計(jì)算機(jī)網(wǎng)絡(luò)互連設(shè)計(jì)15000字【論文】

無錫職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文）說明書計(jì)算機(jī)網(wǎng)絡(luò)互連設(shè)計(jì)摘要：計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)與管理是保障網(wǎng)絡(luò)能夠正常運(yùn)行的重要環(huán)節(jié)，是一個(gè)非常具備挑戰(zhàn)的項(xiàng)目，這就需要具備深厚的網(wǎng)絡(luò)功底和嚴(yán)格的設(shè)計(jì)。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的逐步發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)的復(fù)雜性也越來越高。與此同時(shí)，信息化時(shí)代逐步映入眼簾，而人類對(duì)信息化服務(wù)的要求也越來越高，網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)與管理的問題越發(fā)的重要。為了滿足人們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的互連設(shè)計(jì)與管理的要求，如何對(duì)龐大而又復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)與管理實(shí)施有效措施已經(jīng)成為網(wǎng)絡(luò)領(lǐng)域中的一項(xiàng)重要研究課題。下面文章就是對(duì)關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)互連設(shè)計(jì)與網(wǎng)絡(luò)系統(tǒng)管理方面的問題進(jìn)行設(shè)計(jì)。在互連設(shè)計(jì)階段，為了解決不同業(yè)務(wù)之間的隔離，有效地降低廣播風(fēng)暴的泛紅，采用了VLAN技術(shù)，該技術(shù)限制了廣播風(fēng)暴在相同的LVAN內(nèi)；為了保障網(wǎng)絡(luò)的高可靠性，采用了雙上行鏈路，接入層兩臺(tái)交換機(jī)使用堆疊，同時(shí)核心層使用MSTP+VRRP組網(wǎng)，防止網(wǎng)絡(luò)出現(xiàn)環(huán)路導(dǎo)致網(wǎng)絡(luò)設(shè)備性能的降低；為了使總部與子公司間能夠相互訪問，采用IPSecVPN技術(shù)，保證數(shù)據(jù)傳輸?shù)陌踩耘c完整性等；在網(wǎng)絡(luò)管理階段，為了對(duì)其進(jìn)行智能化管理，可通過設(shè)計(jì)簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議。關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)管理；網(wǎng)絡(luò)設(shè)計(jì)；綜合布線 目錄TOC\o"1-3"\h\u一. 緒論 1（一）項(xiàng)目背景 1（二）目的與意義 1二. 需求分析 2（一）公司需求分析 2（二）網(wǎng)絡(luò)系統(tǒng)需求分析 2三. 網(wǎng)絡(luò)系統(tǒng)的互連方案 3（一）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 3（二）設(shè)備選型 4（三）VLAN及IP地址規(guī)劃 5（四）MSTP及VRRP應(yīng)用 5（五）網(wǎng)絡(luò)設(shè)備虛擬化 7（六）鏈路備份虛擬化 9（七）DHCP中繼與服務(wù)安全設(shè)計(jì) 10（八）路由協(xié)議應(yīng)用 11四. 無線網(wǎng)絡(luò)及安全設(shè)計(jì) 12（一）無線網(wǎng)絡(luò)基礎(chǔ)設(shè)計(jì) 12（二）AC熱備應(yīng)用 13（三）無線網(wǎng)絡(luò)安全設(shè)計(jì) 13（四）無線性能優(yōu)化 14（五）無線地勘設(shè)計(jì) 14五. 網(wǎng)絡(luò)安全及遠(yuǎn)程接入設(shè)計(jì) 15（一）出口NAT設(shè)計(jì) 16（二）WebPortal用戶認(rèn)證 16（三）應(yīng)用流量控制 16（四）用戶行為策略 16六. 廣域網(wǎng)鏈路配置與安全設(shè)計(jì) 16（一）PPP協(xié)議應(yīng)用 17（二）IPSecVPN應(yīng)用 17（三）路由選路設(shè)計(jì) 18（四）服務(wù)質(zhì)量應(yīng)用 18七. 網(wǎng)絡(luò)系統(tǒng)管理 19（一）SNMP管理 19（二）系統(tǒng)管理平臺(tái) 20（三）網(wǎng)絡(luò)系統(tǒng)應(yīng)用 21八. 綜合布線 23（一）水平子系統(tǒng)設(shè)計(jì) 24（二）管理子系統(tǒng)設(shè)計(jì) 24（三）垂直子系統(tǒng)設(shè)計(jì) 25小結(jié)與致謝 26參考文獻(xiàn) 27 第31頁共27頁無錫職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文）說明書第30頁共26頁緒論（一）項(xiàng)目背景伴隨著互聯(lián)網(wǎng)信息化時(shí)代的到來，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用已經(jīng)成為人類生活中不能夠被替代的通訊工具。即萬物皆可互聯(lián)，則萬物皆需要連網(wǎng)。如果想要實(shí)現(xiàn)信息化交流，就必須建立在網(wǎng)絡(luò)的基礎(chǔ)之上。所以，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)變成了經(jīng)濟(jì)發(fā)展和信息化交流的重要組成部分。下面就是針對(duì)各個(gè)方面的問題進(jìn)行研究和采取的措施。 本設(shè)計(jì)研究的是對(duì)某公司進(jìn)行網(wǎng)絡(luò)與系統(tǒng)的規(guī)劃及管理，該公司在其他地區(qū)有兩個(gè)子公司分別為異地子公司A和異地子公司B。為了能夠讓本公司和異地兩個(gè)子公司之間更方便的交流與溝通，現(xiàn)在要對(duì)該公司采取信息化建設(shè)。同時(shí)為了更好地對(duì)數(shù)據(jù)進(jìn)行管理，提供方便的服務(wù)，需要在本部公司搭建一個(gè)數(shù)據(jù)中心和網(wǎng)絡(luò)系統(tǒng)管理平臺(tái)，實(shí)現(xiàn)公司本部在和異地兩個(gè)子公司通信時(shí)具有高速性和可靠性，同時(shí)為以后公司的網(wǎng)絡(luò)擴(kuò)展奠定基礎(chǔ)。為了提高網(wǎng)絡(luò)的安全且高可靠的信息采集與數(shù)據(jù)傳輸，使其在計(jì)算方面具有高度集中的效率，同時(shí)可以智能化處理業(yè)務(wù)需求，為可持續(xù)發(fā)展，鑄就雄厚軟實(shí)力。又考慮公司信息化辦公的需求，需要在本公司以及異地兩個(gè)子公司有線網(wǎng)絡(luò)的基礎(chǔ)上建設(shè)無線網(wǎng)絡(luò)。為了能夠讓網(wǎng)絡(luò)系統(tǒng)具有穩(wěn)定且可持續(xù)運(yùn)行的環(huán)境，公司將設(shè)計(jì)一系列管理工具，可以收集錯(cuò)誤信息、監(jiān)視故障產(chǎn)生的原因，進(jìn)行智能化的網(wǎng)絡(luò)維護(hù)。為了能夠讓我們的員工正常訪問網(wǎng)絡(luò)資源，通過單獨(dú)的公司網(wǎng)線路有效地降低員工占用網(wǎng)絡(luò)帶寬，其他數(shù)據(jù)業(yè)務(wù)在正常運(yùn)行的過程中不會(huì)受到影響，同時(shí)針對(duì)員工在訪問互聯(lián)網(wǎng)數(shù)據(jù)的時(shí)候提供身份認(rèn)證與信息審計(jì)等服務(wù)，從而控制員工網(wǎng)絡(luò)的工作時(shí)間。（二）目的與意義為了解決不同的業(yè)務(wù)之間的相互隔離，有效地降低廣播風(fēng)暴的泛洪，采用了VLAN技術(shù)，該技術(shù)限制了廣播風(fēng)暴在相同的LVAN內(nèi)。為了保障網(wǎng)絡(luò)的高可靠性，采用了雙上行鏈路，接入層兩臺(tái)交換機(jī)使用堆疊，同時(shí)核心層使用MSTP+VRRP組網(wǎng)，防止網(wǎng)絡(luò)出現(xiàn)環(huán)路導(dǎo)致網(wǎng)絡(luò)設(shè)備性能的降低。為了內(nèi)部網(wǎng)絡(luò)能夠訪問到公網(wǎng)，采用NAT技術(shù)，讓私網(wǎng)地址轉(zhuǎn)化為公網(wǎng)地址出去訪問外網(wǎng)。為了使總部與子公司間能夠相互訪問，采用IPSecVPN技術(shù)，利用esp協(xié)議，3des加密算法，md5認(rèn)證算法保證數(shù)據(jù)傳輸?shù)陌踩耘c完整性。公司總部同時(shí)為了更好地對(duì)數(shù)據(jù)進(jìn)行管理，提供方便的服務(wù)，需要在本部公司搭建一個(gè)數(shù)據(jù)中心和網(wǎng)絡(luò)系統(tǒng)管理平臺(tái)，做一些相關(guān)的服務(wù)來滿足更快、更可靠的數(shù)據(jù)傳輸和信息交換，同時(shí)也能夠增強(qiáng)相關(guān)業(yè)務(wù)設(shè)計(jì)彈性的目的。需求分析（一）公司需求分析本設(shè)計(jì)研究的是對(duì)某公司進(jìn)行網(wǎng)絡(luò)與系統(tǒng)的互連規(guī)劃及管理，該公司在其他地區(qū)有兩個(gè)子公司分別為異地子公司A和異地子公司B。為了能夠讓本公司和異地兩個(gè)子公司之間更方便的交流與溝通，現(xiàn)在要對(duì)該公司采取信息化建設(shè)。同時(shí)為了更好地對(duì)數(shù)據(jù)進(jìn)行管理，提供方便的服務(wù)，需要在本部公司搭建一個(gè)數(shù)據(jù)中心和網(wǎng)絡(luò)系統(tǒng)管理平臺(tái)，實(shí)現(xiàn)公司本部在和異地兩個(gè)子公司通信時(shí)具有高速性和可靠性，同時(shí)為以后公司的網(wǎng)絡(luò)擴(kuò)展奠定基礎(chǔ)。為了提高網(wǎng)絡(luò)的安全且高可靠的信息采集與數(shù)據(jù)傳輸，使其在計(jì)算方面具有高度集中的效率，同時(shí)可以智能化處理業(yè)務(wù)需求，為可持續(xù)發(fā)展，鑄就雄厚軟實(shí)力。又考慮公司信息化辦公的需求，需要在本公司以及異地兩個(gè)子公司有線網(wǎng)絡(luò)的基礎(chǔ)上建設(shè)無線網(wǎng)絡(luò)。又考慮公司信息化辦公的需求，需要在本公司以及異地兩個(gè)子公司有線網(wǎng)絡(luò)的基礎(chǔ)上建設(shè)無線網(wǎng)絡(luò)。為了能夠讓網(wǎng)絡(luò)系統(tǒng)具有穩(wěn)定且可持續(xù)運(yùn)行的環(huán)境，公司將設(shè)計(jì)一系列管理工具，可以收集錯(cuò)誤信息、監(jiān)視故障產(chǎn)生的原因，進(jìn)行智能化的網(wǎng)絡(luò)維護(hù)。為了能夠讓我們的員工正常訪問網(wǎng)絡(luò)資源，通過單獨(dú)的公司網(wǎng)線路有效地降低員工占用網(wǎng)絡(luò)帶寬，其他數(shù)據(jù)業(yè)務(wù)在正常運(yùn)行過程中不會(huì)受到影響。同時(shí)，為員工訪問互聯(lián)網(wǎng)數(shù)據(jù)提供身份認(rèn)證和信息審計(jì)服務(wù)，從而控制員工網(wǎng)絡(luò)的工作時(shí)間。公司總部同時(shí)為了更好地對(duì)數(shù)據(jù)進(jìn)行管理，提供方便的服務(wù)，需要在本部公司搭建一個(gè)數(shù)據(jù)中心和網(wǎng)絡(luò)系統(tǒng)管理平臺(tái)，做一些相關(guān)的服務(wù)來滿足更快、更可靠的數(shù)據(jù)傳輸和信息交換，同時(shí)也能夠增強(qiáng)相關(guān)業(yè)務(wù)設(shè)計(jì)的彈性的目的。（二）網(wǎng)絡(luò)系統(tǒng)需求分析網(wǎng)絡(luò)系統(tǒng)項(xiàng)目規(guī)劃與信息化建設(shè)需求如下：實(shí)現(xiàn)公共資源共享，提供一種安全、可靠且高速的平臺(tái)，保證公司網(wǎng)絡(luò)管理系統(tǒng)、辦公化軟件等應(yīng)用程序的快速運(yùn)行；通過網(wǎng)關(guān)實(shí)現(xiàn)Internet的連接，通過路由器實(shí)現(xiàn)本部與子公司的連接；本部與兩個(gè)子公司采用IPSecVPN隧道，實(shí)現(xiàn)本部與子公司之間的互訪，同時(shí)對(duì)數(shù)據(jù)采用3des加密功能及md5算法確保網(wǎng)絡(luò)數(shù)據(jù)在傳輸過程中的安全性與完整性；總公司內(nèi)部通過設(shè)計(jì)多種的路由策略來區(qū)分不同業(yè)務(wù)的有線與無線網(wǎng)段，成功地解決各個(gè)業(yè)務(wù)間的備份與負(fù)載分流；公司內(nèi)通過設(shè)計(jì)防環(huán)機(jī)制、防攻擊機(jī)制、數(shù)據(jù)的備份和負(fù)載分擔(dān)等相關(guān)策略，能夠高效地解決網(wǎng)絡(luò)的可靠性和安全性。網(wǎng)絡(luò)系統(tǒng)的互連方案計(jì)算機(jī)網(wǎng)絡(luò)的互連是將網(wǎng)絡(luò)設(shè)備通過物理線纜相互連接組成一個(gè)自治系統(tǒng)，實(shí)現(xiàn)信息傳遞與資源共享。該技術(shù)主要可以通過一下幾個(gè)方面分析：（1）先要搭建網(wǎng)絡(luò)拓?fù)鋱D，把每一臺(tái)網(wǎng)絡(luò)設(shè)備的相應(yīng)的物理接口進(jìn)行連接。（2）對(duì)每臺(tái)設(shè)備進(jìn)行IP地址和VLAN的規(guī)劃，用于標(biāo)識(shí)每一臺(tái)設(shè)備，與其他設(shè)備進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。（3）進(jìn)行設(shè)備型號(hào)的選擇，不同型號(hào)的設(shè)備可實(shí)現(xiàn)不同的功能。（4）MSTP+VRRP組網(wǎng)的應(yīng)用，在防止環(huán)路的同時(shí)可以進(jìn)行設(shè)備的負(fù)載分擔(dān)與備份。（5）設(shè)備虛擬化，通過堆疊的方式將多臺(tái)設(shè)備虛擬成一臺(tái)可以提高設(shè)備的性能。（6）鏈路備份虛擬化，通過鏈路聚合的方式將多根物理線纜虛擬成一根可以提高網(wǎng)絡(luò)帶寬。（7）DHCP的應(yīng)用，可以實(shí)現(xiàn)終端主機(jī)自動(dòng)獲取IP地址的功能。（8）路由的應(yīng)用，通過路由協(xié)議實(shí)現(xiàn)不同網(wǎng)段的網(wǎng)絡(luò)之間互通。（一）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)在搭建網(wǎng)絡(luò)拓?fù)鋱D時(shí)，需要從網(wǎng)絡(luò)的穩(wěn)定性和高可靠性角度考慮，避免網(wǎng)絡(luò)出現(xiàn)單點(diǎn)故障，本公司內(nèi)部網(wǎng)絡(luò)均采用雙上行鏈路。通過網(wǎng)關(guān)與運(yùn)營(yíng)商連接，用于公司訪問外網(wǎng)，本部公司與兩個(gè)子公司之間通過路由器相連，用于本部與子公司之間的通信。拓?fù)鋱D如下：圖1網(wǎng)絡(luò)設(shè)備結(jié)構(gòu)示意圖設(shè)備接口相互連接的情況相關(guān)說明可見附錄表1。（二）設(shè)備選型此網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)中用到了交換機(jī)、路由器、無線AC、AP等設(shè)備，其中用到了JHJ3310型號(hào)、JHJ4950型號(hào)以及JHJ6731型號(hào)的交換機(jī)。JHJ3310型號(hào)的交換機(jī)具有24個(gè)1G的電口和4個(gè)1G的光口。該交換機(jī)能夠提供大功率的POE端口，可為無線AP提供供電功能；JHJ4950型號(hào)的交換機(jī)具有48個(gè)1G的電口和4個(gè)1G的光口。該交換機(jī)的硬件架構(gòu)采用了超前的業(yè)界，可以提供高性能匯聚和高密度接入的需求；而JHJ6731型號(hào)的交換機(jī)具有48個(gè)10G的電口和4個(gè)10G的光口。該交換機(jī)是面向下一代云計(jì)算和數(shù)據(jù)中心的核心交換機(jī)，同時(shí)滿足不同路由協(xié)議的組網(wǎng)結(jié)構(gòu)。LYQ7136型號(hào)的路由器具有強(qiáng)大的路由能力同時(shí)具備交換功能，可以滿足IPv4和IPv6的網(wǎng)絡(luò)需求，從而提高了多層次的安全功能。CKWG3726型號(hào)的網(wǎng)關(guān)廣泛用于加速行業(yè)業(yè)務(wù)的網(wǎng)絡(luò)中，該網(wǎng)關(guān)可以提供Web認(rèn)證、上網(wǎng)行為管理、防火墻以及VPN等功能等。WXKZQ6008型號(hào)的無線控制器具有強(qiáng)大的可視化集中控制和管理AP的功能，可以進(jìn)行射頻覆蓋范圍和性能的優(yōu)化，降低網(wǎng)絡(luò)的工作量。該網(wǎng)絡(luò)使用兩臺(tái)CKWG3726型號(hào)設(shè)備作為出口網(wǎng)關(guān)WG-1、WG-2分別連接到運(yùn)營(yíng)商，用于訪問外網(wǎng)資源，兩臺(tái)JHJ6731型號(hào)的核心交換機(jī)SW-3、SW-4分別作為本公司的核心交換機(jī)，上連出口網(wǎng)關(guān)，下連接入設(shè)備。本部公司連接服務(wù)器的設(shè)備采用一臺(tái)型號(hào)為JHJ4950的交換機(jī)。兩臺(tái)型號(hào)為WXKZQ6008的無線控制器AC-1、AC-2，分別用來控制和管理本部公司的無線瘦AP。將兩臺(tái)型號(hào)為JHJ3310接入交換機(jī)SW-1、SW-2，用來充當(dāng)本部公司的接入層設(shè)備，下接終端主機(jī)，上接核心交換機(jī)。一臺(tái)型號(hào)為無線WXSB997作為本公司的無線瘦AP供移動(dòng)用戶上網(wǎng)。通過使用三臺(tái)型號(hào)為L(zhǎng)YQ7136的路由器RO-1、本公司與異地子公司A以及異地子公司B的RO-2和RO-3路由器相連。通過兩臺(tái)型號(hào)為JHJ4950的交換機(jī)SW-6、SW-7，分別作為異地子公司A以及異地子公司B的核心交換機(jī)。兩臺(tái)無線WXSB997型號(hào)的AP-2、AP-3分別作為異地子公司A以及異地子公司B的無線瘦AP。表1主機(jī)名稱與配置表網(wǎng)絡(luò)拓?fù)渲械闹鳈C(jī)名需求配置的主機(jī)名SW-1ZB-Duidie-JHJ3310SW-2ZB-Duidie-JHJ3310SW-3ZB-1-JHJ6731SW-4ZB-2-JHJ6731SW-5ZB-JHJ4950SW-6ZGS-A-JHJ4950SW-7ZGS-B-JHJ4950R0-1ZB-LYQ7136R0-2ZGS-A-LYQ7136R0-3ZGS-B-LYQ7136AC-1ZB-1-WXKZQ6008AC-2ZB-2-WXKZQ6008GW-1ZB-1-CKWG3726GW-2ZB-2-CKWG3726AP-1ZB-WXSB997AP-2ZGS-A-WXSB997AP-3ZGS-B-WXSB997（三）VLAN及IP地址規(guī)劃 VLAN全稱為虛擬局域網(wǎng)，用于隔離二層網(wǎng)橋中的廣播風(fēng)暴。該技術(shù)是通過將一個(gè)局域網(wǎng)化分成多個(gè)虛擬的局域網(wǎng)，數(shù)據(jù)在轉(zhuǎn)發(fā)的過程中，經(jīng)過交換機(jī)會(huì)打上該接口所在的VLAN的標(biāo)簽，只讓相同VLAN的業(yè)務(wù)可以相互通信，從而限制了廣播風(fēng)暴在同一個(gè)VLAN內(nèi)泛洪，提高了網(wǎng)絡(luò)的安全性，使得局域網(wǎng)具有靈活性。通過劃分VLAN的方式來隔離不同的業(yè)務(wù)數(shù)據(jù)，同時(shí)交換機(jī)之間還需要通過Trunk,放通這些數(shù)據(jù)，同時(shí)設(shè)備之間采用三層互聯(lián)的方式，設(shè)計(jì)直連IP進(jìn)行通信，方便后期的管理和維護(hù)。IP地址和VLAN的規(guī)劃可見附錄表2。（四）MSTP及VRRP應(yīng)用MSTP全稱為多生成樹協(xié)議，是一種用于解決二層網(wǎng)絡(luò)中環(huán)路的技術(shù)。MSTP是在STP和RSTP的基礎(chǔ)上加快了收斂速度同時(shí)具有負(fù)載分擔(dān)的功能。MSTP是由修訂級(jí)別、實(shí)例和域名構(gòu)成，其中一個(gè)實(shí)例中可以同時(shí)存在許多VLAN，通過VLAN與實(shí)例之間的映射關(guān)系起到數(shù)據(jù)在轉(zhuǎn)發(fā)時(shí)具有負(fù)載分擔(dān)與快速收斂的作用。VRRP全稱為虛擬路由器冗余協(xié)議，是一種防止因網(wǎng)關(guān)的單點(diǎn)故障出現(xiàn)斷網(wǎng)現(xiàn)象的技術(shù)。該技術(shù)通過把多臺(tái)物理設(shè)備加入到同一個(gè)備份組里，虛擬成一臺(tái)網(wǎng)關(guān)設(shè)備，同時(shí)可以承載著多個(gè)業(yè)務(wù)，可以實(shí)現(xiàn)網(wǎng)關(guān)的負(fù)載分擔(dān)與備份。為了保證網(wǎng)絡(luò)的高可靠性，防止網(wǎng)絡(luò)出現(xiàn)單點(diǎn)故障或盡量減少因?yàn)閱吸c(diǎn)故障導(dǎo)致業(yè)務(wù)網(wǎng)絡(luò)出現(xiàn)中斷的情況，在接入層與核心層之間設(shè)計(jì)雙上行冗余物理鏈路，同時(shí)起到負(fù)載分擔(dān)與備份的作用。然而該網(wǎng)絡(luò)會(huì)存在一個(gè)弊端，就是當(dāng)數(shù)據(jù)報(bào)文在傳輸過程中，會(huì)出現(xiàn)多條路徑，假設(shè)每一條路徑都要轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文，那么目的主機(jī)就會(huì)反復(fù)收到許多相同的報(bào)文，同時(shí)該報(bào)文會(huì)在這幾臺(tái)設(shè)備在反反復(fù)復(fù)的轉(zhuǎn)發(fā)，從而導(dǎo)致廣播風(fēng)暴，降低物理設(shè)備的性能。為解決這一現(xiàn)象，該網(wǎng)絡(luò)采用VRRP+MSTP組網(wǎng)。首先在本部SW-3和SW-4兩臺(tái)交換機(jī)上配置MSTP,讓VLAN114、VLAN214、VLAN314的流量在SW-3設(shè)備上發(fā)送，VLAN414、VLAN514、VLAN1014的流量在SW-4設(shè)備上發(fā)送。當(dāng)兩臺(tái)設(shè)備有一臺(tái)設(shè)備中的一臺(tái)有網(wǎng)絡(luò)故障，則剩余一臺(tái)就會(huì)及時(shí)頂替該臺(tái)無縫切換的正常工作。1.MSTP的region-name配置為JJH；2.版本為l；3.實(shí)例1022所映射的VLAN為VLAN114、VLAN214、VLAN314；4.實(shí)例2022所映射的VLAN為VLAN414、VLAN514、VLAN1014；5.設(shè)定交換機(jī)SW-3充當(dāng)實(shí)例0和實(shí)例1022中所對(duì)應(yīng)的主根，充當(dāng)實(shí)例2022所對(duì)應(yīng)的從根；6.設(shè)定交換機(jī)SW-4充當(dāng)實(shí)例0和實(shí)例2022中所對(duì)應(yīng)的主根，充當(dāng)實(shí)例1022所對(duì)應(yīng)的從根；7.規(guī)劃主從根的優(yōu)先級(jí)，設(shè)定主根的優(yōu)先級(jí)比從根的優(yōu)先級(jí)低4096；8.規(guī)劃在交換機(jī)SW-3和SW-4上設(shè)計(jì)VRRP，作為總部公司內(nèi)業(yè)務(wù)部網(wǎng)的虛擬網(wǎng)關(guān)，起到網(wǎng)關(guān)備份的作用。若一臺(tái)設(shè)備出現(xiàn)故障，內(nèi)部業(yè)務(wù)網(wǎng)段的網(wǎng)關(guān)會(huì)及時(shí)切換，保證業(yè)務(wù)網(wǎng)段不中斷。具體參數(shù)配置的詳情需求如下表；表2VRRP配置參數(shù)表vlanVRRP備份組號(hào)（VRID）VRRP虛擬IPVLAN11411454VLAN21421454VLAN314314198.214.314.254VLAN414414198.214.414.254VLAN514514198.214.514.254VLAN1041014549.規(guī)定交換機(jī)SW-3和SW-4的VRRP組優(yōu)先級(jí)設(shè)定與MSTP主從根相對(duì)于，其中優(yōu)先級(jí)高的設(shè)定為202，優(yōu)先級(jí)低的設(shè)定為198。交換機(jī)SW-3設(shè)備上的配置如下：ZB-1-JHJ6731(config)#spanmstconfigurationZB-1-JHJ6731(config-mst)#revi1ZB-1-JHJ6731(config-mst)#nameJJHZB-1-JHJ6731(config-mst)#inst1022vlan114，214，314ZB-1-JHJ6731(config-mst)#inst2022vlan414，514，1014ZB-1-JHJ6731(config)#spanmst1022prior24576ZB-1-JHJ6731(config)#spannms2022prior49152ZB-1-JHJ6731(config)#spanZB-1-JHJ6731(config)#intfavlan114ZB-1-JHJ6731(config-if)#vrrp114ip54ZB-1-JHJ6731(config-if)#vrrp114pri202（五）網(wǎng)絡(luò)設(shè)備虛擬化局域網(wǎng)系統(tǒng)有非常多類型的故障，同時(shí)也會(huì)出現(xiàn)一些不可避免的風(fēng)險(xiǎn)，然而設(shè)備出現(xiàn)故障也是常見。為了解決設(shè)備的故障問題，設(shè)備的冗余是一種簡(jiǎn)單的方式。相對(duì)來說堆疊技術(shù)最為常見，這種技術(shù)不僅可以提高可靠性，而且還能充分的利用設(shè)備的性能，同時(shí)成本也會(huì)相對(duì)降低。若兩臺(tái)設(shè)備當(dāng)中的一臺(tái)發(fā)生故障時(shí)，則其余一臺(tái)都能瞬間切換過來，保證網(wǎng)絡(luò)不出現(xiàn)中斷，讓業(yè)務(wù)網(wǎng)絡(luò)繼續(xù)無故障地運(yùn)行。1.規(guī)定將兩臺(tái)接入交換機(jī)SW-1設(shè)備的ten1/0/25-26和SW-2設(shè)備的ten2/0/25-26接口兩兩連接，當(dāng)作堆疊技術(shù)的物理鏈路，通過堆疊鏈路將兩臺(tái)設(shè)備合并成一個(gè)聯(lián)合體，兩臺(tái)設(shè)備之間形成N+1的負(fù)載分擔(dān)與冗余備份的高性能設(shè)備。讓交換機(jī)SW-1作為主設(shè)備master，交換機(jī)SW-2作為備份設(shè)備slave；2.規(guī)定讓交換機(jī)SW-1和SW-2設(shè)備的gi0/13物理接口作為BFD檢測(cè)端口，使用雙主機(jī)檢測(cè)機(jī)制可以檢測(cè)堆疊鏈路的連通性，由于BFD檢測(cè)的時(shí)間是以毫秒計(jì)算，可以快速的檢測(cè)出兩臺(tái)設(shè)備雙向轉(zhuǎn)發(fā)的路徑產(chǎn)生的故障，保證了兩臺(tái)交換機(jī)及時(shí)地檢測(cè)網(wǎng)絡(luò)故障，使其能快速地采取措施，從而保證了業(yè)務(wù)網(wǎng)絡(luò)的可持續(xù)性運(yùn)行；3.主交換機(jī)設(shè)備：虛擬VSU區(qū)域號(hào)：1950,交換機(jī)的ID編號(hào):24,交換機(jī)的優(yōu)先級(jí)58,堆疊描述:Master-58；4.備交換機(jī)設(shè)備：虛擬VSU區(qū)域號(hào)：1950,交換機(jī)的ID編號(hào):22,交換機(jī)的優(yōu)先級(jí)42,堆疊描述:Slave-42。對(duì)應(yīng)配置：1.主交換機(jī)：被選舉成主設(shè)備的交換機(jī)稱為Master,主要是用來管理該堆疊組的所有設(shè)備，該堆疊組有且僅有一臺(tái)設(shè)備被選舉為Master。首先要配置虛擬域，然后修改虛擬機(jī)的板卡編號(hào)，接著配置交換機(jī)的優(yōu)先級(jí)，優(yōu)先級(jí)高的會(huì)成為主設(shè)備，緊接著將堆疊口加入到組內(nèi)，最后將交換機(jī)的模式更改為堆疊模式。（ZB-DUIDIE-JHJ3310)#switvirtdomain1950（ZB-DUIDIE-JHJ3310-vs-domain)#swit24（ZB-DUIDIE-JHJ3310-vs-domain)#swit24pri58（ZB-DUIDIE-JHJ3310-vs-domain)#swit24descMaster-58（ZB-DUIDIE-JHJ3310）#vsl-port（ZB-DUIDIE-JHJ3310-vsl-port)#port-memberintfact0/25（ZB-DUIDIE-JHJ3310-vsl-port)#port-memberintfact0/26（ZB-DUIDIE-JHJ3310）#switconmovirt2.備交換機(jī)：除了主設(shè)備外的其余設(shè)備都為Slave，備交換機(jī)主要為主交換機(jī)做備份，當(dāng)主交換機(jī)出現(xiàn)故障時(shí)，備交換機(jī)中優(yōu)先級(jí)最高的會(huì)及時(shí)變成主交換機(jī)，防止網(wǎng)絡(luò)中斷。（ZB-DUIDIE-JHJ3310）#switvirtdomain1950（ZB-DUIDIE-JHJ3310-vs-domain)#swit22（ZB-DUIDIE-JHJ3310-vs-domain)#swit22pri42（ZB-DUIDIE-JHJ3310-vs-domain)#swit22descSlave-42（ZB-DUIDIE-JHJ3310)#vsl-port（ZB-DUIDIE-JHJ3310-vsl-port)#portintfact0/25（ZB-DUIDIE-JHJ3310-vsl-port)#portintfact0/26（ZB-DUIDIE-JHJ3310）#switconmovirt3.雙主機(jī)檢測(cè)BFD配置（ZB-DUIDIE-JHJ3310)#intfaranggi24/0/13,22/0/13（ZB-DUIDIE-JHJ3310-if-range)#noswit（ZB-DUIDIE-JHJ3310)#switvirtdomain1950（ZB-DUIDIE-JHJ3310-vs-domain)#dualdebfd（ZB-DUIDIE-JHJ3310-vs-domain)#dualbfdintfacgi24/0/13（ZB-DUIDIE-JHJ3310-vs-domain)#dualbfdintfacgi22/0/13（六）鏈路備份虛擬化鏈路聚合是由多根物理線纜通過聚合綁成一個(gè)虛擬的鏈路，用來提高鏈路的帶寬，并且這些物理線彼此之間都能備份，即使其中一根路線斷了，網(wǎng)絡(luò)也不會(huì)出現(xiàn)中斷，從而使鏈路的可靠性得到提高。由于采用了多生成樹協(xié)議技術(shù)，交換機(jī)在進(jìn)行根橋選舉的時(shí)候會(huì)產(chǎn)生被阻塞的冗余鏈路，雖然使鏈路的可靠性增強(qiáng)了，但是會(huì)導(dǎo)致鏈路許多帶寬被浪費(fèi)。利用鏈路聚合技術(shù)可以有效地解決這一問題，該技術(shù)是通過把多個(gè)以太網(wǎng)接口虛擬成一條邏輯的聚合接口。鏈路聚合可以有效地提高物理鏈路的可靠性、實(shí)現(xiàn)負(fù)載分擔(dān)、增加線性帶寬、加快收斂速度保證網(wǎng)絡(luò)傳輸?shù)姆€(wěn)定性。1.規(guī)定交換機(jī)SW-3的接口（Gi0/17、Gi0/18）和交換機(jī)SW-4之間相互連接的接口（Gi0/17、Gi0/18）設(shè)定為二層鏈路聚合，聚合組成員編號(hào)為31，聚合模式采取動(dòng)態(tài)聚合（LADP）；2.規(guī)定交換機(jī)SW-1的接口（Gi24/0/17）SW-2的接口（Gi22/0/17）與SW-3之間相互連接的接口鏈路（Gi0/19）設(shè)定二層鏈路聚合,聚合組成員編號(hào)為41，聚合模式采取靜態(tài)聚合；3.規(guī)定交換機(jī)SW-1的接口（Gi24/0/18）、SW-2的接口（Gi22/0/18）與SW-4之間相互連接的接口鏈路（Gi0/19）設(shè)定二層鏈路聚合，聚合組成員編號(hào)為59，聚合模式采取靜態(tài)聚合；4.規(guī)定路由器RO-1的接口（S3/0、S4/0）與RO-2之間相互連接的接口鏈路（S3/0、S4/0）設(shè)定三層鏈路聚合，聚合組成員編號(hào)為26，聚合模式采取靜態(tài)聚合。1.交換機(jī)SW-1和SW-2的配置：（ZB-DUIDIE-JHJ3310)#interfaranGiga24/0/17，22/0/17（ZB-DUIDIE-JHJ3310)#port-group41（ZB-DUIDIE-JHJ3310)#interfaranGiga24/0/18，22/0/18（ZB-DUIDIE-JHJ3310)#port-group59（ZB-DUIDIE-JHJ3310)#interfaranAggre41，59（ZB-DUIDIE-JHJ3310)#switchmodetru（ZB-DUIDIE-JHJ3310)#switchtruallovlon11421431441451410142.交換機(jī)SW-3和SW-4的配置ZB-1-JHJ6731(config)#interfaranGiga24/0/17，22/0/17ZB-1-JHJ6731(config)#port-group41ZB-1-JHJ6731(config)#interfaranGiga24/0/18，22/0/18ZB-1-JHJ6731(config)#port-group59ZB-1-JHJ6731(config)#interfaranAggre41，59ZB-1-JHJ6731(config)#switchmodetruZB-1-JHJ6731(config)#switchtruallovlon1142143144145141014（七）DHCP中繼與服務(wù)安全設(shè)計(jì)由于網(wǎng)絡(luò)規(guī)模不斷地?cái)U(kuò)大，網(wǎng)絡(luò)的復(fù)雜性也越來越高，同時(shí)終端主機(jī)的數(shù)量也會(huì)不斷地增多，主機(jī)的位置也會(huì)隨著需求發(fā)生變化，對(duì)應(yīng)的主機(jī)IP地址就會(huì)隨時(shí)更新，因而網(wǎng)絡(luò)的配置會(huì)變得也來越復(fù)雜。如果采用人工手動(dòng)配置，工作量很大，需要消化大量的人力，容易出現(xiàn)錯(cuò)誤，同時(shí)管理起來也不方便。為了解決這一現(xiàn)象，采用DHCP技術(shù)手段。該技術(shù)能統(tǒng)一管理所有的客戶端配置信息，每一臺(tái)終端主機(jī)都能夠從DHCP服務(wù)器獲取到屬于自己的IPv4地址、默認(rèn)網(wǎng)關(guān)以及域名解析服務(wù)器等。DHCP服務(wù)器在為主機(jī)分配地址時(shí)，會(huì)限制地址租期，當(dāng)租期結(jié)束后，該地址會(huì)被服務(wù)器統(tǒng)一收回，使得IP地址有效利用，同時(shí)方便統(tǒng)一管理與維護(hù)。1.規(guī)定網(wǎng)關(guān)GW-1上設(shè)計(jì)VLAN114用戶的DHCP服務(wù)器，在交換機(jī)SW-3和SW-4配置DHCP中繼，實(shí)現(xiàn)VLAN114用戶的終端主機(jī)通過中繼跨網(wǎng)段自動(dòng)分配到地址，解決了人工手段配置的工作量；2.服務(wù)器分配的地址池地址范圍：–50/24，排除網(wǎng)關(guān)，以MAKABAKA作為DHCP的地址池名稱，以DHCP服務(wù)器的環(huán)回口地址作為宣告；3.為了防止網(wǎng)絡(luò)中發(fā)生非法的DHCP偽造以及ARP欺騙，規(guī)定在兩臺(tái)做堆疊的接入交換機(jī)上配置IPSourceGuard、DHCPSnooping、ARP-check等相關(guān)機(jī)制。1.網(wǎng)關(guān)GW-1的配置（ZB-1-CKWG3726)#serdhcp（ZB-1-CKWG3726)#ipdhcppoolMAKABAKA（ZB-1-CKWG3726-dhcp)#netw24（ZB-1-CKWG3726-dhcp)#default198.314.114.2542.交換機(jī)SW-3的配置(ZB-1-JHJ6731)#serdhcp(ZB-1-JHJ6731)#iphelper13.交換機(jī)SW-4的配置(ZB-1-JHJ6731)#serdhcp(ZB-1-JHJ6731)#iphelper1（八）路由協(xié)議應(yīng)用在互聯(lián)網(wǎng)中，由于數(shù)據(jù)再發(fā)送過程中不能跨物理設(shè)備轉(zhuǎn)發(fā)，需要根據(jù)路由表中的路由條目進(jìn)行逐條轉(zhuǎn)發(fā)，所以路由在數(shù)據(jù)轉(zhuǎn)發(fā)過程中起到了非常重要的作用。每一條路由都是由目的地址、下一跳地址、出接口、去往目的IP所需的開銷組成，路由器在收到數(shù)據(jù)后，然后通過本設(shè)備的路由表進(jìn)行轉(zhuǎn)發(fā)。根據(jù)路由的來源可分為直連路由、手動(dòng)配置的靜態(tài)路由以及動(dòng)態(tài)路由。1.規(guī)定本部公司采用OSPF和靜態(tài)路由兩種路由協(xié)議組網(wǎng)的方式，使用OSPF協(xié)議的設(shè)備有：SW-3、SW-4、SW-5、GW-1、GW-2以及RO-1，其中交換機(jī)SW-3和SW-4之間規(guī)劃為骨干區(qū)域，SW-3、SW-4與SW-5之間規(guī)劃為區(qū)域23，SW-3、SW-4、GW-1與GW-2之間規(guī)劃為區(qū)域46，SW-4與RO-1之間規(guī)劃為區(qū)域34，以12作為所有設(shè)備OSPF的進(jìn)程號(hào)；2.規(guī)定宣告本地的Loopback地址作為router-id，方便進(jìn)行管理；3.規(guī)定在進(jìn)行宣告時(shí)，直連路由不允許重分發(fā)，以明細(xì)的方式宣告，而業(yè)務(wù)網(wǎng)段的地址要以所在網(wǎng)絡(luò)號(hào)來宣告；4.規(guī)定不得以本部公司的業(yè)務(wù)網(wǎng)段建立OSPF鄰居，即協(xié)議報(bào)文中不能出現(xiàn)業(yè)務(wù)網(wǎng)段；5.規(guī)定加快OSPF的收斂速度，無需選舉DR和BDR;6.規(guī)定A、B兩個(gè)子公司使用RIP路由協(xié)議，關(guān)閉自動(dòng)聚合功能，使用V2版本；7.規(guī)定本部公司與兩個(gè)子公司之間通過路由引入的方式來學(xué)習(xí)彼此之間的路由條目，在進(jìn)行路由的重發(fā)布時(shí)使用類型一。無線網(wǎng)絡(luò)及安全設(shè)計(jì)無線網(wǎng)絡(luò)是一種不需要通過線纜連接就能夠?qū)崿F(xiàn)通信的網(wǎng)絡(luò)，該技術(shù)通過無線設(shè)備發(fā)射出無線射頻信號(hào)和紅外線，終端設(shè)備通過連接到這些無線信號(hào)就可以訪問到外界網(wǎng)絡(luò)。該技術(shù)可以通過以下幾個(gè)方面進(jìn)行研究：（1）進(jìn)行無線網(wǎng)絡(luò)的基礎(chǔ)設(shè)計(jì)，讓無線信號(hào)可以接入到有線網(wǎng)絡(luò)內(nèi)，可實(shí)現(xiàn)無線用戶與外界的通信。（2）AC的熱備技術(shù)實(shí)施，讓無線控制器之間相互備份，防止AC出現(xiàn)故障導(dǎo)致網(wǎng)線信號(hào)的中斷。（3）無線安全的設(shè)計(jì)，通過對(duì)無線信號(hào)進(jìn)行加密，保護(hù)無線網(wǎng)絡(luò)的安全。（4）無線性能的優(yōu)化設(shè)計(jì)，通過對(duì)無限性能的優(yōu)化，讓無限用戶能夠更好的體驗(yàn)無線網(wǎng)絡(luò)。（5）無線地勘的設(shè)計(jì)，通過對(duì)無線地勘的設(shè)計(jì)，可以為無線AP的放置進(jìn)行真實(shí)的仿真。無線網(wǎng)絡(luò)基礎(chǔ)設(shè)計(jì)移動(dòng)終端如今已經(jīng)是人類在生活與工作中必要的工具，因此移動(dòng)終端最為重要的接入方式就是無線局域網(wǎng)。移動(dòng)互聯(lián)的時(shí)代已經(jīng)步入全球，無線互聯(lián)網(wǎng)也成了網(wǎng)民的接入方式。國(guó)家也在大規(guī)模地推進(jìn)無線網(wǎng)絡(luò)全覆蓋的建設(shè)工程，實(shí)現(xiàn)車站、醫(yī)院、機(jī)場(chǎng)、學(xué)校、酒店、會(huì)展中心等地區(qū)的全面覆蓋。1.規(guī)定在無線控制器AC上面配置無線用戶的DHCP服務(wù)，在交換機(jī)SW-3和SW-4上配置AP管理的服務(wù)；2.規(guī)定交換機(jī)SW-3為AP分配的地址池范圍從4到83，交換機(jī)SW-4為AP分配的地址池范圍從93到183；3.規(guī)定總部公司無線網(wǎng)絡(luò)的SSID設(shè)置為ZB_SB，APGroup組設(shè)置為DSB，為了AP能分配到IP地址，讓總部的無線用戶與所在的業(yè)務(wù)的SSID進(jìn)行關(guān)聯(lián)；4.規(guī)定A、B子公司無線網(wǎng)絡(luò)的SSID分別設(shè)置為ZGS_SB_A和ZGS_SB_B，APGroup組分別設(shè)置為DSB_A和DSB_B，為了AP能分配到IP地址，讓子公司的無線用戶與所在的業(yè)務(wù)的SSID進(jìn)行關(guān)聯(lián)；ZB-1-WXKZQ6008(config)#wlanconfig1ZB_SBZB-1-WXKZQ6008(config-wlan)#tunnlocZB-1-WXKZQ6008(config-wlan)#wlanbasedperuserlimitdownstreaaveradatarat800burstdatarat1600ZB-1-WXKZQ6008(config)#apgroDSBZB-1-WXKZQ6008(config-group)#interfmapp99414apwlanid99ZB-1-WXKZQ6008(config-group)#tunnlocwl99vl414AC熱備應(yīng)用由于瘦AP組網(wǎng)需要AP與無線控制器AC之間建立capwap隧道后，AP才能正常工作。一個(gè)AP只能在一臺(tái)AC上線，當(dāng)有兩臺(tái)以上AC時(shí)，需要開啟無線控制器的熱備功能，使得兩臺(tái)AC均能控制AP，當(dāng)AC出現(xiàn)故障時(shí)，可以快速的切換AC與AP間的capwap隧道，使已關(guān)聯(lián)的無線用戶業(yè)務(wù)能夠穩(wěn)定地、高可靠地正常運(yùn)行，讓無線業(yè)務(wù)網(wǎng)絡(luò)不中斷。1.規(guī)定無線控制器 AC-1設(shè)置為主設(shè)備，AC-2設(shè)置為備設(shè)備；2.規(guī)定每個(gè)AP都要與兩臺(tái)AC之間建立capwap隧道，當(dāng)網(wǎng)絡(luò)出現(xiàn)故障，如果AP從主控制器上失去連接，那么備控制器能夠及時(shí)代替主控制器，實(shí)現(xiàn)主備間的無縫隙切換，保證AP始終不中斷。1.無線控制器AC-1配置：ZB-1-WXKZQ6008(config)#wlanhotbackup05ZB-1-WXKZQ6008(config-hotbackup)#conte32ZB-1-WXKZQ6008(config-hotbackup-ctx)#apgroDSBZB-1-WXKZQ6008(config-hotbackup)#wlanhotbackupenabl*Jun2214:50:32:%WLANHOTBACKUP99PEER:wlanhotbackupstartdoingENAB,pleawait.*Jun2214:50:32:%WLANHOTBACKUP99PEER:Peer(05)hotbackupenable.2.無線控制器AC-2配置：ZB-2-WXKZQ6008(config)#wlanhotbackup04ZB-2-WXKZQ6008(config-hotbackup)#conte32ZB-2-WXKZQ6008(config-hotbackup-ctx)#priorlev199ZB-2-WXKZQ6008(config-hotbackup-ctx)#apgroBXZB-2-WXKZQ6008(config-hotbackup)#wlanhotbackupenab無線網(wǎng)絡(luò)安全設(shè)計(jì)由于在設(shè)計(jì)無線網(wǎng)絡(luò)時(shí)，采用的是開放性的公共電磁波作為無線信號(hào)的傳輸載體，在通信過程中沒有任何線纜連接。在數(shù)據(jù)傳輸過程中，如果不采取有效的加密措施，就會(huì)存在一定的安全風(fēng)險(xiǎn)，所以無線網(wǎng)絡(luò)的安全是非常重要的。為此需要提高無線網(wǎng)絡(luò)的安全性，為無線網(wǎng)絡(luò)配置加密功能。1.規(guī)定開啟AP的邊緣感知功能，防止AP發(fā)生網(wǎng)絡(luò)故障導(dǎo)致網(wǎng)絡(luò)的連通不穩(wěn)定，從而確保AP正常工作；2.規(guī)定將同一個(gè)AP的用戶之間進(jìn)行彼此的隔離，嚴(yán)謹(jǐn)這些用戶之間相互訪問，從而保證這些用戶的安全性與隱秘性；3.規(guī)定通過無線控制器對(duì)無線AP進(jìn)行加密，加密方式采用WPA2模式，密鑰為：CMX@wcx99,防止非公司用戶連接導(dǎo)致用戶過多使得網(wǎng)絡(luò)卡頓，同時(shí)保證了無線網(wǎng)絡(luò)的安全性；4.規(guī)定在周一至周五凌晨1點(diǎn)至早上6點(diǎn)時(shí)間段自動(dòng)關(guān)閉總部公司無線信號(hào)；5.規(guī)定需要隱藏子公司A的無線信號(hào)，防止不相關(guān)的用戶連入進(jìn)來；6.規(guī)定通過采用物理硬件地址校驗(yàn)的手段，對(duì)本部公司的終端開啟白名單功能，從而讓本部公司的無限用戶能夠合法地加入到網(wǎng)絡(luò)當(dāng)中。BX-WS6008-01(config)#wlansec1BX-WS6008-01(config-wlansec)#securrsnenableBX-WS6008-01(config-wlansec)#secursnsimpelaeenabBX-WS6008-01(config-wlansec)#secursnakpsenabBX-WS6008-01(config-wlansec)#secursnakpssetkeyascCMX@wcx99無線性能優(yōu)化為了有效地發(fā)揮網(wǎng)絡(luò)資源，讓更多的用戶擁有更好的體驗(yàn)感，使無線網(wǎng)絡(luò)的傳輸信號(hào)加強(qiáng)，同時(shí)有效地控制AP的覆蓋范圍，需要對(duì)瘦AP無線網(wǎng)絡(luò)進(jìn)行優(yōu)化。1.規(guī)定要求子公司A的用戶在下行鏈路帶寬以及上行鏈路帶寬分別要限制在10MB/S和50MB/S內(nèi),突發(fā)時(shí)的速率限制在5MB/s；2.規(guī)定子公司B的AP用戶接入信號(hào)的最小強(qiáng)度為-65dbm;3.規(guī)定開啟無線用戶的本地轉(zhuǎn)發(fā)模式;4.規(guī)定總部公司AP最大關(guān)聯(lián)用戶的數(shù)量為32。無線地勘設(shè)計(jì)為了保證公司AP無線信號(hào)的有效覆蓋，現(xiàn)在要根據(jù)公司的平面設(shè)計(jì)建筑圖以及用戶需求對(duì)AP天線的選型與規(guī)劃設(shè)計(jì)。利用無線地質(zhì)勘查軟件模擬AP點(diǎn)和無線信號(hào)的安裝，以保證除廁所、樓梯等無關(guān)區(qū)域外，其他所有區(qū)域均有充分覆蓋。為后期安裝AP點(diǎn)位做基礎(chǔ)。1.通過VISIO繪制出AP的點(diǎn)位圖，并且規(guī)劃信道1、6、11無重疊。圖2AP點(diǎn)位圖2.通過無線地勘APP繪制出AP信號(hào)點(diǎn)位仿真熱圖，要求仿真信號(hào)強(qiáng)度大于-65db。圖3AP信號(hào)仿真熱圖網(wǎng)絡(luò)安全及遠(yuǎn)程接入設(shè)計(jì)隨著通信技術(shù)規(guī)模的廣泛應(yīng)用，網(wǎng)絡(luò)的安全隱患隨時(shí)隨刻都會(huì)出現(xiàn)，所以信息安全也越來越受到人們的重視。網(wǎng)絡(luò)安全是為了能夠讓網(wǎng)絡(luò)不受外界攻擊和入侵的一種技術(shù)，同時(shí)可以保證數(shù)據(jù)能夠完整、機(jī)密以及可靠的傳輸，從而保證網(wǎng)絡(luò)能夠正常運(yùn)行。為此可通過設(shè)備節(jié)點(diǎn)和用戶接入控制技術(shù)手段防范潛伏在網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)。為了讓本部公司和A、B兩個(gè)異地子公司之間能夠通過互聯(lián)網(wǎng)路線訪問公網(wǎng)，因此需要開啟用戶身份認(rèn)證及審計(jì)監(jiān)督等功能來訪問外網(wǎng)資源。需要實(shí)施出口安全的防范與遠(yuǎn)程接入。出口NAT設(shè)計(jì)1.規(guī)定在本部公司的出口網(wǎng)關(guān)GW上配置ACL，訪問控制列表的編號(hào)為996,通過配置NAPT使得本部公司和兩個(gè)子公司的業(yè)務(wù)網(wǎng)絡(luò)能訪問到外網(wǎng)資源；2.規(guī)定在本部公司的網(wǎng)關(guān)GW-1上配置Telnet映射服務(wù)，將本部公司交換機(jī)SW-4的環(huán)回口地址映射為公網(wǎng)地址，使SW-4的Telnet服務(wù)能夠被互聯(lián)網(wǎng)訪問到。WebPortal用戶認(rèn)證1.規(guī)定在本部公司的出口網(wǎng)關(guān)配置WebPortal認(rèn)證功能,分別創(chuàng)建兩個(gè)用戶WCX和CMX，密碼均為WCX@cmx99;2.規(guī)定本部公司的有線用戶可以通過WEB認(rèn)證訪問到公網(wǎng);3.規(guī)定總部無線用戶無需WEB認(rèn)證即可直接接入Internet。。應(yīng)用流量控制1.規(guī)定總部公司的出口運(yùn)營(yíng)商總帶寬為139Mbps；2.規(guī)定從外網(wǎng)訪問總部公司進(jìn)行FTP的限流控制，將所有用戶訪問過來的流量限制為5Mbps,并且總部公司內(nèi)部的FTP總流量限制在80M內(nèi)；3.規(guī)定從外網(wǎng)訪問總部公司進(jìn)行WEB的限流控制，將所有用戶訪問過來的流量限制為5Mbps,并且總部公司內(nèi)部的WEB總流量限制在80M內(nèi)。用戶行為策略1.規(guī)定不監(jiān)控審計(jì)WCX用戶的上網(wǎng)行為；2.規(guī)定總部公司開啟工作日周一到周五的早上8點(diǎn)30分到下午5點(diǎn)30分時(shí)間段進(jìn)行P2P應(yīng)用使用的審計(jì)并阻斷功能。廣域網(wǎng)鏈路配置與安全設(shè)計(jì)由于局域網(wǎng)互聯(lián)物理范圍的局限性，只能解決終端、服務(wù)器和工作站等局部的資源共享與通信，然而遠(yuǎn)距離間的計(jì)算機(jī)通信無法滿足。為了解決這一問題，可以利用廣域網(wǎng)通過運(yùn)營(yíng)商設(shè)施的的基礎(chǔ)通信，將遠(yuǎn)距離的網(wǎng)絡(luò)互連起來，進(jìn)行遠(yuǎn)距離的網(wǎng)絡(luò)通信、數(shù)據(jù)傳輸以及大規(guī)模的資源共享。（一）PPP協(xié)議應(yīng)用為了能夠支持功能更完善、需求更強(qiáng)大的數(shù)據(jù)鏈路層協(xié)議的廣域網(wǎng)線路，并且能為廣域網(wǎng)提供安全性，需要應(yīng)用PPP協(xié)議。PPP協(xié)議是基于點(diǎn)到點(diǎn)的鏈路層協(xié)議、并且能夠提供傳遞和封裝網(wǎng)絡(luò)層數(shù)據(jù)包的功能協(xié)議。該協(xié)議可以提供用戶認(rèn)證功能，還支持同步和異步的通信功能，易于擴(kuò)展。其中PPP的CHAP認(rèn)證可以通過三次握手的方式進(jìn)行認(rèn)證只在網(wǎng)絡(luò)中傳輸用戶名，不傳輸密碼，從而提高了數(shù)據(jù)傳輸?shù)陌踩浴?.規(guī)定在本部公司路由器RO-1與子公司A路由器R0-2、B路由器RO-3之間設(shè)計(jì)PPP協(xié)議，其中RO-1作為認(rèn)證方的服務(wù)器，RO-2、R0-3作為認(rèn)證方的客戶端；2.規(guī)定采用CHAP協(xié)議的單向認(rèn)證，通過用戶名和驗(yàn)證密碼的方式；3.規(guī)定用戶名為WCX，密碼為CMX；（二）IPSecVPN應(yīng)用傳統(tǒng)的路由交換技術(shù)和廣域網(wǎng)連接技術(shù)難以滿足企業(yè)網(wǎng)絡(luò)對(duì)安全保護(hù)、靈活性、成本等方面的需求。若采用傳統(tǒng)的網(wǎng)絡(luò)專線來構(gòu)建總部公司和子公司之間的Internet連接，需要耗費(fèi)大量的成本，同時(shí)變更不靈活，又缺乏擴(kuò)展性和安全性。為解決這一系列問題，可通過VPN技術(shù)。然而采用一般的VPN技術(shù)，數(shù)據(jù)在公網(wǎng)上傳輸時(shí)容易被篡改和竊聽，為了解決這一問題采用IPSecVPN技術(shù)，從而為廣域網(wǎng)提供了高可靠性和安全性。1.規(guī)定在總部路由器RO-1通過動(dòng)態(tài)隧道主模式，采用esp安全協(xié)議，md5認(rèn)證算法，3des加密算法。以xiaowu作為加密交換集的名稱，xiaocao作為動(dòng)態(tài)加密圖的名稱，xiaozi作為靜態(tài)加密圖的名稱，安全共享密鑰采用明文的方式cmxwcx@99;2.規(guī)定在子公司路由器RO-2、RO-3通過動(dòng)態(tài)隧道主模式，采用esp安全協(xié)議，md5認(rèn)證算法，3des加密算法。以xiaozi作為靜態(tài)加密圖的名稱，安全共享密鑰采用明文的方式cmxwcx@99。ZB-LYQ7136(config)#cryisakkey88cmxwcx@99addr0ZB-LYQ7136(config)#cryisapol57ZB-LYQ7136(isakmp-poli)#aupreshaZB-LYQ7136(isakmp-poli)#hamd5ZB-LYQ7136(isakmp-poli)#encr3desZB-LYQ7136(isakmp-poli)#gro15ZB-LYQ7136(config)#cryipstransformsetxiaocaoesp3despmd5hmacZB-LYQ7136(config)#cryomapxiaozi95ipsisaZB-LYQ7136(config-cryo-map)#matchaddre161ZB-LYQ7136(config-crto-map)#settransformsetxiaocaoZB-LYQ7136(config-cryo-map)#setpe0ZB-LYQ7136(config-cryo-map)#intfagi0/4ZB-LYQ7136(config-if-Girnet0/4)#crypmapxaiozi（三）路由選路設(shè)計(jì)一般情況下，網(wǎng)絡(luò)只采用一種路由協(xié)議，復(fù)雜性較低，易于管理和維護(hù)。然而在該網(wǎng)絡(luò)中，采用了多種路由協(xié)議的組網(wǎng)方式，使得各個(gè)路由協(xié)議之間的算法也有所差異，度量值也不相同，由于不同協(xié)議的路由不能夠相互傳遞信息，便導(dǎo)致一種協(xié)議的路由不能夠被另一種協(xié)議學(xué)習(xí)到，路由不能相互傳達(dá)。為解決這一問題，可設(shè)計(jì)路由引入。但在相互引入的同時(shí)也會(huì)帶來環(huán)路，所以可通過路由策略解決根本上的問題。這樣不僅可以使得各個(gè)協(xié)議之間可以相互學(xué)習(xí)路由信息，還可以實(shí)現(xiàn)數(shù)據(jù)的負(fù)載分擔(dān)與分流的目的。1.規(guī)定為了達(dá)到分流的目的，將OSPF的開銷度量值改為18或22;2.規(guī)定將OSPF引入到RIP內(nèi)，將其度量值修改為18或22；3.規(guī)定本部公司VLAN114、214、314的業(yè)務(wù)網(wǎng)絡(luò)訪問外網(wǎng)的路線為：從交換機(jī)SW-3到出口網(wǎng)關(guān)GW-1；4.規(guī)定本部公司VLAN414的業(yè)務(wù)網(wǎng)絡(luò)訪問外網(wǎng)的路線為：從交換機(jī)SW-4到出口網(wǎng)關(guān)GW-2;5.規(guī)定A、B兩個(gè)子公司的業(yè)務(wù)網(wǎng)絡(luò)訪問外網(wǎng)的路線為：從交換機(jī)SW-4到出口網(wǎng)關(guān)GW-2。（四）服務(wù)質(zhì)量應(yīng)用由于傳統(tǒng)的傳輸服務(wù)是一種盡最大努力轉(zhuǎn)發(fā)的不可靠網(wǎng)絡(luò)，網(wǎng)絡(luò)的資源是有限的，若網(wǎng)絡(luò)空閑時(shí)就會(huì)對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)，若網(wǎng)絡(luò)出現(xiàn)擁擠現(xiàn)象時(shí)，可能出現(xiàn)丟包的現(xiàn)象。例如，當(dāng)網(wǎng)絡(luò)的總帶寬一定時(shí)，若某業(yè)務(wù)消耗網(wǎng)絡(luò)帶寬過多，則別的業(yè)務(wù)分配的帶塊就會(huì)很少，從而影響其他業(yè)務(wù)的正常運(yùn)行。新時(shí)代的互聯(lián)網(wǎng)繼承了視頻語音等信息的實(shí)時(shí)互動(dòng)，且這些業(yè)務(wù)對(duì)延遲、丟包和抖動(dòng)極其敏感，所以傳統(tǒng)的網(wǎng)絡(luò)需要提供由預(yù)期的有保障的服務(wù)質(zhì)量。QoS能夠管理和合理分配網(wǎng)絡(luò)資源，優(yōu)先服務(wù)緊急且對(duì)延遲較為敏感的業(yè)務(wù)，從而在網(wǎng)絡(luò)延遲、帶寬占用、丟包及抖動(dòng)方面取得可預(yù)期的服務(wù)水平。1.規(guī)定在本部公司的交換機(jī)SW-1、SW-2上限制接口流量，將其限制在7Mbps內(nèi)，觸發(fā)流量限制在2Mbps內(nèi)；ZB-Duidie-JHJ3310(config)#intfarangi0/1-16ZB-Duidie-JHJ3310(config-if-range)#ratelimitin7000020482.規(guī)定在子公司A路由器和子公司B路由器的出接口做流量整形；ZGS-A-LYQ7136(config)#intfas3/0ZGS-A-LYQ7136(config-if-Serial3/0)#traffsharate20000003.規(guī)定在子公司A路由器和子公司B路由器的入接口做流量監(jiān)控16Mbps，Burst-normal為1024Kbytes,burst-max為2048Kbytes，當(dāng)流量超出限制范圍時(shí)，則該違規(guī)報(bào)文將被丟棄。ZGS-B-LYQ7136(config)#intfagi0/0ZGS-B-LYQ7136(config-if-GigabitEthernet0/0)#ratelimitinput1000000010000002000000confoacticontinexceactdrop網(wǎng)絡(luò)系統(tǒng)管理隨著計(jì)算機(jī)網(wǎng)絡(luò)通訊技術(shù)的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)逐步進(jìn)入社會(huì)各個(gè)領(lǐng)域。而網(wǎng)絡(luò)系統(tǒng)的規(guī)模也大幅度擴(kuò)大，結(jié)構(gòu)也變得越來越復(fù)雜，可以提供更多的服務(wù)給用戶使用，而且異構(gòu)性也越來越強(qiáng)。而且在網(wǎng)絡(luò)系統(tǒng)維護(hù)這一時(shí)期，一旦網(wǎng)絡(luò)發(fā)生故障，網(wǎng)絡(luò)管理員要手動(dòng)排除故障會(huì)變得非常困難，顯然不可能完成，也很不科學(xué)。而且維護(hù)成本也變得很高。為了更好的提高網(wǎng)絡(luò)管理性能，所以以下介紹了網(wǎng)絡(luò)管理系統(tǒng)，即網(wǎng)絡(luò)管理方面不需要通過管理員來完成，而是通過網(wǎng)管系統(tǒng)的運(yùn)行，大大提高了網(wǎng)絡(luò)維護(hù)的效率，實(shí)現(xiàn)了網(wǎng)絡(luò)管理的智能化SNMP管理由于網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)應(yīng)用環(huán)境以及拓?fù)湓絹碓綇?fù)雜，然而進(jìn)行網(wǎng)絡(luò)管理的需求也不斷地提高，自動(dòng)化網(wǎng)絡(luò)管理能夠更好地管理網(wǎng)絡(luò)。簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP是一種可以收集網(wǎng)絡(luò)設(shè)備中管理信息的一種可實(shí)用方法，同時(shí)還能夠提供向網(wǎng)絡(luò)工作站報(bào)錯(cuò)功能。簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議是一種能夠解決網(wǎng)絡(luò)中遇到的問題的管理協(xié)議，能夠?qū)崿F(xiàn)多供應(yīng)商和可協(xié)同操作的功能。SNMP實(shí)現(xiàn)起來比較簡(jiǎn)單，同時(shí)大大減少人力、物力和成本的消耗，從而實(shí)現(xiàn)智能的自動(dòng)化管理網(wǎng)絡(luò)。1.規(guī)定所有設(shè)備設(shè)計(jì)SNMP協(xié)議，開啟Trap消息，當(dāng)出現(xiàn)Trap警告時(shí)，所以設(shè)備均向服務(wù)器發(fā)送Trap消息；2.規(guī)定采用snmpv2版本，用戶讀寫節(jié)點(diǎn)的對(duì)象名稱為“Cmx”，只讀節(jié)點(diǎn)的對(duì)象名為“Wcx”；3.規(guī)定SNMP采用MD5的認(rèn)證算法和3DES的加密算法，加密密鑰和認(rèn)證密鑰均采用明文加密，用戶名及密碼均為wlgl。堆疊交換機(jī)上配置：ZB-Duidie-JHJ3310(config)#snmpserverhost1trapsversion2vcCmxZB-Duidie-JHJ3310(config)#snmpserverhost1trapsversion2vcWcxZB-Duidie-JHJ3310(config)#snmpserverenabtrapZB-Duidie-JHJ3310(config)#snmpservercommuCmxrwZB-Duidie-JHJ3310(config)#snmpservercommuWcxro系統(tǒng)管理平臺(tái)為了更好地對(duì)網(wǎng)絡(luò)和數(shù)據(jù)進(jìn)行管理、提供服務(wù)，需要搭建系統(tǒng)管理平臺(tái)，從而達(dá)到快速的數(shù)據(jù)交換與信息傳遞，增強(qiáng)業(yè)務(wù)設(shè)計(jì)的彈性。1.規(guī)定進(jìn)行系統(tǒng)管理平臺(tái)的搭建，登錄域名為自由規(guī)劃；2.規(guī)定創(chuàng)建兩臺(tái)虛擬交換機(jī)，一臺(tái)用于進(jìn)行與外部數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)交換，另一臺(tái)用于進(jìn)行對(duì)數(shù)據(jù)的存儲(chǔ)，并開啟DHCP服務(wù)；圖4創(chuàng)建虛擬機(jī)配置圖3.創(chuàng)建一臺(tái)虛擬路由器，用于和虛擬交換機(jī)的子網(wǎng)進(jìn)行關(guān)聯(lián)。圖5創(chuàng)建路由器配置圖網(wǎng)絡(luò)系統(tǒng)應(yīng)用1.規(guī)定創(chuàng)建一個(gè)100G的磁盤，然后創(chuàng)建一個(gè)大小為1GB的物理卷組，在進(jìn)行邏輯卷的創(chuàng)建，大小為16GB，將其格式化為XFS格式，并實(shí)現(xiàn)其能夠開機(jī)自動(dòng)掛載在相應(yīng)目錄下；圖6創(chuàng)建磁盤配置圖2.規(guī)定設(shè)計(jì)samba服務(wù)，要求用戶能夠?qū)ζ涔蚕砟夸浘哂凶x寫并且可執(zhí)行的權(quán)限，通過ACL來實(shí)現(xiàn)權(quán)限的修改；圖7samba服務(wù)配置圖3.規(guī)定設(shè)計(jì)DNS服務(wù)，用于對(duì)所有主機(jī)地址的監(jiān)聽，將IP地址與域名之間相互轉(zhuǎn)換，在/etc/named.conf文件內(nèi)配置定義