企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)與實(shí)現(xiàn)畢業(yè)論文

長(zhǎng)沙民政職業(yè)技術(shù)學(xué)院畢業(yè)實(shí)踐報(bào)告題目：企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)與實(shí)現(xiàn)畢業(yè)論文畢業(yè)設(shè)計(jì)畢業(yè)專題√類型：指導(dǎo)老師：系別：班級(jí)：學(xué)號(hào)：姓名：2014年4月25日【摘要】21世紀(jì)是一個(gè)信息時(shí)代，互聯(lián)網(wǎng)把企業(yè)馳入了全球信息高速公路，讓企業(yè)信息通過互聯(lián)網(wǎng)通達(dá)世界各個(gè)角落。企業(yè)通過互聯(lián)網(wǎng)發(fā)布企業(yè)最新的商業(yè)信息，供全球檢索，以此來(lái)宣傳自己的企業(yè)，宣傳企業(yè)的產(chǎn)品，宣傳企業(yè)的服務(wù)，全面展示企業(yè)形象，并通過網(wǎng)絡(luò)與各行各業(yè)進(jìn)行交流、推銷和合作，同時(shí)通過互聯(lián)網(wǎng)尋找貨源和新客戶。許多企業(yè)都在互聯(lián)網(wǎng)上找到了機(jī)會(huì)，創(chuàng)造了輝煌。“與其臨淵羨魚，不如退而結(jié)網(wǎng)”，科技隨著人類不斷的發(fā)展而日新月異，信息化、網(wǎng)絡(luò)化、高效化的腳步已經(jīng)越來(lái)越近。對(duì)于一個(gè)公司來(lái)說(shuō)，網(wǎng)絡(luò)的信息化已經(jīng)成為公司發(fā)展、參與市場(chǎng)競(jìng)爭(zhēng)的首要條件。企業(yè)網(wǎng)絡(luò)方案設(shè)計(jì)從長(zhǎng)沙某公司的網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)與企業(yè)網(wǎng)的原則性出發(fā)，根據(jù)公司的建設(shè)必要性與需求、公司網(wǎng)絡(luò)的綜合布線以及公司信息點(diǎn)的采集等方面進(jìn)行需求分析，通過網(wǎng)絡(luò)仿真軟件ENSP2.0建立網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)鏈路布線的設(shè)計(jì)模型，并模擬網(wǎng)絡(luò)的流量、劃分VLAN、創(chuàng)建訪問控制列表、構(gòu)建冗余鏈路等。綜合性地運(yùn)用當(dāng)今企業(yè)網(wǎng)的優(yōu)點(diǎn)與現(xiàn)代化的管理手段，對(duì)網(wǎng)絡(luò)結(jié)構(gòu)架構(gòu)：如網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)詳細(xì)規(guī)劃、分層設(shè)計(jì)、IP地址的規(guī)劃設(shè)計(jì)等方面做了詳細(xì)剖析。從而實(shí)現(xiàn)一個(gè)辦公自動(dòng)化、全方位、多功能、升級(jí)能力強(qiáng)的企業(yè)網(wǎng)的構(gòu)建?！娟P(guān)鍵詞】企業(yè)網(wǎng)；網(wǎng)絡(luò)規(guī)劃；網(wǎng)絡(luò)設(shè)計(jì)；網(wǎng)絡(luò)拓?fù)淠夸浶蜓?-1-從企業(yè)對(duì)信息的需求來(lái)看 -1-從企業(yè)管理和業(yè)務(wù)發(fā)展的角度出發(fā) -1-1.中小企業(yè)網(wǎng)絡(luò)的建設(shè)目標(biāo) -3-1.1建設(shè)目標(biāo) -3-1.2設(shè)計(jì)原則 -3-2.企業(yè)網(wǎng)絡(luò)的總體設(shè)計(jì) -5-2.1網(wǎng)絡(luò)拓樸設(shè)計(jì) -5-2.2IP編址方案及VLAN劃分 -6-2.3核心層設(shè)計(jì)及設(shè)備選型 -7-園區(qū)主干交換機(jī) -7-出口路由器 -7-服務(wù)器群組 -8-2.4接入層設(shè)計(jì)及設(shè)備選型 -8-2.5安全體系設(shè)計(jì)及設(shè)備選型 -8-2.6設(shè)計(jì)方案優(yōu)勢(shì) -10-高帶寬、高性能 -10-網(wǎng)絡(luò)管理 -10-完善的安全機(jī)制 -11-易維護(hù) -11-高可靠性 -12-低成本、可擴(kuò)展性強(qiáng) -12-3.企業(yè)網(wǎng)絡(luò)的整體方案部署 -13-3.1交換模塊設(shè)計(jì) -13-接入層交換機(jī)服務(wù)的實(shí)現(xiàn)—配置接入層交換機(jī) -13-核心層交換機(jī)服務(wù)的實(shí)現(xiàn)—配置核心層交換機(jī) -15-3.2廣域網(wǎng)接入模塊設(shè)計(jì) -18-配置路由器AR1的基本參數(shù) -19-配置路由器AR1的各接口參數(shù) -19-配置路由器AR1的路由功能 -19-配置接入路由器AR1上的NAT -20-配置接入路由器AR1上的ACL -20-結(jié)束語(yǔ) -22-參考文獻(xiàn) -23-序言隨著Internet在全球的發(fā)展與普及，企業(yè)網(wǎng)絡(luò)技術(shù)的發(fā)展以及企業(yè)生存和發(fā)展需要促成了企業(yè)網(wǎng)的形成。自20世紀(jì)90年代以來(lái)，企業(yè)網(wǎng)絡(luò)已經(jīng)成為連接企業(yè)、事業(yè)單位各部門與外界交流信息的重要基礎(chǔ)設(shè)施?；诰钟蚓W(wǎng)和廣域網(wǎng)技術(shù)發(fā)展起來(lái)的企業(yè)網(wǎng)絡(luò)技術(shù)得到迅速的發(fā)展。為了適應(yīng)網(wǎng)絡(luò)經(jīng)濟(jì)的飛速發(fā)展，擴(kuò)大企業(yè)經(jīng)營(yíng)的規(guī)模和范圍，方便企業(yè)內(nèi)部和企業(yè)之間的交流，節(jié)省辦公開銷，提高企業(yè)的管理水平，企業(yè)發(fā)展Intranet（企業(yè)內(nèi)部網(wǎng)）已經(jīng)是刻不容緩。另外，截至2011年，中國(guó)中小企業(yè)的數(shù)量將達(dá)到4660萬(wàn)，其中擁有企業(yè)網(wǎng)站的企業(yè)數(shù)量將達(dá)到363萬(wàn)。在國(guó)民經(jīng)濟(jì)中，60%的總產(chǎn)來(lái)自于中小企業(yè)，并為社會(huì)提供了60%以上的就業(yè)機(jī)會(huì)。然而，在中國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展中一直占據(jù)著至關(guān)重要的戰(zhàn)略地位的小中企業(yè)，其信息化程度卻比較落后。今后如何應(yīng)對(duì)瞬息萬(wàn)變、競(jìng)爭(zhēng)激烈的國(guó)內(nèi)外市場(chǎng)環(huán)境以及如何利用網(wǎng)絡(luò)技術(shù)迅速提升企業(yè)核心競(jìng)爭(zhēng)力就是成為企業(yè)成敗的關(guān)鍵所在。從企業(yè)對(duì)信息的需求來(lái)看面對(duì)著激烈的市場(chǎng)競(jìng)爭(zhēng)，公司對(duì)信息的收集、傳輸、加工、存儲(chǔ)、查詢、預(yù)測(cè)、決策及即時(shí)的交流、溝通等工作量越來(lái)越大，原來(lái)的電腦出于網(wǎng)絡(luò)技術(shù)或是安全性等因素考慮，一直只是停留在單機(jī)工作的模式，各部門及科室間的數(shù)據(jù)不能實(shí)現(xiàn)共享，致使工作效率大大下降，純粹手工管理方式和手段已經(jīng)不能適應(yīng)企業(yè)的需要，這將嚴(yán)重妨礙公司的生存和發(fā)展。社會(huì)進(jìn)行要求企業(yè)必須改變現(xiàn)有的落后管理體制、管理方法和手段，建立現(xiàn)代企業(yè)的新形象，建立本企業(yè)的辦公自動(dòng)化管理信息系統(tǒng)（即公司局域網(wǎng)），以提高管理水平，增加經(jīng)濟(jì)和社會(huì)效益。從企業(yè)管理和業(yè)務(wù)發(fā)展的角度出發(fā)通過網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)資源的共用來(lái)改善企業(yè)內(nèi)部和企業(yè)與客戶之間的信息交流方式，滿足業(yè)務(wù)部門對(duì)信息存儲(chǔ)、檢索、處理和共享需求，使企業(yè)能迅速掌握瞬息萬(wàn)變的市場(chǎng)行情，使企業(yè)信息更有效地發(fā)揮效力；提高辦公自動(dòng)化水平，提高工作效率，降低管理成本，提高企業(yè)在市場(chǎng)上的競(jìng)爭(zhēng)力；通過對(duì)每項(xiàng)業(yè)務(wù)的跟蹤，企業(yè)管理者可以了解業(yè)務(wù)進(jìn)展情況，掌握第一手資料，及時(shí)掌握市場(chǎng)動(dòng)態(tài)，為企業(yè)提供投資導(dǎo)向，為領(lǐng)導(dǎo)決策提供數(shù)據(jù)支持；通過企業(yè)內(nèi)部網(wǎng)建立，企業(yè)各業(yè)務(wù)部門可以有更方便的交流溝通，管理者可隨時(shí)了解每一位員工的情況，并加強(qiáng)以企業(yè)人力資源合理調(diào)度，切實(shí)做到系統(tǒng)的集成化設(shè)計(jì)，使原有的設(shè)備、投資得到有效利用。因此，有必要建設(shè)好中小型企業(yè)建設(shè)信息網(wǎng)絡(luò)，以達(dá)到最大限度地實(shí)現(xiàn)信息資源共享，并使用電子信息的傳遞取代紙面文件、材料的傳送，逐步實(shí)現(xiàn)無(wú)紙辦公，改變傳統(tǒng)的工作方式，進(jìn)一步提高工作效率。同時(shí)，利用各種業(yè)務(wù)信息的綜合分析，為各級(jí)領(lǐng)導(dǎo)提供決策支持，更好地組織生產(chǎn)和經(jīng)營(yíng)。1.中小企業(yè)網(wǎng)絡(luò)的建設(shè)目標(biāo)建設(shè)目標(biāo)企業(yè)建設(shè)一個(gè)以辦公HYPERLINK自動(dòng)化、計(jì)算機(jī)輔助生產(chǎn)、控制及管理為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、能覆蓋企業(yè)各樓宇的企業(yè)主干網(wǎng)絡(luò)，將企業(yè)的各種PC機(jī)、工作站、終端設(shè)備和局域網(wǎng)連接起來(lái)，并與有關(guān)廣域網(wǎng)相連，在網(wǎng)上宣傳自己和獲取Internet網(wǎng)上的信息資源。形成結(jié)構(gòu)合理、內(nèi)外溝通的企業(yè)HYPERLINK計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，在此基礎(chǔ)上建立能滿足生產(chǎn)、研發(fā)和管理工作需要的軟硬件環(huán)境，開發(fā)各類信息庫(kù)和應(yīng)用系統(tǒng)，為企業(yè)各類需求提供充分的網(wǎng)絡(luò)信息服務(wù)。即總體目標(biāo)是利用先進(jìn)的計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)，建設(shè)高質(zhì)量、高效率的統(tǒng)一的通信網(wǎng)絡(luò)。其具體目標(biāo)如下：通過建設(shè)一個(gè)高速、安全、可靠、可擴(kuò)充的網(wǎng)絡(luò)系統(tǒng)，使各系統(tǒng)互聯(lián)互通，實(shí)現(xiàn)企業(yè)信息的高度共享、傳遞及管理信息化，各領(lǐng)導(dǎo)能及時(shí)、全面、準(zhǔn)確地掌握企業(yè)的研發(fā)、生產(chǎn)、管理、財(cái)務(wù)、人事等各方面情況；建立出口信道，實(shí)現(xiàn)企業(yè)與Internet互聯(lián)，同時(shí)部署企業(yè)各種應(yīng)用服務(wù)器（郵件、文件、網(wǎng)站及各系統(tǒng)服務(wù)器等），實(shí)現(xiàn)企業(yè)信息的發(fā)布，提供各領(lǐng)導(dǎo)和企業(yè)員工的移動(dòng)撥號(hào)接入，進(jìn)行移動(dòng)辦公和資料查詢；企業(yè)的各通交流，用電子信息的傳遞取代紙面文件、資料的傳送，實(shí)現(xiàn)無(wú)紙辦公，改變傳統(tǒng)的工作方式，進(jìn)一步提高工作效率；利用各種業(yè)務(wù)信息的綜合分析，為各級(jí)領(lǐng)導(dǎo)提供決策支持，更好地組織生產(chǎn)和經(jīng)營(yíng)。1.2設(shè)計(jì)原則企業(yè)園區(qū)網(wǎng)可能包含大量的信息點(diǎn)，并會(huì)涉及大量的業(yè)務(wù)應(yīng)用，這就要求企業(yè)網(wǎng)必須是一個(gè)實(shí)用的、高可靠、高效率、高擴(kuò)展性及高HYPERLINK安全性HYPERLINK系統(tǒng)。為使企業(yè)園網(wǎng)絡(luò)系統(tǒng)具有良好的擴(kuò)展性和靈活的接入能力，并易于管理，易于維護(hù)，在網(wǎng)絡(luò)設(shè)計(jì)及構(gòu)建中始終應(yīng)遵循統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一平臺(tái)及網(wǎng)絡(luò)分層的原則，主要包括如下原則：在網(wǎng)絡(luò)規(guī)劃方面，統(tǒng)一采用IP技術(shù)，統(tǒng)一規(guī)劃HYPERLINKIP地址及各種應(yīng)用，采用開放的技術(shù)及國(guó)際標(biāo)準(zhǔn)，如HYPERLINK路由協(xié)議、安全標(biāo)準(zhǔn)、接入標(biāo)準(zhǔn)和HYPERLINK網(wǎng)絡(luò)管理平臺(tái)等，才能保證實(shí)現(xiàn)網(wǎng)絡(luò)的統(tǒng)一，并確保網(wǎng)絡(luò)的可擴(kuò)展性，同時(shí)為了減少網(wǎng)絡(luò)中各部分的相關(guān)性，便于網(wǎng)絡(luò)的實(shí)施及管理，在網(wǎng)絡(luò)的構(gòu)建中，從整體上可以將網(wǎng)絡(luò)劃分為核心層、匯聚層和接入層等3個(gè)層次；在軟硬件選擇方面，所有選擇的軟、硬件產(chǎn)品都必須遵循標(biāo)準(zhǔn)化原則，采用統(tǒng)一的軟、硬件平臺(tái)和基本應(yīng)用軟件，以便進(jìn)行統(tǒng)一的軟件版本的升級(jí)及管理；在安全方面，所建設(shè)企業(yè)網(wǎng)應(yīng)具有良好的安全性與保密性，根據(jù)企業(yè)的業(yè)務(wù)應(yīng)用需求，部署合理的網(wǎng)絡(luò)訪問策略，同時(shí)實(shí)現(xiàn)企業(yè)內(nèi)部敏感信息的保護(hù)，在受到攻擊時(shí)具有可追溯性；在投資保護(hù)方面，要做到資源共享與保護(hù)，充分合理地利用現(xiàn)有的資源，最大限度地與原有系統(tǒng)或在建系統(tǒng)互聯(lián)互通，在盡可能利用已有投資的基礎(chǔ)上，解決好經(jīng)費(fèi)的補(bǔ)充和配套資金到位問題。

2.企業(yè)網(wǎng)絡(luò)的總體設(shè)計(jì)2.1網(wǎng)絡(luò)拓樸設(shè)計(jì)本次該企業(yè)網(wǎng)絡(luò)設(shè)計(jì)方案主要由以下部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、服務(wù)器群。整個(gè)網(wǎng)絡(luò)系統(tǒng)的拓樸結(jié)構(gòu)圖如圖2-1網(wǎng)絡(luò)拓樸設(shè)計(jì)所示，如下：圖2-1網(wǎng)絡(luò)拓樸設(shè)計(jì)該設(shè)計(jì)符合中小型局域網(wǎng)模型架構(gòu)。它的園區(qū)主干和建筑物分布子模塊沒有十分明確的三層設(shè)計(jì)區(qū)分，在功能配置基本上是緊縮到一層中去，因?yàn)槿狈γ黠@分開的園區(qū)主干和建筑物分布子模塊，并且園區(qū)主干子模塊中的密度是有限的，所以在每個(gè)建筑物分布子模塊中采用多臺(tái)二層交換機(jī)進(jìn)行堆疊即可，在此方案中，出于可擴(kuò)展性、一次性投資成本、網(wǎng)絡(luò)的傳輸性能及長(zhǎng)遠(yuǎn)規(guī)劃等方面因素考慮，前期先采用堆疊模式即可滿足所有用戶的接入問題，當(dāng)用戶增加到一定的數(shù)量之后，出于交換機(jī)堆疊數(shù)量的限制，可以選擇增加多一臺(tái)建筑物分布子模塊來(lái)做匯聚的交換設(shè)備，這樣一樣可以做到后續(xù)有很強(qiáng)的擴(kuò)展性，通過這種設(shè)計(jì)，可以使用該企業(yè)達(dá)到滿足現(xiàn)有需求的同時(shí)很好的降低了成本且不失后期的擴(kuò)展性（如上拓樸圖示）。以這個(gè)設(shè)計(jì)方案而言，因?yàn)槟芴峁┙粨Q機(jī)和鏈路冗余，所在園區(qū)主干子模塊不包含任何的單點(diǎn)故障。它采用了星形拓樸結(jié)構(gòu)，它相對(duì)其他拓樸結(jié)構(gòu)來(lái)說(shuō)，星形拓樸將用戶接入網(wǎng)絡(luò)時(shí)具有更大的靈活性。當(dāng)系統(tǒng)不斷發(fā)展或系統(tǒng)發(fā)生重大變化時(shí)，這種優(yōu)點(diǎn)將變得更加突出。在接入層，華為S2700系列交換機(jī)通過生成樹提供第二層冗余。華為S2700系列交換機(jī)僅有缺點(diǎn)就是最高只能32Gbit/s交換陣列，并且最多只能支持48個(gè)快速以太網(wǎng)端口，但是這對(duì)于資金有限的中小型企業(yè)網(wǎng)來(lái)說(shuō)已經(jīng)滿足需求了。在核心層采用三層交換機(jī)華為5700系列部署，可以增加網(wǎng)絡(luò)擴(kuò)展性，提高性能及可用性，增強(qiáng)網(wǎng)絡(luò)安全性。在該設(shè)計(jì)中，利用快速以太網(wǎng)通道化/千兆以太網(wǎng)通道化技術(shù)擴(kuò)展網(wǎng)絡(luò)帶寬，可以滿足內(nèi)部網(wǎng)絡(luò)的大負(fù)荷網(wǎng)絡(luò)運(yùn)行需求。2.2IP編址方案及VLAN劃分IP地址規(guī)劃根據(jù)所分配的公網(wǎng)IP地址和內(nèi)部私有網(wǎng)IP地址分配，地址可分為二大塊，一塊是分配多個(gè)C類公網(wǎng)IP地址，作為和國(guó)際互聯(lián)網(wǎng)互連的地址，一部分企業(yè)相關(guān)的域名就解析在這片地址上，同時(shí)提供給企業(yè)用戶上網(wǎng)時(shí)的NAT轉(zhuǎn)換用，如果條件允許，可以申請(qǐng)多個(gè)運(yùn)營(yíng)商的線路，關(guān)鍵服務(wù)器及應(yīng)用可以擁有兩條線路的公網(wǎng)IP，分別跨接在不同的運(yùn)營(yíng)商上進(jìn)行相互備份。當(dāng)前交換技術(shù)的迅速發(fā)展，也加快了虛擬子網(wǎng)技術(shù)(VLAN—VirtualLocalAreaNetwork)的應(yīng)用速度，特別是在當(dāng)前企業(yè)網(wǎng)上的應(yīng)用更廣泛。通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬子網(wǎng)（VLAN），可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。數(shù)據(jù)廣播在網(wǎng)絡(luò)中起著非常重要的作用，隨著企業(yè)網(wǎng)內(nèi)的計(jì)算機(jī)數(shù)量的增加，廣播包的數(shù)量也會(huì)急劇增加，當(dāng)廣播包的數(shù)量占到總量的30%時(shí)，網(wǎng)絡(luò)的傳輸效率將會(huì)明顯下降。特別是當(dāng)某網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后，會(huì)不停地向網(wǎng)絡(luò)發(fā)送廣播，從而導(dǎo)致網(wǎng)絡(luò)風(fēng)暴，使網(wǎng)絡(luò)通信陷于癱瘓。當(dāng)企業(yè)網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)數(shù)超過200臺(tái)后，就必須采取措施將網(wǎng)絡(luò)分隔開來(lái)，將一個(gè)大的廣播域劃分成若干個(gè)小的廣播域。該方案IP編址及VLAN劃分如下：表5-1VLAN劃分表VLAN號(hào)VLAN名稱IP網(wǎng)段默認(rèn)網(wǎng)關(guān)說(shuō)明VLAN1-192．168．0．0/24192．168．0．254管理VLANVLAN10CWB192．168．1．0/24192．168．1．254財(cái)務(wù)部VLANVLAN20SCB192．168．2．0/24192．168．2．254市場(chǎng)部VLANVLAN30CHB192．168．3．0/24192．168．3．254策劃部VLANVLAN50KFZX192．168．5．0/24192．168．5．254客服中心VLANVLAN60CGB192．168．6．0/24192．168．6．254采購(gòu)部VLANVLAN70RFB192．168．7．0/24192．168．7．254研發(fā)部VLANVLAN100SERVER192．168．100．0/24192．168．100．254服務(wù)器組VLAN2.3核心層設(shè)計(jì)及設(shè)備選型企業(yè)網(wǎng)是各種應(yīng)用的統(tǒng)一通信平臺(tái)，平均無(wú)故障時(shí)間以及故障恢復(fù)時(shí)間要保持在一個(gè)可容忍的許可范圍之內(nèi)。在這種前提下，園區(qū)主干設(shè)備應(yīng)有一定的冗余度，這種冗余包括有設(shè)備及物理線路等方面，數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層以及應(yīng)用層的容錯(cuò)能力。園區(qū)主干網(wǎng)以企業(yè)網(wǎng)絡(luò)中心的主機(jī)房為中心節(jié)點(diǎn)向外輻射，通過各部門所在的建筑樓節(jié)點(diǎn)構(gòu)成園區(qū)主干網(wǎng)。企業(yè)園物理結(jié)構(gòu)分為三層：核心層、匯聚層、接入層。園區(qū)主干網(wǎng)中心節(jié)點(diǎn)配置核心路由交換機(jī)，該交換機(jī)上配置第三層交換模塊和網(wǎng)絡(luò)監(jiān)控模塊，以實(shí)現(xiàn)網(wǎng)絡(luò)動(dòng)態(tài)管理和虛擬局域網(wǎng)。企業(yè)網(wǎng)的各建筑物分布子模塊，可采用三層交換機(jī)與企業(yè)網(wǎng)園區(qū)中心的核心路由交換機(jī)連接，以實(shí)現(xiàn)主干通道信息傳輸?shù)呢?fù)載均衡。辦公司樓、研發(fā)樓、生產(chǎn)間、職工公寓等樓宇采用高性能匯聚層交換機(jī)，以保證建筑樓信息點(diǎn)對(duì)交換機(jī)端口密度的要求和網(wǎng)絡(luò)性能與可靠性的要求。園區(qū)主干網(wǎng)核心層交換機(jī)和匯聚層交換機(jī)采用1000Mbps連接，服務(wù)器采用100Mbps連接。園區(qū)主干交換機(jī)園區(qū)主干交換機(jī)是指連接服務(wù)器及樓與樓之間、層與層之間的數(shù)據(jù)交換設(shè)備。根據(jù)企業(yè)網(wǎng)工程的不同階段中網(wǎng)絡(luò)信息點(diǎn)增加及其間伴隨著的使用需求增長(zhǎng)，對(duì)主干交換機(jī)基本設(shè)備的選型及其階段性的擴(kuò)展需求進(jìn)行總體的合理規(guī)劃。因此本次方案設(shè)計(jì)采用華為S5700交換機(jī)，它的最高性能可以達(dá)到102Mpps和136Gbit/s，在遠(yuǎn)程辦公室環(huán)境中，這類交換機(jī)即可以作為單臺(tái)交換機(jī)發(fā)揮作用，也可以作為包含少量交換機(jī)的中小型網(wǎng)絡(luò)的園區(qū)主干交換機(jī)。在性能方面，具有很強(qiáng)的擴(kuò)展性及多業(yè)務(wù)特性，可以滿足未來(lái)企業(yè)豐富的業(yè)務(wù)需求及提供投資保護(hù)。2.3.2出口路由器在此方案中，考慮該企業(yè)Internet出口路由器的配置，采用一臺(tái)華為AR3260路由器，因?yàn)槿A為AR3260系列是模塊化設(shè)備，提供了更多的槽和更高的處理能力，它的用途是支持大型分支機(jī)構(gòu)中的復(fù)雜應(yīng)用，或作為中心路由器為多個(gè)遠(yuǎn)程站點(diǎn)提供連接，它的網(wǎng)絡(luò)模塊最高可支持OC-3的速度，且對(duì)大多數(shù)企業(yè)具有豐富的可提高擴(kuò)展能力。2.3.3服務(wù)器群組服務(wù)器是網(wǎng)絡(luò)服務(wù)器用量最大的地方。服務(wù)器的選擇標(biāo)準(zhǔn)很大程度上取決于中心客戶的類型和應(yīng)用種類。就大部分中小型企業(yè)應(yīng)用而言，Web、ERP應(yīng)用和數(shù)據(jù)庫(kù)應(yīng)用仍然占整個(gè)數(shù)據(jù)中心的各類應(yīng)用的主要部分。因此對(duì)服務(wù)器的網(wǎng)絡(luò)響應(yīng)能力在很大程度上體現(xiàn)了服務(wù)器的硬件體系結(jié)構(gòu)設(shè)計(jì)的合理性、CPU或CPU組（SMP）對(duì)操作系統(tǒng)的進(jìn)程或線程的分配能力以及磁盤I/O的性能。以及可行性與穩(wěn)定性，同時(shí)散熱、功耗和易安裝性也是重點(diǎn)考察和評(píng)價(jià)的對(duì)象。基于以上考慮，所選的服務(wù)器必須具有高可靠性，I/O吞吐能力強(qiáng)，數(shù)據(jù)處理快，可擴(kuò)展性和可管理性良好的特點(diǎn)。2.4接入層設(shè)計(jì)及設(shè)備選型接入層選用華為S2700可堆疊交換機(jī)作為用戶的接入，這些交換機(jī)通常作為建筑物接入交換機(jī)而部署，能夠提供固定的端口密度，并且具有與高端交換機(jī)相類似的特性，但其成本更低，但它們卻支持非常多的高級(jí)交換特性，其中包括集成安全、NAC、高級(jí)Qos和彈性等；同時(shí)這些交換機(jī)具有固定的端口配置，具有24個(gè)或48個(gè)10/100BASE-T或10/100/1000BASE-T端口，以及雙目標(biāo)特以太網(wǎng)上行鏈路。使用華為S2700作為本方案設(shè)計(jì)的接入交換機(jī)，它支持全線速的二層交換，同時(shí)具備如下特性：完備的安全智能控制策略：支持802.1x認(rèn)證，還可以通過靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問網(wǎng)絡(luò)。支持多種ACL訪問控制策略：能夠?qū)τ脩粼L問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行設(shè)置，保證網(wǎng)絡(luò)的受控訪問。高可靠性：支持STP/RSTP生成樹協(xié)議。豐富的QOS策略：支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口，支持帶寬控制功能。2.5安全體系設(shè)計(jì)及設(shè)備選型企業(yè)網(wǎng)信息系統(tǒng)是企業(yè)網(wǎng)的數(shù)字神經(jīng)中樞，合理的使用不僅能提高企業(yè)現(xiàn)代化信息化改革、提高工作效率、改善工作模式及流程，同時(shí)通過各企業(yè)之間的信息共享及溝通的方便及順暢，將會(huì)極大的提高整體行業(yè)的工作效率及工作業(yè)績(jī)。企業(yè)網(wǎng)總體上分為企業(yè)內(nèi)網(wǎng)和企業(yè)外網(wǎng)。企業(yè)內(nèi)網(wǎng)主要包括研發(fā)樓局域網(wǎng)、生產(chǎn)車間局域網(wǎng)、辦公自動(dòng)化局域網(wǎng)等。企業(yè)外網(wǎng)主要指企業(yè)提供對(duì)外服務(wù)的服務(wù)器群、與電信的接入以及遠(yuǎn)程移動(dòng)辦公用戶的接入等，認(rèn)真分析可以總結(jié)出企業(yè)網(wǎng)面臨著如下的安全威脅：各種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞帶來(lái)的安全威脅；Internet網(wǎng)絡(luò)用戶對(duì)企業(yè)網(wǎng)存在非法訪問或惡意入侵的威脅；來(lái)自企業(yè)網(wǎng)內(nèi)外的各種病毒的威脅，外部用戶可能通過郵件以及文件傳輸?shù)葘⒉《編肫髽I(yè)內(nèi)網(wǎng)，內(nèi)部職工可能由于使用盜版介質(zhì)將病毒帶入企業(yè)內(nèi)；內(nèi)部用戶對(duì)Internet的非法訪問威脅，如瀏覽黃色、暴力、反動(dòng)等網(wǎng)站，以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入企業(yè)內(nèi)網(wǎng)；內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對(duì)網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS攻擊，導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用；企業(yè)網(wǎng)內(nèi)的職工即時(shí)通信工具（比如：QQ），目前針對(duì)該類工具的黑客程序隨處可見；可能會(huì)因?yàn)槠髽I(yè)網(wǎng)內(nèi)管理人員以及全體職工的安全意識(shí)不強(qiáng)、管理制度不健全，帶來(lái)企業(yè)網(wǎng)的威脅。基于上面的問題，我們將從物理、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用及管理五個(gè)層次分析和設(shè)計(jì)適合于企業(yè)網(wǎng)的安全建議方案。

2.6設(shè)計(jì)方案優(yōu)勢(shì)高帶寬、高性能相比于傳統(tǒng)組網(wǎng)設(shè)計(jì)方案，該企業(yè)網(wǎng)絡(luò)設(shè)計(jì)方案是基于標(biāo)準(zhǔn)的二、三層以太網(wǎng)交換技術(shù)，技術(shù)成熟度非常高。企業(yè)網(wǎng)絡(luò)中心放置路由交換機(jī)上行通過GE接至互聯(lián)網(wǎng)，GE可以是單?；蛘叨嗄?，到時(shí)可以按使用的情況進(jìn)行擴(kuò)展，使出口不會(huì)成為企業(yè)網(wǎng)瓶頸。在企業(yè)網(wǎng)絡(luò)中心通過下行使千兆鏈路連接接入層交換機(jī)，百兆交換到桌面，100M的帶寬可充分滿足用戶高速上網(wǎng)、內(nèi)容下載及多媒體等多種寬帶業(yè)務(wù)。核心交換機(jī)擁有1000M出口聯(lián)接企業(yè)網(wǎng)，各層設(shè)備全部支持線速交換，給用戶提供了真正的高帶寬網(wǎng)絡(luò)，對(duì)未來(lái)高帶寬的寬帶業(yè)務(wù)提供了強(qiáng)大的支撐能力。網(wǎng)絡(luò)管理企業(yè)網(wǎng)在為員工提供便捷、高效的學(xué)習(xí)、工作環(huán)境的同時(shí)，也在寬帶管理、權(quán)限控制等方面存在許多問題：對(duì)帶寬資源的大量占用導(dǎo)致重要應(yīng)用無(wú)法進(jìn)行對(duì)于企業(yè)來(lái)說(shuō)，它的帶寬資源都是有限的。由于沒有帶寬限制和優(yōu)先級(jí)設(shè)置，一些重要用戶和重要應(yīng)用得不到必要的帶寬保證而影響了工作。訪問權(quán)限難以控制隨著使用互聯(lián)網(wǎng)資源、各部門之間不同員工間的保密資源可以隨意獲取，將導(dǎo)致企業(yè)秘密資料或是自主知識(shí)產(chǎn)權(quán)被競(jìng)爭(zhēng)對(duì)手抄襲，引起經(jīng)濟(jì)損失。異常網(wǎng)絡(luò)事件的審計(jì)和追查當(dāng)異常網(wǎng)絡(luò)事件發(fā)生后，如何盡快的追根溯源，找出幕后“黑手”，避免事件的再次發(fā)生，成了網(wǎng)絡(luò)維護(hù)人員不得不面對(duì)的棘手問題。帶寬的限定和業(yè)務(wù)優(yōu)先級(jí)的設(shè)定系統(tǒng)能對(duì)每個(gè)客戶上下行的帶寬上限加以限定，防止個(gè)別客戶占用過多網(wǎng)絡(luò)資源。還能對(duì)不同的用戶數(shù)據(jù)設(shè)定業(yè)務(wù)優(yōu)先級(jí)以保證重要數(shù)據(jù)能得到更好的服務(wù)?？旖輰?shí)現(xiàn)全網(wǎng)管理全網(wǎng)拓?fù)浒l(fā)現(xiàn)功能可以對(duì)全網(wǎng)設(shè)備、網(wǎng)絡(luò)節(jié)點(diǎn)以及事件、性能、日志進(jìn)行實(shí)時(shí)監(jiān)控，統(tǒng)一管理。強(qiáng)大的事件追查功能系統(tǒng)中豐富的日志信息和便捷的追查工具能使網(wǎng)絡(luò)管理員在面對(duì)異常事件時(shí)，能及時(shí)作出反應(yīng)，迅速找出幕后“黑手”。完善的安全機(jī)制該企業(yè)各樓宇交換機(jī)通過內(nèi)在的多種安全機(jī)制可有效防止和控制病毒傳播和網(wǎng)絡(luò)流量攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口安全、端口隔離、專家級(jí)ACL、時(shí)間ACL、端口ARP報(bào)文合法性檢查、基于數(shù)據(jù)流的帶寬限速等等，滿足企業(yè)網(wǎng)加強(qiáng)對(duì)訪問者進(jìn)行控制、限制非授權(quán)用戶通信的需求；在匯聚、核心交換設(shè)備設(shè)置由硬件實(shí)現(xiàn)ACL，對(duì)病毒進(jìn)行過濾。硬件實(shí)現(xiàn)端口與MAC地址和用戶IP地址的綁定，嚴(yán)格限定端口上用戶接入；通過將端口設(shè)為保護(hù)端口即可簡(jiǎn)單方便地隔離用戶之間信息互通，不必占用VLAN資源；通過PrivateVLAN可以在交換機(jī)的同一VLAN中提供端口之間的通訊或安全隔離，確保數(shù)據(jù)流進(jìn)入有效端口，而不會(huì)被發(fā)送到其它端口，即解決了因傳統(tǒng)802.1QVLAN造成全網(wǎng)VID資源不夠的問題，同時(shí)又無(wú)需利用安全規(guī)則資源即能達(dá)到隔離不同用戶以及不同組用戶之間通訊的功能，充分保護(hù)用戶隱私；提供極為有效的PortBlocking功能，避免端口受到其它端口發(fā)送的廣播包、多播包等報(bào)文的干擾，有效減輕端口負(fù)載負(fù)擔(dān)，提高端口帶寬，保護(hù)用戶PC更高效安全地運(yùn)行；基于源IP地址控制的Telnet和Web設(shè)備訪問控制，增強(qiáng)了設(shè)備網(wǎng)管的安全性，避免黑客惡意攻擊和控制設(shè)備；提供加密傳輸?shù)腟ecureShell（SSH），保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備；病毒、蠕蟲等多元化發(fā)展控制網(wǎng)絡(luò)病毒。統(tǒng)一對(duì)接入層交換機(jī)做動(dòng)態(tài)下發(fā)安全策略，輕松有效的控制網(wǎng)絡(luò)病毒，使網(wǎng)絡(luò)保持暢通。易維護(hù)華為網(wǎng)絡(luò)交換機(jī)都經(jīng)過獨(dú)特設(shè)計(jì)具備防塵、防潮、防靜電等多種適于在樓道安裝和使用的特點(diǎn)。而且具有強(qiáng)大的運(yùn)行維護(hù)能力，能有效降低運(yùn)營(yíng)商的運(yùn)維成本。支持RS-232本地管理口及Telnet、WEB、SNMP代理，遠(yuǎn)程監(jiān)控（RMON1~3，9組）可根據(jù)運(yùn)營(yíng)商的不同要求，使用不同的管理方案，支持SNMP協(xié)議的全網(wǎng)集中網(wǎng)管。提供了故障告警和日志功能，可通過機(jī)箱面板上指示燈直觀地了解設(shè)備的運(yùn)行狀態(tài)。高可靠性華為網(wǎng)絡(luò)產(chǎn)品均使用國(guó)際上主流的先進(jìn)ASIC芯片進(jìn)行設(shè)計(jì)，并率先采用ISO9002生產(chǎn)標(biāo)準(zhǔn)進(jìn)行生產(chǎn)，確保了設(shè)備的穩(wěn)定性。低成本、可擴(kuò)展性強(qiáng)以太網(wǎng)交換技術(shù)歷經(jīng)長(zhǎng)期發(fā)展，得到眾多廠商的支持，以技術(shù)實(shí)現(xiàn)簡(jiǎn)單而獲得極大的性能價(jià)格比。華為網(wǎng)絡(luò)公司的以太網(wǎng)交換機(jī)全部基于標(biāo)準(zhǔn)的以太網(wǎng)交換技術(shù)，使用專用芯片技術(shù)，具有極高的性價(jià)比，保證了整個(gè)網(wǎng)絡(luò)核心部分的穩(wěn)定、可靠和高性能。華為中心交換機(jī)采用模塊式設(shè)計(jì)，用戶只需簡(jiǎn)單地添加端口模塊即可實(shí)現(xiàn)網(wǎng)絡(luò)的擴(kuò)容，完整保護(hù)用戶投資。華為交換機(jī)支持彈性堆疊功能，可根據(jù)需要擴(kuò)展堆疊從機(jī)；這樣，當(dāng)網(wǎng)絡(luò)需擴(kuò)容時(shí)，只需簡(jiǎn)單添加堆疊從機(jī)，不必再添加設(shè)備管理IP；同時(shí)，網(wǎng)絡(luò)速度不會(huì)受到影響。

3企業(yè)網(wǎng)絡(luò)的整體方案部署以下是該企業(yè)應(yīng)用以上方案設(shè)計(jì)之后，方案中所有的網(wǎng)絡(luò)、服務(wù)器等設(shè)備的具體參數(shù)配置。3.1交換模塊設(shè)計(jì)為了簡(jiǎn)化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò)的可擴(kuò)展，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)行的。園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個(gè)層次：接入層、分布層、核心層。在本設(shè)計(jì)方案中，需要進(jìn)行三層配置。以下所有配置均屬于真實(shí)在運(yùn)營(yíng)參數(shù)，并且使用SecureCRT6.1作為終端進(jìn)行網(wǎng)絡(luò)設(shè)備的配置驗(yàn)證。3.1.1接入層交換機(jī)服務(wù)的實(shí)現(xiàn)—配置接入層交換機(jī)接入層為所有的終端用戶提供一個(gè)接入點(diǎn)。這里的接入層交換機(jī)采用的是S2700-52P-EI交換機(jī)。交換機(jī)擁有48個(gè)10/100Mbps自適應(yīng)快速以太網(wǎng)端口。我們以方案拓樸圖示中的接入層交換機(jī)LSW5為例進(jìn)行介紹。如下圖3-1接入層所示：圖3-1接入層配置接入層交換機(jī)LSW5的基本參數(shù)設(shè)置交換機(jī)名稱設(shè)置交換機(jī)名稱，也就是出現(xiàn)在交換機(jī)CLI提示符中的名字。一般我們會(huì)以地理位置或行政劃分來(lái)為交換機(jī)命名。當(dāng)我們需要Telnet登錄到若干臺(tái)交換機(jī)以維護(hù)一個(gè)大型網(wǎng)絡(luò)時(shí)，通過交換機(jī)名稱提示自己當(dāng)前配置交換機(jī)的位置是很有必要的。使用SecureCRT登錄LSW5進(jìn)入界面后，輸入以下命令為接入層交換機(jī)命名<Huawei>system-view//進(jìn)入用戶模式[Huawei]sysnameLSW5S//修改交換機(jī)名稱[LSW5]//修改成功后的顯示效果設(shè)置登錄虛擬終端線時(shí)的口令對(duì)于一個(gè)已經(jīng)運(yùn)行著的交換網(wǎng)絡(luò)來(lái)說(shuō)，交換機(jī)的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理人員提供了很多的方便，但是，處于安全考慮，在能夠遠(yuǎn)程管理交換機(jī)之前網(wǎng)絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機(jī)的口令。[LSW5]user-interfacevty04//進(jìn)入虛擬終端線路[LSW5-ui-vty0-4]setauthenticationpasswordciphermzxy//設(shè)置登錄密碼為mzxy[LSW5-ui-vty0-4]authentication-modepassword//設(shè)置認(rèn)證模式為密碼認(rèn)證設(shè)置終端線超時(shí)時(shí)間為了安全考慮，可以設(shè)置終端線超時(shí)時(shí)間。在設(shè)置障礙的時(shí)間內(nèi)，如果沒有檢測(cè)到鍵盤輸入，交換機(jī)將斷開用戶和交換機(jī)之間的連接。[LSW5-ui-vty0-4]idle-timeout5//設(shè)置登陸交換機(jī)的控制終端線路的超時(shí)時(shí)間為5分0秒鐘。配置接入層交換機(jī)LSW5的管理IP、默認(rèn)網(wǎng)關(guān)接入層交換機(jī)是OSI參考模型的第二層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備，因此，給接入層交換機(jī)的每個(gè)端口設(shè)置IP地址是沒有意義的，但是，為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到接入層交換機(jī)上進(jìn)行管理，必要給接入層交換機(jī)設(shè)置一個(gè)管理用的IP地址，這種情況下，實(shí)際上是將交換機(jī)看成和PC機(jī)一樣的主機(jī)，給交換機(jī)設(shè)置管理用的IP地址只能在VLAN1，即本征VLAN中進(jìn)行。按照表2，管理VLAN所在的子網(wǎng)是：，這里將接入層交換機(jī)LSW5的管理IP地址設(shè)為：192.168.0.10/24，如下：[LSW5]interfacevlan1//設(shè)置管理IP為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī)，還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān)地址。配置接入層交換機(jī)LSW5的VLAN[LSW5]vlanbatch1020//在交換機(jī)上創(chuàng)建VLAN10、VLAN20配置接入層交換機(jī)LSW5的訪問端口接入層交換機(jī)LSW5為終端用戶提供接入服務(wù)，根據(jù)各部門的不同分布，接入層交換機(jī)LSW5為VLAN10及VLAN20提供接入服務(wù)。設(shè)置接入層交換機(jī)SWITCH1的端口1~20為VLAN10，端口21~46為VLAN20，如下：[LSW5]vlan10[LSW5-vlan10]portEthernet0/0/1to0/0/20//設(shè)置端口1~20為VLAN10的成員[LSW5]vlan20[LSW5-vlan20]portEthernet0/0/21to0/0/46//設(shè)置端口21~46為VLAN20的成員配置其他接入層交換機(jī)對(duì)接其他入層交換機(jī)的配置步驟、命令和對(duì)接入層交換機(jī)LSW5的配置類似按照LSW5的配置，在其他接入層交換機(jī)做相類似的配置，并將各自的端口劃入相應(yīng)的VLAN即可。3.1.2核心層交換機(jī)服務(wù)的實(shí)現(xiàn)—配置核心層交換機(jī)在本設(shè)計(jì)方案中，核心層各設(shè)備主要是做數(shù)據(jù)的高速轉(zhuǎn)發(fā)工作，但同時(shí)也可以兼顧一些分布層的工作，以方便配置的實(shí)施。下面討論核心層交換機(jī)的配置，如下圖3-2核心層所示：圖3-2核心層對(duì)核心層交換機(jī)LSW1的基本參數(shù)的配置配置步驟與接入層交換機(jī)LSW5的基本參數(shù)的配置類似，其配置如下：<Huawei>system-view[Huawei]sysnameLSW1[LSW1]user-interfacevty04[LSW1-ui-vty0-4]authentication-modepassword[LSW1-ui-vty0-4]setauthenticationpasswordciphermzxy[LSW1-ui-vty0-4]idle-timeout5配置核心層交換機(jī)LSW1的管理IP、默認(rèn)網(wǎng)關(guān)下面的命令為核心層交換機(jī)CoreSwitch1設(shè)置管理IP并激活管理VLAN，還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址，配置如下：[LSW1]interfacevlan1[LSW1-Vlanif在核心層交換機(jī)LSW1上定義VLAN在本設(shè)計(jì)方案中，除了默認(rèn)的管理VLAN外，又定義了6個(gè)VLAN：[LSW1]vlan10[LSW1-vlan10]descriptionCWB[LSW1]vlan20[LSW1-vlan20]descriptionSCB[LSW1]vlan30[LSW1-vlan30]descriptionCHB[LSW1]vlan40[LSW1-vlan40]descriptionKFZX[LSW1]vlan50[LSW1-vlan50]descriptionCGB[LSW1]vlan60[LSW1-vlan60]descriptionSERVER[LSW1]vlan100[LSW1-vlan100]descriptionTo-LSW2配置核心層交換機(jī)LSW1的端口基本參數(shù)如樸拓樸圖所示，核心層交換機(jī)LSW1的端口G0/0/4為服務(wù)器群提供接入服務(wù)，而端口G0/0/1分別上連到路由器，其他接口則分配給接入層交換機(jī)使用。此外，為了實(shí)現(xiàn)冗余設(shè)計(jì)以及提供主干道的吞吐量，核心層交換機(jī)LSW1將千兆端口G0/0/2、G0/0/3捆綁在一起實(shí)現(xiàn)2000Mbps的千兆以太網(wǎng)信道，然后再連接到另一臺(tái)核心層交換機(jī)LSW2，下面是調(diào)協(xié)核心層交換機(jī)LSW2的千兆以太網(wǎng)信道的步驟：[LSW1]interfaceEth-Trunk1//創(chuàng)建組[LSW1-Eth-Trunk1]portlink-typeaccess//設(shè)置模式為TRUNK[LSW1-Eth-Trunk1]trunkportGigabitEthernet0/0/2to0/0/3//加入組1配置核心層交換機(jī)LSW1的三層交換功能核心層交換機(jī)CoreSwitch需要為網(wǎng)絡(luò)中的各個(gè)VLAN提供路由功能，需要為每個(gè)VLAN定義自已的默認(rèn)網(wǎng)關(guān)地址：[LSW1]interfaceVlanif10[LSW1-Vlanif10].0[LSW1]interfaceVlanif20[LSW1-Vlanif20][LSW1]interfaceVlanif30[LSW1-Vlanif30][LSW1]interfaceVlanif40[LSW1-Vlanif40][LSW1]interfaceVlanif50[LSW1-Vlanif50][LSW1]interfaceVlanif100[LSW1-Vlanif100]252此外，還需要定義通往Internet的路由，這里使用了一條缺省路由命令，使用的下一跳地址是Internet接入路由器與核心交換機(jī)相連接的快速以太網(wǎng)接口G0/0/1的IP地址。[LSW1]vlan200[LSW1-vlan200]descriptionTo-AR1[LSW1-vlan200]portGigabitEthernet0/0/1[LSW1]intvlan200//在交換機(jī)LSW1啟用OSPF路由功能[LSW1]ospf1[LSW1-ospf-1]area00.255配置核心層交換機(jī)LSW2對(duì)核心層交換機(jī)LSW2的配置步驟、命令和對(duì)核心層交換機(jī)LSW1的配置類似。3.2廣域網(wǎng)接入模塊設(shè)計(jì)在本設(shè)計(jì)方案中，廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器AR1來(lái)完成的，采用的是華為的3260路由器，它通過自己的串行接口Serial4/0/0接入Internet，它的作用主要是在Internet和企業(yè)網(wǎng)間路由數(shù)據(jù)包，除了完成主要的路由任務(wù)外，利用訪問控制列表（AccessControlList，ACL），廣域網(wǎng)接入路由器AR1還可以用來(lái)完成以自身為中心的流量控制和過濾功能并實(shí)現(xiàn)一定的安全功能,所下圖3-3廣域網(wǎng)接入所示。圖3-3廣域網(wǎng)接入配置路由器AR1的基本參數(shù)路由器的基本參數(shù)配置和前面交換機(jī)的配置類似，配置如下：<Huawei>system-view[Huawei]sysnameAR1[AR1]user-interfacevty04[AR1-ui-vty0-4]setauthenticationpasswordciphermzxy[AR1-ui-vty0-4]authentication-modepassword[AR1-ui-vty0-4]idle-timeout5配置路由器AR1的各接口參數(shù)對(duì)于路由器IRouter的各接口參數(shù)的配置主要是對(duì)接口G0/0/0、G0/0/1以及接口S4/0/0的IP地址、子網(wǎng)掩碼的配置，如下：[AR1]interfaceg0/0/0[AR1-GigabitEthernet0/0/0][AR1]interfaceg0/0/1[AR1-GigabitEthernet0/0/1][AR1]interfaceSerial4/0/0[AR1-Serial4/0/0]//配置路由器IRouter的各接口的IP地址、子網(wǎng)掩碼配置路由器AR1的路由功能在接入路由器AR1上需要定義兩個(gè)方向上的路由：到企業(yè)網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由，到Internet上的路由需要定義一條缺省路由，下一跳指定從本路由器的接口S4/0/0送出，如下：//定義到Internet的缺省路由由于企業(yè)內(nèi)部配置了負(fù)載均衡，所以到企業(yè)網(wǎng)內(nèi)部的路由有兩條路徑，一條經(jīng)由LSW1進(jìn)入企業(yè)網(wǎng)內(nèi)部，另一條是經(jīng)由LSW2進(jìn)入企業(yè)網(wǎng)內(nèi)部，第一條路徑的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。如下：[AR1]ospf1[AR1-ospf-1]area0[AR1-ospf-1-area-03//定義經(jīng)過LSW1及LSW2到企業(yè)網(wǎng)內(nèi)部及外部的路由配置接入路由器AR1上的NAT由于目前IP地址資源非常稀缺，不可能給企業(yè)網(wǎng)內(nèi)部的所有工作站都分配一個(gè)公有IP（Internet可路由的）地址，為了解決所有工作站訪問Internet的需要，必須使用NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)。根據(jù)前文對(duì)企業(yè)網(wǎng)的需求分析，企業(yè)當(dāng)?shù)豂SP申請(qǐng)了9個(gè)IP地址，其中一個(gè)IP地址：被分配給了Internet接入路由器串行接口，另外8個(gè)IP地址：用作NAT。這里使用的是接口NAT地址轉(zhuǎn)換，下面配置NAT地址轉(zhuǎn)換：[AR1]acl2000//配置基本ACL，匹配NAT流量[AR1]nataddress-創(chuàng)建地址池1[AR1]intSerial4/0/0//在接口下啟用NAT[AR1-Serial4/0/0]natoutbound2000address-group1配置接入路由器AR1上的ACL雖然此方案設(shè)計(jì)中，防火墻是網(wǎng)絡(luò)安全保障的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地，但路由器的訪問控制列表也是網(wǎng)絡(luò)安全的重要保障之一，訪問控制列表提供了一種機(jī)制，它可以控制和過濾通過路由器的不同接口去往不同方向的信息流，這種機(jī)制允許用戶全長(zhǎng)訪問表來(lái)管理信息流，以制定公司內(nèi)部網(wǎng)絡(luò)的相關(guān)策略，這些策略可以描述安全功能，并且反映流量的優(yōu)先級(jí)別。路由器上的訪問控制列表ACL是保護(hù)內(nèi)網(wǎng)安全的有效手段，一個(gè)設(shè)計(jì)良好的訪問控制列表不僅可以超到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能