公司局域網(wǎng)設計方案畢業(yè)論文

1、<p><b>　　本科畢業(yè)設計</b></p><p>　　題 目： xx公司局域網(wǎng)設計方案 </p><p>　　英文題目： The network design scheme of Haoyu company </p><p>　　院 部： 信息工程學

2、院 </p><p>　　專 業(yè)： 網(wǎng)絡工程 </p><p>　　姓 名： </p><p>　　學 號： </

3、p><p>　　指導教師： </p><p>　　2012 年 4 月 15 日</p><p><b>　　摘 要</b></p><p>　　21世紀信息的時代。作為計算機技術和通信技術相結合的產物，計算機網(wǎng)絡在這個時代發(fā)揮著重要的作用

4、，在人們的工作、學習、生活等各方面，都起著重要的作用。隨著科技的不斷進步，計算機和網(wǎng)絡技術都得到了長足的發(fā)展，越來越多的計算機連接到不同的網(wǎng)絡之中，使得計算機網(wǎng)絡不論從結構上還是規(guī)模上都發(fā)生了很大的變化，這給計算機網(wǎng)絡的建設提出了新的挑戰(zhàn)，對實施網(wǎng)絡工程也提出了新的要求。</p><p>　　隨著網(wǎng)絡的逐步普及，中小型企業(yè)的建設是企業(yè)向信息化發(fā)展的必然選擇，企業(yè)網(wǎng)絡系統(tǒng)是一個非常龐大而復雜的系統(tǒng)，它不僅為企業(yè)現(xiàn)代

5、化、綜合信息管理和辦公自動化等一系列應用提供基本操作平臺，而且能提供多種應用服務，使信息能及時、準確地傳送給各個系統(tǒng)。而中小型企業(yè)工程建設中主要應用了網(wǎng)絡技術中的重要分支局域網(wǎng)技術來建設與管理的，因此本畢業(yè)設計課題將主要以中小型局域網(wǎng)絡建設過程可能用到的各種技術及實施方案為設計方向，為中小型企業(yè)的建設提供理論依據(jù)和實踐指導。</p><p>　　關鍵詞：交換機，拓撲結構，子網(wǎng)劃分，設備配置</p>

6、<p><b>　　ABSTRACT</b></p><p>　　The 21st century is the era of information. As the product of the combination of computer and communication technologies, computer networks, plays an important

7、 role in all aspects of people's work, learning, life，in this day and age play an important role. With the continuous advancement of technology, computer and network technologies have been developed by leaps and boun

8、ds, more and more computers connected to different networks, computer networks have undergone great changes, whether from the</p><p>　　With the gradual popularization of the network, the construction of smal

9、l and medium-sized enterprises is the inevitable choice to the development of information technology, enterprise network system is a very large and complex system, it is not only a range of applications of the modern ent

10、erprise, integrated information management and office automation provide the basic platform, but also provide a variety of application services, and information can be promptly and accurately transmitted to t</p>

11、<p>　　Keywords：Switches, topology, subnetting, device configuration</p><p><b>　　目 錄</b></p><p>　　第一章 需求分析- 1 -</p><p>　　1.1 小型企業(yè)網(wǎng)絡特點與要求- 1 -</p><p>

12、　　1.2 小型企業(yè)網(wǎng)的組建背景- 1 -</p><p>　　第二章 典型小企業(yè)組網(wǎng)實例- 2 -</p><p>　　2.1網(wǎng)絡技術的選擇- 2 -</p><p>　　2.1.1 拓撲結構需求分析- 2 -</p><p>　　2.2 網(wǎng)絡結構設計- 3 -</p><p>　　2.2.1 三層交換與V

13、LAN結合- 3 -</p><p>　　2.2.2 層次化架構三層網(wǎng)絡- 4 -</p><p>　　2.3 網(wǎng)絡設備的選擇- 5 -</p><p>　　2.4 網(wǎng)段及VLAN的劃分- 6 -</p><p>　　2.5 設備的配置- 6 -</p><p>　　2.5.1 配置核心層交換機vlan-

14、6 -</p><p>　　2.5.2 配置ACL- 9 -</p><p>　　2.6 服務器的配置- 11 -</p><p>　　2.6.1 FTP服務器- 11 -</p><p>　　2.6.2 WEB服務器- 15 -</p><p>　　2.6.3 DHCP 服務器- 18 -</p>

15、;<p>　　第三章 網(wǎng)絡布局和綜合布線- 23 -</p><p>　　3.1 網(wǎng)絡布局的具體實施要求- 23 -</p><p>　　3.1.1 機房的規(guī)劃與設計- 23 -</p><p>　　3.2 布線系統(tǒng)的規(guī)劃與設計- 23 -</p><p>　　3.3 網(wǎng)絡布局的規(guī)劃與設計- 24 -</p>

16、;<p>　　第四章 局域網(wǎng)的安全控制與病毒防治- 27 -</p><p>　　4.1 局域網(wǎng)安全威脅分析- 27 -</p><p>　　4.1.1 欺騙性的軟件使數(shù)據(jù)安全性降低- 27 -</p><p>　　4.1.2服務器區(qū)域沒有進行獨立防護- 27 -</p><p>　　4.1.3計算機病毒及惡意代碼的威

17、脅- 27 -</p><p>　　4.1.4局域網(wǎng)用戶安全意識不強- 28 -</p><p>　　4.1.5IP地址沖突- 28 -</p><p>　　4.2 局域網(wǎng)安全控制與病毒防治策略- 28 -</p><p>　　4.2.1加強人員的網(wǎng)絡安全培訓- 28 -</p><p>　　4.2.2局域網(wǎng)

18、安全控制策略- 29 -</p><p>　　4.2.3 病毒防治- 30 -</p><p>　　總 結- 32 -</p><p>　　參考文獻- 34 -</p><p><b>　　第一章 需求分析</b></p><p>　　1.1 小型企業(yè)網(wǎng)絡特點與要求</p>

19、<p>　　小企業(yè)局域網(wǎng)通常規(guī)模較小，結構相對簡單，對性能的要求則因應用的不同而差別較大。許多小企業(yè)網(wǎng)絡技術人員較少，因而對網(wǎng)絡的依賴性很高，要求網(wǎng)絡盡可能簡單、可靠、易用，降低網(wǎng)絡的使用和維護成本、提高產品的性能價格比就顯得尤為重要。</p><p>　　基于以上特點，應遵循下列設計原則：</p><p>　　1．把握好技術先進性與應用簡易性之間的平衡。 </p>

20、;<p>　　2．具有良好的升級擴展能力。</p><p>　　3．具有較高的可靠性和安全性。</p><p>　　4．產品功能與實際應用需求相匹配。 </p><p>　　5．盡可能選擇成熟、標準化的技術和產品。</p><p>　　1.2 小型企業(yè)網(wǎng)的組建背景</p><p>　　隨著計算機及局域網(wǎng)絡

21、應用的不斷深入，特別是各種計算機應用系統(tǒng)被相繼應用在實際工作中，同外界信息媒體之間的相互交換和共享的要求日益增加。需要使各單位相互間真正做到高效的信息交換、資源的共享，為各單位人員提供準確、可靠、快捷的各種生產數(shù)據(jù)和信息，充分發(fā)揮各單位現(xiàn)有的計算機設備的功能。為加強各公司內各分區(qū)的業(yè)務和技術聯(lián)系，提高工作效率，實現(xiàn)資源共享，降低運作及管理成本,公司有必要建立企業(yè)內部局域網(wǎng)。局域網(wǎng)要求建設基于TCP/IP協(xié)議和WWW技術規(guī)范的企業(yè)內部非公

22、開的信息管理和交換平臺，該平臺以WEB為核心，集成WEB、文件共享、信息資源管理等服務功能，實現(xiàn)公司員工在不同地域對內部網(wǎng)的訪問。</p><p>　　第二章 典型小企業(yè)組網(wǎng)實例</p><p>　　每個公司都有機密文件，為保障這些文件不被竊取，網(wǎng)絡組建的主要要求：每個部門之間不能相互訪問但可以訪問服務器組和打印機。如圖2-1：</p><p>　　圖2-1 環(huán)境拓

23、撲圖</p><p>　　2.1網(wǎng)絡技術的選擇</p><p>　　在各種局域網(wǎng)技術中，以太網(wǎng)以其造價低、技術成熟、產品豐富、可靠性高、可擴展性好、傳輸介質豐富和易于管理等有點而成為建設局域網(wǎng)的主流技術。以太網(wǎng)使用CSMA/CD協(xié)議，它是一種基于沖突檢測機制的網(wǎng)絡協(xié)議。</p><p>　　2.1.1 拓撲結構需求分析</p><p>　　公

24、司共8個辦公室處于同一個樓面。針對在技術規(guī)格上的特點，我們采用了交換機用星型的拓撲結構，這種拓撲結構的優(yōu)點是：</p><p>　　1．容易實現(xiàn)。它所采用的傳輸介質一般都是采用通用的雙絞線，這種傳輸介質相對來說比較便宜，如目前正品五類雙絞線每米也僅1.5元左右，而同軸電纜最便宜的也要2.00元左右一米，光纜更貴。</p><p>　　2．節(jié)點擴展和移動方便。節(jié)點擴展時只需要從集線器或交換機

25、等集中設備中拉一條線即可，而要移動一個節(jié)點只需要把相應節(jié)點設備移到新節(jié)點即可，而不會像環(huán)型網(wǎng)絡那樣“牽其一而動全局”。</p><p>　　3．便于維護。采用星型結構，網(wǎng)絡故障將被定位在不同的交換層面上，隨后在被定位的層面上很快就可以找出發(fā)生故障的交換機或節(jié)點，這種方法把復雜的維護問題簡單化。</p><p>　　4．采用廣播信息傳送方式。任何一個節(jié)點發(fā)送信息在整個網(wǎng)中的節(jié)點都可以收到，這

26、在網(wǎng)絡方面存在一定的隱患，但這在局域網(wǎng)中使用影響不大。</p><p>　　5．網(wǎng)絡傳輸數(shù)據(jù)快。這一點可以從目前最新的1000Mbps到10G以太網(wǎng)接入速度可以看出。</p><p>　　2.2 網(wǎng)絡結構設計</p><p>　　無論企業(yè)規(guī)模大小，企業(yè)的網(wǎng)絡層次都應采取核心層、匯聚層、接入層三個網(wǎng)絡層次的設計理念。使用層次清晰的網(wǎng)絡模式，一是方便日后的升級，二是可以

27、減少維護成本。</p><p>　　2.2.1 三層交換與VLAN結合</p><p>　　三層交換技術，也稱多層交換技術或IP交換技術，是相對于二層交換技術提出的，因工作在OSI七層網(wǎng)絡標準模型中的第三層而得名。傳統(tǒng)的路由器也工作在第三層，它可以處理大量的跨越IP子網(wǎng)的數(shù)據(jù)包，但是它的轉發(fā)效率比較低，而三層交換技術在網(wǎng)絡標準模型中的第三層實現(xiàn)了分組的高速轉發(fā)，效率大大提高。簡單地說，三層

28、交換技術就是“二層交換技術 + 路由轉發(fā)”。它的出現(xiàn)，解決了二層交換技術不能處理不同IP子網(wǎng)之間的數(shù)據(jù)交換的缺點，又解決了傳統(tǒng)路由器低速、復雜所造成的網(wǎng)絡瓶頸問題。</p><p>　　VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內的設備邏輯地而不是物理地劃分成一個個不同的網(wǎng)段，從而實現(xiàn)虛擬工作組的技術。它不受網(wǎng)絡用戶的物理位置限制，而是根據(jù)用戶需求進行網(wǎng)絡分段

29、。IEEE于1999年頒布了用以標準化VLAN實現(xiàn)方案的802.1q協(xié)議標準草案。不同VLAN之間的數(shù)據(jù)傳輸是通過第三層（網(wǎng)絡層）的路由來實現(xiàn)的，因此，使用VLAN技術，結合數(shù)據(jù)鏈路層和網(wǎng)絡層的交換設備，可搭建安全可靠的網(wǎng)絡。 </p><p>　　劃分VLAN的目的：一是提高網(wǎng)絡安全性，不同VLAN的數(shù)據(jù)不能自由交流，需要接受第三層的檢驗，因此，在一定程度上加強了虛網(wǎng)間的隔離，有效防止外部用戶入侵，提高了安全性

30、。二是隔離廣播信息，劃分VLAN后，廣播域縮小，有利于改善網(wǎng)絡性能，能夠將廣播風暴控制在一個VLAN內部，同時使網(wǎng)絡管理趨于簡單。三是增強網(wǎng)絡應用的靈活性，VLAN是在一個有多臺交換機的局域網(wǎng)中統(tǒng)一設定的，這使得用戶可以不受所連交換機的限制，不論用戶節(jié)點移動到局域網(wǎng)中哪一臺交換機上，只要仍屬于原來的虛網(wǎng)，則應用環(huán)境沒有任何改變。在劃分VLAN時，要考慮VLAN對于網(wǎng)絡流量的影響，單個VLAN不宜過大。</p><p&

31、gt;　　2.2.2 層次化架構三層網(wǎng)絡 </p><p>　　三層網(wǎng)絡架構采用層次化模型設計，即將復雜的網(wǎng)絡設計分成幾個層次，每個層次著重于某些特定的功能，這樣就能夠使一個復雜的大問題變成許多簡單的小問題。三層網(wǎng)絡架構設計的網(wǎng)絡有三個層次：核心層（網(wǎng)絡的高速交換主干）、匯聚層（提供基于策略的連接）、接入層（將工作站接入網(wǎng)絡）。 </p><p>　　核心層是網(wǎng)絡的高速交換主干，對整個網(wǎng)絡

32、的連通起到至關重要的作用。核心層應該具有如下幾個特性：可靠性、高效性、冗余性、容錯性、可管理性、適應性、低延時性等。在核心層中，應該采用高帶寬的千兆以上交換機。因為核心層是網(wǎng)絡的樞紐中心，重要性突出。核心層設備采用雙機冗余熱備份是非常必要的，也可以使用負載均衡功能，來改善網(wǎng)絡性能。</p><p>　　匯聚層是網(wǎng)絡接入層和核心層的“中介”，就是在工作站接入核心層前先做匯聚，以減輕核心層設備的負荷。匯聚層具有實施策

33、略、安全、工作組接入、虛擬局域網(wǎng)（VLAN）之間的路由、源地址或目的地址過濾等多種功能。在匯聚層中，應該采用支持三層交換技術和VLAN的交換機，以達到網(wǎng)絡隔離和分段的目的。 </p><p>　　接入層向本地網(wǎng)段提供工作站接入。在接入層中，減少同一網(wǎng)段的工作站數(shù)量，能夠向工作組提供高速帶寬。接入層可以選擇不支持VLAN和三層交換技術的普通交換機。</p><p>　　2.3 網(wǎng)絡設備的選擇

34、</p><p><b>　　核心層：</b></p><p>　　Cisco Catalyst 3560系列交換機是一個采用快速以太網(wǎng)配置的固定配置、企業(yè)級、IEEE 802.3af和思科預標準以太網(wǎng)電源（PoE）的交換機，提供了可用性、安全性和服務質量（QoS）功能，改進了網(wǎng)絡運營。Catalyst 3560系列是適用于小型企業(yè)布線室或分支機構環(huán)境的理想接入層交換

35、機，這些環(huán)境將其LAN基礎設施用于部署全新產品和應用，如IP電話、無線接入點、視頻監(jiān)視、建筑物管理系統(tǒng)和遠程視頻信息亭?？蛻艨梢圆渴鹁W(wǎng)絡范圍的智能服務，如高級QoS、速率限制、訪問控制列表、組播管理和高性能IP路由，并保持傳統(tǒng)LAN交換的簡便性。內嵌在Cisco Catalyst 3560系列交換機中的思科集群管理套件（CMS）讓用戶可以利用任何一個標準的Web瀏覽器，同時配置多個Catalyst桌面交換機并對其排障。Cisco CMS

36、軟件提供了配置向導，它可以大幅度簡化融合網(wǎng)絡和智能化網(wǎng)絡服務的部署。 </p><p>　　Catalyst 3560系列為采用思科IP電話和Cisco Aironet無線LAN接入點，以及任何IEEE 802.3af兼容終端設備的部署，提供了較低的總體擁有成本（TCO）。以太網(wǎng)電源使客戶無需再為每臺支持PoE的設備提供墻壁電源，免除了在IP電話和無線LAN部署中所必不可少的額外布線。Catalyst 3560

37、24端口版本可以以支持24個15.4W的同步全供電PoE端口，從而獲得了最佳上電設備支持。通過采用Cisco Catalyst智能電源管理，48端口版本可支持24個15.4W端口、48個7.7W端口，或它們的任意組合。當Catalyst 3560交換機與思科冗余電源系統(tǒng)675(RPS 675)共用時，可提供針對內部電源故障的無縫保護，而不間斷電源（UPS）系統(tǒng)可防范電源中斷情況，從而使融合式語音和數(shù)據(jù)網(wǎng)絡實現(xiàn)最高電源可用性。</p

38、><p><b>　　匯聚層：</b></p><p>　　Cisco Catalyst 2950系列智能以太網(wǎng)交換機是一個固定配置、可堆疊的獨立設備系列，提供了線速快速以太網(wǎng)和千兆位以太網(wǎng)連接。這是一款最廉價的Cisco交換產品系列，為中型網(wǎng)絡和城域接入應用提供了智能服務。作為思科廉價的交換產品系列，Cisco Catalyst 2950系列在網(wǎng)絡或城域接入邊緣實現(xiàn)了智

39、能服務。 </p><p>　　PIX 501防火墻是一種針對特定需求而設計的安全設備，可以在單獨的一個設備中提供豐富的安全服務，包括狀態(tài)監(jiān)測防火墻、虛擬專用網(wǎng)（VPN）和入侵防范等。還可以利用其基于標準的互聯(lián)網(wǎng)密鑰交換（IKE）/IP安全（IPSec）VPN功能，確保遠程辦公機構通過互聯(lián)網(wǎng)與企業(yè)網(wǎng)絡之間進行的所有網(wǎng)絡通信的安全，故此適合于小型辦公室網(wǎng)絡或者大型網(wǎng)絡中的局部網(wǎng)絡使用。</p><

40、;p>　　2.4 網(wǎng)段及VLAN的劃分</p><p><b>　　2.5 設備的配置</b></p><p>　　2.5.1 配置核心層交換機vlan</p><p>　　1．配置Switch3交換機</p><p>　　(1) 設置交換機主機名</p><p>　　Switch>e

41、nable</p><p>　　Switch#configure t</p><p>　　Switch(config)#hostname S3</p><p>　　S3(config)#exit</p><p>　　(2) 創(chuàng)建VTP管理域，并設置為server模式</p><p>　　S3#vlan database

42、</p><p>　　S3(vlan)#vtp server</p><p>　　S3(vlan)#exit</p><p>　　(3) 創(chuàng)建VLAN,配置VLAN名，</p><p>　　S3#vlan database</p><p>　　(4) 配置各部門的VLAN</p><p>　　S

43、3(vlan)#vlan 11 name jinglibangongshi</p><p>　　S3(vlan)#vlan 12 name caiwuchu</p><p>　　S3(vlan)#vlan 13 name jishubu</p><p>　　S3(vlan)#vlan 14 name xiaoshoubu</p><p>　　

44、S3(vlan)#vlan 15 name renshibu</p><p>　　S3(vlan)#vlan 16 name fuwuqizu</p><p>　　S3(vlan)#vlan 17 name gonxiangdayinji</p><p>　　(5) 將端口F0/1,F0/2設置為VLAN中繼模式</p><p><b&

45、gt;　　S3#conft</b></p><p>　　S3(config)#interface fastethernet0/1</p><p>　　S3(config)#switchport</p><p>　　S3(config)#switchport trunk encapsulation dot1q</p><p>　　S

46、3(config)#switchport mode trunk</p><p><b>　　S3#conft</b></p><p>　　S3(config)#interface fastethernet0/2</p><p>　　S3(config)#switchport</p><p>　　S3(config)#sw

47、itchport trunk encapsulation dot1q</p><p>　　S3(config)#switchport mode trunk</p><p>　　(6) 配置VLAN接口地址</p><p>　　S3(config)#interface vlan 11</p><p>　　S3(config-if)#ip add

48、ress 192.168.11.1 255.255.255.0</p><p>　　S3(config)#interface vlan 12</p><p>　　S3(config-if)#ip address 192.168.12.1 255.255.255.0</p><p><b>　　···</b><

49、/p><p>　　S3(config)#interface vlan 17</p><p>　　S3(config-if)#ip address 192.168.17.1 255.255.255.0</p><p>　　(7) 將F0/3-5端口劃給VLAN 16，只列出F0/3的配置，其余端口的配置與F0/3相同</p><p>　　S2(co

50、nfig)#int f0/3</p><p>　　S2(config-if)#switchport mode access</p><p>　　S2(config-if)#switchport access vlan 16</p><p>　　2．配置交換機Swich1</p><p>　　(1) 設置vtp域名、模式</p>

51、<p>　　S1#vlan database</p><p>　　S1(vlan)#vtp domain myvtpdomain</p><p>　　S1(vlan)#vtp client</p><p>　　S1(vlan)#exit</p><p>　　S1#configure terminal</p><p

52、>　　(2) 配置接口F0/1為中繼接口</p><p>　　S1(config)#inter f0/1</p><p>　　S1(config-if)#switchport trunk encapsulation dot1p</p><p>　　S1(config-if)#switchport mode trunk</p><p>　

53、　(3) 將F0/2端口劃給VLAN 11，只列出F0/2的配置，其余端口的配置與F0/2相同</p><p>　　S1(config)#int f0/2</p><p>　　S1(config-if)#switchport mode access</p><p>　　S1(config-if)#switchport access vlan 11</p>

54、<p>　　(4) 將F0/3-4端口劃給VLAN 15，只列出F0/3的配置，其余端口的配置與F0/3相同</p><p>　　S1(config)#int f0/3</p><p>　　S1(config-if)#switchport mode access</p><p>　　S1(config-if)#switchport access vla

55、n 15</p><p>　　(5) 將F0/5-6端口劃給VLAN 12，只列出F0/5的配置，其余端口的配置與F0/5相同</p><p>　　S1(config)#int f0/5</p><p>　　S1(config-if)#switchport mode access</p><p>　　S1(config-if)#switchp

56、ort access vlan 12</p><p>　　3．配置交換機Switch2</p><p>　　(1) 設置vtp域名、模式</p><p>　　S2#vlan database</p><p>　　S2(vlan)#vtp domain myvtpdomain</p><p>　　S2(vlan)#vtp

57、 client</p><p>　　S2(vlan)#exit</p><p>　　(2) 配置接口F0/1為中繼接口</p><p>　　S2(config)#int f0/1</p><p>　　S2(config-if)#switchport trunk encapsulation dot1q</p><p>　

58、　S2(config-if)#switchport mode trunk</p><p>　　(3) 將F0/2-4端口劃給VLAN 13，只列出F0/2的配置，其余端口的配置與F0/2相同</p><p>　　S2(config)#int f0/2</p><p>　　S2(config-if)#switchport mode access</p>

59、<p>　　S2(config-if)#switchport access vlan 13</p><p>　　(4) 將F0/5-6端口劃給VLAN 14，只列出F0/4的配置，其余端口的配置與F0/4相同</p><p>　　S2(config)#int f0/5</p><p>　　S2(config-if)#switchport mode acce

60、ss</p><p>　　S2(config-if)#switchport access vlan 14</p><p>　　(5) 將F0/7端口劃給VLAN 17</p><p>　　S2(config)#int f0/7</p><p>　　S2(config-if)#switchport mode access</p>

61、<p>　　S2(config-if)#switchport access vlan 17</p><p>　　2.5.2 配置ACL</p><p>　　配置ACL 應用在各個部門VLAN接口上，控制各部門互訪</p><p>　　1．把訪問控制列表11 應用于VLAN 10 OUT方向上，經理辦公室內部可以互訪，可以訪問服務器網(wǎng)段和網(wǎng)絡打印機網(wǎng)段，但不

62、能其他部所在網(wǎng)段。</p><p>　　access-list 11 permit 192.168.16.0 0.0.0.255 </p><p>　　access-list 11 permit 192.168.17.0 0.0.0.255 </p><p>　　access-list 11 deny 192.168.0.0 0.0.255.255 </p&g

63、t;<p>　　access-list 11 permit any </p><p>　　int vlan 11</p><p>　　ip access-group 11 out</p><p>　　2．把訪問控制列表12 應用于VLAN 10 OUT方向上，財務部內部可以互訪，可以訪問服務器網(wǎng)段和網(wǎng)絡打印機網(wǎng)段，但不能其他部所在網(wǎng)段。</p&g

64、t;<p>　　access-list 12 permit 192.168.16.0 0.0.0.255 </p><p>　　access-list 12 permit 192.168.17.0 0.0.0.255 </p><p>　　access-list 12 deny 192.168.0.0 0.0.255.255 </p><p>　　ac

65、cess-list 12 permit any </p><p>　　int vlan 12</p><p>　　ip access-group 12 out</p><p>　　3．把訪問控制列表15 應用于VLAN 10 OUT方向上，人事部內部可以互訪，可以訪問服務器網(wǎng)段和網(wǎng)絡打印機網(wǎng)段，但不能其他部所在網(wǎng)段。</p><p>　　ac

66、cess-list 15 permit 192.168.16.0 0.0.0.255 </p><p>　　access-list 15 permit 192.168.17.0 0.0.0.255 </p><p>　　access-list 15 deny 192.168.0.0 0.0.255.255 </p><p>　　access-list 15 perm

67、it any </p><p>　　int vlan 15</p><p>　　ip access-group 15 out</p><p>　　4．把訪問控制列表13 應用于VLAN 10 OUT方向上，技術部內部可以互訪，可以訪問服務器網(wǎng)段和網(wǎng)絡打印機網(wǎng)段，但不能其他部所在網(wǎng)段。</p><p>　　access-list 13 perm

68、it 192.168.16.0 0.0.0.255 </p><p>　　access-list 13 permit 192.168.17.0 0.0.0.255 </p><p>　　access-list 13 deny 192.168.0.0 0.0.255.255 </p><p>　　access-list 13 permit any </p>

69、<p>　　int vlan 13</p><p>　　ip access-group 13 out</p><p>　　5．把訪問控制列表14 應用于VLAN 10 OUT方向上，銷售部內部可以互訪，可以訪問服務器網(wǎng)段和網(wǎng)絡打印機網(wǎng)段，但不能其他部所在網(wǎng)段。</p><p>　　access-list 14 permit 192.168.16.0 0

70、.0.0.255 </p><p>　　access-list 14 permit 192.168.17.0 0.0.0.255 </p><p>　　access-list 14 deny 192.168.0.0 0.0.255.255 </p><p>　　access-list 14 permit any </p><p>　　int

71、vlan 14</p><p>　　ip access-group 14 out</p><p>　　2.6 服務器的配置</p><p>　　2.6.1 FTP服務器</p><p>　　1．FTP服務器的作用</p><p>　　在FTP的使用當中，經常遇到兩個概念：“下載”（Download）和“上載”（Uplo

72、ad）?！跋螺d”文件就是從遠程主機拷貝文件至自己的計算機上；“上載”文件就是將文件從自己的計算機中拷貝至遠程主機上。</p><p>　　使用FTP時必須先登錄，獲得相應的權限以后，方可上傳或下載文件。也就是說，要想同一臺計算機傳送文件，必須有那臺計算機的相應授權。這種情況違背了Internet的開放性，Internet上的FTP主機何止千萬，不可能要求每個用戶在每一臺主機上都擁有帳號。匿名FTP就是為解決這個問

73、題而產生的。 </p><p>　　匿名FTP是這樣一種機制，用戶可通過它連接到遠程主機上，并從其下載文件，而無需成為其注冊用戶。系統(tǒng)管理員建立了一個特殊的用戶ID(anonymous)，Internet上的任何人在任何地方都可使用該用戶ID。 </p><p>　　通過FTP程序連接匿名FTP主機的方式同連接普通FTP主機的方式差不多，只是在要求提供用戶標識ID時必須輸入anonymou

74、s，該用戶ID的口令可以是任意的字符串。習慣上，用自己的E-mail地址作為口令，使系統(tǒng)維護程序能夠記錄下來誰在存取這些文件。 值得注意的是，匿名FTP不適用于所有Internet主機，它只適用于那些提供了這項服務的主機。</p><p>　　當遠程主機提供匿名FTP服務時，會指定某些目錄向公眾開放，允許匿名存取。作為一種安全措施，大多數(shù)匿名FTP主機都允許用戶從其下載文件，而不允許用戶向其上載文件。即使有些

75、匿名FTP主機確實允許用戶上載文件，用戶也只能將文件上載至某一指定上載目錄中。隨后，系統(tǒng)管理員會去檢查這些文件，他會將這些文件移至另一個公共下載目錄中，供其他用戶下載，利用這種方式，遠程主機的用戶得到了保護，避免了有人上載有問題的文件。</p><p>　　匿名FTP是Internet網(wǎng)上發(fā)布軟件的常用方法。Internet之所以能延續(xù)到今天，是因為人們使用通過標準協(xié)議提供標準服務的程序。像這樣的程序，有許多就是

76、通過匿名FTP發(fā)布的，任何人都可以存取它們。</p><p>　　Internet中的有數(shù)目巨大的匿名FTP主機以及更多的文件，那么到底怎樣才能知道某一特定文件位于哪個匿名FTP主機上的那個目錄中呢？這正是 Archie服務器所要完成的工作。Archie將自動在FTP主機中進行搜索，構造一個包含全部文件目錄信息的數(shù)據(jù)庫，使你可以直接找到所需文件的位置信息。</p><p>　　2．FTP服

77、務器的架設</p><p><b>　　(1) 安裝</b></p><p>　　一般來講，大多數(shù)FTP服務器需要用IIS架設，但是Window XP默認不安裝IIS組件，需要手工添加安裝。進入控制面板，找到“添加／刪除程序”，打開后選擇“添加／刪除Window組件”。</p><p>　　在彈出的“Window組件向導”窗口中，將“Inter

78、net信息服務（IIS）”項選中。在該選項前的“√”背景色是灰色的，</p><p>　　這是因為Window XP默認并不安裝FTP服務組件。再點擊右下角的“詳細信息”，在彈出的“Internet信息服務（IIS）”窗口中，找到“文件傳輸協(xié)議（FTP）服務”，選中后確定即可。</p><p>　　安裝完后需要重啟計算機。</p><p><b>　　(2

79、) 設置</b></p><p>　　電腦重啟后，服務器就開始運行了，但還要進行一些設置。點擊“開始→所有程序→管理工具→Internet信息服務”，進入“Internet信息服務”窗口后，找到“默認FTP站點”，右擊鼠標，在彈出的右鍵菜單中選擇“屬性”。在“屬性”中，我們可以設置業(yè)務主機的名稱、IP、端口、訪問賬戶、FTP目錄位置、用戶進入FTP時接收到的消息等。</p><p&

80、gt;　　進入“FTP站點”選項卡，其中的“描述”選項為該FTP站點的名稱，用來稱呼你的服務器，這里設置名稱為 “業(yè)務主機”；“IP地址”為服務器的IP地址，設置為192.168.16.10；“TCP端口”一般仍設為默認的21端口；“連接”選項用來設置允許同時連接服務器的用戶最大連接數(shù)；“連接超時”用來設置一個等待時間，如果連接到服務器的用戶在線的時間超過等待時間而沒有任何操作，服務器就會自動斷開與該用戶的連接。</p>

81、<p><b>　　設置賬戶及其權限</b></p><p>　　很多FTP站點都要求用戶輸入用戶名和密碼才能登錄，這個用戶名和密碼就叫賬戶。不同用戶可使用相同的賬戶訪問站點，同一個站點可設置多個賬戶，每個賬戶可擁有不同的權限，如有的可以上傳和下載，而有的則只允許下載。 </p><p>　　進入“安全賬戶”選項卡，有“允許匿名連接”和“僅允許匿名連接”兩項

82、，默認為“允許匿名連接”，此時業(yè)務主機提供匿名登錄。“僅允許匿名連接”是用來防止用戶使用有管理權限的賬戶進行訪問，選中后，即使是Administrator（管理員）賬號也不能登錄，F(xiàn)TP只能通過服務器進行“本地訪問”來管理。</p><p>　　至于“FTP站點操作員”選項，是用來添加或刪除本業(yè)務主機具有一定權限的賬戶。ＩＩＳ與其他專業(yè)的業(yè)務主機軟件不同，它基于Window用戶賬號進行賬戶管理，本身并不能隨意設定

83、業(yè)務主機允許訪問的賬戶，要添加或刪除允許訪問的賬戶，必須先在操作系統(tǒng)自帶的“管理工具”中的“計算機管理”中去設置Window用戶賬號，然后再通過“安全賬戶”選項卡中的“FTP站點操作員”選項添加或刪除。但對于Window 2000和Window XP專業(yè)版，系統(tǒng)并不提供“FTP站點操作員”賬戶添加與刪除功能，只提供Administrator一個管理賬號。</p><p><b>　　設置用戶登錄目錄&l

84、t;/b></p><p>　　最后設置FTP主目錄（即用戶登錄FTP后的初始位置），進入“主目錄”選項卡，在“本地路徑”中選擇好FTP站點的根目錄，并設置該目錄的讀取、寫入、目錄訪問權限。設置完成后，業(yè)務主機就算建成了。</p><p>　　2.6.2 WEB服務器</p><p>　　WEB服務器作用：WEB服務器也稱為WWW(WORLD WIDE WEB

85、)服務器，主要功能是提供網(wǎng)上信息瀏覽服務。 </p><p>　　WWW 是 Internet 的多媒體信息查詢工具，是 Internet 上近年才發(fā)展起來的服務，也是發(fā)展最快和目前用的最廣泛的服務。正是因為有了WWW工具，才使得近年來 Internet 迅速發(fā)展，且用戶數(shù)量飛速增長。</p><p>　　1．WEB服務器配置</p><p>　　(1) 啟動Int

86、ernet信息服務(IIS)</p><p>　　單擊Windows開始菜單---所有程序---管理工具---Internet信息服務(IIS)管理器，即可啟動“Internet信息服務”管理工具。</p><p><b>　　(2) 配置IIS</b></p><p>　　IIS安裝后，系統(tǒng)自動創(chuàng)建了一個默認的web站點，該站點的主目錄默認為

87、C:\Inetpub\wwwroot。</p><p>　　用鼠標右鍵單擊“默認web站點”，在彈出的快捷菜單中選擇“屬性”，此時就可以打開站點屬性設置對話框，在該對話框中，可完成對站點的全部配置。</p><p>　　單擊“主目錄”標簽，切換到主目錄設置頁面，該頁面可實現(xiàn)對主目錄的更改或設置。注意檢查啟用父路徑選項是否勾選，如未勾選將對以后的程序運行有部分影響</p>&l

88、t;p>　　(3) 設置主頁文檔</p><p>　　單擊“文檔”標簽，可切換到對主頁文檔的設置頁面，主頁文檔是在瀏覽器中鍵入網(wǎng)站域名，而未制定所要訪問的網(wǎng)頁文件時，系統(tǒng)默認訪問的頁面文件。常見的主頁文件名有index.htm、index.html、index.asp、index.php、index.jap、default.htm、default.html、default.asp等</p>&

89、lt;p>　　IIS默認的主頁文檔只有default.htm和default.asp，根據(jù)需要，利用“添加”和“刪除”按鈕，可為站點設置所能解析的主頁文檔。</p><p>　　IIS默認的主頁文檔只有default.htm和default.asp，根據(jù)需要，利用“添加”和“刪除”按鈕，可為站點設置所能解析的主頁文檔。</p><p>　　2.6.3 DHCP 服務器</p&g

90、t;<p>　　兩臺連接到互聯(lián)網(wǎng)上的電腦相互之間通信，必須有各自的IP地址，但由于現(xiàn)在的IP地址資源有限，寬帶接入運營商不能做到給每個報裝寬帶的用戶都能分配一個固定的IP地址（所謂固定IP就是即使在你不上網(wǎng)的時候，別人也不能用這個IP地址，這個資源一直被你所獨占），所以要采用DHCP方式對上網(wǎng)的用戶進行臨時的地址分配。也就是你的電腦連上網(wǎng)，DHCP服務器才從地址池里臨時分配一個IP地址給你，每次上網(wǎng)分配的IP地址可能會不一

91、樣，這跟當時IP地址資源有關。當你下線的時候，DHCP服務器可能就會把這個地址分配給之后上線的其他電腦。這樣就可以有效節(jié)約IP地址，既保證了你的通信，又提高IP地址的使用率。 </p><p>　　在一個使用TCP/IP協(xié)議的網(wǎng)絡中，每一臺計算機都必須至少有一個IP地址，才能與其他計算機連接通信。為了便于統(tǒng)一規(guī)劃和管理網(wǎng)絡中的IP地址，DHCP（Dynamic Host Configure Protocol，動態(tài)

92、主機配置協(xié)議）應運而生了。這種網(wǎng)絡服務有利于對校園網(wǎng)絡中的客戶機IP地址進行有效管理，而不需要一個一個手動指定IP地址。 </p><p>　　DHCP服務器是TCP／IP協(xié)議簇中的一種，主要是用來給局域網(wǎng)客戶機分配動態(tài)的IP地址。缺點：DHCP存在較多的廣播開銷，對于用戶量較多的城域網(wǎng)會造成網(wǎng)絡運行效率下降和配置困難；另一方面，仍然無法解決用戶自行配置IP地址的問題。 </p><p>

93、　　1．DHCP服務器的配置 </p><p>　　(1) 選開始菜單→程序→管理工具→DHCP 即可打開你的DHCP管理器。</p><p>　　(2) 第一次進入時計算機名左側圖標是一個紅色下箭頭，表示該計算機沒有得到授權，這時應右擊計算機名，在彈出的快捷菜單中選擇授權命令</p><p>　　(3) 創(chuàng)建作用域右擊服務器名，在彈出的快捷菜單中選擇新建作用域命令

94、，打開新建作用域向導也可以在操作菜單下單擊新建作用域命令來打開新建作用域向導，在彈出新建作用域向導歡迎對話框中單擊下一步按鈕。這時彈出作用域對話框在名稱（必填）和說明（可不填）處填入任意內容。比如在名稱處填寫FIRST DHCP SERVER，再下一步。</p><p>　　(4) 在IP地址范圍中，需要在輸入此作用域分配的地址范圍下的起始IP地址和結束IP地址處輸入欲用來分配給客戶端的IP地址的范圍；系統(tǒng)會自動

95、填充長度和子網(wǎng)掩碼兩項中的內容。</p><p>　　(5) 隨后得到的是添加排除的界面。你可以在 起始地址IP地址 處輸入單個的欲保留的IP地址，再按 添加按鈕 把它加入到下面的 排除的地址范圍 列表中；也可以在 起始IP地址 和 結束IP地址 處輸入一個欲保留的IP地址的范圍添加進去；可以進行多次操作，直到將所有不欲分配給客戶端使用的保留IP地址全添加進去。</p><p>　　(6)

96、 接著就是設租約期限 ，也就是為分配給客戶端的這些IP地址設定一個 有限期 ，當超過這個有效期之后，客戶端就將不再能夠得到那些供分配的IP地址。在限制為下面進行相關設置即可；最大有效期限為999天23分59秒，建議設為此值。補充一點，在此處進行設置時，有一個小竅門：如果需要修改其中的天或分或秒的值，可以直接在相關欄內輸入所需內容，或用鍵盤上的上下光標鍵（按住不放）來迅速得到你所需要的數(shù)目；但如果用鼠標選擇的話，就必須一下一下點（按住不放

97、不生效），很麻煩。</p><p>　　(7) 以上所作的設置只是為客戶端設定了用于自動分配的IP地址，如果還要給它們設定自動分配的DNS和網(wǎng)關地址，則還必須在系統(tǒng)詢問 您現(xiàn)在想為此作用域配置DHCP選項嗎下選否，我稍候配置這些選項，然后按下一步按鈕繼續(xù)。</p><p>　　(8) 單擊下一步按鈕，將彈出正在完成新建作用域向導對話框。</p><p>　　(9)

98、單擊完成按鈕，結束新建作用域的工作，回到DHCP控制臺。如圖</p><p>　　注：此時的作用域左側土標上有一個紅色的下箭頭，這表示該作用域沒有被激活，必須激活作用域，作用域才會生效, </p><p>　　(10) 右擊作用域，在彈出的快捷菜單中選擇激活命令便可將該作用域激活。如果想使該作用域不起作用，可以右擊作用域，在彈出的快捷菜單中選擇停用命令，而不必將該作用域刪除。</p&

99、gt;<p>　　注 在同一DHCP服務器下無法建網(wǎng)段相同的兩個作域。</p><p>　　(11) 至此DHCP服務器基本配制完畢。</p><p>　　(12) 此外如果要為某些客戶機永久分配同一個IP地址具體操作如下在DHCP控制臺中選擇保留選項，右擊鼠標，選擇新建保留命令。如圖</p><p>　　隨后會打開新建保留對話框，在IP地址欄中設置好

100、要永久分配的一個IP地址，在MAC地址欄中輸入客戶機上的網(wǎng)卡物理地址，輸入MAC地址時，如（00115BC5D20D）?？蛻魴C的MAC地址可以在客戶機的命令提示符下鍵入命令ipconfig/all得到，設置完后，單擊添加按鈕，再單擊關閉按鈕。</p><p>　　第三章 網(wǎng)絡布局和綜合布線</p><p>　　3.1 網(wǎng)絡布局的具體實施要求</p><p>　　對于

101、有線局域網(wǎng)來說，這是我們目前企業(yè)網(wǎng)絡建設中，經常會遇到的，需要對機房和辦公大樓進行布線。規(guī)劃網(wǎng)絡布局要考慮到機房的設備布局和布線系統(tǒng)的合理搭配。因此我們首先要規(guī)劃與設計好機房、布線系統(tǒng)，然后再全面地考慮網(wǎng)絡的布局。</p><p>　　3.1.1 機房的規(guī)劃與設計</p><p>　　為了確保網(wǎng)絡、計算機系統(tǒng)穩(wěn)定、安全、可靠地運行，以及保障機房工作人員有良好的工作環(huán)境，做到技術先進、經濟合

102、理、安全適用、確保質量，符合國家有關的機房設計規(guī)定。</p><p><b>　　1．防靜電</b></p><p>　　靜電不僅會對計算機運行出現(xiàn)隨機故障，而且還會導致某些元器件，雙級性電路等的擊穿和毀壞。此外，還會影響操作人員和維護人員的正常的工作和身心健康。</p><p><b>　　2．防火、防盜</b><

103、/p><p>　　計算機房在設計時，重點要考慮機房的消防滅火設計。設計時可以根據(jù)消防防火級別來確定機房的設計方案，計算機房火災報警要求在一樓設有值班室或監(jiān)控點。機房里應注意防盜設施的安裝，具體地可采用防盜門、防盜鎖、警衛(wèi)、自動報警系統(tǒng)等等。</p><p><b>　　3．防雷</b></p><p>　　由于機房通信和供電電纜多從室外引入機房，易

104、遭受雷電的侵襲，機房的建筑防雷設計尤其重要。計算機通信電纜的芯線，電話線均應加裝避雷器。</p><p><b>　　4．保濕、保溫</b></p><p>　　機房里的濕度應保持在20%-80%為宜，機房的溫度應保持在15℃-35℃攝氏度，安裝空調來調節(jié)溫度是解決此問題最好的辦法。</p><p>　　3.2 布線系統(tǒng)的規(guī)劃與設計</p

105、><p>　　有了好的機房，網(wǎng)絡設備就有了好的“家”，組建的IT網(wǎng)絡應當通過布線系統(tǒng)將機房和辦公地點互聯(lián)起來，確保網(wǎng)絡的正常運行。如果企業(yè)的接入點較多，我們可以采取接入層、匯聚層、交換層三個網(wǎng)絡層次的設計，在此基礎上進行布線系統(tǒng)。</p><p>　　對于接入層來說，選擇一個合理的接入設備，是最關鍵的，而且我們要根據(jù)接入設備選擇合適的帶寬。匯聚層是整個局域網(wǎng)的核心部分，匯聚層網(wǎng)絡設備一般支持網(wǎng)

106、絡管理功能，方便我們的管理和維護，方便以后我們的網(wǎng)絡升級和改造。交換層是整個網(wǎng)絡中的中間層，連接著匯聚層和網(wǎng)絡節(jié)點，是決定我們整體網(wǎng)絡傳輸質量的很重要的一個環(huán)節(jié)。隨著百兆網(wǎng)絡設備的普及，我們交換層的網(wǎng)絡設備，肯定首選百兆。</p><p>　　布線是連接網(wǎng)絡接入層、匯聚層、交換層和網(wǎng)絡節(jié)點的重要環(huán)節(jié)。在布線時，最好使用專門的通道，而且不要與電源線，空調線等具有輻射的線路混合布線。</p><p

107、>　　接入層與匯聚層之間的雙絞線，可以選擇超五類屏蔽雙絞線，以使網(wǎng)絡性能得到最大的提升。匯聚層與交換層之間的雙絞線，由于是網(wǎng)絡數(shù)據(jù)傳輸量最大的一個層次，同樣采用超五類屏蔽雙絞線。交換層與網(wǎng)絡節(jié)點之間，我們就可以采用普通的超五類非屏蔽雙絞線。</p><p>　　網(wǎng)絡設備的放置，最好放在節(jié)點的中央位置，這樣做，不是為了節(jié)約綜合布線的成本，而是為了提高網(wǎng)絡的整體性能，提高網(wǎng)絡傳輸質量。由于雙絞線的傳輸距離是10

108、0米，在95米才能獲得最佳的網(wǎng)絡傳輸質量。在做網(wǎng)絡布線時，最好能夠設計一個設備間，放置網(wǎng)絡設備。</p><p>　　3.3 網(wǎng)絡布局的規(guī)劃與設計</p><p>　　目前的網(wǎng)絡設備大都采用機架式的結構，如交換機、路由器、硬件防火墻等。這些設備之所以有這樣一種結構類型，是因為它們都按國際機柜標準進行設計，這樣大家的平面尺寸就基本統(tǒng)一，可把一起安裝在一個大型的立式標準機柜中。這樣做的好處非常

109、明顯：一方面可以使設備占用最小的空間，另一方面則便于與其它網(wǎng)絡設備的連接和管理，同時機房內也會顯得整潔、美觀。</p><p>　　我們經常接觸到的放置機房里有網(wǎng)絡機柜、服務器機柜以及綜合布線柜，從這三個機柜的名字就可以看出它們各自所起的作用；一般來說，網(wǎng)絡設備如交換機、路由器、防火墻、加密機等以及網(wǎng)絡通信設備如光端機、調制解調器等是放置在網(wǎng)絡機柜的；服務器機柜的寬度為19英寸，高度以U為單位 （1U=1.75英

110、寸=44.45毫米），通常有1U，2U，3U，4U幾種標準的服務器。機柜的尺寸也是采用通用的工業(yè)標準，通常從22U到42U不等；機柜內按U的高度有可拆卸的滑動拖架，用戶可以根據(jù)自己服務器的標高靈活調節(jié)高度，以存放服務器、集線器、磁盤陣列柜等設備。服務器擺放好后，它的所有I/O線全部從機柜的后方引出（機架服務器的所有接口也在后方），統(tǒng)一安置在機柜的線槽中，一般貼有標號，便于管理。</p><p>　　綜合布線柜一般