企业网组网设计与仿真实现(10)

企业网组网设计与仿真实现

FW(config-pmap-c)# set connection embryonic-conn-max 100 per-client-max 5 FW(config-pmap-c)# class ftp

FW(config-pmap-c)# set connection embryonic-conn-max 100 per-client-max 5 这样设置后，http和FTP的TCP半开连接（TCP embryonic）同时只能有最高100个。

2、速度限制

我们可以细分地针对一些下载软件、协议进行限制，但由于配置比较繁琐，在本设计中将不进行细分限制下载软件和协议，代替的是用速度限制来实现限制下载。将每个部门限制4M的下载速度，访客厅和会议室限制最大2M。这里以VLAN10为例，代表对普通部门的限制：

Gateway(config)# access-list 400k extended permit ip any 192.168.10.0 255.255.255.0

Gateway(config)# access-list 200k extended permit ip any 192.168.40.0 255.255.255.0

Gateway(config)# access-list 200k extended permit ip any 192.168.50.0 255.255.255.0

FW(config)# class-map 200k

FW(config-cmap)# match access-list 200k FW(config)# class-map 400k

FW(config-cmap)# match access-list 400k FW(config)#policy-map xiansu FW(config-pmap)# class 200k

FW(config-pmap-c)# police input 2096000 1048 FW(config-pmap-c)# police output 2096000 1048 FW(config-pmap)# class 400k

FW(config-pmap-c)# police input 4192000 1048 FW(config-pmap-c)# police output 4192000 1048 FW(config)# service-policy xiansu interface inside1 FW(config)# service-policy xiansu interface inside2

45

企业网组网设计与仿真实现

5 系统测试

当企业网组网完成后，还应该对企业网的整体运行情况做一下细致的测试和评估，其实在配置的时候在配置每个不同的模块后都应该对刚才的配置进行过一次测试与校验。在这里讲的是全面的测试包括从最底层的IP连通性到、各协议之间的屏蔽与连通性，再整个企业网完成的时候还要再一次系统的测试。

5.1 测试模块

对于毕业设计来说，这次系统测试则是对设计的成功与否的检验。由于本设计是分模块进行的，而且由于单个仿真软件的技术局限，所以每个大模块也分了好几个小模块进行设计，而且是利用多个仿真软件进行实验的。在本章，将对本设计中能够在仿真软件中仿真测试的部分进行总结，分解开每一个实验进行测试。

根据本设计的思路以及设计模块，结合实模拟软件的实际，本章主要挑选以下几项分解实验进行测试：

（1）企业内网全网连通，以及访问控制 （2）核心层的冗余备份与负载均衡 （3）VPN接入实验，路由器之间的VPN连接 （4）Remote VPN接入，实现移动办公安全接入

在本章进行测试的实验保存文件，将在附录在附件一中，附件中还将有此次使用的仿真模拟软件的安装程序，以上测试项目分别对应附件中TestEx_1、TestEx_2、TestEx_3。

5.2 模块测试验证

5.2.1 企业网连通与访问限制

1、准备与说明

此分解模块使用Cisc Packet Tracer仿真模拟软件进行仿真测试，将对整个企业网络的连通性进行测试。需要说明的是，由于软件的问题，有些部分不能完全模拟成功，

46

企业网组网设计与仿真实现

将会在下文进行说明。

图5.1所示为此次分解实验的拓扑，为本设计的企业网总体拓扑。需要说明的是，由于软件的不支持已经对实验的精简，这里忽略了核心层的冗余备份，因而此拓扑只保留了一个核心交换机Core1；防火墙FW由路由器代替，在这里仅仅作为路由设备。

图5.1 企业网总体连通性测试拓扑

此拓扑由两大部分组成，以Gateway（虚线圈所示）作为分界点。Gateway左端部分为企业网内网部分，右端模拟外网环境。此实验根据第4章4.1.1条的介绍进行，将实现全网连通，包括PC主机自动获取IP信息、部门间的访问限制、部门对内部服务器和外部服务器的访问、外网对外部服务器的访问。需要说明的是，由于软件的不支持，这里将不实现网管部门（NetMag）对其他部门的单向访问支持。

2、测试与验证

图5.2显示为Units1部门PC自动从内部DHCP服务器获取相关IP信息。

图5.2 部门PC自动获取IP信息

47

企业网组网设计与仿真实现

图5.3（a）显示为Units1部门PC对本部门的其他PC进行ping测试，并且能够ping通；而图5.3（b）显示为Units1部门PC对其他部门（Units2）的PC进行ping测试，但并不能ping通，返回目标主机不可达信息。

（a）Units1部门的PC能够ping通本部门其他PC

（b）Units1部门的PC不能能够ping通其他部门的PC

图5.3 部门PC进行ping测试

48

企业网组网设计与仿真实现

图5.4（a）显示内部PC能够通过DNS服务器解析域名之后正常访问外部WEB服务器；图5.4（b）显示外部PC直接在浏览器打上WEB服务器地址和端口后能够正常访问WEB页面。

（a）内部PC能正常访问WEB服务器

（b）外部PC能正常访问WEB服务器

图5.4 PC访问WEB服务器

图5.5显示部门PC能够通过eMail服务器对部门其他PC进行发送emai邮件，并能够正常接收回复邮件。

图5.5 正常使用邮件服务器

49