2015年计算机网络专业-毕业设计论文-企业网的规划设计

毕业论文（设计）

企业网的规划设计

PLANNING AND DESIGN OF ENTERPRISE NETWORK

姓    名：                       

学    号：                       

系    别：                       

专    业：                       

年    级：                       

指导教师：                       

2014年   11 月   5 日

摘要

随着网络的逐步普及，企业网络的建设是企业向信息化发展的必然选择，企业网网络系统是一个非常庞大而复杂的系统，它不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使企业内部实现互联互通，办公自动化，信息化，并且有利于数据交换、资源共享、打印共享；同时接入Internet，增加内部资源信息。

本论文主要阐述目前企业网的规划设计，通过对一个中型企业网的组建让大家更加了解企业网的原理，主要内容有：用户需求分析，网络设计原则，网络设备选型，网络规划拓扑，网络结构设计，安全性设计，IP地址规划，路由协议选择，无线局域网和VoIP部署，方案实施。整个企业网络在Cisco Packet Tracer上模拟实现，并测试通过达到预期效果。

关键词：企业网；网络设计原则；IP地址规划；网络结构设计；Packet Tracer；VPN 

Abstract

With the gradual popularization of the network, enterprise network construction is the inevitable choice for enterprise to the development of information technology, enterprise network system is a very huge and complicated system, it not only provides the basic platform for a series of application of modern development, integrated information management and office automation, and can provide many kinds of application service, make the enterprise internal achieve interoperability, office automation, informationization, and is conducive to data exchange, resource sharing, print sharing; at the same time access to the Internet, increase the internal resource information.

This paper mainly expounds the current enterprise network planning and design, through the establishment of a medium-sized enterprise network to give you a better understanding of the principle of the enterprise network, the main contents are: the user demand analysis, network design principle, selection of network equipment, network planning and network topology, structure design, security design, IP address planning, routing protocol selection, wireless LAN and VoIP deployment, the implementation of the program. The entire enterprise network simulation in the Cisco Packet Tracer, and tested to achieve the desired effect.

Key words: Enterprise network; network design principle; IP address planning;network structure design;Packet Tracer;VPN

1 引言

本文以福建省蓝天电子科技企业网的规划设计为背景。较为详细的阐述了福建省蓝天电子科技企业网的规划设计与实现过程。

背景：福建省蓝天电子科技集团成立于2011年8月。注册资金约5000万人民币，该公司的总部设立在福州市，主要产品涉及电子通讯、家用电器、办公设备、医疗设备、器械等。经过三年来的发展，公司规模不断壮大，现有在职员工约300人左右。漳州市分公司，负责销售电子产品。当然原先的网络规模已不能满足目前业务的需求，根据建网需求，新建网络应为基于TCP/IP协议的网络平台，应具有较高的网络带宽，较强的可靠性及较好的可扩展性。以满足目前及其未来几年内市场的需求，公司需要建立一个全新的互联网网络，公司欲建立高效实用的公司网络及应用系统，适应新时代发展的需要。

本项目该集团总部是一个核心—汇聚—接入三层式构架。汇聚、核心运行多区域OSPF协议，核心层与汇聚层连接部分为骨干区域（Area 0）,这种网络结构应用在对安全性要求较高且服务器应用较为多的企业中，接入层和汇聚层在一个建筑物内，核心层在中心机房。集团分公司采用单臂路由协议，以实现该内部网络互相通信。架设服务器是每个公司必须具备的，具体服务器有：WEB、FTP、DNS、AAA、DHCP等，还有架设VPN供分公司及出差员工在外地远程办公。

意义：通过对网络的设计让用户更方便、更直接的访问公司，在保证数据安全前提下也给予公司内部人员更稳定，更轻松的网络工作环境，为配合网络时代的发展趋势同时考虑了网络的扩展加强。

2需求分析

2.1网络环境

该公司福州市总部有5个部门分别是售后支持部、研发部、财务部、销售部、3个生产车间，有3座建筑分别为：员工宿舍、生产车间、科技大楼；漳州市分公司有2个部门，分别售后支持部、销售部。

漳州市分公司主要负责产品销售，所有的电子产品都是从福州总部调过来。分公司的2个部门，同在一个办事处。

2.2用户需求分析

2.2.1信息点部署

总部：

科技大楼内包含有财务部、研发部、销售部、售后支持部。其中财务部员工有6名；研发部员工有20名；销售部成员60名；售后支持部成员20名。共需要部署106个信息点。

生产车间共有3个，员工有180名，需要部署180个信息点。

员工宿舍有员工200名，需要部署200个信息点。

分公司：

销售部有员工10名；售后支持部有员工5名。共需要部署15个信息点。

2.2.2信息服务需求

服务器是每个公司必须具备的。按照公司的需求。我们规划如下：总部服务器里有FTP服务器、WEB服务器、DHCP服务器、AAA 服务器、DNS服务器。

●FTP服务器

架设FTP服务器的主要目的是方便公司内部员工上传跟下载一些重要资料。必须注意的条件是，网络通信正常，服务器必须是启动状态，使用FTP时必须先登录，也就是要有用户ID和口令，在远程主机上获得相应的权限以后，方可上传或下载文件；否则便无法传送文件。

●WEB服务器

WEB服务器也称为WWW（world wide web）服务器，主要功能是提供网上信息浏览服务。只要用户有需要，就可以通过Web浏览器进行访问。有两个访问方式：一个是根据IP地址进行访问，另一个是根据主机名进行访问（这就需要架设DNS服务器）。当然正是因为有了WWW工具，才使得INTERNET迅速发展，且用户数量飞速增长。

●DHCP服务器

动态主机设置协议（Dynamic Host Configuration Protocol, DHCP）是一个局域网的网络协议，架设DHCP服务器目的是：一方面方便内部网络管理员对所有PC以及无线设备管理；另一方面当你使用的设备下线的时候，DHCP服务器可能就会把这个地址分配给之后上线的其他设备。这样就可以有效节约IP地址，既保证了你的通信，又提高IP地址的使用率。

●AAA服务器

AAA是验证、授权和记账（Authentication、Authorization、Accounting ）三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记账。对内部网络具有相当高的安全性保障。

●DNS服务器

DNS分为客户端（Client）和服务器（Server），客户端扮演发问的角色，也就是问服务器一个域名（Domain Name），而服务器必须要回答此域名的真正IP地址，DNS就是用来域名解析的。在网络中要记住几个IP地址那倒不是很难，但要记住几十个，甚至成千上百个倒不是件容易的事，所以我们必须架设一个DNS服务器，用别名来取代IP地址，方便记忆。

2.2.3带宽需求

公司为中型企业，对网络带宽的要求较高，为保证网络视频、语音、图像等信息的传输顺畅，因此以1000Mbit/s共享式超5类双绞线作为主干和垂直布线，以100Mbit/s共享式超5类双绞线作为水平布线来构建该企业网络。

用户对局域网服务带宽的基本需求如下：

1.电子邮件服务、基本公众服务约128Kbps～0.5Mbps。

2.高质量语音IP电话、视频会议、数字音频约512Kbps～4Mbps。

3.文件传输、WWW服务、图像传输约512Kbps～1.5Mbps。

4.超高清晰度视频点播2Mbps～4Mbps。

各个部门的员工对网络带宽需求分为以下几种情况：

1)财务部、销售支持部、销售部用户以及员工宿舍，即满足上述四个功能。在一般情况下，视频会议不可能与高清晰度视频点播同时进行，所以个人总带宽需求在2080K～6012bps之间。取上网系数k为1/4计算，平均带宽只需520K～1503Kbps，将512Kbps取为带宽下限值，带宽上限值取1.5Mbps。

2)研发部用户，即满足上述1、3两个功能。所以个人总带宽为0Kbps～2Mbps，取上网系数k为1/4计算，平均带宽只需160Kbps～500kbps.带宽下限值取128Kbps，带宽上限值取512Kbps。

3)生产车间用户，即满足上述1、3两个功能。虽不能访问WWW服务，但个人总带宽也差不多为0Kbps～2Mbps，取上网系数k为1/4计算，平均带宽只需160Kbps～500kbps。带宽下限值取128Kbps，带宽上限值取512Kbps。

根据局域网中的当个用户带宽需求×网络中的信息点数量分别计算出各个楼的带宽需求，如下表所示：

表2-1 带宽分布表

整个网络规划虽然是采用Cisco Packet Tracer 模拟器来模拟的，为了达到仿真效果，在真实的网络中我们不一定非得真的都用思科的网络设备。因此，在选购相关网络设备时，需要注意以下几个因素：性价比、实用性、售后服务，采购预算。通过互联网的搜索、浏览，尽可能地获取网络设备性能价格等方面的信息，以帮助自己能够买到性能价格比较高的网络设备。实用性也是需要考虑的重要因素，并不是价格越高的设备越适合自己的应用，相反昂贵的设备，其维护和操作往往复杂得多；应该搞清楚自己需要什么样的设备功能，而不是一味追求网络设备的功能越多越好，往往很多功能我们都用不上，所以我们在购买设备时要避免为不需要的功能花费资金。售后服务质量也不容忽视，由于网络设备硬件的问题而导致的网络服务中断，若有良好的售后技术支持，往往可以使我们的网络故障排除事半功倍。以下是该集团网络规划所采用比较廉价的数据，如下表： 

表2-2 网络设备选型

2.3网络建设目标

1.公司内部隔离成不同的网络，总部和分公司均采用VLAN的设计，从而增加了安全性和可管理性。

2.除财务部不允许和其他网段互访外（但财务部需要能够访问到内网的FTP，其他一概不能访问），每一个子网之间实现网络互通，3个生产车间不允许连接Internet；远程telnet到网络核心设备必须通过AAA服务认证。

3.使用2台核心交换机(做冗余备份)，连接所有网络设备，并把所有服务器都连接到该核心交换机，放置到一个单独的VLAN中。

4.采用DHCP服务器让所有PC、无线设备都自动获取ip，服务器的IP地址为固定网段； 有的VoIP系统让所有的IP电话都自动获取到对应的标识号码。

5.总部服务器有对外发布的需求。

6.该公司有电子商务网站，提供客户在线定购产品，故要发布该WWW服务器，并提供高可靠性。

7.有VPN的需求，出差用户要能方便的访问公司内部资料。

8.采用IP电话取代传统的模拟电话，实现内部各个部门间能够通过IP电话进行通信。

9.采用先进的无线网络技术，实现无线网络的覆盖。

10.最后，对数据安全及网络安全做安全防护策略及数据备份策略。

2.4网络设计原则

一个现在化的企业网络规划工程项目必须考虑到几点因素：可用性、可靠性、可扩展性、可管理性、标准性、安全性等因素。

2.4.1 可用性

网络设计首先考虑的是可用性的原则。一方面，要能够给用户提供稳定的网络传输服务，满足各类数据传输的需求，从而达到用户所需要的网络传输质量；另一方面，所采用的技术应当是确保网络的正常运行的。在网络设计中要把先进的技术与现有的成熟技术结合起来，充分考虑到网络应用的现状和未来发展趋势。

2.4.2 可靠性 

网络系统的稳定可靠是系统正常运行的保证也是网络设计基本的原则。应采用高可靠性的网络产品和完备的网络备份策略来满足可靠性的要求，对于不同层次的设备和线路进行不同级别的可靠性设计，使网络具有故障自愈的能力。可靠性设计不仅包括网络设备等物理设计的可靠性，同时包括路由等逻辑设计的可靠性。

2.4.3 可扩展性

业务的发展对网络的需求是不断变化的，网络应用系统为了满足这些需求也会随之变化。面对不断变化的情况和需求，网络应当能够作出快速和有效的反应。因此，网络必须具备良好的可扩展性，应支持核心业务系统的不断扩展，适应未来业务的发展和变化。同时，网络结构应当能够变化，具有灵活的伸缩能力，网络设备可以扩充和升级。

2.4.4 可管理性

随着网络规模的不断扩大和网络的不断复杂，网络的维护量随之增加。整个网络的可管理性变得尤为重要。因此，福建省蓝天电子科技集团网络系统应当具有统一的可管理性，建立统一的网络管理平台。不仅实现对网络设备的管理，同时实现对网络策略的管理和不同协议的多级维护。

2.4.5 标准性

网络设计中所用的各种管理信令、接口规程、协议须符合国际标准，便于扩展和网络的互连互通。

2.4.6 安全性

各类网络应用运行严格要求网络的安全性，尤其是业务类应用。因此福建省蓝天电子科技集团网络应该能够充分保证业务运行的安全性。

3 总体网络设计

3.1 网络规划拓扑

基于以上的需求分析，制定出福建省蓝天电子科技集团公司网络规划方案。

大致网络规划拓扑图如下：

  图3-1  拓扑图

3.2应用框架

根据蓝天电子科技集团的实际情况，运行在现有网络的应用系统主要可分为3类：IP数据应用、语音IP应用和无线网应用。其中数据、语音、无线大多是基于IP协议的。这3类应用对网络有着不同的要求。但他们统一的特点是可以基于IP协议进行传输的。这就要求我们建立的网络是一个基于IP的网络传输平台。同时，IP网络平台要能够满足所有应用对于网络的不同要求，对不同应用提供不同的网络服务质量。

3.3网络结构设计

依据网络的资金投入，业务开展方式，可用性，可扩展性，可管理性，标准型，安全性，网络的性能，网络的可靠性等多个方面进行设计。

按照网络拓扑结构的不同可划分为以下几种基本结构：

●星型结构

●环型结构

●树型结构

●网状结构

对于安全性要求较高的网络设计，我们采用全网状拓扑结构，每个网络设备（如三层交换机、路由器）都有到达其他设备的链路，从而提供完全的冗余和很好的安全性能，但组网费用相对昂贵，网络设备数目增多时，处理广播消息的带宽和CPU的资源也会增加。

图3-2  全网状结构图

3.4分层设计模型

本网络结构采用经典的三层层级模型。三层模型允许三个连续的路由选择或交换层次上的通信汇聚和过滤，这使得三层模型的规模可以扩大到大型国际互联网络。尽管该模型是在描述路由器层次时开发的，但该模型除了用于路由网络外，也可在交换式网络或桥接网络中使用，每一层提供不同的功能， 三层层次结构如图：

图3-3  三层模型

3.4.1核心层

三层层次拓扑结构中的核心层是互联网络的高速主干，由于核心层对互连是至关重要的，因此必须用冗余组件设计核心层。核心层应具有高可靠性，并且应能快速适应变化。

图3-4  核心层

评估核心层性能包括：

●路径优化

●信息流的优先化

●负载均衡

●备用路径

●交换式访问

●封装（隧道）

3.4.2汇聚层

网络的汇聚层是网络的核心层与接入层之间的分界点，它可以定义和区分核心层。汇聚层扮演许多角色，包括由于安全等原因控制对资源的访问，以及出于性能原因控制通过核心层的网络通信等。汇聚层通常用于描述广播域（尽管该功能在接入层也可以实现）。如果网络中实施了VLAN，那么汇聚层可以配置VLAN之间的路由。

图3-5  汇聚层

汇聚层的目的是提供边界定义，在大中型网络中，汇聚层可以包括若干功能，比如：

●地址聚合或区域聚合

●部门访问或工作组访问

●广播/多点传送域的定义

●VLAN间路由

●所需的任何介质转换

●安全性

3.4.3接入层

网络的接入层为用户提供通过局域网访问互联网的能力，接入层包括交换机、网桥和共享介质的集线器以及小型路由器等。交换机将冲突域分解，以满足需要大量带宽或不能忍受共享带宽的应用程序的需要。

图3-6  接入层

在网络环境中，接入层功能可包括：

●共享式带宽

●交换式带宽

●MAC层筛选

●微型分段

3.5安全性设计

 本网络的安全性能有两个：一个机制对流量进行阻塞；另一个允许流量传输。采用了包过滤路由器和安全主机，安全主机也就是内网的服务器群，对外部访问者只提供有限的访问，它有外部访问的重要数据（比如网页），外部访问者只能访问这些指定的服务而已。

过滤路由器建立了一组访问表（access-list），允许或拒绝对隔离的局域网中的主机的访问，并应对它自己的Telnet访问，可使用加密密码实现。过滤路由器允许访问安全主机的特定的TCP/UDP端口，允许通过的TCP包建立TCP会话，比如获得DNS，Web等服务。

安全主机提供的服务有：FTP、Web、DNS、DHCP、AAA、TFTP等。

3.6 IP地址规划

IP地址的规划是网络整体规划的一部分，即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应，是自顶向下的一种规划。

在网络规划时，考虑到集团公司的业务前景，为用户的区域、网络、子网以及终端提供一个地址模型，尽可能地满足网络可拓展性的要求。

3.6.1IP地址规划原则

IP地址规划应遵循以下原则：

1.管理便捷原则

●对私有网络尽量采用NAT规定的私有地址：

●而对上面地址进行选择时候，考虑网络的扩展性。

●整网原则尽量一致。

●便于各种安全策略、路由策略的选择和设置。

●采用与电话区号等特殊号码一致的策略。

2.地域原则

●以地域的方式进行地址规划是最为常用的一种地址划分方式。

●一般高位用来表示级别高的地域，低位用来标识级别低的地域。

3.业务原则

多种业务在同一网络中传输，用地址中的某位来识别业务。

4.地址节省原则

地址节省的方式：地址转换、地址委托、子网掩码，目前的方式一般同时采用地址转换、子网掩码两种方式，并且注意对选定的地址也需要进行节省，因为地址的节省和预留也是网络扩展性的需要。

3.6.2 IP地址规划表

为了满足企业中用户的需求，以及出于方便统一管理目的，总公司内网IP地址采用私有地址192.168.0.0/16 和172.16.0.0/16结合，分公司采用私有地址10.0.0.0/8来规划整个网络，同时公司租用2个公网地址：分别有总公司218.66.67.1/24，分公司218.66.66.1/24。其目的是为了让内网用户访问到互联网，详细IP地址分配如下表：

总公司

表3-1  内网各个部门IP地址分配信息

表3-4  内网各个部门IP地址分配信息

DHCP SERVER功能可以配置在核心交换机上，也可以配置在1台专用的服务器上。在交换机上启用DHCP功能后，在该交换机重启时，所有的DHCP CLIENT均会同时再次申请DHCP延期服务，这样会造成交换机拥塞甚至死机。所以，将DHCP配置在1台专用的服务器上，是最优的做法。然后再通过DHCP代理中继让所有的终端获取到IP地址。

除此之外，为了配置方便跟管理方便，凡是适用无线设备或者IP电话的用户采用专门的Voip系统中心给予分配动态IP地址。

3.7生成树协议

Catalyst 交换机采用的是IEEE 802.1d生成树协议。对所有的交换机使用相同的STP版本进行验证是非常重要的，因为不同类的STP版本将导致网桥循环，这将对以太网的物理网段造成损害，

生成树协议的目的是维持一个无回路的网络。一条无回路的路径是这样实现的：如果一个设备在拓扑中发现了一个回路，它将阻塞一个或多个冗余的端口。并不断地扫描网络，如果出现一个故障或是添加一个链接会被交换机很快地发现。当网络拓扑发生变化时，生成树协议将重新配置交换机的各个端口以避免连接丢失或出现新的回路。

图3-7  生成树

3.8路由协议选择

路由指将数据包从网络的源端传送到另一个网络（目的网络），并将数据包转发给目的主机的过程，路由器完成网络的路由功能，它通过路由表来定位如何到达目的网络，路由表可用手工输入，也可利用路由协议手机到的动态信息产生，IP路由协议分类主要包括：

●静态路由

●动态路由

●距离矢量路由协议：RIP、IGRP

●链路状态路由协议：OSPF、IS-IS

●混合型路由协议：EIGRP

这里，总公司内部路由协议采用动态路由协议与单臂路由协议结合，选择OSPF协议。分公司内部路由协议采用单臂路由协议。

3.8.1 OSPF路由协议

开放的最短路径优先协议版本2（OSPF v2）协议是一种基于链路状态的路由协议，由IETF内部网关协议工作组专为IP开发，作为RIP的后继内部网关协议。OSPF的作用在于最小代价路由、多相同路径计算和负载均衡。OSPF拥有开放性和使用SPF算法两大特性。

能够解决RIP（距离矢量路由协议）所不能解决的问题，特点如下：

●没有跳数

●支持VLSM（可变长子网掩码）

●使用组播发送链路更新

●仅在路由发生变化时，发送更新信息，而不是定期发送

●路由收敛快

●允许逻辑定义网络（划分区域）

●允许用不同口令对路由更新进行验证

●使用cost对路径进行选择

在MA（多路访问）链路中，必须选举出指定路由器（DR）和备份指定路由器（BDR）。选DR和BDR，有如下好处：

●减少路由更新数据流

●管理链路状态同步

具体设计模型，如下：

图3-8  OSPF设计模型

3.8.2 单臂路由协议

VLAN能有效分割局域网，实现各网络区域之间的访问控制。但现实中，往往需要配置某些VLAN之间的互联互通。比如，你的公司划分为多个部门，并为不同部门配置了不同的VLAN，部门之间不能相互访问，有效保证了各部门的信息安全。需要跨越VLAN访问其他部门，这个功能就由单臂路由来实现。配置简单，适用于小型局域网。

3.9无线局域网的设计

无线网可以在普通局域网基础通过无线Hub、无线接入站（Access point，AP）、无线网桥、无线Modem及无线网卡等来实现，以无线网卡最为普遍，使用最多。

图3-9  无线网及IP语音的应用

对于不同局域网的应用环境与需求，无线局域网可采取不同的网络结构来实现互连。

●网桥连接型：不同的局域网之间互连时，由于物理上的原因，若采取有限方式不方便，则可利用无线网桥的方式实现二者的点对点连接，无线网桥不仅提供二者之间的物理与数据链路层的连接，还为两个网的用户提供较高层的路由与协议转换。

●基站接入型：当采用移动蜂窝通信网接入方式组建无线局域网时，各站点之间的通信是通过基站接入、数据交换方式来实现互连的。各移动站不仅可以通过交换中心自行组网，还可以通过广域网与远地站点组建自己的工作网络。

●Hub接入型：利用无线Hub可以组建星型结构的无线局域网，具有与有线Hub组网方式相类似的优点。在该结构基础上的无线局域网，可采用类似于交换型以太网的工作方式，要求Hub具有简单的网内交换功能。

●无中心结构：要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道，MAC层采用CSMA类型的多址接入协议。

    无线局域网设计时，首先要创建一个无线电频率（RF）方案来选定无线局域网技术，然后确定所需接入点的数量、安装位置、RF损耗因素、蜂窝区域大小和信道等等。

3.10 VPN的应用

虚拟专用网是企业网在因特网等公共网络上的延伸，通过一个私有的通道在公共网络上创建一个安全的私有连接。虚拟专用网通过安全的数据通道将远程用户，公司分支结构，公司业务伙伴等跟公司的企业网连接起来，构成一个扩展的公司企业网。在该网中的主机将不会察觉到公共网络的存在，仿佛所有的主机都处于一个网络之中，公共网络仿佛是只由本网络在独占使用，而事实上并非如此，所以称之虚拟专用。并且，随着互联网的广泛应用，企业分支结构的连网应用也越来越多。但是，租用专线的费用是很多中小企业无法承受的。通过VPN技术，可以构建企业之间的连网应用。

当今可以用于实现VPN的技术有很多（如GRE、L2TP、Ipsec等），可根据用户对在内部网络中传输数据的安全性和处理速度要求的情况，选用不同的VPN技术。

图3-10 Easy-VPN的应用

4网络模拟

4.1基本配置

4.1.1核心层

【core_A】

1、设备初始配置

进入的模式是用户模式下：

enable                            //进入模式下

configure terminal                  //进入全局配置模式下

host core_A                       //给本台设备命名（命名为core_A）

 no ip domain look   //告诉设备不要对它不知道的字符串做dns解析，否则当你敲错命令的时候，它就会搜寻dns服务器，造成不必要的延时。

line console 0        //进入console线路口。

 logging syn         //关闭日志同步信息。

 no exec-timeout     //表示你将永远与路由器保持联接，除非你自己logout。

end             //由其他模式直接推到模式下，注意不能在用户模式下使用此命无效。

vlan database                        //进入vlan数据库

 vlan 10 name shouhouzhichibu   //添加了vlan id：vlan 10跟vlan name：shouhouzhichibu。

 vlan 20 name yanfabu          //添加了vlan id：vlan 20跟vlan name：yanfabu。

 vlan 30 name caiwubu          //添加了vlan id：vlan 30跟vlan name：caiwubu。

 vlan 40 name xiaoshoubu        //添加了vlan id：vlan 40跟vlan name：xiaoshoubu。

 vlan 50 name yuangongsushe     //添加了vlan id：vlan 50跟vlan name：yuangongsushe。

 vlan 60 name shengchanchejian   //添加了vlan id：vlan 60跟vlan name：shengchanchejian。

 vlan 100 name fuwuqizhongxin   //添加了vlan id：vlan 100跟vlan name：fuwuqizhongxin。

exit

2、配置生成树及指定vlan 优先级

configure terminal

spanning-tree mode rapid-pvst   //启用快速度生成树，开启stp的模式是快速生成树（RSTP）。

spanning-tree vlan 10,20,30 priority 4096  //在core_A上将vlan 10,20,30配置成root网桥，并指定vlan优先级为4096

spanning-tree vlan 40,50,60 priority 8192

spanning-tree vlan 1,100 priority 12288

ip routing                     //开启ip 路由功能

int range f0/1- 24              //进入到接口模式下，将交换机的所有以太网接口都先关闭。

 shut

interface range f0/10,f0/15-18,f0/24

 no shut                     //进入到接口f/10,f0/15-18,f0/24模式下，重新将接口打开。

 switchport trunk encapsulation dot1q         //将接口封装成dot1q类型。

 switchport mode trunk                     //将接口改为trunk接口模式

 switchport trunk allowed vlan all             //设备在trunk链路中允许通过vlan id。

3、链路聚合

int port-channel 1

 no shut

 switchport mode trunk

 switchport trunk allowed vlan all

exit

int range f0/11 - 12

 no shut

 channel-group 1 mode on

4、配置VTP server

vtp domain ltdz

vtp mode server

vtp password ltdz

5、基本IP配置

int vlan 1

 ip add 192.168.1.10 255.255.255.0

 no shut

no shut

int vlan 10

 ip add 192.168.10.251 255.255.255.0

 no shut

int vlan 20

 ip add 192.168.20.251 255.255.255.0

 no shut

int vlan 30

 ip add 192.168.30.251 255.255.255.0

 no shut

int vlan 40

 ip add 192.168.40.251 255.255.255.0

 no shut

int vlan 50

 ip add 192.168.50.251 255.255.255.0

 no shut

int vlan 60

 ip add 192.168.60.251 255.255.255.0

 no shut

int vlan 100

 ip add 172.16.100.251 255.255.255.0

6、与边界路由器fzzgs相连的接口关闭交换功能，开启三层功能，并配置上ip地址

int f0/1

 no switchport

 ip add 172.16.11.2 255.255.255.0

 no shut

【core_B】

同理，在核心交换机core_B上也是参照core_A的配置。唯一不同的是不用创建vlan database， vtp 模式也是server 密码跟域名都core_A配置一样。

4.1.2汇聚层

【kjdl_A】

1、接口打通、创建VLAN

vlan database 

vlan 10 name shouhouzhichibu

vlan 20 name yanfabu

exit

configure t

int range f0/1-24                 //将所有的交换机以太网口都先关闭。

 shut

int range f0/1 - 2,f0/15 – 16        //开启需要的接口f0/1-2,f0/15-16。并配置成trunk类型

 no shut

 switchport trunk encapsulation dot1q

 switchport mode trunk

 switchport trunk allowed vlan all 

exit

2、链路聚合

int port-channel 1

 no shut

 switchport trunk encapsulation dot1q 

 switchport mode trunk

 switchport trunk allowed vlan all

exit

int range f0/21 - 22

 no shut

 channel-group 1 mode on

3、启动生成树协议

spanning-tree mode rapid-pvst

spanning-tree vlan 10,20 priority 0

4、开启IP路由功能

ip routing

5、给不同vlan 配上IP地址

int vlan 10

 ip add 192.168.10.253 255.255.255.0

 no shut

int vlan 20

 ip add 192.168.20.253 255.255.255.0

 no shut

int vlan 1

 ip add 192.168.1.1 255.255.255.0

 no shut

【kjdl_B】

同理，在分布层交换机kjdl_B上也是参照kjdl_A的配置。

【ygss】

1、接口打通、创建VLAN

enable

configure t

host ygss

 no ip domain look

line console 0

 logging syn

 no exec-timeout

end

vlan database 

 vlan 50 name yuangongsushe

exit

configure t

int range f0/1-24

 shut

int range f0/1,f0/15 - 16

 no shut

 switchport trunk encapsulation dot1q

 switchport mode trunk

 switchport trunk allowed vlan all 

exit

2、启动生成树协议

spanning-tree mode rapid-pvst

3、开启IP路由功能

ip routing

4、给不同vlan 配上IP地址

int vlan 50

 ip add 192.168.50.253 255.255.255.0

 no shut

 ip ospf priority 0

int vlan 1

 ip add 192.168.1.3 255.255.255.0

 no shut

【sccj】

同理，在分布层交换机sccj上也是参照ygss的配置。

4.1.3接入层

【Switch1】

1、接口打通、创建VLAN及将端口划入相应的VLAN中

vlan database 

 vlan 10 name shouhouzhichibu

exit

configure t

int range f0/1-24

 shut

int range f0/1 - 5

 no shut

 switchport mode access                    //将接口配置成access类型。

 switchport access vlan 10                   //将接口划分到vlan 10。

int f0/24

 no shut

 switchport mode trunk                     //将接口配置成trunk类型。

 switchport trunk allowed vlan all             //允许在trunk链路上所有的vlan都通过。

exit

spanning-tree portfast default                 //在全局模式下，凡是启动的接口都从堵塞状态快速进入转发状态，跳过了监听状态和学习状态。

int f0/2

 switchport voice vlan 1

2、启动生成树协议

spanning-tree mode rapid-pvst

【Switch0】【Switch2】、【Switch3】、【Switch4】、【Switch5】、【Switch6】

同理，在接入层交换机Switch0、Switch2、Switch3、Switch4、Switch5、Switch6上也是参照Switch1的配置。

【fzzgs】

enable

conf t

host fzzgs

no ip domain lo

line con 0 

logg syn

no exec-timeout

exit

int f0/0

 ip add 172.16.11.1 255.255.255.0

 no shut

int f0/1

 ip add 172.16.12.1 255.255.255.0

 no shut

exit

int vlan 1

 192.168.1.12 255.255.255.0

 no shut

exit

【voipxt】

int f0/0

  ip add 192.168.110.254 255.255.255.0

 shut

exi

1、配置子端口实现对不同的vlan进行DHCP分配IP地址

int f0/0.10                            //进入子接口f0/0.10。

 encapsulation dot1Q 10                //封装接口为dot1q + vlan id 号。

 ip add 192.168.10.254 255.255.255.0  //给子接口配上IP地址，也就是对应vlan的网关地址。

 no shut                             //打开接口。

int f0/0.20

 encapsulation dot1Q 20

 ip add 192.168.20.254 255.255.255.0

 no shut

int f0/0.40

 encapsulation dot1Q 40

 ip add 192.168.40.254 255.255.255.0

 no shut

int f0/0

 no shut

int vlan 1

 ip add 192.168.1.14 255.255.255.0

 no shut

2、给 VLAN 10、VLAN 20、VLAN40配置不同的地址池和不同的网关

ip dhcp pool vlan10                             //创建dhcp地址池vlan10。

 network 192.168.10.0 255.255.255.0               //给定网段为192.168.10.0/24。

 default-router 192.168.10.254                    //指定网关地址为192.168.10.254。

 option 150 ip 192.168.10.254

 dns-server 172.16.100.3                         /指定DNS服务器IP地址。

ip dhcp pool vlan20

 network 192.168.20.0 255.255.255.0

 default-router 192.168.20.254

 option 150 ip 192.168.20.254

 dns-server 172.16.100.3

ip dhcp pool vlan40

 network 192.168.40.0 255.255.255.0

 default-router 192.168.40.254

 option 150 ip 192.168.40.254

 dns-server 172.16.100.3

3、地址排除

ip dhcp excluded-address 192.168.10.1 192.168.10.10

ip dhcp excluded-address 192.168.20.1 192.168.20.10

ip dhcp excluded-address 192.168.40.1 192.168.40.10

ip dhcp excluded-address 192.168.10.250 192.168.10.255

ip dhcp excluded-address 192.168.20.250 192.168.20.255

ip dhcp excluded-address 192.168.40.250 192.168.40.255

4、在核心层交换机上配置DHCP中继代理：

【core_A】

int vlan 10

  ip helper-address 172.16.100.1

int vlan 20

  ip helper-address 172.16.100.1

int vlan 30

  ip helper-address 172.16.100.1

int vlan 40

  ip helper-address 172.16.100.1

int vlan 50

  ip helper-address 172.16.100.1

int vlan 60

  ip helper-address 172.16.100.1

【core_B】

int vlan 10

  ip helper-address 172.16.100.1

int vlan 20

  ip helper-address 172.16.100.1

int vlan 30

  ip helper-address 172.16.100.1

int vlan 40

  ip helper-address 172.16.100.1

int vlan 50

  ip helper-address 172.16.100.1

int vlan 60

  ip helper-address 172.16.100.1

在配置之前，首先要先考虑DR/BDR的选举问题，这关系到网络中数据流量的更新，对网络的速率有极大的影响。在一个多路访问以太网线路上，配置OSPF协议必定会进行DR/BDR的选举，可以在设备voipxt以及fzzgs、kjdl_A、kjdl_B、ygss、sccj做相应的配置让其不参与DR/BDR的选举，仅在设备core_A和core_B上选举出DR/BDR。

ip ospf priority 2  可更改优先级，让vlan 10到vlan 60以及vlan 100 的DR是在core_A上选举出来，core_B中的vlan自然就成了BDR。接下去配置OSPF协议：

【core_A】

router ospf 1

 router-id 1.1.1.1

 passive-interface vlan 1

 passive-interface vlan 100

 area 1 stub

 network 172.16.11.2 0.0.0.0 area 0

 network 172.16.100.251 0.0.0.0 area 2

 network 192.168.10.251 0.0.0.0 area 1 

 network 192.168.20.251 0.0.0.0 area 1

 network 192.168.30.251 0.0.0.0 area 1

 network 192.168.40.251 0.0.0.0 area 1

 network 192.168.50.251 0.0.0.0 area 1

 network 192.168.60.251 0.0.0.0 area 1

【core_B】

router ospf 1

 router-id 2.2.2.2

 passive-interface vlan 1

 passive-interface vlan 100

 area 1 stub

 network 172.16.12.2 0.0.0.0 area 0

 network 172.16.100.252 0.0.0.0 area 2

 network 192.168.10.252 0.0.0.0 area 1 

 network 192.168.20.252 0.0.0.0 area 1

 network 192.168.30.252 0.0.0.0 area 1

 network 192.168.40.252 0.0.0.0 area 1

 network 192.168.50.252 0.0.0.0 area 1

 network 192.168.60.252 0.0.0.0 area 1

【kjdl_A】

router ospf 1

 router-id 3.3.3.3

 passive-interface Vlan1

 area 1 stub

 network 192.168.10.253 0.0.0.0 area 1 

 network 192.168.20.253 0.0.0.0 area 1

【kjdl_B】

router ospf 1

 router-id 4.4.4.4

 passive-interface Vlan1

 area 1 stub

 network 192.168.30.253 0.0.0.0 area 1 

 network 192.168.40.253 0.0.0.0 area 1

【ygss】

router ospf 1

 router-id 5.5.5.5

 passive-interface Vlan1

 area 1 stub

 network 192.168.50.253 0.0.0.0 area 1

【sccj】

router ospf 1

 router-id 6.6.6.6

 passive-interface Vlan1

 area 1 stub

 network 192.168.60.253 0.0.0.0 area 1

【fzzgs】

router ospf 1

 router-id 12.12.12.12

 passive-interface Vlan1

 redistribute static subnets 

 network 172.16.11.1 0.0.0.0 area 0

 network 172.16.12.1 0.0.0.0 area 0

 default-information originate

【voipxt】

router ospf 1

 router-id 7.7.7.7

passive-interface Vlan1

 area 1 stub

 network 192.168.10.254 0.0.0.0 area 1

 network 192.168.20.254 0.0.0.0 area 1

 network 192.168.40.254 0.0.0.0 area 1

查看命令：

show ip route connected        ---查看本设备上直连接口的路由信息。

show ip route ospf 1           ---查看本设备学习到的OSPF路由信息。

show ip int brief              ---查看接口状态（关闭/启动）。

show vtp status               ---查看显示VTP状态。

show vlan brief               ---显示VLAN的简要信息。(有些设备用show vlan-switch)。

show spanning-tree            ---查看某个VLAN的生成树详细信息。

4.2服务器配置

4.2.1 DNS

IP地址：172.16.100.3

子网掩码：255.255.255.0

默认网关：172.16.100.251

DNS服务器：172.16.100.3

图4-1 DNS

4.2.2 FTP

IP地址：172.16.100.4

子网掩码：255.255.255.0

默认网关：172.16.100.251

DNS服务器：172.16.100.3

图4-2 FTP

4.2.3 WWW

IP地址：172.16.100.2

子网掩码：255.255.255.0

默认网关：172.16.100.251

DNS服务器：172.16.100.3

图4-3 WWW

4.2.4 DHCP

IP地址：172.16.100.1

子网掩码：255.255.255.0

默认网关：172.16.100.252

DNS服务器：172.16.100.3

图4-4 DHCP

4.2.5 AAA

【core_A】

enable secret enable               //配置enable密码

aaa new-model                   //启用AAA服务

aaa authentication login default group tacacs+ none   //配置AAA身份验证，使用tacacs+服务器数据库。

aaa authentication login telnet group tacacs+  //配置AAA身份验证，当用户使用telnet进入此设备验证。

tacacs-server host 172.16.1.1 key key  //指定tacacs 服务器的主机IP跟共享秘钥

line vty 0 4

 login authentication telnet             //启用验证

exit

同理，在其他设备core_B，kjdl_A，kjdl_B，ygss，sccj，voipxt也参照core_A的配置。

在服务器上的配置，如下：

IP地址：172.16.100.1

子网掩码：255.255.255.0

默认网关：172.16.100.252

DNS服务器：172.16.100.3

图4-5 AAA

4.3 终端设备

将所有的PC都启用自动获取IP地址

图4-6 DHCP客户端

已经获取到IP地址了。

4.4 VoIP

首先，在终端的配置是7960 IP phone上的配置，如下

图4-7 7960 IP phone设置

相连的设备Switch1进入接口模式下

switchport voice vlan 1          //端口组开启语音支持

同理，对其他相同的设备也这样操作。

【voipxt】

首先Cisco路由器voipxt上配置vlan10、vlan20、vlan40地址池，通过命令可以查看出哪些终端设备获取了IP地址：

图4-8 DHCP分配情况

接下来做相应的配置：

在全剧模式下

telephony-service               //开启IP电话服务。

 max-ephones 20               //允许最大的电话数量。

 max-dn 30                    //设置容许的最大目录号。

 ip source-address 192.168.110.254 port 8888  //IP电话注册到voipxt上通信的IP和端口号。

 create cnf-files                 //创建XML文件，该文件包括了每个电话的配置信息。

exit

ephone-dn 1                    //进入分机1。

 number 1001                  //给分机1配上号码为1001。

ephone-dn 2                    //进入分机2。

 number 1002                  //给分机2配上号码为1002。

ephone-dn 3

 number 1003

ephone-dn 4

 number 2001

ephone-dn 5

 number 2002

ephone-dn 6

 number 3001

ephone-dn 6

 number 3002

ephone-dn 6

 number 3003

ephone 1                                //配置电话机1。

 device-security-mode none

 mac-address 0060.2F14.0EA5              //绑定ip电话的mac地址。

 type CIPC                              //配置电话类型。

 button 1:1                              //前面一个1代表这个电话第一根线button，后面一个1代表ephone-dn，这样做到电话机和分机的绑定

ephone 2

 device-security-mode none

 mac-address 00E0.A340.C5

 type 7960

 button 1:2

ephone 3

 device-security-mode none

 mac-address 0001.9787.7101

 type ata

 button 1:3

ephone 4

 device-security-mode none

 mac-address 0001.97D3.19D8

 type CIPC

 button 1:4

ephone 5

 device-security-mode none

 mac-address 0060.5C39.3819

 type 7960

 button 1:5

ephone 6

 device-security-mode none

 mac-address 000A.41AD.CB99

 type CIPC

 button 1:6

ephone 7

 device-security-mode none

 mac-address 0004.9A26.35C9

 type CIPC

 button 1:7

ephone 8

 device-security-mode none

 mac-address 0040.0B2B.60D4

 type CIPC

 button 1:8

注意：设置电话类型cipc>软IPhone（PC机） ； 7960>物理IPhone； ata>analog 模拟IPhone。

4.5 PAT+ACL列表

根据用户需求内部用户有访问INTERNET的要求，以及内部Web服务有对外发布的需求。

【fzzgs】

ip access-list extended myacl                //配置命名的扩展ACL

 deny ip 192.168.60.0 0.0.0.255 any          //拒绝生产车间的所有用户访问INTERNET

 deny ip 172.16.100.0 0.0.0.255 any          //服务器中心也不能访问INTERNET

 permit ip any any

 permit tcp any any

 permit icmp any any

 permit udp any any

exit

ip nat inside source list myacl interface Serial0/0/0 overload        //将myacl和NAT地址池绑定

ip nat inside source static tcp 172.16.100.2 80 218.66.67.1 80 

int s0/0/0

 ip nat outside             //将s0/0/0设置为外接口

int f0/0 

 ip nat inside              //将f0/0设置为内接口

int f0/1

ip nat inside              //将f0/1设置为内接口 

4.6 VPN

配置Easy-VPN：

aaa new-model

aaa authentication login fzzgs local

aaa authorization network fzzgs local

username fzzgs password 123456            //配置用户名：fzzgs和密码：123456。

crypto isakmp policy 10

hash md5

authentication pre-share

group 2

exit

ip local pool _pool 100.1.1.1 100.1.1.10         //定义本地地址池

crypto isakmp client configuration group        //配置组名为

key 123

pool _pool

exit

crypto  ipsec transform-set tim esp-3des esp-md5-hmac 

crypto dynamic-map mymap 10 

set transform-set tim 

reverse-route

exit

crypto map tom client authentication list fzzgs

crypto map tom isakmp authorization list fzzgs

crypto map tom client configuration address respond

crypto map tom 10 ipsec-isakmp dynamic mymap

int s0/0/0

crypto map tom                    //端口应用

exit

5 网络测试

5.1终端在家办公

图5-1 拨号上网

图5-2 拨号已连接

5.2 Easy-VPN

在家办公人员采用VPN拨号方式接入到总部边界路由器上，并测试访问总部资源，包括ping服务器IP地址、访问ftp服务器、访问WWW服务器，如下图

图5-3 Easy-VPN拨号

图5-4 ping总部服务器IP地址

图5-5 访问总部FTP服务

图5-6 访问总部WWW服务

图5-7 访问公网WWW服务

5.3总公司内部的测试

5.3.1 连通性测试 

根据网络建设目标，财务部不允许和其他网段互访，如下图

图5-8不能访问售后支持部和研发部

图5-9不能访问销售部和员工宿舍

图5-10不能访问生产车间

根据网络建设目标，财务部需要能够访问到内网的ftp，其他网段一概不能访问，如下图

图5-11除财务部外其他部门不能访问FTP服务

图5-12财务部访问FTP服务

根据网络建设目标，3个生产车间不允许连接Internet，如下图

图5-13生产车间不允许访问Internet服务

5.3.2 DHCP

通过配置DHCP服务器，让终端用户能够自动获取到IP地址，如下图

图5-14终端用户自动获取到IP地址

5.3.3 VoIP

图5-15 VoIP电话通过标识号拨打软件电话

图5-16软件电话对VoIP电话应答

5.3.4数据备份

将网络设备的配置命令保存到tftp服务器上，可在这些设备core_A，core_B，kjdl_A，kjdl_B，ygss，sccj，fzzgs，voipxt的模式下输入命令：

copy running-config tftp: 

172.16.100.4

图5-17数据备份

参考文献

[1]  张天蔚.局域网组建与维护实例[M].上海:交通大学出版社出版.2004:211-213，295-317.

[2]  飞思科技产品研发中心.网络组建及应用典型实例精粹[J].北京:电子工业出版社.2007:143-192.

[3]  王保顺.校园网设计与远程教学系统开发[M].北京:人民邮电出版社.2003:65-98,178-212.

[4]  [美]思科网络技术学院  著(北京邮电大学-思科网络技术学院  译).思科网络技术学院教程-CCNA安全. 北京:人民邮电出版社.2011:100-150.

[5]  [美]Diane Teare  著(袁国忠  译).CCNP-ROUTE（2-902）学习指南.北京:人民邮电出版社.2011:233-276.

[6]  彭祖林.网络系统集成需求分析与方案设计[M].北京:国防工业出版.社.2004:-95,117-126,154-158,292-300.

[7]  李立.网络组建与管理 [M].北京:清华大学出版社.2010:43-54.

[8]  林瑞初与王宝智.计算机网络工程基础[M].北京:清华大学出版社.2005:56-62,72-101.

[9]  [美]Wayne Lewis，Ph.D  著(中国思科系统公司  译).LAN交换与无线(M).北京:人民邮电出版社.2009:86-145,122-145,152-209,262-275.

致谢

时光如梭，转眼又毕业在即。回想在大学求学的四年，心中充满无限感激和留恋之情。经过将近3个月的忙碌和学习，本次毕业论文设计已经接近尾声。在此我要感谢母校为我们提供良好的学习环境，使我们能够在此专心学习。谨向我的论文指导老师刘老师致以最诚挚的谢意！在我论文的选题、开题到成文全过程，得到刘老师的指导和帮助，其中包括了论文的修改和改进。感谢这篇论文所涉及到的各位学者。本文引用了数位学者的技术文献，如果没有各位学者的研究成果的帮助和启发，我将很难完成本篇论文的写作。感谢我的同学和朋友，在我写论文的过程中给予我很多帮助，还在论文的撰写和排版等过程中提供热情的帮助。

由于我的学术水平有限，所写论文难免有不足之处，恳请各位老师和学友批评和指正！