大型企业网规划与设计

德州职业技术学院高职专业毕业论文论文题目：大型企业网规划与设计系 部：计算机专 业：计算机信息化_江陈学 号：201303060227指导 徐冰二一六年一月一号28 / 34毕业设计说明书论文中文摘要随着经济的快速发展,大型企业传递信息的方式越来越多,也越来越快捷.企业通过自己网络平台,可以发送电子、召开视频会议、浏览新闻、共享各种网络数据、展示和销售产品,进行各种联网业务的处理.因此,构建一个合理的企业网成为当今企业发展的必然趋势,企业网不仅提高了企业办公的效率,节省业务处理时间,还使企业能够与时地了解世界的一些信息,以便于企业能够与时地对相应的策略进行调整,增加了企业的竞争优势.本次设计以Internet技术为基础,对大型企业网进行规划与设计,设计网络拓扑结构,合理地应用路由器以与交换机,实现网络的互连和互通,同时,利用各种安全技术保证企业网的安全性和稳定性.关键词：企业网络 拓扑结构 路由 交换毕业设计说明书论文外文摘要TitleDesign of enterprise network reasonableAbstractWith the rapid development of economy, large enterprises transfer of information more and more, also more and more quick. The enterprise through their own network platform, send , video conference, browse news, sharing all kinds of network data, display and sell products, processing a variety of network services. Therefore, a reasonable construction of the enterprise network bee inevitable trend of enterprise development, enterprise network not only improves the enterprise efficiency of the office, save processing time, but also enable enterprises to timely understanding of some of the information world, in order to help the enterprises to timely adjust the corresponding strategies, increase the enterprises petitive advantage.This design is based on Internet technology, the planning and design of large enterprise networks, the network topology, the reasonable application of routers and switches, interconnection and intermunication, network at the same time, ensure the enterprise network security and stability using a variety of security technology.Keywords：Enterprise networks Topology Routing Switching目录第一章前言11.1研究的背景11.2研究的目的与意义1第二章网络技术的原理22.1大型企业网设计的概述22.2 核心的技术22.2.1 路由技术22.2.2 交换技术32.3 线缆62.3.1 线缆的介绍62.3.2 双绞线的制作72.3.3 选择线缆的优点7第三章需求分析93.1 设计原则93.2 大型企业网的功能需求93.3 网络地址的接入需求103.4 网络层次的需求分析103.4.1 核心层的需求分析103.4.2 汇聚层的需求分析103.4.3 接入层的需求分析11第四章大型企业网络设计124.1 网络逻辑拓扑图124.2 网络设备的选用134.2.1 路由器134.2.2 交换机154.3 企业的布线设计174.4 CISCO模拟器的应用17第五章网络系统的实现195.1 VLAN以与IP地址的划分195.2 网络设备配置205.2.1 网络设备基础配置205.2.2 VTP205.2.3 划分VLAN215.2.4 DHCP225.2.5 端口安全245.3 内网设备的配置26服务器的配置26交换机的配置265.4 外网部分的设计305.4.1 NAT305.4.2 GRE-VPN315.5 设计结果335.5.1 DHCP335.5.2 内网连接到外网345.5.3 分公司连接总公司35第六章结束语36参考文献37致谢38附录：英文技术资料翻译39第一章 前言1.1研究的背景随着科技的发展,计算机技术和互联网技术逐渐出现在我们的生活中,使得我们的生活丰富多彩.企业通关网络进行产品的设计、制作、交流,使得工作的效益越来越大,推动了社会的进步.计算机技术在很多领域都发挥了巨大的作用,人们的生活越来越离不开计算机技术.计算机技术的快速发展,逐渐被应用到企业的各个部分,网络通信技术随之而来,极大地提高了企业的工作效率.企业通过计算机技术,能够与时的得到很多有益于企业的信息,通过Internet技术与外部世界进行信息交换,从而对企业做出一些调整和决策,迎合市场的需求.企业能够快速的与世界联系,提高了信息的收集能力.1.2研究的目的与意义企业通过企业网能与时了解到很多外界信息,使得不同的计算机之间能够相互通信,没有了地理位置的限制,企业人员可以通过任何计算机去访问另一台,从而节约了大量的时间.要想实现上述的功能,企业必须要实施相应的企业网设计的方案,保障网络的费用、安全、速度、可靠性、可伸缩性、可用性、拓扑一些因素.通过Internet技术,企业内部能够使信息流通能加便捷、迅速.企业都会有自己独立的IP地址和域名,企业可以在Internet上宣传自己的产品以与企业的形象,提高企业的知名度.当企业做大时,避免少不了要开分公司,主公司与分公司之间的相互交流也是必不可少的,如果是通过 来交流,费用太过高了,此时可以通过IP网络可以进行网络视频会议.第二章 网络技术的原理2.1大型企业网设计的概述一个完整的企业网,可以分为核心骨干网、园区网、数据中心、分支机构、Internet边缘.核心网通常会将园区网、数据中心以与网络中的分支机构部分连接在一起.在大型企业网中,整个网络通常有着许多的园区网,分别分布在网络中的不同位置,负责者终端用户与网络骨干之间的连接.园区网使得分布某一个地理位置内的终端用户能够访问到网络通信服务以与网络资源的共享.数据中心则是用来存放计算机系统以与相关设备组成部分的设施,亦被称为服务器集群.企业网的分支机构包含路由器、交换机等设备,它的作用是连接总部办公室和各地的分支办公室,并且各个主站点之间能够建立连接.Internet边界是由路由器、交换机、防火墙以与其他网络设备所构成的,目的是将企业网连接到Internet上.2.2 核心的技术本设计方案全部采用的是Cisco的网络设备.2.2.1 路由技术路由协议工作在OSI参考模型的第3层网络层,它的作用主要是通信子网间路由数据包.路由器能够寻找到达目的网络的第3层路径,将分组从一个接口传递到达领一个接口,能够学习相邻路由器,查找和选择到达目的网络的最佳路径,同时也能维护最新的可达性信息.路由协议定义了2种选择协议：静态路由协议和动态路由协议.路由器是外网进入企业网内网的第一道关卡,路由器保护内网安全通常使用访问控制列表ACL.一个设计良好的访问控制列表可以起到控制网络流量、流向的作用.路由器处在企业内网和外网之间,能够保护外网与内网之间的通信,即使在网络系统安装了防火墙产品后,也仍需要对路由器的访问控制列表进行设计,从而更好的保护到企业内网.2.2.2 交换技术交换技术处于OSI模型的第2层数据链路层.交换机主要的功能包括物理编址、网络拓扑结构、流量控制以与错误验证,同时能够支持VLAN虚拟局域网和链路的汇聚.交换机可以将一个大的冲突域分成很多小的冲突域,交换机利用ASIC专用集成电路以硬件的方式交换帧,并且支持全双工连接和半双工连接.全双工连接允许用户同时收发数据.不同的交换机端口支持不同的以太网速度如10BaseT、100BaseTX.交换机的主要功能是学习、转发和清除环路.学习：交换机学习什么设备连接到哪个端口号上.转发：交换机可以智能地将数据帧转发到接收站所在的端口.清除环路：交换机利用生成树协议STP清除环路,数据帧不会在网络中不断地循环.以下是用到的一些技术与其介绍 VLAN技术VLANVirtual Local Area Network即虚拟局域网,是在可包括多个物理网段的相同广播域中的一组连网设备,它很适合在不同用户组之间逻辑的分隔流量.从逻辑的角度上说,VLAN是子网.默认情况下,一个VLAN中产生的广播不会转发到另一个子网中.路由器或第三层设备提供此边界功能.每个子网都需要网络号作为唯一的标识.如果要将不同VLAN间的流量相互传递,需要使用路由器.VTP是Cisco专有的协议,用于传输VLAN信息.它有3种模式：Server服务器、Client客户以与Transparent透明.服务器和透明交换机可以添加、修改、删除VLAN,由于服务器通告这些修改,客户只能被动接受更新,保持和服务器一致.VLAN的出现,解决了以太网的广播风暴,同时也提高了完全性,通过在以太网帧的基础上添加了VLAN头部,用ID号把用户划分更小的组,而每个组就相当于一个虚拟的局域网.DHCPDHCP即动态主机分配协议允许设备动态获取相应的寻址信息.DHCP最初是在RFC2131中定义的,在2939中获得更新,是以BOOTP引导协议为基础的.它定义了2个组件：服务器和客户端.服务器负责为客户端分配寻址信息,客户端可以从服务器请求寻址信息.DHCP能够减少设备的配置量；降低获得地址信息的设备上的配置错误出现的可能性；通过集中化IP寻址信息和管理来提供更多的管理控制.客户端为了获得寻址信息,首先,客户端生成一个DHCPDISCOVER本地广播,发现哪些DHCP服务器在LAN网段上.在该网段上的所有DHCP服务器都能够用DHCPDISCOVER单播消息来响应服务器,该消息为客户端提供IP寻址信息.如果客户端收到多个服务器的消息,会选取最先收到消息的服务器.客户端用DHCPREQUEST消息回应服务器,告诉该服务器它想得到的服务器所发的寻址信息.DHCP服务器服务器用DHCPACK消息进行回应,指明服务器已经收到DHCPREQUEST消息,并且客户端接受寻址信息.HSRPHSRP：热备份路由器协议HSRP：Hot Standby Router Protocol在整个企业网中,虚拟网络之间的交换是通过2台交换机实现的.2台交换机通过Cisco的HSRP,从而实现路由设备之间的冗余.HSRP协议针对于IP协议.HSRP协议利用优先级,决定出配置了HSRP协议的路由器作为默认的主动路由器.优先级最高的即为主动路由器当主动路由器出现问题不能工作时,HSRP将激活备份路由器,取代主动路由器,从而保障网络的联通.HSRP提供了一种机制,用来判断哪台路由器应该充当活跃角色转发流量.HSRP还提供了一种机制,来选出活跃角色什么时候由备用路由器接管.从一台转发路由器到另一台转发路由器的转换过程对于终端来说是透明的.PVSTPVST: Per-VLAN Spanning Tree每VLAN生成树 PVST是为了解决在虚拟局域网上处理生成树的方案.PVST+中的每个VLAN都将会开发属于自己的无环拓扑,但是不会创建经过优化的无环路网络.如果STP更改发生在一个VLAN中,这些更改不会影响其它VLAN的其它STP实例,从而使得网络拓扑更加的稳定.PVST+为每个VLAN都提供了一个STP实例这是Cisco所特有的.AAA验证AAA-身份验证 、授权 和统计 Cisco开发的一个提供网络安全的系统1.认证：指用户在使用网络系统中的资源时对用户的身份进行的确认;授权：指网络系统授权用户以固定的形式使用资源;统计：指网络系统收集、记录用户对网络资源使用的情况,以便于了解用户对资源的使用情况.认证部分向用户提供认证.整个认证一般是采用输入用户名与密码的形式来进行权限管理.认证的原理是每个用户都有一个唯一的权限获得标准.由AAA服务器将用户的标准同数据库中每个用户的标准一一核对.如果符合条件,那用户可以使用资源；如果不符合条件,用户则无法连接.用户通过授权来获得操作相应任务的权限.当用户登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限.一旦用户通过了认证,他们也就被授予了相应的权限.最后一步是统计,这一过程将会计算用户在连接过程中消耗的资源数目.这些资源包括连接时间或者用户在连接过程中的收发流量等等.可以根据连接过程的统计日志以与用户信息,还有授权控制、账单、趋势分析、资源利用以与容量计划活动来执行#过程.验证授权和#由AAA服务器来提供.AAA服务器是一个能够提供这三项服务的程序.当前同AAA服务器协作的网络连接服务器接口是远程身份验证拨入用户服务 2.2.3 线缆2.3.1 线缆的介绍常用的网线是串口线和双绞线,双绞线是通过2种相互绝缘的金属绞合而成的导线,正由于绝缘,双绞线可以抵挡一些来自网外的电磁波干扰,双绞线之间的相互干扰也相对较低.将2个绝缘的导线相互绞在一起,它们所干扰的信号是一致的,接收信号时的差分电路能够将这些干扰信号抵消掉,从而能够获得有用的信号.双绞线可以分成屏蔽双绞线STP和非屏蔽双绞线UTP.在屏蔽双绞线的外缘有个金属屏蔽层.屏蔽双绞线有2种：STP和FTP. STP中的每一条线都有着屏蔽层,而FTP只是在整个的线缆才有着屏蔽装置,而且是两端连接正确才有用.非屏蔽双绞线没有屏蔽外套,直径比较小,可以节省空间的占用,而且应用的成本比较低廉；重量轻,可以随意弯曲；能够让串扰减至最低,能够阻燃；具有灵活性以与独立性,可以适用在结构化的综合布线；可以传输数字数据和模拟数据.双绞线按照线的直径可以分为：一类线CAT1：它的线缆最高的频率带宽是750KHz,只适用于语音的传输,与数据传输不同；二类线CAT2：它的线缆最高的频率带宽是1MHz,在语音传输与最高的传输速率可达到4Mbps的数据传输；三类线CAT3：它是目前ANSI与EIA/TIA568标准使用的电缆,它的传输频率可达16MHz,最高的传输速率是10Mbps,主要用于语音、10BASE-T10Mbit/s以太网以与4Mbit/s的令牌环；四类线CAT4：它的线缆传输频率可达20MHz,用在语音传输和最高的传输速率为16Mbps的数据传输,主要用于局域网以与10/100BASE-T;五类线CAT5：它增加了线缆的绕线密度,外套有着一种高质量的绝缘材料,它的最高频率带宽可达到100MHz,最高传输率为100Mbps；超五类线CAT5e：它衰减小,串联的干扰也小,主要应用在1000Mbps的以太网中3；计算机网络一般使用的是三类线和五类线,10BASE-T使用三类线,100BASE-T使用五类线.2.3.2 双绞线的制作国际上制作的双绞线有2中标准：EIA/TIA 568A和EIA/TIA 568B.EIA/TIA 568A排线的顺序为1绿白、2绿、3橙白、4蓝、5蓝白、6橙、7棕白、8棕4.EIA/TIA 568B排线的顺序为1橙白、2橙、3绿白、4蓝、5蓝白、6绿、7棕白、8棕4.图2-1 两种双绞线双绞线的顺序和RJ45头的引脚序列号是相互对应的.为了使双绞线使用的范围更广,为此,采用8芯线的双绞线.100BASE-T4RJ-45对双绞线的规定：1、2必须要用双绞线：为了发送数据流量；3、4为双绞线：为了接收数据流量；5、6为双绞线：用于语音；7、8为双绞线：是双向线.双绞线又可以分为平行线直通线和交叉线.2.3.3 选择线缆的优点线缆传输数据流量时,它的传输距离较远,而且传输时流量不易丢失.双绞线收发器中采用了新的处理方法,保持了原始数据信息,确保了它的实时性,而且传输过程不会轻易的失真.根据线缆的可以随意弯曲的特征,它布线比较方便,利用率很高.它可以在强干扰的环境下传输信号,有着极强的抗干扰能力,可以有效地抑制工模干扰.通过一根线缆中,几对双绞线之间分别传递不同的信号,它们之间不会相互干扰.线缆的可靠性比较高,而且方便使用.现如今线缆使用的十分广泛,价格比较便宜,取材方便.第三章 需求分析3.1 设计原则网络设计是保障网络工程质量的重要环节,一个好的网络设计方案,能够大大提高工作效率,节省大量的时间.此方案是从企业的网络结构、设备的选择、网络的维护和管理等反面进行设计.为了使企业的拓扑更为合理,网络设计过程应该遵守以下的原则：费用：包括网络组件、安装以与维护的费用；安全：保护网络组件和组件内的资源,以与组件之间的信息数据传输；可用性：构建网络时必须根据现实,网络完成后,也要为设备的不能用而可以采用的紧急措施；可伸缩性：网络架构要具有一定的变化性,能够适应企业的调整.3.2 大型企业网的功能需求此次企业网的设计中,网络拓扑结构采用的是星型网络拓扑结构,因为星型网络拓扑具有安全、可靠、可伸缩性等特点.通过层次化模型设计出的网络拓扑结构,降低了设计时所用的成本.此设计将整个企业网化成3部分：核心层、汇聚层以与接入层.本企业在设计时做出以下的需求： 本企业中所有电脑都能保证能够连接到Internet,核心交换采用三层交换机进行信息传递； 企业内网与外网连接的路由器上,使用NAT技术,进行IP地址的转换,使得企业内能正常连网； 在核心的3层交换机上启用DHCP ,将IP地址制动分配到各个部门,每个部门处在不同的VLAN中,为了防止信息传递时做造成的网络风暴； 建立了服务器集群：DNS服务器、FTP服务器、服务器以与WWW服务器； 每个部门都采用端口安全,保证了内网接入的一定是该企业的成员； 核心路由器上为了网络的完全着想,采用了ACL技术,对数据流量进行控制访问； 分支企业与主企业通过GRE-VPN技术,进行信息传递.3.3 网络地址的接入需求每个企业,都会从运营商那边获取得到一个IP地址,作为企业的标示,对Internet资源的访问,都是经过这个IP地址的,从IP地址可以确定出企业.企业的内部网络,有着很多独立的局域网,这些局域网的IP地址网段和从运营商那里得到的IP地址不在同一网段的,从而这些局域网不能够连接到Internet上.要想实现局域网与Internet的互连,一定要在这些局域网与Internet之间添加一个设备,这个设备上要有NAT技术,将这些局域网的IP地址转变成和Internet的IP地址在同一网段上.因为NAT技术能够将数据包中的局域网的IP地址和端口号的一些资料信息转变成能够与Internet互相连接的IP地址和端口号.3.4 网络层次的需求分析本次设计将企业网分成3个层次：核心层、汇聚层以与核心层.3.4.1 核心层的需求分析核心层也被称为骨干,高速的骨干是为了用最快的速度进行数据包的交换.企业网的设计中,核心的骨干使用万兆的以太网链路和其他交换机进行连接.从网络连通的角度来说,核心层是关键性因素,因此核心层一定要保障它的可用性达到最高,与此同时,也要适应网络的变化.核心层能够与各个汇聚层的设备连接,将不同的局域网络连接在了一起,从而形成了一个整体.3.4.2 汇聚层的需求分析汇聚层也被叫做分布层,在这里,它汇集了配线柜,通过交换机,企业将工作组分在了不同的网段,并且通过交换机将企业网中出现的问题隔离在了一个比较小的范围中.汇聚层位于核心层与接入层之间,担任着服务于控制的边界,如同一个关卡,保障了网络的运行,提供了很好的网络品质.汇聚层的主要工作是将数据包尽心区域交换；有着可靠性以与冗余性；可以将有问题的区域进行隔离；有着良好的路由交换能力和区域汇聚能力；便于管理.3.4.3 接入层的需求分析接入层是用来让用户、服务器或者是边缘的设备能有访问网络.在企业网中,接入层通常包括了工作站、服务器、打印机、无线接入点等设备提供端口的交换机.在WAN环境中,对于远程办公人员或远程站点的用户来说,接入层可以通过WAN技术来帮助他们访问公司的网络.接入层是企业网中特性最为丰富的部分,因为设计网络的最佳做法就是尽量接近网络边缘的位置应用特性,这些特性包括安全、访问控制、过滤、管理等3.第四章 大型企业网络设计4.1 网络逻辑拓扑图下面是企业总公司和分总司以与他们之间互通的逻辑拓扑图,VLAN 100-105的流量从左面的三层交换机走,VLAN 106-109的流量从右边的三层交换机走,其中两台交换机以与交换机和路由器之间用光纤相连,其余的用双绞线中的交叉点和直通线相连.其中,公司和Internet连接通过NAT的地址转换,两个公司之间使用VPN技术实现互通的.直通线用于连接两种不同的设备,如1） Router和交换机2） PC和Router交叉线一般用于连接两种相同的设备,如1） Router和Router2） Switch和Switch3） Router和PC 特例图4-1 企业总公司网络拓扑图4-2 子公司的逻辑拓扑图4-3 两个公司互连拓扑图4.2 网络设备的选用4.2.1 路由器选用3台Cisco 2811路由器1介绍Cisco 2811隶属于Cisco 2800系列产品,与相似价位的前几代思科路由器相比,Cisco 2800系列的性能提高了五倍、安全性和话音性能提高了十倍、具有全新内嵌服务选项,且大大提高了插槽性能和密度,同时保持了对目前Cisco 1700系列和Cisco 2600系列中现有90多种模块中大多数模块的支持,从而提供了极大的性能优势. 思科2811具有先进、集成的端到端安全性,以用于提供融合服务和应用.凭借思科IOS软件高级安全特性集,它在一个解决方案集中提供了一系列强大的通用安全特性,如思科IOS Software Firewall、入侵保护、IPSec VPN、Secure Shell SSH协议2.0和简单网络管理协议SNMPv3.思科2811提供了2个10Mbps/100Mbps端口,它能以线速为多条T1/E1/XDSL连接提供多种高质量并发服务.这些路由器提供了内嵌加密加速和主板话音数字信号处理器DSP插槽；入侵保护和防火墙功能；集成化呼叫处理和语音留言；用于多种连接需求的高密度接口；以与充足的性能和插槽密度,以用于未来网络扩展和高级应用.思科2811特别设计可满足中小型分支机构和中小型企业对于目前和未来应用日益提高的需求.将业界范围最广的连接选项与领先的可用性和可靠性特性相结合.此外,Cisco IOS软件支持全套传输协议、服务质量QOS工具,以与先进的安全和话音应用.2基本参数表4-1 路由器参数路由器类型多业务路由器网络标准IEEE 802.3x传输速率10/100Mbps端口结构模块化局域网接口2个其它端口2个板载AIM插槽+4个接口卡插槽+1个插槽产品内存DRAM：最大760MB闪存最大128MB电源电压AC 100-240V,47-63Hz电源功率160W产品认证UL 60950,CAN/CSA C22.2 No.60950,IEC 60950,EN 60950-1,AS/NZS 60950产品尺寸44.5438.2416.2mm产品重量6.4kg环境标准工作温度：0-40工作湿度5%-95%存储温度-20-65存储湿度5%-95%enable -进入特权模式Switch #configure terminal -进入全局配置模式Enter configuration mands, one per line. End with CNTL/Z.-在这个模式下即全局配置模式,按住CTRL 和Z键,即可退至特权模式Switch#hostname XSB -将交换机的名字改成XSB销售部的首字母,为了便于管理5.2.2 VTP这里使用2个核心三层交换机为例,如图5-3：图5-3先在SW1上面配置,进入全局配置模式方法如上Switchconfig# vtp domain QIYE -定义VTP的域名QIYEChanging VTP domain name from NULL to QIYE -提示VTP没有域名,改成QIYESwitchconfig# vtp mode ? - 查看VTP的模式client Set the device to client mode. server Set the device to server mode. transparent Set the device to transparent mode.VTP的模式一共有3种：client、server、transparentSwitchconfig#vtp password wang -定义VTP的密码Switchconfig#vtp version 2 -定义VTP的版本号为2注： 2台三层交换机配置时,一台交换机SW1模式为server,一台交换机SW2模式为client,要想SW1和SW2同步,SW1和SW2的域名,密码以与版本要保持一致,两台交换机相连的接口,都要起trunk 进入接口,switchport mode trunk,当2个交换机同步后,将两台交换机的VTP模式改为transparent.5.2.3 划分VLAN 这里使用一个核心三层交换机和一个2层交换机,如图5-4：图5-4在SW1上,进入全局配置模式,Switchconfig#vlan 101 -创建一个VLANSwitchconfig-vlan#name BGS -将创建的VLAN命名为BGSSwitchconfig-vlan#exit - 退出VLAN,进入全局配置模式Switchconfig#interface fastEthernet 0/1 -进入f0/1这个接口Switchconfig-if#switchport mode access -强制接口为access接口,并且可以与对方主动协商,使对方成为access模式.access：主要是用来连接终端设备Switchconfig-if#switchport access vlan 101 -将f0/1划入VLAN101中在特权模式上 show vlan 可以看到出了一个叫BGS的VLAN101 ,并且f0/1这个接口在VLAN101中,如图5-5：图5-55.2.4 DHCP这里使用一台三层交换机和与办公室相连接的2层交换机和一台PC,如图5-6：图5-6在这里,可以把2个二层交换机当成不存在,在三层交换机上进行配置：进入全局配置模式,Switchconfig# ip dhcp pool vlan101 -定义一个DHCP的网络地址池Switchdhcp-config#network 10.10.11.0 255.255.255.0 -这个地址池的IP地址都在10.10.11.0/24这个网段中 -设置一个域名服务器组在三层交换机上将VLAN101的IP地址配制成10.10.11.11/24.没有获得IP地址时,如图5-7：图5-7获取到IP地址时,如图5-8：5-85.2.5 端口安全这里把路由器与交换机相连,交换机的f0/1口分别与两个相同IP地址的PC连接,在f0/1上进行端口安全操作,如图5-9：图5-9路由器f0/0 接口IP地址为192.168.11.11/24；两个PC的IP地址都是192.168.11.2/24;在没有做任何操作时,2个PC都能与路由器相连,如图5-10：图5-10在交换机的f0/1上进行配置Switchconfig-if#switchport port-security -开启端口防护Switchconfig-if#switchport port-security mac-address sticky -将交换机f0/1接口与办公室的PC的MAC地址进行绑定Switchconfig-if#switchport port-security violation shutdown -当不是办公室的MAC时,f0/1这个接口会自动关闭 即非企业PC与交换机f0/1相连接时,f0/1接口会关闭,如图5-11：图5-115.3 内网设备的配置5.3.1服务器的配置双击WEB服务器,进入Web服务器的配置界面,点击Desktop标签,点击IP Configuration,进行IP的配置,如图5-12：图5-125.3.2交换机的配置根据上面VLAN的划分,将不同的部门隔离道不同的虚拟网中.二层交换机以SW03为例enable conf tvl 103vl 104vl 105 -创建3个VLANinterface FastEthernet0/1switchport mode trunkinterface FastEthernet0/2switchport mode accessswitchport access vlan 103interface FastEthernet0/3switchport mode accessswitchport access vlan 104interface FastEthernet0/4switchport mode trunk -与三层交换机相连的口起trunk interface FastEthernet0/5switchport mode accessswitchport access vlan 105 -将3个接口分别划入3个对应的VLAN中三层交换机以SW01为例ip dhcp pool v101-定义一个IP地址池 -IP地址网段 -网关-DNSip dhcp pool v102ip dhcp pool v103ip dhcp pool v104 -定义4个DHCP地址池,自动分配接入层的IP地址ip routing -开启三层交换机的路由功能spanning-tree mode rapid-pvstspanning-tree vlan 105-109 priority 24576spanning-tree vlan 100-104 priority 28672 -VLAN105-109的流量从SW01走,VLAN100-104的流量从SW02走interface FastEthernet0/1 no switchport -开启端口的三层口,交换机默认是二层口interface FastEthernet0/2 switchport trunk encapsulation dot1q switchport mode trunkinterface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunkinterface FastEthernet0/4switchport trunk encapsulation dot1q -对交换机的端口进行中继封装switchport mode trunkinterface FastEthernet0/5 channel-group 1 mode on switchport trunk encapsulation dot1q switchport mode trunkinterface FastEthernet0/6 channel-group 1 mode on -将两个接口绑定在一起,并且指定ON模式switchport trunk encapsulation dot1qswitchport mode trunkinterface Port-channel 1 switchport trunk encapsulation dot1q switchport mode trunkinterface Vlan1 no ip address shutdowninterface Vlan99interface Vlan100interface Vlan101interface Vlan102interface Vlan103interface Vlan104interface Vlan105interface Vlan106interface Vlan107interface Vlan108interface Vlan109 -设置VLAN99-109的IP地址5.4 外网部分的设计5.4.1 NATNAT属于广域网技术,它能够将本地的私有地址转换成合法的IP地址.它的出现,解决了IP地址应用的不足,与此同时,它能够隐藏住私有的IP地址,从而避免了网络外部的攻击,保护了网络安全.总公司R1路由器上的配置：interface FastEthernet0/0 -配置外网网接口地址ip nat outside -定义外部接口interface FastEthernet0/1 -配置内网接口地址ip nat inside -定义内部接口 interface Ethernet0/0/0 ip nat inside -配置一条默认静态路由,将所有的流量传给下一跳,即外网的IP地址 -允许总公司成员访问外网access-list 1 permit any -允许所有的成员访问ip nat inside source list 1 interface FastEthernet0/0 overloadip nat inside source list 10 interface FastEthernet0/0 overload -将2个访问控制列表分别进行关联5.4.2 GRE-VPNGRE通用路由封装协议是对一些网络层的协议如IP和IPX的数据报进行封装处理,让这些被封装的数据报能够传输到另一个网络层协议.GRE是VPN的第三层隧道协议,即在协议层之间采用了一种被称之为Tunnel隧道的技术.GRE是一个标准协议,它支持多种协议和多播,能够用来创建弹性的VPN,支持多点隧道,可以实施QOS服务质量.总公司和分公司通过服务提供商进行通信,如图5-13：图5-13总公司：interface Tunnel0 -进入Tunnel 0口 -配置通道源地址tunnel source FastEthernet0/0 -配置通道源接口 -配置通道目的地址tunnel mode gre ip -指定通道模式router rip -RIPip route 202.100.86.0 255.255.255.0 202.100.86.99 ip route 10.10.0.0 255.255.0.0 10.10.9.1 ip route 10.10.0.0 255.255.0.0 10.10.8.1 ip route 10.10.7.0 255.255.255.0 1.1.1.1 -指定静态路由服务提供商：interface FastEthernet0/0interface FastEthernet0/1interface Ethernet0/0/0router ripip route 202.100.88.0 255.255.255.0 202.100.88.88 分公司：interface Tunnel0tunnel source FastEthernet0/0 tunnel mode gre iprouter rip5.5 设计结果5.5.1 DHCPVLAN101-104是使用DHCP技术,使得这些相应的部门中的PC能够自动获取到IP地址以办公室的PC为例：图5-14 获取IP前图5-15 获取得到IP地址5.5.2 内网连接到外网各个部门中的PC通过路由器的NAT技术,将IP地址进行转换,使得不同IP网段之间相互通信.以办公室的PC为例,设计结果如图5-16：图5-165.5.3 分公司连接总公司分公司通过VPN技术,与总公司通信.以总公司中办公室的PC和分公司中VLAN6中的PC为例,分公司Ping办公室,设计结果如图5-17：图5-17第六章 结束语这次的毕业设计,我做的是大型企业网络规划与设计,长时间的创新和完善,基本上实现了企业网的一些功能.一开始,我先将各个部门划入了不同的VLAN,然后对2台三层交换机进行设置,哪些VLAN走SW01,哪些VLAN走SW02,并且让三层交换机和二层交换机之间起trunk,在三层交换机上启用DHCP协议,让一些部门可以分配到IP地址,然后在加入服务器集群,保证服务器的正常使用,再通过访问控制列表,限制企业部门的数据库的访问权限,通过RIP协议,保证内网的互通.将内网全部搞定后,将三层交换机与路由器想连接,并在此路由器上设置NAT,使得内网可以反问Internet.为了使设计能好看些,我又加入了一个分公司,分公司与总公司通过GRE-VPN相互通信,并且ACL技术,将分公司的部门与部分总公司的部门相互通信.我是通过Cisco packet Tracer模拟器来设计的,有些功能是实现不了的.在网络的安全方面,我用了ACL、通过交换机的端口安全以与NAT技术,保护了网络的安全.再设计过程中,我也遇到了一些问题,一开始我设计VPN时,总公司和分公司之间不能通信,通过不断的查询资料,终于明白了,在路由器上要加入一些静态路由,使得数据传输时,知道要将数据传给下一跳.这次的毕业设计,我感觉到十分有意义,既培养了我们的操作能力,又让我们将学到的知识到实践中去,与此同时,也培养了我的耐心和细心.在此过程中,我发现了自己有很多不足的地方：缺乏项目上的工作经验,不能够灵活的运用自己所学到的知识.总的来说,通过这次毕业设计,我收获了很多,希望以后在工作中能够完善自己,改进自己.参考文献1王勇,刘晓辉网络系统集成与工程设计第3版科学,20112 Srinivas Vegesna 著,信达工作室译 . IP服务质量 . ,人民邮电,20093陈向阳网络工程规划与设计：清华大学,20074梁广民, 王隆杰思科网络实验室路由、交换实验指南：电子工业,20075房智勇 Cisco CCIE Routing and Switching & Cisco CCIE Service Provider -Exam Certification Guide , 20066多伊尔. TCP/IP路由技术第一卷M.葛建立.:人民邮电 2007.23441. 7多伊尔. TCP/IP路由技术第二卷M.葛建立.:人民邮电 2007.13151.8梁广民.网络设备互联技术.M.：清华大学,2010.150283.9杰克. 思科CCNP公版教材BCMSN M.魏巍 等译.：电子工业,2004.53752.10TCP/IP协议族第4版.Behrouz A.Forouzan著.：清华大学致谢经过几个月的努力,我终于完成了这次的毕业设计.过程中,我遇到了很多的问题,经过老师的讲解和同学的帮助以与查阅了一些资料,终于被我解决了.这几个月来,老师每周和我保持着联系,老师给我一些宝贵的经验和建议,每周一都会去汇报一下毕业设计得进展,从起初的开题报告、英文翻译的修改和提交,中期的检查,老师都很有耐心的指导的我,借此向老师表示由衷的感谢.同学们和老师的一些宝贵经验,是我的毕业设计完美成功,十分的感谢你们,当然,也要感谢文献里的作者,应为他们的研究,让我懂得更多.最后,在此感谢给