網絡工程-隆智俊皮革有限公司網絡規(guī)劃與設計方案

PAGE 隆智俊皮革有限公司網絡規(guī)劃與設計方案摘要：本公司是以皮革為主營業(yè)務，業(yè)務分布全球，在全球高速發(fā)展的同時，互聯(lián)網也再飛速發(fā)展，信息時代大浪潮下，一個公司架設內部局域網實現(xiàn)信息化顯得尤為重要在中國皮革行業(yè)，經歷了調整優(yōu)化結構，全世界已初步形成了一批專業(yè)化分工、特色突出和對拉動當?shù)亟洕鹬e足輕重作用的皮革生產特色和市場。這些歷史奠定了中國皮革行業(yè)發(fā)展的基礎。從公司整體出發(fā)，根據內部結構設計總體的網絡框架，包括建筑結構和管理結構。再從功能性選擇上結合公司需求，搭建出具體的網絡拓撲，選擇適合的技術和設備進行組網，最后進行連通性測試以保證網絡的可用性。隆智俊皮革有限公司網絡規(guī)劃與設計方案，是對我們公司的網絡應用需求進行分析，然后構思和設計出滿足公司辦公生產需求的計算機網絡的過程。我們采集公司每一個部門對于網絡的需求，再進行網絡規(guī)劃。隆智俊皮革有限公司網絡規(guī)劃與設計方案設計過程需要需求分析，通信規(guī)范分析，邏輯網絡設計，物理網絡設計，最后是安裝維護。隆智俊皮革有限公司網絡規(guī)劃與設計方案，主要講述網絡的構建，按照公司的網絡構建要求實施，其中設計核心交換機的基本配置、VLAN的劃分、防火墻的安全策略和大量的路由協(xié)議、無線技術等網路技術。從功能性選擇上結合公司需求，搭建出具體的網絡拓撲，選擇適合的技術和設備進行組網，最后進行連通性測試以保證網絡的可用性。關鍵詞：網絡規(guī)劃，需求分析，網絡技術LongzhijunLeatherCo.,Ltd.networkPlanningandDesignplanAbstract：Thecompanyismainlyengagedinleatherbusiness,anditsbusinessisdistributedglobally.Atthesametimeofrapidglobaldevelopment,theInternetisalsodevelopingrapidly.Underthetideoftheinformationage,itisparticularlyimportantforacompanytosetupaninternalLANtoachieveinformatization.Inordertoadjustandoptimizethestructure,anumberofleatherproductioncharacteristicsandmarketsthathavespecializeddivisionoflabor,outstandingcharacteristics,andapivotalroleindrivingthelocaleconomyhavebeeninitiallyformedaroundtheworld.ThesehistorylaidthefoundationforthedevelopmentofChina'sleatherindustry.Startingfromthecompanyasawhole,theoverallnetworkframeworkisdesignedaccordingtotheinternalstructure,includingbuildingstructureandmanagementstructure.Thencombinethecompany'sneedsintermsoffunctionalselection,buildaspecificnetworktopology,selectsuitabletechnologiesandequipmentfornetworking,andfinallyconductconnectivityteststoensurenetworkavailability.LongzhijunLeatherCo.,Ltd.'snetworkplanninganddesignplanistoanalyzeourcompany'snetworkapplicationneeds,andthenconceiveanddesignacomputernetworkthatmeetsthecompany'sofficeproductionneeds.Wecollectthenetworkrequirementsofeachdepartmentofthecompanyandthenconductnetworkplanning.LongZhijunLeatherCo.,Ltd.networkplanninganddesignplandesignprocessrequiresdemandanalysis,communicationspecificationanalysis,logicalnetworkdesign,physicalnetworkdesign,andfinallyinstallationandmaintenance.LongZhijunLeatherCo.,Ltd.networkplanninganddesignprogram,mainlyabouttheconstructionofthenetwork,implementedinaccordancewiththecompany'snetworkconstructionrequirements,whichdesignthebasicconfigurationofthecoreswitch,VLANdivision,firewallsecuritystrategyandalotofroutingprotocols,wirelesstechnologyAndothernetworktechnologies.Combinethecompany'sneedsintermsoffunctionalchoices,buildaspecificnetworktopology,selectsuitabletechnologiesandequipmentfornetworking,andfinallyconductconnectivityteststoensurenetworkavailability.Keywords：Networkplanning,demandanalysis,networktechnology目錄14689第1章緒論 1148781.1研究背景和意義 1244741.1.1網絡規(guī)劃與設計方案的研究背景 170391.1.2本課題的研究意義 1144501.2課題研究方法和內容 2119371.2.1研究方法 2266701.2.2研究內容 27590第2章網絡規(guī)劃需求分析 4295852.1網絡需求分析 4309232.2應用需求分析 4221092.3網絡性能分析 4121192.4安全需求分析 425350第3章網絡規(guī)劃總體設計 643703.1設計目標 6237593.2設計原則 693203.3拓撲圖設計規(guī)劃 720173.4IP地址與VLAN的劃分 716029第4章關鍵網絡技術原理 918294.1虛擬局域網（VLAN） 9304064.2OSPF協(xié)議 11240404.3動態(tài)主機配置協(xié)議（DHCP） 1244494.4無線技術 1423436第5章安全技術 18127305.1安全區(qū)域劃分 18107075.2ASPF 20183145.3NAT 2114993第6章功能性測試 2288116.1DHCP功能測試 22306526.2HTTP功能測試 2387326.3FTP功能測試 24289836.4無線網絡的測試 26290936.5NAT功能測試 2924017第7章總結 3227866參考文獻： 3312614致謝 34PAGE35第1章緒論1.1研究背景和意義1.1.1網絡規(guī)劃與設計方案的研究背景在全球發(fā)展的市場趨勢下，中國皮革業(yè)可以取得如此成績已經很不容易，也可以看出中國皮革業(yè)生命力的強大。計算機和信息技術已經和人們的生活變得密不可分，出于公司發(fā)展的政策需要和網絡安全方面的考慮，國家在信息化建設方面日益重視，加大了財政資金支持，這又使得近年來，信息技術領域飛速發(fā)展，計算機網絡技術也日漸成熟，各種新技術層出不窮并廣泛普及到各行各業(yè)，大量基于網絡應用的業(yè)務成爆發(fā)性增加，從以前最基本的網絡通信，發(fā)展到各個方面。行業(yè)內對于網絡的依賴性和需求性遠非從前可比，尤其在商業(yè)和服務業(yè)領域。在全球市場經濟發(fā)展下，公司的主要產業(yè)進一步擴大，本公司業(yè)務量亦隨之迅速上漲，兼?zhèn)涠喙δ?，多元化的特點已成為新時代企業(yè)的象征，對于網絡的可靠性、穩(wěn)定性、可拓展性、安全性等需求有了更為嚴格的要求。為適應這一發(fā)展需要，公司的內部網絡的規(guī)劃和建設也必須與時俱進，這也是公司建設非常重要的一環(huán)。當今社會已經基本普及現(xiàn)代化網絡建設，這一結合極大地推動了國家現(xiàn)代化，信息化的方向發(fā)展。作為皮革公司，服務人群多為商業(yè)人士，受眾面廣，對于網絡的需求更是不言而喻，本公司應該順應時代變革，認清發(fā)展形勢，把握新時代的數(shù)字化、信息化，網絡化的技術，綜合考慮公司內部實際情況，搭建合適的內部網絡，設計合理的一體化系統(tǒng)，從而推進落實自動化，網絡化，一體化的建設。既滿足客人的需求，另一方面就公司自身而言，能減少資源消耗，便于酒店管理，提高整體工作效率，實現(xiàn)利益最大化。1.1.2本課題的研究意義在全球信息化的前提下，信息時代的來臨跟互聯(lián)網的發(fā)展一起擴大，計算機科學與技術發(fā)展越來越快，公司對于網絡的需求同時也越來越大，計算機網絡與每個人變得密不可分，學習計算機科學知識，掌握計算機技術技能成為新時代對于我們每個人的要求。網絡作為通信紐帶在各個領域扮演著舉足輕重的角色，所以了解網絡是如何組成的，又是如何通信的，它的功能原理是什么樣的，工作流程是什么樣的，涉及到的技術有哪些，對于一個計算機系的學生來說是最基本的必備的能力。通過這次方案設計可以學習到如何去設計一個網絡規(guī)劃，怎樣滿足我們的網絡需求，學習到很多網絡的技術，根據情況來使用適合的技術，學會如何解決網絡故障，給公司一個安全可靠的網絡環(huán)境，提高工作效率。1.2課題研究方法和內容1.2.1研究方法本課題研究采用的方法有：1.實驗法：實驗法是通過主支變革、控制研究對象來發(fā)現(xiàn)與確認事物間的因果聯(lián)系的一種科研方法?？稍诰W絡仿真工具平臺對網絡路由器、交換機等設備進行軟件仿真，搭建模擬局域網，對設計進行直觀的實驗，測試可能存在的問題，通過實際動手設計，發(fā)現(xiàn)相應的不足并進行完善補充，從而保證網絡的可靠性，安全性和可擴展性。2.調查法：上網調查的建筑結構，管理結構，提供的功能服務詳細調查，并獲取商務酒店對于網絡的需求，加以詳細的調查分析，從而對網絡規(guī)劃進行更完善的補充。3.文獻研究法：文獻研究法是根據一定的研究目的或課題，通過調查文獻來獲得資料，從而全面地、正確地了解掌握所要研究問題的一種方法。通過搜集參考相關的文獻資料，對商務酒店的拓撲進行規(guī)范化設計，考慮應采用怎樣的局域網架構最能切合實際，涉及到的技術路線是怎么樣的，以往的案例中對于網絡安全性的保證又是怎樣實施的，這都是需要研究的問題。1.2.2研究內容本設計方案一共分為七個部分，如下：第第1章：緒論。淺談當今時代背景下，互聯(lián)網，計算機行業(yè)的現(xiàn)狀以及發(fā)展趨勢，結合實際分析本公司在大環(huán)境影響下實施本項目的必要性和可行性。第2章：網絡規(guī)劃需求分析。根據本公司現(xiàn)有的組成結構和管理結構，并從工作效率，管理便利，信息共享等方面考慮，充分掌握公司對于網絡建設的需求。第3章：網絡規(guī)劃總體設計。利用已知需求，規(guī)劃相應的邏輯拓撲，劃分對應VLAN、選擇合適的IP進行分配并根據網絡規(guī)劃和資金預算，進行設備選擇等。第4章：關鍵網絡技術原理。選擇合適的相關技術以及組網結構對設計方案進行配置。第5章：安全技術。公司網路必須要有安全技術去防止公司商業(yè)資料丟失。第6章：功能性測試。我們對上述網絡規(guī)劃進行測試與驗收。第7章：總結。對本次網絡規(guī)劃與設計做一個詳細的總結。第2章網絡規(guī)劃需求分析2.1網絡需求分析本公司主要分為5大部門分別為生產部、財務部、人力資源部、工程研發(fā)部和總經辦，每個部門需要100臺設備，每個部門之間不能訪問，通過FTP服務器對部門與部門間資料的傳輸，外網不能訪問我們的內網，內網訪問需要做NAT技術，防止外網知道內網信息，外網只能訪問我們的HTTP服務，總經辦內面有一個會議室，需要無線技術去覆蓋總經辦和會議室，這些是我們公司需要建網的目標。2.2應用需求分析首先我們設定應用目標之前，是我們要樂姐分析應用背景需求，總結當前網絡應用的技術背景，確定行業(yè)應用的技術趨勢，對于應用需求必然性。在滿足應用背景需求分析前，我們還要思考實施網絡集成的問題，其中的國外跟國內同行業(yè)的信息化程度，全球的公司開始信息化趨勢，本企業(yè)信息化的目的，本企業(yè)采用的信息化步驟等。2.3網絡性能分析網絡的規(guī)劃和設計有嚴謹科學的技術指標，可以實現(xiàn)對設計網絡性能的定量分析，所以在進行網絡需求分析的階段上，需要確定網絡性能的技術指標。在國際的定義下，明確規(guī)定了網絡性能技術指標，這些指標可以提供給我們設計網絡提供了性能基線(Baseline),主要分為兩大類。網元級:網絡設備的性能指標。網絡級:將網絡看作一個整體，2.4安全需求分析隆智俊皮革有限公司網絡規(guī)劃與設計的過程中，滿足基本的安全要求，這是對于網絡成功運行是十分重要的，在這些安全基礎上提供了強大的安全保障，這是企業(yè)網絡系統(tǒng)安全的必要條件。對于局域網的部署了很多網絡設備和服務器，保護這些重要的設備的正常運行，維護重要的業(yè)務安全，是網絡最基本的安全需求。在不同的網絡攻擊，防御和發(fā)現(xiàn)網絡攻擊，還可以提供跟蹤攻擊的手段，這些都是網絡最基本的安全需求，所以說安全需求是我們公司規(guī)劃網絡的重要的一部分。

第3章網絡規(guī)劃總體設計3.1設計目標搭建隆智俊皮革有限公司內部局域網，通過有線技術和無線技術相結合，實現(xiàn)每個部門之間實時數(shù)據訪問，資源共享，滿足商務顧客以及內部工作人員的上網需求，同時運用計算機網絡技術提供快捷和可靠的高質量網絡接入服務，在公司內可以享受高速網上視屏會議，多媒體應用，部門活動等綜合應用，以此作為優(yōu)勢，提升自身的服務質量和競爭力，增加營業(yè)額賺取更高的利潤，有效得提高工作人員的工作效率。3.2設計原則我們在進行網路設計的時候，根據智俊皮革有限公司應用現(xiàn)狀和實際需求，建設計算機網絡或現(xiàn)將原有的計算機網絡進行改造升級。1.網絡的安全性根據智俊皮革有限公司應用的特殊性，網絡的安全性在本次網絡建設中是比較重要的，智俊皮革有限公司整個網絡必須保證萬無一失的安全性，并對5個不同部門的信息要有嚴格分離保護的辦法，防止外部網絡的非法入侵。2.網絡的可擴展性智俊皮革有限公司的網絡必須要滿足用戶當前需求以及將來需求的增長很新技術發(fā)展等變化。因此智俊皮革有限公司在保護原有的投資同時，必須要保證客戶的增加，以及用戶隨時隨地增加設備、增加網絡功能等。4.網絡的可靠性智俊皮革有限公司的網絡的可靠性使網絡設計中需要考慮的一個主要原則。作為信息系統(tǒng)應用的依賴和基礎，要求智俊皮革有限公司的系統(tǒng)連續(xù)安全可靠地運行，所以在智俊皮革有限公司的系統(tǒng)結構設計中選用所以在系統(tǒng)結構設計中選用高可靠性的網絡產品。3.3拓撲圖設計規(guī)劃圖3-1規(guī)劃的拓撲圖本設計方案采用三層交換式旁掛組網結構。有線部分：根據公司的實際情況，有線部分在網絡拓撲的設計上將采用PC+接入層交換機+核心交換機的結構，因為機房管理間設置在生產部，公司各部門的PC可通過網口接入到接入層交換機上，再由接入層交換機進行匯總接入到生產部機房內的核心交換機上，所以并不需要部署匯聚層交換機。接入層交換機通過自身具備的路由功能對數(shù)據流量進行尋址轉發(fā)，從而實現(xiàn)網絡的通信。公司的內部服務器，用于提供網頁服務以供外網用戶進行訪問，而服務器內部則存儲了與之相關的商業(yè)文件，財務報表等機密文件，以供管理人員對酒店進行管理。同時為保障公司內網安全，會在出口網關部署防火墻，進行內外網隔離。無線部分：無線部分的設計主要是采用部署AP（無線訪問接入點）+AC（無線控制器）的方式，總經辦的會議室需要有無線覆蓋。3.4IP地址與VLAN的劃分通過拓撲圖，在本設計方案中，我們有5個部們分別是生產部、財務部、人力資源部、工程研發(fā)部和總經辦，分別對應的VLAN號為10、20、30、40和50，再對應對三層配置IP地址，IP地址如下。其中VLAN60是對應無線網絡的用戶。VLAN70是對無線網絡的管理。VLAN80是用于核心交換機和防火墻的連接，/24地址網段用于公司服務器與防火墻的連接，對應的80/30的地址網段是對應外部網絡。表3-4VLAN劃分VLAN號IP網段默認網關說明VLAN10/24生產部VLAN20/24財務部VLAN30/24人力資源部VLAN40/24工程研發(fā)部VLAN50/24總經辦VLAN60/24用戶無線網絡VLAN70/24管理無線網絡VLAN80/24核心交換機與防火墻/24服務器與防火墻80/3082外部網絡第4章關鍵網絡技術原理4.1虛擬局域網（VLAN）虛擬局域網（VLAN）在全球廣泛使用，在邏輯上說，這相當于設備跟用戶，這些設備和用戶是不會受實際物理線路影響的，虛擬的?？梢愿鶕δ芎蛻玫纫蛩貙⑺鼈円黄鸾M織起來，不同的設備與用戶之間的通信，就好像在同一個網段中一樣，因此我們都叫這是虛擬局域網。虛擬局域網是一種很新的網絡技術，這是工作在OSI參考模型的第2層和第3層，一個VLAN對應一個廣播域，不同VLAN之間的通信，必須由第3層的路由器來通過完成的。虛擬局域網跟傳統(tǒng)的局域網技術相比較，此技術顯得更加靈活，并且可提高企業(yè)網絡的安全性。VLAN主要有兩種訪問方式:第一種是Access類型的端口有且只能有一個VLAN，只會用于連接計算機。 第二種是Trunk類型的端口可以允許很多個VLAN的通過，此類端口不但可以接收，并且可以發(fā)送多個VLAN的報文，用于交換機之間的連接；核心交換機的配置如下:#interfaceVlanif1ipaddressdhcpselectglobal#interfaceVlanif2ipaddressdhcpselectglobal#interfaceVlanif3ipaddressdhcpselectglobal#interfaceVlanif4ipaddressdhcpselectglobal#interfaceVlanif5ipaddressdhcpselectglobal#interfaceVlanif10ipaddress##interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan10#interfaceGigabitEthernet0/0/2portlink-typetrunkporttrunkallow-passvlan20#interfaceGigabitEthernet0/0/3portlink-typetrunkporttrunkallow-passvlan30#interfaceGigabitEthernet0/0/4portlink-typetrunkporttrunkallow-passvlan40#interfaceGigabitEthernet0/0/5portlink-typetrunkporttrunkpvidvlan70porttrunkallow-passvlan56070#interfaceGigabitEthernet0/0/6portlink-typetrunkporttrunkpvidvlan70porttrunkallow-passvlan6070#interfaceGigabitEthernet0/0/7portlink-typeaccessportdefaultvlan80#總經辦的接入交換機的配置:#interfaceEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan56070#interfaceEthernet0/0/2portlink-typetrunkporttrunkpvidvlan70porttrunkallow-passvlan6070#interfaceEthernet0/0/3portlink-typeaccessportdefaultvlan5#4.2OSPF協(xié)議OSPF協(xié)議，這是一種鏈路狀態(tài)協(xié)議，其原理是通過網絡連接或者鏈路狀態(tài)為基礎。OSPF基本繪制出互聯(lián)網的全網結構圖，然后根據這個結構圖選擇開銷最小的路徑。在OSPF協(xié)議中，隆智俊皮革有限公司網絡規(guī)劃與設計拓撲時最基礎的元家是每臺路由器中，包含有每條鏈路狀態(tài)。通過學習每條鏈路連接到何處，OSPF協(xié)議相當于建立一個數(shù)據庫，記錄著公司網絡中的所有鏈路狀態(tài)，然后會計算出最短路徑，優(yōu)先選擇最短路徑。因為路由器都擁有相同的網絡拓撲圖結果，所以OSPF協(xié)議只有在網絡拓撲發(fā)生變化時，數(shù)據庫里的信息才會發(fā)送路由更新信息。FW的配置：#ospf1areanetwork55network55network80#外網路由器的配置:#ospf1areanetwork80network80#核心交換機的配置：#ospf1areanetwork55network55#4.3動態(tài)主機配置協(xié)議（DHCP）DHCP協(xié)議，英文拼寫為DynamicHostConfigurationProtocol，動態(tài)主機配置協(xié)議，一般被使用在比較大型的局域網絡中，這協(xié)議主要作用是集中的管理和分配IP地址，在這個網絡環(huán)境中，主機可以動態(tài)獲取IP地址，Gateway地址和DNS服務器地址等信息，并能夠提高IP地址的使用率。顯而易見，DHCP協(xié)議就是一個設備，它不需要賬號密碼登錄，并且自動給內網設備分配IP地址的協(xié)議。在公司的局域網中，大多數(shù)會采用DHCP協(xié)議來分配IP地址，節(jié)約人力成本，減少人為出錯的可能性。在本拓撲設計中，雖然需要配置的設備數(shù)量不多，但是手動配置涉及到人為因素，容易出錯，并且酒店里部署了大量的無線網絡，AP作為接入點，需要為接入無線網絡的每臺設備分配一個IP地址，如果這想要靠傳統(tǒng)的人工方式來實現(xiàn)，無疑是不現(xiàn)實的。所以DHCP對于局域網內部的IP分配來說極為重要。針對本設計，首先要在核心交換機上啟用DHCP協(xié)議，建立DHCP地址池，把交換機變成一臺內部DHCP服務器，這樣局域網內的其他設備就可以通過發(fā)送請求報文向交換機申請使用IP地址，因為本公司有5個部門，因此我們需要創(chuàng)建五個地址池，每個地址池中配置可分配的IP地址的范圍，網關，子網掩碼和租期，當收到來自DHCP服務器的請求報文時，DHCP服務器就會在地址池內，隨機選擇一個可用的IP地址分配給設備。核心交換機的配置如下：#ippoolpool1gateway-listnetworkmaskleaseday10hour0minute0#ippoolpool2gateway-listnetworkmaskleaseday10hour0minute0#ippoolpool3gateway-listnetworkmaskleaseday10hour0minute0#ippoolpool4gateway-listnetworkmaskleaseday10hour0minute0#ippoolpool5gateway-listnetworkmaskleaseday10hour0minute0#4.4無線技術我們公司需要用到無線技術用在總經辦和會議室，總經辦會進行接待客戶跟視頻會議、產品解釋等行為，會議室會進行用于召開學術報告、會議、培訓、組織活動和接待客人等需求，無線技術可以幫助我們更好的去簡化工作，更有利于我們工作的開展跟實施。圖4-1無線網絡的配置思路圖4-2無線網絡的AC拓撲圖圖4-3無線網絡的AP拓撲圖1.配置無線用戶和無線設備管理的VLAN和IP地址VLAN60：用戶VLAN網段-54；VLAN70：網關VLAN網段-54用于AC與AP之間2.配置VLAN接口的DHCP協(xié)議功能；首先在系統(tǒng)視圖下，創(chuàng)建和命名一個地址池，把地址池的網段和掩碼加入到里面，然后輸入域名和的網關，激活DHCP協(xié)議功能，進入到VLANIF60和70配置IP地址，AC與AP之間通信地址段為/24。之后VLANIF60使用的是全局地址池，給VLANIF70使用的是接口地址池。[AC6005]ippoolFJP-ip/創(chuàng)建地址池，地址池名為FJP/[AC6005-ip-pool-fjp-ip]networkmask24/*地址池內網段為，掩碼為24位*/[AC6005-ip-pool-fjp-ip]gateway-list/此地址池網關地址為/[AC6005-ip-pool-fjp-ip]dns-list/給用戶的主要參數(shù)地址池，域名解析地址為/[AC6005-ip-pool-fjp-ip]q[AC6005]interfaceVlanif60/進入三層接口vlanif60/[AC6005-Vlanif60]ipaddress24/配置管理IP地址為24/[AC6005-Vlanif60]dhcpselectglobal/在VLAN60中使用地址池，global指用全局地址池24/[AC6005-Vlanif60]q[AC6005]interfaceVlanif70 /進入三層接口vlanif70/[AC6005-Vlanif70]ipaddress5424/配置IP地址為5424/[AC6005-Vlanif70]dhcpselectinterface/在VLAN70中配地址池，指使用接口地址池/24的地址段/3.配置AP上線：創(chuàng)建AP組，將AP綁定到AP組中；[AC6005]wlan /進入到wlan視圖/[AC6005-wlan-view]ap-groupnameapg-fjp/創(chuàng)建ap管理組，命名apg-FJP/Info:Thisoperationmaytakeafewseconds.Pleasewaitforamoment.done.[AC6005-wlan-ap-group-apg-fjp]q[AC6005-wlan-view]regulatory-domain-profilenamedomain-fjp /創(chuàng)建域管理的模板，名稱為domain-fjp/[AC6005-wlan-regulate-domain-domain-fjp]country-codeCN/設置國家代碼，CN指中國/Info:Thecurrentcountrycodeissamewiththeinputcountrycode.[AC6005-wlan-regulate-domain-domain-fjp]q[AC6005-wlan-view]ap-groupnameapg-fjp/創(chuàng)建ap管理組，命名apg-fjp[AC6005-wlan-ap-group-apg-fjp]regulatory-domain-profiledomain-fjp/在apg-FJP組內使用域模板/Warning:Modifyingthecountrycodewillclearchannel,powerandantennagainconfigurationsoftheradioandresettheAP.Continue?[Y/N]:y[AC6005-wlan-ap-group-apg-fjp]q[AC6005-wlan-view]capwapsourceinterfacevlanif70/配置AC源接口，協(xié)議在VLAN70中通信/[AC6005]wlan/進入到wlan視圖/[AC6005-wlan-view]apauth-modemac-auth/ap的認證方式為mac認證/[AC6005-wlan-view]ap-id1ap-mac00e0-fc71-7b60/ap序號為1,Mac地址為AP的真實Mac地址/[AC6005-wlan-ap-1]ap-nameap-jf/配名稱ap命名為ap-jf/[AC6005-wlan-ap-1]ap-groupapg-fjp/將此AP加入apg-FJP組中，設置AP的組屬性/Warning:ThisoperationmaycauseAPreset.Ifthecountrycodechanges,itwillclearchannel,powerandantennagainconfigurationsoftheradio,Whethertocontinue?[Y/N]:yInfo:Thisoperationmaytakeafewseconds.Pleasewaitforamoment..done.4.配置WLAN的業(yè)務參數(shù)；[AC6005-wlan-ap-1]wlan/進入到wlan視圖/[AC6005-wlan-view]security-profilenamesec-fjp/創(chuàng)建安全模板命名為sec-FJP/[AC6005-wlan-sec-prof-sec-fjp]securitywpa2pskpass-phrasefjp123456aes/認證模式為wpa2，共享秘鑰fjp123456為秘鑰，aes為高級加密/[AC6005-wlan-sec-prof-sec-fjp]q[AC6005-wlan-view]security-profil [AC6005-wlan-view]ssid-profilenamessid-fjp/創(chuàng)建ssid模板，命名為ssid-FJP/[AC6005-wlan-ssid-prof-ssid-fjp]ssidfjpInfo:Thisoperationmaytakeafewseconds,pleasewait.done.[AC6005-wlan-ssid-prof-ssid-fjp]q[AC6005-wlan-view]vap-profilenamevap-fjp/創(chuàng)建vap模板命名為vap-FJP/[AC6005-wlan-vap-prof-vap-fjp]forward-modetunnel/采用隧道的方式轉發(fā)數(shù)據/Info:Thisoperationmaytakeafewseconds,pleasewait.done. [AC6005-wlan-vap-prof-vap-fjp]service-vlanvlan-id60/指定業(yè)務VLAN即用戶VLAN為60/Info:Thisoperationmaytakeafewseconds,pleasewait.done.[AC6005-wlan-vap-prof-vap-fjp]security-profilesec-fjp/使用sec-FJP安全模板/Info:Thisoperationmaytakeafewseconds,pleasewait.done.[AC6005-wlan-vap-prof-vap-fjp]ssid-profilessid-fjp/引用名為ssid-fjp的SSID模板/Info:Thisoperationmaytakeafewseconds,pleasewait.done.[AC6005-wlan-vap-prof-vap-fjp]q [AC6005-wlan-view]ap-groupnameapg-fjp/進入名為apg-FJP的ap組/[AC6005-wlan-ap-group-apg-fjp]vap-profilevap-fjpwlan1radio0/將vap模板引用到ap組里，然后ap上頻0使用vap模板vap-FJP配置/Info:Thisoperationmaytakeafewseconds,pleasewait...done.

第5章安全技術5.1安全區(qū)域劃分防火墻已經默認為大家提供三個安全區(qū)域，分別是TRUST、DMZ和UNTRUST。從名字上看就了解到這三個安全區(qū)域內，TRUST區(qū)域這個區(qū)域內網絡的受信任程度高，通常用來定義內部用戶所在的網絡。DMZ區(qū)域這個區(qū)域內網絡的受信任程度中等，通常用來定義內部服務器所在的網絡。UNTRUST區(qū)域這個區(qū)域代表的是不受信任的網絡，通常用來定義Internet等不安全的網絡，在不同的安全區(qū)域可以加強企業(yè)網絡使用的安全性。通過我上述的介紹，回歸到方案設計，本公司有內部的公司服務器，所以使用防火墻對整個網絡拓撲進行區(qū)域劃分，劃分出trust、untrust和dmz三個區(qū)域，并把防火墻的各個物理接口也劃分到相應的區(qū)域內。G0/0/0接口是防火墻連接外網的端口，在邏輯意義上是屬于安全等級較低，易受攻擊的區(qū)域，所以劃分進untrust區(qū)域；G0/0/2接口連接的是核心交換機，即公司內部局域網的區(qū)域，這一區(qū)域相對來說具有較高的可信度和安全性，安全等級高，不易受到攻擊，所以把該區(qū)域劃分為trust區(qū)域，G0/0/2接口屬于該區(qū)域；G0/0/1接口連接的區(qū)域是公司內網架設的服務器部分，所以把該接口劃分到dmz區(qū)域。防火墻配置：首先把接口加入到對應的安全區(qū)域內firewallzonetrustsetpriority85addinterfaceGigabitEthernet0/0/2#firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet0/0/0#firewallzonedmzsetpriority50addinterfaceGigabitEthernet0/0/1#報文從高級別的安全區(qū)域向低級別的區(qū)域流動時方向為outbound，報文從trust流動到untrust設置成outbound#firewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutbound#5.2ASPF應用層報文過濾，英文拼寫為applicationspecificpacketfilter，主要是對應用層的包過濾，相當于狀態(tài)檢測的報文過濾技術。這種技術對每一個連接的狀態(tài)，進行檢查應用層協(xié)議上的數(shù)據，由此決定數(shù)據包能否通過。它跟一般的靜態(tài)防火墻協(xié)同工作，對于實施局域網絡的安全策略起到便利性。ASPF可以監(jiān)測通過防火墻的應用層協(xié)議上會話的信息，拒絕不符合設置規(guī)則的數(shù)據報文通過。為了保證網絡的安全性，這是ACL控制訪問列表基礎下，對包過濾可以在網絡層上傳輸層監(jiān)測數(shù)據包，防止外來入侵。ASPF能夠監(jiān)測應用層協(xié)議上的有效信息，并且對應用層協(xié)議上的數(shù)據包進行監(jiān)控。我們本次設計使用了FTP，每個部門通告FTP來獲取不同部門的文件跟信息，我們把FTP服務器接口，放到DMZ安全區(qū)域內，在TRUST安全區(qū)域跟DMZ安全區(qū)域之間，允許特定源/目的地址的FTP報文通過，在安全區(qū)域的域內開啟FTP協(xié)議的ASPF功能就可以實現(xiàn)我們的的需求。我們公司總共分為五個部門，每個部門的內部資料是不允許其他部門獲取的，但我們也需要部門與部門之間需要資料的傳輸，我們利用FTP服務器當作媒介，來進行不同部門的信息交流，便于我們工作的合作。方案設計拓撲圖如下:圖5-1公司服務器拓撲圖我們配置的思路是在dmz安全區(qū)域到Untrust安全區(qū)域之間，允許特定源或者目的地址的FTP報文通過就可以了。配置如下：#policyinterzonetrustdmzoutboundpolicy1actionpermitpolicyserviceservice-setftppolicysource55policydestination55#在安全區(qū)域的域內開啟FTP協(xié)議的ASPF功能#firewallinterzonetrustdmzdetectftp#我們公司還有個需求，就是客戶可以在外網來觀看我們公司的簡介和商品，發(fā)掘潛在客戶，增加公司的營業(yè)額。因此我們利用ASPF，在DMZ安全區(qū)域跟Untrust安全區(qū)域之間，可以讓特定源跟目的地址的HTTP報文的通過。#policyinterzonedmzuntrustinboundpolicy1actionpermitpolicyserviceservice-sethttppolicysource80policydestination0#5.3NATNAT技術，英文拼寫NetworkAddressTranslation,咱們可以分為基于源地址NAT跟基于目的地址NAT,可以有效的提高網絡訪問的安全作用，當在隆智俊皮革有限公司網絡規(guī)劃與設計方案內部網絡的一些主機本來已經分配到了本地IP地址（。NAT不僅可以解決IP地址不夠的問題，并且還能有效地避免，來自各種各樣的網絡外部攻擊，隱藏起來并保護我們網絡內部的計算機。源NAT轉換方式主要分為三大類，第一種方式是NATNo-PAT，這種只是轉換報文的IP地址，不轉換接入的端口，需要上網的內部網絡用戶人數(shù)少，公網IP地址數(shù)量必須跟上網的最大內網用戶數(shù)量一定要相同。第二種是NAPT，同時轉換報文的IP地址和端口，經常用于應用于公網IP地址數(shù)量少，需要上網的內部設備數(shù)量大。第三種是出接口地址方式（Easy-IP），這種方式同時轉換報文的IP地址和端口，但轉換后的IP地址只能為出接口的IP地址，適用于只有一個公網IP地址，并且該公網地址在接口上是動態(tài)獲取的。我們本次方案設計用到的源NAT轉換方式是出接口地址方式（Easy-IP）配置如下：#nat-policyinterzonetrustuntrustoutboundpolicy1actionsource-nat//行動為進行源NAT轉換policysource55//設置源IP地址easy-ipGigabitEthernet0/0/0//指定出接口#我們再來介紹基于目的地址的NAT(NATServer)，其原理跟基于源地址的NAT技術，把內部的IP地址映射到公網IP地址，防止外網入侵內網，調高網絡安全性。配置如下:[FW1]natserver0global82inside

第6章功能性測試6.1DHCP功能測試在PC1來測試DHCP功能，選取DHCP的配置點擊應用。圖6-1設置PC1成功自動獲取I