻理解網(wǎng)絡(luò)基本概念，例如OSI七層模型、TCP/IP協(xié)議、VLAN、WLAN協(xié)議、以及各種路由協(xié)議、NAT轉(zhuǎn)換技術(shù)等。要求熟悉Cisco產(chǎn)品，會(huì)對(duì)公司采購(gòu)的交換機(jī)和路由器進(jìn)行配置，不熟悉的設(shè)備能夠獨(dú)立查資料學(xué)習(xí)配置；熟悉Cisco設(shè)備的一些專(zhuān)用技術(shù)，例如EIGRP、PVST、HSRP等技術(shù)。能夠負(fù)責(zé)公司網(wǎng)絡(luò)設(shè)備的連接和網(wǎng)絡(luò)系統(tǒng)的運(yùn)維，負(fù)責(zé)規(guī)劃和完善網(wǎng)絡(luò)的結(jié)構(gòu)和邏輯拓?fù)洌⒆龊孟鄳?yīng)的資料記錄和整理工作。掌握網(wǎng)絡(luò)設(shè)備的實(shí)際運(yùn)行情況，以便發(fā)現(xiàn)故障時(shí)，進(jìn)行迅速地定位；掌握與運(yùn)營(yíng)商網(wǎng)絡(luò)的對(duì)接情況，定期關(guān)注公司網(wǎng)絡(luò)的質(zhì)量；實(shí)時(shí)管控公司員工電腦的流量，防止員工上班期間偷干私活。2.4.2運(yùn)行可行性本項(xiàng)目的企業(yè)網(wǎng)絡(luò)設(shè)計(jì)方案，解決了傳統(tǒng)園區(qū)網(wǎng)建設(shè)的絕大部分問(wèn)題，具有良好的運(yùn)行可行性，具體包括：（1）網(wǎng)絡(luò)架構(gòu)規(guī)劃的較為整潔，鏈路搭建十分科學(xué)，并且有利于公司的未來(lái)擴(kuò)張和維護(hù)管理。網(wǎng)絡(luò)進(jìn)行科學(xué)化的分層次管理，統(tǒng)一管理各個(gè)部門(mén)的計(jì)算機(jī)，網(wǎng)絡(luò)的邏輯拓?fù)鋱D思路清晰，簡(jiǎn)明易懂。為網(wǎng)絡(luò)系統(tǒng)的運(yùn)維和管理，帶來(lái)了很多便捷之處。（2）網(wǎng)絡(luò)的規(guī)劃可靠且合理，不浪費(fèi)企業(yè)的建設(shè)投資。設(shè)備采取動(dòng)態(tài)備份的冗余機(jī)制，從根本上排除了單一的網(wǎng)絡(luò)設(shè)備故障，而導(dǎo)致網(wǎng)絡(luò)中斷的可能性，保證了企業(yè)的生產(chǎn)和業(yè)務(wù)有效進(jìn)行。并且沒(méi)有造成網(wǎng)絡(luò)的冗余過(guò)盛、合理的利用了公司資源，避免出現(xiàn)盲目投資的現(xiàn)象。（3）網(wǎng)絡(luò)信息傳輸安全。網(wǎng)絡(luò)安全是企業(yè)網(wǎng)絡(luò)的重要需求之一，傳統(tǒng)網(wǎng)絡(luò)中的安全策略較少，根本無(wú)法應(yīng)對(duì)網(wǎng)絡(luò)攻擊者的惡意破壞。并且使用公司網(wǎng)絡(luò)的用戶(hù)較多，其中還包含一些無(wú)線(xiàn)用戶(hù)，需要通過(guò)生成樹(shù)等二層技術(shù)的特性，對(duì)用戶(hù)設(shè)備的接入起到限制作用，同時(shí)在網(wǎng)絡(luò)層制定安全策略，來(lái)提升網(wǎng)絡(luò)的隱蔽性。（4）網(wǎng)絡(luò)滿(mǎn)足公司業(yè)務(wù)的長(zhǎng)期發(fā)展。隨著公司的不斷發(fā)展，公司業(yè)務(wù)的日益增長(zhǎng)，企業(yè)規(guī)模也逐漸壯大，在網(wǎng)絡(luò)層面上不斷地涌現(xiàn)出了新興的需求。例如：移動(dòng)端的不斷增加，需要公司支持全覆蓋的WLAN等技術(shù)，來(lái)提供移動(dòng)辦公的能力等。企業(yè)網(wǎng)絡(luò)建設(shè)要有效地滿(mǎn)足這些增值業(yè)務(wù)的需求，解決企業(yè)網(wǎng)絡(luò)重復(fù)建設(shè)，浪費(fèi)投資的狀況。（5）技術(shù)人員的工作能力和經(jīng)驗(yàn)水平要處于較高水準(zhǔn)。運(yùn)維人員對(duì)故障解決的有效程度，定位問(wèn)題的精準(zhǔn)程度，可以最大程度上減少網(wǎng)絡(luò)運(yùn)維的壓力，以及網(wǎng)絡(luò)業(yè)務(wù)中斷后無(wú)法及時(shí)恢復(fù)等狀況的發(fā)生。工程師可以通過(guò)觀察設(shè)備的指示燈和命令行界面彈出的異常日志，來(lái)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)環(huán)境的健康程度。2.5開(kāi)發(fā)環(huán)境為了更好的實(shí)現(xiàn)系統(tǒng)功能，本系統(tǒng)采用了CiscoPacketTracer模擬器。該模擬器是由Cisco公司專(zhuān)門(mén)研發(fā)，為初次接觸網(wǎng)絡(luò)技術(shù)的人員準(zhǔn)備，可以使用模擬器進(jìn)行網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)、規(guī)劃、搭建、配置等，可以模擬數(shù)據(jù)包的傳輸，以及業(yè)務(wù)流量的轉(zhuǎn)發(fā)。PacketTracer模擬器使用圖形化界面，觀看清晰，操作便捷，功能卻又十分強(qiáng)勁。操作者可以直接在模擬器上搭建公司的拓?fù)洌ㄟ^(guò)發(fā)送數(shù)據(jù)包，模擬公司網(wǎng)絡(luò)的運(yùn)行情況。

第三章總體設(shè)計(jì)3.1系統(tǒng)總體設(shè)計(jì)公司網(wǎng)絡(luò)的設(shè)計(jì)思路清晰，架構(gòu)劃分明確，分別由用戶(hù)接入層、邊緣匯聚層和核心交換層構(gòu)造而成。各個(gè)部門(mén)的用戶(hù)將計(jì)算機(jī)等終端設(shè)備連接至接入層的設(shè)備，接入層的設(shè)備再通過(guò)冗余鏈路，連接至匯聚層的設(shè)備，最后通過(guò)核心層設(shè)備將各個(gè)骨干網(wǎng)絡(luò)相連接，經(jīng)過(guò)公司的出口設(shè)備通向運(yùn)營(yíng)商的Internet。接入層的設(shè)備，為了將公司的終端設(shè)備按照各個(gè)部門(mén)的真實(shí)情況進(jìn)行劃分，應(yīng)配置VLAN相關(guān)的技術(shù)，為每個(gè)部門(mén)創(chuàng)建一個(gè)獨(dú)立的廣播域，將其沖突域封鎖在自身內(nèi)部。由于公司購(gòu)有大量的計(jì)算機(jī)、服務(wù)器、打印機(jī)等終端設(shè)備，手動(dòng)調(diào)配網(wǎng)絡(luò)地址的方式已然不能成為首選方式，需采用高效的DHCP技術(shù)，從服務(wù)器的網(wǎng)絡(luò)地址池中自動(dòng)分配網(wǎng)絡(luò)地址。公司還在休息區(qū)建立了良好的無(wú)線(xiàn)上網(wǎng)環(huán)境，用戶(hù)可通過(guò)登錄WIFI接入網(wǎng)絡(luò)，實(shí)現(xiàn)網(wǎng)上沖浪等操作。匯聚層的設(shè)備，使用生成樹(shù)等二層技術(shù)，避免流量環(huán)路的產(chǎn)生。使用端口匯聚技術(shù)，從邏輯上加大設(shè)備之間的網(wǎng)絡(luò)帶寬。使用網(wǎng)關(guān)熱備份的機(jī)制，避免由于公司的主設(shè)備故障造成的業(yè)務(wù)中斷等問(wèn)題，并可以使設(shè)備之間靈活的切換。核心層的設(shè)備，使用EIGRP專(zhuān)有的路由協(xié)議，配置在公司網(wǎng)絡(luò)的中樞設(shè)備中，實(shí)現(xiàn)公司全部設(shè)備間的互通。由于公司的網(wǎng)站服務(wù)器存放著所有員工的信息，為了防止游客通過(guò)WIFI連入造成信息泄密，在R3路由器上配置ACL列表，限制無(wú)線(xiàn)網(wǎng)絡(luò)用戶(hù)對(duì)網(wǎng)站服務(wù)器的登入和訪(fǎng)問(wèn)。在出口設(shè)備配置NAT技術(shù)，隱藏公司內(nèi)部私有的IP地址，并做到對(duì)外部公有的IP地址映射，嚴(yán)格保護(hù)信息的安全。3.2功能模塊設(shè)計(jì)3.2.1網(wǎng)絡(luò)拓?fù)溥壿嬙O(shè)計(jì)本公司為一棟4層樓的辦公寫(xiě)字樓，一層樓為休息區(qū)，二層樓為財(cái)務(wù)部和技術(shù)服務(wù)部的辦公場(chǎng)所，三層樓為人事部和管理部辦公場(chǎng)所，四層樓為中央機(jī)房。各個(gè)樓層之間的設(shè)備，按拓?fù)鋱D實(shí)施連接，最終接入至運(yùn)營(yíng)商的網(wǎng)絡(luò)入口。網(wǎng)絡(luò)拓?fù)鋱D如圖3.1所示。IInternet出口路由器核心層核心層二樓核心層四樓匯聚層二樓核心層四樓匯聚層三樓匯聚層一樓匯聚層接入層服務(wù)器設(shè)備接入接入層人事部、管理部接入層服務(wù)器設(shè)備接入接入層人事部、管理部接入層財(cái)務(wù)部、技術(shù)部接入層無(wú)線(xiàn)用戶(hù)設(shè)備接入圖3-1網(wǎng)絡(luò)拓?fù)鋱D3.2.2接入層詳細(xì)設(shè)計(jì)公司各個(gè)部門(mén)有著不同的職責(zé)，各自的計(jì)算機(jī)等終端設(shè)備，通過(guò)接入層的設(shè)備連接至中樞核心網(wǎng)絡(luò)，具體情況如圖3-2所示。接入層接入層休息區(qū)人事部管理部財(cái)務(wù)部休息區(qū)人事部管理部財(cái)務(wù)部技術(shù)部中心機(jī)房中心服務(wù)器網(wǎng)絡(luò)技術(shù)支持無(wú)中心服務(wù)器網(wǎng)絡(luò)技術(shù)支持無(wú)線(xiàn)WIFI用戶(hù)維護(hù)工作紀(jì)律人員調(diào)度固定資產(chǎn)管理圖3-2接入層詳細(xì)設(shè)計(jì)3.3網(wǎng)絡(luò)地址設(shè)計(jì)本段用于描述公司各個(gè)部門(mén)的網(wǎng)段規(guī)劃。公司的每個(gè)部門(mén)都需要根據(jù)具體人數(shù)來(lái)規(guī)劃IP地址的數(shù)量，并保留一定量的地址數(shù)，為公司未來(lái)的擴(kuò)招預(yù)留足夠大的空間。每個(gè)部門(mén)對(duì)應(yīng)一個(gè)唯一的網(wǎng)絡(luò)地址段和VLAN號(hào)，該字段要始終保證唯一性，部門(mén)之間不可重復(fù)使用。（1）VLAN及IP地址劃分將公司各個(gè)部門(mén)進(jìn)行相應(yīng)的網(wǎng)絡(luò)地址規(guī)劃，具體包括VLAN號(hào)、網(wǎng)絡(luò)地址、網(wǎng)關(guān)等信息，具體如表3-1所示。表3-1VLAN及IP地址規(guī)劃部門(mén)名稱(chēng)VLAN名稱(chēng)IP地址范圍網(wǎng)關(guān)備注財(cái)務(wù)部VLAN10/2454二樓技術(shù)服務(wù)部VLAN20/2454二樓人事部VLAN30/2454三樓管理部VLAN40/2454三樓休息區(qū)VLAN1/2454一樓中心機(jī)房VLAN1/2454四樓（2）設(shè)備管理地址劃分公司網(wǎng)絡(luò)內(nèi)的終端設(shè)備都通過(guò)光纖等介質(zhì)，直接或間接地連接到接入層的設(shè)備。三層設(shè)備的每一個(gè)端口，在其連接的邏輯子網(wǎng)當(dāng)中，都起到網(wǎng)關(guān)的作用，為底層流量指明出方向。為了方便管理和易于記憶，在配置網(wǎng)關(guān)的IP地址時(shí)要富有規(guī)律，三層設(shè)備端口IP地址的主機(jī)號(hào)，均置位為“1”；當(dāng)同一網(wǎng)段內(nèi)有且僅有兩個(gè)設(shè)備相互連接時(shí)，這兩臺(tái)設(shè)備端口IP地址的主機(jī)號(hào)，分別置位為“1”和“2”。對(duì)公司的二層交換機(jī)、三層交換機(jī)、路由器等設(shè)備的端口進(jìn)行了IP地址規(guī)劃，具體如表3-2所示。表3-2設(shè)備管理地址規(guī)劃設(shè)備名稱(chēng)端口名稱(chēng)IP地址/掩碼長(zhǎng)度SW0G0/1/30F0/1/30F0/2/30G0/2/30R2F0/0/28F0/1/28F1/0/30R3G0/1.30/24G0/1.40/24G0/2/30G0/0/28R4F0/0/30F0/1/24ISPG0/1/28G0/0/30SW3-1F0/1/28F0/6/24—VLAN10SW3-2F0/1/28—VLAN20SW2-1F0/10-11VLAN10SW2-2F0/10-11VLAN20SW2-3F0/3VLAN30F0/4VLAN40SW2-4F0/3VLAN30F0/4VLAN40

第四章詳細(xì)設(shè)計(jì)及實(shí)現(xiàn)4.1網(wǎng)絡(luò)配置的設(shè)計(jì)與實(shí)現(xiàn)4.1.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)按照公司的需求設(shè)計(jì)園區(qū)的網(wǎng)絡(luò)拓?fù)洌瑢?shí)現(xiàn)公司內(nèi)網(wǎng)對(duì)Internet的訪(fǎng)問(wèn)，具體規(guī)劃如下：（1）接入層在SW1上創(chuàng)建Vlan10，在SW2上創(chuàng)建Vlan20，并且將財(cái)務(wù)部劃分進(jìn)Vlan10，將技術(shù)服務(wù)部劃分進(jìn)Vlan20。在SW4、SW5上分別創(chuàng)建Vlan30和Vlan40,將人事部劃分到Vlan30，將管理部劃分到Vlan40。（2）匯聚層在MSW0和MSW1上配置生成樹(shù)協(xié)議，防止環(huán)路；配置鏈路聚合協(xié)議和HSRP熱備份路由協(xié)議，增加帶寬，提高鏈路的冗余性。在R3上配置單臂路由，為Vlan30、Vlan40提供網(wǎng)關(guān)。并在所有匯聚層設(shè)備上，使用EIGRP路由協(xié)議，使樓層之間的設(shè)備互通。（3）核心層設(shè)備啟用EIGRP路由協(xié)議，形成全網(wǎng)設(shè)備的互聯(lián)。出口路由器配置NAT技術(shù)，保障Vlan10財(cái)務(wù)部的設(shè)備信息安全。在R3上配置ACL訪(fǎng)問(wèn)控制列表，保障內(nèi)部網(wǎng)站服務(wù)器的網(wǎng)絡(luò)安全。公司網(wǎng)絡(luò)的整體拓?fù)湓O(shè)計(jì)，如圖4-1所示。圖4-1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)4.1.2接入層交換機(jī)的配置（1）配置VTP和VLAN將交換機(jī)SW3-1的VTP模式設(shè)置為服務(wù)端，實(shí)現(xiàn)對(duì)VLAN的統(tǒng)一添加和刪除等管理，設(shè)置VTP的域名為123，密碼也為123。并將交換機(jī)SW3-2、SW1和SW2配置為VTP的客戶(hù)端，域名和密碼與服務(wù)端相同，均為123，保證VLAN配置的統(tǒng)一性。Sw3-1(config)#vtpmodeserverSw3-1(config)#vtpdomain123Sw3-1(config)#vtppassword123Sw3-2(config)#vtpmodeclientSw3-2(config)#vtpdomain123Sw3-2(config)#vtppassword123創(chuàng)建相應(yīng)的VLAN，并將各個(gè)交換機(jī)之間互聯(lián)的鏈路設(shè)置為T(mén)RUNK主干道模式，即可以允許多個(gè)VLAN的訪(fǎng)問(wèn)。Sw3-1(config)#vlan10Sw3-1(config-vlan)#vlan20Sw3-1(config)#intrangef0/2-5Sw3-1(config-if-range)#switchporttrunkencapsulationdot1qSw3-1(config-if-range)#switchportmodetrunk將交換機(jī)與計(jì)算機(jī)互聯(lián)的鏈路設(shè)置為ACCESS訪(fǎng)問(wèn)模式，再將計(jì)算機(jī)劃分至各自部門(mén)所對(duì)應(yīng)的VLAN內(nèi)，交換機(jī)SW2-1和SW2-2同理。Sw2-1(config)#intrangef0/10-11Sw2-1(config-if-range)#switchportmodeaccessSw2-1(config-if-range)#switchportaccessvlan104.1.3匯聚層交換機(jī)的配置（1）配置生成樹(shù)協(xié)議通過(guò)調(diào)節(jié)生成樹(shù)的優(yōu)先級(jí)，將交換機(jī)Sw3-1設(shè)置為VLAN10的根橋，VLAN20的次根橋。Sw3-2的配置與之相反，將VLAN20設(shè)置為根橋，VLAN10設(shè)置為次根橋。通過(guò)堵塞交換機(jī)端口，使每個(gè)VLAN的流量形成一個(gè)樹(shù)狀的路線(xiàn)，在交換機(jī)之間的默認(rèn)路線(xiàn)只有1條，防止環(huán)路的發(fā)生。Sw3-1(config)#spanning-treevlan10priority0Sw3-1(config)#spanning-treevlan20priority4096（2）配置HSRP熱備份協(xié)議通過(guò)配置HSRP協(xié)議，指定一個(gè)虛擬的IP網(wǎng)關(guān)，形成活躍路由器和備份路由器。使Sw3-1為VLAN10的活躍路由器（優(yōu)先級(jí)高的為主），為VLAN20的備份路由器，指定VLAN10的虛擬IP地址為，VLAN20的虛擬IP地址為，開(kāi)啟搶占機(jī)制和端口追蹤，定期檢查端口的活躍狀態(tài)，交換機(jī)Sw3-2與Sw3-1的配置相反。Sw3-1(config)#intvlan10Sw3-1(config-if)#ipaddSw3-1(config-if)#standby1ipSw3-1(config-if)#standby1priority110Sw3-1(config-if)#standby1preemptSw3-1(config-if)#standby1trackf0/1Sw3-1(config-if)#intvlan20Sw3-1(config-if)#ipaddSw3-1(config-if)#standby2ipSw3-1(config-if)#standby2preemptSw3-1(config-if)#standby2trackf0/1（3）鏈路聚合協(xié)議將連接交換機(jī)SW1和SW2的f0/2和f0/3端口,通過(guò)配置PAGP協(xié)議將以太網(wǎng)鏈路進(jìn)行捆綁，端口模式設(shè)置為Desirable來(lái)主動(dòng)發(fā)起協(xié)商，進(jìn)入綁定后的新端口，將鏈路設(shè)置為T(mén)RUNK模式，可以增加鏈路的帶寬，交換機(jī)SW3-2的配置同理。Sw3-1(config)#intrangef0/2-3Sw3-1(config-if-range)#channel-protocolpagpSw3-1(config-if-range)#channel-group1modedesirableSw3-1(config)#intport-channel1Sw3-1(config-if)#switchporttrunkencapsulationdot1qSw3-1(config-if)#switchportmodetrunk（4）配置單臂路由在路由器R3上配置單臂路由，通過(guò)在路由器的接口下配置邏輯子接口的形式，實(shí)現(xiàn)不同VLAN之間的相互通信。首先開(kāi)啟路由器的母接口，再進(jìn)入子接口，用dot1Q協(xié)議封裝子接口，最后配上端口的IP地址。R3(config)#intg0/1R3(config-if)#noshutdownR3(config-if)#intg0/1.30R3(config-subif)#encapsulationdot1Q30R3(config-subif)#ipaddR3(config-subif)#intg0/1.40R3(config-subif)#encapsulationdot1Q40R3(config-subif)#ipadd4.1.4核心層交換機(jī)的配置（1）配置EIGRP路由協(xié)議在核心交換層設(shè)備上配置EIGRP路由協(xié)議，以Sw0為例，配置進(jìn)程號(hào)為100的EIGRP路由協(xié)議，關(guān)閉自動(dòng)匯總，宣告直連的網(wǎng)段，其他使用EIGRP協(xié)議的路由器配置同理。Sw0(config)#routereigrp100Sw0(config-router)#networkSw0(config-router)#networkSw0(config-router)#networkSw0(config-router)#networkSw0(config-router)#noauto-summary（2）配置ACL訪(fǎng)問(wèn)控制列表在R3路由器上配置編號(hào)為100的擴(kuò)展ACL訪(fǎng)問(wèn)控制列表，阻止無(wú)線(xiàn)用戶(hù)對(duì)公司內(nèi)部WEB網(wǎng)站的訪(fǎng)問(wèn)行為，允許其通過(guò)WIFI訪(fǎng)問(wèn)外網(wǎng)的資源，限制作用在路由器入方向上的g0/0端口。R3(config)#access-list101denytcp5hosteqwwwR3(config)#access-list101permitipanyanyR3(config)#intg0/0R3(config-if)#ipaccess-group101in（3）配置NAT地址轉(zhuǎn)換在出口路由器ISP上配置編號(hào)為1的標(biāo)準(zhǔn)ACL訪(fǎng)問(wèn)控制列表，創(chuàng)建一個(gè)可用于被轉(zhuǎn)換的內(nèi)部地址列表，網(wǎng)段為財(cái)務(wù)部的IP地址網(wǎng)段。再創(chuàng)建一個(gè)轉(zhuǎn)換后被使用的外部地址池，地址池名為NAT，地址范圍為-10，子網(wǎng)掩碼為40，把內(nèi)部地址列表和外部地址池的作用域進(jìn)行匹配，作用在g0/0、g0/1端口上，使財(cái)務(wù)部的計(jì)算機(jī)訪(fǎng)問(wèn)外網(wǎng)時(shí)，將其IP地址進(jìn)行隱藏。ISP(config)#access-list1permit55ISP(config)#ipnatpoolNAT0netmask40ISP(config)#ipnatinsidesourcelist1poolNAToverloadISP(config)#intg0/1ISP(config-if)#ipnatinsideISP(config-if)#intg0/1ISP(config-if)#ipnatoutside4.2服務(wù)器的設(shè)計(jì)與實(shí)現(xiàn)4.2.1DHCP服務(wù)器的配置根據(jù)公司內(nèi)的IP地址規(guī)劃情況，在DHCP服務(wù)器上創(chuàng)建相應(yīng)的DHCP地址池，包括網(wǎng)段、子網(wǎng)掩碼、DNS地址、以及網(wǎng)關(guān)等信息。如圖4-2所示，分別為各個(gè)部門(mén)創(chuàng)建了相應(yīng)的地址池。以財(cái)務(wù)部為例，IP地址分配的網(wǎng)段為，子網(wǎng)掩碼為，地址池內(nèi)首個(gè)IP地址設(shè)置為/24，末位IP地址設(shè)置為54/24，網(wǎng)關(guān)地址設(shè)置為/24，DNS服務(wù)器地址設(shè)置為，具體設(shè)置如圖4-2所示。圖4-2DHCP服務(wù)器配置信息4.2.2WEB服務(wù)器的配置在公司的網(wǎng)站服務(wù)器上配置WEB服務(wù)，以服務(wù)器的IP地址作為網(wǎng)站的IP地址，并設(shè)置網(wǎng)站的內(nèi)容。如圖4-3為例，本項(xiàng)目不過(guò)多要求網(wǎng)站的規(guī)模，僅簡(jiǎn)單設(shè)置登陸后的個(gè)性化信息即可。圖4-3WEB服務(wù)器配置信息4.2.3DNS服務(wù)器的配置在DNS服務(wù)器上配置域名解析服務(wù)，為公司提供網(wǎng)站域名的解析功能。服務(wù)器保存著主機(jī)的域名和其IP地址的對(duì)應(yīng)關(guān)系，可以通過(guò)輸入域名，來(lái)訪(fǎng)問(wèn)對(duì)應(yīng)的網(wǎng)站。如圖4-4所示，在“Name”欄中鍵入域名，設(shè)置域名為。在“Address”欄中輸入網(wǎng)站所相應(yīng)的IP地址。通過(guò)建立正向查找和方向查找指針，來(lái)實(shí)現(xiàn)域名的解析。圖4-3DNS服務(wù)器配置信息

第五章系統(tǒng)測(cè)試5.1測(cè)試任務(wù)及目的系統(tǒng)測(cè)試的主要任務(wù)是探究系統(tǒng)環(huán)境運(yùn)行的穩(wěn)定性，相關(guān)技術(shù)配置的準(zhǔn)確性，是否達(dá)到了項(xiàng)目的預(yù)期計(jì)劃，以及是否需要進(jìn)一步提升項(xiàng)目質(zhì)量。系統(tǒng)測(cè)試的主要目的是在模擬環(huán)境下，成功搭建出公司真實(shí)的網(wǎng)絡(luò)環(huán)境，并實(shí)時(shí)觀察整個(gè)網(wǎng)絡(luò)的運(yùn)行情況。可以在項(xiàng)目施工前，就排除網(wǎng)絡(luò)存在的各個(gè)隱患。5.2測(cè)試計(jì)劃我們通過(guò)運(yùn)行相應(yīng)的命令，對(duì)系統(tǒng)進(jìn)行測(cè)試、調(diào)試。可以通過(guò)顯示出的結(jié)果，判斷技術(shù)的運(yùn)行是否成功。常用的測(cè)試命令有：showiproute、showspanning-tree、showipstandby等等。5.3網(wǎng)絡(luò)功能測(cè)試用例5.3.1VTP測(cè)試用例在三層交換機(jī)上通過(guò)showvtpstatus命令查看VTP配置，結(jié)果如表5-1所示，SW3-1成功設(shè)置為VTP的服務(wù)端，SW3-2及其他交換機(jī)成功設(shè)置為VTP的客戶(hù)端。表5-1VTP配置測(cè)試表設(shè)備名稱(chēng)狀態(tài)域名密碼測(cè)試結(jié)果SW3-1Server123123成功SW3-2Client123123成功SW1Client123123成功SW2Client123123成功5.3.2VLAN測(cè)試用例在交換機(jī)上通過(guò)showvlan命令查看vlan的劃分，如表5-2所示，成功創(chuàng)建VLAN10、20、30、40，在其他交換機(jī)上測(cè)試方式同理。表5-2VLAN配置測(cè)試表設(shè)備名稱(chēng)VLAN測(cè)試結(jié)果SW3-1、SW3-2、SW1、SW2VLAN10、20成功SW4、SW5VLAN30、40成功5.3.3生成樹(shù)測(cè)試用例在三層交換機(jī)SW1中通過(guò)showspanning-tree命令查看生成樹(shù)配置，如表5-3所示，VLAN10的RID（根橋ID）為10，BID（非根橋ID）為10（優(yōu)先級(jí)加上VLAN號(hào)），cost值為19，PID(PortID)為128.5等，VLAN20同理。表5-3生成樹(shù)配置測(cè)試表設(shè)備名稱(chēng)VLAN根橋狀態(tài)測(cè)試結(jié)果SW3-1VLAN10主根成功VLAN2O次根成功SW3-2VLAN1O次根成功VLAN2O主根成功5.3.4HSRP測(cè)試用例在三層交換機(jī)中通過(guò)showstandbybri命令查看HSRP協(xié)議配置結(jié)果，如表5-4，6.13所示，VLAN10在HSRP組1當(dāng)中，當(dāng)前是活躍路由器，備份路由器為。VLAN20在HSRP組2當(dāng)中，當(dāng)前是活躍路由器，備份路由器為。表5-4HSRP配置測(cè)試表設(shè)備名稱(chēng)VLAN活躍狀態(tài)測(cè)試結(jié)果SW3-1VLAN10活躍路由器成功VLAN2O備份路由器成功SW3-2VLAN1O備份路由器成功VLAN2O活躍路由器成功5.3.5鏈路聚合測(cè)試用例在三層交換機(jī)中通過(guò)showethsummary命令查看鏈路聚合配置，如表5-5所示，交換機(jī)的F0/2和F0/3已經(jīng)成功綁定為Po1端口，協(xié)議為PAGP，模式為被動(dòng)。表5-5鏈路聚合配置測(cè)試表設(shè)備名稱(chēng)VLAN模式測(cè)試結(jié)果SW3-1F0/2、F0/3Desirable成功SW3-2F0/2、F0/3Desirable成功5.3.6EIGRP測(cè)試用例在核心設(shè)備Sw0通過(guò)showiproute命令查看路由表信息，如表5-6所示，成功收到其他設(shè)備的路由信息，其他路由器同理。表5-6EIGRP配置測(cè)試表設(shè)備名稱(chēng)關(guān)鍵的路由條目路由協(xié)議測(cè)試結(jié)果SW0/24EIGRP成功/24EIGRP成功/24EIGRP成功/24EIGRP成功/24EIGRP成功5.3.7ACL測(cè)試用例在無(wú)線(xiàn)設(shè)備上通過(guò)WWW訪(fǎng)問(wèn)公司內(nèi)部信息網(wǎng)站，如表5-7所示，訪(fǎng)問(wèn)外網(wǎng)時(shí)，訪(fǎng)問(wèn)成功；訪(fǎng)問(wèn)內(nèi)網(wǎng)網(wǎng)站時(shí)，訪(fǎng)問(wèn)超時(shí)，訪(fǎng)問(wèn)控制列表配置成功。表5-7ACL配置測(cè)試表設(shè)備名稱(chēng)訪(fǎng)問(wèn)網(wǎng)站測(cè)試結(jié)果無(wú)線(xiàn)設(shè)備PC4成功失敗5.3.8NAT測(cè)試用例使用財(cái)