三級交換網(wǎng)絡的構建與實現(xiàn)畢業(yè)論文

1、<p><b>　　*****學院</b></p><p>　　畢 業(yè) 論 文（設 計）</p><p>　　論文（設計）題目：三級交換網(wǎng)絡的構建與實現(xiàn)</p><p>　　所屬系別 信息工程系 </p><p>　　專業(yè)班級 計算機網(wǎng)絡技術 </p>

2、<p>　　姓　　名 *** </p><p>　　學　　號 ********* </p><p>　　指導教師 *** </p><p>　　撰寫日期 2012 年 5 月</p><p><b>

3、　　摘 要</b></p><p>　　網(wǎng)絡技術的高速發(fā)展的今天，企業(yè)網(wǎng)絡的優(yōu)劣已經(jīng)成為衡量企業(yè)競爭力的標準之一。針對我校整體的特點，本文介紹了一個行業(yè)專業(yè)網(wǎng)絡的整體設計方案。充分考慮到網(wǎng)絡的負載均衡和穩(wěn)定性能，所以本方案采用典型三層網(wǎng)絡結構。其中，匯聚層采用三臺設備，對接入層進行訪問控制。路由協(xié)議則是選擇安全性高、收斂速度快的OSPF協(xié)議。我們采用銳捷交換機帶寬聚合技術將多條物理線路捆綁為一條邏輯

4、鏈路，使其有更高帶寬。服務器群組則重點介紹了FTP、郵件服務器及WEB服務器等企業(yè)中較常用到的服務器的軟件選擇及搭建方法。對于網(wǎng)絡中可能存在的安全威脅，針對不同的需求，方案中提出了VLAN技術、訪問控制列表、防火墻技術以及VPN等安全解決方案，以求構建一個安全、高效、可靠的企業(yè)網(wǎng)絡。</p><p>　　關鍵詞：網(wǎng)絡層次化，虛擬局域網(wǎng)，安全，控制列表，防火墻</p><p><b&g

5、t;　　Abstract</b></p><p>　　As the high-speed development of the network technique, the quality of enterprise network has already become one of the standards that measure the competition ability of the e

6、nterprise. According to the characteristics of the whole school, this paper will introduce an overall design of professional network applying for enterprise. Seriously Considering the load balance and stability of the ne

7、twork, we adopt three layers structure in the design. Convergence Layer adopts three equipments to the ac</p><p>　　Key words: Hierarchical Network, Vlan, security,ACL, Firewall</p><p><b>　

8、　目 錄</b></p><p><b>　　1引言1</b></p><p><b>　　2 需求分析2</b></p><p>　　2.1 項目背景2</p><p>　　2.2 設計目標2</p><p>　　2.3 用戶現(xiàn)實要求3</p&

9、gt;<p><b>　　3網(wǎng)絡整體設計3</b></p><p>　　3.1 網(wǎng)絡拓撲3</p><p>　　3.2 網(wǎng)絡層次化設計3</p><p>　　3.2.1 核心層設計4</p><p>　　3.2.2 匯聚層設計4</p><p>　　3.2.3 接入層設計

10、5</p><p>　　3.2.4 路由協(xié)議選擇6</p><p>　　3.3 VLAN的劃分及IP地址規(guī)劃7</p><p>　　4各層相關配置信息7</p><p>　　4.1 IP地址規(guī)劃7</p><p><b>　　4.2相關配置8</b></p><p&g

11、t;　　4.2.1接入層基本配置信息8</p><p>　　4.2.2匯聚層基本配置信息8</p><p>　　4.2.3核心層基本配置信息9</p><p>　　4.2.4路由器RG-R1762基本配置信息10</p><p>　　4.2.5防火墻基本配置11</p><p>　　4.3路由配置信息13&

12、lt;/p><p>　　4.3.1 RG-S3550-24-1路由配置13</p><p>　　4.3.2 RG-S6806E路由配置13</p><p>　　4.3.3 路由器RG-R1762配置14</p><p>　　4.4安全配置信息14</p><p>　　4.4.1 接入層防病毒配置14</p&

13、gt;<p>　　4.4.2 匯聚層安全配置15</p><p>　　4.5防火墻安全策略15</p><p>　　4.6路由器的NAT配置19</p><p><b>　　5 總結20</b></p><p><b>　　參考文獻21</b></p><

14、p><b>　　致 謝22</b></p><p><b>　　1引言</b></p><p>　　現(xiàn)代網(wǎng)絡及其復雜，對企業(yè)的成功尤為關鍵。隨著組織程序持續(xù)增加帶寬、可靠性和功能要求，網(wǎng)絡設計人員面臨著快速構建和改進網(wǎng)絡，使用新協(xié)議和技術的挑戰(zhàn)。網(wǎng)絡設計人員還面臨著適應互聯(lián)網(wǎng)行業(yè)的持續(xù)和快速變化的挑戰(zhàn)?，F(xiàn)代組織環(huán)境中的網(wǎng)絡操作人員和設計人

15、員需要設計健壯、可靠、可擴展的網(wǎng)絡。</p><p>　　網(wǎng)絡是IT基礎設施，隨著IT技術的發(fā)展和應用的普及，在廣度和深度上不斷擴展和加強，已滲透到各行各業(yè)和不同領域，從大型企業(yè)網(wǎng)到中小型企業(yè)網(wǎng)、從電信網(wǎng)絡到行業(yè)網(wǎng)絡、從研究型網(wǎng)絡到應用型網(wǎng)絡，基于IP的網(wǎng)絡部署和網(wǎng)絡應用快速發(fā)展。網(wǎng)絡建設開始于網(wǎng)絡規(guī)劃和設計，同時，網(wǎng)絡規(guī)劃與設計也是網(wǎng)絡建設過程中最重要的環(huán)節(jié)。良好的網(wǎng)絡規(guī)劃與設計是保證網(wǎng)絡快速、穩(wěn)定、安全運行的

16、基礎和關鍵。網(wǎng)絡規(guī)劃與設計的不完善和不合理會導致許多問題，例如：網(wǎng)絡基礎設施不能滿足網(wǎng)絡應用的需求，網(wǎng)絡建設和運行成本過高，網(wǎng)絡投資大于網(wǎng)絡的收益，由于網(wǎng)絡結構的不靈活性、可擴展性差而阻礙整個網(wǎng)絡和網(wǎng)絡業(yè)務的發(fā)展等。</p><p>　　開放式網(wǎng)絡體系結構和網(wǎng)絡協(xié)議的標準化使得在技術上實現(xiàn)網(wǎng)絡互聯(lián)并不難，但是規(guī)劃和設計一個適應復雜環(huán)境、綜合各種因素、滿足用戶需求的網(wǎng)絡卻不是一件容易的事情。有些情況是從無到有規(guī)劃設

17、計一個全新的網(wǎng)絡，而有些時候則需要在現(xiàn)有的網(wǎng)絡基礎設施里融進新的技術、擴展網(wǎng)絡規(guī)模以適應網(wǎng)絡上的新應用或業(yè)務發(fā)展。網(wǎng)絡規(guī)劃與設計必須滿足用戶的網(wǎng)絡建設需求，沒有一種網(wǎng)絡規(guī)劃與設計方案可以適合所有的網(wǎng)絡。網(wǎng)絡技術和網(wǎng)絡應用發(fā)展日新月異，網(wǎng)絡規(guī)劃與設計方法和技術也越來越復雜，更新越來越快；網(wǎng)絡設計工具往往功能單一而且很容易過時；網(wǎng)絡協(xié)議的多樣化和復雜化也增加了網(wǎng)絡設計的技術難度和復雜性；在Internet時代，各種組織或企業(yè)不得不基于IP技

18、術組建網(wǎng)絡。盡管IP技術發(fā)展迅速，但IP網(wǎng)絡固有的缺陷仍然使得構建高校、高性能、高安全、高可靠性的網(wǎng)絡不能成為一件輕松、容易的事情。因此，網(wǎng)絡規(guī)劃與設計是一項高技術含量、高層次而且具有很強的工程性的工作。除了要求網(wǎng)絡設計人員或網(wǎng)絡工程師系統(tǒng)掌握網(wǎng)絡互連的基礎理論和相關技術外，還需要了解網(wǎng)絡規(guī)劃與設計流程，清楚流程中每一個階段的任務，掌握設計內容以及設計原則、設計方法等[1]。</p><p><b>　

19、　2 需求分析</b></p><p><b>　　2.1 項目背景</b></p><p>　　XX校園是一所有悠久歷史的高等院校，學校有中心機房，科技樓、行政樓、教學樓、教工樓、職工宿舍6棟樓需要聯(lián)網(wǎng)，上網(wǎng)人數(shù)大約規(guī)劃為300人左右，所有PC機都采用TCP/IP協(xié)議，經(jīng)一級交換機互連到一起，各樓的交換機出口通過光纖上行連到網(wǎng)絡中心的三層交換機，進入鄭州

20、市城域網(wǎng)。</p><p><b>　　2.2 設計目標</b></p><p>　　除保證可靠性、安全性、先進性和開放性原則外，要遵循：</p><p>　　實用性原則：建設設計網(wǎng)絡系統(tǒng)的出發(fā)點是基于學校目前和將來發(fā)展的需要，具有很強的實用性。應實現(xiàn)各部門、各層次信息查詢與管理工作的科學化、規(guī)范化，并在用戶發(fā)展的基礎上，不斷地擴充和完善。&l

21、t;/p><p>　　經(jīng)濟性原則：投資合理,有良好的性能價格比。還要注意到由于邏輯上業(yè)務網(wǎng)和管理網(wǎng)必須分開，所以建成后企業(yè)網(wǎng)應能提供多個網(wǎng)段的劃分和隔離，并能做到靈活改變配置，以適應企業(yè)辦公環(huán)境的調整和改變，即VLAN的整體劃分。</p><p>　　考慮到校內數(shù)據(jù)的重要性、保密性，為了保證校內網(wǎng)絡順利運行，保證網(wǎng)絡的不間斷運行，網(wǎng)絡平臺應具有以下一些特點：</p><p&

22、gt;　　高可靠性——網(wǎng)絡系統(tǒng)的穩(wěn)定可靠是應用系統(tǒng)正常運行的關鍵保證，在設計中選用高可靠性網(wǎng)絡產品，合理設計網(wǎng)絡架構，制定可靠的網(wǎng)絡備份策略，保證網(wǎng)絡具有故障自愈的能力，最大限度地支持各個系統(tǒng)的正常運行。</p><p>　　高性能——承載網(wǎng)絡性能是網(wǎng)絡通訊系統(tǒng)良好運行的基礎，設計中必須保障網(wǎng)絡及設備的高吞吐能力，保障各種信息（數(shù)據(jù)、語音、圖像）的高質量傳輸。</p><p>　　標準開放

23、性——支持國際上通用標準的網(wǎng)絡協(xié)議、國際標準的大型的動態(tài)路由協(xié)議等開放協(xié)議，有利于保證與其他網(wǎng)絡（如公共數(shù)據(jù)網(wǎng)、行內其他網(wǎng)絡）之間的平滑連接互通，以及將來網(wǎng)絡的擴展。</p><p>　　靈活性及可擴展性——根據(jù)未來業(yè)務的增長和變化，網(wǎng)絡可以平滑地擴充和升級，最大程度的減少對網(wǎng)絡架構和設備的調整。</p><p>　　可管理性——對網(wǎng)絡實行集中監(jiān)測、分權管理、并統(tǒng)一分配帶寬資源。選用先進的

24、網(wǎng)絡管理平臺，具有對設備、端口等的管理、流量統(tǒng)計分析，及可提供故障自動報警。</p><p>　　安全性——制訂統(tǒng)一的骨干網(wǎng)安全策略，整體考慮網(wǎng)絡平臺的安全性[2]。</p><p>　　2.3 用戶現(xiàn)實要求</p><p>　　（1） 實現(xiàn)學校內部資源共享，即文件服務器，但是對不同的資源要有相應的權限。</p><p>　?。?）滿足校內日

25、常的教學，及資料數(shù)據(jù)的傳輸和存儲。</p><p>　　（3）院校各部門可以通過即時通信軟件聯(lián)系，建立公司郵件服務器。</p><p><b>　　（4）打印機共享。</b></p><p>　?。?）公司內部要網(wǎng)絡接入Internet。</p><p>　?。?）架設院校web服務器，發(fā)布院校網(wǎng)站。</p>

26、<p>　?。?）為保證安全，Internet 與公司內部網(wǎng)絡間應采用防護措施，防止外界對內部網(wǎng)絡未經(jīng)授權的訪問[3]。</p><p><b>　　3網(wǎng)絡整體設計</b></p><p><b>　　3.1 網(wǎng)絡拓撲</b></p><p>　　計算機網(wǎng)絡的組成元素可以分為兩大類，即網(wǎng)絡節(jié)點（又可分為端節(jié)點

27、和轉發(fā)節(jié)點）和通信鏈路，網(wǎng)絡中節(jié)點的互聯(lián)模式叫網(wǎng)絡的拓撲結構。網(wǎng)絡拓撲定義了網(wǎng)絡中資源的鏈接方式，局域網(wǎng)中常用的拓撲結構有：總線型結構、環(huán)形結構、星型結構。</p><p>　　考慮到學校的分布情況我們這里采用形形拓撲結構，星型拓撲結構是由通過點到點鏈路接到中央節(jié)點的各站點組成的。星型網(wǎng)絡中有一個唯一的轉發(fā)節(jié)點（中央節(jié)點），每一臺計算機都通過單獨的通信線路連接到中央節(jié)點。</p><p>

28、　　在星型拓撲中利用中央節(jié)點可方便地提供服務和重新配置網(wǎng)絡；單個連接點故障只會影響故障點連接的一個設備，不會影響全網(wǎng)，容易監(jiān)測隔離故障、便于維護；任何一個連接只涉及到中央節(jié)點和一個站點，控制介質訪問的方法很簡單、從而訪問協(xié)議也十分簡單[4]。</p><p>　　3.2 網(wǎng)絡層次化設計</p><p>　　網(wǎng)絡的設計模型主要包括層次化設計模型和非層次化設計模型兩種。隨著網(wǎng)絡技術的迅速發(fā)展和

29、網(wǎng)上應用量的增長，非層次化的網(wǎng)絡設計已經(jīng)不適合當今企業(yè)的網(wǎng)絡應用，由于非層次化網(wǎng)絡沒有適當?shù)囊?guī)劃，網(wǎng)絡最終會發(fā)展成為非結構的形式，這樣當網(wǎng)絡設備之間相互通信時，設備上的CPU必然會承擔相當大的負載，不利于網(wǎng)絡的運行和發(fā)展，當大量的數(shù)據(jù)在網(wǎng)絡中傳輸時，容易引起線路擁堵甚至網(wǎng)絡的癱瘓。所以我們選擇層次化的網(wǎng)絡設計。</p><p>　　多層設計模塊化的網(wǎng)絡容量可隨著日后網(wǎng)絡節(jié)點的增加而不斷增大。多層次網(wǎng)絡有很大的確定

30、性，因此在運行和擴展過程中進行故障查找和排除非常簡單。多層模式使網(wǎng)絡的移植更為簡單易行，因為它保留著基于路由器和交換機的網(wǎng)絡原有的尋址方案，對以往的網(wǎng)絡有很好的兼容性。另外分層結構也能夠對網(wǎng)絡的故障進行很好的隔離。</p><p>　　針對實際情況我們采用典型的三層結構模型，即核心層、分布層（匯聚層）、接入層。每個層次有不同的功能。核心層作為整個網(wǎng)絡系統(tǒng)的核心，起主要的功能是高速、可靠的進行數(shù)據(jù)交換。分布層主要進

31、行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進行訪問控制。接入層主要提供最終用戶接入網(wǎng)絡的途徑。主要進行VLAN的劃分、與分布層的連接等。</p><p>　　3.2.1 核心層設計</p><p>　　網(wǎng)絡核心層（設在中心機房）是網(wǎng)絡的中心，其功能是實現(xiàn)高性能的交換和傳輸。因此核心層設備應該是高性能的交換機，可實現(xiàn)高速度的交換傳輸，以連接服務器等核心設備；并且非?？煽?，實現(xiàn)不間斷工作。所以我們選

32、擇使用一臺RG-S6806E多業(yè)務萬兆路由交換機高性能、高可靠性、高可用性是我們主要考慮的因素。本區(qū)的安全性可以由邊界防火墻提供，如果有需要，還可以在6806上面部署安全策略，使得核心交換區(qū)的安全性進一步的增強。</p><p>　　RG-S6806E系列憑借眾多智能服務將控制擴展到網(wǎng)絡邊緣，其中包括現(xiàn)金的服務質量（QoS）、支持流量控制（Flow Control），支持端口鏡像（Port Mirror），支持I

33、GMP偵聽（Snooping），生成樹協(xié)議支持，ACL訪問控制支持、802.1x認證支持、MAC綁定與過濾支持、背板帶寬可擴展1.6T、6個模塊化插槽（2個用于管理引擎模塊）、交換容量達400G、路由表項256K。銳捷網(wǎng)絡的模塊化架構、介質靈活性和可擴展性減少了重復運營開支，提高了投資回報（ROI），從而在延長部署壽命的同時降低了擁有成本。可為中型企業(yè)提供價格合理、易于使用的可擴展性、創(chuàng)新安全性、集成可靠性和靈活性。</p>

34、<p>　　3.2.2 匯聚層設計</p><p>　　匯聚層主要進行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進行訪問控制。包括訪問控制列表、VLAN路由等等。這里采用三臺銳捷RG-S3550-24作為匯聚交換機。保證網(wǎng)絡的高可用性和穩(wěn)定性，避免單臺核心設備的負載太重導致網(wǎng)絡性能問題。</p><p>　　RG-S3550系列交換機是一個創(chuàng)新的產品系列，它結合世界領先的易用性和高冗

35、余性，有效的提升了堆疊式交換機在局域網(wǎng)中的工作效率。該系列交換機硬件支持2至4層的多層線速交換，提供二到七層的智能的流分類和完善的服務質量（QoS）以及組播管理特性，支持完善的高性能路由協(xié)議，并可以實施靈活多樣的ACL訪問控制策略?？赏ㄟ^SNMP、Telnet、Web和Console口等多種方式提供豐富的管理。RG-S3550系列交換機為各類型網(wǎng)絡提供線速多層交換、完善的端到端的服務質量，豐富的安全設置和基于策略的網(wǎng)絡管理，最大化滿足高

36、速、安全、智能的企業(yè)網(wǎng)新需求。此系列交換機具有以下特性：</p><p>　　1.高性能多層交換；</p><p>　　2.完備的安全控制；</p><p>　　3.豐富的組播特性；</p><p>　　4.完善的QoS策略。</p><p>　　3.2.3 接入層設計</p><p>　　接入

37、層主要提供最終用戶接入網(wǎng)絡的途徑。主要是進行VLAN的劃分、與分布層的連接等。這里接入層交換機采用銳捷RG-S2126/S2150 系列智能以太網(wǎng)交換機以千兆以太鏈路和匯聚交換機相連接，并為用戶終端提供10/100M 自適應的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結構。辦公系統(tǒng)所需的各種服務器如FTP服務器、郵件服務器、DHCP 服務器等組成服務器群，連接到匯聚交換機的千兆模塊上面,因此，內部的局域網(wǎng)采用三層結構組建[5]。&

38、lt;/p><p>　　網(wǎng)絡總體拓撲如圖如（3-1）</p><p>　　圖3-1 網(wǎng)絡綜合拓撲</p><p>　　3.2.4 路由協(xié)議選擇</p><p>　　為達到路由快速收斂、尋址以及方便網(wǎng)絡管理員管理的目的，我們采用動態(tài)路由協(xié)議，目前較好的動態(tài)路由協(xié)議是OSPF 協(xié)議，OSPF 以協(xié)議標準化強，支持廠家多，受到廣泛應用?？紤]網(wǎng)絡的擴展

39、性、數(shù)據(jù)資源的保護等原因，我們選擇OSPF 路由協(xié)議。</p><p>　　OSPF 協(xié)議采用鏈路狀態(tài)協(xié)議算法，每個路由器維護一個相同的鏈路狀態(tài)數(shù)據(jù)庫，保存整個AS 的拓撲結構（AS 不劃分情況下）。一旦每個路由器有了完整的鏈路狀態(tài)數(shù)據(jù)庫，該路由器就可以自己為根，構造最短路徑樹，然后再根據(jù)最短路徑構造路由表。對于大型的網(wǎng)絡，為了進一步減少路由協(xié)議通信流量，利于管理和計算。OSPF將整個AS 劃分為若干個區(qū)域，區(qū)域

40、內的路由器維護一個相同的鏈路狀態(tài)數(shù)據(jù)庫，保存該區(qū)域的拓撲結構。OSPF 路由器相互間交換信息，但交換的信息不是路由，而是鏈路狀態(tài)。OSPF 定義了5 種分組：Hello分組用于建立和維護連接；數(shù)據(jù)庫描述分組初始化路由器的網(wǎng)絡拓撲數(shù)據(jù)庫；當發(fā)現(xiàn)數(shù)據(jù)庫中的某部分信息已經(jīng)過時后，路由器發(fā)送鏈路狀態(tài)請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來主動擴散自己的鏈路狀態(tài)數(shù)據(jù)庫或對鏈路狀態(tài)請求分組進行響應；由于OSPF 直接運行在IP

41、層，協(xié)議本身要提供確認機制，鏈路狀態(tài)應答分組是對鏈路狀態(tài)更新分組進行確認。</p><p>　　相對于其它協(xié)議，OSPF 有許多優(yōu)點。OSPF 支持各種不同鑒別機制，并且允許各個系統(tǒng)或區(qū)域采用互不相同的鑒別機制；提供負載均衡功能，如果計算出到某個目的站有若干條費用相同的路由，OSPF 路由器會把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送出去；在一個自治系統(tǒng)內可劃分出若干個區(qū)域，每個區(qū)域根據(jù)自己的拓撲

42、結構計算最短路徑，這減少了OSPF 路由實現(xiàn)的工作量；OSPF 屬動態(tài)的自適應協(xié)議，對于網(wǎng)絡的拓撲結構變化可以迅速地做出反應，進行相應調整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比，OSPF在對網(wǎng)絡拓撲變化的處理過程中僅需要最少的通信流量；OSPF 提供點到多點接口。</p><p>　　公司現(xiàn)有網(wǎng)絡規(guī)劃為area0，內部網(wǎng)絡設備都規(guī)劃為area0。后期若有分支機構各區(qū)域接入路由器根據(jù)區(qū)域不同使

43、用動態(tài)協(xié)議，或者使用靜態(tài)路由與動態(tài)路由結合的方式[6]。</p><p>　　3.3 VLAN的劃分及IP地址規(guī)劃</p><p>　　VLAN的劃分一般有三種方法，一是基于端口、二是基于MAC地址、最后是基于路由的劃分。在這里我們采用基于端口的劃分，把一個或者多個交換機上的端口放到一個VLAN內，這個方法是最簡單最有效的，網(wǎng)絡管理人員只需要對網(wǎng)絡設備的交換端口進行分配即可，不用考慮端口所

44、連接的設備。</p><p>　　IP地址是TCP/IP協(xié)議族中的網(wǎng)絡層邏輯地址，它被用來唯一地標示網(wǎng)絡中的一個節(jié)點。IP地址空間的分配，要與網(wǎng)絡層次結構相適應，既要有效的利用地址空間，又要體現(xiàn)網(wǎng)絡的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。</p><p>　　根據(jù)校園聯(lián)網(wǎng)的情況，每個部門劃分為一個VLAN，各部門分別屬于不同的網(wǎng)段，各部門之

45、間在邏輯上被隔離，但是各部門間的通訊，可根據(jù)需要對匯聚層交換機進行配置來實現(xiàn)[7]。</p><p><b>　　4各層相關配置信息</b></p><p>　　4.1 IP地址規(guī)劃及整體拓撲圖</p><p><b>　　IP地址規(guī)劃如下：</b></p><p><b>　　4.2相關

46、配置</b></p><p>　　4.2.1接入層基本配置信息</p><p>　　主要是創(chuàng)建VLAN，將端口加入VLAN，A區(qū)vlan創(chuàng)建命令如下：</p><p>　　Switch(config)#vlan 1</p><p>　　Switch(config-vlan)#exit</p><p>　　S

47、witch(config)#interface range fa 0/1-24</p><p>　　Switch(config-if-range)#switchport access vlan 1</p><p>　　說明：B區(qū)、C區(qū)配置同上。</p><p>　　4.2.2匯聚層基本配置信息</p><p>　　創(chuàng)建VLAN，分配IP，命令

48、如下：</p><p>　　Switch(config)#vlan 1</p><p>　　Switch(config-vlan)#exit</p><p>　　Switch(config)#vlan 2</p><p>　　Switch(config-vlan)#exit</p><p>　　Switch(confi

49、g)#vlan 10</p><p>　　Switch(config-vlan)#exit \\創(chuàng)建vlan信息</p><p>　　Switch(config)#interface fa 0/1</p><p>　　Switch(config-if)#switch access vlan 1</p><p>　　Switch(c

50、onfig-if)#exit</p><p>　　Switch(config)#interface fa 0/2</p><p>　　Switch(config-if)#switch access vlan 2</p><p>　　Switch(config-if)#exit</p><p>　　Switch(config)#interfac

51、e fa 0/10</p><p>　　Switch(config-if)#switch access vlan 10</p><p>　　Switch(config-if)#exit \\將端口加入vlan</p><p>　　Switch(config)#interface vlan 1</p><p>　　Switch(c

52、onfig-if)#ip address 192.168.11.1 255.255.255.0</p><p>　　Switch(config-if)#no shutdown</p><p>　　Switch(config-if)#exit</p><p>　　Switch(config)#interface vlan 2</p><p>　

53、　Switch(config-if)#ip address 192.168.12.1 255.255.255.0</p><p>　　Switch(config-if)#no shutdown</p><p>　　Switch(config-if)#exit</p><p>　　Switch(config)#interface vlan 10</p>

54、<p>　　Switch(config-if)#ip address 192.168.6.1 255.255.255.0</p><p>　　Switch(config-if)#no shutdown</p><p>　　Switch(config-if)#exit \\配置VLAN IP</p><p>　　4.2.3核心層基本配置信息<

55、/p><p>　　進行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進行訪問控制。配置命令如下：</p><p>　　switch(config)#vlan 10</p><p>　　switch(config-vlan)#exit</p><p>　　switch(config)#vlan 11</p><p>　　switch(c

56、onfig-vlan)#exit</p><p>　　switch(config)#vlan 24</p><p>　　switch(config-vlan)#exit \\ 創(chuàng)建vlan</p><p>　　switch(config)#interface range fa 0/10-12</p><p>　　switc

57、h(config-if-range)#switch access vlan 10</p><p>　　switch(config-if)#exit</p><p>　　switch(config)#interface fa 0/13</p><p>　　switch(config-if)#switch access vlan 11</p><p

58、>　　switch(config-if)#exit</p><p>　　switch(config)#interface fa 0/24</p><p>　　switch(config-if)#switch access vlan 24</p><p>　　switch(config-if)#exit \\分配端口</p>

59、<p>　　switch(config)#interface vlan 10</p><p>　　switch(config-if)#ip address 192.168.6.2 255.255.255.0</p><p>　　switch(config-if)#no shutdown</p><p>　　switch(config-if)#exit<

60、;/p><p>　　switch(config)#interface vlan 11</p><p>　　switch(config-if)#ip address 192.168.1.11 255.255.255.0</p><p>　　switch(config-if)#no shutdown</p><p>　　switch(config-i

61、f)#exit</p><p>　　switch(config)#interface vlan 24</p><p>　　switch(config-if)#ip address 192.168.24.1 255.255.255.0</p><p>　　switch(config-if)#no shutdown</p><p>　　switc

62、h(config-if)#exit \\分配vlan IP</p><p>　　4.2.4路由器RG-R1762基本配置信息</p><p><b>　　基本配置命令如下：</b></p><p>　　Red-Giant>enable </p><p>　　Red-Giant#config termin

63、al</p><p>　　Red-Giant#interface fa 1/0</p><p>　　Red-Giant(config-if)#ip address 192.168.1.12 255.255.255.0</p><p>　　Red-Giant(config-if)#no shutdown</p><p>　　Red-Giant(

64、config-if)#exit</p><p>　　Red-Giant(config)#interface serial 1/2</p><p>　　Red-Giant(config-if)#ip address WAN IP </p><p>　　Red-Giant(config-if)#no shutdown[8]</p><p>　　

65、4.2.5防火墻基本配置</p><p>　　1．登錄防火墻，打開管理IP地址功能如圖 4-1。</p><p>　　圖4-1 管理IP功能圖</p><p>　　2．設置防火墻的管理地址為192.168.1.2/24和192.168.1.3/24，如圖4-2。</p><p>　　圖4-2 管理地址圖</p><p&

66、gt;　　3．設置防火墻的工作模式為：網(wǎng)橋模式，如圖4-3、4-3、4-5、4-6。</p><p>　　圖4-3 網(wǎng)橋模式圖</p><p>　　圖4-4 轉換界面圖</p><p>　　圖4-5 確定轉換圖</p><p><b>　　圖4-6 完成</b></p><p><b

67、>　　4.3路由配置信息</b></p><p>　　4.3.1 RG-S3550-24-1路由配置</p><p><b>　　命令如下：</b></p><p>　　Switch(config)#ip routing</p><p>　　Switch(config)#ip route 0.0.0.0

68、 0.0.0.0 192.168.6.2</p><p>　　Switch(config)#show ip route </p><p>　　4.3.2 RG-S6806E路由配置</p><p><b>　　命令如下：</b></p><p>　　Switch(config)#ip routing</p>

69、<p>　　Switch(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.12</p><p>　　Switch(config)#ip route 192.168.11.0 255.255.255.0 192.168.6.1</p><p>　　Switch(config)#ip route 192.168.12.0 255.255.255

70、.0 192.168.6.1</p><p>　　Switch(config)#ip route 192.168.13.0 255.255.255.0 192.168.6.1</p><p>　　Switch(config)#ip route 192.168.14.0 255.255.255.0 192.168.6.1</p><p>　　Switch(config

71、)#ip route 192.168.15.0 255.255.255.0 192.168.6.1</p><p>　　Switch(config)#ip route 192.168.16.0 255.255.255.0 192.168.6.1</p><p>　　4.3.3 路由器RG-R1762配置</p><p>　　Red-Giant（config）# ip

72、 route 192.168.11.0 255.255.255.0 192.168.1.11</p><p>　　Red-Giant（config）# ip route 192.168.12.0 255.255.255.0 192.168.1.11</p><p>　　Red-Giant（config）# ip route 192.168.13.0 255.255.255.0 192.16

73、8.1.11</p><p>　　Red-Giant（config）# ip route 192.168.14.0 255.255.255.0 192.168.1.11</p><p>　　Red-Giant（config）# ip route 192.168.15.0 255.255.255.0 192.168.1.11</p><p>　　Red-Giant（c

74、onfig）# ip route 192.168.16.0 255.255.255.0 192.168.1.11[9]</p><p><b>　　4.4安全配置信息</b></p><p>　　4.4.1 接入層防病毒配置</p><p>　　RG-2126G(config)# ip access-list extended deny_wor

75、ms</p><p>　　RG-2126G(config-ext-nacl)# deny tcp any any eq 135</p><p>　　RG-2126G(config-ext-nacl)# deny tcp any any eq 136</p><p>　　RG-2126G(config-ext-nacl)# deny tcp any any

76、 eq 137</p><p>　　RG-2126G(config-ext-nacl)# deny tcp any any eq 138</p><p>　　RG-2126G(config-ext-nacl)# deny tcp any any eq 139</p><p>　　RG-2126G(config-ext-nacl)# deny tcp any

77、 any eq 445</p><p>　　RG-2126G(config-ext-nacl)# deny udp any any eq 135</p><p>　　RG-2126G(config-ext-nacl)# deny udp any any eq 136</p><p>　　RG-2126G(config-ext-nacl)# deny ud

78、p any any eq netbios-ns</p><p>　　RG-2126G(config-ext-nacl)# deny udp any any eq netbios-dgm</p><p>　　RG-2126G(config-ext-nacl)# deny udp any any eq netbios-ss</p><p>　　RG-2126G

79、(config-ext-nacl)# deny udp any any eq 445</p><p>　　RG-2126G(config-ext-nacl)# permit ip any any</p><p>　　RG-2126G(config-ext-nacl)#exi</p><p>　　RG-2126G(config)#inter range fa

80、0/1-24</p><p>　　RG-2126G(config-if-range)#ip access-group deny_worms in</p><p>　　說明：B,C區(qū)RG-2126G，RG-S2150配置同上。</p><p>　　4.4.2 匯聚層安全配置</p><p>　　Switch(config)# ip access

81、-list extended deny_ftp</p><p>　　Switch(config-ext-nacl)# deny tcp 192.168.11.0 0.0.0.255 192.168.24.0 0.0.0.255 eq ftp</p><p>　　Switch(config-ext-nacl)# deny tcp 192.168.11.0 0.0.0.255 192.168.

82、24.0 0.0.0.255 eq ftp-data</p><p>　　Switch(config-ext-nacl)# permit ip any any</p><p>　　Switch(config-ext-nacl)#end[10]</p><p>　　4.5防火墻安全策略</p><p><b>　　1．登錄防火墻。&l

83、t;/b></p><p>　　2．選擇“策略”→“服務”選項。</p><p>　　圖 4-7 防火墻管理策略圖</p><p>　　圖 4-8 服務選項</p><p>　　3．在服務中添加服務名稱，并在服務名稱中指定相關協(xié)議與接口。</p><p>　　圖4-9 添加指定協(xié)議、接口</p>

84、<p>　　4．添加多個規(guī)則，并且加入到服務組中(服務組名稱可在“服務組”選項中設定)。</p><p>　　圖4-10 添加多個規(guī)則</p><p><b>　　5．規(guī)則添加完畢。</b></p><p>　　圖4-11 添加完畢</p><p>　　6．在“策略”→“規(guī)則”選項中將服務與源地址及目標

85、地址關聯(lián)。</p><p>　　圖4-12 關聯(lián)服務與地址</p><p>　　圖 4-13關聯(lián)服務與地址</p><p>　　7．將訪問規(guī)則中定義的接口的所有源到所有目的的動作指定為拒絕，可在允許、拒絕、拒絕（ICMP）拒絕（重設）這4個選項中，點選第二項(拒絕)。</p><p>　　圖4-14 指定動作</p><

86、;p>　　4.6路由器的NAT配置</p><p>　　Red-Giant(config)#access-list 1 permit 192.168.11.0 0.0.0.255</p><p>　　Red-Giant (config)#access-list 1 permit 192.168.12.0 0.0.0.255</p><p>　　Red-Gian

87、t (config)#int fa 1/0</p><p>　　Red-Giant (config-if)#ip nat inside</p><p>　　Red-Giant (config-if)#exit</p><p>　　Red-Giant (config)#int s1/2</p><p>　　Red-Giant (config-i

88、f)#ip nat outside</p><p>　　Red-Giant (config-if)#exit</p><p>　　Red-Giant (config)#ip nat inside source list 1 interface serial 1/2 overload[11]</p><p><b>　　5 總結</b></

89、p><p>　　本文根據(jù)一個校園網(wǎng)絡的特定要求做的一個合理的網(wǎng)絡解決方案。其中應用了現(xiàn)今企業(yè)網(wǎng)絡中較為常用的主流技術。網(wǎng)絡整體采用的是銳捷三層架構，這個結構的優(yōu)點是穩(wěn)定性好、設備負載均衡、易擴展，并且網(wǎng)絡故障排查也比較容易。核心層和匯聚層都用兩臺設備，既平衡設備負載又防止機器故障致使網(wǎng)絡癱瘓。校內的網(wǎng)絡最重要的是在網(wǎng)絡安全方面，所以在本方案中我們用vlan技術和ACL技術作為內部網(wǎng)絡的安全策略，主要是防止學校內部的非

90、授權訪問。而在內部網(wǎng)絡與Internet之間我們則采用硬件防火墻將兩部分網(wǎng)絡隔離開，設置策略只允許合法的數(shù)據(jù)進出，各種網(wǎng)絡安全技術相結合，使得網(wǎng)絡更安全可靠。</p><p><b>　　參考文獻</b></p><p>　　[1]郭銳, 企業(yè)內部網(wǎng)規(guī)劃分析, 信息技術與信息化, 2005</p><p>　　[2]方國洪，金紅. 淺談如何構建

91、安全的企業(yè)網(wǎng)絡. 2010.2</p><p>　　[3]Addison Wesley.Firwalls and Internet Security:Repelling the Wily Hacker.Professional Computing.2000</p><p>　　[4]熊琦. 深入淺出談防火墻技術. 科協(xié)論壇(下半月),2007.3:31-32</p><

92、p>　　[5]Emilie Lundin Edand Jonsson. Anomaly-based intrustion detection:privacy concerns and other problems[J]. Computer Networks.2000,34(2):623-640.</p><p>　　[6]萬錦華.電力企業(yè)網(wǎng)絡信息安全的防范措施討論.科技與生活,2010年第一期</p&

93、gt;<p>　　[7][美] Richard tibbs，Edward oakes. 防火墻與VPN—原理與實踐.北京:清華大學出版社,2008</p><p>　　[8][美] vijay. Ipsec vpn 設計. 北京:人民郵電出版社,2006</p><p>　　[9]李強.三網(wǎng)融合,前景幾何[J].中國報道,2010(03)</p><p&g

94、t;　　[10]張宗府.有線網(wǎng)絡跨區(qū)域整合有望加快[J].中國記者.2009(10)</p><p>　　[11]杜詩露.網(wǎng)絡電視：念占三網(wǎng)合一的制高點[J].當代電視,2009(11)</p><p><b>　　致 謝</b></p><p>　　在我的指導老師***老師精心的指導下，我順利完成了論文的設計，隨著論文的完成，代表著三年的大學