中小型園區(qū)網(wǎng)的設(shè)計(jì)和實(shí)現(xiàn)(宋銳)

1、湖南科技職業(yè)學(xué)院畢 業(yè) 設(shè) 計(jì)題 目： 一恒機(jī)械公司企業(yè)網(wǎng)的設(shè)計(jì)和實(shí)現(xiàn) 專 業(yè)： 網(wǎng)絡(luò)安全 班 級： 3081 學(xué) 號： 14 姓 名： 宋 銳 指導(dǎo)教師： 李正軍 湖南科技職業(yè)學(xué)院電子信息工程與技術(shù)系二零一一年五月湖南科技職業(yè)學(xué)院電子信息系畢業(yè)設(shè)計(jì)評語題目： 一恒機(jī)械公司企業(yè)網(wǎng)的設(shè)計(jì)和實(shí)現(xiàn) 專業(yè)： 網(wǎng)絡(luò)安全 班級： 3081 姓名： 宋 銳 學(xué)號： 14 畢業(yè)設(shè)計(jì)得分：答辯得分：綜合評定：指導(dǎo)老師評語：指 導(dǎo) 教 師（簽字）：年 月 日答辯委員會(huì)（小組）評語：答辯委員會(huì)（小組）負(fù)責(zé)人（簽字）：年 月 日目 錄摘 要 3Abstract 4第1章 企業(yè)背景及需求分析 51.1企業(yè)背景 51.2

2、 需求分析 6第2章 網(wǎng)絡(luò)設(shè)計(jì)原則及規(guī)劃 72.1 設(shè)計(jì)原則 72.2 IP地址及VLAN劃分 7第3章 網(wǎng)絡(luò)總體方案設(shè)計(jì) 83.1 網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì) 83.2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 83.3 主干設(shè)計(jì) 93.4分支設(shè)計(jì) 103.5 服務(wù)器設(shè)計(jì) 113.6 INTERNET接入和安全 11接入 11 113.7 設(shè)備選型和報(bào)價(jià) 12第4章 網(wǎng)絡(luò)設(shè)備的配置和管理 134.1交換機(jī)模塊的設(shè)計(jì)和配置 134.2接入層交換機(jī)配置 134.3匯聚層交換機(jī)配置 154.4核心層交換機(jī)配置 164.5路由器模塊的設(shè)計(jì)和配置 18第5章 工程預(yù)算 19第6章 總 結(jié) 20第7章 致 謝 21參考文獻(xiàn) 22題目：中小型園

3、區(qū)網(wǎng)的設(shè)計(jì)和實(shí)現(xiàn)摘 要二十一世紀(jì)是知識(shí)經(jīng)濟(jì)時(shí)代。隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，全球信息化趨勢勢不可擋，計(jì)算機(jī)網(wǎng)絡(luò)改變了人們傳統(tǒng)的工作方式和生活方式。利用當(dāng)前蓬勃發(fā)展的計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)是實(shí)現(xiàn)企業(yè)現(xiàn)代化工作的必不可少的技術(shù)基礎(chǔ)。在現(xiàn)今的網(wǎng)絡(luò)建設(shè)中，中小型園區(qū)網(wǎng)的建設(shè)是非常重要和普遍的，如：校園網(wǎng)和企業(yè)網(wǎng)。園區(qū)網(wǎng)經(jīng)歷了從早期簡單的數(shù)據(jù)共享到現(xiàn)在園區(qū)網(wǎng)內(nèi)部全方位、高速度、多種類應(yīng)用的共享及服務(wù)的轉(zhuǎn)變。下面就以某企業(yè)的實(shí)際情況，設(shè)計(jì)一個(gè)可以正常運(yùn)行的園區(qū)網(wǎng)，并對建成的網(wǎng)絡(luò)進(jìn)行優(yōu)化，采用多種手段對網(wǎng)絡(luò)進(jìn)行優(yōu)化是網(wǎng)絡(luò)組建成果的重要組成部分，缺少優(yōu)化的網(wǎng)絡(luò)就算硬件配置在高，還是不能把網(wǎng)絡(luò)資源充分利用。安全和穩(wěn)定的

4、運(yùn)行是企業(yè)網(wǎng)追求的終極目標(biāo)。關(guān)鍵詞： 交換機(jī) 路由器 防火墻 服務(wù)器 VLANTitle: Small and medium of the net design and implementAbstract21 centuries are a knowledge-based economy ages. With the fly develop of computer networks in recent years, Irresistible trends of global information; Computer networks alter the people's work a

5、nd lifestyle. Use of the current development of computer and network technology is the modernization of the work of essential technical infrastructure.In this network construction and the construction of the net is very important and widespread. Example: campus network and enterprise networks. The n

6、et from the simple data sharing to present the net, a comprehensive and high speed, many kinds of application sharing and service changes. Here in an enterprise of the actual, Design a normal operation of the net, and to optimize the use of network of networks is to optimize the fruits of network se

7、t up an important part of the network hardware configuration is high, even if I could not make full use of network resources. The security and stability is to pursue the ultimate aim of enterprise networksKeyword: switch router firewall server Vlan第1章 企業(yè)背景及需求分析1.1企業(yè)背景 一恒機(jī)械公司是一家剛剛注冊成立的公司。該公司擁有一棟中心大樓和

8、三個(gè)生產(chǎn)車間，以及兩棟辦公樓和一棟宿舍Internet從中心大樓接入，其它樓層接到中心大樓。距離最遠(yuǎn)的樓層離中心大樓只有180m.該企業(yè)共有545臺(tái)電腦.隨著網(wǎng)絡(luò)的快速發(fā)展，全球信息化的趨勢已經(jīng)愈來愈明顯，一恒機(jī)械公司為了實(shí)現(xiàn)公司的信息化，加快公司的辦公效率，給公司帶來最大的利潤，所以，做出這次網(wǎng)絡(luò)設(shè)計(jì)。該企業(yè)占有七棟大廈，共有六個(gè)部門，每個(gè)部門不會(huì)超過255臺(tái)工作站，分別是財(cái)務(wù)部、技術(shù)部、銷售部、售后服務(wù)部、生產(chǎn)部、生產(chǎn)車間。此外有一個(gè)總經(jīng)理辦公室，一個(gè)副經(jīng)理辦公室。（下圖為企業(yè)建筑平面圖）1.2 需求分析為適應(yīng)企業(yè)信息化的發(fā)展，滿足日益增長的通信需求和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，今天的大中型企業(yè)網(wǎng)絡(luò)建

9、設(shè)比傳統(tǒng)企業(yè)網(wǎng)絡(luò)建設(shè)有更高的要求，主要表現(xiàn)在如下幾個(gè)方面。帶寬性能需求基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個(gè)多業(yè)務(wù)承載平臺(tái)?，F(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強(qiáng)大的性能，以滿足用戶日益增長的通信需求。隨著計(jì)算機(jī)技術(shù)的高速發(fā)展。不僅要繼續(xù)承載企業(yè)的辦公自動(dòng)化，Web瀏覽等簡單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及企業(yè)生產(chǎn)運(yùn)營的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和時(shí)延都要求很高的IP電話、視頻會(huì)議等多媒體業(yè)務(wù)。因此，數(shù)據(jù)流量將大大增加，尤其是對核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的要求。穩(wěn)定可靠需求現(xiàn)代大中型企業(yè)的網(wǎng)絡(luò)應(yīng)具有更全面的可靠性設(shè)計(jì)，以實(shí)現(xiàn)網(wǎng)絡(luò)通信的實(shí)時(shí)暢通，保障企業(yè)生產(chǎn)運(yùn)營的正常進(jìn)

10、行。隨著企業(yè)各種業(yè)務(wù)應(yīng)用逐漸轉(zhuǎn)移到計(jì)算機(jī)網(wǎng)絡(luò)上來，網(wǎng)絡(luò)通信的無中斷運(yùn)行已經(jīng)成為保證企業(yè)正常生產(chǎn)運(yùn)營的關(guān)鍵。網(wǎng)絡(luò)安全需求現(xiàn)代大中型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟(jì)損失。第2章 網(wǎng)絡(luò)設(shè)計(jì)原則及規(guī)劃2.1 設(shè)計(jì)原則先進(jìn)性：總體設(shè)計(jì)起點(diǎn)高，采用先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和管理模式，采用先進(jìn)的網(wǎng)絡(luò)設(shè)計(jì)、網(wǎng)絡(luò)結(jié)構(gòu)、開發(fā)工具，技術(shù)上采用市場占用率高、標(biāo)準(zhǔn)化、且技術(shù)成熟的目前流行的TCP/IP協(xié)議和目前最先進(jìn)的千兆以太網(wǎng)和百兆以太網(wǎng)到桌面技術(shù)，保證網(wǎng)絡(luò)的安全、穩(wěn)定和容量。實(shí)用性：綜合考慮未來的擴(kuò)展與保護(hù)投資，制定統(tǒng)一全面的發(fā)展規(guī)劃，充分發(fā)揮設(shè)備效益，能使用戶最方便地實(shí)現(xiàn)

11、各種功能?？煽啃裕悍?wù)器具備超強(qiáng)容錯(cuò)功能和先進(jìn)的備份技術(shù)，交換機(jī)的模塊化、端口冗余和網(wǎng)管功能，使日后的管理和維護(hù)更方便。對網(wǎng)絡(luò)的設(shè)計(jì)、選型、裝、調(diào)試等各環(huán)節(jié)進(jìn)行統(tǒng)一規(guī)劃和分析，確保系統(tǒng)運(yùn)行可靠。經(jīng)濟(jì)型：投資合理，有良好的性價(jià)比可擴(kuò)展性：要考慮到將來公司規(guī)模的擴(kuò)大，網(wǎng)點(diǎn)數(shù)的增加等因素,使系統(tǒng)具有強(qiáng)大可擴(kuò)充性能。安全性：提供多層次安全控制手段，建立完善的安全管理體系，防止數(shù)據(jù)受侵擊和破壞，有可靠的防病毒措施。2.2 IP地址及VLAN劃分在本企業(yè)網(wǎng)絡(luò)設(shè)計(jì)中，整個(gè)企業(yè)網(wǎng)的IP和VLAN編址方案如下表1-2所示：表1-2VLAN部門名稱IP網(wǎng)段默認(rèn)網(wǎng)關(guān)說明Vlan10Manager 192.168.1

12、0.0/2454經(jīng)理Vlan2Market/2454銷售部Vlan3Produce/2454生產(chǎn)部Vlan4Technique/2454技術(shù)部Vlan5after-sales service/2454售后服務(wù)部Vlan6Finace/2454財(cái)務(wù)部Vlan7Workshop/2454生產(chǎn)車間Vlan8Dorm1

13、/2454員工宿舍Vlan9Server/2454服務(wù)器第3章 網(wǎng)絡(luò)總體方案設(shè)計(jì)3.1 網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)該企業(yè)要求除財(cái)務(wù)部以外的所有電腦都要能夠連接到INTERNET網(wǎng)絡(luò)，建立一條高速的、多能的、可靠的、易擴(kuò)展的主干網(wǎng)絡(luò)，是企業(yè)網(wǎng)絡(luò)設(shè)計(jì)的主要問題。要求財(cái)務(wù)部的電腦不允許上INTERNET，生產(chǎn)部和三個(gè)生產(chǎn)車間相互之間能夠訪問，行政部和總經(jīng)理室可以跟除財(cái)務(wù)部外其他任何部門的電腦互訪，除此之外其他部門只有部門內(nèi)的電腦相互間可以訪問，部門之間不可以訪問；計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，要求“千兆到骨干、百兆到桌面”，建成一個(gè)高可靠、

14、高性能、可擴(kuò)展的信息網(wǎng)；系統(tǒng)采用3層網(wǎng)絡(luò)架構(gòu)，PC機(jī)連接接入層交換機(jī)，根據(jù)企業(yè)各個(gè)部門及位置分布設(shè)置相應(yīng)的匯聚層；核心層交換機(jī)采用千兆三層路由交換機(jī)。以下所示為該企業(yè)的信息點(diǎn)：樓房123456中心信息點(diǎn)8080809080120203.2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)下圖3-1所示是該公司的網(wǎng)絡(luò)拓?fù)鋱D。圖3-1（網(wǎng)絡(luò)拓?fù)鋱D）3.3 主干設(shè)計(jì)主干帶寬設(shè)計(jì)主干網(wǎng)是整個(gè)網(wǎng)絡(luò)的核心和主干。整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)都需要通過它來傳輸，所以它必須能夠快速轉(zhuǎn)發(fā)大量的數(shù)據(jù)。路由器和核心層交換機(jī)之間采用千兆光纖連接。核心層交換機(jī)與服務(wù)器、匯聚層交換機(jī)，匯聚層和接入層交換機(jī)之間采用千兆以太網(wǎng)連接。兩臺(tái)匯聚層交換機(jī)之間也采用千兆連接。主干冗

15、余設(shè)計(jì)主干網(wǎng)除了要具備高帶寬外，還有具備高可用性和冗余性。設(shè)計(jì)要求網(wǎng)絡(luò)穩(wěn)定可靠，當(dāng)某個(gè)核心節(jié)點(diǎn)或節(jié)點(diǎn)之間的鏈接中斷時(shí)，網(wǎng)絡(luò)能夠自動(dòng)隔離故障點(diǎn)繼續(xù)工作。本次設(shè)計(jì)在匯聚層和接入層以及匯聚層之間采用了冗余鏈路。主干分層設(shè)計(jì)本次設(shè)計(jì)采用經(jīng)典的三層網(wǎng)絡(luò)架構(gòu)。分層設(shè)計(jì)有很多優(yōu)點(diǎn)。例如：可擴(kuò)展性，冗余性，易管理性，以維護(hù)性等。整個(gè)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)分為核心層，匯聚層，接入層。核心層、匯聚層交換機(jī)和服務(wù)器位于中心大樓機(jī)房，接入層交換機(jī)位于每棟大樓的機(jī)房。網(wǎng)絡(luò)核心層是網(wǎng)絡(luò)的中心樞紐，其功能是實(shí)現(xiàn)高性能的交換和傳輸。因此核心層設(shè)備應(yīng)該是高性能的交換機(jī)，可實(shí)現(xiàn)高速度的交換傳輸，以連接服務(wù)器等核心設(shè)備。核心交換機(jī)采用Cis

16、co WS-C6509-E來連接匯聚層交換機(jī)、服務(wù)器和路由器。匯聚層對下將接入層交換機(jī)的數(shù)據(jù)進(jìn)行匯聚，對上通過高速接口將數(shù)據(jù)傳輸?shù)胶诵膶咏粨Q機(jī)，起著承上啟下的作用。設(shè)計(jì)匯聚層的時(shí)候，根據(jù)匯聚層的主要功能，應(yīng)充分考慮以下幾點(diǎn)：1. 匯聚層設(shè)備要有足夠的帶寬2. 具有三層和多層交換特性3. 擁有靈活多樣的業(yè)務(wù)能力4. 須具有冗余和負(fù)載均衡能力匯聚交換機(jī)起著中間橋梁的作用，要選擇既能滿足現(xiàn)在網(wǎng)絡(luò)的需要，又要在將來網(wǎng)絡(luò)升級時(shí)不被淘汰掉，在滿足需要的前提下，盡可能的節(jié)約網(wǎng)絡(luò)建設(shè)投入?；谝陨戏治龊推髽I(yè)的實(shí)際情況，選擇Cisco WS-C3560G-24TS-S作為匯聚層交換機(jī)。接入層通常指網(wǎng)絡(luò)中直接面向

17、用戶連接或訪問的部分。接入層目的是允許終端用戶連接到網(wǎng)絡(luò)，因此接入層交換機(jī)具有低成本和高端口密度特性。我們選用Cisco WS-C2960-48TT-L作為接入層交換機(jī)。3.4分支設(shè)計(jì)分支設(shè)計(jì)主要體現(xiàn)在樓棟之內(nèi)的設(shè)計(jì)。信息點(diǎn)和接入層交換機(jī)之間采用百兆以太網(wǎng)連接后。看看每棟樓房之內(nèi)有多少臺(tái)接入層交換機(jī)，如果有一臺(tái)以上的交換機(jī)，我們把接入層交換機(jī)之間采用級聯(lián)連接，最后，通過千兆端口連接到匯聚層交換機(jī)。級聯(lián)方式如下圖所示：3.5 服務(wù)器設(shè)計(jì)本次設(shè)計(jì)涉及到的服務(wù)器有WWW，F(xiàn)TP，DHCP，DNS和郵件服務(wù)器。WWW和郵件服務(wù)器對內(nèi)外均處于開放狀態(tài)，DHCP服務(wù)器僅對內(nèi)部用戶開放，F(xiàn)TP服務(wù)器對內(nèi)部開

18、放，但是，管理員會(huì)設(shè)置用戶的權(quán)限級別，防止用戶亂改數(shù)據(jù)。服務(wù)器的選型如下：IBM System x3850 X5(7145i19 ￥6.2萬 2011-05-11該服務(wù)器共有16G內(nèi)存，可以虛擬8臺(tái)服務(wù)器。3.6 INTERNET接入和安全該企業(yè)通過邊界路由器訪問Internet。并提供Internet訪問內(nèi)網(wǎng)服務(wù)器上的Web和郵件服務(wù)器。Internet ISP為公司分配4個(gè)公網(wǎng)IP。內(nèi)部用戶可以通過NAT轉(zhuǎn)換訪問Internet。企業(yè)網(wǎng)絡(luò)的安全措施主要是通過部署防火墻、IDS、殺毒軟件，以及配合交換機(jī)或路由器的ACL來實(shí)現(xiàn)對病毒和黑客攻擊的防御。防火墻能夠有效的阻止外來的入侵，它在網(wǎng)絡(luò)系統(tǒng)

19、中的作用是：控制進(jìn)出網(wǎng)絡(luò)的信息流量和信息包；提供使用和流量的日志和審計(jì)；隱藏內(nèi)部IP地址和網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)。IDS在網(wǎng)絡(luò)系統(tǒng)中的作用：IDS的中文意思是“入侵檢測系統(tǒng)”，依照一定的安全策略，通過軟、硬件，對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。殺毒軟件在網(wǎng)絡(luò)系統(tǒng)中的作用：用于消除電腦病毒，木馬和惡意軟件。同時(shí)集成監(jiān)控識(shí)別、病毒掃描和清除和自動(dòng)升級等功能。ACL在網(wǎng)絡(luò)體系中的作用：控制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流。3.7 設(shè)備選型和報(bào)價(jià)通過以上對網(wǎng)絡(luò)的設(shè)計(jì)，我們采用如下設(shè)備：設(shè)備選型報(bào)價(jià)列表：設(shè)備名稱型號單價(jià)數(shù)量總價(jià)說明路由器C

20、isco 3825300001300006個(gè)擴(kuò)展模塊 支持VPN、Qos內(nèi)置防火墻 2個(gè)內(nèi)存擴(kuò)展插槽核心層CISCOWS-C6509-E5.33萬153300企業(yè)級交換機(jī) vlan支持10M/100M/1000M匯聚層CiscoWS-C3560G-24TS-S19500239000背板帶寬24G 支持vlan10Mbps/100Mbps/1000M模塊化插槽數(shù)：4接入層CISCO WS-C2960-48TT-L76001398800端口48 支持vlan10Mbps/100Mbps/1000M模塊化插槽數(shù)：2線纜超5類光纖2/m4.5/m2500m1500m50006750第4章 網(wǎng)絡(luò)設(shè)備的配

21、置和管理4.1交換機(jī)模塊的設(shè)計(jì)和配置 一個(gè)性能優(yōu)良的網(wǎng)絡(luò)都應(yīng)該是一個(gè)分層的設(shè)計(jì)。這樣不但簡化了交換網(wǎng)絡(luò)的設(shè)計(jì)，同時(shí)也提高了交換網(wǎng)絡(luò)的可靠性和可擴(kuò)展性，我們一般將其分為三層設(shè)計(jì)模型。分別是接入層，匯聚層，核心層。下面我們將按照分層的設(shè)計(jì)與配置進(jìn)行論述。4.2接入層交換機(jī)配置接入層交換機(jī)是為所有的終端用戶提供一個(gè)接入點(diǎn)。我們采用的是Cisco WS-C2960-48TC-L交換機(jī)擁有48個(gè)10/100/1000M的自適應(yīng)快速以太網(wǎng)端口，這里我們有13臺(tái)接入層交換機(jī)。接下來我們將對幾臺(tái)接入層交換機(jī)進(jìn)行配置作為示例。（由于有13臺(tái)交換機(jī)，不可能每臺(tái)都做配置）進(jìn)入交換機(jī)的配置界面（CLI）我們一般常采用

22、的有兩種方法：1 利用反轉(zhuǎn)線直接和交換機(jī)的控制端口相連2 遠(yuǎn)程登錄我們主要進(jìn)行如下一些配置：1. 設(shè)置交換機(jī)的名稱Switch(config#hostname produce1Produce1(config#2. 設(shè)置交換機(jī)密碼Produce1(config#enable secret cisco1233. 設(shè)置登陸虛擬終端Produce1(config#line vty 0 15Produce1(config-line#loginProduce1(config-line#password cisco1234. 設(shè)置虛擬終端超時(shí)時(shí)間Produce1(config#line vty 0 15Pr

23、oduce1(config-line#exec-timeout 5 305. 設(shè)置控制臺(tái)終端超時(shí)時(shí)間Produce1(config#line con 0Produce1(config-line#exec-timeout 5 306. 禁用IP地址解析特性當(dāng)我們向交換機(jī)輸入一條錯(cuò)誤的指令的時(shí)候，交換機(jī)就會(huì)將該信息廣播給網(wǎng)絡(luò)上的DNS服務(wù)器，并試圖把它解析成IP地址。Produce1(config#no ip domain-lookup7. 啟用消息同步特性為了防止我們向交換機(jī)輸入的指令被交換機(jī)產(chǎn)生的信息打亂。我們啟用消息同步特性。Produce1(config#logging synchrono

24、usProduce1(config#interface vlan 1Produce1(config-if#no shutdown將Produce1設(shè)置成為VTP（vlan trunking protocol）的客戶機(jī)，（VTP即vlan生成樹協(xié)議，使得vlan客戶機(jī)可以從vlan服務(wù)機(jī)上獲得vlan信息，這樣就不必為每臺(tái)交換機(jī)配置vlan，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)，同時(shí)也減少了在不同交換機(jī)上輸入命令時(shí)出錯(cuò)的幾率，保證了網(wǎng)絡(luò)的正常運(yùn)行）命令如下：Produce1(config#vtp mode client到此，對produce1的配置基本上完成，以上僅完成部分部門的接入層配置，其他部門

25、配置可參考以上的配置來進(jìn)行，這里就不做重復(fù)的論述。4.3匯聚層交換機(jī)配置匯聚層是連接接入層和核心層的網(wǎng)絡(luò)設(shè)備,為接入層提供數(shù)據(jù)的匯聚傳輸管理分發(fā)處理.匯聚層為接入層提供基于策略的連接,如地址合并,協(xié)議過濾,路由服務(wù), 認(rèn)證管理等.通過網(wǎng)段劃分(如VLAN與網(wǎng)絡(luò)隔離可以防止某些網(wǎng)段的問題蔓延和影響到核心層.匯聚層同時(shí)也可以提供接入層虛擬網(wǎng)之間的互連,控制和限制 接入層對核心層的訪問,保證核心層的安全和穩(wěn)定.。這里我們選擇采用的是Cisco WS-C3560G-24TS-S型的交換機(jī)。對匯聚層交換機(jī)Huiju1的基本參數(shù)的配置與接入層交換機(jī)produce1的基本參數(shù)配置類似。每一臺(tái)交換機(jī)都有一個(gè)默

26、認(rèn)的管理vlan即vlan1，用來管理該交換機(jī)，所以我們只需要為vlan1配置IP地址即可。同時(shí)為了能讓網(wǎng)絡(luò)管理員在不同的子網(wǎng)中管理該交換機(jī)我們?yōu)槠渑渲媚J(rèn)網(wǎng)關(guān)。具體配置命令如下：Huiju1(config#interface vlan 1Huiju1(config-if#no shutdownHuiju1(config-if#exit當(dāng)網(wǎng)絡(luò)中的交換機(jī)數(shù)量很多時(shí)，需要分別在每臺(tái)交換機(jī)上創(chuàng)建很多的vlan，工作量很大，過程很繁瑣，并且很容易出錯(cuò)。所以在實(shí)際工作中我們都采用VTP來解決這個(gè)問題。我們只需要在VTP服務(wù)器上配置好vlan信息 ，VTP客戶機(jī)就可以通過VTP來從VTP服務(wù)器上學(xué)習(xí)到vl

27、an信息了。同時(shí)，有關(guān)vlan的刪除，參數(shù)的更改都可以傳播到其他的交換機(jī)上，從而大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)。命令如下：Huiju1(config#vtp domain ciscoHuiju1(config#vtp mode server一個(gè)交換網(wǎng)絡(luò)中，某臺(tái)交換機(jī)的所有端口都屬于同一個(gè)vlan，則它沒有必要接收其他vlan的用戶數(shù)據(jù)，為了防止接收其他vlan的用戶數(shù)據(jù)我們可以啟用VTP剪裁功能。命令如下：Huiju1(config#vtp pruning到此為止，匯聚層交換機(jī)Huiju1的配置已經(jīng)完成。另一臺(tái)匯聚層交換機(jī)的配置和Huiju1很相似。在此僅做簡單的配置：4.4核心層交換機(jī)配置

28、核心層交換機(jī)將各匯聚層交換機(jī)互連起來進(jìn)行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換，在本企業(yè)網(wǎng)的設(shè)計(jì)中我們核心層交換機(jī)所采用的是Cisco WS-C6509-E交換機(jī)。對核心層交換機(jī)的配置命令如下：Core1(config#interface vlan 1Core1(config-if#no shutdownCore1(config-if#exitCore1(config#vtp mode clientCore1(config# interface f0/1Core1(config# interface f0/2Core1(config#ip routingCore1(config#ip classless

29、Core1(config# router ospf 1到此，Core1的配置已經(jīng)完成。Interface vlan 3ip access-group 100 out把訪問控制列表10 應(yīng)用于VLAN 3 OUT方向上，生產(chǎn)車間內(nèi)部可以互訪，可以訪問服務(wù)器、生產(chǎn)部和總經(jīng)理網(wǎng)段，不允許訪問其它部門所在網(wǎng)段。以上配置作為范例參考，其它ACL的相關(guān)配置這里就不打出來了。啟用生成樹協(xié)議RSTP。Switch(config# spanning-tree mode rapid-pvst 4.5路由器模塊的設(shè)計(jì)和配置在本企業(yè)網(wǎng)中采用的是cisco3825的路由器，其主要作用是在企業(yè)網(wǎng)和Internet之間路由

30、數(shù)據(jù)包。還有充當(dāng)防火墻的功能，配置如下：主要是對接口fastethernet0/0以及接口serial1/0的IP地址、子網(wǎng)掩碼的配置。配置命令如下：R1(config#interface fastethernet0/0R1(config-if#no shutdownR1(config-if#interface serial0/0R1(config-if#no shutdownR1(config#router ospf 1R1(config#ip nat inside source list 1 pool test overloadR1(config#interface seria1/0R1(config-if#ip nat outsideR1(config#interface fastethernet0/0R1(config#ip nat inside第5章 工程預(yù)算下表為工程預(yù)算列表：設(shè)備名稱型號單價(jià)數(shù)量總價(jià)路由器Cisco 382530000130000核心層交換機(jī)CISCOWS-C6509-E5.33萬153300匯聚層交換機(jī)CiscoWS-C3560G-24TS-S1950023