計(jì)算機(jī)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)論文(企業(yè)網(wǎng)絡(luò)規(guī)劃)

-3-第二章需求分析2.1背景分析淄博鑫盛網(wǎng)絡(luò)公司成立于2012年，是一家主要從事網(wǎng)絡(luò)系統(tǒng)開(kāi)發(fā)以及網(wǎng)絡(luò)技術(shù)解決方案的企業(yè)，公司在青島還有一個(gè)分公司?？偣緝?nèi)主要建筑物是一棟8層的辦公大樓，青島分公司是一棟4層高的大樓。公司的職能部門(mén)具體情況為：一樓二樓為業(yè)務(wù)部，三樓為財(cái)務(wù)部，四樓為技術(shù)部，五樓為行政部，六樓為研發(fā)部，七樓為人力資源部和公關(guān)部，八樓有董事長(zhǎng)辦公室和會(huì)議窒。青島分公司主要職能是為總公司研發(fā)產(chǎn)品與開(kāi)拓市場(chǎng)，在一樓設(shè)有業(yè)務(wù)部，二樓設(shè)有研發(fā)部和公關(guān)部，三樓設(shè)有人力資源部和財(cái)務(wù)部，四樓是總經(jīng)理辦公室和會(huì)議室。隨著企業(yè)的不斷發(fā)展，為了適應(yīng)辦公自動(dòng)化的現(xiàn)代需求，現(xiàn)要為企業(yè)架設(shè)典型的企業(yè)局域網(wǎng)。2.2應(yīng)用需求分析企業(yè)內(nèi)部網(wǎng)是使用國(guó)際互聯(lián)網(wǎng)技術(shù)，包括TCP/IP協(xié)議而建成的網(wǎng)絡(luò)。下面對(duì)本企業(yè)內(nèi)部網(wǎng)進(jìn)行一些分析。企業(yè)內(nèi)部需要聯(lián)網(wǎng)的節(jié)點(diǎn)數(shù)為200點(diǎn)，信息點(diǎn)分布在1-8樓，網(wǎng)絡(luò)中心位于1樓，整個(gè)大樓采用光纖布線，樓層需要百兆交換到桌面。樓層配線間分別設(shè)在1、3、5、7層。企業(yè)主要包括技術(shù)部，財(cái)務(wù)部，銷售部等，部門(mén)間需要?jiǎng)澐諺lan進(jìn)行隔離。企業(yè)網(wǎng)絡(luò)的主要應(yīng)用分為兩部分：一部分是基礎(chǔ)的網(wǎng)絡(luò)應(yīng)用，它包括內(nèi)部文件共享、辦公自動(dòng)化系統(tǒng)（OA）、郵件和網(wǎng)站服務(wù)等；另一部分是企業(yè)的業(yè)務(wù)應(yīng)用系統(tǒng)。企業(yè)網(wǎng)中大部分的用戶數(shù)據(jù)來(lái)自對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)的訪問(wèn)，同時(shí)業(yè)務(wù)應(yīng)用系統(tǒng)的可靠性的要求也最高。2.2.1企業(yè)網(wǎng)的管理策略基于一些現(xiàn)實(shí)問(wèn)題的考慮，需要對(duì)企業(yè)網(wǎng)做一些管理策略，以方便公司管理人員以及網(wǎng)絡(luò)管理員的管理工作更好的進(jìn)行。整個(gè)公司的用戶數(shù)量較多，為了集中管理，公司內(nèi)部的所有PC和網(wǎng)絡(luò)設(shè)備，均通過(guò)域的模式統(tǒng)一建立管理。同時(shí)在域控制器上設(shè)置一些組策略，可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中所有設(shè)備的統(tǒng)一管理。通過(guò)對(duì)組網(wǎng)技術(shù)和線路的選擇，實(shí)現(xiàn)同時(shí)支持約100臺(tái)pc訪問(wèn)Internet。在分布層交換機(jī)上做一些策略設(shè)置，允許公司的各部門(mén)可以互相訪問(wèn)，但之間的訪問(wèn)要有限制，允許各部門(mén)訪問(wèn)各應(yīng)用服務(wù)器，允許技術(shù)部對(duì)各部門(mén)的訪問(wèn)，不允許其它部門(mén)訪問(wèn)財(cái)務(wù)部，其它部門(mén)只擁有訪問(wèn)本部門(mén)虛擬局域網(wǎng)的權(quán)利。同時(shí)設(shè)置訪問(wèn)策略，允許一些外部網(wǎng)絡(luò)和主機(jī)用戶訪問(wèn)本企業(yè)網(wǎng)。企業(yè)網(wǎng)絡(luò)提供豐富的網(wǎng)絡(luò)服務(wù)，實(shí)現(xiàn)廣泛的資源共享，其中包括通過(guò)文件服務(wù)器實(shí)現(xiàn)的文件共享、通過(guò)設(shè)置Web服務(wù)器實(shí)現(xiàn)企業(yè)信息的共享，通過(guò)電子郵件服務(wù)器的設(shè)置實(shí)現(xiàn)的數(shù)據(jù)共享等。同時(shí)通過(guò)配置虛擬專用網(wǎng)絡(luò)，實(shí)現(xiàn)遠(yuǎn)程登錄和遠(yuǎn)程會(huì)議。在公司邊緣路由器上配置網(wǎng)絡(luò)轉(zhuǎn)換2.2.2網(wǎng)絡(luò)中服務(wù)器簡(jiǎn)介域控制器，域控制器存儲(chǔ)目錄數(shù)據(jù)，管理用戶和域之間的通信（包括用戶登錄過(guò)程、驗(yàn)證和目錄查找）。DNS服務(wù)器，域名系統(tǒng)（DNS）是Internet和TCP/IP的標(biāo)準(zhǔn)名稱服務(wù)。DNS服務(wù)使客戶端計(jì)算機(jī)能夠在網(wǎng)絡(luò)中注冊(cè)并解析DNS域名。網(wǎng)絡(luò)中必須有DNS服務(wù)器才能實(shí)現(xiàn)ActiveDirectory。DHCP服務(wù)器，動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）是一種用于簡(jiǎn)化主機(jī)配置管理的IP標(biāo)準(zhǔn)，DHCP標(biāo)準(zhǔn)使用DHCP服務(wù)器向網(wǎng)絡(luò)中的DHCP客戶端動(dòng)態(tài)地分配IP地址及其它與IP相關(guān)的配置數(shù)據(jù)。文件服務(wù)器，具有分時(shí)系統(tǒng)管理的全部功能，能夠?qū)θW(wǎng)統(tǒng)一管理，能夠提供網(wǎng)絡(luò)用戶訪問(wèn)文件、目錄的并發(fā)控制和安全保密措施。E-mail服務(wù)器，郵件服務(wù)器使得局域網(wǎng)中的所有用戶可以通過(guò)郵件來(lái)互通信息。Web服務(wù)器，就是用于實(shí)現(xiàn)員工訪問(wèn)公司內(nèi)部網(wǎng)頁(yè)的服務(wù)，辦公局域網(wǎng)中用戶通過(guò)此服務(wù)器可以實(shí)現(xiàn)共享內(nèi)容的網(wǎng)頁(yè)訪問(wèn)，從而達(dá)到更好的共享效果，同時(shí)訪問(wèn)也更方便。流媒體服務(wù)器，不僅可以讓辦公環(huán)境內(nèi)的所有用戶共享播放一些視頻資料，同時(shí)也有利于實(shí)現(xiàn)視頻通話，網(wǎng)絡(luò)廣播等應(yīng)用。代理服務(wù)器，是一種重要的安全功能，它主要起防火墻的作用。代理服務(wù)器大多被用來(lái)連接INTERNET（國(guó)際互聯(lián)網(wǎng)）和INTRANET（局域網(wǎng)）。VPN服務(wù)器，VPN又叫做虛擬專用網(wǎng)絡(luò)，VPN技術(shù)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)安全的加密通道在公共網(wǎng)絡(luò)中傳播。AAA服務(wù)器，AAA服務(wù)器是認(rèn)證服務(wù)器，替無(wú)線客戶端到認(rèn)證服務(wù)器身份驗(yàn)證的客戶端（radius客戶端），兩者之間要有IP連接。在AAA服務(wù)器上設(shè)置radius客戶端地址和加密密碼，在radius客戶端也要設(shè)置認(rèn)證服務(wù)器的IP地址和加密密碼。驗(yàn)證無(wú)線登錄的用戶名和密碼，必須分別在認(rèn)證服務(wù)器和無(wú)線登錄的計(jì)算機(jī)上設(shè)置。2.2.3操作系統(tǒng)的選擇WindowsServer2003以其安全性、可靠性、可用性和可伸縮性而受到諸多系統(tǒng)管理員的青睞，成為中小企業(yè)網(wǎng)絡(luò)中最流行的網(wǎng)絡(luò)操作系統(tǒng)。對(duì)于辦公網(wǎng)絡(luò)來(lái)說(shuō)，WindowsServer2003無(wú)疑是一個(gè)非常理想的平臺(tái)。利用WindowsServer2003，可以根據(jù)網(wǎng)絡(luò)辦公的需要，以集中或分布的方式充當(dāng)各種網(wǎng)絡(luò)服務(wù)器，為辦公網(wǎng)絡(luò)提供幾乎所有的最基本的網(wǎng)絡(luò)服務(wù)。因此，服務(wù)器端選用WindowsServer2003，客戶端選用Windows7操作系統(tǒng)。2.3安全需求企業(yè)的網(wǎng)絡(luò)安全主要是對(duì)各服務(wù)器進(jìn)行授權(quán)訪問(wèn)，并進(jìn)行病毒防護(hù)，數(shù)據(jù)備份，對(duì)企業(yè)內(nèi)部計(jì)算機(jī)進(jìn)行統(tǒng)一集中式的管理以及遠(yuǎn)程用戶對(duì)公司網(wǎng)絡(luò)的安全訪問(wèn)。企業(yè)網(wǎng)絡(luò)的安全還包括各部門(mén)虛擬局域網(wǎng)之間的有限制性的訪問(wèn)。2.4網(wǎng)絡(luò)擴(kuò)展性需求首先要使得當(dāng)前架設(shè)的網(wǎng)絡(luò)盡可能的高性價(jià)比，即以最少的價(jià)錢(qián)實(shí)現(xiàn)最滿意的性能需求。另一方面也要立足長(zhǎng)遠(yuǎn)，考慮到企業(yè)未來(lái)的發(fā)展情況，使得企業(yè)網(wǎng)絡(luò)能夠在未來(lái)可以方便地向更高端更大范圍的擴(kuò)展，達(dá)到新的技術(shù)及應(yīng)用需求。2.5實(shí)現(xiàn)目標(biāo)首先是資源共享，企業(yè)內(nèi)部的資源可以被授權(quán)的員工共享訪問(wèn)，包括文件，打印機(jī)等；其次是企業(yè)內(nèi)部的通信，企業(yè)內(nèi)部各部門(mén)可以在限制范圍內(nèi)實(shí)現(xiàn)通信，外出員工也可以安全地遠(yuǎn)程到企業(yè)內(nèi)部網(wǎng)，部分員工也可以由內(nèi)部網(wǎng)絡(luò)安全地訪問(wèn)互聯(lián)網(wǎng)；最后是通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)對(duì)企業(yè)的統(tǒng)一管理。第三章邏輯網(wǎng)絡(luò)設(shè)計(jì)第三章邏輯網(wǎng)絡(luò)設(shè)計(jì)3.1組網(wǎng)技術(shù)選擇組建一個(gè)適合于企業(yè)需求，高性價(jià)比，實(shí)用的網(wǎng)絡(luò)是十分有意義的。中小企業(yè)組網(wǎng)同樣要遵循下述原則，有先進(jìn)性，可靠性，可擴(kuò)展性，開(kāi)放性，可管理和安全性，同時(shí)還應(yīng)具有實(shí)用，經(jīng)濟(jì)，可升級(jí)等特點(diǎn)。吉比特以太網(wǎng)是建立在以太網(wǎng)標(biāo)準(zhǔn)基礎(chǔ)之上的技術(shù)，并利用了原以太網(wǎng)標(biāo)準(zhǔn)所規(guī)定的全部技術(shù)規(guī)范，吉比特以太網(wǎng)也支持流量管理技術(shù)，它保證在以太網(wǎng)上的服務(wù)質(zhì)量，這些技術(shù)包括IEEE802.1P、第二層優(yōu)先級(jí)、第三層優(yōu)先級(jí)的QoS編碼位、特別服務(wù)和資源預(yù)留協(xié)議（RSVP）。目前，吉比特以太網(wǎng)已經(jīng)發(fā)展成為主流網(wǎng)絡(luò)技術(shù)。大到成千上萬(wàn)人的大型企業(yè)，小到幾十人的中小型企業(yè)，在建設(shè)企業(yè)局域網(wǎng)時(shí)都會(huì)把千兆以太網(wǎng)技術(shù)作為首選的高速網(wǎng)絡(luò)技術(shù)。因此，最終選用吉比特以太網(wǎng)作為該企業(yè)的組網(wǎng)技術(shù)方案。3.2網(wǎng)絡(luò)設(shè)計(jì)原則實(shí)用性：網(wǎng)絡(luò)建設(shè)的首要原則，企業(yè)網(wǎng)絡(luò)架設(shè)完成后要具備實(shí)用性，要能夠滿足企業(yè)的實(shí)際需求。先進(jìn)性：網(wǎng)絡(luò)建設(shè)要具有超前意識(shí)，具有先進(jìn)的設(shè)計(jì)思想、網(wǎng)絡(luò)結(jié)構(gòu)、軟硬件設(shè)備以及使用先進(jìn)開(kāi)發(fā)工具。開(kāi)放性:開(kāi)放的系統(tǒng)才是具有生命的系統(tǒng)。企業(yè)網(wǎng)絡(luò)要具備開(kāi)放性，能與外部Internet互聯(lián)，也能使受信任的其它企業(yè)網(wǎng)訪問(wèn)互通?？蓴U(kuò)展性：企業(yè)需求會(huì)不斷變化，網(wǎng)絡(luò)系統(tǒng)的建設(shè)是逐步進(jìn)行的，網(wǎng)絡(luò)將在規(guī)模和性能兩方面進(jìn)行一定程度上的擴(kuò)展。安全性：確保系統(tǒng)內(nèi)部的數(shù)據(jù)、數(shù)據(jù)訪問(wèn)傳輸信息的安全的，避免非法用戶訪問(wèn)和攻擊?？煽啃裕罕ＷC系統(tǒng)不間斷為用戶提供服務(wù)，既要實(shí)現(xiàn)設(shè)備和線路的冗余，又要使用UPS電源，保證企業(yè)網(wǎng)絡(luò)設(shè)備在任何突發(fā)狀況下不致于斷電?？晒芾硇裕禾峁╈`活的管理平臺(tái)能夠?qū)Ω髟O(shè)備進(jìn)行統(tǒng)一管理，可管理性既依賴于管理平臺(tái)管理軟件的應(yīng)用，也要求企業(yè)網(wǎng)絡(luò)構(gòu)建過(guò)程中，留有一份完整的網(wǎng)絡(luò)文檔以便于日后察看。最佳性價(jià)比：從總體上看，網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)的關(guān)鍵在于成本與性能的權(quán)衡，在實(shí)現(xiàn)網(wǎng)絡(luò)所要求的功能和服務(wù)的情況下，使用性能和價(jià)格皆適宜的設(shè)備和方案。3.3網(wǎng)絡(luò)拓?fù)鋱D設(shè)計(jì)為了達(dá)到企業(yè)對(duì)網(wǎng)絡(luò)應(yīng)用的需求，應(yīng)該按照上述原則規(guī)劃和設(shè)計(jì)企業(yè)網(wǎng)，在網(wǎng)絡(luò)拓?fù)渖喜捎眯切徒Y(jié)構(gòu)。星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)具有安全，易擴(kuò)展，可靠等特點(diǎn)，在不改變網(wǎng)絡(luò)節(jié)點(diǎn)物理位置的情況下，通過(guò)相應(yīng)的配置，可對(duì)網(wǎng)絡(luò)的邏輯結(jié)構(gòu)進(jìn)行合理地劃分，建立虛擬網(wǎng)絡(luò)。設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是網(wǎng)絡(luò)設(shè)計(jì)的第一步，首先根據(jù)網(wǎng)絡(luò)需求選擇合適的網(wǎng)絡(luò)模型。對(duì)于層次化網(wǎng)絡(luò)模型，可以將企業(yè)網(wǎng)絡(luò)組建的成本降到最低，同時(shí)又能使網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)簡(jiǎn)單。因此在本網(wǎng)絡(luò)設(shè)計(jì)過(guò)程，為企業(yè)選擇層次化網(wǎng)絡(luò)模型為中心設(shè)計(jì)網(wǎng)絡(luò)的拓?fù)鋱D。本企業(yè)網(wǎng)絡(luò)分為核心層，分布層，接入層三層結(jié)構(gòu)，下面分別介紹一下每個(gè)層次。核心層是整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)的核心部分，對(duì)整個(gè)網(wǎng)絡(luò)的互連起到?jīng)Q定性的作用。核心層是整個(gè)網(wǎng)絡(luò)的最核心，為整個(gè)網(wǎng)絡(luò)中數(shù)據(jù)的高速轉(zhuǎn)發(fā)起到關(guān)鍵作用，因此核心層在設(shè)計(jì)時(shí)，不應(yīng)設(shè)置策略控制，以免影響流量的轉(zhuǎn)發(fā)速度。分布層是連接核心層和接入層關(guān)鍵位置，通常在上面做一些策略的設(shè)置，比如創(chuàng)建和管理vlan、流量訪問(wèn)控制等。通過(guò)創(chuàng)建vlan可實(shí)現(xiàn)對(duì)部門(mén)的統(tǒng)一管理，通過(guò)設(shè)置訪問(wèn)控制策略，控制不同部門(mén)間的相互訪問(wèn)。接入層用于連接終端用戶，將他們連接到分布層。接入層將帶寬域分解，用以滿足需要大量帶寬或不能忍受由共享帶寬導(dǎo)致可變延遲特性的特定程序的需要。企業(yè)網(wǎng)大體分為服務(wù)器群，樓宇接入群，企業(yè)邊緣接入群，分支機(jī)構(gòu)四個(gè)模塊。綜合上述因素考慮，為本企業(yè)設(shè)計(jì)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下所示：圖3-1企業(yè)網(wǎng)拓?fù)鋱D第五章IP地址規(guī)劃及網(wǎng)絡(luò)設(shè)備配置第四章網(wǎng)絡(luò)設(shè)備選型4.1交換機(jī)選型在對(duì)交換機(jī)進(jìn)行選購(gòu)時(shí)，要參考一些基本的指標(biāo)，有網(wǎng)絡(luò)接口類型，用戶可用槽數(shù)和端口密度等，也會(huì)參考一些功能指標(biāo)，如支持VLAN的數(shù)量，是否支持堆疊，是否可網(wǎng)管等，還會(huì)參考一些性能指標(biāo)，如背板帶寬，包轉(zhuǎn)發(fā)率，支持的MAC地址數(shù)量和服務(wù)質(zhì)量保證，最后會(huì)參考一些可靠性指標(biāo)，交換機(jī)的可靠性可以從幾個(gè)方面來(lái)評(píng)判：核心交換機(jī)是否支持關(guān)鍵模塊的冗余，鏈路層是否具有彈性恢復(fù)的功能，在網(wǎng)絡(luò)層是否支持動(dòng)態(tài)路由協(xié)議，是否支持等價(jià)多路由功能，是否支持網(wǎng)關(guān)冗余協(xié)議。針對(duì)企業(yè)網(wǎng)中不同層次的交換機(jī)會(huì)有不同的選擇，在現(xiàn)代企業(yè)網(wǎng)中一般會(huì)為分為核心層交換機(jī)，分布層交換機(jī)，接入層交換機(jī)。企業(yè)的核心層交換機(jī)的背板帶寬基本上在幾十Gbit/s以上，包轉(zhuǎn)發(fā)速率在幾十Mpacket/s以上，可擴(kuò)展百兆比特端口為300個(gè)以上，可擴(kuò)展吉比特端口在100個(gè)左右。分布層交換機(jī)背板帶寬基本上在幾十Gbit/s以上，包轉(zhuǎn)發(fā)速率在幾十Mpacket/s以上，分布層交換機(jī)要有三層以上交換功能和較多的VLAN數(shù)，但是總體性能指標(biāo)要比核心層交換機(jī)低。接入層交換機(jī)的背板帶寬基本上在幾Gbit/s以上，包轉(zhuǎn)發(fā)速率在幾Mpacket/s以上，接入層交換機(jī)一般支持VLAN劃分但不支持第三層功能。在本次設(shè)計(jì)方案中多數(shù)網(wǎng)絡(luò)設(shè)備均采用的是Cisco的網(wǎng)絡(luò)設(shè)備。對(duì)于各層交換機(jī)的選型原則如下：核心交換機(jī)首先根據(jù)以往經(jīng)驗(yàn)，核心層交換機(jī)應(yīng)該選擇Cisco6500系列的交換機(jī)。然后根據(jù)本企業(yè)對(duì)網(wǎng)絡(luò)設(shè)備的性能需求主要是交換容量較大、端口密度比較高，因此需要選擇模塊化的交換機(jī)作為核心層交換機(jī)。其次根據(jù)價(jià)格和性能的比較選擇了C6506-E這款交換機(jī)。分布層交換機(jī)首先作為分布層交換機(jī)最好選擇Cisco4500系列的交換機(jī)，它們是一系列中端、中等密度的模塊化交換機(jī)，提供了強(qiáng)大的智能服務(wù)。其次綜合企業(yè)的需求以及成本的考慮為本企業(yè)選擇了CWS-C4503這一款交換機(jī)作為分布層交換機(jī)，相比較性價(jià)比很高，同時(shí)能滿足企業(yè)的可擴(kuò)展性需求。接入層交換機(jī)對(duì)于接入層交換機(jī)的各方面性能要求不是那么高，只需要簡(jiǎn)單匯聚來(lái)自接入層的流量到分布層，需要有較多的端口數(shù)量，以及提供桌面快速以太網(wǎng)和千兆以太網(wǎng)的連接即可。根據(jù)分析可選擇Cisco2960系列交換機(jī)，基于對(duì)價(jià)格的考慮可選擇C2960-24TC-L這一款交換機(jī)作為接入層交換機(jī)。最終為企業(yè)網(wǎng)所選擇的交換機(jī)類型分別為Catalyst6506、Catalyst4503、Catalyst2960-24三款交換機(jī)，其基本參數(shù)如下表所示：表4-1交換機(jī)參數(shù)應(yīng)用層級(jí)名稱傳輸速率背板帶寬包轉(zhuǎn)發(fā)率端口結(jié)構(gòu)參考價(jià)格核心層C6506-E10/100/1000Mbps480Gbps243Mpps模塊化￥2.1萬(wàn)分布層C4506WS-C450310/100/1000Mbps64Gbps75Mpps模塊化￥4800接入層C2960-24TC-L10/100Mbps4.4Gbps6.5Mpps非模塊化￥47004.2路由器選型在對(duì)路由器進(jìn)行選購(gòu)時(shí)，和交換機(jī)一樣，要參考一些基本的指標(biāo)，有網(wǎng)絡(luò)接口類型，用戶可用槽數(shù)和端口密度等，也要參考一些功能指標(biāo)，如對(duì)路由協(xié)議的支持，PPPOE的支持，組播的支持，VPN的支持以及硬件加密方式等。在對(duì)性能指標(biāo)的考核上，主要是看全雙工線速轉(zhuǎn)發(fā)能力，設(shè)備吞吐量，端口吞吐量，背靠背幀數(shù)，路由表能力，背板能力，丟包率，時(shí)延，QoS能力等，而在對(duì)可靠性的指標(biāo)考查上，主要是對(duì)冗余，熱插拔組件，路由器冗余協(xié)議的考量。因此，本網(wǎng)絡(luò)路由器選擇Cisco2811，其基本參數(shù)如下所示：表4-2路由器參數(shù)名稱端口局域網(wǎng)接口傳輸速率VPNQoS防火墻網(wǎng)絡(luò)管理參考價(jià)格Cisco2811模塊化2個(gè)10/100Mbps支持支持內(nèi)置SNMP￥5800在總部和分支機(jī)構(gòu)的會(huì)議室都設(shè)有無(wú)線路由，對(duì)于無(wú)線路由選用企業(yè)級(jí)無(wú)線路由器H3CER2210C,其基本配置如下：表4-3無(wú)線路由器參數(shù)名稱最高速率WAN口LAN口VPNQoS防火墻天線參考價(jià)格H3CER2210C3.1Mbps1個(gè)10/100Mbps4個(gè)10/100Mbps支持支持內(nèi)置外置全向天線，1根￥24504.3防火墻選型在選購(gòu)防火墻時(shí)，用戶首先要明確自己的業(yè)務(wù)需求和未來(lái)的發(fā)展規(guī)劃?？紤]到防火墻產(chǎn)品類型，有基于包過(guò)濾技術(shù)的防火墻、基于代理的防火墻、基于狀態(tài)監(jiān)測(cè)的防火墻。同時(shí)要考慮到防火墻支持的LAN接口，這關(guān)系到防火墻所能保護(hù)的網(wǎng)絡(luò)類型和所能保護(hù)的不同內(nèi)網(wǎng)數(shù)目。同時(shí)要考查防火墻的協(xié)議支持、加密支持、認(rèn)證支持、NAT支持和防御功能、管理功能以及記錄和報(bào)表功能等。在性能指標(biāo)上，主要看重并發(fā)連接數(shù)和吞吐量。本設(shè)計(jì)中防火墻擬選擇華為USG2230。其基本參數(shù)如下表所示。表4-4防火墻參數(shù)名稱網(wǎng)絡(luò)端口入侵檢測(cè)管理方式VPN控制端口處理器價(jià)格華為USG22302GEComboDos，DDoS命令行、web支持Console口多核￥1.85萬(wàn)4.4服務(wù)器選型服務(wù)器是指在網(wǎng)絡(luò)環(huán)境下為客戶機(jī)提供某種服務(wù)的專用計(jì)算機(jī)，服務(wù)器中安裝有網(wǎng)絡(luò)操作系統(tǒng)和各種應(yīng)用系統(tǒng)軟件。服務(wù)器必須具備高可靠性，高可用性，高可擴(kuò)充性等特點(diǎn)。服務(wù)器分為入門(mén)級(jí)服務(wù)器，工作組級(jí)服務(wù)器，部門(mén)級(jí)服務(wù)器和企業(yè)級(jí)服務(wù)器。入門(mén)級(jí)服務(wù)器通常只使用一塊CPU，可以滿足中小型網(wǎng)絡(luò)用戶和需求，工作組級(jí)服務(wù)器有1～2個(gè)CPU，適用于為中小型企業(yè)提供Web、Email等服務(wù)，部門(mén)級(jí)服務(wù)器通常支持2～4個(gè)CPU，部門(mén)級(jí)服務(wù)器是企業(yè)網(wǎng)絡(luò)中分散的各基層數(shù)據(jù)采集單位與最高層數(shù)據(jù)中心保持順利連通的必要環(huán)節(jié)，適合中型企業(yè)作為數(shù)據(jù)中心、Web站點(diǎn)。企業(yè)級(jí)服務(wù)器是高端服務(wù)器，可支持4～8個(gè)處理器，具有高內(nèi)存帶寬和極為優(yōu)秀的擴(kuò)展性能、系統(tǒng)性能，企業(yè)級(jí)服務(wù)器主要適用于大型企業(yè)和諸如金融、證券、交通、郵電、通信等重要行業(yè)，可用于提供企業(yè)資源計(jì)劃、電子商務(wù)、辦公自動(dòng)化等服務(wù)。服務(wù)器按用途可分為通用型服務(wù)器和專用型服務(wù)器兩種，通用型服務(wù)器可以提供各種服務(wù)功能，專有型服務(wù)器是專門(mén)為某一種或幾種功能專門(mén)設(shè)計(jì)的服務(wù)器。服務(wù)器如果按照機(jī)箱結(jié)構(gòu)來(lái)分，又可以分為塔式服務(wù)器、機(jī)架式服務(wù)器和刀片式服務(wù)器。塔式服務(wù)器是目前應(yīng)用最為廣泛最為常見(jiàn)的服務(wù)器，由于具備很好的擴(kuò)展功能，在配置上也可以根據(jù)用戶需求進(jìn)行升級(jí)，能滿足企業(yè)大部分的應(yīng)用需求。機(jī)架式服務(wù)器是安裝在機(jī)架上的服務(wù)器，節(jié)省了機(jī)房的空間，機(jī)架式服務(wù)器的性能也不遜于塔式服務(wù)器。刀片式服務(wù)器是比機(jī)架式更緊湊整合的服務(wù)器結(jié)構(gòu)，每個(gè)刀片就是一臺(tái)獨(dú)立的服務(wù)器。為本企業(yè)網(wǎng)中所選擇的服務(wù)器都是來(lái)自IBM，其功能比較完善，性價(jià)比相對(duì)較高，容易維護(hù)和管理。綜合考慮為本企業(yè)選擇了幾款主要的服務(wù)器，其他服務(wù)器的選型不再詳細(xì)說(shuō)明，其參數(shù)如下表：表4-5主服務(wù)器參數(shù)名稱CPU型號(hào)標(biāo)配CPU數(shù)量?jī)?nèi)存容量標(biāo)配硬盤(pán)容量?jī)?nèi)部硬盤(pán)架數(shù)網(wǎng)絡(luò)控制器價(jià)格IBMSystemx3650M47915I31XeonE5-26202GHz1顆4GBDDR3300GB最大支持8塊2.5英寸或3塊3.5英寸四端口千兆網(wǎng)卡￥1.7萬(wàn)表4-6文件服務(wù)器參數(shù)名稱CPU型號(hào)標(biāo)配CPU數(shù)量?jī)?nèi)存容量標(biāo)配硬盤(pán)容量?jī)?nèi)部硬盤(pán)架數(shù)網(wǎng)絡(luò)控制器價(jià)格IBMSystemx3500M4（7383i20）XeonE5-26092.4GHz1顆4GBECCDDR3768GB最大支持8塊2.5英寸四端口千兆網(wǎng)卡￥1.65萬(wàn)表4-7Web服務(wù)器參數(shù)名稱CPU型號(hào)標(biāo)配CPU數(shù)量?jī)?nèi)存容量標(biāo)配硬盤(pán)容量?jī)?nèi)部硬盤(pán)架數(shù)網(wǎng)絡(luò)控制器價(jià)格IBMSystemx3500M4(7383i00)XeonE5-26031.8GHz1顆4GBECCDDR3500GB最大支持8塊2.5英寸四端口千兆網(wǎng)卡￥1.48萬(wàn)4.5UPS選型UPS（UninterruptedPowerSystem），即不間斷電源，主要用于給單臺(tái)計(jì)算機(jī)，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或其他電力電子設(shè)備提供不間斷的電力供應(yīng)。當(dāng)市電輸入正常時(shí)，UPS將市電穩(wěn)壓后供應(yīng)給負(fù)載使用，此時(shí)的UPS就是一臺(tái)交流市電穩(wěn)壓器，同時(shí)它還向機(jī)內(nèi)電池充電；當(dāng)市電中斷（事故停電）時(shí)，UPS立即將機(jī)內(nèi)電池的電能，通過(guò)逆變轉(zhuǎn)換的方法向負(fù)載繼續(xù)供應(yīng)220V交流電，使負(fù)載維持正常工作并保護(hù)負(fù)載設(shè)備軟、硬件不受損壞。APC、山特等是UPS著名品牌，選擇UPS時(shí)最好是選用這些有知名度的品牌，這樣能獲得更好的保障。考慮到網(wǎng)絡(luò)設(shè)備與系統(tǒng)運(yùn)行時(shí)所需要的功率以及擴(kuò)展性，最終選擇了山特城堡系列C10KS10KVA不間斷電源，此UPS的配置如下圖所示，表4-8UPS參數(shù)表額定容量6KVA10KVA輸入輸入配線單相二線+地線電壓范圍120~275V頻率范圍46~64Hz50/60Hz自適應(yīng)輸入功因>0.99輸出電壓范圍220×（1±%1）VAC頻率范圍市電模式：（46~54）Hz/(56~64)Hz(與輸入市電頻率同步)電池模式：50×（±%1）Hz/60×（±%1）Hz電流峰值比3：1額定功率因數(shù)0.8超載能力Load<105%,長(zhǎng)期運(yùn)行：105%<load<125%>1min,125%<load<150%>30sec效率Upto90%電池電壓16pcs×12VDC外形尺寸（mm）W*D*H248*500*616240*500*460248*500*616240*500*460重量（KG）571867.520之所以選擇10KVA的UPS,是考慮到日后網(wǎng)絡(luò)的擴(kuò)展升級(jí)和設(shè)備的增加，選擇6KVA對(duì)于目前規(guī)劃與設(shè)計(jì)的企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)是足夠用的，但是基于對(duì)未來(lái)的展望與規(guī)劃，選擇10KVA才是更好地保證了企業(yè)的投資。第五章IP地址規(guī)劃及網(wǎng)絡(luò)設(shè)備配置5.1IP地址規(guī)劃5.1.1VLAN劃分企業(yè)的公網(wǎng)IP地址為1/29.企業(yè)的內(nèi)部IP地址采用私有IP地址段/16，并且對(duì)企業(yè)網(wǎng)進(jìn)行內(nèi)部局域網(wǎng)VLAN劃分，VLAN劃分有很多好處，比如，可以防止廣播風(fēng)暴的產(chǎn)生，提高網(wǎng)絡(luò)運(yùn)行效率，且方便網(wǎng)絡(luò)的管理維護(hù)。VLAN劃分及地址分配如下：表5-1VALN劃分部門(mén)VLAN地址范圍網(wǎng)關(guān)地址服務(wù)器群vlan10/25DMZ區(qū)服務(wù)器群vlan1128/2529業(yè)務(wù)部vlan20/24財(cái)務(wù)部vlan30/24技術(shù)部vlan40/24行政部vlan50/24研發(fā)部vlan60/24人力資源部vlan70/24公關(guān)部vlan80/24會(huì)議室vlan90/24業(yè)務(wù)部（二）vlan100/24研發(fā)部（二）vlan110/24公關(guān)部（二）vlan120/24人力資源部（二）vlan130/24財(cái)務(wù)部（二）vlan140/24會(huì)議室（二）vlan150/24第五章IP地址規(guī)劃及網(wǎng)絡(luò)設(shè)備配置網(wǎng)絡(luò)設(shè)備IP地址：表5-2服務(wù)器組IP地址服務(wù)器名稱IP地址VLAN網(wǎng)關(guān)DNS服務(wù)器30vlan1129WWW服務(wù)器40vlan1129E-mail服務(wù)器41vlan1129FTP服務(wù)器42vlan1129DHCP服務(wù)器1vlan10AAA服務(wù)器4vlan10管理PCvlan99交換機(jī)IP地址：表5-3交換機(jī)管理IP地址交換機(jī)管理地址（vlan99）設(shè)備名稱服務(wù)器群接入交換機(jī)Switch01號(hào)核心交換機(jī)Core-s12號(hào)核心交換機(jī)Core-s21號(hào)分布交換機(jī)Distri-s12號(hào)分布交換機(jī)Distri-s21號(hào)接入交換機(jī)Switch12號(hào)接入交換機(jī)Switch23號(hào)接入交換機(jī)0Switch34號(hào)接入交換機(jī)1Switch45號(hào)接入交換機(jī)2Switch56號(hào)接入交換機(jī)3Switch67號(hào)接入交換機(jī)4Switch7企業(yè)邊緣接入交換機(jī)5Switch8DMZ區(qū)交換機(jī)6Switch93號(hào)分布交換機(jī)7Distri-s34號(hào)分布交換機(jī)8Distri-s4第五章IP地址規(guī)劃及網(wǎng)絡(luò)設(shè)備配置8號(hào)接入交換機(jī)9Switch109號(hào)接入交換機(jī)0Switch1110號(hào)接入交換機(jī)1Switch12設(shè)備端口IP地址分配如下：表5-4設(shè)備端口地址分配表接口名稱IP地址總部核心層交換機(jī)s1f0/1/30總部核心層交換機(jī)s1f0/2/30總部核心層交換機(jī)s1f0/4/30總部核心層交換機(jī)s2f0/13/30總部核心層交換機(jī)s2f0/27/30總部核心層交換機(jī)s2f0/41/30總部分布層交換機(jī)s1f0/1/30總部分布層交換機(jī)s1f0/24/30總部分布層交換機(jī)s2f0/1/30總部分布層交換機(jī)s2f0/28/30總部分布層交換機(jī)s3f0/10/30總部分布層交換機(jī)s3f0/22/305.2部分配置命令以及網(wǎng)絡(luò)測(cè)試在內(nèi)部的應(yīng)用服務(wù)器群接入交換機(jī)上創(chuàng)建vlan10，并把接入服務(wù)器的各個(gè)接口劃入到vlan10當(dāng)中，同時(shí)為vlan10創(chuàng)建虛擬的接口，將與核心層相連的接口的模式改為trunk，實(shí)現(xiàn)vlan與外部的通信。Switch(config)#vlan10Switch(config-vlan)#intrangef0/3-20Switch(config-if-range)#switchportmodeaccessSwitch(config-if-range)#switchportaccessvlan10Switch(config-if-range)#intvlan10配置SVI接口Switch(config-if)#ipaddress28Switch(config-vlan)#intrangef0/21-24Switch(config-if-range)#switchportmodeaccessSwitch(config-if-range)#switchportaccessvlan99Switch(config-if-range)#intvlan99配置SVI接口Switch(config-if)#ipaddressSwitch(config-if)#intrangef0/1-2Switch(config-if-range)#switchportmodetrunk在dmz區(qū)的服務(wù)器群接入交換機(jī)上創(chuàng)建vlan11，將接入接口劃入到vlan11當(dāng)中，其他接口模式配成trunk，由于交換機(jī)與路由器相連，故在路由器上配置單臂路由實(shí)現(xiàn)vlan與外部的通信。單臂路由如下：Router(config)#interfacef0/1.1Router(config-subif)#encapdot1q11Router(config-subif)#ipadd2928Router(config-subif)#noshut在總部核心層交換機(jī)s1上，與冗余交換機(jī)s2相連的接口配成干道接口，模式為trunk，可以傳遞多種流量信息。Switch(config)#intg0/1配置核心層交換機(jī)的干道接口Switch(config-if)#channel-group1modedesirableSwitch(config-if)#intg0/2Switch(config-if)#channel-group1modedesirableSwitch(config-if)#intport-channel1Switch(config-if)#switchportSwitch(config-if)#switchporttrunkencapsulationdot1qSwitch(config-if)#switchportmodetrunk核心層交換機(jī)與分布層相連的接口上啟用三層接口功能，分別為其分配一個(gè)ip地址，用于與分布層交換機(jī)傳送路由信息。Switch(config)#intf0/1Switch(config-if)#noswitchportSwitch(config-if)#ipaddress52Switch(config-if)#noshut其他兩個(gè)接口的配置同上Switch(config)#intvlan10Switch(config-if)#ipaddress28Switch(config-if)#noshut在核心交換機(jī)與防火墻路由器以及廣域網(wǎng)路由器上配置同一網(wǎng)段的ip地址：Switch(config)#intf0/5Switch(config-if)#noswitchSwitch(config-if)#ipadd848Switch(config-if)#noshut同樣其他三個(gè)接口地址為5-7/29在核心層交換機(jī)上啟動(dòng)動(dòng)態(tài)路由協(xié)議rip，同時(shí)把直連接口加入到路由表中，與其他啟用rip路由協(xié)議的網(wǎng)絡(luò)設(shè)備共享路由信息。Switch(config)#routerripSwitch(config-router)#networkSwitch(config-router)#network同時(shí)加入一條靜態(tài)通向外部網(wǎng)絡(luò)的默認(rèn)路由：Switch(config)#iproute6通向外網(wǎng)的下一跳地址在總部核心層交換機(jī)s2上進(jìn)行和交換機(jī)s1相似的配置，不再詳細(xì)說(shuō)明測(cè)試核心交換機(jī)上的路由信息：圖5-1核心交換機(jī)路由在總部分布層交換機(jī)s1上啟用vtp協(xié)議，域名為net1，模式為server，創(chuàng)建vlan信息，將與同一域名的交換機(jī)共享vlan信息。將與接入層交換機(jī)相連的接口配成trunk模式，傳送不同vlan間的信息。建立vlan和啟用VTP協(xié)議共享VLAN信息Switch(config)#vtpdomainnet1Switch(config)#vtpmodeserverSwitch(config)#intrangef0/3-7Switch(config-if-range)#switchporttrunkencapsulationdot1qSwitch(config-if-range)#switchportmodetrunkSwitch(config-if-range)#vlan20Switch(config-vlan)#vlan30Switch(config-vlan)#vlan40Switch(config-vlan)#vlan50Switch(config-vlan)#vlan60Switch(config-vlan)#vlan70Switch(config-vlan)#vlan80同樣在交換機(jī)s2上啟用VTP協(xié)議，同樣設(shè)置為服務(wù)器模式，共享VLAN信息，并建立vlan信息。設(shè)置s1為vlan20,vlan30,vlan40,vlan50根，用于實(shí)現(xiàn)主交換機(jī)和冗余設(shè)備的負(fù)載均衡：Switch(config)#spanning-treevlan20rootprimarySwitch(config)#spanning-treevlan30rootprimarySwitch(config)#spanning-treevlan40rootprimarySwitch(config)#spanning-treevlan50rootprimarySwitch(config)#spanning-treevlan60rootsecondarySwitch(config)#spanning-treevlan70rootsecondarySwitch(config)#spanning-treevlan80rootsecondary同樣設(shè)置交換機(jī)s2為vlan60,vlan70,vlan80根下面在分布層交換機(jī)s1上為vlan建立SVI接口，192.168.X.1，實(shí)現(xiàn)vlan間的通信。Switch(config)#intvlan20Switch(config-if)#ipaddressSwitch(config-if)#noshutSwitch(config)#intvlan30Switch(config-if)#ipaddressSwitch(config-if)#noshut同樣在vlan40，vlan50，vlan60，vlan70，vlan80上做相同的配置。把與核心層交換機(jī)相連的接口啟動(dòng)三層接口功能，并為其分配一個(gè)地址Switch(config)#intf0/1Switch(config-if)#noswitchportSwitch(config-if)#ipaddress52Switch(config-if)#noshutSwitch(config)#intf0/2Switch(config-if)#noswitchportSwitch(config-if)#ipaddress452Switch(config-if)#noshut在分布層交換機(jī)上啟動(dòng)動(dòng)態(tài)路由協(xié)議rip，并與相連交換機(jī)共享路由信息Switch(config)#routerripSwitch(config-router)#networkSwitch(config-router)#networkSwitch(config-router)#networkSwitch(config-router)#networkSwitch(config-router)#networkSwitch(config-router)#networkSwitch(config-router)#networkSwitch(config-router)#network同時(shí)配置通向外網(wǎng)的默認(rèn)路由：Switch(config)#iproute相連核心交換機(jī)上接口相似的配置在分布層冗余交換機(jī)s2上進(jìn)行配置，這里不再詳細(xì)說(shuō)明在總部接入層交換機(jī)s1上啟用vtp協(xié)議，域名同分布層交換機(jī)為net1，模式為client，從server上獲取動(dòng)態(tài)的vlan信息Switch(config)#vtpdomainnet1Switch(config)#vtpmodeclientSwitch(config)#intrangef0/1-2Switch(config-if-range)#switchportmodetrunk將接入層交換機(jī)與終端用戶相連的接入接口都劃分都對(duì)應(yīng)的vlan中Switch(config-if-range)#intrangef0/3-24Switch(config-if-range)#switchportmodeaccessSwitch(config-if-range)#switchportaccessvlanid(id為vlan號(hào)，s1接入vlan20,s2接入vlan30,s3接入vlan40,,s7接入vlan80,)在dhcp服務(wù)器上配置每個(gè)vlan對(duì)應(yīng)的地址池，使得終端用戶能從這里動(dòng)態(tài)的獲取到地址到現(xiàn)在實(shí)現(xiàn)了企業(yè)網(wǎng)內(nèi)部的連通，測(cè)試一下終端用戶獲取動(dòng)態(tài)地址的情況：圖5-2用戶獲取動(dòng)態(tài)地址下面測(cè)試一下用戶到dmz區(qū)服務(wù)器的情況，如圖可以訪問(wèn)內(nèi)部網(wǎng)站：圖5-3用戶訪問(wèn)內(nèi)部網(wǎng)站無(wú)線用戶連接網(wǎng)絡(luò)的情況：圖5-4移動(dòng)用戶連接無(wú)線網(wǎng)絡(luò)企業(yè)邊緣接入交換機(jī)Switch(config-if)#intrangef0/1-2Switch(config-if-range)#switchportmodetrunk在企業(yè)邊緣路由器上配置到內(nèi)網(wǎng)與外網(wǎng)的路由，實(shí)現(xiàn)內(nèi)外的通信，同時(shí)配置nat地址轉(zhuǎn)換，實(shí)現(xiàn)私有地址到公有網(wǎng)絡(luò)的通信：Router(config)#iproutes0/0/0Router(config)#iproute3防火墻路由器地址Router(config)#ipnatinsidesourcelist1poolnat1overloadRouter(config)#access-list1permit.55Router(config)#ipnatpoolnat111netmask40Router(config)#ints0/0/0Router(config-if)#ipnatinsideRouter(config)#ints0/0/1Router(config-if)#ipnatoutside測(cè)試內(nèi)部用戶上外網(wǎng)的情況：圖5-5用戶與外網(wǎng)通信通過(guò)查看NAT地址轉(zhuǎn)換表，可以看到剛才用戶在訪問(wèn)外網(wǎng)時(shí)其私有地址1已經(jīng)轉(zhuǎn)換成公網(wǎng)地址1，所以對(duì)于外網(wǎng)來(lái)說(shuō)它只能看到流量時(shí)來(lái)自于地址1，而不會(huì)知道企業(yè)內(nèi)部的私有地址，從而保護(hù)了企業(yè)內(nèi)部的數(shù)據(jù)。圖5-6nat地址轉(zhuǎn)換表在樓層交換機(jī)上配置管理vlan99，為其分配地址，及相關(guān)信息，方便網(wǎng)絡(luò)管理員以后對(duì)樓層交換機(jī)的遠(yuǎn)程操作和管理。Switch7(config)#interfacevlan99Switch7(config-if)#ipaddressSwitch7(config-if)#noshutSwitch7(config)#ipdefault-gateway設(shè)定默認(rèn)網(wǎng)關(guān)為分布層交換機(jī)vlan99虛擬交換接口地址配置switch7遠(yuǎn)程登錄密碼和特權(quán)密碼Switch7(config)#enablepasswordciscoSwitch7(config)#linevty015Switch7(config-line)#passwordciscoSwitch7(config-line)#exit從管理計(jì)算機(jī)telnet登錄接入交換機(jī)進(jìn)行管理圖5-7遠(yuǎn)程管理交換機(jī)在分支機(jī)構(gòu)與總部相連的地方使用的是帶有IPSec保護(hù)機(jī)制的VPN，使用ESP加密方式對(duì)數(shù)據(jù)進(jìn)行封裝。在企業(yè)邊緣路由器與分支機(jī)構(gòu)邊緣路由器上首先配置GRE，通過(guò)OSPF動(dòng)態(tài)路由協(xié)議連通。在總部邊緣路由器上所做配置如下：在總部Border路由器上做GRE和OSPF的配置Border-r(config)#inttunnel0Border-r(config-if)#ipaddBorder-r(config-if)#tunnelsources0/0/1Border-r(config-if)#tunneldestina29Border-r(config-if)#exitBorder-r(config)#routerospf1Border-r(config-router)#log-adjacency-changesBorder-r(config-router)#network55area0Border-r(config-router)#network55area0同樣在分支機(jī)構(gòu)邊緣路由器上做相同的配置在總公司邊緣路由器上配置IPSECVPN保護(hù)站點(diǎn)間GRE流量：Router(config)#cryisapoli10Router(config-isakmp)#authpre-shareRouter(config)#cryisakeyciscoadd9Router(config)#ipaccess-listexvpnRouter(config-ext-nacl)#permitgrehost9host9Router(config)#cryipsectransform-setciscoesp-desesp-md5-hmacRouter(config)#crymapcisco10ipsec-isakmpRouter(config-crypto-map)#matchaddvpnRouter(config-crypto-map)#settransform-setciscoRouter(config-crypto-map)#setpeer9Router(config-crypto-map)#ints0/0/1Router(config-if)#crymapcisco同樣在分公司邊緣路由器上配置IPSECVPN保護(hù)站點(diǎn)間GRE流量下面測(cè)試分支機(jī)構(gòu)到總部的連通性，檢查數(shù)據(jù)包，可以看到數(shù)據(jù)包先用GRE協(xié)議進(jìn)行了封裝然后用經(jīng)過(guò)ESP加密封裝，從而實(shí)現(xiàn)了從分支機(jī)構(gòu)到總部安全的訪問(wèn)。圖5-8分部到總部的加密數(shù)據(jù)包圖5-9分部到總部的加密數(shù)據(jù)包第六章服務(wù)器搭建第六章服務(wù)器搭建6.1域控制器選擇“第一臺(tái)服務(wù)器的典型配置”，點(diǎn)擊“下一步”。輸入ActiveDirectory域名“”。點(diǎn)擊“下一步”，使用默認(rèn)NetBIOS域名。服務(wù)器重啟之后，域控制器即安裝完成。點(diǎn)擊“管理您的服務(wù)器”，可以看到域控制器已經(jīng)安裝完成，至此，網(wǎng)絡(luò)中第一臺(tái)域控制器已創(chuàng)建完成。在windowsserver2003中，所有的安全信息都存儲(chǔ)在活動(dòng)目錄中，因此，如果網(wǎng)絡(luò)中只有一臺(tái)域控制器，，網(wǎng)絡(luò)無(wú)法保證其自身的安全性和穩(wěn)定性。多個(gè)域控制器可以一起工作，分擔(dān)用戶的登錄和訪問(wèn)，自動(dòng)備份用戶賬戶和活動(dòng)目錄數(shù)據(jù)，即使部分域控制器癱瘓后網(wǎng)絡(luò)訪問(wèn)仍然不受影響，有助于提高網(wǎng)絡(luò)的安全性的穩(wěn)定性。除了提供容錯(cuò)功能外，多臺(tái)域控制器還可以分擔(dān)審核用戶登錄身份的工作。6.2DNS服務(wù)器在配置您的服務(wù)器向?qū)е?，選中“DNS服務(wù)器”后，選擇“下一步”，開(kāi)始安裝DNS服務(wù)。選擇“創(chuàng)建正向查找區(qū)域”，點(diǎn)擊“下一步”。選擇“這臺(tái)服務(wù)器維護(hù)該區(qū)域”，點(diǎn)擊“下一步”。輸入?yún)^(qū)域名稱“”，點(diǎn)擊“下一步”。選擇“創(chuàng)建新文件，文件名為”，點(diǎn)擊“下一步”。選擇“不允許動(dòng)態(tài)更新”，不接受資源記錄的動(dòng)態(tài)更新，以安全的手動(dòng)方式更新DNS記錄。單擊“下一步”。選中“是，應(yīng)當(dāng)將查詢轉(zhuǎn)發(fā)到下列IP地址的DNS服務(wù)器上”，輸入ISP提供的DNS服務(wù)器的IP地址“68”，點(diǎn)擊“下一步”。作為網(wǎng)絡(luò)中最基本的服務(wù)之一，DNS服務(wù)器一旦出現(xiàn)故障或癱瘓，后果將不堪設(shè)想。因此，局域網(wǎng)中一般都安裝有兩臺(tái)DNS服務(wù)器，一臺(tái)作為主服務(wù)器，一臺(tái)作為輔助服務(wù)器。當(dāng)主DNS服務(wù)器正常運(yùn)行，輔助服務(wù)器只起備份作用，當(dāng)主DNS服務(wù)器發(fā)生故障后，輔助服務(wù)器便立即啟動(dòng)DNS解析服務(wù)。輔助DNS服務(wù)器會(huì)自動(dòng)從主DNS服務(wù)器上獲取相應(yīng)的數(shù)據(jù)，因此，無(wú)須在輔助DNS服務(wù)器中添加各種主機(jī)記錄。以下為搭建輔助服務(wù)器。選擇“輔助區(qū)域”，點(diǎn)擊“下一步”。輸入?yún)^(qū)域名稱“”,該名稱應(yīng)與“主要區(qū)域”中的域名相同，點(diǎn)擊“下一步”。在“IP地址”中輸入主DNS服務(wù)器的IP地址30，點(diǎn)擊“添加”后，點(diǎn)擊“下一步”。主機(jī)記錄也叫A記錄，用于靜態(tài)地建立主機(jī)名與IP地址之間的對(duì)應(yīng)關(guān)系，以便提供正向查詢服務(wù)。因此，必須為每種服務(wù)，如WWW、E-mail、FTP等創(chuàng)建一個(gè)A記錄。在“名稱”文本框中輸入“WWW”，在“IP地址”文本框中輸入www服務(wù)器的ip地址40。單擊“添加主機(jī)”，主機(jī)記錄即創(chuàng)建成功。圖7-1在DNS中創(chuàng)建WWW服務(wù)器記錄在“名稱”文本框中輸入“ftp”，在“IP地址”文本框中輸入ftp服務(wù)器的ip地址42。單擊“添加主機(jī)”，主機(jī)記錄即創(chuàng)建成功。42。單擊“添加主機(jī)”，主機(jī)記錄即創(chuàng)建成功。圖7-2在DNS中創(chuàng)建FTP記錄在“名稱”文本框中輸入“mail”，在“IP地址”文本框中輸入E-mail服務(wù)器的ip地址41。單擊“添加主機(jī)”，主機(jī)記錄即創(chuàng)建成功。圖7-3在DNS中創(chuàng)建mail記錄在菜單選擇“新建郵件交換器（MX）”，保持“主機(jī)或子域”文本框?yàn)榭?，在“郵件服務(wù)器的完全合格的域名（FQDN）”中輸入，單擊“確定”。圖7-4DNS記錄創(chuàng)建6.3DHCP服務(wù)器在配置您的服務(wù)器向?qū)е校x中“DHCP服器”，單擊“下一步”。彈出的“新建作用域向?qū)А贝翱谥校诿Q一欄寫(xiě)上“”,描述一欄寫(xiě)上“XinShengNetworkLtd.”。然后單擊“下一步”。寫(xiě)上“XinShengNetworkLtd.”。然后單擊“下一步”。圖7-5DHCP作用域創(chuàng)建6.4文件服務(wù)器在配置您的服務(wù)器向?qū)е?，選中“文件服務(wù)器”，點(diǎn)擊“下一步”。選中“為此服務(wù)器的新用戶設(shè)置默認(rèn)磁盤(pán)空間配額”，將磁盤(pán)空間限制為500MB，將警告級(jí)別設(shè)置為455MB，并選中“拒絕將磁盤(pán)空間給超過(guò)配額限制的用戶”，單擊“下一步”。選中“是，啟用索引服務(wù)”，單擊“下一步”。創(chuàng)建共享文件夾“D:\public”，單擊“下一步”。選中“管理員有完全訪問(wèn)權(quán)限，其他用戶有只讀訪問(wèn)權(quán)限”，單擊“完成”。6.5Web服務(wù)器在配置您的服務(wù)器向?qū)Т翱谥?，選中“應(yīng)用程序服務(wù)器”，單擊“下一步”。選中“FrontPageServerExtension”和“啟用ASP.NET”，單擊“下一步”。Web服務(wù)器安裝完成后，只要將相關(guān)的網(wǎng)站文件復(fù)制到“C:\Intepub\wwwroot”文件夾中，并將主頁(yè)文檔的文件名設(shè)為“Default.asp”、“Default.htm”或“Index.htm”，即可以域名，IP地址訪問(wèn)該web網(wǎng)站。6.6E-mail服務(wù)器在配置您的服務(wù)器向?qū)Т翱谥?，選中“郵件服務(wù)器”，單擊“下一步”。輸入電子郵件域名“”，單擊“下一步”，再單擊“下一步”，等待windows配置相應(yīng)的組件，完成郵件服務(wù)器的安裝。然后打開(kāi)郵件服務(wù)器，可以對(duì)其進(jìn)行相關(guān)的配置，可以選中服務(wù)器單擊，為用戶添加郵箱，根據(jù)向?qū)瓿膳渲谩?.7VPN服務(wù)器打開(kāi)路由和遠(yuǎn)程訪問(wèn)窗口，右擊服務(wù)器名稱，選中“配置并啟用路由和遠(yuǎn)程訪問(wèn)”。選擇“虛擬專用網(wǎng)絡(luò)訪問(wèn)和NAT”，單擊“下一步”。選擇連接到Internet的網(wǎng)絡(luò)連接，單擊“下一步”。選擇“自動(dòng)”，單擊“下一步”。選擇“否，使用路由和遠(yuǎn)程訪問(wèn)來(lái)對(duì)連接請(qǐng)求進(jìn)行身份驗(yàn)證”，單擊“下一步”。6.8流媒體服務(wù)器在“配置您的服務(wù)器向?qū)А贝翱谥?，單擊“下一步”，便可將此服?wù)器配置成流媒體服務(wù)器。打開(kāi)WindowsMediaService控制臺(tái)窗口，右擊“發(fā)布點(diǎn)”選擇“添加發(fā)布點(diǎn)（向?qū)В边x項(xiàng)，在“內(nèi)容類型”對(duì)話框中，選擇“目錄中的文件”，然后單擊“下一步”。在“發(fā)布點(diǎn)類型”對(duì)話框中選擇“點(diǎn)播發(fā)布點(diǎn)”，單擊“下一步”。在“目錄位置”對(duì)話框中指定該點(diǎn)播發(fā)布點(diǎn)主目錄所在文件夾，然后單擊“下一步”。在“內(nèi)容播放”對(duì)話框中設(shè)置目錄中內(nèi)容的播放順序。單擊“下一步”。這樣，點(diǎn)播發(fā)布點(diǎn)就基本創(chuàng)建完成了。在單播公告向?qū)е芯涂梢赃x擇欲發(fā)布的文件了。第七章綜合布線與實(shí)施第七章綜合布線方案與實(shí)施7.1綜合布線施工要求綜合布線工程設(shè)計(jì)時(shí)，應(yīng)根據(jù)工程項(xiàng)目的性質(zhì)、功能、環(huán)境和近、遠(yuǎn)期用戶需求進(jìn)行設(shè)計(jì)，并應(yīng)考慮施工和維護(hù)方便，明確綜合布線系統(tǒng)工程的質(zhì)量和安全，做到技術(shù)先進(jìn)、經(jīng)濟(jì)合理。綜合布線系統(tǒng)的設(shè)備應(yīng)選用經(jīng)過(guò)國(guó)家認(rèn)可的產(chǎn)品質(zhì)量檢驗(yàn)機(jī)構(gòu)鑒定合格的，符合國(guó)家有關(guān)技術(shù)標(biāo)準(zhǔn)的定型產(chǎn)品。7.2綜合布線子系統(tǒng)綜合布線可以由以下子系統(tǒng)組成：工作區(qū)子系統(tǒng)，配線子系統(tǒng)，干線子系統(tǒng)，設(shè)備間子系統(tǒng)，管理子系統(tǒng)，建筑群子系統(tǒng)。工作區(qū)子系統(tǒng)包括信息插座和相應(yīng)的連接軟線，用戶可以把計(jì)算機(jī)、電話等不同終端接入大樓的網(wǎng)絡(luò)系統(tǒng)。配線子系統(tǒng)應(yīng)根據(jù)環(huán)境條件選用地板下線槽布線、網(wǎng)絡(luò)地板布線、高架地板布線、地板下管道布線等安裝方式。干線子系統(tǒng)垂直通道有電纜孔、管道、電纜豎井等3種方式可以選擇，宜采用電纜豎井方式。設(shè)備間子系統(tǒng)是布線系統(tǒng)中最主要的管理區(qū)域，此系統(tǒng)通常安裝在系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和程控機(jī)系統(tǒng)的主機(jī)房?jī)?nèi)，設(shè)備間內(nèi)的所有進(jìn)線終端設(shè)備應(yīng)采用色標(biāo)區(qū)別各類用途的配線區(qū)，設(shè)備間的位置及大小應(yīng)根據(jù)設(shè)備的數(shù)量、規(guī)模、最佳網(wǎng)絡(luò)中心等內(nèi)容綜合考慮確定。管理子系統(tǒng)對(duì)設(shè)備間、交接間、工作區(qū)的配線設(shè)備、纜線、信息插座等設(shè)施，并按一定的模式進(jìn)行標(biāo)識(shí)和記錄，配線架應(yīng)留出適當(dāng)?shù)目臻g，供擴(kuò)充之用。建筑群子系統(tǒng)由連接各建筑物之間的綜合布線纜線、建筑群配線設(shè)備和跳第七章綜合布線與實(shí)施線組成，建筑物之間的纜線宜采用地下管道或電纜溝的布設(shè)方式，并符合相關(guān)規(guī)定。7.3系統(tǒng)總體設(shè)計(jì)布線的設(shè)計(jì)對(duì)整個(gè)網(wǎng)絡(luò)的設(shè)計(jì)非常重要，所以需要重視。通常布線方案主要有兩大類：集中式布線方案和分布式布線方案。通常根據(jù)建筑物的大小來(lái)選擇布線方案，根據(jù)本企業(yè)的情況，在建筑物內(nèi)使用分布式布線方案，易于企業(yè)以后的擴(kuò)展。而在整個(gè)局域網(wǎng)中，建筑物較少，可以采用集中式布線方案，方便集中管理，但是可用性稍微差一些。為了滿足企業(yè)網(wǎng)絡(luò)的需要，在企業(yè)總部和分支機(jī)構(gòu)大樓內(nèi)都設(shè)有配線間，網(wǎng)絡(luò)中心安排在總部大樓的一樓。為了滿足企業(yè)對(duì)高速高容量的信息通信的需要，系統(tǒng)采用多模光纖作為企業(yè)主干網(wǎng)，建筑物內(nèi)采用超五類非屏蔽布線系統(tǒng)，選用高性能UTP非屏蔽系統(tǒng)，傳輸參數(shù)可達(dá)到200MHz，本設(shè)計(jì)建議采用AVAYA超五類UTP產(chǎn)品，既能當(dāng)前網(wǎng)絡(luò)容量的需求，又為今后新的高速網(wǎng)絡(luò)應(yīng)用留有充足的性能余量。第八章網(wǎng)絡(luò)安全設(shè)計(jì)第八章網(wǎng)絡(luò)安全設(shè)計(jì)8.1物理安全該層次上的安全是指通信線路的安全、物理設(shè)備的安全、機(jī)房的安全等。物理安全主要體現(xiàn)在通信線路的可靠性，軟硬件設(shè)備安全性，設(shè)備的備份，防災(zāi)害能力和防干擾能力，設(shè)備的運(yùn)行環(huán)境，不間斷電源保障等。8.2操作系統(tǒng)安全操作系統(tǒng)的安全即系統(tǒng)層安全，該層次的安全問(wèn)題主要來(lái)自于網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)的安全，通常是Windows2000，Windows2003，Linux等。主要表現(xiàn)在幾個(gè)方面，首先，操作系統(tǒng)本身的缺陷帶來(lái)的不安全因素，主要是身份認(rèn)證，訪問(wèn)控制，系統(tǒng)漏洞等。其次，對(duì)操作系統(tǒng)的安全配置問(wèn)題，不恰當(dāng)?shù)呐渲靡矔?huì)使網(wǎng)絡(luò)留下安全問(wèn)題。最后，不可忽略的是病毒對(duì)操作系統(tǒng)的威脅。8.3網(wǎng)絡(luò)設(shè)備安全8.3.1局域網(wǎng)模塊在服務(wù)器區(qū)通常通過(guò)采用交換架構(gòu)的設(shè)備、采用RFC2827地址過(guò)濾、采用基于主機(jī)的入侵檢測(cè)系統(tǒng)，采用PVLAN保護(hù)各服務(wù)器、操作系統(tǒng)和應(yīng)用程序的防護(hù)和采用防病毒系統(tǒng)等防護(hù)手段。從安全角度講，服務(wù)器區(qū)是最容易被作為攻擊目標(biāo)的區(qū)域。因此，在該區(qū)域需要設(shè)置較多安全防護(hù)手段以抵御各種可能的攻擊威脅。在服務(wù)器區(qū)我們通常使用一臺(tái)交換機(jī)作為各服務(wù)器的接入，這樣可以有效地防止數(shù)據(jù)竊聽(tīng)。同時(shí)，可以設(shè)置RFC2827地址過(guò)濾用于防止地址欺騙。通過(guò)設(shè)置基于主機(jī)和網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，可以有效地防止密碼攻擊、應(yīng)用層攻擊、端口重定向以及未授權(quán)訪問(wèn)等攻擊。另外，PVLAN技術(shù)使得位于同一VLAN的不同服務(wù)器之間相互隔離，有效地防止了利用信任關(guān)系進(jìn)行的攻擊。另外，合