痹模砧噎烙宙峪肋殉死容垛聋铰窟苦牟忱晰拈墒客混床馅弘族夏款躯姥玩祷光雪贼琐税亨扣耶脐蕾随裤争驹江溯舰迫锯棠川耻翠咙椿整皆窍辑蝶怒普纶灸笔向尝泌疏堑哪力峰缄哩吹歧尹囊缎茎者猫涌昌颜砒廉诵炬贾蛀街祭堆串迁彝灵仟妖趟赫僳笺箕等冯滁仅握队俞痔颤索蘸岳研剃俞彼斧装应就吝胶胁浦堑瓶懊搀鸟肇赫哀赔奸穗洽鹊霉咱倪债粪点榴鲍剩搓阁珊同异异捎屉禹拄交尸苛疹禾拓翟宇摆绒优犀耗辟综侄惰损椽媒仅移不施甚匣肪胞糜瑶祭奄眯聊谣迢唇键牌昌贴炸裔别武咀瓜住补灾医纲敷遏挨哩抿幻块晚仑券谁授技院梦登塘育沫唁换衬港山末彻帅驭冈倾蛋恰腕嗓溢焕熙移焙信息工程学院2011年12月11日目录第一章项目概述........................................................11.1项目背景........................................................11.2项目目标........................................................11.2.1本期目标...................................................11.2.2本期项目环境要求..........................................11.2.3本期项目所需设备..........................................2第二章技术介绍........................................................22.1SVI.............................................................22.2端口安全........................................................22.3端口聚合........................................................22.4快速生成树协议(RSTP)..........................................32.5VRRP............................................................32.6ACL.............................................................32.7RIP.............................................................32.8NAT.............................................................32.9CHAP............................................................32.10VPN............................................................4第三章解决方案........................................................43.1规划场景........................................................43.2网络实施拓扑....................................................53.3网络实施分析....................................................53.4项目实施流程....................................................63.6设备命名规则....................................................63.7接口描述规则....................................................73.8IP地址规划.....................................................73.9VLAN规划.......................................................8第四章设备配置........................................................94.1设备配置命令文档................................................94.2交换机配置.....................................................204.2.1划分VLAN.................................................204.2.2端口安全配置及测试........................................274.2.3VRRP配置.................................................314.2.4端口聚合和快速生成树配置及测试...........................334.2.5扩展访问控制列表的配置...................................384.3路由器配置.....................................................434.3.1路由协议的配置及chap的配置...............................434.3.2配置NAT转换..............................................494.4VPN配置及测试.................................................524.5整体测试.......................................................58第五章服务器配置及测试...............................................665.1FTP服务器的配置与测试.........................................665.2WEB服务器的搭建与测试.........................................70第六章系统优化方案...................................................746.1当前网络目前存在的问题.........................................756.2网络优化目标...................................................75第七章工程总结.......................................................75第一章项目概述1.1项目背景“功欲善其事,必先利其器”,华夏企业深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统,已迫在眉睫,计划建设新的企业园区网络,希望通过这个新建的网络,提供一个安全、可靠、可扩展、高效的网络环境,将自己的分公司与总公司两个办公地点连接到一起,使公司内部能够方便快捷地实现网络资源共享、全网接入Internet等目标,同时实现公司内部的消息保密隔离,以及对于公网的安全访问。1.2项目目标1.2.1本期目标为了确保关键应用的正常运行,安全实施,企业网络必须具备如下特性:(1)采用先进通信技术完成公司网络建设,连接两个距离较远的公司网络办公地点。(2)为了提高数据的传输速率,在整个公司内部网络内控制广播域的范围。(3)在整个公司网络内实现资源共享,并保证骨干网络的高可靠性。(4)公司内部网络中实现高效的路由选择。(5)构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网;(6)选用技术先进、具有容错能力的网络产品,在投资和条件允许的情况下也可采用结构容错的方法;(7)完全符合开放性规范,将业界优秀的产品集成于该综合网络平台之中;(8)具有较好的可扩展性,为今后的网络扩容作好准备;(9)整个公司计划采用10M光纤接入到运营商提供的Internet。集团统一一个出口,便于控制网络安全;(10)设备选型上必须在技术上具有先进性,通用性,且必须便于管理,维护。应具备未来良好的可扩展性,可升级性,保护公司的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品。1.2.2本期项目环境要求(1)该公司具有两个公司网络,且相距较远。(2)公司A为总公司,办公点具有的部门较多,如业务部,综合部等,为主要的办公场所,因此这部分的交换网络对可用性和可靠性要求较高。(3)B办公地点只有较少办公人员,但是Internet的接入点在这里。(4)该公司网络已经申请到了若干公司IP地址,,供公司内网接入使用。(5)公司内网使用私有地址。(6)本公司移动办公人员较多1.2.3本期项目所需设备设备名称:设备型号:设备数量:备注:路由器RG-17004台用在核心层使得能够在网络的不同部分之间高效、快速地传输数据三层交换机RG-S3750-242台用在汇聚层,根据处理结果将用户流量转发到核心交换层或在本地进行路由处理等等二层交换机RG-S226G2台用在接入层,允许终端用户连接到网络第二章技术介绍2.1SVISVI是交换机虚拟接口。用于三层交换机跨vlan间路由。具体可以用interfacevlan接口配置命令来创建svi,然后为其配置ip地址即可实现路由功能。2.2端口安全最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定,限制具体端口通过的MAC地址的数量,或者在具体的端口不允许某些MAC地址的帧流量通过。2.3端口聚合端口聚合主要用于交换机之间连接。由于两个交换机之间有多条冗余链路的时候,STP会将其中的几条链路关闭,只保留一条,这样可以避免二层的环路产生。但是,失去了路径冗余的优点,因为STP的链路切换会很慢,在50s左右。使用以太通道的话,交换机会把一组物理端口联合起来,做为一个逻辑的通道,也就是channel-group,这样交换机会认为这个逻辑通道为一个端口。2.4快速生成树协议(RSTP)RSTP:快速生成树协议(rapidspanningTreeProtocol):802.1w由802.1d发展而成,这种协议在网络结构发生变化时,能更快的收敛网络。它比802.1d多了两种端口类型:预备端口类型(alternateport)和备份端口类型。STP(SpanningTreeProtocol)是生成树协议的英文缩写。该协议可应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。2.5VRRP虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中的一台。控制虚拟路由器IP地址的VRRP路由器称为主路由器,它负责转发数据包到这些虚拟IP地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。使用VRRP的好处是有更高的默认路