关于网络的论文

*学院毕 业 论 文（设 计）论文（设计）题目：三级交换网络的构建与实现所属系别 信息工程系 专业班级 计算机网络技术 姓名 * 学号 * 指导教师 * 撰写日期 2012 年 5 月摘 要网络技术的高速发展的今天，企业网络的优劣已经成为衡量企业竞争力的标准之一。针对我校整体的特点，本文介绍了一个行业专业网络的整体设计方案。充分考虑到网络的负载均衡和稳定性能，所以本方案采用典型三层网络结构。其中，汇聚层采用三台设备，对接入层进行访问控制。路由协议则是选择安全性高、收敛速度快的OSPF协议。我们采用锐捷交换机带宽聚合技术将多条物理线路捆绑为一条逻辑链路，使其有更高带宽。服务器群组则重点介绍了FTP、邮件服务器及WEB服务器等企业中较常用到的服务器的软件选择及搭建方法。对于网络中可能存在的安全威胁，针对不同的需求，方案中提出了VLAN技术、访问控制列表、防火墙技术以及VPN等安全解决方案，以求构建一个安全、高效、可靠的企业网络。关键词：网络层次化，虚拟局域网，安全，控制列表，防火墙AbstractAs the high-speed development of the network technique, the quality of enterprise network has already become one of the standards that measure the competition ability of the enterprise. According to the characteristics of the whole school, this paper will introduce an overall design of professional network applying for enterprise. Seriously Considering the load balance and stability of the network, we adopt three layers structure in the design. Convergence Layer adopts three equipments to the access of access control. The routing protocol chooses the protocol of OSPF, which has high security and rapidly converging. The server applications set the point on introducing the method of creation and software selection for the common enterprise server applications, such as FTP, the mail server and the WEB server etc. In order to set up a safety, fuel-efficient and reliable enterprise network, we put forward the VLAN technique, the fire wall technique and VPN for the different needs in resisting the safety threaten.Key words: Hierarchical Network, Vlan, security,ACL, Firewall目 录1引言12 需求分析22.1 项目背景22.2 设计目标22.3 用户现实要求33网络整体设计33.1 网络拓扑33.2 网络层次化设计33.2.1 核心层设计43.2.2 汇聚层设计43.2.3 接入层设计53.2.4 路由协议选择63.3 VLAN的划分及IP地址规划74各层相关配置信息74.1 IP地址规划74.2相关配置84.2.1接入层基本配置信息84.2.2汇聚层基本配置信息84.2.3核心层基本配置信息94.2.4路由器RG-R1762基本配置信息104.2.5防火墙基本配置114.3路由配置信息134.3.1 RG-S3550-24-1路由配置134.3.2 RG-S6806E路由配置134.3.3 路由器RG-R1762配置144.4安全配置信息144.4.1 接入层防病毒配置144.4.2 汇聚层安全配置154.5防火墙安全策略154.6路由器的NAT配置195 总结20参考文献21致 谢221引言现代网络及其复杂，对企业的成功尤为关键。随着组织程序持续增加带宽、可靠性和功能要求，网络设计人员面临着快速构建和改进网络，使用新协议和技术的挑战。网络设计人员还面临着适应互联网行业的持续和快速变化的挑战。现代组织环境中的网络操作人员和设计人员需要设计健壮、可靠、可扩展的网络。网络是IT基础设施，随着IT技术的发展和应用的普及，在广度和深度上不断扩展和加强，已渗透到各行各业和不同领域，从大型企业网到中小型企业网、从电信网络到行业网络、从研究型网络到应用型网络，基于IP的网络部署和网络应用快速发展。网络建设开始于网络规划和设计，同时，网络规划与设计也是网络建设过程中最重要的环节。良好的网络规划与设计是保证网络快速、稳定、安全运行的基础和关键。网络规划与设计的不完善和不合理会导致许多问题，例如：网络基础设施不能满足网络应用的需求，网络建设和运行成本过高，网络投资大于网络的收益，由于网络结构的不灵活性、可扩展性差而阻碍整个网络和网络业务的发展等。开放式网络体系结构和网络协议的标准化使得在技术上实现网络互联并不难，但是规划和设计一个适应复杂环境、综合各种因素、满足用户需求的网络却不是一件容易的事情。有些情况是从无到有规划设计一个全新的网络，而有些时候则需要在现有的网络基础设施里融进新的技术、扩展网络规模以适应网络上的新应用或业务发展。网络规划与设计必须满足用户的网络建设需求，没有一种网络规划与设计方案可以适合所有的网络。网络技术和网络应用发展日新月异，网络规划与设计方法和技术也越来越复杂，更新越来越快；网络设计工具往往功能单一而且很容易过时；网络协议的多样化和复杂化也增加了网络设计的技术难度和复杂性；在Internet时代，各种组织或企业不得不基于IP技术组建网络。尽管IP技术发展迅速，但IP网络固有的缺陷仍然使得构建高校、高性能、高安全、高可靠性的网络不能成为一件轻松、容易的事情。因此，网络规划与设计是一项高技术含量、高层次而且具有很强的工程性的工作。除了要求网络设计人员或网络工程师系统掌握网络互连的基础理论和相关技术外，还需要了解网络规划与设计流程，清楚流程中每一个阶段的任务，掌握设计内容以及设计原则、设计方法等1。2 需求分析2.1 项目背景XX校园是一所有悠久历史的高等院校，学校有中心机房，科技楼、行政楼、教学楼、教工楼、职工宿舍6栋楼需要联网，上网人数大约规划为300人左右，所有PC机都采用TCP/IP协议，经一级交换机互连到一起，各楼的交换机出口通过光纤上行连到网络中心的三层交换机，进入郑州市城域网。2.2 设计目标除保证可靠性、安全性、先进性和开放性原则外，要遵循：实用性原则：建设设计网络系统的出发点是基于学校目前和将来发展的需要，具有很强的实用性。应实现各部门、各层次信息查询与管理工作的科学化、规范化，并在用户发展的基础上，不断地扩充和完善。经济性原则：投资合理,有良好的性能价格比。还要注意到由于逻辑上业务网和管理网必须分开，所以建成后企业网应能提供多个网段的划分和隔离，并能做到灵活改变配置，以适应企业办公环境的调整和改变，即VLAN的整体划分。考虑到校内数据的重要性、保密性，为了保证校内网络顺利运行，保证网络的不间断运行，网络平台应具有以下一些特点：高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证，在设计中选用高可靠性网络产品，合理设计网络架构，制定可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持各个系统的正常运行。高性能承载网络性能是网络通讯系统良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保障各种信息（数据、语音、图像）的高质量传输。标准开放性支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于保证与其他网络（如公共数据网、行内其他网络）之间的平滑连接互通，以及将来网络的扩展。灵活性及可扩展性根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和设备的调整。可管理性对网络实行集中监测、分权管理、并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。安全性制订统一的骨干网安全策略，整体考虑网络平台的安全性2。2.3 用户现实要求（1） 实现学校内部资源共享，即文件服务器，但是对不同的资源要有相应的权限。（2）满足校内日常的教学，及资料数据的传输和存储。（3）院校各部门可以通过即时通信软件联系，建立公司邮件服务器。（4）打印机共享。（5）公司内部要网络接入Internet。（6）架设院校web服务器，发布院校网站。（7）为保证安全，Internet 与公司内部网络间应采用防护措施，防止外界对内部网络未经授权的访问3。3网络整体设计3.1 网络拓扑 计算机网络的组成元素可以分为两大类，即网络节点（又可分为端节点和转发节点）和通信链路，网络中节点的互联模式叫网络的拓扑结构。网络拓扑定义了网络中资源的链接方式，局域网中常用的拓扑结构有：总线型结构、环形结构、星型结构。考虑到学校的分布情况我们这里采用形形拓扑结构，星型拓扑结构是由通过点到点链路接到中央节点的各站点组成的。星型网络中有一个唯一的转发节点（中央节点），每一台计算机都通过单独的通信线路连接到中央节点。在星型拓扑中利用中央节点可方便地提供服务和重新配置网络；单个连接点故障只会影响故障点连接的一个设备，不会影响全网，容易监测隔离故障、便于维护；任何一个连接只涉及到中央节点和一个站点，控制介质访问的方法很简单、从而访问协议也十分简单4。3.2 网络层次化设计网络的设计模型主要包括层次化设计模型和非层次化设计模型两种。随着网络技术的迅速发展和网上应用量的增长，非层次化的网络设计已经不适合当今企业的网络应用，由于非层次化网络没有适当的规划，网络最终会发展成为非结构的形式，这样当网络设备之间相互通信时，设备上的CPU必然会承担相当大的负载，不利于网络的运行和发展，当大量的数据在网络中传输时，容易引起线路拥堵甚至网络的瘫痪。所以我们选择层次化的网络设计。多层设计模块化的网络容量可随着日后网络节点的增加而不断增大。多层次网络有很大的确定性，因此在运行和扩展过程中进行故障查找和排除非常简单。多层模式使网络的移植更为简单易行，因为它保留着基于路由器和交换机的网络原有的寻址方案，对以往的网络有很好的兼容性。另外分层结构也能够对网络的故障进行很好的隔离。针对实际情况我们采用典型的三层结构模型，即核心层、分布层（汇聚层）、接入层。每个层次有不同的功能。核心层作为整个网络系统的核心，起主要的功能是高速、可靠的进行数据交换。分布层主要进行接入层的数据流量汇聚，并对数据流量进行访问控制。接入层主要提供最终用户接入网络的途径。主要进行VLAN的划分、与分布层的连接等。3.2.1 核心层设计网络核心层（设在中心机房）是网络的中心，其功能是实现高性能的交换和传输。因此核心层设备应该是高性能的交换机，可实现高速度的交换传输，以连接服务器等核心设备；并且非常可靠，实现不间断工作。所以我们选择使用一台RG-S6806E多业务万兆路由交换机高性能、高可靠性、高可用性是我们主要考虑的因素。本区的安全性可以由边界防火墙提供，如果有需要，还可以在6806上面部署安全策略，使得核心交换区的安全性进一步的增强。RG-S6806E系列凭借众多智能服务将控制扩展到网络边缘，其中包括现金的服务质量（QoS）、支持流量控制（Flow Control），支持端口镜像（Port Mirror），支持IGMP侦听（Snooping），生成树协议支持，ACL访问控制支持、802.1x认证支持、MAC绑定与过滤支持、背板带宽可扩展1.6T、6个模块化插槽（2个用于管理引擎模块）、交换容量达400G、路由表项256K。锐捷网络的模块化架构、介质灵活性和可扩展性减少了重复运营开支，提高了投资回报（ROI），从而在延长部署寿命的同时降低了拥有成本。可为中型企业提供价格合理、易于使用的可扩展性、创新安全性、集成可靠性和灵活性。3.2.2 汇聚层设计汇聚层主要进行接入层的数据流量汇聚，并对数据流量进行访问控制。包括访问控制列表、VLAN路由等等。这里采用三台锐捷RG-S3550-24作为汇聚交换机。保证网络的高可用性和稳定性，避免单台核心设备的负载太重导致网络性能问题。RG-S3550系列交换机是一个创新的产品系列，它结合世界领先的易用性和高冗余性，有效的提升了堆叠式交换机在局域网中的工作效率。该系列交换机硬件支持2至4层的多层线速交换，提供二到七层的智能的流分类和完善的服务质量（QoS）以及组播管理特性，支持完善的高性能路由协议，并可以实施灵活多样的ACL访问控制策略。可通过SNMP、Telnet、Web和Console口等多种方式提供丰富的管理。RG-S3550系列交换机为各类型网络提供线速多层交换、完善的端到端的服务质量，丰富的安全设置和基于策略的网络管理，最大化满足高速、安全、智能的企业网新需求。此系列交换机具有以下特性：1.高性能多层交换；2.完备的安全控制；3.丰富的组播特性；4.完善的QoS策略。3.2.3 接入层设计接入层主要提供最终用户接入网络的途径。主要是进行VLAN的划分、与分布层的连接等。这里接入层交换机采用锐捷RG-S2126/S2150 系列智能以太网交换机以千兆以太链路和汇聚交换机相连接，并为用户终端提供10/100M 自适应的接入，从而形成千兆为骨干，百兆到桌面的以太网三层结构。办公系统所需的各种服务器如FTP服务器、邮件服务器、DHCP 服务器等组成服务器群，连接到汇聚交换机的千兆模块上面,因此，内部的局域网采用三层结构组建5。网络总体拓扑如图如（3-1）图3-1 网络综合拓扑3.2.4 路由协议选择为达到路由快速收敛、寻址以及方便网络管理员管理的目的，我们采用动态路由协议，目前较好的动态路由协议是OSPF 协议，OSPF 以协议标准化强，支持厂家多，受到广泛应用。考虑网络的扩展性、数据资源的保护等原因，我们选择OSPF 路由协议。OSPF 协议采用链路状态协议算法，每个路由器维护一个相同的链路状态数据库，保存整个AS 的拓扑结构（AS 不划分情况下）。一旦每个路由器有了完整的链路状态数据库，该路由器就可以自己为根，构造最短路径树，然后再根据最短路径构造路由表。对于大型的网络，为了进一步减少路由协议通信流量，利于管理和计算。OSPF将整个AS 划分为若干个区域，区域内的路由器维护一个相同的链路状态数据库，保存该区域的拓扑结构。OSPF 路由器相互间交换信息，但交换的信息不是路由，而是链路状态。OSPF 定义了5 种分组：Hello分组用于建立和维护连接；数据库描述分组初始化路由器的网络拓扑数据库；当发现数据库中的某部分信息已经过时后，路由器发送链路状态请求分组，请求邻站提供更新信息；路由器使用链路状态更新分组来主动扩散自己的链路状态数据库或对链路状态请求分组进行响应；由于OSPF 直接运行在IP 层，协议本身要提供确认机制，链路状态应答分组是对链路状态更新分组进行确认。相对于其它协议，OSPF 有许多优点。OSPF 支持各种不同鉴别机制，并且允许各个系统或区域采用互不相同的鉴别机制；提供负载均衡功能，如果计算出到某个目的站有若干条费用相同的路由，OSPF 路由器会把通信流量均匀地分配给这几条路由，沿这几条路由把该分组发送出去；在一个自治系统内可划分出若干个区域，每个区域根据自己的拓扑结构计算最短路径，这减少了OSPF 路由实现的工作量；OSPF 属动态的自适应协议，对于网络的拓扑结构变化可以迅速地做出反应，进行相应调整，提供短的收敛期，使路由表尽快稳定化，并且与其它路由协议相比，OSPF在对网络拓扑变化的处理过程中仅需要最少的通信流量；OSPF 提供点到多点接口。公司现有网络规划为area0，内部网络设备都规划为area0。后期若有分支机构各区域接入路由器根据区域不同使用动态协议，或者使用静态路由与动态路由结合的方式6。3.3 VLAN的划分及IP地址规划VLAN的划分一般有三种方法，一是基于端口、二是基于MAC地址、最后是基于路由的划分。在这里我们采用基于端口的划分，把一个或者多个交换机上的端口放到一个VLAN内，这个方法是最简单最有效的，网络管理人员只需要对网络设备的交换端口进行分配即可，不用考虑端口所连接的设备。IP地址是TCP/IP协议族中的网络层逻辑地址，它被用来唯一地标示网络中的一个节点。IP地址空间的分配，要与网络层次结构相适应，既要有效的利用地址空间，又要体现网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。根据校园联网的情况，每个部门划分为一个VLAN，各部门分别属于不同的网段，各部门之间在逻辑上被隔离，但是各部门间的通讯，可根据需要对汇聚层交换机进行配置来实现7。4各层相关配置信息4.1 IP地址规划及整体拓扑图IP地址规划如下：设备名称VLAN端口名称IP地址端口连接情况RG-S3550-24-1VLAN1192.168.11.1/24F0/1-RG-S2150GVLAN2192.168.12.1/24F0/2-RG-S2126GVLAN10192.168.6.1/24F0/10-RG-S6806E-F0/10RG-S3550-24-2VLAN3192.168.13.1/24F0/1-RG-S2150GVLAN4192.168.14.1/24F0/2-RG-S2126GVLAN10192.168.6.1/24F0/10-RG-S6806E-F0/11RG-S3550-24-3VLAN5192.168.15.1/24F0/1-RG-S2150GVLAN6192.168.16.1/24F0/2-RG-S2126GVLAN10192.168.6.1/24F0/10-RG-S6806E-F0/12RG-S6806EVLAN10192.168.6.2/24F0/10-RG-S3760-1F0/10VLAN10192.168.6.2/24F0/11-RG-S3760-2F0/10VLAN10192.168.6.2/24F0/12-RG-S3760-3F0/10VLAN11192.168.1.11/24F0/13防火墙eth0VLAN24192.168.24.1/24F0/24-内网服务器RG-R1762Fastethernet1/0192.168.1.12/24F1/0-防火墙eth1Serial 1/2(DTE)外网IP外网接口4.2相关配置4.2.1接入层基本配置信息主要是创建VLAN，将端口加入VLAN，A区vlan创建命令如下：Switch(config)#vlan 1Switch(config-vlan)#exitSwitch(config)#interface range fa 0/1-24Switch(config-if-range)#switchport access vlan 1说明：B区、C区配置同上。4.2.2汇聚层基本配置信息创建VLAN，分配IP，命令如下：Switch(config)#vlan 1Switch(config-vlan)#exitSwitch(config)#vlan 2Switch(config-vlan)#exitSwitch(config)#vlan 10Switch(config-vlan)#exit 创建vlan信息Switch(config)#interface fa 0/1Switch(config-if)#switch access vlan 1Switch(config-if)#exitSwitch(config)#interface fa 0/2Switch(config-if)#switch access vlan 2Switch(config-if)#exitSwitch(config)#interface fa 0/10Switch(config-if)#switch access vlan 10Switch(config-if)#exit 将端口加入vlanSwitch(config)#interface vlan 1Switch(config-if)#ip address 192.168.11.1 255.255.255.0Switch(config-if)#no shutdownSwitch(config-if)#exitSwitch(config)#interface vlan 2Switch(config-if)#ip address 192.168.12.1 255.255.255.0Switch(config-if)#no shutdownSwitch(config-if)#exitSwitch(config)#interface vlan 10Switch(config-if)#ip address 192.168.6.1 255.255.255.0Switch(config-if)#no shutdownSwitch(config-if)#exit 配置VLAN IP4.2.3核心层基本配置信息进行接入层的数据流量汇聚，并对数据流量进行访问控制。配置命令如下：switch(config)#vlan 10switch(config-vlan)#exitswitch(config)#vlan 11switch(config-vlan)#exitswitch(config)#vlan 24switch(config-vlan)#exit 创建vlanswitch(config)#interface range fa 0/10-12switch(config-if-range)#switch access vlan 10switch(config-if)#exitswitch(config)#interface fa 0/13switch(config-if)#switch access vlan 11switch(config-if)#exitswitch(config)#interface fa 0/24switch(config-if)#switch access vlan 24switch(config-if)#exit 分配端口switch(config)#interface vlan 10switch(config-if)#ip address 192.168.6.2 255.255.255.0switch(config-if)#no shutdownswitch(config-if)#exitswitch(config)#interface vlan 11switch(config-if)#ip address 192.168.1.11 255.255.255.0switch(config-if)#no shutdownswitch(config-if)#exitswitch(config)#interface vlan 24switch(config-if)#ip address 192.168.24.1 255.255.255.0switch(config-if)#no shutdownswitch(config-if)#exit 分配vlan IP4.2.4路由器RG-R1762基本配置信息基本配置命令如下：Red-Giantenable Red-Giant#config terminalRed-Giant#interface fa 1/0Red-Giant(config-if)#ip address 192.168.1.12 255.255.255.0Red-Giant(config-if)#no shutdownRed-Giant(config-if)#exitRed-Giant(config)#interface serial 1/2Red-Giant(config-if)#ip address WAN IP Red-Giant(config-if)#no shutdown84.2.5防火墙基本配置1登录防火墙，打开管理IP地址功能如图 4-1。图4-1 管理IP功能图2设置防火墙的管理地址为192.168.1.2/24和192.168.1.3/24，如图4-2。图4-2 管理地址图3设置防火墙的工作模式为：网桥模式，如图4-3、4-3、4-5、4-6。图4-3 网桥模式图图4-4 转换界面图图4-5 确定转换图图4-6 完成4.3路由配置信息4.3.1 RG-S3550-24-1路由配置命令如下：Switch(config)#ip routingSwitch(config)#ip route 0.0.0.0 0.0.0.0 192.168.6.2Switch(config)#show ip route 4.3.2 RG-S6806E路由配置命令如下：Switch(config)#ip routingSwitch(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.12Switch(config)#ip route 192.168.11.0 255.255.255.0 192.168.6.1Switch(config)#ip route 192.168.12.0 255.255.255.0 192.168.6.1Switch(config)#ip route 192.168.13.0 255.255.255.0 192.168.6.1Switch(config)#ip route 192.168.14.0 255.255.255.0 192.168.6.1Switch(config)#ip route 192.168.15.0 255.255.255.0 192.168.6.1Switch(config)#ip route 192.168.16.0 255.255.255.0 192.168.6.14.3.3 路由器RG-R1762配置Red-Giant（config）# ip route 192.168.11.0 255.255.255.0 192.168.1.11Red-Giant（config）# ip route 192.168.12.0 255.255.255.0 192.168.1.11Red-Giant（config）# ip route 192.168.13.0 255.255.255.0 192.168.1.11Red-Giant（config）# ip route 192.168.14.0 255.255.255.0 192.168.1.11Red-Giant（config）# ip route 192.168.15.0 255.255.255.0 192.168.1.11Red-Giant（config）# ip route 192.168.16.0 255.255.255.0 192.168.1.1194.4安全配置信息4.4.1 接入层防病毒配置RG-2126G(config)# ip access-list extended deny_wormsRG-2126G(config-ext-nacl)# deny tcp any any eq 135RG-2126G(config-ext-nacl)# deny tcp any any eq 136RG-2126G(config-ext-nacl)# deny tcp any any eq 137RG-2126G(config-ext-nacl)# deny tcp any any eq 138RG-2126G(config-ext-nacl)# deny tcp any any eq 139RG-2126G(config-ext-nacl)# deny tcp any any eq 445RG-2126G(config-ext-nacl)# deny udp any any eq 135RG-2126G(config-ext-nacl)# deny udp any any eq 136RG-2126G(config-ext-nacl)# deny udp any any eq netbios-nsRG-2126G(config-ext-nacl)# deny udp any any eq netbios-dgmRG-2126G(config-ext-nacl)# deny udp any any eq netbios-ssRG-2126G(config-ext-nacl)# deny udp any any eq 445RG-2126G(config-ext-nacl)# permit ip any anyRG-2126G(config-ext-nacl)#exiRG-2126G(config)#inter range fa 0/1-24RG-2126G(config-if-range)#ip access-group deny_worms in说明：B,C区RG-2126G，RG-S2150配置同上。4.4.2 汇聚层安全配置Switch(config)# ip access-list extended deny_ftpSwitch(config-ext-nacl)# deny tcp 192.168.11.0 0.0.0.255 192.168.24.0 0.0.0.255 eq ftpSwitch(config-ext-nacl)# deny tcp 192.168.11.0 0.0.0.255 192.168.24.0 0.0.0.255 eq ftp-dataSwitch(config-ext-nacl)# permit ip any anySwitch(config-ext-nacl)#end104.5防火墙安全策略1登录防火墙。2选择“策略”“服务”选项。图 4-7 防火墙管理策略图图 4-8 服务选项3在服务中添加服务名称，并在服务名称中指定相关协议与接口。图4-9 添加指定协议、接口4添加多个规则，并且加入到服务组中(服务组名称可在“服务组”选项中设定)。图4-10 添加多个规则5规则添加完毕。图4-11 添加完毕6在“策略”“规则”选项中将服务与源地址及目标地址关联。图4-12 关联服务与地址图 4-13关联服务与地址7将访问规则中定义的接口的所有源到所有目的的动作指定为拒绝，可在允许、拒绝、拒绝（ICMP）拒绝（重设）这4个选项中，点选第二项(拒绝)。图4-14 指定动作4.6路由器的NAT配置Red-Giant(config)#access-list 1 permit 192.168.11.0 0.0.0.255Red-Giant (config)#access-list 1 permit 192.168.12.0 0.0.0.255Red-Giant (config)#int fa 1/0Red-Giant (config-if)#ip nat insideRed-Giant (config-if)#exitRed-Giant (config)#int s1/2Red-Giant (config-if)#ip nat outsideRed-Giant (config-if)#exitRed-Giant (config)#ip nat inside source list 1 interface serial 1/2 overload115 总结本文根据一个校园网络的特定要求做的一个合理的网络解决方案。其中应用了现今企业网络中较为常用的主流技术。网络整体采用的是锐捷三层架构，这个结构的优点是稳定性好、设备负载均衡、易扩展，并且网络故障排查也比较容易。核心层和汇聚层都用两台设备，既平衡设备负载又防止机器故障致使网络瘫痪。校内的网络最重要的是在网络安全方面，所以在本方案中我们用vlan技术和ACL技术作为内部网络的安全策略，主要是防止学校内部的非授权访问。而在内部网络与Internet之间我们则采用硬件防火墙将两部分网络隔离开，设置策略只允许合法的数据进出，各种网络安全技术相结合，使得网络更安全可靠。参考文献1郭锐, 企业内部网规划分析, 信息技术与信息化, 20052方国洪，金红. 浅谈如何构建安全的企业网络. 2010.23Addison Wesley.Firwalls and Internet Security:Repelling the Wily Hacker.Professional Computing.20004熊琦. 深入浅出谈防火墙技术. 科协论坛(下半月),2007.3:31-325Emilie Lundin Edand Jonsson. Anomaly-based intrustion detection:privacy concerns and other problemsJ. Computer Networks.2000,34(2):623-640.6万锦华.电力企业网络信息安全的防范措施讨论.科技与生活,2010年第一期7美 Richard tibbs，Edward oakes. 防火墙与VPN原理与实践.北京:清华大学出版社,20088美 vijay. Ipsec vpn 设计. 北京:人民邮电出版社,20069李强.三网融合,前景几何J.中国报道,2010(03)10张宗府.有线网络跨区域整合有望加快J.中国记者.2009(10)11杜诗露.网络电视：念占三网合一的制高点J.当代电视,2009(11)致 谢在我的指导老师*老师精心的指导下，我顺利完成了论文的设计，随着论文的完成，代表着三年的大学生活也即将结束。谢谢老师三年来对我的教育与栽培，在即将毕业的半年里，老师日夜操劳为我批阅论文，谢谢所有传授我知识的老师，谢谢三年来陪伴在我身边的同学。最后向所有在毕业设计期间给予我意见和指导的老师同学表示真挚的感谢。指导教师评语（主要评价论文的工作量、试验数据的可靠性、论文的主要内容与特点、写作水平等）：论文的工作量：试验数据的可靠性：论文的主要内容与特点、写作水平： 签 名： 年 月 日答辩委员会评语及论文成绩（主要评价论文的性质、难度、质量、综合训练、答辩情况、不足等。评定论文成绩）：论文的性质、难度、质量：学生的综合训练、答辩情况、不足等：论文成绩：主任委员签名： 年 月 日23