中小型企业网络的构建-毕业论文.doc

中小型企业网络的构建 I 摘 要 随着现代科技的发展及计算机技术与通讯技术的结合，计算机几乎成了每个企业的必备设备，超过一半的企业拥有自己的网络。企业网络不仅可以提供给我们一个现代化的高效、快捷、安全的办公环境，还可以进行高速的数据传输和实现生产自动化。 本文根据网络构建的原则，从技术基础、方案选择、构建方法等方面对组建一个中小型企业网络进行了分析，在此基础上构建了网络的拓扑结构，并进行了详细的设计及配置，为一些类似的企业公司的网络建设提供了一个可供参考的模板。最后文章对网络建设过程中的一些实践经验进行了总结和讨论。 关键词：网络；交换机；路由器；服务器。 1 需求分析 1 1.1 网络平台实现的功能 1 1.2 网络平台的特点 1 2 网络系统设计 2 2.1 网络设计原则 2 2.2 网络设计模型 3 2.2.1 核心层 3 2.2.2 分布层 4 2.2.3 接入层 4 2.3 系统组成与拓扑结构 5 3 网络详细设计及配置 6 3.1 交换模块设计 6 3.1.1 接入层交换服务的实现－配置接入层交换机 6 3.1.2 分布层交换服务的实现－配置分布层交换机 10 3.1.3 核心层交换服务的实现－配置核心层交换机 15 3.2 广域网接入模块设计 17 3.2.1 配置接入路由器InternetRouter的基本参数 17 3.2.2 配置接入路由器InternetRouter的各接口参数 17 3.2.3 配置接入路由器InternetRouter的路由功能 18 3.2.4 配置接入路由器InternetRouter上的NAT 18 3.2.5 设置接入路由器InternetRouter上的ACL 19 3.3 远程访问设计和程访问模块设 21 3.4 服务器模块设计 22 4 系统总结 23 1 需求分析 1.1 网络平台实现的功能 1.实现企业内资源共享，提供管理应用系统，实现企业办公自动化。 2.接入Internet，共享网络资源。 3.企业拥有自己的IP地址和域名。 4.建立企业Email系统和内部通讯系统。 5.在公司主机上建立网站，提供对外宣传的信息平台。 1.2 网络平台的特点 网络平台是企业信息化的核心，要求具有高可靠性、高性能、良好可扩展性以及端到端的QoS服务质量保证。 高可用性必须是一个端到端的网络目标。网络设备、服务器集群、操作系统及网络接口卡必须作为一个统一的生态系统协同工作，以恢复任何服务器、链路或网络设备的故障。 在考虑设备硬件可靠性和连接链路冗余的同时，应关注网络系统在不同层次上对系统可用性的软件功能支持能力，另外容易被忽略的高可用性因素——统一的设备软件操作平台。如果不同设备采用不同的软件系统，兼容性、开放性和可扩展性都会受到影响。 QoS(服务质量保证)是保证向网络业务提供有品质的服务。它为网络中的数据划分优先级，对于某些数据，如语音、视频等，给予高的优先级，使他们在网络中优先传输，来保证通话及视频的质量。在应用系统较为简单的网络发展的初期，常常被对应于简单的概念，例如设备可以支持的队列数量等。在网络应用日趋复杂的环境下，如何在有限的网络资源里充分保障各类应用的实施，是一个非常复杂的问题，实施QoS，是端到端的概念，不是单个设备的问题，而是涉及整个园区网、甚至跨广域网的问题。QoS的管理和部署可能需要涉及到不同城市、不同厂区、不同大楼的每一台网络设备，甚至每一个端口。因此，在选择网络设备和供应商的时候，要擦亮眼睛看看供应商的QoS能做到什么程度。 2 网络系统设计 2.1 网络设计原则 1） 开放性：系统设计应采用开放技术、开放结构、开放系统组件和开放用户接口，以利于网络的维护、扩展升级及与外界信息的沟通。 2） 安全性：应能在可靠性的前提下，抵挡来自内部和外部的攻击；采用的安全措施有效、可信，能够在多层次上、以多种方式实现安全的控制。 3） 可靠性：系统及网络结构较为复杂，同时在部分子系统中存在较高的技术性，因此必须保证系统的稳定、可靠和安全运行，具有很高的MTBF(平均无故障工作时间)和极低的MTBR(平均无故障率)，提高容错设计，支持故障检测和恢复，可管理性强。网络必须是可靠的，包括网元级的可靠性，如引擎、风扇、单板、总计等；以及网络级的可靠性，如路由、交换的汇聚，链路冗余，负载均衡等。网络必须具有足够高的性能，满足业务的需要。具有容错功能，能满足企业所在地环境、气候条件，抗干扰能力强，对网络的设计、选型、安装、调试等各环节进行统一规划和分析，确保系统运行可靠。 4） 统一性：在系统的设计过程中，坚持“三统一”，即统一规划、统一标准、统一出口。 5） 经济性：在充分满足以上要求的前提下，应充分考虑到企业的经济承受能力，尽可能地节约投资，花好每一分钱。着眼于近期目标和长期的发展，选用先进的设备进行最佳性能组合，利用有限的投资构造一个性能最佳的网络系统。 6） 实用性：实用性设计应能满足目前对网络应用的要求，充分实现内部管理、信息化等要求，使网络的整体性能尽快得到充分的发挥，并且便于掌握。 2.2 网络设计模型 在中型企业网的设计中，一般采用层次化模型来设计网络拓扑结构。所谓“层次化”模型，就是将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。 “核心层-分布层-接入层”层次化网络设计模型有如下优点： l 节省成本：在采用层次模型之后，各层次各司其职，不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽，减少了对系统资源的浪费。 l 易于理解 ：层次化设计使得网络结构清晰明了，可以在不同的层次实施不同难度的管理，降低了管理成本。 l 易于扩展 ：在网络设计中，模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中，而不会蔓延到网络的其他地方。 l 易于排错：层次化设计能够使网络拓扑结构分解为易于理解的子网，网络管理者能够轻易地确定网络故障的范围，从而简化了排错过程。 2.2.1 核心层 核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。 园区网的核心层连接所有的分布层设备，必须能够尽可能高效地交换数据流。应具有如下特征： l 第2层和第3层的吞吐量非常高； l 不执行高成本或不必要的分组处理（访问列表、分组过滤）； l 支持高可用性的冗余和弹性； l 高级QoS功能。 应对园区网核心层中的设备进行优化，以提供高性能的第2层或第3层交换。由于核心层必须处理大量的园区网级数据，因此核心层设计必须简单、高效。 在本设计的核心层中，采用两台Cisco Catalyst 4006交换机组成双机热备份的核心交换机系统解决方案。为提高核心-网络的健壮性，实现链路的安全保障，本方案骨干核心层中可以采用VRRP（热备用路由器协议）。对于各个业务VLAN可以指向这个虚拟的IP地址作为网关，因此应用VRRP技术为核心交换机提供一个可靠的网关地址，以实现在核心层核心交换机之间进行设备的硬件冗余，一主两备，共用一个虚拟的IP地址和MAC地址，通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网络高效处理大集中数据提供了可靠的保障。 2.2.2 分布层 分布层将园区网的接入层和核心层连接起来。必须具备下述的功能： l 聚集多台接入层设备； l 较高的第3层分组处理吞吐量； l 使用访问列表和分组过滤器提供安全和基于策略的连接； l QoS功能； l 连接到核心层和接入层的高速链接具有可扩展性和弹性。 在分布层中，来自接入层设备的上行链路被聚合在一起。分布层交换机必须能够处理来自所有连接的设备的总流量。这些交换机必须拥有能提供高速链路的端口密度，以支持所有接入层交换机。 VLAN和广播域在分布层聚合在一起，需要支持路由选择、过滤和安全。该层的交换机还必须能够执行高吞吐量的多层交换。 2.2.3 接入层 接入层位于连接到网络的最终用户处。接入层交换机通常在用户之间提供第2层（VLAN）连接性。该层设备有时被称为大楼介入交换机，必须具备下述功能： l 低交换机端口成本； l 高端口密度； l 连接到高层的可扩展上行链路； l 用户接入功能，如VLAN成员资格、数据流和协议过滤以及服务质量（QoS）； l 使用多条上行链路提供弹性。 2.3 系统组成与拓扑结构 为了实现网络设备的统一，本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。 该企业网设计方案主要由以下四大部分构成：交换模块、广域网接入模块、远程访问模块、服务器群。 网络拓扑如下图所示： 3 网络详细设计及配置 这里我将使用思科的一款虚拟软件（cisco packet tracer）完成配置，该软件功能有限，一些配置并不能在该软件上实现。以下配置截图，皆来自该软件。 3.1 交换模块设计 3.1.1 接入层交换服务的实现－配置接入层交换机 接入层为所有的终端用户提供一个接入点。这里的接入层交换机采用的是Cisco Catalyst 2950 24口交换机（WS-C2950-24）。交换机拥有24个10/100Mbps自适应快速以太网端口，运行的是Cisco的IOS操作系统。　 1. 配置接入层交换机AccessSwitch1的基本参数 （1）设置交换机名称 设置交换机名称，也就是出现在交换机CLI提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要Telnet登录到若干台交换机以维护一个大型网络时，通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。 其中h是hostname 的简写，（在真实环境中也支持简写）可以用该命令实现设备的重命名。 （2）设置交换机的加密使能口令 加密口令为：enable secret +密码。 当用户在普通用户模式而想要进入特权用户模式时，需要提供此口令。此口令会以MD5的形式加密，因此，当用户查看配置文件时，无法看到明文形式的口令。 （3）设置登录虚拟终端线时的口令 Line vty 0 15 Password cisco Login Login 对这个配置很重要，没有他你就算配了密码也无法登陆。 对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理人员提供了很多的方便。但是，处于安全考虑，在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。 （4）设置终端线超时时间 为了安全考虑，可以设置终端线超时时间。在设置的时间内，如果没有检测到键盘输入，IOS将断开用户和交换机之间的连接。这里设置的是5分30秒。 （5）设置禁用IP地址解析特性 在交换机默认配置的情况下，当我们输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用命令no ip domain-lookup。可以禁用这个特性 （6）设置启用消息同步特性 有时，用户输入的交换机配置命令会被交换机产生的消息打乱。可以使用命令logging synchronous设置交换机在下一行CLI提示符后复制用户的输入。 2. 配置接入层交换机AccessSwitch1的管理IP、默认网关 接入层交换机是OSI参考模型的第2层设备，即数据链路层的设备。因此，给接入层交换机的每个端口设置IP地址是没意义的。但是，为了使网络管理人员可以从远程登录到接入层交换机上进行管理，必要给接入层交换机设置一个管理用IP地址。这种情况下，实际上是将交换机看成和PC机一样的主机。 给交换机设置管理用IP地址只能在VLAN1，即本征VLAN中进行。 为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关地址. 3. 配置接入层交换机AccessSwitch1的VTP 从提高效率的角度出发，在本企业网实现实例中使用了VTP技术。同时，将分布层交换机DistributeSwitch1设置成为VTP服务器，其他交换机设置成为VTP客户机。 这里接入层交换机AccessSwitch1将通过VTP获得在分布层交换机DistributeSwitch1中定义的所有VLAN的信息。 设置接入层交换机AccessSwitch1成为VTP客户机。 图中， ver是version的缩写。以后都将使用这些缩写。Vtp mode client命令设置该交换机为vtp的客户机模式，vtp ver 2命令设置使用vtp的版本号为2。 4. 配置接入层交换机AccessSwitch1端口基本参数：端口速度 可以设定某端口根据对端设备速度自动调整本端口速度，也可以强制将端口速度设为10Mpbs或100Mbps。在了解对端设备速度的情况下，建议手动设置端口速度。 设置接入层交换机AccessSwitch1的所有端口（1-24）的速度均为100Mbps。 int 是interface的缩写，是进入某个接口的命令；r 为range 的缩写，f为fastethernet（快速以太网接口）的缩写，f0/1 -24 表示快速以太网的0/1-0/24共24个接口。 5. 配置接入层交换机AccessSwitch1的接入端口 接入层交换机AccessSwitch1为终端用户提供接入服务。接入层交换机AccessSwitch1为VLAN10提供接入服务。 Swi为switchport的缩写，mo为mode的缩写，acc为access的缩写。用spanning-tree portfast来配置生成树快速端口。 （1）设置接入层交换机AccessSwitch1的端口1～22 如图所示，设置接入层交换机AccessSwitch1的端口1～端口24工作在接入模式。同时，设置端口1～端口22为VLAN 10的成员。 （2）设置快速端口 默认情况下，交换机在刚加电启动时，每个端口都要经历生成树的四个阶段：阻塞、侦听、学习、转发。在能够转发用户的数据包之前，某个端口可能最多要等50秒钟的时间（20秒的阻塞时间＋15秒的侦听延迟时间＋15秒的学习延迟时间）。 对于直接接入终端工作站的端口来说，用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间，可以设置将某端口设置成为快速端口（Portfast）。设置为快速端口的端口当交换机启动或端口有工作站接入时，将会直接进入转发状态，而不会经历阻塞、侦听、学习状态（假设桥接表已经建立）。 6. 配置接入层交换机AccessSwitch1的主干道端口 接入层交换机AccessSwitch1通过端口FastEthernet 0/23上连到分布层交换机DistributeSwitch1的端口FastEthernet 0/1。同时，接入层交换机AccessSwitch1还通过端口FastEthernet 0/24上连到分布层交换机DistributeSwitch2的端口FastEthernet 0/1。 这两条上连链路将成为主干道链路，在这两条上连链路上将运输多个VLAN的数据。 设置接入层交换机AccessSwitch1的端口FastEthernet 0/23、FastEthernet 0/24为主干道端口，即为配置这两个端口的中继。命令为switchport mode trunk 7. 配置接入层交换机AccessSwitch2、3、4、5 接入层交换机AccessSwitch2、3、4、5分别为VLAN 20、VLAN30、VLAN40、VLAN50的用户提供接入服务。同时，分别通过自己的FastEthernet 0/23 、FastEthernet 0/24上连到分布层交换机DistributeSwitch1、DistributeSwitch2的端口FastEthernet 0/2。 对接入层交换机AccessSwitch2、3、4、5的配置步骤、命令和对接入层交换机AccessSwitch1的配置类似。 3.1.2 分布层交换服务的实现－配置分布层交换机 分布层除了负责将接入层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能。 对分布层交换机DistributeSwitch1的基本参数的配置步骤与对接入层交换机AccessSwitch1的基本参数的配置类似。这里，只给出实际的配置。 1．配置分布层交换机DistributeSwitch1的管理IP、默认网关 显示了为分布层交换机DistributeSwitch1设置管理IP并激活本征VLAN。同时，还设置了默认网关的地址。 add为address的缩写； no sh 即为no shutdown，开启端口。 2．配置分布层交换机DistributeSwitch1的VTP 当网络中交换机数量很多时，需要分别在每台交换机上创建很多重复的VLAN。工作量很大、过程很繁琐，并且容易出错。我们常采用VLAN中继协议（Vlan Trunking Protocol，VTP）来解决这个问题。 VTP允许我们在一台交换机上创建所有的VLAN。然后，利用交换机之间的互相学习功能，将创建好的VLAN定义传播到整个网络中需要此VLAN定义的所有交换机上。同时，有关VLAN的删除、参数更改操作均可传播到其他交换机。从而大大减轻了网络管理人员配置交换机负担。 在本企业网实现实例中使用了VTP技术。同时，将分布层交换机DistributeSwitch1设置成为VTP服务器，其他交换机设置成为VTP客户机。 （1） 配置VTP管理域 vtp domain cisco 共享相同VLAN定义数据库的交换机构成一个VTP管理域。每一个VTP管理域都有一个共同的VTP管理域域名。不同VTP管理域的交换机之间不交换VTP通告信息。将VTP管理域的域名定义为“cisco”。 （2） 设置VTP服务器 vtp mode server 工作在VTP服务器模式下的交换机可以创建、删除VLAN、修改VLAN参数。同时，还有责任发送和转发VLAN更新消息。 （3） 激活VTP剪裁功能 vtp pruning 默认情况下主干道传输所有VLAN的用户数据。有时，交换网络中某台交换机的所有端口都属于同一VLAN的成员，没有必要接收其他VLAN的用户数据。这时，可以激活主干道上的VTP剪裁功能。当激活了VTP剪裁功能以后，交换机将自动剪裁本交换机没有定义的VLAN数据。 在一个VTP域下，只需要在VTP服务器上激活VTP剪裁功能。同一VTP域下的所有其他交换机也将自动激活VTP剪裁功能。 下图为该交换机的配置参数： 3．在分布层交换机DistributeSwitch1上定义VLAN 在本企业网实现实例中，除了默认的本征VLAN外，又定义了6个VLAN。 由于使用了VTP技术，所以所有VLAN的定义只需要在VTP服务器，即分布层交换机DistributeSwitch1上进行。 如图所示，定义了6个VLAN，同时为每个VLAN命名。 4．配置分布层交换机DistributeSwitch1的端口基本参数 分布层交换机DistributeSwitch1的端口FastEthernet 0/1～FastEthernet 0/5连到接入层交换机AccessSwitch1-5的端口FastEthernet 0/23，端口FastEthernet 0/10～FastEthernet 0/12为服务器群提供接入服务。此外，分布层交换机DistributeSwitch1还通过自己的千兆端口GigabitEthernet 1/1上连到核心交换机CoreSwitch1的GigabitEthernet 0/1。　 为了实现冗余设计，分布层交换机DistributeSwitch1还通过自己的千兆端口GigabitEthernet 1/2连接另一台到分布层交换机DistributeSwitch2的GigabitEthernet 1/2。 给出了对所有访问端口、主干道端口的配置步骤和命令。 设置分布层交换机DistributeSwitch1的各端口参数 其中，f0/1-f0/5，gi1/1,gi1/2都被配为中继端口，端口f0/10-f0/12被划分给VLAN 100。swi 为switchport的缩写， acc为 access的缩写， gi为 gigabitEthernet的缩写， 5．配置分布层交换机DistributeSwitch1的3层交换功能 分布层交换机DistributeSwitch1需要为网络中的各个VLAN提供路由功能。这需要首先启用分布层交换机的路由功能。 接下来，需要为每个VLAN定义自己的默认网关地址， 此外，还需要定义通往Internet的路由。这里使用了一条缺省路由命令， 其中，下一跳地址是Internet接入路由器的快速以太网接口FastEthernet 0/0的IP地址。6．配置分布层交换机DistributeSwitch2 分布层交换机DistributeSwitch2的端口FastEthernet 0/1-5分别下连到接入层交换机AccessSwitch1-5的端口FastEthernet 0/24。 此外，分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet1/1上连到核心交换机CoreSwitch2的GigabitEthernet 0/1。 对分布层交换机DistributeSwitch2的配置步骤、命令和对分布层交换机DistributeSwitch1的配置类似。 3.1.3 核心层交换服务的实现－配置核心层交换机 1．配置核心层交换机CoreSwitch1的基本参数 对核心层交换机CoreSwitch1的基本参数的配置步骤与对接入层交换机AccessSwitch1的基本参数的配置类似。这里，只给出实际的配置步骤，不再给出解释。 2．配置核心层交换机CoreSwitch1的管理IP、默认网关 如图所示，显示了为核心层交换机CoreSwitch1设置管理IP并激活本征VLAN。同时，还设置了默认网关的地址。 3．配置核心层交换机CoreSwitch1的的VLAN及VTP 在本实例中，核心层交换机CoreSwitch1也将作为VTP客户机。 这里核心层交换机CoreSwitch1将通过VTP获得在分布层交换机DistributeSwitch1中定义的所有VLAN的信息。 完整命令为：vtp mode client 4．配置核心层交换机CoreSwitch1的端口参数 核心层交换机CoreSwitch1通过自己的端口FastEthernet 0/22同广域网接入模块（Internet路由器）相连。同时，核心层交换机CoreSwitch1的端口GigabitEthernet 0/1～GigabitEthernet 0/2分别下连到接入层交换机DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 1/1。 如图所示，给出了对上述端口的配置命令。 此外，为了提供主干道的吞吐量以及实现冗余设计，在本设计中，将核心层交换机CoreSwitch1的千兆端口GigabitEthernet 2/1、GigabitEthernet 2/2捆绑在一起实现2000Mbps的千兆以太网信道，然后再连接到另一台核心层交换机CoreSwitch2。 下面是设置核心层交换机CoreSwitch1的千兆以太网信道的步骤。 5．配置核心层交换机CoreSwitch1的路由功能 核心层交换机CoreSwitch1通过端口FastEthernet 0/22同广域网接入模块（Internet路由器）相连。因此，需要启用核心层交换机的路由功能。同时，还需要定义通往Internet的路由。这里使用了一条缺省路由命令，如图所示。其中，下一跳地址是Internet接入路由器的快速以太网接口FastEthernet 0/0的IP地址。 6．核心层交换机CoreSwitch2的配置 核心层交换机CoreSwitch2的配置步骤、命令和对核心层交换机CoreSwitch1的配置类似。这里，不再详细分析。同时，对于配置核心层交换机CoreSwitch2下连的一系列交换机，其连接方法以及配置步骤和命令同核心层交换机CoreSwitch1下连的一系列交换机的连接方法以及配置步骤和命令类似。这里，也不再赘述。 3.2 广域网接入模块设计 在本设计中，广域网接入模块的功能是由广域网接入路由器InternetRouter来完成的。采用的是Cisco的2811路由器。它通过添加WIC-2T模块上带的串行接口serial 0/0使用DDN（128K）技术接入Internet。它的作用主要是在Internet和企业网内网间路由数据包。除了完成主要的路由任务外，利用访问控制列表（Access Control List，ACL），广域网接入路由器InternetRouter还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。 3.2.1 配置接入路由器InternetRouter的基本参数 对接入路由器InternetRouter的基本参数的配置步骤与对接入层交换机AccessSwitch1的基本参数的配置类似。 3.2.2 配置接入路由器InternetRouter的各接口参数 对接入路由器InternetRouter的各接口参数的配置主要是对接口FastEthernet 0/0以及接口Serial 0/0/0的IP地址、子网掩码的配置。 如图2-3所示，显示了为接入路由器InternetRouter的各接口设置IP地址、子网掩码。 3.2.3 配置接入路由器InternetRouter的路由功能 在接入路由器InternetRouter上需要定义两个方向上的路由：到企业网内部的静态路由以及到Internet上的缺省路由。 到Internet上的路由需要定义一条缺省路由，如图所示。其中，下一跳指定从本路由器的接口serial 0/0/0送出。 到企业网内部的路由条目可以经过路由汇总后形成两条路由条目。如图所示。 3.2.4 配置接入路由器InternetRouter上的NAT 为了接入Internet，本企业网向当地ISP申请了9个IP地址。其中一个IP地址：193.1.1.1被分配给了Internet接入路由器的串行接口，另外8个IP地址：202.206.222.1～202.206.222.8用作NAT。 NAT的配置可以分为以下几个步骤。 （1）定义NAT内部、外部接口 Ip nat inside 定义端口为内部端口； Ip nat outside定义端口为外部端口。 （2）定义允许进行NAT的内部局部IP地址范围 内部地址范围为： 192.168.0.1-192.168.0.254，……，192.168.7.1-192.168.7.254，192.168.100.1-192.168.100.254八个子网。 （3）为服务器定义静态地址转换 将服务器的内部IP地址改为公有地址。 （4） 为其他工作站定义动态地址转换 将一个网络中的所有需要转换的私有地址用一个ACL来表示，再从ISP注册到的共有地址一个地址池来表示，最后再将ACL与地址池做动态的转换。 将除服务器外的内部IP随机转换为地址池内的202.206.222.4 - 202.206.222.8的公有地址。Cisco为地址池名。 3.2.5 设置接入路由器InternetRouter上的ACL 在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该做以下的ACL设计： （1）对外屏蔽简单网管协议，即SNMP。 利用这个协议，远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型：SNMP和SNMPTRAP。 对外屏蔽简单网管协议SNMP： （2）对外屏蔽远程登录协议telnet 首先，telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。其次，telnet可以登录到大多数网络设备和UNIX服务器，并可以使用相关命令完全操纵它们。这是极其危险的，因此必须加以屏蔽。　 对外屏蔽远程登录协议telnet： （3）对外屏蔽其它不安全的协议或服务 这样的协议主要有SUN OS的文件共享协议端口2049，远程执行（rsh）、远程登录（rlogin）和远程命令（rcmd）端口512、513、514，远程过程调用（SUNRPC）端口111。可以将针对以上协议综合进行设计，如图所示。 （4）针对DoS攻击的设计 DoS攻击（Denial of Service Attack，拒绝服务攻击）是一种非常常见而且极具破坏力的攻击手段，它可以导致服务器、网络设备的正常服务进程停止，严重时会导致服务器操作系统崩溃。 （5）保护路由器自身安全 作为内网、外网间屏障的路由器，保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器，必须对路由器的访问位置加以限制。 应只允许来自服务器群的IP地址访问并配置路由器。这时，可以使用ACCESS-CLASS命令进行VTY访问控制。如图所示 3.3 远程访问设计和程访问模块设 远程访问也是园区网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。 远程访问有三种可选的服务类型：专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同，花费也不相同。在本设计中，由于面对的用户群规模、业务量较小，所以采用了异步拨号连接作为远程访问的技术手段。 异步拨号连接属于电路交换类型的广域网连接，它是在传统公共交换电话网（Public Switched Telephone Network，PSTN）上提供服务的。传统PSTN提供的服务也被称为简易老式电话业务（Plan Old Telephone System，POTS）。因为目前存在着大量安装好的电话线，所以这样的环境是最容易满足的。因此，异步拨号连接也就成为最为方便和普遍的远程访问类型。 广域网连接可以采用不同类型的封装协议，如HDLC、PPP等。其中，PPP除了提供身份认证功能外，还可以提供其他很多可选项配置，包括链路压缩、多链路捆绑、回叫等，因此更具优势。也是本设计所采用的异步连接封装协议。 PPP提供了两种可选的身份认证方法：口令验证协议PAP（Password Authentication Protocol，PAP）和质询握手协议（Challenge Handshake Authentication Protocol，CHAP）。 PAP是一个简单的、实用的身份验证协议。PAP认证进程只在双方的通信链路建立初期进行。如果认证成功，在通信过程中不再进行认证。如果认证失败，则直接释放链路。 CHAP认证比PAP认证更安全，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，也被称为"挑战字符串"。同时，身份认证可以随时进行，包括在双方正常通信过程中。因此，非法用户就算截获并成功破解了一次密码，此密码也将在一段时间内失效。 3.4 服务器模块设计 服务器模块用来对企业网的接入用户提供各种服务。在本设计方案中，所有的服务器被集中到VLAN 100构成服务器群并通过分布层交换机DistributeSwitch1的端口fastethernet 10～12接入企业网。 企业网提供的常见的服务（服务器）包括： 　　 WEB服务器：提供WEB网站服务。 内部IP：192.168.100.1 外部IP：202.206.222.1 邮件服务器：提供邮件收发服务。 内部IP：192.168.100.2 外部IP：202.206.222.2 数据库服务器：提供各种数据库服务。 内部IP：192.168.100.3 外部IP：202.206.222.3 4 系统总结 本文所构建的网络适合中小规模企业，在此基础上，适当降低设备和系统配置，可以用在工作组级别的机构上；而提高硬件和软件系统的级别，也可以扩充到大型企业级规模。然而，技术是网络组建的主要考虑因素，但是网络的构建往往受到经费的制约，因此，高的性价比是决定的因素。 致谢 在完成本毕业设计的过程中，作者得到了刘晓霞老师的大力支持，同学们的热情协助，在有限的时间内，最快的完成了本设计。 在此，我谨向提供帮助的各位老师及同学致以深深的感谢！ 参考文献 [1] Steve McQuerry. CCNA 自学指南：Cisco 网络设备互连.人民邮电出版社，2005 [2] Diane Teare、 Catherine Paquet. 园区网络设计.人民邮电出版社，2007 [3] Richard Deal. CCNA学习指南. 人民邮电出版社，2009 [4] 崔北亮. CCNA学习与实验指南. 电子工业出版社，2010 [5] Kevin Wallace. CCNP TSHOOT 认证考试指南. 人民邮电出版社，2010 [6] Wendell Odom. CCNP ROUTE 认证考试指南. 人民邮电出版社，2010 [7] David Hucaby. CCNP SWITCH 认证考试指南. 人民邮电出版社，2010 [8] 王相林. 组网技术与配置. 清华大学出版社，2009 23