中小型企业网络的构建毕业设计方案.doc

《中小型企业网络的构建毕业设计方案.doc》由会员分享，可在线阅读，更多相关《中小型企业网络的构建毕业设计方案.doc（33页珍藏版）》请在咨信网上搜索。

1 需求分析 1 1.1 网络平台实现功效 1 1.2 网络平台特点 1 2 网络系统设计 2 2.1 网络设计标准 2 2.2 网络设计模型 3 2.2.1 关键层 3 2.2.2 分布层 4 2.2.3 接入层 4 2.3 系统组成和拓扑结构 5 3 网络具体设计及配置 6 3.1 交换模块设计 6 3.1.1 接入层交换服务实现－配置接入层交换机 6 3.1.2 分布层交换服务实现－配置分布层交换机 10 3.1.3 关键层交换服务实现－配置关键层交换机 15 3.2 广域网接入模块设计 17 3.2.1 配置接入路由器InternetRouter基础参数 17 3.2.2 配置接入路由器InternetRouter各接口参数 17 3.2.3 配置接入路由器InternetRouter路由功效 18 3.2.4 配置接入路由器InternetRouter上NAT 18 3.2.5 设置接入路由器InternetRouter上ACL 19 3.3 远程访问设计和程访问模块设 21 3.4 服务器模块设计 22 4 系统总结 23 中小型企业网络构建 Network Construction of small and Medium-sized Enterprises 摘 要 伴随现代科技发展及计算机技术和通讯技术结合，计算机几乎成了每个企业必备设备，超出二分之一企业拥有自己网络。企业网络不仅能够提供给我们一个现代化高效、快捷、安全办公环境，还能够进行高速数据传输和实现生产自动化。 本文依据网络构建标准，从技术基础、方案选择、构建方法等方面对组建一个中小型企业网络进行了分析，在此基础上构建了网络拓扑结构，并进行了具体设计及配置，为部分类似企业企业网络建设提供了一个可供参考模板。最终文章对网络建设过程中部分实践经验进行了总结和讨论。 关键词：网络；交换机；路由器；服务器。 Abstract With the development of modern technology and computer technology and communication technology combined with, the computer seems to have become essential equipment for each enterprise. More than half of enterprises have their own network. Enterprise network can not only provide us with a modern, efficient, fast and safe office environment, but also high-speed data transfer and production automation.字典 According to the construction principles, the hardware and software of composing small and medium-sized enterprises networks are analyzed from the aspects such as technological base, Scheme selection and construction method. On the basis of above, the network topology is constructed. And carried out detailed design and configuration. It can be the reference pattern for similar instances. Finally, the practical experience in the process of network construction is summarized and discussed. Key words: network; switch hub; router; server. 1 需求分析 1 1.1 网络平台实现功效 1 1.2 网络平台特点 1 2 网络系统设计 2 2.1 网络设计标准 2 2.2 网络设计模型 3 2.2.1 关键层 3 2.2.2 分布层 4 2.2.3 接入层 4 2.3 系统组成和拓扑结构 5 3 网络具体设计及配置 6 3.1 交换模块设计 6 3.1.1 接入层交换服务实现－配置接入层交换机 6 3.1.2 分布层交换服务实现－配置分布层交换机 10 3.1.3 关键层交换服务实现－配置关键层交换机 15 3.2 广域网接入模块设计 17 3.2.1 配置接入路由器InternetRouter基础参数 17 3.2.2 配置接入路由器InternetRouter各接口参数 17 3.2.3 配置接入路由器InternetRouter路由功效 18 3.2.4 配置接入路由器InternetRouter上NAT 18 3.2.5 设置接入路由器InternetRouter上ACL 19 3.3 远程访问设计和程访问模块设 21 3.4 服务器模块设计 22 4 系统总结 23 1 需求分析 1.1 网络平台实现功效 作为高速传输数据、高质量通讯和自动化管理网络平台，应含有一下功效： 1.实现企业内资源共享，提供管理应用系统，实现企业办公自动化。 2.接入Internet，共享网络资源。 3.企业拥有自己IP地址和域名。 4.建立企业Email系统和内部通讯系统。 5.在企业主机上建立网站，提供对外宣传信息平台。 1.2 网络平台特点 网络平台是企业信息化关键，要求含有高可靠性、高性能、良好可扩展性和端到端QoS服务质量确保。 高可用性必需是一个端到端网络目标。网络设备、服务器集群、操作系统及网络接口卡必需作为一个统一生态系统协同工作，以恢复任何服务器、链路或网络设备故障。 在考虑设备硬件可靠性和连接链路冗余同时，应关注网络系统在不一样层次上对系统可用性软件功效支持能力，另外轻易被忽略高可用性原因——统一设备软件操作平台。假如不一样设备采取不一样软件系统，兼容性、开放性和可扩展性全部会受到影响。 QoS(服务质量确保)是确保向网络业务提供有品质服务。它为网络中数据划分优先级，对于一些数据，如语音、视频等，给高优先级，使她们在网络中优先传输，来确保通话及视频质量。在应用系统较为简单网络发展早期，常常被对应于简单概念，比如设备能够支持队列数量等。在网络应用日趋复杂环境下，怎样在有限网络资源里充足保障各类应用实施，是一个很复杂问题，实施QoS，是端到端概念，不是单个设备问题，而是包含整个园区网、甚至跨广域网问题。QoS管理和布署可能需要包含到不一样城市、不一样厂区、不一样大楼每一台网络设备，甚至每一个端口。所以，在选择网络设备和供给商时候，要擦亮眼睛看看供给商QoS能做到什么程度。 2 网络系统设计 2.1 网络设计标准 1） 开放性：系统设计应采取开放技术、开放结构、开放系统组件和开放用户接口，以利于网络维护、扩展升级及和外界信息沟通。 2） 安全性：应能在可靠性前提下，抵挡来自内部和外部攻击；采取安全方法有效、可信，能够在多层次上、以多个方法实现安全控制。 3） 可靠性：系统及网络结构较为复杂，同时在部分子系统中存在较高技术性，所以必需确保系统稳定、可靠和安全运行，含有很高MTBF(平均无故障工作时间)和极低MTBR(平均无故障率)，提升容错设计，支持故障检测和恢复，可管理性强。网络必需是可靠，包含网元级可靠性，如引擎、风扇、单板、总计等；和网络级可靠性，如路由、交换汇聚，链路冗余，负载均衡等。网络必需含有足够高性能，满足业务需要。含有容错功效，能满足企业所在地环境、气候条件，抗干扰能力强，对网络设计、选型、安装、调试等各步骤进行统一计划和分析，确保系统运行可靠。 4） 统一性：在系统设计过程中，坚持“三统一”，即统一计划、统一标准、统一出口。 5） 优异性：在系统选择和开发过程中，既能满足目前网络应用需求，又能够在未来需要扩展时候，能方便地扩展，保护现在全部投资；设计配置能够灵活变通，方便适应用户其它要求。 6） 经济性：在充足满足以上要求前提下，应充足考虑到企业经济承受能力，尽可能地节省投资，花好每一分钱。着眼于近期目标和长久发展，选择优异设备进行最好性能组合，利用有限投资结构一个性能最好网络系统。 7） 实用性：实用性设计应能满足现在对网络应用要求，充足实现内部管理、信息化等要求，使网络整体性能立即得到充足发挥，而且便于掌握。 8） 标准化：网络系统应符合IEEE 802.3、IEEE 802.3u、IEEE 802.3z等以太网标准和IEEE 802.1p、IEEE 802.1q、WBM等网络管理标准。 2.2 网络设计模型 在中型企业网设计中，通常采取层次化模型来设计网络拓扑结构。所谓“层次化”模型，就是将复杂网络设计分成多个层次，每个层次着重于一些特定功效，这么就能够使一个复杂大问题变成很多简单小问题。 “关键层-分布层-接入层”层次化网络设计模型有以下优点： l 节省成本：在采取层次模型以后，各层次各司其职，不再在同一个平台上考虑全部事情。层次模型模块化特征使网络中每一层全部能够很好地利用带宽，降低了对系统资源浪费。 l 易于了解 ：层次化设计使得网络结构清楚明了，能够在不一样层次实施不一样难度管理，降低了管理成本。 l 易于扩展 ：在网络设计中，模块化含有特征使得网络增加时网络复杂性能够限制在子网中，而不会蔓延到网络其它地方。而假如采取扁平化和网状设计，任何一个节点变动全部将对整个网络产生很大影响。 l 易于排错：层次化设计能够使网络拓扑结构分解为易于了解子网，网络管理者能够轻易地确定网络故障范围，从而简化了排错过程。 2.2.1 关键层 关键层将各分布层交换机互连起来进行穿越园区网骨干高速数据交换。 园区网关键层连接全部分布层设备，必需能够尽可能高效地交换数据流。应含有以下特征： l 第2层和第3层吞吐量很高； l 不实施高成本或无须要分组处理（访问列表、分组过滤）； l 支持高可用性冗余和弹性； l 高级QoS功效。 应对园区网关键层中设备进行优化，以提供高性能第2层或第3层交换。因为关键层必需处理大量园区网级数据，所以关键层设计必需简单、高效。 在本设计关键层中，采取两台Cisco Catalyst 4006交换机组成双机热备份关键交换机系统处理方案。为提升关键-网络健壮性，实现链路安全保障，本方案骨干关键层中能够采取VRRP（热备用路由器协议）。对于各个业务VLAN能够指向这个虚拟IP地址作为网关，所以应用VRRP技术为关键交换机提供一个可靠网关地址，以实现在关键层关键交换机之间进行设备硬件冗余，一主两备，共用一个虚拟IP地址和MAC地址，经过内部协议传输机制能够自动进行工作角色切换。进而双引擎、双电源设计为网络高效处理大集中数据提供了可靠保障。 2.2.2 分布层 分布层将园区网接入层和关键层连接起来。必需含有下述功效： l 聚集多台接入层设备； l 较高第3层分组处理吞吐量； l 使用访问列表和分组过滤器提供安全和基于策略连接； l QoS功效； l 连接到关键层和接入层高速链接含有可扩展性和弹性。 在分布层中，来自接入层设备上行链路被聚合在一起。分布层交换机必需能够处理来自全部连接设备总流量。这些交换机必需拥有能提供高速链路端口密度，以支持全部接入层交换机。 VLAN和广播域在分布层聚合在一起，需要支持路由选择、过滤和安全。该层交换机还必需能够实施高吞吐量多层交换。 2.2.3 接入层 接入层在连接到网络最终用户处。接入层交换机通常在用户之间提供第2层（VLAN）连接性。该层设备有时被称为大楼介入交换机，必需含有下述功效： l 低交换机端口成本； l 高端口密度； l 连接到高层可扩展上行链路； l 用户接入功效，如VLAN组员资格、数据流和协议过滤和服务质量（QoS）； l 使用多条上行链路提供弹性。 2.3 系统组成和拓扑结构 为了实现网络设备统一，本设计方案中完全采取同一厂家网络产品，即Cisco企业网络设备构建。全网使用同一厂商设备好处是能够实现多种不一样网络设备功效相互配合和补充。 该企业网设计方案关键由以下四大部分组成：交换模块、广域网接入模块、远程访问模块、服务器群。 网络拓扑以下图所表示： 3 网络具体设计及配置 这里我将使用思科一款虚拟软件（cisco packet tracer）完成配置，该软件功效有限，部分配置并不能在该软件上实现。以下配置截图，皆来自该软件。 3.1 交换模块设计 3.1.1 接入层交换服务实现－配置接入层交换机 接入层为全部终端用户提供一个接入点。这里接入层交换机采取是Cisco Catalyst 2950 24口交换机（WS-C2950-24）。交换机拥有24个10/100Mbps自适应快速以太网端口，运行是CiscoIOS操作系统。　 1. 配置接入层交换机AccessSwitch1基础参数 （1）设置交换机名称 设置交换机名称，也就是出现在交换机CLI提醒符中名字。通常我们会以地理位置或行政划分来为交换机命名。当我们需要Telnet登录到若干台交换机以维护一个大型网络时，经过交换机名称提醒符提醒自己目前配置交换机位置是很有必需。 其中h是hostname 简写，（在真实环境中也支持简写）能够用该命令实现设备重命名。 （2）设置交换机加密使能口令 加密口令为：enable secret +密码。 当用户在一般用户模式而想要进入特权用户模式时，需要提供此口令。此口令会以MD5形式加密，所以，当用户查看配置文件时，无法看到明文形式口令。 （3）设置登录虚拟终端线时口令 Line vty 0 15 Password cisco Login Login 对这个配置很关键，没有她你就算配了密码也无法登陆。 对于一个已经运行着交换网络来说，交换机带内远程管理为网络管理人员提供了很多方便。不过，处于安全考虑，在能够远程管理交换机之前网络管理人员必需设置远程登录交换机口令。 （4）设置终端线超时时间 为了安全考虑，能够设置终端线超时时间。在设置时间内，假如没有检测到键盘输入，IOS将断开用户和交换机之间连接。这里设置是5分30秒。 （5）设置禁用IP地址解析特征 在交换机默认配置情况下，当我们输入一条错误交换机命令时，交换机会尝试将其广播给网络上DNS服务器并将其解析成对应IP地址。利用命令no ip domain-lookup。能够禁用这个特征 （6）设置启用消息同时特征 有时，用户输入交换机配置命令会被交换机产生消息打乱。能够使用命令logging synchronous设置交换机在下一行CLI提醒符后复制用户输入。 2. 配置接入层交换机AccessSwitch1管理IP、默认网关 接入层交换机是OSI参考模型第2层设备，即数据链路层设备。所以，给接入层交换机每个端口设置IP地址是没意义。不过，为了使网络管理人员能够从远程登录到接入层交换机上进行管理，必需给接入层交换机设置一个管理用IP地址。这种情况下，实际上是将交换机看成和PC机一样主机。 给交换机设置管理用IP地址只能在VLAN1，即本征VLAN中进行。 为了使网络管理人员能够在不一样子网管理此交换机，还应设置默认网关地址. 3. 配置接入层交换机AccessSwitch1VTP 从提升效率角度出发，在本企业网实现实例中使用了VTP技术。同时，将分布层交换机DistributeSwitch1设置成为VTP服务器，其它交换机设置成为VTP用户机。 这里接入层交换机AccessSwitch1将经过VTP取得在分布层交换机DistributeSwitch1中定义全部VLAN信息。 设置接入层交换机AccessSwitch1成为VTP用户机。 图中， ver是version缩写。以后全部将使用这些缩写。Vtp mode client命令设置该交换机为vtp用户机模式，vtp ver 2命令设置使用vtp版本号为2。 4. 配置接入层交换机AccessSwitch1端口基础参数：端口速度 能够设定某端口依据对端设备速度自动调整本端口速度，也能够强制将端口速度设为10Mpbs或100Mbps。在了解对端设备速度情况下，提议手动设置端口速度。 设置接入层交换机AccessSwitch1全部端口（1-24）速度均为100Mbps。 int 是interface缩写，是进入某个接口命令；r 为range 缩写，f为fastethernet（快速以太网接口）缩写，f0/1 -24 表示快速以太网0/1-0/24共24个接口。 5. 配置接入层交换机AccessSwitch1接入端口 接入层交换机AccessSwitch1为终端用户提供接入服务。接入层交换机AccessSwitch1为VLAN10提供接入服务。 Swi为switchport缩写，mo为mode缩写，acc为access缩写。用spanning-tree portfast来配置生成树快速端口。 （1）设置接入层交换机AccessSwitch1端口1～22 图所表示，设置接入层交换机AccessSwitch1端口1～端口24工作在接入模式。同时，设置端口1～端口22为VLAN 10组员。 （2）设置快速端口 默认情况下，交换机在刚加电开启时，每个端口全部要经历生成树四个阶段：阻塞、侦听、学习、转发。在能够转发用户数据包之前，某个端口可能最多要等50秒钟时间（20秒阻塞时间＋15秒侦听延迟时间＋15秒学习延迟时间）。 对于直接接入终端工作站端口来说，用于阻塞和侦听时间是无须要。为了加速交换机端口状态转化时间，能够设置将某端口设置成为快速端口（Portfast）。设置为快速端口端口当交换机开启或端口有工作站接入时，将会直接进入转发状态，而不会经历阻塞、侦听、学习状态（假设桥接表已经建立）。 6. 配置接入层交换机AccessSwitch1主干道端口 接入层交换机AccessSwitch1经过端口FastEthernet 0/23上连到分布层交换机DistributeSwitch1端口FastEthernet 0/1。同时，接入层交换机AccessSwitch1还经过端口FastEthernet 0/24上连到分布层交换机DistributeSwitch2端口FastEthernet 0/1。 这两条上连链路将成为主干道链路，在这两条上连链路上将运输多个VLAN数据。 设置接入层交换机AccessSwitch1端口FastEthernet 0/23、FastEthernet 0/24为主干道端口，即为配置这两个端口中继。命令为switchport mode trunk 7. 配置接入层交换机AccessSwitch2、3、4、5 接入层交换机AccessSwitch2、3、4、5分别为VLAN 20、VLAN30、VLAN40、VLAN50用户提供接入服务。同时，分别经过自己FastEthernet 0/23 、FastEthernet 0/24上连到分布层交换机DistributeSwitch1、DistributeSwitch2端口FastEthernet 0/2。 对接入层交换机AccessSwitch2、3、4、5配置步骤、命令和对接入层交换机AccessSwitch1配置类似。 3.1.2 分布层交换服务实现－配置分布层交换机 分布层除了负责将接入层交换机进行聚集外，还为整个交换网络提供VLAN间路由选择功效。 对分布层交换机DistributeSwitch1基础参数配置步骤和对接入层交换机AccessSwitch1基础参数配置类似。这里，只给出实际配置。 1．配置分布层交换机DistributeSwitch1管理IP、默认网关 显示了为分布层交换机DistributeSwitch1设置管理IP并激活本征VLAN。同时，还设置了默认网关地址。 add为address缩写； no sh 即为no shutdown，开启端口。 2．配置分布层交换机DistributeSwitch1VTP 当网络中交换机数量很多时，需要分别在每台交换机上创建很多反复VLAN。工作量很大、过程很繁琐，而且轻易犯错。我们常采取VLAN中继协议（Vlan Trunking Protocol，VTP）来处理这个问题。 VTP许可我们在一台交换机上创建全部VLAN。然后，利用交换机之间相互学习功效，将创建好VLAN定义传输到整个网络中需要此VLAN定义全部交换机上。同时，相关VLAN删除、参数更改操作均可传输到其它交换机。从而大大减轻了网络管理人员配置交换机负担。 在本企业网实现实例中使用了VTP技术。同时，将分布层交换机DistributeSwitch1设置成为VTP服务器，其它交换机设置成为VTP用户机。 （1） 配置VTP管理域 vtp domain cisco 共享相同VLAN定义数据库交换机组成一个VTP管理域。每一个VTP管理域全部有一个共同VTP管理域域名。不一样VTP管理域交换机之间不交换VTP通告信息。将VTP管理域域名定义为“cisco”。 （2） 设置VTP服务器 vtp mode server 工作在VTP服务器模式下交换机能够创建、删除VLAN、修改VLAN参数。同时，还有责任发送和转发VLAN更新消息。 （3） 激活VTP剪裁功效 vtp pruning 默认情况下主干道传输全部VLAN用户数据。有时，交换网络中某台交换机全部端口全部属于同一VLAN组员，没有必需接收其它VLAN用户数据。这时，能够激活主干道上VTP剪裁功效。当激活了VTP剪裁功效以后，交换机将自动剪裁本交换机没有定义VLAN数据。 在一个VTP域下，只需要在VTP服务器上激活VTP剪裁功效。同一VTP域下全部其它交换机也将自动激活VTP剪裁功效。 下图为该交换机配置参数： 3．在分布层交换机DistributeSwitch1上定义VLAN 在本企业网实现实例中，除了默认本征VLAN外，又定义了6个VLAN。 因为使用了VTP技术，所以全部VLAN定义只需要在VTP服务器，即分布层交换机DistributeSwitch1上进行。 图所表示，定义了6个VLAN，同时为每个VLAN命名。 4．配置分布层交换机DistributeSwitch1端口基础参数 分布层交换机DistributeSwitch1端口FastEthernet 0/1～FastEthernet 0/5连到接入层交换机AccessSwitch1-5端口FastEthernet 0/23，端口FastEthernet 0/10～FastEthernet 0/12为服务器群提供接入服务。另外，分布层交换机DistributeSwitch1还经过自己千兆端口GigabitEthernet 1/1上连到关键交换机CoreSwitch1GigabitEthernet 0/1。　 为了实现冗余设计，分布层交换机DistributeSwitch1还经过自己千兆端口GigabitEthernet 1/2连接另一台到分布层交换机DistributeSwitch2GigabitEthernet 1/2。 给出了对全部访问端口、主干道端口配置步骤和命令。 设置分布层交换机DistributeSwitch1各端口参数 其中，f0/1-f0/5，gi1/1,gi1/2全部被配为中继端口，端口f0/10-f0/12被划分给VLAN 100。swi 为switchport缩写， acc为 access缩写， gi为 gigabitEthernet缩写， 5．配置分布层交换机DistributeSwitch13层交换功效 分布层交换机DistributeSwitch1需要为网络中各个VLAN提供路由功效。这需要首先启用分布层交换机路由功效。 接下来，需要为每个VLAN定义自己默认网关地址， 另外，还需要定义通往Internet路由。这里使用了一条缺省路由命令， 其中，下一跳地址是Internet接入路由器快速以太网接口FastEthernet 0/0IP地址。6．配置分布层交换机DistributeSwitch2 分布层交换机DistributeSwitch2端口FastEthernet 0/1-5分别下连到接入层交换机AccessSwitch1-5端口FastEthernet 0/24。 另外，分布层交换机DistributeSwitch2还经过自己千兆端口GigabitEthernet1/1上连到关键交换机CoreSwitch2GigabitEthernet 0/1。 对分布层交换机DistributeSwitch2配置步骤、命令和对分布层交换机DistributeSwitch1配置类似。 3.1.3 关键层交换服务实现－配置关键层交换机 1．配置关键层交换机CoreSwitch1基础参数 对关键层交换机CoreSwitch1基础参数配置步骤和对接入层交换机AccessSwitch1基础参数配置类似。这里，只给出实际配置步骤，不再给出解释。 2．配置关键层交换机CoreSwitch1管理IP、默认网关 图所表示，显示了为关键层交换机CoreSwitch1设置管理IP并激活本征VLAN。同时，还设置了默认网关地址。 3．配置关键层交换机CoreSwitch1VLAN及VTP 在本实例中，关键层交换机CoreSwitch1也将作为VTP用户机。 这里关键层交换机CoreSwitch1将经过VTP取得在分布层交换机DistributeSwitch1中定义全部VLAN信息。 完整命令为：vtp mode client 4．配置关键层交换机CoreSwitch1端口参数 关键层交换机CoreSwitch1经过自己端口FastEthernet 0/22同广域网接入模块（Internet路由器）相连。同时，关键层交换机CoreSwitch1端口GigabitEthernet 0/1～GigabitEthernet 0/2分别下连到接入层交换机DistributeSwitch1和DistributeSwitch2端口GigabitEthernet 1/1。 图所表示，给出了对上述端口配置命令。 另外，为了提供主干道吞吐量和实现冗余设计，在本设计中，将关键层交换机CoreSwitch1千兆端口GigabitEthernet 2/1、GigabitEthernet 2/2捆绑在一起实现Mbps千兆以太网信道，然后再连接到另一台关键层交换机CoreSwitch2。 下面是设置关键层交换机CoreSwitch1千兆以太网信道步骤。 5．配置关键层交换机CoreSwitch1路由功效 关键层交换机CoreSwitch1经过端口FastEthernet 0/22同广域网接入模块（Internet路由器）相连。所以，需要启用关键层交换机路由功效。同时，还需要定义通往Internet路由。这里使用了一条缺省路由命令，图所表示。其中，下一跳地址是Internet接入路由器快速以太网接口FastEthernet 0/0IP地址。 6．关键层交换机CoreSwitch2配置 关键层交换机CoreSwitch2配置步骤、命令和对关键层交换机CoreSwitch1配置类似。这里，不再具体分析。同时，对于配置关键层交换机CoreSwitch2下连一系列交换机，其连接方法和配置步骤和命令同关键层交换机CoreSwitch1下连一系列交换机连接方法和配置步骤和命令类似。这里，也不再赘述。 3.2 广域网接入模块设计 在本设计中，广域网接入模块功效是由广域网接入路由器InternetRouter来完成。采取是Cisco2811路由器。它经过添加WIC-2T模块上带串行接口serial 0/0使用DDN（128K）技术接入Internet。它作用关键是在Internet和企业网内网间路由数据包。除了完成关键路由任务外，利用访问控制列表（Access Control List，ACL），广域网接入路由器InternetRouter还能够用来完成以本身为中心流量控制和过滤功效并实现一定安全功效。 3.2.1 配置接入路由器InternetRouter基础参数 对接入路由器InternetRouter基础参数配置步骤和对接入层交换机AccessSwitch1基础参数配置类似。 3.2.2 配置接入路由器InternetRouter各接口参数 对接入路由器InternetRouter各接口参数配置关键是对接口FastEthernet 0/0和接口Serial 0/0/0IP地址、子网掩码配置。 图2-3所表示，显示了为接入路由器InternetRouter各接口设置IP地址、子网掩码。 3.2.3 配置接入路由器InternetRouter路由功效 在接入路由器InternetRouter上需要定义两个方向上路由：到企业网内部静态路由和到Internet上缺省路由。 到Internet上路由需要定义一条缺省路由，图所表示。其中，下一跳指定从本路由器接口serial 0/0/0送出。 到企业网内部路由条目能够经过路由汇总后形成两条路由条目。图所表示。 3.2.4 配置接入路由器InternetRouter上NAT 因为现在IP地址资源很稀缺，对不可能给企业网内部全部工作站全部分配一个公有IP（Internet可路由）地址。为了处理全部工作站访问Internet需要，必需使用NAT（网络地址转换）技术。 为了接入Internet，本企业网向当地ISP申请了9个IP地址。其中一个IP地址：193.1.1.1被分配给了Internet接入路由器串行接口，另外8个IP地址：202.206.222.1～202.206.222.8用作NAT。 NAT配置能够分为以下多个步骤。 （1）定义NAT内部、外部接口 Ip nat inside 定义端口为内部端口； Ip nat outside定义端口为外部端口。 （2）定义许可进行NAT内部局部IP地址范围 内部地址范围为： 192.168.0.1-192.168.0.254，……，192.168.7.1-192.168.7.254，192.168.100.1-192.168.100.254八个子网。 （3）为服务器定义静态地址转换 将服务器内部IP地址改为公有地址。 （4） 为其它工作站定义动态地址转换 将一个网络中全部需要转换私有地址用一个ACL来表示，再从ISP注册到共有地址一个地址池来表示，最终再将ACL和地址池做动态转换。 将除服务器外内部IP随机转换为地址池内202.206.222.4 - 202.206.222.8公有地址。Cisco为地址池名。 3.2.5 设置接入路由器InternetRouter上ACL 路由器是外网进入企业网内网第一道关卡，是网络防御前沿阵地。路由器上访问控制列表（Access Control List，ACL）是保护内网安全有效手段。一个设计良好访问控制列表不仅能够起到控制网络流量、流向作用，还能够在不增加网络系统软、硬件投资情况下完成通常软、硬件防火墙产品功效。因为路由器介于企业内网和外网之间，是外网和内网进行通信时第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必需对路由器访问控制列表进行缜密设计，来对企业内网包含防火墙本身实施保护。 在网络环境中还普遍存在着部分很关键、影响服务器群安全隐患。在绝大多数网络环境实现中它们全部是应该对外加以屏蔽。关键应该做以下ACL设计： （1）对外屏蔽简单网管协议，即SNMP。 利用这个协议，远程主机能够监视、控制网络上其它网络设备。它有两种服务类型：SNMP和SNMPTRAP。 对外屏蔽简单网管协议SNMP： （2）对外屏蔽远程登录协议telnet 首先，telnet是一个不安全协议类型。用户在使用telnet登录网络设备或服务器时所使用用户名和口令在网络中是以明文传输，很轻易被网络上非法协议分析设备截获。其次，telnet能够登录到大多数网络设备和UNIX服务器，并能够使用相关命令完全操纵它们。这是极其危险，所以必需加以屏蔽。　 对外屏蔽远程登录协议telnet： （3）对外屏蔽其它不安全协议或服务 这么协议关键有SUN OS文件共享协议端口2049，远程实施（rsh）、远程登录（rlogin）和远程命令（rcmd）端口512、513、514，远程过程调用（SUNRPC）端口111。能够将针对以上协议综合进行设计，图所表示。 （4）针对DoS攻击设计 DoS攻击（Denial of Service Attack，拒绝服务攻击）是一个很常见而且极具破坏力攻击手段，它能够造成服务器、网络设备正常服务进程停止，严重时会造成服务器操作系统瓦解。 （5）保护路由器本身安全 作为内网、外网间屏障路由器，保护本身安全关键性也是不言而喻。为了阻止黑客入侵路由器，必需对路由器访问位置加以限制。 应只许可来自服务器群IP地址访问并配置路由器。这时，能够使用ACCESS-CLASS命令进行VTY访问控制。图所表示 3.3 远程访问设计和程访问模块设 远程访问也是园区网络必需提供服务之一。它能够为家庭办公用户和出差在外职员提供移动接入服务。 远程访问有三种可选服务类型：专线连接、电路交换和包交换。不一样广域网连接类型提供服务质量不一样，花费也不相同。在本设计中，因为面正确用户群规模、业务量较小，所以采取了异步拨号连接作为远程访问技术手段。 异步拨号连接属于电路交换类型广域网连接，它是在传统公共交换电话网（Public Switched Telephone Network，PSTN）上提供服务。传统PSTN提供服务也被称为简易传统电话业务（Plan Old Telephone System，POTS）。因为现在存在着大量安装好电话线，所以这么环境是最轻易满足。所以，异步拨号连接也就成为最为方便和普遍远程访问类型。 广域网连接能够采取不一样类型封装协议，如HDLC、PPP等。其中，PPP除了提供身份认证功效外，还能够提供其它很多可选项配置，包含链路压缩、多链路捆绑、回叫等，所以更具优势。也是本设计所采取异步连接封装协议。 PPP提供了两种可选身份认证方法：口令验证协议PAP（Password Authentication Protocol，PAP）和质询握手协议（Challenge Handshake Authentication Protocol，CHAP）。 PAP是一个简单、实用身份验证协议。PAP认证进程只在双方通信链路建立早期进行。假如认证成功，在通信过程中不再进行认证。假如认证失败，则直接释放链路。 CHAP认证比PAP认证更安全，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过随机序