超能公司网络组建毕业论文.docx

《超能公司网络组建毕业论文.docx》由会员分享，可在线阅读，更多相关《超能公司网络组建毕业论文.docx（36页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、 毕 业 设 计 (论文) 题目：超能公司网络组建系（部）： 信息工程系专 业： 计算机网络技术姓 名： 学 号： 指导教师： 毕业设计（论文）任务书 毕业设计（论文）题目:超能公司网络组建 毕业设计（论文）内容:本设计主要针对企业中的各个部门之间来规划和设计网络。根据企业网整体的网络情况进行设计与规划。先根据经理部、财务部等部门所应用的各种功能及要求进进行分析，再根据分析得到的结果设计网络方案和逻辑拓朴与物理拓扑，最后进行现场施工并进行调试。 毕业设计（论文）专题部分:在当代社会，网络安全性和可靠性已经上升到非常重要的一个部分了，一个网络是否安全与可靠能关系到这个企业的长远发展，这里我论述以

2、网络安全加固以及保证网络的可靠运行为主并在其中运用了VLAN划分、防火墙原理、MSTP与VRRP、以及ACL配置等众多先进技术，以及选用高可靠性设备，我相信在我的设计下，可以使网络安全级别和可靠性得到保证。 指导教师: 签字 年 月 日教研室主任: 签字 年 月 日系（部）主任: 签字 年 月 日 中文摘要本文针对企业局域网在组建和网站建设中的各种实际问题，从原理和实际应用上进行分析，特别是网络安全方面，列出了一些可能出现的安全因素，并给出解决办法，对将要组建或正在建设局域网的企业具有一定的指导意义。随着网络的逐步普及，企业网络的建设是企业向信息化发展的必然选择，企业网网络系统是一个非常庞大而

3、复杂的系统，它不仅为现代化企业综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。而企业网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设计课题将主要通过对小型企业局域网络建设过程可能用到的各种技术及实施方案的介绍和分析，为企业网的建设提供理论依据和实践指导。关键词：企业网；Internet；网络协议；服务器；防火墙AbstractAiming at all kinds ofpractical problemsin building andconstruction site in theenterpri

4、se LAN,analyzes from thetheory andpractical application,especially the network security,lists somepossiblesafetyfactor,and givesolutions,has certainguiding significance forto be formedor are buildingtheenterpriselocal area network.With the gradual popularization of the network,enterprise network con

5、structionis the inevitable choice for enterpriseto the development of information technology,enterprise networksystem is a veryhuge and complicated system,it not onlybasic operationplatform fora series ofapplication of modernenterprise integrated information managementand office automation and other

6、offers,but also can provide various applicationservices,so that information can betimely,accuratelytransmittedto the various systems.But the enterprisenetwork in the construction ofthe main application of theimportant branch ofLANtechnology and network technologyin theconstruction and management,the

7、reforethis graduation designtopic will bemainly through the introductionand analysis of varioustechnical and implementation optionsmay be usedfor smallenterpriselocal area network constructionprocess,providingthe theory basis and the practice instructionfor the enterprise network construction.Keywor

8、ds:enterprise network;Internet;network protocol;server;firewall目录一、企业网的背景81.1、组建网络的背景81.2、组建网络的需求分析8二、网络整体规划102.1逻辑拓扑102.2物理拓扑112.3接入Internet设计112.4 IP地址规划112.5传输介质12三、网络设计133.1可靠性设计133.2安全性设计133.3网络管理14四、网络设备的选型及配置144.1核心层144.2分布层184.3接入层204.4安全设备254.5服务器26五、综合布线设计265.1设计原则265.2项目施工流程分析27六、网络安全与维护2

9、96.1网络安全296.2网络维护32七、结论35八、结束语35九、参考文献36十、附录36前言计算机网络是指通过传输媒休连接的多部计算机组成的系统，使登录其上的所有用户能够共享软硬件资源。计算机网络如按网络的组建规模和延伸范围来划分的话，可分为局域网(Local Area Network,LAN)、城域网(Metropolitan Area Network,MAN)、广域网(Wide Area Network,WAN)。我们经常用到的因特网(Internet)属于广域网，企业网属局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展。随着信息技术的发展，电脑的普及使用率越

10、来越高，在同一地点多台电脑同时工作的情况越来越多，如高校的开放计算实验室、网吧、办公室等地方，没联网的单机很难想象。为了方便维护、管理、共享信息资源等目的，常常需要把所有的单机联成网络，这种小规模局域网络的搭建十分实用。随着人们对于信息资源共享以及信息交流的迫切需求，促使网络技术的产生和快速发展，计算机网络的产生和使用为人类信息文明的发展带来了革命性的变化。企业网的建成和使用，对于一个企业来说，产品的介绍、销售、技术服务和售后服务等越来越多地采用网络的形式来完成，最主要的优点是：方便、快捷和成本低廉。其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、Intranet/Int

11、ernet的应用、网络安全，网络系统的维护等内容。一、企业网的背景1.1、组建网络的背景 超能公司是家中等规模企业的网络公司，公司分布情况主要有财务部、销售部、技术部、经理部四个部门。本方案主要是建设公司网络系统，总体建设目标是建设公司的内部局域网，实现公司内部网络的高速互通，各个部门利用内部网络接入Internet，以充分利用因特网上的资源。1.2、组建网络的需求分析1.2.1 用户具体的需求 超能公司目前开展的企业网建设，旨在推动公司的信息化建设，其最终建设目标是将公司建设成了一个借助信息化办公和管理的高水平的智能化、数字化的企业网络，满足企业信息化的要求，为各类应用系统提供方便，快捷的信

12、息通路，具有良好的性能，能够支持大容量和实时性的各类应用，能够可靠的运行，具有较低的故障率和维护要求。公司的网络系统是建立在高速光纤网的基础上，构建内网相互独立的网络系统，以提供安全的办公局域网和可访问Internet的网络系统。实现各部门内部和各部门之间公共网络化，构建网络信息共享，实现资源共享，为各部门提高办事效率办事透明度以及快速反应提供可靠的保障。网络系统主要是以光纤作为传输媒介、IP和Internet技术为技术主体、核心路由器为交换中心、下属部门信息网络系为分接点的多层结构、提供与各种网络技能相关的、功能齐全、技术先进、资源统一的网络应用系统。网络系统建设主要实现以下功能： 1系统主

13、干采用百兆以太网交换，下属子网采用百兆以太网，采用TCP/IP协议，提供标准化的高速度主干网连接，实现100Mb/s交换到桌面的网络。使用三层交换机来代替路由，实现数据的快速转发； 2企业网络内部资源的共享，包括文件共享，硬件共享，软件共享等； 3文件传输能快速地，在不需要移动存储设备的情况下在各电脑之间进行文件的拷贝； 4能通过内部网络高速接入Internet进行工作，浏览网页查找资料； 5交换机采用主流、成熟和售后服务均佳的产品，具有较高的性价比。网络中使用的设备和协议应完全符合国际通用的技术标准。1.2.2 可行性分析（一）网络管理要求企业网络系统必需具备有完善的、安全的智能化网络管理功

14、能，其基本需求如下： 1）网络设备支持基于端口的虚拟网（VLAN）划分，利用网络管理软件能动态地调整配置VLAN。使划分的各虚网之间既能相互共享所需的信息，又能分别独立运作，加强各虚网之间信息的安全性。这样易于实现网络重组并具备隔离广播风暴的能力； 2）具有基于端口的访问控制模式，有效防止外部或内部对某些重要信息点的访问，达到控制信息流向的目的，增强网络的安全性； 3）动态监控登录网络代理用户数，有效及时地防止某些非法访问； 4）对网络故障及时报警，并实现隔离。（二）服务应用分析 为满足企业信息化建设的需要，PC机操作系统应选择占市场份额最大的主流操作系统，整个网络采用同一厂商的操作系统产品，

15、所选的操作系统应依据以下需求： 1所有的客户端和服务器系统应该是易于配置和维护的，保障客户端的方便使用，并提供方便的更新与升级的方法； 2系统的运行应具有高稳定性； 3服务器及客户机操作系统都需要支持TCP/IP协议，并能够运行大多数常用的应用软件，例如办公软件、图像处理软件等； 4计算机应用系统能处理大信息量的传输和计算；易于用户管理、界面简单、逻辑清晰； 5服务器操作系统应能够提供WEB、DNS等服务及完善的管理功能； 6所有的操作系统及选择的服务应尽量广泛的支持各种硬件设备，系统设计应尽量降低整个系统的成本； 7在系统的设计与实现及应用上应采用多种安全手段保障网络的安全，并提供优质的售后

16、服务及技术支持。（三）服务器需求分析 服务器在企业网络中充当不可或缺的角色，公司需要发布信息、构建自己的WEB服务器，根据公司的实际情况，至少需要2台服务器设备。 DNS服务器： 网络间的计算机通信首先必须由DNS服务器将域名解析为对应的IP地址，同时也可以将IP地址反解析为主机域名。通过DNS服务连接Internet浏览网页可以提高公司的办事效率，企业网络中搭建DNS服务器可以解决IP地址难以记忆的问题，同时也提高网络访问速度，由此可以DNS服务器是信息网络中不可或缺。FTP服务器： FTP是一种数据传输的模式，是客户在本地进行资料上传到虚拟主机，需要使用到FTP工具上传到相对应的网站虚拟主

17、机上，企业FTP服务器，一般指小型企业站点，所租用的企业型虚拟主机。二、网络整体规划2.1逻辑拓扑 在此次某公司网络的设计中，网络拓扑结构选用星型网络拓扑结构，星型网络拓扑结构具有安全、可靠、易扩展等特点,我们采用层次化模型来设计网络拓扑结构。层次化模型有利于实现较为复杂的网络功能要求且节省成本，也可以支持较大的网络规模便于企业网的升级扩大。因公司要求网络主干具备高可靠性和可用性,且考虑到以后扩充和该公司的业务比较重要，为了保证数据转发的快速和可靠，核心层的设计上采用了二台三层交换机，做到设备冗余和负载均衡，就算其中某个交换机发生故障，网络也可以快速恢复，增加网络的可靠性。2.2物理拓扑2.3

18、接入Internet设计企业网和Internet的连接技术就显得十分重要了，它关系到企业网与外部网络能能否进行可靠的连接。用户计算机接入Internet主要有两种方式，通过局域网或通过电话线网。不过，我们一般采取局域网接入方式。但不管使用哪种接入方式，首先都要连接到ISP的主机。从用户角度看，ISP位于Internet的边缘，用户通过某种通信线路连接到ISP，再通过ISP的连接通道接入Internet。通过局域网接入Internet是指用户局域网使用路由器，通过数据通信网与ISP相连接，再通过ISP的连接通道接入Internet。选择哪种数据通信网络与租用多大的带宽，通常取决于用户的信息流量与

19、能够承担的费用等多种因素。2.4 IP地址规划绝大多数企业局域网采用TCP/IP协议，因此IP地址规划在组建企业局域网时至关重要。在企业网网络规划中，好的IP地址方案不仅可以减少网络负荷,还能为以后的网络扩展打下良好的基础。IP地址规划应考虑： 唯一性一个IP网络中不能有两台主机采用相同的IP地址; 连续性为同一网络区域分配连续的网络地址，缩减速路由表的表项，提高路由表的处理效率; 可扩充性为一个网络区域分配的IP应有一定的地址冗余，以便于主机数量增加，保证网络的可持续发展; 简单性地址分配简单，避免在主干上采用复杂的掩码方式; 安全性公司网络内可按不同的部门划分不同的网段，以便进行管理。 对

20、于VLAN的划分，应公司的需求，我们对各VLAN的IP地址分配为： 1、财务部子网：192.168.1.0192.168.1.254/24 网关：192.168.1.254； 2、销售部子网： 192.168.2.0192.168.2.254/24 网关：192.168.2.254； 3、技术部子网： 192.168.3.0192.168.3.254/24 网关：192.168.3.254； 4、经理部子网：192.168.4.0192.168.4.254/24 网关：192.168.4.254； 5、其余子网： 192.168.5.0192.168.5.254/24 网关：192.168.5

21、.2542.5传输介质网络要求把各个独立的计算机连接起来的，这样就必然要求有一种介质将计算机连接起来，这就是传输介质，局域网的传输介质可分为有线介质和无线介质两种，一般情况下都是用有线介质的，因为它的稳定性高，连接可靠，无线介质只是在特殊环境下才使用的传输方式。常用的有线介质主要有以下几类。 (1) 同轴电缆同轴电缆以硬铜线为芯，外包一层绝缘材料。这层绝缘材料用密织的网状导体环绕，网外又覆盖一层保护性材料。同轴电缆有许多种不同的规格，最常用是细同轴电缆和粗同轴电缆。细同轴电缆主要用于建筑物内的网络连接，而粗同轴电缆则常用于建筑物间相连。它们的区别在于粗同轴电缆屏蔽更好，能传输更远的距离。 (2

22、) 双绞线双绞线是综合布线工程中最常用的一种传输介质。双绞线由两根具有绝缘保护层的铜导线组成。把两根绝缘的铜导线按一定密度互相绞在一起，可降低信号干扰的程度，每一根导线在传输中辐射的电波会被另一根线上发出的电波抵消，与其他传输介质相比，双绞线在传输距离、信道宽度和数据传输速度等方面均受到一定限制，但价格较为低廉。目前，双绞线可分为非屏蔽双绞线和屏蔽双绞线。 (3) 光纤 光纤是一种直接为50100um的柔软的、能传导光波的介质，一般由玻璃制造。光纤分为：传输点模数类分单模光纤(Single Mode Fiber)和多模光纤(Multi Mode Fiber)。单模光纤的纤芯直径很小，在给定的工

23、作波长上只能以单一模式传输，传输频带宽，传输容量大。多模光纤是在给定的工作波长上，能以多个模式同时传输的光纤，与单模光纤相比，多模光纤的传输性能较差。三、网络设计3.1可靠性设计 在网络的可靠性设计中，核心层3560设备之间通过多模千兆光纤连接，共同形成的捆绑链路，来扩充核心层设备之间的中继带宽，冗余电源,达到4G。边缘交换机与核心层设备之间通过两条千兆光纤连接形成双链路，当一条链路出线故障时，另一条链路可以独立工作，这就保证业务不会中断。因为开发部接入的端口数多，流量大，采用两台交换机VLAN间路由，减少核心层交换机的负担，通过多种负载平衡技术实现网络链路的冗余连接和故障的快速恢复功能。 本

24、方案设计选用CISCO三层交换设备，与腾达交换机采用OSPF的等值路由平衡技术来保障汇聚层与核心层设备之间数据的可靠传送,为两层之间数据流量提供合理、安全的负载均衡机制，以提高网络性能。3.2安全性设计 网络安全主要是指防止黑客对内部关键数据的非法访问和病毒的入侵。在企业网工程中配置了Cisco Secure PIX 525防火墙，它是世界领先的Cisco Secure PIX防火墙系列的组成部分，能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。它所提供的完全防火墙保护以及IP安全（IPsec）虚拟专网（VPN）能力使特别适合于保护企业总部的边界。他强大的安全性,能给IT企业腾飞科技提

25、供强有力的保证. Internet的发展为企业和专用网络带来了更大的安全风险。把外网的WWW服务服务器放在DMZ区增加了内网的安全。Cisco Secure PIX防火墙能够提供空前的安全保护能力，它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法（ASA）。静态安全性虽然比较简单，但与包过滤相比，功能却更加强劲；另外，与应用层代理防火墙相比，其性能更高，扩展性更强。ASA可以跟踪源和目的地址、传输控制协议（TCP）序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时，访问才被允许通过Cisco Secure PIX防火墙。这样做，内部和外部的授权用

26、户就可以透明地访问企业资源，而同时保护了内部网络不会受到非授权访问的侵袭。 现在企业提供了通过因特网建立廉价的VPN让合作伙伴互连。PIX 525集成了VPN的主要功能 - 隧道、数据加密、安全性和防火墙，能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。525可以同时连接高达4个VPN层，为用户提供完整的IPsec标准实施方法，其中IPsec保证了保密性、完整性和认证能力。对于安全数据加密，Cisco的IPsec实现方法全部支持56位数据加密标准（DES）和168位三重DES算法3.3网络管理企业网络系统必需具备有完善的、安全的智能化网络

27、管理功能，其基本需求如下： 1）网络设备支持基于端口的虚拟网（VLAN）划分，利用网络管理软件能动态地调整配置VLAN。使划分的各虚网之间既能相互共享所需的信息，又能分别独立运作，加强各虚网之间信息的安全性。这样易于实现网络重组并具备隔离广播风暴的能力； 2）具有基于端口的访问控制模式，有效防止外部或内部对某些重要信息点的访问，达到控制信息流向的目的，增强网络的安全性； 3）动态监控登录网络代理用户数，有效及时地防止某些非法访问； 4）对网络故障及时报警，并实现隔离。四、网络设备的选型及配置4.1核心层核心层将各分布层交换机互连起来，进行穿越园区网骨干的高速数据交换。园区网的核心层连接所有的分

28、布层设备，必须能够尽可能高效地交换数据流。应具有如下特征：1、第2层和第3层的吞吐量非常高；2、不执行高成本或不必要的分组处理（访问列表、分组过滤）；3、支持高可用性的冗余和弹性；4、高级QoS功能。应对园区网核心层中的设备进行优化，以提供高性能的第2层或第3层交换。由于核心层必须处理大量的园区网级数据，因此核心层设计必须简单、高效。在本设计的核心层中，采用两台Cisco Catalyst 3560交换机组成双机热备的核心交换系统。为提高核心-网络的健壮性，实现链路的安全保障，本方案骨干核心层中采用EIGRP（增强型内部网关路由协议，为Cisco的专有协议）。通过给各部门划分Vlan，将使每个

29、业务单元的广播域只限制在本部门，加快了网络寻址速度，缩小了病毒影响的范围。同时在核心层，对各业务Vlan通过DHCP技术，使各Vlan中的PC终端自动获取IP地址，避免了由于人工分配IP地址造成的IP混乱和IP冲突的问题，同时对于后期终端的IP地址变更所带来的影响缩小化。核心层交换机与分布层交换机之间进行链路冗余，使得链路的可靠性大大提高 配置核心层交换机CS1的基本参数对核心层交换机CS1的基本参数的配置步骤与对接入层交换机AS1的基本参数的配置类似。（1） 配置核心层交换机CS1的管理IP如图所示，显示了为核心层交换机CoreSwitch1设置管理IP并激活本征VLAN。（2） 配置核心层

30、交换机CS1的VLAN及VTP域，该交换机上VTP模式为SERVER模式。分布层交换机、接入层交换机均设为client模式加入VTP域，最终可以学习到CS1中创建的VLAN100-500，共5个VLAN。当网络中交换机数量很多时，需要分别在每台交换机上创建很多重复的VLAN。工作量很大、过程很繁琐，并且容易出错。我们常采用VLAN中继协议（Vlan Trunking Protocol，VTP）来解决这个问题。VTP允许我们在一台交换机上创建所有的VLAN。然后，利用交换机之间的互相学习功能，将创建好的VLAN定义传播到整个网络中需要此VLAN定义的所有交换机上。同时，有关VLAN的删除、参数更

31、改操作均可传播到其他交换机。从而大大减轻了网络管理人员配置交换机负担。a) 配置VTP管理域vtp domain akunicom共享相同VLAN定义数据库的交换机构成一个VTP管理域。每一个VTP管理域都有一个共同的VTP管理域域名。不同VTP管理域的交换机之间不交换VTP通告信息。将VTP管理域的域名定义为“akunicom”。b) 设置VTP服务器vtp mode server工作在VTP服务器模式下的交换机可以创建、删除VLAN、修改VLAN参数。同时，还有责任发送和转发VLAN更新消息。c) 激活VTP剪裁功能vtp pruning默认情况下主干道传输所有VLAN的用户数据。有时，交

32、换网络中某台交换机的所有端口都属于同一VLAN的成员，没有必要接收其他VLAN的用户数据。这时，可以激活主干道上的VTP剪裁功能。当激活了VTP剪裁功能以后，交换机将自动剪裁本交换机没有定义的VLAN数据。在一个VTP域下，只需要在VTP服务器上激活VTP剪裁功能。同一VTP域下的所有其他交换机也将自动激活VTP剪裁功能。CS1核心交换机配置VTP后的相关信息（3） 配置核心层交换机CS1的3层交换功能 核心层交换机CS1需要为网络中的各个VLAN提供路由功能。这需要首先启用分布层交换机的路由功能。接下来，需要为每个部门VLAN定义自己的默认网关地址，和DHCP地址池。Vlan500为服务器V

33、LAN，服务器是手工设定固定IP地址，顾不设DHCP地址池。（4） 拓扑中核心层交换机CS1和CS2分别上联到2811路由器，具有双链路冗余备份，增加了链路的可靠性。为了实现这一功能，在CS1中我们采用了动态路由协议EIGRP来实现。宣告一下CS1自身所连接的网段即可。（5） 配置核心层交换机CS1的端口参数核心层交换机CS1通过自己的端口FastEthernet 0/24同广域网接入模块（Internet路由器R0）相连。同时，核心层交换机CS1的端口F0/1和F0/2分别下连到接入层交换机DSW1和DSW2的F0/1口。 此外，为了提供主干道的吞吐量以及实现冗余设计，在本设计中，将核心层交

34、换机CS1的千兆端口GigabitEthernet 0/1、GigabitEthernet 0/2捆绑在一起实现2000Mbps的千兆以太网信道，然后再连接到另一台核心层交换机CS2。设置核心层交换机CS1的千兆以太网信道的步骤4.2分布层分布层将园区网的接入层和核心层连接起来。必须具备下述的功能：1、聚集多台接入层设备；2、使用访问列表和分组过滤器提供安全和基于策略的连接；3、QoS功能；4、连接到核心层和接入层的高速链接具有可扩展性和弹性。 在分布层中，来自接入层设备的上行链路被聚合在一起。分布层交换机必须能够处理来自所有连接的设备的总流量。这些交换机必须拥有能提供高速链路的端口密度，以支

35、持所有接入层交换机分布层除了负责将接入层交换机进行汇集外，还为整个交换网络提供VLAN500的服务器VLAN的接入功能。对分布层交换机DSW1的基本参数的配置步骤与对接入层交换机AS1的基本参数的配置类似。这里，只给出实际的配置。（1） 配置分布层交换机DSW1的管理IP、默认网关。（2） 将分布层交换机DSW1的VTP设置为client模式vtp mode clientvtp domain akunicomvtp password ak-vtp将DSW1的f0/3-6口设置成trunk，便于连接接入层交换机AS1-4共4个接入层交换机，使得VLAN100-400可以传到接入层去。将3台服务器

36、接入的DSW1的f0/22-24口划归到服务VLAN500中。（3） 配置分布层交换机DSW2分布层交换机DSW2的端口FastEthernet 0/3-6分别下连到接入层交换机AS1-4的端口FastEthernet 0/2。此外，分布层交换机DSW2还通过自己的F0/2上连到核心交换机CS2的F0/2，通过F0/1连接到CS1的F0/2。对分布层交换机DSW2的配置步骤、命令和对分布层交换机DSW1的配置类似。4.3接入层接入层位于连接到网络的最终用户处。接入层交换机通常在用户之间提供第2层（VLAN）连接性。该层设备有时被称为大楼接入交换机，必须具备下述功能：1、低交换机端口成本；2、高

37、端口密度；3、连接到高层的可扩展上行链路；4、用户接入功能，如Vlan成员资格、数据流和协议过滤以及服务质量（QoS）；5、使用多条上行链路。接入层为所有的终端用户提供一个接入点。这里的接入层交换机采用的是Cisco Catalyst 2960 24口交换机。交换机拥有24个10/100Mbps自适应快速以太网端口和2个1000M以太网口，运行的是Cisco的IOS操作系统。配置接入层交换机AS1的基本参数（1） 设置交换机名称设置交换机名称，也就是出现在交换机CLI提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要Telnet登录到若干台交换机以维护一个大型网络时，通过

38、交换机名称提示符提示自己当前配置交换机的位置是很有必要的。这里我们将接入层第一台交换机命名为AS1，命令是：hostname AS1（2） 设置交换机的加密使能口令加密口令为：enable secret +密码。当用户在普通用户模式而想要进入特权用户模式时，需要提供此口令。此口令会以MD5的形式加密，因此，当用户查看配置文件时，无法看到明文形式的口令,提高安全性。（3） 设置通过telnet方式远程登录该交换机时的口令Line vty 0 4Password ak123456Login对于一个已经运行着的交换网络来说，如果交换机提供了远程管理的话，将为网络管理人员提供了很多的方便，不必每次维护

39、时必须到交换机跟前才能进行维护工作，通过telnet的方式远程登录将是最方便的。虽然telnet方式在网络中是通过明文传输信息的，安全性不如SSH方式的远程登录，但是在内网中还是在大量采用的。由于本次使用的模拟软件不支持SSH方式的远程登录，故在本设计中依然采用telnet方式。（4） 设置终端线超时时间为了安全考虑，可以设置终端线超时时间。在设置的时间内，如果没有检测到键盘输入，交换机的IOS系统将断开用户和交换机之间的连接。这里设置的是5分30秒。（5） 设置禁用IP地址解析特性在交换机默认配置的情况下，当我们输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的DNS服务器并将其解析

40、成对应的IP地址，这样会浪费很多时间，利用命令no ip domain-lookup可以禁用这个特性，缩短因输入错误命令而造成因解析不到IP造成大量时间的浪费。（6） 设置启用消息同步特性有时候用户输入的交换机配置命令的过程中会被交换机产生的消息打乱。可以使用命令logging synchronous设置交换机在下一行CLI提示符后复制用户的输入，方便操作。配置接入层交换机AS1的管理IP、默认网关接入层的2960交换机是一个二层交换机，工作在OSI参考模型的第2层设备，即数据链路层的设备。因此，给接入层交换机的每个端口设置IP地址是没意义的。但是，为了使网络管理人员可以从远程登录到接入层交换

41、机上进行管理，必要给接入层交换机设置一个管理用IP地址。这种情况下，实际上是将交换机看成和PC机一样的主机。给二层交换机设置管理用IP地址一般是给交换机默认的VLAN1配置相关IP地址即可。为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关地址。（1） 在核心交换机CS1上配置整个交换网络的VTP从提高效率的角度出发，在本企业网实例中使用了VTP技术。将核心层交换机CS1设置成为VTP服务器，其他交换机设置成为VTP客户机。首先将CS1配置成VTP服务器模式，VTP版本为version 2，VTP域名为akunicom为了安全起见还要给该VTP增加一个密码，防止其他交换机在知道V

42、TP域名的情况下可以获得所有的VLAN号。按照前面的各部门的IP地址分配表，建立各部门的VLAN。分布层交换机DSW1和接入层交换机AS1均设置为VTP的client模式，正确添加VTP参数后将能够看到DSW1和AS1将通过VTP获得在核心层交换机CS1上所建立的4个VLAN，即VLAN100 VLAN200 VLAN300 VLAN400。设置分布层交换机DSW1加入VTP域。设置接入层交换机AS1加入VTP域。最后将核心层交换机CS1与分布层交换机DSW1连接的端口设置成trunk，便于DSW1能够学到CS1中建立的各VLAN。（只将CS1的f0/1端口设置成trunk即可，DSW1的f0

43、/1端口通过Cisco交换机的自协商功能自动转成trunk模式）。通过在DSW1上查看vlan信息发现，DSW1中已经获取到了CS1中建立的4个VLAN 。同样将分布层交换机DSW1与接入层交换机AS1相连接的端口设置成trunk后也可以是AS1学到CS1中建立的各VLAN。（只将DSW1的f0/3端口设置成trunk即可，AS1的f0/1端口通过Cisco交换机的自协商功能自动转成trunk模式）。通过在AS1上查看vlan信息发现，AS1也学些到了CS1上建立的4个vlan。（2） 配置接入层交换机AS1各端口基本参数：双工模式、端口速度由于是企业内网，为了使终端连接的速度最大，可以设定某

44、端口根据对端设备速度自动调整本端口速度，也可以强制将端口速度设为10Mpbs或100Mbps。在了解对端设备速度的情况下，建议手动设置端口速度。设置接入层交换机AS1的所有端口（1-24）的速度均为100M全双工。（3） 配置接入层交换机AS1的接入端口由于接入层交换机AS1为销售部的终端提供接入服务，顾按照IP地址分配表，接入层交换机AS1上除了f0/1和f0/2作为上联口外，其余各端口均需要划归到为VLAN100中，以便给终端提供接入服务。由于各端口都是接的终端，为了加快终端的接入速度，用spanning-tree portfast将各端口配置成生成树快速端口。首先，设置接入层交换机AS1

45、的端口324划归至VLAN100其次，设置快速端口。默认情况下，交换机在刚加电启动时，每个端口都要经历生成树的四个阶段：阻塞、侦听、学习、转发。在能够转发用户的数据包之前，某个端口可能最多要等50秒钟的时间（20秒的阻塞时间15秒的侦听延迟时间15秒的学习延迟时间）。对于直接接入终端工作站的端口来说，用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间，可以设置将某端口设置成为快速端口（Portfast）。设置为快速端口的端口当交换机启动或端口有工作站接入时，将会直接进入转发状态，而不会经历阻塞、侦听、学习状态（假设桥接表已经建立）。（4） 按照上述配置AS1加入VTP域并学习到4个VLAN的方法，将其他接入层交换机AS2、3、4也加入VTP域，并分别将对应的交换机的端口归入VLAN 200 VLAN300和VLAN400，使其给相应的部门提供接入服务。对接入层交换机AS2、3、4的配置步骤、命令和对接入层交换机AS1的配置类似, 4.4安全设备4.4.1、防火墙防火墙是网络访问控制设备，用于拒绝除了明确允许通过之外的所有通信数据，它不同于只会确定网络信息传输方向的简单路由器，而是在网络传输通过相关的访问站点时对其实施一整套