企業(yè)網絡組建畢業(yè)論文

1、<p>　　南京高等職業(yè)技術學校</p><p>　　畢業(yè)設計（論文）說明書</p><p>　　系部 計算機管理系 專業(yè) 計算機應用技術（網絡）</p><p>　　作者 陳正遠 學號 090245117 </p><p>　　題目 南京博路科技有限公司康普教育中心企業(yè)網絡組建

2、 </p><p>　　指導教師 周 晶 </p><p>　　評閱教師 </p><p>　　完成時間： 2013 年 6 月 15 日</p><p>　　南京博路科技有限公司康普

3、教育中心企業(yè)網絡組建</p><p>　　摘要：如今，計算機網絡在企業(yè)中起到越來越重要的作用，互聯網信息也決定著企業(yè)的發(fā)展和命運。局域網的建設管理成為現代企業(yè)所必不可少的邁向網絡經濟的基礎建設。而在局域網的催生下，企業(yè)的信息化生產也得到空前的發(fā)展。局域網的組建成為企業(yè)最大限度發(fā)揮自身潛力，從傳統經濟邁向網絡經濟，與國際接軌戰(zhàn)略的關鍵一步。</p><p>　　中小型企業(yè)局域網的建設，須采用

4、模塊化、系統化的思想建設，做到實用、規(guī)范的安全網絡辦公環(huán)境。一個結構清晰、規(guī)范建設的網絡設計方案不僅易于組建、方便實施，更能大大減少網絡開發(fā)成本和提高網絡工程質量。</p><p>　　本次畢業(yè)論文針對南京博路科技有限公司實際情況，提供一套完整局域網解決方案。首先，對中小型企業(yè)局域網的網絡拓撲和網絡設備進行設計；其次，直觀的網絡拓撲簡略的闡述了本次設計相關的網絡結構、安全設置、網絡設備選擇、網絡功能和網絡所呈現的

5、實際應用等。</p><p>　　設計內容包括：網絡組建使用核心層——匯聚層——接入層三層結構設計。接入層交換機接入用戶，匯聚層對龐大數據處理，再由三層交換機實現與因特網的轉發(fā)，實現全網互通和網絡的訪問。VLAN（虛擬局域網）技術把不同部門劃分為不同的網段，對部門進行隔離。ACL（訪問控制列表）設置財務部只有經理辦公室等領導有訪問權限。NAT（網絡地址轉換）將局域網內的私網地址轉換為公網地址來實現對Interne

6、t的訪問。</p><p>　　關鍵詞：三層結構 路由備份 ACL NAT</p><p><b>　　目錄</b></p><p><b>　　1 概述1</b></p><p><b>　　1.1 概述1</b></p><p>　　1.2

7、 課題背景1</p><p>　　1.3 項目概況2</p><p>　　1.4 研究目的2</p><p>　　2 需求分析與設計原則3</p><p>　　2.1 現狀分析3</p><p>　　2.2 企業(yè)需求3</p><p>　　2.3 需求分析3</p>

8、<p>　　2.4 設計目標4</p><p>　　2.5 設計原則4</p><p><b>　　3 設計方案6</b></p><p>　　3.1 網絡拓撲設計6</p><p>　　3.2 設備選型7</p><p>　　4 網絡組建/技術使用14</p>

9、<p>　　4.1 VLAN14</p><p>　　4.2 IP地址規(guī)劃14</p><p>　　4.3 ACL16</p><p>　　4.4 NAT19</p><p>　　4.5 路由協議20</p><p><b>　　5 網絡安全22</b></p>

10、<p><b>　　結論23</b></p><p><b>　　致謝24</b></p><p><b>　　參考文獻25</b></p><p><b>　　1 概述</b></p><p><b>　　1.1 概述<

11、;/b></p><p>　　在這信息爆炸的時代，計算機扮演著越來越重要的角色，面對龐大的計算機群，網絡的規(guī)劃、管理、安全成為首要任務。通過本次設計與研究，將局域網技術應用于企業(yè)，使得企業(yè)辦公自動化，信息網絡化，資源共享，向網絡化經濟邁進。搭建完整的企業(yè)網絡，能夠提升員工的辦公效率，能快速的共享資源，能便于管理，網絡更能為企業(yè)帶來全新的商機。</p><p><b>　　1

12、.2 課題背景</b></p><p>　　局域網的誕生，給企業(yè)帶來了全新的生產模式，沖擊著每一個傳統行業(yè)。如今，計算機遍及各行各業(yè)，它解放了企業(yè)生產力，提高了員工辦公效率，提供了大量相關信息，給企業(yè)創(chuàng)造了巨大財富價值，更讓企業(yè)尋找到了無盡的商機。在如此巨大的誘惑力下，各企業(yè)紛紛組建自己的企業(yè)局域網。</p><p>　　中小型企業(yè)局域網通常有規(guī)模小、結構簡單的特點，以及網絡實

13、用性、安全性與拓展性等建設要求。因此，成本低、操作簡單、方便管理并能滿足企業(yè)日常辦公需求的網絡辦公環(huán)境，是中小型企業(yè)的真正需求。根據中小型企業(yè)集中辦公這一現實特點，組建一個適合中小企業(yè)需求的、高性價比、實用的網絡，是有實際意義的。</p><p>　　南京博路科技有限公司康普教育中心成立于2003年，位于南京中山南路315號瑞華大廈。注冊資金300萬，主要從事軟件開發(fā)、系統集成（網絡工程安裝與技術服務）、服務器等

14、外設產品的銷售及網絡技術培訓的股份制公司。多年來與華為、H3C、Cisco、HP、Oracle、微軟、IBM、JUNIPER、浪潮集團、趨勢科技等國際知名廠商密切合作，是H3C核心渠道代理服務商、趨勢科技企業(yè)安全合作伙伴。公司目前已從單一的網絡產品銷售，發(fā)展成為全系列網絡、無線、存儲、安全、云計算、數據中心等產品銷售、信息化解決方案和網絡工程技術服務提供商，客戶遍布華東各省。 公司下設專門的網絡培訓部門——康邇普教育，是全國最早的華為（

15、H3C）授權培訓機構之一。多年來，中心和江蘇省內各大院校開展校企合作提供實驗室解決方案，聯合辦學，培養(yǎng)了大批中高端網絡技術人才。中心還是VUE、PROMETRIC考試中心；是H3C、CISCO網絡技術培訓中心、趨勢科技網絡安全培訓中心。 </p><p><b>　　1.3 項目概況</b></p><p>　　康普教育中心早期網絡建設使用集線器來互連，組建小型的公司

16、網絡以滿足公司業(yè)務的辦理需求。在設備不多、應用不廣、數據量不大的情況下，公司網絡基本上能滿足日常需求。</p><p>　　隨公司經營不斷發(fā)展，團隊的壯大，網絡規(guī)模的擴增，網絡設備增多。由于拓展受到局限，出現網線拖拉、網絡速度越來越慢等問題，影響了公司日常的業(yè)務辦公，使得企業(yè)生產力無法再提高。上述問題促使公司決定改造網絡，擴展網絡的規(guī)模，提高網絡的速度，優(yōu)化和配置網絡，并設立專業(yè)網絡管理人員，維護日常網絡運行，保

17、證網絡的安全。</p><p><b>　　1.4 研究目的</b></p><p>　　通過對網絡的規(guī)劃、組建、維護，重新搭建局域網。滿足公司各部門之間的安全穩(wěn)定通信，提供基本的業(yè)務處理能力。在實際情況中，應對財務部門進行隔離，只有經理室有訪問權限。對于銷售部分配更多流量，以保證公司的產品銷售與在線客服。該公司員工都是精通網絡的技術型人才，更應該設置網絡的安全機制。

18、同時考慮公司發(fā)展前景很好，將來會擴大公司的規(guī)模，網絡要具備擴展性。</p><p>　　2 需求分析與設計原則</p><p><b>　　2.1 現狀分析</b></p><p>　　康普教育中心是一家現代化的公司。能夠順應信息時代的發(fā)展趨勢，抓住網絡經濟中的機遇，認真完成每一項公司業(yè)務，在短短十年間飛速發(fā)展，儼然成為一家與國際接軌的大公司。

19、為了給公司落實基礎的網絡辦公設施，對網絡提出以下要求：提高桌面辦公能力，增加網絡的訪問的帶寬。網絡要適應高流量、流量分配合理、網絡訪問安全和隔離控制等。對公司客服部、銷售部、人事部、財務部、培訓部實行合理劃分，有效的隔離各部門，防止各部門因接入過多而造成的網絡擁塞，也對財務部進行保護。對公司服務器和客服部提供運行可靠的應用程序及硬件支撐，保證其正常工作的不間斷性與流量暢通，降低故障和事故隱患。其次還要有良好的管理機制，便于網絡的管理，降

20、低二次維護的成本。本次設計針對康普教育中心給出合理的解決方案。網絡數據傳輸極其敏感，對安全技術要求嚴格。設計規(guī)劃不僅利用網絡設備本身的安全策略，如VLAN劃分、ACL策略等，從物理設備上對數據流進行隔離過濾。而且采用有效的網絡安全技術，如防火墻、入侵檢測、殺毒軟件等。在保證網絡運行良好之上提供一系列完善的安全保障。在滿足企業(yè)需求后，網絡還應該解決以下組建網絡所帶來的需求：</p><p>　?。?）、管理需求：網

21、絡設備和個人計算機要易于管理和維護，具備擴展性。</p><p>　?。?）、資源管理：區(qū)別內、外網界限，限制資源的訪問。</p><p>　?。?）、IP地址需求：NAT應用。</p><p>　　（4）、業(yè)務需求：支持組播、多業(yè)務能力。</p><p>　?。?）、設備性能：設備具備高性能、高可靠性、高穩(wěn)定性、高安全性。</p>

22、;<p><b>　　2.2 企業(yè)需求</b></p><p>　　康普教育中心要求客服部、銷售部、人事部等部門不能內部互相訪問，但可以訪問服務器和外部資源。</p><p>　　對財務部進行隔離，設置訪問權限，只有經理辦公室有訪問權限。</p><p>　　實現信息資源和硬件（打印機等）共享 ，提高辦公質量。</p>

23、<p>　　保證網絡數據的通暢。</p><p><b>　　2.3 需求分析</b></p><p>　　根據企業(yè)需求，有針對性的解決辦法：</p><p>　　VLAN技術隔離每個部門，ACL設置財務部的訪問權限。</p><p>　　部門內安裝打印機共享，提供服務器的訪問權限，網絡信息訪問的接入。&l

24、t;/p><p>　　網絡介質選用超5類雙絞線，接入層、匯聚層、核心層采用雙上行連接，以增加帶寬和冗余備份。</p><p>　　千兆速率的Internet光纖接入，對各部門數據流量合理分配，提高最大利用率。</p><p><b>　　2.4 設計目標</b></p><p>　　為康普教育中心設計合理的局域網規(guī)劃方案，建

25、設以下目標：</p><p>　　網絡總體建設成為信息一體化、管理集中化、業(yè)務多樣化的公司局域安全網絡。</p><p>　　網絡結構清晰，網絡層次合理，便于擴展和維護 。</p><p>　　網絡的接入滿足公司的辦公需求。</p><p>　　網絡設備具備高性能、高可靠性、高穩(wěn)定性、高安全性。</p><p>　　設

26、施的配置選擇要高性價比，性能參數、技術領先，售后保障強。</p><p><b>　　2.5 設計原則</b></p><p><b>　?。?）、可管理性</b></p><p>　　具有分級、分權管理能力的網管系統，實現統一的網絡業(yè)務調度和管理，降低網絡運營成本。同時由于使用者數量巨大，網上開展的業(yè)務眾多，因此需要能夠

27、提供用戶的高效管理，以確保公司的利益不受損失。</p><p><b>　　（2）、可擴展性</b></p><p>　　隨著公司的發(fā)展，局域網絡的接入會有所變動。因此，網絡應考慮其擴展的靈活性，增加冗余接口，方便用戶的接入與退出。</p><p><b>　?。?）、開放性</b></p><p>

28、;　　技術選擇必須符合相關國際標準及國內標準，避免個別廠家的私有標準或內部協議，確保網絡的開放性和互連互通，滿足信息準確、安全、可靠、優(yōu)良交換傳送的需要；開放的接口，支持良好的維護和管理手段，實現網絡設備的統一管理。 </p><p><b>　?。?）、安全可靠性</b></p><p>　　設計應充分考慮整個網絡的穩(wěn)定性，支持網絡節(jié)點的備份和線路保護，提供網絡安全

29、防范措施。定時定期對網絡檢查，預防和提前發(fā)現隱患，及時解決。</p><p><b>　?。?）、先進性。</b></p><p>　　企業(yè)網絡應能代表目前較為先進的網絡技術，提供能夠跟蹤主流、前沿網絡技術的綜合網絡環(huán)境，應與社會發(fā)展相適應。所選網絡設備要求支持協議類型豐富、配置靈活、可擴展性強、支持千兆交換、滿足IPv6等網絡技術研究的需求。</p>

30、<p><b>　　3 設計方案</b></p><p>　　3.1 網絡拓撲設計</p><p>　　3.1.1 網絡拓撲選擇</p><p>　　網絡搭建采用模塊化設計思想，網絡使用“核心層——匯聚層——接入層”三層結構。三層網絡架構采用層次化模型設計，即將復雜的網絡設計分成幾個層次，每個層次著重于某些特定的功能，這樣就能夠使一個

31、復雜的大問題變成許多簡單的小問題。三層網絡架構設計的網絡包括三個層次：核心層（網絡的高速交換主干）、匯聚層（提供基于策略的連接）、接入層 （將工作站接入網絡）。</p><p>　　核心層：核心層是網絡的高速交換主干，對整個網絡的連通起到至關重要的作用。核心層應該具有如下幾個特性：可靠性、高效性、冗余性、容錯性、可管理性、適應性、低延時性等。在核心層中，應該采用高帶寬的千兆以上交換機。因為核心層是網絡的樞紐中心，

32、重要性突出。核心層設備采用冗余備份是非常必要的，也可以使用負載均衡功能，來改善網絡性能。</p><p>　　匯聚層：匯聚層是網絡接入層和核心層的“中介”，就是在工作站接入核心層前先做匯聚，以減輕核心層設備的負荷。匯聚層具有實施策略、安全、工作組接入、虛擬局域網（VLAN）之間的路由、源地址或目的地址過濾等多種功能。在匯聚層中，應該選用支持三層交換技術和VLAN的交換機，以達到網絡隔離和分段的目的。</p&

33、gt;<p>　　接入層：接入層向本地網段提供工作站接入。在接入層中，減少同一網段的工作站數量，能夠向工作組提供高速帶寬。接入層可以選擇不支持VLAN和三層交換技術的普通交換機。</p><p>　　3.1.2 網絡拓撲結構圖</p><p>　　模塊化、分層設計具有功能分工明確、結構清晰、易于搭建維護、便于擴展等眾多優(yōu)點，是現代局域網技術最流行的拓撲結構。康普教育中心網絡拓

34、撲圖如下圖（圖3-1）：</p><p>　　圖 3-1 康普中心網絡拓撲</p><p>　　3.1.3 網絡拓撲結構說明</p><p>　　拓撲圖直觀的表達了網絡結構的模塊化、分層結構的特點，并具體描述了網絡中每層的主要功能和與上下層之間的關系。</p><p>　　用戶與接入層之間采有超5類雙絞線連接，接入層與匯聚層、匯聚層與核心層之

35、間使用6類雙絞線傳輸數據，核心層和服務器以單模光纖通過防火墻接入因特網，防火墻隔離內外網對網絡安全給予保護。</p><p>　　匯聚層和核心層之間采用雙上行鏈路連接，冗余備份使網絡可靠性大大增加。核心層和路由器配置浮動路由，鏈路冗余保證網絡數據傳輸的可靠性。</p><p><b>　　3.2 設備選型</b></p><p>　　3.2.1

36、 核心交換機選擇</p><p>　　H3C S5800-32C 功能特點：</p><p>　　該交換機為萬兆以太網交換機，高性能，支持豐富的安全策略，具備多業(yè)務處理能力和便捷的管理能力，可實現數據的高速轉發(fā)。產品如下圖：</p><p>　　圖 3-2-1 H3C S5800-32C 交換機</p><p>　　H3C S5800-32C

37、 詳細參數：</p><p>　　3.2.2 匯聚交換機選擇</p><p>　　H3C S5500-28C-EI 功能特點：</p><p>　　支持ACL包過濾在接口的出入方向，可基于策略對數據處理，強大的數據處理能力足夠勝任大中型網絡的匯聚層。產品如下圖：</p><p>　　圖 3-2-2 H3C S5500-28C-EI 交換機&l

38、t;/p><p>　　H3C S5500-28C-EI 詳細參數：</p><p>　　3.2.3 接入交換機選擇</p><p>　　H3C S5120-28P-LI 功能特點：</p><p>　　大容量緩存設計，具有高速率，低延時的性能，還具有可管理和安全性能，性能穩(wěn)定，交換能力大，傳輸速度快。產品如下圖：</p><p

39、>　　圖 3-2-3 H3C S5120-28-LI 交換機</p><p>　　H3C S5120-28P-LI 參數：</p><p>　　3.2.4 路由器選擇</p><p>　　H3C MSR 50-40 功能特點：</p><p>　　多業(yè)務開放路由器擴展性很好，網絡超級穩(wěn)定，傳輸速率高，功能很強大，能滿足企業(yè)的多種需求。產

40、品如下圖：</p><p>　　圖 3-2-4 H3C MSR 50-40 路由器</p><p>　　H3C MSR 50-40 參數：</p><p>　　3.2.5 服務器選擇</p><p>　　IBM System x3650 M4(7915I51) 功能特點：</p><p>　　多硬盤的擴展位，當數據存儲

41、量大時可以組建高速安全的RAID矩陣，另外內存擴展性大，IO數據讀取無瓶頸。 產品如下圖：</p><p>　　圖 3-2-5 IBM System x3650 M4(7915I51) 服務器</p><p>　　IBM System x3650 M4(7915I51) 參數：</p><p>　　3.2.6 防火墻選擇</p><p>　　

42、H3C SecPath U200-CS-AC 功能特點：</p><p>　　高性能多核、多線程安全平臺，提供病毒防護，URL過濾，漏洞攻擊防護，垃圾郵件防護，P2P/IM應用層流量控制和用戶行為審計安全功能。產品如下圖：</p><p>　　圖 3-2-6 H3C SecPath U200-CS-AC 防火墻</p><p>　　H3C SecPath U200-

43、CS-AC 參數：</p><p>　　4 網絡組建/技術使用</p><p><b>　　4.1 VLAN</b></p><p>　　4.1.1 VLAN技術介紹</p><p>　　VLAN(Virtual Local Area Network,虛擬局域網)技術的出現，主要是為了解決交換機在進行局域網互連時無法限制

44、廣播的問題。這種技術可以把一個物理局域網劃分成多個虛擬局域網，每個VLAN就是一個廣播域，VLAN內的主機間通信就和在一個LAN內一樣，而VLAN間的主機則不能直接互通，這樣，廣播數據幀被限制在一個VLAN內。VLAN技術能有效控制廣播域范圍、增強局域網的安全性、靈活構建虛擬工作組、增強網絡的健壯性。</p><p>　　VLAN的劃分主要有基于端口、基于MAC地址、基于協議和基于子網的四種類型。</p&g

45、t;<p>　　4.1.2 VLAN劃分實例</p><p>　　本次設計的VLAN劃分采用基于端口的方式，這種劃分方式方便快速，靈活性高。表現為將各部門接入的接口集中，統一劃分在一個VLAN分段里，具體劃分如下表：</p><p>　　4.2 IP地址規(guī)劃</p><p>　　4.2.1 內網IP地址規(guī)劃</p><p>　　

46、IP地址是用戶在網絡中的主機標識。在局域網中，常用私有地址來分配給內部網絡中的主機使用，私有地址不僅成本低廉，也解決IPv4不足的問題。對外部網絡的訪問則租用少量的公網地址，通過NAT技術來實現因特網的連接。內部網絡的主機IP地址采用B類私有地址，地址段分別與VLAN號相對應，詳細分</p><p><b>　　配如下表：</b></p><p>　　4.2.2 骨干

47、網IP地址規(guī)劃</p><p>　　圖 4-2 骨干網IP地址規(guī)劃圖</p><p><b>　　4.3 ACL</b></p><p>　　4.3.1 ACL介紹</p><p>　　ACL（Access Control List，訪問控制列表）是有來實現數據識別功能的。為了實現數據識別，網絡設備需要一系列的匹配條件對

48、報文進行分類，這些條件可以是報文的源地址、目的地址、端口號、協議類型等。</p><p>　　訪問控制列表的應用很廣范，主要有包過濾防火墻（Packet Filter Fiewall)功能、NAT（Network Address Translation，網絡地址轉換）、QoS（Quality of Server，服務質量）的數據分類、路由策略和過濾、按需撥號等。</p><p>　　在配置

49、IPv4 ACL的時候，需要定義一個數字序號，并且利用這個序號來唯一標識一個ACL。ACL序號有4種類型。</p><p>　?。?）、基本ACL（序號為2000~2999）：只根據報文的IP地址信息制定規(guī)則。</p><p>　?。?）、高級ACL（序號為3000~3999）：根據報文的源IP地址信息、目的IP地址信息、IP承載的協議類型、協議的特性等三、四層信息制定規(guī)則。</p&

50、gt;<p>　?。?）、二層ACL（序號為4000~4999）：根據報文的源MAC地址、目的MAC地址、VLAN優(yōu)先級、二層協議類型等二層信息制定規(guī)則。</p><p>　?。?）、用戶自定義ACL（序號為5000~5999）：可以以報文的報文頭、IP頭等為基準，指定從第幾個字節(jié)開始與掩碼進行“與”操作，將從報文提取出來的字符串和和用戶定義的字符串進行比較，找到匹配的報文。</p>

51、<p>　　指定序列號的同時，可以為ACL指定一個名稱，稱為命名的ACL。命名ACL的好處是容易記憶，便于維護。命名的ACL使用戶可以通過名稱唯一確定一個ACL，進行相應的操作。</p><p>　　4.3.2 ACL配置</p><p>　　ACL(訪問控制列表)功能強大并且應用廣范，本次設計例舉典型的三種事例。</p><p>　　實例一：考慮到財務部

52、門的安全性，需要配置ACL來控制訪問權限。在網絡中，SW2—A專門用于財務部門的計算機接入，并且只有經理辦公室的計算機才有權限訪問，所以采用基本ACL。在SW3—C中的具體配置如下：</p><p>　　# 啟用防火墻包過濾功能</p><p>　　[SW3-C]firewall enable</p><p>　　# 防火墻的默認過濾方式為拒絕</p>

53、<p>　　[SW3-C]firewall default deny </p><p>　　# 配置基本ACL，序號為2000</p><p>　　# 定義規(guī)則允許192.168.60.0（經理辦公室）的計算機訪問</p><p>　　[SW3-C]acl number 2000 </p><p>　　[SW3-C-acl-b

54、asic-2000]rule 0 permit source 192.168.60.0 0.0.0.255</p><p>　　# 進入財務部所接入的端口</p><p>　　# 指定應用方向為outbound，實現了只有經理辦公室才能訪問</p><p>　　[SW3-C]interface Ethernet 0/4/1</p><p>　

55、　[SW3-C-Ethernet0/4/15]firewall packet-filter 2000 outbound</p><p>　　實例二：如果要限制用戶的某項訪問，可以根據該訪問所基于的協議來制定ACL，從而更細化的對用戶設置權限。例如設置客服部只能訪問網頁，則在路由器中RT—A中配置如下：</p><p><b>　　# 啟用防火墻功能</b></p

56、><p>　　[RT-A]firewall enable </p><p>　　[RT-A]firewall default deny </p><p>　　# 配置高級ACL，序號為3000</p><p>　　# 定義規(guī)則允許192.168.10.0（客服

57、部）的計算機有訪問WWW的權限。 </p><p>　　[RT-A]acl number 3000</p><p>　　[RT-A-acl-adv-3000]rule 0 permit tcp source 192.168.10.0 0.0.0.255 source-port eq www</p><p

58、>　　# 進入路由器與外網相連的接口</p><p>　　# 指定應用方向為outbound，這樣指定了客服部對外網的WWW訪問權限而不影響客服部在內網的訪問。</p><p>　　[RT-A]interface Ethernet 0/0/0</p><p>　　[RT-A-Ethernet0/0/0]firewall packet-filter 3000 o

59、utbound</p><p>　　實例三：ACL不僅能制定允許和拒絕的具體訪問權限，還能根據時段來控制用戶的權限使用時間。例如設置培訓部只有在中午11：00到14：00之間可以上網。路由器RT—A中配置如下：</p><p><b>　　# 啟用防火墻功能</b></p><p>　　[RT-A]firewall enable</p&g

60、t;<p>　　[RT-A]firewall default deny</p><p>　　# 指定時間段為每天的11：00到14：00，命名為pxb(培訓部)</p><p>　　[RT-A]time-range pxb 11:00 to 14:00 daily</p><p>　　# 配置基本ACL，序號為2002</p><p

61、>　　# 定義規(guī)則允許192.168.50.0（培訓部）的計算機在名為pxb的時間段內訪問外部網絡</p><p>　　[RT-A]acl number 2002</p><p>　　[RT-A-acl-basic-2002]rule 0 permit source 192.168.50.0 0.0.0.255 time-range pxb</p><p>　

62、　# 進入路由器與外網相連的接口</p><p>　　# 指定應用方向為outbound，當用戶在其它時間訪問外部網絡時，IP包被丟棄</p><p>　　[RT-A]interface Ethernet 0/0/0</p><p>　　[RT-A-Ethernet0/0/0]firewall packet-filter 2002 outbound</p>

63、;<p><b>　　4.4 NAT</b></p><p>　　4.4.1 NAT概述</p><p>　　NAT（Network Address Translation）是網絡地址轉換，其工作原理是將IP 數據包頭中的IP 地址轉換為另一個IP 地址的過程。用于實現私有網絡訪問公共網絡的功能，還能夠有效地避免來自網絡外部的攻擊，隱藏并保護網絡內部的計

64、算機。</p><p>　　NAT的實現方式有三種，即靜態(tài)轉換、動態(tài)轉換和端口多路復用。</p><p>　　靜態(tài)轉換是指將內部網絡的私有IP地址轉換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為某個公有IP地址。借助于靜態(tài)轉換，可以實現外部網絡對內部網絡中某些特定設備（如服務器）的訪問。</p><p>　　動態(tài)轉換是指將內部網絡的私

65、有IP地址轉換為公用IP地址時，IP地址是不確定的，是隨機的，所有被授權訪問上Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。也就是說，只要指定哪些內部地址可以進行轉換，以及用哪些合法地址作為外部地址時，就可以進行動態(tài)轉換。動態(tài)轉換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網絡內部的計算機數量時?？梢圆捎脛討B(tài)轉換的方式。</p><p>　　端口多路復用（Port addres

66、s Translation,PAT)是指改變外出數據包的源端口并進行端口轉換，即端口地址轉換（PAT，Port Address Translation).采用端口多路復用方式。內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網絡內部的所有主機，有效避免來自internet的攻擊。因此，目前網絡中應用最多的就是端口多路復用方式。</p><p

67、>　　4.4.2 NAT配置</p><p>　　在本次設計中，考慮到企業(yè)的具體情況，采用NAPT（Network Address Port Translation,網絡地址端口轉換）。</p><p>　　例如租用的公網IP地址為192.18.1.10、24——192.168.1.12/24，在路由器的具體配置如下：</p><p>　　# 通過ACL定義一

68、條rule，匹配源地址屬于192.168.0.0/24網段的數據</p><p>　　[RT-A]acl number 2000 </p><p>　　[RT-A-acl-basic-2000]rule 0 permit source 192.168.0.0 0.0.255.255</p><p>　　# 配置NAT地址池1用

69、于地址轉換，地址池中的地址從192.18.1.10到192.18.1.12</p><p>　　[RT-A]nat address-group 1 192.18.1.10 192.18.1.12</p><p><b>　　# 進入接口視圖</b></p><p>　　[RT-A]interface Ethernet 0/0/0</p&g

70、t;<p>　　# 將地址池1與acl 2000關聯，并在接口出口方向上應用NAT</p><p>　　[RT-A-Ethernet0/0/0]nat outbound 2000 address-group 1</p><p><b>　　4.5 路由協議</b></p><p>　　路由器提供了將異構網絡互連起來的機制，實現將一

71、個數據包從一個網絡發(fā)送到另一個網絡。路由就是指導IP數據包發(fā)送的路徑信息。</p><p>　　在互聯網中進行路由選擇要使用路由器，路由器只是根據所收到的數據報頭的目的地址選擇一個合適的路徑，將數據包傳送到下一個路由器，路徑上最后的路由器負責將數據包送交目的主機。數據包在網絡上的傳輸就好像是體育運動中的接力賽一樣，每一個路由器只負責將數據包在本站通過最優(yōu)的路徑轉發(fā)，通過多個路由器一站一站地接力將數據包通過最優(yōu)路徑

72、轉發(fā)到目的地。</p><p>　　路由分為直連路由、靜態(tài)路由和動態(tài)路由（RIP,OSPF,BGP等）。在本次設計方案中，只有內網與外網互相訪問時才需要通過路由轉發(fā)數據，不涉及大規(guī)模路由。所以在簡單的拓撲中，靜態(tài)路由是最好的選擇。假設通過專線接入因特網時接入地址為192.18.1.9，那么路由配置如下：</p><p>　　# 配置默認路由，下一跳地址為對端路由接口的IP地址192.18.

73、1.9</p><p>　　[RT-A]ip route-static 0.0.0.0 0.0.0.0 192.18.1.9</p><p>　　在網絡中，傳輸介質的老化或損壞都可能導致網絡訪問的短時間中斷，從而導致服務中斷。為解決類似的問題，應在核心和路由器之間配置路由備份。當物理線路斷掉時，備份路由能夠及時的被激活，實現網絡的連續(xù)訪問。</p><p>　　在網

74、絡中，配置兩條等價路由（不同下一跳）可實現路由的負載分擔，而修改兩條等價路由的優(yōu)先級，即可實現路由的備份。本次設計中，核心層通過路由器實現對外網的訪問，則在核心層配置備份路由。具體配置如下：</p><p><b>　　配置一：</b></p><p>　　# 配置默認路由，下一跳地址為路由RT-A接口的IP地址192.18.1.2，靜態(tài)路由默認優(yōu)先級為60</

75、p><p>　　[SW3-A]ip route-static 0.0.0.0 0.0.0.0 192.168.1.2</p><p>　　#配置備份路由，下一跳地址為SW3-B接口的IP地址192.168.3.2，修改路由優(yōu)先級為100</p><p>　　[SW3-A]ip route-static 0.0.0.0 0.0.0.0 192.168.3.2 prefer

76、ence 100</p><p><b>　　配置二：</b></p><p>　　# 配置默認路由，下一跳地址為路由RT-A接口的IP地址192.18.2.2，靜態(tài)路由默認優(yōu)先級為60</p><p>　　[SW3-B]ip route-static 0.0.0.0 0.0.0.0 192.168.2.2</p><p&g

77、t;　　#配置備份路由，下一跳地址為SW3-A接口的IP地址192.168.3.1，修改路由優(yōu)先級為100</p><p>　　[SW3-B]ip route-static 0.0.0.0 0.0.0.0 192.168.3.1 preference 100</p><p><b>　　5 網絡安全</b></p><p>　　網絡帶給人們許多

78、便利，加快了人類發(fā)展的進程。在網絡快速發(fā)展的同時，各種病毒、人為攻擊和物理線路的故障，都時時刻刻危及人們的機密信息和網絡的正常運轉，對網絡安全提出了嚴峻的挑戰(zhàn)。所以，在組建局域網的同時，網絡安全成為一個重要的指標。</p><p>　　在本次康普教育中心企業(yè)網的組建中，針對公司的具體要求和網絡涉及的安全技術問題，給予了一系列完善的設計方案。</p><p>　　首先，利用設備自身提供的安全

79、技術，從數據傳輸上控制安全。接入交換機支持VLAN功能，合理的給每個部門劃分VLAN，在二層上隔離數據，減少廣播風暴的產生。同時設置ACL，具體的對特定用戶組做隔離保護（如財務部等），更加有效的解決了內部網絡人為攻擊的難題。而NAT技術本身有一定的安全作用，它隱藏并保護了企業(yè)內部網絡的計算機，從而有效地避免來自外部網絡的攻擊。</p><p>　　其次，為公司專門配置了網絡安全設備——防火墻。設置入侵檢測功能，以

80、阻止Dos以及DDos等人為攻擊。開啟防火墻的其它安全功能，并時常檢查日志文件，對敏感、特殊的網絡訪問進行及時的添加隔離處理。定時維護、升級防火墻，保證防火墻的正常工作和安全保護。在物理安全上，公司需配備專門的網絡機房和標準的網絡機柜，以存放網絡設備。線路的安裝要安全封閉。還要有專門的網絡管理員，管理、維護網絡的日常運作，保證網絡的安全性和暢通。</p><p>　　最后，給每臺計算機安裝殺毒軟件。本次設計中，殺

81、毒軟統一安裝金山毒霸企業(yè)版，以保護終端用戶的數據安全?？梢越o企業(yè)員工組織一次有關網絡安全的學習教育，讓每個人了解網絡安全，正確合理的使用網絡。</p><p><b>　　結論</b></p><p>　　在這科技騰飛的時代，網絡信息決定著企業(yè)的命運，網絡經濟把握著公司的命脈。企業(yè)局域網扮演著越來越重要的角色，搭建各自的網絡成了各企業(yè)的不可缺少的組成部分。</p

82、><p>　　通過本次的論文設計，我學到了很多知識。在局域網組建的實例中，我們必須考慮到企業(yè)對網絡的需求，通過網絡技術和企業(yè)需要的良好融合，搭建實用型的企業(yè)局域網。除此，網絡還應做到模塊化、系統化，不僅減少的管理維護的成本，更能提升網絡本身的業(yè)務處理能力和網絡的辦公效率。良好的網絡離不開日常管理和維護，只有加強平時的檢查，才能防患于未然，為網絡的暢通保駕護航。</p><p>　　在本次實例中

83、，也感覺到自己實踐經驗和理論知識的不足以及知識掌握的不牢，警醒我在以后的學習工作要更加努力勤奮。因為個人技術的有限，如果有不足的地方敬請諒解并歡迎提出寶貴意見，不甚感激。</p><p>　　本次設計主要用到的技術：</p><p>　　（1）、VLAN（虛擬局域網）隔離技術。</p><p>　?。?）、NAT(網絡地址轉換)技術解決IP地址。</p>

84、<p>　?。?）、ACL（訪問控制列表）保證數據的安全性。</p><p><b>　?。?）、路由規(guī)劃。</b></p><p><b>　　致謝</b></p><p>　　在論文完成之際，要特別感謝以下陪伴我度過學習生涯的人，是你們對我的熱情關懷和無盡的幫助使我懂得了書本上學不到的人生哲理。</

85、p><p>　　感謝我的指導老師周晶老師。在論文的書寫全過程中，周晶老師傾注了大量的心血和汗水。論文的構思、題材的選擇、書寫過程中的修正以及論文的完成，從一無所知到最終的定稿，在周晶老師一次又一次的悉心指導才得以完成。而老師淵博的學識、教學的嚴謹和認真工作的態(tài)度更是值得我學習，在此向周老師表示真誠的感謝。</p><p>　　感謝我的專業(yè)課老師許長軍老師。在許老師的諄諄教誨和細心的指導下，我從

86、接觸網絡技術到具備專業(yè)知識，累積豐富的專業(yè)技能。</p><p>　　感謝我的班主任魏玲玲老師。感謝老師在高職的五年里對我的學習、生活的幫助，以及人生之路的指引，謝謝老師。</p><p>　　感謝所有教過我的老師，你們辛苦了，是你們教授我文化知識和人生道理。</p><p>　　感謝康普教育中心所有老師對我的支持和幫助，感謝錢老師的培訓。</p>&

87、lt;p>　　感謝我的父母給了我生命和家庭，感謝你們養(yǎng)育了我，讓感受到了愛的溫暖，讓我懂得了如何做人。</p><p>　　感謝我所有共同生活、一起學習過的朋友們，你們的陪伴和支持讓我的人生更加多彩。</p><p><b>　　參考文獻</b></p><p>　　1、 計算機組成原理（第2版）——羅克露.等 電子工業(yè)出版社<

88、/p><p>　　2、 網絡攻擊與防御技術——張玉清.等 清華大學出版社</p><p>　　3、 網絡工程設計實用教程——劉昭斌.等 清華大學出版社</p><p>　　4、 IPv6技術 ——杭州華三通信技術有限公司 清華大學出版社</p><p>　　5、 路由交換技術 第1卷（上冊）——杭州華三通信技術有限公司 清華大學出版社 &

89、lt;/p><p>　　6、 路由交換技術 第1卷（下冊）——杭州華三通信技術有限公司 清華大學出版社</p><p>　　7、 路由交換技術 第2卷 ——杭州華三通信技術有限公司 清華大學出版社</p><p>　　8、 路由交換技術 第3卷 ——杭州華三通信技術有限公司 清華大學出版社</p><p>　　9、 路由交換技術 第4卷 —