小型超市的网络规划与设计.doc

1、学号：12507128天津商业大学宝德学院毕业设计（论文）小型超市的网络规划与设计Network Planning and Design of The Small Supermarket系:计算机信息与技术系专业：计算机科学与技术班级: 学生姓名: 指导教师: 2016年5月目 录内容摘要IAbstractII1 绪论11.1 超市内部网络产生的时代背景12 系统概述12.1 超市内部的系统构成12.2 当前流行的超市内部网络组件技术33 需求分析及系统设计原则53.1 用户需求63.2 系统设计原则74 系统组建方案104.1 方案综述104.2 拓扑图规划114.3 主要技术路线124.4

2、 网络硬件设备134.5 服务器设计144.6 网络配置及管理144.7 超市网络综合应用规划254.8 网络安全配置265 总结27参考文献28致谢29内容摘要做好超市网络设计工作，是超市内部之间，超市网络之间便捷沟通的关键。21世纪超市网络的规模和应用水平将是体现超市网络环境的重要组成部分，对于超市网络来说，内网以及服务器的安全性至关重要。因此要利用超市内现有的条件，设计一个安全、统一的超市网络。根据需求分析，做出两种符合实际的方案拓扑图供选择，简单分析其优劣。后选择较符合现代化发展的方案进行并具体分析，展示所需核心技术方法（端口聚合、生成树优先设置）。根据所选方案，选择设备品牌、型号，咨

3、询厂家价格，给出一个报价。按照超市的分布，合理划分ip地址、规划好vlan，选择用户接入方式（采用MAC地址绑定IP地址）使管理更加轻松。运用ACL协议来做好网络优化，ACL经过路由器和交换机接口的指令列表，用来控制端口进出的数据包。出口部署路由器与运营商网络设备进行互联，通过在出口路由器配置网络地址转换，实现学校内部用户访问外网。关键词：网络规划；vlan；网络地址转换；设计实现IAbstractDo the supermarket network design work, is the supermarket inside, convenient communication between

4、 key supermarket network. The scale and the application level of twenty-first Century supermarket network will be an important part of the network environment for supermarket, supermarket network, intranet and safety critical server. Therefore, to use the existing conditions in the supermarket, desi

5、gn a secure unified supermarket network.According to the demand analysis, make two kinds of topology diagram of the actual plan for selection, simple analysis of its advantages and disadvantages. After the choice of more in line with the modernization of the development of the program and the specif

6、ic analysis of the core technology to demonstrate the method (port aggregation, spanning tree priority set). According to the selected program, select equipment brands, models, consulting manufacturer price, give a quote. According to the supermarket distribution, IP address planning, rational divis

7、ion of the VLAN, select the user access way (using the MAC address binding IP address) to make management easier. Through the ACL router and switch interface list of commands used to control the port import data packets. Export deployed routers and network operators and equipment are interconnected,

8、 through in the egress router configuration network address conversion, to achieve the schools internal user access to the network.Key Words: Network Planning vlan Network address translationDesign and ImplementatiII1绪论超市是随着商品经济逐渐发达而产生的一种新兴事物，不同于那种顾客与商品隔开的旧杂货铺形式，它能有效避免了顾客与店主面对面的接触，并且为顾客提供了一个自由、轻松、舒适

9、的购物环境，因此受到越来越多消费者的青睐，在人们日常生活中扮演着越来越重要的角色。我国幅员辽阔、人口众多，中小型超市散布在城市与乡村的各个角落，与人民生活直接接触，在社会生活中具有无可替代的重要作用。二十一世纪以来，经济全球化的步伐逐渐加快，我国改革开放的格局也在一步步深化，零售业内的竞争也将越来越激烈。这就要求中小型超市必须增强自己的核心竞争力，这样才能在激烈的市场竞争中存活下来。中小型超市想要在激烈的竞争环境中迎难而上,除了要有质量上乘的商品和舒适的购物环境外，最重要的是能及时满足顾客对商品的需求,根据需求迅速进行补货，因此中小型超市需要一个高效快捷的网络管理系统。1 超市内部网络产生的时

10、代背景随着互联网的不断发展，人们之间的距离也不再那么遥远，信息交流也是越来直接快捷，方便。当代的信息技术，也正在以惊人的速度改变着人们的工作方式、学习方式、思想方式和管理方式。这不仅大大扩展了计算机的应用范围，从基础上引发了阅读、写作、计算方式的历史性变革，而且使计算机变得更加简单易学。多媒体计算机和掌握多媒体技术的人共同构成信息时代的社会细胞。当一个新时代的社会细胞成熟了，这一时代也就随之降临了。1995年，全世界电子百科全书的销量在历史上第一次超过用纸张印刷的百科全书，这对人类文化教育的挑战是极其严峻的。本文根据超市信息网络需求和网络职能特点，对网络方案的架构情况进行详细分析。考虑超市的位

11、置、信息点的安排、通信平台需求和实现Internet连接的网络应用等特点，就此提出建立一个又快又好的、基于多层交换的网络管理应用系统。以此来达到超市资源共享，建立完备的数据交换体系，快速的传递信息等目的，以适应无纸化办公的发展趋势。充分利用现代化技术来进一步提高超市的竞争力，满足超市冗余链路、负载平衡等网络应用需求，从而为超市提供一个优良的硬件环境。2系统概述超市内部的系统构成的组成的平台介绍以及当前流行的超市内部网络组建技术，层次化模型设计技术虚拟局域网第三层交换技术，以及网络安全技术的介绍。21 超市内部的系统构成211 网络平台能够与外界进行互联网的连接，提供、享用各种信息服务。国际互联

12、网Iternet接入；内部用户与外部进行信息的交流或使用各种服务对外部进行访问如：http、ftp等；允许外出的工作人员访问联讯超市网络、互换信息、实现资源共享、资料电子化；外部用户可以通过Internet访问超市的网络。212 传输平台共享网络上各种软、硬件资源，快速、稳定地传输各种信息，并提供有效的网络信息管理手段。作为现代化的办公信息管理，必须依靠先进的计算机网络技术。如公文流转、电子邮件系统等；会议室少量的多媒体信息传输等。213 系统平台构建一个超市内部的网络系统，就必须采用先进成熟的技术和设计思想，运用先进的集成技术路线，以高速、可靠、管理、使用、灵活与扩展、安全作为原则，突出系统

13、功能的实用性，尽快投入使用，发挥较好的效能。本设计在软件配置和硬件设备，超市网络系统在整个系统设计上需满足以下几个原则：先进性：采用最先进的组网技术，选用代表当今世界潮流趋势的计算机超市的网络产品，才能在未来的发展中保持技术领先。高速性：采用世界先进的多层交换机，均可提供高速的网络传输来满足业务发展的需要。尤其是核心交换机的选型保证了核心设备对大数据流量的实时转发；其次采用国际先进的千兆主干百兆到桌面的两层设计理念，千兆主干可充分满足未来网络规模的扩展和跨网段之间数据的高效传输。可靠性：为了保证系统能稳定可靠的运行，在系统设计时，必须充分的考虑系统的可靠性通过选择优秀的产品和采用必要的技术手段

14、确保系统的可靠性。实用性：根据应用系统的要求确定整个系统的结构，即从系统功能和信息需求出发，拟建系统的结构必须满足系统的功能需求、信息采集与传输能力要求、人机交互能力要求。具体而言本系统的性能指标能够满足三年内全超市综合系统发展所需的储存量和处理能力的要求，该系统切实满足业务的需要，系统性能可靠，易于维护并且网络及系统各方面指标切合实际需要、系统配置设计充分满足业务需求。灵活性与可扩展性：为了使现有的系统在将来能够得到充分的利用，现有的投资在将来不被浪费，这就需要系统具有良好的扩展性：可以根据不断增长的业务处理需要很容易进行系统处理能力、存储容量和网络规模的扩充；方便扩展网络覆盖范围、网络容量

15、和网络各层次节点的功能。214 信息平台按目前通常的考虑，建议数据信息点的接入以交换10/100Mbps自适应以太网端口接入为主，以供带宽需求较高用户或应用使用。整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA应用和Internet访问等于一体的高可靠、高性能的宽带多媒体企业网。同时，它除了要实现为了提高服务器的服务处理能力、避免服务器的单点故障、减轻路由器在处理数据包时所引起的过高系统开等功能外，还要组建一个信息管理和应用的网络安全系统。215 系统管理与安全灵活高效的网管手段，可以合理调整网络资源、监视网络状态和控制网络运行，对软硬系统环境进行全面监测管理，从而使超

16、市的关键业务任务的应用得以保证。具备支持多种通信媒体，多种物理接口，提供技术升级、设备更新的灵活性，以便于系统将来的扩容与升级。提供较强的管理机制和控制手段，具备事故监控和网络安全保密等技术措施来确保整个系统的安全性。22 当前流行的超市内部网络组建技术221 层次化模型设计技术核心层形成主干网(亦称骨干网)，提供高性能、无阻塞高速通道，可比喻为国家级高速公路。分发层形成主干接入网，提供到高速主干的接入，可比喻为省市级公路。接入层提供对用户接入的接口，可比喻为一般公路。这样，整个网络就非常具有弹性、高效性和可靠性。222 虚拟局域网虚拟局域网是一种建构于局域网交换技术(LAN Switch)的

17、网络管理的技术，网管人员可以借此通过控制交换机有效分派出入局域网的分组到正确的出入端口，达到对不同实体局域网中的设备进行逻辑分群(Grouping)管理，并降低局域网内大量数据流通时，因无用分组过多导致雍塞的问题，以及提升局域网的信息安全保障。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的

18、好处是可以限制广播范围，并能够形成虚拟工作组223 第三层交换技术第三层交换技术也称为IP交换技术、高速路由技术等。第三层交换技术是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSI网络标准模型中的第二层数据链路层进行操作的，而第三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说，第三层交换技术就是：第二层交换技术第三层转发技术。这是一种利用第三层协议中的信息来加强第二层交换功能的机制。一个具有第三层交换功能的设备是一个带有第三层路由功能的第二层交换机，但它是二者的有机结合，并不是简单的把路由器设备的硬件及软件简单地叠加在局域网交换机上。224 网络安全技术网络建成

19、后，为保证整个网络正常地运行。防止计算机病毒对网络的侵害、防止“黑客”入侵就变得尤其重要，主要表在以下几个方面：身份认证、访问授权、数据保密、数据完整、审计记录、防病毒入侵。通过防火墙可以建立是用IPSec标准的虚拟专用VPN连接,加强了内部网、外部网链路和Internet之间的安全访问。因为在网络中存在大量客户端及各种应用的服务器，由于个人使用不规范或其他原因，随时会出现客户端或服务器感染计算机病毒的可能，如果没有一个有效的病毒防护措施及解决方案，就会对整个网络中的各个应用造成很大的影响。所有病毒防护系统是不可缺少的一部分。鉴于Symantec在对各种系统平台的全面支持上，防病毒技术的先进上

20、，良好的可管理性上的优势，本方案中采用Symantec的网络防病毒产品，将防病毒系统分为工作站防病毒，服务器防毒，防病毒管理三个方面。(1)工作站防病毒对于工作站的操作系统，因为其大部分操作系统为Windows系统的操作系统，根据工作站的系统类型，分别安装Norton Antivirus for windows，实现对系统，磁盘，可移动磁盘，光盘等的病毒防护。(2)服务器防病毒对于内部网络的计算机，我们设计使用一台运行2003操作系统的机器作为防病毒的服务器，一般为了管理的方便，把Symantec System Center（SSC）和防病毒服务器安装在同一台服务器上进行管理。(3)防病毒管理

21、计算机病毒的防护主要从技术和管理两个方面入手，重在管理，系统设计时配备有针对性的防病毒软件，积极预防和防止各种计算机病毒，同时，指定必要的计算机应用方面的规章制度。3 需求分析及系统设计原则超市系统采用的是集中式和分布式管理相结合的管理方案，即在总部建立WEB服务，安装相应的管理程序。在各个分部门安装实时传输工具，通过网络连接总服务器。实现日常业务单据的录入、查询、核算等。核心网络、汇聚网络、接入网络、综合布线、机房建设等采取的是一次性投资。从销售量的增长与越来越多的消费群体，业务需求不断攀升。网络的规模也随之扩大，需要考虑到目前网络的可扩展性。远程通讯线路的或电信租用线路，培训费和网络维护费

22、，设备维护费等都是永辉集团需要纳入考虑的费用中。而不仅仅是核心交换机与路由器的费用。31 用户需求311 网络需求(1)通信量的需求本小型超市的通信量主要来自于两个方面，其一是一般文件的共享或打印共享，这些只需要1Mbit/s的带宽就够了。通信量要求高的是超市监控系统或多媒体视频服务，这些一般需要10Mbit/s以上的带宽。考虑到超市目前正在建设远程采购系统，一些省内与省外骨干线路的带宽要求更高，宜采用单模光纤，能保证长距离布线。(2)确定网络的可靠性和可用性。为了确保网络数据的实时传输，不会存在仓库商品已出库，而系统还未记录现象发生。当有线路故障后立即完成线路切换。特别是核心交换机，应采用链

23、路冗余技术。(3)确定网络的安全性。如财务部的信息是不对外公开的，只对内部一部分人员。在集团内部可以采用划分VLAN策略。既能使各个部门正常地工作，又能做到信息的保密工作。但大多数网络用户的信息是非涉密的，因此提供普通的安全技术措施就可以了。对于有特殊业务的网络，就需要对职员进行严格的安全限制。312 管理需求针对超市网络，通常采用典型的三层网络架构。这也是一种许多企业一直沿用至今的一种安全可靠地网络架构。但随着科技的发展，二层架构渐渐的为一些大超市所用，它对比与三层架构，更易管理，对于出现的问题，有更好更快速的解决方案。因此这两种方案皆可选择，各有长短。选择好网络架构后，使用VLAN技术对网

24、段进行划分管理；考虑到未来网络的发展与企业的壮大，使用当今流行的千兆以太网技术，具有高带宽1000Mbps 速率的主干，100Mbps 到桌面，运行目前的各种应用系统绰绰有余，还可轻松应付将来一段时间内的应用要求，且易于升级和扩展，最大限度的保护安全。32 系统设计原则321 设计目标原则项目目标(1)全网连通：分开内外网，各地分超市能通过VPN连入内网。(2)网络安全：通过防火墙使全网的安全联动，能有效防止外来黑客入侵，保护数据安全。(3)可拓展与管理：满足两年领先、五年不落后、十年可用的原则，满足不断变化的应用要求。能够对网络设备进行高效的管理项目要求(1)两台核心交换机做集群。(2)接入

25、层到桌面所有接入带宽采用千兆以太网接入。(3)接入层设备到核心层设备链路采用万兆双上行。(4)每层接入层设备根据实际用户数量调整，并采用堆叠方式连接。要求办公区域无线全覆盖。(5)配备网管系统、流量分析、准入管理、桌面管理等软件。(6)配备两台服务器及1套虚拟化软件。项目设计思路整个网络架构分为接入、核心两层。(1)核心层核心交换机部署在独立的网络机柜中，汇聚接入交换机的流量，提供三层路由、交换功能。通过在核心交换机设置相关策略，区别各网段的访问权限，特别是来宾的访问隔离，一般只允许访问外网。根据需要，在核心交换机可旁挂独立的安全设备，为整个办公网提供安全功能。(2)接入层接入层交换机部署在各

26、楼层两头配线间内,负责每一个区的终端接入，由于每个区划分一个VLAN，区域不需要三层路由，所以接入层交换机不需要提供三层路由功能。对整个网络的单点不存在故障，交换机设备和链路为冗余备份设计。核心交换机采用IRF2技术，接入交换机之间采用堆叠技术连接，接入交换机与核心交换机通过链路聚合技术连接保证链路级冗余备份，提高带宽及可靠性。322设备选型原则根据方案，服务区交换设备为主机房内连接服务器交换机。服务器设备是为软件配套服务器，安装网管软件、上网行为管理等。(1)品牌选择网络设备方面，较为常用的牌子有思科、华为、华三，国内也有较多的网络设备品牌。正常情况下，会使用招标的方式选择一家符合要求的设备

27、供应商。现我暂模拟选择一家供应商，继续本设计。综合大中型超市的现实状况，思科设备较昂贵，故不考虑。经调查，华为、华三在国内网络设备市场上，华三的占有率更高，更具普遍性，因此，本计划使用华三网络设备。(2)主要设备技术性能要求交换机的主要性能为背板容量和转发性能，查询资料得到交换机性能，方便对比其他牌子同类型产品。一般来说，采购核心交换机首先选择使用规模（数据中心交换机、园区交换机、网关等），不会按照自己所需的性能去采购，因为正常使用下，背板带宽使用还不足机器背板容量的10%，但是要考虑全双工等各种情况，鉴于网络的特殊重要性，总会选择远大于使用量的背板容量。其次，核心交换机的型号并不多，若选择性

28、能较弱的，一般业务插槽也同样不多，转发性能也会较弱，不利于后期扩展。服务器方面，未查询到报价。考虑到有可能各种各样的情况。现在虚拟化普及，大多超市选择购置一台功能强大的服务器虚拟成多台服务器，即方便管理又利于后期发展，但前期投入较大。如购买IBM3650或同类型型号，需两台。如购买IBM3850或同类型型号，一台即可满足要求。虚拟化还需要购买虚拟化软件。以下为核心交换机技术性能要求，楼层千兆接入交换机性能要求，软件配套服务器技术性能要求，见表1，表2，表3：表1核心交换机技术性能要求需求名称需求说明背板容量17.5Tbps 转发性能3800Mpps 冗余控制引擎、电源、风扇盘阵、交换网板冗余集

29、群支持两台核心交换机集群为一个网络节点，支持交换网集群业务插槽数量（配置冗余主控之后）= 8 个表2楼层千兆接入交换机技术性能要求需求名称需求说明交换容量256Gbps转发性能132Mpps 转发能力要求整机达全线速转发能力接口类型万兆接口数量4可用固定千兆电接口数量48堆叠功能支持多台交换机堆叠为一台VLAN特性支持基于端口的VLAN，支持基于协议的VLAN，支持基于MAC的VLAN；最大VLAN数(不是VLAN ID) 4094链路聚合支持端口聚合；表3软件配套服务器技术性能要求需求名称需求说明处理器配置2颗处理器。要求处理器核数2核，主频2.0GHz内存内存8GB网卡2端口千兆网络适配器

30、。硬盘硬盘容量1TBI/O插槽支持扩展CNA网卡、HBA网卡、万兆以太网卡阵列控制器主板集成RAID卡光驱DVD-RW DVD-ROM CD-ROM 品牌Dell、HP、IBM、华为、H3C类型PC服务器电源配置2个电源模块。要求：支持1+1通用接口热插拔高效电源模块4系统组建方案主要介绍在本次设计中方案综述，拓扑图的规划，设计中用到的主要技术路线，网络硬件设备的选取服务器的设计，VLAN划分以及ACL的应用以及无线网络在超市中的应用。41 方案综述采用接入-核心的两层结构，核心做为集群，楼层做为链路聚合。(1)初期投入小：刚使用时用户并不饱和。(2)可拓展性：可随时根据需要加入交换机放在另一

31、边机房，完成拓展。 (3)实际性：实际上，超市并不是每层都是客户房间区域，可能存在如产品展示区、仓库等区域。此设计便可灵活使用。42 拓扑图规划拓扑图如图1所示：图1拓扑图规划根据超市项目的需求和业务系统，建议超市的网络：主干主要采用百兆以太网技术。千兆以太网技术最高传输速率为1000Mbps，与以太网技术、快速以太网技术向下兼容，而且，千兆以太网交换机具有极高的性能价格比，是目前园区网/企业网的主流选择。网络应用协议应以TCP/IP为主，TCP/IP协议是开放的网络协议，它也是事实上的工业标准，因为众多的生产厂商都支持该标准。基于TCP/IP协议开发的应用程序极为丰富。特别是九十年代以后，随

32、着Internet的爆炸性增长，在Internet上的应用程序如雨后春笋般涌现出来。其中包括IP电话、图像传输、视频点播、电视会议系统等多媒体应用程序。随着技术的发展和应用的丰富，IP的服务质量（QoS）也在不断的改善。与ATM网络相比，IP网络的QoS技术发展得更快，应用支持更加丰富。IP协议在未来几年内成为世界上的主流网络协议已经不可阻挡。基于以上考虑，并从超市逐步向连锁体系发展的实际出发，建议超市局域网络主要采用DLINK公司的网络设备，整个网络采用以太网技术，不同的层次根据业务需要选用不同的网络设备。在核心层，选用模块化的Dlink公司的千兆交换机作为骨干交换机，构成超市网络的主干。企

33、业的关键数据库器，通过千兆直接连到核心集线器上；各区不同部门的桌面计算机或POS机通过100M/1000M接入二级千兆集线器上，构成接入层。按系统要求并根据超市布线系统的实际情况，网络系统以智能交换机为中心，采用星形结构，组成可动态调整的结构化网络。网络系统主要选用Dlink网络设备，通过路由设备可方便地与银行、税务、INTERNET等互连网络。43 主要技术路线双机热备，是为防止核心交换机出现故障，导致网络出现重大问题，为解决服务器的计划性停机与非计划性的解决方案。在核心层采用双机热备，即主-备方式。当一台主核心交换机在工作时，另一台处于备用状态。这时，楼层交换机与两台核心连接，但只与主核心

34、交换机通信。主核心交换机间和备用交换机通信，进行冗余备份同做一项任务。当主核心出现问题，备份交换机可立刻接过工作，使网络畅通。因此如要生成树优先设计，如下图图2生成树优先设计。默认连通与主核心交换机的连接，出现故障系统检测连通不了时，即打开与备份交换机之间的连接，保证全网络畅通。图2生成树优先设计端口聚合为现代交换机常用技术，将一组物理端口合并起来，形成一个逻辑通道。这样，交换机会认为这个逻辑通道为一个端口，以提供更高的带宽、更大的吞吐量和可恢复性的技术。技术如图图3端口聚合设计。图3端口聚合设计44 网络硬件设备（1）接入层交换机入层的功能是接入服务器和PC等终端设备，考虑到可靠性设计要求，

35、需要接入交换机能支持堆叠功能。（2）核心层交换机核心区是整个办公网络的枢纽，主要连接着服务器区和接入层、出口设备。承担了内部数据流量和对外数据流量，在逻辑上成为可靠性、安全设计的中心。核心区交换机需要满足5年的业务发展，并实现终端、服务器、出口无阻塞转发，这就要求设备的转发能力非常高。核心区采用高端交换机，采用双设备、双链路保障高可靠。同时为简化网络部署，要求两台交换机间部署集群，将两台交换机虚拟成一台交换机。核心区交换机在可靠性方面的要求还包括：l主控单元的备份；l支持电源模块的备份；l需要提供风扇模块化设计，支持单风扇故障；l支持所有模块的热插拔；l支持CPU防攻击；l需要提供完善的各种告

36、警功能。45 服务器设计(1)DNS服务器设计建立Intranet，其中一个必不可少的组成部分就是DNS（域名系统）。IP地址和机器名称的统一管理由DNS（DomainNameSystem）来完成的。本设计中加入了一台专门的DNS服务器，由其统一对IP地址进行管理，DNS服务器的IP地址为：192.168.10.2。(2)FTP服务器的设计FTP是Internet中一种广泛使用的服务，主要用来在两台机器之间（甚至是一同系统）传输文件。FTP采用C/S模式，FTP客户软件必须与远程FTP服务器建立连接并登录后才能进行文件传输。为了实现有效的FTP连接和登录，用户必须在FTP服务器进行注册，建立账

37、号，拥有合法的用户名和口令。46 网络配置与管理461 VLAN划分由于办公网络中大量使用交换机组建二层网络，合理的进行二层网络的划分，才能及保证业务隔离又保证业务效率。按照如下原则进行VLAN划分：区分楼层、业务VLAN，管理VLAN和互联VLAN ，按照楼层划分不同的VLAN，服务器区按照特定的业务类型（如Web，应用程序，数据）分成不同的VLAN，VLAN需连续分配，保证VLAN资源合理利用，预留一定数目VLAN，方便后续扩展表4VLAN和IP分配表表4VLAN和IP分配表VLAN用途IP网段网关地址VLAN100设备管理192.168.100.X/24192.168.100.254VL

38、AN2服务器网段192.168.0.X/24192.168.0.10VLAN3服务器网段192.168.1.X/24192.168.1.10VLAN4服务器网段192.168.2.X/24192.168.2.10VLAN5服务器网段192.168.3.X/24192.168.3.10VLAN6服务器网段192.168.4.X/24192.168.4.10VLAN1111楼172.111.1.X/24172.115.1.254VLAN112172.111.2.X/24172.115.2.254VLAN1212楼172.112.1.X/24172.116.1.254VLAN122172.112.2

39、.X/24172.116.2.254VLAN1313楼172.113.1.X/24172.117.1.254VLAN132172.113.2.X/24172.117.2.254创建VLAN、命名VLAN如图图4vlan命名图4 VLAN命名将0/3端口划分到vlan2如图图5端口划分。图5端口划分给0/3端口设置IP地址如图图6 IP地址设置 图6 IP地址设置462 IP地址分配与DHCP设置图7 DHCP测试图8 DHCP测试由图8可知，dhcp配置成功。图9DHCP-ping测试图10 DHCP路由跟踪图11辅助测试通过上述测试结果显示，超市内的任意一台电脑都可以访问互联网。图12辅助测

40、试上图说明，可以再内网任意一台主机上，用口令远程登录的路由器交换机上，远程管理的功能是成功的。463 访问控制列表在超市网络中的设置和管理访问控制列表（Access Control List，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。配置ACL后，可以限制网络流量，允许

41、特定设备访问，指定转发特定端口数据包等。如可以配置ACL，禁止局域网内的设备访问外部公共网络，或者只能使用FTP服务。ACL既可以在路由器上配置，也可以在具有ACL功能的业务软件上进行配置。ACL是物联网中保障系统安全性的重要技术，在设备硬件层安全基础上，通过对在软件层面对设备间通信进行访问控制，使用可编程方法指定访问规则，防止非法设备破坏系统安全，非法获取系统数据。在现实网络中，许多网络类型都有用到ACL技术，可见ACL在网络建设中的重要性，在该企业网中，合理的设计和定制ACL访问规则能够增加企业网网络的安全和方便网络的统一管理和维护。在超市内部的网络中应用ACL，不同的销售端划分到不同的V

42、LAN，销售端之间的访问关系可以通过对网络层的进行ACL访问控制，实现销售端之间的相互访问或者拒绝销售端之间的访问，对于同一个销售端之间的访问控制可以使用基于二层的访问控制列表进行访问控制。整个网络拓扑中还包含服务器区域，服务器中存储着超市里面所有的数据，重要性不言而喻。这里将使用ACL技术对服务器区域的服务器进行安全控制，实现访问关系和隔离。超市的主机店长可以访问其他销售端的主机，其他所有的销售端都不能访问超市主机店长，这里使用扩展ACL，并且将ACL应用到vlan虚接口的入口方向，因为对于扩展的ACL，是基于源目的IP地址进行访问控制，因此将ACL应用到靠近源地址的设备接口上，可以减少不必要的流量传输，对不符合要求的数据报文直接丢弃，避免在网络中传输占用网络带宽，这样可以对网络的高效性进行优化，具体实现代码如下：ACL配置 1Switch(config)#access-list 107 deny icmp any 192.168.1.0 0.0