中小型企业组网方案设计-学生论文.doc

《中小型企业组网方案设计-学生论文.doc》由会员分享，可在线阅读，更多相关《中小型企业组网方案设计-学生论文.doc（50页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、毕 业 论 文中小型企业组网方案的设计与实现网络工程系网076班姓名：邓南平QQ：55787056摘要随着Internet在全球的发展和普及,企业网络技术的发展，以及企业生存和发展的需要促成了企业网的形成。而目前在中国国民经济和社会发展中一直占据着至关重要的战略地位的中小型企业，其信息化程度却十分落后。本文通过对中小型企业资金能力及对企业网络的需求进行分析，设计适用于中小型企业的组网方案。在该方案中，企业园区、广域网接入模块、远程访问模块，数据服务组群组成一个完整的企业网架构.关键词：虚拟局域网园区网远程接入目录1发展企业网络的必要性11.1从企业对信息的需求来看11.1从企业管理和业务发展的

2、角度出发12企业网络涉及的主要网络技术介绍22.1Cisco企业网络概述22.1。1Cisco企业架构22。1。2Cisco企业复合网络模型32.2园区网络技术32.2。1路由技术42。2.2交换技术42。2。3远程访问技术:92.2。4HSRP（热备份路由器协议）103中小型企业网络的建设目标与需求分析123。1网络建设目标与原则123。2中小型企业网络设计需求123。3网络设计需求分析134中小型企业网络所需网络设备介绍144.1路由器：Cisco 3600系列144.2核心交换机：Cisco Catalyst 4500系列164.3接入层交换机：Cisco Catalyst 2960系列

3、174.4无线AP:TL-WA501G+195企业网系统整体方案设计205.1网络拓扑设计205.2主要网络设备选定225。3VLAN划分及IP编址方案226交换模块设计236。1接入层交换服务的实现配置接入层交换机236。1。1配置接入层交换机AccessSwitch1的基本参数236.1。2配置接入层交换机AccessSwitch1的管理IP、默认网关256.1。3配置接入层交换机AccessSwitch1的VLAN及VTP256。1.4配置接入层交换机AccessSwitch1端口基本参数256。1。5配置接入层交换机AccessSwitch1的访问端口266.1。6配置接入层交换机Ac

4、cessSwitch1的主干道端口276.1。7配置接入层交换机AccessSwitch2 AccessSwitch 10276。1。8接入层交换机的其它可选配置286.2核心交换服务的实现配置核心层交换机296.2。1对核心层交换机CoreSwitch1的基本参数的配置296.2.2配置核心层交换机CoreSwitch1的管理IP、默认网关306.2。3配置核心层交换机CoreSwitch1的VTP306.2.4在核心层交换机CoreSwitch1上定义VLAN316.2。5配置核心层交换机CoreSwitch1的端口基本参数326.2。6配置核心层交换机CoreSwitch1的3层交换功能

5、336。2.7配置核心层交换机CoreSwitch2346。2.8其它配置366.2.9配置HSRP377广域网接入模块设计387.1配置路由器IRouter的基本参数397。2配置路由器IRouter的各接口参数397。3配置路由器IRouter的路由功能407。4配置接入路由器IRouter上的NAT407.5配置接入路由器IRouter上的ACL417.6其它配置438远程访问模块设计448.1Easy VPN 服务器配置448.2客户端配置469结束语48参考文献49Abstract50致谢51仲恺农业工程学院毕业论文（设计）成绩评定表52471 发展企业网络的必要性随着Interne

6、t在全球的发展和普及，企业网络技术的发展，以及企业生存和发展的需要促成了企业网的形成。自20世纪90年代以来，企业网络已经成为连接企业、事业单位各部门并与外界交流信息的重要基础设施。基于局域网和广域网技术发展起来的企业网络技术得到迅速的发展。为了适应网络经济的飞速发展，扩大企业经营的规模和范围，方便企业内部和企业之间的交流，节省办公的开销，提高企业的管理水平，企业发展Intranet（企业内部网）已经是刻不容缓.另外，我国中小企业数量已超过2000万家。在国民经济中，60%的总产值来自于中小企业，并为社会提供了60 以上的就业机会。然而，在中国国民经济和社会发展中一直占据着至关重要的战略地位的

7、中小企业，其信息化程度却十分落后.今后如何应对瞬息万变、竞争激烈的国内外市场环境以及如何利用网络技术迅速提升企业核心竞争力就成为企业成败的关键。1.1 从企业对信息的需求来看 面对着激烈的市场竞争，公司对信息的收集、传输、加工、存贮、查询以及预测决策等工作量越来越大，原来的电脑只是停留在单机工作的模式，各科室间的数据不能实现共享，致使工作效率大大下降，纯粹手工管理方式和手段已不能适应需求，这将严重妨碍公司的生存和发展。社会进步要求企业必须改变现有的落后管理体制、管理方法和手段，建立现代企业的新形象，建立本企业的自动化管理信息系统(即公司局域网)，以提高管理水平，增加经济和社会效益。1.1 从企

8、业管理和业务发展的角度出发通过网络对网络资源的共用来改善企业内部和企业与客户之间的信息交流方式，满足业务部门对信息存储、检索、处理和共享需求，使企业能迅速掌握瞬息万变的市场行情,使企业信息更有效地发挥效力;提高办公自动化水平，提高工作效率，降低管理成本，提高企业在市场上的竞争力；通过对每项业务的跟踪，企业管理者可以了解业务进展情况,掌握第一手资料，及时掌握市场动态,为企业提供投资导向信息,为领导决策提供数据支持；通过企业内部网建立，企业各业务部门可以有更方便的交流沟通,管理者可随时了解每一位员工的情况,并加强对企业人力资源合理调度，切实做到系统的集成化设计，使原有的设备、投资得到有效利用。因此

9、，有必要建设好中小型企业建设信息网络，以达到最大限度地实现信息资源共享，并使用电子信息的传递取代纸面文件、材料的传送,逐步实现“无纸办公 ，改变传统的工作方式，进一步提高工作效率。同时，利用各种业务信息的综合分析,为各级领导提供决策支持，更好地组织生产和经营.2 企业网络涉及的主要网络技术介绍2.1 Cisco企业网络概述2.1.1 Cisco企业架构Cisco开发了一个企业级架构，以帮助公司保护、优化和扩展支持业务流程的基础设施。该架构可用于集成整个网络园区、数据中心、分布机构、远程工作人员和WAN,让员工能够安全地访问所需的工具、流程和服务。Cisco企业园区架构将智能交换和路由选择的核心

10、基础设施与紧密集成的效率改善技术结合在一起。该架构通过采用富有弹性的多层设计、冗余的硬件和软件功能以及在出现故障时自动重新配置网络路径，向企业提供了高可用性.Cisco企业数据中心架构是一种内聚的自适应网络结构,在满足整合、业务持续和安全需求的同时，它还支持新出现的面向服务的架构、虚拟化和按需计算，让职员、供应商和客户能够安全地访问应用程序和资源。这样能够简化管理工作并提高效率,同时极大地降低开销。冗余的数据中以同步和异步的方式复制数据和应用程序,以提供备份.Cisco企业分支机构架构让企业能够扩展总部的应用程序和服务（如安全性、IP通信和高级应用）的覆盖范围，以覆盖数千个远程卖点和用户或少量

11、的分支机构.Cisco在分支机构中的一系列集成服务路由器中集成了安全性、交换、网络分析和缓存功能，以及融合的语音和视频服务，让企业无需购买新的路由器就能部署新的服务。这这种架构让用户能够随时随地安全地访问语音、关键任务数据和视频应用。Cisco企业远程工作人员架构让企业能够通过标准的宽带接入服务,向远程小型或家庭办公室安全地提供语音和数据服务,从而为企业提供弹性的上班时间解决方案，为员工提供灵活的工作时间。通过集中管理,最大限度地降低了IT支持费用.集成的安全和基于身份的网络服务让企业能够将园区安全策略延伸到远程工作人员。员工可通过始终可用的VPN安全地登录网络，并从单个平台访问得到授权的应用

12、程序和服务。Cisco企业WAN架构通过单个Cisco统一通信网提供语音、视频和数据服务,让企业能够以更蔓延的方式扩大其跨越的地理区域。Qos、细粒度的服务等级和广泛的加密方案有助于确保安全地将高质量的语音、视频和数据服务提供给公司的各个场点，让员工不管身处体谅都能高效地工作.通过使用中央分支或全互联拓扑，在第2层或第3层WAN上建立多服务VPN确保了数据流传输的安全性。2.1.2 Cisco企业复合网络模型Cisco制定了一套有关安全的最挂实践，向网络设计人员和员为支持网络应用和已有的网络基础设施正确地部署安全解决方案提供了蓝图.该蓝图名为SAFE,其中包括企业复合网络模型,网络专业人员可以

13、使用使用它来分析和描述任何现代企业网.企业复合网络模型首先将网络划分成三个功能区域：企业园区：该功能区包含组建层次园区网所需的模块，接入、集散和核心原则也适用于这些模块.企业边缘：该功能区域聚合了企业网边缘上各种网络元件的连接性，包括到远程卖点、Internet和远程用户的连接性.服务提供商边缘：该区域并不是由组织实现的，它用于提供到服务提供商的连接性，如Internet服务提供商(ISP）、WAN提供商和公共交换电话网（PSTN）。这些功能区域包含各种网络模块，而这些模块可以包含层次模型中的核心层、集散层和接入层的功能。2.2 园区网络技术企业园区定义了企业复合网络模型的一个功能区域，它包括

14、以下企业复合模块：园区基础设施、网络管理、边缘分布。其中园区基础设施模块包括建筑物接入、建筑物分布和园区主干子模块。建立一个完整的园区网络需要涉及到路由、交换与远程访问技术。它们是现代计算机网络领域中三大支撑技术体系。 2.2.1 路由技术路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表（Access Control List，ACL），路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本组网方案中,内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上

15、的路由功能进行数据包交换。 2.2.2 交换技术传统意义上的数据交换发生在OSI模型的第2层.现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了园区网数据交换服务质量,满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网（Virtual Local Area Network,VLAN）的概念.VLAN技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题.这种技术可以把一个LAN划分成多个逻辑的LANVLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广

16、播报文被限制在一个VLAN内，图1所示建筑接入层建筑分布层园区核心层VLAN 1010.0.10.0VLAN 1110.0.11.0VLAN 2010.0.20.0VLAN 2110.0.21.0图1一个使用VLAN的多层次网络下面是对VLAN各种特性的讨论：n VLAN的主要特性有:1) 限制广播域广播域被限制在一个VLAN内，节省了带宽,提高了网络处理能力。2) 增强局域网的安全性不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。3) 灵活构建虚拟工作组用VLAN可以划分不

17、同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活，如图2示。4) VLAN是在数据链路层的,划分子网是在网络层的，所以不同子网之间的VLAN即使是同名也不可以相互通信。三楼二楼一楼SalesHRDes图2 VLAN的优点n VLAN的划分依据从技术角度讲，VLAN的划分可依据不同原则,一般有以下三种划分方法：1) 基于端口的VLAN划分这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。2) 基于MAC地址的VLAN划分MAC地

18、址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示,前6位为网卡的厂商标识（OUI）,后6位为网卡标识（NIC）.网络管理员可按MAC地址把一些站点划分为一个逻辑子网。3) 基于路由的VLAN划分路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。就目前来说，对于VLAN的划分主要采取上述第1、3种方式，第2种方式为辅助性的方案。n 不同VLAN间的通信在不同VLAN间不通过路由是无法通信的。在LAN内的通信，必须在数据帧头中指定通信目标的MAC地址

19、.而为了获取MAC地址,TCP/IP协议下使用的是ARP.ARP解析MAC地址的方法，则是通过广播.也就是说,如果广播报文无法到达，那么就无从解析MAC地址，亦即无法直接通信。 计算机分属不同的VLAN，也就意味着分属不同的广播域，自然收不到彼此的广播报文.因此，属于不同VLAN的计算机之间无法直接互相通信。为了能够在VLAN间通信,需要利用OSI参照模型中更高一层网络层的信息(IP地址)来进行路由.因此,在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现，如图3所示.Vlan 10Vlan 20Fa 0/0trunk静态路由10.1.1.110.2.2.2图3使用外部路由实现不同V

20、LAN间通信n VTP协议当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议（Vlan Trunking Protocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN.然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。VTP（VLAN Trunking Protocol):是VLAN中继协议,也被称为虚拟局域网干道协议。它是一个OSI参考模型第二层的通信协议,主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名。在一台VTP Server 上配置一个新的VLAN时，该VLAN的配置信息将

21、自动传播到本域内的其他所有交换机.这些交换机会自动地接收这些配置信息,使其VLAN的配置与VTP Server保持一致,从而减少在多台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。 VTP通过网络（ISL帧或cisco私有DTP帧)保持VLAN配置统一性。VTP在系统级管理增加，删除，调整的VLAN，自动地将信息向网络中其它的交换机广播。此外，VTP减小了那些可能导致安全问题的配置.使用VTP便于管理，只要在VTP Server做相应设置，VTP Client会自动学习VTP Server上的Vlan信息.VTP有三种工作模式：VTP Server、VTP Client

22、 和 VTP Transparent，如图4所示。 一般,一个VTP域内的整个网络只设一个VTP Server.VTP Server维护该VTP域中所有VLAN 信息列表，VTP Server可以建立、删除或修改VLAN。VTP Client虽然也维护所有VLAN信息列表，但其VLAN的配置信息是从VTP Server学到的,VTP Client不能建立、删除或修改VLAN。VTP Transparent相当于是一上独立的交换机，它不参与VTP工作，不从VTP Server学习VLAN的配置信息，而只拥有本设备上自己维护的VLAN信息。VTP Transparent可以建立、删除和修改本机上的

23、 VLAN信息.SeverClientTransparent创建VLAN修改VLAN删除VLAN发送、转发VLAN信息同步VLAN信息只能创建本地VLANs只能修改本地VLANs只能删除本地VLANs转发接到到的VLAN信息不能同步VLAN信息不能创建VLANs不能修改VLANs不能删除VLAN同步VLAN信息VTP模式图4VTP的不同工作模式n STP（Spanning Tree Protocol,生成树协议)企业网络首要关心的就是高可用性，它在很大程序上依赖于处理业务的多层交换网络。确保高可用性的方法之一就是在整个网络中提供设备、模块和链路的冗余。但是，第二层的网络冗余可能会导致潜在的桥接

24、环路，数据包将在设备之间无休止地循环，进而破坏网络的正常工作能力。STP能够识别并防止这种第二层环路。STP使用根网桥、根端口和指定端口等概念来建立网络的无环路径.STP能够克服冗余网络中透明桥接的问题，通过采用无环路径，STP能够避免和消除网络中的环路。STP可以通过判断网络中存在环路的地方并阻断冗余链路，从而达到上述目的，确保到每个目标都只有一条路径，所以永远不会产生环路,如果发生某条链路失效的情况，那么网桥就会将接口从阻塞状态过渡到转发状态。n 园区网内部部署方式为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的.园区网数据交换设备可以划分为三个层次：接

25、入层、分布层、核心层。接入层为所有的终端用户提供一个接入点；分布层除了负责将接入层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能；核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换.2.2.3 远程访问技术:远程访问也是园区网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务.下面对各种远程接入方式进行比较：n 各种远程接入方式的比较1) 远程拨号采用远程拨号方式，必须申请电话线，用户多时,需申请中继电话线,而且需要Modem Pool 将模拟信号转换成数字信号，拨号访问服务器将串行数据转换为网络上传输的IP 数据包。同时多数企业较难为接入设

26、备提供理想的工作环境,不能确保信息传输的质量和安全。2) 租用专用线路在过去的数十年间，许多企业花费大量资金租用专用线路，将其主要分支机构连接起来组成该企业的私有通信网络，以达到信息在企业内部的快速沟通和共享，这样企业在获得高效率的同时，也为租用专用线路付出了较高的成本.3) VPN 远程接入VPN(Virtual Private Network） 即虚拟专用网是在公共网络上建立的专用网络810，但其任意2个结点间的连接并没有传统专用网络所需的点到点的物理链路，而是架构在公共网络（ Internet) 服务商( ISP） 所提供网络平台上的逻辑网络.用户数据通过ISP 在公共网络中建立的逻辑隧

27、道（ Tunnel ) ，即点到点的虚拟专线进行传输。通过加密和认证技术，确保企业内部网络数据在公共网络上安全传输，真正实现网络数据的专有性.VPN 是对企业内部网络的扩展，通过它可以实现远程用户与内部网络的安全连接.VPN 远程接入方式最适用于企业经常有人员出差，需实现远程办公的情况。出差员工利用当地ISP 提供的VPN服务,即可与企业VPN 网关建立私有的隧道连接.VPN 远程接入方式有以下主要优势：简化网络.只需要投入1 台VPN 网关设备，即可解决几十到几千人的远程接入问题.节省费用.利用本地拨号接入取代远距离接入或800 电话接入，显著降低长途通信费用，减少了用于购置调制解调器和终端

28、服务设备的费用.支持多种标准认证机制如LDAP、RADIUS 等。多样接入方式。无论用户采用哪种方式访问互联网，均可建立VPN 连接。自由选择规模.无论企业大小，VPN 都有相对应的产品，用户数可为55 000 个。具有高可用性.对于接入用户较多的企业， VPN 支持远程接入的高可用性模式，保障用户服务的连贯性。n Easy VPN方式EasyVPN是Cisco的一种特性,它允许使用CiscoVPN客户端软件一类实施IPsec远程访问设备。由于可以使用Cisco路由器或者PIX来配置Easy VPN服务器，而不需要另外增加其他设备，对于已经拥有一台大容量的边缘路由，而且仅需要少量的远程访问用户

29、的企业来说，这无疑在保证了远程访问的高安全性的前提下，可以在成本控制上有更大的优势。这也是本设计方案所采用它作为远程访问方式的原因.2.2.4 HSRP（热备份路由器协议） 随着Internet的日益普及，人们对网络的依赖性也越来越强。这同时对网络的稳定性提出了更高的要求,人们自然想到了基于设备的备份结构,就像在服务器中为提高数据的安全性而采用双硬盘结构一样。路由器是整个网络的核心和心脏,如果路由器发生致命性的故障，将导致本地网络的瘫痪，如果是骨干路由器，影响的范围将更大，所造成的损失也是难以估计的。因此,对路由器采用热备份是提高网络可靠性的必然选择。在一个路由器完全不能工作的情况下，它的全部

30、功能便被系统中的另一个备份路由器完全接管，直至出现问题的路由器恢复正常，这就是热备份路由协议（Hot Standby Router Protocal),HSR PRFC2281技术要解决的问题，如图5所示。活动路由备份路由园区核心虚拟路由图5 正常情况下启动HSRP的数据传输路径热备份路由器协议（HSRP）是思科私有的协议，它的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。负责转发数据包的路由器称之为主动路由器（Active Router)。一旦主动路由器出现故障，HSRP 将激活备份路由器

31、（Standby Routers）取代主动路由器.HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址.如果主动路由器出现故障,备份路由器（Standby Routers）承接主动路由器的所有任务，并且不会导致主机连通中断现象，如图6所示.活动路由备份路由园区核心虚拟路由图6主动路由发生故障时数据的传输路径HSRP 运行在 UDP 上，采用端口号1985.路由器转发协议数据包的源地址使用的是实际 IP 地址，而并非虚拟地址，正是基于这一点,HSRP 路由器间能相互识别。(?）现思科公司的第三层交换机也支持该协议。HSRP根据对两

32、互备份路由器或交换机的优先级设定，将其中一台设备置为活动状态，而另一台设备置为备用状态，当主设备发生故障时备用设备能立即启用，这就是所谓“热备 份的含义。对网络中正常工作的用户而言，这一切都是透明不可见的(就是看不到，不知道后面的变化)，从而保证了网络的正常运行。3 中小型企业网络的建设目标与需求分析3.1 网络建设目标与原则中小型企业网络设计的总体目标是利用先进的计算机技术和网络通信技术，建设高质量、高效率的统一的通信网络。其具体目标：一、使系统互通互联，最大限度地实现信息资源共享；二、用电子信息的传递取代纸面文件、材料的传送，逐步实现“无纸办公 ，改变传统工作方式,进一步提高工作效率；三、

33、利用各种业务信息的综合分析，为各级领导提供决策支持，更好地组织生产和经营。在网络建设中主要遵循以下原则：一、在企业领导小组的统一领导下，建立统一的规章制度，进行统一的管理，采用统一的标准.二、在网络建设中，所有软硬件产品的选择都必须坚持标准化的原则，采用全路统一的硬、软件平台和基本应用软件,进行统一的软件版本升级管理。三、网络应具有良好的安全性与保密性。四、做到资源共享与保护。充分合理地利用现有的资源，最大限度地与原有系统或在建系统互通互联,在尽可能利用已有投资的基础上，解决好经费的补充和配套资金到位问题。3.2 中小型企业网络设计需求根据国家于2003年2月19日发布的关于印发中小企业标准暂

34、行规定的通知可以得知，不同行业的中小型企业人数限定是不一样的，但是根据行业的性质以及所规定的人数，一间中小型企业使用计算机的数量一般在几百台以内。因此,小型园区网络设计即可满足要求。小型园区网络设计适用于最多只包含几百台联网设备的建筑物规模的网络。因此,在本方案中，将以企业目前拥有300台办公计算机为例,设定该企业对网络需要如下： 企业拥有有300台办公计算机，要求都能访问Internet资源； 外网通过Internet只能访问企业内DMZ区域(?）的各种共享服务器，如FTP、WWW、，不能访问其它内网信息； 会议室、会客厅、大厅这三个位置，要实现wifi无线上网，可以实现多人同时接入； 出差

35、工作人员及在家办公人员能够远程访问公司内部的共享文件以及进行数据传送； 网络要求是可扩展的，高速的，冗余的，安全的，并可满足为现在或将来进行语音、视频、图像等各种服务的应用; 要保证企业内部服务器群可以集中管理以及企业内部信息安全； 为了简化起见，在本方案中设定公司一共有5个部门:财务部、市场部、策划部、客服中心、采购部。3.3 网络设计需求分析根据企业提出需求,进行分析,最终将采取以下方案解决企业需求: 申请一个10M的带宽，以满足300台计算机访问Internet； 申请有九个公网IP：196.2.125。1分配给了Internet接入路由器的串行接口，另外8个IP地址：202。126。2

36、22。2/29202.126。222。7/29用作NAT； 购买一台CISCO路由器CISCO 3640以实现企业内部网连接到Internet； 企业目前有300台计算机连入网络,考虑到在未来五年内可能会有所增加，预计增加幅度为100台，总共有400台。因此接入层交换机48口的Catalyst 2960需要数量为:400/4810台; 将各个部门划分在不同的VLAN，包括服务组群（？）和管理VLAN一共需要7个VLAN； 将WEB服务器，邮件服务器,FTP服务器直接与核心交换机Cisco 4501连接，置于管理机房，方便管理，同时配置ACL控制各部门访问权限并阻止外网访问； 在需要无线上网的会

37、议厅、会客厅、大厅三个地方，采用三台54M 802.11b的无线AP接入，设定最多30人的数量,以保证每人访问网速不至于过慢； 在路由器上配置Easy VPN，用以实现出差工作人员及在家办公人员远程访问企业内部资源及数据交换。 为实现网络的冗余设计，在核心层布署时，用两台三层交换机实现HSRP。4 中小型企业网络所需网络设备介绍中小型企业由于在资金投入上有很大的限制,所以设备的选择应该在考虑其成本的前提下进行。一般来说，用于中小型企业的思科网络设备有以下几种：4.1 路由器：Cisco 3600系列3600系列支持与2600系列相同WIC卡和网络模块选项,但它提供了更多的槽和更高的处理能力。本

38、系列包括三种型号: 3660、3640和3620，如图7所示。它们分别有六个、四个和两个可插网络模块的槽.3600系列的用途是支持大型分支机构中的复杂应用,或作为中心路由器为多个远程站点提供连接.3600系列的网络模块最高可支持OC3速，且对大多数企业具有丰富的可扩展能力。在3600系列推出之前， 4500和4700用于完成同样的功能.现在4500和4700产品在市场仍然可以看到，但最好买更新的3600系列产品，因为它有同样的模块选择和更多的接口选项。3600系列也是Cisco多服务行列中的一员.它支持连接语音线路、电话和专用分组交换机（PBX).选择2600、3600还是更高系列取决与所需支

39、持的不同类型的接口的数目。这些新系列的路由器一般有更强的处理能力、支持更多的可配置接口。然而情况并不总是这样，一些Cisco早期推向市场的拨号访问服务器就不能处理由多个接口同时提出的多个连接。图7Cisco 3600系列路由器该系列的接口基本类型有以下五类: 1) LAN介质 3600 LAN模块支持快速Ethernet 10/100自适应端口和令牌环。这些网络模块一般支持一个或二个WIC卡槽，选择一个还是二个取决于你连接的需要。 2) 串行接口 串行通信应用（如用于直接IP连接上的帧中继和缺省的HDLC）既可直接在网络模块上实现，也可在插入网络模块的WIC卡上实现。串行口选项由高速串行接口（

40、HSSI，通常在连接到T-3时使用）和同步或异步端口组成。还有一个内置CSU/DSU端口来支持外部设备。 3) ISDN连接 3600系列既支持基本速率接口（BRI)又支持主速率接口（PRI）连接。网络模块提供了四个或八个BRI ISDN端口，每块ISDN WIC卡提供了一个BRI连接。PRI选项由网络模块提供，网络模块可支持一个或二个PRI连接，也可选择其他LAN或WAN接口。 4) 语音连接 3600系列中有一个语音WIC卡，它可支持通过RJ45终端电缆直接与PBS连接，也可通过T-1/E-1连接到中心设备（该中心设备是电话公司的语音网络）。该模块可配置成一个或二个端口。 5) 数字MOD

41、EM此接口类型最常用于连接到PRI线，为远程用户拨入访问提供一个中心MODEM池。这些MODEM的作用是转换PRI连接中的数字信号，以允许远程用户使用常规的模拟MODEM来拨入。 该系列还提供了其他两种类型, TM和OC-s连接模块,但它们很少被使用。 4.2 核心交换机:Cisco Catalyst 4500系列Catalyst 4500系列交换机，领先的引擎是Supervisor Engine V-10GE，它的最高性能可以达到102Mpps和136Gbit/s，如图8所示。在远程办公室环境中，这些交换机既可以作为单台交换机发挥作用,也可以作为包含少量交换机的小型网络的园区主干交换机。在I

42、SP网络环境中,因为这些平台具有Cisco长距离以太网的功能,所以这些交换机能够用于汇集业务服务和用户接入.在性能方面,通过使用Supervisor III Engine或Supervisor II+ 只支持第二层，但是能够支持64Gbit/s交换。图8Cisco Catalyst 4500系列交换机（Catalyst 4503、Catalyst 4507R、Catalyst 4510R 、Catalyst 4506）对于Catalyst 4500系列交换机，下列简要说明该平台的可扩展性3。 支持3（Catalyst 4503）、6(Catalyst 4506）、7（Catalyst 4507

43、R）和10(Catalyst 4510R）个插槽的模块化机箱； 集成的语音、视频和数据； 在10个插槽的机箱中，最多支持336个10/100/1000BASE-T吉比特以太网端口； 集成IP电话线上供电； 多个吉比特以太网干道; 通过专用模块支持WAN边缘； 802.1.Q-in-Q。在高可用性方面，Catalyst 4500支持下列特性； NSF/SSO； HSRP和VRRP； 802.1D/802.1s/802.1w生成树冗余； 802。3ad和EtherChannel链路冗余; 特定型号的机箱（具有7和10个插槽）支持冗余Supervisor Engine ii+、IV和V; 冗余供电。

44、在安全性方面，Catalyst 4500支持以下特性； NAC； 风暴控制； 基于端口的Qos； 全部端口支持标准ACL和扩展ACL; 802.1x用户认证； 802.1x计费； 受信边界; 全部端口支持RACL，并且不会影响性能; VALC; PACL； 接入端口和干道端口的PVLAN； DHCP监听和选项82插入； 端口安全； 固定端口安全； VMPS客户端； 单播MAC过滤； 单播端口扩散阻塞； 动态ARP检测； IP源防护； 团体私用VLAN； 语音VLAN粘连端口安全。4.3 接入层交换机：Cisco Catalyst 2960系列Cisco Catalyst 2960系列交换机通常

45、作为建筑物接入交换机而部署，能够提供固定的端口密度，并且具有与高端交换机相类似的特性,但其成本更低.尽管这些交换机具有更低的成本，但它们却支持非常多的高级交换特性，其中包括集成安全、NAC、高级Qos和弹性等。这些交换机具有固定的端口配置，具有24个或48个10/100BASET或10/100/1000BASET端口,如图9所示，以及双目标特以太网上行链路，既可以使用铜或光纤上行链路，也可以使用一个10/100/1000以太网端口和一个SFP吉比特以太网端口的组合，但是同时只能有一个处于活跃状态.图9Cisco Catalyst2960在性能方面，Catalyst 2960系列交换机下列特性；

46、 快速以太网和吉比特以太网线速的第2层交换; 32Gbit/s交换阵列; 能够以快速以太网和吉比特以太网的线速进行ACL和Qos； 最大支持9000字节的巨型以太网帧.至于该平台的可扩展性,Catlyst 2960系列交换机包括下列特性； 最多 48个10/100快速以太网端口和2个吉比特以太网端口； 支持10/100/1000BASEt吉比特以太风、10BASE-FX快速以太网和吉比特以太网 最多可8000个MAC地址； 集成支持带宽优化的Cisco IOS软件特性； 分级限速；至于可靠性方面，Catalyst 2960系列交换机支持下列可用特性 通过Cisco吉比特EthernetChannel技术支持最高 8Gbist/s的汇聚带宽; 802.1D/802。1s/802。1w生成树冗余； 802。3ad和EtherChannel链路冗余； 通过外部RPS实现冗余供电.在安全性方面，Catalyst2960系列交换机支持下列安全特性； 802.1x和802。1x其他高级特性； MAC地址通告; 私用VLAN边缘； 端口安全； 基于端口的访问控制； DHCP接口跟踪和DHCP监听； TACACS+和RADIUS验证； 基于商品的ACL， 允许在单个交换机端口上应用