康普教育中心企业局域网组建毕业设计论文 (2).doc

南京高等职业技术学校毕业设计（论文）说明书系部 计算机管理系 专业 计算机应用技术（网络）作者 陈正远 学号 090245117 题目 南京博路科技有限公司康普教育中心企业网络组建 指导教师 周 晶 评阅教师 完成时间： 2013 年 6 月 15 日南京博路科技有限公司康普教育中心企业网络组建摘要：如今，计算机网络在企业中起到越来越重要的作用，互联网信息也决定着企业的发展和命运。局域网的建设管理成为现代企业所必不可少的迈向网络经济的基础建设。而在局域网的催生下，企业的信息化生产也得到空前的发展。局域网的组建成为企业最大限度发挥自身潜力，从传统经济迈向网络经济，与国际接轨战略的关键一步。中小型企业局域网的建设，须采用模块化、系统化的思想建设，做到实用、规范的安全网络办公环境。一个结构清晰、规范建设的网络设计方案不仅易于组建、方便实施，更能大大减少网络开发成本和提高网络工程质量。本次毕业论文针对南京博路科技有限公司实际情况，提供一套完整局域网解决方案。首先，对中小型企业局域网的网络拓扑和网络设备进行设计；其次，直观的网络拓扑简略的阐述了本次设计相关的网络结构、安全设置、网络设备选择、网络功能和网络所呈现的实际应用等。设计内容包括：网络组建使用核心层汇聚层接入层三层结构设计。接入层交换机接入用户，汇聚层对庞大数据处理，再由三层交换机实现与因特网的转发，实现全网互通和网络的访问。VLAN（虚拟局域网）技术把不同部门划分为不同的网段，对部门进行隔离。ACL（访问控制列表）设置财务部只有经理办公室等领导有访问权限。NAT（网络地址转换）将局域网内的私网地址转换为公网地址来实现对Internet的访问。关键词：三层结构 路由备份 ACL NAT目录1 概述11.1 概述11.2 课题背景11.3 项目概况21.4 研究目的22 需求分析与设计原则32.1 现状分析32.2 企业需求32.3 需求分析32.4 设计目标42.5 设计原则43 设计方案63.1 网络拓扑设计63.2 设备选型74 网络组建/技术使用144.1 VLAN144.2 IP地址规划144.3 ACL164.4 NAT194.5 路由协议205 网络安全22结论23致谢24参考文献25 21 概述1.1 概述在这信息爆炸的时代，计算机扮演着越来越重要的角色，面对庞大的计算机群，网络的规划、管理、安全成为首要任务。通过本次设计与研究，将局域网技术应用于企业，使得企业办公自动化，信息网络化，资源共享，向网络化经济迈进。搭建完整的企业网络，能够提升员工的办公效率，能快速的共享资源，能便于管理，网络更能为企业带来全新的商机。1.2 课题背景局域网的诞生，给企业带来了全新的生产模式，冲击着每一个传统行业。如今，计算机遍及各行各业，它解放了企业生产力，提高了员工办公效率，提供了大量相关信息，给企业创造了巨大财富价值，更让企业寻找到了无尽的商机。在如此巨大的诱惑力下，各企业纷纷组建自己的企业局域网。中小型企业局域网通常有规模小、结构简单的特点，以及网络实用性、安全性与拓展性等建设要求。因此，成本低、操作简单、方便管理并能满足企业日常办公需求的网络办公环境，是中小型企业的真正需求。根据中小型企业集中办公这一现实特点，组建一个适合中小企业需求的、高性价比、实用的网络，是有实际意义的。南京博路科技有限公司康普教育中心成立于2003年，位于南京中山南路315号瑞华大厦。注册资金300万，主要从事软件开发、系统集成（网络工程安装与技术服务）、服务器等外设产品的销售及网络技术培训的股份制公司。多年来与华为、H3C、Cisco、HP、Oracle、微软、IBM、JUNIPER、浪潮集团、趋势科技等国际知名厂商密切合作，是H3C核心渠道代理服务商、趋势科技企业安全合作伙伴。公司目前已从单一的网络产品销售，发展成为全系列网络、无线、存储、安全、云计算、数据中心等产品销售、信息化解决方案和网络工程技术服务提供商，客户遍布华东各省。 公司下设专门的网络培训部门康迩普教育，是全国最早的华为（H3C）授权培训机构之一。多年来，中心和江苏省内各大院校开展校企合作提供实验室解决方案，联合办学，培养了大批中高端网络技术人才。中心还是VUE、PROMETRIC考试中心；是H3C、CISCO网络技术培训中心、趋势科技网络安全培训中心。 1.3 项目概况康普教育中心早期网络建设使用集线器来互连，组建小型的公司网络以满足公司业务的办理需求。在设备不多、应用不广、数据量不大的情况下，公司网络基本上能满足日常需求。随公司经营不断发展，团队的壮大，网络规模的扩增，网络设备增多。由于拓展受到局限，出现网线拖拉、网络速度越来越慢等问题，影响了公司日常的业务办公，使得企业生产力无法再提高。上述问题促使公司决定改造网络，扩展网络的规模，提高网络的速度，优化和配置网络，并设立专业网络管理人员，维护日常网络运行，保证网络的安全。1.4 研究目的通过对网络的规划、组建、维护，重新搭建局域网。满足公司各部门之间的安全稳定通信，提供基本的业务处理能力。在实际情况中，应对财务部门进行隔离，只有经理室有访问权限。对于销售部分配更多流量，以保证公司的产品销售与在线客服。该公司员工都是精通网络的技术型人才，更应该设置网络的安全机制。同时考虑公司发展前景很好，将来会扩大公司的规模，网络要具备扩展性。2 需求分析与设计原则2.1 现状分析康普教育中心是一家现代化的公司。能够顺应信息时代的发展趋势，抓住网络经济中的机遇，认真完成每一项公司业务，在短短十年间飞速发展，俨然成为一家与国际接轨的大公司。为了给公司落实基础的网络办公设施，对网络提出以下要求：提高桌面办公能力，增加网络的访问的带宽。网络要适应高流量、流量分配合理、网络访问安全和隔离控制等。对公司客服部、销售部、人事部、财务部、培训部实行合理划分，有效的隔离各部门，防止各部门因接入过多而造成的网络拥塞，也对财务部进行保护。对公司服务器和客服部提供运行可靠的应用程序及硬件支撑，保证其正常工作的不间断性与流量畅通，降低故障和事故隐患。其次还要有良好的管理机制，便于网络的管理，降低二次维护的成本。本次设计针对康普教育中心给出合理的解决方案。网络数据传输极其敏感，对安全技术要求严格。设计规划不仅利用网络设备本身的安全策略，如VLAN划分、ACL策略等，从物理设备上对数据流进行隔离过滤。而且采用有效的网络安全技术，如防火墙、入侵检测、杀毒软件等。在保证网络运行良好之上提供一系列完善的安全保障。在满足企业需求后，网络还应该解决以下组建网络所带来的需求：（1）、管理需求：网络设备和个人计算机要易于管理和维护，具备扩展性。（2）、资源管理：区别内、外网界限，限制资源的访问。（3）、IP地址需求：NAT应用。（4）、业务需求：支持组播、多业务能力。（5）、设备性能：设备具备高性能、高可靠性、高稳定性、高安全性。2.2 企业需求康普教育中心要求客服部、销售部、人事部等部门不能内部互相访问，但可以访问服务器和外部资源。对财务部进行隔离，设置访问权限，只有经理办公室有访问权限。实现信息资源和硬件（打印机等）共享 ，提高办公质量。保证网络数据的通畅。2.3 需求分析根据企业需求，有针对性的解决办法：VLAN技术隔离每个部门，ACL设置财务部的访问权限。部门内安装打印机共享，提供服务器的访问权限，网络信息访问的接入。网络介质选用超5类双绞线，接入层、汇聚层、核心层采用双上行连接，以增加带宽和冗余备份。千兆速率的Internet光纤接入，对各部门数据流量合理分配，提高最大利用率。2.4 设计目标为康普教育中心设计合理的局域网规划方案，建设以下目标：网络总体建设成为信息一体化、管理集中化、业务多样化的公司局域安全网络。网络结构清晰，网络层次合理，便于扩展和维护 。网络的接入满足公司的办公需求。网络设备具备高性能、高可靠性、高稳定性、高安全性。设施的配置选择要高性价比，性能参数、技术领先，售后保障强。2.5 设计原则（1）、可管理性具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降低网络运营成本。同时由于使用者数量巨大，网上开展的业务众多，因此需要能够提供用户的高效管理，以确保公司的利益不受损失。（2）、可扩展性随着公司的发展，局域网络的接入会有所变动。因此，网络应考虑其扩展的灵活性，增加冗余接口，方便用户的接入与退出。（3）、开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护和管理手段，实现网络设备的统一管理。 （4）、安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。定时定期对网络检查，预防和提前发现隐患，及时解决。（5）、先进性。企业网络应能代表目前较为先进的网络技术，提供能够跟踪主流、前沿网络技术的综合网络环境，应与社会发展相适应。所选网络设备要求支持协议类型丰富、配置灵活、可扩展性强、支持千兆交换、满足IPv6等网络技术研究的需求。3 设计方案3.1 网络拓扑设计3.1.1 网络拓扑选择网络搭建采用模块化设计思想，网络使用“核心层汇聚层接入层”三层结构。三层网络架构采用层次化模型设计，即将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。三层网络架构设计的网络包括三个层次：核心层（网络的高速交换主干）、汇聚层（提供基于策略的连接）、接入层 （将工作站接入网络）。核心层：核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性：可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中，应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心，重要性突出。核心层设备采用冗余备份是非常必要的，也可以使用负载均衡功能，来改善网络性能。汇聚层：汇聚层是网络接入层和核心层的“中介”，就是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。汇聚层具有实施策略、安全、工作组接入、虚拟局域网（VLAN）之间的路由、源地址或目的地址过滤等多种功能。在汇聚层中，应该选用支持三层交换技术和VLAN的交换机，以达到网络隔离和分段的目的。接入层：接入层向本地网段提供工作站接入。在接入层中，减少同一网段的工作站数量，能够向工作组提供高速带宽。接入层可以选择不支持VLAN和三层交换技术的普通交换机。3.1.2 网络拓扑结构图模块化、分层设计具有功能分工明确、结构清晰、易于搭建维护、便于扩展等众多优点，是现代局域网技术最流行的拓扑结构。康普教育中心网络拓扑图如下图（图3-1）：图 3-1 康普中心网络拓扑3.1.3 网络拓扑结构说明拓扑图直观的表达了网络结构的模块化、分层结构的特点，并具体描述了网络中每层的主要功能和与上下层之间的关系。用户与接入层之间采有超5类双绞线连接，接入层与汇聚层、汇聚层与核心层之间使用6类双绞线传输数据，核心层和服务器以单模光纤通过防火墙接入因特网，防火墙隔离内外网对网络安全给予保护。汇聚层和核心层之间采用双上行链路连接，冗余备份使网络可靠性大大增加。核心层和路由器配置浮动路由，链路冗余保证网络数据传输的可靠性。3.2 设备选型3.2.1 核心交换机选择H3C S5800-32C 功能特点：该交换机为万兆以太网交换机，高性能，支持丰富的安全策略，具备多业务处理能力和便捷的管理能力，可实现数据的高速转发。产品如下图：图 3-2-1 H3C S5800-32C 交换机H3C S5800-32C 详细参数：主要参数传输速率：10/100/1000/10000Mbps交换方式：存储-转发包转发率：156MppsMAC地址表：32K端口参数端口结构：非模块化端口数量：28个扩展模块：1个业务槽位数传输模式：全双工/半双工自适应功能特性QOS：支持L2-L4包过滤功能支持时间段的包过滤，大容量双向ACL支持WRED拥塞避免机制支持IGMP v1/v2/v3，SNMPv1/v2/v3支持RMON（Remote Monitoring）告警、事件、历史记录支持iMC网管系统、支持WEB网管支持DHCP Snooping，防止欺骗的DHCP服务器3.2.2 汇聚交换机选择H3C S5500-28C-EI 功能特点：支持ACL包过滤在接口的出入方向，可基于策略对数据处理，强大的数据处理能力足够胜任大中型网络的汇聚层。产品如下图：图 3-2-2 H3C S5500-28C-EI 交换机H3C S5500-28C-EI 详细参数：主要参数传输速率：10/100/1000Mbps交换方式：存储-转发背板带宽：256Gbps包转发率：96MppsMAC地址表：32K端口参数端口结构：非模块化端口数量：28个传输模式：支持全双工功能特性QOS：支持L2-L4包过滤功能支持时间段ACL，入方向和出方向的双向ACL策略，基于VLAN下发ACL支持对端口接收报文的速率和发送报文的速率进行限制支持IGMP v1/v2/v3，MLD v1/v2，SNMPv1/v2/v3，WEB网管支持RMON告警、事件、历史记录，系统日志，分级告警，调试信息输出安全管理：支持用户分级管理和口令保护支持802.1X认证/集中式MAC地址认证可支持DHCP Snooping，防止欺骗的DHCP服务器3.2.3 接入交换机选择H3C S5120-28P-LI 功能特点：大容量缓存设计，具有高速率，低延时的性能，还具有可管理和安全性能，性能稳定，交换能力大，传输速度快。产品如下图：图 3-2-3 H3C S5120-28-LI 交换机H3C S5120-28P-LI 参数：主要参数传输速率：10/100/1000Mbps交换方式：存储-转发背板带宽：192Gbps包转发率：42Mpps端口参数端口结构：非模块化端口数量：28个传输模式：支持全双工功能特性QOS：支持IEEE 802.1p/DSCP优先级组播管理：支持IGMP Snoopingv1/v2/v3网络管理：支持SNMP，WEB网管，内置H3C WiNet内嵌式网管软件支持802.1X认证支持IP+MAC+端口的绑定3.2.4 路由器选择H3C MSR 50-40 功能特点：多业务开放路由器扩展性很好，网络超级稳定，传输速率高，功能很强大，能满足企业的多种需求。产品如下图：图 3-2-4 H3C MSR 50-40 路由器H3C MSR 50-40 参数：基本参数网络标准：IEEE 802.3x，IEEE 802.1p，IEEE 802.1Q，IEEE 802.1x网络协议：PPP，PPPoE Client，PPPoE Server传输速率：10/100/1000Mbps端口结构：模块化包转发率：600Kpps功能参数防火墙：内置防火墙Qos支持：支持VPN支持：支持网络管理：SNMP V1/V2c/V3，MIB，SYSLOG，RMON，WEB网管，TR0693.2.5 服务器选择IBM System x3650 M4(7915I51) 功能特点：多硬盘的扩展位，当数据存储量大时可以组建高速安全的RAID矩阵，另外内存扩展性大，IO数据读取无瓶颈。 产品如下图：图 3-2-5 IBM System x3650 M4(7915I51) 服务器IBM System x3650 M4(7915I51) 参数：处理器CPU型号：Xeon E5-2650CPU频率：2GHz智能加速主频：2.8GHz标配CPU数量：1颗，最大2颗三级缓存：20MBCPU核心：八核16线程存储内存容量：8GB最大内存容量：768GB硬盘接口类型：SATA/SAS最大硬盘容量：9TB管理及其它系统管理：带可选 FoD 远程在线支持的 IBM IMM2，预测性故障分析，诊断 LED，光通路诊断面板，自动服务器重启，IBM Systems Director和Active Energy Manager系统支持：Windows Server，Red Hat Enterprise Linux，SUSE Linux Enterprise Server，VMware vSphere3.2.6 防火墙选择H3C SecPath U200-CS-AC 功能特点：高性能多核、多线程安全平台，提供病毒防护，URL过滤，漏洞攻击防护，垃圾邮件防护，P2P/IM应用层流量控制和用户行为审计安全功能。产品如下图：图 3-2-6 H3C SecPath U200-CS-AC 防火墙H3C SecPath U200-CS-AC 参数：主要参数VPN支持：支持入侵检测：Dos,DDoS管理：支持标准网管 SNMPv3，并且兼容SNMP v2c、SNMP v1,支持NTP时间同步,支持Web方式进行远程配置管理,支持SNMP/TR-069网管协议,支持H3C SecCenter安全管理中心进行设备管理一般参数产品重量：2.5kg其他性能：防火墙、VPN可同时扩展卡巴斯基病毒防护、URL过滤特征库升级服务、攻击防护（IPS）服务以及特征库升级、垃圾邮件特征库升级服务、P2P/IM/网游等应用层流量控制和用户行为审计等功能4 网络组建/技术使用4.1 VLAN4.1.1 VLAN技术介绍VLAN(Virtual Local Area Network,虚拟局域网)技术的出现，主要是为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个物理局域网划分成多个虚拟局域网，每个VLAN就是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间的主机则不能直接互通，这样，广播数据帧被限制在一个VLAN内。VLAN技术能有效控制广播域范围、增强局域网的安全性、灵活构建虚拟工作组、增强网络的健壮性。VLAN的划分主要有基于端口、基于MAC地址、基于协议和基于子网的四种类型。4.1.2 VLAN划分实例本次设计的VLAN划分采用基于端口的方式，这种划分方式方便快速，灵活性高。表现为将各部门接入的接口集中，统一划分在一个VLAN分段里，具体划分如下表：部门Vlan 部门Vlan 客服部Vlan 10销售部Vlan 20人事部Vlan 30财务部Vlan 40培训部Vlan 50经理办公室Vlan 60会议室Vlan 70服务器Vlan 1004.2 IP地址规划4.2.1 内网IP地址规划IP地址是用户在网络中的主机标识。在局域网中，常用私有地址来分配给内部网络中的主机使用，私有地址不仅成本低廉，也解决IPv4不足的问题。对外部网络的访问则租用少量的公网地址，通过NAT技术来实现因特网的连接。内部网络的主机IP地址采用B类私有地址，地址段分别与VLAN号相对应，详细分配如下表：部门VLANIp地址子网掩码客服部Vlan 10192.168.10.1192.168.10.254255.255.255.0销售部Vlan 20192.168.20.1192.168.20.254255.255.255.0人事部Vlan 30192.168.30.1192.168.30.254255.255.255.0财务部Vlan 40192.168.40.1192.168.40.254255.255.255.0培训部Vlan 50192.168.50.1192.168.50.254255.255.255.0经理办公室Vlan 60192.168.60.1192.168.60.254255.255.255.0会议室Vlan 70192.168.70.1192.168.70.254255.255.255.0服务器Vlan 100192.168.100.1192.168.100.254255.255.255.04.2.2 骨干网IP地址规划图 4-2 骨干网IP地址规划图设备端口IP地址/掩码RTAE 0/0/1192.168.1.2/24E 0/0/2192.168.2.2/24SW3AE 0/4/1192.168.1.1/24E 0/4/2192.168.3.1/24E 0/4/23192.168.6.1/24E 0/4/24192.168.4.1/24SW3BE 0/4/1192.168.2.1/24E 0/4/2192.168.3.2/24E 0/4/23192.168.5.2/24E 0/4/24192.168.7.2/24SW3CE 0/4/24192.168.4.2/24E 0/4/23192.168.5.1/24SW3DE 0/4/24192.168.7.1/24E 0/4/23192.168.6.2/244.3 ACL4.3.1 ACL介绍ACL（Access Control List，访问控制列表）是有来实现数据识别功能的。为了实现数据识别，网络设备需要一系列的匹配条件对报文进行分类，这些条件可以是报文的源地址、目的地址、端口号、协议类型等。访问控制列表的应用很广范，主要有包过滤防火墙（Packet Filter Fiewall)功能、NAT（Network Address Translation，网络地址转换）、QoS（Quality of Server，服务质量）的数据分类、路由策略和过滤、按需拨号等。在配置IPv4 ACL的时候，需要定义一个数字序号，并且利用这个序号来唯一标识一个ACL。ACL序号有4种类型。（1）、基本ACL（序号为20002999）：只根据报文的IP地址信息制定规则。（2）、高级ACL（序号为30003999）：根据报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性等三、四层信息制定规则。（3）、二层ACL（序号为40004999）：根据报文的源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。（4）、用户自定义ACL（序号为50005999）：可以以报文的报文头、IP头等为基准，指定从第几个字节开始与掩码进行“与”操作，将从报文提取出来的字符串和和用户定义的字符串进行比较，找到匹配的报文。指定序列号的同时，可以为ACL指定一个名称，称为命名的ACL。命名ACL的好处是容易记忆，便于维护。命名的ACL使用户可以通过名称唯一确定一个ACL，进行相应的操作。4.3.2 ACL配置ACL(访问控制列表)功能强大并且应用广范，本次设计例举典型的三种事例。实例一：考虑到财务部门的安全性，需要配置ACL来控制访问权限。在网络中，SW2A专门用于财务部门的计算机接入，并且只有经理办公室的计算机才有权限访问，所以采用基本ACL。在SW3C中的具体配置如下：# 启用防火墙包过滤功能SW3-Cfirewall enable# 防火墙的默认过滤方式为拒绝SW3-Cfirewall default deny # 配置基本ACL，序号为2000# 定义规则允许192.168.60.0（经理办公室）的计算机访问SW3-Cacl number 2000 SW3-C-acl-basic-2000rule 0 permit source 192.168.60.0 0.0.0.255# 进入财务部所接入的端口# 指定应用方向为outbound，实现了只有经理办公室才能访问SW3-Cinterface Ethernet 0/4/1SW3-C-Ethernet0/4/15firewall packet-filter 2000 outbound实例二：如果要限制用户的某项访问，可以根据该访问所基于的协议来制定ACL，从而更细化的对用户设置权限。例如设置客服部只能访问网页，则在路由器中RTA中配置如下：# 启用防火墙功能RT-Afirewall enable RT-Afirewall default deny # 配置高级ACL，序号为3000# 定义规则允许192.168.10.0（客服部）的计算机有访问WWW的权限。 RT-Aacl number 3000RT-A-acl-adv-3000rule 0 permit tcp source 192.168.10.0 0.0.0.255 source-port eq www# 进入路由器与外网相连的接口# 指定应用方向为outbound，这样指定了客服部对外网的WWW访问权限而不影响客服部在内网的访问。RT-Ainterface Ethernet 0/0/0RT-A-Ethernet0/0/0firewall packet-filter 3000 outbound实例三：ACL不仅能制定允许和拒绝的具体访问权限，还能根据时段来控制用户的权限使用时间。例如设置培训部只有在中午11：00到14：00之间可以上网。路由器RTA中配置如下：# 启用防火墙功能RT-Afirewall enableRT-Afirewall default deny# 指定时间段为每天的11：00到14：00，命名为pxb(培训部)RT-Atime-range pxb 11:00 to 14:00 daily# 配置基本ACL，序号为2002# 定义规则允许192.168.50.0（培训部）的计算机在名为pxb的时间段内访问外部网络RT-Aacl number 2002RT-A-acl-basic-2002rule 0 permit source 192.168.50.0 0.0.0.255 time-range pxb# 进入路由器与外网相连的接口# 指定应用方向为outbound，当用户在其它时间访问外部网络时，IP包被丢弃RT-Ainterface Ethernet 0/0/0RT-A-Ethernet0/0/0firewall packet-filter 2002 outbound4.4 NAT4.4.1 NAT概述NAT（Network Address Translation）是网络地址转换，其工作原理是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。用于实现私有网络访问公共网络的功能，还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。NAT的实现方式有三种，即静态转换、动态转换和端口多路复用。静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。端口多路复用（Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换（PAT，Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。4.4.2 NAT配置在本次设计中，考虑到企业的具体情况，采用NAPT（Network Address Port Translation,网络地址端口转换）。例如租用的公网IP地址为192.18.1.10、24192.168.1.12/24，在路由器的具体配置如下：# 通过ACL定义一条rule，匹配源地址属于192.168.0.0/24网段的数据RT-Aacl number 2000 RT-A-acl-basic-2000rule 0 permit source 192.168.0.0 0.0.255.255# 配置NAT地址池1用于地址转换，地址池中的地址从192.18.1.10到192.18.1.12RT-Anat address-group 1 192.18.1.10 192.18.1.12# 进入接口视图RT-Ainterface Ethernet 0/0/0# 将地址池1与acl 2000关联，并在接口出口方向上应用NATRT-A-Ethernet0/0/0nat outbound 2000 address-group 14.5 路由协议路由器提供了将异构网络互连起来的机制，实现将一个数据包从一个网络发送到另一个网络。路由就是指导IP数据包发送的路径信息。在互联网中进行路由选择要使用路由器，路由器只是根据所收到的数据报头的目的地址选择一个合适的路径，将数据包传送到下一个路由器，路径上最后的路由器负责将数据包送交目的主机。数据包在网络上的传输就好像是体育运动中的接力赛一样，每一个路由器只负责将数据包在本站通过最优的路径转发，通过多个路由器一站一站地接力将数据包通过最优路径转发到目的地。路由分为直连路由、静态路由和动态路由（RIP,OSPF,BGP等）。在本次设计方案中，只有内网与外网互相访问时才需要通过路由转发数据，不涉及大规模路由。所以在简单的拓扑中，静态路由是最好的选择。假设通过专线接入因特网时接入地址为192.18.1.9，那么路由配置如下：# 配置默认路由，下一跳地址为对端路由接口的IP地址192.18.1.9RT-Aip route-static 0.0.0.0 0.0.0.0 192.18.1.9在网络中，传输介质的老化或损坏都可能导致网络访问的短时间中断，从而导致服务中断。为解决类似的问题，应在核心和路由器之间配置路由备份。当物理线路断掉时，备份路由能够及时的被激活，实现网络的连续访问。在网络中，配置两条等价路由（不同下一跳）可实现路由的负载分担，而修改两条等价路由的优先级，即可实现路由的备份。本次设计中，核心层通过路由器实现对外网的访问，则在核心层配置备份路由。具体配置如下：配置一：# 配置默认路由，下一跳地址为路由RT-A接口的IP地址192.18.1.2，静态路由默认优先级为60SW3-Aip route-static 0.0.0.0 0.0.0.0 192.168.1.2#配置备份路由，下一跳地址为SW3-B接口的IP地址192.168.3.2，修改路由优先级为100SW3-Aip route-static 0.0.0.0 0.0.0.0 192.168.3.2 preference 100配置二：# 配置默认路由，下一跳地址为路由RT-A接口的IP地址192.18.2.2，静态路由默认优先级为60SW3-Bip route-static 0.0.0.0 0.0.0.0 192.168.2.2#配置备份路由，下一跳地址为SW3-A接口的IP地址192.168.3.1，修改路由优先级为100SW3-Bip route-static 0.0.0.0 0.0.0.0 192.168.3.1 preference 1005 网络安全网络带给人们许多便利，加快了人类发展的进程。在网络快速发展的同时，各种病毒、人为攻击和物理线路的故障，都时时刻刻危及人们的机密信息和网络的正常运转，对网络安全提出了严峻的挑战。所以，在组建局域网的同时，网络安全成为一个重要的指标。在本次康普教育中心企业网的组建中，针对公司的具体要求和网络涉及的安全技术问题，给予了一系列完善的设计方案。首先，利用设备自身提供的安全技术，从数据传输上控制安全。接入交换机支持VLAN功能，合理的给每个部门划分VLAN，在二层上隔离数据，减少广播风暴的产生。同时设置ACL，具体的对特定用户组做隔离保护（如财务部等），更加有效的解决了内部网络人为攻击的难题。而NAT技术本身有一定的安全作用，它隐藏并保护了企业内部网络的计算机，从而有效地避免来自外部网络的攻击。其次，为公司专门配置了网络安全设备防火墙。设置入侵检测功能，以阻止Dos以及DDos等人为攻击。开启防火墙的其它安全功能，并时常检查日志文件，对敏感、特殊的网络访问进行及时的添加隔离处理。定时维护、升级防火墙，保证防火墙的正常工作和安全保护。在物理安全上，公司需配备专门的网络机房和标准的网络机柜，以存放网络设备。线路的安装要安全封闭。还要有专门的网络管理员，管理、维护网络的日常运作，保证网络的安全性和畅通。最后，给每台计算机安装杀毒软件。本次设计中，杀毒软统一安装金山毒霸企业版，以保护终端用户的数据安全。可以给企业员工组织一次有关网络安全