网络组建与维护

XXXXXXXXX
毕业设计（论文）论文题目网络组建与维护
年月日
摘要
随着计算机及通信技术的飞跃发展，办公信息化、自动化、无纸化的需求，各单位为提高办公效率，促进信息交流，适应现代化办公的要求，企业内部管理的网络及信息化成为一种必然的发展趋势，局域网网络应用的成功不仅对企业的现有业务产生巨大影响。

随着办公信息化、自动化的需求，各企业为提高办公效率，促进信息交流，适应现代化办公的要求，需要组建企业办公局域网。

组建企业局域网所涉及的方方面面很多，首先需要一个正确的设计规划，然后需要处理网络设备选型与配置、企业网的技术等方面，这都需要按部就班的逐一实现。

本文就如何规划和设计企业局域网进行浅述。

本文首先从总体上对企业网的建设、目标、技术进行了分析研究，然后对具体业内部局域网的需求进行分析，确定企业网络拓扑结构、网络设备选型以及设备配置等。

从各个方面对企业局域网建设提出了规划的方案，以期对企业局域网的建设做出贡献。

关键词：局域网；企业拓扑图；企业技术
网络组建与维护
目录
第1章绪论 (1)
第2章企业网设计方案 (3)
2.1 需求分析 (3)
2.2 网络设备选型 (4)
2.3 设备端口的划分 (6)
2.4 IP地址规划与配置 (6)
第3章企业网技术应用 (8)
3.1 VLAN的规划 (8)
3.2 链路聚合 (10)
3.3 端口隔离 (11)
3.4 生成树协议 (11)
3.5 HSRP协议 (12)
3.6 静态路由 (13)
3.7 默认路由 (13)
3.8 ACL（访问控制列表）的应用 (14)
3.8.1 NAT的应用 (14)
3.9 负载均衡的应用 (15)
3.10 小结 (15)
第4章结论 (17)
参考文献 (18)
附录 (19)
第一章绪论
当今世界，各种先进的科学技术快速发展，给人们的生活带来了深远的影响，它极大地改善我们的生活方式。

计算机局域网于20世纪70年代末期出现，在八九十年代获得了飞速发展和大范围的普及，如今正步入高速的阶段。

在以计算机技术为代表的信息科技的发展更是日新月异，从各个方面影响和改变着我们的生活，已经渗透到了我们生活的各个方面，人们已经离不开计算机网络，并且随着因特网的迅速普及，给我们的学习与生活条件带来更大的方便，我们与外部世界的联系将更加的紧密和快速。

计算机网络是指通过媒体链接的多部计算机组成的系统，使其登陆其上的所有用户能够共享软硬件资源。

计算机网络如按网络的组建规模和延伸范围来划分的话，可分为局域网城域网、广域网。

我们经常用到的因特网（Internet）属于广域网，企业网属于局域网。

未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展。

从网络对网络资源的共用来改善企业内部和企业与客户之间的信息交流方式，来满足业务部门对信息存储、检索、处理和共享需求，使企业能迅速掌握瞬息万变的市场行情，使企业信息更有效地发挥效力；提高办公自动化水平，提高工作效率，降低管理成本，提高企业在市场上的竞争力；通过对每项业务的跟踪，企业管理者可以了解业务进展情况，掌握第一手资料，及时掌握市场动态，为企业提供投资导向信息，为领导决策提供数据支持；通过企业内部网建立，企业各业务部门可以有更方便的交流沟通，管理者可随时了解每一位员工的情况，并加强对企业人力资源合理调度，切实做到系统的集成化设计，使原有的设备、投资得到有效利用。

网络设计遵循技术和行业标准的指导原则，确保设计的解决方案满足网络建设的需要，并符合IT建设的标准，为将来的网络升级提供向后兼容能力。

在整体方案设计中，遵循的实用性、先进性、可靠性和安全性原则。

（1）实用性：网络建设从应用实际需求出发，坚持为领导决策服务，为经营管理服务，为生产建设服务。

另外，如果是对现有网络升级改造，还应该充分考虑如何利用现有资源，尽量发挥设备效益。

（2）先进性：规划局域网，不但要满足用户当前的需要，还应该有一定技术前瞻性和用户需求预见性，考虑到能够满足未来几年内用户对网络功能和带宽的需要。

采用成熟的先进技术，兼顾未来的发展趋势，即量力而行，又适当超前，留
有发展余地。

（3）安全可靠性：确保网络可靠运行，在网络的关键部分应具有容错能力，提供公共网络连接、通信链路、服务器等全方位的安全管理系统。

（4）安全保密性：为了保证网上信息的安全和各种应用系统的安全，在规划时就要为局域网考虑一个周全的安全保密方案。

第二章企业网设计方案
2.1企业需求分析：
（1）企业的很多业务依托于网络，要求企业内部网络能够连通公网，及时获取业务信息、加强企业与客户之间的信息交流。

同时对网络的可靠性要求也很高，要求在办公时间内，网络不能掉线。

将企业出口路由器R2_enterprise与中国电信路由器R1_internet相连。

（2）核心网络设备能适应越来越多的信息种类及大信息、快速处理数据转发及传输要求，因此要考虑冗余备份。

所以企业内网设核心交换机两台，核心交换机为三层交换机，分别为core1与core2，core2上连接两台企业的网站服务器web1与web2。

（3）企业之间各个部门需要网络连通，进行业务上的来往，则在企业接入层设交换机2台，为二层交换机access1和access2。

公司的各个部门间办公信息相互独立，且为了控制网络的广播流量、提高网络安全性。

access1和access2分别划分了两个VLAN，为VLAN10、VLAN20。

（4）通过使用VTP、STP、HSRP、ACL等相关技术使公司内部实现一个完善、高效、高可用性和高可靠性的办公网络。

根据企业需求制定出网络拓扑图，如下：
2.2 网络设备选型
根据拓扑图我们分三层次进行设计：接入层、核心层、骨干层，其中接入层为连接各部门用户的二层交换机access1、access2；核心层为两台三层交换机core1、core2；骨干层为接入Internet的路由器R2。

我们所选的选用的设备是思科公司的，思科公司主要以路由器，交换机，IOS软件为主，型号先进，采用双层分布式结构，思科系统公司的软硬件产品使人们在任何时间、任何地点，通过任何型号的计算机系统均可实现对信息的访问。

1、接入层的功能是网络中直接面向用户连接或访问的。

在接入层中通常选用的设备是二层交换机，它直接与外网联系，使用最广泛，尤其是在一般办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。

在这里我们选用的是2台二层交换机CiscoWS-C2960-24TT，分别为access1和access2。

CiscoWS-C2960-24TT系列具有集成安全特性。

CiscoWS-C2960-24TT的主要参数如下：
2、核心层的功能主要是实现骨干网络之间的优化传输，骨干层设计任务。

负责路由管理、网络管理等。

重点通常是冗余能力、可靠性和高速的传输。

而我们选用了思科网络高性能、传输速率快的万兆Cisco WS-C3560-24TS-S以太网三层交换机正好可以满足他这个要求。

我们在这个网络拓扑图中也是采用了core1和core2两台三层交换机来做冗余备份来确保网络的可靠性。

CiscoWS-C3560-24TS-S主要参数如下
3、骨干层是用来连接多个区域或地区的高速网络是用来连接多个区域或地区的高速网络。

在这里我们选用的设备是cisco1841 -SEC/K9三台分别为R1_internet、R2_enterprise、R3_enterprise（作为R2的备份路由器），他们的主要作用是有强大的管理功能、高级Qos和可扩展性，性能强大、稳定。

在我们这个网络拓扑图结构中R2_enterprise作为企业路由器与中国电信路由器R1_internet相连，R3_enterprise则作为R2的备份路由器，与中国电信路由器R1_internet 相连。

（这个在网络拓扑结构中没有显现出来）
Cisco1841 -SEC/K9主要参数如下：
2.4 IP地址规划与配置
一、IP地址分配遵循以下原则：
简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式。

连续性：为同一个网络区域分配连续的网络地址，便于采用SUMMARIZATION 及CIDR(CLASSLESS INTER-DOMA IN ROUTING)技术缩减路由表的表项，提高路由器的处理效率。

可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性。

灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化。

可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。

安全性：网络内应按工作内容划分成不同网段即子网以便进行管理。

二、子网划分
第3章企业网技术应用
3.1 VLAN的规划
为满足企业之间各个部门需要网络连通，进行业务上的来往，且为了控制网络的广播流量、提高网络安全性。

access1和access2分别划分了两个VLAN，为VLAN10、VLAN20。

虚拟局域网(VLAN)是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。

它的主要用途： VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。

增强企业的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。

在core1、core2、access1、access2上的配置命令如下：
Switch(config)#hostname core1
core1 (config-if)#vlan 10
core1(config-vlan)#vlan 20
core1(config)#vlan 10
core1(config-vlan)#vlan 20
core1(config-vlan)#exit
core1(config)#int vlan 10
core1(config-if)#ip address 192.168.10.100 255.255.255.0
core1(config-if)#int vlan 20
core1(config-if)#ip address 192.168.20.100 255.255.255.0
core1(config-if)#exit
core1(config)#int f0/24
core1(config-if)#no switchport
core1(config-if)#ip address 192.168.30.1 255.255.255.0
core1(config-if)#no sh
Switch(config)#hostname core2
core2(config-if)#vlan 10
core2(config-vlan)#vlan 20
core2(config)#vlan 10
core2(config-vlan)#vlan 20
core2(config-vlan)#vlan 100
core2(config-vlan)#exit
core2(config)#int vlan 10
core2(config-if)#ip address 192.168.10.200 255.255.255.0
core2(config-if)#int vlan 100
core2(config-if)#ip address 192.168.40.200 255.255.255.0
core2(config-if)#int vlan 20
core2(config-if)#ip addr 192.168.20.200 255.255.255.0
core2(config-if)#exit
core2(config)#int f0/24
core2(config-if)#no switchport
core2(config-if)#ip addr 192.168.30.2 255.255.255.0
core2(config-if)#no sh
access1 (config-if)#vlan 10
access1(config-vlan)#vlan 20
access2(config-if)#vlan 10
access2(config-vlan)#vlan 20
本次设计中主要采用基于端口和基于路由来划分VLAN。

基于端口这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。

该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。

网络拓扑图中将二层交换机access1与二层交换机access2的fa 0/1 – fa 0/9接口划入VLAN10；将二层交换机access1与二层交换机access2的fa 0/11 –fa 0/19接口划入VLAN20。

配置核心交换机core2,将服务器web1和服务器web2所连接的端口划入vlan100
Access1、Access2、core2配置命令如下：
access1(config)#int range f0/1-9
access1(config-if-range)#switchport access vlan 10
access1(config-if-range)#int range f0/11-19
access1(config-if-range)#switchport access vlan 20
access2(config)#int range f0/1-9
access2(config-if-range)#switchport access vlan 10
access2(config-if-range)#int range f0/11-19
access2(config-if-range)#switchport access vlan 20
core2(config)#int range f0/22-23
core2(config-if-range)#switchport access vlan 100
在核心交换机与接入交换机连接的链路上，配置trunk策略，使得来自于vlan10这个流量较大的vlan中的数据在trunk链路上不打标记即可传输。

在core1、core2、access1、access2上的配置命令如下：
1、
core1(config)#int f0/10
core1(config-if)#switchport trunk native vlan 10
core1(config-if)#int f0/20
core1(config-if)#switchport trunk native vlan 10
2、
core2(config)#int f0/10
core2(config-if)#switchport trunk native vlan 10
core2(config-if)#int f0/20
core2(config-if)#switchport trunk native vlan 10
3、
access1(config)#int f0/10
access1(config-if)#switchport trunk native vlan 10
access1(config-if)#int f0/20
access1(config-if)#switchport trunk native vlan 10
4、
access2(config)#int f0/10
access2(config-if)#switchport trunk native vlan 10
access2(config-if)#int f0/20
access2(config-if)#switchport trunk native vlan 10
3.2 链路聚合
为使企业的处理数据能力增强，合理利用链路带宽增加工作效率，我们在Core1、Core2access1、access2设置了Trunk链路设置。

Trunk是端口汇聚的意思（也称为端口捆绑、端口聚集或链路聚集），就是通过配置软件的设置，将2个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机的网络节点之间的带宽，将属于这几个端口的带宽合并，给端口提供一个几倍于独立端口的独享的高带宽。

Trunk是在交换机和网络设备之间比较经济的增加带宽的方法，如服务器、路由器、工作站或其他交换机。

链路聚合的方式主要有以下两种: 静态Trunk、动态Lacp。

在这个网络拓扑图中，我们采用的是静态Trunk，形成一条逻辑链路。

core1和core2间配置双链路聚合实现冗余作用，以提高网络的可靠性。

在access1、access2上也配置中继链路。

core1的配置命令如下：
core1(config)#int range f0/1-2
core1(config-if-range)#switchport trunk encapsulation dot1q
core1(config-if-range)#switchport mode trunk
core1(config-if-range)#channel-group 1 mode on
core1(config)#int f0/10
core1(config-if)#switchport trunk encapsulation dot1q
core1(config-if)#switchport mode trunk
core1(config-if)#int f0/20
core1(config-if)#switchport trunk encapsulation dot1q
core1(config-if)#switchport mode trunk
core2的命令与core1相同。

access1的配置命令如下：
access1(config)#int f0/10
access1(config-if)#switchport mode trunk
access1(config-if)#int f0/20
access1(config-if)#switchport mode trunk
access1的命令与access2相同。

3.3 端口隔离
考虑到企业的安全性是尤为重要的，为了实现报文之间的二层隔离，可以将不同的端口加入不同的VLAN，但会浪费有限的VLAN资源。

采用端口隔离特性，可以实现同一VLAN内端口之间的隔离。

用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。

端口隔离功能为用户提供了更安全、更灵活的组网方案。

配置接入交换机access1和access2上的端口隔离功能，实现vlan20中各物理端口间的端口隔离。

access1、access2配置命令如下：
access1(config)#int range f0/11-19
access1(config-if-range)#switchport protect
access2(config)#int range f0/11-19
access2(config-if-range)#switchport protect
3.4 生成树协议
为给企业提供网络稳定可靠的冗余功能，且不会造成交换环路。

因此在Core1、Core2上配置生成树协议。

生成树协议的主要功能有两个：一是在利用生成树算法、在以太网络中，创建一个以某台交换机的某个端口为根的生成树，避免环路，造成网络风暴。

二是在以太网络拓扑发生变化时，通过生成树协议达到收敛保护的目的。

配置生成树，使得核心交换机core1为vlan10的根桥，使得核心交换机
core2为vlan20的根桥。

core1(config)#spanning-tree vlan 10 root primary
core2(config)#spanning-tree vlan 20 root primary
3.5 HSRP协议
HSRP 是 Hot Standby Routing Protocol（热备份路由协议）的缩写。

它的作用是能够把一台或多台路由器用来做备份，所谓热备份是指当使用的路由器不能正常工作时，候补的路由器能够实现平滑的替换，尽量不被察觉。

通常，我们的网络上主机设置一条缺省路由，指向主机所在网段内的一个路由器 R，这样，主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器 R，从而实现了主机与外部网络的通信。

在这种情况下，当路由器 R 坏掉时，本网段内所有以路由器 R 为缺省路由下一跳的主机将断掉与外部的通信。

HSRP 实现容错备份功能，可以有效解决上述可靠性问题。

配置HSRP的端口追踪功能，使得在core1的fa 0/24口出现故障时，core2能够成为vlan10的网关，在core2的fa 0/24口出现故障时，core1能够成为vlan20的网关。

core1(config)#int vlan 10
core1(config-if)#standby 10 ip 192.168.10.254
core1(config-if)#standby 10 priority 250
core1(config-if)#standby 10 preempt
core1(config-if)#standby 10 track f0/24 100
core1(config)#int vlan 20
core1(config-if)#standby 20 ip 192.168.20.254
core1(config-if)#standby 20 priority 180
core1(config-if)#standby 20 preempt
core2(config)#int vlan 10
core2(config-if)#standby 10 ip 192.168.10.254
core2(config-if)#standby 10 priority 180
core2(config-if)#standby 10 preempt
core2(config)#int vlan 20
core2(config-if)#standby 20 ip 192.168.20.254
core2(config-if)#standby 20 priority 250
core2(config-if)#standby 20 preempt
core2(config-if)#standby 20 track f0/24 100
3.6 静态路由
出于网络安全保密性的原因，我们在企业出口路由器R2_enterprise和核心交换机core1、core2上配置静态路由。

静态路由是指由用户或网络管理员手工配置的路由信息。

当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。

静态路由信息在缺省情况下是私有的，不会传递给其他的路由器。

当然，网管员也可以通过对路由器进行设置使之成为共享的。

静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。

优点：使用静态路由的另一个好处是网络安全保密性高。

动态路由因为需要路由器之间频繁地交换各自的路由表，而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。

因此，网络出于安全方面的考虑也可以采用静态路由。

不占用网络带宽，因为静态路由不会产生更新流量。

R2_enterprise、core1、core2的配置命令如下：
R2_enterprise(config)#ip route 192.168.10.0 255.255.255.0
192.168.30.1
R2_enterprise(config)#ip route 192.168.20.0 255.255.255.0
192.168.30.1
R2_enterprise(config)#ip route 192.168.40.0 255.255.255.0
192.168.30.1
R2_enterprise(config)#ip route 192.168.10.0 255.255.255.0
192.168.30.2
R2_enterprise(config)#ip route 192.168.20.0 255.255.255.0
192.168.30.2
R2_enterprise(config)#ip route 192.168.40.0 255.255.255.0
192.168.30.2
3.7 默认路由
为使企业网络全网的连通性，我们在出口路由器R2_enterprise和核心交换机core1、core2上配置默认路由
默认路由是一种特殊的静态路由,指的是当路由表中与包的目的地址之间没有匹配的表项时路由器能够做出的选择如果没有默认路由，那么目的地址在路由表中没有匹配表项的包将被丢弃，默认路由在某些时候非常有效，当存在末梢网络时，默认路由会大大简化路由器的配置，减轻管理员的工作负担，提高网络性能。

R2_enterprise、core1、core2配置参数如下：
core1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.186
core2(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.149
R2_enterprise(config)#ip route 0.0.0.0 0.0.0.0 200.200.200.202
3.8 ACL（访问控制列表）的应用
作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。

访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。

这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。

至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。

访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。

此外，在路由器的许多其他配置任务中都需要使用访问控制列表，如网络地址转换(Network Address Translation，NAT)
在进行网络地址转换前需要给R2_enterprise先配置ACL。

R2的配置参数如下：
R2_enterprise(config)#access-list 10 permit 192.168.10.0
0.0.0.255
R2_enterprise(config)#access-list 10 permit 192.168.20.0
0.0.0.255
R2_enterprise(config)#access-list 10 permit 192.168.40.0
0.0.0.255
3.8.1 NAT的应用
由于企业出口路由器只申请了一个公有IP地址，为实现公司内部员工访问互联网，因此我们决定采用NAT技术，NAT技术的实现方式是动态转换，将私有的企业局域网透明地连接到公有网络。

NAT（Network Address Translation）属接入广域网(WAN)技术,是一种将私有(保留)地址转化为公有(合法)IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。

原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

配置企业出口路由器R2_enterprise上的NAT功能，实现企业的上网功能。

R2的配置参数如下：
R2_enterprise(config)#ip nat inside source list 10 interface serial 0/0/0 overload
R2_enterprise(config)#int f0/0
R2_enterprise(config-if)#ip nat inside
R2_enterprise(config)#int f0/1
R2_enterprise(config-if)#ip nat inside
R2_enterprise(config)#int s0/0/0
R2_enterprise(config-if)#ip nat outside
3.9 负载均衡的应用
为实现企业网站服务器的冗余和负载均衡，企业网站放在服务器web1和服务器web2上，两台服务器配置相同内容相同，配置企业出口路由器
R2_enterprise的NAT策略，使得外网能够访问企业网站，并能够实现访问流量在两台服务器上的负载均衡。

负载均衡建立在现有网络结构之上，它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。

在R2上的参数如下：
R2_enterprise(config)#ip nat pool WEB 192.168.40.1 192.168.40.2 netmask 255.255.255.0 type rotary
R2_enterprise(config)#access-list 20 permit TCP any 200.200.200.201 0.0.0.3 eq 80
R2_enterprise(config)#ip nat inside destination list 20 pool WEB
3.10 小结
网络设备的连接和相关接口及其IP地址配置正确使企业网络能够连接公网从而进行上网。

在核心交换机core1与core2之间配置二层的端口聚合功能，实现核心交换机间的双链路聚合，能够节省企业的网络资源从而提高带宽利用率。

二层交换机access1与二层交换机access2的fa 0/1 – fa 0/9接口划入VLAN10；将二层交换机access1与二层交换机access2的fa 0/11 –fa 0/19
接口划入VLAN20，配置核心交换机core2,将服务器web1和服务器web2所连接的端口划入vlan100。

配置接入交换机access1和access2上的端口隔离功能，实现vlan20中各物理端口间的端口隔离。

按企业的职能来划分部门，能增强企业的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。

在核心交换机与接入交换机连接的链路上，配置合适的trunk 策略，使得来自于vlan10这个流量较大的vlan中的数据在trunk链路上不打标记即可传输，以满足网络设备能够适应越来越多的信息种类及大信息、快速处理数据转发及传输要求。

冗余功能是提高网络拓扑可靠性的关键因素，但是在网络中配置多条路径有可能导致环路。

环路网络中不可避免的会产生广播风暴，可使
用生成树协议来防止环路。

配置生成树，使得核心交换机core1为vlan10的根桥，使得核心交换机core2为vlan20的根桥。

配置VRRP，实现vlan10与vlan20的网关冗余，虚拟网关地址分别为192.168.10.254/24和192.168.20.254/24，配置实现网络正常时vlan10的网关实际为核心交换机core1，vlan20的网关实际为核心交换机core2；配置HSRP的端口追踪功能，使得在core1的fa 0/24口出现故障时，core2能够成为vlan10的网关，在core2的fa 0/24口出现故障时，core1能够成为vlan20的网关。

防止路由器坏掉时内部主机将无法与外部通信，配置VRRP协议，虚拟路由将启用备份路由器，从而实现全网通信。

配置HSRP的端口追踪功能，使得在一台三层核心交换机端口出现故障时，另一台三层核心交换机能够作为网关实现通信。

在核心交换机core1和core2上启用三层路由功能，使得vlan间能够互通。

在出口路由器R2_enterprise和核心交换机core1、core2上配置合适的静态路由及默认路由，并配置企业出口路由器
R2_enterprise上的NAT功能，实现企业的上网功能。

默认路由可以使企业中的任意网络无法到达公网时所选取的一种到达方式。

配置NET,有效地避免来自网络外部的攻击，从而保证企业的安全性。

为实现企业网站服务器的冗余和负载均衡，企业网站放在服务器web1和服务器web2上，两台服务器配置相同内容相同，配置企业出口路由器R2_enterprise的NAT策略，使得外网能够访问企业网站，并能够实现访问流量在两台服务器上的负载均衡。

配置负载均衡能扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。

第4章结论
当前计算机的趋势已经向网络化、系统化、协同化发展，可以说没有连入网络的计算机则不能称为真正的计算机。

对普通用户来说，网络时刻影响着我们的学习、工作和生活，自己动手解决网络组建方案已经成为普通用户迫切的需求。

此方案遵循企业网设计原则考虑周全，出于安全可靠性方面的考虑，我们采用了VLAN划分的方式使企业网在遭受病毒攻击时影响范围大大缩小；此外端口隔离现同一VLAN内端口之间的隔离，使其病毒攻击影响更为减小，保证了各部门的隔离，增强其安全性。

我们还配置了HSRP技术，增强骨干网的稳定性，在三层交换机的一个端口出现问题时，另一台三层交换机的端口可以作为此VLAN 的网关运行，使网络运行更为可靠。

同时使用生成树协议，避免环路，造成网络风暴。

在以太网络拓扑发生变化时，通过生成树协议达到收敛保护的目的。

在保密性方面，我们采用ACL管理，作为外网进入企业内网的第一道关卡，是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。

此外还有NAT动态转换，将私有的企业局域网透明地连接到公有网络。

还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

除以上技术外，还有静态路由配置，静态路由信息在缺省情况下是私有的，不会传递给其他的路由器，在一定程度上增强了保密性。

在实用先进性方面，默认路由大大简化路由器的配置，减轻管理员的工作负担，提高网络性能。

Trunk链路聚合使企业的处理数据能力增强，合理利用链路带宽增加工作效率。

负载均衡建立在现有网络结构之上，它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。

本次网络设计主要配置为：IP地址划分；VLAN划分；端口配置Trunk、端口隔离；链路聚合；生成树协议；HSRP协议；三层路由功能配置；静态路由及默认路由配置；ACL访问控制列表；NAT技术；负载均衡应用。

这些配置协议满足了企业业务部门对信息存储、检索、处理和共享需求，提高了办公自动化水平，提高了工作效率，降低了管理成本，做到了系统的集成化设计，使原有的设备、投资得到有效利用。

本毕业设计从中小型局域网的建设思想、目标、可以选用的网络技术以及对络设备的介绍和选择等多方面的论述，使我们对中小型局域网建设工程有了一个深入的了解，中小型局域网建设作为一项重要的系统工程，它的所用到的各种技术是多方面的，即有网络技术、工程施工技术，也有管理制度等各个方面的知识。

网络技术的发展是永无止境的，在前进的过程中必将有更多的知识需要我们去学习与研究，并能将其应用到实际的网络工程建设之中。