湖南工程学院-网络实训-中小型企业网的组建(共38页).doc

精选优质文档-倾情为你奉上网 络 实 训 报 告课程名称 计算机网络 课题名称 中小型企业网的组建 专 业 班 级 学 号 姓 名 指导教师 2013年 1 月 10 日专心-专注-专业湖南工程学院网 络 实 训 任 务 书课程名称 计算机网络原理 课 题 中小型企业网组建 专业班级 学生姓名 学 号 指导老师 审 批 任务书下达日期 2012 年12 月 20 日任务完成日期 2013年 1 月 10 日网络实训任务书1. 设计内容与设计要求1.1设计内容1.1.1 中小型企业网的组建（1） 本设计模拟一家中小企业网络的需求，通过对网络架构组建方案的设计、基于安全的网络配置方案设计、服务器架设方案设计、企业网络高级服务设计等方面的仿真研究，详尽的探讨了对该网络进行规划设计时遇到的关键性问题，以及网络相关的服务。（2） 该设计主要包括（3） 技术选择及原理（4） 拓扑结构设计（5） IP 地址规划方案设计及设备配置（6） 服务器架设（7） 网络安全设计设计实施与测试方案（8） 设计实施与测试方案针对中小企业网络拓扑进行设计和分析，通过Cisco Packet Tracer 软件进行网络仿真配置和安全设计，给出网络规划设计解决方案。1.2设计要求1.2.1网络实训报告规范（1） 实训报告内容 需求分析： 从功能需求，性能需求，运行环境需求，可靠性需求，安全需求等方面进行分析。网络规划包括网络结构分析，网络架构设计，网络设备选用，IP地址规划，安全规划，网络拓扑图等。网络实施包括配置的思路，设计的原理及应用，具体的网络配置命令等。调试分析包括测试目标，测试数据，测试过程，测试结果等。心得体会参考文献评分表附件包括所有的配置命令 （2）书写格式课程设计报告装订顺序：封面、任务书、目录、正文、评分、附件（A4大小的图纸及程序清单）。 正文的格式:一级标题用3号黑体,二级标题用四号宋体加粗, 三级标题用小四号宋体加粗，正文用小四号宋体;行距为22。正文总字数要求在5000字以上（不含配置命令）。 1.2.2考核方式指导老师负责验收程序的运行结果，并结合学生的工作态度、实际动手能力、创新精神和设计报告等进行综合考评，并按优秀、良好、中等、及格和不及格五个等级给出每位同学的课程设计成绩。具体考核标准包含以下几个部分：（1）平时出勤 （占10%）（2）原理阐述，拓扑结构，交换设备配置合理与否（占10%）（3）实验结果是否正确（占40%）（4）设计报告（占30%）注意：不得抄袭他人的报告（或给他人抄袭），一旦发现，成绩为零分。（5）独立完成情况（占10%）。1.2.3 课程验收要求（1）运行所设计的系统。（2）回答有关问题。（3）提交课程设计报告。2. 进度安排第 18周：星期一 8：0012：00 上机 第 18 周：星期四 14：0018：00 上机第 19 周：星期一 8：0012：00 上机目 录网络实训报告1.需求分析1.1 项目背景该企业是一家生产研发型企业，主楼是一座三层办公大楼。整个办公楼有信息点大概100个，企业中心机房设在办公大楼三楼中间。1.2 需求分析 1.2.1 带宽性能需求现代企业网络应具有更高的带宽，更强大的性能，以满足用户日益增长的通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化，Web浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据。因此，数据流量将大大增加。所以，今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标准，核心层及骨干层必须具有万兆位级带宽和处理性能，适应网络规模扩大，业务量日益增长的需要。 1.2.2 稳定可靠需求现代企业的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通，保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来，网络通信的无中断运行已经成为保证企业正常生产运营的关键。 1.2.3 服务质量需求 现代企业网络需要提供完善的端到端QoS保障，以满足企业网多业务承载的需求。大型企业网络承载的业务不断增多，单纯的提高带宽并不能够有效地保障数据交换的畅通无阻，所以今天的大型企业网络建设必须要考虑到网络应能够智能识别应用事件的紧急和重要程度。同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现对业务的合理调度才是一个大型企业网络提供"高品质"服务的保障。 1.2.4 网络安全需求现代大型企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件，以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，这样才能有效地保证企业网络的稳定运行。 2.网络规划2.1 所需设备及线缆本课设用packet tracer模拟器进行试验，所用设备及线缆如下： 路由器（2台） 三层交换机（8台） 二层交换机（10台） 服务器（7台） 主机（11台） 串口线（1根） 直连双绞线（12根） 交叉双绞线（41根）2.2 网络拓扑图 本企业网共分三层： 核心层两台三层交换机 汇聚层6台三层交换机 接入层十台交换机 另外，内网通过一台路由器连接到外网ISP路由器。且ISP连接到外网WEB服务器。企业网内部有六台服务器。图2.1企业网拓扑图核心层与汇聚层拓扑图如图2.2所示：图2.2 核心层-汇聚层拓扑图汇聚层与接入层拓扑图如图2.3所示：图2.3 汇聚层-接入层拓扑图2.3 IP地址规划方案企业公网地址为 66.66.66.1 /30内部局域网地址为 192.168.0.0 /20 2.3.1 VLAN 规划为使部门间更方便管理，以及为企业网的安全性考虑，将本网络划分为10个VLAN，具体划分情况如表2.1所示：表2.1 VLAN划分部门VLAN地址范围（/24）默认网关管理1192.168.1.0192.168.1.1技术部2192.168.2.0192.168.2.1研发部3192.168.3.0192.168.3.1财务部4192.168.4.0192.168.4.1行政部5192.168.5.0192.168.5.1总经办6192.168.6.0192.168.6.1副总经办7192.168.7.0192.168.7.1服务器群8192.168.8.0192.168.8.1业务部9192.168.9.0192.168.9.1客户10192.168.10.0192.168.10.1 2.3.2 服务器地址 为方便对服务器进行访问、管理，将整个服务器群划分到VLAN8，并配置地址如表2.2所示：表2.2 服务器地址服务器名称IP地址VLAN网关备注DNS192.168.8.108192.168.8.1域名解析EMAIL192.168.8.208192.168.8.1邮件TFTP192.168.8.308192.168.8.1简单文件HTTP192.168.8.408192.168.8.1WWWFTP192.168.8.508192.168.8.1文件传输AAA192.168.8.608192.168.8.1AAA认证2.3.3 设备接口配置各设备及终端相连接口总表如表2.3、表2.4、表2.5所示：表2.3 核心层设备接口配置核心层接口名称IP/mask备注CORE1 f0/24172.16.1.2/24连接路由器f0/0CORE2 F0/24172.16.1.3/24连接路由器f0/1路由器f0/0172.16.1.1/24连接CORE1 f0/24路由器f0/1172.16.1.4/24连接CORE2 f0/24路由器s1/066.66.66.2/30连接ISP表2.4 汇聚层设备接口配置汇聚层设备名称端口号用途类型DSW1FastEthernet 0/1连接COER1TrunkDSW1FastEthernet 0/2连接COER2TrunkDSW1FastEthernet 0/3连接ASW1TrunkDSW1FastEthernet 0/4连接ASW2TrunkDSW1FastEthernet 0/5连接ASW3TrunkDSW1FastEthernet 0/6连接ASW4TrunkDSW1FastEthernet 0/7连接ASW5TrunkDSW1FastEthernet 0/8连接ASW6TrunkDSW2FastEthernet 0/1连接COER1TrunkDSW2FastEthernet 0/2连接COER2TrunkDSW2FastEthernet 0/3连接ASW1TrunkDSW2FastEthernet 0/4连接ASW2TrunkDSW2FastEthernet 0/5连接ASW3TrunkDSW2FastEthernet 0/6连接ASW4TrunkDSW2FastEthernet 0/7连接ASW5TrunkDSW2FastEthernet 0/8连接ASW6TrunkDSW3FastEthernet 0/1连接COER1TrunkDSW3FastEthernet 0/2连接COER2TrunkDSW3FastEthernet 0/3连接G2 ASW1TrunkDSW3FastEthernet 0/4连接G2 ASW2TrunkDSW3FastEthernet 0/5连接G2 ASW3TrunkDSW3FastEthernet 0/6连接G2 ASW4TrunkDSW4FastEthernet 0/1连接COER1TrunkDSW4FastEthernet 0/2连接COER2TrunkDSW4FastEthernet 0/3连接G2 ASW1TrunkDSW4FastEthernet 0/4连接G2 ASW2TrunkDSW4FastEthernet 0/5连接G2 ASW3TrunkDSW4FastEthernet 0/6连接G2 ASW4TrunkDSW5FastEthernet 0/1连接COER1TrunkDSW5FastEthernet 0/2连接COER2TrunkDSW5FastEthernet 0/3连接DNSAccessDSW5FastEthernet 0/4连接EMAILAccessDSW5FastEthernet 0/5连接TFTPAccessDSW6FastEthernet 0/1连接COER1TrunkDSW6FastEthernet 0/2连接COER2TrunkDSW6FastEthernet 0/3连接HTTPAccessDSW6FastEthernet 0/4连接FTPAccessDSW6FastEthernet 0/5连接AAAAccess表2.5 接入层设备接口配置接入层设备名称端口号VLAN用途类型MGRF0/1-F0/101主机接入AccessMGRF0/11-202主机接入AccessMGRF0/21连接DSW1TrunkMGRF0/22连接DSW2TrunkASW1F0/1-F0/203主机接入AccessASW1F0/21连接DSW1TrunkASW1F0/22连接DSW2TrunkASW2F0/1-F0/204主机接入AccessASW2F0/21连接DSW1TrunkASW2F0/22连接DSW2TrunkASW3F0/1-F0/205主机接入AccessASW3F0/21连接DSW1TrunkASW3F0/22连接DSW2TrunkASW4F0/1-F0/206主机接入AccessASW4F0/21连接DSW1TrunkASW4F0/22连接DSW2TrunkASW5F0/1-F0/207主机接入AccessASW5F0/21连接DSW1TrunkASW5F0/22连接DSW2TrunkG2 ASW1F0/1-F0/209主机接入AccessG2 ASW1F0/21连接DSW3TrunkG2 ASW1F0/22连接DSW3TrunkG2 ASW2F0/1-F0/209主机接入AccessG2 ASW2F0/21连接DSW3TrunkG2 ASW2F0/22连接DSW3TrunkG2 ASW3F0/1-F0/2010主机或AP接入AccessG2 ASW3F0/21连接DSW3TrunkG2 ASW3F0/22连接DSW3TrunkG2 ASW4F0/1-F0/2010主机或AP接入AccessG2 ASW4F0/21连接DSW3TrunkG2 ASW4F0/22连接DSW3Trunk2.4主要技术及其工作原理1)以太网（Ethernet）是一种计算机局域网组网技术。IEEE制定的IEEE 802.3标准给出了以太网的技术标准。它规定了包括物理层的连线、电信号和介质访问层协议的内容。以太网是当前应用最普遍的局域网技术。它很大程度上取代了其他局域网标准，如令牌环网（token ring）、FDDI和ARCNET。以太网的标准拓扑结构为总线型拓扑，但目前的快速以太网（100BASE-T、1000BASE-T标准）为了最大程度的减少冲突，最大程度的提高网络速度和使用效率，使用交换机（Switch hub）来进行网络连接和组织，这样，以太网的拓扑结构就成了星型，但在逻辑上，以太网仍然使用总线型拓扑和CSMA/CD（Carrier Sense Multiple Access/Collision Detect 即带冲突检测的载波监听多路访问）的总线争用技术。2)为实现交换机以太网路的广播隔离，一种理想的解决方案就是采用虚拟局域网技术。这种对连接到第2层交换机端口的网络使用者的逻辑分段技术实现非常灵活，它可以不受使用者物理位置限制，根据使用者需求进行VLAN划分；可在一个交换机上实现，也可跨交换机实现；可以根据网络使用者的位置、作用、部门或根据使用的应用程序、上层协议或者以太网路连接硬件地址来进行划分。3)某些的主机不需要静态的IP，因为其并非永久的使用该地址，当主机离开网络，就得释放这个 IP 地址，以给其它工作站使用，动态分配显然更加灵活。DHCP服务器工作原理如图2.4所示：图2.4 DHCP原理4) 在计算机网络中，网络地址转换（Network Address Translation或简称NAT，也叫做网络掩蔽或者IP掩蔽）是一种在IP数据包通过路由器或防火墙时重写源IP地址或/和目的IP地址的技术。这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中。NAT技术工作原理如图2.5所示：图2.5 NAT原理5)内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段。ACL技术工作原理如图2.6所示：图2.6 ACL原理6) 链路聚合如果聚合的每个链路都遵循不同的物理,则聚合链路也提供和容错。通过聚合链路或者数字线路,可用于改善对公共网络的访问。也可用于企业网络,以便在吉比特之间构建比特的主干链路。链路聚合工作原理如图2.7所示：图2.7 链路聚合原理7) TELNET是指用户使用Telnet命令，使自己的计算机暂时成为远程的一个仿真的过程。仿真等效于一个非智能的机器，它只负责把用户输入的每个字符传递给，再将主机输出的每个信息在上。Telnet工作原理如图2.8所示：图2.8 telnet原理2.5 网络安全规划设计安全不仅是单一PC的问题，也不仅是服务器或路由器的问题，而是整体网络系统的问题。所以网络安全要考虑整个网络系统，因此必须结合网络系统来制定合适的网络安全策略。 网络安全涉及到的问题非常多，如防病毒、防入侵破坏、防信息盗窃、用户身份验证等，这些都不是由单一产品来完成，也不可能由单一产品来完成，因此网络安全也必须从整体策略来考虑。网络安全防护体系必须是一个动态的防护体系，需要不断监测与更新，只有这样才能保障网络安全。调查显示，有超过70%的安全问题来自企业的内部，如何对员工进行网络安全教育，如何让员工参与网络安全建设，是网络安全要解决的核心问题之一。企业对信息系统的依赖性越来越强，电子商务公司没有网络是无法生存的，金融与电信等行业由于网络出问题所造成的损失是无法估量的。因此，安全是企业核心业务的保护神。 2.5.1 建立企业网络安全从安全角度看，企业接入Internet网络前的检测与评估是保障网络安全的重要措施。但大多数企业没有这样做，就把企业接入了Internet。基于此情况，企业应从以下几个方面对网络安全进行检测与评估。 1) 网络设备 重点检测与评估连接不同网段的设备和连接广域网(WAN)的设备，如Switch、网桥和路由器等。这些网络设备都有一些基本的安全功能，如密码设置、存取控制列表、VLAN等，首先应充分利用这些设备的功能。 2) 数据库及应用软件 数据库在信息系统中的应用越来越广泛，其重要性也越来越强，银行用户账号信息、网站的登记用户信息、企业财务信息、企业库存及销售信息等都存在各种数据库中。数据库也具有许多安全特性，如用户的权限设置、数据表的安全性、备份特性等，利用好这些特性也是同网络安全系统很好配合的关键。 3) E-mail系统 E-mail系统比数据库应用还要广泛，而网络中的绝大部分病毒是由E-mail带来的，因此，其检测与评估也变得十分重要。 4) Web站点 许多Web Server软件(如IIS等)有许多安全漏洞，相应的产品供应商也在不断解决这些问题。通过检测与评估，进行合理的设置与安全补丁程序，可以把不安全危险尽量降低。 2.5.2 建立安全体系结构 1) 物理安全 物理安全是指在物理介质层次上对存储和传输的网络信息进行安全保护，是网络信息安全的基本保障。建立物理安全体系结构应从3个方面考虑:一是自然灾害（地震、火灾、洪水）、物理损坏（硬盘损坏、设备使用到期、外力损坏）和设备故障（停电断电、电磁干扰）；二是电磁辐射、乘机而入、痕迹泄漏等；三是操作失误（格式硬盘、线路拆除）、意外疏漏等。 2) 操作系统安全网络操作系统是网络信息系统的核心，其安全性占据十分重要的地位。根据美国的“可信计算机系统评估准则”，把计算机系统的安全性从高到低分为4个等级：A、B、C、D。DOS、Windows 3.x/95、MacOS 7.1等属于D级，即最不安全的。Windows NT/2000/XP、Unix、Netware等则属于C2级，一些专用的操作系统可能会达到B级。C2级操作系统已经有了许多安全特性，但必须对其进行合理的设置和管理，才能使其发挥作用。如在Windows NT下设置共享权限时，缺省设置是所有用户都是“Full Control”权限，必须对其进行更改。2.5.3使用ACL封堵常见病毒端口大多数病毒都是通过TCP的135(Microsoft RPC)，136-139 (NetBIOS),445（Microsoft DS），1068,555，9996,2046，4444,1434，UDP的135，136,137,138 ,139 ,445, 5554, 9996, 2046, 4444, 1434利用Extended access-list禁用某些病毒的传播端口，并将IP访问列表应用到相应的VLAN和端口。Extended ACL 配置(以135端口为例)access-list 102 deny tcp any any eq 135将ACL应用到各VLAN，配置命令如下interface range vlan 1 - 10ip access-group 102 inip access-group 102 outexit配置命令后在路由器上使用show access-list 查看ACL的配置。3. 网络实施3.1 主要设备配置3.1.1 Router主要配置F0/0和F0/1配置为ip nat insideint f0/0-1 Ip nat insideS1/0配置为ip nat outsideint s1/0Ip nat outside创建一个地址池，66.66.66.1/248,使内网通过地址转换上公网Ip nat pool test 66.66.66.1 66.66.66.1 netmask 255.255.255.248Ip nat inside source list 1 pool test overload内网web服务器私网地址192.168.8.40映射为公网地址66.66.66.3Ip nat inside source static 192.168.8.40 66.66.66.3配置默认路由，下一跳为ISP的s1/0接口Ip route 0.0.0.0 0.0.0.0 serial1/0配置到内网的静态路由，下一跳为172.16.1.2Ip route 192.168.0.0 255.255.0.0 172.16.1.2配置到外网web服务器的静态路由，下一跳为66.66.66.2Ip route 202.0.0.0 255.255.255.0 66.66.66.2允许总经办和副总经办访问外网，禁止其他内网主机访问外网Access-list 1 permit host 192.168.6.0Access-list 1 permit host 192.168.6.0Access-list 1 deny any配置远程登录此设备密码为ciscoLine vty 0 4Password ciscoLogin3.1.2 CORE主要配置 开启三层路由功能 ip routing Ip routing F0/22和F0/23做链路聚合 Int f0/22-23 Switchport trunk encapsulation dot1q Switchport mode trunk Channel-group 1 mode on F0/1-F0/6配置接口类型为trunk，用dot1q封装，并允许所有VLAN通过 Int f0/1-6 Swtchport trunk encapsulation dot1q Switchport mode trunk 配置DHCP服务器，给VLAN10的客户提供动态IP地址，地址池为192.168.10.0，并排除192.168.10.1。设网关为192.168.10.1，DNS为192.168.8.10 ip dhcp pool client network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 dns-server 192.168.8.10 创建VLAN1-VLAN10，分别给它们分配地址为192.168.1.1-192.168.10.1。这十个地址作为每个VLAN的网关。 Int VLAN 1 Ip add 192.168.1.1 255.255.255.0 Int VLAN 2 Ip add 192.168.2.1 255.255.255.0 Int VLAN 3 Ip add 192.168.3.1 255.255.255.0 . Int VLAN 10 Ip add 192.168.10.1 255.255.255.03.1.3 DSW主要配置 所有连接核心交换机与接入层交换机或服务器的接口均配置为trunk，用dot1q封装，并允许VLAN1、VLAN8和各自对应的VLAN通过 Switchport trunk encapsulation dot1q Switchport mode trunk Switchport trunk allowed vlan 1,2,3,4,5,6,7,83.1.4 ASW主要配置 F0/1-F0/20配置为access端口，与交换机连接的端口配置为trunk端口，用dot1q封装，并允许VLAN1、VLAN8和各自所在VLAN通过 Int F0/1-20 Switchport mode access Int f0/21-22 Switchport trunk encapsulation dot1q Switchport mode trunk Switvhport trunk allowed vlan 1,2,3,4,5,6,7,8VLAN1作为管理VLAN，每台设备都给VLAN1配置一个ip地址3.2服务器配置配置一个A Record命名为，其指向的是Email服务器的IP地址（192.168.8.20）。然后配置POP与SMTP（Simple Mail Transfer Protocol）服务器的别名CNAME，指向。接下来配置一个类型为A Record的记录，并命名为 指向HTTP服务器，IP地址为192.168.8.40。3.2.1 Email服务器配置邮件的收发对每个企业都是不可少的一部分，搭建邮件服务器对企业的正常运转也有着重大的联系，下面进行邮件服务器的搭建。首先在邮件服务器上记录用户信息，其用户信息如下表3.1 Email上的用户记录UsernamePasswordyongyaqianyongyaqianzhushuaizhushuaiwuliwenwuliwenEmail服务器的域名配置为其中创建了几个用户，用于测试服务器是否正常工作。下面对PC1与PC2进行配置，PC2的配置信息与PC1基本相同，其配置信息如下图3.1 PC邮件服务配置信息下面测试从PC1发邮件到PC2，然后从PC2上检测邮件的收发图3.2 发送邮件点击send按钮后在PC2上检测是否能收到由PC1发出的邮件。下面是PC2上的收件箱视图图3.3 PC2收件箱如上输出所示PC2成功接收。这也意味着DNS上邮件服务器的配置没有出错。3.2.2 FTP服务器配置首先在FTP服务器上配置如下用户，配置图如下3.4FTP服务器配置在FTP上有一个默认用户，其用户名和密码都为cisco，然后自行配置了一个用户名为user1，密码为user1，的用户，另外RWDNL表明该用户具有Read，Write，Delete，Rename，list权限在PC上输入命令ftp 192.168.8.30连接到服务器，并使用文件传输服务。在服务器上取出一个名称为tt.bin 的文件，然后查看拓扑结构上的节点发生的变化。图3.5 FTP服务器测试PC1与FTP服务器正在进行文件传输，被标记的深绿色的点代表该节点者处于繁忙状态，表明文件正在传输。3.2.3 TFTP服务器配置路由器上的配置文件通常需要备份，此时就需要用到TFTP服务器，下面将路由器的运行配置文件保存到服务器图上。在路由器上输入命令copy running-config tftp 192.168.8.30，并将文件名保存为 router run然后在TFTP服务器上查看文件是否被保存了。3.6 TFTP服务器测试如上图所示路由器的running config 成功上传到TFTP服务器上，其名称为router run。3.2.4 HTTP服务器为了验证在HTTP服务器是否正常工作，在HTTP上编写一小段代码如下<html><center><font size='+2' color='blue'></font></center><hr>Welcome to .This small network infrastructure is edit by YONG YA QIAN cisco <p>Quick Links:<br><a href='helloworld.html'>A small page</a><br><a href='copyrights.html'>Copyrights</a><br><a href='image.html'>Image page</a><br><a href='image.jpg'>Image</a></html>接下来在任意一台计算机上输入 输出结果如下3.7 HTTP服务器测试如上图HTTP服务器正常工作。最后，考虑到将来企业的扩展，需要用到VPN服务，搭建AAA对未来企业发展起重要作用，AAA服务器目前用于路由器的telnet访问控制。这里只对服务器进行了简单的配置，和确保服务器的正常工作，具体配置还不太熟悉。4. 网络测试4.1 实验预测1) 实现整个网络互通。2) 配置ACL策略后，内网VLAN间不能互访：除总经办外都不能访问外网：除客户外都能访问内部服务器。3) 配置NAT，使得内网访问外网用公网地址，外网访问公司主页只能看到公网地址。4) 配置DHCP服务器，客户通过DHCP服务器动态获取IP地址，其他部门均用静态IP地址。5) 核心层交换机之间配置链路聚合，实现链路的冗余。6) 用户可telnet远程登录到设备上进行配置。7) 访问企业网站均可通过DNS服务器进行域名解析，直接用访问。8) 启用RSTP协议，减轻链路了负担。4.2 调试分析网络初步建成时，整个网络都能正常通信。1) 内网主机可通过域名解析访问内网服务器图4.1 内网主机访问内网WEB服务器2) 内网VLAN间可互通图4.2 内网VLAN间互访3) 内网可正常访问外网WEB服务器图4.3 内网主机访问外网WEB服务器经过静态地址配置，NAT配置和ACL策略等的配置后内网主机不能访问外网WEB地址，VLAN1-VLAN8的主机配置静态地址，VLAN10自动获取ip地址，外网只能通过公网地址访问企业内部服务器。4) 做策略后，内网主机不能访问外网图4.4 内网主机不能访问外网WEB服务器5) VLAN10客户动态获取ip地址图4.5 VLAN10客户动态获取ip地址6) 外网只能通过公网地址或域名访问企业内部WEB服务器图4.6 外网主机通过域名访问内网WEB服务器7) 用户可通过telnet登录到设备商对设备进行配置图4.7 用户通过telnet远程登录到设备上对设备进行配置4.3 结果分析1) 刚开始不知道如何组建企业网，在参考了很多个模型后有了自己的构想。2) 搭建好局域网后网络一直不通，后来发现是自己对VLAN的理解不够透彻，对三层交换机的用法也不熟悉。3) 由于网络结构有点繁杂，而很多地方都要重复同样的工作，经常会丢三落四。后来觉得应该把自己的实验过程