無錫職業技術學院畢業設計（論文）說明書計算機網絡互連設計摘要：計算機網絡系統與管理是保障網絡能夠正常運行的重要環節，是一個非常具備挑戰的項目，這就需要具備深厚的網絡功底和嚴格的設計。隨著計算機網絡技術的逐步發展，計算機網絡系統的規模不斷擴大，網絡的復雜性也越來越高。與此同時，信息化時代逐步映入眼簾，而人類對信息化服務的要求也越來越高，網絡系統設計與管理的問題越發的重要。為了滿足人們對計算機網絡系統的互連設計與管理的要求，如何對龐大而又復雜的計算機網絡設計與管理實施有效措施已經成為網絡領域中的一項重要研究課題。下面文章就是對關于計算機網絡系統互連設計與網絡系統管理方面的問題進行設計。在互連設計階段，為了解決不同業務之間的隔離，有效地降低廣播風暴的泛紅，采用了VLAN技術，該技術限制了廣播風暴在相同的LVAN內；為了保障網絡的高可靠性，采用了雙上行鏈路，接入層兩臺交換機使用堆疊，同時核心層使用MSTP+VRRP組網，防止網絡出現環路導致網絡設備性能的降低；為了使總部與子公司間能夠相互訪問，采用IPSecVPN技術，保證數據傳輸的安全性與完整性等；在網絡管理階段，為了對其進行智能化管理，可通過設計簡單網絡管理協議。關鍵詞：計算機網絡管理；網絡設計；綜合布線 目錄TOC\o"1-3"\h\u一. 緒論 1（一）項目背景 1（二）目的與意義 1二. 需求分析 2（一）公司需求分析 2（二）網絡系統需求分析 2三. 網絡系統的互連方案 3（一）網絡拓撲結構 3（二）設備選型 4（三）VLAN及IP地址規劃 5（四）MSTP及VRRP應用 5（五）網絡設備虛擬化 7（六）鏈路備份虛擬化 9（七）DHCP中繼與服務安全設計 10（八）路由協議應用 11四. 無線網絡及安全設計 12（一）無線網絡基礎設計 12（二）AC熱備應用 13（三）無線網絡安全設計 13（四）無線性能優化 14（五）無線地勘設計 14五. 網絡安全及遠程接入設計 15（一）出口NAT設計 16（二）WebPortal用戶認證 16（三）應用流量控制 16（四）用戶行為策略 16六. 廣域網鏈路配置與安全設計 16（一）PPP協議應用 17（二）IPSecVPN應用 17（三）路由選路設計 18（四）服務質量應用 18七. 網絡系統管理 19（一）SNMP管理 19（二）系統管理平臺 20（三）網絡系統應用 21八. 綜合布線 23（一）水平子系統設計 24（二）管理子系統設計 24（三）垂直子系統設計 25小結與致謝 26參考文獻 27 第31頁共27頁無錫職業技術學院畢業設計（論文）說明書第30頁共26頁緒論（一）項目背景伴隨著互聯網信息化時代的到來，計算機網絡的應用已經成為人類生活中不能夠被替代的通訊工具。即萬物皆可互聯，則萬物皆需要連網。如果想要實現信息化交流，就必須建立在網絡的基礎之上。所以，計算機網絡已經變成了經濟發展和信息化交流的重要組成部分。下面就是針對各個方面的問題進行研究和采取的措施。 本設計研究的是對某公司進行網絡與系統的規劃及管理，該公司在其他地區有兩個子公司分別為異地子公司A和異地子公司B。為了能夠讓本公司和異地兩個子公司之間更方便的交流與溝通，現在要對該公司采取信息化建設。同時為了更好地對數據進行管理，提供方便的服務，需要在本部公司搭建一個數據中心和網絡系統管理平臺，實現公司本部在和異地兩個子公司通信時具有高速性和可靠性，同時為以后公司的網絡擴展奠定基礎。為了提高網絡的安全且高可靠的信息采集與數據傳輸，使其在計算方面具有高度集中的效率，同時可以智能化處理業務需求，為可持續發展，鑄就雄厚軟實力。又考慮公司信息化辦公的需求，需要在本公司以及異地兩個子公司有線網絡的基礎上建設無線網絡。為了能夠讓網絡系統具有穩定且可持續運行的環境，公司將設計一系列管理工具，可以收集錯誤信息、監視故障產生的原因，進行智能化的網絡維護。為了能夠讓我們的員工正常訪問網絡資源，通過單獨的公司網線路有效地降低員工占用網絡帶寬，其他數據業務在正常運行的過程中不會受到影響，同時針對員工在訪問互聯網數據的時候提供身份認證與信息審計等服務，從而控制員工網絡的工作時間。（二）目的與意義為了解決不同的業務之間的相互隔離，有效地降低廣播風暴的泛洪，采用了VLAN技術，該技術限制了廣播風暴在相同的LVAN內。為了保障網絡的高可靠性，采用了雙上行鏈路，接入層兩臺交換機使用堆疊，同時核心層使用MSTP+VRRP組網，防止網絡出現環路導致網絡設備性能的降低。為了內部網絡能夠訪問到公網，采用NAT技術，讓私網地址轉化為公網地址出去訪問外網。為了使總部與子公司間能夠相互訪問，采用IPSecVPN技術，利用esp協議，3des加密算法，md5認證算法保證數據傳輸的安全性與完整性。公司總部同時為了更好地對數據進行管理，提供方便的服務，需要在本部公司搭建一個數據中心和網絡系統管理平臺，做一些相關的服務來滿足更快、更可靠的數據傳輸和信息交換，同時也能夠增強相關業務設計彈性的目的。需求分析（一）公司需求分析本設計研究的是對某公司進行網絡與系統的互連規劃及管理，該公司在其他地區有兩個子公司分別為異地子公司A和異地子公司B。為了能夠讓本公司和異地兩個子公司之間更方便的交流與溝通，現在要對該公司采取信息化建設。同時為了更好地對數據進行管理，提供方便的服務，需要在本部公司搭建一個數據中心和網絡系統管理平臺，實現公司本部在和異地兩個子公司通信時具有高速性和可靠性，同時為以后公司的網絡擴展奠定基礎。為了提高網絡的安全且高可靠的信息采集與數據傳輸，使其在計算方面具有高度集中的效率，同時可以智能化處理業務需求，為可持續發展，鑄就雄厚軟實力。又考慮公司信息化辦公的需求，需要在本公司以及異地兩個子公司有線網絡的基礎上建設無線網絡。又考慮公司信息化辦公的需求，需要在本公司以及異地兩個子公司有線網絡的基礎上建設無線網絡。為了能夠讓網絡系統具有穩定且可持續運行的環境，公司將設計一系列管理工具，可以收集錯誤信息、監視故障產生的原因，進行智能化的網絡維護。為了能夠讓我們的員工正常訪問網絡資源，通過單獨的公司網線路有效地降低員工占用網絡帶寬，其他數據業務在正常運行過程中不會受到影響。同時，為員工訪問互聯網數據提供身份認證和信息審計服務，從而控制員工網絡的工作時間。公司總部同時為了更好地對數據進行管理，提供方便的服務，需要在本部公司搭建一個數據中心和網絡系統管理平臺，做一些相關的服務來滿足更快、更可靠的數據傳輸和信息交換，同時也能夠增強相關業務設計的彈性的目的。（二）網絡系統需求分析網絡系統項目規劃與信息化建設需求如下：實現公共資源共享，提供一種安全、可靠且高速的平臺，保證公司網絡管理系統、辦公化軟件等應用程序的快速運行；通過網關實現Internet的連接，通過路由器實現本部與子公司的連接；本部與兩個子公司采用IPSecVPN隧道，實現本部與子公司之間的互訪，同時對數據采用3des加密功能及md5算法確保網絡數據在傳輸過程中的安全性與完整性；總公司內部通過設計多種的路由策略來區分不同業務的有線與無線網段，成功地解決各個業務間的備份與負載分流；公司內通過設計防環機制、防攻擊機制、數據的備份和負載分擔等相關策略，能夠高效地解決網絡的可靠性和安全性。網絡系統的互連方案計算機網絡的互連是將網絡設備通過物理線纜相互連接組成一個自治系統，實現信息傳遞與資源共享。該技術主要可以通過一下幾個方面分析：（1）先要搭建網絡拓撲圖，把每一臺網絡設備的相應的物理接口進行連接。（2）對每臺設備進行IP地址和VLAN的規劃，用于標識每一臺設備，與其他設備進行數據轉發。（3）進行設備型號的選擇，不同型號的設備可實現不同的功能。（4）MSTP+VRRP組網的應用，在防止環路的同時可以進行設備的負載分擔與備份。（5）設備虛擬化，通過堆疊的方式將多臺設備虛擬成一臺可以提高設備的性能。（6）鏈路備份虛擬化，通過鏈路聚合的方式將多根物理線纜虛擬成一根可以提高網絡帶寬。（7）DHCP的應用，可以實現終端主機自動獲取IP地址的功能。（8）路由的應用，通過路由協議實現不同網段的網絡之間互通。（一）網絡拓撲結構在搭建網絡拓撲圖時，需要從網絡的穩定性和高可靠性角度考慮，避免網絡出現單點故障，本公司內部網絡均采用雙上行鏈路。通過網關與運營商連接，用于公司訪問外網，本部公司與兩個子公司之間通過路由器相連，用于本部與子公司之間的通信。拓撲圖如下：圖1網絡設備結構示意圖設備接口相互連接的情況相關說明可見附錄表1。（二）設備選型此網絡系統設計中用到了交換機、路由器、無線AC、AP等設備，其中用到了JHJ3310型號、JHJ4950型號以及JHJ6731型號的交換機。JHJ3310型號的交換機具有24個1G的電口和4個1G的光口。該交換機能夠提供大功率的POE端口，可為無線AP提供供電功能；JHJ4950型號的交換機具有48個1G的電口和4個1G的光口。該交換機的硬件架構采用了超前的業界，可以提供高性能匯聚和高密度接入的需求；而JHJ6731型號的交換機具有48個10G的電口和4個10G的光口。該交換機是面向下一代云計算和數據中心的核心交換機，同時滿足不同路由協議的組網結構。LYQ7136型號的路由器具有強大的路由能力同時具備交換功能，可以滿足IPv4和IPv6的網絡需求，從而提高了多層次的安全功能。CKWG3726型號的網關廣泛用于加速行業業務的網絡中，該網關可以提供Web認證、上網行為管理、防火墻以及VPN等功能等。WXKZQ6008型號的無線控制器具有強大的可視化集中控制和管理AP的功能，可以進行射頻覆蓋范圍和性能的優化，降低網絡的工作量。該網絡使用兩臺CKWG3726型號設備作為出口網關WG-1、WG-2分別連接到運營商，用于訪問外網資源，兩臺JHJ6731型號的核心交換機SW-3、SW-4分別作為本公司的核心交換機，上連出口網關，下連接入設備。本部公司連接服務器的設備采用一臺型號為JHJ4950的交換機。兩臺型號為WXKZQ6008的無線控制器AC-1、AC-2，分別用來控制和管理本部公司的無線瘦AP。將兩臺型號為JHJ3310接入交換機SW-1、SW-2，用來充當本部公司的接入層設備，下接終端主機，上接核心交換機。一臺型號為無線WXSB997作為本公司的無線瘦AP供移動用戶上網。通過使用三臺型號為LYQ7136的路由器RO-1、本公司與異地子公司A以及異地子公司B的RO-2和RO-3路由器相連。通過兩臺型號為JHJ4950的交換機SW-6、SW-7，分別作為異地子公司A以及異地子公司B的核心交換機。兩臺無線WXSB997型號的AP-2、AP-3分別作為異地子公司A以及異地子公司B的無線瘦AP。表1主機名稱與配置表網絡拓撲中的主機名需求配置的主機名SW-1ZB-Duidie-JHJ3310SW-2ZB-Duidie-JHJ3310SW-3ZB-1-JHJ6731SW-4ZB-2-JHJ6731SW-5ZB-JHJ4950SW-6ZGS-A-JHJ4950SW-7ZGS-B-JHJ4950R0-1ZB-LYQ7136R0-2ZGS-A-LYQ7136R0-3ZGS-B-LYQ7136AC-1ZB-1-WXKZQ6008AC-2ZB-2-WXKZQ6008GW-1ZB-1-CKWG3726GW-2ZB-2-CKWG3726AP-1ZB-WXSB997AP-2ZGS-A-WXSB997AP-3ZGS-B-WXSB997（三）VLAN及IP地址規劃 VLAN全稱為虛擬局域網，用于隔離二層網橋中的廣播風暴。該技術是通過將一個局域網化分成多個虛擬的局域網，數據在轉發的過程中，經過交換機會打上該接口所在的VLAN的標簽，只讓相同VLAN的業務可以相互通信，從而限制了廣播風暴在同一個VLAN內泛洪，提高了網絡的安全性，使得局域網具有靈活性。通過劃分VLAN的方式來隔離不同的業務數據，同時交換機之間還需要通過Trunk,放通這些數據，同時設備之間采用三層互聯的方式，設計直連IP進行通信，方便后期的管理和維護。IP地址和VLAN的規劃可見附錄表2。（四）MSTP及VRRP應用MSTP全稱為多生成樹協議，是一種用于解決二層網絡中環路的技術。MSTP是在STP和RSTP的基礎上加快了收斂速度同時具有負載分擔的功能。MSTP是由修訂級別、實例和域名構成，其中一個實例中可以同時存在許多VLAN，通過VLAN與實例之間的映射關系起到數據在轉發時具有負載分擔與快速收斂的作用。VRRP全稱為虛擬路由器冗余協議，是一種防止因網關的單點故障出現斷網現象的技術。該技術通過把多臺物理設備加入到同一個備份組里，虛擬成一臺網關設備，同時可以承載著多個業務，可以實現網關的負載分擔與備份。為了保證網絡的高可靠性，防止網絡出現單點故障或盡量減少因為單點故障導致業務網絡出現中斷的情況，在接入層與核心層之間設計雙上行冗余物理鏈路，同時起到負載分擔與備份的作用。然而該網絡會存在一個弊端，就是當數據報文在傳輸過程中，會出現多條路徑，假設每一條路徑都要轉發該數據報文，那么目的主機就會反復收到許多相同的報文，同時該報文會在這幾臺設備在反反復復的轉發，從而導致廣播風暴，降低物理設備的性能。為解決這一現象，該網絡采用VRRP+MSTP組網。首先在本部SW-3和SW-4兩臺交換機上配置MSTP,讓VLAN114、VLAN214、VLAN314的流量在SW-3設備上發送，VLAN414、VLAN514、VLAN1014的流量在SW-4設備上發送。當兩臺設備有一臺設備中的一臺有網絡故障，則剩余一臺就會及時頂替該臺無縫切換的正常工作。1.MSTP的region-name配置為JJH；2.版本為l；3.實例1022所映射的VLAN為VLAN114、VLAN214、VLAN314；4.實例2022所映射的VLAN為VLAN414、VLAN514、VLAN1014；5.設定交換機SW-3充當實例0和實例1022中所對應的主根，充當實例2022所對應的從根；6.設定交換機SW-4充當實例0和實例2022中所對應的主根，充當實例1022所對應的從根；7.規劃主從根的優先級，設定主根的優先級比從根的優先級低4096；8.規劃在交換機SW-3和SW-4上設計VRRP，作為總部公司內業務部網的虛擬網關，起到網關備份的作用。若一臺設備出現故障，內部業務網段的網關會及時切換，保證業務網段不中斷。具體參數配置的詳情需求如下表；表2VRRP配置參數表vlanVRRP備份組號（VRID）VRRP虛擬IPVLAN11411454VLAN21421454VLAN314314198.214.314.254VLAN414414198.214.414.254VLAN514514198.214.514.254VLAN1041014549.規定交換機SW-3和SW-4的VRRP組優先級設定與MSTP主從根相對于，其中優先級高的設定為202，優先級低的設定為198。交換機SW-3設備上的配置如下：ZB-1-JHJ6731(config)#spanmstconfigurationZB-1-JHJ6731(config-mst)#revi1ZB-1-JHJ6731(config-mst)#nameJJHZB-1-JHJ6731(config-mst)#inst1022vlan114，214，314ZB-1-JHJ6731(config-mst)#inst2022vlan414，514，1014ZB-1-JHJ6731(config)#spanmst1022prior24576ZB-1-JHJ6731(config)#spannms2022prior49152ZB-1-JHJ6731(config)#spanZB-1-JHJ6731(config)#intfavlan114ZB-1-JHJ6731(config-if)#vrrp114ip54ZB-1-JHJ6731(config-if)#vrrp114pri202（五）網絡設備虛擬化局域網系統有非常多類型的故障，同時也會出現一些不可避免的風險，然而設備出現故障也是常見。為了解決設備的故障問題，設備的冗余是一種簡單的方式。相對來說堆疊技術最為常見，這種技術不僅可以提高可靠性，而且還能充分的利用設備的性能，同時成本也會相對降低。若兩臺設備當中的一臺發生故障時，則其余一臺都能瞬間切換過來，保證網絡不出現中斷，讓業務網絡繼續無故障地運行。1.規定將兩臺接入交換機SW-1設備的ten1/0/25-26和SW-2設備的ten2/0/25-26接口兩兩連接，當作堆疊技術的物理鏈路，通過堆疊鏈路將兩臺設備合并成一個聯合體，兩臺設備之間形成N+1的負載分擔與冗余備份的高性能設備。讓交換機SW-1作為主設備master，交換機SW-2作為備份設備slave；2.規定讓交換機SW-1和SW-2設備的gi0/13物理接口作為BFD檢測端口，使用雙主機檢測機制可以檢測堆疊鏈路的連通性，由于BFD檢測的時間是以毫秒計算，可以快速的檢測出兩臺設備雙向轉發的路徑產生的故障，保證了兩臺交換機及時地檢測網絡故障，使其能快速地采取措施，從而保證了業務網絡的可持續性運行；3.主交換機設備：虛擬VSU區域號：1950,交換機的ID編號:24,交換機的優先級58,堆疊描述:Master-58；4.備交換機設備：虛擬VSU區域號：1950,交換機的ID編號:22,交換機的優先級42,堆疊描述:Slave-42。對應配置：1.主交換機：被選舉成主設備的交換機稱為Master,主要是用來管理該堆疊組的所有設備，該堆疊組有且僅有一臺設備被選舉為Master。首先要配置虛擬域，然后修改虛擬機的板卡編號，接著配置交換機的優先級，優先級高的會成為主設備，緊接著將堆疊口加入到組內，最后將交換機的模式更改為堆疊模式。（ZB-DUIDIE-JHJ3310)#switvirtdomain1950（ZB-DUIDIE-JHJ3310-vs-domain)#swit24（ZB-DUIDIE-JHJ3310-vs-domain)#swit24pri58（ZB-DUIDIE-JHJ3310-vs-domain)#swit24descMaster-58（ZB-DUIDIE-JHJ3310）#vsl-port（ZB-DUIDIE-JHJ3310-vsl-port)#port-memberintfact0/25（ZB-DUIDIE-JHJ3310-vsl-port)#port-memberintfact0/26（ZB-DUIDIE-JHJ3310）#switconmovirt2.備交換機：除了主設備外的其余設備都為Slave，備交換機主要為主交換機做備份，當主交換機出現故障時，備交換機中優先級最高的會及時變成主交換機，防止網絡中斷。（ZB-DUIDIE-JHJ3310）#switvirtdomain1950（ZB-DUIDIE-JHJ3310-vs-domain)#swit22（ZB-DUIDIE-JHJ3310-vs-domain)#swit22pri42（ZB-DUIDIE-JHJ3310-vs-domain)#swit22descSlave-42（ZB-DUIDIE-JHJ3310)#vsl-port（ZB-DUIDIE-JHJ3310-vsl-port)#portintfact0/25（ZB-DUIDIE-JHJ3310-vsl-port)#portintfact0/26（ZB-DUIDIE-JHJ3310）#switconmovirt3.雙主機檢測BFD配置（ZB-DUIDIE-JHJ3310)#intfaranggi24/0/13,22/0/13（ZB-DUIDIE-JHJ3310-if-range)#noswit（ZB-DUIDIE-JHJ3310)#switvirtdomain1950（ZB-DUIDIE-JHJ3310-vs-domain)#dualdebfd（ZB-DUIDIE-JHJ3310-vs-domain)#dualbfdintfacgi24/0/13（ZB-DUIDIE-JHJ3310-vs-domain)#dualbfdintfacgi22/0/13（六）鏈路備份虛擬化鏈路聚合是由多根物理線纜通過聚合綁成一個虛擬的鏈路，用來提高鏈路的帶寬，并且這些物理線彼此之間都能備份，即使其中一根路線斷了，網絡也不會出現中斷，從而使鏈路的可靠性得到提高。由于采用了多生成樹協議技術，交換機在進行根橋選舉的時候會產生被阻塞的冗余鏈路，雖然使鏈路的可靠性增強了，但是會導致鏈路許多帶寬被浪費。利用鏈路聚合技術可以有效地解決這一問題，該技術是通過把多個以太網接口虛擬成一條邏輯的聚合接口。鏈路聚合可以有效地提高物理鏈路的可靠性、實現負載分擔、增加線性帶寬、加快收斂速度保證網絡傳輸的穩定性。1.規定交換機SW-3的接口（Gi0/17、Gi0/18）和交換機SW-4之間相互連接的接口（Gi0/17、Gi0/18）設定為二層鏈路聚合，聚合組成員編號為31，聚合模式采取動態聚合（LADP）；2.規定交換機SW-1的接口（Gi24/0/17）SW-2的接口（Gi22/0/17）與SW-3之間相互連接的接口鏈路（Gi0/19）設定二層鏈路聚合,聚合組成員編號為41，聚合模式采取靜態聚合；3.規定交換機SW-1的接口（Gi24/0/18）、SW-2的接口（Gi22/0/18）與SW-4之間相互連接的接口鏈路（Gi0/19）設定二層鏈路聚合，聚合組成員編號為59，聚合模式采取靜態聚合；4.規定路由器RO-1的接口（S3/0、S4/0）與RO-2之間相互連接的接口鏈路（S3/0、S4/0）設定三層鏈路聚合，聚合組成員編號為26，聚合模式采取靜態聚合。1.交換機SW-1和SW-2的配置：（ZB-DUIDIE-JHJ3310)#interfaranGiga24/0/17，22/0/17（ZB-DUIDIE-JHJ3310)#port-group41（ZB-DUIDIE-JHJ3310)#interfaranGiga24/0/18，22/0/18（ZB-DUIDIE-JHJ3310)#port-group59（ZB-DUIDIE-JHJ3310)#interfaranAggre41，59（ZB-DUIDIE-JHJ3310)#switchmodetru（ZB-DUIDIE-JHJ3310)#switchtruallovlon11421431441451410142.交換機SW-3和SW-4的配置ZB-1-JHJ6731(config)#interfaranGiga24/0/17，22/0/17ZB-1-JHJ6731(config)#port-group41ZB-1-JHJ6731(config)#interfaranGiga24/0/18，22/0/18ZB-1-JHJ6731(config)#port-group59ZB-1-JHJ6731(config)#interfaranAggre41，59ZB-1-JHJ6731(config)#switchmodetruZB-1-JHJ6731(config)#switchtruallovlon1142143144145141014（七）DHCP中繼與服務安全設計由于網絡規模不斷地擴大，網絡的復雜性也越來越高，同時終端主機的數量也會不斷地增多，主機的位置也會隨著需求發生變化，對應的主機IP地址就會隨時更新，因而網絡的配置會變得也來越復雜。如果采用人工手動配置，工作量很大，需要消化大量的人力，容易出現錯誤，同時管理起來也不方便。為了解決這一現象，采用DHCP技術手段。該技術能統一管理所有的客戶端配置信息，每一臺終端主機都能夠從DHCP服務器獲取到屬于自己的IPv4地址、默認網關以及域名解析服務器等。DHCP服務器在為主機分配地址時，會限制地址租期，當租期結束后，該地址會被服務器統一收回，使得IP地址有效利用，同時方便統一管理與維護。1.規定網關GW-1上設計VLAN114用戶的DHCP服務器，在交換機SW-3和SW-4配置DHCP中繼，實現VLAN114用戶的終端主機通過中繼跨網段自動分配到地址，解決了人工手段配置的工作量；2.服務器分配的地址池地址范圍：–50/24，排除網關，以MAKABAKA作為DHCP的地址池名稱，以DHCP服務器的環回口地址作為宣告；3.為了防止網絡中發生非法的DHCP偽造以及ARP欺騙，規定在兩臺做堆疊的接入交換機上配置IPSourceGuard、DHCPSnooping、ARP-check等相關機制。1.網關GW-1的配置（ZB-1-CKWG3726)#serdhcp（ZB-1-CKWG3726)#ipdhcppoolMAKABAKA（ZB-1-CKWG3726-dhcp)#netw24（ZB-1-CKWG3726-dhcp)#default198.314.114.2542.交換機SW-3的配置(ZB-1-JHJ6731)#serdhcp(ZB-1-JHJ6731)#iphelper13.交換機SW-4的配置(ZB-1-JHJ6731)#serdhcp(ZB-1-JHJ6731)#iphelper1（八）路由協議應用在互聯網中，由于數據再發送過程中不能跨物理設備轉發，需要根據路由表中的路由條目進行逐條轉發，所以路由在數據轉發過程中起到了非常重要的作用。每一條路由都是由目的地址、下一跳地址、出接口、去往目的IP所需的開銷組成，路由器在收到數據后，然后通過本設備的路由表進行轉發。根據路由的來源可分為直連路由、手動配置的靜態路由以及動態路由。1.規定本部公司采用OSPF和靜態路由兩種路由協議組網的方式，使用OSPF協議的設備有：SW-3、SW-4、SW-5、GW-1、GW-2以及RO-1，其中交換機SW-3和SW-4之間規劃為骨干區域，SW-3、SW-4與SW-5之間規劃為區域23，SW-3、SW-4、GW-1與GW-2之間規劃為區域46，SW-4與RO-1之間規劃為區域34，以12作為所有設備OSPF的進程號；2.規定宣告本地的Loopback地址作為router-id，方便進行管理；3.規定在進行宣告時，直連路由不允許重分發，以明細的方式宣告，而業務網段的地址要以所在網絡號來宣告；4.規定不得以本部公司的業務網段建立OSPF鄰居，即協議報文中不能出現業務網段；5.規定加快OSPF的收斂速度，無需選舉DR和BDR;6.規定A、B兩個子公司使用RIP路由協議，關閉自動聚合功能，使用V2版本；7.規定本部公司與兩個子公司之間通過路由引入的方式來學習彼此之間的路由條目，在進行路由的重發布時使用類型一。無線網絡及安全設計無線網絡是一種不需要通過線纜連接就能夠實現通信的網絡，該技術通過無線設備發射出無線射頻信號和紅外線，終端設備通過連接到這些無線信號就可以訪問到外界網絡。該技術可以通過以下幾個方面進行研究：（1）進行無線網絡的基礎設計，讓無線信號可以接入到有線網絡內，可實現無線用戶與外界的通信。（2）AC的熱備技術實施，讓無線控制器之間相互備份，防止AC出現故障導致網線信號的中斷。（3）無線安全的設計，通過對無線信號進行加密，保護無線網絡的安全。（4）無線性能的優化設計，通過對無限性能的優化，讓無限用戶能夠更好的體驗無線網絡。（5）無線地勘的設計，通過對無線地勘的設計，可以為無線AP的放置進行真實的仿真。無線網絡基礎設計移動終端如今已經是人類在生活與工作中必要的工具，因此移動終端最為重要的接入方式就是無線局域網。移動互聯的時代已經步入全球，無線互聯網也成了網民的接入方式。國家也在大規模地推進無線網絡全覆蓋的建設工程，實現車站、醫院、機場、學校、酒店、會展中心等地區的全面覆蓋。1.規定在無線控制器AC上面配置無線用戶的DHCP服務，在交換機SW-3和SW-4上配置AP管理的服務；2.規定交換機SW-3為AP分配的地址池范圍從4到83，交換機SW-4為AP分配的地址池范圍從93到183；3.規定總部公司無線網絡的SSID設置為ZB_SB，APGroup組設置為DSB，為了AP能分配到IP地址，讓總部的無線用戶與所在的業務的SSID進行關聯；4.規定A、B子公司無線網絡的SSID分別設置為ZGS_SB_A和ZGS_SB_B，APGroup組分別設置為DSB_A和DSB_B，為了AP能分配到IP地址，讓子公司的無線用戶與所在的業務的SSID進行關聯；ZB-1-WXKZQ6008(config)#wlanconfig1ZB_SBZB-1-WXKZQ6008(config-wlan)#tunnlocZB-1-WXKZQ6008(config-wlan)#wlanbasedperuserlimitdownstreaaveradatarat800burstdatarat1600ZB-1-WXKZQ6008(config)#apgroDSBZB-1-WXKZQ6008(config-group)#interfmapp99414apwlanid99ZB-1-WXKZQ6008(config-group)#tunnlocwl99vl414AC熱備應用由于瘦AP組網需要AP與無線控制器AC之間建立capwap隧道后，AP才能正常工作。一個AP只能在一臺AC上線，當有兩臺以上AC時，需要開啟無線控制器的熱備功能，使得兩臺AC均能控制AP，當AC出現故障時，可以快速的切換AC與AP間的capwap隧道，使已關聯的無線用戶業務能夠穩定地、高可靠地正常運行，讓無線業務網絡不中斷。1.規定無線控制器 AC-1設置為主設備，AC-2設置為備設備；2.規定每個AP都要與兩臺AC之間建立capwap隧道，當網絡出現故障，如果AP從主控制器上失去連接，那么備控制器能夠及時代替主控制器，實現主備間的無縫隙切換，保證AP始終不中斷。1.無線控制器AC-1配置：ZB-1-WXKZQ6008(config)#wlanhotbackup05ZB-1-WXKZQ6008(config-hotbackup)#conte32ZB-1-WXKZQ6008(config-hotbackup-ctx)#apgroDSBZB-1-WXKZQ6008(config-hotbackup)#wlanhotbackupenabl*Jun2214:50:32:%WLANHOTBACKUP99PEER:wlanhotbackupstartdoingENAB,pleawait.*Jun2214:50:32:%WLANHOTBACKUP99PEER:Peer(05)hotbackupenable.2.無線控制器AC-2配置：ZB-2-WXKZQ6008(config)#wlanhotbackup04ZB-2-WXKZQ6008(config-hotbackup)#conte32ZB-2-WXKZQ6008(config-hotbackup-ctx)#priorlev199ZB-2-WXKZQ6008(config-hotbackup-ctx)#apgroBXZB-2-WXKZQ6008(config-hotbackup)#wlanhotbackupenab無線網絡安全設計由于在設計無線網絡時，采用的是開放性的公共電磁波作為無線信號的傳輸載體，在通信過程中沒有任何線纜連接。在數據傳輸過程中，如果不采取有效的加密措施，就會存在一定的安全風險，所以無線網絡的安全是非常重要的。為此需要提高無線網絡的安全性，為無線網絡配置加密功能。1.規定開啟AP的邊緣感知功能，防止AP發生網絡故障導致網絡的連通不穩定，從而確保AP正常工作；2.規定將同一個AP的用戶之間進行彼此的隔離，嚴謹這些用戶之間相互訪問，從而保證這些用戶的安全性與隱秘性；3.規定通過無線控制器對無線AP進行加密，加密方式采用WPA2模式，密鑰為：CMX@wcx99,防止非公司用戶連接導致用戶過多使得網絡卡頓，同時保證了無線網絡的安全性；4.規定在周一至周五凌晨1點至早上6點時間段自動關閉總部公司無線信號；5.規定需要隱藏子公司A的無線信號，防止不相關的用戶連入進來；6.規定通過采用物理硬件地址校驗的手段，對本部公司的終端開啟白名單功能，從而讓本部公司的無限用戶能夠合法地加入到網絡當中。BX-WS6008-01(config)#wlansec1BX-WS6008-01(config-wlansec)#securrsnenableBX-WS6008-01(config-wlansec)#secursnsimpelaeenabBX-WS6008-01(config-wlansec)#secursnakpsenabBX-WS6008-01(config-wlansec)#secursnakpssetkeyascCMX@wcx99無線性能優化為了有效地發揮網絡資源，讓更多的用戶擁有更好的體驗感，使無線網絡的傳輸信號加強，同時有效地控制AP的覆蓋范圍，需要對瘦AP無線網絡進行優化。1.規定要求子公司A的用戶在下行鏈路帶寬以及上行鏈路帶寬分別要限制在10MB/S和50MB/S內,突發時的速率限制在5MB/s；2.規定子公司B的AP用戶接入信號的最小強度為-65dbm;3.規定開啟無線用戶的本地轉發模式;4.規定總部公司AP最大關聯用戶的數量為32。無線地勘設計為了保證公司AP無線信號的有效覆蓋，現在要根據公司的平面設計建筑圖以及用戶需求對AP天線的選型與規劃設計。利用無線地質勘查軟件模擬AP點和無線信號的安裝，以保證除廁所、樓梯等無關區域外，其他所有區域均有充分覆蓋。為后期安裝AP點位做基礎。1.通過VISIO繪制出AP的點位圖，并且規劃信道1、6、11無重疊。圖2AP點位圖2.通過無線地勘APP繪制出AP信號點位仿真熱圖，要求仿真信號強度大于-65db。圖3AP信號仿真熱圖網絡安全及遠程接入設計隨著通信技術規模的廣泛應用，網絡的安全隱患隨時隨刻都會出現，所以信息安全也越來越受到人們的重視。網絡安全是為了能夠讓網絡不受外界攻擊和入侵的一種技術，同時可以保證數據能夠完整、機密以及可靠的傳輸，從而保證網絡能夠正常運行。為此可通過設備節點和用戶接入控制技術手段防范潛伏在網絡中的安全風險。為了讓本部公司和A、B兩個異地子公司之間能夠通過互聯網路線訪問公網，因此需要開啟用戶身份認證及審計監督等功能來訪問外網資源。需要實施出口安全的防范與遠程接入。出口NAT設計1.規定在本部公司的出口網關GW上配置ACL，訪問控制列表的編號為996,通過配置NAPT使得本部公司和兩個子公司的業務網絡能訪問到外網資源；2.規定在本部公司的網關GW-1上配置Telnet映射服務，將本部公司交換機SW-4的環回口地址映射為公網地址，使SW-4的Telnet服務能夠被互聯網訪問到。WebPortal用戶認證1.規定在本部公司的出口網關配置WebPortal認證功能,分別創建兩個用戶WCX和CMX，密碼均為WCX@cmx99;2.規定本部公司的有線用戶可以通過WEB認證訪問到公網;3.規定總部無線用戶無需WEB認證即可直接接入Internet。。應用流量控制1.規定總部公司的出口運營商總帶寬為139Mbps；2.規定從外網訪問總部公司進行FTP的限流控制，將所有用戶訪問過來的流量限制為5Mbps,并且總部公司內部的FTP總流量限制在80M內；3.規定從外網訪問總部公司進行WEB的限流控制，將所有用戶訪問過來的流量限制為5Mbps,并且總部公司內部的WEB總流量限制在80M內。用戶行為策略1.規定不監控審計WCX用戶的上網行為；2.規定總部公司開啟工作日周一到周五的早上8點30分到下午5點30分時間段進行P2P應用使用的審計并阻斷功能。廣域網鏈路配置與安全設計由于局域網互聯物理范圍的局限性，只能解決終端、服務器和工作站等局部的資源共享與通信，然而遠距離間的計算機通信無法滿足。為了解決這一問題，可以利用廣域網通過運營商設施的的基礎通信，將遠距離的網絡互連起來，進行遠距離的網絡通信、數據傳輸以及大規模的資源共享。（一）PPP協議應用為了能夠支持功能更完善、需求更強大的數據鏈路層協議的廣域網線路，并且能為廣域網提供安全性，需要應用PPP協議。PPP協議是基于點到點的鏈路層協議、并且能夠提供傳遞和封裝網絡層數據包的功能協議。該協議可以提供用戶認證功能，還支持同步和異步的通信功能，易于擴展。其中PPP的CHAP認證可以通過三次握手的方式進行認證只在網絡中傳輸用戶名，不傳輸密碼，從而提高了數據傳輸的安全性。1.規定在本部公司路由器RO-1與子公司A路由器R0-2、B路由器RO-3之間設計PPP協議，其中RO-1作為認證方的服務器，RO-2、R0-3作為認證方的客戶端；2.規定采用CHAP協議的單向認證，通過用戶名和驗證密碼的方式；3.規定用戶名為WCX，密碼為CMX；（二）IPSecVPN應用傳統的路由交換技術和廣域網連接技術難以滿足企業網絡對安全保護、靈活性、成本等方面的需求。若采用傳統的網絡專線來構建總部公司和子公司之間的Internet連接，需要耗費大量的成本，同時變更不靈活，又缺乏擴展性和安全性。為解決這一系列問題，可通過VPN技術。然而采用一般的VPN技術，數據在公網上傳輸時容易被篡改和竊聽，為了解決這一問題采用IPSecVPN技術，從而為廣域網提供了高可靠性和安全性。1.規定在總部路由器RO-1通過動態隧道主模式，采用esp安全協議，md5認證算法，3des加密算法。以xiaowu作為加密交換集的名稱，xiaocao作為動態加密圖的名稱，xiaozi作為靜態加密圖的名稱，安全共享密鑰采用明文的方式cmxwcx@99;2.規定在子公司路由器RO-2、RO-3通過動態隧道主模式，采用esp安全協議，md5認證算法，3des加密算法。以xiaozi作為靜態加密圖的名稱，安全共享密鑰采用明文的方式cmxwcx@99。ZB-LYQ7136(config)#cryisakkey88cmxwcx@99addr0ZB-LYQ7136(config)#cryisapol57ZB-LYQ7136(isakmp-poli)#aupreshaZB-LYQ7136(isakmp-poli)#hamd5ZB-LYQ7136(isakmp-poli)#encr3desZB-LYQ7136(isakmp-poli)#gro15ZB-LYQ7136(config)#cryipstransformsetxiaocaoesp3despmd5hmacZB-LYQ7136(config)#cryomapxiaozi95ipsisaZB-LYQ7136(config-cryo-map)#matchaddre161ZB-LYQ7136(config-crto-map)#settransformsetxiaocaoZB-LYQ7136(config-cryo-map)#setpe0ZB-LYQ7136(config-cryo-map)#intfagi0/4ZB-LYQ7136(config-if-Girnet0/4)#crypmapxaiozi（三）路由選路設計一般情況下，網絡只采用一種路由協議，復雜性較低，易于管理和維護。然而在該網絡中，采用了多種路由協議的組網方式，使得各個路由協議之間的算法也有所差異，度量值也不相同，由于不同協議的路由不能夠相互傳遞信息，便導致一種協議的路由不能夠被另一種協議學習到，路由不能相互傳達。為解決這一問題，可設計路由引入。但在相互引入的同時也會帶來環路，所以可通過路由策略解決根本上的問題。這樣不僅可以使得各個協議之間可以相互學習路由信息，還可以實現數據的負載分擔與分流的目的。1.規定為了達到分流的目的，將OSPF的開銷度量值改為18或22;2.規定將OSPF引入到RIP內，將其度量值修改為18或22；3.規定本部公司VLAN114、214、314的業務網絡訪問外網的路線為：從交換機SW-3到出口網關GW-1；4.規定本部公司VLAN414的業務網絡訪問外網的路線為：從交換機SW-4到出口網關GW-2;5.規定A、B兩個子公司的業務網絡訪問外網的路線為：從交換機SW-4到出口網關GW-2。（四）服務質量應用由于傳統的傳輸服務是一種盡最大努力轉發的不可靠網絡，網絡的資源是有限的，若網絡空閑時就會對數據進行轉發，若網絡出現擁擠現象時，可能出現丟包的現象。例如，當網絡的總帶寬一定時，若某業務消耗網絡帶寬過多，則別的業務分配的帶塊就會很少，從而影響其他業務的正常運行。新時代的互聯網繼承了視頻語音等信息的實時互動，且這些業務對延遲、丟包和抖動極其敏感，所以傳統的網絡需要提供由預期的有保障的服務質量。QoS能夠管理和合理分配網絡資源，優先服務緊急且對延遲較為敏感的業務，從而在網絡延遲、帶寬占用、丟包及抖動方面取得可預期的服務水平。1.規定在本部公司的交換機SW-1、SW-2上限制接口流量，將其限制在7Mbps內，觸發流量限制在2Mbps內；ZB-Duidie-JHJ3310(config)#intfarangi0/1-16ZB-Duidie-JHJ3310(config-if-range)#ratelimitin7000020482.規定在子公司A路由器和子公司B路由器的出接口做流量整形；ZGS-A-LYQ7136(config)#intfas3/0ZGS-A-LYQ7136(config-if-Serial3/0)#traffsharate20000003.規定在子公司A路由器和子公司B路由器的入接口做流量監控16Mbps，Burst-normal為1024Kbytes,burst-max為2048Kbytes，當流量超出限制范圍時，則該違規報文將被丟棄。ZGS-B-LYQ7136(config)#intfagi0/0ZGS-B-LYQ7136(config-if-GigabitEthernet0/0)#ratelimitinput1000000010000002000000confoacticontinexceactdrop網絡系統管理隨著計算機網絡通訊技術的飛速發展，計算機網絡已經逐步進入社會各個領域。而網絡系統的規模也大幅度擴大，結構也變得越來越復雜，可以提供更多的服務給用戶使用，而且異構性也越來越強。而且在網絡系統維護這一時期，一旦網絡發生故障，網絡管理員要手動排除故障會變得非常困難，顯然不可能完成，也很不科學。而且維護成本也變得很高。為了更好的提高網絡管理性能，所以以下介紹了網絡管理系統，即網絡管理方面不需要通過管理員來完成，而是通過網管系統的運行，大大提高了網絡維護的效率，實現了網絡管理的智能化SNMP管理由于網絡規模的不斷擴大，網絡應用環境以及拓撲越來越復雜，然而進行網絡管理的需求也不斷地提高，自動化網絡管理能夠更好地管理網絡。簡單網絡管理協議SNMP是一種可以收集網絡設備中管理信息的一種可實用方法，同時還能夠提供向網絡工作站報錯功能。簡單網絡管理協議是一種能夠解決網絡中遇到的問題的管理協議，能夠實現多供應商和可協同操作的功能。SNMP實現起來比較簡單，同時大大減少人力、物力和成本的消耗，從而實現智能的自動化管理網絡。1.規定所有設備設計SNMP協議，開啟Trap消息，當出現Trap警告時，所以設備均向服務器發送Trap消息；2.規定采用snmpv2版本，用戶讀寫節點的對象名稱為“Cmx”，只讀節點的對象名為“Wcx”；3.規定SNMP采用MD5的認證算法和3DES的加密算法，加密密鑰和認證密鑰均采用明文加密，用戶名及密碼均為wlgl。堆疊交換機上配置：ZB-Duidie-JHJ3310(config)#snmpserverhost1trapsversion2vcCmxZB-Duidie-JHJ3310(config)#snmpserverhost1trapsversion2vcWcxZB-Duidie-JHJ3310(config)#snmpserverenabtrapZB-Duidie-JHJ3310(config)#snmpservercommuCmxrwZB-Duidie-JHJ3310(config)#snmpservercommuWcxro系統管理平臺為了更好地對網絡和數據進行管理、提供服務，需要搭建系統管理平臺，從而達到快速的數據交換與信息傳遞，增強業務設計的彈性。1.規定進行系統管理平臺的搭建，登錄域名為自由規劃；2.規定創建兩臺虛擬交換機，一臺用于進行與外部數據進行網絡交換，另一臺用于進行對數據的存儲，并開啟DHCP服務；圖4創建虛擬機配置圖3.創建一臺虛擬路由器，用于和虛擬交換機的子網進行關聯。圖5創建路由器配置圖網絡系統應用1.規定創建一個100G的磁盤，然后創建一個大小為1GB的物理卷組，在進行邏輯卷的創建，大小為16GB，將其格式化為XFS格式，并實現其能夠開機自動掛載在相應目錄下；圖6創建磁盤配置圖2.規定設計samba服務，要求用戶能夠對其共享目錄具有讀寫并且可執行的權限，通過ACL來實現權限的修改；圖7samba服務配置圖3.規定設計DNS服務，用于對所有主機地址的監聽，將IP地址與域名之間相互轉換，在/etc/named.conf文件內配置定義