计算机网络技术毕业论文范文.doc

《计算机网络技术毕业论文范文.doc》由会员分享，可在线阅读，更多相关《计算机网络技术毕业论文范文.doc（27页珍藏版）》请在三一办公上搜索。

1、河南职业技术学院毕业设计（论文）题 目: 上峰企业网络架构设计与实施 系（分院）： 信息工程系 学生姓名 ： 赵春雷 学 号 ： 09123563 专业名称： 计算机网络技术 指导教师： 谭营军 2012 年4月19日河南职业技术学院信息工程系毕业设计（论文）任务书姓 名赵春雷专 业计算机网络技术班 级网络安全091毕业设计（论文）题 目上峰企业网络架构设计与实施毕业设计（论文）选题的目的与意义实现全网的互联互通，可以保证企业网络内人员的正常运作，是正常工作、学习、娱乐的基础。实现网络间资源分享。综合性考验所学知识。更加深入学习网络拓扑结构、VLAN划分与IP分配的相关知识。毕业设计（论文）的

2、资料收集情况（含指定参考资料）Wendell Odom. CCNP ROUTE 认证考试指南孙晓楠：网络储存于数据备份思科网络技术学院教程毕业设计（论文）工作进度计划2011年11月 确定所做课题名称：上峰企业网络架构设计与实施2011年12月 至 2012年2月 主要搜集资料，主要包括局域网组建、VLAN划分等2012年3月 首先确定了基本的网络拓扑，然后在PT练习搭建环境2012年4月 完成VLAN划分、OSPF、RIP、ACL、VTP配置接受任务日期 2011 年11 月17日要求完成日期 2012年 4月 19 日学 生签名： 年 月 日指导教师签名：年 月 日 系（分院）主任（院长）

3、签名：年 月 日毕业设计（论文）指导教师评阅意见表姓 名赵春雷学 号09123563性 别男专 业计算机网络技术班 级网络安全091毕业设计（论文）题 目上峰企业网络架构设计与实施评阅意见 成绩指导教师签字年 月 日毕业设计（论文）答辩意见表姓 名赵春雷学 号09123563性 别男专 业计算机网络技术班 级网络安全091毕业设计（论文）题 目上峰企业网络架构设计与实施答辩时间地 点答辩小组成员姓 名职 称学 历从事专业组 长成 员秘 书答辩小组意见 答 辩 成 绩：答辩小组组长签名：年 月 日上峰企业网络架构设计与实施摘要：当今IT社会环境下，企业对网络的依赖及需求尤其是需要一个安全的网络环

4、境，上峰公司需要设计出符合IT发展的网络来加强信息化管理，通过需求分析与调研、利用路由技术、链路聚合技术、及其他相关技术分别进行了总体设计和详细设计，最后使用PT模拟器实现了网络基础架构的主要部分，同时也分析设计了网络的今本安全架构，通过测试，整体设计方案良好。关键词：网络安全，IT，PT，管理 目录第1章 上峰企业网络背景21.1 上峰企业背景21.2 需求和功能分析2第2章 关键技术32.1 路由技术32.2 交换技术32.3 VLAN 技术32.4 远程访问技术32.5 链路聚合技术4第3章 网络总体设计63.1 企业网布网原则63.2 从几个方面考虑企业内网组网因素63.3 初步确定网

5、络拓扑图83.4 IP地址规划9第4章 网络拓扑实现和规划114.1 网络系统解释114.2 使用设备清单134.3 网络设备配置14第5章 网络测试联通性205.1 采用认证方式接入的验证205.2 采用局域网接入的验证21总结23前言上峰企业网络的设计目的简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成企业内部的 Intranet 系统，对外通过路由设备接入广域网。具体而言这样的设计目标应该是：建设一个以办公自动化、计算机辅助办公、现代计算机办公为核心，以现代网络技术为依托、技术先进、扩展性强、覆盖企业主要员工的企业主干网络，将企业的各种 PC 机工作站、终端设备和

6、局域网连接起来，并与有关广域网相连。系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性。企业网建设内容：网络系统设计思想是采用层次体系，整个网络通过主干网连接起来，各个子网通过接口与主干网连接，实现各自的功能，在子网内部及与主干网进行数据通信。技术方案设计 应用信息系统资源建设。技术方案设计主要包括：结构化布线与设备选择、网络技术选型等；应用信息系统资源建设主要包括：内部信息资源建设、外部信息资源建设等。随着城域网宽带业务的发展，可运营、可管理的网络建设理念已经深入人心。市场方面，随着提供业务的多样化，用户认证方式作为可运营、可管理的核心，受到包括运营商、制造

7、商的密切关注。第1章 上峰企业网络背景1.1 上峰企业背景上峰公司现有300个结点，需要建设一个小型网络以实现该企业内部的相互通信和与外部的联系，通过该网络提高企业的发展和企业内部办公的信息化、办公自动化。该企业有15个部门，则需要让这15个部门能够通过该网络访问互联网，并能实现部门之间信息化的合作。所以该网络的必须体现办公的方便性、迅速性、高效性、可靠性、科技性、资源共享、相互通信、信息发布及查询等功能，以作为支持企业内部办公自动化、供应链管理以及各应用系统运行的基础设施。1.2 需求和功能分析该网络是一个单核心的网络结构（拓扑结构如图1所示），采用典型的三层结构，核心、汇聚、接入。各部门独

8、立成区域，防止个别区域发生问题，影响整个网的稳定运行，若某汇聚交换机发生问题只会影响到某几个部门，该网络使用VLAN进行隔离，方便员工调换部门。核心交换机连接三台汇聚交换机对所有数据进行接收并分流，所以该设备必须是高质量、功能具全，责任重大，通过高速转发通信，提高优化的，可靠的传输结构。核心层应该尽快地交换分组。该设备不承担访问列表检查、数据加密、地址翻译或者其他影响的最快速率分组的任务。汇聚层交换机位于接入层和核心层之间，该网络有三台汇聚层交换机分担15个部门，能帮助定义和分离核心。该层的设备主要目的是提供一个边界的定义，以在其内进行分组处理。该层将网络分段为多个广播域。该问控制列表可以实施

9、策略并过滤分组。汇聚层将网络问题限制在发生问题的工作组内，防止这些问题影响到核心层。该层的交换机运行在第二层和第三层上。接入层为网络提供通信，并且实现网络入口控制。最终用户通过接入层访问网络的。作为网络的“前门”，接入层交换机使用访问列表以阻止非授权的用户进入网络。第2章 关键技术2.1 路由技术路由协议工作在 OSI 参考模型的第 3 层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表（Access Control List，ACL） ，路由器 还可以用来完成以路由器为中心的流量控制和过滤功能。在本工程案

10、例设计中，内网用户不仅通过路由器接入因特网、内网用户之间也通过 3 层交换机上的路由功能进行数据包交换。本设计将要在核心层路由设备上对采用生成树协议、访问控制列表以及CHAP认证等。2.2 交换技术现代交换技术还实现了第 3 层交换和多层交换。高层交换技术的引入不但提高了企业网数据交换的效率，大大增强了企业网数据交换服务质量，满足了不同类型网络应用程序的需要。 2.3 VLAN 技术虚拟局域网（Virtual LAN，VLAN） 技术： ，VLAN 将广播域限制在单个 VLAN 内部，减小了各 VLAN 间主机 的广播通信对其他 VLAN 的影响。在 VLAN 间需要通信的时候，可以利用 VL

11、AN 间路由技术来实现。当网络管理人员需要管理 的交换机数量众多时，可以使用 VLAN 中继协议（VLAN Trunking Protocol，VTP）简化管理，它只需在单独一台交换机上定义所有 VLAN。然后通过 VTP 协议将 VLAN 定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。2.4 远程访问技术远程访问也是企业网络必须提供的服务之一。 远程访问技术： 它可以为办公用户和客户远程访问企业网站获取信息服务。远程访问有三种可选的服务类型：专线连接、电路交换和包交换。在本工程案例设计中，采用专线连接（到因特网）和 电路交换（到企业网）两种方式实现远程

12、访问需求。 2.5 链路聚合技术链路聚合（Port Trunking）技术，支持 IEEE802.3 协议，是一种用在交换机与交换机之间扩大通信吞吐量、提高可靠性的 技术，也称为骨干连接。 当两台核心层交换机采用聚合链路 Port Trunking 技术后，该技术可以使交换机之间连接最多 4 条负载均衡的冗余连接。当某一台核心交换机出现故障或核心交换机与接入层/汇聚层交换机的某一条互联线路出现故障时，系统将通信业务快速自动切换到另一台正常工作的核心层交换机上，以使整个网络具备高容量、无阻塞、高可靠的能力。 作为一个较为完整的企业网实现，路由、交换与远程访问技术缺一不可。在后面的内容中，我们将就

13、每一技术领域的常用 技术的实现进行详细的讨论。第3章 网络总体设计3.1 企业网布网原则根据电信信息化住宅小区用户业务的开展情况和发展规划，本着“经济适用、合理预留”的原则，配线电缆应满足用户通信需求，线路容量应足终期用户业务发展要求；为了最大限度的减少投资，设计的配线电缆路由应充分考虑终期敷设电缆线路的需要；配线电缆设计应满足原邮电部及信息产业部相关设计规范和技术资料的规定。3.2 从几个方面考虑企业内网组网因素3.2.1 网络技术选型在企业网网络的建设中，主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择适合企业网络需求特点的 主流网络技术，不但能保证网络的高性能，还能保证网

14、络的先进性和扩展性，能够在未来向更新技术平滑过度，保护用户的投 资。所以要根据实际应用的需要，采用千兆以太网作为企业网的主干网，因为作为整个企业网的信息交换中心，网络的速度会 直接影响到其他各子网的性能;在建设多媒体教室时，由于网络中将会有很多的图像和声音的传输，因此对带宽和传输速度有很高的要求，采用快速以太网就是最好的选择；而对于其他一些只有诸如简单文件传输之类的应用的环境，采用以太网就能满足 要求。不同网络技术的复杂程度，在一定程度上直接影响企业网的维护、管理和使用效果。千兆以太网继承了以太网的技术简 单，容易学习掌握的特点，是企业网的首选技术。 3.2.2 网络核心设备的选择骨干带宽的选

15、择。网络应用的增加对网络带宽提出了直接的需求。事实上，从1983 年802.3标准的正是成立开始，以太网技术经过20年的发展，已进入万兆以太网（802.3ae 标准）的时代。企业网络应用也是极其丰富的。并且随着组播技术在企业的应用，企业网核心层将面临严峻的考验。出于对网络发展的考虑，基于网络业务的发展，在拥有近万个信息点的企业采用万兆以太网技术构建核心层是可行的。目前业务还没完全开展起来，先采用千兆骨干，但核心设备必须支持万兆，并且在教育行业有应用，证明核心产品的成熟性和稳定性。在实现端到端的以太网访问的同时提高了传输的效率，有效地保证了多媒体办公、作业等业务的开展。 3.2.3 处理能力核心

16、层是网络高速交换的骨干，被设计成尽可能高速包转发率，同时能够提供高速的 Internet 的接入和高冗余 性能，同时由于各企业基本采用了 Internet 和 CERNET双出口，而且出口的速率不同，所以所选择的网络核心层设备应该能够提供多网络出口的智能选择的功能，本身能够提供冗余特性。核心层设备须能够支持多种不同模块的插槽和提供多种不同的网络模块，支持到流媒体所需的网络的组播协议和网络的多播协议的处理能力，需要线速的数据转发和数据交换功能，即高背板带宽支持和高性能网络处理芯片的支持；由于是核心设备，还必须考虑整体网络的灾难备份和设备冗余，在设计中考虑的设备冗余需要有设备支持和协议支持，设备支

17、持就是指在核心不能由单台设备进行整个网络的数据交换，需要有至少两台设备对整个网络进行有效的支撑，并已经具备灾难备份的硬件支撑能力。3.2.4 在协议上，需要支持冗余协议实现整体网络冗余。支持在单台设备失效的同时，在最短的时间切换，避免网络损失。对于核心交换机在整个网络的设计，还要考虑整体业务的支撑方式，因为设备只是物理承载层面，而用户需要在该物理层面实现其业务，达到职能和流程的有效快捷，这样，物理设备的业务支撑能力就至关重要。核心设备应提供分布式 L2/3/4 层接口板处理应用流（视频、话音、数据）、重要用户的优先级，支持 NAT、MPLS、VPN、策略路由等应用；支持基于端口、MAC、 VL

18、AN、IP、应用类型等多种 Qos；支持四个优先级队列和 WRED、WRR、PQ、WFQ 等流分类、排队、调度和整形机制。赋予交换机高度的智能性，高效支持各种应用业务。对于核心设备在网络中的举足轻重的位置，安全对于整个网络来说也整个网络的至关重要的，对于外部的黑客攻击和内部的病毒攻击的屏蔽，是保证整个网络运行的关键。核心设备要提供完善的ACL访问控制策略的定制，防止非法内容的访问；广播 包抑制及广播源定位功能，保证网络用户安全。 3.2.5 对于未来的扩展设计对于在中心位置的核心设备的设计而言，随着时代的改变，其业务结构和规模也会改变，这样需要整个网络设备能够对未来的变化具备应对措施；由于核心

19、设备是数据和业务的核心，所以，不能轻易的进行更换，同时，考虑到成本的因素，除非核心设备已经完全不能支撑目前业务的进行，否则，基本都会采取在原来的设备增加功能支撑来满足新业 务的需求。这样，对于未来的扩展性就变得异常重要，核心设备扩展槽，接插模块类型，端口密度数应有所考虑，以保证整体设备的高性价比。 3.2.6 安全方案的部署从各企业网络现状分析，目前面临的网络安全威胁来源主要来自以下几个方面：一是来自 Internet 的安全威胁，各企业有自己独立的链路通往 Internet。Internet 上的任意接入点对本局域网发起的基于网络的攻击，从以及对外公开的应用服务器的攻击，这样可以造成网络性能

20、的急剧下降，应用服务器的瘫痪。使整体网络正常的内、外双向通信、存储等服务受阻或中断。二是来自企业局域网内部的恶意安全攻击，网络连接员工的计算机，员工有可能基于学习的目的可能使用各种入侵的软件，给系统造成隐含的威胁。三是企业内各相关部门的数据上报采用FTP方式逐级复制，处于完全敞开和透明的模式，只要掌握IP地址，传输数据就可以被轻易截获，从而造成保密信息的泄露；再有来自操作系统、应用系统本身的漏洞及来自互联网、内部局域网的病毒安全威胁的攻击。企业范围内的病毒防护不能依靠个人的自觉性，应当从网关、服务器、客户端多个层面来统一部署，实施整体病毒防护解决方案。这样才能从根本上降低病毒的发作和传播几率，

21、有效地保护企业内部资源，同时对新出现的病毒有一个很好的、快速的响应系统。作为企业网络安全的防线，防火墙、入侵检测、防病毒系统是必不可少的，它可有效的对来自外网和内网的攻击做出及时告警，并给予一定的响应措施。3.3 初步确定网络拓扑图在用户管理、计费方面，要保证计费数据的准确，交换机可以支持用户账号、IP 地址、MAC 地址、交换机端口、VLAN 的绑定，保证了用户上网期间 IP 地址不被盗用，支持基于流量/时长/包月/带宽的计费及其组合计费方式。 在用户日志管理方面，业务管理平台和接入交换机配置可以实现完善的用户日志功能。用户访问日志的内容包括用户名、源 MAC、VLANID、源 IP、目的I

22、P、访问时间。用户的目的IP地址改变时会产生一条日志。根据这些信息可以很方便的定位用户在某个时间段访问了那些内部服务器，与服务器的日志相对应追查出一些事故的责任人。在网络管理方面，网络管理软件支持多种操作平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理。提供统一拓扑发现功能，实现全网监控，可以实时监控所有设备的运行状况，并根据网络运行环境变化提供合适的方式对网络参数进行配置修改，保证网络以最优性能正常运行。模型见图3-1图3-1 初步确认网络拓扑3.4 IP地址划分3.4.1 为什么要做好IP地址规划在网络规划中，IP地址方案的设计至关重要，好的IP地址方案不仅可以减少

23、网络负荷，还能为以后的网络扩展打下良好的基础。IP地址用于在网络上标识唯一一台机器。根据RFC791的定义，IP地址由32位二进制数组成(四个字节)，表示为用圆点分成每组3位的12位十进制数字(xxx.xxx.xxx.xxx)每个3位数代表8位二进制数(一个字节)。由于1个字节所能表示的最大数为255，因此IP地址中每个字节可含有0255之间的值。但0和255有特殊含义，255代表广播地址：IP地址中0用于指定网络地址号(若0在地址末端)或结点地址(若0在地址开始)。子网掩码用于找出IP地址中网络及结点地址部分。子网掩码长32位，其中1表示网络部分，0表示结点地址部分。A类，B类，C类网络的子

24、网掩码见表3，如一个结点IP地址为192.168.202.195，子网掩码255.255.255.0，表示其网络地址为192.168.202，结点地址为195。有时为了方便网络管理，需要将网络划分为若干个网段。为此，必须打破传统的8位界限，从结点地址空间中“抢来”几位作为网络地址。具体说来，建立子网掩码需要以下两步：确定运行IP的网段数，确定子网掩码。3.4.2 设计IP地址方案在设计IP地址方案之前，考虑到以下几个问题：是否将网络连入Internet，是否将网络划分为若干网段以方便网络管理，是采用静态IP地址分配还是动态IP地址分配计划将网络连入Internet，则需要向ISP申请一个网络地

25、址。这里，我们假定得到了一个C类网络地址138.211.66.0。本设计采用pppoe认证自动分配的动态IP地址,具体如下，Radius服务器：172.16.0.1/16采用PPPOE认证地址池（用户）：10.10.0.2-10.10.255.253局域网接入ip范围 ：192.168.0.2-192.168.255.254WWW/FTP/E-mail服务器地址：10.1.0.2Radius服务器地址：10.5.0.2Isp接入地址：211.138.66.0/24R1 fa0/0/0：10.1.0.1/16 Se0/0/1：10.4.0.1/16 Se0/2/0：10.2.0.1/16 Se0

26、/0/0：211.138.66.66/24R2 se0/0/0：10.4.0.2/16 Fa0/0：10.5.0.1 Fa0/1：PPPOE接口，不适用 Se0/2/0：10.3.0.1/16R3 se0/0/0：10.3.0.2/16 Se0/0/1：10.2.0.2/16 Fa0/0：192.168.0.1/16 Fa0/1：192.168.168.1/17 第4章 网络拓扑实现和规划考虑到以上所述企业网络的各个部门的复杂性，把企业网络整体上划分为两大部分，一部分采用PPPOE接入有效地防止局域网病毒的扩展，并为以后的管理提供了巨大的便利；另一部分采用局域网接入，加上access控制列表和

27、VLAN划分确保网络可靠稳定。网络拓扑如下图4-1 网络拓扑总览4.1 网络系统解释4.1.1 主干网设计随着企业网用户数目与新的应用需求不断增加，特别是网上多媒体及远程教育应用的展开，对企业网主干带宽提出了新的更高的要求，因此希望：新的主干设备应能满足10，000用户接入访问的要求。支持IP多目广播与服务质量（QOS）或服务类型(COS)，满足远程教育的需要。支持虚拟网络（VLAN）。网管软件应具备对接入层交换设备进行远程可操作的能力（如在网络中心对接入交换机进行针对端口IP 过滤条件的远程设置）。本设计中PC100链接交换机镜像端口，在本机上可以安装协议分析软件对网络中的数据进行分析，监控

28、和管理网络的运行情况。4.1.2 拓扑结构设计星形拓扑结构：星型拓补结构的每个节点都有一条单独的链路与中心节点相连,所有数据都要通过中心节点进行交换，因此中心节点是星型网络的核心。星型网络也采用广播传输技术，局域网的中心节点设备通常采用交换机或 Hub。在交换机中，每个端口都挂接在内部背板总线上，因此，星型以太网虽然在物理上呈星型拓补结构，但逻辑上任然是总线型拓补结构，因此，该企业网网络拓补示意图中也将星型网络简单地画为总线形式。如图4-2所示 基层网络拓扑 从核心层到汇聚层交换机图4-2 星形拓扑结构展示4.1.3 分层化设计为了简化交换网络设计、提高交换网络的可扩展性，在企业网内部数据交换

29、的部署是分层进行的。企业网数据交换设备可以划分为三个层次：接入层、汇集层、核心层。在本工程案例设计中，也将采用这三层进行分开设计、配置。考虑到地理位置和服务点等因素，将网络中心设在实验楼，以实验楼为中心，用光纤连接到其它建筑物，考虑到地理位置和服务点等因素，企业网光纤主干通过DDN专线将整个企业网连入教育科研网 CERNET，即连入国际互联网，同时接入电信网。网络结构分成三层：核心层、汇聚层、接入层。考虑传输高速率和扩展的需求，企业网整体采用光线传输。核心层双中心星形拓扑的优点是逻辑结构较为简单，实现设备也可以很好的进行网络负载均衡。PortTrunking技术提高互联交换机的吞吐量，使得整个

30、网络具备高容量、无阻塞、高性能的能力。汇集层主要功能是汇聚网络流量，链路聚合、路由聚合，信号中继，负责将访问层交换机进行汇集，还为 整个交换网络提供 VLAN 间的路由选择功能。接入层：接入层利用 VLAN 划分等技术隔离网络广播风暴，提高网络效率，为所有的终端用户提供一个接入点。网络设计的层次可如图1-1所示：以上特点分层网络结构可以获得良好的扩展性，根据实际需求，整个企业网采用星型结构，并分为核心层（分布于网管中 心内）和访问层（分布在各宿舍楼、办公楼内,包括分布广泛的各种低端网络连接/交换设备及各种终端设备）二层。4.1.4 网络冗余设计由于企业网络规模巨大、涉及到的用户很多，如果网络特

31、别是骨干网络出现任何的问题将导致很大的不良影响，因此对网络的可靠性和可用性要求很高。网络的冗余设计除了选择具有冗余设计的网络设备外，网络的冗余设计也十分重要，可是，冗余设计造价“不菲”且似乎“不是很有用”，一般都做在主干网络或者对网络要求比较高的特殊用户群之上。本设计做了干线冗余。如图4-3所示：图4-3 主干网络冗余 （通过最短路径优先级来进行网络传输）4.2 使用设备清单接入层：cisco 2950系列24端口交换机，如图4-4所示图4-4 cisco2950 24口交换机汇聚层：cisco 2950系列24端口交换机，如图4-5所示图4-5 cisco 2950 24口交换机核心层：ci

32、sco 2960系列交换机、2800路由器，如图4-6所示图4-6 cisco 7206VXR,2800路由器4.3 网络设备配置4.3.1 关于radius服务器认证的配置username user1 password cisco1 /添加用户名与密码，在radius服务器建立之前调试ip local pool school 10.10.0.2 10.10.0.252/建立本地址池并命名为schoolvpdn enable /开启PPPOEvpdn-group 1 /建立PPPOE的拨号组accept-dialin /接受拨号protocol pppoe /协议为PPPOEvirtual-t

33、emplate 1 /创建虚拟模板interface Virtual-Template1ip un fa0/1 /将fa0/1端口ip绑定到虚拟模板peer default ip address pool school /指定对端IP从地址池school中获取ppp authentication chap /设置使用CHAP认证int fa0/1pppoe en /开启PPPOEaaa new-model /开启AAA认证radius-server host 10.5.0.2 key cisco /配置RADIUS服务器地址和密钥（与服务器一致）ip radius source-interfa

34、ce 10.5.0.1 /指定以此IP为源发送RADIUS报文 aaa authentication ppp default group radius /PPP认证使用radius认证aaa authorization network default group radius /授权networkRadius认证服务器配置如图4-7所示：图4-7 AAA服务器配置信息4.3.2 OSPF配置R2、R3参考以下R1做相应配置int loopback 0 /建立回环地址ip add 1.1.1.1 255.255.255.0Router ospf 10 /开启ospf 进程号10network 1

35、0.1.0.0 0.0.255.255 area 0 /全局管理network 10.2.0.0 0.0.255.255 area 0network 10.4.0.0 0.0.255.255 area 0ip route 10.10.0.0 255.255.0.0 de0/0/0 /设置进入pppoe地址池的路由信息。路由表生成如图4-8所示图4-8 OSPF配置生效 获取路由表信息4.3.3 vlan配置enconf tvlan 5 /创建vlan5name tech /命名为techvlan 6 /创建vlan6name por /命名为porip range fa0/1-fa0/5 进入

36、端口fa0/1-fa0/5接口配置模式sw acc vlan 5 /更改模式为access 分配入vlan 5ip range fa0/6-fa0/10sw acc vlan 6 /更改模式为access 分配入vlan 6*其他位置作相应配置4.4 访问控制列表技术实现4.4.1 路由器ACL配置及应用路由器ACL配置如下：Network(config)#IP access-list Extended Deny_AccessNetwork_RT(config-ext-nacl)#deny tcp any host 192.168.1.190 eq wwwNetwork_RT(config-e

37、xt-nacl)#deny tcp any host 192.168.1.191 eq wwwNetwork_RT(config-ext-nacl)#deny tcp any host 192.168.1.190 eq telnetNetwork_RT(config-ext-nacl)#deny tcp any host 192.168.1.191 eq telnetNetwork_RT(config-ext-nacl)#permit ip any any Network(config)#IP access-list Extended Permit_AccessNetwork_RT(confi

38、g-ext-nacl)#permit tcp 10.10.80.0 0.0.0.255 host 192.168.1.190 eq wwwNetwork_RT(config-ext-nacl)#permit tcp 10.10.80.0 0.0.0.255 host 192.168.1.191 eq wwwNetwork_RT(config-ext-nacl)#permit tcp 10.10.80.0 0.0.0.255 host 192.168.1.190 eq telnetNetwork_RT(config-ext-nacl)#permit tcp 10.10.80.0 0.0.0.25

39、5 host 192.168.1.191 eq telnetNetwork_RT(config-ext-nacl)#deny tcp any host 192.168.1.190 eq www Network_RT(config-ext-nacl)#deny tcp any host 192.168.1.191 eq wwwNetwork_RT(config-ext-nacl)#deny tcp any host 192.168.1.190 eq telnetNetwork_RT(config-ext-nacl)#deny tcp any host 192.168.1.191 eq telne

40、tNetwork_RT(config-ext-nacl)#permit ip any anyNetwork(config)#int fa 0/0Network_RT(config-if)#ip access-group Permit_Access inNetwork(config)#int fa 1/0.1Network_RT(config-if)#ip access-group Deny_Access inNetwork(config)#int fa 1/0.5Network_RT(config-if)#ip access-group Deny_Access inNetwork(config

41、)#int fa 1/0.6Network_RT(config-if)#ip access-group Deny_Access inNetwork(config)#int fa 1/0.7Network_RT(config-if)#ip access-group Deny_Access inNetwork(config)#int fa 1/0.99Network_RT(config-if)#ip access-group Deny_Access inNetwork(config)#int fa 2/0Network_RT(config-if)#ip access-group Permit_Ac

42、cess in4.4.2 三层交换机ACL配置及应用SW1(config)#IP access-list Extended ACLSW1(config-ext-nacl)#permit tcp 10.10.20.0 0.0.0.255 host 10.10.1.1 eq wwwSW1(config-ext-nacl)#permit tcp 10.10.30.0 0.0.0.255 host 10.10.1.1 eq wwwSW1(config-ext-nacl)#permit tcp 10.10.80.0 0.0.0.255 host 10.10.1.1 eq wwwSW1(config-ex

43、t-nacl)#permit tcp 10.10.80.0 0.0.0.255 host 10.10.1.2 eq wwwSW1(config-ext-nacl)#permit tcp 192.168.6.0 0.0.0.255 host 10.10.1.1 eq wwwSW1(config-ext-nacl)#permit tcp 192.168.7.0 0.0.0.255 host 10.10.1.1 eq wwwSW1(config-ext-nacl)#permit tcp 10.10.80.0 0.0.0.255 host 10.10.1.1 eq telnetSW1(config-e

44、xt-nacl)#permit tcp 10.10.80.0 0.0.0.255 host 10.10.1.2 eq telnetSW1(config-ext-nacl)#permit tcp 10.10.80.0 0.0.0.255 host 10.10.1.99 eq telnetSW1(config-ext-nacl)#permit ip 10.10.99.0 0.0.0.255 host 10.10.1.2SW1(config-ext-nacl)#permit ip 10.10.98.0 0.0.0.255 host 10.10.1.2SW1(config-ext-nacl)#perm

45、it ip 192.168.99.0 0.0.0.255 host 10.10.1.2SW1(config-ext-nacl)#permit ip 10.10.0.0 0.0.0.7 host 10.10.1.2SW1(config-ext-nacl)#permit icmp any anySW1(config)#int fa0/8SW1(config-if)#ip access-group ACL outSW1(config-if)#exit第5章 网络测试连通性5.1 采用认证方式接入的验证路由器R1上建立本地用户名有user11（密码：cisco11）、user12（密码：cisco12）、user13（密码：cisco13），仅有当开启本地验证时有效，而radius服务器上的用户名有user1、user2、user3，如图5-1所示验证成功。图5-1 客户端pppoe拨号连接成功另外，经测试PT中有很多指令不被支持，客户端获取到的网关无法设置、掩码无法配置（如图5-2）等，造成在PT中DNS、FTP、HTTP服务器无法正常使用，但在现实中不会出现这种问题。图5-2 在PT中需要解决的问题5.2 采用局域网接入的