中小型局域网的部署与安全配置Word格式文档下载.docx

1、3、R1、S6之间运行RIPV2。4、做RIP和OSPF的路由重分发，保证总部的局域网的连通性。5、为了能够保证总部和分部的内网可以通过外网接口访问因特网，在R1和R8上配置NAT；同时配置策略路由，确保总部内网Vlan10通过ISP1上因特网，Vlan20通过ISP2上因特网。6、为了保证总部和分部的通信的备份线路，配置帧中继的相关配置。7、R1、ISP2之间运行广域网PPP协议，使用CHAP做双向身份验证。8、分部人员不会配置IP地址，在S10上配置DHCP服务，为分部的电脑自动分配IP地址，地址段为192.168.80.0/24网段。9、配置S2和S3之间的f0/5和f0/6的链路聚合。

2、10、确保S2是Vlan 10的根桥，S3是Vlan 20的根桥。二、网络规划与设计2.1拓扑图设计2.2 IP地址规划设备名称接口IP地址子网掩码S2 F0/3192.168.25.224F0/4192.168.26.2Vlan 10（F0/1）192.168.10.254Vlan 20（F0/2）192.168.20.254S3192.168.35.3192.168.36.3192.168.10.253192.168.20.253S5192.168.25.5192.168.35.5F0/5192.168.51.5S6192.168.26.6192.168.36.6192.168.61.6R

3、1F1/0192.168.51.1F2/0192.168.61.1F0/011.11.11.1S3/1（DLCI:108）192.168.30.1S3/212.12.12.1R818.18.18.8192.168.80.1S3/2（DLCI:801）192.168.30.8S3/328.28.28.8ISP111.11.11.218.18.18.1ISP212.12.12.228.28.28.22.3设备选型1、核心层：思科的Cisco Catalyst 3560G-24TS-24-2全千兆三层交换机（1）Cisco Catalyst 3560系列交换机是一个采用快速以太网配置的固定配置、企业

4、级、IEEE 802.3af和思科预标准以太网电源（PoE）的交换机，提供了可用性、安全性和服务质量（QoS）功能，改进了网络运营。Catalyst 3560系列是适用于小型企业布线室或分支机构环境的理想接入层交换机，这些环境将其LAN基础设施用于部署全新产品和应用，如IP电话、无线接入点、视频监视、建筑物管理系统和远程视频信息亭。客户可以部署网络范围的智能服务，如高级QoS、速率限制、访问控制列表、组播管理和高性能IP路由，并保持传统LAN交换的简便性。内嵌在Cisco Catalyst 3560系列交换机中的思科集群管理套件（CMS）让用户可以利用任何一个标准的Web浏览器，同时配置多个C

5、atalyst桌面交换机并对其排障。Cisco CMS软件提供了配置向导，它可以大幅度简化融合网络和智能化网络服务的部署。 （2） Catalyst 3560系列为采用思科IP电话和Cisco Aironet无线LAN接入点，以及任何IEEE 802.3af兼容终端设备的部署，提供了较低的总体拥有成本（TCO）。以太网电源使客户无需再为每台支持PoE的设备提供墙壁电源，免除了在IP电话和无线LAN部署中所必不可少的额外布线。Catalyst 3560 24端口版本可以以支持24个15.4W的同步全供电PoE端口，从而获得了最佳上电设备支持。通过采用Cisco Catalyst智能电源管理，48

6、端口版本可支持24个15.4W端口、48个7.7W端口，或它们的任意组合。当Catalyst 3560交换机与思科冗余电源系统675（RPS 675）共用时，可提供针对内部电源故障的无缝保护，而不间断电源（UPS）系统可防范电源中断情况，从而使融合式语音和数据网络实现最高电源可用性。2、汇聚层换机选择：Catalyst 2950-24交换机1、Cisco Catalyst 2950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列，提供了线速快速以太网和千兆位以太网连接。这是一款最廉价的Cisco交换产品系列，为中型网络和城域接入应用提供了智能服务。作为思科最为廉价的交换产品系列，Cis

7、co Catalyst 2950系列在网络或城域接入边缘实现了智能服务。2、（1）主要的中型企业优势 在布线室配线间中实现了智能的服务质量（QoS）、限速、访问控制 列表（ACL）和多播服务在多种介质上提供了升级到千兆位以太网的强大路径凭借内置Cisco集群管理套件可出色地管理并轻松地配置第2-4层服务 ，与Cisco Catalyst 3550系列集中汇聚交换机相结合，用于IP路由至网络核心 。 （2）主要的城域接入优势 通过高级QoS、限速、语音及多播特性提供广泛的服务 ，通过生成树协议改进和访问控制参数（ACP）来提供服务可用性和安全性 ，通过Cisco IE 2100系列智能引擎支持和

8、简单网络管理协议（SNMP）来实现服务管理。3、思科 PIX-501防火墙PIX 501防火墙是一种针对特定需求而设计的安全设备，可以在单独的一个设备中提供丰富的安全服务，包括状态监测防火墙、虚拟专用网（VPN）和入侵防范等。还可以利用其基于标准的互联网密钥交换（IKE）/IP安全（IPSec）VPN功能，确保远程办公机构通过互联网与企业网络之间进行的所有网络通信的安全，故此适合于小型办公室网络或者大型网络中的局部网络使用。2.4布线系统设计1系统设计原则在进行综合布线系统设计时通常应遵循以下原则。（1） 采用模块化设计，易于在配线上扩充和重新组合。（2） 采用星型拓扑结构，从而使系统扩充和故

9、障分析变得十分容易。（3） 应满足通信自动化与办公自动化的需要，即满足语音与数据网络的广泛要求。（4） 确保任何插座互连主网络，尽量提供多个冗余互连信息点插座。（5） 适应各种符合标准的品牌设备互联入网，满足当前和将来网络的要求。（6） 电缆的铺设与管理应符合综合布线系统的设计要求。2工作区子系统设计工作区子系统提供从水平子系统的信息插座到用户工作站设备之间的连接，它包括工作站连线、适配器和扩展线等。一部电话机或一台计算机终端设备的服务面积可按810m2设置，也可按用户要求设置。采用标准信息插座，型号为RJ-45，采用8芯连线，全部按标准制造，符合ISDN标准。在RJ-45插座内不仅可以插入数

10、据通信通用的RJ-45接头，也可以插入电话机专用的RJ-12插头。信息插座通常有3种安装形式：信息插座安装于地面上，信息插座安装于分隔板上，信息插座安装于墙上。如果安装于墙上，信息插座应放置在距地面3050cm处。3水平子系统设计水平子系统是将垂直子系统线路延伸到用户工作区，由工作区的信息插座、信息插座至楼层配线设备（FD）的配线电缆或光纤、楼层配线设备和跳线等组成。水平子系统的设计应按以下要求进行。（1） 水平子系统一般应使用20年左右，通常采用管线敷设，这也对双绞线的性能和质量提出了更高的要求。（2） 进行网络布线时应考虑未来的发展（信息点冗余及网络带宽的需求）。（3） 水平子系统采用4对

11、双绞线，通常在超5类和6类之间选择，在高速率应用场合宜采用光缆。（4） 根据整个综合布线系统的要求，应在交换间或设备间的配线设备上进行连接，以构成电话、数据传输设备并进行管理，配线电缆宜采用双绞线。电缆长度应在90m以内。4垂直子系统设计垂直子系统主要用于连接各层配线室，并连接主配线室。设计要求如下。（1） 为安装和固定垂直子系统的电缆，要求建筑物竖井中应立有金属线槽，且每隔2m焊一根粗钢筋。（2） 竖井中的线糟与各层配线室之间应有金属线槽连通。（3） 垂直子系统采用的介质大多数为双绞线电缆和光纤。5管理子系统设计管理子系统由交连、互连配线架组成，为连接其他子系统提供手段。（1） 根据信息点的

12、数量，对于信息点不是很多的楼层，为便于管理，几个楼层可共用一个子配线间；对于有较多信息点的楼层，一个楼层设置一个配线间。（2） 配线间的位置可选在弱电井附近的房间内。配线室设标准机柜，用于安装配线架 （双绞线、光纤）和计算机网络通信设备。6设备间子系统设计设备间子系统（主配线间）由设备间中的电缆、连接器和相关支撑硬件组成，它把公共系统设备的各种不同设备互连起来。该子系统将中继线交叉连接处和布线交叉处与公共系统设备（如PBX）连接起来。（1） 通常主配架设置在程控机房内，用于垂直光缆和PABX的连接。建议采用QCBIX系列配线架，可充分满足语音通信的要求。（2） 通常计算机网络主配线架设在网管中

13、心，使用光纤配线架，用来连接来自各分配线间的光纤，并通过光纤跳线和计算机网络中心交换机相连。光纤配线架可直接安装在标准的19in机柜内，用于主干光纤和网络设备的连接，十分易于管理。（3） 对于设备间的建设应满足一定的要求，如室温、湿度、地板负重能力、消防、电源及UPS等。7建筑群子系统设计建筑群子系统应由连接各建筑物之间的综合布线缆线、建筑群配线设备（CD）和跳线等组成。（1） 建筑物间的缆线宜采用地下管道或电缆沟的铺设方式。（2） 建筑物群干线电缆、光缆、公用网和专用网电缆、光缆（包括天线馈线）进入建筑物时，都应设置引入设备，并在适当位置转换为室内电缆、光纤。引入设备还包括必要的保护装置。引

14、入设备宜单独设置房间，如条件合适也可与BD或CD合设。引入设备的安装应符合相关规定。（3） 建筑群和建筑物的干线电缆、主干光缆布线的交接不应多于两次。（4） 从楼层配线架（FD）到建筑群配线架之间只应通过一个建筑物配线架（BD）。8管线设计综合布线系统中管线设计通常采用两种方案：装配式槽形电缆桥架、地面线槽走线。9电气防护、接地及防火设计综合布线系统应根据环境条件选用相应的缆线和配线设备，或采取防护措施，并应符合下列规定。（1） 当综合布线区域内存在干扰或用户对电磁兼容性有较高要求时，宜采用屏蔽缆线和屏蔽配线设备进行布线，也可采用光纤系统。采用屏蔽布线系统时，所有屏蔽层应保持连续性。（2） 综

15、合布线系统采用屏蔽措施时，必须有良好的接地系统。（3） 当电缆从建筑物外面进入建筑物时，电缆的金属护套或光纤的金属件均应有良好的接地，同时要采用过压、过流保护措施，并符合相关规定。（4） 根据建筑物的防火等级和对材料的耐火要求，综合布线应采取相应的措施。（5） 当综合布线线路上存在干扰源，且不能满足最小净距要求时，宜采用金属管线进行屏蔽。综合布线电缆与附近可能产生高平电磁干扰的电动机、电力变压器等电气设备之间应保持必要的间距。墙上铺设的综合布线电缆、光纤及管线与其他管线应保持适当的 间距。2.5网络安全设计1、切实加强网络系统的组织领导和各业务部门之间的协调配合，安全工作从每个工作站、每个终端

16、做起，牢牢控制人为因素。加强用户的培训，健全用户操作网络安全的各项制度。加强对磁介质尤其是软盘、光盘、磁带的保管，放置于干燥、洁净的环境，注意防磁、防潮、防尘。 重视软件和数据库管理维护工作，加强对用户操作、口令、授权管理。如：设置口令失效限期，要求使用者定期更改口令等。2、在服务器上进行系统配置参数更改时，必须先将原配置参数记录下来，然后再进行更改。需要对文件改动或删除时，要先进行备份，然后执行操作，以避免出现因误删而导致服务终止的情况发现。严禁往服务器上备份不可靠的软件和数据，以保证在用的数据和软件不受病毒和其他破坏程序的攻击。对于网络服务的启动和终止，必须严格按照标准的规范和步骤进行。关

17、闭网络服务器必须等待所有数据正常保存、服务全部终止后方可进行。网络服务器上系统软件和应用服务软件的升级，要根据需求确定，升级操作严格按照说明进行。3、完善系统安全（1）选择NTFS格式来分区 （2）优化组件的定制（3）管理好系统和资源权限（4）用户帐户的安全设置（5）安装杀毒软件（6）安装防火墙侦听外界对本机所采取的攻击，及早提醒用户采取防范措施。（7）安装系统补丁（8）停止不必要的服务（9）使用备份和还原机制（10）使用组策略三、网络配置与部署3.1设备的配置1、链路聚合配置S2和S3之间的FA0/5和FA0/6的链路聚合。S2（config）#interface range fa0/5-6

18、S2（config-if-range）#channel-protoocl pagpS2（config-if-range）# channel-group 1 mode onS3（config）#interface range fa0/5-6S3（config-if-range）#channel-protoocl pagpS3（config-if-range）# channel-group 1 mode on2、确定根桥配置确保S2是VLAN10 的根桥，S3是VLAN 10的根桥。S2（config）#interface fa0/1S2（config-if）#switchport access

19、vlan 10S2（config）interface fa0/2S2（config-if）#switchport access vlan 20S2（config-if）#exiS2（config）#interface vlan 10S2（config-if）#ip address 192.168.10.254 255.255.255.0S2（config-if）#no shutdownS2（config-if）exiS2（config）interface vlan 20S2（config-if）ip address 192.168.20.254 255.255.255.0S2（config-i

20、f）no shutdownS2（config）spanning-tree vlan 10 priority 4096S2（config）spanning-tree vlan 20 priority 8192S3是VLAN20的根桥S3（config）#interface fa0/1S3（config-if）#switchport access vlan 10S3（config）interface fa0/2S3（config-if）#switchport access vlan 20S3（config-if）#exiS3（config）#interface vlan 10S3（config-i

21、f）#ip address 192.168.10.253 255.255.255.0S3（config-if）#no shutdownS3（config-if）exiS3（config）interface vlan 20S3（config-if）ip address 192.168.20.253 255.255.255.0S3（config-if）no shutdownS3（config）spanning-tree vlan 10 priority 8192S3（config）spanning-tree vlan 20 priority 40963、VRRP配置S2 s3之间互为备份，配置VR

22、RP，S2为master,优先级抢占值150，并监控fa0/3和fa0/4接口；S3为BLACKUP，优先级抢占值为100。S2（config）# track 10 interface FastEthernet0/3 line-protocolS2（config）# track 20 interface FastEthernet0/4 line-protocolS2（config）# interface Vlan10S2（config-if）#vrrp 10 ip 192.168.10.252S2（config-if）#vrrp 10 priority 150S2（config-if）#vrr

23、p 10 preemptS2（config-if）#vrrp 10 track 10 decrement 30S2（config-if）#vrrp 10 track 20 decrement 30S2（config）#interface Vlan20S2（config-if）#vrrp 20 priority 100 S2（config-if）#vrrp 2 ip 192.168.10.252S2（config-if）#vrrp 2 preemptS3（config）# interface Vlan10S3（config-if）#vrrp 10 ip 192.168.10.252S3（conf

24、ig-if）#vrrp 10 priority 100S3（config）#interface Vlan20S3（config-if）#vrrp 20 priority 150 S3（config-if）#vrrp 20 ip 192.168.20.252S3（config-if）#vrrp 20 preempt4、PPP协议与CHAP认证配置ISP2（config）#Username R1 password srbISP2（config）#Interface s3/2ISP2（config-if）#Encapsulation chapISP2（config-if）#ppp authentic

25、ation chapusername ISP2 password srbinterface s3/2R1（config-if）#Encapsulation chapR（config-if）#ppp authentication chap5、路由重分发6、R1、S5之运行OSPF单区域0，S5和S6与S2、S3之间运行单区域1,R1、S6之间运行RIPV2;做RIP和OSPF的路由重分发，保证总部的局域网的连通性。S1（config）#router 1S1（config-router）#Network 192.168.51.0 0.0.0.255 area 0S1（config-router）#

26、ExiS1（config-router）#Router ripS1（config-router）#Version 2S1（config-router）#Network 192.168.61.0S1（config-router）#No auto-summaryS5（config）#Router ospf 1S5（config-router）#Network 192.168.51.0 0.0.0.255 area 0S5（config-router）#Network 192.168.25.0 0.0.0.255 area 1S5（config-router）#Network 192.168.35.0 0.0.0.255 area 1ExiS6（config）#Router ripS6（config-router）#Version 2S6（config-router）#network 192.168.61.0S6（config-router）#no auto-summaryS6（config-router）#exiS6（config）#ospf 1S6（config-router）#network 192.168.26.0 0.0.0.255 area 1S6（config-router）#network 192.168.36.0 0.0.0.255 area 1S2的配置S2（con