《2022年网络组建与维护 .pdf》由会员分享,可在线阅读,更多相关《2022年网络组建与维护 .pdf(21页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、XXXXXXXXX 毕业设计(论文)论文题目网络组建与维护年月日名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 21 页 - - - - - - - - - 摘要随着计算机及通信技术的飞跃发展,办公信息化、自动化、无纸化的需求,各单位为提高办公效率, 促进信息交流, 适应现代化办公的要求, 企业内部管理的网络及信息化成为一种必然的发展趋势,局域网网络应用的成功不仅对企业的现有业务产生巨大影响。 随着办公信息化、 自动化的需求, 各企业为提高办公效率,促进信息交流,适应现代
2、化办公的要求,需要组建企业办公局域网。组建企业局域网所涉及的方方面面很多,首先需要一个正确的设计规划, 然后需要处理网络设备选型与配置、 企业网的技术等方面, 这都需要按部就班的逐一实现。本文就如何规划和设计企业局域网进行浅述。本文首先从总体上对企业网的建设、目标、技术进行了分析研究, 然后对具体业内部局域网的需求进行分析,确定企业网络拓扑结构、 网络设备选型以及设备配置等。从各个方面对企业局域网建设提出了规划的方案,以期对企业局域网的建设做出贡献。关键词:局域网;企业拓扑图;企业技术名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - -
3、- 名师精心整理 - - - - - - - 第 2 页,共 21 页 - - - - - - - - - 网络组建与维护目录第 1 章 绪论1 第 2 章企业网设计方案3 2.1 需求分析3 2.2 网络设备选型4 2.3 设备端口的划分6 2.4 IP地址规划与配置6 第 3章 企业网技术应用8 3.1 VLAN的规划 8 3.2 链路聚合10 3.3 端口隔离11 3.4 生成树协议11 3.5 HSRP协议12 3.6 静态路由13 3.7 默认路由13 3.8 ACL(访问控制列表)的应用14 3.8.1 NAT的应用 14 3.9 负载均衡的应用15 3.10 小结 15 第 4
4、章 结论17 参考文献18 附录19名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 21 页 - - - - - - - - - - 1 - 第一章绪论当今世界,各种先进的科学技术快速发展, 给人们的生活带来了深远的影响,它极大地改善我们的生活方式。 计算机局域网于20 世纪 70年代末期出现, 在八九十年代获得了飞速发展和大范围的普及,如今正步入高速的阶段。 在以计算机技术为代表的信息科技的发展更是日新月异,从各个方面影响和改变着我们的生活,已经渗透到了我们生活的各个方
5、面,人们已经离不开计算机网络, 并且随着因特网的迅速普及, 给我们的学习与生活条件带来更大的方便,我们与外部世界的联系将更加的紧密和快速。计算机网络是指通过媒体链接的多部计算机组成的系统,使其登陆其上的所有用户能够共享软硬件资源。 计算机网络如按网络的组建规模和延伸范围来划分的话,可分为局域网城域网、广域网。我们经常用到的因特网(Internet)属于广域网,企业网属于局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展。从网络对网络资源的共用来改善企业内部和企业与客户之间的信息交流方式,来满足业务部门对信息存储、检索、处理和共享需求,使企业能迅速掌握瞬息万变的市场行情,
6、 使企业信息更有效地发挥效力;提高办公自动化水平, 提高工作效率,降低管理成本, 提高企业在市场上的竞争力; 通过对每项业务的跟踪,企业管理者可以了解业务进展情况,掌握第一手资料, 及时掌握市场动态, 为企业提供投资导向信息, 为领导决策提供数据支持; 通过企业内部网建立, 企业各业务部门可以有更方便的交流沟通,管理者可随时了解每一位员工的情况,并加强对企业人力资源合理调度, 切实做到系统的集成化设计,使原有的设备、 投资得到有效利用。网络设计遵循技术和行业标准的指导原则,确保设计的解决方案满足网络建设的需要,并符合IT 建设的标准,为将来的网络升级提供向后兼容能力。在整体方案设计中,遵循的实
7、用性、先进性、可靠性和安全性原则。(1)实用性:网络建设从应用实际需求出发,坚持为领导决策服务,为经营管理服务,为生产建设服务。另外,如果是对现有网络升级改造,还应该充分考虑如何利用现有资源,尽量发挥设备效益。(2)先进性:规划局域网,不但要满足用户当前的需要,还应该有一定技术前瞻性和用户需求预见性, 考虑到能够满足未来几年内用户对网络功能和带宽的需要。采用成熟的先进技术,兼顾未来的发展趋势,即量力而行,又适当超前,留名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 21
8、页 - - - - - - - - - - 2 - 有发展余地。(3)安全可靠性:确保网络可靠运行,在网络的关键部分应具有容错能力,提供公共网络连接、通信链路、服务器等全方位的安全管理系统。(4)安全保密性:为了保证网上信息的安全和各种应用系统的安全,在规划时就要为局域网考虑一个周全的安全保密方案。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 21 页 - - - - - - - - - - 3 - 第二章企业网设计方案2.1 企业需求分析:(1)企业的很多业务依托于网
9、络,要求企业内部网络能够连通公网,及时获取业务信息、 加强企业与客户之间的信息交流。同时对网络的可靠性要求也很高, 要求在办公时间内, 网络不能掉线。 将企业出口路由器 R2_enterprise与中国电信路由器R1_internet相连。(2)核心网络设备能适应越来越多的信息种类及大信息、快速处理数据转发及传输要求, 因此要考虑冗余备份。 所以企业内网设核心交换机两台,核心交换机为三层交换机,分别为core1 与 core2,core2 上连接两台企业的网站服务器web1与 web2 。(3)企业之间各个部门需要网络连通,进行业务上的来往,则在企业接入层设交换机2 台,为二层交换机 acce
10、ss1 和 access2。公司的各个部门间办公信息相互独立, 且为了控制网络的广播流量、 提高网络安全性。access1 和 access2 分别划分了两个VLAN ,为 VLAN10 、VLAN20 。(4)通过使用 VTP 、STP 、HSRP 、ACL等相关技术使公司内部实现一个完善、高效、高可用性和高可靠性的办公网络。根据企业需求制定出网络拓扑图,如下:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 21 页 - - - - - - - - - - 4 - 2.
11、2 网络设备选型根据拓扑图我们分三层次进行设计:接入层、核心层、骨干层,其中接入层为连接各部门用户的二层交换机access1、access2;核心层为两台三层交换机core1 、core2;骨干层为接入 Internet的路由器 R2 。我们所选的选用的设备是思科公司的,思科公司主要以路由器,交换机,IOS软件为主,型号先进,采用双层分布式结构, 思科系统公司的软硬件产品使人们在任何时间、任何地点, 通过任何型号的计算机系统均可实现对信息的访问。1、接入层的功能是网络中直接面向用户连接或访问的。在接入层中通常选用的设备是二层交换机, 它直接与外网联系, 使用最广泛,尤其是在一般办公室、小型机房
12、和业务受理较为集中的业务部门、多媒体制作中心、 网站管理 中心等部门。在这里我们选用的是2 台二层交换机 CiscoWS-C2960-24TT ,分别为 access1和 access2。CiscoWS-C2960-24TT系列具有集成安全特性。CiscoWS-C2960-24TT的主要参数如下:2、核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务。负责路由管理、网络管理等。重点通常是冗余能力、可靠性和高速的传输。而我们选用了思科网络高性能、 传输速率快的万兆Cisco WS-C3560-24TS-S 以太网三层交换机正好可以满足他这个要求。我们在这个网络拓扑图中也是采用了core
13、1和 core2 两台三层交换机来做冗余备份来确保网络的可靠性。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 21 页 - - - - - - - - - - 5 - CiscoWS-C3560-24TS-S主要参数如下3、 骨干层 是用来连接多个 区域或地区的高速网络是用来连接多个区域或地区的高速网络。在这里我们选用的设备是cisco1841 -SEC/K9三台分别为R1_internet 、R2_enterprise 、R3_enterprise (作为 R2的备份
14、路由器),他们的主要作用是有强大的管理功能、高级Qos和可扩展性,性能强大、稳定。在我们这个网络拓扑图结构中 R2_enterprise作为企业路由器与中国电信路由器R1_internet相连,R3_enterprise则作为 R2 的备份路由器,与中国电信路由器R1_internet相连。(这个在网络拓扑结构中没有显现出来)Cisco1841 -SEC/K9 主要参数如下:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 21 页 - - - - - - - - - -
15、6 - 2.3 设备端口的划分 端口(port ),可以认为是设备与外界通讯交流的出口。端口可分为虚拟端口和物理端口,其中虚拟端口指计算机内部或交换机路由器内的端口,不可见 。集线器、交换机、路由器的端口指的是连接其他网络设备的物理接口,如RJ-45端口、Serial端口等。我们这里所指的端口不是指物理意义上的端口,而是特指 TCP/IP 协议中的端口,是逻辑意义上的端口。我们对企业的端口划分做了如下规划:设备名称端口用途对应设备 / 端口R2 S0/1/0 上联 R1路由器R1,S0/1/0 R2 F0/0 下联三层交换机core1 core1,F0/24 R2 F0/1 下联三层交换机co
16、re2 Core2,F0/24 core1 F0/1-2 链路聚合通道core2,F0/1-2 core1 F0/20 接入二层交换机Access2,F0/10 core1 F0/10 接入二层交换机Access1,F0/20 Core2 F0/20 接入二层交换机Access2,F0/20 Core2 F0/10 接入二层交换机Access2,F0/10 Core2 F0/23 接入 WEB 服务器WEB1 Core2 F0/22 接入 WEB 服务器WEB2 2.4 IP地址规划与配置一、IP 地址分配遵循以下原则:简单性 :地址的分配应该简单,避免在主干上采用复杂的掩码方式。连续性 :为
17、同一个网络区域分配连续的网络地址,便于采用SUMMARIZATION及 CIDR(CLASSLESS INTER-DOMA IN ROUTING) 技术缩减路由表的表项,提高路由器的处理效率。可扩充性 :为一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍然能够保持地址的连续性。灵活性 :地址分配不应该基于某个网络路由策略的优化方案,应该便于多数路由策略在该地址分配方案上实现优化。可管理性 :地址的分配应该有层次,某个局部的变动不要影响上层、全局。安全性 :网络内应按工作内容划分成不同网段即子网以便进行管理。二、子网划分名师资料总结 - - -精品资料欢迎下载 - - - -
18、- - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 21 页 - - - - - - - - - - 7 - 子网划分是通过借用IP 地址的若干位主机位来充当子网地址从而将原网络划分为若干子网而实现的。子网划分定义:Internet组织机构定义了五种IP 地址,有 A、B、C三类地址。划分子网时,随着子网地址借用主机位数的增多,子网的数目随之增加, 而每个子网中的可用主机数逐渐减少。以 C类网络为例, 原有 8 位主机位, 2 的 8 次方即 256 个主机地址,默认子网掩码255.255.255.0 。借用 1 位主机位,产生 2
19、 个子网,每个子网有126 个主机地址。根据以上设计和企业网的需求,公司的子网划分与VLAN划分如图所示:设备设备名称设备接口IP 地址路由器R2_enterprise Fa0/0 192.168.1.185/30 Fa0/1 192.168.2.149/30 Serial 1/0 200.200.200.201/30 R1_internet Serial 1/0 200.200.200.202/30 三层交换机core1 Fa0/24 192.168.30.1 /24 Interface vlan 10 192.168.10.100/24 Interface vlan 20 192.168.
20、20.100/24 core2 Fa0/24 192.168.30.2/24 Interface vlan 10 192.168.10.200/24 Interface vlan 20 192.168.20.200/24 Interface vlan 100 192.168.40.200/24 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 21 页 - - - - - - - - - - 8 - 第 3 章 企业网技术应用3.1 VLAN 的规划为满足企业之间各个部门
21、需要网络连通,进行业务上的来往, 且为了控制网络的广播流量、 提高网络安全性。 access1 和 access2 分别划分了两个VLAN ,为VLAN10 、VLAN20 。虚拟局域网 (VLAN)是一组逻辑上的设备和用户, 这些设备和用户并不受物理位置的限制, 可以根据功能、 部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。它的主要用途: VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。增强企业的安全性, 含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。在 core1、core 2、access1、acce
22、ss2 上的配置命令如下:Switch(config)#hostname core1 core1 (config-if)#vlan 10 core1(config-vlan)#vlan 20 core1(config)#vlan 10 core1(config-vlan)#vlan 20 core1(config-vlan)#exit core1(config)#int vlan 10 core1(config-if)#ip address 192.168.10.100 255.255.255.0 core1(config-if)#int vlan 20 core1(config-if)#ip
23、 address 192.168.20.100 255.255.255.0 core1(config-if)#exit core1(config)#int f0/24 core1(config-if)#no switchport core1(config-if)#ip address 192.168.30.1 255.255.255.0 core1(config-if)#no sh Switch(config)#hostname core2 core 2(config-if)#vlan 10 core2(config-vlan)#vlan 20 core2(config)#vlan 10 co
24、re2(config-vlan)#vlan 20 core2(config-vlan)#vlan 100 core2(config-vlan)#exit core2(config)#int vlan 10 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 21 页 - - - - - - - - - - 9 - core2(config-if)#ip address 192.168.10.200 255.255.255.0 core2(config-if)#int vla
25、n 100 core2(config-if)#ip address 192.168.40.200 255.255.255.0 core2(config-if)#int vlan 20 core2(config-if)#ip addr 192.168.20.200 255.255.255.0 core2(config-if)#exit core2(config)#int f0/24 core2(config-if)#no switchport core2(config-if)#ip addr 192.168.30.2 255.255.255.0 core2(config-if)#no sh ac
26、cess1 (config-if)#vlan 10 access1(config-vlan)#vlan 20 access2(config-if)#vlan 10 access2(config-vlan)#vlan 20 本次设计中主要采用基于端口和基于路由来划分VLAN 。基于端口这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、 最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。网络拓扑图中将二层交换机access1 与二层交换机 access2 的 fa 0/1 fa 0/9 接口划入 VLAN10 ;将二层交换机
27、access1 与二层交换机 access2 的 fa 0/11 fa 0/19 接口划入 VLAN20 。 配置核心交换机 core2, 将服务器 web1和服务器 web2所连接的端口划入vlan100 Access1、Access2、core2 配置命令如下:access1(config)#int range f0/1-9 access1(config-if-range)#switchport access vlan 10 access1(config-if-range)#int range f0/11-19 access1(config-if-range)#switchport acc
28、ess vlan 20 access2(config)#int range f0/1-9 access2(config-if-range)#switchport access vlan 10 access2(config-if-range)#int range f0/11-19 access2(config-if-range)#switchport access vlan 20 core2(config)#int range f0/22-23 core2(config-if-range)#switchport access vlan 100 在核心交换机与接入交换机连接的链路上,配置trunk
29、 策略,使得来自于vlan10 这个流量较大的 vlan 中的数据在 trunk 链路上不打标记即可传输。在 core1、core2、access1、access2 上的配置命令如下:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 21 页 - - - - - - - - - - 10 - 1、core1(config)#int f0/10 core1(config-if)#switchport trunk native vlan 10 core1(config-if)
30、#int f0/20 core1(config-if)#switchport trunk native vlan 10 2、core2(config)#int f0/10 core2(config-if)#switchport trunk native vlan 10 core2(config-if)#int f0/20 core2(config-if)#switchport trunk native vlan 10 3、access1(config)#int f0/10 access1(config-if)#switchport trunk native vlan 10 access1(co
31、nfig-if)#int f0/20 access1(config-if)#switchport trunk native vlan 10 4、access2(config)#int f0/10 access2(config-if)#switchport trunk native vlan 10 access2(config-if)#int f0/20 access2(config-if)#switchport trunk native vlan 103.2 链路聚合为使企业的处理数据能力增强,合理利用链路带宽增加工作效率,我们在Core1、Core2 access1、access2 设置了
32、Trunk 链路设置。Trunk 是端口汇聚的意思(也称为端口捆绑、端口聚集或链路聚集),就是通过配置软件的设置, 将 2 个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机的网络节点之间的带宽,将属于这几个端口的带宽合并, 给端口提供一个几倍于独立端口的独享的高带宽。Trunk 是在交换机和网络设备之间比较经济的增加带宽的方法,如服务器、路由器、工作站或其他交换机。链路聚合的方式主要有以下两种: 静态 Trunk、动态 Lacp。在这个网络拓扑图中,我们采用的是静态Trunk,形成一条逻辑链路。 core1 和 core2 间配置双链路聚合实现冗余作用,以提高网络的可靠性。在acc
33、ess1、access2 上也配置中继链路。core1 的配置命令如下:core1(config)#int range f0/1-2 core1(config-if-range)#switchport trunk encapsulation dot1q core1(config-if-range)#switchport mode trunk core1(config-if-range)#channel-group 1 mode on 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1
34、3 页,共 21 页 - - - - - - - - - - 11 - core1(config)#int f0/10 core1(config-if)#switchport trunk encapsulation dot1q core1(config-if)#switchport mode trunk core1(config-if)#int f0/20 core1(config-if)#switchport trunk encapsulation dot1q core1(config-if)#switchport mode trunk core2 的命令与 core1 相同。access1
35、 的配置命令如下:access1(config)#int f0/10 access1(config-if)#switchport mode trunk access1(config-if)#int f0/20 access1(config-if)#switchport mode trunk access1 的命令与 access2 相同。3.3 端口隔离考虑到企业的安全性是尤为重要的,为了实现报文之间的二层隔离, 可以将不同的端口加入不同的VLAN ,但会浪费有限的VLAN 资源。采用端口隔离特性,可以实现同一 VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之
36、间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。配置接入交换机 access1 和 access2 上的端口隔离功能,实现vlan20 中各物理端口间的端口隔离。access1、access2 配置命令如下:access1(config)#int range f0/11-19 access1(config-if-range)#switchport protect access2(config)#int range f0/11-19 access2(config-if-range)#switchport protect 3.4 生成树协议为给企业提供网络稳定可靠的冗余功能,且
37、不会造成交换环路。因此在Core1、Core2上配置生成树协议。生成树协议的主要功能有两个:一是在利用生成树算法、 在以太网络中, 创建一个以某台交换机的某个端口为根的生成树,避免环路, 造成网络风暴。 二是在以太网络拓扑发生变化时,通过生成树协议达到收敛保护的目的。配置生成树,使得核心交换机core1 为 vlan10 的根桥,使得核心交换机名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 21 页 - - - - - - - - - - 12 - core2 为 vl
38、an20 的根桥。core1(config)#spanning-tree vlan 10 root primary core2(config)#spanning-tree vlan 20 root primary 3.5 HSRP协议HSRP 是 Hot Standby Routing Protocol (热备份路由协议)的缩写。它的作用是能够把一台或多台路由器用来做备份,所谓热备份是指当使用的路由器不能正常工作时,候补的路由器能够实现平滑的替换,尽量不被察觉。通常,我们的网络上主机设置一条缺省路由, 指向主机所在网段内的一个路由器 R, 这样,主机发出的目的地址不在本网段的报文将被通过缺省路
39、由发往路由器 R, 从而实现了主机与外部网络的通信。在这种情况下,当路由器 R 坏掉时,本网段内所有以路由器 R 为缺省路由下一跳的主机将断掉与外部的通信。HSRP 实现容错备份功能,可以有效解决上述可靠性问题。配置 HSRP 的端口追踪功能,使得在core1 的 fa 0/24 口出现故障时, core2能够成为 vlan10 的网关,在 core2 的 fa 0/24口出现故障时, core1 能够成为vlan20 的网关。core1(config)#int vlan 10 core1(config-if)#standby 10 ip 192.168.10.254 core1(config
40、-if)#standby 10 priority 250 core1(config-if)#standby 10 preempt core1(config-if)#standby 10 track f0/24 100 core1(config)#int vlan 20 core1(config-if)#standby 20 ip 192.168.20.254 core1(config-if)#standby 20 priority 180 core1(config-if)#standby 20 preempt core2(config)#int vlan 10 core2(config-if)
41、#standby 10 ip 192.168.10.254 core2(config-if)#standby 10 priority 180 core2(config-if)#standby 10 preempt core2(config)#int vlan 20 core2(config-if)#standby 20 ip 192.168.20.254 core2(config-if)#standby 20 priority 250 core2(config-if)#standby 20 preempt core2(config-if)#standby 20 track f0/24 100
42、名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页,共 21 页 - - - - - - - - - - 13 - 3.6 静态路由出于网络安全保密性的原因, 我们在企业出口路由器R2_enterprise和核心交换机 core1、core2 上配置静态路由。静态路由是指由用户或网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时, 网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的,不会传递给其他的路由器。当然,网管员也可以通
43、过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境,在这样的环境中,网络管理员易于清楚地了解网络的拓扑结构,便于设置正确的路由信息。优点:使用静态路由的另一个好处是网络安全保密性高。动态路由因为需要路由器之间频繁地交换各自的路由表,而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。 因此,网络出于安全方面的考虑也可以采用静态路由。不占用网络带宽,因为静态路由不会产生更新流量。R2_enterprise 、core1、core2 的配置命令如下:R2_enterprise(config)#ip route 192.168.10.0 255.255.255.0 192.1
44、68.30.1 R2_enterprise(config)#ip route 192.168.20.0 255.255.255.0 192.168.30.1 R2_enterprise(config)#ip route 192.168.40.0 255.255.255.0 192.168.30.1 R2_enterprise(config)#ip route 192.168.10.0 255.255.255.0 192.168.30.2 R2_enterprise(config)#ip route 192.168.20.0 255.255.255.0 192.168.30.2 R2_enter
45、prise(config)#ip route 192.168.40.0 255.255.255.0 192.168.30.2 3.7 默认路由为使企业网络全网的连通性, 我们在出口路由器R2_enterprise和核心交换机 core1、core2 上配置默认路由默认路由是一种特殊的静态路由, 指的是当路由表中与包的目的地址之间没有匹配的表项时路由器能够做出的选择如果没有默认路由,那么目的地址在路由表中没有匹配表项的包将被丢弃,默认路由在某些时候非常有效, 当存在末梢网络时,默认路由会大大简化路由器的配置,减轻管理员的工作负担, 提高网络性能。R2_enterprise 、core1、core
46、2 配置参数如下:core1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.186 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页,共 21 页 - - - - - - - - - - 14 - core2(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.149 R2_enterprise(config)#ip route 0.0.0.0 0.0.0.0 200.200.200.202 3.8 A
47、CL (访问控制列表)的应用作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。访问控制列表 (Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。 至于数据包是被接收还是拒绝, 可以由类似于源地址、 目的地址、 端口号等的特定指示条件来决定。 访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。此外,在路由器的许多其他配置任务中都需要使
48、用访问控制列表,如网络地址转换 (Network Address Translation,NAT) 在进行网络地址转换前需要给R2_enterprise先配置 ACL 。R2的配置参数如下:R2_enterprise(config)#access-list 10 permit 192.168.10.0 0.0.0.255 R2_enterprise(config)#access-list 10 permit 192.168.20.0 0.0.0.255 R2_enterprise(config)#access-list 10 permit 192.168.40.0 0.0.0.255 3.8.
49、1 NAT的应用由于企业出口路由器只申请了一个公有IP 地址,为实现公司内部员工访问互联网,因此我们决定采用NAT技术,NAT技术的实现方式是动态转换,将私有的企业局域网透明地连接到公有网络。NAT (Network Address Translation)属接入广域网 (WAN) 技术, 是一种将私有(保留) 地址转化为公有 (合法)IP 地址的转换技术 , 它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP 地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。配置企业出口路由器R2_enterprise上
50、的 NAT功能,实现企业的上网功能。R2的配置参数如下:R2_enterprise(config)#ip nat inside source list 10 interface serial 0/0/0 overload 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页,共 21 页 - - - - - - - - - - 15 - R2_enterprise(config)#int f0/0 R2_enterprise(config-if)#ip nat inside R2