大家好，我是小華學(xué)長，一名計算機(jī)領(lǐng)域的博主。經(jīng)過多年的學(xué)習(xí)和實踐，我積累了豐富的計算機(jī)知識和經(jīng)驗，在這里我想與大家分享我的學(xué)習(xí)心得和技巧，幫助你成為更好的程序員。
作為一名計算機(jī)博主，我一直專注于編程、算法、軟件開發(fā)等領(lǐng)域，在這些方面積累了大量的經(jīng)驗。我相信分享是一種雙贏的方式，通過分享，我可以幫助他人提升技術(shù)水平，同時也能夠得到學(xué)習(xí)交流的機(jī)會。
在我的文章中，你將會看到我對于各種編程語言、開發(fā)工具以及常見問題的解析和分析。我會結(jié)合自己的實際項目經(jīng)驗，為你提供實用的解決方案和優(yōu)化技巧。我相信這些經(jīng)驗不僅能夠幫助你解決當(dāng)前遇到的問題，還能夠提升你的編程思維和解決問題的能力。
除了技術(shù)方面的分享，我還會涉及到一些關(guān)于職業(yè)發(fā)展和學(xué)習(xí)方法的話題。作為一名曾經(jīng)的學(xué)生，我深知在計算機(jī)領(lǐng)域如何更好地提升自己和面對挑戰(zhàn)。我會分享一些學(xué)習(xí)方法、面試技巧和職場經(jīng)驗，希望能夠?qū)δ愕穆殬I(yè)發(fā)展產(chǎn)生積極的影響。
我的文章會發(fā)布在CSDN社區(qū)，這是一個非?；钴S和專業(yè)的計算機(jī)技術(shù)社區(qū)。在這里，你可以與其他熱愛技術(shù)的人們交流、學(xué)習(xí)和分享。通過關(guān)注我的博客，你可以第一時間獲取到我的最新文章，并與我和其他讀者互動交流。
如果你對計算機(jī)領(lǐng)域有興趣，希望能夠更好地提升自己的編程能力和技術(shù)水平，那么請關(guān)注我的CSDN博客。我相信我的分享會帶給你幫助和啟發(fā)，讓你在計算機(jī)領(lǐng)域取得更大的成就！
讓我們一起成為更好的程序員，共同探索計算機(jī)領(lǐng)域的精彩世界吧！感謝你的關(guān)注與支持！
分享的所有計算機(jī)項目源碼均包含文檔，可做畢業(yè)設(shè)計或課程設(shè)計，歡迎留言分享問題，交流經(jīng)驗！

摘要

落實好超市網(wǎng)絡(luò)計劃工作，是超市與超市之間便捷溝通的樞紐。在當(dāng)今社會超市網(wǎng)絡(luò)的規(guī)模和應(yīng)用水平已經(jīng)是超市網(wǎng)絡(luò)環(huán)境的首要組成部分，對于超市網(wǎng)絡(luò)來講，內(nèi)網(wǎng)和服務(wù)器的安全性是其重中之重。因此，我們應(yīng)該利用超市現(xiàn)有的條件在此基礎(chǔ)上設(shè)計一個安全、統(tǒng)一的超市網(wǎng)絡(luò)。

按照需求剖析，提供基本的核心技術(shù)（端口聚合，生成樹優(yōu)先級，VLAN應(yīng)用）以更好的拓?fù)湟?guī)劃和更精確的分析現(xiàn)代化迎合本行業(yè)發(fā)展。根據(jù)超市配送，IP地址規(guī)劃是VLAN的一個適當(dāng)?shù)牟糠?，選擇用戶訪問（使用MAC地址綁定IP地址）使管理更容易。根據(jù)計劃選擇設(shè)備的品牌名稱和型號。ACL協(xié)議用于優(yōu)化網(wǎng)絡(luò)，ACL通過路由器的指令列表和交換機(jī)接口來控制進(jìn)出端口的數(shù)據(jù)包。出口部署路由器與運營商的網(wǎng)絡(luò)設(shè)備相連，通過出口路由器的網(wǎng)絡(luò)地址轉(zhuǎn)換配置完成超市內(nèi)部用戶的接入。

關(guān)鍵詞：網(wǎng)絡(luò)規(guī)劃；vlan；網(wǎng)絡(luò)地址轉(zhuǎn)換

目錄

摘要. 1

1緒論. 3

1．１? 超市內(nèi)部網(wǎng)絡(luò)產(chǎn)生的時代背景. 3

1．2? 超市內(nèi)部網(wǎng)絡(luò)現(xiàn)狀及分析. 3

2系統(tǒng)概述. 3

2．1? 超市內(nèi)部的系統(tǒng)構(gòu)成. 3

2．1．1? 信息平臺. 3

2．1．2? 系統(tǒng)管理與維護(hù). 4

2．2? 當(dāng)前流行的超市內(nèi)部網(wǎng)絡(luò)組建技術(shù). 4

2．2．1? 層次化模型設(shè)計技術(shù). 4

2．2．2? 虛擬局域網(wǎng). 5

2．2．3? 網(wǎng)絡(luò)安全技術(shù). 5

3需求分析及系統(tǒng)設(shè)計原則. 5

3．1? 用戶需求. 5

3．1．1? 網(wǎng)絡(luò)需求. 6

3．1．2? 管理需求. 6

3．2? 系統(tǒng)設(shè)計原則. 6

3．2．1設(shè)備選型原則. 6

3．2．2? 設(shè)計目標(biāo)原則. 8

4系統(tǒng)組建方案. 9

4．1? 方案綜述. 9

4．2? 拓?fù)鋱D規(guī)劃. 10

4．3? 主要技術(shù)路線. 10

4．4? 服務(wù)器設(shè)計. 13

4．5? 網(wǎng)絡(luò)配置與管理. 14

4．5．1? VLAN劃分. 14

4．5．2? IP地址分配與DHCP設(shè)置. 15

4．5．3? NAT在超市網(wǎng)絡(luò)中的設(shè)置和應(yīng)用. 18

4．5．4? 訪問控制列表在超市網(wǎng)絡(luò)中的設(shè)置和管理. 19

5 網(wǎng)絡(luò)安全配置. 20

5．1? 防病毒軟件. 20

5．2? 安全策略. 20

5．3 禁用和配置網(wǎng)絡(luò)服務(wù). 21

6總結(jié)與展望. 22

參考文獻(xiàn). 22

1緒論

1．１? 超市內(nèi)部網(wǎng)絡(luò)產(chǎn)生的時代背景

超市是隨著商品經(jīng)濟(jì)的興起而發(fā)展的購物方式，不同于顧客和商品的種類和商品信息的種類，以及一種單一形式的舊的食品雜貨店，它可以有效地避免顧客和店主面對面的接并且為顧客提供了一個自由、輕松、舒適的購物環(huán)境。因此，它受到越來越多的消費者的青睞，在人們的日常生活中扮演著越來越重要的角色。

雖然超市這類傳統(tǒng)商業(yè)模式近年來受到電商這一新興事物的沖擊，但是超市這種購物方式與我國國情相符。我國大雜居，小聚居的居住模式使得中小超市這一需要貼近人群的經(jīng)濟(jì)狀態(tài)必須分散在城市和農(nóng)村的各個角落，與人們的生活直接相連，在當(dāng)今社會生活中有著不可替代的重要作用。21世紀(jì)以來，經(jīng)濟(jì)全球化步伐加快，中國改革開放格局不斷深化，零售行業(yè)競爭日趨激烈。 這就要求中小型超市加強(qiáng)其核心競爭力，以求得在激烈的市場競爭中生存。中小型超市想要在激烈的競爭環(huán)境中生存下來、迎難而上,除了擁有優(yōu)質(zhì)的商品和舒適的購物環(huán)境，最重要的是與時俱進(jìn)，及時滿足客戶的需求，構(gòu)建一個高效快捷的網(wǎng)絡(luò)管理系統(tǒng)。

1．2? 超市內(nèi)部網(wǎng)絡(luò)現(xiàn)狀及分析

隨著互聯(lián)網(wǎng)的不斷發(fā)展，人們之間的距離也不再那么遙遠(yuǎn)，信息交流越來越直接和方便。現(xiàn)代信息技術(shù)也改變了人們工作、學(xué)習(xí)、思考和管理的方式。這不僅大大擴(kuò)展了計算機(jī)的應(yīng)用范圍，而且也導(dǎo)致了閱讀、寫作和計算的歷史變化，使計算機(jī)變得更加簡單易學(xué)。當(dāng)一個新時代的社會細(xì)胞成熟了，這一時代也就隨之降臨了。計算機(jī)的簡單易學(xué)也促使各類信息的傳播。嶄新且充滿活力的接收信息的新途徑所帶來的不僅是對我們的傳統(tǒng)接受知識方式，對教育體系將造成很大影響，而且對人類自身也是很大的沖擊。

本文針對超市的網(wǎng)絡(luò)信息需求和網(wǎng)絡(luò)功能，詳細(xì)分析了網(wǎng)絡(luò)方案的體系結(jié)構(gòu)?？紤]到超市的經(jīng)濟(jì)成本、收入與人流量的直接關(guān)系、網(wǎng)絡(luò)通信平臺的需求和具體應(yīng)用等實現(xiàn)的具體情況，建議建立一個良好、快速、基于多層交換網(wǎng)絡(luò)管理應(yīng)用系統(tǒng)。為了未來無紙化辦公的發(fā)展趨勢，我們可以實現(xiàn)超市資源共享，建立完整的數(shù)據(jù)交換系統(tǒng)，快速傳輸信息，提前適應(yīng)數(shù)字化的工作環(huán)境?；贚inux的創(chuàng)新，網(wǎng)絡(luò)營銷計劃致力于維護(hù)金融，商業(yè)和在線分支機(jī)構(gòu)等新技術(shù)。我們必須充分利用現(xiàn)代相關(guān)技術(shù)，最大限度地發(fā)揮超市的競爭力，滿足冗余鏈接，安全狀況和負(fù)載均衡等網(wǎng)絡(luò)應(yīng)用的需求。為超市提供良好的硬件環(huán)境。

2系統(tǒng)概述

超市內(nèi)部的系統(tǒng)構(gòu)成的組成的平臺介紹以及當(dāng)前流行的超市內(nèi)部網(wǎng)絡(luò)組建技術(shù)，層次化模型設(shè)計技術(shù)虛擬局域網(wǎng)，以及網(wǎng)絡(luò)安全技術(shù)的介紹。

2．1? 超市內(nèi)部的系統(tǒng)構(gòu)成

2．1．1? 信息平臺

當(dāng)前建議帶寬需求較高用戶或系統(tǒng)開放問題，并且還需要建立一個信息管理和應(yīng)用的網(wǎng)絡(luò)安全系統(tǒng)。整個項目的目標(biāo)是建立一個高度可靠的，高性能的多媒體公司網(wǎng)絡(luò)，這個網(wǎng)絡(luò)集成了數(shù)據(jù)傳輸和備份，多媒體應(yīng)用，語音傳輸，OA應(yīng)用和互聯(lián)網(wǎng)訪問。盡管提高了服務(wù)器的服務(wù)能力，阻止了服務(wù)器服務(wù)器的故障，減少了系統(tǒng)的開放系統(tǒng)，還需要建立信息管理和應(yīng)用的網(wǎng)絡(luò)安全系統(tǒng)。

2．1．2? 系統(tǒng)管理與維護(hù)

網(wǎng)絡(luò)資源優(yōu)化，網(wǎng)絡(luò)監(jiān)控，靈活高效的網(wǎng)絡(luò)管理工具，網(wǎng)絡(luò)運行管理，檢查系統(tǒng)硬件和軟件環(huán)境，保持對網(wǎng)絡(luò)系統(tǒng)的全面監(jiān)控。它具有靈活性，支持各種通信媒體，多種物理接口，技術(shù)更新和設(shè)備升級，使系統(tǒng)能夠改進(jìn)和更新。方案設(shè)計的目的是建設(shè)一個高可靠、高性能的超市內(nèi)部網(wǎng)。除了要提高服務(wù)器的服務(wù)處理功能外，還避免了服務(wù)器的單點故障，確保其應(yīng)用的正常使用。

2．2? 當(dāng)前流行的超市內(nèi)部網(wǎng)絡(luò)組建技術(shù)

2．2．1? 層次化模型設(shè)計技術(shù)

網(wǎng)絡(luò)設(shè)計框架：

1.核心層：一般不做什么策略，只為用戶的數(shù)據(jù)高速到達(dá)internet

2.匯聚層：實現(xiàn)不同VLAN之間訪問，VLAN之間的策略

3.接入層：接入終端設(shè)備，比如PC，打印機(jī)，比如無線用戶接入

核心層形成骨干網(wǎng)絡(luò)(又稱骨干網(wǎng)絡(luò))，提供高性能，無阻塞高速通道，可與國家高速公路相媲美。

匯聚層形成了主干接入網(wǎng)絡(luò)，并提供了通往高速主干的通道，它可與省、市高速公路相媲美。

接入層提供對用戶接入的接口，可比喻為一般公路。

如此，整個網(wǎng)絡(luò)就具有彈性、高效性和可靠性。

2．2．2? 虛擬局域網(wǎng)

在純粹的交換型互聯(lián)網(wǎng)絡(luò)中，劃分廣播域的方法是創(chuàng)建虛擬局域網(wǎng)（VLAN）。VLAN是連接到管理器定義的交換機(jī)端口的網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)資源的邏輯分組。在創(chuàng)建VLAN時，可以將端口交換機(jī)分配為不同的子網(wǎng)服務(wù)。通過使用VLAN創(chuàng)建廣播域，可以完全控制使所有端口和用戶。還可創(chuàng)建一個基于網(wǎng)絡(luò)資源用戶的VLAN，并配置和訪問交換機(jī)以在未授權(quán)訪問網(wǎng)絡(luò)資源時告知網(wǎng)絡(luò)管理站。為了確保在VLAN間通信的安全可以使用路由器上的限制來解決該問題。

（1）靈活性強(qiáng)---不受任何地理位置限制

（2）安全性---默認(rèn)VLAN之間是不能夠通信的

（3）分段性：一個VLAN=1個廣播域=1個子網(wǎng)/1個主類

由于VLAN的特點，廣播和單播流量所屬的VLAN不會該流量轉(zhuǎn)發(fā)到其他VLAN中，其作用是控制流量，提高網(wǎng)絡(luò)的安全性，減少設(shè)備投資，簡化網(wǎng)絡(luò)管理。

2．2．3? 網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)完成后，確保整個網(wǎng)絡(luò)正常運行。尤其重要的是防止計算機(jī)病毒入侵網(wǎng)絡(luò)和防止“黑客”入侵，這就要求網(wǎng)絡(luò)做好關(guān)于安全方面的防范工作，數(shù)據(jù)完整、身份認(rèn)證、訪問授權(quán)、防病毒入侵、數(shù)據(jù)保密、審計記錄等都是具體內(nèi)容?？梢允褂肐PSec標(biāo)準(zhǔn)虛擬專用VPN連接來配置防火墻，以改善安全的Intranet，遠(yuǎn)程網(wǎng)絡(luò)和Internet安全訪問。

交換網(wǎng)絡(luò)的攻擊分類

（1）MAC 層攻擊:利用MAC地址表的溢出，來進(jìn)行監(jiān)聽

（2）VLAN 攻擊（VLAN 跳躍攻擊）

（3）欺騙攻擊（ARP 欺騙、DHCP 欺騙）

（4）攻擊交換機(jī)設(shè)備

由于在網(wǎng)絡(luò)中有大量的客戶和各種各樣的應(yīng)用服務(wù)器，因為個人不規(guī)范使用或其他原因，在任何時候都會可能出現(xiàn)客戶端或服務(wù)器計算機(jī)病毒感染，所有的病毒保護(hù)系統(tǒng)都是必不可少的。

3需求分析及系統(tǒng)設(shè)計原則

3．1? 用戶需求?????? ??????

3．1．1? 網(wǎng)絡(luò)需求

(1)確定網(wǎng)絡(luò)的可靠性和可用性。

(2)確定網(wǎng)絡(luò)的安全性。

(3)通信量的需求

3．1．2? 管理需求

該方案的基本要求是易于使用和管理。采用典型的三層網(wǎng)絡(luò)架構(gòu)具體實施上不僅考慮到構(gòu)建超市網(wǎng)絡(luò)實際操作的難度，而且保證網(wǎng)絡(luò)穩(wěn)定性的要求。考慮到未來網(wǎng)絡(luò)的發(fā)展與企業(yè)的壯大，需要不斷更新網(wǎng)絡(luò)信息。

3．2? 系統(tǒng)設(shè)計原則

3．2．1設(shè)備選型原則

根據(jù)方案，要求核心交換機(jī)集一個服務(wù)器軟件安裝，網(wǎng)絡(luò)管理軟件，上網(wǎng)行為管理等功能為一身。以此為網(wǎng)絡(luò)設(shè)備的中心，使用二層交換機(jī)等設(shè)備擴(kuò)展、延伸該網(wǎng)絡(luò)。

(1)品牌選擇

從經(jīng)濟(jì)成本和設(shè)備品牌知名度以及應(yīng)用的便利程度等方面綜合考慮，使用華三設(shè)備。

(2)主要設(shè)備技術(shù)性能要求

下面是華三3種設(shè)備的具體信息和特點。

表3-2備選設(shè)備的具體信息

綜合考慮上述設(shè)備的條件，本計劃采用S5130-28S-SI。

3．2．2? 設(shè)計目標(biāo)原則

項目目標(biāo)

(1)全網(wǎng)連通：分開內(nèi)外網(wǎng)，各地分超市相互連通。

(2)網(wǎng)絡(luò)安全：防止外來黑客入侵，保護(hù)數(shù)據(jù)安全。

(3)便于管理：使用基礎(chǔ)配置，保證穩(wěn)定性。

項目設(shè)計思路

使用典型三層網(wǎng)絡(luò)架構(gòu)--------核心層、匯聚層和接入層為一體的網(wǎng)絡(luò)架構(gòu)模式。

(1)核心層

負(fù)責(zé)數(shù)據(jù)高速轉(zhuǎn)發(fā)到Internet,不做任何策略

在主交換機(jī)的需求可以旁掛獨立的安全設(shè)備，為所有的辦公網(wǎng)絡(luò)提供安全功能，確保其安全性。

1. 匯聚層

匯聚接入層交換機(jī)，保證VLAN之間的路由和過濾，流量的限速。負(fù)責(zé)各區(qū)域的終端接入，因為每個區(qū)域都劃分成一個VLAN，不需要區(qū)域三路選路，所以接入層交換機(jī)為二層交換機(jī)。

1. 接入層

接入終端設(shè)備用戶。在本方案中，多以各部門PC設(shè)備為主。

4系統(tǒng)組建方案

主要介紹在本次設(shè)計中方案綜述，拓?fù)鋱D的規(guī)劃，設(shè)計中用到的主要技術(shù)路線，網(wǎng)絡(luò)硬件設(shè)備的選取服務(wù)器的設(shè)計，VLAN劃分以及ACL的應(yīng)用以及無線網(wǎng)絡(luò)在超市中的應(yīng)用。

4．1? 方案綜述

本方案的基礎(chǔ)步驟是：

1.二層交換機(jī)和三層交換機(jī)之間封裝，trunk配置。

2.劃分VLAN。

3.DHCP配置，地址分配。

4.網(wǎng)絡(luò)核心層與路由器之間采用OSPF協(xié)議。

5.邊界路由器R2運用復(fù)用NAT,區(qū)分內(nèi)外網(wǎng)。

6.子網(wǎng)絡(luò)中的路由器R3加入之前的OSPD協(xié)議中。

7.HSRP的配置（主備交換機(jī)配置）。

8.服務(wù)器配置測試

4．2? 拓?fù)鋱D規(guī)劃

拓?fù)鋱D如圖1所示：

?

圖4-1拓?fù)鋱D規(guī)劃

網(wǎng)絡(luò)主干主要采用百兆以太網(wǎng)技術(shù)是根據(jù)超市項目和業(yè)務(wù)系統(tǒng)的需求給出的切實可靠的超市網(wǎng)絡(luò)的實施辦法，具體表現(xiàn)百兆以太網(wǎng)技術(shù)，100Mbps數(shù)據(jù)傳輸速率和快速以太網(wǎng)下后兼容技術(shù)，以及快速和高性價比的特征使得百兆以太網(wǎng)交換機(jī)逐漸成為校園和企業(yè)等網(wǎng)絡(luò)的主要選擇應(yīng)用技術(shù)。

4．3? 主要技術(shù)路線

HSRP?(hot standby ?router protocol )熱備份路由器協(xié)議

（1）維護(hù)虛擬路由器的路由器如果維護(hù)路由器失敗，那么虛擬路由器是無效的。

（2）PC只需要指定網(wǎng)關(guān)到虛擬路由器，維護(hù)的路由器會選舉以下角色，僅僅只有active路由器才能夠進(jìn)行轉(zhuǎn)發(fā)

A.active路由器

B.standby路由器

C.listen 路由器

在核心層采用HSRP協(xié)議，在本方案中使用互為主備的方式。將多個VLAN均等劃分給兩臺交換機(jī)，分別設(shè)定為不同交換機(jī)的主備。當(dāng)某VLAN在一臺主核心交換機(jī)在工作時，則該VLAN在另一臺處于備用狀態(tài)。這時，匯聚層交換機(jī)與兩臺核心連接，但只與具體運行VLAN的主核心交換機(jī)進(jìn)行通信。主核心交換機(jī)間和備用交換機(jī)通信以進(jìn)行冗余備份。當(dāng)主核心出現(xiàn)問題，備份交換機(jī)可立刻接過工作，使網(wǎng)絡(luò)暢通。因此如要生成樹優(yōu)先設(shè)計，如下圖圖2主交換機(jī)。

圖4-2 HSRP交換機(jī)

?

?

圖4-3 HSRP交換機(jī)

現(xiàn)代交換機(jī)的通用技術(shù)是端口聚合，它的最終效果是在配置的端口，使該端口獲得更高的帶寬、更大的吞吐量和可恢復(fù)性的技術(shù)。它的工作具體是將一組物理端口進(jìn)行合并，形成一個邏輯通道。這樣，交換機(jī)會認(rèn)為這個邏輯通道為一個端口，以提供更高的帶寬、更大的吞吐量和可恢復(fù)性的技術(shù)。

Trunk的條件：

1）兩邊封裝的協(xié)議一定要相同（ISL/802.1Q）

2）兩邊的模式一定要匹配

3）vtp domain 一定要相同（要么都為空，要么都一樣）

技術(shù)如圖圖3，圖4端口聚合設(shè)計。

圖4-4 端口聚合設(shè)計

?

?

圖4-5 端口聚合設(shè)計

?每個路由器都會產(chǎn)生自己的LSA（鏈路狀態(tài)通告），然后通告出去，收到LSA的路由器會轉(zhuǎn)發(fā)給其他的路由器，這個過程就是OSPF的工作過程。

OSPF區(qū)域是基于路由器的接口劃分的，而不是基于整臺路由器劃分的，一臺路由器可以屬于單個區(qū)域，也可以屬于多個區(qū)域。

OSPF劃分區(qū)域優(yōu)點：在邊界路由器做匯總

（1）減少LSA的泛洪的范圍，只會在本區(qū)域內(nèi)進(jìn)行泛洪

（2）能夠減少路由表條目

在該實驗中R1 和 DHCP-server1 ，DHCP-server2 之間運行OSPF協(xié)議。 最好在運行OSPF的每臺設(shè)備上創(chuàng)建一個lo 0接口，作為它的RID地址。

?

圖4-6 部分OSPF協(xié)議信息

?

圖4-7 R1路由條目

4．4? 服務(wù)器設(shè)計

(1)DNS服務(wù)器設(shè)計

本設(shè)計中加入了一臺專門的DNS服務(wù)器，由其統(tǒng)一對IP地址進(jìn)行管理，DNS服務(wù)器的IP地址為：100.1.1.1。下圖為本設(shè)計的服務(wù)器頁面。

?

圖4-8 DNS服務(wù)器

(2)WEB服務(wù)器設(shè)計

Web服務(wù)器是指駐留于因特網(wǎng)上某種類型計算機(jī)的程序。

?

圖4-9 WEB服務(wù)器

(3)FTP服務(wù)器設(shè)計

Internet中一種廣泛使用的服務(wù)之一，是傳輸文件的服務(wù)，主要用來在兩臺機(jī)器之間（甚至是一同系統(tǒng)）應(yīng)用。在該實驗中配置FTP服務(wù)器的地址為100.1.1.3。

?

圖4-10 FTP服務(wù)器

4．5? 網(wǎng)絡(luò)配置與管理

4．5．1? VLAN劃分

因為在實際超市網(wǎng)絡(luò)中各種部門的劃分，二層交換機(jī)的大量使用以及子超市、分店的存在，要保證業(yè)務(wù)隔離又保證業(yè)務(wù)效率，還有從安全性和實際操作難度綜合考慮，合理的網(wǎng)絡(luò)劃分是解決該問題的辦法。

表4-1VLAN和IP分配表

創(chuàng)建VLAN、命名VLAN如圖圖4-11劃分vlan

?

圖4-11 VLAN劃分

?

圖4-12 VLAN接口

4．5．2? IP地址分配與DHCP設(shè)置

DCHP請求過程：

(1)客戶端發(fā)送discover報文到服務(wù)器（請求服務(wù)器分配地址）---廣播方式方式

(2)服務(wù)器收到客戶端請求，那么服務(wù)器就會發(fā)送offer報文給客戶端（包含IP地址，子網(wǎng)掩碼，地址租期，網(wǎng)關(guān)，DNS--并且標(biāo)記不可用）

(3)客戶端收到offer報文，雖然有地址，但是不能夠使用，所以發(fā)送request報文，請求地址使用

(4)服務(wù)器收到request報文，發(fā)送ackonwledgement報文并且標(biāo)記地址可用，那么客戶端就可以使用了

?

圖4-13 DHCP地址規(guī)劃

?

圖4-14 PC的DHCP地址配置

將兩個屬于不同VLAN的網(wǎng)絡(luò) ping，檢查連通性。

?

圖4-15 不同VLANping測試

由圖15結(jié)果可知在該實驗中處于同一VLAN中網(wǎng)絡(luò)可通。

PC本地信息查看中，可查看簡單的地址信息

?

圖4-16 DHCP測試

由上圖可知，dhcp配置成功。

?

圖4-17 外網(wǎng)測試

圖4-17表明該PC可以連通外網(wǎng)。

?

圖4-18 分店的連通性測試

圖4-18表明子超市可以與超市端銷售PC相通。

?

圖4-19 NAT配置

?

圖4-20 分店與外網(wǎng)連接測試

根據(jù)以上結(jié)果，超市網(wǎng)絡(luò)內(nèi)部的任何電腦都可以訪問互聯(lián)網(wǎng)，且在內(nèi)網(wǎng)互通。

圖4-21 WEB服務(wù)器效果

4．5．3? NAT在超市網(wǎng)絡(luò)中的設(shè)置和應(yīng)用

NAT核心思想：將私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址。解決了lP地址不足的問題的有效方法之一----網(wǎng)絡(luò)地址轉(zhuǎn)換，而且NAT還可以避免網(wǎng)絡(luò)外部的攻擊，有效隱藏和保護(hù)網(wǎng)絡(luò)中的計算機(jī)。

NAT的類型：

1.靜態(tài)NAT：手工指定一對一

2.動態(tài)NAT：動態(tài)綁定一對一

3.復(fù)用NAT：一對多（65535），用端口號來區(qū)分

4.狀態(tài)化NAT:冗余的NAT，跟HSRP結(jié)合，當(dāng)主路由器失效，那么切換到備份的路由器做NAT

NAL優(yōu)點：

　1.節(jié)省了公網(wǎng)IP地址

　2.能夠處理編址方案重疊的情況

　3.網(wǎng)絡(luò)發(fā)生改變時不需要重新編址

　4.隱藏了真正的IP地址

NAT缺點：

　1.NAT引起數(shù)據(jù)交互的延遲

　2.導(dǎo)致無法進(jìn)行端到端的IP跟蹤

　3.某些應(yīng)用程序不支持NAT

　4.需要消耗額外的CPU和內(nèi)存

4．5．4? 訪問控制列表在超市網(wǎng)絡(luò)中的設(shè)置和管理

訪問控制列表（Access Control List，ACL）是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。NAT核心思想：將私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址。ACL 分為三大類：

(1)標(biāo)準(zhǔn)訪問控制列表 standard access control list:

A.列表號1-99，1300-1999

B.只檢查源地址，不檢查目的地址

C.允許或者拒絕整個協(xié)議

(2) 擴(kuò)展訪問控制列表 extended access control list:

A.列表號100-199，2000-2699

B.檢查源地址與目的地址

C.允許或者拒絕某個特定的協(xié)議

(3) 命名訪問控制列表 named access control list:

A.列表號就是一個名字，而不是一個數(shù)字

ACL的應(yīng)用場合：

1.telnet的過濾/vty的過濾--限制僅僅某個主機(jī)才能夠telnet

2.QOS(quality of service 服務(wù)質(zhì)量)的判斷---默認(rèn)情況下，所有的數(shù)據(jù)優(yōu)先級都為0，可以采用ACL針對某些流量設(shè)置不同的優(yōu)先級，不同的流量分配的不同標(biāo)記

3.數(shù)據(jù)層面的過濾：只能夠允許某個網(wǎng)絡(luò)

4.控制層面的過濾：只允許接受某些路由條目

5 網(wǎng)絡(luò)安全配置

5．1? 防病毒軟件

針對與其他設(shè)備和軟件工具相關(guān)的特定環(huán)境問題制作反病毒解決方案。與此同時，病毒的來源也遠(yuǎn)比單機(jī)環(huán)境復(fù)雜得多。一個反病毒軟件不僅保護(hù)文件服務(wù)，而且在郵件，員工使用pc，網(wǎng)關(guān)和所有其他計算機(jī)硬件的保護(hù)。另外，防病毒軟件必須能夠監(jiān)控并攔截可能導(dǎo)致病毒的任何信息來源，例如電子郵件，F(xiàn)TP文件，網(wǎng)站，磁盤，CD等等。 一般來說，軟件應(yīng)該著重于以下幾個方面：

l病毒查殺能力

l對新病毒的反應(yīng)能力

l病毒實時監(jiān)測

l快速方便的升級

l智能安裝、遠(yuǎn)程識別遠(yuǎn)程安裝、遠(yuǎn)程設(shè)置

l管理方便，易于操作

l對現(xiàn)有資源的占用情況

l系統(tǒng)兼容性

l軟件的價格

l軟件商的企業(yè)實力

5．2? 安全策略

在大中型企業(yè)網(wǎng)絡(luò)中，各種安全策略的具體實現(xiàn)是以外圍路由器、內(nèi)部路由器和防火墻這三者的搭配和具體配置來協(xié)調(diào)完成的。內(nèi)部路由器通過使用訪問控制列表來過濾發(fā)送到企業(yè)網(wǎng)絡(luò)的受保護(hù)部分的信息以增加安全性。

在可信網(wǎng)絡(luò)內(nèi)部，可不使用路由器，而結(jié)合使用虛擬局域網(wǎng)（VLAN）和交換機(jī)。多層交換機(jī)內(nèi)置了安全功能，可替代內(nèi)部路由器在VLAN架構(gòu)中提供較高的性能。

5．3 禁用和配置網(wǎng)絡(luò)服務(wù)

默認(rèn)情況下，思科IOS運行了一些不必要的服務(wù)，如果不禁用它們，它們很可能成為拒絕服務(wù)（DoS）攻擊的目標(biāo)。

DoS攻擊是最常見的攻擊，因為這種攻擊最容易發(fā)動。要檢測并防范這些有害的簡單攻擊，可使用軟件和硬件工具，如入侵檢測系統(tǒng)（IDS）和入侵防范系統(tǒng)（IPS）。然而如果不能實現(xiàn)IDS/IPS,可在路由器上執(zhí)行一些基本命令，讓路由器更安全，但沒有任何措施可確保當(dāng)今的網(wǎng)絡(luò)絕對安全。

下面來看看應(yīng)在路由器上禁用的部分基本服務(wù)。

1.禁用HTTP進(jìn)程

2.阻斷SNMP分組

3.禁用代理ARP

4.禁用BootP和自動配置

5.禁用echo

6.禁用重定向消息文章來源地址http://www.zghlxwxcb.cn/news/detail-768844.html

到了這里，關(guān)于中小型超市的網(wǎng)絡(luò)規(guī)劃與設(shè)計（完整文檔+思科拓?fù)鋱D）的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！