天汇企业的网络设计与实现.docx

《天汇企业的网络设计与实现.docx》由会员分享，可在线阅读，更多相关《天汇企业的网络设计与实现.docx（34页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、天汇企业网络的设计与实现 摘要：互联网技术与通信技术的相互带动作用，使得两者皆呈现多样化的快速发展趋势，5G的时代序幕在已经逐渐开启，由此引发的互联网技术和设备变革必然是各界人士关注的重点，几乎所有与计算机相关行业，都会迎来新的机遇。基于这个时代新的挑战，旧有的企业网络设计框架面对5G时代人们对于网络的需求提高，新挑战必然会出现问题，无法适应在移动通讯网络超过数千倍的增长使用需求，ipv6与ipv4更新，适应5G的新系统的适用，等等问题接踵而至，如何预先设计并搭建一个能够面对新需求的企业网络构架或改造旧有的网络环境，就是一个即将面对的问题。本文以设计能应对新环境新潮流为前提，满足现有网络设计需

2、求为基础这两个中心点展开，包含对未来新时代的需求挑战和机遇的分析，如5G和ipv6对于未来5年的影响展望，和现有网络合理优化。研究方法采用理论和实际相结合，理论上可用到真实的企业网络设计方案，文献对现有网络的分析，实际模拟则采用设备模拟器进行网络构建，结合企业网络现实出现的实施中和维护问题，以达到靠近真实环境。关键词：网络优化 ipv6 5G 企业网Design and implementation of Tianhui Enterprise NetworkSummary: The interaction of Internet technology and communication tec

3、hnology has led to a diversified and rapid development trend for both, and the prologue of the 5G era has been gradually opened, the resulting revolution in internet technology and equipment is bound to be the focus of attention, almost all computer-related industries, will usher in new opportunitie

4、s. Based on the new challenges of this era, the old enterprise network design framework faces the increasing demand for the network in the 5G era, and the new challenges will inevitably appear, unable to adapt to the growth of the use of the mobile communication network more than thousands of times,

5、 iPV6 and IPV4 UPDATE, adapt to the new 5G system, and so on, how to pre-design and build a new enterprise network architecture to meet the new demand or transform the old network environment, is a problem that will be faced.Based on the premise of responding to the new environment and the new trend

6、 and meeting the existing network design requirements, the two central points are developed, including an analysis of the demand challenges and opportunities of the new era in the future, such as the impact of 5G and IPV6 on the outlook for the next five years, and the existing network. The research

7、 method is based on the combination of theory and practice. In theory, the real enterprise network design scheme can be used. The existing network is analyzed in the literature, combined with the implementation and maintenance problems of the enterprise network reality, to achieve close to the real

8、environment.Keywords: etwork optimization ipv6 5G Enterprise Network目 录第一章 绪论71.1研究背景71.2项目研究的意义和目的81.3 课题研究内容8第二章 未来网络的分析92.1网络的未来前景92.1.1现代的网络环境分析92.1.2 5G的影响分析92.2 相关策略选择112.2.1堆叠技术替代vrrp作为选择112.2.2 企业内网络路由协议ospf与的is-is选择112.2.3 ipv6与ipv4连接问题12第三章 公司需求分析133.1 天汇公司业务现状和网络需求分析133.1.1 业务内容133.1.2 公司

9、对网络的设计需求大致目标143.1.3部门主机的硬件和功能需求142.1.3 ip地址的分析应用15第四章 具体设计164.1网络拓扑设计164.2子网划分164.2 vlan设计184.3 OSPF设计184.4 nat地址转换设计184.5 dhcp设计194.6 ipv4和ipv6的过渡设计194.5 网络安全实现204.5.1防火墙设计204.5.2安全策略设计204.9设备选型，和线路选择214.9.1 设备分析选型214.9.2 网络物理链路选择21第五章 具体实施225.1关于Vlan实施225.2关于ospf实施255.3关于nat配置275.4关于dhcp实施285.5关于防

10、火墙实施295.6关于策略实施30第六章 网络测试327.1 DHCP测试327.2NAT地址转换测试337.3 OSPF搭建连通性测试33参考文献35致谢36第一章 绪论1.1研究背景始于1969年美国将加利福尼亚大学、斯坦福大学、加利福尼亚大学、犹他州大学的核心计算机连接这一事件，标志着互联网的诞生。相对于其他历史悠久的行业，这个只有50年历史的新兴行业却使社会面貌运作方式，发生翻天覆地的改变，并使得世界逐步迈向以信息技术为发展核心的社会。计算机和通讯技术的发展带动了互联网，也带动了社会的步伐。 虽然中国互联网行业起步相对于西方国家较晚，但是在意识到推动工业互联网发展对我国经济发展意义重大

11、而深远后，党中央在政策上，为互联网发展上采取很多积极的措施和规划来推进信息化的发展。例如17年发行的推进互联网协议第六版（IPv6）规模部署行动计划，19年末，国家工程中心加入中国联通5G区块链合作伙伴计划，与中国联通网络技术研究院等企业签署5G 链网项目合作协议，建成用于数字通信的分组交换网和数字交换网，一系列“金”字工程等。这些都在说明互联网在政策的协助下的快速发展，也说明网络在整个社会的重要地位我国的互联网企业也在这个环境影响利用政策优势下飞快发展。但面对日益增长的企业需求和复杂多变的网络环境，对于互联网企业的初始的网络设计和后续管理也带来新的挑战。 网络工程设计与管理，从开始的简单粗放

12、，环境低适应性，低稳定性，到后来积累经验，形成流程规范，力求做到把握工程实施进度，质量上保证网络设计成果能达到预期水准，在经济上做到高性价比，可发展上做到可优化空间大，割接增设设备等操作也能保证原有的运行稳定，做到 工程建设管理流程 工程建设管理流程 引用自罗建, 刘承志等PMP 项目管理陕西师范大学出版社, 2001 年 5 月） 的需求。虽然当前已经设计理念和制度趋近完善，但网络环境的变化，企业网络随着使用消费需求的提升也要满足新的服务质量，删去旧有过时的理念，结合时代新需求，探讨设计一个网络设计模型与理念是非常具有社会意义。1.2项目研究的意义和目的互联网企业网络设计理念和管理措施趋渐完

13、善，但这大部分是为旧有的的网络设施服务，随着新的市场需求和新概念的出现，必须对网络设计，进行跟随时代的更新，滞后于当前社会的网络设计和扩展，不但会增加企业成本和压力，还可能无法满足企业业务需求。对于企业而言，合理网络工程的设计与应用，将极大的促进工作效率，进而优化的企业结构，节约企业开发运营的成本。而且具有前瞻性的网络构筑将更好的帮助企业转向智能化 流程电子化、管理数字化、生产自动化、运行网络化即使只是微小的改进只能提升1%的效率，在日积月累下也能为企业省下开销，产生数目可观的利益企业网络的设计完善为可以说是与市场并行，是与时俱进，自我优化的必然结果。在互联网行业，要做到把握先机，就必须先提升

14、自己，做到比同行业其他人更快更好，才能提升自身企业的竞争力。完善网络设计理念推进网络设计的发展对适应现代社会，甚至推动社会发展有着深远的意义。1.3 课题研究内容课题研究内容分为两部分 一部分是基于分析5G和ipv6在未来的发展状况，来思考如何对现有的网络设计进行改造，包括增加网络设计，摒弃过时的网络策略等。另一部分则是对现有的网络设计进行规划，包含网络ip的划分（ipv4），网络二层交换机的配置，路由策略的搭配，安全防护策略配置。另外补充关于网络搭建实际问题需要注意的要点，以及设备选型。第二章 未来网络的分析2.1网络的未来前景2.1.1现代的网络环境分析网络发展带动人与物互联互联网+逐步实

15、现，在网络基础设备足够完善的情况下，就可以给产品带来巨大附加效益，带来多个产业的崛起发展。对外，网络拉近了现代企业与社会群众之间的距离。对内，网络的合理设计构架维护，也是为开展以上业务进行基础建立。对内部企业网络的保护，也是对于企业，公司正常运转的保障，如阿里云的数据中心，就包含环境和设备监控系统，安全防范系统，消防安全系统等，此外还有多个冷备机房，线下冷备份，异地拷贝等这些多重可靠的网络设计和配套系统，共同维护着这个网络安全。对内的网络设计，也当学习其严谨性，在设计网络时候，实现网络稳定和安全，这两个最基本的诉求。2.1.2 5G的影响分析5G是未来网络行业一个重要的标志是，5G既第五代移动

16、通信技术。相对于4G来说就是更高数据速率、非常低的网络延迟、大型设备与连接端的紧密结合。在此的基础上AR,VR和未来游戏行业拥有新的展望，应用于医疗，军事上的实时模拟，交通的全面自动驾驶等设想开始诞生。还有关于万物互联的设想。（接下表）表2-1-2 3G-4G的发展历史预测进行分析4G未普及后的设想4G普及后的社会改变网络速达到实时放播效果，应用于新闻行业全面直播行业的诞生，虎牙斗鱼等新兴产业手机在线看电影的实现短视频app，短视频行业如bilibili，快手，抖音的崛起移动支付普及，手机与nfc信用卡结合二维码支付现金，步入交易无现金时代网络资费高昂只有少部分人使用4G 网络网络资费下降，适

17、用4Gwifi的普及由表可得分析出5G的普及毫无疑问是人们踏向下一个新网络时代的目标，是可以带动产业升级变化的新技术，是应该重视的问题。那么5G广泛应用实现的具体实现究竟有多远，而根据资料和行业现状的分析，至少在5年内，想要依靠5G改变未来网络的格局是不现实的现产业，5G的网络是超额满足当前社会个人对于网速的需求 出现大量带宽剩余。基于5G的 VR，AR设备缺失市场，自动驾驶的研发系统性价比偏低，至于万物互联，则需要依靠5G成熟 才能实现。 5G未来发展必然会引发巨大改革，但这个改变所遇到的阻力也同样大， 5G对于行业投入之高，行业没有5G产物能有利益点。对于网络设计上的理念是更新换代级别的，

18、基于5G来对现有网络设计的改变 的是不必要的，只需要有所相关部分考即可如4G接入5G网络-从新的巨额流量接入，旧有设备高效利用-多台设备的堆叠这两点 2.2 相关策略选择2.2.1堆叠技术替代vrrp作为选择首先，了解下两种策略VRRP：虚拟路由冗余协议把两台以上的路由设备，虚拟成一台合体的路由设备，新的虚拟路由设备的IP地址将承担被组合路由的网关作用。而且这个虚拟合体路由的网关设备出现问题的时候，可以在其体制内产生新的网关来承接原来网关的工作，满足网络的稳定性。合成的虚拟设备对外体现为一台虚拟路由器，实现链路冗余备份。堆叠：集群交换机系统，是将2台交换机通过专用的集群电缆链接起来，对外呈现为

19、一台逻辑交换机。通过交换机集群，可以实现网络高可靠性和网络大数据量转发，同时简化网络管理。具体特性如下：高可靠性：两台成员交换机能够互相连接备份，跨设备的链路冗余备份也是链路聚合的功能之一。网络的未来扩展能力优秀：堆叠的设置使得多个端口管理，命令配置和管理都比各自单个管理更加靠谱：这也使得只需要对单个交换机进行操作，就能对整个连接的系统交换机进行整合管理堆叠非常适合二层组网环境：堆叠的网络特性是没有产生环路的，多台交换机在同一网络的问题也不会出现。同时也满足对于网络高性能的要求,提升网络效果，适用于为未来接入5G做网络基础。2.2.2 企业内网络路由协议ospf与的is-is选择OSPF是由I

20、ETF标准组织制定的一种基于链路状态内部网关协议，当初研发出来是为代替RIP，具有不受跳速影响，合理规划可以容纳一千多台路由器的运转，具有可变长划分子网，收敛速度更快，以划分边界来缩短路由表项目提高路由运行速度,支持在不同区域的网络验证，可支持组播Is-is的协议也大多和ospf拥有类似的优势，但它不用使用IP地址，远程无法攻击，单个路由只属于一个区域，（ospf一个接口可以属于不同区域），没有区域概念但ospf有骨干区分，在IS-IS，不同等级级别的路由都采用一个算法，最短路径树SPT的生成由各自的路由产生，ospf则是一个区域一个spf算法，借用骨干路由转发信息。这两个都是分层的链路状态协

21、议，ospf优势在于对于流量区域的细分和调节，is-is则是其简化性质使得，网络可用性高和抗打击能力强。结合优势上，对于企业来说，一般都用OSPF，来进行对企业内部的管理 2.2.3 ipv6与ipv4连接问题Ipv4与ipv6的共存未来的趋势，nat技术使得延长ipv4的使用寿命，暂时解决了地址短缺的问题，但是ipv6的优越性时代性是比ipv4更适合应用在现代互联网的发展ipv4业务是目前广泛使用的网络协议，鉴与原有ipv4的规模，ipv4和ipv6两种协议会一同在网络中长期存在， ipv6的改造有多种模式，如双栈模式，NAT64这两种（隧道技术属于ipv6和ip6在ipv4网络下的链接）网

22、络协议主体是采用ipv4，如何把散落在各区域网络的ipv6相互联系起来，隧道技术就应运而生。要使用隧道技术下，路由器双方都得是双栈路由器，且都需要支持两端识别双协议。使用两个或多个双栈，是实现在ipv4网络为主体，ipv6相互连通的实用方案双栈方式是在网络设备上同时运行ipv4和ipv6两种路由协议，同时对外部用户提供ipv4和ipv6 网络访问服务。NAT64转换是把来自ipv6源地址的访问进行双向地址转换，即把源、目ip地址同时转换为ipv4 地址，来实现ipv4的服务地址对ipv6用户提供服务。第三章 公司需求分析3.1 天汇公司业务现状和网络需求分析3.1.1 业务内容天汇安保公司是一

23、家小型的安保企业，主要业务是为公民，法人，提供安保服务，按照签署的方案采取随身护卫等行为满足客户的安全需求，或为客户单位提供出入口值守，验证，检查登记的服务业务 天汇安保公司除了最高管理董事处下设有，六个部门财务部：负责核算财务收支支出，员工工资发放，确保资金周转平衡，行政部：管理其他部门相互协调，保证企业的技术，设计，生产，资金，经营，开发几大模块相互配合推进任务进程综合部：对食堂管理，企业办公用具，清洁问题市场部：对市场进行调查，搜寻市场中合适的客户，负责公司的安保业务推销，负责宣传公司的企业文化和实力人防部：公司内部的安保人员，维持公司的日常秩序，保护企业门口的安全，还有职编下负责外配到

24、客户下的安保人员客服部：对客户反应的接受部门，通过客户用于了解旗下工作人员（楼层a，第一层为财务部，第二层为董事处，第三四层为行政部）（楼层b，第一层为综合部，客服部，人防部，二层为市场部，第三层为市场部）（公司宿舍楼区为c共三层，可容纳120个员工，） 3.1.2 公司对网络的设计需求大致目标 安保企业基本上很少使用书面形式开展工作, 所有企业内部数据如数据库、操作记录等都需要使用网络来维护和保管,鉴于安保企业的特殊性，布局网络时需要考虑，用户资料安全保密，企业内外网络安全、企业网络的日常维护等各个方面。企业需要的网络规划应该涉及到网络的先进性、可扩展性、高可靠性、稳定性、高宽带、经济性等，

25、其中安全稳定是安保企业重要的需求 天汇安保公司的网络需要根据部门需求，来分配不同的网络配置表3-1-2 天汇公司部门主机数量需求表部门主机数量董事处10行政部30综合部5客服部5人防部5市场部40财务部5员工宿舍120Vlan1-82203.1.3部门主机的硬件和功能需求董事部：需要整个网络的最高权限，有稳定高速的带宽支持远程网络会议和大文件传输财务部：需要主机能够满足进行关于资产的购置，能计算且保存对于资本管理的账面，行政部：主要负责对公司内部进行行政管理，记录，处理公司内部事务，保存客户的资料信息综合部：需要对公司内部的物件进行统计计算，客服部：要求网络稳定，保证在外网与客户交流不会被网络

26、事故中断，影响到对客户的服务人防部：负责登记人员出入情况，门卫调查，管理公司内部监控视频市场部：需要能够进行绘图，美工，能够流畅运行高级修图工具的主机，对主机的显卡等硬件有较高要求，网络上要把设计成品，安全发送到董事处审批员工宿舍：常规的用户需求，每一个宿舍都要配置一个网络地址，需要提供可用的网线、以供使用，但不需要提供电脑，且要求与公司网络分隔。2.1.3 ip地址的分析应用IPv4地址资源耗尽，在2019年这些总共约43亿的IPv4地址已彻底分配给全球，这代表着没有更多IPv4地址可以分配给ISP或者其他大型网络基础设施提供商。公司鉴于当前的环境，对于网络有两种可用协议，一种是ipv4一种

27、是ipv6 即使存在一些局限，Ipv4是依然是当前成熟且广泛应用的网络协议，同时引用可ipv6进行补充，是适应现在企业网的选择。第四章 具体设计4.1网络拓扑设计图4-1-1 网络架构设计图说明：左侧是包含董事处等7个部门的100台主机，往上是配置S3700二层交换机，下方接入服务器，之后是汇聚层交换机，通往外网的数据经过R1转发通过FW1到达外部路由器，R3是负责转发员工宿舍的路由器。Serve1-3作为服务器加入网络。4.2子网划分根据各个部门的网络需求，来划分各个区域的网络需要220个子网ip，故使用网段为192.168.0.0的网段来作为公司内网网段来满足公司的网络需求A栋，共有45个

28、ip B栋，共有55个ipC栋，共有120个ip表4-2-1 IP地址规划部门/子网Pc数vlanIp 地址 网关DNS董事处10vlan 10192.168.1.1-192.168.1.11/192.168.1.2541.1.1.1行政部30vlan 30192.168.3.1-192.168.3.31192.168.2.2541.1.1.1客服部5vlan 20192.168.2.1-192.168.2.5192.168.3.2542.2.2.2市场部40vlan 40192.168.4.1-192.168.4.41192.168.4.2542.2.2.2人防部5vlan 50192.16

29、8.5.1-192.168.5.5192.168.5.2542.2.2.2财务部5vlan 60192.168.6.1-192.168.6.5192.168.6.2541.1.1.1综合部5vlan 70192.168.7.1-192.1687.5192.168.7.2542.2.2.2员工宿舍160vlan80192.168.8.1-192.168.8.61192.168.8.2543.3.3.3员工宿舍260vlan90192.168.9.1-192.168.9.91192.168.9.2543.3.3.34.2 vlan设计一般情况下,公司的网络结构都是由核心层、汇聚层的多层组合模式。千

30、兆以太网作为网络主干网。由二层接入交换机和汇聚层交换机来组成相对简易的网络架构组成靠谱高速的网络，网络系统的核心需要使用足够大型的网络设备来保证流量不拥塞。交换机系统即使使用堆叠无环结构，但本质上交换机在网络上需要注意的问题依然需要进行处理，使用vlan划分，能够更有效地减少网络的无效广播，更快的对网络传播速度进行优化在网络需求上，员工宿舍和企业网络需要进行网络的连通，在配置上，也要把其所属的vlan分割开来，避免员工宿舍的网络对企业内网进行渗透攻击。 VLAN子网划分, 把所属一个部门的用户划分到一个VLAN子网当中, 限制其他流量, 这是提高网络效率和避免网络冲突的优化方案。4.3 OSP

31、F设计在交换机设置完成下，相隔一个路由器下的主机是无法相互ping通的，这就导致行政处的a栋，无法对b栋的pc进行数据之间的互通，为了保证通信，可以选择ospf进行联络通信，由于静态，动态路由协议的局限以及相对于企业更适合，无环路、收敛速度快，能计算最优路由的ospf是较优的选择4.4 nat地址转换设计当前企业的下位地址依然保持ip4协议，在ip地址紧张，申请多个公网地址来使用显然不够现实，而为了与外网的路由器互联，实现公司对外网的访问需求，就需要配置NAT地址转换，4.5 dhcp设计公司网络的扩充，主机的添加，删减，都会使得原有的ip被浪费或需要管理员手动配置新的ip，有外来电脑需要接入

32、时，将会显得非常不方便，这时就需要配置dhcp来使得外接pc可以介入网络，而不用更改配置DHCP使服务器能够动态地为网络中的其他服务器提供IP地址，通过使用DHCP，就可以不给英特网中设置和维护静态IP地址。使用DHCP可以简化配置客户机的IP的工作，特别是当IP参数改变时，如网络的大规模变化而引起的IP地址和子网掩码的更改。4.6 ipv4和ipv6的过渡设计 该设计上采用双债模式，在企业需要进行ipv4和ipv6链接上的情况下，在接入ipv4 network和ipv6network的路由器上配置（支持ipv6路由器），配置命令为ipv6interface GigabitEthernet 0

33、/0/0ip addrrss 10.1.1.1 24ipv6 enableipv6 address 2001：:0001：FFFF 644.5 网络安全实现4.5.1防火墙设计安全防火墙在设计时, 应遵循一些被人普遍认同的原则, 贯彻下面三个理念有助于合理规划命令配置统一性原则:网络是一个整体的部分，不能各自各的进行管理防护。从网络需要对比较重要的部门如董事部，行政部进行更优先的保护，保证核心的网络安全能有有效实施简易:网络安全的内部设计太过于复杂或者过于难以进行维护改进，会不利于日常和日后管理，降低网络安全运行的效率，过多占用资源高效:网络安全高效的非常重要的, 防火墙的设计能够高效持续运行

34、，才是正常企业所需要的4.5.2安全策略设计路由器访问控制列表设定-Telnet，ABC栋的路由器在ospf环境下能相互ping通，但C栋所属的配置的是员工宿舍，与AB栋公司的网络连接需要进行限制，由此需要在ospf的基础上，设置访问控制列表，阻止来自c栋的数据包可以未经允许，直接访问AB栋的路由器，进而获取到公司的核心信息，防备员工盗取公司客户信息，但依然要允许a栋的pc能够管理到c栋员工宿舍的，保持a栋对c栋pc的日常维护访问控制列表能对网络流量监控，网络性能优化。安全策略也能对经过这一端口的目标进行控制，无论是流入还是流入，数据包都会被检测直到安全才能通过。例如在访问控制列表中，设置数据

35、来源或数据目的地址，对其进行拒绝通过，转发或者接入目的等操作，来实现对数据流的管控4.9设备选型，和线路选择4.9.1 设备分析选型交换机选择华为s3700交换机，由于该企业网络规模属于中小型，不适合采用过高性能要求的交换机，容易造成资源浪费。S3700系列企业交换机是华为公司的的三层以太交换机。选择该交换机是因为它适应于针对企业用户园区汇聚还有ipv4向IPv6过渡的能力，并且可支持堆叠、虚拟路由器冗余、快速环网保护等技术。这两个关键特性能有效增强网络健壮性，利于搭建面向未来的企业网络。路由器选择华为AR120，系列企业路由器是华为公司推出的面向中小型办公室或中小型企业分支的多合一路由器，提

36、供包括有线和无线的Internet接入、专线接入、融合通信及安全等功能，广泛部署于中小型园区网出口、中小型企业总部或分支等场景。其可配置acl安全策略等其他安全措施，保证企业内部网络的安全性，需控制用户对网络的访问，只有通过认证的用户，才允许访问管理员授权的网络资源。防火墙使用US5500 ，该系列产品采用全新的万兆多核硬件平台，面对企业海量业务处理零延迟，打造更高速的网络；融合先进的入侵防御和反病毒技术，支持丰富的路由协议，可节省用户投资，降低组网成本。支持IPv4和IPv6双协议栈工作方式，提供完整的IPv6特性和IPv4网络向IPv6网络平滑迁移的解决方案。能有效阻止Internet上的

37、黑客入侵、DDoS攻击，阻止内网用户访问非法网站，限制带宽，为内部网络提供一个安全可靠的网络环境。4.9.2 网络物理链路选择光缆鉴于其对数据的高效传输，光缆线路是现在网络线路比较普遍的选择, 但由于光缆网络线路可能会被环境等因素影响，需要选建设管道，把公司的光缆集中，避免出现光缆的传输被环境影响, 使得通信网络的运转出问题。需要设置管道对网络链路核心层使用光纤网络汇聚层使用光纤和双绞线相结合的接入方式。董事处，行政处使用光纤和双绞线相结合的接入方式。普通部门选择双绞线的接入方式。第五章 具体实施5.1关于Vlan实施该公司同一栋下同一交换机里，包含了不同部门的多个主机，处在同一个冲突域里面，

38、使得某用户pc容易收到大量不需要的报文，所有的主机共享传输渠道，主机之间可以互相ping通，无法控制信息的安全，降低了网络的传输安全和效率由此需要在交换机下，根据各部门来划分vlan，同一vlan可以进行数据交互，vlan内部的间主机无法相互ping通举例拓扑图为楼层A,，拓扑中每部门只取1台pc，实际需要把每一台pc的端口都添加到所属的vlan下，既在access口配置划分图4-2-1 vlan划分局部拓扑配置命令如下Interface e0/0/1Port link-type accessPort default vlan 10-Interface e0/0/2Port link-type

39、 accessPort default vlan 20Interface e0/0/3-Port link-type accessPort default vlan 30Interface e0/0/4-Port link-type accessPort default vlan 4lTrunk口配置公司要求行政处的pc能够对市场部，客服部等其他部门的主机进行访问，但其他部门之间不可以相互ping通，行政部与其他部门的通信，是公司日常的行政管理的需求，方便企业的技术，设计，生产，资金，经营，几大模块的相互配合，当前配置上，不同交换机上并没有相对应的vlan信息，各个部门无法识别其他pc的数据包

40、，也无法跨交换机发送vlan报文，这些vlan只在本地有意义，无法实现vlan跨区域通信。现要实现行政部的主机与其它部门主机通信，可以在核心层交换机上配置vlanif接口IP地址和子网掩码,同时交换机和核心层交换机设置trunk链路，并设置trunk允许通过对应vlan。首先，在access配置的基础上开始搭建（既划分vlan，添加端口），然后在三层交换机上 开始设置vlanif，实现跨区域通信功能模拟拓扑图如下图4-2-2 trunk配置拓扑图交换机命令如下添加vlan，并且设置access口和trunk口Vlan batch 20 30 40Int e0/0/1Port link-type

41、 accessPort default vlan 30Inter g0/0/1Port link-type trunkPort trunk allow-pass vlan 20 30 40Int g0/0/2Port link-type trunk其他交换机类似核心层交换机Lsw3 和lsw4要允许vlan 20 vlan30 能够通过，必须配置对应的vlan口让交换机能够识别不同vlan的数据包，并且设置vlan1添加ip作为连接，使得核心交换机能互相交换信息5.2关于ospf实施拓扑图如下（交换机在设置完成后已达成任务，故交换机在拓扑图中已省略）图4-3-1 ospf简化拓扑图在pc，和路

42、由上先配置上基础的端口配置之后在路由内开启ospf 1-area 0，添加连接端口所属的网段，R1图4-3-2 R1配置截图图4-3-3 R1配置截图在R2配置通告ospf的相邻网段R2图4-3-4 R2配置截图图4-3-5 R2配置截图在R2配置通告ospf的相邻网段R3图4-3-5 R3配置截图图4-3-5 R3配置截图在R3配置通告ospf的相邻网段5.3关于nat配置NAT的功能既在内网的主机访问外网时，把多个内网ip转换为一个可用的公网ip，实现地址转换， 满足公司部门对外访问需求，另外，可配置nat server技术实现，服务器可以供外网使用图4-4-1 nat地址转换简化拓扑图由

43、此模拟董事处pc，到外网的静态nat转换，r1上设置如下 添加到下一跳的默认路由，使用202.168.10.5作为被转化的公网ipInt g0/0/1Ip add 202.168.10.1 255.255.255.0 图4-4-2Ip route-static 0.0.0.0 0.0.0.0 202.168.10.2r2也只需要添加端口即可5.4关于dhcp实施公司设置使用 DHCP服务器上的IP地址数据库包含如下项目：在缓冲池中指定给客户机的有效IP地址，以及手工指定的保留地址。 外接ip所获得的租约时间即指定IP地址可以使用的时间。拓扑图（三层交换机配置access和trunk即可，略去三

44、层交换机）使用基于全局地址池配置的dhcp图4-5-1 dhcp拓扑图R1关于左交换机下的地址池分配图4-5-2 lsw1配置图关于右边交换机下的地址池分配图4-5-3 lsw2配置图该设置，保留了192.168.8.1-192.168.8.61 和192.168.9.1-192.168.9.61得已经配置的静态ip不会被分配，获取的有效期为1天5.5关于防火墙实施防火墙拓扑图如下（只取核心部分）图4-5-1-1 防火墙配置图基本区域设置，SRGacl 3000SRG-acl-adv-3000rule deny ip source 192.168.0.0 0允许192.168.0.0. 的ip

45、报文通过SRGfirewall interzone trust untrustSRG-interzone-trust-untrustpacket-filter 3000 outbound进行应用设置ftp服务通过防火墙SRGpolicy interzone trust untrust outbound SRG-policy-interzone-trust-untrust-outbound-1policy source192.168.1.0.0 SRG-policy-interzone-trust-untrust-outbound-1policy source 192.168.1.1 0SRG-

46、policy-interzone-trust-untrust-outbound-1policy destination 202.168.20.1 05.6关于策略实施扩展访问控制列表具有灵活性和可扩充性，即可以对同一地址允许使用某些协议通信流量通过，而拒绝使用其他协议的流量通过。图4-5-2-1 拓扑图进行aaa认证，R2，3设置为用户级别图4-5-2-2 策略配置图R1在aaa视图设置为管理员权限图4-5-2-3策略配置图设置完成，r1的路由器即使拥有密码，也无法进入r3，保证了a栋路由器的安全图4-5-3-4 策略配置图只用aaa认证并不安全且传输手段是明文不安全，为此可以加装alc配置图4-5-3-5策略配置图允许a栋r1来源的数据包的通过b2，隔断其他路由的数据包图4-5-3-6策略配置图进行调用，