XX公司网络建设设计方案(第六组)(共52页).doc

精选优质文档-倾情为你奉上编号密级项目技术类文档XX公司网络建设详细设计方案Version 1.0福斯技术项目部2010-08-25公司简介长沙市福斯技术股份有限公司是国家三级资质计算机信息系统集成商、国家重要的软件企业和长沙市高新技术企业。自1996年成立以来福斯为我国各大商业银行开发实施了近百种软件产品，建设了数十个省市级网络工程，同时为银行提供着自助设备、网络设备、服务器、存储设备等各类产品及专业维护服务。我公司自建立以来以其先进的技术·诚信的理念·良好的服务态度赢得了广大客户的一致好评，我公司先后承包了湖南师范大学·湖南大学·中南大学校园网的布建和维护，以及许多中小型企业的网络规划。我公司一直以来广招人才，现拥有思科专家级认证资格的6人，CCNP12人，网络工程师8人，拥有3年以上工作经营若干等等。我公司分6个部门，分别为固网部·移网部·财务部·市场部·人力资源部·后勤部，各部门分工合作·紧密结合，整个公司运行的有条不紊·以惊人的速度蓬勃发展。我公司承诺一切以客户为中心，始终把客户的利益放在第一位，以国内外前沿网络技术为基础；凭诚信的理念为客户服务， 为客户建立企业网络信息系统，为生产、办公、管理提供服务；实现办公自动化，提供总部与分部、分部与分部间通讯的出入口，提供电子函件、公告牌和办公信息查询等服务，提高工作效率和管理水平；及时、准确、可靠地收集、处理、存储、传输企业的办公、管理信息，完成与因特网的通讯和资源共享，实现企业资源和社会资源的有机结合；实现音频数字化资源共享、集中管理；建立企业网管理应用系统。       福斯始终注重与全球领先的IT跨国公司紧密合作。福斯是日立优秀的ATM代理商和系统集成商，已销售和服务的日立存取款一体机近700台，。福斯是IBM解决方案提供商，多次被评为长沙市年度最佳SP，拥有销售IBM 服务器尤其是小型机产品的优秀业绩和强大技术支持能力。福斯是CISCO金牌代理商，源源不断地为客户提供着CISCO全系列产品和专业高效的服务。福斯是H3C金牌合作伙伴，并获得四星级服务认证。同时，公司也是HP、SUN、JUNIPER、NETGEAR、KAL、MICROSOFT、ORACLE等众多厂商的重要合作伙伴和代理商。       多年来福斯经营业绩保持快速增长，2006年更是取得了历史性突破。随着各类业务的快速发展，福斯先后成立了南京、上海、北京三家分公司，截至2010年7月底在广州、武汉、沈阳等城市设立了办事处，确保为当地及周边客户提供高效、专业、全面的技术支持与维护服务。 公司自成立初一直秉承 “ 顾客为本、 质量第一、服务至上、 不断创新、追求卓越” 的企业精神，这也是我们对客户的承诺： 顾客为本： 完全满足顾客的要求，尽力确保顾客的投资获取最佳的收益； 质量第一： 质量是我们企业生存的基础，任何时刻我们都以优秀的产品、优质的工程服务于顾客； 服务至上： 服务是我们的生命线，任何时候我们都为客户提供完善、周全的服务； 不断创新、 追求卓越：不断创新，以最好的技术、最佳的质量、最优质的服务保持竞争优势，正是由于我们始终不渝地坚持这一宗旨，具有这份决心及忠诚，使我们企业在用户中得到好评并迅速地发展和壮大、公司的业务逐年蒸蒸日上。专心-专注-专业目 录2前 言全球性的国际计算机互联网Internet的迅速发展和普及，改变了整个信息产业的面貌，使信息技术产业从以计算机为中心发展到以网络为中心，并为计算机技术在工业、商业、教育及科研等领域中的应用提供了一个全新的网络通信环境，也从根本上加强并促进了群体工作成员之间的信息交流、资源共享、科学计算及技术合作等，进而推动了教育事业、科研及生产的发展。Internet是一个全球性的开放的信息互连网络，它是以一系列关键支撑技术为核心发展起来的新兴领域，为人们提供了崭新的网络计算环境。随着互联网的蓬勃发展，其巨大的潜力已经逐渐体现出来，一些互联网企业涉足传统产业已经取得了不菲的业绩，如运用网络概念多次融资，并利用网络优势通过并购的方式切入旅行服务行业的携程；其次，就是互联网在传播和获取信息上的优势；再者，就是企业想利用内外部网络进行有效的管理，提高管理效率：上述三大因素可以看作企业建网的主要的原因。因此，可以这样讲，企业建网的最终目的和它的经营策略是吻合的，就是通过网络来降低企业的管理成本和交易成本以及通过开展电子商务活动来获得更多的利润。XX公司计划在近期内建设企业网络信息系统，在企业内部实现资源高度共享，为生产、办公、管理提供服务；实现办公自动化，提供总部与分部、分部与分部间通讯的出入口，提供电子函件、公告牌和办公信息查询等服务，提高工作效率和管理水平；及时、准确、可靠地收集、处理、存储、传输企业的办公、管理信息，完成与因特网的通讯和资源共享，实现企业资源和社会资源的有机结合；实现音频数字化资源共享、集中管理；建立企业网管理应用系统。以顺应时代的发展趋势，充分利用现代化技术来进一步提高管理质量和办公效率。XX公司网络支持的是一个不断多元化的网络应用系统设备组合，系统设备、管理者及使用者之间的联系必须是亲密无间的，自觉而透明的，从而具备较强的扩展性。在多年的网络工程实践中，尤其是在企业、金融、证券、邮电、广电等行业我们付出了辛勤的努力，积累了宝贵的经验，得到了广大用户及业界同行的信任与肯定。我公司愿借这次机会，与贵方建立长期、友好的合作关系，以我们在系统集成领域积累的丰富经验为XX公司的信息化建设尽微薄之力。第一章 网络设计原则与需求分析1.1 网络设计原则XX公司网络主要用于公司总部和各分部间日常办公需求和通信，网络建设可参考以下原则：1、 高效性公司总部与分部坐落在不同的城市，在进行日常办公和通信时网络一定要及时高效。业务的处理，总部的措施能及时下达各个分部，各个分部的业务能及时向总部汇报。各个分部间业务能快速进行沟通处理。2、 可靠性总部与分部，分部与分部间通信办公都需要一个可靠的网络来支持，可靠的网络是确保公司日常业务正常发展的关键。3、 独立性公司某些部门之间有不同的业务，各自独立于其他部门，像公司财务部就应该独立出来，其他部门在没有授权的情况下无法访问财务部的业务网络。4、 实用性网络设计一定要充分保护网络系统现有资源。同时要根据实际情况，采用新技术和新装备，还需要考虑组网过程要与平台建设及开发同步进行，建立一个实用的网络。力求使网络既满足目前需要，又能适应未来发展，同时达到较好的性能/价格比。 5、 网络的可管理 网络系统有限公司的网络是一条信息公路，设计时必须提供足够的手段对信息公路进行方便的管理，以确保其始终保持在最佳状态下运行。没有网络管理功能将很难保证系统的正常运行。6、 持久性根据公司的规模，网络的建设应能够维持3-5年的服务，因此我们将使用性能更好的的更高端的Cisco的设备解决此方案。1.2 网络设计需求分析为确保XX公司企业网络建设和应用的成功，对网络方案的设计大致可归纳出哪些的需求。1、在总部和各个部门的局域网范围内，采用标准网络协议，结合应用需求，建立总部与分部的通信，通过gre隧道穿透Internet实现总部和各个分部的连接。2、在部门局域网中，实现文件共享，打印共享等功能。3、系统应有高可靠性、安全性、可维护性和可扩充性，要具有良好的用户界面。第二章 网络设计解决方案2.1 XX公司网络系统基本应用在企业网建成的同时，基于该网络的应用也应到位，其中包括：OA应用和Internet/Intranet应用。2.1.1 OA应用OA软件解决企业的日常管理规范化、增加企业的可控性、提高企业运转的效率的基本问题，范围涉及日常行政管理、各种事项的审批、办公资源的管理、多人多部门的协同办公、以及各种信息的沟通与传递。可以概括的说，OA软件跨越了生产、销售、财务等具体的业务范畴，更集中关注于企业日常办公的效率和可控性。在XX公司总部部署OA软件，是提高企业整体运转能力不可缺少的一项工作。2.1.2 Intranet应用XX公司可建立公司内部信息网站，为公司内部所有网上用户提供生产调度、产品营销、物资供应、商情信息、安全生产、科技动态、生产技术、环境保护等信息服务。集团内部各部门可通过内部网站实现企业内部信息交流，主动地获取信息和提供信息。2.1.3 Internet应用Internet作为信息交流的基础设施，对信息技术的发展，信息市场的开拓，以及信息社会的形成都起着十分重要的作用。XX公司所构造的网络正是通过Internet将企业内部与外界连接起来。这样XX公司可为广大客户提供他们所关心的有关信息；在网络上提供WWW，E-mail等服务。该网站可以包括：综合信息、科技信息、企业动态、市场信息等栏目，内容可涉及XX公司生产经营、科研生产、产品价格和市场营销等方面。并为电子商务打下基础。2.2 企业网络结构规划我们将XX公司总部和分部的内部网络设计为两级层级：(1) 接入层(2) 核心层这样规划一是能够有良好的层次感，利于实现较为复杂的网络功能要求；二是这样分层能够使每层的功能较容易实现也较清楚；三是采用这种分层方式可以支持较大的网络规模便于企业网的升级扩大。2.2.1接入层接入层主要作用是使各个信息节点接入内部网络，实现互联。接入层部署在各个分部，为使各终端更方便连接网络，接入层应具有和节点距离短易操作，可扩展等特点。2.2.2 核心层核心层主要作用是连接各个局域网，连接各接入层的通信。核心层的特点是使整个网络稳定高效的运行。2.3 网络拓扑设计2.4 网络设备选型2.4.1 设备选型原则l 代表目前网络系统设备的先进水平。l 具备较强的安全性。l 具备优良的RAS性能-可靠性、可用性、可维护性。l 具备优良的可扩充性和升级能力。l 具备优良的性能价格比，根据现在的需求和可以预见的需求增长情况设计网络，不追求空洞的技术先进性，避免追求高档和最新技术花费的巨大代价。CISCO是网络业界第一品牌和最大的研发厂家，是项目可持续应用的投资保护和规避厂家风险的首选。众所周知：任何一个项目的选型都存在产品风险和原厂家的风险。之前大家可以看到，许多项目从投资预算的角度考虑采用第二流和第三流的厂家产品，比如：港湾、INTEL等网络产品，后来原厂家或者被收购或者产品停产，其产品存在的缺陷无法解决、后续无法保修和维护、无法进行扩容和升级，造成这些用户不得不废弃原有产品，重新购买第一流厂家的产品，反而形成了极大的投资浪费。IOS采用的是经检验已成为业界标准的强健稳定的CISCO IOS，更具有广泛的协议支持，这是其他厂商所不能企及的；思科将其IOS（网络操作系统）打造成为网络系统中坚实、可靠的智能"神经中枢"，作为应用最为广泛的网络软件，思科IOS软件系列在全世界一千多万个不同规模的系统上发挥着重要作用，其范围从小型家庭办公网络到最庞大的电信运营商网络。思科IOS取得广泛成功的关键在于，它的标准化设计中整合了创新网络技术、关键业务IP服务和首屈一指的平台支持能力。基于以上原则，我们为XX公司网络建设选用CISCO公司的系列产品，以确保网络实用与性价比。2.4.2 接入层交换机选型总部和分部接入层交换机均选用WS-C2960-24TC-L，该款交换机它是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和10/100/1000千兆以太网连接，适用于入门级企业、中型市场和分支机构网络，有助于提供增强LAN服务。Catalyst 2960系列具有集成安全特性，包括网络准入控制(NAC)、高级服务质量(QoS)和永续性，可为网络边缘提供智能服务。该系列还包括一系列针对网络管理员所作的硬件改进，包括双介质（或有线）千兆以太网上行链路配置，允许网络管理员使用铜缆端口或光纤上行链路端口。另外，它包括一款24端口千兆以太网交换机，可加速网络中的桌面千兆位(GTTD)传输。 Cisco Catalyst 2960系列提供了以下优势：为网络边缘提供了智能特性，如先进的访问控制列表 (ACL)和增强安全特性。 双介质上行链路端口提供了千兆以太网上行链路灵活性，可以使用铜缆或光纤上行链路端口。每个双介质上行链路端口都有一个10/100/1000以太网端口和一个SFP千兆以太网端口，在使用时其中一个端口激活，但不能同时使用这两个端口。通过高级QoS、精确速率限制、ACL和组播服务，实现了网络控制和带宽优化。 通过多种验证方法、数据加密技术和基于用户、端口和MAC地址的网络准入控制，实现了网络安全性。 通过嵌入式设备管理器和思科网络助理，简化了网络配置、升级和故障排除，可作为中型市场或分支机构解决方案的一部分。主要参数企业级交换机应用层级二层64MB DRAM 32MB flash10/100/1000MBPSIEEE 802.3, IEEE 802.3u, IEEE 802.1x, IEEE 802.1Q,IEEE 802.1p, IEEE 802.1D, IEEE 802.1s, IEEE 802.1w, IEEE 802.3ad, IEEE 802.3z, IEEE 802.3端口结构固定端口、非模块化2410/100Base-T,10/100/1000Base-Tx/SFP全双工/半双工自适应存储转发8.8Gbps6.5Mpps支持QOS支持支持网管支持支持网管功能Web浏览器，SNMP,CLI8K模块化插槽数2个指示面板每端口状态：连接完整性、禁用、活动、速度、全双工 系统状态：系统、RPS、链路状态、链路双工、链路速度电源100-240V环境标准工作温度0 - 45工作湿度10%到85%（非冷凝）工作高度3049m存储温度-2570存储湿度10%到85% （非冷凝）存储高度4573m尺寸(mm)重量3.6kg长度236mm宽度445mm高度44mm2.4.3 核心层交换机选型总部核心层交换机选用Cisco Catalyst 3560-24TS-S，该款交换机Cisco Catalyst 3560系列交换机是一个采用快速以太网配置的固定配置、企业级、IEEE 802.3af和思科预标准以太网电源（PoE）的交换机，提供了可用性、安全性和服务质量（QoS）功能，改进了网络运营。Catalyst 3560系列是适用于小型企业布线室或分支机构环境的理想接入层交换机，这些环境将其LAN基础设施用于部署全新产品和应用，如IP电话、无线接入点、视频监视、建筑物管理系统和远程视频信息亭。客户可以部署网络范围的智能服务，如高级QoS、速率限制、访问控制列表、组播管理和高性能IP路由，并保持传统LAN交换的简便性。内嵌在Cisco Catalyst 3560系列交换机中的思科集群管理套件（CMS）让用户可以利用任何一个标准的Web浏览器，同时配置多个Catalyst桌面交换机并对其排障。 Cisco CMS软件提供了配置向导，它可以大幅度简化融合网络和智能化网络服务的部署。Catalyst 3560系列为采用思科IP电话和Cisco Aironet无线LAN接入点，以及任何IEEE 802.3af兼容终端设备的部署，提供了较低的总体拥有成本（TCO）。以太网电源使客户无需再为每台支持PoE的设备提供墙壁电源，免除了在IP电话和无线LAN部署中所必不可少的额外布线。Catalyst 3560 24端口版本可以以支持24个15.4W的同步全供电PoE端口，从而获得了最佳上电设备支持。通过采用Cisco Catalyst智能电源管理，48端口版本可支持24个15.4W端口、48个7.7W端口，或它们的任意组合。当Catalyst 3560交换机与思科冗余电源系统675(RPS 675)共用时，可提供针对内部电源故障的无缝保护，而不间断电源（UPS）系统可防范电源中断情况，从而使融合式语音和数据网络实现最高电源可用性。主要参数以太网交换机三层128MB存储转发32Gbps6.6 Mpps支持12288KIEEE 802.3, IEEE IEEE 802.3u, IEEE 802.3z10/100Mbps10/100 BASE-T/ 100FX/SX固定端口24个2个支持支持SNMP, CLI, Web能堆叠2.4.4 出口路由器选型总部出口路由器选用CISCO3845模块化路由器。该款路由器是一款集成多业务路由器，带2个千兆位以太网固定LAN口，提供1个SFP插槽，4个NME，4个HWIC，2个AIM，4个PVDM插槽。而且，3845路由器提供了屡获大奖的思科IP电话解决方案，适用于想通过融合话音和数据网络而降低成本和复杂度的客户，小型机构和分支机构可受益于全面、一体化的数据、话音处理、语音留言和自动接听系统。安全方面，Cisco 3845拥有业界内嵌和集成在路由器中的最全面的安全服务，提供了先进的安全服务和管理功能，如内置硬件加密加速、IP安全性、 VPN级加密标准、三重数字加密标准、DES和多协议标签交换、状态防火墙保护、动态入侵防御和URL过滤支持等。主要参数产品类型模块化、企业级、集成多业务路由器包转发率10 Mbps: 14,880 pps,100 Mbps: 148,810 pps ,1000 Mbps: 1,488,100 pps外形尺寸406.4×438.15×133.35mm（长宽高）重量20.4kg处理器RISC QED RM5271 225MHzDRAM内存1024MBFlash内存256MB固定广域网接口可选广域接口WIC卡固定局域网接口2个10/100/1000Mbps端口控制端口Console扩展插槽 8个网络管理支持SNMP管理，Cisco ClicktStartVPN支持VPNQoS支持内置防火墙支持认证标准UL 60950:CAN/CSA C22.2 No. 60950,IEC 60950,EN 60950-1,AS/NZS 60950电源电压100 to 240 VAC,47-63 Hz,2460 VDC最大功率不带IP电话:435W,带IP电话,仅为系统:555W,带IP电话,IP 电话:360W,直流电源：460W分部出口路由器选用CISCO2811模块化路由器该款路由器全面采用模块化架构设计，支持10/100Mbps广域网接入，2个10/100Mbps局域网接口。能使用户节省建设广域网的投资，获得良好的投资回报，从而帮助客户创造更多的价值。支持IEEE 802.3X网络标准，提供了集成语音留言、范围广泛的话音接口、支持 SRST, 分支机构可利用集中呼叫控制, 并通过SRST冗余性为IP电话经济有效地提供本地分支机构备份，用于未来网络扩展和高级应用。主要参数设备类型模块化路由器处理器Motorola MPC860 160 MHz最大Flash内存（MB）256MB最大Dram内存（MB）760MB支持网络协议IEEE 802.3X支持的网管协议Cisco ClickStart, SNMP固定广域网接口10/100Mbps固定局域网接口2个10/100Mbps端口控制端口ConsoleVPN支持支持VPN内置防火墙支持支持扩展模块数9个Qos支持支持电源电压（V）100-240 电源功率（W）160重量（Kg）6.4长度（mm）416.6宽度（mm）438.2高度（mm）44.52.5网络IP地址规划2.5.1 IP地址合理规划的意义在企业网网络规划中，IP地址方案的设计至关重要，好的IP地址方案不仅可以减少网络负荷，还能为以后的网络扩展打下良好的基础。IP地址的合理是保证网络顺利运行和网络资源有效利用的关键。企业网IP地址的分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。具体地来说IP地址的合理规划有如下的意义：1、IP 地址的合理规划是网络设计的重要环节，大型计算机网络必须对IP地址进行统一规划并得到有效实施；2、IP 地址规划的好坏，影响到网络路由协议算法的效率；3、影响到网络的性能；4、影响到网络的扩展；5、影响到网络的管理；6、也将直接影响到网络应用的进一步发展。 2.5.2 IP地址规划根据国际互联网络技术发展的趋势，结合XX公司总部和分部的现实情况，我们建议IP地址规划遵循如下原则来设计：1. 唯一性：一个IP网络中不能有两个主机采用相同的IP地址； 2. 可管理性：地址分配应简单且易于管理，以降低网络扩展的复杂性，简化路由表； 3. 连续性：连续地址在层次结构网络中易于进行路径叠合，缩减路由表，提高路由计算的效率；IP地址的分配必须采用VLSM技术，保证IP地址的利用率；采用CIDR技术，可减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小。IP地址分配尽量分配连续的IP地址空间；相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制； 4. 可扩展性：地址分配在每一层次上都要留有一定余量，以便在网络扩展时能保证地址叠合所需的连续性；IP地址分配处理要考虑到连续外，又要能做到具有可扩充性，并为将来的网络扩展预留一定的地址空间；充分利用无类别域间路由（CIDR）技术和变长子网掩码（VLSM）技术，合理高效地利用IP地址，同时，对所有各种主机、服务器和网络设备，必须分配足够的地址，划分独立的网段，以便能够实现严格的安全策略控制。 5. 灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间； 6. 层次性：IP地址的划分采用层次化的方法，和层次化的网络设计相应，在地址划分上我们也采用层次化的分配思想，从XXx厅开始规划，再规划各地州、县，使地址具有层次性，能够逐层向上汇聚。 7. 实意性 在公有地址有保证的前提下，尽量使用公有地址，主要包括设备loopback地址、设备间互连地址； 8. 节约性 根据服务器、主机的数量及业务发展估计，IP地址规划尽可能使用较小的子网，既节约了IP地址，同时可减少子网内网络风暴，提高网络性能。详细IP地址规划方案见附录A。2.6 网络设计技术方案特点根据XX公司网络建设的现有需求，并考虑到未来的发展趋势，需要建立一个统一的信息传输网络，满足数据、语音、视频、图像、多媒体等相关企业信息的传输，可以实现计算机管理系统、办公自动化系统、业务系统和Internet访问等应用。我们提出的解决方案具有如下特点：1、 融合的网络平台：数据、视频等业务应用，提供端到端安全网络应用，灵活的结构部署，实现网络规模的任意伸缩、弹性应用。2、 丰富的网络类型：针对业务类型划分、网络应用、投资计划等融合专线网络、VPN、无线等多种方式的组网，满足支持丰富的扩展类型、扩展接口等，适用不同规模、不同方式的网络互联、接入，满足日益丰富的网络业务应用。3、 灵活安全的终端接入：网络安全、认证系统的部署应用能够杜绝非法终端接入网络，并且让合法终端在任意位置接入网络均获得相同的VPN归属和访问权限，甚至可以通过多次认证在不同时刻获得不同的VPN归属和访问权限，方便做到灵活办公和公用办公，真正实现网络虚拟化；4、 完善的业务类型：内部网络业务应用，互联网的安全访问、VPN的安全接入，无线及3G移动终端的应用，实现网络跨区域、跨平台的业务运行，提供基于多种平台信息系统应用。5、 多样化的管理手段：应用级别的网络安全划分、带宽限制、流量控制等丰富的管理手段和安全保障措施，使网络稳定、快速、健壮，保证业务系统的不间断运行。6、 统一规划、合理部署：降低网络投资、减少重复建设。避免了业务、数据物理隔离需要重复建设、应用服务器、安全设备重复采购的缺点，对网络平台进行统一规划、分步实施、合理部署，提高整体资源的利用率、降低管理难度、提高管理效率。 第三章 网络设计技术分析3.1 企业网络技术分类企业网是园区网络的一种，应用于企业网中的技术其实就是当今园区网络中的一些实用技术，我们将园区网络技术从总体上划分为路由技术，交换技术和远程接入技术。(1) 路由技术 所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的活动。一般来说，在路由过程中，信息至少会经过一个或多个中间节点。(2) 交换技术 所谓交换技术是指二层交换技术三层转发技术。传统的交换技术是在OSI网络标准模型中的第二层数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。应用第三层交换技术即可实现网络路由的功能，又可以根据不同的网络状况做到最优的网络性能。(3) 远程接入技术 所谓远程接入技术是指在网络中部署服务器集群，在远程接入技术服务器上安装并发布用友通客户端，所有用户运行远程接入技术服务器上的用友通客户端，并通过内部高速网络连接用友通服务器，完成财务、供应链、生产制造、分销、零售、客户关系、服务管理等功能模块的使用。如果需要允许用户跨Internet访问，建议把远程接入技术服务器机群部署在DMZ网络中，把用友通服务器端部署在内部网络中，在内部防火墙上设置允许用友通客户端和服务器端通信的进行。远程接入技术实施的好处：远程接入技术网络带宽的要求非常低远程接入技术解决互联网安全问题远程接入技术减少IT投资成本，保护现有IT透支远程接入技术方便管理，降低维护成本远程接入技术具有高稳定性，可扩展性远程接入技术性能优化，支持更多用户访问远程接入技术具有优秀的虚拟打印功能3.2 企业网中的路由技术在园区网中由于受到自身网络的限制，应而不需要使用过多的路由技术，而路由技术主要应用在核心层或者是出口去往其它网络，连接出自己园区的网络。在经过接入路由器时根据IP包的目的地址，在路由器的路由表中查询，是否有前往目的地的路由，如果有则根据路由条目来转发IP包。静态路由技术 静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的，不会传递给其他的路由器。当然，网管员也可以通过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。我们在XX公司使用静态路由技术，以实现公司总部和分部的互联互通。3.3 企业网中的交换技术在企业网使用的最多也是最广泛的技术就是交换技术，交换技术的成熟带动着这个网络的发展。而企业网是基于这个交换架构的网络，因此在交换式的网络中有众多技术VLAN， TRUNK，三层交换，STP，DHCP等。下面将分别介绍这些技术的应用： (1) VLAN技术 VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。Vlan分类：1.根据端口来划分VLAN2.根据MAC地址划分VLAN3.根据网络层划分VLAN4.根据IP组播划分VLAN5.基于规则的VLAN6. 按用户定义、非用户授权划分VLAN(2) TRUNK技术 TRUNK是端口汇聚的意思，就是通过配置软件的设置，将2个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机和网络节点之间的带宽，将属于这几个端口的带宽合并，给端口提供一个几倍于独立端口的独享的高带宽。Trunk是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。基于端口汇聚（Trunk）功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量， 大幅度提供整个网络能力。(3) 三层交换 三层交换技术就是：二层交换技术三层转发技术。它解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。第三层交换提供以下优点:l 提高了网络效率：第三层交换机通过允许网络管理员在第二层 VLAN 进行路由业务，确保将第二层广播控制在一个 VLAN 内，降低了业务量负载。l 可持续发展：由于 OSI 层模型的分层特点，第三层交换机能够创建更加易于扩展和维护的更大规模的网络。l 更加广泛的拓扑选择：基于路由器的网络支持任何拓扑，并能更轻易超过类似第二层交换网络的更大规模和复杂程度。l 工作组和服务器安全：第三层设备能根据第三层网络地址创建接入策略，这允许网络管理员控制和阻塞某些 VLAN 到 VLAN 通信，阻塞某些 IP 地址，甚至能防止某些子网访问特定的信息。l 更加优异的性能：通过使用先进的 ASIC 技术，第三层交换机可提供远远高于基于软件的传统路由器的性能。比如，每秒 4000 万个数据包对每秒 30 万个数据包。第三层交换机为千兆网络这样的带宽密集型基础架构提供了所需的路由性能。因此，第三层交换机可以部署在网络中许多具有更高战略意义的位置。(4) STP技术 生成树协议最主要的应用是为了避免局域网中的网络环回，解决成环以太网网络的“广播风暴”问题，从某种意义上说是一种网络保护技术，可以消除由于失误或者意外带来的循环连接。STP也提供了为网络提供备份连接的可能，可与SDH保护配合构成以太环网的双重保护。新型以太单板支持符合IEEE 802.1d标准的生成树协议STP及IEEE 802.1w规定的快速生成树协议RSTP，收敛速度可达到 1s。(5) DHCP 动态主机设置协议（Dynamic Host Configuration Protocol, DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：一是给内部网络或网络服务供应商自动分配IP地址给用户；二是给内部网络管理员作为对所有计算机作中央管理的手段。3.4 企业网中的远程接入技术(1) 访问控制列表（ACL）访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。本设计方案使用访问控制列表来实现以下需求：n 总部办公业务可以访问全网办公业务，不能访问分部生产业务。n 分部办公业务可以访问全网办公业务，不能访问总部或其他分部的生产业务。访问控制列表的另外一个重要作用是区分数据流，工程师可以使用访问控制列表来匹配感兴趣的数据流量，然后再由其他的网络协议或工具来对所匹配的数据流执行相应的动作。本设计方案中后面提到的网络地址转换技术的实现便需要利用到访问控制列表的此项功能。(2) 网络地址转换（NAT）网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。(3) 通用路由器封装（GRE）GRE（Generic Routing Encapsulation，通用路由封装）协议是对某些网络层协议（如IP 和IPX）的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议（如IP）中传输。GRE采用了Tunnel（隧道）技术，是 VPN（Virtual Private Network）的第三层隧道协议。IP隧道技术中使用的一种封装格式：把企业内部网的各种信息分组封装在内，可通过IP协议透明地穿过因特网，实现端点之间互连。3.5 技术部署详细说明(1) 根据2.3节所示的XX公司网络拓扑，实现其全网联通性（IP地址分配、Vlan划分详见附录A）。(2) 总部交换网络STP部署：CS-CORE-1为所有VLAN的主根网桥。(3) 总部DHCP部署：CS-CORE-1为总部网络DHCP服务器，为总部各部门接入用户提供动态IP地址分配。(4) 郴州分部（分部一）交换网络STP部署：CZ-AES-1为所有VLAN的主根网桥。(5) 郴州分部（分部一）DHCP部署：CZ-R-1为郴州分部网络的DHCP服务器，为其各部门接入用户提供动态IP地址分配。(6) 吉首分部（分部二）交换网络STP部署：JS-AES-1为所有VLAN的主根网桥。(7) 吉首分部（分部二）DHCP部署：JS-R-1为吉首分部网络的DHCP服务器，为其各部门接入用户提供动态IP地址分配。(8) Internet接入与静态路由实施：要求只有办公业务所处网段才能访问Internet。 总部在CS-R-1上配置NAT与默认路由，下一跳指向公网出口对端IP地址；在CS-CORE-1上配置默认路由，下一跳指向CS-R-1；在CS-R-1上配置静态汇总路由，下一跳指向CS-CORE-1。 郴州分部在CZ-R-1上配置NAT与默认路由，下一跳指向公网出口对端IP地址； 吉首分部在JS-R-1上配置NAT与默认路由，下一跳指向公网出口对端IP地址。(9) 总部分部对接： 为节省前期网络建设投资成本，总部与分公司采用GRE隧道连通：(10) 业务流量访问控制： 在CS-R-1、CZ-R-1、JS-R-1上分别配置访问控制列表，以实现本方案中对流量控制的需求：n 总部办公业务可以访问全网办公业务，不能访问分部生产业务。