网络模拟实验系统的设计及实现毕业设计论文1.doc

《网络模拟实验系统的设计及实现毕业设计论文1.doc》由会员分享，可在线阅读，更多相关《网络模拟实验系统的设计及实现毕业设计论文1.doc（44页珍藏版）》请在三一办公上搜索。

1、XXXXXXXXXXX毕 业 论 文（设计） 2013 届 网络工程 专业 0910071 班级题 目 网络模拟实验系统的设计实现 姓 名 XXX 学号 09100XXXX 指导教师 XXX 职称 副教授 2013 年 05 月 20 日网络模拟实验系统的设计实现091007118 XXX 指导教师 XXX 副教授摘 要 本文介绍了使用Cisco公司的Packet Tracer软件模拟网络实验系统平台，设计并实现了一个中小型公司内部各部门之间、总公司与分公司之间、公司与互联网以及出差在外的个人与公司之间信息交流的互联网络，其间网络的配置涉及到网络的安全、数据的加密等相关网络技术问题。应用了虚拟

2、局域网、动态主机设置协议、网络地址转换、点对点协议、帧中继、虚拟专用网络、开放式最短路径优先协议等相关网络技术与协议。 论文在撰写过程中，力求将理论与实践应用相结合，对各种理论进行阐述的同时，配合系统从实际应用和操作技巧上加以说明，能够比较充分地体现到这些知识与技术在本系统中的应用与实现。关键词网络模拟平台；网络；实验；信息创新点本文的创新点在于运用网络模拟软件十分真实地模拟出了网络工程项目设计的全部流程，并以网络实验项目的实现为平台来展示网络模拟系统的功能。Network simulation system Design and RealizationAuthor：Liu Tongquan

3、Tutor：Chen JianhuiAbstract This paper describes using the Cisco Packet Tracer software platform designing and implementing a network of a small or medium company .It can realize the communication between departments, head office and branch office, the companies and the Internet ,and achieve the exch

4、ange between individuals and companies. It relates to network security, data encryption, and other related network issues in the process of designing the network. It applicate of virtual local area network protocols, network address translation, dynamic host settings, point to point protocol, frame

5、relay, virtual private networks, open shortest path first protocol and other related networking technologies and protocols. In the process of writing this paper, it aims to combining theory and practical application. It expounds the theory with some instructions of practical applications and operati

6、ng skills. And I hope it can fully reflect the knowledge and technology in the application and implementation of this system.Key wordsNetwork simulation platform; Network;Information; experimentationInnovation The innovation of this paper is that use virtual network platform quite vividly simulating

7、 all of the engineering project designing process of a network. It shows the strong function of network simulation system by realizing the network experimental projects as a platform . 目 录第1章 网络模拟实验系统研究背景- 1 -第2章 网络模拟实验工程需求分析- 2 -2.1 引言- 2 -2.2 项目功能需求- 2 -2.2.1 总公司内部局域网间通信功能需求- 2 -2.2.2 总公司与分公司间网络通信

8、功能需求- 3 -2.2.3 总公司与广域网间通信功能需求- 3 -2.2.4 总公司与合作伙伴间通信功能需求- 3 -2.2.5 总公司与出差人员间通信功能需求- 3 -2.3项目技术需求- 4 -2.3.1 总公司内部局域网间通信技术需求- 4 -2.3.2 总公司与分公司间网络通信技术需求- 4 -2.3.3 总公司与广域网间通信技术需求- 5 -2.3.4 总公司与合作伙伴间通信技术需求- 6 -2.3.5 总公司与出差人员间通信技术需求- 6 -第3章 网络模拟实验工程技术及原理概述- 7 -3.1网络安全技术- 7 -3.2虚拟网支持- 9 -3.3第三层交换技术- 9 -3.4网

9、络管理和流量监控- 11 -第4章 网络模拟实验工程总体规划- 12 -4.1网络总体拓扑- 12 -4.2项目工程网络规划- 13 -4.2.1总公司内部局域网规划- 13 -4.2.2总公司与分公司网络规划- 13 -4.2.3 总公司与广域网间网络规划- 14 -4.2.4 总公司与合作伙伴间网络规划- 15 -4.2.5 总公司与出差人员间网络规划- 15 -第5章 网络模拟实验项目配置概述- 17 -5.1总公司内部局域配置- 17 -5.1.1 核心层交换机配置- 17 -5.1.2 DHCP协议配置- 17 -5.2总公司与分公司间网络配置- 18 -5.3总公司接入互联网配置-

10、 20 -5.4总公司与合作伙伴间网络配置- 22 -5.4.1帧中继配置- 22 -5.4.2 帧中继云配置- 23 -5.5出差人员与总公司间VPN配置- 23 -5.5.1 IKE第一阶段- 24 -5.5.2 IKE第二阶段- 24 -5.5.3 感兴趣流与变换集映射- 24 -5.5.4 绑定Map接口- 25 -第6章 网络模拟平台项目实验- 26 -6.1网络模拟系统平台项目实验- 26 -6.1.1 模拟VLAN相互通信实验- 26 -6.1.2 网络模拟DHCP实验- 27 -6.1.3 网络模拟NAT实验- 29 -6.1.4 网络模拟帧中继实验- 30 -6.1.5 网络

11、模拟VPN实验- 32 -感 言- 35 -致 谢- 36 -参考文献- 37 -网络模拟实验系统的设计与实现091007118 刘同全 指导教师 陈建辉 副教授第1章 网络模拟实验系统研究背景随着计算机网络通信技术和多媒体技术的快速发展，信息时代的学习、生活方式都发生了重大变革。作为培养和提高学生动手实践能力、观察能力、分析问题和解决问题能力等方面有着先天优势的实验教学是高校教育改革的关键问题之一。目前，我国传统实验教学环节不足、实验资源不均衡，学生创新能力不足，模拟实验教学环境研究与建设有利于解决当前实验教学中存在的问题。因此，对于模拟实验教学环境的研究已经成为当前教育研究一个新热点，分析

12、其原因是主要信息技术的蓬勃发展已经使部分模拟实验环境的设计与开发成为现实，并在一定的理论指导下应用于实践，使各类模拟实验室建设成为可能。模拟实验降低了实验室建设成本，缓解了由于财政压力给实验实训教学环节带来的不利影响，有利于学生实践操作能力的培养。我国的网络模拟实验系统的研究起步较晚，但是发展速度较快。根据目前从网上可查到的信息和各院校开放的对外服务看，国内部分高校已陆续建立了网络模拟实验系统。本文介绍了通过应用Packet Tracer软件搭建网络模拟工程项目规划、设计的平台，竟而比较具体的展示了网络模拟系统的功能。第2章 网络模拟实验工程需求分析2.1 引言 近年来我国网络通信服务行业总体

13、发展呈快速上升趋势，其总体规模不断增大，业务收入也不断在稳步提升。根据工信部相关数据表明，2011年网络通信行业共完成网络通信总量达12,964.6亿元，同比增长10.1%；实现网络通信业务收入10,762亿元，同比增长8.0%，呈现相对较快的发展态势。网络通信业务量的增长带来了网络工程服务市场规模的高速发展。 网络工程服务行业前景如此广阔，发展速度十分迅猛，日后必将称为我国重要的支柱产业之一。本论文详细地描述了网络服务行业关于网络工程的规划与设计，并根据网络市场的需求，比较系统地设计了关于国内一些中小型企业内部局域网以及其接入广域网的总体规划方案。以下是应用网络模拟系统平台来设计、实现该网络

14、工程项目的方案。在网络工程设计中体现网络模拟平台的功能。2.2 项目功能需求 2.2.1 总公司内部局域网间通信功能需求 1.为了方便管理，总公司内部要进行模块化划分主要分为：销售部、研发部、后勤部以及保安部，为了方便工作，各部门之间要实现相互通信。 2.为了方便公司增添新设备的配置，各部门可以自动获得IP地址，为了减轻总公司路由器的负荷，保安部的IP地址，由分公司路由器提供进行自动分配。 3.网管中心可以远程对公司核心层交换机进行控制和管理。 2.2.2 总公司与分公司间网络通信功能需求 1.由于总公司与分公司相距比较远，为了公司内部的资源安全，它们相互通信的链路需要认证、加密。 2.为了内

15、部资源的安全，总公司后勤部只能访问分公司服务器的HTTP服务。 2.2.3 总公司与广域网间通信功能需求 1.总公司内部需要与互联网连通，由于保安部与后勤部只处理总公司内部一些生活上的事务，禁止保安部与后勤部访问互联网上资源。 2.为了方便公司接入互联网，公司边缘路由器接入互联网的端口可以由网通供应商自动为其分配IP地址。 2.2.4 总公司与合作伙伴间通信功能需求 总公司与其合作伙伴之间在广域网上进行互相通信，在通信时希望获得低网络时延、低设备费用、高带宽利用率以及点对点通信等优势。 2.2.5 总公司与出差人员间通信功能需求 公司内部人员在出差时，也能访问到总公司内部的服务器，以获得公司的

16、相关信息，方便自己在外办公。2.3项目技术需求 2.3.1 总公司内部局域网间通信技术需求 1.为了实现总公司模块化管理，将总公司分为四个部门，即销售部、研发部、后勤部、保安部，每一个部门划分为一个VLAN；各VLAN间实现相互通信的功能。本设计使用三层路由交换技术方便、简单的实现了该功能，因为三层交换机，既拥有二层交换机划分不同VLAN的功能，而且拥有路由的功能，能够使得不通VLAN间相互通信。 2.为了方便各部门设备的网络配置，这里应用了DHCP（动态主机设置协议）协议，当某个部门增添新设备后，不需要网络管理员手动设置，该设备就能自动获得IP地址，实现网络通信，而且DHCP避免了手动配置I

17、P出现的不同设备IP地址重复的问题。 3.运用远程登录（TELNET）控制技术来实现网管中心对总公司核心层交换机的控制，网管中心远程控制核心层交换机而实现对总公司内部局域网的控制。 2.3.2 总公司与分公司间网络通信技术需求 1.本设计应用了OSPF（开放式最短路径优先）协议，实现了公司与分公司之间网络通信，为了总公司与分公司的通信安全，它们之间网络通信的链路封装了PPP协议，且PPP协议采用chap认证机制。 2.为实现减轻总公司网络负担的功能，分公司核心路由器为为总公司的保安部动态提供IP地址， 由于总公司保安部设备和其DHCP服务器不在同一广播域内，因此需要中间路由器，作为中继来实现这

18、一功能，这里应用了DHCP+IP Helper-address技术来实现。 3.分公司为了自己内部信息的安全，仅允许总公司后勤部的设备以HTTP的方式访问其服务器，这里应用了ACL技术，仅允许后勤部网段通过80端口访问服务器，来实现这一功能。 2.3.3 总公司与广域网间通信技术需求 1.由于公司内部网络需要接入广域网，而公司内部网络使用的是内部私有的IP地址，而私有的网络是不可以与广域网上的设备直接相通信的，因此公司内部网络与广域网通信时，需要将私有的IP地址转换为公有的IP地址，才能实现公司专用网与广域网的连通，这里应用了NAT（网络地址转换）技术实现了这一功能。 2.网络通信中，为实现禁

19、止保安部与后勤部访问互联网上资源的功能，需要应用ACL（访问控制列表）技术，它可以过滤网络中的流量，允许控制列表中的网络设备（根据其IP地址）与外网之间实现通信，而阻止其他设备与外网相互通信。 3.网络提供商（网通）为总公司边缘路由器（用于连接广域网）与外网连接的端口提供IP地址，为了方便总公司与网络提供商的网络配置，这里网通路由器开启DHCP协议，使得缘路由器与外网连接的端口可以自动获得IP地址。 2.3.4 总公司与合作伙伴间通信技术需求 为实现总公司与其合作伙伴的高质量的点对点通信，在他们之间建立了高性能的虚拟广域网连接，这里应用了帧中继技术，并在其上封装了点对点协议。 2.3.5 总公

20、司与出差人员间通信技术需求 为了方便公司员工在外地办公时，依然能够访问总公司的服务器，本设计应用了VPN（虚拟专用网络）来实现这一功能。第3章 网络模拟实验工程技术及原理概述3.1网络安全技术 网络系统对网络通信的安全性有着十分高的要求。虽然计算机系统本身具有一定的安防措施，但是网络系统的安全防范仍然是整个网络系统安全性中一道重要的关卡。 局域网内的交换机应当能够对公司内部网络进行虚拟网划分和链路层网络管理，把实际地理位置上分散而逻辑上紧密相关的站点划入同一虚拟网，从而实现不相关网络的逻辑隔离是网络安全性的重要保证。因此，我们在网络方案施工过程中选用的网络设备应该具有包括物理层、网络层、应用层

21、等多个层次实现安全管理的能力，从而避免发生在同一虚拟网内以及虚拟网之间互联点上的非法侵犯。本网络工程方案涉及到的网络通信安全协议与数据加密技术有：1. 总公司内部局域网与分公司网络连接链路采用PPP封装CHAP认证机制协议。CHAP协议是PPP（点对点协议）询问握手认证协议。它对对端身份的校验是通过三次握手机制周期性的检验，其完成是在链路建立初期。通过不断增长变化的标识符和可变的询问数值结果，可避免来自恶意端点的欺骗性攻击。从而保证了总公司与分公司之间网络通信的安全性。2. 在总公司接入互联网，总公司与分公司以及总公司与出差人员之间的通信中都应用到了访问控制列表（Access Control

22、List，ACL）网络安全技术。ACL是交换机与路由器接口的指令表，用来对相关端口数据包的进出进行控制。ACL可以用于所有的路由协议，例如AppleTalk、IP等。相关的匹配关系、条件和查询语句都包含在这张表中，表是一种基本框架结构，它的作用是控制某种网络资源访问。为了确保公司内部网络的安全性，需要通过相关安全机制来保证没有授权的用户只能访问特定的网络资源，从而实现对访问进行控制的功能。ACL还可以过滤网络通信过程中的流量，这是一种控制访问的网络技术手段。应用ACL技术给公司不同部门设置不同的网络访问权限更加有效的保证了公司内部资料的安全性。 3.在总公司与出差人员之间VPN通信中应用到网络

23、安全协议以及网络安全机制相关算法有：IKE协议、IPSec协议、3DES加密算法、MD5算法。 IKE协议是因特网密钥交换协议，它能够解决在复杂的网络环境中十分安全地建立或更新共享密钥的问题。这是一种混合型协议，主要是由密钥管理协议（ISAKMP）和Internet安全关联以及SKEME与OAKLEY两种密钥交换协议构成。IKE创建在由ISAKMP定义的框架上，使用了密钥更新和SKEME的共享技术以及OAKLEY的密钥交换模式。 IPSec全称是Internet协议安全性（Internet Protocol Security），它通过使用加密的安全服务以确保在 Internet 协议 (IP)

24、 网络上进行保密而安全的通讯，而且是一种开放标准的框架结构。它为了防止Internet与专用网络的攻击，采用端对端的安全性来提供对主动的保护。在通信过程中，只有收发两方才能而且必须了解 IPSec 保护的计算机。 3DES是三重数据加密算法（TDEA，Triple Data Encryption Algorithm）块密码的统称。它的本质就是将DES加密算法分别三次应用于每个要发送的数据块，使用的是对称密钥加密法算法。它是DES向AES过渡的加密算法，相对于DES，3DES的加密安全性更加可靠，以DES为基本模块，通过组合分组方法设计出分组加密算法。 MD5是一种散列函数，它广泛应用于计算机安

25、全领域，它的功能是提供消息的完整性保护，它的作用是让大容量信息在用数字签名软件签署私人密钥前被压缩成一种保密的格式。3.2虚拟网支持 计算机网络系统采用现代交换原理，它促使虚拟网技术的应用在全球范围内快速猛增。按照网络区域的不同分布对全网实施虚拟网划分，这是提高网络安全性、增强网络性能、加强网络管理、隔离网络故障的有效措施。 但是如果虚拟网的应用仅仅局限于局部网络或单个交换机内部，经过网络划分后，整个网络工程系统将成为一块块支离破碎的盲区。所以总公司选用的网络核心层交换机应具备跨越分支和主干自由地在全网范围内进行划分虚拟网的功能，而且所有网络设备的虚拟网划分功能应当基于IEEE 802.1Q这

26、个统一的标准。3.3第三层交换技术 网络通信中的大部分数据流量不再局限于各子网内部，这是Internet/Intranet的相关计算方式对各公司广域网计算机网络系统的另一个重大考验。网络通信大多是跨越子网边界访问，它对网络中相关设备处理子网间路由的能力要求非常高。传统路由器以软件方式进行路由操作，这种操作方式产生的传输延迟是交换机产生的几十倍，而且当网络负载变化时，延迟时间会随之有很大变化，这很不利于多媒体的传输；由于采用价格昂贵的高性能处理器和大量高速内存而导致性能价格比非常低，无法进一步对吞吐量进行提高。 如今局域网主干上增加了许多的路由任务，以往路由器的吞吐量已经不能满足当前的网络需求，

27、而过大的延迟又不能适应语音通信、多媒体视频的服务质量需求，使用具有网络层功能的交换机替代路由器实现低延迟、大容量的路由即第三层交换已势在必行。各公司广域网应选用具有硬件实现的第三层交换能力的网络交换机（本设计选用的是3560-24ps型三层交换机）用来满足不断增长的子网间通信需求，同时实现多媒体通信所要求的低延迟和延迟量的稳定性。为了使网络服务更好地支持不同应用的服务质量需求，应当考虑采用能够根据不同应用区别处理的具有应用认知功能的缓存设备和具有第四层智能的第二代多层交换机作为网络主干设备，从而更有效地利用宝贵的网络资源。 Internet/Intranet计算是网络计算进一步发展的总体趋势，

28、它需要适应应用技术发展的需求，这不仅要求主干交换机，而且配线间工作组交换机也应选择具备第三层交换能力的设备，这样可以在需要时分担主干交换机的负载，更加有效地利用有限的主干带宽。 我们在强调网络第三层交换功能的同时，以前的第二层交换技术也不能被忽视，主干和分支交换机都应当能够在支持多层交换的同时支持我们可能需要的各种第二层交换技术，如快速以太网、ATM、FDDI、千兆以太网等。3.4网络管理和流量监控 计算机网络系统是全球各公司广域网智能系统的神经中枢，它的运行状态应该得到全面的管理和监控。OSI对网络管理功能提出了性能管理、配置管理、安全管理、错误管理、记帐管理等五大要求，以此为基础，该网络管

29、理系统应当选用基于工业标准的简单网络管理协议（SNMP）的开放式管理平台，而且需要配合专用的网络管理应用作为网管系统的设计框架。网管系统应支持设备的配置和监视、网络故障的监测、网络拓扑自动发现和报告等功能，而且能够提供简单方便的图形用户接口。 第三章介绍了网络模拟工程施工过程中需要应用到的网络技术及其相关原理，其中重点介绍了网络安全应用技术。下面的第四章就是要对整个网络模拟工程的施工进行详细的说明。第4章 网络模拟实验工程总体规划4.1网络总体拓扑本网络工程方案的设计划分为五个模块，分别为：1. 总公司内部局域网网络拓扑设计；2. 总公司与分公司之间ppp+chap网络拓扑设计；3. 总公司内

30、部局域网接入广域网拓扑设计；4. 总公司与合作伙伴间广域网上帧中继通信网络拓扑设计；5. 总公司与公司出差人员间VPN网络通信拓扑设计。网络总体布局拓扑,如图4-1：图4-1 网络工程总体拓扑图4.2项目工程网络规划 4.2.1总公司内部局域网规划1.在总公司核心交换机上创建四个VLAN:VLAN 2,VLAN 3,VLAN 4,VLAN 8,分别分配给公司内部，销售部、研发部、后勤部、保安部，将公司划分为四个网段，便于管理； 2.各VLAN之间互相通信，由于公司各部门一些特殊的设备需要设置静态IP，所以设需要留地址范围是：192.168.2.1 - 20 ， 192.168.3.1 - 30

31、 ， 192.168.4.1 - 40；3.在核心层交换机上配置TELNET，网管中心对公司内部局域网进行远程控制管理。 4.2.2总公司与分公司网络规划1. 总公司与分公司之间PPP连接需封装CHAP认证，认证密码设为：123；2. 总公司与分公司之间应用OSPF技术实现网络连接。OSPF路由协议的相关配置过程有如下几个步骤：（1） 在相关路由器或三层交换上指定使用ospf协议，协议ID为10;（2） 在不同型号的路由设备上设置其路由ID；（3） 指定与路由器相连的网络，区域号设置为0。3. 分公司核心路由器为总公司保安部提供动态IP,其IP地址范围是：192.168.8.2 - 192.1

32、68.8.254； 4.在总公司核心层交换机上应用ACL技术，仅允许后勤部网段的80端口可以访问分公司服务器。 4.2.3 总公司与广域网间网络规划1. 应用了NAT技术，将公司内部私有的IP地址转换为公有的IP地址，使得公司内部网络接入广域网。该NAT的配置大致可分为以下步骤：（1） 在边缘路由器和ISP路由器上配置访问控制链表，用以规定允许访问广域网IP范围；（2） 将访问控制链表与相应的路由端口映射在一起；（3） 指定NAT网络内部和外部接口，用以确定NAT网络数据的流向。2.网络通信设置中，应用ACL技术，过滤网络中的流量，实现禁止保安部与后勤部访问互联网上资源的功能。3.网络提供商设

33、置DHCP协议，使得缘路由器与外网连接的端口可以自动获得IP地址。DHCP协议的配置主要有以下步骤: （1）设定DHCP协议IP地址池； （2）定义DHCP网络地址，即一个网段，所有该网段内的网络设备只能获得规定的该网段内的IP地址； （3）配置该网段的网关； （4）给该网段配置DNS； （5）除去某些预留的IP地址段，网段内设备启动DHCP协议获取IP地址时，不能获取该段内的IP地址。 4.2.4 总公司与合作伙伴间网络规划 总公司与其合作伙伴间采用点对点通信并结合帧中继技术，其网络设计主要分为以下步骤:（1） 在相关路由器广域网端口上封装帧中继协议；（2） 在上述物理端口上建立虚拟子接口，

34、设置其为point-to-point类型，并为其配置相应IP地址；（3） 给子接口配置DLCI值并建立对端协议地址与本地DLCI的映射关系；（4） 配置帧中继中云相关端口,指定数据流流向的端口，从而实现点对点通信的链路连接。 4.2.5 总公司与出差人员间网络规划总公司与在外出员工间采用VPN技术，实现出差人员能够访问总公司的服务器功能。在VPN设计中，主要做以下工作:1. IKE（Internet密钥交换）协议设置： （1）分别对通信两端建立isakmp策略并且采用3des加密协议；（2）哈希采用md5算法验证，双方采用欲共享密钥认证方式； （3）对通道进行加密，并设置对端IP地址； （4）

35、为了增强数据传输中的安全性，创建变换集，采用esp-3des和 esp-md5-hmac算法。.应用ACL技术定义感兴趣流，确定通信双方数据的流向。.通过创建加密图将感兴趣流与变换集映射在一起，从而确定了受保护的数据流。.将加密图绑定在对应的端口上。 以上比较详细的介绍了整个模拟网络项目工程总体规划以及其中比较重要的网络技术或协议的设计流程，接下来是整个模拟网络工程拓扑的配置。第5章 网络模拟实验项目配置概述5.1总公司内部局域配置 5.1.1 核心层交换机配置在核心层交换机上配置:VLAN2、VLAN3、VLAN4、VLAN8四个虚拟局网段分别分配给：销售部、研发部、后勤部及保安部。配置命令

36、如下：1.创建虚拟局域网：Sw-35(config)#vlan 2Sw-35(config-vlan)#vlan 3Sw-35(config-vlan)#vlan 4Sw-35(config-vlan)#vlan 8Sw-35(config-vlan)#exit 2.将核心层交换机f0/2、f0/3、f0/4、f0/8端口分别接入到四个局域网中，而且这四个端口分别连接到四个部门的接入层交换机上，这里仅列出一个端口的配置，其他端口配置与此相似：Sw-35(config)#int f0/2Sw-35(config-if)#switchport access vlan 2Sw-35(config-i

37、f)#switchport mode access 5.1.2 DHCP协议配置1.创建三个IP DHCP地址池分别命名为：xsb,yfb,hqb分别分配给销售部、研发部、后勤部，其中之一配置为：Sw-35(config)#ip dhcp pool xsbSw-35(dhcp-config)#net 192.168.2.0 255.255.255.0Sw-35(dhcp-config)#default-router 192.168.2.1 Sw-35(dhcp-config)#dns 2.2.2.2 2.保留一定范围的IP地址，其相关配置是：Sw-35(config)#ip dhcp excl

38、uded-address 192.168.2.1 192.168.2.20Sw-35(config)#ip dhcp excluded-address 192.168.3.1 192.168.3.30Sw-35(config)#ip dhcp excluded-address 192.168.4.1 192.168.4.40 3.定义VLAN子接口，各部门的计算机可以自动获得IP：Sw-35(config-if)#int vlan 2Sw-35(config-if)#ip add 192.168.2.1 255.255.255.0Sw-35(config-if)#int vlan 3Sw-35

39、(config-if)#ip add 192.168.3.1 255.255.255.0Sw-35(config-if)#int vlan 4Sw-35(config-if)#ip add 192.168.4.1 255.255.255.0 4.三层交换机上要实现各VLAN间的通信，需要开启路由功能，其命令是：Sw-35(config)#ip routing 5.网管中心对总公司核心层交换机进行控制和管理命令：Sw-35(config)#line vty 0 15Sw-35(config-line)#pass 123Sw-35(config)#enable pass 456Sw-35(conf

40、ig)#ip default-gateway 192.168.1.1Sw-35(config)#int f0/1 Sw-35(config-if)#ip add 192.168.1.1 255.255.255.05.2总公司与分公司间网络配置 1.配置总公司与分公司实现网络连通相关端口：R1(config)#int f0/0R1(config-if)#no shutR1(config-if)#ip add 192.168.6.2 255.255.255.0R1(config)#int s1/0R1(config-if)#no shutR1(config-if)#ip add 192.168.7

41、.1 255.255.255.0 2.配置OSPF路由协议实现总公司与分公司间相互通信，其中配置核心层交换机、路由器R1、R2的路由ID分别为：3.5.6.0、1.1.1.1、2.2.2.2，其中仅列出了核心层交换机上OSPF的配置：Sw-35(config-if)#int f0/6Sw-35(config-if)#no switchport Sw-35(config-if)#ip add 192.168.6.1 255.255.255.0Sw-35(config)#router ospf 10Sw-35(config-router)#router-id 3.5.6.0Sw-35(config

42、-router)#net 192.168.0.0 0.0.255.255 a 0 3.为减轻总公司的负担分公司提供DHCP中继服务地址池 192.168.8.1- 254，为保安部提供动态IP:R2(config)#ip dhcp pool babR2(dhcp-config)#net 192.168.8.0 255.255.255.0R2(dhcp-config)#default-router 192.168.8.1R2(dhcp-config)#dns 8.8.8.8 4.需要在核心层交换机上给VLAN 8 配置IP，由于DHCP服务器与保安部设备不在同一广播域内，需要应用IP Helpe

43、r-address技术来实现为保安部提供动态IP的功能：Sw-35(config)#int vlan 8Sw-35(config-if)#ip add 192.168.8.1 255.255.255.0Sw-35(config-if)#ip helper-address 192.168.7.2 5.在R1与R2之间封装PPP协议，并且建立chap认证安全机制，认证密码为123，这里仅说明了R1的配置，R2配置与此相似：R1(config)#int s1/0R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chap R

44、1(config-if)#exitR1(config)#username R2 pass 123 6.后勤部只能访问分公司服务器的HTTP服务，其他部门不受此限制，实现此功能需要应用ACL技术，断开192.168.4.0网段与分公司服务器TCP连接（除80端口外）:Sw-35(config)#access-list 100 deny tcp 192.168.4.0 0.0.0.255 host 192.168.10.10 neq 80 Sw-35(config)#access-list 100 permit ip any anySw-35(config)#int f0/6Sw-35(confi

45、g-if)#ip access-group 100 out5.3总公司接入互联网配置 1.为实现总公司与互联网的，核心层交换机f0/5端口作为与外部网络连接的接口，其配置：Sw-35(config-if)#int f0/5Sw-35(config-if)#no swSw-35(config-if)#ip add 192.168.5.1 255.255.255.0 2.边缘路由器是连接总公司与广域网的路由器，其f0/0端口配置IP： bound(config)#int f0/0bound(config-if)#ip add 192.168.5.2 255.255.255.0 3.网络供应商（网通

46、）路由器ISP与总公司边缘路由相连接，将公司局域网连接到广域网上:ISP(config)#int f0/0ISP(config-if)#ip add 172.16.1.1 255.255.255.0ISP(config-if)#no shutISP(config)#int s1/0ISP(config-if)#ip add 200.1.1.1 255.255.255.0ISP(config-if)#no shut 4.在ISP上配置DHCP为边缘路由器的f0/1端口提供动态IP:ISP(config)#ip dhcp pool boundISP(dhcp-config)#net 172.16.1.0 255.255.255.0ISP(dhcp-config)#de 172