毕业设计（论文）中小型公司网组建

《毕业设计（论文）中小型公司网组建》由会员分享，可在线阅读，更多相关《毕业设计（论文）中小型公司网组建（41页珍藏版）》请在装配图网上搜索。

1、 湖南科技职业学院09届毕业设计项目文档 项目组号 网络（Cisco）3061第九组 密 级 公 开 湖南科技职业学院软件学院 毕业设计文档项 目 名 称 中小型公司网组建 专 业 计算机网络技术（Cisco方向） 班 级 网络 指 导 教 师 项目组成员 二九年五月前 言随着网络的逐步普及，企业网络的建设是企业向信息化发展的必然选择，企业网网络系统是一个非常庞大而复杂的系统，它不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。而企业网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设

2、计课题将主要以企业局域网络建设过程可能用到的各种技术及实施方案为设计方向，为企业网络的建设提供理论依据和实践指导。在此项目中需要实现的功能：企业内通过身份认证方式实现内部资源共享，部分终端设备能访问外网以及远程访问的控制。1）物理网络设计概述为企业规划、构建、部署和操作物理LAN，要求掌握如何选择网络设备（例如交换机、路由器和防火墙），如何选择连接这些网络设备的网络电缆，以及如何设计网络布局。同时，还需要掌握使用Visio工具画出物理网络拓扑图和逻辑网络拓扑图。2）网络服务设计概述为企业规划、构建、部署和操作可靠且安全的网络服务，要求掌握有关DNS和WINS的配置、使用DHCP实现IP地址自动

3、分配和管理IP配置，在此基础上针对企业应用，设计出一个高可用性、高安全性的网络。3） Internet连接服务设计概述为企业规划、构建、部署和操作各种服务，保护LAN免受来自Internet的威胁，在外围网络配置基本防火墙、筛选等功能，实现企业内部和分部之间的VPN访问，并且要求将资源发布到Internet并配置企业内部计算机访问Internet。PrefaceWith the gradual popularization of network, enterprise network is the development of information technology enterprise

4、s to the inevitable choice, enterprise network systems is a very large and complex system, it not only to modernize the development of an integrated information management and office automation applications, such as a series of the provision of basic operating platform, but also provides a wide rang

5、e of applications, so that information can be timely and accurately transmitted to the various systems. And enterprise network applications in the construction of the network technology to the important branch of local area network technology to the construction and management, and therefore the sub

6、ject of this graduation project will be mainly in the construction process of enterprise local area network may be used in a variety of technical and implementation options for the design direction, for enterprise networks and provide a theoretical basis and practical guidance. In this project need

7、to achieve the functions of: enterprise identity achieved through internal resources and the sharing of part of terminal equipment to access outside the network, as well as control of remote access. 1) an overview of the physical network design For business planning, building, deployment and operati

8、on of the physical LAN, asked how to select network equipment (such as switches, routers, and firewall), how to choose equipment to connect these networks to cable networks, as well as how to design the network layout. At the same time, also need to have tools to use Visio to draw the physical and l

9、ogical network topology network topology. 2) Network Services Design For business planning, building, deployment and operation of a reliable and secure network services, request information on the DNS and WINS configuration, using DHCP to achieve automatic allocation of IP address allocation and man

10、agement of IP, on the basis of enterprise applications for the design of a high-availability , high-security network. 3) Internet connection service Design For business planning, building, deployment and operation of a variety of services, protection from the LAN from the Internets threat to the ext

11、ernal network configuration in the basic firewall, filter and other functions, the enterprise division between internal and VPN access, and they have requested resources posted to the Internet and configure the computer to access the internal Internet.目 录前 言11.1总体架构设计61.2网络结构设计61.3防火墙设计61.4服务器系统71.4

12、.1用户需求分析71.4.2操作需求分析71.4.3开放的体系结构81.4.4其他需要考虑的问题82.1总体架构设计92.2网络结构设计102.2.1主干部分设计102.2.2接入部分设计102.3防火墙设计112.4服务器系统112.4.1办公自动化112.4.2文件共享122.4.3电子商务122.4.4访问控制132.4.5网络的维护133.1总体架构设计143.1.1企业网络拓扑结构143.1.2 Vlan及IP地址规划143.2网络结构设计153.2.1核心层交换信息的实现153.2.2接入层交换信息的实现173.3防火墙设计193.3.1配置接入路由器的基本参数203.3.2配置接

13、入路由器的各接口参数203.3.3配置接入路由器的路由功能213.3.4配置接入路由器上的ACL213.3.5配置ISA防火墙223.4服务器系统243.4.1企业网络服务架构的实现243.1.2 DNS服务器的实现253.1.3主域控器的实现273.1.4辅域控制器的实现293.1.5 DHCP服务器的实现303.1.6 WWW服务器的实现323.1.7 FTP服务器的实现343.1.8 邮件服务器的实现363.1.9 无线接入点的实现38第四章 设计总结40文件修改记录编号状态日期执笔人审核人批准人修改页码及条款1创建文档4.18丁传华丁传华丁传华服务器部分2修改文档4.22刘宏谱丁传华丁

14、传华总体架构3修改文档4.25曹伟丁传华丁传华网络结构4修改文档4.28严萌丁传华丁传华网络结构5修改文档4.30李子霖丁传华丁传华防火墙部分6修改文档5.3丁传华丁传华丁传华前言、设计总结7修改文档5.5丁传华丁传华丁传华项目文档整理8修改文档5.10丁传华丁传华丁传华项目文档修改任务分配序号任务负责人1服务器系统部分、项目文档整理丁传华2总体架构设计部分刘宏谱3网络结构设计部分曹伟、严萌4防火墙设计部分李子霖第一章 需求分析1.1总体架构设计公司内部由总务部、人事部、技术部、管理部、销售部等多个部门组成。考虑到近几年的发展，公司需要通过因特网进行网络宣传和从事电子商务活动，员工日常办公自动

15、化，员工需要经常查阅公司的历史资料和文档，但同时公司内部资料及文档均属于公司的商业机密，不得外泄，出于安全考虑，部门之间的主机不能互访。员工之间日常需要交换一些文档，并且办公室需要发布一些日常办公信息。本着先进性、开放性、可伸展性、安全性、可靠性、可管理性等原则，要求规划公司内部网络，建构公司内部网络服务器，同时维护网络的正常运行，使公司能够最大有效的使用网络资源，为公司今后的发展打下良好的网络信息基础。1.2网络结构设计公司的网络，物理跨度不大，通过千兆交换机在主干网络上提供1000M的独享带宽，通过下级交换机与各部门的工作站和服务器连结，并为之提供100M的独享带宽。利用与核心交换机连结的

16、路由器，所有用户均可访问Internet。公司局域网按访问区域可以划分为三个主要的区域：Internet区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能分为以下子网：总务部子网、人事部子网、技术部子网、管理部子网、销售部子网等。在信息中心内配置网络管理工作站, 建立网络控制中心, 负责整修网络的性能管理、安全管理及失效管理等。1.3防火墙设计为了更好的维护企业网络的安全，需要在企业网络上部署防火墙。防火墙主要是实现以下目的：1）充当所通过的流量的代理，为内部网络用户提供安全的 Internet 访问。2）保护内部网络免受来自 Internet 上的威胁。3）执行入侵检测，入侵检

17、测用于检测各种恶意活动并发送关于这些活动的相应警告。此类恶意活动的例子包括端口扫描和使用大量的网络数据包堵塞特定的端口。4）执行应用程序筛选以扫描各个应用程序层的入站和出站流量（比如 SMTP、HTTP、FTP），并检测恶意代码。5）监视和发送关于各种参数（比如 Internet 使用、Web 缓存细节和内部网络上的用户进行的协议敏感的Internet 使用）的报告。应该有一种以各种形式（比如电子邮件和事件日志记录）发送警告通知的机制。1.4服务器系统1.4.1用户需求分析建立一个新服务应该从用户的要求开始，用户才是你建立服务的根本原因。如果建立的服务不合乎用户的需要，那简直就是在浪费精力。很

18、少有服务不是为了满足用户的需求而建立的，DNS就是其中之一。其它的如邮件服务和网络服务都是明显为了用户的需求建立的。用户需要他们的邮件用户端具备某些功能，而且不同的用户想要在网络上作不同是事情，这些都依靠提供服务的系统设置情况。其它的服务如电子购物系统则更是以用户为导向的了。系统管理员们需要理解服务怎样影响用户，以及用户的需求又如何反过来对服务的设计产生影响。1.4.2操作需求分析一旦有了新版本，如何进行升级呢？是否需要中断现在的服务呢？是否要触及桌面呢？能不能慢慢地逐渐升级，在整个公司发生冲突之前先在一些人中进行测试呢？所以要尽量把服务设计得容易升级，不用中断现有的服务就能升级，不要触及桌面

19、而且能慢慢地逐渐升级。从用户期望的可靠性水平以及系统管理员们对系统将来要求的可靠性的预期，系统管理员们就能建立一个用户期望的功能列表，其内容包括群集、从属设备、备份服务器或具有高可用性的硬件和操作系统。1.4.3开放的体系结构一个新服务，不管在什么情况下，只要可能，就应该建立在使用开发式协议和文件格式的体系结构上。特别是那些在公共论坛上记录成文的协议和文件格式，这样销售商才能依据这些标准生产出通用的产品。具有开放体系结构的服务更容易和其它遵循相同标准的服务集成到一起。这样就把用户端应用程序的选择同服务器平台的选择过程分离了，用户自由的选择最符合自己需要、偏好甚至是平台的软件，系统管理员们也可以

20、独立地选择基于他们的可靠性、规模可设定性和可管理性需要的服务器解决方案。1.4.4其他需要考虑的问题建立一个服务除了要求可靠、可监测、易维护支持，以及要符合所有的我们基本要求和用户的要求外，还要考虑到一些特别的事情。如果可能的话，应该让每个服务使用专门的机器，这么作可以让服务更容易得到支持和维护，也能减少忘记一些服务器机器上的小的服务的机会。在一些大公司，使用专门的机器是一条基本原则，而在小公司，由于成本问题，一般达不到这个要求。还有一个观念就是在建立服务时要以让服务完全冗余为目标。有些重要的服务不管在多大的公司都要求完全冗余。由于公司的规模还会增长，所有你要以让所有的服务都完全冗余为目标。第

21、二章 设计分析2.1总体架构设计为了确保网络能满足目前的网络应用, 并考虑到企业今后的发展要求, 在设计中采用目前一些网络常用的网络层次化结构, 将网络分为核心层、汇聚层和接入层。核心层负责网络核心数据的交换, 不在核心层实施策略,以加速数据交换, 同时将一些主要服务器放置在核心层中,以适应目前网络发展的新趋势; 汇聚层采用带路由功能的三层交换机, 以便于实施一些安全策略、组策略, 同时将网络数据流量尽量限制在汇聚层中, 减少对核心层的依赖; 接入层采用二层交换技术, 尽可能做到高速交换。在网络链路方面,由于信息点相对较少, 对网络要求不是很高,同时考虑企业的发展要求，可以采用单核心、星型网络

22、设计方案。在网络运用中, 为了减少广播, 采用虚拟局域网VLAN技术。在VLAN 设计中, 特别要注意与IP 地址的规划相结合。在规划IP 地址时, 由于企业内部分为几个部门，如果所有部门的用户无差别地处于对等网中，不仅使许多敏感数据容易被无关人员获取，而且部门内的大量通信也会占用大量的网络资源，使整个网络的效率变低，甚至引起崩溃。因此把公司总务部、人事部、技术部、管理部、财物部等部门分别划分一个独立的子网, 使大量的内部数据局限在子网内传播。在VLAN 划分中, 就可以把不同的子网定义为不同的VLAN。同时，在同一办公室的部门，可采用无线AP接入方式。为了便于管理, 可以将企业计算机网络根据

23、地点分成多个域, 然后再根据工作性质建立相应的工作组或子域。然后通过DC 进行身份验证、权限管理、策略管理, 通过AD 对网络资源进行共享。同时, 为了确保网络的可用性, 对于关键的服务器考虑冗余, 以使网络可以能够实时访问网络资源。在具体网络设计中, 各个域可以根据工作性质的不同分成总务部、人事部、技术部、管理部、财物部等工作组, 然后对企业资源进行权限设置, 使不同的工作组能够根据需要访问各自的共享资源。各个域也可以建立相应的信任关系, 对各自的资源进行资源共享。为了方便查找一些相关的资源, 可以将一些网络资源, 如共享文件、应用软件、共享打印机等发布在活动目录中。2.2网络结构设计2.2

24、.1主干部分设计主干部分要求完成网络各汇聚点的互联，完成高效的数据传输、交换、转发和路由功能。为了提高校园网的安全和传输效率，将公司网以部门为单位分为了若干个VLAN；该公司网分成公司总务部、人事部、技术部、管理部、销售部、售后服务部以及公司培训专用场所等几个VLAN。其中管理部门和公司会议以及培训专用场所，这两处实现无线热点接入，。如图2-1所示。图2-12.2.2接入部分设计接入部分为用户提供在局域网段访问互联网的能力。实现用户的局域网接入，并采用100Mbps交换到桌面可以基本满足目前应用的需求，如图2-2所示。图2-22.3防火墙设计公司局域网要通过防火墙接入Internet，实现信息

25、的安全查询和发布，要求实现对防火墙安全设置。要求只能管理部门销售部门，人事部门能访问Internet。其他部门只能访问局域网。设计原则如下：1）只允许企业IT管理人员和指定的特定用户具有远程访问的功能。2）企业IT管理人员具有修改远程访问的相关功能。ISA防火墙拓扑图如图2-3所示。图2-32.4服务器系统2.4.1办公自动化1）建立内部的通信平台。建立组织内部的邮件系统，使组织内部的通信和信息交流快捷通畅。 2）建立信息发布的平台。在内部建立一个有效的信息发布和交流的场所，例如电子公告、电子论坛、使内部的规章制度、技术交流、公告事项等能够在企业或机关内部员工之间得到广泛的传播，使员工能够了解

26、公司的发展动态。3）实现工作流程的自动化。通过流转过程的实时监控，协同多部门之间的工作问题，实现高效率的分工、合作。通过实现工作流程的自动化，就可以规范各项工作，提高单位协同工作的效率。4）实现文档管理的自动化。可使各类文档能够按权限进行保存、共享和使用，并有一个方便的查找手段。办公自动化使各种文档实现电子化，通过电子文件柜的形式实现文档的保管，按权限进行使用和共享。2.4.2文件共享文件服务器是一种器件，它的功能就是向服务器提供文件。它加强了存储器的功能，简化了网络数据的管理。它一则改善了系统的性能，提高了数据的可用性，二则减少了管理的复杂程度，降低了运营费用。因此可以用一台安装了微软Win

27、dows 2003 Server操作系统构建文件服务器，统一存储公共文件资料和公司的历史资料与文档，用Windows 2003 Server操作系统的域用户管理器来设定各用户的不同权限, 比如, 某部门的用户权限可以设定为能够登录的几台工作站, 也可以设定为登录网上所有工作站; 该部门的用户有访问网络上某些资源的权利, 却没有更改的权利; 在服务器上可以为每个部门准备一个硬盘存储空间, 本部门员工有读与写的权利, 而其他部门却不能读、写该硬盘。2.4.3电子商务电子商务是未来贸易的主要运营方式，电子商务的实施与运作依赖于电子商务系统，目前电子商务系统主要有基于B/S 和基于C/S 两种模式。一

28、个完整的电子商务系统是企业内部和Internet的集成，即既包括企业内部网的设计也包括企业Web 站点的设计与实现。而无论企业是实现对内还是对外的商务活动，基于B/S模式的Web 站点的设计与开发都是主要的手段，所以电子商务网站是电子商务系统工作和运行的主要承担者和表现者，是企业实现电子商务的主要平台。ASP.NET 技术是微软.NET 平台技术的一个组成部分，而.NET 平台的主要目标是用来帮助企业能够快速集成及架构Web 服务与应系统使其成为一个简洁高效的解决方案。因此，可以采用ASP.NET 技术和SQL Server数据库系统组成动态的网页，其信息存储在后台数据库中，系统可以动态生成页

29、面，发布信息不再需要新建页面，相关的页面可以自动更新。2.4.4访问控制企业网络系统在接入Internet 时采用路由加防火墙的方式，对防火墙实现安全配置，只有指定IP 地址的计算机才允许经外部网卡, 统一通过企业的防火墙服务器与外部网络相连, 这样在与外部网络相连时, 该计算机与局域网由防火墙的隔离方式, 确保企业网络数据的安全。同时把公司总务部、人事部、技术部、管理部、销售部、售后服务部分别划分一个独立的子网，定义为不同的VLAN，同一VLAN中的员工可以相关通信，交换文档。将总务部所在的网络单独作为一个Leader VLAN（LVLAN），其它部门分别作为一个VLAN，并且控制LVLAN

30、与其他VLAN之间的单向信息流向，即允许LVLAN查看其他VLAN的相关信息和向其它VLAN发布信息，其他VLAN不能访问LVLAN的信息，同时也禁止其它VLAN之间相互传递信息。VLAN之内的连接采用三层交换机实现， VLAN与VLAN之间采用二层交换机实现。其中管理部门和公司会议以及培训专用场所，这两处实现无线热点接入。2.4.5网络的维护维护网络的正常运行可以从以下几个方面入手：1）将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。 2）定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。 3）通过入侵检测等方式实现实时安全监控，

31、全面监视对公开服务器的访问，及时发现和拒绝不安全的操作和黑客攻击行为，提供快速响应故障的手段。 4）将内部网络、公开服务器网络和外网进行有效隔离，避免与外部网络的直接通信，建立网各主机和服务器的安全保护措施，保证他们的系统安全，加强合法用户的访问认证，同时将用户的访问权限控制在最低限度。第三章 具体实现3.1总体架构设计3.1.1企业网络拓扑结构 按照设计要求企业网络分为企业外网（Extranet）、企业内网（Intranet）和连接Internet部分，如图3-1所示。图3-13.1.2 Vlan及IP地址规划整个企业网络中VLAN及IP地址编址方案如表3-1所示。Vlan号Vlan 名称I

32、P网段默认网关说明Vlan1Lvlan192.168.2.0/24192.168.2.254总务部子网Vlan 10Vlan 10192.168.1.0/24192.168.1.254服务器子网Vlan 20Vlan 20172.16.1.0/24172.16.1.254人事部子网Vlan 30Vlan 30172.16.2.0/24172.16.2.254技术部子网Vlan 40Vlan 40172.16.3.0/24172.16.3.254无线子网外网IP网段10.1.1.0/2410.1.1.254表3-1服务的相关设置如表3-2所示。服务器名称Ip网段默认网关说明主域控制器dc.N19

33、2.168.1.1/24192.168.1.254辅域控制器bdc.N192.168.1.100/24192.168.1.254主DNS、wins服务器10.1.1.1 /2410.1.1.254主DHCP192.168.1.2/24192.168.1.254WEB 服务器10.1.1.2/2410.1.1.254文件服务器192.168.1.3/24192.168.1.254邮件服务器M10.1.1.3 / 2410.1.1.254表3-23.2网络结构设计为了简化交换网络设计，提高交换网络的扩展性，本企业内部数据交换的部署是分层进行，企业数据交换设备可以分为两层：核心层和接入层。3.2.1

34、核心层交换信息的实现核心层交换机采用的是cisco catalyst 3550 交换机。作为3层交换机，Cisco Catalyst 3550交换机拥有24个10/100Mbps自适应快速以太网端口，同时还有2个1000Mbps的GBIC端口供上连使用，运行的是Cisco的IOS操作系统。1）核心交换机的相关配置命令如下：A设置交换机名称Switch(config)#hostname Cisco3550B设置交换机的加密特权口令Cisco3550 (config)#enable secret cisco /设置交换机特权密码为ciscoC设置登录虚拟终端线路的口令Cisco3550 (conf

35、ig)#line vty 0 15Cisco3550 (config-line)#loginCisco3550 (config-line)#password Cisco3550 /设置虚拟线路密码为cisco2950aCisco3550 (config-line)#exitD配置核心层交换机Cisco 3550的管理IP、默认网管Cisco3550(config)#interface vlan 1Cisco3550(config-if)#ip address 192.168.2.254 255.255.255.0Cisco3550(config-if)#no shutdownE配置核心层交换C

36、isco 3550的VLAN及VTPCisco3550#vlan databaseCisco3550(vlan)#vlan 10 name vlan10Cisco3550(vlan)#vlan 20 name vlan20Cisco3550(vlan)#vlan 30 name vlan30Cisco3550(vlan)#vlan 40 name vlan40Cisco3550(vlan)#vtp domain hnkjzyCisco3550(vlan)#vtp server Cisco3550(vlan)#vtp password Cisco3550Cisco3550(vlan)#exitC

37、isco3550（config）#interface f0/1 /进入f0/2接口Cisco3550（config-if）#switchport mode trunk /设置工作模式为trunk类型2）配置核心层交换Cisco 3550端口基本参数可以设定某端口根据对端设备双工类型自动调整本端口双工模式，也可以强制将端口双工模式设为半双工或全双工模式。动设置端口双工模式。Cisco3550(config)#interface range fastethernet0/1 24Cisco3550(config-if-range)#duplex full3）配置核心层交换Cisco 3550A的3层

38、交换功能A核心层交换机DistributeSwitch1需要为网络中的各个VLAN提供路由功能。启用路由功能配置如下：Cisco3550(config)#ip routingB接下来，需要为每个VLAN定义自己的默认网关地址, Cisco3550(config)#interface vlan 10Cisco3550(config-if)#ip address 192.168.1.254 255.255.255.0Cisco3550(config-if)#no shutdownCisco3550(config)#interface vlan 20Cisco3550(config-if)#ip a

39、ddress 172.16.1.254 255.255.255.0Cisco3550(config-if)#no shutdown Cisco3550(config)#interface vlan 30Cisco3550(config-if)#ip address 172.16.2.254 255.255.255.0Cisco3550 (config-if)#no shutdown C此外，还需要定义通往Internet的路由。这里使用了一条缺省路由命令，如图所示。其中，下一跳地址是Internet接入路由器的以太网接口Ethernet 0/0的IP地址。命令配置如下：Cisco3550 (c

40、onfig)#ip route 0.0.0.0 0.0.0.0 10.1.1.2543.2.2接入层交换信息的实现接入层所有的终端用户提供一个接入点。这里的接入层交换交换机采用的是cisco catalyst 2950 24口交换机。交换机拥有24个10/100Mbps自适应快速以太网端口，运行的是Cisco的IOS操作系统。1）配置接入层交换机Cisco2950A的基本参数A设置交换机名称设置交换机名称，也就是出现在交换机CLI提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要Telnet登录到若干台交换机以维护一个大型网络时，通过交换机名称提示符提示自己当前配置交换机

41、的位置是很有必要的。Switch(config)#hostname Cisco2950ACisco2950A(config)#B设置交换机的加密使能口令 当用户在普通用户模式而想要进入特权用户模式时，需要提供此口令。此口令会以MD5的形式加密，因此，当用户查看配置文件时，无法看到明文形式的口令。Cisco2950A(config)#enable secret ciscoC设置登录虚拟终端线时的口令 对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理人员提供了很多的方便。但是，处于安全考虑，在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。Cisco2950A(co

42、nfig)#line vty 0 15Cisco2950A(config-line)#loginCisco2950A(config-line)#password 2950A2）配置接入层交换机Cisco2950A的管理IP、默认网关 接入层交换机是OSI参考模型的第2层设备，即数据链路层的设备。因此，给接入层交换机的每个端口设置IP地址是没意义的。但是，为了使网络管理人员可以从远程登录到接入层交换机上进行管理，必要给接入层交换机设置一个管理用IP地址。这种情况下，实际上是将交换机看成和PC机一样的主机。给交换机设置管理用IP地址只能在VLAN1，即本地VLAN中进行。按照表3-1，管理VLAN

43、所在的子网是：192.168.2.0/24，这里将接入层交换机Cisco2950A的管理IP地址设为：192.168.2.3/24 Cisco2950A(config)#interface vlan 1Cisco2950A(config-if)#ip address 192.168.2.3 255.255.255.0Cisco2950A(config-if)#no shutdown为了使管理人员可以在不同的子网管理此交换机，还应设置默认网关地址192.168.2.254。Cisco2950A(config)#ip default-gateway 192.168.2.2543）配置接入层交换机C

44、isco2950A的VLAN及VTP由于核心层已经设置为VTP Server模式，所以接入层交换机做为VTP Client模式，在核心交换机上划分了Vlan，接入层自动获得Vlan。其VTP作为Client配置模式如下：Cisco2950A(config)#vtp mode client4）配置接入层交换机Cisco2950A端口基本参数A端口双工配置 可以设定某端口根据对端设备双工类型自动调整本端口双工模式，也可以强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情况下，建议手动设置端口双工模式。Cisco2950A(config)#interface range fasteth

45、ernet0/1 24Cisco2950A(config-if-range)#duplex fullB端口速度设置接入层交换机Cisco2950A的所有端口的速度均为100MbpsCisco2950A(config-if-range)#speed 1005）配置接入层交换机Cisco2950A的主干道端口接入层交换机Cisco2950A通过端口FastEthernet 0/24上连到汇聚层交换机的端口FastEthernet 0/22。这条上连链路将成为主干道链路，在这条上连链路上将运输多个VLAN的数据。它的配置如下：Cisco2950A(config)# interface range f

46、astethernet0/24Cisco2950A(config-if-range)#switchport mode trunk在汇聚层交换机的端口FastEthernet 0/22做同样的操作。6）配置接入层交换机Cisco2950B和Cisco2950C 接入层交换机Cisco2950B和Cisco2950C作为VTP 客户模式，VLAN分别为VLAN 20和VLAN 30的用户提供接入信息。同时，分别通过自己的FastEthernet 0/23上连到汇聚层交换机的端口FastEthernet 0/23，FastEthernet 0/24。3.3防火墙设计在本设计中，广域网接入模块的功能是

47、由广域网接入路由器Cisco3640来完成的。采用的是Cisco的3640路由器。它通过自己的串行接口serial 0/0使用接入Internet。它的作用主要是在Internet和企业网内网间路由数据包。除了完成主要的路由任务外，利用访问控制列表（Access Control List，ACL），广域网接入路由器Cisco3640还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。3.3.1配置接入路由器的基本参数对接入路由器Cisco3640的基本参数的配置步骤与对访问层交换机Cisco2950A的基本参数的配置类似。这里，只给出实际的配置步骤，不再给出解释。Routere

48、nableRouter#configure terminalRouter(config)#hostname Cisco3640Cisco3640(config)#enable secret ciscoCisco3640(config)#line vty 0 15Cisco3640(config-line)#loginCisco3640(config-line)#password Cisco36403.3.2配置接入路由器的各接口参数 对接入路由器Cisco3640的各接口参数的配置主要是对接口Ethernet 0/0以及接口Serial 0/0的IP地址、子网掩码的配置。具体配置如下：Cisc

49、o3640(config)#interface fastethernet 0/0Cisco3640(config-if)#no ip address Cisco3640(config-if)#no shutdownCisco3640(config)#interface fastethernet 0/0 .1cisco3640(config-subif)# ip address 10.1.1.253 255.255.255.0cisco3640(config-subif)#no shutdownCisco3640(config)#interface fastethernet 0/0 .2cisc

50、o3640(config-subif)# ip address 192.168.1.253 255.255.255.0cisco3640(config-subif)#no shutdownCisco3640(config)#interface fastethernet 0/0 .3cisco3640(config-subif)# ip address 172.16.1.253 255.255.255.0cisco3640(config-subif)#no shutdownCisco3640(config)#interface fastethernet 0/0 .4cisco3640(confi

51、g-subif)# ip address 172.16.2.253 255.255.255.0cisco3640(config-subif)#no shutdownCisco3640(config)#interface fastethernet 0/0 .4cisco3640(config-subif)# ip address 192.168.2.253 255.255.255.0cisco3640(config-subif)#no shutdownCisco3640(config)#interface serial 0/0Cisco3640(config-if)#ip address 218

52、.77.62.1 255.255.255.0Cisco3640(config-if)#no shut down3.3.3配置接入路由器的路由功能在接入路由器Cisco3640上需要定义两个方向上的路由：到企业网内部的静态路由以及到Internet上的缺省路由。到Internet上的路由需要定义一条缺省路由，如下所示。其中，下一跳指定从本路由器的接口serial 0/0送出。 Cisco3640(config)#ip route 0.0.0.0 0.0.0.0 serial 0/03.3.4配置接入路由器上的ACL路由器是外网进入企业网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列

53、表（Access Control List，ACL）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护。在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该做以下的ACL设计：1）对外屏蔽远程登录协议telnet首先，t

54、elnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。其次，telnet可以登录到大多数网络设备和UNIX服务器，并可以使用相关命令完全操纵它们。这是极其危险的，因此必须加以屏蔽。Cisco3640(config)#access-list 101 deny tcp and eq telnetCisco3640(config)#access-list 101 permit ip any any2）对外屏蔽其它不安全的协议或服务这样的协议主要有SUN OS的文件共享协议端口2049，远程执行（

55、rsh）、远程登录（rlogin）和远程命令（rcmd）端口512、513、514，远程过程调用（SUNRPC）端口111。可以将针对以上协议综合进行设计，如下所示。Cisco3640(config)#access-list 101 deny tcp any any range 512Cisco3640(config)#access-list 101 deny tcp any any eq 111Cisco3640(config)#access-list 101 deny udp any any eq 111Cisco3640(config)#access-list 101 deny tcp

56、any any range 2049Cisco3640(config)#access-list 101 permit ip any any3.3.5配置ISA防火墙1）配置防火墙的相关防火墙的策略，如图3-2所示。 图3-22）启动ISA防火墙的入侵检测。WEB代理客户端是包含WEB浏览器应用程序的客户端计算机，可将其配置为使用代理，一台WEB代理客户端都是通过其各自的用户界面配置的，WEB浏览器就是WEB代理客户端，防火墙客户端软件可以在防火墙客户端计算机上配置WEB浏览器设置，这些设置可以自动配置或同时禁用，如图3-3所示。 图3-33）配置WEB代理和WEB缓存。打开ISA服务器管理，选

57、择配置中的缓存，新建一个缓存规则，输入名称，该代理是由服务器为内部网络做为代理，所以将网络实体中的网络中的内部添加进去，接下来的步骤根据用户需要进行配置。服务器设置完成，再到客户端进行IE浏览器的配置，打开工具的interner选项，连接选项卡中的局域网设置，选中代理服务器，输入服务器的地址和对应的端口即可，如图3-4所示。图3-43.4服务器系统3.4.1企业网络服务架构的实现如图3-5所示，网络被防火墙分割成了三个区域， 分别是企业外网（Extranet）、企业内网（Intranet）和连接Internet部分。图3-5企业外网是位于防火墙外直接与Internet 相连的区域，因为防火墙的

58、主要作用是把 Internet 上的网络用户挡在墙外，外面的用户无法进入内网。Extranet为网络提供了一个“缓冲地带”，其作用是提供企业网对交流的渠道，建立公司面向Internet的电子商务服务体系，主要包括Web、E-Mail 等服务。因为Web, E-Mail等既需要对外部提供服务，又需要为内部提供访问服务的区域，因此有必要将这些服务器安装在单独的公共区域中，这样一来可以防止外部用户直接访问内网，降低了内网被攻破的可能性。同时也保证了重要的来自内部的对于重要服务器的攻击行为的发生。企业内网企业网络建设的重点。本方案采用三层交换机结构，配置一台核发交换机，用以连接二级交换设备、FTP服务

59、器、网络存储设备文件服务器、网络打印机等，组成网络主干。采用1000M以太网，100M交换到桌面。3.4.2 DNS服务器的实现1）相关技术DNS，Domain Name System或者Domain Name Service（域名系统或者域名服务）。域名系统为Internet上的主机分配域名地址和IP地址。用户使用域名地址，该系统就会自动把域名地址转为IP地址。执行域名服务的服务器称之为DNS服务器，通过DNS服务器来应答域名服务的查询。企业内部的客户想要解析DNS名字的话，方法只有两种：1、在内部客户机上设置DNS地址为外部ISP的DNS服务器；2、在企业内部建立一个DNS服务器，内部客户

60、使用这个内部的DNS服务器，然后企业内部的DNS服务器转发到外部ISP的DNS服务器上。从客户机的效率上来说，第一种方式要好；但是从可控性和扩展性，还有网络的效率来说，第二种方式要好，特别是对于采用了域的环境，必须采用第二种方式进行DNS的转发。2）DNS服务器安装A在已安装Windows Server 2003服务器上，设置本地IP地址为10.1.1.1/24，然后插入光盘。点击“开始”，“管理工具”，“配置服务器向导”，选择“配置DNS服务器角色”，进入DNS安装配置界面。B在“选择配置操作”中，选择第二项，如图3-6所示。图3-6C点击“下一步”，在“区域类型”中选择“主要区域”。D点击

61、“下一步”，在“区域名称”中输入一个能反映公司信息的区域名称，如。E在打开的“区域文件”向导页中已经根据区域名称默认填入了一个文件名。该文件是一个ASCII文本文件，里面保存着该区域的信息，默认情况下保存在“windowssystem32dns”文件夹中。保持默认值不变，单击“下一步”。F在打开的“动态更新”向导页中指定该DNS区域能够接受的注册信息更新类型。允许动态更新可以让系统自动地在DNS中注册有关信息，在实际应用中比较有用，因此点选“允许非安全和安全动态更新”单选框，单击“下一步”。G打开“转发器”向导页，保持“是，应当将查询转送到有下列IP地址的DNS服务器上”单选框的选中状态。在IP地址编辑框中键入ISP(或上级DNS服务器)提供的DNS服务器IP地址，单击“下一步” 。H依次单击“完成/完成”按钮结束“”区域的创建过程和DNS服务器的安装配置过程。3）DNS服务配置A在DNS控制台，选择“正向查询区域”，在“”区域上创建一条主机记录，如图3-7所示.图3-7B选择“反向查询区域”，点击“新建区域”，依次点击“下一步”，创建一个“主要区域”，在标示反向查询区域的网络ID的输入相应的网络地址如图所示，保持默认的区域文件存放位置，依次点击“下一步”完成反向查询区域的创建。C选择新建立的“10.1.1.X subnet”反向查询